由浅入深玩转华为WLAN—-7 旁挂+三层+隧道转发方式组网

最新推荐文章于 2025-03-23 12:59:58 发布
最新推荐文章于 2025-03-23 12:59:58 发布
阅读量7.4k 收藏 72
点赞数 6
分类专栏: 由浅入深玩转华为WLAN 文章标签: 旁挂三层隧道转发 华为WLAN 思科 华为 华三无线 网络工程师
文章原创网络之路Blog(其他平台同名,公众号:网络之路博客),用心分享技术的IT人,主要精通思科、华为、H3C路由交换、防火墙、无线、安全系列,希望分享的技术对大家有帮助,原创不易,大家多多支持!
本文链接:https://blog.csdn.net/weixin_46948473/article/details/114482828
版权
本文详细介绍了WLAN配置的两种方式——旁挂组网下的隧道转发与直接转发,适合中小型企业。在隧道模式下,流量经CAPWAP隧道处理;直接转发则由AP本地交换。此外,还讲解了AP静态关联AC的方法、三层交换机配置、AC配置以及如何通过ACL限制客户端流量。示例中提供了具体的配置命令和注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

说明

WLAN配置示例2(旁挂组网隧道 or 直接转发),这种方式比较适合中小型企业,AC旁挂在三层交换机旁边,只是用于来与AP建立CAPWAP隧道,下发业务给AP,如果在隧道方式下的话,那么业务流量也会由CAPWAP隧道进行封装交给AC处理,再由AC来转发,而直接转发的话,则由AP本地交换了,不需要交给AC,这样可以减轻AC的负担,具体使用可以根据需求来决定。

掌握目标

1、理解旁挂组网与直接 or 隧道转发的方式
2、AP静态关联AC的方法【补充,之前都是以动态或者option43方式】
3、三层交换机配置
4、AC的配置
5、只允许访客访问特定的流量,通过ACL下放

wireless

拓扑具体的VLAN信息与IP网段都包括,该实验主要是演示三层组网 旁挂+隧道或者直接转发方式的组网情况,并且包括怎么通过AC上面配置ACL来下放到AP上面限制客户端的流量。

1、理解旁挂组网与直接 or 隧道转发的方式

如果在隧道方式下的话,那么业务流量也会由CAPWAP隧道进行封装交给AC处理,再由AC来转发,而直接转发的话,则由AP本地交换了,不需要交给AC,这样可以减轻AC的负担,还可以配需华为的feature,在AC失效后,AP还能继续为客户端提供业务转发。

2、AP静态关联AC的方法【补充,之前都是以动态或者option43方式】

wireless

在AP上面配置模式为静态,配置自己的IP地址与网关,最后指定AC的地址在哪,重启设备即可。

3、三层交换机配置

dhcp enable

interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface
dhcp server option 43 sub-option 3 ascii 10.1.201.100

这里配置了option 43,指定AC的地址
#
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif200
ip address 10.1.200.2 255.255.255.0
#
interface Vlanif800
ip address 10.1.201.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 200
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 100 to 102 200 800

说明:这里演示是以隧道方式组网演示的,所以交换机接AP的接口都为Access接口,如果是直接转发的话,那么必须为hybrid或者trunk,其中PVID必须等于AC的源地址的VLAN,也就是与AP建立CAPWAP隧道的VLAN,为管理VLAN,然后还需要放行业务VLAN,否则PC关联不上,DHCP获取不到地址。!!!

ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 10.1.200.2 0.0.0.0
network 10.1.201.1 0.0.0.0
area 0.0.0.1
network 10.1.100.1 0.0.0.0
network 10.1.101.1 0.0.0.0
network 10.1.102.1 0.0.0.0

4、AC的配置

acl number 3001
rule 5 permit ip destination 10.1.201.100 0
rule 10 deny ip destination 10.0.0.0 0.255.255.255
rule 15 permit ip
说明:拒绝访客访问内部员工网络

interface Vlanif103
ip address 192.168.103.1 255.255.255.0
traffic-filter inbound acl 3001
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif800
ip address 10.1.201.100 255.255.255.0
#

ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 10.1.201.100 0.0.0.0
area 0.0.0.103
network 192.168.103.1 0.0.0.0

