当前位置:   article > 正文

华为综合案例-普通WLAN全覆盖配置(1)

华为综合案例-普通WLAN全覆盖配置(1)

适用范围和业务需求

适用范围

本案例适用于大多数场景,如办公室、普通教室、会议室等普通非高密场景。

业务需求

主要业务需求如下:

接入需求

  • 随时、随地无线业务接入。
  • 无线覆盖需要做到覆盖均匀、无盲区。

无线漫游需求

  • 多层网络、快速切换、网络时延小、业务不中断。

可靠性需求

  • 当网络中的单台设备产生故障时,也需要保证网络可靠性。

安全性需求

  • 无线网络需要注意网络安全,防止非法设备的接入、报文攻击等问题,需要防止二层互通的问题。

认证计费需求

  • 在新建网络、用户集中、信息安全要求严格的场景,使用802.1X认证;在用户分散、用户流动性大的场景,使用MAC优先的Portal认证。

方案设计

组网图

某企业办公室无线覆盖方案组网如下图所示。

图1 某企业办公室WLAN网络组网图

网络设计分析
  • 设备选型

    本例以AC使用2台AC6805为例,具体场景的详细AP选型信息请参考WLAN场景建网标准

    该方案可以满足用户:

    • 无线接入的需求。
    • 信号覆盖均匀、无盲区。
  • 部署方案

    基于有线核心网,采用室内AP覆盖。AC旁挂式部署,部署在核心层。

  • 无线漫游

    对于实现漫游,只需将所有AP的SSID和安全策略都配成一致即可。

    对于认证方案,可采用MAC优先的Portal认证,从而达到漫游中简化认证的要求。如果采用802.1X认证,则可以开启802.11r漫游功能。

  • 可靠性

    链路级可靠性

    核心和汇聚之间通过部署跨框和跨板的Eth-trunk,确保在单板异常、单链路异常后,业务正常运行。

    设备级可靠性

    为了保证核心设备的可靠性,采用核心设备做集群,并配置多主检测。

    为了保证WLAN业务的可靠性,可在网络中部署2台AC设备,并配置AC的VRRP热备份。当两台设备在确定主用(Master)设备和备用(Backup)设备后,由主用设备进行业务的转发,而备用设备处于待命状态,同时主用设备实时向备用设备发送状态信息和需要备份的信息,当主用设备出现故障后,备用设备及时接替主用设备的业务运行,从而提高了网络的可靠性。

    无线配置同步

    VRRP热备份要求主、备AC上的WLAN相关业务必须配置一致,为减少备用AC的配置工作量,采用无线配置同步功能。

  • 安全性

    在交换机与AP直接相连的接口上配置端口隔离,可防止AP的二层报文的广播,解决不同AP间的WLAN用户二层互通的问题。

    在接入交换机上部署组播抑制功能,防止组播报文过多。

    在WLAN的流量模板内配置用户二层隔离解决隔离问题。

    实际部署时不建议使用VLAN 1作为业务VLAN,将各端口从VLAN1中退出。根据实际业务需求透传VLAN,禁止端口透传所有VLAN。

    设备连接终端或AP的端口建议都配置为边缘端口。

    将所有设备不使用的端口Shutdown。

    使能设备的STA地址严格DHCP获取功能、ARP动态检测功能和IPSG功能,可防止非法用户的IP报文任意通过AP访问外部网络,提高设备安全性。

    为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,有效防止DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等,建议配置DHCP Snooping功能。如果网络中同时存在有线用户和无线用户,交换机连接AP的接口不建议使能DHCP Snooping,可能会造成交换机用户绑定表超规格,所以针对有线用户,建议基于VLAN配置DHCP Snooping,针对无线用户,建议在无线侧VAP模板上配置。

    如果网络中规划有组播业务,则不需要配置组播抑制。

    交换机端口默认有广播抑制(10%),可以根据网络情况调整广播抑制值。

    交换机与AP互连端口不需要配置端口安全功能,以免影响无线用户漫游功能。

  • 认证计费需求

    认证方案采用MAC优先的Portal认证和802.1X认证。以企业场景为例,普通访客用MAC优先的Portal方式认证接入使用,进行企业主页面的推送。企业员工使用802.1X认证方式使用员工账号接入使用。

方案涉及网元的软件版本要求

本方案适用的产品和版本如下表所示。

产品名

产品版本

AC6805

V200R010C00

AP

V200R010C00

S12700

V200R010C00

S7700

V200R010C00

S5700

V200R010C00

配置思路和数据规划

配置思路

采用如下的思路进行配置:

  1. 为保证核心交换机的可靠性,核心交换机配置集群;为保证WLAN业务可靠性,AC配置VRRP备份。
  2. 分别配置MAC优先的Portal认证和802.1X认证。普通访客用MAC优先的Portal方式认证接入使用,进行企业主页面的推送。企业员工使用802.1X认证方式使用员工账号接入使用。
  3. 配置WLAN业务,满足无线网络在办公室场景下的无线接入需求。
  4. 配置无线配置同步,配置自动从主AC同步到备AC。
  5. 在Agile Controller-Campus业务管理器中添加AC,并配置参数,保证Controller能与AC正常联动。
  6. 增加授权结果和授权规则,对员工认证成功后授予访问控制权限。

