三层环境中，部署爱快路由与爱快AP

9622315

最近有坛友反映爱快AP与华为交换机不兼容，特别是三层环境中会出问题，
为了给客户做方案，自筹资金，购置了1台华为S3528G做了三层环境部署，
实际测试了下，感觉并没有论坛中反映的这些问题，三层交换试验很成功。

实现如下功能
1 爱快路由做DHCP服务器，为客户机分配IP地址
2 AP打开VLAN功能，实现双SSID VLAN隔离
3 内网VLAN间交换数据，由三层交换机完成，不通过爱快路由转发
======================================================
网络拓扑
爱快路由WAN接光猫LAN1接口
爱快路由LAN接3层交换机P24接口
爱快AP接3层交换机P23接口
局域网傻瓜交换机（或电脑）接三层交换机P1~P22任意接口
======================================================
爱快路由配置如下
WAN 依实际情况配置
LAN IP 192.168.1.254/24
  VLAN10 192.168.10.254/24
  VLAN20 192.168.20.254/24
DHCP服务
LAN 地址池192.168.1.1~192.168.1.200，子网掩码255.255.255.0，网关192.168.1.251
VLAN10 地址池192.168.10.1~192.168.10.200，子网掩码255.255.255.0，网关192.168.10.251
VLAN20 地址池192.168.20.1~192.168.20.200，子网掩码255.255.255.0，网关192.168.20.251
======================================================
爱快AP S1配置如下
SSID1 iKuai01
开启 VLAN
VLAN ID 10
SSID2 ikuai02
开启 VLAN
VLAN ID 20
======================================================
华为S3528G三层交换机配置如下
VLAN1 包含接口P1~P24
VLAN10 包含接口P23~P24
VLAN20 包含接口P23~P24
P1~P22为Access接口
P23~P24为Trunk接口，PVID 1，允许通过VLAN1、VLAN10、VLAN20
VLAN1 IP 192.168.1.251/24
VLAN10 IP 192.168.10.251/24
VLAN20 IP 192.168.20.251/24
默认路由 0.0.0.0 0.0.0.0 192.168.1.254
======================================================
实际测试
1 平板电脑，手机，笔记本，均可顺利连接2个无线SSID，并获取到对应VLAN的IP
2 不同VLAN之间的平板、手机、电脑相互ping，此时断开连接路由器LAN与三层交换机P24口的跳线，仍然可ping通，可见VLAN间数据交换木有通过爱快转发，而是由三层交换机来完成的。
3 爱快的内网监控中，可以看到每台终端的详细信息，并且可以对每台终端进行流量管控。

注：具体爱快配置截屏，三层交换机配置脚本，暂略。


很多人都没有看出来这个方法与常规的方法（在路由器上将每一个VLAN子网的静态路由下一跳指向交换机）有哪些不同。
首先，明确，VLAN间交换，走的是3层转发，并且不经过路由器转发，是由3层交换机完成的。
其次，由于使用路由器做DHCP Server，所以，路由器就很容易拿到客户机的MAC，这是与常规方法的第一点不同；
再次，客户机到路由器的路由与路由器的回指路由（路由器到客户机）是不同的，这是与常规方法的第二点不同；
具体来说，就是因为客户机的默认网关指向的是交换机，所以客户机到路由器的数据包，是通过交换机做的3层转发，
而路由器回传数据包到客户机时，由于路由器有与客户机所在VLAN对应的VLAN子接口，且IP与客户机同段，所以数据包，
直接发送给客户机，这时交换机所做的是2层转发，也就是回指路由，直连客户机，交换机只做2层转发，不走3层交换。
最后，由于上一点，故路由器到每一个VLAN子网的路由是直连路由，不用在路由器中手工做任何做静态路由设置，这是第三点不同。

