H3C无线控制器AC间漫游典型配置举例(V7)1 组网需求如图1所示，在一个区域内通过部署两台AC来为用户提供无线服务，并实现客户端可以在AC间进行快速漫游。

具体要求如下：∙AC 1上的客户端业务VLAN为VLAN 200，AC 2上的客户端业务VLAN为VLAN 400。

∙客户端跨AC漫游后，客户端数据不经过IACTP隧道返回Home-AC。

∙配置用户隔离功能加强用户的安全性，并且减少用户产生的大量组播、广播报文对无线空口资源的占用。

图1 AC间漫游组网图2 配置关键点2.1 配置AC 1(1)在AC上配置相关VLAN和对应虚接口地址，并放通对应接口。

(2)配置802.1X认证# 选择802.1X认证方式为EAP。

[AC1] dot1x authentication-method eap#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。

[AC1] radius scheme office[AC1-radius-office] primary authentication 192.3.0.2[AC1-radius-office] primary accounting 192.3.0.2[AC1-radius-office] key authentication 12345678[AC1-radius-office] key accounting 12345678[AC1-radius-office] nas-ip 192.1.0.2#创建名为office的ISP域，配置认证、计费、授权方案。

[AC1] domain office[AC1-isp-office] authentication lan-access radius-scheme office [AC1-isp-office] authorization lan-access radius-scheme office [AC1-isp-office] accounting lan-access radius-scheme office (3)配置无线接入服务，配置dot1x认证[AC1] wlan service-template 1[AC1-wlan-st-1] ssid service[AC1-wlan-st-1] vlan 200[AC1-wlan-st-1] client forwarding-location ac[AC1-wlan-st-1] akm mode dot1x[AC1-wlan-st-1] client-security authentication-mode dot1x [AC1-wlan-st-1] dot1x domain office[AC1-wlan-st-1] cipher-suite ccmp[AC1-wlan-st-1] security-ie rsn[AC1-wlan-st-1] service-template enable(4)配置AP[AC1] wlan ap ap1 model WA4320i-ACN[AC1-wlan-ap-ap1] serial-id 210235A1GQC14C000225[AC1-wlan-ap-ap1] radio 1[AC1-wlan-ap-ap1-radio-1] service-template 1[AC1-wlan-ap-ap1-radio-1] radio enable[AC1-wlan-ap-ap1-radio-1] quit[AC1-wlan-ap-ap1] quit(5)配置漫游功能# 创建漫游组1，并进入漫游组视图。

[AC1] wlan mobility group 1# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.2。

[AC1-wlan-mg-1] source ip 192.1.0.2# 添加漫游组内的AC成员，该AC成员用于建立IACTP隧道的源IP地址为192.1.0.3。

[AC1-wlan-mg-1] member ip 192.1.0.3# 开启漫游组功能。

[AC1-wlan-mg-1] group enable(6)配置用户隔离功能# 在VLAN 200上开启用户隔离功能。

[AC1] user-isolation vlan 200 enable# 将VLAN 200的用户网关MAC地址加入VLAN 200所允许的MAC地址列表。

[AC1] user-isolation vlan 200 permit-mac 000f-e212-7788(7)配置缺省路由# 配置AC 1的缺省路由，下一跳地址为192.1.0.1。

[AC1] ip route-static 0.0.0.0 0.0.0.0 192.1.0.12.2 配置AC2(1)在AC上配置相关VLAN和对应虚接口地址，并放通对应接口。

(2)配置802.1X认证# 选择802.1X认证方式为EAP。

[AC2] dot1x authentication-method eap#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。

[AC2] radius scheme office[AC2-radius-office] primary authentication 192.3.0.2[AC2-radius-office] primary accounting 192.3.0.2[AC2-radius-office] key authentication 12345678[AC2-radius-office] key accounting 12345678[AC2-radius-office] nas-ip 192.1.0.3#创建名为office的ISP域，配置认证、计费、授权方案。

[AC2] domain office[AC2-isp-office] authentication lan-access radius-scheme office [AC2-isp-office] authorization lan-access radius-scheme office [AC2-isp-office] accounting lan-access radius-scheme office(3)配置无线接入服务，开启dot1x认证。

[AC2] wlan service-template 1[AC2-wlan-st-1] ssid service[AC2-wlan-st-1] vlan 200[AC1-wlan-st-1] client forwarding-location ac[AC2-wlan-st-1] akm mode dot1x[AC2-wlan-st-1] client-security authentication-mode dot1x[AC2-wlan-st-1] dot1x domain office[AC2-wlan-st-1] cipher-suite ccmp[AC2-wlan-st-1] security-ie rsn[AC2-wlan-st-1] service-template enable(4)配置AP[AC2] wlan ap ap2 model WA4320i-ACN[AC2-wlan-ap-ap2] serial-id 210235A1GQC14C000224[AC2-wlan-ap-ap2] radio 1[AC2-wlan-ap-ap2-radio-1] service-template 1[AC2-wlan-ap-ap2-radio-1] radio enable(5)配置漫游功能# 创建漫游组1，并进入到漫游组视图。

[AC2] wlan mobility group 1# 配置AC加入漫游组时建立IACTP隧道的源IP地址为192.1.0.3。

[AC2-wlan-mg-1] source ip 192.1.0.3# 添加漫游组内的AC成员，该AC成员用于建立IACTP隧道的源IP地址为192.1.0.2。

[AC2-wlan-mg-1] member ip 192.1.0.2# 开启漫游组功能。

[AC2-wlan-mg-1] group enable(6)配置用户隔离功能# 在VLAN 400上开启用户隔离功能。

[AC2] user-isolation vlan 400 enable# 将VLAN 400的用户网关MAC地址加入VLAN 400所允许的MAC地址列表。

[AC2] user-isolation vlan 400 permit-mac 000f-eeee-1212(7)配置缺省路由# 配置AC 2的缺省路由，下一跳地址为192.1.0.1。

[AC2] ip route-static 0.0.0.0 0.0.0.0 192.1.0.12.3 配置Switch# 创建相关VLAN，配置L2 switch和AP相连的接口为Trunk类型，PVID为AP管理VLAN，开启DHCP server功能，AP、无线客户端Client通过DHCP server 自动获取IP地址，并开启PoE供电功能。

3 配置RADIUS服务器下面以iMC为例（使用iMC版本为：iMC PLAT 7.2(E0403)、iMC EIA 7.2(E0403)），说明RADIUS服务器的基本配置。

# 增加接入设备。

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击<增加>按钮，进入增加接入设备页面。

∙ 设置与AC交互报文时使用的认证、计费共享密钥为“12345678”；∙ 选择或手工增加接入设备，添加IP地址为192.1.0.2和192.1.0.3的接入设备；∙其它参数采用缺省值，并单击<确定>按钮完成操作。

图2 增加接入设备# 增加接入策略。

选择“用户”页签，单击导航树中的[接入策略管理/接入策略管理]菜单项，进入接入策略管理页面，在该页面中单击<增加>按钮，进入增加接入策略页面。

∙ 设置接入策略名输入dot1x；∙选择证书认证为EAP证书认证；∙选择认证证书类型为EAP-PEAP认证，认证证书子类型为MS-CHAPV2认证。

认证证书子类型需要与客户端的身份验证方法一致。

图3 增加服务策略页面# 增加接入服务。

选择“用户”页签，单击导航树[接入策略管理/接入服务管理]菜单项，进入接入服务管理页面，在该页面中单击<增加>按钮，进入增加接入服务页面。