WLAN V200R010C00 典型配置案例集
无线城市无线覆盖部署案例(交通枢纽-公交站台等)
适用范围和业务需求
适用范围
本方案适用于无线城市交通枢纽室外覆盖场景,如公交站台等,为用户终端、视频监控提供无线上网服务,并实现全网络覆盖。
业务需求
无线城市交通枢纽室外覆盖场景的特点如下:
覆盖区域为室外开放空间,AP工作环境恶劣,防护要求突出。
覆盖区域单一。
用户区域集中,上网带宽需求一般。
可能包含无线视频监控等新增业务。
无线城市交通枢纽室外覆盖场景的主要业务需求如下:
基本接入需求
满足用户在使用手机、PAD、笔记本等随时随地观看视频、浏览网页、使用手机APP时体验良好。
认证授权需求
访客流动性强,要求易于认证。
安全需求
需要防止用户二层互通的问题,无线网络需要注意网络安全,防止非法设备的接入、报文攻击等问题。
此场景下,客户可能需要统计终端位置信息,用于大数据分析。
- 无线漫游需求
支持交通枢纽室外覆盖场景的不同区域之间的终端移动。
不同场所间漫游时重新接入无线网络,需要简化认证。
快速切换、网络时延小、业务不中断。
- 可靠性需求
当网络中的单台设备产生故障时,也需要保证网络可靠性。
方案设计
组网图
无线城市交通枢纽室外覆盖场景推荐组网如下图所示。
网络设计分析
- 基本接入需求
推荐采用室外AP8082DN或AP8182DN外接全向天线覆盖,该方案可满足:
- 不同终端类型对信号强度的不同需求,一般需满足-65dBm。
- 用户正常接入网络,使用手机、PAD等浏览网页、手机APP等基本需求。
室外场景下,为了防止大量低信号用户关联网络导致的网络整体用户体验下降,通常需配置强制低信号用户下线功能。此外,为了防止用户过多导致的网络整体用户体验下降,通常需降低终端老化时间。
由于室外场景人员流动性强,为了防止用户过多无法获取地址,通常还需在DHCP服务器上降低DHCP老化时间。
- 认证授权需求
认证从易用性考虑,采用MAC优先的Portal认证。用户首次认证采用Portal认证,RADIUS服务器缓存用户终端使用的SSID和MAC地址,如果终端在缓存的有效期内掉线后重新上线,RADIUS服务器直接在缓存中查找终端的SSID和MAC地址进行认证。
无线用户认证点部署在AC上。
- 安全需求
可通过以下方案提升无线网络安全性:
- 在流量模板配置二、三层隔离,使同一个VAP内的用户之间不能直接通信,提升用户通信安全性。
- 配置防攻击策略,如广播报文泛洪检测与抑制。
- (可选)场景中若客户需要统计终端位置信息则启用定位功能,上报周围终端信息。
- 无线漫游需求
对于实现漫游,只需将所有AP的SSID和安全策略都配成一致即可。
对于认证方案,可采用MAC优先的Portal认证,从而达到漫游中简化认证的要求。
- 可靠性需求
为了保证核心设备的可靠性,采用核心设备做集群。
为了保证WLAN业务的可靠性,可在网络中部署2台AC设备,并配置AC的VRRP热备份。当两台设备在确定主用(Master)设备和备用(Backup)设备后,由主用设备进行业务的转发,而备用设备处于待命状态,同时主用设备实时向备用设备发送状态信息和需要备份的信息,当主用设备出现故障后,备用设备及时接替主用设备的业务运行,从而提高了网络的可靠性。
为了保证保障认证服务器的可靠性,认证服务器可以采用1(SM)+2(SC)方式部署。
方案涉及网元的软件版本要求
本方案适用的产品和版本如下表所示。
产品名 |
产品版本 |
---|---|
S12700 |
V200R010C00 |
S5700 |
V200R010C00 |
ACU2 |
V200R010C00 |
AP8082DN |
V200R010C00 |
AP8182DN |
V200R010C00 |
Agile Controller-Campus |
V100R002C10 |
eSight |
V300R006C00 |
MA5680T(OLT) |
V800R017C10 |
MA5616(ONU) |
V800R313C00 |
配置思路和数据规划
配置思路
按照交通枢纽室外覆盖场景的需求,采用如下的思路进行配置:
- 配置核心交换机集群,保证核心交换机的可靠性。
- 配置汇聚交换机、PON网络和AC的网络互通。
- 配置DHCP服务。核心交换机S12700作为DHCP服务器为AP分配IP地址,AP网关在汇聚交换机S5700上,使AP三层上线;外置DHCP服务器为STA分配IP地址。
- 在AC上配置RADIUS服务器认证、计费和授权模板,以便AC能够与RADIUS服务器联动。
- 配置AC的VRRP备份,保证WLAN业务可靠性。
- 在AC上配置WLAN业务,满足无线网络在交通枢纽室外覆盖场景下的无线接入需求。
- 配置VRRP热备份场景下的无线配置同步功能,使备AC从主AC同步公有配置。
- 在Agile Controller-Campus业务管理器中添加测试用户账号及AC,并配置参数,保证Controller能与AC正常联动。
数据规划
项目 |
编号:接口号 |
所属VLAN |
IP地址 |
描述 |
---|---|---|---|---|
ONU |
6:Eth0/3/1 |
VLAN900、VLAN740 |
- |
连接AP_1 |
7:Eth0/3/2 |
VLAN900、VLAN740 |
- |
连接AP_2 |
|
8:Eth0/3/2 |
VLAN900、VLAN740 |
- |
连接AP_3 |
|
OLT |
9:Gpon0/2/1 |
VLAN900、VLAN740 |
- |
连接汇聚交换机S5700 |
汇聚交换机S5700 |
1:GE0/0/1 |
VLAN900、VLAN740 |
VLANIF900:172.19.1.1/24 |
连接PON网络 |
23:GE0/0/23(加入Eth-Trunk1) |
VLAN800、VLAN740 |
VLANIF800:10.128.1.253/24 |
连接S12700_A |
|
24:GE0/0/24(加入Eth-Trunk1) |
VLAN800、VLAN740 |
连接S12700_B |
||
S12700_A和S12700_B集群 |
13:GE1/1/0/13(加入Eth-Trunk1) |
VLAN800、VLAN740 |
VLANIF740:10.174.1.1/22 VLANIF800:10.128.1.254/24 VLANIF820:172.16.1.1/24 |
连接汇聚交换机S5700 |
14:GE2/1/0/14(加入Eth-Trunk1) |
VLAN800、VLAN740 |
|||
15:Eth-Trunk2(成员端口XGE1/1/0/1和XGE1/1/0/2) |
VLAN800、VLAN810 |
连接AC_1 |
||
16:Eth-Trunk3(成员端口XGE2/1/0/1和XGE2/1/0/2) |
VLAN800、VLAN810 |
连接AC_2 |
||
20:GE2/1/0/20 |
VLAN820 |
连接主Controller服务器 |
||
21:GE2/1/0/21 |
VLAN820 |
连接备Controller服务器 |
||
AC_1 |
17:Eth-Trunk1(成员端口XGE0/0/1和XGE0/0/2) |
VLAN800、VLAN810 |
VLANIF800:10.128.1.2/24 VLANIF810:10.1.1.253/30 |
连接S12700_A |
AC_2 |
18:Eth-Trunk1(成员端口XGE0/0/1和XGE0/0/2) |
VLAN800、VLAN810 |
VLANIF800:10.128.1.3/24 VLANIF810:10.1.1.254/30 |
连接S12700_B |
项目 |
数据 |
---|---|
CAPWAP源接口IP地址 |
10.128.1.1 |
AP管理VLAN |
800、900 |
VRRP备份组 |
虚拟IP地址:VLANIF800 10.128.1.1 管理VRRP备份组ID:1 备份业务:DHCP、用户接入、AP AC_1:
AC_2:
|
DHCP服务器 |
|
DNS服务器 |
IP地址:172.16.1.250 |
AP地址池 |
172.19.1.2~172.19.1.254/24 |
STA地址池 |
VLAN740:10.174.0.1~10.174.3.254/22(不包含10.174.1.1) |
AAA参数 |
认证方案:
计费方案:
|
RADIUS参数 |
RADIUS服务器模板名称:radius_huawei,其中:
RADIUS授权服务器:
|
Portal服务器模板 |
|
|
|
URL模板 |
|
|
|
全局源IP地址 |
|
Portal接入模板 |
|
MAC接入模板 |
名称:wireless_city |
免认证规则模板 |
|
认证模板 |
|
AP组 |
|
射频调优 |
|
SSID模板 |
|
安全模板 |
|
流量模板 |
|
RRM模板 |
|
VAP模板 |
|
2G射频模板 |
|
5G射频模板 |
|
Agile Controller-Campus |
|
(可选)eSight网管 |
IP地址:172.16.1.251 |
(可选)空口扫描模板 |
|
(可选)定位模板 |
|
配置步骤
配置无线接入控制器ACU2
- 在AC_1和AC_2上创建VLAN800和VLAN740,并配置AC_1和AC_2连接S12700_A和S12700_B的接口加入VLAN800。
<ACU2> system-view [ACU2] sysname AC_1 [AC_1] vlan batch 740 800 [AC_1] interface vlanif 800 [AC_1-Vlanif800] ip address 10.128.1.2 24 [AC_1-Vlanif800] quit [AC_1] interface eth-trunk 1 [AC_1-Eth-Trunk1] description Connect to S12700_A_Eth-Trunk [AC_1-Eth-Trunk1] port link-type trunk [AC_1-Eth-Trunk1] port trunk allow-pass vlan 800 [AC_1-Eth-Trunk1] undo port trunk allow-pass vlan 1 [AC_1-Eth-Trunk1] quit [AC_1] interface xgigabitethernet 0/0/1 [AC_1-XGigabitEthernet0/0/1] eth-trunk 1 [AC_1-XGigabitEthernet0/0/1] quit [AC_1] interface xgigabitethernet 0/0/2 [AC_1-XGigabitEthernet0/0/2] eth-trunk 1 [AC_1-XGigabitEthernet0/0/2] quit
<ACU2> system-view [ACU2] sysname AC_2 [AC_2] vlan batch 740 800 [AC_2] interface vlanif 800 [AC_2-Vlanif800] ip address 10.128.1.3 24 [AC_2-Vlanif800] quit [AC_2] interface eth-trunk 1 [AC_2-Eth-Trunk1] description Connect to S12700_B_Eth-Trunk [AC_2-Eth-Trunk1] port link-type trunk [AC_2-Eth-Trunk1] port trunk allow-pass vlan 800 [AC_2-Eth-Trunk1] undo port trunk allow-pass vlan 1 [AC_2-Eth-Trunk1] quit [AC_2] interface xgigabitethernet 0/0/1 [AC_2-XGigabitEthernet0/0/1] eth-trunk 1 [AC_2-XGigabitEthernet0/0/1] quit [AC_2] interface xgigabitethernet 0/0/2 [AC_2-XGigabitEthernet0/0/2] eth-trunk 1 [AC_2-XGigabitEthernet0/0/2] quit
- 配置VLAN pool,用于作为业务VLAN。
# 新建一个VLAN pool“sta-pool”,将VLAN740加入“sta-pool”。本例仅以加入一个VLAN为例,实际可以根据需要配置多个VLAN加入VLAN Pool。
[AC_1] vlan pool sta-pool [AC_1-vlan-pool-sta-pool] vlan 740 [AC_1-vlan-pool-sta-pool] quit
- 配置VRRP+HSB方式的备份。
- 配置AC_1和AC_2的HSB互通。
