防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)

已于 2024-04-07 08:49:32 修改
阅读量2.8k 收藏 18
点赞数 2
分类专栏: 华为 AC控制器 文章标签: 华为 网络 网络安全
于 2023-03-31 12:01:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiyue112/article/details/129874747
版权

一、业务需求

企业有出口网关【USG】、接入交换机(POE1-3)、AC和AP设备,希望能够部署内外无线网络,为员工提供无线上网服务。

二、组网规划

AC组网方式:旁挂二层组网。

业务数据转发方式:直接转发(缺省方式)。

DHCP部署方式:USG作为DHCP服务器为STA分配IP地址。

AP管理:VLAN 100,网段为10.1.1.0/24。网关为AC上的VLANIF100接口IP。

无线业务:外网VLAN 200,内网VLAN2000,SSID为XXXX,密码为XXXX,网段为192.168.188.0/23和192.168.100.0/24。网关为USG上的VLANIF200和VLANIF2000接口IP。

AC与AP建立管理隧道的源接口:AC上的VLANIF100。

三、网络拓扑

7f9a1bbdba3f4a328eebab415b992fa3.png

 

四、操作步骤

一、配置接入交换机(POE1-3配置一样)

vlan batch 100 200 2000                            //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1                    //进入连接AC的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

interface GigabitEthernet0/0/2                    //进入连接AP的物理接口  
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk pvid vlan 100                             //指定接口的缺省VLAN为AP的管理VLAN 
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

二、配置AC(9700)

1. 透传管理VLAN和业务VLAN(AP方向)

vlan batch 100 200 2000                            //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1                   //进入连接接入交换机的物理接口
 port link-type trunk                                    //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/2                    //进入连接接入交换机的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/3                    //进入连接接入交换机的物理接口
 port link-type trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器(为AP管理)

dhcp enable                                                //打开DHCP总开关

interface Vlanif100                                     //创建管理VLAN的接口
 ip address 10.1.1.2 255.255.255.0           //配置规划好的IP
 dhcp select interface                                //启用接口地址池方式的DHCP服务器功能
 dhcp server excluded-ip-address 10.1.1.1//将互联的AC地址在DHCP地址池中排除 

3. 配置与出口网关二层互联

interface GigabitEthernet0/0/9                    //进入连接USG的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

1. 配置AP上线

(1)指定与AP建立CAPWAP隧道的源接口

interface vlanif 100                                     //创建管理VLAN的接口

 ip address 10.1.1.2 255.255.255.0            //配置规划好的IP

 capwap source interface vlanif 100              //指定源接口为管理VLAN的接口

(3)配置AP认证模式

wlan                                                             //进入WLAN视图

ap auth-mode no-auth                                 //配置AP认证模式为不认证

说明: 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线,示例如下。

94aee26b9e6f4ca48f1372a05406813f.png

2. 配置WLAN业务

(1)配置VAP模板(default)

[AC] vlan batch 200 2000                                                           //创建规划好的业务VLAN

[AC] wlan                                                                  //进入WLAN视图

[AC-wlan-view] security-profile name default                    //创建名为“default ”的安全模板

[AC-wlan-sec-prof-default ] security wpa-wpa2 psk pass-phrase XX aes        //设置无线密码    

[AC-wlan-sec-prof-default ] quit

[AC-wlan-view] ssid-profile name default                                  //创建名为“default ”的SSID模板

[AC-wlan-ssid-prof-default ] ssid default                            //指定SSID为“default ”

[AC-wlan-ssid-prof-default ] quit

[AC-wlan-view] vap-profile name default                                    //创建名为“default ”的VAP模板

[AC-wlan-vap-prof-default ] security-profile default                  //引用安全模板

[AC-wlan-vap-prof-default  ssid-profile default                           //引用SSID模板

[AC-wlan-vap-prof-default ] service-vlan vlan-id 200 2000                 //指定VAP的业务VLAN

[AC-wlan-vap-prof-default ] quit

(2)配置VAP(引用VAP模板)

说明:前面没有配置AP加入单独的AP组,AP会自动加入到名为“default”的AP组中,因此配置默认的AP组“default”引用VAP模板即可。

[AC-wlan-view] ap-group name default

[AC-wlan-ap-group-default] vap-profile default wlan 1 radio all

[AC-wlan-ap-group-default] quit

[AC-wlan-view] quit

四、配置出口网关【USG】

1. 配置USG的LAN侧(与AC二层层互联

配置互联接口VLANIF IP

vlan batch 100 200 2000

interface Vlanif100                                                          //创建规划好的互联VLAN
 ip address 10.1.1.1 255.255.255.0                                //配置规划好的IP 

interface Vlanif200                                                          //创建规划好的互联VLAN
 ip address 192.168.188.254 255.255.254.0                  //配置规划好的IP

