初窥Huawei_Campus 解决方案(一)
前言
本实验是简化版的HCIE-DATACOM-CAMPUS解决方案,保留了完整版方案当中的VN、VXLAN、EVPN、DHCP、以及VN上网、无线模块,由于ENSP无法实现策略联动与业务随行,认证相关内容、所以这两部分内容并没有涉及。完整版方案是通过控制器做的,我们这里面使用纯手工的方式模拟,能更好的帮助我们理解完整版的方案。
- 实验简介
- 三台PE之间动态VXLAN,使用集中式网关,互联VLAN分别是VLAN12和VLAN13
- AC与AP处于不同的VLAN,AC为AP分配管理地址,AP管理VLAN是100,AC所在网段是VLAN200,采用直连式转发
- 无线业务VLAN是VLAN10、有线业务VLAN是VLAN20
- dhcp server服务器专门为两个业务VLAN分配IP地址
- 最上方的路由器模拟外部网络,要求两个可以网络都可以访问外部网络
- 要求两个业务的网关在CE1上,处于同一个VN之下
实验解析
无论是图形化界面操作还是命令行操作,首先就是把underlay网络搞通,这一部分的操作比较简单。我们要通过互联VLAN起OSPF,将环回接口宣告进OSPF,保证三台PE的环回接口可以互通,在这一部分注意三台CE之间的互联接口全设置为trunk并放行互联VLAN。
OSPF部署完成之后,意味着核心基本的承载网络已经部署完成,接下来,我们需要打通CE1与AC之间的网络,两者通过VLAN200连接,在AC上配置地址池,为AP的管理网络(VLAN100)分配地址,AP管理网段的的网关设置成CE1上,CE1要要VLAN100网关上通过DHCP中继将dhcp的请求中继到AC上。连接AP的接入交换机PVID设置为100,这样AP向外发送的数据包就都携带有VLAN100的TAG了,沿途打通AP接入交换机到CE1所有接口,保证AP能正常获取地址。
接下来我们要去做EVPN,为下一步的VXLAN做准备,直接在三台CE上起BGP进程和EVPN子进程,在CE1的BGP打开能行IRB路由和RR的能力,保证EVPN邻居建立正常。
EVPN做好了之后,我们就可以开始做VXLAN了,CE2接入VLAN10进入到BD10,设置VNI为1,在BD视图当中使能EVPN并设置RD、RT,然后再起NVE接口,同样使能BGP;CE3同样的操作,只不过接入是VLAN20,BD20,VNI是2;最后设置CE1,CE要创建两个BD,在BD当中要设置两个EVPN连接以对应CE2和CE3,同样的NVE接口当中的目标连接也要写两个,创建VN并将VBDIF20和VBDIF30都创建在同一个VN当中,保证VXLAN隧道能够连接成功。
最后就是外部资源了,我们先要为有线配置DHCP,由于我们已经有了DHCP的服务器,所以我们只需要在VBDIF接口当中把DHCP请求中继到DHCP SERVER当中就可以了,具体过程我们需要在CE1上开一个DHCP的VRF,通过VRF去对接DHCP SERVER。VBDIF接口中继时绑定与DHCP SERVER对接的VRF,VBDIF对应的VN也要指对接DHCPSERVER的 VRF,DHCP VRF也要指去往VN的路由,这个指路由的时候需要注意方式方法。
至于最后的VN上网,其实没什么好说的,其实就是VN到PUBLIC一个互通,重点是路由,我们也要注意指路由的方式方法。
UNDERLAY
第一步:Underlay-OSPF
先把VXLAN网络依赖的IGP-OSPF网络准入好
先把VXLAN网络依赖的underlay网络环境准备好,其实就是三台CE交换机之间,由于我们使用的是交换机,最好不要直接在交换机接口上配置IP地址,因为这要的话接口的变化就受限了。我们需要使用虚拟vlanif接口去连接,机连接口配置成trunk放行相应的vlan即可。当我们配置好vlanif接口的地址之后,别忘记配置lookback0接口,我们一会还要运行OSPF,所以把环回接口要配置好并且宣告到OSPF当中。
-
局部拓扑
PS:
PE1与PE2之间配置vlan-12:10.1.12.x
PE1与PE3之间配置vlan-13:10.1.13.x
-
CE1的基础配置
# 互联VLAN的配置 # CE1 sys i sysn CE1 int l0 ip add 10.0.1.1 32 vlan batch 12 13 int vlan 12 ip add 10.1.12.1 24 int vlan 13 ip add 10.1.13.1 24 int g1/0/0 undo shutdown portsw port link-type trunk port trunk allow vlan 12 int g1/0/1 undo shutdown portsw p l t port trunk allow vlan 13 quit
-
CE2的基础配置
# CE2 sys i sysn CE2 int l0 ip add 10.0.2.2 32 vlan 12 int vlan 12 ip add 10.1.12.2 24 int g1/0/1 undo shutdown portsw port link-type trunk port tr allow vlan 12 quit
-
CE3的基础配置
