爱快+华三设备跨三层管理AP、多SSID绑定VLAN及guest内网隔离配置指南
本次客户需求:有线网络划分若干VLAN,分别用于办公、门禁监控等,无线网络也要分为办公Wifi和访客Wifi,且访客Wifi禁止访问任何的内网资源。
先明确核心设备及网络拓扑:
三条2000M宽带+一条100M专线接入爱快路由器2.5G电口;华三三层交换机万兆光口上联爱快,23和24口端口聚合后,下联华三可网管POE交换机,此交换机上仅连接爱快无线AP,所有监控摄像机接在原有的旧的华三POE交换机上。
前置规划准备:无线AP安装就位,所有设备上电,web登录爱快路由器,配置4个WAN接口,分别输入三条2000M宽带的账号、密码,还有一条专线的IP地址;配置万兆Lan接口IP:192.168.101.2/30。
一、基础规划
磨刀不误砍柴功,先定义一下各VLAN及接口对应关系,后续所有配置围绕此规划展开,核心规划如下:
-
• 根据客户现有状况,有线网络划分三个VLAN:分别是VLAN10,VLAN2,VLAN30,分别代表了192.168.10.0/24,192.168.20.0/24,192.168.30.0/24。
-
• 办公SSID:SSID名称"Office",绑定VLAN50,网段192.168.50.0/24,网关192.168.50.1,可正常访问内网及外网。
-
• 访客SSID:SSID名称"Guest",绑定VLAN60,网段192.168.60.0/24,网关192.168.60.1(爱快路由器VLAN20接口IP),仅允许访问外网,禁止访问内网。
-
• AP需要一个单独的管理VLAN:VLAN51,网段192.168.51.0/24,网关192.168.51.1,用于跨三层传递AP管理数据,所有AP需获取此网段IP,被爱快AC识别管理。
-
• 接口规划:爱快路由器LAN1→三层交换机上行口(如GigabitEthernet1/0/28);三层交换机下行口(如GigabitEthernet0/0/23、24聚合)→POE交换机上行口(如GigabitEthernet0/0/15、16聚合);POE交换机PoE口(如GigabitEthernet1/0/1~1/0/8)→爱快AP。
二、华三三层交换机配置:VLAN、Trunk、路由、跨三层转发
华三三层交换机承担VLAN转发、跨三层路由的功能,需确保AP管理VLAN、办公VLAN、访客VLAN的数据包能在三层交换机与爱快路由器之间正常转发,同时实现AP跨三层被AC管理。
(一)创建VLAN
直接举例说明:
vlan 50
des wifi
Vlan 51
des AP-Manage
(二)配置DHCP服务
直接举例说明:
dhcp server ip-pool wifi
gateway-list 192.168.50.1
network 192.168.50.0 mask 255.255.255.0
dns-list 61.177.7.1 114.114.114.114
forbidden-ip 192.168.50.1 192.168.50.10
forbidden-ip 192.168.50.231 192.168.50.254
dhcp server ip-pool AP-Manage
gateway-list 192.168.51.1
network 192.168.51.0 mask 255.255.255.0
dns-list 61.177.7.1 114.114.114.114
forbidden-ip 192.168.51.1
forbidden-ip 192.168.51.10
forbidden-ip 192.168.51.231
forbidden-ip 192.168.51.254
option 43 hex 0104c0a86502
Option 43配置项是跨三层管理AP的重点,0104是固定值,后面是192.168.101.2(爱快路由器Lan口IP)换算成十六进制得来的。
(三)配置VLAN接口IP
interface Vlan-interface50
ip address 192.168.50.1 255.255.255.0
dhcp server apply ip-pool wifi
interface Vlan-interface51
description AP-Manage
ip address 192.168.51.1 255.255.255.0
dhcp server apply ip-pool ap-manage
interface Vlan-interface101
ip address 192.168.101.1 255.255.255.0
(四)配置交换机端口
interface GigabitEthernet1/0/17
description to_tpsf1024s
port access vlan 20
dhcp snooping trust
interface GigabitEthernet1/0/18
description to_h3c_1224r
port access vlan 20
dhcp snooping trust
interface GigabitEthernet1/0/19
description to_poe---eru1_24
port link-type trunk
port trunk permit vlan all
dhcp snooping trust
interface GigabitEthernet1/0/20
description to_jieru2_24
port link-type trunk
port trunk permit vlan all
dhcp snooping trust
interface GigabitEthernet1/0/21
description to_pojieru3_24
port link-type trunk
port trunk permit vlan all
dhcp snooping trust
interface GigabitEthernet1/0/22
description to_poe_jiankong_24
port link-type trunk
port trunk permit vlan all
dhcp snooping trust
interface GigabitEthernet1/0/23
description TO_POE_Port15
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
interface GigabitEthernet1/0/24
description TO_POE_Port16
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
注意:GigabitEthernet1/0/23和24配置了聚合,连接到无线AP的POE交换机,提高数据传输效率。前提是先要创建聚合,命令如下:
interface Bridge-Aggregation1
description to_poe
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
dhcp snooping trust
(五)默认路由
ip route-static 0.0.0.0 0 192.168.101.2
(六)配置ACL,禁止访客WIFI访问内网
acl number 3001
rule 5 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 15 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 20 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 25 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
rule 30 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 35 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.101.0 0.0.0.255
rule 40 deny ip source 192.168.60.0 0.0.0.255 destination 192.168.51.0 0.0.0.255
三、华三可网管POE交换机配置
主要配置如下:
vlan 60
description wifi-guest
stp mode rstp
stp global enable
interface Bridge-Aggregation1
description to_xe
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
dhcp snooping trust
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 51
poe enable
interface GigabitEthernet1/0/15
description TO_CORE_Port23
port link-type trunk
port trunk permit vlan all
poe enable
port link-aggregation group 1
interface GigabitEthernet1/0/16
description TO_CORE_Port24
port link-type trunk
port trunk permit vlan all
poe enable
port link-aggregation group 1
五、配置WIFI
WIFI的配置步骤如下:
(一)AP上线
-
- 登录爱快路由器【AC管理】→【无线概况】,打开AC智能控制开关;
-
- 点击AP列表,一两分钟后,所有AP上线,如果5分钟还没上线,就重启一下POE交换机,如果重启还不行,那就是无线AP的DHCP配置中option 43配置有误,需要检查修复;
-
- 点AP分组,把所有上线的AP加入到同一个组。
(二)SSID与VLAN绑定验证
-
- 分别Office-WiFi和Guest-WiFi,并绑定到不同的VLAN;
-
- 根据客户要求,对Guest限速;
-
- 验证VLAN隔离:笔记本电脑连接Guest-WiFi,测试无法访问其他几个VLAN,说明VLAN绑定及隔离成功。
六、下期预告:
异地访问NAS卡顿为哪般?三地局域网互联,实现异地设备的互联互访。