实验规划:
根据现有场景,Agg1、Agg2 和 SW4 是 PoE 交换机,Core-SW 作为核心交换机,AR1 是出口路由器设备,连接另一个园区网络。
AP3、AP4 和 AP5 形成 Mesh 组网,PC2 能够通过 AP5 访问其他园区网络。
AP6 远程被 WAC1 纳管,为了保证网络的安全性,AR2 与 WAC1 建立 IPSec 隧道。
VLAN 端口类型及参数设计
IP地址规划
配置思路:
1.配置基础网络互通,保证设备间的二层、三层互通。
2.配置总部 AP 上线。
3.配置总部 Mesh 网络上线。
4.配置 WLAN 业务参数。
5.测试总部 WLAN 业务。
6.配置分支机构与总部互通。
7.配置分支 AP 在总部 WAC 上线。
8.测试分支 WLAN 业务。
具体配置步骤:
步骤1:配置二层网络
核心交换机配置:
sysname Core-SW
vlan batch 10 to 14 99
# 配置 Core-SW 端口类型及所属 VLAN。
[Core-SW] interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 14
quit
#
interface GigabitEthernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 14
quit
#
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 10 to 14
quit
#
interface GigabitEthernet 0/0/7
port link-type access
port default vlan 99
quit
Agg1配置:
sysname Agg1
vlan batch 10 to 14
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 14
quit
#
interface GigabitEthernet 0/0/2
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 to 14
quit
#
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 to 14
quit
Agg2配置:
sys
sysname Agg2
vlan batch 10 to 14
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 14
quit
#
interface GigabitEthernet 0/0/2
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 to 14
quit
SW4配置:
sys
sysname SW4
vlan batch 100 110 120 130 140 200
interface GigabitEthernet 0/0/1
port link-type access
port default vlan 200
quit
#
interface GigabitEthernet 0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 10 to 14
quit
WAC1配置:
sys
sysname WAC1
vlan 10
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10
quit
步骤2:配置接口IP地址
在 Core-SW 上配置 IP 地址
interface Vlanif 10
ip address 10.1.10.1 24
quit
#
interface Vlanif 11
ip address 10.1.11.1 24
quit
interface Vlanif 12
ip address 10.1.12.1 24
quit
interface Vlanif 13
ip address 10.1.13.1 24
quit
interface Vlanif 14
ip address 10.1.14.1 24
quit
interface Vlanif 99
ip address 10.1.99.1 30
quit
查看core-sw上的IP地址display ip interface brief
WAC1 上配置 IP 地址
interface Vlanif 10
ip address 10.1.10.254 24
quit
interface LoopBack 0
ip address 10.10.10.10 32
quit
AR1 上配置 IP 地址:
interface GigabitEthernet 0/0/1
ip address 10.1.99.2 24
quit
interface GigabitEthernet 0/0/2
ip address 20.1.1.1 30
quit
AR2的配置:
sys
sys AR2
interface GigabitEthernet 0/0/1
undo portswitch
ip address 20.1.1.2 30
quit
interface GigabitEthernet 0/0/2
undo portswitch
ip address 10.1.200.1 30
quit
SW4的配置:
interface Vlanif 10
ip address 10.1.10.100 24
interface Vlanif 130
ip address 10.1.130.254 24
interface Vlanif 140
ip address 10.1.140.254 24
interface Vlanif 200
ip address 10.1.200.2 30
quit
步骤3:配置路由
#在 Core-SW 上配置 OSPF,宣告本地各网段。
[Core-SW] ospf 1
area 0
network 10.1.10.1 0.0.0.0
network 10.1.11.1 0.0.0.0
network 10.1.12.1 0.0.0.0
network 10.1.13.1 0.0.0.0
network 10.1.14.1 0.0.0.0
return
#在 WAC1 上配置 OSPF,宣告本地各网段。
[WAC1] ospf 1
area 0
network 10.10.10.10 0.0.0.0
network 10.1.10.254 0.0.0.0
AR1上配置OSPF
ospf 1
area 0
network 10.1.99.2 0.0.0.0
default-route-advertise always
quit
步骤4:查看 WAC1 和 Core-SW 的路由表
步骤5:配置AP上线
在 Core-SW 上创建 AP 的 DHCP 地址池。
[Core-SW] dhcp enable
ip pool AP
network 10.1.10.0 mask 24
gateway-list 10.1.10.1
excluded-ip-address 10.1.10.254
option 43 sub-option 3 ascii 10.10.10.10
quit
在 Core-SW 上创建 HCIE-Lab 的 DHCP 地址池。
ip pool lab1
