H3C AC(无线控制器)的配置是构建企业级无线网络的核心环节,通过系统化的命令可实现AP统一管理、用户接入控制、无线安全策略部署等功能,以下从基础配置、AP上线、安全策略、业务参数等方面详细说明常用配置命令及逻辑。
基础配置
系统初始化与接口配置
首次登录AC通常需通过Console线连接,默认用户名/密码为admin/hw123454321,登录后执行以下命令初始化设备:
system-view // 进入系统视图 sysname AC6605 // 设置设备名称,例如AC6605 vlan 1 // 创建VLAN 1(默认管理VLAN) interface Vlanif1 // 进入VLAN接口视图 ip address 192.168.1.1 24 // 配置AC管理IP地址 quit user-interface aux 0 // 进入Console用户界面 authentication-mode password // 设置认证模式为密码 set authentication password cipher admin@123 // 设置登录密码 user privilege level 15 // 设置用户权限为最高级(15级) quit
若AC与交换机通过二层连接,需确保AP与AC之间的网络互通,可在交换机上配置端口允许AP关联的VLAN通过(例如VLAN 100)。
AC与AP通信配置
AC需通过CAPWAP隧道管理AP,需配置AC的源接口和AP的源IP(若AP指定AC地址):
capwap source interface vlanif1 // 设置CAPWAP报文的源接口为VLANIF1(管理接口)
若AP需通过DHCP获取AC地址,需在DHCP服务器上 option 43 选项指向AC的IP地址(H3C设备中option 43格式为sub-option 2,值为AC的IP地址)。
AP上线配置
AP添加与认证
AP上线前需在AC上添加AP,并通过认证方式(MAC认证、SNMP认证等)验证AP合法性,以MAC认证为例:
ap-id 1 // 创建AP ID为1的AP组 ap-mac 00e0-fca9-1234 // 绑定AP的MAC地址 ap-name AP-Floor1-01 // 设置AP名称 ap-group name Group-Floor1 // 将AP加入指定AP组(需先创建AP组) authentication-mode mac-auth // 设置认证模式为MAC认证 authentication mac-address 00e0-fca9-1234 // 绑定MAC地址(与AP-MAC一致) quit
若使用SNMP认证,需配置AC的SNMP参数及AP的团体字符串:
snmp-agent community read cipher public // 设置只读团体字符串 snmp-agent community write cipher private // 设置读写团体字符串
AP组与射频配置
AP组是AP的集合组,可统一组内AP的射频、业务等参数,创建AP组后配置射频:
ap-group name Group-Floor1 // 进入AP组视图 radio 0 // 进入射频0(2.4G)视图 radio-enable // 开启射频 channel auto // 设置信道为自动(或手动指定channel 6) power auto // 设置发射功率为自动(或手动指定power 20) ssid H3C-WiFi // 设置SSID名称 quit radio 1 // 进入射频1(5G)视图 radio-enable channel auto power auto ssid H3C-WiFi-5G quit
若需配置VLAN映射,将无线用户流量映射到指定VLAN:
vlan 100 // 创建用户VLAN quit ap-group name Group-Floor1 ssid-profile name SSID-H3C // 创建SSID profile(若未关联) ssid H3C-WiFi vlan 100 // 关联SSID到VLAN 100 quit
安全与业务策略配置
用户接入安全
为防止未授权用户接入,可配置802.1X认证或PSK认证,以PSK为例:
aaa // 进入AAA视图 local-user admin password cipher admin123 // 创建本地用户 local-user admin service-type wlan // 用户类型为无线 local-user admin authorization-attribute idle-cut 300 // 空闲超时5分钟 quit wlan // 进入WLAN视图 security-profile name Security-PSK // 创建安全profile security wpa2 psk pass-phrase admin123 aes // 设置WPA2-PSK加密,密码admin123,AES算法 quit ssid-profile name SSID-H3C security-profile Security-PSK // 关联安全profile quit
流量与QoS策略
配置用户带宽限速及流量行为:
traffic-profile name Traffic-Limit // 创建流量profile car inbound cir 1024 // 入向承诺带宽1024kbps car outbound cir 2048 // 出向承诺带宽2048kbps quit ap-group name Group-Floor1 radio 0 traffic-profile Traffic-Limit // 关联流量profile quit
常见配置命令速查表
| 功能分类 | 命令示例 | 说明 |
|---|---|---|
| AP查看 | display ap all | 查看所有AP状态 |
| AP状态检查 | display ap id 1 | 查看指定AP详情 |
| 用户在线查看 | display station all | 查看所有在线用户 |
| 无射频配置 | undo radio 0 | 关闭射频0 |
| SSID修改 | ssid-profile name SSID-H3C ssid H3C-NewWiFi |
修改SSID名称 |
| 日志开启 | loghost 192.168.1.100 log level debugging |
配置日志服务器及日志级别 |
FAQs
Q1: AP显示“failed to join AC”,如何排查?
A: 首先检查AC与AP网络连通性(AP能否ping通AC管理IP);其次确认CAPWAP端口(UDP 5246/5247)是否开放;然后检查AP认证配置(MAC地址、SNMP团体字符串是否正确);最后查看AC日志display logbuffer,确认AP上线失败原因(如版本不匹配、license不足等)。
Q2: 如何配置无线用户隔离,防止用户间直接通信?
A: 在安全profile或VLAN profile中开启用户隔离功能:
wlan security-profile name Security-Isolate user-isolate group direct // 开启同组用户隔离 user-isolate group indirect // 开启跨组用户隔离(可选) quit
关联该安全profile到SSID即可实现用户间二层流量隔离,提升安全性。