# CE3 sys i sysn CE3 int l0 ip add 10.0.3.3 32 vlan 13 int vlan 13 ip add 10.1.13.3 24 int g1/0/1 undo shutdown portsw port link-ty trunk port trunk allow vlan 13 quit
-
OSPF的配置
# CE1的OSPF的配置 ospf 1 router-id 10.0.1.1 a 0 network 10.0.1.1 0.0.0.0 network 10.1.12.1 0.0.0.0 network 10.1.13.1 0.0.0.0 # CE2的OSPF配置 ospf 1 router-id 10.0.2.2 a 0 network 10.0.2.2 0.0.0.0 network 10.1.12.2 0.0.0.0 # CE3的OSPF配置 ospf 1 router-id 10.0.3.3 a 0 network 10.0.3.3 0.0.0.0 network 10.1.13.3 0.0.0.0
-
验证
[CE1-ospf-1]dis ospf peer brief OSPF Process 1 with Router ID 1.1.1.1 Peer Statistic Information Total number of peer(s): 2 Peer(s) in full state: 2 ----------------------------------------------------------------------------- Area Id Interface Neighbor id State 0.0.0.0 Vlanif12 2.2.2.2 Full 0.0.0.0 Vlanif13 3.3.3.3 Full ----------------------------------------------------------------------------- [CE1]dis ip routing-table protocol ospf Proto: Protocol Pre: Preference Route Flags: R - relay, D - download to fib, T - to vpn-instance, B - black hole route ------------------------------------------------------------------------------ _public_ Routing Table : OSPF Destinations : 5 Routes : 5 OSPF routing table status : <Active> Destinations : 2 Routes : 2 Destination/Mask Proto Pre Cost Flags NextHop Interface 2.2.2.2/32 OSPF 10 1 D 10.1.12.2 Vlanif12 3.3.3.3/32 OSPF 10 1 D 10.1.13.3 Vlanif13 OSPF routing table status : <Inactive> Destinations : 3 Routes : 3 Destination/Mask Proto Pre Cost Flags NextHop Interface 1.1.1.1/32 OSPF 10 0 1.1.1.1 LoopBack0 10.1.12.0/24 OSPF 10 1 10.1.12.1 Vlanif12 [CE2]ping -a 2.2.2.2 3.3.3.3 PING 3.3.3.3: 56 data bytes, press CTRL_C to break Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=15 ms
-
华为PPT上的描述
-
控制器上的操作
控制器在下发互联vlan的时候,会让你输入一个范围,它会自动向下分配
第二步:实现AC跨网段给AP分配地址
PS:无线网络也是通过underlay网络完成的,并不是通过overlay完成的
- 介绍
- AC所属的的VLAN是200,AC为AP分配管理地址
- AP的管理vlan为vlan-100
也就是AC和AP之间是三层的组网,AP的管理地址由AC分配,要求AC上配置DHCP的管理地址池,AP的管理VLAN的网关在CE1上;
-
SW1的配置
# SW1 sys sysn SW1 vlan 100 int g0/0/1 port link-type trunk port trunk allow vlan 100 port trunk pvid vlan 100 int g0/0/2 port link-ty trunk port trunk allow vlan 100
-
CE2的配置
