弘浩明傳AC培訓(xùn)之配置篇V.pptVIP

AC培訓(xùn)之配置篇,Date /2011.07,技術(shù)支持部,Title,學(xué)習(xí)目標(biāo) DHCP+WEB配置 VRRP配置 中移動(dòng)業(yè)務(wù)配置 SNMP配置 隧道配置 NAT配置 AP升級(jí)配置 AC升級(jí)配置,1、學(xué)習(xí)目標(biāo)1中移動(dòng)典型應(yīng)用,1、學(xué)習(xí)目標(biāo)2聯(lián)通&電信典型應(yīng)用,1、配置環(huán)境搭建,AC的控制臺(tái)提供3種配置方式： 串口配置方式本地維護(hù)?？梢杂糜谂渲霉芾砟K的接口路由配置，接入模塊的所有配置；管理與接入的debug調(diào)試等。 Telnet配置方式本地、遠(yuǎn)程維護(hù)?？梢杂糜谂渲媒尤肽K的所有配置；管理與接入的debug調(diào)試等。 Web（https）配置方式本地、遠(yuǎn)程維護(hù)?？梢杂糜谂渲霉芾砟K的業(yè)務(wù)配置（ac部分，snmp部分） 注：接入模塊只有CLI命令行形式；管理模塊有CLI命令行形式，同時(shí)也有web形式。,1.1、串口配置方式,將微機(jī)串口通過(guò)標(biāo)準(zhǔn)的RS232串口線與AC的配置串口連接，使用Windows等操作系統(tǒng)下的超級(jí)終端工具軟件進(jìn)行配置 打開(kāi)超級(jí)終端 開(kāi)始-程序-附件-通訊-超級(jí)終端 設(shè)置超級(jí)終端參數(shù) 鍵入名稱：AC（名字可自定） 連接使用：直接連接到串口1（根據(jù)實(shí)際情況而定） 端口設(shè)置：115200bit/s、8位數(shù)據(jù)位、無(wú)校驗(yàn)、 1位停止位、無(wú)流控 終端類型：VT100或自動(dòng)檢測(cè) 注意：每單板上有兩個(gè)COM（串口），分別用于管理 管理模塊與接入模塊。,PC,RS232串口線,1.2、telnet配置方式,由于管理模塊與接入模塊使用同樣的公網(wǎng)地址，所以telnet到管理模塊與接入模塊是使用不同的tcp端口來(lái)區(qū)分的，即： telnet x.x.x.x接入模塊 telnet x.x.x.x 87管理模塊 說(shuō)明：上面情況是對(duì)于新硬件平臺(tái)而說(shuō)的，對(duì)于舊硬件平臺(tái)，則是分別telnet對(duì)應(yīng)的地址，端口號(hào)均為默認(rèn)的23。,1.3、系統(tǒng)的缺省登錄口令,接入模塊 串口/telnet登錄的口令： Login:bnas Password:bnas ACenable Password:super 管理模塊 串口/telnet登錄的口令： web登錄的口令： cwcos login: root 用戶名：icac Password:fitap_ 密碼:icaclogin,2、系統(tǒng)的名稱修改,1）接入模塊的名稱配置 AC(config)# hostname hostname 經(jīng)驗(yàn)：一方面根據(jù)運(yùn)營(yíng)商要求配置，另外一方最好取一個(gè)表明設(shè)備所在位置以及設(shè)備型號(hào)的名稱，便于工程維護(hù)。 2）管理模塊的名稱配置 注意：上述管理模塊的名稱是給網(wǎng)管采集使用的，即網(wǎng)管采集到的AC名稱由上述提供。,3、接口/路由相關(guān)配置（接入模塊）, 創(chuàng)建子接口（必須） AC(config)# interface GigabitEthernet 1/0.0 說(shuō)明：模塊號(hào)為1-3（依據(jù)單板不定）；接口編號(hào)為0-7（依據(jù)單板不定）；子接口號(hào)的編號(hào)規(guī)定為0-255 ，最好與vlan保持一致； 配置vlan（封裝vlan的情況下必須） AC(config-interface)# vlan id 10 配置IP地址（必須） AC(config-interface)# ip address 端口描述（可選） AC(config-interface)# description 路由配置（必須） AC(config)# ip route ipAddress ipMask ipNextHop 保存配置（必須） AC# copy running-config startup-config,3、接口/路由相關(guān)配置（管理模塊）, 接口（必須） #vi /etc/network.d/ifcfg-eth0 (綜合接入板) 6004與6006請(qǐng)使eth7 DEVICE=eth0 ONBOOT=yes BOOTPROTO=none NETMASK= IPADDR= TYPE=Ethernet USERCTL=no IPV6INIT=no PEERDNS=yes 修改網(wǎng)絡(luò)參數(shù)使之馬上生效請(qǐng)使用 路由（必須 ） /etc/init.d/network restart #vi /etc/network.d/static_route 保存配置請(qǐng)使用： default gw copy_run_to_startup 注：vi編輯之后，使用 wq！保存退出。