锐捷AP缺省VLAN和用户VLAN那些事儿 | 运维实战家

“运维实战家”专栏，从技术到实践，和您聊聊运维的那些事儿，讲述运维人的“昨天、今天和明天”

    作者：过嗨涛 田小杨

前言

在进行无线网络部署时，如果AP VLAN和STA VLAN使用相同VLAN时为何会出现无线用户会获取不到IP地址？如果STA VLAN为1而上联交换机配置的Native VLAN不是1时为何无线用户会获取到错误的IP地址？

在无线本地转发的环境下会有小伙伴遇到上述的问题，却不太清楚如何处理，今天为大家剖析下以上两个场景下会出现无线用户无法获取IP地址或获取到错误的IP地址的原因，以及如何解决以上问题。

接口模式知识点回顾

讲解之前，先带大家回顾下交换机接口模式及报文处理方式

交换机接口模式：

• Access：接口只属于一种VLAN，只能接受和发送特定VLAN
• Trunk：接口可以接受和发送多个VLAN的帧，只允许缺省 VLAN的报文发送时不打标签，下图为大家整理了Trunk接口收发帧处理方式，本文分享场景涉及需重点理解
• Hybrid：接口可以接受和发送多个VLAN的帧，可以允许多个VLAN的报文发送时不打标签
• Native VLAN：作用在Turnk和Hybrid端口，所有未划分VLAN的端口默认自动划分到Native VLAN中，交换机的默认Native VLAN是VLAN 1

图1：Trunk接口收发帧处理方式

场景一：AP VLAN与STA VLAN不同场景

首先我们先来看下在AP VLAN与STA VLAN不同场景下，正常无线报文转发流程。在该场景下AP默认Native VLAN 1，上联交换机配置的Native VLAN是AP的VLAN为VLAN 10，无线用户的VLAN是20。用户发送802.11帧达到AP后，AP 将802.11帧转换成以太网帧并插入用户VLAN的TAG，交换机收到数据包后透传TAG 20的数据包向上层交换机转发。

图2：AP VLAN和STA VLAN不同场景下无线上行报文转发流程

数据包返回后，TAG 20的数据包通过交换机转发到AP，AP把带有TAG 20的以太网数据包封装成802.11数据帧转发给用户，该场景下用户收发数据包正常。

 图3：AP VLAN和STA VLAN不同场景下无线下行报文转发流程

场景二：AP VLAN和STA VLAN相同场景

接下来我们看下在AP VLAN和STA VLAN相同的场景下数据包转发会出现什么问题。在该场景下AP默认Native VLAN 1，上联交换机配置的Native VLAN是AP的VLAN为VLAN10，无线用户的VLAN也是10。用户发送802.11帧报文达到AP后，AP 将802.11帧转换成以太网帧并插入用户VLAN的TAG上送交换机，交换机正常接收带有TAG 10的帧，并通过上联正常转发TAG 10的帧（上联默认Native VLAN是1，保留原TAG标签转发）。

图4：AP VLAN和STA VLAN相同场景下无线上行报文转发流程

数据包返回后，交换机正常接收带有TAG 10的帧，由于该TAG是下联Native VLAN，所以交换机将会剥离TAG进行转发，将不带标签的下行数据包转发给AP，由于AP的默认Native VLAN是1，所以不带TAG的帧就打上TAG 1的标签，AP查找用户的VLAN信息无VLAN 1将报文丢弃，导致无线用户无法收到回包，导致用户出现无法获取IP地址、无法上网的的现象。

图5：AP VLAN和STA VLAN相同场景下无线下行报文转发流程

该场景下根据报文转发流程我们找到了问题所在，那该如何解决呢？有两个解决办法，第一个方法是修改AP的Native VLAN为10，修改后下行数据被交换机剥离TAG返回AP时，不带TAG的帧会被AP打上TAG 10的标签转发给用户，让用户正常获取到 VLAN 10所在的IP地址。

Ruijie(config)# ap-config ap-name
Ruijie(config-ap)# ap-vlan 10

图6：AP VLAN和STA VLAN相同场景下修改AP Native VLAN后无线下行报文转发流程

第二个方法是将用户的 VLAN改为1，修改后上行数据AP以UNTAG 1标签转发，到达交换机后，交换机对不带TAG的帧，打上Native VLAN 10的标签，然后正常转发。
下行数据交换机正常接收带有TAG 10的帧，由于该TAG是下联Native VLAN，所以交换机将会剥离TAG后转发给AP，AP将不带TAG的帧打上Native VLAN 1的标签转发，匹配到用户映射的VLAN 1，,这样用户实际也能获得VLAN 10所在的IP地址。

图7：AP VLAN和STA VLAN相同场景下修改用户VLAN后无线上行报文转发流程

图8：AP VLAN和STA VLAN相同场景下修改用户VLAN后无线下行报文转发流程

场景三：STA VLAN为1而上联交换机Native VLAN不是1场景

最后我们看下在STA VLAN为1而上联交换机Native VLAN不是1的场景下会出现什么问题。在该场景下AP默认Native VLAN 1，上联POE交换机配置的Native VLAN是AP的VLAN为VLAN10，无线用户的VLAN也是1。用户发送802.11帧报文达到AP后，由于AP上行口默认Native VLAN是1，导致AP 解封装成802.3帧上送到接入交换机数据是UNTAG 1的标签，交换机对不带TAG的帧打上Native VLAN 10的标签进行转发，导致用户获取到AP所属的VLAN 10的IP地址，而不是所属的VLAN 1的IP地址。

图9：STA VLAN是1而上联交换机Native VLAN不是1场景无线上行报文转发流程

与场景二相同，我们同样可以通过修改AP的Native VLAN解决该问题。将AP的Native VLAN修改为非VLAN 1后（根据习惯一般可选用 AP的VLAN），用户上下行数据包在网络中均以TAG 1的标签进行转发，用户可正常获取VLAN 1的IP地址。

Ruijie(config)# ap-config ap-name
Ruijie(config-ap)# ap-vlan 10

图10：STA VLAN是1而上联交换机Native VLAN不是1场景修改AP Native VLAN后无线上行报文转发流程

图11：STA VLAN是1而上联交换机Native VLAN不是1场景修改AP Native VLAN后无线下行报文转发流程

写在最后

本文作者与大家聊了锐捷AP缺省VLAN和用户VLAN那些事儿，在实际项目作者不建议将用户VLAN 与AP VLAN规划在同一个网段中。如果较多AP都部署在同一个VLAN中，则一个AP和其STA的ARP广播报文将会发送给另一个AP，造成AP收到大量的广播报文冲击AP的CPU，甚至可能导致AP网关的ARP报文湮没在其他AP的ARP报文中造成ARP老化，使得AP通讯异常。因此部署该功能时也需要注意不要将大量的AP部署在同一个VLAN内（建议不要超过2个C类地址）。

最后作者给大家留一个小问题可以结合本文所讲进行思考：在一个无线网络中，规划的无线用户VLAN是10，但网络中使用的POE交换机是不可网管的交换机不可划分VLAN，那配置无线用户的VLAN时候，无线用户的VLAN配置成多少？为什么？