八、关于中大型网络无线对比中小型的区别点

以前标题一直写着小型企业组网，其实这个有点不严谨了，不论是中小型、仍是大型，都离不开AP上线、业务配置、而后关联VAP、关联组，而后下发的步骤，区别就是组网环境复杂度  中小型环境（1）出口有路由器或者防火墙（2）有核心交换机（承担有线跟无线的网关）（3）AC+AP （4）接入终端的傻瓜或者可配置交换机   大中型环境（1）双核心热备（堆叠、VRRP）（2）双防火墙（热备）（3）双AC（热备）（4）区域比较多，接入设备、AP数量较多（5）有分支，须要统一管理等（6）认证方式多样化需求密码认证、微信认证、portal网页认证、dot1x认证、MAC认证

好比最近忙的2个项目 （课程拖更了，弄了2个项目，因此有点忙不过来）

看着设备其实挺多的，光核心就6套、AC一个、AP131个、有线交换机15台，POE交换机34台

当了解客户需求后，而后规划拓扑后发现，其实跟咱们日常的组网没多大区别，同样是AC旁挂核心旁边，而后下面汇聚交换机，在接AP以及终端，无线业务这块的配置仍是围绕着AP上线、AP升级、业务配置、关联到组，难点增长的地方就是在核心作了IRF2（堆叠），堆叠后就至关于一台核心交换机了，以及下面设备双链路接核心要作链路捆绑（聚合），剩下的对接无非就是划入到某个VLAN，对接AP的口根据转发模式作trunk仍是Access便可。

这个是群里小伙伴找我协助调试的一个项目，需求以及拓扑跟上面相似。说这么多，其实想说下在无线网络里面的小、中、大型网络总体的部署思路是同样的，区别就是规模程度，越大型总体环境越复杂，复杂在出口、核心的设计以及汇聚接入的数量上，从AC的配置角度看起始没多大区别的，无论AP多少，都是统一配置下发。（这个部署过程原本想总体录制视频讲解的，可是变数太多，没录制成，有点遗憾。）

（这里标题以前是小型企业无线网络部署，改了下 改为企业无线网部署更为合理），固然中大型网络随着AP的数量增多，须要考虑的因素也多了，好比干扰、漫游、认证方式、可靠用性等，这个就是咱们接下来要来详细了解的。

补充一个工做中比较常见的组网场景

这有是一个工做中比较典型的案例，防火墙作出口，下接三层交换机，三层交换机充当各个网关（包括有线、无线的） AC旁挂，只管理AP用，而后业务是2个SSID，关联不一样的VLAN，这个案例以前的环境中都没有演示过，这里讲解下。

 

外网

[internet]interface  g0/0/0

[internet-GigabitEthernet0/0/0]ip address 114.114.114.114 24

 

出口防火墙

 

[USG6000V1]interface  g1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip address 114.114.114.1 24

[USG6000V1-GigabitEthernet1/0/1]gateway 114.114.114.114

#

[USG6000V1]interface  g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.100.1 24

[USG6000V1-GigabitEthernet1/0/0]service-manage all permit

#

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add  interface g1/0/0

#

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add  interface g1/0/1

#

[USG6000V1]security-policy

[USG6000V1-policy-security]default  action permit

#

[USG6000V1-policy-nat]rule name internet

[USG6000V1-policy-nat-rule-internet]action  source-nat easy-ip

#

[USG6000V1]ip route-static 192.168.10.0 24 192.168.100.2

[USG6000V1]ip route-static 192.168.20.0 24 192.168.100.2

[USG6000V1]ip route-static 192.168.30.0 24 192.168.100.2

#

三层交换机配置

[L3SW]vlan batch 10 2030 100

#

[L3SW]dhcp enable

#

[L3SW]interface  vlan 10

[L3SW-Vlanif10]ip address 192.168.10.254 24

[L3SW-Vlanif10]dhcp select interface

[L3SW-Vlanif10]dhcp server dns-list 223.5.5.5 223.6.6.6

#

[L3SW]interface  vlan 20

[L3SW-Vlanif20]ip address 192.168.20.254 24

[L3SW-Vlanif20]dhcp select interface

[L3SW-Vlanif20]dhcp server dns-list 223.5.5.5 223.6.6.6

#

[L3SW]interface  vlan 30

[L3SW-Vlanif30]ip address 192.168.30.254 24

[L3SW-Vlanif30]dhcp select interface

[L3SW-Vlanif30]dhcp server dns-list 223.5.5.5 223.6.6.6

#

[L3SW]interface  vlan 100

[L3SW-Vlanif100]ip address 192.168.100.2 24

[L3SW-Vlanif100]dhcp select interface

[L3SW-Vlanif100]dhcp server excluded-ip-address 192.168.100.3

[L3SW-Vlanif100]dhcp server excluded-ip-address 192.168.100.1

 

