SSID绑定VLAN讲解LGPPT课件

1、需求背景常见的项目原始需求汇总（1）AP可以创建多个SSID，并且针对不同的SSID有不同的网络权限（2）AC和AP之间的管理业务和数据业务需要走不同的通道，相互不影响。 （3）AP处于不同的VLAN中，但是相同的SSID需要处于一个VLAN第1页/共21页需求分析需求一：AP可以创建多个SSID，并且针对不同的SSID有不同的网络权限在DHCP环境中，网关设备通常是根据IP地址来做行为管控，所以我们就需要不同的SSID下的用户，是在不同的网段中（或者子网）。例如餐馆中创建2个SSID，一个SSID用来给客户上网，做微信认证，另外一个SSID用来进行内部点餐系统使用，无网络权限。这两个SSID

2、之间的用户不能相互访问。企业中：需要1个AP发射2个SSID，一个供员工内部使用，另外一个SSID供访客使用，访客不能访问内部的服务器等，增强网络的安全性。第2页/共21页需求分析需求二、管理业务和数据业务分离开来AP+AC的管理业务和用户的上网数据要分开来，各走各的通道，相互之间不影响。例如在一些大型的运营型的项目中，要求AP和AC的管理走VLAN2，普通的上网数据走VLAN3第3页/共21页需求分析需求三、AP处于不同的VLAN，相同的SSID需要在同一个VLAN例如AP在分布在VLAN2-VLAN5的网络环境中，但是这些AP都创建了一个XXXX的SSID，并且需要这个XXXX的SSID下

3、的用户，有着相同的网络权限。第4页/共21页技术实现（一）无线网络中运行这一技术达到该目的（二）常见运行于交换机网络中（三）在无线网络中，是把SSID当做交换机中的端口，实现SSID和VLAN的绑定。SSID绑定VLAN，实质上就是交换机上的的另外一种应用第5页/共21页设备需求（一）、交换机功能需求（1）在SSID绑定VLAN的环境中，从核心交换机到接AP的接入交换机（包含POE交换机）必须支持（2）POE注入器，不建议使用有些厂家的POE注入器内部是采用了一个简单的傻瓜交换芯片，相当于1个2口的傻瓜交换机，会导致不通。第6页/共21页设备需求（二）、出口网关需求-没有三层交换机的环境（1）

4、网关支持单臂路由（2）或者网关支持多个LAN口，并且不同LAN口配置不同的网段（3）我们的X86和7621网关属于第2种模式注意：在第注意：在第2 2种模式下，支持的种模式下，支持的VLANVLAN绑定绑定SSIDSSID，取决于独立，取决于独立LANLAN口口的数量的数量第7页/共21页设备需求（三）、出口网关需求-有三层交换机的环境（1）网关支持配置静态路由（2）支持配置多个网段的nat（3）我们的X86和7621网关默认已经配置好所有的网段的nat,所以只需要配置静态路由就行注意注意: :在有三层交换机的环境中，在有三层交换机的环境中，SSIDSSID绑定绑定VLANVLAN取决于取决于

5、APAP软件支持软件支持的数量。目前我们的的数量。目前我们的95319531支持支持8 8个个SSIDSSID绑定绑定VLANVLAN第8页/共21页设备需求（四）、纯AC需求（1）支持WEB页面设置VLAN绑定SSID（2）纯AC在这种情况下，没有其他的需求注意：这种旁挂模式下，只要注意：这种旁挂模式下，只要ACAC支持设置该功能就行，没有其他支持设置该功能就行，没有其他的要求的要求第9页/共21页设备需求（五）、AP需求（1）AP也必须支持该功能（2）AP没有WEB页面，配置需要在AC上面完成注意：注意：SSIDSSID绑定绑定VLANVLAN需要需要ACAC和和APAP都支持，缺一不可都

6、支持，缺一不可第10页/共21页案例分析-1需求：（1）AP划分2个SSID，每个SSID绑定不同的网络权限，相同的SSID具有相同的VLAN（2）AP+AC的管理通道和 上网的数据通道要分开分析：2个不同的SSID获取到的IP地址在不同的网段，AC根据不同的内网网段做不同的策略管理通道和数据通道处于不同的VLAN中，这样就需要创建3个VLAN第11页/共21页案例分析-1（一）、网络拓扑结构-不使用三层交换机第12页/共21页案例分析-1（一）交换机配置要点：（1）三个交换机按照拓扑连接线路（2）三个交换机都创建VLAN2-VLAN4这三个VLAN，VLAN2用来做管理通道，VLAN3和VL

7、AN4用来绑定SSID用（3）核心交换机和POE交换机,二者相连的端口设置为trunk，PVID值设置为默认的1即可，不设置就代表默认值。并且需要允许VLAN2-4通过（4）重点：POE交换机连接AP的端口也需要设置为TRUNK口，并且允许2-4vlan通过，TRUNK的PVID值需要设置为2，该值就代表AP和AC的管理通道VLAN第13页/共21页案例分析-1（一）AC配置要点：（1）AC的三个LAN口分别接在核心交换机的VLAN2-VLAN4接口（2）当AP管理上来后（因为AC的LAN0接在VLAN2，AP直连的交换机的接口的PVID值也是2，所以AP和AC实际上在一个VLAN中。） 在A

8、C的WEB页面下发相应的SSID即可。创建SSID时，在该页面可以填写SSID绑定的VLAN号，根据之前的规划，分别使用的是3和4号VLAN第14页/共21页案例分析-1（一）效果（1）连接SSID1的人，获取到的是VLAN3的网段，VLAN3是接在AC的LAN1口;连接SSID2的人获取到的是VLAN4的网段，即LAN2的网段；AP获取到的是VLAN2的网段，即LAN0的段。（2）在AC上根据不同的网段做不同的行为管理（比如一个网段需要认证，一个不需要认证）第15页/共21页案例分析-2（一）三层交换机网络-旁挂第16页/共21页案例分析-2配置要点：（一）核心交换机配置一个端口，acces

9、s角色，属于某一个VLAN比如VLAN100，创建要配置的VLAN的DHCP信息（2）POE交换机和核心交换机之间通过trunk角色口相连（3)POE交换机的连接AP的接口配置为trunk口，如果设置PVID值为100，这是AC和AP属于同一个VLAN，属于2层管理（4）如果设置的PVID值不是100，就不在一个VLAN，通过三层交换机的路由功能，走三层管理（5）AP上线后，在AC 的WEB页面配置SSID，并绑定相应的VLAN第17页/共21页总体规则AP自己本身发出的数据（1）AP除了 转发下面的无线终端的数据，设备本身也会发出来一些数据。这些数据就是我们通常说的AC和AP之间的管理通道数

10、据。（2）AP自己发的数据本身是不带有任何VLAN信息的（3）当AP自己发的数据 进入交换机的时候，根据交换机的端口口的PVID值来确定该数据在交换机中是属于哪个VLAN；如果是2，那么AP自己发的管理通道数据，在进入交换机后，就带有VLAN的信息第18页/共21页总体规则AP自己本身发出的数据（4）用户连接某个SSID后，如果该SSID绑定了VLAN，那么用户的数据一进入到AP，就带有该SSID的VLAN信息概括：AP自己的VLAN取决于连接的交换机的端口的PVID值。用户的VLAN信息取决于连接的SSID绑定的VLAN值。第19页/共21页扩展知识交换机的TRUNK口的PVID值（1）在思科和锐捷交换机