分层AC,Portal认证,认证在central AC配置,central挂掉后,local AC是否能保证已认证和即将终端不受影响。
(0)
分层AC提供了一种集中管理与分布式控制相结合的机制,在保证性能的基础上提高了无线网络的可维护性和可扩展性,满足了AC和AP之间的高速链接需求。
分层AC组网由Central AC、Local AC和AP组成,Central AC负责整个无线网络的管理,Local AC负责AP的接入并转发数据流量。
分层AC架构使用以下两种通道来实现AP的集中管理:
· Central AC与Local AC建立管理通道。
Central AC与Local AC之间通过建立管理通道,实现网络配置及用户信息的自动同步和管理。
· AP与Local AC建立CAPWAP隧道。
当AP与Local AC建立CAPWAP隧道连接后,Local AC会将相关配置下发给AP,实现配置自动同步。
图1-1 分层AC架构示意图
如图1-2所示,AP加入分层AC网络的过程如下:
(1) Central AC与各Local AC间建立管理通道;
(2) AP向Central AC发送Discovery request报文;
(3) Central AC收到Discovery request报文后,根据当前各Local AC的负载情况,选择当前负载最轻的Local AC,在向AP回复的Discovery response报文中携带指定Local AC的IP地址;
(4) AP收到Discovery response报文,根据报文中携带的Local AC的IP地址,向Local AC重新发送Discovery request报文,与Local AC建立隧道连接。AP与Local AC建立隧道的过程中,Local AC会向Central AC查询该AP是否为合法AP(该AP为手工AP或Central AC上开启了自动AP功能),若该AP为合法AP,Central AC会将AP配置下发到Local AC,若AP不是合法AP,则AP连接失败。有关手工AP及自动AP的详细介绍,请参见“WLAN配置指导”中的“AP管理”;
(5) AP与Local AC之间的CAPWAP隧道建立成功后,Local AC会通知Central AC该AP上线成功,并通过管理通道将AP及客户端的状态上报至Central AC。
(6) Central AC根据Local AC上报的信息来管理AP及客户端。
图1-2 AP与Local AC建立CAPWAP隧道过程
在分层AC架构中,数据转发方式与传统AC+Fit AP架构相同,既可以在Local AC上进行数据转发,也可以在AP进行数据转发。
有关数据转发位置的详细介绍,请参见“WLAN接入配置指导”中的“WLAN接入”。
分层AC架构下的漫游方式取决于用户的接入认证位置。
· 当WLAN用户接入认证位置为Local AC时,漫游方式与传统AC+Fit AP架构相同,既可以在Local AC内进行漫游,也可以在Local AC间进行漫游;
· 当WLAN用户接入认证位置为Central AC,客户端初始上线时,Central AC和客户端关联的Local AC上会同时创建客户端漫游表项,Local AC可以根据该漫游表项信息实现客户端Local AC内或者Local AC间漫游。
有关WLAN用户接入认证位置的详细介绍,请参见“WLAN配置指导”中的“WLAN用户接入认证”。有关漫游的详细介绍,请参见“WLAN配置指导”中的“WLAN漫游”。
在分层AC架构下,可以为Central AC和Local AC的管理员提供不同的管理权限,通过配置地区标识实现对不同地域和级别管理员的权限划分,用户可以在设备的如下配置项上标记不同的地区标识:
· 无线服务模板:该标识定义了管理员可管理的无线服务模板。
· AP组:该标识定义了管理员可管理的AP组。
· RRM保持调整组:该标识定义了管理员可管理的RRM保持调整组。
例如,地区A的管理员只能管理地区A的无线服务模板;地区B的管理员只能管理地区B的无线服务模板;超级管理员可管理地区A和地区B的无线服务模板。
设备上存在一个名称为default-location的默认地区标识,标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识,且该标识不能被删除。
在Web页面上,系统将根据管理员身份过滤配置项,管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。
在Local AC上开启Local AC功能,并指定Central AC的IP地址后,该Local AC将与Central AC建立管理通道。
最多可配置3个Central AC的IPv4地址、3个Central AC的IPv6地址。
(1) 进入系统视图。
system-view
(2) 开启Local AC功能。
wlan local-ac enable
缺省情况下,Local AC功能处于关闭状态。
(3) 指定Central AC的IP地址。
wlan central-ac { ip ipv4-address | ipv6 ipv6-address }
缺省情况下,未指定Central AC的IP地址。
(4) 指定与Central AC建立管理通道的VLAN。
wlan local-ac capwap source-vlan vlan-id
缺省情况下,Local AC使用VLAN 1与Central AC建立管理通道。
在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。
表1-1 分层AC显示和维护
操作 | 命令 |
显示AC的角色信息 | display wlan ac-role |
显示客户端的信息 | display wlan client distributed-sys [ verbose ] |
在Local AC上显示Local AC信息 | display wlan local-ac |
在Central AC上查看Local AC的连接记录 | display wlan local-ac { all | name local-ac-name } connection-record |
在Central AC上显示Local AC上的文件及文件夹信息 | display wlan local-ac name local-ac-name files |
在Central AC上显示已上线Local AC的在线时长 | display wlan local-ac { all | name local-ac-name } online-time |
在分层AC组网环境中,本设备仅支持Local AC角色。
如图1-3所示,总部部署Central AC,位于分支的Local AC则负责管理和接入本地AP和无线客户端。用户的认证授权则由总部Central AC负责,数据流量由Local AC转发。
图1-3 分层AC通用组网典型配置组网图
(1) 配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略
(2) 配置Central AC
# 创建名称为localac1的Local AC,并配置Local AC的序列号。
<CentralAC> system-view
[CentralAC] wlan local-ac name localac1 model WX5510E
[CentralAC-wlan-local-ac-localac1] serial-id 210235A1BSC123000050
[CentralAC-wlan-local-ac-localac1] quit
# 创建名称为localac2的Local AC,并配置Local AC的序列号。
[CentralAC] wlan local-ac name localac2 model WX5510E
