C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  新兵

注册:2023-6-21
发表于 2023-11-5 12:05:56 |显示全部楼层
  • 配置DBA模板。
    • 配置ONT管理的DBA模板。
      ONT管理可以和业务使用相同的DBA模板,但是如果和业务使用相同的DBA模板,存在业务通道和管理通道竞争带宽的情况,极限情况下会出现管理通道大量丢包,ONT会出现掉线的情况,所以推荐管理通道使用单独的DBA,配置FIX带宽。保障AP的管理不受业务带宽影响。
      huawei(config)#dba-profile add profile-name dba_capwap type1 fix 5120
    • 配置Wi-Fi业务的DBA模板。
      Wi-Fi 业务上行带宽配置,可根据业务规划配置,推荐配置MAX带宽,值为PON口剩余最大带宽。
      huawei(config)#dba-profile add profile-name dba_service type4 max 9535488

  • 配置ONT线路模板。
    此处主要配置TCONT和GEMPORT。推荐配置两个TCONT,分别绑定上一步创建的DBA模板。
    • TCONT 1 用于ONT的管理和Wi-Fi 802.1X 认证,分别绑定对应的GEMPORT。
    • TCONT 2 用于Wi-Fi业务,根据业务需要绑定相应的GEMPORT。
    huawei(config)#ont-lineprofile gpon profile-name ap_lineprofilehuawei(config-gpon-lineprofile-2)#tcont 1 dba-profile-name dba_capwaphuawei(config-gpon-lineprofile-2)#tcont 2 dba-profile-name dba_servicehuawei(config-gpon-lineprofile-2)#gem add 1 eth tcont 1huawei(config-gpon-lineprofile-2)#gem mapping 1 0 vlan 2huawei(config-gpon-lineprofile-2)#gem mapping 1 1 vlan 3huawei(config-gpon-lineprofile-2)#gem add 2 eth tcont 2huawei(config-gpon-lineprofile-2)#gem mapping 2 0 vlan 100huawei(config-gpon-lineprofile-2)#gem mapping 2 1 vlan 200huawei(config-gpon-lineprofile-2)#gem mapping 2 2 vlan 300huawei(config-gpon-lineprofile-2)#commithuawei(config-gpon-lineprofile-2)#quit
  • 配置ONT业务模板。
    业务模板根据ONT能力集配置,如果涉及ONT环路检测,端口隔离等,也可在此处配置。huawei(config)#ont-srvprofile gpon profile-name ap_srvprofilehuawei(config-gpon-srvprofile-2)#ont-port eth adaptive pots adaptivehuawei(config-gpon-srvprofile-2)#commithuawei(config-gpon-srvprofile-2)#quit

  • 添加ONT。
    添加ONT,绑定上面创建的线路模板和业务模板。
    huawei(config)#interface gpon 0/1//添加ONT_1huawei(config-if-gpon-0/1)#ont add 0 0 sn-auth 485754431D005288 omci ont-lineprofile-name ap_lineprofile ont-srvprofile-name ap_srvprofile ont-type 10g/10g//添加ONT_2huawei(config-if-gpon-0/1)#ont add 0 1 sn-auth 485754431D005388 omci ont-lineprofile-name ap_lineprofile ont-srvprofile-name ap_srvprofile ont-type 10g/10ghuawei(config-if-gpon-0/1)#quit
  • 创建VLAN。
    • 创建Wi-Fi业务VLAN。huawei(config)#vlan 100 smarthuawei(config)#vlan 200 smarthuawei(config)#vlan 300 smarthuawei(config)#port vlan 100 0/1 0huawei(config)#port vlan 200 0/1 0huawei(config)#port vlan 300 0/1 0
    • 创建CAPWAP服务管理VLAN。huawei(config)#vlan 2 smarthuawei(config)#port vlan 2 0/1 0
    • 创建802.1x认证路由VLAN。huawei(config)#vlan 3 smarthuawei(config)#port vlan 3 0/1 0

