无线ac断开后,类似华为无线的广域逃生吗
- 0关注
- 0收藏,34浏览
Backup
1.
AP 与 AC 连接正常时:采用 AC 集中式认证。
AP 与 AC 连接故障后:
2.
3.
AP 本地认证所需的用户/VLAN 等配置需通过 map-configuration
4.
5.
Local AC
Local AC
核心在于 authentication-mode
backup 实现了故障时认证点从 AC 到 AP 的自动切换。
1. 全局开启混合远程AP基础功能:
system-view
hybrid-remote-ap enable
2. 对应SSID的服务模板下配置逃生准入:
wlan service-template 模板名
client forwarding-location ap //配置本地转发,逃生后流量直接由AP转发
escape new-user allow //开启AC断连后允许新用户接入逃生网络
//如果是PSK认证,直接在该视图下配置预共享密钥,密钥会提前下发缓存到AP本地
wlan service-template 模板名 enable
如果逃生场景需要支持新用户Portal认证,还可以提前配置AP本地内置Portal,将认证页、逃生用户白名单预下发到AP缓存,AC离线后由AP本地完成Portal认证,完全实现华为广域逃生的效果。
暂无评论
H3C确实有对标华为“广域逃生”的功能,核心机制也是 Remote AP。在 CAPWAP 隧道断开后,它能够保证已接入的用户不掉线。值得留意的地方在于,你观察到的现象——“新用户无法接入”,实际上是该功能的默认行为,这是有原因的。
默认配置下,新用户无法接入是因为其认证过程需要AC与AAA服务器交互。一旦AC离线,新用户的认证请求无法完成,因此会被拒绝接入。
如何实现“新用户也能接入”的广域逃生?
要实现与华为“广域认证逃生”一致的效果,关键在于将认证和关联的控制权从AC下放到AP本地。这需要满足两个前提条件:
必须为本地转发:这是硬性要求,集中转发模式下Remote AP功能不生效。
认证点和关联点需在AP上:必须通过特定配置来实现。
具体配置命令如下:
核心命令:
wlan ap-group <组名> 或 wlan ap <AP名称> hybrid-remote-ap enable # 在无线服务模板下,将认证和关联都指定在AP本地 wlan service-template <模板名称> client-security authentication-location ap client association-location ap# 在AP组或AP视图下开启Remote AP功能
完成以上配置后,AP在离线时将接管用户的认证和关联,新用户便可在AP本地完成认证并接入网络。
请注意:以上配置需要你的AC和AP软件版本支持。如有疑问,可以查阅设备配套的官方命令参考手册。
其他注意事项
为获得最佳体验,请留意以下几点:
认证方式:官方推荐使用简单的PSK(预共享密钥)认证。避免使用需要外部服务器的802.1X或Portal认证,否则新用户仍可能无法接入。
技术局限:AP的本地处理能力有限。当AC恢复后,开启Remote AP功能且配置了关联位置在AP上的客户端可以保持在线,无需重新上线。
替代方案:典型的广域逃生方案也可通过AC热备来解决。如果预算允许,配置双AC进行主备冗余是最彻底的高可用性方案。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论