16-分层AC配置
本章节下载: 16-分层AC配置 (480.90 KB)
传统的AC+AP架构中,由于AP定位为“瘦AP”,所以AC负担了大部分无线相关的功能。因此,要求AC和AP间的链路带宽应该越大越好,时延越低越好。如果AC与AP间跨越Internet,这种单层AC、AP架构就会带来各种诸如用户认证慢、漫游性能低下等问题。
为了解决AC和AP之间的高速链接需求,提出了分层AC架构。整个WLAN架构由Central AC、Local AC和AP组成。Central AC负责整个无线网络的管理,Local AC负责AP的接入并转发数据流量,分层AC架构提供了一种集中管理与分布式控制相结合的机制,在保证性能的基础上提高了无线网络的可维护性和可扩展性。
分层AC架构使用两种通道来实现AP的集中管理,一种是Central AC与Local AC之间的管理通道,另一种是Local AC与AP之间的CAPWAP隧道。
在分层AC架构中,Central AC与Local AC之间通过建立管理通道,实现网络配置及用户信息的自动同步和管理。Local AC会主动和Central AC建立管理通道,通道建立后Central AC可以将AP配置信息下发给Local AC。AP在Local AC上线之后,各Local AC会通过这个管理通道将AP及客户端的状态上报至Central AC,Central AC根据这些信息来管理AP及客户端。
Central AC与各Local AC间建立通道后,Central AC会根据各Local AC的负载情况通过管理通道为AP分配当前负载最轻的Local AC(用户需要自行保证各Local AC与AP互通)。当AP与Local AC建立CAPWAP隧道连接后,Local AC会将相关配置下发给AP,实现配置自动同步。
有关CAPWAP隧道建立的详细介绍,请参见“WLAN配置指导”中的“AP管理”。
图1-1 AP与Local AC建立CAPWAP隧道过程
AP加入分层AC网络的过程如下:
(1) Central AC与各Local AC间建立管理通道;
(2) AP向Central AC发送Discovery request报文;
(3) Central AC收到Discovery request报文后,根据当前各Local AC的负载情况,选择当前负载最轻的Local AC,在向AP回复的Discovery response报文中携带指定Local AC的IP地址;
(4) AP收到Discovery response报文,根据报文中携带的Local AC的IP地址,向Local AC重新发送Discovery request报文,与Local AC建立隧道连接;
(5) AP与Local AC建立隧道的过程中,Local AC会向Central AC查询该AP是否为合法AP(该AP为手工AP或Central AC上开启了自动AP功能),若该AP为合法AP,Central AC会将AP配置下发到Local AC,若AP不是合法AP,则AP连接失败。有关手工AP及自动AP的详细介绍,请参见“WLAN配置指导”中的“AP管理”;
(6) AP与Local AC之间的CAPWAP隧道建立成功后,Local AC会通知Central AC该AP上线成功。
在分层AC架构中,数据转发方式与传统AC+Fit AP架构相同,既可以在Local AC上进行数据转发,也可以在AP进行数据转发。
有关数据转发位置的详细介绍,请参见“WLAN接入配置指导”中的“WLAN接入”。
在分层AC架构下,权限管理可以为Central AC和Local AC的管理员提供不同的管理权限,通过配置地区标识实现对不同地域和级别管理员的权限划分,用户可以在设备的如下配置项上标记不同的地区标识:
· 无线服务模板:该标识定义了管理员可管理的无线服务模板。
· AP组:该标识定义了管理员可管理的AP组。
· RRM保持调整组:该标识定义了管理员可管理的RRM保持调整组。
例如,地区A的管理员只能管理地区A的无线服务模板;地区B的管理员只能管理地区B的无线服务模板;超级管理员可管理地区A和地区B的无线服务模板。
设备上存在一个名称为default-location的默认地区标识,标记该标识的配置项可被所有管理员管理。管理员新建的配置项会标记默认地区标识,且该标识不能被删除。
在Web页面上,系统将根据管理员身份过滤配置项,管理员只能查看并管理与用户角色的地区标识相同的配置项和标记了default-location的配置项。
表1-1 Central AC配置任务简介
配置任务 |
说明 |
详细配置 |
开启Central AC功能 |
必选 |
|
配置Cental AC管理的Local AC |
必选 |
|
配置Local AC版本升级功能 |
可选 |
|
开启二次发现AC功能 |
必选 |
|
配置管理通道保活 |
可选 |
|
配置请求报文重传 |
可选 |
在设备上配置开启Central AC功能之后,设备会重启,重启后的设备将作为Central AC与Local AC建立管理通道。关闭Central AC功能也会导致设备重新启动。
表1-2 配置Central AC管理的Local AC
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Central AC功能 |
wlan central-ac enable |
缺省情况下,Central AC功能处于关闭状态 |
在Central AC上,需要指定Central AC管理的Local AC,不在指定范围内的Local AC将不受AC的集中管理。
表1-3 配置Central AC
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
创建Local AC,并进入Local AC视图 |
wlan local-ac name local-ac-name [ model model-name ] |
缺省情况下,不存在Local AC |
配置Local AC的序列号 |
serial-id serial-id |
缺省情况下,未配置Local AC的序列号 |
Local AC与Central AC建立管理通道过程中,如果Local AC版本升级功能处于开启状态,且Local AC的软件版本与APDB中保存的软件版本不一致,则Local AC必须从Central AC上下载对应的软件版本文件进行版本升级后才能与Central AC建立管理通道;如果Local AC版本升级功能处于关闭状态,则Central AC不比较Local AC当前的软件版本和APDB中保存的软件版本是否一致,直接与Local AC建立管理通道。