数据规划

为完成配置任务,需规划表1 表2 的数据项。

表1 网络数据准备表

项目

编号

接口号

所属VLAN

IP地址

描述

接入交换机S5700_A

1

GE0/0/1

VLAN800

VLAN700

VLAN701

-

连接AP_1

2

GE0/0/2

VLAN800

VLAN700

VLAN701

-

连接AP_2

3

GE0/0/3

VLAN800

VLAN700

VLAN701

-

连接汇聚交换机S7700

汇聚交换机S7700

13

GE1/0/3

VLAN800

VLAN700

VLAN701

-

接入交换机S5700_A

17

GE1/0/17

VLAN800

VLAN700

VLAN701

-

连接S12700_A

18

GE2/0/18

VLAN800

VLAN700

VLAN701

-

连接S12700_B

S12700_A和S12700_B集群

19

GE1/1/0/19

VLAN800

VLAN700

VLAN701

-

连接汇聚交换机S7700

22

GE2/1/0/22

VLAN800

VLAN700

VLAN701

-

20

GE1/1/0/20

VLAN800

VLAN820

VLAN700

VLAN701

-

连接AC_1

23

GE2/1/0/23

VLAN800

VLAN820

VLAN700

VLAN701

-

连接AC_2

21

GE1/1/0/21

VLAN820

VLAN700

VLAN701

-

连接Router

24

GE2/1/0/18

VLAN820

VLAN700

VLAN701

-

连接Router

AC_1

25

GE0/0/24

VLAN800

VLAN820

VLAN700

VLAN701

VLANIF800:10.128.1.2/24

VLANIF820:172.16.1.2/24

连接S12700_A

26

GE0/0/23

VLAN810

VLANIF810:10.1.1.253/30

连接AC_2

AC_2

27

GE0/0/24

VLAN800

VLAN820

VLAN700

VLAN701

VLANIF800:10.128.1.3/24

VLANIF820:172.16.1.3/24

连接S12700_B

28

GE0/0/23

VLAN810

VLANIF810:10.1.1.254/30

连接AC_1

Router

29

-

-

-

连接S12700_A

30

-

-

-

连接S12700_B

表2 业务数据准备

项目

说明

AP管理VLAN

VLAN800

业务VLAN

VLAN700、VLAN701

HSB通道VLAN

VLAN810

和服务器通信的VLAN

VLAN820

VRRP备份组

  • 虚拟IP地址:VLANIF800 10.128.1.1
  • 管理VRRP备份组ID:1
  • 备份业务:DHCP、用户接入、AP
  • ACU2_1:
    • 优先级:120
    • 抢占时间:1200秒
    • HSB主备服务:本端IP地址为10.1.1.253,对端IP地址为10.1.1.254,本端及对端端口号均为10241。
    • 恢复延迟时间:60秒。
  • ACU2_2:
    • HSB主备服务:本端IP地址为10.1.1.254,对端IP地址为10.1.1.253,本端及对端端口号均为10241。
    • 恢复延迟时间:60秒。
  • 虚拟IP地址:VLANIF820 172.16.1.1
  • 成员VRRP备份组ID:2
  • VRRP备份组2和VRRP备份组1联动

DHCP服务器

  • AP的DHCP服务器:AC
  • STA的DHCP服务器:外置DHCP服务器(IP地址172.16.1.252)。S7700作为DHCP Relay(VLANIF700:10.129.1.2/20;VLANIF701:10.130.1.2/20)。

AP地址池

10.128.1.4~10.128.1.254/24

STA地址池

VLAN700:10.129.0.1~10.129.15.254/20

VLAN701:10.130.0.1~10.130.15.254/20

AAA参数

认证方案:

  • 名称:radius_huawei
  • 认证模式:RADIUS认证

计费方案:

  • 名称:radius_huawei
  • 计费模式:RADIUS模式
  • 实时计费功能:开启
  • 实时计费时间间隔:15分钟

RADIUS参数

RADIUS服务器模板名称:radius_huawei,其中:

  • 认证服务器IP地址:172.16.1.254
  • 认证端口号:1812
  • 计费服务器IP地址:172.16.1.254
  • 计费端口号:1813
  • 共享密钥:huawei@123

RADIUS授权服务器:

  • 授权服务器IP地址:172.16.1.254
  • RADIUS共享密钥:huawei@123

Portal服务器模板

  • 服务器名称:huawei
  • IP地址:172.16.1.254
  • URL地址:http://172.16.1.254:8080/portal
  • 端口号:50200
  • 共享密钥:huawei@123

URL模板

  • 模板名称:huawei
  • URL携带SSID参数:ssid
  • URL携带用户URL地址参数:url

Portal接入模板

  • 名称:wlan_net
  • 引用模板:Portal服务器模板huawei

802.1x接入模板

  • 名称:huawei

MAC接入模板

  • 名称:mac

免认证规则模板

  • 名称:default_free_rule
  • 免认证资源:DNS服务器的地址(172.16.1.253)

Portal认证模板

  • 名称:wlan_net_portal_auth
  • 引用模板和认证方案:Portal接入模板wlan_net、RADIUS服务器模板radius_huawei、RADIUS认证方案radius_huawei、RADIUS计费方案radius_huawei、免认证规则模板default_free_rule、MAC接入模板mac

802.1x认证模板

  • 名称:wlan_net_dot1x_auth
  • 引用模板和认证方案:802.1x接入模板huawei、RADIUS服务器模板radius_huawei、RADIUS认证方案radius_huawei、RADIUS计费方案radius_huawei

DNS服务器

IP地址:172.16.1.253

AP组

  • 名称:wlan_net
  • 国家码:CHINA
  • 安全策略:Open和802.1X认证
  • 引用模板:VAP模板wlan_net_portal_auth和wlan_net_dot1x_auth、2G射频模板2G、5G射频模板5G

SSID模板

  • 名称:wlan_net_portal_auth(普通访客)
  • SSID:wlan_net_portal_auth
  • 名称:wlan_net_dot1x_auth(企业员工)
  • SSID:wlan_net_dot1x_auth

安全模板

  • 名称:open
  • 安全策略:开放认证
  • 名称:dot1x
  • 安全策略:dot1x认证

流量模板

  • 名称:wlan_net
  • 用户隔离:二层隔离

VAP模板

wlan_net_portal_auth

  • 名称:wlan_net_portal_auth
  • 转发模式:直接转发
  • 业务VLAN:VLAN700
  • 频谱导航:开启(缺省)
  • IPSG功能:使能
  • 动态ARP检测功能:使能
  • STA地址学习功能:使能STA地址严格DHCP获取功能
  • 引用模板:SSID模板wlan_net_portal_auth、安全模板open、认证模板authen-pro_ wlan_net_portal_auth、流量模板wlan_net

VAP模板

wlan_net_dot1x_auth

  • 名称:wlan_net_dot1x_auth
  • 转发模式:直接转发
  • 业务VLAN:VLAN701
  • 频谱导航:开启(缺省)
  • IPSG功能:使能
  • 动态ARP检测功能:使能
  • STA地址学习功能:使能STA地址严格DHCP获取功能
  • 引用模板:SSID模板wlan_net_dot1x_auth、安全模板dot1x、认证模板authen-pro_ wlan_net_dot1x_auth、流量模板wlan_net

2G射频模板

  • 名称:2G
  • rts-cts:模式为rts-cts,门限值1400
  • 引用模板:RRM模板wlan_net

5G射频模板

  • 名称:5G
  • rts-cts:模式为rts-cts,门限值1400
  • 引用模板:RRM模板wlan_net

Agile Controller-Campus

  • 设备IP地址:172.16.1.254
  • 认证端口号:1812
  • 计费端口号:1813
  • RADIUS共享密钥:huawei@123
  • Portal服务器接收报文的端口:50200
  • Portal共享密钥:huawei@123

配置步骤

配置核心交换机集群,保证核心交换机的可靠性
  1. 配置两台S12700组建集群。

    1. 为S12700_A和S12700_B分别安装集群卡并连接集群线缆,两台S12700组建集群,集群详细组建指导请进入https://e.huawei.com搜索“交换机堆叠&SVF助手”。
    2. 查看集群状态,确认S12700集群建立成功。