  • 配置业务流。
    根据业务需要配置,主要涉及的业务流有CAPWAP管理通道对应的业务流和AP无线业务SSID对应VLAN的业务流。如果ONT Wi-Fi配置的是802.1X认证,还需要配置ONT与Radius服务器通信所用的业务流。
    //配置ONT_1的业务流huawei(config)#service-port 0 vlan 2 gpon 0/1/0 ont 0 gemport 1 multi-service user-vlan 2huawei(config)#service-port 1 vlan 3 gpon 0/1/0 ont 0 gemport 1 multi-service user-vlan 3huawei(config)#service-port 2 vlan 100 gpon 0/1/0 ont 0 gemport 2 multi-service user-vlan 100huawei(config)#service-port 3 vlan 200 gpon 0/1/0 ont 0 gemport 2 multi-service user-vlan 200huawei(config)#service-port 4 vlan 300 gpon 0/1/0 ont 0 gemport 2 multi-service user-vlan 300//配置ONT_2的业务流huawei(config)#service-port 0 vlan 2 gpon 0/1/0 ont 1 gemport 1 multi-service user-vlan 2huawei(config)#service-port 1 vlan 3 gpon 0/1/0 ont 1 gemport 1 multi-service user-vlan 3huawei(config)#service-port 2 vlan 100 gpon 0/1/0 ont 1 gemport 2 multi-service user-vlan 100huawei(config)#service-port 3 vlan 200 gpon 0/1/0 ont 1 gemport 2 multi-service user-vlan 200huawei(config)#service-port 4 vlan 300 gpon 0/1/0 ont 1 gemport 2 multi-service user-vlan 300


WLAN侧操作步骤
  • (可选)去使能防IP攻击和防ICMP攻击。
    亚星游戏官网-yaxin222
    • 对于V100R021C10版本,必须要使用security anti-ipattack disable命令去使能防IP攻击功能,否则OLT会丢弃从用户侧发来的目的地址是OLT IP地址的报文,造成AP发送的CAPWAP报文全部被丢弃,AP无法上线。
    • 对于V100R022C00版本,必须要使用基于CAPWAP服务管理VLAN的security anti-ipattack vlan vlanid disable命令去使能防IP攻击功能,在本配置示例中,vlanid指CAPWAP服务管理VLAN 2。
    • 对于V100R022C10及之后版本,不需要配置去使能防IP攻击功能。
    • 防ICMP攻击根据需要去使能,如果要进行AP和OLT间的Ping操作,则必须去使能。否则不需要去使能防ICMP攻击。


    huawei(config)#security anti-icmpattack disable
  • 使能DHCP Server功能。
    • 配置ONT管理IP地址池。
      ONT管理IP地址的分配可以使用OLT 自带的DHCP Server,也可以使用外部的DHCP Server。
      DHCP Server需要支撑配置option 43,option 43用来给AP指定AC地址。
      如果外部DHCP Server不支撑option 43,可以在配置ONT CAPWAP WAN时静态指定AC的地址。
      huawei(config)#interface vlanif 2huawei(config-if-vlanif2)#ip address 10.10.100.1 255.255.255.0huawei(config-if-vlanif2)#dhcp select interfacehuawei(config-if-vlanif2)#dhcp server ip-range 10.10.100.10 10.10.100.20huawei(config-if-vlanif2)#dhcp server lease day 0 hour 0 minute 2huawei(config-if-vlanif2)#dhcp server gateway-list 10.10.100.1huawei(config-if-vlanif2)#dhcp server mask 255.255.255.0huawei(config-if-vlanif2)#dhcp server option 43 sub-option 3 ascii 10.200.100.100huawei(config-if-vlanif2)#quit
    • 配置STA IP地址池。STA地址分配可以使用OLT自带DHCP Server,也可以使用外部DHCP Server。huawei(config)#interface vlanif 100huawei(config-if-vlanif101)#ip address 10.10.10.1 255.255.255.0huawei(config-if-vlanif101)#dhcp select interfacehuawei(config-if-vlanif101)#dhcp server ip-range 10.10.10.2 10.10.10.254huawei(config-if-vlanif101)#dhcp server lease day 0 hour 0 minute 2huawei(config-if-vlanif101)#dhcp server gateway-list 10.10.10.1huawei(config-if-vlanif101)#dhcp server mask 255.255.255.0huawei(config-if-vlanif101)#quithuawei(config)#interface vlanif 200huawei(config-if-vlanif102)#ip address 10.20.20.1 255.255.255.0huawei(config-if-vlanif102)#dhcp select interfacehuawei(config-if-vlanif102)#dhcp server ip-range 10.20.20.2 10.20.20.254huawei(config-if-vlanif102)#dhcp server lease day 0 hour 0 minute 2huawei(config-if-vlanif102)#dhcp server gateway-list 10.20.20.1huawei(config-if-vlanif102)#dhcp server mask 255.255.255.0huawei(config-if-vlanif102)#quithuawei(config)#interface vlanif 300huawei(config-if-vlanif103)#ip address 10.30.30.1 255.255.255.0huawei(config-if-vlanif103)#dhcp select interfacehuawei(config-if-vlanif103)#dhcp server ip-range 10.30.30.2 10.30.30.254huawei(config-if-vlanif103)#dhcp server lease day 0 hour 0 minute 2huawei(config-if-vlanif103)#dhcp server gateway-list 10.30.30.1huawei(config-if-vlanif103)#dhcp server mask 255.255.255.0huawei(config-if-vlanif102)#quit