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 102 800

interface Wlan-Ess0
port hybrid untagged vlan 101
#
interface Wlan-Ess1
port hybrid untagged vlan 102
#
interface Wlan-Ess2
port hybrid untagged vlan 103
说明:该接口用来关联每一个服务集的,下发的时候告诉下面的AP打上什么样的VLAN。

wlan
wlan ac source interface vlanif800
ap id 0 type-id 19 mac 00e0-fc03-d740 sn 2102354483106C6FFC3E 【采用MAC认证方式来让AP上线】
ap id 1 type-id 19 mac 00e0-fc03-1360 sn 210235448310646DC543
wmm-profile name wmm id 0
traffic-profile name tra id 0
security-profile name sec id 0
service-set name valn101 id 0 【创建一个服务集,它的转发方式为tunnel,关联了WLAN-ESS0接口,SSID为VLAN 101】
forward-mode tunnel
wlan-ess 0
ssid vlan101
traffic-profile id 0
security-profile id 0
service-vlan 101
service-set name vlan102 id 1
forward-mode tunnel
wlan-ess 1
ssid vlan102
traffic-profile id 0
security-profile id 0
service-vlan 102
service-set name guest103 id 2
forward-mode tunnel
wlan-ess 2
ssid vlan103
user-isolate
traffic-profile id 0
security-profile id 0
service-vlan 103
radio-profile name 2g11n id 0 【指定射频类型为2.4G的,关联WMM】
radio-type 80211bgn
wmm-profile id 0
radio-profile name 5g11n id 1 【指定射频类型为5G的,关联WMM】
radio-type 80211an
wmm-profile id 0
ap 0 radio 0 【在ap的射频下,0表示2.4G,关联刚刚的射频profile,然后关联服务集,服务集是可以关联多个的,可以多个SSID】
radio-profile id 0
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
ap 0 radio 1
radio-profile id 1
channel 40MHz-minus 153
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
ap 1 radio 0
radio-profile id 0
channel 20MHz 6
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
ap 1 radio 1
radio-profile id 1
channel 40MHz-minus 161
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
说明:注意频段不要冲突,这里要手工修改下,模拟器不支持自动分配。

这里用的的tunnel转发模式的,默认情况下为直接,所以如果想为直接的转发模式,可以不需要配置forward-mode tunnel,如果为直接转发的话,那么交换机注意不能为Access接口,必须为hybrid或者trunk,PVID=AC与AP建立CAWPWAP隧道的VLAN,然后给业务VLAN打上Tag,否则会出现客户端连接不了AP,获取不到地址的情况。

5、只允许访客访问特定的流量,通过ACL下放

在tunnel的模式下,所有的流量都是会经过AC上面的VLAN接口的,所以策略是在AC的VLAN接口下做,但是如果是直接转发就不一样了。

acl number 3001
rule 5 permit ip destination 10.1.201.100 0
rule 10 deny ip destination 10.0.0.0 0.255.255.255
rule 15 permit ip
说明:拒绝访客访问内部员工网络

service-set name guest103 id 2
traffic-filter inbound acl 3001

它会在AP关联的时候,就会自动下发给AP,那么AP的接口上面就会有该ACL,直接在AP上面对客户端的流量做限制。所以在做控制的时候,一定要区分是在什么方式下,是直接转发还是隧道转发,不同的模式,策略应用的方式也不一样。

