初窥Huawei_Campus 解决方案(一)

前言

本实验是简化版的HCIE-DATACOM-CAMPUS解决方案,保留了完整版方案当中的VN、VXLAN、EVPN、DHCP、以及VN上网、无线模块,由于ENSP无法实现策略联动与业务随行,认证相关内容、所以这两部分内容并没有涉及。完整版方案是通过控制器做的,我们这里面使用纯手工的方式模拟,能更好的帮助我们理解完整版的方案。

image-20230627151655974

  • 实验简介
    1. 三台PE之间动态VXLAN,使用集中式网关,互联VLAN分别是VLAN12和VLAN13
    2. AC与AP处于不同的VLAN,AC为AP分配管理地址,AP管理VLAN是100,AC所在网段是VLAN200,采用直连式转发
    3. 无线业务VLAN是VLAN10、有线业务VLAN是VLAN20
    4. dhcp server服务器专门为两个业务VLAN分配IP地址
    5. 最上方的路由器模拟外部网络,要求两个可以网络都可以访问外部网络
    6. 要求两个业务的网关在CE1上,处于同一个VN之下

实验解析

无论是图形化界面操作还是命令行操作,首先就是把underlay网络搞通,这一部分的操作比较简单。我们要通过互联VLAN起OSPF,将环回接口宣告进OSPF,保证三台PE的环回接口可以互通,在这一部分注意三台CE之间的互联接口全设置为trunk并放行互联VLAN。

OSPF部署完成之后,意味着核心基本的承载网络已经部署完成,接下来,我们需要打通CE1与AC之间的网络,两者通过VLAN200连接,在AC上配置地址池,为AP的管理网络(VLAN100)分配地址,AP管理网段的的网关设置成CE1上,CE1要要VLAN100网关上通过DHCP中继将dhcp的请求中继到AC上。连接AP的接入交换机PVID设置为100,这样AP向外发送的数据包就都携带有VLAN100的TAG了,沿途打通AP接入交换机到CE1所有接口,保证AP能正常获取地址。

接下来我们要去做EVPN,为下一步的VXLAN做准备,直接在三台CE上起BGP进程和EVPN子进程,在CE1的BGP打开能行IRB路由和RR的能力,保证EVPN邻居建立正常。

EVPN做好了之后,我们就可以开始做VXLAN了,CE2接入VLAN10进入到BD10,设置VNI为1,在BD视图当中使能EVPN并设置RD、RT,然后再起NVE接口,同样使能BGP;CE3同样的操作,只不过接入是VLAN20,BD20,VNI是2;最后设置CE1,CE要创建两个BD,在BD当中要设置两个EVPN连接以对应CE2和CE3,同样的NVE接口当中的目标连接也要写两个,创建VN并将VBDIF20和VBDIF30都创建在同一个VN当中,保证VXLAN隧道能够连接成功。

最后就是外部资源了,我们先要为有线配置DHCP,由于我们已经有了DHCP的服务器,所以我们只需要在VBDIF接口当中把DHCP请求中继到DHCP SERVER当中就可以了,具体过程我们需要在CE1上开一个DHCP的VRF,通过VRF去对接DHCP SERVER。VBDIF接口中继时绑定与DHCP SERVER对接的VRF,VBDIF对应的VN也要指对接DHCPSERVER的 VRF,DHCP VRF也要指去往VN的路由,这个指路由的时候需要注意方式方法。

至于最后的VN上网,其实没什么好说的,其实就是VN到PUBLIC一个互通,重点是路由,我们也要注意指路由的方式方法。

UNDERLAY

第一步:Underlay-OSPF

先把VXLAN网络依赖的IGP-OSPF网络准入好

先把VXLAN网络依赖的underlay网络环境准备好,其实就是三台CE交换机之间,由于我们使用的是交换机,最好不要直接在交换机接口上配置IP地址,因为这要的话接口的变化就受限了。我们需要使用虚拟vlanif接口去连接,机连接口配置成trunk放行相应的vlan即可。当我们配置好vlanif接口的地址之后,别忘记配置lookback0接口,我们一会还要运行OSPF,所以把环回接口要配置好并且宣告到OSPF当中。

