• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

12-WLAN高级功能配置指导

目录

08-分层AC配置

本章节下载 08-分层AC配置  (539.13 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Operation_Manual/H3C_CG(R5426P02)-6W102/12/202006/1309777_30005_0.htm

08-分层AC配置


1 分层AC

1.1  分层AC简介

分层AC提供了一种集中管理与分布式控制相结合的机制,在保证性能的基础上提高了无线网络的可维护性和可扩展性,满足了AC和AP之间的高速链接需求。

1.1.1  分层AC架构

分层AC组网由Central AC、Local AC和AP组成,Central AC负责整个无线网络的管理,Local AC负责AP的接入并转发数据流量。

分层AC架构使用以下两种通道来实现AP的集中管理:

·     Central AC与Local AC建立管理通道。

Central AC与Local AC之间通过建立管理通道,实现网络配置及用户信息的自动同步和管理。

·     AP与Local AC建立CAPWAP隧道。

当AP与Local AC建立CAPWAP隧道连接后,Local AC会将相关配置下发给AP,实现配置自动同步。

图1-1 分层AC架构示意图

1.1.2  分层AC的AP管理

图1-2所示,AP加入分层AC网络的过程如下:

(1)     Central AC与各Local AC间建立管理通道;

(2)     AP向Central AC发送Discovery request报文;

(3)     Central AC收到Discovery request报文后,根据当前各Local AC的负载情况,选择当前负载最轻的Local AC,在向AP回复的Discovery response报文中携带指定Local AC的IP地址;

(4)     AP收到Discovery response报文,根据报文中携带的Local AC的IP地址,向Local AC重新发送Discovery request报文,与Local AC建立隧道连接。AP与Local AC建立隧道的过程中,Local AC会向Central AC查询该AP是否为合法AP(该AP为手工AP或Central AC上开启了自动AP功能),若该AP为合法AP,Central AC会将AP配置下发到Local AC,若AP不是合法AP,则AP连接失败。有关手工AP及自动AP的详细介绍,请参见“WLAN配置指导”中的“AP管理”;

(5)     AP与Local AC之间的CAPWAP隧道建立成功后,Local AC会通知Central AC该AP上线成功,并通过管理通道将AP及客户端的状态上报至Central AC。

(6)     Central AC根据Local AC上报的信息来管理AP及客户端。

图1-2 AP与Local AC建立CAPWAP隧道过程

1.1.3  数据转发

在分层AC架构中,数据转发方式与传统AC+Fit AP架构相同,既可以在Local AC上进行数据转发,也可以在AP进行数据转发。

有关数据转发位置的详细介绍,请参见“WLAN接入配置指导”中的“WLAN接入”。

1.1.4  漫游

分层AC架构下的漫游方式取决于用户的接入认证位置。

·     当WLAN用户接入认证位置为Local AC时,漫游方式与传统AC+Fit AP架构相同,既可以在Local AC内进行漫游,也可以在Local AC间进行漫游;

·     当WLAN用户接入认证位置为Central AC,客户端初始上线时,Central AC和客户端关联的Local AC上会同时创建客户端漫游表项,Local AC可以根据该漫游表项信息实现客户端Local AC内或者Local AC间漫游。

有关WLAN用户接入认证位置的详细介绍,请参见“WLAN配置指导”中的“WLAN用户接入认证”。有关漫游的详细介绍,请参见“WLAN配置指导”中的“WLAN漫游”。

1.1.5  管理权限

在分层AC架构下,可以为Central AC和Local AC的管理员提供不同的管理权限,通过配置地区标识实现对不同地域和级别管理员的权限划分,用户可以在设备的如下配置项上标记不同的地区标识:

·     无线服务模板:该标识定义了管理员可管理的无线服务模板。

·     AP组:该标识定义了管理员可管理的AP组。

·     RRM保持调整组:该标识定义了管理员可管理的RRM保持调整组。

例如,地区A的管理员只能管理地区A的无线服务模板;地区B的管理员只能管理地区B的无线服务模板;超级管理员可管理地区A和地区B的无线服务模板。

设备上存在一个名称为default-location的默认地区标识,标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识,且该标识不能被删除。