network 10.1.11.0 mask 24
gateway-list 10.1.11.1
quit
#
ip pool lab2
network 10.1.12.0 mask 24
gateway-list 10.1.12.1
quit
在 Core-SW 上创建 HCIE-Interview 的 DHCP 地址池。
ip pool interview1
network 10.1.13.0 mask 24
gateway-list 10.1.13.1
quit
ip pool interview2
network 10.1.14.0 mask 24
gateway-list 10.1.14.1
quit
在 Core-SW 接口下使能 DHCP 全局功能。
interface Vlanif 11
dhcp select global
interface Vlanif 12
dhcp select global
interface Vlanif 13
dhcp select global
interface Vlanif 14
dhcp select global
quit
查看DHCP地址池
配置 VLAN Pool。
在 WAC1 上创建 HCIE-Lab 的 VLAN Pool。
[WAC1] vlan pool lab
vlan 11 12
quit
在 WAC 上创建 HCIE-Interview 的 VLAN Pool。
[WAC1] vlan pool interview
vlan 13 14
quit
配置 AP 上线模板及参数。
在 WAC1 上配置 CAPWAP 源地址:capwap source interface LoopBack 0
在 WAC1 上创建域管理模板,默认国家代码是中国
wlan
regulatory-domain-profile name HCIE
country-code CN
quit
在 WAC1 上创建 AP 组,并绑定域管理模板。
wlan
ap-group name HCIE
regulatory-domain-profile HCIE
quit
在 WAC1 上添加 AP 的 MAC 地址(MAC 地址请使用实际环境中的 AP MAC 地址)。
ap-mac 30fd-65f8-fd40
ap-name ap1
ap-group HCIE
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,
power and antenna gain configurations of the radio, whether to continue? [Y/N]: y
Info: This operation may take a few seconds. Please wait for a moment... Done.
[WAC1-wlan-ap-0] quit
#
[WAC1-wlan-view] ap-mac f4de-af36-b300
[WAC1-wlan-ap-1] ap-name ap2
[WAC1-wlan-ap-1] ap-group HCIE
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,
power and antenna gain configurations of the radio, whether to continue? [Y/N]: y
Info: This operation may take a few seconds. Please wait for a moment... Done.
[WAC1-wlan-ap-1] quit
#
[WAC1-wlan-view] ap-mac f02f-a75e-5740
[WAC1-wlan-ap-2] ap-name ap3
[WAC1-wlan-ap-2] ap-group HCIE
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,
power and antenna gain configurations of the radio, whether to continue? [Y/N]: y
Info: This operation may take a few seconds. Please wait for a moment... Done.
[WAC1-wlan-ap-2] quit
查看 AP 状态
步骤 6 配置总部 AP 业务参数。
创建安全模板,HCIE-Lab 和 HCIE-Interview 分别使用不同的密码。
在 WAC1 上创建 HCIE-Lab 安全模板。
security-profile name HCIE-Lab
security wpa2 psk pass-phrase HCIE-Lab aes
在 WAC1 上创建 HCIE-Interview 安全模板。
security-profile name HCIE-Interview
security wpa2 psk pass-phrase HCIE-Interview aes
创建 SSID 模板,HCIE-Lab 和 HCIE-Interview。
在 WAC1 上创建 HCIE-Lab 的 SSID 模板。
ssid-profile name HCIE-Lab
ssid HCIE-Lab
在 WAC1 上创建 HCIE-Interview 的 SSID 模板。
ssid-profile name HCIE-Interview
ssid HCIE-Interview
创建 VAP 模板,HCIE-Lab 和 HCIE-Interview。
在 WAC1 上创建 HCIE-Lab 的 VAP 模板。
vap-profile name HCIE-Lab
forward-mode direct-forward
service-vlan vlan-pool lab
security-profile HCIE-Lab
ssid-profile HCIE-Lab
quit
在 WAC1 上创建 HCIE-Interview 的 VAP 模板。
vap-profile name HCIE-Interview
forward-mode direct-forward
service-vlan vlan-pool interview
security-profile HCIE-Interview
ssid-profile HCIE-Interview
将 VAP 模板应用到 AP 组下。
在 WAC1 上应用 HCIE-Lab 和 HCIE-Interview 的 VAP 模板。
ap-group name HCIE
vap-profile HCIE-Lab wlan 1 radio all
vap-profile HCIE-Interview wlan 2 radio all
quit
查看 VAP 射频情况。
在 WAC1 上查看 VAP 射频情况。
[WAC1-wlan-view] display vap all
步骤7:配置 Mesh 网络上线。
创建 Mesh 网络 AP 组。
在 WAC1 上创建 Mesh 网络的 AP 组。
wlan
ap-group name HCIE-Mesh
Info: This operation may take a few seconds. Please wait for a moment.done.
