- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-AP管理配置
本章节下载: 01-AP管理配置 (2.18 MB)
目 录
1.4.4 配置AP Discover interval定时器的超时时间
1.7.3 配置AC向AP下发版本时优先获取AP镜像文件的位置
1.8.4 配置AP发送CAPWAP数据隧道keep alive报文的时间间隔
1.9.2 配置Beacon帧和Probe Response帧携带区域码功能
1.11.8 配置CPE设备的移动通信Modem模块版本升级
1.12.3 配置FAT AP或云AP的工作模式为FIT模式
1.17.1 通过DHCP发现方式建立CAPWAP隧道配置举例
1.17.2 通过DNS发现方式建立CAPWAP隧道配置举例
随着无线网络的大规模发展,当大量部署AP(Access Point,接入点)时,AP升级软件、射频参数的配置和调整等管理工作将给用户带来高昂的管理成本。为解决这一问题,WLAN采用AC+Fit AP架构,即通过AC(Access Controller,接入控制器)对AP进行集中控制和管理,所有的配置都保存在AC上并由AC下发,AP上不需要任何配置。
AP和AC间采用CAPWAP(Controlling and Provisioning of Wireless Access Point,无线接入点控制与供应)隧道进行通信。CAPWAP隧道为AP和AC之间的通信提供了通用的封装和传输机制,使用UDP协议作为传输协议,并支持IPv4和IPv6协议。
如图1-1所示,AC通过CAPWAP协议与AP建立控制隧道和数据隧道,AC通过控制隧道对AP进行管理和监控,通过数据隧道转发客户端的数据报文。
图1-1 CAPWAP隧道典型组网图
AP零配置启动后,会自动创建VLAN-interface 1,并在该接口上默认开启DHCP客户端、DHCPv6客户端和DNS客户端功能,完成上述操作后,AP将使用获取的AC地址发现AC并建立CAPWAP隧道。AP获取AC地址的方式如下:
· 静态配置:通过预配置为AP手工指定AC的IP地址。
· DHCP选项:通过DHCP服务器返回的Option 138或Option 43选项获取AC的IPv4地址,或Option 52选项获取AC的IPv6地址,通过三个选项获取AC地址的优先级为Option 138 > Option 43 > Option 52。
· DNS:AP通过DHCP服务器获取AC的域名后缀及DNS server的IP地址,再将从自身获取的主机名与域名后缀形成AC的完整域名进行DNS解析,获取AC地址。
· 广播:AP通过向IPv4广播地址255.255.255.255发送Discovery request广播报文来发现、选择AC并建立隧道。
· IPv4组播:AP通过向IPv4组播地址224.0.1.140发送Discovery request组播报文来发现、选择AC并建立隧道。
· IPv6组播:AP通过向IPv6组播地址FF0E::18C发送Discovery request组播报文来发现、选择AC并建立隧道。
AP依次使用静态配置、DHCPv4选项、广播/IPv4组播、IPv4 DNS、IPv6组播、DHCPv6选项、IPv6 DNS获取的AC地址进行发现AC并建立隧道过程,若某一种方式成功建立CAPWAP隧道,则停止发现AC的过程。
Option 43仅支持配置为HEX形式,包括PXE和ACS两种格式,字母不区分大小写。
· PXE格式
¡ 示例1:采用PXE格式配置1个AC IPv4地址时(AC:2.2.2.2),需在DHCP服务器的DHCP地址池视图下配置为option 43 hex 800700000102020202,Option选项内容各字段的含义如下:
- 80:固定值,不可改变,占1个字节。
- 07:长度字段,表示其后面所跟数据的字节长度,可变值。此处后面所跟数据为00000102020202,所以长度为7个字节。
- 0000:固定值,不可改变。
- 01:表示其后面AC IPv4地址的个数,可变值,此处为1个IPv4地址。
- 02020202:表示AC的十六进制IPv4地址,可变值。如果需要配置多个IPv4地址,连续配置即可,每个IPv4地址之间不能有空格,最多可以配置16个。
¡ 示例2:采用PXE格式配置2个AC IPv4地址时(AC 1:6.6.6.2,AC 2:6.6.6.3),需在DHCP服务器的DHCP地址池视图下配置为option 43 hex 800b0000020606060206060603。
· ACS格式
¡ 示例1:采用ACS格式配置1个AC IPv4地址时(AC:2.2.2.2),需在DHCP服务器的DHCP地址池视图下配置为option 43 hex 010402020202,Option选项内容各字段的含义如下:
- 01:固定值,不可改变,表示ACS格式,占1个字节。
- 04:长度字段,表示其后面所跟数据的字节长度,可变值。此处后面所跟数据为02020202,所以长度为4个字节。
- 02020202:表示AC的十六进制IPv4地址,可变值。如果需要配置多个IPv4地址,连续配置即可,每个IPv4地址之间不能有空格,最多可以配置16个。
¡ 示例2:采用ACS格式配置2个AC IPv4地址时(AC 1:6.6.6.2,AC 2:6.6.6.3),需在DHCP服务器的DHCP地址池视图下配置为option 43 hex 01080606060206060603。
Option 138支持配置为HEX形式(包括PXE和ACS两种格式)和IP地址形式。HEX形式的PXE和ACS两种格式各字段含义同Option 43。
· 示例1:采用IP地址形式配置1个AC IPv4地址时(AC:192.168.0.100),需在DHCP服务器的DHCP地址池视图下配置为option 138 ip-address 192.168.0.100,Option选项内容192.168.0.100表示AC的十进制IPv4地址,可变值。如果需要配置多个IPv4地址,连续配置即可,每个IPv4地址之间用空格分隔,最多可以配置8个。
· 示例2:采用IP地址形式配置2个AC IPv4地址时(AC 1:6.6.6.2,AC 2:6.6.6.3),需在DHCP服务器的DHCP地址池视图下配置为option 138 ip-address 6.6.6.2 6.6.6.3。
Option 52仅支持配置为HEX形式,字母不区分大小写。
· 示例1:采用HEX形式配置1个AC IPv6地址时(AC:3138:101::62),需在DHCPv6服务器的DHCPv6地址池视图下配置为option 52 hex 31380101000000000000000000000062,Option选项内容31380101000000000000000000000062表示AC的IPv6地址,必须配置为32位。如果需要配置多个IPv6地址,连续配置即可,每个IPv6地址之间不能有空格,最多可以配置8个。
· 示例2:采用HEX形式配置2个AC IPv6地址时(AC 1:3138:101::62,AC 2:3138:101::72),需在DHCPv6服务器的DHCPv6地址池视图下配置为option 52 hex 3138010100000000000000000000006231380101000000000000000000000072。
图1-2 CAPWAP隧道建立过程
AP发现AC并建立CAPWAP隧道过程如下:
(2) AP向AC地址发送Discovery request报文。
(3) AC收到Discovery request报文后,根据本地策略和报文内容决定是否对AP进行回复Discovery response报文,Discovery response报文中会携带优先级值、AC上是否存在该AP的信息和AC上的负载信息等。AC判断是否回复Discovery response报文的详细步骤如下:
a. AC检查收到的Discovery request报文是否为单播报文,如果是单播报文则直接进行下一步。如果是广播或组播报文,将检查单播发现策略功能是否处于开启状态,如果处于开启状态,AC不回复Discovery response报文;如果处于关闭状态,再进行下一步检查。
b. AC根据Discovery request报文中携带的AP型号信息检查自身是否存在手工AP,如果存在手工AP,则向AP回复Discovery response报文,并在报文中携带存在手工AP的标记、优先级值和负载情况;如果不存在手工AP,再进行下一步检查。
c. AC检查自动AP功能的开启状态,如果自动AP功能处于开启状态,AC向AP回复Discovery response报文,并在报文中携带自动AP功能处于开启状态的标记、优先级值和负载情况;如果自动AP功能处于关闭状态,则不回复Discovery response报文。
(4) AP收到各个AC的Discovery response报文后,根据报文中携带的内容,选择最优AC。最优AC的选择优先级为:
a. 选择存在手工AP的AC,如果没有AC存在手工AP,则选择开启了自动AP功能的AC。如果有多个AC上存在手工AP或多个AC开启了自动AP功能,再进行下一步判断。
b. 选择AP连接AC优先级最高的AC。优先级相同,选择负载最轻的AC。负载相同,选择回复时间最快的AC。
(5) AP向选择的最优AC发送Join request报文。
(6) AC根据报文内容,检查是否为该AP提供服务,并回复Join response报文。
(7) AP若收到Result Code为失败的Join response报文,则不建立隧道;若AP收到Result Code为成功的Join response报文,则AP和AC成功建立隧道。
APDB(Access Point Information Database,接入点信息数据库)是AC内存中的AP信息数据库,数据库中保存的信息包括AP型号和软硬件版本对应关系,AP型号支持的射频数量、类型、合法区域码、合法天线类型和功率表等。仅当APDB中存在某AP型号的信息时,AC才能和该型号的AP建立CAPWAP隧道。
APDB中存储的数据通过脚本文件管理,包括系统脚本文件和用户脚本文件:
· 系统脚本文件随AC版本发布,并在AC启动时自动加载;
· 用户脚本文件由用户自行配置并加载到APDB中。
如果要让AC支持新型号的AP,可以通过升级AC的软件版本或加载APDB用户脚本文件的方式实现。有关软件版本升级的详细介绍请参见“基础配置指导”中的“软件升级”,有关加载APDB用户脚本的详细介绍请参见“加载APDB用户脚本”。
与CAPWAP相关的协议规范有:
· RFC 5415:Control And Provisioning of Wireless Access Points (CAPWAP) Protocol Specification
· RFC 5416:Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11
· RFC 5417:Control And Provisioning of Wireless Access Points (CAPWAP) Access Controller DHCP Option
在对AP进行配置时,可以采用如下方式:
· 针对单台AP,在AP视图下进行配置。
· 针对同一个AP组内的AP,在AP组视图下针对AP组进行配置。
· 在全局配置视图下针对所有AP进行全局配置。
对于一台AP,这些配置的生效优先级从高到低为:针对AP的配置、AP组中的配置、全局配置。在大规模组网时,推荐在AP组内进行配置。
AP管理配置任务如下:
在创建手工AP和配置自动AP中选择一项任务进行配置:
¡ 创建手工AP
¡ 配置自动AP
¡ (可选)配置AP Discover interval定时器的超时时间
¡ (可选)配置AP连接AC的优先级
¡ (可选)配置单播发现策略功能
(2) (可选)配置AP组
(3) (可选)配置虚拟AP
(4) (可选)配置AP版本升级
(5) (可选)_Topic_241803_20240321194246_title
(6) (可选)配置CAPWAP隧道配置CAPWAP隧道
¡ 配置AP发送CAPWAP数据隧道keep alive报文的时间间隔
(7) (可选)配置区域码
¡ 配置AP的区域码
¡ 配置Beacon帧和Probe Response帧携带区域码功能
(8) (可选)配置请求报文重传
(9) (可选)_Topic_241749_20240321191007_title
¡ _Topic_241794_20240321191091_title
¡ _Topic_241823_20240321191168_title
(10) (可选)配置AP维护功能
¡ 重启AP
¡ 重命名手工AP
¡ 管理AP的文件
¡ 配置加速上报信息
(11) (可选)配置AP管理高级功能
¡ _Topic_563542_20250317152309_title
¡ 配置AP标签
(12) (可选)配置AC维护功能
(13) (可选)配置告警功能
¡ 开启告警功能
(14) (可选)配置AP监控组功能
CAPWAP隧道的建立需要DHCP和DNS的配合。因此,首先需要完成以下配置任务:
· AP需要获取到自身的IP地址,因此需要在DHCP server上配置地址池为AP分配IP地址。
· 若获取AC地址的方式为DHCP选项方式,则需要在DHCP server上将对应地址池的Option 138或Option 43配置为AC的IPv4地址,或使用Option 52配置AC的IPv6地址。
· 若获取AC地址的方式为DNS方式,则需要在DHCP server对应的地址池上配置DNS server的IP地址和AC的域名后缀。并在DNS server上创建区域,添加AC的IP地址和域名的映射。
· 保证AC和AP之间的路由可达。
有关DHCP和域名解析的详细介绍和相关配置,请参见“三层技术-IP业务配置指导”中的“DHCP服务器”、“DHCPv6服务器”和“域名解析”。
创建手工AP是指用户根据AP的实际信息,包括AP型号、序列号和MAC地址,在AC上手动创建AP。在AP发现AC时,会优先选择存在手工AP的AC建立CAPWAP隧道连接。
(1) 进入系统视图。
system-view
(2) 创建手工AP,并进入AP视图。
wlan ap ap-name [ model model-name ]
创建AP时,需要输入型号名称。
(3) 配置AP的序列号或MAC地址。
¡ 配置AP的序列号。
serial-id serial-id
¡ 配置AP的MAC地址。
mac-address mac-address
缺省情况下,未配置AP的序列号和MAC地址。
(4) (可选)配置AP的描述信息。
description text
缺省情况下,未配置AP的描述信息。
当无线网络中部署的AP数量较多时,开启自动AP功能可以简化配置,即AC上可以不创建手工AP。AP发现没有AC存在手工AP的情况下,会从开启自动AP功能的AC中选择最优AC进行CAPWAP隧道连接。
出于网络安全性考虑,可对自动AP进行本地认证。本地认证过程在AC上完成,支持AP MAC地址和AP序列号两种认证方式。当自动AP接入AC时,AC使用AP的序列号或MAC地址去匹配指定的ACL规则,并根据匹配的结果对AP采用不同的处理方式:
· 如果匹配上了ACL的permit规则,表示自动AP通过认证,允许接入AC。
· 如果匹配上了ACL的deny规则,表示自动AP未通过认证,不允许接入AC。
· 如果未匹配上任何ACL规则,则认为该AP为未认证AP,允许接入AC,但不允许提供无线服务。
当本地认证结果为“未认证AP”时,可以使用认证服务器对自动AP进行远程认证或手工认证:
· 配置远程认证后,AC会将AP的序列号或者MAC地址作为用户名和密码,发送给认证服务器进行远程认证。如果认证成功,则AC允许AP接入,并提供无线服务;如果失败,则AC拒绝AP接入AC。
· 配置手工认证后,AC会将指定的自动AP的MAC地址或序列号加入wlan ap-authentication acl命令指定的ACL中,并根据手工认证操作自动生成对应的规则。
¡ 如果手工认证操作为允许指定AP的状态从“未认证”转变为“已认证”,将生成对应的WLAN ACL permit规则,并允许已认证状态的AP提供无线服务。
¡ 如果手工认证操作为拒绝处于未认证状态的自动AP接入AC,将生成对应的WLAN ACL deny规则,并强制已上线的未认证自动AP下线。
建议在需要部署的AP全都接入后关闭自动AP功能,以防止非法AP接入。因此需要将已接入的所有AP固化为手工AP,才能保证AC重启或AP与AC的连接断开并恢复后,AP能够再次接入AC。
只有将自动AP固化为手工AP后,才能对自动AP进行单独配置,否则只能通过AP组进行配置。
自动AP配置任务如下:
(1) 开启自动AP功能
(2) (可选)配置自动AP固化为手工AP
(3) (可选)配置自动AP认证
请选择以下一项配置任务进行配置:
(4) 禁止未认证的自动AP接入AC
(5) (可选)重启未认证的自动AP
配置自动AP远程认证功能之前需要先配置认证域及使用的AAA方案,并在认证服务器上配置用户名和密码。有关认证域和AAA方案的详细配置介绍,请参见“安全配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 开启自动AP功能。
wlan auto-ap enable
缺省情况下,自动AP功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置自动AP固化为手工AP。请至少选择其中一项进行配置。
¡ 将自动AP固化为手工AP。
wlan auto-ap persistent { all | name auto-ap-name [ new-ap-name ] }
¡ 开启自动AP自动固化功能。
wlan auto-persistent enable
缺省情况下,自动AP自动固化功能处于关闭状态。
wlan auto-persistent enable命令仅对配置本命令后新上线的自动AP生效,对于已上线的自动AP,只能使用wlan auto-ap persistent命令将自动AP转换为固化AP。
(1) 进入系统视图。
system-view
(2) 配置自动AP认证的方式。
wlan ap-authentication method { mac-address | serial-id }
缺省情况下,使用MAC地址对自动AP进行认证。
(3) 创建无线接入点ACL,并进入无线接入点ACL视图。
acl wlan ap { acl-number | name acl-name }
有关acl wlan ap命令及ACL的详细配置介绍,请参见“安全配置指导”中的“ACL”。
(4) 退回系统视图。
quit
(5) 配置认证自动AP使用的ACL。
wlan ap-authentication acl [ acl-number | name acl-name ]
缺省情况下,未配置自动AP进行认证使用的ACL。
(6) 创建规则。请至少选择其中一项进行配置。
¡ 请依次执行以下命令手工创建规则:
acl wlan ap { acl-number | name acl-name }
rule [ rule-id ] { deny | permit } [ mac mac-address mac-mask ] [ serial-id serial-id ]
quit
¡ 导入自动AP认证文件,并生成相应的ACL规则:
wlan ap-authentication import file-name
两种创建规则的方式不冲突,可以根据实际情况同时配置。
(7) 开启自动AP认证功能。
wlan ap-authentication enable
缺省情况下,自动AP认证功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 对未认证的自动AP进行手工认证。
wlan ap-authentication { accept | reject } ap-unauthenticated { all | name ap-name }
缺省情况下,未配置对处于未认证状态的自动AP进行手工认证
(1) 进入系统视图。
system-view
(2) 禁止未认证的自动AP接入AC。
undo wlan ap-authentication permit-unauthenticated
缺省情况下,允许未认证的自动AP接入AC,但不能提供无线服务。
通过配置该功能可以禁止未认证的自动AP接入AC,减少系统资源的浪费。
请在用户视图下执行本命令,重启未认证的自动AP。
reset wlan ap unauthenticated
通过重启未认证的自动AP,让AP重新进行认证。
当AP收到Discover response报文时,会创建或刷新Discover interval定时器,当定时器超时后,AP会选择最优AC并向AC发送Join request报文。
当网络环境较差时,配置较长的Discover interval定时器超时时间可以延长AP等待AC回复Discover response报文的时间。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置AP Discover interval定时器的超时时间。
discovery-response wait-time seconds
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:AP Discover interval定时器的超时时间为2秒。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入全局配置视图。
wlan global-configuration
(3) 配置AP连接AC的优先级。
priority priority
缺省情况下:
¡ AP视图:AP组有配置的情况下,继承AP组配置,AP组无配置的情况下,继承全局配置。
¡ AP组视图:继承全局配置。
¡ 全局配置视图:AP连接的优先级为4。
AP可以通过单播、组播及广播三种方式发现AC并建立CAPWAP或LWAPP隧道。开启了单播发现策略功能后,AC只对发送单播Discovery request报文的AP进行响应,不对发送组播、广播Discovery request报文的AP进行响应,即只允许单播发现的AP与AC建立CAPWAP或LWAPP隧道连接。
(1) 进入系统视图。
system-view
(2) 开启单播发现策略功能。
wlan capwap discovery-policy unicast
缺省情况下,单播发现策略功能处于关闭状态。
AP组用来实现批量对一组AP进行配置和管理,AP继承其所属组的配置来达到简化配置的目的。在大规模无线网络中,同一AC管理的AP数量可达几千台,对每一台AP逐一配置将导致网络管理难度极大提高。AP组用来降低逐个配置AP的操作成本,用户可以创建多个组,对不同的组用户可以根据需要进行不同的AP配置。
所有AP缺省情况下均属于默认组,默认组组名为default-group,默认组不需创建、不可删除,且不能配置任何AP入组规则。
AP组可以指定AP名称、AP序列号、AP MAC地址和IP网段四种入组规则,AP的入组匹配顺序从高到低依次为:
(1) AP名字入组规则
(2) AP序列号入组规则
(3) AP MAC地址入组规则
(4) IP网段入组规则
(5) 若未匹配到任何入组规则,则AP将被加入到默认组。
目前有两种类型的AP组,common类型AP组用于纳管除极简PON AP以外的其他类型AP,pon类型AP组用于纳管极简PON AP。
AP必须属于一个AP组,且只能属于一个AP组。删除AP入组规则,AP会根据AP的入组规则匹配顺序重新匹配AP组。
AP组下有AP已经入组(手工AP或自动AP),则该AP组不允许删除;配置了入组规则,但是没有AP入组的AP组可以被删除。
配置AP入组规则时,具有以下限制:
· 同一入组规则不能重复出现在不同的AP组中,若将同一入组规则配置在新AP组中,将导致原AP组中对应的入组规则自动删除(相当于迁移组)。
· 同一AP组下最多能够配置32条IPv4网段入组规则或IPv6网段入组规则。且同一AP组(或者不同AP组)的IPv4网段入组规则或IPv6网段入组规则不能重叠或相互包含。
(1) 进入系统视图。
system-view
