分层AC组网+集中认证的过程是怎样的？

参考x技术白皮书：

1.1.1  分层AC架构

分层AC组网由Central AC、Local AC和AP组成，Central AC负责整个无线网络的管理，Local AC负责AP的接入并转发数据流量。

分层AC架构使用以下两种通道来实现AP的集中管理：

·     Central AC与Local AC建立管理通道。

Central AC与Local AC之间通过建立管理通道，实现网络配置及用户信息的自动同步和管理。

·     AP与Local AC建立CAPWAP隧道。

当AP与Local AC建立CAPWAP隧道连接后，Local AC会将相关配置下发给AP，实现配置自动同步。

图1-1 分层AC架构示意图

‌

1.1.2  分层AC的AP管理

如图1-2所示，AP加入分层AC网络的过程如下：

(1)     Central AC与各Local AC间建立管理通道；

(2)     AP向Central AC发送Discovery request报文；

(3)     Central AC收到Discovery request报文后，根据当前各Local AC的负载情况，选择当前负载最轻的Local AC，在向AP回复的Discovery response报文中携带指定Local AC的IP地址；

(4)     AP收到Discovery response报文，根据报文中携带的Local AC的IP地址，向Local AC重新发送Discovery request报文，与Local AC建立隧道连接。AP与Local AC建立隧道的过程中，Local AC会向Central AC查询该AP是否为合法AP（该AP为手工AP或Central AC上开启了自动AP功能），若该AP为合法AP，Central AC会将AP配置下发到Local AC，若AP不是合法AP，则AP连接失败。有关手工AP及自动AP的详细介绍，请参见“AP管理配置指导”中的“AP管理”；

(5)     AP与Local AC之间的CAPWAP隧道建立成功后，Local AC会通知Central AC该AP上线成功，并通过管理通道将AP及客户端的状态上报至Central AC。

(6)     Central AC根据Local AC上报的信息来管理AP及客户端。

图1-2 AP与Local AC建立CAPWAP隧道过程

‌

1.1.3  数据转发

在分层AC架构中，数据转发方式与传统AC＋Fit AP架构相同，既可以在Local AC上进行数据转发，也可以在AP进行数据转发。

有关数据转发位置的详细介绍，请参见“WLAN接入配置指导”中的“WLAN接入”。

1.1.4  漫游

分层AC架构下的漫游方式取决于用户的接入认证位置。

·     当WLAN用户接入认证位置为Local AC时，漫游方式与传统AC＋Fit AP架构相同，既可以在Local AC内进行漫游，也可以在Local AC间进行漫游；

·     当WLAN用户接入认证位置为Central AC，客户端初始上线时，Central AC和客户端关联的Local AC上会同时创建客户端漫游表项，Local AC可以根据该漫游表项信息实现客户端Local AC内或者Local AC间漫游。

有关WLAN用户接入认证位置的详细介绍，请参见“用户接入与认证配置指导”中的“WLAN用户接入认证”。有关漫游的详细介绍，请参见“WLAN漫游配置指导”中的“WLAN漫游”。

1.1.5  管理权限

在分层AC架构下，可以为Central AC和Local AC的管理员提供不同的管理权限，通过配置地区标识实现对不同地域和级别管理员的权限划分，用户可以在设备的如下配置项上标记不同的地区标识：

·     无线服务模板：该标识定义了管理员可管理的无线服务模板。

·     AP组：该标识定义了管理员可管理的AP组。

·     RRM保持调整组：该标识定义了管理员可管理的RRM保持调整组。

例如，地区A的管理员只能管理地区A的无线服务模板；地区B的管理员只能管理地区B的无线服务模板；超级管理员可管理地区A和地区B的无线服务模板。

设备上存在一个名称为default-location的默认地区标识，标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识，且该标识不能被删除。

在Web页面上，系统将根据管理员身份过滤配置项，管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。