H3C SecPath F1000-AI-15防火墙融合AC

最佳实践

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

3 防火墙融合AC典型配置（Web方式）··· 2

3.4.2 配置PoE接入交换机·· 29

3.5 验证配置·· 33

4 防火墙融合AC典型配置（CLI方式）··· 34

4.4.2 配置PoE接入交换机·· 44

1 导读

本手册可帮助您了解FW（Firewall，防火墙）如何作为AC产品管理AP。FW作为网络安全的关键设备，主要负责对网络流量进行监控、过滤和控制。将FW作为AC（Access Controller，接入控制器）与AP（Access Point，无线接入点）对接有以下显著优势：

· 统一管理：可以实现对企业无线网络的统一管理和配置，提高网络管理的效率。这使得管理员能够更轻松地监控和维护无线网络，及时发现和解决问题。

· 安全防护：FW本身具有强大的安全防护功能，如阻止外部攻击等。将FW作为AC与AP对接，可以有效提高无线网络的安全性，防止无线网络成为企业网络安全的薄弱环节。

· 策略统一：在FW作为AC与AP对接的情况下，企业可以实现对有线和无线网络策略的统一制定和执行。这有助于简化网络管理工作，确保各种网络策略的一致性和有效性。

· 降低成本：将FW作为AC与AP对接，可以降低企业网络建设和维护的成本。

2 组网场景

2.1 场景概述

适用于中小型办公区（比如：会场、办公区域），办公区面积约为300～500㎡，同时在线终端数大约为60～100个。通过PoE交换机为多个AP进行PoE供电，防火墙作为出口网关提供安全防护功能。

2.2 组网拓扑

如图2-1所示，AP工作在Fit模式，通过PoE交换机连接到出口网关防火墙上。防火墙同时作为DHCP Server为AP和无线客户端分配IP地址，并为内网设备提供安全防护功能。

图2-1 组网场景图

3 防火墙融合AC典型配置（Web方式）

3.1 组网需求

某公司为了给员工提供更好的无线网络服务且对安全性有较高要求，希望在该公司内进行无线网络全覆盖，并以防火墙作为出口网关来确保内网的安全性。

如图5-5所示，公司内部署的AP工作在Fit模式，通过PoE交换机连接到出口网关防火墙上，接入Internet。防火墙同时作为DHCP Server为AP和无线客户端分配IP地址，并为内网设备提供安全防护功能。

图3-1 防火墙融合AC典型配置组网图

3.2 配置思路

本例采用如下的思路进行网络配置：

(1) 配置出口网关防火墙。

a. 登录防火墙本地Web管理界面。

b. 配置防火墙连接运营商网络并可以访问Internet。

c. 配置内网接口，创建管理和业务VLAN接口，为VLAN接口指定IP地址。

d. 配置管理VLAN和业务VLAN的DHCP地址池。

e. 配置安全策略。

f. 配置NAT，确保内网用户可以访问Internet。

g. 配置无线AC功能，确保FW可以作为AC管理AP。

(2) 配置PoE接入交换机。

a. 为PoE接入交换机配置管理IP地址。

b. 登录PoE接入交换机本地Web管理界面。

c. 创建业务VLAN，并放通所有业务VLAN。

d. 开启PoE供电功能，为AP供电。

3.3 部署规划

1. 注意事项

本例中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

2. 设备选型

表3-1 设备选型

角色	型号	软件版本
出口网关防火墙	F1000-AI-15	F9900P20
PoE接入交换机	S5120V3-28P-PWR-LI	R6343P05
AP	EWP-WA6520-FIT	R2593P03

3. 网络信息规划

表3-2 网络信息规划

规划项	详细规划数据
无线终端网络	· 网段：192.168.20.0/24，防火墙作为DHCP Server为终端分配IP地址 · 网关位置：防火墙 · 网关接口IP地址：192.168.20.1/24 · 业务VLAN：VLAN 20 · 加密方式：PSK
防火墙、交换机和AP之间互联网段	· 网段：192.168.10.0/24 · 防火墙互联接口IP地址：192.168.10.1/24 · AP IP地址：从防火墙自动获取 · 管理VLAN：VLAN 10
防火墙接口	· MGE1/0/0接口：F1000-AI-15防火墙的管理接口，采用默认的出厂配置，管理员可以通过此接口对防火墙进行管理。 · GE1/0/1接口工作在三层模式，加入WAN安全域，连接外网支持三种方式：DHCP、PPPoE、指定IP地址，请根据实际运营商网络进行选择。 · GE1/0/2接口连接交换机，工作在二层模式，加入LAN安全域。分别创建管理VLAN10和业务VLAN20对应的接口，接口模式为Trunk模式，允许所有VLAN通过。
交换机接口	· GE1/0/1接口连接防火墙，设置为Trunk类型，允许VLAN 10和VLAN 20通过 · 连接AP的多个GE接口，设置为Trunk类型，允许VLAN 10和VLAN 20通过，接口的PVID为10
AP	工作模式：Fit模式

