六、小型企业无线网部署（案例2）：三个无线常见组网场景，掌握了说明你开始进阶了~

时间 2021-03-31

标签安全服务器网络架构 app ide 学习测试 spa pwa 栏目无线繁體版

原文原文链接

正式内容安全

客户需求分析来规划服务器

一、利用AR路由对接外网，而且设置一个内网地址对接内网网络

二、因为客户但愿2个SSID对应不一样的网段，那么咱们能够有几种可选架构

（1） AR1220有8个LAN口，能够作多VLAN对接二层交换机，能够实现SSID关联不一样VLAN网段app

（2）AR1220继续三层口对接交换机，AC旁挂，AC把访客SSID启用隧道转发ide

三、客户但愿点餐用的SSID不被搜索到，须要启用隐藏功能学习

四、访客用的SSID只容许上网，要求限速、隔离，那么咱们须要限制访客可以访问到内网的点餐网段测试

五、考虑到访客流动性大，DHCP租期30分钟spa

六、点餐SSID的网段必须跟服务器在同一个网段，服务器不支持跨网段pwa

拓扑一：VLANIF或子接口形式

一、对比用子接口的形式用VLANIF更加方便，因此这里采用VLANIF形式，而后把下行口配置成trunk，划分了三个网段，一个给点餐、一个给访客、管理。

二、交换机对接路由器的口为trunk，对接点餐划分到VLAN2，对接AP AC为trunk（这个就是咱们接下来要弄的知识点）

三、AC单独起一个管理VLAN网段给 AP分配地址，而且给SSID划分对应VLAN

四、因为SSID的流量附带了VLAN，那么天然对接AP的口要划分红trunk，可以容许这些VLAN经过。

新知识学习

了解管理VLAN与业务VLAN

在刚整个拓扑中，咱们能够看到分为了管理、点餐、访客VLAN，咱们把AP上线的VLAN叫作管理VLAN，实际无线终端的VLAN叫作业务VLAN，好比这里的VLAN4就是管理VLAN、VLAN 2跟3为业务VLAN。

管理VLAN与业务VLAN划分出来的好处（1）减小AP占用业务VLAN的地址（2）业务VLAN能够作不一样的策略，好比该案例中咱们须要对访客VLAN作限速、隔离、ACL限制，由于有了VLAN网段，作的策略不会影响到管理VLAN以及点餐的。（3）方便维护，一般管理VLAN是整个网络设备用的VLAN。

这里出现了一个问题：管理VLAN跟业务VLAN可否是同一个VLAN呢？

那确定是能够的，在以前咱们的案例1以及以前的拓扑环境都是管理、业务在一个VLAN，这种方式只适合小型环境，没有太大需求的，咱们能够把管理跟业务都放一个里面，一般状况下，若是设备支持VLAN功能，那么建议划分管理与业务VLAN的，扩展性以及可管理性都是推荐的。

底层配置

一、internet路由器

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/0]ipaddress 114.114.114.114 24

二、出口路由器

[AR1220]interfaceg0/0/0

[AR1220-GigabitEthernet0/0/0]ipaddress 114.114.114.1 24

[AR1220]ip route-static0.0.0.0 0.0.0.0 114.114.114.114

[AR1220]vlan batch 2 to4

[AR1220]dhcp enable

[AR1220]interface vlan 2

[AR1220-Vlanif2]ipaddress 192.168.100.1 24

[AR1220-Vlanif2]dhcpselect interface

[AR1220-Vlanif2]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AR1220-Vlanif2]dhcp server excluded-ip-address 192.168.100.254

[AR1220]interface vlan 3

[AR1220-Vlanif3]ipaddress 192.168.200.1 24

[AR1220-Vlanif3]dhcpselect interface

[AR1220-Vlanif3]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AR1220-Vlanif3]dhcpserver lease day 0 hour 0 minute 30

