防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)

一、业务需求

企业有出口网关【USG】、接入交换机（POE1-3）、AC和AP设备，希望能够部署内外无线网络，为员工提供无线上网服务。

二、组网规划

AC组网方式：旁挂二层组网。

业务数据转发方式：直接转发（缺省方式）。

DHCP部署方式：USG作为DHCP服务器为STA分配IP地址。

AP管理：VLAN 100，网段为10.1.1.0/24。网关为AC上的VLANIF100接口IP。

无线业务：外网VLAN 200，内网VLAN2000,SSID为XXXX，密码为XXXX，网段为192.168.188.0/23和192.168.100.0/24。网关为USG上的VLANIF200和VLANIF2000接口IP。

AC与AP建立管理隧道的源接口：AC上的VLANIF100。

三、网络拓扑

四、操作步骤

一、配置接入交换机（POE1-3配置一样）

vlan batch 100 200 2000                            //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1                    //进入连接AC的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

interface GigabitEthernet0/0/2                    //进入连接AP的物理接口  
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk pvid vlan 100                             //指定接口的缺省VLAN为AP的管理VLAN 
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

二、配置AC（9700）

1. 透传管理VLAN和业务VLAN（AP方向）

vlan batch 100 200 2000                            //创建规划好的管理VLAN和业务VLAN

interface GigabitEthernet0/0/1                   //进入连接接入交换机的物理接口
 port link-type trunk                                    //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/2                    //进入连接接入交换机的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过
#
interface GigabitEthernet0/0/3                    //进入连接接入交换机的物理接口
 port link-type trunk
 port trunk allow-pass vlan 100 200 2000  //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器（为AP管理）

dhcp enable                                                //打开DHCP总开关

interface Vlanif100                                     //创建管理VLAN的接口
 ip address 10.1.1.2 255.255.255.0           //配置规划好的IP
 dhcp select interface                                //启用接口地址池方式的DHCP服务器功能
 dhcp server excluded-ip-address 10.1.1.1//将互联的AC地址在DHCP地址池中排除 

3. 配置与出口网关二层互联

interface GigabitEthernet0/0/9                    //进入连接USG的物理接口
 port link-type trunk                                     //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000   //允许管理VLAN和业务VLAN通过

1. 配置AP上线

（1）指定与AP建立CAPWAP隧道的源接口

interface vlanif 100                                     //创建管理VLAN的接口

 ip address 10.1.1.2 255.255.255.0            //配置规划好的IP

 capwap source interface vlanif 2               //指定源接口为管理VLAN的接口

（3）配置AP认证模式

wlan                                                             //进入WLAN视图

ap auth-mode no-auth                                 //配置AP认证模式为不认证

说明： 将AP上电后，当执行命令display ap all查看到AP的“State”字段为“nor”时，表示AP正常上线，示例如下。

2. 配置WLAN业务

（1）配置VAP模板（default）

[AC] vlan batch 200 2000                                                           //创建规划好的业务VLAN

[AC] wlan                                                                  //进入WLAN视图

[AC-wlan-view] security-profile name default                    //创建名为“default ”的安全模板

[AC-wlan-sec-prof-default ] security wpa-wpa2 psk pass-phrase XX aes        //设置无线密码    

[AC-wlan-sec-prof-default ] quit

[AC-wlan-view] ssid-profile name default                                  //创建名为“default ”的SSID模板

[AC-wlan-ssid-prof-default ] ssid default                            //指定SSID为“default ”

[AC-wlan-ssid-prof-default ] quit

[AC-wlan-view] vap-profile name default                                    //创建名为“default ”的VAP模板

[AC-wlan-vap-prof-default ] security-profile default                  //引用安全模板

[AC-wlan-vap-prof-default  ssid-profile default                           //引用SSID模板

[AC-wlan-vap-prof-default ] service-vlan vlan-id 200 2000                 //指定VAP的业务VLAN