regulatory-domain-profile HCIE
Warning: Modifying the country code will clear channel, power and antenna gain configurations of
the radio and reset the AP. Continue? [Y/N]: Y
quit
将 AP4、AP5 加入 Mesh 网络 AP 组。
ap-mac 28a6-dbe1-c300
ap-name ap4
ap-group HCIE-Mesh
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,
power and antenna gain configurations of the radio, whether to continue? [Y/N]: Y
Info: This operation may take a few seconds. Please wait for a moment... done.
quit
ap-mac f02f-a75e-5dc0
ap-name ap5
ap-group HCIE-Mesh
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,
power and antenna gain configurations of the radio, whether to continue? [Y/N]: Y
配置 Mesh 业务参数。
配置 Mesh 节点使用的主要射频参数,“coverage distance”参数为射频覆盖距离,缺省情况下是 3,单位是 100m。
wlan
ap-group name HCIE
radio 1
channel 40mhz-plus 149
Warning: This action may cause service interruption. Continue? [Y/N] y
coverage distance 1
quit
[WAC1-wlan-view] ap-group name HCIE-Mesh
radio 1
channel 40mhz-plus 157
Warning: This action may cause service interruption. Continue? [Y/N] y
coverage distance 1
return
配置 Mesh 白名单。
mesh-whitelist-profile name HCIE-Mesh
peer-ap mac f02f-a75e-5740
peer-ap mac 28a6-dbe1-c300
peer-ap mac f02f-a75e-5dc0
配置在 AP 射频下引用 Mesh 白名单模板。
ap-group name HCIE
radio 1
mesh-whitelist-profile HCIE-Mesh
return
#
ap-group name HCIE-Mesh
radio 1
mesh-whitelist-profile HCIE-Mesh
配置 Mesh 链路使用的安全模板。
security-profile name HCIE-Mesh
security wpa2 psk pass-phrase HCIE-Mesh aes
配置 Mesh 模板。配置 Mesh 网络的 ID 为“HCIE-Mesh”,Mesh 链路老化时间为 30 秒,
并引用安全模板和 Mesh 白名单。
mesh-profile name HCIE-Mesh
mesh-id HCIE-Mesh
link-aging-time 30
security-profile HCIE-Mesh
配置 Mesh 角色。配置 AP3 的 Mesh 角色为“Mesh-portal”,缺省情况下 Mesh 角色为
“Mesh-node”,AP4、AP5 的角色为“Mesh-node”,可以使用默认配置。Mesh 角色是通过
AP 系统模板配置的。
ap-system-profile name HCIE-Mesh
mesh-role mesh-portal
在 AP 组引用相关模板,使 Mesh 业务生效。
配置 AP 组 HCIE 引用 AP 系统模板 HCIE-Mesh。
ap-group name HCIE
ap-system-profile HCIE-Mesh
Warning: This action may cause service interruption. Continue? [Y/N] Y
配置 AP 组 HCIE 引用 Mesh 模板,使 Mesh 业务生效。
[WAC1-wlan-ap-group-HCIE] mesh-profile HCIE-Mesh radio 1
#
[WAC1-wlan-view] ap-group name HCIE-Mesh
[WAC1-wlan-ap-group-HCIE-Mesh] mesh-profile HCIE-Mesh radio 1
Info: This operation may take a few seconds, please wait.done.
