战神图录

三国赤壁，乱石穿空，惊涛拍岸。公瑾立于船头，轻摇羽扇，谈笑之间，北魏战船火光四起、哀嚎震天。此一战，曹孟德中周瑜火攻之计，败局既定，率军走华容出逃，孙刘联军一举挫败北魏一统天下之野心。三国野史记曰：赤壁战前，诸葛亮算定曹操必败走华容，且夜观天象，曹操不当身亡，于是派与曹有旧情之关云长把守华容道，果然曹遇关羽，而羽恋及旧日恩情，义释曹操，曹得以回到江陵。然时空穿越千年，事中真假何人辨。曹果真幸而被羽所放？而这一切又在神诸葛之计算之中？未必然也！旧语新说“百日维新”载，曹操赤壁脱险、败走华容，乃AC VIP通道助力之功也，后曹魏三分天下，亦有AC VIP之功绩所在。不管你信还是不信，反正我是信了。且看AC VIP通道如何助力曹操出逃。

一、 神功之妙用：

江湖险恶，企业网络为了安全，需要隔离访客VIP用户和企业内网用户的数据流量，传统的隔离技术是通过VLAN来实现的，而这种方式配置繁琐，需要对整个网络设备作VLAN调整。无线控制器AC除了支持VLAN方式的传统隔离技术外，还支持VIP通道隔离技术，实现简单，不需要有线网络做任何改动。当访客连接上企业的Guest SSID之后，访客的所有流量会通过IACTP隧道封装二层数据帧的方式在不同的AC间传输，最终统一由一台AC出口到Internet，从而起到保护企业内网安全的作用。

此神功简单强大，有暗度陈仓之效。岂有曹孟德不用之理，否则枉为一世枭雄也。

二、 曹操的逃跑路线：

图1

以上图为例，蜀吴AC和曹魏AC均使用H3C WX5004控制器，通过GigabitEthernet1/0/1与Switch相连。GigabitEthernet1/0/1只允许VLAN1报文通过。蜀吴AC和江陵AC间建立漫游组，并指定IACTP隧道封装的数据VLAN为VLAN3。

AP注册到蜀吴AC上，释放“赤壁大战”的访客SSID。曹操战船被烧之后，乘小舟化为Client接入访客SSID，属于业务VLAN3。上岸之后，曹操混入乱军流民之中，逃窜到蜀吴AC。但此地乃蜀吴势力范围，敌军游走于大街，正四处搜捕自己。在逃跑路线上，往北面Switch方向有蜀吴重兵设防，必须有VLAN1的“良民标识”才能过，曹操贴了VLAN3标签，硬闯关隘肯定不行。正在曹操心急如焚之际，想起了一直藏在兜里的H3C独门秘籍——“百日维新”，此秘籍乃曹操东征西伐贴身必备之宝物，屡屡救主于危难之际。于是便加查阅，而心神稍定。只见曹操缓缓使出缩骨术，走进IACTP封装的时空隧道，一路向东，到得江陵，此后乃有了魏蜀吴鼎立之势。