# 配置AC_1连接AC_2的接口Eth-Trunk1加入HSB VLAN810。
[AC_1] vlan batch 810 [AC_1] interface vlanif 810 [AC_1-Vlanif810] ip address 10.1.1.253 30 [AC_1-Vlanif810] quit [AC_1] interface eth-trunk 1 [AC_1-Eth-Trunk1] port trunk allow-pass vlan 810 [AC_1-Eth-Trunk1] quit
# 配置AC_2连接AC_1的接口Eth-Trunk1加入HSB VLAN810。
[AC_2] vlan batch 810 [AC_2] interface vlanif 810 [AC_2-Vlanif810] ip address 10.1.1.254 30 [AC_2-Vlanif810] quit [AC_2] interface eth-trunk 1 [AC_2-Eth-Trunk1] port trunk allow-pass vlan 810 [AC_2-Eth-Trunk1] quit
- 配置AC_1的VRRP方式的双机热备份。
# 配置VRRP备份组的状态恢复延迟时间为60秒。
[AC_1] vrrp recover-delay 60
# 在AC_1上创建管理VRRP备份组,配置AC_1在该备份组中的优先级为120,并配置抢占延迟时间为1200秒。
[AC_1] interface vlanif 800 [AC_1-Vlanif800] vrrp vrid 1 virtual-ip 10.128.1.1 [AC_1-Vlanif800] vrrp vrid 1 priority 120 [AC_1-Vlanif800] vrrp vrid 1 preempt-mode timer delay 1200 [AC_1-Vlanif800] admin-vrrp vrid 1 //设置VRRP备份组1为管理VRRP。 [AC_1-Vlanif800] quit
# 在AC_1上创建HSB主备服务0,并配置其主备通道IP地址和端口号。
[AC_1] hsb-service 0 [AC_1-hsb-service-0] service-ip-port local-ip 10.1.1.253 peer-ip 10.1.1.254 local-data-port 10241 peer-data-port 10241 [AC_1-hsb-service-0] quit
# 在AC_1上创建HSB备份组0,并配置其绑定HSB主备服务0和管理VRRP备份组。
[AC_1] hsb-group 0 [AC_1-hsb-group-0] bind-service 0 [AC_1-hsb-group-0] track vrrp vrid 1 interface vlanif 800 [AC_1-hsb-group-0] quit
# 配置AC_1业务绑定HSB备份组。
[AC_1] hsb-service-type access-user hsb-group 0 //配置NAC业务绑定HSB备份组。 [AC_1] hsb-service-type ap hsb-group 0 //配置WLAN业务备份使用的HSB类型为HSB组。 [AC_1] hsb-service-type dhcp hsb-group 0 //配置DHCP服务器绑定在双机热备DHCP服务器组。 [AC_1] hsb-group 0 [AC_1-hsb-group-0] hsb enable [AC_1-hsb-group-0] quit
- 在AC_2上配置VRRP方式的双机热备份。
# 配置VRRP备份组的状态恢复延迟时间为60秒。
[AC_2] vrrp recover-delay 60
# 在AC_2上创建管理VRRP备份组。
[AC_2] interface vlanif 800 [AC_2-Vlanif800] vrrp vrid 1 virtual-ip 10.128.1.1 [AC_2-Vlanif800] admin-vrrp vrid 1 //设置VRRP备份组1为管理VRRP。 [AC_2-Vlanif800] quit
# 在AC_2上创建HSB主备服务0,并配置其主备通道IP地址和端口号。
[AC_2] hsb-service 0 [AC_2-hsb-service-0] service-ip-port local-ip 10.1.1.254 peer-ip 10.1.1.253 local-data-port 10241 peer-data-port 10241 [AC_2-hsb-service-0] quit
# 在AC_2上创建HSB备份组0,并配置其绑定HSB主备服务0和管理VRRP备份组。
[AC_2] hsb-group 0 [AC_2-hsb-group-0] bind-service 0 [AC_2-hsb-group-0] track vrrp vrid 1 interface vlanif 800 [AC_2-hsb-group-0] quit
# 配置AC_2业务绑定HSB备份组。
[AC_2] hsb-service-type access-user hsb-group 0 //配置NAC业务绑定HSB备份组。 [AC_2] hsb-service-type ap hsb-group 0 //配置WLAN业务备份使用的HSB类型为HSB组。 [AC_2] hsb-service-type dhcp hsb-group 0 //配置DHCP服务器绑定在双机热备DHCP服务器组。 [AC_2] hsb-group 0 [AC_2-hsb-group-0] hsb enable [AC_2-hsb-group-0] quit
- 配置AC_1和AC_2的HSB互通。
- 在AC上配置RADIUS服务器认证、计费和授权模板,以便AC能够与RADIUS服务器联动。
- 创建并配置RADIUS服务器模板、AAA方案。
# 创建并配置RADIUS服务器模板“radius_huawei”。
[AC_1] radius-server template radius_huawei [AC_1-radius-radius_huawei] radius-server authentication 172.16.1.254 1812 weight 100 //配置主认证服务器。 [AC_1-radius-radius_huawei] radius-server authentication 172.16.1.253 1812 weight 80 //配置备认证服务器。 [AC_1-radius-radius_huawei] radius-server accounting 172.16.1.254 1813 weight 100 //配置主计费服务器。 [AC_1-radius-radius_huawei] radius-server accounting 172.16.1.253 1813 weight 80 //配置备计费服务器。 [AC_1-radius-radius_huawei] radius-server shared-key cipher huawei@123 [AC_1-radius-radius_huawei] quit
# 创建RADIUS授权服务器。
[AC_1] radius-server authorization 172.16.1.254 shared-key cipher huawei@123 //配置主授权服务器。 [AC_1] radius-server authorization 172.16.1.253 shared-key cipher huawei@123 //配置备授权服务器。
# 在AC_1和AC_2上分别配置设备与RADIUS服务器通信的全局源IP地址。
[AC_1] radius-server source ip-address 10.128.1.1
[AC_2] radius-server source ip-address 10.128.1.1
# 创建AAA认证方案“radius_huawei”并配置认证方式为RADIUS。
[AC_1] aaa [AC_1-aaa] authentication-scheme radius_huawei [AC_1-aaa-authen-radius_huawei] authentication-mode radius //配置认证模式为RADIUS认证。 [AC_1-aaa-authen-radius_huawei] quit [AC_1-aaa] accounting-scheme radius_huawei [AC_1-aaa-accounting-radius_huawei] accounting-mode radius //配置计费模式为RADIUS模式。 [AC_1-aaa-accounting-radius_huawei] accounting realtime 15 //开启实时计费功能,并设置实时计费时间间隔为15分钟。此处配置的作用并非真正的计费,而是用于和Controller对接时,通过这个计费配置来记录用户的RADIUS日志。 [AC_1-aaa-accounting-radius_huawei] quit [AC_1-aaa] quit
实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能要求就越高。请根据用户数设置计费间隔,如表4-252所示。
- 配置URL模板,配置指向Portal服务器的重定向URL,并指定URL中携带的参数为用户关联SSID和接入用户访问的原始URL地址。
[AC_1] url-template name huawei1 //配置主Portal服务器使用的URL模板。 [AC_1-url-template-huawei1] url http://172.16.1.254:8080/portal //URL格式与对接的认证服务器相关,并非是固定的。 [AC_1-url-template-huawei1] url-parameter ssid ssid redirect-url url [AC_1-url-template-huawei1] quit [AC_1] url-template name huawei2 //配置备Portal服务器使用的URL模板。 [AC_1-url-template-huawei2] url http://172.16.1.253:8080/portal //URL格式与对接的认证服务器相关,并非是固定的。 [AC_1-url-template-huawei2] url-parameter ssid ssid redirect-url url [AC_1-url-template-huawei2] quit
- 配置Portal服务器模板。
[AC_1] web-auth-server huawei1 [AC_1-web-auth-server-huawei1] server-ip 172.16.1.254 //配置主Portal服务器地址。 [AC_1-web-auth-server-huawei1] shared-key cipher huawei@123 //配置共享密钥。 [AC_1-web-auth-server-huawei1] port 50200 //配置Portal服务器端口号。 [AC_1-web-auth-server-huawei1] url-template huawei1 [AC_1-web-auth-server-huawei1] server-detect interval 100 max-times 5 action log //使能Portal服务器探测功能。 [AC_1-web-auth-server-huawei1] quit [AC_1] web-auth-server huawei2 [AC_1-web-auth-server-huawei2] server-ip 172.16.1.253 //配置备Portal服务器地址。 [AC_1-web-auth-server-huawei2] shared-key cipher huawei@123 //配置共享密钥。 [AC_1-web-auth-server-huawei2] port 50200 //配置Portal服务器端口号。 [AC_1-web-auth-server-huawei2] url-template huawei2 [AC_1-web-auth-server-huawei2] server-detect interval 100 max-times 5 action log //使能Portal服务器探测功能。 [AC_1-web-auth-server-huawei2] quit
- 在AC_1和AC_2上分别配置设备与Portal服务器通信的全局源IP地址。
