一、需求
在无线接入区内,当Lsw1的上联口出现故障时,需要通过AP1-LSw1-LSw2-LSw3的路径访问公网server3。这是因为AP1通过无线网连接到LSw1,而LSw1与LSw3之间的链路出现故障,无法直接访问公网server3。因此,流量需要通过LSw2进行转发,然后通过LSw3访问公网server3。
在有线接入区内,当Lsw2的上联口出现故障时,需要通过Lsw2-LSw1-LSw3的路径访问公网server。因为终端C通过有线网连接到LSw2,而Lsw2与LSw3之间的链路出现故障,无法直接访问公网server。因此,流量需要通过LSw1进行转发,然后通过LSw3访问公网server。
在无线接入区内,当Lsw1的上联口出现故障时,需要在LSw1和LSw2之间添加一个备用路径。具体配置命令如下:
实验过程:
二、配置命令
- 首先进行VLAN划分,将无线划分为VLAN10,管理AP划分为VLAN20,有线网划分为VLAN30.
- 在LSW1和LSW2之间配置链路聚合,同时配置LSW1,LSW2,LSW3之间互联链路为trunk链路并且放行VLAN10,20,30,100的VLAN通过
- 先在LSW3设备上面配置VLANif10,VLANif30的IP地址以及地址池,同时部署DHCP协议,使得无线终端和有线终端获取IP地址
- 在AC1上部署VLANif20,同时配置地址池,并且配置dhcp使得AP获取到地址。
- 配置设备管理VLANif100,对设备进行管理
- 配置静态路由将外网打通以及设备管理打通
- 配置telnet协议,采用aaa认证
- 配置无线,无线ssid模板,安全模板,VAP模板,进行绑定,绑定到AP1,使得能终端能获取到VLAN10的地址。
- 最后配置NAT策略,VLAN10和VLAN30的流量经过NAT转换。
具体配置如下:
LSW1:
sysname LSW1
#
设备更改设备名
vlan batch 10 20 30 100
#
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
#
interface MEth0/0/1
#
interface Eth-Trunk10
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mode lacp-static
#
interface GigabitEthernet0/0/1
eth-trunk 10
#
interface GigabitEthernet0/0/2
eth-trunk 10
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30 100
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 20
port trunk allow-pass vlan 2 to 4094
创建VLAN,配置ETh-trunk10,同时在交换机互联接口配置trunk接口允许VLAN10,20,30,100通过
ip route-static 0.0.0.0 0.0.0.0 192.168.100.3 description guanli
#
配置管理VLAN静态路由。
local-user admin password cipher admin@huawei123
local-user admin privilege level 15
local-user admin service-type telnet
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
#
配置telnet,使得其他设备能够远程到LSW1.
LSW2配置:
interface Vlanif100
description guanlivlan
ip address 192.168.100.2 255.255.255.0
#
interface MEth0/0/1
#
interface Eth-Trunk10
port link-type trunk
port trunk allow-pass vlan 10 20 30 100
mode lacp-static
#
interface GigabitEthernet0/0/1
eth-trunk 10
#
interface GigabitEthernet0/0/2
eth-trunk 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30 100
创建VLAN,配置ETh-trunk10,同时在交换机互联接口配置trunk接口允许VLAN10,20,30,100通过
ip route-static 0.0.0.0 0.0.0.0 192.168.100.3 description guanli
#
配置管理VLAN的缺省路由
local-user admin password cipher admin@huawei123
local-user admin privilege level 15
local-user admin service-type telnet
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
配置telnet协议,使得其他设备能够远程。
LSW3配置:
Sysname LSW3
配置设备名称
vlan batch 10 20 30 40 100
#创建VLAN
stp instance 0 root primary
配置STP协议,使得LSW3成为根桥
ip pool vlan10
gateway-list 172.16.10.1
network 172.16.10.0 mask 255.255.255.0
#
ip pool vlan30
gateway-list 192.168.30.1
network 192.168.30.0 mask 255.255.255.0
配置VLAN10,VLAN30的地址池。
interface Vlanif10
