WLAN产品ME60-X3的总体介绍和基本配置讲义课件

2022/12/13WLAN产品ME60-X3的总体介绍和基本配置Version12022/12/13WLAN产品ME60-X3的总体介绍和基Page2前言ME60在提供MSE用户接入功能的同时，集成了WLAN的AC功能，在和AP一起，共同完成WLAN用户的业务接入。ME60可提供对AP的管理（即插即用、射频管理、负载均衡、漫游管理）、WLAN用户接入管理以及APQoS等功能。本文主要介绍ME60在WLAN业务中的常用组网场景及配置前言ME60在提供MSE用户接入功能的同时，集成了WLANPage3学习完此课程，您将会：掌握ME60实现WLAN业务时的常用组网场景掌握ME60在不同组网场景中的作用和业务配置方法掌握ME60的升级步准备和操作步骤目标学习完此课程，您将会：目标Page4第一章WLAN产品ME60-X3的总体介绍、基础配置和AC升级1.1WLAN产品ME60-X3的总体介绍1.2WLAN的基础配置1.3AC升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络内容介绍第一章WLAN产品ME60-X3的总体介绍、基础配置和AC目录第一章WLAN产品ME60-X3的总体介绍、基础配置和AC升级1.1WLAN产品ME60-X3的总体介绍1.2WLAN的基础配置1.3AC升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络Page5目录第一章WLAN产品ME60-X3的总体介绍、基础配置和1.1ME60-X3产品介绍系统总体描述：ME60-X3采用集中式路由引擎、分布式转发架构进行设计；ME60-X3为一体化机箱设计，其主要组成部件都支持热插拔；ME60-X3有直流和交流两种机箱；ME60-X3有3个业务槽位，每个槽位支持40Gbps的上行流量和40Gbps的下行流量；设备的交换容量为1.08Tbps，设备的背板容量为1.35Tbps；右图为直流机箱外观示意图Page61.1ME60-X3产品介绍系统总体描述：Page6ME60-X3的系统总体描述ME60-X3交流机箱外观示意图Page7ME60-X3的系统总体描述ME60-X3交流机箱外观示意ME60-X3系统主要特性采用分布式硬件转发；控制通路同业务通路分离，保证控制通路的畅通；电信级的高可靠性和可管理性；系统采用模块级屏蔽，完全满足EMC（ElectroMagneticCompatibility）要求；单板、电源模块和风扇支持热插拔；主控板MPU（MainProcessUnit）采用1:1冗余备份；电源、风扇、时钟、管理总线等关键器件实现冗余备份；提供单板防误插保护，避免因插错槽位导致故障；提供电源告警提示信息、告警指示、运行状态和告警状态查询；提供电压和环境温度告警提示信息、告警指示、运行状态和告警状态查询。Page8ME60-X3系统主要特性采用分布式硬件转发；Page8ME60-X3（直流）结构及槽位Page9ME60-X3（直流）结构及槽位Page9ME60-X3（交流）结构及槽位Page10ME60-X3（交流）结构及槽位Page10Page11ME60-X3基本介绍交换容量：1.08Tbps转发能力：40G，可以扩展到100G槽位数：3LPU、2MPU高度：4UFIB：1M单板用户数：32KPPPOE/IPOE整机用户数：96K基本配置功耗：222WPage11ME60-X3基本介绍交换容量：1.08TbpPage12WLAN特性产品规格规格项X3设备非X3设备AP个数2K4KAP类型个数256256AP域个数2K2K射频模板个数512512ESS服务集个数1K1KVAP对象个数2000020000WMM模板3232每AP支持最大用户数128128每射频支持VAP个数1616AP业务自动发放规则个数256256Page12WLAN特性产品规格规格项X3设备非X3设备AP目录第一章ME60-X3总体介绍和升级1.1ME60-X3产品介绍1.2ME60的基础配置1.3升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络Page13目录第一章ME60-X3总体介绍和升级Page131.2.1ME60的BAS侧基础配置1、sysname命令用来设置ME60的主机名：缺省情况下，ME60主机名为HUAWEI；例如：[ME60]sysnameYNYX-MC-WLAN-AC05-ME60-X32、启动FTP服务器，允许FTP用户登录：[ME60]FTPserverenablePage141.2.1ME60的BAS侧基础配置1、sysname命令BAS侧的基础配置3、配置本地用户管理创建本地用户账号：[ME60]aaa[ME60-aaa]local-useruser-namepassword{simple|cipher}password配置本地用户服务类型：[ME60-aaa]local-useruser-nameservice-type{ftp|ppp|ssh|telnet|terminal}配置本地用户的FTP目录权限[ME60-aaa]local-useruser-nameftp-directory{directory|cfcard:|slave#cfcard:}Page15BAS侧的基础配置3、配置本地用户管理Page15BAS侧的基础配置4、用户管理：配置console、VTY用户界面以及用户验证#配置console用户界面[ME60]user-interfacecon0为了提高设备的安全性，建议Console用户界面不认证，当其它用户接口界面的密码忘记时，可以通过Console用户界面很方便的进行密码重置。#配置VTY用户界面的最大个数如果要配置的VTY用户接口的最大数小于当前的最大数量，则不需要其它配置。如果要配置的VTY用户接口的最大数量大于当前的最大数量，就需要为新增加的用户接口配置验证方式和密码。因为对于新增用户接口系统默认为使用密码验证。Page16BAS侧的基础配置4、用户管理：配置console、VTY用BAS侧的基础配置例如：当前允许最多5个VTY用户同时在线，现在配置为允许15个VTY用户同时在线，那么VTY用户接口5～14就需要使用authentication-mode和setauthenticationpassword命令配置验证方式和密码，配置如下：<ME60>system-view[ME60]user-interfacemaximum-vty15[ME60]user-interfacevty514[ME60-ui-vty5-14]authentication-modepassword设置为密码认证[ME60-ui-vty5-14]setauthenticationpasswordcipherhuawei设置本地验证的密码系统提供AAA本地验证、密码验证和不验证三种方式。缺省情况下，VTY类用户界面验证方式为password，其它类型用户界面验证方式为不验证。

