一、需求

在无线接入区内，当Lsw1的上联口出现故障时，需要通过AP1-LSw1-LSw2-LSw3的路径访问公网server3。这是因为AP1通过无线网连接到LSw1，而LSw1与LSw3之间的链路出现故障，无法直接访问公网server3。因此，流量需要通过LSw2进行转发，然后通过LSw3访问公网server3。

在有线接入区内，当Lsw2的上联口出现故障时，需要通过Lsw2-LSw1-LSw3的路径访问公网server。因为终端C通过有线网连接到LSw2，而Lsw2与LSw3之间的链路出现故障，无法直接访问公网server。因此，流量需要通过LSw1进行转发，然后通过LSw3访问公网server。

在无线接入区内，当Lsw1的上联口出现故障时，需要在LSw1和LSw2之间添加一个备用路径。具体配置命令如下：

实验过程：

二、配置命令

1. 首先进行VLAN划分，将无线划分为VLAN10，管理AP划分为VLAN20，有线网划分为VLAN30.
2. 在LSW1和LSW2之间配置链路聚合，同时配置LSW1，LSW2，LSW3之间互联链路为trunk链路并且放行VLAN10，20，30，100的VLAN通过
3. 先在LSW3设备上面配置VLANif10，VLANif30的IP地址以及地址池，同时部署DHCP协议，使得无线终端和有线终端获取IP地址
4. 在AC1上部署VLANif20，同时配置地址池，并且配置dhcp使得AP获取到地址。
5. 配置设备管理VLANif100，对设备进行管理
6. 配置静态路由将外网打通以及设备管理打通
7. 配置telnet协议，采用aaa认证
8. 配置无线，无线ssid模板，安全模板，VAP模板，进行绑定，绑定到AP1，使得能终端能获取到VLAN10的地址。
9. 最后配置NAT策略，VLAN10和VLAN30的流量经过NAT转换。

 

