防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)

这篇具有很好参考价值的文章主要介绍了防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、业务需求

企业有出口网关【USG】、接入交换机(POE1-3)、AC和AP设备,希望能够部署内外无线网络,为员工提供无线上网服务。

二、组网规划

AC组网方式:旁挂二层组网。

业务数据转发方式:直接转发(缺省方式)。

DHCP部署方式:USG作为DHCP服务器为STA分配IP地址。

AP管理:VLAN 100,网段为10.1.1.0/24。网关为AC上的VLANIF100接口IP。

无线业务:外网VLAN 200,内网VLAN2000,SSID为XXXX,密码为XXXX,网段为192.168.188.0/23和192.168.100.0/24。网关为USG上的VLANIF200和VLANIF2000接口IP。

AC与AP建立管理隧道的源接口:AC上的VLANIF100。

三、网络拓扑

防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发),华为,AC控制器,华为,网络,网络安全

 

四、操作步骤

一、配置接入交换机(POE1-3配置一样)

vlan batch 100 200 2000                            //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1                    //进入连接AC的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

interface GigabitEthernet0/0/2                    //进入连接AP的物理接口  
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk pvid vlan 100                             //指定接口的缺省VLAN为AP的管理VLAN 
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

二、配置AC(9700)

1. 透传管理VLAN和业务VLAN(AP方向)

vlan batch 100 200 2000                            //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1                   //进入连接接入交换机的物理接口
 port link-type trunk                                    //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/2                    //进入连接接入交换机的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/3                    //进入连接接入交换机的物理接口
 port link-type trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器(为AP管理)

dhcp enable                                                //打开DHCP总开关

interface Vlanif100                                     //创建管理VLAN的接口
 ip address 10.1.1.2 255.255.255.0           //配置规划好的IP
 dhcp select interface                                //启用接口地址池方式的DHCP服务器功能
 dhcp server excluded-ip-address 10.1.1.1//将互联的AC地址在DHCP地址池中排除 

3. 配置与出口网关二层互联

interface GigabitEthernet0/0/9                    //进入连接USG的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

1. 配置AP上线

(1)指定与AP建立CAPWAP隧道的源接口

interface vlanif 100                                     //创建管理VLAN的接口

 ip address 10.1.1.2 255.255.255.0            //配置规划好的IP

 capwap source interface vlanif 2               //指定源接口为管理VLAN的接口

(3)配置AP认证模式

wlan                                                             //进入WLAN视图

ap auth-mode no-auth                                 //配置AP认证模式为不认证

说明: 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线,示例如下。

防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发),华为,AC控制器,华为,网络,网络安全

2. 配置WLAN业务

(1)配置VAP模板(default)

[AC] vlan batch 200 2000                                                           //创建规划好的业务VLAN

[AC] wlan                                                                  //进入WLAN视图

[AC-wlan-view] security-profile name default                    //创建名为“default ”的安全模板

[AC-wlan-sec-prof-default ] security wpa-wpa2 psk pass-phrase XX aes        //设置无线密码    

[AC-wlan-sec-prof-default ] quit

[AC-wlan-view] ssid-profile name default                                  //创建名为“default ”的SSID模板

[AC-wlan-ssid-prof-default ] ssid default                            //指定SSID为“default ”

[AC-wlan-ssid-prof-default ] quit

[AC-wlan-view] vap-profile name default                                    //创建名为“default ”的VAP模板

[AC-wlan-vap-prof-default ] security-profile default                  //引用安全模板

[AC-wlan-vap-prof-default  ssid-profile default                           //引用SSID模板

[AC-wlan-vap-prof-default ] service-vlan vlan-id 200 2000                 //指定VAP的业务VLAN

[AC-wlan-vap-prof-default ] quit

(2)配置VAP(引用VAP模板)

说明:前面没有配置AP加入单独的AP组,AP会自动加入到名为“default”的AP组中,因此配置默认的AP组“default”引用VAP模板即可。

[AC-wlan-view] ap-group name default

[AC-wlan-ap-group-default] vap-profile default wlan 1 radio all

[AC-wlan-ap-group-default] quit

[AC-wlan-view] quit

四、配置出口网关【USG】

1. 配置USG的LAN侧(与AC二层层互联

配置互联接口VLANIF IP

vlan batch 100 200 2000

interface Vlanif100                                                          //创建规划好的互联VLAN
 ip address 10.1.1.1 255.255.255.0                                //配置规划好的IP 

interface Vlanif200                                                          //创建规划好的互联VLAN
 ip address 192.168.188.254 255.255.254.0                  //配置规划好的IP

interface Vlanif2000                                                        //创建规划好的互联VLAN    
 ip address 192.168.100.254 255.255.255.0                  //配置规划好的IP       

  interface GigabitEthernet0/0/0                                      //进入AC的物理接口               
 portswitch                                                                       //配置二层接口
 port link-type trunk                                                         //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000                       //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器(为AP业务)

interface Vlanif200                                                         //创建规划好的互联VLAN      
 ip address 192.168.188.254 255.255.254.0                 //配置规划好的IP      
 dhcp server mask 255.255.254.0                                  //配置掩码
 dhcp server ip-range 192.168.188.1 192.168.189.253 //地址池范围
 dhcp select interface                                                     //启用接口地址池方式的DHCP服务器功能
 dhcp server gateway-list 192.168.188.254                   //地址池网关
 dhcp server dns-list 60.191.244.5 8.8.8.8                     //配置DNS服务器 主备
#
interface Vlanif2000                                                       //创建规划好的互联VLAN
 ip address 192.168.100.254 255.255.255.0                 //配置规划好的IP 
 dhcp server ip-range 192.168.100.1 192.168.100.253 //地址池范围
 dhcp select interface                                                     //启用接口地址池方式的DHCP服务器功能
 dhcp server gateway-list 192.168.100.254                   //地址池网关
 dhcp server dns-list 60.191.244.5 8.8.8.8                     //配置DNS服务器 主备

