iKuai爱快流控路由

标题: 三层环境中，部署爱快路由与爱快AP [打印本页]

作者: 9622315 时间: 2016-1-10 14:05
标题: 三层环境中，部署爱快路由与爱快AP
本帖最后由 9622315 于 2016-5-13 00:17 编辑

最近有坛友反映爱快AP与华为交换机不兼容，特别是三层环境中会出问题，
为了给客户做方案，自筹资金，购置了1台华为S3528G做了三层环境部署，
实际测试了下，感觉并没有论坛中反映的这些问题，三层交换试验很成功。

实现如下功能
1 爱快路由做DHCP服务器，为客户机分配IP地址
2 AP打开VLAN功能，实现双SSID VLAN隔离
3 内网VLAN间交换数据，由三层交换机完成，不通过爱快路由转发
======================================================
网络拓扑
爱快路由WAN接光猫LAN1接口
爱快路由LAN接3层交换机P24接口
爱快AP接3层交换机P23接口
局域网傻瓜交换机（或电脑）接三层交换机P1~P22任意接口
======================================================
爱快路由配置如下
WAN 依实际情况配置
LAN IP 192.168.1.254/24
VLAN10 192.168.10.254/24
VLAN20 192.168.20.254/24
DHCP服务
LAN 地址池192.168.1.1~192.168.1.200，子网掩码255.255.255.0，网关192.168.1.251
VLAN10 地址池192.168.10.1~192.168.10.200，子网掩码255.255.255.0，网关192.168.10.251
VLAN20 地址池192.168.20.1~192.168.20.200，子网掩码255.255.255.0，网关192.168.20.251
======================================================
爱快AP S1配置如下
SSID1 iKuai01
开启 VLAN
VLAN ID 10
SSID2 ikuai02
开启 VLAN
VLAN ID 20
======================================================
华为S3528G三层交换机配置如下
VLAN1 包含接口P1~P24
VLAN10 包含接口P23~P24
VLAN20 包含接口P23~P24
P1~P22为Access接口
P23~P24为Trunk接口，PVID 1，允许通过VLAN1、VLAN10、VLAN20
VLAN1 IP 192.168.1.251/24
VLAN10 IP 192.168.10.251/24
VLAN20 IP 192.168.20.251/24
默认路由 0.0.0.0 0.0.0.0 192.168.1.254
======================================================
实际测试
1 平板电脑，手机，笔记本，均可顺利连接2个无线SSID，并获取到对应VLAN的IP
2 不同VLAN之间的平板、手机、电脑相互ping，此时断开连接路由器LAN与三层交换机P24口的跳线，仍然可ping通，可见VLAN间数据交换木有通过爱快转发，而是由三层交换机来完成的。
3 爱快的内网监控中，可以看到每台终端的详细信息，并且可以对每台终端进行流量管控。

注：具体爱快配置截屏，三层交换机配置脚本，暂略。

很多人都没有看出来这个方法与常规的方法（在路由器上将每一个VLAN子网的静态路由下一跳指向交换机）有哪些不同。
首先，明确，VLAN间交换，走的是3层转发，并且不经过路由器转发，是由3层交换机完成的。
其次，由于使用路由器做DHCP Server，所以，路由器就很容易拿到客户机的MAC，这是与常规方法的第一点不同；
再次，客户机到路由器的路由与路由器的回指路由（路由器到客户机）是不同的，这是与常规方法的第二点不同；
具体来说，就是因为客户机的默认网关指向的是交换机，所以客户机到路由器的数据包，是通过交换机做的3层转发，
而路由器回传数据包到客户机时，由于路由器有与客户机所在VLAN对应的VLAN子接口，且IP与客户机同段，所以数据包，
直接发送给客户机，这时交换机所做的是2层转发，也就是回指路由，直连客户机，交换机只做2层转发，不走3层交换。
最后，由于上一点，故路由器到每一个VLAN子网的路由是直连路由，不用在路由器中手工做任何做静态路由设置，这是第三点不同。

基于以上3点，只要稍加修改Protal协议，就可以解决跨3层认证的问题，并且是最廉价的解决方案。

感觉能看懂的人寥寥无几，曲高和寡，高处不胜寒啊！！！

作者: cdwangyu 时间: 2016-1-10 14:47
其实在我看来也不应该有问题，不过有坛友反馈的是核心下接接入交换，但是接入交换为H3C或华为的LI系交换，出现了SSID和VLAN关联不上的问题。由于手头上没有爱快的AP测试不了。但是测试过H3C、华为、信锐、锐捷等的AC加AP没有这个问题。另外按你这样的测试反应，理论上如果爱快只做AC+AP的管理，也应该可以旁路部署才对。

作者: nullren 时间: 2016-1-10 20:36
本帖最后由 nullren 于 2016-1-10 20:44 编辑

楼主，我的情况正如二楼所说，是：
接入交换为H3C或华为的LI系交换机时，手机或笔记本，无法获得AP的SSID/VLAN对应的IP地址（DHCP来自爱快）。

与三层无关，就算不接三层核心，只接入二层LI型交换机，只要是LI型交换机，如华为 S1700-XXX-LI ,华为 S5700-XXX-LI H3C SXXX-XXX-LI 都不行。只要换成SI型或EI型，同样的设置（也当二层交换机用，或者如换成二层的S2700-28P-SI），立马就好了。

作者: 9622315 时间: 2016-1-10 21:31

nullren 发表于 2016-1-10 20:36
楼主，我的情况正如二楼所说，是：
接入交换为H3C或华为的LI系交换机时，手机或笔记本，无法获得AP的SSID/V ...