3.4 配置步骤

3.4.1 配置出口网关防火墙

1. 连接防火墙和PC

(1) 使用以太网线将PC和防火墙设备上的MGE1/0/0接口相连。

(2) 单击电脑右下角的“”，然后单击“打开网络和共享中心”，弹出“网络和共享中心”对话框。

(3) 在“网络和共享中心”对话框中，单击“本地连接”，弹出“本地连接状态”对话框。

图3-2 网络和共享中心

(4) 在“本地连接状态”对话框，单击<属性>按钮，弹出“本地连接属性”对话框。

图3-3 本地连接状态

(5) 在“本地连接属性”对话框，单击“Internet 协议版本4（TCP/IPv4）”，然后单击<确定>按钮，弹出“Internet 协议版本4（TCP/IPv4）”对话框。

图3-4 本地连接属性

(6) 在“Internet 协议版本4（TCP/IPv4）”对话框中，为PC配置IP地址为192.168.0.0/24网段内的任意地址（除192.168.0.1），保证能与防火墙设备互通，例如192.168.0.20。（注意：后期修改了防火墙设备的缺省登录地址后，请使用修改后的网段内的IP地址重新登录防火墙设备）

图3-5 手动配置PC的IP地址

2. 登录防火墙

(1) 在PC浏览器地址栏输入https://192.168.0.1，回车后进入防火墙的Web登录界面。

(2) 输入缺省用户名admin和密码admin，单击<登录>按钮，并根据提示信息修改符合规则要求的登录密码。

图3-6 登录防火墙

3. 配置外网接口

(1) 在防火墙Web管理界面选择“网络”面板，在左侧导航栏选择“安全域”，单击“安全域”页面的<新建>按钮，新建名称为WAN的安全域。

图3-7 新建WAN安全域

(2) 新建名称为LAN的安全域。

图3-8 新建LAN安全域

(3) 在左侧导航栏选择“接口 > 接口”，单击接口GE1/0/1右侧的<编辑>按钮，配置如下：

¡ 接口工作在三层模式。

¡ 接口加入WAN安全域。

¡ IPv4地址支持DHCP、PPPoE和指定IP地址三种方式，请根据实际运营商网络进行选择。本举例中选择“DHCP”方式。

- 如果选择“PPPoE”，需输入运营商提供的PPPoE接入账号和密码。

- 如果选择“DHCP”，将自动从DHCP服务器获取接入广域网的公网IP地址。

- 如果选择“指定IP地址”，需手动输入广域网的IP地址、子网掩码、网关地址。

¡ 单击<确定>按钮完成配置。

图3-9 修改GE1/0/1接口设置

4. 配置内网接口

(1) 在防火墙Web管理界面选择“网络”面板，在左侧导航栏选择“链路 > VLAN”，单击<新建>按钮，新建管理VLAN 10和业务VLAN 20，配置如下：

图3-10 新建VLAN

(2) 在左侧导航栏选择“接口 > 接口”，在接口页面单击<新建接口>按钮，创建管理VLAN 10对应的VLAN接口，配置如下：

¡ 接口加入LAN安全域。

¡ IPv4地址/掩码长度为192.168.10.1/255.255.255.0。

¡ 单击<确定>按钮完成配置。

图3-11 创建Vlan10接口

图3-12 修改Vlan10接口设置

(3) 在左侧导航栏选择“接口 > 接口”，在接口页面单击<新建接口>按钮，创建业务VLAN 20对应的VLAN接口，配置如下：

¡ 接口加入LAN安全域。

¡ IPv4地址/掩码长度为192.168.20.1/255.255.255.0。

¡ 单击<确定>按钮完成配置。

图3-13 创建Vlan20接口

图3-14 修改Vlan20接口设置

(4) 单击接口GE1/0/2右侧的<编辑>按钮，配置如下：

¡ 工作模式为二层模式。

¡ 接口加入LAN安全域。

¡ 接口的VLAN成员为VLAN 10和VLAN 20。

¡ 链路类型为Trunk。

¡ 添加此接口允许VLAN 10和VLAN 20通过。

¡ 单击<确定>按钮完成配置。

图3-15 修改GE1/0/2接口设置

5. 配置DHCP地址池

(1) 在防火墙Web管理界面选择“网络”面板，在左侧导航栏选择“DHCP > 服务”，开启DHCP服务。

图3-16 开启DHCP服务

(2) 在左侧导航栏选择“DHCP > 地址池”，进入地址池配置页面。单击<新建地址池>按钮新建DHCP服务器地址池poolforap，配置如下：

¡ 动态分配的地址段为192.168.10.0/24，不参与自动分配的地址段为192.168.10.1。

¡ 在“地址池选项”页签，单击网关的<新建>按钮，将网关配置为192.168.10.1，配置完成后单击<确定>按钮。

¡ 单击<确定>按钮完成配置。

图3-17 新建DHCP服务器地址池poolforap

图3-18 配置地址池网段

图3-19 配置网关

(3) 单击<新建地址池>按钮新建DHCP服务器地址池poolforsta，配置如下：

