- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-H3C无线控制器分层AC IPv6典型配置举例
本章节下载: 04-H3C无线控制器分层AC IPv6典型配置举例 (539.99 KB)
H3C无线控制器分层AC IPv6典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍分层AC的IPv6典型配置举例。
本文档适用于使用Comware软件版本的无线产品,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPv6、分层AC、Portal、WLAN接入、AP管理特性。
分层AC组网中Central AC不支持IRF功能。
如图1所示,Central AC位于总部,分支采用融合AC作为Local AC,Local AC负责管理和接入本地AP和无线客户端。用户的认证授权则由总部Central AC负责,数据流量由AP转发。
具体应用需求如下:
· AP通过DHCPv6功能获取到Central AC地址,之后通过二次发现方式与Local AC建立CAPWAP连接。
· 使用iMC作为Portal服务器和AAA服务器对用户进行Portal认证。
· Local AC作为DHCP Server为AP和客户端分配IP地址。
图1 分层AC配置举例组网图
· 为了将AP的GigabitEthernet1/0/1接口加入本地转发的VLAN,需要使用文本文档编辑AP的配置文件,并将配置文件上传到Central AC存储介质上。
· 在总部分支组网中,如果不配置二次发现的Local AC的IPv6地址,则Central AC将当前负载最轻的Local AC的IPv6地址下发给AP,如果负载最轻的Local AC不是本分支的Local AC,则会导致本分支AP无法上线,所以为了保证本分支的AP能够正确从本分支的Local AC上线,需要配置二次发现的Local AC的IPv6地址为本分支的Local AC的IPv6地址。
· 配置AP的序列号时请确保该序列号与AP唯一对应。
· 分层AC做Portal认证且为本地转发时,请保证Local AC上不做任何Portal相关配置。
· Local AC上不能开启自动AP功能,对于需要在Central AC上统一管理的AP,也不要在Local AC上配置此AP模板。
· 目前交换机S5560版本号和无线Central AC设备版本号不一致,实际环境中请关闭Local AC自动升级功能。
· 设备重定向给用户的Portal Web服务器的URL默认是不携带参数,需要根据实际应用手动添加需要携带的参数信息
配置本举例之前,请保证各设备之间路由可达。
# 使用文本文档编辑AP的配置文件,将配置文件命名为map.txt,并将配置文件上传到Central AC存储介质上。配置文件内容和格式如下:
system-view
vlan 20
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 20
(1) 配置接口
# 创建VLAN11及其接口,用来与Local AC建立管理通道。
<Central AC> system-view
[Central AC] vlan 11
[Central AC-vlan11] quit
[Central AC] interface vlan-interface 11
[Central AC-Vlan-interface11] ipv6 address 1::1:0:0:2/96
[Central AC-Vlan-interface11] quit
# 将Central AC与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 11通过。
[Central AC] interface gigabitethernet 1/0/1
[Central AC-GigabitEthernet1/0/1] port link-type trunk
[Central AC-GigabitEthernet1/0/1] port trunk permit vlan 11
[Central AC-GigabitEthernet1/0/1] quit
(2) 配置Central AC管理的Local AC
# 创建名称为WX3540H的Local AC,并进入Local AC视图。
[Central AC] wlan local-ac name wx3540h model WX3540H
# 配置Local AC的序列号。
[Central AC-wlan-local-ac-wx3540h] serial-id 210235A1JQB161000013
[Central AC-wlan-local-ac-wx3540h] quit
(3) 配置无线客户端的Portal认证功能
· 配置RADIUS方案
# 创建RADIUS方案imc并进入其视图。
[Central AC] radius scheme imc
# 设置主认证RADIUS服务器的IPv6地址1::3:0:0:2。
[Central AC-radius-imc] primary ipv6 authentication 1::3:0:0:2
# 设置主计费RADIUS服务器的IPv6地址1::3:0:0:2。
[Central AC-radius-imc] primary ipv6 accounting 1::3:0:0:2
# 设置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。
[Central AC-radius-imc] key authentication simple 12345678
# 设置系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[Central AC-radius-imc] key accounting simple 12345678
# 设置发送给RADIUS服务器的用户名不携带域名。
[Central AC-radius-imc] user-name-format without-domain
# 设置设备发送RADIUS报文时使用的源IPv6地址1::1:0:0:2。
[Central AC-radius-imc] nas-ip ipv6 1::1:0:0:2
[Central AC-radius-imc] quit
· 配置认证域
# 创建imc域并进入其视图。
[Central AC] domain imc
