iKuai爱快流控路由

标题: 爱快的AP分组的SSID VLAN不支持多VLAN？ [打印本页]

作者: gd小兵 时间: 2023-7-13 21:24
标题: 爱快的AP分组的SSID VLAN不支持多VLAN？
爱快的AP分组的SSID VLAN为什么不支持多VLAN？一个SSID像华为的AP可以设置多VLAN，爱快怎么样才可以实现？目前AP分的是24位的，不想改子网网段。

作者: xibanya 时间: 2023-7-14 08:51
可以在交换机接定义vlan的加入方式并应用到AP所在接口，比如mac vlan 策略vlan ip-sub-vlan 或者以上混用

如使用ip-sub-vlan，需要额外定义dhcp policy-van放行dhcp报文

作者: gd小兵 时间: 2023-7-14 09:56

xibanya 发表于 2023-7-14 08:51可以在交换机接定义vlan的加入方式并应用到AP所在接口，比如mac vlan 策略vlan ip-sub-vlan 或者以上混 ...

目前只能这种方式了，ssid只分了一个vlan，如果改子网的话，在用的网段又没有连续的网段，否则只能改网段了。

作者: gd小兵 时间: 2023-7-18 11:41

xibanya 发表于 2023-7-14 08:51可以在交换机接定义vlan的加入方式并应用到AP所在接口，比如mac vlan 策略vlan ip-sub-vlan 或者以上混 ...

AP所在的接口有点多啊。。。100多个AP。还分散不同的交换机，有点难搞啊。。

作者: xibanya 时间: 2023-7-18 11:52
本帖最后由 xibanya 于 2023-7-18 11:56 编辑

gd小兵发表于 2023-7-18 11:41AP所在的接口有点多啊。。。100多个AP。还分散不同的交换机，有点难搞啊。。 ...

AP厂家且批次统一的话，mac地址oui部分起码是相同或者相似的。。。

例如mac vlan

vlan 10
mac-vlan mac-address AAAA-BB00-0000 ffff-ff00-0000 匹配Oui部分为AAAA-BB的所有mac

作者: xibanya 时间: 2023-7-18 11:54
先把ap的定义出来。。。。再把mac固定的内部设备定义出来。。。。手机或者外部的就丢缺省吧。。。

作者: gd小兵 时间: 2023-7-18 21:27

xibanya 发表于 2023-7-18 11:54先把ap的定义出来。。。。再把mac固定的内部设备定义出来。。。。手机或者外部的就丢缺省吧。。。 ...

这样搞，后期维护量挺大的，希望爱快把ssid的多vlan功能做出来。:handshake

作者: xibanya 时间: 2023-7-19 14:12
本帖最后由 xibanya 于 2023-7-19 14:13 编辑

支持了不也一样麻烦？在没有任何机制的情况下，AP它怎么可能自动判定把终端报文丢不同vlan？

嫌麻烦的话，加台radius服务器，交换机一侧开802.1x认证根据认证的账户信息决定分配到哪个vlan

作者: gd小兵 时间: 2023-7-20 08:38

xibanya 发表于 2023-7-19 14:12支持了不也一样麻烦？在没有任何机制的情况下，AP它怎么可能自动判定把终端报文丢不同vlan？

嫌麻烦的话， ...

支持了的话，我直接在ssid上面，添加多个VLAN就可以了啊，H3C和Huawei的AP是可以加多vlan的，里面的逻辑判断那就不太清楚了。:handshake

作者: gd小兵 时间: 2023-7-20 09:26

xibanya 发表于 2023-7-19 14:12支持了不也一样麻烦？在没有任何机制的情况下，AP它怎么可能自动判定把终端报文丢不同vlan？

嫌麻烦的话， ...

有什么radius推荐？freeradius？Microsoft NPS?

作者: xibanya 时间: 2023-7-20 09:43

gd小兵发表于 2023-7-20 09:26有什么radius推荐？freeradius？Microsoft NPS?

华为agile Controller-Campus

作者: gd小兵 时间: 2023-7-20 16:03

xibanya 发表于 2023-7-20 09:43华为agile Controller-Campus

这软件收费的不？西班牙哥:D

作者: xibanya 时间: 2023-7-20 16:17

gd小兵发表于 2023-7-20 16:03这软件收费的不？西班牙哥

您认为呢？就像之前很多人问，爱快v6多线为什么收费一样啊。

作者: gd小兵 时间: 2023-7-20 16:25

xibanya 发表于 2023-7-19 14:12支持了不也一样麻烦？在没有任何机制的情况下，AP它怎么可能自动判定把终端报文丢不同vlan？

嫌麻烦的话， ...

