2022/12/13WLAN產品ME60-X3的總體介紹和基本配置Version12022/12/13WLAN產品ME60-X3的總體介紹和基Page2前言ME60在提供MSE用戶接入功能的同時，集成了WLAN的AC功能，在和AP一起，共同完成WLAN用戶的業務接入。ME60可提供對AP的管理（即插即用、射頻管理、負載均衡、漫游管理）、WLAN用戶接入管理以及APQoS等功能。本文主要介紹ME60在WLAN業務中的常用組網場景及配置前言ME60在提供MSE用戶接入功能的同時，集成了WLANPage3學習完此課程，您將會：掌握ME60實現WLAN業務時的常用組網場景掌握ME60在不同組網場景中的作用和業務配置方法掌握ME60的升級步準備和操作步驟目標學習完此課程，您將會：目標Page4第一章WLAN產品ME60-X3的總體介紹、基礎配置和AC升級1.1WLAN產品ME60-X3的總體介紹1.2WLAN的基礎配置1.3AC升級準備和升級步驟第二章ME60做集成AC2.1二層直接轉發2.2二層隧道轉發2.3三層隧道轉發第三章ME60做獨立AC3.1旁掛于二層網絡3.2旁掛于三層網絡內容介紹第一章WLAN產品ME60-X3的總體介紹、基礎配置和AC目錄第一章WLAN產品ME60-X3的總體介紹、基礎配置和AC升級1.1WLAN產品ME60-X3的總體介紹1.2WLAN的基礎配置1.3AC升級準備和升級步驟第二章ME60做集成AC2.1二層直接轉發2.2二層隧道轉發2.3三層隧道轉發第三章ME60做獨立AC3.1旁掛于二層網絡3.2旁掛于三層網絡Page5目錄第一章WLAN產品ME60-X3的總體介紹、基礎配置和1.1ME60-X3產品介紹系統總體描述：ME60-X3采用集中式路由引擎、分布式轉發架構進行設計；ME60-X3為一體化機箱設計，其主要組成部件都支持熱插拔；ME60-X3有直流和交流兩種機箱；ME60-X3有3個業務槽位，每個槽位支持40Gbps的上行流量和40Gbps的下行流量；設備的交換容量為1.08Tbps，設備的背板容量為1.35Tbps；右圖為直流機箱外觀示意圖Page61.1ME60-X3產品介紹系統總體描述：Page6ME60-X3的系統總體描述ME60-X3交流機箱外觀示意圖Page7ME60-X3的系統總體描述ME60-X3交流機箱外觀示意ME60-X3系統主要特性采用分布式硬件轉發；控制通路同業務通路分離，保證控制通路的暢通；電信級的高可靠性和可管理性；系統采用模塊級屏蔽，完全滿足EMC（ElectroMagneticCompatibility）要求；單板、電源模塊和風扇支持熱插拔；主控板MPU（MainProcessUnit）采用1:1冗余備份；電源、風扇、時鐘、管理總線等關鍵器件實現冗余備份；提供單板防誤插保護，避免因插錯槽位導致故障；提供電源告警提示信息、告警指示、運行狀態和告警狀態查詢；提供電壓和環境溫度告警提示信息、告警指示、運行狀態和告警狀態查詢。Page8ME60-X3系統主要特性采用分布式硬件轉發；Page8ME60-X3（直流）結構及槽位Page9ME60-X3（直流）結構及槽位Page9ME60-X3（交流）結構及槽位Page10ME60-X3（交流）結構及槽位Page10Page11ME60-X3基本介紹交換容量：1.08Tbps轉發能力：40G，可以擴展到100G槽位數：3LPU、2MPU高度：4UFIB：1M單板用戶數：32KPPPOE/IPOE整機用戶數：96K基本配置功耗：222WPage11ME60-X3基本介紹交換容量：1.08TbpPage12WLAN特性產品規格規格項X3設備非X3設備AP個數2K4KAP類型個數256256AP域個數2K2K射頻模板個數512512ESS服務集個數1K1KVAP對象個數2000020000WMM模板3232每AP支持最大用戶數128128每射頻支持VAP個數1616AP業務自動發放規則個數256256Page12WLAN特性產品規格規格項X3設備非X3設備AP目錄第一章ME60-X3總體介紹和升級1.1ME60-X3產品介紹1.2ME60的基礎配置1.3升級準備和升級步驟第二章ME60做集成AC2.1二層直接轉發2.2二層隧道轉發2.3三層隧道轉發第三章ME60做獨立AC3.1旁掛于二層網絡3.2旁掛于三層網絡Page13目錄第一章ME60-X3總體介紹和升級Page131.2.1ME60的BAS側基礎配置1、sysname命令用來設置ME60的主機名：缺省情況下，ME60主機名為HUAWEI；例如：[ME60]sysnameYNYX-MC-WLAN-AC05-ME60-X32、啟動FTP服務器，允許FTP用戶登錄：[ME60]FTPserverenablePage141.2.1ME60的BAS側基礎配置1、sysname命令BAS側的基礎配置3、配置本地用戶管理創建本地用戶賬號：[ME60]aaa[ME60-aaa]local-useruser-namepassword{simple|cipher}password配置本地用戶服務類型：[ME60-aaa]local-useruser-nameservice-type{ftp|ppp|ssh|telnet|terminal}配置本地用戶的FTP目錄權限[ME60-aaa]local-useruser-nameftp-directory{directory|cfcard:|slave#cfcard:}Page15BAS側的基礎配置3、配置本地用戶管理Page15BAS側的基礎配置4、用戶管理：配置console、VTY用戶界面以及用戶驗證#配置console用戶界面[ME60]user-interfacecon0為了提高設備的安全性，建議Console用戶界面不認證，當其它用戶接口界面的密碼忘記時，可以通過Console用戶界面很方便的進行密碼重置。#配置VTY用戶界面的最大個數如果要配置的VTY用戶接口的最大數小于當前的最大數量，則不需要其它配置。如果要配置的VTY用戶接口的最大數量大于當前的最大數量，就需要為新增加的用戶接口配置驗證方式和密碼。因為對于新增用戶接口系統默認為使用密碼驗證。Page16BAS側的基礎配置4、用戶管理：配置console、VTY用BAS側的基礎配置例如：當前允許最多5個VTY用戶同時在線，現在配置為允許15個VTY用戶同時在線，那么VTY用戶接口5～14就需要使用authentication-mode和setauthenticationpassword命令配置驗證方式和密碼，配置如下：<ME60>system-view[ME60]user-interfacemaximum-vty15[ME60]user-interfacevty514[ME60-ui-vty5-14]authentication-modepassword設置為密碼認證[ME60-ui-vty5-14]setauthenticationpasswordcipherhuawei設置本地驗證的密碼系統提供AAA本地驗證、密碼驗證和不驗證三種方式。缺省情況下，VTY類用戶界面驗證方式為password，其它類型用戶界面驗證方式為不驗證。

