华三无线v7简单配置案例

配置GRE VPN（V7版本）一、实验目的1．掌握GRE VPN的基本原理；2．掌握GRE VPN的配置方法；二、设备需求(1)2台H3C MSR30-40路由器，(2)1台H3C S3610三层交换机；(3)2台PC机；三、实验环境图1-1 GRE VPN实验环境图四、实验任务在路由器RTA和RTB之间的公网设备SWA(三层交换机)上没有私网路由，要求建立RTA 与RTB之间的GRE VPN隧道，使PCA和PCB所在两个分离的私网网段互通。

分别用静态路由来完成任务。

五、实验步骤(1)搭建实验环境IP地址规划（2）配置脚本RTA主要配置：dis cu#version 7.1.075, Alpha 7571#sysnameRTA#interface GigabitEthernet0/0port link-mode routecombo enable copperip address 192.168.1.1 255.255.255.0#interface GigabitEthernet0/1port link-mode routecombo enable copperip address 1.1.1.1 255.255.255.0#interface Tunnel0 mode greip address 192.168.3.1 255.255.255.252 source 1.1.1.1destination 2.2.2.2keepalive 10 3#ip route-static 2.2.2.0 24 1.1.1.2ip route-static 192.168.2.0 24 Tunnel0 RTB主要配置dis cu#version 7.1.075, Alpha 7571#sysnameRTB#vlan 1#interface GigabitEthernet0/0port link-mode routecombo enable copperip address 192.168.2.1 255.255.255.0 #interface GigabitEthernet0/1port link-mode routecombo enable copperip address 2.2.2.2 255.255.255.0#interface Tunnel0 mode greip address 192.168.3.2 255.255.255.252 source 2.2.2.2destination 1.1.1.1keepalive 10 3#ip route-static 1.1.1.0 24 2.2.2.1ip route-static 192.168.1.0 24 Tunnel0SWA主要配置version 7.1.075, Alpha 7571#sysnameSWA#vlan 1#vlan 2#stp global enable#interface NULL0#interface Vlan-interface1ip address 1.1.1.2 255.255.255.0 #interface Vlan-interface2ip address 2.2.2.1 255.255.255.0 #interface GigabitEthernet1/0/1 port link-mode bridgeport access vlan1combo enable fiber#interface GigabitEthernet1/0/2 port link-mode bridgeport access vlan2combo enable fiber六、测试结果PCApingPCBPCBpingPCA七、总结分析：GRE VPN通过封装在数据包加上GRE头部，建立隧道连接。

H3CMSR系列路由器IPsec典型配置举例（V7）1简介本⽂档介绍IPsec的典型配置举例。

2配置前提本⽂档适⽤于使⽤Comware V7软件版本的MSR系列路由器，如果使⽤过程中与产品实际情况有差异，请参考相关产品⼿册，或以设备实际情况为准。

本⽂档中的配置均是在实验室环境下进⾏的配置和验证，配置前设备的所有参数均采⽤出⼚时的缺省配置。

如果您已经对设备进⾏了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本⽂档假设您已了解IPsec特性。

3使⽤iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1组⽹需求如图1所⽰，PPP⽤户Host与Device建⽴L2TP隧道，Windows server 2003作为CA服务器，要求：通过L2TP隧道访问Corporate network。

⽤IPsec对L2TP隧道进⾏数据加密。

采⽤RSA证书认证⽅式建⽴IPsec隧道。

图1基于证书认证的L2TP over IPsec配置组⽹图3.2配置思路由于使⽤证书认证⽅式建⽴IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端⾝份。

3.3使⽤版本本举例是在R0106版本上进⾏配置和验证的。

3.4配置步骤3.4.1Device的配置(1)配置各接⼝IP地址#配置接⼝GigabitEthernet2/0/1的IP地址。

system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit#配置接⼝GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit#配置接⼝GigabitEthernet2/0/3的IP地址。