表1-4 配置Local AC版本升级功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Local AC,并进入Local AC视图 |
wlan local-ac name local-ac-name [ model model-name ] |
缺省情况下,不存在Local AC |
配置Local AC版本升级功能 |
firmware-upgrade { disable | enable } |
缺省情况下,Local AC版本升级功能处于开启状态 |
Central AC上需要开启二次发现AC功能,才能自动将当前负载最轻的Local AC的IP地址下发给AP,或为AP手动指定Local AC的IP地址。有关二次发现AC功能的详细介绍请参见“WLAN配置指导”中的“AP管理”。
表1-5 开启二次发现AC功能(AP视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP视图 |
wlan ap ap-name [ model model-name ] |
- |
开启二次发现AC功能 |
control-address enable |
缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置 |
(可选)手动指定Local AC的IP地址 |
control-address { ip ipv4-address | ipv6 ipv6-address } |
缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置 |
表1-6 开启二次发现AC功能(AP组视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP组视图 |
wlan ap-group group-name |
- |
开启二次发现AC功能 |
control-address enable |
缺省情况下,继承全局配置 |
(可选)手动指定Local AC的IP地址 |
control-address { ip ipv4-address | ipv6 ipv6-address } |
缺省情况下,继承全局配置 |
表1-7 开启二次发现AC功能(全局配置视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入全局配置视图 |
wlan global-configuration |
- |
开启二次发现AC功能 |
control-address enable |
缺省情况下,二次发现AC功能处于关闭状态 |
(可选)手动指定Local AC的IP地址 |
control-address { ip ipv4-address | ipv6 ipv6-address } |
缺省情况下,未指定Local AC的IP地址,即Central AC将当前负载最轻的Local AC的IP地址下发给AP |
在Local AC和Central AC之间使用保活机制来检查通道是否正常工作。Local AC以配置的时间间隔周期性地发送回声请求Echo request报文给Central AC,如果Central AC在120秒的时间内没有收到Local AC发送的回声请求报文,则Central AC会主动断开管理通道。若Local AC在发送回声请求报文后的3秒时间内没有收到Central AC回复的回声应答报文,则Local AC将重发该回声请求报文,若在重传次数3次内,没有收到Central AC的回声响应报文,则Local AC会主动断开管理通道。当时间间隔配置为0时,Local AC不向Central AC发送回声请求报文,即关闭隧道保活机制。
表1-8 配置管理通道保活
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Local AC,并进入Local AC视图 |
wlan local-ac name local-ac-name [ model model-name ] |
缺省情况下,不存在Local AC |
配置Local AC发送回声请求的时间间隔 |
echo-interval interval |
缺省情况下,Local AC发送回声请求的时间间隔为10秒 |
Central AC发送给Local AC的请求报文可能由于各种原因导致未能传输到Local AC,为了使请求报文尽可能的发送到Local AC,提高报文的可靠传输能力,可以配置对请求报文重传。
表1-9 配置请求报文重传
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Local AC,并进入Local AC视图 |
wlan local-ac name local-ac-name [ model model-name ] |
缺省情况下,不存在Local AC |
配置请求报文重传次数 |
retransmit-count value |
缺省情况下,请求报文重传次数为3次 |
配置请求报文重传时间间隔 |
retransmit-interval interval |
缺省情况下,请求报文重传的时间间隔为5秒 |
在Local AC上,需要开启Local AC功能,并指定Central AC的IP地址。
表1-10 配置Local AC
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启Local AC功能 |
wlan local-ac enable |
缺省情况下,Local AC功能处于关闭状态 |
指定Central AC的IP地址 |
wlan central-ac { ip ip-address | ipv6 ipv6-address } |
缺省情况下,未指定Central AC的IP地址 |
(可选)指定与Central AC建立管理通道的VLAN |
wlan local-ac capwap source-vlan vlan-id |
缺省情况下,Local AC使用VLAN 1与Central AC建立管理通道 |
在Central AC上针对不同地域和级别的管理员完成对配置项的权限管理。
表1-11 创建地区标识