¡ 动态分配的地址段为192.168.20.0/24，不参与自动分配的地址段为192.168.20.1。

¡ 在“地址池选项”页签，分别单击网关的<新建>按钮将网关配置为192.168.20.1，配置完成后单击<确定>按钮。

¡ 单击<确定>按钮完成配置。

图3-20 新建DHCP服务器地址池poolforsta

图3-21 配置地址池网段

图3-22 配置网关

6. 配置安全策略

# 在防火墙Web管理界面选择“策略”面板，在左侧导航栏选择“安全策略”，进入“安全策略”配置页面。单击“新建 > 新建策略”创建安全策略lan-wan，配置如下：

· 安全策略名称配置为lan-wan。

· 源安全域选择LAN，目的安全域选择WAN。

· 动作配置为允许。

· 其它配置项保持缺省配置，单击<确定>按钮完成配置。

图3-23 新建安全策略lan-wan

# 新建安全策略lan-local，配置如下：

· 安全策略名称配置为lan-local。

· 源安全域选择LAN，目的安全域选择Local。

· 动作配置为允许。

· 其它配置项保持缺省配置，单击<确定>按钮完成配置。

图3-24 新建安全策略lan-local

# 新建安全策略local-lan，配置如下：

· 安全策略名称配置为local-lan。

· 源安全域选择Local，目的安全域选择LAN。

· 动作配置为允许。

· 其它配置项保持缺省配置，单击<确定>按钮完成配置。

图3-25 新建安全策略local-lan

7. 配置NAT

# 在防火墙Web管理界面选择“策略”面板，在左侧导航栏选择“策略NAT”，进入“策略NAT”配置页面。单击<新建>按钮创建新的NAT策略，配置如下：

· 规则名称为PolicyRule_1。

· 规则类型为NAT44。

· 转换模式为源地址转换。

· 源安全域为LAN。

· 目的安全域为WAN。

· 转换方式为动态IP+端口。

· 地址类型为Easy IP。

· 启用规则。

· 单击<确定>按钮完成策略NAT配置。

图3-26 新建NAT策略

8. 配置无线AC功能

(1) 在防火墙Web管理界面选择“网络”面板，在左侧导航栏选择“无线AC”，进入“无线AC”配置页面。

(2) 配置AP，在创建手工AP和配置自动AP两种方式中，请至少选择其中一项进行配置。

¡ 创建手工AP

# 在左侧导航栏选择“快速配置 > 新增AP > 新增AP”，进入创建AP页面，配置如下：

- AP名称为ap1。

- AP型号为WA6520。

- AP MAC地址为78-A1-3E-DF-6B-E0，也可以通过AP序列号的方式新增AP。

- 其他保持缺省配置，单击<确定>按钮完成AP的创建。

图3-27 创建手工AP

# 在左侧导航栏选择“无线配置 > AP管理 > AP全局管理”，进入“AP全局管理”页面，配置如下：

- 关闭AP版本升级功能。

图3-28 配置AP版本升级功能

有关AP版本升级功能的详细介绍请参见“6.1 AP自动升级”。

¡ 配置自动AP，自动上线的AP名称为AP的MAC地址

# 在左侧导航栏选择“无线配置 > AP管理 > AP全局管理”，进入“AP全局管理”页面，配置如下：

- 关闭AP版本升级功能。

- 开启自动AP功能。

- 开启自动固化功能。

图3-29 配置自动AP

(3) 在左侧导航栏选择“快速配置 > 新增无线网络 > 新增无线网络”，进入新增无线网络页面，在此页面对Wi-Fi进行配置，配置如下：

¡ 配置无线服务名称为service1

¡ 配置SSID为WiFi_example。

¡ 开启无线服务。

¡ 缺省VLAN配置为业务VLAN 20。

¡ 认证模式选择静态PSK认证，安全方式选择为“WPA或WPA2”并输入PSK密钥。

¡ 其他保持缺省配置，并单击<确定并进入高级设置>按钮保存配置。

图3-30 新增无线网络

(4) 进入“绑定”页签，将无线服务模板绑定到射频5GHz和2.4GHz上

图3-31 绑定无线服务模板service1到射频

3.4.2 配置PoE接入交换机

1. 连接PC与PoE交换机

(1) 使用Console配置线连接管理PC的串口和设备的Console口，配置VLAN1的接口IP地址，本例为接口VLAN 1配置的IP地址为192.168.1.2。

(2) 修改PC接口的IP地址与交换机同网段。修改PC的IP地址为192.168.1.0/24网段内的任意地址。注意：不要与其他设备已经配置的IP地址相同。

2. 登录PoE接入交换机

(1) 使用以太网线将PC和PoE交换机上的GE1/0/3接口相连，在PC浏览器地址栏输入https://192.168.1.2，回车后进入PoE接入交换机的Web登录界面。

