实验拓扑 https://wwa.lanzoub.com/ivTyH0w8vz6d 

设备接入、汇聚交换机（S3700、S5700）、路由器（AR3200）为例。

• 接入层：用户角色包括员工（接入方式包括有线和无线）和访客（仅能通过无线接入），办公WIFI密码认证，访客WIFI无认证。

• 汇聚层：交换机链路聚合的方式，实现链路冗余。LSW1作为无线网络、AP管理网络的DHCP三层服务器，集中部署的方案。
• 核心层：有线接入网络的DHCP中继服务器。设置访问流量静态路由，实现不同角色的用户的网络访问权限。
• 员工家里主机PC1通过mac地址绑定 ，获取特定的IP地址访问公网。默认通过PPPOE、NAT实现隧道、访问公网。当拨号网络失效、切换链路，此时只能实现隧道。
• 实现隧道协议实现跨公网访问。

配置流程

步骤	配置思路
配置基础网络互通	1.配置链路聚合、IP地址、VLAN划分。
配置汇聚交换机和AC	2. AP、AC上线。
	3. 配置三层VLAN网络。
	4. 配置DHCP中继。
配置核心交换机	6. 有线网络接入DHCP服务器。
	7.运行隧道协议、设置静态路由控制l流量进出。
配置运营商网络	8.配置PPPOE参数。
配置员家里网络	9.指定PC1获取的IP地址。
	10.运行隧道协议.设置静态路由控制l流量进出。

VLAN业务数据划分 

设备	项目	VLAN ID	网段
LSW1\AC	LSW1、AC的互通VLAN	VLAN 88	192.168.88.0/24
LSW1 LSW2 LSW3	AP的管理VLAN	VLAN 100	10.1.100.0/24
	无线用户的业务VLAN	VLAN 102（office）	10.1.102.0/24
		VLAN 101（Guest）	10.1.101.0/24
	有线用户的业务VLAN	VLAN 77	10.1.77.0/24
LSW1	连接核心层的网段	VLAN 99	192.168.99.0/24

 AC无线业务数据规划

项目	员工	访客
安全模板	sec2：WPA/WPA2-802.1X认证	sec1：开放认证（缺省的安全策略）
SSID模板	ssid1：office	ssid2：guest
AP组	ap-group1
域管理模板	domain1
业务数据转发模式	隧道直接转发模式
VAP模板	vap-office	vap-guest

配置步骤

1.配置链路聚合、VLAN划分、IP地址。

链路聚合

要求.LSW1、LSW2.LSW3链路聚合最大活跃数量1、端口号大的作为主链路。
相关配置命令
trunk号有：12、13、23 (其他同理)
[LSW2]interface Eth-Trunk 12
[LSW2-Eth-Trunk12]display this
#
interface Eth-Trunk12
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 mode lacp-static
 lacp preempt enable
 max active-linknumber 1
 lacp preempt delay 10
#
interface GigabitEthernet0/0/1
 eth-trunk 12
#
interface GigabitEthernet0/0/2
 eth-trunk 12
 lacp priority 100 
#

 验证

 2.VLAN划分

1.链路多个vlan运行使用trunk、单个vlan运行使用access
VLAN 88 99 分别是AC互通VLAN、上层核心互通VLAN
[LSW1]display port vlan
[LSW1]int g0/0/24
[LSW1-GigabitEthernet0/0/24]display this
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 99
#
interface GigabitEthernet0/0/10
 port link-type access
 port default vlan 88
#
2. LSW2、LSW3VLAN划分（相同）
有线接入VLAN77、无线接入VLAN101(访客)、VLAN101(办公室)
AP有AC的管理VLAN100控制、业务数据流VLAN101\102、链路多个VLAN运行使用trunk
#
interface GigabitEthernet0/0/7
 port link-type access
 port default vlan 77
#
interface GigabitEthernet0/0/8
 port link-type access
 port default vlan 77
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 2 to 4094
#
3.AC也有VLAN划分
[AC6005-GigabitEthernet0/0/1]dis this
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 88
#

