所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

WLAN设备VLAN部署指南

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
WLAN设备VLAN部署指南

WLAN设备VLAN部署指南

简介

在使用华为WLAN设备时,用户为了简化配置,经常会采用默认配置,以AP业务VLAN和管理VLAN为例,会经常出现管理VLAN和业务VLAN为1的情况,从而引发各种问题。

本文分析了隧道转发和直接转发的场景下,业务VLAN和AP管理VLAN的配置对业务的影响,以及推荐的配置,收集了常见的VLAN配置错误,旨在更好地指导用户进行业务部署,减少类似问题的出现。

了解VLAN相关概念

管理VLAN

管理VLAN是指,负责传输通过CAPWAP隧道转发的报文,包括管理报文和通过CAPWAP隧道转发的业务数据报文。

一般情况下,是指AC上capwap source interface对应的VLAN:

  • V200R005C00及之前版本的配置命令:
    [AC6605] wlan 
    [AC6605-wlan-view] wlan ac source interface Vlanif 100
  • V200R005C10及之后版本的配置命令:
    [AC6605] capwap source interface Vlanif 100

缺省情况下,AP管理报文不带tag,由AP直连的接入交换机给AP管理报文打VLAN tag标签。在实际应用中,应该将AP直连的接入设备接口的PVID配置为管理VLAN。

[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 100

需要注意的是,如果在AP接入交换机上没有配置PVID,则交换机会默认打上VLAN1的tag,这样AP的管理VLAN就是VLAN1。

management-vlan

management-vlan实际上就是管理VLAN。上文提到实际应用中,使用AP接入交换机配置管理VLAN。如果接入交换机的AP接入接口有其他用途需要打其他PVID,则可以通过命令management-vlan来配置AP管理VLAN,只要在AP接入交换机允许该管理VLAN通过即可,无需在AP的接入交换机再配置PVID。

配置方法如下:

[AC6605] wlan 
[AC6605-wlan-view] ap-system-profile name ap-system1 
[AC6605-wlan-ap-system-prof-ap-system1] management-vlan 100 
Warning: The incorrect management VLAN configuration will cause the AP to go out of management. This operation will make the AP rese t. Continue? [Y/N]:y
说明:

配置后需要重启AP才能使配置的AP管理VLAN生效。

业务VLAN

业务VLAN负责传输业务数据报文。如果不配置的话,默认业务VLAN为VLAN1。

VLAN1

VLAN1是比较特殊的VLAN,使用时要多加注意。标准的三层交换机,为了做到零配置使用,会默认将端口加入VLAN1。

采用零配置,会出现VLAN1的广播域过大的问题,容易在VLAN1内形成泛洪,因此不推荐WLAN网络规划时使用VLAN1作为管理VLAN或者业务VLAN。

分析业务VLAN和管理VLAN配置

以下将分直接转发和隧道转发两种情况,分析不同的业务VLAN和管理VLAN组合对配置的影响,并给出一些配置建议。

直接转发

业务VLAN和管理VLAN组合

影响分析

配置推荐

规避措施

业务VLAN和管理VLAN不同,业务VLAN为1的情况(以业务VLAN1,管理VLAN100为例)

直接转发场景下,业务VLAN为1,用户报文到达AP上会被打上业务VLAN1,但是由于VLAN1的特殊性,VLAN1从AP、AC或者交换机设备出去时,VLAN1均默认剥离。

这样从AP出去的业务报文,业务VLAN丢失,到达接入交换机后,被打上管理VLAN100。这个时候问题就来了,用户的业务报文打上了管理VLAN,不符合VLAN规划期望,会导致一些问题。

举两个典型例子:

  • 用户从管理VLAN地址池获取地址,导致用户业务混乱,比如配置的用户ACL不生效等。
  • 用户配置了portal认证,推不出认证页面。

不建议配置,若要配置需要根据组网和具体业务加以分析。

无规避措施。

业务VLAN和管理VLAN不同,管理VLAN为1的情况(以业务VLAN100,管理VLAN1为例)

