• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

WX3510H

2021-03-23提问
  • 0关注
  • 1收藏,1490浏览
KC 四段
粉丝:1人 关注:0人

问题描述:

分层AC,Portal认证,认证在central AC配置,central挂掉后,local AC是否能保证已认证和即将终端不受影响。

组网及组网描述:


最佳答案

已采纳
粉丝:336人 关注:0人

您好,AC主备不受影响,不是主备,local只做管理的话,会影响

暂无评论

1 个回答
粉丝:160人 关注:1人

 分层AC简介

分层AC提供了一种集中管理与分布式控制相结合的机制,在保证性能的基础上提高了无线网络的可维护性和可扩展性,满足了AC和AP之间的高速链接需求。

1.1.1  分层AC架构

分层AC组网由Central AC、Local AC和AP组成,Central AC负责整个无线网络的管理,Local AC负责AP的接入并转发数据流量。

分层AC架构使用以下两种通道来实现AP的集中管理:

·     Central AC与Local AC建立管理通道。

Central AC与Local AC之间通过建立管理通道,实现网络配置及用户信息的自动同步和管理。

·     AP与Local AC建立CAPWAP隧道。

当AP与Local AC建立CAPWAP隧道连接后,Local AC会将相关配置下发给AP,实现配置自动同步。

图1-1 分层AC架构示意图

1.1.2  分层AC的AP管理

图1-2所示,AP加入分层AC网络的过程如下:

(1)     Central AC与各Local AC间建立管理通道;

(2)     AP向Central AC发送Discovery request报文;

(3)     Central AC收到Discovery request报文后,根据当前各Local AC的负载情况,选择当前负载最轻的Local AC,在向AP回复的Discovery response报文中携带指定Local AC的IP地址;

(4)     AP收到Discovery response报文,根据报文中携带的Local AC的IP地址,向Local AC重新发送Discovery request报文,与Local AC建立隧道连接。AP与Local AC建立隧道的过程中,Local AC会向Central AC查询该AP是否为合法AP(该AP为手工AP或Central AC上开启了自动AP功能),若该AP为合法AP,Central AC会将AP配置下发到Local AC,若AP不是合法AP,则AP连接失败。有关手工AP及自动AP的详细介绍,请参见“WLAN配置指导”中的“AP管理”;

(5)     AP与Local AC之间的CAPWAP隧道建立成功后,Local AC会通知Central AC该AP上线成功,并通过管理通道将AP及客户端的状态上报至Central AC。

(6)     Central AC根据Local AC上报的信息来管理AP及客户端。

图1-2 AP与Local AC建立CAPWAP隧道过程

1.1.3  数据转发

在分层AC架构中,数据转发方式与传统AC+Fit AP架构相同,既可以在Local AC上进行数据转发,也可以在AP进行数据转发。

有关数据转发位置的详细介绍,请参见“WLAN接入配置指导”中的“WLAN接入”。

1.1.4  漫游

分层AC架构下的漫游方式取决于用户的接入认证位置。

·     当WLAN用户接入认证位置为Local AC时,漫游方式与传统AC+Fit AP架构相同,既可以在Local AC内进行漫游,也可以在Local AC间进行漫游;

·     当WLAN用户接入认证位置为Central AC,客户端初始上线时,Central AC和客户端关联的Local AC上会同时创建客户端漫游表项,Local AC可以根据该漫游表项信息实现客户端Local AC内或者Local AC间漫游。

有关WLAN用户接入认证位置的详细介绍,请参见“WLAN配置指导”中的“WLAN用户接入认证”。有关漫游的详细介绍,请参见“WLAN配置指导”中的“WLAN漫游”。

1.1.5  管理权限

在分层AC架构下,可以为Central AC和Local AC的管理员提供不同的管理权限,通过配置地区标识实现对不同地域和级别管理员的权限划分,用户可以在设备的如下配置项上标记不同的地区标识:

