H3C 镜像旁路认证设置案例,好东西与大家分享
H3C S3600镜像口对接旁路认证营销配置命令1. 环境描述某品牌连锁酒店,某分店有10层楼,每层楼有30个房间,共300个房间。网络核心采用H3C S3600三层交换机,每一层楼分一个TRUNK口,级联一个二层的VLAN交换机,每个房间对应一个VLAN和一个子网。原有网络拓扑图如下:http://forum.h3c.com.cn/data/attachment/forum/201509/08/105651js6an77wxya66sa6.png2. 旁路模式实施旁路认证需要在三层交换机上设置一个观察口和一个ACCESS口,都接在集客旁路认证网关上。如下图:http://forum.h3c.com.cn/data/attachment/forum/201509/08/105726eeeeiuv7wz6weee5.png
1) 在三层交换机上指定8号为观察口,把11~20号口的数据镜像给8号口。2) 8号观察口连接集客网关内网口NET1,NET1将作为旁路模式的监听口。3) 在三层交换机上指定7号口为ACCESS口,并划到三层交换机原有的上联VLAN 100。4) 7号口接集客网关的外网口NET2,NET2将作为旁路模式的回传口。5) 给集客网关NET2分配IP地址192.168.100.3/24, 网关为防火墙的IP地址192.168.100.2。注:ü 本案例中,11~20号口都为TRUNK模式,下面级联VLAN交换机。ü 楼层交换机也可以采用楼道端口隔离交换机,11~20号口则为ACCESS模式,本案例同样适用。ü 本案例中,服务器与办公电脑等不需要认证,不镜像数据即可。3. 三层交换配置3.1 配置镜像口本案例中,需要配置11~20号口做数据镜像,镜像方式是上下行都镜像。在华三S3600三层交换机上设置镜像11号口的命令如下:--------------------- <H3C>system-view interface Ethernet 1/0/11 mirroring-port both
---------------------注:有的交换机需要配置镜像组,请查相关手册
其中命令mirroring-port both,表示同时镜像上行和下行的数据。配置完成以后,执行dis this可以看到11号口的配置大致如下:----------------------dis this#interfaceEthernet1/0/11portlink-typetrunkundoporttrunk permitvlan 1porttrunk permitvlan 1601to 1630mirroring-portboth#return---------------------
注:dis this命令仅仅是察看当前的配置信息。
重复在12~20号口上做mirroring-port both操作,即完成了镜像口配置。
3.2 配置观察口如上图,我们选择8号口做观察口,同样的华三S3600三层交换机上配置如下:---------------------
<H3C>system-view interface Ethernet 1/0/8 monitor-port ---------------------
命令monitor-port设置了8号口为观察口,同样通过dis this命令可以看到本口的配置信息和状态----------------------dis this#interface Ethernet1/0/8monitor-port#return----------------------
3.3 设置回传口案例中用户原网络分了一个编号为100的VLAN用作上联口,配置了IP地址192.168.100.1/255.255.255.0,并将1号口划给了这个VLAN 100。我们将使用7号口作为通讯回传口,在这里,我们仅需要把这个口设置为ACCESS模式,并加入VLAN 100即可,命令如下:----------------------
<H3C>system-view interfaceEthernet1/0/7 port access vlan 100----------------------注:* 请根据实际情况配置7号口的VLAN号。* 也可以再创建一个VLAN,并指定IP地址和掩码,并将7号口加入到这个VLAN口,要求是集客网关接这个口可以同时访问内网和因特网。
同样使用dis this命令可以查看本接口的状态,如下:-----------------------displaythis#interface Ethernet1/0/7port access vlan 100#return
注:ü 请根据实际情况配置7号口的VLAN号。ü 也可以再创建一个VLAN,并指定IP地址和掩码,并将7号口加入到这个VLAN口,要求是集客网关接这个口可以同时访问内网和因特网。同样使用dis this命令可以查看本接口的状态,如下:-----------------------displaythis#interface Ethernet1/0/7port access vlan 100#return
集客网关选择旁路认证,并做对应配置即可实现旁路WIFI营销:http://forum.h3c.com.cn/data/attachment/forum/201509/08/110416jpfypefogkn2fen2.jpg
4旁路认证优势4.1 不更改网络结构新增WIFI营销设备,不得替换现有网络设备,或者增加网络层级,也不得变动路由路径。4.2 调试不断网升级改造过程中,产品安装调试确保用户上网不受影响。4.3故障有预案WIFI营销设备出现故障时,可以快速的恢复网络畅通,并不影响现在业务数据。4.4高性能原则WIFI营销设备,可适应千兆网络,不得对现有网络造成瓶颈。4.5网络可扩展WIFI营销设备不得给网络延伸或者将来的第三方设备接入造成障碍。
xiaoduoduo999 发表于 2015-10-26 09:35
看不懂,太复杂,不知所云。
这个没有一点网络基础知识确实是不太容易看懂在说什么 看不懂,太复杂,不知所云。 谢谢分享,很详细,很细致!很用心! LZ辛苦了:victory:
写的很详细,命令都打出来了
华为,锐捷...也来一份啊 帮顶,不明觉厉。 不错!!! 好文,学习中 友情帮顶:victory: 虽然看不到!但是赶脚很腻害:lol modi5156 发表于 2015-10-28 00:09
虽然看不到!但是赶脚很腻害
唉,遗憾了, 这么好的东西 LZ很用心
虽然看不懂,感觉很牛X:victory: 学习一下,虽然不懂啊
页:
[1]
2