  • 局部拓扑

    image-20230627151717145

    PS:

    PE1与PE2之间配置vlan-12:10.1.12.x

    PE1与PE3之间配置vlan-13:10.1.13.x

  • CE1的基础配置

    # 互联VLAN的配置
    # CE1
    sys i
    sysn CE1
    int l0
    	ip add 10.0.1.1 32
    vlan batch 12 13
    int vlan 12
    	ip add 10.1.12.1 24
    int vlan 13
    	ip add 10.1.13.1 24
    int g1/0/0
    	undo shutdown
    	portsw
    	port link-type trunk
    	port trunk allow vlan 12
    int g1/0/1
    	undo shutdown
    	portsw
    	p l t 
    	port trunk allow vlan 13
    	quit
    	
    
    
  • CE2的基础配置

    # CE2
    sys i
    sysn CE2
    int l0
    	ip add 10.0.2.2 32
    vlan 12
    int vlan 12
    	ip add 10.1.12.2 24
    int g1/0/1
    	undo shutdown
    	portsw
    	port link-type trunk
    	port tr allow vlan 12
    	quit
    
  • CE3的基础配置

    # CE3
    sys i
    sysn CE3
    int l0
    	ip add 10.0.3.3 32
    vlan 13
    int vlan 13
    	ip add 10.1.13.3 24
    int g1/0/1
    	undo shutdown
    	portsw
    	port link-ty trunk
    	port trunk allow vlan 13
    	quit
    
  • OSPF的配置

    # CE1的OSPF的配置
    ospf 1 router-id 10.0.1.1
    a 0
    	network 10.0.1.1 0.0.0.0
    	network 10.1.12.1 0.0.0.0
    	network 10.1.13.1 0.0.0.0
    
    # CE2的OSPF配置
    ospf 1 router-id 10.0.2.2
    a 0
    	network 10.0.2.2 0.0.0.0
    	network 10.1.12.2 0.0.0.0
    
    # CE3的OSPF配置
    ospf 1 router-id 10.0.3.3
    a 0
    	network 10.0.3.3 0.0.0.0
    	network 10.1.13.3 0.0.0.0
    
  • 验证

    [CE1-ospf-1]dis ospf peer brief 
    OSPF Process 1 with Router ID 1.1.1.1
                       Peer Statistic Information
    Total number of peer(s): 2       
     Peer(s) in full state: 2       
    -----------------------------------------------------------------------------
     Area Id         Interface                  Neighbor id          State       
     0.0.0.0         Vlanif12                   2.2.2.2              Full        
     0.0.0.0         Vlanif13                   3.3.3.3              Full        
    -----------------------------------------------------------------------------
    
    [CE1]dis ip routing-table protocol ospf
    Proto: Protocol        Pre: Preference
    Route Flags: R - relay, D - download to fib, T - to vpn-instance, B - black hole
     route
    ------------------------------------------------------------------------------
    _public_ Routing Table : OSPF
             Destinations : 5        Routes : 5         
    
    OSPF routing table status : <Active>
             Destinations : 2        Routes : 2         
    
    Destination/Mask    Proto   Pre  Cost        Flags NextHop         Interface
    
            2.2.2.2/32  OSPF    10   1             D   10.1.12.2       Vlanif12
            3.3.3.3/32  OSPF    10   1             D   10.1.13.3       Vlanif13
    
    OSPF routing table status : <Inactive>
             Destinations : 3        Routes : 3         
    
    Destination/Mask    Proto   Pre  Cost        Flags NextHop         Interface
    
            1.1.1.1/32  OSPF    10   0                 1.1.1.1         LoopBack0
          10.1.12.0/24  OSPF    10   1                 10.1.12.1       Vlanif12
    
