六、小型企業無線網部署（案例2）：三個無線常見組網場景，掌握了說明你開始進階了~

時間 2021-03-31

標籤安全服務器網絡架構 app ide 學習測試 spa pwa 欄目無線简体版

原文原文鏈接

正式內容安全

客戶需求分析來規劃服務器

一、利用AR路由對接外網，而且設置一個內網地址對接內網網絡

二、因爲客戶但願2個SSID對應不一樣的網段，那麼咱們能夠有幾種可選架構

（1） AR1220有8個LAN口，能夠作多VLAN對接二層交換機，能夠實現SSID關聯不一樣VLAN網段app

（2）AR1220繼續三層口對接交換機，AC旁掛，AC把訪客SSID啓用隧道轉發ide

三、客戶但願點餐用的SSID不被搜索到，須要啓用隱藏功能學習

四、訪客用的SSID只容許上網，要求限速、隔離，那麼咱們須要限制訪客可以訪問到內網的點餐網段測試

五、考慮到訪客流動性大，DHCP租期30分鐘spa

六、點餐SSID的網段必須跟服務器在同一個網段，服務器不支持跨網段pwa

拓撲一：VLANIF或子接口形式

一、對比用子接口的形式用VLANIF更加方便，因此這裏採用VLANIF形式，而後把下行口配置成trunk，劃分了三個網段，一個給點餐、一個給訪客、管理。

二、交換機對接路由器的口爲trunk，對接點餐劃分到VLAN2，對接AP AC爲trunk（這個就是咱們接下來要弄的知識點）

三、AC單獨起一個管理VLAN網段給 AP分配地址，而且給SSID劃分對應VLAN

四、因爲SSID的流量附帶了VLAN，那麼天然對接AP的口要劃分紅trunk，可以容許這些VLAN經過。

新知識學習

瞭解管理VLAN與業務VLAN

在剛整個拓撲中，咱們能夠看到分爲了管理、點餐、訪客VLAN，咱們把AP上線的VLAN叫作管理VLAN，實際無線終端的VLAN叫作業務VLAN，好比這裏的VLAN4就是管理VLAN、VLAN 2跟3爲業務VLAN。

管理VLAN與業務VLAN劃分出來的好處（1）減小AP佔用業務VLAN的地址（2）業務VLAN能夠作不一樣的策略，好比該案例中咱們須要對訪客VLAN作限速、隔離、ACL限制，由於有了VLAN網段，作的策略不會影響到管理VLAN以及點餐的。（3）方便維護，一般管理VLAN是整個網絡設備用的VLAN。

這裏出現了一個問題：管理VLAN跟業務VLAN可否是同一個VLAN呢？

那確定是能夠的，在以前咱們的案例1以及以前的拓撲環境都是管理、業務在一個VLAN，這種方式只適合小型環境，沒有太大需求的，咱們能夠把管理跟業務都放一個裏面，一般狀況下，若是設備支持VLAN功能，那麼建議劃分管理與業務VLAN的，擴展性以及可管理性都是推薦的。

底層配置

一、internet路由器

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/0]ipaddress 114.114.114.114 24

二、出口路由器

[AR1220]interfaceg0/0/0

[AR1220-GigabitEthernet0/0/0]ipaddress 114.114.114.1 24

[AR1220]ip route-static0.0.0.0 0.0.0.0 114.114.114.114

[AR1220]vlan batch 2 to4

[AR1220]dhcp enable

[AR1220]interface vlan 2

[AR1220-Vlanif2]ipaddress 192.168.100.1 24

[AR1220-Vlanif2]dhcpselect interface

[AR1220-Vlanif2]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AR1220-Vlanif2]dhcp server excluded-ip-address 192.168.100.254

[AR1220]interface vlan 3

[AR1220-Vlanif3]ipaddress 192.168.200.1 24

[AR1220-Vlanif3]dhcpselect interface

[AR1220-Vlanif3]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AR1220-Vlanif3]dhcpserver lease day 0 hour 0 minute 30

