轉(zhuǎn)載自微信公眾號(hào)：網(wǎng)絡(luò)之路博客 

說明

這次不介紹漫游跟AC里面的具體配置，主要講解拓?fù)涑跏蓟呐渲茫婕暗降膬?nèi)容也挺多的，所以分為2篇寫，這篇介紹拓?fù)洌约案鱾€(gè)設(shè)備上面的初始化配置，下一篇主要介紹AC上面的WLAN相關(guān)的配置。

同一AC的二層漫游：指的是在同一個(gè)AC下面的不同AP之間進(jìn)行漫游，而且業(yè)務(wù)VLAN都是相同的，比如圖中AP-1的業(yè)務(wù)VLAN 是10，而AP-2的業(yè)務(wù)VLAN也是10，漫游過去后是在同一個(gè)業(yè)務(wù)VLAN之間漫游。

拓?fù)?/span>

說明：該拓?fù)鋬?nèi)有2個(gè)辦公區(qū)域，部署了無線業(yè)務(wù)，提供給辦公人員使用，但是由于兩個(gè)區(qū)域之間距離相對(duì)較遠(yuǎn)，一個(gè)AP的信號(hào)覆蓋不了2個(gè)區(qū)域，所以必須每個(gè)辦公區(qū)域1個(gè)AP，又希望辦公人員從區(qū)域1到區(qū)域2辦公的時(shí)候，不需要執(zhí)行操作就能繼續(xù)的享受無線提供的業(yè)務(wù)。AP設(shè)備連接在POE的接入交換機(jī)上面（二層交換機(jī)），接入交換機(jī)只提供VLAN的劃分以及與核心交換機(jī)對(duì)接，核心交換機(jī)提供DHCP服務(wù)以及業(yè)務(wù)VLAN的網(wǎng)關(guān)，并提供高速轉(zhuǎn)發(fā)，路由器作為出口設(shè)備，主要提供給下面客戶端上網(wǎng)業(yè)務(wù)，在上面執(zhí)行NAT服務(wù)，使得下面無線客戶端能夠訪問外網(wǎng)。而AC主要是用來管理AP以及下發(fā)業(yè)務(wù)給AP，讓AP正常工作。
管理VLAN 100：192.168.100.0/24 GW：192.168.100.254 AC：192.168.100.1
業(yè)務(wù)VLAN 101：192.168.101.0/24 GW：192.168.101.254
與路由器對(duì)接接口VLAN 1：192.168.1.0/24 交換機(jī)地址：192.168.1.1 路由器內(nèi)網(wǎng)地址：192.168.1.2
隧道轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)
AP上線組網(wǎng)方式：二層（同一個(gè)子網(wǎng)廣播）可以通過discovery發(fā)現(xiàn)，不需要用到Option 43
SSID：Intranet 認(rèn)證與加密方式：WPA2 PSK+CCMP

掌握目標(biāo)

1、POE二層交換機(jī)初始化（包括VLAN創(chuàng)建，Trunk鏈路定義）
2、核心交換機(jī)定義（包括VLAN創(chuàng)建，Trunk鏈路定義，DHCP，VLANIF接口以及路由）
3、出口路由配置（包含內(nèi)外網(wǎng)接口+路由以及NAT服務(wù)）
4、AC初始化（包括VLAN的Trunk，以及VLANIF接口創(chuàng)建）

1、POE二層交換機(jī)初始化

說明：需要配置的VLAN為100~101，其中VLAN 100為管理VLAN，而VLAN 101為業(yè)務(wù)VLAN，Trunk鏈路定義在連接AP跟上行核心交換機(jī)上面（直接轉(zhuǎn)發(fā)模式下是需要定義Trunk跟hybrid接口，主要管理VLAN需要通過，而且業(yè)務(wù)VLAN也需要通過，多VLAN的情況下。）