    [CE2]ping -a 2.2.2.2 3.3.3.3
      PING 3.3.3.3: 56  data bytes, press CTRL_C to break
        Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=15 ms
    
  • 华为PPT上的描述

    image-20230627151730715

  • 控制器上的操作

    控制器在下发互联vlan的时候,会让你输入一个范围,它会自动向下分配

    image-20230627151739082

第二步:实现AC跨网段给AP分配地址

PS:无线网络也是通过underlay网络完成的,并不是通过overlay完成的

  • 介绍
    • AC所属的的VLAN是200,AC为AP分配管理地址
    • AP的管理vlan为vlan-100

也就是AC和AP之间是三层的组网,AP的管理地址由AC分配,要求AC上配置DHCP的管理地址池,AP的管理VLAN的网关在CE1上;

  • SW1的配置

    # SW1
    sys
    sysn SW1
    vlan 100
    int g0/0/1
    	port link-type trunk
    	port trunk allow vlan 100
    	port trunk pvid vlan 100
    int g0/0/2
    	port link-ty trunk
    	port trunk allow vlan 100
    
  • CE2的配置

    # CE2
    vlan 100
    int g1/0/0
    	undo shutdown
    	portsw
    	port link-type trunk
    	port trunk allow vlan 100
    # 已经在上一步配置了trunk,并放行了12,所以在这里面加上100即
    int g1/0/1  
    	port trunk allow vlan 100    
    
    
  • CE1的配置,把AP管理网段网关设置在CE上,并且把AC所属的vlan200网段的网关也设置在CE1上

    # CE1
    	vlan 100
    	int g1/0/0
    		port trunk allow vlan 100
    	int vlan 100
    		# AP1 管理网段的网关
    		ip add 100.1.1.254 24  
    	vlan 200
    	int vlan 200
    			ip add 200.1.1.254 24
    	int G1/0/2
    		port link-ty trunk
    		p t a v 200
    		undo shutdown
    		quit
    
  • AC的配置

    # AC的配置
    vlan 200
    int vlan 200
    	ip add 200.1.1.1 24
    int g0/0/1
    	port link-type trunk
    	port trunk allow vlan 200
     # 路由
    ip route-static 0.0.0.0 0.0.0.0 200.1.1.254
    dhcp enable
    ip pool vlan_100
    		network 100.1.1.0 mask 24
    		gateway 100.1.1.254
    int vlan 200          
    	dhcp select global
    
    
  • CE关于AP-DHCP的配置

    # CE1    # 跨网段,必须得用DHCP
    dhcp enable
    int vlan 100
    	dhcp select relay
    	dhcp relay binding server ip 200.1.1.1
    # 检查一下AP1是否能获取IP地址
    

第三步:EVPN的部署

  • 介绍

    • CE2与CE1建立EVPN连接,CE3也与CE1建立EVPN连接
    • CE1同时还要做为反射器
  • CE1的配置

    # CE1
    ## 全局激活EVPN
    evpn-overlay enable
    bgp 123
     ## IPV4的单播,用不上,我习惯关上,可以不关,不影响效果
     undo default ipv4-unicast
     peer 10.0.2.2 as-number 123
     peer 10.0.3.3 as-number 123
     peer 10.0.2.2 connect-interface LoopBack0
     peer 10.0.3.3 connect-interface LoopBack0
     # 搞EVPN,必须起EVPN地址族 
     l2vpn-family evpn
      peer 10.0.2.2 enable
    	y
    	peer 10.0.3.3 enable
    	y
    	# VXLAN内二类的信息是通过IRB这种格式传输的,必须激活一下,否则不接受
      peer 10.0.2.2 advertise irb
      peer 10.0.3.3 advertise irb
    	# CE3是反射器,这没啥好说的
      peer 10.0.2.2 reflect-client
    	peer 10.0.3.3 reflect-client
    	quit
    