wireless
wireless
wireless
wireless源文件:http://pan.baidu.com/s/1i5oEjmX

如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

线三层隧道转发和直接转发
w2685797168的博客
07-03 809
线三层组网隧道转发和直接转发) 背景:某IT公司在北京设立的办事处计划升级其网络基础设施,以满足日益增长的无线接入需求。办事处内设有两个主要部门:IT部和人事部,每个部门对网络资源的访问需求各有侧重。为了实现高效、安全的无线网络覆盖,公司决定部署一套无线局域网(WLAN)系统,包括一台无线控制器(AC)和两台无线接入点(AP)。作为网络管理员,我将负责设计并实施这一无线网络方案。
WLAN配置三层隧道转发
qq_44751470的博客
06-10 2818
示例图 一、实验目的 1、配置三层AC隧道转发 二、注意事项 三、简单查询 四、简单配置 LSWA sysname LSWA # vlan batch 100 to 102 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 to 102 # interface GigabitEthernet0/0/2 port link-type trunk port trunk pvid v
WLAN实验-三层组网隧道转发
qq_45959697的博客
03-20 1万+
三层组网隧道转发
由浅入深玩转华为WLAN----7 +三层+隧道转发方式组网1
08-03
1、理解组网与直接 or 隧道转发方式 2、AP 静态关联 AC 的方法【补充,之前都是以动态或者 option43 方式】 3、三层交换机配置 4、AC
网络工程师必备技能:AP-AC采用隧道模式与直接模式
最新发布
2401_82888938的博客
03-23 948
在网络拓扑图中,AP1和AP2通过CAPWAP隧道连接到AC1。当STA1、STA2、STA3等无线设备与AP通信时,数据会按照上述过程进行传输。例如,当STA1访问外网资源时,其发送的数据会先被AP1捕获并封装,通过隧道发送到AC1,再由AC1转发到外网设备。相反,外网设备返回的数据也会通过AC1封装后发送回AP1,最终到达STA1。
由浅入深玩转华为WLAN----7 +三层+隧道转发方式组网.zip
05-29
由浅入深玩转华为WLAN----7 +三层+隧道转发方式组网由浅入深玩转华为WLAN----7 +三层+隧道转发方式组网
WLAN配置实例(二)——三层组网隧道转发
永远是少年
09-19 6694
今天继续给大家介绍WLAN,本文主要使用华为eNSP模拟器,实现了Fit AP架构下WLAN三层组网CAPWAP隧道转发的配置实例。 推荐阅读: WLAN配置实例(一)——二层组网直接转发 上一篇文章中与本实验有较大的重叠,关于上一篇实验与本实验重叠的部分,在本文中就不过多介绍,因此,如果您对Fit AP配置还存在疑惑,欢迎查阅上一篇文章。 一、实验拓扑及要求 实验拓扑如上图所示,现在要求按照图中要求配置Fit AP架构中三层组网隧道转发,DHCP服务器为LSW1,AP与AC之间处于不同的VLAN之内不能
eNSP中配置WLAN三层组网直接转发
UID506789241的博客
06-09 4955
以有线电缆或光纤作为传输介质的有线局域网应用广泛,但有线传输介质的铺设成本高,位置固定,移动性差。随着人们对网络的便携性和移动性的要求日益增强,传统的有线网络已经无法满足需求,WLAN (Wireless Local Area Network,无线局域网)技术应运而生。目前,WLAN已经成为一种经济、高效的网络接入方式
由浅入深玩转华为WLAN----6 直连二层组网+直接转发方式组网.zip
05-29
在深入探讨华为WLAN的直连二层组网与直接转发方式之前,我们先要理解无线局域网络(WLAN)的基本概念。WLAN是一种利用无线电波或微波频段进行无线连接的局域网络技术,它使得用户无需物理线路即可实现设备之间的通信...
由浅入深玩转华为WLAN——2 三层组网AP上线1
08-03
在本文中,我们将深入探讨华为WLAN三层组网AP上线配置,这是一项关键技能,特别是在构建企业级无线网络时。三层组网允许AP通过独立的VLAN与AC通信,提高了网络的灵活性和管理效率。 首先,理解无线三层组网的特点...
由浅入深玩转华为WLAN----5 AP上线与对接交换机接口配置注意事项1
08-03
本文将深入探讨华为WLAN中AP上线与对接交换机接口配置的关键点,这对于构建稳定且高效的企业级无线网络至关重要。首先,WLAN业务配置通常涉及一个管理VLAN和一个或多个业务VLAN。管理VLAN用于AP与AC之间的通信,而...
WLAN-案例-4-三层组网(直接转发/隧道转发
梅利333
12-12 1376
option 43 sub-option 3 ascii 192.168.11.1 //通过三层方式 告诉AP,AC是哪一台。interface GigabitEthernet0/0/2 //连接AC的接口。interface GigabitEthernet0/0/2 //连接AC的接口。遵循隧道模式的原则,所有的数据都 会走AC,所以在关键接口上一定要放行相应的业备流量。看好是哪种转发模式,是直接转发的,那么业务流量不走AC。无论你是二层组网,还是二层组网,1 和AC 的连接,
华为ac6605组网三层漫游
10-23
使用ensp加载,里面全部备注很详细,同一个配置里面可以同一个vlan,也可以不同vlan分配,管理和流量分开vlan,非常详细
配置无线WLAN三层组网直接转发
征途是星辰大海
09-19 2531
配置接入交换机 SwitchA 的 GE0/0/1 和 GE0/0/2 接口加入 VLAN10、 VLAN101 和 VLAN102,GE0/0/1 的缺省 VLAN 为 VLAN10。建议在与 AP 直连的设备接口上配置端口隔离,如果不配置端口隔离,尤 其是业务数据转发方式采用直接转发时,可能会在 VLAN 内形成大量不必 要的广播报文,导致网络阻塞,影响用户体验。VLAN102,接口 GE0/0/2 加入 VLAN100,接口 GE0/0/3 加入 VLAN101 和。
