华为无线802.1X企业级认证配置案例

业务需求

用户接入华为无线WLAN网络，使用802.1X客户端进行认证，输入正确的用户名和密码后可以无线上网。且在覆盖区域内移动发生漫游时，不影响用户的业务使用。

组网需求

AC组网方式：旁挂二层组网。

DHCP部署方式：AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址。

业务数据转发方式：直接转发。

WLAN认证方式：WPA-WPA2+802.1X+AES。

配置思路

1.配置AP、AC和周边网络设备之间实现网络互通。

2.使用配置向导，配置AC系统参数。

3.使用配置向导，配置AP在AC上线。

4.使用配置向导在AC上配置WLAN相关业务。在配置安全策略时，选择802.1X和RADIUS认证，设置RADIUS服务器参数。

5.配置第三方服务器。

配置注意事项

•纯组播报文由于协议要求在无线空口没有ACK机制保障，且无线空口链路不稳定，为了纯组播报文能够稳定发送，通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入，则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击，建议配置组播报文抑制功能。配置前请确认是否有组播业务，如果有，请谨慎配置限速值。◾业务数据转发方式采用直接转发时，建议在直连AP的交换机接口上配置组播报文抑制。

◾业务数据转发方式采用隧道转发时，建议在AC的流量模板下配置组播报文抑制。

配置方法请参见：如何配置组播报文抑制，减小大量低速组播报文对无线网络造成的冲击？

•建议在与AP直连的设备接口上配置端口隔离，如果不配置端口隔离，尤其是业务数据转发方式采用直接转发时，可能会在VLAN内形成大量不必要的广播报文，导致网络阻塞，影响用户体验。

•隧道转发模式下，管理VLAN和业务VLAN不能配置为同一VLAN，且AP和AC之间只能放通管理VLAN，不能放通业务VLAN。