# 为Portal用户配置认证方案为RADIUS方案,方案名为imc。
[Central AC-isp-imc] authentication portal radius-scheme imc
# 为Portal用户配置授权方案为RADIUS方案,方案名为imc。
[Central AC-isp-imc] authorization portal radius-scheme imc
# 为Portal用户配置计费方案为RADIUS方案,方案名为imc。
[Central AC-isp-imc] accounting portal radius-scheme imc
[Central AC-isp-imc] quit
· 配置Portal认证服务器
# 配置Portal认证服务器imc,IPv6地址为1::3:0:0:2,密钥为明文12345678。
[Central AC] portal server imc
[Central AC-portal-server-imc] ipv6 1::3:0:0:2 key simple 12345678
· 配置Portal web服务器
# 配置Portal Web服务器imc。
[Central AC-portal-server-imc] portal web-server imc
# 配置Portal Web服务器的URL。
[Central AC-portal-server-imc] url http://[1::3:0:0:2]:8080/portal
# 配置URL中携带的参数信息。
[Central AC-portal-server-imc] url-parameter apmac ap-mac
[Central AC-portal-server-imc] url-parameter ssid ssid
[Central AC-portal-server-imc] url-parameter userip source-address
[Central AC-portal-server-imc] url-parameter usermac source-mac
[Central AC-portal-server-imc] quit
(4) 配置无线服务。
# 创建无线服务模板portal。
[Central AC] wlan service-template portal
# 配置SSID。
[Central AC-wlan-st-portal] ssid portal
# 配置用户上线VLAN。
[Central AC-wlan-st-portal] vlan 20
# 配置客户端用户接入认证位置为Central AC。
[Central AC-wlan-st-portal]client-security authentication-location central-ac
# 配置客户端数据报文转发位置为AP。
[Central AC-wlan-st-portal] client forwarding-location ap
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[Central AC-wlan-st-portal] akm mode psk
[Central AC-wlan-st-portal] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[Central AC-wlan-st-portal] cipher-suite ccmp
[Central AC-wlan-st-portal] security-ie rsn
# 在无线服务模板上开启直接方式的Portal认证。
[Central AC-wlan-st-portal] portal ipv6 enable method direct
# 在无线服务模板上引用Portal认证域imc。
[Central AC-wlan-st-portal] portal ipv6 domain imc
# 在无线服务模板上配置发送Portal报文的BAS-IPv6属性值为1::1:0:0:2。
[Central AC-wlan-st-portal] portal bas-ipv6 1::1:0:0:2
[Central AC-wlan-st-portal] client ipv6-snooping nd-learning enable
[Central AC-wlan-st-portal] client ipv6-snooping dhcpv6-learning enable
# 在无线服务模板上引用Portal Web服务器imc。
[Central AC-wlan-st-portal] portal ipv6 apply web-server imc
# 开启无线服务模板。
[Central AC-wlan-st-portal] service-template enable
[Central AC-wlan-st-portal] quit
# 创建手工AP,名称为ap1,型号名称为WA6320。
[Central AC] wlan ap ap1 model WA6320
# 设置AP的序列号为219801A28N819CE0002T。
[Central AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[Central AC-wlan-ap-ap1] quit
# 创建AP组group1,设置AP名称入组规则
[Central AC] wlan ap-group group1
[Central AC-wlan-ap-group-group1] ap ap1
在大规模组网时,推荐在AP组内进行配置。
# 开启二次发现AC功能。
[Central AC-wlan-ap-group-group1] control-address enable
# 手动指定Local AC的IPv6地址。
[Central AC-wlan-ap-group-group1] control-address ipv6 1::1:0:0:104
# 进入AP组的Radio 1视图,并将无线服务模板portal绑定到Radio 1上。
[Central AC-wlan-ap-group-group1] ap-model WA6320
[Central AC-wlan-ap-group-group1-ap-model-WA6320] radio 1
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template portal