难道我选S3528G这样老的机型，配置还不算低么？我这里还有一台更老的S3526E，稍后换上看看，如果要我自己花钱去买S5700-LI，那铁定不现实，我认为也没这个必要。

作者: nullren 时间: 2016-1-10 21:40

9622315 发表于 2016-1-10 21:31
难道我选S3528G这样老的机型，配置还不算低么？我这里还有一台更老的S3526E，稍后换上看看，如果要我自己 ...

嗯，LI的机型，是被腌割过的机型，S5700-52-LI 看着是三层，其实二层（二层不如）。
S3528G好歹是一个真三层交换机。
--
楼主，那个问题，我看就先扔一边吧，等一下个用户碰到了，反馈了，再说吧。我反正是怕了，我现在含无线覆盖的项目中，汇聚宁愿用百兆的S2700-SI, 也不愿用全千兆的S5700-LI

作者: nullren 时间: 2016-1-10 21:56
本帖最后由 nullren 于 2016-1-10 22:04 编辑

9622315 发表于 2016-1-10 21:31
难道我选S3528G这样老的机型，配置还不算低么？我这里还有一台更老的S3526E，稍后换上看看，如果要我自己 ...

我现在正在做一个小项目，用的是爱快的G30，核心是华为S5700-24TP-SI-AC，汇聚都是用的S2700-26TP-SI (6台)，AC用的是TPLINK-AC100,AP用了几十个 TP-AP300I ,
有线，无线，内网、外网、财政网、电子政务内外网、医疗平台什么的，业务都混合在一起。
AP开多VLAN-SSID，有对内的，对外的，对移动医疗设备的，
目前调试中，一切正常。
--
对公众的SSID由爱快DHCP分发，由爱快来WEB认证或推送广告、通知。对办公人员的SSID也由爱快来分发。
对内部医疗设备的SSID，由三层来分发IP
--
唯一不足的就是，爱快G30目前只有2.5.8版，还没有2.5.9普通版上的一个VLAN上开多个DHCP段的功能。
不过也没有关系。用别的办法解决了。

===========
但我上次的那个学校的项目，其实网络配置与结构都差不多的，
但是就是搞不好：
一个学校，两个校区，连在一起，一个核心校换机，用的是S5700-52-SI
在新校区里，汇聚用的是S5700-LI型交换机，死活搞不好。（而老校区用的是S3352-SI的汇聚，一点问题没有。）
--
最终没搞成，放弃了。

作者: 9622315 时间: 2016-1-10 22:11

nullren 发表于 2016-1-10 20:36
楼主，我的情况正如二楼所说，是：
接入交换为H3C或华为的LI系交换机时，手机或笔记本，无法获得AP的SSID/V ...

已经更换了更老，且硬件配置更低的机型（S3526E），测试通过，如果非要我测试S5700-LI系列的机型，我也是无能为力了，我认为应该是配置问题，而不是机器硬件问题，或者你尝试升级固件看看。

作者: nullren 时间: 2016-1-10 22:21

9622315 发表于 2016-1-10 22:11
已经更换了更老，且硬件配置更低的机型（S3526E），测试通过，如果非要我测试S5700-LI系列的机型，我也是 ...

感谢你有心，还记得我那次那么一回事。。。
那个我已经放弃了，也许过段时间再去搞一下。要过春节之后了。。。配置问题的话，我可以配好老校区，却不能配好新校区（新老校区共用同一个机房，共用同一个核心交换机的。。共用同一个AC的），不科学，是不是。

作者: zhouchuan 时间: 2016-1-10 22:23
路过，太专业看不懂

作者: jxsmkj2356 时间: 2016-1-10 23:23
学习中谢谢分享

作者: drjones 时间: 2016-1-11 10:41
我们公司想布属一个网络，现在的网络环境打算是这样改造，爱快>华为9系列三层>一堆二层>然后接爱快的ap，我想问下
1、DHCP一定要用爱快来分配吗？还是用华为9系列也可以
2、爱快的AP接二层一定要接trunk口吗?

作者: tpjj 时间: 2016-1-11 11:10

drjones 发表于 2016-1-11 10:41
我们公司想布属一个网络，现在的网络环境打算是这样改造，爱快>华为9系列三层>一堆二层>然后接爱快的ap，我 ...

三层交换机可以DHCP

作者: drjones 时间: 2016-1-11 11:15

tpjj 发表于 2016-1-11 11:10
三层交换机可以DHCP

那爱快ap这端一定要接trunk吗？

作者: 爱快技术支持06 时间: 2016-1-11 11:24

drjones 发表于 2016-1-11 10:41
我们公司想布属一个网络，现在的网络环境打算是这样改造，爱快>华为9系列三层>一堆二层>然后接爱快的ap，我 ...