在Web页面上,系统将根据管理员身份过滤配置项,管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。

1.2  分层AC与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

产品代码

支持角色

WX1800H系列

WX1804H-PWR

EWP-WX1804H-PWR-CN

Local AC

WX2500H系列

WX2508H-PWR-LTE

WX2510H-PWR

WX2510H-F-PWR

WX2540H

WX2540H-F

WX2560H

EWP-WX2508H-PWR-LTE

EWP-WX2510H-PWR

EWP-WX2510H-F-PWR

EWP-WX2540H

EWP-WX2540H-F

EWP-WX2560H

Local AC

WX3000H系列

WX3010H

WX3010H-X-PWR

WX3010H-L-PWR

WX3024H

WX3024H-L-PWR

WX3024H-F

EWP-WX3010H

EWP-WX3010H-X-PWR

EWP-WX3010H-L-PWR

EWP-WX3024H

EWP-WX3024H-L-PWR

EWP-WX3024H-F

Local AC

WX3500H系列

WX3508H

WX3508H

WX3510H

WX3510H

WX3520H

WX3520H-F

WX3540H

WX3540H

EWP-WX3508H

EWP-WX3508H-F

EWP-WX3510H

EWP-WX3510H-F

EWP-WX3520H

EWP-WX3520H-F

EWP-WX3540H

EWP-WX3540H-F

Local AC/Central AC

WX5500E系列

WX5510E

WX5540E

EWP-WX5510E

EWP-WX5540E

Local AC/Central AC

WX5500H系列

WX5540H

WX5560H

WX5580H

EWP-WX5540H

EWP-WX5560H

EWP-WX5580H

Local AC/Central AC

AC插卡系列

LSUM1WCME0

EWPXM1WCME0

LSQM1WCMX20

LSUM1WCMX20RT

LSQM1WCMX40

LSUM1WCMX40RT

EWPXM2WCMD0F

EWPXM1MAC0F

LSUM1WCME0

EWPXM1WCME0

LSQM1WCMX20

LSUM1WCMX20RT

LSQM1WCMX40

LSUM1WCMX40RT

EWPXM2WCMD0F

EWPXM1MAC0F

Central AC

 

产品系列

产品型号

产品代码

支持角色

WX1800H系列

WX1804H-PWR

WX1810H-PWR

WX1820H

WX1840H

EWP-WX1804H-PWR

EWP-WX1810H-PWR

EWP-WX1820H

EWP-WX1840H-GL

不支持

WX3800H系列

WX3820H

WX3840H

EWP-WX3820H-GL

EWP-WX3840H-GL

不支持

WX5800H系列

WX5860H

EWP-WX5860H-GL

不支持

 

1.3  在Central AC上配置和管理Local AC

1.3.1  Central AC配置任务简介

Central AC配置任务如下:

(1)     开启Central AC功能并配置管理的Local AC

(2)     开启二次发现AC功能

(3)     (可选)配置Central AC的高级功能

¡     配置Local AC连接Central AC的优先级

¡     配置备份Central AC的IP地址

¡     配置CAPWAP主隧道抢占功能

¡     配置Local AC版本升级功能

¡     配置管理通道保活参数

¡     配置请求报文重传参数

¡     开启认证位置在Central AC上时的漫游功能

¡     管理Local AC的文件

1.3.2  开启Central AC功能并配置管理的Local AC

1. 功能简介

当AC角色为Common时,配置本功能,AC的角色将从Common切换为Central,同时在Central AC上创建待管理的Local AC并进入Local AC视图。当AC角色为Central时,配置本功能,会直接在AC上创建待管理的Local AC并进入Local AC视图。不在指定范围内的Local AC将不受AC的集中管理。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建Local AC,并进入Local AC视图。

wlan local-ac name local-ac-name [ model model-name ]

(3)     配置Local AC的序列号。

serial-id serial-id

缺省情况下,未配置Local AC的序列号。

1.3.3  开启二次发现AC功能

1. 功能简介

Central AC上需要开启二次发现AC功能,才能自动将当前负载最轻的Local AC的IP地址下发给AP,或为AP手动指定Local AC的IP地址。有关二次发现AC功能的详细介绍请参见“WLAN配置指导”中的“AP管理”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入AP视图/AP组视图/全局配置视图。

¡     进入AP视图。

wlan ap ap-name [ model model-name ]

