実験的なトポロジ https://wwa.lanzoub.com/ivTyH0w8vz6d
例として、デバイス アクセス、アグリゲーション スイッチ (S3700、S5700)、およびルーター (AR3200) が使用されます。
-
アクセス層: ユーザーの役割には、従業員 (アクセス方法には有線と無線が含まれます) と訪問者 (無線アクセスのみ)、オフィス WIFI パスワード認証、認証なしの訪問者 WIFI が含まれます。
- アグリゲーション層: リンクの冗長性を実現するためのスイッチのリンクアグリゲーション。LSW1 は、ワイヤレス ネットワークおよび AP 管理ネットワーク用の DHCP レイヤ 3 サーバーとして集中展開するためのソリューションです。
- コア層: 有線アクセス ネットワーク用の DHCP リレー サーバー。アクセストラフィックに静的ルーティングを設定して、異なる役割を持つユーザーのネットワークアクセス権を実現します。
- 従業員の自宅にあるホスト コンピュータ PC1 は、MAC アドレスを介してバインドされ、公衆ネットワークにアクセスするための特定の IP アドレスを取得します。デフォルトでは、トンネルの実装とパブリック ネットワークへのアクセスに PPPOE と NAT が使用されます。ダイヤルアップ ネットワークに障害が発生し、リンクが切り替わった場合、現時点ではトンネルのみが実現されます。
- トンネリング プロトコルを実装して、クロスパブリック ネットワーク アクセスを実現します。
構成プロセス
ステップ |
構成アイデア |
---|---|
基本的なネットワーク通信を構成する |
1. リンクアグリゲーション、IPアドレス、VLAN分割を設定します。 |
アグリゲーションスイッチとACを構成する |
2. AP と AC がオンラインになります。 |
3. レイヤ 3 VLAN ネットワークを構成します。 |
|
4. DHCP リレーを設定します。 |
|
コアスイッチを設定する |
6. 有線ネットワークを DHCP サーバーに接続します。 |
7. トンネル プロトコルを実行し、静的ルーティングを設定して、出入りするトラフィック フローを制御します。 | |
キャリアネットワークを構成する |
8. PPPOE パラメータを設定します。 |
コンフィギュレーター ホーム ネットワーク | 9. PC1で取得したIPアドレスを指定します。 |
10. トンネル プロトコルを実行し、流入および流出するフローを制御する静的ルーティングを設定します。 |
VLANサービスデータ部
装置 |
計画 |
VLAN ID |
ネットワークセグメント |
---|---|---|---|
LSW1\AC | LSW1 と AC 間のインターワーキング VLAN | VLAN 88 | 192.168.88.0/24 |
LSW1 LSW2 LSW3 |
APの管理VLAN |
VLAN 100 |
10.1.100.0/24 |
ワイヤレス ユーザー向けのサービス VLAN |
VLAN 102(オフィス) |
10.1.102.0/24 | |
VLAN 101(ゲスト) |
10.1.101.0/24 | ||
有線ユーザー向けのサービス VLAN |
VLAN 77 |
10.1.77.0/24 | |
LSW1 | コア層を接続するネットワークセグメント |
VLAN 99 |
192.168.99.0/24 |
ACワイヤレスサービスデータプランニング
計画 |
スタッフ |
訪問者 |
---|---|---|
セキュリティテンプレート |
sec2: WPA/WPA2-802.1X 認証 |
sec1: オープン認証 (デフォルトのセキュリティ ポリシー) |
SSIDテンプレート |
ssid1:オフィス |
ssid2:ゲスト |
APグループ |
ap-グループ1 |
|
ドメイン管理者テンプレート |
ドメイン1 |
|
ビジネスデータ転送モード |
トンネルダイレクトフォワーディングモード |
|
VAP テンプレート |
VAPオフィス |
vap-ゲスト |
設定手順
1. リンクアグリゲーション、VLAN分割、IPアドレスを設定します。
リンクアグリゲーション
要求.LSW1、LSW2.LSW3链路聚合最大活跃数量1、端口号大的作为主链路。
相关配置命令
trunk号有:12、13、23 (其他同理)
[LSW2]interface Eth-Trunk 12
[LSW2-Eth-Trunk12]display this
#
interface Eth-Trunk12
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mode lacp-static
lacp preempt enable
max active-linknumber 1
lacp preempt delay 10
#
interface GigabitEthernet0/0/1
eth-trunk 12
#
interface GigabitEthernet0/0/2
eth-trunk 12
lacp priority 100
#
確認
2. VLAN分割
1.链路多个vlan运行使用trunk、单个vlan运行使用access
VLAN 88 99 分别是AC互通VLAN、上层核心互通VLAN
[LSW1]display port vlan
[LSW1]int g0/0/24
[LSW1-GigabitEthernet0/0/24]display this
#
interface GigabitEthernet0/0/24
port link-type access
port default vlan 99
#
interface GigabitEthernet0/0/10
port link-type access
port default vlan 88
#
2. LSW2、LSW3VLAN划分(相同)
有线接入VLAN77、无线接入VLAN101(访客)、VLAN101(办公室)
AP有AC的管理VLAN100控制、业务数据流VLAN101\102、链路多个VLAN运行使用trunk
#
interface GigabitEthernet0/0/7
port link-type access
port default vlan 77
