柚子快報(bào)激活碼778899分享：商超物聯(lián)網(wǎng)~配置學(xué)生健康與安全

http://yzkb.51969.com/

配置學(xué)生健康與安全示實(shí)驗(yàn)

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

作者：知孤云出岫?

作者主頁(yè)：點(diǎn)擊這里

組網(wǎng)圖形

圖1?配置學(xué)生健康與安全示例組網(wǎng)圖

業(yè)務(wù)需求組網(wǎng)需求數(shù)據(jù)規(guī)劃配置思路配置注意事項(xiàng)操作步驟配置文件

業(yè)務(wù)需求

某學(xué)校由于重視學(xué)生的健康與安全，希望能夠通過技術(shù)手段監(jiān)控和查看學(xué)生平時(shí)的健康與安全信息。

為實(shí)現(xiàn)學(xué)校需求，可以采用學(xué)生健康與安全物聯(lián)網(wǎng)方案，與WLAN網(wǎng)絡(luò)復(fù)用同一網(wǎng)絡(luò)。

組網(wǎng)需求

AC組網(wǎng)方式：旁掛二層組網(wǎng)。DHCP部署方式：AC作為DHCP服務(wù)器為AP和STA分配IP地址。業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式：直接轉(zhuǎn)發(fā)。

數(shù)據(jù)規(guī)劃

表1?AC數(shù)據(jù)規(guī)劃表

配置項(xiàng) 數(shù)據(jù) 管理VLAN VLAN100 業(yè)務(wù)VLAN VLAN101 AC的源接口 VLANIF100 DHCP服務(wù)器 AC作為DHCP服務(wù)器為AP和STA分配IP地址 STA的IP地址池 10.23.101.2～10.23.101.254/24 AP組

名稱：ap-group1引用模板：VAP模板wlan-net、域管理模板defaultIoT插卡接口對(duì)應(yīng)的本端TCP端口號(hào)：50200 域管理模板

名稱：default國(guó)家碼：CN SSID模板

名稱：wlan-netSSID名稱：wlan-net

安全模板

名稱：wlan-net安全策略：WPA-WPA2+PSK+AES密碼：a1234567

VAP模板

名稱：wlan-net轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)業(yè)務(wù)VLAN：VLAN101引用模板：SSID模板wlan-net、安全模板wlan-net

IoT模板

名稱：wlan-iot上位機(jī)的IP地址：10.23.200.1上位機(jī)的端口號(hào)：3000代理信任主機(jī)：10.23.102.253/255.255.255.0共享密鑰：aabb0011@11

配置思路

配置AP、Switch、AC和上位機(jī)之間的網(wǎng)絡(luò)互通。 配置AC作為DHCP服務(wù)器為AP和STA分配IP地址。 配置AP上線。 配置WLAN覆蓋業(yè)務(wù)。 配置AP與上位機(jī)的通信參數(shù)。 在上位機(jī)上添加AP的IP地址并配置與AP一致的共享密鑰。

配置注意事項(xiàng)

純組播報(bào)文由于協(xié)議要求在無線空口沒有ACK機(jī)制保障，且無線空口鏈路不穩(wěn)定，為了純組播報(bào)文能夠穩(wěn)定發(fā)送，通常會(huì)以低速報(bào)文形式發(fā)送。如果網(wǎng)絡(luò)側(cè)有大量異常組播流量涌入，則會(huì)造成無線空口擁堵。為了減小大量低速組播報(bào)文對(duì)無線網(wǎng)絡(luò)造成的沖擊，建議配置組播報(bào)文抑制功能。配置前請(qǐng)確認(rèn)是否有組播業(yè)務(wù)，如果有，請(qǐng)謹(jǐn)慎配置限速值。

業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式采用直接轉(zhuǎn)發(fā)時(shí)，建議在直連AP的交換機(jī)接口上配置組播報(bào)文抑制。業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式采用隧道轉(zhuǎn)發(fā)時(shí)，建議在AC的流量模板下配置組播報(bào)文抑制。

