我们前面两篇讲解了各种规划、部署的,比如数据采用什么方式转发、AC是旁挂还是直连、然后交换机对接AP、以及AC的口采用access还是Trunk的方式,这次我们就来举例几个常见经典场景,整体的讲解下。
经典场景一:AC设备充当路由器、三层、无线三合一
适用场景:小微场景/小企业/无线为主的场景
限制:适合10~100以下的终端数场景,外网必须是固定IP或者是DHCP方式上网,不支持PPPOE拨号
规划:
(1)先了解客户那边是专线光钎固定IP还是政企带宽拨号,如果是拨号的,提前跟运营商那边装机师傅协商好,把猫改成路由模式,因为AC不支持拨号,只能是写IP。
(2)而AC这块配置有多种选择,根据客户常见需求(1)如果客户有线无线都在一个网段,那么可以直接AC上面配置一个地址作为AP上线的源地址,其余客户端以及AP都从猫获取(这种扩展比较差点) (2)如果客户端有线无线都在一个网段,建议是AC对接猫的口划分一个VLAN(不用VLAN1),下接交换机的口单独一个VLAN,这样的架构后期扩展会很方便(3)如果客户端有线无线都不在一个网段,那对应的架构我们采取(2)里面说的,刚说这种扩展性很方便,上接猫的VLAN保持不变,下接交换机的VLAN划分到有线VLAN里面,AP上线也用这个VLAN,然后关于无线这块采用隧道转发模式关联其他VLAN,AC上面单独加无线的VLANIF网关即可,这就是(2)带来的扩展性方便,就算客户那边需要在一个网段还是不在一个网段,架构配置都不需要改动,只需要增加配置就行,比如2个SSID,2个不同的VLAN网段,则只需要对应AC上面把对应的VAP模板启用隧道转发然后关联不同的VLAN即可。
(3)客户端网段上网则需要AC上面做NAT转换,把有线无线的网段转换成AC对接猫获取的那个地址出去上网。
实战练习
1、能够独立完成AC只做一个管理地址,猫作为网关的场景(猫可以用路由器代替)
2、能够独立完成AC与猫单独VLAN对接,下接傻瓜交换机都在一个VLAN网段对接,完成上网(猫可以用路由器代替)
3、在2的基础上面,完成有线跟无线的网段区分,采用学到的知识点(猫可以用路由器代替)
经典场景二:已有有线网络,如何融入进无线网
可以从配置得知,目前整个网络情况 防火墙负责上外网,核心交换机负责内网两个部门的接入互访跟防火墙对接,而接入交换机则用来连接电脑,非常简单的网络,唯一不知道配置的是部门2那台交换机,密码不知道,暂时还不能重启恢复,下面是客户那边已经知道的配置。客户希望在这个基础上面增加一台AC6003,以及几个AP,融入到网络中去,要求接在部门1下面的AP跟部门1有线在同一个网段,接在部门2下面的AP跟部门2的有线在同一个网段,但是要同时发送一个扫描枪用的SSID在单独一个网段(隐藏起来,该网段不需要上网。)
防火墙配置
interfaceGigabitEthernet1/0/0
undo shutdown
ip address 192.168.255.1 255.255.255.0
service-manage ping permit
#
interfaceGigabitEthernet1/0/1
undo shutdown
ip address 114.114.114.1 255.255.255.0
service-manage ping permit
#
ip route-static 0.0.0.00.0.0.0 114.114.114.114
ip route-static192.168.100.0 255.255.255.0 192.168.255.2
ip route-static192.168.200.0 255.255.255.0 192.168.255.2
#
firewall zone trust
add interface GigabitEthernet1/0/0
#
firewall zone untrust
add interface GigabitEthernet1/0/1
#
security-policy
default action permit
#
nat-policy
rule name inside
egress-interface GigabitEthernet1/0/1
action source-nat easy-ip三层核心交换机配置
vlan batch 2 3 255
#
dhcp enable
#
interface Vlanif255
ip address 192.168.255.2 255.255.255.0
#
interface Vlanif2
ip address 192.168.2.254 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
interface Vlanif3
ip address 192.168.3.254 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
#
ip route-static 0.0.0.00.0.0.0 192.168.255.1
#
interfaceGigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3 255
#
interfaceGigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 3 255
#
interfaceGigabitEthernet0/0/24