你是打算做三层是吗？如果这样的话，可以使用三层来做DHCP，但是这样的话，爱快里面就无法管理爱快的AP的
如果你的三层设置成2层的话，那就直接爱快做DHCP，给AP和下面的PC分配地址

至于你说的runk口，你是打算实现不同ssid不同的VLAN吗？
如果是的话，那就看你下面的二层是否支持VLAN了，
如果支持，就需要设置；如果不支持，就不用做操作
http://bbs.ikuai8.com/thread-33441-1-1.html
可以看下这个教程说明

作者: gjf202419 时间: 2016-1-11 11:27
往钱看

作者: 9622315 时间: 2016-1-11 13:20

drjones 发表于 2016-1-11 10:41
我们公司想布属一个网络，现在的网络环境打算是这样改造，爱快>华为9系列三层>一堆二层>然后接爱快的ap，我 ...

1 必须用爱快做DHCP服务，否则无法管理AP
2 如果AP开启多SSID且VLAN隔离的话，必须接交换机Trunk接口
按照我的帖子上说的做，就OK了，官方没有3层环境中部署AP的教程。

作者: yxzwq 时间: 2016-1-11 13:26
看不懂的建议先看CCNA 搞清楚原理再说。另外，可以在模拟环境下自己琢磨。

作者: ietuufcu 时间: 2016-1-11 13:56

作者: 4903000 时间: 2016-1-13 21:57
gogogogogogo

作者: chr0529 时间: 2016-2-17 00:04
如果P1-P22要接交换机，它们的端口类型还是access吗？

作者: 3276134 时间: 2016-2-17 06:12

学习中谢谢分享

作者: iSkyun 时间: 2016-2-18 18:58
都看懂了，不过我不是学网络的，只是大学那会暑期社会实践接触过。

作者: fems 时间: 2016-2-19 12:55
看懂了，标记下，话说爱快AP是不是跟TP的一样用了私有的DHCP协议？

作者: 极速网络科技 时间: 2016-2-19 13:06
...

作者: ietuufcu 时间: 2016-2-19 16:35

作者: fems 时间: 2016-2-21 00:27
本帖最后由 fems 于 2016-2-21 00:52 编辑

九哥，我这有个ikuai网络，下面接了个TP-LINK的AC-100也开启了DHCP，AC的log里面能看到TP-LINK AP的IP是通过AC-100来分配的，但这个AC-100的DHCP只有TP的AP会收到，其他设备还是只收到ikuai的DHCP，同一个LAN下也没干扰。所以我以为TP用了私有的DHCP协议。

作者: 丕子阿杰 时间: 2016-2-22 12:59
IK实际应用中没用过三层，支持楼主共享精神。

作者: ok钟 时间: 2016-2-23 00:45
非常感谢9哥。
刚好有这个困惑的时候看到这个帖子，收获非常多，

作者: 9622315 时间: 2016-2-24 22:23

ok钟发表于 2016-2-23 00:45
非常感谢9哥。
刚好有这个困惑的时候看到这个帖子，收获非常多，

不用客气

作者: nullren 时间: 2016-2-24 22:54

fems 发表于 2016-2-21 00:27
九哥，我这有个ikuai网络，下面接了个TP-LINK的AC-100也开启了DHCP，AC的log里面能看到TP-LINK AP的IP是通 ...

你的以为，是对的。
这种AP只会从他认可的AC上获取IP地址.
而AC100的DHCP服务，则只认可TP的AP的请求。
所以是不干扰其它DHCP服务器提供服务的。

作者: nullren 时间: 2016-2-24 22:57
华为，H3C 它们的LI型交换机，真是不行的。
我现在做工程都用SI或EI的，宁肯用100兆的。

作者: peaceonline 时间: 2016-2-28 17:58
本帖最后由 peaceonline 于 2016-2-28 17:59 编辑

你好，我基本按照你的方案来配置，但测试无办法达到第三点效果
“3 内网VLAN间交换数据，由三层交换机完成，不通过爱快路由转发“
不同VLAN的主机在爱快路由获得IP地址后互Ping通，拔掉爱快与S3700互联网线后随即time out

关于配置细节请教：
爱快路由：
1、爱快上VLAN设置中vlan 10的IP：10.10.1.1/24，vlan 20的IP：10.10.2.1/24
2、爱快DHCP设置中的网关分别是，10.10.1.1/24 10.10.2.1/24

华为S3700:
1、建立vlan 10和20
问题来了，要达到内网vlan间数据转发靠SW来做的效果，是否需要inter vlan 10/20写ip address？
我写与不写，测试结果都是只要一断路由与SW的互联链路，互ping也随即time out了而且写，是写10.10.1.1 还是写 10.10.1.2？

作者: liuhuijie 时间: 2016-2-28 18:24
提示: 作者被禁止或删除内容自动屏蔽

作者: 紫剑 时间: 2016-2-28 20:46
呀回复可以拿金币啊，我也拿几个，
看了下 9哥的，按理这种设置都是正常的，不应该存在问题。
如果有人说这种部署存在问题，建议相关的交换机配置信息都发到论坛上，贴出来这样让大家一起找茬比较符合实际情况，而不能因为自己交换机配置错误，就说是爱快的问题那就冤枉了

作者: xycatv 时间: 2016-2-28 21:10
本帖最后由 xycatv 于 2016-2-28 21:20 编辑

peaceonline 发表于 2016-2-28 17:58
你好，我基本按照你的方案来配置，但测试无办法达到第三点效果
“3 内网VLAN间交换数据，由三层交换机完成 ...