# CE2 vlan 100 int g1/0/0 undo shutdown portsw port link-type trunk port trunk allow vlan 100 # 已经在上一步配置了trunk,并放行了12,所以在这里面加上100即 int g1/0/1 port trunk allow vlan 100
-
CE1的配置,把AP管理网段网关设置在CE上,并且把AC所属的vlan200网段的网关也设置在CE1上
# CE1 vlan 100 int g1/0/0 port trunk allow vlan 100 int vlan 100 # AP1 管理网段的网关 ip add 100.1.1.254 24 vlan 200 int vlan 200 ip add 200.1.1.254 24 int G1/0/2 port link-ty trunk p t a v 200 undo shutdown quit
-
AC的配置
# AC的配置 vlan 200 int vlan 200 ip add 200.1.1.1 24 int g0/0/1 port link-type trunk port trunk allow vlan 200 # 路由 ip route-static 0.0.0.0 0.0.0.0 200.1.1.254 dhcp enable ip pool vlan_100 network 100.1.1.0 mask 24 gateway 100.1.1.254 int vlan 200 dhcp select global
-
CE关于AP-DHCP的配置
# CE1 # 跨网段,必须得用DHCP dhcp enable int vlan 100 dhcp select relay dhcp relay binding server ip 200.1.1.1 # 检查一下AP1是否能获取IP地址
第三步:EVPN的部署
-
介绍
- CE2与CE1建立EVPN连接,CE3也与CE1建立EVPN连接
- CE1同时还要做为反射器
-
CE1的配置
# CE1 ## 全局激活EVPN evpn-overlay enable bgp 123 ## IPV4的单播,用不上,我习惯关上,可以不关,不影响效果 undo default ipv4-unicast peer 10.0.2.2 as-number 123 peer 10.0.3.3 as-number 123 peer 10.0.2.2 connect-interface LoopBack0 peer 10.0.3.3 connect-interface LoopBack0 # 搞EVPN,必须起EVPN地址族 l2vpn-family evpn peer 10.0.2.2 enable y peer 10.0.3.3 enable y # VXLAN内二类的信息是通过IRB这种格式传输的,必须激活一下,否则不接受 peer 10.0.2.2 advertise irb peer 10.0.3.3 advertise irb # CE3是反射器,这没啥好说的 peer 10.0.2.2 reflect-client peer 10.0.3.3 reflect-client quit
-
CE2的配置
# CE2 evpn-overlay enable bgp 123 undo default ipv4-unicast peer 10.0.1.1 as-number 123 peer 10.0.1.1 connect-interface LoopBack0 l2vpn-family evpn peer 10.0.1.1 enable y peer 10.0.1.1 advertise irb quit
-
CE3的配置
# CE3 evpn-overlay enable bgp 123 undo default ipv4-unicast peer 10.0.1.1 as-number 123 peer 10.0.1.1 connect-interface LoopBack0 l2vpn-family evpn peer 10.0.1.1 enable y peer 10.0.1.1 advertise irb quit
-
效果
# 建立了连接 [CE1]dis bgp evpn peer BGP local router ID : 10.0.1.1 Local AS number : 123 Total number of peers : 2 Peers in established state : 2 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 10.0.2.2 4 123 5 6 0 00:02:39 Established 0 10.0.3.3 4 123 4 5 0 00:00:55 Established 0 # EVPN路由表是空的 [CE1]dis bgp evpn all routing-table
注意:
我们在这里面仅仅是建立了EVPN连接,EVPN里面没有传输任何的路由条目,为什么?因为EVPN的路由条目是VXLAN给它提供的,当前VXLAN我们还没做呢!所以EVPN仅仅建立了连接,并没有任何的路由,下一步我们就开始做VXLAN的配置了。
什么样的路由是EVPN路由呢?