3.IP地址

Cloud云（模拟访问公网）
IP地址设为61.128.1.10 /24 网关61.128.1.254 /24。
方法：http://t.csdn.cn/hDuN0

display ip interface brief

配置汇聚交换机和AC

AC/AP上线

1.S5700与AC6005互通的路由
[AC6005]ip route-static 0.0.0.00.0.0.0 192.168.88.1
2、配置AP管理VLAN100（AP获取地址）
DHCP option43字段主要是用来：AP可通过DHCP的Option 43属性直接获取无线控制器的IP地址，
从而完成在AC无线控制器上的注册。
#
ip pool vlan100
 gateway-list 10.1.100.1
 network 10.1.100.0 mask 255.255.255.0
 excluded-ip-address 10.1.100.2 10.1.100.45
 option 43 sub-option 2 ip-address 192.168.88.2
#

interface Vlanif100
 ip address 10.1.100.1 255.255.255.0
 dhcp select global
#
2、配置无线业务 VLAN101、102（用户获取地址）
#
ip pool vlan101
 gateway-list 10.1.101.1
 network 10.1.101.0 mask 255.255.255.0
 excluded-ip-address 10.1.101.240 10.1.101.254
 dns-list 114.114.114.114
#
interface Vlanif101
 ip address 10.1.101.1 255.255.255.0
 dhcp select global
#
interface Vlanif102
 ip address 10.1.102.1 255.255.255.0
 dhcp select global
#
ip pool vlan102
 gateway-list 10.1.102.1
 network 10.1.102.0 mask 255.255.255.0
 excluded-ip-address 10.1.102.250 10.1.102.254
 dns-list 114.114.114.114
#
3、配置AP在AC上线
步骤1
在AC6005上创建域管理模板，名称为domain1，配置AC的国家码为中国CN，
然后创建AP组ap-group1，绑定域管理模板domain1到AP组ap-group1
[AC6005]wlan
regulatory-domain-profile name domain1
country-code cn
quit
ap-group name ap-group1
regulatory-domain-profile domain1
步骤2：配置AC的源接口（AC所在的VLAN）
[AC6005]capwap source interface Vlanif 88
步骤3：配置AP认证方式
MAC认证地址
[LSW2]dis int g0/0/8 查看AP获得的硬件地址。
[AC6005]wlan
ap auth-mode mac-auth
ap-mac 4c1f-ccb6-6e71 ap-id 0
ap-group ap-group1
quit
ap-mac 4c1f-ccfa-3470 ap-id 1
ap-group ap-group1
4、配置安全模板
步骤1：配置安全模板，名称为security-1，为open (访客)
名称为security-2，为WPA加密，密码是xxxxx。（办公室）
[AC6005-wlan-view]security-profile name security-1
security open
quit
security-profile name security-1
security wpa psk pass-phrase xxxxxx aes
步骤2：配置SSID模板，名称为ssid-0，Ssid guest
名称为ssid-1配置SSID模板：名称为office。
[AC6005]wlan
ssid-profile name ssid-0
ssid guest
quit
ssid-profile name ssid-1
ssid office
步骤3：配置VAP模板
vap-guest，设置转发方式为直接转发，设置无线业务VLAN为101，
并绑定安全模板security-1和SSID模板ssid-0。
vap-office，设置转发方式为直接转发，设置无线业务VLAN为102，
并绑定安全模板security-2和SSID模板ssid-1。
[AC6005]wlan
vap-profile name vap-guest
forward-mode direct
service-vlan vlan-id 101
security-profile security-1
ssid-profile ssid-0
quit
vap-profile name vap-office
forward-mode direct
service-vlan vlan-id 102
security-profile security-2
ssid-profile ssid-1
步骤4：绑定两个VAP模板到AP组
[AC6005]wlan
ap-group name ap-group1
vap-profile vap-guest wlan 1 radio all
vap-profilevap-office wlan 2 radio all

 

 配置核心交换机

 