#

[L3SW]ip route-static 0.0.0.0 0.0.0.0 192.168.100.1

#

[L3SW]interface  g0/0/24

[L3SW-GigabitEthernet0/0/24]port link-type access

[L3SW-GigabitEthernet0/0/24]port default vlan 100

#

[L3SW]interface  g0/0/23

[L3SW-GigabitEthernet0/0/23]port link-type access

[L3SW-GigabitEthernet0/0/23]port default vlan 100

#

[L3SW]interface  g0/0/1

[L3SW-GigabitEthernet0/0/1]port link-type trunk

[L3SW-GigabitEthernet0/0/1]port trunk pvid vlan 100

[L3SW-GigabitEthernet0/0/1]port trunk allow-pass vlan  20 30 100

#

[L3SW]interface  g0/0/2

[L3SW-GigabitEthernet0/0/2]port link-type trunk

[L3SW-GigabitEthernet0/0/2]port trunk pvid vlan 100

[L3SW-GigabitEthernet0/0/2]port trunk allow-pass vlan  20 30 100

#

AC配置

[AC6005]vlan 100

#

[AC6005]interface  vlan 100

[AC6005-Vlanif100]ip address 192.168.100.3 24

#

[AC6005]interface  g0/0/1

[AC6005-GigabitEthernet0/0/1]port link-type access

[AC6005-GigabitEthernet0/0/1]port default vlan 100

#

[AC6005]capwap source  interface  Vlanif 100

#

[AC6005-wlan-view]ap auth-mode no-auth

#

[AC6005-wlan-view]ssid-profile name office

[AC6005-wlan-ssid-prof-office]ssid YT-N

#

[AC6005-wlan-view]ssid-profile name guest

[AC6005-wlan-ssid-prof-guest]ssid YT-Guest

#

[AC6005-wlan-view]security-profile name office

[AC6005-wlan-sec-prof-office]security wpa2 psk pass-phrase 88888888 aes

#

[AC6005-wlan-view]security-profile name guest

[AC6005-wlan-sec-prof-guest]security wpa2 psk pass-phrase 66668888 aes

#

[AC6005-wlan-view]vap-profile  name office

[AC6005-wlan-vap-prof-office]ssid-profile  office

[AC6005-wlan-vap-prof-office]security-profile office

[AC6005-wlan-vap-prof-office]service-vlan vlan-id 20

#

[AC6005-wlan-view]vap-profile  name guest

[AC6005-wlan-vap-prof-guest]ssid-profile  guest

[AC6005-wlan-vap-prof-guest]security-profile guest

[AC6005-wlan-vap-prof-guest]service-vlan vlan-id 30

#

[AC6005-wlan-view]ap-group name default

[AC6005-wlan-ap-group-default]vap-profile  office wlan 1 radio  all

[AC6005-wlan-ap-group-default]vap-profile  guest wlan 2 radio all

 

测试

业务已经正常下发

Sta1链接YT-N的SSID，获取的对应VLAN 20的网段地址，访问网关跟114没问题

Sta2链接YT-Guest的SSID，获取的对应VLAN 20的网段地址，访问网关跟114没问题。

AC上面是没有建立对应业务VLAN ID的，上一篇在讲解AR的时候，尽管AR不充当业务VLAN的网关，可是必须建立对应的VLAN ID，不然客户端会链接不上。

 

可能在实际中还会有一些其余需求，好比给guest限速、作限制访问等，这个在以前都已经讲解过了，这里就不在描述了，这里主要是补充下一个这样的组网结构，其实总体下来跟以前的区别很小的，无非就是网关作在三层交换机上面了，而不是防火墙或者是路由器上面。

 

你能搞定了？

从AP上线到案例1、2、3里面的各类组网环境能够看出来，无线的部署很大程度要从总体环境来规划，最多见的几个

1、出口路由器（防火墙）-------傻瓜交换机-----ACAP

2、出口没有路由器，直接AC充当路由器----傻瓜交换机----AP

3、出口路由器（防火墙）-----二层交换机------AC---AP

4、出口路由器（防火墙）-----AC充当三层交换机-----二层或者傻瓜交换机----AP

5、出口路由器（防火墙）-------三层核心交换机------二层----AC--AP

6、出口路由器（防火墙）------三层核心交换机------傻瓜交换机-----AC（旁挂在三层上面）---AP

 

关于这几种常见的组网类型，在以前的案例，包括今天的案例里面都已经涉及到，但咱们要学习的不仅仅是配置层面，而是要理解它为何要这样，而且可以运用上去，作到学以至用，遇到各类场景需求的时候可以根据学习到的东西来解决它，而不是简单的照猫画虎，因此下一篇博主会用3~4篇来说解下，这几种组网场景改如何部署、为何要这样作、以及本来的网络里面如何把AC AP融入进去。（原本想着开始讲解深刻一点的，好比包括高级认证、漫游、以及高可用性、射频优化登，可是想一想仍是讲解下各个场景如何去部署规划，作到学以至用，由于目前的组网环境已经可以应付大部分需求了）

本文首发于公众号：网络之路博客