手册下载
H3C 虚拟AP技术最佳实践-6W102-整本手册.pdf (1.57 MB)
H3C 虚拟AP技术最佳实践
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
伴随网络技术的高速发展,用户的数据资产保护意识也随之增强,实施内外网的安全隔离,能够增强网络抵御攻击的能力,大大提升网络整体安全水平,。传统的内外网隔离方案包括:传统逻辑隔离和完全物理隔离两种。
· 传统逻辑隔离方案
通过单个AC内部的VLAN划分实现内外网不同业务的隔离。由于内外网的接入由一台无线控制器控制,存在多套无线网络、多套供电系统和多套管理平台共存现象,两套网络在使用时易造成资源混乱、冲突以及安全问题。
· 完全物理隔离
内外网各配置一套AC和AP的组网,该方案虽然能够实现内外网络的完全隔离,但由于AP布点、布线等原因,重新布置额外一套AP操作难度高,同时也增加了物理AP硬件Licence的成本。
面对内外网融合带来的安全隐患和资源分配问题,无线网络需要兼顾内网业务和外网业务的不同需求。新华三提出了虚拟AP方案,帮助用户实现单台AP内外网安全隔离。
虚拟AP技术最初是为了应对医疗行业无线网络的内外网隔离需求,医院的无线网络兼有供内部使用的内网和供患者及家属使用的外网,具体表现为:
· 对于医务工作人员,内网业务包括:收集治疗数据、监控病人体温、血氧等生命体征。监控病房的温度、湿度、仪器的运行状况等信息。
· 对于患者及家属,外网业务包括:通过掌上医院预约挂号、就医导诊、叫号排队、移动支付以及为患者及家属提供基本的网络服务。
利用虚拟AP技术,可以将一个AP虚拟为两台设备,利用双网口、双AC完成内外网数据的隔离,避免两套网络在使用过程中发生资源冲突。同时,用户可根据不同用户群、不同的业务制定对应服务策略和认证策略。
虚拟AP利用设备虚拟化技术,在物理AP上虚拟化一个AP,利用双网口、双AC完成内外网数据的隔离,进而为不同用户提供无线接入服务。AP不同物理上行口对应内网和外网,内网AC和外网AC相互独立,分别管理物理AP和虚拟AP。AP与两台AC同时建立两条CAPWAP隧道。
图1 虚拟AP网络模型示意图
虚拟AP的工作流程分为如下两步:
(1) 在AC 1上安装AP License,使物理AP通过以太网接口1与AC 1建立CAPWAP隧道连接。
(2) 物理AP虚拟出一个虚拟AP,并通过设备以太网接口2与AC 2建立另一条CAPWAP隧道。
仅物理AP上线需要消耗License,虚拟AP不消化License,所以AC 2无需安装License。
AC 1、AC 2分别对物理AP和虚拟AP进行管理,实现了两套相互隔离的无线网络环境,分别为不同的Client提供无线接入服务。
用户可以将其无线网络中的多台物理AP虚拟化出对应的虚拟AP,使用一台AC对物理AP进行管理,使用其它AC对虚拟AP进行管理,无需额外投入AP即可实现多套相互隔离的无线网络环境,降低用户部署无线网络的成本。
物理AP在AC 1上上线后,首先开启虚拟AP功能,然后指定虚拟AP需上线的AC 2的IP地址,即可开始创建虚拟AP流程,具体过程如下:
(1) 在AC 1上,配置虚拟AP所属的管理VLAN。
(2) 将配置的虚拟AP管理VLAN设置为DHCP方式获取IP地址。
(3) 在AC 1上创建虚拟AP。
(4) 如果虚拟AP获取管理VLAN IP地址成功,向AC 2发起上线流程;如果虚拟AP获取管理VLAN IP地址失败,则虚拟AP开启定时器一直获取管理VLAN的IP地址,直至定时器超时。
图2 创建虚拟AP
如果开启了AP版本升级功能,且虚拟AP和AC 2的版本不一致,会造成虚拟AP无法上线,建议关闭虚拟AP版本升级功能。
物理AP创建虚拟AP数据块且获取虚拟AP管理VLAN IP地址成功后,虚拟AP就会进入CAPWAP状态机,并向AC 2发起上线流程,具体过程如下:
(1) 虚拟AP向AC 2发送Discovery Request报文。
(2) AC 2收到Discovery Request报文后,根据AP型号、能力集等信息判断是否回复Discovery Response报文。
(3) 虚拟AP向AC 2发送Join Request报文。
(4) AC 2收到Join Request报文后,判断报文中是否存在AP模板的匹配信息,如AP的序列号等。
¡ 若存在匹配信息,则AC 2回应Join Response报文。
¡ 若不存在匹配信息,根据携带的虚拟AP标记判断请求方为虚拟AP,则不回应虚拟AP。
(5) 虚拟AP在CAPWAP配置下载阶段请求下载支持的配置信息。
(6) 虚拟AP在AC 2上线成功。
图3 虚拟AP上线
下面通过典型案例,介绍虚拟AP技术实现内外网隔离的基本配置。
集中式转发架构下,AC旁挂在三层交换机上,三层交换机作为DHCP Server为AP、Client分配IP地址,二层交换机通过PoE方式给AP供电,AP分别与AC 1、AC 2建立两条CAPWAP隧道。
· 内网要求如下:
¡ L3 Switch 1作为DHCP Server,为物理AP和接入内网无线服务的Client分配IP地址。
¡ 物理AP通过DHCP Server 10获取IP地址,属于VLAN 10。
¡ 内部员工通过VLAN 30接入无线网络,支持MAC地址认证、802.1X认证和Portal认证。
¡ 开启协同漫游功能。
¡ AC 1和AC 3组成AP双链路1+1备份。
¡ 内网iMC同时作为Portal认证服务器、Portal Web服务器和RADIUS服务器
· 外网要求如下:
¡ L3 Switch 2作为DHCP Server,为虚拟AP和接入外网无线服务的Client分配IP地址。
¡ 虚拟AP通过DHCP Server 20获取IP地址,属于VLAN 20。
¡ 外部访客通过VLAN 40接入无线网络,支持MAC地址认证、802.1X认证和Portal认证。
¡ 外网iMC同时作为Portal认证服务器、Portal Web服务器和RADIUS服务器
图4 虚拟AP配置举例组网图
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
L3 Switch 1 |
Vlan-int 10 |
173.12.1.2/16 |
L3 Switch 2 |
Vlan-int 20 |
173.22.1.2/16 |
|
Vlan-int 30 |
112.30.0.1/16 |
|
Vlan-int 40 |
112.40.0.3/16 |
AC 1 |
Vlan-int 10 |
173.12.1.3/16 |
AC 2 |
Vlan-int 20 |
173.22.1.3/16 |
|
Vlan-int 30 |
112.30.0.2/16 |
|
Vlan-int 40 |
112.40.0.2/16 |
AC 3 |
Vlan-int 10 |
173.12.1.7/16 |
|
|
|
|
Vlan-int 30 |
112.30.0.3/16 |
|
|
|
· 内网AC和外网AC的版本号必须保持一致。
· AP空配置启动时,AP的双上行口默认是Acess口,PVID为1,通过VLAN 1接口发送报文,发出的报文不会携带VLAN TAG。为了防止在这个阶段出现环路,需要在外网Switch与AP相连的物理口上配置命令undo port trunk permit vlan vlan-pvid,即禁止端口缺省VLAN的报文通过。(说明:虚拟AP的管理VLAN和业务VLAN不能配置为端口缺省VLAN)
· AP与外网Switch相连的接口,除了禁止VLAN 1报文通过,还需禁止放行内网流量的相应VLAN,确保AP的双上行口组网不会产生环路。(说明:本注意事项适用于虚拟AP和物理AP使用不同管理VLAN的组网)
(1) 配置L3 Switch 1的接口
#创建VLAN 10和VLAN 30,并为对应的VLAN接口配置IP地址。其中VLAN 10用于转发AC和物理AP间CAPWAP隧道内的流量,VLAN 30为内部员工的无线客户端接入的VLAN。
<L3 switch1>system-view
[L3 switch1] vlan 10
[L3 switch1-vlan10] quit
[L3 switch1] interface vlan-interface 10
[L3 switch1-Vlan-interface10] ip address 173.12.1.2 255.255.0.0
[L3 switch1-Vlan-interface10] quit
[L3 switch1] vlan 30
[L3 switch1-vlan30] quit
[L3 switch1] interface vlan-interface 30
[L3 switch1-Vlan-interface30] ip address 112.30.0.1 255.255.0.0
[L3 switch1-Vlan-interface30] quit
# 创建VLAN 50,用于连接iMC服务器,并为对应的VLAN接口配置IP地址。
[L3 switch1] vlan 50
[L3 switch1-vlan50] quit
[L3 switch1] interface vlan-interface 50
[L3 switch1-Vlan-interface50] ip address 173.18.4.99 255.255.255.0
[L3 switch1-Vlan-interface50] quit
# 将L3 Switch 1与iMC相连的接口加入VLAN 50(此处略)。
# 配置L3 Switch 1和AC 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[L3 switch1] interface gigabitethernet 1/0/1
[L3 switch1-GigabitEthernet1/0/1] port link-type trunk
[L3 switch1-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[L3 switch1-GigabitEthernet1/0/1] port trunk permit vlan 10 30
[L3 switch1-GigabitEthernet1/0/1] quit
# 配置L3 Switch 1和AC 3相连的接口GigabitEthernet1/0/4为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[L3 switch1] interface gigabitethernet 1/0/4
[L3 switch1-GigabitEthernet1/0/4] port link-type trunk
[L3 switch1-GigabitEthernet1/0/4] undo port trunk permit vlan 1
