回顾与扩展
之前讲解了8个以上的组网案例,但有的朋友还是不会运用上去,只会照猫画虎,做不到学以致用,接下来我们还是从之前的几个案例来深入了解下如何去规划、部署AC与AP,在不同环境下AC AP如何接入到网络,采用什么方式、什么情况下用隧道、什么情况下用直接转发,为什么要这样做。
1、什么是管理VLAN与业务VLAN,为什么需要划分它?
AP上线的时候需要获取一个地址,这个地址网段关联的VLAN可能是VLAN1或者VLAN X,我们把AP上线的VLAN叫做管理VLAN,SSID对应的网段VLAN,我们叫做业务VLAN,简单理解就AP上线用的VLAN为管理VLAN,实际客户端业务关联的VLAN叫做业务VLAN。
管理VLAN与业务VLAN划分出来的好处(1)减少AP占用业务VLAN的地址 (2)业务VLAN可以做不同的策略,比如我们需要对访客VLAN做限速、隔离、ACL限制,因为有了VLAN网段,做的策略不会影响到管理VLAN以及其他业务。(3)方便维护,通常管理VLAN是整个网络设备用的VLAN。
这里出现了一个问题:管理VLAN跟业务VLAN能否是同一个VLAN呢?
那肯定是可以的,在之前我们的案例环境有过管理、业务在一个VLAN,这种方式只适合小型环境,就是整个网络里面就一个网段的时候,我们就会把业务跟管理VLAN放在一起。
2、数据分为隧道转发与直接转发
在部署无线业务转发的时候我们可以选择两种方式,一种直接转发方式,一种隧道转发。
(1)直接转发:为默认方式方式,客户端数据包是直接从AP----上层交换机----网关---目的地,完成转发
(2)隧道转发:客户端数据包从AP发出去的时候会封装CAPWAP报文----上层交换机-----三层----AC去封装---网关----目的地。
从转发方式来看,直接转发是要优于隧道转发的,直接从网关然后就到目的地出去了,而隧道转发则需要从网关到AC,AC解封装后在交给网关,在到目的地,等于饶了一圈,这种路径就变的次优了,增加了设备的消耗处理,又加大了数据的延迟。
3、旁挂与直连组网
在组网结构中,分为旁挂组网以及直连组网
直接组网方式:在直接组网中,AC会参与的组网中,承载无线甚至有线的的流量,AC在网络中会充当三层交换机网关或者二层交换机的功能,在小型组网中比较常见。(这里指AC设备,ACU2这种例外。)
旁挂组网方式:通常AC接在三层或者二层交换机的旁边,只起到集中管理、配置、维护AP以及客户端的信息,不参与无线客户端数据的转发。(通常情况下,特殊情况也会参与,这个我们后续在分析场景的时候会提到。)
最佳部署方案:(1)能旁挂则不直连(2)能直接转发数据就不选择隧道 (3)能管理、业务VLAN分开就分开,不选择都在一起。
常见的组网环境
在实际环境中,多样化的设备就不能够往最理想的环境来规划跟部署了,会遇到各种各样的组网环境,以及需求,我们需要做的就是在比较常见的环境(如下)中如何选择这几种方式,要理解为什么要这样做,这个学会了,那自己规划、部署常见的无线网络是没啥问题了。
1、出口路由器(防火墙)-------傻瓜交换机-----ACAP
2、出口没有路由器,直接AC充当路由器----傻瓜交换机----AP
3、出口路由器(防火墙)-----二层交换机------ACAP
4、出口路由器(防火墙)-----AC充当三层交换机-----二层或者傻瓜交换机----AP
5、出口路由器(防火墙)-------三层核心交换机------二层----ACAP
6、出口路由器(防火墙)------三层核心交换机------傻瓜交换机-----AC(旁挂在三层上面)---AP
