WLAN设备VLAN部署指南
简介
在使用华为WLAN设备时,用户为了简化配置,经常会采用默认配置,以AP业务VLAN和管理VLAN为例,会经常出现管理VLAN和业务VLAN为1的情况,从而引发各种问题。
本文分析了隧道转发和直接转发的场景下,业务VLAN和AP管理VLAN的配置对业务的影响,以及推荐的配置,收集了常见的VLAN配置错误,旨在更好地指导用户进行业务部署,减少类似问题的出现。
什么是管理VLAN和业务VLAN
管理VLAN
管理VLAN是指,负责传输通过CAPWAP隧道转发的报文,包括管理报文和通过CAPWAP隧道转发的业务数据报文。
一般情况下,是指AC上capwap source interface对应的VLAN:
- V200R005C00及之前版本的配置命令:
[AC6605] wlan [AC6605-wlan-view] wlan ac source interface Vlanif 100
- V200R005C10及之后版本的配置命令:
[AC6605] capwap source interface Vlanif 100
缺省情况下,AP管理报文不带tag,由AP直连的接入交换机给AP管理报文打VLAN tag标签。在实际应用中,应该将AP直连的接入设备接口的PVID配置为管理VLAN。
[Switch] interface GigabitEthernet 0/0/1 [Switch-GigabitEthernet0/0/1] port trunk pvid vlan 100
需要注意的是,如果在AP接入交换机上没有配置PVID,则交换机会默认打上VLAN1的tag,这样AP的管理VLAN就是VLAN1。
management-vlan
management-vlan实际上就是管理VLAN。上文提到实际应用中,使用AP接入交换机配置管理VLAN。如果接入交换机的AP接入接口有其他用途需要打其他PVID,则可以通过命令management-vlan来配置AP管理VLAN,只要在AP接入交换机允许该管理VLAN通过即可,无需在AP的接入交换机再配置PVID。
配置方法如下:
[AC6605] wlan [AC6605-wlan-view] ap-system-profile name ap-system1 [AC6605-wlan-ap-system-prof-ap-system1] management-vlan 100 Warning: The incorrect management VLAN configuration will cause the AP to go out of management. This operation will make the AP rese t. Continue? [Y/N]:y
配置后需要重启AP才能使配置的AP管理VLAN生效。
业务VLAN
业务VLAN负责传输业务数据报文。如果不配置的话,默认业务VLAN为VLAN1。
VLAN1
VLAN1是比较特殊的VLAN,使用时要多加注意。标准的三层交换机,为了做到零配置使用,会默认将端口加入VLAN1。
采用零配置,会出现VLAN1的广播域过大的问题,容易在VLAN1内形成泛洪,因此不推荐WLAN网络规划时使用VLAN1作为管理VLAN或者业务VLAN。
管理VLAN和业务VLAN的推荐配置
以下将分直接转发和隧道转发两种情况,分析不同的业务VLAN和管理VLAN组合对配置的影响,并给出推荐配置。
推荐配置
配置影响分析和配置建议如下表所示。
为方便描述,表格中的VLAN均为示例。
转发方式 |
业务VLAN |
管理VLAN |
配置影响 |
配置推荐 |
|---|---|---|---|---|
直接转发 |
100 |
50 |
标准推荐配置。 |
推荐 |
1 |
100 |
用户业务报文打上管理VLAN,导致业务混乱。 |
不推荐 |
|
100 |
1 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不推荐 |
|
1 |
1 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不推荐 |
|
100 |
100 |
数据转发异常。 |
禁止配置 |
|
隧道转发 |
100 |
50 |
标准推荐配置。 |
推荐 |
1 |
100 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不推荐 |
|
100 |
1 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不推荐 |
|
1 |
1 |
无线业务的广播、组播报文还是会被转发到AP的有线口,可能会影响到AP的性能。 |
禁止配置 |
|
100 |
100 |
无线业务的广播、组播报文还是会被转发到AP的有线口,可能会影响到AP的性能。 |
禁止配置 |
直接转发场景下,业务VLAN和管理VLAN配置影响分析
业务VLAN和管理VLAN组合 |
影响分析 |
配置推荐 |
|---|---|---|
业务VLAN和管理VLAN不同,并且都不为1的情况 |
最佳标准配置。 |
推荐。 |
业务VLAN和管理VLAN不同,业务VLAN为1的情况 |
直接转发场景下,业务VLAN为1,用户报文到达AP上会被打上业务VLAN1,但是由于VLAN1的特殊性,VLAN1从AP、AC或者交换机设备出去时,VLAN1均默认剥离。 这样从AP出去的业务报文,业务VLAN丢失,到达接入交换机后,被打上管理VLAN100。这个时候问题就来了,用户的业务报文打上了管理VLAN,不符合VLAN规划期望,会导致一些问题。 举两个典型例子:
|
不建议配置,若要配置需要根据组网和具体业务加以分析。 |
业务VLAN和管理VLAN不同,管理VLAN为1的情况 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不建议配置。 |