[AC-wlan-vap-prof-default ] quit

（2）配置VAP（引用VAP模板）

说明：前面没有配置AP加入单独的AP组，AP会自动加入到名为“default”的AP组中，因此配置默认的AP组“default”引用VAP模板即可。

[AC-wlan-view] ap-group name default

[AC-wlan-ap-group-default] vap-profile default wlan 1 radio all

[AC-wlan-ap-group-default] quit

[AC-wlan-view] quit

四、配置出口网关【USG】

1. 配置USG的LAN侧（与AC二层层互联）

配置互联接口VLANIF IP

vlan batch 100 200 2000

interface Vlanif100                                                          //创建规划好的互联VLAN
 ip address 10.1.1.1 255.255.255.0                                //配置规划好的IP 

interface Vlanif200                                                          //创建规划好的互联VLAN
 ip address 192.168.188.254 255.255.254.0                  //配置规划好的IP

interface Vlanif2000                                                        //创建规划好的互联VLAN    
 ip address 192.168.100.254 255.255.255.0                  //配置规划好的IP       

  interface GigabitEthernet0/0/0                                      //进入AC的物理接口               
 portswitch                                                                       //配置二层接口
 port link-type trunk                                                         //将接口的链路类型设置为trunk
 port trunk allow-pass vlan 100 200 2000                       //允许管理VLAN和业务VLAN通过

2. 配置DHCP服务器（为AP业务）

interface Vlanif200                                                         //创建规划好的互联VLAN      
 ip address 192.168.188.254 255.255.254.0                 //配置规划好的IP      
 dhcp server mask 255.255.254.0                                  //配置掩码
 dhcp server ip-range 192.168.188.1 192.168.189.253 //地址池范围
 dhcp select interface                                                     //启用接口地址池方式的DHCP服务器功能
 dhcp server gateway-list 192.168.188.254                   //地址池网关
 dhcp server dns-list 60.191.244.5 8.8.8.8                     //配置DNS服务器 主备
#
interface Vlanif2000                                                       //创建规划好的互联VLAN
 ip address 192.168.100.254 255.255.255.0                 //配置规划好的IP 
 dhcp server ip-range 192.168.100.1 192.168.100.253 //地址池范围
 dhcp select interface                                                     //启用接口地址池方式的DHCP服务器功能
 dhcp server gateway-list 192.168.100.254                   //地址池网关
 dhcp server dns-list 60.191.244.5 8.8.8.8                     //配置DNS服务器 主备

3 配置上外网

1 .防火墙区域的划分

firewall zone trust                                                          //安全区域
 set priority 85                                                                //级别85
 add interface GigabitEthernet0/0/0                               //把内网接口加到信任域
 add interface Vlanif100                                                 //把VLAN加到信任域
 add interface Vlanif200                                                 //把VLAN加到信任域
 add interface Vlanif2000                                               //把VLAN加到信任域

firewall zone untrust                                                       //不信任区域
 set priority 5                                                                  //级别5
 add interface Dialer0                                                    //把外网接口加到不信任区域
 add interface WAN0/0/0                                               //把外网接口加到不信任区域

2.安全策略

security-policy                                                             //新建安全策略
 default action permit                                                  //默认放行全部
 rule name shangwang                                               //规则名字
  action permit                                                            //默认放行全部

3.NAT转换

nat-policy                                                                  //新建NAT策略
 rule name shangwang                                             //NAT规则名字
  source-zone trust                                                    //转换的源区域
  destination-zone untrust                                         //转换的目的区域
  action source-nat easy-ip                                        //应用于easy ip

ip route-static 0.0.0.0 0 Dialer 0 //配置默认路由，PPPOE拨号的，没有固定的下一跳地址

测试可以正常上网。文章来源地址https://www.toymoban.com/news/detail-743000.html

到了这里，关于防火墙串联AC内外网无线部署记录(旁挂二层组网直接转发)的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！