再次强调:选择用旁挂/直连、直接转发/隧道转发、能否分管理/业务VLAN的方式,取决于当前的环境跟需求,有什么设备,客户的需求是什么?了解好这些后,我们才能来选择采用什么样的方式。
比如这样一个环境与需求
当我们了解好客户的环境与需求后,我们首先要看设备有什么,这里一台路由器、一台傻瓜交换机、一台AC、3台AP,需求呢比较简单,客户那就10多个人的小suho办公区域,客户希望把无线网络搭建起来就行,让员工可以正常上网,不需要做什么限制。
分析
1、客户网络非常简单,除了办公电脑以外,就手机终端,人数在10多个,终端数电脑加手机端不超过40,而且不需要做什么限制,这个就非常关键了,不需要做限制,那就可以直接把有线无线都放入在一个网段里面(主要交换机是傻瓜的,也没法做多网段),我们把AR配置对接外网,内网接口配置一个网关,开启DHCP,下接傻瓜交换机。
2、选择旁挂还是直连部署,假设我们直连部署为AR-----AC----POE交换机----AP(电脑)这种直接组网方式,那么所有的有线流量跟无线流量都会经过AC。假设是旁挂部署,AR---POE交换机(AC接交换机上面)----AP(电脑),这个时候由于AC是旁挂在旁边,那么不管是有线还是无线的流量都不会去从AC经过,显然这个环境下面,我们选择旁挂式组网更加好些。
3、选择直接转发还是隧道转发,首先考虑到我们采用了旁挂式组网,如果用隧道转发,那么流量会从AP1----SW1----AC3---SW1---AR1这样出去,相当于饶了一圈,而直接转发的话,则就AP1---SW1---AR1出去了,对比起来,直接转发是最好的,采用直接转发模式。
4、这里能否分管理与业务VLAN,客户这边有线无线都在一个网段,而且就一个网段,这样的场景下就不需要做管理与业务VLAN的区分了,直接AP上线与实际业务都在一个网段。
5、从分析下来这个环境采用旁挂、直接转发、管理与业务VLAN在同一个VLAN的场景,对应上面的1、出口路由器(防火墙)-------傻瓜交换机-----ACAP这个场景。
PS:对于有经验的老手来说,这种拓扑一眼就能看出来用什么组网方式,但是对于刚接触无线的朋友来说,特别是分了什么旁挂/直连、管理业务VLAN、直接隧道转发这么多的方式的时候,人都搞晕了,所以博主这里建议新手用排除法来选择采用什么方式,当你这种环境遇到比较多了,那么你自然就能够很轻松的判断出来采用什么方式,遵守最优原则,能采用最佳的则用最佳。
增加需求: 某一天,客户突然过来说,他们最近业务发展的不错,来访的客户比较多,出现了一些问题,造成了困扰
(1)有时候员工电脑或者手机获取不到地址了
(2)来访的客户会占用过多的网速,影响了办公
这个时候我们又得来分析了
1、导致员工电脑或者手机获取不到地址,很大可能是因为地址池被获取光了,解决的办法,第一个扩大地址池(用23或者22的掩码,以及缩短DHCP租期时间),第一个问题解决了
2、占用过多网速、影响了办公,相到网速那自然就想到了限速了,问题就出在这了,客户的有线无线都在一个网段,根本没办法来区分哪个是员工的、哪个是访客的。临时给出一个解决办法是员工的采用静态IP,然后做自动分配下来地址范围的限速,但是客户觉得这样太麻烦了,而且对于不懂这方面的来说,容易出错,这个办法也pass掉,那剩下的就只有另外来单独建立一个网段把客户跟访客的流量区分开,实现对访客网段的单独限速。