正常的路由我们都知道,EVPN路由就承载特殊字段的,根据所承载的特殊字段类型分成了三、四、一、二、五这些路由类型,如果我们要使用的路由类型就是这当中的一种或几种,那就得激活evpn地址族。在当前这个环境当中,我们必须得使用EVPN,因为我们要使用的方案就是通过EVPN给VXLAN赋能,我们要用到三类、二类、五类,三类里面最关键是对应的VNI和VTEP地址(然后也会有RD和RT),用来帮忙VXLAN建立隧道;二类的话专门传MAC地址,五类用来传外部路由。
OVERLAY_VXLAN
目标:实现业务的VXLAN网络接入,并建立动态的VXLAN隧道
无线业务VLAN:VLAN-10
有线业务VLAN:VLAN-20
-
LSW1
# LSW1 ## 由于我们采用直接转发的方式,所以在接入层必须创建业务VLAN ## 如果是集中式转发,接入层是不需要创建业务VLAN的,仅需要有AP的管理VLAN vlan 10 int g0/0/1 port link-type trunk port trunk allow-pass vlan 10 int g0/0/2 port link-type trunk port trunk allow-pass vlan 10
-
CE2
接下来,要在CE2上对VLAN 10 进行VXLAN业务的接入
# CE2 #创建一个BD域10 bridge-domain 10 vxlan vni 1 evpn route-distinguisher 1:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity # 子接口接入,接下来,去g1/0/0上创建二层子接口,接入VLAN int g1/0/0.10 mode l2 encapsulation dot1q vid 10 bridge-domain 10 [CE2]dis evpn vpn-instance Total EVPN-Instances configured : 1 EVPN-Instance Name RD Address-family 10 1:1 evpn
我们在将VXLAN和EVPN结合时,是要将EVPN实例与BD进行绑定,相当于将某个VLAN绑定到EVPN实例当中,这么做的目的是什么呢?我们知道EVPN可以赋能VXLAN,帮助VXLAN完成控制通道的的事情,比如预加载对端站点的MAC地址以及将本端对应VLAN的MAC地址发送给对方,本端的MAC地址如何获取呢?其它就是在BD绑定VLAN时,也要将EVPN实例一并绑上,这样EVPN就能在VXLAN网络与传统网络的交界处截获本端终端的MAC地址,然后通过EVPN发送给对端。在做EVPN的实例时,也要搞RD、RT,这样当数据通过EVPN到达对方之后,才能知道到底给哪个EVPN实例。当然了,再复习一下,带有MAC地址的报文通过哪种报文到达对端呢?BGP UPDATE报文
另外,我们在BD下敲了EVPN,就相当于MPLS VPN当中的import route,作用都是将普通路由转换成EVPN路由,转换完之后才能通过BGP UPDATE TYPE-3 扔给对端。这一步不就相当于MPLS VPN当中IP VPN-INSTANCE配置RD和RT嘛!只不过这里是声明EVPN,也就是声明这是二层的,二层的也要有RD和RT,只不过二层传的MAC地址,而三层传的是路由信息。RD和RT做完之后,就开始信息形成TYPE-3的路由类型。
上述做完之后立马就可以去查看是否产生了TYPE-3的路由信息
[CE2]dis bgp evpn all routing-table
但是你会发现还是没有,原因是什么呢?这里面有了RD、RT、但为什么还没有触发3类的路由类型呢?原因是因为资源还没有收集完成 ,还差一项,那就VTEP的地址。
-
在这个地方EVPN会收集RD、RT、VTPE地址、VNI形成三类路由(VTEP地址在下一个步骤当中才会写)在控制上这里面的RD和RT是可以自动生成的,RT的形成规则是AS:VNI
-
-
LSW2
这一连搞完,我们再搞另一边,另一连是vlan 20,是有线
# LSW2 VLAN 20 INT G0/0/1 PORT link-ty access port d v 20 INT G0/0/2 p l t p t a v 20
-
CE3
# CE3 bridge-domain 20 vxlan vni 2 evpn route-dist 1:2 vpn-target 1:2 int g1/0/0 port link-type trunk un sh int g1/0/0.20 mode l2 encapsulation dot1q vid 20 bridge-domain 20
-
CE1
终端要把自己的报文送到网关上,所以网关上也要有BD域和EVPN实例存在的
# CE1 bridge-domain 10 vxlan vni 1 evpn route-distinguisher 1:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity bridge-doamin 20 vxlan vni 2 evpn route-distinguisher 1:2 vpn-target 1:2 export-extcommunity vpn-target 1:2 import-extcommunity
-
VN创建
# CE1 ip vpn-instance a # 目的是实现一网多用,这就是相当于创建一个VN ipv4-family # rd不写也行 rd 123:1 vlan batch 10 20 # 看清楚了,不是VLANIF,而是VBDIF interface vbdif10 ip binding vpn-instance a ip address 10.1.1.254 255.255.255.0 interface vbdif20 ip binding vpn-instance a ip address 20.1.1.254 255.255.255.0
-
什么是VN?