Page17BAS侧的基础配置例如：当前允许最多5个VTY用户同时在线，BAS侧的基础配置5、配置AC管理AP#配置AC的管理地址[ME60]interfaceLoopBack10[ME60-LoopBack10]ipaddress155[ME60-wlan-ac-view]wlanacsourceinterfaceloopback10#配置AP的网关[ME60]IinterfaceGigabitEthernet1/1/3[ME60–GigabitEthernet1/1/3]undoshutdown[ME60]interfaceGigabitEthernet1/1/3.800[ME60–GigabitEthernet1/1/3.800]vlan-typedot1q800[ME60–GigabitEthernet1/1/3.800]ipaddress[ME60–GigabitEthernet1/1/3.800]wlandirect-access-缺省为隧道转发方式，指定数据为直接转发方式

Page18BAS侧的基础配置5、配置AC管理APPage18BAS侧的基础配置#配置AP的管理地址池与网关[ME60]ippoolwlanserver--配置AP管理地址池

[ME60-ip-pool-wlan]gateway指定AP管理网关

[ME60-ip-pool-wlan]section054-指定AP地址池

[ME60-ip-pool-wlan]option43stringHuaweiAC-1-通过DHCPoption43通告AC地址Page19BAS侧的基础配置#配置AP的管理地址池与网关Page19BAS侧的基础配置#离线添加AP[ME60-wlan-ac-view]ap-regionid101[ME60-wlan-ac-view]ap-regionid102[ME60-wlan-ac-view]ap-auth-modemac-auth[ME60-wlan-ac-view]apid0type-id0mac0025-9e07-8b70snH092600260region-id101[ME60-wlan-ac-view]apid1type-id0mac0025-9e07-8b71snH092600261region-id102此时可以查看AP上线状态，正常显示normal[ME60-wlan-ac-view]displayapallPage20BAS侧的基础配置#离线添加APPage20BAS侧的基础配置6、在BAS上配置无线用户的接入、认证和计费方式(2层接入，绑定认证方式)#配置radiusservergroup[ME60]radius-servergroupwlanradius-server[ME60-radius-wlanradius-server]radius-serverauthentication1812weight0[ME60-radius-wlanradius-server]radius-serveraccounting1813weight0#配置无线用户的地址池[ME60]ippooltestbaslocal[ME60-ip-pool-test]gateway[ME60-ip-pool-test]section054Page21BAS侧的基础配置6、在BAS上配置无线用户的接入、认证和计BAS侧的基础配置#配置用户认证与计费方式[ME60]aaa[ME60]-aaa]authentication-schemetest[ME60]-aaa-authen-test]authentication-moderadius---radius认证[ME60]-aaa]accounting-schemetest[ME60]-aaa-accounting-test]accounting-moderadius-radius计费[ME60]-aaa]domaintest[ME60]-aaa-domain-test]authentication-schemetest[ME60]-aaa-domain-test]accounting-schemetest[ME60]-aaa-domain-test]ip-pooltest[ME60]-aaa-domain-test]radius-servergroupwlanradius-server

