qos是什么(DHCP要开吗)
分支无线部署描述:分公司无线部署瘦AP,瘦AP通过VPN直接注册在总部的AC上,实现无线服务提供,一个部署在AC上,可以在AP和AC失去联系后,继续不间断为客户提供服务 。
总部AC配置(1)AP在线配置
首先,AP通过DHCP服务器获得了IP地址 。
可以看到AC在AP上可以正常访问 。
您可以看到有一个未经认证的未授权AP 。在这里,你可以使用另一种方法在网上获得它 。
这里AP在线 。
(2)WMM,Radius射频管理[AC 6605]WLAN[AC 6605-WLAN-查看]WMM-配置文件名称分支
[AC 6605-WLAN-view]radio-profile name branch[AC 6605-WLAN-radio-prof-branch]WMM-profile name branch说明:对于分支机构,建议创建单独的策略,以便于后续单独策略的实施 。
(3)安全模板和流量模板的定义[ac6605-WLAN-view]安全-配置文件名称分支[ac6605-WLAN-sec-prof-branch]安全-策略wpa 2[AC 6605-WLAN-sec-prof-branch]wpa 2认证-方法psk密码短语简单ccieh3c.taobao.com加密-方法tkip
[AC 6605-WLAN-view]traffic-profile名称分支描述:对于分支,建议创建单独的策略,以便于后续单独策略的实施 。
(4)WLAN-ESS接口[AC6605]接口WLAN-ESS 0 [AC6605-WLAN-ESS 0]端口混合未标记VLAN 3描述:定义去中心化下的WLAN-DBSS接口不标记VLAN 3 。
(5)服务集定义[ac6605-WLAN-view]服务集名称分支[AC 6605-WLAN-service-set-branch]服务-VLAN 3[AC 6605-WLAN-service-set-branch]ssid SOHO[AC 6605-WLAN-service-set-branch]WLAN-ess 0[AC 6605-WLAN-service-set-branch]流量-配置文件名称分支[AC 6605-WLAN-service-set-branch]安全-配置文件名称分支[AC 6605-AC
(6)呼叫[AC 6605-WLAN-View]ap0r 0[AC 6605-WLAN-Radio-0/0]Radio-profile name branch[AC 6605-WLAN-Radio-0/0]Service-set name branch by射频
(7)去中心化服务[AC6605-wlan-radio-0/0]com ap 0描述:只有最终去中心化的服务才能正常提供 。
(8)结果检查
可以看到AP已经正常接收到WLAN-BSS接口的信息,并标记上行接口 。
输入密码后连接 。
可以看出,获得了地址,可以访问网关 。
可以看到,在H3C的出口路由器上有相应的NAT转换项 。
注意,总部需要有172.16.3.0的网络接入,因为根本不需要接入,而且默认AP的转发方式是本地转发,没有必要把所有流量都发给总部 。
(9)定义与交流失去联系后,仍能正常工作 。[AC 6605-WLAN-view]AP id 0[AC 6605-WLAN-AP-0]keep-service enable allow new-access[AC 6605-WLAN-AP-0]com AP 0
注意:在分公司的情况下,这个功能一定要打开,因为很有可能总部和分公司的VPN会断开,导致AC和分公司AP失去联系 。一旦失去联系,CAPWAP的链接将被断开,这将导致业务停止 。该功能开启后,即使失去联系,仍能正常工作并访问新用户 。
分部安全部署(1)H3C端口安全部署[branch-SW-a]port-group manual 1[branch-SW-a-port-group-manual-1]port-isolate enable说明:具有端口隔离的接口不允许相互访问,在这种情况下,即使终端受到攻击或中毒,也不会影响其他PC 。
(2)DHCP Snooping,ip源guead和DAI说明:这些功能就不做过多介绍了 。他们之前已经在总部部署过,所以这就是H3C上面的区别 。
DHCP窥探技术
[Branch-sw-A]dhcp启用[Branch-sw-A]dhcp侦听
【Branch-SW-A】接口E0/4/6【Branch-SW-A-Ethernet 0/4/6】dhcp-snooping信任描述:你只需要启动DHCP服务和dhcp-snooping,然后在上行定义为信任,其余默认为Untrust 。
DAI功能部署
[Branch-sw-A]arp检测验证ip src-mac dst-mac
[Branch-SW-A]VLAN 1[Branch-SW-A-VLAN 1]ARP检测使能
[Branch-SW-A]int E0/4/6[Uplink][Branch-SW-A-Ethernet 0/4/6]ARP检测信任描述:第一个命令是开启IP、源、目的MAC的检查,然后开启相应VLAN下的检测功能 。对于上行,需要信任,否则无法与上行沟通 。
【qos是什么(DHCP要开吗)】Ip源保护
【branch-SW-a】inte 0/4/1【branch-SW-a-Ethernet 0/4/0】IP检查源IP-address MAC-address描述:该接口启用源IP和MAC地址检查,即如果只有一个不匹配,则直接丢弃 。注意,所有访问用户的界面都需要在这里打开 。
(3)IP和MAC地址绑定技术[branch-SW-a]接口E0/4/0[branch-SW-a-Ethernet 0/4/0]用户绑定IP地址192.168.1.2 MAC地址0001-2200-3200 VLAN 1描述
(4)路由器的NAT连接限制
[GW]acl编号2001[GW-ACL-basic-2001]规则允许源172.16.0.0 0.0.255.255
[GW]连接限制策略1[GW-connection-limit-policy-1]限制1 acl 2001每源数量1000 600
【GW】NAT connection-limit-policy 1说明:NAT连接数的限制可以限制BT的数量很少 。这里的定义是指ACL中每个IP地址的连接数,每个IP的连接数保证为600,最多1000 。正常情况下,流量的突发是可以限制的 。
QOS限速【针对每IP进行限速,包括上传与下载】[GW]qos carl 1目的ip地址子网172.16.1.0 24每地址[GW]qos carl 2目的ip地址子网172.16.2.0 24每地址[GW] qos carl 3目的ip地址子网172.16.3.0 24每地址[GW]qos carl 4目的ip地址子网172.16.4.0 24每地址[GW] qos carl 5目的ip地址子网172.16.4
推荐阅读
- 纺织娘是什么(纺织娘怎么分公母)
- 实业是什么意思(实业中坚是什么意思)
- 脱氧剂是什么(脱氧剂的原理)
- 猫眼石是什么(怎么鉴别猫眼石)
- 上位机是什么(做上位机和嵌入式哪个好)
- xe是什么意思(xe气体怎么读)
- 大花惠兰的养殖方法和注意事项~~大花惠兰寓意是什么意思?
- 置业顾问是什么(万科置业顾问很挣钱么)
- 三本是什么意思(三本院校是什么意思)
- 股指期货是什么意思(股指期货是什么知识点)