- VN被称为虚拟网络,也称为overlay网络,VN要在underlay的基础上进行构建
- 在现实规划的时候,一个部门即一个VN
- 所谓园区网当中的一网多用就是通过VN来实现的
- 使用VXLAN能够在underlay网络上构建若干个VN(virtual network)虚拟网络
- VN通过VXLAN技术加上VPN INSTANCE技术隔离实现
- 每个VN都包含如下参数:
- 网络服务资源:DHCP、认证服务器
- 外网网络(是可选的)
- 用户IP地址段、VLAN及网关地址
- 有线接入端口和无线接入点
- 其它参数
-
-
正式激活EVPN传送type-3路由信息,建立VXLAN隧道
# CE2 int nve 1 source 10.0.2.2 # 敲了这一步才意味着你把type-3的路由信息真正补全 vni 1 head-end peer-list protocol bgp # CE3 int nve 1 source 10.0.3.3 vni 2 head-end peer-list protocol bgp # ce1 int nve 1 source 10.0.1.1 vni 1 head-end peer-list protocol bgp vni 2 head-end peer-list protocol bgp
[CE1]dis bgp evpn peer BGP local router ID : 10.0.1.1 Local AS number : 123 Total number of peers : 2 Peers in established state : 2 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 10.0.2.2 4 123 46 50 0 00:34:46 Established 1 10.0.3.3 4 123 45 48 0 00:33:02 Established 1 [CE1]dis bgp evpn all routing-table Local AS number : 123 BGP Local router ID is 10.0.1.1 Status codes: * - valid, > - best, d - damped, x - best external, a - add path, h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete EVPN address family: Number of Inclusive Multicast Routes: 4 Route Distinguisher: 1:1 Network(EthTagId/IpAddrLen/OriginalIp) NextHop *> 0:32:10.0.1.1 0.0.0.0 *>i 0:32:10.0.2.2 10.0.2.2 Route Distinguisher: 1:2 Network(EthTagId/IpAddrLen/OriginalIp) NextHop *> 0:32:10.0.1.1 0.0.0.0 *>i 0:32:10.0.3.3 10.0.3.3 EVPN-Instance 10: Number of Inclusive Multicast Routes: 2 Network(EthTagId/IpAddrLen/OriginalIp) NextHop *> 0:32:10.0.1.1 0.0.0.0 *>i 0:32:10.0.2.2 10.0.2.2 EVPN-Instance 20: Number of Inclusive Multicast Routes: 2 Network(EthTagId/IpAddrLen/OriginalIp) NextHop *> 0:32:10.0.1.1 0.0.0.0 *>i 0:32:10.0.3.3 10.0.3.3 [CE1]dis vxlan tunnel Number of vxlan tunnel : 2 Tunnel ID Source Destination State Type Uptime ----------------------------------------------------------------------------------- 4026531841 10.0.1.1 10.0.2.2 up dynamic 00:06:15 4026531842 10.0.1.1 10.0.3.3 up dynamic 00:03:28
外部资源
DHCP-SERVER 有线
# DHCP SERVER准备业务VLAN的地址池
## 有线和无线的VLAN
ip pool vlan10
gateway-list 10.1.1.254
network 10.1.1.0 mask 255.255.255.0
ip pool vlan20
gateway-list 20.1.1.254
network 20.1.1.0 mask 255.255.255.0
dhcp enable
interface GigabitEthernet0/0/0
ip address 150.150.150.250 255.255.255.0
dhcp select global
# CE1与DHCP对接
ip vpn-instance dhcp_server
ipv4-fami
interface GE1/0/3
undo portswitch
undo shutdown
ip binding vpn-instance dhcp_server
ip address 150.150.150.254 255.255.255.0
[CE1-GE1/0/3]ping -vpn-instance dhcp_server 150.150.150.250
PING 150.150.150.250: 56 data bytes, press CTRL_C to break
