文章目录
- 分支无线部署
- 总部空调配置
- 部门安全部署
- QOS速度限制[每个IP的速度限制,包括上传和下载]
- 解释
分支无线部署
描述:分公司无线部署瘦AP,瘦AP通过VPN直接注册在总部的AC上,实现无线服务提供,一个部署在AC上,可以在AP和AC失去联系后,继续不间断为客户提供服务。
总部空调配置
(1)AP在线配置
首先,AP通过DHCP服务器获得了IP地址。
可以看到AC在AP上可以正常访问。
您可以看到有一个未经认证的未授权AP。在这里,你可以使用另一种方法在网上获得它。
这里AP在线。
(2)WMM,Radius射频管理[AC 6605]WLAN[AC 6605-WLAN-查看]WMM-配置文件名称分支
[AC 6605-WLAN-view]radio-profile name branch[AC 6605-WLAN-radio-prof-branch]WMM-profile name branch说明:对于分支机构,建议创建单独的策略,以便于后续单独策略的实施。
(3)安全模板和流量模板的定义[ac6605-WLAN-view]安全-配置文件名称分支[ac6605-WLAN-sec-prof-branch]安全-策略wpa 2[AC 6605-WLAN-sec-prof-branch]wpa 2认证-方法psk密码短语简单ccieh3c.taobao.com加密-方法tkip
[AC 6605-WLAN-view]traffic-profile名称分支描述:对于分支,建议创建单独的策略,以便于后续单独策略的实施。
(4)WLAN-ESS接口[某深生活网C6605]接口WLAN-ESS 0 [AC 6605-WLAN-ESS 0]端口混合未标记VLAN 3描述:定义分散式WLAN-DBSS接口不标记VLAN 3。
(5)服务集定义[ac6605-WLAN-view]服务集名称分支[AC 6605-WLAN-service-set-branch]服务-VLAN 3[AC 6605-WLAN-service-set-branch]ssid SOHO[AC 6605-WLAN-service-set-branch]WLAN-ess 0[AC 6605-WLAN-service-set-branch]流量-配置文件名称分支[AC 6605-WLAN-service-set-branch]安全-配置文件名称分支[AC 6605-AC
(6)呼叫[AC 6605-WLAN-View]ap0r 0[AC 6605-WLAN-Radio-0/0]Radio-profile name branch[AC 6605-WLAN-Radio-0/0]Service-set name branch by射频
(7)去中心化服务[AC6605-wlan-radio-0/0]com ap 0描述:只有最终去中心化的服务才能正常提供。
(8)结果检查
可以看到AP已经正常接收到WLAN-BSS接口的信息,并标记上行接口。
输入密码后连接。
可以看出,获得了地址,可以访问网关。
可以看到,在H3C的出口路由器上有相应的NAT转换项。
注意,总部需要有172.16.3.0的网络接入,因为根本不需要接入,而且默认AP的转发方式是本地转发,没有必要把所有流量都发给总部。
(9)定义与交流失去联系后,仍能正常工作。[AC 6605-WLAN-view]AP id 0[AC 6605-WLAN-AP-0]keep-service enable allow new-access[AC 6605-WLAN-AP-0]com AP 0
注意:在分公司的情况下,这个功能一定要打开,因为很有可能总部和分公司的VPN会断开,导致AC和分公司AP失去联系。一旦失去联系,CAPWAP的链接将被断开,这将导致业务停止。该功能开启后,即使失去联系,仍能正常工作并访问新用户。
部门安全部署
(1)H3C端口安全部署[branch-SW-a]port-group manual 1[branch-SW-a-port-group-manual-1]port-isolate enable说明:具有端口隔离的接口不允许相互访问,在这种情况下,即使终端受到攻击或中毒,也不会影响其他PC。
(2)DHCP Snooping,ip源guead和DAI说明:这些功能就不做过多介绍了。他们之前已经在总部部署过,所以这就是H3C上面的区别。
DHCP窥探技术
[Branch-sw-A]dhcp启用[Branch-sw-A]dhcp侦听