Page22BAS侧的基础配置#配置用户认证与计费方式Page22BAS侧的基础配置#配置用户接入方式为2层接入，采用绑定方式认证[ME60]interfaceGigabitEthernet1/1/3.101[ME60–GigabitEthernet1/1/3.101]vlan-typedot1q101[ME60–GigabitEthernet1/1/3.101]bas[ME60–GigabitEthernet1/1/3.101-bas]access-typelayer2-subscriberdefault-domainauthenticationtest[ME60–GigabitEthernet1/1/3.101-bas]authentication-methodbind[ME60]interfaceGigabitEthernet1/1/3.102[ME60–GigabitEthernet1/1/3.102]vlan-typedot1q102[ME60–GigabitEthernet1/1/3.102]bas[ME60–GigabitEthernet1/1/3.102-bas]access-typelayer2-subscriberdefault-domainauthenticationtest[ME60–GigabitEthernet1/1/3.102-bas]authentication-methodbindPage23BAS侧的基础配置#配置用户接入方式为2层接入，采用绑定方式BAS侧的基础配置在BAS上配置无线用户的接入、认证和计费方式(2层接入，web认证方式)#配置radiusservergroup[ME60]radius-servergroupwlanradius-server[ME60-radius-wlanradius-server]radius-serverauthentication1812weight0[ME60-radius-wlanradius-server]radius-serveraccounting1813weight0Page24BAS侧的基础配置在BAS上配置无线用户的接入、认证和计费方BAS侧的基础配置#配置无线用户的地址池[ME60]ippoolpretestbaslocal认证前的IP地址，用来访问web界面

[ME60-ip-pool-pretest]gateway[ME60-ip-pool-pretest]section054[ME60]ippooltestbaslocal认证后的ip地址，用来访问公网

[ME60-ip-pool-test]gateway[ME60-ip-pool-test]section000Page25BAS侧的基础配置#配置无线用户的地址池Page25BAS侧的基础配置#配置用户认证与计费方式认证前域[ME60]aaa[ME60]-aaa]authentication-schemedefault0缺省不认证[ME60-aaa]accounting-schemedefault0缺省不计费[ME60-aaa]domainpretest[ME60]-aaa-domain-pretest]authentication-schemedefault0[ME60]-aaa-domain-pretest]accounting-schemedefault0[ME60]-aaa-domain-pretest]ip-poolpretest[ME60]-aaa-domain-pretest]web-server6[ME60]-aaa-domain-pretest]web-serverurl6/portal

[ME60-aaa-domain-pretest]web-serverurl-parameterPage26BAS侧的基础配置#配置用户认证与计费方式Page26BAS侧的基础配置认证后域[ME60]aaa[ME60]-aaa]authentication-schemetest[ME60]-aaa-authen-test]authentication-moderadius---radius认证[ME60-aaa]accounting-schemetest[ME60-aaa-accounting-test]accounting-moderadius-radius计费[ME60-aaa]domaintest[ME60-aaa-domain-test]authentication-schemetest[ME60-aaa-domain-test]accounting-schemetest[ME60-aaa-domain-test]ip-pooltest[ME60-aaa-domain-test]radius-servergroupwlanradius-serverPage27BAS侧的基础配置认证后域Page27BAS侧的基础配置#配置用户接入方式为2层接入，采用web方式认证[ME60]interfaceVirtual-Ethernet3/1/1[ME60-Virtual-Ethernet3/1/1]ve-group1l2-terminate[ME60]interfaceVirtual-Ethernet3/1/2创建虚拟VE并绑定同一个VEgroup

[ME60-Virtual-Ethernet3/1/2]ve-group1l3-access[ME60]interfaceVirtual-Etherne3/1/2.101-虚拟VE子接口终结用户VLAN101Page28BAS侧的基础配置#配置用户接入方式为2层接入，采用web方BAS侧的基础配置[ME60-Virtual-Ethernet3/1/2.101]user-vlan101[ME60-Virtual-Ethernet3/1/2.101]wlanenable使能WLAN