¡     进入AP组视图。

wlan ap-group group-name

¡     进入全局配置视图。

wlan global-configuration

(3)     开启二次发现AC功能。

control-address enable

缺省情况下:

¡     AP视图:AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。

¡     AP组视图:继承全局配置。

¡     全局配置视图:二次发现AC功能处于关闭状态。

(4)     (可选)手动指定Local AC的IP地址。

control-address { ip ipv4-address | ipv6 ipv6-address }

缺省情况下:

¡     AP视图: AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置。

¡     AP组视图:继承全局配置。

¡     全局配置视图:未指定Local AC的IP地址,即Central AC将当前负载最轻的Local AC的IP地址下发给AP。

1.3.4  配置Local AC连接Central AC的优先级

1. 功能简介

在Central AC上配置Local AC连接Central AC的优先级,该优先级会携带在Discovery response报文中下发给AP,Local AC会优先选择优先级高的Central AC建立CAPWAP隧道连接。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Local AC视图。

wlan local-ac name local-ac-name

(3)     配置Local AC连接Central AC的优先级。

priority priority

缺省情况下,Local AC连接的优先级为4。

1.3.5  配置备份Central AC的IP地址

1. 功能简介

当Local AC与主Central AC链路故障时,Local AC会与配置的备份Central AC建立CAPWAP隧道连接。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Local AC视图。

wlan local-ac name local-ac-name

(3)     配置备份Central AC的IP地址。

backup-ac { ip ipv4-address | ipv6 ipv6-address }

缺省情况下,未配置备份Central AC的IP地址。

1.3.6  配置CAPWAP主隧道抢占功能

1. 功能简介

缺省情况下,在双链路备份组网环境中,当Local AC连接的主Central AC故障时,备份Central AC才会将CAPWAP备份隧道转换为主隧道。当备份Central AC开启了CAPWAP主隧道抢占功能后,如果备份Central AC配置的Local AC连接Central AC的优先级高于主Central AC上配置的优先级,则备份Central AC将CAPWAP备份隧道切换为主隧道。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Local AC视图。

wlan local-ac name local-ac-name

(3)     配置CAPWAP主隧道抢占功能。

wlan tunnel-preempt { disable | enable }

缺省情况下,CAPWAP主隧道抢占功能处于关闭状态。

1.3.7  配置Local AC版本升级功能

1. 功能简介

在Local AC与Central AC建立管理通道的过程中:

·     如果Local AC版本升级功能处于开启状态,且Local AC的软件版本与APDB中保存的软件版本不一致,则Local AC必须从Central AC上下载对应的软件版,并进行版本升级后才能与Central AC建立管理通道;

·     如果Local AC版本升级功能处于关闭状态,则Central AC不比较Local AC当前的软件版本和APDB中保存的软件版本是否一致,直接与Local AC建立管理通道。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Local AC视图。

wlan local-ac name local-ac-name

(3)     配置Local AC版本升级功能。

firmware-upgrade { disable | enable }

缺省情况下,Local AC版本升级功能处于开启状态。

1.3.8  配置管理通道保活参数

1. 功能简介

在Local AC和Central AC之间使用保活机制来检查通道是否正常工作。Local AC以配置的时间间隔周期性地发送回声请求Echo request报文给Central AC。如果Central AC在120秒的时间内没有收到Local AC发送的回声请求报文,则Central AC会主动断开管理通道。若Local AC在发送回声请求报文后的3秒时间内没有收到Central AC回复的回声应答报文,则Local AC将重发该回声请求报文,若在重传次数3次内,没有收到Central AC的回声响应报文,则Local AC会主动断开管理通道。保活时间为Echo request报文的发送时间间隔乘以最大发送次数3次。

