- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath F100-X-G5[F1000-X-G5]防火墙融合AC
最佳实践
Copyright © 2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本手册可帮助您了解FW(Firewall,防火墙)如何作为AC产品管理AP。FW作为网络安全的关键设备,主要负责对网络流量进行监控、过滤和控制。将FW作为AC(Access Controller,接入控制器)与AP(Access Point,无线接入点)对接有以下显著优势:
· 统一管理:可以实现对企业无线网络的统一管理和配置,提高网络管理的效率。这使得管理员能够更轻松地监控和维护无线网络,及时发现和解决问题。
· 安全防护:FW本身具有强大的安全防护功能,如阻止外部攻击等。将FW作为AC与AP对接,可以有效提高无线网络的安全性,防止无线网络成为企业网络安全的薄弱环节。
· 策略统一:在FW作为AC与AP对接的情况下,企业可以实现对有线和无线网络策略的统一制定和执行。这有助于简化网络管理工作,确保各种网络策略的一致性和有效性。
· 降低成本:将FW作为AC与AP对接,可以降低企业网络建设和维护的成本。
适用于中小型办公区(比如:会场、办公区域),办公区面积约为300~500㎡,同时在线终端数大约为60~100个。通过PoE交换机为多个AP进行PoE供电,防火墙作为出口网关提供安全防护功能。
如图2-1所示,AP工作在Fit模式,通过PoE交换机连接到出口网关防火墙上。防火墙同时作为DHCP Server为AP和无线客户端分配IP地址,并为内网设备提供安全防护功能。
表2-1 设备选型推荐
|
角色 |
推荐产品型号 |
|
出口网关防火墙 |
· F100-C-G5、F100-S-G5、F100-M-G5、F100-A-G5、F100-E-G5 · F1000-A-G5、F1000-C-G5-LI、F1000-C-G5、F1000-S-G5、F1000-E-G5、F1000-H-G5 |
|
PoE接入交换机 |
支持PoE供电功能的交换机(如:S5120V3-10P-PWR-LI) |
|
AP |
· EWP-WA6620X-LI-FIT、EWP-WA6620XE-LI-FIT · EWP-WA6530-LI-FIT、EWP-WA6528-FIT、EWP-WA6522-C-FIT、EWP-WA6522H-LI-FIT、EWP-WA6520S-E-FIT、EWP-WA6520S-D-FIT、EWP-WA6520S-C-FIT、EWP-WA6520-C-FIT、EWP-WA6520XS-LI-FIT、EWP-WA6520H-LI-FIT · EWP-WA6338-FIT、EWP-WA6320S-E-FIT、EWP-WA6320S-C-FIT · EWP-WA5320S-E-FIT、EWP-WA5320-C-FIT |
防火墙产品外观及硬件参数介绍,请参见《H3C SecPath F100-X-G5[F1000-X-G5]系列防火墙 安装指导》。下面以F100-A-G5为例进行介绍。
设备前面板上有18个10/100/1000BASE-T自适应以太网电口、2个10GBASE-R以太网光口、2个管理以太网口、4个BYPASS口、8个COMBO口、1个CONSOLE口、2个USB口、1个RESET按键以及2个硬盘扩展插槽。具体结构如下图所示。
图3-1 设备前视图
|
1: 管理以太网口(1/MGMT) |
2: BYPASS口 |
|
3: 10/100/1000BASE-T以太网电口(COMBO口) |
4: 设备指示灯 |
|
5: CONSOLE口 |
6: USB口 |
|
7: RESET按键(重启设备) |
8: 10GBASE-R以太网光口 |
|
9: 1000BASE-X以太网光口(COMBO口) |
10: 10/100/1000BASE-T以太网电口 |
|
11:管理以太网口(0/MGMT) |
12: 硬盘扩展插槽 |
RESET按键:用于重启设备,不会恢复默认出厂配置。
图3-2 设备后视图
|
1: 电源线接口 |
2: 接地螺钉 |
防火墙设备出厂配置如下表,用户也可通过设备上的铭牌获取到设备的缺省用户名和密码等信息。
表3-1 防火墙出厂配置
|
登录信息项 |
默认配置 |
备注 |
|
用户名 |
admin |
- |
|
密码 |
admin |
- |
|
登录类型 |
· 通过Web界面登录设备 · 通过Console口登录设备 |
其他登录类型需要自行配置 |
|
IP地址 |
· M-GigabitEthernet1/0/0:192.168.0.1/24 · M-GigabitEthernet1/0/1:192.168.1.1/24 |
不同设备的管理网口存在差异,具体可查阅对应的产品资料或者查看设备的铭牌 |
|
安全域 |
· Local:设备本身 · Management:用于管理设备的区域,设备管理口属于Management安全域 · Trust:可信任的网络区域 · Untrust:不信任的网络区域 · DMZ:隔离区域 |
- |
|
安全策略 |
Management与Local之间的报文默认放行,用于管理员登录设备进行配置 |
- |
某公司为了给员工提供更好的无线网络服务且对安全性有较高要求,希望在该公司内进行无线网络全覆盖,并以防火墙作为出口网关来确保内网的安全性。
如图5-5所示,公司内部署的AP工作在Fit模式,通过PoE交换机连接到出口网关防火墙上,接入Internet。防火墙同时作为DHCP Server为AP和无线客户端分配IP地址,并为内网设备提供安全防护功能。
图4-1 防火墙融合AC典型配置组网图
本例采用如下的思路进行网络配置:
(1) 配置出口网关防火墙。
a. 登录防火墙本地Web管理界面。
b. 配置防火墙连接运营商网络并可以访问Internet。
c. 配置内网接口,创建管理和业务VLAN接口,为VLAN接口指定IP地址。
d. 配置管理VLAN和业务VLAN的DHCP地址池。
e. 配置安全策略。
f. 配置NAT,确保内网用户可以访问Internet。
g. 配置无线AC功能,确保FW可以作为AC管理AP。
(2) 配置PoE接入交换机。
a. 为PoE接入交换机配置管理IP地址。
b. 登录PoE接入交换机本地Web管理界面。
c. 创建业务VLAN,并放通所有业务VLAN。
d. 开启PoE供电功能,为AP供电。