,4、Radius相關(guān)配置,RADIUS是基于server/client體系結(jié)構(gòu)的協(xié)議，在體系中，BGATE1030W是作為radius client的，支持的協(xié)議標(biāo)準(zhǔn)有RFC2865、RFC2866、RFC2869等。AC作為Radius Client必須要和Radius Server的配置相匹配。,4.1、radius-client, 進(jìn)入radius-client配置模式（必須） AC(config)#radius-client */注意中間是橫杠，并且要連寫(xiě) 配置一個(gè)IP地址（必須） */IP地址為VRRP地址，即注冊(cè)AC-Name的地址 AC(radius-client)#ipaddress A.B.C.D */注意ipaddress連寫(xiě) 關(guān)閉cache AC(radius-client)#cache-interval 0 */0表示關(guān)閉，即不緩存radius信息 指定廠家碼 AC(radius-client) vendor-id 8458 */根據(jù)廠家自定義 配置認(rèn)證UDP端口（可選） AC(radius-client)# auth-port 1645 */默認(rèn)為1645 配置計(jì)費(fèi)UDP端口（可選） AC(radius-client)# account-port 1646 */默認(rèn)為1646 可以使用show命令確認(rèn)配置成功與否 AC# show radius client */注意中間無(wú)橫杠，中間要空格,4.1、radius-client（配置樣本）,radius-client */radius客戶端 ipaddress 32 cache-interval 0 vendor-id 8458,4.2、radius-server, 建立一個(gè)Radius-Server子模式，包含IP地址及server類型（必須） AC(config) #radius-server A.B.C.D authentication | accounting */注意中間是橫杠，并且要連寫(xiě) 配置共享密碼（必須） AC(radius-server)#key string 配置UDP端口號(hào)（可選） AC(radius- server)# udp-port port */認(rèn)證默認(rèn)為1645，計(jì)費(fèi)默認(rèn)為1646 經(jīng)驗(yàn)：radius的ip，密鑰，端口號(hào)均由運(yùn)營(yíng)商提供，需要提前得知。 配置超時(shí)時(shí)間（可選） AC(radius- server)# timeout time */默認(rèn)3秒鐘，建議配置30秒鐘 可以使用show命令確認(rèn)配置成功與否 AC# show radius server A.B.C.D authentication | accounting */注意中間無(wú)橫杠，中間要空格。此命令在判斷認(rèn)證的時(shí)候相當(dāng)有用，是常用的調(diào)試命令之一。,4.2、radius-server（配置樣本）,radius-server authentication */湖南省radius認(rèn)證服務(wù)器 key 8889 udp-port 1645 timeout 30 radius-server accounting */湖南省radius計(jì)費(fèi)服務(wù)器 key 8889 udp-port 1646 timeout 30 radius-server 38 authentication */集團(tuán)radius認(rèn)證服務(wù)器 key 88-89 udp-port 1645 timeout 30 radius-server 38 accounting */集團(tuán)radius計(jì)費(fèi)服務(wù)器 key 88-89 udp-port 1646 timeout 30,5、服務(wù)策略配置,AC的服務(wù)策略有三種：帶寬策略、路由策略和過(guò)濾策略。 帶寬策略對(duì)用戶進(jìn)行了流控，滿足不同的用戶需求，也防止了流量攻擊； 路由策略為用戶虛擬了一個(gè)路由器，使不同的用戶訪問(wèn)不同的網(wǎng)絡(luò)，增強(qiáng)了安全性； 過(guò)濾策略可以控制用戶訪問(wèn)哪些IP網(wǎng)段及端口，為用戶提供多樣化的業(yè)務(wù)服務(wù)。 機(jī)制：服務(wù)策略可以引用在ip-pool中，也可以引用在domain域中。當(dāng)引用在ip-pool中的時(shí)候，是作為白名單出現(xiàn)的，觸發(fā)強(qiáng)制portal；當(dāng)引用在domain域中的時(shí)候，是作為ACL出現(xiàn)的，即用戶訪問(wèn)控制。 