分层AC组网,S5560做Local AC,组网需启用Portal认证。
如上组网,要求分层AC总部-分支三层组网(Local AC和AP在同一网段,与Central AC间跨三层)。WX3520H做为Central AC,S5560做为Local AC,AP使用WA4320H-ACN、WA5620i-ACN。
1、 License全部注册在Central AC上,由Central AC统一管理。一部分AP直接接入Central AC即普通的AC+FitAP组网,一部分AP通过二次发现接入到Local AC即分层AC组网。
2、 AP采用二次发现方式接入。AP通过DHCP Option方式指定AC地址为Central AC的地址,同时在Central AC上AP的视图下开启AP的二次发现功能,指定二次发现地址为AP要接入的Local AC地址。组网保证AP和Central AC以及Local AC都可以Ping通。待Local AC故障时AP可以直接上线到Central AC上。
3、 用户认证采用Portal,推Portal无感知认证。认证点为Central AC,转发点为AP。
4、 由Local AC统一管理AP和用户的地址池。
1、Central AC上配置
1.1 Central AC上创建Local AC模板
#Central AC上创建Local AC模板
[H3C] wlan local-ac name S5560-1 model S5560
#配置序列号
[H3C-wlan-local-ac-S5560-1]serial-id 210235A1GCH147000017
#关闭自动升级功能
[H3C-wlan-local-ac-S5560-1] firmware-upgrade disable
1.2开启无线Portal客户端合法性检查功能(本地转发需开启)
开启无线Portal客户端合法性检查功能
[H3C]portal host-check enable
1.3配置认证服务器
# 创建RADIUS方案scheme1并进入其视图。
[H3C]radius scheme imc
# 设置主认证RADIUS服务器的IP地址8.1.1.231。
[H3C-radius-imc]primary authentication 8.1.1.231
# 设置主计费RADIUS服务器的IP地址8.1.1.231。
[H3C-radius-imc]primary accounting 8.1.1.231
# 设置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。
[H3C-radius-imc]key authentication simple 12345678
# 设置系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[H3C-radius-imc]key accounting simple 12345678
# 认证时用户名不携带域。
[AC-radius-scheme1]user-name-format without-domain
# 设置设备发送RADIUS报文时使用的源IP地址1.1.1.121。
[H3C-radius-imc]nas-ip 1.1.1.121
1.4配置认证域
# 创建imc域并进入其视图。
[AC] domain imc
# 为Portal用户配置认证方案为RADIUS方案,方案名为imc。
[H3C-isp-imc]authentication portal radius-scheme imc
# 为Portal用户配置授权方案为RADIUS方案,方案名为imc。
[H3C-isp-imc]authorization portal radius-scheme imc
# 为Portal用户配置计费方案为RADIUS方案,方案名为imc。
[H3C-isp-imc]accounting portal radius-scheme imc
1.5配置Portal认证
(1)配置Portal认证服务器
#配置Portal认证服务器ZSY,IP地址为8.1.1.231,密钥为明文12345678
[H3C] portal server ZSY
[H3C-portal-server-ZSY]ip 8.1.1.231 key simple 12345678
(2)配置Portal web服务器
#配置Portal Web服务器ZSY
portal web-server ZSY
#配置Portal Web服务器的URL
url http://8.1.1.231:8080/portal
# 配置URL中携带的参数信息
url-parameter apmac ap-mac
url-parameter ssid ssid
url-parameter userip source-address
url-parameter usermac source-mac
1.6 配置Portal基于MAC地址的快速认证
# 创建MAC绑定服务器ZSY。
[AC] portal mac-trigger-server ZSY
# 配置MAC绑定服务器的地址为8.1.1.231。
[AC-portal-mac-trigger-server-ZSY] ip 8.1.1.231
# 配置用户免认证流量的阈值为1024000字节。
[AC-portal-mac-trigger-server-ZSY] free-traffic threshold 1024000
1.7配置Portal服务模板
#创建无线服务模板1。
[H3C]wlan service-template 1
[H3C-wlan-st-1]ssid hesy
#配置用户隔离
[H3C-wlan-st-1] user-isolation enable
#配置转发点在AP
[H3C-wlan-st-1]client forwarding-location ap
#在无线服务模板上开启直接方式的Portal认证
[H3C-wlan-st-1]portal enable method direct
#配置portal认证域imc
[H3C-wlan-st-1]portal domain imc
#配置bas-ip
[H3C-wlan-st-1]portal bas-ip 1.1.1.121
#在无线服务模板上引用Portal Web服务器ZSY。
[H3C-wlan-st-1]portal apply web-server ZSY
#在无线服务模板上应用MAC绑定服务器ZSY。
[H3C-wlan-st-1]portal apply mac-trigger-server ZSY
[H3C-wlan-st-1]service-template enable
1.8创建AP模板
# 创建AP模板
[H3C] wlan ap ap4 model WA5620i-ACN
#配置序列号
[H3C-wlan-ap-ap4] serial-id 210235A1SVC15C000028
#使能二次发现
[H3C-wlan-ap-ap4]control-address enable
#配置二次发现地址为Local AC地址
[H3C-wlan-ap-ap4]control-address ip 11.1.1.104
#为ap下发map文件
map-configuration cfa0:/apmap.txt
#使能radio并绑定服务模板
[H3C-wlan-ap-ap4]radio 1
[H3C-wlan-ap-ap4-radio-1]radio enable
[H3C-wlan-ap-ap4-radio-1]service-template 1 vlan 198
[H3C-wlan-ap-ap4-radio-1]radio 2
[H3C-wlan-ap-ap4-radio-2]radio enable
[H3C-wlan-ap-ap4-radio-2]service-template 1 vlan 198
