• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C 虚拟AP技术最佳实践-6W102

手册下载

H3C 虚拟AP技术最佳实践-6W102-整本手册.pdf  (1.57 MB)

  • 发布时间:2022/12/13 21:08:21
  • 浏览量:
  • 下载量:

H3C 虚拟AP技术最佳实践

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。



方案介绍

1.1  产生背景

伴随网络技术的高速发展,用户的数据资产保护意识也随之增强,实施内外网的安全隔离,能够增强网络抵御攻击的能力,大大提升网络整体安全水平,。传统的内外网隔离方案包括:传统逻辑隔离和完全物理隔离两种。

·     传统逻辑隔离方案

通过单个AC内部的VLAN划分实现内外网不同业务的隔离。由于内外网的接入由一台无线控制器控制,存在多套无线网络、多套供电系统和多套管理平台共存现象,两套网络在使用时易造成资源混乱、冲突以及安全问题。

·     完全物理隔离

内外网各配置一套ACAP的组网,该方案虽然能够实现内外网络的完全隔离,但由于AP布点、布线等原因,重新布置额外一套AP操作难度高,同时也增加了物理AP硬件Licence的成本。

面对内外网融合带来的安全隐患和资源分配问题,无线网络需要兼顾内网业务和外网业务的不同需求。新华三提出了虚拟AP方案,帮助用户实现单台AP内外网安全隔离。

1.2  应用场景

虚拟AP技术最初是为了应对医疗行业无线网络的内外网隔离需求,医院的无线网络兼有供内部使用的内网和供患者及家属使用的外网,具体表现为:

·     对于医务工作人员,内网业务包括:收集治疗数据、监控病人体温、血氧等生命体征。监控病房的温度、湿度、仪器的运行状况等信息。

·     对于患者及家属,外网业务包括:通过掌上医院预约挂号、就医导诊、叫号排队、移动支付以及为患者及家属提供基本的网络服务。

利用虚拟AP技术,可以将一个AP虚拟为两台设备,利用双网口、双AC完成内外网数据的隔离,避免两套网络在使用过程中发生资源冲突。同时,用户可根据不同用户群、不同的业务制定对应服务策略和认证策略。

1.3  网络模型

虚拟AP利用设备虚拟化技术,在物理AP上虚拟化一个AP,利用双网口、双AC完成内外网数据的隔离,进而为不同用户提供无线接入服务。AP不同物理上行口对应内网和外网,内网AC和外网AC相互独立,分别管理物理AP和虚拟APAP与两台AC同时建立两条CAPWAP隧道。

图1 虚拟AP网络模型示意图

 

虚拟AP的工作流程分为如下两步:

(1)     AC 1上安装AP License,使物理AP通过以太网接口1AC 1建立CAPWAP隧道连接。

(2)     物理AP虚拟出一个虚拟AP,并通过设备以太网接口2AC 2建立另一条CAPWAP隧道。

说明

仅物理AP上线需要消耗License,虚拟AP不消化License,所以AC 2无需安装License

 

AC 1AC 2分别对物理AP和虚拟AP进行管理,实现了两套相互隔离的无线网络环境,分别为不同的Client提供无线接入服务。

用户可以将其无线网络中的多台物理AP虚拟化出对应的虚拟AP,使用一台AC对物理AP进行管理,使用其它AC对虚拟AP进行管理,无需额外投入AP即可实现多套相互隔离的无线网络环境,降低用户部署无线网络的成本。

1.4  实现机制

1.4.1  创建虚拟AP

物理APAC 1上上线后,首先开启虚拟AP功能,然后指定虚拟AP需上线的AC 2IP地址,即可开始创建虚拟AP流程,具体过程如下:

(1)     AC 1上,配置虚拟AP所属的管理VLAN

(2)     将配置的虚拟AP管理VLAN设置为DHCP方式获取IP地址。

(3)     AC 1上创建虚拟AP

(4)     如果虚拟AP获取管理VLAN IP地址成功,向AC 2发起上线流程;如果虚拟AP获取管理VLAN IP地址失败,则虚拟AP开启定时器一直获取管理VLANIP地址,直至定时器超时。

图2 创建虚拟AP

 

1.4.2  虚拟AP上线

说明

如果开启了AP版本升级功能,且虚拟APAC 2的版本不一致,会造成虚拟AP无法上线,建议关闭虚拟AP版本升级功能。

 

物理AP创建虚拟AP数据块且获取虚拟AP管理VLAN IP地址成功后,虚拟AP就会进入CAPWAP状态机,并向AC 2发起上线流程,具体过程如下:

(1)     虚拟APAC 2发送Discovery Request报文。

(2)     AC 2收到Discovery Request报文根据AP型号、能力集等信息判断是否回复Discovery Response报文。

(3)     虚拟APAC 2发送Join Request报文

(4)     AC 2收到Join Request报文,判断报文中是否存在AP模板匹配信息,如AP的序列号等

¡     若存在匹配信息AC 2回应Join Response报文

¡     若不存在匹配信息,根据携带的虚拟AP标记判断请求方为虚拟AP,则不回应虚拟AP

(5)     虚拟APCAPWAP配置下载阶段请求下载支持的配置信息。

(6)     虚拟APAC 2上线成功。

图3 虚拟AP上线

 

方案部署

下面通过典型案例,介绍虚拟AP技术实现内外网隔离的基本配置。

2.1  组网需求

集中式转发架构下,AC旁挂在三层交换机上,三层交换机作为DHCP ServerAPClient分配IP地址,二层交换机通过PoE方式给AP供电,AP分别与AC 1AC 2建立两条CAPWAP隧道。

·     内网要求如下:

¡     L3 Switch 1作为DHCP Server,为物理AP和接入内网无线服务的Client分配IP地址

¡     物理AP通过DHCP Server 10获取IP地址,属于VLAN 10

¡     内部员工通过VLAN 30接入无线网络,支持MAC地址认证、802.1X认证和Portal认证。

¡     开启协漫游功能

¡     AC 1AC 3组成AP双链路1+1备份。

¡     内网iMC同时作为Portal认证服务器、Portal Web服务器和RADIUS服务器

·     外网要求如下:

¡     L3 Switch 2作为DHCP Server,为虚拟AP和接入外网无线服务的Client分配IP地址

¡     虚拟AP通过DHCP Server 20获取IP地址,属于VLAN 20

¡     外部访客通过VLAN 40接入无线网络,支持MAC地址认证、802.1X认证和Portal认证。

¡     外网iMC同时作为Portal认证服务器、Portal Web服务器和RADIUS服务器

图4 虚拟AP配置举例组网图

 

设备

接口

IP地址

设备

接口

IP地址

L3 Switch 1

Vlan-int 10

173.12.1.2/16

L3 Switch 2

Vlan-int 20

173.22.1.2/16

 

Vlan-int 30

112.30.0.1/16

 

Vlan-int 40

112.40.0.3/16

AC 1

Vlan-int 10

173.12.1.3/16

AC 2

Vlan-int 20

173.22.1.3/16

 

Vlan-int 30

112.30.0.2/16

 

Vlan-int 40

112.40.0.2/16

AC 3

Vlan-int 10

173.12.1.7/16

 

 

 

 

Vlan-int 30

112.30.0.3/16

 

 

 

 