业务VLAN和管理VLAN相同,并且都为1的情况 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不建议配置。 |
业务VLAN和管理VLAN相同,并且都不为1的情况 |
以业务VLAN100,管理VLAN100为例。 从AP出来的管理报文不带VLAN,业务报文带VLAN100,管理报文进入接入交换机后会被打上PVID VLAN100,交换机不对业务报文的VLAN做处理直接透传。但是用户的下行业务报文由于带了VLAN100,从交换机端口出去时,会被当做管理VLAN剥掉,该业务报文到达AP后被解析为管理报文从而在AP上被丢弃,导致业务不正常。 |
禁止配置。 |
隧道转发场景下,业务VLAN和管理VLAN配置影响分析
业务VLAN和管理VLAN组合 |
影响分析 |
配置推荐 |
|---|---|---|
业务VLAN和管理VLAN不同,并且都不为1的情况 |
最佳标准配置。 |
推荐。 |
业务VLAN和管理VLAN不同,业务VLAN为1的情况 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不建议配置。 |
业务VLAN和管理VLAN不同,管理VLAN为1的情况 |
可能会受VLAN1广播域过大、广播泛洪的影响,导致网络阻塞,影响用户体验。 |
不建议配置。 |
业务VLAN和管理VLAN相同,并且都为1的情况 |
上行:STA→AP→AC→上层网络,假设用户在VLAN1内发送一个广播报文,该报文会在AP上封CAPWAP隧道头带上管理VLAN1后进入AC,AC解CAPWAP封装后,就是STA发来的广播报文(带业务VLAN1),AC发现是广播报文,会复制后广播出去,其中的一份报文会原路返回AC→AP,可能导致用户业务异常。 |
禁止配置。 |
业务VLAN和管理VLAN相同,并且都不为1的情况 |
以业务VLAN100,管理VLAN100为例。 简单组网:STA-AP-AC,其中,AC的IP地址为10.1.1.1,MAC为AAAA-BBBB-CCCC,作为用户网关;AP的IP地址为10.1.1.2,管理VLAN为VLAN100;无线终端的IP地址为10.1.1.254,业务VLAN为VLAN100。 从上层网络到用户的下行业务报文(上层网络→AC→接入交换机→AP→用户),报文的“内层头”二层应该如下: 二层头: 源MAC: AAAA-BBBB-CCCC(VLAN100) //此处VLAN为业务VLAN 隧道转发的情况下,去往用户的报文,要在AC上封一层CAPWAP隧道,即“外层头”: 二层头: 源MAC: AAAA-BBBB-CCCC(VLAN100) //此处VLAN为管理VLAN 该报文通过有线口到达AP后,内层头对AP不可见,AP只能看到外层隧道头,进行MAC学习,将AC的MAC AAAA-BBBB-CCCC学习到物理口上,MAC表如下: ------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------- AAAA-BBBB-CCCC 100/- GE0/0/0 dynamic ------------------------------------------------------- 去往用户的带隧道的报文,AP会CAPWAP解封装剥除隧道,内层头暴露出来,AP再次进行MAC学习,将AAAA-BBBB-CCCC学习到CAPWAP口上,MAC表如下: ------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------- AAAA-BBBB-CCCC 100/- CAPWAP dynamic ------------------------------------------------------- 此时问题便出现了,AP学习到的AC的MAC同时对应了两个出接口: GE0/0/0和CAPWAP,会导致报文转发紊乱,业务不正常。 |
禁止配置。 |
不同转发模式下,管理VLAN和业务VLAN的创建和放通建议
直接转发模式
- 如果AC是直连组网,AC上需要创建管理VLAN和业务VLAN。同时,AC与AP之间的网络设备需要放通管理VLAN,AP与上层网络之间的网络设备需要放通业务VLAN。
- 如果AC是旁挂组网,AC上需要创建管理VLAN,是否需要创建业务VLAN则视具体情况来确认是否需要创建。AC与AP之间的网络设备需要放通管理VLAN,AP与上层网络放通业务VLAN。
如果用户网关在AC上,则必须在AC上创建业务VLAN。
如果用户网关不在AC上,实际的业务数据并不会经过AC,因此一般是不需要在AC本地创建业务VLAN的。但是,如果认证方式为802.1X认证,由于认证报文需要通过CAPWAP隧道转发,因此,AC上必须已存在业务VLAN。
对于命令行和Web网管,实际操作有差异,具体如下:- 对于命令行
所有版本均需要在AC上手动创建业务VLAN。
- 对于Web网管
对于V200R008之前版本,必须在AC上创建业务VLAN;对于V200R008及之后版本,在配置业务VLAN的时候,系统会自动创建一个对应的VLAN。
- 对于命令行
隧道转发模式
隧道转发模式下,AC不管是直连组网还是旁挂组网,AC上都需要创建管理VLAN和业务VLAN。AC与AP之间的网络需要放通管理VLAN,AC与上层网络需要放通业务VLAN。
配置AP有线口VLAN示例
上述关于业务VLAN的描述针对的是无线用户,实际上,AP支持通过下行有线口直连有线用户,AP有线口的VLAN配置请参考如下示例。
组网需求
AP有线口GE1直连PC,PC通过VLAN200获取IP地址。
在规划VLAN时,建议将有线侧的VLAN与无线侧的VLAN区分开。
配置介绍
- 创建两个有线口模板,一个用于直连PC的GE口配置,一个用于直连交换机的GE口配置。# 配置用于直连PC的有线口模板。