本例中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
表4-1 设备选型
|
角色 |
型号 |
软件版本 |
|
出口网关防火墙 |
F100-A-G5 |
F8890P09 |
|
PoE接入交换机 |
S5120V3-28P-PWR-LI |
R6343P05 |
|
AP |
EWP-WA6520XS-LI-FIT |
R2593P03 |
表4-2 网络信息规划
|
规划项 |
详细规划数据 |
|
无线终端网络 |
· 网段:192.168.20.0/24,防火墙作为DHCP Server为终端分配IP地址 · 网关位置:防火墙 · 网关接口IP地址:192.168.20.1/24 · 业务VLAN:VLAN 20 · 加密方式:PSK |
|
防火墙、交换机和AP之间互联网段 |
· 网段:192.168.10.0/24 · 防火墙互联接口IP地址:192.168.10.1/24 · AP IP地址:从防火墙自动获取 · 管理VLAN:VLAN 10 |
|
防火墙接口 |
· MGE1/0/0接口:F100-A-G5防火墙的管理接口,采用默认的出厂配置,管理员可以通过此接口对防火墙进行管理。 · GE1/0/1接口工作在三层模式,加入WAN安全域,连接外网支持三种方式:DHCP、PPPoE、指定IP地址,请根据实际运营商网络进行选择。 · GE1/0/2接口连接交换机,工作在二层模式,加入LAN安全域。分别创建管理VLAN10和业务VLAN20对应的接口,接口模式为Trunk模式,仅允许VLAN 10和VLAN 20通过。 |
|
交换机接口 |
· GE1/0/1接口连接防火墙,设置为Trunk类型,允许VLAN 10和VLAN 20通过 · 连接AP的多个GE接口,设置为Trunk类型,允许VLAN 10和VLAN 20通过,接口的PVID为10 |
|
AP |
工作模式:Fit模式 |
(1) 使用以太网线将PC和防火墙设备上的MGE1/0/0接口相连。
(2) 单击电脑右下角的“
”,然后单击“打开网络和共享中心”,弹出“网络和共享中心”对话框。
(3) 在“网络和共享中心”对话框中,单击“本地连接”,弹出“本地连接状态”对话框。
图4-2 网络和共享中心
(4) 在“本地连接状态”对话框,单击<属性>按钮,弹出“本地连接属性”对话框。
图4-3 本地连接状态
(5) 在“本地连接属性”对话框,单击“Internet 协议版本4(TCP/IPv4)”,然后单击<确定>按钮,弹出“Internet 协议版本4(TCP/IPv4)”对话框。
图4-4 本地连接属性
(6) 在“Internet 协议版本4(TCP/IPv4)”对话框中,为PC配置IP地址为192.168.0.0/24网段内的任意地址(除192.168.0.1),保证能与防火墙设备互通,例如192.168.0.31。(注意:后期修改了防火墙设备的缺省登录地址后,请使用修改后的网段内的IP地址重新登录防火墙设备)
图4-5 手动配置PC的IP地址
(1) 在PC浏览器地址栏输入https://192.168.0.1,回车后进入防火墙的Web登录界面。
(2) 输入缺省用户名admin和密码admin,单击<登录>按钮,并根据提示信息修改符合规则要求的登录密码。
图4-6 登录防火墙
(1) 在防火墙Web管理界面选择“网络”面板,在左侧导航栏选择“安全域”,单击“安全域”页面的<新建>按钮,新建名称为WAN的安全域。
图4-7 新建WAN安全域
(2) 新建名称为LAN的安全域。
图4-8 新建LAN安全域
(3) 在左侧导航栏选择“接口 > 接口”,单击接口GE1/0/1右侧的<编辑>按钮,配置如下:
¡ 接口工作在三层模式。
¡ 接口加入WAN安全域。
¡ IPv4地址支持DHCP、PPPoE和指定IP地址三种方式,请根据实际运营商网络进行选择。本举例中选择“DHCP”方式。
- 如果选择“PPPoE”,需输入运营商提供的PPPoE接入账号和密码。
- 如果选择“DHCP”,将自动从DHCP服务器获取接入广域网的公网IP地址。
- 如果选择“指定IP地址”,需手动输入广域网的IP地址、子网掩码、网关地址。
¡ 单击<确定>按钮完成配置。
图4-9 修改GE1/0/1接口设置
(1) 在防火墙Web管理界面选择“网络”面板,在左侧导航栏选择“链路 > VLAN”,单击<新建>按钮,新建管理VLAN 10和业务VLAN 20,配置如下:
图4-10 新建VLAN
(2) 在左侧导航栏选择“接口 > 接口”,在接口页面单击<新建接口>按钮,创建管理VLAN 10对应的VLAN接口,配置如下:
¡ 接口加入LAN安全域。
¡ IPv4地址/掩码长度为192.168.10.1/255.255.255.0。
¡ 单击<确定>按钮完成配置。
图4-11 创建Vlan10接口
图4-12 修改Vlan10接口设置
(3) 在左侧导航栏选择“接口 > 接口”,在接口页面单击<新建接口>按钮,创建业务VLAN 20对应的VLAN接口,配置如下:
¡ 接口加入LAN安全域。
¡ IPv4地址/掩码长度为192.168.20.1/255.255.255.0。
¡ 单击<确定>按钮完成配置。
图4-13 创建Vlan20接口
图4-14 修改Vlan20接口设置
(4) 单击接口GE1/0/2右侧的<编辑>按钮,配置如下:
¡ 工作模式为二层模式。
¡ 接口加入LAN安全域。
¡ 接口的VLAN成员为VLAN 10和VLAN 20。
¡ 链路类型为Trunk。
¡ 添加此接口允许VLAN 10和VLAN 20通过。
¡ 单击<确定>按钮完成配置。
图4-15 修改GE1/0/2接口设置
(1) 在防火墙Web管理界面选择“网络”面板,在左侧导航栏选择“DHCP > 服务”,开启DHCP服务。
图4-16 开启DHCP服务
(2) 在左侧导航栏选择“DHCP > 地址池”,进入地址池配置页面。单击<新建地址池>按钮新建DHCP服务器地址池poolforap,配置如下:
¡ 动态分配的地址段为192.168.10.0/24,不参与自动分配的地址段为192.168.10.1。
¡ 在“地址池选项”页签,单击网关的<新建>按钮,将网关配置为192.168.10.1,配置完成后单击<确定>按钮。
¡ 单击<确定>按钮完成配置。
图4-17 新建DHCP服务器地址池poolforap
图4-18 配置地址池网段
图4-19 配置网关
(3) 单击<新建地址池>按钮新建DHCP服务器地址池poolforsta,配置如下:
¡ 动态分配的地址段为192.168.20.0/24,不参与自动分配的地址段为192.168.20.1。
¡ 在“地址池选项”页签,分别单击网关和DNS服务器的<新建>按钮,将网关配置为192.168.20.1,将DNS服务器配置为114.114.114.114(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),配置完成后单击<确定>按钮。
¡ 单击<确定>按钮完成配置。
图4-20 新建DHCP服务器地址池poolforsta
图4-21 配置地址池网段
图4-22 配置网关和DNS服务器
# 在防火墙Web管理界面选择“策略”面板,在左侧导航栏选择“安全策略”,进入“安全策略”配置页面。单击“新建 > 新建策略”创建安全策略lan-wan,配置如下:
· 安全策略名称配置为lan-wan。
· 源安全域选择LAN,目的安全域选择WAN。
· 动作配置为允许。
· 其它配置项保持缺省配置,单击<确定>按钮完成配置。
图4-23 新建安全策略lan-wan
# 新建安全策略lan-local,配置如下:
· 安全策略名称配置为lan-local。
· 源安全域选择LAN,目的安全域选择Local。
· 动作配置为允许。
· 其它配置项保持缺省配置,单击<确定>按钮完成配置。
图4-24 新建安全策略lan-local
# 新建安全策略local-lan,配置如下:
· 安全策略名称配置为local-lan。
· 源安全域选择Local,目的安全域选择LAN。
· 动作配置为允许。
· 其它配置项保持缺省配置,单击<确定>按钮完成配置。
图4-25 新建安全策略local-lan
# 在防火墙Web管理界面选择“策略”面板,在左侧导航栏选择“策略NAT”,进入“策略NAT”配置页面。单击<新建>按钮创建新的NAT策略,配置如下:
· 规则名称为PolicyRule_1。
· 规则类型为NAT44。
· 转换模式为源地址转换。
· 源安全域为LAN。
· 目的安全域为WAN。
· 转换方式为动态IP+端口。
· 地址类型为Easy IP。
· 启用规则。
· 单击<确定>按钮完成策略NAT配置。
图4-26 新建NAT策略
(1) 在防火墙Web管理界面选择“网络”面板,在左侧导航栏选择“无线AC”,进入“无线AC”配置页面。
(2) 配置AP,在创建手工AP和配置自动AP两种方式中,请至少选择其中一项进行配置。
¡ 创建手工AP
# 在左侧导航栏选择“快速配置 > 新增AP > 新增AP”,进入创建AP页面,配置如下:
- AP名称为ap1。
- AP型号为WA6520XS-LI。
- AP MAC地址为F4-E9-75-CD-BE-30,也可以通过AP序列号的方式新增AP。
- 其他保持缺省配置,单击<确定>按钮完成AP的创建。
图4-27 创建手工AP
# 在左侧导航栏选择“无线配置 > AP管理 > AP全局管理”,进入“AP全局管理”页面,配置如下:
- 关闭AP版本升级功能。
图4-28 配置AP版本升级功能
¡ 配置自动AP,自动上线的AP名称为AP的MAC地址
# 在左侧导航栏选择“无线配置 > AP管理 > AP全局管理”,进入“AP全局管理”页面,配置如下:
- 关闭AP版本升级功能。
- 开启自动AP功能。
- 开启自动固化功能。
图4-29 配置自动AP
(3) 在左侧导航栏选择“快速配置 > 新增无线网络 > 新增无线网络”,进入新增无线网络页面,在此页面对Wi-Fi进行配置,配置如下:
- 配置无线服务名称为service1
- 配置SSID为WiFi_example。
- 开启无线服务。
- 缺省VLAN配置为业务VLAN 20。
- 认证模式选择静态PSK认证,安全方式选择为“WPA或WPA2”并输入PSK密钥。
- 其他保持缺省配置,并单击<确定并进入高级设置>按钮保存配置。
图4-30 新增无线网络
(4) 进入“绑定”页签,将无线服务模板绑定到射频5GHz和2.4GHz上
图4-31 绑定无线服务模板service1到射频
(1) 使用Console配置线连接管理PC的串口和设备的Console口,配置VLAN1的接口IP地址,本例为接口VLAN 1配置的IP地址为192.168.1.2。
(2) 修改PC接口的IP地址与交换机同网段。修改PC的IP地址为192.168.1.0/24网段内的任意地址。注意:不要与其他设备已经配置的IP地址相同。
(1) 使用以太网线将PC和PoE交换机上的GE1/0/3接口相连,在PC浏览器地址栏输入https://192.168.1.2,回车后进入PoE接入交换机的Web登录界面。
(2) 输入缺省用户名clouduser和密码admin,单击<登录>按钮,并根据提示信息修改符合规则要求的登录密码。
图4-32 登录PoE接入交换机
# 按照规划,创建业务VLAN 20。
(1) 在交换机Web管理界面左侧导航栏中选择“网络 > 链路 > VLAN”,进入VLAN配置页面。
(2) 单击<添加>按钮,进入创建VLAN对话框,配置如下:
¡ 创建管理VLAN 10和业务VLAN 20。
¡ 单击<确定>按钮完成配置。
图4-33 创建管理VLAN 10和业务VLAN 20
# 将连接防火墙的GE1/0/1以及连接AP的多个GE接口。
(1) 在交换机Web管理界面左侧导航栏中选择“网络 > 接口 > 接口”,进入接口配置页面。
(2) 单击GE1/0/1接口所在行的<详情>按钮,进入修改接口设置页面,配置如下:
¡ 配置“链路类型”选择Trunk,“Permit VLAN列表”为10和20。
¡ 其它配置项保持缺省配置。
¡ 单击<确定>按钮完成配置。
图4-34 配置GE1/0/1接口
(3) 单击连接AP的GE接口GE1/0/2接口所在行的<详情>按钮,进入修改接口设置页面,配置如下:
¡ 配置“链路类型”选择Trunk、“PVID”为10、“Permit VLAN列表”为10和20。
¡ 其它配置项保持缺省配置。
¡ 单击<确定>按钮完成配置。
图4-35 配置GE1/0/2接口
交换机缺省已经开启PoE功能,如果与AP连接的交换机接口的PoE功能已经处于开启状态,可跳过本步骤。
# 开启与AP连接的GE接口的PoE功能,为AP进行供电。
(1) 在交换机Web管理界面左侧导航栏中选择“PoE > PoE”,进入PoE配置页面。
(2) 单击<全部选中>按钮,选中所有接口。
(3) 单击PI,开启所有选中接口的远程供电功能。
图4-36 启用PoE供电功能