2.2  配置注意事项

·     内网AC和外网AC的版本号必须保持一致。

·     AP空配置启动时,AP的双上行口默认是Acess口,PVID1,通过VLAN 1接口发送报文,发出的报文不会携带VLAN TAG。为了防止在这个阶段出现环路,需要在外网SwitchAP相连的物理口上配置命令undo port trunk permit vlan vlan-pvid,即禁止端口缺省VLAN的报文通过。(说明:虚拟AP的管理VLAN和业务VLAN不能配置为端口缺省VLAN

·     AP与外网Switch相连的接口,除了禁止VLAN 1报文通过,还需禁止放行内网流量的相应VLAN,确保AP的双上行口组网不会产生环路。(说明:本注意事项适用于虚拟AP和物理AP使用不同管理VLAN的组网)

2.3  功能配置

2.3.1  内网设备

1. 配置L3 Switch 1

(1)     配置L3 Switch 1的接口

#创建VLAN 10VLAN 30,并为对应的VLAN接口配置IP地址。其中VLAN 10用于转发AC和物理APCAPWAP隧道内的流量,VLAN 30为内部员工的无线客户端接入的VLAN

<L3 switch1>system-view

[L3 switch1] vlan 10

[L3 switch1-vlan10] quit

[L3 switch1] interface vlan-interface 10

[L3 switch1-Vlan-interface10] ip address 173.12.1.2 255.255.0.0

[L3 switch1-Vlan-interface10] quit

[L3 switch1] vlan 30

[L3 switch1-vlan30] quit

[L3 switch1] interface vlan-interface 30

[L3 switch1-Vlan-interface30] ip address 112.30.0.1 255.255.0.0

[L3 switch1-Vlan-interface30] quit

# 创建VLAN 50,用于连接iMC服务器,并为对应的VLAN接口配置IP地址。

[L3 switch1] vlan 50

[L3 switch1-vlan50] quit

[L3 switch1] interface vlan-interface 50

[L3 switch1-Vlan-interface50] ip address 173.18.4.99 255.255.255.0

[L3 switch1-Vlan-interface50] quit

# L3 Switch 1iMC相连的接口加入VLAN 50(此处略)。

# 配置L3 Switch 1AC 1相连的接口GigabitEthernet1/0/1Trunk类型,禁止VLAN 1报文通过,允许VLAN 10VLAN 30通过。

[L3 switch1] interface gigabitethernet 1/0/1

[L3 switch1-GigabitEthernet1/0/1] port link-type trunk

[L3 switch1-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[L3 switch1-GigabitEthernet1/0/1] port trunk permit vlan 10 30

[L3 switch1-GigabitEthernet1/0/1] quit

# 配置L3 Switch 1AC 3相连的接口GigabitEthernet1/0/4Trunk类型,禁止VLAN 1报文通过,允许VLAN 10VLAN 30通过。

[L3 switch1] interface gigabitethernet 1/0/4

[L3 switch1-GigabitEthernet1/0/4] port link-type trunk

[L3 switch1-GigabitEthernet1/0/4] undo port trunk permit vlan 1

[L3 switch1-GigabitEthernet1/0/4] port trunk permit vlan 10 30

[L3 switch1-GigabitEthernet1/0/4] quit

# 配置L3 Switch 1L2 Switch 1相连的接口GigabitEthernet1/0/2Trunk类型,禁止VLAN 1报文通过,并允许VLAN 10通过。

[L3 switch1] interface gigabitethernet 1/0/2

[L3 switch1-GigabitEthernet1/0/2] port link-type trunk

[L3 switch1-GigabitEthernet1/0/2] undo port trunk permit vlan 1

[L3 switch1-GigabitEthernet1/0/2] port trunk permit vlan 10

[L3 switch1-GigabitEthernet1/0/2] quit

# 配置L3 Switch 1与上行网络相连的接口以及缺省路由(此处略)。

(2)     配置DHCP server

#开启DHCP server功能

[L3 switch1] dhcp enable

# 配置DHCP地址池10AP分配地址范围173.12.0.0/16,网关地址为173.12.1.2

[L3 switch1] dhcp server ip-pool 10

[L3 switch1-dhcp-pool-10] network 173.12.0.0 mask 255.255.0.0

[L3 switch1-dhcp-pool-10] gateway-list 173.12.1.2

# 配置DHCP地址池30Client分配地址范围112.30.0.0/16,网关地址为112.30.0.1,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址)。

[L3 switch1] dhcp server ip-pool 30

[L3 switch1-dhcp-pool-30] network 112.30.0.0 mask 255.255.0.0

[L3 switch1-dhcp-pool-30] gateway-list 112.30.0.1

[L3 switch1-dhcp-pool-30] dns-list 112.30.0.1

[L3 switch1-dhcp-pool-30] quit

2. 配置L2 Switch 1

# 创建VLAN 10VLAN 10为物理AP接入的管理VLAN

<L2 switch1> system-view

[L2 switch1] vlan 10

[L2 switch1-vlan10] quit

# 配置L2 Switch 1L3 Switch 1相连的接口GigabitEthernet1/0/1Trunk类型,禁止VLAN 1报文通过,允许VLAN 10通过。

[L2 switch1] interface gigabitEthernet 1/0/1

[L2 switch1-GigabitEthernet1/0/1] port link-type trunk

[L2 switch1-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[L2 switch1-GigabitEthernet1/0/1] port trunk permit vlan 10

[L2 switch1-GigabitEthernet1/0/1] quit

# 配置L2 Switch 1AP相连的接口GigabitEthernet1/0/2Trunk类型,禁止VLAN 1报文通过,PVIDVLAN 10,允许VLAN 10通过,并开启PoE远程供电功能。

[L2 switch1] interface gigabitEthernet 1/0/2

[L2 switch1-GigabitEthernet1/0/2] port link-type trunk

[L2 switch1-GigabitEthernet1/0/2] undo port trunk permit vlan 1

[L2 switch1-GigabitEthernet1/0/2] port trunk pvid vlan 10

[L2 switch1-GigabitEthernet1/0/2] port trunk permit vlan 10

[L2 switch1-GigabitEthernet1/0/2] poe enable

[L2 switch1-GigabitEthernet1/0/2] quit

3. 配置AC 1

(1)     配置内网AC 1的接口

# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址。物理AP将获取该IP地址与内网AC 1建立主CAPWAP隧道。

<AC1> system-view

[AC1] vlan 10

[AC1-vlan10] quit

[AC1] interface vlan-interface 10

[AC1-Vlan-interface10] ip address 173.12.1.3 255.255.0.0

[AC1-Vlan-interface10] quit

# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址。内部员工的无线客户端使用该业务VLAN接入无线网络

[AC1] vlan 30

[AC1-vlan30] quit

[AC1] interface vlan-interface 30

[AC1-Vlan-interface30] ip address 112.30.0.2 255.255.0.0

[AC1-Vlan-interface30] quit

# 配置内网AC 1L3 Switch 1相连的接口GigabitEthernet1/0/1Trunk类型,禁止VLAN 1报文通过,允许VLAN 10VLAN 30通过。

[AC1] interface gigabitethernet 1/0/1

[AC1-GigabitEthernet1/0/1] port link-type trunk

[AC1-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC1-GigabitEthernet1/0/1] port trunk permit vlan 10 30