MSR路由器PPPoE配置示例1.2.配置示例图：3.PPPoE-Server配置：<PPPoE-Server>display current-configuration#version 7.1.075, Alpha 7571#sysnamePPPoE-Server#ip pool pppoe 121.48.47.2 121.48.47.6 //为PPPoE客户端分配IP地址#dhcp enable#interface Virtual-Template1ppp authentication-mode pap domain system //客户端的验证方式remote address pool pppoe //指定为远端（PPPoE客户端）分配IP地址ip address 121.48.47.1 255.255.255.248dns server 8.8.8.8 //为对端分配DNS地址#interface NULL0#interface GigabitEthernet0/0port link-mode routecombo enable copperpppoe-server bind virtual-template 1 //应用到接口并绑定虚拟木模板1#domain systemauthentication ppp local //PPPoE认证方式为本地址认证#local-user pppoe class network //创建用于PPPoE认证的本地用户password cipher pppoeservice-typeppp#Return4.PPPoE客户端配置：[PPPoE-Client]display current-configuration#version 7.1.075, Alpha 7571#sysnamePPPoE-Client#dialer-group 1 rule ip permit //定义拨号访问组1以及对应的拨号访问控制条件#dhcp enable#dhcp server ip-pool 1 //为内网用户分配IP地址gateway-list 192.168.100.254network 192.168.100.0 mask 255.255.255.0#interface Dialer 1 //配置拨号pppipcpdns admit-anypppipcpdns requestppp pap local-user pppoe password cipher pppoedialer bundle enable //接口使能共享DDRdialer-group 1 //将Dialer 1接口与拨号访问组1关联dialer timer idle 0 //配置PPPoE Client 工作在永久在线模式（允许链路闲置的时间）dialer timer autodial 60 //配置DDR自动拨号的间隔时间为60秒ip address ppp-negotiate //配置接口从对端获得IP地址nat outbound 2000 //配置NAT转换（内网用户通过NAT 后才能访问公网）#interface GigabitEthernet0/0 //WAN口port link-mode routecombo enable copperpppoe-client dial-bundle-number 1 //配置PPPoE会话#interface GigabitEthernet0/1 //LAN口port link-mode routecombo enable copperip address 192.168.100.254 255.255.255.0#ip route-static 0.0.0.0 0 Dialer1 //配置默认路由#acl basic 2000 //配置NAT过滤rule 5 permit#return。

二层网络注册配置举例1 组网需求如图1所示，集中式转发架构下，无线客户端Client、有线客户端Host通过L2 switch 和AC相连，L2 switch通过PoE方式给AP供电，AC做为DHCP server为AP、Client和Host分配IP地址。

需要实现无线客户端Client通过AP连接到AC上，并能与有线客户端Host互相访问。

图1 Fit AP通过二层网络注册到AC配置举例组网图2 配置关键点2.1 配置AC(1)在AC上配置相关VLAN，并放通对应接口，开启DHCP server功能，AP、无线客户端Client和有线客户端Host都能通过DHCP server自动获取IP地址。

(2)配置无线服务[AC] wlan service-template 1[AC-wlan-st-1] ssid service[AC-wlan-st-1] service-template enable(3)配置AP[AC]wlan ap ap1 model WA4320i-ACN[AC-wlan-ap-ap1] serial-id 210235A1Q2C159000018[AC-wlan-ap-ap1] radio 1[AC-wlan-ap-ap1-radio-1] service-template 1 vlan 200[AC-wlan-ap-ap1-radio-1] radio enable2.2 配置L2 switch# 创建相关VLAN，配置L2 switch和AP相连的接口为Trunk类型，PVID为AP管理VLAN，并开启PoE供电功能。

3 验证配置(1)在AC上查看AP注册信息# 在AC上使用命令display wlan ap all查看AP，可以看到AP的状态是R/M，表明AP已经成功注册到AC。

