概要
現在、ほとんどの企業のオフィス環境では、有線ネットワークと無線ネットワークの両方を使用してビジネスをサポートしています。オフィス エリアには有線ネットワーク ポートが備わっているだけでなく、Wi-Fi が完全にカバーされているため、オフィス環境がよりオープンでインテリジェントになります。将来的には、エンタープライズ クラウド デスクトップ オフィス、テレプレゼンス会議、4K ビデオなどの高帯域幅サービスは有線ネットワークから無線ネットワークに移行し、VR/AR、仮想アシスタント、自動化された工場などの新しいテクノロジーが直接ベースで展開されるでしょう。ワイヤレスネットワーク上で。新しいアプリケーション シナリオでは、企業 WLAN の設計と計画に対してより高い要件が求められます。
CAPWAP (ワイヤレス アクセス ポイントの制御とプロビジョニング プロトコル仕様): ワイヤレス アクセス ポイントの制御および構成プロトコル。
大規模な WLAN ネットワークの応用
大規模無線LANネットワークの主要テクノロジー
| テクノロジー |
効果 |
| VLAN プール |
VLAN プールを介してアクセス ユーザーを異なる VLAN に割り当てると、ブロードキャスト ドメインが削減され、ネットワーク内のブロードキャスト パケットが削減され、ネットワーク パフォーマンスが向上します。 |
| DHCP オプション 43 および52 |
AC と AP の間にレイヤ 3 ネットワークがある場合、AP はブロードキャスト要求メッセージを送信して AC を検出できません。この場合、メッセージに含まれる Option43 フィールド (IPv4) または Option52 (IPv6) が、AP に送信されます。 ACのIPアドレスを通知するには、DHCPサーバーによるAPを使用する必要があります。 |
| ローミング技術 |
WLAN ローミングとは、ユーザー サービスを中断することなく、異なる AP サービスエリア間を移動する STA の動作を指します。 |
| 高信頼性技術 |
無線LANサービスの安定運用を実現するため、主装置に障害が発生した場合に、バックアップ装置にスムーズにサービスを切り替えるための技術です。 |
| アドミッションコントロール |
アクセス制御技術は、ネットワークにアクセスするクライアントやユーザーを認証することでネットワークのセキュリティを確保する「エンドツーエンド」のセキュリティ技術です。 |
VLANプール
VLAN プールとは、複数の VLAN をプールに配置し、割り当てアルゴリズムを提供する VLAN 割り当て技術であり、VLAN プールとも呼ばれます。
技術的背景
既存のネットワークが直面する課題
無線ネットワーク端末のモビリティにより、特定のエリアでの IP アドレスの要求が増加します。
通常、1つのSSIDは1つのサービスVLANにしか対応できませんが、サブネット拡張によりIPアドレスが追加されるとブロードキャストドメインが拡張され、大量のブロードキャストパケットによりネットワークが混雑します。
VLAN プール
VLAN プールを介してアクセス ユーザーを異なる VLAN に割り当てると、ブロードキャスト ドメインが削減され、ネットワーク内のブロードキャスト パケットが削減され、ネットワーク パフォーマンスが向上します。
多数のユーザを異なる VLAN に分散させてブロードキャスト ドメインを削減できるように、1 つの SSID が複数の VLAN に対応できる必要があります。 VLAN プールは、複数の VLAN の管理および割り当てアルゴリズムを提供し、SSID が複数の VLAN に対応できるようにします。
VLAN プール割り当てのアルゴリズム
順次割り当てアルゴリズム: オンラインになった順にユーザーを異なる VLAN に分割します。
HASH 割り当てアルゴリズム: ユーザーの MAC アドレスの HASH 値に基づいて VLAN を割り当てます。
| 割り当てアルゴリズム |
アドバンテージ |
欠点がある |
| 順次割り当て |
各 VLAN のユーザー数は均等に分割されます |
VLAN は簡単に変更でき、再度オンラインになると IP も変更されます。 |
| ハッシュ分散 |
複数回オンラインになるユーザーには同じ VLAN を割り当てることができ、IP は変更されません。 |
各 VLAN のユーザー数が不均等に分割されている |
VLANの割り当てプロセス
1 ユーザー端末は VAP からアクセスし、VAP が VLAN プールにバインドされているかどうかを判断します。
2 VAP に対応するテンプレートが VLAN プールにバインドされている場合、VLAN プールの割り当てアルゴリズムを使用して VLAN を割り当てます。VLAN プールには、シーケンシャル割り当てとハッシュ割り当ての 2 つの割り当てアルゴリズムがあります。
3 端末に VLAN を割り当てます。
4 端末は、VLAN プールによって割り当てられた VLAN からオンラインになります。
仮想アクセスポイント VAP(仮想アクセスポイント)
VAPとは、複数のAPを物理AP上に仮想化するもので、仮想化されたAPがそれぞれVAPとなり、各VAPが物理APと同様の機能を提供します。ユーザーは 1 つの AP 上に異なる VAP を作成して、異なるユーザー グループにワイヤレス アクセス サービスを提供できます。
関連コマンド
VLAN プール ビューを作成して入力します
[AC1]vlan pool guest指定した VLAN を VLAN プールに追加します
[AC1-vlan-pool-guest]vlan 10 to 20VLAN プールでの VLAN 割り当てアルゴリズムを構成します (デフォルトはハッシュ)
[AC1-vlan-pool-guest]assignment ?
even Even
hash HashWLAN ビューに入る
[AC1]wlan vap テンプレートを作成して入力します (デフォルトでは、default という名前の VAP テンプレートがシステム上に存在します)
[AC1-wlan-view]vap-profile name guestVAP サービスの VLAN を構成します (デフォルトは vlan1)。
[AC1-wlan-vap-prof-guest]service-vlan vlan-pool guestドメイン管理テンプレートを作成し、テンプレート ビューに入ります (ドメイン管理テンプレートでは、国コード、チャネルの調整、帯域幅の調整などの構成が提供されます。ドメイン管理テンプレートの構成このドメイン管理テンプレートを使用する AP が有効になります。デフォルトでは、システム上にデフォルトという名前のドメイン管理テンプレートが存在します)
[AC-wlan-view]regulatory-domain-profile name domanin1デバイスの国コード識別を構成する
[AC-wlan-regulate-domain-domanin1]country-code USAP グループ ビューを作成して入力します (設定は AP グループの下の AP に有効になります)
[AC-wlan-view]ap-group name group1指定されたドメイン管理テンプレートを AP または AP グループに参照します
[AC-wlan-ap-group-group1]regulatory-domain-profile domain1AC が使用するインターフェイスを設定して、AC の送信元インターフェイスとして CAPWAP トンネルを確立します。
[AC]capwap source interface Vlanif 100VAP テンプレートでのデータ転送方法の構成
[AC-wlan-vap-prof-vap1]forward-mode ?
direct-forward Direct forward
softgre Softgre profile
tunnel Tunnel VAP のサービス VLAN を構成する
[AC-wlan-vap-prof-vap1]service-vlan vlan-id 10VAP テンプレートで参照されるセキュリティ テンプレートを指定します
[AC-wlan-vap-prof-vap1]security-profile sec1指定された SSID テンプレートは VAP テンプレートを参照します。
[AC-wlan-vap-prof-vap1]ssid-profile test指定された VAP テンプレートは無線周波数 (送信信号) を参照します。
[AC-wlan-ap-group-group1]vap-profile vap1 wlan 1 radio 0
[AC-wlan-ap-group-group1]vap-profile vap1 wlan 1 radio 1RF ビューに入る
[AC-wlan-ap-0]radio 0単一 AP の指定された無線周波数の動作帯域幅とチャネルを設定します。
[AC-wlan-radio-0/0]channel 20mhz 6単一 AP の指定された無線周波数の送信電力を設定する
[AC-wlan-radio-0/0]eirp 127DHCP テクノロジー
DHCPリレー
DHCP リレーは、ネットワーク セグメント間で DHCP メッセージを「透過的に送信」できるため、1 つの DHCP サーバーが同時に複数のネットワーク セグメントにサービスを提供できるようになります。
関連コマンド
DHCPリレー機能を有効にする
[AC1-Vlanif10]dhcp select relay DHCPサーバーアドレスを設定する
[AC1-Vlanif10]dhcp relay server-ip 192.168.1.1 DHCPサーバーグループを作成する
[AC1]dhcp server group guestDHCP サーバー メンバー アドレスを DHCP サーバー グループに追加します。
[AC1-dhcp-server-group-guest]dhcp-server 192.168.1.1
[AC1-dhcp-server-group-guest]dhcp-server 192.168.2.1
[AC1-dhcp-server-group-guest]dhcp-server 192.168.3.1DHCP リレー サーバー グループをインターフェイスに適用する
[AC1-Vlanif10]dhcp relay server-select guestDHCPクライアント機能を有効にする
[AC1-Vlanif10]ip address dhcp-alloc WLAN 3 層ネットワーキング AC 検出メカニズム
AC と AP の間にレイヤ 3 ネットワークがある場合、AP はブロードキャスト要求メッセージを送信して AC を検出できません。この場合、メッセージに含まれる Option43 フィールド (IPv4) または Option52 (IPv6) が、AP に送信されます。 ACのIPアドレスを通知するには、DHCPサーバーによるAPを使用する必要があります。
関連コマンド
AP の AC の IP アドレスを 192.168.0.1 として指定します。
[AC1-ip-pool-guest]option 43 sub-option 2 ip-address 192.168.0.1ローミング技術
WLAN ローミングとは、ユーザー サービスを中断することなく、異なる AP サービスエリア間を移動する STA の動作を指します。
WLAN ローミングを実装する 2 つの AP は同じ SSID とセキュリティ テンプレートを使用する必要があります (セキュリティ テンプレートの名前は異なる場合がありますが、設定は同じである必要があります)、認証テンプレートの認証方法および認証パラメータも同様に設定します。
関連用語
HAC(家庭用エアコン)
無線端末がローミング グループ内の AC に初めて関連付けられるとき、AC はその HAC になります。
。
HAP(ホームAP)
無線端末がローミング グループ内の AP に初めてアソシエートするとき、AP はその HAP になります。
FAC(海外AC)
ローミング後に無線端末に関連付けられた AC は、その FAC です。
FAP(海外AP)
ローミング後に無線端末が関連付けられる AP は、その FAP です。
AC内でのローミング
ローミング プロセスが同じ AC に関連付けられている場合、ローミングは AC 内ローミングです。
AC間のローミング
ローミング プロセスが同じ AC に関連付けられていない場合、ローミングは AC 間ローミングです。
AC間のトンネル
AC 間ローミングをサポートするには、ローミング グループ内のすべての AC が各 AC が管理する STA と AP デバイスの情報を同期する必要があるため、データ同期とパケット転送用のチャネルとして AC 間にトンネルが確立されます。 AC 間トンネルも CAPWAP プロトコルを使用して作成されます。
故郷のエージェント
レイヤ 2 で STA のホーム ネットワークのゲートウェイと通信できるデバイス。ローミング後も STA がホーム ネットワークに通常どおりアクセスできるようにするには、STA のサービス パケットをトンネル経由でホーム エージェントに転送し、その後ホーム エージェントによって転送する必要があります。 STA のホーム エージェントは、HAC または HAP によって同時にサービスされ、ユーザーは AC または AP を STA のホーム エージェントとして選択できます。
ローミンググループサーバー
STA は AC 間でローミングします。AC をローミング グループ サーバーとして選択すると、ローミング グループ メンバー テーブルが AC 上で維持され、ローミング グループ内の各 AC に配布されるため、ローミング グループ内の AC は相互に認識して通信できるようになります。 AC 間トンネルを確立します。
ローミング グループ サーバーは、ローミング グループ外の AC またはローミング グループ内で選択された AC です。
AC は同時に複数のローミング グループのローミング グループ サーバーとして機能できますが、参加できるローミング グループは 1 つだけです。
ローミング グループ サーバーは他の AC を管理しますが、他のローミング グループ サーバーによって管理することはできません。つまり、AC がローミング グループ サーバーとして機能し、ローミング設定を他の AC に同期する責任がある場合、他の AC を管理対象 AC として受け入れてローミング設定を同期することはできなくなります(つまり、ローミング グループが一度終了すると)。が構成されている場合、ローミング グループ サーバーを構成できません。)。
ローミング グループ サーバーは集中構成ポイントとして、特に強力なデータ転送機能を備えている必要はなく、各 AC と通信できれば十分です。
関連コマンド
ローミング グループを作成し、ローミング グループ ビューに入ります。
[AC1-wlan-view]mobility-group name mobローミンググループメンバーを追加する
[AC1-mc-mg-mob]member ip-address 10.1.100.1
[AC1-mc-mg-mob]member ip-address 10.1.200.1
無線LANローミングタイプ
2階ローミング
