华为——配置内部人员接入WLAN网络示例（802.1X认证）

射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。 # 选择“配置 > AP配置 > AP配置 > AP信息”，进入“AP列表”页面 # 单击需要配置信道和功率的AP ID，进入“AP个性化配置”页面。 # 单击“射频管理”前的

组网图形

图1 配置802.1X认证组网图

• 业务需求
• 组网需求
• 数据规划
• 配置思路
• 配置注意事项
• 操作步骤

业务需求

用户接入WLAN网络，使用802.1X客户端进行认证，输入正确的用户名和密码后可以无线上网。且在覆盖区域内移动发生漫游时，不影响用户的业务使用。

组网需求

• AC组网方式：旁挂二层组网。
• DHCP部署方式：AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址。
• 业务数据转发方式：直接转发。
• WLAN认证方式：WPA-WPA2+802.1X+AES。

数据规划

• RADIUS服务器模板名称：wlan-net
• IP地址：10.23.103.1
• 认证端口号：1812
• 共享密钥：huawei@123
• 认证方案：wlan-net

802.1X接入模板

• 名称：wlan-net
• 认证方式：EAP

认证模板

• 名称：wlan-net
• 引用模板和认证方案：802.1X接入模板wlan-net、RADIUS服务器模板wlan-net、认证方案wlan-net

AP组

• 名称：ap-group1
• 引用模板：VAP模板wlan-net、域管理模板default

域管理模板

• 名称：default
• 国家码：中国

SSID模板

• 名称：wlan-net
• SSID名称：wlan-net

安全模板

• 名称：wlan-net
• 安全策略：WPA-WPA2+802.1X+AES

VAP模板

• 名称：wlan-net
• 转发模式：直接转发
• 业务VLAN：VLAN101
• 引用模板：SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net

配置思路

1. 配置AP、AC和周边网络设备之间实现网络互通。
2. 使用配置向导，配置AC系统参数。
3. 使用配置向导，配置AP在AC上线。
4. 使用配置向导在AC上配置WLAN相关业务。在配置安全策略时，选择802.1X和RADIUS认证，设置RADIUS服务器参数。
5. 配置第三方服务器。

AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。

配置注意事项

• 纯组播报文由于协议要求在无线空口没有ACK机制保障，且无线空口链路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入，则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击，建议配置组播报文抑制功能。配置前请确认是否有组播业务，如果有，请谨慎配置限速值。
  • 业务数据转发方式采用直接转发时，建议在直连AP的交换机接口上配置组播报文抑制。
  • 业务数据转发方式采用隧道转发时，建议在AC的流量模板下配置组播报文抑制。
• 建议在与AP直连的设备接口上配置端口隔离，如果不配置端口隔离，尤其是业务数据转发方式采用直接转发时，可能会在VLAN内形成大量不必要的广播报文，导致网络阻塞，影响用户体验。
• 隧道转发模式下，管理VLAN和业务VLAN不能配置为同一VLAN，且AP和AC之间只能放通管理VLAN，不能放通业务VLAN。
• V200R021C00版本开始，配置CAPWAP源接口或源地址时，会检查和安全相关的配置是否已存在，包括DTLS加密的PSK、AC间DTLS加密的PSK、登录AP的用户名和密码、全局离线管理VAP的登录密码，均已存在才能成功配置，否则会提示用户先完成相关的配置。
• V200R021C00版本开始，AC默认开启CAPWAP控制隧道的DTLS加密功能。开启该功能，添加AP时AP会上线失败，此时需要先开启CAPWAP DTLS不认证方式（capwap dtls no-auth enable）让AP上线，以便AP获取安全凭证，AP上线后应及时关闭该功能（undo capwap dtls no-auth enable），避免未授权AP上线。

操作步骤

配置周边设备
# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。
<HUAWEI> system-view 
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100 101 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
 [SwitchA-GigabitEthernet0/0/1] port-isolate enable 
 [SwitchA-GigabitEthernet0/0/1] quit 
 [SwitchA] interface gigabitethernet 0/0/2 
 [SwitchA-GigabitEthernet0/0/2] port link-type trunk 
 [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 
 [SwitchA-GigabitEthernet0/0/2] quit
# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，创建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳为Router的缺省路由。<HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] vlan batch 100 to 104 [SwitchB] interface gigabitethernet 0/0/1 [SwitchB-GigabitEthernet0/0/1] port link-type trunk [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 [SwitchB-GigabitEthernet0/0/1] quit [SwitchB] interface gigabitethernet 0/0/2 [SwitchB-GigabitEthernet0/0/2] port link-type trunk [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102 [SwitchB-GigabitEthernet0/0/2] quit [SwitchB] interface gigabitethernet 0/0/3 [SwitchB-GigabitEthernet0/0/3] port link-type trunk [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103 [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103 [SwitchB-GigabitEthernet0/0/3] quit [SwitchB] interface gigabitethernet 0/0/4 [SwitchB-GigabitEthernet0/0/4] port link-type trunk [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104 [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104 [SwitchB-GigabitEthernet0/0/4] quit [SwitchB] interface vlanif 102 [SwitchB-Vlanif102] ip address 10.23.102.1 24 [SwitchB-Vlanif102] quit [SwitchB] interface vlanif 103 [SwitchB-Vlanif103] ip address 10.23.103.2 24 [SwitchB-Vlanif103] quit [SwitchB] interface vlanif 104 [SwitchB-Vlanif104] ip address 10.23.104.1 24 [SwitchB-Vlanif104] quit [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
# 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。<Huawei> system-view [Huawei] sysname Router [Router] interface gigabitethernet 0/0/1 [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24 [Router-GigabitEthernet0/0/1] quit [Router] ip route-static 10.23.101.0 24 10.23.104.1
配置DHCP服务器为STA分配IP地址
# 在SwitchB上配置VLANIF101接口为STA提供IP地址。

