无线V7分层AC组网Portal典型配置

分层AC组网，S5560做Local AC，组网需启用Portal认证。

如上组网，要求分层AC总部-分支三层组网(Local AC和AP在同一网段,与Central AC间跨三层)。WX3520H做为Central AC,S5560做为Local AC，AP使用WA4320H-ACN、WA5620i-ACN。

1、 License全部注册在Central AC上,由Central AC统一管理。一部分AP直接接入Central AC即普通的AC+FitAP组网，一部分AP通过二次发现接入到Local AC即分层AC组网。

2、 AP采用二次发现方式接入。AP通过DHCP Option方式指定AC地址为Central AC的地址，同时在Central AC上AP的视图下开启AP的二次发现功能，指定二次发现地址为AP要接入的Local AC地址。组网保证AP和Central AC以及Local AC都可以Ping通。待Local AC故障时AP可以直接上线到Central AC上。

3、 用户认证采用Portal，推Portal无感知认证。认证点为Central AC，转发点为AP。

4、 由Local AC统一管理AP和用户的地址池。

1、Central AC上配置

1.1 Central AC上创建Local AC模板

#Central AC上创建Local AC模板

[H3C] wlan local-ac name S5560-1 model S5560

#配置序列号

[H3C-wlan-local-ac-S5560-1]serial-id 210235A1GCH147000017

#关闭自动升级功能 

[H3C-wlan-local-ac-S5560-1] firmware-upgrade disable

1.2开启无线Portal客户端合法性检查功能（本地转发需开启） 

开启无线Portal客户端合法性检查功能

[H3C]portal host-check enable

1.3配置认证服务器

# 创建RADIUS方案scheme1并进入其视图。

[H3C]radius scheme imc 

# 设置主认证RADIUS服务器的IP地址8.1.1.231。

[H3C-radius-imc]primary authentication 8.1.1.231 

# 设置主计费RADIUS服务器的IP地址8.1.1.231。

[H3C-radius-imc]primary  accounting 8.1.1.231 

# 设置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。

[H3C-radius-imc]key authentication simple 12345678

# 设置系统与计费RADIUS服务器交互报文时的共享密钥为12345678。

[H3C-radius-imc]key accounting simple 12345678

# 认证时用户名不携带域。

[AC-radius-scheme1]user-name-format without-domain

# 设置设备发送RADIUS报文时使用的源IP地址1.1.1.121。

[H3C-radius-imc]nas-ip 1.1.1.121

1.4配置认证域

# 创建imc域并进入其视图。

[AC] domain imc

# 为Portal用户配置认证方案为RADIUS方案，方案名为imc。

[H3C-isp-imc]authentication portal radius-scheme  imc

# 为Portal用户配置授权方案为RADIUS方案，方案名为imc。

[H3C-isp-imc]authorization portal radius-scheme  imc

# 为Portal用户配置计费方案为RADIUS方案，方案名为imc。

[H3C-isp-imc]accounting portal radius-scheme imc 

1.5配置Portal认证

（1）配置Portal认证服务器

#配置Portal认证服务器ZSY，IP地址为8.1.1.231，密钥为明文12345678

[H3C] portal server ZSY

[H3C-portal-server-ZSY]ip 8.1.1.231 key simple 12345678

（2）配置Portal web服务器

#配置Portal Web服务器ZSY

portal web-server ZSY

#配置Portal Web服务器的URL

url http://8.1.1.231:8080/portal

# 配置URL中携带的参数信息 

url-parameter apmac ap-mac

url-parameter ssid ssid

url-parameter userip source-address

url-parameter usermac source-mac

1.6 配置Portal基于MAC地址的快速认证

# 创建MAC绑定服务器ZSY。

[AC] portal mac-trigger-server ZSY

# 配置MAC绑定服务器的地址为8.1.1.231。

[AC-portal-mac-trigger-server-ZSY] ip 8.1.1.231

# 配置用户免认证流量的阈值为1024000字节。

[AC-portal-mac-trigger-server-ZSY] free-traffic threshold 1024000

1.7配置Portal服务模板

#创建无线服务模板1。

[H3C]wlan service-template 1 

[H3C-wlan-st-1]ssid hesy 

#配置用户隔离

[H3C-wlan-st-1] user-isolation enable

#配置转发点在AP

[H3C-wlan-st-1]client forwarding-location ap

#在无线服务模板上开启直接方式的Portal认证

[H3C-wlan-st-1]portal enable method direct

#配置portal认证域imc 

[H3C-wlan-st-1]portal domain imc

#配置bas-ip

[H3C-wlan-st-1]portal bas-ip 1.1.1.121

#在无线服务模板上引用Portal Web服务器ZSY。

[H3C-wlan-st-1]portal apply web-server ZSY

#在无线服务模板上应用MAC绑定服务器ZSY。

[H3C-wlan-st-1]portal apply mac-trigger-server ZSY 

[H3C-wlan-st-1]service-template enable

1.8创建AP模板

# 创建AP模板

[H3C] wlan ap ap4 model WA5620i-ACN

#配置序列号

[H3C-wlan-ap-ap4] serial-id 210235A1SVC15C000028 

#使能二次发现

[H3C-wlan-ap-ap4]control-address enable

#配置二次发现地址为Local AC地址 

[H3C-wlan-ap-ap4]control-address ip 11.1.1.104

#为ap下发map文件

map-configuration cfa0:/apmap.txt

#使能radio并绑定服务模板

[H3C-wlan-ap-ap4]radio  1

[H3C-wlan-ap-ap4-radio-1]radio enable 

[H3C-wlan-ap-ap4-radio-1]service-template 1 vlan 198 

[H3C-wlan-ap-ap4-radio-1]radio 2

[H3C-wlan-ap-ap4-radio-2]radio enable

[H3C-wlan-ap-ap4-radio-2]service-template 1 vlan 198

2、配置Local AC

2.1使能Local AC功能

#使能Local AC功能

<H3C>system-view

[H3C]wlan local-ac enable 

