基于三层架构的无线网络规划与业务数据分流的配置(华为)
实验最终效果拓扑图
摘要:为了实现局域网内不同业务的流量管理,一般我们会在AP上设置多个不同的SSID来满足用户需求,最终实现数据流量的分流,从而达到更好的流量与网络控制得目的。本将以实验的形式展开论述,如何实现WLAN的业务数据分流。
一、用命令行实现AP上线到AC的配置
我们从前面的课程了解到,AP上线到AC的首要条件是解决有线网络的互通。那么在三层架构的网络中,我们需规划相应网段的IP地址,做好对应路由设置才能实现互通。以下为此次实验的网络设备配置命令:
1.1 SW1的主要配置命令
vlan batch 101 to 102 200 to 202 建立管理与业务网段的vlan
101 为laoshi的管理vlan
102 为学生的管理vlan
200 为与AC互联的vlan
201 为laoshi的业务vlan
202 为xuesheng的业务vlan
interface Vlanif101
ip address 192.168.101.1 255.255.255.0
dhcp select interface
dhcp server option 43 sub-option 3 ascii 10.10.200.100
设置101的SVI接口来承担laoshi侧AP1的DHCP服务器源接口地址,并告诉AP获取地址后的AC的capwap源地址
interface Vlanif102
ip address 192.168.102.1 255.255.255.0
dhcp select interface
dhcp server option 43 sub-option 3 ascii 10.10.200.100
设置102的SVI接口来承担xuesheng侧AP2的DHCP服务器源接口地址,并告诉AP获取地址后的AC的capwap源地址
interface Vlanif200
ip address 10.10.200.1 255.255.255.0
互联AC的三层地址
interface Vlanif201
ip address 172.16.1.1 255.255.255.0
dhcp select interface
laoshi侧的STA1获取到业务网段的DHCP服务器
interface Vlanif202
ip address 172.16.20.1 255.255.255.0
dhcp select interface
xuesheng侧的STA2获取到业务网段的DHCP服务器
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 101 201
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 102 202
interface GigabitEthernet0/0/4
port link-type access
port default vlan 200
1.2 SW2的主要配置命令
vlan batch 101 201
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 101 201
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 101
port trunk allow-pass vlan 101 201
1.3 SW2的主要配置命令
vlan batch 102 202
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 102
port trunk allow-pass vlan 102 202
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 102 202
1.4 AC1的主要配置命令
vlan batch 200
interface Vlanif200
ip address 10.10.200.100 255.255.255.0
interface GigabitEthernet0/0/1
port link-type access
port default vlan 200
ip route-static 192.168.101.0 255.255.255.0 10.10.200.1
ip route-static 192.168.102.0 255.255.255.0 10.10.200.1
capwap source interface vlanif200
//laoshi业务配置如下:
wlan
regulatory-domain-profile name laoshi-domain
country-code CN
quit
ap auth-mode no-auth
security-profile name laoshi
security wpa-wpa2 psk pass-phrase gxjmxy@123 aes
quit
ssid-profile name laoshi
ssid laoshi
quit
vap-profile name laoshi
forward-mode direct-forward
service-vlan vlan-id 201
security-profile laoshi
ssid-profile laoshi
ap-group name laoshi
regulatory-domain-profile laoshi-domain
vap-profile laoshi wlan 1 radio all
//xuesheng业务配置如下:
wlan
regulatory-domain-profile name xuesheng-domain
country-code CN
quit
ap auth-mode no-auth
security-profile name xuesheng
security wpa-wpa2 psk pass-phrase xuesheng aes
quit
ssid-profile name xuesheng
ssid xuesheng
quit
vap-profile name xuesheng
forward-mode direct-forward
service-vlan vlan-id 202
security-profile xuesheng
ssid-profile xuesheng
ap-group name xuesheng
regulatory-domain-profile xuesheng-domain
vap-profile xuesheng wlan 1 radio all
将AP1加入laoshi组中
wlan
ap-id 0
ap-group laoshi
将AP2加入xuesheng组中
wlan
ap-id 1
ap-group xuesheng
二、验证
老师侧的STA1搜索到信号的SSID为:laoshi
老师侧的STA1连接后的业务网段IP地址:
学生侧的STA1搜索到信号的SSID为:xuesheng
学生侧的STA2连接后的业务网段IP地址:
三、总结:
从以上实验可以看出,学生和老师的业务流量已经分流,如局域网上游具备相关流量控制设备,把源地址匹配上老师或学生的流量即可独立管理。同时类似做出口策略路由(Router-map)或ACL等安全优化,即可快速定位流量指向。