亲，你要把电脑的网关设置为交换机上vlanif的地址啊，你仔细看楼主的dhcp配置，vlan10网关是192.168.10.251！而爱快上 vlan10地址为192.168.10.254！
你把dhcp里分配的网关设成爱快里面的vlan10的地址了，电脑vlan间通信显然还从爱快走的时候，网线一断，你电脑就连不上10.10.1.1了，还如何能vlan间通信

作者: tianyayouren 时间: 2016-2-29 14:02
很清晰，棒棒哒。

作者: yuckeyli 时间: 2016-2-29 14:15
网络基础好的，一看就懂了。

对吧9哥。
你的环境我还没试过。最近也想把原路由改成爱快。拓扑图跟你的差不多，只是我没用DHCP，使用的是固定IP。

作者: haling1988 时间: 2016-2-29 22:09
能公开下三层的配置吗和IK 的配置吗我的环境跟你的差不多

作者: sannus 时间: 2016-2-29 22:48
楼主这环境有启用IK的WEB认证测试过么，有没有问题？

作者: 9622315 时间: 2016-3-2 12:06

peaceonline 发表于 2016-2-28 17:58
你好，我基本按照你的方案来配置，但测试无办法达到第三点效果
“3 内网VLAN间交换数据，由三层交换机完成 ...

你确认你用的3层交换机吗？华为3层交换机，如果你不访问外网的话，都不用配置默认路由，各VLAN接口配好IP，各VLAN之间，就已经自动开启了静态路由，不同VLAN间的电脑，就可以ping通了，当然各VLAN中的电脑，要用交换机上相同VLAN接口的IP作为默认网关。

作者: 轻草飞扬 时间: 2016-3-2 14:51
学习。最近也想学习下建无线AP方面的

作者: tzbd 时间: 2016-3-2 16:52
看看，学习一下。高手啊。

作者: proamen 时间: 2016-3-5 23:21
楼主你这是三层交换机当二层交换机使用，并没有开启三层交换机的路由功能，并不算三层转发。

作者: linnan2004 时间: 2016-3-6 02:17
不晓得此问题是该华为修复，还是该爱快修复。

作者: linnan2004 时间: 2016-3-6 12:03

nullren 发表于 2016-2-24 22:54
你的以为，是对的。
这种AP只会从他认可的AC上获取IP地址.
而AC100的DHCP服务，则只认可TP的AP的请求。

那很多事情就好办了～～～

作者: 9622315 时间: 2016-3-9 14:16

proamen 发表于 2016-3-5 23:21
楼主你这是三层交换机当二层交换机使用，并没有开启三层交换机的路由功能，并不算三层转发。 ...

不是3层，你怎么解释，我断开爱快的LAN网线，VLAN之间还可以转发数据的？

作者: proamen 时间: 2016-3-9 23:00

9622315 发表于 2016-3-9 14:16
不是3层，你怎么解释，我断开爱快的LAN网线，VLAN之间还可以转发数据的？

不开启三层交换的DHCP，DHCP交由ikuai配置，这就是三层交换机当二层用，三层转发由ikuai负责，交换机只负责二层转发，

你开启三层交换机的DHCP看看AC还能管理到吗？

三层交换机其实就是二层+路由~~

作者: proamen 时间: 2016-3-9 23:03

9622315 发表于 2016-3-9 14:16
不是3层，你怎么解释，我断开爱快的LAN网线，VLAN之间还可以转发数据的？

二层交换机间设置静态路由也一样可以访问~~

作者: d123427308 时间: 2016-3-10 14:24
感觉能看懂的人寥寥无几，曲高和寡，高处不胜寒啊！！！
自我感觉真良好

作者: 9622315 时间: 2016-3-12 13:42

proamen 发表于 2016-3-9 23:03
二层交换机间设置静态路由也一样可以访问~~

晕死！2层哪来的静态路由，再说都能开启静态路由，还是2吗？你分得清ISO的OSI层次模型中，各层次间的关系吗？劝你先去补习网络原理吧。

作者: proamen 时间: 2016-3-16 22:43

9622315 发表于 2016-3-12 13:42
晕死！2层哪来的静态路由，再说都能开启静态路由，还是2吗？你分得清ISO的OSI层次模型中，各层次间的关系 ...

您的静态路由是在ikuai8里设置还是在交换机里设置？

作者: 9622315 时间: 2016-3-17 20:23

proamen 发表于 2016-3-16 22:43
您的静态路由是在ikuai8里设置还是在交换机里设置？

你再仔细看看我的帖子，当然是在交换机里配置，不过H3C默认不用配置，就已经开启了各个VLAN间的静态路由，我只要配置一条到爱快的默认路由即可。

作者: proamen 时间: 2016-3-18 22:48

9622315 发表于 2016-3-17 20:23
你再仔细看看我的帖子，当然是在交换机里配置，不过H3C默认不用配置，就已经开启了各个VLAN间的静态路由 ...

二层交换机无DHCP，三层交换机有DHCP……这个您懂~~，三层交换机不用DHCP，就只当二层交换用，这个您也懂~~

作者: cdwangyu 时间: 2016-3-18 23:15

proamen 发表于 2016-3-18 22:48
二层交换机无DHCP，三层交换机有DHCP……这个您懂~~，三层交换机不用DHCP，就只当二层交换用，这个您也懂 ...

