H3C无线控制器AC间漫游典型配置举例(V7)
1 组网需求
如图1所示,在一个区域内通过部署两台AC来为用户提供无线服务,并实现客户端可以在AC间进行快速漫游。具体要求如下:
?AC 1上的客户端业务VLAN为VLAN 200,AC 2上的客户端业务VLAN为VLAN
400。
?客户端跨AC漫游后,客户端数据不经过IACTP隧道返回Home-AC。
?配置用户隔离功能加强用户的安全性,并且减少用户产生的大量组播、广播报文对
无线空口资源的占用。 图1 AC间漫游组网图
设备 AC1 AC2
接口 Vlan-int100 Vlan-int200 Vlan-int100 Vlan-int400 IP地址 192.1.0.2/16 192.2.0.2/16 192.1.0.3/16 192.4.0.2/16 设备 Switch 接口 Vlan-int100 Vlan-int200 Vlan-int300 Vlan-int400 IP地址 192.1.0.1/16 192.2.0.1/16 192.3.0.1/16 192.4.0.1/16 2 配置关键点
2.1 配置AC 1
(1) 在AC上配置相关VLAN和对应虚接口地址,并放通对应接口。 (2) 配置802.1X认证
# 选择802.1X认证方式为EAP。
[AC1] dot1x authentication-method eap
#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。
[AC1] radius scheme office
[AC1-radius-office] primary authentication 192.3.0.2 [AC1-radius-office] primary accounting 192.3.0.2 [AC1-radius-office] key authentication 12345678 [AC1-radius-office] key accounting 12345678 [AC1-radius-office] nas-ip 192.1.0.2
#创建名为office的ISP域,配置认证、计费、授权方案。
[AC1] domain office [AC1-isp-office] authentication lan-access radius-scheme office [AC1-isp-office] authorization lan-access radius-scheme office [AC1-isp-office] accounting lan-access radius-scheme office (3) 配置无线接入服务,配置dot1x认证
[AC1] wlan service-template 1 [AC1-wlan-st-1] ssid service [AC1-wlan-st-1] vlan 200
[AC1-wlan-st-1] client forwarding-location ac [AC1-wlan-st-1] akm mode dot1x
[AC1-wlan-st-1] client-security authentication-mode dot1x [AC1-wlan-st-1] dot1x domain office [AC1-wlan-st-1] cipher-suite ccmp [AC1-wlan-st-1] security-ie rsn
[AC1-wlan-st-1] service-template enable (4) 配置AP
[AC1] wlan ap ap1 model WA4320i-ACN
[AC1-wlan-ap-ap1] serial-id 210235A1GQC14C000225 [AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] service-template 1 [AC1-wlan-ap-ap1-radio-1] radio enable [AC1-wlan-ap-ap1-radio-1] quit [AC1-wlan-ap-ap1] quit (5) 配置漫游功能
# 创建漫游组1,并进入漫游组视图。
[AC1] wlan mobility group 1
# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.2。
[AC1-wlan-mg-1] source ip 192.1.0.2
# 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.3。
[AC1-wlan-mg-1] member ip 192.1.0.3 # 开启漫游组功能。
[AC1-wlan-mg-1] group enable (6) 配置用户隔离功能
# 在VLAN 200上开启用户隔离功能。
[AC1] user-isolation vlan 200 enable
# 将VLAN 200的用户网关MAC地址加入VLAN 200所允许的MAC地址列表。 [AC1] user-isolation vlan 200 permit-mac 000f-e212-7788 (7) 配置缺省路由
# 配置AC 1的缺省路由,下一跳地址为192.1.0.1。
[AC1] ip route-static 0.0.0.0 0.0.0.0 192.1.0.1
2.2 配置AC2
(1) 在AC上配置相关VLAN和对应虚接口地址,并放通对应接口。 (2) 配置802.1X认证
# 选择802.1X认证方式为EAP。
[AC2] dot1x authentication-method eap
#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。 [AC2] radius scheme office
[AC2-radius-office] primary authentication 192.3.0.2 [AC2-radius-office] primary accounting 192.3.0.2 [AC2-radius-office] key authentication 12345678 [AC2-radius-office] key accounting 12345678 [AC2-radius-office] nas-ip 192.1.0.3
#创建名为office的ISP域,配置认证、计费、授权方案。
[AC2] domain office [AC2-isp-office] authentication lan-access radius-scheme office [AC2-isp-office] authorization lan-access radius-scheme office [AC2-isp-office] accounting lan-access radius-scheme office (3) 配置无线接入服务,开启dot1x认证。
[AC2] wlan service-template 1 [AC2-wlan-st-1] ssid service [AC2-wlan-st-1] vlan 200
[AC1-wlan-st-1] client forwarding-location ac [AC2-wlan-st-1] akm mode dot1x
[AC2-wlan-st-1] client-security authentication-mode dot1x [AC2-wlan-st-1] dot1x domain office [AC2-wlan-st-1] cipher-suite ccmp [AC2-wlan-st-1] security-ie rsn
[AC2-wlan-st-1] service-template enable (4) 配置AP
[AC2] wlan ap ap2 model WA4320i-ACN
[AC2-wlan-ap-ap2] serial-id 210235A1GQC14C000224 [AC2-wlan-ap-ap2] radio 1
[AC2-wlan-ap-ap2-radio-1] service-template 1 [AC2-wlan-ap-ap2-radio-1] radio enable (5) 配置漫游功能
# 创建漫游组1,并进入到漫游组视图。
[AC2] wlan mobility group 1
# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.3。
[AC2-wlan-mg-1] source ip 192.1.0.3
# 添加漫游组内的AC成员,该AC成员用于建立IACTP隧道的源IP地址为192.1.0.2。
[AC2-wlan-mg-1] member ip 192.1.0.2 # 开启漫游组功能。