AS-1設(shè)備
【創(chuàng)建VLAN】(Huawei)
[Huawei-AS-1]vlan batch 100 101

【Trunk鏈路定義】
接口AP的接口
[Huawei-AS-1]int e0/0/1
[Huawei-AS-1-Ethernet0/0/1]port link-type trunk
[Huawei-AS-1-Ethernet0/0/1]port trunk pvid vlan 100
[Huawei-AS-1-Ethernet0/0/1]port trunk allow-pass vlan 100 to 101

接口交換機(jī)的接口
[Huawei-AS-1]int e0/0/2
[Huawei-AS-1-Ethernet0/0/2]port link-type trunk
[Huawei-AS-1-Ethernet0/0/2]port trunk allow-pass vlan 100 to 101
說明：接AP的接口由于管理VLAN是100，所以這里必須把PVID定義為100，這樣當(dāng)AP管理幀發(fā)出來的時(shí)候，沒有VLAN ID，所以會(huì)打上PVID VLAN 100，然后允許VLAN 100與101通過即可。

AS-2設(shè)備
【接AP接口，可以啟用Hybrid接口】
[Huawei-AS-2]int e0/0/1
[Huawei-AS-2-Ethernet0/0/1]port hybrid pvid vlan 100
[Huawei-AS-2-Ethernet0/0/1]port hybrid untagged vlan 100
[Huawei-AS-2-Ethernet0/0/1]port hybrid tagged vlan 101

【接上行交換機(jī)接口】(Huawei)
[Huawei-AS-2]int e0/0/3
[Huawei-AS-2-Ethernet0/0/3]port link-type trunk
[Huawei-AS-2-Ethernet0/0/3]port trunk allow-pass vlan 100 to 101
說明：這里的hybrid接口的配置等同于AS-1上面的Trunk配置，實(shí)現(xiàn)的效果就是當(dāng)AP發(fā)送管理數(shù)據(jù)的時(shí)候給打上PVID 100，也就是管理VLAN，業(yè)務(wù)VLAN 101，讓其通過。

2、核心交換機(jī)定義

【創(chuàng)建VLAN】
[Huawei-Core-SW]vlan batch 100 to 101

【定義端口組，批量配置】
[Huawei-Core-SW]port-group 1
[Huawei-Core-SW-port-group-1]group-member g0/0/2 to g0/0/3 g0/0/24
[Huawei-Core-SW-port-group-1]port link-type trunk
[Huawei-Core-SW-port-group-1]port trunk allow-pass vlan 100 to 101
說明：定義與下行接入交換機(jī)與AC的接口加入到一個(gè)端口組，然后配置為Trunk，只允許對(duì)應(yīng)的VLAN通過，這里連接AC的接口，只需要允許100即可，業(yè)務(wù)VLAN沒有必要，因?yàn)橹边B轉(zhuǎn)發(fā)的業(yè)務(wù)流量不會(huì)經(jīng)過AC，沒有必要，這里只是配置一次性配置了。

【開啟DHCP功能】
[Huawei-Core-SW]dhcp enable

【創(chuàng)建VLANIF接口】(Huawei)
[Huawei-Core-SW]int vlan 100
[Huawei-Core-SW-Vlanif100]ip address 192.168.100.254 24
[Huawei-Core-SW-Vlanif100]dhcp select interface

[Huawei-Core-SW]int vlan 101
[Huawei-Core-SW-Vlanif101]ip address 192.168.101.254 24
[Huawei-Core-SW-Vlanif101]dhcp select interface
[Huawei-Core-SW-Vlanif101]dhcp server dns-list 114.114.114.114
[Huawei-Core-SW-Vlanif101]dhcp server domain-name ccieh3c.taobao.com

[Huawei-Core-SW]int vlan 1
[Huawei-Core-SW-Vlanif1]ip address 192.168.1.1 24
說明：VLAN 100作為管理VLAN，主要用來給AP分配，與AC管理VLANIF接口在同一個(gè)網(wǎng)段用來建立CAPWAP隧道，另外101是業(yè)務(wù)VLAN，給無線客戶端分配地址以及DNS等用來訪問業(yè)務(wù)以及公網(wǎng)。

【路由定義】
[Huawei-Core-SW]ip route-static 0.0.0.0 0 192.168.1.2
說明：這里只需要一個(gè)默認(rèn)路由即可，用來訪問Internet。

