基于三层架构的无线网络规划与业务数据分流的配置（华为）

基于三层架构的无线网络规划与业务数据分流的配置（华为）

									实验最终效果拓扑图

摘要：为了实现局域网内不同业务的流量管理，一般我们会在AP上设置多个不同的SSID来满足用户需求，最终实现数据流量的分流，从而达到更好的流量与网络控制得目的。本将以实验的形式展开论述，如何实现WLAN的业务数据分流。

一、用命令行实现AP上线到AC的配置

我们从前面的课程了解到，AP上线到AC的首要条件是解决有线网络的互通。那么在三层架构的网络中，我们需规划相应网段的IP地址，做好对应路由设置才能实现互通。以下为此次实验的网络设备配置命令：

1.1 SW1的主要配置命令

vlan batch 101 to 102 200 to 202 建立管理与业务网段的vlan 
101 为laoshi的管理vlan
102 为学生的管理vlan
200 为与AC互联的vlan
201 为laoshi的业务vlan
202 为xuesheng的业务vlan

interface Vlanif101
 ip address 192.168.101.1 255.255.255.0
 dhcp select interface
 dhcp server option 43 sub-option 3 ascii 10.10.200.100
 
 设置101的SVI接口来承担laoshi侧AP1的DHCP服务器源接口地址，并告诉AP获取地址后的AC的capwap源地址

interface Vlanif102
 ip address 192.168.102.1 255.255.255.0
 dhcp select interface
 dhcp server option 43 sub-option 3 ascii 10.10.200.100
 
 设置102的SVI接口来承担xuesheng侧AP2的DHCP服务器源接口地址，并告诉AP获取地址后的AC的capwap源地址

interface Vlanif200
 ip address 10.10.200.1 255.255.255.0
互联AC的三层地址

interface Vlanif201
 ip address 172.16.1.1 255.255.255.0
 dhcp select interface
 laoshi侧的STA1获取到业务网段的DHCP服务器

interface Vlanif202
 ip address 172.16.20.1 255.255.255.0
 dhcp select interface
xuesheng侧的STA2获取到业务网段的DHCP服务器

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 101 201

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 102 202

interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 200

1.2 SW2的主要配置命令

vlan batch 101 201

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 101 201

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk pvid vlan 101
 port trunk allow-pass vlan 101 201

1.3 SW2的主要配置命令

vlan batch 102 202

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 102
 port trunk allow-pass vlan 102 202

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 102 202

1.4 AC1的主要配置命令

vlan batch 200

interface Vlanif200
 ip address 10.10.200.100 255.255.255.0

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 200

ip route-static 192.168.101.0 255.255.255.0 10.10.200.1
ip route-static 192.168.102.0 255.255.255.0 10.10.200.1

capwap source interface vlanif200

//laoshi业务配置如下：
wlan

regulatory-domain-profile name laoshi-domain
country-code CN
quit

ap auth-mode no-auth


security-profile name laoshi
security wpa-wpa2 psk pass-phrase gxjmxy@123 aes
quit
ssid-profile name laoshi
ssid laoshi
quit

vap-profile name laoshi
forward-mode direct-forward
service-vlan vlan-id 201 
security-profile laoshi
ssid-profile laoshi

ap-group name laoshi
regulatory-domain-profile laoshi-domain
vap-profile laoshi wlan 1 radio all

//xuesheng业务配置如下：
wlan

regulatory-domain-profile name xuesheng-domain
country-code CN
quit

ap auth-mode no-auth


security-profile name xuesheng
security wpa-wpa2 psk pass-phrase xuesheng aes
quit
ssid-profile name xuesheng
ssid xuesheng
quit

vap-profile name xuesheng
forward-mode direct-forward
service-vlan vlan-id 202 
security-profile xuesheng
ssid-profile xuesheng

ap-group name xuesheng
regulatory-domain-profile xuesheng-domain
vap-profile xuesheng wlan 1 radio all

将AP1加入laoshi组中
wlan
ap-id 0
ap-group laoshi

将AP2加入xuesheng组中
wlan
ap-id 1
ap-group xuesheng

二、验证

老师侧的STA1搜索到信号的SSID为：laoshi

老师侧的STA1连接后的业务网段IP地址：

学生侧的STA1搜索到信号的SSID为：xuesheng

学生侧的STA2连接后的业务网段IP地址：

三、总结：

从以上实验可以看出，学生和老师的业务流量已经分流，如局域网上游具备相关流量控制设备，把源地址匹配上老师或学生的流量即可独立管理。同时类似做出口策略路由（Router-map）或ACL等安全优化，即可快速定位流量指向。