15-分层AC配置
本章节下载: 15-分层AC配置 (489.42 KB)
分层AC提供了一种集中管理与分布式控制相结合的机制,在保证性能的基础上提高了无线网络的可维护性和可扩展性,满足了AC和AP之间的高速链接需求。
分层AC组网由Central AC、Local AC和AP组成,Central AC负责整个无线网络的管理,Local AC负责AP的接入并转发数据流量。
分层AC架构使用以下两种通道来实现AP的集中管理:
· Central AC与Local AC建立管理通道。
Central AC与Local AC之间通过建立管理通道,实现网络配置及用户信息的自动同步和管理。
· AP与Local AC建立CAPWAP隧道。
当AP与Local AC建立CAPWAP隧道连接后,Local AC会将相关配置下发给AP,实现配置自动同步。
图1-1 分层AC架构示意图
如图1-2所示,AP加入分层AC网络的过程如下:
(1) Central AC与各Local AC间建立管理通道;
(2) AP向Central AC发送Discovery request报文;
(3) Central AC收到Discovery request报文后,根据当前各Local AC的负载情况,选择当前负载最轻的Local AC,在向AP回复的Discovery response报文中携带指定Local AC的IP地址;
(4) AP收到Discovery response报文,根据报文中携带的Local AC的IP地址,向Local AC重新发送Discovery request报文,与Local AC建立隧道连接。AP与Local AC建立隧道的过程中,Local AC会向Central AC查询该AP是否为合法AP(该AP为手工AP或Central AC上开启了自动AP功能),若该AP为合法AP,Central AC会将AP配置下发到Local AC,若AP不是合法AP,则AP连接失败。有关手工AP及自动AP的详细介绍,请参见“AP管理”;
(5) AP与Local AC之间的CAPWAP隧道建立成功后,Local AC会通知Central AC该AP上线成功,并通过管理通道将AP及客户端的状态上报至Central AC。
(6) Central AC根据Local AC上报的信息来管理AP及客户端。
图1-2 AP与Local AC建立CAPWAP隧道过程
在分层AC架构中,数据转发方式与传统AC+Fit AP架构相同,可以在AP进行数据转发。
有关数据转发位置的详细介绍,请参见“WLAN接入”。
分层AC架构下的漫游方式取决于用户的接入认证位置。
当WLAN用户接入认证位置为Central AC,客户端初始上线时,Central AC和客户端关联的Local AC上会同时创建客户端漫游表项,Local AC可以根据该漫游表项信息实现客户端Local AC内漫游。
有关WLAN用户接入认证位置的详细介绍,请参见“WLAN用户接入认证”。有关漫游的详细介绍,请参见“WLAN漫游”。
在分层AC架构下,可以为Central AC和Local AC的管理员提供不同的管理权限,通过配置地区标识实现对不同地域和级别管理员的权限划分,用户可以在设备的如下配置项上标记不同的地区标识:
· 无线服务模板:该标识定义了管理员可管理的无线服务模板。
· AP组:该标识定义了管理员可管理的AP组。
· RRM保持调整组:该标识定义了管理员可管理的RRM保持调整组。
例如,地区A的管理员只能管理地区A的无线服务模板;地区B的管理员只能管理地区B的无线服务模板;超级管理员可管理地区A和地区B的无线服务模板。
设备上存在一个名称为default-location的默认地区标识,标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识,且该标识不能被删除。
在Web页面上,系统将根据管理员身份过滤配置项,管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。
在Local AC上开启Local AC功能,并指定Central AC的IP地址后,该Local AC将与Central AC建立管理通道。
最多可配置3个Central AC的IPv4地址、3个Central AC的IPv6地址。
(1) 进入系统视图。
system-view
(2) 开启Local AC功能。
wlan local-ac enable
缺省情况下,Local AC功能处于关闭状态。
(3) 指定Central AC的IP地址。
wlan central-ac { ip ipv4-address | ipv6 ipv6-address }
缺省情况下,未指定Central AC的IP地址。
(4) 指定与Central AC建立管理通道的VLAN。
wlan local-ac capwap source-vlan vlan-id
缺省情况下,Local AC使用VLAN 1与Central AC建立管理通道。
针对不同地域和级别的管理员完成对配置项的权限管理。
设备上存在一个名称为default-location的默认地区标识,标记该标识的AP组/无线服务模板可被所有管理员管理。管理员新建的所有AP组/无线服务模板都会标记默认地区标识,且该标识不能被删除。
设备上最多可以创建512个地区标识。
(1) 进入系统视图。
system-view
(2) 创建地区标识。
wlan location location-name
缺省情况下,系统只存在默认地区标识。
为保证用户仅使用新授权的用户角色,需要删除用户具有的缺省用户角色。
为用户角色创建基于特性或特性组的规则时,不应赋予区域用户对无线业务全局配置特性“wlanglobalcfg”的可写权限。
配置用户角色,指定用户允许操作的地区标识,而后为用户授权用户角色。关于用户角色的相关配置请参见对应交换机产品“基础配置指导”中的“RBAC”和“安全配置指导”中的“AAA”。
为无线服务模板/AP组/RRM保持调整组标记指定地区标识后,该无线服务模板/AP组/RRM保持调整组将在逻辑上被划分到地区标识所标记的地域。
在Web页面上,系统将根据管理员的用户角色过滤无线服务模板/AP组/RRM保持调整组,管理员只能查看并管理与用户角色的地区标识相同的无线服务模板/AP组/RRM保持调整组和标记了default-location的无线服务模板/AP组/RRM保持调整组。
(1) 进入系统视图。
system-view
