小型企业使用pfSense单链路组网

Memoryn
Memoryn
3阅读
本文摘要本教程由群管理员鸡哥撰写,简称为鸡哥笔记,本笔记是单出口单链路也就是单臂路由技术,给初学者或者正在搭建小型企业的人员使用。 本教学笔记涉及到了单点出口、单点链路(单臂路由)、静态路由、vlan、dhcp、trunk、链路聚合、无线搭建技术。 本教学不涉及高级动态路由协议eigrp、ospf、isis、bgp、vxlan、vpn、多点出口、vrrp、bfd、负载均衡技术、lldp、ssh登陆等。 本...

本教程由群管理员鸡哥撰写,简称为鸡哥笔记,本笔记是单出口单链路也就是单臂路由技术,给初学者或者正在搭建小型企业的人员使用。
本教学笔记涉及到了单点出口、单点链路(单臂路由)、静态路由、vlan、dhcp、trunk、链路聚合、无线搭建技术。
本教学不涉及高级动态路由协议eigrp、ospf、isis、bgp、vxlan、vpn、多点出口、vrrp、bfd、负载均衡技术、lldp、ssh登陆等。
本教学涉及三方设备、防火墙pfsense、核心交换思科3560、华为ac6005-8。

架构拓扑以及说明

拓扑介绍

架构拓扑图

拓扑说明

连线说明:
连线说明

vlan说明:

  1. vlan5 设备间通信地址 192.168.5.0/24
  2. vlan30 设备lldp管理地址30.1.1.0/24
  3. vlan35 ap lldp管理地址33.1.1.0/24
  4. vlan100 有线网络10.10.100.0/24
  5. vlan200 无线网络10.10.200.0/24

互联地址说明:

  1. 华为ax3int0/4 ip10.10.20.1/24
  2. pfsense int0/0 ip10.10.20.2/24
  3. pfsense int0/1 ip 192.168.10.0/24

lldp管理地址说明:

  1. pfsense lldp 33.1.1.1/24
  2. cisco 3560 lldp 30.1.1.1/24
  3. 华为ac6005-8 lldp30.1.1.2/24
  4. 华为ap5760-51 lldp 35.1.1.3/24

注意:拓扑图上所有接口并没有IP地址,所有IP地址是由vlan管理ip承担负责路由收发。

Console口线缆配置

需要使用一根console线缆与交换机对接使用cl命令行来初始化交换机,把console线缆的USB接口插入到任意电脑中,使用ssh软件连接交换机。
console线缆连接示意图

Windows系统——右键此电脑——管理——计算机管理中左侧找到设备管理器——右边找到端口——查看是否有USBSerial Port(COM5),记住COM5我们使用ssh软件要连接这个com5。
设备管理器中查看COM端口

鸡哥使用securecrt软件进行连接,点击01快速连接,02协议选择serial,03选择com5usb,04选择9600,05点击连接。
SecureCRT串口连接设置

点击回车就可以进入交换机的命令行界面了。
进入交换机命令行界面

初始化设备

Pfsense防火墙设置

Pfsens防火墙设置wan口和lan口。wan口负责通向外网就是互联网,lan口是通向局域网,这两个接口通了后才能上网。

初始化pfsense

鸡哥的pfsense软路由ETH0接口默认为WAN口,ETH1接口默认为Lan口,所以我们找一台任意电脑,找一根网线连接我们的ETH1接口,连接上网线DHCP自动获取一个IP,ETH1接口默认管理地址为192.168.10.1(仅限于定制版本)。
pfsense软路由接口示意图

使用任意浏览器打开lan的管理地址192.168.10.1地址进行调试。输入默认账户admin/pfsense进行登陆。
pfsense登录页面

默认下一步。
初始设置向导

DNS改成你的上级路由地址、ISP提供的DNS或其他公共DNS,本示例使用上级路由器地址10.10.20.1。
DNS设置页面

时间服务器使用默认即可。
时间服务器设置

第4步中dhcp指的是wan口获取上级路由的ip地址。本示例使用dhcp获取,这里可以根据自己的网络情况进行配置。
WAN接口DHCP配置

因为是二级路由,RFC1918网络和阻止bogom网络前面的勾取消掉,点击下一步。
阻止RFC1918网络选项

LAN接口使用默认值。
LAN接口默认设置

更改admin管理员的默认密码。
更改管理员密码

点击下一步。
设置完成

点击完成。
初始化完成

转到仪表大厅,可以看到wan和lan接口已经初始化。
pfsense仪表盘

本地虚拟环回IP设置

说明:本地虚拟ip也就是本地环回IP,作用是测试、登陆设备使用。
点击菜单栏——虚拟地址。
虚拟地址菜单

点击添加。
添加虚拟IP页面

Localhost代表本地环回接口,地址为31.1.1.1/32位保存,之后使用31.1.1.1地址登陆pfsense防火墙系统。
环回地址配置详情

应用更改。
应用更改

使用虚拟环回IP登陆。
使用环回IP登录pfsense

思科3560交换机配置

说明:交换机互联是三层,但不是在接口上配置IP,我们通过接口Trunk模式,划分vlan后给vlan管理IP,通过vlan互联设备。

修改交换机名称

Switch>en          #进入特权模式
Switch#config      #进入全局命令模式
Switch(config)#hostname sw1-cisco3560   #修改交换机名称
sw1-cisco3560(config)#end   #退出到特权模式