(2) 创建AP组并进入AP组视图。
wlan ap-group group-name [ type { common | pon } ]
缺省情况下,存在默认组default-group。
(3) (可选)配置AP组描述信息。
description text
缺省情况下,未配置AP组描述信息。
(4) 创建AP入组规则。请至少选择其中一项进行配置。
¡ 创建AP名称入组规则。
ap ap-name-list
¡ 创建AP序列号入组规则。
serial-id serial-id
¡ 创建AP MAC地址入组规则。
mac-address mac-address
¡ 创建IPv4网段入组规则。
if-match ip ip-address { mask-length | mask }
¡ 创建IPv6网段入组规则。
if-match ipv6 { ipv6-address prefix-length | ipv6-address/prefix-length }
(5) 退回系统视图。
quit
(6) (可选)配置迁移入组规则。
wlan re-group { ap ap-name | ap-group source-group-name | mac-address mac-address | serial-id serial-id } group-name
虚拟AP是在物理AP上虚拟化出的一个AP,它与物理AP在逻辑上相互隔离,为不同用户提供无线接入服务。用户可以将其无线网络中的多台物理AP虚拟化出多台虚拟AP,使用一台AC对物理AP进行管理,使用其它AC对虚拟AP进行管理,实现多套相互隔离的无线网络环境,降低用户部署无线网络的成本。
如图1-3所示,在物理AP上虚拟化出一个虚拟AP,物理AP与AC 1建立CAPWAP隧道连接,虚拟AP与AC 2建立CAPWAP隧道连接,实现了两套相互隔离的无线网络环境,分别为不同的Client提供无线接入服务。
图1-3 虚拟AP应用示意图
· 云集群不支持本功能。
· 在1个物理AP上最多可以创建1个虚拟AP。
· 配置的虚拟AP连接的AC的IP地址不能和物理AP上线的AC的IP地址相同,但两者的IP地址类型需要保持一致,即都通过IPv4地址或者IPv6地址在AC上线。
· 开启虚拟AP功能后,一个Radio下可以创建的最大BSS个数会减半。
· 关闭虚拟AP功能前,需要确保所有AP和AP组视图下没有创建虚拟AP,否则需要首先删除已创建的虚拟AP,才能成功关闭虚拟AP功能。
· 通过设置虚拟AP上线时所使用的管理VLAN,可以实现物理AP和虚拟AP的管理VLAN隔离。
· 如果物理AP和虚拟AP使用相同的管理VLAN,则必须在AP的以太网接口上配置端口隔离功能。
· 配置虚拟AP上线时所使用的管理VLAN前需要将AP的以太网接口加入到相应的VLAN,并且该管理VLAN接口必须通过DHCP方式获取IP地址。
· 虚拟AP不支持自动选择信道,只支持手工指定工作信道,且物理AP以及虚拟AP所连接AC的射频工作信道配置必须保持一致。
开启虚拟AP功能前,需要确保所有AP Radio视图和AP组Radio视图下已绑定的无线服务模板被分配的WLAN ID不能为WLAN ID取值范围的后一半,否则需要首先解绑当前WLAN ID对应的无线服务模板,才能成功开启虚拟AP功能。无线服务模板被分配的WLAN ID可以通过Probe视图下的命令display system internal wlan bss list ap ap-id radio radio-id查看,WLAN ID取值从1开始,最大值为开启虚拟AP功能前Radio下可创建的BSS个数。
本功能需要在物理AP连接的AC上进行配置。
(1) 进入系统视图。
system-view
(2) 开启虚拟AP功能。
wlan virtual-ap enable
创建虚拟AP前,需要确保当前AC已开启虚拟AP功能。
(3) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(4) 创建虚拟AP并配置虚拟AP连接的AC的IP地址。
virtual-ap ac-address { ip ipv4-address | ipv6 ipv6-address } [ management-vlan vlan ]
创建虚拟AP是指用户根据AP的实际信息,包括AP型号、序列号和MAC地址,在AC上手动创建虚拟AP。在虚拟AP发现AC时,会优先选择存在手动创建的虚拟AP的AC建立CAPWAP隧道连接。
本功能需要在虚拟AP连接的AC上进行配置。
(1) 进入系统视图。
system-view
(2) 创建虚拟AP,并进入AP视图。
wlan virtual-ap ap-name [ model model-name ]
创建虚拟AP时,需要输入型号名称。
(3) 配置虚拟AP的序列号或MAC地址。
¡ 配置虚拟AP的序列号。
serial-id serial-id
¡ 配置虚拟AP的MAC地址。
mac-address mac-address
缺省情况下,未配置虚拟AP的序列号和MAC地址。
(4) (可选)配置虚拟AP的描述信息。
description text
缺省情况下,未配置虚拟AP的描述信息。
虚拟AP组用来实现批量对一组虚拟AP进行配置和管理,虚拟AP继承其所属组的配置来达到简化配置的目的。在大规模无线网络中,同一AC管理的AP数量可达几千台,对每一台AP逐一配置将导致网络管理难度极大提高。虚拟AP组用来降低逐个配置虚拟AP的操作成本,用户可以创建多个组,对不同的组用户可以根据需要进行不同的虚拟AP配置。
所有虚拟AP缺省情况下均属于默认组,虚拟AP默认组组名为default-vitualapgroup,默认组不需创建、不可删除,且不能配置任何AP入组规则。
虚拟AP组可以指定虚拟AP名称、虚拟AP序列号、虚拟AP MAC地址和IP网段四种入组规则,虚拟AP的入组匹配顺序从高到低依次为:
(1) 虚拟AP名字入组规则
(2) 虚拟AP序列号入组规则
(3) 虚拟AP MAC地址入组规则
(4) IP网段入组规则
(5) 若未匹配到任何入组规则,则虚拟AP将被加入到默认组。
本功能需要在虚拟AP连接的AC上进行配置。
虚拟AP必须属于一个虚拟AP组,且只能属于一个虚拟AP组。删除虚拟AP入组规则,虚拟AP会根据虚拟AP的入组规则匹配顺序重新匹配虚拟AP组。
虚拟AP组下有虚拟AP已经入组,则该虚拟AP组不允许删除;配置了入组规则,但是没有虚拟AP入组的虚拟AP组可以被删除。
配置虚拟AP入组规则时,具有以下限制:
· 同一入组规则不能重复出现在不同的虚拟AP组中,若将同一入组规则配置在新虚拟AP组中,将导致原虚拟AP组中对应的入组规则自动删除(相当于迁移组)。
· 同一虚拟AP组下最多能够配置32条IPv4网段入组规则或IPv6网段入组规则。且同一虚拟AP组(或者不同虚拟AP组)的IPv4网段入组规则或IPv6网段入组规则不能重叠或相互包含。
(1) 进入系统视图。
system-view
(2) 创建虚拟AP组并进入虚拟AP组视图。
wlan virtual-ap-group group-name
缺省情况下,存在默认虚拟AP组default-vitualapgroup。
(3) (可选)配置虚拟AP组描述信息。
description text
缺省情况下,未配置虚拟AP组描述信息。
(4) 创建虚拟AP入组规则。请至少选择其中一项进行配置。
¡ 创建虚拟AP名称入组规则。
ap ap-name-list
¡ 创建虚拟AP序列号入组规则。
serial-id serial-id
¡ 创建虚拟AP MAC地址入组规则。
mac-address mac-address
¡ 创建IPv4网段入组规则。
if-match ip ip-address { mask-length | mask }
¡ 创建IPv6网段入组规则。
if-match ipv6 { ipv6-address prefix-length | ipv6-address/prefix-length }
版本升级功能处于开启状态时,AP的版本升级过程如下:
(1) AP将版本和型号信息上送给AC。
(2) AC比较AP的软件版本。缺省情况下,AC比较AP的软件版本与APDB中的AP型号和软硬件版本关系是否一致。配置AP型号的软硬件版本对应关系后,AC将比较AP的软件版本与配置的软硬件版本关系是否一致。
(3) 如果软件版本一致,则允许CAPWAP隧道建立;如果软件版本不一致,则将此情况告知AP。AP收到版本不一致的消息后,会向AC请求版本。
(4) AC收到AP的版本请求后,向AP下发软件版本。缺省情况下,AC优先获取内存中的AP镜像文件下发给AP,也可以通过配置让AC优先获取本地文件夹中的AP镜像文件下发给AP。
(5) AP收到版本文件后,将进行版本升级并进行重启,之后再与AC建立CAPWAP隧道。
只有版本升级功能处于开启状态时,AC才会在CAPWAP隧道建立过程中比较AP的软件版本。否则,AC不对AP的软件版本进行比较,直接与AP建立CAPWAP隧道。
(1) 进入系统视图。
system-view
(2) 进入AP视图/AP组视图/虚拟AP视图/虚拟AP组视图/全局配置视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图
wlan ap-group group-name
¡ 进入虚拟AP视图。
wlan virtual-ap ap-name
¡ 进入虚拟AP组视图。
wlan virtual-ap-group group-name
¡ 进入全局配置视图
wlan global-configuration
(3) 配置AP版本升级。
firmware-upgrade { disable | enable }
缺省情况下:
¡ AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。
¡ AP组视图:继承全局配置。
¡ 虚拟AP视图:虚拟AP组有配置的情况下,继承虚拟AP组配置,虚拟AP组无配置的情况下,继承全局配置。
¡ 虚拟AP组视图:继承全局配置。
¡ 全局配置视图:AP版本升级功能处于开启状态。
AP版本升级功能处于开启状态时,配置AP型号的软硬件版本对应关系后,AC将比较AP的软件版本与配置的软硬件版本关系是否一致。如果一致,则不进行升级,如果不一致,则进行软件版本升级。
· 对于FIT AP,只有期望AP使用的软件版本与APDB中存储的该AP型号对应的软件版本不一致时才需要配置本功能,APDB中存储的各AP型号对应的软件版本可以通过display wlan ap-model命令查询。
· 对于云AP和FAT AP,只有准备对其进行版本升级时,才需要配置本功能。用户需要将待升级的AP版本保存到AC的apimge路径下,并且保证该软件版本的版本号同本配置指定的版本号一致。
该配置通常用于向AP下发临时版本,建议用户不要自行配置,以免导致AP无法与AC建立CAPWAP隧道。
(1) 进入系统视图。
system-view
(2) 配置AP型号的软硬件版本对应关系。
wlan apdb [ fatap | oasisap ] model-name hardware-version software-version
缺省情况下:
¡ FAT AP:未指定AP型号的软硬件版本对应关系。
¡ 云AP:未指定AP型号的软硬件版本对应关系。
¡ FIT AP:AP型号的硬件版本所对应的软件版本为APDB脚本文件中存储的软件版本。
若未指定fatap和oasisap,则表示配置FIT AP型号的软硬件版本对应关系。
AC在与AP建立CAPWAP隧道的过程中,如果收到AP的版本请求消息,则会将AP镜像文件下发给AP。可以选择从AC优先获取AP镜像文件的位置如下:
· 优先从AC内存获取:AC内存中的AP镜像文件来自AC镜像文件,在AC启动后被读取到内存中。如果AC内存中没有所需的AP镜像文件,再从本地文件夹中获取,若本地文件夹中也没有AP镜像文件,则获取AP镜像文件失败。
· 优先从AC本地文件夹获取:存放AP镜像文件的路径必须为文件系统的根目录。如果AC本地文件夹中没有所需的AP镜像文件,再从AC内存中获取,若AC内存中也没有AP镜像文件,则获取AP镜像文件失败。
从本地文件夹中获取AP镜像文件的配置仅在以CF卡或Flash为缺省文件系统的AC设备上生效。
仅支持向AP下发.ipe格式的镜像文件。
(1) 进入系统视图。
system-view
(2) 配置AC向AP下发版本时优先获取AP镜像文件的位置。
wlan image-load filepath { local | ram }
缺省情况下,AC优先获取内存中的AP镜像文件下发给AP。
CAPWAP隧道建立成功后,AC将不再向AP下发版本。开启本功能后,在CAPWAP隧道建立成功后,AC会将版本下发到AP,AP获取到版本后,需要通过手动重启才能使新版本生效。
(1) 进入系统视图
system-view
(2) 配置AC给AP在线下发版本
wlan ap-image-deploy { all | ap-group group-name | name ap-name }
CAPWAP隧道加密功能对CAPWAP控制/数据隧道中交互的隧道报文进行加密处理,从而保障CAPWAP隧道报文的安全性。CAPWAP隧道加密功能使用DTLS(Datagram Transport Layer Security,数据包传输层安全性协议)协议对CAPWAP隧道报文进行加密。
开启CAPWAP控制隧道加密功能后,AC回复AP的Discovery Response报文中将携带加密标志位,AP接收到Discovery Response报文后将与该AC进行DTLS握手,然后完成CAPWAP隧道的建立。在AP与AC完成DTLS握手后交互的CAPWAP控制隧道报文将被加密传输。
开启了CAPWAP数据隧道加密功能,AP在收到AC回复的第一个数据隧道保活报文(keepalive报文)后,将与AC通过控制隧道交换包括密钥在内的加密信息,交换完成后再对CAPWAP数据隧道报文进行加密传输(不加密Keepalive报文)。
配置CAPWAP控制隧道加密使用的证书文件功能前,需要通过FTP/TFTP将AC和AP的证书上传至AC。再通过download file命令将AP的证书下发到对应的AP上。
开启CAPWAP隧道加密功能后,AP会重新关联到AC。
CAPWAP控制隧道加密使用的证书文件功能必须在开启CAPWAP控制隧道加密功能前配置,并在开启控制隧道加密功能后、AP重新上线时才能生效。
如果未配置CAPWAP控制隧道加密使用的证书文件,则默认使用系统自带的证书文件进行认证。
如果要使用非系统自带的证书文件进行CAPWAP控制隧道加密,则需要将.pem,.cer格式的设备的证书、密钥文件以及根证书保存在文件系统任一目录上。
(1) 进入系统视图。
system-view
(2) 配置CAPWAP控制隧道加密使用的证书文件。
wlan capwap encryption certificate cer-name key key-name ca ca-name
缺省情况下,CAPWAP控制隧道加密使用的证书为系统自带的证书文件。
(3) 进入AP视图/AP组视图/虚拟AP视图/虚拟AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入虚拟AP视图。
wlan virtual-ap ap-name
¡ 进入虚拟AP组视图。
wlan virtual-ap-group group-name
(4) 配置CAPWAP控制隧道加密功能。
tunnel encryption { disable | enable }
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:CAPWAP控制隧道加密功能处于关闭状态。
¡ 虚拟AP视图:继承虚拟AP组配置。
¡ 虚拟AP组视图:CAPWAP控制隧道加密功能处于关闭状态。
(5) 配置CAPWAP数据隧道加密功能。
data-tunnel encryption { disable | enable }
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:CAPWAP数据隧道加密功能处于关闭状态。
¡ 虚拟AP视图:继承虚拟AP组配置。
¡ 虚拟AP组视图:CAPWAP数据隧道加密功能处于关闭状态。
CAPWAP控制隧道延迟是指AC发送Configuration update request报文与收到Configuration update response响应报文的时间间隔,CAPWAP数据隧道延迟是指AP发送Data channel keep alive报文与收到Data channel keep alive回复报文的时间间隔。CAPWAP隧道延迟检测用于统计AP和AC之间的CAPWAP隧道延迟时间,便于及时了解CAPWAP隧道报文传输的延迟状况。
只有在AP和AC建立了CAPWAP隧道并且当前AC为主AC时,CAPWAP隧道延迟检测功能才生效。当AP下线,CAPWAP隧道延迟检测将自动停止。AP重新上线后,如果需要再次进行CAPWAP隧道延迟检测,则需要重新执行CAPWAP隧道延迟检测。
用户可以使用display wlan ap tunnel latency命令查看CAPWAP隧道延迟检测信息。
Inside AP不支持本功能。
(1) 进入系统视图。
system-view
(2) 进入AP视图。
wlan ap ap-name
(3) 配置CAPWAP隧道延迟检测。
tunnel latency-detect { start | stop }
缺省情况下,未启动CAPWAP隧道延迟检测。
AP和AC之间通过保活机制来检查控制隧道是否正常工作。AP周期性地向AC发送回声请求Echo request报文,若一定时间内没有收到AC回复的Echo response报文,则AP断开控制隧道;若AC在一定时间内没有收到Echo request报文,则AC断开控制隧道。
保活时间为Echo request报文的发送时间间隔乘以最大发送次数,最大发送次数由echo-count count命令配置。
· 对于AC设备:
¡ 当发送时间间隔乘以最大发送次数小于120秒时,保活时间为120秒;
¡ 当发送时间间隔乘以最大发送次数大于120秒时,保活时间为实际计算结果;
· 对于AP设备:保活时间为发送时间间隔乘以最大发送次数的实际计算结果。
AP视图下配置的优先级高于AP组视图下的配置。
虚拟AP视图下配置的优先级高于虚拟AP组视图下的配置。
当发送时间间隔配置为0时,关闭CAPWAP控制隧道的保活机制,即AP不向AC发送回声请求报文。
关闭保活机制仅适用于特殊测试场合。在非测试场合中,为了保证控制隧道的正常运行,请勿将interval参数配置为0。
(1) 进入系统视图。
system-view
(2) 进入AP视图/AP组视图/虚拟AP视图/虚拟AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入虚拟AP视图。
wlan virtual-ap ap-name
¡ 进入虚拟AP组视图。
wlan virtual-ap-group group-name
(3) 配置AP发送回声请求的时间间隔。
echo-interval interval
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:AP发送回声请求的时间间隔为10秒。
¡ 虚拟AP视图:继承虚拟AP组配置。
¡ 虚拟AP组视图:虚拟AP发送回声请求的时间间隔为10秒。
(4) 配置AP发送回声请求报文的最大发送次数。
echo-count count
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:AP发送回声请求报文的最大次数为3次。
仅AP视图和AP组视图下支持配置本功能。
AP与AC建立CAPWAP隧道后,AP会定时发送Data channel keep alive报文,可以通过该功能配置AP发送CAPWAP数据隧道keep alive报文的时间间隔。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置AP发送回声请求的时间间隔。
keepalive-interval interval
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:AP发送CAPWAP数据隧道keep alive报文的时间间隔为10秒。
当AC与AP跨越Internet建立连接时,由于传输路径上的设备可能对报文分片大小进行限制,超过分片门限的报文将被丢弃,因此,需要配置CAPWAP控制报文与数据报文分片长度,使其顺利通过中间设备。
修改CAPWAP报文分片长度后,新配置对已在线的AP立即生效。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置CAPWAP控制报文或数据报文分片的最大长度。
fragment-size { control control-size | data data-size }
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:CAPWAP控制报文分片的最大长度为1450字节,CAPWAP数据报文分片的最大长度为1500字节。
MSS(Max Segment Size,TCP最大报文段长度)表示TCP连接的对端发往本端的最大TCP报文段的长度。当一个TCP连接建立时,连接的双方要将MSS作为SYN报文的一个选项通告给对端,对端会记录下这个MSS值,后续在发送TCP报文时,会限制TCP报文的大小不超过该MSS值。当对端发送的TCP报文的长度小于等于本端的TCP最大报文段长度时,TCP报文不需要分段;否则,对端需要对TCP报文按照最大报文段长度进行分段处理后再发给本端。
配置本功能后,当通过CAPWAP封装发送SYN报文时,会将SYN报文中携带的TCP最大报文段长度设置为指定值。
(1) 进入系统视图。
system-view
(2) 配置CAPWAP隧道的TCP最大报文段长度。
wlan tcp mss value
缺省情况下,CAPWAP隧道的TCP最大报文段长度为1460字节。
区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。
(1) 进入系统视图。
system-view
(2) 进入AP视图、AP组视图、全局配置视图、AP预配置视图或AP组预配置视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入全局配置视图。
wlan global-configuration
¡ 请依次执行以下命令进入AP预配置视图。
wlan ap ap-name
provision
¡ 请依次执行以下命令进入AP组预配置视图。
wlan ap-group group-name
provision
(3) 配置区域码。
region-code code
缺省情况下:
AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。
AP组视图:继承全局配置。
全局配置视图:中国设备区域码已配置为CN,日本设备区域码已配置为JP,其他国家或地区设备未配置区域码。
AP预配置视图:继承AP组预配置。
AP组预配置视图:未配置AP使用的区域码。
(4) (可选)开启区域码锁定功能。
region-code-lock enable
缺省情况下:
AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。
AP组视图:继承全局配置。
全局配置视图:区域码锁定功能处于关闭状态。
环境标识主要用来标记AP是室内AP还是室外AP。
同一AP的不同Radio下需要绑定具有相同环境标记的无线服务模板。
(1) 进入系统视图。
system-view
(2) 创建无线服务模板。
wlan service-template service-template-name
(3) 配置Beacon帧和Probe Response帧携带区域码功能。
region-code-ie { disable | enable { any | indoor | outdoor } }
缺省情况下,Beacon帧和Probe Response帧中携带区域码信息并且环境标记为通用。