<AC> display wlan ap allTotal number of APs: 1Total number of connected APs: 1Total number of connected manual APs: 1Total number of connected auto APs: 0Total number of connected anchor APs: 0Maximum supported APs: 3072Remaining APs: 3071Fit APs activated by license: 512Remaining fit APs: 511WTUs activated by license: 2500Remaining WTUs: 2500AP informationState : I = Idle, J = Join, JA = JoinAck, IL = ImageLoadC = Config, DC = DataCheck, R = Run, M = Master, B = Backup AP name AP ID State Model Serial ID--------------------------------------------------------------------------------ap1 1 R/M WA4320i-ACN 210235A1Q2C159000018(2)在AC上查看Client信息# 在AC上使用命令display wlan client查看在线Client，可以看到Client已经连接到AP的radio1。

1 典型配置举例导读H3C MSR系列路由器典型配置举例(V7)共包括63个文档，介绍了基于Comware V7软件版本的MSR系列路由器软件特性的典型配置举例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型：款型MSR 5600 MSR 56-60 MSR 56-80MSR 3600 MSR 36-10 MSR 36-20 MSR 36-40 MSR 36-60 MSR3600-28 MSR3600-51MSR 2600 MSR 26-301.2 内容简介典型配置举例中特性的支持情况与MSR系列路由器的款型有关，关于特性支持情况的详细介绍，请参见《H3C MSR 系列路由器配置指导(V7)》和《H3C MSR 系列路由器命令参考(V7)》。

手册包含的文档列表如下：编号名称1H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)2H3C MSR系列路由器作为FTP client升级版本的典型配置举例(V7)3H3C MSR系列路由器作为FTP server升级版本的典型配置举例(V7)4H3C MSR系列路由器采用Boot ROM TFTP方式升级方法的典型配置举例(V7)5H3C MSR系列路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例(V7)6H3C MSR系列路由器内网用户通过NAT地址访问内网服务器典型配置举例(V7)7H3C MSR系列路由器内部服务器负载分担典型配置举例(V7)8H3C MSR系列路由器NAT DNS mapping典型配置举例(V7)9H3C MSR系列路由器定时执行任务典型配置举例(V7)10H3C MSR系列路由器RBAC典型配置举例(V7)11H3C MSR系列路由器以太网链路聚合典型配置举例(V7)12H3C MSR系列路由器端口隔离典型配置举例(V7)13H3C MSR系列路由器VLAN典型配置举例(V7)14H3C MSR系列路由器QinQ典型配置举例(V7)15H3C MSR系列路由器PPP典型配置案例(V7)16H3C MSR系列路由器建立LAC-Auto-Initiated模式L2TP隧道典型配置举例(V7) 17H3C MSR系列路由器建立Client-Initiated模式L2TP隧道的典型配置举例(V7) 18H3C MSR系列路由器L2TP多实例典型配置举例(V7)19H3C MSR系列路由器L2TP多域接入典型配置举例(V7)20H3C MSR系列路由器L2TP over IPsec典型配置举例(V7)21H3C MSR系列路由器AAA典型配置举例(V7)22H3C MSR系列路由器802.1X本地认证典型配置举例(V7)23H3C MSR系列路由器802.1X结合Radius服务器典型配置举例(V7)24H3C MSR系列路由器IPsec典型配置举例(V7)25H3C MSR系列路由器Portal典型配置举例(V7)26H3C MSR系列路由器SSH典型配置举例(V7)27H3C MSR系列路由器OSPF典型配置举例(V7)28H3C MSR系列路由器IS-IS典型配置举例(V7)29H3C MSR系列路由器OSPFv3典型配置举例(V7)30H3C MSR系列路由器IPv6 IS-IS典型配置举例(V7)31H3C MSR系列路由器BGP基础典型配置举例(V7)32H3C MSR系列路由器路由策略典型配置举例(V7)33H3C MSR系列路由器策略路由典型配置举例(V7)34H3C MSR系列路由器Tcl脚本典型配置举例(V7)35H3C MSR系列路由器GRE和OSPF结合使用典型配置举例(V7)36H3C MSR系列路由器IPv6 over IPv4 GRE隧道典型配置举例(V7)37H3C MSR系列路由器ISATAP和6to4相结合使用的典型配置举例(V7)38H3C MSR系列路由器IPv6手动隧道+OSPFv3功能的典型配置举例(V7)39H3C MSR系列路由器授权ARP功能典型配置举例(V7)40H3C MSR系列路由器ARP防攻击特性典型配置举例(V7)41H3C MSR系列路由器ACL典型配置举例(V7)42H3C MSR系列路由器流量监管典型配置举例(V7)43H3C MSR系列路由器流量整形典型配置举例(V7)44H3C MSR系列路由器基于控制平面应用QoS策略典型配置举例(V7)45H3C MSR系列路由器IGMP Snooping典型配置举例(V7)46H3C MSR系列路由器IGMP典型配置举例(V7)47H3C MSR系列路由器组播VPN配置举例(V7)48H3C MSR系列路由器MPLS基础典型配置举例(V7)49H3C MSR系列路由器MPLS L3VPN典型配置举例(V7)50H3C MSR系列路由器HoVPN典型配置举例(V7)51H3C MSR系列路由器MPLS TE典型配置举例(V7)52H3C MSR系列路由器MPLS OAM典型配置举例(V7)53H3C MSR系列路由器作为重定向服务器反向Telnet的典型配置举例(V7)54H3C MSR系列路由器BFD典型配置举例(V7)55H3C MSR系列路由器VRRP典型配置举例(V7)56H3C MSR系列路由器SNMP典型配置举例(V7)57H3C MSR系列路由器Sampler结合IPv4 NetStream使用典型配置举例(V7)58H3C MSR系列路由器NQA典型配置举例(V7)59H3C MSR系列路由器EAA监控策略典型配置举例(V7)60H3C MSR系列路由器NTP典型配置举例(V7)61H3C MSR系列路由器RMON统计功能典型配置举例(V7)62H3C MSR系列路由器终端为流接入方式且应用为流连接方式典型配置举例(V7) 63H3C MSR系列路由器终端为TCP接入且应用为TCP连接方式典型配置举例(V7)H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

