第一篇：65-无线控制器VRRP热备管理AP典型配置举例

无线控制器VRRP热备管理AP典型配置举例

Copyright © 202_杭州华三通信技术有限公司 版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目 录 简介 ······························································································································ 1 2 配置前提 ························································································································ 1 3 配置举例 ························································································································ 1

3.1 组网需求 ····················································································································· 1 3.2 配置思路 ····················································································································· 2 3.3 配置注意事项 ··············································································································· 2 3.4 配置步骤 ····················································································································· 2

3.4.1 AC 1的配置 ········································································································ 2 3.4.2 AC 2的配置 ········································································································ 4 3.4.3 Switch的配置 ······································································································ 6 3.5 验证配置 ····················································································································· 7 3.6 配置文件 ····················································································································· 8 相关资料 ······················································································································ 10

i 简介

本文档介绍了无线控制器VRRP热备管理AP典型配置举例。配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN接入、VRRP热备等特性。配置举例

3.1 组网需求

如图1所示，为了提高网络中AC的可靠性，现要求使用VRRP热备功能，将AC 1和AC 2组成一台虚拟AC，为Client提供无线接入服务。具体要求如下：

  AC 1正常工作的情况下，Client通过AC 1访问网络。

当AC 1发生故障时，Client切换至AC 2上，保证业务流量在切换过程中不会中断。

图1 VRRP热备管理AP典型组网图

Vlan-int100:126.100.1.1/24Vlan-int200:126.200.1.1/24Vlan-int100:126.100.1.2/24Vlan-int200:126.200.1.2/24IACTP tunnelAC 1MasterVirtual IP address126.100.1.253/24BackupAC 2SwitchDHCP serverAPClient

3.2 配置思路

   为了让AC 1成为VRRP备份组中的Master，需要为AC 1配置较高的优先级。为了避免VRRP备份组中的角色频繁发生变化，可以配置一定的抢占延迟时间。

当备份组中的角色发生变化时，为了保证网络流量不会中断，需要在AC 1和AC 2之间建立IACTP隧道，并通过AP信息备份以及Client备份功能，使AC之间可以同步备份AP和Client的信息。

3.3 配置注意事项

    两台AC需保证WLAN相关的特性配置一致，否则可能出现备份失败等问题。

配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

需要确保在完成VRRP配置、IACTP隧道、开启客户端信息备份功能后，再开启AP信息备份功能。

需要在配置IACTP隧道的源IP地址后才可以开启隧道。

3.4 配置步骤

3.4.1 AC 1的配置

(1)配置AC 1的接口

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC 1将使用该接口的IP地址与AP建立LWAPP隧道，同时用于与AC 2建立VRRP备份组和IACTP隧道。

system-view [AC1] vlan 100 [AC1-vlan100] quit [AC1] interface vlan-interface 100 [AC1-Vlan-interface100] ip address 126.100.1.1 24 [AC1-Vlan-interface100] quit # 创建VLAN 200作为WLAN-ESS接口的缺省VLAN，同时作为Client接入的业务VLAN，并为该接口配置IP地址。

[AC1] vlan 200 [AC1-vlan200] quit [AC1] interface vlan-interface 200 [AC1-Vlan-interface200] ip address 126.200.1.1 24 [AC1-Vlan-interface200] quit # 配置AC 1与Switch相连的GigabitEthernet1/0/1接口链路类型为Trunk，PVID为100，允许VLAN 100和VLAN 200的报文通过。

[AC1] interface gigabitethernet 1/0/1 [AC1-GigabitEthernet1/0/1] port link-type trunk [AC1-GigabitEthernet1/0/1] port trunk permit vlan 100 200 [AC1-GigabitEthernet1/0/1] port trunk pvid vlan 100

[AC1-GigabitEthernet1/0/1] quit # 创建WLAN-ESS 1接口

[AC1] interface wlan-ess 1 # 配置WLAN-ESS 1接口链路类型为Hybrid。

[AC1-WLAN-ESS1] port link-type hybrid # 配置当前Hybrid端口的PVID为VLAN 200，允许VLAN 200不带tag通过。

[AC1-WLAN-ESS1] port hybrid vlan 200 untagged [AC1-WLAN-ESS1] port hybrid pvid vlan 200 # 在Hybrid端口上使能MAC VLAN功能。

[AC1-WLAN-ESS1] mac-vlan enable [AC1-WLAN-ESS1] quit(2)配置VRRP功能

# 创建VRRP备份组1，并配置备份组1的虚拟IP地址为126.100.1.253。

[AC1] interface vlan-interface 100 [AC1-Vlan-interface100] vrrp vrid 1 virtual-ip 126.100.1.253 # 设置AC 1在备份组1中的优先级为110。

[AC1-Vlan-interface100] vrrp vrid 1 priority 110 # 设置AC 1工作在抢占模式，抢占延迟时间为6秒。

[AC1-Vlan-interface100] vrrp vrid 1 preempt-mode timer delay 6 [AC1-Vlan-interface100] quit(3)配置IACTP隧道

# 创建IACTP隧道1，并进入其视图。

[AC1] wlan mobility-group 1 # 配置IACTP隧道1的源IP地址为AC 1的IP地址126.100.1.1。

[AC1-wlan-mg-1] source ip 126.100.1.1 # 配置IACTP隧道1的成员IP地址为AC 2的IP地址126.100.1.2。

[AC1-wlan-mg-1] member ip 126.100.1.2 # 开启IACTP隧道。

[AC1-wlan-mg-1] mobility-group enable [AC1-wlan-mg-1] quit # 开启客户端信息备份功能。

[AC1] wlan backup-client enable # 开启AP信息备份功能。

[AC1] wlan backup-ap enable(4)配置无线服务

# 创建clear类型的服务模板1。

[AC1] wlan service-template 1 clear # 设置当前服务模板的SSID为service。

[AC1-wlan-st-1] ssid service # 将WLAN-ESS 1接口绑定到服务模板1。

[AC1-wlan-st-1] bind wlan-ess 1

# 启用无线服务。

[AC1-wlan-st-1] service-template enable [AC1-wlan-st-1] quit(5)配置AP # 创建AP的管理模板，名称为testap，型号名称选择WA2620E-AGN。

[AC1] wlan ap testap model WA2620E-AGN # 设置AP的序列号为21023529G007C000020。

[AC1-wlan-ap-testap] serial-id 21023529G007C000020 # 进入radio 2射频视图。

[AC1-wlan-ap-testap] radio 2 # 将在AC上配置clear类型的服务模板1与射频2进行关联。

[AC1-wlan-ap-testap-radio-2] service-template 1 # 使能AP的radio 2。

[AC1-wlan-ap-testap-radio-2] radio enable [AC1-wlan-ap-testap-radio-2] return 3.4.2 AC 2的配置

(1)配置AC 2的接口

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC 2将使用该接口的IP地址与AP建立LWAPP隧道，同时用于与AC 1建立VRRP备份组和IACTP隧道。

system-view [AC2] vlan 100 [AC2-vlan100] quit [AC2] interface vlan-interface 100 [AC2-Vlan-interface100] ip address 126.100.1.2 24 [AC2-Vlan-interface100] quit # 创建VLAN 200作为WLAN-ESS接口的缺省VLAN，同时作为Client接入的业务VLAN，并为该接口配置IP地址。

[AC2] vlan 200 [AC2-vlan200] quit [AC2] interface vlan-interface 200 [AC2-Vlan-interface200] ip address 126.200.1.2 24 [AC2-Vlan-interface200] quit # 配置AC 2与Switch相连的GigabitEthernet1/0/1接口链路类型为Trunk，PVID为100，允许VLAN 100和VLAN 200的报文通过。

[AC2] interface gigabitethernet 1/0/1 [AC2-GigabitEthernet1/0/1] port link-type trunk [AC2-GigabitEthernet1/0/1] port trunk permit vlan 100 200 [AC2-GigabitEthernet1/0/1] port trunk pvid vlan 100 [AC2-GigabitEthernet1/0/1] quit # 创建WLAN-ESS 1接口

[AC2] interface wlan-ess 1

# 配置WLAN-ESS 1接口链路类型为Hybrid。

[AC2-WLAN-ESS1] port link-type hybrid # 配置当前Hybrid端口的PVID为VLAN 200，允许VLAN 200不带tag通过。

[AC2-WLAN-ESS1] port hybrid vlan 200 untagged [AC2-WLAN-ESS1] port hybrid pvid vlan 200 # 在Hybrid端口上使能MAC VLAN功能。

[AC2-WLAN-ESS1] mac-vlan enable [AC2-WLAN-ESS1] quit(2)配置VRRP # 创建VRRP备份组1，并配置备份组1的虚拟IP地址为126.100.1.253，AC 2在备份组1中的优先级取缺省值100。

[AC2] interface vlan-interface 100 [AC2-Vlan-interface100] vrrp vrid 1 virtual-ip 126.100.1.253 # 设置AC 2工作在抢占方式，抢占延迟时间为6秒。

[AC2-Vlan-interface100] vrrp vrid 1 preempt-mode timer delay 6 [AC2-Vlan-interface100] quit(3)配置IACTP隧道

# 创建IACTP隧道1，并进入其视图。

[AC2] wlan mobility-group 1 # 配置IACTP隧道1的源IP地址为AC 2的IP地址126.100.1.2。

[AC2-wlan-mg-1] source ip 126.100.1.2 # 配置配置IACTP隧道1的成员IP地址为AC 1的IP地址126.100.1.1。

