防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)

一、业务需求

企业有出口网关【USG】、接入交换机（POE1-3）、AC和AP设备，希望能够部署内外无线网络，为员工提供无线上网服务。

二、组网规划

AC组网方式：旁挂二层组网。

业务数据转发方式：直接转发（缺省方式）。

DHCP部署方式：USG作为DHCP服务器为STA分配IP地址。

AP管理：VLAN 100，网段为10.1.1.0/24。网关为AC上的VLANIF100接口IP。

无线业务：外网VLAN 200，内网VLAN2000,SSID为XXXX，密码为XXXX，网段为192.168.188.0/23和192.168.100.0/24。网关为USG上的VLANIF200和VLANIF2000接口IP。

AC与AP建立管理隧道的源接口：AC上的VLANIF100。

三、网络拓扑

四、操作步骤

一、配置接入交换机（POE1-3配置一样）

vlan batch 100 200 2000 //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1 //进入连接AC的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

interface GigabitEthernet0/0/2 //进入连接AP的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk pvid vlan 100 //指定接口的缺省VLAN为AP的管理VLAN
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

二、配置AC（9700）

1. 透传管理VLAN和业务VLAN（AP方向）

vlan batch 100 200 2000 //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1 //进入连接接入交换机的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/2 //进入连接接入交换机的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/3 //进入连接接入交换机的物理接口
port link-type trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

1. 配置DHCP服务器（为AP管理）

dhcp enable //打开DHCP总开关

interface Vlanif100 //创建管理VLAN的接口
ip address 10.1.1.2 255.255.255.0 //配置规划好的IP
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server excluded-ip-address 10.1.1.1//将互联的AC地址在DHCP地址池中排除

1. 配置与出口网关二层互联

interface GigabitEthernet0/0/9 //进入连接USG的物理接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

1. 配置AP上线

（1）指定与AP建立CAPWAP隧道的源接口

interface vlanif 100 //创建管理VLAN的接口

ip address 10.1.1.2 255.255.255.0 //配置规划好的IP

capwap source interface vlanif 2 //指定源接口为管理VLAN的接口

（3）配置AP认证模式

wlan //进入WLAN视图

ap auth-mode no-auth //配置AP认证模式为不认证

说明： 将AP上电后，当执行命令display ap all查看到AP的“State”字段为“nor”时，表示AP正常上线，示例如下。

2. 配置WLAN业务

（1）配置VAP模板（default）

[AC] vlan batch 200 2000 //创建规划好的业务VLAN

[AC] wlan //进入WLAN视图

[AC-wlan-view] security-profile name default //创建名为“default ”的安全模板

[AC-wlan-sec-prof-default ] security wpa-wpa2 psk pass-phrase XX aes //设置无线密码

[AC-wlan-sec-prof-default ] quit

[AC-wlan-view] ssid-profile name default //创建名为“default ”的SSID模板

[AC-wlan-ssid-prof-default ] ssid default //指定SSID为“default ”

[AC-wlan-ssid-prof-default ] quit

[AC-wlan-view] vap-profile name default //创建名为“default ”的VAP模板

[AC-wlan-vap-prof-default ] security-profile default //引用安全模板

[AC-wlan-vap-prof-default ssid-profile default //引用SSID模板

[AC-wlan-vap-prof-default ] service-vlan vlan-id 200 2000 //指定VAP的业务VLAN

[AC-wlan-vap-prof-default ] quit

（2）配置VAP（引用VAP模板）

说明：前面没有配置AP加入单独的AP组，AP会自动加入到名为“default”的AP组中，因此配置默认的AP组“default”引用VAP模板即可。

[AC-wlan-view] ap-group name default

[AC-wlan-ap-group-default] vap-profile default wlan 1 radio all

[AC-wlan-ap-group-default] quit

[AC-wlan-view] quit

四、配置出口网关【USG】

1. 配置USG的LAN侧（与AC二层层互联）

配置互联接口VLANIF IP

vlan batch 100 200 2000

interface Vlanif100 //创建规划好的互联VLAN
ip address 10.1.1.1 255.255.255.0 //配置规划好的IP

interface Vlanif200 //创建规划好的互联VLAN
ip address 192.168.188.254 255.255.254.0 //配置规划好的IP

interface Vlanif2000 //创建规划好的互联VLAN
ip address 192.168.100.254 255.255.255.0 //配置规划好的IP

interface GigabitEthernet0/0/0 //进入AC的物理接口
portswitch //配置二层接口
port link-type trunk //将接口的链路类型设置为trunk
port trunk allow-pass vlan 100 200 2000 //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器（为AP业务）

interface Vlanif200 //创建规划好的互联VLAN
ip address 192.168.188.254 255.255.254.0 //配置规划好的IP
dhcp server mask 255.255.254.0 //配置掩码
dhcp server ip-range 192.168.188.1 192.168.189.253 //地址池范围
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server gateway-list 192.168.188.254 //地址池网关
dhcp server dns-list 60.191.244.5 8.8.8.8 //配置DNS服务器 主备
#
interface Vlanif2000 //创建规划好的互联VLAN
ip address 192.168.100.254 255.255.255.0 //配置规划好的IP
dhcp server ip-range 192.168.100.1 192.168.100.253 //地址池范围
dhcp select interface //启用接口地址池方式的DHCP服务器功能
dhcp server gateway-list 192.168.100.254 //地址池网关
dhcp server dns-list 60.191.244.5 8.8.8.8 //配置DNS服务器 主备

3 配置上外网

1 .防火墙区域的划分

firewall zone trust //安全区域
set priority 85 //级别85
add interface GigabitEthernet0/0/0 //把内网接口加到信任域
add interface Vlanif100 //把VLAN加到信任域
add interface Vlanif200 //把VLAN加到信任域
add interface Vlanif2000 //把VLAN加到信任域

firewall zone untrust //不信任区域
set priority 5 //级别5
add interface Dialer0 //把外网接口加到不信任区域
add interface WAN0/0/0 //把外网接口加到不信任区域

2.安全策略

security-policy //新建安全策略
default action permit //默认放行全部
rule name shangwang //规则名字
action permit //默认放行全部

3.NAT转换

nat-policy //新建NAT策略
rule name shangwang //NAT规则名字
source-zone trust //转换的源区域
destination-zone untrust //转换的目的区域
action source-nat easy-ip //应用于easy ip

ip route-static 0.0.0.0 0 Dialer 0 //配置默认路由，PPPOE拨号的，没有固定的下一跳地址

测试可以正常上网。