三层环境中，部署爱快路由与爱快AP

xiaofan1

楼主您好，我个人觉得您的这个配置方式更像是单臂路由，也就是说实际上您的这个配置方式用二层交换机就可以配置的好的，在5ihome的论坛中，YG777实际上有一个具体的配置流程您可以看看。我家里用的是两个交换机一个SG300-28（三层）接一个AP；另外一个SG200-8（二层）再接AP。我希望直接在交换机里面使用三层路由的方式实现。相对简单点说就是DHCP在交换机，路由在交换机中作吗，交换机划分vlan10和vlan20+系统默认的vlan1，实现AP的ssid用到不同的vlan。爱快里面关闭了dhcp，但是要添加三条静态路由之后就可以实现您一样的目的。
里面您可能要关注一下，您的几个问题，像思科的交换机不同vlan之间设置完成之后默认是可以相互访问的。如果想要隔离不同vlan之间的通信反而是要自己写acl表，才能到达隔绝的目的。所以我想是不是实际上您的这种设置方式实际上是单臂路由的方式，只是在交换机中默认启动了一个路由功能，所以才会出现您可以ping通的情况。您可以尝试下将交换机变成二层模式，实际上您的这个配置应该也是能够可以的。

xiaofan1

proamen 发表于 2016-3-21 01:31
闲来无事，把楼主的拓扑做出来，照做了，只是交换机换了5700 24 si，测试不成功，是不是哪里设置有问题了？ ...

如果您是路由设置在交换机的话，在爱快里面还要写三条回程路由才行

xiaofan1

爱快技术支持06 发表于 2016-1-11 11:24
你是打算做三层是吗？如果这样的话，可以使用三层来做DHCP，但是这样的话，爱快里面就无法管理爱快的AP的 ...

我直接在交换机上做的vlan和dhcp，网关由交换机设置。似乎也可以管理AP？我对ap的管理的定义不是很了解，如果是说可以再爱快--AC控制器里面设置的话倒是可以的

ynkmok

你是没有真正应用到商业环境中：
1、你用三层核心来做DHCP分配试试，
2、你开认证试试
3、还是认证试试，认证不了的，这就是主要问题，不能穿透三层做认证的。

cimo

虽然说9哥这个办法很好  但是这样一样 这些都是二层交换机干的事情了

9622315

ynkmok 发表于 2016-3-22 19:19
你是没有真正应用到商业环境中：
1、你用三层核心来做DHCP分配试试，
2、你开认证试试

我的应用环境中，不需要做认证。

你非要在3层环境中，用爱快基于MAC的技术做protal认证，有意义吗？

我们讨论的前提就是，采用爱快设备，并且是3层交换环境，这已经很明确了，
是不支持protal认证的，起码不支持爱快的protal认证技术，既然如此，为何还要……

如果需要在3层环境中，启用protal认证技术，那么就不要采用爱快的路由器，
或者更换为，更NB的交换机，我阐述的是廉价解决方案，搞不你你高大上的需求。

还有就是，我的3层交换机，是廉价机型，不支持DHCP，即便支持我也不打算用交换机做DHCP。
在路由上做DHCP Server管理起来，总比在交换上做，要方便多了吧？

我的做法，最大的优点，就是路由器可以直接与客户机通信，因为在路由器上有与客户机对应VLAN相同网段的IP，
并且由于路由器做DHCP，路由器可以获取到客户机的MAC，这样只要稍加修改Protal协议，就可以解决跨3层认证的问题。


我这样做你没看出来吗，客户机到路由器的数据包是通过交换机3层转发的，而路由器到客户机的回指路由，是直连转发，
并没有通过交换机3层处理，也就是交换机转发路由器的回指路由是2层转发的，说的再明白一些，就是客户机到路由器，
与路由器到同一台客户机，所走的逻辑路径是不同的，这就是与常规方法最大的不同。

cimo

不能引用点评 我只能再来回复一下  这个方式确实解决了VLAN间路由的问题 但事实上这种只能算伪三层应用   爱快跟终端之间仍然是通过二层来访问
这个方法确实是很好，减少了爱快为VLAN间路由的压力，不过9哥不应该以偏概全的来说三层环境  既然是三层环境那么它上下两端的设备就应该是通过IP来转发 而不是通过MAC。
说的不对的地方，9哥指正一下  :lol

9622315

cimo 发表于 2016-3-24 00:11
不能引用点评 我只能再来回复一下  这个方式确实解决了VLAN间路由的问题 但事实上这种只能算伪三层应用    ...

我修改了1楼主贴了，你可以看看，你不能说爱快路由与客户机之间是完全的2层转发，因为客户机的网关指向的是交换机，所以，客户机到路由器这个方向是通过交换机做的3层转发，只有路由器到客户这个回来的方向，是直连路由，在交换机上做的是2层转发。所以某种角度讲，还应该算是3层的。

并且，我认为，界定是否为3层环境，看的不是路由器与客户机之间的数据交换，而是看VLAN之间的数据交换，VLAN之间如果是通过交换机转发的数据，没有经过路由器，那就应该认为是3层环境。

cdwangyu

cimo 发表于 2016-3-24 00:11
不能引用点评 我只能再来回复一下  这个方式确实解决了VLAN间路由的问题 但事实上这种只能算伪三层应用    ...

我看见你也发过三层的贴子，你自己tracert下通信过程，按老9的配置由于各个VLAN下发的网关都是交换机VLAN虚接口的地址。无论哪个网段上网都是这样PC-本VLAN接口IP-爱快VLAN1地址。交换机VLAN间通信PC-本VLAN接口IP-对端VLAN接口IP-PC。这是标准的三层转发，不要看见与上联走的是trunk口就认为是伪三层通信。如果不是爱快自身不支持单接口多个DHCP地址（和VLAN不关联）。老9就没有必要做Trunk口了，直接交换上个个VLAN启用DHCP中继就可以了，老9做的trunk口其实就只是实现一个功能获取DHCP。另外这里也指出一个老9新编辑后的错误，出了DHCP是爱快直接回复到PC（本来请求也是直接给的爱快）。其它通过爱快的访问是回给交换机VLAN1虚接口IP，在回到该终端所在VLAN的虚接口IP，然后到终端。目前还没有哪家的路由/三层交换机在不做重定向设置的情况下，能做到来回路径不一致，如果是VLAN虚接口转发，路由直接回只有一个可能，终端收到的回应地址（IP/MAC）变化，直接丢弃该回应。