# 指定Central AC地址

[H3C]wlan central-ac ip 1.1.1.121

#配置Local AC上线vlan为vlan11

# wlan local-ac capwap source-vlan 11

2.2  配置地址池。

#配置AP地址池。

[H3C]dhcp server ip-pool ap

[H3C-dhcp-pool-ap] gateway-list 56.0.0.1

[H3C-dhcp-pool-ap] network 56.0.0.0 mask 255.255.0.0

#option43指定AC地址为Central AC地址11.1.1.121。

[H3C-dhcp-pool-ap] option 43 hex 80070000010b010179

#配置station地址池。

[H3C]dhcp server ip-pool client

[H3C-dhcp-pool-ap] gateway-list 198.1.1.1

[H3C-dhcp-pool-ap] network 198.1.0.0 mask 255.255.0.0 

2.3接口配置。

#配置Local AC上线到Central AC使用接口。

[H3C]interface Vlan-interface11

[H3C-Vlan-interface11] ip address 11.1.1.104 255.255.0.0

#将地址池绑定到AP上线的三层接口。

[H3C] interface Vlan-interface56

[H3C-Vlan-interface56] ip address 56.0.0.1 255.255.0.0

[H3C-Vlan-interface56]dhcp server apply ip-pool ap

#将地址池绑定到client上线的三层接口。

[H3C]interface Vlan-interface198

[H3C-Vlan-interface198]ip address 198.1.1.1 255.255.0.0

[H3C-Vlan-interface198]dhcp server apply ip-pool client

 

3、验证结果

3.1 Local AC上线

Local AC接入到Central AC。

Central ac上显示：

[H3C]display wlan local-ac all 

Total number of local ACs: 2 

Total number of connected local ACs: 2

 

  Local AC Information

 State : I = Idle,J  = Join, JA = JoinAck, IL = ImageLoad 

C = Config, DC = DataCheck,  R  = Run

AC nameACID  State Model  Serial ID

S5560-1 8  R/MS5560 210235A1GCH147000017

S5560-2 9  R/MS5560 210235A1FHC159000478

3.2 AP上线

部分AP二次发现接入到Local AC上，部分直接接入到Central AC上

Central AC上显示：

[H3C]dis wlan ap all

Total number of APs: 4

Total number of connected APs: 4

Total number of connected manual APs: 4 

Total number of connected auto APs: 0

Total number of connected common APs: 4 

Total number of connected WTUs: 0 

Total number of inside APs: 0

Maximum supported APs: 512

Remaining APs: 508 

Total AP licenses: 512

Remaining AP licenses: 508

 

AP information

 State : I = Idle,J  = Join, JA = JoinAck, IL = ImageLoad 

C = Config, DC = DataCheck,  R  = Run,M = Master,  B = Backup

 

AP nameAPID  State Model  Serial ID

ap3 211R/MWA4320H-ACN  219801A0P79154G00066

ap4 1  R/MWA5620i-ACN  210235A1SVC15C000028

ap5 2  R/MWA5620i-ACN  210235A1SVC15C000011

ap6 3  R/MWA4320H-ACN  219801A0P79148G02308

 

[H3C]dis wlan ap-distribution all 

Central AC

Slot: 2

Total Number of APs: 2

AP name: ap3, ap6

 

Local AC

Name: S5560-2 

Total Number of APs: 0

AP name:

 

Local AC

Name: S5560-1 

Total Number of APs: 2

AP name: ap4, ap5

[H3C] 

3.3 Portal 用户接入

Portal用户接入之后点击网页触发流量阀值，无感知认证成功

在Central AC上查看用户：

[H3C]dis wlan client ap  ap4

Total number of clients: 1

 

MAC address User name  AP name  RID IP addressIPv6 addressVLAN

c81e-e738-016a N/A  ap41198.1.0.2 198 

在Central AC上查看Portal用户：

<H3C>dis portal user all 

Total portal users: 1 

Username: C8:1E:E7:38:01:6A 

  AP name: ap4

  Radio ID: 1

  SSID: hesy 

  Portal server: ZSY

  State: Online 

  VPN instance: N/A

  MAC IP  VLAN Interface 

  c81e-e738-016a  198.1.0.2 198  WLAN-BSS2/0/13383

  Authorization information:

 DHCP IP pool: N/A 

 User profile: N/A 

 Session group profile: N/A 

 ACL number: N/A

 Inbound CAR: N/A

 Outbound CAR: N/A 

1、 分层AC目前不支持垂直备份回切。Local AC发生故障AP会接到Central AC，之后Local AC恢复，AP不能够自动切回到Local AC上。

2、 S5560升级，由于交换机版本号和无线版本号不一致，S5560请手动升级版本，同时Local AC模板下请关闭自动升级功能（firmware-upgrade disable）。

3、 V5 AP升级时，由于S5560不打包AP版本，且无法主动从Central AC下载升级文件XX_update.bin，建议V5 AP先通过Central AC升级（关闭二次发现功能control-address disable），升级完成后再开启二次发现功能。

4、 AP的模板配置在Central AC上，由Central AC统一管理。要保证Local AC上关闭自动AP功能： undo wlan auto-ap enable，同时Local AC上要删除所有手工AP的模板。否则会导致Central AC无法控制AP。

5、 Local AC S5560上不可以有Portal相关的配置，Portal 认证只在Central AC配置。