  • CE2的配置

    # CE2
    evpn-overlay enable
    bgp 123
     undo default ipv4-unicast
     peer 10.0.1.1 as-number 123
     peer 10.0.1.1 connect-interface LoopBack0
    
     l2vpn-family evpn
      peer 10.0.1.1 enable
    	y
      peer 10.0.1.1 advertise irb
    	quit
    
    
  • CE3的配置

    # CE3
    evpn-overlay enable
    bgp 123
     undo default ipv4-unicast
     peer 10.0.1.1 as-number 123
     peer 10.0.1.1 connect-interface LoopBack0
    
     l2vpn-family evpn
      peer 10.0.1.1 enable
    	y
      peer 10.0.1.1 advertise irb
    	quit
    
  • 效果

    # 建立了连接
    [CE1]dis bgp evpn peer
     BGP local router ID        : 10.0.1.1
     Local AS number            : 123
     Total number of peers      : 2
     Peers in established state : 2
    
      Peer            V          AS  MsgRcvd  MsgSent  OutQ  Up/Down       State  PrefRcv
      10.0.2.2        4         123        5        6     0 00:02:39 Established        0
      10.0.3.3        4         123        4        5     0 00:00:55 Established        0
    
    # EVPN路由表是空的
    [CE1]dis bgp evpn all routing-table
    

    image-20230627151749604

注意:

我们在这里面仅仅是建立了EVPN连接,EVPN里面没有传输任何的路由条目,为什么?因为EVPN的路由条目是VXLAN给它提供的,当前VXLAN我们还没做呢!所以EVPN仅仅建立了连接,并没有任何的路由,下一步我们就开始做VXLAN的配置了。

什么样的路由是EVPN路由呢?

正常的路由我们都知道,EVPN路由就承载特殊字段的,根据所承载的特殊字段类型分成了三、四、一、二、五这些路由类型,如果我们要使用的路由类型就是这当中的一种或几种,那就得激活evpn地址族。在当前这个环境当中,我们必须得使用EVPN,因为我们要使用的方案就是通过EVPN给VXLAN赋能,我们要用到三类、二类、五类,三类里面最关键是对应的VNI和VTEP地址(然后也会有RD和RT),用来帮忙VXLAN建立隧道;二类的话专门传MAC地址,五类用来传外部路由。

OVERLAY_VXLAN

目标:实现业务的VXLAN网络接入,并建立动态的VXLAN隧道

无线业务VLAN:VLAN-10

有线业务VLAN:VLAN-20

  • LSW1

    # LSW1
    ## 由于我们采用直接转发的方式,所以在接入层必须创建业务VLAN
    ## 如果是集中式转发,接入层是不需要创建业务VLAN的,仅需要有AP的管理VLAN
    vlan 10
    int g0/0/1
    	port link-type trunk
    	port trunk allow-pass vlan 10
    int g0/0/2
    	port link-type trunk
    	port trunk allow-pass vlan 10
    
  • CE2

    接下来,要在CE2上对VLAN 10 进行VXLAN业务的接入

    # CE2
    #创建一个BD域10
    bridge-domain 10
    	vxlan vni 1
    	evpn
    	  route-distinguisher 1:1
    	  vpn-target 1:1 export-extcommunity
    	  vpn-target 1:1 import-extcommunity
    # 子接口接入,接下来,去g1/0/0上创建二层子接口,接入VLAN
    int g1/0/0.10 mode l2
    	encapsulation dot1q vid 10
    	bridge-domain 10
    
    [CE2]dis evpn vpn-instance 
     Total EVPN-Instances configured      : 1
    
      EVPN-Instance Name              RD                    Address-family
      10                              1:1                   evpn
    