AC发送给AP的请求报文可能由于各种原因导致未能传输到AP,为了使AC的请求报文尽可能的发送到AP,提高报文的可靠传输能力,可以配置对请求报文重传。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置请求报文重传次数。
retransmit-count value
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:请求报文重传次数为3次。
(4) 配置请求报文重传时间间隔。
retransmit-interval interval
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:请求报文重传的时间间隔为5秒。
请在用户视图下执行本命令,重启指定AP。
reset wlan ap { all | ap-group group-name | model model-name | name ap-name | native }
(1) 进入系统视图。
system-view
(2) 重命名手工AP。
wlan rename-ap ap-name new-ap-name
当CAPWAP隧道建立成功后,用户可以查看、删除AP上的文件,也可以将AC上存储的文件下发给AP。
只有在AP和AC建立了CAPWAP隧道并且当前AC为主AC时,才能执行文件系统操作。
(1) 显示AP上的文件及文件夹信息。
display wlan ap name ap-name files
(2) 进入系统视图。
system-view
(3) 进入AP视图。
wlan ap ap-name
(4) 管理AP的文件。
¡ 删除AP上的文件。
delete file filename
¡ 下载指定文件到AP。
download file filename
为了对AP上的Radio的运行情况进行有效监控,AP会周期性地向AC上报Radio统计信息。
(1) 进入系统视图。
system-view
(2) 进入AP视图/AP组视图/虚拟AP视图/虚拟AP组视图/全局配置视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入虚拟AP视图。
wlan virtual-ap ap-name
¡ 进入虚拟AP组视图。
wlan virtual-ap-group group-name
¡ 进入全局配置视图
wlan global-configuration
(3) 配置AP向AC上报Radio统计信息的时间间隔。
statistics-interval interval
缺省情况下:
¡ AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。
¡ AP组视图:继承全局配置。
¡ 虚拟AP视图:虚拟AP组有配置的情况下,继承虚拟AP组配置;虚拟AP组无配置的情况下,继承全局配置。
¡ 虚拟AP组视图:继承全局配置。
¡ 全局配置视图:AP向AC上报Radio统计信息的时间间隔为50秒。
AP会周期性的向AC上报统计信息。时间间隔配置为0时,关闭AP向AC加速上报信息功能,即AP不向AC加速上信息。
目前加速上报信息仅包含信道利用率统计信息。
(1) 进入系统视图。
system-view
(2) 进入AP视图/AP组视图/虚拟AP视图/虚拟AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入虚拟AP视图。
wlan virtual-ap ap-name
¡ 进入虚拟AP组视图。
wlan virtual-ap-group group-name
(3) 配置AP向AC加速上报信息的时间间隔。
statistics-interval fast-report fast-report-interval
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:AP向AC加速上报信息的时间间隔为0秒。
¡ 虚拟AP视图:继承虚拟AP组配置。
¡ 虚拟AP组视图:AP向AC加速上报信息的时间间隔为0秒。
LED闪烁模式包括四种模式:
· Quiet模式:表示LED常灭。
· Awake模式:表示LED每分钟闪烁一次。Awake模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。
· Always-on模式:表示LED常亮。Always-on模式的支持情况与AP设备的型号有关,请以设备的实际情况为准。
· Normal模式:表示LED灯的显示状态可以标识AP的运行状态。该模式LED闪烁情况与AP设备的型号有关,请以设备实际情况为准。
在AP组视图下配置LED闪烁模式为Awake模式或Always-on模式时,仅对组内支持该模式的AP生效。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置LED闪烁模式。
led-mode { always-on | awake | normal | quiet }
缺省情况下:
¡ AP视图:继承AP组配置。
在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件,可通过FTP或WEB管理页面上传配置文件,推荐使用WEB管理页面上传),当隧道处于Run状态时,AC会将配置文件中的命令下发到AP上,AP会使用配置文件中的命令,但AP不会保存这些配置。
例如:本地转发模式下配置用户方案时,将用户方案、相关的QoS策略和ACL等命令写入配置文件,然后通过指定AP的配置文件的方式将命令下发到AP。
一旦使用map-configuration命令为AP指定了配置文件,该配置文件会永久生效,即只要AP在线,AC就会将配置文件中的命令下发给AP。
在本地转发模式下配置用户方案时,通过配置文件配置的AP只用通过主IP地址与AC建立CAWPAP隧道。
使用map-configuration命令指定的配置文件,文件中的内容必须是完整的命令行形式。
若需要修改处于在线状态的AP上的配置文件,且此前已在AC上指定了该配置文件的文件名,则如下两种方法可使修改后的配置文件在AP上立即生效:
· 先配置undo map-configuration命令,而后再配置map-configuration filename命令重新指定配置文件的文件名;
· 断开AC与AP的连接,让AP重新上线。
在IRF组网中,当需要使用map-configuration命令指定AP的配置文件时,请将配置文件分别导入到各成员设备的存储介质中,防止在发生主备倒换后找不到AP的配置文件,通过map-configuration命令下发的AP配置文件只能在IRF的主设备上生效,同时必须指定配置文件的存储路径为主设备。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组ap-model视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 请依次执行以下命令进入AP组ap-model视图。
wlan ap-group group-name
ap-model ap-model
(3) 将配置文件下载到AP。
map-configuration filename
缺省情况下,没有指定AP的配置文件。
本功能的支持情况与AP设备的型号有关,请以设备的实际情况为准。
AC可以像管理AP一样管理移动通信CPE设备,移动通信CPE设备通过移动通信Modem模块接入移动通信网络,本功能可以为CPE设备的移动通信Modem模块升级软件版本。
升级的过程如下:
(1) 将Modem模块的软件版本上传至AC的根目录中。
(2) 配置CPE型号的Modem模块软件版本号。在CPE设备上线时,AC将比较Modem模块的软件版本与配置的软件版本关系是否一致。如果一致,则不做处理,如果不一致,则CPE将获取AC存储介质中的Modem模块软件版本。
(3) 对于在线的CPE设备,手动为CPE下发Modem模块软件版本。
(4) 如果开启了移动通信Modem模块版本自动升级功能,CPE将使用获取的Modem模块软件版本为Modem模块升级,此时CPE将自动重启并完成升级;如果未开启移动通信Modem模块版本自动升级功能,则CPE获取Modem模块软件版本后不做处理,等待其他动作触发CPE重启时再升级Modem模块软件版本。
(1) 进入系统视图。
system-view
(2) 配置CPE型号的Modem模块软件版本对应关系。
wlan ap-model ap-model-name modem-version modem-version-name
缺省情况下,未配置CPE设备的移动通信Modem模块的软件版本对应关系。
(3) 手动为CPE下发Modem模块软件版本。
wlan execute modem-image-deploy { name ap-name | ap-group group-name | all }
(4) 进入AP组视图或者全局配置视图。
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入全局配置视图。
wlan global-configuration
(5) 开启移动通信Modem模块版本自动升级功能。
modem firmware-upgrade enable
缺省情况下:
¡ AP视图:继承全局配置视图的配置。
¡ 全局配置视图:移动通信Modem模块版本自动升级功能处于关闭状态。
远程AP功能可以用于远程办公、小分支机构或家庭办公解决方案。缺省情况下,当AP与AC之间的隧道断开后,AP将停止为客户端提供服务。Remote AP功能支持在AP与AC之间的隧道断开后,AP能够继续为客户端提供服务。开启Remote AP功能后,如果认证方式为本地认证且客户端关联位置在AP上时,AP能够继续为客户端转发数据并提供接入功能;否则AP仅支持继续为客户端转发数据,不能提供接入功能。
仅当客户端数据报文的转发位置在AP上时,Remote AP功能才会生效。
当AP与AC重新建立隧道后,用户接入认证位置在AC上的客户端需要重新上线,用户接入认证位置在AP上的客户端保持在线状态。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置Remote AP功能。
hybrid-remote-ap { disable | enable }
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:Remote AP功能处于关闭状态。
当用户希望FAT AP或云AP在AC上线,以便通过AC集中管理该AP时,需要开启FAT AP和云AP在AC上自动上线功能。开启本功能后,支持上线的FAT AP或云AP与本AC建立CAPWAP隧道,而后完成上线。
本功能当前仅用于AP版本升级以及变更AP运行模式。
网络中存在多个AC时,为防止云AP和FAT AP随机选择AC上线,应仅在需要上线的AC上开启本功能,而在其它AC上关闭本功能。
开启本功能前,必须先通过wlan auto-ap enable命令开启自动AP功能。
请勿在该FAT AP或该Cloud AP的AP视图、AP组视图下,进行除AP版本升级、运行模式变更的其它配置。
(1) 进入系统视图。
system-view
(2) 开启FAT AP和云AP在AC上自动上线功能。
wlan auto-ap fat-and-cloud enable
缺省情况下,FAT AP和云AP在AC上自动上线功能处于开启状态。
当管理员需要将FAT AP或云AP用作FIT AP并将其接入AC进行集中管理时,可配置FAT AP或云AP工作在FIT模式。配置本功能后,FAT AP或云AP将根据本地是否存在FIT模式版本文件决定是否立即进行模式切换:
· 如果存在FIT模式版本文件,则配置本功能后会直接重启进行模式切换。
· 如果不存在FIT模式版本文件,则AP上线后会先从AC上下载FIT模式版本文件,然后再重启进行模式切换。下载过程会持续几分钟到几十分钟不等。如果AC上也没有FIT模式版本文件,则不进行模式切换。
从AC上下载版本文件时,不允许在该AP或其上线的AC上进行操作,直到模式切换成功。
如果AP已经处于FIT模式,则配置本功能后不会产生任何影响。
配置本功能后,如果AP已经下线,则需要在AC上保存配置,AP下次上线后会自动进行模式切换。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置FAT AP或云AP的工作模式为FIT模式。
ap-mode fit
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:FAT AP工作在FAT模式,云AP工作在Cloud模式。
本特性的支持情况与用户选择的AP型号有关,请以设备的实际情况为准。
开启本功能后,AP的5GHz频段射频将虚拟出另外一个新的5GHz频段射频,虚拟出的射频编号为2。原有的一个5GHz频段射频支持八条流,现有两个5GHz频段射频每个最多支持四条流。
开启本功能前,需要先关闭自动AP功能、删除指定型号的手工AP、删除AP组下指定型号的AP。开启本功能后,需要重新配置AP上线,并在上线过程中自动重启来完成切换。
(1) 进入系统视图。
system-view
(2) 开启虚拟5GHz频段射频功能。
wlan virtual-5g-radio enable { all | ap-model ap-model }
缺省情况下,虚拟5GHz频段射频功能处于关闭状态,即不会为AP虚拟出新的射频。
AP标签是AP参数属性的集合。根据每个应用场景的业务特征,设备中已经预定义了AP标签,用户可以根据自己的实际网络应用场景,为AP设备引用预定义的AP标签。引用标签后,AP可以继承AP标签中的AP参数,无需手工配置。
目前,设备预定义的AP标签包括:
· meeting:会议室标签。此标签设置的参数属性为5GHz射频的频宽为80MHz。
· high-density:高密标签。
· vip:VIP标签,即监控组下的AP。在监控组视图下,通过命令ap ap-name添加指定AP到AP监控组。监控组可以使其中的AP对客户端数量、射频流量、射频信道利用率、AP异常信息等数据进行采集并上报给AC。
· unstable:不稳定标签。具有不稳定标签的AP下线不会触发周边AP进行自动功率调整。该标签不支持用户配置。
如果AP视图和AP组视图下都配置了AP标签,AP视图下配置的优先级高于AP组视图下的配置。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置AP标签。
ap-tag tag
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:未配置AP标签。
在AC上开启时区同步功能后,AP和Local AC在上线过程中会与AC同步时间及时区信息。在设备上线之后会定期同步时间和时区信息。
(1) 进入系统视图。
system-view
(2) 开启时区同步的功能。
wlan timezone-sync enable
缺省情况下,时区同步功能为开启状态。
当用户需要在不升级AC版本的情况下,让AC支持新AP型号,可以使用新AP型号的信息生成用户脚本文件(apdb为文件后缀),并将其加载到APDB中。
用户脚本只能加载一个,多次加载用户脚本,最后一次加载的脚本生效。
加载APDB脚本文件时,需要保证脚本文件的合法性,不合法的脚本文件会导致加载失败。
在云集群组网中,请在各成员设备上均加载相同的APDB用户脚本,防止主备倒换后找不到APDB脚本。
当出现以下情况时,加载用户脚本文件的操作将会失败:
· 用户脚本中的AP型号与系统脚本中AP型号重复。
· 若AC上已加载的脚本中某个AP型号已经被配置为手工AP或者已经存在上线的自动AP,则不允许重新加载脚本文件,需要将对应的AP型号删除后才能重新加载。
· 若已加载的脚本中的某个AP型号已经被加入AP组,则不允许重新加载脚本文件,需要将对应的AP型号从AP组删除后才能重新加载。
· 若已加载的脚本中的某个AP型号已经进行了软件版本配置,则不允许重新加载脚本文件,需要使用wlan apdb命令将对应的软件版本还原到初始版本后才能重新加载。关于wlan apdb命令的详细介绍,请参见“WLAN命令参考”中的“AP管理”。
当出现以下情况时,需要重新加载用户脚本文件:
· 在文件系统中将用户脚本文件进行重命名,需要重新加载脚本文件,否则当AC重启后将丢失对应该用户脚本文件的AP型号配置。
· 在文件系统中将用户脚本文件进行替换,需要重新加载新脚本文件,如果新脚本中不包含被替换脚本中的AP型号信息,当AC重启后将丢失对应被替换脚本文件的AP型号配置。
· 在文件系统中将用户脚本文件进行删除,需要重新加载新脚本文件,否则当AC重启后将丢失该用户脚本文件的AP型号配置。
(1) 进入系统视图。
system-view
(2) 加载APDB用户脚本。
wlan apdb file user.apdb
缺省情况下,未加载APDB用户脚本文件。
该配置只有在云集群组网环境中的主用设备上,并且AP上线数曾经超过50才能生效。
开启该功能后,主用设备会检测自身的业务状态,当其上连接的AP数变为0时,主用设备会创建定时器,超时时间为10分钟:
· 如果在定时器达到10分钟时,连接的AP数一直为0,主用设备会进行重启;
· 如果在定时器达到10分钟时,连接的AP数不为0,定时器会被删除;
· 如果在定时器达到10分钟前,连接的AP数重新变为0时,定时器被刷新,重新计时。
(1) 进入系统视图。
system-view
(2) 开启重启业务异常AC功能。
wlan detect-anomaly enable
缺省情况下,重启业务异常AC功能处于开启状态。
关闭本功能后,设备在发生业务异常时无法通过自动重启立即恢复,只能通过手动重启设备进行恢复。因此,如无特殊需要,请不要关闭本功能。
开启本功能后,AP会定期收集数据并上报给设备,设备将AP收集的数据上报至云平台,以图形界面的方式展示。本功能通常用于轨道交通场景中收集轨旁Fit AP的数据。
(1) 进入系统视图。
system-view
(2) 开启AP数据采集并上报云平台功能。
wlan ap-fast-collect cloud enable [ timer interval ]
缺省情况下,AP数据采集并上报云平台功能处于关闭状态。
开启了AP管理或CAPWAP告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)
(1) 进入系统视图。
system-view
(2) 开启警告功能。
¡ 开启AP管理的告警功能。
snmp-agent trap enable wlan ap
缺省情况下,AP管理的告警功能处于关闭状态。
¡ 开启CAPWAP的告警功能。
snmp-agent trap enable wlan capwap
缺省情况下,CAPWAP的告警功能处于关闭状态。
开启AP管理的告警功能且配置了本功能后,当已上线AP数量占已授权可管理AP总数的百分比超过配置的阈值时,AC设备将向SNMP模块发送overload Trap告警信息(超过阈值后,每上线一个AP就会发送一条overload Trap告警消息);当上线AP数量降低到阈值时,AC设备将向SNMP模块发送一次recover Trap告警信息。
配置告警阈值为100时,由于上线AP数量无法超过已授权可管理AP总数,因而AC设备不会发送overload Trap告警信息。
(1) 进入系统视图。
system-view
(2) 配置上线AP数量的告警阈值。
wlan trap ap-number threshold percent
缺省情况下,上线AP数量告警阈值为100,AC设备不会发送Trap告警消息。
AP监控组为被监控AP的集合,监控组可以使其中的AP对客户端数量、射频流量、射频信道利用率、AP异常信息等数据进行采集并上报给AC。
最多可以添加32个AP到AP监控组。
(1) 进入系统视图。
system-view
(2) 创建AP监控组,并进入监控组视图。
wlan vip-ap-group
(3) 添加指定AP到AP监控组。
ap ap-name
缺省情况下,监控组中不存在任何AP。
(4) (可选)配置AP采集数据并上报AC的时间间隔
report-interval interval
缺省情况下,AP向AC上报VIP客户端信息的时间间隔为50秒。
可在任意视图下执行以下命令,显示AC上的AP连接记录。
display wlan ap { all | name ap-name } connection-record
请在用户视图下执行以下命令,清除AC上的AP连接记录。
reset wlan ap { all | name ap-name } connection-record
可在任意视图下执行以下命令:
· 显示AP信息。
display wlan ap { all | apid ap-id | name ap-name } [ verbose [ filter { field }&<1-5> ] ]
· 显示AP的标签。
display wlan ap { all | name ap-name } ap-tag { all | tag }
· 显示虚拟AP信息。
display wlan virtual-ap { all | name ap-name }
· 显示AP地址信息。
display wlan ap { all | name ap-name } address
· 显示AP所属的AP组。
display wlan ap { all | name ap-name } group
· 显示在线AP的以太网接口的统计信息。
display wlan ap { all | name ap-name } interface [ verbose ]
· 显示AP的关联时长。
display wlan ap { all | name ap-name } online-time
· 显示指定AP或所有AP的运行配置。
display wlan ap { all | name ap-name } running-configuration [ verbose ]
· 在AC上显示AP的光模块告警信息。
display wlan ap { all | name ap-name } transceiver alarm interface [ interface-type interface-number ]
· 在AC上显示AP的光模块诊断信息。
display wlan ap { all | name ap-name } transceiver diagnosis interface [ interface-type interface-number ]
· 在AC上显示AP的光模块主要特征参数。
display wlan ap { all | name ap-name } transceiver parameter interface [ interface-type interface-number ]
· 在AC上保存AP的诊断信息。
display wlan ap name ap-name diagnostic-information
· 显示指定AP的重启日志信息。
display wlan ap name ap-name reboot-log
· 显示在线AP的邻居设备的LLDP信息。
display wlan ap { all | name ap-name } lldp
· 显示AP的重启信息。
display wlan ap { all | name ap-name } reboot-record
· 显示AP的区域码信息。
display wlan ap { all | name ap-name } region-code
· 显示AP上线失败原因。
display wlan ap statistics association-failure-record
· 显示AP下载版本的相关信息。
display wlan ap statistics image-download [ failed | in-progress | succeeded ]
· 显示AP在线记录。
display wlan ap statistics online-record [ datetime date time [ count count ] ]
· 显示AP的总计关联时长。
