H3C 多SSID走不同宽带出口

设备：路由器MSR3600-28, AC控制器WX3010E， AP WA2620I。 连线：路由器G0-G9口连接10根宽带，现阶段只用3根，多余的口预留但是做shutdown处理。路由器的G25口连接AC的交换板G2口。7个AP分别连接AC的7个poe供电口。 要求：网络分成两个部分，内部员工和外部客户。内部员工有有线设备连接路由器的G10-G26口，SSID:gynw为员工内部用加密码。外部客户只用SSID：中文名字。内部走192.168.10.0 255.255.255.0网段。客户走192.168.0.0 255.255.254.0网段。一共有3根宽带，内部员工专用第三根宽带，外部客户用第1,2两根宽带。 配置要点：

1. 配置两个vlan，默认vlan 1让外网客户用，使用192.168.0.0 255.255.254.0网段；vlan 2让内部员工用，使用192.168.10.0 255.255.255.0网段。路由器，AC交换板和无线板都要配置vlan 2.
2. 路由器配置2个ip地址池。
3. 路由器25口做trunk 放行 vlan 2.和路由器连接的AC交换板2口也要同样这么做。AC内部交换板和无线板的内连口，聚合口也要同样做。                                                                interface GigabitEthernet0/25
    port link-mode bridge
    port link-type trunk
    port trunk permit vlan 1 to 2
4. 做acl 3000，用来匹配内网源地址需要做策略路由的流量，[rule 0 permit ip source 192.168.10.0 0.0.0.255]。
5. 创建策略路由aaa的节点10，匹配acl 3000的数据流，设置apply动作，指定数据的出口为PPPoE拨号口Dialer 2                                                                                                           policy-based-route aaa permit node 10 if-match acl 3000 apply output-interface Dialer2
6. 在内网用户流量的入接口调用策略路由pbr，让内部员工只能走第三根宽带[dialer2,G2]，interface Vlan-interface2 ip address 192.168.10.1 255.255.255.0 tcp mss 1280 ip policy-based-route aaa  这个pbr规则必须加在vlan2 下，不能加在某个接口下。
7. 同时，由于这条线路是您这两个网段独占的，不能和其他网段共享使用，就需要在NAT中限制用户做NAT                                                                                                                    
   interface Dialer2 ppp chap password cipher $c$3$Yw0N2YKuo7NdL5RE4XXXUbJazaeR/AOOU7w== ppp chap user 0482049XX653 ppp ipcp dns admit-any ppp ipcp dns request ppp pap local-user 0482049XX653 password cipher $c$3$rAeTiTj4piiP164EsMA/XXXXtNeq6lxQ== dialer bundle enable dialer-group 3 dialer timer idle 0 dialer timer autodial 5 ip address ppp-negotiate nat outbound nat outbound 3000
8. AC上的SSID gynw要绑定vlan 2