(1) 当无线终端接入无线网络后,在“无线AC”页面的左侧导航栏中选择“概览 > 概览”进入概览页面,可以查看所有AP、客户端、无线服务和无线流量等统计信息。
图4-37 查看概览信息
(2) 单击AP概览右上角的<
>按钮,可以查看所有AP的统计信息,包括AP型号、状态、AP序列号、客户端数量等信息。
图4-38 查看AP列表
(3) 单击“客户端”页签,可以查看上线客户端的信息,包括客户端MAC地址、IP地址以及速率等信息。
图4-39 查看上线客户端
某公司为了给员工提供更好的无线网络服务且对安全性有较高要求,希望在该公司内进行无线网络全覆盖,并以防火墙作为出口网关来确保内网的安全性。
如图5-5所示,公司内部署的AP工作在Fit模式,通过PoE交换机连接到出口网关防火墙上,接入Internet。防火墙同时作为DHCP Server为AP和无线客户端分配IP地址,并为内网设备提供安全防护功能。
图5-1 防火墙融合AC典型配置组网图
本例采用如下的思路进行网络配置:
(1) 配置出口网关防火墙。
a. 通过Console口登录防火墙。
b. 配置防火墙连接运营商网络并可以访问Internet。
c. 配置内网接口,创建管理和业务VLAN接口,为VLAN接口指定IP地址。
d. 配置管理VLAN和业务VLAN的DHCP地址池。
e. 配置安全策略。
f. 配置NAT,确保内网用户可以访问Internet。
g. 配置无线AC功能,确保FW可以作为AC管理AP。
(2) 配置PoE接入交换机。
a. 通过Console口登录PoE接入交换机。
b. 创建业务VLAN,并放通所有业务VLAN。
c. 开启PoE供电功能,为AP供电。
本例中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
表5-1 设备选型
|
角色 |
型号 |
软件版本 |
|
出口网关防火墙 |
F100-A-G5 |
F8890P09 |
|
PoE接入交换机 |
S5120V3-28P-PWR-LI |
R6343P05 |
|
AP |
EWP-WA6520XS-LI-FIT |
R2593P03 |
表5-2 网络信息规划
|
规划项 |
详细规划数据 |
|
无线终端网络 |
· 网段:192.168.20.0/24,防火墙作为DHCP Server为终端分配IP地址 · 网关位置:防火墙 · 网关接口IP地址:192.168.20.1/24 · 业务VLAN:VLAN 20 · 加密方式:PSK |
|
防火墙、交换机和AP之间互联网段 |
· 网段:192.168.10.0/24 · 防火墙互联接口IP地址:192.168.10.1/24 · AP IP地址:从防火墙自动获取 · 管理VLAN:VLAN 10 |
|
防火墙接口 |
· MGE1/0/0接口:F100-A-G5防火墙的管理接口,采用默认的出厂配置,管理员可以通过此接口对防火墙进行管理。 · GE1/0/1接口工作在三层模式,加入WAN安全域,连接外网支持三种方式:DHCP、PPPoE、指定IP地址,请根据实际运营商网络进行选择。 · GE1/0/2接口连接交换机,工作在二层模式,加入LAN安全域。分别创建管理VLAN10和业务VLAN20对应的接口,接口模式为Trunk模式,仅允许VLAN 10和VLAN 20通过。 |
|
交换机接口 |
· GE1/0/1接口连接防火墙,设置为Trunk类型,VLAN 10和VLAN 20通过。 · 连接AP的多个GE接口,设置为Trunk类型,允许VLAN 10和VLAN 20通过,接口的PVID为10。 |
|
AP |
工作模式:Fit模式 |
(1) 使用以太网线将PC和防火墙设备上的MGE1/0/0接口相连。
(2) 单击电脑右下角的“
”,然后单击“打开网络和共享中心”,弹出“网络和共享中心”对话框。
(3) 在“网络和共享中心”对话框中,单击“本地连接”,弹出“本地连接状态”对话框。
图5-2 网络和共享中心
(4) 在“本地连接状态”对话框,单击<属性>按钮,弹出“本地连接属性”对话框。
图5-3 本地连接状态
(5) 在“本地连接属性”对话框,单击“Internet 协议版本4(TCP/IPv4)”,然后单击<确定>按钮,弹出“Internet 协议版本4(TCP/IPv4)”对话框。
图5-4 本地连接属性
(6) 在“Internet 协议版本4(TCP/IPv4)”对话框中,为PC配置IP地址,保证能与防火墙设备互通,以下两种方式任选其一:
¡ 配置PC的IP地址为“自动获得IP地址”和“自动获得DNS服务器地址”,由防火墙为PC自动分配IP地址等网络参数。
图5-5 配置PC自动获取IP地址
¡ 手动修改PC的IP地址为192.168.0.0/24网段内的任意地址(除192.168.0.1),例如192.168.0.31。(注意:后期修改了防火墙设备的缺省登录地址后,请使用修改后的网段内的IP地址重新登录防火墙设备)
图5-6 手动配置PC的IP地址
(1) 使用配置电缆连接PC和设备。请先将配置口电缆的DB-9(孔)/标准USB插头插入PC机的9芯(针)串口/USB口中,再将RJ-45插头端插入设备的Console口中。
(2) 在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点,这些程序的详细介绍和使用方法请参见该程序的使用指导。打开终端仿真程序后,请按如下要求设置终端参数:
¡ 波特率:9600
¡ 数据位:8
¡ 停止位:1
¡ 奇偶校验:无
¡ 流量控制:无
(3) 设备上电,终端上显示设备自检信息,自检结束后输入缺省用户名admin和密码admin,用户键入回车后将出现命令行提示符(如<Sysname>)。
(1) 配置接口GigabitEthernet1/0/1的IP地址
IPv4地址支持DHCP、PPPoE和指定IP地址三种方式,请根据实际运营商网络进行选择。本举例中选择“DHCP”方式。
¡ 如果选择“PPPoE”,需输入运营商提供的PPPoE接入账号和密码。
¡ 如果选择“DHCP”,将自动从DHCP服务器获取接入广域网的公网IP地址。
¡ 如果选择“指定IP地址”,需手动输入广域网的IP地址、子网掩码、网关地址。
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<FW> system-view
[FW] interface gigabitethernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address dhcp-alloc