AC配置服務(wù)策略前，必須先配置帶寬、路由和過(guò)濾三種策略，然后才能將服務(wù)策略指定給用戶，步驟如下： 配置帶寬策略庫(kù)、路由策略庫(kù)和過(guò)濾策略 在配置服務(wù)策略庫(kù)中指定帶寬、路由策略和過(guò)濾策略 針對(duì)不同類型的接入用戶，從服務(wù)策略庫(kù)中選擇服務(wù)策略來(lái)配置,5、服務(wù)策略配置（續(xù)）,5、服務(wù)策略配置（帶寬策略）,第一步：配置帶寬策略名稱 AC(config)# rate-policy bandname 第二步：配置策略所使用的帶寬 AC(rate-policy)# downstream number1 number2 AC(rate-policy)# upstream number3 number4 其中downstream和upstream參數(shù)的單位是：字節(jié)/秒，分別代表： number1：用戶每秒平均下行的字節(jié)數(shù) number2：用戶每秒爆發(fā)下行的字節(jié)數(shù) number3：用戶每秒平均上行的字節(jié)數(shù) number4：用戶每秒爆發(fā)上行的字節(jié)數(shù) 說(shuō)明：帶寬控制有兩個(gè)方式，一種是如上述在AC上配置，一種是radius下發(fā)，前者一般稱作根據(jù)域的帶寬控制，后者稱作根據(jù)用戶的帶寬控制。 思考：大家通常說(shuō)的1M，單位是1Mbit/s，如何換算。,5、服務(wù)策略配置（過(guò)濾策略）,第一步：定義過(guò)濾規(guī)則 rule rule-name permit | deny ip | tcp | udp src-ip src-mask src-port dest-ip dest-mask dest-port 如果此規(guī)則對(duì)所有IP地址都適用，則可將IP地址和掩碼都設(shè)為 如果此規(guī)則對(duì)某一指定IP適用，可將掩碼設(shè)為55 若將tcp或udp的端口設(shè)為0，則此規(guī)則對(duì)所有tcp或udp端口都適用。 第二步：配置過(guò)濾策略的名稱 AC(config)# filter-policy filter-name 第三步：引用前面配置好的過(guò)濾規(guī)則 AC(filter-policy)# filter-rule rule-name,5、服務(wù)策略配置（路由策略）,第一步：配置虛擬路由器 虛擬路由器的配置建立AC下一跳路由器的IP地址和名字的映射，一個(gè)名字只能對(duì)應(yīng)一個(gè)下一跳IP地址，而同一個(gè)下一跳IP地址可以對(duì)應(yīng)多個(gè)名字。 AC(config)# virtual-router-map router-name A.B.C.D 第二步：配置路由策略名稱 AC(config)# route-policy policyname 第三步：配置路由策略的下一跳 指定本策略的下一跳是上面配置好的虛擬路由器。 AC(route-policy)# next-hop router-name,5、服務(wù)策略配置（封裝服務(wù)策略）,第一步：配置服務(wù)策略的名稱 AC(config)# service-policy servicename 第二步：引用前面已經(jīng)配置好的帶寬策略或過(guò)濾策略或路由策略 AC(service-policy)# rate-policy bandname AC(service-policy)# route-policy routepolicyname AC(service-policy)# filter -policy filterpolicyname 服務(wù)策略是帶寬策略、路由策略和過(guò)濾策略的集合，一條服務(wù)策略可以 既包含帶寬策略、路由策略和過(guò)濾策略，也可以只包含三者中的某一組 合，但是最多只能包含一條帶寬策略、一條路由策略和一條過(guò)濾策略,5、服務(wù)策略配置（配置樣本1）,rule internet permit ip rule dns permit udp 211.142.210100 55 53 */dns地址 rule dns2 permit udp 07 55 53 */dns2地址 rule portal permit ip 0 55 */省portal地址 rule portal2 permit ip 40 55 */集團(tuán)portal地址 rule apple1 permit ip 5 55 */蘋(píng)果白名單 rule apple2 permit ip 5 55 */蘋(píng)果白名單 rule apple3 permit ip 5 55 */蘋(píng)果白名單 rule apple4 permit ip 5 55 */蘋(píng)果白名單 rule apple5 permit ip 5 55 */蘋(píng)果白名單 rule apple6 permit ip 5 55 */蘋(píng)果白名單 rule guoman permit ip 33 55 */蘋(píng)果白名單&國(guó)際漫游portal地址 rule geotrust permit ip 4 55 */國(guó)漫客戶端證書(shū)服務(wù)器地址,5、服務(wù)策略配置（配置樣本2）,filter-policy internet filter-rule internet filter-policy portal filter-rule dns filter-rule dns2 filter-rule portal filter-rule