H3C无线控制器AC间漫游典型配置举例(V7) |
您所在的位置:网站首页 › h3cwx2510h添加ap › H3C无线控制器AC间漫游典型配置举例(V7) |
本文档介绍无线客户端AC间漫游的典型配置案例。 本文档适用于使用Comware V7软件版本的无线控制器和接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解WLAN接入和WLAN漫游的相关特性。 如图1所示,在一个区域内通过部署两台AC来为用户提供无线服务,并实现客户端可以在AC间进行快速漫游。具体要求如下: · AC 1上的客户端业务VLAN为VLAN 200,AC 2上的客户端业务VLAN为VLAN 400。 · 客户端跨AC漫游后,客户端数据不经过IACTP隧道返回Home-AC。 · 配置用户隔离功能加强用户的安全性,并且减少用户产生的大量组播、广播报文对无线空口资源的占用。 设备 接口 IP地址 设备 接口 IP地址 AC1 Vlan-int100 192.1.0.2/16 Switch Vlan-int100 192.1.0.1/16
Vlan-int200 192.2.0.2/16
Vlan-int200 192.2.0.1/16 AC2 Vlan-int100 192.1.0.3/16
Vlan-int300 192.3.0.1/16
Vlan-int400 192.4.0.2/16
Vlan-int400 192.4.0.1/16 1.1 配置思路· 为了实现AC间漫游,需要在两台AC上创建相同名称的漫游组,并相互添加漫游组成员。 · 配置使用RSN+802.1X方式对客户端进行认证,以实现快速漫游。 1.2 配置步骤 1.2.1 配置AC 1(1) 配置AC 1的接口 # 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址192.1.0.2/16。AP将获取该IP地址与AC建立CAPWAP隧道。 system-view [AC1] vlan 100 [AC1-vlan100] quit [AC1] interface vlan-interface 100 [AC1-Vlan-interface100] ip address 192.1.0.2 16 [AC1-Vlan-interface100] quit # 创建VLAN 200作为客户端接入的业务VLAN,并为该接口配置IP地址192.2.0.2/16,用于和无线客户端进行通信。 [AC1] vlan 200 [AC1-vlan200] quit [AC1] interface vlan-interface 200 [AC1-Vlan-interface200] ip address 192.2.0.2 16 [AC1-Vlan-interface200] quit # 创建VLAN 400,用于转发从AC 2漫游过来的客户端的数据。 system-view [AC1] vlan 400 [AC1-vlan400] quit # 将与Switch相连的接口GigabitEthernet 1/0/1的链路类型配置为Trunk,并允许VLAN 100、VLAN 200和VLAN 400通过。 [AC1] interface gigabitethernet 1/0/1 [AC1-GigabitEthernet1/0/1] port link-type trunk [AC1-GigabitEthernet1/0/1] port trunk permit vlan 100 200 400 [AC1-GigabitEthernet1/0/1] quit # 将与AP相连的接口GigabitEthernet 1/0/2的链路类型配置为Access,当前Access口允许VLAN 100通过。 [AC1] interface gigabitethernet 1/0/2 [AC1-GigabitEthernet1/0/2] port link-type access [AC1-GigabitEthernet1/0/2] port access vlan 100 [AC1-GigabitEthernet1/0/2] quit (2) 配置802.1X认证 # 选择802.1X认证方式为EAP。 [AC1] dot1x authentication-method eap # 创建名为office的RADIUS方案并进入其视图。 [AC1] radius scheme office # 配置主认证服务器的IP地址192.3.0.2。 [AC1-radius-office] primary authentication 192.3.0.2 # 配置主计费服务器的IP地址192.3.0.2。 [AC1-radius-office] primary accounting 192.3.0.2 # 配置与认证服务器交互报文时的共享密钥为12345678。 [AC1-radius-office] key authentication 12345678 # 配置与计费服务器交互报文时的共享密钥为12345678。 [AC1-radius-office] key accounting 12345678 # 配置发送RADIUS报文时使用的源IP地址为192.1.0.2。 [AC1-radius-office] nas-ip 192.1.0.2 [AC1-radius-office] quit # 创建office域并进入其视图。 [AC1] domain office # 配置lan-access用户使用RADIUS方案office进行认证。 [AC1-isp-office] authentication lan-access radius-scheme office # 配置lan-access用户使用RADIUS方案office进行授权。 [AC1-isp-office] authorization lan-access radius-scheme office # 配置lan-access用户的计费方式为不计费。 [AC1-isp-office] accounting lan-access none [AC1-isp-office] quit (3) 配置无线接入服务 # 创建无线服务模板1并进入无线服务模板视图。 [AC1] wlan service-template 1 # 配置无线服务的SSID为service。 [AC1-wlan-st-1] ssid service # 配置无线服务模板的VLAN为200。 [AC1-wlan-st-1] vlan 200 # 配置客户端数据报文转发位置为AC。 [AC1-wlan-st-1] client forwarding-location ac # 配置身份认证与密钥管理模式为802.1X模式。 [AC1-wlan-st-1] akm mode dot1x # 配置无线用户接入认证模式为802.1X认证模式。 [AC1-wlan-st-1] client-security authentication-mode dot1x # 配置802.1X用户使用认证域为office。 [AC1-wlan-st-1] dot1x domain office # 配置在帧加密时使用AES-CCMP加密套件。 [AC1-wlan-st-1] cipher-suite ccmp # 配置信标帧和探查响应帧携带RSN信息元素。 [AC1-wlan-st-1] security-ie rsn # 开启无线服务模板。 [AC1-wlan-st-1] service-template enable [AC1-wlan-st-1] quit (4) 配置AP # 创建手工AP,配置AP名称为ap1,型号为WA4320i-ACN,序列号为210235A1GQC14C000225。 [AC1] wlan ap ap1 model WA4320i-ACN [AC1-wlan-ap-ap1] serial-id 210235A1GQC14C000225 # 进入ap1的Radio 1视图,并将无线服务模板1绑定到Radio 1上。 [AC1-wlan-ap-ap1] radio 1 [AC1-wlan-ap-ap1-radio-1] service-template 1 # 开启Radio 1的射频功能。 [AC1-wlan-ap-ap1-radio-1] radio enable [AC1-wlan-ap-ap1-radio-1] quit [AC1-wlan-ap-ap1] quit (5) 配置漫游功能 # 创建漫游组1,并进入漫游组视图。 [AC1] wlan mobility group 1 # 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.2。 [AC1-wlan-mg-1] source ip 192.1.0.2 # 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.3。 [AC1-wlan-mg-1] member ip 192.1.0.3 # 开启漫游组功能。 [AC1-wlan-mg-1] group enable [AC1-wlan-mg-1] quit (6) 配置用户隔离功能 # 在VLAN 200上开启用户隔离功能。 [AC1] user-isolation vlan 200 enable # 将VLAN 200的用户网关MAC地址加入VLAN 200所允许的MAC地址列表。 [AC1] user-isolation vlan 200 permit-mac 000f-e212-7788 (7) 配置缺省路由 # 配置AC 1的缺省路由,下一跳地址为192.1.0.1。 [AC1] ip route-static 0.0.0.0 0.0.0.0 192.1.0.1 1.2.2 配置AC2(1) 配置AC 2的接口 # 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址192.1.0.3/16。AP将获取该IP地址与AC建立CAPWAP隧道。 system-view [AC2] vlan 100 [AC2-vlan100] quit [AC2] interface vlan-interface 100 [AC2-Vlan-interface100] ip address 192.1.0.3 16 [AC2-Vlan-interface100] quit # 创建VLAN 200,用于转发从AC 1漫游过来的客户端的数据。 system-view [AC2] vlan 200 [AC2-vlan200] quit # 创建VLAN 400作为客户端接入的业务VLAN,并为该接口配置IP地址192.4.0.2/16,用于和无线客户端进行通信。 [AC2] vlan 400 [AC2-vlan400] quit [AC2] interface vlan-interface 400 [AC2-Vlan-interface400] ip address 192.4.0.2 16 [AC2-Vlan-interface400] quit # 将与Switch相连的接口GigabitEthernet 1/0/1的接口类型为Trunk,并允许VLAN 100、VLAN 200和VLAN 400通过。 [AC2] interface gigabitethernet 1/0/1 [AC2-GigabitEthernet1/0/1] port link-type trunk [AC2-GigabitEthernet1/0/1] port trunk permit vlan 100 200 400 [AC2-GigabitEthernet1/0/1] quit # 将与AP相连的接口GigabitEthernet 1/0/2的链路类型配置为Access,当前Access口允许VLAN 100通过。 [AC2] interface gigabitethernet 1/0/2 [AC2-GigabitEthernet1/0/2] port link-type access [AC2-GigabitEthernet1/0/2] port access vlan 100 [AC2-GigabitEthernet1/0/2] quit (2) 配置802.1X认证 # 选择802.1X认证方式为EAP。 [AC2] dot1x authentication-method eap # 创建名为office的RADIUS方案并进入其视图。 [AC2] radius scheme office # 配置主认证服务器的IP地址192.3.0.2。 [AC2-radius-office] primary authentication 192.3.0.2 # 配置主计费服务器的IP地址192.3.0.2。 [AC2-radius-office] primary accounting 192.3.0.2 # 配置与认证服务器交互报文时的共享密钥为12345678。 [AC2-radius-office] key authentication 12345678 # 配置与计费服务器交互报文时的共享密钥为12345678。 [AC2-radius-office] key accounting 12345678 # 配置发送RADIUS报文时使用的源IP地址192.1.0.3。 [AC2-radius-office] nas-ip 192.1.0.3 [AC2-radius-office] quit # 创建office域并进入其视图。 [AC2] domain office # 配置lan-access用户使用RADIUS方案office进行认证。 [AC2-isp-office] authentication lan-access radius-scheme office # 配置lan-access用户使用RADIUS方案office进行授权。 [AC2-isp-office] authorization lan-access radius-scheme office # 配置lan-access用户的计费方式为不计费。 [AC2-isp-office] accounting lan-access none [AC2-isp-office] quit (3) 配置无线接入服务 # 创建无线服务模板1并进入无线服务模板视图。 [AC2] wlan service-template 1 # 配置无线服务的SSID为service。 [AC2-wlan-st-1] ssid service # 配置无线服务模板的VLAN为200。 [AC2-wlan-st-1] vlan 200 # 配置客户端数据报文转发位置为AC。 [AC1-wlan-st-1] client forwarding-location ac # 配置身份认证与密钥管理模式为802.1X模式。 [AC2-wlan-st-1] akm mode dot1x # 配置无线用户接入认证模式为802.1X认证模式。 [AC2-wlan-st-1] client-security authentication-mode dot1x # 配置802.1X用户使用认证域为office。 [AC2-wlan-st-1] dot1x domain office # 配置在帧加密时使用AES-CCMP加密套件。 [AC2-wlan-st-1] cipher-suite ccmp # 配置信标帧和探查响应帧携带RSN信息元素。 [AC2-wlan-st-1] security-ie rsn # 开启无线服务模板。 [AC2-wlan-st-1] service-template enable [AC2-wlan-st-1] quit (4) 配置AP1 # 创建手工AP,配置AP名称为ap1,型号为WA4320i-ACN,序列号为210235A1GQC14C000224。 [AC2] wlan ap ap2 model WA4320i-ACN [AC2-wlan-ap-ap2] serial-id 210235A1GQC14C000224 # 进入ap1的Radio 1视图,并将无线服务模板1绑定到Radio 1上。 [AC2-wlan-ap-ap2] radio 1 [AC2-wlan-ap-ap2-radio-1] service-template 1 # 开启Radio 1的射频功能。 [AC2-wlan-ap-ap2-radio-1] radio enable [AC2-wlan-ap-ap2-radio-1] quit [AC2-wlan-ap-ap2] quit (5) 配置漫游功能 # 创建漫游组1,并进入到漫游组视图。 [AC2] wlan mobility group 1 # 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.3。 [AC2-wlan-mg-1] source ip 192.1.0.3 # 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.2。 [AC2-wlan-mg-1] member ip 192.1.0.2 # 开启漫游组功能。 [AC2-wlan-mg-1] group enable [AC2-wlan-mg-1] quit (6) 配置用户隔离功能 # 在VLAN 400上开启用户隔离功能。 [AC2] user-isolation vlan 400 enable # 将VLAN 400的用户网关MAC地址加入VLAN 400所允许的MAC地址列表。 [AC2] user-isolation vlan 400 permit-mac 000f-eeee-1212 (7) 配置缺省路由 # 配置AC 2的缺省路由,下一跳地址为192.1.0.1。 [AC2] ip route-static 0.0.0.0 0.0.0.0 192.1.0.1 1.2.3 配置Switch(1) 配置Switch的接口 # 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址192.1.0.1/16,用于和AC 1、AC 2进行通信。 system-view [Switch] vlan 100 [Switch-vlan100] quit [Switch] interface vlan-interface 100 [Switch-Vlan-interface100] ip address 192.1.0.1 16 [Switch-Vlan-interface100] quit # 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址192.2.0.1/16,用于和AC 1侧的无线客户端进行通信。 [Switch] vlan 200 [Switch-vlan200] quit [Switch] interface vlan-interface 200 [Switch-Vlan-interface200] ip address 192.2.0.1 16 [Switch-Vlan-interface200] quit # 创建VLAN 400及其对应的VLAN接口,并为该接口配置IP地址192.4.0.1/16,用于和AC 2侧的无线客户端进行通信。 [Switch] vlan 400 [Switch-vlan400] quit [Switch] interface vlan-interface 400 [Switch-Vlan-interface400] ip address 192.4.0.1 16 [Switch-Vlan-interface400] quit # 创建VLAN 300及其对应的VLAN接口,并为该接口配置IP地址192.3.0.1/16,用于和Radius服务器进行通信。 [Switch] vlan 300 [Switch-vlan300] quit [Switch] interface vlan-interface 300 [Switch-Vlan-interface300] ip address 192.3.0.1 16 [Switch-Vlan-interface300] quit # 将与AC 1相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,允许VLAN 100、VLAN 200和VLAN 400通过。 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200 400 [Switch-GigabitEthernet1/0/1] quit # 将与AC 2相连的接口GigabitEthernet1/0/2的链路类型配置为Trunk,允许VLAN 100、VLAN 200和VLAN 400通过。 [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type trunk [Switch-GigabitEthernet1/0/2] port trunk permit vlan 100 200 400 [Switch-GigabitEthernet1/0/2] quit # 将与Radius服务器相连的接口GigabitEthernet1/0/3的链路类型配置为Access,当前Access口允许VLAN 300通过。 [Switch] interface gigabitethernet 1/0/3 [Switch-GigabitEthernet1/0/3] port link-type access [Switch-GigabitEthernet1/0/3] port access vlan 300 [Switch-GigabitEthernet1/0/3] quit (2) 配置DHCP服务器 # 开启DHCP功能。 [Switch] dhcp enable # 创建DHCP地址池vlan100,为AP动态分配网段为192.1.0.0/16,不参与自动分配的IP地址为192.1.0.2和192.1.0.3,网关地址为192.1.0.1的IP地址。 [Switch] dhcp server ip-pool vlan100 [Switch-dhcp-pool-vlan100] network 192.1.0.0 mask 255.255.0.0 [Switch-dhcp-pool-vlan100] forbidden-ip 192.1.0.2 192.1.0.3 [Switch-dhcp-pool-vlan100] gateway-list 192.1.0.1 [Switch-dhcp-pool-vlan100] quit # 创建DHCP地址池vlan200,为无线客户端动态分配网段为192.2.0.0/16,不参与自动分配的IP地址为192.2.0.2,网关地址为192.2.0.1的IP地址。 [Switch] dhcp server ip-pool vlan200 [Switch-dhcp-pool-vlan200] network 192.2.0.0 mask 255.255.0.0 [Switch-dhcp-pool-vlan200] forbidden-ip 192.2.0.2 [Switch-dhcp-pool-vlan200] gateway-list 192.2.0.1 [Switch-dhcp-pool-vlan200] quit # 创建DHCP地址池vlan400,为无线客户端动态分配网段为192.4.0.0/16,不参与自动分配的IP地址为192.4.0.2,网关地址为192.4.0.1的IP地址。 [Switch] dhcp server ip-pool vlan400 [Switch-dhcp-pool-vlan400] network 192.4.0.0 mask 255.255.0.0 [Switch-dhcp-pool-vlan400] forbidden-ip 192.4.0.2 [Switch-dhcp-pool-vlan400] gateway-list 192.4.0.1 [Switch-dhcp-pool-vlan400] quit 1.3 配置RADIUS服务器下面以iMC为例(使用iMC版本为:iMC PLAT 7.2(E0403)、iMC EIA 7.2(E0403)),说明RADIUS服务器的基本配置。
# 增加接入设备。 登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击增加>按钮,进入增加接入设备页面。 · 设置与AC交互报文时使用的认证、计费共享密钥为“12345678”; · 选择或手工增加接入设备,添加IP地址为192.1.0.2和192.1.0.3的接入设备; · 其它参数采用缺省值,并单击确定>按钮完成操作。 图1 增加接入设备
# 增加接入策略。 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击增加>按钮,进入增加接入策略页面。 · 设置接入策略名输入dot1x; · 选择证书认证为EAP证书认证; · 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。 图2 增加服务策略页面
# 增加接入服务。 选择“用户”页签,单击导航树[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击增加>按钮,进入增加接入服务页面。 · 设置服务名为dot1x; · 设置缺省接入策略为已经创建的dot1x策略。 图3 增加接入服务页面
# 增加接入用户。 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击增加>按钮,进入增加接入用户页面。 · 添加用户user; · 添加账号名为user,密码为dot1x; · 选中之前配置的服务dot1x。 图4 增加接入用户页面 1.4 验证配置 # 当用户在AP 1的信号覆盖范围内接入网络后,通过在AC 1上执行display wlan client命令可以看到成功关联到AP 1。 display wlan client verbose Total number of clients: 1
MAC address : 0015-00ba-0428 IPv4 address : 138.200.0.1 IPv6 address : N/A Username : wjh1x AID : 1 AP ID : 1 AP name : ap1 Radio ID : 1 SSID : service BSSID : 5866-ba71-3960 VLAN ID : 200 Sleep count : 0 Wireless mode : 802.11ac Channel bandwidth : 40MHz SM power save : Disabled Short GI for 20MHz : Supported Short GI for 40MHz : Supported STBC RX capability : Supported STBC TX capability : Not supported LDPC RX capability : Not supported Block Ack : N/A Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15 Supported rates : 6, 9, 12, 18, 24, 36, 48, 54 Mbps QoS mode : WMM Listen interval : 250 RSSI : 0 Rx/Tx rate : 0/0 Authentication method : Open system Security mode : RSN AKM mode : 802.1X Cipher suite : CCMP User authentication mode : 802.1X Authorization ACL ID : N/A Authorization user profile : N/A Roam status : N/A Key derivation : SHA1 PMF status : N/A Forwarding policy name : N/A Online time : 0days 0hours 0minutes 17seconds FT status : Inactive # 当用户向AP 2的信号覆盖范围内移动,达到漫游条件后,客户端将漫游到AP 2上。通过在AC 2上执行display wlan client命令可以看到客户端关联到了AP 2上。 display wlan client verbose Total number of clients: 1
MAC address : 0015-00ba-0428 IPv4 address : 138.200.0.1 IPv6 address : N/A Username : wjh1x AID : 1 AP ID : 1 AP name : ap2 Radio ID : 1 SSID : service BSSID : 5860-ba71-3960 VLAN ID : 200 Sleep count : 0 Wireless mode : 802.11ac Channel bandwidth : 40MHz SM power save : Disabled Short GI for 20MHz : Supported Short GI for 40MHz : Supported STBC RX capability : Supported STBC TX capability : Not supported LDPC RX capability : Not supported Block Ack : N/A Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15 Supported rates : 6, 9, 12, 18, 24, 36, 48, 54 Mbps QoS mode : WMM Listen interval : 250 RSSI : 0 Rx/Tx rate : 0/0 Authentication method : Open system Security mode : RSN AKM mode : 802.1X Cipher suite : CCMP User authentication mode : 802.1X Authorization ACL ID : N/A Authorization user profile : N/A Roam status : Inter-AC roam Key derivation : SHA1 PMF status : N/A Forwarding policy name : N/A Online time : 0days 0hours 0minutes 17seconds FT status : Inactive # VLAN 200和VLAN 400中的客户端可以访问Internet,但是不可以访问同一VLAN内的客户端。 1.5 配置文件· Switch # dhcp enable # vlan 100 # vlan 200 # vlan 300 # vlan 400 # dhcp server ip-pool vlan100 network 192.1.0.0 mask 255.255.0.0 gateway-list 192.1.0.1 forbidden-ip 192.1.0.2 forbidden-ip 192.1.0.3 # dhcp server ip-pool vlan200 network 192.2.0.0 mask 255.255.0.0 gateway-list 192.2.0.1 forbidden-ip 192.2.0.2 # dhcp server ip-pool vlan400 network 192.4.0.0 mask 255.255.0.0 gateway-list 192.4.0.1 forbidden-ip 192.4.0.2 # interface Vlan-interface100 ip address 192.1.0.1 255.255.0.0 # interface Vlan-interface200 ip address 192.2.0.1 255.255.0.0 # interface Vlan-interface300 ip address 192.3.0.1 255.255.0.0 # interface Vlan-interface400 ip address 192.4.0.1 255.255.0.