[CentralAC-wlan-local-ac-localac2] serial-id 210235A1BSC124000060
[CentralAC-wlan-local-ac-localac2] quit
# 创建ap1,并配置ap1的序列号。
[CentralAC] wlan ap ap1 model WA4320H
[CentralAC-wlan-ap-ap1] serial-id 219801A0YG8165E00001
# 开启ap1的二次发现AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# 创建Vlan-interface100接口并配置IP地址。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 1.1.1.1 24
[CentralAC-Vlan-interface100] quit
(3) 配置Local AC 1
# 创建Vlan-interface100接口并配置IP地址。
<LocalAC1>system-view
[LocalAC1] interface vlan-interface 100
[LocalAC1-Vlan-interface100] ip address 1.1.1.2 24
[LocalAC1-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC1] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC1] wlan central-ac ip 1.1.1.1
(4) 配置Local AC 2
# 创建Vlan-interface100接口并配置IP地址。
<LocalAC2> system-view
[LocalAC2] interface vlan-interface 100
[LocalAC2-Vlan-interface100] ip address 1.1.1.3 24
[LocalAC2-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC2] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC2] wlan central-ac ip 1.1.1.1
# 使用display wlan local-ac all命令在Central AC上查看所有Local AC的信息,可以看到Localac1已经与Central AC建立通道。
[CentralAC] display wlan local-ac all
Total number of local ACs: 2
Total number of connected local ACs: 2
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name ACID State Model Serial ID
localac1 1 R WX5510E 210235A1BSC123000050
localac2 2 R WX5510E 210235A1BSC124000060
# 使用display wlan local-ac命令在Local AC 1上查看当前Local AC信息,可以看到Local AC 1已经与Central AC成功建立通道。
[LocalAC1] display wlan local-ac
Local AC Information:
Model : WX5510E
Serial ID : 210235A1BSC123000050
MAC address : 5866-BA20-6E60
Local AC address : 1.1.1.2
Static central AC IPv4 address: 1.1.1.1
Static central AC IPv6 address: Not configured
Central AC Information:
Central AC address : 1.1.1.1
State : Run
Sent control packets : 6088
Received control packets : 6092
# 使用display wlan ap all命令在Central AC上查看AP信息,可以看到AP已经成功上线。
[CentralAC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected configured APs: 1
Total number of connected auto APs: 0
Total number of connected anchor APs: 0
Maximum supported APs: 3072
Remaining APs: 3071
Fit APs activated by license: 128
Remaining fit APs: 127
WTUs activated by license: 0
Remaining WTUs: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA4320H 219801A0YG8165E00001
某公司总部位于地区A,该公司无线网络采用分层AC的架构,Central AC位于总部,Local AC位于地区B、地区C分部。为了便于管理,现将地区B分部的所有AP交由地区B的管理员b-admin管理;地区C分部的所有AP交由地区C的管理员c-admin管理;公司所有AP,总部的超级管理员admin可全权管理。
图1-4 AP组管理权限配置组网图
(1) 配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略
(2) 配置Central AC
# 配置开启Central AC设备的Telnet服务,管理员登录设备时采用AAA认证。
<CentralAC> system-view
[CentralAC] telnet server enable
[CentralAC] line vty 0 5
[CentralAC] line class vty
[CentralAC] authentication-mode scheme
# 创建名称为localac-b的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。
[CentralAC] wlan local-ac name localac-b model WX3520H
[CentralAC-wlan-local-ac-localac-b] serial-id 210235A1BSC123000050
[CentralAC-wlan-local-ac-localac-b] quit
# 创建名称为localac-c的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。
[CentralAC] wlan local-ac name localac-c model WX3520H
[CentralAC-wlan-local-ac-localac-c] serial-id 210235A1BSC123000051
[CentralAC-wlan-local-ac-localac-c] quit
# 创建型号为WA4320H 的ap1,并配置ap1的序列号。
[CentralAC] wlan ap ap1 model WA4320H
[CentralAC-wlan-ap-ap1] serial-id 219801A0YG8165E00001