建議在與AP直連的設(shè)備接口上配置端口隔離，如果不配置端口隔離，尤其是業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式采用直接轉(zhuǎn)發(fā)時(shí)，可能會(huì)在VLAN內(nèi)形成大量不必要的廣播報(bào)文，導(dǎo)致網(wǎng)絡(luò)阻塞，影響用戶體驗(yàn)。 隧道轉(zhuǎn)發(fā)模式下，管理VLAN和業(yè)務(wù)VLAN不能配置為同一VLAN，且AP和AC之間只能放通管理VLAN，不能放通業(yè)務(wù)VLAN。 V200R021C00版本開始，配置CAPWAP源接口或源地址時(shí)，會(huì)檢查和安全相關(guān)的配置是否已存在，包括DTLS加密的PSK、AC間DTLS加密的PSK、登錄AP的用戶名和密碼、全局離線管理VAP的登錄密碼，均已存在才能成功配置，否則會(huì)提示用戶先完成相關(guān)的配置。V200R021C00版本開始，AC默認(rèn)開啟CAPWAP控制隧道的DTLS加密功能。開啟該功能，添加AP時(shí)AP會(huì)上線失敗，此時(shí)需要先開啟CAPWAP DTLS不認(rèn)證方式（capwap dtls no-auth enable）讓AP上線，以便AP獲取安全憑證，AP上線后應(yīng)及時(shí)關(guān)閉該功能（undo capwap dtls no-auth enable），避免未授權(quán)AP上線。

操作步驟

1.配置交換機(jī)和AC，使AP與AC之間互通

?

# 配置接入交換機(jī)Switch。將Switch的接口GE0/0/1～GE0/0/4加入VLAN100（管理VLAN）和VLAN101（業(yè)務(wù)VLAN）。

system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 100 to 101

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type trunk

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 to 101

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type trunk

[Switch-GigabitEthernet0/0/2] port trunk pvid vlan 100

[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 to 101

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type trunk

[Switch-GigabitEthernet0/0/3] port trunk pvid vlan 100

[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 to 101

[Switch-GigabitEthernet0/0/3] quit

[Switch] interface gigabitethernet 0/0/4

[Switch-GigabitEthernet0/0/4] port link-type trunk

[Switch-GigabitEthernet0/0/4] port trunk pvid vlan 100

[Switch-GigabitEthernet0/0/4] port trunk allow-pass vlan 100 to 101

[Switch-GigabitEthernet0/0/4] quit

# 配置AC。配置接口GE0/0/1加入VLAN100、VLAN101。

system-view

[HUAWEI] sysname AC

[AC] vlan batch 100 to 101

[AC] interface gigabitethernet 0/0/1

[AC-GigabitEthernet0/0/1] port link-type trunk

[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101

[AC-GigabitEthernet0/0/1] quit

配置AP與服務(wù)器之間的互通。 請(qǐng)根據(jù)實(shí)際組網(wǎng)情況配置路由，保證AP與上位機(jī)間網(wǎng)絡(luò)互通。 配置AC作為DHCP服務(wù)器，為AP和STA分配IP地址 # 配置基于接口地址池的DHCP服務(wù)器。

DNS服務(wù)器地址請(qǐng)根據(jù)實(shí)際需要配置。常用配置方法如下：

接口地址池場(chǎng)景，需要在VLANIF接口視圖下執(zhí)行命令dhcp server dns-list?ip-address?&<1-8>。

全局地址池場(chǎng)景，需要在IP地址池視圖下執(zhí)行命令dns-list?ip-address?&<1-8>。

[AC] dhcp enable

[AC] interface vlanif 100

[AC-Vlanif100] ip address 10.23.100.1 24

[AC-Vlanif100] dhcp select interface

[AC-Vlanif100] quit

[AC] interface vlanif 101

[AC-Vlanif101] ip address 10.23.101.1 24

[AC-Vlanif101] dhcp select interface

[AC-Vlanif101] quit 配置AP上線 # 創(chuàng)建AP組，用于將相同配置的AP都加入同一AP組中。

[AC] wlan

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] quit

# 創(chuàng)建域管理模板，在域管理模板下配置AC的國(guó)家碼并在AP組下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name default

[AC-wlan-regulate-domain-default] country-code cn

[AC-wlan-regulate-domain-default] quit

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default

Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y

[AC-wlan-ap-group-ap-group1] quit

[AC-wlan-view] quit

# 配置AC的源接口。

[AC] capwap source interface vlanif 100

# 在AC上離線導(dǎo)入AP，并將AP加入AP組“ap-group1”中。根據(jù)AP的部署位置為AP配置名稱，便于從名稱上就能夠了解AP的部署位置。例如MAC地址為60de-4476-e360的AP部署在教室內(nèi)，命名為room_1；MAC地址為60de-4476-e460和60de-4476-e560的AP分別部署在校門內(nèi)外側(cè)，命名為door_1和door_2。