[AC_1] web-auth-server source-ip 10.128.1.1
[AC_2] web-auth-server source-ip 10.128.1.1
- 配置AC_1和AC_2到服务器的路由,下一跳为核心交换机S12700的VLANIF800。
[AC_1] ip route-static 0.0.0.0 0.0.0.0 10.128.1.254
[AC_2] ip route-static 0.0.0.0 0.0.0.0 10.128.1.254
- 创建并配置RADIUS服务器模板、AAA方案。
- 在AC上配置WLAN业务,满足无线网络在交通枢纽室外覆盖场景下的无线接入需求。
- 在AC_1和AC_2上创建VLAN描述。
[AC_1] vlan 740 [AC_1-vlan740] description wireless_city_transport_outdoor [AC_1-vlan740] quit [AC_1] vlan 800 [AC_1-vlan800] description AP-management-vlan [AC_1-vlan800] quit
[AC_2] vlan 740 [AC_2-vlan740] description wireless_city_transport_outdoor [AC_2-vlan740] quit [AC_2] vlan 800 [AC_2-vlan800] description AP-management-vlan [AC_2-vlan800] quit
- 配置AC_1的WLAN业务。
# 配置CAPWAP源地址。
[AC_1] capwap source ip-address 10.128.1.1 //配置CAPWAP源地址为VRRP虚拟IP地址。
# 创建AC_1的AP组,用于将相同配置的AP都加入同一AP组中。此处以AP_1、AP_2、AP_3为例,其他AP添加方法类似,不再赘述。
[AC_1] wlan [AC_1-wlan-view] ap-group name transport_outdoor [AC_1-wlan-ap-group-transport_outdoor] quit [AC_1-wlan-view] ap auth-mode mac-auth [AC_1-wlan-view] ap-id 1 ap-mac 845b-1275-5ee0 [AC_1-wlan-ap-1] ap-group transport_outdoor Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC_1-wlan-ap-1] ap-name AP_1 Warning: This operation may cause AP reset. Continue? [Y/N]:y [AC_1-wlan-ap-1] quit [AC_1-wlan-view] ap-id 2 ap-mac d0d0-4b22-df00 [AC_1-wlan-ap-2] ap-group transport_outdoor Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC_1-wlan-ap-2] ap-name AP_2 Warning: This operation may cause AP reset. Continue? [Y/N]:y [AC_1-wlan-ap-2] quit [AC_1-wlan-view] ap-id 3 ap-mac 9404-9cd8-ca00 [AC_1-wlan-ap-3] ap-group transport_outdoor Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC_1-wlan-ap-3] ap-name AP_3 Warning: This operation may cause AP reset. Continue? [Y/N]:y [AC_1-wlan-ap-3] quit [AC_1-wlan-view] quit
# 其他AP根据规划进行AP组配置。
# 配置MAC接入模板“wireless_city”。
[AC_1] mac-access-profile name wireless_city [AC_1-mac-access-profile-wireless_city] quit
# 配置Portal接入模板“wireless_city”。
[AC_1] portal-access-profile name wireless_city [AC_1-portal-access-profile-wireless_city] web-auth-server huawei1 huawei2 direct [AC_1-portal-access-profile-wireless_city] quit
# 配置免认证规则模板。
[AC_1] free-rule-template name wireless_city [AC_1-free-rule-wireless_city] free-rule 1 destination ip 172.16.1.250 mask 32 //DNS服务器IP地址:172.16.1.250。 [AC_1-free-rule-wireless_city] quit
# 配置认证模板“authen-pro_wireless_city”。
[AC_1] authentication-profile name authen-pro_wireless_city [AC_1-authentication-profile-authen-pro_wireless_city] mac-access-profile wireless_city [AC_1-authentication-profile-authen-pro_wireless_city] portal-access-profile wireless_city [AC_1-authentication-profile-authen-pro_wireless_city] free-rule-template wireless_city [AC_1-authentication-profile-authen-pro_wireless_city] authentication-scheme radius_huawei [AC_1-authentication-profile-authen-pro_wireless_city] accounting-scheme radius_huawei [AC_1-authentication-profile-authen-pro_wireless_city] radius-server radius_huawei [AC_1-authentication-profile-authen-pro_wireless_city] quit
# 创建安全模板,并配置安全策略。缺省情况下,安全策略为open方式的开放认证。
[AC_1] wlan [AC_1-wlan-view] security-profile name wireless_city [AC_1-wlan-sec-prof-wireless_city] quit
# 创建SSID模板,并配置SSID。
[AC_1-wlan-view] ssid-profile name wireless_city [AC_1-wlan-ssid-prof-wireless_city] ssid wireless_city [AC_1-wlan-ssid-prof-wireless_city] association-timeout 1 //配置STA关联老化时间为1分钟。 [AC_1-wlan-ssid-prof-wireless_city] quit
# 配置名称为“transport_outdoor”的流量模板中所有用户隔离,终端限速2Mbps。
[AC_1-wlan-view] traffic-profile name transport_outdoor [AC_1-wlan-traffic-prof-transport_outdoor] user-isolate all [AC_1-wlan-traffic-prof-transport_outdoor] rate-limit client up 2048 [AC_1-wlan-traffic-prof-transport_outdoor] rate-limit client down 2048 [AC_1-wlan-traffic-prof-transport_outdoor] quit
# 开启射频自动调优功能,策略启用load、noise-floor、non-wifi和rogue-ap,灵敏度设置为高。
[AC_1-wlan-view] calibrate enable auto interval 1440 start-time 03:00:00 //配置射频调优模式。 [AC_1-wlan-view] calibrate policy load //指定射频调优策略为负载模式。 [AC_1-wlan-view] calibrate policy noise-floor //指定射频调优策略为底噪调优模式。 [AC_1-wlan-view] calibrate policy non-wifi //指定射频调优策略为非Wi-Fi模式。 [AC_1-wlan-view] calibrate policy rogue-ap //指定射频调优策略为入侵模式。 [AC_1-wlan-view] calibrate sensitivity high //指定射频调优的灵敏度为高。
# 配置AC_1的RRM模板。
[AC_1-wlan-view] rrm-profile name transport_outdoor [AC_1-wlan-rrm-prof-transport_outdoor] undo smart-roam disable //使能智能漫游功能。 [AC_1-wlan-rrm-prof-transport_outdoor] smart-roam quick-kickoff-threshold snr 20 //指定快速强制用户下线基于信噪比的门限值。 [AC_1-wlan-rrm-prof-transport_outdoor] quit
# 创建VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板、流量模板和认证模板。
[AC_1-wlan-view] vap-profile name transport_outdoor [AC_1-wlan-vap-prof-transport_outdoor] forward-mode direct-forward [AC_1-wlan-vap-prof-transport_outdoor] service-vlan vlan-pool sta-pool [AC_1-wlan-vap-prof-transport_outdoor] security-profile wireless_city [AC_1-wlan-vap-prof-transport_outdoor] ssid-profile wireless_city [AC_1-wlan-vap-prof-transport_outdoor] traffic-profile transport_outdoor [AC_1-wlan-vap-prof-transport_outdoor] authentication-profile authen-pro_wireless_city [AC_1-wlan-vap-prof-transport_outdoor] quit
# 创建AC_1的射频模板。
[AC_1-wlan-view] radio-2g-profile name 2G_transport_outdoor [AC_1-wlan-radio-2g-prof-2G_transport_outdoor] rrm-profile transport_outdoor [AC_1-wlan-radio-2g-prof-2G_transport_outdoor] quit [AC_1-wlan-view] radio-5g-profile name 5G_transport_outdoor [AC_1-wlan-radio-5g-prof-5G_transport_outdoor] rrm-profile transport_outdoor [AC_1-wlan-radio-5g-prof-5G_transport_outdoor] quit
# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板的配置。