ワイヤレス クライアントは、2 つの AP(または複数の AP)間を行き来してワイヤレス ネットワークに接続します。ただし、これらの AP が同じ SSID とビジネス VLAN にバインドされている場合に限ります。すべて同じ VLAN (同じ IP アドレス セグメント) 内にあります。 ローミング切り替えプロセス中、ワイヤレス クライアントのアクセス属性 (ワイヤレス クライアントが属するビジネス VLAN など) IPアドレスなどの変更はなく、そのままスムーズに移行でき、ローミング中のパケットロスや切断・再接続も発生しません。
レイヤ 3 ローミング
ローミング前後で SSID のサービス VLAN が異なります。AP が提供するサービス ネットワークは、異なるゲートウェイに対応する異なる 3 層ネットワークです。現時点では、ローミング ユーザーの IP アドレスを変更しないようにするには、ユーザー トラフィックを最初のアクセス ネットワーク セグメントの AP にルーティングして戻し、クロス VLAN ローミングを実現する必要があります。
ローミングドメイン
ネットワークで次のような状況が発生することがあります。2 つのサービス VLAN の VLAN ID は同じですが、2 つのサブネットは異なるサブネットに属しています。。このとき、システムが 2 つのサブネット間のユーザーのローミングを VLAN ID のみに基づいてレイヤ 2 ローミングと誤って判断することを防ぐために、ローミング ドメインを通じてデバイスが同じサブネット内にあるかどうかを判断する必要があります。 VLAN とローミング ドメインが同じである場合、これは第 2 層ローミングであり、それ以外の場合は第 3 層ローミングです。
WLAN ローミング トラフィック転送モデル
ローミング グループは、ユーザーが相互にローミングできる AC のセットです。
WLAN データ転送タイプと、それが 3 層にまたがるかどうかに応じて、ローミング トラフィック転送モデルは次の 4 つのタイプに分類できます。
| 転送モデル |
特徴 |
| レイヤ 2 ローミング直接転送 |
STA はレイヤ 2 ローミング後も元のサブネットにあるため、FAP/FAC によるレイヤ 2 ローミング ユーザーのトラフィック転送は、プラットフォーム上で新たにオンラインになったユーザーのトラフィック転送と何ら変わりはなく、FAP/FAC のローカル ネットワーク上で直接転送されます。 FAC なのでトンネル経由で転送する必要がなく、故郷に戻って転送します。 |
| レイヤ 2 ローミング トンネル転送 |
|
| レイヤ 3 ローミング直接転送 |
HAP と HAC 間のサービス パケットはCAPWAP トンネルのカプセル化を通過せず、HAP と HAC が同じかどうかを判断できません。現時点では、デバイスのデフォルト パケットを転送のために HAP に返す必要があるか、HAC プロキシ転送として設定できます。 |
| レイヤ 3 ローミング トンネル転送 |
HAP と HAC 間のサービス パケットは、CAPWAP トンネルを通じてカプセル化されます。このとき、HAP と HAC は同じものと見なすことができます。したがって、パケットは HAP に返す必要がなく、HAC を通じて上位層ネットワークに直接転送できます。 |
レイヤ 3 ローミング直接転送
ローミング前
1 STA がサービス パケットを HAP に送信します。
2 HAP はサービス パケットを受信すると、スイッチを介して上位ネットワークにサービス パケットを直接送信します。
ローミング後
1 STA がサービス パケットを FAP に送信します。
2 FAP は、STA によって送信されたサービス パケットを受信し、CAPWAP トンネル経由で FAC に送信します。
3 FAC は、HAC と FAC の間の AC 間トンネルを介してサービス パケットを HAC に転送します。
4 HAC は、CAPWAP トンネル経由でサービス パケットを HAP に送信します。
5 HAP はサービス パケットを上位層ネットワークに直接送信します。
関連コマンド
ローミング グループ ビューを作成して入力する
[AC1-wlan-view]mobility-group name qytローミンググループにメンバーを追加する
[AC1-mc-mg-qyt]member ip-address 192.168.100.1高信頼性技術
概要
WLAN ネットワーキングでは、ネットワークの信頼性を確保するために、一般的なバックアップ テクノロジーは次のとおりです。
VRRP デュアルマシン ホット バックアップ (アクティブおよびバックアップ)
デュアルリンク コールド バックアップ
デュアルリンク ホット バックアップ (アクティブ/スタンバイおよび負荷分散)
N+1 バックアップ
WLAN サービスの安定した動作を保証するために、ホット バックアップ (ホットスタンバイ バックアップ) メカニズムにより、サービスの継続が保証されます。メイン装置が故障した場合でも、バックアップ装置へのスムーズな切り替えが可能です。
| 比較品 |
VRRPデュアルマシンホットスタンバイ |
デュアルリンクデュアルマシンホットスタンバイ |
N+1バックアップ |
| スイッチング速度 |
アクティブ/スタンバイの切り替えは高速であり、ビジネスへの影響はほとんどありません。 VRRP プリエンプション時間を設定することにより、他のバックアップ方法と比較してより高速な切り替えが実現されます。 |
AP ステータスの切り替えが遅いため、CAPWAP 切断タイムアウトが検出されるまで切り替えを待つ必要があります。アクティブ/スタンバイ切り替え後に端末を再度オンラインにする必要はありません。 |
AP ステータスの切り替えが遅いため、CAPWAP 切断タイムアウトが検出されるまで切り替える必要があります。AP と端末の両方が再びオンラインになる必要があり、サービスが一時的に中断されます。 |
| アクティブACとスタンバイACのリモート導入 |
アクティブ AC とスタンバイ AC をリモートに展開することはお勧めできません。 |
サポート |
サポート |
| 制限 |
アクティブ AC とスタンバイ AC のモデルとソフトウェア バージョンはまったく同じである必要があります。 スタンバイ AC は、1 つのプライマリ AC のバックアップのみを提供できます。 |
アクティブ AC とスタンバイ AC のモデルとソフトウェア バージョンはまったく同じである必要があります。 スタンバイ AC は、1 つのプライマリ AC のバックアップのみを提供できます。 |
アクティブ AC 製品とバックアップ AC 製品の形式は異なっていてもかまいませんが、AC のソフトウェア バージョンは一貫している必要があります。 1 つのバックアップ AC で複数のプライマリ AC のバックアップを提供できるため、機器の購入コストを削減できます。 |
| 適用範囲 |
高い信頼性要件があり、プライマリ AC とセカンダリ AC を遠隔地に導入する必要がないシナリオ |
高い信頼性が必要であり、プライマリおよびセカンダリ AC のリモート展開が必要なシナリオ |
信頼性要件が低く、コスト管理要件が高いシナリオ |
HSB 関連の概念
HSB (ホット スタンバイ、ホット バックアップ) は、Huawei のメインおよびバックアップの公開メカニズムです。
プライマリおよびセカンダリ サービス (HSB サービス): プライマリおよびセカンダリ チャネルを確立および維持し、プライマリおよびセカンダリ ビジネス モジュールごとにチャネルのオン/オフ イベントとメッセージ送受信インターフェイスを提供します。