3、出口路由配置（包含內(nèi)外網(wǎng)接口+路由以及NAT服務(wù)）

【定義內(nèi)外網(wǎng)接口】(Huawei)
[Huawei-GW]int g0/0/0
[Huawei-GW-GigabitEthernet0/0/0]ip address 192.168.1.2 24

[Huawei-GW]int g0/0/1
[Huawei-GW-GigabitEthernet0/0/1]ip address 202.100.1.1 24

【定義路由】
[Huawei-GW]ip route-static 192.168.101.0 24 192.168.1.1
[Huawei-GW]ip route-static 0.0.0.0 0 202.100.1.2
說明：第一條路由是回程路由，用來當(dāng)192.168.101.0的數(shù)據(jù)返回的時(shí)候直到怎么發(fā)送，第二條路由則發(fā)往Internet訪問的。

【NAT配置】
[Huawei-GW]acl number 3000
[Huawei-GW-acl-adv-3000]rule permit ip source 192.168.101.0 0.0.0.255

[Huawei-GW]int g0/0/1
[Huawei-GW-GigabitEthernet0/0/1]nat outbound 3000
說明：定義ACL 3000就是用來匹配192.168.101.0/24的網(wǎng)段流量，然后在出接口調(diào)用，匹配了ACL里面定義的流量就做源PAT轉(zhuǎn)換，簡稱easy-ip。

4、AC初始化

【創(chuàng)建VLAN 】(Huawei)
[Huawei-AC]vlan batch 100 to 101
說明：這里其實(shí)只需要?jiǎng)?chuàng)建VLAN 100即可，VLAN 101沒有必要，因?yàn)橹挥挟?dāng)隧道轉(zhuǎn)發(fā)的情況下才需要?jiǎng)?chuàng)建，直接轉(zhuǎn)發(fā)不會(huì)發(fā)送到AC上面。

【定義二層接口，與核心交換機(jī)連接的接口】
[Huawei-AC]int g0/0/24
[Huawei-AC-GigabitEthernet0/0/24]port link-type trunk
[Huawei-AC-GigabitEthernet0/0/24]port trunk allow-pass vlan 100 to 101
說明：這里也沒必要為Trunk，只需要為Access，允許100即可，這里暫時(shí)這么定義，后續(xù)分析后 在測(cè)試是否真的只需要100.

【定義VLAN IF接口】(Huawei)
[Huawei-AC]int vlan 100
[Huawei-AC-Vlanif100]ip address 192.168.100.1 24

總結(jié)

總結(jié)：目前為止，整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)初始化已經(jīng)完畢，從接入交換機(jī)的VLAN劃分以及接口類型配置，到核心交換機(jī)的初始化，VLANIF創(chuàng)建跟DHCP與路由，出口路由器的路由 NAT等，這些初始化的目的主要是為了讓整個(gè)網(wǎng)絡(luò)能夠通信起來，比如AP能獲取到地址與AC建立CAPWAP隧道，當(dāng)WLAN業(yè)務(wù)部署起來后，無線客戶端關(guān)聯(lián)后獲取到地址能夠正常訪問其他內(nèi)網(wǎng)或者外網(wǎng)。 下一篇介紹二層漫游的WLAN配置包括驗(yàn)證。

 ！ 提問與分享（想提高自己，從獨(dú)立思考與分享開始）          

分享：實(shí)驗(yàn)可以通過模擬器直接完成，記得老版本選用分享的考試版本即可，最新版本是采用的V2R7命令行有差別。

網(wǎng)絡(luò)之路博客公眾號(hào)提供Cisco、華為、H3C、防火墻、VPN、無線等網(wǎng)絡(luò)知識(shí)點(diǎn)分享與應(yīng)用，想了解更多企業(yè)技術(shù)應(yīng)用與組網(wǎng)案例，關(guān)注我們（公眾號(hào)菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒有學(xué)習(xí)方向感到迷茫，還是想提升段位充實(shí)自己來升職加薪，都有您需要的哦）