[AC1-GigabitEthernet1/0/1] quit

# 请确保ACiMC能互通,根据实际组网配置路由。

[AC1] ip route-static 173.18.4.100 32 173.12.1.2

(2)     配置AP并向AP下配置

# 创建手工AP,名称为ap1,型号为WA6322

[AC1] wlan ap ap1 model WA6322

# 设置AP的序列号为219801A23U8204P000C3

[AC1-wlan-ap-ap1] serial-id 219801A23U8204P000C3

# 开启远程配置同步功能。

[AC1-wlan-ap-ap1] remote-configuration enable

# ACAP下发AP视图下的VLAN 20VLAN 20是虚拟AP上线的管理VLAN

[AC1-wlan-ap-ap1] vlan 20

[AC11-wlan-ap-ap1-vlan20] quit

# ACAP下发接口配置,APgigabitethernet 2接口连接外网交换机L2 Switch 2gigabitethernet 2接口允许外网的VLAN 20通过。

[AC1-wlan-ap-ap1] gigabitethernet 2

[AC1-wlan-ap-ap1-gigabitethernet-2] port link-type trunk

[AC1-wlan-ap-ap1-gigabitethernet-2] undo port trunk permit vlan 1

[AC1-wlan-ap-ap1-gigabitethernet-2] port trunk permit vlan 20

[AC1-wlan-ap-ap1-gigabitethernet-2] quit

# AP视图下配置的VLAN、接口配置等命令同步到AP

[AC1-wlan-ap-ap1] remote-configuration synchronize

(3)     配置虚拟AP全局使能

# 配置虚拟AP全局使能。

[AC1] wlan virtual-ap enable

(4)     创建虚拟AP

# AP视图下创建虚拟AP,指定虚拟AP需上线的外网ACIP地址和管理VLAN

[AC1] wlan ap ap1

[AC1-wlan-ap-ap1] virtual-ap ac-address ip 173.22.1.3 management-vlan 20

[AC1-wlan-ap-ap1] quit

(5)     配置AP双链路备份

# 进入ap1视图并配置AP连接的优先级为7

[AC1] wlan ap ap1

[AC1-wlan-ap-ap1] priority 7

# 配置备ACIP地址为内网AC 3的地址173.12.1.7

[AC1-wlan-ap-ap1] backup-ac ip 173.12.1.7

# 配置CAPWAP主隧道抢占功能。

[AC1-wlan-ap-ap1] wlan tunnel-preempt enable

[AC1-wlan-ap-ap1] quit

(6)     配置RADIUS方案

# 创建名为officeRADIUS方案,并进入该方案视图。

[AC1] radius scheme office

# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。

[AC1-radius-office] primary authentication 173.18.4.100

[AC1-radius-office] primary accounting 173.18.4.100

[AC1-radius-office] key authentication simple 12345678

[AC1-radius-office] key accounting simple 12345678

# 配置发送给RADIUS服务器的用户名不携带域名。

[AC1-radius-office] user-name-format without-domain

# 配置设备发送RADIUS报文使用的源IP地址为173.12.1.3

[AC1-radius-office] nas-ip 173.12.1.3

[AC1-radius-office] quit

# 使能RADUIS session control功能。

[AC1] radius session-control enable

# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。

[AC1] radius dynamic-author server

# 设置RADIUS DAE客户端的IP地址为173.18.4.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius

[AC1-radius-da-server] client ip 173.18.4.100 key simple 12345678

[AC1-radius-da-server] quit

(7)     配置认证域

# 创建名为office1ISP域并进入其视图。

[AC1] domain office1

# lan-access用户配置认证、授权和计费方案为使用RADIUS方案office

[AC1-isp-office1] authentication lan-access radius-scheme office

[AC1-isp-office1] authorization lan-access radius-scheme office

[AC1-isp-office1] accounting lan-access radius-scheme office

# 指定ISPoffice1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。

[AC1-isp-office1] authorization-attribute idle-cut 15 1024

[AC1-isp-office1] quit

# 创建名为office2ISP域并进入其视图。

[AC1] domain office2

# portal用户配置认证、授权和计费方案为使用RADIUS方案office

[AC1-isp-office2] authentication portal radius-scheme office

[AC1-isp-office2] authorization portal radius-scheme office

[AC1-isp-office2] accounting portal radius-scheme office

# 指定ISPoffice2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。

[AC1-isp-office2] authorization-attribute idle-cut 15 1024

[AC1-isp-office2] quit

(8)     配置MAC认证

# 配置MAC地址认证的用户名格式为固定用户名格式,用户名为h3cmac,密码为明文12345678

[AC1] mac-authentication user-name-format fixed account h3cmac password simple 12345678

# 创建无线服务模板1SSIDint-mac

[AC1] wlan service-template 1

[AC1-wlan-st-1] ssid int-mac

# 配置无线服务模板VLANVLAN30

[AC1-wlan-st-1] vlan 30

# 配置用户认证方式为MAC地址认证,ISP域为office1

[AC1-wlan-st-1] client-security authentication-mode mac

[AC1-wlan-st-1] mac-authentication domain office1

# 开启BSS切换管理功能。

[AC1-wlan-st-1] bss transition-management enable

# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。

[AC1-wlan-st-1] bss transition-management disassociation

# (可选)开启漫游优化流量保持高级功能。

[AC1-wlan-st-1] sacp roam-optimize traffic-hold enable advanced

# 使能无线服务。

[AC1-wlan-st-1] service-template enable

[AC1-wlan-st-1] quit

(9)     配置802.1X认证

# 配置802.1X认证方式为EAP

[AC1] dot1x authentication-method eap

# 创建无线服务模板2SSIDint-1x

[AC1] wlan service-template 2

[AC1-wlan-st-2] ssid int-1x

# 配置无线服务模板VLAN30

[AC1-wlan-st-2] vlan 30

# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN

[AC1-wlan-st-2] akm mode dot1x

[AC1-wlan-st-2] cipher-suite ccmp

[AC1-wlan-st-2] security-ie rsn

# 配置用户认证方式为802.1XISP域为office1

[AC1-wlan-st-2] client-security authentication-mode dot1x

[AC1-wlan-st-2] dot1x domain office1

# 开启BSS切换管理功能。

[AC1-wlan-st-2] bss transition-management enable

# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。

[AC1-wlan-st-2] bss transition-management disassociation

# (可选)开启漫游优化流量保持高级功能。

[AC1-wlan-st-2] sacp roam-optimize traffic-hold enable advanced

# 使能无线服务模板。

[AC1-wlan-st-2] service-template enable

[AC1-wlan-st-2] quit

(10)     配置Portal认证

# 配置Portal认证服务器名称为newptIP地址为173.18.4.100,监听Portal报文的端口为50100

[AC1] portal server newpt

[AC1-portal-server-newpt] ip 173.18.4.100 key simple 12345678

[AC1-portal-server-newpt] port 50100

[AC1-portal-server-newpt] quit

# 配置Portal Web服务器的URLhttp://173.18.4.100:8080/portal

[AC1] portal web-server wbportal

[AC1-portal-websvr-wbportal] url http://173.18.4.100:8080/portal

[AC1-portal-websvr-wbportal] quit

# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.4.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。