[AC_1-wlan-view] ap-group name transport_outdoor [AC_1-wlan-ap-group-transport_outdoor] vap-profile transport_outdoor wlan 1 radio all [AC_1-wlan-ap-group-transport_outdoor] radio 0 [AC_1-wlan-group-radio-transport_outdoor/0] radio-2g-profile 2G_transport_outdoor Warning: This action may cause service interruption. Continue?[Y/N]y [AC_1-wlan-group-radio-transport_outdoor/0] quit [AC_1-wlan-ap-group-transport_outdoor] radio 1 [AC_1-wlan-group-radio-transport_outdoor/1] radio-5g-profile 5G_transport_outdoor Warning: This action may cause service interruption. Continue?[Y/N]y [AC_1-wlan-group-radio-transport_outdoor/1] quit [AC_1-wlan-ap-group-transport_outdoor] quit [AC_1-wlan-view] quit
- 配置AC_2的WLAN私有配置。
# 配置AC_2的源地址。
[AC_2] capwap source ip-address 10.128.1.1
- 配置VRRP热备份场景下的无线配置同步功能。# 配置AC_1上的无线配置同步功能。
[AC_1] wlan [AC_1-wlan-view] master controller [AC_1-master-controller] master-redundancy peer-ip ip-address 10.128.1.3 local-ip ip-address 10.128.1.2 psk huawei@123 [AC_1-master-controller] master-redundancy track-vrrp vrid 1 interface vlanif 800 [AC_1-master-controller] quit [AC_1-wlan-view] quit
# 配置AC_2上的无线配置同步功能。[AC_2] wlan [AC_2-wlan-view] master controller [AC_2-master-controller] master-redundancy peer-ip ip-address 10.128.1.2 local-ip ip-address 10.128.1.3 psk huawei@123 [AC_2-master-controller] master-redundancy track-vrrp vrid 1 interface vlanif 800 [AC_2-master-controller] quit [AC_2-wlan-view] quit
- 手动触发无线配置同步。
# 首次建立配置同步通道时,执行命令display sync-configuration status查看无线配置同步状态信息,状态为“cfg-mismatch”,必须在Master AC上手动触发无线配置同步到Backup Master AC上,等待Backup Master AC自动重启完成同步。后续Master AC和Backup Master AC上配置不一致时,Master AC的配置会自动同步到Backup Master AC。
[AC_1] display sync-configuration status Controller role:Master/Backup/Local ------------------------------------------------------------------------------------------------------ Controller IP Role Device Type Version Status Last synced ------------------------------------------------------------------------------------------------------ 10.128.1.3 Backup ACU2 V200R010C00 cfg-mismatch(config check fail) - ------------------------------------------------------------------------------------------------------ Total: 1 [AC_1] synchronize-configuration Warning: This operation may reset the remote AC, synchronize configurations to it, and save all its configurations. Whether to continue? [Y/N]:y
- 在AC_1和AC_2上创建VLAN描述。
- 在Agile Controller-Campus管理页面上添加测试用户账号。
- 选择“资源 > 用户 > 用户管理”,单击“增加”。
- 配置账号信息,单击“确定”。
- 在Agile Controller-Campus业务管理器中添加AC,并配置参数,保证Controller能与AC正常联动。
- 选择“资源 > 设备 > 设备管理”,单击“增加”。
参数
说明
IP地址
VLANIF800虚拟IP地址:10.128.1.1
认证计费密钥
与RADIUS服务器模板中radius-server shared-key cipher huawei@123所指定的密钥一致
授权密钥
与RADIUS授权服务器模板中radius-server authorization 172.16.1.254 shared-key cipher huawei@123所指定的密钥一致
实时计费周期
与计费模板accounting realtime 15所指定的周期一致
端口
Portal服务器监听端口,缺省值为2000
Portal密钥
与Portal服务器模板shared-key cipher huawei@123所指定的密钥一致
接入终端IP地址列表
与STA地址池一致
启用接入设备与Portal服务器的心跳
当设备检测到主Portal服务器不可用时,可自动连接到备Portal服务器。
只有勾选“启用接入设备与Portal服务器的心跳”,并且将Portal服务器的地址加入到“Portal服务器IP地址列表”中,Portal服务器才会向接入设备发送心跳报文并向接入设备同步用户信息,接入设备才能周期性地检测到Portal服务器的心跳报文,从而判断Portal服务器的状态,并和Portal服务器之间同步用户信息。
Portal服务器IP地址列表
- 在Agile Controller-Campus中启用MAC优先的Portal认证。
# 选择“系统 > 终端参数配置 > 全局参数”。
# 在“MAC优先的Portal认证”页签下,启用“MAC优先的Portal认证”,并配置“MAC地址有效时间”为“120分钟”,单击“确定”。
- 选择“资源 > 设备 > 设备管理”,单击“增加”。
- (可选)配置Wi-Fi终端定位功能。
- 配置WLAN空口扫描功能。
# 创建名为“wireless_city”的空口扫描模板,并配置空口扫描信道集合。缺省情况下,空口扫描信道集合为AP对应国家码支持的所有信道。
[AC_1] wlan [AC_1-wlan-view] air-scan-profile name wireless_city [AC_1-wlan-air-scan-prof-wireless_city] scan-channel-set country-channel [AC_1-wlan-air-scan-prof-wireless_city] quit
# 2G射频模板和5G射频模板引用名为“wireless_city”的空口扫描模板。
[AC_1-wlan-view] radio-2g-profile name 2G_transport_outdoor [AC_1-wlan-radio-2g-prof-2G_transport_outdoor] air-scan-profile wireless_city [AC_1-wlan-radio-2g-prof-2G_transport_outdoor] quit
[AC_1-wlan-view] radio-5g-profile name 5G_transport_outdoor [AC_1-wlan-radio-5g-prof-5G_transport_outdoor] air-scan-profile wireless_city [AC_1-wlan-radio-5g-prof-5G_transport_outdoor] quit
- 配置Wi-Fi终端定位功能。
# 创建名为“wireless_city”的定位模板,使能终端定位功能,并配置定位信息上报的目的地与上报的端口号。
[AC_1-wlan-view] location-profile name wireless_city [AC_1-wlan-location-prof-wireless_city] private mu-enable [AC_1-wlan-location-prof-wireless_city] private server ip-address 172.16.1.251 port 32180 via-ac ac-port 10001 //172.16.1.251是eSight定位服务器。 [AC_1-wlan-location-prof-wireless_city] quit
# 配置AP组引用定位模板。
[AC_1-wlan-view] ap-group name transport_outdoor [AC_1-wlan-ap-group-transport_outdoor] location-profile wireless_city radio all Warning: This action may cause service interruption. Continue?[Y/N]y [AC_1-wlan-ap-group-transport_outdoor] quit [AC_1-wlan-view] quit
- 配置AC_1和AC_2与网管通信。
[AC_1] snmp-agent [AC_1] snmp-agent community read Public mib-view iso-view //配置读团体名。 [AC_1] snmp-agent community write Private mib-view iso-view //配置写团体名。 [AC_1] snmp-agent sys-info version v2c //配置网管跟设备之间协商使用SNMP的哪个版本进行管理。 [AC_1] snmp-agent mib-view iso-view include iso //配置MIB视图iso-view,包含iso子树。
# 配置告警上送。
[AC_1] snmp-agent trap enable //设备的所有业务模块的告警都需要上报。 Info: All switches of SNMP trap/notification will be open. Continue? [Y/N]:y [AC_1] snmp-agent trap source vlanif 800 //指定发送Trap的源接口。 [AC_1] snmp-agent target-host trap-hostname esight address 172.16.1.251 udp-port 162 trap-paramsname esight //address为网管服务器IP地址,udp-port为告警端口,默认为162,trap-paramsname是网管服务器使用的Trap报文发送参数信息列表名称。 [AC_1] snmp-agent target-host trap-paramsname esight v2c securityname Public //securityname后面的参数为SNMP读团体名。
# 使能SSH客户端首次认证。
[AC_1] ssh client first-time enable
# AC_2与网管通信的配置与AC_1完全一致,此处不再赘述。
启用无线配置同步功能后,AC_2上的公有配置会从AC_1上自动同步。
- 配置eSight网管。
- 打开eSight网管,创建区域,此例中创建的区域名称为“AP_region_1”。