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不建议配置。

无规避措施。

业务VLAN和管理VLAN不同,并且都不为1的情况(以业务VLAN100,管理VLAN50为例)

最佳标准配置。

推荐。

NA

业务VLAN和管理VLAN相同,并且都为1的情况(业务VLAN1,管理VLAN1)

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不建议配置。

无规避措施。

业务VLAN和管理VLAN相同,并且都不为1的情况(以业务VLAN100,管理VLAN100为例)

从AP出来的管理报文不带VLAN,业务报文带VLAN100,管理报文进入接入交换机后会被打上PVID VLAN100,交换机不对业务报文的VLAN做处理直接透传。但是用户的下行业务报文由于带了VLAN100,从交换机端口出去时,会被当做管理VLAN剥掉,该业务报文到达AP后被解析为管理报文从而在AP上被丢弃,导致业务不正常。

严禁配置。

无规避措施。

隧道转发

业务VLAN和管理VLAN组合

影响分析

配置推荐

规避措施

业务VLAN和管理VLAN不同,业务VLAN为1的情况(以业务VLAN1,管理VLAN100为例)

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不建议配置。

无规避措施。

业务VLAN和管理VLAN不同,管理VLAN为1的情况(以业务VLAN100,管理VLAN1为例)

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不建议配置。

无规避措施。

业务VLAN和管理VLAN不同,并且都不为1的情况(以业务VLAN100,管理VLAN50为例)

最佳标准配置。

推荐。

NA

业务VLAN和管理VLAN相同,并且都为1的情况(业务VLAN1,管理VLAN1)

上行:STA→AP→AC→上层网络,假设用户在VLAN1内发送一个广播报文,该报文会在AP上封CAPWAP隧道头带上管理VLAN1后进入AC,AC解CAPWAP封装后,就是STA发来的广播报文(带业务VLAN1),AC发现是广播报文,会复制后广播出去,其中的一份报文会原路返回AC→AP,如此便成环路,可能导致用户业务异常。

隧道转发场景下,不允许AC的接入口放通业务VLAN就是这个原因。

不建议配置。

无规避措施。

业务VLAN和管理VLAN相同,并且都不为1的情况(以业务VLAN100,管理VLAN100为例)

简单组网:STA-AP-AC,其中,AC的IP地址为10.1.1.1,MAC为AAAA-BBBB-CCCC,作为用户网关;AP的IP地址为10.1.1.2,管理VLAN为VLAN100;无线终端的IP地址为10.1.1.254,业务VLAN为VLAN100。

从上层网络到用户的下行业务报文(上层网络→AC→接入交换机→AP→用户),报文的“内层头”二层应该如下:

二层头: 源MAC: AAAA-BBBB-CCCC(VLAN100)  //此处VLAN为业务VLAN

隧道转发的情况下,去往用户的报文,要在AC上封一层CAPWAP隧道,即“外层头”:

二层头: 源MAC: AAAA-BBBB-CCCC(VLAN100)  //此处VLAN为管理VLAN

该报文通过有线口到达AP后,内层头对AP不可见,AP只能看到外层隧道头,进行MAC学习,将AC的MAC AAAA-BBBB-CCCC学习到物理口上,MAC表如下:

-------------------------------------------------------
MAC Address    VLAN/VSI        Learned-From    Type   
-------------------------------------------------------
AAAA-BBBB-CCCC  100/-          GE0/0/0         dynamic 
-------------------------------------------------------

去往用户的带隧道的报文,AP会CAPWAP解封装剥除隧道,内层头暴露出来,AP再次进行MAC学习,将AAAA-BBBB-CCCC学习到CAPWAP口上,MAC表如下:

-------------------------------------------------------
MAC Address    VLAN/VSI        Learned-From    Type   
-------------------------------------------------------
AAAA-BBBB-CCCC  100/-          CAPWAP          dynamic  
-------------------------------------------------------

