轉(zhuǎn)載自微信公眾號：網(wǎng)絡(luò)之路博客 

WLAN配置示例2（旁掛組網(wǎng)隧道），這種方式比較適合中小型企業(yè)，AC旁掛在三層交換機(jī)旁邊，只是用于來與AP建立CAPWAP隧道，下發(fā)業(yè)務(wù)給AP，如果在隧道方式下的話，那么業(yè)務(wù)流量也會由CAPWAP隧道進(jìn)行封裝交給AC處理，再由AC來轉(zhuǎn)發(fā)，而直接轉(zhuǎn)發(fā)的話，則由AP本地交換了，不需要交給AC，這樣可以減輕AC的負(fù)擔(dān)，具體使用可以根據(jù)需求來決定。（這里以隧道模式演示，實(shí)際根據(jù)環(huán)境來選擇隧道還是直接轉(zhuǎn)發(fā)，能夠支持直接轉(zhuǎn)發(fā)的條件那就用直接轉(zhuǎn)發(fā)更好）

掌握目標(biāo)

1、AP靜態(tài)關(guān)聯(lián)AC的方法【補(bǔ)充，之前都是以動態(tài)或者option43方式】
2、三層交換機(jī)配置
3、AC的配置
4、只允許訪客訪問特定的流量，通過ACL下放

實(shí)驗(yàn)文件可以通過模擬器加載

1、AP靜態(tài)配置關(guān)聯(lián)AC（特殊情況用的到）

在AP上面配置模式為靜態(tài)，配置自己的IP地址與網(wǎng)關(guān)，最后指定AC的地址在哪，重啟設(shè)備即可。

2、三層交換機(jī)配置

dhcp enable

interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface
dhcp server option 43 sub-option 3 ascii 10.1.201.100

這里配置了option 43，指定AC的地址
#
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif200
ip address 10.1.200.2 255.255.255.0
#
interface Vlanif800
ip address 10.1.201.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 200
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 100 to 102 200 800

說明：這里演示是以隧道方式組網(wǎng)演示的，所以交換機(jī)接AP的接口都為Access接口，如果是直接轉(zhuǎn)發(fā)的話，那么必須為hybrid或者trunk，其中PVID必須等于AC的源地址的VLAN，也就是與AP建立CAPWAP隧道的VLAN，為管理VLAN，然后還需要放行業(yè)務(wù)VLAN，否則PC關(guān)聯(lián)不上，DHCP獲取不到地址。!!!

ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 10.1.200.2 0.0.0.0
network 10.1.201.1 0.0.0.0
area 0.0.0.1
network 10.1.100.1 0.0.0.0
network 10.1.101.1 0.0.0.0
network 10.1.102.1 0.0.0.0

3、AC配置

acl number 3001
rule 5 permit ip destination 10.1.201.100 0
rule 10 deny ip destination 10.0.0.0 0.255.255.255
rule 15 permit ip
說明：拒絕訪客訪問內(nèi)部員工網(wǎng)絡(luò)

interface Vlanif103
ip address 192.168.103.1 255.255.255.0
traffic-filter inbound acl 3001
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif800
ip address 10.1.201.100 255.255.255.0
#

ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 10.1.201.100 0.0.0.0
area 0.0.0.103
network 192.168.103.1 0.0.0.0

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 102 800

interface Wlan-Ess0
port hybrid untagged vlan 101
#
interface Wlan-Ess1
port hybrid untagged vlan 102
#
interface Wlan-Ess2
port hybrid untagged vlan 103
說明：該接口用來關(guān)聯(lián)每一個服務(wù)集的，下發(fā)的時(shí)候告訴下面的AP打上什么樣的VLAN。

