WLAN产品MEX的总体介绍和基本配置讲义

2023/1/18WLAN产品ME60-X3的总体介绍和基本配置Version1Page2前言ME60在提供MSE用户接入功能的同时，集成了WLAN的AC功能，在和AP一起，共同完成WLAN用户的业务接入。ME60可提供对AP的管理（即插即用、射频管理、负载均衡、漫游管理）、WLAN用户接入管理以及APQoS等功能。本文主要介绍ME60在WLAN业务中的常用组网场景及配置Page3学习完此课程，您将会：掌握ME60实现WLAN业务时的常用组网场景掌握ME60在不同组网场景中的作用和业务配置方法掌握ME60的升级步准备和操作步骤目标Page4第一章WLAN产品ME60-X3的总体介绍、基础配置和AC升级1.1WLAN产品ME60-X3的总体介绍1.2WLAN的基础配置1.3AC升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络内容介绍目录第一章WLAN产品ME60-X3的总体介绍、基础配置和AC升级1.1WLAN产品ME60-X3的总体介绍1.2WLAN的基础配置1.3AC升级准备和升级步骤第二章ME60做集成AC2.1二层直接转发2.2二层隧道转发2.3三层隧道转发第三章ME60做独立AC3.1旁挂于二层网络3.2旁挂于三层网络Page51.1ME60-X3产品介绍系统总体描述：ME60-X3采用集中式路由引擎、分布式转发架构进行设计；ME60-X3为一体化机箱设计，其主要组成部件都支持热插拔；ME60-X3有直流和交流两种机箱；ME60-X3有3个业务槽位，每个槽位支持40Gbps的上行流量和40Gbps的下行流量；设备的交换容量为1.08Tbps，设备的背板容量为1.35Tbps；右图为直流机箱外观示意图Page6ME60-X3的系统总体描述ME60-X3交流机箱外观示意图Page7ME60-X3系统主要特性采用分布式硬件转发；控制通路同业务通路分离，保证控制通路的畅通；电信级的高可靠性和可管理性；系统采用模块级屏蔽，完全满足EMC（ElectroMagneticCompatibility）要求；单板、电源模块和风扇支持热插拔；主控板MPU（MainProcessUnit）采用1:1冗余备份；电源、风扇、时钟、管理总线等关键器件实现冗余备份；提供单板防误插保护，避免因插错槽位导致故障；提供电源告警提示信息、告警指示、运行状态和告警状态查询；提供电压和环境温度告警提示信息、告警指示、运行状态和告警状态查询。Page8ME60-X3（直流）结构及槽位Page9ME60-X3（交流）结构及槽位Page10Page11ME60-X3基本介绍绍交换容量量：1.08Tbps转发能力力：40G，可以扩扩展到100G槽位数：：3LPU、2MPU高度：4UFIB：1M单板用户户数：32KPPPOE/IPOE整机用户户数：96K基本配置置功耗：：222WPage12WLAN特性产品品规格规格项X3设备非X3设备AP个数2K4KAP类型个数256256AP域个数2K2K射频模板个数512512ESS服务集个数1K1KVAP对象个数2000020000WMM模板3232每AP支持最大用户数128128每射频支持VAP个数1616AP业务自动发放规则个数256256目录第一章ME60-X3总体介绍绍和升级级1.1ME60-X3产品介绍绍1.2ME60的基础配配置1.3升级准备备和升级级步骤第二章ME60做集成AC2.1二层直接接转发2.2二层隧道道转发2.3三层隧道道转发第三章ME60做独立AC3.1旁挂于二二层网络络3.2旁挂于三三层网络络Page131.2.1ME60的BAS侧基基础配置置1、sysname命令用来来设置ME60的主机名名：缺省情况况下，ME60主机名为为HUAWEI；例如：[ME60]sysnameYNYX-MC-WLAN-AC05-ME60-X32、启动FTP服务器，，允许FTP用户登录录：[ME60]FTPserverenablePage14BAS侧侧的基础础配置3、配置本本地用户户管理创建本地地用户账账号：[ME60]aaa[ME60-aaa]local-useruser-namepassword{simple|cipher}password配置本地地用户服服务类型型：[ME60-aaa]local-useruser-nameservice-type{ftp|ppp|ssh|telnet|terminal}配置本地地用户的的FTP目录权限限[ME60-aaa]local-useruser-nameftp-directory{directory|cfcard:|slave#cfcard:}Page15BAS侧侧的基础础配置4、用户管管理：配配置console、VTY用户界面面以及用用户验证证#配置console用户界面面[ME60]user-interfacecon0为了提高高设备的的安全性性，建议议Console用户界面面不认证证，当当其它用用户接口口界面的的密码忘忘记时，，可以通通过Console用户界面面很方便便的进行行密码重重置。#配置VTY用户界面面的最大大个数如果要配配置的VTY用户接口口的最大大数小于于当前的的最大数数量，则则不需要要其它配配置。如果要配配置的VTY用户接口口的最大大数量大大于当前前的最大大数量，，就需要要为新增增加的用用户接口口配置验验证方式式和密码码。因为为对于新新增用户户接口系系统默认认为使用用密码验验证。Page16BAS侧的基础配置置例如：当前允允许最多5个VTY用户同时在线线，现在配置置为允许15个VTY用户同时在线线，那么VTY用户接口5～14就需要使用authentication-mode和setauthenticationpassword命令配置验证证方式和密码码，配置如下下：<ME60>system-view[ME60]user-interfacemaximum-vty15[ME60]user-interfacevty514[ME60-ui-vty5-14]authentication-modepassword设置为密码认认证[ME60-ui-vty5-14]setauthenticationpasswordcipherhuawei设置本地验证证的密码系统提供AAA本地验证、密密码验证和不不验证三种方方式。缺省情情况下，VTY类用户界面验证证方式为password，其它类型用用户界面验证证方式为不验验证。