ip address 172.16.10.1 255.255.255.0
dhcp select global
#
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
dhcp select global
#
interface Vlanif40
ip address 192.168.40.1 255.255.255.252
#
interface Vlanif100
ip address 192.168.100.3 255.255.255.0
#
配置VLANif10,30,100,40接口IP地址,以及部署DHCP协议
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 40
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30 100
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30 100
创建VLAN,配置ETh-trunk10,同时在交换机互联接口配置trunk接口允许VLAN10,20,30,100通过
AC1配置:
sysname AC1
#
vlan batch 20 100
创建VLAN
ip pool vlan20
gateway-list 172.16.20.1
network 172.16.20.0 mask 255.255.255.0
配置dhcp地址池vlan20
interface Vlanif20
ip address 172.16.20.1 255.255.255.0
dhcp select global
interface Vlanif100
ip address 192.168.100.4 255.255.255.0
#
配置vlanif20,vlanif100接口IP地址
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
配置接口允许所有VLAN流量通过
ip route-static 0.0.0.0 0.0.0.0 192.168.100.3 description guanli
#
配置管理VLAN静态路由
capwap source interface vlanif20
配置capwap隧道建立使用的源地址。
ssid-profile name linsen
ssid linsen
配置ssid模板,也就是无线名称
security-profile name linsen
security wpa psk pass-phrase LS123456 aes
配置安全模板,也就是无线密码
vap-profile name linsen
service-vlan vlan-id 10
ssid-profile linsen
security-profile linsen
配置vap模板管理ssid和安全模板,并且使得终端获取地址通过VLAN10获取。
ap-group name linsen
radio 0
vap-profile linsen wlan 1
radio 1
vap-profile linsen wlan 1
radio 2
vap-profile linsen wlan 1
配置AP组的名称,并且将VAP模板关联Radio,放出无线信号。
ap-id 1 type-id 56 ap-mac 00e0-fcb8-74f0 ap-sn 2102354483105F62B311
ap-name linsen
ap-group linsen
配置AP认证为MAc认证,并且指定AP组为linsen,以及AP名称为linsen
AR1配置:
sysname AR1
设备名称更改为AR1
interface GigabitEthernet0/0/1
ip address 192.168.40.2 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 218.221.226.1 255.255.255.252
nat outbound 3000
#
配置接口IP地址,在G0/0/2口部署easy-ip方式,进行NAT转换,也就是说匹配ACL3000的地址都会转化成接口g0/0/2接口IP地址。
interface NULL0
#
ip route-static 172.16.10.0 255.255.255.0 192.168.40.1
ip route-static 172.16.20.0 255.255.255.0 192.168.40.1
ip route-static 192.168.30.0 255.255.255.0 192.168.40.1
ip route-static 192.168.100.0 255.255.255.0 192.168.40.1
配置回程路由,以及设备管理路由
acl number 3000
rule 5 permit ip source 172.16.10.0 0.0.0.255
rule 15 permit ip source 192.168.30.0 0.0.0.255
配置ACL3000,允许有线网VLAN30,无线网VLAN10的数据包进行NAT转化,使得访问server端。三、验证
无线验证:
放出信号为linsen,继续查看IP地址获取情况:
IP地址为:可以看到获取了VLAN10的地址,网关为192.168.10.1
查看无线访问server:
可以观察到能访问到server端。
继续测试有线网络情况:
可以看到PC1获取到了VLAN30的地址,网关为192.168.30.1,继续测试器是否能够访问外网。
继续测试当LSW2上联故障是否还能进行访问。
可以观察到依旧能进行访问,
测试telnet协议:
在LSW3设备上使用telnet协议登录LSW1设备,如下所示:
可以看到LSW3远程上了LSW1。
NAT测试:
在pc1访问server时在AR1设备查看是否进行NAT转换:
可以观察到源地址转换成了218.221.226.1地址,因此NAT转换成功。