[AR1220]interface vlan 4

[AR1220-Vlanif4]ipaddress 192.168.255.1 24

[AR1220-Vlanif4]dhcpselect interface

[AR1220-Vlanif4]dhcpserver excluded-ip-address 192.168.255.2 192.168.255.3

[AR1220]interfaceEthernet0/0/0

[AR1220-Ethernet0/0/0]portlink-type trunk

[AR1220-Ethernet0/0/0]porttrunk allow-pass vlan 2 to 4

[AR1220]acl number 3000

[AR1220-acl-adv-3000]rule permit ip

[AR1220]interface g0/0/0

[AR1220-GigabitEthernet0/0/0]natoutbound 3000

三、交换机配置

[SW]vlan batch 2 to 4

[SW]interface g0/0/1 //对接路由器的接口

[SW-GigabitEthernet0/0/1]port link-type trunk

[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 4

[SW]interface g0/0/6 //接服务器接口

[SW-GigabitEthernet0/0/6]port link-type access

[SW-GigabitEthernet0/0/6]port default vlan 2

[SW]interface g0/0/5

[SW-GigabitEthernet0/0/5]portlink-type access

[SW-GigabitEthernet0/0/5]port default vlan 4

[SW]interface g0/0/2

[SW-GigabitEthernet0/0/2]port link-type trunk

[SW-GigabitEthernet0/0/2]port trunk pvid vlan 4

[SW-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 to 4

[SW]interfaceg0/0/3

[SW-GigabitEthernet0/0/3]port link-type trunk

[SW-GigabitEthernet0/0/3]port trunk pvid vlan 4

[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 to 4

[SW]interfaceg0/0/4

[SW-GigabitEthernet0/0/4]port link-type trunk

[SW-GigabitEthernet0/0/4]port trunk pvid vlan 4

[SW-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 to 4

[SW]interface vlan 4

[SW-Vlanif4]ip address192.168.255.3 24

[SW]ip route-static 0.0.0.0 0.0.0.0 192.168.255.1

这里有两个地方比较重要（1）管理VLAN开启DHCP，这个AP获取是须要的，而且排除掉用过的一个是AC 一个是交换机的管理地址（2）对接AP的口为trunk，而且PVID为VLAN4，PVID的做用就是说当AP自身的流量通过交换机的时候会打上PVID指定的VLAN，咱们这里规划管理网段是VLAN4，因此这里PVID为4，而且容许2、3、4VLAN经过。

四、AC配置

[AC6005]vlan 4

[AC6005]interface g0/0/1

[AC6005-GigabitEthernet0/0/1]port link-type access

[AC6005-GigabitEthernet0/0/1]port default vlan 4

[AC6005]ip route-static 0.0.0.0 0.0.0.0 192.168.255.1

[AC6005]interface vlan 4

[AC6005-Vlanif4]ip address 192.168.255.2 24

无线业务配置

[AC6005]capwapsource interface Vlanif 4

[AC6005]wlan

[AC6005-wlan-view]apauth-mode no-auth

[AC6005-wlan-view]ssid-profile name diancan

[AC6005-wlan-ssid-prof-diancan]ssid diancan

[AC6005-wlan-ssid-prof-diancan]ssid-hide enable

[AC6005-wlan-view]security-profile name diancan

[AC6005-wlan-sec-prof-diancan]securitywpa2 psk pass-phrase 88888888 aes

[AC6005-wlan-view]ssid-profilename WIFI-GUEST

[AC6005-wlan-ssid-prof-WIFI-GUEST]ssid WIFI-GUEST

[AC6005-wlan-view]security-profilen ame WIFI-GUEST

[AC6005-wlan-sec-prof-WIFI-GUEST]securityw pa2 psk pass-phrase 66668888 aes

[AC6005-wlan-view]vap-profilename diancan

[AC6005-wlan-vap-prof-diancan]ssid-profile diancan

[AC6005-wlan-vap-prof-diancan]security-profile diancan

[AC6005-wlan-vap-prof-diancan]service-vlanvlan-id 2

[AC6005-wlan-view]vap-profile name WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]ssid-profile WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]security-profile WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]service-vlan vlan-id 3

[AC6005-wlan-view]ap-groupname default

[AC6005-wlan-ap-group-default]vap-profile diancan wlan 1 radio all

[AC6005-wlan-ap-group-default]vap-profile WIFI-GUEST wlan 2 radio all

红色标记的配置详细讲解

一、ssid-hide enable：用于隐藏SSID，不能被正常搜到到，只有手动添加才行

二、service-vlan vlan-id：用于指定该VAP的业务VLAN，默认属于VLAN1，这里点餐在VLAN2，GUEST在VLAN3，因此指定了不一样的VLAN。