[WAC1-wlan-ap-group-HCIE-Mesh] quit
验证 Mesh 业务配置结果
Mesh 业务生效后,执行命令 display mesh vap all,查看所有 Mesh 型 VAP 的信息。
执行命令 display wlan mesh link all,查看 Mesh 链路相关信息。
步骤8:配置分支机构与总部通过 GRE Over IPSec 隧道互通
配置 WAC1 与 AR2 路由互通。
在 AR1 上配置静态路由:[AR1] ip route-static 0.0.0.0 0.0.0.0 20.1.1.2
在 AR2 上配置静态路由:[AR2] ip route-static 10.1.10.0 255.255.255.0 20.1.1.1
验证 WAC1 和 AR2 路由互通。
PING 10.1.200.1: 56 data bytes, press CTRL_C to break
Reply from 10.1.200.1: bytes=56 Sequence=1 ttl=253 time=2 ms
Reply from 10.1.200.1: bytes=56 Sequence=2 ttl=253 time=1 ms
Reply from 10.1.200.1: bytes=56 Sequence=3 ttl=253 time=5 ms
Reply from 10.1.200.1: bytes=56 Sequence=4 ttl=253 time=1 ms
Reply from 10.1.200.1: bytes=56 Sequence=5 ttl=253 time=2 ms
[AR2] ping 10.1.10.254
PING 10.1.10.254: 56 data bytes, press CTRL_C to break
Reply from 10.1.10.254: bytes=56 Sequence=1 ttl=253 time=1 ms
Reply from 10.1.10.254: bytes=56 Sequence=2 ttl=253 time=1 ms
Reply from 10.1.10.254: bytes=56 Sequence=3 ttl=253 time=1 ms
Reply from 10.1.10.254: bytes=56 Sequence=4 ttl=253 time=1 ms
Reply from 10.1.10.254: bytes=56 Sequence=5 ttl=253 time=1 ms
配置 GRE Tunnel 接口
在 WAC1 上配置 Tunnel 接口。
interface Tunnel 0/0/0
ip address 192.168.2.1 255.255.255.0
tunnel-protocol gre
source 10.1.10.254
destination 10.1.200.1
在 AR2 上配置 Tunnel 接口。
interface Tunnel 0/0/0
ip address 192.168.2.2 255.255.255.0
tunnel-protocol gre
source 10.1.200.1
destination 10.1.10.254
验证 GRE 隧道成功建立。
在查看 Tunnel 0/0/0 口的状态,且隧道两端可以互通,说明 GRE 隧道建立成功。
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
(E): E-Trunk down
……
Interface IP Address/Mask Physical Protocol
LoopBack0 10.10.10.10/32 up up(s)
Tunnel0/0/0 192.168.2.1/24 up up
Vlanif10 10.1.10.254/24 up up
PING 192.168.2.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.2.2: bytes=56 Sequence=1 ttl=255 time=4 ms
Reply from 192.168.2.2: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 192.168.2.2: bytes=56 Sequence=3 ttl=255 time=2 ms
Reply from 192.168.2.2: bytes=56 Sequence=4 ttl=255 time=5 ms
Reply from 192.168.2.2: bytes=56 Sequence=5 ttl=255 time=5 ms
创建 IPSec 安全提议。
在 WAC1 上配置 IPSec 安全提议。
ipsec proposal HCIE
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
在 AR2 上配置 IPSec 安全提议。
ipsec proposal HCIE
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
配置 IKE 对等体。
在 WAC1 上配置 IKE 安全提议。
ike proposal 1
authentication-algorithm sha2-256
encryption-algorithm aes-128
dh group14
quit
在 WAC1 上配置 IKE 对等体。
ike peer HCIE
undo version 2
pre-shared-key cipher Huawei@123
ike-proposal 1
quit
在 AR2 上配置 IKE 安全提议。
ike proposal 1
authentication-algorithm sha2-256
encryption-algorithm aes-128
dh group14
quit
在 AR2 上配置 IKE 对等体。
ike peer HCIE
undo version 2
