- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-分層AC配置
本章節下載: 08-分層AC配置 (545.48 KB)
目 錄
1.3.2 開啟Central AC功能並配置管理的Local AC
1.3.4 配置Local AC連接Central AC的優先級
1.3.10 開啟認證位置在Central AC上時的漫遊功能
1.4 在Local AC上配置與Central AC通訊的網絡參數
分層AC提供了一種集中管理與分布式控製相結合的機製,在保證性能的基礎上提高了無線網絡的可維護性和可擴展性,滿足了AC和AP之間的高速鏈接需求。
分層AC組網由Central AC、Local AC和AP組成,Central AC負責整個無線網絡的管理,Local AC負責AP的接入並轉發數據流量。
分層AC架構使用以下兩種通道來實現AP的集中管理:
· Central AC與Local AC建立管理通道。
Central AC與Local AC之間通過建立管理通道,實現網絡配置及用戶信息的自動同步和管理。
· AP與Local AC建立CAPWAP隧道。
當AP與Local AC建立CAPWAP隧道連接後,Local AC會將相關配置下發給AP,實現配置自動同步。
圖1-1 分層AC架構示意圖
如圖1-2所示,AP加入分層AC網絡的過程如下:
(1) Central AC與各Local AC間建立管理通道;
(2) AP向Central AC發送Discovery request報文;
(3) Central AC收到Discovery request報文後,根據當前各Local AC的負載情況,選擇當前負載最輕的Local AC,在向AP回複的Discovery response報文中攜帶指定Local AC的IP地址;
(4) AP收到Discovery response報文,根據報文中攜帶的Local AC的IP地址,向Local AC重新發送Discovery request報文,與Local AC建立隧道連接。AP與Local AC建立隧道的過程中,Local AC會向Central AC查詢該AP是否為合法AP(該AP為手工AP或Central AC上開啟了自動AP功能),若該AP為合法AP,Central AC會將AP配置下發到Local AC,若AP不是合法AP,則AP連接失敗。有關手工AP及自動AP的詳細介紹,請參見“AP管理配置指導”中的“AP管理”;
(5) AP與Local AC之間的CAPWAP隧道建立成功後,Local AC會通知Central AC該AP上線成功,並通過管理通道將AP及客戶端的狀態上報至Central AC。
(6) Central AC根據Local AC上報的信息來管理AP及客戶端。
圖1-2 AP與Local AC建立CAPWAP隧道過程
在分層AC架構中,數據轉發方式與傳統AC+Fit AP架構相同,既可以在Local AC上進行數據轉發,也可以在AP進行數據轉發。
有關數據轉發位置的詳細介紹,請參見“WLAN接入配置指導”中的“WLAN接入”。
分層AC架構下的漫遊方式取決於用戶的接入認證位置。
· 當WLAN用戶接入認證位置為Local AC時,漫遊方式與傳統AC+Fit AP架構相同,既可以在Local AC內進行漫遊,也可以在Local AC間進行漫遊;
· 當WLAN用戶接入認證位置為Central AC,客戶端初始上線時,Central AC和客戶端關聯的Local AC上會同時創建客戶端漫遊表項,Local AC可以根據該漫遊表項信息實現客戶端Local AC內或者Local AC間漫遊。
有關WLAN用戶接入認證位置的詳細介紹,請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。有關漫遊的詳細介紹,請參見“WLAN漫遊配置指導”中的“WLAN漫遊”。
在分層AC架構下,可以為Central AC和Local AC的管理員提供不同的管理權限,通過配置地區標識實現對不同地域和級別管理員的權限劃分,用戶可以在設備的如下配置項上標記不同的地區標識:
· 無線服務模板:該標識定義了管理員可管理的無線服務模板。
· AP組:該標識定義了管理員可管理的AP組。
· RRM保持調整組:該標識定義了管理員可管理的RRM保持調整組。
例如,地區A的管理員隻能管理地區A的無線服務模板;地區B的管理員隻能管理地區B的無線服務模板;超級管理員可管理地區A和地區B的無線服務模板。
設備上存在一個名稱為default-location的默認地區標識,標記該標識的配置項可被所有管理員管理。管理員新建的配置項會標記默認地區標識,且該標識不能被刪除。
在Web頁麵上,係統將根據管理員身份過濾配置項,管理員隻能查看並管理與用戶角色的地區標識相同的配置項和標記了default-location的配置項。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
支持角色 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
Local AC |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
Local AC |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
Local AC |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
Local AC |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
Local AC/Central AC |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