三、 内功心法：

1、主要配置事项

（1）配置蜀吴AC、江陵AC与Switch连接的物理接口

# 配置GigabitEthernet 1/0/1为hybrid，允许VLAN1通过，不允许VLAN3通过。

<蜀吴AC> system-view

[蜀吴AC] interface GigabitEthernet 1/0/1

[蜀吴AC-GigabitEthernet1/0/1] port link-type hybrid

[蜀吴AC-GigabitEthernet1/0/1] port hybrid vlan 1 untagged

江陵AC的配置步骤与蜀吴AC相同。

（2）配置蜀吴AC和江陵AC的VLAN接口

# 蜀吴AC的配置

# 配置VLAN1接口的IP地址。

[蜀吴AC] interface vlan-interface 1

[蜀吴AC-Vlan-interface1]ip address 192.168.2.55 255.255.255.0

[蜀吴AC-Vlan-interface1] quit

# 创建VLAN3，并配置VLAN3接口的IP地址。

[蜀吴AC] vlan 3

[蜀吴AC-vlan3] quit

[蜀吴AC] interface vlan-interface 3

[蜀吴AC-Vlan-interface3] ip address 192.168.3.100 255.255.255.0

# 江陵AC的配置

# 配置VLAN1接口的IP地址。

<江陵AC> system-view

[江陵AC] interface vlan-interface 1

[江陵AC-Vlan-interface1] ip address 192.168.2.54 255.255.255.0

[江陵AC-Vlan-interface1] quit

# 创建VLAN3，并配置VLAN3接口的IP地址。

[江陵AC] vlan 3

[江陵AC-vlan3] quit

[江陵AC] interface vlan-interface 3

[江陵AC-Vlan-interface3] ip address 192.168.3.55 255.255.255.0

[江陵AC-Vlan-interface3] quit

（3）在蜀吴AC上配置无线服务

# 配置无线服务

# 创建WLAN-ESS接口为hybrid，允许VLAN1通过。

[蜀吴AC] interface WLAN-ESS 0

[蜀吴AC-WLAN-ESS0] port link-type hybrid

[蜀吴AC-WLAN-ESS0] port hybrid vlan 1 untagged

# 配置WLAN服务模板（明文模板），配置SSID为“赤壁大战”，并将WLAN-ESS接口与该服务模板绑定。

[蜀吴AC] wlan service-template 1 clear

[蜀吴AC-wlan-st-1] ssid 赤壁大战

[蜀吴AC-wlan-st-1] bind WLAN-ESS 0

# 配置WLAN-ESS 0。

[蜀吴AC] interface WLAN-ESS 0

[蜀吴AC-WLAN-ESS0] port link-type hybrid

[蜀吴AC-WLAN-ESS0] port hybrid vlan 1 untagged

# 配置mac-vlan功能，并使能服务模板。

[蜀吴AC-WLAN-ESS0] mac-vlan enable

[蜀吴AC-WLAN-ESS0] wlan service-template 1

[蜀吴AC-wlan-st-1] service enable

# 创建AP模板，并与无线服务模板1绑定，业务VLAN为VLAN3。

[蜀吴AC] wlan ap ap1 model WA2620-AGN

[蜀吴AC-wlan-ap-ap1] serial-id 210235A29G007C000020

[蜀吴AC-wlan-ap-ap1] radio 1

[蜀吴AC-wlan-ap-ap1-radio-1] service-template 1 vlan 3

[蜀吴AC-wlan-ap-ap1-radio-1] radio enable

[蜀吴AC-wlan-ap-ap1-radio-1] quit

（4）配置漫游组

# 在蜀吴AC上配置漫游组

# 在蜀吴AC上创建漫游组，并配置漫游组源IP地址为蜀吴AC的IP地址。

[蜀吴AC] wlan mobility-group systemgroup

[蜀吴AC-wlan-mg-systemgroup] source ip 192.168.2.55

# 配置漫游组成员地址为江陵AC的IP地址，指定IACTP隧道的VLAN为VLAN3，并使能漫游组。

[蜀吴AC-wlan-mg-systemgroup] member ip 192.168.2.54 vlan 3

[蜀吴AC-wlan-mg-systemgroup] mobility-group enable

# 江陵AC上创建漫游组

# 在江陵AC上创建漫游组，并配置漫游组源IP地址为江陵AC的IP地址。

[江陵AC] wlan mobility-group systemgroup

[江陵AC-wlan-mg-systemgroup] source ip 192.168.2.54

# 配置漫游组成员地址为蜀吴AC的IP地址，指定IACTP隧道所在的VLAN为VLAN3，并使能漫游组。

[江陵AC-wlan-mg-systemgroup] member ip 192.168.2.55 vlan 3

[江陵AC-wlan-mg-systemgroup] mobility-group enable

2、结果验证

Client通过AP1上线，在Client上ping江陵AC的VLAN3接口IP地址192.168.3.55，可以ping通。

四、 抓包看神功之究竟：

AC间的VIP通道，即IACTP隧道，采用UDP通信，源目的端口号均为18001，隧道中直接封装客户端的以太网数据帧。在截图中，可以看到客户端IP为192.168.3.1（C0 A8 03 01），MAC为2477-038F-8E68；网关IP为192.168.3.55（C0 A8 03 37），MAC为3CE5-A6CF-E33F；且携带VLAN3标签。