アクティブおよびスタンバイ バックアップ グループ (HSB グループ): HSB バックアップ グループは、アクティブおよびスタンバイ ビジネス モジュールごとにデータ バックアップ チャネルを提供するために、HSB サービスに内部的にバインドされています。 HSB バックアップ グループは VRRP インスタンスにバインドされており、VRRP メカニズムを使用してプライマリ インスタンスとセカンダリ インスタンスがネゴシエートされます。同時に、HSB バックアップ グループは、バッチ バックアップ、リアルタイム バックアップ、アクティブ/スタンバイ切り替えなどのイベントを処理するように各ビジネス モジュールに通知する役割も果たします。
HSB メインおよびバックアップ サービス
HSB アクティブおよびスタンバイ サービスは、2 つの相互バックアップ デバイス間でアクティブおよびスタンバイ バックアップ チャネルを確立し、アクティブおよびスタンバイ チャネルのリンク ステータスを維持し、他のサービスにメッセージ送受信サービスを提供し、アクティブおよびスタンバイに通知する役割を果たします。バックアップ リンクが失敗すると、業務バックアップ グループが対応する処理を実行します。
HSB のメイン サービスとバックアップ サービスには、主に次の 2 つの側面が含まれます。
プライマリおよびセカンダリのバックアップ チャネルを確立する
アクティブ サービスとスタンバイ サービスのローカル エンドとリモート エンドの IP アドレスとポート番号を構成することにより、アクティブ メカニズムとスタンバイ メカニズムがメッセージを送信するための TCP チャネルが確立され、他のメカニズムにメッセージの送受信とリンク ステータス変更通知サービスを提供します。サービス。
アクティブチャネルとスタンバイチャネルのリンクステータスを維持する
TCP が長時間中断されることを防ぐために、プライマリおよびセカンダリ サービス メッセージの送信や再送信などのメカニズムが使用されますが、プロトコル スタックは接続の中断を検出しません。ピアからのマスター バックアップ サービス メッセージが、再送信回数を掛けた時間内に受信されなかった場合、デバイスは例外通知を受信し、マスター バックアップ バックアップ チャネルの再構築の準備をします。
VRRPデュアルマシンホットスタンバイ
2 つの AC が VRRP グループを形成します。プライマリ AC とセカンダリ AC は常に同じ仮想 IP アドレスを AP に表示します。プライマリ AC はホット スタンバイ (HSB) プライマリを介してサービスを同期します。情報はスタンバイ AC に送信されます。
2 つの AC は、VRRP プロトコルを通じて「仮想 AC」を生成します。デフォルトでは、プライマリ AC が仮想 AC の特定の作業を引き継ぎます。プライマリ AC に障害が発生すると、バックアップ AC がその作業を引き継ぎます。すべての AP は、「仮想 AC」との CAPWAP トンネルを確立します。
AP は 1 つの AC の存在のみを認識し、AC 間のハンドオーバーは VRRP によって決定されます。
この方法は通常、アクティブ AC とバックアップ AC を地理的に同じ場所に展開し、他のバックアップ方法と比較してサービスの切り替え速度が非常に高速です。
データの同期
VRRP に基づくデュアルマシン ホット スタンバイ バックアップ情報には、ユーザー テーブル エントリ、CAPWAP リンク情報、AP テーブル エントリなどの情報が含まれ、バックアップ方法には、リアルタイム バックアップ、バッチ バックアップ、スケジュール バックアップが含まれます。
バッチバックアップ
アクティブ デバイスは、既存のセッション テーブル エントリを新しく追加されたバックアップ デバイスに一度に同期して、アクティブとスタンバイの AC 情報を調整します。このプロセスはバッチ バックアップと呼ばれます。 AC マスターとバックアップが確立されると、バッチ バックアップがトリガーされます。
リアルタイムバックアップ
アクティブ デバイスは、新しいテーブル エントリが生成されるかテーブル エントリが変更された後、適時にデータをバックアップ デバイスにバックアップします。
包括用户数据信息备份、CAPWAP隧道信息备份、AP表项备份、DHCP地址信息备份。
タイミング同期
スタンバイ デバイスは、既存のセッション テーブル エントリがアクティブ デバイスのセッション テーブル エントリと一致しているかどうかを 30 分ごとにチェックし、一致しない場合は、アクティブ デバイスのセッション テーブル エントリがスタンバイ デバイスに同期されます。
VRRP デュアルマシンホットスタンバイ構成プロセス
1 VRRP バックアップ グループを作成し、仮想 IP アドレスを設定します。
2 HSB アクティブ サービスとバックアップ サービスを作成し、HSB アクティブ チャネルとバックアップ チャネルの IP アドレスとポート番号を確立します。
3 HSB バックアップ グループを作成し、HSB アクティブ サービスとバックアップ サービス、VRRP バックアップ グループ、WLAN サービス、および DHCP をバインドするように HSB バックアップ グループを構成します。
4 HSB バックアップ グループを有効にする HSB バックアップ グループを有効にした後でのみ、HSB バックアップ グループの関連構成が有効になります。
5 VRRP ホットバックアップの設定結果を確認します。
関連コマンド
VRRPバックアップグループを作成し、バックアップグループに仮想IPアドレスを割り当てます。
[AC1-Vlanif10]vrrp vrid 10 virtual-ip 10.1.10.1VRRPバックアップグループ内のデバイスの優先順位を設定します。
[AC1-Vlanif10]vrrp vrid 10 priority 150HSB アクティブおよびスタンバイ サービス ビューを作成して開始します。
[AC1]hsb-service 0HSB プライマリおよびセカンダリ バックアップ チャネルの IP アドレスとポート番号を構成する
[AC1-hsb-service-0]service-ip-port local-ip 10.1.10.1 peer-ip 10.1.10.2 local-da
ta-port 10240 peer-data-port 10241HSB バックアップ グループ ビューを作成して開始します
[AC1]hsb-group 0HSB バックアップ グループ内の HSB アクティブ サービスとバックアップ サービスをバインドする
[AC1-hsb-group-0]bind-service 0VRRP を有効にして、インターフェイスのステータスを監視することにより、高速なアクティブ/スタンバイ切り替えを実装します。
[AC1-hsb-group-0]track vrrp vrid 10 interface Vlanif 10WLAN サービスのバックアップに使用される HSB タイプを HSB バックアップ グループとして指定します (バックアップ グループは VRRP ホット バックアップに使用され、アクティブ サービスとバックアップ サービスはデュアルリンク ホット バックアップに使用されます)。
[AC1]hsb-service-type ap hsb-group 0HSB バックアップ グループをバインドするように DHCP サービスを構成する
[AC1]hsb-service-type dhcp hsb-group 0NAC サービス (アドミッション コントロール) を設定して HSB バックアップ チャネルをバインドするには
