锐捷AP做多SSID对应多VLAN穿透

刚好公司需求内外网的WIFI分离,我就用锐捷的设备做了个测试。

测试设备:锐捷AP-220-E

基本思路是这样的:

交换机和三层核心上已经做好了VLAN的划分,网关是在三层中。那么无线路由需要实现的是每一个SSID对应一个VLAN。
但是有一些特定的VLAN,比如是开发使用的内部网络,就需要更加安全的方式来部署。

现在假定已经三层上已经划分了这几个VLAN:

VLAN 100
VLAN 200
VLAN 300
100作为管理网络,200作为内部网络,300作为外部网络。

首先在AP中创建和上层对应的VLAN。

二层接入交换机连接AP的端口做trunk,AP连接后现做出3个虚拟网口
在其中输入 encapsulation dot1Q 以允许指定VLAN通过

interface GigabitEthernet 0/1.100
encapsulation dot1Q 100
!
interface GigabitEthernet 0/1.200
encapsulation dot1Q 200
!
interface GigabitEthernet 0/1.300
encapsulation dot1Q 300
然后在创建2个WLAN配置

在wlan里设置好要接入到哪一个VLAN

dot11 wlan 3
vlan 300
broadcast-ssid
ssid WIFI_A
!
dot11 wlan 4
vlan 200
broadcast-ssid
ssid WIFI_B
因为锐捷有2个 Radio 接口,我们需要分别对应做子接口
这里拿Radio_1来做示范,接口2也是同样
这里要记得,设置VLAN穿透后mac-mode必须为fat模式

interface Dot11radio 1/0.200
encapsulation dot1Q 200
mac-mode fat
mcast_rate 24
!
interface Dot11radio 1/0.300
encapsulation dot1Q 300
mac-mode fat
mcast_rate 24
接下来要进入Radio_1,配置WLAN_ID的关联

Ruijie(config)#interface Dot11radio 1/0
Ruijie(config-if-Dot11radio 1/0)#mac-mode fat
//mac-mode 模式必须为fat,否则会出现能搜索到信号,连接不上无线网络现象
Ruijie(config-if-Dot11radio 1/0)#channel 1 //信道1
Ruijie(config-if-Dot11radio 1/0)#power local 100 //发射功率100%
Ruijie(config-if-Dot11radio 1/0)#wlan-id 3 \与wlan3关联
Ruijie(config-if-Dot11radio 1/0)#wlan-id 4 \与wlan4关联
配置管理接口,这里的IP网段对应VLAN 100

interface BVI 100
no ip proxy-arp
ip address 192.168.0.233 255.255.255.0
配置默认路由

ip route 0.0.0.0 0.0.0.0 192.168.0.254
最后如果DHCP不是由AP来负责分发的,记得执行这段命令开启无线广播转发功能

data-plane wireless-broadcast enable
或者你也可以指定一下DHCP服务器的地址

service dhcp
ip fragment-quota 200
ip helper-address 192.168.1.3

WDS+MDT自动化部署操作系统 (五)MDT驱动的自动安装

部署系统最烦人的不是安装的过程,而是驱动和软件这两个大头。

这里简单介绍一下MDT的驱动开箱即用功能(out-of-Box Drivers)

首先我们需要收集目标机器的驱动程序。在企业中往往各种型号的机器非常多,可能有品牌机,也有组装机。这样种类繁多的机器驱动安装起来简直蛋疼啊。

我这里就以 DELL 3020 台式机的驱动作为示范。

首先,上官网下载所有的驱动程序下来,然后将驱动程序统统解压开。

需要注意的是,驱动程序必须是“.inf”格式的。

将所有驱动程序都解压后放到一个文件夹内

右键导入驱动

选择驱动所在的文件夹

等待自动执行导入完成

导入完成后就可以看见所有导入的驱动,完成后记得更新下项目。
更新时会自动将磁盘驱动和一些启动过程中可能用到的驱动自动封装到启动映像里。
记得每一次更新完成后,都要去WDS内重新导入下新的启动镜像哦~!

WDS+MDT自动化部署操作系统 (四)MDT关键配置文件介绍

在上一个博文中已经介绍了MDT的自动化部署,全程大多数情况下无需人工操作了。
那么如何更加的自动化的来部署系统呢?

MDT是使用配置文件来控制整个部署过程,其中最关键的文件是Bootstrap.ini和CustomSettings.ini

首先,我们先看一下CustomSettings.ini这个。

打开项目的属性,找到”Rules”这个标签。

这里是自动生成的默认内容。

在左下角,可以看见有一个”Edit Bootstrap.ini”的按钮。我们点开查看下现在Bootstrap.ini里的内容。

还记得上一个教程中出现的部署过程中需要选择的几个选项么?
这两个文件正是控制这些选项的。

Bootstrap.ini文件主要控制Win_PE环境启动后的那个界面,当启动完成后我们需要选择键盘的种类,然后在输入有权限访问共享文件夹的账户。这里我提供一个范例的文件并配上注解。

[Settings]
Priority=Default //优先级,配置参数排在越前面越优先,也就是可以有多个参数
[Default] //上面优先级中定义的配置文件
DeployRoot=\\WDS-MDT-Server\DeploymentShare$ //共享路径的访问地址
KeyboardLocalePE=0804:00000804 //键盘区域的选择,这个是中文键盘的代码
UserID=adin //有权限访问这个共享目录的用户
UserPassword=123456789 //用户密码
UserDomain=wds.com //用户所属于的域
SkipBDDWelcome=YES //是否跳过欢迎界面

这里的KeyboardLocalePE可以参考微软的这个网页:https://technet.microsoft.com/en-us/library/cc766503(WS.10).aspx

组成模式是后四位:去掉”0x”的后续

接下来这两个验证过后,就到了选择任务的界面。选择完成任务后,后续的操作就将读取CustomSettings.ini作为配置文件执行。

这里我也贴上范例的配置文件:

[Settings]
Priority=Default
Properties=MyCustomProperty
[Default]
OSInstall=Y //是否安装系统
SkipCapture=YES //是否跳过镜像捕获
SkipAdminPassword=YES //是否跳过设置管理员密码
SkipProductKey=YES //是否跳过输入密钥
SkipComputerBackup=YES //是否跳过计算机的备份,这个功能是USMT提供
SkipBitLocker=YES //跳过BitLocker的设置
SkipUserData=YES //跳过用户设置导入
SkipLocaleSelection=YES //跳过用户区域设置
KeyboardLocale=0804:00000804 //键盘模式,同样是中文键盘
UserLocale=zh-cn //用户区域
UILanguage=zh-cn //用户语言
SkipTimeZone=YES //跳过时区设置
TimeZoneName=China Standard Time //设置默认时区,这里设置为中国默认时间
JoinDomain=wds.com //加入域的选项,这里输入要加入的域名就可以
DomainAdmin=adin //有权限加入域的账户
DomainAdminDomain=wds.com
DomainAdminPassword=123456789
XResolution=1 //接下来这三个参数算一个小hack,这样设置后会在进入系统后自动设置合适的分辨率
YResolution=1
BitsPerPel=32
EventService=http://WDS-MDT-Server:9800 // Monitoring服务器地址

因为是真实环境截图,图中的服务器部分马赛克了。

这里提供一个连接给各位,关于CustomSettings.ini内各种配置的作用。
因为某神奇的玩意的存在,可能网页会出现问题,我这里提供一个简单的PDF版。