Page17BAS側的基礎配置例如：當前允許最多5個VTY用戶同時在線，BAS側的基礎配置5、配置AC管理AP#配置AC的管理地址[ME60]interfaceLoopBack10[ME60-LoopBack10]ipaddress155[ME60-wlan-ac-view]wlanacsourceinterfaceloopback10#配置AP的網關[ME60]IinterfaceGigabitEthernet1/1/3[ME60–GigabitEthernet1/1/3]undoshutdown[ME60]interfaceGigabitEthernet1/1/3.800[ME60–GigabitEthernet1/1/3.800]vlan-typedot1q800[ME60–GigabitEthernet1/1/3.800]ipaddress[ME60–GigabitEthernet1/1/3.800]wlandirect-access-缺省為隧道轉發方式，指定數據為直接轉發方式

Page18BAS側的基礎配置5、配置AC管理APPage18BAS側的基礎配置#配置AP的管理地址池與網關[ME60]ippoolwlanserver--配置AP管理地址池

[ME60-ip-pool-wlan]gateway指定AP管理網關

[ME60-ip-pool-wlan]section054-指定AP地址池

[ME60-ip-pool-wlan]option43stringHuaweiAC-1-通過DHCPoption43通告AC地址Page19BAS側的基礎配置#配置AP的管理地址池與網關Page19BAS側的基礎配置#離線添加AP[ME60-wlan-ac-view]ap-regionid101[ME60-wlan-ac-view]ap-regionid102[ME60-wlan-ac-view]ap-auth-modemac-auth[ME60-wlan-ac-view]apid0type-id0mac0025-9e07-8b70snH092600260region-id101[ME60-wlan-ac-view]apid1type-id0mac0025-9e07-8b71snH092600261region-id102此時可以查看AP上線狀態，正常顯示normal[ME60-wlan-ac-view]displayapallPage20BAS側的基礎配置#離線添加APPage20BAS側的基礎配置6、在BAS上配置無線用戶的接入、認證和計費方式(2層接入，綁定認證方式)#配置radiusservergroup[ME60]radius-servergroupwlanradius-server[ME60-radius-wlanradius-server]radius-serverauthentication1812weight0[ME60-radius-wlanradius-server]radius-serveraccounting1813weight0#配置無線用戶的地址池[ME60]ippooltestbaslocal[ME60-ip-pool-test]gateway[ME60-ip-pool-test]section054Page21BAS側的基礎配置6、在BAS上配置無線用戶的接入、認證和計BAS側的基礎配置#配置用戶認證與計費方式[ME60]aaa[ME60]-aaa]authentication-schemetest[ME60]-aaa-authen-test]authentication-moderadius---radius認證[ME60]-aaa]accounting-schemetest[ME60]-aaa-accounting-test]accounting-moderadius-radius計費[ME60]-aaa]domaintest[ME60]-aaa-domain-test]authentication-schemetest[ME60]-aaa-domain-test]accounting-schemetest[ME60]-aaa-domain-test]ip-pooltest[ME60]-aaa-domain-test]radius-servergroupwlanradius-server