三、至此除了限速、隔离、以及限制暂时没作，其余都完成了，咱们先来验证下。

验证

打开后，发现只能看到一个SSID，由于diancan是被隐藏了的，先链接试试

链接获取的是业务VLAN3的地址。

目前GUEST是访问内网服务器也通，访问外网也能够，而客户的需求是只但愿GUEST的访客能上网。并且咱们搜索不到diancan的SSID，这里是被隐藏了，并且模拟器客户端是没办法手动添加SSID，因此这里咱们能够看到隐藏成功了，咱们把隐藏功能去掉来验证跟测试。

[AC6005]wlan

[AC6005-wlan-view] ssid-profile name diancan

[AC6005-wlan-ssid-prof-diancan]undo ssid-hide enable

这时候就出现信号了，链接看看

访问服务器跟外网都没问题。

剩下客户的需求

客户但愿访客这一块进行用户隔离、只能访问外网以及限速。这就须要用到咱们最开始学习模板的时候的其中一个了，就是流量模板

[AC6005]acl number 3000

[AC6005-acl-adv-3000]rule deny ip source 192.168.200.0 0.0.0.255destination 192.168.100.0 0.0.0.255

二层隔离

[AC6005]wlan

[AC6005-wlan-view]traffic-profilename WIFI-GUEST

[AC6005-wlan-traffic-prof-WIFI-GUEST]user-isolatel2

基于客户端的限速（下载给2mb，上行给1mb，vap是限制这个业务模板的总体速率）

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitclient down 2048

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitclient up 1024

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitvap down 20480

[AC6005-wlan-traffic-prof-WIFI-GUEST]rate-limitvap up 10240

一般状况下，咱们会限制访客的速率，基于每客户端，也能够配合基于VAP总体限速，这里的意思是每一个客户端下载给2m，上行1m，总体下载不能超过20m，上行10m。

网段限制

[AC6005-wlan-traffic-prof-WIFI-GUEST]traffic-filterinbound ipv4 acl 3000

这个咱们以前定义了一个ACL 3000，拒绝了访客访问点餐的网段，而后容许访问其余，也就是容许上网。

[AC6005-wlan-view]vap-profilename WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]traffic-profileWIFI-GUEST

这里说下必定要用自定义模板，缘由就是若是用默认的，那么diancan对应的VAP也会继承这个配置，而咱们用自定义的则不会影响其余VAP

交换机对接AP的口启用隔离（直接转发场景须要）

[SW]interface g0/0/2

[SW-GigabitEthernet0/0/2]port-isolateenable

[SW-GigabitEthernet0/0/2]interfaceg0/0/3

[SW-GigabitEthernet0/0/3]port-isolateenable

[SW-GigabitEthernet0/0/3]interfaceg0/0/4

[SW-GigabitEthernet0/0/4]port-isolateenabl

测试

能够看到用户隔离是生效的，用户隔离的做用就是在同一个VAP下面不能互访，相互隔离，互不影响，只能上外网。

可是能够看到访问100.254也就是点餐系统仍是能够访问，这里特地说明下，模拟器暂时模拟不了ACL用户限制的功能，配置了可是补生效。

能够看到是用户隔离开启了二层，限速也是咱们定义的数值（模拟器没办法测试实际速率，下一篇用AR真机在演示这个功能），也能看到ACL是被调用过了的。

模拟器临时解决办法（把策略坐在路由器网关上面，实际环境确定是用AC下发，由于流量在AP就被终结了，不占用其余资源）

路由器上面

[AR1220]acl number 3001

[AR1220-acl-adv-3001]rule deny ip source 192.168.200.0 0.0.0.255destination 192.168.100.0 0.0.0.255

interface Vlanif3

traffic-filter inbound acl 3001

这时候就不通了，可是这个限制他是不太建议的由于流量从客户端-----AP----交换机-----到AR才被阻止，实际环境咱们调用了ACL后，流量就直接在AP上面就被阻止掉了。

总体回顾

在实施这个网络结构的时候，要注意如下的地方

1、若是交换机是三层的话，那么咱们网关就起在三层上面

2、若是交换机是二层可配置的，那么咱们网关起在路由器上面（经过VLANIF或者子接口形式）

3、客户须要SSID关联多网段的时候，咱们须要VAP关联具体的VLAN

4、关于限速、用户隔离、限制访问都是在流量模板下完成，并且要自定义模板

5、交换机对接AP的口为trunk，PVID为管理VLAN，而后容许管理与业务VLAN经过，这样的话默认AP自身的流量就在管理VLAN，而业务VLAN发出来的时候会打上VLAN报文，天然在其余VLAN。