我建议你仔细看看老9的配置，用一个DHCP就说别人的配置不是三层交换这个才误导人啊，在我经常接触的环境中很多客户都有自己的专用DHCP服务器，而不是通过核心交换机来做DHCP分配，按你这个说法是不是都不叫三层交换了呢？你自己看看老9做的DHCP分配指定的网关是交换上还是在路由上。

作者: huq1970 时间: 2016-3-18 23:40
路过看看！！很有启发！！！

作者: proamen 时间: 2016-3-18 23:55

cdwangyu 发表于 2016-3-18 23:15
我建议你仔细看看老9的配置，用一个DHCP就说别人的配置不是三层交换这个才误导人啊，在我经常接触的环境 ...

三层交换机可以通过SVI接口来进行vlan之间的通信，不通过三层设置（路由），SVI:交换机虚拟接口。
不是说不是三层交换机，而是说把三层交换机当二层交换机配置来使用，只使用到三层交换机的二层转发功能，没启用三层路由转发功能。

作者: 9622315 时间: 2016-3-19 09:07
本帖最后由 9622315 于 2016-3-21 11:28 编辑

proamen 发表于 2016-3-18 22:48
二层交换机无DHCP，三层交换机有DHCP……这个您懂~~，三层交换机不用DHCP，就只当二层交换用，这个您也懂 ...

当2层用，还是当3层用，跟交换机上是否启用DHCP服务有关系吗？

我在路由器上启动DHCP服务，然后客户机将网关指到交换机上，不可以吗？

作者: alfhb 时间: 2016-3-19 09:14
难得有这样的技术贴~~ 这个论坛就需要这样的技术论证，玩软路由就是要不怕折腾技术小白还是要多多虚心学习，有9哥这样的大拿带带路还是不错的

作者: cdwangyu 时间: 2016-3-19 23:59

proamen 发表于 2016-3-18 23:55
三层交换机可以通过SVI接口来进行vlan之间的通信，不通过三层设置（路由），SVI:交换机虚拟接口。
不是说 ...

我建议你找个三层交换机按老9的配置，配上去，然后在交换机里面抓包看下，VLAN间相互访问时走的是不是直连路由转发。另外三层交换机如果配置了VLAN虚接口，并且配置了IP的话，会自动生成直连路由。VLAN间通信采用直连路由转发。路由转发一般就三个方式，直接路由转发、静态路由转发（默认路由为静态路由的一种特殊方式）、动态路由转发。如果老9的配置下发的是爱快路由上的VLAN虚接口的地址做为VLAN内的网关，才是二层转发（单臂路由模式），但是老9配置里面下发的是三层交换机上的VLAN虚接口的地址为VLAN内网关，所以他做的确实是三层转发。其实你可以对比下纯二层带管理的交换，你看看这类交换机能配置几个VLAN虚接口就明白了（基本这类都只能配置一个虚接口，做管理用）。

作者: proamen 时间: 2016-3-20 22:35

9622315 发表于 2016-3-19 09:07
当2层用，还是当3层用，跟交换机上是否启用DHCP服务有关系吗？

我在路由器上启动DHCP服务，然后客户机 ...

这样就是当二层转发用呀，没用到三层转发。

作者: cdwangyu 时间: 2016-3-20 23:43

proamen 发表于 2016-3-20 22:35
这样就是当二层转发用呀，没用到三层转发。

我很想知道你说的这个二层转发到底是个什么概念，同一个交换机内部VLAN转发都是带标签转发，你如何让一个交换机内部不同的VLAN相互通信？？？如果是采用单臂路由模式，使不同VLAN可以相互通信，这个下发的网关应该是路由器的VLAN虚接口IP或子接口IP。如果是使用交换机建立的VLAN虚接口，且下发的网关是该虚接口的IP，那么必然是路由转发啊。难到OSI二层还有IP及路由这个概念???那OSI三层又成了什么呢？

作者: proamen 时间: 2016-3-21 01:31
闲来无事，把楼主的拓扑做出来，照做了，只是交换机换了5700 24 si，测试不成功，是不是哪里设置有问题了？

作者: 9622315 时间: 2016-3-21 11:26
本帖最后由 9622315 于 2016-3-21 11:29 编辑

proamen 发表于 2016-3-20 22:35
这样就是当二层转发用呀，没用到三层转发。

看来你根本没有领悟所谓“三层交换”的精髓，劝你先去补习一下IP网络原理，磨刀不误砍柴工，先把基础功课补上吧。

基础不牢固，不管往上盖多少层，都是空中楼阁。

作者: proamen 时间: 2016-3-21 20:45

9622315 发表于 2016-3-21 11:26
看来你根本没有领悟所谓“三层交换”的精髓，劝你先去补习一下IP网络原理，磨刀不误砍柴工，先把基础功课 ...

兄弟，拓扑图是照着您的描述做出来的，你看你的帖子，至于三层的东西，我补充学习下；
然后呢，年轻人说话不要那么冲，学习这东西是相互指教，不懂呢可以教可以说，但别老子天下第一的口气说话，知道不？？？

作者: 9622315 时间: 2016-3-21 21:12
本帖最后由 9622315 于 2016-3-21 21:17 编辑

proamen 发表于 2016-3-21 20:45
兄弟，拓扑图是照着您的描述做出来的，你看你的帖子，至于三层的东西，我补充学习下；
然后呢，年轻人说 ...