2、配置Local AC
2.1使能Local AC功能
#使能Local AC功能
<H3C>system-view
[H3C]wlan local-ac enable
# 指定Central AC地址
[H3C]wlan central-ac ip 1.1.1.121
#配置Local AC上线vlan为vlan11
# wlan local-ac capwap source-vlan 11
2.2 配置地址池。
#配置AP地址池。
[H3C]dhcp server ip-pool ap
[H3C-dhcp-pool-ap] gateway-list 56.0.0.1
[H3C-dhcp-pool-ap] network 56.0.0.0 mask 255.255.0.0
#option43指定AC地址为Central AC地址11.1.1.121。
[H3C-dhcp-pool-ap] option 43 hex 80070000010b010179
#配置station地址池。
[H3C]dhcp server ip-pool client
[H3C-dhcp-pool-ap] gateway-list 198.1.1.1
[H3C-dhcp-pool-ap] network 198.1.0.0 mask 255.255.0.0
2.3接口配置。
#配置Local AC上线到Central AC使用接口。
[H3C]interface Vlan-interface11
[H3C-Vlan-interface11] ip address 11.1.1.104 255.255.0.0
#将地址池绑定到AP上线的三层接口。
[H3C] interface Vlan-interface56
[H3C-Vlan-interface56] ip address 56.0.0.1 255.255.0.0
[H3C-Vlan-interface56]dhcp server apply ip-pool ap
#将地址池绑定到client上线的三层接口。
[H3C]interface Vlan-interface198
[H3C-Vlan-interface198]ip address 198.1.1.1 255.255.0.0
[H3C-Vlan-interface198]dhcp server apply ip-pool client
3、验证结果
3.1 Local AC上线
Local AC接入到Central AC。
Central ac上显示:
[H3C]display wlan local-ac all
Total number of local ACs: 2
Total number of connected local ACs: 2
Local AC Information
State : I = Idle,J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC nameACID State Model Serial ID
S5560-1 8 R/MS5560 210235A1GCH147000017
S5560-2 9 R/MS5560 210235A1FHC159000478
3.2 AP上线
部分AP二次发现接入到Local AC上,部分直接接入到Central AC上
Central AC上显示:
[H3C]dis wlan ap all
Total number of APs: 4
Total number of connected APs: 4
Total number of connected manual APs: 4
Total number of connected auto APs: 0
Total number of connected common APs: 4
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 512
Remaining APs: 508
Total AP licenses: 512
Remaining AP licenses: 508
AP information
State : I = Idle,J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run,M = Master, B = Backup
AP nameAPID State Model Serial ID
ap3 211R/MWA4320H-ACN 219801A0P79154G00066
ap4 1 R/MWA5620i-ACN 210235A1SVC15C000028
ap5 2 R/MWA5620i-ACN 210235A1SVC15C000011
ap6 3 R/MWA4320H-ACN 219801A0P79148G02308
[H3C]dis wlan ap-distribution all
Central AC
Slot: 2
Total Number of APs: 2
AP name: ap3, ap6
Local AC
Name: S5560-2
Total Number of APs: 0
AP name:
Local AC
Name: S5560-1
Total Number of APs: 2
AP name: ap4, ap5
[H3C]
3.3 Portal 用户接入
Portal用户接入之后点击网页触发流量阀值,无感知认证成功
在Central AC上查看用户:
[H3C]dis wlan client ap ap4
Total number of clients: 1
MAC address User name AP name RID IP addressIPv6 addressVLAN
c81e-e738-016a N/A ap41198.1.0.2 198
在Central AC上查看Portal用户:
<H3C>dis portal user all
Total portal users: 1
Username: C8:1E:E7:38:01:6A
AP name: ap4
Radio ID: 1
SSID: hesy
Portal server: ZSY
State: Online
VPN instance: N/A
MAC IP VLAN Interface
c81e-e738-016a 198.1.0.2 198 WLAN-BSS2/0/13383
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
1、 分层AC目前不支持垂直备份回切。Local AC发生故障AP会接到Central AC,之后Local AC恢复,AP不能够自动切回到Local AC上。
2、 S5560升级,由于交换机版本号和无线版本号不一致,S5560请手动升级版本,同时Local AC模板下请关闭自动升级功能(firmware-upgrade disable)。
3、 V5 AP升级时,由于S5560不打包AP版本,且无法主动从Central AC下载升级文件XX_update.bin,建议V5 AP先通过Central AC升级(关闭二次发现功能control-address disable),升级完成后再开启二次发现功能。
4、 AP的模板配置在Central AC上,由Central AC统一管理。要保证Local AC上关闭自动AP功能: undo wlan auto-ap enable,同时Local AC上要删除所有手工AP的模板。否则会导致Central AC无法控制AP。
5、 Local AC S5560上不可以有Portal相关的配置,Portal 认证只在Central AC配置。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作