(2) 创建无线服务模板/AP组/RRM保持调整组,并进入无线服务模板/AP组/RRM保持调整组视图。
¡ 创建无线服务模板并进入无线服务模板视图。
wlan service-template service-template-name
¡ 创建AP组并进入AP组视图。
wlan ap-group group-name
缺省情况下,存在默认组,名称为default-group。
¡ 创建RRM保持调整组并进入RRM保持调整组视图。
wlan rrm-calibration-group group-id
(3) 标记无线服务模板/AP组/RRM保持调整组的地区标识。
location location-name
缺省情况下:
¡ 无线服务模板视图:无线服务模板被标记默认地区标识。
¡ AP组视图:AP组被标记默认地区标识。
¡ RRM保持调整组视图:RRM保持调整组标记默认地区标识。
在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。
表1-1 分层AC显示和维护
操作 |
命令 |
显示AC的角色信息 |
display wlan ac-role |
显示客户端的信息 |
display wlan client distributed-sys [ verbose ] |
在Local AC上显示Local AC信息 |
display wlan local-ac |
在分层AC组网环境中,本设备仅支持Local AC角色。
如图1-3所示,总部部署Central AC,位于分支的Local AC则负责管理和接入本地AP和无线客户端。用户的认证授权则由总部Central AC负责,数据流量由Local AC转发。
图1-3 分层AC通用组网典型配置组网图
(1) 配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略
(2) 配置Central AC
# 创建名称为localac1的Local AC,并配置Local AC的序列号。
<CentralAC> system-view
[CentralAC] wlan local-ac name localac1 model S6520X
[CentralAC-wlan-local-ac-localac1] serial-id 210302A66AC123000050
[CentralAC-wlan-local-ac-localac1] quit
# 创建名称为localac2的Local AC,并配置Local AC的序列号。
[CentralAC] wlan local-ac name localac2 model S6520X
[CentralAC-wlan-local-ac-localac2] serial-id 210302A66AC124000060
[CentralAC-wlan-local-ac-localac2] quit
# 创建ap1,并配置ap1的序列号。
[CentralAC] wlan ap ap1 model WA6320
[CentralAC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 开启ap1的二次发现AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# 创建Vlan-interface100接口并配置IP地址。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 1.1.1.1 24
[CentralAC-Vlan-interface100] quit
(3) 配置Local AC 1
# 在Local AC 1上指定VLAN 100与Central AC建立管理通道。
<LocalAC1>system-view
[LocalAC1] wlan local-ac capwap source-vlan 100
# 创建Vlan-interface100接口并配置IP地址。
[LocalAC1] interface vlan-interface 100
[LocalAC1-Vlan-interface100] ip address 1.1.1.2 24
[LocalAC1-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC1] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC1] wlan central-ac ip 1.1.1.1
(4) 配置Local AC 2
# 在Local AC 2上指定VLAN 100与Central AC建立管理通道。
<LocalAC2>system-view
[LocalAC2] wlan local-ac capwap source-vlan 100
# 创建Vlan-interface100接口并配置IP地址。
[LocalAC2] interface vlan-interface 100
[LocalAC2-Vlan-interface100] ip address 1.1.1.3 24
[LocalAC2-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC2] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC2] wlan central-ac ip 1.1.1.1
# 使用display wlan local-ac all命令在Central AC上查看所有Local AC的信息,可以看到Localac1已经与Central AC建立通道。
[CentralAC] display wlan local-ac all
Total number of local ACs: 2
Total number of connected local ACs: 2
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name ACID State Model Serial ID
localac1 1 R S6520X 210302A66AC123000050
localac2 2 R S6520X 210302A66AC124000060