应该是你再仔细看看帖子，我给你指出来的问题，都是我再三核对过的，我说你错了，就是错了，别跟我抬杠。自己检查错误去。

另外不要跟我一口一个年轻人，我可以说，论坛上比我年长的肯定有，但绝对是少数，甚至是极少数，搞网络这么多年，大风大浪见多了，说你错了，你就错了，毫不客气的说，从这几天你的回帖就可以看出来，我们之间貌似还没有相互切磋的基础，你的水平差太远了，慢慢补习功课吧。

作者: proamen 时间: 2016-3-21 21:15

9622315 发表于 2016-3-21 21:12
应该是你再仔细看看帖子，我给你指出来的问题，都是我再三核对过的，我说你错了，就是错了，别跟我抬杠 ...

是是是，那也请你去看下你的文档，看您错了没大人。

作者: 9622315 时间: 2016-3-21 21:20

proamen 发表于 2016-3-21 21:15
是是是，那也请你去看下你的文档，看您错了没大人。

另外不要跟我一口一个年轻人，我可以说，论坛上比我年长的肯定有，但绝对是少数，甚至是极少数，搞网络这么多年，大风大浪见多了，说你错了，你就错了，毫不客气的说，从这几天你的回帖就可以看出来，我们之间貌似还没有相互切磋的基础，你的水平差太远了，慢慢补习功课吧。

我是在2款H3C的交换机上，都调试通过了，才发帖的，在这个论坛里，我发帖很严谨，尤其是技术贴，可以说是滴水不漏，每次发帖，都是再三审查后，才发帖的，连错别字，都修正过来，虽然不能保证绝对为0，但我可以说，我发的贴子是，论坛里错别字最少的。

作者: proamen 时间: 2016-3-21 21:24

9622315 发表于 2016-3-21 21:20
另外不要跟我一口一个年轻人，我可以说，论坛上比我年长的肯定有，但绝对是少数，甚至是极少数，搞网络这 ...

呵呵，有性格~

作者: proamen 时间: 2016-3-21 22:53

proamen 发表于 2016-3-21 21:24
呵呵，有性格~

忙完这两天我再用77做个实验，到时候和大家交流一下，手头上现在没有77，正想叫厂家拿个过来测试。

作者: 9622315 时间: 2016-3-21 23:28

proamen 发表于 2016-3-21 21:24
呵呵，有性格~

不好意思，不管啥原因，毕竟是我这里出错了，这一点我向你道歉，错误已经修正过来的，其他方面，我又核对了一遍，应该是没有错误了。

作者: xiaofan1 时间: 2016-3-22 14:43
楼主您好，我个人觉得您的这个配置方式更像是单臂路由，也就是说实际上您的这个配置方式用二层交换机就可以配置的好的，在5ihome的论坛中，YG777实际上有一个具体的配置流程您可以看看。我家里用的是两个交换机一个SG300-28（三层）接一个AP；另外一个SG200-8（二层）再接AP。我希望直接在交换机里面使用三层路由的方式实现。相对简单点说就是DHCP在交换机，路由在交换机中作吗，交换机划分vlan10和vlan20+系统默认的vlan1，实现AP的ssid用到不同的vlan。爱快里面关闭了dhcp，但是要添加三条静态路由之后就可以实现您一样的目的。
里面您可能要关注一下，您的几个问题，像思科的交换机不同vlan之间设置完成之后默认是可以相互访问的。如果想要隔离不同vlan之间的通信反而是要自己写acl表，才能到达隔绝的目的。所以我想是不是实际上您的这种设置方式实际上是单臂路由的方式，只是在交换机中默认启动了一个路由功能，所以才会出现您可以ping通的情况。您可以尝试下将交换机变成二层模式，实际上您的这个配置应该也是能够可以的。

作者: xiaofan1 时间: 2016-3-22 14:45

proamen 发表于 2016-3-21 01:31
闲来无事，把楼主的拓扑做出来，照做了，只是交换机换了5700 24 si，测试不成功，是不是哪里设置有问题了？ ...

如果您是路由设置在交换机的话，在爱快里面还要写三条回程路由才行

作者: xiaofan1 时间: 2016-3-22 15:18

爱快技术支持06 发表于 2016-1-11 11:24
你是打算做三层是吗？如果这样的话，可以使用三层来做DHCP，但是这样的话，爱快里面就无法管理爱快的AP的 ...