[AR1220]interface vlan 4

[AR1220-Vlanif4]ipaddress 192.168.255.1 24

[AR1220-Vlanif4]dhcpselect interface

[AR1220-Vlanif4]dhcpserver excluded-ip-address 192.168.255.2 192.168.255.3

[AR1220]interfaceEthernet0/0/0

[AR1220-Ethernet0/0/0]portlink-type trunk

[AR1220-Ethernet0/0/0]porttrunk allow-pass vlan 2 to 4

[AR1220]acl number 3000

[AR1220-acl-adv-3000]rule permit ip

[AR1220]interface g0/0/0

[AR1220-GigabitEthernet0/0/0]natoutbound 3000

三、交換機配置

[SW]vlan batch 2 to 4

[SW]interface g0/0/1 //對接路由器的接口

[SW-GigabitEthernet0/0/1]port link-type trunk

[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 4

[SW]interface g0/0/6 //接服務器接口

[SW-GigabitEthernet0/0/6]port link-type access

[SW-GigabitEthernet0/0/6]port default vlan 2

[SW]interface g0/0/5

[SW-GigabitEthernet0/0/5]portlink-type access

[SW-GigabitEthernet0/0/5]port default vlan 4

[SW]interface g0/0/2

[SW-GigabitEthernet0/0/2]port link-type trunk

[SW-GigabitEthernet0/0/2]port trunk pvid vlan 4

[SW-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 to 4

[SW]interfaceg0/0/3

[SW-GigabitEthernet0/0/3]port link-type trunk

[SW-GigabitEthernet0/0/3]port trunk pvid vlan 4

[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 to 4

[SW]interfaceg0/0/4

[SW-GigabitEthernet0/0/4]port link-type trunk

[SW-GigabitEthernet0/0/4]port trunk pvid vlan 4

[SW-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 to 4

[SW]interface vlan 4

[SW-Vlanif4]ip address192.168.255.3 24

[SW]ip route-static 0.0.0.0 0.0.0.0 192.168.255.1

這裏有兩個地方比較重要（1）管理VLAN開啓DHCP，這個AP獲取是須要的，而且排除掉用過的一個是AC 一個是交換機的管理地址（2）對接AP的口爲trunk，而且PVID爲VLAN4，PVID的做用就是說當AP自身的流量通過交換機的時候會打上PVID指定的VLAN，咱們這裏規劃管理網段是VLAN4，因此這裏PVID爲4，而且容許2、3、4VLAN經過。

四、AC配置

[AC6005]vlan 4

[AC6005]interface g0/0/1

[AC6005-GigabitEthernet0/0/1]port link-type access

[AC6005-GigabitEthernet0/0/1]port default vlan 4

[AC6005]ip route-static 0.0.0.0 0.0.0.0 192.168.255.1

[AC6005]interface vlan 4

[AC6005-Vlanif4]ip address 192.168.255.2 24

無線業務配置

[AC6005]capwapsource interface Vlanif 4

[AC6005]wlan

[AC6005-wlan-view]apauth-mode no-auth

[AC6005-wlan-view]ssid-profile name diancan

[AC6005-wlan-ssid-prof-diancan]ssid diancan

[AC6005-wlan-ssid-prof-diancan]ssid-hide enable

[AC6005-wlan-view]security-profile name diancan

[AC6005-wlan-sec-prof-diancan]securitywpa2 psk pass-phrase 88888888 aes

[AC6005-wlan-view]ssid-profilename WIFI-GUEST

[AC6005-wlan-ssid-prof-WIFI-GUEST]ssid WIFI-GUEST

[AC6005-wlan-view]security-profilen ame WIFI-GUEST

[AC6005-wlan-sec-prof-WIFI-GUEST]securityw pa2 psk pass-phrase 66668888 aes

[AC6005-wlan-view]vap-profilename diancan

[AC6005-wlan-vap-prof-diancan]ssid-profile diancan

[AC6005-wlan-vap-prof-diancan]security-profile diancan

[AC6005-wlan-vap-prof-diancan]service-vlanvlan-id 2

[AC6005-wlan-view]vap-profile name WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]ssid-profile WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]security-profile WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]service-vlan vlan-id 3

[AC6005-wlan-view]ap-groupname default

[AC6005-wlan-ap-group-default]vap-profile diancan wlan 1 radio all

[AC6005-wlan-ap-group-default]vap-profile WIFI-GUEST wlan 2 radio all

紅色標記的配置詳細講解

一、ssid-hide enable：用於隱藏SSID，不能被正常搜到到，只有手動添加才行

二、service-vlan vlan-id：用於指定該VAP的業務VLAN，默認屬於VLAN1，這裏點餐在VLAN2，GUEST在VLAN3，因此指定了不一樣的VLAN。