有线网络接入DHCP服务器

1.LSW1配置去核心交换机的路由，以及中继VLAN77
#
interface Vlanif77
 ip address 10.1.77.1 255.255.255.0
 dhcp select relay
 dhcp relay server-ip 192.168.99.1
#
ip route-static 0.0.0.0 0.0.0.0 192.168.99.1
#
2.AR1核心路由器创建地址池,以及回程路由，
排除的路由是固定终端IP的地址例如client、监控
#
ip pool vlan77
 gateway-list 10.1.77.1 
 network 10.1.77.0 mask 255.255.255.0 
 excluded-ip-address 10.1.77.10 10.1.77.15 
 dns-list 114.114.114.114 
#
ip route-static 10.1.77.0 255.255.255.0 192.168.99.2
#

运行隧道协议

1.AR1创建tunel隧道
#
interface Tunnel0/0/1
 ip address 50.1.1.1 255.255.255.0 
 tunnel-protocol gre
 source 20.1.1.1
 destination 30.1.1.1
#

设置静态路由控制流量进出
1.去往公网的IP地址的默认路由
2.去往员工家里的隧道路由
无线接入用户无法访问ftp、公网、核心层。
#
ip route-static 0.0.0.0 0.0.0.0 20.1.1.2
ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/1 50.1.1.2
#

 配置运营商网络

 

PPPOE链路实现隧道、公网访问。

固定链路只能实现隧道。

当拨号网络链路失效、切换到固定链路g/0/0。

PPPOE拨号 

1.AR2作为PPPoe的服务端提供认证、下发地址。
#
ip pool pppoe
 network 123.1.1.0 mask 255.255.255.0 
 excluded-ip-address 123.1.1.250 123.1.1.252 
 dns-list 114.114.114.114 
#
interface Virtual-Template1
 ppp authentication-mode chap 
 remote address pool pppoe
 ip address 123.1.1.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
 pppoe-server bind Virtual-Template 1
#
 local-user test password cipher 你的密码
 local-user test service-type ppp
#
2.AR3作为PPPoe的客户端挑战认证。
#
interface Dialer1
 link-protocol ppp
 ppp chap user test
 ppp chap password cipher 密码
 ip address ppp-negotiate
 dialer user test
 dialer bundle 1
#
#
interface GigabitEthernet0/0/2
 pppoe-client dial-bundle-number 1 
#

AR3实现链路切换 

1.当实际g0/0/2链路出现问题、dialer虚拟链路也失效。
2.默认dialer访问。
#
interface Dialer1
 dialer number 1 autodial
#
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2
ip route-static 0.0.0.0 0.0.0.0 Dialer1 preference 59
#

员工家里

指定主机PC1获取的IP地址

绑定mac地址对应的IP地址
PC1的mac地址54-89-98-A9-70-8A
AR3
#
ip pool 1
 gateway-list 192.168.0.254 
 network 192.168.0.0 mask 255.255.255.0 
 static-bind ip-address 192.168.0.253 mac-address 5489-98a9-708a 
 dns-list 114.114.114.114 
#
interface GigabitEthernet0/0/1
 ip address 192.168.0.254 255.255.255.0 
 dhcp select global
#

 运行隧道协议、控制流量进出

1.AR3隧道协议、只能访问公司主机VLAN77
#
interface Tunnel0/0/0
 ip address 50.1.1.2 255.255.255.0 
 tunnel-protocol gre
 source 30.1.1.1
 destination 20.1.1.1
#
ip route-static 10.1.77.0 255.255.255.0 Tunnel0/0/0
#
2.ACL抓取PC1的IP地址，NAT访问公网
#
acl number 2000  
 rule 5 permit source 192.168.0.253 0 
#
interface Dialer1
nat outbound 2000
#

结果验证 

1、PC1/PC2   ping  通 10.1.77.0/24（公司主机）

      PC4           ping  通  192.168.0.253（员工家里）

2、PC1           ping  通   61.128.1.10  (公网)

      int g0/0/2    shutdown   ping 不通公网

3、Clinet4       可以访问ftp服务器 （公司）

      PC3/4        ping 通   192.168.77.1 （公司ftp）

实验.zip - 蓝奏云    导入实验配置（.cfg）

wifi密码admin123

 缓解焦虑最好的方法：每天感觉自己有输入有输出。