    我们在将VXLAN和EVPN结合时,是要将EVPN实例与BD进行绑定,相当于将某个VLAN绑定到EVPN实例当中,这么做的目的是什么呢?我们知道EVPN可以赋能VXLAN,帮助VXLAN完成控制通道的的事情,比如预加载对端站点的MAC地址以及将本端对应VLAN的MAC地址发送给对方,本端的MAC地址如何获取呢?其它就是在BD绑定VLAN时,也要将EVPN实例一并绑上,这样EVPN就能在VXLAN网络与传统网络的交界处截获本端终端的MAC地址,然后通过EVPN发送给对端。在做EVPN的实例时,也要搞RD、RT,这样当数据通过EVPN到达对方之后,才能知道到底给哪个EVPN实例。当然了,再复习一下,带有MAC地址的报文通过哪种报文到达对端呢?BGP UPDATE报文

    另外,我们在BD下敲了EVPN,就相当于MPLS VPN当中的import route,作用都是将普通路由转换成EVPN路由,转换完之后才能通过BGP UPDATE TYPE-3 扔给对端。这一步不就相当于MPLS VPN当中IP VPN-INSTANCE配置RD和RT嘛!只不过这里是声明EVPN,也就是声明这是二层的,二层的也要有RD和RT,只不过二层传的MAC地址,而三层传的是路由信息。RD和RT做完之后,就开始信息形成TYPE-3的路由类型。

    上述做完之后立马就可以去查看是否产生了TYPE-3的路由信息

    [CE2]dis bgp evpn all routing-table
    

    但是你会发现还是没有,原因是什么呢?这里面有了RD、RT、但为什么还没有触发3类的路由类型呢?原因是因为资源还没有收集完成 ,还差一项,那就VTEP的地址。

    • 在这个地方EVPN会收集RD、RT、VTPE地址、VNI形成三类路由(VTEP地址在下一个步骤当中才会写)在控制上这里面的RD和RT是可以自动生成的,RT的形成规则是AS:VNI

      image-20230627151818381

      image-20230627151827227

      image-20230627151834191

      image-20230627151843180

      image-20230627151852449

  • LSW2

    这一连搞完,我们再搞另一边,另一连是vlan 20,是有线

    # LSW2
    VLAN 20
    	INT G0/0/1
    			PORT link-ty access
    			port d v 20
    INT G0/0/2
    			p l t
    			p t a v 20
    
    
  • CE3

    # CE3
    bridge-domain 20
    	vxlan vni 2
    	evpn
    		route-dist 1:2
    		vpn-target 1:2
    int g1/0/0
    	port link-type trunk
    	un sh
    int g1/0/0.20 mode l2
    	encapsulation dot1q vid 20
    	bridge-domain 20
    
  • CE1

    终端要把自己的报文送到网关上,所以网关上也要有BD域和EVPN实例存在的

    # CE1
    bridge-domain 10
     vxlan vni 1
     evpn
      route-distinguisher 1:1
      vpn-target 1:1 export-extcommunity
      vpn-target 1:1 import-extcommunity
    
    bridge-doamin 20
    	vxlan vni 2
    	evpn
    	  route-distinguisher 1:2
    	  vpn-target 1:2 export-extcommunity
    	  vpn-target 1:2 import-extcommunity
    
  • VN创建

    # CE1
    ip vpn-instance a   # 目的是实现一网多用,这就是相当于创建一个VN
    	ipv4-family
    	# rd不写也行
    	rd 123:1          
    
    vlan batch 10 20
    # 看清楚了,不是VLANIF,而是VBDIF
    interface vbdif10
     ip binding vpn-instance a
     ip address 10.1.1.254 255.255.255.0
    interface vbdif20
     ip binding vpn-instance a
     ip address 20.1.1.254 255.255.255.0
    
    • 什么是VN?

      image-20230627151909232

      • VN被称为虚拟网络,也称为overlay网络,VN要在underlay的基础上进行构建
      • 在现实规划的时候,一个部门即一个VN
      • 所谓园区网当中的一网多用就是通过VN来实现的
      • 使用VXLAN能够在underlay网络上构建若干个VN(virtual network)虚拟网络
      • VN通过VXLAN技术加上VPN INSTANCE技术隔离实现
      • 每个VN都包含如下参数:
        • 网络服务资源:DHCP、认证服务器
        • 外网网络(是可选的)
        • 用户IP地址段、VLAN及网关地址
        • 有线接入端口和无线接入点
        • 其它参数
  • 正式激活EVPN传送type-3路由信息,建立VXLAN隧道