6、整个环境依赖交换机是否可配置，若是是傻瓜式的，那么这种方案就实施不了，由于没办法对接AP以及路由器接口，透传不了VLAN，整个网络只能在一个网段。

客户端总体流量的走向

访客流量：客户端-----AP----交换机----出口路由器-----外网

点餐流量：客户端-----AP----交换机----点餐服务器

客户端-----AP----交换机----出口路由器-----外网

能够看到整个流量走向里面，数据并无通过AC，AC就起到一个管理AP的做用，这种组网咱们叫作旁挂直接转发组网。（旁挂的意思是AC旁挂在交换机上面，只起到管理AP、维护客户端的做用，直接转发的意思是数据包直接从交换机出去转发到网络，而不是直接先到AC，再由AC中转。）旁挂直接转发的核心就看AP到AC之间通过的交换机可否支持VLAN功能（也就是可配置交换机），只有支持的状况下这种组网架构才可以实施，达到最优。固然实际中存在各类各样的组网状况，不都是这么美好的，下面咱们来看第二个拓扑案例。（若是以为听不懂，那么能够购买本章节课程，听听博主视频讲解，更加通俗易懂哦）

拓扑二：AR三层接口配置网关，对接傻瓜交换机场景

一、因为交换机是傻瓜交换机，那么咱们AR路由器用的三层接口直接配置网关地址 192.168.100.1做为网关，开启DHCP

二、AC配置一个管理地址做为AP上线通讯用

三、难点在于客户须要两个SSID，点餐在192.168.100.0/24网段，而GUEST须要在192.168.200.0/24网段，交换机仍是傻瓜的不支持VLAN，这时候就须要用到一个新的知识点，隧道转发技术，把GUEST的网关作在AC上面，而后与路由互相写路由。

新知识学习

隧道转发：在咱们学习CAPWAP报文的时候知道分为控制报文与数据报文，隧道转发的意思是AP把客户端业务流量经过CAPWAP数据通道直接转发给AC，而后由AC在处理交给其余网络出去，那么咱们在什么场景下使用到隧道转发模式

（1）客户有多SSID网段需求，可是AP交换机不支持VLAN配置（傻瓜交换机，另外不仅仅是接AP的交换机要支持，从AP到网关中间通过的设备都须要支持可以透传管理与业务VLAN），这种状况下，咱们只能经过隧道转发来实现多网段的场景。

（2）想经过AC集中控制客户端流量、认证登功能的时候也会用到，把业务流量所有引向AC。

底层配置

一、internet路由器

[internet]interfaceg0/0/0

[internet-GigabitEthernet0/0/0]ipaddress 114.114.114.114 24

二、出口路由器配置

[AR1220]interface g0/0/1

[AR1220-GigabitEthernet0/0/1]ipaddress 114.114.114.1 24

[AR1220]ip route-static0.0.0.0 0.0.0.0 114.114.114.114

[AR1220]dhcp enable

[AR1220]int g0/0/0

[AR1220-GigabitEthernet0/0/0]ipadd 192.168.100.1 24

[AR1220-GigabitEthernet0/0/0]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AR1220-GigabitEthernet0/0/0]dhcpserver excluded-ip-address 192.168.100.2

