トポロジー
トポロジをローカルに保存してから拡大して表示できるため、より明確に表示できます。(新しいウィンドウにドラッグして開きます)
【ワイヤレスインフラの3つのローミング]
3層ローミングの実現は、主にネットワークセグメント間の通信であり、ローミング後もアドレスは変更されません。
レイヤ3ローミングに関する注意事項
(1)同じACの下にある必要があります
(2)WALN-ESSインターフェイスポリシーが同じである必要があります
(3)セキュリティテンプレートの認証方法は、キーを含めて一貫している必要があります
(4)SSIDとサービスセットテンプレート内データ転送モードは一貫している必要があります
(5)複数のサービスセットを定義し、異なるESSインターフェイスに関連付ける必要がありますが、SSIDは他のポリシーと同じである必要があり、ハイブリッドタグなしVLANをポートします(すべてのローミングを含めるため) VLAN、pvidはこのVLANのVLANです。)
(6)チャネル提案の変更に干渉せず、重複領域は10%から15%です
(7)サービスリリース管理VLAN、ローミングによるVLAN、またはその後、
アクセススイッチに接続されている通信(8)ではありません。インバウンドインターフェイスはすべてのサービスVLANを許可する必要があります(ローミングを切り替える必要があるため、通過を許可する必要があります)
分析
レイヤ3ローミングは主にネットワークセグメントとVLANを横断し、VLANも横断することは誰もが知っているので、上記を除いて、何に注意を払う必要があります。
ゲストホールAの下のホストがBにローミングすると仮定すると、ゲストホールのVLANはVLAN 19であり、上位レベルの担当者はVLAN 1と20しか持っていないため、Bにローミングした後、アドレスは変更されず、ビッグタグがまだ19の場合、結果として生じる状況は、スイッチがデータパケットを直接破棄することです。これは、VLAN 19がまったくないため、VLAN 19が通過できないためです。逆に、BからAも次のようになります。破棄されました。
構成を変更する必要があります1.AP
に接続するためのビジターホールとシニアスタッフ間のインターフェイス、およびVLAN 1、19、20のトラフィックを同時に入力して、データパケットを確実に転送する必要があります
。2 。ビジターホールとシニアスタッフはコアスイッチリンクに接続されてい
ます。VLAN1、19、20が3を通過できるようにする必要があります。WLAN-ESS。ACに展開する場合は、次の場所でタグなしVLAN 19、20を使用する必要があります。同時に。デフォルトでは、1つのVLANのみが許可されます。
具体配置
1.ビジターホールとボススイッチ間のインターフェース、およびAPを接続するインターフェースの定義
注:アクセススイッチのAPインターフェースは、VLAN 19および20の通過を許可する必要があります。デフォルトのVLAN1が通過し、2つのスイッチは独自のVLANを定義する必要があります。これは、VLANは通過を許可されていますが、対応するVLANは通過を許可されていないためです。その結果、VLANデータは透過的に送信されません。
2.アクセススイッチとアップリンクスイッチのインターフェイスにより、対応する通過が可能になります。
ビジターホールとボススイッチ間のインターフェイス、つまりアップリンクCore-AとCore-B間のインターフェイスは、19から20まで解放する必要があります。
両方のスイッチはトランクであり、19と20のトラフィックが通過できるようにします。これは、データをコアレイヤーに転送できるためです。次に、コア層もVLANの通過を許可する必要があります。許可しない場合、VLANは破棄されます。
3.AC構成[ACオンライン]
シリアル番号を確認し、ACで定義してください。
[AC6605] wlan
[AC6605-wlan-view] ap id 3 type-id 19 sn 210235448310615C3C77
4.WLAN -ESSインターフェイス構成[AC6605] vlanバッチ19〜20
説明:VLAN 19および20を定義する必要があります。これは、3層ローミングであり、PVIDを定義する必要があり、VLANをPVID用にローカルに作成する必要があるためです。
[AC6605] 2インターフェイスWlan-Ess
[AC6605-Wlan-Ess2]ハイブリッドPVIDVLANポート。19
[AC6605-Wlan-Ess2]ハイブリッドポート20はタグなしVLANです。19
説明:このインターフェイスは従来のWLAN-ESSであり、同じではありません。 、3つのローミングには複数のVLANの通過が許可され、WLAN-ESS2はビジターホールに関連付けられていますが、VLAN 19と20は通過が許可されているため、ローミングに便利です。PVIDを使用する場合は、VLAN19をPVIDに変更します。この場合、対応するWLAN-BSSインターフェイスが着信すると、データパケットはPVIDでタグ付けされ、ローミングした他のWALN-BSSインターフェイスはVLAN20でタグ付けされます。
[AC6605] interface Wlan-Ess 3
