知

无线控制器分层AC配合802.1x典型配置案例（Central AC认证+AP转发）

2018-10-30 发表

0关注
0收藏 2001浏览

殷俊

殷俊九段

粉丝：64人关注：4人

组网及说明

如所示，总部通过一台传统AC作为Central AC，分支采用融合AC作为Local AC，Local AC负责管理和接入本地AP和无线客户端。用户的认证授权则由总部Central AC负责，数据流量由AP转发。

具体应用需求如下：

· AP通过DHCP Option43功能获取到Central AC地址，之后通过二次发现方式与Local AC建立CAPWAP连接。

· 使用iMC作为DOT1X服务器和AAA服务器对用户进行DOT1X认证。

· AP和用户的地址池配置在Local AC上。

配置步骤

1.1.1 设置设备角色（仅针对中端AC设备）

(1) 设置设备角色为Central AC

#普通AC，配置Local AC模板设置角色为Central AC

<AC> system-view

[AC]wlan local-ac name localac1 model WX2540H

#原设备为Local AC角色，去使能Local AC，配置Local AC模板切换角色为Central AC

<AC> system-view

[AC]

[AC]undo wlan local-ac enable

This operation will delete AC hierarchy settings for the local AC. Continue? [Y/

N]:y

[AC]wlan local-ac name localac1 model WX2540H

(2) 设置设备角色为Local AC

#普通AC，使能Local AC功能设置角色为Local AC

[AC]wlan local-ac enable

#原设备为Central AC角色，删除所有Local AC模板，使能Local AC功能切换角色为Local AC

[AC]undo wlan local-ac name localac1

[AC]wlan local-ac enable

1.1.2 编辑AP配置文件

# 使用文本文档编辑AP的配置文件，将配置文件命名为map.txt，并将配置文件上传到AC存储介质上。配置文件内容和格式如下：

system-view

interface GigabitEthernet1/0/1

port link-type trunk

port trunk permit vlan all

interface GigabitEthernet1/0/2

port link-type trunk

port trunk permit vlan all

1.1.3 配置Central AC

(1) 配置接口

# 创建VLAN11及其接口，用来与Local AC建立管理通道。

<Central AC> system-view

[Central AC] vlan 11

[Central AC-vlan11] quit

[Central AC] interface vlan-interface 11

[Central AC-Vlan-interface11] ip address 11.1.1.3 16

[Central AC-Vlan-interface11] quit

(2) 配置Central AC管理的Local AC

# 创建名称为3510h-1的Local AC，并进入Local AC视图。

[Central AC] wlan local-ac name 3510h-1 model WX3510H

# 配置Local AC的序列号。

[Central AC-wlan-local-ac-3510h-1] serial-id 210235A1JNB166000078

[Central AC-wlan-local-ac-3510h-1] quit

(3) 配置无线客户端的DOT1X认证功能

· 配置RADIUS方案

# 创建RADIUS方案imc并进入其视图。

[Central AC] radius scheme imc

# 设置主认证RADIUS服务器的IP地址8.1.1.231。

[Central AC-radius-imc] primary authentication 8.1.1.231

# 设置主计费RADIUS服务器的IP地址8.1.1.231。

[Central AC-radius-imc] primary accounting 8.1.1.231

# 设置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。

[Central AC-radius-imc] key authentication simple 12345678

# 设置系统与计费RADIUS服务器交互报文时的共享密钥为12345678。

[Central AC-radius-imc] key accounting simple 12345678

# 设置发送给RADIUS服务器的用户名不携带域名。

[Central AC-radius-imc] user-name-format without-domain

# 设置设备发送RADIUS报文时使用的源IP地址8.183.1.61。

[Central AC-radius-imc] nas-ip 8.183.1.61

[Central AC-radius-imc] quit

· 配置认证域

# 创建imc域并进入其视图。

[Central AC] domain imc

# 为DOT1X用户配置认证方案为RADIUS方案，方案名为imc。

[Central AC-isp-imc] authentication lan-access radius-scheme imc

# 为DOT1X用户配置授权方案为RADIUS方案，方案名为imc。

[Central AC-isp-imc] authorization lan-access radius-scheme imc

