Contents
旁挂二层组网-直接转发
1.拓扑图
2.配置AR1
<Huawei>sys
[Huawei]sysname AR1
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.111.1 24
[AR1-GigabitEthernet0/0/0]quit
[AR1]ip route-static 192.168.0.0 16 192.168.111.2
3.配置LSW1
<Huawei>SYS
[Huawei]vlan batch 100 101 102 111
[Huawei]interface vlanif 100
[Huawei-Vlanif100]ip address 192.168.100.1 24
[Huawei-Vlanif100]interface vlanif 101
[Huawei-Vlanif101]ip address 192.168.101.1 24
[Huawei-Vlanif101]interface vlanif 102
[Huawei-Vlanif102]ip address 192.168.102.1 24
[Huawei-Vlanif102]interface vlanif 111
[Huawei-Vlanif111]ip address 192.168.111.2 24
[Huawei-Vlanif111]quit
[Huawei]ip route-static 0.0.0.0 0 192.168.111.1
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 111
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 100
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 100 101 102
[Huawei-GigabitEthernet0/0/2]port trunk pvid vlan 100
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]dhcp enable
[Huawei]ip pool vlan100
[Huawei-ip-pool-vlan100]network 192.168.100.0 mask 24
[Huawei-ip-pool-vlan100]gateway-list 192.168.100.1
[Huawei-ip-pool-vlan100]quit
[Huawei-ip-pool-vlan101]network 192.168.101.0 mask 24
[Huawei-ip-pool-vlan101]gateway-list 192.168.101.1
[Huawei-ip-pool-vlan101]dns-list 8.8.8.8
[Huawei-ip-pool-vlan101]quit
[Huawei]ip pool vlan102
[Huawei-ip-pool-vlan102]network 192.168.102.0 mask 24
[Huawei-ip-pool-vlan102]gateway-list 192.168.102.1
[Huawei-ip-pool-vlan102]dns-list 8.8.8.8
[Huawei]interface vlanif100
[Huawei-Vlanif100]dhcp select global
[Huawei-Vlanif100]interface vlanif101
[Huawei-Vlanif101]dhcp select global
[Huawei-Vlanif101]interface vlanif102
[Huawei-Vlanif102]dhcp select global
4.配置LSW2
<Huawei>sys
[Huawei]sysname SW2
[SW2]undo info-center enable
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]quit
[SW2]vlan batch 100 101 102
[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101 102
[SW2-GigabitEthernet0/0/1]port trunk pvid vlan 100
[SW2-GigabitEthernet0/0/1]quit
[SW2]port-group 1to4
[SW2-port-group-1to4]group-member Ethernet 0/0/1 to Ethernet 0/0/4
[SW2-port-group-1to4]port link-type trunk
[SW2-port-group-1to4]port trunk pvid vlan 100
[SW2-port-group-1to4]port trunk allow-pass vlan 100 101 102
5.配置AC
<AC6005>sys
[AC6005]vlan 100
[AC6005-vlan100]quit
[AC6005]interface vlanif 100
[AC6005-Vlanif100]ip address 192.168.100.10 24
[AC6005-Vlanif100]quit
[AC6005]ip route-static 0.0.0.0 0 192.168.100.1
[AC6005]interface GigabitEthernet 0/0/1
[AC6005-GigabitEthernet0/0/1]port link-type access
[AC6005-GigabitEthernet0/0/1]port default vlan 100
6.配置AP上线
6.1.指定和AP建立CAPWAP的地址或接口
<AC>sys
[AC]capwap source interface vlanif 100
6.2.配置域管理模块
[AC6005-wlan-view]regulatory-domain-profile name default
[AC6005-wlan-regulate-domain-default]country-code cn
[AC6005-wlan-regulate-domain-default]quit