Page22BAS側的基礎配置#配置用戶認證與計費方式Page22BAS側的基礎配置#配置用戶接入方式為2層接入，采用綁定方式認證[ME60]interfaceGigabitEthernet1/1/3.101[ME60–GigabitEthernet1/1/3.101]vlan-typedot1q101[ME60–GigabitEthernet1/1/3.101]bas[ME60–GigabitEthernet1/1/3.101-bas]access-typelayer2-subscriberdefault-domainauthenticationtest[ME60–GigabitEthernet1/1/3.101-bas]authentication-methodbind[ME60]interfaceGigabitEthernet1/1/3.102[ME60–GigabitEthernet1/1/3.102]vlan-typedot1q102[ME60–GigabitEthernet1/1/3.102]bas[ME60–GigabitEthernet1/1/3.102-bas]access-typelayer2-subscriberdefault-domainauthenticationtest[ME60–GigabitEthernet1/1/3.102-bas]authentication-methodbindPage23BAS側的基礎配置#配置用戶接入方式為2層接入，采用綁定方式BAS側的基礎配置在BAS上配置無線用戶的接入、認證和計費方式(2層接入，web認證方式)#配置radiusservergroup[ME60]radius-servergroupwlanradius-server[ME60-radius-wlanradius-server]radius-serverauthentication1812weight0[ME60-radius-wlanradius-server]radius-serveraccounting1813weight0Page24BAS側的基礎配置在BAS上配置無線用戶的接入、認證和計費方BAS側的基礎配置#配置無線用戶的地址池[ME60]ippoolpretestbaslocal認證前的IP地址，用來訪問web界面

[ME60-ip-pool-pretest]gateway[ME60-ip-pool-pretest]section054[ME60]ippooltestbaslocal認證后的ip地址，用來訪問公網

[ME60-ip-pool-test]gateway[ME60-ip-pool-test]section000Page25BAS側的基礎配置#配置無線用戶的地址池Page25BAS側的基礎配置#配置用戶認證與計費方式認證前域[ME60]aaa[ME60]-aaa]authentication-schemedefault0缺省不認證[ME60-aaa]accounting-schemedefault0缺省不計費[ME60-aaa]domainpretest[ME60]-aaa-domain-pretest]authentication-schemedefault0[ME60]-aaa-domain-pretest]accounting-schemedefault0[ME60]-aaa-domain-pretest]ip-poolpretest[ME60]-aaa-domain-pretest]web-server6[ME60]-aaa-domain-pretest]web-serverurl6/portal

[ME60-aaa-domain-pretest]web-serverurl-parameterPage26BAS側的基礎配置#配置用戶認證與計費方式Page26BAS側的基礎配置認證后域[ME60]aaa[ME60]-aaa]authentication-schemetest[ME60]-aaa-authen-test]authentication-moderadius---radius認證[ME60-aaa]accounting-schemetest[ME60-aaa-accounting-test]accounting-moderadius-radius計費[ME60-aaa]domaintest[ME60-aaa-domain-test]authentication-schemetest[ME60-aaa-domain-test]accounting-schemetest[ME60-aaa-domain-test]ip-pooltest[ME60-aaa-domain-test]radius-servergroupwlanradius-serverPage27BAS側的基礎配置認證后域Page27BAS側的基礎配置#配置用戶接入方式為2層接入，采用web方式認證[ME60]interfaceVirtual-Ethernet3/1/1[ME60-Virtual-Ethernet3/1/1]ve-group1l2-terminate[ME60]interfaceVirtual-Ethernet3/1/2創建虛擬VE并綁定同一個VEgroup

[ME60-Virtual-Ethernet3/1/2]ve-group1l3-access[ME60]interfaceVirtual-Etherne3/1/2.101-虛擬VE子接口終結用戶VLAN101Page28BAS側的基礎配置#配置用戶接入方式為2層接入，采用web方BAS側的基礎配置[ME60-Virtual-Ethernet3/1/2.101]user-vlan101[ME60-Virtual-Ethernet3/1/2.101]wlanenable使能WLAN