[ME60-Virtual-Ethernet3/1/2.101]bas[ME60-Virtual-Ethernet3/1/2.101-bas]access-typelayer2-subscriberdefault-domainpre-authenticationpretestauthenticationtest配置用户接入方式为web认证，认证前域为pretest,认证后域为test[ME60-Virtual-Ethernet3/1/2.101-bas]authentication-methodwebPage29BAS侧的基础配置[ME60-Virtual-EthernBAS侧的基础配置#虚拟VE子接口终结用户VLAN102[ME60]interfaceVirtual-Etherne3/1/2.102[ME60-Virtual-Ethernet3/1/2.102]user-vlan102[ME60-Virtual-Ethernet3/1/2.102]wlanenable[ME60-Virtual-Ethernet3/1/2.102]bas[ME60-Virtual-Ethernet3/1/2.102-bas]access-typelayer2-subscriberdefault-domainpre-authenticationpretestauthenticationtest[ME60-Virtual-Ethernet3/1/2.102-bas]authentication-methodweb#配置隧道方式并与虚拟VE关联

[ME60]slot3[ME60-slot3]wlantunnel-accessinterfacevirtual-ethernet3/1/2Page30BAS侧的基础配置#虚拟VE子接口终结用户VLAN1021.2.2AP相关的配置1、配置射频模板[ME60-wlan-ac-view]wmm-profilenamectc创建WMM模板[ME60-wlan-ac-view]traffic-profilenamectc创建QOS模板[ME60-wlan-ac-view]security-profilenamectc创建安全模板(默认认证方式为opensystem不认证)

[ME60-wlan-ac-view]radio-profilenamectc创建射频模板

[ME60-wlan-radio-prof-ctci]bindwmm-profilenamectc绑定WMM模板Page311.2.2AP相关的配置1、配置射频模板Page31AP相关的配置2、配置AP的射频[ME60-wlan-ac-view]radioap-id0radio-id0进入AP0的射频配置[ME60-lan-radio-0/0]bindradio-profilenamectc绑定射频模板

[ME60-wlan-ac-view]radioap-id1radio-id0进入AP1的射频配置[ME60-lan-radio-1/0]bindradio-profilenamectc绑定射频模板