H3CV7设备流量统计配置⾃述：上周本职⼯作⽐较多，没怎么学Python，来⼀篇⼯作中⽤来排查故障的⽅法配置。

H3C MSRv7设备利⽤packet-filter功能做流量统计的典型配置本案例介绍MSRV7系列路由器使⽤packet-filter功能做流量统计。

通过该功能，可以统计进出路由器某接⼝的报⽂数量，⽅便对丢包等问题进⾏维护好定位。

拓扑：RT1-RT2-RT3直连，设备通过动态路由或者静态路由互访。

RT1接⼝1.1.1.1访问RT3接⼝2.2.2.2，通过在RT2的⼊接⼝G0/0，或者出接⼝G0/1调⽤packet-filter，统计⼊⽅向和出⽅向的报⽂数量。

1 ⾸先ACL定义流量的源和⽬的acl advanced 3001rule 1 permit icmp source 1.1.1.1 0 destination 2.2.2.2 0 counting //表⽰使能规则匹配统计功能，缺省为关闭acl advanced 3000rule 1 permit icmp source 1.1.1.1 0 destination 2.2.2.2 0 counting2 接⼝下调⽤packet-filterpacket-filter 3001 inboundpacket-filter default inbound hardware-count //⽤来在接⼝上使能报⽂过滤缺省动作统计功能，默认处于关闭状态packet-filter 3000 outboundpacket-filter default outbound hardware-count3 清除接⼝统计信息之后进⾏PING测试，并且查看接⼝报⽂统计信息# 清除接⼝GigabitEthernet0/0⼊⽅向上IPv4基本ACL 3001在报⽂过滤中应⽤的统计信息。

