问题描述:
如题,无线转发模式为本地转发,下发map文件在AP上,做了二层隔离,网关和dhcp都是路由器,所以二层隔离放通的MAC就只是网关MAC,但在AC上查不到客户端的IP地址,是需要放通AC的MAC吗?
组网及组网描述:
- 2023-08-23提问
- 举报
-
(0)
最佳答案
什么AC型号,V5还是V7的,V5默认是看不到终端IP,V7 不可能看不到IP地址的
- 2023-08-23回答
- 评论(2)
- 举报
-
(0)
V7的 5540X
有没有可能终端本身就是没有获取到地址
查不到客户端的IP地址是不是终端没获取到地址啊?
- 2023-08-23回答
- 评论(1)
- 举报
-
(0)
能获取到地址,我这边客户端都可以上网访问网页,并且客户端自己可以查到IP地址
能获取到地址,我这边客户端都可以上网访问网页,并且客户端自己可以查到IP地址
本地转发,IP和mac都在网关上面
- 2023-08-23回答
- 评论(1)
- 举报
-
(0)
AC上应该也能看到客户端MAC的 没有做二层隔离时 可以看到客户端IP
AC上应该也能看到客户端MAC的 没有做二层隔离时 可以看到客户端IP
参考下这个配置案例
Switch作为DHCP服务器为AP和Client分配IP地址。现要求:在AC上配置本地转发功能,使Client的数据流量不经过AC,直接由AP转发。
1.1 配置思路
为了将AP的GigabitEthernet1/0/1接口加入本地转发的VLAN 200,需要AC下发map-configuration文件。
1.2 配置步骤
1. apcfg.txt的配置
apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。
# apcfg.txt配置文件为:
system-view
vlan 200
quit
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan 200
2. 配置AC
(1) 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 192.1.1.1 16
[AC-Vlan-interface100] quit
(2) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置本地转发模式,开启VLAN 200的本地转发功能。
[AC-wlan-st-1] client forwarding-location ap vlan 200
# 开启无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(3) 配置AP
# 创建手工AP,名称为officeap,型号名称为WA4320i-ACN。
[AC] wlan ap officeap model WA4320i-ACN
# 设置AP序列号为219801A0T78159E09083。
[AC-wlan-ap-officeap] serial-id 219801A0T78159E09083
# 进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。
[AC-wlan-ap-officeap] radio 2
[AC-wlan-ap-officeap-radio-2] service-template 1 vlan 200
# 开启Radio 2的射频功能。
[AC-wlan-ap-officeap-radio-2] radio enable
[AC-wlan-ap-officeap-radio-2] quit
(4) 配置AP的配置文件
# 在AC上将配置文件apcfg.txt下发到AP。
[AC-wlan-ap-officeap] map-configuration apcfg.txt
[AC-wlan-ap-officeap] quit
3. Switch的配置
(1) 配置Switch的接口
# 创建VLAN 100和VLAN 200及其对应接口,并为该接口配置IP地址,其中VLAN 100用于转发AC和AP间CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文。
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip address 192.1.1.2 16
[Switch-Vlan-interface100] quit
[Switch] vlan 200
[Switch-vlan200] quit
[Switch] interface vlan-interface 200
[Switch-Vlan-interface200] ip address 192.2.1.2 24
[Switch-Vlan-interface200] quit
# 配置Switch和AC相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,当前Trunk口的PVID为100。
[Switch] interface GigabitEthernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100
[Switch-GigabitEthernet1/0/1] quit