三、至此除了限速、隔離、以及限制暫時沒作，其餘都完成了，咱們先來驗證下。

驗證

打開後，發現只能看到一個SSID，由於diancan是被隱藏了的，先鏈接試試

鏈接獲取的是業務VLAN3的地址。

目前GUEST是訪問內網服務器也通，訪問外網也能夠，而客戶的需求是隻但願GUEST的訪客能上網。並且咱們搜索不到diancan的SSID，這裏是被隱藏了，並且模擬器客戶端是沒辦法手動添加SSID，因此這裏咱們能夠看到隱藏成功了，咱們把隱藏功能去掉來驗證跟測試。

[AC6005]wlan

[AC6005-wlan-view] ssid-profile name diancan

[AC6005-wlan-ssid-prof-diancan]undo ssid-hide enable

這時候就出現信號了，鏈接看看

訪問服務器跟外網都沒問題。

剩下客戶的需求

客戶但願訪客這一塊進行用戶隔離、只能訪問外網以及限速。這就須要用到咱們最開始學習模板的時候的其中一個了，就是流量模板

[AC6005]acl number 3000

[AC6005-acl-adv-3000]rule deny ip source 192.168.200.0 0.0.0.255destination 192.168.100.0 0.0.0.255

二層隔離

[AC6005]wlan

[AC6005-wlan-view]traffic-profilename WIFI-GUEST

[AC6005-wlan-traffic-prof-WIFI-GUEST]user-isolatel2

基於客戶端的限速（下載給2mb，上行給1mb，vap是限制這個業務模板的總體速率）

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitclient down 2048

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitclient up 1024

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitvap down 20480

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitvap up 10240

一般狀況下，咱們會限制訪客的速率，基於每客戶端，也能夠配合基於VAP總體限速，這裏的意思是每一個客戶端下載給2m，上行1m，總體下載不能超過20m，上行10m。

網段限制

[AC6005-wlan-traffic-prof-WIFI-GUEST]traffic-filterinbound ipv4 acl 3000

這個咱們以前定義了一個ACL 3000，拒絕了訪客訪問點餐的網段，而後容許訪問其餘，也就是容許上網。

[AC6005-wlan-view]vap-profilename WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]traffic-profileWIFI-GUEST

這裏說下必定要用自定義模板，緣由就是若是用默認的，那麼diancan對應的VAP也會繼承這個配置，而咱們用自定義的則不會影響其餘VAP

交換機對接AP的口啓用隔離（直接轉發場景須要）

[SW]interface g0/0/2

[SW-GigabitEthernet0/0/2]port-isolateenable

[SW-GigabitEthernet0/0/2]interfaceg0/0/3

[SW-GigabitEthernet0/0/3]port-isolateenable

[SW-GigabitEthernet0/0/3]interfaceg0/0/4

[SW-GigabitEthernet0/0/4]port-isolateenabl

測試

能夠看到用戶隔離是生效的，用戶隔離的做用就是在同一個VAP下面不能互訪，相互隔離，互不影響，只能上外網。

可是能夠看到訪問100.254也就是點餐系統仍是能夠訪問，這裏特地說明下，模擬器暫時模擬不了ACL用戶限制的功能，配置了可是補生效。

能夠看到是用戶隔離開啓了二層，限速也是咱們定義的數值（模擬器沒辦法測試實際速率，下一篇用AR真機在演示這個功能），也能看到ACL是被調用過了的。

模擬器臨時解決辦法（把策略坐在路由器網關上面，實際環境確定是用AC下發，由於流量在AP就被終結了，不佔用其餘資源）

路由器上面

[AR1220]acl number 3001

[AR1220-acl-adv-3001]rule deny ip source 192.168.200.0 0.0.0.255destination 192.168.100.0 0.0.0.255

interface Vlanif3

traffic-filter inbound acl 3001

這時候就不通了，可是這個限制他是不太建議的由於流量從客戶端-----AP----交換機-----到AR才被阻止，實際環境咱們調用了ACL後，流量就直接在AP上面就被阻止掉了。

總體回顧

在實施這個網絡結構的時候，要注意如下的地方

1、若是交換機是三層的話，那麼咱們網關就起在三層上面

2、若是交換機是二層可配置的，那麼咱們網關起在路由器上面（經過VLANIF或者子接口形式）

3、客戶須要SSID關聯多網段的時候，咱們須要VAP關聯具體的VLAN

4、關於限速、用戶隔離、限制訪問都是在流量模板下完成，並且要自定義模板

5、交換機對接AP的口爲trunk，PVID爲管理VLAN，而後容許管理與業務VLAN經過，這樣的話默認AP自身的流量就在管理VLAN，而業務VLAN發出來的時候會打上VLAN報文，天然在其餘VLAN。