# 在主菜单中选择“业务 > WLAN管理 > 区域监控”。
# 在资源树上选择“区域拓扑”,单击区域拓扑工具栏中的,进入编辑模式。
# 在区域拓扑视图中单击右键选择“增加区域”。
# 单击“确定”,完成区域创建。
- 在“AP_region_1”区域拓扑中增加AP。
# 在资源树上选择“区域拓扑 > AP_region_1”或双击右侧视图中区域的名称“AP_region_1”,进入“AP_region_1”的位置视图。
# 在“AP_region_1”视图中单击右键选择“增加AP”,勾选需要执行定位的AP,点击“确定”,完成AP添加。
执行定位的AP应不少于三个,否则无法准确对终端执行定位。
- 在定位区域“AP_region_1”设置背景地图和比例尺。
# 在“AP_region_1”视图中单击右键选择“设置子网背景图”。
# 根据实际情况选择背景题图,并单击“应用背景”。
图片为网络物理环境的平面图,图片文件格式支持GIF、JPG、JPEG、PNG。
# 在“AP_region_1”的位置视图中,单击右键选择“设置比例尺”。单击设置起点和终点,并输入两点之间的实际长度,系统自动计算出背景地图的比例尺。
# 在“AP_region_1”的位置视图中,根据AP的实际部署情况,正确放置各个AP在背景地图上的位置。
# 在“AP_region_1”的位置视图中,单击“保存”,完成配置。
- 启动eSight网管WIFI定位功能。
# 在资源树上选择“区域拓扑 > AP_region_1”或在“AP_region_1”右侧视图中区域中单击右键,选择“使能WIFI定位”。在弹出的对话框中单击“确定”。
- 打开eSight网管,创建区域,此例中创建的区域名称为“AP_region_1”。
- 配置WLAN空口扫描功能。
配置核心交换机S12700
- 配置核心交换机集群,保证核心交换机的可靠性。
请参考“交换机堆叠助手”工具进行配置。
- 配置核心交换机S12700连接汇聚交换机的接口加入VLAN800和VLAN740,以及连接ACU2的接口加入VLAN800和VLAN810。
<HUAWEI> system-view [HUAWEI] sysname CSS [CSS] vlan batch 740 800 810 820 [CSS] interface eth-trunk 1 [CSS-Eth-Trunk1] description Connect to S5700_Eth-Trunk1 [CSS-Eth-Trunk1] port link-type trunk [CSS-Eth-Trunk1] port trunk allow-pass vlan 740 800 [CSS-Eth-Trunk1] undo port trunk allow-pass vlan 1 [CSS-Eth-Trunk1] quit [CSS] interface gigabitethernet 1/1/0/13 [CSS-GigabitEthernet1/1/0/13] eth-trunk 1 [CSS-GigabitEthernet1/1/0/13] quit [CSS] interface gigabitethernet 2/1/0/14 [CSS-GigabitEthernet2/1/0/14] eth-trunk 1 [CSS-GigabitEthernet2/1/0/14] quit [CSS] interface eth-trunk 2 [CSS-Eth-Trunk2] description Connect to AC_1_Eth-Trunk [CSS-Eth-Trunk2] port link-type trunk [CSS-Eth-Trunk2] port trunk allow-pass vlan 800 810 [CSS-Eth-Trunk2] undo port trunk allow-pass vlan 1 [CSS-Eth-Trunk2] quit [CSS] interface xgigabitethernet 1/1/0/1 [CSS-XGigabitEthernet1/1/0/1] eth-trunk 2 [CSS-XGigabitEthernet1/1/0/1] quit [CSS] interface xgigabitethernet 1/1/0/2 [CSS-XGigabitEthernet1/1/0/2] eth-trunk 2 [CSS-XGigabitEthernet1/1/0/2] quit [CSS] interface eth-trunk 3 [CSS-Eth-Trunk3] description Connect to AC_2_Eth-Trunk [CSS-Eth-Trunk3] port link-type trunk [CSS-Eth-Trunk3] port trunk allow-pass vlan 800 810 [CSS-Eth-Trunk3] undo port trunk allow-pass vlan 1 [CSS-Eth-Trunk3] quit [CSS] interface xgigabitethernet 2/1/0/1 [CSS-XGigabitEthernet2/1/0/1] eth-trunk 3 [CSS-XGigabitEthernet2/1/0/1] quit [CSS] interface xgigabitethernet 2/1/0/2 [CSS-XGigabitEthernet2/1/0/2] eth-trunk 3 [CSS-XGigabitEthernet2/1/0/2] quit
- 配置DHCP服务,S12700作为DHCP服务器为AP分配地址,外置DHCP服务器为STA分配IP地址。
# 配置S12700作为DHCP服务器为AP分配IP地址。
[CSS] dhcp enable [CSS] interface vlanif 800 [CSS-Vlanif800] ip address 10.128.1.254 255.255.255.0 [CSS-Vlanif800] dhcp select global //开启全局地址池功能。 [CSS-Vlanif800] quit [CSS] ip pool AP //创建全局地址池。 [CSS-ip-pool-AP] network 172.19.1.0 mask 24 //配置全局地址池下可分配的网段地址。 [CSS-ip-pool-AP] gateway-list 172.19.1.1 //配置DHCP Client的出口网关为汇聚交换机S5700。 [CSS-ip-pool-AP] option 43 sub-option 3 ascii 10.128.1.1 //为AP指定AC的IP地址。 [CSS-ip-pool-AP] quit
# 配置S12700作为DHCP中继。[CSS] interface vlanif 740 [CSS-Vlanif740] ip address 10.174.1.1 255.255.252.0 [CSS-Vlanif740] dhcp select relay [CSS-Vlanif740] dhcp relay server-ip 172.16.1.252 //172.16.1.252是外置DHCP服务器IP地址。 [CSS-Vlanif740] quit
# 配置S12700到AP的静态路由,下一跳为S5700的VLANIF800。
[CSS] ip route-static 172.19.1.0 24 10.128.1.253
- 在S12700上创建VLANIF820并配置地址,VLANIF820用于与Agile Controller-Campus服务器通信,并将连接服务器的端口GE2/1/0/20和GE2/1/0/21加入VLAN820。
[CSS] interface vlanif 820 [CSS-Vlanif820] ip address 172.16.1.1 255.255.255.0 [CSS-Vlanif820] quit [CSS] interface gigabitethernet 2/1/0/20 [CSS-GigabitEthernet2/1/0/20] description Connect to Server [CSS-GigabitEthernet2/1/0/20] port link-type trunk [CSS-GigabitEthernet2/1/0/20] port trunk allow-pass vlan 820 [CSS-GigabitEthernet2/1/0/20] undo port trunk allow-pass vlan 1 [CSS-GigabitEthernet2/1/0/20] quit [CSS] interface gigabitethernet 2/1/0/21 [CSS-GigabitEthernet2/1/0/21] description Connect to Backup_Server [CSS-GigabitEthernet2/1/0/21] port link-type trunk [CSS-GigabitEthernet2/1/0/21] port trunk allow-pass vlan 820 [CSS-GigabitEthernet2/1/0/21] undo port trunk allow-pass vlan 1 [CSS-GigabitEthernet2/1/0/21] quit
配置汇聚交换机S5700
- 配置S5700连接PON网络的接口GE0/0/1加入VLAN900和VLAN740、连接S12700_A的接口GE0/0/23和连接S12700_B的接口GE0/0/24加入VLAN800和VLAN740。
<HUAWEI> system-view [HUAWEI] sysname S5700 [S5700] vlan batch 740 800 900 [S5700] interface eth-trunk 1 [S5700-Eth-Trunk1] description Connect to S12700_Eth-Trunk1 [S5700-Eth-Trunk1] port link-type trunk [S5700-Eth-Trunk1] port trunk allow-pass vlan 740 800 [S5700-Eth-Trunk1] undo port trunk allow-pass vlan 1 [S5700-Eth-Trunk1] quit [S5700] interface gigabitethernet 0/0/1 [S5700-GigabitEthernet0/0/1] description Connect to PON [S5700-GigabitEthernet0/0/1] port link-type trunk [S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 740 900 [S5700-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1 [S5700-GigabitEthernet0/0/1] quit [S5700] interface gigabitethernet 0/0/23 [S5700-GigabitEthernet0/0/23] eth-trunk 1 [S5700-GigabitEthernet0/0/23] quit [S5700] interface gigabitethernet 0/0/24 [S5700-GigabitEthernet0/0/24] eth-trunk 1 [S5700-GigabitEthernet0/0/24] quit [S5700] interface vlanif 800 [S5700-Vlanif800] ip address 10.128.1.253 255.255.255.0 [S5700-Vlanif800] quit
- 配置汇聚交换机S5700作为DHCP中继。
[S5700] dhcp enable [S5700] interface vlanif 900 [S5700-Vlanif900] ip address 172.19.1.1 255.255.255.0 [S5700-Vlanif900] dhcp select relay [S5700-Vlanif900] dhcp relay server-ip 10.128.1.254 //配置DHCP中继所代理的DHCP服务器的IP地址。 [S5700-Vlanif900] quit
配置OLT和ONU
- 配置OLT连接S5700的接口Gpon0/2/1加入VLAN900和VLAN740。