ap auth-mode命令缺省情況下為MAC認(rèn)證，如果之前沒有修改其缺省配置，可以不用執(zhí)行ap auth-mode mac-auth。

舉例中使用的AP為AP4050DN-E，具有射頻0和射頻1兩個(gè)射頻。

[AC] wlan

[AC-wlan-view] ap auth-mode mac-auth

[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360

[AC-wlan-ap-0] ap-name room_1

Warning: This operation may cause AP reset. Continue? [Y/N]:y

[AC-wlan-ap-0] ap-group ap-group1

Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y

[AC-wlan-ap-0] quit

[AC-wlan-view] ap-id 1 ap-mac 60de-4476-e460

[AC-wlan-ap-1] ap-name door_1

Warning: This operation may cause AP reset. Continue? [Y/N]:y

[AC-wlan-ap-1] ap-group ap-group1

Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y

[AC-wlan-ap-1] quit

[AC-wlan-view] ap-id 2 ap-mac 60de-4476-e560

[AC-wlan-ap-2] ap-name door_2

Warning: This operation may cause AP reset. Continue? [Y/N]:y

[AC-wlan-ap-2] ap-group ap-group1

Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y

[AC-wlan-ap-2] quit

# 將AP上電后，當(dāng)執(zhí)行命令display ap all查看到AP的“State”字段為“nor”時(shí)，表示AP正常上線。

[AC-wlan-view] display ap all

Total AP information:

nor : normal [3]

ExtraInfo : Extra information

P : insufficient power supply

----------------------------------------------------------------------------------------------

ID MAC Name Group IP Type State STA Uptime ExtraInfo

----------------------------------------------------------------------------------------------

0 60de-4476-e360 room_1 ap-group1 10.23.100.254 AP4050DN-E nor 0 51S -

1 60de-4476-e460 door_1 ap-group1 10.23.100.253 AP4050DN-E nor 0 45S -

2 60de-4476-e560 door_2 ap-group1 10.23.100.252 AP4050DN-E nor 0 25S -

----------------------------------------------------------------------------------------------

Total: 3 配置WLAN覆蓋業(yè)務(wù) # 創(chuàng)建名為“wlan-net”的安全模板，并配置安全策略。

舉例中以配置WPA-WPA2+PSK+AES的安全策略為例，密碼為“a1234567”，實(shí)際配置中請(qǐng)根據(jù)實(shí)際情況，配置符合實(shí)際要求的安全策略。

[AC-wlan-view] security-profile name wlan-net

[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes

[AC-wlan-sec-prof-wlan-net] quit

# 創(chuàng)建名為“wlan-net”的SSID模板，并配置SSID名稱為“wlan-net”。

[AC-wlan-view] ssid-profile name wlan-net

[AC-wlan-ssid-prof-wlan-net] ssid wlan-net

[AC-wlan-ssid-prof-wlan-net] quit

# 創(chuàng)建名為“wlan-net”的VAP模板，配置業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)模式、業(yè)務(wù)VLAN，并且引用安全模板和SSID模板。

[AC-wlan-view] vap-profile name wlan-net

[AC-wlan-vap-prof-wlan-net] forward-mode direct-forward

[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101

[AC-wlan-vap-prof-wlan-net] security-profile wlan-net

[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net

[AC-wlan-vap-prof-wlan-net] quit

# 配置AP組引用VAP模板，AP上射頻0和射頻1都使用VAP模板“wlan-net”的配置。

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0

[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1

[AC-wlan-ap-group-ap-group1] quit 配置AP與上位機(jī)的通信參數(shù) [AC-wlan-view] iot-profile name wlan-iot

[AC-wlan-iot-prof-wlan-iot] management-server server-ip 10.23.200.1 server-port 3000

[AC-wlan-iot-prof-wlan-iot] config-agent permit ip-address 10.23.102.253 255.255.255.0

[AC-wlan-iot-prof-wlan-iot] share-key aabb0011@11

[AC-wlan-iot-prof-wlan-iot] quit

[AC-wlan-view] ap-group name ap-group1

[AC-wlan-ap-group-ap-group1] card 1

[AC-wlan-group-card-ap-group1/1] iot-profile wlan-iot config-agent tcp port 50200