    # CE2
    int nve 1
    	source 10.0.2.2
    	# 敲了这一步才意味着你把type-3的路由信息真正补全
    	vni 1 head-end peer-list protocol bgp  
    # CE3
    int nve 1
    	source 10.0.3.3
    	vni 2 head-end peer-list protocol bgp 
    
    # ce1
    int nve 1
    	source 10.0.1.1
    	vni 1 head-end peer-list protocol bgp
    	vni 2 head-end peer-list protocol bgp
    

    image-20230627151918622

    [CE1]dis bgp evpn peer
     BGP local router ID        : 10.0.1.1
     Local AS number            : 123
     Total number of peers      : 2
     Peers in established state : 2
    
      Peer            V          AS  MsgRcvd  MsgSent  OutQ  Up/Down       State  PrefRcv
      10.0.2.2        4         123       46       50     0 00:34:46 Established        1
      10.0.3.3        4         123       45       48     0 00:33:02 Established        1
    
    [CE1]dis bgp evpn all routing-table 
     Local AS number : 123
    
     BGP Local router ID is 10.0.1.1
     Status codes: * - valid, > - best, d - damped, x - best external, a - add path,
                   h - history,  i - internal, s - suppressed, S - Stale
                   Origin : i - IGP, e - EGP, ? - incomplete
    
      
     EVPN address family:
      Number of Inclusive Multicast Routes: 4
     Route Distinguisher: 1:1
           Network(EthTagId/IpAddrLen/OriginalIp)                 NextHop
     *>    0:32:10.0.1.1                                          0.0.0.0
     *>i   0:32:10.0.2.2                                          10.0.2.2
     Route Distinguisher: 1:2
           Network(EthTagId/IpAddrLen/OriginalIp)                 NextHop
     *>    0:32:10.0.1.1                                          0.0.0.0
     *>i   0:32:10.0.3.3                                          10.0.3.3
    
       EVPN-Instance 10:
      
     Number of Inclusive Multicast Routes: 2
           Network(EthTagId/IpAddrLen/OriginalIp)                 NextHop
     *>    0:32:10.0.1.1                                          0.0.0.0
     *>i   0:32:10.0.2.2                                          10.0.2.2
    
       EVPN-Instance 20:
      
     Number of Inclusive Multicast Routes: 2
           Network(EthTagId/IpAddrLen/OriginalIp)                 NextHop
     *>    0:32:10.0.1.1                                          0.0.0.0
     *>i   0:32:10.0.3.3                                          10.0.3.3
    
    [CE1]dis vxlan tunnel 
    Number of vxlan tunnel : 2
    Tunnel ID   Source                Destination           State  Type     Uptime
    -----------------------------------------------------------------------------------
    4026531841  10.0.1.1              10.0.2.2              up     dynamic  00:06:15  
    4026531842  10.0.1.1              10.0.3.3              up     dynamic  00:03:28
    

外部资源

DHCP-SERVER 有线

image-20230627151933617

# DHCP SERVER准备业务VLAN的地址池
## 有线和无线的VLAN
ip pool vlan10
 gateway-list 10.1.1.254 
 network 10.1.1.0 mask 255.255.255.0
ip pool vlan20
 gateway-list 20.1.1.254 
 network 20.1.1.0 mask 255.255.255.0

dhcp enable
interface GigabitEthernet0/0/0
 ip address 150.150.150.250 255.255.255.0 
 dhcp select global

# CE1与DHCP对接
ip vpn-instance dhcp_server
 ipv4-fami
interface GE1/0/3
 undo portswitch
 undo shutdown
 ip binding vpn-instance dhcp_server
 ip address 150.150.150.254 255.255.255.0