具体配置如下： 

LSW1：
sysname LSW1
#
设备更改设备名
vlan batch 10 20 30 100
#
interface Vlanif100ip address 192.168.100.1 255.255.255.0
#
interface MEth0/0/1
#
interface Eth-Trunk10port link-type trunkport trunk allow-pass vlan 2 to 4094mode lacp-static
#
interface GigabitEthernet0/0/1eth-trunk 10
#
interface GigabitEthernet0/0/2eth-trunk 10
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 20 30 100
#
interface GigabitEthernet0/0/4port link-type trunkport trunk pvid vlan 20port trunk allow-pass vlan 2 to 4094创建VLAN，配置ETh-trunk10，同时在交换机互联接口配置trunk接口允许VLAN10，20，30，100通过ip route-static 0.0.0.0 0.0.0.0 192.168.100.3 description guanli
#
配置管理VLAN静态路由。local-user admin password cipher admin@huawei123local-user admin privilege level 15local-user admin service-type telnet
user-interface vty 0 4authentication-mode aaauser privilege level 15
#
配置telnet，使得其他设备能够远程到LSW1.LSW2配置：
interface Vlanif100description guanlivlanip address 192.168.100.2 255.255.255.0
#
interface MEth0/0/1
#
interface Eth-Trunk10port link-type trunkport trunk allow-pass vlan 10 20 30 100mode lacp-static
#
interface GigabitEthernet0/0/1eth-trunk 10
#
interface GigabitEthernet0/0/2eth-trunk 10
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 30
#
interface GigabitEthernet0/0/4port link-type trunkport trunk allow-pass vlan 10 20 30 100
创建VLAN，配置ETh-trunk10，同时在交换机互联接口配置trunk接口允许VLAN10，20，30，100通过ip route-static 0.0.0.0 0.0.0.0 192.168.100.3 description guanli
#
配置管理VLAN的缺省路由local-user admin password cipher admin@huawei123local-user admin privilege level 15local-user admin service-type telnet
user-interface vty 0 4authentication-mode aaauser privilege level 15配置telnet协议，使得其他设备能够远程。LSW3配置：Sysname LSW3
配置设备名称
vlan batch 10 20 30 40 100
#创建VLANstp instance 0 root primary
配置STP协议，使得LSW3成为根桥ip pool vlan10gateway-list 172.16.10.1network 172.16.10.0 mask 255.255.255.0
#
ip pool vlan30gateway-list 192.168.30.1network 192.168.30.0 mask 255.255.255.0
配置VLAN10，VLAN30的地址池。
interface Vlanif10ip address 172.16.10.1 255.255.255.0dhcp select global
#
interface Vlanif30ip address 192.168.30.1 255.255.255.0dhcp select global
#
interface Vlanif40ip address 192.168.40.1 255.255.255.252
#
interface Vlanif100ip address 192.168.100.3 255.255.255.0
#
配置VLANif10，30，100，40接口IP地址，以及部署DHCP协议
interface MEth0/0/1
#
interface GigabitEthernet0/0/1port link-type accessport default vlan 40
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 10 20 30 100
#
interface GigabitEthernet0/0/4port link-type trunkport trunk allow-pass vlan 10 20 30 100创建VLAN，配置ETh-trunk10，同时在交换机互联接口配置trunk接口允许VLAN10，20，30，100通过AC1配置：sysname AC1
#
vlan batch 20 100
创建VLANip pool vlan20gateway-list 172.16.20.1 network 172.16.20.0 mask 255.255.255.0 
配置dhcp地址池vlan20interface Vlanif20ip address 172.16.20.1 255.255.255.0dhcp select globalinterface Vlanif100ip address 192.168.100.4 255.255.255.0
#
配置vlanif20，vlanif100接口IP地址
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 4094
配置接口允许所有VLAN流量通过ip route-static 0.0.0.0 0.0.0.0 192.168.100.3 description guanli
#
配置管理VLAN静态路由
capwap source interface vlanif20
配置capwap隧道建立使用的源地址。ssid-profile name linsenssid linsen
配置ssid模板，也就是无线名称security-profile name linsensecurity wpa psk pass-phrase LS123456 aes
配置安全模板，也就是无线密码vap-profile name linsenservice-vlan vlan-id 10ssid-profile linsensecurity-profile linsen
配置vap模板管理ssid和安全模板，并且使得终端获取地址通过VLAN10获取。ap-group name linsen   radio 0vap-profile linsen wlan 1radio 1vap-profile linsen wlan 1radio 2vap-profile linsen wlan 1配置AP组的名称，并且将VAP模板关联Radio，放出无线信号。ap-id 1 type-id 56 ap-mac 00e0-fcb8-74f0 ap-sn 2102354483105F62B311ap-name linsenap-group linsen配置AP认证为MAc认证，并且指定AP组为linsen，以及AP名称为linsenAR1配置：sysname AR1
设备名称更改为AR1
interface GigabitEthernet0/0/1ip address 192.168.40.2 255.255.255.252 
#
interface GigabitEthernet0/0/2ip address 218.221.226.1 255.255.255.252 nat outbound 3000
#
配置接口IP地址，在G0/0/2口部署easy-ip方式，进行NAT转换，也就是说匹配ACL3000的地址都会转化成接口g0/0/2接口IP地址。
interface NULL0
#
ip route-static 172.16.10.0 255.255.255.0 192.168.40.1
ip route-static 172.16.20.0 255.255.255.0 192.168.40.1
ip route-static 192.168.30.0 255.255.255.0 192.168.40.1
ip route-static 192.168.100.0 255.255.255.0 192.168.40.1
配置回程路由，以及设备管理路由acl number 3000  rule 5 permit ip source 172.16.10.0 0.0.0.255 rule 15 permit ip source 192.168.30.0 0.0.0.255 
配置ACL3000，允许有线网VLAN30，无线网VLAN10的数据包进行NAT转化，使得访问server端。

三、验证 

无线验证：

放出信号为linsen，继续查看IP地址获取情况：

IP地址为：可以看到获取了VLAN10的地址，网关为192.168.10.1

 

查看无线访问server：

 

可以观察到能访问到server端。

继续测试有线网络情况：

 可以看到PC1获取到了VLAN30的地址，网关为192.168.30.1，继续测试器是否能够访问外网。

继续测试当LSW2上联故障是否还能进行访问。

 

可以观察到依旧能进行访问，

测试telnet协议：

在LSW3设备上使用telnet协议登录LSW1设备，如下所示：

 

可以看到LSW3远程上了LSW1。

NAT测试：

在pc1访问server时在AR1设备查看是否进行NAT转换：

 

可以观察到源地址转换成了218.221.226.1地址，因此NAT转换成功。