[AC1]hsb-service-type access-user hsb-group 0HSB バックアップ グループで HSB プライマリおよびセカンダリ バックアップ機能を有効にする
[AC1-hsb-group-0]hsb enableHSBバックアップグループの情報を確認する
[AC1]display hsb-group 0
Hot Standby Group Information:
----------------------------------------------------------
HSB-group ID : 0
Vrrp Group ID : 10
Vrrp Interface : Vlanif10
Service Index : 0
Group Vrrp Status : None
Group Status : Independent
Group Backup Process : Independent
Peer Group Device Name : -
Peer Group Software Version : -
Group Backup Modules : AP
DHCP
Access-user
----------------------------------------------------------HSB のアクティブ サービスとスタンバイ サービスに関する情報を表示する
[AC1]display hsb-service 0
Hot Standby Service Information:
----------------------------------------------------------
Local IP Address : 10.1.10.1
Peer IP Address : 10.1.10.2
Source Port : 10240
Destination Port : 10241
Keep Alive Times : 5
Keep Alive Interval : 3
Service State : Not Valid
Service Batch Modules :
----------------------------------------------------------アドミッションコントロール技術
NAC (Network Admission Control) は、ネットワーク アクセス コントロールと呼ばれ、ネットワークにアクセスするクライアントとユーザーの認証を通じてネットワークのセキュリティを確保する、「エンドツーエンド」のセキュリティ技術です。
ユーザーとアクセスデバイス間の対話に使用されます。
NAC は、アクセス プロセス中のユーザー アクセス方法 (802.1X、MAC、またはポータル認証)、さまざまなパラメータ、およびタイマーの制御を担当します。
正規のユーザーとアクセスデバイスが安全で安定した接続を確立できるようにします。
RADIUSの概要
AAA はさまざまなプロトコルを通じて実装できますが、実際のアプリケーションでは、RADIUS プロトコルが最も一般的に使用されます。
RADIUS は、ネットワークを不正アクセスから保護できる、分散型のクライアント/サーバー構造の情報交換プロトコルであり、高度なセキュリティを必要とし、リモート ユーザー アクセスを許可するさまざまなネットワーク環境でよく使用されます。
このプロトコルは、UDP (User Datagram Protocol) に基づいて RADIUS メッセージ形式とその送信メカニズムを定義し、UDP ポート 1812 と 1813 をそれぞれデフォルトの認証ポートとアカウンティング ポートとして指定します。
RADIUSプロトコルの主な特徴
1 クライアント/サーバーモード
2 安全なメッセージ対話メカニズム
3 優れた拡張性
3つの認証方式の比較
NAC には 3 つの認証方法があります:802.1X 認証、MAC 認証< a i =4> およびポータル認証。 3 つの認証方式は認証原理が異なるため、適したシナリオも異なりますが、実際のアプリケーションでは、シナリオに応じて適切な認証方式を導入することも、複数の認証から構成されるハイブリッド認証を導入することもできます。ハイブリッド認証の組み合わせ デバイスの実際のサポートが優先されます。
| 比較品 |
802.1X認証 |
MAC認証 |
ポータル認証 |
| シーンに合わせて |
新たなネットワークが構築され、ユーザーが集中し、情報セキュリティ要件が厳しいシナリオ |
プリンターやFAXなどのダム端末のアクセス認証のシナリオ |
ユーザーが分散し、ユーザーのモビリティが高いシナリオ |
| クライアントの要件 |
必要 |
不要 |
不要 |
| アドバンテージ |
高いセキュリティ |
クライアントのインストールは不要です |
柔軟な導入 |
| 欠点がある |
導入が柔軟ではない |
MACアドレスの登録が必要、管理が煩雑 |
あまり安全ではありません |
802.1X認証
802.1X は、IEEE によって開発されたユーザー アクセス ネットワークの認証規格であり、主にイーサネットにおける認証とセキュリティの問題を解決します。
802.1X 認証システムは、サプリカント、オーセンティケータ、認証サーバーの 3 つのエンティティを含む典型的なクライアント/サーバー構造です。
認証サーバーは通常 RADIUS サーバーであり、申請者の認証、認可、アカウント作成に使用されます。
大企業および中規模企業の従業員には、802.1X 認証が推奨されます。
MAC認証
MAC認証は、MACアドレスに基づいてユーザーのネットワークアクセス権を制御する認証方式であり、ユーザーはクライアントソフトウェアをインストールする必要がありません。
アクセス デバイスは、MAC 認証が有効になっているインターフェイス上で初めてユーザーの MAC アドレスを検出した後、ユーザーの認証操作を開始します。
認証プロセス中に、ユーザーはユーザー名やパスワードを手動で入力する必要はありません。
MAC 認証は、ダム端末 (プリンタなど) のアクセス認証によく使用されます、または認証サーバーと組み合わせて MAC 優先のポータル認証を完了することもできます。ユーザーが初めて認証を通過した場合、一定期間認証が免除され、再度アクセスする際には認証が必要となります。
ポータル認証
ポータル認証 (一般に Web 認証とも呼ばれます) は、ブラウザを認証クライアントとして使用するため、別の認証クライアントをインストールする必要はありません。
ユーザーがインターネットにアクセスする際には、ポータルページで認証を受ける必要があり、認証に合格した場合のみネットワークリソースを利用できるようになり、同時にサービスプロバイダーはポータルページ上で加盟店の広告表示などのビジネスを展開することができます。
大企業、中堅企業、商業展示会、公共の場所の訪問者には、ポータル認証を推奨します。
一般的なポータル認証方法
ユーザー名とパスワードによる方法:フロント管理者が訪問者の一時アカウントを申請し、訪問者はその一時アカウントを使用して認証します。
SMS 認証: 訪問者は携帯電話の確認コードによって認証されます。
MAC優先 ポータル認証
ユーザーは、ポータル認証に成功した後、ネットワークから切断し、一定時間以内に再接続することができ、ユーザー名とパスワードを入力してポータル認証を再入力することなく、MAC 認証を通じて直接アクセスできます。
この機能を使用するには、デバイスで MAC+ポータル ハイブリッド認証を設定し、認証サーバーで MAC ファースト ポータル認証を有効にし、MAC アドレスの有効期間を設定する必要があります。
関連コマンド
AP 認証モードの設定 (デフォルトでは MAC 認証)
[AC-wlan-view]ap auth-mode ?
