飞鱼星系列下接三层交换机ssid vlan隔离的基础配置方法-k8凯发天生赢家一触即发人生

某公司网络结构为标准三层架构，内网有服务器群、有线办公以及无线覆盖，由于日常来访宾客较多，为了保障内网服务器的安全，想要实现无线分为不同的ssid，实现来访的宾客禁止访问公司内部服务器、办公等网络资源。该公司网络由：ar2500g(路由器、ac控制) vs5728g-v2（三层交换机） vs1824g（连接服务器） vs1224g（有线办公） vs1018gp(poe交换机) ws75（双频吸顶ap）组成，具体网络拓扑以及ip地址规划如下：

图1  ar2 三层交换方案拓扑

1. 三层交换机配置（以vs5728g-v2为例）

首先介绍三层交换机的配置，是为了能够更好地理解整个拓扑的结构。这包含了网段的划分，端口的规划等。

1.1 端口规划

端口0/1：用于对接网关（ac控制器），acess vlan10

端口0/2：用于对接服务器，acess vlan20

端口0/3：用于对接有线办公网，acess vlan30

端口0/4：用于对接poe交换机trunk allow vlan1、100、200，（100为无线办公网络vlan，200为无线来宾网络vlan）

1.2 配置内容

1.2.1 创建vlan

fyx>

fyx>enable

fyx#configure terminal

fyx(config)#vlan 10

fyx(config-if-vlan)#vlan 20

fyx(config-if-vlan)#vlan 30

fyx(config-if-vlan)#vlan 100

fyx(config-if-vlan)#vlan 200

1.2.2 vlan接口

fyx(config)#

fyx(config)#interface vlan-interface 1

fyx(config-if-vlaninterface-1)#ip address 10.0.0.1 255.255.255.0

config ipaddress successfully!

fyx(config)#interface vlan-interface 30

create vlan-interface successfully!

fyx(config-if-vlaninterface-30)#ip address 192.168.2.1 255.255.255.0

this ipaddress will be the primary ipaddress of this interface.

config ipaddress successfully!

fyx(config-if-vlaninterface-30)#interface vlan-interface 100

create vlan-interface successfully!

fyx(config-if-vlaninterface-100)#ip address192.168.100.1 255.255.255.0

this ipaddress will be the primary ipaddress of this interface.

config ipaddress successfully!

fyx(config-if-vlaninterface-100)#interface vlan-interface 200

create vlan-interface successfully!

fyx(config-if-vlaninterface-200)#ip address 192.168.200.1 255.255.255.0

this ipaddress will be the primary ipaddress of this interface.

config ipaddress successfully!

fyx(config-if-vlaninterface-200)#interface vlan-interface 10

create vlan-interface successfully!

fyx(config-if-vlaninterface-10)#ip address 172.16.0.254 255.255.255.0

this ipaddress will be the primary ipaddress of this interface.

config ipaddress successfully!

fyx(config-if-vlaninterface-10)#interface vlan-interface 20

create vlan-interface successfully!

fyx(config-if-vlaninterface-20)#ip address 192.168.1.1 255.255.255.0

this ipaddress will be the primary ipaddress of this interface.

config ipaddress successfully!

fyx(config-if-vlaninterface-20)#exit

1.2.3 建立dhcp地址池并开启dhcp server（服务器和有线办公手动配置ip）

建立dhcp地址池：

fyx(config)#ip pool vlan100

create a new ip pool successfully.

fyx(config-ip-pool-vlan100)#gateway 192.168.100.1 255.255.255.0

config the gateway ip successfully.

fyx(config-ip-pool-vlan100)#router 192.168.100.1    

fyx(config-ip-pool-vlan100)#dns primary-ip 61.139.2.69

configure the primary dns successfully.

fyx(config-ip-pool-vlan100)#dns second-ip 119.6.6.6

configure the second dns successfully.

fyx(config-ip-pool-vlan100)#section 0 192.168.100.2 192.168.100.200

create an ip section successfully.

fyx(config-ip-pool-vlan100)#lease 0:1:0

lease time has been modified successfully

fyx(config-ip-pool-vlan100)#exit

fyx(config)#ip pool vlan200

create a new ip pool successfully.

fyx(config-ip-pool-vlan200)#gateway 192.168.200.1 255.255.255.0

config the gateway ip successfully.

fyx(config-ip-pool-vlan200)#router 192.168.200.1

fyx(config-ip-pool-vlan200)#dns primary-ip 61.139.2.69

configure the primary dns successfully.

fyx(config-ip-pool-vlan200)#dns second-ip 119.6.6.6

configure the second dns successfully.

fyx(config-ip-pool-vlan200)#section 0 192.168.200.2 192.168.200.200

create an ip section successfully.