3、从整个拓扑来看,交换机是傻瓜的根本没办法划分VLAN,这样就没办法用VLAN来区分网段了,在这几个设备里面,AC是可以充当三层交换机,但是我们缺少一个透传VLAN的交换机,AP业务的流量打上不同VLAN TAG的 ID后,到达傻瓜交换机就会被丢弃,这个时候我们我们的隧道模式就起到作用了,隧道转发模式它会在业务数据包出AP的时候被封装上CAPWAP报文,封装后的报文就相当于AP与AC之间来通信,不涉及到任何tag信息,当AC收到后会解封装CAPWAP报文,收到实际的业务报文,在进行处理,数据包已经到达AC,AC上面有对应的VLAN以及VLANIF网关,就可以直接转发处理数据包了。这就找到了一个解决办法,把访客的SSID关联一个VLAN ,在AC上面创建对应的VLAN、网段以及DHCP,并且该VAP模板启用隧道转发,原先的保存不变。(记得AC与AR之间要有路由哦)
办公流量: AP1----傻瓜交换机---AR1
访客流量:AP1(打上CAPWAP报文)---傻瓜交换机----AC1(解封装)----傻瓜交换机----AR1
4、原有的组网是AC旁挂式的,旁挂式在这里会出现一个问题就是访客的流量会绕一圈,那么这种情况下,我们把拓扑整改下,改成直连式组网,把这个问题避免了,进行优化。
办公流量:AP1----傻瓜交换机---AC---AR1
访客流量:AP1(打上CAPWAP报文)---傻瓜交换机----AC1(解封装)---AR1
5、关于管理VLAN与业务VLAN:在这个场景下面,我们来看下,办公网络跟有线网络以及AP上线网络其实都在一个VLAN里面的,所以对于无线办公的来说是管理VLAN与业务VLAN都是同一个,但是对于访客VLAN来说就不一样了,AP上线VLAN是VLAN1,而业务VLAN是VLAN2,所以对于访客来说管理VLAN与业务VLAN是区分开的。
6、由于VLAN2是在AC上面,但是AR并不知道,所以AC需要写默认路由去往AR,AR需要写回程路由指向AC,这样VLAN2的才能够正常通信。这个对应我们举例常见场景中的 4、出口路由器(防火墙)-----AC充当三层交换机-----二层或者傻瓜交换机----AP
总结:一个小小的需求增加,那么对应的组网方式都的变动,我们组网方式的应用是对应客户实际的设备、需求来对应的选择,第一个案例:客户那边设备比较简单,路由器、傻瓜交换机、AC/AP,只需要能上网就行,交换机也不支持VLAN,那自然管理业务VLAN都在一起,而且旁挂组网方式更加优化,也支持直接转发数据方式,所以第一个案例场景就直接选择了旁挂直接转发组网方式,管理与业务VLAN都在一起。但是到了第二个案例,客户一个小小的需求,想把访客跟办公的流量区分开,来做限速策略,一旦要做限速,那么必然是需要来匹配网段的,如果访客跟办公网段在一起,那么没办法区分哪个谁,最好的办法就是区分网段,由于交换机是傻瓜交换机,不支持VLAN,所以我们把访客采用了隧道转发,利用CAPWAP封装实际业务数据包,来让流量正常转发,这解决了第一个问题,傻瓜交换机没办法区分VLAN,带来的第二个问题就是,访客的流量需要饶一圈才能出去,因为我们采用旁挂组网,流量需要先到AC解封装,再由AC转发出去,这个时候我们用直连组网后,比旁挂要优化很多,数据可以直接出去了,而不用绕一圈,所以把旁挂改成直连。整个组网方式的运用要保证几点(1)满足客户需求 (2)满足需求的前提下,尽量使用最佳的组网方式 (3)最佳的组网方式根据实际环境来定,并没有绝对的 (4)可以采用排除法,或者对比法
实战练习(学以致用,独立完成)
以上面两个案例场景,独立用ENSP模拟出来,能不看之前案例的情况下独立能完成,知道为什么要这样使用,就说明就掌握了。
(1)最开始就简单的在一个网络里面,不区分网段 。
(2)客户加入一个访客网段,并且能够做限速。
(这个拓扑中会遇到各种问题,能够独立解决说明你真的有经验了,建议先自己模拟完成。)