  • 使能CAPWAP服务功能。
    • 绑定CAPWAP服务源接口。
      如果已绑定了CAPWAP源接口,则直接使能CAPWAP服务,否则需要绑定,推荐绑定源接口类型为“loopback”。因为“loopback”接口一旦创建其物理状态和链路协议状态永远是UP的,不受其他物理接口状态的影响。其次,“loopback”接口可以配置32为的掩码,可以达到节省地址空间的目的。
      亚星游戏官网-yaxin222
      CAPWAP服务支撑的源接口类型为“loopback”和“vlanif”,不支撑meth 0接口,缺省为loopback、接口索引号为0。


      huawei(config)#interface loopback 0huawei(config-if-loopback0)#ip address 10.100.100.100 32huawei(config)#sysman server source capwap loopback 0
    • 使能CAPWAP服务。huawei(config)#sysman service capwap enable
    亚星游戏官网-yaxin222配置完成后,可通过如下命令查询服务使能后的配置是否正确。huawei(config)#display interface loopback 0huawei(config)#display ip vpn-instancehuawei(config)#display sysman service statehuawei(config)#display sysman server source capwap



  • 配置CAPWAP服务WAN连接。
    huawei(config)#interface gpon 0/1//配置ONT_1huawei(config-if-gpon-0/1)#ont ipconfig 0 0 ip-index 0 dhcp vlan 2huawei(config-if-gpon-0/1)#ont capwap-config 0 0 ip-index 0 ac-ip dhcp//配置ONT_2huawei(config-if-gpon-0/1)#ont ipconfig 0 1 ip-index 0 dhcp vlan 2huawei(config-if-gpon-0/1)#ont capwap-config 0 1 ip-index 0 ac-ip dhcphuawei(config-if-gpon-0/1)#quit
  • 配置WLAN参数。
    • 配置SSID模板。设置SSID模板不同安全策略指定Wi-Fi的SSID模板名称、SSID名称以及每个SSID(VAP)允许接入的最大STA数量。huawei(config)#wlan//预共享密钥认证huawei(config-wlan)#ssid-profile name ssid_pskhuawei(config-wlan-ssid-prof-ssid_psk)#ssid ssid_pskhuawei(config-wlan-ssid-prof-ssid_psk)#max-sta-number 64huawei(config-wlan-ssid-prof-ssid_psk)#quit//Portal认证huawei(config-wlan)#ssid-profile name ssid_portalhuawei(config-wlan-ssid-prof-ssid_portal)#ssid ssid_portalhuawei(config-wlan-ssid-prof-ssid_portal)#max-sta-number 64huawei(config-wlan-ssid-prof-ssid_portal)#quit//802.1X认证huawei(config-wlan)#ssid-profile name ssid_dot1xhuawei(config-wlan-ssid-prof-ssid_dot1x)#ssid ssid_dot1xhuawei(config-wlan-ssid-prof-ssid_dot1x)#max-sta-number 64huawei(config-wlan-ssid-prof-ssid_dot1x)#quit
    • 配置安全模板。
      安全模板指定Wi-Fi 加密的相关参数(安全模板名称、安全策略),主要包括以下三类:802.1X、预共享密钥、开放。
      亚星游戏官网-yaxin222
      为了保证更好的安全性,推荐使用AES加密方式。配置预共享密钥时,推荐至少包含大写字母、小写字母、数字或特殊字符中两种或两种以上的形式。为保证设备安全,请定期修改密码。