[FW-GigabitEthernet1/0/1] quit
(2) 配置接口GigabitEthernet1/0/1加入WAN安全域
[FW] security-zone name WAN
[FW-security-zone-WAN] import interface gigabitethernet 1/0/1
[FW-security-zone-WAN] quit
(1) 创建管理VLAN10和业务VLAN20
[FW] vlan 10
[FW-vlan10]
[FW-vlan10] quit
[FW] vlan 20
[FW-vlan20] quit
(2) 配置接口Vlan-interface10的IP地址/掩码长度为192.168.10.1/24
[FW] interface vlan-interface 10
[FW-Vlan-interface10] ip address 192.168.10.1 24
[FW-Vlan-interface10] quit
(3) 配置接口Vlan-interface20的IP地址/掩码长度为192.168.20.1/24
[FW] interface Vlan-interface 20
[FW-Vlan-interface20] ip address 192.168.20.1 24
[FW-Vlan-interface20] quit
(4) 配置以太网接口GigabitEthernet1/0/2为二层Trunk端口,允许VLAN 10和VLAN 20通过当前Trunk端口,不允许VLAN 1通过当前Trunk端口
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] port link-mode bridge
[FW-GigabitEthernet1/0/2] port link-type trunk
[FW-GigabitEthernet1/0/2] port trunk permit vlan 10 20
[FW-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[FW-GigabitEthernet1/0/2] quit
(5) 向LAN安全域中加入接口Vlan-interface10、Vlan-interface20、二层以太网接口GigabitEthernet1/0/2以及对应的VLAN 10、二层以太网接口GigabitEthernet1/0/2以及对应的VLAN 20
[FW] security-zone name LAN
[FW-security-zone-LAN] import interface vlan-interface 10
[FW-security-zone-LAN] import interface vlan-interface 20
[FW-security-zone-LAN] import interface GigabitEthernet 1/0/2 vlan 10
[FW-security-zone-LAN] import interface GigabitEthernet 1/0/2 vlan 20
[FW-security-zone-LAN] quit
(1) 开启全局DHCP服务。
[FW] dhcp enable
(2) 新建DHCP服务器地址池poolforap,为AP分配IP地址。
# 配置动态分配的地址段为192.168.10.0/24,不参与自动分配的地址为192.168.10.1,网关地址为192.168.10.1。
[FW] dhcp server ip-pool poolforap
[FW-dhcp-pool-poolforap] network 192.168.10.0 24
[FW-dhcp-pool-poolforap] forbidden-ip 192.168.10.1
[FW-dhcp-pool-poolforap] gateway-list 192.168.10.1
(3) 新建DHCP服务器地址池poolforsta,为接入终端分配IP地址。
# 配置动态分配的地址段为192.168.20.0/24,不参与自动分配的地址为192.168.20.1,网关地址为192.168.20.1,DNS服务器地址为114.114.114.114(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址)。
[FW] dhcp server ip-pool poolforsta
[FW-dhcp-pool-poolforsta] network 192.168.20.0 24
[FW-dhcp-pool-poolforsta] forbidden-ip 192.168.20.1
[FW-dhcp-pool-poolforsta] gateway-list 192.168.20.1
[FW-dhcp-pool-poolforsta] dns-list 114.114.114.114
[FW-dhcp-pool-poolforsta] quit
# 配置名称为lan-wan的安全策略规则,允许LAN安全域访问WAN安全域。
[FW] security-policy ip
[FW-security-policy-ip] rule name lan-wan
[FW-security-policy-ip-3-lan-wan] source-zone lan
[FW-security-policy-ip-3-lan-wan] destination-zone wan
[FW-security-policy-ip-3-lan-wan] action pass
[FW-security-policy-ip-3-lan-wan] quit
# 配置名称为lan-local的安全策略规则,允许LAN安全域访问Local安全域。
[FW-security-policy-ip] rule name lan-local
[FW-security-policy-ip-4-lan-local] source-zone lan
[FW-security-policy-ip-4-lan-local] destination-zone local
[FW-security-policy-ip-4-lan-local] action pass
