DHCP要开吗 qos是什么

分支无线部署说明:分支无线用瘦AP部署,通过VPN直接注册到总部的AC上面,实现无线的业务提供,并且在AC上面部署一个当与AP与AC失去联系后,可以继续为客户提供服务,而不断开 。
总部AC配置(1)AP上线配置
首先 AP已经获取到IP地址了,通过DHCP服务器 。
可以看到在AP上面可以正常访问AC了
可以看到有一个未授权的AP没有认证,这里可以用另外一个办法,让它上线 。
这里AP就上线了 。
(2)WMM,Radius射频管理[AC6605]wlan[AC6605-wlan-view]wmm-profile name branch
[AC6605-wlan-view]radio-profile name branch[AC6605-wlan-radio-prof-branch]wmm-profile name branch说明:对于分支来说,建议单独的创建策略,方便后续做单独的策略实施
(3)安全模板、流量模板定义[AC6605-wlan-view]security-profile name branch[AC6605-wlan-sec-prof-branch]security-policy wpa2[AC6605-wlan-sec-prof-branch]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method tkip
[AC6605-wlan-view]traffic-profile name branch说明:对于分支来说,建议单独的创建策略,方便后续做单独的策略实施
【DHCP要开吗 qos是什么】(4)WLAN-ESS接口[AC6605]interface Wlan-Ess 0[AC6605-Wlan-Ess0]port hybrid untagged vlan 3说明:定义下放的WLAN-DBSS接口对于VLAN 3不打Tag
(5)服务集定义[AC6605-wlan-view]service-set name branch[AC6605-wlan-service-set-branch]service-vlan 3[AC6605-wlan-service-set-branch]ssid SOHO[AC6605-wlan-service-set-branch]wlan-ess 0[AC6605-wlan-service-set-branch]traffic-profile name branch[AC6605-wlan-service-set-branch]security-profile name branch[AC6605-wlan-service-set-branch]user-isolate说明:定义了业务VLAN为3,而且调用了流量与安全模板,并且开启了用户隔离 。
(6)射频调用[AC6605-wlan-view]ap 0 r 0[AC6605-wlan-radio-0/0]radio-profile name branch[AC6605-wlan-radio-0/0]service-set name branch
(7)下放业务[AC6605-wlan-radio-0/0]com ap 0说明:只有最终下放业务才能正常提供 。
(8)结果检查
可以看到AP上面已经正常收到关于WLAN-BSS接口的信息,与上行接口打Tag 。
当输入密码连接后 。
可以看到获取到了地址,并且可以访问网关,
可以看到在H3C的出口路由器上面有对应的NAT转换项 。
注意这里,总部需要有到172.16.3.0的网络的,因为根本不需要访问,而且默认情况下,AP的转发方式为本地转发,所以不需要把流量都发送给总部 。
(9)定义与AC失去联系后,还可以正常工作 。[AC6605-wlan-view]ap id 0[AC6605-wlan-ap-0]keep-service enable allow new-access[AC6605-wlan-ap-0]com ap 0
说明:在分支这种情况下,必须开启该功能,因为很有可能总部与分部的VPN断开连接了,那么会导致AC与分部AP失去联系,一旦失去联系后,CAPWAP的链路会断开,断开后,那么导致业务停止,而该功能开启后,就算失去联系后,还可以正常工作,而且接入新的用户 。
分部安全部署(1)H3C端口安全部署[Branch-sw-A]port-group manual 1[Branch-sw-A-port-group-manual-1]port-isolate enable说明:部署了端口隔离的接口之间是不能互访的,这样的话,就算终端有攻击软件出现,或者是中毒了的话,那么也不会影响其他PC 。
(2)DHCP Snooping,ip source guead 与DAI说明:这些功能就不在过多介绍了,在之前总部已经部署过了,所以这里只是说下H3C上面的不同点 。
DHCP Snooping技术
[Branch-sw-A]dhcp enable[Branch-sw-A]dhcp-snooping
[Branch-sw-A]interface e0/4/6[Branch-sw-A-Ethernet0/4/6]dhcp-snooping trust说明:只需要开启DHCP服务与dhcp-snooping即可,然后在上行链路定义为Trust即可,其余的默认是Untrust 。
DAI功能部署
[Branch-sw-A]arp detection validate ip src-mac dst-mac

推荐阅读