# 开启Radio 1的射频功能。
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] quit
# 进入AP组的Radio 2视图,并将无线服务模板portal绑定到Radio 2上。
[Central AC-wlan-ap-group-group1-ap-model-WA6320] radio 2
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template portal
# 开启Radio 2的射频功能。
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
# 指定AP的配置文件。
[Central AC-wlan-ap-group-group1-ap-model-WA6320] map-configuration cfa0:/map.txt
(1) 开启Local AC功能
# 开启Local AC功能。
<Local AC> system-view
[Local AC] wlan local-ac enable
# 指定Central AC的IPv6地址。
[Local AC] wlan central-ac ipv6 1::1:0:0:2
# 指定与Central AC建立管理通道的VLAN。
[Local AC] wlan local-ac capwap source-vlan 11
(2) 配置地址池
# 开启DHCP服务。
[Local AC] dhcp enable
# 配置IPv6地址池,为AP分配IPv6地址。
[Local AC] ipv6 dhcp pool ap
[Local AC-dhcp-pool-ap] network 12:1:1::/64
# 通过option52选项指定AC地址为Central AC地址。
[Local AC-dhcp-pool-ap] option 52 hex 00010000000000000001000000000001
[Local AC-dhcp-pool-ap] quit
# 配置地址池,为客户端分配IPv6地址。
[Local AC] ipv6 dhcp pool client
[Local AC-dhcp-pool-ap] network 2003::/64
[Local AC-dhcp-pool-ap] quit
(3) 配置接口
# 创建VLAN11及其接口,Local AC通过此接口上线到Central AC。
[Local AC] vlan 11
[Local AC-vlan11] quit
[Local AC] interface Vlan-interface11
[Local AC-Vlan-interface11] ipv6 address 1::1:0:0:104/96
[Local AC-Vlan-interface11] quit
# 创建VLAN12及其接口,用于AP上线,并绑定地址池。
[Local AC] vlan 12
[Local AC-vlan12] quit
[Local AC] interface Vlan-interface12
[Local AC-Vlan-interface12] ipv6 address 12:1:1::1/64
[Local AC-Vlan-interface12] undo ipv6 nd ra halt
[Local AC-Vlan-interface12] ipv6 nd autoconfig managed-address-flag
[Local AC-Vlan-interface12] ipv6 nd autoconfig other-flag
[Local AC-Vlan-interface12] ipv6 dhcp select server
[Local AC-Vlan-interface12] ipv6 dhcp server apply pool ap
[Local AC-Vlan-interface12] quit
# 创建VLAN20及其接口,用于无线客户端上线。
[Local AC] vlan 20
[Local AC-vlan20] quit
[Local AC] interface Vlan-interface20
[Local AC-Vlan-interface20] ipv6 address 2003::1/64
[Local AC-Vlan-interface20] undo ipv6 nd ra halt
[Local AC-Vlan-interface20] ipv6 nd autoconfig managed-address-flag
[Local AC-Vlan-interface20] ipv6 nd autoconfig other-flag
[Local AC-Vlan-interface20] ipv6 dhcp select server
[Local AC-Vlan-interface20] ipv6 dhcp server apply pool client
[Local AC-Vlan-interface20] quit
# 配置Local AC和AP 1相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 12和VLAN 20通过,当前Trunk口的PVID为12。
[Local AC] interface GigabitEthernet 1/0/1
[Local AC-GigabitEthernet1/0/1] port link-type trunk
[Local AC-GigabitEthernet1/0/1] port trunk permit vlan 12 20
[Local AC-GigabitEthernet1/0/1] port trunk pvid vlan 12
[Local AC-GigabitEthernet1/0/1] quit
# 配置Local AC和AP 2相连的接口GigabitEthernet1/0/2为Trunk类型,允许VLAN 12和VLAN 20通过,当前Trunk口的PVID为12。
[Local AC] interface GigabitEthernet 1/0/2
[Local AC-GigabitEthernet1/0/2] port link-type trunk
[Local AC-GigabitEthernet1/0/2] port trunk permit vlan 12 20
[Local AC-GigabitEthernet1/0/2] port trunk pvid vlan 12
