九、如何規劃、部署AC AP融入進網絡（1）

做者：一天  來源公衆號：網絡之路博客（ID：NetworkBlog）

 回顧與擴展

以前講解了8個以上的組網案例，但有的朋友仍是不會運用上去，只會照貓畫虎，作不到學以至用，接下來咱們仍是從以前的幾個案例來深刻了解下如何去規劃、部署AC與AP，在不一樣環境下AC AP如何接入到網絡，採用什麼方式、什麼狀況下用隧道、什麼狀況下用直接轉發，爲何要這樣作。

 

1、什麼是管理VLAN與業務VLAN，爲何須要劃分它？

    AP上線的時候須要獲取一個地址，這個地址網段關聯的VLAN多是VLAN1或者VLAN X，咱們把AP上線的VLAN叫作管理VLAN，SSID對應的網段VLAN，咱們叫作業務VLAN，簡單理解就AP上線用的VLAN爲管理VLAN，實際客戶端業務關聯的VLAN叫作業務VLAN。

 

   管理VLAN與業務VLAN劃分出來的好處（1）減小AP佔用業務VLAN的地址  （2）業務VLAN能夠作不一樣的策略，好比咱們須要對訪客VLAN作限速、隔離、ACL限制，由於有了VLAN網段，作的策略不會影響到管理VLAN以及其餘業務。（3）方便維護，一般管理VLAN是整個網絡設備用的VLAN。

 

這裏出現了一個問題：管理VLAN跟業務VLAN可否是同一個VLAN呢？

那確定是能夠的，在以前咱們的案例環境有過管理、業務在一個VLAN，這種方式只適合小型環境，就是整個網絡裏面就一個網段的時候，咱們就會把業務跟管理VLAN放在一塊兒。

 

2、數據分爲隧道轉發與直接轉發

 在部署無線業務轉發的時候咱們能夠選擇兩種方式，一種直接轉發方式，一種隧道轉發。

（1）直接轉發：爲默認方式方式，客戶端數據包是直接從AP----上層交換機----網關---目的地，完成轉發

（2）隧道轉發：客戶端數據包從AP發出去的時候會封裝CAPWAP報文----上層交換機-----三層----AC去封裝---網關----目的地。

從轉發方式來看，直接轉發是要優於隧道轉發的，直接從網關而後就到目的地出去了，而隧道轉發則須要從網關到AC，AC解封裝後在交給網關，在到目的地，等於饒了一圈，這種路徑就變的次優了，增長了設備的消耗處理，又加大了數據的延遲。

 

3、旁掛與直連組網

在組網結構中，分爲旁掛組網以及直連組網

直接組網方式：在直接組網中，AC會參與的組網中，承載無線甚至有線的的流量，AC在網絡中會充當三層交換機網關或者二層交換機的功能，在小型組網中比較常見。（這裏指AC設備，ACU2這種例外。）

旁掛組網方式：一般AC接在三層或者二層交換機的旁邊，只起到集中管理、配置、維護AP以及客戶端的信息，不參與無線客戶端數據的轉發。（一般狀況下，特殊狀況也會參與，這個咱們後續在分析場景的時候會提到。）

 

最佳部署方案：（1）能旁掛則不直連（2）能直接轉發數據就不選擇隧道  （3）能管理、業務VLAN分開就分開，不選擇都在一塊兒。

 

常見的組網環境

在實際環境中，多樣化的設備就不可以往最理想的環境來規劃跟部署了，會遇到各類各樣的組網環境，以及需求，咱們須要作的就是在比較常見的環境（以下）中如何選擇這幾種方式，要理解爲何要這樣作，這個學會了，那本身規劃、部署常見的無線網絡是沒啥問題了。

一、出口路由器（防火牆）-------傻瓜交換機-----ACAP

二、出口沒有路由器，直接AC充當路由器----傻瓜交換機----AP

三、出口路由器（防火牆）-----二層交換機------ACAP

四、出口路由器（防火牆）-----AC充當三層交換機-----二層或者傻瓜交換機----AP

五、出口路由器（防火牆）-------三層核心交換機------二層----ACAP

六、出口路由器（防火牆）------三層核心交換機------傻瓜交換機-----AC（旁掛在三層上面）---AP

 