配置接入交换机、汇聚交换机和AC的网络互通。

# 配置交换机S5700_A使AP与AC之间能互通。

  1. <HUAWEI> system-view
  2. [HUAWEI] sysname S5700_A
  3. [S5700_A] vlan batch 700 701 800
  4. [S5700_A] interface gigabitethernet 0/0/1
  5. [S5700_A-GigabitEthernet0/0/1] description Connect to AP_1
  6. [S5700_A-GigabitEthernet0/0/1] port link-type trunk
  7. [S5700_A-GigabitEthernet0/0/1] port trunk pvid vlan 800
  8. [S5700_A-GigabitEthernet0/0/1] port trunk allow-pass vlan 700 701 800
  9. [S5700_A-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1
  10. [S5700_A-GigabitEthernet0/0/1] port-isolate enable
  11. [S5700_A-GigabitEthernet0/0/1] stp edged-port enable
  12. [S5700_A-GigabitEthernet0/0/1] quit
  13. [S5700_A] interface gigabitethernet 0/0/2
  14. [S5700_A-GigabitEthernet0/0/2] description Connect to AP_2
  15. [S5700_A-GigabitEthernet0/0/2] port link-type trunk
  16. [S5700_A-GigabitEthernet0/0/2] port trunk pvid vlan 800
  17. [S5700_A-GigabitEthernet0/0/2] port trunk allow-pass vlan 700 701 800
  18. [S5700_A-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1
  19. [S5700_A-GigabitEthernet0/0/2] port-isolate enable
  20. [S5700_A-GigabitEthernet0/0/2] stp edged-port enable
  21. [S5700_A-GigabitEthernet0/0/2] quit
  22. [S5700_A] interface gigabitethernet 0/0/3
  23. [S5700_A-GigabitEthernet0/0/3] description Connect to S7700_1/0/3
  24. [S5700_A-GigabitEthernet0/0/3] port link-type trunk
  25. [S5700_A-GigabitEthernet0/0/3] port trunk allow-pass vlan 700 701 800
  26. [S5700_A-GigabitEthernet0/0/3] undo port trunk allow-pass vlan 1
  27. [S5700_A-GigabitEthernet0/0/3] quit

# (可选)配置网络中组播报文抑制功能。在接入交换机连接AP的接口上配置流策略,控制组播速率。

  1. [S5700_A] traffic classifier huawei
  2. [S5700_A-classifier-huawei] if-match destination-mac 0100-5e00-0000 mac-address-mask ffff-ff00-0000 //本例中,组播MAC地址和掩码仅作示例,实际配置请根据实际组播地址写作。
  3. [S5700_A-classifier-huawei] quit
  4. [S5700_A] traffic behavior huawei
  5. [S5700_A-behavior-huawei] statistic enable
  6. [S5700_A-behavior-huawei] car cir 100 //CIR参数需要根据实际情况进行调整,如接入交换机下接入的是中心AP的场景,则需要适当增大。
  7. [S5700_A-behavior-huawei] quit
  8. [S5700_A] traffic policy huawei
  9. [S5700_A-policy-huawei] classifier huawei behavior huawei
  10. [S5700_A-policy-huawei] quit
  11. [S5700_A] interface gigabitethernet 0/0/1
  12. [S5700_A-GigabitEthernet0/0/1] traffic-policy huawei outbound
  13. [S5700_A-GigabitEthernet0/0/1] traffic-policy huawei inbound
  14. [S5700_A] interface gigabitethernet 0/0/2
  15. [S5700_A-GigabitEthernet0/0/2] traffic-policy huawei outbound
  16. [S5700_A-GigabitEthernet0/0/2] traffic-policy huawei inbound

如果网络中规划有组播业务,则不需要配置组播抑制。

# 配置S7700的接口GE1/0/3连接S5700_A、S12700_A和S12700_B加入VLAN800和VLAN730。

  1. <HUAWEI> system-view
  2. [HUAWEI] sysname S7700
  3. [S7700] vlan batch 700 701 800
  4. [S7700] interface Eth-Trunk 1
  5. [S7700-Eth-Trunk1] description Connect to S12700_Eth-Trunk1
  6. [S7700-Eth-Trunk1] port link-type trunk
  7. [S7700-Eth-Trunk1] port trunk allow-pass vlan 700 701 800
  8. [S7700-Eth-Trunk1] undo port trunk allow-pass vlan 1
  9. [S7700-Eth-Trunk1] quit
  10. [S7700] interface gigabitethernet 1/0/3
  11. [S7700-GigabitEthernet1/0/3] description Connect to S5700_A_0/0/3
  12. [S7700-GigabitEthernet1/0/3] port link-type trunk
  13. [S7700-GigabitEthernet1/0/3] port trunk allow-pass vlan 700 701 800
  14. [S7700-GigabitEthernet1/0/3] undo port trunk allow-pass vlan 1
  15. [S7700-GigabitEthernet1/0/3] quit
  16. [S7700] interface gigabitethernet 1/0/17
  17. [S7700-GigabitEthernet1/0/17] eth-trunk 1
  18. [S7700-GigabitEthernet1/0/17] quit
  19. [S7700] interface gigabitethernet 2/0/18
  20. [S7700-GigabitEthernet2/0/18] eth-trunk 1
  21. [S7700-GigabitEthernet2/0/18] quit

# 配置S12700_A和S12700_B的接口连接S7700、AC_1和AC_2加入VLAN700、VLAN701和VLAN800。

  1. <HUAWEI> system-view
  2. [HUAWEI] sysname CSS
  3. [CSS] vlan batch 700 701 800
  4. [CSS] interface Eth-Trunk 1
  5. [CSS-Eth-Trunk1] description Connect to S7700_Eth-Trunk1
  6. [CSS-Eth-Trunk1] port link-type trunk
  7. [CSS-Eth-Trunk1] port trunk allow-pass vlan 700 701 800
  8. [CSS-Eth-Trunk1] undo port trunk allow-pass vlan 1
  9. [CSS-Eth-Trunk1] quit
  10. [CSS] interface gigabitethernet 1/1/0/19
  11. [CSS-GigabitEthernet1/1/0/19] eth-trunk 1
  12. [CSS-GigabitEthernet1/1/0/19] quit
  13. [CSS] interface gigabitethernet 1/1/0/20
  14. [CSS-GigabitEthernet1/1/0/20] description Connect to AC_1_0/0/24
  15. [CSS-GigabitEthernet1/1/0/20] port link-type trunk
  16. [CSS-GigabitEthernet1/1/0/20] port trunk allow-pass vlan 700 701 800
  17. [CSS-GigabitEthernet1/1/0/20] undo port trunk allow-pass vlan 1
  18. [CSS-GigabitEthernet1/1/0/20] quit
  19. [CSS] interface gigabitethernet 2/1/0/22
  20. [CSS-GigabitEthernet2/1/0/22] eth-trunk 1
  21. [CSS-GigabitEthernet2/1/0/22] quit
  22. [CSS] interface gigabitethernet 2/1/0/23
  23. [CSS-GigabitEthernet2/1/0/23] description Connect to AC_2_0/0/24
  24. [CSS-GigabitEthernet2/1/0/23] port link-type trunk
  25. [CSS-GigabitEthernet2/1/0/23] port trunk allow-pass vlan 700 701 800
  26. [CSS-GigabitEthernet2/1/0/23] undo port trunk allow-pass vlan 1
  27. [CSS-GigabitEthernet2/1/0/23] quit