[ME60-Virtual-Ethernet3/1/2.101]bas[ME60-Virtual-Ethernet3/1/2.101-bas]access-typelayer2-subscriberdefault-domainpre-authenticationpretestauthenticationtest配置用戶接入方式為web認證，認證前域為pretest,認證后域為test[ME60-Virtual-Ethernet3/1/2.101-bas]authentication-methodwebPage29BAS側的基礎配置[ME60-Virtual-EthernBAS側的基礎配置#虛擬VE子接口終結用戶VLAN102[ME60]interfaceVirtual-Etherne3/1/2.102[ME60-Virtual-Ethernet3/1/2.102]user-vlan102[ME60-Virtual-Ethernet3/1/2.102]wlanenable[ME60-Virtual-Ethernet3/1/2.102]bas[ME60-Virtual-Ethernet3/1/2.102-bas]access-typelayer2-subscriberdefault-domainpre-authenticationpretestauthenticationtest[ME60-Virtual-Ethernet3/1/2.102-bas]authentication-methodweb#配置隧道方式并與虛擬VE關聯

[ME60]slot3[ME60-slot3]wlantunnel-accessinterfacevirtual-ethernet3/1/2Page30BAS側的基礎配置#虛擬VE子接口終結用戶VLAN1021.2.2AP相關的配置1、配置射頻模板[ME60-wlan-ac-view]wmm-profilenamectc創建WMM模板[ME60-wlan-ac-view]traffic-profilenamectc創建QOS模板[ME60-wlan-ac-view]security-profilenamectc創建安全模板(默認認證方式為opensystem不認證)

[ME60-wlan-ac-view]radio-profilenamectc創建射頻模板

[ME60-wlan-radio-prof-ctci]bindwmm-profilenamectc綁定WMM模板Page311.2.2AP相關的配置1、配置射頻模板Page31AP相關的配置2、配置AP的射頻[ME60-wlan-ac-view]radioap-id0radio-id0進入AP0的射頻配置[ME60-lan-radio-0/0]bindradio-profilenamectc綁定射頻模板

[ME60-wlan-ac-view]radioap-id1radio-id0進入AP1的射頻配置[ME60-lan-radio-1/0]bindradio-profilenamectc綁定射頻模板