[AR1220-GigabitEthernet0/0/0]dhcpserver excluded-ip-address 192.168.100.254

[AR1220]acl number 3000

[AR1220-acl-adv-3000]rule permit ip

[AR1220]interface g0/0/1

[AR1220-GigabitEthernet0/0/1]natoutbound 3000

三、AC基本配置

[AC6005]dhcp enable

[AC6005]vlan 3

[AC6005]interface vlan 3

[AC6005-Vlanif3]ipaddress 192.168.200.1 24

[AC6005-Vlanif3]dhcpselect interface

[AC6005-Vlanif3]dhcpserver dns-list 223.5.5.5 223.6.6.6

[AC6005]interface vlan 1

[AC6005-Vlanif1]ipaddress 192.168.100.2 24

[AC6005]ip route-static0.0.0.0 0.0.0.0 192.168.100.1

无线业务相关配置

[AC6005]capwap sourceinterface Vlanif 1

[AC6005]wlan

[AC6005-wlan-view]apauth-mode no-auth

[AC6005-wlan-view]ssid-profilename diancan

[AC6005-wlan-ssid-prof-diancan]ssiddiancan

[AC6005-wlan-ssid-prof-diancan]ssid-hide enable

[AC6005-wlan-view]security-profilename diancan

[AC6005-wlan-sec-prof-diancan]securitywpa2 psk pass-phrase 88888888 aes

[AC6005-wlan-view]ssid-profilename WIFI-GUEST

[AC6005-wlan-ssid-prof-WIFI-GUEST]ssidWIFI-GUEST

[AC6005-wlan-view]security-profilename WIFI-GUEST

[AC6005-wlan-sec-prof-WIFI-GUEST]securitywpa2 psk pass-phrase 66668888 aes

[AC6005-wlan-view]vap-profile name diancan

[AC6005-wlan-vap-prof-diancan]ssid-profilediancan

[AC6005-wlan-vap-prof-diancan]security-profilediancan

[AC6005-wlan-view]vap-profile name WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]ssid-profile WIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]security-profileWIFI-GUEST

[AC6005-wlan-vap-prof-WIFI-GUEST]service-vlanvlan-id 3

[AC6005-wlan-vap-prof-WIFI-GUEST]forward-mode tunnel

[AC6005-wlan-view]ap-groupname default

[AC6005-wlan-ap-group-default]vap-profilediancan wlan 1 radio all

[AC6005-wlan-ap-group-default]vap-profileWIFI-GUEST wlan 2 radio all

关于流量模板限速、安全策略、隔离这里参考上面，这里不在讲解了，咱们来熟悉隧道转发。

因为diancan隐藏了SSID，因此这里看不到，咱们先测试WIFI-GUEST

能够看到获取的是200网段的，也就是咱们AC分配的，VLAN为3.

目前访问到网关能够，可是访问外网不行。

分析：

数据包的走向：客户端---AP（AP把业务数据封装在CAPWAP数据而后转发到AC）----傻瓜交换机-----AC（AC收到CAPWAP数据包解封装后看到实际数据业务，因为访客的网关在AC上面，AC会进行处理，查找去往114的路由，由默认路由，它会把数据包发给AR，AR查找目的路由发现给外网，直接NAT转换发出去。回包的时候，外网回包到AR出口路由器，出口路由经过NAT会话表找到发现去往192.168.200.X的，查找路由表，发现没有去192.168.200.X的路由，数据包直接丢弃。）能够发现整个网络缺乏路由，AR不知道192.168.200.0在哪，须要咱们写静态路由回包。

[AR1220]ip route-static 192.168.200.0 24 192.168.100.2

能够看到这时候数据包就通了，由于加了静态路由有了回包路由。

（思考题）实际状况容易遇到的问题：实际中可能会遇到这台AR路由没有权限操做或者密码忘记进不去加不了配置，咱们只能经过AC来解决，这个时候咱们改如何解决？

关于点餐的

[AC6005-wlan-view] ssid-profile name diancan

[AC6005-wlan-ssid-prof-diancan]undo ssid-hide enable

咱们把隐藏去掉来测试点餐的（模拟器不支持手动添加）

获取的地址是192.168.100.250，默认VLAN1的。

总体数据包走向

1、访客流量用的隧道转发，客户端流量-----AP1（封装CAPWAP）----傻瓜交换机----AC------目的地

2、点餐流量用的直接转发，客户端流量-----AP1（业务默认VLAN）---傻瓜交换机----到服务器或者出口出去

博主经验分享

（1）能用直接转发的场景，就部署直接转发，由于业务数据都从交换机---网关直接出去了，不用经过AC绕一圈，增长AC的负担，直接转发场景得知足AP上接交换机一直到业务网关的中间设备都必须支持VLAN透传，只有支持透传的状况下，数据包业务才能经过交换机直接到网关而后转发出去，特别是多SSID网段场景，多SSID一般会关联VLAN。（单SSID场景的话，傻瓜交换机也是能够实现直接转发的，由于都在一个网段，都在一个局域网，因此在配置的时候必定要注意整个AP到上层网络的接口所有要放行须要的VLAN经过）

（2）隧道转发的场景，通常是面向AP的交换机是傻瓜，或者中间网络设备配置不了，那么这个时候咱们只能被动选择转发场景，这种组网会增长无线业务的延迟，特别是在客户端比较多的状况下。

扩展案例：客户本来网络AR路由+傻瓜交换机，变动后但愿加入无线业务，新增长了一台AC+3台AP，须要多SSID 多网段，

若是是这种组网架构应该如何来部署跟解决？

本文首发于公众号：网络之路博客