huawei(config)#service-port vlan 900 gpon 0/2/1 ont 1 gemport 12 multi-service user-vlan 900 huawei(config)#service-port vlan 740 gpon 0/2/1 ont 1 gemport 12 multi-service user-vlan 740
- 配置ONU连接AP的接口Eth0/3/1、Eth0/3/2和Eth0/3/3加入VLAN900和VLAN740。
huawei(config)#service-port vlan 900 eth 0/3/1 multi-service user-vlan untagged huawei(config)#service-port vlan 740 eth 0/3/1 multi-service user-vlan 740 huawei(config)#service-port vlan 900 eth 0/3/2 multi-service user-vlan untagged huawei(config)#service-port vlan 740 eth 0/3/2 multi-service user-vlan 740 huawei(config)#service-port vlan 900 eth 0/3/3 multi-service user-vlan untagged huawei(config)#service-port vlan 740 eth 0/3/3 multi-service user-vlan 740
结果验证
- 在AC_1和AC_2上执行display ap all命令,检查当前AP的状态,显示以下信息表示AP上线成功。
[AC_1] display ap all Total AP information: nor : normal [3] ExtraInfo : Extra information P : insufficient power supply ------------------------------------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime ExtraInfo ------------------------------------------------------------------------------------------------------------- 1 845b-1275-5ee0 AP_1 transport_outdoor 172.19.1.19 AP8182DN nor 0 58M:18S - 2 d0d0-4b22-df00 AP_2 transport_outdoor 172.19.1.70 AP8182DN nor 0 40M:51S - 3 9404-9cd8-ca00 AP_3 transport_outdoor 172.19.1.134 AP8182DN nor 0 57M:46S - ------------------------------------------------------------------------------------------------------------- Total: 3
[AC_2] display ap all Total AP information: stdby: standby [3] ExtraInfo : Extra information P : insufficient power supply ---------------------------------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime ExtraInfo ---------------------------------------------------------------------------------------------------------- 1 845b-1275-5ee0 AP_1 transport_outdoor 172.19.1.19 AP8182DN stdby 0 - - 2 d0d0-4b22-df00 AP_2 transport_outdoor 172.19.1.70 AP8182DN stdby 0 - - 3 9404-9cd8-ca00 AP_3 transport_outdoor 172.19.1.134 AP8182DN stdby 0 - - ---------------------------------------------------------------------------------------------------------- Total: 3
- 在AC_1上执行命令display vap ssid wireless_city,检查AP对应的射频上的VAP是否已成功创建。可以看到“Status”项显示为“ON”,说明VAP已创建成功。
[AC_1] display vap ssid wireless_city Info: This operation may take a few seconds, please wait. WID : WLAN ID --------------------------------------------------------------------------------- AP ID AP name RfID WID BSSID Status Auth type STA SSID --------------------------------------------------------------------------------- 1 AP_1 0 1 845B-1275-5EE0 ON Open+Portal 0 wireless_city 1 AP_1 1 1 845B-1275-5EF0 ON Open+Portal 0 wireless_city 2 AP_2 0 1 D0D0-4B22-DF00 ON Open+Portal 0 wireless_city 2 AP_2 1 1 D0D0-4B22-DF10 ON Open+Portal 0 wireless_city 3 AP_3 0 1 9404-9CD8-CA00 ON Open+Portal 0 wireless_city 3 AP_3 1 1 9404-9CD8-CA10 ON Open+Portal 0 wireless_city --------------------------------------------------------------------------------- Total: 6
- 在AC_1和AC_2上执行display hsb-service 0命令,查看主备服务的建立情况,可以看到“Service State”字段的显示为“Connected”,说明主备服务通道已经成功建立。
[AC_1] display hsb-service 0 Hot Standby Service Information: ---------------------------------------------------------- Local IP Address : 10.1.1.253 Peer IP Address : 10.1.1.254 Source Port : 10241 Destination Port : 10241 Keep Alive Times : 5 Keep Alive Interval : 3 Service State : Connected Service Batch Modules : Shared-key : - ----------------------------------------------------------
[AC_2] display hsb-service 0 Hot Standby Service Information: ---------------------------------------------------------- Local IP Address : 10.1.1.254 Peer IP Address : 10.1.1.253 Source Port : 10241 Destination Port : 10241 Keep Alive Times : 5 Keep Alive Interval : 3 Service State : Connected Service Batch Modules : Shared-key : - ----------------------------------------------------------
- 在AC_1和AC_2上执行display hsb-group 0命令,查看HSB备份组的运行情况。
[AC_1] display hsb-group 0 Hot Standby Group Information: ---------------------------------------------------------- HSB-group ID : 0 Vrrp Group ID : 1 Vrrp Interface : Vlanif800 Service Index : 0 Group Vrrp Status : Master Group Status : Active Group Backup Process : Realtime Peer Group Device Name : ACU2 Peer Group Software Version : V200R010C00 Group Backup Modules : Access-user AP DHCP ----------------------------------------------------------
[AC_2] display hsb-group 0 Hot Standby Group Information: ---------------------------------------------------------- HSB-group ID : 0 Vrrp Group ID : 1 Vrrp Interface : Vlanif800 Service Index : 0 Group Vrrp Status : Backup Group Status : Inactive Group Backup Process : Realtime Peer Group Device Name : ACU2 Peer Group Software Version : V200R010C00 Group Backup Modules : Access-user AP DHCP ----------------------------------------------------------
- 在Master AC和Backup Master AC上分别执行命令display sync-configuration status,查看无线配置同步状态信息。
[AC_1] display sync-configuration status Info: This operation may take a few seconds. Please wait for a moment.done. Controller role:Master/Backup/Local --------------------------------------------------------------------------------------------- Controller IP Role Device Type Version Status Last synced --------------------------------------------------------------------------------------------- 10.128.1.3 Backup ACU2 V200R010C00 up 2018-09-01/11:18:15 --------------------------------------------------------------------------------------------- Total: 1
