点击上面公众号「关注」和「星标」
回复“加群”获取加群方式
特别说明:以下内容是20年出的第一版无线课程内容,第二版是24年新写的,感兴趣的可以可以看看 【80篇完结】华为AC+AP无线组网实战课程第二版(528集 时长67小时40分钟)
懒人朋友有福了!虚拟机版的eNSP与HCL,打开就能用(不用在担心系统更新、内核变化了)
我们前面两篇讲解了各种规划、部署的,比如数据采用什么方式转发、AC是旁挂还是直连、然后交换机对接AP、以及AC的口采用access还是Trunk的方式,这次我们就来举例几个常见经典场景,整体的讲解下。
经典场景一:AC设备充当路由器、三层、无线三合一
适用场景:小微场景/小企业/无线为主的场景
限制:适合10~100以下的终端数场景,外网必须是固定IP或者是DHCP方式上网,不支持PPPOE拨号
规划:
(1)先了解客户那边是专线光钎固定IP还是政企带宽拨号,如果是拨号的,提前跟运营商那边装机师傅协商好,把猫改成路由模式,因为AC不支持拨号,只能是写IP。
(2)而AC这块配置有多种选择,根据客户常见需求(1)如果客户有线无线都在一个网段,那么可以直接AC上面配置一个地址作为AP上线的源地址,其余客户端以及AP都从猫获取(这种扩展比较差点) (2)如果客户端有线无线都在一个网段,建议是AC对接猫的口划分一个VLAN(不用VLAN1),下接交换机的口单独一个VLAN,这样的架构后期扩展会很方便(3)如果客户端有线无线都不在一个网段,那对应的架构我们采取(2)里面说的,刚说这种扩展性很方便,上接猫的VLAN保持不变,下接交换机的VLAN划分到有线VLAN里面,AP上线也用这个VLAN,然后关于无线这块采用隧道转发模式关联其他VLAN,AC上面单独加无线的VLANIF网关即可,这就是(2)带来的扩展性方便,就算客户那边需要在一个网段还是不在一个网段,架构配置都不需要改动,只需要增加配置就行,比如2个SSID,2个不同的VLAN网段,则只需要对应AC上面把对应的VAP模板启用隧道转发然后关联不同的VLAN即可。
(3)客户端网段上网则需要AC上面做NAT转换,把有线无线的网段转换成AC对接猫获取的那个地址出去上网。
实战练习
1、能够独立完成AC只做一个管理地址,猫作为网关的场景(猫可以用路由器代替)
2、能够独立完成AC与猫单独VLAN对接,下接傻瓜交换机都在一个VLAN网段对接,完成上网(猫可以用路由器代替)
3、在2的基础上面,完成有线跟无线的网段区分,采用学到的知识点(猫可以用路由器代替)
经典场景二:已有有线网络,如何融入进无线网
可以从配置得知,目前整个网络情况 防火墙负责上外网,核心交换机负责内网两个部门的接入互访跟防火墙对接,而接入交换机则用来连接电脑,非常简单的网络,唯一不知道配置的是部门2那台交换机,密码不知道,暂时还不能重启恢复,下面是客户那边已经知道的配置。客户希望在这个基础上面增加一台AC6003,以及几个AP,融入到网络中去,要求接在部门1下面的AP跟部门1有线在同一个网段,接在部门2下面的AP跟部门2的有线在同一个网段,但是要同时发送一个扫描枪用的SSID在单独一个网段(隐藏起来,该网段不需要上网。)
防火墙配置
interfaceGigabitEthernet1/0/0undo shutdownip address 192.168.255.1 255.255.255.0ping permit#interfaceGigabitEthernet1/0/1undo shutdownip address 114.114.114.1 255.255.255.0ping permit#ip route-static 0.0.0.00.0.0.0 114.114.114.114ip route-static192.168.100.0 255.255.255.0 192.168.255.2ip route-static192.168.200.0 255.255.255.0 192.168.255.2#firewall zone trustadd interface GigabitEthernet1/0/0#firewall zone untrustadd interface GigabitEthernet1/0/1#security-policydefault action permit#nat-policyrule name insideGigabitEthernet1/0/1action source-nat easy-ip
三层核心交换机配置
vlan batch 2 3 255#dhcp enable#interface Vlanif255ip address 192.168.255.2 255.255.255.0#interface Vlanif2ip address 192.168.2.254 255.255.255.0dhcp select interfacedhcp server dns-list 114.114.114.114 223.5.5.5#interface Vlanif3ip address 192.168.3.254 255.255.255.0dhcp select interfacedhcp server dns-list 114.114.114.114 223.5.5.5#ip route-static 0.0.0.00.0.0.0 192.168.255.1#interfaceGigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 3 255#interfaceGigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 3 255#interfaceGigabitEthernet0/0/24port link-type acessport default vlan 255
部门1交换机的配置
vlan batch 2 3 255#interfaceGigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 3 255##interface Ethernet0/0/2port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/3port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/4port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/5port link-type accessport default vlan 2stp edged-port enable#
部门2交换机的配置由于没有登陆密码进不去
