项目情况:某A公司先需要组建企业网络,一来满足日常员工办公,二也满足公司组建一个线上直播
项目拓扑
项目需求
-
公司员工访问网络分两情况:有线用户和无线用户
-
无线用户通过AC+AP 方式搭建方式统一管理;
-
无线、有线都能访问外网ISP,进行测试;
项目规划
-
无线用户 vlan 100 IP地址段:192.100.1.0/24;
-
有线用户 vlan 200 IP地址段:192.200.1.0/24;
-
无线AC 和AP采用集中转发,属于vlan10 ,
-
二层注册:10.1.1.0/24;
-
SW 的vlan20 20.1.1.2/24 ;RTA 的g0/0: 20.1.1.1/24相通;
-
RTA通过G0/1 200.1.1.2/24 ;ISP的g0/0地址 200.1.1.1/24相通;
-
内网运行ospf 动态路由协议;RTA公网出口配置NAT;
-
有线用户和无线用户地址通过DHCP 获取
-
便于无线用户的查看,AP管理,把AC网页访问,在公网发布,便于访问
项目解析
1、配置IP地址
步骤1:配置ISP设备的IP地址
[ISP]int g0/0
[ISP-GigabitEthernet0/0]ip address 200.1.1.1 24
步骤2:配置RTA设备的IP地址
[RTA]int g0/1
[RTA-GigabitEthernet0/1]ip address 200.1.1.2 24
[RTA-GigabitEthernet0/1]int g0/0
[RTA-GigabitEthernet0/0]ip address 20.1.1.1 24
步骤3:配置SW的IP地址
[SW]vlan 10
[SW-vlan10]port g1/0/3
[SW-vlan10]vlan 20
[SW-vlan20]port g1/0/1
[SW-vlan20]vlan 200
[SW-vlan200]port g1/0/4
[SW]vlan 100
[SW-vlan100]qu
[SW]int g1/0/2 //AC互联接口
[SW-GigabitEthernet1/0/2]port link-type trunk 接口放行多个vlan
[SW-GigabitEthernet1/0/2]port trunk permit vlan 10 //vlan10 注册 vlan100 无线[SW]int vlan 10
[SW-Vlan-interface10]ip address 10.1.1.2 24
[SW-Vlan-interface10]int vlan 20
[SW-Vlan-interface20]ip address 20.1.1.2 24
[SW-Vlan-interface20]int vlan 100
[SW-Vlan-interface100]ip address 192.100.1.2 24
[SW-Vlan-interface100]int vlan 200
[SW-Vlan-interface200]ip address 192.200.1.2 24
步骤4:配置AC的IP地址
[AC]vlan 10
[AC]vlan 100
[AC]int g1/0/0
[AC-GigabitEthernet1/0/0] port link-type trunk
[SW-GigabitEthernet1/0/0] port trunk permit vlan 10 100
[AC] int vlan 10 //AP注册VLAN
[AC-Vlan-interface10]ip address 10.1.1.1 24
[AC]ip route-static 0.0.0.0 0 10.1.1.2 //配置默认网关
2、SW设备上开启DHCP,使有线用户自动获取到地址
步骤1:开启DHCP
[SW]dhcp enable
步骤2:创建地址池为1号,有线用户分配IP;
[SW]dhcp server ip-pool 1
[SW-dhcp-pool-1]network 192.200.1.0 24
[SW-dhcp-pool-1]gateway-list 192.200.1.2
[SW-dhcp-pool-1]dns-list 8.8.8.8
结果:有线用户通过DHCP自动获取IP地址
[SW]dis dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
192.200.1.1 0030-3865-652e-3733- Jan 2 19:59:44 2024 Auto(C)
6136-2e30-3430-362d-
4745-302f-302f-31
3、AC下发地址,AP获取到管理地址
步骤1:开启DHCP,创建地址池ap,为AP注册分配地址;
[AC]dhcp enable
[AC]dhcp server ip-pool ap
[AC-dhcp-pool-ap]network 10.1.1.0 24
[AC-dhcp-pool-ap]gateway-list 10.1.1.1
步骤2:配置AP自动上线,固化自动上线AP并修改AP名称为ap
[AC]wlan auto-ap enable //AP自动上线
[AC]wlan auto-ap persistent all //注意只有AP上线完成后,才能固化
[AC]wlan rename-ap 08ee-9e34-0500 ap //修改自动上线AP的名字
AP改名
[AC]dis wlan ap all
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap 1 R/M WA6320-HCL H3C_08-EE-9E-34-05-00
查看AP获取的地址
<AC>dis dhcp server ip-in-use
IP address Client identifier/ Lease expiration Type
Hardware address