[AC1] portal free-rule 0 destination ip 173.18.4.100 24

# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。

[AC1] portal free-rule 1 destination ip any udp 53

[AC1] portal free-rule 2 destination ip any tcp 53

# 关闭无线Portal客户端ARP表项固化功能。

[AC1] undo portal refresh arp enable

# 开启无线Portal客户端合法性检查功能。

[AC1] portal host-check enable

# 创建服务模板3SSIDint-portal

[AC1] wlan service-template 3

[AC1-wlan-st-3] ssid int-portal

# 配置无线服务模板VLANVLAN 30

[AC1-wlan-st-3] vlan 30

# 在无线服务模板3上使能直接方式的Portal认证。

[AC1-wlan-st-3] portal enable method direct

# 配置接入的Portal用户使用认证域为office2

[AC1-wlan-st-3] portal domain office2

# 在无线服务模板3上引用Portal Web服务器wbportal

[AC1-wlan-st-3] portal apply web-server wbportal

# 在无线服务模板3上配置发送至Portal认证服务器的Portal报文中的BAS-IP属性值为173.12.1.3

[AC1-wlan-st-3] portal bas-ip 173.12.1.3

# 开启BSS切换管理功能。

[AC1-wlan-st-3] bss transition-management enable

 # (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。

[AC1-wlan-st-3] bss transition-management disassociation

# (可选)开启漫游优化流量保持高级功能。

[AC1-wlan-st-3] sacp roam-optimize traffic-hold enable advanced

# 使能无线服务模板3

[AC1–wlan-st-3] service-template enable

[AC1-wlan-st-3] quit

(11)     绑定服务模板并配置协同漫游

# 进入ap1radio 1视图。

[AC1] wlan ap ap1

[AC1-wlan-ap-ap1] radio 1

# 开启射频资源测量功能。

[AC-wlan-ap-ap1-radio-1] resource-measure enable

# 配置无线客户端反粘滞功能,射频每10秒进行信号强度检测,在支持802.11v的无线客户端信号强度低于-30dBm时,引导其进行BSS切换。

说明

请根据现场实际环境,调整RSSI值和检测周期。

 

[AC1-wlan-ap-ap1-radio-1] sacp anti-sticky enable rssi 30 interval 10

# 开启获取BSS候选列表功能,测量周期为10秒。

[AC1-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable interval 10

# 将无线服务模板123绑定到ap 1Radio 1上。

[AC1-wlan-ap-ap1-radio-1] radio enable

[AC1-wlan-ap-ap1-radio-1] service-template 1

[AC1-wlan-ap-ap1-radio-1] service-template 2

[AC1-wlan-ap-ap1-radio-1] service-template 3

[AC1-wlan-ap-ap1-radio-1] quit

[AC1-wlan-ap-ap1] quit

4. 配置AC 3

(1)     配置内网AC 3的接口

# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址。物理AP将获取该IP地址与内网AC 3建立备CAPWAP隧道。

<AC3> system-view

[AC3] vlan 10

[AC3-vlan10] quit

[AC3] interface vlan-interface 10

[AC3-Vlan-interface10] ip address 173.12.1.7 255.255.0.0

[AC3-Vlan-interface10] quit

# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址。内部员工的无线客户端使用该业务VLAN接入无线网络。

[AC3] vlan 30

[AC3-vlan30] quit

[AC3] interface vlan-interface 30

[AC3-Vlan-interface30] ip address 112.30.0.3 255.255.0.0

[AC3-Vlan-interface30] quit

# 配置内网AC 3L3 Switch 1相连的接口GigabitEthernet1/0/1Trunk类型,禁止VLAN 1报文通过,允许VLAN 10VLAN 30通过。

[AC3] interface gigabitethernet 1/0/1

[AC3-GigabitEthernet1/0/1] port link-type trunk

[AC3-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC3-GigabitEthernet1/0/1] port trunk permit vlan 10 30

[AC3-GigabitEthernet1/0/1] quit

# 请确保ACiMC能互通,根据实际组网配置路由。

[AC3] ip route-static 173.18.4.100 32 173.12.1.2

(2)     配置AP并向AP下配置

# 创建手工AP,名称为ap1,型号名称为WA6322

[AC3] wlan ap ap1 model WA6322

# 设置AP的序列号为219801A23U8204P000C3

[AC3-wlan-ap-ap1] serial-id 219801A23U8204P000C3

# 开启远程配置同步功能。

[AC3-wlan-ap-ap1] remote-configuration enable

# ACAP下发AP视图下的VLAN 20VLAN 20是虚拟AP上线的管理VLAN

[AC3-wlan-ap-ap1] vlan 20

[AC31-wlan-ap-ap1-vlan20] quit

# ACAP下发接口配置,APgigabitethernet 2接口连接外网交换机L2 Switch 2gigabitethernet 2接口允许外网的VLAN 20通过。

[AC3-wlan-ap-ap1] gigabitethernet 2

[AC3-wlan-ap-ap1-gigabitethernet-2] port link-type trunk

[AC3-wlan-ap-ap1-gigabitethernet-2] undo port trunk permit vlan 1

[AC3-wlan-ap-ap1-gigabitethernet-2] port trunk permit vlan 20

[AC3-wlan-ap-ap1-gigabitethernet-2]quit

# AP视图下配置的VLAN、接口配置等命令同步到AP

[AC3-wlan-ap-ap1] remote-configuration synchronize

(3)     配置虚拟AP全局使能

# 配置虚拟AP全局使能

[AC3] wlan virtual-ap enable

(4)     创建虚拟AP

# AP视图下创建虚拟AP,指定虚拟AP需上线的外网ACIP地址和管理VALN

[AC3] wlan ap ap1

[AC3-wlan-ap-ap1] virtual-ap ac-address ip 173.22.1.3 management-vlan 20

[AC3-wlan-ap-ap1] quit

(5)     配置AP双链路备份

# 进入ap1视图并配置AP连接的优先级为5

[AC3] wlan ap ap1

[AC3-wlan-ap-ap1] priority 5

#配置备ACIP地址为内网AC 1的地址173.12.1.3

[AC3-wlan-ap-ap1] backup-ac ip 173.12.1.3

(6)     配置RADIUS方案

# 创建名为officeRADIUS方案,并进入其视图。

[AC3] radius scheme office

# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。

[AC3-radius-office] primary authentication 173.18.4.100

[AC3-radius-office] primary accounting 173.18.4.100

[AC3-radius-office] key authentication simple 12345678

[AC3-radius-office] key accounting simple 12345678

# 配置发送给RADIUS服务器的用户名不携带域名。

[AC3-radius-office] user-name-format without-domain

# 配置设备发送RADIUS报文使用的源IP地址为173.12.1.7

[AC3-radius-office] nas-ip 173.12.1.7

[AC3-radius-office] quit

# 使能RADUIS session control功能。

[AC3] radius session-control enable

# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。

[AC3] radius dynamic-author server

# 设置RADIUS DAE客户端的IP地址为173.18.4.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius

[AC3-radius-da-server] client ip 173.18.4.100 key simple 12345678

[AC3-radius-da-server] quit

(7)     配置认证域

# 创建名为office1ISP域并进入其视图。

[AC3] domain office1

# lan-access用户配置认证、授权、计费方案为RADIUS方案office

[AC3-isp-office1] authentication lan-access radius-scheme office

[AC3-isp-office1] authorization lan-access radius-scheme office

[AC3-isp-office1] accounting lan-access radius-scheme office

# 指定ISPoffice1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。

[AC3-isp-office1] authorization-attribute idle-cut 15 1024

[AC3-isp-office1] quit

[AC3-isp-office1] quit

# 创建名为office2ISP域并进入其视图。

[AC3] domain office2

# portal用户配置认证、授权、计费方案为RADIUS方案office

[AC3-isp-office2] authentication portal radius-scheme office

[AC3-isp-office2] authorization portal radius-scheme office

[AC3-isp-office2] accounting portal radius-scheme office

# 指定ISPoffice2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。

[AC3-isp-office2] authorization-attribute idle-cut 15 1024

[AC3-isp-office2] quit

(8)     配置MAC认证

# 配置MAC地址认证的用户名为固定用户名格式,用户名为h3cmac,密码为明文12345678

[AC3] mac-authentication user-name-format fixed account h3cmac password simple 12345678