[FW-security-policy-ip-4-lan-local] quit
[FW-security-policy-ip] quit
# 配置名称为local-lan的安全策略规则,允许Local安全域访问LAN安全域。
[FW-security-policy-ip] rule name local-lan
[FW-security-policy-ip-5-local-lan] source-zone local
[FW-security-policy-ip-5-local-lan] destination-zone lan
[FW-security-policy-ip-5-local-lan] action pass
[FW-security-policy-ip-5-local-lan] quit
[FW-security-policy-ip] quit
# 创建名称为PolicyRule_1的全局NAT规则,配置报文过滤条件为源安全域LAN访问目的安全域WAN的报文,源地址转换方式为Easy IP方式。
[FW] nat global-policy
[FW-nat-global-policy] rule name PolicyRule_1
[FW-nat-global-policy-rule-PolicyRule_1] source-zone lan
[FW-nat-global-policy-rule-PolicyRule_1] destination-zone wan
[FW-nat-global-policy-rule-PolicyRule_1] action snat easy-ip
[FW-nat-global-policy-rule-PolicyRule_1] quit
[FW-nat-global-policy] quit
(1) 配置AP,在创建手工AP和配置自动AP两种方式中,请至少选择其中一项进行配置。
¡ 创建手工AP
- # 创建名称为ap1的手工AP,AP型号为WA6520XS-LI,MAC地址为F4E9-75CD-BE30。
[FW] wlan ap ap1 model WA6520XS-LI
[FW-wlan-ap-ap1] mac-address f4e9-75cd-be30
[FW-wlan-ap-ap1] quit
¡ 配置自动AP
# 开启自动AP功能,自动上线的AP名称为AP的MAC地址
[FW] wlan auto-ap enable
# 配置自动AP固化为手工AP。请至少选择其中一项进行配置。
- 将自动AP固化为手工AP。
[FW] wlan auto-ap persistent all
- 开启自动AP自动固化功能。仅对配置本命令后新上线的自动AP生效,对于已上线的自动AP,只能使用wlan auto-ap persistent命令将自动AP转换为固化AP。
[FW] wlan auto-persistent enable
(2) 关闭全局AP版本升级功能
[FW] wlan global-configuration
[FW-wlan-global-configuration] firmware-upgrade disable
[FW-wlan-global-configuration] quit
(3) 配置无线服务模板service1
# 配置SSID为WiFi_example,配置无线客户端从指定无线服务模板上线后被加入到VLAN 20。
[FW] wlan service-template service1
[FW-wlan-st-service1] ssid WiFi_example
[FW-wlan-st-service1] vlan 20
# 配置身份认证与密钥管理模式为PSK模式,使用明文的字符串User@1234作为共享密钥。加密套件为CCMP,安全信息元素为WPA。
[FW-wlan-st-service1] akm mode psk
[FW-wlan-st-service1] preshared-key pass-phrase simple User@1234
[FW-wlan-st-service1] cipher-suite ccmp
[FW-wlan-st-service1] security-ie wpa
# 使能无线服务模板。
[FW-wlan-st-service1] service-template enable
[FW-wlan-st-service1] quit
(4) 将无线服务模板绑定到射频radio1和radio2上,并开启射频
[FW] wlan ap ap1
[FW-wlan-ap-ap1] radio 1
[FW-wlan-ap-ap1-radio-1] service-template service1
[FW-wlan-ap-ap1-radio-1] radio enable
[FW-wlan-ap-ap1-radio-1] quit
[FW-wlan-ap-ap1] radio 2
[FW-wlan-ap-ap1-radio-2] service-template service1
[FW-wlan-ap-ap1-radio-2] radio enable
[FW-wlan-ap-ap1-radio-2] return
<FW>
(1) 使用配置电缆连接PC和设备。请先将配置口电缆的DB-9(孔)/标准USB插头插入PC机的9芯(针)串口/USB口中,再将RJ-45插头端插入设备的Console口中。
(2) 在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点,这些程序的详细介绍和使用方法请参见该程序的使用指导。打开终端仿真程序后,请按如下要求设置终端参数:
¡ 波特率:9600
¡ 数据位:8
¡ 停止位:1
¡ 奇偶校验:无
¡ 流量控制:无
(3) 设备上电,终端上显示设备自检信息,自检结束后键入<Ctrl+C>,用户键入回车后将出现命令行提示符(如<Sysname>)。
# 按照规划,创建管理VLAN 10和业务VLAN 20。
[PoE switch] vlan 10 20
# 配置连接防火墙的二层以太网接口GigabitEthernet1/0/1为Trunk端口,并允许VLAN 10和VLAN 20通过当前Trunk端口。
[PoE switch] interface GigabitEthernet 1/0/1
[PoE switch-GigabitEthernet1/0/1] port link-type trunk
