公司培训网站建设,flask做的网站,无锡网站建设专家,审计局网站建设管理目录 1 配置AC使AP放出Wifi1.1 确保AP和AC三层互通且AP知道AC的IP1.1.1 配置管理SVI的IP1.1.2 该SVI配置DHCP下发IP给AP 1.2 AC为AP下发配置1.2.1 AC用哪个接口回复AP1.2.2 AC验证AP身份#xff08;可以不认证#xff09;1.2.3 配置ssid 文件确定Wifi名称1.2.4 配置security … 目录 1 配置AC使AP放出Wifi1.1 确保AP和AC三层互通且AP知道AC的IP1.1.1 配置管理SVI的IP1.1.2 该SVI配置DHCP下发IP给AP 1.2 AC为AP下发配置1.2.1 AC用哪个接口回复AP1.2.2 AC验证AP身份可以不认证1.2.3 配置ssid 文件确定Wifi名称1.2.4 配置security 文件确定wifi密码1.2.5 配置vap绑定前两个文件转发模式和业务VLAN设置1.2.6 创建组且配置组关联Vap一个组可以关联多个Vap 1.3 配置网关DHCP使得连接wifi客户获取IP 2 配置网关和防火墙起OSPF邻居2.1 防火墙接口加入对应组2.2 起OSPF邻居下发默认路由 3 配置出口NAPT3.1 防火墙放行所有流量也就是透明模式3.2 配置easy NAT也就是NAPT3.3 **配置默认路由指向ISP** 4 补充——AP的Web批量上线4.0 ENSP模拟进入AC的WEB页面的方法4.1 设备批量上线 5 补充——直连转发和隧道转发区别5.1 直连转发5.2 隧道转发 6 补充——访客和员工的三层隔离6.1 在物理口配置Traffic-filter6.2 在网关配置Traffic-filter6.3 在网关配置PBR 7 补充——Tel8 AP原理 1 配置AC使AP放出Wifi
1.1 确保AP和AC三层互通且AP知道AC的IP
1.1.1 配置管理SVI的IP
interface Vlanif100ip address 192.168.100.254 255.255.255.01.1.2 该SVI配置DHCP下发IP给AP
ip pool MGMTgateway-list 192.168.100.254 network 192.168.100.0 mask 255.255.255.0 option 43 sub-option 2 ip-address 192.168.100.254
#
dhcp enable
#
interface Vlanif100dhcp select global1.2 AC为AP下发配置
1.2.1 AC用哪个接口回复AP
capwap source interface vlan 100以下命令在 WLAN 下配置
1.2.2 AC验证AP身份可以不认证
手动验证
ap auth-mode mac-auth //ap的默认认证模式可以改为无需认证ap-id 1 ap-mac 00e0-fcfb-10e0无需验证
ap auth-mode no-auth//ap的默认认证模式可以改为无需认证1.2.3 配置ssid 文件确定Wifi名称 ssid-profile name staffssid staff1.2.4 配置security 文件确定wifi密码 security-profile name staffsecurity wpa-wpa2 psk password a1234567 aes1.2.5 配置vap绑定前两个文件转发模式和业务VLAN设置 vap-profile name staffservice-vlan vlan-id 2设置STA的IP所属的VLANforward-mode direct-forward默认ssid-profile staffsecurity-profile staff1.2.6 创建组且配置组关联Vap一个组可以关联多个Vap
创建组 ap-group name all将ap加入组中 ap-id 1ap-group all关联组和VAP ap-group name allvap-profile staff wlan 1 radio all1.3 配置网关DHCP使得连接wifi客户获取IP
ip pool vlan 2gateway-list 192.168.2.254network 192.168.2.0 mask 255.255.255.0 dhcp enableinterface Vlanif2dhcp select global2 配置网关和防火墙起OSPF邻居
2.1 防火墙接口加入对应组
firewall zone trustadd interface GigabitEthernet0/0/0
#
firewall zone untrustadd interface GigabitEthernet0/0/12.2 起OSPF邻居下发默认路由
Firewall
ospf 1default-route-advertise alwaysarea 0.0.0.0network 192.168.1.2 0.0.0.0汇聚交换机