#
interface GigabitEthernet0/0/8
port link-type access
port default vlan 77
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 2 to 4094
#
3.AC也有VLAN划分
[AC6005-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 88
#
3.IPアドレス
Cloud云(模拟访问公网)
IP地址设为61.128.1.10 /24 网关61.128.1.254 /24。
方法:http://t.csdn.cn/hDuN0
display ip interface brief
アグリゲーションスイッチとACを構成する
AC/APオンライン
1.S5700与AC6005互通的路由
[AC6005]ip route-static 0.0.0.00.0.0.0 192.168.88.1
2、配置AP管理VLAN100(AP获取地址)
DHCP option43字段主要是用来:AP可通过DHCP的Option 43属性直接获取无线控制器的IP地址,
从而完成在AC无线控制器上的注册。
#
ip pool vlan100
gateway-list 10.1.100.1
network 10.1.100.0 mask 255.255.255.0
excluded-ip-address 10.1.100.2 10.1.100.45
option 43 sub-option 2 ip-address 192.168.88.2
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select global
#
2、配置无线业务 VLAN101、102(用户获取地址)
#
ip pool vlan101
gateway-list 10.1.101.1
network 10.1.101.0 mask 255.255.255.0
excluded-ip-address 10.1.101.240 10.1.101.254
dns-list 114.114.114.114
#
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select global
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select global
#
ip pool vlan102
gateway-list 10.1.102.1
network 10.1.102.0 mask 255.255.255.0
excluded-ip-address 10.1.102.250 10.1.102.254
dns-list 114.114.114.114
#
3、配置AP在AC上线
步骤1
在AC6005上创建域管理模板,名称为domain1,配置AC的国家码为中国CN,
然后创建AP组ap-group1,绑定域管理模板domain1到AP组ap-group1
[AC6005]wlan
regulatory-domain-profile name domain1
country-code cn
quit
ap-group name ap-group1
regulatory-domain-profile domain1
步骤2:配置AC的源接口(AC所在的VLAN)
[AC6005]capwap source interface Vlanif 88
步骤3:配置AP认证方式
MAC认证地址
[LSW2]dis int g0/0/8 查看AP获得的硬件地址。
[AC6005]wlan
ap auth-mode mac-auth
ap-mac 4c1f-ccb6-6e71 ap-id 0
ap-group ap-group1
quit
ap-mac 4c1f-ccfa-3470 ap-id 1
ap-group ap-group1
4、配置安全模板
步骤1:配置安全模板,名称为security-1,为open (访客)
名称为security-2,为WPA加密,密码是xxxxx。(办公室)
[AC6005-wlan-view]security-profile name security-1
security open
quit
security-profile name security-1
security wpa psk pass-phrase xxxxxx aes
步骤2:配置SSID模板,名称为ssid-0,Ssid guest
名称为ssid-1配置SSID模板:名称为office。
[AC6005]wlan
ssid-profile name ssid-0
ssid guest
quit
ssid-profile name ssid-1
ssid office
步骤3:配置VAP模板
vap-guest,设置转发方式为直接转发,设置无线业务VLAN为101,
并绑定安全模板security-1和SSID模板ssid-0。
vap-office,设置转发方式为直接转发,设置无线业务VLAN为102,
并绑定安全模板security-2和SSID模板ssid-1。
[AC6005]wlan
vap-profile name vap-guest
forward-mode direct
service-vlan vlan-id 101
security-profile security-1
ssid-profile ssid-0
quit
vap-profile name vap-office
forward-mode direct
service-vlan vlan-id 102
security-profile security-2
ssid-profile ssid-1
步骤4:绑定两个VAP模板到AP组
[AC6005]wlan
ap-group name ap-group1
vap-profile vap-guest wlan 1 radio all
vap-profilevap-office wlan 2 radio all
コアスイッチを設定する
有線ネットワークアクセス DHCP サーバー
1.LSW1配置去核心交换机的路由,以及中继VLAN77
#
interface Vlanif77