Page17BAS侧的基础配置置5、配置AC管理AP#配置AC的管理地址[ME60]interfaceLoopBack10[ME60-LoopBack10]ipaddress155[ME60-wlan-ac-view]wlanacsourceinterfaceloopback10#配置AP的网关[ME60]IinterfaceGigabitEthernet1/1/3[ME60––GigabitEthernet1/1/3]undoshutdown[ME60]interfaceGigabitEthernet1/1/3.800[ME60––GigabitEthernet1/1/3.800]vlan-typedot1q800[ME60––GigabitEthernet1/1/3.800]ipaddress[ME60––GigabitEthernet1/1/3.800]wlandirect-access-缺省为隧道转转发方式，指定数据为直直接转发方式式Page18BAS侧的基基础配置#配置AP的管理地址池池与网关[ME60]ippoolwlanserver--配置AP管理地址池[ME60-ip-pool-wlan]gateway指定AP管理网关[ME60-ip-pool-wlan]section054-指定AP地址池[ME60-ip-pool-wlan]option43stringHuaweiAC-1-通过DHCPoption43通告AC地址Page19BAS侧的基基础配置#离线添加AP[ME60-wlan-ac-view]ap-regionid101[ME60-wlan-ac-view]ap-regionid102[ME60-wlan-ac-view]ap-auth-modemac-auth[ME60-wlan-ac-view]apid0type-id0mac0025-9e07-8b70snH092600260region-id101[ME60-wlan-ac-view]apid1type-id0mac0025-9e07-8b71snH092600261region-id102此时可以查看看AP上线状态，正常显示normal[ME60-wlan-ac-view]displayapallPage20BAS侧的基基础配置6、在BAS上配置无线用用户的接入、、认证和计费费方式(2层接入，绑定定认证方式)#配置radiusservergroup[ME60]radius-servergroupwlanradius-server[ME60-radius-wlanradius-server]radius-serverauthentication1812weight0[ME60-radius-wlanradius-server]radius-serveraccounting1813weight0#配置无线用户户的地址池[ME60]ippooltestbaslocal[ME60-ip-pool-test]gateway[ME60-ip-pool-test]section054Page21BAS侧的基基础配置#配置用户认证证与计费方式式[ME60]aaa[ME60]-aaa]authentication-schemetest[ME60]-aaa-authen-test]authentication-moderadius---radius认证[ME60]-aaa]accounting-schemetest[ME60]-aaa-accounting-test]accounting-moderadius-radius计费[ME60]-aaa]domaintest[ME60]-aaa-domain-test]authentication-schemetest[ME60]-aaa-domain-test]accounting-schemetest[ME60]-aaa-domain-test]ip-pooltest[ME60]-aaa-domain-test]radius-servergroupwlanradius-serverPage22BAS侧的基基础配置#配置用户接入入方式为2层接入，采用用绑定方式认认证[ME60]interfaceGigabitEthernet1/1/3.101[ME60––GigabitEthernet1/1/3.101]vlan-typedot1q101[ME60––GigabitEthernet1/1/3.101]bas[ME60––GigabitEthernet1/1/3.101-bas]access-typelayer2-subscriberdefault-domainauthenticationtest[ME60––GigabitEthernet1/1/3.101-bas]authentication-methodbind[ME60]interfaceGigabitEthernet1/1/3.102[ME60––GigabitEthernet1/1/3.102]vlan-typedot1q102[ME60––GigabitEthernet1/1/3.102]bas[ME60–GigabitEthernet1/1/3.102-bas]access-typelayer2-subscriberdefault-domainauthenticationtest[ME60––GigabitEthernet1/1/3.102-bas]authentication-methodbindPage23BAS侧的基基础配置在BAS上配置无线用用户的接入、、认证和计费费方式(2层接入，web认证方式)#配置radiusservergroup[ME60]radius-servergroupwlanradius-server[ME60-radius-wlanradius-server]radius-serverauthentication1812weight0[ME60-radius-wlanradius-server]radius-serveraccounting1813weight0Page24BAS侧的基基础配置#配置无线用户户的地址池[ME60]ippoolpretestbaslocal认证前的IP地址，用来访访问web界面[ME60-ip-pool-pretest]gateway[ME60-ip-pool-pretest]section054[ME60]ippooltestbaslocal认证后的ip地址，用来访访问公网[ME60-ip-pool-test]gateway[ME60-ip-pool-test]section000Page25BAS侧的基基础配置#配置用户认证证与计费方式式认证前域[ME60]aaa[ME60]-aaa]authentication-schemedefault0缺省不认证[ME60-aaa]accounting-schemedefault0缺省不计费[ME60-aaa]domainpretest[ME60]-aaa-domain-pretest]authentication-schemedefault0[ME60]-aaa-domain-pretest]accounting-schemedefault0[ME60]-aaa-domain-pretest]ip-poolpretest[ME60]-aaa-domain-pretest]web-server6[ME60]-aaa-domain-pretest]web-serverurl6/portal[ME60-aaa-domain-pretest]web-serverurl-parameterPage26BAS侧的基础配置置认证后域[ME60]aaa[ME60]-aaa]authentication-schemetest[ME60]-aaa-authen-test]authentication-moderadius---radius认证[ME60-aaa]accounting-schemetest[ME60-aaa-accounting-test]accounting-moderadius-radius计费[ME60-aaa]domaintest[ME60-aaa-domain-test]authentication-schemetest[ME60-aaa-domain-test]accounting-schemetest[ME60-aaa-domain-test]ip-pooltest[ME60-aaa-domain-test]radius-servergroupwlanradius-serverPage27BAS侧的基基础配置#配置用户接入入方式为2层接入，采用用web方式认证[ME60]interfaceVirtual-Ethernet3/1/1[ME60-Virtual-Ethernet3/1/1]ve-group1l2-terminate[ME60]interfaceVirtual-Ethernet3/1/2创建虚拟VE并绑定同一个个VEgroup[ME60-Virtual-Ethernet3/1/2]ve-group1l3-access[ME60]interfaceVirtual-Etherne3/1/2.101-虚拟VE子接口终结用用户VLAN101Page28BAS侧的基基础配置[ME60-Virtual-Ethernet3/1/2.101]user-vlan101[ME60-Virtual-Ethernet3/1/2.101]wlanenable使能WLAN[ME60-Virtual-Ethernet3/1/2.101]bas[ME60-Virtual-Ethernet3/1/2.101-bas]access-typelayer2-subscriberdefault-domainpre-authenticationpretestauthenticationtest配置用户接入入方式为web认证，认证前前域为pretest,认证后域为test[ME60-Virtual-Ethernet3/1/2.101-bas]authentication-methodwebPage29BAS侧的基础配置置#虚拟VE子接口终结用用户VLAN102[ME60]interfaceVirtual-Etherne3/1/2.102[ME60-Virtual-Ethernet3/1/2.102]user-vlan102[ME60-Virtual-Ethernet3/1/2.102]wlanenable[ME60-Virtual-Ethernet3/1/2.102]bas[ME60-Virtual-Ethernet3/1/2.102-bas]access-typelayer2-subscriberdefault-domainpre-authenticationpretestauthenticationtest[ME60-Virtual-Ethernet3/1/2.102-bas]authentication-methodweb#配置隧隧道方方式并并与虚虚拟VE关联[ME60]slot3[ME60-slot3]wlantunnel-accessinterfacevirtual-ethernet3/1/2Page301.2.2AP相关的的配置置1、配置置射频频模板板[ME60-wlan-ac-view]wmm-profilenamectc创建WMM模板[ME60-wlan-ac-view]traffic-profilenamectc创建QOS模板[ME60-wlan-ac-view]security-profilenamectc创建安安全模模板(默认认认证方方式为为opensystem不认证证)[ME60-wlan-ac-view]radio-profilenamectc创建射射频模模板[ME60-wlan-radio-prof-ctci]bindwmm-profilenamectc绑定WMM模板Page31AP相相关的的配置置2、配置置AP的射频频[ME60-wlan-ac-view]radioap-id0radio-id0进入AP0的射频频配置置[ME60-lan-radio-0/0]bindradio-profilenamectc绑定射射频模模板[ME60-wlan-ac-view]radioap-id1radio-id0进入AP1的射频频配置置[ME60-lan-radio-1/0]bindradio-profilenamectc绑定射射频模模板3、配置ESS与SSID,VLAN的映射射[ME60-wlan-ac-view]essnamectc1ssidctctraffic-profilectcsecurity-profilectcPage32AP相相关的的配置置4、配置名名为ctc1的ess,SSID为CTC,绑定QOS模板ctc和认证证模板板ctc[ME60-wlan-ac-view]vlan-mappingessnamectc1moderegion—ess的vlan映射关关系为为根据据ap-region映射[ME60-wlan-ac-view]vlan-mappingessnamectc1typetagregion101vlan1015、指定vlan的mapping关系[ME60-wlan-ac-view]vapap0radio0essnamectc1wlan1---下发wlan服务到到AP0的射频频0上，wlanid为1.