# 开启ap1的二次发现AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# AP 2、AP 3、AP 4配置方法同上,此处略。
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 10.0.0.1 24
[CentralAC-Vlan-interface100] quit
# 创建地区标识areab和areac。
[CentralAC] wlan location areab
[CentralAC] wlan location areac
# 创建用户角色b。
[CentralAC] role name b
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-b] rule 1 permit read write execute xml-element
[CentralAC-role-b] rule 2 permit read write execute web-menu
# 进入地区标识策略视图并配置允许用户操作的地区标识areab。
[CentralAC-role-b] location policy deny
[CentralAC-role-b-locationpolicy] permit location areab
[CentralAC-role-b-locationpolicy] quit
[CentralAC-role-b] quit
# 创建用户角色c。
[CentralAC] role name c
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-c] rule 1 permit read write execute xml-element
[CentralAC-role-c] rule 2 permit read write execute web-menu
# 进入地区标识策略视图并配置允许用户操作的地区标识areac。
[CentralAC-role-c] location policy deny
[CentralAC-role-c-locationpolicy] permit location areac
[CentralAC-role-c-locationpolicy] quit
[CentralAC-role-c] quit
# 配置本地用户admin。
[CentralAC] local-user admin
# 配置用户admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-admin] service-type http https
[CentralAC-luser-manage-admin] quit
# 创建并配置本地用户b-admin。
[CentralAC] local-user b-admin
# 配置用户b-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-b-admin] service-type http https
# 设置用户b-admin的密码。
[CentralAC-luser-manage-b-admin] password simple badmin
# 指定用户b-admin的授权角色为b。
[CentralAC-luser-manage-b-admin] authorization-attribute user-role b
# 为保证用户仅使用授权的用户角色b,删除用户b-admin的缺省用户角色network-operator。
[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-b-admin] quit
# 创建并配置本地用户c-admin。
[CentralAC] local-user c-admin
# 配置用户c-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-c-admin] service-type http https
# 设置用户c-admin的密码。
[CentralAC-luser-manage-c-admin] password simple cadmin
# 指定用户c-admin的授权角色为c。
[CentralAC-luser-manage-c-admin] authorization-attribute user-role c
# 为保证用户仅使用授权的用户角色c,删除用户c-admin的缺省用户角色network-operator。
[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-c-admin] quit
# 创建AP组groupb,将AP 1与AP 2加入该组中。
[CentralAC] wlan ap-group groupb
[CentralAC-wlan-ap-group-groupb] ap ap1 ap2
# 标记AP组groupb的地区为标识areab。
[CentralAC-wlan-ap-group-groupb] location areab
[CentralAC-wlan-ap-group-groupb] quit
# 创建AP组groupc,将AP 3与AP 4加入该组中。
[CentralAC] wlan ap-group groupc
[CentralAC-wlan-ap-group-groupc] ap ap3 ap4
# 标记AP组groupc的地区标识为areac。
[CentralAC-wlan-ap-group-groupc] location areac
[CentralAC-wlan-ap-group-groupc] quit
(3) 配置Local AC-B
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
<LocalAC-B> system-view
[LocalAC-B] interface vlan-interface 100
[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24
[LocalAC-B-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-B] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-B] wlan central-ac ip 10.0.0.1
(4) 配置Local AC-C
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
<LocalAC-C> system-view
[LocalAC-C] interface vlan-interface 100
[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24
[LocalAC-C-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-C] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-C] wlan central-ac ip 10.0.0.1
# 通过Telnet方式登录到Central AC上,在Web页面上登录超级管理员账号,查看并管理所有AP。
图1-5 超级管理员登录界面
# 在Web页面上登录地区C管理员账号,查看、管理地区C分部的AP。
图1-6 地区C管理员登录界面
# 在Web页面上登录地区B管理员账号,查看、管理地区B分部的AP。
图1-7 地区B管理员登录界面
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论