portal2 filter-rule apple1 filter-rule apple2 filter-rule apple3 filter-rule apple4 filter-rule apple5 filter-rule apple6 filter-rule guoman filter-rule geotrust,rate-policy 2m */根據(jù)域的帶寬控制 downstream 262144 262144 upstream 262144 262144 service-policy internet filter-policy internet rate-policy 2m service-policy portal filter-policy portal,6、SSID域配置,配置域名（必須） AC(config)# domain domainname AC(config)# domain default 說(shuō)明：1、當(dāng)用戶關(guān)聯(lián)的SSID找不到對(duì)應(yīng)的域名時(shí)，用戶將轉(zhuǎn)到缺省域中認(rèn)證、計(jì)費(fèi)。工程經(jīng)驗(yàn)：一般把default配置為集團(tuán)的portal。2、default必須要正確，否則不代表默認(rèn)域。 配置關(guān)聯(lián)SSID的強(qiáng)制portal的URL（必須） AC(domain)# portal-url URL 配置域使用的Radius Server （必須） AC(domain)# radius server A.B.C.D authentication AC(domain)# radius server E.F.G.H accounting 配置域使用的備份Radius Server （可選） AC(domain)# radius server I.J.K.L authentication AC(domain)# radius server M.N.O.P accounting 說(shuō)明：先配置的服務(wù)器就是主服務(wù)器，后配置的就是備份服務(wù)器。,6、SSID域配置（續(xù)）,配置實(shí)時(shí)計(jì)費(fèi)（可選） BGATE1030W(domain)# interim-time timenum 單位秒 說(shuō)明：實(shí)時(shí)計(jì)費(fèi)有兩種方式，一種方式是如上面在AC中配置，另外一種方式是用戶在認(rèn)證中radius返回給AC，后者是目前移動(dòng)采用的。如果兩個(gè)方式共存的情況，AC以radius返回的屬性優(yōu)先。 在域中配置服務(wù)策略（可選） AC(domain)#service-policy spname 說(shuō)明：spname必須是已經(jīng)定義好的服務(wù)策略 。 在域中配置認(rèn)證成功之后推送廣告頁(yè)面（可選） AC(domain)# push adurl 配置DNS Server地址（只對(duì)PPPoE有效） AC(domain)# dns A.B.C.D E.F.G.H,6、SSID域配置（配置樣本）,domain CMCC-EDU */省公司域，域推portal，域認(rèn)證 portal-url 0 radius server authentication radius server accounting service-policy internet domain CMCC */集團(tuán)域，域推portal，域認(rèn)證 portal-url 40/wlan/index.php radius server 38 authentication radius server 38 accounting service-policy internet domain CMCC-Starbucks */星巴克域，域推portal，域認(rèn)證 portal-url 40/wlan/index.php radius server 38 authentication radius server 38 accounting service-policy internet domain default */默認(rèn)域 radius server 38 authentication radius server 38 accounting service-policy internet,7、AP的地址池配置（二層）,AC(config)# ip dhcp server x.x.x.x */必須，如果沒(méi)有配置，AC將無(wú)法提供dhcp server功能。運(yùn)維中有請(qǐng)注意這點(diǎn)。 說(shuō)明：1）該地址必須要是AC上的某個(gè)接口ip；2）如果是有主備組網(wǎng)，主備機(jī)需要保證一致。 