DNS服务器地址请根据实际需要配置。常用配置方法如下：
接口地址池场景，需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
全局地址池场景，需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。

[SwitchB] dhcp enable 
[SwitchB] interface vlanif 101 
[SwitchB-Vlanif101] ip address 10.23.101.1 24 
[SwitchB-Vlanif101] dhcp select interface
 [SwitchB-Vlanif101] quit

1. 配置AC系统参数
   1. 配置AC基本参数。 # 单击“配置 > 配置向导 > AC”，进入“AC基本配置”页面。 # “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。

1. 配置AP上线
   1. 配置AP上线。 # 单击“批量导入”，进入“批量导入”页面。单击

，下载批量添加AP模板文件到本地。

# 在AP模板文件中填写AP信息，示例如下。如需添加多个AP，可以参照该示例在AP模板文件中填写多条AP信息。

• AP MAC地址：60de-4476-e360
• AP SN：210235419610CB002287
• AP名称：area_1
• AP组：ap-group1

• 当选择“AP认证方式”为“MAC认证”时，AP MAC地址为必填项，AP SN可不填。
• 当选择“AP认证方式”为“SN认证”时，AP SN为必填项，AP MAC地址可不填。

建议使用网络规划工具WLAN Planner将规划好的射频ID、AP信道、频宽、功率导出成.csv格式的表格，将表格中的这些信息填写到AP文件模板中，经度和纬度请根据实际情况配置。 # 单击“导入AP文件”后的

，选择填写后的模板文件，单击“导入”。 # 导入完成后，页面显示导入结果信息，单击“确定”，完成添加。 # 单击“下一步”，进入“AP分组”页面。 # AP模板文件中已添加AP组信息，直接单击“下一步”，进入“配置确认”页面。

1. 配置确认。 # 确认配置，单击“完成并继续无线业务配置”。

1. 配置WLAN业务
   1. # 单击“新建”，进入“基本信息”页面。
   2. # 配置SSID名称、转发模式、业务VLAN ID等信息。

1. # 单击“下一步”，进入“安全认证”页面。
2. # 配置“安全配置”为802.1x认证，并配置外置Radius服务器的相关参数。

1. # 单击“下一步”，进入“接入控制”页面。
2. # 选择“绑定AP组”为“ap-group1”。
3. # 单击“完成”。

1. 配置AP的信道和功率
   1. 关闭AP射频的信道和功率自动调优功能，并手动配置AP的信道和功率。

   射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。 # 选择“配置 > AP配置 > AP配置 > AP信息”，进入“AP列表”页面、 # 单击需要配置信道和功率的AP ID，进入“AP个性化配置”页面。 # 单击“射频管理”前的

，显示当前射频管理下的模板。 # 单击“射频0”，进入射频0配置页面。在射频0配置页面关闭信道自动调优和功率自动调优功能，并设置信道为带宽20MHz信道6，发送功率为127dBm。

# “射频1”上关闭信道自动调优和功率自动调优功能，并设置信道带宽20MHz信道149，发送功率127dBm的步骤与“射频0”类似，此处不再赘述。 # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

1. 配置第三方服务器 具体配置方法建议参考相应的产品手册。
2. 检查配置结果
   • 完成配置后，用户可通过无线终端搜索到SSID为wlan-net的无线网络。
   • 用户关联到无线网络上后，无线PC能够被分配相应的IP地址。
   • 在STA上使用802.1X客户端进行认证，输入正确的用户名和密码后，STA认证成功，正常访问WLAN网络。需要根据设置的认证方式PEAP对客户端进行相应的配置。
     • Windows XP系统下的配置
       1. 首先在无线网络属性中，添加SSID为wlan-net，并选择认证方式为WPA2，加密使用的算法AES。
       2. 在“验证”选项卡中，选择EAP类型为PEAP，单击“属性”，去掉验证服务器证书选项（此处不验证服务器证书），单击“配置”，去掉自动使用Windows登录名和密码选项，然后单击“确定”。
     • Windows 7系统下的配置
       1. 进入管理无线网络页面，单击“添加”，选择手动创建网络配置文件，添加SSID为wlan-net，并选择认证方式为WPA2-企业，加密使用的算法AES，单击“下一步”。
       2. 单击“更改连接设置”，进入“无线网络属性”界面，选择“安全”页签，单击“设置”，取消勾选“验证服务器证书”（此处不验证服务器证书），单击“配置”，取消勾选“自动使用Windows登录名和密码”，单击“确定”。
       3. 单击“确定”，返回“无线网络属性”界面，单击“高级设置”，在“高级设置”界面，勾选“指定身份验证模式”，并选择身份验证模式为“用户身份验证”，单击“确定”。

我正在参与2023腾讯技术创作特训营第四期有奖征文，快来和我瓜分大奖！