引言
再次复习华为的AP + AC二层悬挂实现WLAN时候,有了和第一次学不同的注意点。第一次重在去理解各个业务点之间的逻辑性,可回头看来就是配置。再次复盘才发现在此拓扑中VLAN的巧妙配置才是实现WLAN的精髓所在!
注意:本文章重点不在讲解知识点,而是复盘后的新得体会,各位宝子们学完后可看看有无相同的体会。
拓扑介绍
以此图来展开各个心得的解释,简单介绍拓扑,终端和AC之间建立隧道,LSW4通过dhcp给终端下发地址,终端业务转发通过隧道转发的形式先到AC1,再到外网。其中隧道VLAN为200,业务隧道为100,101.
心得1:VLAN的巧妙运用
我先复盘下整个拓扑如何实现
1.AC配置上隧道VLAN200的SVI,也可说是AP的网关,AP2发出请求,为了找到AC上的SVI,会在与AP连接的交换机接口上设下本征VLAN200,虽然报文在交换机中会泛洪,但是根据vlan200就可以找到目的地。如图所示,黑线所在接口都为trunk允许vlan200(除了AP)。
2.隧道建立之后,开始配置业务转发VLAN,采取隧道转发,手机会先获取ip地址,在这里我初始认为会先通过业务标签去找LSW4上的SVI来获取地址,但我把LSW4g0/0/4trunk口拒绝业务vlan100后仍然可以获取来实现隧道转发,因此可以断定获取地址和业务转发都是在有业务vlan100的情况下再打上隧道vlan200的标签,如何实现了?报文在标有业务vlan100的基础上打上vlan200,并交换机中按照vlan到AC,在AC的SVI上脱去vlan200的标签,之后发往LSW4,找到VLAN100的SVI并进入脱去VLAN标签100.配置如图所示,在原本基础上去接口下trunk允许VLAN 100,如红线所示
3.如何到外网也是关键,为了知道从哪个接口出去,也会在LSW4上配置与外网同网段的SVI(VLAN随机)从而让脱去业务标签的vlan100的报文找到到外网如何路由,可问题是svi也会打上vlan tag ,外网肯定不要此类报文,所以还要在g0/0/1上脱去,设置为access即可。回包的时候由于还是要经过此SVI,但打上标签就麻烦了,所以说access上还是要配上permit(本征VLAN)来打上标签,让svi脱去。
4.注意,至于第三点我也考虑过AR发到交换机LSW4,或则LSW4泛洪发到AR上去实现,从而不配置SVI到外网以及g0/0/1来access,但是必须在AR上配置了静态路由到内网,那就必须要有一个到外网的SVI来作为静态路由的下一跳啊!
心得2:DHCP
为什么这里会单独谈谈DHCP了?我们都知道,终端是通过DHCP下发的来获取地址的。那凭啥就能给你配置VLAN 10 的链路上下发192.168.10.0网段嘞,为什么不可以下发192.168.20.0 网段嘞?DHCP下发分为四个步骤,简单归纳于
1,终端请求
2,服务器下发
3,终端请求确认
4,服务器确认请求
假如VLAN 10 的终端为了获取192.168.10.0网段,但DHCP给你下发了192.168.20.0,怎么办嘞,关键在于第三步,终端请求确认会带着获取的地址去请求,但在此时不管是去虚拟子接口,还是SVI,都是根据VLAN对应的通道发往,192.168.20.0 会发往 192.168.10.254 吗???肯定不行啊,所以说在第三步骤请求不会发过去,所以说根本不会获取到。
心得3:SVI
SVI,交换机虚拟接口,代表一个由交换端口构成的VLAN,以便于实现系统中路由功能。在这里心得主要是SVI存在的方式是在路由器内部,进入交换机,会先进入接口,再进入与VLAN对应的虚拟接口。出交换机也是进入VLAN对应的SVI接口,再从接口出去。
心得4:Access,Trunk细读
VLAN一般可以理解为通道,报文只能在对应的VLAN(通道)里面去传输。但具体对Vlan原理进行分析还是要从Access和Trunk具体原理上去分析。
收到不含tag的报文 | 收到含tag的报文 | 发送报文 | |
Access | 打上permit的vlan tag(也就是缺省(本征)vlan) | 查看与permit的vlan是否相同,相同进入,反之丢弃 | 脱去tag,发出报文 |
Trunk | 打上tag后查看接口是否允许该vlan通过,如果通过,则进入反之丢弃。 | 查看与允许的vlan是否相同,相同进入,反之丢弃 | 如果tag和端口上的本征vlan(缺省vlan)相同,脱去tag,反之不脱去,正常发送 |
我们带入拓扑具体分析
隧道建立阶段,从终端发出的报文在LSW2上的trunk口打上缺省VLAN 200,Trunk口判断通过,进入之后出Trunk口g0/0/1,没有配置本征vlan,直接判断能否通过,判断成功发往LSW4,判断是否允许进入,能进入则发进去,从G0/0/2出来的时候由于没有配置本征vlan,直接判断能否通过,判断成功发往AC1,进入的时候判断是否能通过,能通过,发进AC,此时寻找SVI,找到属于VLAN 200的SVI后进入并脱去vlan200 的tag。