Local AC/Central AC |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
Local AC/Central AC |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
Central AC |
|
產品係列 |
產品型號 |
產品代碼 |
支持角色 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
Local AC |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
Local AC/Central AC |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
Central AC |
Central AC配置任務如下:
(1) 開啟Central AC功能並配置管理的Local AC
(2) 開啟二次發現AC功能
(3) (可選)配置Central AC的高級功能
當AC角色為Common時,配置本功能,AC的角色將從Common切換為Central,同時在Central AC上創建待管理的Local AC並進入Local AC視圖。當AC角色為Central時,配置本功能,會直接在AC上創建待管理的Local AC並進入Local AC視圖。不在指定範圍內的Local AC將不受AC的集中管理。
(1) 進入係統視圖。
system-view
(2) 創建Local AC,並進入Local AC視圖。
wlan local-ac name local-ac-name [ model model-name ]
(3) 配置Local AC的序列號。
serial-id serial-id
缺省情況下,未配置Local AC的序列號。
Central AC上需要開啟二次發現AC功能,才能自動將當前負載最輕的Local AC的IP地址下發給AP,或為AP手動指定Local AC的IP地址。有關二次發現AC功能的詳細介紹請參見“AP管理配置指導”中的“AP管理”。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖/AP組視圖/全局配置視圖。
¡ 進入AP視圖。
wlan ap ap-name [ model model-name ]
¡ 進入AP組視圖。
wlan ap-group group-name
¡ 進入全局配置視圖。
wlan global-configuration
(3) 開啟二次發現AC功能。
control-address enable
缺省情況下:
¡ AP視圖:AP組有配置的情況下,繼承AP組配置;AP組無配置的情況下,繼承全局配置。
¡ AP組視圖:繼承全局配置。
¡ 全局配置視圖:二次發現AC功能處於關閉狀態。
(4) (可選)手動指定Local AC的IP地址。
control-address { ip ipv4-address | ipv6 ipv6-address }
缺省情況下:
¡ AP視圖: AP組有配置的情況下,繼承AP組配置;AP組無配置的情況下,繼承全局配置。
¡ AP組視圖:繼承全局配置。
¡ 全局配置視圖:未指定Local AC的IP地址,即Central AC將當前負載最輕的Local AC的IP地址下發給AP。
在Central AC上配置Local AC連接Central AC的優先級,該優先級會攜帶在Discovery response報文中下發給AP,Local AC會優先選擇優先級高的Central AC建立CAPWAP隧道連接。
(1) 進入係統視圖。
system-view
(2) 進入Local AC視圖。
wlan local-ac name local-ac-name
(3) 配置Local AC連接Central AC的優先級。
priority priority
缺省情況下,Local AC連接的優先級為4。
當Local AC與主Central AC鏈路故障時,Local AC會與配置的備份Central AC建立CAPWAP隧道連接。
(1) 進入係統視圖。
system-view
(2) 進入Local AC視圖。
wlan local-ac name local-ac-name
(3) 配置備份Central AC的IP地址。
backup-ac { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置備份Central AC的IP地址。
缺省情況下,在雙鏈路備份組網環境中,當Local AC連接的主Central AC故障時,備份Central AC才會將CAPWAP備份隧道轉換為主隧道。當備份Central AC開啟了CAPWAP主隧道搶占功能後,如果備份Central AC配置的Local AC連接Central AC的優先級高於主Central AC上配置的優先級,則備份Central AC將CAPWAP備份隧道切換為主隧道。
(1) 進入係統視圖。
system-view
(2) 進入Local AC視圖。
wlan local-ac name local-ac-name
(3) 配置CAPWAP主隧道搶占功能。
wlan tunnel-preempt { disable | enable }
缺省情況下,CAPWAP主隧道搶占功能處於關閉狀態。
在Local AC與Central AC建立管理通道的過程中:
· 如果Local AC版本升級功能處於開啟狀態,且Local AC的軟件版本與APDB中保存的軟件版本不一致,則Local AC必須從Central AC上下載對應的軟件版,並進行版本升級後才能與Central AC建立管理通道;