reset packet-filter statistics interface gigabitethernet 0/0 inbound 3001进⾏PING测试[H3C]ping 2.2.2.2Ping 2.2.2.2 (2.2.2.2): 56 data bytes, press CTRL_C to break56 bytes from 2.2.2.2: icmp_seq=0 ttl=254 time=4.164 ms56 bytes from 2.2.2.2: icmp_seq=1 ttl=254 time=1.361 ms56 bytes from 2.2.2.2: icmp_seq=2 ttl=254 time=2.313 ms56 bytes from 2.2.2.2: icmp_seq=3 ttl=254 time=1.089 ms56 bytes from 2.2.2.2: icmp_seq=4 ttl=254 time=1.104 ms查看⼊⽅向的统计信息：[H3C]display packet-filter statistics interface GigabitEthernet 0/0 inboundInterface: GigabitEthernet0/0Inbound policy:IPv4 ACL 3001rule 1 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 counting (5 packets)//可以看到统计到了5个报⽂，再次PING之后，数量会随之增加。

H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 使用版本 (1)3.4 配置注意事项 (1)3.5 配置步骤 (2)3.5.1 Host的配置 (2)3.5.2 Router的配置 (2)3.6 验证配置 (4)3.7 配置文件 (5)4 相关资料 (5)1 简介本文档介绍使用TFTP方式升级集中式路由器软件版本的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解TFTP的特性。

3 配置举例3.1 组网需求如图1所示，Host连接Router的GigabitEthernet0/0接口，Router作为TFTP客户端，Host作为TFTP 服务器。

现要求：通过TFTP方式为Router升级软件版本。

图1配置组网图3.2 配置思路为了使路由器在重启后使用新版本软件，需要指定下次启动时所用的主用启动文件为升级后的软件版本。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置注意事项•当设备剩余的存储空间不够，请使用delete /unreserved file-url命令删除部分暂时不用的文件后再执行升级软件操作。

H3C无线控制器PSK认证典型配置举例（V7）Copyright © 2016 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1 简介本文档介绍无线用户使用PSK 模式作为身份认证与密钥管理模式，同时使用MAC 地址认证作为WLAN 用户接入认证模式的典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA 、MAC 地址认证、WLAN 用户接入认证和WLAN 用户安全特性。

3 配置举例3.1 组网需求如图1所示，集中式转发架构下，AP 和Client 通过DHCP server 获取IP 地址，设备管理员希望对Client 进行MAC 地址和PSK 认证，以控制其对网络资源的访问，具体要求如下： •配置VLAN 200为Client 的接入VLAN ，Client 通过VLAN 200上线并在RADIUS server 上进行MAC 地址认证。

• 配置Client 和AP 之间的数据报文采用PSK 认证密钥管理模式来确保用户数据的传输安全。

图1 MAC 认证+PSK 认证典型配置举例组网图3.2 配置注意事项•配置AC 上的MAC 地址认证用户名格式为的无线客户端的MAC 地址，RADIUS 服务器上添加的接入用户的用户名和密码需要与AC 上的MAC 地址认证用户名格式保持一致。

•配置AP 的序列号时请确保该序列号与AP 唯一对应，AP 的序列号可以通过AP 设备背面的标签获取。

AP胖切瘦配置案例方法-V7知软件相关骆翔2019-09-18 发表1.1 适用产品系列本手册适用于如下产品： WA5530、WA5510E-T、WA5530-SI、WA5630X、WA5320X、WA5320X-SI、WA5320X-E、WAP723-W2、WAP722X-W2。

