标签:GW WLAN 23 GigabitEthernet0 vlan SW 192.168 ACL
简介
Traffic-Filter(ACL)在WLAN应用场景比较适合 在一个企业网络架构中,无线提供多种业务转发,包括给访客Guest的,以及内部员工的,我们希望访客只能访问internet,而内部员工限制则少很多,这时候可以通过在无线上面部署ACL来实现控制,当然其实也可以在三层网关上面做访问控制,但是在无线AP上面直接就Drop了,更加直接。
掌握目标
1、网络初始化(交换机、路由器配置)
2、WLAN业务基本配置(AP上线、AP业务配置,下发业务)
3、直接转发模式下ACL的配置应用与测试
4、隧道转发模式下ACL的配置应用与测试
5、查看AP下发配置
拓扑说明:模拟一个企业无线网络环境,左边AP处于前门大厅主要提供给访问无线接入访问Internet,也同时提供给内部员工接入使用,右边AP只提供给内部员工使用,领导希望当访问接入Guest的SSID的时候,不需要验证,直接接入,并且只能访问Internet网络,不能访问内部网络,而内部员工接入Intranet SSID的时候,需要通过密码认证(实际中更加用dot1x),并且能够访问内部网络,但是希望只能访问服务器,不能访问财务部,同时能访问外网。
管理VLAN 100:192.168.100.0/24 GW 192.168.100.254 AC:192.168.100.1
Guest SSID:VLAN 101:192.168.101.0/24 GW:192.168.101.254
Intranet SSID:VLAN 102:192.168.102.0/24 GW:192.168.102.254
服务器区域:VLAN 99 :192.168.99.0/24 GW:192.168.99.254
财务部: VLAN 88:192.168.88.0/24 GW :192.168.88.254
1、基本网络初始化(交换机与路由器的配置)
说明:对于基本网络初始化不会在做过多说明,前面文章都有详细讲解。关于端口号可以对应拓扑
1.1 交换机配置
[SW]vlan batch 88 99 to 102
[SW]interface g0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
[SW]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port default vlan 100
[SW]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type trunk
[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102
[SW]int g0/0/5
[SW-GigabitEthernet0/0/5]port link-type access
[SW-GigabitEthernet0/0/5]port default vlan 88
[SW]int g0/0/6
[SW-GigabitEthernet0/0/6]port link-type access
[SW-GigabitEthernet0/0/6]port default vlan 99
[SW]dhcp enable
[SW]interface vlan 100
[SW-Vlanif100]ip address 192.168.100.254 24
[SW-Vlanif100]dhcp select interface
[SW]int vlan 101
[SW-Vlanif101]ip address 192.168.101.254 24
[SW-Vlanif101]dhcp select interface
[SW]interface vlan 102
[SW-Vlanif102]ip address 192.168.102.254 24
[SW-Vlanif102]dhcp select interface
[SW]interface vlan 88
[SW-Vlanif88]ip address 192.168.88.254 24
[SW]interface vlan 99
[SW-Vlanif99]ip address 192.168.99.254 24
[SW]int vlan 1 【与路由器对接】
[SW-Vlanif1]ip address 192.168.1.1 30
[SW]ip route-static 0.0.0.0 0 192.168.1.2
1.2 出口路由器配置
[GW]int g0/0/0
[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30
[GW]ip route-static 0.0.0.0 0 202.100.1.2
[GW]ip route-static 192.168.101.0 24 192.168.1.1
[GW]ip route-static 192.168.102.0 24 192.168.1.1
[GW]acl number 3000
[GW-acl-adv-3000]rule permit ip source any
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 3000
2、WLAN的基本业务配置
对于WLAN的基本业务配置,可以之前的文档,这里就不在讲解了。(前面20篇都有详细讲解)
测试下基本网络是否联通的
左边AP提供访客与Intranet的业务转发,这时候一个客户端接入访问网络。
3、直接转发模式下ACL的配置应用与测试
在直接转发模式下ACL限制直接在服务集里面调用即可。
定义了一个ACL 3000,deny了访问内网网段192.168.0.0/16,直接一个大的范围,然后华为的ACL默认是permit any any的。
然后直接调用在服务集下面。
这时候在测试
4、隧道转发模式下ACL的配置应用与测试
在隧道模式下的话,直接可以在WLAN-ESS接口来调用
定义了ACL 3001,限制内网访问财务部,然后直接在WLAN-ESS接口调用即可
测试效果。
5、查看AP得到的配置
为什么就能够实现ACL的效果呢,到低是AP给拒绝的,还是AC上面呢。
该AP(右边这台)可以看到配置里面已经有ACL 3000与3001了,但是它到低应用的哪个呢。
可以看到一个都没有应用,为什么?因为该AP用的是隧道转发模式,由AC来做决断的。
这时候我们在AC上面display查看,可以看到总共匹配了8个包,然后丢弃了8个包,说明是数据从AP发送给AC,然后由AC的wlan-ess接口进行处理。
这时候在看左边的。
可以看到在左边的交换机上面就不一样了,能看到对应的ACL应用,因为它是直接转发的,数据包不会交给AC处理。
所以这里由AP处理。
总结:在常见 的企业无线应用中可能经常会用到ACL技术,可以根据模式的不同来选择在哪部署,并且要了解华为ACL的特性,默认都是允许所有的,这个跟思科不一样。
本文首发于公众号:网络之路博客
标签:GW,WLAN,23,GigabitEthernet0,vlan,SW,192.168,ACL 来源: https://blog.51cto.com/ccieh3c/2650705
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。