· 如果Local AC版本升級功能處於關閉狀態,則Central AC不比較Local AC當前的軟件版本和APDB中保存的軟件版本是否一致,直接與Local AC建立管理通道。
(1) 進入係統視圖。
system-view
(2) 進入Local AC視圖。
wlan local-ac name local-ac-name
(3) 配置Local AC版本升級功能。
firmware-upgrade { disable | enable }
缺省情況下,Local AC版本升級功能處於開啟狀態。
在Local AC和Central AC之間使用保活機製來檢查通道是否正常工作。Local AC以配置的時間間隔周期性地發送回聲請求Echo request報文給Central AC。如果Central AC在120秒的時間內沒有收到Local AC發送的回聲請求報文,則Central AC會主動斷開管理通道。若Local AC在發送回聲請求報文後的3秒時間內沒有收到Central AC回複的回聲應答報文,則Local AC將重發該回聲請求報文,若在重傳次數3次內,沒有收到Central AC的回聲響應報文,則Local AC會主動斷開管理通道。保活時間為Echo request報文的發送時間間隔乘以最大發送次數3次。
關閉保活機製僅適用於特殊測試場合。在非測試場合中,為了保證控製隧道的正常運行,請勿將interval參數配置為0。
(1) 進入係統視圖。
system-view
(2) 進入Local AC視圖。
wlan local-ac name local-ac-name
(3) 配置Local AC發送回聲請求的時間間隔。
echo-interval interval
缺省情況下,Local AC發送回聲請求的時間間隔為10秒。
Central AC發送給Local AC的請求報文可能由於各種原因導致未能傳輸到Local AC,為了使請求報文盡可能的發送到Local AC,提高報文的可靠傳輸能力,可以配置對請求報文重傳。
(1) 進入係統視圖。
system-view
(2) 進入Local AC視圖。
wlan local-ac name local-ac-name
(3) 配置請求報文重傳次數。
retransmit-count value
缺省情況下,請求報文重傳次數為3次。
(4) 配置請求報文重傳時間間隔。
retransmit-interval interval
缺省情況下,請求報文重傳的時間間隔為5秒。
當WLAN用戶接入認證位置在Central AC上、客戶端初始上線時,僅Central AC上會創建客戶端漫遊表項,客戶端關聯的Local AC上沒有創建對應的漫遊表項,因此無法實現客戶端漫遊。
開啟本功能後,當客戶端初始上線時,Central AC和客戶端關聯的Local AC上會同時創建客戶端漫遊表項,Local AC可以根據該漫遊表項信息實現客戶端Local AC內或者Local AC間漫遊。
當客戶端采用RSN+802.1X認證方式上線時,由於客戶端信息(例如802.1X認證用戶名、MAC地址等)保存在Central AC上,Local AC無法從Central AC獲取客戶端信息,所以開啟本功能後無法支持快速漫遊。有關快速漫遊的詳細介紹,請參見“WLAN漫遊配置指導”中的“WLAN漫遊”。
(1) 進入係統視圖。
system-view
(2) 創建無線服務模板並進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟認證位置在Central AC上時的漫遊功能。
roam central-ac-auth enable
缺省情況下,認證位置在Central AC上時,Local AC內或Local AC間的漫遊功能處於開啟狀態。
當CAPWAP隧道建立成功後,用戶可以查看、刪除Local AC上的文件,也可以將Central AC上存儲的文件下發給Local AC。
隻有在Local AC和Central AC建立了CAPWAP隧道並且當前Central AC為主Central AC時,才能執行以上操作。
(1) 顯示Local AC上的文件及文件夾信息。
display wlan local-ac name ap-name files
(2) 進入係統視圖。
system-view
(3) 進入Local AC視圖。
wlan local-ac name local-ac-name
(4) 管理Local AC上的文件。
¡ 刪除Local AC上的文件。
delete file filename
¡ 下載指定文件到Local AC。
download file file-name
在Local AC上開啟Local AC功能,並指定Central AC的IP地址後,該Local AC將與Central AC建立管理通道。
最多可配置3個Central AC的IPv4地址、3個Central AC的IPv6地址。
(1) 進入係統視圖。
system-view
(2) 開啟Local AC功能。
wlan local-ac enable
缺省情況下,Local AC功能處於關閉狀態。
(3) 指定Central AC的IP地址。
wlan central-ac { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,未指定Central AC的IP地址。
(4) 指定與Central AC建立管理通道的VLAN。
wlan local-ac capwap source-vlan vlan-id
缺省情況下,Local AC使用VLAN 1與Central AC建立管理通道。
針對不同地域和級別的管理員完成對配置項的權限管理。
