SSID绑定VLAN讲解-LG课件

2016年5月18日编制FITAP系统的SSID绑定VLANSSID绑定VLAN讲解-LG需求背景常见的项目原始需求汇总（1）AP可以创建多个SSID，并且针对不同的SSID有不同的网络权限（2）AC和AP之间的管理业务和数据业务需要走不同的通道，相互不影响。

（3）AP处于不同的VLAN中，但是相同的SSID需要处于一个VLANSSID绑定VLAN讲解-LG需求分析需求一：AP可以创建多个SSID，并且针对不同的SSID有不同的网络权限在DHCP环境中，网关设备通常是根据IP地址来做行为管控，所以我们就需要不同的SSID下的用户，是在不同的网段中（或者子网）。例如餐馆中创建2个SSID，一个SSID用来给客户上网，做微信认证，另外一个SSID用来进行内部点餐系统使用，无网络权限。这两个SSID之间的用户不能相互访问。企业中：需要1个AP发射2个SSID，一个供员工内部使用，另外一个SSID供访客使用，访客不能访问内部的服务器等，增强网络的安全性。SSID绑定VLAN讲解-LG需求分析需求二、管理业务和数据业务分离开来AP+AC的管理业务和用户的上网数据要分开来，各走各的通道，相互之间不影响。例如在一些大型的运营型的项目中，要求AP和AC的管理走VLAN2，普通的上网数据走VLAN3SSID绑定VLAN讲解-LG需求分析需求三、AP处于不同的VLAN，相同的SSID需要在同一个VLAN例如AP在分布在VLAN2-VLAN5的网络环境中，但是这些AP都创建了一个XXXX的SSID，并且需要这个XXXX的SSID下的用户，有着相同的网络权限。。。。。。SSID绑定VLAN讲解-LG技术实现（一）无线网络中运行02.1QVLAN这一技术达到该目的（二）802.1QVLAN常见运行于交换机网络中（三）在无线网络中，是把SSID当做交换机中的端口，实现SSID和VLAN的绑定。SSID绑定VLAN，实质上就是交换机上的802.1QVLAN的另外一种应用SSID绑定VLAN讲解-LG设备需求（一）、交换机功能需求（1）在SSID绑定VLAN的环境中，从核心交换机到接AP的接入交换机（包含POE交换机）必须支持802.1QVLAN（2）POE注入器，不建议使用有些厂家的POE注入器内部是采用了一个简单的傻瓜交换芯片，相当于1个2口的傻瓜交换机，会导致不通。SSID绑定VLAN讲解-LG设备需求（二）、出口网关需求-没有三层交换机的环境（1）网关支持单臂路由（2）或者网关支持多个LAN口，并且不同LAN口配置不同的网段（3）我们的X86和7621网关属于第2种模式注意：在第2种模式下，支持的VLAN绑定SSID，取决于独立LAN口的数量SSID绑定VLAN讲解-LG设备需求（三）、出口网关需求-有三层交换机的环境（1）网关支持配置静态路由（2）支持配置多个网段的nat（3）我们的X86和7621网关默认已经配置好所有的网段的nat,所以只需要配置静态路由就行注意:在有三层交换机的环境中，SSID绑定VLAN取决于AP软件支持的数量。目前我们的9531支持8个SSID绑定VLANSSID绑定VLAN讲解-LG设备需求（四）、纯AC需求（1）支持WEB页面设置VLAN绑定SSID（2）纯AC在这种情况下，没有其他的需求注意：这种旁挂模式下，只要AC支持设置该功能就行，没有其他的要求SSID绑定VLAN讲解-LG设备需求（五）、AP需求（1）AP也必须支持该功能（2）AP没有WEB页面，配置需要在AC上面完成注意：SSID绑定VLAN需要AC和AP都支持，缺一不可SSID绑定VLAN讲解-LG案例分析-1需求：（1）AP划分2个SSID，每个SSID绑定不同的网络权限，相同的SSID具有相同的VLAN（2）AP+AC的管理通道和上网的数据通道要分开分析：2个不同的SSID获取到的IP地址在不同的网段，AC根据不同的内网网段做不同的策略管理通道和数据通道处于不同的VLAN中，这样就需要创建3个VLANSSID绑定VLAN讲解-LG案例分析-1（一）、网络拓扑结构-不使用三层交换机SSID绑定VLAN讲解-LG案例分析-1（一）交换机配置要点：（1）三个交换机按照拓扑连接线路（2）三个交换机都创建VLAN2-VLAN4这三个VLAN，VLAN2用来做管理通道，VLAN3和VLAN4用来绑定SSID用（3）核心交换机和POE交换机,二者相连的端口设置为trunk，PVID值设置为默认的1即可，不设置就代表默认值。并且需要允许VLAN2-4通过（4）重点：POE交换机连接AP的端口也需要设置为TRUNK口，并且允许2-4vlan通过，TRUNK的PVID值需要设置为2，该值就代表AP和AC的管理通道VLANSSID绑定VLAN讲解-LG案例分析-1（一）AC配置要点：（1）AC的三个LAN口分别接在核心交换机的VLAN2-VLAN4接口（2）当AP管理上来后（因为AC的LAN0接在VLAN2，AP直连的交换机的接口的PVID值也是2，所以AP和AC实际上在一个VLAN中。）在AC的WEB页面下发相应的SSID即可。创建SSID时，在该页面可以填写SSID绑定的VLAN号，根据之前的规划，分别使用的是3和4号VLANSSID绑定VLAN讲解-LG案例分析-1（一）效果（1）连接SSID1的人，获取到的是VLAN3的网段，VLAN3是接在AC的LAN1口;连接SSID2的人获取到的是VLAN4的网段，即LAN2的网段；AP获取到的是VLAN2的网段，即LAN0的段。（2）在AC上根据不同的网段做不同的行为管理（比如一个网段需要认证，一个不需要认证）SSID绑定VLAN讲解-LG案例分析-2（一）三层交换机网络-旁挂SSID绑定VLAN讲解-LG案例分析-2配置要点：（一）核心交换机配置一个端口，access角色，属于某一个VLAN比如VLAN100，创建要配置的VLAN的DHCP信息（2）POE交换机和核心交换机之间通过trunk角色口相连（3)POE交换机的连接AP的接口配置为trunk口，如果设置PVID值为100，这是AC和AP属于同一个VLAN，属于2层管理（4）如果设置的PVID值不是100，就不在一个VLAN，通过三层交换机的路由功能，走三层管理（5）AP上线后，在AC的WEB页面配置SSID，并绑定相应的VLANSSID绑定VLAN讲解-LG总体规则AP自己本身发出的数据（1）AP除了转发下面的无线终端的数据，设备本身也会发出来一些数据。这些数据就是我们通常说的AC和AP之间的管理通道数据。（2）AP自己发的数据本身是不带有任何VLAN信息的（3）当AP自己发的数据进入交换机的时候，根据交换机的端口口的PVID值来确定该数据在交换机中是属于哪个VLAN；如果是2，那么AP自己发的管理通道数据，在进入交换机后，就带有VLAN的信息SSID绑定VLAN讲解-LG总体规则AP自己本身发出的数据（4）用户连接某个SSID后，如果该SSID绑定了VLAN，那么用户的数据一进入到AP，就带有该SSID的VLAN信息概括：AP自己的VLAN取决于连接的交换机的端口的PVID值。用户的VLAN信息取决于连接的SSID绑定的VLAN值。SSID绑定VLAN讲解-LG扩展知识交换机的TRUNK口的PVID值（1）在思科和锐捷交换机中，当