10-H3C AD Campus无线部署手册
本章节下载: 10-H3C AD Campus无线部署手册 (4.23 MB)
AD Campus:Application Driven Campus(应用驱动园区网)是一种园区网解决方案,也是一种SDN解决方案。
AD Campus方案能对移动用户、固定用户和各类终端进行识别,按照用户所属的用户组或者终端所代表的一类应用进行标记后下发策略,整个网络中用户和终端可以不受位置限制进行部署,但最终获取的网络资源和网络权限保持一致,最终达到网随人动的效果。
AD Campus方案得益于柔性网络的引入,改变了传统方案中IP规划的原则,让IP可以在整个园区网任意位置接入,同时通过SDN控制器控制DHCP服务器,实现同一用户组内终端只能获取指定网段内的IP地址或指定每一终端获取固定的IP地址。
“IP即用户”价值在于将用户和IP实现一一对应,实现对IP的控制同时就是对用户的控制,可以方便审计到人;“网段即业务”价值在于将IP网段和园区内的用户组或业务进行耦合,通过对应的IP网段实现对业务或用户组的控制,一条ACL就可以实现业务之间的隔离。
AD Campus方案柔性网络最大的特点就是对用户和终端而言整个网络无状态,其核心就是位址分离,不管用户移动到哪里,IP地址都能随身携带。IP地址不光能承担路由连通性的技术功能,还具有身份和业务的标识功能,可以实现用户或终端的即插即用、用户的权限随行,IP地址和位置不相关,让同一IP可以在任意位置接入,包括有线网络、无线网络之间做漫游,而不需要更改任何配置。
AD Campus方案能够改变传统网络物理端口划分的方式实现隔离,能够做到隔离与终端位置无关、与中间网络无关、与接入方式无关,通过自动识别、自动标记、自动策略分配的方式感知用户终端属性,自动接入隔离网络,多种隔离手段并存,满足不同隔离强度。
AD Campus方案适用于大规模的单园区组网、大型企业的总部+多分支接入场景或者多个主园区接入场景。
在多园区+多分支组网(VXLAN模型)中,可以在一个主园区集中部署AC,所有的AP跨越公网注册到该AC;也可以在每个园区或分支分布式部署AC,每个园区或分支的AP注册到各自的AC。
图1-1 园区网全景图
如图1-2所示,AD Campus网络由接入层(Access)、汇聚层(Leaf)和核心层(Spine)组成。汇聚层与核心层之间采用VXLAN组网,汇聚层与接入层之间采用VLAN组网,通过Overlay技术实现大二层,同时采用分布式网关达到终端IP地址与位置解耦,即用户移动而保持IP不变以及服务与位置解耦,即服务可任意位置部署,用户移动而服务不变的效果。
采用安全分组的概念来简化用户访问控制策略;一个用户安全组对应一个VLAN/VXLAN(也就是对应一个网段),组间策略实质就是网段与网段之间的ACL。
Campus Director作为 整个网络集中的管理和控制点,是整个园区网管理的唯一入口,对有线和无线业务进行统一的拓扑呈现,统一的接入用户管理,统一的基于五元组划分安全组,实现了有线无线深度融合。
图1-2 AD Campus基本组网示意图
Spine和Leaf设备请使用指定型号,其它设备无型号限制。建议使用官网最新版本开局。
· EVPN构建Overlay网络,Leaf作为分布式网关;
· 认证点在汇聚设备上,通过DHCP Snooping将用户地址上送到Spine;
· 管理和控制分离,业务和控制分离:
¡ VLAN 1作为临时管理;
¡ VLAN 4094作为DHCP和认证协议控制通道,用户VXLAN由Director根据认证下发的VLAN自动映射;
¡ VLAN 4093作为无线管理通道。
(1) 构建基础underlay网络,通过路由协议保持联通;
(2) 通过EVPN构建基础Overlay网络,打通VXLAN通道;
(3) 初始用户认证报文在Access设备通过任意VLAN(默认101~3500)透传到Leaf触发认证;
(4) Leaf收到认证报文后从VXLAN 4094转发到Spine;
(5) Spine解析隧道报文送给EIA处理;
(6) EIA认证通过,下发该用户授权VLAN,同时在Leaf的下行接口生成用户动态ACL,动态匹配用户VLAN到业务VXLAN;
(7) 用户终端申请DHCP,该报文从用户所在VLAN透传到Leaf匹配用户动态ACL,经Leaf设备CPU处理从控制通道VXLAN 4094上送DHCP server;
(8) Leaf作为DHCP relay proxy,将源IP变为自己VXLAN 4094地址并添加option 82信息(与VXLAN有关);
(9) DHCP server根据option 82信息查找对应的作用域,分配IP地址,将回应报文发给Leaf;
(10) Leaf根据option 82信息查找用户接口,从用户所在VLAN将响应报文发送给Client,终端便可获取相应IP地址访问网络;
(11) DHCP续约报文为单播到DHCP server,要保证用户VPN和DHCP所在VPN路由泄露。