3、配置ESS與SSID,VLAN的映射[ME60-wlan-ac-view]essnamectc1ssidctctraffic-profilectcsecurity-profilectcPage32AP相關的配置2、配置AP的射頻Page32AP相關的配置4、配置名為ctc1的ess,SSID為CTC,綁定QOS模板ctc和認證模板ctc[ME60-wlan-ac-view]vlan-mappingessnamectc1moderegion—ess的vlan映射關系為根據ap-region映射[ME60-wlan-ac-view]vlan-mappingessnamectc1typetagregion101vlan1015、指定vlan的mapping關系[ME60-wlan-ac-view]vapap0radio0essnamectc1wlan1---下發wlan服務到AP0的射頻0上，wlanid為1.[ME60-wlan-ac-view]commitap0下發ap0的配置(只有commit后配置才生效)Page33AP相關的配置4、配置名為ctc1的ess,SSID為CTCAP相關的配置6、重復AP1的配置[HUAWEI-wlan-ac-view]essnamectc2ssidctctraffic-profilectcsecurity-profilectc[HUAWEI-wlan-ac-view]vlan-mappingessnamectc2moderegion[HUAWEI-wlan-ac-view]vlan-mappingessnamectc2typetagregion102vlan102[HUAWEI-wlan-ac-view]vapap1radio0essnamectc2wlan1[HUAWEI-wlan-ac-view]commitap1Page34AP相關的配置6、重復AP1的配置Page34目錄第一章WLAN產品ME60-X3的總體介紹、基礎配置和AC升級1.1ME60-X3產品介紹1.2ME60的基礎配置1.3升級準備和升級步驟第二章ME60做集成AC2.1二層直接轉發2.2二層隧道轉發2.3三層隧道轉發第三章ME60做獨立AC3.1旁掛于二層網絡3.2旁掛于三層網絡Page35目錄第一章WLAN產品ME60-X3的總體介紹、基礎配置和1.3.1升級準備1、準備備件：準備網線、串口線、LPU、SFU、MPU2、確認GTLLicense：需要確認是否已申請GTLLicense，并檢查獲得的GTLLicense中的ESN信息是否與要升級設備的主控板ESN信息一致。3、獲取所需的升級軟件，如果有補丁文件，也請獲取；4、查看當前系統軟件版本，如果設備上有補丁，也請記錄補丁文件版本；5、檢查設備運行狀態：請詳細記錄升級前后設備各槽位單板的運行狀態；6、搭建通過TFTP或FTP協議升級的環境；7、備份CF卡中的重要數據；8、檢查CF卡中的剩余空間；9、檢查設備上的單板類型。Page361.3.1升級準備1、準備備件：準備網線、串口線、LPU、Page371.3.2升級步驟（FTP方式升級主機軟件）1、登錄ME60：遠程登錄或者超級終端登錄設備；2、以PC為FTP客戶端登錄FTP服務器3、設置FTP客戶端存放上傳文件的目錄路徑和文件的傳輸模式ftp>binary200TypesettoI.ftp>lcdc:\tempLocaldirectorynowC:\temp.4、在“ftp>”提示下，使用putlocal-filename[remote-filename]命令上傳指定文件到ME60中；特定局點需要單獨加載paf和license文件。對于雙主控的設備，上傳完成后，請使用copysource-filenamedestination-filename命令將paf文件、License文件、系統軟件、GTL文件和補丁文件拷貝到備用主控板的CF卡中。Page371.3.2升級步驟（FTP方式升級主機軟件）Page38升級步驟5、查看上傳文件：<Quidway>dircfacrd;<Quidway>dirslave#cfcard:6、在線指定ME60啟動時加載的系統軟件：指定主用主控板啟動時加載的系統軟件<Quidway>startupsystem-softwarev600r002c02spc800_oc_me.cc指定備用主控板啟動時加載的系統軟件<Quidway>startupsystem-softwarev600r002c02spc800_oc_me.ccslave-board7、（可選）設置啟動時加載的配置文件：<Quidway>startupsaved-configurationconfig-filename8、檢查設備下次啟動加載的文件：<Quidway>displaystartupPage38升級步驟5、查看上傳文件：<Quidway>Page39升級步驟：9、（可選）帶業務升級前的額外操作——阻塞并踢除用戶a、域內阻塞新用戶上線在域視圖下，執行block命令，可以將域設置為阻塞狀態，所有該域下的新用戶將被禁止接入，但仍可保留已經在線的域下用戶。[Quidway-aaa]displaydomain[Quidway-aaa-domain-test]blockb、踢除在線用戶根據第1步中檢查出來的存在用戶的域，在AAA視圖下依次對存在用戶的所有域執行cutaccess-user命令。[Quidway-aaa]cutaccess-userdomaintest執行該命令后，等待一段時間，再通過displaydomain查看是否全部踢除干凈。Page39升級步驟：9、（可選）帶業務升級前的額外操作—Page40升級步驟10、Save配置然后reboot設備；11、為新版本系統軟件打上最新的補丁；上傳補丁文件到cfcard用戶視圖下<ME60>patchloadfile-nameallrun查看補丁信息displaypatch-information12、啟動完成后，使用displayversion命令查看ME60加載的BootROM及正在運行的系統軟件的版本是否正確；<HUAWEI>displayversion13、重啟后，根據業務需要加載相應的GTLLicense；<HUAWEI>licenseactivegtl.datPage40升級步驟10、Save配置然后reboot設Page41目錄第一章WLAN產品ME60-X3的總體介紹、基礎配置和AC升級1.1ME60-X3產品介紹1.2ME60的基礎配置1.3升級準備和升級步驟第二章ME60做集成AC2.1二層直接轉發2.2二層隧道轉發2.3三層隧道轉發第三章ME60做獨立AC3.1旁掛于二層網絡3.2旁掛于三層網絡Page41Page41目錄第一章WLAN產品ME60-X3的總體介Page422.1場景1-AC和AP間二層組網(數據直接轉發方式)HuaweiAPHuaweiAP匯聚交換機L2交換機HuaweiBRAS集成AC核心路由器IP城域網VLAN：800，101管理VLAN：800，業務VLAN：101業務VLAN:101管理VLAN:800VLAN：800，101應用場景:應用于AC和AP之間為2層組網的場景，匯聚交換機透傳用戶業務VLAN方案優缺點:優點:數據由交換機直接轉發，沒有隧道開銷，轉發效率高。缺點:AC與AP之間的交換機都需要規劃業務VLAN方案限制:１．二層交換機需要透傳所有VLAN２．為AP分配管理IP的DHCP服務器需支持option43或者以DNS方式將AC域名通告APGE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2管理VLAN：800，業務VLAN：101Page422.1場景1-AC和AP間二層組網(數據直接Page43場景1-AC和AP間二層組網(數據直接轉發方式)HuaweiAPHuaweiAP匯聚交換機L2交換機HuaweiBRAS集成AC核心路由器IP城域網VLAN：800，101管理VLAN：800，業務VLAN：101業務VLAN:101管理VLAN:800VLAN：800，101VLAN說明:1、AP隧道VLAN800由L2交換機添加，用戶業務VLAN101由AP添加。2、AP隧道VLAN和用戶業務VLAN由匯聚交換機透傳到AC3、L2交換機接入AP的接口配成trunk，defaultvlan800，allow-passvlan101；連接匯聚交換機的接口配成trunk，allow-pass1018004、匯聚交換機下行口和上行口均配成trunk口，allow-passvlan8001015、L2交換機與匯聚交換機的下行口務必要配置端口隔離，抑制下行口的廣播報文，上行口不要做端口隔離GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2管理VLAN：800，業務VLAN：101Page43場景1-AC和AP間二層組網(數據直接轉發方式配置指導1、配置L2交換機，推薦使用POE交換機，便于給AP供電[L2-switch]vlanbatch800101[L2-switch]interfaceEthernet1/0/1[L2-switch-Ethernet1/0/1]portdefaultvlan800[L2-switch-Ethernet1/0/1]porttrunkallow-passvlan101[L2-switch-Ethernet1/0/1]port-isolateenable[L2-switch]interfaceEthernet1/0/2[L2-switch-Ethernet1/0/2]portdefaultvlan800[L2-switch-Ethernet1/0/2]porttrunkallow-passvlan101[L2-switch-Ethernet1/0/2]port-isolateenable[L2-switch]interfaceGigabitEthernet1/0/1[L2-switch-GigabitEthernet1/0/1]portlink-typetrunk[L2-switch-GigabitEthernet1/0/1]porttrunkallow-passvlan101800Page44配置指導1、配置L2交換機，推薦使用POE交換機，便于給AP配置指導2、配置匯聚交換機透傳業務vlan101和管理vlan800，務必做端口隔離[s9303]vlanbatch800101[s9303]interfaceGigabitEthernet2/0/1[s9303-GigabitEthernet2/0/1]portlink-typetrunk[s9303-GigabitEthernet2/0/1]porttrunkallow-passvlan101800[s9303-GigabitEthernet2/0/1]port-isolateenable[s9303]interfaceGigabitEthernet2/0/2[s9303-GigabitEthernet2/0/2]portlink-typetrunk[s9303-GigabitEthernet2/0/2]porttrunkallow-passvlan101800Page45配置指導2、配置匯聚交換機透傳業務vlan101和管理vla配置指導3、在ME60上配置loopback口，配置loopback0接口的IP地址為AC源IP地址。[ME60]interfaceLoopBack0[ME60-LoopBack0]ipaddress324、在ME60上配置AP的地址池。[ME60]ippoolapserver[ME60-ip-pool-ap]gateway[ME60-ip-pool-ap]section0000[ME60-ip-pool-ap]option43stringHuaweiAC-[ME60-ip-pool-ap]quitPage46配置指導3、在ME60上配置loopback口，配置loop配置指導5、配置ME60接入AP的端口，該端口為AP的網關地址，終結AP的管理vlan800，業務轉發模式為二層直接轉發模式（direct-access）。[ME60]interfaceGigabitEthernet2/1/5.1[ME60-GigabitEthernet2/1/5.1]vlan-typedot1q