[AC2-wlan-mg-1] member ip 126.100.1.1 # 开启IACTP隧道。

[AC2-wlan-mg-1] mobility-group enable [AC2-wlan-mg-1] quit # 开启客户端信息备份功能。

[AC2] wlan backup-client enable # 开启AP信息备份功能。

[AC2] wlan backup-ap enable(4)配置无线服务

# 创建clear类型的服务模板1。

[AC2] wlan service-template 1 clear # 设置当前服务模板的SSID为service。

[AC2-wlan-st-1] ssid service # 将WLAN-ESS 1接口绑定到服务模板1。

[AC2-wlan-st-1] bind wlan-ess 1 # 启用无线服务。

[AC2-wlan-st-1] service-template enable [AC2-wlan-st-1] quit(5)配置AP

# 创建AP的管理模板，名称为testap，型号名称选择WA2620E-AGN。

[AC2] wlan ap testap model WA2620E-AGN # 设置AP的序列号为21023529G007C000020。

[AC2-wlan-ap-testap] serial-id 21023529G007C000020 # 进入radio 2射频视图。

[AC2-wlan-ap-testap] radio 2 # 将在AC上配置clear类型的服务模板1与射频2进行关联。

[AC2-wlan-ap-testap-radio-2] service-template 1 # 使能AP的radio 2。

[AC2-wlan-ap-testap-radio-2] radio enable [AC2-wlan-ap-testap-radio-2] return 3.4.3 Switch的配置

# 创建VLAN 100和VLAN 200，其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量，VLAN 200为无线客户端接入的VLAN。

system-view [Switch] vlan 100 [Switch-vlan100] quit [Switch] vlan 200 [Switch-vlan200] quit # 配置Switch与AC 1相连的GigabitEthernet1/0/1接口属性Trunk，当前Trunk口的PVID为100，允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 [Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100 [Switch-GigabitEthernet1/0/1] quit # 配置Switch与AC 2相连的GigabitEthernet1/0/2接口属性Trunk，PVID为100，允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type trunk [Switch-GigabitEthernet1/0/2] port trunk permit vlan 100 [Switch-GigabitEthernet1/0/2] port trunk pvid vlan 100 [Switch-GigabitEthernet1/0/2] quit # 配置Switch与DHCP server相连的GigabitEthernet1/0/3接口属性为Access，并允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/3 [Switch-GigabitEthernet1/0/3] port link-type access [Switch-GigabitEthernet1/0/3] port access vlan 100 [Switch-GigabitEthernet1/0/3] quit # 配置Switch与AP相连的GigabitEthernet1/0/4接口属性为Access，并允许VLAN 100通过，并使能PoE功能。

[Switch] interface gigabitethernet 1/0/4

[Switch-GigabitEthernet1/0/4] port link-type access [Switch-GigabitEthernet1/0/4] port access vlan 100 [Switch-GigabitEthernet1/0/4] poe enable [Switch-GigabitEthernet1/0/4] quit 3.5 验证配置

(1)当MAC地址为001f-3b03-781f的Client通过SSID为service的无线服务上线时，在AC 1上通过display wlan ap all命令可以查看AP和Client的信息。

display wlan ap all Total Number of APs configured : 1 Total Number of configured APs connected : 1 Total Number of auto APs connected : 0 AP Profiles State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm M = Master, B = Backup------------------AP Name State Model Serial-ID------------------testap R/M WA2620E-AGN 21023529G007C000020----------------- display wlan client Total Number of Clients : 1 Client Information SSID: service------------------MAC Address User Name APID/RID IP Address VLAN------------------001f-3b03-781f-NA-1 /2 126.200.1.3 200------------------(2)此时在AC 2上通过display wlan ap all命令查看到AP和Client的信息，可以看见AP和Client信息已经备份到AC 2。

display wlan ap all Total Number of APs configured : 1 Total Number of configured APs connected : 1 Total Number of auto APs connected : 0 AP Profiles State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad C = Config, R = Run, KU = KeyUpdate, KC = KeyCfm M = Master, B = Backup------------------AP Name State Model Serial-ID------------------testap R/B WA2620E-AGN 21023529G007C000020-----------------

display wlan client Total Number of Clients : 1 Client Information SSID: service------------------MAC Address User Name APID/RID IP Address VLAN------------------001f-3b03-781f-NA-1 /2 126.200.1.3 200------------------3.6 配置文件



# wlan backup-ap enable # wlan backup-client enable # vlan 100 # vlan 200 # wlan service-template 1 clear ssid service bind WLAN-ESS 1 service-template enable # interface Vlan-interface100 ip address 126.100.1.1 255.255.255.0 vrrp vrid 1 virtual-ip 126.100.1.253 vrrp vrid 1 priority 110 vrrp vrid 1 preempt-mode timer delay 6 # interface Vlan-interface200 ip address 126.200.1.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 200 port trunk pvid vlan 100 # interface WLAN-ESS1 port link-type hybrid port hybrid vlan 1 200 untagged port hybrid pvid vlan 200 mac-vlan enable # wlan ap testap model WA2620E-AGN id 1 AC 1：

serial-id 21023529G007C000020 radio 1 radio 2 service-template 1 radio enable # wlan mobility-group 1 member ip 126.100.1.2 source ip 126.100.1.1 mobility-group enable # 

# AC 2：

wlan backup-ap enable # wlan backup-client enable # vlan 100 # vlan 200 # wlan service-template 1 clear ssid service bind WLAN-ESS 1 service-template enable # interface Vlan-interface100 ip address 126.100.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 126.100.1.253 vrrp vrid 1 preempt-mode timer delay 6 # interface Vlan-interface200 ip address 126.200.1.2 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 200 port trunk pvid vlan 100 # interface WLAN-ESS1 port link-type hybrid port hybrid vlan 1 200 untagged port hybrid pvid vlan 200 mac-vlan enable # wlan ap testap model WA2620E-AGN id 1 serial-id 21023529G007C000020 radio 1

radio 2 service-template 1 radio enable # wlan mobility-group 1 member ip 126.100.1.1 source ip 126.100.1.2 mobility-group enable # 

# Switch：

vlan 100 # vlan 200 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 port trunk pvid vlan 100 # interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan 100 port trunk pvid vlan 100 # interface GigabitEthernet1/0/3 port link-type access port access vlan 100 # interface GigabitEthernet1/0/4 port link-type access port access vlan 100 poe enable # 4 相关资料

    《H3C WX系列无线控制器产品配置指导》“WLAN配置指导”。《H3C WX系列无线控制器产品命令参考》“WLAN命令参考”。《H3C WX系列无线控制器产品配置指导》“可靠性配置指导”。《H3C WX系列无线控制器产品配置指导》“可靠性命令参考”。

第二篇：VRRP的典型配置示例

VRRP的典型配置示例

在图4所示的连接中，在设备R1与R2上配置了VRRP备份组来为内部网段192.168.201.0 /24提供VRRP服务，而在设备R3上没有配置VRRP而只是配置了普通路由功能。下面的配置中将只给出设备R1与R2的VRRP相关配置。

图4 建立VRRP环境的网络连接示意图

在下面的配置示例中，设备R3的配置是不变的。下面给出设备R3的配置：

Ruijie# configure terminal

Ruijie(config)# interface gigabitEthernet 0/0 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 192.168.12.217 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 1/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 60.154.101.5 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 2/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 202.101.90.61 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# router ospf 1

Ruijie(config-router)# network 202.101.90.0 0.0.0.255 area 10 Ruijie(config-router)# network 192.168.12.0 0.0.0.255 area 10 Ruijie(config-router)# network 60.154.101.0 0.0.0.255 area 10 Ruijie(config-router)# end

VRRP单备份组配置示例

按照图4建立连接。在这个配置示例中，用户工作站群(192.168.201.0/24)使用设备R1与R2组成 的备份组，并将其网关指向该备份组设置的虚拟设备的IP地址192.168.201.1，经由虚拟设备192.168.201.1访问远程用户工作站群(其工作网络为192.168.12.0 /24)。在这里R1被设置成VRRP的Master设备。正常情况下，设备R1作为活动设备提供网关(192.168.201.)的功能，当设备R1由于关机或者出现故障而不可到达时，设备R2将替代它来提供网关(192.168.201.1)的功能。下面分别给出设备R1与R2的相关配置。

设备R1的配置：

Ruijie# configure terminal

Ruijie(config)# interface gigabitEthernet 0/0 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 192.168.201.217 255.255.255.0 Ruijie(config-if)# vrrp 1 priority 120

Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 2/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 202.101.90.63 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# router ospf 1

Ruijie(config-router)# network 202.101.90.0 0.0.0.255 area 10 Ruijie(config-router)# network 192.168.201.0 0.0.0.255 area 10

设备R2的配置：

Ruijie# configure terminal

Ruijie(config)# interface GigabitEthernet 0/0 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 192.168.201.213 255.255.255.0 Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 1/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 60.154.101.3 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# router ospf 1

Ruijie(config-router)# network 60.154.101.0 0.0.0.255 area 10 Ruijie(config-router)# network 192.168.201.0 0.0.0.255 area 10 Ruijie(config-router)# end

可见，设备R1与R2同处于VRRP备份组1中，指向相同的虚拟设备的IP地址(192.168.201.1)并且均处于VRRP的抢占模式下。由于设备R1的VRRP备份组优先级为120，而设备R2的VRRP备份组优先级取默认值100，所以设备R1在正常情况下充当VRRP的Master设备。

使用VRRP监视接口配置示例

按照图4建立连接。在这个配置示例中，用户工作站群(192.168.201.0/24)使用设备R1与R2组成的备份组，并将其网关指向该备份组设置的虚拟设备的IP地址192.168.201.1，经由虚拟设备192.168.201.1访问远程用户工作站群(其工作网络为192.168.12.0/24)。在这里R1被设置成VRRP的Master设备。与单备份组配置示例不同的是，在这个配置示例中，设备R1中设置了VRRP监视接口GigabitEthernet 2/1。正常情况下，设备R1作为活动设备提供虚拟网关(192.168.201.1)的功能，当设备R1由于关机或者出现故障而不可到达时，设备R2将替代它来