AD Campus方案中无线AC部署方式分为两种:一种是使用独立的无线AC旁挂在Spine上;另外一种使用无线控制器业务板直接插在Spine或者Leaf设备上,两种部署方式都可以采用AP本地转发模式,或采用集中转发模式,推荐使用AP本地转发。
终端的报文封装到CAPWAP隧道,通过VXLAN 4093转发到AC,AC解封装后,VLAN转发到Spine/Leaf上进入对应的VXLAN二层网络域处理。
AC仅负责控制和管理AP,终端的数据报文在AP上携带授权VLAN的tag直接转发到Access交换机上(包括DHCP报文),进入Leaf时免认证并直接映射到VXLAN中进行DHCP IP地址获取及通信。
这样带来两个好处:
(1) 由于AC不再负责数据转发,性能瓶颈完全消除,完全顺应将来高速无线的趋势,而且AC成本可以大幅降低,甚至将来AC完全可以做成软件集成到Director中作为一个功能管控模块;
(2) 从AP转发出来的报文不再封装CAPWAP,而是802.3格式的以太网报文,网关也都设置在交换机上。这样消除了CAPWAP的加减封装的处理消耗,效率更高。AP发送出来的无线流量和从交换机/PC发送出来的有线流量一模一样,有线/无线流量完全混跑在一起,其他设备无法区分也不需要区分。在AP本地转发模式下,由于AD Campus基于VXLAN构建了一个大二层域,AP依旧可以跨整个园区大范围漫游,与传统网络中L2网段内漫游流程一样,当终端第一次关联到AP时会进行完整的集中认证,通过完整的认证、密钥协商、授权等过程获得服务,此后终端的授权信息将被AC保存在缓存中,当漫游发生后,用户在新的AP只要进行简单的关联即可快速获得服务,用户能够保持原IP地址不变,权限不变。
AD Campus方案可以尽量减少AP上线过程中管理员的操作。AP自动化上线的前提是有线网络已部署完毕,AC已被纳管并且通过VLAN 4093或VXLAN 4093对AP进行管理。
管理员在Director为AP管理网段创建一个二层网络域(指定VXLAN为4093),交换机自动化过程中,Leaf/Access如果发现自己是PoE交换机,默认开启所有以太网电口的PoE功能,AP/AC连接到交换机,交换机通过LLDP自动发现AC/AP后将端口自动配置为PVID 4093并允许所有VLAN通过。具体上线流程如下:
图2-1 AP自动化上线流程
(1) Director上预先配置好二层网络域VXLAN 4093、IP网段、网关地址、option43;
(2) Director将配置的内容转发成相应的配置项,分别下发到DHCP server和Leaf上,在DHCP server上会生成相应地址池;
(3) Director在Leaf设备上创建VXLAN 4093网关,并配置端口和VLAN映射到VXLAN 4093(端口为Leaf接Access设备的接口,VLAN为4093);
(4) AP接入后通过LLDP获取接入设备的设备型号,接入设备通过LLDP发现新接入设备为AP时会自动将连接AP的端口设置为PVID=4093,并允许所有VLAN通过;
(5) AP在VXLAN 4093中通过DHCP获取自身IP地址和AC的IP地址;
(6) AP向AC发起注册,完成上线。
AC的上线流程与AP类似,但AC的IP地址为人工配置,而不是DHCP且无注册过程,此处不再赘述。
无线用户的认证点在AC上,无线同一安全组的用户流量在同一个VLAN内。
在创建业务使用的二层网络域时,Director自动分配了一个专门的VLAN(预留VLAN/VXLAN中的二层网络域VLAN,每安全组使用一个)给该安全组的无线终端使用,同时在Leaf下行口配置该VLAN的报文免认证并映射到对应的VXLAN,只需要配置Director/Leaf,不涉及AC配置。
AC上无需做业务VLAN预配置,用户连接上无线信号后首先以AC为NAS向EIA发起认证,认证通过之后,会根据用户所在的安全组下发对应的授权VLAN到AC设备上。无线流量到达Leaf后,对无线VLAN的流量不做认证,直接放行,后续该用户的报文都在授权VLAN内转发。
AP通过监听DHCP协议报文学习到用户的IP地址,将IP地址上报EIA,EIA通知Director进行DHCP server的绑定操作,后续无线用户再次上线,确保能永远获得同一个IP地址。
目前无线用户支持的认证方式有802.1X认证、MAC地址认证、MAC Portal认证、MAC Portal Plus认证。无线AC只支持802.1X的EAP认证。对于一些具有有线口的AP,如面板AP、无线终结单元WTU420H、WTU430H等,有线口接入的用户无法实现MAC Portal认证,但是可以进行MAC Portal Plus认证。区别于AP无线授权VLAN下发方式,AP有线口不支持授权VLAN下发,当前方案采取有线口VLAN预配置,依据用户有线业务VLAN规划,通过map文件下发到AP生效。