配置ip-pool AC(config)# ip-pool pool-name AC(ip-pool)# ipaddress ip-net ip-mask AC(ip-pool)# alloc-mode localdhcp AC(ip-pool)# default-router 地址池網(wǎng)關(guān)地址 AC(ip-pool)# dns-server prime-dns second-dns */如果不進(jìn)行dns發(fā)現(xiàn)，不需配置 AC(ip-pool)# max-lease 時(shí)間 AC(ip-pool)# option-60 ac-manage-ip x.x.x.x */此ip為管理模塊的ip地址，作用是通過(guò)option60屬性告知AP，AC的地址是什么 AC(ip-pool)# option-43 ip-list x.x.x.x */此ip為管理模塊的ip地址，作用是通過(guò)option43屬性告知AP，AC的地址是什么 AC(ip-pool)# option-60 enterprise-code 廠家企業(yè)碼 */必須，這條配置表明此ip-pool是給AP使用。AC將優(yōu)先匹配，運(yùn)維中有請(qǐng)注意這點(diǎn)。 AC(ip-pool)# available-interface port id vlan id */必須配置這一對(duì)應(yīng)關(guān)系，否則用戶不能獲得地址，運(yùn)維中有請(qǐng)注意這點(diǎn)。,7、AP的地址池配置（二層配置樣本）,ip-pool fitap ipaddress alloc-mode localdhcp default-router option-60 ac-manage-ip option-43 ip-list option-60 enterprise-code 8458 max-lease 3600 available-interface port 1 vlan 3655 available-interface port 1 vlan 3651 available-interface port 1 vlan 3662 available-interface port 2 vlan 3660 available-interface port 2 vlan 3661 available-interface port 2 vlan 3657,7、AP的地址池配置（三層）,AC(config)# ip dhcp server x.x.x.x */必須，如果沒(méi)有配置，AC將無(wú)法提供dhcp server功能。運(yùn)維中，有請(qǐng)注意這點(diǎn)。 說(shuō)明：1）該地址必須要是AC上的某個(gè)接口ip；2）如果是有主備組網(wǎng)，主備機(jī)需要保證一致。 配置ip-pool AC(config)# ip-pool pool-name l3 AC(ip-pool)# ipnetwork ipnet ipmask nexthop */因?yàn)槭窍乱惶訟C上必須先配置同一個(gè)網(wǎng)段的接口地址 AC(ip-pool)# alloc-mode localdhcp AC(ip-pool)# default-router 地址池網(wǎng)關(guān)地址 AC(ip-pool)# reservedip A.B.C.D */網(wǎng)關(guān)地址必須要保留，不分配。 AC(ip-pool)# dns-server prime-dns second-dns */如果不進(jìn)行dns發(fā)現(xiàn)，不需配置 AC(ip-pool)# max-lease 時(shí)間 AC(ip-pool)# option-60 ac-manage-ip x.x.x.x */此ip為管理模塊的ip地址，作用是通過(guò)option60屬性告知AP，AC的地址是什么,7、AP的地址池配置（三層續(xù)）,AC(ip-pool)# option-60 ac-manage-ip x.x.x.x */此ip為管理模塊的ip地址，作用是通過(guò)option60屬性告知AP，AC的地址是什么 AC(ip-pool)# option-43 ip-list x.x.x.x */此ip為管理模塊的ip地址，作用是通過(guò)option43屬性告知AP，AC的地址是什么 AC(ip-pool)# option-60 enterprise-code 廠家企業(yè)碼 */必須，這條配置表明此ip-pool是給AP使用。AC將優(yōu)先匹配，運(yùn)維中有請(qǐng)注意這點(diǎn)。 AC(config)# ip pool pool-name available-interface port | port-port */必須配置這一對(duì)應(yīng)關(guān)系，否則用戶不能獲得地址，運(yùn)維中有請(qǐng)注意這點(diǎn)。同時(shí)，在進(jìn)行no地址的時(shí)候，必須先no此綁定關(guān)系，然后再no地址池，否則此配置no不干凈。 二層與三層地址池在配置上的區(qū)別： 1）地址池名稱配置上，三層有關(guān)鍵字l3； 2）地址范圍配置上，三層必須要指下一跳； 3）三層必須保留網(wǎng)關(guān)地址； 思考：此保留的地址一般是什么設(shè)備的地址？ 4）地址池與接口的綁定關(guān)系上，二層必須配置地址池中，而三層必須配置在全局模式下。