# 使用display wlan local-ac命令在Local AC 1上查看当前Local AC信息,可以看到Local AC 1已经与Central AC成功建立通道。
[LocalAC1] display wlan local-ac
Local AC Information:
Model : S6520X
Serial ID : 210302A66AC123000050
MAC address : 5866-BA20-6E60
Local AC address : 1.1.1.2
H/W version : Ver.A
S/W version : c5419
Static central AC IPv4 address: 1.1.1.1
Static central AC IPv6 address: Not configured
Central AC Information:
Central AC address : 1.1.1.1
State : Run
Sent control packets : 6088
Received control packets : 6092
# 使用display wlan ap all命令在Central AC上查看AP信息,可以看到AP已经成功上线。
[CentralAC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected configured APs: 1
Total number of connected auto APs: 0
Total number of connected anchor APs: 0
Maximum supported APs: 3072
Remaining APs: 3071
Fit APs activated by license: 128
Remaining fit APs: 127
WTUs activated by license: 0
Remaining WTUs: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6320 219801A28N819CE0002T
某公司总部位于地区A,该公司无线网络采用分层AC的架构,Central AC位于总部,Local AC位于地区B、地区C分部。为了便于管理,现将地区B分部的所有AP交由地区B的管理员b-admin管理;地区C分部的所有AP交由地区C的管理员c-admin管理;公司所有AP,总部的超级管理员admin可全权管理。
图1-4 AP组管理权限配置组网图
(1) 配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略
(2) 配置Central AC
# 配置开启Central AC设备的Telnet服务,管理员登录设备时采用AAA认证。
<CentralAC> system-view
[CentralAC] telnet server enable
[CentralAC] line vty 0 5
[CentralAC-line-vty0-5] authentication-mode scheme
[CentralAC-line-vty0-5] quit
# 创建名称为localac-b的Local AC,指定型号为S6520X,并配置该Local AC的序列号。
[CentralAC] wlan local-ac name localac-b model S6520X
[CentralAC-wlan-local-ac-localac-b] serial-id 210302A66AC123000050
[CentralAC-wlan-local-ac-localac-b] quit
# 创建名称为localac-c的Local AC,指定型号为S6520X,并配置该Local AC的序列号。
[CentralAC] wlan local-ac name localac-c model S6520X
[CentralAC-wlan-local-ac-localac-c] serial-id 210302A66AC123000051
[CentralAC-wlan-local-ac-localac-c] quit
# 创建型号为WA6320的ap1,并配置ap1的序列号。
[CentralAC] wlan ap ap1 model WA6320
[CentralAC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 开启ap1的二次发现AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# AP 2、AP 3、AP 4配置方法同上,此处略。
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 10.0.0.1 24
[CentralAC-Vlan-interface100] quit
# 创建地区标识areab和areac。
[CentralAC] wlan location areab
[CentralAC] wlan location areac
# 创建用户角色b。
[CentralAC] role name b
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-b] rule 1 permit read write execute xml-element
[CentralAC-role-b] rule 2 permit read write execute web-menu
# 进入地区标识策略视图并配置允许用户操作的地区标识areab。
[CentralAC-role-b] location policy deny
[CentralAC-role-b-locationpolicy] permit location areab
[CentralAC-role-b-locationpolicy] quit
[CentralAC-role-b] quit
# 创建用户角色c。
[CentralAC] role name c
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-c] rule 1 permit read write execute xml-element
[CentralAC-role-c] rule 2 permit read write execute web-menu
