H3C_AC常用配置操作说明

H3C交换机典型（A C L）访问控制列表配置实例一、组网需求：2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：三、配置步骤：H3C5100系列交换机典型访问控制列表配置共用配置1．根据组网图，创建四个vlan，对应加入各个端口<H3C>system-view[H3C]vlan10[H3C-vlan10]portGigabitEthernet1/0/1[H3C-vlan10]vlan20[H3C-vlan20]portGigabitEthernet1/0/2[H3C-vlan20]vlan30[H3C-vlan30]portGigabitEthernet1/0/3[H3C-vlan30]vlan40[H3C-vlan40]portGigabitEthernet1/0/4[H3C-vlan40]quit2．配置各VLAN虚接口地址[H3C]interfacevlan10[H3C-Vlan-interface10]ipaddress24[H3C-Vlan-interface10]quit[H3C]interfacevlan20[H3C-Vlan-interface20]ipaddress24[H3C-Vlan-interface20]quit[H3C]interfacevlan30[H3C-Vlan-interface30]ipaddress24[H3C-Vlan-interface30]quit[H3C]interfacevlan40[H3C-Vlan-interface40]ipaddress24[H3C-Vlan-interface40]quit3．定义时间段[H3C]time-rangehuawei8:00to18:00working-day需求1配置（基本ACL配置）1．进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1]aclnumber2000[H3C-acl-basic-2000]rule1denysource0time-rangeHuawei 3．在接口上应用2000号ACL[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000[H3C-GigabitEthernet1/0/1]quit需求2配置（高级ACL配置）1．进入3000号的高级访问控制列表视图[H3C]aclnumber30002．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination3．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei[H3C-acl-adv-3000]quit4．在接口上用3000号ACL[H3C-acl-adv-3000]interfaceGigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2]packet-filterinboundip-group3000需求3配置（二层ACL配置）1．进入4000号的二层访问控制列表视图[H3C]aclnumber40002．定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei 3．在接口上应用4000号ACL[H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group40002H3C5500-SI系列交换机典型访问控制列表配置需求2配置1．进入3000号的高级访问控制列表视图[H3C]aclnumber30002．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination3．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei[H3C-acl-adv-3000]quit4．定义流分类[H3C]trafficclassifierabc[H3C-classifier-abc]if-matchacl3000[H3C-classifier-abc]quit5．定义流行为，确定禁止符合流分类的报文[H3C]trafficbehaviorabc[H3C-behavior-abc]filterdeny[H3C-behavior-abc]quit6．定义Qos策略，将流分类和流行为进行关联[H3C]qospolicyabc[H3C-qospolicy-abc]classifierabcbehaviorabc[H3C-qospolicy-abc]quit7．在端口下发Qospolicy[H3C]interfaceg1/1/2[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound8．补充说明：lacl只是用来区分数据流，permit与deny由filter确定；l如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联；lQoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier；l将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

H3C _AC常用配置操作指令说明常用命令:一、dis wlan ap all (查看所有AP 的状态)如图：二、dis wlan ap all add (查看所有AP 的名称与其对应的mac-add)如图：三、dis wlan client (查看总接入用户数以及所接入的业务vlan)如图：Ip地址显示4个0时表示该用户正在获取或因客户端操作不当无法获取到IP四、dis wlan client ap ap_name（查看某具体AP 的接入用户数）EX:dis wlan client ap ydmzl_02_01 （查看AP 为ydmzl_02_01 的接入用户数）如图：五、dis dhcp server ip-in-use all (查看所有AP 的ip 分配情况)说明:命令输入后第四列为TYPE 此有2 种类型（COMMITTED 和OFFERED ）其中COMMITTED 为dhcp 已顺利分配给AP ip、OFFERED 为dhcp 没有顺利分配给AP ip （该状态AP无法上线）如图:六、dis dhcp server ip-in-use pool pool_name (查看某个具体地址池的ip 分配情况)EX:dis dhcp ser ip-in-use pool vlan502---查看vlan502 这个地址池的ip 分配情况如图：七、地址池命名规则:热点所在的vlan 多少就命名为vlan_vlan_NO.(地址池之间没有如何分隔号)EX:vlan 110 地址池就为vlan110vlan 112 地址池就为vlan112注：以上命名方式是为以后排障方便,地址池名称没有特定的命名方式八、dis vlan：查看已作分配的vlan九、AP配置：AP配置方式>>>Wlan ap ap_name model xxxxxx （ap_name为给某AP自行命名,AP型号需根据现场安装AP 来定）serial-id xxxxxxxxxxxxx （AP的序列号,在AP面板上可找到）radio 1（射频>>>射频个数视AP型号而定）service-template 1 vlan xxx （服务模板1,后接服务模板1的业务vlan）service-template 2 nas-id xxxxxxxx （服务模板2,后接服务模板2的热点nas-id）（服务模板添加个数视情况而定,可1个可多个,该服务模板目前医大未使用,可不配置）radio enable（射频开启）医大附一服务模板1及所绑定的接口wlan-ess0配置的配置：医大附一服务模板2及所绑定的接口wlan-ess0配置的配置：补充（排障）：若AP掉线,①查看该AP的mac是否可以在AC上学到,dis mac-add x.x.x.x,若可学到,则找出其获取的IP地址dis arp,然后长ping 该IP地址ping –c 100 x.x.x.x（ping100个包）若出现掉包情况,则可判断网线水晶头出现故障,需重新整改水晶头②若在AC上无法查到某掉线AP的mac,则可判断,该AP连接交换机的网线端出现松动,重新插好后一般便可正常上线,若无法上线,循环①点进行排查③若以上2点都无法解决问题,最直接排除方法,把该故障AP直接用可用网线插在交换机上排查AP是否出现问题,若有则更换AP,若没有则可判断连接该AP的网线存在问题。