,7、AP的地址池配置（三層配置樣本）,ip-pool fitap3 l3 ipaddress alloc-mode localdhcp default-router reservedip option-60 ac-manage-ip option-43 ip-list option-60 enterprise-code 32870 max-lease 3600 ip pool fitap3 available-interface 1,8、STA的地址池配置,AC(config)# ip dhcp server x.x.x.x */必須，如果沒(méi)有配置，AC將無(wú)法提供dhcp server功能。運(yùn)維中有請(qǐng)注意這點(diǎn)。 說(shuō)明：1）該地址必須要是AC上的某個(gè)接口ip；2）如果是有主備組網(wǎng)，主備機(jī)需要保證一致。 配置ip-pool AC(config)# ip-pool pool-name AC(ip-pool)# ipaddress ip-net ip-mask AC(ip-pool)# alloc-mode localdhcp AC(ip-pool)# default-router 地址池網(wǎng)關(guān)地址 AC(ip-pool)# dns-server prime-dns second-dns */必須配置，并且必須在白名單中定義。 AC(ip-pool)# max-lease 時(shí)間 AC(ip-pool)# service-policy servicename */必須配置，并且是已經(jīng)定義好的服務(wù)策略 AC(ip-pool)# available-interface port id vlan id */必須配置這一對(duì)應(yīng)關(guān)系，否則用戶不能獲得地址，運(yùn)維中有請(qǐng)注意這點(diǎn)。 思考：同樣是二層地址池，AC是如何判斷哪個(gè)dhcp請(qǐng)求是AP的，哪個(gè)是STA的，同時(shí)AC的處理原理如何？,8、STA的地址池配置（配置樣本）,ip-pool user-gaoxiao ipaddress alloc-mode localdhcp default-router max-lease 900 dns-server 00 07 service-policy portal available-interface port 1 vlan 3656 available-interface port 1 vlan 3658,9、VRRP配置,VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議。,9、VRRP配置（原理）,內(nèi)部實(shí)現(xiàn)： 使用了兩種協(xié)議，分別用于維護(hù)主備設(shè)備的狀態(tài)與用戶信息； 1）維護(hù)主備狀態(tài)使用的是改造的VRRP協(xié)議。 2）用戶信息的備份通過(guò)私有協(xié)議，基于TCP協(xié)議。主設(shè)備會(huì)向備份設(shè)備發(fā)送所有用戶數(shù)據(jù)，確保備份信息不丟失 。 熱備份組網(wǎng)要求 在上行側(cè)，主、備設(shè)備共占用三個(gè)處于同一網(wǎng)段的IP地址，和三個(gè)MAC地址： 在運(yùn)維上，主、備設(shè)備各使用一個(gè)IP地址，各使用一個(gè)MAC地址； 在業(yè)務(wù)上，主備設(shè)備合用虛擬IP地址、虛擬MAC地址； 主備設(shè)備的上行端口均是打開(kāi)的，因此這三個(gè)IP地址均可被telnet，方便運(yùn)維； 在接入側(cè)，AC使用虛擬MAC的機(jī)制，主備設(shè)備的相同端口使用相同的MAC地址（通過(guò)命令實(shí)現(xiàn)MAC地址一致），但只有主設(shè)備的接入端口打開(kāi)；使用戶不會(huì)從備設(shè)備上接入；,9、VRRP配置（1）,第一步：配置心跳端口，定義VRRP組號(hào) AC(config-interface)# standby peerip x.x.x.x group_id */必須先配置心跳接口，然后才能配置VRRP接口，同時(shí)兩者的group_id必須保持一致。 參數(shù)說(shuō)明：x.x.x.x這個(gè)ip地址是對(duì)端設(shè)備對(duì)應(yīng)心跳接口的ip地址； group_id的范圍是116.。 第二步：配置VRRP接口 AC(config-interface)# standby vrip y.y.y.y group_id */必須與對(duì)應(yīng)心跳端口的group_id必須保持一致。 參數(shù)說(shuō)明：y.y.y.y這個(gè)ip地址是虛擬對(duì)外的地址，主備機(jī)一致，同時(shí)必須要與本接口的實(shí)際ip在同一網(wǎng)段；,9、VRRP配置（2）,第三步：配置檢測(cè)端口 AC(config)# hotstandby track-port inter_id */AC只會(huì)檢測(cè)配置了接口的狀態(tài)情況（up變down），工程中一般把帶有業(yè)務(wù)的接口配置上，如上行口，下行接入口。 