[AC6605-Wlan-Ess3] port hybrid pvid vlan 20
[AC6605-Wlan-Ess3] port hybrid untagged vlan 19 20
説明:機能は上記と同じです。
5.トラフィックテンプレート、無線周波数テンプレート、セキュリティテンプレートなど[参照前に定義]
説明:トラフィックテンプレート、無線周波数テンプレート、およびセキュリティテンプレートが最初のワイヤレス構成で呼び出されるときに使用されるテンプレートは、再度構成する必要はありません。 。
あなたが使用することができます
トラフィックプロファイルが定義されたビュー:ディスプレイは、すべてのトラフィック・プロファイル
ラジオプロファイルが定義されたビュー:ディスプレイは全ての無線プロファイル
表示は、すべてのセキュリティ・プロファイル:セキュリティプロファイルが定義されたビュー
のサービスのセットがあるビュー:表示すべてをサービスを設定定義済み
[AC6605-wlan-view] service-set name intrnet-1
[AC6605-wlan-service-set-intrnet-1] service-vlan 19
[AC6605-wlan-service-set-intrnet-1] wlan-ess 2
[AC6605 -wlan-service-set-intrnet-1] user-
isolate [AC6605-wlan-service-set-intrnet-1] traffic-profile name intrenet
[AC6605-wlan-service-set-intrnet-1] ssid intrent
[AC6605- wlan-service-set-intrnet-1] security-profile name pre-authen
説明:このサービスセットはビジターホール用です。もちろん、ボスの人々に提供してビジターホールに移動することもできます。主な違いはWLAN-ESSです。スイッチの定義により、さまざまなトラフィックが許可されます。
[AC6605-wlan-view] service-set name intrnet-2
[AC6605-wlan-service-set-intrnet-2] service-vlan 20
[AC6605-wlan-service-set-intrnet-2] security-profile name pre- AUTHEN
[AC6605-WLANサービスセット-intrnet-2] SSID intrent
[AC6605-WLANサービスセット-intrnet-2] WLAN-ESS 3
[AC6605-WLANサービスセット-intrnet-2]ユーザー単離
現在、2つのAPがすでにオンラインになっています。最後のステップは、対応する無線周波数テンプレートとサービスセットをapの無線周波数にバインドすることです。ここでは5Gアクセスのみが提供されます。
6. AP無線周波数を関連付け、サービスを分散化します
2.4Gと5Gは以前に定義されており、5Gを直接使用できます。
AP 2は以前に設定されているため、最初に削除する必要があります。無線周波数0と1を含めて、
説明を再定義します。この構成は以前に定義されたときに存在し、削除してから新しい構成を定義できます。
[AC6605-wlan-view] ap 2 radio 1
[AC6605-wlan-radio-2 / 1] channel 40mhz-plus 149
[AC6605-wlan-radio-2 / 1] radio-profile name 5G
[AC6605-wlan-radio- 2/1]サービスセット名intrnet-1
[AC6605-wlan-view] ap 3 radio 1
[AC6605-wlan-radio-3 / 1] channel 40mhz-plus 157
[AC6605-wlan-radio-3 / 1] radio-profile name 5G
[AC6605-wlan-radio- 3/1] service-set name intrnet-2
説明:前に2つのAPがあることがわかります。したがって、AP2の無線1(5G)を使用し、前の無線テンプレートとの競合を回避するためにチャネルを定義します。 5G、次にAP 2用のサービスセット(ビジターホール)が呼び出され、次のサービスセットはAP3とボス用です。
最後に、戦略はAPに委任されます。
3層ローミング結果の検証
現在、重複するチャネルが2つあることがわかります。内部担当者を使用してログインし、AP2をテストして接続します。
VLAN 19のIPアドレスが取得され、ローミングが開始されていることがわかります。
アソシエーションが来ており、アドレスがpingを実行しており、パケット損失率はそうではないことがわかります。住所は一切変更されていません。
ローミングレコードがあることがわかります。
次に、反対側で、最初にAP3に関連付けてから、AP2にローミングしてテストします。
すでに接続されているので、テストを開始します。
いくつかのパケットが失われ、その後向きを変えることがわかります。そして、アドレスは変更されていません。
分析:なぜいくつかのパケットが失われるのですか?
