之前公司都是使用的H3C的交换机、防火墙以及无线AC和AP的，最近优化下无线网络，说新的设备用华为的，然后我是直到要部署的当天才知道用华为设备的，就很无语了，一点准备没有，以下为这次的实际操作记录吧，有一些小坑需要注意。

一、网络拓扑

设备清单：

• AirEngine9700S-S（AC）
• AirEngine5762S-11（AP）
• S1730S-S24P4X-A2（POE交换机）

二、配置过程与步骤

因为我没在现场所以是远程协助来配置的，我以为会像H3C那种有个管理口初始IP的，然后尝试了根据发我图配的地址169.254.1.2 一直ping不通。我都怀疑是网线还是设备问题了。

然后使用console进去配置我说有没有初始的密码，然后看着好像都不对，我仔细查看提示最后百度了下说是初始化都是登录进去然后自行设置console的初始密码，然后还会设置为Web界面的登录账号和密码，也就是没有初始账号密码的说法了？

然后我命令行登录进去后发现似乎这地址也不对啊，我又尝试接AC下面的端口配置同网段地址还是不行，就算我把所有网线口拔掉这个接口也是开的，算了不整了。

然后配置基本的管理地址和Web界面登录，按照我以前在模拟器的配置华为的SSH是叫Stelnet。然后我发现不能登录，连接失败。几经波折最后发现是缺省情况下华为的安全设置只允许缺省的VLAN接口进行连接，因为我是通过新建的VLANIF接口来SSH所以失败，还有HTTP登录也是一样的情况，因此如果想要允许所有接口都可以远程需要ssh server-source -i all命令才行，同理http也是。下面是一些示例配置：

# 开启http界面登录，允许所有接口访问
http server enable
http server-source all-interface
y# 开启SSH，允许所有接口远程
stelnet server enable
ssh user admin authentication-type password
ssh user admin service-type all
ssh server-source all-interface
y# 配置aaa账号密码并运行ssh和http
aaa
undo  local-aaa-user password policy administrator 
local-user admin password irreversible-cipher aaaaaaaaaa
local-user admin privilege level 15
local-user admin service-type ssh http
qu# 配置console和远程vty认证方式为aaa认证
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
user-int con 0
authentication-mode aaa
aaaaaaaaaa
qu
qu
save f

三、华为AC控制器基本介绍

以华为AirEngine9700S-S为例，业务上线步骤主要包括：

• 网段与地址规划
• AC基础配置，二层互联
• 通过Web界面进行业务配置
• AC源地址、AP认证
• AP导入
• 业务配置（业务名称、认证方式、认证密码）
• 业务调优

缺省情况下位MAC认证方式，所以AP的导入模板中MAC地址必填，如果使用SN上线则修改为SN认证才行。

AP组配置，在华为AC中很多配置是通过划分AP组来实现，缺省存在default组，也可以在导入时手动创建组，不存在会自动创建，然后基于AP组进行模板调用，包括SSID模板、安全认证模板、AP业务模板、VAP模板、射频模板等。

模板引用关系如下：

简单说就是通过将AP加入不同的组，然后统一调用不同的模板就可以实现只要修改一次模板配置即可，减少工作量。

射频调优缺省开启。

四、授权导入

对了这里还有一个华为授权的导入，我们都知道AC控制器想要控制AP需要有授权，具体步骤如下：

• 购买授权获取授权码
• 获取AC的ESN序列码
• 在华为官方授权网站激活并下载授权文件
• 在AC导入授权文件

在AC上找到ESN。

在授权上找到激活码。

登录https://app.huawei.com/isdp网站进行授权激活，登录，输入最终用户，确认激活，下载授权文件。

导入授权文件到AC。

上述完成后授权就大上了，最后把一些安全设置配置下，保存配置文件即可，然后到业务测试下网络性能。

总结：主要之前也没有弄过华为的设备一些特性不了解，其实还好一些模板配置原理大差不差的，要保证二层接口互联正常，AC和AP连接正常，能够获取到地址，AP上线后就通过Web界面进行配置会方便点。