[ME60-wlan-ac-view]commitap0下发ap0的配置置(只有commit后配置置才生生效)Page33AP相相关的的配置置6、重复复AP1的配置置[HUAWEI-wlan-ac-view]essnamectc2ssidctctraffic-profilectcsecurity-profilectc[HUAWEI-wlan-ac-view]vlan-mappingessnamectc2moderegion[HUAWEI-wlan-ac-view]vlan-mappingessnamectc2typetagregion102vlan102[HUAWEI-wlan-ac-view]vapap1radio0essnamectc2wlan1[HUAWEI-wlan-ac-view]commitap1Page34目录第一章章WLAN产品ME60-X3的总体体介绍绍、基基础配配置和和AC升级1.1ME60-X3产品介介绍1.2ME60的基础础配置置1.3升级准准备和和升级级步骤骤第二章章ME60做集成成AC2.1二层直直接转转发2.2二层隧隧道转转发2.3三层隧隧道转转发第三章章ME60做独立立AC3.1旁挂于于二层层网络络3.2旁挂于于三层层网络络Page351.3.1升升级准准备1、准备备备件件：准准备网网线、、串口口线、、LPU、SFU、MPU2、确认认GTLLicense：需要要确认认是否否已申申请GTLLicense，并检查查获得得的GTLLicense中的ESN信息是是否与与要升升级设设备的的主控控板ESN信息一一致。。3、获取所所需的的升级级软件件，如果果有补补丁文文件，，也请请获取取；4、查看当当前系系统软软件版版本，如果设设备上上有补补丁，，也请请记录录补丁丁文件件版本本；5、检查设设备运运行状状态：请详细细记录录升级级前后后设备备各槽槽位单单板的的运行行状态态；6、搭建通通过TFTP或FTP协议升升级的的环境境；7、备份CF卡中的的重要要数据据；8、检查CF卡中的的剩余余空间间；9、检查设设备上上的单单板类类型。Page36Page371.3.2升级步步骤（（FTP方式升升级主主机软软件））1、登录ME60：远程程登录录或者者超级级终端端登录录设备备；2、以PC为FTP客户端端登录录FTP服务器器3、设置FTP客户端端存放放上传传文件件的目目录路路径和和文件件的传传输模模式ftp>binary200TypesettoI.ftp>lcdc:\tempLocaldirectorynowC:\temp.4、在“ftp>”提示示下，，使用用putlocal-filename[remote-filename]命令上上传指指定文文件到到ME60中；特定定局点点需要要单独独加载载paf和license文件。对于双双主控控的设设备，，上传传完成成后，，请使使用copysource-filenamedestination-filename命令将将paf文件、、License文件、、系统统软件件、GTL文件和和补丁丁文件件拷贝贝到备备用主主控板板的CF卡中。。Page38升级步步骤5、查看看上传传文件件：<Quidway>dircfacrd;<Quidway>dirslave#cfcard:6、在线指指定ME60启动时时加载载的系系统软软件：指定主主用主主控板板启动动时加加载的的系统统软件件<Quidway>startupsystem-softwarev600r002c02spc800_oc_me.cc指定备备用主主控板板启动动时加加载的的系统统软件件<Quidway>startupsystem-softwarev600r002c02spc800_oc_me.ccslave-board7、（可可选））设置启启动时时加载载的配配置文文件：<Quidway>startupsaved-configurationconfig-filename8、检查设设备下下次启启动加加载的的文件件：<Quidway>displaystartupPage39升级级步步骤骤：：9、（（可可选选））带业业务务升升级级前前的的额额外外操操作作————阻阻塞塞并并踢踢除除用用户户a、域域内内阻阻塞塞新新用用户户上上线线在域域视视图图下下，，执执行行block命令令，，可可以以将将域域设设置置为为阻阻塞塞状状态态，，所所有有该该域域下下的的新新用用户户将将被被禁禁止止接接入入，，但但仍仍可可保保留留已已经经在在线线的的域域下下用用户户。。[Quidway-aaa]displaydomain[Quidway-aaa-domain-test]blockb、踢除除在在线线用用户户根据据第第1步中中检检查查出出来来的的存存在在用用户户的的域域，，在在AAA视图图下下依依次次对对存存在在用用户户的所有有域域执执行行cutaccess-user命令令。。[Quidway-aaa]cutaccess-userdomaintest执行行该该命命令令后后，，等等待待一一段段时时间间，，再再通通过过displaydomain查看看是是否否全全部部踢踢除除干干净净。。Page40升级级步步骤骤10、Save配置置然然后后reboot设备备；11、为新新版版本本系系统统软软件件打打上上最最新新的的补补丁丁；上传传补补丁丁文文件件到到cfcard用户户视视图图下下<ME60>patchloadfile-nameallrun查看看补补丁丁信信息息displaypatch-information12、启动动完完成成后后，，使使用用displayversion命令查看看ME60加载的BootROM及正在运运行的系系统软件件的版本本是否正正确；<HUAWEI>displayversion13、重启后，，根据业业务需要要加载相相应的GTLLicense；<HUAWEI>licenseactivegtl.datPage41目录第一章WLAN产品ME60-X3的总体介介绍、基基础配置置和AC升级1.1ME60-X3产品介绍绍1.2ME60的基础配配置1.3升级准备备和升级级步骤第二章ME60做集成AC2.1二层直接接转发2.2二层隧道道转发2.3三层隧道道转发第三章ME60做独立AC3.1旁挂于二二层网络络3.2旁挂于三三层网络络Page41Page422.1场景1-AC和AP间二层组组网(数据直接接转发方方式)HuaweiAPHuaweiAP汇聚交换换机L2交换机HuaweiBRAS集成AC核心路由由器IP城域网VLAN：800，101管理VLAN：800，业务VLAN：101业务VLAN:101管理VLAN:800VLAN：800，101应用场景景:应用于AC和AP之间为2层组网的的场景，，汇聚交交换机透透传用户户业务VLAN方案优缺缺点:优点:数据由交交换机直直接转发发，没有有隧道开开销，转转发效率率高。