Reply from 150.150.150.250: bytes=56 Sequence=1 ttl=255 time=21 ms
Reply from 150.150.150.250: bytes=56 Sequence=2 ttl=255 time=17 ms
# CE1上的DHCP 中继配置
interface vbdif10
dhcp select relay
dhcp relay binding server ip 150.150.150.250 vpn-instance dhcp_server
interface vbdif20
dhcp select relay
dhcp relay binding server ip 150.150.150.250 vpn-instance dhcp_server
# DHCP SERVER的路由配置
ip route-static 0.0.0.0 0.0.0.0 150.150.150.254
# CE1的路由的配置
## 配置一条从DHCP实例里面到DHCP_SERVER的路由
[CE1]ip route-static vpn-instance a 150.150.150.250 32 vpn-instance dhcp_server
## 回包也得有
[CE1]ip route-static vpn-instance dhcp_server 20.1.1.0 24 vpn-instance a
[CE1 ip route-static vpn-instance dhcp_server 10.1.1.0 24 vpn-instance a
# CE3上的别忘记打开
interface GE1/0/0
undo shutdown
port link-type trunk
# 有线 PC 验证
dhcp enable
interface GigabitEthernet0/0/0
ip address dhcp-alloc
<PC>dis ip int bri
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 20.1.1.253/24 up up
到此,有线用户,成功了!
- 易错点
- 接入层交换机配置丢弃
- 路由忘记配置
- 把在CE1vbdif配置成了VLAN-IF
如果你在dhcp server上抓包,还会发现有意思的事情,如下所示:
PS:PC不能做客户端,不行,用路由器模拟,交换机必须上12800,接下来搞无线
DHCP-SERVER 无线
# 创建一个AP组
[AC1]wlan
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]quit
# 配置管理模板,名称我们起为default,配置国家代码cn
[AC1-wlan-view]regulatory-domain-profile name default
[AC1-wlan-regulate-domain-default]country-code cn
[AC1-wlan-regulate-domain-default]quit
# 进入到AP组,将模板加入到AP组当中,如下所示
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
# 全局模式下,配置隧道源地址,其实就是选择哪一个接口IP与AP之间进行交互
# 这个地方使用的协议是CAPWAP协议
capwap source ip-address 200.1.1.1
# 配置AP1
[AC1]wlan
## 配置认证模式,我们选择MAC认证的方式
[AC1-wlan-view]ap auth-mode mac-auth
## 配置上线AP的MAC地址
[AC1-wlan-view]ap-id 1 ap-mac 00e0-fce4-5fc0
## 配置上线AP的名字
[AC1-wlan-ap-1]ap-name AP1
## 将此上线AP放置到哪个组里面
[AC1-wlan-ap-1]ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done
# 配置一个安全模板名为waln-net,使用的时候要输入密码a123457,aes加密方式
[AC1]wlan
[AC1-wlan-view]security-profile name wlan-net
[AC1-wlan-sec-prof-wlan-net]security wpa-wpa2 psk pass-phrase a1234567 aes
[AC1-wlan-sec-prof-wlan-net]quit
# 配置SSID模板,名字也叫wlan-net,SSID的名字为HCIE
[AC1-wlan-view]ssid-profile name wlan-net
[AC1-wlan-ssid-prof-wlan-net]ssid HCIE
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-ssid-prof-wlan-net]quit
# 配置VAP,上两项配置都得从VAP里面调用
[AC1-wlan-view]vap-profile name wlan-net
## 转发方式,直连式转发
[AC1-wlan-vap-prof-wlan-net]forward-mode direct-forward
## 配置业务VLAN是101
[AC1-wlan-vap-prof-wlan-net]service-vlan vlan-id 10
## 调用安全模板和SSID的模板
[AC1-wlan-vap-prof-wlan-net]security-profile wlan-net
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-wlan-net]ssid-profile wlan-net
Info: This operation may take a few seconds, please wait.done.