6、整個環境依賴交換機是否可配置，若是是傻瓜式的，那麼這種方案就實施不了，由於沒辦法對接AP以及路由器接口，透傳不了VLAN，整個網絡只能在一個網段。

客戶端總體流量的走向

訪客流量：客戶端-----AP----交換機----出口路由器-----外網

點餐流量：客戶端-----AP----交換機----點餐服務器

客戶端-----AP----交換機----出口路由器-----外網

能夠看到整個流量走向裏面，數據並無通過AC，AC就起到一個管理AP的做用，這種組網咱們叫作旁掛直接轉發組網。（旁掛的意思是AC旁掛在交換機上面，只起到管理AP、維護客戶端的做用，直接轉發的意思是數據包直接從交換機出去轉發到網絡，而不是直接先到AC，再由AC中轉。）旁掛直接轉發的核心就看AP到AC之間通過的交換機可否支持VLAN功能（也就是可配置交換機），只有支持的狀況下這種組網架構纔可以實施，達到最優。固然實際中存在各類各樣的組網狀況，不都是這麼美好的，下面咱們來看第二個拓撲案例。（若是以爲聽不懂，那麼能夠購買本章節課程，聽聽博主視頻講解，更加通俗易懂哦）

拓撲二：AR三層接口配置網關，對接傻瓜交換機場景

一、因爲交換機是傻瓜交換機，那麼咱們AR路由器用的三層接口直接配置網關地址 192.168.100.1做爲網關，開啓DHCP

二、AC配置一個管理地址做爲AP上線通訊用

三、難點在於客戶須要兩個SSID，點餐在192.168.100.0/24網段，而GUEST須要在192.168.200.0/24網段，交換機仍是傻瓜的不支持VLAN，這時候就須要用到一個新的知識點，隧道轉發技術，把GUEST的網關作在AC上面，而後與路由互相寫路由。

新知識學習

隧道轉發：在咱們學習CAPWAP報文的時候知道分爲控制報文與數據報文，隧道轉發的意思是AP把客戶端業務流量經過CAPWAP數據通道直接轉發給AC，而後由AC在處理交給其餘網絡出去，那麼咱們在什麼場景下使用到隧道轉發模式

（1）客戶有多SSID網段需求，可是AP交換機不支持VLAN配置（傻瓜交換機，另外不僅僅是接AP的交換機要支持，從AP到網關中間通過的設備都須要支持可以透傳管理與業務VLAN），這種狀況下，咱們只能經過隧道轉發來實現多網段的場景。

（2）想經過AC集中控制客戶端流量、認證登功能的時候也會用到，把業務流量所有引向AC。

底層配置

一、internet路由器

[internet]interfaceg0/0/0

[internet-GigabitEthernet0/0/0]ipaddress 114.114.114.114 24

二、出口路由器配置

[AR1220]interface g0/0/1

[AR1220-GigabitEthernet0/0/1]ipaddress 114.114.114.1 24

[AR1220]ip route-static0.0.0.0 0.0.0.0 114.114.114.114

[AR1220]dhcp enable

[AR1220]int g0/0/0

[AR1220-GigabitEthernet0/0/0]ipadd 192.168.100.1 24

[AR1220-GigabitEthernet0/0/0]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AR1220-GigabitEthernet0/0/0]dhcpserver excluded-ip-address 192.168.100.2

[AR1220-GigabitEthernet0/0/0]dhcpserver excluded-ip-address 192.168.100.254

[AR1220]acl number 3000

[AR1220-acl-adv-3000]rule permit ip

[AR1220]interface g0/0/1

[AR1220-GigabitEthernet0/0/1]natoutbound 3000

三、AC基本配置

[AC6005]dhcp enable

[AC6005]vlan 3

[AC6005]interface vlan 3

[AC6005-Vlanif3]ipaddress 192.168.200.1 24

[AC6005-Vlanif3]dhcpselect interface

[AC6005-Vlanif3]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AC6005]interface vlan 1