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建地区标识 |
wlan location location-name |
设备上最多可以创建512个地区标识 缺省情况下,系统只存在默认地区标识 |
为保证用户仅使用新授权的用户角色,需要删除用户具有的缺省用户角色network-operator。
配置用户角色即指定用户允许操作的地区标识,并为其授权相应的角色。关于用户角色的相关配置请参见“基础配置配置指导”中的“RBAC”。
表1-12 标记无线服务模板的地区标识
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建无线服务模板并进入无线服务模板视图 |
wlan service-template service-template-name |
缺省情况下,不存在无线服务模板 |
标记无线服务模板的地区标识 |
location location-name |
缺省情况下,无线服务模板被标记默认地区标识 |
表1-13 标记AP组的地区标识
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建AP组并进入AP组视图 |
wlan ap-group group-name |
缺省情况下,存在默认组,名称为default-group |
标记AP组的地区标识 |
location location-name |
缺省情况下,AP组被标记默认地区标识 |
表1-14 标记RRM保持调整组的地区标识
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建RRM保持调整组并进入RRM保持调整组视图 |
wlan rrm-calibration-group group-id |
缺省情况下,不存在RRM保持调整组 |
标记RRM保持调整组的地区标识 |
location location-name |
缺省情况下,RRM保持调整组标记默认地区标识 |
在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。
表1-15 分层AC显示和维护
操作 |
命令 |
在Central AC上显示Local AC信息 |
display wlan local-ac { all | name local-ac-name } [ verbose ] |
在Local AC上显示Local AC信息 |
display wlan local-ac |
在Central AC上显示Local AC型号的信息 |
display wlan local-ac model { all | name model-name } |
在Central AC上显示虚拟AP上的客户端信息 |
display wlan virtual-ap client |
如图1-2所示,总部部署Central AC,位于分支的Local AC则负责管理和接入本地AP和无线客户端。用户的认证授权则由总部Central AC负责,数据流量由Local AC转发。
图1-2 分层AC典型配置组网图
(1) Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略。
(2) 配置Central AC。
# 创建名称为localac1的Local AC。
<CentralAC> system-view
[CentralAC] wlan local-ac name localac1 model WX5540E
[CentralAC-wlan-local-ac-localac1] serial-id 210235A1BSC123000050
[CentralAC-wlan-local-ac-localac1] quit
# 创建名称为localac2的Local AC。
[CentralAC] wlan local-ac name localac2 model WX5540E
[CentralAC-wlan-local-ac-localac2] serial-id 210235A1BSC124000060
[CentralAC-wlan-local-ac-localac2] quit
# 创建ap1。
[CentralAC] wlan ap ap1 model WA4320i-ACN
[CentralAC-wlan-ap-ap1] serial-id 219801A0CNC125002329
[CentralAC-wlan-ap-ap1] quit
# 创建Vlan-interface100接口并配置IP地址。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 1.1.1.1 24
[CentralAC-Vlan-interface100] quit
(3) 配置Local AC 1
# 创建Vlan-interface100接口并配置IP地址。
<LocalAC1>system-view
[LocalAC1] interface vlan-interface 100
[LocalAC1-Vlan-interface100] ip address 1.1.1.2 24
[LocalAC1-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC1] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC1] wlan central-ac ip 1.1.1.1
(4) 配置Local AC 2
# 创建Vlan-interface100接口并配置IP地址。
<LocalAC2> system-view
[LocalAC2] interface vlan-interface 100
[LocalAC2-Vlan-interface100] ip address 1.1.1.3 24
[LocalAC2-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC2] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC2] wlan central-ac ip 1.1.1.1