3、配置ESS与SSID,VLAN的映射[ME60-wlan-ac-view]essnamectc1ssidctctraffic-profilectcsecurity-profilectcPage32AP相关的配置2、配置AP的射频Page32AP相关的配置4、配置名为ctc1的ess,SSID为CTC,绑定QOS模板ctc和认证模板ctc[ME60-wlan-ac-view]vlan-mappingessnamectc1moderegion—ess的vlan映射关系为根据ap-region映射[ME60-wlan-ac-view]vlan-mappingessnamectc1typetagregion101vlan1015、指定vlan的mapping关系[ME60-wlan-ac-view]vapap0radio0essnamectc1wlan1---下发wlan服务到AP0的射频0上，wlanid为1.[ME60-wlan-ac-view]commitap0下发ap0的配置(只有commit后配置才生效)Page33AP相关的配置4、配置名为ctc1的ess,SSID为CTCAP相关的配置6、重复AP1的配置[HUAWEI-wlan-ac-view]essnamectc2ssidctctraffic-profilectcsecurity-profilectc[HUAWEI-wlan-ac-view]vlan-mappingessnamectc2moderegion[HUAWEI-wlan-ac-view]vlan-mappingessnamectc2typetagregion102vlan102[HUAWEI-wlan-ac-view]vapap1radio0essnamectc2wlan1[HUAWEI-wlan-ac-view]commitap1Page34AP相关的配置6、重复AP1的配置Page34目录第一章WLAN产品ME60-X3的总体介绍、基础配置和AC升级1.1ME60-X3产品介绍1.2ME60的基础配置1.3升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络Page35目录第一章WLAN产品ME60-X3的总体介绍、基础配置和1.3.1升级准备1、准备备件：准备网线、串口线、LPU、SFU、MPU2、确认GTLLicense：需要确认是否已申请GTLLicense，并检查获得的GTLLicense中的ESN信息是否与要升级设备的主控板ESN信息一致。3、获取所需的升级软件，如果有补丁文件，也请获取；4、查看当前系统软件版本，如果设备上有补丁，也请记录补丁文件版本；5、检查设备运行状态：请详细记录升级前后设备各槽位单板的运行状态；6、搭建通过TFTP或FTP协议升级的环境；7、备份CF卡中的重要数据；8、检查CF卡中的剩余空间；9、检查设备上的单板类型。Page361.3.1升级准备1、准备备件：准备网线、串口线、LPU、Page371.3.2升级步骤（FTP方式升级主机软件）1、登录ME60：远程登录或者超级终端登录设备；2、以PC为FTP客户端登录FTP服务器3、设置FTP客户端存放上传文件的目录路径和文件的传输模式ftp>binary200TypesettoI.ftp>lcdc:\tempLocaldirectorynowC:\temp.4、在“ftp>”提示下，使用putlocal-filename[remote-filename]命令上传指定文件到ME60中；特定局点需要单独加载paf和license文件。对于双主控的设备，上传完成后，请使用copysource-filenamedestination-filename命令将paf文件、License文件、系统软件、GTL文件和补丁文件拷贝到备用主控板的CF卡中。Page371.3.2升级步骤（FTP方式升级主机软件）Page38升级步骤5、查看上传文件：<Quidway>dircfacrd;<Quidway>dirslave#cfcard:6、在线指定ME60启动时加载的系统软件：指定主用主控板启动时加载的系统软件<Quidway>startupsystem-softwarev600r002c02spc800_oc_me.cc指定备用主控板启动时加载的系统软件<Quidway>startupsystem-softwarev600r002c02spc800_oc_me.ccslave-board7、（可选）设置启动时加载的配置文件：<Quidway>startupsaved-configurationconfig-filename8、检查设备下次启动加载的文件：<Quidway>displaystartupPage38升级步骤5、查看上传文件：<Quidway>Page39升级步骤：9、（可选）带业务升级前的额外操作——阻塞并踢除用户a、域内阻塞新用户上线在域视图下，执行block命令，可以将域设置为阻塞状态，所有该域下的新用户将被禁止接入，但仍可保留已经在线的域下用户。[Quidway-aaa]displaydomain[Quidway-aaa-domain-test]blockb、踢除在线用户根据第1步中检查出来的存在用户的域，在AAA视图下依次对存在用户的所有域执行cutaccess-user命令。[Quidway-aaa]cutaccess-userdomaintest执行该命令后，等待一段时间，再通过displaydomain查看是否全部踢除干净。Page39升级步骤：9、（可选）带业务升级前的额外操作—Page40升级步骤10、Save配置然后reboot设备；11、为新版本系统软件打上最新的补丁；上传补丁文件到cfcard用户视图下<ME60>patchloadfile-nameallrun查看补丁信息displaypatch-information12、启动完成后，使用displayversion命令查看ME60加载的BootROM及正在运行的系统软件的版本是否正确；<HUAWEI>displayversion13、重启后，根据业务需要加载相应的GTLLicense；<HUAWEI>licenseactivegtl.datPage40升级步骤10、Save配置然后reboot设Page41目录第一章WLAN产品ME60-X3的总体介绍、基础配置和AC升级1.1ME60-X3产品介绍1.2ME60的基础配置1.3升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络Page41Page41目录第一章WLAN产品ME60-X3的总体介Page422.1场景1-AC和AP间二层组网(数据直接转发方式)HuaweiAPHuaweiAP汇聚交换机L2交换机HuaweiBRAS集成AC核心路由器IP城域网VLAN：800，101管理VLAN：800，业务VLAN：101业务VLAN:101管理VLAN:800VLAN：800，101应用场景:应用于AC和AP之间为2层组网的场景，汇聚交换机透传用户业务VLAN方案优缺点:优点:数据由交换机直接转发，没有隧道开销，转发效率高。缺点:AC与AP之间的交换机都需要规划业务VLAN方案限制:１．二层交换机需要透传所有VLAN２．为AP分配管理IP的DHCP服务器需支持option43或者以DNS方式将AC域名通告APGE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2管理VLAN：800，业务VLAN：101Page422.1场景1-AC和AP间二层组网(数据直接Page43场景1-AC和AP间二层组网(数据直接转发方式)HuaweiAPHuaweiAP汇聚交换机L2交换机HuaweiBRAS集成AC核心路由器IP城域网VLAN：800，101管理VLAN：800，业务VLAN：101业务VLAN:101管理VLAN:800VLAN：800，101VLAN说明:1、AP隧道VLAN800由L2交换机添加，用户业务VLAN101由AP添加。2、AP隧道VLAN和用户业务VLAN由汇聚交换机透传到AC3、L2交换机接入AP的接口配成trunk，defaultvlan800，allow-passvlan101；连接汇聚交换机的接口配成trunk，allow-pass1018004、汇聚交换机下行口和上行口均配成trunk口，allow-passvlan8001015、L2交换机与汇聚交换机的下行口务必要配置端口隔离，抑制下行口的广播报文，上行口不要做端口隔离GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2管理VLAN：800，业务VLAN：101Page43场景1-AC和AP间二层组网(数据直接转发方式配置指导1、配置L2交换机，推荐使用POE交换机，便于给AP供电[L2-switch]vlanbatch800101[L2-switch]interfaceEthernet1/0/1[L2-switch-Ethernet1/0/1]portdefaultvlan800[L2-switch-Ethernet1/0/1]porttrunkallow-passvlan101[L2-switch-Ethernet1/0/1]port-isolateenable[L2-switch]interfaceEthernet1/0/2[L2-switch-Ethernet1/0/2]portdefaultvlan800[L2-switch-Ethernet1/0/2]porttrunkallow-passvlan101[L2-switch-Ethernet1/0/2]port-isolateenable[L2-switch]interfaceGigabitEthernet1/0/1[L2-switch-GigabitEthernet1/0/1]portlink-typetrunk[L2-switch-GigabitEthernet1/0/1]porttrunkallow-passvlan101800Page44配置指导1、配置L2交换机，推荐使用POE交换机，便于给AP配置指导2、配置汇聚交换机透传业务vlan101和管理vlan800，务必做端口隔离[s9303]vlanbatch800101[s9303]interfaceGigabitEthernet2/0/1[s9303-GigabitEthernet2/0/1]portlink-typetrunk[s9303-GigabitEthernet2/0/1]porttrunkallow-passvlan101800[s9303-GigabitEthernet2/0/1]port-isolateenable[s9303]interfaceGigabitEthernet2/0/2[s9303-GigabitEthernet2/0/2]portlink-typetrunk[s9303-GigabitEthernet2/0/2]porttrunkallow-passvlan101800Page45配置指导2、配置汇聚交换机透传业务vlan101和管理vla配置指导3、在ME60上配置loopback口，配置loopback0接口的IP地址为AC源IP地址。[ME60]interfaceLoopBack0[ME60-LoopBack0]ipaddress324、在ME60上配置AP的地址池。[ME60]ippoolapserver[ME60-ip-pool-ap]gateway[ME60-ip-pool-ap]section0000[ME60-ip-pool-ap]option43stringHuaweiAC-[ME60-ip-pool-ap]quitPage46配置指导3、在ME60上配置loopback口，配置loop配置指导5、配置ME60接入AP的端口，该端口为AP的网关地址，终结AP的管理vlan800，业务转发模式为二层直接转发模式（direct-access）。[ME60]interfaceGigabitEthernet2/1/5.1[ME60-GigabitEthernet2/1/5.1]vlan-typedot1q

