H3C无线控制器WLAN本地转发配置(V5)

去年的时候，因为业务需求需要把我们客户那一个大二层的内网，分割成两个网络分别走不同的出口上网。这里就也牵扯到了无线这块，因为在以前公司是做网络产品售后的，也经常会接触华为的产品，其中也会有无线产品。华为的无线控制器上的本地转发的配置其实还是相对简易，基本只要找到相对应的ESS口或者WLAN（不同软件版本会有些区别），勾上本地转发的勾就可以。然后到交换机端依然是起trunk然后放行SSID所绑定的VLAN，最后把AP的管理VLAN做成 本征VLAN （PVID）做到这个口上，就算是完成了整套配置。

由于第一次做H3C无线本地转发，我也在是在网上找了蛮多资料的,H3C和华为做本地转发还是有些区别。H3C的本地转发是基于SSID的，并且需要在控制器上面每个需要做本地转发的AP都要加入一个map-configuration，也就是AP的预启动配置文件。

相对来说H3C无线做本地转发还是麻烦了不少的，关键我按着官网的做还是失败了！！！

然后我又找了不少的文档还有摸索，发现原来H3C设备竟然还都有一个隐藏指令，终于还是找到了问题，下面就是我的本地转发配置思路。

(1)首先给接入交换机配置vlan

(2)然后给交换机配置管理地址，和默认路由。这里管理网段是1010200/24，放在vlan1000内

(3) 最后配置交换机接口，业务vlan为204，208（分别分给两个SSID）
对接AP的口：

上联口：

(1)配置VLAN

(2)配置管理接口和默认路由

(3)配置下联接口

(4)AP网关和本地转发SSID业务网关

(5)配置DHCP地址池

(1)配置控制器VLAN

(2)配置控制器物理出口和AP管理口

(3)SSID配置

这里SSID的配置在WEB下配置比较方便直接上图了。可以看到这里主要就是要把转发模式修改成本地转发。
下面SSID这块的加密配置我就不发了，接下来就是关联AP。

在接入服务中找到刚创建的SSID点击最右边的关联按钮

选中需要关联的AP关联上。
(4)打开AP射频

如果看过官网的人你应该会主要到这个map-configuration其实就是AP的配置，但是我们瘦AP在控制器上线后就没办法控制了，那我们怎么依据不同型号的AP去写这个map-configuration呢。我自己也是找了很久，后面找到了一个办法。
H3C设备其实自己都带有一个隐藏指令"_h"的(v7版本AC，使用"probe"进入隐藏模式)，可以去做很多你在通用的配置模式下能做的事，这里我们主要就是在控制器上利用这个隐藏指令去打开AP的telnet功能。

(5) 在控制器上通过隐藏指令打开AP的telnet功能

之后你就可以通过telnet ts_b118 这个AP的地址就可以上到AP中了。然后你就可以按照你的配置过程制作map-configuration文件了，这样这一型号的AP就都可以用这个配置文件了。
以下为AP的map-configuration文件内容：(文件保存为txt格式就可以)

(6)上传map-configuration文件

(7)将配置文件挂到相应的AP中并重启AP

一、修改ssh端口
ssh默认为22端口，如果需要修改成其它端口，则可以修改/etc/ssh/sshd_config文件，将
#Port 22
注释去掉，修改成需要的端口(比如8888)，然后使用如下命令重启ssh服务
service sshd restart
二、关闭root用户远程ssh登录的权限
如果不希望root用户远程登录，可以按照如下修改：
vi /etc/ssh/sshd_config
将
#PermitRootLogin yes
注释去掉，yes改为no，重启ssh服务(这里最好reboot一下)
三、禁止某些特定用户远程登录
1 修改/etc/pamd/sshd
在#%PAM-10后加入一行：
auth required pam_listfileso item=user sense=allow file=/etc/ssh_users onerr=fail
2 启用用户远程登录(例如允许chb远程登录)：echo chb>> /etc/ssh_users
3 禁止用户远程登录：rm –rf /etc/ssh_users
如上示例只是简单删除文件，其实如果不允许某个用户登录，则将该用户从ssh_users文件中删除即可。

以下 *** 作基于Linux下设置
1： 修改ssh端口
ssh端口默认端口是 22
我们在路由器指定到该服务器才能够在外网去访问
如何修改呢？
步骤：
# vi /etc/ssh/sshd_config //版本不同 ，这里仅供参考
修改 Port 22 改为其它的端口 如：
port 2222
然后在路由器指定该服务器端口就可以了
2：修改apache 网站端口
apache的网站的默认端口是 80
如何修改呢？
步骤：
#vi /etc/>linux 修改SSH密码的方法大概过程为，以root身份登陆，执行：passwd修改密码。useradd 用户名,添加用户
修改SSH密码。登录ssh后, 通过命令:
passwd {用户名}
做修改即可
修改密码的命令 首先输入passwd 回车 出现：(current) UNIX password: 然后输入现在所用的密码 回车 出现：New password: 再输入新密码（新的密码必须是字母数字都有，不然的话不成功） 然后回车 与Windows下不同的是，输入的密码不会有星号代替，也出现明文修改密码的命令
首先输入passwd 回车
出现：(current) UNIX password:
然后输入现在所用的密码 回车
出现：New password:
再输入新密码（新的密码必须是字母数字都有，不然的话不成功） 然后回车
与Windows下不同的是，输入的密码不会有星号代替
linux修改ssh端口22
vi /etc/ssh/ssh_config
vi /etc/ssh/sshd_config
然后修改为port 8888
以root身份service sshd restart (redhat as3)
使用putty,端口8888
Linux下SSH默认的端口是22,为了安全考虑，现修改SSH的端口为1433,修改方法如下 ：
/usr/sbin/sshd -p 1433
为增强安全
先增加一个普通权限的用户：
#useradd uploader
#passwd uploader
//设置密码
生产机器禁止ROOT远程SSH登录：
#vi /etc/ssh/sshd_config
把
PermitRootLogin yes
改为
PermitRootLogin no
重启sshd服务
#service sshd restart
远程管理用普通用户uploader登录，然后用 su root 切换到root用户拿到最高权限

配置看得明白吧，不懂得可以继续问我
local-user admin
password cipher cqep123456
service-type ssh
#
ssh authentication-type default password
ssh user admin authentication-type password
ssh user admin service-type stelnet
#
user-interface vty 0 15
authentication-mode scheme
user privilege level 3
idle-timeout 3 0
protocol inbound ssh
#
public-key local create rsa

---