# 使用display wlan local-ac all命令在Central AC上查看所有Local AC的信息,可以看到Localac1已经与Central AC建立通道。
[CentralAC] display wlan local-ac all
Total number of local ACs: 2
Total number of connected local ACs: 2
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name AC ID State Model Serial ID
localac1 1 R WX5540E 210235A1BSC123000050
localac2 2 R WX5540E 210235A1BSC124000060
# 使用display wlan local-ac命令在Local AC 1上查看当前Local AC信息,可以看到Local AC 1已经与Central AC成功建立通道。
[LocalAC1] display wlan local-ac
Local AC Information:
Model : WX5540E
Serial ID : 210235A1BSC123000050
MAC address : 5866-BA20-6E60
Local AC address : 1.1.1.2
Static central AC IPv4 address: 1.1.1.1
Static central AC IPv6 address: Not configured
Central AC Information:
Central AC address : 1.1.1.1
State : Run
Sent control packets : 6088
Received control packets : 6092
# 使用display wlan ap all命令在Central AC上查看AP信息,可以看到AP已经成功上线。
[CentralAC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected configured APs: 1
Total number of connected auto APs: 0
Total number of connected anchor APs: 0
Maximum supported APs: 3072
Remaining APs: 3071
Fit APs activated by license: 128
Remaining fit APs: 127
WTUs activated by license: 0
Remaining WTUs: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name AP ID State Model Serial ID
--------------------------------------------------------------------------------
ap1 1 R/M WA4320i-ACN 219801A0CNC125002329
某公司总部位于地区A,该公司无线网络采用分层AC的架构,Central AC位于总部,Local AC位于地区B、地区C分部。为了便于管理,现将地区B分部的所有AP交由地区B的管理员b-admin管理;地区C分部的所有AP交由地区C的管理员c-admin管理;公司所有AP,总部的超级管理员admin可全权管理。
图1-3 AP组权限管理配置组网图
(1) Local AC作为DHCP server为其下接入的AP分配IP地址,并通过DHCP报文向这些AP通告Central AC的地址,配置步骤略。
(2) 配置Central AC
# 创建名称为localac-b的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。
<CentralAC> system-view
[CentralAC] wlan local-ac name localac-b model WX3520H
[CentralAC-wlan-local-ac-localac-b] serial-id 210235A1BSC123000050
[CentralAC-wlan-local-ac-localac-b] quit
# 创建名称为localac-c的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。
[CentralAC] wlan local-ac name localac-c model WX3520H
[CentralAC-wlan-local-ac-localac-c] serial-id 210235A1BSC123000051
[CentralAC-wlan-local-ac-localac-c] quit
# 创建型号为WA4320i-ACN 的ap1,并配置序列号为210235A29G007C000020。
[CentralAC] wlan ap ap1 model WA4320i-ACN
[CentralAC-wlan-ap-ap1] serial-id 210235A29G007C000020
[CentralAC-wlan-ap-ap1] quit
# AP 2、AP 3、AP 4配置方法同上,此处略。
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 10.0.0.1 24
[CentralAC-Vlan-interface100] quit
# 创建地区标识areab、areac。
[CentralAC] wlan location areab
[CentralAC] wlan location areac
# 创建用户角色b。
[CentralAC] role name b
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-b] rule 1 permit read write execute xml-element
[CentralAC-role-b] rule 2 permit read write execute web-menu
# 配置允许用户操作的地区标识areab。
[CentralAC-role-b] location policy deny
[CentralAC-role-b-locationpolicy] permit location areab