【Branch-SW-A】接口E0/4/6【Branch-SW-A-Ethernet 0/4/6】dhcp-snooping信任描述:你只需要启动DHCP服务和dhcp-snooping,然后在上行定义为信任,其余默认为Untrust。
DAI功能部署
[Branch-sw-A]arp检测验证ip src-mac dst-mac
[Branch-SW-A]VLAN 1[Branch-SW-A-VLAN 1]ARP检测使能
[Branch-SW-A]int E0/4/6[Uplink][Branch-SW-A-Ethernet 0/4/6]ARP检测信任描述:第一个命令是开启IP、源、目的MAC的检查,然后开启相应VLAN下的检测功能。对于上行,需要信任,否则无法与上行沟通。
Ip源保护
【branch-SW-a】inte 0/4/1【branch-SW-a-Ethernet 0/4/0】IP检查源IP-address MAC-address描述:该接口启用源IP和MAC地址检查,即如果只有一个不匹配,则直接丢弃。注意,所有访问用户的界面都需要在这里打开。
(3)IP和MAC地址绑定技术[branch-SW-a]接口E0/4/0[branch-SW-a-Ethernet 0/4/0]用户绑定IP地址192.168.1.2 MAC地址0001-2200-3200 VLAN 1描述
(4)路由器的NAT连接限制
[GW]acl编号2001[GW-ACL-basic-2001]规则允许源172.16.0.0 0.0.255.255
[GW]连接限制策略1[GW-connection-limit-policy-1]限制1 acl 2001每源数量1000 600
【GW】NAT connection-limit-policy 1说明:NAT连接数的限制可以限制BT的数量很少。这里的定义是指ACL中每个IP地址的连接数,每个IP的连接数保证为600,最多1000。正常情况下,流量的突发是可以限制的。
QOS速度限制[每个IP的速度限制,包括上传和下载]
[GW]qos carl 1目的ip地址子网172.16.1.0 24每地址[GW]qos carl 2目的ip地址子网172.16.2.0 24每地址[GW] qos carl 3目的ip地址子网172.16.3.0 24每地址[GW]qos carl 4目的ip地址子网172.16.4.0 24每地址[GW] qos carl 5目的ip地址子网172.16.4
[GW]qos carl 6源地址子网172.16.1.0 24每地址[GW]qos carl 7源地址子网172.16.2.0 24每地址[GW] qos carl 8源地址子网172.16.3.0 24每地址[GW]qos carl 9源地址子网172.16.4.0 24每地址[GW]qos carl 10源地址子网
接口Gigabit Ethernet 0/0/2[GW-GigabitEthernet0/0/2]qos汽车出站卡尔1 cir 200000 cbs 200000绿色通行证[GW-Gigabit Ethernet 0/0/2]qos汽车出站卡尔2 Cir 200000 CBS 200000绿色通行证[GW-千兆深圳生活网以太网0/0/2]QoS汽车出站卡尔3 cir 200000 cbs 20000绿色通行证 qos汽车入站卡尔7 cir 100000 cbs 200000绿色通行证[GW-GigabitEthernet0/0/2] qos汽车入站卡尔8 cir 100000 cbs 200000绿色通行证[GW-GigabitEthernet0/0/2] qos汽车入站卡尔9 cir 100000 cbs 200000绿色通行证[GW-GigabitEthernet0/0/2]qos汽车入站卡尔10 cir 100000
说明:下载速率定义了两个卡尔1~5网段,上传定义了6~10网段。在内网接口下调用时,我们可以看到下载是出站的。为什么是出站?因为下载流量是从ISP到内网,所以是目的地址,通过外部接口入站,到达内部接口就是出站。上传则相反。
解释
实战系列更新至今。希望对你有帮助。如果觉得不错,可以点击,暂停,评论,转发一波。博主们会尽力推出更好的系列文档。谢谢大家的支持!!
如有疑问或文中有错误或遗漏,欢迎留言指出,博主们一看到就会修改。谢谢你的支持。更多技术文章都在互联网路博,版权归互联网路博所有。原创不易,侵权必究。