终端在AP有线口接入,报文在AP上携带预配置有线业务VLAN的tag直接转发到Access交换机上(包括DHCP报文),进入Leaf进行有线用户认证。
需要注意的是:
· AP有线口提供网口接入、流量引流到Leaf,后续流程与有线用户认证一样。
· AP无论采用集中式转发或本地转发模式,终端在AP有线口接入,有线口报文不会封装到CAPWAP隧道(有线流量不进隧道)。
MAC Portal认证的实质是两次MAC地址认证。MAC Portal认证基本流程如下:
图2-2 MAC Portal认证基本流程
(1) 用户第一次上线时,发起MAC地址认证;
(2) AC与EIA服务器交互RADIUS认证报文,EIA查询不到终端MAC地址,根据用户端口和VLAN将用户数据流量映射入Guest VXLAN;
(3) 用户在Guest VXLAN内通过DHCP获取IP地址,至此完成第一次MAC地址认证。
(4) 用户发起HTTP报文触发重定向,EIA给终端返回URL重定向地址为Portal服务器地址。
(5) 用户在重定向的Portal Web界面输入用户名和密码,EIA将终端MAC地址和用户账号绑定;
(6) EIA完成用户MAC地址和账号绑定后将用户NAS IP、NAS Port和端口VLAN传给Director,并通过COA下发DM属性,强制用户下线;
(7) 用户重新上线后,再次发起MAC地址认证;AC与EIA服务器交互RADIUS认证报文,EIA查询到终端MAC;
(8) EIA根据用户MAC地址对应的账号将用户授权到相应的VLAN中,再根据用户端口和授权VLAN将用户数据流量静态映射入业务VXLAN;
(9) 用户在业务VXLAN内通过DHCP重新获取IP地址,从而可以正常上网。
需要注意的是:
不使用MAC Portal认证,不存在授权VLAN下发概念,依照无线传统组网开局配置,本地转发需在AC和AP上创建业务VLAN并放通(AP采取map文件下发),同时在Leaf下行口配置该VLAN的报文免认证并映射到对应的VXLAN,集中转发只需在AC配置即可。
802.1X/MAC地址认证基本流程如下:
图2-3 802.1X/MAC地址认证基本流程
(1) 用户第一次上线时,发起802.1X/MAC地址认证;
(2) AC与EIA服务器交互RADIUS认证报文;
(3) EIA认证通过后下发用户业务VXLAN,AC根据用户MAC地址、端口号和端口VLAN将用户数据流量映射入VXLAN;
(4) AC向用户返回802.1X认证成功响应报文(MAC地址认证无此步骤);
(5) 用户在业务VXLAN内通过DHCP重新获取IP地址,从而可以正常上网。
MAC Portal认证与传统MAC、802.1X认证的主要差异如表2-1所示。
表2-1 MAC Portal认证与MAC地址认证、802.1X认证对比
对比项 |
MAC地址认证 |
802.1X认证 |
MAC Portal认证 |
易用性 |
无需客户端,易用 |
需要客户端,不易用 |
无需客户端,易用 |
地址分配 |
先认证再分配 |
先认证再分配 |
两次地址分配 |
安全性 |
易仿冒,低 |
高 |
较高 |
· 由于无线控制器业务板不支持VXLAN转发,需要使用环回方案来实现。如无特殊说明,本文中的无线AC即代表独立的无线AC控制器,无线插卡即代表无线控制器业务板。两种部署方式只是在无线设备及相连的交换机上配置不同,Director上的业务配置基本相同。
· AC通过VLAN 4094/VXLAN 4094被Director纳管,并与认证服务器通信进行接入用户认证。无线AC设备通过VLAN 4093/VXLAN 4093与AP建立CAPWAP隧道,对AP进行管理。
· 集中转发和本地转发都需要配置ACL。
· 如果AP带有线接口,给有线口划分的VLAN ID必须是VLAN 101~3500,AP有线口的流量不会走VLAN 4093/VXLAN 4093到达AC,而是直接进入上行Access交换机。
· MAC Portal认证时为了将无线终端踢下线并快速重新上线获取IP地址,需要配置客户端二次接入认证的时间间隔及动态黑名单基于AC生效。二次接入认证时间间隔配置命令默认时间间隔为10秒,现网如果出现终端没有踢下线或者下线了没有重新上线可以通过调整该时间来优化。
# 配置VLAN 4094的IP地址,用于Director的管理使用。
<AC> system-view
[AC] interface Vlan-interface4094
[AC-Vlan-interface4094] ip address 110.0.1.205 255.255.255.0
[AC-Vlan-interface4094] quit
# 配置VLAN 4093的IP地址,AC以该地址与AP建立CAPWAP隧道。
[AC] interface Vlan-interface4093
[AC-Vlan-interface4093] ip address 110.0.2.205 255.255.255.0
