三层环境中，部署爱快路由与爱快AP

chenyong

小白来学习，可是感觉他认识我，我不认识他

秀字营

老九，我有不一样的理解，您这样拓扑环境和实验效果，web认证是可以正常使用的。您的这个环境只是解决了，接三层交换机但是对接路由却不启用三层功能的条件下，实现内网交换在三层交换机上转发。而这个条件下是可以正常使用爱快的web认证的，不需要做portal协议改变。

实际上与还是一个二层环境的vlan对接（接路由口是trunk，还是二层概念），跟三层对接不是一个事情，vlan配置IP，只是让三层交换机存在三层概念（IP是三层的）在断开爱快的时候，vlan间数据转发是通过三层交换机作为网关的条件下执行的路由表信息，走的各个vlan的路由表信息，进行内网数据转发，所以肯定是可以通的。（网关如果是爱快，传统配置网关是爱快肯定是不行的数据都不到达三层停留，肯定直接三层交换无法帮助直接转发）

而您可以接上爱快查看下，爱快可以拿到原始IP和MAC，是因为数据转发虽然PC的网关是1.251（三层交换vlan子接口地址），无法做出DHCP offer回应。但是DHCP discover请求是广播报文，爱快作为二层对接环境下的唯一DHCP服务器，肯定能看到并且回应的。

而正常网络数据请求，访问百度。在PC端生成，按照缺省路由发送给1.251，但是1.251接到这样的数据的时候根据自己的缺省路由0.0.0.0 0.0.0.0 192.168.1.254进行向上发送，路由器接到后进行wan口NAT后完成后续上网行为。

您可以在这个实验环境看爱快的内网监控或者ARP列表，每个下面上网终端的IP地址和MAC地址都是一对一关系，而实际的三层交换机做路由转发的时候是不通的IP地址，但是相同的MAC地址。（过三层，MAC地址变更，MAC为二层概念）----这块我有不太理解的概念，可能也是三层交换工作的特性。
上面描述的行为是二层转发，因为MAC未变更，并且上层接到DHCP的广播报，但是过vlan子接口的时候，由vlan子接口根据路由表信息的缺省路由向上转发又是一个类似路由的三层转发。这个我再纠结纠结，我们再讨论。

而真正的三层交换机启用三层功能，我知道的是cisco的话，需要在接口上做no switchport的操作，并且配置上实际的接口IP地址。
这样的对接条件，用爱快的AP的话，用SSID VLAN划分后，三层交换机与爱快路由需要两个接口连接，一个路由口（no switchport）一个是trunk口允许SSID VLAN。 这样来实现仅针对连接无线的终端认证，而其他有线终端还是做三层数据转发到达路由。（这个之前有用户写过类似教程，我们没有出，我近期写出来）

其他人看见，如有不对，请勿喷，个人理解，多多交流。谢谢。

林秋荣

我个人觉得用爱快配套的AP最好是用接入层城交换机  在爱快上配VLAN并且附上DHCP地址池  交换机上配两个TRUNK口一个跟爱快对接  另一个跟爱快AP对接

176343687

跑题了跑题了 ，回到从前 这是IKUAI

9622315

176343687 发表于 2016-8-26 12:42
跑题了跑题了 ，回到从前 这是IKUAI

哪跑题了，一直说的就是爱快呀！

a1261055575

学习下，感谢分享:):):)

176343687

interface GigabitEthernet2/0/11
description EDP-AP
port link-type trunk
port trunk pvid vlan 5
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 5 10 20 85 100
dhcp snooping enable

这个是华为S7703交换机 ，启用的就是三层，DHCP交给交换机派的地址。
下接S5700S-28P-PWR-LI-AC。
结论：爱快杠杠的

zpcoolfly

nullren 发表于 2016-8-22 11:52
我就是设的TRUNK。LI的交换机，虽然理论上都支持VLAN、TRUNK,可实际上配上AP与爱快，真的不行，我搞了半 ...

我最关键的一句话：允许你设置的VLAN ID通过，包括i默认VLAN 1

zhonghaiwei2003

楼主，在三层交换机上不需要启用dhcp 中继？

zhonghaiwei2003

楼主，在三层交换机上不需要启用dhcp 中继？