[AC_2] display sync-configuration status Info: This operation may take a few seconds. Please wait for a moment.done. Controller role:Master/Backup/Local --------------------------------------------------------------------------------------------- Controller IP Role Device Type Version Status Last synced --------------------------------------------------------------------------------------------- 10.128.1.2 Master ACU2 V200R010C00 up 2018-09-01/11:18:25 --------------------------------------------------------------------------------------------- Total: 1
- 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test@huawei.com,用户密码Huawei123)。
[AC_1] test-aaa test@huawei.com Huawei123 radius-template radius_huawei Info: Account test succeed.
- 完成配置后,用户可通过无线终端搜索到SSID为wireless_city的无线网络,用户关联到无线网络上后,无线终端能够被分配相应的IP地址。STA上打开浏览器访问Internet,自动跳转到Portal服务器提供的页面,在页面上输入正确的用户名(test@huawei.com)和密码(Huawei123),认证通过后可以正常访问Internet。用户在首次认证通过120分钟之内,当用户的位置移动而反复进入、离开无线信号覆盖区域时,不需要重新推送页面输入用户名密码认证,可正常访问Internet。
- 用户使用手机可以正常浏览Web网页、正常使用漫游业务。
- (可选)在定位服务器上查看定位结果。
# 在“AP_region_1”右侧视图区域中单击“进入监控”返回监控模式,单击区域拓扑工具栏中的,选择需要在拓扑中展示的信息。
# 在“终端定位”页签选择需要在拓扑中显示的终端或者热图。
配置脚本
AC_1 |
---|
# sysname AC_1 # radius-server source ip-address 10.128.1.1 # vrrp recover-delay 60 # vlan batch 740 800 810 # authentication-profile name authen-pro_wireless_city mac-access-profile wireless_city portal-access-profile wireless_city free-rule-template wireless_city authentication-scheme radius_huawei accounting-scheme radius_huawei radius-server radius_huawei # vlan pool sta-pool vlan 740 # web-auth-server source-ip 10.128.1.1 # vlan 740 description wireless_city_transport_outdoor vlan 800 description AP-management-vlan # radius-server template radius_huawei radius-server shared-key cipher %^%#s5;@>}HSD/#~8DLO0O#=;`)DI~~0@%1Yg>F^@ylV%^%# radius-server authentication 172.16.1.254 1812 weight 100 radius-server authentication 172.16.1.253 1812 weight 80 radius-server accounting 172.16.1.254 1813 weight 100 radius-server accounting 172.16.1.253 1813 weight 80 radius-server authorization 172.16.1.253 shared-key cipher %^%#/%!QH_}:O'[)kdE%%0b&z9M{EBZF5:Nk3NWmt"=D%^%# radius-server authorization 172.16.1.254 shared-key cipher %^%#/%!QH_}:O'[)kdE%%0b&z9M{EBZF5:Nk3NWmt"=D%^%# # free-rule-template name wireless_city free-rule 1 destination ip 172.16.1.250 mask 255.255.255.255 # url-template name huawei1 url http://172.16.1.254:8080/portal url-parameter ssid ssid redirect-url url # url-template name huawei2 url http://172.16.1.253:8080/portal url-parameter ssid ssid redirect-url url # web-auth-server huawei1 server-ip 172.16.1.254 port 50200 shared-key cipher %^%#'DkoP%+Vr$_g.35bTW6It{'P)4s3<(rX/i;e/L>,%^%# url-template huawei1 server-detect interval 100 max-times 5 action log # web-auth-server huawei2 server-ip 172.16.1.253 port 50200 shared-key cipher %^%#'DkoP%+Vr$_g.35bTW6It{'P)4s3<(rX/i;e/L>,%^%# url-template huawei2 server-detect interval 100 max-times 5 action log # portal-access-profile name wireless_city web-auth-server huawei1 huawei2 direct # aaa authentication-scheme radius_huawei authentication-mode radius accounting-scheme radius_huawei accounting-mode radius accounting realtime 15 # interface Vlanif800 ip address 10.128.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.128.1.1 admin-vrrp vrid 1 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 1200 # interface Vlanif810 ip address 10.1.1.253 255.255.255.252 # interface Eth-Trunk1 description Connect to S12700_A_Eth-Trunk port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 800 810 # interface XGigabitEthernet0/0/1 eth-trunk 1 # interface XGigabitEthernet0/0/2 eth-trunk 1 # snmp-agent local-engineid 800007DB0368A82826D20A snmp-agent community read %^%#)qV=Olx5M(U91h&;.}/)"NwA6IGp@X7rSi:p9{R4!sdsS&aK/"H13GCOKrQ"RCQkS>gh>Jl#JR7&a@W=%^%# mib-view iso-view snmp-agent community write %^%#nx|4=hrHZ4Je);N!jH6@.<H3,U[~dP&bAd1DNRdBc9%l&ut-7>U*=r+)uzH3Q{-a#c!(ZWfCi>Vq#nb1%^%# mib-view iso-view snmp-agent sys-info version v2c snmp-agent target-host trap-hostname esight address 172.16.1.251 udp-port 162 trap-paramsname esight snmp-agent target-host trap-paramsname esight v2c securityname %^%#`:zH;HgIVPKS[SSZ0vl$cq[#G{P3b@g~M]5T;kO0%^%# snmp-agent mib-view iso-view include iso snmp-agent trap source Vlanif800 snmp-agent trap enable snmp-agent # ssh client first-time enable # ip route-static 0.0.0.0 0.0.0.0 10.128.1.254 # capwap source ip-address 10.128.1.1 # hsb-service 0 service-ip-port local-ip 10.1.1.253 peer-ip 10.1.1.254 local-data-port 10241 peer-data-port 10241 # hsb-group 0 track vrrp vrid 1 interface Vlanif800 bind-service 0 hsb enable # hsb-service-type access-user hsb-group 0 # hsb-service-type dhcp hsb-group 0 # hsb-service-type ap hsb-group 0 # wlan calibrate policy rogue-ap calibrate policy non-wifi calibrate policy load calibrate policy noise-floor calibrate sensitivity high traffic-profile name transport_outdoor rate-limit client up 2048 rate-limit client down 2048 user-isolate all security-profile name wireless_city ssid-profile name wireless_city ssid wireless_city association-timeout 1 vap-profile name transport_outdoor service-vlan vlan-pool sta-pool ssid-profile wireless_city security-profile wireless_city traffic-profile transport_outdoor authentication-profile authen-pro_wireless_city location-profile name wireless_city private mu-enable private server ip-address 172.16.1.251 port 32180 via-ac ac-port 10001 air-scan-profile name wireless_city rrm-profile name transport_outdoor smart-roam quick-kickoff-threshold snr 20 radio-2g-profile name 2G_transport_outdoor rrm-profile transport_outdoor air-scan-profile wireless_city radio-5g-profile name 5G_transport_outdoor rrm-profile transport_outdoor air-scan-profile wireless_city ap-group name transport_outdoor location-profile wireless_city radio all radio 0 radio-2g-profile 2G_transport_outdoor vap-profile transport_outdoor wlan 1 radio 1 radio-5g-profile 5G_transport_outdoor vap-profile transport_outdoor wlan 1 radio 2 vap-profile transport_outdoor wlan 1 ap-id 1 type-id 94 ap-mac 845b-1275-5ee0 ap-sn 21023581089WF7000337 ap-name AP_1 ap-group transport_outdoor ap-id 2 type-id 94 ap-mac d0d0-4b22-df00 ap-sn 21023581099WG1000061 ap-name AP_2 ap-group transport_outdoor ap-id 3 type-id 94 ap-mac 9404-9cd8-ca00 ap-sn 210235810810EC004612 ap-name AP_3 ap-group transport_outdoor master controller master-redundancy track-vrrp vrid 1 interface Vlanif800 master-redundancy peer-ip ip-address 10.128.1.3 local-ip ip-address 10.128.1.2 psk %^%#P3h9Gz1"o9G%/@C]84ABogt7XWu((-1swV%hdz\1%^%# # mac-access-profile name wireless_city # return |
AC_2 |