1.1.1 AP胖切瘦配置案例（有WX）操作风险提示：AP胖切瘦有风险，操作不当或者意外断电会导致设备故障，操作需谨慎。

1、在AP上执行如下操作前，必须确认wx上配置无问题、wx可以支持添加wa5530、使能了Dhcp server等。

WX配置可以参考《2.2.02 WAC380系列产品AP二层注册、无线加密配置方法（WEB版）》2、console口登录操作，console口登录方法参考《1.03 设备管理-Console登录方法》在AP重启的时候按住不停地按Ctrl+B进入设备的bootroom菜单，以下标黑部分为设备自动打印部分。

==========================<EXTENDED-BOOTWARE MENU>=============|<1> Boot System ||<2> Enter Serial SubMenu ||<3> Enter Ethernet SubMenu ||<4> File Control ||<5> Restore to Factory Default Configuration ||<6> Skip Current System Configuration ||<7> BootWare Operation Menu ||<8> Skip Authentication for Console Login ||<9> Storage Device Operation ||<0> Reboot |===================================================================Ctrl+Z: Access EXTENDED ASSISTANT MENUCtrl+F: Format File SystemCtrl+C: Display CopyrightCtrl+Y: Change AP ModeEnter your choice(0-9): 此处按键 Ctrl+F，作用：格式化flashWarning:All files on flash will be lost! Are you sure to format? [Y/N]Y //输入Y...........................................................................................................................Format success.==========================<EXTENDED-BOOTWARE MENU>=============|<1> Boot System ||<2> Enter Serial SubMenu ||<3> Enter Ethernet SubMenu ||<4> File Control ||<5> Restore to Factory Default Configuration ||<6> Skip Current System Configuration ||<7> BootWare Operation Menu ||<8> Skip Authentication for Console Login ||<9> Storage Device Operation ||<0> Reboot |===================================================================Ctrl+Z: Access EXTENDED ASSISTANT MENUCtrl+F: Format File SystemCtrl+C: Display CopyrightCtrl+Y: Change AP ModeEnter your choice(0-9): //按键Ctrl+Y，设置ap胖模式或者瘦模式Please select the new modeCurrent mode is Fat //提示当前是fat胖模式=====================================================================|NO. Mode ||1 Fat Mode ||2 Fit Mode ||0 Exit |============================================================= ========Enter your choice(0-2):2 //输入2，即fit瘦模式Warning:Change from fat mode to fit mode formats the storage medium! Areyou sure to continue ? [Y/N]Y //输入Y，确认切换成fit瘦模式......................................................................................Formatted the storage medium successfully!Changed to fit mode successfully! //修改成fit瘦模式成功。

配置路由器：如图配置各个接口IP地址，具体略基本配置B（isakmp）：IPSEC自动协商#RTA的配置#进入系统视图<RouteA>system-view#创建访问控制列表，定义由子网20.x.x.x去子网30.x.x.x的数据流[RouteA]acl number 3000[RouteA-acl-adv-3000]rule permit ip source 20.0.0.0 0.255.255.255 destination 30.0.0.0 0.255.255.255[H3C-acl-adv-3000]quit# 创IPsec建安全提议tran1。

[RouterA] ipsec transform-set tran1# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel# 配置采用的安全协议为ESP。

[RouterA-ipsec-transform-set-tran1] protocol esp# 配置ESP协议采用的加密算法为DES，认证算法为HMAC-SHA1。

[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1[RouterA-ipsec-transform-set-tran1] quit# 创建并配置IKE keychain，名称为keychain1。

[RouterA] ike keychain keychain1# 配置与IP地址为2.2.3.1的对端使用的预共享密钥为明文abcd。

[RouterA-ike-keychain-keychain1] pre-share-key address 10.1.1.2 255.255.255.0 key simple abcd[RouterA-ike-keychain-keychain1] quit# 创建并配置IKE profile，名称为profile1。

项目案例H3C大规模路由技术所在系别：计算机技术系所属专业：计算机网络技术指导教师：董科鹏专业负责人：孙志成Comware V7无线控制器使用RADIUS服务器进行MAC地址认证典型配置一功能需求·AC和RADIUS服务器通过交换机建立连接。