[AC6005-Vlanif1]ipaddress 192.168.100.2 24

[AC6005]ip route-static0.0.0.0 0.0.0.0 192.168.100.1

無線業務相關配置

[AC6005]capwap sourceinterface Vlanif 1

[AC6005]wlan

[AC6005-wlan-view]apauth-mode no-auth

[AC6005-wlan-view]ssid-profilename diancan

[AC6005-wlan-ssid-prof-diancan]ssiddiancan

[AC6005-wlan-ssid-prof-diancan]ssid-hide enable

[AC6005-wlan-view]security-profilename diancan

[AC6005-wlan-sec-prof-diancan]securitywpa2 psk pass-phrase 88888888 aes

[AC6005-wlan-view]ssid-profilename WIFI-GUEST

[AC6005-wlan-ssid-prof-WIFI-GUEST]ssidWIFI-GUEST

[AC6005-wlan-view]security-profilename WIFI-GUEST

[AC6005-wlan-sec-prof-WIFI-GUEST]securitywpa2 psk pass-phrase 66668888 aes

[AC6005-wlan-view]vap-profile name diancan

[AC6005-wlan-vap-prof-diancan]ssid-profilediancan

[AC6005-wlan-vap-prof-diancan]security-profilediancan

[AC6005-wlan-view]vap-profile name WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]ssid-profile WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]security-profileWIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]service-vlanvlan-id 3

[AC6005-wlan-vap-prof-WIFI-GUEST]forward-mode tunnel

[AC6005-wlan-view]ap-groupname default

[AC6005-wlan-ap-group-default]vap-profilediancan wlan 1 radio all

[AC6005-wlan-ap-group-default]vap-profileWIFI-GUEST wlan 2 radio all

關於流量模板限速、安全策略、隔離這裏參考上面，這裏不在講解了，咱們來熟悉隧道轉發。

因爲diancan隱藏了SSID，因此這裏看不到，咱們先測試WIFI-GUEST

能夠看到獲取的是200網段的，也就是咱們AC分配的，VLAN爲3.

目前訪問到網關能夠，可是訪問外網不行。

分析：

數據包的走向：客戶端---AP（AP把業務數據封裝在CAPWAP數據而後轉發到AC）----傻瓜交換機-----AC（AC收到CAPWAP數據包解封裝後看到實際數據業務，因爲訪客的網關在AC上面，AC會進行處理，查找去往114的路由，由默認路由，它會把數據包發給AR，AR查找目的路由發現給外網，直接NAT轉換髮出去。回包的時候，外網回包到AR出口路由器，出口路由經過NAT會話表找到發現去往192.168.200.X的，查找路由表，發現沒有去192.168.200.X的路由，數據包直接丟棄。）能夠發現整個網絡缺乏路由，AR不知道192.168.200.0在哪，須要咱們寫靜態路由回包。

[AR1220]ip route-static 192.168.200.0 24 192.168.100.2

能夠看到這時候數據包就通了，由於加了靜態路由有了回包路由。

（思考題）實際狀況容易遇到的問題：實際中可能會遇到這臺AR路由沒有權限操做或者密碼忘記進不去加不了配置，咱們只能經過AC來解決，這個時候咱們改如何解決？

關於點餐的

[AC6005-wlan-view] ssid-profile name diancan

[AC6005-wlan-ssid-prof-diancan]undo ssid-hide enable

咱們把隱藏去掉來測試點餐的（模擬器不支持手動添加）

獲取的地址是192.168.100.250，默認VLAN1的。

總體數據包走向

1、訪客流量用的隧道轉發，客戶端流量-----AP1（封裝CAPWAP）----傻瓜交換機----AC------目的地

2、點餐流量用的直接轉發，客戶端流量-----AP1（業務默認VLAN）---傻瓜交換機----到服務器或者出口出去

博主經驗分享

（1）能用直接轉發的場景，就部署直接轉發，由於業務數據都從交換機---網關直接出去了，不用經過AC繞一圈，增長AC的負擔，直接轉發場景得知足AP上接交換機一直到業務網關的中間設備都必須支持VLAN透傳，只有支持透傳的狀況下，數據包業務才能經過交換機直接到網關而後轉發出去，特別是多SSID網段場景，多SSID一般會關聯VLAN。（單SSID場景的話，傻瓜交換機也是能夠實現直接轉發的，由於都在一個網段，都在一個局域網，因此在配置的時候必定要注意整個AP到上層網絡的接口所有要放行須要的VLAN經過）