缺点:AC与AP之间的交交换机都都需要规规划业务务VLAN方案限制制:１．二层层交换机机需要透透传所有有VLAN２．为AP分配管理理IP的DHCP服务器需需支持option43或者以DNS方式将AC域名通告告APGE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2管理VLAN：800，业务VLAN：101Page43场景1-AC和AP间二层组组网(数据直接接转发方方式)HuaweiAPHuaweiAP汇聚交换换机L2交换机HuaweiBRAS集成AC核心路由由器IP城域网VLAN：800，101管理VLAN：800，业务VLAN：101业务VLAN:101管理VLAN:800VLAN：800，101VLAN说明:1、AP隧道VLAN800由L2交换机添添加，用用户业务务VLAN101由AP添加。2、AP隧道VLAN和用户业业务VLAN由汇聚交交换机透透传到AC3、L2交换机接接入AP的接口配配成trunk，defaultvlan800，allow-passvlan101；连接汇汇聚交换换机的接接口配成成trunk，allow-pass1018004、汇聚交交换机下下行口和和上行口口均配成成trunk口，allow-passvlan8001015、L2交换机与与汇聚交交换机的的下行口口务必要要配置端端口隔离离，抑制制下行口口的广播播报文，，上行口口不要做做端口隔隔离GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2管理VLAN：800，业务VLAN：101配置指导导1、配置L2交换机，，推荐使使用POE交换机，，便于给给AP供电[L2-switch]vlanbatch800101[L2-switch]interfaceEthernet1/0/1[L2-switch-Ethernet1/0/1]portdefaultvlan800[L2-switch-Ethernet1/0/1]porttrunkallow-passvlan101[L2-switch-Ethernet1/0/1]port-isolateenable[L2-switch]interfaceEthernet1/0/2[L2-switch-Ethernet1/0/2]portdefaultvlan800[L2-switch-Ethernet1/0/2]porttrunkallow-passvlan101[L2-switch-Ethernet1/0/2]port-isolateenable[L2-switch]interfaceGigabitEthernet1/0/1[L2-switch-GigabitEthernet1/0/1]portlink-typetrunk[L2-switch-GigabitEthernet1/0/1]porttrunkallow-passvlan101800Page44配置指导导2、配置汇汇聚交换换机透传传业务vlan101和管理vlan800，务必做做端口隔隔离[s9303]vlanbatch800101[s9303]interfaceGigabitEthernet2/0/1[s9303-GigabitEthernet2/0/1]portlink-typetrunk[s9303-GigabitEthernet2/0/1]porttrunkallow-passvlan101800[s9303-GigabitEthernet2/0/1]port-isolateenable[s9303]interfaceGigabitEthernet2/0/2[s9303-GigabitEthernet2/0/2]portlink-typetrunk[s9303-GigabitEthernet2/0/2]porttrunkallow-passvlan101800Page45配置指导导3、在ME60上配置loopback口，配置置loopback0接口的IP地址为AC源IP地址。[ME60]interfaceLoopBack0[ME60-LoopBack0]ipaddress324、在ME60上配置AP的地址池池。[ME60]ippoolapserver[ME60-ip-pool-ap]gateway[ME60-ip-pool-ap]section0000[ME60-ip-pool-ap]option43stringHuaweiAC-[ME60-ip-pool-ap]quitPage46配置指导导5、配置ME60接入AP的端口，该端口为为AP的网关地地址，终终结AP的管理vlan800，业务转转发模式式为二层直直接转发发模式（（direct-access）。[ME60]interfaceGigabitEthernet2/1/5.1[ME60-GigabitEthernet2/1/5.1]vlan-typedot1q800[ME60-GigabitEthernet2/1/5.1]ipaddress[ME60-GigabitEthernet2/1/5.1]wlandirect-access6、配置运营营商ID、ACID、AC的源地址址、离线添添加AP[ME60]wlanac-globalcarrieridcmcc[ME60]wlanac-globalacid2[ME60]wlanac[ME60-wlan-ac-view]wlanacsourceinterfaceloopback0[ME60-wlan-ac-view]ap-auth-modemac-auth[ME60-wlan-ac-view]apid0type-id0mac286e-d42e-3eee[ME60-wlan-ac-view]apid1type-id0mac0025-9e09-cd60Page47配置指导导7、配置AP的参数#配置WMM模板。[ME60-wlan-ac-view]wmm-profilenamehuawei#配置射频频模板。。