轉載自微信公眾號：網(wǎng)絡之路博客 

說明

上次介紹了二層漫游與初始化配置，最后的WLAN業(yè)務與漫游的演示，包括了在工作環(huán)境下如果遇到了漫游后業(yè)務不通的狀況出現(xiàn)，如何分析以及解決，這次主要介紹三層漫游，以及拓撲介紹跟初始化配置

這次不介紹漫游跟AC里面的具體配置，主要講解拓撲初始化的配置，涉及到的內(nèi)容也挺多的，所以分為2篇寫，這篇介紹拓撲，以及各個設備上面的初始化配置，下一篇主要介紹AC上面的WLAN相關的配置。

同一AC的三層漫游：指的是在同一個AC下面的不同AP之間不同業(yè)務之間的漫游（跨越三層網(wǎng)絡），比如圖中AP-1的業(yè)務VLAN 是10（192.168.10.0/24），而AP-2的業(yè)務VLAN是20（192.168.20.0/24），無線客戶端從AP-1漫游到AP-2后，雖然處于AP-2上面，但是業(yè)務VLAN保持不變，IP地址也保持不變，只是由原先的AP-1變成了AP-2來轉發(fā)無線客戶端的業(yè)務。

拓撲說明

說明：該拓撲就一個辦公區(qū)域，AP-1主要提供給轉發(fā)VLAN 101的業(yè)務，而AP-2主要提供轉發(fā)VLAN 102的業(yè)務，但是領導希望在辦公區(qū)域內(nèi)，客戶端能夠進行自動的切換關聯(lián)，希望保持在比較不錯的信號強度的AP下轉發(fā)業(yè)務，這時候必須提供三層漫游功能來實現(xiàn)這個目的了。

管理VLAN 800：192.168.80.0/24 GW：192.168.80.254
業(yè)務VLAN 101：192.168.101.0/24 GW：192.168.101.254
業(yè)務VLAN 102：192.168.102.0/24 GW:192.168.101.254
與路由器對接接口VLAN 1：192.168.1.0/24 交換機地址：192.168.1.1 路由器內(nèi)網(wǎng)地址：192.168.1.2
與AC對接的接口 VLAN 100：192.168.100.1/24 AC源接口地址：192.68.100.2/24
隧道轉發(fā)模式：直接轉發(fā)
AP上線組網(wǎng)方式：三層（不在一個子網(wǎng)廣播域內(nèi)），必須通過DHCP Option43來實現(xiàn)
SSID：Intranet 認證與加密方式：WPA2 PSK+CCMP
AP-1主要提供業(yè)務VLAN 101（也提供VLAN 102的業(yè)務轉發(fā)）
AP-2主要提供業(yè)務VLAN 102（也提供VLAN 101的業(yè)務轉發(fā)）
說明：這里AP肯定得為2個業(yè)務VLAN 能夠提供轉發(fā)才行，否則的話 三層漫游多個業(yè)務VLAN之間AP需要能夠識別的了，能夠打上業(yè)務TAG。

掌握目標

1、POE二層交換機初始化（包括VLAN創(chuàng)建，Trunk鏈路定義）
2、核心交換機定義（包括VLAN創(chuàng)建，Trunk鏈路定義，DHCP，VLANIF接口以及路由）
3、出口路由配置（包含內(nèi)外網(wǎng)接口+路由以及NAT服務）
4、AC初始化（包括VLAN的Trunk，以及VLANIF接口創(chuàng)建）

1、POE二層交換機初始化（包括VLAN創(chuàng)建，Trunk鏈路定義）

說明：需要配置的VLAN為100~101，其中VLAN 100為管理VLAN，而VLAN 101為業(yè)務VLAN，Trunk鏈路定義在連接AP跟上行核心交換機上面（直接轉發(fā)模式下是需要定義Trunk跟hybrid接口，主要管理VLAN需要通過，而且業(yè)務VLAN也需要通過，多VLAN的情況下。）

