随着越来越多的SMB开始部署无线覆盖,在无线使用上的需求也越来越多,本配置实例是取自于无线SMB用户的一个实际环境改编而来,为了让更多的用户对SSID映射为不同的VLAN 、胖AP的多SSID映射为不同VLAN 的配置更为清晰,旨在减少用户在实际配置部署时所会出现的故障,减少用户在排错时所用的时间,使得NETGEAR产品在用户手中更好用,更实用。
实例具体拓扑如下:
公司A是一间综合型的酒店,内网一共划分了4个VLAN :VLAN 1/VLAN 10/VLAN 20/VLAN 30
公司三层交换机通过Default VLAN : VLAN 1与公司出口路由器/防火墙互联,公司内部的服务器,财务以及各种资料,报表的服务器,存储设备在VLAN 30,而员工具体工作的VLAN 是VLAN 10,而VLAN 20则是通过NETGEAR的FAT-AP进行无线覆盖的客人使用VLAN ,从员工工作流量中分割出来,可以通过在PoE供电三层交换机GSM7212P与出口路由器/防火墙实现多种策略,如提高优先级,使得客户VLAN 能够有最好的使用效果。
公司A需求如下:
- 在GSM7212P上划分4个VLAN :VLAN 10/VLAN 20/VLAN 30/VLAN 40
- VLAN 10与VLAN 30 / VLAN 40可以互通,共享资源
- Guest SSID映射为VLAN 20
- TEST SSID映射为VLAN 40
- VLAN 20不与VLAN 10/VLAN 30互通,只能上外网
配置如下:
出口路由器/防火墙:
建立出口路由器/防火墙:FR538G的LAN口地址:192.168.1.1,停用DHCP服务(内网建立单独的DHCP服务器)
在“Routing”中建立静态路由表项:
(1)192.168.10.0/24 next-hop : 192.168.1.3(GSM7212P上VLAN 1接口地址)
(2)192.168.20.0/24 next-hop : 192.168.1.3(GSM7212P上VLAN 1接口地址)
(3)192.168.30.0/24 next-hop : 192.168.1.3(GSM7212P上VLAN 1接口地址)
(4)192.168.40.0/24 next-hop : 192.168.1.3(GSM7212P上VLAN 1接口地址)
注:为了使内网全VLAN 路由可达,在Router建立静态路由表项为必须
核心三层交换机:GSM7212P配置:
- 建立VLAN :
(GSM7212P) (Vlan)#vlan 10
(GSM7212P) (Vlan)#vlan 20
(GSM7212P) (Vlan)#vlan 30
(GSM7212P) (Vlan)#vlan 40
/*建立相关VLAN*/
(GSM7212P) (Vlan)#vlan routing 10
(GSM7212P) (Vlan)#vlan routing 20
(GSM7212P) (Vlan)#vlan routing 30
(GSM7212P) (Vlan)#vlan routing 40
/*启用VLAN间路由*/
- 建立VLAN 接口:
(GSM7212P) (Config)#interface vlan 1
(GSM7212P) (Interface-vlan 1)#ip address 192.168.1.3 255.255.255.0
(GSM7212P) (Interface-vlan 1)#routing
(GSM7212P) (Config)#interface vlan 30
(GSM7212P) (Interface-vlan 30)#ip address 192.168.30.254 255.255.255.0
(GSM7212P) (Interface-vlan 30)#routing
(GSM7212P) (Config)#interface vlan 10
(GSM7212P) (Interface-vlan 10)#ip address 192.168.10.1 255.255.255.0
(GSM7212P) (Interface-vlan 10)#routing
(GSM7212P) (Config)#interface vlan 20
(GSM7212P) (Interface-vlan 20)#ip address 192.168.20.1 255.255.255.0
(GSM7212P) (Interface-vlan 20)#routing
(GSM7212P) (Config)#interface vlan 40
(GSM7212P) (Interface-vlan 40)#ip address 192.168.40.1 255.255.255.0
(GSM7212P) (Interface-vlan 40)#routing
- 将接口划分进VLAN :
(GSM7212P) (Config)#interface range 1/0/1-1/0/4
(GSM7212P) (conf-if-range-1/0/1-1/0/4)#vlan participation include 10
(GSM7212P) (conf-if-range-1/0/1-1/0/4)#vlan pvid 10
/*将GSM7212P上的1-4接口划分进VLAN 10内*/
(GSM7352Sv2) #configure
(GSM7352Sv2) (Config)#interface range 1/0/1-1/0/2
(GSM7352Sv2) (conf-if-range-1/0/1-1/0/2)#vlan participation include 20
(GSM7352Sv2) (conf-if-range-1/0/1-1/0/2)#vlan tagging 20
/*将GSM7212P上,连接AP的1-2接口配置成Trunk口,并为VLAN 20打上802.1q的Tag*/
这里有个概念需要弄清楚,1/0/1-1/0/2接口实际上是Trunk接口,PVID=10,即是对于VLAN 10的以太帧不会打上802.1q的标记,命令vlan tagging 20是使该接口打上VLAN 20的802.1q标记,若该Trunk口上需要通过VLAN 100 / VLAN 200的以太帧,则需敲上命令:vlan tagging 100 / vlan tagging 200,该接口上的PVID值一定需要修改,否则会导致一系列的故障,谨记
- AP配置:
(1) 给AP配置好管理IP地址
DHCP Client选项中的“Enable”是指AP通过DHCP获取管理IP地址。
“Disable”是指AP手动配置管理IP地址。
(2) 配置AP上的管理IP地址所属的VLAN
a、Untagged VLAN 是指通过AP的以太网接口的出向数据帧,对于哪个VLAN 不打802.1Q的tag
如:AP与交换机之间的链路是802.1Q Trunk链路,每一个Trunk链路都有一个不打标的VLAN:Untagged VLAN 或称为:Native VLAN,若Untagged VLAN = 10;则在trunk链路上VLAN 10不打标。
b、 Management VLAN 是指对于AP来说,来至哪一个VLAN 的流量才是其管理流量,AP只会识别带有Management VLAN 802.1Q Tag的以太帧才能管理它
/*建议保持默认配置*/
(3) 配置AP上的SSID名称,无线模式,工作频道与发射功率等参数。
(4)配置AP上的SSID的无线加密方式——SSID : GUEST
a、首先配置SSID:GUEST的VLAN 映射,VLAN ID中填写20,使SSID:GUEST的流量映射成VLAN 20
b、 配置加密方式
配置SSID:TEST,映射为VLAN 30
|
序号 no. |
日期 date |
作者 author |
摘要 summary |
|
1 |
2012-06-20 |
Johnny Lu |
文档创建 |
|
2 |
2012-06-20 |
Albert Zhou |
实验协助,文档校对 |