display wlan ap { all | name ap-name } total-online-duration
· 显示AP组信息。
display wlan ap-group [ brief | name group-name ]
· 显示AP组内AP的信息。
display wlan ap group-name ap-group-name
· 显示处于未认证状态自动AP的信息。
display wlan ap unauthenticated [ verbose ]
· 显示虚拟AP组信息。
display wlan virtual-ap-group [ brief | name group-name ]
· 显示AP型号的信息。
display wlan ap-model { all | name model-name }
· 显示已安装的WLAN License数量。
display wlan license
· 显示CPE下载Modem模组版本的相关信息。
display wlan modem statistics download-status
请在用户视图下执行以下命令:
· 清除AP上线失败原因。
reset wlan ap statistics association-failure-record
· 清除AP下载版本的相关信息。
reset wlan ap statistics image-download { all | failed | in-progress | succeeded }
· 清除AP在线记录。
reset wlan ap statistics online-record
请在用户视图下执行以下命令,清除指定AP或全部AP的重启日志信息。
reset wlan ap reboot-log { all | name ap-name }
可在任意视图下执行以下命令:
· 显示CAPWAP隧道的配置状态。
display wlan ap all feature capwap
· 显示指定AP的隧道延迟信息。
display wlan ap name ap-name tunnel latency
· 显示AC与AP间CAPWAP隧道断开的原因。
display wlan ap statistics tunnel-down-record
· 显示主备链路切换的详细信息。
display wlan ap statistics switch-over-record
请在用户视图下执行以下命令:
· 清除AP的隧道延迟信息。
reset wlan tunnel latency ap { all | name ap-name }
· 清除AC与AP间CAPWAP隧道断开的原因。
reset wlan ap statistics tunnel-down-record
· 清除主备链路切换的详细信息。
reset wlan ap statistics switch-over-record
请在用户视图下执行以下命令,删除AP的预配置文件:
reset wlan ap provision { all | name ap-name }
AP通过DHCP选项方式从DHCP server上获取AP和AC的IP地址,发现AC并与AC建立CAPWAP隧道连接。
图1-4 通过DHCP发现方式建立CAPWAP隧道组网图
(1) 配置DHCP server
# 使能DHCP服务器功能。
<DHCP Server> system-view
[DHCP Server] dhcp enable
# 配置DHCP地址池1。
[DHCP Server] dhcp server ip-pool 1
[DHCP Server-dhcp-pool-1] network 1.1.1.0 mask 255.255.255.0
# 通过自定义选项的方式配置Option 43的内容,为AP指定AC的IP地址1.1.1.3,注意Option 43选项内容中最后四字节为01010103(1.1.1.3),即为AC的IP地址。
[DHCP Server-dhcp-pool-1] option 43 hex 800700000101010103
[DHCP Server-dhcp-pool-1] quit
[DHCP Server] quit
(2) 配置AC
# 配置AC的VLAN-interface 1的IP地址为1.1.1.3/24。
<AC> system-view
[AC] interface vlan-interface 1
[AC-Vlan-interface1] ip address 1.1.1.3 24
# 创建手工AP,名称为ap1,配置序列号为219801A28N819CE0002T。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-ap1] quit
# AP启动后,DHCP server会给AP自动分配IP地址1.1.1.2,同时由于Option 43选项携带AC的IP地址1.1.1.3。AP拥有了自动分配的本地IPv4地址和需要建立关联的AC的IP地址1.1.1.3,就会开始发现AC的过程并建立CAPWAP隧道。
# 查看AP的详细信息,可以看到AP与AC成功建立隧道连接并进入Run状态,发现方式为DHCP选项方式。
[AC] display wlan ap name ap1 verbose
AP name : ap1
AP ID : 1
AP group name : default-group
State : Run
Backup Type : Master
Ready-for-Switchover : Not ready
Online time : 0 days 1 hours 25 minutes 12 seconds
System up time : 0 days 2 hours 22 minutes 12 seconds
Model : WA6320
Region code : CN
Region code lock : Disable
Serial ID : 219801A28N819CE0002T
MAC address : 0AFB-423B-893C
IP address : 1.1.1.2
UDP port number : 18313
H/W version : Ver.C
S/W version : E2321
Boot version : 1.01
Forwarding mode : DP
USB state : N/A
Power level : N/A
Power info : N/A
Description : wtp1
Priority : 4
Echo interval : 10 seconds
Echo count : 3 counts
Keepalive interval : 10 seconds
Discovery-response wait-time : 2 seconds
Statistics report interval : 50 seconds
Fragment size (data) : 1500
Fragment size (control) : 1450
MAC type : Local MAC & Split MAC
Tunnel mode : Local Bridging & 802.3 Frame & Native Frame
Discovery type : DHCP
Retransmission count : 3
Retransmission interval : 5 seconds
Firmware upgrade : Enabled
Sent control packets : 1
Received control packets : 1
Echo requests : 147
Lost echo responses : 0
Average echo delay : 3
Last reboot reason : User soft reboot
Latest IP address : 10.1.0.2
Current AC IP : N/A
Tunnel down reason : Request wait timer expired
Connection count : 1
Backup Ipv4 : Not configured
Backup Ipv6 : Not configured
Tunnel encryption : Disabled
Data-tunnel encryption : Disabled
Data-tunnel encryption state : Not encrypted
LED mode : Normal
Remote configuration : Enabled
AP type : Normal AP
Radio 1:
Basic BSSID : 7848-59f6-3940
Admin state : Up
Radio type : 802.11ac
Antenna type : internal
Client dot11ac-only : Disabled
Client dot11n-only : Disabled
Channel bandwidth : 20/40/80MHz
Operating bandwidth : 20/40/80MHz
Secondary channel offset : SCB
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160MHz : Not supported
mimo : Not Config
Green-Energy-Management : Disabled
A-MSDU : Enabled
A-MPDU : Enabled
LDPC : Not Supported
STBC : Supported
Operational VHT-MCS Set:
Mandatory : Not configured
Supported : NSS1 0,1,2,3,4,5,6,7,8,9
NSS2 0,1,2,3,4,5,6,7,8,9
Multicast : Not configured
Operational HT MCS Set:
Mandatory : Not configured
Supported : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,
10, 11, 12, 13, 14, 15
Multicast : Not configured
Channel : 44(auto)
Channel usage(%) : 15
Max power : 20 dBm
Operational rate:
Mandatory : 6, 12, 24 Mbps
Multicast : Auto
Supported : 9, 18, 36, 48, 54 Mbps
Disabled : Not configured
Distance : 1 km
ANI : Enabled
Fragmentation threshold : 2346 bytes
Beacon interval : 100 TU
Protection threshold : 2346 bytes
Long retry threshold : 4
Short retry threshold : 7
Maximum rx duration : 2000 ms
Noise Floor : -102 dBm
Smart antenna : Enabled
Smart antenna policy : Auto
Protection mode : rts-cts
Continuous mode : N/A
HT protection mode : No protection
Radio 2:
Basic BSSID : 7848-59f6-3950
Admin state : Down
Radio type : 802.11n(2.4GHz)
Antenna type : internal
Client dot11n-only : Disabled
Channel bandwidth : 20/40MHz
Secondary channel offset : SCA
Channel auto-switch : Enabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
A-MSDU : Enabled
A-MPDU : Enabled
LDPC : Not Supported
STBC : Supported
Operational HT MCS Set:
Mandatory : Not configured
Supported : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,
10, 11, 12, 13, 14, 15, 16, 17,
18, 19, 20, 21, 22, 23, 24, 25,
26, 27, 28, 29, 30, 31
Multicast : Not configured
Channel : 5(auto)
Channel usage(%) : 0
Max power : 20 dBm
Preamble type : Short
Operational rate:
Mandatory : 1, 2, 5.5, 11 Mbps
Multicast : Auto
Supported : 6, 9, 12, 18, 24, 36, 48, 54 Mbps
Disabled : Not configured
Distance : 1 km
ANI : Enabled
Fragmentation threshold : 2346 bytes
Beacon interval : 100 TU
Protection threshold : 2346 bytes
Long retry threshold : 4
Short retry threshold : 7
Maximum rx duration : 2000 ms
Noise Floor : 0 dBm
Smart antenna : Enabled
Smart antenna policy : Auto
Protection mode : rts-cts
Continuous mode : N/A
HT protection mode : No protection
DHCP server、DNS server、AP和AC通过交换机连接。在AP上配置DNS客户端功能,AP会通过动态域名解析功能,将AC域名abc解析为IP地址;DNS server的IP地址是1.1.1.4/24,域名服务器上存在abc域,且abc域中包含域名“h3c.abc”和AC的IP地址2.1.1.1/24的对应关系。
图1-5 通过DNS发现方式建立CAPWAP隧道组网图
(1) 配置DHCP server
# 使能DHCP服务,配置DHCP地址池1,配置AC域名后缀为abc。
<DHCP server> system-view
[DHCP server] dhcp enable
[DHCP server] dhcp server ip-pool 1
[DHCP server-dhcp-pool-1] network 1.1.1.0 mask 255.255.255.0
[DHCP server-dhcp-pool-1] domain-name abc
[DHCP server-dhcp-pool-1] dns-list 1.1.1.4
[DHCP server-dhcp-pool-1] gateway-list 1.1.1.2
[DHCP server-dhcp-pool-1] quit
[DHCP server] quit
(2) 配置DNS server
在DNS server上配置域名“h3c.abc”和AC的IP地址2.1.1.1/24的映射关系。(略)
(3) 配置AC
# 配置AC的VLAN-interface 1的IP地址为2.1.1.1/24。
<AC> system-view
[AC] interface vlan-interface 1
[AC-Vlan-interface1] ip address 2.1.1.1 24
[AC-Vlan-interface1] quit
# 配置缺省路由,指定下一跳为2.1.1.2。
[AC] ip route-static 0.0.0.0 0 2.1.1.2
# 创建ap1,并配置序列号为219801A28N819CE0002T。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC-wlan-ap-ap1] quit
# AP启动后,AP会从DHCP server自动获取IP地址1.1.1.1,同时获取AC的域名后缀abc和DNS服务器地址1.1.1.4,AP将从自身获取到的主机名h3c和DHCP服务器返回的域名后缀合在一起形成完整的AC域名h3c.abc,AP通过DNS server进行AC域名解析。解析成功后,AP拥有了自动分配的本地IPv4地址和需要建立CAPWAP隧道连接的AC的IP地址2.1.1.1,开始发现AC的过程并建立CAPWAP隧道。
# 查看AP的详细信息,可以看到AP与AC成功建立CAPWAP隧道连接并进入Run状态,发现方式为DNS方式。
[AC] display wlan ap name ap1 verbose
AP name : ap1
AP ID : 1
AP group name : default-group
State : Run
Backup Type : Master
Ready-for-Switchover : Not ready
Online time : 0 days 1 hours 25 minutes 12 seconds
System up time : 0 days 2 hours 22 minutes 12 seconds
Model : WA6320
Region code : CN
Region code lock : Disable
Serial ID : 219801A28N819CE0002T
MAC address : 0AFB-423B-893C
IP address : 1.1.1.1
UDP port number : 18313
H/W version : Ver.C
S/W version : E2321
Boot version : 1.01
Forwarding mode : DP
USB state : N/A
Power level : N/A
Power info : N/A
Description : wtp1
Priority : 4
Echo interval : 10 seconds
Echo count : 3 counts
Keepalive interval : 10 seconds
Discovery-response wait-time : 2 seconds
Statistics report interval : 50 seconds
Fragment size (data) : 1500
Fragment size (control) : 1450
MAC type : Local MAC & Split MAC
Tunnel mode : Local Bridging & 802.3 Frame & Native Frame
Discovery type : DNS
Retransmission count : 3
Retransmission interval : 5 seconds
Firmware upgrade : Enabled
Sent control packets : 1
Received control packets : 1
Echo requests : 147
Lost echo responses : 0
Average echo delay : 3
Last reboot reason : User soft reboot
Latest IP address : 10.1.0.2
Current AC IP : N/A
Tunnel down reason : Request wait timer expired
Connection count : 1
Backup Ipv4 : Not configured
Backup Ipv6 : Not configured
Tunnel encryption : Disabled
Data tunnel encryption : Disabled
Data-tunnel encryption state : Not encrypted
LED mode : Normal
Remote configuration : Enabled
AP type : Normal AP
Radio 1:
Basic BSSID : 7848-59f6-3940
Admin state : Up
Radio type : 802.11ac
Antenna type : internal
Client dot11ac-only : Disabled
Client dot11n-only : Disabled
Channel bandwidth : 20/40/80MHz
Operating bandwidth : 20/40/80MHz
Secondary channel offset : SCB
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160MHz : Not supported
mimo : Not Config
Green-Energy-Management : Disabled
A-MSDU : Enabled
A-MPDU : Enabled
LDPC : Not Supported
STBC : Supported
Operational VHT-MCS Set:
Mandatory : Not configured
Supported : NSS1 0,1,2,3,4,5,6,7,8,9
NSS2 0,1,2,3,4,5,6,7,8,9
Multicast : Not configured
Operational HT MCS Set:
Mandatory : Not configured
Supported : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,
10, 11, 12, 13, 14, 15
Multicast : Not configured
Channel : 44(auto)
Channel usage(%) : 15
Max power : 20 dBm
Operational rate:
Mandatory : 6, 12, 24 Mbps
Multicast : Auto
Supported : 9, 18, 36, 48, 54 Mbps
Disabled : Not configured
Distance : 1 km
ANI : Enabled
Fragmentation threshold : 2346 bytes
Beacon interval : 100 TU
Protection threshold : 2346 bytes
Long retry threshold : 4
Short retry threshold : 7
Maximum rx duration : 2000 ms
Noise Floor : -102 dBm
Smart antenna : Enabled
Smart antenna policy : Auto
Protection mode : rts-cts
Continuous mode : N/A
HT protection mode : No protection
Radio 2:
Basic BSSID : 7848-59f6-3950
Admin state : Down
Radio type : 802.11n(2.4GHz)
Antenna type : internal
Client dot11n-only : Disabled
Channel bandwidth : 20/40MHz
Secondary channel offset : SCA