类似于华为的VLAN pool,把vlan加入到vlan pool就可以了,@爱快产品可以考虑一下。

作者: gd小兵 时间: 2023-7-20 16:28
@yuki 请产品人员评估一下

作者: gd小兵 时间: 2023-7-20 16:29
vap profile，华为华三思科都是这种方案

作者: xibanya 时间: 2023-7-20 16:33

gd小兵发表于 2023-7-20 16:25类似于华为的VLAN pool,把vlan加入到vlan pool就可以了,@爱快产品可以考虑一下。 ...

vlan pool就是需要radius参与。认证成功后，设备依据特定算法比如hash从vlan pool里面选一个分配给接入用户

作者: xibanya 时间: 2023-7-20 16:36

gd小兵发表于 2023-7-20 16:29vap profile，华为华三思科都是这种方案

哦哦你用的本地ac认证也行。。

作者: gd小兵 时间: 2023-7-20 16:41

xibanya 发表于 2023-7-20 16:36哦哦你用的本地ac认证也行。。

所以希望爱快也能支持。。。免费版不支持，企业版也希望关怀一下

作者: xibanya 时间: 2023-7-20 16:44

gd小兵发表于 2023-7-20 16:29vap profile，华为华三思科都是这种方案

看了下产品手册。本地ac还真是可以~。~:lol wlan这块我不是很熟。我一直以为要ag上实现

作者: gd小兵 时间: 2023-7-20 16:46

xibanya 发表于 2023-7-20 16:44看了下产品手册。本地ac还真是可以~。~ wlan这块我不是很熟。我一直以为要ag上实现

...

:handshake 牛逼

作者: xibanya 时间: 2023-7-20 16:47

gd小兵发表于 2023-7-20 16:41所以希望爱快也能支持。。。免费版不支持，企业版也希望关怀一下

看你运气吧。。。

我提了个支持下等价路由的需求，都压根没人搭理。你这个开发起来难度估计要更高

作者: gd小兵 时间: 2023-7-20 16:49

xibanya 发表于 2023-7-20 16:47看你运气吧。。。

我提了个支持下等价路由的需求，都压根没人搭理。你这个开发起来难度估计要更高 ...

我看产品建议的贴子，压根官方产品人员，没有回复多小的。我是企业版用户来的，最近还采购了两台设备，单台还8W

作者: xibanya 时间: 2023-7-20 16:50
本帖最后由 xibanya 于 2023-7-20 16:51 编辑

gd小兵发表于 2023-7-20 16:49我看产品建议的贴子，压根官方产品人员，没有回复多小的。我是企业版用户来的，最近还采购了两台设备，单 ...