      //预共享密钥认证huawei(config-wlan)#security-profile name sec_pskhuawei(config-wlan-sec-prof-sec_psk)#security wpa2 psk pass-phrase aesPlease configure the key(8-63):         Warning: This action may cause service interruption. Continue?(y/n) [n]:y Info: This operation may take a few seconds, please wait.done. huawei(config-wlan-sec-prof-sec_psk)#quit//Portal认证huawei(config-wlan)#security-profile name sec_portalhuawei(config-wlan-sec-prof-sec_portal)#security openhuawei(config-wlan-sec-prof-sec_portal)#quit//802.1X认证huawei(config-wlan)#security-profile name sec_dot1xhuawei(config-wlan-sec-prof-sec_dot1x)#security wpa2 dot1x aes-tkip 10.11.100.1 1812huawei(config-wlan-sec-prof-sec_dot1x)#quit
    • 配置VAP模板。
      将VAP模板分别与SSID模板、安全模板关联,同时指定SSID对应的业务VLAN。
      //预共享密钥认证huawei(config-wlan)#vap-profile name vap_pskhuawei(config-wlan-vap-prof-vap_psk)#ssid-profile ssid_pskhuawei(config-wlan-vap-prof-vap_psk)#security-profile sec_pskhuawei(config-wlan-vap-prof-vap_psk)#service-vlan vlan-id 100huawei(config-wlan-vap-prof-sec_psk)#quit//Portal认证huawei(config-wlan)#vap-profile name vap_portalhuawei(config-wlan-vap-prof-vap_portal)#ssid-profile ssid_portalhuawei(config-wlan-vap-prof-vap_portal)#security-profile sec_portalhuawei(config-wlan-vap-prof-vap_portal)#service-vlan vlan-id 200huawei(config-wlan-vap-prof-vap_portal)#quit//802.1X认证huawei(config-wlan)#vap-profile name vap_dot1xhuawei(config-wlan-vap-prof-vap_dot1x)#ssid-profile ssid_dot1xhuawei(config-wlan-vap-prof-vap_dot1x)#security-profile sec_dot1xhuawei(config-wlan-vap-prof-vap_dot1x)#service-vlan vlan-id 300huawei(config-wlan-vap-prof-vap_dot1x)#quit
    • (可选)配置空口扫描模板。huawei(config-wlan)#air-scan-profile name w826e_airscanhuawei(config-wlan-air-scan-prof-w826e_airscan)#undo scan-disablehuawei(config-wlan-air-scan-prof-w826e_airscan)#scan-period 60huawei(config-wlan-air-scan-prof-w826e_airscan)#scan-interval 180000huawei(config-wlan-air-scan-prof-w826e_airscan)#quit
    • (可选)配置RRM(无线资源管理)模板。huawei(config-wlan)#rrm-profile name w826e_rrmhuawei(config-wlan-air-rrm-prof-w826e_rrm)#rssi-roam rssi-threshold 71huawei(config-wlan-air-rrm-prof-w826e_rrm)#sta-load-balance high-load-threshold 5huawei(config-wlan-air-rrm-prof-w826e_rrm)#sta-load-balance co-cover-rssi 60huawei(config-wlan-air-rrm-prof-w826e_rrm)#sta-load-balance load-diff-threshold 20huawei(config-wlan-air-rrm-prof-w826e_rrm)#quit
    • (可选)配置2G射频模板。huawei(config-wlan)#radio-2g-profile name w826e_2ghuawei(config-wlan-radio-2g-prof-w826e_2g)#radio-type dot11axhuawei(config-wlan-radio-2g-prof-w826e_2g)#rrm-profile w826e_rrmhuawei(config-wlan-radio-2g-prof-w826e_2g)#air-scan-profile w826e_airscanhuawei(config-wlan-radio-2g-prof-w826e_2g)#quit