# 创建无线服务模板1SSIDint-mac

[AC3] wlan service-template 1

[AC3-wlan-st-1] ssid int-mac

# 配置无线服务模板VLANVLAN30

[AC3-wlan-st-1] vlan 30

# 配置用户认证方式为MAC地址认证,ISP域为office1

[AC3-wlan-st-1] client-security authentication-mode mac

[AC3-wlan-st-1] mac-authentication domain office1

# 开启BSS切换管理功能。

[AC3-wlan-st-1] bss transition-management enable

# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。

[AC3-wlan-st-1] bss transition-management disassociation

# (可选)开启漫游优化流量保持高级功能。

[AC3-wlan-st-1] sacp roam-optimize traffic-hold enable advanced

# 使能无线服务。

[AC3-wlan-st-1] service-template enable

[AC3-wlan-st-1] quit

(9)     配置802.1X认证

# 配置802.1X认证方式为EAP

[AC3] dot1x authentication-method eap

# 创建无线服务模板2SSIDint-1x

[AC3] wlan service-template 2

[AC3-wlan-st-2] ssid int-1x

# 配置无线服务模板VLAN30

[AC3-wlan-st-2] vlan 30

# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN

[AC3-wlan-st-2] akm mode dot1x

[AC3-wlan-st-2] cipher-suite ccmp

[AC3-wlan-st-2] security-ie rsn

# 配置用户认证方式为802.1XISP域为office1

[AC3-wlan-st-2] client-security authentication-mode dot1x

[AC3-wlan-st-2] dot1x domain office1

# 开启BSS切换管理功能。

[AC3-wlan-st-2] bss transition-management enable

# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。

[AC3-wlan-st-2] bss transition-management disassociation

# (可选)开启漫游优化流量保持高级功能。

[AC3-wlan-st-2] sacp roam-optimize traffic-hold enable advanced

# 使能无线服务模板。

[AC3-wlan-st-2] service-template enable

[AC3-wlan-st-2] quit

(10)     配置Portal认证

#配置Portal认证服务器名称为newptIP地址为173.18.4.100,监听Portal报文的端口为50100

[AC3] portal server newpt

[AC3-portal-server-newpt] ip 173.18.4.100 key simple 12345678

[AC3-portal-server-newpt] port 50100

[AC3-portal-server-newpt] quit

# 配置Portal Web服务器的URLhttp://173.18.4.100:8080/portall

[AC3] portal web-server wbportal

[AC3-portal-websvr-wbportal] url http://173.18.4.100:8080/portal

[AC3-portal-websvr-wbportal] quit

# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.4.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。

[AC3] portal free-rule 0 destination ip 173.18.4.100 24

# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。

[AC3] portal free-rule 1 destination ip any udp 53

[AC3] portal free-rule 2 destination ip any tcp 53

# 关闭无线Portal客户端ARP表项固化功能。

[AC3] undo portal refresh arp enable

# 开启无线Portal客户端合法性检查功能。

[AC3] portal host-check enable

#创建服务模板3SSIDint-portal

[AC3] wlan service-template 3

[AC3-wlan-st-3] ssid int-portal

# 配置无线服务模板VLANVLAN 30

[AC3-wlan-st-3] vlan 30

# 在无线服务模板3上使能直接方式的Portal认证。

[AC3-wlan-st-3] portal enable method direct

# 配置接入的Portal用户使用认证域为office2

[AC3-wlan-st-3] portal domain office2

# 在无线服务模板3上引用Portal Web服务器wbportal

[AC3-wlan-st-3] portal apply web-server wbportal

# 在无线服务模板3上配置发送至Portal认证服务器的Portal报文中的BAS-IP属性值为173.12.1.7

[AC3-wlan-st-3] portal bas-ip 173.12.1.7

# 开启BSS切换管理功能。

[AC3-wlan-st-3] bss transition-management enable

# (可选)配置切换解除关联功能。超过缺省解除关联时间后,未切换BSS的客户端不会被强制下线。

[AC3-wlan-st-3] bss transition-management disassociation

# (可选)开启漫游优化流量保持高级功能。

[AC3-wlan-st-3] sacp roam-optimize traffic-hold enable advanced

# 使能无线服务模板3

[AC3–wlan-st-3] service-template enable

[AC3-wlan-st-3] quit

(11)     绑定服务模板并配置协同漫游

# 进入ap1radio 1视图。

[AC3] wlan ap ap1

[AC3-wlan-ap-ap1] radio 1

# 开启射频资源测量功能。

[AC3-wlan-ap-ap1-radio-1] resource-measure enable

# 配置无线客户端反粘滞功能,射频每10秒进行信号强度检测,在支持802.11v的无线客户端信号强度低于-30dBm时,引导其进行BSS切换。

说明

请根据现场实际环境,调整RSSI值和检测周期。

 

[AC3-wlan-ap-ap1-radio-1] sacp anti-sticky enable rssi 30 interval 10

# 开启获取BSS候选列表功能,测量周期为10秒。

[AC3-wlan-ap-ap1-radio-1] sacp roam-optimize bss-candidate-list enable interval 10

# 将无线服务模板123绑定到ap 1Radio 1上。

[AC3-wlan-ap-ap1-radio-1] radio enable

[AC3-wlan-ap-ap1-radio-1] service-template 1

[AC3-wlan-ap-ap1-radio-1] service-template 2

[AC3-wlan-ap-ap1-radio-1] service-template 3

[AC3-wlan-ap-ap1-radio-1] quit

[AC3-wlan-ap-ap1] quit

2.3.2  配置内网iMC

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303P10)iMC UAM 7.1(E0303P10),说明RADIUS serverPortal server的基本配置。

 

1. 配置RADIUS server

(1)     增加接入设备

# 增加接入设备AC1

登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。

·     在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与内网AC1上配置RADIUS服务器时的密钥一致。

·     在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.12.1.3”,该IP地址为内网AC1上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。

·     其他配置采用页面默认配置即可。

·     单击<确定>按钮完成操作。

图5 增加接入设备AC1

 

# 增加接入设备AC3

登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。

·     在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与内网AC3上配置RADIUS服务器时的密钥一致。

·     在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.12.1.7”,该IP地址为内网AC3上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。

·     其他配置采用页面默认配置即可。

·     单击<确定>按钮完成操作。

图6 增加接入设备AC3

 

(2)     增加接入策略

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面。

# 创建MAC认证接入策略

在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条MAC认证的接入策略。

·     接入策略mac”。

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图7 增加MAC认证接入策略

 

# 创建802.1X认证接入策略

在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条802.1X认证的接入策略。

·     接入策略名为“dot1x”。

·     首选EAP类型选择EAP-PEAP认证,子类型为EAP-MSCHAPv2认证。认证证书子类型需要与客户端的身份验证方法一致。

·     其它参数可采用缺省配置,并单击<确定>按钮完成操作

图8 增加802.1X认证接入策略

 

# 创建Portal认证接入策略

在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条Portal认证的接入策略。

·     接入策略portal”。

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图9 增加Portal认证接入策略

 