[ME60-wlan-ac-view]radio-profilenamehuawei[ME60-wlan-radio-prof-lwq]bindwmm-profilenamehuawei#配置ap射频。[ME60-wlan-ac-view]radioap-id0radio-id0[ME60-wlan-radio-0/0]bindradio-profilenamehuawei#配置traffic模板。[ME60-wlan-ac-view]traffic-profilenamehuawei#配置security模板。[ME60-wlan-ac-view]security-profilenamehuaweiPage48配置指导导security-profile用于配置WLAN用户不同的的无线安全全认证和加加密方式，，常用的认认证方式有有WEP、WPA1_PSK、WPA_PSK、WPA1+802.1xPEAP/SIM、WPA2+802.1xPEAP/SIM、WAPI，具体的配配置方法请请参考产品品文档>配置>用户接入>WLAN配置>配置VAP的WLAN业务>配置接入安安全策略。。Page49配置指导#配置ESS，ssid为huaweiacssid[ME60-wlan-ac-view]essnamehuaweiacssidhuaweiacssidtraffic-profilehuaweisecurity-profilehuawei#配置vlan-map，确定用户户接入的vlan[ME60-wlan-ac-view]vlan-mappingessnamehuaweiactypetagvlan101#配置VAP[ME60-wlan-ac-view]vapap0radio0essnamehuaweiac[ME60-wlan-ac-view]vapap1radio0essnamehuaweiac#确认并下发发AP配置。[ME60-wlan-ac-view]commitall配置下发后后终端就可可以扫描到到ssid了Page50配置指导以下为用户户接入的配配置方法，，该场景下下讲述绑定定认证的配配置8、配置ME60的用户上网地地址池[ME60]ippooluserbaslocal[ME60-ip-pool-user]gateway[ME60-ip-pool-user]section054[ME60-ip-pool-user]dns-server[ME60-ip-pool-user]dns-serversecondaryPage51配置指导9、配置ME60认证计费设设置和域[ME60-aaa]authentication-schemenone[ME60-aaa-authentication-scheme-none]authentication-moderadius[ME60-aaa]accounting-schemenone[ME60-aaa-accounting-scheme-none]accounting-modenone[ME60-aaa]domainhuawei[ME60-aaa-domain-huawei]authentication-schemenone[ME60-aaa-domain-huawei]accounting-schemenone[ME60-aaa-domain-huawei]ip-pooluserPage52配置指导10、ME60上配置BAS接口，用户户vlan为101，并且接入入类型为二二层接入。。用户接入和和AP接入需要在在相同的主主接口的不不同子接口口，并配置置用户漫游游，该场景景为相同子子接口、相相同user-vlan的用户漫游游[ME60]interfaceGigabitEthernet2/1/5.2[ME60-GigabitEthernet2/1/5.2]user-vlan101[ME60-GigabitEthernet2/1/5.2]bas[ME60-GigabitEthernet2/1/5.2-bas]access-typelayer2-subscriberdefault-domainauthenticationhuawei[ME60-GigabitEthernet2/1/5.2-bas]authentication-methodbind[ME60-GigabitEthernet2/1/5.2-bas]wlan-switchenable[ME60-GigabitEthernet2/1/5.2-bas]ip-trigger[ME60-GigabitEthernet2/1/5.2-bas]arp-trigger[ME60-GigabitEthernet2/1/5.2-bas]quit[ME60-GigabitEthernet2/1/5.2]quitPage53Page54目录第一章WLAN产品ME60-X3的总体介绍绍、基础配配置和AC升级1.1ME60-X3产品介绍1.2ME60的基础配置置1.3升级准备和和升级步骤骤第二章ME60做集成AC2.1二层直接转转发2.2二层隧道转转发2.3三层隧道转转发第三章ME60做独立AC3.1旁挂于二层层网络3.2旁挂于三层层网络Page54Page552.2场景2-AC和AP间为二层组组网(数据隧道转转发方式)应用场景:应用于AC和AP之间为2层组网的场场景，汇聚聚交换机不不能透传用用户业务VLAN.方案优缺点点:优点:AC与AP之间的交换换机不需要要规划业务务VLAN.缺点:数据由CAPWAP隧道转发，，转发效率率低于直接接转发。方案限制:为AP分配管理IP的DHCP服务器需支支持option43或者以DNS方式将AC域名通告APHuaweiAPHuaweiAPS9303L2交换机ME60核心路由器器IP城域网VLAN：800VLAN：800管理VLAN:800VLAN：800VLAN：800GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2l3ve2/1/2.1capwap隧道GE3/0/0Page562.2场景2-AC和AP间为二层组组网(数据隧道转转发方式)VLAN说明:１．AP隧道VLAN800由L2交换机添加加，用户业业务VLAN101由AP添加。２．AP隧道VLAN由汇聚交换换机透传到到AC，用户业务务VLAN由CAPWAP隧道透传到到AC。