[Local AC-GigabitEthernet1/0/2] quit
# 配置Local AC和总部相连的接口GigabitEthernet1/0/3为Access类型,允许VLAN 11通过。
[Local AC] interface GigabitEthernet 1/0/3
[Local AC-GigabitEthernet1/0/3] port link-type access
[Local AC-GigabitEthernet1/0/3] port access vlan 11
[Local AC-GigabitEthernet1/0/3] quit
# 配置静态路由。
[Local AC] ipv6 route-static 0:0::0:0 0 1::1:0:0:2
下面以iMC为例(使用iMC版本为:iMC PLAT 7.2(E0403p10)、iMC EIA 7.2(E0405)、iMC EIP 7.2(E0405)说明RADIUS server和Portal server的基本配置。
(1) 配置RADIUS server
# 增加接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
· 配置共享密钥为radius,该共享密钥与AC上配置RADIUS服务器时的密钥一致;
· 单击<手工增加>按钮,进入“手工增加接入设备”页面,填写起始IP地址为1::1:0:0:2/96,单击<确定>按钮完成操作;
· 其他配置采用页面默认配置即可;
· 单击<确定>按钮完成操作。
图2 增加接入设备
# 增加接入策略配置
单击导航树中的[接入策略管理/接入策略管理]菜单项,并点击<增加>按钮,进入“增加接入策略”页面。
· 填写接入策略名;
· 选择业务分组;
· 其它参数可采用缺省配置。
图3 增加接入策略配置
# 增加接入服务
单击导航树中的[接入策略管理/接入服务管理]菜单项,并点击<增加>按钮,进入“增加接入服务配置”页面。
· 填写服务名;
· 其它参数可采用缺省配置。
图4 增加接入服务配置
# 增加接入用户
单击导航树中的[接入用户管理/接入用户]菜单项,并点击<增加>按钮,进入增加接入用户页面。
· 选择可接入的用户;
· 设置密码。
图5 增加接入用户
(2) 配置Portal server
# 配置IPv6地址组。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 填写IP地址组名;
· 开启IPv6,选择“是”;
· 输入起始地址和终止地址,输入的地址范围中应包含用户主机的IPv6地址;
· 选择业务分组,本例中使用缺省的“未分组”;
图6 增加IP地址组配置页面
# 增加Portal设备。
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 填写设备名;
· 指定IP地址为与接入用户相连的设备接口IP;
· 选择是否支持逃生心跳功能和用户心跳功能,本例中选择否;
· 输入密钥,与AC上的配置保持一致;
· 选择版本为“Portal 3.0”,仅3.0版本支持IPv6;
· 选择组网方式为三层。
图7 增加设备信息配置页面
# Portal设备关联IP地址组。
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。点击<增加>按钮,进入增加端口组信息配置页面。
· 填写端口组名;
· 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
· 其它参数可采用缺省配置。
图8 设备信息列表
图9 增加端口组信息配置
# 在Central AC上可以查看到Local AC是R/M状态,说明Local AC已在Central AC上线。
[Central AC] display wlan local-ac all
Total number of local ACs: 1
Total number of connected local ACs: 1
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name ACID State Model Serial ID
wx3540h 2 R/M WX3540H 210235A1JQB161000013
# 在Central AC上可以查看到AP是R/M状态,说明Local AC已经通过二次发现与Central AC建立管理通道。
[Central AC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 1536
Remaining APs: 1535
Total AP licenses: 1024
Local AP licenses: 1024
Server AP licenses: 0
Remaining Local AP licenses: 1023
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 4 R/M WA6320 219801A28N819CE0002T
# 在Central AC上可以查看到AP已经连接到Local AC。
[Central AC] display wlan ap-distribution all
Central AC Slot 2 Total Number of APs: 0
Local AC wx3540h Total Number of APs: 1
AP name AP ID AP IP AC IP
ap1 4 12:1:1::4 12:1:1::1
# 在Central AC上可以查看到无线客户端已经上线。
[Central AC] display wlan client ipv6
MAC address AP name IPv6 address VLAN
e49a-dc71-a162 ap1 2003::3 20
# 在Central AC上可以查看到用户已经Portal认证成功。
[Central AC] display portal user all
Total portal users: 1
Username: qucf
AP name: ap1
Radio ID: 1
SSID: qucf-portal
Portal server: imc
State: Online
VPN instance: N/A
MAC IP VLAN Interface
e49a-dc71-a162 2003::3 20 WLAN-BSS2/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