提供虚拟网关(也就是虚拟设备的地址192.168.201.1)的功能。特别的是在设备R1的与广域网的接口GigabitEthernet 2/1不可用的时候，设备R1将会按照设置降低自己的VRRP备份组的优先级，从而使得设备R2有机会成为主动设备并提供虚拟网关(192.168.201.1)的功能；如果此后设备R1与广域网的接口GigabitEthernet 2/1恢复正常，那么设备R1将恢复自己的VRRP备份组优先级再次成为主动设备并提供虚拟网关的功能。下面分别给出设备R1与R2的相关配置。

设备R1的配置：

Ruijie# configure terminal

Ruijie(config)# interface gigabitEthernet 0/0 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 192.168.201.217 255.255.255.0 Ruijie(config-if)# vrrp 1 priority 120

Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 ip 192.168.201.1

Ruijie(config-if)# vrrp 1 track GigabitEthernet 2/1 30 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 2/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 202.101.90.63 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# router ospf 1

Ruijie(config-router)# network 202.101.90.0 0.0.0.255 area 10 Ruijie(config-router)# network 192.168.201.0 0.0.0.255 area 10 Ruijie(config-router)# end

设备R2的配置：

Ruijie# configure terminal

Ruijie(config)# interface gigabitEthernet 0/0 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 192.168.201.213 255.255.255.0 Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 1/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 60.154.101.3 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# router ospf 1

Ruijie(config-router)# network 60.154.101.0 0.0.0.255 area 10 Ruijie(config-router)# network 192.168.201.0 0.0.0.255 area 10 Ruijie(config-router)# end

可见，设备R1与R2同处于VRRP备份组1中，使用相同的VRRP备份组验证模式(无验证模式)、指向相同的虚拟IP地址(192.168.201.1)并且均处于VRRP的抢占模式下。设备R2与设备R2的VRRP的广告(Advertisement)间隔均为3秒。正常情况下，由于设备R1的VRRP备份组优先级为120，而设备R2的VRRP备份组优先级取默认值100，所以设备R1在正常情况下充当Master设备。如果设备R1在作为Master设备状态下发现与广域网的接口GigabitEthernet 2/1不可用，设备R1将降低自己的VRRP备份组优先级30而成为90，这样设备R2就会成为Master设备。如果在此后，设备R1发现自己的与广域网的接口

GigabitEthernet 2/1恢复可用，就增加自己的VRRP备份组优先级30而恢复到120，这样设备R1将再次成为主设备。

VRRP多备份组配置示例

除了单备份组，RGNOS还允许在同一个以太网接口上配置多个VRRP备份组。使用多备份组，有着显而易见的好处：可以实现负载均衡同时通过互相备份来提供更稳定可靠的网络服务。按照图4建立连接。在这个配置示例中，用户工作站群(192.168.201.0/24)使用设备R1与R2组成的备份组，其中部分用户工作站(如A)将其网关指向备份组1的虚拟IP地址192.168.201.1，部分用户工作站(如C)则将其网关指向备份组2的虚拟IP地址192.168.201.2。设备R1在备份组2中作为主设备，在备份组1中作为备份设备；而设备R2在备份组2中作为备份设备，在备份组1中作为主设备。下面给出设备R1与R2相关的配置。

设备R1的配置：

Ruijie# configure terminal

Ruijie(config)# interface gigabitEthernet 0/0 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 192.168.201.217 255.255.255.0 Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 2 priority 120

Ruijie(config-if)# vrrp 2 timers advertise 3 Ruijie(config-if)# vrrp 2 ip 192.168.201.2

Ruijie(config-if)# vrrp 2 track GigabitEthernet 2/1 30 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 2/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 202.101.90.63 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config-router)# router ospf

Ruijie(config-router)# network 202.101.90.0 0.0.0.255 area 10 Ruijie(config-router)# network 192.168.201.0 0.0.0.255 area 10 Ruijie(config-router)# end

设备R2的配置：

Ruijie# configure terminal

Ruijie(config)# interface Loopback 0

Ruijie(config-if)# ip address 20.20.20.5 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 0/0 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 192.168.201.213 255.255.255.0 Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 priority 120

Ruijie(config-if)# vrrp 2 ip 192.168.201.2 Ruijie(config-if)# vrrp 2 timers advertise 3 Ruijie(config-if)# exit

Ruijie(config)# interface GigabitEthernet 1/1 Ruijie(config-if)# no switchport

Ruijie(config-if)# ip address 60.154.101.3 255.255.255.0 Ruijie(config-if)# exit

Ruijie(config)# router ospf

Ruijie(config-router)# network 60.154.101.0 0.0.0.255 area 10 Ruijie(config-router)# network 192.168.201.0 0.0.0.255 area 10 Ruijie(config-router)# end

可见设备R2与R2相互备份，而且二者分别在VRRP备份组1与2中成为主设备提供不同的虚拟网

关功能。

VRRP的故障诊断与排除

VRRP的如果出现故障可以通过考察配置以及调试信息来分析和解决。以下是常见的故障的分析说明：

故障现象：虚拟IP地址Ping不通 故障分析：

必须确保备份组内至少有一台设备处于活动状态；

如果在其它网络设备上Ping 虚拟IP 地址不通则可能由于以下原因引起: 由于VRRP状态的转换需要短暂时间这可以通过show vrrp 命令考察VRRP信息来确认； 如果本地网络设备与虚拟设备位于同一网段就需要考察本地网络设备的ARP表中是否有虚拟IP地址的ARP项，如果没有就需要检查网络线路； 如果本地网络设备与虚拟设备不在同一网段则需要确认在本地网络设备上是否有到虚拟IP地址的路由； 故障现象：同一个VRRP备份组内出现多个Master设备 故障分析：

同一VRRP备份组内各设备以太网接口上VRRP组验证模式不同；

同一VRRP备份组内各设备以太网接口上VRRP组验证模式相同均为明文密码模式，但是验证字符串不一致；

同一VRRP备份组内存在设备的以太网口电缆断开，但是设备未能检测到以太网口电缆已经断开； 同一个VRRP备份组内设备上VRRP的广告发送间隔不一致，并且未设置定时器学习功能； 同一个VRRP备份组内设备上VRRP的虚拟IP地址不一致。

第三篇：H3C+SSL+VPN典型配置举例

目录 1 介绍 1.1 特性简介 1.2 特性关键技术点 2 特性使用指南 2.1 使用场合 2.2 配置指南 2.3 配置步骤

2.3.1 SSL VPN命令行基本配置 2.4 注意事项 3 支持的设备和版本 3.1 支持的设备清单 4 配置举例 4.1 组网需求 4.2 物理连接图 4.3 设备基本命令行配置

4.3.1 Secblade SSL VPN命令行配置 4.3.2 SecPath SSL VPN命令行配置 4.4 Web业务典型配置举例

4.4.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

4.4.2 登录普通域 4.4.3 配置Web业务资源

4.4.4 创建资源组，并把已配置的资源加入到资源组 4.4.5 创建用户、用户组，并把资源组和用户组关联起来 4.4.6 Web业务验证结果 4.5 TCP业务典型配置举例

4.5.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

4.5.2 登录普通域 4.5.3 配置TCP业务资源

4.5.4 创建资源组，并把已配置的资源加入到资源组 4.5.5 创建用户、用户组，并把资源组和用户组关联起来 4.5.6 TCP业务验证结果 4.5.7 TCP业务故障排除 4.6 IP业务典型配置举例

4.6.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

4.6.2 登录普通域 4.6.3 配置IP业务资源

4.6.4 创建资源组，并把已配置的资源加入到资源组 4.6.5 创建用户、用户组，并把资源组和用户组关联起来 4.6.6 IP业务验证结果 4.6.7 IP业务故障排除 4.7 认证策略典型配置举例

4.7.1 Radius认证（其他认证服务器）4.7.2 Radius认证（CAMS作为服务器）4.7.3 LDAP认证 4.7.4 AD认证 4.7.5 组合认证特性

4.7.6 USB-Key智能卡证书认证方式 4.7.7 证书序列号与用户名绑定 4.8 安全评估及动态授权配置举例 4.8.1 安全评估 4.8.2 动态授权 4.9 其他特色功能 4.9.1 批量导入用户帐户 4.9.2 个性化设置

4.9.3 控制远程主机登录后访问外网功能 4.9.4 guest帐户功能 4.9.5 证书管理功能 4.9.6 证书认证自动登录 4.9.7 自动打开资源特性 4.9.8 自动登录门户特性 4.9.9 单点登录特性 4.9.10 日志管理特性

4.9.11 SSL VPN支持MPLS VPN特性（仅SecPath SSL VPN支持）4.9.12 SSL卸载特性（仅SecBlade SSL VPN支持）4.9.13 License特性（仅SecBlade SSL VPN支持）5 相关资料

5.1 相关协议和标准 5.2 其它相关资料 1 介绍

H3C SSL VPN分为H3C SecPath SSL VPN和H3C SecBlade SSL VPN插卡两类形态的设备。下文中的配置无特殊说明则表示该配置两类设备均支持。如果该配置只有一类设备支持，会通过括号标注（如SecPath SSL VPN/ SecBlade SSL VPN)或不同的标题来区分。

1.1 特性简介

SSL通信的工作原理：SSL（Security Socket Layer，安全套接层）协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过握手协议、记录协议、警告协议来完成。

VPN（虚拟专用网）比租用专线更加便宜、灵活，越来越多的公司开始通过互联网等公共网络，采用VPN将公司总部和在家工作、出差在外、分公司员工以及合作伙伴连接到一起。