(2) 输入缺省用户名clouduser和密码admin，单击<登录>按钮，并根据提示信息修改符合规则要求的登录密码。

图3-32 登录PoE接入交换机

3. 创建VLAN

# 按照规划，创建业务VLAN 20。

(1) 在交换机Web管理界面左侧导航栏中选择“网络 > 链路 > VLAN”，进入VLAN配置页面。

(2) 单击<添加>按钮，进入创建VLAN对话框，配置如下：

¡ 创建管理VLAN 10和业务VLAN 20。

¡ 单击<确定>按钮完成配置。

图3-33 创建管理VLAN 10和业务VLAN 20

4. 设置接口类型并划分到指定VLAN

# 将连接防火墙的GE1/0/1以及连接AP的多个GE接口。

(1) 在交换机Web管理界面左侧导航栏中选择“网络 > 接口 > 接口”，进入接口配置页面。

(2) 单击GE1/0/1接口所在行的<详情>按钮，进入修改接口设置页面，配置如下：

¡ 配置“链路类型”选择Trunk，“Permit VLAN列表”为10和20。

¡ 其它配置项保持缺省配置。

¡ 单击<确定>按钮完成配置。

图3-34 配置GE1/0/1接口

(3) 单击连接AP的GE接口GE1/0/2接口所在行的<详情>按钮，进入修改接口设置页面，配置如下：

¡ 配置“链路类型”选择Trunk、“PVID”为10、“Permit VLAN列表”为10和20。

¡ 其它配置项保持缺省配置。

¡ 单击<确定>按钮完成配置。

图3-35 配置GE1/0/2接口

5. 启用PoE供电功能

交换机缺省已经开启PoE功能，如果与AP连接的交换机接口的PoE功能已经处于开启状态，可跳过本步骤。

# 开启与AP连接的GE接口的PoE功能，为AP进行供电。

(1) 在交换机Web管理界面左侧导航栏中选择“PoE > PoE”，进入PoE配置页面。

(2) 单击<全部选中>按钮，选中所有接口。

(3) 单击PI，开启所有选中接口的远程供电功能。

图3-36 启用PoE供电功能

3.5 验证配置

(1) 当无线终端接入无线网络后，在“无线AC”页面的左侧导航栏中选择“概览 > 概览”进入概览页面，可以查看所有AP、客户端、无线服务和无线流量等统计信息。

图3-37 查看概览信息

(2) 单击AP概览右上角的<>按钮，可以查看所有AP的统计信息，包括AP型号、状态、AP序列号、客户端数量等信息。

图3-38 查看AP列表

(3) 单击“客户端”页签，可以查看上线客户端的信息，包括客户端MAC地址、IP地址以及速率等信息。

图3-39 查看上线客户端

4 防火墙融合AC典型配置（CLI方式）

4.2 配置思路

本例采用如下的思路进行网络配置：

(1) 配置出口网关防火墙。

a. 通过Console口登录防火墙。

b. 配置防火墙连接运营商网络并可以访问Internet。

c. 配置内网接口，创建管理和业务VLAN接口，为VLAN接口指定IP地址。

d. 配置管理VLAN和业务VLAN的DHCP地址池。

e. 配置安全策略。

f. 配置NAT，确保内网用户可以访问Internet。

g. 配置无线AC功能，确保FW可以作为AC管理AP。

(2) 配置PoE接入交换机。

a. 通过Console口登录PoE接入交换机。

b. 创建业务VLAN，并放通所有业务VLAN。

c. 开启PoE供电功能，为AP供电。

4.3 部署规划

1. 注意事项

2. 网络信息规划

表4-1 网络信息规划

规划项	详细规划数据
无线终端网络	· 网段：192.168.20.0/24，防火墙作为DHCP Server为终端分配IP地址 · 网关位置：防火墙 · 网关接口IP地址：192.168.20.1/24 · 业务VLAN：VLAN 20 · 加密方式：PSK
防火墙、交换机和AP之间互联网段	· 网段：192.168.10.0/24 · 防火墙互联接口IP地址：192.168.10.1/24 · AP IP地址：从防火墙自动获取 · 管理VLAN：VLAN 10
防火墙接口	· MGE1/0/0接口：F1000-AI-15防火墙的管理接口，采用默认的出厂配置，管理员可以通过此接口对防火墙进行管理。 · GE1/0/1接口工作在三层模式，加入WAN安全域，连接外网支持三种方式：DHCP、PPPoE、指定IP地址，请根据实际运营商网络进行选择。 · GE1/0/2接口连接交换机，工作在二层模式，加入LAN安全域。分别创建管理VLAN10和业务VLAN20对应的接口，接口模式为Trunk模式，允许所有VLAN通过。
交换机接口	· GE1/0/1接口连接防火墙，设置为Trunk类型，允许所有VLAN通过 · 连接AP的多个GE接口，设置为Trunk类型，允许所有VLAN通过，接口的PVID为10
AP	工作模式：Fit模式

4.4 配置步骤

4.4.1 配置出口网关防火墙

1. 连接防火墙和PC

(1) 使用以太网线将PC和防火墙设备上的GE1/0/0接口相连。

(2) 单击电脑右下角的“”，然后单击“打开网络和共享中心”，弹出“网络和共享中心”对话框。

(3) 在“网络和共享中心”对话框中，单击“本地连接”，弹出“本地连接状态”对话框。

图4-2 网络和共享中心

(4) 在“本地连接状态”对话框，单击<属性>按钮，弹出“本地连接属性”对话框。

图4-3 本地连接状态

(5) 在“本地连接属性”对话框，单击“Internet 协议版本4（TCP/IPv4）”，然后单击<确定>按钮，弹出“Internet 协议版本4（TCP/IPv4）”对话框。