6.3.创建AP组
[AC6005-wlan-view]ap-group name ap-office1
[AC6005-wlan-ap-group-ap-office1]regulatory-domain-profile default
[AC6005-wlan-ap-group-ap-office1]quit
[AC6005-wlan-view]ap-group name ap-office2
[AC6005-wlan-ap-group-ap-office2]regulatory-domain-profile default
[AC6005-wlan-ap-group-ap-office2]quit
6.4.连接AP并加入AP组
[AC6005-wlan-view]ap auth-mode mac-auth
[AC6005-wlan-view]ap-id 1 ap-mac 00e0-fcde-45c0
[AC6005-wlan-ap-1]ap-name ap1
[AC6005-wlan-ap-1]ap-group ap-office1
[AC6005-wlan-ap-1]quit
[AC6005-wlan-view]ap auth-mode mac-auth
[AC6005-wlan-view]ap-id 2 ap-mac 00e0-fcfa-4960
[AC6005-wlan-ap-2]ap-group ap-office1
[AC6005-wlan-ap-2]quit
[AC6005-wlan-view]ap auth-mod mac-auth
[AC6005-wlan-view]ap-id 3 ap-mac 00e0-fc45-5830
[AC6005-wlan-ap-3]ap-name ap3
[AC6005-wlan-ap-3]ap-group ap-office2
[AC6005-wlan-ap-3]quit
[AC6005-wlan-view]ap auth-mode mac-auth
[AC6005-wlan-view]ap-id 4 ap-mac 00e0-fc42-7780
[AC6005-wlan-ap-4]ap-name ap4
[AC6005-wlan-ap-4]ap-group ap-office2
[AC6005-wlan-ap-4]quit
6.5.创建SSID模板
[AC6005-wlan-view]ssid-profile name ssid-office1
[AC6005-wlan-ssid-prof-ssid-office1]ssid AP-office1
[AC6005-wlan-ssid-prof-ssid-office1]quit
[AC6005-wlan-view]ssid-profile name ssid-office2
[AC6005-wlan-ssid-prof-ssid-office2]ssid AP-office2
[AC6005-wlan-ssid-prof-ssid-office2]quit
6.6.配置安全模块
[AC6005-wlan-view]security-profile name Sec-office1
[AC6005-wlan-sec-prof-Sec-office1]security wpa-wpa2 psk pass-phrase a1234567 aes
[AC6005-wlan-sec-prof-Sec-office1]quit
[AC6005-wlan-view]security-profile name Sec-office2
[AC6005-wlan-sec-prof-Sec-office2]security wpa-wpa2 psk pass-phrase b1234567 aes
[AC6005-wlan-sec-prof-Sec-office2]quit
6.7.创建vap模块
[AC6005-wlan-view]vap-profile name vap-office1
[AC6005-wlan-vap-prof-vap-office1]forward-mode direct-forward
[AC6005-wlan-vap-prof-vap-office1]service-vlan vlan-id 101
[AC6005-wlan-vap-prof-vap-office1]ssid-profile ssid-office1
[AC6005-wlan-vap-prof-vap-office1]security-profile Sec-office1
[AC6005-wlan-vap-prof-vap-office1]quit
[AC6005-wlan-view]vap-profile name vap-office2
[AC6005-wlan-vap-prof-vap-office2]forward-mode direct-forward
[AC6005-wlan-vap-prof-vap-office2]service-vlan vlan-id 102
[AC6005-wlan-vap-prof-vap-office2]ssid-profile ssid-office2
[AC6005-wlan-vap-prof-vap-office2]security-profile Sec-office2
[AC6005-wlan-vap-prof-vap-office2]quit
6.8.在AP中应用模块
[AC6005-wlan-view]ap-group name ap-office1
[AC6005-wlan-ap-group-ap-office1]vap-profile vap-office1 wlan 1 radio 0
[AC6005-wlan-ap-group-ap-office1]vap-profile vap-office1 wlan 1 radio 1
[AC6005-wlan-ap-group-ap-office1]quit
[AC6005-wlan-view]ap-group name ap-office2
[AC6005-wlan-ap-group-ap-office2]vap-profile vap-office2 wlan 2 radio 0
[AC6005-wlan-ap-group-ap-office2]vap-profile vap-office2 wlan 2 radio 1
7.测试
8.补充思考:
8.1. 为什么AP所接收的DHCP地址是100网段,而不是101或者102?
