神州数码设备二层，三层上线（信息安全与评估赛项AC上线部分） 子网划分

前言

本试验二层上线题目摘自2023年国赛题，三层上线题目为21年某省省题。且只是作为单独上线部分，抽取了必须的vlan做最简单的上线原理。

二层上线题目要求

 Ap连接AC的21口

AC地址表

vlan10	计算得出 10.81.0.254/24
vlan20	计算得出 10.81.1.62/26
vlan101	计算得出 10.81.1.66/30

24.已知原 AP 管理地址为 10.81.0.0/15，为了避免地址浪费请重 新规划和配置 IP 地址段，使用原 AP 所在网络进行地址划分，请完成 配置。

25.已知原 AP 管理地址为 10.81.0.0/15，为了避免地址浪费请重 新规划和配置 IP 地址段，现无线用户 VLAN 10 中需要 127 个终端， 无线用户 VLAN 20 需要 50 个终端，请完成配置。

26.已知原 AP 管理地址为 10.81.0.0/15，为了避免地址浪费请重 新规划和配置 IP 地址段，要求完成在 AC 上配置 DHCP，管理 VLAN 为 VLAN101,为 AP 下发管理地址，网段中第一个可用地址为 AP 管 理地址，最后一个可用地址为 AC 管理地址，保证完成 AP 二层注册； 为无线用户 VLAN10,20 下发 IP 地址，最后一个可用地址为网关

 关于子网划分

掩码	可用主机数	正掩码	反掩码
32	1	255.255.255.255	0.0.0.0
31	0	255.255.255.254	0.0.0.1
30	2	255.255.255.252	0.0.0.3
29	6	255.255.255.248	0.0.0.7
28	14	255.255.255.240	0.0.0.15
27	30	255.255.255.224	0.0.0.31
26	62	255.255.255.192	0.0.0.63
25	126	255.255.255.128	0.0.0.127
24	254	255.255.255.0	0.0.0.255
23	510	255.255.254.0	0.0.1.255
22	1022	255.255.252.0	0.0.3.255
21	2046	255.255.248.0	0.0.7.255
20	4094	255.255.240.0	0.0.15.255
19	8290	255.255.224.0	0.0.31.255
18	16382	255.255.192.0	0.0.63.255
17	32766	255.255.128.0	0.0.127.255
16	65534	255.255.0.0	0.0.255.255
15	131070	255.254.0.0	0.1.255.255

根据题目要求 vlan10 需要127个终端，vlan20 需要50个终端，管理vlan101需要一个地址，

按照从多到少的划分办法，先划分vlan10 通过127（A） 的需求对应可用范围为254（B）--> /24掩码，划分原则是A小于等于B。所以vlan10的范围为10.81.0.1-254 最后一个可用地址为网关所以vlan10 ：10.81.0.254/24

vlan20需要50个终端对应可用范围为 62 -->/26 所以vlan20 地址为：10.81.1.62/26

vlan101虽然需要一个地址，但是由于神州数码设备要求/32为回环口地址，所以选择/30掩码，有2个可用地址，vlan101:10.81.1.66/30

配置过程

在AC上创建vlan,为vlan创建地址

AC

vlan10;20;101

interface Vlan10
 ip address 10.81.0.254 255.255.255.0
!
interface Vlan20
 ip address 10.81.1.62 255.255.255.192
!
interface Vlan101
 ip address 10.81.1.66 255.255.255.252

将AC连接AP的接口设为trunk，设置vlan101为本地vlan

Interface Ethernet1/0/21
 switchport mode trunk
 switchport trunk native vlan 101

开启dhcp协议，创建dhcp地址池

service dhcp
!
ip dhcp pool vlan10
 network-address 10.81.0.0 255.255.255.0
 default-router 10.81.0.254
!
ip dhcp pool vlan20
 network-address 10.81.1.0 255.255.255.192
 default-router 10.81.1.62
!
ip dhcp pool vlan101
 network-address 10.81.1.64 255.255.255.252
 default-router 10.81.1.66

进入wireless进行认证

wireless
 enable                -->开启
 no auto-ip-assign  -->拒绝ip地址自动分配
 ap authentication none   -->ap认证方式为不认证
 discovery vlan-list 101    --> 发现vlan列表为 vlan101
 static-ip  10.81.1.66       -->  手动配置静态ip为管理地址

注意： 

ap认证方式分为：不认证、序列号认证、MAC地址认证，但是为了方便，最好先选择不认证。三层上线同理

验证

三层上线

题目要求与二层上线一致，拓扑发生改变，且vlan10,20 （无线用户）vlan101（管理vlan）被放在了RS上。AC与RS之间通过20口并分配vlan100进行通信直连进行通信。AP接交换机21口

RS地址表

vlan10	计算得出
vlan20	计算得出
vlan101	计算得出
vlan100	192.168.100.1/24	1/0/20
loopback1	1.1.1.1/32

AC地址表

vlan100	192.168.100.2/24	1/0/20
loopback	2.2.2.2/32

 RS/AC

vlan100

int vlan 100

ip add   192.168.100.1(2)/24

int e 1/0/20

sw mo tr

 配置要点

1.配置动态路由ospf，由于vlan10,20,101 地址配置在交换机DCRS上，通过动态路由让AC学习到RS上的无线vlan以及管理vlan。

RS：

router ospf 10
 ospf router-id 1.1.1.1
 network 1.1.1.1/32 area 0
 network 10.81.0.0/24 area 0
 network 10.81.1.0/26 area 0
 network 10.81.1.64/30 area 0

 network 192.168.100.0/24 area 0

AC

router ospf 10
 ospf router-id 2.2.2.2
 network 2.2.2.2/32 area 0

 network 192.168.100.0/24 area 0

os：如果地址表上没给RS跟AC的回环地址，可以自己配一个简单的，我做题的时候给RS：1.1.1.1/32，AC：2.2.2.2/32，回环地址相当于机器的身份标识，做完之后在AC上show ip route，查看AC是否学习到了无线vlan。

2.dhcp服务器中继，RS跟AC都要开启dhcp服务以及dhcp中继服务，

RS/AC

service dhcp
ip forward-protocol udp bootps

RS：

interface Vlan10
 ip helper-address 2.2.2.2 --->让无线vlan去找AC
!
interface Vlan20
 ip helper-address 2.2.2.2

interface Vlan101
 ip helper-address 2.2.2.2
!

3.在AC上设置dhcp地址池                                                                                                                 

 ip dhcp pool vlan10
 network-address 10.81.0.0 255.255.255.0
 default-router 10.81.0.254
!
ip dhcp pool vlan20
 network-address 10.81.1.0 255.255.255.192
 default-router 10.81.1.62
!
ip dhcp pool vlan101
 network-address 10.81.1.64 255.255.255.252
 default-router 10.81.1.66
 option 43 hex 010402020202   

三层上线通过option43上线，哈希密码为0104+AC回环口地址的十六进制，可以使用电脑自带的计算机计算   

4.配置ap认证     

wireless
 enable                -->开启
 no auto-ip-assign  -->拒绝ip地址自动分配
 ap authentication none   -->ap认证方式为不认证
 static-ip  2.2.2.2       -->  手动配置静态ip为option43的hex密码中的回环口地址。

验证

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         `····································