(3)     增加接入服务

选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面。

# 创建MAC认证接入服务

在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。

·     服务名为“mac”。

·     缺省接入策略选择已创建的接入策略“mac”。

·     其他采用默认配置

·     单击<确定>按钮完成配置。

图10 增加MAC认证接入服务

 

# 创建802.1X认证接入服务

在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面

·     服务名为“dot1x”。

·     缺省接入策略选择已创建的接入策略“dot1x”。

·     其他采用默认配置

·     单击<确定>按钮完成配置。

图11 增加802.1X认证接入服务

 

# 创建Portal认证接入服务

在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。

·     服务名为“portal”。

·     缺省接入策略选择已创建的接入策略portal”。

·     其他采用默认配置

·     单击<确定>按钮完成配置。

图12 增加Portal认证接入服务

 

(4)     增加接入用户

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户管理页面。

# 增加MAC认证接入用户

在接入用户管理页面,单击<增加>按钮,增加一个接入用户。

·     如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。

·     配置帐号名为“h3cmac”,密码为“12345678”。

·     勾选绑定服务名“mac”。

·     单击<确定>按钮完成。

图13 增加MAC认证接入用户

 

# 增加802.1X认证接入用户

在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面

·     如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。

·     添加账号名为“dot1x”,密码为12345678

·     勾选绑定服务名“dot1x”。

图14 增加802.1X认证接入用户

 

# 增加Portal认证接入用户

在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面

·     如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。

·     添加账号名为“portal”,密码为12345678

·     勾选绑定服务名“portal

图15 增加Portal认证接入用户

 

2. 配置Portal server

(1)     配置IP地址组

选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

·     填写IP地址组名

·     输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址。

·     选择业务分组,本例中使用缺省的“未分组”;

·     选择IP地址组的类型为“普通”。

图16 增加IP地址组配置页面

 

(2)     增加Portal设备

选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面。

# 增加Portal设备AC1

Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。

·     填写设备名

·     指定IP地址为与接入用户相连的设备接口IP,即内网AC1IP地址173.12.1.3

·     输入密钥“12345678”,与AC上的配置保持一致

图17 增加Portal设备AC1

 

# 增加Portal设备AC3

Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。

·     填写设备名

·     指定IP地址为与接入用户相连的设备接口IP,即内网AC3IP地址173.12.1.7

·     输入密钥“12345678”,与AC上的配置保持一致

图18 增加Portal设备AC3

 

(3)     配置关联IP地址组

Portal设备配置页面中的设备信息列表中,分别点击portal-intportal-int1设备的<端口组信息管理>按钮,进入端口组信息配置页面,完成以下配置:

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

·     填写端口组名

·     认证方式选择“CHAP”。

·     选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组。

·     其它参数可采用缺省配置。

图19 访问端口组信息配置页面

 

图20 Portal设备AC1地址组配置

 

图21 Portal设备AC3地址组配置

 

# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。

2.3.3  外网设备

1. 配置L3 Switch 2

(1)     配置L3 Switch 2的接口

#创建VLAN 20VLAN 40,并为其对应的VLAN接口配置IP地址。其中VLAN 20用于转发AC和虚拟APCAPWAP隧道内的流量,VLAN 40为外部访客的无线客户端的接入VLAN

<L3 switch2> system-view

[L3 switch2] vlan 20

[L3 switch2-vlan20] quit

[L3 switch2]interface vlan-interface 20

[L3 switch2-Vlan-interface20] ip address 173.22.1.2 255.255.0.0

[L3 switch2-Vlan-interface20] quit

[L3 switch2] vlan 40

[L3 switch2-vlan40] quit

[L3 switch2]interface vlan-interface 40

[L3 switch2-Vlan-interface40] ip address 112.40.0.3 255.255.0.0

[L3 switch2-Vlan-interface40] quit

# 创建VLAN 50,用于连接iMC服务器,并为对应的VLAN接口配置IP地址。

[L3 switch2] vlan 50

[L3 switch2-vlan50] quit

[L3 switch2] interface vlan-interface 50

[L3 switch2-Vlan-interface50] ip address 173.18.5.99 255.255.255.0

[L3 switch2-Vlan-interface50] quit

# L3 Switch 2iMC相连的接口加入VLAN 50(此处略)。

# 配置L3 Switch 2AC 2相连的接口GigabitEthernet1/0/5Trunk类型,禁止VLAN 1报文通过,允许VLAN 20VLAN 40通过。

[L3 switch2] interface gigabitethernet 1/0/5

[L3 switch2-GigabitEthernet1/0/5] port link-type trunk

[L3 switch2-GigabitEthernet1/0/5] undo port trunk permit vlan 1

[L3 switch2-GigabitEthernet1/0/5] port trunk permit vlan 20 40

[L3 switch2-GigabitEthernet1/0/5] quit

# 配置L3 Switch 2L2 Switch 2相连的接口GigabitEthernet1/0/11Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过。

[L3 switch2] interface gigabitethernet 1/0/11

[L3 switch2-GigabitEthernet1/0/11] port link-type trunk

[L3 switch2-GigabitEthernet1/0/11] undo port trunk permit vlan 1

[L3 switch2-GigabitEthernet1/0/11] port trunk permit vlan 20

[L3 switch2-GigabitEthernet1/0/11] quit

# 配置L3 Switch 2与上行网络相连的接口以及缺省路由(此处略)。

(2)     配置DHCP server

#开启DHCP server功能。

[L3 switch2] dhcp enable

# 配置DHCP地址池20为虚拟AP分配地址范围173.22.0.0/16,网关地址为173.22.1.2

[L3 switch2] dhcp server ip-pool 20

[L3 switch2-dhcp-pool-20] network 173.22.0.0 mask 255.255.0.0

[L3 switch2-dhcp-pool-20] gateway-list 173.22.1.2

# 配置DHCP 地址池40Client分配地址范围112.40.0.0/16,网关地址为112.40.0.3,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址)。。

[L3 switch2] dhcp server ip-pool 40

[L3 switch2-dhcp-pool-40] network 112.40.0.0 mask 255.255.0.0

[L3 switch2-dhcp-pool-40] gateway-list 112.40.0.3

[L3 switch2-dhcp-pool-40] dns-list 112.40.0.3

[L3 switch2-dhcp-pool-40] quit

2. 配置L2 Switch 2

# 创建VLAN 20VLAN 20为虚拟AP接入的管理VLAN

<L2 switch2> system-view

[L2 switch2] vlan 20

[L2 switch2-vlan20] quit

# 配置L2 Switch 2L3 Switch 2相连的接口GigabitEthernet1/0/1Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过。

[L2 switch2] interface gigabitEthernet 1/0/1

[L2 switch2-GigabitEthernet1/0/1] port link-type trunk

[L2 switch2-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[L2 switch2-GigabitEthernet1/0/1] port trunk permit vlan 20