3、L2交换机接入入AP的接口配成成trunk，defaultvlan800，连接汇聚聚交换机的的接口配成成trunk，allow-pass8004、s9303下行口和上上行口均配配成trunk，allow-passvlan8005、L2交换机与s9303的下行口务务必要配置置端口隔离离，抑制下下行口的广广播报文，，上行口不不必配置端端口隔离HuaweiAPHuaweiAPL2交换机ME60核心路由器器IP城域网VLAN：800VLAN：800管理VLAN:800VLAN：800VLAN：800GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2l3ve2/1/2.1capwap隧道S9303GE3/0/0配置指导1、配置L2交换机，推荐荐使用POE交换机，便于于给AP供电[L2-switch]vlan800[L2-switch]interfaceEthernet1/0/1[L2-switch-Ethernet1/0/1]portdefaultvlan800[L2-switch-Ethernet1/0/1]port-isolateenable[L2-switch]interfaceEthernet1/0/2[L2-switch-Ethernet1/0/2]portdefaultvlan800[L2-switch-Ethernet1/0/2]port-isolateenable[L2-switch]interfaceGigabitEthernet1/0/1[L2-switch-GigabitEthernet1/0/1]portlink-typetrunk[L2-switch-GigabitEthernet1/0/1]porttrunkallow-passvlan800Page57配置指导2、配置汇聚交交换机透传业业务vlan101和管理vlan800，务必做端口口隔离[s9303]vlan800[s9303]interfaceGigabitEthernet2/0/1[s9303-GigabitEthernet2/0/1]portlink-typetrunk[s9303-GigabitEthernet2/0/1]porttrunkallow-passvlan800[s9303-GigabitEthernet2/0/1]port-isolateenable[s9303]interfaceGigabitEthernet2/0/2[s9303-GigabitEthernet2/0/2]portlink-typetrunk[s9303-GigabitEthernet2/0/2]porttrunkallow-passvlan800Page58配置指导3、在ME60上配置loopback口，配置loopback0接口的IP地址为AC源IP地址。[ME60]interfaceLoopBack0[ME60-LoopBack0]ipaddress324、在ME60上配置AP的地址池。[ME60]ippoolapserver[ME60-ip-pool-ap]gateway[ME60-ip-pool-ap]section0000[ME60-ip-pool-ap]option43stringHuaweiAC-[ME60-ip-pool-ap]quitPage59配置指导5、配置ME60的接入AP的端口，配置置AP的网关地址，，终结管理VLAN800[ME60]interfaceGigabitEthernet2/1/5.1[ME60-GigabitEthernet2/1/5.1]vlan-typedot1q800[ME60-GigabitEthernet2/1/5.1]ipaddress此处不用配置置wlandirect-access配置wlantunnel-access命令的单板上上，默认每个个接口都是采采用CAPWAP隧道方式接入入。如果对于于某些特定应应用场景，需需要一些接口口采用直接接接入方式，则则需要修改对对应接口的接接入方式为直直接接入。Page60配置指导6、创建VE口。#创建二层VE。[ME60]interfaceVirtual-Ethernet2/1/1[ME60-Virtual-Ethernet2/1/1]ve-group1l2-terminate#创建三层VE。[ME60]interfaceVirtual-Ethernet2/1/2[ME60-Virtual-Ethernet2/1/2]ve-group1l3-access#进入slot视图，这里的槽位和前面配配置的AP接入BAS设备的物理接接口应该是同同一个槽位。。[ME60]slot2#绑定隧道用户户接入的VE口。[ME60-slot2]wlantunnel-accessinterfacevirtual-ethernet2/1/2Page61配置指导以下为用户接接入的配置，，该场景下讲讲述web认证的配置流流程8、配置ME60的用户上网地址址池[ME60]ippooluserbaslocal[ME60-ip-pool-user]gateway[ME60-ip-pool-user]section054[ME60-ip-pool-user]dns-server[ME60-ip-pool-user]dns-serversecondary9、配置radius-servergroup[ME60]radius-servergrouphuawei[ME60-radius-huawei]radius-serverauthentication1812[ME60-radius-huawei]radius-serveraccounting1813[ME60-radius-huawei]radius-servershared-keyhello[ME60-radius-huawei]quit[ME60]radius-serversourceinterfaceGigabitEthernet3/0/0.3300Page62配置指导9、配置ME60认证计费方案配置[ME60-aaa]authentication-schemenone[ME60-aaa-authentication-scheme-none]authentication-modenone[ME60-aaa]accounting-schemenone[ME60-aaa-accounting-scheme-none]accounting-modenone[ME60-aaa]authentication-schemeradius[ME60-aaa-authentication-scheme-radius]authentication-moderadius[ME60-aaa]accounting-schemeradius[ME60-aaa