[AC-wlan-group-card-ap-group1/1] quit

[AC-wlan-ap-group-ap-group1] quit 在上位機(jī)上添加AP的IP地址并配置與AP一致的共享密鑰檢查配置結(jié)果 # WLAN業(yè)務(wù)配置會(huì)自動(dòng)下發(fā)給AP。配置完成后，通過執(zhí)行命令display vap ssid wlan-net查看如下信息，當(dāng)“Status”項(xiàng)顯示為“ON”時(shí)，表示AP對(duì)應(yīng)的射頻上的VAP已創(chuàng)建成功。

[AC-wlan-view] display vap ssid wlan-net

WID : WLAN ID

--------------------------------------------------------------------------------

AP ID AP name RfID WID BSSID Status Auth type STA SSID

--------------------------------------------------------------------------------

0 room_1 0 1 60DE-4476-E360 ON WPA/WPA2-PSK 1 wlan-net

0 room_1 1 1 60DE-4476-E370 ON WPA/WPA2-PSK 0 wlan-net

0 door_1 0 1 60DE-4476-E460 ON WPA/WPA2-PSK 1 wlan-net

0 door_1 1 1 60DE-4476-E470 ON WPA/WPA2-PSK 0 wlan-net

0 door_2 0 1 60DE-4476-E560 ON WPA/WPA2-PSK 1 wlan-net

0 door_2 1 1 60DE-4476-E570 ON WPA/WPA2-PSK 0 wlan-net

------------------------------------------------------------------------------------

Total: 6

# 查看IoT模板的配置信息。

[AC-wlan-view] display iot-profile name wlan-iot

--------------------------------------------------------------------------------

Type : common

Agent permit IP address : 10.23.102.253

Agent permit net-mask : 255.255.255.0

Management server IP address : 10.23.200.1

Management server port : 3000

ExtManagement server IP address : -

ExtManagement server port : -

Share key : ******

--------------------------------------------------------------------------------

配置文件

接入交換機(jī)的配置文件 #

sysname Switch

#

vlan batch 100 to 101

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 100 to 101

#

interface GigabitEthernet0/0/2

port link-type trunk

port trunk pvid vlan 100

port trunk allow-pass vlan 100 to 101

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk pvid vlan 100

port trunk allow-pass vlan 100 to 101

#

interface GigabitEthernet0/0/4

port link-type trunk

port trunk pvid vlan 100

port trunk allow-pass vlan 100 to 101

#

return AC的配置文件

#

sysname AC

#

vlan batch 100 to 101

#

dhcp enable

#

interface Vlanif100

ip address 10.23.100.1 255.255.255.0

dhcp select interface

#

interface Vlanif101

ip address 10.23.101.1 255.255.255.0

dhcp select interface

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 100 101

#

capwap source interface vlanif100

#

wlan

security-profile name wlan-net

security wpa-wpa2 psk pass-phrase %^%#CU9SYQg[.Vxx;xH%>nwFA.WJ6i/Fm~me>&W%`b/-%^%# aes

ssid-profile name wlan-net

ssid wlan-net

vap-profile name wlan-net

service-vlan vlan-id 101

ssid-profile wlan-net

security-profile wlan-net

regulatory-domain-profile name default

iot-profile name wlan-iot

config-agent permit ip-address 10.23.102.253 255.255.255.0

management-server server-ip 10.23.200.1 server-port 3000

share-key %^%#vj*JIT.]q%6Q6[VqoHMJHs(5Oss3g3*%@r9Vy%aW%^%#

ap-group name ap-group1

radio 0

vap-profile wlan-net wlan 1

radio 1

vap-profile wlan-net wlan 1

card 1

iot-profile wlan-iot config-agent tcp port 50200

ap-id 0 ap-mac 60de-4476-e360 ap-sn 210235419610D2000066

ap-name room_1

ap-group ap-group1

ap-id 1 ap-mac 60de-4476-e460 ap-sn 210235419610D2000067

ap-name door_1

ap-group ap-group1

ap-id 2 ap-mac 60de-4476-e560 ap-sn 210235419610D2000068

ap-name door_2

ap-group ap-group1

#

return

柚子快報(bào)激活碼778899分享：商超物聯(lián)網(wǎng)~配置學(xué)生健康與安全

http://yzkb.51969.com/

精彩鏈接