說(shuō)明：主備AC的切換條件 1）備用AC在規(guī)定的周期之內(nèi)，沒(méi)有收到主用AC的心跳； 2）配置了檢測(cè)端口的端口狀態(tài)由up變成down； 3）BFD檢測(cè)機(jī)制 4）配置了強(qiáng)制模式，優(yōu)先級(jí)高的設(shè)備加入搶占 5）手工命令強(qiáng)制切換 第四步：指定接入端口 AC(config)# hotstandby access-port inter_id */工程中，如果是通過(guò)VRRP接口做單臂的組網(wǎng)，不需要配置此。思考：原因？,9、VRRP配置（3）,第五步：ip-pool配置對(duì)應(yīng)的VRRP組號(hào) AC(ip-pool)vrrp-group-id group_id */在1+1的情況下，主備AC都可以不配置，系統(tǒng)可以自動(dòng)尋找；但是在N+1（多個(gè)VRRP組）的情況下，在備用AC上必須要配置。 第六步：配置搶占模式 AC(config)# hotstandby preempt-mode enable */工程中，1+1的情況下，一般不建議配置，因?yàn)闀?huì)多發(fā)生一次切換；在N+1的情況下，必須要配置； 第七步：配置VRRP優(yōu)先級(jí) AC(config)# hotstandby priority num */系統(tǒng)默認(rèn)優(yōu)先級(jí)100 查看命令： show hotstandby global,9、VRRP配置（1+1配置樣本）,主用： hotstandby track-port 0 hotstandby track-port 1 hotstandby access-port 1 interface GigabitEthernet 1/3.0 ip address 52 standby peerip group-id 1 interface GigabitEthernet 1/0.11 vlan id 11 ip address 30 48 standby vrip 32 group-id 11,備用： hotstandby track-port 0 hotstandby track-port 1 hotstandby access-port 1 interface GigabitEthernet 1/3.0 ip address 52 standby peerip group-id 1 interface GigabitEthernet 1/0.11 vlan id 11 ip address 31 48 standby vrip 32 group-id 11,9、VRRP配置（N+1配置樣本）,Master1： hotstandby preempt-mode enable hotstandby priority 150 hotstandby track-port 0 hotstandby track-port 1 interface GigabitEthernet 1/2.101 vlan id 101 ip address standby peerip group-id 1 description Heartbeat_Line_To_Backup_AC3 interface GigabitEthernet 1/0.0 vlan id 188 ip address 0 48 standby vrip 3 group-id 1 port-access description Downlink_To_S8512 ip-pool ap181 l3 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-43 ip-list 6 0 option-60 enterprise-code 32870 vrrp-group-id 1,Master2： hotstandby preempt-mode enable hotstandby priority 150 hotstandby track-port 0 hotstandby track-port 1 interface FastEthernet 0/0 ip address standby peerip group-id 2 description Heartbeat_Line_To_Backup_AC3 interface GigabitEthernet 1/0.0 vlan id 188 ip address 2 48 standby vrip 4 group-id 2 port-access description Downlink_To_S8512 ip-pool ap201 l3 description DG-QS-BAS-2.M.ME60 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-60 enterprise-code 32870 option-43 ip-list 4 0 vrrp-group-id 2,Backup： hotstandby preempt-mode enable hotstandby priority 100 hotstandby track-port 0 hotstandby track-port 1 interface GigabitEthernet 1/2.101 vlan id 101 ip address standby peerip group-id 1 interface FastEthernet 0/0 ip address standby peerip