再次強調：選擇用旁掛/直連、直接轉發/隧道轉發、可否分管理/業務VLAN的方式，取決於當前的環境跟需求，有什麼設備，客戶的需求是什麼？瞭解好這些後，咱們才能來選擇採用什麼樣的方式。

 

好比這樣一個環境與需求

當咱們瞭解好客戶的環境與需求後，咱們首先要看設備有什麼，這裏一臺路由器、一臺傻瓜交換機、一臺AC、3臺AP，需求呢比較簡單，客戶那就10多我的的小suho辦公區域，客戶但願把無線網絡搭建起來就行，讓員工能夠正常上網，不須要作什麼限制。

 

分析

1、客戶網絡很是簡單，除了辦公電腦之外，就手機終端，人數在10多個，終端數電腦加手機端不超過40，並且不須要作什麼限制，這個就很是關鍵了，不須要作限制，那就能夠直接把有線無線都放入在一個網段裏面（主要交換機是傻瓜的，也無法作多網段），咱們把AR配置對接外網，內網接口配置一個網關，開啓DHCP，下接傻瓜交換機。

 

2、選擇旁掛仍是直連部署，假設咱們直連部署爲AR-----AC----POE交換機----AP（電腦）這種直接組網方式，那麼全部的有線流量跟無線流量都會通過AC。假設是旁掛部署，AR---POE交換機（AC接交換機上面）----AP（電腦），這個時候因爲AC是旁掛在旁邊，那麼不論是有線仍是無線的流量都不會去從AC通過，顯然這個環境下面，咱們選擇旁掛式組網更加好些。

3、選擇直接轉發仍是隧道轉發，首先考慮到咱們採用了旁掛是組網，若是用隧道轉發，那麼流量會從AP1----SW1----AC3---SW1---AR1這樣出去，至關於饒了一圈，而直接轉發的話，則就AP1---SW1---AR1出去了，對比起來，直接轉發是最好的，採用直接轉發模式。

 

4、這裏可否分管理與業務VLAN，客戶這邊有線無線都在一個網段，並且就一個網段，這樣的場景下就不須要作管理與業務VLAN的區分了，直接AP上線與實際業務都在一個網段。

 

5、從分析下來這個環境採用旁掛、直接轉發、管理與業務VLAN在同一個VLAN的場景，對應上面的1、出口路由器（防火牆）-------傻瓜交換機-----ACAP這個場景。

 

PS：對於有經驗的老手來講，這種拓撲一眼就能看出來用什麼組網方式，可是對於剛接觸無線的朋友來講，特別是分了什麼旁掛/直連、管理業務VLAN、直接隧道轉發這麼多的方式的時候，人都搞暈了，因此博主這裏建議新手用排除法來選擇採用什麼方式，當你這種環境遇到比較多了，那麼你天然就可以很輕鬆的判斷出來採用什麼方式，遵照最優原則，能採用最佳的則用最佳。

 

增長需求： 某一天，客戶忽然過來講，他們最近業務發展的不錯，來訪的客戶比較多，出現了一些問題，形成了困擾

（1）有時候員工電腦或者手機獲取不到地址了

（2）來訪的客戶會佔用過多的網速，影響了辦公

 

這個時候咱們又得來分析了

1、致使員工電腦或者手機獲取不到地址，很大多是由於地址池被獲取光了，解決的辦法，第一個擴大地址池（用23或者22的掩碼，以及縮短DHCP租期時間），第一個問題解決了

 

2、佔用過多網速、影響了辦公，相到網速那天然就想到了限速了，問題就出在這了，客戶的有線無線都在一個網段，根本沒辦法來區分哪一個是員工的、哪一個是訪客的。臨時給出一個解決辦法是員工的採用靜態IP，而後作自動分配下來地址範圍的限速，可是客戶以爲這樣太麻煩了，並且對於不懂這方面的來講，容易出錯，這個辦法也pass掉，那剩下的就只有另外來單獨創建一個網段把客戶跟訪客的流量區分開，實現對訪客網段的單獨限速。

 