·     无线服务模板:该标识定义了管理员可管理的无线服务模板。

·     AP组:该标识定义了管理员可管理的AP组。

·     RRM保持调整组:该标识定义了管理员可管理的RRM保持调整组。

例如,地区A的管理员只能管理地区A的无线服务模板;地区B的管理员只能管理地区B的无线服务模板;超级管理员可管理地区A和地区B的无线服务模板。

设备上存在一个名称为default-location的默认地区标识,标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识,且该标识不能被删除。

在Web页面上,系统将根据管理员身份过滤配置项,管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。

1.2  在Local AC上配置与Central AC通讯的网络参数

1. 功能简介

在Local AC上开启Local AC功能,并指定Central AC的IP地址后,该Local AC将与Central AC建立管理通道。

2. 配置限制和指导

最多可配置3个Central AC的IPv4地址、3个Central AC的IPv6地址。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启Local AC功能。

wlan local-ac enable

缺省情况下,Local AC功能处于关闭状态。

(3)     指定Central AC的IP地址。

wlan central-ac { ip ipv4-address | ipv6 ipv6-address }

缺省情况下,未指定Central AC的IP地址。

(4)     指定与Central AC建立管理通道的VLAN。

wlan local-ac capwap source-vlan vlan-id

缺省情况下,Local AC使用VLAN 1与Central AC建立管理通道。

1.3  分层AC显示和维护

在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。

表1-1 分层AC显示和维护

操作

命令

显示AC的角色信息

display wlan ac-role

显示客户端的信息

display wlan client distributed-sys [ verbose ]

在Local AC上显示Local AC信息

display wlan local-ac

在Central AC上查看Local AC的连接记录

display wlan local-ac { all | name local-ac-name } connection-record

在Central AC上显示Local AC上的文件及文件夹信息

display wlan local-ac name local-ac-name files

在Central AC上显示已上线Local AC的在线时长

display wlan local-ac { all | name local-ac-name } online-time

1.4  分层AC典型配置举例

说明

在分层AC组网环境中,本设备仅支持Local AC角色。

 

1.4.1  分层AC通用组网配置举例

1. 组网需求

图1-3所示,总部部署Central AC,位于分支的Local AC则负责管理和接入本地AP和无线客户端。用户的认证授权则由总部Central AC负责,数据流量由Local AC转发。

2. 组网图

图1-3 分层AC通用组网典型配置组网图

3. 配置步骤

(1)     配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略

(2)     配置Central AC

# 创建名称为localac1的Local AC,并配置Local AC的序列号。

<CentralAC> system-view

[CentralAC] wlan local-ac name localac1 model WX5510E

[CentralAC-wlan-local-ac-localac1] serial-id 210235A1BSC123000050

[CentralAC-wlan-local-ac-localac1] quit

# 创建名称为localac2的Local AC,并配置Local AC的序列号。

[CentralAC] wlan local-ac name localac2 model WX5510E

[CentralAC-wlan-local-ac-localac2] serial-id 210235A1BSC124000060

[CentralAC-wlan-local-ac-localac2] quit

# 创建ap1,并配置ap1的序列号。

[CentralAC] wlan ap ap1 model WA4320H

[CentralAC-wlan-ap-ap1] serial-id 219801A0YG8165E00001

# 开启ap1的二次发现AC功能。

[CentralAC-wlan-ap-ap1] control-address enable

[CentralAC-wlan-ap-ap1] quit

# 创建Vlan-interface100接口并配置IP地址。

[CentralAC] interface vlan-interface 100

[CentralAC-Vlan-interface100] ip address 1.1.1.1 24

[CentralAC-Vlan-interface100] quit

(3)     配置Local AC 1

# 创建Vlan-interface100接口并配置IP地址。

<LocalAC1>system-view

[LocalAC1] interface vlan-interface 100

[LocalAC1-Vlan-interface100] ip address 1.1.1.2 24

[LocalAC1-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC1] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC1] wlan central-ac ip 1.1.1.1

(4)     配置Local AC 2

# 创建Vlan-interface100接口并配置IP地址。

<LocalAC2> system-view

[LocalAC2] interface vlan-interface 100

[LocalAC2-Vlan-interface100] ip address 1.1.1.3 24

[LocalAC2-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC2] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC2] wlan central-ac ip 1.1.1.1

