SSID绑定VLAN讲解-LG.ppt

2016年5月18日编制 FIT AP系统的SSID绑定VLAN 需求背景 常见的项目原始需求汇总 （1）AP可以创建多个SSID，并且针对不同的SSID有不同的网络权限 （2）AC和AP之间的管理业务和数据业务需要走不同的通道，相互不影响。 （3）AP处于不同的VLAN中，但是相同的SSID需要处于一个VLAN 需求分析 需求一：AP可以创建多个SSID，并且针对不同的SSID有不同的网络权限 在DHCP环境中，网关设备通常是根据IP地址来做行为管控，所以我们就需要不同的SSID下的用户，是在不同的网段中（或者子网）。例如餐馆中创建2个SSID，一个SSID用来给客户上网，做微信认证，另外一个SSID用来进行内部点餐系统使用，无网络权限。这两个SSID之间的用户不能相互访问。 企业中：需要1个AP发射2个SSID，一个供员工内部使用，另外一个SSID供访客使用，访客不能访问内部的服务器等，增强网络的安全性。 需求分析 需求二、管理业务和数据业务分离开来 AP+AC的管理业务和用户的上网数据要分开来，各走各的通道，相互之间不影响。 例如在一些大型的运营型的项目中，要求AP和AC的管理走VLAN2，普通的上网数据走VLAN3 需求分析 需求三、AP处于不同的VLAN，相同的SSID需要在同一个VLAN 例如AP在分布在VLAN2-VLAN5的网络环境中，但是这些AP都创建了一个XXXX的SSID，并且需要这个XXXX的SSID下的用户，有着相同的网络权限 。。。。。。 技术实现 （一）无线网络中运行02.1QVLAN这一技术达到该目的 （二）802.1QVLAN常见运行于交换机网络中 （三）在无线网络中，是把SSID当做交换机中的端口，实现SSID和VLAN的绑定。 SSID绑定VLAN，实质上就是交换机上的802.1QVLAN的另外一种应用 设备需求 （一）、交换机功能需求 （1）在SSID绑定VLAN的环境中，从核心交换机到接AP的接入交换机（包含POE交换机）必须支持802.1QVLAN （2）POE注入器，不建议使用 有些厂家的POE注入器内部是采用了一个简单的傻瓜交换芯片，相当于1个2口的傻瓜交换机，会导致不通。 设备需求 （二）、出口网关需求-没有三层交换机的环境 （1）网关支持单臂路由 （2）或者网关支持多个LAN口，并且不同LAN口配置不同的网段 （3）我们的X86和7621网关属于第2种模式 注意：在第2种模式下，支持的VLAN绑定SSID，取决于独立LAN口的数量 设备需求 （三）、出口网关需求-有三层交换机的环境 （1）网关支持配置静态路由 （2）支持配置多个网段的nat （3）我们的X86和7621网关默认已经配置好所有的网段的nat,所以只需要配置静态路由就行 注意:在有三层交换机的环境中，SSID绑定VLAN取决于AP软件支持的数量。目前我们的9531支持8个SSID绑定VLAN 设备需求 （四）、纯AC需求 （1）支持WEB页面设置VLAN绑定SSID （2）纯AC在这种情况下，没有其他的需求 注意：这种旁挂模式下，只要AC支持设置该功能就行，没有其他的要求 设备需求 （五）、AP需求 （1）AP也必须支持该功能 （2）AP没有WEB页面，配置需要在AC上面完成 注意：SSID绑定VLAN需要AC和AP都支持，缺一不可 案例分析-1 需求： （1）AP划分2个SSID，每个SSID绑定不同的网络权限，相同的SSID具有相同的VLAN （2）AP+AC的管理通道和 上网的数据通道要分开 分析：2个不同的SSID获取到的IP地址在不同的网段，AC根据不同的内网网段做不同的策略 管理通道和数据通道处于不同的VLAN中，这样就需要创建3个VLAN 案例分析-1 （一）、网络拓扑结构-不使用三层交换机 案例分析-1 （一）交换机配置要点： （1）三个交换机按照拓扑连接线路 （2）三个交换机都创建VLAN2-VLAN4这三个VLAN，VLAN2用来做管理通道，VLAN3和VLAN4用来绑定SSID用 （3）核心交换机和POE交换机,二者相连的端口设置为trunk，PVID值设置为默认的1即可，不设置就代表默认值。并且需要允许VLAN2-4通过 （4）重点：POE交换机连接AP的端口也需要设置为TRUNK口，并且允许2-4vlan通过，TRUNK的PVID值需要设置为2，该值就代表AP和AC的管理通道VLAN 案例分析-1 （一）AC配置要点： （1）AC的三个LAN口分别接在核心交换机的VLAN2-VLAN4接口 （2）当AP管理上来后（因为AC的LAN0接在VLAN2，