設備上存在一個名稱為default-location的默認地區標識,標記該標識的AP組/無線服務模板可被所有管理員管理。管理員新建的所有AP組/無線服務模板都會標記默認地區標識,且該標識不能被刪除。
設備上最多可以創建512個地區標識。
(1) 進入係統視圖。
system-view
(2) 創建地區標識。
wlan location location-name
缺省情況下,係統隻存在默認地區標識。
為保證用戶僅使用新授權的用戶角色,需要刪除用戶具有的缺省用戶角色。
為用戶角色創建基於特性或特性組的規則時,不應賦予區域用戶對無線業務全局配置特性“wlanglobalcfg”的可寫權限。
配置用戶角色,指定用戶允許操作的地區標識,而後為用戶授權用戶角色。關於用戶角色的相關配置請參見“基礎配置指導”中的“RBAC”和“用戶接入與認證配置指導”中的“AAA”。
為無線服務模板/AP組/RRM保持調整組標記指定地區標識後,該無線服務模板/AP組/RRM保持調整組將在邏輯上被劃分到地區標識所標記的地域。
在Web頁麵上,係統將根據管理員的用戶角色過濾無線服務模板/AP組/RRM保持調整組,管理員隻能查看並管理與用戶角色的地區標識相同的無線服務模板/AP組/RRM保持調整組和標記了default-location的無線服務模板/AP組/RRM保持調整組。
(1) 進入係統視圖。
system-view
(2) 創建無線服務模板/AP組/RRM保持調整組,並進入無線服務模板/AP組/RRM保持調整組視圖。
¡ 創建無線服務模板並進入無線服務模板視圖。
wlan service-template service-template-name
¡ 創建AP組並進入AP組視圖。
wlan ap-group group-name
缺省情況下,存在默認組,名稱為default-group。
¡ 創建RRM保持調整組並進入RRM保持調整組視圖。
wlan rrm-calibration-group group-id
(3) 標記無線服務模板/AP組/RRM保持調整組的地區標識。
location location-name
缺省情況下:
¡ 無線服務模板視圖:無線服務模板被標記默認地區標識。
¡ AP組視圖:AP組被標記默認地區標識。
¡ RRM保持調整組視圖:RRM保持調整組標記默認地區標識。
在分層組網中,當Local AC發生故障無法提供服務時,其上上線的AP將會自動上線到Central AC,並由Central AC繼續提供服務。但是當Local AC故障恢複後,AP仍然在Central AC上,這樣給Central AC帶來了極大的負載問題,影響Central AC處理事務。如果手動將AP切換回Local AC上,處理工作龐大且容易影響現網環境的運行。
在Central AC上開啟本功能後,在檢測到Local AC故障恢複可以繼續提供服務時,遷移至Central AC上的AP將會在短時間內自動回切到原來上線的Local AC,降低了Central AC的負載問題,並且不會對現網環境的運行造成影響。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖。
wlan ap-group group-name
(3) 開啟自動回切功能。
switchback enable
缺省情況下:
¡ AP視圖:繼承AP組配置。
¡ AP組視圖:自動回切功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以查看顯示信息驗證配置的效果。
表1-1 分層AC顯示和維護
|
操作 |
命令 |
|
顯示AC的角色信息 |
display wlan ac-role |
|
顯示客戶端的信息 |
(獨立運行模式) display wlan client distributed-sys [ verbose ] (IRF模式) display wlan client distributed-sys [ slot slot-number ] [ verbose ] |
|
在Local AC上顯示Local AC信息 |
display wlan local-ac |
|
在Central AC上顯示Local AC信息 |
display wlan local-ac { all | name local-ac-name } [ address | verbose ] |
|
在Central AC上查看Local AC的連接記錄 |
display wlan local-ac { all | name local-ac-name } connection-record |
|
在Central AC上顯示Local AC上的文件及文件夾信息 |
display wlan local-ac name local-ac-name files |
|
在Central AC上顯示Local AC型號的信息 |
display wlan local-ac model { all | name model-name } |
|
在Central AC上顯示已上線Local AC的在線時長 |
display wlan local-ac { all | name local-ac-name } online-time |
|
重啟Local AC |
reset wlan local-ac { all | name ac-name } |
如圖1-3所示,總部部署Central AC,位於分支的Local AC則負責管理和接入本地AP和無線客戶端。用戶的認證授權則由總部Central AC負責,數據流量由Local AC轉發。
圖1-3 分層AC通用組網典型配置組網圖
(1) 配置Local AC作為DHCP server為其下接入的AP分配IP地址,並通過DHCP報文向這些AP通告Central AC的地址,配置步驟略