800[ME60-GigabitEthernet2/1/5.1]ipaddress[ME60-GigabitEthernet2/1/5.1]wlandirect-access6、

配置運營商ID、ACID、AC的源地址、離線添加AP[ME60]wlanac-globalcarrieridcmcc[ME60]wlanac-globalacid2[ME60]wlanac[ME60-wlan-ac-view]wlanacsourceinterfaceloopback0[ME60-wlan-ac-view]ap-auth-modemac-auth[ME60-wlan-ac-view]apid0type-id0mac286e-d42e-3eee[ME60-wlan-ac-view]apid1type-id0mac0025-9e09-cd60Page47配置指導5、配置ME60接入AP的端口，該端口為AP的網關地配置指導7、配置AP的參數#配置WMM模板。[ME60-wlan-ac-view]wmm-profilenamehuawei#配置射頻模板。

[ME60-wlan-ac-view]radio-profilenamehuawei[ME60-wlan-radio-prof-lwq]bindwmm-profilenamehuawei#配置ap射頻。[ME60-wlan-ac-view]radioap-id0radio-id0[ME60-wlan-radio-0/0]bindradio-profilenamehuawei#配置traffic模板。[ME60-wlan-ac-view]traffic-profilenamehuawei#配置security模板。[ME60-wlan-ac-view]security-profilenamehuawei