核心原因在于 port trunk pvid vlan 100 这条命令在 AP 连接的接入交换机端口(LSW2的G0/0/1)以及上行口(LSW1的G0/0/2)上的配置。
让我们详细拆解一下 DHCP 请求和响应的过程:
AP 启动时发送 DHCP Discover 请求: AP 刚启动时,其管理接口(通常是连接交换机的那条物理链路)默认是没有配置 VLAN 的,它发送的 DHCP Discover 请求帧是一个无 VLAN 标签的原始以太网帧(Untagged Frame)。
接入交换机(LSW2)的入端口处理:
AP 连接到 LSW2 的某个端口(例如 G0/0/2-G0/0/4,根据你的
port-group配置)。这个端口组配置了:
port link-type trunkport trunk allow-pass vlan 100 101 102port trunk pvid vlan 100<– 最关键的命令- 入方向规则(对无标签帧): 当 LSW2 在配置了
pvid vlan 100的端口上收到 AP 发来的无标签 DHCP Discover 帧时,交换机会自动给这个帧打上 VLAN 100 的标签。
接入交换机(LSW2)的上行口处理: LSW2 的上行口 G0/0/1 配置了同样的
port trunk pvid vlan 100和允许 VLAN 100/101/102 通过。它将这个带有 VLAN 100 标签的 DHCP Discover 帧,保留着 VLAN 100 的标签,通过 Trunk 链路转发给核心交换机 LSW1 的 G0/0/2 端口。核心交换机(LSW1)的入端口处理:
LSW1 的 G0/0/2 端口也配置了:
port link-type trunkport trunk allow-pass vlan 100 101 102port trunk pvid vlan 100<– 同样关键- 由于收到的帧已经是带有 VLAN 100 标签的帧,所以
pvid命令不再起作用(pvid只处理入站的无标签帧)。交换机会根据 VLAN 100 的标签进行转发。
核心交换机(LSW1)的三层处理:
LSW1 识别出这是一个目的地址是广播地址(255.255.255.255)的 DHCP Discover 请求,并且它位于 VLAN 100 中。
- LSW1 上配置了
interface Vlanif 100并启用了dhcp select global。 - 与
Vlanif 100关联的 DHCP 地址池是vlan100,其网络是192.168.100.0/24,网关是192.168.100.1。 - LSW1 的 DHCP 服务器(在
vlan100地址池中)接收到这个 DHCP Discover 请求。
- LSW1 上配置了
DHCP Offer / Ack 响应: LSW1 的 DHCP 服务器从
192.168.100.0/24网段中分配一个 IP 地址(如 192.168.100.x),并通过Vlanif 100发送 DHCP Offer 和最终的 DHCP Ack 响应帧。这个响应帧是从 VLAN 100 发出的,因此它天然就带有 VLAN 100 的标签。核心交换机(LSW1)的出端口处理: LSW1 将带有 VLAN 100 标签的 DHCP Ack 帧通过 Trunk 端口 G0/0/2 发送出去。
接入交换机(LSW2)的上行口处理: LSW2 的 G0/0/1 端口收到带有 VLAN 100 标签的 DHCP Ack 帧。因为它允许 VLAN 100 通过,它会根据 MAC 地址表将这个帧转发到连接 AP 的端口(假设是 G0/0/2)。
接入交换机(LSW2)的AP端口出方向处理:
这是
port trunk pvid vlan 100另一个关键作用点(出方向):
- 出方向规则(对带标签帧): 当端口需要将带有标签的帧发送给终端设备(AP)时,它会检查标签是否等于该端口的
pvid(这里是 VLAN 100)。 - 规则: 如果出站帧的 VLAN ID 等于端口的