[L3 switch1-GigabitEthernet1/0/4] port trunk permit vlan 10 30
[L3 switch1-GigabitEthernet1/0/4] quit
# 配置L3 Switch 1和L2 Switch 1相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,并允许VLAN 10通过。
[L3 switch1] interface gigabitethernet 1/0/2
[L3 switch1-GigabitEthernet1/0/2] port link-type trunk
[L3 switch1-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[L3 switch1-GigabitEthernet1/0/2] port trunk permit vlan 10
[L3 switch1-GigabitEthernet1/0/2] quit
# 配置L3 Switch 1与上行网络相连的接口以及缺省路由(此处略)。
(2) 配置DHCP server。
#开启DHCP server功能
[L3 switch1] dhcp enable
# 配置DHCP地址池10为AP分配地址范围173.12.0.0/16,网关地址为173.12.1.2。
[L3 switch1] dhcp server ip-pool 10
[L3 switch1-dhcp-pool-10] network 173.12.0.0 mask 255.255.0.0
[L3 switch1-dhcp-pool-10] gateway-list 173.12.1.2
# 配置DHCP地址池30为Client分配地址范围112.30.0.0/16,网关地址为112.30.0.1,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址)。
[L3 switch1] dhcp server ip-pool 30
[L3 switch1-dhcp-pool-30] network 112.30.0.0 mask 255.255.0.0
[L3 switch1-dhcp-pool-30] gateway-list 112.30.0.1
[L3 switch1-dhcp-pool-30] dns-list 112.30.0.1
[L3 switch1-dhcp-pool-30] quit
# 创建VLAN 10,VLAN 10为物理AP接入的管理VLAN。
<L2 switch1> system-view
[L2 switch1] vlan 10
[L2 switch1-vlan10] quit
# 配置L2 Switch 1与L3 Switch 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10通过。
[L2 switch1] interface gigabitEthernet 1/0/1
[L2 switch1-GigabitEthernet1/0/1] port link-type trunk
[L2 switch1-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[L2 switch1-GigabitEthernet1/0/1] port trunk permit vlan 10
[L2 switch1-GigabitEthernet1/0/1] quit
# 配置L2 Switch 1与AP相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,PVID为VLAN 10,允许VLAN 10通过,并开启PoE远程供电功能。
[L2 switch1] interface gigabitEthernet 1/0/2
[L2 switch1-GigabitEthernet1/0/2] port link-type trunk
[L2 switch1-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[L2 switch1-GigabitEthernet1/0/2] port trunk pvid vlan 10
[L2 switch1-GigabitEthernet1/0/2] port trunk permit vlan 10
[L2 switch1-GigabitEthernet1/0/2] poe enable
[L2 switch1-GigabitEthernet1/0/2] quit
(1) 配置内网AC 1的接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址。物理AP将获取该IP地址与内网AC 1建立主CAPWAP隧道。
<AC1> system-view
[AC1] vlan 10
[AC1-vlan10] quit
[AC1] interface vlan-interface 10
[AC1-Vlan-interface10] ip address 173.12.1.3 255.255.0.0
[AC1-Vlan-interface10] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址。内部员工的无线客户端使用该业务VLAN接入无线网络。
[AC1] vlan 30
[AC1-vlan30] quit
[AC1] interface vlan-interface 30
[AC1-Vlan-interface30] ip address 112.30.0.2 255.255.0.0
[AC1-Vlan-interface30] quit
# 配置内网AC 1和L3 Switch 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[AC1] interface gigabitethernet 1/0/1
[AC1-GigabitEthernet1/0/1] port link-type trunk
[AC1-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC1-GigabitEthernet1/0/1] port trunk permit vlan 10 30
[AC1-GigabitEthernet1/0/1] quit
# 请确保AC和iMC能互通,根据实际组网配置路由。
[AC1] ip route-static 173.18.4.100 32 173.12.1.2
(2) 配置AP并向AP下配置
# 创建手工AP,名称为ap1,型号为WA6322。
[AC1] wlan ap ap1 model WA6322
# 设置AP的序列号为219801A23U8204P000C3。
[AC1-wlan-ap-ap1] serial-id 219801A23U8204P000C3
# 开启远程配置同步功能。
[AC1-wlan-ap-ap1] remote-configuration enable
# AC向AP下发AP视图下的VLAN 20,VLAN 20是虚拟AP上线的管理VLAN。
[AC1-wlan-ap-ap1] vlan 20
[AC11-wlan-ap-ap1-vlan20] quit
# AC向AP下发接口配置,AP的gigabitethernet 2接口连接外网交换机L2 Switch 2。gigabitethernet 2接口允许外网的VLAN 20通过。
[AC1-wlan-ap-ap1] gigabitethernet 2
[AC1-wlan-ap-ap1-gigabitethernet-2] port link-type trunk
[AC1-wlan-ap-ap1-gigabitethernet-2] undo port trunk permit vlan 1
[AC1-wlan-ap-ap1-gigabitethernet-2] port trunk permit vlan 20
[AC1-wlan-ap-ap1-gigabitethernet-2] quit
# 将AP视图下配置的VLAN、接口配置等命令同步到AP。
[AC1-wlan-ap-ap1] remote-configuration synchronize
(3) 配置虚拟AP全局使能
# 配置虚拟AP全局使能。
[AC1] wlan virtual-ap enable
(4) 创建虚拟AP
# 在AP视图下创建虚拟AP,指定虚拟AP需上线的外网AC的IP地址和管理VLAN。
[AC1] wlan ap ap1
[AC1-wlan-ap-ap1] virtual-ap ac-address ip 173.22.1.3 management-vlan 20
[AC1-wlan-ap-ap1] quit
(5) 配置AP双链路备份
# 进入ap1视图并配置AP连接的优先级为7。
[AC1] wlan ap ap1
[AC1-wlan-ap-ap1] priority 7
# 配置备AC的IP地址为内网AC 3的地址173.12.1.7。
[AC1-wlan-ap-ap1] backup-ac ip 173.12.1.7
# 配置CAPWAP主隧道抢占功能。
[AC1-wlan-ap-ap1] wlan tunnel-preempt enable
[AC1-wlan-ap-ap1] quit
(6) 配置RADIUS方案
# 创建名为office的RADIUS方案,并进入该方案视图。
[AC1] radius scheme office
# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。
[AC1-radius-office] primary authentication 173.18.4.100
[AC1-radius-office] primary accounting 173.18.4.100
[AC1-radius-office] key authentication simple 12345678
[AC1-radius-office] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC1-radius-office] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为173.12.1.3。
[AC1-radius-office] nas-ip 173.12.1.3
[AC1-radius-office] quit
# 使能RADUIS session control功能。
[AC1] radius session-control enable