我只能说你真实勇敢，后面省略

作者: gd小兵 时间: 2023-7-20 16:51

xibanya 发表于 2023-7-20 16:50我只能说那你真实勇敢，祝君好运~

实在没办法，那只能改子网，换网段了。

作者: xibanya 时间: 2023-7-20 17:01

gd小兵发表于 2023-7-20 16:51实在没办法，那只能改子网，换网段了。

你只是想要，同一个ssid的用户，随机分配到某个vlan网段吗？

作者: gd小兵 时间: 2023-7-20 17:05

xibanya 发表于 2023-7-20 17:01你只是想要，同一个ssid的用户，随机分配到某个vlan网段吗？

ssid的vlan地址不够用了，想要扩大vlan池

作者: xibanya 时间: 2023-7-20 17:09

gd小兵发表于 2023-7-20 17:05ssid的vlan地址不够用了，想要扩大vlan池

我倒有个办法。还是mac vlan 用模糊匹配我想想怎么描述。。。

作者: xibanya 时间: 2023-7-20 19:09
本帖最后由 xibanya 于 2023-7-20 19:37 编辑

HW设备不同vlan协议应用到接口，缺省优先级排列为

策略vlan > mac-vlan > ip子网vlan > 协议vlan > 接口vlan  (H3C好像没有策略vlan？）

其中，可以在接口下通过命令将ip子网vlan配置优先于mac-vlan
你把能快速模糊定义出来的单播MAC地址定义出来，然后匹配到对应的mac-vlan

标准规定：mac地址高位8比特，最后一个填充1为组播mac，填充0为单播mac

例如 00000000  = 00：单播
00000010  = 02：单播
      00000100 = 04 单播

以此类推，所有单播mac地址前2个字节为 X2 X4 X6 X8 Xa Xc Xe

x=0-F 且x=0时，其他位不能填充全0

x非0模糊匹配的所有单播mac及掩码：

1000-0000-0000 ff00-0000-0000
1200-0000-0000 ff00-0000-0000
1400-0000-0000 ff00-0000-0000
以此类推最后一个模糊匹配的：fe00-0000-0000  ff00-0000-0000
x=0时，匹配麻烦点。。。。要避开0000-0000-0000 要写比较多...建议00打头的直接忽略不写匹配规则，不匹配的自动丢到缺省
      00打头的不写
      0200-0000-0000 ff00-0000-0000
      0400-0000-0000 ff00-0000-0000
         0600-0000-0000 ff00-0000-0000
         0800-0000-0000 ff00-0000-0000
         0a00-0000-0000 ff00-0000-0000
         0c00-0000-0000 ff00-0000-0000
         0e00-0000-0000 ff00-0000-0000

主要配置：

例如vlan10 匹配所有x=1的单播mac，vlan20匹配所有x=2，3的单播mac

vlan 10
mac-vlan mac-address 1200-0000-0000 ff00-0000-0000
mac-vlan mac-address 1400-0000-0000 ff00-0000-0000
mac-vlan mac-address 1600-0000-0000 ff00-0000-0000
   mac-vlan mac-address 1800-0000-0000 ff00-0000-0000
mac-vlan mac-address 1a00-0000-0000 ff00-0000-0000
mac-vlan mac-address 1c00-0000-0000 ff00-0000-0000
mac-vlan mac-address 1e00-0000-0000 ff00-0000-0000
vlan 20
   mac-vlan mac-address 2200-0000-0000 ff00-0000-0000
mac-vlan mac-address 2400-0000-0000 ff00-0000-0000
mac-vlan mac-address 2600-0000-0000 ff00-0000-0000
   mac-vlan mac-address 2800-0000-0000 ff00-0000-0000
mac-vlan mac-address 2a00-0000-0000 ff00-0000-0000
mac-vlan mac-address 2c00-0000-0000 ff00-0000-0000
mac-vlan mac-address 2e00-0000-0000 ff00-0000-0000
  mac-vlan mac-address 3200-0000-0000 ff00-0000-0000
mac-vlan mac-address 3400-0000-0000 ff00-0000-0000
mac-vlan mac-address 3600-0000-0000 ff00-0000-0000
   mac-vlan mac-address 3800-0000-0000 ff00-0000-0000
mac-vlan mac-address 3a00-0000-0000 ff00-0000-0000
mac-vlan mac-address 3c00-0000-0000 ff00-0000-0000
mac-vlan mac-address 3e00-0000-0000 ff00-0000-0000

AP自身放到 vlan 100，假设vlan 100对应的网段为192.168.100.0/24

备注：AP的mac必须要事先收集，例如AP1，AP2的mac分别为 4c1f-ccf3-7331  4c1f-ccf3-7341

dhcp enable  #接入层也得使能dhcp

vlan 100
  ip-subnet-vlan 1 ip 192.168.100.0 255.255.255.0
  dhcp policy-vlan mac-address 4c1f-ccf3-7331
  dhcp policy-vlan mac-address 4c1f-ccf3-7341
定义ip子网vlan，开启dhcp策略vlan，终端未得到IP时，匹配dhcp发现报文携带的源mac地址送到vlan 100

进入到与AP连接的接口（不要配置到交换机上联口去了）

  interface  g0/0/1
      port link-type hybrid
port hybrid pvid vlan 200 #接口缺省vlan为200
      port hybird untagged vlan 10 20 100 200
mac-vlan en 启用mac vlan
ip-subnet-vlan en  启用ip子网vlan
vlan precedence ip-subnet-vlan #调整ip子网vlan的优先级高于mac-vlan，即AP上线匹配这个规则，获取vlan 200的ip地址
未匹配ip子网vlan规则的，再匹配mac-vlan规则，除了00打头的mac都能匹配上

00打头匹配不到前两种vlan划分方式，只能对应上接口vlan，送到缺省vlan 200

作者: gd小兵 时间: 2023-7-20 20:44

xibanya 发表于 2023-7-20 19:09HW设备不同vlan协议应用到接口，缺省优先级排列为

策略vlan > mac-vlan > ip子网vlan > 协议vlan > 接口vl ...

慢慢消化一下，谢谢！！:handshake

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)