八、關於中大型網絡無線對比中小型的區別點

以前標題一直寫着小型企業組網，其實這個有點不嚴謹了，不論是中小型、仍是大型，都離不開AP上線、業務配置、而後關聯VAP、關聯組，而後下發的步驟，區別就是組網環境複雜度  中小型環境（1）出口有路由器或者防火牆（2）有核心交換機（承擔有線跟無線的網關）（3）AC+AP （4）接入終端的傻瓜或者可配置交換機   大中型環境（1）雙核心熱備（堆疊、VRRP）（2）雙防火牆（熱備）（3）雙AC（熱備）（4）區域比較多，接入設備、AP數量較多（5）有分支，須要統一管理等（6）認證方式多樣化需求密碼認證、微信認證、portal網頁認證、dot1x認證、MAC認證

好比最近忙的2個項目 （課程拖更了，弄了2個項目，因此有點忙不過來）

看着設備其實挺多的，光核心就6套、AC一個、AP131個、有線交換機15臺，POE交換機34臺

當了解客戶需求後，而後規劃拓撲後發現，其實跟咱們日常的組網沒多大區別，同樣是AC旁掛核心旁邊，而後下面匯聚交換機，在接AP以及終端，無線業務這塊的配置仍是圍繞着AP上線、AP升級、業務配置、關聯到組，難點增長的地方就是在覈心作了IRF2（堆疊），堆疊後就至關於一臺核心交換機了，以及下面設備雙鏈路接核心要作鏈路捆綁（聚合），剩下的對接無非就是劃入到某個VLAN，對接AP的口根據轉發模式作trunk仍是Access便可。

這個是羣裏小夥伴找我協助調試的一個項目，需求以及拓撲跟上面相似。說這麼多，其實想說下在無線網絡裏面的小、中、大型網絡總體的部署思路是同樣的，區別就是規模程度，越大型總體環境越複雜，複雜在出口、核心的設計以及匯聚接入的數量上，從AC的配置角度看起始沒多大區別的，無論AP多少，都是統一配置下發。（這個部署過程原本想總體錄製視頻講解的，可是變數太多，沒錄製成，有點遺憾。）

（這裏標題以前是小型企業無線網絡部署，改了下 改爲企業無線網部署更爲合理），固然中大型網絡隨着AP的數量增多，須要考慮的因素也多了，好比干擾、漫遊、認證方式、可靠用性等，這個就是咱們接下來要來詳細瞭解的。

補充一個工做中比較常見的組網場景

這有是一個工做中比較典型的案例，防火牆作出口，下接三層交換機，三層交換機充當各個網關（包括有線、無線的） AC旁掛，只管理AP用，而後業務是2個SSID，關聯不一樣的VLAN，這個案例以前的環境中都沒有演示過，這裏講解下。

 

外網

[internet]interface  g0/0/0

[internet-GigabitEthernet0/0/0]ip address 114.114.114.114 24

 

出口防火牆

 

[USG6000V1]interface  g1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip address 114.114.114.1 24

[USG6000V1-GigabitEthernet1/0/1]gateway 114.114.114.114

#

[USG6000V1]interface  g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.100.1 24

[USG6000V1-GigabitEthernet1/0/0]service-manage all permit

#

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add  interface g1/0/0

#

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add  interface g1/0/1

#

[USG6000V1]security-policy

[USG6000V1-policy-security]default  action permit

#

[USG6000V1-policy-nat]rule name internet

[USG6000V1-policy-nat-rule-internet]action  source-nat easy-ip

#

[USG6000V1]ip route-static 192.168.10.0 24 192.168.100.2

[USG6000V1]ip route-static 192.168.20.0 24 192.168.100.2

[USG6000V1]ip route-static 192.168.30.0 24 192.168.100.2

#

三層交換機配置

[L3SW]vlan batch 10 2030 100

#

[L3SW]dhcp enable

#

[L3SW]interface  vlan 10

[L3SW-Vlanif10]ip address 192.168.10.254 24

[L3SW-Vlanif10]dhcp select interface

[L3SW-Vlanif10]dhcp server dns-list 223.5.5.5 223.6.6.6

#

[L3SW]interface  vlan 20

[L3SW-Vlanif20]ip address 192.168.20.254 24

[L3SW-Vlanif20]dhcp select interface

[L3SW-Vlanif20]dhcp server dns-list 223.5.5.5 223.6.6.6

#

[L3SW]interface  vlan 30

[L3SW-Vlanif30]ip address 192.168.30.254 24

[L3SW-Vlanif30]dhcp select interface

[L3SW-Vlanif30]dhcp server dns-list 223.5.5.5 223.6.6.6

#

[L3SW]interface  vlan 100

[L3SW-Vlanif100]ip address 192.168.100.2 24

[L3SW-Vlanif100]dhcp select interface

[L3SW-Vlanif100]dhcp server excluded-ip-address 192.168.100.3

[L3SW-Vlanif100]dhcp server excluded-ip-address 192.168.100.1

 