[L2 switch2-GigabitEthernet1/0/1] quit

# 配置L2 Switch 2AP相连的接口GigabitEthernet1/0/2Trunk类型,禁止VLAN 1报文通过,允许VLAN 20通过,并开启PoE远程供电功能。

[L2 switch2] interface gigabitEthernet 1/0/2

[L2 switch2-GigabitEthernet1/0/2] port link-type trunk

[L2 switch2-GigabitEthernet1/0/2] undo port trunk permit vlan 1

[L2 switch2-GigabitEthernet1/0/2] port trunk permit vlan 20

[L2 switch2-GigabitEthernet1/0/2] poe enable

[L2 switch2-GigabitEthernet1/0/2] quit

3. 配置AC 2

(1)     配置外网AC 2的接口

# 创建VLAN 20及其对应的VLAN接口,并为该接口配置IP地址。虚拟AP将获取该IP地址与外网AC 2建立CAPWAP隧道。

<AC2> system-view

[AC2] vlan 20

[AC2-vlan20] quit

[AC2] interface vlan-interface 20

[AC2-Vlan-interface20] ip address 173.22.1.3 255.255.0.0

[AC2-Vlan-interface20] quit

# 创建VLAN 40及其对应的VLAN接口,并为该接口配置IP地址。外部访客的无线客户端使用该业务VLAN接入无线网络。

[AC2] vlan 40

[AC2-vlan40] quit

[AC2] interface vlan-interface 40

[AC2-Vlan-interface40] ip address 112.40.0.2 255.255.0.0

[AC2-Vlan-interface40] quit

# 配置AC 2L3 Switch 2相连的接口GigabitEthernet1/0/1Trunk类型,禁止VLAN 1报文通过,允许VLAN 20VLAN 40通过。

[AC2] interface gigabitethernet 1/0/1

[AC2-GigabitEthernet1/0/1] port link-type trunk

[AC2-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC2-GigabitEthernet1/0/1] port trunk permit vlan 20 40

[AC2-GigabitEthernet1/0/1] quit

#请确保ACiMC能互通,根据实际组网配置路由

[AC2]ip route-static 173.18.5.100 32 173.22.1.2

(2)     配置虚拟AP

# 创建手工虚拟AP,名称为virtual-ap1,型号为WA6322

[AC2] wlan virtual-ap virtual-ap1 model WA6322

# 设置虚拟AP的序列号为219801A23U8204P000C3,序列号为物理AP的序列号。。

[AC2-wlan-virtual-ap-virtual-ap1] serial-id 219801A23U8204P000C3

[AC2-wlan-virtual-ap-virtual-ap1] quit

(3)     配置RADIUS方案

# 创建名为officeRADIUS方案,并进入其视图。

[AC2] radius scheme office

# 配置RADIUS方案的主认证和主计费服务器的IP地址和通信密钥。

[AC2-radius-office] primary authentication 173.18.5.100

[AC2-radius-office] primary accounting 173.18.5.100

[AC2-radius-office] key authentication simple 12345678

[AC2-radius-office] key accounting simple 12345678

# 配置发送给RADIUS服务器的用户名不携带域名。

[AC2-radius-office] user-name-format without-domain

# 配置设备发送RADIUS报文使用的源IP地址为173.22.1.3

[AC2-radius-office] nas-ip 173.22.1.3

[AC2-radius-office] quit

# 使能RADUIS session control功能。

[AC2] radius session-control enable

# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。

[AC2] radius dynamic-author server

# 设置RADIUS DAE客户端的IP地址为173.18.5.100,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius

[AC2-radius-da-server] client ip 173.18.5.100 key simple 12345678

[AC2-radius-da-server] quit

(4)     配置认证域

# 创建名为office1ISP域,并进入其视图。

[AC2] domain office1

# lan-access用户配置认证、授权、计费方案为RADIUS方案office

[AC2-isp-office1] authentication lan-access radius-scheme office

[AC2-isp-office1] authorization lan-access radius-scheme office

[AC2-isp-office1] accounting lan-access radius-scheme office

# 指定ISPoffice1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。

[AC2-isp-office1] authorization-attribute idle-cut 15 1024

[AC2-isp-office1] quit

# 创建名为office2ISP域,并进入其视图。

[AC2] domain office2

# portal用户配置认证、授权、计费方案为RADIUS方案office

[AC2-isp-office1] authentication portal radius-scheme office

[AC2-isp-office1] authorization portal radius-scheme office

[AC2-isp-office1] accounting portal radius-scheme office

# 指定ISPoffice2下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。

[AC2-isp-office2] authorization-attribute idle-cut 15 1024

[AC2-isp-office2] quit

(5)     配置MAC认证

# 配置MAC地址认证的用户名格式为固定用户名格式,用户名为h3cmac,密码为明文12345678

[AC2] mac-authentication user-name-format fixed account h3cmac password simple 12345678

# 创建无线服务模板1,,SSIDout-mac

[AC2] wlan service-template 1

[AC2-wlan-st-1] ssid out-mac

# 配置无线服务模板VLANVLAN40。。

[AC2-wlan-st-1] vlan 40

# 配置用户认证方式为MAC地址认证,ISP域为office1

[AC2-wlan-st-1] client-security authentication-mode mac

[AC2-wlan-st-1] mac-authentication domain office1

# 使能无线服务。

[AC2-wlan-st-1] service-template enable

[AC2-wlan-st-1] quit

(6)     配置802.1X认证

# 配置802.1X认证方式为EAP

[AC2] dot1x authentication-method eap

# 创建无线服务模板2SSIDout-1x

[AC2] wlan service-template 2

[AC2-wlan-st-2] ssid out-1x

# 配置无线服务模板VLAN40

[AC2-wlan-st-2] vlan 40

# 配置身份认证与密钥管理的模式(AKM)为802.1X,加密套件为CCMP,安全信息元素(IE)为RSN

[AC2-wlan-st-2] akm mode dot1x

[AC2-wlan-st-2] cipher-suite ccmp

[AC2-wlan-st-2] security-ie rsn

# 配置用户认证方式为802.1XISP域为office1

[AC2-wlan-st-2] client-security authentication-mode dot1x

[AC2-wlan-st-2] dot1x domain office1

# 使能无线服务模板。

[AC2-wlan-st-2] service-template enable

[AC2-wlan-st-2] quit

(7)     配置Portal认证

# 配置Portal认证服务器,名称为newptIP地址为173.18.5.100,监听Portal报文的端口为50100

[AC2] portal server newpt

[AC2-portal-server-newpt] ip 173.18.5.100 key simple 12345678

[AC2-portal-server-newpt] port 50100

[AC2-portal-server-newpt] quit

# 配置Portal Web服务器的URLhttp://173.18.5.100:8080/portal

[AC2] portal web-server wbportal

[AC2-portal-websvr-wbportal] url http://173.18.5.100:8080/portal

[AC2-portal-websvr-wbportal] quit

# 配置一条基于IPv4地址的Portal免认证规则,编号为0,目的地址为173.18.5.100,以便放行访问Portal Web服务器的流量,让用户可以正常访问Portal Web服务器。

[AC2] portal free-rule 0 destination ip 173.18.5.100 24

# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。

[AC2] portal free-rule 1 destination ip any udp 53

[AC2] portal free-rule 2 destination ip any tcp 53

# 关闭无线Portal客户端ARP表项固化功能。

[AC2] undo portal refresh arp enable

# 开启无线Portal客户端合法性检查功能。

[AC2] portal host-check enable

#创建服务模板3SSIDout-portal

[AC2] wlan service-template 3

[AC2-wlan-st-3] ssid out-portal

# 配置无线服务模板VLANVLAN 40

[AC2-wlan-st-3] vlan 40

# 在无线服务模板3上使能直接方式的Portal认证。

[AC2-wlan-st-3] portal enable method direct

# 配置接入的Portal用户使用认证域为office2

[AC2-wlan-st-3] portal domain office2

# 在无线服务模板3上引用Portal Web服务器wbportal

[AC2-wlan-st-3] portal apply web-server wbportal

# 在无线服务模板3上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为173.22.1.3

[AC2-wlan-st-3] portal bas-ip 173.22.1.3

# 使能无线服务模板3

[AC2–wlan-st-3] service-template enable

[AC2-wlan-st-st1] quit

(8)     绑定服务模板

#进入virtual-ap1radio 1视图,并将无线服务模板123绑定到Radio 1上。

[AC2] wlan virtual-ap virtual-ap1

[AC2-wlan-virtual-ap-virtual-ap1] radio 1

[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 1

[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 2

[AC2-wlan-virtual-ap-virtual-ap1-radio 1] service-template 3

[AC2-wlan-virtual-ap-virtual-ap1-radio 1] quit

[AC2-wlan-virtual-ap-virtual-ap1] quit

2.3.4  配置外网iMC

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303P10)iMC UAM 7.1(E0303P10),说明RADIUS serverPortal server的基本配置。