[AC-Vlan-interface4093] quit
# 开启LLDP功能,以确定拓扑关系。
[AC] lldp global enable
# 配置STP,以防止环路。
[AC] undo stp vlan 2 to 4094 enable
[AC] stp mode pvst
[AC] stp global enable
# 配置SNMP功能。
[AC] snmp-agent
[AC] snmp-agent community write private
[AC] snmp-agent community read public
[AC] snmp-agent sys-info version all
[AC] snmp-agent packet max-size 4094
# 配置NETCONF功能。
[AC] netconf soap http enable
[AC] netconf soap https enable
# 配置本地用户。
[AC] local-user h3c class manage
[AC-luser-manage-h3c] password simple 123456
[AC-luser-manage-h3c] service-type ftp
[AC-luser-manage-h3c] service-type ssh telnet terminal http https
[AC-luser-manage-h3c] authorization-attribute user-role network-admin
[AC-luser-manage-h3c] quit
# 配置AC连接Spine的接口允许所有VLAN通过。
[AC] interface gigabitethernet1/0/10
[AC-GigabitEthernet1/0/10] port link-type trunk
[AC-GigabitEthernet1/0/10] port trunk permit vlan all
[AC-GigabitEthernet1/0/10] quit
# 配置ACL规则,放行到Portal Web服务器的流量。
[AC] acl advanced 3001
[AC-acl-ipv4-adv-3001] rule 0 permit ip destination 110.0.1.91 0
# 配置ACL规则,放行来自Portal Web服务器的流量。
[AC-acl-ipv4-adv-3001] rule 5 permit ip source 110.0.1.91 0
# 配置ACL规则,放行DHCP报文。
[AC-acl-ipv4-adv-3001] rule 10 permit udp destination-port eq bootpc
[AC-acl-ipv4-adv-3001] rule 15 permit udp destination-port eq bootps
[AC-acl-ipv4-adv-3001] rule 20 deny ip
[AC-acl-ipv4-adv-3001] quit
# 使用文本文档编辑AP的配置文件,将配置文件命名为map.txt,并将配置文件上传到AC存储介质上,用于AP上线后自动配置上行口允许所有VLAN通过及MAC Portal认证时所需的授权ACL。
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
#
acl advanced 3001
// 放行到Portal Web服务器的地址。
rule 0 permit ip destination 110.0.1.91 0
// 放行来自Portal Web服务器的地址。
rule 5 permit ip source 110.0.1.91 0
rule 10 deny ip
#
# 在默认AP组里指定AP的配置文件,当AP上线时自动下载该配置文件并生效。
[AC] wlan ap-group default-group
[AC-wlan-ap-group-default-group] ap-model WA4320-ACN
[AC-wlan-ap-group-default-group-ap-model-WA4320-ACN] map-configuration map.txt
[AC-wlan-ap-group-default-group-ap-model-WA4320-ACN] quit
[AC-wlan-ap-group-default-group] quit
# 配置客户端二次接入认证的时间间隔,并配置动态黑名单基于AC生效。
[AC] wlan client reauthentication-period 10
[AC] undo wlan dynamic-blacklist active-on-AP