#

[L3SW]ip route-static 0.0.0.0 0.0.0.0 192.168.100.1

#

[L3SW]interface  g0/0/24

[L3SW-GigabitEthernet0/0/24]port link-type access

[L3SW-GigabitEthernet0/0/24]port default vlan 100

#

[L3SW]interface  g0/0/23

[L3SW-GigabitEthernet0/0/23]port link-type access

[L3SW-GigabitEthernet0/0/23]port default vlan 100

#

[L3SW]interface  g0/0/1

[L3SW-GigabitEthernet0/0/1]port link-type trunk

[L3SW-GigabitEthernet0/0/1]port trunk pvid vlan 100

[L3SW-GigabitEthernet0/0/1]port trunk allow-pass vlan  20 30 100

#

[L3SW]interface  g0/0/2

[L3SW-GigabitEthernet0/0/2]port link-type trunk

[L3SW-GigabitEthernet0/0/2]port trunk pvid vlan 100

[L3SW-GigabitEthernet0/0/2]port trunk allow-pass vlan  20 30 100

#

AC配置

[AC6005]vlan 100

#

[AC6005]interface  vlan 100

[AC6005-Vlanif100]ip address 192.168.100.3 24

#

[AC6005]interface  g0/0/1

[AC6005-GigabitEthernet0/0/1]port link-type access

[AC6005-GigabitEthernet0/0/1]port default vlan 100

#

[AC6005]capwap source  interface  Vlanif 100

#

[AC6005-wlan-view]ap auth-mode no-auth

#

[AC6005-wlan-view]ssid-profile name office

[AC6005-wlan-ssid-prof-office]ssid YT-N

#

[AC6005-wlan-view]ssid-profile name guest

[AC6005-wlan-ssid-prof-guest]ssid YT-Guest

#

[AC6005-wlan-view]security-profile name office

[AC6005-wlan-sec-prof-office]security wpa2 psk pass-phrase 88888888 aes

#

[AC6005-wlan-view]security-profile name guest

[AC6005-wlan-sec-prof-guest]security wpa2 psk pass-phrase 66668888 aes

#

[AC6005-wlan-view]vap-profile  name office

[AC6005-wlan-vap-prof-office]ssid-profile  office

[AC6005-wlan-vap-prof-office]security-profile office

[AC6005-wlan-vap-prof-office]service-vlan vlan-id 20

#

[AC6005-wlan-view]vap-profile  name guest

[AC6005-wlan-vap-prof-guest]ssid-profile  guest

[AC6005-wlan-vap-prof-guest]security-profile guest

[AC6005-wlan-vap-prof-guest]service-vlan vlan-id 30

#

[AC6005-wlan-view]ap-group name default

[AC6005-wlan-ap-group-default]vap-profile  office wlan 1 radio  all

[AC6005-wlan-ap-group-default]vap-profile  guest wlan 2 radio all

 

測試

業務已經正常下發

Sta1鏈接YT-N的SSID，獲取的對應VLAN 20的網段地址，訪問網關跟114沒問題

Sta2鏈接YT-Guest的SSID，獲取的對應VLAN 20的網段地址，訪問網關跟114沒問題。

AC上面是沒有建立對應業務VLAN ID的，上一篇在講解AR的時候，儘管AR不充當業務VLAN的網關，可是必須建立對應的VLAN ID，不然客戶端會鏈接不上。

 

可能在實際中還會有一些其餘需求，好比給guest限速、作限制訪問等，這個在以前都已經講解過了，這裏就不在描述了，這裏主要是補充下一個這樣的組網結構，其實總體下來跟以前的區別很小的，無非就是網關作在三層交換機上面了，而不是防火牆或者是路由器上面。

 

你能搞定了？

從AP上線到案例1、2、3裏面的各類組網環境能夠看出來，無線的部署很大程度要從總體環境來規劃，最多見的幾個

1、出口路由器（防火牆）-------傻瓜交換機-----ACAP

2、出口沒有路由器，直接AC充當路由器----傻瓜交換機----AP

3、出口路由器（防火牆）-----二層交換機------AC---AP

4、出口路由器（防火牆）-----AC充當三層交換機-----二層或者傻瓜交換機----AP

5、出口路由器（防火牆）-------三層核心交換機------二層----AC--AP

6、出口路由器（防火牆）------三層核心交換機------傻瓜交換機-----AC（旁掛在三層上面）---AP

 

關於這幾種常見的組網類型，在以前的案例，包括今天的案例裏面都已經涉及到，但咱們要學習的不僅僅是配置層面，而是要理解它爲何要這樣，而且可以運用上去，作到學以至用，遇到各類場景需求的時候可以根據學習到的東西來解決它，而不是簡單的照貓畫虎，因此下一篇博主會用3~4篇來說解下，這幾種組網場景改如何部署、爲何要這樣作、以及本來的網絡裏面如何把AC AP融入進去。（原本想着開始講解深刻一點的，好比包括高級認證、漫遊、以及高可用性、射頻優化登，可是想一想仍是講解下各個場景如何去部署規劃，作到學以至用，由於目前的組網環境已經可以應付大部分需求了）

本文首發於公衆號：網絡之路博客