# 配置AC_1、AC_2连接S12700_A和S12700_B的接口加入VLAN800、VLAN700和VLAN701。

  1. <AC6805> system-view
  2. [AC6805] sysname AC_1
  3. [AC_1] vlan batch 700 701 800
  4. [AC_1] interface gigabitethernet 0/0/24
  5. [AC_1-GigabitEthernet0/0/24] description Connect to S12700_A_1/1/0/20
  6. [AC_1-GigabitEthernet0/0/24] port link-type trunk
  7. [AC_1-GigabitEthernet0/0/24] port trunk allow-pass vlan 700 701 800
  8. [AC_1-GigabitEthernet0/0/24] undo port trunk allow-pass vlan 1
  9. [AC_1-GigabitEthernet0/0/24] quit
  10. <AC6805> system-view
  11. [AC6805] sysname AC_2
  12. [AC_2] vlan batch 700 701 800
  13. [AC_2] interface gigabitethernet 0/0/24
  14. [AC_2-GigabitEthernet0/0/24] description Connect to S12700_B_2/1/0/23
  15. [AC_2-GigabitEthernet0/0/24] port link-type trunk
  16. [AC_2-GigabitEthernet0/0/24] port trunk allow-pass vlan 700 701 800
  17. [AC_2-GigabitEthernet0/0/24] undo port trunk allow-pass vlan 1
  18. [AC_2-GigabitEthernet0/0/24] quit

配置DHCP服务,AC作为DHCP服务器为AP分配IP地址,外置DHCP服务器为STA分配IP地址。
  1. 配置AC_1AC_2作为DHCP服务器为AP分配IP地址
  2. [AC_1] dhcp enable
  3. [AC_1] interface vlanif 800
  4. [AC_1-Vlanif800] ip address 10.128.1.2 255.255.255.0
  5. [AC_1-Vlanif800] dhcp select interface
  6. [AC_1-Vlanif800] dhcp server excluded-ip-address 10.128.1.1 10.128.1.3
  7. [AC_1-Vlanif800] quit
  8. [AC_2] dhcp enable
  9. [AC_2] interface vlanif 800
  10. [AC_2-Vlanif800] ip address 10.128.1.3 255.255.255.0
  11. [AC_2-Vlanif800] dhcp select interface
  12. [AC_2-Vlanif800] dhcp server excluded-ip-address 10.128.1.1 10.128.1.3
  13. [AC_2-Vlanif800] quit
  14. 配置S7700作为DHCP中继
  15. [S7700] vlan batch 700 701 820
  16. [S7700] dhcp enable
  17. [S7700] interface vlanif 700
  18. [S7700-Vlanif700] ip address 10.129.1.2 255.255.240.0
  19. [S7700-Vlanif700] dhcp select relay
  20. [S7700-Vlanif700] dhcp relay server-ip 172.16.1.252 //外置DHCP服务器IP地址:172.16.1.252。
  21. [S7700-Vlanif700] quit
  22. [S7700] interface vlanif 701
  23. [S7700-Vlanif701] ip address 10.130.1.2 255.255.240.0
  24. [S7700-Vlanif701] dhcp select relay
  25. [S7700-Vlanif701] dhcp relay server-ip 172.16.1.252 //外置DHCP服务器IP地址:172.16.1.252。
  26. [S7700-Vlanif701] quit
  27. 配置S12700_AS12700_B与外置DHCP服务器的链路放通业务VLAN700VLAN701
  28. [CSS] interface gigabitethernet 1/1/0/21
  29. [CSS-GigabitEthernet1/1/0/21] description Connect to Router_0/0/29
  30. [CSS-GigabitEthernet1/1/0/21] port link-type trunk
  31. [CSS-GigabitEthernet1/1/0/21] port trunk allow-pass vlan 700 701
  32. [CSS-GigabitEthernet1/1/0/21] undo port trunk allow-pass vlan 1
  33. [CSS-GigabitEthernet1/1/0/21] quit
  34. [CSS] interface gigabitethernet 2/1/0/18
  35. [CSS-GigabitEthernet2/1/0/18] description Connect to Router_0/0/30
  36. [CSS-GigabitEthernet2/1/0/18] port link-type trunk
  37. [CSS-GigabitEthernet2/1/0/18] port trunk allow-pass vlan 700 701
  38. [CSS-GigabitEthernet2/1/0/18] undo port trunk allow-pass vlan 1
  39. [CSS-GigabitEthernet2/1/0/18] quit