基于以上3点，只要稍加修改Protal协议，就可以解决跨3层认证的问题，并且是最廉价的解决方案。

感觉能看懂的人寥寥无几，曲高和寡，高处不胜寒啊！！！

nullren

楼主，我的情况正如二楼所说，是：
接入交换为H3C或华为的LI系交换机时，手机或笔记本，无法获得AP的SSID/VLAN对应的IP地址（DHCP来自爱快）。

与三层无关，就算不接三层核心，只接入二层LI型交换机，只要是LI型交换机，如华为 S1700-XXX-LI ,华为 S5700-XXX-LI  H3C SXXX-XXX-LI 都不行。只要换成SI型或EI型，同样的设置（也当二层交换机用，或者如换成二层的S2700-28P-SI），立马就好了。

cdwangyu

其实在我看来也不应该有问题，不过有坛友反馈的是核心下接接入交换，但是接入交换为H3C或华为的LI系交换，出现了SSID和VLAN关联不上的问题。由于手头上没有爱快的AP测试不了。但是测试过H3C、华为、信锐、锐捷等的AC加AP没有这个问题。另外按你这样的测试反应，理论上如果爱快只做AC+AP的管理，也应该可以旁路部署才对。

9622315

nullren 发表于 2016-1-10 20:36
楼主，我的情况正如二楼所说，是：
接入交换为H3C或华为的LI系交换机时，手机或笔记本，无法获得AP的SSID/V ...

难道我选S3528G这样老的机型，配置还不算低么？我这里还有一台更老的S3526E，稍后换上看看，如果要我自己花钱去买S5700-LI，那铁定不现实，我认为也没这个必要。

nullren

9622315 发表于 2016-1-10 21:31
难道我选S3528G这样老的机型，配置还不算低么？我这里还有一台更老的S3526E，稍后换上看看，如果要我自己 ...

嗯，LI的机型，是被腌割过的机型，S5700-52-LI 看着是三层，其实二层（二层不如）。
S3528G好歹是一个真三层交换机。
--
楼主，那个问题，我看就先扔一边吧，等一下个用户碰到了，反馈了，再说吧。我反正是怕了，我现在含无线覆盖的项目中，汇聚宁愿用百兆的S2700-SI, 也不愿用全千兆的S5700-LI

nullren

9622315 发表于 2016-1-10 21:31
难道我选S3528G这样老的机型，配置还不算低么？我这里还有一台更老的S3526E，稍后换上看看，如果要我自己 ...

我现在正在做一个小项目，用的是爱快的G30，核心是华为S5700-24TP-SI-AC，汇聚都是用的S2700-26TP-SI (6台)，AC用的是TPLINK-AC100,AP用了几十个 TP-AP300I ,
有线，无线，内网、外网、财政网、电子政务内外网、医疗平台什么的，业务都混合在一起。
AP开多VLAN-SSID，有对内的，对外的，对移动医疗设备的，
目前调试中，一切正常。
--
对公众的SSID由爱快DHCP分发，由爱快来WEB认证或推送广告、通知。对办公人员的SSID也由爱快来分发。
对内部医疗设备的SSID，由三层来分发IP
--
唯一不足的就是，爱快G30目前只有2.5.8版，还没有2.5.9普通版上的一个VLAN上开多个DHCP段的功能。
不过也没有关系。用别的办法解决了。

===========
但我上次的那个学校的项目，其实网络配置与结构都差不多的，
但是就是搞不好：
一个学校，两个校区，连在一起，一个核心校换机，用的是S5700-52-SI
在新校区里，汇聚用的是S5700-LI型交换机，死活搞不好。（而老校区用的是S3352-SI的汇聚，一点问题没有。）
--
最终没搞成，放弃了。

9622315

nullren 发表于 2016-1-10 20:36
楼主，我的情况正如二楼所说，是：
接入交换为H3C或华为的LI系交换机时，手机或笔记本，无法获得AP的SSID/V ...

已经更换了更老，且硬件配置更低的机型（S3526E），测试通过，如果非要我测试S5700-LI系列的机型，我也是无能为力了，我认为应该是配置问题，而不是机器硬件问题，或者你尝试升级固件看看。

nullren

9622315 发表于 2016-1-10 22:11
已经更换了更老，且硬件配置更低的机型（S3526E），测试通过，如果非要我测试S5700-LI系列的机型，我也是 ...

感谢你有心，还记得我那次那么一回事。。。
那个我已经放弃了，也许过段时间再去搞一下。要过春节之后了。。。配置问题的话，我可以配好老校区，却不能配好新校区（新老校区共用同一个机房，共用同一个核心交换机的。。共用同一个AC的），不科学，是不是。

zhouchuan

路过，太专业看不懂

jxsmkj2356

学习中   谢谢分享