SSL VPN是一种新兴的VPN技术。SSL VPN指的是以SSL协议建立加密连接的VPN网络。SSL VPN考虑的是应用软件的安全性，其协议工作在传输层之上，保护的是应用程序与应用程序之间的安全连接，更多应用在Web的远程安全接入方面。SSL VPN系统用于实现对网络资源的细粒度的访问控制。在SSL VPN系统中，用户有三种方式可以访问资源：Web接入方式、TCP接入方式和IP接入方式。同时SSL VPN系统采用基于角色的权限管理方法，可以根据用户登录的身份，限制用户可以访问的资源。另外，SSL VPN系统通过安全策略的检查，来检测接入PC的安全性，进而实现动态分配用户可访问权限。SSL VPN网关支持Web管理，管理员可以使用Web浏览器来配置和管理SSL VPN系统。

H3C SSL VPN系统是一款采用SSL连接建立的安全VPN系统，该系统为企业移动办公人员提供了便捷的远程接入服务。H3C SSL VPN设备是面向企业用户开发的新一代专业SSL VPN设备，可以作为企业的入口网关，也可以作为企业内部服务器群组的代理网关。SecPath SSL VPN主要面向中小型企业，而SecBlade SSL VPN主要面向大中型企业。

1.2 特性关键技术点

SSL VPN与传统VPN系统相比，有更好的易用性，无需用户配置、客户端免安装免维护、部署简单、安全性高、安全控制粒度大，极大地方便了企业的移动办公用户和网络管理。特性使用指南 2.1 使用场合

随着Internet的普及，在家办公和移动办公也开始兴起，大量的应用程序也迅速从C/S 结构向基于Web的B/S 结构迁移；公司员工、客户以及合作伙伴在外出实时安全地访问公司的内部信息和应用程序。SSL VPN实现了在任何地方灵活远程访问内部网络和应用程序。

2.2 配置指南

H3C SSL VPN系统有以下三类用户角色：

(1)超级管理员：系统域的管理员。可以创建新的域，并初始化域的管理员密码，给域授予资源组，并授权域是否能够创建新的资源。(仅SecBlade SSL VPN支持)。

(2)域管理员：SSL VPN域管理员。主要是对一个域的所有用户进行权限访问限制。域管理员可创建和删除域的本地用户、用户组、资源、资源组和安全策略等。

(3)SSL VPN用户：使用SSL VPN访问网络资源的用户。SSL VPN用户登录时，需要通过SSL VPN网关对其进行认证。用户认证通过后，SSL VPN用户可以访问SSL VPN网关根据用户的安全状况、用户所属的用户组授权给用户的内网资源。在配置之前需要先理清上面各角色之间，以及本地用户、用户组、资源、资源组之间的关系，关系图如下： 图1 角色关系图

设备默认存在一个ROOT域，超级管理员可以创建域和资源。对于资源，一方面：超级管理员创建资源，指定资源属于哪个资源组，并把自己创建的ROOT域资源组授予某个域；另一方面：超级管理员授予域管理员是否能够创建新的资源的权限。（仅SecBlade SSL VPN支持）。

对于能够创建新的资源的域管理员，可以创建并维护自己的资源、资源组、本地用户及用户组，资源和资源组之间以及用户和用户组之间为多对多关系，即一个资源可以属于多个组，一个组可以拥有多个资源。通过配置关联资源组和用户组，指定哪些用户组可以访问哪些资源组，两组之间同样是多对多关系。

根域（ROOT域）和超级管理员只在SecBlade SSL VPN上支持，SecPath SSL VPN仅支持一个域。

SecBlade SSL VPN支持多域。除默认存在的根域外，系统允许创建的普通域的最大数目参见产品规格。

当前SecBlade SSL VPN 共有三款设备，分别应用于S7500E、S9500和SR6600；这几款设备的主要区别仅在于：S7500E的SSL VPN插卡使用4个GE口与75E背板进行通信，而S9500/SR6600的SSL VPN插卡则使用1个XGE口与S9500/SR6600背板进行通信。软件功能上没有区别。手册的以下关于SecBlade SSL VPN部分均以S7500E插卡为例进行说明。

2.3 配置步骤

配置SSL VPN，需要配置以下内容：

 命令行基本配置。

超级管理员界面相关功能配置（仅SecBlade SSL VPN支持）。域管理员界面相关功能配置。普通用户界面配置。





后面三种配置皆为Web配置，此处就不列出配置步骤，直接举实例。

2.3.1 SSL VPN命令行基本配置

用户可在命令行进行基本配置，主要包括启动Web服务器和SSL VPN服务。默认情况下系统会自动启动Web服务器和SSL VPN服务，而无需用户手动输入命令进行启动。

设备上需要做如下配置：

 启动Web服务器。启动SSL VPN服务。

2.4 注意事项

图2 配置管理

在Web页面上进行的相关配置，配置完成后必须将“配置文件”保存，否则设备重启后，配置丢失；   可以把当前配置保存到“配置文件”和“备份文件”中； 如果想把“备份文件”替换为“配置文件”，选择“恢复”； 选择“重启”，则重启域，使新的配置文件生效。

 支持的设备和版本

3.1 支持的设备清单

 Secblade：

H3C S7500E LSQ1SSLSC0单板，H3C S9500 LSB1SSL1A0单板，H3C SR6600 SPE-SSL单板

 SecPath：

内置SSL 加密卡的设备：Secpath V100-E 需选配外置加密卡的设备：Secpath F100-A、Secpath F100-A-SI、Secpath F100-E、Secpath F100-M、Secpath F1000-A、Secpath V1000-A、Secpath F1000-S 4 配置举例

4.1 组网需求 采用双臂模式：SSL VPN网关跨接在内网和外网之间，对内网的保护最完全。但是，此时网关处在内外通讯的关键路径上，其性能和稳定性对内外网之间的数据传输有很大的影响。双臂模式的组网如下图所示： 图3 双臂模式SSL VPN 组网图

采用单臂模式：SSL VPN网关只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。此时SSL VPN网关不在网络通讯的关键路径上，不会造成单点故障。单臂模式的组网如下图所示： 图4 单臂模式SSL VPN 组网图

4.2 物理连接图

测试组网：

图5 SecBlade SSL VPN单臂模式测试组网图

图6 SecPath SSL VPN双臂模式测试组网图

4.3 设备基本命令行配置

4.3.1 Secblade SSL VPN命令行配置

1.75E上的基本配置

[S7503E]vlan 100 //*端口相关的配置请结合上图*// [S7503E-vlan100]port GigabitEthernet 3/0/1 [S7503E-vlan100]port GigabitEthernet 4/0/1 [S7503E-vlan100]quit [S7503E]interface vlan 100 [S7503E-Vlan-interface100]ip address 172.1.1.3 24 [S7503E-Vlan-interface100]quit [S7503E]vlan 200 [S7503E-vlan200]port GigabitEthernet 4/0/13 [S7503E-vlan200]quit [S7503E]inter vlan 200 [S7503E-Vlan-interface200]ip address 172.2.1.1 24 [S7503E-Vlan-interface200]quit [S7503E]ip route-static 10.5.1.0 24 172.1.1.2 //*配置到虚地址网段的路由指

向SSLVPN插卡，供从内网返回的数据转发*// [S7503E]ip route-static 0.0.0.0 0 172.1.1.1 //*配置到公网的路由*// [S7503E]ip route-static 192.168.0.0 16 172.2.1.2 [S7503E]ip route-static 10.0.0.0 8 172.2.1.2 [S7503E]interface g3/0/1 [S7503E-GigabitEthernet3/0/1]speed 1000 [S7503E-GigabitEthernet3/0/1]duplex full //*配置与插卡通信的背板接口为强制模式，保证端口 up*// [S7503E-GigabitEthernet3/0/1]quit 2.SSL VPN插卡上的基本配置

[H3C]interface GigabitEthernet 0/0/0 [H3C-GigabitEthernet0/0/0]ip address 172.1.1.2 24 [H3C-GigabitEthernet0/0/0]quit [H3C]ip route-static 0.0.0.0 0 172.1.1.3 [H3C]ntp-service unicast-server 172.1.1.3 //*SSLVPN插卡不支持本地时钟，设备默认时间为 202_年，此处不配置会导致证书过期*//

3.NAT-IN节点网关的相关路由配置

[H3C]ip route-static 10.5.1.0 24 172.2.1.1 //*配置到虚地址网段的路由*// [H3C]ip route-static 172.1.1.0 24 172.2.1.1 4.SSL VPN插卡上的业务相关配置（默认情况下，系统会自动启动Web服务器和SSL VPN服务而无需用户手动输入以下命令进行启动）[H3C] svpn service enable //*启动SSL VPN服务*// [H3C] Web server enable // *启动Web服务器*//

SecBlade SSL VPN目前应用于75E、95和SR66上，一般处于内网位置，所以组网配置为单臂模式； 

若实际组网中不存在NAT-IN节点，则需要在内网各节点配置路由，保证到10.5.1.0/24网段路由可达（即到虚地址网段路由可达）； 

由于上述配置只采用了SecBlade SSL VPN 75E的一个GE口，而SecBlade SSL VPN 95/SR66只有一个10GE口，所以上述配置可直接应用于SecBlade SSL VPN 95/SR66。

4.3.2 SecPath SSL VPN命令行配置

1.基本配置

[H3C] interface Ethernet0/0 [H3C-Ethernet0/0] ip address 192.168.96.22 255.255.255.0 [H3C-Ethernet0/0] quit [H3C] interface Ethernet0/1 [H3C-Ethernet0/1] ip address 155.1.1.1 255.0.0.0 [H3C-Ethernet0/1] quit [H3C] ip route-static 0.0.0.0 0 155.1.1.1 preference 60 2.svpn相关配置（默认情况下系统会自动启动Web服务器和SSL VPN服务而无需用户手动输入以下命令进行启动）

[H3C] svpn service enable //*启动SSL VPN服务*// [H3C] Web server enable // *启动Web服务器*// 4.4 Web业务典型配置举例