port link-type acess
port default vlan 255部门1交换机的配置
vlan batch 2 3 255
#
interfaceGigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 3 255
#
#
interface Ethernet0/0/2
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/3
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/4
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/5
port link-type access
port default vlan 2
stp edged-port enable
#
部门2交换机的配置由于没有登陆密码进不去
配置不知,电脑接接口下面获取的都是192.168.200.X网段的地址
客户需求结合实际环境来分析
1、首先客户这边是防火墙做出口上网,三层交换机下面接两个二层交换机(一个属于VLAN2192.168.100.0网段,一个属于VLAN3192.168.200.0网段),其中部门1的接入交换机可以配置,部门2的接入交换机进不去,没办法改配置。
2、客户想加入AC AP,得先看需求,2个部门的AP放2个SSID出来,要求部门1的SSID在192.168.100的网段,部门2的SSID在192.168.200的网段,而且同时放一个SSID出来,在单独的网段(需要隐藏)。
这个时候我们把AP接入到部门1跟2里面去,交换机接AP的口的配置有两种,一种access,直接在对应的业务VLAN里面,另外一种则是Trunk,PVID打上管理VLAN的ID,允许业务与管理VLAN通过,但是这里有个问题所在,就是部门2的交换机由于没有密码,业务又不能中断,没办法重启恢复,那么这台交换机接AP的口就只能是Access,而部门1的交换机则可以配置,我们则采用Trunk,然后打上PVID VLAN,允许管理与业务VLAN通过,剩下的就是最关键的扫描枪的SSID,需要在单独的网段(隐藏),说到单独的网段,那么我们就很快要关联到业务VLAN网段,从部门1的角度来说,由于交换机可以配置,接口下是可以允许业务VLAN传过去的,但是到了部门2交换机,由于不可以配置,没办法透传VLAN,这个时候唯一的解决办法就是,把这个SSID启用隧道转发模式,只有这样它才能在部门2的 Access口实现2个SSID不同VLAN的效果,到这里,交换机接AP的口可以确定下来:部门1交换机接AP的口为Trunk,PVID为管理网段,允许VLAN2 3以及管理网段通过,注意这里一定不要允许启用隧道转发的SSID的VLAN通过,否则数据包是会不通,而部门2交换机接AP的口为access vlan 3(老配置就有,更改不了),而数据转发模式可以得出部门1与2的办公SSID为直接转发模式,因为交换机都可以直接识别,而扫描枪用的SSID则必须为隧道转发,因为部门2的接口为access,识别不到该SSID的VLAN。 接下来看AC的口,通过分析部门1跟2的办公SSID直接转发模式是不需要流量经过AC的,可以采用access模式对接三层交换机,但是由于有隧道转发模式的存在,这个时候就不一样了,隧道转发的话,需要AC上面能够识别到VLAN,并且透传到三层交换机,所以这里三层交换机跟AC之间口的配置就得是Trunk,允许扫描枪对应SSID的VLAN以及自己配置的CAPWAP地址的VLAN通过即可。CAPWAP的VLAN选择,根据整个环境来看,防火墙与三层之间用的192.168.255.0在VLAN 255,我们可以采用VLAN 255的VLAN作为管理VLAN,配置一个192.168.255.3给AC,这样AC AP对接就已经可以确定下来了(注意,部门1交换机接AP的口的PVID这里管理VLAN是255,所以要打上255)。
实际配置的思路
1、三层交换机,需要创建VLAN4以及对应VLANIF开启DHCP,对接G0/0/3的口配置成trunk,允许4与255通过,关于VLAN 3的DHCP要加入option 43的功能
2、部门1交换机对接AP以及三层交换机的口口配置成Trunk,PVID为255,允许2跟255通过
3、部门2交换机对接AP的口由于不能更改,只能为access,从测试来看是属于VLAN3
4、AC的基础配置,需要创建VLAN 4与255,接口为trunk允许4跟255通过,创建255的VLANIF,地址为192.168.255.3,开启DHCP,排除掉255.1跟2地址分配,capwap地址采用vlanif 255,并且写默认路由指向255.2
5、无线业务相关配置,针对部门1的VAP打上VLAN 2的业务VLAN,针对部门2的VAP为默认VLAN1,而扫描枪的SSID为VLAN4,并且启用隧道转发,调用的时候注意,部门1的VAP调用在部门1的AP下,部门2的调用在部门2的AP下面,然后扫描枪的则调用在默认组里面,所有AP都生效。
实战练习
1、能够理解案例2讲解的交换机对接口的规划,为什么要这样
2、在最终调用方面,为什么部门1跟2的VAP只能调用在各自AP下面,而扫描枪则可以调用在默认组
3、独立完成实验,根据博主提供的思路达到客户需求。
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)