ospf 1area 0.0.0.0network 192.168.1.1 0.0.0.0network 192.168.2.0 0.0.0.255network 192.168.3.0 0.0.0.2553 配置出口NAPT
3.1 防火墙放行所有流量也就是透明模式
firewall packet-filter default permit all3.2 配置easy NAT也就是NAPT
实验配置
nat-policy interzone trust untrust outboundpolicy 1action source-natpolicy source 192.168.0.0 mask 16easy-ip GigabitEthernet0/0/1AR6121E-S配置
acl number 2000
rule 5 permit 192.168.0.0 mask 16
#
int g0/0/1
nat outbound3.3 配置默认路由指向ISP
ip route-static 0.0.0.0 0.0.0.0 100.64.0.24 补充——AP的Web批量上线
4.0 ENSP模拟进入AC的WEB页面的方法
1 拉出云鼠标左击两下进入配置 2 修改端口类型后点击增加 3 修改绑定信息为非以太网的其他接口之后也修改端口类型为GE然后点击增加 4 修改框选内容后点击增加 5 将云和无线AC相连 6 AC和云互通默认AC的管理VLAN为SVI 1
AC配置WEB页面的IP地址
interface Vlanif1ip address 10.8.2.1 255.255.255.0AC配置出接口类型
interface g0/0/2port link-type accessport default vlan 1本地网卡配置相同网段本机使用环回口
7 AC配置登录信息
http secure-server enable
aaa
local-user admin password irreversible-cipher admin123
local-user admin privilege level 15
local-user admin service-type http8 本机打开浏览器输入网址注意前缀得输入https默认输IP则前缀为http那无法进入
4.1 设备批量上线 1 在网络已经打通的情况下直连转发模式先将AP的认证方式改为不认证 2 将以这种方式认证的AP的组从“default”移入到已有配置的“all” 3 再将认证模式改为mac防止后续非客户ap的接入 不再展示
5 补充——直连转发和隧道转发区别
注MGMT-VLAN即管理VLAN为VLAN 100PC的VLAN为VLAN 2
5.1 直连转发 5.2 隧道转发 隧道转发的封装我们图中简化了具体的封装如下原理类似GRE VPN不赘述
6 补充——访客和员工的三层隔离
注三层隔离的意思就是
6.1 在物理口配置Traffic-filter
缺陷需要在物理口上一个一个过滤如果新加接口又得重新添加过滤不灵活
#
acl number 3000rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
#
interface GigabitEthernet0/0/2traffic-filter inbound acl 2000
#6.2 在网关配置Traffic-filter
缺陷需要匹配源目地址当需要增加员工的地址时需要添加新的ACL来过滤不灵活
#
acl number 3000rule 5 deny ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
traffic-filter vlan 4 inbound acl 3000
#6.3 在网关配置PBR
优势只需要匹配源IP地址在员工的地址增加时不需要额外的配置也能实现三层的隔离
#
acl number 2000rule 5 permit source 192.168.2.0 0.0.0.255
#
traffic classifier a operator andif-match acl 2000
#
traffic behavior aredirect ip-nexthop 12.12.12.1
#
traffic policy aclassifier a behavior a
#
traffic-policy a global inbound7 补充——Tel
可以通过远程登录到拥有公网IP的设备上然后使用这个设备再远程登录到其内网的设备上
8 AP原理
在接收到AC配置前 AP相当于是一个开启了DHCP自动获取的PC
在接收到AC配置后 AP相当于一个交换机上联口为Trunk下联STA的接口为AccessSTA连接哪个Wifi对应哪个Service VLAN也就是Access的Default VLAN
注STA就是连接AP发出无线型号的笔记本电脑