PVID,交换机在将帧发送给终端设备(AP)之前会移除 VLAN 标签。 - 结果: 发送给 AP 的 DHCP Ack 帧,其 VLAN 100 标签被 LSW2 在出端口(G0/0/2)上移除。AP 最终收到的是一个无标签的以太网帧,其中包含了分配给它的 IP 地址
192.168.100.x。
- 出方向规则(对带标签帧): 当端口需要将带有标签的帧发送给终端设备(AP)时,它会检查标签是否等于该端口的
总结为什么是 VLAN 100:
port trunk pvid vlan 100在接入端口和上行 Trunk 端口上的配置,强制将所有来自 AP 的无标签管理流量(包括初始的 DHCP 请求)归类到 VLAN 100。- LSW1 的
Vlanif 100接口及其关联的vlan100DHCP 地址池负责响应这些归类到 VLAN 100 的 DHCP 请求。 - 因此,AP 必然从 VLAN 100 的地址池(192.168.100.0/24)获得 IP 地址。业务 VLAN 101/102 的 DHCP 服务器是为连接在接入交换机用户端口上的普通终端设备(如 PC、手机)准备的,它们发送的 DHCP 请求通常会被接入端口打上相应业务 VLAN 的标签(如果端口配置为 Access 并属于某个业务 VLAN),或者由终端自己打上标签(在特殊配置下,但 AP 初始状态不会)。
8.2. AC 需要加路由 0.0.0.0 0 192.168.100.1 吗?
是的,需要,而且配置文档里已经加上了 [AC6005]ip route-static 0.0.0.0 0 192.168.100.1。这条配置是必须且正确的。
原因如下:
AC 的管理通信: AC 的 IP 地址是
192.168.100.10/24。它需要与同网段(192.168.100.0/24)的 AP 通信(AP 的地址是 192.168.100.x)。这个通信属于直连路由,不需要静态路由。AC 访问其他网络(包括 Internet):
AC 本身通常需要访问外部网络,例如:
- 下载 AP 的软件版本。
- 连接外部的认证服务器(如 RADIUS)。
- 管理员远程管理 AC。
- 访问 NTP 服务器同步时间。
- 访问网管系统。
AC 的路由需求:
- AC 知道它的直连网络是
192.168.100.0/24(因为它配置了interface vlanif 100的 IP)。 - AC 不知道如何到达其他任何网络(如 192.168.101.0/24, 192.168.102.0/24, 192.168.0.0/16, 以及整个 Internet)。
- AC 知道它的直连网络是
下一跳指向 LSW1:
LSW1 的
Vlanif 100地址
192.168.100.1被设计为 VLAN 100 内所有设备(包括 AP 和 AC)的默认网关。
- 这条
ip route-static 0.0.0.0 0 192.168.100.1告诉 AC:“对于所有目的地址不在我直连网络(192.168.100.0/24)的流量,都发送给 192.168.100.1(也就是 LSW1)去处理”。
- 这条
LSW1 的路由能力:
- LSW1 知道如何到达其他内部网络(它有直连路由到 192.168.100.0/24, 192.168.101.0/24, 192.168.102.0/24, 192.168.111.0/24)。
- LSW1 还配置了默认路由
ip route-static 0.0.0.0 0 192.168.111.1指向路由器 AR1,用于访问外部网络(Internet 或其他网络)。 - 因此,当 AC 将去往外部的流量发给 LSW1 (192.168.100.1) 后,LSW1 能够根据它的路由表(包括默认路由)将流量正确地转发出去(可能是转发到其他业务 VLAN 的网关,或者通过 AR1 转发到外部网络)。
结论:
- 没有这条默认路由,AC 将无法访问任何除了同网段 AP 之外的其他网络资源。
- 配置文档中
[AC6005]ip route-static 0.0.0.0 0 192.168.100.1这条命令是正确且必要的,它确保了 AC 能够通过 LSW1 访问外部网络。
8.3.port trunk pvid vlan 的作用