此时问题便出现了,同一个VLAN内的同一个MAC对应了两个出接口: GE0/0/0和CAPWAP,此MAC会在两个出接口之间来回漂移,报文转发紊乱,业务不正常。

说明:

业务网关不在AC上时无异常。

禁止配置。MAC漂移,用户业务不正常。

无规避措施。

影响分析汇总

配置影响分析和配置建议汇总如下表所示。

说明:

为方便描述,表格中的VLAN均为示例。

转发方式

业务VLAN

管理VLAN

配置影响

配置推荐

直接转发

1

100

用户业务报文打上管理VLAN,导致业务混乱。

不推荐

100

1

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不推荐

1

1

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不推荐

100

100

数据转发异常。

不推荐

100

50

标准推荐配置。

推荐

隧道转发

1

100

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不推荐

100

1

可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。

不推荐

1

1

MAC漂移,导致数据转发异常。

不推荐

100

100

MAC漂移,导致数据转发异常。

不推荐

100

50

标准推荐配置。

推荐

配置AP有线口VLAN

组网需求

图1-1 组网图

AP有线口GE1直连PC,PC通过VLAN200获取IP地址。

在规划VLAN时,建议将有线侧的VLAN与无线侧的VLAN区分开。

配置介绍

  1. 创建两个有线口模板,一个用于直连PC的GE口配置,一个用于直连交换机的GE口配置。

    # 配置用于直连PC的有线口模板。
    [AC6605-wlan-view] wired-port-profile name ge1
    [AC6605-wlan-wired-port-ge1] display this
    #
      mode endpoint
      vlan pvid 200
      vlan untagged 200
    #
    return

    # 配置用于直连交换机的有线口模板。

    [AC6605-wlan-view] wired-port-profile name ge0
    [AC6605-wlan- wired-port-ge0] display this
    #
      vlan tagged 200
    #
    return

  2. 分别将两个有线口模板绑定到AP的GE0和GE1。

    说明:

    在绑定有线口模板时,请务必注意,不要将有线口模式配置为endpoint的有线口模板绑定到AP上行直连交换机的口上。

    [AC6605-wlan-view] ap-id 1
    [AC6605-wlan-ap-1] display this
    #
      wired-port-profile ge0 gigabitethernet 0
      wired-port-profile ge1 gigabitethernet 1
    #
    return

  3. 从AP的接入交换机端口到业务VLAN200的DHCP Server之间,全部放通VLAN200。
  4. 重启AP后,有线直连AP GE1口的PC获取IP地址。

常见的VLAN配置错误

常见的VLAN配置错误如下表所示。

常见配置错误

影响

接入交换机放通了管理VLAN但是未创建该VLAN

AP无法上线

AC和中间接入交换机上未创建业务VLAN或创建了但未放通VLAN

  • 用户三层漫游后网络不通
  • STA无法获取IP地址

认证服务器上配置了动态VLAN,AC上未创建该VLAN

认证失败

management-vlan配置错误

AP无法上线

FAQ:AC旁挂,业务数据直接转发,AC上需要创建业务VLAN吗?

AC旁挂,业务数据直接转发,且用户网关在AC上时,必须在AC上创建业务VLAN。

AC旁挂,业务数据直接转发,且用户网关不在AC上时,实际的业务数据并不会经过AC,因此一般是不需要在AC本地创建业务VLAN的。但是,如果认证方式为802.1x认证,由于认证报文需要通过CAPWAP隧道转发,因此,AC上必须已存在业务VLAN。

对于命令行和Web网管,实际操作有差异,具体如下:

  • 对于命令行

    所有版本均需要在AC上创建业务VLAN。

  • 对于Web网管

    对于V200R008之前版本,必须在AC上创建业务VLAN;对于V200R008及之后版本,在配置业务VLAN的时候,系统会自动创建一个对应的VLAN。

相关信息

翻译
下载文档
更新时间:2019-09-04

文档编号:EDOC1100081208

浏览量:863

下载量:187

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页