锐捷AP做多SSID对应多VLAN穿透

刚好公司需求内外网的WIFI分离,我就用锐捷的设备做了个测试。

测试设备:锐捷AP-220-E

基本思路是这样的:

交换机和三层核心上已经做好了VLAN的划分,网关是在三层中。那么无线路由需要实现的是每一个SSID对应一个VLAN。
但是有一些特定的VLAN,比如是开发使用的内部网络,就需要更加安全的方式来部署。

现在假定已经三层上已经划分了这几个VLAN:

VLAN 100
VLAN 200
VLAN 300
100作为管理网络,200作为内部网络,300作为外部网络。

首先在AP中创建和上层对应的VLAN。

二层接入交换机连接AP的端口做trunk,AP连接后现做出3个虚拟网口
在其中输入 encapsulation dot1Q 以允许指定VLAN通过

interface GigabitEthernet 0/1.100
encapsulation dot1Q 100
!
interface GigabitEthernet 0/1.200
encapsulation dot1Q 200
!
interface GigabitEthernet 0/1.300
encapsulation dot1Q 300
然后在创建2个WLAN配置

在wlan里设置好要接入到哪一个VLAN

dot11 wlan 3
vlan 300
broadcast-ssid
ssid WIFI_A
!
dot11 wlan 4
vlan 200
broadcast-ssid
ssid WIFI_B
因为锐捷有2个 Radio 接口,我们需要分别对应做子接口
这里拿Radio_1来做示范,接口2也是同样
这里要记得,设置VLAN穿透后mac-mode必须为fat模式

interface Dot11radio 1/0.200
encapsulation dot1Q 200
mac-mode fat
mcast_rate 24
!
interface Dot11radio 1/0.300
encapsulation dot1Q 300
mac-mode fat
mcast_rate 24
接下来要进入Radio_1,配置WLAN_ID的关联

Ruijie(config)#interface Dot11radio 1/0
Ruijie(config-if-Dot11radio 1/0)#mac-mode fat
//mac-mode 模式必须为fat,否则会出现能搜索到信号,连接不上无线网络现象
Ruijie(config-if-Dot11radio 1/0)#channel 1 //信道1
Ruijie(config-if-Dot11radio 1/0)#power local 100 //发射功率100%
Ruijie(config-if-Dot11radio 1/0)#wlan-id 3 \与wlan3关联
Ruijie(config-if-Dot11radio 1/0)#wlan-id 4 \与wlan4关联
配置管理接口,这里的IP网段对应VLAN 100

interface BVI 100
no ip proxy-arp
ip address 192.168.0.233 255.255.255.0
配置默认路由

ip route 0.0.0.0 0.0.0.0 192.168.0.254
最后如果DHCP不是由AP来负责分发的,记得执行这段命令开启无线广播转发功能

data-plane wireless-broadcast enable
或者你也可以指定一下DHCP服务器的地址

service dhcp
ip fragment-quota 200
ip helper-address 192.168.1.3