4.4.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

(1)在地址栏中输入SSL VPN 网关连接外网的端口地址

“https://155.1.1.1:444”，回车后，即可进入SSL VPN登录页面：（注意会弹出证书认证界面，此时选择“是”）图7 安全告警（点击“是”）

使用缺省超级管理员帐户“administrator”以本地认证方式登录SSL VPN系统，在用户名栏输入“administrator”，密码栏输入“administrator”，身份下拉框选择“超级管理员”，单击<登录>按钮即可登录。如下图所示。图8 SSL VPN登录页面

(2)超级管理员创建域h3c，设置域管理员初始密码

在导航栏中选择“域管理”，进入域策略配置页面，单击<创建>按钮可以新建域，单击<配置>按钮可以对已有的域进行配置。图9 创建域

创建域“h3c”，创建域时产生一个默认管理员“administrator”，此时需要设置该默认管理员的密码（如：123456）。同时可以设置该域的超时时间（30）和最大在线用户数（100）。超级管理员可以把已经创建的资源组授予新创建的域，同时允许域h3c的管理员创建资源。

(3)超级管理员配置完成后，必须将“配置文件”保存，否则设备重启后，配置丢失。图10 配置管理

域管理员配置完成后，同样必须将“配置文件”保存，否则设备重启使配置丢失。

4.4.2 登录普通域

该典型配置指导中的所有配置均是在普通域中完成。(1)SecBlade SSL VPN: 同超级管理员登录页面，输入域缺省管理员帐户以本地认证方式登录SSL VPN普通域，在用户名栏输入“administrator”，密码栏输入“123456”（创建域时设置），身份选择“管理员”，单击<登录>按钮即可登录。图11 域管理员登录

属于管理员用户组的用户为该域的管理员，所以管理员同时也是普通用户。如果管理员选择以“普通用户”身份登录，可以进入到该管理员的普通用户界面。在普通用户界面下，其可访问的资源，受域管理员组所拥有资源的限制。(2)SecPath SSL VPN: 在地址栏输入https://155.1.1.1/admin打开登录页面，输入缺省域管理员帐户 “administrator”，密码“administrator”，单击<登录>按钮即可登录。图12 域管理员登录

4.4.3 配置Web业务资源

Web网页是远程Web服务器提供的一种服务。SSL VPN的Web代理服务器为用户访问Web服务器提供了一种安全的链接方式，并且可以阻止非法用户访问受保护的Web服务器。

在导航栏中选择“资源管理->Web网站”，进入Web代理服务器管理页面。单击<创建>按钮可以创建新的Web资源。图13 创建Web代理资源

“站点名称”可以配置为ip地址，也可以配置为域名，配置为域名时必须在命令行下正确配置DNS 服务器。

站点匹配模式可以使用“模糊匹配”。此例中，站点匹配模式可以配置成“tech.*”进行模糊匹配，保证下挂在同一网站下的网页能够完全正常使用。更明显的例子是需要访问www.teniu.cc、news.sina.com.cn等网页，则只需在“站点匹配模式”下配置“*.sina.com.cn”。若需要增加多个模糊匹配条件，中间用“|”分隔即可。  创建成功后返回如下Web服务器资源列表。

图14 Web代理服务器列表

4.4.4 创建资源组，并把已配置的资源加入到资源组

在导航栏中选择“资源管理->资源组”，进入资源组管理页面，单击<创建>按钮创建新的资源组。

输入资源组名“Web”，将已配置资源 “tech”加入资源组“Web”；单击<应用>完成操作。图15 创建资源组

4.4.5 创建用户、用户组，并把资源组和用户组关联起来

在导航栏中选择“用户管理->本地用户”，进入本地用户页面。

图16 创建用户

创建成功后返回本地用户列表如下图所示： 图17 用户列表

在导航栏中选择“用户管理->用户组”，进入用户组页面，单击<创建>按钮创建新的用户组。

 输入用户组名“usergroup”。将用户“user1” 加入用户组。

将资源组“Web” 赋予用户组“usergroup”。



单击<应用>完成操作。图18 创建用户组

此时用户组“usergroup”中的用户“svpn”可以访问资源组“Web”中的所有资源。

4.4.6 Web业务验证结果

(1)普通用户登录

输入“https://155.1.1.1”打开用户登录界面，在用户名栏输入管理员创建的用户名 “svpn”，在“密码”框中输入密码。单击<登录>按钮即可登录。图19 可访问Web类资源

(2)远程用户成功访问Web代理业务

例如：Web资源 “tech”，点击即可打开页面，且URL成功替换：https://155.1.1.1/sslvpn/proxy /1275152384/ 图20 Web代理访问

4.5 TCP业务典型配置举例

4.5.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

参照4.4 Web业务典型配置举例

4.5.2 登录普通域

参照4.4 Web业务典型配置举例

4.5.3 配置TCP业务资源

1.远程访问服务

远程访问服务是一类服务的总称，SSL VPN使用SSL加密技术，将这些在Internet上以明文方式传输的服务通过SSL来进行加密，保证了数据传输的安全性。在导航栏中选择“资源管理->TCP应用”，进入远程访问服务配置页面，单击<创建>按钮可以新建远程访问服务资源。图21 创建远程访问服务资源

“命令行”配置： telnet “本机主机”，此处“本机主机”是指用来连接远端主机的本地监听地址，可以配置为本地环回地址（127.0.0.2-127.0.0.254；当本地主机允许修改host文件时，也可以配置为字符串）。创建TCP资源成功后会返回如下资源列表： 图22 远程访问服务资源

2.Windows桌面共享

在导航栏中选择“资源管理->TCP应用”，进入桌面共享配置页面，单击<创建>按钮可以新建windows桌面共享资源。图23 创建Windows桌面共享资源

创建成功后返回远程桌面资源列表： 图24 Windows桌面共享资源

3.Outlook邮件服务

在导航栏中选择“资源管理->TCP应用”，进入电子邮件服务资源配置页面，单击<创建>按钮新建Outlook邮件服务资源 图25 创建Outlook邮件服务资源

创建成功后返回邮件服务资源列表： 图26 Outlook邮件服务资源

4.Notes邮件服务

在导航栏中选择“资源管理->TCP应用”，进入Notes邮件服务资源配置页面，单击<创建>按钮新建Notes邮件服务资源，且配置“本地地址”必须为数据库的实际地址或真实域名。图27 创建Notes邮件服务资源

创建成功后返回notes邮件服务资源列表如下图所示： 图28 Notes邮件服务资源

5.通用应用程序服务

导航栏中选择“资源管理->TCP应用”，进入TCP服务配置页面，单击<创建>按钮可以新建通用应用程序服务资源。图29 创建通用应用程序服务

创建成功后返回通用应用服务资源列表如下： 图30 通用应用程序服务

4.5.4 创建资源组，并把已配置的资源加入到资源组

参照4.4 Web业务典型配置举例 图31 创建TCP资源组

4.5.5 创建用户、用户组，并把资源组和用户组关联起来

参照4.4 Web业务典型配置举例

4.5.6 TCP业务验证结果

(1)普通用户“svpn” 登录后，默认启动TCP 客户端，可以通过“信息”查看端口监听情况。图32 TCP接入状态

图33 TCP端口监听

(2)普通用户登录后，出现所有TCP可访问资源。图34 TCP应用类可访问资源

(3)点击TCP应用类资源“telnet远程访问”，即可telnet到远程设备上 图35 telnet远程访问

(4)点击TCP应用类资源“Win桌面共享”，即可登录到远程主机上 图36 Win桌面共享

(5)TCP应用类资源“POP3”，“SMTP”的使用，需要在客户机Outlook的pop3和smtp服务器地址里进行配置，分别为资源 “POP3-A”，“SMTP-A”，通过用户名密码登录，即可正常处理邮件。图37 Outlook 邮件服务器配置

(6)TCP应用类资源“通用应用资源”，在资源里直接点击即可访问该资源。图38 通用应用http访问

4.5.7 TCP业务故障排除

(1)TCP资源配置时，命令行可不填写，如果填写，必须为操作系统可识别的命令；

(2)TCP业务下，客户端要成功访问邮件需要配置Outlook后才能使用。且邮件服务使用SMTP和POP3这两个端口通信，所以还需要创建两条资源；(3)不同操作系统的应用程序位置不一样。

4.6 IP业务典型配置举例

4.6.1 超级管理员创建域，并设置域管理员初始密码（仅SecBlade SSL VPN支持）

参照4.4 Web业务典型配置举例

4.6.2 登录普通域 参照4.4 Web业务典型配置举例

4.6.3 配置IP业务资源

SSL VPN网络服务访问提供了IP层以上的所有应用支持。用户不需要关心应用的种类和配置，仅通过登录SSL VPN，即可自动下载并启动ActiveX SSL VPN客户端程序，然后便可以安全访问特定主机的所有服务。SSL VPN可以保证用户与服务器间的通讯安全。1.全局配置

在导航栏中选择“资源管理->IP网络”，标签栏中选择“全局配置”，进入全局配置页面：

(1)Secblade SSL VPN： 图39 IP全局配置

“起始IP”、“结束IP”为当客户端登录后，设备分配给客户端的虚地址网段。“网关地址”为客户端访问指定网络资源时的默认网关。上述配置为必须配置，“基本信息配置”中的各字段则可根据需要进行配置。其中心跳时间为IP客户端向网关发送心跳报文的时间间隔；客户端是否可达允许设置不同的登录用户之间是否可以通过IP接入相互通信；WINS地址和DNS地址为网关下发给用户虚网卡的WINS和DNS地址；只允许访问VPN可以设置用户上线后是否能够同时访问Internet；用户网络服务显示方式可以设置用户上线后资源页面是显示IP资源的描述信息还是IP地址信息。(2)SecPath SSL VPN： 图40 IP全局配置