(2) 配置Central AC
# 創建名稱為localac1的Local AC,並配置Local AC的序列號。
<CentralAC> system-view
[CentralAC] wlan local-ac name localac1 model WX3540H
[CentralAC-wlan-local-ac-localac1] serial-id 210235A1BSC123000050
[CentralAC-wlan-local-ac-localac1] quit
# 創建名稱為localac2的Local AC,並配置Local AC的序列號。
[CentralAC] wlan local-ac name localac2 model WX3540H
[CentralAC-wlan-local-ac-localac2] serial-id 210235A1BSC124000060
[CentralAC-wlan-local-ac-localac2] quit
# 創建ap1,並配置ap1的序列號。
[CentralAC] wlan ap ap1 model WA4320i-ACN
[CentralAC-wlan-ap-ap1] serial-id 219801A0CNC125002329
# 開啟ap1的二次發現AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# 創建Vlan-interface100接口並配置IP地址。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 1.1.1.1 24
[CentralAC-Vlan-interface100] quit
(3) 配置Local AC 1
# 在Local AC 1上指定VLAN 100與Central AC建立管理通道。
<LocalAC1>system-view
[LocalAC1] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址。
[LocalAC1] interface vlan-interface 100
[LocalAC1-Vlan-interface100] ip address 1.1.1.2 24
[LocalAC1-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC1] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC1] wlan central-ac ip 1.1.1.1
(4) 配置Local AC 2
# 在Local AC 2上指定VLAN 100與Central AC建立管理通道。
<LocalAC2>system-view
[LocalAC2] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址。
[LocalAC2] interface vlan-interface 100
[LocalAC2-Vlan-interface100] ip address 1.1.1.3 24
[LocalAC2-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC2] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC2] wlan central-ac ip 1.1.1.1
# 使用display wlan local-ac all命令在Central AC上查看所有Local AC的信息,可以看到Localac1已經與Central AC建立通道。
[CentralAC] display wlan local-ac all
Total number of local ACs: 2
Total number of connected local ACs: 2
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name ACID State Model Serial ID
localac1 1 R WX3540H 210235A1BSC123000050
localac2 2 R WX3540H 210235A1BSC124000060
# 使用display wlan local-ac命令在Local AC 1上查看當前Local AC信息,可以看到Local AC 1已經與Central AC成功建立通道。
[LocalAC1] display wlan local-ac
Local AC Information:
Model : WX3540H
Serial ID : 210235A1BSC123000050
MAC address : 5866-BA20-6E60
Local AC address : 1.1.1.2
H/W version : Ver.A
S/W version : c5419
Static central AC IPv4 address: 1.1.1.1
Static central AC IPv6 address: Not configured
Central AC Information:
Central AC address : 1.1.1.1
State : Run
Sent control packets : 6088
Received control packets : 6092
# 使用display wlan ap all命令在Central AC上查看AP信息,可以看到AP已經成功上線。
[CentralAC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected configured APs: 1