interface Vlanif2000                                                        //创建规划好的互联VLAN    
 ip address 192.168.100.254 255.255.255.0                  //配置规划好的IP       

  interface GigabitEthernet0/0/0                                      //进入AC的物理接口               
 portswitch                                                                       //配置二层接口
 port link-type trunk                                                         //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000                       //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器(为AP业务)

interface Vlanif200                                                         //创建规划好的互联VLAN      
 ip address 192.168.188.254 255.255.254.0                 //配置规划好的IP      
 dhcp server mask 255.255.254.0                                  //配置掩码
 dhcp server ip-range 192.168.188.1 192.168.189.253 //地址池范围
 dhcp select interface                                                     //启用接口地址池方式的DHCP服务器功能
 dhcp server gateway-list 192.168.188.254                   //地址池网关
 dhcp server dns-list 60.191.244.5 8.8.8.8                     //配置DNS服务器 主备
#
interface Vlanif2000                                                       //创建规划好的互联VLAN
 ip address 192.168.100.254 255.255.255.0                 //配置规划好的IP 
 dhcp server ip-range 192.168.100.1 192.168.100.253 //地址池范围
 dhcp select interface                                                     //启用接口地址池方式的DHCP服务器功能
 dhcp server gateway-list 192.168.100.254                   //地址池网关
 dhcp server dns-list 60.191.244.5 8.8.8.8                     //配置DNS服务器 主备

3 配置上外网

1 .防火墙区域的划分

firewall zone trust                                                          //安全区域
 set priority 85                                                                //级别85
 add interface GigabitEthernet0/0/0                               //把内网接口加到信任域
 add interface Vlanif100                                                 //把VLAN加到信任域
 add interface Vlanif200                                                 //把VLAN加到信任域
 add interface Vlanif2000                                               //把VLAN加到信任域

firewall zone untrust                                                       //不信任区域
 set priority 5                                                                  //级别5
 add interface Dialer0                                                    //把外网接口加到不信任区域
 add interface WAN0/0/0                                               //把外网接口加到不信任区域

2.安全策略

security-policy                                                             //新建安全策略
 default action permit                                                  //默认放行全部
 rule name shangwang                                               //规则名字
  action permit                                                            //默认放行全部

3.NAT转换

nat-policy                                                                  //新建NAT策略
 rule name shangwang                                             //NAT规则名字
  source-zone trust                                                    //转换的源区域
  destination-zone untrust                                         //转换的目的区域
  action source-nat easy-ip                                        //应用于easy ip

ip route-static 0.0.0.0 0 Dialer 0 //配置默认路由,PPPOE拨号的,没有固定的下一跳地址

测试可以正常上网。

 

 