pre-shared-key cipher Huawei@123
ike-proposal 1
quit
创建安全框架。
在 WAC1 上配置安全框架。
ipsec profile HCIE
ike-peer HCIE
proposal HCIE
quit
在 AR2 上配置安全框架。
ipsec profile HCIE
ike-peer HCIE
proposal HCIE
quit
在 Tunnel0/0/0 口上应用各自的安全框架,使接口具有 IPSec 的保护功能。
在 WAC1 的接口上引用安全框架。
interface tunnel 0/0/0
ipsec profile HCIE
quit
在 AR2 的接口上引用安全框架。
interface tunnel 0/0/0
ipsec profile HCIE
quit
配置 ACL,定义需要 IPSec 隧道保护的数据流。
在 WAC1 上配置 Tunnel 接口的转发路由:
ip route-static 10.1.200.0 255.255.255.0 tunnel 0/0/0
在 AR2 上配置 Tunnel 接口的转发路由。
ip route-static 10.1.10.0 255.255.255.0 tunnel 0/0/0
配置成功后,分别在 WAC1 和 AR2 上执行 display ike sa 会显示所配置的信息
步骤9:配置分支 AP 在总部 AC 上线。
在 SW4 上创建 DHCP 地址池。
在 SW4 上创建分支 AP 和业务的 DHCP 地址池。
ip pool ap
gateway-list 192.168.100.1
network 192.168.100.0 mask 255.255.255.0
option 43 sub-option 3 ascii 10.10.10.10
quit
#
ip pool HCIE-Lab
gateway-list 192.168.110.1
network 192.168.110.0 mask 255.255.255.0
quit
#
ip pool HCIE-Interview
gateway-list 192.168.110.1
network 192.168.110.0 mask 255.255.255.0
quit
#
interface Vlanif 100
dhcp select global
quit
#
interface Vlanif 110
dhcp select global
quit
#
interface Vlanif 120
dhcp select global
quit
确认 AP 是否正常获取到 IP 地址。
在 SW4 上查看 DHCP 地址池分配情况,发现 AP6 已经获取到 IP 地址。
[SW4] display ip pool name ap used
在 WAC1 创建 AP 组 HCIE-Bran,并将 AP6 绑定到该组。
[WAC1-wlan-view] ap-group name HCIE-Bran
[WAC1-wlan-ap-group-HCIE-Bran] regulatory-domain-profile HCIE
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue? [Y/N]:Y
[WAC1-wlan-ap-group-HCIE-Bran]quit
[WAC1-wlan-view] ap-mac f4de-af36-ace0
[WAC1-wlan-ap-5] ap-name ap6
[WAC1-wlan-ap-5] ap-group HCIE-Bran
查看 AP 状态,AP 已正常上线。
[WAC1]display ap all
Total AP information:
Idle : idle [1]
Nor : normal [5]
ExtraInfo : Extra information
P : insufficient power supply
-----------------------------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
ExtraInfo
-----------------------------------------------------------------------------------------------------------------------
0 30fd-65f8-fd40 ap1 HCIE 10.1.10.62 AP7060DN nor 0 19M:24S
P
1 f4de-af36-b300 ap2 HCIE 10.1.10.114 AirEngine5760nor 0 15H:22M:42S
-
2 f02f-a75e-5740 ap3 HCIE 10.1.10.196 AP4030DN nor 0 15H:22M:33S
-
3 28a6-dbe1-c300 ap4 HCIE-Mesh 10.1.10.240 AP4030DN nor 0 15H:20M:17S
-
4 f02f-a75e-5dc0 ap5 HCIE-Mesh 10.1.10.198 AP4030DN nor 0 15H:19M:54S
-
5 f4de-af36-ace0 ap6 HCIE-Bran 192.168.100.72 AirEngine5760 nor 0 00H:01M:51S
-
------------------------------------------------------------------------------------------------------------------------
-
Total: 6
页面更新:2024-04-03
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2008-2024 All Rights Reserved. Powered By bs178.com 闽ICP备11008920号-3
闽公网安备35020302034844号