Channel auto-switch : Enabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
A-MSDU : Enabled
A-MPDU : Enabled
LDPC : Not Supported
STBC : Supported
Operational HT MCS Set:
Mandatory : Not configured
Supported : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,
10, 11, 12, 13, 14, 15, 16, 17,
18, 19, 20, 21, 22, 23, 24, 25,
26, 27, 28, 29, 30, 31
Multicast : Not configured
Channel : 5(auto)
Channel usage(%) : 0
Max power : 20 dBm
Preamble type : Short
Operational rate:
Mandatory : 1, 2, 5.5, 11 Mbps
Multicast : Auto
Supported : 6, 9, 12, 18, 24, 36, 48, 54 Mbps
Disabled : Not configured
Distance : 1 km
ANI : Enabled
Fragmentation threshold : 2346 bytes
Beacon interval : 100 TU
Protection threshold : 2346 bytes
Long retry threshold : 4
Short retry threshold : 7
Maximum rx duration : 2000 ms
Noise Floor : 0 dBm
Smart antenna : Enabled
Smart antenna policy : Auto
Protection mode : rts-cts
Continuous mode : N/A
HT protection mode : No protection
在AC上开启自动AP功能,MAC地址为0011-2200-0101的AP通过DHCP选项方式获取到AC的IP地址,AP通过获取到的AC的IP地址发现AC并与AC建立CAPWAP隧道连接。
图1-6 开启自动AP功能建立CAPWAP隧道组网图
(1) 配置DHCP server
# 使能DHCP服务器功能。
<DHCP Server> system-view
[DHCP Server] dhcp enable
# 配置DHCP地址池1。
[DHCP Server] dhcp server ip-pool 1
[DHCP Server-dhcp-pool-1] network 1.1.1.0 mask 255.255.255.0
# 通过自定义选项的方式配置Option 43的内容,为AP指定AC的IP地址。注意Option 43选项内容中最后四字节为02010102(2.1.1.2),即为AC的IP地址。
[DHCP Server-dhcp-pool-1] option 43 hex 800700000102010102
[DHCP Server-dhcp-pool-1] gateway-list 1.1.1.3
[DHCP Server-dhcp-pool-1] quit
[DHCP Server] quit
(2) 配置AC
# 配置AC的VLAN-interface 1的IP地址为2.1.1.2/24。
<AC> system-view
[AC] interface vlan-interface 1
[AC-Vlan-interface1] ip address 2.1.1.2 24
[AC-Vlan-interface1] quit
# 配置缺省路由,指定下一跳为2.1.1.1。
[AC] ip route-static 0.0.0.0 0 2.1.1.1
# 开启自动AP功能。
[AC] wlan auto-ap enable
# 通过display wlan ap name 0011-2200-0101 verbose命令查看ap的详细信息,可以看到该AP已成功建立CAPWAP隧道连接。
[AC] display wlan ap name 0011-2200-0101 verbose
AP name : 0011-2200-0101
AP ID : 1
AP group name : default-group
State : Run
Backup Type : Master
Ready-for-Switchover : Not ready
Online time : 0 days 1 hours 25 minutes 12 seconds
System up time : 0 days 2 hours 22 minutes 12 seconds
Model : WA6320
Region code : CN
Region code lock : Disable
Serial ID : 219801A28N819CE0002T
MAC address : 0011-2200-0101
IP address : 1.1.1.2
UDP port number : 18313
H/W version : Ver.C
S/W version : E2321
Boot version : 1.01
Forwarding mode : DP
USB state : N/A
Power level : N/A
Power info : N/A
Description : wtp1
Priority : 4
Echo interval : 10 seconds
Echo count : 3 counts
Keepalive interval : 10 seconds
Discovery-response wait-time : 2 seconds
Statistics report interval : 50 seconds
Fragment size (data) : 1500
Fragment size (control) : 1450
MAC type : Local MAC & Split MAC
Tunnel mode : Local Bridging & 802.3 Frame & Native Frame
Discovery type : DHCP
Retransmission count : 3
Retransmission interval : 5 seconds
Firmware upgrade : Enabled
Sent control packets : 1
Received control packets : 1
Echo requests : 147
Lost echo responses : 0
Average echo delay : 3
Last reboot reason : User soft reboot
Latest IP address : 10.1.0.2
Current AC IP : N/A
Tunnel down reason : Request wait timer expired
Connection count : 1
Backup Ipv4 : Not configured
Backup Ipv6 : Not configured
Tunnel encryption : Disabled
Data-tunnel encryption : Disabled
Data-tunnel encryption state : Not encrypted
LED mode : Normal
Remote configuration : Enabled
AP type : Normal AP
Radio 1:
Basic BSSID : 7848-59f6-3940
Admin state : Up
Radio type : 802.11ac
Antenna type : internal
Client dot11ac-only : Disabled
Client dot11n-only : Disabled
Channel bandwidth : 20/40/80MHz
Operating bandwidth : 20/40/80MHz
Secondary channel offset : SCB
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160MHz : Not supported
mimo : Not Config
Green-Energy-Management : Disabled
A-MSDU : Enabled
A-MPDU : Enabled
LDPC : Not Supported
STBC : Supported
Operational VHT-MCS Set:
Mandatory : Not configured
Supported : NSS1 0,1,2,3,4,5,6,7,8,9
NSS2 0,1,2,3,4,5,6,7,8,9
Multicast : Not configured
Operational HT MCS Set:
Mandatory : Not configured
Supported : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,
10, 11, 12, 13, 14, 15
Multicast : Not configured
Channel : 44(auto)
Channel usage(%) : 15
Max power : 20 dBm
Operational rate:
Mandatory : 6, 12, 24 Mbps
Multicast : Auto
Supported : 9, 18, 36, 48, 54 Mbps
Disabled : Not configured
Distance : 1 km
ANI : Enabled
Fragmentation threshold : 2346 bytes
Beacon interval : 100 TU
Protection threshold : 2346 bytes
Long retry threshold : 4
Short retry threshold : 7
Maximum rx duration : 2000 ms
Noise Floor : -102 dBm
Smart antenna : Enabled
Smart antenna policy : Auto
Protection mode : rts-cts
Continuous mode : N/A
HT protection mode : No protection
Radio 2:
Basic BSSID : 7848-59f6-3950
Admin state : Down
Radio type : 802.11b
Antenna type : internal
Client dot11n-only : Disabled
Channel bandwidth : 20MHz
Operating bandwidth : 20MHz
Secondary channel offset : SCN
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
A-MSDU : Enabled
A-MPDU : Enabled
LDPC : Not Supported
STBC : Supported
Operational HT MCS Set:
Mandatory : Not configured
Supported : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,
10, 11, 12, 13, 14, 15
Multicast : Not configured
Channel : 5(auto)
Channel usage(%) : 0
Max power : 20 dBm
Preamble type : Short
Operational rate:
Mandatory : 1, 2, 5.5, 11 Mbps
Multicast : Auto
Supported : 6, 9, 12, 18, 24, 36, 48, 54 Mbps
Disabled : Not configured
Distance : 1 km
ANI : Enabled
Fragmentation threshold : 2346 bytes
Beacon interval : 100 TU
Protection threshold : 2346 bytes
Long retry threshold : 4
Short retry threshold : 7
Maximum rx duration : 2000 ms
Noise Floor : 0 dBm
Smart antenna : Enabled
Smart antenna policy : Auto
Protection mode : rts-cts
Continuous mode : N/A
HT protection mode : No protection
AC通过交换机和AP1、AP2、AP3、AP4相连;将AP1加入group1,AP2、AP3和AP4加入group2。AP1、AP2、AP3和AP4名字分别为ap1、ap2、ap3和ap4。
图1-7 AP组配置举例
(1) 配置AP通过DHCP方式获取本机IP地址及AC IP地址(略)
(2) 配置手工AP(略)
(3) 配置AP组
# 创建group1。
<AC> system-view
[AC] wlan ap-group group1
# 将AP1加入group1。
[AC-wlan-ap-group-group1] ap ap1
[AC-wlan-ap-group-group1] quit
# 创建group2。
[AC] wlan ap-group group2
# 将AP2、AP3和AP4加入group2。
[AC-wlan-ap-group-group2] ap ap2 ap3 ap4
[AC-wlan-ap-group-group2] quit
[AC] quit
# 通过display wlan ap-group命令查看AP组详细信息,可以看到ap1被加入到group1组,ap2、ap3、和ap4被加入到group2组。
<AC> display wlan ap-group
Total number of AP groups: 3
AP group name : default-group
Describtion : Not configured
AP model : Not configured
APs : Not configured
AP group name : group1
Describtion : Not configured
AP model : WA6320
AP grouping rules:
AP name : ap1
Serial ID : Not configured
MAC address : Not configured
IPv4 address : Not configured
IPv6 address : Not configured
APs : ap1 (AP name)
AP group name : group2
Describtion : Not configured
AP model : WA6320
AP grouping rules:
AP name : ap2, ap3, ap4
Serial ID : Not configured
MAC address : Not configured
IPv4 address : Not configured
IPv6 address : Not configured
APs : ap2 (AP name), ap3 (AP name), ap4 (AP name)
集中式转发架构下,AC旁挂在三层交换机上,三层交换机作为DHCP Server为AP、Client分配IP地址,二层交换机通过PoE方式给AP供电,AP分别与AC 1、AC 2建立两条CAPWAP隧道。
· 内网要求如下:
¡ L3 Switch 1作为DHCP Server,为物理AP和接入内网无线服务的Client分配IP地址。
¡ 物理AP通过DHCP Server 10获取IP地址,属于VLAN 10。
¡ 内部员工通过VLAN 30接入无线网络,支持MAC地址认证、802.1X认证和Portal认证。
¡ 开启协同漫游功能。
¡ AC 1和AC 3组成AP双链路1+1备份。
¡ 内网iMC同时作为Portal认证服务器、Portal Web服务器和RADIUS服务器
· 外网要求如下:
¡ L3 Switch 2作为DHCP Server,为虚拟AP和接入外网无线服务的Client分配IP地址。
¡ 虚拟AP通过DHCP Server 20获取IP地址,属于VLAN 20。
¡ 外部访客通过VLAN 40接入无线网络,支持MAC地址认证、802.1X认证和Portal认证。
¡ 外网iMC同时作为Portal认证服务器、Portal Web服务器和RADIUS服务器
图1-8 虚拟AP配置举例
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
L3 Switch 1 |
Vlan-int 10 |
173.12.1.2/16 |
L3 Switch 2 |
Vlan-int 20 |
173.22.1.2/16 |
|
|
Vlan-int 30 |
112.30.0.1/16 |
|
Vlan-int 40 |
112.40.0.3/16 |
|
AC 1 |
Vlan-int 10 |
173.12.1.3/16 |
AC 2 |
Vlan-int 20 |
173.22.1.3/16 |
|
|
Vlan-int 30 |
112.30.0.2/16 |
|
Vlan-int 40 |
112.40.0.2/16 |
|
AC 3 |
Vlan-int 10 |
173.12.1.7/16 |
|
|
|
|
|
Vlan-int 30 |
112.30.0.3/16 |
|
|
|
· AP空配置启动时,AP的双上行口默认是Acess口,PVID为1,通过VLAN 1接口发送报文,发出的报文不会携带VLAN TAG。为了防止在这个阶段出现环路,需要在外网Switch与AP相连的物理口上配置命令undo port trunk permit vlan vlan-pvid,即禁止端口缺省VLAN的报文通过。(说明:虚拟AP的管理VLAN和业务VLAN不能配置为端口缺省VLAN)
· AP与外网Switch相连的接口,除了禁止VLAN 1报文通过,还需禁止放行内网流量的相应VLAN,确保AP的双上行口组网不会产生环路。(说明:本注意事项适用于虚拟AP和物理AP使用不同管理VLAN的组网)
(1) 配置L3 Switch 1的接口
# 创建VLAN 10和VLAN 30,并为对应的VLAN接口配置IP地址。其中VLAN 10用于转发AC和物理AP间CAPWAP隧道内的流量,VLAN 30为内部员工的无线客户端接入的VLAN。
<L3 switch1>system-view
[L3 switch1] vlan 10
[L3 switch1-vlan10] quit
[L3 switch1] interface vlan-interface 10
[L3 switch1-Vlan-interface10] ip address 173.12.1.2 255.255.0.0
[L3 switch1-Vlan-interface10] quit
[L3 switch1] vlan 30
[L3 switch1-vlan30] quit
[L3 switch1] interface vlan-interface 30
[L3 switch1-Vlan-interface30] ip address 112.30.0.1 255.255.0.0
[L3 switch1-Vlan-interface30] quit
# 创建VLAN 50,用于连接iMC服务器,并为对应的VLAN接口配置IP地址。
[L3 switch1] vlan 50
[L3 switch1-vlan50] quit
[L3 switch1] interface vlan-interface 50
[L3 switch1-Vlan-interface50] ip address 173.18.4.99 255.255.255.0
[L3 switch1-Vlan-interface50] quit
# 将L3 Switch 1与iMC相连的接口加入VLAN 50(此处略)。
# 配置L3 Switch 1和AC 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[L3 switch1] interface gigabitethernet 1/0/1
[L3 switch1-GigabitEthernet1/0/1] port link-type trunk
[L3 switch1-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[L3 switch1-GigabitEthernet1/0/1] port trunk permit vlan 10 30
[L3 switch1-GigabitEthernet1/0/1] quit
# 配置L3 Switch 1和AC 3相连的接口GigabitEthernet1/0/4为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[L3 switch1] interface gigabitethernet 1/0/4
[L3 switch1-GigabitEthernet1/0/4] port link-type trunk
[L3 switch1-GigabitEthernet1/0/4] undo port trunk permit vlan 1
[L3 switch1-GigabitEthernet1/0/4] port trunk permit vlan 10 30
[L3 switch1-GigabitEthernet1/0/4] quit
# 配置L3 Switch 1和L2 Switch 1相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,并允许VLAN 10通过。
[L3 switch1] interface gigabitethernet 1/0/2
[L3 switch1-GigabitEthernet1/0/2] port link-type trunk
[L3 switch1-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[L3 switch1-GigabitEthernet1/0/2] port trunk permit vlan 10
[L3 switch1-GigabitEthernet1/0/2] quit
# 配置L3 Switch 1与上行网络相连的接口以及缺省路由(此处略)。
(2) 配置DHCP server。
# 开启DHCP server功能
[L3 switch1] dhcp enable
# 配置DHCP地址池10为AP分配地址范围173.12.0.0/16,网关地址为173.12.1.2。
[L3 switch1] dhcp server ip-pool 10
[L3 switch1-dhcp-pool-10] network 173.12.0.0 mask 255.255.0.0
[L3 switch1-dhcp-pool-10] gateway-list 173.12.1.2
# 配置DHCP地址池30为Client分配地址范围112.30.0.0/16,网关地址为112.30.0.1,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址)。
[L3 switch1] dhcp server ip-pool 30