# 为DOT1X用户配置计费方案为RADIUS方案，方案名为imc。

[Central AC-isp-imc] accounting lan-access radius-scheme imc

[Central AC-isp-imc] quit

(4) 配置802.1X认证方式

#配置802.1X认证方式为EAP

[Central AC]dot1x authentication-method eap

(5) 配置Dot1x服务模板

#创建无线服务模板1。

[Central AC]wlan service-template 1

[Central AC -wlan-st-1]ssid qucf-dot1x

#配置DOT1X认证点为Central AC，转发点为AP

[Central AC -wlan-st-1]client-security authentication-location central-ac

[Central AC -wlan-st-1]client forwarding-location ap

#配置用户认证方式为802.1X，ISP域为imc，AKM模式为802.1X，加密套件为CCMP，安全IE为RSN

[Central AC -wlan-st-1]akm mode dot1x

[Central AC -wlan-st-1]cipher-suite ccmp

[Central AC -wlan-st-1]security-ie rsn

[Central AC -wlan-st-1]client-security authentication-mode dot1x

[Central AC -wlan-st-1]dot1x domain imc

#使能服务模板

[Central AC -wlan-st-1]service-template enable

(6) 配置AP模板

# 创建手工AP，名称为ap1，配置序列号为210235A1SVC15C000028。

[Central AC] wlan ap ap1 model WA5620i-ACN

[Central AC-wlan-ap-ap1] serial-id 210235A1SVC15C000028

# 指定AP的配置文件。

[Central AC-wlan-ap-ap1] map-configuration cfa0:/map.txt

# 开启二次发现AC功能。

[Central AC-wlan-ap-ap1] control-address enable

# 手动指定Local AC的IP地址。

[Central AC-wlan-ap-ap1] control-address ip 11.1.1.104

# 将无线服务模板1绑定到Radio 1接口。

[Central AC-wlan-ap-ap1] radio 1

[Central AC-wlan-ap-ap1-radio-1] radio enable

[Central AC-wlan-ap-ap1-radio-1] service-template 1 vlan 20

[Central AC-wlan-ap-ap1-radio-1] quit

1.1.4 配置Local AC

(1) 开启Local AC功能

# 开启Local AC功能。

<Local AC> system-view

[Local AC] wlan local-ac enable

# 指定Central AC的IP地址。

[Local AC] wlan central-ac ip 11.1.1.3

# 指定与Central AC建立管理通道的VLAN。

[Local AC] wlan local-ac capwap source-vlan 11

(2) 配置地址池

# 开启DHCP服务。

[Local AC] dhcp enable

# 配置地址池，为AP分配IP地址。

[Local AC] dhcp server ip-pool ap

[Local AC-dhcp-pool-ap] gateway-list 12.0.0.1

[Local AC-dhcp-pool-ap] network 12.0.0.0 mask 255.255.0.0

# 通过option43选项指定AC地址为Central AC地址。

[Local AC-dhcp-pool-ap] option 43 hex 80070000010b010101

[Local AC-dhcp-pool-ap] quit

# 配置地址池，为客户端分配IP地址。

[Local AC] dhcp server ip-pool client

[Local AC-dhcp-pool-ap] gateway-list 20.0.0.1

[Local AC-dhcp-pool-ap] network 20.0.0.0 mask 255.255.0.0

[Local AC-dhcp-pool-ap] quit

(3) 配置接口

# 创建VLAN11及其接口，Local AC通过此接口上线到Central AC。

[Local AC] vlan 11

[Local AC-vlan11] quit

[Local AC] interface Vlan-interface11

[Local AC-Vlan-interface11] ip address 11.1.1.104 255.255.0.0

[Local AC-Vlan-interface11] quit

# 创建VLAN12及其接口，用于AP上线。

[Local AC] vlan 12

[Local AC-vlan12] quit

[Local AC] interface Vlan-interface12

[Local AC-Vlan-interface12] ip address 12.0.0.1 255.255.0.0

[Local AC-Vlan-interface12] dhcp server apply ip-pool ap

[Local AC-Vlan-interface12] quit

# 创建VLAN20及其接口，用于无线客户端上线。

[Local AC] vlan 20

[Local AC-vlan20] quit

[Local AC] interface Vlan-interface20