2. 配置限制和指导

关闭保活机制仅适用于特殊测试场合。在非测试场合中,为了保证控制隧道的正常运行,请勿将interval参数配置为0。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Local AC视图。

wlan local-ac name local-ac-name

(3)     配置Local AC发送回声请求的时间间隔。

echo-interval interval

缺省情况下,Local AC发送回声请求的时间间隔为10秒。

1.3.9  配置请求报文重传参数

1. 功能简介

Central AC发送给Local AC的请求报文可能由于各种原因导致未能传输到Local AC,为了使请求报文尽可能的发送到Local AC,提高报文的可靠传输能力,可以配置对请求报文重传。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Local AC视图。

wlan local-ac name local-ac-name

(3)     配置请求报文重传次数。

retransmit-count value

缺省情况下,请求报文重传次数为3次。

(4)     配置请求报文重传时间间隔。

retransmit-interval interval

缺省情况下,请求报文重传的时间间隔为5秒。

1.3.10  开启认证位置在Central AC上时的漫游功能

1. 功能简介

当WLAN用户接入认证位置在Central AC上、客户端初始上线时,仅Central AC上会创建客户端漫游表项,客户端关联的Local AC上没有创建对应的漫游表项,因此无法实现客户端漫游。

开启本功能后,当客户端初始上线时,Central AC和客户端关联的Local AC上会同时创建客户端漫游表项,Local AC可以根据该漫游表项信息实现客户端Local AC内或者Local AC间漫游。

2. 配置限制和指导

当客户端采用RSN+802.1X认证方式上线时,由于客户端信息(例如802.1X认证用户名、MAC地址等)保存在Central AC上,Local AC无法从Central AC获取客户端信息,所以开启本功能后无法支持快速漫游。有关快速漫游的详细介绍,请参见“WLAN配置指导”中的“WLAN漫游”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建无线服务模板并进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启认证位置在Central AC上时的漫游功能。

roam central-ac-auth enable

缺省情况下,认证位置在Central AC上时,Local AC内或Local AC间的漫游功能处于开启状态。

1.3.11  管理Local AC的文件

1. 功能简介

当CAPWAP隧道建立成功后,用户可以查看、删除Local AC上的文件,也可以将Central AC上存储的文件下发给Local AC。

2. 配置限制和指导

只有在Local AC和Central AC建立了CAPWAP隧道并且当前Central AC为主Central AC时,才能执行以上操作。

3. 配置步骤

(1)     显示Local AC上的文件及文件夹信息。

display wlan local-ac name ap-name files

(2)     进入系统视图。

system-view

(3)     进入Local AC视图。

wlan local-ac name local-ac-name

(4)     管理Local AC上的文件。

¡     删除Local AC上的文件

delete file filename

¡     下载指定文件到Local AC。

download file file-name

1.4  在Local AC上配置与Central AC通讯的网络参数

1. 功能简介

在Local AC上开启Local AC功能,并指定Central AC的IP地址后,该Local AC将与Central AC建立管理通道。

2. 配置限制和指导

最多可配置3个Central AC的IPv4地址、3个Central AC的IPv6地址。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启Local AC功能。

wlan local-ac enable

缺省情况下,Local AC功能处于关闭状态。

(3)     指定Central AC的IP地址。

wlan central-ac { ip ipv4-address | ipv6 ipv6-address }

缺省情况下,未指定Central AC的IP地址。

(4)     指定与Central AC建立管理通道的VLAN。

wlan local-ac capwap source-vlan vlan-id

缺省情况下,Local AC使用VLAN 1与Central AC建立管理通道。

1.5  在Central AC上配置管理权限

在Central AC上针对不同地域和级别的管理员完成对配置项的权限管理。

1.5.1  创建地区标识

1. 功能简介

设备上存在一个名称为default-location的默认地区标识,标记该标识的AP组/无线服务模板可被所有管理员管理。管理员新建的所有AP组/无线服务模板都会标记默认地区标识,且该标识不能被删除。

2. 配置限制和指导

设备上最多可以创建512个地区标识。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建地区标识。

wlan location location-name

缺省情况下,系统只存在默认地区标识。

1.5.2  配置用户角色

1. 配置限制和指导

为保证用户仅使用新授权的用户角色,需要删除用户具有的缺省用户角色。

为用户角色创建基于特性或特性组的规则时,不应赋予区域用户对无线业务全局配置特性“wlanglobalcfg”的可写权限。

2. 配置步骤

配置用户角色,指定用户允许操作的地区标识,而后为用户授权用户角色。关于用户角色的相关配置请参见“基础配置指导”中的“RBAC”和“安全配置指导”中的“AAA”。

 

