最近做的一个比较简单的 wifi 的配置, 负责的是一台防火墙, 一台核心交换机, 一台 poe 交换机 AC 和 AP 都不是我们负责
先说一下防火墙的配置:
常规的开局就不说了
防火墙的 G1/0/0 与运营商相连, 设置为 untrust 的区域 , 并配置运营商提供的公网 IP 地址, 1.1.1.1
G1/0/1 与核心的交换机相连 设置为 trust 区域 配置与核心交换机的互联地址
安全策略:
- rule name trustTOuntrust
- source-zone trust
- destination-zone untrust
source-address (用户地址段)172.18.19.0 mask 255.255.255.0
- action permit
- rule name untrustTOtrust
- source-zone untrust
- destination-zone trust
destination-address (用户地址段)172.18.19.0 mask 255.255.255.0
- action permit
- nat-policy
- rule name to_internet
- source-zone trust
- destination-zone untrust
source-address (用户地址段)172.18.19.0 mask 255.255.255.0
action nat easy-ip
起两条静态路由
ip route-static 0.0.0.0 0.0.0.0 (公网地址的对端地址或者网关地址)
ip route-static 172.18.19.0 255.255.255.0 核心交换机上的互联地址
核心交换机上起了四个 VLAN:
- vlan 100
- description AP manager
- vlan 110
description to dianxian 互联
- vlan 500
- description to Wlan STA
- vlan 999
- description manager
分别起 IP 地址
建立地址池
- ip pool Wlan-STA
- gateway-list 172.18.19.1
- network 172.18.19.0 mask 255.255.255.0
- dns-list 61.139.2.69 114.114.114.114
0/0/1 与 fw 互联
- description to firewall -172.16.100.253
- port link-type hybrid
- port hybrid pvid vlan 110
- port hybrid untagged vlan 110
0/0/3 与 AC 相连
- description to AC
- port link-type trunk
- port trunk allow-pass vlan 2 to 4094
0/0/24 与 poe 交换机相连
poe 交换机上就是起 vlan 和划分端口
来源: http://www.bubuko.com/infodetail-2503283.html