迈普交换机常用命令手册目录1、各种命令模式介绍及模式间切换方法 (2)1）普通用户模式 (2)2）特权用户模式 (2)3）全局模式 (2)4）端口配置模式 (3)2、交换机维护常用命令 (3)1）查看当前交换机的配置信息 (3)2）查看当前交换机端口的概述信息 (3)3）查看当前交换机端口的POE状态 (4)4）查看当前交换机的MAC地址表的内容 (5)5）查看当前交换机的ARP映射表 (5)6）查看当前交换机的型号 (6)7）开启和关闭交换机端口 (6)8）开启和关闭交换机端口POE 功能 (6)9）配置交换机端口的模式(access/hybrid/trunk)及归属VLAN。

(6)10）保存当前交换机配置信息 (7)11）重启当前交换机 (7)3、现网中用到的交换机型号及口令 (7)1、各种命令模式介绍及模式间切换方法1）普通用户模式通过H3C AC（211.137.126.21）跳转到迈普交换机，输入用户名及口令后，默认进入“普通用户模式”，执行quit命令退出。

2）特权用户模式在普通用户模式下执行enable命令，输入口令后进入“特权用户模式”，执行disable 命令退回到普通用户模式。

注明：在该模式可以查看端口概述信息、查看交换机配置、查看交换机版本等，但无法修改交换机配置。

3）全局模式在特权模式下执行config terminal命令进入“全局模式”，执行exit命令退回到特权模式下。

备注：该模式可以配置交换机运行所需的全局参数，但无法执行TELNET操作。

4）端口配置模式在全局模式下或者接口模式下执行interface命令（同时指定相应的接口类型、接口号），进入“端口配置模式”，执行exit命令退回到全局配置模式。

备注：在该模式下，可以对端口进行配置。

如：设置端口类型、设置端口归属VLAN、开启或关闭端口POE功能等。

2、交换机维护常用命令1）查看当前交换机的配置信息【命令】show running-config【命令模式】特权模式或全局模式【示例】2）查看当前交换机端口的概述信息【命令】show inter ethernet status【命令模式】特权模式或全局模式【示例】3）查看当前交换机端口的POE状态【命令】show power inline interface 【命令模式】特权模式或全局模式【示例】4）查看当前交换机的MAC地址表的内容【命令】show mac-address-table 【命令模式】特权模式或全局模式【示例】5）查看当前交换机的ARP映射表【命令】show arp【命令模式】特权模式或全局模式【示例】6）查看当前交换机的型号【命令】show version【命令模式】特权模式或全局模式【示例】7）开启和关闭交换机端口【命令】开启/关闭：shutdown/no shutdown【命令模式】端口配置模式【举例】8）开启和关闭交换机端口POE 功能【命令】开启/关闭：power inline enable/no power inline enable【命令模式】端口配置模式【备注】开启端口POE功能前，须在“全局模式”开启POE功能（power inline enable）。

公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批,采购设备，抽休息时间把无线网络进行了改造，并加入了Portal 认证，方便来宾用户,记录下整个安装配置流程。

在网络的前期规划中,使用了三层交换机,将地址分段，并开启DHCP，192。

168.0。

1 为路由器，192.168.1.0/24 段分配给内部服务器使用， 192。

168。

2.0/24 分配给工作组,192.168.3。

0/24 分配给无线设备使用，扩容升级直接将原有192。

168。

3。

0/24 段的2台AP拿掉，接入WX3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是Office—WIFI （办公使用) Office-WIFI-5G （办公5G频段）Office-Guest （无密码提供给来宾使用，需要Portal 认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的,但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置,没想到2小时不到就搞定了，后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块,无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168。