华为ac6005-8交换机配置

说明:交换机互联是三层,但不是在接口上配置IP,我们通过接口Trunk模式,划分vlan后给vlan管理IP,通过vlan互联设备。

初始化设备

AC6005>sys         #进入系统视图
[AC6005]sysname ac6005-8   #修改名称
[ac6005-8]

链路聚合配置

注意:演示不同设备如何创建链路聚合的,在本示例中我们用到的是lacp模式负载为src-mac方式,在下文将不在概述。

pfsense防火墙链路聚合

在本次教学中我们使用链路聚合方式进行设置接口。链路聚合:多个物理接口绑定在一条虚拟链路中,做高可用增加带宽以及高可用。
单击LAGGs。
链路聚合LAGGs设置

选择添加。
添加链路聚合组

使用键盘ctrl按键+鼠标左键选中我们要链路聚合的接口即可,LAGG协议选择LACP模式,其他选项保持默认即可。
选择接口与LACP协议配置

点击保存。
保存链路聚合配置

思科3560链路聚合

sw1-cisco3560#enable          #进入特权模式
sw1-cisco3560#config          #进入全局命令模式
sw1-cisco3560(config)#interface port-channel 1   #创建链路聚合1组
sw1-cisco3560(config-if)#exit   #退出
sw1-cisco3560(config)#port-channel load-balance src-mac   #负载均衡源MAC
sw1-cisco3560(config)#interface range gigabitEthernet 0/49-50   #进入0/49-50接口
sw1-cisco3560(config-if-range)#shutdown   #关闭接口
sw1-cisco3560(config-if-range)#channel-group 1 mode active   #lacp主动模式
sw1-cisco3560(config-if-range)#switchport trunk encapsulation dot1q   #协议dot1q
sw1-cisco3560(config-if-range)#switchport mode trunk   #模式trunk
sw1-cisco3560(config-if-range)#switchport trunk allowed vlan all   #允许所有vlan通过
sw1-cisco3560(config-if-range)#no shutdown   #开启接口
sw1-cisco3560(config-if-range)#end   #退出到特权模式
sw1-cisco3560# show ip interface brief   #查看接口是否已经启动(up状态)查看0/49-50接口和port-channel1接口是否up即可

思科交换机接口状态查看

华为ac6005-8链路聚合

[ac6005-8]interface Eth-Trunk 1   #创建链路聚合1组
[ac6005-8-Eth-Trunk1]mode lacp-static   #模式为lacp
[ac6005-8-Eth-Trunk1]load-balance src-mac   #负载模式src-mac
[ac6005-8-Eth-Trunk1]trunkport GigabitEthernet 0/0/7 to 0/0/8   #07-08接口加入
[ac6005-8-Eth-Trunk1]port link-type trunk   #接口更改为trunk
[ac6005-8-Eth-Trunk1]port trunk allow-pass vlan all   #所有vlan通过
[ac6005-8-Eth-Trunk1]quit   #退出到系统视图

配置vlan

通常我们都是在核心交换机或者汇聚层做vlan设置,我们在思科3560核心交换机做vlan,但是其他设备上要同步vlan的ID。

思科3560交换机配置vlan

sw1#config
sw1(config)#vlan 5,30,35,100,200   #批量创建vlan

vlan5配置   #设备通信vlan
sw1(config)#interface vlan 5
sw1(config-if)#ip address 192.168.5.2 255.255.255.0
sw1(config-if)#exit

vlan30配置   #交换机路由器管理vlan
sw1(config)#interface vlan 30
sw1(config-if)#ip address 30.1.1.254 255.255.255.0
sw1(config-if)#exit

vlan35配置   #ap管理vlan
sw1(config)#interface vlan 35
sw1(config-if)#ip address 35.1.1.1 255.255.255.0
sw1(config-if)#exit

vlan100配置   #有线网络
sw1(config)#interface vlan 100
sw1(config-if)#ip address 10.10.100.254 255.255.255.0
sw1(config-if)#exit

vlan200配置   #有线网络(应为无线网络)
sw1(config)#interface vlan 200
sw1(config-if)#ip address 10.10.200.254 255.255.255.0
sw1(config-if)#exit

华为ac6005配置vlan

<AC6005>sys
[AC6005]vlan batch 5 30 35 100 200   #批量创建vlan

Vlan5配置   #设备通信
[AC6005]interface Vlanif 5
[AC6005-Vlanif5]ip address 192.168.5.3 255.255.255.0

Vlan30配置   #设备通信
[AC6005]interface Vlanif 30
[AC6005-Vlanif5]ip address 30.1.1.1 255.255.255.0