[L3 switch1-dhcp-pool-30] network 112.30.0.0 mask 255.255.0.0
[L3 switch1-dhcp-pool-30] gateway-list 112.30.0.1
[L3 switch1-dhcp-pool-30] dns-list 112.30.0.1
[L3 switch1-dhcp-pool-30] quit
# 创建VLAN 10,VLAN 10为物理AP接入的管理VLAN。
<L2 switch1> system-view
[L2 switch1] vlan 10
[L2 switch1-vlan10] quit
# 配置L2 Switch 1与L3 Switch 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10通过。
[L2 switch1] interface gigabitEthernet 1/0/1
[L2 switch1-GigabitEthernet1/0/1] port link-type trunk
[L2 switch1-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[L2 switch1-GigabitEthernet1/0/1] port trunk permit vlan 10
[L2 switch1-GigabitEthernet1/0/1] quit
# 配置L2 Switch 1与AP相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,PVID为VLAN 10,允许VLAN 10通过,并开启PoE远程供电功能。
[L2 switch1] interface gigabitEthernet 1/0/2
[L2 switch1-GigabitEthernet1/0/2] port link-type trunk
[L2 switch1-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[L2 switch1-GigabitEthernet1/0/2] port trunk pvid vlan 10
[L2 switch1-GigabitEthernet1/0/2] port trunk permit vlan 10
[L2 switch1-GigabitEthernet1/0/2] poe enable
[L2 switch1-GigabitEthernet1/0/2] quit
(3) 配置内网AC 1的接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址。物理AP将获取该IP地址与内网AC 1建立主CAPWAP隧道。
<AC1> system-view
[AC1] vlan 10
[AC1-vlan10] quit
[AC1] interface vlan-interface 10
[AC1-Vlan-interface10] ip address 173.12.1.3 255.255.0.0
[AC1-Vlan-interface10] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址。内部员工的无线客户端使用该业务VLAN接入无线网络。
[AC1] vlan 30
[AC1-vlan30] quit
[AC1] interface vlan-interface 30
[AC1-Vlan-interface30] ip address 112.30.0.2 255.255.0.0
[AC1-Vlan-interface30] quit
# 配置内网AC 1和L3 Switch 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[AC1] interface gigabitethernet 1/0/1
[AC1-GigabitEthernet1/0/1] port link-type trunk
[AC1-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC1-GigabitEthernet1/0/1] port trunk permit vlan 10 30
[AC1-GigabitEthernet1/0/1] quit
# 请确保AC和iMC能互通,根据实际组网配置路由。
[AC1] ip route-static 173.18.4.100 32 173.12.1.2
(4) 配置AP并向AP下配置
# 创建手工AP,名称为ap1,型号为WA6322。
[AC1] wlan ap ap1 model WA6322
# 设置AP的序列号为219801A23U8204P000C3。
[AC1-wlan-ap-ap1] serial-id 219801A23U8204P000C3
# 开启远程配置同步功能。
[AC1-wlan-ap-ap1] remote-configuration enable
# AC向AP下发AP视图下的VLAN 20,VLAN 20是虚拟AP上线的管理VLAN。
[AC1-wlan-ap-ap1] vlan 20
[AC11-wlan-ap-ap1-vlan20] quit
# AC向AP下发接口配置,AP的gigabitethernet 2接口连接外网交换机L2 Switch 2。gigabitethernet 2接口允许外网的VLAN 20通过。
[AC1-wlan-ap-ap1] gigabitethernet 2
[AC1-wlan-ap-ap1-gigabitethernet-2] port link-type trunk
[AC1-wlan-ap-ap1-gigabitethernet-2] undo port trunk permit vlan 1
[AC1-wlan-ap-ap1-gigabitethernet-2] port trunk permit vlan 20
[AC1-wlan-ap-ap1-gigabitethernet-2] quit
# 将AP视图下配置的VLAN、接口配置等命令同步到AP。
[AC1-wlan-ap-ap1] remote-configuration synchronize
(5) 配置虚拟AP全局使能
# 配置虚拟AP全局使能。
[AC1] wlan virtual-ap enable
(6) 创建虚拟AP
# 在AP视图下创建虚拟AP,指定虚拟AP需上线的外网AC的IP地址和管理VLAN。
[AC1] wlan ap ap1
[AC1-wlan-ap-ap1] virtual-ap ac-address ip 173.22.1.3 management-vlan 20
[AC1-wlan-ap-ap1] quit
(7) 配置AP双链路备份
# 进入ap1视图并配置AP连接的优先级为7。
[AC1] wlan ap ap1
[AC1-wlan-ap-ap1] priority 7
# 配置备AC的IP地址为内网AC 3的地址173.12.1.7。
[AC1-wlan-ap-ap1] backup-ac ip 173.12.1.7
# 配置CAPWAP主隧道抢占功能。
[AC1-wlan-ap-ap1] wlan tunnel-preempt enable
[AC1-wlan-ap-ap1] quit
(8) 配置RADIUS方案
# 创建名为office的RADIUS方案,并进入该方案视图。
[AC1] radius scheme office
# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。
[AC1-radius-office] primary authentication 173.18.4.100
[AC1-radius-office] primary accounting 173.18.4.100
[AC1-radius-office] key authentication simple 12345678
[AC1-radius-office] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC1-radius-office] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为173.12.1.3。
[AC1-radius-office] nas-ip 173.12.1.3
[AC1-radius-office] quit
# 使能RADUIS session control功能。
[AC1] radius session-control enable
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[AC1] radius dynamic-author server
# 设置RADIUS DAE客户端的IP地址为173.18.4.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[AC1-radius-da-server] client ip 173.18.4.100 key simple 12345678
[AC1-radius-da-server] quit
(9) 配置认证域
# 创建名为office1的ISP域并进入其视图。
[AC1] domain office1
# 为lan-access用户配置认证、授权和计费方案为使用RADIUS方案office。
[AC1-isp-office1] authentication lan-access radius-scheme office
[AC1-isp-office1] authorization lan-access radius-scheme office
[AC1-isp-office1] accounting lan-access radius-scheme office
# 指定ISP域office1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC1-isp-office1] authorization-attribute idle-cut 15 1024
[AC1-isp-office1] quit
# 创建名为office2的ISP域并进入其视图。
[AC1] domain office2
# 为portal用户配置认证、授权和计费方案为使用RADIUS方案office。
[AC1-isp-office2] authentication portal radius-scheme office
[AC1-isp-office2] authorization portal radius-scheme office
[AC1-isp-office2] accounting portal radius-scheme office
# 指定ISP域office2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC1-isp-office2] authorization-attribute idle-cut 15 1024
[AC1-isp-office2] quit
(10) 配置MAC认证
# 配置MAC地址认证的用户名格式为固定用户名格式,用户名为h3cmac,密码为明文12345678。
[AC1] mac-authentication user-name-format fixed account h3cmac password simple 12345678
# 创建无线服务模板1,SSID为int-mac。
[AC1] wlan service-template 1
[AC1-wlan-st-1] ssid int-mac
# 配置无线服务模板VLAN为VLAN30。
[AC1-wlan-st-1] vlan 30
# 配置用户认证方式为MAC地址认证,ISP域为office1。
[AC1-wlan-st-1] client-security authentication-mode mac
[AC1-wlan-st-1] mac-authentication domain office1
# 开启BSS切换管理功能。
[AC1-wlan-st-1] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC1-wlan-st-1] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC1-wlan-st-1] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务。
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
(11) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC1] dot1x authentication-method eap
# 创建无线服务模板2,SSID为int-1x。
[AC1] wlan service-template 2
[AC1-wlan-st-2] ssid int-1x
# 配置无线服务模板VLAN为30。
[AC1-wlan-st-2] vlan 30
# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN。
[AC1-wlan-st-2] akm mode dot1x
[AC1-wlan-st-2] cipher-suite ccmp
[AC1-wlan-st-2] security-ie rsn
# 配置用户认证方式为802.1X,ISP域为office1。
[AC1-wlan-st-2] client-security authentication-mode dot1x
[AC1-wlan-st-2] dot1x domain office1
# 开启BSS切换管理功能。
[AC1-wlan-st-2] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC1-wlan-st-2] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC1-wlan-st-2] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板。
[AC1-wlan-st-2] service-template enable
[AC1-wlan-st-2] quit
(12) 配置Portal认证
# 配置Portal认证服务器名称为newpt,IP地址为173.18.4.100,监听Portal报文的端口为50100。
[AC1] portal server newpt
[AC1-portal-server-newpt] ip 173.18.4.100 key simple 12345678
[AC1-portal-server-newpt] port 50100
[AC1-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://173.18.4.100:8080/portal。
[AC1] portal web-server wbportal
[AC1-portal-websvr-wbportal] url http://173.18.4.100:8080/portal
[AC1-portal-websvr-wbportal] quit
# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.4.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。
[AC1] portal free-rule 0 destination ip 173.18.4.100 24
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC1] portal free-rule 1 destination ip any udp 53
[AC1] portal free-rule 2 destination ip any tcp 53
# 关闭无线Portal客户端ARP表项固化功能。
[AC1] undo portal refresh arp enable
# 开启无线Portal客户端合法性检查功能。
[AC1] portal host-check enable
# 创建服务模板3,SSID为int-portal。
[AC1] wlan service-template 3
[AC1-wlan-st-3] ssid int-portal
# 配置无线服务模板VLAN为VLAN 30。
[AC1-wlan-st-3] vlan 30
# 在无线服务模板3上使能直接方式的Portal认证。
[AC1-wlan-st-3] portal enable method direct
# 配置接入的Portal用户使用认证域为office2。
[AC1-wlan-st-3] portal domain office2
# 在无线服务模板3上引用Portal Web服务器wbportal。
[AC1-wlan-st-3] portal apply web-server wbportal
# 在无线服务模板3上配置发送至Portal认证服务器的Portal报文中的BAS-IP属性值为173.12.1.3。
[AC1-wlan-st-3] portal bas-ip 173.12.1.3
# 开启BSS切换管理功能。
[AC1-wlan-st-3] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC1-wlan-st-3] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC1-wlan-st-3] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板3。
[AC1–wlan-st-3] service-template enable
[AC1-wlan-st-3] quit
(13) 绑定服务模板并配置协同漫游
# 进入ap1的radio 1视图。
[AC1] wlan ap ap1
[AC1-wlan-ap-ap1] radio 1
# 开启射频资源测量功能。
[AC-wlan-ap-ap1-radio-1] resource-measure enable
# 配置无线客户端反粘滞功能,射频每10秒进行信号强度检测,在支持802.11v的无线客户端信号强度低于-30dBm时,引导其进行BSS切换。
请根据现场实际环境,调整RSSI值和检测周期。
[AC1-wlan-ap-ap1-radio-1] sacp anti-sticky enable rssi 30 interval 10
# 开启获取BSS候选列表功能,测量周期为10秒。
[AC1-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable interval 10
# 将无线服务模板1、2、3绑定到ap 1的Radio 1上。
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] service-template 2
[AC1-wlan-ap-ap1-radio-1] service-template 3
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
(14) 配置内网AC 3的接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址。物理AP将获取该IP地址与内网AC 3建立备CAPWAP隧道。
<AC3> system-view
[AC3] vlan 10
[AC3-vlan10] quit
[AC3] interface vlan-interface 10
[AC3-Vlan-interface10] ip address 173.12.1.7 255.255.0.0
[AC3-Vlan-interface10] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址。内部员工的无线客户端使用该业务VLAN接入无线网络。
[AC3] vlan 30
[AC3-vlan30] quit
[AC3] interface vlan-interface 30
[AC3-Vlan-interface30] ip address 112.30.0.3 255.255.0.0
[AC3-Vlan-interface30] quit
# 配置内网AC 3和L3 Switch 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[AC3] interface gigabitethernet 1/0/1
[AC3-GigabitEthernet1/0/1] port link-type trunk
[AC3-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC3-GigabitEthernet1/0/1] port trunk permit vlan 10 30
[AC3-GigabitEthernet1/0/1] quit
# 请确保AC和iMC能互通,根据实际组网配置路由。
[AC3] ip route-static 173.18.4.100 32 173.12.1.2
(15) 配置AP并向AP下配置
# 创建手工AP,名称为ap1,型号名称为WA6322
[AC3] wlan ap ap1 model WA6322
# 设置AP的序列号为219801A23U8204P000C3。
[AC3-wlan-ap-ap1] serial-id 219801A23U8204P000C3
# 开启远程配置同步功能。
[AC3-wlan-ap-ap1] remote-configuration enable
# AC向AP下发AP视图下的VLAN 20,VLAN 20是虚拟AP上线的管理VLAN。
[AC3-wlan-ap-ap1] vlan 20
[AC31-wlan-ap-ap1-vlan20] quit
# AC向AP下发接口配置,AP的gigabitethernet 2接口连接外网交换机L2 Switch 2。gigabitethernet 2接口允许外网的VLAN 20通过。
[AC3-wlan-ap-ap1] gigabitethernet 2
[AC3-wlan-ap-ap1-gigabitethernet-2] port link-type trunk
[AC3-wlan-ap-ap1-gigabitethernet-2] undo port trunk permit vlan 1
[AC3-wlan-ap-ap1-gigabitethernet-2] port trunk permit vlan 20
[AC3-wlan-ap-ap1-gigabitethernet-2]quit
# 将AP视图下配置的VLAN、接口配置等命令同步到AP。
[AC3-wlan-ap-ap1] remote-configuration synchronize
(16) 配置虚拟AP全局使能
# 配置虚拟AP全局使能。
[AC3] wlan virtual-ap enable
(17) 创建虚拟AP
# 在AP视图下创建虚拟AP,指定虚拟AP需上线的外网AC的IP地址和管理VALN。
[AC3] wlan ap ap1
[AC3-wlan-ap-ap1] virtual-ap ac-address ip 173.22.1.3 management-vlan 20
[AC3-wlan-ap-ap1] quit
(18) 配置AP双链路备份
# 进入ap1视图并配置AP连接的优先级为5。
[AC3] wlan ap ap1
[AC3-wlan-ap-ap1] priority 5
#配置备AC的IP地址为内网AC 1的地址173.12.1.3。