0.101 用户名密码均为admin ，因需求只需要实现无线覆盖，直接使用二层模式即可,不用配置交换面板。

配置无线控制器IP，将WX3010E的1端口连接PC，设置PC网卡IP 192。

168。

0。

2 子网 255.255.255。

0 给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168。

0。

100，（推荐使用Chrome 浏览器，在使用IE11和Firefox 中总遇到一些页面兼容性问题），选择快速配置,注意在3/9 步骤配置设备IP 地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

H3C_AC常用配置操作说明1.连接H3C_AC：首先，需要通过网线将H3C_AC与交换机或路由器相连，确保网络连接正常。

然后，在浏览器中输入H3C_AC的管理IP地址，打开管理界面。

2.配置基本信息：登录管理界面后，需要配置H3C_AC的基本信息，包括设置登录密码、管理IP地址、子网掩码、默认网关等。

这些基本信息是保证H3C_AC正常工作的基础。

3.配置接入点（AP）：H3C_AC用于管理和控制AP的工作，因此需要对AP进行配置。

可以添加AP到H3C_AC中，设置AP的基本信息，例如AP的名称、MAC地址、IP地址等。

还可以为AP设置无线网络的参数，如无线信道、传输功率、SSID等。

4.配置无线网络：在H3C_AC中，可以创建多个无线网络，并设置它们的参数。

可以设置无线网络的名称（SSID）、加密方式（如WEP、WPA、WPA2等）、认证方式（如802.1X、MAC地址认证等）、用户接入限制（如最大连接数、连接时间限制等）等。

5.配置用户接入策略：H3C_AC允许管理员对用户进行接入策略的配置。

可以根据用户的身份或MAC地址，设置不同的接入策略。

例如，可以为教职工设置高级别的安全认证方式，而为访客设置较低级别的认证方式。

6.配置网络服务：H3C_AC支持多种网络服务的配置，如DHCP服务器、RADIUS服务器、FTP服务器等。

管理员可以根据实际需求，配置相应的网络服务参数，以便提供更多的网络功能和服务。

7.监控和管理：H3C_AC提供了丰富的监控和管理功能，可以实时监控和管理无线网络的状态和性能。

管理员可以查看AP和用户的连接状态，监控无线信号强度、流量、会话等信息。

还可以进行日志管理、告警配置、固件升级等操作。

8.安全设置：H3C_AC提供了多种安全设置选项，以确保无线网络的安全性。

管理员可以设置防火墙策略、访问控制列表（ACL）、入侵检测和预防（IDS/IPS）等功能，以防止恶意攻击和未经授权的访问。

一、AC控制器display wlan ap all查看配置好的ap模板编辑：（删除模板：undo wlan service-template 1）wlan service-template 1ssid TEACHER (wifi信号名称)vlan 1002akm mode pskpreshared-key pass-phrase simple lzzz!jiaowu （密码设置）cipher-suite ccmpsecurity-ie rsnclient-rate-limit enableclient-rate-limit inbound mode static cir 16000 (16000上行带宽)client-rate-limit outbound mode static cir 8100 (8100下行带宽)service-template enablewlan service-template 2(undo service-template enable)ssid STUDENTvlan 1002akm mode pskpreshared-key pass-phrase simple lzzz!jiaowucipher-suite ccmpsecurity-ie rsnservice-template enable在AC上注册AP：(删除AP：undo wlan ap ap名）dis wlan ap allwlan ap ap-jiaoxuelou-bei-602 model WA5320-SI (添加新AP)serial-id 219801A1B38185E009X0radio 1(149,153,157)channel 153service-template 1service-template 2radio enableradio 2(1,6,11)channel 6service-template 1service-template 2radio enable学生SSID在部分时段无法上网。