图4-4 本地连接属性

(6) 在“Internet 协议版本4（TCP/IPv4）”对话框中，为PC配置IP地址，保证能与防火墙设备互通，以下两种方式任选其一：

¡ 配置PC的IP地址为“自动获得IP地址”和“自动获得DNS服务器地址”，由防火墙为PC自动分配IP地址等网络参数。

图4-5 配置PC自动获取IP地址

¡ 手动修改PC的IP地址为192.168.0.0/24网段内的任意地址（除192.168.0.1），例如192.168.0.20。（注意：后期修改了防火墙设备的缺省登录地址后，请使用修改后的网段内的IP地址重新登录防火墙设备）

图4-6 手动配置PC的IP地址

2. 通过Console口登录防火墙

(1) 使用配置电缆连接PC和设备。请先将配置口电缆的DB-9（孔）/标准USB插头插入PC机的9芯（针）串口/USB口中，再将RJ-45插头端插入设备的Console口中。

(2) 在通过Console口搭建本地配置环境时，需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点，这些程序的详细介绍和使用方法请参见该程序的使用指导。打开终端仿真程序后，请按如下要求设置终端参数：

¡ 波特率：9600

¡ 数据位：8

¡ 停止位：1

¡ 奇偶校验：无

¡ 流量控制：无

(3) 设备上电，终端上显示设备自检信息，自检结束后输入缺省用户名admin和密码admin，用户键入回车后将出现命令行提示符（如<Sysname>）。

3. 配置外网接口

(1) 配置接口GigabitEthernet1/0/1的IP地址

IPv4地址支持DHCP、PPPoE和指定IP地址三种方式，请根据实际运营商网络进行选择。本举例中选择“DHCP”方式。

¡ 如果选择“PPPoE”，需输入运营商提供的PPPoE接入账号和密码。

¡ 如果选择“DHCP”，将自动从DHCP服务器获取接入广域网的公网IP地址。

¡ 如果选择“指定IP地址”，需手动输入广域网的IP地址、子网掩码、网关地址。

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<FW> system-view

[FW] interface gigabitethernet 1/0/1

[FW-GigabitEthernet1/0/1] ip address dhcp-alloc

[FW-GigabitEthernet1/0/1] quit

(2) 配置接口GigabitEthernet1/0/1加入WAN安全域

[FW] security-zone name WAN

[FW-security-zone-WAN] import interface gigabitethernet 1/0/1

[FW-security-zone-WAN] quit

4. 配置内网接口

(1) 创建管理VLAN10和业务VLAN20

[FW] vlan 10

[FW-vlan10]

[FW-vlan10] quit

[FW] vlan 20

[FW-vlan20] quit

(2) 配置接口Vlan-interface10的IP地址/掩码长度为192.168.10.1/24

[FW] interface vlan-interface 10

[FW-Vlan-interface10] ip address 192.168.10.1 24

[FW-Vlan-interface10] quit

(3) 配置接口Vlan-interface20的IP地址/掩码长度为192.168.20.1/24

[FW] interface Vlan-interface 20

[FW-Vlan-interface20] ip address 192.168.20.1 24

[FW-Vlan-interface20] quit

(4) 配置以太网接口GigabitEthernet1/0/2为二层Trunk端口，并允许所有VLAN通过当前Trunk端口

[FW] interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] port link-mode bridge

[FW-GigabitEthernet1/0/2] port link-type trunk

[FW-GigabitEthernet1/0/2] port trunk permit vlan all

[FW-GigabitEthernet1/0/2] quit

(5) 向LAN安全域中加入接口Vlan-interface10、Vlan-interface20、二层以太网接口GigabitEthernet1/0/2以及对应的VLAN 10、二层以太网接口GigabitEthernet1/0/2以及对应的VLAN 20

