SSID绑定VLAN讲解-LGppt课件.ppt

2016年5月18日编制 FITAP系统的SSID绑定VLAN 1 需求背景 常见的项目原始需求汇总 1 AP可以创建多个SSID 并且针对不同的SSID有不同的网络权限 2 AC和AP之间的管理业务和数据业务需要走不同的通道 相互不影响 3 AP处于不同的VLAN中 但是相同的SSID需要处于一个VLAN Page2 需求分析 需求一 AP可以创建多个SSID 并且针对不同的SSID有不同的网络权限在DHCP环境中 网关设备通常是根据IP地址来做行为管控 所以我们就需要不同的SSID下的用户 是在不同的网段中 或者子网 例如餐馆中创建2个SSID 一个SSID用来给客户上网 做微信认证 另外一个SSID用来进行内部点餐系统使用 无网络权限 这两个SSID之间的用户不能相互访问 企业中 需要1个AP发射2个SSID 一个供员工内部使用 另外一个SSID供访客使用 访客不能访问内部的服务器等 增强网络的安全性 Page3 需求分析 需求二 管理业务和数据业务分离开来AP AC的管理业务和用户的上网数据要分开来 各走各的通道 相互之间不影响 例如在一些大型的运营型的项目中 要求AP和AC的管理走VLAN2 普通的上网数据走VLAN3 Page4 需求分析 需求三 AP处于不同的VLAN 相同的SSID需要在同一个VLAN例如AP在分布在VLAN2 VLAN5的网络环境中 但是这些AP都创建了一个XXXX的SSID 并且需要这个XXXX的SSID下的用户 有着相同的网络权限 Page5 技术实现 一 无线网络中运行02 1QVLAN这一技术达到该目的 二 802 1QVLAN常见运行于交换机网络中 三 在无线网络中 是把SSID当做交换机中的端口 实现SSID和VLAN的绑定 SSID绑定VLAN 实质上就是交换机上的802 1QVLAN的另外一种应用 Page6 设备需求 一 交换机功能需求 1 在SSID绑定VLAN的环境中 从核心交换机到接AP的接入交换机 包含POE交换机 必须支持802 1QVLAN 2 POE注入器 不建议使用有些厂家的POE注入器内部是采用了一个简单的傻瓜交换芯片 相当于1个2口的傻瓜交换机 会导致不通 Page7 设备需求 二 出口网关需求 没有三层交换机的环境 1 网关支持单臂路由 2 或者网关支持多个LAN口 并且不同LAN口配置不同的网段 3 我们的X86和7621网关属于第2种模式注意 在第2种模式下 支持的VLAN绑定SSID 取决于独立LAN口的数量 Page8 设备需求 三 出口网关需求 有三层交换机的环境 1 网关支持配置静态路由 2 支持配置多个网段的nat 3 我们的X86和7621网关默认已经配置好所有的网段的nat 所以只需要配置静态路由就行注意 在有三层交换机的环境中 SSID绑定VLAN取决于AP软件支持的数量 目前我们的9531支持8个SSID绑定VLAN Page9 设备需求 四 纯AC需求 1 支持WEB页面设置VLAN绑定SSID 2 纯AC在这种情况下 没有其他的需求注意 这种旁挂模式下 只要AC支持设置该功能就行 没有其他的要求 Page10 设备需求 五 AP需求 1 AP也必须支持该功能 2 AP没有WEB页面 配置需要在AC上面完成注意 SSID绑定VLAN需要AC和AP都支持 缺一不可 Page11 案例分析 1 需求 1 AP划分2个SSID 每个SSID绑定不同的网络权限 相同的SSID具有相同的VLAN 2 AP AC的管理通道和上网的数据通道要分开分析 2个不同的SSID获取到的IP地址在不同的网段 AC根据不同的内网网段做不同的策略管理通道和数据通道处于不同的VLAN中 这样就需要创建3个VLAN Page12 案例分析 1 一 网络拓扑结构 不使用三层交换机 Page13 案例分析 1 一 交换机配置要点 1 三个交换机按照拓扑连接线路 2 三个交换机都创建VLAN2 VLAN4这三个VLAN VLAN2用来做管理通道 VLAN3和VLAN4用来绑定SSID用 3 核心交换机和POE交换机 二者相连的端口设置为trunk PVID值设置为默认的1即可 不设置就代表默认值 并且需要允许VLAN2 4通过 4 重点 POE交换机连接AP的端口也需要设置为TRUNK口 并且允许2 4vlan通过 TRUNK的PVID值需要设置为2 该值就代表AP和AC的管理通道VLAN Page14 案例分析 1 一 AC配置要点 1 AC的三个LAN口分别接在核心交换机的VLAN2 VLAN4接口 2 当AP管理上来后 因为AC的LAN0接在VLAN2 AP直连的交换机的接口的PVID值也是2 所以AP和AC实际上在一个VLAN中 在AC的WEB页面下发相应的SSID即可 创建SSID时 在该页面可以填写SSID绑定的VLAN号 根据之前的规划 分别使用的是3和4号VLAN Page15 案例分析 1 一 效果 1 连接SSID1的人 获取到的是VLAN3的网段 VLAN3是接在AC的LAN1口 连接SSID2的人获取到的是VLAN4的网段 即LAN2的网段 AP获取到的是VLAN2的网段 即LAN0的段 2 在AC上根据不同的网段做不同的行为管理 比如一个网段需要认证 一个不需要认证 Page16 案例分析 2 一 三层交换机网络 旁挂 Page17 案例分析 2 配置要点 一 核心交换机配置一个端口 access角色 属于某一个VLAN比如VLAN100 创建要配置的VLAN的DHCP信息 2 POE交换机和核心交换机之间通过trunk角色口相连 3 POE交换机的连接AP的接口配置为trunk口 如果设置PVID值为100 这是AC和AP属于同一个VLAN 属于2层管理 4 如果设置的PVID值不是100 就不在一个VLAN 通过三层交换机的路由功能 走三层管理 5 AP上线后 在AC的WEB页面配置SSID 并绑定相应的VLAN Page18 总体规则 AP自己本身发出的数据 1 AP除了转发下面的无线终端的数据 设备本身也会发出来一些数据 这些数据就是我们通常说的AC和AP之间的管理通道数据 2 AP自己发的数据本身是不带有任何VLAN信息的 3 当AP自己发的数据进入交换机的时候 根据交换机的端口口的PVID值来确定该数据在交换机中是属于哪个VLAN 如果是2 那么AP自己发的管理通道数据 在进入交换机后 就带有VLAN的信息 Page19 总体规则 AP自己本身发出的数据 4 用户连接某个SSID后 如果该SSID绑定了VLAN 那么用户的数据一进入到AP 就带有该SSID的VLAN信息概括 AP自己的VLAN取决于连接的交换机的端口的PVID值 用户的VLAN信息取决于连接的SSID绑定的VLAN值 Page20 扩展知识 交换机的TRUNK口