[AC3-wlan-ap-ap1] backup-ac ip 173.12.1.3
(19) 配置RADIUS方案
# 创建名为office的RADIUS方案,并进入其视图。
[AC3] radius scheme office
# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。
[AC3-radius-office] primary authentication 173.18.4.100
[AC3-radius-office] primary accounting 173.18.4.100
[AC3-radius-office] key authentication simple 12345678
[AC3-radius-office] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC3-radius-office] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为173.12.1.7。
[AC3-radius-office] nas-ip 173.12.1.7
[AC3-radius-office] quit
# 使能RADUIS session control功能。
[AC3] radius session-control enable
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[AC3] radius dynamic-author server
# 设置RADIUS DAE客户端的IP地址为173.18.4.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[AC3-radius-da-server] client ip 173.18.4.100 key simple 12345678
[AC3-radius-da-server] quit
(20) 配置认证域
# 创建名为office1的ISP域并进入其视图。
[AC3] domain office1
# 为lan-access用户配置认证、授权、计费方案为RADIUS方案office。
[AC3-isp-office1] authentication lan-access radius-scheme office
[AC3-isp-office1] authorization lan-access radius-scheme office
[AC3-isp-office1] accounting lan-access radius-scheme office
# 指定ISP域office1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC3-isp-office1] authorization-attribute idle-cut 15 1024
[AC3-isp-office1] quit
[AC3-isp-office1] quit
# 创建名为office2的ISP域并进入其视图。
[AC3] domain office2
# 为portal用户配置认证、授权、计费方案为RADIUS方案office。
[AC3-isp-office2] authentication portal radius-scheme office
[AC3-isp-office2] authorization portal radius-scheme office
[AC3-isp-office2] accounting portal radius-scheme office
# 指定ISP域office2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC3-isp-office2] authorization-attribute idle-cut 15 1024
[AC3-isp-office2] quit
(21) 配置MAC认证
# 配置MAC地址认证的用户名为固定用户名格式,用户名为h3cmac,密码为明文12345678。
[AC3] mac-authentication user-name-format fixed account h3cmac password simple 12345678
# 创建无线服务模板1,SSID为int-mac。
[AC3] wlan service-template 1
[AC3-wlan-st-1] ssid int-mac
# 配置无线服务模板VLAN为VLAN30。
[AC3-wlan-st-1] vlan 30
# 配置用户认证方式为MAC地址认证,ISP域为office1。
[AC3-wlan-st-1] client-security authentication-mode mac
[AC3-wlan-st-1] mac-authentication domain office1
# 开启BSS切换管理功能。
[AC3-wlan-st-1] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC3-wlan-st-1] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC3-wlan-st-1] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务。
[AC3-wlan-st-1] service-template enable
[AC3-wlan-st-1] quit
(22) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC3] dot1x authentication-method eap
# 创建无线服务模板2,SSID为int-1x。
[AC3] wlan service-template 2
[AC3-wlan-st-2] ssid int-1x
# 配置无线服务模板VLAN为30。
[AC3-wlan-st-2] vlan 30
# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN。
[AC3-wlan-st-2] akm mode dot1x
[AC3-wlan-st-2] cipher-suite ccmp
[AC3-wlan-st-2] security-ie rsn
# 配置用户认证方式为802.1X,ISP域为office1。
[AC3-wlan-st-2] client-security authentication-mode dot1x
[AC3-wlan-st-2] dot1x domain office1
# 开启BSS切换管理功能。
[AC3-wlan-st-2] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC3-wlan-st-2] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC3-wlan-st-2] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板。
[AC3-wlan-st-2] service-template enable
[AC3-wlan-st-2] quit
(23) 配置Portal认证
# 配置Portal认证服务器名称为newpt,IP地址为173.18.4.100,监听Portal报文的端口为50100。
[AC3] portal server newpt
[AC3-portal-server-newpt] ip 173.18.4.100 key simple 12345678
[AC3-portal-server-newpt] port 50100
[AC3-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://173.18.4.100:8080/portall。
[AC3] portal web-server wbportal
[AC3-portal-websvr-wbportal] url http://173.18.4.100:8080/portal
[AC3-portal-websvr-wbportal] quit
# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.4.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。
[AC3] portal free-rule 0 destination ip 173.18.4.100 24
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC3] portal free-rule 1 destination ip any udp 53
[AC3] portal free-rule 2 destination ip any tcp 53
# 关闭无线Portal客户端ARP表项固化功能。
[AC3] undo portal refresh arp enable
# 开启无线Portal客户端合法性检查功能。
[AC3] portal host-check enable
#创建服务模板3,SSID为int-portal。
[AC3] wlan service-template 3
[AC3-wlan-st-3] ssid int-portal
# 配置无线服务模板VLAN为VLAN 30。
[AC3-wlan-st-3] vlan 30
# 在无线服务模板3上使能直接方式的Portal认证。
[AC3-wlan-st-3] portal enable method direct
# 配置接入的Portal用户使用认证域为office2。
[AC3-wlan-st-3] portal domain office2
# 在无线服务模板3上引用Portal Web服务器wbportal。
[AC3-wlan-st-3] portal apply web-server wbportal
# 在无线服务模板3上配置发送至Portal认证服务器的Portal报文中的BAS-IP属性值为173.12.1.7。
[AC3-wlan-st-3] portal bas-ip 173.12.1.7
# 开启BSS切换管理功能。
[AC3-wlan-st-3] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC3-wlan-st-3] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC3-wlan-st-3] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板3。
[AC3–wlan-st-3] service-template enable
[AC3-wlan-st-3] quit
(24) 绑定服务模板并配置协同漫游
# 进入ap1的radio 1视图。
[AC3] wlan ap ap1
[AC3-wlan-ap-ap1] radio 1
# 开启射频资源测量功能。
[AC3-wlan-ap-ap1-radio-1] resource-measure enable
# 配置无线客户端反粘滞功能,射频每10秒进行信号强度检测,在支持802.11v的无线客户端信号强度低于-30dBm时,引导其进行BSS切换。
请根据现场实际环境,调整RSSI值和检测周期。
[AC3-wlan-ap-ap1-radio-1] sacp anti-sticky enable rssi 30 interval 10
# 开启获取BSS候选列表功能,测量周期为10秒。
[AC3-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable interval 10
# 将无线服务模板1、2、3绑定到ap 1的Radio 1上。
[AC3-wlan-ap-ap1-radio-1] radio enable
[AC3-wlan-ap-ap1-radio-1] service-template 1
[AC3-wlan-ap-ap1-radio-1] service-template 2
[AC3-wlan-ap-ap1-radio-1] service-template 3
[AC3-wlan-ap-ap1-radio-1] quit
[AC3-wlan-ap-ap1] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303P10)、iMC UAM 7.1(E0303P10),说明RADIUS server和Portal server的基本配置。
(1) 增加接入设备
# 增加接入设备AC1
登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
¡ 在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与内网AC1上配置RADIUS服务器时的密钥一致。
¡ 在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.12.1.3”,该IP地址为内网AC1上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。
¡ 其他配置采用页面默认配置即可。
¡ 单击<确定>按钮完成操作。
图1-9 增加接入设备AC1
# 增加接入设备AC3
登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
¡ 在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与内网AC3上配置RADIUS服务器时的密钥一致。
¡ 在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.12.1.7”,该IP地址为内网AC3上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。
¡ 其他配置采用页面默认配置即可。
¡ 单击<确定>按钮完成操作。
图1-10 增加接入设备AC3
(2) 增加接入策略
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面。
# 创建MAC认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条MAC认证的接入策略。
¡ 接入策略名为“mac”。
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
图1-11 增加MAC认证接入策略
# 创建802.1X认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条802.1X认证的接入策略。
¡ 接入策略名为“dot1x”。
¡ 首选EAP类型选择EAP-PEAP认证,子类型为EAP-MSCHAPv2认证。认证证书子类型需要与客户端的身份验证方法一致。
¡ 其它参数可采用缺省配置,并单击<确定>按钮完成操作。
图1-12 增加802.1X认证接入策略
# 创建Portal认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条Portal认证的接入策略。
¡ 接入策略名为“portal”。
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
图1-13 增加Portal认证接入策略
(3) 增加接入服务
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面。
# 创建MAC认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
¡ 服务名为“mac”。
¡ 缺省接入策略选择已创建的接入策略“mac”。
¡ 其他采用默认配置。
¡ 单击<确定>按钮完成配置。
图1-14 增加MAC认证接入服务
# 创建802.1X认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
¡ 服务名为“dot1x”。
¡ 缺省接入策略选择已创建的接入策略“dot1x”。
¡ 其他采用默认配置。
¡ 单击<确定>按钮完成配置。
图1-15 增加802.1X认证接入服务
# 创建Portal认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
¡ 服务名为“portal”。
¡ 缺省接入策略选择已创建的接入策略“portal”。
¡ 其他采用默认配置。
¡ 单击<确定>按钮完成配置。
图1-16 增加Portal认证接入服务
(4) 增加接入用户
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户管理页面。
# 增加MAC认证接入用户
在接入用户管理页面,单击<增加>按钮,增加一个接入用户。
¡ 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
¡ 配置帐号名为“h3cmac”,密码为“12345678”。
¡ 勾选绑定服务名“mac”。
¡ 单击<确定>按钮完成。
图1-17 增加MAC认证接入用户
# 增加802.1X认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
¡ 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
¡ 添加账号名为“dot1x”,密码为12345678;
¡ 勾选绑定服务名“dot1x”。
图1-18 增加802.1X认证接入用户
# 增加Portal认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
¡ 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
¡ 添加账号名为“portal”,密码为12345678;
¡ 勾选绑定服务名“portal”。
图1-19 增加Portal认证接入用户
(5) 配置IP地址组
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
¡ 填写IP地址组名。
¡ 输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址。
¡ 选择业务分组,本例中使用缺省的“未分组”;
¡ 选择IP地址组的类型为“普通”。
图1-20 增加IP地址组配置页面
(6) 增加Portal设备
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面。
# 增加Portal设备AC1
在Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。
¡ 填写设备名
¡ 指定IP地址为与接入用户相连的设备接口IP,即内网AC1的IP地址173.12.1.3
¡ 输入密钥“12345678”,与AC上的配置保持一致
图1-21 增加Portal设备AC1
# 增加Portal设备AC3
在Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。
¡ 填写设备名
¡ 指定IP地址为与接入用户相连的设备接口IP,即内网AC3的IP地址173.12.1.7
¡ 输入密钥“12345678”,与AC上的配置保持一致
图1-22 增加Portal设备AC3
(7) 配置关联IP地址组
在Portal设备配置页面中的设备信息列表中,分别点击portal-int和portal-int1设备的<端口组信息管理>按钮,进入端口组信息配置页面,完成以下配置:
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
¡ 填写端口组名。
¡ 认证方式选择“CHAP”。
¡ 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组。
¡ 其它参数可采用缺省配置。
图1-23 访问端口组信息配置页面
图1-24 Portal设备AC1地址组配置
图1-25 Portal设备AC3地址组配置
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(1) 配置L3 Switch 2的接口
# 创建VLAN 20和VLAN 40,并为其对应的VLAN接口配置IP地址。其中VLAN 20用于转发AC和虚拟AP间CAPWAP隧道内的流量,VLAN 40为外部访客的无线客户端的接入VLAN。
<L3 switch2> system-view
[L3 switch2] vlan 20
[L3 switch2-vlan20] quit
[L3 switch2]interface vlan-interface 20
[L3 switch2-Vlan-interface20] ip address 173.22.1.2 255.255.0.0
[L3 switch2-Vlan-interface20] quit
[L3 switch2] vlan 40
[L3 switch2-vlan40] quit
[L3 switch2]interface vlan-interface 40
[L3 switch2-Vlan-interface40] ip address 112.40.0.3 255.255.0.0
[L3 switch2-Vlan-interface40] quit
# 创建VLAN 50,用于连接iMC服务器,并为对应的VLAN接口配置IP地址。
[L3 switch2] vlan 50
[L3 switch2-vlan50] quit
[L3 switch2] interface vlan-interface 50
[L3 switch2-Vlan-interface50] ip address 173.18.5.99 255.255.255.0
[L3 switch2-Vlan-interface50] quit
# 将L3 Switch 2与iMC相连的接口加入VLAN 50(此处略)。
# 配置L3 Switch 2和AC 2相连的接口GigabitEthernet1/0/5为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20、VLAN 40通过。
[L3 switch2] interface gigabitethernet 1/0/5
[L3 switch2-GigabitEthernet1/0/5] port link-type trunk
[L3 switch2-GigabitEthernet1/0/5] undo port trunk permit vlan 1
[L3 switch2-GigabitEthernet1/0/5] port trunk permit vlan 20 40
[L3 switch2-GigabitEthernet1/0/5] quit
# 配置L3 Switch 2和L2 Switch 2相连的接口GigabitEthernet1/0/11为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过。
[L3 switch2] interface gigabitethernet 1/0/11
[L3 switch2-GigabitEthernet1/0/11] port link-type trunk
[L3 switch2-GigabitEthernet1/0/11] undo port trunk permit vlan 1
[L3 switch2-GigabitEthernet1/0/11] port trunk permit vlan 20
[L3 switch2-GigabitEthernet1/0/11] quit