[PoE switch-GigabitEthernet1/0/1] port trunk permit vlan 10 20
[PoE switch-GigabitEthernet1/0/1] quit
# 配置连接AP的多个二层以太网接口(本例仅GE1/0/2)为Trunk端口,允许VLAN 10和VLAN 20通过当前Trunk端口,并配置端口的缺省VLAN ID为10。
[PoE switch] interface GigabitEthernet 1/0/2
[PoE switch-GigabitEthernet1/0/2] port link-type trunk
[PoE switch-GigabitEthernet1/0/2] port trunk permit vlan 10 20
[PoE switch-GigabitEthernet1/0/2] port trunk pvid vlan 10
[PoE switch-GigabitEthernet1/0/2] quit
交换机缺省已经开启PoE功能,如果与AP连接的交换机接口的PoE功能已经处于开启状态,可跳过本步骤。
# 开启与AP连接的多个以太网接口(本例仅GE1/0/2)的PoE远程供电功能,为AP进行供电。
[PoE switch] interface GigabitEthernet 1/0/2
[PoE switch-GigabitEthernet1/0/2] poe enable
[PoE switch-GigabitEthernet1/0/2] quit
# 查看AP的信息,可以看到AP与AC成功建立隧道连接并进入R/M状态。(以手工AP为例)
<FW> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 64
Remaining APs: 63
Total AP licenses: 1
Local AP licenses: 1
Server AP licenses: 0
Remaining local AP licenses: 0
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6520XS-LI 219801A3Q3P22A00000V
# 还可以在“无线AC”页面的左侧导航栏中选择“概览 > 概览”进入概览页面,可以查看所有AP、客户端、无线服务和无线流量等统计信息。
#
wlan global-configuration
firmware-upgrade disable
#
telnet server enable
#
dhcp enable
dhcp server always-broadcast
#
vlan 10
#
vlan 20
#
dhcp server ip-pool lan1
gateway-list 192.168.0.1
network 192.168.0.0 mask 255.255.255.0
address range 192.168.0.2 192.168.0.254
dns-list 192.168.0.1
#
dhcp server ip-pool poolforap
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
forbidden-ip 192.168.10.1
#
dhcp server ip-pool poolforsta
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.114.114
forbidden-ip 192.168.20.1
#
wlan service-template service1
ssid WiFi_example
vlan 20
akm mode psk
preshared-key pass-phrase cipher $c$3$3xnWZGP5DcEfTPTSeL3gaf+z41kdFbBgPV+NRA==
cipher-suite ccmp
security-ie wpa
service-template enable
#
interface Vlan-interface1
description LAN-interface
ip address dhcp-alloc
tcp mss 1280
#
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
#
interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode route
ip address dhcp-alloc
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 10 20
undo port trunk permit vlan 1
#
security-zone name LAN
import interface Vlan-interface1
import interface Vlan-interface10
import interface Vlan-interface20
import interface GigabitEthernet1/0/0 vlan 1
import interface GigabitEthernet1/0/2 vlan 1 10 20
#
security-zone name WAN
import interface GigabitEthernet1/0/1
#
nat global-policy
rule name PolicyRule_1
source-zone LAN
destination-zone WAN
action snat easy-ip
#
wlan ap ap1 model WA6520XS-LI
mac-address f4e9-75cd-be30
vlan 1
radio 1
radio enable
service-template service1
radio 2
radio enable
service-template service1
gigabitethernet 1
gigabitethernet 2
#
rule 3 name lan-wan
action pass
source-zone lan
destination-zone wan
rule 4 name lan-local
action pass
source-zone lan
destination-zone local
