《SSID绑定VLAN讲解LGppt课件》由会员分享,可在线阅读,更多相关《SSID绑定VLAN讲解LGppt课件(21页珍藏版)》请在金锄头文库上搜索。
1、2016年5月18日编制FITAPFITAP系统的系统的SSIDSSID绑定绑定VLANVLAN1;.需求背景常见的项目原始需求汇总(1)AP可以创建多个SSID,并且针对不同的SSID有不同的网络权限(2)AC和AP之间的管理业务和数据业务需要走不同的通道,相互不影响。(3)AP处于不同的VLAN中,但是相同的SSID需要处于一个VLAN2需求分析需求一:AP可以创建多个SSID,并且针对不同的SSID有不同的网络权限在DHCP环境中,网关设备通常是根据IP地址来做行为管控,所以我们就需要不同的SSID下的用户,是在不同的网段中(或者子网)。例如餐馆中创建2个SSID,一个SSID用来给客户
2、上网,做微信认证,另外一个SSID用来进行内部点餐系统使用,无网络权限。这两个SSID之间的用户不能相互访问。企业中:需要1个AP发射2个SSID,一个供员工内部使用,另外一个SSID供访客使用,访客不能访问内部的服务器等,增强网络的安全性。3需求分析需求二、管理业务和数据业务分离开来AP+AC的管理业务和用户的上网数据要分开来,各走各的通道,相互之间不影响。例如在一些大型的运营型的项目中,要求AP和AC的管理走VLAN2,普通的上网数据走VLAN34需求分析需求三、AP处于不同的VLAN,相同的SSID需要在同一个VLAN例如AP在分布在VLAN2-VLAN5的网络环境中,但是这些AP都创建
3、了一个XXXX的SSID,并且需要这个XXXX的SSID下的用户,有着相同的网络权限。5技术实现(一)无线网络中运行02.1QVLAN这一技术达到该目的(二)802.1QVLAN常见运行于交换机网络中(三)在无线网络中,是把SSID当做交换机中的端口,实现SSID和VLAN的绑定。SSID绑定VLAN,实质上就是交换机上的802.1QVLAN的另外一种应用6设备需求(一)、交换机功能需求(1)在SSID绑定VLAN的环境中,从核心交换机到接AP的接入交换机(包含POE交换机)必须支持802.1QVLAN(2)POE注入器,不建议使用有些厂家的POE注入器内部是采用了一个简单的傻瓜交换芯片,相当
4、于1个2口的傻瓜交换机,会导致不通。7设备需求(二)、出口网关需求-没有三层交换机的环境(1)网关支持单臂路由(2)或者网关支持多个LAN口,并且不同LAN口配置不同的网段(3)我们的X86和7621网关属于第2种模式注意:在第注意:在第2种模式下,支持的种模式下,支持的VLAN绑定绑定SSID,取决于独立,取决于独立LAN口的数量口的数量8设备需求(三)、出口网关需求-有三层交换机的环境(1)网关支持配置静态路由(2)支持配置多个网段的nat(3)我们的X86和7621网关默认已经配置好所有的网段的nat,所以只需要配置静态路由就行注意注意:在有三层交换机的环境中,在有三层交换机的环境中,S
5、SID绑定绑定VLAN取决于取决于AP软件支持的数量。软件支持的数量。目前我们的目前我们的9531支持支持8个个SSID绑定绑定VLAN9设备需求(四)、纯AC需求(1)支持WEB页面设置VLAN绑定SSID(2)纯AC在这种情况下,没有其他的需求注意:这种旁挂模式下,只要注意:这种旁挂模式下,只要AC支持设置该功能就行,没有其他的要求支持设置该功能就行,没有其他的要求10设备需求(五)、AP需求(1)AP也必须支持该功能(2)AP没有WEB页面,配置需要在AC上面完成注意:注意:SSID绑定绑定VLAN需要需要AC和和AP都支持,缺一不可都支持,缺一不可11案例分析-1需求:(1)AP划分2
6、个SSID,每个SSID绑定不同的网络权限,相同的SSID具有相同的VLAN(2)AP+AC的管理通道和上网的数据通道要分开分析:2个不同的SSID获取到的IP地址在不同的网段,AC根据不同的内网网段做不同的策略管理通道和数据通道处于不同的VLAN中,这样就需要创建3个VLAN12案例分析-1(一)、网络拓扑结构-不使用三层交换机13案例分析-1(一)交换机配置要点:(1)三个交换机按照拓扑连接线路(2)三个交换机都创建VLAN2-VLAN4这三个VLAN,VLAN2用来做管理通道,VLAN3和VLAN4用来绑定SSID用(3)核心交换机和POE交换机,二者相连的端口设置为trunk,PVID
7、值设置为默认的1即可,不设置就代表默认值。并且需要允许VLAN2-4通过(4)重点:POE交换机连接AP的端口也需要设置为TRUNK口,并且允许2-4vlan通过,TRUNK的PVID值需要设置为2,该值就代表AP和AC的管理通道VLAN14案例分析-1(一)AC配置要点:(1)AC的三个LAN口分别接在核心交换机的VLAN2-VLAN4接口(2)当AP管理上来后(因为AC的LAN0接在VLAN2,AP直连的交换机的接口的PVID值也是2,所以AP和AC实际上在一个VLAN中。)在AC的WEB页面下发相应的SSID即可。创建SSID时,在该页面可以填写SSID绑定的VLAN号,根据之前的规划,
8、分别使用的是3和4号VLAN15案例分析-1(一)效果(1)连接SSID1的人,获取到的是VLAN3的网段,VLAN3是接在AC的LAN1口;连接SSID2的人获取到的是VLAN4的网段,即LAN2的网段;AP获取到的是VLAN2的网段,即LAN0的段。(2)在AC上根据不同的网段做不同的行为管理(比如一个网段需要认证,一个不需要认证)16案例分析-2(一)三层交换机网络-旁挂17案例分析-2配置要点:(一)核心交换机配置一个端口,access角色,属于某一个VLAN比如VLAN100,创建要配置的VLAN的DHCP信息(2)POE交换机和核心交换机之间通过trunk角色口相连(3)POE交换
9、机的连接AP的接口配置为trunk口,如果设置PVID值为100,这是AC和AP属于同一个VLAN,属于2层管理(4)如果设置的PVID值不是100,就不在一个VLAN,通过三层交换机的路由功能,走三层管理(5)AP上线后,在AC 的WEB页面配置SSID,并绑定相应的VLAN18总体规则AP自己本身发出的数据(1)AP除了转发下面的无线终端的数据,设备本身也会发出来一些数据。这些数据就是我们通常说的AC和AP之间的管理通道数据。(2)AP自己发的数据本身是不带有任何VLAN信息的(3)当AP自己发的数据进入交换机的时候,根据交换机的端口口的PVID值来确定该数据在交换机中是属于哪个VLAN;
10、如果是2,那么AP自己发的管理通道数据,在进入交换机后,就带有VLAN的信息19总体规则AP自己本身发出的数据(4)用户连接某个SSID后,如果该SSID绑定了VLAN,那么用户的数据一进入到AP,就带有该SSID的VLAN信息概括:AP自己的VLAN取决于连接的交换机的端口的PVID值。用户的VLAN信息取决于连接的SSID绑定的VLAN值。20扩展知识交换机的TRUNK口的PVID值(1)在思科和锐捷交换机中,当某一个口为trunk角色时,默认的PVID值是1,可设置(专业术语叫做本征VLAN)命令是switport trunk native vlan x,这个X就具体的PVID值(2)H3C的设备中,PVID值是这样设置的port trunk PVID VLAN X21
