H3C无线控制器AC间漫游典型配置举例(V7) 下载本文

内容发布更新时间 : 2024/11/16 8:19:30星期一 下面是文章的全部内容请认真阅读。

H3C无线控制器AC间漫游典型配置举例(V7)

1 组网需求

如图1所示,在一个区域内通过部署两台AC来为用户提供无线服务,并实现客户端可以在AC间进行快速漫游。具体要求如下:

?AC 1上的客户端业务VLAN为VLAN 200,AC 2上的客户端业务VLAN为VLAN

400。

?客户端跨AC漫游后,客户端数据不经过IACTP隧道返回Home-AC。

?配置用户隔离功能加强用户的安全性,并且减少用户产生的大量组播、广播报文对

无线空口资源的占用。 图1 AC间漫游组网图

设备 AC1 AC2

接口 Vlan-int100 Vlan-int200 Vlan-int100 Vlan-int400 IP地址 192.1.0.2/16 192.2.0.2/16 192.1.0.3/16 192.4.0.2/16 设备 Switch 接口 Vlan-int100 Vlan-int200 Vlan-int300 Vlan-int400 IP地址 192.1.0.1/16 192.2.0.1/16 192.3.0.1/16 192.4.0.1/16 2 配置关键点

2.1 配置AC 1

(1) 在AC上配置相关VLAN和对应虚接口地址,并放通对应接口。 (2) 配置802.1X认证

# 选择802.1X认证方式为EAP。

[AC1] dot1x authentication-method eap

#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。

[AC1] radius scheme office

[AC1-radius-office] primary authentication 192.3.0.2 [AC1-radius-office] primary accounting 192.3.0.2 [AC1-radius-office] key authentication 12345678 [AC1-radius-office] key accounting 12345678 [AC1-radius-office] nas-ip 192.1.0.2

#创建名为office的ISP域,配置认证、计费、授权方案。

[AC1] domain office [AC1-isp-office] authentication lan-access radius-scheme office [AC1-isp-office] authorization lan-access radius-scheme office [AC1-isp-office] accounting lan-access radius-scheme office (3) 配置无线接入服务,配置dot1x认证

[AC1] wlan service-template 1 [AC1-wlan-st-1] ssid service [AC1-wlan-st-1] vlan 200

[AC1-wlan-st-1] client forwarding-location ac [AC1-wlan-st-1] akm mode dot1x

[AC1-wlan-st-1] client-security authentication-mode dot1x [AC1-wlan-st-1] dot1x domain office [AC1-wlan-st-1] cipher-suite ccmp [AC1-wlan-st-1] security-ie rsn

[AC1-wlan-st-1] service-template enable (4) 配置AP

[AC1] wlan ap ap1 model WA4320i-ACN

[AC1-wlan-ap-ap1] serial-id 210235A1GQC14C000225 [AC1-wlan-ap-ap1] radio 1

[AC1-wlan-ap-ap1-radio-1] service-template 1 [AC1-wlan-ap-ap1-radio-1] radio enable [AC1-wlan-ap-ap1-radio-1] quit [AC1-wlan-ap-ap1] quit (5) 配置漫游功能

# 创建漫游组1,并进入漫游组视图。

[AC1] wlan mobility group 1

# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.2。

[AC1-wlan-mg-1] source ip 192.1.0.2

# 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.3。

[AC1-wlan-mg-1] member ip 192.1.0.3 # 开启漫游组功能。

[AC1-wlan-mg-1] group enable (6) 配置用户隔离功能

# 在VLAN 200上开启用户隔离功能。

[AC1] user-isolation vlan 200 enable

# 将VLAN 200的用户网关MAC地址加入VLAN 200所允许的MAC地址列表。 [AC1] user-isolation vlan 200 permit-mac 000f-e212-7788 (7) 配置缺省路由

# 配置AC 1的缺省路由,下一跳地址为192.1.0.1。

[AC1] ip route-static 0.0.0.0 0.0.0.0 192.1.0.1

2.2 配置AC2

(1) 在AC上配置相关VLAN和对应虚接口地址,并放通对应接口。 (2) 配置802.1X认证

# 选择802.1X认证方式为EAP。

[AC2] dot1x authentication-method eap

#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。 [AC2] radius scheme office

[AC2-radius-office] primary authentication 192.3.0.2 [AC2-radius-office] primary accounting 192.3.0.2 [AC2-radius-office] key authentication 12345678 [AC2-radius-office] key accounting 12345678 [AC2-radius-office] nas-ip 192.1.0.3

#创建名为office的ISP域,配置认证、计费、授权方案。

[AC2] domain office [AC2-isp-office] authentication lan-access radius-scheme office [AC2-isp-office] authorization lan-access radius-scheme office [AC2-isp-office] accounting lan-access radius-scheme office (3) 配置无线接入服务,开启dot1x认证。

[AC2] wlan service-template 1 [AC2-wlan-st-1] ssid service [AC2-wlan-st-1] vlan 200

[AC1-wlan-st-1] client forwarding-location ac [AC2-wlan-st-1] akm mode dot1x

[AC2-wlan-st-1] client-security authentication-mode dot1x [AC2-wlan-st-1] dot1x domain office [AC2-wlan-st-1] cipher-suite ccmp [AC2-wlan-st-1] security-ie rsn

[AC2-wlan-st-1] service-template enable (4) 配置AP

[AC2] wlan ap ap2 model WA4320i-ACN

[AC2-wlan-ap-ap2] serial-id 210235A1GQC14C000224 [AC2-wlan-ap-ap2] radio 1

[AC2-wlan-ap-ap2-radio-1] service-template 1 [AC2-wlan-ap-ap2-radio-1] radio enable (5) 配置漫游功能

# 创建漫游组1,并进入到漫游组视图。

[AC2] wlan mobility group 1

# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.3。

[AC2-wlan-mg-1] source ip 192.1.0.3

# 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.2。

[AC2-wlan-mg-1] member ip 192.1.0.2 # 开启漫游组功能。