我直接在交换机上做的vlan和dhcp，网关由交换机设置。似乎也可以管理AP？我对ap的管理的定义不是很了解，如果是说可以再爱快--AC控制器里面设置的话倒是可以的

作者: ynkmok 时间: 2016-3-22 19:19
你是没有真正应用到商业环境中：
1、你用三层核心来做DHCP分配试试，
2、你开认证试试
3、还是认证试试，认证不了的，这就是主要问题，不能穿透三层做认证的。

作者: liuhuijie 时间: 2016-3-22 20:31
提示: 作者被禁止或删除内容自动屏蔽

作者: cimo 时间: 2016-3-23 20:41
虽然说9哥这个办法很好但是这样一样这些都是二层交换机干的事情了

作者: 9622315 时间: 2016-3-23 22:59
本帖最后由 9622315 于 2016-3-23 23:17 编辑

ynkmok 发表于 2016-3-22 19:19
你是没有真正应用到商业环境中：
1、你用三层核心来做DHCP分配试试，
2、你开认证试试

我的应用环境中，不需要做认证。

你非要在3层环境中，用爱快基于MAC的技术做protal认证，有意义吗？

我们讨论的前提就是，采用爱快设备，并且是3层交换环境，这已经很明确了，
是不支持protal认证的，起码不支持爱快的protal认证技术，既然如此，为何还要……

如果需要在3层环境中，启用protal认证技术，那么就不要采用爱快的路由器，
或者更换为，更NB的交换机，我阐述的是廉价解决方案，搞不你你高大上的需求。

还有就是，我的3层交换机，是廉价机型，不支持DHCP，即便支持我也不打算用交换机做DHCP。
在路由上做DHCP Server管理起来，总比在交换上做，要方便多了吧？

我的做法，最大的优点，就是路由器可以直接与客户机通信，因为在路由器上有与客户机对应VLAN相同网段的IP，
并且由于路由器做DHCP，路由器可以获取到客户机的MAC，这样只要稍加修改Protal协议，就可以解决跨3层认证的问题。

我这样做你没看出来吗，客户机到路由器的数据包是通过交换机3层转发的，而路由器到客户机的回指路由，是直连转发，
并没有通过交换机3层处理，也就是交换机转发路由器的回指路由是2层转发的，说的再明白一些，就是客户机到路由器，
与路由器到同一台客户机，所走的逻辑路径是不同的，这就是与常规方法最大的不同。

作者: cimo 时间: 2016-3-24 00:11
不能引用点评我只能再来回复一下  这个方式确实解决了VLAN间路由的问题但事实上这种只能算伪三层应用爱快跟终端之间仍然是通过二层来访问
这个方法确实是很好，减少了爱快为VLAN间路由的压力，不过9哥不应该以偏概全的来说三层环境  既然是三层环境那么它上下两端的设备就应该是通过IP来转发而不是通过MAC。
说的不对的地方，9哥指正一下

作者: 9622315 时间: 2016-3-24 15:28

cimo 发表于 2016-3-24 00:11
不能引用点评我只能再来回复一下这个方式确实解决了VLAN间路由的问题但事实上这种只能算伪三层应用 ...

我修改了1楼主贴了，你可以看看，你不能说爱快路由与客户机之间是完全的2层转发，因为客户机的网关指向的是交换机，所以，客户机到路由器这个方向是通过交换机做的3层转发，只有路由器到客户这个回来的方向，是直连路由，在交换机上做的是2层转发。所以某种角度讲，还应该算是3层的。

并且，我认为，界定是否为3层环境，看的不是路由器与客户机之间的数据交换，而是看VLAN之间的数据交换，VLAN之间如果是通过交换机转发的数据，没有经过路由器，那就应该认为是3层环境。

作者: cdwangyu 时间: 2016-3-28 00:25

cimo 发表于 2016-3-24 00:11
不能引用点评我只能再来回复一下这个方式确实解决了VLAN间路由的问题但事实上这种只能算伪三层应用 ...

我看见你也发过三层的贴子，你自己tracert下通信过程，按老9的配置由于各个VLAN下发的网关都是交换机VLAN虚接口的地址。无论哪个网段上网都是这样PC-本VLAN接口IP-爱快VLAN1地址。交换机VLAN间通信PC-本VLAN接口IP-对端VLAN接口IP-PC。这是标准的三层转发，不要看见与上联走的是trunk口就认为是伪三层通信。如果不是爱快自身不支持单接口多个DHCP地址（和VLAN不关联）。老9就没有必要做Trunk口了，直接交换上个个VLAN启用DHCP中继就可以了，老9做的trunk口其实就只是实现一个功能获取DHCP。另外这里也指出一个老9新编辑后的错误，出了DHCP是爱快直接回复到PC（本来请求也是直接给的爱快）。其它通过爱快的访问是回给交换机VLAN1虚接口IP，在回到该终端所在VLAN的虚接口IP，然后到终端。目前还没有哪家的路由/三层交换机在不做重定向设置的情况下，能做到来回路径不一致，如果是VLAN虚接口转发，路由直接回只有一个可能，终端收到的回应地址（IP/MAC）变化，直接丢弃该回应。

作者: cimo 时间: 2016-3-28 14:04

cdwangyu 发表于 2016-3-28 00:25
我看见你也发过三层的贴子，你自己tracert下通信过程，按老9的配置由于各个VLAN下发的网关都是交换机VLAN ...

说的对，疏忽了9哥DHCP配置的网关地址

作者: wgundam 时间: 2016-3-28 16:43
怎么搞得这么复杂。。。直接透传就完了。。。

作者: xieguoshun 时间: 2016-4-1 07:07

drjones 发表于 2016-1-11 10:41
我们公司想布属一个网络，现在的网络环境打算是这样改造，爱快>华为9系列三层>一堆二层>然后接爱快的ap，我 ...