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[AC1] radius dynamic-author server
# 设置RADIUS DAE客户端的IP地址为173.18.4.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[AC1-radius-da-server] client ip 173.18.4.100 key simple 12345678
[AC1-radius-da-server] quit
(7) 配置认证域
# 创建名为office1的ISP域并进入其视图。
[AC1] domain office1
# 为lan-access用户配置认证、授权和计费方案为使用RADIUS方案office。
[AC1-isp-office1] authentication lan-access radius-scheme office
[AC1-isp-office1] authorization lan-access radius-scheme office
[AC1-isp-office1] accounting lan-access radius-scheme office
# 指定ISP域office1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC1-isp-office1] authorization-attribute idle-cut 15 1024
[AC1-isp-office1] quit
# 创建名为office2的ISP域并进入其视图。
[AC1] domain office2
# 为portal用户配置认证、授权和计费方案为使用RADIUS方案office。
[AC1-isp-office2] authentication portal radius-scheme office
[AC1-isp-office2] authorization portal radius-scheme office
[AC1-isp-office2] accounting portal radius-scheme office
# 指定ISP域office2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC1-isp-office2] authorization-attribute idle-cut 15 1024
[AC1-isp-office2] quit
(8) 配置MAC认证
# 配置MAC地址认证的用户名格式为固定用户名格式,用户名为h3cmac,密码为明文12345678。
[AC1] mac-authentication user-name-format fixed account h3cmac password simple 12345678
# 创建无线服务模板1,SSID为int-mac。
[AC1] wlan service-template 1
[AC1-wlan-st-1] ssid int-mac
# 配置无线服务模板VLAN为VLAN30。
[AC1-wlan-st-1] vlan 30
# 配置用户认证方式为MAC地址认证,ISP域为office1。
[AC1-wlan-st-1] client-security authentication-mode mac
[AC1-wlan-st-1] mac-authentication domain office1
# 开启BSS切换管理功能。
[AC1-wlan-st-1] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC1-wlan-st-1] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC1-wlan-st-1] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务。
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
(9) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC1] dot1x authentication-method eap
# 创建无线服务模板2,SSID为int-1x。
[AC1] wlan service-template 2
[AC1-wlan-st-2] ssid int-1x
# 配置无线服务模板VLAN为30。
[AC1-wlan-st-2] vlan 30
# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN。
[AC1-wlan-st-2] akm mode dot1x
[AC1-wlan-st-2] cipher-suite ccmp
[AC1-wlan-st-2] security-ie rsn
# 配置用户认证方式为802.1X,ISP域为office1。
[AC1-wlan-st-2] client-security authentication-mode dot1x
[AC1-wlan-st-2] dot1x domain office1
# 开启BSS切换管理功能。
[AC1-wlan-st-2] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC1-wlan-st-2] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC1-wlan-st-2] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板。
[AC1-wlan-st-2] service-template enable
[AC1-wlan-st-2] quit
(10) 配置Portal认证
# 配置Portal认证服务器名称为newpt,IP地址为173.18.4.100,监听Portal报文的端口为50100。
[AC1] portal server newpt
[AC1-portal-server-newpt] ip 173.18.4.100 key simple 12345678
[AC1-portal-server-newpt] port 50100
[AC1-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://173.18.4.100:8080/portal。
[AC1] portal web-server wbportal
[AC1-portal-websvr-wbportal] url http://173.18.4.100:8080/portal
[AC1-portal-websvr-wbportal] quit
# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.4.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。
[AC1] portal free-rule 0 destination ip 173.18.4.100 24
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC1] portal free-rule 1 destination ip any udp 53
[AC1] portal free-rule 2 destination ip any tcp 53
# 关闭无线Portal客户端ARP表项固化功能。
[AC1] undo portal refresh arp enable
# 开启无线Portal客户端合法性检查功能。
[AC1] portal host-check enable
# 创建服务模板3,SSID为int-portal。
[AC1] wlan service-template 3
[AC1-wlan-st-3] ssid int-portal
# 配置无线服务模板VLAN为VLAN 30。
[AC1-wlan-st-3] vlan 30
# 在无线服务模板3上使能直接方式的Portal认证。
[AC1-wlan-st-3] portal enable method direct
# 配置接入的Portal用户使用认证域为office2。
[AC1-wlan-st-3] portal domain office2
# 在无线服务模板3上引用Portal Web服务器wbportal。
[AC1-wlan-st-3] portal apply web-server wbportal
# 在无线服务模板3上配置发送至Portal认证服务器的Portal报文中的BAS-IP属性值为173.12.1.3。
[AC1-wlan-st-3] portal bas-ip 173.12.1.3
# 开启BSS切换管理功能。
[AC1-wlan-st-3] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC1-wlan-st-3] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC1-wlan-st-3] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板3。
[AC1–wlan-st-3] service-template enable
[AC1-wlan-st-3] quit
(11) 绑定服务模板并配置协同漫游
# 进入ap1的radio 1视图。
[AC1] wlan ap ap1
[AC1-wlan-ap-ap1] radio 1
# 开启射频资源测量功能。
[AC-wlan-ap-ap1-radio-1] resource-measure enable
# 配置无线客户端反粘滞功能,射频每10秒进行信号强度检测,在支持802.11v的无线客户端信号强度低于-30dBm时,引导其进行BSS切换。
请根据现场实际环境,调整RSSI值和检测周期。
[AC1-wlan-ap-ap1-radio-1] sacp anti-sticky enable rssi 30 interval 10
# 开启获取BSS候选列表功能,测量周期为10秒。
[AC1-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable interval 10
# 将无线服务模板1、2、3绑定到ap 1的Radio 1上。
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] service-template 2
[AC1-wlan-ap-ap1-radio-1] service-template 3