配置VRRP+HSB方式的备份。
  1. 配置AC_1AC_2HSB互通
  2. # 配置AC_1连接AC_2的接口GE0/0/23加入HSB VLAN810
  3. [AC_1] vlan batch 810
  4. [AC_1] interface gigabitethernet 0/0/23
  5. [AC_1-GigabitEthernet0/0/23] description Connect to AC_2_0/0/23
  6. [AC_1-GigabitEthernet0/0/23] port link-type trunk
  7. [AC_1-GigabitEthernet0/0/23] port trunk allow-pass vlan 810
  8. [AC_1-GigabitEthernet0/0/23] undo port trunk allow-pass vlan 1
  9. [AC_1-GigabitEthernet0/0/23] quit
  10. [AC_1] interface vlanif 810
  11. [AC_1-Vlanif810] ip address 10.1.1.253 30
  12. [AC_1-Vlanif810] quit
  13. # 配置AC_2连接AC_1的接口GE0/0/23加入HSB VLAN810
  14. [AC_2] vlan batch 810
  15. [AC_2] interface gigabitethernet 0/0/23
  16. [AC_2-GigabitEthernet0/0/23] description Connect to AC_1_0/0/23
  17. [AC_2-GigabitEthernet0/0/23] port link-type trunk
  18. [AC_2-GigabitEthernet0/0/23] port trunk allow-pass vlan 810
  19. [AC_2-GigabitEthernet0/0/23] undo port trunk allow-pass vlan 1
  20. [AC_2-GigabitEthernet0/0/23] quit
  21. [AC_2] interface vlanif 810
  22. [AC_2-Vlanif810] ip address 10.1.1.254 30
  23. [AC_2-Vlanif810] quit
  24. 配置AC_1VRRP方式的双机热备份
  25. # 配置备份组的状态恢复延迟时间为60秒。
  26. [AC_1] vrrp recover-delay 60
  27. # 在AC_1上创建管理VRRP备份组,配置AC_1在该备份组中的优先级为120,并配置抢占时间为1200秒。
  28. [AC_1] interface vlanif 800
  29. [AC_1-Vlanif800] vrrp vrid 1 virtual-ip 10.128.1.1
  30. [AC_1-Vlanif800] vrrp vrid 1 priority 120
  31. [AC_1-Vlanif800] vrrp vrid 1 preempt-mode timer delay 1200
  32. [AC_1-Vlanif800] admin-vrrp vrid 1 //设置VRRP备份组1为管理VRRP。
  33. [AC_1-Vlanif800] quit
  34. # 在AC_1上创建HSB主备服务0,并配置其主备通道IP地址和端口号。
  35. [AC_1] hsb-service 0
  36. [AC_1-hsb-service-0] service-ip-port local-ip 10.1.1.253 peer-ip 10.1.1.254 local-data-port 10241 peer-data-port 10241
  37. [AC_1-hsb-service-0] quit
  38. # 在AC_1上创建HSB备份组0,并配置其绑定HSB主备服务0和管理VRRP备份组。
  39. [AC_1] hsb-group 0
  40. [AC_1-hsb-group-0] bind-service 0
  41. [AC_1-hsb-group-0] track vrrp vrid 1 interface vlanif 800
  42. [AC_1-hsb-group-0] quit
  43. # 配置业务绑定HSB备份组。
  44. [AC_1] hsb-service-type access-user hsb-group 0 //配置NAC业务绑定HSB备份组。
  45. [AC_1] hsb-service-type ap hsb-group 0 //配置WLAN业务备份使用的HSB类型为HSB组。
  46. [AC_1] hsb-service-type dhcp hsb-group 0 //配置DHCP服务器绑定在双机热备DHCP服务器组。
  47. [AC_1] hsb-group 0
  48. [AC_1-hsb-group-0] hsb enable
  49. [AC_1-hsb-group-0] quit
  50. AC_2上配置VRRP方式的双机热备份
  51. # 配置备份组的状态恢复延迟时间为60秒。
  52. [AC_2] vrrp recover-delay 60
  53. # 在AC_2上创建管理VRRP备份组。
  54. [AC_2] interface vlanif 800
  55. [AC_2-Vlanif800] vrrp vrid 1 virtual-ip 10.128.1.1
  56. [AC_2-Vlanif800] admin-vrrp vrid 1 //设置VRRP备份组1为管理VRRP。
  57. [AC_2-Vlanif800] quit
  58. # 在AC_2上创建HSB主备服务0,并配置其主备通道IP地址和端口号。
  59. [AC_2] hsb-service 0
  60. [AC_2-hsb-service-0] service-ip-port local-ip 10.1.1.254 peer-ip 10.1.1.253 local-data-port 10241 peer-data-port 10241
  61. [AC_2-hsb-service-0] quit
  62. # 在AC_2上创建HSB备份组0,并配置其绑定HSB主备服务0和管理VRRP备份组。
  63. [AC_2] hsb-group 0
  64. [AC_2-hsb-group-0] bind-service 0
  65. [AC_2-hsb-group-0] track vrrp vrid 1 interface vlanif 800
  66. [AC_2-hsb-group-0] quit
  67. # 配置AC_2业务绑定HSB备份组。
  68. [AC_2] hsb-service-type access-user hsb-group 0 //配置NAC业务绑定HSB备份组。
  69. [AC_2] hsb-service-type ap hsb-group 0 //配置WLAN业务备份使用的HSB类型为HSB组。
  70. [AC_2] hsb-service-type dhcp hsb-group 0 //配置DHCP服务器绑定在双机热备DHCP服务器组。

在AC上配置RADIUS服务器认证、计费和授权模板,以便AC能够与RADIUS服务器联动。
  1. 配置AC_1和AC_2与RADIUS服务器通信

    1. # 配置AC_1连接S12700_A的接口GE0/0/24加入VLAN820
    2. [AC_1] vlan batch 820
    3. [AC_1] interface gigabitethernet 0/0/24
    4. [AC_1-GigabitEthernet0/0/24] port trunk allow-pass vlan 820
    5. [AC_1-GigabitEthernet0/0/24] quit
    6. [AC_1] interface vlanif 820
    7. [AC_1-Vlanif820] ip address 172.16.1.2 24
    8. [AC_1-Vlanif820] quit
    9. # 配置AC_2连接S12700_B的接口GE0/0/24加入VLAN820
    10. [AC_2] vlan batch 820
    11. [AC_2] interface gigabitethernet 0/0/24
    12. [AC_2-GigabitEthernet0/0/24] port trunk allow-pass vlan 820
    13. [AC_2-GigabitEthernet0/0/24] quit
    14. [AC_2] interface vlanif 820
    15. [AC_2-Vlanif820] ip address 172.16.1.3 24
    16. [AC_2-Vlanif820] quit
    17. # 在AC_1上创建成员VRRP备份组,并将VRRP备份组2和管理VRRP备份组1进行绑定。
    18. [AC_1] interface vlanif 820
    19. [AC_1-Vlanif820] vrrp vrid 2 virtual-ip 172.16.1.1
    20. [AC_1-Vlanif820] vrrp vrid 2 track admin-vrrp interface Vlanif 800 vrid 1 unflowdown
    21. [AC_1-Vlanif820] quit
    22. # 在AC_2上创建成员VRRP备份组,并将VRRP备份组2和管理VRRP备份组1进行绑定。
    23. [AC_2] interface vlanif 820
    24. [AC_2-Vlanif820] vrrp vrid 2 virtual-ip 172.16.1.1
    25. [AC_2-Vlanif820] vrrp vrid 2 track admin-vrrp interface Vlanif 800 vrid 1 unflowdown
    26. [AC_2-Vlanif820] quit

  2. 配置S12700_A和S12700_B、RADIUS服务器与AC_1、AC_2设备互通

    1. [CSS] vlan batch 820
    2. [CSS] interface gigabitethernet 1/1/0/20
    3. [CSS-GigabitEthernet1/1/0/20] port trunk allow-pass vlan 820
    4. [CSS-GigabitEthernet1/1/0/20] quit
    5. [CSS] interface gigabitethernet 1/1/0/21
    6. [CSS-GigabitEthernet1/1/0/21] port trunk allow-pass vlan 820
    7. [CSS-GigabitEthernet1/1/0/21] quit
    8. [CSS] interface gigabitethernet 2/1/0/23
    9. [CSS-GigabitEthernet2/1/0/23] port trunk allow-pass vlan 820
    10. [CSS-GigabitEthernet2/1/0/23] quit
    11. [CSS] interface gigabitethernet 2/1/0/18
    12. [CSS-GigabitEthernet2/1/0/18] port trunk allow-pass vlan 820
    13. [CSS-GigabitEthernet2/1/0/18] quit