Total number of connected auto APs: 0
Total number of connected anchor APs: 0
Maximum supported APs: 3072
Remaining APs: 3071
Fit APs activated by license: 128
Remaining fit APs: 127
WTUs activated by license: 0
Remaining WTUs: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA4320i-ACN 219801A0CNC125002329
某公司總部位於地區A,該公司無線網絡采用分層AC的架構,Central AC位於總部,Local AC位於地區B、地區C分部。為了便於管理,現將地區B分部的所有AP交由地區B的管理員b-admin管理;地區C分部的所有AP交由地區C的管理員c-admin管理;公司所有AP,總部的超級管理員admin可全權管理。
圖1-4 AP組管理權限配置組網圖
(1) 配置Local AC作為DHCP server為其下接入的AP分配IP地址,並通過DHCP報文向這些AP通告Central AC的地址,配置步驟略
(2) 配置Central AC
# 配置開啟Central AC設備的Telnet服務,管理員登錄設備時采用AAA認證。
<CentralAC> system-view
[CentralAC] telnet server enable
[CentralAC] line vty 0 5
[CentralAC-line-vty0-5] authentication-mode scheme
[CentralAC-line-vty0-5] quit
# 創建名稱為localac-b的Local AC,指定型號為WX3520H,並配置該Local AC的序列號。
[CentralAC] wlan local-ac name localac-b model WX3520H
[CentralAC-wlan-local-ac-localac-b] serial-id 210235A1BSC123000050
[CentralAC-wlan-local-ac-localac-b] quit
# 創建名稱為localac-c的Local AC,指定型號為WX3520H,並配置該Local AC的序列號。
[CentralAC] wlan local-ac name localac-c model WX3520H
[CentralAC-wlan-local-ac-localac-c] serial-id 210235A1BSC123000051
[CentralAC-wlan-local-ac-localac-c] quit
# 創建型號為WA4320i-ACN 的ap1,並配置ap1的序列號。
[CentralAC] wlan ap ap1 model WA4320i-ACN
[CentralAC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 開啟ap1的二次發現AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# AP 2、AP 3、AP 4配置方法同上,此處略。
# 創建Vlan-interface100接口並配置IP地址,該地址用於在Local AC與Central AC間建立管理通道。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 10.0.0.1 24
[CentralAC-Vlan-interface100] quit
# 創建地區標識areab和areac。
[CentralAC] wlan location areab
[CentralAC] wlan location areac
# 創建用戶角色b。
[CentralAC] role name b
# 配置基於XML元素、Web菜單的規則。
[CentralAC-role-b] rule 1 permit read write execute xml-element
[CentralAC-role-b] rule 2 permit read write execute web-menu
# 進入地區標識策略視圖並配置允許用戶操作的地區標識areab。
[CentralAC-role-b] location policy deny
[CentralAC-role-b-locationpolicy] permit location areab
[CentralAC-role-b-locationpolicy] quit
[CentralAC-role-b] quit
# 創建用戶角色c。
[CentralAC] role name c
# 配置基於XML元素、Web菜單的規則。
[CentralAC-role-c] rule 1 permit read write execute xml-element
[CentralAC-role-c] rule 2 permit read write execute web-menu
# 進入地區標識策略視圖並配置允許用戶操作的地區標識areac。
[CentralAC-role-c] location policy deny
[CentralAC-role-c-locationpolicy] permit location areac
[CentralAC-role-c-locationpolicy] quit
[CentralAC-role-c] quit
# 配置本地用戶admin。
[CentralAC] local-user admin