wlan
wlan ac source interface vlanif800
ap id 0 type-id 19 mac 00e0-fc03-d740 sn 2102354483106C6FFC3E 【采用MAC認(rèn)證方式來讓AP上線】
ap id 1 type-id 19 mac 00e0-fc03-1360 sn 210235448310646DC543
wmm-profile name wmm id 0
traffic-profile name tra id 0
security-profile name sec id 0
service-set name valn101 id 0 【創(chuàng)建一個服務(wù)集，它的轉(zhuǎn)發(fā)方式為tunnel，關(guān)聯(lián)了WLAN-ESS0接口，SSID為VLAN 101】
forward-mode tunnel
wlan-ess 0
ssid vlan101
traffic-profile id 0
security-profile id 0
service-vlan 101
service-set name vlan102 id 1
forward-mode tunnel
wlan-ess 1
ssid vlan102
traffic-profile id 0
security-profile id 0
service-vlan 102
service-set name guest103 id 2
forward-mode tunnel
wlan-ess 2
ssid vlan103
user-isolate
traffic-profile id 0
security-profile id 0
service-vlan 103
radio-profile name 2g11n id 0 【指定射頻類型為2.4G的，關(guān)聯(lián)WMM】
radio-type 80211bgn
wmm-profile id 0
radio-profile name 5g11n id 1 【指定射頻類型為5G的，關(guān)聯(lián)WMM】
radio-type 80211an
wmm-profile id 0
ap 0 radio 0 【在ap的射頻下，0表示2.4G，關(guān)聯(lián)剛剛的射頻profile，然后關(guān)聯(lián)服務(wù)集，服務(wù)集是可以關(guān)聯(lián)多個的，可以多個SSID】
radio-profile id 0
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
ap 0 radio 1
radio-profile id 1
channel 40MHz-minus 153
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
ap 1 radio 0
radio-profile id 0
channel 20MHz 6
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
ap 1 radio 1
radio-profile id 1
channel 40MHz-minus 161
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3

說明：注意頻段不要沖突，這里要手工修改下，模擬器不支持自動分配。

這里用的的tunnel轉(zhuǎn)發(fā)模式的，默認(rèn)情況下為直接，所以如果想為直接的轉(zhuǎn)發(fā)模式，可以不需要配置forward-mode tunnel，如果為直接轉(zhuǎn)發(fā)的話，那么交換機(jī)注意不能為Access接口，必須為hybrid或者trunk，PVID=AC與AP建立CAWPWAP隧道的VLAN，然后給業(yè)務(wù)VLAN打上Tag，否則會出現(xiàn)客戶端連接不了AP，獲取不到地址的情況。

4、只允許訪客訪問特定流量，通過ACL下放

   在tunnel隧道轉(zhuǎn)發(fā)的模式下，所有的流量都是會經(jīng)過AC，如果網(wǎng)關(guān)在AC上面則在AC的VLANIF下面調(diào)用，否則在三層交換機(jī)上面調(diào)用。

   在直接轉(zhuǎn)發(fā)的模式下，就不一樣了，可以直接在traffice-filter里面調(diào)用，配置如下。

rule 5 permit ip destination 10.1.201.100 0
rule 10 deny ip destination 10.0.0.0 0.255.255.255
rule 15 permit ip
說明：拒絕訪客訪問內(nèi)部員工網(wǎng)絡(luò)

service-set name guest103 id 2
traffic-filter inbound acl 3001

它會在AP關(guān)聯(lián)的時(shí)候，就會自動下發(fā)給AP，那么AP的接口上面就會有該ACL，直接在AP上面對客戶端的流量做限制。所以在做控制的時(shí)候，一定要區(qū)分是在什么方式下，是直接轉(zhuǎn)發(fā)還是隧道轉(zhuǎn)發(fā)，不同的模式，策略應(yīng)用的方式也不一樣。

 ！ 提問與分享（想提高自己，從獨(dú)立思考與分享開始）          

 提問：實(shí)際運(yùn)用中，可能大部分都會選擇直接轉(zhuǎn)發(fā)，那么什么情況下會選擇隧道轉(zhuǎn)發(fā)呢？分享：實(shí)驗(yàn)可以通過模擬器直接完成，記得老版本選用分享的考試版本即可，最新版本是采用的V2R7命令行有差別。

實(shí)驗(yàn)源文件：

鏈接：https://pan.baidu.com/s/1y665TiaLaLf9sYXLFgBchA

提取碼：pb3v

復(fù)制這段內(nèi)容后打開百度網(wǎng)盤手機(jī)App，操作更方便哦

網(wǎng)絡(luò)之路博客公眾號提供Cisco、華為、H3C、防火墻、VPN、無線等網(wǎng)絡(luò)知識點(diǎn)分享與應(yīng)用，想了解更多企業(yè)技術(shù)應(yīng)用與組網(wǎng)案例，關(guān)注我們（公眾號菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒有學(xué)習(xí)方向感到迷茫，還是想提升段位充實(shí)自己來升職加薪，都有您需要的哦）