“起始IP”、“结束IP”为当客户端登录后，设备分配给客户端的虚地址网段。“网关地址”为客户端访问指定网络资源时的默认网关。内部接口指网关与内网相连的接口。指定内部接口并启用自动NAT后，系统自动在内部接口上配置NAT，而不需要在其他内网设备上添加指向虚网段的回程路由。上述配置为必选配置，“基本信息配置”中的各字段则可根据需要进行配置。其中心跳时间为IP客户端向网关发送心跳报文的时间间隔；客户端是否可达允许设置不同的登录用户之间是否可以通过IP接入相互通信；WINS地址和DNS地址为网关下发给用户虚网卡的WINS和DNS地址；只允许访问VPN可以设置用户上线后是否能够同时访问Internet；用户网络服务显示方式可以设置用户上线后资源页面是显示IP资源的描述信息还是IP地址信息。2.用户ip 绑定

在导航栏中选择“资源管理->IP网络”，标签栏中选择“全局配置->用户IP绑定”，进入全局配置页面，如图所示。图41 Secblade用户IP绑定列表

图42 SecPath用户IP绑定列表

为用户绑定固定IP后，用户登录后系统不会再从地址池中为用户虚网卡分配地址，而是直接把绑定的IP分配给用户。

3.主机配置

在导航栏中选择“资源管理->IP网络”，进入主机配置页面，如图所示。单击<创建>按钮，输入主机资源名称，单击<应用>按钮创建一个主机资源，图43 主机配置允许访问网络

图44 主机配置快捷方式

“允许访问的网络服务”和“快捷方式”在编辑区配置完后，需要点击<添加>。另外IP网络，可以进行各种业务的快捷方式访问：ping、ftp、文件共享等。

4.6.4 创建资源组，并把已配置的资源加入到资源组

图45 把IP资源加入资源组

4.6.5 创建用户、用户组，并把资源组和用户组关联起来

参照4.4 Web业务典型配置举例

4.6.6 IP业务验证结果

(1)普通用户svpn 登录后默认启动IP 客户端，通过查看客户端数据判断启动情况。

图46 IP客户端状态

第四篇：802.1X典型配置举例

1.11 802.1X典型配置举例

1.11.1 802.1X认证配置举例

1.组网需求

用户通过Device的端口GigabitEthernet2/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：

 由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。

 端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。 认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。 所有接入用户都属于同一个ISP域bbb。

 Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2.组网图

图1-12 802.1X认证组网图

3.配置步骤

(1)配置各接口的IP地址（略）(2)配置本地用户

# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置） system-view

[Device] local-user localuser class network [Device-luser-network-localuser] password simple localpass # 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access [Device-luser-network-localuser] quit(3)配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1 [Device-radius-radius1] primary accounting 10.1.1.1 # 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2 [Device-radius-radius1] secondary accounting 10.1.1.2 # 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。[Device-radius-radius1] key authentication simple name [Device-radius-radius1] key accounting simple money # 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain [Device-radius-radius1] quit(4)配置ISP域

# 创建域bbb并进入其视图。[Device] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费，并采用local作为备选方法。[Device-isp-bbb] authentication lan-access radius-scheme radius1 local [Device-isp-bbb] authorization lan-access radius-scheme radius1 local [Device-isp-bbb] accounting lan-access radius-scheme radius1 local [Device-isp-bbb] quit(5)配置802.1X # 开启端口GigabitEthernet2/0/1的802.1X。[Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] dot1x # 配置端口的802.1X接入控制方式为mac-based（该配置可选，因为端口的接入控制在缺省情况下就是基于MAC地址的）。[Device-GigabitEthernet2/0/1] dot1x port-method macbased # 指定端口上接入的802.1X用户使用强制认证域bbb。

[Device-GigabitEthernet2/0/1] dot1x mandatory-domain bbb [Device-GigabitEthernet2/0/1] quit # 开启全局802.1X。[Device] dot1x

4.验证配置

使用命令display dot1x interface可以查看端口GigabitEthernet2/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后，可使用命令display dot1x connection查看到上线用户的连接情况。

1.11.2 802.1X支持Guest VLAN、授权VLAN下发配置举例

1.组网需求

如图1-13所示，一台主机通过802.1X认证接入网络，认证服务器为RADIUS服务器。Host接入Device的端口GigabitEthernet2/0/2在VLAN 1内；认证服务器在VLAN 2内；Update Server是用于客户端软件下载和升级的服务器，在VLAN 10内；Device连接Internet网络的端口GigabitEthernet2/0/3在VLAN 5内。现有如下组网需求：

 在接口上配置完Guest VLAN，则立即将该端口GigabitEthernet2/0/2加入Guest VLAN（VLAN 10）中，此时Host和Update Server都在VLAN 10内，Host可以访问Update Server并下载802.1X客户端。

 用户认证成功上线后，认证服务器下发VLAN 5，此时Host和连接Internet网络的端口GigabitEthernet2/0/3都在VLAN 5内，Host可以访问Internet。

2.组网图

图1-13 Guest VLAN及VLAN下发组网图

3.配置步骤

 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令，关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

 保证接入端口加入Guest VLAN或授权VLAN之后，802.1X客户端能够及时更新IP地址，以实现与相应网络资源的互通。

 完成RADIUS服务器的配置，添加用户帐户，指定要授权下发的VLAN（本例中为VLAN 5），并保证用户的认证/授权/计费功能正常运行。

(1)创建VLAN并将端口加入对应VLAN system-view [Device] vlan 1 [Device-vlan1] port gigabitethernet 2/0/2 [Device-vlan1] quit [Device] vlan 10 [Device-vlan10] port gigabitethernet 2/0/1 [Device-vlan10] quit [Device] vlan 2 [Device-vlan2] port gigabitethernet 2/0/4 [Device-vlan2] quit [Device] vlan 5 [Device-vlan5] port gigabitethernet 2/0/3 [Device-vlan5] quit(2)配置RADIUS方案

# 创建RADIUS方案202_并进入其视图。[Device] radius scheme 202_

# 配置主认证/计费RADIUS服务器及其共享密钥。

[Device-radius-202_] primary authentication 10.11.1.1 1812 [Device-radius-202_] primary accounting 10.11.1.1 1813 [Device-radius-202_] key authentication simple abc [Device-radius-202_] key accounting simple abc # 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-202_] user-name-format without-domain [Device-radius-202_] quit(3)配置ISP域

# 创建域bbb并进入其视图。[Device] domain bbb

# 配置802.1X用户使用RADIUS方案202_进行认证、授权、计费。[Device-isp-bbb] authentication lan-access radius-scheme 202_ [Device-isp-bbb] authorization lan-access radius-scheme 202_ [Device-isp-bbb] accounting lan-access radius-scheme 202_ [Device-isp-bbb] quit(4)配置802.1X

# 开启端口GigabitEthernet2/0/2的802.1X。[Device] interface gigabitethernet 2/0/2 [Device-GigabitEthernet2/0/2] dot1x # 配置端口的802.1X接入控制的方式为portbased。

[Device-GigabitEthernet2/0/2] dot1x port-method portbased

# 配置端口的802.1X授权状态为auto。（此配置可选，端口的授权状态缺省为auto）[Device-GigabitEthernet2/0/2] dot1x port-control auto # 配置端口的 802.1X Guest VLAN为VLAN10。[Device-GigabitEthernet2/0/2] dot1x guest-vlan 10 [Device-GigabitEthernet2/0/2] quit # 开启全局802.1X。[Device] dot1x

4.验证配置结果

可以通过命令display dot1x interface查看端口GigabitEthernet2/0/2上Guest VLAN的配置情况。

在接口上配置完Guest VLAN，则该端口会被立即加入其所属的Guest VLAN，通过命令display vlan 10可以查看到端口GigabitEthernet1/0/2加入了配置的Guest VLAN（VLAN 10）。

在用户认证成功之后，通过命令display interface可以看到用户接入的端口GigabitEthernet2/0/2加入了认证服务器下发的VLAN 5中。

1.11.4 802.1X支持EAD快速部署典型配置举例（DHCP中继组网）

1.组网需求

某公司用户主机通过Device接入Internet，并通过DHCP服务器动态获取IP地址。目前，公司部署EAD解决方案，要求所有用户主机通过802.1X认证上网，因此需要所有主机上安装配套的802.1X客户端。由于网络中的用户主机数量较大，为减轻网络管理员安装以及升级802.1X客户端的工作量，在192.168.2.0/24网段部署一台Web服务器专门提供客户端软件下载。具体要求如下：

 未进行802.1X认证或者802.1X认证失败的用户，只能访问192.168.2.0/24网段，并可通过该网段内的DHCP服务器动态获取192.168.1.0/24网段的IP地址。

 未进行802.1X认证或者802.1X认证失败的用户通过浏览器访问非192.168.2.0/24网段的外部网络时，用户访问的页面均会被Device重定向至管理员预设的Web服务器页面，该Web服务器页面将提示用户进行802.1X客户端的下载。

 用户成功通过802.1X认证之后，可正常访问网络。

2.组网图

图1-15 802.1X支持EAD快速部署典型配置组网图

3.配置步骤

 完成DHCP服务器的配置，保证用户可成功获取192.168.1.0/24网段的IP地址。

 完成Web服务器的配置，保证用户可成功登录预置的Web页面进行802.1X客户端的下载。 完成认证服务器的配置，保证用户的认证/授权/计费功能正常运行。

(1)配置各接口的IP地址（略）(2)配置DHCP中继 # 使能DHCP服务。 system-view [Device] dhcp enable # 配置接口Vlan-interface2工作在DHCP中继模式。[Device] interface vlan-interface 2 [Device-Vlan-interface2] dhcp select relay # 配置接口Vlan-interface2对应DHCP服务器组1。