[AC-wlan-view] wired-port-profile name ge1 [AC-wlan-wired-port-ge1] mode endpoint [AC-wlan-wired-port-ge1] vlan untagged 200 [AC-wlan-wired-port-ge1] vlan pvid 200 [AC-wlan-wired-port-ge1] quit
# 配置用于直连交换机的有线口模板。
[AC-wlan-view] wired-port-profile name ge0 [AC-wlan-wired-port-ge0] vlan tagged 200 [AC-wlan-wired-port-ge0] quit
- 分别将两个有线口模板绑定到AP的GE0和GE1。
在绑定有线口模板时,请务必注意,不要将有线口模式配置为endpoint的有线口模板绑定到AP上行直连交换机的口上。
[AC-wlan-view] ap-id 1 [AC-wlan-ap-1] wired-port-profile ge0 gigabitethernet 0 [AC-wlan-ap-1] wired-port-profile ge1 gigabitethernet 1
- 从AP的接入交换机端口到业务VLAN200的DHCP Server之间,全部放通VLAN200。
- 重启AP后,有线直连AP GE1口的PC获取IP地址。
常见的VLAN配置错误案例和处理建议
配置AP管理VLAN后,AP无法上线
故障现象
配置了错误的管理VLAN,AP无法上线。
操作步骤
易错配置:配置了错误的管理VLAN,造成中间网络不通导致AP无法上线。
缺省情况下,AP管理报文不带tag标签,由AP直连的接入交换机给AP管理报文打VLAN tag标签。执行management-vlan vlan-id命令配置管理VLAN后,AP向AC发送的管理和控制报文中带有Management-VLAN的标签,用户可以根据AP与AC间的组网,灵活选择是否配置AP的管理VLAN。该配置重启AP后生效。
- 检查是否配置了管理VLAN且日志记录是否存在AP重启原因“Reboot for AP management VLAN change”。
WLAN/3/AP_NORMAL_TO_FAULT(l)[5415014]:AP changed from normal to fault. (MAC=[d0.d0.4b.ac.f7.e0 (hex)], ApID=18, Sysname=XXX-2-AP-x, Reason=Reboot for AP management VLAN change)
- 检查中间接入交换机是否能够学习到AP MAC地址。
- 在接入交换机上创建对应的VLAN并在指定接口放通该VLAN后,交换机可以查询学习到的AP MAC地址。
处理建议:
- 在AC以及中间接入交换机上创建修改后的管理VLAN,放通中间网络,让AP使用新的管理VLAN能够和AC正常通信。
- 在接入交换机上配置VLAN mapping,将错误配置的管理VLAN替换成正确的VLAN。
- 删除AC上配置的管理VLAN。
- 在交换机上创建VLAN,并在接口上配置VLAN mapping。
# interface GigabitEthernet0/0/1 //如果需要对多端口配置,可以执行interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/20 qinq vlan-translation enable port vlan-mapping vlan 400 map-vlan 1100
用户三层漫游后网络不通
故障现象
用户三层漫游后网络不通。
操作步骤
- 检查是否由于未在AC上创建对应的VLAN导致。
易错配置:VLAN未创建或创建了但未放通,导致用户三层漫游后网络不通。
处理建议:在AC以及中间网络交换机上创建并放通相关VLAN。
<AC> system-view [AC] vlan batch 101 //创建VLAN [AC] interface gigabitethernet 0/0/1 [AC-GigabitEthernet0/0/1] port link-type trunk [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 101 //放通VLAN [AC-GigabitEthernet0/0/1] quit
DHCP方式下,AP下所有终端都无法自动获取IP地址
故障现象
DHCP方式下,AP下所有终端都无法自动获取IP地址。
操作步骤
- 检查是否配置了undo dhcp trust port。
易错配置:AP有线口模板下误配置了undo dhcp trust port,导致终端获取不到IP地址。
[AC-wlan-view] wired-port-profile name p1 [AC-wlan-wired-port-p1] undo dhcp trust port //直接转发模式下关闭DHCP信任功能会导致终端获取不到IP地址
处理建议:开启dhcp trust port。
- 检查中间网络中相关VLAN是否创建并放通。
- 直接转发
- AP到AC(包括AC)中间网络设备是否创建业务VLAN。
- AP到AC(包括AC)中间网络是否放通相关VLAN。
- 隧道转发
确认AC是否创建并放通业务VLAN。
易错配置:VLAN未创建或创建了但未放通,导致中间网络不通。
处理建议:创建并放通相关VLAN。
- 直接转发
继续阅读VLAN相关信息
- VLAN的基本知识请参见:VLAN
- VLAN的部署建议请参见:VLAN部署建议
- AP有线口的VLAN配置请参见:配置AP有线口模式和VLAN
- WLAN数据转发方式请参见:什么是WLAN数据转发方式