4. 验证配置

# 使用display wlan local-ac all命令在Central AC上查看所有Local AC的信息,可以看到Localac1已经与Central AC建立通道。

[CentralAC] display wlan local-ac all

Total number of local ACs: 2

Total number of connected local ACs: 2

 

                                Local AC Information

State : I = Idle,       J  = Join,       JA = JoinAck,    IL = ImageLoad

        C = Config,     DC = DataCheck,  R  = Run

 

AC name                        ACID  State Model           Serial ID

localac1                       1     R     WX5510E         210235A1BSC123000050

localac2                       2     R     WX5510E         210235A1BSC124000060

# 使用display wlan local-ac命令在Local AC 1上查看当前Local AC信息,可以看到Local AC 1已经与Central AC成功建立通道。

[LocalAC1] display wlan local-ac

Local AC Information:

  Model                         : WX5510E

  Serial ID                     : 210235A1BSC123000050

  MAC address                   : 5866-BA20-6E60

  Local AC address              : 1.1.1.2

  Static central AC IPv4 address: 1.1.1.1

  Static central AC IPv6 address: Not configured

 

Central AC Information:

  Central AC address            : 1.1.1.1

  State                         : Run

  Sent control packets          : 6088

  Received control packets      : 6092

# 使用display wlan ap all命令在Central AC上查看AP信息,可以看到AP已经成功上线。

[CentralAC] display wlan ap all

Total number of APs: 1

Total number of connected APs: 1

Total number of connected configured APs: 1

Total number of connected auto APs: 0

Total number of connected anchor APs: 0

Maximum supported APs: 3072

Remaining APs: 3071

Fit APs activated by license: 128

Remaining fit APs: 127

WTUs activated by license: 0

Remaining WTUs: 0

 

                                 AP information

 State : I = Idle,      J  = Join,       JA = JoinAck,    IL = ImageLoad

         C = Config,    DC = DataCheck,  R  = Run,   M = Master,  B = Backup

 

AP name                        APID  State Model           Serial ID

ap1                            1     R/M   WA4320H         219801A0YG8165E00001 

1.4.2  管理权限配置举例

1. 组网需求

某公司总部位于地区A,该公司无线网络采用分层AC的架构,Central AC位于总部,Local AC位于地区B、地区C分部。为了便于管理,现将地区B分部的所有AP交由地区B的管理员b-admin管理;地区C分部的所有AP交由地区C的管理员c-admin管理;公司所有AP,总部的超级管理员admin可全权管理。