fyx(config-ip-pool-vlan200)#lease 0:1:0

lease time has been modified successfully

fyx(config-ip-pool-vlan200)#exit

开启dhcpserver:

fyx(config)#dhcp-relay

turn on dhcp relay successfully!

fyx(config)#dhcp-server 100 ip 192.168.100.1

set the ipaddress of dhcp server group success !

fyx(config)#dhcp-server 200 ip 192.168.200.1

set the ipaddress of dhcp server group success !

fyx(config)#interface vlan-interface 100

fyx(config-if-vlaninterface-100)#dhcp-server 100

set vlan interface dhcp server group success

fyx(config-if-vlaninterface-100)#interface vlan-interface 200

fyx(config-if-vlaninterface-200)#dhcp-server 200

set vlan interface dhcp server group success

fyx(config-if-vlaninterface-200)#exit

1.2.4 交换端口

fyx(config)#interface ethernet 0/0/1

fyx(config-if-ethernet-0/0/1)#switchport default vlan 10

fyx(config-if-ethernet-0/0/1)#interface ethernet 0/0/2

fyx(config-if-ethernet-0/0/2)#switchport default vlan 20

fyx(config-if-ethernet-0/0/2)#interface ethernet 0/0/3

fyx(config-if-ethernet-0/0/3)#switchport default vlan 30

fyx(config-if-ethernet-0/0/3)#exit  

fyx(config)#interface ethernet 0/0/4

fyx(config-if-ethernet-0/0/4)#switchport mode trunk

fyx(config-if-ethernet-0/0/4)#switchport trunk allowed vlan 1,100,200

1.2.5 默认路由

fyx(config)#ip route 0.0.0.0 0.0.0.0 172.16.0.1

config static route successfully!

1.2.6 来宾网访问控制

fyx(config)#access-list extended guest

create acl item successfully.

fyx(config-ext-nacl-guest)#0 deny 192.168.200.0 0.0.0.255 10.0.0.0 0.0.0.255

config acl subitem successfully.

fyx(config-ext-nacl-guest)#1 deny 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255                                                                       

config acl subitem successfully.

fyx(config-ext-nacl-guest)#2 deny 192.168.200.0 0.0.0.255 192.168.1.0 0.0.0.255                                                                         

config acl subitem successfully.

fyx(config-ext-nacl-guest)#3 deny 192.168.200.0 0.0.0.255 192.168.2.0 0.0.0.255                                                                         

config acl subitem successfully.

fyx(config-ext-nacl-guest)#4 permit any any

config acl subitem successfully.

fyx(config-ext-nacl-guest)#exit

fyx(config)#access-group ip-group guest subitem 0

activate acl successfully .

fyx(config)#access-group ip-group guest subitem 1

activate acl successfully .

fyx(config)#access-group ip-group guest subitem 2

activate acl successfully .

fyx(config)#access-group ip-group guest subitem 3

activate acl successfully .

fyx(config)#access-group ip-group guest subitem 4

activate acl successfully .

fyx(config)#exit

2.  ap配置

2.1 准备阶段

为了方便配置，先按照下图拓扑连接，直接通过ac对ap进行配置。接下来，我们只举出一个ap配置的例子。

图2.1.1 ap配置拓扑

2.2 web配置

在ap上线之后，需要给ap静态指定ip、网关、掩码和ac地址等信息，具体配置如下图：

图2.2.1 ac上进行ap配置示例

配置完成保存后，ap会离线。至此，ap的配置已经完成。最后，需要进行进行ac的配置。

3.  ac配置

ac的配置，分为外网配置、ap配置、服务配置、内网扩展配置、静态路由几个部分。ap配置已经给大家展示，外网配置和未接三层的配置情况一样，这里给大家介绍剩下的三个配置。

3.1 服务配置

从整网拓扑，可以看出，无线业务的vlan100对应网段192.168.100.0，vlan200对应192.168.200.0。经这样配置后，ac发往这两个网段的报文就会直接从本地二层发出。因此，我们在做服务配置时，给ssid的配置必须vlan相同，同时建议网段相同：

图3.1.1 办公网ssid配置

图3.1.2 来宾网ssid配置

3.2 内网扩展配置

需要扩展的内网网段如下图（注意：ssid里面的vlan网段在此处不需要增加，默认dhcp服务器扩展地址池里面会自动生成）：

图3.2.1 内网扩展配置

3.3 静态路由

针对内网扩展的网段，将路由指向三层交换机对应的vlan接口ip：172.16.0.254。

图3.3.1 静态路由

至此，所有配置完成。最后，只需要按照图1所示拓扑，完善整个网络的组建即可。

注意

（1） ap的管理vlan并非必须是1，可以修改为其他vlan，但是，对应的trunk口的pvid就要修改（例如：管理vlan为1000，trunk口要加上命令switchport default vlan 1000）。

（2） 若poe是网管型交换机。请参考。