# 上面配置的VAP,还不能使用,还要应用给AP组
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]vap-profile wlan-net wlan 1 radio all
AP还不能上线,因为AP还不知道AC在哪里,要通过AP的管理地址池告诉AP
[AC1]ip pool vlan_100
[AC1-ip-pool-vlan_100]option 43 sub-option 2 ip-address 200.1.1.1
[AC1-ip-pool-vlan_100]dis th
#
ip pool vlan_100
gateway-list 100.1.1.254
network 100.1.1.0 mask 255.255.255.0
option 43 sub-option 2 ip-address 200.1.1.1
# 校验
[AC1]dis ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [1]
--------------------------------------------------------------------------------
----------
ID MAC Name Group IP Type State STA Uptime
--------------------------------------------------------------------------------
----------
1 00e0-fce4-5fc0 AP1 ap-group1 100.1.1.220 AP2050DN **nor** 0 27S
--------------------------------------------------------------------------------
# CE1做DHCP在VBDIF接口不用做任何操作
[CE1]dhcp enable
[CE1]ip pool vlan10
[CE1-ip-pool-vlan10]vpn-instance a
[CE1-ip-pool-vlan10]gateway-list 10.1.1.254
[CE1-ip-pool-vlan10]network 10.1.1.0 mask 24
# 注意这一步一定要做,不然DHCP的请求报文都无法到达CE1
# 从AP1到CE1沿途所有的接口都要放行VLAN10
同一个VN互通完成!!有线和无线的终端目前都可以正常通信了
VN上网
# 外网路由器配置
<Huawei>sys
[Huawei]sysn internet
[internet]int l0
[internet-LoopBack0]ip add 8.8.8.8 32
[internet-LoopBack0]int g0/0/0
[internet-GigabitEthernet0/0/0]ip add 202.1.1.1 24
Jun 26 2023 17:49:19-08:00 internet %%01IFNET/4/LINK_STATE(l)[0]:The line protoc
ol IP on the interface GigabitEthernet0/0/0 has entered the UP state.
[internet-GigabitEthernet0/0/0]q
[internet]ip route-static 0.0.0.0 0.0.0.0 202.1.1.254
# CE1通外网配置
[CE1-GE1/0/4]dis th
#
interface GE1/0/4
undo portswitch
undo shutdown
ip address 202.1.1.254 255.255.255.0
[CE1]ip route-static 0.0.0.0 0 202.1.1.1
# VN通外网的关键配置
## 在VN当中要指路由,VN当中的数据要给物理机,也就晃public
## CE1
ip route-static vpn-instance a 0.0.0.0 0 202.1.1.1 public
## 还需要一条,物理机到VN的路由
ip route-static 10.1.1.0 24 vbdif10
ip route-static 20.1.1.0 24 vbdif20
# 验证
## 有线无线都能上网了
[AR3_PC]dis ip int bri
[AR3_PC]ping 8.8.8.8
PING 8.8.8.8: 56 data bytes, press CTRL_C to break
Reply from 8.8.8.8: bytes=56 Sequence=1 ttl=254 time=40 ms
Reply from 8.8.8.8: bytes=56 Sequence=2 ttl=254 time=40 ms
Reply from 8.8.8.8: bytes=56 Sequence=3 ttl=254 time=60 ms
Reply from 8.8.8.8: bytes=56 Sequence=4 ttl=254 time=70 ms
Reply from 8.8.8.8: bytes=56 Sequence=5 ttl=254 time=40 ms