[CE1-GE1/0/3]ping -vpn-instance dhcp_server 150.150.150.250
  PING 150.150.150.250: 56  data bytes, press CTRL_C to break
    Reply from 150.150.150.250: bytes=56 Sequence=1 ttl=255 time=21 ms
    Reply from 150.150.150.250: bytes=56 Sequence=2 ttl=255 time=17 ms
# CE1上的DHCP 中继配置
interface vbdif10
 dhcp select relay
 dhcp relay binding server ip 150.150.150.250 vpn-instance dhcp_server
interface vbdif20
 dhcp select relay
 dhcp relay binding server ip 150.150.150.250 vpn-instance dhcp_server
# DHCP SERVER的路由配置
ip route-static 0.0.0.0 0.0.0.0 150.150.150.254

# CE1的路由的配置
## 配置一条从DHCP实例里面到DHCP_SERVER的路由
[CE1]ip route-static vpn-instance a 150.150.150.250 32 vpn-instance dhcp_server
## 回包也得有
[CE1]ip route-static vpn-instance dhcp_server 20.1.1.0 24 vpn-instance a
[CE1 ip route-static vpn-instance dhcp_server 10.1.1.0 24 vpn-instance a
# CE3上的别忘记打开
interface GE1/0/0
 undo shutdown
 port link-type trunk

# 有线 PC 验证
dhcp enable
interface GigabitEthernet0/0/0
 ip address dhcp-alloc
<PC>dis ip int bri
Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              20.1.1.253/24        up         up        

到此,有线用户,成功了!

  • 易错点
    • 接入层交换机配置丢弃
    • 路由忘记配置
    • 把在CE1vbdif配置成了VLAN-IF

如果你在dhcp server上抓包,还会发现有意思的事情,如下所示:

image-20230627151945119

PS:PC不能做客户端,不行,用路由器模拟,交换机必须上12800,接下来搞无线

DHCP-SERVER 无线

# 创建一个AP组
[AC1]wlan
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]quit

# 配置管理模板,名称我们起为default,配置国家代码cn
[AC1-wlan-view]regulatory-domain-profile name default 
[AC1-wlan-regulate-domain-default]country-code cn
[AC1-wlan-regulate-domain-default]quit

# 进入到AP组,将模板加入到AP组当中,如下所示
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y

# 全局模式下,配置隧道源地址,其实就是选择哪一个接口IP与AP之间进行交互
# 这个地方使用的协议是CAPWAP协议
capwap source ip-address 200.1.1.1

# 配置AP1
[AC1]wlan
## 配置认证模式,我们选择MAC认证的方式
[AC1-wlan-view]ap auth-mode mac-auth
## 配置上线AP的MAC地址
[AC1-wlan-view]ap-id 1 ap-mac 00e0-fce4-5fc0
## 配置上线AP的名字
[AC1-wlan-ap-1]ap-name AP1
## 将此上线AP放置到哪个组里面
[AC1-wlan-ap-1]ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done
# 配置一个安全模板名为waln-net,使用的时候要输入密码a123457,aes加密方式
[AC1]wlan
[AC1-wlan-view]security-profile name wlan-net
[AC1-wlan-sec-prof-wlan-net]security wpa-wpa2 psk pass-phrase a1234567 aes
[AC1-wlan-sec-prof-wlan-net]quit

# 配置SSID模板,名字也叫wlan-net,SSID的名字为HCIE
[AC1-wlan-view]ssid-profile name wlan-net
[AC1-wlan-ssid-prof-wlan-net]ssid HCIE
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-ssid-prof-wlan-net]quit

# 配置VAP,上两项配置都得从VAP里面调用
[AC1-wlan-view]vap-profile name wlan-net
## 转发方式,直连式转发
[AC1-wlan-vap-prof-wlan-net]forward-mode direct-forward
## 配置业务VLAN是101
[AC1-wlan-vap-prof-wlan-net]service-vlan vlan-id 10
## 调用安全模板和SSID的模板
[AC1-wlan-vap-prof-wlan-net]security-profile wlan-net
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-wlan-net]ssid-profile wlan-net
Info: This operation may take a few seconds, please wait.done.