[FW] security-zone name LAN

[FW-security-zone-LAN] import interface vlan-interface 10

[FW-security-zone-LAN] import interface vlan-interface 20

[FW-security-zone-LAN] import interface GigabitEthernet 1/0/2 vlan 10

[FW-security-zone-LAN] import interface GigabitEthernet 1/0/2 vlan 20

[FW-security-zone-LAN] quit

5. 配置DHCP地址池

(1) 开启全局DHCP服务。

[FW] dhcp enable

(2) 新建DHCP服务器地址池poolforap，为AP分配IP地址。

# 配置动态分配的地址段为192.168.10.0/24，不参与自动分配的地址为192.168.10.1，网关地址为192.168.10.1。

[FW] dhcp server ip-pool poolforap

[FW-dhcp-pool-poolforap] network 192.168.10.0 24

[FW-dhcp-pool-poolforap] forbidden-ip 192.168.10.1

[FW-dhcp-pool-vlan1pool] gateway-list 192.168.10.1

(3) 新建DHCP服务器地址池poolforsta，为接入终端分配IP地址。

# 配置动态分配的地址段为192.168.20.0/24，不参与自动分配的地址为192.168.20.1，网关地址为192.168.20.1。

[FW] dhcp server ip-pool poolforsta

[FW-dhcp-pool-poolforsta] network 192.168.20.0 24

[FW-dhcp-pool-poolforsta] forbidden-ip 192.168.20.1

[FW-dhcp-pool-poolforsta] gateway-list 192.168.20.1

[FW-dhcp-pool-poolforsta] quit

6. 配置安全策略

# 配置名称为lan-wan的安全策略规则，允许LAN安全域访问WAN安全域。

[FW] security-policy ip

[FW-security-policy-ip] rule name lan-wan

[FW-security-policy-ip-3-lan-wan] source-zone lan

[FW-security-policy-ip-3-lan-wan] destination-zone wan

[FW-security-policy-ip-3-lan-wan] action pass

[FW-security-policy-ip-3-lan-wan] quit

# 配置名称为lan-local的安全策略规则，允许LAN安全域访问Local安全域。

[FW-security-policy-ip] rule name lan-local

[FW-security-policy-ip-4-lan-local] source-zone lan

[FW-security-policy-ip-4-lan-local] destination-zone local

[FW-security-policy-ip-4-lan-local] action pass

[FW-security-policy-ip-4-lan-local] quit

[FW-security-policy-ip] quit

# 配置名称为local-lan的安全策略规则，允许Local安全域访问LAN安全域。

[FW-security-policy-ip] rule name local-lan

[FW-security-policy-ip-5-local-lan] source-zone local

[FW-security-policy-ip-5-local-lan] destination-zone lan

[FW-security-policy-ip-5-local-lan] action pass

[FW-security-policy-ip-5-local-lan] quit

[FW-security-policy-ip] quit

7. 配置NAT

# 创建名称为PolicyRule_1的全局NAT规则，配置报文过滤条件为源安全域LAN访问目的安全域WAN的报文，源地址转换方式为Easy IP方式。

[FW] nat global-policy

[FW-nat-global-policy] rule name PolicyRule_1

[FW-nat-global-policy-rule-PolicyRule_1] source-zone lan

[FW-nat-global-policy-rule-PolicyRule_1] destination-zone wan

[FW-nat-global-policy-rule-PolicyRule_1] action snat easy-ip

[FW-nat-global-policy-rule-PolicyRule_1] quit

[FW-nat-global-policy] quit

8. 配置无线AC功能

(1) 配置AP，在创建手工AP和配置自动AP两种方式中，请至少选择其中一项进行配置。

¡ 创建手工AP

- # 创建名称为ap1的手工AP，AP型号为WA6520，MAC地址为78A1-3EDF-6BE0。

- Serial-id 为219801A3L58246P0046S

[FW] wlan ap ap1 model WA6520

[FW-wlan-ap-ap1] serial-id 219801A3L58246P0046S

[FW-wlan-ap-ap1] quit

¡ 配置自动AP

# 开启自动AP功能，自动上线的AP名称为AP的MAC地址

[FW] wlan auto-ap enable

# 配置自动AP固化为手工AP。请至少选择其中一项进行配置。

- 将自动AP固化为手工AP。

[FW] wlan auto-ap persistent all

- 开启自动AP自动固化功能。仅对配置本命令后新上线的自动AP生效，对于已上线的自动AP，只能使用wlan auto-ap persistent命令将自动AP转换为固化AP。

[FW] wlan auto-persistent enable

(2) 关闭全局AP版本升级功能

有关AP版本升级功能的详细介绍请参见“6.1 AP自动升级”。

[FW] wlan global-configuration

[FW-wlan-global-configuration] firmware-upgrade disable

[FW-wlan-global-configuration] quit

(3) 配置无线服务模板service1

# 配置SSID为WiFi_example，配置无线客户端从指定无线服务模板上线后被加入到VLAN 20。

[FW] wlan service-template service1

[FW-wlan-st-service1] ssid WiFi_example

[FW-wlan-st-service1] vlan 20

# 配置身份认证与密钥管理模式为PSK模式，使用明文的字符串User@1234作为共享密钥。加密套件为CCMP，安全信息元素为WPA。

[FW-wlan-st-service1] akm mode psk

[FW-wlan-st-service1] preshared-key pass-phrase simple User@1234

[FW-wlan-st-service1] cipher-suite ccmp

[FW-wlan-st-service1] security-ie wpa

# 使能无线服务模板。

[FW-wlan-st-service1] service-template enable

[FW-wlan-st-service1] quit

(4) 将无线服务模板绑定到射频radio1和radio2上，并开启射频

[FW] wlan ap ap1

[FW-wlan-ap-ap1] radio 1

[FW-wlan-ap-ap1-radio-1] service-template service1

[FW-wlan-ap-ap1-radio-1] radio enable

[FW-wlan-ap-ap1-radio-1] quit

[FW-wlan-ap-ap1] radio 2

[FW-wlan-ap-ap1-radio-2] service-template service1

[FW-wlan-ap-ap1-radio-2] radio enable

[FW-wlan-ap-ap1-radio-2] return

<FW>

4.4.2 配置PoE接入交换机

1. 通过Console口登录PoE接入交换机

(1) 使用配置电缆连接PC和设备。请先将配置口电缆的DB-9（孔）/标准USB插头插入PC机的9芯（针）串口/USB口中，再将RJ-45插头端插入设备的Console口中。