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
(1) 配置内网AC 3的接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址。物理AP将获取该IP地址与内网AC 3建立备CAPWAP隧道。
<AC3> system-view
[AC3] vlan 10
[AC3-vlan10] quit
[AC3] interface vlan-interface 10
[AC3-Vlan-interface10] ip address 173.12.1.7 255.255.0.0
[AC3-Vlan-interface10] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址。内部员工的无线客户端使用该业务VLAN接入无线网络。
[AC3] vlan 30
[AC3-vlan30] quit
[AC3] interface vlan-interface 30
[AC3-Vlan-interface30] ip address 112.30.0.3 255.255.0.0
[AC3-Vlan-interface30] quit
# 配置内网AC 3和L3 Switch 1相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 10和VLAN 30通过。
[AC3] interface gigabitethernet 1/0/1
[AC3-GigabitEthernet1/0/1] port link-type trunk
[AC3-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC3-GigabitEthernet1/0/1] port trunk permit vlan 10 30
[AC3-GigabitEthernet1/0/1] quit
# 请确保AC和iMC能互通,根据实际组网配置路由。
[AC3] ip route-static 173.18.4.100 32 173.12.1.2
(2) 配置AP并向AP下配置
# 创建手工AP,名称为ap1,型号名称为WA6322
[AC3] wlan ap ap1 model WA6322
# 设置AP的序列号为219801A23U8204P000C3。
[AC3-wlan-ap-ap1] serial-id 219801A23U8204P000C3
# 开启远程配置同步功能。
[AC3-wlan-ap-ap1] remote-configuration enable
# AC向AP下发AP视图下的VLAN 20,VLAN 20是虚拟AP上线的管理VLAN。
[AC3-wlan-ap-ap1] vlan 20
[AC31-wlan-ap-ap1-vlan20] quit
# AC向AP下发接口配置,AP的gigabitethernet 2接口连接外网交换机L2 Switch 2。gigabitethernet 2接口允许外网的VLAN 20通过。
[AC3-wlan-ap-ap1] gigabitethernet 2
[AC3-wlan-ap-ap1-gigabitethernet-2] port link-type trunk
[AC3-wlan-ap-ap1-gigabitethernet-2] undo port trunk permit vlan 1
[AC3-wlan-ap-ap1-gigabitethernet-2] port trunk permit vlan 20
[AC3-wlan-ap-ap1-gigabitethernet-2]quit
# 将AP视图下配置的VLAN、接口配置等命令同步到AP。
[AC3-wlan-ap-ap1] remote-configuration synchronize
(3) 配置虚拟AP全局使能
# 配置虚拟AP全局使能。
[AC3] wlan virtual-ap enable
(4) 创建虚拟AP
# 在AP视图下创建虚拟AP,指定虚拟AP需上线的外网AC的IP地址和管理VALN。
[AC3] wlan ap ap1
[AC3-wlan-ap-ap1] virtual-ap ac-address ip 173.22.1.3 management-vlan 20
[AC3-wlan-ap-ap1] quit
(5) 配置AP双链路备份
# 进入ap1视图并配置AP连接的优先级为5。
[AC3] wlan ap ap1
[AC3-wlan-ap-ap1] priority 5
#配置备AC的IP地址为内网AC 1的地址173.12.1.3。
[AC3-wlan-ap-ap1] backup-ac ip 173.12.1.3
(6) 配置RADIUS方案
# 创建名为office的RADIUS方案,并进入其视图。
[AC3] radius scheme office
# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。
[AC3-radius-office] primary authentication 173.18.4.100
[AC3-radius-office] primary accounting 173.18.4.100
[AC3-radius-office] key authentication simple 12345678
[AC3-radius-office] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC3-radius-office] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为173.12.1.7。
[AC3-radius-office] nas-ip 173.12.1.7
[AC3-radius-office] quit
# 使能RADUIS session control功能。
[AC3] radius session-control enable
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[AC3] radius dynamic-author server
# 设置RADIUS DAE客户端的IP地址为173.18.4.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[AC3-radius-da-server] client ip 173.18.4.100 key simple 12345678
[AC3-radius-da-server] quit
(7) 配置认证域
# 创建名为office1的ISP域并进入其视图。
[AC3] domain office1
# 为lan-access用户配置认证、授权、计费方案为RADIUS方案office。
[AC3-isp-office1] authentication lan-access radius-scheme office
[AC3-isp-office1] authorization lan-access radius-scheme office
[AC3-isp-office1] accounting lan-access radius-scheme office
# 指定ISP域office1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC3-isp-office1] authorization-attribute idle-cut 15 1024
[AC3-isp-office1] quit
[AC3-isp-office1] quit
# 创建名为office2的ISP域并进入其视图。
[AC3] domain office2
# 为portal用户配置认证、授权、计费方案为RADIUS方案office。
[AC3-isp-office2] authentication portal radius-scheme office
[AC3-isp-office2] authorization portal radius-scheme office
[AC3-isp-office2] accounting portal radius-scheme office
# 指定ISP域office2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC3-isp-office2] authorization-attribute idle-cut 15 1024
[AC3-isp-office2] quit
(8) 配置MAC认证
# 配置MAC地址认证的用户名为固定用户名格式,用户名为h3cmac,密码为明文12345678。
[AC3] mac-authentication user-name-format fixed account h3cmac password simple 12345678
# 创建无线服务模板1,SSID为int-mac。
[AC3] wlan service-template 1
[AC3-wlan-st-1] ssid int-mac
# 配置无线服务模板VLAN为VLAN30。
[AC3-wlan-st-1] vlan 30
# 配置用户认证方式为MAC地址认证,ISP域为office1。
[AC3-wlan-st-1] client-security authentication-mode mac
[AC3-wlan-st-1] mac-authentication domain office1
# 开启BSS切换管理功能。
[AC3-wlan-st-1] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC3-wlan-st-1] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC3-wlan-st-1] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务。
[AC3-wlan-st-1] service-template enable
[AC3-wlan-st-1] quit
(9) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC3] dot1x authentication-method eap
# 创建无线服务模板2,SSID为int-1x。
[AC3] wlan service-template 2
[AC3-wlan-st-2] ssid int-1x
# 配置无线服务模板VLAN为30。
[AC3-wlan-st-2] vlan 30
# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN。
