H3C无线控制器AC间漫游典型配置举例(V7)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C无线控制器AC间漫游典型配置举例(V7)
1 组网需求
如图1所示,在一个区域内通过部署两台AC来为用户提供无线服务,并实现客户端可以在AC间进行快速漫游。具体要求如下:
∙AC 1上的客户端业务VLAN为VLAN 200,AC 2上的客户端业务VLAN为VLAN 400。
∙客户端跨AC漫游后,客户端数据不经过IACTP隧道返回Home-AC。
∙配置用户隔离功能加强用户的安全性,并且减少用户产生的大量组播、广播报文对无线空口资源的占用。
图1 AC间漫游组网图
2 配置关键点
2.1 配置AC 1
(1)在AC上配置相关VLAN和对应虚接口地址,并放通对应接口。
(2)配置802.1X认证
# 选择802.1X认证方式为EAP。
[AC1] dot1x authentication-method eap
#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。
[AC1] radius scheme office
[AC1-radius-office] primary authentication 192.3.0.2
[AC1-radius-office] primary accounting 192.3.0.2
[AC1-radius-office] key authentication 12345678
[AC1-radius-office] key accounting 12345678
[AC1-radius-office] nas-ip 192.1.0.2
#创建名为office的ISP域,配置认证、计费、授权方案。
[AC1] domain office
[AC1-isp-office] authentication lan-access radius-scheme office [AC1-isp-office] authorization lan-access radius-scheme office [AC1-isp-office] accounting lan-access radius-scheme office (3)配置无线接入服务,配置dot1x认证
[AC1] wlan service-template 1
[AC1-wlan-st-1] ssid service
[AC1-wlan-st-1] vlan 200
[AC1-wlan-st-1] client forwarding-location ac
[AC1-wlan-st-1] akm mode dot1x
[AC1-wlan-st-1] client-security authentication-mode dot1x [AC1-wlan-st-1] dot1x domain office
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
[AC1-wlan-st-1] service-template enable
(4)配置AP
[AC1] wlan ap ap1 model WA4320i-ACN
[AC1-wlan-ap-ap1] serial-id 210235A1GQC14C000225
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
(5)配置漫游功能
# 创建漫游组1,并进入漫游组视图。
[AC1] wlan mobility group 1
# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.2。
[AC1-wlan-mg-1] source ip 192.1.0.2
# 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.3。
[AC1-wlan-mg-1] member ip 192.1.0.3
# 开启漫游组功能。
[AC1-wlan-mg-1] group enable
(6)配置用户隔离功能
# 在VLAN 200上开启用户隔离功能。
[AC1] user-isolation vlan 200 enable
# 将VLAN 200的用户网关MAC地址加入VLAN 200所允许的MAC地址列表。[AC1] user-isolation vlan 200 permit-mac 000f-e212-7788
(7)配置缺省路由
# 配置AC 1的缺省路由,下一跳地址为192.1.0.1。
[AC1] ip route-static 0.0.0.0 0.0.0.0 192.1.0.1
2.2 配置AC2
(1)在AC上配置相关VLAN和对应虚接口地址,并放通对应接口。
(2)配置802.1X认证
# 选择802.1X认证方式为EAP。
[AC2] dot1x authentication-method eap
#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。
[AC2] radius scheme office
[AC2-radius-office] primary authentication 192.3.0.2
[AC2-radius-office] primary accounting 192.3.0.2
[AC2-radius-office] key authentication 12345678
[AC2-radius-office] key accounting 12345678
[AC2-radius-office] nas-ip 192.1.0.3
#创建名为office的ISP域,配置认证、计费、授权方案。
[AC2] domain office
[AC2-isp-office] authentication lan-access radius-scheme office [AC2-isp-office] authorization lan-access radius-scheme office [AC2-isp-office] accounting lan-access radius-scheme office
(3)配置无线接入服务,开启dot1x认证。
[AC2] wlan service-template 1
[AC2-wlan-st-1] ssid service
[AC2-wlan-st-1] vlan 200
[AC1-wlan-st-1] client forwarding-location ac
[AC2-wlan-st-1] akm mode dot1x
[AC2-wlan-st-1] client-security authentication-mode dot1x
[AC2-wlan-st-1] dot1x domain office
[AC2-wlan-st-1] cipher-suite ccmp
[AC2-wlan-st-1] security-ie rsn
[AC2-wlan-st-1] service-template enable
(4)配置AP
[AC2] wlan ap ap2 model WA4320i-ACN
[AC2-wlan-ap-ap2] serial-id 210235A1GQC14C000224
[AC2-wlan-ap-ap2] radio 1
[AC2-wlan-ap-ap2-radio-1] service-template 1
[AC2-wlan-ap-ap2-radio-1] radio enable
(5)配置漫游功能
# 创建漫游组1,并进入到漫游组视图。
[AC2] wlan mobility group 1
# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.3。
[AC2-wlan-mg-1] source ip 192.1.0.3
# 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.2。
[AC2-wlan-mg-1] member ip 192.1.0.2
# 开启漫游组功能。