一、业务需求
企业有出口网关【USG】、接入交换机(POE1-3)、AC和AP设备,希望能够部署内外无线网络,为员工提供无线上网服务。
二、组网规划
AC组网方式:旁挂二层组网。
业务数据转发方式:直接转发(缺省方式)。
DHCP部署方式:USG作为DHCP服务器为STA分配IP地址。
AP管理:VLAN 100,网段为10.1.1.0/24。网关为AC上的VLANIF100接口IP。
无线业务:外网VLAN 200,内网VLAN2000,SSID为XXXX,密码为XXXX,网段为192.168.188.0/23和192.168.100.0/24。网关为USG上的VLANIF200和VLANIF2000接口IP。
AC与AP建立管理隧道的源接口:AC上的VLANIF100。
三、网络拓扑
四、操作步骤
一、配置接入交换机(POE1-3配置一样)
vlan batch 100 200 2000 //创建规划好的管理VLAN和业务VLAN
interface GigabitEthernet0/0/1 //进入连接AC的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
interface GigabitEthernet0/0/2 //进入连接AP的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk pvid vlan 100 //指定接口的缺省VLAN为AP的管理VLAN
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
二、配置AC(9700)
- 透传管理VLAN和业务VLAN(AP方向)
vlan batch 100 200 2000 //创建规划好的管理VLAN和业务VLAN
interface GigabitEthernet0/0/1 //进入连接接入交换机的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/2 //进入连接接入交换机的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/3 //进入连接接入交换机的物理接口
port link-type trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
- 配置DHCP服务器(为AP管理)
dhcp enable //打开DHCP总开关
interface Vlanif100 //创建管理VLAN的接口
ip address 10.1.1.2 255.255.255.0 //配置规划好的IP
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server excluded-ip-address 10.1.1.1//将互联的AC地址在DHCP地址池中排除
- 配置与出口网关二层互联
interface GigabitEthernet0/0/9 //进入连接USG的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
1. 配置AP上线
(1)指定与AP建立CAPWAP隧道的源接口
interface vlanif 100 //创建管理VLAN的接口
ip address 10.1.1.2 255.255.255.0 //配置规划好的IP
capwap source interface vlanif 2 //指定源接口为管理VLAN的接口
(3)配置AP认证模式
wlan //进入WLAN视图
ap auth-mode no-auth //配置AP认证模式为不认证
说明: 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线,示例如下。
2. 配置WLAN业务
(1)配置VAP模板(default)
[AC] vlan batch 200 2000 //创建规划好的业务VLAN
[AC] wlan //进入WLAN视图
[AC-wlan-view] security-profile name default //创建名为“default ”的安全模板
[AC-wlan-sec-prof-default ] security wpa-wpa2 psk pass-phrase XX aes //设置无线密码
[AC-wlan-sec-prof-default ] quit
[AC-wlan-view] ssid-profile name default //创建名为“default ”的SSID模板
[AC-wlan-ssid-prof-default ] ssid default //指定SSID为“default ”
[AC-wlan-ssid-prof-default ] quit
[AC-wlan-view] vap-profile name default //创建名为“default ”的VAP模板
[AC-wlan-vap-prof-default ] security-profile default //引用安全模板
[AC-wlan-vap-prof-default ssid-profile default //引用SSID模板
[AC-wlan-vap-prof-default ] service-vlan vlan-id 200 2000 //指定VAP的业务VLAN
[AC-wlan-vap-prof-default ] quit
(2)配置VAP(引用VAP模板)
说明:前面没有配置AP加入单独的AP组,AP会自动加入到名为“default”的AP组中,因此配置默认的AP组“default”引用VAP模板即可。
[AC-wlan-view] ap-group name default
[AC-wlan-ap-group-default] vap-profile default wlan 1 radio all
[AC-wlan-ap-group-default] quit
[AC-wlan-view] quit
四、配置出口网关【USG】
1. 配置USG的LAN侧(与AC二层层互联)
配置互联接口VLANIF IP
vlan batch 100 200 2000
interface Vlanif100 //创建规划好的互联VLAN
ip address 10.1.1.1 255.255.255.0 //配置规划好的IP
interface Vlanif200 //创建规划好的互联VLAN
ip address 192.168.188.254 255.255.254.0 //配置规划好的IP
interface Vlanif2000 //创建规划好的互联VLAN
ip address 192.168.100.254 255.255.255.0 //配置规划好的IP
interface GigabitEthernet0/0/0 //进入AC的物理接口
portswitch //配置二层接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
2. 配置DHCP服务器(为AP业务)
interface Vlanif200 //创建规划好的互联VLAN
ip address 192.168.188.254 255.255.254.0 //配置规划好的IP
dhcp server mask 255.255.254.0 //配置掩码
dhcp server ip-range 192.168.188.1 192.168.189.253 //地址池范围
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server gateway-list 192.168.188.254 //地址池网关
dhcp server dns-list 60.191.244.5 8.8.8.8 //配置DNS服务器 主备
#
interface Vlanif2000 //创建规划好的互联VLAN
ip address 192.168.100.254 255.255.255.0 //配置规划好的IP
dhcp server ip-range 192.168.100.1 192.168.100.253 //地址池范围
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server gateway-list 192.168.100.254 //地址池网关
dhcp server dns-list 60.191.244.5 8.8.8.8 //配置DNS服务器 主备
3 配置上外网
1 .防火墙区域的划分
firewall zone trust //安全区域
set priority 85 //级别85
add interface GigabitEthernet0/0/0 //把内网接口加到信任域
add interface Vlanif100 //把VLAN加到信任域
add interface Vlanif200 //把VLAN加到信任域
add interface Vlanif2000 //把VLAN加到信任域
firewall zone untrust //不信任区域
set priority 5 //级别5
add interface Dialer0 //把外网接口加到不信任区域
add interface WAN0/0/0 //把外网接口加到不信任区域
2.安全策略
security-policy //新建安全策略
default action permit //默认放行全部
rule name shangwang //规则名字
action permit //默认放行全部
3.NAT转换
nat-policy //新建NAT策略
rule name shangwang //NAT规则名字
source-zone trust //转换的源区域
destination-zone untrust //转换的目的区域
action source-nat easy-ip //应用于easy ip
ip route-static 0.0.0.0 0 Dialer 0 //配置默认路由,PPPOE拨号的,没有固定的下一跳地址
测试可以正常上网。
版权归原作者 dream star treasure 所有, 如有侵权,请联系我们删除。