    • (可选)配置5G射频模板。huawei(config-wlan)#radio-5g-profile name w826e_5ghuawei(config-wlan-radio-5g-prof-w826e_5g)#radio-type dot11axhuawei(config-wlan-radio-5g-prof-w826e_5g)#rrm-profile w826e_rrmhuawei(config-wlan-radio-5g-prof-w826e_5g)#air-scan-profile w826e_airscanhuawei(config-wlan-radio-5g-prof-w826e_5g)#quit
    • (可选)配置管制域模板。huawei(config-wlan)#regulatory-domain-profile name domain1huawei(config-wlan-regulate-domain-domain1)#country-code cnhuawei(config-wlan-regulate-domain-domain1)#dca-channel 2.4g channel-set 1,6,11huawei(config-wlan-regulate-domain-domain1)#dca-channel 5g bandwidth 20mhzhuawei(config-wlan-regulate-domain-domain1)#dca-channel 5g channel-set 36,40,44,48,52,56,60,64,149,153,157,161,165huawei(config-wlan-regulate-domain-domain1)#quit
    • 配置AP组。在AP组中添加VAP模板,并指定VAP对应的射频(2.4G/5G)。huawei(config-wlan)#ap-group name ap_group1Info: This operation may take a few seconds. Please wait for a moment.done.  huawei(config-wlan-ap-group-ap_group1)#radio-2g-profile w826e_2g radio 0huawei(config-wlan-ap-group-ap_group1)#radio-5g-profile w826e_5g radio 1huawei(config-wlan-ap-group-ap_group1)#regulatory-domain-profile CNhuawei(config-wlan-ap-group-ap_group1)#radio 0 channel 20mhz 6huawei(config-wlan-ap-group-ap_group1)#radio 0 power-level 100huawei(config-wlan-ap-group-ap_group1)#radio 1 channel 20mhz 64huawei(config-wlan-ap-group-ap_group1)#radio 1 power-level 100//预共享密钥认证huawei(config-wlan-ap-group-ap_group1)#vap-profile vap_psk wlan 1 radio all//Portal认证huawei(config-wlan-ap-group-ap_group1)#vap-profile vap_portal wlan 2 radio all//802.1X认证huawei(config-wlan-ap-group-ap_group1)#vap-profile vap_dot1x wlan 3 radio allhuawei(config-wlan-ap-group-ap_group1)#quit
    • 添加AP到AP组。//添加ONT_1(ap1)huawei(config-wlan)#ap-id 0 ap-sn 485754431D005288huawei(config-wlan)#ap-group name ap_group1huawei(config-wlan-ap-group-ap_group1)#ap-name ap1huawei(config-wlan-ap-0)#quit//添加ONT_2(ap2)huawei(config-wlan)#ap-id 1 ap-sn 485754431D005388huawei(config-wlan)#ap-group name ap_group1huawei(config-wlan-ap-group-ap_group1)#ap-name ap2huawei(config-wlan-ap-1)#quit

  • 配置并同步DTLS密钥。
    亚星游戏官网-yaxin222
    • 设备没有缺省的DTLS 共享密钥,首次配置时需要设置DTLS共享密钥,如果不设置,AP自动添加时同步密钥会失败,这种情况下只需要设置DTLS共享密钥后手动再给AP同步一下密钥即可。
    • 为保证设备安全,请定期修改DTLS密钥。


    huawei(config-wlan)#capwap dtls pskPlease configure the DLTS key(16-32):                                          Info: Deliver DTLS PSK to devices using CAPWAP connections. It may take a few  minutes. huawei(config-wlan)#capwap sync psk allhuawei(config-wlan)#quit
  • (可选,仅802.1X认证涉及)配置AP Wi-Fi 802.1X认证WAN连接。
    此WAN连接用于Wi-Fi 802.1X认证时ONT与RADIUS服务器通信。huawei(config)#gpon ont home-gateway config-method omcihuawei(config)#interface gpon 0/1huawei(config-if-gpon-0/1)#ont ipconfig 0 0 ip-index 1 dhcp vlan 3huawei(config-if-gpon-0/1)#ont internet-config 0 0 ip-index 1huawei(config-if-gpon-0/1)#quit









举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-10 15:36 , Processed in 0.374631 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图