3、從整個拓撲來看，交換機是傻瓜的根本沒辦法劃分VLAN，這樣就沒辦法用VLAN來區分網段了，在這幾個設備裏面，AC是能夠充當三層交換機，可是咱們缺乏一個透徹VLAN的交換機，AP業務的流量打上不一樣VLAN TAG的 ID後，到達傻瓜交換機就會被丟棄，這個時候咱們咱們的隧道模式就起到做用了，隧道轉發模式它會在業務數據包出AP的時候被封裝上CAPWAP報文，封裝後的報文就至關於AP與AC之間來通訊，不涉及到任何tag信息，當AC收到後會解封裝CAPWAP報文，收到實際的業務報文，在進行處理，數據包已經到達AC，AC上面有對應的VLAN以及VLANIF網關，就能夠直接轉發處理數據包了。這就找到了一個解決辦法，把訪客的SSID關聯一個VLAN ，在AC上面建立對應的VLAN、網段以及DHCP，而且該VAP模板啓用隧道轉發，原先的保存不變。（記得AC與AR之間要有路由哦）

辦公流量： AP1----傻瓜交換機---AR1

訪客流量：AP1（打上CAPWAP報文）---傻瓜交換機----AC1（解封裝）----傻瓜交換機----AR1

 

4、原有的組網是AC旁掛式的，旁掛式在這裏會出現一個問題就是訪客的流量會繞一圈，那麼這種狀況下，咱們把拓撲整改下，改爲直連式組網，把這個問題避免了，進行優化。

辦公流量：AP1----傻瓜交換機---AC---AR1

訪客流量：AP1（打上CAPWAP報文）---傻瓜交換機----AC1（解封裝）---AR1

 

五、關於管理VLAN與業務VLAN：在這個場景下面，咱們來看下，辦公網絡跟有線網絡以及AP上線網絡其實都在一個VLAN裏面的，因此對於無線辦公的來講是管理VLAN與業務VLAN都是同一個，可是對於訪客VLAN來講就不同了，AP上線VLAN是VLAN1，而業務VLAN是VLAN2，因此對於訪客來講管理VLAN與業務VLAN是區分開的。

 

六、因爲VLAN2是在AC上面，可是AR並不知道，因此AC須要寫默認路由去往AR，AR須要寫回程路由指向AC，這樣VLAN2的纔可以正常通訊。這個對應咱們舉例常見場景中的 四、出口路由器（防火牆）-----AC充當三層交換機-----二層或者傻瓜交換機----AP

 

總結：一個小小的需求增長，那麼對應的組網方式都的變更，咱們組網方式的應用是對應客戶實際的設備、需求來對應的選擇，第一個案例：客戶那邊設備比較簡單，路由器、傻瓜交換機、AC/AP，只須要能上網就行，交換機也不支持VLAN，那天然管理業務VLAN都在一塊兒，並且旁掛組網方式更加優化，也支持直接轉發數據方式，因此第一個案例場景就直接選擇了旁掛直接轉發組網方式，管理與業務VLAN都在一塊兒。可是到了第二個案例，客戶一個小小的需求，想把訪客跟辦公的流量區分開，來作限速策略，一旦要作限速，那麼必然是須要來匹配網段的，若是訪客跟辦公網段在一塊兒，那麼沒辦法區分哪一個誰，最好的辦法就是區分網段，因爲交換機是傻瓜交換機，不支持VLAN，因此咱們把訪客採用了隧道轉發，利用CAPWAP封裝實際業務數據包，來讓流量正常轉發，這解決了第一個問題，傻瓜交換機沒辦法區分VLAN，帶來的第二個問題就是，訪客的流量須要饒一圈才能出去，由於咱們採用旁掛組網，流量須要先到AC解封裝，再由AC轉發出去，這個時候咱們用直連組網後，比旁掛要優化不少，數據能夠直接出去了，而不用繞一圈，因此把旁掛改爲直連。整個組網方式的運用要保證幾點（1）知足客戶需求  （2）知足需求的前提下，儘可能使用最佳的組網方式  （3）最佳的組網方式根據實際環境來定，並無絕對的  （4）能夠採用排除法，或者對比法

實戰練習（學以至用，獨立完成）

以上面兩個案例場景，獨立用ENSP模擬出來，能不看以前案例的狀況下獨立能完成，知道爲何要這樣使用，就說明就掌握了。

（1）最開始就簡單的在一個網絡裏面，不區分網段 。

（2）客戶加入一個訪客網段，而且可以作限速。

做者：一天，公衆號：網絡之路博客（ID：NetworkBlog）。讓你的網絡之路不在孤單，一塊兒學習，一塊兒成長。