Page48配置指導7、配置AP的參數Page48配置指導security-profile用于配置WLAN用戶不同的無線安全認證和加密方式，常用的認證方式有WEP、WPA1_PSK、WPA_PSK、WPA1+802.1xPEAP/SIM、WPA2+802.1xPEAP/SIM、WAPI，具體的配置方法請參考產品文檔>配置>用戶接入>WLAN配置>配置VAP的WLAN業務>配置接入安全策略。Page49配置指導security-profile用于配置WLAN用配置指導#配置ESS，ssid為huaweiacssid[ME60-wlan-ac-view]essnamehuaweiacssidhuaweiacssidtraffic-profilehuaweisecurity-profilehuawei#配置vlan-map，確定用戶接入的vlan[ME60-wlan-ac-view]vlan-mappingessnamehuaweiactypetagvlan101#配置VAP[ME60-wlan-ac-view]vapap0radio0essnamehuaweiac[ME60-wlan-ac-view]vapap1radio0essnamehuaweiac#確認并下發AP配置。[ME60-wlan-ac-view]commitall

配置下發后終端就可以掃描到ssid了Page50配置指導Page50配置指導以下為用戶接入的配置方法，該場景下講述綁定認證的配置8、配置ME60的用戶上網地址池[ME60]ippooluser

baslocal[ME60-ip-pool-user]gateway[ME60-ip-pool-user]section054[ME60-ip-pool-user]dns-server[ME60-ip-pool-user]dns-serversecondaryPage51配置指導以下為用戶接入的配置方法，該場景下講述綁定認證的配置配置指導9、配置ME60認證計費設置和域[ME60-aaa]authentication-schemenone[ME60-aaa-authentication-scheme-none]authentication-moderadius[ME60-aaa]accounting-schemenone[ME60-aaa-accounting-scheme-none]accounting-modenone[ME60-aaa]domainhuawei[ME60-aaa-domain-huawei]authentication-schemenone[ME60-aaa-domain-huawei]accounting-schemenone[ME60-aaa-domain-huawei]ip-pooluserPage52配置指導9、配置ME60認證計費設置和域Page52配置指導10、ME60上配置BAS接口，用戶vlan為101，并且接入類型為二層接入。用戶接入和AP接入需要在相同的主接口的不同子接口，并配置用戶漫游，該場景為相同子接口、相同user-vlan的用戶漫游[ME60]interfaceGigabitEthernet2/1/5.2[ME60-GigabitEthernet2/1/5.2]user-vlan101[ME60-GigabitEthernet2/1/5.2]bas[ME60-GigabitEthernet2/1/5.2-bas]access-typelayer2-subscriberdefault-domainauthenticationhuawei[ME60-GigabitEthernet2/1/5.2-bas]authentication-methodbind[ME60-GigabitEthernet2/1/5.2-bas]wlan-switchenable[ME60-GigabitEthernet2/1/5.2-bas]ip-trigger[ME60-GigabitEthernet2/1/5.2-bas]arp-trigger[ME60-GigabitEthernet2/1/5.2-bas]quit[ME60-GigabitEthernet2/1/5.2]quitPage53配置指導10、ME60上配置BAS接口，用戶vlan為101Page54目錄第一章WLAN產品ME60-X3的總體介紹、基礎配置和AC升級1.1ME60-X3產品介紹1.2ME60的基礎配置1.3升級準備和升級步驟第二章ME60做集成AC2.1二層直接轉發2.2二層隧道轉發2.3三層隧道轉發第三章ME60做獨立AC3.1旁掛于二層網絡3.2旁掛于三層網絡Page54Page54目錄第一章WLAN產品ME60-X3的總體介Page552.2場景2-AC和AP間為二層組網(數據隧道轉發方式)應用場景:應用于AC和AP之間為2層組網的場景，匯聚交換機不能透傳用戶業務VLAN.方案優缺點:優點:AC與AP之間的交換機不需要規劃業務VLAN.缺點:數據由CAPWAP隧道轉發，轉發效率低于直接轉發。方案限制:為AP分配管理IP的DHCP服務器需支持option43或者以DNS方式將AC域名通告APHuaweiAPHuaweiAPS9303L2交換機ME60核心路由器IP城域網VLAN：800VLAN：800管理VLAN:800VLAN：800VLAN：800GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2l3ve2/1/2.1capwap隧道GE3/0/0Page552.2場景2-AC和AP間為二層組網(數據隧道Page562.2場景2-AC和AP間為二層組網(數據隧道轉發方式)VLAN說明:１．AP隧道VLAN800由L2交換機添加，用戶業務VLAN101由AP添加。２．AP隧道VLAN由匯聚交換機透傳到AC，用戶業務VLAN由CAPWAP隧道透傳到AC。3、L2交換機接入AP的接口配成trunk，defaultvlan800，連接匯聚交換機的接口配成trunk，allow-pass8004、s9303下行口和上行口均配成trunk，allow-passvlan8005、L2交換機與s9303的下行口務必要配置端口隔離，抑制下行口的廣播報文，上行口不必配置端口隔離HuaweiAPHuaweiAPL2交換機ME60核心路由器IP城域網VLAN：800VLAN：800管理VLAN:800VLAN：800VLAN：800GE2/1/5GE2/0/2GE2/0/1GE1/0/1eth1/0/1eth1/0/2l3ve2/1/2.1capwap隧道S9303GE3/0/0Page562.2場景2-AC和AP間為二層組網(數據隧道配置指導1、配置L2交換機，推薦使用POE交換機，便于給AP供電[L2-switch]vlan800[L2-switch]interfaceEthernet1/0/1[L2-switch-Ethernet1/0/1]portdefaultvlan800[L2-switch-Ethernet1/0/1]port-isolateenable[L2-switch]interfaceEthernet1/0/2[L2-switch-Ethernet1/0/2]portdefaultvlan800[L2-switch-Ethernet1/0/2]port-isolateenable[L2-switch]interfaceGigabitEthernet1/0/1[L2-switch-GigabitEthernet1/0/1]portlink-typetrunk[L2-switch-GigabitEthernet1/0/1]porttrunkallow-passvlan800Page57配置指導1、配置L2交換機，推薦使用POE交換機，便于給AP配置指導2、配置匯聚交換機透傳業務vlan101和管理vlan800，務必做端口隔離[s9303]vlan800[s9303]interfaceGigabitEthernet2/0/1[s9303-GigabitEthernet2/0/1]portlink-typetrunk[s9303-GigabitEthernet2/0/1]porttrunkallow-passvlan800[s9303-GigabitEthernet2/0/1]port-isolateenable[s9303]interfaceGigabitEthernet2/0/2[s9303-GigabitEthernet2/0/2]portlink-typetrunk[s9303-GigabitEthernet2/0/2]porttrunkallow-passvlan800Page58配置指導2、配置匯聚交換機透傳業務vlan101和管理vla配置指導3、在ME60上配置loopback口，配置loopback0接口的IP地址為AC源IP地址。[ME60]interfaceLoopBack0[ME60-LoopBack0]ipaddress324、在ME60上配置AP的地址池。[ME60]ippoolapserver[ME60-ip-pool-ap]gateway[ME60-ip-pool-ap]section0000[ME60-ip-pool-ap]option43stringHuaweiAC-[ME60-ip-pool-ap]quitPage59配置指導3、在ME60上配置loopback口，配置loop配置指導5、配置ME60的接入AP的端口，配置AP的網關地址，終結管理VLAN800[ME60]interfaceGigabitEthernet2/1/5.1[ME60-GigabitEthernet2/1/5.1]vlan-typedot1q