  3. 创建并配置RADIUS服务器模板、AAA方案

    # 创建并配置服务器模板“radius_huawei”。
    1. [AC_1] radius-server template radius_huawei
    2. [AC_1-radius-radius_huawei] radius-server authentication 172.16.1.254 1812 weight 80 //配置认证服务器。
    3. [AC_1-radius-radius_huawei] radius-server accounting 172.16.1.254 1813 weight 80 //配置计费服务器。
    4. [AC_1-radius-radius_huawei] radius-server shared-key cipher huawei@123
    5. [AC_1-radius-radius_huawei] radius-server timeout 1
    6. [AC_1-radius-radius_huawei] quit
    7. [AC_1] radius-server source ip-address 172.16.1.1

    对于规模较大或者较繁忙的网络尽可能的配置最低的RADIUS重传超时,因为过长的超时时间会占用系统资源,更小的超时时间可以更好地提高AC的处理能力。

    当前无线用户默认重传超时时间是5秒,当RADIUS服务器模板下配置了8个以上认证服务器的IP地址或者使用802.1X认证时,推荐将超时时间配置为1秒,以提升网络处理效率。

    # 创建RADIUS授权服务器

    [AC_1] radius-server authorization 172.16.1.254 shared-key cipher huawei@123  //V200R021C00及之后的版本,必须同时执行radius-server authorization server-source命令,配置可以接收和响应的RADIUS授权服务器请求报文的IPv4地址,RADIUS授权服务器功能才能生效
    # 创建AAA认证方案“radius_huawei”并配置认证方式为RADIUS。
    1. [AC_1] aaa
    2. [AC_1-aaa] authentication-scheme radius_huawei
    3. [AC_1-aaa-authen-radius_huawei] authentication-mode radius //配置认证模式为RADIUS认证。
    4. [AC_1-aaa-authen-radius_huawei] quit
    5. [AC_1-aaa] accounting-scheme radius_huawei
    6. [AC_1-aaa-accounting-radius_huawei] accounting-mode radius //配置计费模式为RADIUS模式。
    7. [AC_1-aaa-accounting-radius_huawei] accounting realtime 15 //开启实时计费功能,并设置实时计费时间间隔为15分钟。
    8. [AC_1-aaa-accounting-radius_huawei] quit
    9. [AC_1-aaa] quit
    实时计费间隔的取值对设备和服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能要求就越高。请根据用户数设置计费间隔,如下表所示。
    表1 实时计费间隔和用户量之间的推荐比例关系

    用户数

    实时计费间隔(分钟)

    1~99

    3

    100~499

    6

    500~999

    12

    ≥1000

    ≥15

  4. 在AC_2全局下配置设备与RADIUS服务器通信的源IP地址。AC_2上的其他RADIUS相关配置通过后续步骤的无线配置同步功能同步。

    [AC_2] radius-server source ip-address 172.16.1.1 

在AC上配置MAC优先的Portal认证
  1. 配置URL模板,配置指向Portal服务器的重定向URL,并指定URL中携带的参数为用户关联SSID和接入用户访问的原始URL地址
  2. [AC_1] url-template name huawei
  3. [AC_1-url-template-huawei] url http://172.16.1.254:8080/portal
  4. [AC_1-url-template-huawei] url-parameter ssid ssid redirect-url url
  5. [AC_1-url-template-huawei] quit
  6. 配置Portal服务器模板
  7. [AC_1] web-auth-server huawei //V200R021C00以及之后的版本,必须使用web-auth-server server-source或server-source命令配置设备可以接收和响应Portal服务器报文的本机网关地址,才能正常使用Portal对接功能
  8. [AC_1-web-auth-server-huawei] server-ip 172.16.1.254 //配置Portal服务器地址。
  9. [AC_1-web-auth-server-huawei] shared-key cipher huawei@123 //配置共享密钥。
  10. [AC_1-web-auth-server-huawei] port 50200 //配置Portal服务器端口号。
  11. [AC_1-web-auth-server-huawei] url-template huawei
  12. [AC_1-web-auth-server-huawei] quit
  13. [AC_1] web-auth-server source-ip 172.16.1.1
  14. 配置Portal接入模板“wlan_net”
  15. [AC_1] portal-access-profile name wlan_net
  16. [AC_1-portal-access-profile-wlan_net] web-auth-server huawei direct
  17. [AC_1-portal-access-profile-wlan_net] quit
  18. 配置MAC接入模板“mac”
  19. [AC_1] mac-access-profile name mac
  20. [AC_1-mac-access-profile-mac] quit
  21. 配置免认证规则模板
  22. [AC_1] free-rule-template name default_free_rule
  23. [AC_1-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.253 mask 32 //DNS服务器IP地址:172.16.1.253
  24. [AC_1-free-rule-default_free_rule] quit
  25. 配置Portal认证模板“wlan_net_portal_auth”
  26. [AC_1] authentication-profile name wlan_net_portal_auth
  27. [AC_1-authentication-profile-wlan_net_portal_auth] mac-access-profile mac
  28. [AC_1-authentication-profile-wlan_net_portal_auth] portal-access-profile wlan_net
  29. [AC_1-authentication-profile-wlan_net_portal_auth] free-rule-template default_free_rule
  30. [AC_1-authentication-profile-wlan_net_portal_auth] authentication-scheme radius_huawei
  31. [AC_1-authentication-profile-wlan_net_portal_auth] accounting-scheme radius_huawei
  32. [AC_1-authentication-profile-wlan_net_portal_auth] radius-server radius_huawei
  33. [AC_1-authentication-profile-wlan_net_portal_auth] quit
  34. AC_2全局下配置设备与Portal服务器通信的源IP地址。AC_2上的其他Portal相关配置通过后续步骤的无线配置同步功能同步。
  35. [AC_2] radius-server source ip-address 172.16.1.1

在AC上配置802.1X认证
  1. 配置802.1x接入模板 “huawei”
  2. [AC_1] dot1x-access-profile name huawei
  3. [AC_1-dot1x-access-profile-huawei] quit
  4. 配置802.1x认证模板 “wlan_net_dot1x_auth”
  5. [AC_1] authentication-profile name wlan_net_dot1x_auth
  6. [AC_1-authentication-profile-wlan_net_dot1x_auth] dot1x-access-profile huawei
  7. [AC_1-authentication-profile-wlan_net_dot1x_auth] authentication-scheme radius_huawei
  8. [AC_1-authentication-profile-wlan_net_dot1x_auth] accounting-scheme radius_huawei
  9. [AC_1-authentication-profile-wlan_net_dot1x_auth] radius-server radius_huawei
  10. [AC_1-authentication-profile-wlan_net_dot1x_auth] quit
  11. AC_2上的802.1X认证模板相关配置通过后续步骤的无线配置同步功能同步。