group-id 2 interface GigabitEthernet 1/0.0 vlan id 188 ip address 1 48 standby vrip 3 group-id 1 standby vrip 4 group-id 2 port-access ip-pool ap181 l3 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-43 ip-list 6 0 option-60 enterprise-code 32870 vrrp-group-id 1 ip-pool ap201 l3 description DG-QS-BAS-2.M.ME60 ipnetwork 24 9 alloc-mode localdhcp max-lease 1200 default-router reservedip option-60 enterprise-code 32870 option-43 ip-list 4 0 vrrp-group-id 2,10、中移動(dòng)業(yè)務(wù)配置（全局）,1） AC(config)# wapi enable */把radius報(bào)文中的NAS-Port-Type屬性修改為802.11（19），如下圖所示。這個(gè)集團(tuán)portal會(huì)進(jìn)行判斷。系統(tǒng)默認(rèn)為以太網(wǎng)類似。 2）指定外置Portal server的ip地址和URL AC(config)# portalserver 40 external url-head 40/wlan/index.php */配置全局portal為集團(tuán)portal 3）配置AC-NAME AC(config)# ex-portal ac-name 1029.0731.731.00 wlanacip 32 */配置acname。工程中，請(qǐng)?zhí)崆吧暾?qǐng)，此名稱必須在集團(tuán)注冊(cè)，否則強(qiáng)制的URL頁(yè)面將無(wú)法正常顯示。 4） AC(config)# wireless star-bucks enable */兩個(gè)作用，一個(gè)是打開(kāi)星巴克功能，另外一個(gè)是在radius報(bào)文中上報(bào)Called-Staion-Id這個(gè)屬性，即AP的BSSID：SSID，這個(gè)屬性集團(tuán)portal會(huì)進(jìn)行判斷。如下圖所示： 5） AC(config)# web redirect-delay 0 6） AC(config)# portal-secure-off */關(guān)閉portal的源地址檢測(cè)，系統(tǒng)缺省只對(duì)源地址為配置的portal地址的報(bào)文進(jìn)行處理。但是在這種情況下需要配置，如portal服務(wù)器采用集群的形式，收包與發(fā)包用的地址不一樣，就必須配置。,10、中移動(dòng)業(yè)務(wù)配置（隨e行客戶端）,AC(config)# wapi portal-client anye */打開(kāi)隨E行客戶端功能 AC(config)# wapi anye-url 40/index.php */配置隨E行客戶端的portal URL AC(config)# wapi set-anye-feature baidu */配置隨E行客戶端中的關(guān)鍵字 說(shuō)明：隨e行客戶端與普通的WEB認(rèn)證流程實(shí)際上完全一致，但是由于歷史原因，目前AC是分兩種業(yè)務(wù)進(jìn)行處理的。AC版本將在后續(xù)的版本合二為一，到時(shí)此處不需要配置。,10、中移動(dòng)業(yè)務(wù)配置（多portal&radius）,AC(config)# portal-bind-type domain */打開(kāi)根據(jù)SSID使用域domain中配置的portal 說(shuō)明：系統(tǒng)支持4種強(qiáng)制portal模式，如AC(config)# portal-bind-type gobal | start-bucks | vlan-nas-identifier | domain，即全局portal，星巴克，根據(jù)vlan推送portal，根據(jù)域推送portal。在目前瘦AP系統(tǒng)中，一般情況下配置根據(jù)域推送portal。 AC(config)# wireless ssid-match-domain enable */打開(kāi)根據(jù)SSID使用對(duì)應(yīng)的radius（domain）的功能開(kāi)關(guān) 先決條件：1）接入模塊必須打開(kāi)與管理模塊的數(shù)據(jù)同步功能開(kāi)關(guān)；2）接入模塊必須學(xué)習(xí)到STA的無(wú)線用戶表，即wireless表，在接入模塊上可以使用show wireless station查看。 上述兩點(diǎn)在運(yùn)維中是重要手段。,10、中移動(dòng)業(yè)務(wù)配置（國(guó)際漫游）,配置要點(diǎn)： 1、國(guó)際漫游的兩個(gè)白名單地址 AC(config)# rule guoman permit ip