1.5.3  标记地区标识

1. 功能简介

为无线服务模板/AP组/RRM保持调整组标记指定地区标识后,该无线服务模板/AP组/RRM保持调整组将在逻辑上被划分到地区标识所标记的地域。

在Web页面上,系统将根据管理员的用户角色过滤无线服务模板/AP组/RRM保持调整组,管理员只能查看并管理与用户角色的地区标识相同的无线服务模板/AP组/RRM保持调整组和标记了default-location的无线服务模板/AP组/RRM保持调整组。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建无线服务模板/AP组/RRM保持调整组,并进入无线服务模板/AP组/RRM保持调整组视图。

¡     创建无线服务模板并进入无线服务模板视图。

wlan service-template service-template-name

¡     创建AP组并进入AP组视图。

wlan ap-group group-name

缺省情况下,存在默认组,名称为default-group。

¡     创建RRM保持调整组并进入RRM保持调整组视图。

wlan rrm-calibration-group group-id

(3)     标记无线服务模板/AP组/RRM保持调整组的地区标识。

location location-name

缺省情况下:

¡     无线服务模板视图:无线服务模板被标记默认地区标识。

¡     AP组视图:AP组被标记默认地区标识。

¡     RRM保持调整组视图:RRM保持调整组标记默认地区标识。

1.6  分层AC显示和维护

在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。

表1-1 分层AC显示和维护

操作

命令

显示AC的角色信息

display wlan ac-role

显示客户端的信息

(独立运行模式)

display wlan client distributed-sys [ verbose ]

(IRF模式)

display wlan client distributed-sys [ slot slot-number ] [ verbose ]

在Local AC上显示Local AC信息

display wlan local-ac

在Central AC上显示Local AC信息

display wlan local-ac { all | name local-ac-name } [ address | verbose ]

在Central AC上查看Local AC的连接记录

display wlan local-ac { all | name local-ac-name } connection-record

在Central AC上显示Local AC上的文件及文件夹信息

display wlan local-ac name local-ac-name files

在Central AC上显示Local AC型号的信息

display wlan local-ac model { all | name model-name }

在Central AC上显示已上线Local AC的在线时长

display wlan local-ac { all | name local-ac-name } online-time

重启Local AC

reset wlan local-ac { all | name ac-name }

1.7  分层AC典型配置举例

1.7.1  分层AC通用组网配置举例

1. 组网需求

图1-3所示,总部部署Central AC,位于分支的Local AC则负责管理和接入本地AP和无线客户端。用户的认证授权则由总部Central AC负责,数据流量由Local AC转发。

2. 组网图

图1-3 分层AC通用组网典型配置组网图

3. 配置步骤

(1)     配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略

(2)     配置Central AC

# 创建名称为localac1的Local AC,并配置Local AC的序列号。

<CentralAC> system-view

[CentralAC] wlan local-ac name localac1 model WX3540H

[CentralAC-wlan-local-ac-localac1] serial-id 210235A1BSC123000050

[CentralAC-wlan-local-ac-localac1] quit

# 创建名称为localac2的Local AC,并配置Local AC的序列号。

[CentralAC] wlan local-ac name localac2 model WX3540H

[CentralAC-wlan-local-ac-localac2] serial-id 210235A1BSC124000060

[CentralAC-wlan-local-ac-localac2] quit

# 创建ap1,并配置ap1的序列号。

[CentralAC] wlan ap ap1 model WA4320i-ACN

[CentralAC-wlan-ap-ap1] serial-id 219801A0CNC125002329

# 开启ap1的二次发现AC功能。

[CentralAC-wlan-ap-ap1] control-address enable

[CentralAC-wlan-ap-ap1] quit

# 创建Vlan-interface100接口并配置IP地址。

[CentralAC] interface vlan-interface 100

[CentralAC-Vlan-interface100] ip address 1.1.1.1 24

[CentralAC-Vlan-interface100] quit

(3)     配置Local AC 1

# 创建Vlan-interface100接口并配置IP地址。

<LocalAC1>system-view

[LocalAC1] interface vlan-interface 100

[LocalAC1-Vlan-interface100] ip address 1.1.1.2 24

[LocalAC1-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC1] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC1] wlan central-ac ip 1.1.1.1

(4)     配置Local AC 2

# 创建Vlan-interface100接口并配置IP地址。

<LocalAC2> system-view

[LocalAC2] interface vlan-interface 100

[LocalAC2-Vlan-interface100] ip address 1.1.1.3 24

[LocalAC2-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC2] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC2] wlan central-ac ip 1.1.1.1