 

1. 配置RADIUS server

(1)     增加接入设备

# 增加接入设备AC2

登录进入iMC管理平台,选择“用户”页签,单击导航树中[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。

·     在“接入配置”栏目,在“接入配置”区域配置共享密钥为“12345678”,该共享密钥与外网AC2上配置RADIUS服务器时的密钥一致。

·     在“设备列表”栏目单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为“173.22.1.3”,该IP地址为外网AC2上配置的radius scheme视图下的nas-ip地址,单击<确定>按钮完成操作。

·     其他配置采用页面默认配置即可。

·     单击<确定>按钮完成操作。

图22 增加接入设备AC2

 

(2)     增加接入策略

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面。

# 创建MAC认证接入策略

在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条MAC认证的接入策略。

·     接入策略mac”。

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图23 增加MAC认证接入策略

 

# 创建802.1X认证接入策略

在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条802.1X认证的接入策略。

·     接入策略名为“dot1x”。

·     首选EAP类型选择EAP-PEAP认证,子类型为EAP-MSCHAPv2认证。认证证书子类型需要与客户端的身份验证方法一致。

·     其它参数可采用缺省配置,并单击<确定>按钮完成操作

图24 增加802.1X认证接入策略

 

# 创建Portal认证接入策略

在接入策略管理页面,单击<增加>按钮,进入增加接入策略页面,创建一条Portal认证的接入策略。

·     接入策略portal”。

·     其它参数采用缺省值,并单击<确定>按钮完成操作。

图25 增加Portal认证接入策略

 

(3)     增加接入服务

选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面。

# 创建MAC认证接入服务

在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。

·     服务名为“mac”。

·     缺省接入策略选择已创建的接入策略“mac”。

·     其他采用默认配置

·     单击<确定>按钮完成配置。

图26 增加MAC认证接入服务

 

# 创建802.1X认证接入服务

在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面

·     服务名为“dot1x”。

·     缺省接入策略选择已创建的接入策略“dot1x”。

·     其他采用默认配置

·     单击<确定>按钮完成配置。

图27 增加802.1X认证接入服务

 

# 创建Portal认证接入服务

在接入服务管理页面,单击<增加>按钮,进入增加接入服务页面。

·     服务名为“portal”。

·     缺省接入策略选择已创建的接入策略portal”。

·     其他采用默认配置

·     单击<确定>按钮完成配置。

图28 增加Portal认证接入服务

 

(4)     增加接入用户

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户管理页面。

# 增加MAC认证接入用户

在接入用户管理页面,单击<增加>按钮,增加一个接入用户。

·     如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。

·     配置帐号名为“h3cmac”,密码为“12345678”。

·     勾选绑定服务名“mac”。

·     单击<确定>按钮完成。

图29 增加MAC认证接入用户

 

# 增加802.1X认证接入用户

在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面

·     如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。

·     添加账号名为“dot1x”,密码为12345678

·     勾选绑定服务名“dot1x”。

图30 增加802.1X认证接入用户

 

# 增加Portal认证接入用户

在接入用户管理页面,单击<增加>按钮,进入增加接入用户页面

·     如果用户已存在,用户姓名选择可接入的用户,如果用户不存在,则需要单击<增加用户>按钮添加新用户。

·     添加账号名为“portal”,密码为12345678

·     勾选绑定服务名“portal

图31 增加Portal认证接入用户

 

2. 配置Portal server

(1)     配置IP地址组

选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

·     填写IP地址组名

·     输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址。

·     选择业务分组,本例中使用缺省的“未分组”;

·     选择IP地址组的类型为“普通”。

图32 增加IP地址组配置页面

 

(2)     增加Portal设备

选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面。

# 增加Portal设备AC2

Portal设备配置页面,单击<增加>按钮,进入增加设备信息配置页面。

·     填写设备名

·     指定IP地址为与接入用户相连的设备接口IP,即外网AC2IP地址173.22.1.3

·     输入密钥“12345678”,与AC上的配置保持一致

图33 增加Portal设备AC2

 

(3)     配置关联IP地址组

Portal设备配置页面中的设备信息列表中,点击portal-out设备的<端口组信息管理>按钮,进入端口组信息配置页面,完成以下配置:

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

·     填写端口组名

·     认证方式选择“CHAP”。

·     选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组。

·     其它参数可采用缺省配置。

图34 访问端口组信息配置页面

 

图35 Portal设备AC2地址组配置

 

# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。

2.3.5  验证

使用display wlan virtual-ap { all | name ap-name }命令可以在外网AC2上查看虚拟AP在线状态。

# 显示所有虚拟AP的信息。

<H3C>display wlan virtual-ap all                                               

Total number of virtual-APs: 1                                                 

Total number of connected virtual-APs: 1                                       

Total number of connected common virtual-APs: 1                                

Total number of connected virtual-WTUs: 0                                      

Maximum supported APs: 3072                                                    

Remaining APs: 3071                                                            

                                                                               

                                 AP information                                

 State : I = Idle,      J  = Join,       JA = JoinAck,    IL = ImageLoad       

         C = Config,    DC = DataCheck,  R  = Run,   M = Master,  B = Backup   

                                                                               

AP name                        APID  State Model           Serial ID           

ap1                            1     R/M   WA6322          219801A23U8204P000C3

2.4  配置使用限制

·     1个物理AP上最多可以创建1个虚拟AP

·     虚拟AP不支持自动AP

·     配置的虚拟AP连接的ACIP地址不能和物理AP上线的ACIP地址相同,但两者的IP地址类型需要保持一致,即都通过IPv4地址或者IPv6地址在AC上线。

·     开启虚拟AP功能后,一个Radio下可以创建的最大BSS个数会减半。

·     关闭虚拟AP功能前,需要确保所有APAP组视图下没有创建虚拟AP,否则需要首先删除已创建的虚拟AP,才能成功关闭虚拟AP功能。

·     通过设置虚拟AP上线时所使用的管理VLAN,可以实现物理AP和虚拟AP的管理VLAN隔离。

·     如果物理AP和虚拟AP使用相同的管理VLAN,则必须在AP的以太网接口上配置端口隔离功能。

·     虚拟AP能否正常工作依赖于物理AP,请确保物理AP处于正常工作状态。例如:物理AP断开CAPWAP隧道连接,也会导致虚拟AP断开CAPWAP隧道连接。

设备型号推荐

虚拟AP技术推荐使用1所示的无线控制器。

表1 虚拟AP技术无线控制器型号推荐

产品型号

软件版本

WX3510X

ESS 1053P01及以上版本

WX3520X

ESS 1053P01及以上版本

WX3540X

ESS 1053P01及以上版本

 

新华三官网
联系我们