800[ME60-GigabitEthernet2/1/5.1]ipaddress[ME60-GigabitEthernet2/1/5.1]wlandirect-access6、

配置运营商ID、ACID、AC的源地址、离线添加AP[ME60]wlanac-globalcarrieridcmcc[ME60]wlanac-globalacid2[ME60]wlanac[ME60-wlan-ac-view]wlanacsourceinterfaceloopback0[ME60-wlan-ac-view]ap-auth-modemac-auth[ME60-wlan-ac-view]apid0type-id0mac286e-d42e-3eee[ME60-wlan-ac-view]apid1type-id0mac0025-9e09-cd60Page47配置指导5、配置ME60接入AP的端口，该端口为AP的网关地配置指导7、配置AP的参数#配置WMM模板。[ME60-wlan-ac-view]wmm-profilenamehuawei#配置射频模板。

[ME60-wlan-ac-view]radio-profilenamehuawei[ME60-wlan-radio-prof-lwq]bindwmm-profilenamehuawei#配置ap射频。[ME60-wlan-ac-view]radioap-id0radio-id0[ME60-wlan-radio-0/0]bindradio-profilenamehuawei#配置traffic模板。[ME60-wlan-ac-view]traffic-profilenamehuawei#配置security模板。[ME60-wlan-ac-view]security-profilenamehuawei