800[ME60-GigabitEthernet2/1/5.1]ipaddress此處不用配置wlandirect-access配置wlantunnel-access命令的單板上，默認每個接口都是采用CAPWAP隧道方式接入。如果對于某些特定應用場景，需要一些接口采用直接接入方式，則需要修改對應接口的接入方式為直接接入。Page60配置指導5、配置ME60的接入AP的端口，配置AP的網關地址配置指導6、創建VE口

。#創建二層VE。[ME60]interfaceVirtual-Ethernet2/1/1[ME60-Virtual-Ethernet2/1/1]ve-group1l2-terminate#創建三層VE。[ME60]interfaceVirtual-Ethernet2/1/2[ME60-Virtual-Ethernet2/1/2]ve-group1l3-access#進入slot視圖，這里的槽位和前面配置的AP接入BAS設備的物理接口應該是同一個槽位。[ME60]slot2

#綁定隧道用戶接入的VE口。[ME60-slot2]wlantunnel-accessinterfacevirtual-ethernet2/1/2

Page61配置指導6、創建VE口

。Page61配置指導以下為用戶接入的配置，該場景下講述web認證的配置流程8、配置ME60的用戶上網地址池[ME60]ippooluser

baslocal[ME60-ip-pool-user]gateway[ME60-ip-pool-user]section054[ME60-ip-pool-user]dns-server[ME60-ip-pool-user]dns-serversecondary9、配置radius-servergroup[ME60]radius-servergrouphuawei[ME60-radius-huawei]radius-serverauthentication1812[ME60-radius-huawei]radius-serveraccounting

1813[ME60-radius-huawei]radius-servershared-keyhello[ME60-radius-huawei]quit[ME60]radius-serversourceinterfaceGigabitEthernet3/0/0.3300Page62配置指導以下為用戶接入的配置，該場景下講述web認證的配置流配置指導9、配置ME60認證計費方案配置[ME60-aaa]authentication-schemenone[ME60-aaa-authentication-scheme-none]authentication-modenone[ME60-aaa]accounting-schemenone[ME60-aaa-accounting-scheme-none]acc