[AC3-wlan-st-2] akm mode dot1x
[AC3-wlan-st-2] cipher-suite ccmp
[AC3-wlan-st-2] security-ie rsn
# 配置用户认证方式为802.1X,ISP域为office1。
[AC3-wlan-st-2] client-security authentication-mode dot1x
[AC3-wlan-st-2] dot1x domain office1
# 开启BSS切换管理功能。
[AC3-wlan-st-2] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC3-wlan-st-2] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC3-wlan-st-2] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板。
[AC3-wlan-st-2] service-template enable
[AC3-wlan-st-2] quit
(10) 配置Portal认证
#配置Portal认证服务器名称为newpt,IP地址为173.18.4.100,监听Portal报文的端口为50100。
[AC3] portal server newpt
[AC3-portal-server-newpt] ip 173.18.4.100 key simple 12345678
[AC3-portal-server-newpt] port 50100
[AC3-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://173.18.4.100:8080/portall。
[AC3] portal web-server wbportal
[AC3-portal-websvr-wbportal] url http://173.18.4.100:8080/portal
[AC3-portal-websvr-wbportal] quit
# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.4.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。
[AC3] portal free-rule 0 destination ip 173.18.4.100 24
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC3] portal free-rule 1 destination ip any udp 53
[AC3] portal free-rule 2 destination ip any tcp 53
# 关闭无线Portal客户端ARP表项固化功能。
[AC3] undo portal refresh arp enable
# 开启无线Portal客户端合法性检查功能。
[AC3] portal host-check enable
#创建服务模板3,SSID为int-portal。
[AC3] wlan service-template 3
[AC3-wlan-st-3] ssid int-portal
# 配置无线服务模板VLAN为VLAN 30。
[AC3-wlan-st-3] vlan 30
# 在无线服务模板3上使能直接方式的Portal认证。
[AC3-wlan-st-3] portal enable method direct
# 配置接入的Portal用户使用认证域为office2。
[AC3-wlan-st-3] portal domain office2
# 在无线服务模板3上引用Portal Web服务器wbportal。
[AC3-wlan-st-3] portal apply web-server wbportal
# 在无线服务模板3上配置发送至Portal认证服务器的Portal报文中的BAS-IP属性值为173.12.1.7。
[AC3-wlan-st-3] portal bas-ip 173.12.1.7
# 开启BSS切换管理功能。
[AC3-wlan-st-3] bss transition-management enable
# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。
[AC3-wlan-st-3] bss transition-management disassociation
# (可选)开启漫游优化流量保持高级功能。
[AC3-wlan-st-3] sacp roam-optimize traffic-hold enable advanced
# 使能无线服务模板3。
[AC3–wlan-st-3] service-template enable
[AC3-wlan-st-3] quit
(11) 绑定服务模板并配置协同漫游
# 进入ap1的radio 1视图。
[AC3] wlan ap ap1
[AC3-wlan-ap-ap1] radio 1
# 开启射频资源测量功能。
[AC3-wlan-ap-ap1-radio-1] resource-measure enable
# 配置无线客户端反粘滞功能,射频每10秒进行信号强度检测,在支持802.11v的无线客户端信号强度低于-30dBm时,引导其进行BSS切换。
请根据现场实际环境,调整RSSI值和检测周期。
[AC3-wlan-ap-ap1-radio-1] sacp anti-sticky enable rssi 30 interval 10
# 开启获取BSS候选列表功能,测量周期为10秒。
[AC3-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable interval 10
# 将无线服务模板1、2、3绑定到ap 1的Radio 1上。
[AC3-wlan-ap-ap1-radio-1] radio enable
[AC3-wlan-ap-ap1-radio-1] service-template 1
[AC3-wlan-ap-ap1-radio-1] service-template 2
[AC3-wlan-ap-ap1-radio-1] service-template 3
[AC3-wlan-ap-ap1-radio-1] quit
[AC3-wlan-ap-ap1] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303P10)、iMC UAM 7.1(E0303P10),说明RADIUS server和Portal server的基本配置。
(1) 增加接入设备
# 增加接入设备AC1
登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
· 在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与内网AC1上配置RADIUS服务器时的密钥一致。
· 在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.12.1.3”,该IP地址为内网AC1上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。
· 其他配置采用页面默认配置即可。
· 单击<确定>按钮完成操作。
图5 增加接入设备AC1
# 增加接入设备AC3
登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
· 在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与内网AC3上配置RADIUS服务器时的密钥一致。
· 在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.12.1.7”,该IP地址为内网AC3上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。
· 其他配置采用页面默认配置即可。
· 单击<确定>按钮完成操作。
图6 增加接入设备AC3
(2) 增加接入策略
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面。
# 创建MAC认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条MAC认证的接入策略。
· 接入策略名为“mac”。
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图7 增加MAC认证接入策略
# 创建802.1X认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条802.1X认证的接入策略。
· 接入策略名为“dot1x”。
· 首选EAP类型选择EAP-PEAP认证,子类型为EAP-MSCHAPv2认证。认证证书子类型需要与客户端的身份验证方法一致。
· 其它参数可采用缺省配置,并单击<确定>按钮完成操作。
图8 增加802.1X认证接入策略
# 创建Portal认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条Portal认证的接入策略。
· 接入策略名为“portal”。
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图9 增加Portal认证接入策略
(3) 增加接入服务
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面。
# 创建MAC认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
· 服务名为“mac”。
· 缺省接入策略选择已创建的接入策略“mac”。
· 其他采用默认配置。
· 单击<确定>按钮完成配置。
图10 增加MAC认证接入服务
# 创建802.1X认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
· 服务名为“dot1x”。
· 缺省接入策略选择已创建的接入策略“dot1x”。
· 其他采用默认配置。
· 单击<确定>按钮完成配置。
图11 增加802.1X认证接入服务
# 创建Portal认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
· 服务名为“portal”。
· 缺省接入策略选择已创建的接入策略“portal”。
· 其他采用默认配置。
· 单击<确定>按钮完成配置。