# 开启url重定向功能(仅适用于MAC Portal认证)。
[AC] wlan service-template 2
[AC-wlan-st-2] client url-redirect enable
[AC-wlan-st-2] quit
# 将连接无线AC的接口配置为Trunk口(如果采用AP本地转发模式,不需要配置允许所有VLAN通过,如果采用集中式转发,需要配置允许所有VLAN通过)。
<Spine> system-view
[Spine] interface ten-gigabitethernet4/3/0/20
[Spine-Ten-GigabitEthernet4/3/0/20] port link-mode bridge
[Spine-Ten-GigabitEthernet4/3/0/20] port link-type trunk
[Spine-Ten-GigabitEthernet4/3/0/20] port trunk permit vlan all
[Spine-Ten-GigabitEthernet4/3/0/20] quit
# 在连接无线AC的接口上配置服务实例,用于完成管理通道/控制通道的连通。
[Spine] interface ten-gigabitethernet4/3/0/20
[Spine-Ten-GigabitEthernet4/3/0/20] port trunk permit vlan 4094
[Spine-Ten-GigabitEthernet4/3/0/20] service-instance 4094
[Spine-Ten-GigabitEthernet4/3/0/20] encapsulation s-vid 4094
[Spine-Ten-GigabitEthernet4/3/0/20] xconnect vsi 4094
[Spine-Ten-GigabitEthernet4/3/0/20] quit
# 打开[资源/有线]页面,点击右上角<增加设备>按钮。
# 在弹出的页面中输入无线控制器的IP地址,其它参数采用默认配置。
# 查看新增设备信息。
# 点击右下角“修改NETCONF参数”。
# 新增访问URL协议SOAP/HTTP类型,对应的用户名和设备上配置的用户名和密码一致,单击“确定”。
# 单击“测试”并返回。
请确认有线设备都已加入到Director且加入到相应的设备组里,Leaf下行口也加入到对应的接口组中。
# 创建无线管理使用的二层网络域,子网及掩码和无线AC相同,配置可选参数,手工配置VLAN/VXLAN均为4093,开启ARP代理,配置AC的IP地址。
# 配置无线管理使用的安全组,勾选DHCP,在DHCP服务器上创建地址池,用于AP上线时自动向DHCP服务器申请IP地址。
# 点击<确定>按钮后会在Leaf和Spine上下发VXLAN和VSI接口配置。
#
vsi vsi4093
flooding disable broadcast
vxlan 4093
evpn encAPsulation vxlan
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
DHCP snooping binding record
#
interface Vsi-interface4093
description wlan
ip binding vpn-instance VPN-Default
ip address 110.0.2.1 255.255.255.0
mac-address 0000-0000-0001
local-proxy-arp enable
DHCP select relay proxy //Spine上不会下发DHCP relay相关配置
DHCP relay information circuit-id vxlan-port
DHCP relay information enable
DHCP relay server-address 110.0.1.64
DHCP relay source-address interface Vsi-interface4094
DHCP relay request-from-tunnel discard
distributed-gateway local
#
# 在Access设备上下发VLAN 4093。
#
vlan 4093
#
# DHCP服务器上会创建对应的作用域及策略。
# 该地址池的作用域选项里增加了option43选项(红色部分为创建二层网络域时填写的AC IP的16进制)。
# 打开[资源/DDI/DHCP配置]页面,点击DHCP服务器,在WLAN子网操作列点击“+”增加地址排除范围,把AC的IP地址在地址池中排除。
# 单击<确定>,可以看到该AC地址已经是“分发中不包含的地址”。
无线控制器使用dot1x认证时需要配置为EAP模式,需要为无线AC单独创建一个设备组,并配置设备组策略。