H3C 无线控制器基本配置命令1.AC与AP直接连接的典型组网配置无线客户端●组网说明→FIT AP与WX6103直接连接→WX6103管理地址192.168.1.99/24→WX6103主控板在1号槽位→AP属于VLAN 1（192.168.1.0/24网段）→无线客户端属于VLAN 2（192.168.2.0/24网段）→交换机与WX6103连接的接口地址为192.168.2.254，为无线客户端网关地址WX6103三层交换机FIT APVLAN 1VLAN 2192.168.1.99ssid: H3C●步骤一：添加相应的VLAN（vlan 2），并在vlan 1下配置设备管理ip 192.168.1.99→[WX6103] vlan 2 →[WX6103 ]interface vlan 1→[WX6103-Vlan-interface1] ip address 192.168.1.99 24●步骤二：使能DHCP Server功能，配置vlan 1网段的地址池，为AP动态分配地址→[WX6103] dhcp enable →[WX6103 ] dhcp server ip-pool pool1→[WX6103-dhcp-pool-pool1] network 192.168.1.0 24●步骤三：将无线控制模块的内部接口Ten-GigabitEthernet1/0/1设置为Trunk类型→[WX6103] interface Ten-GigabitEthernet1/0/1●步骤四：配置无线接口WLAN-ESS 1，并指定其属于vlan 2（无线客户端属于vlan 2）→[WX6103] interface WLAN-ESS 1 //建立无线接口，此接口为用户接入接口→[WX6103-WLAN-ESS1] port access vlan 2 //用户属于vlan 2→[WX6103] wlan service-template 1 clear //创建服务模板1 ，认证方式为不认证clear→[WX6103-wlan-st-1] ssid H3C //创建SSID为H3C→[WX6103-wlan-st-1] bind WLAN-ESS 1 //绑定用户接口WLAN-ESS 1→[WX6103-wlan-st-1] client max-count 25 //修改单AP最大用户数为25，默认为64→[WX6103-wlan-st-1] beacon ssid-hide //修改SSID为隐藏模式，默认不开启→[WX6103-wlan-st-1] service-template enable //服务模板生效●步骤五：手动添加AP WA2100，并在射频卡radio 1上绑定已创建的服务模板service-template 1→[WX6103] wlan ap ap1 model WA2100 //创建AP模板，型号为WA2100 →[WX6103-wlan-ap-ap1] serial-id 210235A22W0074000123 //输入此AP的序列号→[WX6103-wlan-ap-ap1] radio 1 //和刚才创建的服务模板进行绑定→[WX6103-wlan-ap-ap1-radio-1] service-template 1 //如在后面加上vlan-id xxx 表示客户端优先加入xxx vlan→[WX6103-wlan-ap-ap1-radio-1] Channel 1 //修改AP所在信道为1→[WX6103-wlan-ap-ap1-radio-1] max-power 20 //修改AP的最大功率，单位为dbm ，20=100mw→[WX6103-wlan-ap-ap1-radio-1] radio enable //射频卡启用●步骤六：查看AP运行情况→[WX6103]display wlan ap all互通或者整个AC 管理的AP 下接入的用户在某个vlan 内无法互通。

H3C无线控制器AC间漫游典型配置举例（V7）H3C无线控制器AC间漫游典型配置举例(V7)1 组网需求如图1所示，在一个区域内通过部署两台AC来为用户提供无线服务，并实现客户端可以在AC间进行快速漫游。

具体要求如下：AC 1上的客户端业务VLAN为VLAN 200，AC 2上的客户端业务VLAN为VLAN 400。

客户端跨AC漫游后，客户端数据不经过IACTP隧道返回Home-AC。

配置用户隔离功能加强用户的安全性，并且减少用户产生的大量组播、广播报文对无线空口资源的占用。

图1 AC间漫游组网图2 配置关键点2.1 配置AC 1(1)在AC上配置相关VLAN和对应虚接口地址，并放通对应接口。

(2)配置802.1X认证# 选择802.1X认证方式为EAP。

[AC1] dot1x authentication-method eap#配置radius认证,配置radius服务器的IP地址、秘钥及radius 报文发送的源地址。

[AC1] radius scheme office[AC1-radius-office] primary authentication 192.3.0.2[AC1-radius-office] primary accounting 192.3.0.2[AC1-radius-office] key authentication 12345678[AC1-radius-office] key accounting 12345678[AC1-radius-office] nas-ip 192.1.0.2#创建名为office的ISP域，配置认证、计费、授权方案。

[AC1] domain office[AC1-isp-office] authentication lan-access radius-scheme office [AC1-isp-office] authorization lan-access radius-scheme office [AC1-isp-office] accounting lan-access radius-scheme office (3)配置无线接入服务，配置dot1x认证[AC1] wlan service-template 1[AC1-wlan-st-1] ssid service[AC1-wlan-st-1] vlan 200[AC1-wlan-st-1] client forwarding-location ac[AC1-wlan-st-1] akm mode dot1x[AC1-wlan-st-1] client-security authentication-mode dot1x [AC1-wlan-st-1] dot1x domain office[AC1-wlan-st-1] cipher-suite ccmp[AC1-wlan-st-1] security-ie rsn[AC1-wlan-st-1] service-template enable(4)配置AP[AC1] wlan ap ap1 model WA4320i-ACN[AC1-wlan-ap-ap1] serial-id 210235A1GQC14C000225[AC1-wlan-ap-ap1] radio 1[AC1-wlan-ap-ap1-radio-1] service-template 1[AC1-wlan-ap-ap1-radio-1] radio enable[AC1-wlan-ap-ap1-radio-1] quit[AC1-wlan-ap-ap1] quit(5)配置漫游功能# 创建漫游组1，并进入漫游组视图。