dream star treasure
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
三层交换机不同网段vlan透传
bienyou的博客
11-11 5471
配置过程: 交换机1: [Huawei]vlan batch 10 20 [Huawei-vlan20]q [Huawei]interface Vlanif 20 [Huawei-Vlanif20]ip address 192.168.1.1 24 [Huawei]interface GigabitEthernet 0/0/2 [Huawei-GigabitEthernet0/0/2]port ...
防火墙的两种组网模式:三层路由网关模式、二层透明网桥模式
网络技术联盟站
05-06 2117
在三层路由网关模式中,防火墙被配置为网络的三层路由网关,与原有的路由器相比,它不仅能够实现路由功能,还具备了防火墙的安全防护能力。通过这种模式,防火墙能够在网络中充当数据包的传输节点,负责对数据包进行路由和安全检查,从而保障网络的安全性。在二层透明网桥模式中,防火墙作为二层透明网桥接入网络,不会改变原有的网络结构,同时可以与路由模式共存。在这种模式下,防火墙会学习网络中的MAC地址,并根据预设的安全策略对数据包进行转发或丢弃,实现网络安全防护。
防火墙组网
坏坏-5的博客
07-05 1161
关于SCSA中防火墙组网的介绍!
防火墙学习3---防火墙旁挂交换机,交换机静态路由引流(主备部署
最新发布
weixin_48030849的博客
05-13 1139
备注:本人学习华为防火墙的笔记记录方式,如有错误,请指出。
防火墙组网方案
zhao__b的博客
12-30 4314
防火墙组网简介 部署模式简介 AF基本应用场景 下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。 接口 AF有哪些接口? 根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。 其中物理口可选择为:路由口、透明口、虚拟网线口、旁路镜像口。 根据接口不同工作层面,可以划分为:二层区域、三层区域、虚拟网线区域。 AF的部署模式是由各个接口的属性决定的。 物理接口 物理接口与AF设备面板上的接口一 一对应(eth0为manage.
H3C华三旁挂防火墙
weixin_45457085的博客
12-09 9387
适用场景: 旁挂防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
WLAN网络配置,旁挂AC
友人A的博客
05-06 4879
一、拓扑图 二、组网需求: 用户希望能在尽可能少的更改现有组网架构的情况下,进行WLAN部署AC只对AP进行集中管理,STA的业务数据不需要转发AC上。 AC通过三层核心SWA连接出口防火墙,并通过SWA和SWB连接AP。通过WLAN部署,提供SSID为public和work的无线网络方便用户接入。SWA作为DHCP服务器为无线用户和AP提供IP地址。 三、规划表: 配置项 数据 WLAN服务 不认证,不加密 AC的源接口 VLANIF200:172.16..
华三AC+AP部署无线配置(配置华三AC+AP)
04-07
华三AC+AP部署无线配置(配置华三AC+AP)
基本 二层 组网 测试指导手册-33页
05-09
二层网络组网测试】是指在局域网络中,通过简单的网络配置,实现设备间的通信,特别是指无线控制器与接入点(AP)的连接方式。本指导手册旨在帮助用户理解并实施不同的二层组网策略,以确保无线设备顺利接入内网并...
无线组网技术-定时器控制LED灯闪烁频率.pptx
11-01
无线组网技术——利用定时器控制LED灯闪烁频率》 无线组网技术在现代通信领域扮演着重要的角色,尤其在物联网(IoT)设备中,精确的定时和控制是必不可少的。本讲座将深入探讨如何利用定时器来控制LED灯的闪烁频率...
无线AP网络组网配置
10-14
现代通信主要有电缆通信、无线电通信、卫星通信、光纤通信、移动通信等,各种通信手段既可以单独运用,自成系统,也可以综合运用组成不同功能的通信网络。随着社会的不断进步,对通信的要求也越来越高,现代通信系统...
两个路由器能串联吗?将两个无线路由器串联在一起的方法介绍
10-01
当我们拥有都台电脑和两个无线路由器的时候,可以考虑将路由器串联在一起使用,那么,两个路由器能串联吗以及两个路由器怎么串联?针对此问题,本文就为大家进行解答,有兴趣的朋友们可以了解下
网工必备知识之——防火墙
yuyeconglong的博客
08-26 1063
防火墙是网工知识体系中非常重要的一环
旁挂防火墙(USG6000V)实验
weixin_72910567的博客
06-09 2419
本实验通过配置旁挂防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂防火墙的理解和应用,提高了网络安全性。
WLAN-案例-2-旁挂二层组网直接转发/隧道转发
梅利333
12-12 538
port trunk allow-pass vlan 10 20 //这里必须要放行20,因为业务数据也要经过AC。不用说了,trunk+pvid ,(AC-AP的管理VLAN)放行管理vlan 以及业务vlan。Wlan 其它的都和直连一样,只有一点区别,就是forward-mode – tunnel。用来分担 AC的业务VLAN下放IP地址,所以要配置DHCP,还要连接上行的路由器。port trunk allow-pass vlan 10 20 //同上。直连和旁挂配置上有什么区别吗?
WLAN 无线二层组网旁挂AC
热门推荐
weixin_54013789的博客
11-29 1万+
function []=greymodel(y) % 计算根据灰色理论模型的预测值。 % 应用的数学模型是 GM(1,1)。 % 原始数据的处理方法:一次累加法。 y=input('请输入数据 '); n=length(y); yy=ones(n,1); yy(1)=y(1); for i=2:n yy(i)=yy(i-1)+y(i); end 在这里插入代码片 ...
h3c ac+ap 2层组网架构web配置案例
IT技术
04-07 2041
h3c ac+ap 2层组网架构web配置案例
WLAN配置实例(一)——二层组网直接转发
永远是少年
09-19 8770
1、基础配置 基础的VLAN、DHCP,接口类型。 2、 (1)AC配置CAPWAP使能接口。 (2)
实验四+二层旁挂式WLAN组网设计
zjy123078_zjy的博客
03-20 5879
班 级: 网络17405班 学 号:xxxx 姓 名: 张xx 实验日期: 2020/3/17 实验课节: 实验三 实验项目 : 二层旁挂式WLAN组网设计 【实验目的】 1.理解二层旁挂组网工作原理。 2.掌握二层旁挂式WLAN组网配置方法。 【实验环境】 1.安装Win10/Win7/XP操作系统的PC计算机。 2.ENSP软件 【实验内容、要求】 为一小型公司组建二层旁挂式无...
华为AC旁挂AC随道转发区别
04-09
华为AC旁挂AC随道转发都是指在无线网络中实现数据快速传输的技术,但是二者的应用场景略有不同。AC旁挂指的是将AC设备与AP设备分离,使得AP设备直接连入核心交换机进行数据转发,从而提高了数据传输的效率。AC随道转发则是针对高密度的公共场所而言,将多个AC设备串联起来作为数据转发的通道,有效避免了无线信号的干扰和穿透问题,保证了用户数据传输的稳定性和速度。需要注意的是,具体采用哪种方案,取决于实际的应用场景和需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值