Page48配置指导7、配置AP的参数Page48配置指导security-profile用于配置WLAN用户不同的无线安全认证和加密方式，常用的认证方式有WEP、WPA1_PSK、WPA_PSK、WPA1+802.1xPEAP/SIM、WPA2+802.1xPEAP/SIM、WAPI，具体的配置方法请参考产品文档>配置>用户接入>WLAN配置>配置VAP的WLAN业务>配置接入安全策略。Page49配置指导security-profile用于配置WLAN用配置指导#配置ESS，ssid为huaweiacssid[ME60-wlan-ac-view]essnamehuaweiacssidhuaweiacssidtraffic-profilehuaweisecurity-profilehuawei#配置vlan-map，确定用户接入的vlan[ME60-wlan-ac-view]vlan-mappingessnamehuaweiactypetagvlan101#配置VAP[ME60-wlan-ac-view]vapap0radio0essnamehuaweiac[ME60-wlan-ac-view]vapap1radio0essnamehuaweiac#确认并下发AP配置。[ME60-wlan-ac-view]commitall

配置下发后终端就可以扫描到ssid了Page50配置指导Page50配置指导以下为用户接入的配置方法，该场景下讲述绑定认证的配置8、配置ME60的用户上网地址池[ME60]ippooluser

baslocal[ME60-ip-pool-user]gateway[ME60-ip-pool-user]section054[ME60-ip-pool-user]dns-server[ME60-ip-pool-user]dns-serversecondaryPage51配置指导以下为用户接入的配置方法，该场景下讲述绑定认证的配置配置指导9、配置ME60认证计费设置和域[ME60-aaa]authentication-schemenone[ME60-aaa-authentication-scheme-none]authentication-moderadius[ME60-aaa]accounting-schemenone[ME60-aaa-accounting-scheme-none]accounting-modenone[ME60-aaa]domainhuawei[ME60-aaa-domain-huawei]authentication-schemenone[ME60-aaa-domain-huawei]accounting-schemenone[ME60-aaa-domain-huawei]ip-pooluserPage52配置指导9、配置ME60认证计费设置和域Page52配置指导10、ME60上配置BAS接口，用户vlan为101，并且接入类型为二层接入。用户接入和AP接入需要在相同的主接口的不同子接口，并配置用户漫游，该场景为相同子接口、相同user-vlan的用户漫游[ME60]interfaceGigabitEthernet2/1/5.2[ME60-GigabitEthernet2/1/5.2]user-vlan101[ME60-GigabitEthernet2/1/5.2]bas[ME60-GigabitEthernet2/1/5.2-bas]access-typelayer2-subscriberdefault-domainauthenticationhuawei[ME60-GigabitEthernet2/1/5.2-bas]authentication-methodbind[ME60-GigabitEthernet2/1/5.2-bas]wlan-switchenable[ME60-GigabitEthernet2/1/5.2-bas]ip-trigger[ME60-GigabitEthernet2/1/5.2-bas]arp-trigger[ME60-GigabitEthernet2/1/5.2-bas]quit[ME60-GigabitEthernet2/1/5.2]quitPage53配置指导10、ME60上配置BAS接口，用户vlan为101Page54目录第一章WLAN产品ME60-X3的总体介绍、基础配置和AC升级1.1ME60-X3产品介绍1.2ME60的基础配置1.3升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络Page54Page54目录第一章WLAN产品ME60-X3的总体介Page552.2场景2-AC和AP间为二层组网(数据隧道转发方式)应用场景:应用于AC和AP之间为2层组网的场景，汇聚交换机不能透传用户业务VLAN.方案优缺点:优点:AC与AP之间的交换机不需要规划业务VLAN.缺点:数据由CAPWAP隧道转发，转发效率低于直接转发。方案限制:为AP分配管理IP的DHCP服务器需支持option43或者以DNS方式将AC域名通告APHuaweiAPHuaweiAPS9303L2交换机ME60核心路由器IP城域网VLAN：800VLAN：800管理VLAN:800VLAN：800VLAN：800GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2l3ve2/1/2.1capwap隧道GE3/0/0Page552.2场景2-AC和AP间为二层组网(数据隧道Page562.2场景2-AC和AP间为二层组网(数据隧道转发方式)VLAN说明:１．AP隧道VLAN800由L2交换机添加，用户业务VLAN101由AP添加。２．AP隧道VLAN由汇聚交换机透传到AC，用户业务VLAN由CAPWAP隧道透传到AC。3、L2交换机接入AP的接口配成trunk，defaultvlan800，连接汇聚交换机的接口配成trunk，allow-pass8004、s9303下行口和上行口均配成trunk，allow-passvlan8005、L2交换机与s9303的下行口务必要配置端口隔离，抑制下行口的广播报文，上行口不必配置端口隔离HuaweiAPHuaweiAPL2交换机ME60核心路由器IP城域网VLAN：800VLAN：800管理VLAN:800VLAN：800VLAN：800GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2l3ve2/1/2.1capwap隧道S9303GE3/0/0Page562.2场景2-AC和AP间为二层组网(数据隧道配置指导1、配置L2交换机，推荐使用POE交换机，便于给AP供电[L2-switch]vlan800[L2-switch]interfaceEthernet1/0/1[L2-switch-Ethernet1/0/1]portdefaultvlan800[L2-switch-Ethernet1/0/1]port-isolateenable[L2-switch]interfaceEthernet1/0/2[L2-switch-Ethernet1/0/2]portdefaultvlan800[L2-switch-Ethernet1/0/2]port-isolateenable[L2-switch]interfaceGigabitEthernet1/0/1[L2-switch-GigabitEthernet1/0/1]portlink-typetrunk[L2-switch-GigabitEthernet1/0/1]porttrunkallow-passvlan800Page57配置指导1、配置L2交换机，推荐使用POE交换机，便于给AP配置指导2、配置汇聚交换机透传业务vlan101和管理vlan800，务必做端口隔离[s9303]vlan800[s9303]interfaceGigabitEthernet2/0/1[s9303-GigabitEthernet2/0/1]portlink-typetrunk[s9303-GigabitEthernet2/0/1]porttrunkallow-passvlan800[s9303-GigabitEthernet2/0/1]port-isolateenable[s9303]interfaceGigabitEthernet2/0/2[s9303-GigabitEthernet2/0/2]portlink-typetrunk[s9303-GigabitEthernet2/0/2]porttrunkallow-passvlan800Page58配置指导2、配置汇聚交换机透传业务vlan101和管理vla配置指导3、在ME60上配置loopback口，配置loopback0接口的IP地址为AC源IP地址。[ME60]interfaceLoopBack0[ME60-LoopBack0]ipaddress324、在ME60上配置AP的地址池。[ME60]ippoolapserver[ME60-ip-pool-ap]gateway[ME60-ip-pool-ap]section0000[ME60-ip-pool-ap]option43stringHuaweiAC-[ME60-ip-pool-ap]quitPage59配置指导3、在ME60上配置loopback口，配置loop配置指导5、配置ME60的接入AP的端口，配置AP的网关地址，终结管理VLAN800[ME60]interfaceGigabitEthernet2/1/5.1[ME60-GigabitEthernet2/1/5.1]vlan-typedot1q