10.1.1.3 0108-ee9e-3405-02 Jan 2 20:31:23 2024 Auto(C)
<ap>dis ip int b
*down: administratively down
(s): spoofing (l): loopback
Interface Physical Protocol IP Address Description
Vlan1 up up 10.1.1.3 --
4、SW上创建地址池为ap,AC上建立服务模板,创建AP实例
步骤1:SW上创建地址池为ap,为无线用户分配IP地址
[SW]dhcp server ip-pool ap
[SW-dhcp-pool-ap]network 192.100.1.0 24
[SW-dhcp-pool-ap]gateway-list 192.100.1.2
[SW-dhcp-pool-ap]dns-list 8.8.8.8
步骤2:建立服务模板1,设置SSID名称为yige,绑定VLAN
[AC]wlan service-template 1
[AC-wlan-st-1]ssid yige //无线SSID
[AC-wlan-st-1]vlan 100 //服务所有的vlan
[AC-wlan-st-1]service-template enable
步骤3:创建AP实例,配置2.4G 、5G射频并设置信道
[AC]wlan ap ap //进入AP 配置
[AC-wlan-ap-ap]radio 1 //射频接口
[AC-wlan-ap-ap-radio-1]channel 149 //修改5G信道
[AC-wlan-ap-ap-radio-1]service-template 1 //绑定服务模板
[AC-wlan-ap-ap-radio-1]radio enable //启动射频
[AC-wlan-ap-ap]radio 2
[AC-wlan-ap-ap-radio-2]channel 11 //修改2.4G信道
[AC-wlan-ap-ap-radio-2]service-template 1
[AC-wlan-ap-ap-radio-2 ]radio enable //启动射频
结果:查看无线用户获取地址
5、内网运行OSPF 动态路由协议
步骤1:创建骨干区域
[RTA]ospf
[RTA-ospf-1]a 0
[SW]ospf
[SW-ospf-1]a 0
步骤2:将RTA的g0/0接口IP地址,SW的IP地址宣告到骨干区域
[RTA-ospf-1-area-0.0.0.0]network 20.1.1.1 0.0.0.0
[SW-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0
[SW-ospf-1-area-0.0.0.0]network 192.200.1.2 0.0.0.0
[SW-ospf-1-area-0.0.0.0]network 20.1.1.2 0.0.0.0
[SW-ospf-1-area-0.0.0.0]network 192.100.1.2 0.0.0.0
6、RTA公网出口配置NAT
步骤1:ospf中向其他路由器广播默认路由
[RTA-ospf-1]default-route-advertise always //向内网运行OSPF路由器通过一条默认路由
步骤2:创建基本acl,允许哪些地址进行NAT转换,
[RTA]acl basic 2000
[RTA-acl-ipv4-basic-2000]rule permit source 192.100.1.0 0.0.0.255
[RTA-acl-ipv4-basic-2000]rule permit source 192.200.1.0 0.0.0.255
步骤3:RTA公网出口配置Easy IP
[RTA]int g0/1
[RTA-GigabitEthernet0/1]nat outbound 2000 //NAT应用在接口上
步骤4:RTA公网出口配置默认路由
[RTA] ip route-static 0.0.0.0 0 200.1.1.1
测试:无线用户、有线用户与ISP互通
无线用户与ISP互通
有线用户与ISP互通
<H3C>ping 200.1.1.1
Ping 200.1.1.1 (200.1.1.1): 56 data bytes, press CTRL_C to break
56 bytes from 200.1.1.1: icmp_seq=0 ttl=253 time=1.392 ms
56 bytes from 200.1.1.1: icmp_seq=1 ttl=253 time=1.767 ms
56 bytes from 200.1.1.1: icmp_seq=2 ttl=253 time=1.293 ms
56 bytes from 200.1.1.1: icmp_seq=3 ttl=253 time=1.495 ms
56 bytes from 200.1.1.1: icmp_seq=4 ttl=253 time=1.455 ms
7、公网访问内网,访问AC网页,对AP进行优化管理
1、AC开启网页访问功能,并创建登入账号
[AC]ip http enable
[AC]ip https enable
[AC]local-user admin
[AC-luser-manage-admin]service-type https http
[AC-luser-manage-admin]password simple Zhang@1234
[AC-luser-manage-admin]authorization-attribute user-role network-admin
2、在RTA上做NAT Server ,把AC地址映射出去
[RTA-GigabitEthernet0/1]nat server protocol tcp global 200.1.1.2 8443 inside 10.1.1.1 443