2. 组网图

图1-4 AP组管理权限配置组网图

3. 配置步骤

(1)     配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略

(2)     配置Central AC

# 配置开启Central AC设备的Telnet服务,管理员登录设备时采用AAA认证。

<CentralAC> system-view

[CentralAC] telnet server enable

[CentralAC] line vty 0 5

[CentralAC] line class vty

[CentralAC] authentication-mode scheme

# 创建名称为localac-b的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。

[CentralAC] wlan local-ac name localac-b model WX3520H

[CentralAC-wlan-local-ac-localac-b] serial-id 210235A1BSC123000050

[CentralAC-wlan-local-ac-localac-b] quit

# 创建名称为localac-c的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。

[CentralAC] wlan local-ac name localac-c model WX3520H

[CentralAC-wlan-local-ac-localac-c] serial-id 210235A1BSC123000051

[CentralAC-wlan-local-ac-localac-c] quit

# 创建型号为WA4320H 的ap1,并配置ap1的序列号。

[CentralAC] wlan ap ap1 model WA4320H

[CentralAC-wlan-ap-ap1] serial-id 219801A0YG8165E00001

# 开启ap1的二次发现AC功能。

[CentralAC-wlan-ap-ap1] control-address enable

[CentralAC-wlan-ap-ap1] quit

# AP 2、AP 3、AP 4配置方法同上,此处略。

# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。

[CentralAC] interface vlan-interface 100

[CentralAC-Vlan-interface100] ip address 10.0.0.1 24

[CentralAC-Vlan-interface100] quit

# 创建地区标识areab和areac。

[CentralAC] wlan location areab

[CentralAC] wlan location areac

# 创建用户角色b。

[CentralAC] role name b

# 配置基于XML元素、Web菜单的规则。

[CentralAC-role-b] rule 1 permit read write execute xml-element

[CentralAC-role-b] rule 2 permit read write execute web-menu

# 进入地区标识策略视图并配置允许用户操作的地区标识areab。

[CentralAC-role-b] location policy deny

[CentralAC-role-b-locationpolicy] permit location areab

[CentralAC-role-b-locationpolicy] quit

[CentralAC-role-b] quit

# 创建用户角色c。

[CentralAC] role name c

# 配置基于XML元素、Web菜单的规则。

[CentralAC-role-c] rule 1 permit read write execute xml-element

[CentralAC-role-c] rule 2 permit read write execute web-menu

# 进入地区标识策略视图并配置允许用户操作的地区标识areac。

[CentralAC-role-c] location policy deny

[CentralAC-role-c-locationpolicy] permit location areac

[CentralAC-role-c-locationpolicy] quit

[CentralAC-role-c] quit

# 配置本地用户admin。

[CentralAC] local-user admin

# 配置用户admin可以使用HTTP与HTTPS服务。

[CentralAC-luser-manage-admin] service-type http https

[CentralAC-luser-manage-admin] quit

# 创建并配置本地用户b-admin。

[CentralAC] local-user b-admin

# 配置用户b-admin可以使用HTTP与HTTPS服务。

[CentralAC-luser-manage-b-admin] service-type http https

# 设置用户b-admin的密码。

[CentralAC-luser-manage-b-admin] password simple badmin

# 指定用户b-admin的授权角色为b。

[CentralAC-luser-manage-b-admin] authorization-attribute user-role b

# 为保证用户仅使用授权的用户角色b,删除用户b-admin的缺省用户角色network-operator。

[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator

[CentralAC-luser-manage-b-admin] quit

# 创建并配置本地用户c-admin。

[CentralAC] local-user c-admin

# 配置用户c-admin可以使用HTTP与HTTPS服务。

[CentralAC-luser-manage-c-admin] service-type http https

# 设置用户c-admin的密码。

[CentralAC-luser-manage-c-admin] password simple cadmin

# 指定用户c-admin的授权角色为c。

[CentralAC-luser-manage-c-admin] authorization-attribute user-role c

# 为保证用户仅使用授权的用户角色c,删除用户c-admin的缺省用户角色network-operator。

[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator

[CentralAC-luser-manage-c-admin] quit

# 创建AP组groupb,将AP 1与AP 2加入该组中。

[CentralAC] wlan ap-group groupb

[CentralAC-wlan-ap-group-groupb] ap ap1 ap2

# 标记AP组groupb的地区为标识areab。

[CentralAC-wlan-ap-group-groupb] location areab

[CentralAC-wlan-ap-group-groupb] quit

# 创建AP组groupc,将AP 3与AP 4加入该组中。

[CentralAC] wlan ap-group groupc

[CentralAC-wlan-ap-group-groupc] ap ap3 ap4

# 标记AP组groupc的地区标识为areac。

[CentralAC-wlan-ap-group-groupc] location areac

[CentralAC-wlan-ap-group-groupc] quit

(3)     配置Local AC-B

# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。

<LocalAC-B> system-view

[LocalAC-B] interface vlan-interface 100

[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24

[LocalAC-B-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC-B] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC-B] wlan central-ac ip 10.0.0.1

(4)     配置Local AC-C

# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。

<LocalAC-C> system-view

[LocalAC-C] interface vlan-interface 100

[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24

[LocalAC-C-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC-C] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC-C] wlan central-ac ip 10.0.0.1

4. 验证配置

# 通过Telnet方式登录到Central AC上,在Web页面上登录超级管理员账号,查看并管理所有AP。

图1-5 超级管理员登录界面

admin-cn.png

# 在Web页面上登录地区C管理员账号,查看、管理地区C分部的AP。

图1-6 地区C管理员登录界面

cadmin-cn.png

 

# 在Web页面上登录地区B管理员账号,查看、管理地区B分部的AP。

图1-7 地区B管理员登录界面

badmin-cn.png

 


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明