在AC上配置WLAN业务,满足无线网络在办公室场景下的无线接入需求
  1. 配置LLDP功能
  2. # 在AC上配置LLDP功能。
  3. 为了清楚了解设备之间的二层链接状态信息并进行网络拓扑分析,需要使能LLDP功能。当需要在AC上知道AP与接入交换机之间的二层的链接状态信息并进行网络拓扑分析时,需要使能WLANLLDP功能。WLANLLDP功能有两个开关,一个是全局开关,另一个是AP有线口链路模板视图下的开关。只有两个开关都处于使能状态下,AP才会发送或接收LLDP报文。两个开关默认都处于使能状态。
  4. [AC_1] lldp enable
  5. [AC_1] wlan
  6. [AC_1-wlan-view] ap lldp enable
  7. [AC_1-wlan-view] port-link-profile name default
  8. [AC_1-wlan-port-link-prof-default] lldp enable
  9. [AC_1-wlan-port-link-prof-default] quit
  10. [AC_1-wlan-view] quit
  11. # 在接入交换机上配置LLDP功能。
  12. 打开LLDP功能,使设备具有通过LLDP功能解析PD设备的能力;若不打开LLDP功能,设备仅通过解析与PD间的电流和电阻,实现对PD的检测和分类。相比电流和电阻解析,LLDP功能提供更全面、更准确的解析能力。打开全局的LLDP功能后,缺省情况下所有接口的LLDP功能都处于打开状态。
  13. [S5700_A] lldp enable
  14. AC_1上创建VLAN,并配置DHCP Snooping功能。
  15. [AC_1] dhcp snooping enable
  16. [AC_1] vlan 700
  17. [AC_1-vlan700] description wlan_net
  18. [AC_1-vlan700] dhcp snooping enable
  19. [AC_1-vlan700] quit
  20. [AC_1] vlan 701
  21. [AC_1-vlan701] description wlan_net
  22. [AC_1-vlan701] dhcp snooping enable
  23. [AC_1-vlan701] quit
  24. [AC_1] vlan 800
  25. [AC_1-vlan800] description AP-management-vlan
  26. [AC_1-vlan800] quit
  27. 配置AC_1WLAN业务。
  28. # 配置CAPWAP源地址。
  29. [AC_1] capwap source ip-address 10.128.1.1
  30. # 创建AC_1AP group,用于将相同配置的AP都加入同一AP组中。此处以AP_1为例,其他AP添加方法类似,不再赘述。
  31. [AC_1] wlan
  32. [AC_1-wlan-view] ap-group name wlan_net
  33. [AC_1-wlan-ap-group-wlan_net] quit
  34. [AC_1-wlan-view] ap auth-mode mac-auth
  35. [AC_1-wlan-view] ap-id 1 ap-mac 60de-4476-e360
  36. [AC_1-wlan-ap-1] ap-group wlan_net
  37. Warning: This operation maybe cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]y
  38. [AC_1-wlan-ap-1] ap-name AP_1
  39. Warning: This operation may cause AP reset. Continue? [Y/N]:y
  40. [AC_1-wlan-ap-1] quit
  41. [AC_1-wlan-view] quit
  42. # 其他AP根据规划进行AP组配置。
  43. # 创建安全模板,并配置安全策略。安全策略为open方式的开放认证。
  44. [AC_1] wlan
  45. [AC_1-wlan-view] security-profile name open
  46. [AC_1-wlan-sec-prof-open] security open
  47. [AC_1-wlan-sec-prof-open] quit
  48. # 创建安全模板“dot1x”,并配置安全策略。
  49. [AC_1-wlan-view] security-profile name dot1x
  50. [AC_1-wlan-sec-prof-dot1x] security wpa2 dot1x aes
  51. [AC_1-wlan-sec-prof-dot1x] quit
  52. # 创建SSID模板,分别为访客和企业员工各创建一个SSID模板。在802.1X认证的SSID模板下打开802.11r功能。
  53. [AC_1-wlan-view] ssid-profile name wlan_net_portal_auth
  54. [AC_1-wlan-ssid-prof-wlan_net_portal_auth] ssid wlan_net_portal_auth
  55. [AC_1-wlan-ssid-prof-wlan_net_portal_auth] quit
  56. [AC_1-wlan-view] ssid-profile name wlan_net_dot1x_auth
  57. [AC_1-wlan-ssid-prof-wlan_net_dot1x_auth] ssid wlan_net_dot1x_auth
  58. [AC_1-wlan-ssid-prof-wlan_net_dot1x_auth] dot11r enable
  59. [AC_1-wlan-ssid-prof-wlan_net_dot1x_auth] quit
  60. # 配置名称为“wlan_net”的流量模板中二层用户隔离。
  61. [AC_1-wlan-view] traffic-profile name wlan_net
  62. [AC_1-wlan-traffic-prof-wlan_net] user-isolate l2
  63. [AC_1-wlan-traffic-prof-wlan_net] quit
  64. # 创建普通访客的VAP模板,配置业务数据转发模式、业务VLAN700,并且引用安全模板、SSID模板、认证模板,使能STA地址严格DHCP获取功能、IPSG功能、动态ARP检测功能。
  65. [AC_1-wlan-view] vap-profile name wlan_net_portal_auth
  66. [AC_1-wlan-vap-prof-wlan_net_portal_auth] service-vlan vlan-id 700
  67. [AC_1-wlan-vap-prof-wlan_net_portal_auth] security-profile open
  68. [AC_1-wlan-vap-prof-wlan_net_portal_auth] traffic-profile wlan_net
  69. [AC_1-wlan-vap-prof-wlan_net_portal_auth] ssid-profile wlan_net_portal_auth
  70. [AC_1-wlan-vap-prof-wlan_net_portal_auth] authentication-profile wlan_net_portal_auth
  71. [AC_1-wlan-vap-prof-wlan_net_portal_auth] ip source check user-bind enable
  72. [AC_1-wlan-vap-prof-wlan_net_portal_auth] arp anti-attack check user-bind enable
  73. [AC_1-wlan-vap-prof-wlan_net_portal_auth] learn-client-address dhcp-strict
  74. [AC_1-wlan-vap-prof-wlan_net_portal_auth] quit
  75. ip source check user-bind enable命令的前置条件为:
  76. 由于该功能是基于绑定表进行匹配检查的,因此
  77. 对于DHCP用户,需要使能DHCP Snooping自动生成动态绑定表。
  78. 对于静态配置IP的用户,需要手工配置静态绑定表。
  79. learn-client-address dhcp-strict命令的前置条件为:
  80. VAP模板视图下执行命令undo dhcp trust port去使能APDHCP信任功能。
  81. 执行命令undo learn-client-address { ipv4 | ipv6 } disable使能STA地址学习功能。
  82. # 创建企业员工的VAP模板,配置业务数据转发模式、业务VLAN701,并且引用安全模板、SSID模板、认证模板,使能STA地址严格DHCP获取功能、IPSG功能、动态ARP检测功能。
  83. [AC_1-wlan-view] vap-profile name wlan_net_dot1x_auth
  84. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] service-vlan vlan-id 701
  85. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] security-profile dot1x
  86. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] traffic-profile wlan_net
  87. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] ssid-profile wlan_net_dot1x_auth
  88. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] authentication-profile wlan_net_dot1x_auth
  89. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] ip source check user-bind enable
  90. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] arp anti-attack check user-bind enable
  91. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] learn-client-address dhcp-strict
  92. [AC_1-wlan-vap-prof-wlan_net_dot1x_auth] quit
  93. # 创建AC_1的射频模板。缺省情况下,RTS-CTS的工作模式为rts-cts,门限值为1400Byte。
  94. [AC_1-wlan-view] radio-2g-profile name 2G
  95. [AC_1-wlan-radio-2g-prof-2G] rts-cts-mode rts-cts //指定射频模板中RTS-CTS的工作模式。
  96. [AC_1-wlan-radio-2g-prof-2G] rts-cts-threshold 1400 //指定射频模板中的RTS-CTS门限。
  97. [AC_1-wlan-radio-2g-prof-2G] quit
  98. [AC_1-wlan-view] radio-5g-profile name 5G
  99. [AC_1-wlan-radio-5g-prof-5G] rts-cts-mode rts-cts
  100. [AC_1-wlan-radio-5g-prof-5G] rts-cts-threshold 1400
  101. [AC_1-wlan-radio-5g-prof-5G] quit
  102. # 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板的配置。
  103. [AC_1-wlan-view] ap-group name wlan_net
  104. [AC_1-wlan-ap-group-wlan_net] vap-profile wlan_net_portal_auth wlan 1 radio all
  105. [AC_1-wlan-ap-group-wlan_net] vap-profile wlan_net_dot1x_auth wlan 2 radio all
  106. [AC_1-wlan-ap-group-wlan_net] radio 0
  107. [AC_1-wlan-group-radio-wlan_net/0] radio-2g-profile 2G
  108. Warning: This action may cause service interruption. Continue?[Y/N]y
  109. [AC_1-wlan-group-radio-wlan_net/0] quit
  110. [AC_1-wlan-ap-group-wlan_net] radio 1
  111. [AC_1-wlan-group-radio-wlan_net/1] radio-5g-profile 5G
  112. Warning: This action may cause service interruption. Continue?[Y/N]y
  113. [AC_1-wlan-group-radio-wlan_net/1] quit
  114. [AC_1-wlan-ap-group-wlan_net] quit
  115. [AC_1-wlan-view] quit
  116. 配置AC_2的私有配置
  117. # 在AC_2上配置LLDP功能。
  118. [AC_2] lldp enable
  119. [AC_2] wlan
  120. [AC_2-wlan-view] ap lldp enable
  121. [AC_2-wlan-view] quit
  122. # 在AC_2上创建VLAN,并配置DHCP Snooping功能。
  123. [AC_2] dhcp snooping enable
  124. [AC_2] vlan 700
  125. [AC_2-vlan700] description wlan_net
  126. [AC_2-vlan700] dhcp snooping enable
  127. [AC_2-vlan700] quit
  128. [AC_2] vlan 701
  129. [AC_2-vlan701] description wlan_net
  130. [AC_2-vlan701] dhcp snooping enable
  131. [AC_2-vlan701] quit
  132. [AC_2] vlan 800
  133. [AC_2-vlan800] description AP-management-vlan
  134. [AC_2-vlan800] quit
  135. # 配置CAPWAP源地址。
  136. [AC_2] capwap source ip-address 10.128.1.1
  137. 使能AC_2的双机热备功能
  138. [AC_2] hsb-group 0
  139. [AC_2-hsb-group-0] hsb enable
  140. [AC_2-hsb-group-0] quit