图12 增加Portal认证接入服务
(4) 增加接入用户
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户管理页面。
# 增加MAC认证接入用户
在接入用户管理页面,单击<增加>按钮,增加一个接入用户。
· 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
· 配置帐号名为“h3cmac”,密码为“12345678”。
· 勾选绑定服务名“mac”。
· 单击<确定>按钮完成。
图13 增加MAC认证接入用户
# 增加802.1X认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
· 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
· 添加账号名为“dot1x”,密码为12345678;
· 勾选绑定服务名“dot1x”。
图14 增加802.1X认证接入用户
# 增加Portal认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
· 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
· 添加账号名为“portal”,密码为12345678;
· 勾选绑定服务名“portal”。
图15 增加Portal认证接入用户
(1) 配置IP地址组
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名。
· 输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址。
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图16 增加IP地址组配置页面
(2) 增加Portal设备
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面。
# 增加Portal设备AC1
在Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名
· 指定IP地址为与接入用户相连的设备接口IP,即内网AC1的IP地址173.12.1.3
· 输入密钥“12345678”,与AC上的配置保持一致
图17 增加Portal设备AC1
# 增加Portal设备AC3
在Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名
· 指定IP地址为与接入用户相连的设备接口IP,即内网AC3的IP地址173.12.1.7
· 输入密钥“12345678”,与AC上的配置保持一致
图18 增加Portal设备AC3
(3) 配置关联IP地址组
在Portal设备配置页面中的设备信息列表中,分别点击portal-int和portal-int1设备的<端口组信息管理>按钮,进入端口组信息配置页面,完成以下配置:
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名。
· 认证方式选择“CHAP”。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组。
· 其它参数可采用缺省配置。
图19 访问端口组信息配置页面
图20 Portal设备AC1地址组配置
图21 Portal设备AC3地址组配置
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
(1) 配置L3 Switch 2的接口
#创建VLAN 20和VLAN 40,并为其对应的VLAN接口配置IP地址。其中VLAN 20用于转发AC和虚拟AP间CAPWAP隧道内的流量,VLAN 40为外部访客的无线客户端的接入VLAN。
<L3 switch2> system-view
[L3 switch2] vlan 20
[L3 switch2-vlan20] quit
[L3 switch2]interface vlan-interface 20
[L3 switch2-Vlan-interface20] ip address 173.22.1.2 255.255.0.0
[L3 switch2-Vlan-interface20] quit
[L3 switch2] vlan 40
[L3 switch2-vlan40] quit
[L3 switch2]interface vlan-interface 40
[L3 switch2-Vlan-interface40] ip address 112.40.0.3 255.255.0.0
[L3 switch2-Vlan-interface40] quit
# 创建VLAN 50,用于连接iMC服务器,并为对应的VLAN接口配置IP地址。
[L3 switch2] vlan 50
[L3 switch2-vlan50] quit
[L3 switch2] interface vlan-interface 50
[L3 switch2-Vlan-interface50] ip address 173.18.5.99 255.255.255.0
[L3 switch2-Vlan-interface50] quit
# 将L3 Switch 2与iMC相连的接口加入VLAN 50(此处略)。
# 配置L3 Switch 2和AC 2相连的接口GigabitEthernet1/0/5为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20、VLAN 40通过。
[L3 switch2] interface gigabitethernet 1/0/5
[L3 switch2-GigabitEthernet1/0/5] port link-type trunk
[L3 switch2-GigabitEthernet1/0/5] undo port trunk permit vlan 1
[L3 switch2-GigabitEthernet1/0/5] port trunk permit vlan 20 40
[L3 switch2-GigabitEthernet1/0/5] quit
# 配置L3 Switch 2和L2 Switch 2相连的接口GigabitEthernet1/0/11为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过。
[L3 switch2] interface gigabitethernet 1/0/11
[L3 switch2-GigabitEthernet1/0/11] port link-type trunk
[L3 switch2-GigabitEthernet1/0/11] undo port trunk permit vlan 1
[L3 switch2-GigabitEthernet1/0/11] port trunk permit vlan 20
[L3 switch2-GigabitEthernet1/0/11] quit
# 配置L3 Switch 2与上行网络相连的接口以及缺省路由(此处略)。
(2) 配置DHCP server
#开启DHCP server功能。
[L3 switch2] dhcp enable
# 配置DHCP地址池20为虚拟AP分配地址范围173.22.0.0/16,网关地址为173.22.1.2。
[L3 switch2] dhcp server ip-pool 20
[L3 switch2-dhcp-pool-20] network 173.22.0.0 mask 255.255.0.0
[L3 switch2-dhcp-pool-20] gateway-list 173.22.1.2
# 配置DHCP 地址池40为Client分配地址范围112.40.0.0/16,网关地址为112.40.0.3,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址)。。
[L3 switch2] dhcp server ip-pool 40
[L3 switch2-dhcp-pool-40] network 112.40.0.0 mask 255.255.0.0
[L3 switch2-dhcp-pool-40] gateway-list 112.40.0.3
[L3 switch2-dhcp-pool-40] dns-list 112.40.0.3
[L3 switch2-dhcp-pool-40] quit
# 创建VLAN 20,VLAN 20为虚拟AP接入的管理VLAN。
<L2 switch2> system-view
[L2 switch2] vlan 20
[L2 switch2-vlan20] quit
# 配置L2 Switch 2与L3 Switch 2相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过。
[L2 switch2] interface gigabitEthernet 1/0/1
[L2 switch2-GigabitEthernet1/0/1] port link-type trunk
[L2 switch2-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[L2 switch2-GigabitEthernet1/0/1] port trunk permit vlan 20
[L2 switch2-GigabitEthernet1/0/1] quit
# 配置L2 Switch 2与AP相连的接口GigabitEthernet1/0/2为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过,并开启PoE远程供电功能。
[L2 switch2] interface gigabitEthernet 1/0/2
[L2 switch2-GigabitEthernet1/0/2] port link-type trunk
[L2 switch2-GigabitEthernet1/0/2] undo port trunk permit vlan 1
[L2 switch2-GigabitEthernet1/0/2] port trunk permit vlan 20
[L2 switch2-GigabitEthernet1/0/2] poe enable
[L2 switch2-GigabitEthernet1/0/2] quit
(1) 配置外网AC 2的接口
# 创建VLAN 20及其对应的VLAN接口,并为该接口配置IP地址。虚拟AP将获取该IP地址与外网AC 2建立CAPWAP隧道。
<AC2> system-view