-accounting-scheme-radius]accounting-moderadiusPage6310、配置认证前前域、认证域域以及web认证服务器(添加httpdirect)[ME60-aaa]domainhuawei-before[ME60-aaa-domain-huawei-before]authentication-schemenone[ME60-aaa-domain-huawei-before]accounting-schemenone[ME60-aaa-domain-huawei-before]user-groupwlan[ME60-aaa-domain-huawei-before]web-server[ME60-aaa-domain-huawei-before]web-serverurl/portal/default.portal[ME60-aaa-domain-huawei-before]ip-pooluser[ME60-aaa]domainhuawei[ME60-aaa-domain-huawei]authentication-schemeradius[ME60-aaa-domain-huawei]accounting-schemeradius[ME60-aaa-domain-huawei]radius-servergrouphuawei[ME60]web-auth-serversourceinterfaceloopback0[ME60]web-auth-serverport2000keyhuaweiPage64配置指导11、配置认证前前域的访问控控制策略[ME60]user-groupwlan[ME60]aclnumber6000[ME60-acl-ucl-6000]rule5permitipsourceuser-groupwlandestinationip-address0[ME60-acl-ucl-6000]rule10permitipsourceuser-groupwlandestinationip-address0[ME60-acl-ucl-6000]rule15permitipsourceuser-groupwlandestinationip-address0[ME60]aclnumber6001[ME60-acl-ucl-6001]rule5permitipsourceuser-groupwlandestinationip-addressanyPage65配置指导[ME60]trafficclassifierc1operatoror[ME60-classifier-c1]if-matchacl6000[ME60]trafficclassifierc2operatoror[ME60-classifier-c1]if-matchacl6001[ME60]trafficbehaviorpermit[ME60]trafficbehaviordeny[ME60-behavior-deny]deny[ME60]trafficpolicywlan[ME60-policy-wlan]classifierc1behaviorpermit[ME60-policy-wlan]classifierc2behaviordeny[ME60]traffic-policywlaninbound[ME60]traffic-policywlanoutboundPage66配置指导配置指导12、ME60上配置BAS接口，用户vlan为12，并且接入类类型为二层接接入。[ME60]interfacevirtual-ethernet2/1/2.1[ME60-Virtual-Ethernet2/1/2.1]user-vlan12[ME60-Virtual-Ethernet2/1/2.1]wlanenable[ME60-Virtual-Ethernet2/1/2.1]bas[ME60-Virtual-Ethernet2/1/2.1-bas]access-typelayer2-subscriberdefault-domainpre-authenticationhauwei-beforeauthenticationhuawei[ME60-Virtual-Ethernet2/1/2.1-bas]authentication-methodweb[ME60-Virtual-Ethernet2/1/2.1-bas]quit[ME60-Virtual-Ethernet2/1/2.1]quitPage67Page68目录第一章WLAN产品ME60-X3的总体介绍、、基础配置和和AC升级1.1ME60-X3产品介绍1.2ME60的基础配置1.3升级准备和升升级步骤第二章ME60做集成AC2.1二层直接转发发2.2二层隧道转发发2.3三层隧道转发发第三章ME60做独立AC3.1旁挂于二层网网络3.2旁挂于三层网网络Page68Page692.3场景景3-AC和AP中间间为为三三层层网网络络的的组组网网方方式式(限隧隧道道转转发发方方式式)HuaweiAPHuaweiAP路由由器器RTAL2交换换机机ME60核心心路路由由器器IP城域域网网VLAN：800VLAN：800应用用场场景景:应用用于于AC和AP之间间为为3层组组网网的的场场景景，，无无线线用用户户通通过过AC的下下行行接接口口接接入入方案案优优缺缺点点:缺点点:数据据由由CAPWAP隧道道转转发发，，转转发发效效率率低低于于直直接接转转发发。。方案案限限制制:１．．AP的管管理理网网关关所所在在交交换换机机或或路路由由器器必必须须支支持持DHCPRelay，以以使使AP能获获取取到到AC的地地址址。。２．．为为AP分配配管管理理IP的DHCP服务务器器需需支支持持option43或者者以以DNS方式式将将AC域名名通通告告APGE1/0/1GE2/0/0GE1/0/0GE1/0/1eth1/0/2l3ve2/1/2.1VLAN：800eth1/0/1capwap隧道道保证证Page702.3场景景3-AC和AP中间间为为三三层层网网络络的的组组网网方方式式(限隧隧道道转转发发方方式式)HuaweiAPHuaweiAP路由由器器RTAL2交换换机机ME60核心心路路由由器器IP城域域网网VLAN：800管理理VLAN：800VLAN说明明:１．．AP隧道道VLAN800由L2交换换机机添添加加，，用用户户业业务务VLAN101由AP添加加。。２．．AP隧道道VLAN终结结在在L3交换换机机，，经经过过三三层层网