配置无线配置同步。
  1. 配置AC_1上的无线配置同步功能
  2. [AC_1] wlan
  3. [AC_1-wlan-view] master controller
  4. [AC_1-master-controller] master-redundancy peer-ip ip-address 10.1.1.254 local-ip ip-address 10.1.1.253 psk H@123456
  5. [AC_1-master-controller] master-redundancy track-vrrp vrid 1 interface vlanif 800
  6. [AC_1-master-controller] quit
  7. [AC_1-wlan-view] quit
  8. 配置AC_2上的无线配置同步功能
  9. [AC_2] wlan
  10. [AC_2-wlan-view] master controller
  11. [AC_2-master-controller] master-redundancy peer-ip ip-address 10.1.1.253 local-ip ip-address 10.1.1.254 psk H@123456
  12. [AC_2-master-controller] master-redundancy track-vrrp vrid 1 interface vlanif 800
  13. [AC_2-master-controller] quit
  14. [AC_2-wlan-view] quit
  15. 执行命令display sync-configuration status查看无线配置同步状态信息,状态为“cfg-mismatch”。需要在Master AC上手动触发无线配置同步到Backup Master AC上。等待Backup Master AC自动重启完成。
  16. [AC_1] display sync-configuration status
  17. Controller role:Master/Backup/Local
  18. ----------------------------------------------------------------------------------------------------
  19. Controller IP Role Device Type Version Status Last synced
  20. ----------------------------------------------------------------------------------------------------
  21. 10.1.1.254 Backup AC6805 V200R010C00 cfg-mismatch(config check fail) -
  22. ----------------------------------------------------------------------------------------------------
  23. Total: 1
  24. [AC_1] synchronize-configuration
  25. Warning: This operation may reset the remote AC, synchronize configurations to it, and save all its configurations. Whether to conti
  26. nue? [Y/N]:y

在Agile Controller-Campus业务管理器中添加AC,并配置参数,保证Controller能与AC正常联动。

选择“资源 > 设备 > 设备管理”,单击“增加”。

参数

说明

IP地址

VLANIF820虚拟IP地址:172.16.1.1

RADIUS认证密钥&RADIUS计费密钥

与RADIUS模板radius-server shared-key cipher huawei@123所指定的密钥一致

实时计费周期

与计费模板accounting realtime 15所指定的周期一致

Portal密钥

与Portal服务器模板shared-key cipher huawei@123所指定的密钥一致

接入终端IP地址列表

与STA地址池一致

增加授权结果和授权规则,对认证成功的用户授予访问控制权限。
  1. 无线用户接入使用缺省认证授权规则,缺省授权规则允许认证后访问所有资源。

    如需修改认证授权规则,选择“策略 > 准入控制 > 认证授权”。

  2. (可选)选择“策略 > 准入控制 > 页面定制 > 页面定制”,自定义推送页面。如未自定义采用系统默认页面。
  3. (可选)选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”,设置页面推送规则。按优先级匹配页面推送规则。如未设置,按系统默认推送规则推送。
  4. 选择“系统 > 终端参数配置 > 全局参数”,启用MAC优先的Portal认证。

配置脚本结果验证续下文! 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Cpp五条/article/detail/279225
推荐阅读
相关标签
  

闽ICP备14008679号