本举例是在F100-C-A6-WL的R9660版本上进行配置和验证的。
如下图所示,Device分别通过Management安全域和Untrust安全域与局域网和Internet相连。现在需要配置无线功能,使内网用户可通过无线接入设备访问Internet。
当搜索无线网络时,搜索不到对应的SSID,请先检查设备上是否配置了隐藏SSID功能。
设备默认将Vlan-interface1加入了Management安全域并设置了IP地址/掩码长度为192.168.20.1/24,并已配置了基础的DHCP和DNS功能,管理员可直接使用缺省配置。如果默认配置不满足当前组网需求,管理员也可根据实际组网情况,参考缺省配置进行修改(缺省配置可通过执行display default-configuration命令查看)。
配置各接口IP地址并将接口加入对应的安全域
# 选择“网络 > 接口 > 接口“,单击GE1/0/2右侧的<编辑>按钮,进入修改接口设置页面,配置如下。
安全域:Untrust
选择“IPv4地址”页签,配置IP地址/掩码长度:20.1.1.1/24
其他的配置项保持默认情况即可
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
设备缺省已将Vlan-interface1加入了Management安全域并设置了IP地址/掩码长度为192.168.20.1/24,如需修改,请根据实际组网需求并参考上述步骤进行配置。
配置路由
本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。
请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。
# 新建IPv4静态路由,并进行如下配置:
目的IP地址:5.5.5.0
掩码长度:24
下一跳IP地址:20.1.1.2
其他配置项使用缺省值
# 单击<确定>按钮,完成静态路由的配置。
配置安全策略
为了保证内网用户可通过设备访问Internet,需要放行Vlan-interface1所在安全域Management和Untrust安全域之间的报文。
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:test-a
源安全域:Management
目的安全域:Untrust
类型:IPv4
动作:允许
源IPv4地址:192.168.20.0/24
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
如果将Vlan-interface1添加到了其他安全域(非Management安全域),为了保证Vlan-interface1可以通过DHCP服务获取IP地址,则需要单独创建一个安全策略,放行Vlan-interface1所属安全域与Local安全域之间的报文。
配置无线功能
# 选择“网络 > 无线 > 无线配置”,进入无线配置页面。
# 单击<新建>按钮,进入新建无线服务配置页面,配置如下:
SSID:wifi
VLAN接口:1
接入密码:123456789
其他的配置项保持默认情况即可
图-2 配置无线功能
# 单击<确定>按钮,完成无线功能配置。
配置DHCP地址池,为无线接入用户分配IP地址
# 设备缺省已配置DHCP相关功能,可通过执行display default-configuration命令查看具体参数。如需修改,可参考缺省配置并根据实际组网环境进行修改。
配置DNS功能
# 设备缺省已配置DNS功能,可通过执行display default-configuration命令查看具体参数。如需修改,可参考缺省配置并根据实际组网环境进行修改。
以上配置完成后,内网用户可通过无线接入设备访问Internet。管理员可到“网络 > 无线 > 无线信息”页面查看在线无线终端信息、无线终端统计信息、信噪比分布和速率分布等内容。