AS-1設備
【創(chuàng)建VLAN】
[Huawei-AS-1]vlan batch 101 102 800

【Trunk鏈路定義】
接口AP-1的接口
[Huawei-AS-1]int e0/0/1
[Huawei-AS-1-Ethernet0/0/1]port link-type trunk
[Huawei-AS-1-Ethernet0/0/1]port trunk pvid vlan 800
[Huawei-AS-1-Ethernet0/0/1]port trunk allow-pass vlan 101 to 102 800

接AP-2的接口
[Huawei-AS-1-Ethernet0/0/1]int e0/0/3
[Huawei-AS-1-Ethernet0/0/3]port link-type trunk
[Huawei-AS-1-Ethernet0/0/3]port trunk pvid vlan 800
[Huawei-AS-1-Ethernet0/0/3]port trunk allow-pass vlan 101 to 102 800
說明：這里PVID是給AP打上管理VLAN，然后允許了業(yè)務VLAN 101 102與管理VLAN 800通過，因為涉及到漫游，所以AP提供多種業(yè)務VLAN的轉發(fā)，所以必須放行。

接口交換機的接口
[Huawei-AS-1]int e0/0/2
[Huawei-AS-1-Ethernet0/0/2]port link-type trunk
[Huawei-AS-1-Ethernet0/0/2]port trunk allow-pass vlan 101 to 102 800
說明：接AP的接口由于管理VLAN是100，所以這里必須把PVID定義為100，這樣當AP管理幀發(fā)出來的時候，沒有VLAN ID，所以會打上PVID VLAN 100，然后允許VLAN 100與101通過即可。

2、核心交換機定義（包括VLAN創(chuàng)建，Trunk鏈路定義，DHCP，VLANIF接口以及路由）

【創(chuàng)建VLAN】
[Huawei-Core-SW]vlan batch 100 to 102 800

【接接入交換機的接口】
[Huawei-Core-SW]int g0/0/2
[Huawei-Core-SW-GigabitEthernet0/0/2]port link-type trunk
[Huawei-Core-SW-GigabitEthernet0/0/2]port trunk allow-pass vlan 101 to 102 800

【接AC的接口】
[Huawei-Core-SW]int g0/0/4
[Huawei-Core-SW-GigabitEthernet0/0/4]port link-type access
[Huawei-Core-SW-GigabitEthernet0/0/4]port default vlan 100

【接出口路由器的接口】
那個默認屬于VLAN 1，所以不需要劃入
總結：總共配置了2個接口，一個是對接接入交換機的接口，它需要為trunk，放行對應的管理VLAN流量以及業(yè)務VLAN流量通過，而接AC的接口，由于是直連轉發(fā)，所以這里只需要對接一個地址即可，能夠跟AC通信。

【開啟DHCP功能】
[Huawei-Core-SW]dhcp enable

【創(chuàng)建VLANIF接口】
與AC對接的VLANFI接口
[Huawei-Core-SW]int vlan 100
[Huawei-Core-SW-Vlanif100]ip address 192.168.100.1 24

業(yè)務VLAN 101的VLANIF接口
[Huawei-Core-SW]int vlan 101
[Huawei-Core-SW-Vlanif101]ip address 192.168.101.254 24
[Huawei-Core-SW-Vlanif101]dhcp select interface
[Huawei-Core-SW-Vlanif101]dhcp server dns-list 114.114.114.114
[Huawei-Core-SW-Vlanif101]dhcp server domain-name ccieh3c.taobao.com

VLAN業(yè)務102的VLANIF接口
[Huawei-Core-SW]interface vlan 102
[Huawei-Core-SW-Vlanif102]ip address 192.168.102.254 24
[Huawei-Core-SW-Vlanif102]dhcp select interface
[Huawei-Core-SW-Vlanif102]dhcp server dns-list 114.114.114.114
[Huawei-Core-SW-Vlanif102]dhcp server domain-name ccieh3c.taobao.com

管理VLAN的VLANIF接口（注意，這里是三層組網(wǎng)跟AC的源接口不在同一個網(wǎng)段，需要用到Option43）
[Huawei-Core-SW]int vlan 800
[Huawei-Core-SW-Vlanif800]ip address 192.168.80.254 24
[Huawei-Core-SW-Vlanif800]dhcp select interface
[Huawei-Core-SW-Vlanif800]dhcp server option 43 sub-option 3 ascii 192.168.100.2