4. 验证配置

# 使用display wlan local-ac all命令在Central AC上查看所有Local AC的信息,可以看到Localac1已经与Central AC建立通道。

[CentralAC] display wlan local-ac all

Total number of local ACs: 2

Total number of connected local ACs: 2

 

                                Local AC Information

State : I = Idle,       J  = Join,       JA = JoinAck,    IL = ImageLoad

        C = Config,     DC = DataCheck,  R  = Run

 

AC name                        ACID  State Model           Serial ID

localac1                       1     R     WX3540H         210235A1BSC123000050

localac2                       2     R     WX3540H         210235A1BSC124000060

# 使用display wlan local-ac命令在Local AC 1上查看当前Local AC信息,可以看到Local AC 1已经与Central AC成功建立通道。

[LocalAC1] display wlan local-ac

Local AC Information:

  Model                         : WX3540H

  Serial ID                     : 210235A1BSC123000050

  MAC address                   : 5866-BA20-6E60

  Local AC address              : 1.1.1.2

  H/W version                    : Ver.A

  S/W version                    : c5419

  Static central AC IPv4 address: 1.1.1.1

  Static central AC IPv6 address: Not configured

 

Central AC Information:

  Central AC address            : 1.1.1.1

  State                         : Run

  Sent control packets          : 6088

  Received control packets      : 6092

# 使用display wlan ap all命令在Central AC上查看AP信息,可以看到AP已经成功上线。

[CentralAC] display wlan ap all

Total number of APs: 1

Total number of connected APs: 1

Total number of connected configured APs: 1

Total number of connected auto APs: 0

Total number of connected anchor APs: 0

Maximum supported APs: 3072

Remaining APs: 3071

Fit APs activated by license: 128

Remaining fit APs: 127

WTUs activated by license: 0

Remaining WTUs: 0

 

                                 AP information

 State : I = Idle,      J  = Join,       JA = JoinAck,    IL = ImageLoad

         C = Config,    DC = DataCheck,  R  = Run,   M = Master,  B = Backup

 

AP name                        APID  State Model           Serial ID

ap1                            1     R/M   WA4320i-ACN     219801A0CNC125002329 

1.7.2  管理权限配置举例

1. 组网需求

某公司总部位于地区A,该公司无线网络采用分层AC的架构,Central AC位于总部,Local AC位于地区B、地区C分部。为了便于管理,现将地区B分部的所有AP交由地区B的管理员b-admin管理;地区C分部的所有AP交由地区C的管理员c-admin管理;公司所有AP,总部的超级管理员admin可全权管理。