Vlan 35 100 200   #不需要配置只需要创建ID后同步思科3560

配置DHCP

我们在思科3560核心交换机配置DHCP即可。

思科3560配置DHCP

sw1#config

#vlan30 DHCP
sw1(config)#ip dhcp pool vlan30
sw1(dhcp-config)#network 30.1.1.0 255.255.255.0
sw1(dhcp-config)#default-router 30.1.1.254
sw1(dhcp-config)#dns-server 10.10.20.1
sw1(config)#exit

#vlan35 DHCP
sw1(config)#ip dhcp pool vlan35
sw1(dhcp-config)#network 35.1.1.0 255.255.255.0
sw1(dhcp-config)#default-router 35.1.1.254
sw1(dhcp-config)#dns-server 10.10.20.1
sw1(dhcp-config)#option 43 ip 30.1.1.1   #这个是ac管理地址
sw1(dhcp-config)#exit

#vlan100 DHCP
sw1(config)#ip dhcp pool vlan100
sw1(dhcp-config)#network 10.10.100.0 255.255.255.0
sw1(dhcp-config)#default-router 10.10.100.254
sw1(dhcp-config)#dns-server 10.10.20.1
sw1(dhcp-config)#exit

#vlan200 DHCP
sw1(config)#ip dhcp pool vlan200
sw1(dhcp-config)#network 10.10.200.0 255.255.255.0
sw1(dhcp-config)#default-router 10.10.200.254
sw1(dhcp-config)#dns-server 10.10.20.1
sw1(dhcp-config)#exit

华为ac6005配置DHCP

<AC6005>sys
[AC6005]undo dhcp enable   #关闭DHCP
Warning: All DHCP functions will be disabled. Continue? [Y/N]y
[AC6005]

配置静态路由

Pfsense配置静态路由

登陆pfsense,转到系统—路由管理。
pfsense路由管理

点击添加。
添加静态路由按钮

接口选择连接思科3560交换机那个口,网关填写思科3560交换机的vlan5的网关,点击保存。
静态路由网关配置

单击静态路由,点击添加。
添加静态路由详情

目标网络是交换机内部的vlan的网络,包含了vlan5,30,35,100,200的网络,这里填写的是8位汇总网络,或者写明详细路由都可以。
目标网络地址填写

添加以下汇总网络,均都是思科3560交换机内部网络。
已添加的静态路由列表

思科3560交换机配置静态路由

sw1#config
sw1(config)#ip routing   #开启三层路由功能
sw1(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1   #所有路由指向出口192.168.5.1

华为ac6005配置静态路由

<AC6005>sys
[AC6005]ip route-static 0.0.0.0 0.0.0.0 192.168.5.1   #所有路由指向出口192.168.5.1

Wlan无线设置

华为ac6005配置

ac6005 设置vlan

连接ap的业务口分配vlan35,vlan35是管理ap的。

[AC6005]interface GigabitEthernet 0/0/1   #进入1接口,AP连接的口
[AC6005-GigabitEthernet0/0/1]port link-type access   #更改为access
[AC6005-GigabitEthernet0/0/1]port default vlan 35   #更改为vlan35,ap管理vlan
[AC6005-GigabitEthernet0/0/1]quit

AC6005配置AC并添加源IP

使用浏览器登陆华为ac6005,密码就是你更改的密码,默认账户/密码:admin/admin@huawei.com
华为AC6005登录页面

默认即可。
AC初始化向导步骤1

默认即可。
AC初始化向导步骤2

默认即可。
AC初始化向导步骤3

点击下一步。
AC初始化向导下一步

添加源IP,点击下一步。
添加AC源IP地址

点击完成。
AC配置完成

添加AP

点击左侧AP配置——点击AP设备类型——点击未定义的AP设备类型列表——选中我们所需要的ap5760-51——点击添加所有AP类型
未定义AP设备类型列表

显示手动添加正常。
手动添加AP类型成功

建立SSID无线热点

选择配置向导—无线业务—SSID列表—新建
新建SSID无线热点

SSID名字随意—转发模式隧道模式—选择单个vlan—输入vlan编号200(拓扑规划得出)。
SSID名称与VLAN配置

认证模式选择个人网络即可(企业级建议选择统一认证)。
认证模式选择个人网络

点击完成。
SSID创建完成

绑定ap组是策略—生效射频0.1.2分别代表2.4和5g可以关闭2.4,—点击完成。
绑定AP组和射频设置

AP上线

配置—ap上线—选中ap后—点击全部认证—点击下一步。
AP上线全部认证

选中ap——下一步
选择AP后下一步

点击完成即可。
AP上线完成

手机或电脑搜索ssid热点名称ap6570-51——输入密码即可上网
手机搜索到的Wi-Fi热点

Sid如何分开2.4和wifi6

Ap配置——ap组配置——ap组——选择default进入。
AP组配置界面

找到射频管理——射频0是2.4G,关闭即可,这样这个ssid就没有2.4g射频了。
射频管理关闭2.4G

原文下载

觉得内容不错?我要

版权声明
本文作者:Memoryn
本文链接:https://www.memoryn.com/archives/4489/
转载需注明文章出处,若本文内容有侵犯到您合法权益,请联系站长删除
评论 暂无评论
暂无评论,快来抢沙发吧~