# 配置用戶admin可以使用HTTP與HTTPS服務。
[CentralAC-luser-manage-admin] service-type http https
[CentralAC-luser-manage-admin] quit
# 創建並配置本地用戶b-admin。
[CentralAC] local-user b-admin
# 配置用戶b-admin可以使用HTTP與HTTPS服務。
[CentralAC-luser-manage-b-admin] service-type http https
# 設置用戶b-admin的密碼。
[CentralAC-luser-manage-b-admin] password simple badmin
# 指定用戶b-admin的授權角色為b。
[CentralAC-luser-manage-b-admin] authorization-attribute user-role b
# 為保證用戶僅使用授權的用戶角色b,刪除用戶b-admin的缺省用戶角色network-operator。
[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-b-admin] quit
# 創建並配置本地用戶c-admin。
[CentralAC] local-user c-admin
# 配置用戶c-admin可以使用HTTP與HTTPS服務。
[CentralAC-luser-manage-c-admin] service-type http https
# 設置用戶c-admin的密碼。
[CentralAC-luser-manage-c-admin] password simple cadmin
# 指定用戶c-admin的授權角色為c。
[CentralAC-luser-manage-c-admin] authorization-attribute user-role c
# 為保證用戶僅使用授權的用戶角色c,刪除用戶c-admin的缺省用戶角色network-operator。
[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-c-admin] quit
# 創建AP組groupb,將AP 1與AP 2加入該組中。
[CentralAC] wlan ap-group groupb
[CentralAC-wlan-ap-group-groupb] ap ap1 ap2
# 標記AP組groupb的地區為標識areab。
[CentralAC-wlan-ap-group-groupb] location areab
[CentralAC-wlan-ap-group-groupb] quit
# 創建AP組groupc,將AP 3與AP 4加入該組中。
[CentralAC] wlan ap-group groupc
[CentralAC-wlan-ap-group-groupc] ap ap3 ap4
# 標記AP組groupc的地區標識為areac。
[CentralAC-wlan-ap-group-groupc] location areac
[CentralAC-wlan-ap-group-groupc] quit
(3) 配置Local AC-B
# 在Local AC-B上指定VLAN 100與Central AC建立管理通道。
<LocalAC-B>system-view
[LocalAC-B] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址,該地址用於在Local AC與Central AC間建立管理通道。
[LocalAC-B] interface vlan-interface 100
[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24
[LocalAC-B-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC-B] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-B] wlan central-ac ip 10.0.0.1
(4) 配置Local AC-C
# 在Local AC-C上指定VLAN 100與Central AC建立管理通道。
<LocalAC-C>system-view
[LocalAC-C] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址,該地址用於在Local AC與Central AC間建立管理通道。
[LocalAC-C] interface vlan-interface 100
[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24
[LocalAC-C-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC-C] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-C] wlan central-ac ip 10.0.0.1
# 通過Telnet方式登錄到Central AC上,在Web頁麵上登錄超級管理員賬號,查看並管理所有AP。
圖1-5 超級管理員登錄界麵
# 在Web頁麵上登錄地區C管理員賬號,查看、管理地區C分部的AP。
圖1-6 地區C管理員登錄界麵
# 在Web頁麵上登錄地區B管理員賬號,查看、管理地區B分部的AP。
圖1-7 地區B管理員登錄界麵
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