クライアントがAP3からワイヤレスネットワークにアソシエートすると、DHCPアドレスが取得され、この取得プロセスはVLAN 20に認識され、ゲートウェイはCore-2にあり、AP3——Boss ——- Core-2です。つまり、Core-2のARPテーブルエントリは、ボスに接続されたインターフェイスであるVLAN20から学習されます。AP3からAP2にローミングした後、物理的な場所が変更されました。AP2——-ビジターホール——- Core-2、インターフェイスが変更され、HuaweiスイッチはARPの処理を確認した後、ARPエントリを変更します。プロセスはパケット損失を引き起こします。
解決。
1.サービスセットの下でDHCPスヌーピングをオンにします。この機能は、クライアントがあるAPから別のAPにローミングすると、新しいAPがARPメッセージを送信して、新しいクライアントがここにあり、更新されたことをゲートウェイに通知することを意味します。 ARP。
2.ゲートウェイスイッチでMACアドレステーブルエントリの変更をオンにしてARPを変更します。これも方法です。これは、スイッチプロセスが最初にF0 / 1から学習したMACアドレステーブルエントリの学習を変更し、PCが移動するためです。したがって、MACアドレステーブルエントリは更新されますが、ARPテーブルエントリは更新されません。この機能を有効にした後、MACアドレステーブルエントリが更新される限り、対応するARPテーブルエントリも更新されます。リフレッシュしました。
[Core-A] mac-address update arp
この問題を解決するには、最初の方法を使用することをお勧めします。
スイッチにアクセスする際の注意点。
1.ローミングサービスが展開されているスイッチインターフェイスでポートセキュリティ機能を有効にしないでください。有効にすると、2つのインターフェイスが同じMACアドレスを同時に学習できないため、インターフェイスがシャットダウンします。
2. MACドリフト検出機能を有効にしないでください。有効にしないと、対応する対策が講じられます。
デフォルトでは、スイッチはMACアドレスが1つのインターフェイスから別のインターフェイスにドリフトしたことを通知するだけで、何の対策も講じません。
3層ローミングの概要
レイヤ3ローミングの場合、レイヤ2ローミングとの違いはまだ少し大きいです。注意すべき点は、WLAN-ESSインターフェイスがローミングインターフェイスを必要とするVLANを解放する必要があることです。それぞれのWLAN-ESSは、独自のVLANをPVID、およびアクセス層コンバージェンス[コア]対応するインターフェイスは2つのVLANのトラフィックを解放する必要があります。これは非常に重要です。そうでない場合、ローミングしてVLANを解放せずに通過すると、トラフィックが異なります。もう1つは、ポートセキュリティといくつかのメカニズムを展開することです。これらには注意が必要です。
この記事は最初に公開アカウントで公開されました:Network Road Blog