# 配置Switch和AP相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过,当前Trunk口的PVID为100。
[Switch] interface GigabitEthernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[Switch-GigabitEthernet1/0/2] port trunk permit vlan 100 200
[Switch-GigabitEthernet1/0/2] port trunk pvid vlan 100
# 开启Switch和AP相连的接口GigabitEthernet1/0/2的PoE供电功能。
[Switch-GigabitEthernet1/0/2] poe enable
[Switch-GigabitEthernet1/0/2] quit
(2) 配置DHCP服务
# 开启DHCP功能。
[Switch] dhcp enable
# 创建名为vlan100的DHCP地址池,配置地址池动态分配的网段为192.1.0.0/16,网关地址为192.1.1.2,为AP分配IP地址。
[Switch] dhcp server ip-pool vlan100
[Switch-dhcp-pool-vlan100] network 192.1.0.0 mask 255.255.0.0
[Switch-dhcp-pool-vlan100] forbidden-ip 192.1.1.1
[Switch-dhcp-pool-vlan100] gateway-list 192.1.1.2
[Switch-dhcp-pool-vlan100] quit
# 创建名为vlan200的DHCP地址池,配置地址池动态分配的网段为192.2.1.0/24,网关地址为192.2.1.2,为Client分配IP地址。
[Switch] dhcp server ip-pool vlan200
[Switch-dhcp-pool-vlan200] network 192.2.1.0 mask 255.255.255.0
[Switch-dhcp-pool-vlan200] forbidden-ip 192.2.1.1
[Switch-dhcp-pool-vlan200] gateway-list 192.2.1.2
[Switch-dhcp-pool-vlan200] quit
1.3 验证配置
# Client1和Client2上线获取到地址分别是192.2.1.3和192.2.1.4,通过抓包可以发现ICMP报文不需要经过AC与AP间的隧道封装,直接转发。
图1 本地转发ICMP报文
二层隔离
同一VLAN内,来自无线客户端的广播、组播报文会向所有放通该VLAN的AP上广播,而且在空间介质中广播报文通常使用最低速率进行发送。当广播报文比较多时,会占用较多的空口资源,在一定程度上影响到整个网络应用。
无线用户VLAN内二层隔离可以在AC上控制无线用户只能访问网关设备,而不能互相之间访问。同时,通过配置undo user-isolation permit broadcast禁止有线用户(permit-mac允许的mac地址除外)发送广播、组播报文给无线用户,无线用户到有线用户的广播、组播报文不受限制。这样可以大量减少整个WLAN网络的广播流量,提高WLAN网络的整体性能。
配置说明:
【命令一】
user-isolation vlan vlan-list enable
【参数】
vlan-list:vlan-list为VLAN列表,其表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>。其中,vlan-id为指定VLAN的编号,取值范围为1~4094。&<1-10>表示前面的参数最多可以输入10次。
【命令二】
user-isolation vlan vlan-list permit-mac mac-list
【参数】
vlan-list:在指定VLAN内配置用户隔离功能。vlan-list为VLAN列表,表示多个VLAN。其表示方式为vlan-list={ vlan-id [ to vlan-id ] }&<1-10>,其中,vlan-id为指定VLAN的编号,取值范围为1~4094。&<1-10>表示前面的参数最多可以输入10次。
mac-list:允许的MAC地址列表,格式为H-H-H,在一个VLAN内最多可以配置16个允许的MAC地址,该MAC地址不允许为广播或组播地址。
【命令三】
user-isolation permit-broadcast
【举例】
# 在VLAN 10上开启用户隔离功能,允许访问MAC地址为00bb-ccdd-eeff和0022-3344-5566的设备(允许的MAC地址通常为网关MAC地址),同时禁止有线用户(permit-mac允许的mac地址除外)发送广播、组播报文给无线用户。
<AC> system-view
[AC] user-isolation vlan 10 enable
[AC] user-isolation vlan 10 permit-mac 00bb-ccdd-eeff 0022-3344-5566
[AC] undo user-isolation permit-broadcast
- 2023-08-23回答
- 评论(2)
- 举报
-
(0)
在你的DHCP服务器上能看到吗
这些配置没问题 就是AC上 dis wlan client 看不到客户端的IP
在你的DHCP服务器上能看到吗
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
有没有可能终端本身就是没有获取到地址