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 200 400 # interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan 100 200 400 # interface GigabitEthernet1/0/3 port access vlan 300 # · AC1 # dot1x authentication-method eap # vlan 100 # vlan 200 # vlan 400 # wlan service-template 1 ssid service vlan 200 akm mode dot1x cipher-suite ccmp security-ie rsn client-security authentication-mode dot1x dot1x domain office service-template enable # interface Vlan-interface100 ip address 192.1.0.2 255.255.0.0 # interface Vlan-interface200 ip address 192.2.0.2 255.255.0.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 200 400 # interface GigabitEthernet1/0/2 port link-type access port access vlan 100 # ip route-static 0.0.0.0 0.0.0.0 192.1.0.1 # radius scheme office primary authentication 192.3.0.2 primary accounting 192.3.0.2 key authentication simple 12345678 key accounting simple 12345678 nas-ip 192.1.0.2 # domain office authentication lan-access radius-scheme office authorization lan-access radius-scheme office accounting lan-access none # user-isolation vlan 200 enable user-isolation vlan 200 permit-mac 000f-e212-7788 # wlan ap ap1 model WA4320i-ACN serial-id 210235A1GQC14C000225 radio 1 radio enable service-template 1 radio 2 # wlan mobility group 1 source ip 192.1.0.2 member ip 192.1.0.3 group enable · AC2 # dot1x authentication-method eap # vlan 100 # vlan 200 # vlan 400 # wlan service-template 1 ssid service vlan 200 akm mode dot1x cipher-suite ccmp security-ie rsn client-security authentication-mode dot1x dot1x domain office service-template enable # interface Vlan-interface100 ip address 192.1.0.3 255.255.0.0 # interface Vlan-interface400 ip address 192.4.0.2 255.255.0.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 200 400 # interface GigabitEthernet1/0/2 port link-type access port access vlan 100 # ip route-static 0.0.0.0 0.0.0.0 192.1.0.1 # radius scheme office primary authentication 192.3.0.2 primary accounting 192.3.0.2 key authentication simple 12345678 key accounting simple 12345678 nas-ip 192.1.0.3 # domain office authentication lan-access radius-scheme office authorization lan-access radius-scheme office accounting lan-access none # user-isolation vlan 400 enable user-isolation vlan 400 permit-mac 000f-eeee-1212 # wlan ap ap1 model WA4320i-ACN serial-id 210235A1GQC14C000225 radio 1 radio enable service-template 1 radio 2 # wlan mobility group 1 source ip 192.1.0.3 member ip 192.1.0.2 group enable · 参与漫游的AP上绑定的无线服务模板的SSID、身份认证与密钥管理的模式和加密套件必须相同。 · 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |