0


防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)

一、业务需求

企业有出口网关【USG】、接入交换机(POE1-3)、AC和AP设备,希望能够部署内外无线网络,为员工提供无线上网服务。

二、组网规划

AC组网方式:旁挂二层组网。

业务数据转发方式:直接转发(缺省方式)。

DHCP部署方式:USG作为DHCP服务器为STA分配IP地址。

AP管理:VLAN 100,网段为10.1.1.0/24。网关为AC上的VLANIF100接口IP。

无线业务:外网VLAN 200,内网VLAN2000,SSID为XXXX,密码为XXXX,网段为192.168.188.0/23和192.168.100.0/24。网关为USG上的VLANIF200和VLANIF2000接口IP。

AC与AP建立管理隧道的源接口:AC上的VLANIF100。

三、网络拓扑

四、操作步骤

一、配置接入交换机(POE1-3配置一样)

vlan batch 100 200 2000 //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1 //进入连接AC的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

interface GigabitEthernet0/0/2 //进入连接AP的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk pvid vlan 100 //指定接口的缺省VLAN为AP的管理VLAN
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

二、配置AC(9700)

  1. 透传管理VLAN和业务VLAN(AP方向)

vlan batch 100 200 2000 //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1 //进入连接接入交换机的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/2 //进入连接接入交换机的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/3 //进入连接接入交换机的物理接口
port link-type trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

  1. 配置DHCP服务器(为AP管理)

dhcp enable //打开DHCP总开关

interface Vlanif100 //创建管理VLAN的接口
ip address 10.1.1.2 255.255.255.0 //配置规划好的IP
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server excluded-ip-address 10.1.1.1//将互联的AC地址在DHCP地址池中排除

  1. 配置与出口网关二层互联

interface GigabitEthernet0/0/9 //进入连接USG的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

1. 配置AP上线

(1)指定与AP建立CAPWAP隧道的源接口

interface vlanif 100 //创建管理VLAN的接口

ip address 10.1.1.2 255.255.255.0 //配置规划好的IP

capwap source interface vlanif 2 //指定源接口为管理VLAN的接口

(3)配置AP认证模式

wlan //进入WLAN视图

ap auth-mode no-auth //配置AP认证模式为不认证

说明: 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线,示例如下。

2. 配置WLAN业务

(1)配置VAP模板(default)

[AC] vlan batch 200 2000 //创建规划好的业务VLAN

[AC] wlan //进入WLAN视图

[AC-wlan-view] security-profile name default //创建名为“default ”的安全模板

[AC-wlan-sec-prof-default ] security wpa-wpa2 psk pass-phrase XX aes //设置无线密码

[AC-wlan-sec-prof-default ] quit

[AC-wlan-view] ssid-profile name default //创建名为“default ”的SSID模板

[AC-wlan-ssid-prof-default ] ssid default //指定SSID为“default ”

[AC-wlan-ssid-prof-default ] quit

[AC-wlan-view] vap-profile name default //创建名为“default ”的VAP模板

[AC-wlan-vap-prof-default ] security-profile default //引用安全模板

[AC-wlan-vap-prof-default ssid-profile default //引用SSID模板

[AC-wlan-vap-prof-default ] service-vlan vlan-id 200 2000 //指定VAP的业务VLAN

[AC-wlan-vap-prof-default ] quit

(2)配置VAP(引用VAP模板)

说明:前面没有配置AP加入单独的AP组,AP会自动加入到名为“default”的AP组中,因此配置默认的AP组“default”引用VAP模板即可。

[AC-wlan-view] ap-group name default

[AC-wlan-ap-group-default] vap-profile default wlan 1 radio all

[AC-wlan-ap-group-default] quit

[AC-wlan-view] quit

四、配置出口网关【USG】

1. 配置USG的LAN侧(与AC二层层互联

配置互联接口VLANIF IP

vlan batch 100 200 2000

interface Vlanif100 //创建规划好的互联VLAN
ip address 10.1.1.1 255.255.255.0 //配置规划好的IP

interface Vlanif200 //创建规划好的互联VLAN
ip address 192.168.188.254 255.255.254.0 //配置规划好的IP

interface Vlanif2000 //创建规划好的互联VLAN
ip address 192.168.100.254 255.255.255.0 //配置规划好的IP

interface GigabitEthernet0/0/0 //进入AC的物理接口
portswitch //配置二层接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器(为AP业务)

interface Vlanif200 //创建规划好的互联VLAN
ip address 192.168.188.254 255.255.254.0 //配置规划好的IP
dhcp server mask 255.255.254.0 //配置掩码
dhcp server ip-range 192.168.188.1 192.168.189.253 //地址池范围
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server gateway-list 192.168.188.254 //地址池网关
dhcp server dns-list 60.191.244.5 8.8.8.8 //配置DNS服务器 主备
#
interface Vlanif2000 //创建规划好的互联VLAN
ip address 192.168.100.254 255.255.255.0 //配置规划好的IP
dhcp server ip-range 192.168.100.1 192.168.100.253 //地址池范围
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server gateway-list 192.168.100.254 //地址池网关
dhcp server dns-list 60.191.244.5 8.8.8.8 //配置DNS服务器 主备

3 配置上外网

1 .防火墙区域的划分

firewall zone trust //安全区域
set priority 85 //级别85
add interface GigabitEthernet0/0/0 //把内网接口加到信任域
add interface Vlanif100 //把VLAN加到信任域
add interface Vlanif200 //把VLAN加到信任域
add interface Vlanif2000 //把VLAN加到信任域

firewall zone untrust //不信任区域
set priority 5 //级别5
add interface Dialer0 //把外网接口加到不信任区域
add interface WAN0/0/0 //把外网接口加到不信任区域

2.安全策略

security-policy //新建安全策略
default action permit //默认放行全部
rule name shangwang //规则名字
action permit //默认放行全部

3.NAT转换

nat-policy //新建NAT策略
rule name shangwang //NAT规则名字
source-zone trust //转换的源区域
destination-zone untrust //转换的目的区域
action source-nat easy-ip //应用于easy ip

ip route-static 0.0.0.0 0 Dialer 0 //配置默认路由,PPPOE拨号的,没有固定的下一跳地址

测试可以正常上网。


本文转载自: https://blog.csdn.net/jiyue112/article/details/129874747
版权归原作者 dream star treasure 所有, 如有侵权,请联系我们删除。

“防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)”的评论:

还没有评论