# 配置L3 Switch 2与上行网络相连的接口以及缺省路由(此处略)。
(2) 配置DHCP server
#开启DHCP server功能。
[L3 switch2] dhcp enable
# 配置DHCP地址池20为虚拟AP分配地址范围173.22.0.0/16,网关地址为173.22.1.2。
[L3 switch2] dhcp server ip-pool 20
[L3 switch2-dhcp-pool-20] network 173.22.0.0 mask 255.255.0.0
[L3 switch2-dhcp-pool-20] gateway-list 173.22.1.2
# 配置DHCP 地址池40为Client分配地址范围112.40.0.0/16,网关地址为112.40.0.3,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址)。
[L3 switch2] dhcp server ip-pool 40
[L3 switch2-dhcp-pool-40] network 112.40.0.0 mask 255.255.0.0
[L3 switch2-dhcp-pool-40] gateway-list 112.40.0.3
[L3 switch2-dhcp-pool-40] dns-list 112.40.0.3
[L3 switch2-dhcp-pool-40] quit
# 创建VLAN 20,VLAN 20为虚拟AP接入的管理VLAN。
<L2 switch2> system-view
[L2 switch2] vlan 20
[L2 switch2-vlan20] quit
# 配置L2 Switch 2与L3 Switch 2相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过。
[L2 switch2] interface gigabitEthernet 1/0/1
[L2 switch2-GigabitEthernet1/0/1] port link-type trunk
[L2 switch2-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[L2 switch2-GigabitEthernet1/0/1] port trunk permit vlan 20
[L2 switch2-GigabitEthernet1/0/1] quit
# 配置L2 Switch 2与AP相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过,并开启PoE远程供电功能。
[L2 switch2] interface gigabitEthernet 1/0/2
[L2 switch2-GigabitEthernet1/0/2] port link-type trunk
[L2 switch2-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[L2 switch2-GigabitEthernet1/0/2] port trunk permit vlan 20
[L2 switch2-GigabitEthernet1/0/2] poe enable
[L2 switch2-GigabitEthernet1/0/2] quit
(3) 配置外网AC 2的接口
# 创建VLAN 20及其对应的VLAN接口,并为该接口配置IP地址。虚拟AP将获取该IP地址与外网AC 2建立CAPWAP隧道。
<AC2> system-view
[AC2] vlan 20
[AC2-vlan20] quit
[AC2] interface vlan-interface 20
[AC2-Vlan-interface20] ip address 173.22.1.3 255.255.0.0
[AC2-Vlan-interface20] quit
# 创建VLAN 40及其对应的VLAN接口,并为该接口配置IP地址。外部访客的无线客户端使用该业务VLAN接入无线网络。
[AC2] vlan 40
[AC2-vlan40] quit
[AC2] interface vlan-interface 40
[AC2-Vlan-interface40] ip address 112.40.0.2 255.255.0.0
[AC2-Vlan-interface40] quit
# 配置AC 2和L3 Switch 2相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20和VLAN 40通过。
[AC2] interface gigabitethernet 1/0/1
[AC2-GigabitEthernet1/0/1] port link-type trunk
[AC2-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC2-GigabitEthernet1/0/1] port trunk permit vlan 20 40
[AC2-GigabitEthernet1/0/1] quit
#请确保AC和iMC能互通,根据实际组网配置路由
[AC2]ip route-static 173.18.5.100 32 173.22.1.2
(4) 配置虚拟AP
# 创建手工虚拟AP,名称为virtual-ap1,型号为WA6322
[AC2] wlan virtual-ap virtual-ap1 model WA6322
# 设置虚拟AP的序列号为219801A23U8204P000C3,序列号为物理AP的序列号。
[AC2-wlan-virtual-ap-virtual-ap1] serial-id 219801A23U8204P000C3
[AC2-wlan-virtual-ap-virtual-ap1] quit
(5) 配置RADIUS方案
# 创建名为office的RADIUS方案,并进入其视图。
[AC2] radius scheme office
# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。
[AC2-radius-office] primary authentication 173.18.5.100
[AC2-radius-office] primary accounting 173.18.5.100
[AC2-radius-office] key authentication simple 12345678
[AC2-radius-office] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC2-radius-office] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为173.22.1.3。
[AC2-radius-office] nas-ip 173.22.1.3
[AC2-radius-office] quit
# 使能RADUIS session control功能。
[AC2] radius session-control enable
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[AC2] radius dynamic-author server
# 设置RADIUS DAE客户端的IP地址为173.18.5.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[AC2-radius-da-server] client ip 173.18.5.100 key simple 12345678
[AC2-radius-da-server] quit
(6) 配置认证域
# 创建名为office1的ISP域,并进入其视图。
[AC2] domain office1
# 为lan-access用户配置认证、授权、计费方案为RADIUS方案office。
[AC2-isp-office1] authentication lan-access radius-scheme office
[AC2-isp-office1] authorization lan-access radius-scheme office
[AC2-isp-office1] accounting lan-access radius-scheme office
# 指定ISP域office1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC2-isp-office1] authorization-attribute idle-cut 15 1024
[AC2-isp-office1] quit
# 创建名为office2的ISP域,并进入其视图。
[AC2] domain office2
# 为portal用户配置认证、授权、计费方案为RADIUS方案office。
[AC2-isp-office1] authentication portal radius-scheme office
[AC2-isp-office1] authorization portal radius-scheme office
[AC2-isp-office1] accounting portal radius-scheme office
# 指定ISP域office2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC2-isp-office2] authorization-attribute idle-cut 15 1024
[AC2-isp-office2] quit
(7) 配置MAC认证
# 配置MAC地址认证的用户名格式为固定用户名格式,用户名为h3cmac,密码为明文12345678。
[AC2] mac-authentication user-name-format fixed account h3cmac password simple 12345678
# 创建无线服务模板1,,SSID为out-mac。
[AC2] wlan service-template 1
[AC2-wlan-st-1] ssid out-mac
# 配置无线服务模板VLAN为VLAN40。
[AC2-wlan-st-1] vlan 40
# 配置用户认证方式为MAC地址认证,ISP域为office1。
[AC2-wlan-st-1] client-security authentication-mode mac
[AC2-wlan-st-1] mac-authentication domain office1
# 使能无线服务。
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
(8) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC2] dot1x authentication-method eap
# 创建无线服务模板2,SSID为out-1x。
[AC2] wlan service-template 2
[AC2-wlan-st-2] ssid out-1x
# 配置无线服务模板VLAN为40。
[AC2-wlan-st-2] vlan 40
# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN。
[AC2-wlan-st-2] akm mode dot1x
[AC2-wlan-st-2] cipher-suite ccmp
[AC2-wlan-st-2] security-ie rsn
# 配置用户认证方式为802.1X,ISP域为office1
[AC2-wlan-st-2] client-security authentication-mode dot1x
[AC2-wlan-st-2] dot1x domain office1
# 使能无线服务模板。
[AC2-wlan-st-2] service-template enable
[AC2-wlan-st-2] quit
(9) 配置Portal认证
# 配置Portal认证服务器,名称为newpt,IP地址为173.18.5.100,监听Portal报文的端口为50100。
[AC2] portal server newpt
[AC2-portal-server-newpt] ip 173.18.5.100 key simple 12345678
[AC2-portal-server-newpt] port 50100
[AC2-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://173.18.5.100:8080/portal。
[AC2] portal web-server wbportal
[AC2-portal-websvr-wbportal] url http://173.18.5.100:8080/portal
[AC2-portal-websvr-wbportal] quit
# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.5.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。
[AC2] portal free-rule 0 destination ip 173.18.5.100 24
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC2] portal free-rule 1 destination ip any udp 53
[AC2] portal free-rule 2 destination ip any tcp 53
# 关闭无线Portal客户端ARP表项固化功能。
[AC2] undo portal refresh arp enable
# 开启无线Portal客户端合法性检查功能。
[AC2] portal host-check enable
#创建服务模板3,SSID为out-portal。
[AC2] wlan service-template 3
[AC2-wlan-st-3] ssid out-portal
# 配置无线服务模板VLAN为VLAN 40。
[AC2-wlan-st-3] vlan 40
# 在无线服务模板3上使能直接方式的Portal认证。
[AC2-wlan-st-3] portal enable method direct
# 配置接入的Portal用户使用认证域为office2。
[AC2-wlan-st-3] portal domain office2
# 在无线服务模板3上引用Portal Web服务器wbportal。
[AC2-wlan-st-3] portal apply web-server wbportal
# 在无线服务模板3上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为173.22.1.3。
[AC2-wlan-st-3] portal bas-ip 173.22.1.3
# 使能无线服务模板3。
[AC2–wlan-st-3] service-template enable
[AC2-wlan-st-st1] quit
(10) 绑定服务模板
# 进入virtual-ap1的radio 1视图,并将无线服务模板1、2、3绑定到Radio 1上。
[AC2] wlan virtual-ap virtual-ap1
[AC2-wlan-virtual-ap-virtual-ap1] radio 1
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 1
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 2
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 3
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] quit
[AC2-wlan-virtual-ap-virtual-ap1] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303P10)、iMC UAM 7.1(E0303P10),说明RADIUS server和Portal server的基本配置。
(1) 增加接入设备
# 增加接入设备AC2
登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
¡ 在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与外网AC2上配置RADIUS服务器时的密钥一致。
¡ 在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.22.1.3”,该IP地址为外网AC2上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。
¡ 其他配置采用页面默认配置即可。
¡ 单击<确定>按钮完成操作。
图1-26 增加接入设备AC2
(2) 增加接入策略
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面。
# 创建MAC认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条MAC认证的接入策略。
¡ 接入策略名为“mac”。
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
图1-27 增加MAC认证接入策略
# 创建802.1X认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条802.1X认证的接入策略。
¡ 接入策略名为“dot1x”。
¡ 首选EAP类型选择EAP-PEAP认证,子类型为EAP-MSCHAPv2认证。认证证书子类型需要与客户端的身份验证方法一致。
¡ 其它参数可采用缺省配置,并单击<确定>按钮完成操作。
图1-28 增加802.1X认证接入策略
# 创建Portal认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条Portal认证的接入策略。
¡ 接入策略名为“portal”。
¡ 其它参数采用缺省值,并单击<确定>按钮完成操作。
图1-29 增加Portal认证接入策略
(3) 增加接入服务
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面。
# 创建MAC认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
¡ 服务名为“mac”。
¡ 缺省接入策略选择已创建的接入策略“mac”。
¡ 其他采用默认配置。
¡ 单击<确定>按钮完成配置。
图1-30 增加MAC认证接入服务
# 创建802.1X认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
¡ 服务名为“dot1x”。
¡ 缺省接入策略选择已创建的接入策略“dot1x”。
¡ 其他采用默认配置。
¡ 单击<确定>按钮完成配置。
图1-31 增加802.1X认证接入服务
# 创建Portal认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
¡ 服务名为“portal”。
¡ 缺省接入策略选择已创建的接入策略“portal”。
¡ 其他采用默认配置。
¡ 单击<确定>按钮完成配置。
图1-32 增加Portal认证接入服务
(4) 增加接入用户
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户管理页面。
# 增加MAC认证接入用户
在接入用户管理页面,单击<增加>按钮,增加一个接入用户。
¡ 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
¡ 配置帐号名为“h3cmac”,密码为“12345678”。
¡ 勾选绑定服务名“mac”。
¡ 单击<确定>按钮完成。
图1-33 增加MAC认证接入用户
# 增加802.1X认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
¡ 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
¡ 添加账号名为“dot1x”,密码为12345678;
¡ 勾选绑定服务名“dot1x”。
图1-34 增加802.1X认证接入用户
# 增加Portal认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
¡ 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
¡ 添加账号名为“portal”,密码为12345678;
¡ 勾选绑定服务名“portal”。
图1-35 增加Portal认证接入用户
(5) 配置IP地址组
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
¡ 填写IP地址组名。
¡ 输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址。
¡ 选择业务分组,本例中使用缺省的“未分组”;
¡ 选择IP地址组的类型为“普通”。
图1-36 增加IP地址组配置页面
(6) 增加Portal设备
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面。
# 增加Portal设备AC2
在Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。
¡ 填写设备名
¡ 指定IP地址为与接入用户相连的设备接口IP,即外网AC2的IP地址173.22.1.3
¡ 输入密钥“12345678”,与AC上的配置保持一致
图1-37 增加Portal设备AC2
(7) 配置关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击portal-out设备的<端口组信息管理>按钮,进入端口组信息配置页面,完成以下配置:
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
¡ 填写端口组名。
¡ 认证方式选择“CHAP”。
¡ 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组。
¡ 其它参数可采用缺省配置。
图1-38 访问端口组信息配置页面
图1-39 Portal设备AC2地址组配置
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
# 使用display wlan virtual-ap { all | name ap-name }命令可以在外网AC2上查看虚拟AP在线状态。
# 显示所有虚拟AP的信息。
<AC2> display wlan virtual-ap all
Total number of virtual-APs: 1
Total number of connected virtual-APs: 1
Total number of connected common virtual-APs: 1
Total number of connected virtual-WTUs: 0
Maximum supported APs: 3072
Remaining APs: 3071
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6322 219801A23U8204P000C3
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