配置不知,电脑接接口下面获取的都是192.168.200.X网段的地址
客户需求结合实际环境来分析
1、首先客户这边是防火墙做出口上网,三层交换机下面接两个二层交换机(一个属于VLAN2192.168.100.0网段,一个属于VLAN3192.168.200.0网段),其中部门1的接入交换机可以配置,部门2的接入交换机进不去,没办法改配置。
2、客户想加入AC AP,得先看需求,2个部门的AP放2个SSID出来,要求部门1的SSID在192.168.100的网段,部门2的SSID在192.168.200的网段,而且同时放一个SSID出来,在单独的网段(需要隐藏)。
这个时候我们把AP接入到部门1跟2里面去,交换机接AP的口的配置有两种,一种access,直接在对应的业务VLAN里面,另外一种则是Trunk,PVID打上管理VLAN的ID,允许业务与管理VLAN通过,但是这里有个问题所在,就是部门2的交换机由于没有密码,业务又不能中断,没办法重启恢复,那么这台交换机接AP的口就只能是Access,而部门1的交换机则可以配置,我们则采用Trunk,然后打上PVID VLAN,允许管理与业务VLAN通过,剩下的就是最关键的扫描枪的SSID,需要在单独的网段(隐藏),说到单独的网段,那么我们就很快要关联到业务VLAN网段,从部门1的角度来说,由于交换机可以配置,接口下是可以允许业务VLAN传过去的,但是到了部门2交换机,由于不可以配置,没办法透传VLAN,这个时候唯一的解决办法就是,把这个SSID启用隧道转发模式,只有这样它才能在部门2的 Access口实现2个SSID不同VLAN的效果,到这里,交换机接AP的口可以确定下来:部门1交换机接AP的口为Trunk,PVID为管理网段,允许VLAN2 3以及管理网段通过,注意这里一定不要允许启用隧道转发的SSID的VLAN通过,否则数据包是会不通,而部门2交换机接AP的口为access vlan 3(老配置就有,更改不了),而数据转发模式可以得出部门1与2的办公SSID为直接转发模式,因为交换机都可以直接识别,而扫描枪用的SSID则必须为隧道转发,因为部门2的接口为access,识别不到该SSID的VLAN。 接下来看AC的口,通过分析部门1跟2的办公SSID直接转发模式是不需要流量经过AC的,可以采用access模式对接三层交换机,但是由于有隧道转发模式的存在,这个时候就不一样了,隧道转发的话,需要AC上面能够识别到VLAN,并且透传到三层交换机,所以这里三层交换机跟AC之间口的配置就得是Trunk,允许扫描枪对应SSID的VLAN以及自己配置的CAPWAP地址的VLAN通过即可。CAPWAP的VLAN选择,根据整个环境来看,防火墙与三层之间用的192.168.255.0在VLAN 255,我们可以采用VLAN 255的VLAN作为管理VLAN,配置一个192.168.255.3给AC,这样AC AP对接就已经可以确定下来了(注意,部门1交换机接AP的口的PVID这里管理VLAN是255,所以要打上255)。
实际配置的思路
1、三层交换机,需要创建VLAN4以及对应VLANIF开启DHCP,对接G0/0/3的口配置成trunk,允许4与255通过,关于VLAN 3的DHCP要加入option 43的功能
2、部门1交换机对接AP以及三层交换机的口口配置成Trunk,PVID为255,允许2跟255通过
3、部门2交换机对接AP的口由于不能更改,只能为access,从测试来看是属于VLAN3
4、AC的基础配置,需要创建VLAN 4与255,接口为trunk允许4跟255通过,创建255的VLANIF,地址为192.168.255.3,开启DHCP,排除掉255.1跟2地址分配,capwap地址采用vlanif 255,并且写默认路由指向255.2
5、无线业务相关配置,针对部门1的VAP打上VLAN 2的业务VLAN,针对部门2的VAP为默认VLAN1,而扫描枪的SSID为VLAN4,并且启用隧道转发,调用的时候注意,部门1的VAP调用在部门1的AP下,部门2的调用在部门2的AP下面,然后扫描枪的则调用在默认组里面,所有AP都生效。
实战练习
1、能够理解案例2讲解的交换机对接口的规划,为什么要这样
2、在最终调用方面,为什么部门1跟2的VAP只能调用在各自AP下面,而扫描枪则可以调用在默认组
3、独立完成实验,根据博主提供的思路达到客户需求。
其他实用工具获取:
后续有新的网工实用工具分享,都会在腾讯文档,进行归纳汇总(方便大家获取)
复制链接打开或扫图上二维码(公众号所有内容都汇总在里面)https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil
文章版权归网络之路博客/网络之路Blog(公众号/其他平台同名,)所有,转载请标明出处,谢谢,交流群可以加个人微信ciscohuaweih3c,博主拉你进群,Q群 813146133 。(如果群满了,可以公众号后台回复‘加群’获取最新群号)
介绍
整个系列是博主原创课程,针对华为华三组网系列应用部署为主的系列课程,结合实际环境出发,加上了博主部署经验以及会遇到哪些问题等进行综合,做到学以致用,给各位看官朋友一个不一样的学习体验。
【48G实战课程试听】【百度盘】https://pan.baidu.com/s/1VnfGB01qP07guPfTdSdpqw?pwd=1024【夸克盘】https://pan.quark.cn/s/24072dd3b2b9【迅雷盘】https://pan.xunlei.com/s/VO9Cghw_8P_GXbd0haZyp9_8A1?pwd=gqzj#
买过的大佬真实评价
之前由于面包多域名改变,老的链接失效了,评价原地址可以看这 点击这,查看原评论出处
服务
看官朋友购买后,添加博主微信(ciscohuaweih3c),并发送订单号,学员会被加入博主专门VIP解答群,针对学习内容,提供解答、询问,有更好的意见跟建议也可以反馈哦。
其他说明
本合集为电子内容(视频加课件,百度盘与夸克盘下载,视频不加密),一经售出,概不退换。文章与视频版权归网络之路博客(公众号同名)所有,转载请标明出处,谢谢,大家也可以关注公众号以及博主个人微信 ciscohuaweih3c
更多系列,后台回复:1024
-----------------------------------------------------
视频号搜索:网络之路一天
技术支持:ccieh3c.taobao.com
博主原创课程:mbd.pub/o/wlzl/work(公众号回复:实战课程)
PS:因为公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。
期待您的一键三连支持(点赞、在看、分享~)