[AC2] vlan 20
[AC2-vlan20] quit
[AC2] interface vlan-interface 20
[AC2-Vlan-interface20] ip address 173.22.1.3 255.255.0.0
[AC2-Vlan-interface20] quit
# 创建VLAN 40及其对应的VLAN接口,并为该接口配置IP地址。外部访客的无线客户端使用该业务VLAN接入无线网络。
[AC2] vlan 40
[AC2-vlan40] quit
[AC2] interface vlan-interface 40
[AC2-Vlan-interface40] ip address 112.40.0.2 255.255.0.0
[AC2-Vlan-interface40] quit
# 配置AC 2和L3 Switch 2相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 20和VLAN 40通过。
[AC2] interface gigabitethernet 1/0/1
[AC2-GigabitEthernet1/0/1] port link-type trunk
[AC2-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC2-GigabitEthernet1/0/1] port trunk permit vlan 20 40
[AC2-GigabitEthernet1/0/1] quit
#请确保AC和iMC能互通,根据实际组网配置路由
[AC2]ip route-static 173.18.5.100 32 173.22.1.2
(2) 配置虚拟AP
# 创建手工虚拟AP,名称为virtual-ap1,型号为WA6322
[AC2] wlan virtual-ap virtual-ap1 model WA6322
# 设置虚拟AP的序列号为219801A23U8204P000C3,序列号为物理AP的序列号。。
[AC2-wlan-virtual-ap-virtual-ap1] serial-id 219801A23U8204P000C3
[AC2-wlan-virtual-ap-virtual-ap1] quit
(3) 配置RADIUS方案
# 创建名为office的RADIUS方案,并进入其视图。
[AC2] radius scheme office
# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。
[AC2-radius-office] primary authentication 173.18.5.100
[AC2-radius-office] primary accounting 173.18.5.100
[AC2-radius-office] key authentication simple 12345678
[AC2-radius-office] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC2-radius-office] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为173.22.1.3。
[AC2-radius-office] nas-ip 173.22.1.3
[AC2-radius-office] quit
# 使能RADUIS session control功能。
[AC2] radius session-control enable
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
[AC2] radius dynamic-author server
# 设置RADIUS DAE客户端的IP地址为173.18.5.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。
[AC2-radius-da-server] client ip 173.18.5.100 key simple 12345678
[AC2-radius-da-server] quit
(4) 配置认证域
# 创建名为office1的ISP域,并进入其视图。
[AC2] domain office1
# 为lan-access用户配置认证、授权、计费方案为RADIUS方案office。
[AC2-isp-office1] authentication lan-access radius-scheme office
[AC2-isp-office1] authorization lan-access radius-scheme office
[AC2-isp-office1] accounting lan-access radius-scheme office
# 指定ISP域office1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC2-isp-office1] authorization-attribute idle-cut 15 1024
[AC2-isp-office1] quit
# 创建名为office2的ISP域,并进入其视图。
[AC2] domain office2
# 为portal用户配置认证、授权、计费方案为RADIUS方案office。
[AC2-isp-office1] authentication portal radius-scheme office
[AC2-isp-office1] authorization portal radius-scheme office
[AC2-isp-office1] accounting portal radius-scheme office
# 指定ISP域office2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC2-isp-office2] authorization-attribute idle-cut 15 1024
[AC2-isp-office2] quit
(5) 配置MAC认证
# 配置MAC地址认证的用户名格式为固定用户名格式,用户名为h3cmac,密码为明文12345678。
[AC2] mac-authentication user-name-format fixed account h3cmac password simple 12345678
# 创建无线服务模板1,,SSID为out-mac。
[AC2] wlan service-template 1
[AC2-wlan-st-1] ssid out-mac
# 配置无线服务模板VLAN为VLAN40。。
[AC2-wlan-st-1] vlan 40
# 配置用户认证方式为MAC地址认证,ISP域为office1。
[AC2-wlan-st-1] client-security authentication-mode mac
[AC2-wlan-st-1] mac-authentication domain office1
# 使能无线服务。
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
(6) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC2] dot1x authentication-method eap
# 创建无线服务模板2,SSID为out-1x。
[AC2] wlan service-template 2
[AC2-wlan-st-2] ssid out-1x
# 配置无线服务模板VLAN为40。
[AC2-wlan-st-2] vlan 40
# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN。
[AC2-wlan-st-2] akm mode dot1x
[AC2-wlan-st-2] cipher-suite ccmp
[AC2-wlan-st-2] security-ie rsn
# 配置用户认证方式为802.1X,ISP域为office1
[AC2-wlan-st-2] client-security authentication-mode dot1x
[AC2-wlan-st-2] dot1x domain office1
# 使能无线服务模板。
[AC2-wlan-st-2] service-template enable
[AC2-wlan-st-2] quit
(7) 配置Portal认证
# 配置Portal认证服务器,名称为newpt,IP地址为173.18.5.100,监听Portal报文的端口为50100。
[AC2] portal server newpt
[AC2-portal-server-newpt] ip 173.18.5.100 key simple 12345678
[AC2-portal-server-newpt] port 50100
[AC2-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://173.18.5.100:8080/portal。
[AC2] portal web-server wbportal
[AC2-portal-websvr-wbportal] url http://173.18.5.100:8080/portal
[AC2-portal-websvr-wbportal] quit
# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.5.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。
[AC2] portal free-rule 0 destination ip 173.18.5.100 24
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC2] portal free-rule 1 destination ip any udp 53
[AC2] portal free-rule 2 destination ip any tcp 53
# 关闭无线Portal客户端ARP表项固化功能。
[AC2] undo portal refresh arp enable
# 开启无线Portal客户端合法性检查功能。
[AC2] portal host-check enable
#创建服务模板3,SSID为out-portal。
[AC2] wlan service-template 3
[AC2-wlan-st-3] ssid out-portal
# 配置无线服务模板VLAN为VLAN 40。
[AC2-wlan-st-3] vlan 40