mac-auth MAC authenticated mode, default authenticated mode
no-auth No authenticated mode
sn-auth SN authenticated mode AP デバイスをオフラインに追加し、AP ビューに入る
[AC-wlan-view]ap-id 0 ap-mac 00e0-fc95-1c60APの名前を設定する
[AC-wlan-ap-0]ap-name ap1グループに参加するように AP を設定する
[AC-wlan-ap-0]ap-group group1セキュリティ テンプレート ビューを作成して入力します (工場出荷時の設定ファイル内に、システムによってデフォルトという名前のセキュリティ テンプレートが作成されています)。
[AC-wlan-view]security-profile name sec1WPA/WPA2 の事前共有キー認証と暗号化を構成する
[AC-wlan-sec-prof-sec1]security wpa2 psk pass-phrase qytang123 aesSSID テンプレート ビューを作成して入力します(デフォルトでは、default という名前の SSID テンプレートがシステム上に存在します)。
[AC-wlan-view]ssid-profile name testSSID名の設定
[AC-wlan-ssid-prof-test]ssid test構成例
構成例: W シンプル ネットワーキング
要件: STA を WLAN 経由でインターネットに接続する
構成計画:
管理 vlan 100
ビジネス vlan 10
AP 名: ap1< a i=4> AP グループ: group1 ドメイン管理テンプレート:domain1 capwap 送信元インターフェイス: vlan 100 セキュリティ テンプレート: sec1 パスワード: qytang123 SSID テンプレートと名前: test vap テンプレート: vap1 radio 0: チャネル 20mhz 6 eirp 127 無線 1: チャネル 20mhz 149 eirp 127
設定手順:
1 AC 上でサービス VLAN と管理 VLAN、物理インターフェイス タイプ、VLANIF インターフェイス IP、およびソース インターフェイスを設定します。
2 SSID テンプレート、セキュリティ テンプレート、および VAP テンプレートを構成します (転送モード、ビジネス VLAN のバインド、SSID テンプレート、およびセキュリティ テンプレートの構成)
3 ドメイン管理テンプレートを構成し、AP グループを構成します (ドメイン管理テンプレートをバインドし、VAP テンプレートを無線周波数 0 および 1 に呼び出します)。
4 オフライン AP の構成 (AP グループに参加し、無線周波数、チャネル、強度を構成)
5 AP とインターネット間の通信を設定し、インターネットを設定します (省略)。
AC 設定 (PS: インターネット設定は省略)
#
sysname AC
#
vlan batch 10 100 //创建业务vlan和管理vlan
#
dhcp enable //启用DHCP能力
#
interface Vlanif1 //配置与Internet连接的接口IP
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif10
ip address 10.1.10.1 255.255.255.0
dhcp select interface //开启dhcp,为STA分配地址
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface //开启dhcp,为AP分配地址
#
interface GigabitEthernet0/0/1 //配置连接AP的接口类型
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10
#
ip route-static 1.1.1.1 255.255.255.255 10.1.1.2 //配置连接Internet的静态路由
#
capwap source interface vlanif100 //配置AC源接口(管理vlan 连接AP)
#
wlan 配置wlan
security-profile name sec1 ///配置安全模板
security wpa2 psk pass-phrase %^%#C[F{9RKCb5X\T/QbmS,-P`5=88=`kG+$R!Di{^ER%^%#
aes //配置认证方式
ssid-profile name test ///配置SSID模板
ssid test
vap-profile name vap1 ///配置VAP模板
forward-mode tunnel //配置VAP为隧道转发
service-vlan vlan-id 10 //配置VAP的业务vlan号
ssid-profile test //绑定SSID模板到VAP
security-profile sec1 //绑定安全模板到VAP
regulatory-domain-profile name domain1 ///创建域管理模板
ap-group name group1 ///创建AP组
regulatory-domain-profile domain1 //调用域管理模板到AP组
radio 0
vap-profile vap1 wlan 1 //调用vap模板到射频0
radio 1
vap-profile vap1 wlan 1 //调用vap模板到射频1
ap-id 0 type-id 69 ap-mac 00e0-fc95-1c60 ap-sn 210235448310B130EE6A ///配置离线AP的MAC/SN
ap-name ap1 //配置离线AP名称
ap-group group1 //配置离线AP加入AP组
radio 0
channel 20mhz 6 //配置射频0频率和信道
eirp 127 //配置射频0信号强度
radio 1
channel 20mhz 149 //配置射频1频率和信道
eirp 127 //配置射频1信号强度
#
returnテスト結果
SSID情報を見る
<AC>display vap ssid test
Info: This operation may take a few seconds, please wait.