[CentralAC-role-b-locationpolicy] quit
[CentralAC-role-b] quit
# 创建用户角色c。
[CentralAC] role name c
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-c] rule 1 permit read write execute xml-element
[CentralAC-role-c] rule 2 permit read write execute web-menu
# 配置允许用户操作的地区标识areac。
[CentralAC-role-c] location policy deny
[CentralAC-role-c-locationpolicy] permit location areac
[CentralAC-role-c-locationpolicy] quit
[CentralAC-role-c] quit
# 配置本地用户admin。
[CentralAC] local-user admin
# 配置用户admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-admin] service-type http https
[CentralAC-luser-manage-admin] quit
# 创建并配置本地用户b-admin。
[CentralAC] local-user b-admin
# 配置用户b-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-b-admin] service-type http https
# 设置用户b-admin的密码。
[CentralAC-luser-manage-b-admin] password simple badmin
# 指定用户b-admin的授权角色为b。
[CentralAC-luser-manage-b-admin] authorization-attribute user-role b
# 为保证用户仅使用授权的用户角色b,删除用户b-admin具有的缺省用户角色network-operator。
[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-b-admin] quit
# 创建并配置本地用户c-admin。
[CentralAC] local-user c-admin
# 配置用户c-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-c-admin] service-type http https
# 设置用户c-admin的密码。
[CentralAC-luser-manage-c-admin] password simple cadmin
# 指定用户c-admin的授权角色为c。
[CentralAC-luser-manage-c-admin] authorization-attribute user-role c
# 为保证用户仅使用授权的用户角色c,删除用户c-admin具有的缺省用户角色network-operator。
[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-c-admin] quit
# 创建AP组groupb,将AP 1与AP 2加入该组中。
[CentralAC] wlan ap-group groupb
[CentralAC-wlan-ap-group-groupb] ap ap1 ap2
# 标记地区标识areab。
[CentralAC-wlan-ap-group-groupb] location areab
[CentralAC-wlan-ap-group-groupb] quit
# 创建AP组groupc,将AP 3与AP 4加入该组中。
[CentralAC] wlan ap-group groupc
[CentralAC-wlan-ap-group-groupc] ap ap3 ap4
# 标记地区标识areac。
[CentralAC-wlan-ap-group-groupc] location areac
[CentralAC-wlan-ap-group-groupc] quit
(3) 配置Local AC-B
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
<LocalAC-B> system-view
[LocalAC-B] interface vlan-interface 100
[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24
[LocalAC-B-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-B] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-B] wlan central-ac ip 10.0.0.1
(4) 配置Local AC-C
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
<LocalAC-C> system-view
[LocalAC-C] interface vlan-interface 100
[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24
[LocalAC-C-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-C] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-C] wlan central-ac ip 10.0.0.1
# 在Web页面上登录超级管理员账号,查看并管理所有AP。
图1-4 超级管理员登录界面
# 在WEB页面上登录地区C管理员账号,查看、管理地区C分部的AP。
图1-5 地区C管理员登录界面
# 在Web页面上登录地区B管理员账号,查看、管理地区B分部的AP。
图1-6 地区B管理员登录界面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!