[Device-Vlan-interface2] dhcp relay server-address 192.168.2.2 [Device-Vlan-interface2] quit(3)配置RADIUS方案和ISP域 # 配置RADIUS方案。[Device] radius scheme 202_

[Device-radius-202_] primary authentication 10.1.1.1 1812 [Device-radius-202_] primary accounting 10.1.1.2 1813 [Device-radius-202_] key authentication simple abc [Device-radius-202_] key accounting simple abc [Device-radius-202_] user-name-format without-domain [Device-radius-202_] quit # 配置ISP域的AAA方法。[Device] domain bbb

[Device-isp-bbb] authentication lan-access radius-scheme 202_ [Device-isp-bbb] authorization lan-access radius-scheme 202_ [Device-isp-bbb] accounting lan-access radius-scheme 202_ [Device-isp-bbb] quit(4)配置802.1X # 配置Free IP。

[Device] dot1x ead-assistant free-ip 192.168.2.0 24 # 配置IE访问的重定向URL。

[Device] dot1x ead-assistant url http://192.168.2.3 # 全局使能EAD快速部署功能。[Device] dot1x ead-assistant enable # 开启全局802.1X。[Device] dot1x

# 开启端口GigabitEthernet2/0/1的802.1X。[Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] dot1x

第五篇：12-AP负载均衡典型配置举例

AP负载均衡典型配置举例

Copyright © 202_ 杭州华三通信技术有限公司 版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目 录 简介 ······························································································································· 1 2 配置前提 ························································································································· 1 3 会话模式的负载均衡配置举例 ····························································································· 1

3.1 组网需求 ······················································································································ 1 3.2 配置思路 ······················································································································ 2 3.3 配置注意事项 ················································································································ 2 3.4 配置步骤 ······················································································································ 2

3.4.1 AC的配置 ··········································································································· 2 3.4.2 Switch的配置 ······································································································ 4 3.5 验证配置 ······················································································································ 5 3.6 配置文件 ······················································································································ 5 流量模式的负载均衡配置举例 ····························································································· 6

4.1 组网需求 ······················································································································ 6 4.2 配置思路 ······················································································································ 7 4.3 配置注意事项 ················································································································ 7 4.4 配置步骤 ······················································································································ 7

4.4.1 AC的配置 ··········································································································· 7 4.4.2 Switch的配置 ······································································································ 9 4.5 验证配置 ···················································································································· 10 4.6 配置文件 ···················································································································· 10 相关资料 ······················································································································· 12

i 1 简介

本文档介绍了AP负载均衡配置举例。配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN RRM特性。会话模式的负载均衡配置举例

3.1 组网需求

如图1所示，无线网络中AC下关联两台AP，三层交换机Switch作为DHCP服务器为AP和Client分配IP地址。要求AP之间根据客户端数量进行负载分担，当AP关联的客户端数量达到3个，且AP之间关联的无线客户端数量差值达到2个时，如果需要上线的客户端处在AP 1和AP 2的信号重叠区，则AP启动负载均衡。图1 会话模式的负载均衡组网图

ACSwitchDHCP serverAP 1AP 2Client 1Client 3Client 2Client 4 3.2 配置思路

为避免AP负载均衡拒绝客户端关联请求次数过多，使客户端上线时间过长，需要配置AP拒绝客户端关联请求的最大次数。

3.3 配置注意事项

  配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

每个AP上必须绑定相同的服务模板，并且保证各个radio开启的模式是一样的。

3.4 配置步骤

3.4.1 AC的配置

(1)配置AC的接口

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view [AC] vlan 100 [AC-vlan100] quit [AC] interface vlan-interface 100 [AC-Vlan-interface100] ip address 192.168.100.1 255.255.255.0 [AC-Vlan-interface100] quit # 创建VLAN 200作为ESS接口的缺省VLAN，同时作为Client接入的业务VLAN，IP地址为192.168.200.1/24。

[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface 200 [AC-Vlan-interface200] ip address 192.168.200.1 255.255.255.0 [AC-Vlan-interface200] quit(2)配置负载均衡

# 配置GigabitEthernet1/0/1接口的链路类型为Hybrid，允许VLAN 100和VLAN 200的报文通过，并且发送这些VLAN的报文时携带VLAN Tag。

[AC] interface gigabitethernet 1/0/1 [AC-GigabitEthernet1/0/1] port link-type hybrid [AC-GigabitEthernet1/0/1] port hybrid vlan 100 200 tagged [AC-GigabitEthernet1/0/1] quit # 进入RRM视图。

[AC] wlan rrm # 配置会话门限值为3，会话差值门限为2，当AP之间客户端差值为2以上时，认为处于不均衡状态。

[AC-wlan-rrm] load-balance session 3 gap 2 # 配置AP拒绝客户端关联请求的最大次数为4。[AC-wlan-rrm] load-balance access-denial 4 [AC-wlan-rrm] quit(3)在AC上配置AP并绑定无线服务

# 创建WLAN-ESS接口1，并配置WLAN-ESS 1接口加入VLAN 200。

[AC] interface WLAN-ESS 1 [AC-WLAN-ESS1] port access vlan 200 [AC-WLAN-ESS1] quit # 创建clear类型的服务模板1。

[AC] wlan service-template 1 clear # 设置当前服务模板的SSID为service。

[AC-wlan-st-1] ssid service # 将WLAN-ESS 1接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 1 # 使能无线服务。

[AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit # 创建AP管理模板，其名称为ap1，型号名称这里选择WA2620E-AGN。

[AC] wlan ap ap1 model WA2620E-AGN # 配置AP 1的序列号为21023529G007C000020。

[AC-wlan-ap-ap1] serial-id 21023529G007C000020 # 设置radio 2的射频类型为802.11gn。

[AC-wlan-ap-ap1] radio 2 type dot11gn # 将服务模板1与射频2进行关联。

[AC-wlan-ap-ap1-radio-2] service-template 1 # 配置射频的工作信道为6。

[AC-wlan-ap-ap1-radio-2] channel 6 # 使能AP 1的radio2。

[AC-wlan-ap-ap1-radio-2] radio enable [AC-wlan-ap-ap1-radio-2] quit # 创建AP管理模板，其名称为ap2，型号名称这里选择WA2620E-AGN。

[AC] wlan ap ap2 model WA2620E-AGN # 配置AP 2的序列号为21023529G007C000021。

[AC-wlan-ap-ap2] serial-id 21023529G007C000021 # 设置radio2的射频类型为802.11gn。

[AC-wlan-ap-ap2] radio 2 type dot11gn # 将服务模板1与射频2进行关联。

[AC-wlan-ap-ap2-radio-2] service-template 1 # 配置射频的工作信道为6。

[AC-wlan-ap-ap2-radio-2] channel 6 # 使能AP 2的radio2。

[AC-wlan-ap-ap2-radio-2] radio enable [AC-wlan-ap-ap2-radio-2] return 3.4.2 Switch的配置

# 创建VLAN 100和VLAN 200，其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量，VLAN 200为无线用户接入的VLAN。

[Switch] vlan 100 [Switch-vlan100] quit [Switch] vlan 200 [Switch-vlan200] quit # 配置Switch与AC相连的GigabitEthernet1/0/1接口的链路类型为Trunk，当前Trunk口的PVID为100，允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 [Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100 [Switch-GigabitEthernet1/0/1] quit # 配置Switch与AP 1相连的GigabitEthernet1/0/2接口链路类型为Access，当前Access口允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port access vlan 100 # 配置Switch与AP 1相连的GigabitEthernet1/0/2接口使能PoE功能。

[Switch-GigabitEthernet1/0/2] poe enable [Switch-GigabitEthernet1/0/2] quit # 配置Switch与AP 2相连的GigabitEthernet1/0/3接口链路类型为Access，当前Access口允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/3 [Switch-GigabitEthernet1/0/3] port link-type access [Switch-GigabitEthernet1/0/3] port access vlan 100 # 配置Switch与AP 2相连的GigabitEthernet1/0/3接口使能PoE功能。

[Switch-GigabitEthernet1/0/3] poe enable [Switch-GigabitEthernet1/0/3] quit # 配置Switch使能DHCP服务。

[Switch] dhcp enable # 创建名为vlan100的DHCP地址池，配置动态分配的网段为192.168.100.0/24，网关地址为192.168.100.1，为AP 1和AP 2分配IP地址。

[Switch] dhcp server ip-pool vlan100 [Switch-dhcp-pool-vlan100] network 192.168.100.0 mask 255.255.255.0 [Switch-dhcp-pool-vlan100] gateway-list 192.168.100.1 [Switch-dhcp-pool-vlan100] quit # 创建名为vlan200的DHCP地址池，配置动态分配的网段为192.168.200.0/24，网关地址为192.168.200.1，为Client分配IP地址。

[Switch] dhcp server ip-pool vlan200 [Switch-dhcp-pool-vlan200] network 192.168.200.0 mask 255.255.255.0 [Switch-dhcp-pool-vlan200] gateway-list 192.168.200.1 [Switch-dhcp-pool-vlan200] quit 3.5 验证配置

(1)AP 1关联了3个用户，由于AC配置了会话模式的负载均衡，当AP 1的会话数达到门限值3，且比AP 2的会话数多2个时，就是触发负载均衡。(2)当Client 3发现并试图关联到AP 1时，可以看到AP 1上的会话数已经达到门限值3，并比AP 2多了2个，所以AP 1会拒绝Client 3的接入，最终Client 3会关联到AP 2上。