800[ME60-GigabitEthernet2/1/5.1]ipaddress此处不用配置wlandirect-access配置wlantunnel-access命令的单板上，默认每个接口都是采用CAPWAP隧道方式接入。如果对于某些特定应用场景，需要一些接口采用直接接入方式，则需要修改对应接口的接入方式为直接接入。Page60配置指导5、配置ME60的接入AP的端口，配置AP的网关地址配置指导6、创建VE口

。#创建二层VE。[ME60]interfaceVirtual-Ethernet2/1/1[ME60-Virtual-Ethernet2/1/1]ve-group1l2-terminate#创建三层VE。[ME60]interfaceVirtual-Ethernet2/1/2[ME60-Virtual-Ethernet2/1/2]ve-group1l3-access#进入slot视图，这里的槽位和前面配置的AP接入BAS设备的物理接口应该是同一个槽位。[ME60]slot2

#绑定隧道用户接入的VE口。[ME60-slot2]wlantunnel-accessinterfacevirtual-ethernet2/1/2

Page61配置指导6、创建VE口

。Page61配置指导以下为用户接入的配置，该场景下讲述web认证的配置流程8、配置ME60的用户上网地址池[ME60]ippooluser

baslocal[ME60-ip-pool-user]gateway[ME60-ip-pool-user]section054[ME60-ip-pool-user]dns-server[ME60-ip-pool-user]dns-serversecondary9、配置radius-servergroup[ME60]radius-servergrouphuawei[ME60-radius-huawei]radius-serverauthentication1812[ME60-radius-huawei]radius-serveraccounting

1813[ME60-radius-huawei]radius-servershared-keyhello[ME60-radius-huawei]quit[ME60]radius-serversourceinterfaceGigabitEthernet3/0/0.3300Page62配置指导以下为用户接入的配置，该场景下讲述web认证的配置流配置指导9、配置ME60认证计费方案配置[ME60-aaa]authentication-schemenone[ME60-aaa-authentication-scheme-none]authentication-modenone[ME60-aaa]accounting-schemenone[ME60-aaa-accounting-scheme-none]acc