[Local AC-Vlan-interface20] ip address 20.0.0.1 255.255.0.0

[Local AC-Vlan-interface20] dhcp server apply ip-pool client

[Local AC-Vlan-interface20] quit

验证配置：

# 在Central AC上可以查看到Local AC是R/M状态，说明Local AC已在Central AC上线。

[Central AC]display wlan local-ac name 3510h-1

Local AC Information

State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad

C = Config, DC = DataCheck, R = Run

AC name ACID State Model Serial ID

3510h-1 1 R/M WX3510H 210235A1JNB166000078

# 在Central AC上可以查看到AP是R/M状态，说明Local AC已经通过二次发现与Central AC建立管理通道。

[Central AC]display wlan ap all

Total number of APs: 1

Total number of connected APs: 1

Total number of connected manual APs: 1

Total number of connected auto APs: 0

Total number of connected common APs: 1

Total number of connected WTUs: 0

Total number of inside APs: 0

Maximum supported APs: 6144

Remaining APs: 6143

Total AP licenses: 128

Local AP licenses: 128

Server AP licenses: 0

Remaining Local AP licenses: 127

Sync AP licenses: 0

AP information

State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad

C = Config, DC = DataCheck, R = Run, M = Master, B = Backup

AP name APID State Model Serial ID

ap1 4 R/M WA5620i-ACN 210235A1SVC15C000028

# 在Central AC上可以查看到AP已经连接到Local AC。

[Central AC]display wlan ap-distribution all

Central AC Slot 1 Total Number of APs: 0

Local AC 3510h-1 Total Number of APs: 1

AP name AP ID AP IP AC IP

ap1 4 12.0.0.2 12.0 0.1

# 在Central AC上可以查看到无线客户端已经上线。

[Central AC]display wlan client

Total number of clients: 1

MAC address User name AP name RID IP address VLAN

e49a-dc71-a162 N/A ap1 1 20.0.0.2 20

# 在Central AC上可以查看到用户已经DOT1X认证成功。

[Central AC] dis dot1x connection

Total connections: 1

User MAC address : e49a-dc71-a162

AP name : ap1

Radio ID : 1

SSID : qucf-dot1x

BSSID : 3891-d59a-7960

Username : qucf-1x

Authentication domain : imc

IPv4 address : 20.0.0.2

Authentication method : EAP

Initial VLAN : 20

Authorization VLAN : 20

Authorization ACL number : 3000

Authorization user profile : N/A

Termination action : Default

Session timeout period : 86400 s

Online from : 2018/10/22 11:31:18

Online duration : 0h 2m 12s

配置关键点

· 配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

· Local AC上不能开启自动AP功能，对于需要在Central AC上统一管理的AP，也不要在Local AC上配置此AP模板。

· 高端AC仅支持Central AC角色，低端AC仅支持做Local AC角色，中端AC两种角色均支持且两种角色互斥不能同时存在。中端AC通过配置命令切换角色，通过创建Local AC模板设置角色为Central AC；通过使能Local AC设置角色为Local AC。注意角色切换后命令行由用户保证设备。

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在2019-06-12对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

无线控制器分层AC配合802.1x典型配置案例（Central AC认证+AP转发）

组网及说明

配置步骤

1.1.1 设置设备角色（仅针对中端AC设备）

1.1.2 编辑AP配置文件

1.1.3 配置Central AC

1.1.4 配置Local AC

验证配置：

配置关键点

编辑评论

提出建议