WID : WLAN ID
----------------------------------------------------------------------
AP ID AP name RfID WID BSSID Status Auth type STA SSID
----------------------------------------------------------------------
0 ap1 0 1 00E0-FC95-1C60 ON WPA2-PSK 1 test
0 ap1 1 1 00E0-FC95-1C70 ON WPA2-PSK 0 test
----------------------------------------------------------------------
Total: 2
接続されているデバイスの情報を表示する
<AC>display station ssid test
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
--------------------------------------------------------------------------------
---------
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP a
ddress
--------------------------------------------------------------------------------
---------
5489-98b5-5156 0 ap1 0/1 2.4G - -/- - 10 10.1
.10.132
--------------------------------------------------------------------------------
---------
Total: 1 2.4G: 1 5G: 0STA のインターネットへの接続をテストする
STA>ping 1.1.1.1
Ping 1.1.1.1: 32 data bytes, Press Ctrl_C to break
From 1.1.1.1: bytes=32 seq=1 ttl=254 time=125 ms
From 1.1.1.1: bytes=32 seq=2 ttl=254 time=109 ms
From 1.1.1.1: bytes=32 seq=3 ttl=254 time=110 ms
From 1.1.1.1: bytes=32 seq=4 ttl=254 time=110 ms
From 1.1.1.1: bytes=32 seq=5 ttl=254 time=109 ms
--- 1.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 109/112/125 ms
W シンプルなネットワーク構成が成功しました
構成例: WLAN レイヤー 2 トンネル ネットワーキング
要件: レイヤ 2 トンネル ネットワークを使用して STA を WLAN に接続する
データ プラン
1 AP 管理 vlan 100、STA サービス vlan 101
2 AC は DHCP サーバーとして機能し、AP に IP アドレスを割り当てます。 a>< a i=3> 3 アグリゲーション スイッチは DHCP サーバーとして機能し、STA に IP アドレスを割り当てます 4 AP のアドレス プール 10.1.100.2---10.1.100.254 5 STA のアドレス プール 10.1.101.2---10.1.100.254 6 ドメイン管理テンプレート: 名前のデフォルト、国際コード: 中国 7 SSID テンプレート:名前 test、SSID 名 :test 8 セキュリティ テンプレート: 名前: sec、セキュリティ ポリシー: WPA-WPA2+PSK+AES、パスワード: qytang123 9 VAP テンプレート: 名前: vap1、転送モード: トンネル転送、ビジネス VLAN: VLAN101、発信側 SSID テンプレートおよびセキュリティ テンプレート
設定手順
1 ルーターのサブインターフェイス、スイッチ VLAN、および AC VLAN を設定します。
2 AC 管理 VLAN インターフェイスとアドレスを設定し、DHCP を有効にします。
3 アグリゲーション スイッチ上でサービス VLAN のインターフェイスとアドレスを設定し、DHCP を有効にします。
4 AC 上のソース インターフェイスをサービス VLAN インターフェイスとして設定します。
5 AC で SSID テンプレート、セキュリティ テンプレート、および VAP テンプレートを設定します (転送モード、バインディング ビジネス VLAN、バインディング SSID テンプレート、およびセキュリティ テンプレート)
6設定ドメイン管理テンプレート、AC 上の AP グループ、AP グループに追加された AP、ドメイン管理テンプレートにバインドされた AP グループ、無線周波数 0 および 1 への VAP テンプレート呼び出し
ルーター R1 の構成
#
sysname R1
#
interface GigabitEthernet0/0/0.101
dot1q termination vid 101
ip address 10.1.101.2 255.255.255.0
arp broadcast enable
#アクセススイッチSW2の構成
#
sysname SW2
#
vlan batch 100
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
#
アグリゲーションスイッチSW1の構成
#
sysname SW1
#
vlan batch 100 to 101
#
dhcp enable
#
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 10.1.101.2
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
AC構成
#
sysname AC
#
vlan batch 100 to 101
#
dhcp enable
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/7
undo negotiation auto
duplex half
#
interface GigabitEthernet0/0/8
undo negotiation auto
duplex half
#
capwap source interface vlanif100
#
wlan
security-profile name sec
security wpa-wpa2 psk pass-phrase %^%#kOtq0hXjJB'h$x%;4=uRR'3MFeW-cQTj]^49:qCD
%^%# aes
ssid-profile name test
ssid test
vap-profile name vap1
forward-mode tunnel
service-vlan vlan-id 101
ssid-profile test
security-profile sec
regulatory-domain-profile name default
ap-group name group1
radio 0
vap-profile vap1 wlan 1
radio 1
vap-profile vap1 wlan 1
ap-group name default
ap-id 0 type-id 69 ap-mac 00e0-fc41-61a0 ap-sn 21023544831023249E08
ap-name ap1
ap-group group1
#SSIDのビジネスVAPに関する情報を表示します
<AC>display vap ssid test
Info: This operation may take a few seconds, please wait.