rule 5 name local-lan
action pass
source-zone local
destination-zone lan
#
return
#
vlan 10
#
vlan 20
#
interface Vlan-interface1
ip address 192.168.1.2 255.255.255.0
dhcp client identifier ascii 98204435f0f4-VLAN0001
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 10 20
poe enable
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 10 20
port trunk pvid vlan 10
poe enable
#
return
设备缺省支持管理1个AP,管理员需要为设备购买授权码,然后注册并安装License,才能管理更多的AP。
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C 安全产品 License注册演示视频》、《H3C 安全产品 License注册演示图解》、《H3C 安全产品 License注册演示典型配置举例》和《H3C 安全产品 License使用指南》。
License首次注册激活成功后,管理员可在设备Web管理页面的“系统 > License配置”页面,查看特性APMGR的状态为“In use”。
图6-1 查看License状态
单击APMGR“操作”列的<查看>按钮,可以查看License的详细信息。
图6-2 License详细信息
License首次注册激活成功后,管理员可通过执行display license feature命令查看Feature查看License是否已经授权,Y表示已授权。
<FW> display license feature
Slot 1:
Total: 32 Usage: 1
Feature Licensed State
ACG N -
APMGR Y Trial
AV N -
IPRPT N -
IPS N -
SSLVPN Y Pre-licensed
UFLT N -
管理员可通过执行display license feature命令查看设备上License的详细信息。
<FW> display license
Slot 1:
flash:/license/NGFirewall2023101215594179753.ak
Feature: APMGR
Product Description: Trial APMGR License, 90 Days, 4 Numbers
Registered at: 2023-10-12 17:26:47
License Type: Trial (date restricted)
Trial Validity Period: 2023-10-12 to 2024-01-10
Current State: In use
Pre-installed License
Feature: SSLVPN
Feature Description: SSLVPN License, 15 Numbers
License Type: Permanent
Current State: In use
缺省情况下,防火墙的AP版本升级功能处于开启状态。此时,AP的版本升级过程如下:
(1) AP将版本和型号信息上送给FW。
(2) FW比较AP的软件版本。缺省情况下,FW比较AP的软件版本与APDB中的AP型号和软硬件版本关系是否一致。
(3) 如果软件版本一致,则允许CAPWAP隧道建立;如果软件版本不一致,则将此情况告知AP。AP收到版本不一致的消息后,会向FW请求版本。
(4) FW收到AP的版本请求后,向AP下发软件版本。
(5) AP收到版本文件后,将进行版本升级并进行重启,之后再与FW建立CAPWAP隧道。
若要通过AP自动升级功能升级AP,需要先将AP的版本文件上传到FW设备本地,并保证AP版本文件适配的型号和版本与APDB中一致。
管理员可通过display wlan ap-model命令查看指定款型在APDB中的版本号。
<FW> display wlan ap-model name WA6520XS-LI
AP model : WA6520XS-LI
Alias : WA6520XS-LI
Vendor name : H3C
Vendor ID : 25506
License weight : 100
License type : 1
Radio count : 2
Radio 1:
Mode : 802.11a, 802.11an, 802.11ac, 802.11ax
Default mode : 802.11ax
BSS count : 8
Radio 2:
Mode : 802.11b, 802.11g, 802.11gn, 802.11gax
Default mode : 802.11gax
BSS count : 8
Version Support List:
Hardware Version Ver.A:
Software Version : R2593P03
Default Software Version : A2586
Image Name : wa6500a.ipe
…略…
升级AP使用的软件版本可从H3C官网的“支持 > 软件下载 > 软件下载 > 无线”页面下载。当升级AP使用的软件版本与APDB中存储的该AP型号对应的软件版本不一致时,可将版本文件名修改为Image Name字段的名称(比如,上文显示信息中为wa6500a.ipe),或者通过wlan apdb命令指定AP上线时使用的软件版本。有关APDB的详细介绍,请参加“WLAN配置指导”的“AP管理配置”手册。
CAPWAP隧道建立成功后,可通过执行wlan ap-image-deploy命令开启FW给AP在线下发版本功能。AP获取到从FW下发的版本后,通过手动重启后使新版本生效。有关wlan ap-image-deploy命令的详细介绍,请参加“WLAN命令参考”的“AP管理命令”手册。
在执行wlan ap-image-deploy命令给AP下发版本前,管理员需要先通过FTP或TFTP等方式将AP的版本上传到设备本地,上传位置由wlan image-load filepath { local | ram }命令决定。
支持