ip address 10.1.77.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.99.1
#
ip route-static 0.0.0.0 0.0.0.0 192.168.99.1
#
2.AR1核心路由器创建地址池,以及回程路由,
排除的路由是固定终端IP的地址例如client、监控
#
ip pool vlan77
gateway-list 10.1.77.1
network 10.1.77.0 mask 255.255.255.0
excluded-ip-address 10.1.77.10 10.1.77.15
dns-list 114.114.114.114
#
ip route-static 10.1.77.0 255.255.255.0 192.168.99.2
#
トンネリングプロトコルを実行する
1.AR1创建tunel隧道
#
interface Tunnel0/0/1
ip address 50.1.1.1 255.255.255.0
tunnel-protocol gre
source 20.1.1.1
destination 30.1.1.1
#
设置静态路由控制流量进出
1.去往公网的IP地址的默认路由
2.去往员工家里的隧道路由
无线接入用户无法访问ftp、公网、核心层。
#
ip route-static 0.0.0.0 0.0.0.0 20.1.1.2
ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/1 50.1.1.2
#
キャリアネットワークを構成する
PPPOE リンクはトンネルとパブリック ネットワーク アクセスを実現します。
固定リンクはトンネルのみを実装できます。
ダイヤルアップ ネットワーク リンクに障害が発生した場合は、固定リンク g/0/0 に切り替えます。
PPPOE ダイヤルアップ
1.AR2作为PPPoe的服务端提供认证、下发地址。
#
ip pool pppoe
network 123.1.1.0 mask 255.255.255.0
excluded-ip-address 123.1.1.250 123.1.1.252
dns-list 114.114.114.114
#
interface Virtual-Template1
ppp authentication-mode chap
remote address pool pppoe
ip address 123.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
pppoe-server bind Virtual-Template 1
#
local-user test password cipher 你的密码
local-user test service-type ppp
#
2.AR3作为PPPoe的客户端挑战认证。
#
interface Dialer1
link-protocol ppp
ppp chap user test
ppp chap password cipher 密码
ip address ppp-negotiate
dialer user test
dialer bundle 1
#
#
interface GigabitEthernet0/0/2
pppoe-client dial-bundle-number 1
#
AR3 はリンクスイッチングを実現します
1.当实际g0/0/2链路出现问题、dialer虚拟链路也失效。
2.默认dialer访问。
#
interface Dialer1
dialer number 1 autodial
#
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2
ip route-static 0.0.0.0 0.0.0.0 Dialer1 preference 59
#
スタッフホーム
ホストPC1で取得したIPアドレスを指定します
绑定mac地址对应的IP地址
PC1的mac地址54-89-98-A9-70-8A
AR3
#
ip pool 1
gateway-list 192.168.0.254
network 192.168.0.0 mask 255.255.255.0
static-bind ip-address 192.168.0.253 mac-address 5489-98a9-708a
dns-list 114.114.114.114
#
interface GigabitEthernet0/0/1
ip address 192.168.0.254 255.255.255.0
dhcp select global
#
トンネリングプロトコルを実行し、出入りするトラフィックを制御します
1.AR3隧道协议、只能访问公司主机VLAN77
#
interface Tunnel0/0/0
ip address 50.1.1.2 255.255.255.0
tunnel-protocol gre
source 30.1.1.1
destination 20.1.1.1
#
ip route-static 10.1.77.0 255.255.255.0 Tunnel0/0/0
#
2.ACL抓取PC1的IP地址,NAT访问公网
#
acl number 2000
rule 5 permit source 192.168.0.253 0
#
interface Dialer1
nat outbound 2000
#
結果検証
1. PC1/PC2 は 10.1.77.0/24 (会社ホスト) に ping できます。
PC4 ping 192.168.0.253 (従業員の自宅)
2. PC1 が 61.128.1.10 (パブリック ネットワーク) に ping を実行します。
int g0/0/2 シャットダウン ping はパブリック ネットワークに接続できません
3. Clinet4 は FTP サーバー (会社) にアクセスできます
PC3/4 ping 192.168.77.1 (会社の FTP)
Experiment.zip -実験構成 (.cfg) をLanzuo クラウドにインポートします
Wi-Fi パスワード admin123
不安を和らげる最善の方法は、毎日インプットとアウトプットをしていると感じることです。