1、 背景 有关部门东配楼的无线部署方式为集中转发模式,即无线终端的所有数据通过无线控制器的地址进行外联,所有无线设备在出口防火墙上显示的均为无线控制器的地址。 在11月底进行安全检查时,发现有部分终端有僵尸网络行为,但由于外显均为无线控制器地址,无法最终定位出问题终端。 无线控制器地址: 防火墙发现的僵尸网络行为终端:
2、设计方案 2.1 整体设计 将无线用户使用的IP地址(统计可用IP为510个)段进行调整,将原有10.10.10.0/23网段更改为192.168.12.0/23。实施前后网络拓扑不变。 2.2 IP地址规划 无线用户原网段:10.10.10.0/23网段; 无线用户更改后网段:192.168.12.0/23网段; 2.3 网络结构设计 实施前后整体网络拓扑不变。 3.实施规划 3.1 实施计划
| | | | | 1.1 配置备份;
1.2 完成设备基础网络信息修改,如:IP规划、接口配置等;
1.3 策略配置调试,如:AP地址、DHCP配置;
1.4 完成设备功能验证,配置更改后接入网络测试。 | 需求和客户达成一致,客户提供机房位置、机柜位置、物理接线、内网网段、设备互联地址等现网信息。 | |
3.2 配置备份 对所有有可能改动配置的设备进行配置备份。 将3个汇聚交换机、3个接入交换机、1台NAC控制器、1台核心交换机、1台防火墙的配置进行备份。 3.3 汇聚交换机配置更改 新增vlan12,将下联接入交换机的级联口修改为trunk口,允许vlan 11、vlan12通过,检查上联口trunk是否允许vlan12的流量通过。 3.4 接入交换机配置更改 新增vlan12,将下联AP的接口修改为trunk口,允许vlan 11、vlan12通过,其中untag vlan为11;检查上联口trunk是否允许vlan12的流量通过。 3.5 无线控制器配置更改 1)将无线网络的数据模式更改为“本地转发”。 2)将“未匹配规则的终端用户设置默认VLAN池”为vlan 12。 3.6 核心交换机配置更改 新增vlan12,配置IP为192.168.13.254/23。 并将1/16、1/18、1/20三个口允许vlan 12通过。 3.7 防火墙配置更改 配置静态路由;地址转换;应用控制策略。
4、具体设备配置 4.1 接入交换机 接入交换机为信锐SW-5024交换机。以二层交换机为例。 24口连接NAC-3700的Eth1口。 23口连接Maipu S3100的21口。 vlan 12 int range gigabitEthernet 1/0/1-22 switchport mode general switchport general allowed vlan 11 untagged switchport general allowed vlan 12 tagged switchport pvid 11
interface gigabitethernet 1/0/23 switchport mode trunk switchport trunk allowed vlan 11,12
4.2 汇聚交换机 1/21口下联信锐交换机5024的23口。 1/26口上联信锐交换机S7503的1/26口。 vlan 12 interface Ethernet 1/21 switchport mode trunk switchport trunk allowed vlan all
interface Ethernet 1/26 switchport mode trunk switchport trunk allowed vlan all
4.3 核心交换机 vlan 12 interface vlan 12 ip address 192.168.13.254 255.255.254.0 ip dhcpd pool vlan12 network 192.168.12.0 255.255.254.0 range 192.168.12.10 192.168.13.250 default-route 192.168.13.254 dns-server 211.167.230.100
interface GigaEthernet 1/16 switchport mode trunk switchport trunk vlan-allowed all
4.4 无线控制器 1)更改数据转发模式 2)更改接入VLAN 4.5 出口防火墙 添加回包路由,目的网段为192.168.12.0/23,下一跳交给核心交换机的上联口。
5、验证 配置完成后,使用手机接入网络,获取的地址为192.168.12.0/23网段的地址。 在防火墙上可以看到终端IP也做了变更 。
6、注意问题 6.1 SW-5024交换机接AP的接口不可以配置为Trunk口,只能配置为general口。 6.2 配置本地转发模式时,如果AP与无线终端的端不一致,一般设置AP使用本地Vlan,无线终端所在vlan在无线控制器上配置,并在接AP的交换机接口进行放通。 6.3 非必要不改造,因为更改网络配置有可能会引发新的问题,网络以稳定为主。 |