2. 组网图

图1-4 AP组管理权限配置组网图

3. 配置步骤

(1)     配置Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略

(2)     配置Central AC

# 配置开启Central AC设备的Telnet服务,管理员登录设备时采用AAA认证。

<CentralAC> system-view

[CentralAC] telnet server enable

[CentralAC] line vty 0 5

[CentralAC-line-vty0-5] authentication-mode scheme

[CentralAC-line-vty0-5] quit

# 创建名称为localac-b的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。

[CentralAC] wlan local-ac name localac-b model WX3520H

[CentralAC-wlan-local-ac-localac-b] serial-id 210235A1BSC123000050

[CentralAC-wlan-local-ac-localac-b] quit

# 创建名称为localac-c的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。

[CentralAC] wlan local-ac name localac-c model WX3520H

[CentralAC-wlan-local-ac-localac-c] serial-id 210235A1BSC123000051

[CentralAC-wlan-local-ac-localac-c] quit

# 创建型号为WA4320i-ACN 的ap1,并配置ap1的序列号。

[CentralAC] wlan ap ap1 model WA4320i-ACN

[CentralAC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 开启ap1的二次发现AC功能。

[CentralAC-wlan-ap-ap1] control-address enable

[CentralAC-wlan-ap-ap1] quit

# AP 2、AP 3、AP 4配置方法同上,此处略。

# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。

[CentralAC] interface vlan-interface 100

[CentralAC-Vlan-interface100] ip address 10.0.0.1 24

[CentralAC-Vlan-interface100] quit

# 创建地区标识areab和areac。

[CentralAC] wlan location areab

[CentralAC] wlan location areac

# 创建用户角色b。

[CentralAC] role name b

# 配置基于XML元素、Web菜单的规则。

[CentralAC-role-b] rule 1 permit read write execute xml-element

[CentralAC-role-b] rule 2 permit read write execute web-menu

# 进入地区标识策略视图并配置允许用户操作的地区标识areab。

[CentralAC-role-b] location policy deny

[CentralAC-role-b-locationpolicy] permit location areab

[CentralAC-role-b-locationpolicy] quit

[CentralAC-role-b] quit

# 创建用户角色c。

[CentralAC] role name c

# 配置基于XML元素、Web菜单的规则。

[CentralAC-role-c] rule 1 permit read write execute xml-element

[CentralAC-role-c] rule 2 permit read write execute web-menu

# 进入地区标识策略视图并配置允许用户操作的地区标识areac。

[CentralAC-role-c] location policy deny

[CentralAC-role-c-locationpolicy] permit location areac

[CentralAC-role-c-locationpolicy] quit

[CentralAC-role-c] quit

# 配置本地用户admin。

[CentralAC] local-user admin

# 配置用户admin可以使用HTTP与HTTPS服务。

[CentralAC-luser-manage-admin] service-type http https

[CentralAC-luser-manage-admin] quit

# 创建并配置本地用户b-admin。

[CentralAC] local-user b-admin

# 配置用户b-admin可以使用HTTP与HTTPS服务。

[CentralAC-luser-manage-b-admin] service-type http https

# 设置用户b-admin的密码。

[CentralAC-luser-manage-b-admin] password simple badmin

# 指定用户b-admin的授权角色为b。

[CentralAC-luser-manage-b-admin] authorization-attribute user-role b

# 为保证用户仅使用授权的用户角色b,删除用户b-admin的缺省用户角色network-operator。

[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator

[CentralAC-luser-manage-b-admin] quit

# 创建并配置本地用户c-admin。

[CentralAC] local-user c-admin

# 配置用户c-admin可以使用HTTP与HTTPS服务。

[CentralAC-luser-manage-c-admin] service-type http https

# 设置用户c-admin的密码。

[CentralAC-luser-manage-c-admin] password simple cadmin

# 指定用户c-admin的授权角色为c。

[CentralAC-luser-manage-c-admin] authorization-attribute user-role c

# 为保证用户仅使用授权的用户角色c,删除用户c-admin的缺省用户角色network-operator。

[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator

[CentralAC-luser-manage-c-admin] quit

# 创建AP组groupb,将AP 1与AP 2加入该组中。

[CentralAC] wlan ap-group groupb

[CentralAC-wlan-ap-group-groupb] ap ap1 ap2

# 标记AP组groupb的地区为标识areab。

[CentralAC-wlan-ap-group-groupb] location areab

[CentralAC-wlan-ap-group-groupb] quit

# 创建AP组groupc,将AP 3与AP 4加入该组中。

[CentralAC] wlan ap-group groupc

[CentralAC-wlan-ap-group-groupc] ap ap3 ap4

# 标记AP组groupc的地区标识为areac。

[CentralAC-wlan-ap-group-groupc] location areac

[CentralAC-wlan-ap-group-groupc] quit

(3)     配置Local AC-B

# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。

<LocalAC-B> system-view

[LocalAC-B] interface vlan-interface 100

[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24

[LocalAC-B-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC-B] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC-B] wlan central-ac ip 10.0.0.1

(4)     配置Local AC-C

# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。

<LocalAC-C> system-view

[LocalAC-C] interface vlan-interface 100

[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24

[LocalAC-C-Vlan-interface100] quit

# 开启Local AC功能。

[LocalAC-C] wlan local-ac enable

# 配置Central AC的IP地址。

[LocalAC-C] wlan central-ac ip 10.0.0.1

4. 验证配置

# 通过Telnet方式登录到Central AC上,在Web页面上登录超级管理员账号,查看并管理所有AP。

图1-5 超级管理员登录界面

admin-cn.png

# 在Web页面上登录地区C管理员账号,查看、管理地区C分部的AP。

图1-6 地区C管理员登录界面

cadmin-cn.png

# 在Web页面上登录地区B管理员账号,查看、管理地区B分部的AP。

图1-7 地区B管理员登录界面

badmin-cn.png

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们