與出口路由器對接的VLANIF接口
[Huawei-Core-SW]int vlan 1
[Huawei-Core-SW-Vlanif1]ip address 192.168.1.1 24

【路由定義】
[Huawei-Core-SW]ip route-static 0.0.0.0 0 192.168.1.2
說明：這里只需要一個默認路由即可，用來訪問Internet。

說明：VLANIF1的接口用來與出口路由器對接，VLANIF 100的與AC對接，而VLAN 101與102則是提供給業(yè)務的網(wǎng)關，VLAN 800是AP的管理VLAN，由于管理VLAN與AC的源接口地址不在同一個網(wǎng)絡，所以必須啟用Option43來告訴AP，AC在哪。

3、出口路由配置（包含內(nèi)外網(wǎng)接口+路由以及NAT服務）

【定義內(nèi)外網(wǎng)接口】
[Huawei-GW]int g0/0/0
[Huawei-GW-GigabitEthernet0/0/0]ip address 192.168.1.2 24

[Huawei-GW]int g0/0/1
[Huawei-GW-GigabitEthernet0/0/1]ip address 202.100.1.1 24

【定義路由】
[Huawei-GW]ip route-static 192.168.101.0 24 192.168.1.1
[Huawei-GW]ip route-static 192.168.102.0 24 192.168.1.1
[Huawei-GW]ip route-static 0.0.0.0 0 202.100.1.2
說明：第一、二條路由是回程路由，用來當192.168.101.0/102.0的數(shù)據(jù)返回的時候直到怎么發(fā)送，第二條路由則發(fā)往Internet訪問的。

【NAT配置】
[Huawei-GW]acl number 3000
[Huawei-GW-acl-adv-3000]rule permit ip source 192.168.101.0 0.0.0.255
[Huawei-GW-acl-adv-3000]rule permit ip source 192.168.102.0 0.0.0.255

[Huawei-GW]int g0/0/1
[Huawei-GW-GigabitEthernet0/0/1]nat outbound 3000
說明：定義ACL 3000就是用來匹配192.168.101.0/24的網(wǎng)段流量，然后在出接口調(diào)用，匹配了ACL里面定義的流量就做源PAT轉換，簡稱easy-ip。

4、AC初始化（包括VLAN的Trunk，以及VLANIF接口創(chuàng)建

【創(chuàng)建VLAN 】
[Huawei-AC]vlan 100
說明：創(chuàng)建VLAN 100即可

【定義二層接口，與核心交換機連接的接口】
[Huawei-AC]int g0/0/4
說明：這里與核心交換對接的接口，劃入到VLAN 100即可

【定義VLAN IF接口】
[Huawei-AC]int vlan 100
[Huawei-AC-Vlanif100]ip address 192.168.100.2 24

[Huawei-AC]ip route-static 0.0.0.0 0 192.168.100.1
這里必須有路由能夠訪問到800，可以是靜態(tài)也可以是默認。

總結：

目前為止，整個網(wǎng)絡的網(wǎng)絡初始化已經(jīng)完畢，從接入交換機的VLAN劃分以及接口類型配置，到核心交換機的初始化，VLANIF創(chuàng)建跟DHCP與路由，出口路由器的路由 NAT等，這些初始化的目的主要是為了讓整個網(wǎng)絡能夠通信起來，比如AP能獲取到地址與AC建立CAPWAP隧道，當WLAN業(yè)務部署起來后，無線客戶端關聯(lián)后獲取到地址能夠正常訪問其他內(nèi)網(wǎng)或者外網(wǎng)。

 ！ 提問與分享（想提高自己，從獨立思考與分享開始）          

分享：實驗可以通過模擬器直接完成，記得老版本選用分享的考試版本即可，最新版本是采用的V2R7命令行有差別。

網(wǎng)絡之路博客公眾號提供Cisco、華為、H3C、防火墻、VPN、無線等網(wǎng)絡知識點分享與應用，想了解更多企業(yè)技術應用與組網(wǎng)案例，關注我們（公眾號菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒有學習方向感到迷茫，還是想提升段位充實自己來升職加薪，都有您需要的哦）