# 进入地区标识策略视图并配置允许用户操作的地区标识areac。
[CentralAC-role-c] location policy deny
[CentralAC-role-c-locationpolicy] permit location areac
[CentralAC-role-c-locationpolicy] quit
[CentralAC-role-c] quit
# 配置本地用户admin。
[CentralAC] local-user admin
# 配置用户admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-admin] service-type http https
[CentralAC-luser-manage-admin] quit
# 创建并配置本地用户b-admin。
[CentralAC] local-user b-admin
# 配置用户b-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-b-admin] service-type http https
# 设置用户b-admin的密码。
[CentralAC-luser-manage-b-admin] password simple 123456TESTplat&!
# 指定用户b-admin的授权角色为b。
[CentralAC-luser-manage-b-admin] authorization-attribute user-role b
# 为保证用户仅使用授权的用户角色b,删除用户b-admin的缺省用户角色network-operator。
[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-b-admin] quit
# 创建并配置本地用户c-admin。
[CentralAC] local-user c-admin
# 配置用户c-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-c-admin] service-type http https
# 设置用户c-admin的密码。
[CentralAC-luser-manage-c-admin] password simple 1234567TESTplat&!
# 指定用户c-admin的授权角色为c。
[CentralAC-luser-manage-c-admin] authorization-attribute user-role c
# 为保证用户仅使用授权的用户角色c,删除用户c-admin的缺省用户角色network-operator。
[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-c-admin] quit
# 创建AP组groupb,将AP 1与AP 2加入该组中。
[CentralAC] wlan ap-group groupb
[CentralAC-wlan-ap-group-groupb] ap ap1 ap2
# 标记AP组groupb的地区为标识areab。
[CentralAC-wlan-ap-group-groupb] location areab
[CentralAC-wlan-ap-group-groupb] quit
# 创建AP组groupc,将AP 3与AP 4加入该组中。
[CentralAC] wlan ap-group groupc
[CentralAC-wlan-ap-group-groupc] ap ap3 ap4
# 标记AP组groupc的地区标识为areac。
[CentralAC-wlan-ap-group-groupc] location areac
[CentralAC-wlan-ap-group-groupc] quit
(3) 配置Local AC-B
# 在Local AC-B上指定VLAN 100与Central AC建立管理通道。
<LocalAC-B>system-view
[LocalAC-B] wlan local-ac capwap source-vlan 100
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
[LocalAC-B] interface vlan-interface 100
[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24
[LocalAC-B-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-B] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-B] wlan central-ac ip 10.0.0.1
(4) 配置Local AC-C
# 在Local AC-C上指定VLAN 100与Central AC建立管理通道。
<LocalAC-C>system-view
[LocalAC-C] wlan local-ac capwap source-vlan 100
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
[LocalAC-C] interface vlan-interface 100
[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24
[LocalAC-C-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-C] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-C] wlan central-ac ip 10.0.0.1
# 通过Telnet方式登录到Central AC上,在Web页面上登录超级管理员账号,查看并管理所有AP。
图1-5 超级管理员登录界面
# 在Web页面上登录地区C管理员账号,查看、管理地区C分部的AP。
图1-6 地区C管理员登录界面
# 在Web页面上登录地区B管理员账号,查看、管理地区B分部的AP。
图1-7 地区B管理员登录界面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!