---|
说明:
配置无线配置同步功能后,AC_1中加粗的配置脚本可自动同步到AC_2上。 # sysname AC_2 # radius-server source ip-address 10.128.1.1 # vrrp recover-delay 60 # vlan batch 740 800 810 # web-auth-server source-ip 10.128.1.1 # vlan 740 description wireless_city_transport_outdoor vlan 800 description AP-management-vlan # interface Vlanif800 ip address 10.128.1.3 255.255.255.0 vrrp vrid 1 virtual-ip 10.128.1.1 admin-vrrp vrid 1 # interface Vlanif810 ip address 10.1.1.254 255.255.255.252 # interface Eth-Trunk1 description Connect to S12700_B_Eth-Trunk port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 800 810 # interface XGigabitEthernet0/0/1 eth-trunk 1 # interface XGigabitEthernet0/0/2 eth-trunk 1 # snmp-agent local-engineid 800007DB0368A82826D20A snmp-agent community read %^%#)qV=Olx5M(U91h&;.}/)"NwA6IGp@X7rSi:p9{R4!sdsS&aK/"H13GCOKrQ"RCQkS>gh>Jl#JR7&a@W=%^%# mib-view iso-view snmp-agent community write %^%#nx|4=hrHZ4Je);N!jH6@.<H3,U[~dP&bAd1DNRdBc9%l&ut-7>U*=r+)uzH3Q{-a#c!(ZWfCi>Vq#nb1%^%# mib-view iso-view snmp-agent sys-info version v2c snmp-agent target-host trap-hostname esight address 172.16.1.251 udp-port 162 trap-paramsname esight snmp-agent target-host trap-paramsname esight v2c securityname %^%#`:zH;HgIVPKS[SSZ0vl$cq[#G{P3b@g~M]5T;kO0%^%# snmp-agent mib-view iso-view include iso snmp-agent trap source Vlanif800 snmp-agent trap enable snmp-agent # ssh client first-time enable # ip route-static 0.0.0.0 0.0.0.0 10.128.1.254 # capwap source ip-address 10.128.1.1 # hsb-service 0 service-ip-port local-ip 10.1.1.254 peer-ip 10.1.1.253 local-data-port 10241 peer-data-port 10241 # hsb-group 0 track vrrp vrid 1 interface Vlanif800 bind-service 0 hsb enable # hsb-service-type access-user hsb-group 0 # hsb-service-type dhcp hsb-group 0 # hsb-service-type ap hsb-group 0 # wlan master controller master-redundancy track-vrrp vrid 1 interface Vlanif800 master-redundancy peer-ip ip-address 10.128.1.2 local-ip ip-address 10.128.1.3 psk %^%#P3h9Gz1"o9G%/@C]84ABogt7XWu((-1swV%hdz\1%^%# # return |
S12700集群系统 |
---|
# sysname CSS # vlan batch 740 800 810 820 # dhcp enable # ip pool AP gateway-list 172.19.1.1 network 172.19.1.0 mask 255.255.255.0 option 43 sub-option 3 ascii 10.128.1.1 # interface Vlanif740 ip address 10.174.1.1 255.255.252.0 dhcp select relay dhcp relay server-ip 172.16.1.252 # interface Vlanif800 ip address 10.128.1.254 255.255.255.0 dhcp select global # interface Vlanif820 ip address 172.16.1.1 255.255.255.0 # interface Eth-Trunk1 description Connect to S5700_Eth-Trunk1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 740 800 # interface Eth-Trunk2 description Connect to AC_1_Eth-Trunk port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 800 810 # interface Eth-Trunk3 description Connect to AC_2_Eth-Trunk port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 800 810 # interface GigabitEthernet1/1/0/13 eth-trunk 1 # interface GigabitEthernet2/1/0/14 eth-trunk 1 # interface GigabitEthernet2/1/0/20 description Connect to Server port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 820 # interface GigabitEthernet2/1/0/21 description Connect to Server port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 820 # interface XGigabitEthernet1/1/0/1 eth-trunk 2 # interface XGigabitEthernet1/1/0/2 eth-trunk 2 # interface XGigabitEthernet2/1/0/1 eth-trunk 3 # interface XGigabitEthernet2/1/0/2 eth-trunk 3 # ip route-static 172.19.1.0 255.255.255.0 10.128.1.253 # return |
S5700 |
---|
# sysname S5700 # vlan batch 740 800 900 # dhcp enable # interface Eth-Trunk1 description Connect to S12700_Eth-Trunk1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 740 800 # interface Vlanif800 ip address 10.128.1.253 255.255.255.0 # interface Vlanif900 ip address 172.19.1.1 255.255.255.0 dhcp select relay dhcp relay server-ip 10.128.1.254 # interface GigabitEthernet0/0/1 description Connect to PON port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 740 900 # interface GigabitEthernet0/0/23 eth-trunk 1 # interface GigabitEthernet0/0/24 eth-trunk 1 # return |
OLT |
---|
# [bbs-config] <bbs-config> service-port 0 vlan 900 gpon 0/2/1 ont 1 gemport 12 multi-service user-vlan 900 tag-transform translate service-port 1 vlan 740 gpon 0/2/1 ont 1 gemport 12 multi-service user-vlan 740 tag-transform translate # |
ONU |
---|
# [bbs-config] <bbs-config> service-port 0 vlan 900 eth 0/3/1 multi-service user-vlan untagged tag-transform default service-port 1 vlan 740 eth 0/3/1 multi-service user-vlan 740 tag-transform translate service-port 2 vlan 900 eth 0/3/2 multi-service user-vlan untagged tag-transform default service-port 3 vlan 740 eth 0/3/2 multi-service user-vlan 740 tag-transform translate service-port 4 vlan 900 eth 0/3/3 multi-service user-vlan untagged tag-transform default service-port 5 vlan 740 eth 0/3/3 multi-service user-vlan 740 tag-transform translate # |