¡ 波特率：9600

¡ 数据位：8

¡ 停止位：1

¡ 奇偶校验：无

¡ 流量控制：无

(3) 设备上电，终端上显示设备自检信息，自检结束后键入<Crtl+C>，用户键入回车后将出现命令行提示符（如<Sysname>）。

2. 创建VLAN

# 按照规划，创建管理VLAN 10和业务VLAN 20。

[PoE switch] vlan 10 20

3. 设置接口类型并划分到指定VLAN

# 配置连接防火墙的二层以太网接口GigabitEthernet1/0/1为Trunk端口，并允许所有VLAN通过当前Trunk端口。

[PoE switch] interface GigabitEthernet 1/0/1

[PoE switch-GigabitEthernet1/0/1] port link-type trunk

[PoE switch-GigabitEthernet1/0/1] port trunk permit vlan all

[PoE switch-GigabitEthernet1/0/1] quit

# 配置连接AP的多个二层以太网接口（本例仅GE1/0/2）为Trunk端口，允许所有VLAN通过当前Trunk端口，并配置端口的缺省VLAN ID为10。

[PoE switch] interface GigabitEthernet 1/0/2

[PoE switch-GigabitEthernet1/0/2] port link-type trunk

[PoE switch-GigabitEthernet1/0/2] port trunk permit vlan all

[PoE switch-GigabitEthernet1/0/2] port trunk pvid vlan 10

[PoE switch-GigabitEthernet1/0/2] quit

4. 启用PoE供电功能

交换机缺省已经开启PoE功能，如果与AP连接的交换机接口的PoE功能已经处于开启状态，可跳过本步骤。

# 开启与AP连接的多个以太网接口（本例仅GE1/0/2）的PoE远程供电功能，为AP进行供电。

[PoE switch] interface GigabitEthernet 1/0/2

[PoE switch-GigabitEthernet1/0/2] poe enable

[PoE switch-GigabitEthernet1/0/2] quit

4.5 验证配置

# 查看AP的信息，可以看到AP与AC成功建立隧道连接并进入R/M状态。（以手工AP为例）

<FW> display wlan ap all

Total number of APs: 1

Total number of connected APs: 1

Total number of connected manual APs: 1

Total number of connected auto APs: 0

Total number of connected common APs: 1

Total number of connected WTUs: 0

Total number of inside APs: 0

Maximum supported APs: 64

Remaining APs: 63

Total AP licenses: 1

Local AP licenses: 1

Server AP licenses: 0

Remaining local AP licenses: 0

Sync AP licenses: 0

AP information

State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad

C = Config, DC = DataCheck, R = Run, M = Master, B = Backup

AP name APID State Model Serial ID

ap1 1 R/M WA6520 219801A3L58246P0046S

# 还可以在“无线AC”页面的左侧导航栏中选择“概览 > 概览”进入概览页面，可以查看所有AP、客户端、无线服务和无线流量等统计信息。

4.6 配置文件

4.6.1 出口网关防火墙

wlan global-configuration

firmware-upgrade disable

telnet server enable

dhcp enable

dhcp server always-broadcast

vlan 10

vlan 20

dhcp server ip-pool lan1

gateway-list 192.168.0.1

network 192.168.0.0 mask 255.255.255.0

address range 192.168.0.2 192.168.0.254

dns-list 192.168.0.1

dhcp server ip-pool poolforap

gateway-list 192.168.10.1

network 192.168.10.0 mask 255.255.255.0

forbidden-ip 192.168.10.1

dhcp server ip-pool poolforsta

gateway-list 192.168.20.1

network 192.168.20.0 mask 255.255.255.0

forbidden-ip 192.168.20.1

wlan service-template service1

ssid WiFi_example

vlan 20

akm mode psk

preshared-key pass-phrase cipher $c$3$3xnWZGP5DcEfTPTSeL3gaf+z41kdFbBgPV+NRA==

cipher-suite ccmp

security-ie wpa

service-template enable

interface Vlan-interface1

description LAN-interface

ip address dhcp-alloc

tcp mss 1280

interface Vlan-interface10

ip address 192.168.10.1 255.255.255.0

interface Vlan-interface20

ip address 192.168.20.1 255.255.255.0

interface GigabitEthernet1/0/1

port link-mode route

ip address dhcp-alloc

interface GigabitEthernet1/0/2

port link-mode bridge

port link-type trunk

port trunk permit vlan all

security-zone name LAN

import interface Vlan-interface1

import interface Vlan-interface10

import interface Vlan-interface20

import interface GigabitEthernet1/0/0 vlan 1

import interface GigabitEthernet1/0/2 vlan 1 10 20

security-zone name WAN

import interface GigabitEthernet1/0/1

nat global-policy

rule name PolicyRule_1

source-zone LAN

destination-zone WAN

action snat easy-ip

wlan ap ap1 model WA6520XS-LI

mac-address f4e9-75cd-be30

vlan 1

radio 1

radio enable

service-template service1

radio 2

radio enable

service-template service1

gigabitethernet 1

gigabitethernet 2

rule 3 name lan-wan

action pass

source-zone lan

destination-zone wan

rule 4 name lan-local

action pass

source-zone lan

destination-zone local

rule 5 name local-lan

action pass

source-zone local

destination-zone lan

return

4.6.2 PoE接入交换机

vlan 10

vlan 20

interface Vlan-interface1

ip address 192.168.1.2 255.255.255.0

dhcp client identifier ascii 98204435f0f4-VLAN0001

interface GigabitEthernet1/0/1

port link-type trunk

port trunk permit vlan all

poe enable

interface GigabitEthernet1/0/2

port link-type trunk

port trunk permit vlan all

port trunk pvid vlan 10

poe enable

return

5 AP版本批量升级典型配置

本章节以F1000-AI-15设备为例，介绍AP版本批量升级功能。

5.1 有关APDB的基本介绍

APDB（Access Point Information Database，接入点信息数据库）是AC内存中的AP信息数据库，数据库中保存的信息包括AP型号和软硬件版本对应关系，AP型号支持的射频数量、类型、合法区域码、合法天线类型和功率表等。仅当APDB中存在某AP型号的信息时，AC才能和该型号的AP建立CAPWAP隧道。定制了AC功能的防火墙设备，也可以作为AC，防火墙设备的内存中也会有APDB。

当AP版本升级功能处于开启状态时，AC配置AP型号的软硬件版本对应关系后，AC将比较AP的软件版本与AC配置的软硬件版本关系是否一致。如果一致，则不进行升级，如果不一致，则进行软件版本升级。

对于FIT AP，只有期望AP使用的软件版本与APDB中存储的该AP型号对应的软件版本不一致时才需要配置本功能，APDB中存储的各AP型号对应的软件版本可以通过display wlan ap-model命令查询。

如果想更详细了解APDB功能，请参见“WLAN配置指导”的“AP管理配置”手册。

建议：最好使用APDB推荐的适配AP的软件版本，AP的软件版本，可以从官网下载：https://www.h3c.com/cn/Service/Document_Software/Software_Download/IP_Wlan/。

5.2 AP版本升级

AP版本升级有三种方式，分别是：

· 第一种升级方式：AP自动升级

· 第二种升级方式：AP手工升级

· 第三种升级方式：关闭设备的版本检验

5.2.1 AP升级前的准备

AP版本升级前，可以先通过如下方式查询防火墙设备适配的AP型号：

(1) 执行命令display wlan ap-model all，可以查看到防火墙设备适配的所有AP型号及软件版本。

(2) 可以看到F1000-AI-15适配的AP WA6520、WA6520H和WA6526的软件版本为R2593P03，AP的IPE文件为wa6500a.ipe：

(3) 可以看到F1000-AI-15适配的AP WA6620X和WA6636的软件版本为R2463P01，AP的IPE文件为wa6600.ipe。

5.2.2 AP自动升级

缺省情况下，设备的AP版本自动升级功能处于开启状态。此时，AP的版本升级过程如下：

(1) AP将版本和型号信息上送给防火墙设备（防火墙设备定制了AC功能，可以作为AC）。

(2) 比较AP的软件版本。比较AP的软件版本与AC自带APDB中的AP型号和软硬件版本是否一致。

(3) 如果软件版本一致，则允许CAPWAP隧道建立；如果软件版本不一致，则将此情况告知AP。AP收到版本不一致的消息后，会向AC请求软件版本。

(4) AC收到AP的软件版本请求后，向AP下发软件版本。

(5) AP收到版本文件后，将进行版本升级并进行重启，之后再与AC建立CAPWAP隧道。

若要通过AP自动升级功能升级AP的软件版本，需要先将AP的版本文件上传到防火墙设备本地，并保证AP版本文件适配的型号和版本与APDB中一致。（注：将适配AP的版本可直接传到防火墙设备的flash下，不需要指定文件目录）

管理员可通过设备命令行display wlan ap-model命令查看指定AP款型在APDB中的版本号。

[FW] display wlan ap-model name wa6520

AP model : WA6520

Alias : WA6520

Vendor name : H3C

Vendor ID : 25506

License weight : 100

License type : 1

Radio count : 2

Radio 1:

Mode : 802.11a, 802.11an, 802.11ac, 802.11ax

Default mode : 802.11ax

BSS count : 8

Radio 2:

Mode : 802.11b, 802.11g, 802.11gn, 802.11gax

Default mode : 802.11gax

BSS count : 8

Version Support List:

Hardware Version Ver.A:

Software Version : R2593P03