# 增加设备组
打开[业务/通用组/设备组]页面,点击<增加>按钮进行无线AC设备组的配置。
# 配置设备组策略。
打开[业务/通用组/设备组]页面,点击<增加>按钮,增加无线AC设备组的组策略。
# 全局开启AAA认证的参数里需填写域名、密码及服务器IP地址。
# 802.1X认证方式需选择EAP。
# 全部配置完成后,查看页面上对应的部署结果,提示操作成功。
# 增加PoE接口组,并将Access交换机上与AP相连的端口加入到该接口组。
打开[业务/通用组/接口组]页面。点击<增加>按钮,新增一个PoE接口组,并将Access交换机上与AP相连的端口加入到该接口组。
# 增加PoE接口组的组策略。
打开[业务/通用组/接口组/PoE接口组组策略]页面。增加PoE接口组策略,动作包含“接口poe使能”和“接口Trunk VLAN”。
# “接口Trunk VLAN”动作的参数中PVID需填为4093并允许所有VLAN通过。
# 单击<确定>按钮,可看到如下结果。
(5) 认证点RADIUS配置
# 打开[业务/接入组]页面,单击右上角“接入设备配置”,在弹出页面填写接入设备信息,配置与全局开启AAA时相同的共享密钥。
# 在设备列表中选择无线AC,点击<确定>后增加到接入设备中。
(6) 证书安装(仅适用于802.1X认证)
如果使用802.1X方式认证,服务器还需要安装证书,对于不需要EAP-TLS双向证书认证的普通业务,我司提供了自己申购的预置证书,可直接使用;对于需要使用EAP-TLS的局点需要用户自建CA并申请证书。
如果使用我司提供的预置证书,在[业务/接入组/业务参数配置/证书配置]页面,导入预置证书即可。
(7) 无线AP配置
# 打开[资源/无线/无线资源/无线控制器/批量配置/AP模板配置]页面,点击<增加>按钮,将AP的信息输入即可。
# AP接入PoE交换机后可以成功注册,并显示在Fit AP列表里。
# 打开[资源/无线/无线资源/无线控制器/批量配置/radio批量配置]页面,增加AP中的Radio并设置其管理状态为UP,其它请根据需要配置。
# 打开[资源/无线/无线资源/无线控制器/批量配置/服务策略配置]页面,点击“增加服务策略”,新增一个802.1X认证的服务策略。
# 增加MAC地址认证的WLAN服务策略。
# 打开[资源/无线/无线资源/无线控制器/批量配置/服务策略配置]页面,选中对应的服务策略,并增加Radio,点击“绑定服务策略”。
# 打开[资源/无线/无线资源/wlan服务/全局转发配置]页面配置转发模式。
转发模式选择“本地”,点击<确定>按钮,需要注意的是,该配置需要在WLAN服务配置完成后再配置,否则,还需要再配置一次全局转发模式,新增加的VLAN服务模式才会切换。
(8) MAC Portal认证配置
MAC Portal认证配置前,请先配置BYOD用户及接入用户。
# 配置无线服务策略,类型为MAC地址认证。
# 打开[资源/无线/无线资源/无线控制器/批量配置/服务策略配置]页面,选中对应的服务策略,并增加Radio,点击“绑定服务策略”。
# 打开[资源/无线/无线资源/wlan服务/全局转发]页面,转发模式选择“本地”,点击<确定>,需要注意的是,该配置需要在WLAN服务配置完成后再配置,否则,还需要再配置一次全局转发模式,新增加的VLAN服务模式才会切换。
# 打开[用户/访客用户/页面推送策略]页面,增加页面推送子策略,条件中终端类型分组选择“手机”,认证页面选择“PHONE-缺省Web认证(PHONE)”。
# 配置完成后终端上线,AC上查看无线终端和认证信息。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name RID IP address IPv6 address VLAN
5cad-cf6f-694c 5cadcf6... AP-1 2 11.1.1.6 3505
[AC] display mac-authentication connection
Total connections: 1
User MAC address : 5cad-cf6f-694c
AP name : AP-1
Radio ID : 2
SSID : ys-mac
BSSID : 3897-d6de-57b1
Username : 5cadcf6f694c
Authentication domain : h3c
Initial VLAN : 1
Authorization VLAN : 3505 //认证通过后的授权VLAN,在Leaf上免认证且映射到对应的二层网络域VXLAN中
Authorization ACL number : 3001 //BYOD用户的授权ACL,匹配该ACL的报文才能通过
Authorization user profile : N/A
Termination action : Default
Session timeout period : 86400 s
