华为无线配置案例
1.项目背景
某酒店现需要搭建无线网络环境,分为访客和内部两部分,访客部分不可以访问酒店内网。
管理vlan20网段
业务vlan30、vlan40网段
2.网络拓扑
3.配置思路
1.网络互通基本配置
2.划分vlan以及配置交换机端口
3.配置ap上线
4.创建vlan以及配置IP地址
vlan batch 10 20 30 40
dhcp enable(开启DHCP服务)
interface Vlanif10
ip address 192.168.1.2 255.255.255.0
dhcp select global(接口应用全局DHCP)
interface Vlanif20
ip address 192.168.2.254 255.255.255.0
dhcp select global(接口应用全局DHCP)
interface Vlanif30
ip address 192.168.3.254 255.255.255.0
dhcp select global(接口应用全局DHCP)
interface Vlanif40
ip address 192.168.4.254 255.255.255.0
dhcp select global(接口应用全局DHCP)
配置交换机端口设置
interface GigabitEthernet0/0/1(连接防火墙端口)
port link-type access
port default vlan 10
interface GigabitEthernet0/0/3(连接AC控制器接口)
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 40
interface GigabitEthernet0/0/4(连接AP端口配置)
port link-type trunk
port trunk pvid vlan 20
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 40
stp edged-port enable
interface GigabitEthernet0/0/5(连接AP端口配置)
port link-type trunk
port trunk pvid vlan 20
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20 30 40
stp edged-port enable
配置交换机DHCP服务
ip pool vlan20
gateway-list 192.168.2.254
network 192.168.2.0 mask 255.255.255.0
excluded-ip-address 192.168.2.200 192.168.2.253
ip pool vlan30
gateway-list 192.168.3.254
network 192.168.3.0 mask 255.255.255.0
excluded-ip-address 192.168.3.200 192.168.3.253
ip pool vlan40
gateway-list 192.168.4.254
network 192.168.4.0 mask 255.255.255.0
excluded-ip-address 192.168.4.200 192.168.4.253
配置AC控制器接口及AP上线
配置无线控制器接口
vlan 20
int vlanif 20
ip add 192.168.2.253 24(虚拟接口地址)
interface GigabitEthernet0/0/3(连接交换机接口)
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 2 to 4094
配置AP上线
#创建AP组,用于将相同配置的AP都加入同一AP组中。
[AC] wlan
[AC-wlan-view] ap-group name default(ap默认上线会进入到默认组,我们这里直接使用默认组)
[AC-wlan-ap-group-ap-group1] quit
#创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn(国家码选择为中国)
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default (将国家码的域模板绑定到默认组)
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit
#配置AC的源接口。
[AC] capwap source interface vlanif 20
配置认证方式为不认证
[AC] wlan
[AC-wlan-view] ap auth-mode no-auth
#将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
[AC-wlan-view] display ap all
配置WLAN业务参数
#创建名为security的安全模板,并配置安全策略。
配置WLAN业务参数
[AC-wlan-view] security-profile name security(SSID密码模板此模板为vlan30所用)
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase admin123 aes(创建SSID密码)
[AC-wlan-sec-prof-wlan-net] quit
[AC-wlan-view] security-profile name vlan40(SSID密码模板此模板为vlan40所用)
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase admin@123 aes(创建SSID密码)
[AC-wlan-sec-prof-wlan-net] quit
#创建名为ssid的SSID模板,并配置SSID名称为vlan30。
[AC-wlan-view] ssid-profile name ssid(创建ssid模板不同的ssid名字需要不同的SSID模板)
[AC-wlan-ssid-prof-wlan-net] ssid vlan30(配置ssid的名字为vlan30)
[AC-wlan-ssid-prof-wlan-net] quit
[AC-wlan-view] ssid-profile name vlan40(创建ssid模板不同的ssid名字需要不同的SSID模板此模板为vlan40所用)
[AC-wlan-ssid-prof-wlan-net] ssid vlan40(配置ssid的名字为vlan30)
[AC-wlan-ssid-prof-wlan-net] quit
#创建名为vap的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板
[AC-wlan-view] vap-profile name vap(vap模板将密码和ssid进行绑定到此模板还有应用那个业务vlan)
[AC-wlan-vap-prof-wlan-net] (默认控制器就是直接转发)
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 30(配置客户拿到的业务vlan)
[AC-wlan-vap-prof-wlan-net] security-profile security (绑定安全模板)
[AC-wlan-vap-prof-wlan-net] ssid-profile ssid (绑定ssid模板)
[AC-wlan-vap-prof-wlan-net] quit
[AC-wlan-view] vap-profile name vap2(vap模板将密码和ssid进行绑定到此模板还要应用那个业务vlan此模板为vlan40所用)
[AC-wlan-vap-prof-wlan-net] (默认控制器就是直接转发)
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 40(配置客户拿到的业务vlan)
[AC-wlan-vap-prof-wlan-net] security-profile vlan40 (绑定安全模板)
[AC-wlan-vap-prof-wlan-net] ssid-profile vlan40 (绑定ssid模板)
[AC-wlan-vap-prof-wlan-net] quit
#配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板vap的配置。
[AC-wlan-view] ap-group name default
[AC-wlan-ap-group-ap-group1] vap-profile vap wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile vap wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] vap-profile vap2 wlan 2 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile vap2 wlan 2 radio 1
[AC-wlan-ap-group-ap-group1]quit
在交换机上配置acl拒绝两边vlan 互访
acl number 3000
rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
acl number 3001
rule 5 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
traffic classifier hufang(流行为)
if-match acl 3000
f-match acl 3001
traffic behavior hufang(流动作匹配动作为deny的动作)
deny
traffic policy hufang
classifier hufang behavior hufang (流策略,将行为和动作进行绑定)
vlan 30
traffic policy hufang inbound
vlan 40
traffic policy hufang inbound
验证客户端是否可以拿到地址
在控制器上查看此用户