3.6 配置文件



# vlan 100 # vlan 200 # wlan rrm load-balance session 3 gap 2 load-balance access-denial 4 # wlan service-template 1 clear ssid service bind WLAN-ESS 1 service-template enable # interface Vlan-interface100 ip address 192.168.100.1 255.255.255.0 # interface Vlan-interface200 ip address 192.168.200.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type hybrid port hybrid vlan 100 200 tagged # interface WLAN-ESS1 port access vlan 200 # wlan ap ap1 model WA2620E-AGN serial-id 21023529G007C000020 radio 2 type dot11gn channel 6 service-template 1 radio enable AC： # wlan ap ap2 model WA2620E-AGN serial-id 21023529G007C000021 radio 2 type dot11gn channel 6 service-template 1 radio enable # 

# Switch：

dhcp enable # vlan 100 # vlan 200 # dhcp server ip-pool vlan100 network 192.168.100.0 mask 255.255.255.0 gateway-list 192.168.100.1 # dhcp server ip-pool vlan200 network 192.168.200.0 mask 255.255.255.0 gateway-list 192.168.200.1 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 port trunk pvid vlan 100 # interface GigabitEthernet1/0/2 port link-type access port access vlan 100 poe enable # interface GigabitEthernet1/0/3 port link-type access port access vlan 100 poe enable # 4 流量模式的负载均衡配置举例

4.1 组网需求

如图2所示，无线网络中AC下关联两台AP，三层交换机Switch作为DHCP Server为AP和Client分配IP地址。要求AP之间根据流量进行负载分担，设置AP最大带宽为30M，当通过AP的流量占用AP最大带宽的50%，且AP之间的流量占用带宽的差值达到AP最大带宽的30%时，如果需要上线的客户端处在AP 1和AP 2的信号重叠区，则AP启动负载均衡。图2 流量模式的负载均衡组网图

ACSwitchDHCP serverAP 1AP 2Client 1Client 3Client 2

4.2 配置思路

为避免AP负载均衡拒绝客户端关联请求次数过多，使客户端上线时间过长，需要配置AP拒绝客户端关联请求的最大次数。

4.3 配置注意事项

  配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

每个AP上必须绑定相同的服务模板，并且保证各个radio开启的模式是一样的。

4.4 配置步骤

4.4.1 AC的配置

(1)配置AC的接口

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view [AC] vlan 100 [AC-vlan100] quit [AC] interface vlan-interface 100 [AC-Vlan-interface100] ip address 192.168.100.1 255.255.255.0 [AC-Vlan-interface100] quit # 创建VLAN 200作为ESS接口的缺省VLAN，同时作为Client接入的业务VLAN，IP地址为192.168.200.1/24。

[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface 200 [AC-Vlan-interface200] ip address 192.168.200.1 255.255.255.0 [AC-Vlan-interface200] quit(2)配置负载均衡

# 配置GigabitEthernet1/0/1接口的链路类型为Hybrid，允许VLAN 100和VLAN 200的报文通过，并且发送这些VLAN的报文时保留VLAN Tag。

[AC] interface gigabitethernet 1/0/1 [AC-GigabitEthernet1/0/1] port link-type hybrid [AC-GigabitEthernet1/0/1] port hybrid vlan 100 200 tagged [AC-GigabitEthernet1/0/1] quit # 进入RRM视图。

[AC] wlan rrm # 配置最大带宽为30M。

[AC-wlan-rrm] dot11n max-bandwidth 30000 # 配置流量门限值为50%，流量差值门限为30%。

[AC-wlan-rrm] load-balance traffic 50 gap 30 # 配置AP拒绝客户端关联请求的最大次数为4 [AC-wlan-rrm] load-balance access-denial 4 # 创建WLAN-ESS接口1，并配置WLAN-ESS 1接口加入VLAN 200。

[AC] interface wlan-ess 1 [AC-WLAN-ESS1] port access vlan 200 [AC-WLAN-ESS1] quit # 创建clear类型的服务模板1。

[AC] wlan service-template 1 clear # 设置当前服务模板的SSID为service。

[AC-wlan-st-1] ssid service # 将WLAN-ESS 1接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 1 # 使能无线服务。

[AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit(3)在AC上配置AP并绑定无线服务

# 创建AP管理模板，其名称为ap1，型号名称这里选择WA2620E-AGN。

[AC] wlan ap ap1 model WA2620E-AGN # 配置AP 1的序列号为21023529G007C000020。

[AC-wlan-ap-ap1] serial-id 21023529G007C000020 # 设置radio 2的射频类型为802.11gn。

[AC-wlan-ap-ap1] radio 2 type dot11gn # 将服务模板1与射频2进行关联。

[AC-wlan-ap-ap1-radio-2] service-template 1 # 配置射频的工作信道为6。

[AC-wlan-ap-ap1-radio-2] channel 6 # 使能AP 1的radio 2。

[AC-wlan-ap-ap1-radio-2] radio enable [AC-wlan-ap-ap1-radio-2] quit # 创建AP管理模板，其名称为ap2，型号名称这里选择WA2620E-AGN。

[AC] wlan ap ap2 model WA2620E-AGN # 配置AP 2的序列号为21023529G007C000021。

[AC-wlan-ap-ap2] serial-id 21023529G007C000021 # 设置radio 2的射频类型为802.11gn。

[AC-wlan-ap-ap2] radio 2 type dot11gn # 将服务模板1与射频2进行关联。

[AC-wlan-ap-ap2-radio-2] service-template 1 # 配置射频的工作信道为6。

[AC-wlan-ap-ap2-radio-2] channel 6 # 使能AP 2的radio 2。

[AC-wlan-ap-ap2-radio-2] radio enable [AC-wlan-ap-ap2-radio-2] return 4.4.2 Switch的配置

# 创建VLAN 100和VLAN 200，其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量，VLAN 200为无线用户接入的VLAN。

[Switch] vlan 100 [Switch-vlan100] quit [Switch] vlan 200 [Switch-vlan200] quit # 配置Switch与AC相连的GigabitEthernet1/0/1接口的链路类型为Trunk，当前Trunk口的PVID为100，允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 [Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100 [Switch-GigabitEthernet1/0/1] quit # 配置Switch与AP 1相连的GigabitEthernet1/0/2接口链路类型为Access，当前Access口允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port access vlan 100 # 配置Switch与AP 1相连的GigabitEthernet1/0/2接口使能PoE功能。

[Switch-GigabitEthernet1/0/2] poe enable [Switch-GigabitEthernet1/0/2] quit # 配置Switch与AP 2相连的GigabitEthernet1/0/3接口链路类型为Access，当前Access口允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/3 [Switch-GigabitEthernet1/0/3] port link-type access [Switch-GigabitEthernet1/0/3] port access vlan 100 # 配置Switch与AP 2相连的GigabitEthernet1/0/3接口使能PoE功能。

[Switch-GigabitEthernet1/0/3] poe enable [Switch-GigabitEthernet1/0/3] quit # 配置Switch使能DHCP服务。

[Switch] dhcp enable # 创建名为vlan100的DHCP地址池，配置动态分配的网段为192.168.100.0/24，网关地址为192.168.100.1，为AP 1和AP 2分配IP地址。

[Switch] dhcp server ip-pool vlan100 [Switch-dhcp-pool-vlan100] network 192.168.100.0 mask 255.255.255.0 [Switch-dhcp-pool-vlan100] gateway-list 192.168.100.1 [Switch-dhcp-pool-vlan100] quit # 创建名为vlan200的DHCP地址池，配置动态分配的网段为192.168.200.0/24，网关地址为192.168.200.1，为Client分配IP地址。

[Switch] dhcp server ip-pool vlan200 [Switch-dhcp-pool-vlan200] network 192.168.200.0 mask 255.255.255.0 [Switch-dhcp-pool-vlan200] gateway-list 192.168.200.1 [Switch-dhcp-pool-vlan200] quit 4.5 验证配置

(1)由于AC上配置了流量负载均衡，当AP的最大带宽为30M时，系统的流量门限为30M×50%=15M，流量差值门限为30M×30%=9M。(2)当Client 1和Client 2关联到AP 1时，使用发送流量的工具IxChariot给AP 1 打流量，让AP 1上此时的流量大于17M。(3)此时AP 2上由于没有无线用户关联，所以没有流量。

(4)当Client 3发现并试图关联到AP 1时，由于AC上启用了流量负载均衡功能，此时AP 1上的流量为17M（大于AC上配置的流量门限15M和流量差值门限9M），所以AC会拒绝Client 3对AP 1的关联请求，Client 3只能关联到AP 2上。

4.6 配置文件



# vlan 100 # AC： vlan 200 # wlan rrm dot11n max-bandwidth 30000 load-balance traffic 50 gap 30 load-balance access-denial 4 # wlan service-template 1 clear ssid service bind WLAN-ESS 1 service-template enable # interface Vlan-interface100 ip address 192.168.100.1 255.255.255.0 # interface Vlan-interface200 ip address 192.168.200.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type hybrid port hybrid vlan 100 200 tagged # interface WLAN-ESS1 port access vlan 200 # wlan ap ap1 model WA2620E-AGN serial-id 21023529G007C000020 radio 2 type dot11gn channel 6 service-template 1 radio enable # wlan ap ap2 model WA2620E-AGN serial-id 21023529G007C000021 radio 2 type dot11gn channel 6 service-template 1 radio enable # 

# Switch：

dhcp enable # vlan 100 # vlan 200 # dhcp server ip-pool vlan100 network 192.168.100.0 mask 255.255.255.0 gateway-list 192.168.100.1 # dhcp server ip-pool vlan200 network 192.168.200.0 mask 255.255.255.0 gateway-list 192.168.200.1 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 100 port trunk pvid vlan 100 # interface GigabitEthernet1/0/2 port link-type access port access vlan 100 poe enable # interface GigabitEthernet1/0/3 port link-type access port access vlan 100 poe enable # 5 相关资料

  《H3C WX系列无线控制器产品配置指导》“WLAN配置指导” 《H3C WX系列无线控制器产品命令参考》“WLAN命令参考”