· Central AC:
#
vlan 11
#
wlan service-template portal
ssid portal
vlan 20
client forwarding-location ap
akm mode psk
preshared-key pass-phrase cipher $c$3$p0PjuXJ5pGfJ6Z1XDkGRsPR8JoPhrP60GyRn
cipher-suite ccmp
security-ie rsn
client ipv6-snooping nd-learning enable
client ipv6-snooping dhcpv6-learning enable
portal enable method direct
portal domain imc
portal bas-ip 1::1:0:0:2
portal apply web-server imc
service-template enable
#
interface Vlan-interface11
ipv6 address 1::1:0:0:2/96
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 11
#
radius scheme imc
primary authentication ipv6 1::3:0:0:2
primary accounting ipv6 1::3:0:0:2
key authentication cipher $c$3$hpDUnHfwXg6gyIvCDstC9zAc8UJueLbLTt/i
key accounting cipher $c$3$UzY7a5vF6zEHEdxpnfv+NBQ2UAhUEbjM+8sZ
user-name-format without-domain
nas-ip ipv6 1::1:0:0:2
#
domain imc
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
portal web-server imc
url http://[1::3:0:0:2]:8080/portal
url-parameter apmac ap-mac
url-parameter ssid ssid
url-parameter userip source-address
url-parameter usermac source-mac
#
portal server imc
ipv6 1::3:0:0:2 key cipher $c$3$G0fWl7UQ9AqnAdOJEnlECL+tSwqQbmV2SuRe
#
wlan ap ap1 model WA6320
serial-id 219801A28N819CE0002T
#
wlan ap-group group1
ap ap1
ap-model WA6320
map-configuration cfa0:/map.txt
control-address enable
control-address ipv6 1::1:0:0:104
radio 1
radio enable
service-template portal
radio 2
radio enable
service-template portal
#
wlan local-ac name wx3540h model WX3540H
serial-id 210235A1JQB161000013
· Local AC:
#
dhcp enable
#
vlan 11 to 12
#
vlan 20
#
ipv6 dhcp pool ap
network 12:1:1::/64
option 52 hex 00010000000000000001000000000001
#
ipv6 dhcp pool client
network 2003::/64
#
interface Vlan-interface11
ipv6 address 1::1:0:0:104/96
#
interface Vlan-interface12
ipv6 dhcp select server
ipv6 dhcp server apply pool ap
ipv6 address 12:1:1::1/64
ipv6 nd autoconfig managed-address-flag
ipv6 nd autoconfig other-flag
undo ipv6 nd ra halt
#
interface Vlan-interface20
ipv6 dhcp select server
ipv6 dhcp server apply pool client
ipv6 address 2003::1/64
ipv6 nd autoconfig managed-address-flag
ipv6 nd autoconfig other-flag
undo ipv6 nd ra halt
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 12 20
port trunk pvid vlan 12
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan 12 20
port trunk pvid vlan 12
#
interface GigabitEthernet1/0/3
port link-type access
port access vlan 11
#
wlan local-ac enable
wlan local-ac capwap source-vlan 11
#
wlan central-ac ipv6 1::1:0:0:2
#
#
ipv6 route-static 0:0::0:0 0 1::1:0:0:2
· 《H3C无线控制器产品 配置指导》中的“WLAN高级功能配置指导”。
· 《H3C无线控制器产品 命令参考》中的“WLAN高级功能命令参考”。
· 《H3C无线控制器产品 配置指导》中的“用户接入与认证配置指导”。
· 《H3C无线控制器产品 命令参考》中的“用户接入与认证命令参考”。
· 《H3C 无线控制器产品 配置指导》中的“分层AC配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“分层AC接入命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