WID : WLAN ID
-------------------------------------------------------------------------
AP ID AP name RfID WID BSSID Status Auth type STA SSID
-------------------------------------------------------------------------
0 ap1 0 1 00E0-FC41-61A0 ON WPA/WPA2-PSK 1 test
0 ap1 1 1 00E0-FC41-61B0 ON WPA/WPA2-PSK 0 test
-------------------------------------------------------------------------
Total: 2SSIDのSTAアクセス情報を表示する
<AC>display station ssid test
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
--------------------------------------------------------------------------------
----------
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP a
ddress
--------------------------------------------------------------------------------
----------
5489-988a-0678 0 ap1 0/1 2.4G - -/- - 101 10.1
.101.254
--------------------------------------------------------------------------------
----------
Total: 1 2.4G: 1 5G: 0PING は STA から R1 への接続をテストします
STA>ping 10.1.101.2
Ping 10.1.101.2: 32 data bytes, Press Ctrl_C to break
From 10.1.101.2: bytes=32 seq=1 ttl=255 time=187 ms
From 10.1.101.2: bytes=32 seq=2 ttl=255 time=188 ms
From 10.1.101.2: bytes=32 seq=3 ttl=255 time=187 ms
From 10.1.101.2: bytes=32 seq=4 ttl=255 time=203 ms
From 10.1.101.2: bytes=32 seq=5 ttl=255 time=172 ms
--- 10.1.101.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 172/187/203 msテスト構成が成功しました
構成例: Inter-AC レイヤ 3 ローミング ネットワーク (シミュレータが失敗した場合)
データプランニング
管理 VLAN
AP1:VLAN 100
AP2:VLAN 200
业务VLAN
AP1:VLAN 101
AP2:VLAN 102
DHCP サーバー
AC1 は DHCP サーバーとして機能し、IP アドレスを AP1 と STA に割り当てます。
AC2 は DHCP サーバーとして機能し、IP アドレスをAP2 と STA
管理VLAN地址池
AP1:10.1.100.2~10.1.100.254/24
AP2:10.1.200.2~10.1.200.254/24
业务VLAN地址池
10.1.101.2~10.1.101.254/24
10.1.102.2~10.1.102.254/24
AP グループ
AP1: グループ 1 参照テンプレート: VAP テンプレート、ドメイン管理テンプレート、2G 無線周波数テンプレート、5G 無線周波数テンプレート
AP2: グループ 2参照テンプレート : VAP テンプレート、ドメイン管理テンプレート、2G 無線周波数テンプレート、5G 無線周波数テンプレート
ドメイン管理テンプレート
名前: デフォルト 国コード: 中国 チューニング チャネル セット: 2.4G および 5G チューニング帯域幅とチューニング チャネルを構成します
SSID テンプレート
名前: テスト SSID 名: テスト
セキュリティ テンプレート
名前: sec セキュリティ ポリシー: WPA-WPA2+PSK+AES パスワード: qytang123
VAP テンプレート
AP1: 名前: vap1 転送モード: 直接転送 ビジネス VLAN: VLAN101 参照テンプレート: SSID テンプレート、セキュリティ テンプレート
AP2: 名前:vap2 転送モード:ダイレクトフォワーディング ビジネスVLAN:VLAN102 参照テンプレート:SSIDテンプレート、セキュリティテンプレート
エア インターフェイス スキャン テンプレート
名前: スキャン 検出チャネル セット: チューニング チャネル エア インターフェイス スキャン間隔: 60000 ミリ秒 エア インターフェイス スキャン期間: 60 ミリ秒
2G 無線周波数テンプレート
名前: radio2g 参照テンプレート: エア インターフェイス スキャン テンプレート
5G 無線周波数テンプレート
名前: radio5g 参照テンプレート: エア インターフェイス スキャン テンプレート
ローミング グループ
名前: mob メンバー: AC1 および AC2
R1構成
#
sysname R1
#
interface GigabitEthernet0/0/0
ip address 10.1.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.200.2 255.255.255.0
#SW1の設定
#
sysname SW1
#
vlan batch 100 to 101
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
#SW2の設定
#
sysname SW2
#
vlan batch 102 200
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 200
port trunk allow-pass vlan 102 200
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 102 200
#AC1構成
#
sysname AC1
#
vlan batch 100 to 102
#
dhcp enable
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
#
ip route-static 10.1.200.0 255.255.255.0 10.1.100.2
#
capwap source interface vlanif100
capwap dtls inter-controller control-link encrypt
capwap dtls inter-controller psk %^%#%,#5YH4HP(5(cr1qa<<OQ{}GI5ce%Z")tz%WlJ7C%^%
#
wlan
calibrate enable schedule time 03:00:00
security-profile name sec
security wpa-wpa2 psk pass-phrase %^%#9/o3Io_dN:.E$<<37]NA^ZoeXf*%q>Vnsl(`5&SQ
%^%# aes
ssid-profile name test
ssid test
vap-profile name vap1
service-vlan vlan-id 101
ssid-profile test
security-profile sec
regulatory-domain-profile name default
dca-channel 2.4g channel-set 1,2,3,4,5,6,7
dca-channel 5g channel-set 149,153,157,161
dca-channel 5g bandwidth 80mhz
air-scan-profile name scan
scan-channel-set dca-channel
radio-2g-profile name radio2g
air-scan-profile scan
radio-5g-profile name radio5g
air-scan-profile scan
mobility-group name mob
member ip-address 10.1.100.1
member ip-address 10.1.200.1
ap-group name group1
radio 0
radio-2g-profile radio2g
vap-profile vap1 wlan 1
radio 1
radio-5g-profile radio5g
vap-profile vap1 wlan 1
ap-id 0 type-id 69 ap-mac 00e0-fca0-3230 ap-sn 210235448310F25C9A19
ap-name ap1
ap-group group1
#AC2構成
#
sysname AC2
#
vlan batch 101 to 102 200
#
dhcp enable
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface
#
interface Vlanif200
ip address 10.1.200.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 102 200
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 200
port trunk allow-pass vlan 200
#
ip route-static 10.1.100.0 255.255.255.0 10.1.200.2
#
capwap source interface vlanif200
capwap dtls inter-controller control-link encrypt
capwap dtls inter-controller psk %^%#5qb15)P4YMRulo6H&0X)Pc%<'q\*MT6CG.X|_D\O%^%
#
wlan
calibrate enable schedule time 03:00:00
security-profile name sec
security wpa-wpa2 psk pass-phrase %^%#x>'~'fVSZ-OK0Z'{h#\)r$inAh(QQIV[VyV8d1HW
%^%# aes
ssid-profile name test
ssid test
ssid-profile name default
vap-profile name vap2
service-vlan vlan-id 102
ssid-profile test
security-profile sec
regulatory-domain-profile name default
dca-channel 2.4g channel-set 1,2,3,4,5,6,7
dca-channel 5g channel-set 149,153,157,161
dca-channel 5g bandwidth 80mhz
air-scan-profile name scan
scan-channel-set dca-channel
radio-2g-profile name default
radio-2g-profile name radio2g
air-scan-profile scan
radio-5g-profile name radio5g
air-scan-profile scan
mobility-group name mob
member ip-address 10.1.100.1
member ip-address 10.1.200.1
ap-group name group2
radio 0
radio-2g-profile radio2g
vap-profile vap2 wlan 1
radio 1
radio-5g-profile radio5g
vap-profile vap2 wlan 1
ap-id 0 type-id 69 ap-mac 00e0-fca7-3ae0 ap-sn 2102354483103912D426
ap-name ap1
ap-group group2
#