AC的IP地址为10.18.1.1，与AC相连的RADIUS服务器的IP地址为10.18.1.88。

·要求使用MAC认证方式进行用户身份认证。

二组网信息及描述三配置步骤(1) 配置RADIUS方案# 配置Radius 方案，名称为imcc，认证服务器的IP地址为10.18.1.88，端口号为1812，配置计费服务器的IP地址为10.18.1.88，端口号为1813，认证密钥为明文12345678，计费密钥为明文12345678，用户名格式为without-domain。

<AC> system-view[AC] radius scheme imcc[AC-radius-imcc] primary authentication 10.18.1.88 1812[AC-radius-imcc] primary accounting 10.18.1.88 1813[AC-radius-imcc] key authentication simple 12345678[AC-radius-imcc] key accounting simple 12345678[AC-radius-imcc] user-name-format without-domain[AC-radius-imcc] quit(2) 配置ISP域的AAA方法# 配置名称为imc的ISP域，并将认证、授权和计费的方式配置为使用Radius方案imcc。

[AC] domain imc[AC-isp-imc] authentication lan-access radius-scheme imcc[AC-isp-imc] authorization lan-access radius-scheme imcc[AC-isp-imc] accounting lan-access radius-scheme imcc[AC-isp-imc] quit(3) 配置MAC地址认证# 配置MAC地址认证用户名格式为固定用户名格式，用户名为abcd，密码为明文123456（若配置成大写、不带连字符的mac地址格式，服务器需要配置与之对应的用户名格式；若配置成固定用户名格式，服务器也需要配置与其对应的用户名格式）。

三层网络注册配置举例1 组网需求如图1所示，集中式转发架构下，无线客户端Client、有线客户端Host通过L3 switch 与AC相连，L3 switch做DHCP server为AP、Client和Host分配IP地址。

需要实现无线客户端Client通过AP连接到AC上，并能与有线客户端Host互相访问，具体要求如下：∙ 无线客户端Client通过VLAN 200接入网络，有线客户端Host通过VLAN 300接入网络；∙ AC属于VLAN 100，AP属于VLAN 400，AC和AP之间跨三层网络建立连接。

图1 Fit AP通过三层网络注册到AC配置举例组网图2 配置步骤2.1 配置AC(1)在AC上配置相关VLAN，并放通对应接口，配置三层路由让AP和AC之间可达。

(2)配置无线服务# 创建无线服务模板1，并进入无线服务模板视图。

[AC] wlan service-template 1[AC-wlan-st-1] ssid service[AC-wlan-st-1] service-template enable(3)配置AP[AC] wlan ap officeap model WA4320i-ACN[AC-wlan-ap-officeap] serial-id 210235A1GQB147031200[AC-wlan-ap-officeap] radio 1[AC-wlan-ap-officeap-radio-1] service-template 1 vlan 200[AC-wlan-ap-officeap-radio-1] radio enable2.2 配置L3 switch(1)创建相关VLAN，配置L2 switch和AP相连的接口为Trunk类型，PVID为AP 管理VLAN，配置DHCP地址池，为客户端分配地址，并开启PoE供电功能。

(2)配置DHCP server，为AP下发option 43属性[L3 switch] dhcp enable[L3 switch] dhcp server ip-pool 1[L3 switch-dhcp-pool-1] network 192.168.40.0 mask 255.255.255.0[L3 switch-dhcp-pool-1] gateway-list 192.168.40.1[L3 switch-dhcp-pool-1] option 43 hex 8007000001c0a80a01[L3 switch-dhcp-pool-1] quit3 验证配置(1)在AC上查看到AP注册信息# 在AC上使用命令display wlan ap all查看AP，可以看到AP的状态是R/M，表明AP已经成功注册到AC。