3 配置上外网

1 .防火墙区域的划分

firewall zone trust                                                          //安全区域
 set priority 85                                                                //级别85
 add interface GigabitEthernet0/0/0                               //把内网接口加到信任域
 add interface Vlanif100                                                 //把VLAN加到信任域
 add interface Vlanif200                                                 //把VLAN加到信任域
 add interface Vlanif2000                                               //把VLAN加到信任域

firewall zone untrust                                                       //不信任区域
 set priority 5                                                                  //级别5
 add interface Dialer0                                                    //把外网接口加到不信任区域
 add interface WAN0/0/0                                               //把外网接口加到不信任区域

2.安全策略

security-policy                                                             //新建安全策略
 default action permit                                                  //默认放行全部
 rule name shangwang                                               //规则名字
  action permit                                                            //默认放行全部

3.NAT转换

nat-policy                                                                  //新建NAT策略
 rule name shangwang                                             //NAT规则名字
  source-zone trust                                                    //转换的源区域
  destination-zone untrust                                         //转换的目的区域
  action source-nat easy-ip                                        //应用于easy ip

ip route-static 0.0.0.0 0 Dialer 0 //配置默认路由,PPPOE拨号的,没有固定的下一跳地址

测试可以正常上网。文章来源地址https://www.toymoban.com/news/detail-743000.html

到了这里,关于防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 如何设置无线路由MAC地址防火墙具体步骤是什么

    怎样设置无线路由MAC地址防火墙?具体方法步骤如下所示: 当然先将路由器用网线连接到自己电脑了!并输入192.168.1.1(如果你的路由是其它的地址就要输入其它的啦!)打开登录界面,现在输入用户名和密码就能登录了! 找到自己电脑的MAC地址: 一般电脑的MAC地址在控制面板网络

    2024年02月06日
    浏览(51)
  • Centos7.9安全部署_防火墙配置_端口配置_协议配置_IP配置_全部亲测---记录022_大数据工作笔记0182

    之前看的hadoop集群搭建的时候,都是要把linux的防火墙关闭,还有selinux也会关闭,但是有些环境下,对安全要求比较高,即使在内网搭建hadoop集群,也需要打开防火墙,这个时候,可以配置: 比如我集群中有3台机器,那么这3台机器直接的ip地址,可以给这3台机器,都开启防火墙,然后 不取分

    2024年02月12日
    浏览(37)
  • 防火墙部署方式

    防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以第三层对外连接(接口具有IP 地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP 地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模

    2024年02月12日
    浏览(54)
  • 防火墙部署安全区域

    防火墙主要部署在网络边界起到隔离的作用 防火墙通过安全区域来划分网络、标识报文流动的“路线” 为了在防火墙上区分不同的网络,我们在防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别

    2024年01月17日
    浏览(55)
  • Linux实战——Tomcat安装部署、Linux中配置JDK环境、关闭防火墙、配置防火墙规则

    Tomcat安装部署【简单】 简介 Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等。 简单来说,Tomcat是一个WEB应用程序的托管平台,可以让用户编写的WEB应用程序,被

    2023年04月09日
    浏览(49)
  • 部署WAF安全应用防火墙(openresty部署)

    1.1 什么是WAF Web应用防护系统 (也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法: Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品 。 1.2 WAF的功能 支持IP白名单和黑名单功能,

    2024年02月05日
    浏览(42)
  • 防火墙之部署服务器NAT

    NAT(Network Address Translation),是指网络地址转换,1994年提出的。 当在 专用网 内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 这种方法需要在专用网(私网IP)连接到因

    2024年02月08日
    浏览(47)
  • docker上面部署nginx-waf 防火墙“modsecurity”,使用CRS规则,搭建WEB应用防火墙

    web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维护,不幸的是2024 年 7 月将不再维护交还开源社区管理,Trustwave目前打造自己的web防火墙,至于是否免费开源就不得而知

    2023年04月21日
    浏览(43)
  • 防火墙日志记录和监控在网络安全中的重要性

    防火墙监视进出网络的流量,并保护部署网络的网络免受恶意流量的侵害。它是一个网络安全系统,根据一些预定义的规则监控传入和传出的流量。它以日志的形式记录有关如何管理流量的信息。日志数据包含流量的源和目标 IP 地址、端口号、协议等。为了有效地保护您的网

    2024年02月07日
    浏览(50)
  • 防火墙的原理、主要技术、部署及其优缺点

    防火墙的原理、主要技术、部署及其优缺点 目录 一、防火墙的原理 1.简介 2.防火墙原理 3.防火墙的使用 二、防火墙的主要技术 1.静态包过滤 2.应用代理 3.状态检测 三、防火墙的部署 1.防火墙的部署位置 2.防火墙的部署方式 四、防火墙的优缺点 1.防火墙的优点 2.防火墙的不

    2024年02月09日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包