# 上面配置的VAP,还不能使用,还要应用给AP组
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]vap-profile wlan-net wlan 1 radio all

AP还不能上线,因为AP还不知道AC在哪里,要通过AP的管理地址池告诉AP

[AC1]ip pool vlan_100 
[AC1-ip-pool-vlan_100]option 43 sub-option 2 ip-address 200.1.1.1
[AC1-ip-pool-vlan_100]dis th
#
ip pool vlan_100
 gateway-list 100.1.1.254 
 network 100.1.1.0 mask 255.255.255.0 
 option 43 sub-option 2 ip-address 200.1.1.1
# 校验
[AC1]dis ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor  : normal          [1]
--------------------------------------------------------------------------------
----------
ID   MAC            Name Group     IP          Type            State STA Uptime
--------------------------------------------------------------------------------
----------
1    00e0-fce4-5fc0 AP1  ap-group1 100.1.1.220 AP2050DN        **nor**   0   27S
--------------------------------------------------------------------------------

image-20230627151959592

# CE1做DHCP在VBDIF接口不用做任何操作
[CE1]dhcp enable
[CE1]ip pool vlan10
[CE1-ip-pool-vlan10]vpn-instance a
[CE1-ip-pool-vlan10]gateway-list 10.1.1.254 
[CE1-ip-pool-vlan10]network 10.1.1.0 mask 24

# 注意这一步一定要做,不然DHCP的请求报文都无法到达CE1
# 从AP1到CE1沿途所有的接口都要放行VLAN10

同一个VN互通完成!!有线和无线的终端目前都可以正常通信了

VN上网

# 外网路由器配置
<Huawei>sys
[Huawei]sysn internet
[internet]int l0
[internet-LoopBack0]ip add 8.8.8.8 32
[internet-LoopBack0]int g0/0/0
[internet-GigabitEthernet0/0/0]ip add 202.1.1.1 24
Jun 26 2023 17:49:19-08:00 internet %%01IFNET/4/LINK_STATE(l)[0]:The line protoc
ol IP on the interface GigabitEthernet0/0/0 has entered the UP state. 
[internet-GigabitEthernet0/0/0]q
[internet]ip route-static 0.0.0.0 0.0.0.0 202.1.1.254
# CE1通外网配置
[CE1-GE1/0/4]dis th
#
interface GE1/0/4
 undo portswitch
 undo shutdown
 ip address 202.1.1.254 255.255.255.0
[CE1]ip route-static 0.0.0.0 0 202.1.1.1
# VN通外网的关键配置
## 在VN当中要指路由,VN当中的数据要给物理机,也就晃public
## CE1
ip route-static vpn-instance a 0.0.0.0 0 202.1.1.1 public
## 还需要一条,物理机到VN的路由
ip route-static 10.1.1.0 24  vbdif10
ip route-static 20.1.1.0 24  vbdif20
# 验证
## 有线无线都能上网了
[AR3_PC]dis ip int bri 
[AR3_PC]ping 8.8.8.8
  PING 8.8.8.8: 56  data bytes, press CTRL_C to break
    Reply from 8.8.8.8: bytes=56 Sequence=1 ttl=254 time=40 ms
    Reply from 8.8.8.8: bytes=56 Sequence=2 ttl=254 time=40 ms
    Reply from 8.8.8.8: bytes=56 Sequence=3 ttl=254 time=60 ms
    Reply from 8.8.8.8: bytes=56 Sequence=4 ttl=254 time=70 ms
    Reply from 8.8.8.8: bytes=56 Sequence=5 ttl=254 time=40 ms

image-20230627152009238

posted @ 2020-05-08 20:33  张贺贺呀  阅读(513)  评论(0编辑  收藏  举报