二层集中转发及双SSID双Portal配置指南

本文格式为Word版，下载可任意编辑——二层集中转发及双SSID双Portal配置指南二层集中转发及双SSID双Portal配置指南

一、网络结构示意图

CMNET省公司或校园网专用PORTAL,RADIUS服务器集团公司PORTAL,RADIUS服务器WAN口BRAS移动机房集聚交换机AC2400PON网络或者是PTN网络LAN口接入交换机认证点，DHCPserver，NAT都可以在AC上完成。热点接入POE供电交换机APAP

二、网络设置配置指导1.瘦AP端口配置

2.VLAN配置

如上图所示VLAN4000为出口VLAN，VLAN10为业务VLAN。集中转发下业务VLAN可以随意选择如10，100，1000等等。出口VLAN所属端口属性是配置成TAGGED还是UNTAGGED由于AC相连的交换机端口VLAN配置属性决定，假使对端配置成TAGGED则此端口配置为TAGGED，如对端配置成UNTAGGED，则此端口配置成UNTAGGED。业务VLAN需要配置NASID,Portal服务器，带宽控制等。

3.VLAN虚接口配置

出口VLAN下虚接口地址则为NASIP地址。假使业务VLAN虚接口为私网地址，则需要配置NAT，也就是在出口VLAN虚接口下开启NAT。业务VLAN虚接口需要开启WEB认证。虚接口的VLANID可以同一方框内填写多个。不同热点的AP下用户建议使用不同的业务VLAN。

4.DHCP配置

DHCP配置分为两部分，一部分为给AP分IP地址的DHCPServer,另一部分为给用户分IP地址的DHCPServer。

5.静态路由配置

静态路由下一跳地址为WAN对端地址即NASIP的网关地址。前面的目的地址与子网掩码都可以填0。

三、RF配置1.无线设定

此处可以使用默认配置无需改动。

2.安全配置文件

此处可以使用默认配置无需改动。

3.瘦AP配置模板

每个瘦AP配置模板需要配置相应的频点。SSID，业务VLAN号，Portal服务器选择，WEB认证服务器选择。每个模板配置完成后记得开启。

4.瘦AP配置模板应用此处可以使用默认配置无需改动。

四、接入控制配置1.WEB认证配置

在“接入控制〞的“WEB认证〞页，可添加多个PortalServer。目前移动集团各分公司主要使用两个Portal页面，一个用于CMCC即普通用户的WLAN认证接入，另一个用户CMCC-EDU即校园网用户接入。需要启用SSID绑定。WEB认证模式选用外部Portal服务器+外部Radius服务器。

2.PPPoE设置

使用WEB认证的状况下可以使用默认配置。

3.HTTP重定向

此处可以使用默认配置无需改动。

4.RADIUS设定

在“接入控制〞的“RADIUS设定〞中可添加相应的RADIUSServer

1.在选择认证类型时要特别注意：?当认证类型选择为“WPA/WPA2〞认证时，该Server只能被用于无线连接时的WPA/WPA2认证；?假使要用于Web认证，则必需将认证类型选择为“WebAuth〞；一般目前的应用中，我们都会选择无线连接“OpenSystem〞，而在上网前需经过“Web认证〞；2.RADIUS目前用域名来进行标识，主要是为了能够支持“域转发〞的功能（即由PortalServer将用户所属的域名发给AC，再由AC根据域名来选择将用户的认证和计费信息推送给相应的RADIUSServer）；3.RADIUS域可设定为一致，但只允许两个一致域的RADIUSServer形成相互备份的主/备RADIUSServer组；4.RADIUS域也可以不设置，保持为空，但最多只允许设定两个域名为空的RADIUSServer；Portal和RADIUS的绑定方式：

?Portal的绑定方式方式配置方式使用默认Portal1、在WEB认证页，“选择Portal服务器方式〞设为“默认〞；根据VLAN1、在WEB认证页，“选择Portal服务器方式〞设为“根据VLAN〞；应用举例对于所有连接在此AC上的用户都推送同一个Portal页面时使用；当VLANID为10时，推送集团Portal；2、在VLAN设定页中，在添加VLAN当VLANID为20时，推送根据SSIDID时，将其对应的PortalServer选定；省Portal；1、在WEB认证页，选择Portal服务当SSID为“CMCC〞时推器方式为“根据SSID〞；送集团Portal；2、在“瘦AP模板〞的profile配置中，当SSID为“CMCC-EDU〞选择相应的Portal服务器；

?RADIUS的绑定方式方式配置方式使用默认RADIUSServer1、在“RADIUS设定〞页，“探寻区域模Portal服务器（域转发）式〞设为“关闭〞1、在“RADIUS设定〞页，“探寻区域模应用举例对于所有连接在此AC上的用户都推送同一个RADIUSServer；当Portal服务器支持根据用户名时，推送省Portal式〞设为“Portal服务器〞判断确认用户的域名，如2、确定Portal服务器能支持域转发的功能户属于XX，所以就会将域名加在用户名之后，发给AC，此时AC就将用户信息发往域名为“〞的对应根据SSID1、在“RADIUS设定〞页，“探寻区域模式〞设为“SSID〞2、在“瘦AP模板〞的profile配置中，选择相应的RADIUS服务器；

5.MAC接入控制根据需要配置。

6.白名单（认证前）

RADIUSServer当SSID为“CMCC〞时推送集团RADIUS；当SSID为“CMCC-EDU〞时，推送省RADIUS；

白名单需要添加Portal服务器地址，Radius服务器地址，DNS地址。且配置完成后把“允许访问控制〞勾上。

7.白名单（认证后）根据需要配置。

8.NASID绑定设置根据需要配置。

9.带宽控制根据需要配置。

10.防火墙设置根据需要配置。

11.高级设置根据需要配置。

12.分级上网设置根据需要配置。

五、管理配置1.用户管理根据需要配置。

2.更改密码

所有AC在接入公网前都必需要修改密码。密码必需由字母数字和特别符号组成不少于12位，且需要定期修改。

3.更新固件根据需要配置。

4.备份和恢复设定

每次完成配置后建议备份配置。尽量不要使用不同AC版本间的恢复备份。

5.配置保存

每次完成配置后都一定要保存配置，否则重启后会丢失配置。

6.远程控制管理

可以根据实际需求配置。

7.重启

可以根据实际需求使用。用以重启AC和AP。

六、信息查看与配置1.路由表2.端口统计信息3.瘦AP在线列表

可以在此给AP分派配置模板以及添加工程状态信息。

4.无线终端列表

5.已分派IP地址列表6.非法AP列表7.活动日志8.系统信息

以上为二层集中转发AC的详细配置步骤。

七、常见接入交换机的配置

华为，cisco交换机可以把接AP端口配置为ACCESS模式，让管理VLAN通过。

中兴，烽火等其它交换机需要把接AP的端口配置为让管理VLAN通过且为untag，需要在端口打上管理VLAN的PVID号。

八、热点集聚交换机及机房集聚交换机的配置