三无线实验AC三层组网+本地转发
weixin_44410393的博客
10-20 1万+
H3C三无线AC三层本地转发组网实验
用ENSP模拟WLAN线隧道转发与直接转发配置与报文解析
m0_67822797的博客
01-19 5642
port trunk allow-pass vlan 100 由于隧道转发只需要放通vlan100为AP管理vlan。interface Ethernet0/0/4 AP互联口放通vlan101(因为直接转发流量不经过AC)interface Ethernet0/0/3 AP互联口放通vlan101(因为直接转发流量不经过AC)
华为--线隧道和直通两种方式的配置
weixin_64991930的博客
04-03 2475
WLAN-----线局域网 有线组网概念:AC连接方式式 无线组网:无线电磁波 使用频段 2.4GHz\5GHz 无线组网概念:BSS/SSID/BSSID、、ESS BSS基本服务集 SSID服务集标识 ESS=多个BSS 无线组网概念:VAP WLAN工作流程概述 AP上线与AC连接 AP获取IP 静态手动配置 DHCP 使用AC的DHCP服务器 A
WLAN基础 无线局域网配置方法 三层组网隧道转发方式配置
热门推荐
运维派大星
09-23 1万+
WLAN基础 无线局域网配置方法 三层组网隧道转发方式配置
华为配置二层组网隧道转发示例
专研计算机网络,数据通信,网络安全,系统集成
04-10 1631
在AC上离线导入AP,并将AP加入AP组“ap-group1”中。V200R021C00版本开始,配置CAPWAP源接口或源地址时,会检查和安全相关的配置是否已存在,包括DTLS加密的PSK、AC间DTLS加密的PSK、登录AP的用户名和密码、全局离线管理VAP的登录密码,均已存在才能成功配置,否则会提示用户先完成相关的配置。开启该功能,添加AP时AP会上线失败,此时需要先开启CAPWAP DTLS不认证方式让AP上线,以便AP获取安全凭证,AP上线后应及时关闭该功能,避免未授权AP上线
ensp三层隧道转发
12-25
在ENSP中进行三层隧道转发的配置如下: 1. 配置AC: ```shell [AC] interface GigabitEthernet0/0/1 [AC-GigabitEthernet0/0/1] port link-type trunk [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 30 40 ``` 2. 配置SW1: ```shell [SW1] interface GigabitEthernet0/0/1 [SW1-GigabitEthernet0/0/1] port link-type trunk [SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 30 40 [SW1] interface GigabitEthernet0/0/2 [SW1-GigabitEthernet0/0/2] port link-type trunk [SW1-GigabitEthernet0/0/2] port trunk pvid vlan 40 [SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 30 40 [SW1] interface GigabitEthernet0/0/3 [SW1-GigabitEthernet0/0/3] port link-type trunk [SW1-GigabitEthernet0/0/3] port trunk pvid vlan 40 [SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 30 40 ``` 3. 配置隧道转发: ```shell [SW1] interface GigabitEthernet0/0/1 [SW1-GigabitEthernet0/0/1] port link-type trunk [SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 30 40 [SW1-GigabitEthernet0/0/1] dot1q termination vid 30 [SW1-GigabitEthernet0/0/1] dot1q termination vid 40 [SW1-GigabitEthernet0/0/1] quit [SW1] interface GigabitEthernet0/0/2 [SW1-GigabitEthernet0/0/2] port link-type trunk [SW1-GigabitEthernet0/0/2] port trunk pvid vlan 40 [SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 30 40 [SW1-GigabitEthernet0/0/2] dot1q termination vid 30 [SW1-GigabitEthernet0/0/2] dot1q termination vid 40 [SW1-GigabitEthernet0/0/2] quit [SW1] interface GigabitEthernet0/0/3 [SW1-GigabitEthernet0/0/3] port link-type trunk [SW1-GigabitEthernet0/0/3] port trunk pvid vlan 40 [SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 30 40 [SW1-GigabitEthernet0/0/3] dot1q termination vid 30 [SW1-GigabitEthernet0/0/3] dot1q termination vid 40 [SW1-GigabitEthernet0/0/3] quit ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值