酒店有线无线网络覆盖设计与搭建实验
本文记录了一项酒店有线无线网络覆盖实验。项目采用三层网络架构,通过OSPF、DHCP、AC旁挂及ACL,实现全楼覆盖、双SSID及办公/客房权限隔离。重点梳理了AP上线的三要素(Option 43、PVID、Loopback),并详细记录了四个典型问题的排查过程:AP不上线、服务器不通、防火墙ping不通、ACL权限相反。通过实验,作者建立了分层排错方法论,深入理解了MQC中ACL的匹配逻辑,具备
酒店有线无线网络覆盖设计与搭建实验
注:本实验原在eNSP模拟器中完成并截图保存,后因模拟器环境故障无法导出截图。本文仅以文字形式记录实验过程、排错思路与收获,重点呈现我在项目中的思考方式和解决问题能力。
一、实验拓扑与需求说明
1.1 项目背景
某新建酒店,共4栋大楼(1#办公楼、2-4#客房),每栋6层。要求:
-
有线+无线全覆盖
-
办公网络可访问内网服务器+互联网
-
客房网络仅能上网,禁止访问服务器
-
无线提供Work(办公)和Hotel(客房)两个SSID
1.2 拓扑结构(文字描述)
1.3 IP规划摘要
| 楼栋 | 业务 | VLAN | 网段 | 网关 |
|---|---|---|---|---|
| 1#办公 | 有线 | 1 | 172.31.1.0/24 | 172.31.1.254 |
| 1#办公 | Work无线 | 2 | 172.31.2.0/24 | 172.31.2.254 |
| 1#办公 | AP管理 | 3 | 172.31.3.0/24 | 172.31.3.254 |
| 2#客房 | Hotel无线 | 50 | 172.31.5.0/24 | 172.31.5.254 |
| 2#客房 | AP管理 | 6 | 172.31.6.0/24 | 172.31.6.254 |
| 服务器区 | 服务器 | 100 | 172.31.100.0/24 | 172.31.100.254 |
二、关键配置解析(重点)
2.1 AP上线的“三要素”
要素1:汇聚交换机的Option 43
interface Vlanif3 dhcp server option 43 sub-option 3 ascii 172.31.200.254
作用:告诉AP“你的AC在172.31.200.254”
要素2:POE交换机的PVID
interface GigabitEthernet0/0/2 port trunk pvid vlan 3
作用:AP启动时的DHCP请求不带标签,交换机给它打上管理VLAN标签
要素3:AC的Loopback和CAPWAP
interface LoopBack0 ip address 172.31.200.254 255.255.255.255 capwap source interface LoopBack0
作用:给AP一个固定的上线目标地址
2.2 权限隔离的“陷阱”
在服务器核心交换机配置ACL时,我踩了一个大坑:
# 错误配置 acl 3001 rule 1 deny ip destination 172.31.4.0 0.0.0.255 # 客房网段 rule 10 permit ip traffic behavior 3001 deny
结果:客房反而能访问服务器,办公不能!
原因:MQC中,ACL的permit表示匹配该类,deny表示不匹配。客房deny→不匹配→不被behavior处理→放行;其他permit→匹配→被behavior deny→丢包。
正确做法:
acl 3001 rule 5 permit ip destination 172.31.4.0 0.0.0.255 # 让客房匹配 rule 10 deny ip
三、验证与测试过程(文字记录)
3.1 AP上线验证
-
display ap all:所有AP状态为normal -
AP管理IP:办公楼AP拿到172.31.3.x,客房AP拿到172.31.6.x/9.x/12.x
3.2 无线连接验证
-
手机搜索到Work和Hotel两个SSID
-
Work密码work1234,连接后IP为172.31.2.x
-
Hotel密码hotel1234,连接后IP为172.31.5.x/8.x/11.x
3.3 权限验证
-
办公PC ping 172.31.100.1 → 通
-
客房STA ping 172.31.100.1 → 不通
-
客房STA ping 114.114.114.114 → 通
四、遇到的问题与解决方法(重点)
问题1:AP拿到IP但不上线(状态idle)
现象:AP已获取管理IP,但AC上显示idle
排查思路:
-
AP能ping通AC吗?→ 不能
-
汇聚能ping通AC吗?→ 能
-
在AP上tracert AC,停在第二跳(核心)
-
核心有到AC的路由吗?→ 没有
原因:AC的OSPF配置错误——network 172.31.200.28 0.0.0.13(掩码写错,应该是0.0.0.3)
解决:修正OSPF network掩码,并添加network 172.31.200.254 0.0.0.0宣告Loopback
收获:OSPF的network掩码必须与实际接口掩码严格匹配,/30网段配0.0.0.3,主机路由配0.0.0.0
问题2:办公PC ping不通服务器
现象:办公PC能上网,但ping服务器不通
排查思路:
-
办公PC ping网关 → 通
-
办公PC ping核心 → 通
-
核心路由表有服务器网段吗?→ 没有
-
服务器核心OSPF邻居正常吗?→ 没有邻居
原因:服务器核心交换机没有把互联接口加入OSPF
解决:在服务器核心上添加network 172.31.200.60 0.0.0.3和network 172.31.200.64 0.0.0.3
收获:OSPF只发布通过network宣告的网段,直连路由不会自动发布
问题3:核心ping不通防火墙接口
现象:核心交换机ping防火墙内网口172.31.200.10不通
排查思路:
-
接口状态up吗?→ up
-
IP配置对吗?→ 对
-
防火墙安全策略有放行吗?→ 只有trust→untrust
原因:防火墙默认拒绝所有流量,访问防火墙自身接口需要trust→local策略
解决:
security-policy rule name trust_to_local source-zone trust destination-zone local service icmp action permit
收获:防火墙不同区域之间的流量都需要策略放行,包括访问防火墙自己
问题4:ACL配置导致权限相反
现象:客房能访问服务器,办公反而不能
原因:对流策略中ACL匹配逻辑理解错误
解决:用permit匹配客房网段,behavior做deny
收获:这是本次实验最大的收获——理解了MQC中ACL的permit/deny不是执行动作,而是“分类标签”
五、实验总结与收获
5.1 核心收获:建立分层排错思维
通过这次实验,我建立了自下而上、逐层排查的排错方法论:
| 层面 | 排查内容 | 核心命令 |
|---|---|---|
| 物理层 | 接口状态 | display interface brief |
| 链路层 | VLAN、Trunk、PVID | display port vlan |
| 网络层 | IP、路由表 | display ip routing-table |
| 传输层 | OSPF邻居、DHCP | display ospf peer |
| 应用层 | 策略、ACL | display traffic-policy |
5.2 关键技术理解
-
AP上线流程:DHCP拿IP → Option 43找AC → CAPWAP建隧道 → 下载配置 → 发射信号
-
PVID的本质:给不带标签的帧打上标签,AP启动时需要这个才能进入管理VLAN
-
OSPF路由发布:必须显式宣告业务网段和互联接口,邻居建立是路由传递的前提
-
MQC匹配逻辑:ACL的permit=匹配该类,deny=不匹配,与直接调用ACL的逻辑相反
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐
14
0- 0
已为社区贡献1条内容
所有评论(0)