也不一定，那看你的硬件支持不。如果支持的华用爱快也是一个不错选择。

作者: xieguoshun 时间: 2016-4-1 07:10

drjones 发表于 2016-1-11 10:41
我们公司想布属一个网络，现在的网络环境打算是这样改造，爱快>华为9系列三层>一堆二层>然后接爱快的ap，我 ...

无线客户端我看必须用，trunk口，我试一下，这个比较合适电。

作者: czncy 时间: 2016-4-1 12:08
mark一下备用。谢了。。

作者: wghl2003 时间: 2016-4-26 22:32

爱快技术支持06 发表于 2016-1-11 11:24
你是打算做三层是吗？如果这样的话，可以使用三层来做DHCP，但是这样的话，爱快里面就无法管理爱快的AP的 ...

怎么实现3个VLAN的通讯？

作者: wghl2003 时间: 2016-4-26 22:34

9622315 发表于 2016-1-11 13:20
1 必须用爱快做DHCP服务，否则无法管理AP
2 如果AP开启多SSID且VLAN隔离的话，必须接交换机Trunk接口
按 ...

兄弟，我碰到和你一样的问题，如果DHCP由爱快路由器来分配的话，会不会对路由器产生蛮大的影响？CPU的占用会不会很高

作者: wghl2003 时间: 2016-4-26 22:55
9兄，你这个思路是非常不错的，但是如果要想实现你的这种结构，还要能实现认证，该如何走呢？

作者: wghl2003 时间: 2016-4-26 22:56
可以VLAN1 分配地址给ap，vlan10 20 不开DHCP,DHCP由交换机分配吗？如果采用这样的方式该如何配置呢？

作者: 9622315 时间: 2016-4-27 06:35
本帖最后由 9622315 于 2016-4-27 06:36 编辑

wghl2003 发表于 2016-4-26 22:56
可以VLAN1 分配地址给ap，vlan10 20 不开DHCP,DHCP由交换机分配吗？如果采用这样的方式该如何配置呢？ ...

可以，但意义不大，用路由做DHCP管理多方便呀，很多交换机是不支持DHCP服务的，或只支持DHCP中继，到最后还是要落到爱快上去做，即便交换机支持，管理起来也没有爱快方便直观呀，还是那句话，DHCP服务占用不了多少CPU的，用很少很少形容都不太确切了，对于现在的CPU，随便一个哪怕是最烂的N270，都可以说是极少极少。

作者: wghl2003 时间: 2016-4-29 10:32

9622315 发表于 2016-4-27 06:35
可以，但意义不大，用路由做DHCP管理多方便呀，很多交换机是不支持DHCP服务的，或只支持DHCP中继，到最后 ...

路由做DHCP,流控什么的就能解决了吧。还有认证问题能解决吗？

作者: 9622315 时间: 2016-4-29 13:25

wghl2003 发表于 2016-4-29 10:32
路由做DHCP,流控什么的就能解决了吧。还有认证问题能解决吗？

认证不清楚，但流控肯定是没问题的。

作者: 9622315 时间: 2016-5-13 00:11

shanlus 发表于 2016-5-13 00:07
非常感谢9哥。
刚好有这个困惑的时候看到这个帖子，收获非常多，

能对你有所帮助，这让我很高兴。

作者: wulonghongye 时间: 2016-6-3 08:56
楼主除了说话冲，技术还是有的，有任性的资本！

作者: zpcoolfly 时间: 2016-6-3 17:24

nullren 发表于 2016-1-10 20:36
楼主，我的情况正如二楼所说，是：
接入交换为H3C或华为的LI系交换机时，手机或笔记本，无法获得AP的SSID/V ...

你忽略了最重要的细节，TRUNK
AP要接到TRUNK口上，TRUNK允许你设置的VLAN ID通过。
LI TRUNK还是支持的
但是不支持三层交换，
这要通过爱快的虚接口IP进行交换，爱快承载三层功能。

作者: nullren 时间: 2016-8-22 11:52

zpcoolfly 发表于 2016-6-3 17:24
你忽略了最重要的细节，TRUNK
AP要接到TRUNK口上，TRUNK允许你设置的VLAN ID通过。
LI TRUNK还是支持的

我就是设的TRUNK。LI的交换机，虽然理论上都支持VLAN、TRUNK,可实际上配上AP与爱快，真的不行，我搞了半个月最终确认不行，放弃了。
同样的配置方式，换成SI的交换机什么都好了。

作者: 滚成一个蕃茄 时间: 2016-8-22 13:49
支持9哥。。。

作者: songjianhe 时间: 2016-8-22 18:31
简单说，楼主你根本没有在三层环境下使用，你的配置概要是二层环境使用的。

作者: 9622315 时间: 2016-8-22 18:49

songjianhe 发表于 2016-8-22 18:31
简单说，楼主你根本没有在三层环境下使用，你的配置概要是二层环境使用的。 ...

你在仔细看看吧，终端电脑的网关，指向的是交换机，不是爱快，并且我说了，断开爱快路由器LAN的网线，各VLAN间的终端仍可互访，2层部署且没有路由器的前提下，难道能实现VLAN间互访吗？

作者: 秀字营 时间: 2016-8-24 11:09

cdwangyu 发表于 2016-1-10 14:47
其实在我看来也不应该有问题，不过有坛友反馈的是核心下接接入交换，但是接入交换为H3C或华为的LI系交换， ...

爱快支持旁路AC管理

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)