# 在无线服务模板3上使能直接方式的Portal认证。
[AC2-wlan-st-3] portal enable method direct
# 配置接入的Portal用户使用认证域为office2。
[AC2-wlan-st-3] portal domain office2
# 在无线服务模板3上引用Portal Web服务器wbportal。
[AC2-wlan-st-3] portal apply web-server wbportal
# 在无线服务模板3上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为173.22.1.3。
[AC2-wlan-st-3] portal bas-ip 173.22.1.3
# 使能无线服务模板3。
[AC2–wlan-st-3] service-template enable
[AC2-wlan-st-st1] quit
(8) 绑定服务模板
#进入virtual-ap1的radio 1视图,并将无线服务模板1、2、3绑定到Radio 1上。
[AC2] wlan virtual-ap virtual-ap1
[AC2-wlan-virtual-ap-virtual-ap1] radio 1
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 1
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 2
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 3
[AC2-wlan-virtual-ap-virtual-ap1-radio 1] quit
[AC2-wlan-virtual-ap-virtual-ap1] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303P10)、iMC UAM 7.1(E0303P10),说明RADIUS server和Portal server的基本配置。
(1) 增加接入设备
# 增加接入设备AC2
登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
· 在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与外网AC2上配置RADIUS服务器时的密钥一致。
· 在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.22.1.3”,该IP地址为外网AC2上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。
· 其他配置采用页面默认配置即可。
· 单击<确定>按钮完成操作。
图22 增加接入设备AC2
(2) 增加接入策略
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面。
# 创建MAC认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条MAC认证的接入策略。
· 接入策略名为“mac”。
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图23 增加MAC认证接入策略
# 创建802.1X认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条802.1X认证的接入策略。
· 接入策略名为“dot1x”。
· 首选EAP类型选择EAP-PEAP认证,子类型为EAP-MSCHAPv2认证。认证证书子类型需要与客户端的身份验证方法一致。
· 其它参数可采用缺省配置,并单击<确定>按钮完成操作。
图24 增加802.1X认证接入策略
# 创建Portal认证接入策略
在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条Portal认证的接入策略。
· 接入策略名为“portal”。
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图25 增加Portal认证接入策略
(3) 增加接入服务
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面。
# 创建MAC认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
· 服务名为“mac”。
· 缺省接入策略选择已创建的接入策略“mac”。
· 其他采用默认配置。
· 单击<确定>按钮完成配置。
图26 增加MAC认证接入服务
# 创建802.1X认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
· 服务名为“dot1x”。
· 缺省接入策略选择已创建的接入策略“dot1x”。
· 其他采用默认配置。
· 单击<确定>按钮完成配置。
图27 增加802.1X认证接入服务
# 创建Portal认证接入服务
在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。
· 服务名为“portal”。
· 缺省接入策略选择已创建的接入策略“portal”。
· 其他采用默认配置。
· 单击<确定>按钮完成配置。
图28 增加Portal认证接入服务
(4) 增加接入用户
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户管理页面。
# 增加MAC认证接入用户
在接入用户管理页面,单击<增加>按钮,增加一个接入用户。
· 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
· 配置帐号名为“h3cmac”,密码为“12345678”。
· 勾选绑定服务名“mac”。
· 单击<确定>按钮完成。
图29 增加MAC认证接入用户
# 增加802.1X认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
· 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
· 添加账号名为“dot1x”,密码为12345678;
· 勾选绑定服务名“dot1x”。
图30 增加802.1X认证接入用户
# 增加Portal认证接入用户
在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面。
· 如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。
· 添加账号名为“portal”,密码为12345678;
· 勾选绑定服务名“portal”。
图31 增加Portal认证接入用户
(1) 配置IP地址组
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名。
· 输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址。
· 选择业务分组,本例中使用缺省的“未分组”;
· 选择IP地址组的类型为“普通”。
图32 增加IP地址组配置页面
(2) 增加Portal设备
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面。
# 增加Portal设备AC2
在Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名
· 指定IP地址为与接入用户相连的设备接口IP,即外网AC2的IP地址173.22.1.3
· 输入密钥“12345678”,与AC上的配置保持一致
图33 增加Portal设备AC2
(3) 配置关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击portal-out设备的<端口组信息管理>按钮,进入端口组信息配置页面,完成以下配置:
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名。
· 认证方式选择“CHAP”。
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组。
· 其它参数可采用缺省配置。
图34 访问端口组信息配置页面
图35 Portal设备AC2地址组配置
# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
使用display wlan virtual-ap { all | name ap-name }命令可以在外网AC2上查看虚拟AP在线状态。
# 显示所有虚拟AP的信息。
<H3C>display wlan virtual-ap all
Total number of virtual-APs: 1
Total number of connected virtual-APs: 1
Total number of connected common virtual-APs: 1
Total number of connected virtual-WTUs: 0
Maximum supported APs: 3072
Remaining APs: 3071
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6322 219801A23U8204P000C3
· 虚拟AP不支持自动AP。
· 配置的虚拟AP连接的AC的IP地址不能和物理AP上线的AC的IP地址相同,但两者的IP地址类型需要保持一致,即都通过IPv4地址或者IPv6地址在AC上线。
· 开启虚拟AP功能后,一个Radio下可以创建的最大BSS个数会减半。
· 关闭虚拟AP功能前,需要确保所有AP和AP组视图下没有创建虚拟AP,否则需要首先删除已创建的虚拟AP,才能成功关闭虚拟AP功能。
· 通过设置虚拟AP上线时所使用的管理VLAN,可以实现物理AP和虚拟AP的管理VLAN隔离。
· 如果物理AP和虚拟AP使用相同的管理VLAN,则必须在AP的以太网接口上配置端口隔离功能。
· 虚拟AP能否正常工作依赖于物理AP,请确保物理AP处于正常工作状态。例如:物理AP断开CAPWAP隧道连接,也会导致虚拟AP断开CAPWAP隧道连接。
虚拟AP技术推荐使用表1所示的无线控制器。
表1 虚拟AP技术无线控制器型号推荐
产品型号 |
软件版本 |
WX3510X |
ESS 1053P01及以上版本 |
WX3520X |
ESS 1053P01及以上版本 |
WX3540X |
ESS 1053P01及以上版本 |