Online from : 2016/09/29 17:48:08
Online duration : 0h 0m 9s
无线终端可以根据接入终端类型及接入的SSID来推送不同的MAC Portal登陆页面,对于访客用户可以推送访客接入页面进行访客注册登录。
进行无线访客配置前,请先配置BYOD用户及访客业务,同时还需配置无线MAC Portal使用的无线服务。
# 打开[业务/接入组/接入条件管理/SSID分组]页面,增加SSID分组,并将对应的SSID添加到SSID列表中。
# 打开[业务/接入组/接入条件管理/终端类型分组]页面,增加手机类型的终端类型分组,终端类型里把手机选中。
# 打开[用户/访客用户/页面推送策略]页面,增加页面推送子策略,条件中SSID分组选中“访客”,终端类型分组选择“手机”,认证页面选择“PHONE-短信开户与认证(PHONE)”。
无线插卡可直接插在Spine上,通过VLAN 4094与Director进行通信,并纳入到AD Campus方案的管理中与认证服务器通信进行认证,通过VLAN 4093/VXLAN 4093与AP进行通信。由于当前无线插卡不支持VXLAN转发能力,需要使用环回方案来实现。
在后插板内联口上配置QinQ,同时在支持VXLAN三层的接口板上选取两个端口通过光纤/光模块外环,两个端口关闭STP,其中一个口配置QinQ,和后插板内联口建立一个QinQ隧道,将无线插卡进入的流量经过QinQ封装解封装后从支持VXLAN三层转发的外环口进入,从而实现VXLAN转发。
无线插卡的配置与无线控制器部署配置举例相同,请参见3.1.2 1. 配置AC。
Ten-GigabitEthernet4/5/0/1为后插板内联口(与无线插卡的内联口内部互联),实际组网可以将多个内联口聚合使用,Ten-GigabitEthernet4/3/0/7和Ten-GigabitEthernet4/3/0/8为支持VXLAN三层转发的接口板的两个端口,使用光纤/光模块外环连接。
# 配置VLAN 4091作为QinQ封装外层VLAN,在后插板内联口上配置允许所有VLAN通过及QinQ,同时配置VLAN 1的报文直接透传。
<Spine> system-view
[Spine] vlan 4091
[Spine-vlan4091] quit
[Spine] interface ten-gigabitethernet4/5/0/1
[Spine-Ten-GigabitEthernet4/5/0/1] port link-mode bridge
[Spine-Ten-GigabitEthernet4/5/0/1] port link-type trunk
[Spine-Ten-GigabitEthernet4/5/0/1] port trunk permit vlan all
[Spine-Ten-GigabitEthernet4/5/0/1] port trunk pvid vlan 4091
[Spine-Ten-GigabitEthernet4/5/0/1] qinq enable
[Spine-Ten-GigabitEthernet4/5/0/1] qinq transparent-vlan 1
[Spine-Ten-GigabitEthernet4/5/0/1] quit
# 在外环口Ten-GigabitEthernet4/3/0/8上配置QinQ及关闭STP。
[Spine] interface ten-gigabitethernet4/3/0/8
[Spine-Ten-GigabitEthernet4/3/0/8] port link-mode bridge
[Spine-Ten-GigabitEthernet4/3/0/8] port link-type trunk
[Spine-Ten-GigabitEthernet4/3/0/8] undo port trunk permit vlan 1
[Spine-Ten-GigabitEthernet4/3/0/8] port trunk permit vlan 4091
[Spine-Ten-GigabitEthernet4/3/0/8] port trunk pvid vlan 4091
[Spine-Ten-GigabitEthernet4/3/0/8] qinq enable
[Spine-Ten-GigabitEthernet4/3/0/8] undo stp enable
[Spine-Ten-GigabitEthernet4/3/0/8] quit
# 配置VSI 4093、VSI虚接口IP地址,并在外环口Ten-GigabitEthernet4/3/0/7上配置服务实例(绑定VLAN 4093/4094和VSI 4093/4094),用于完成无线插卡和AP的连通以及无线插卡与Director的认证通道建立。
[Spine] interface ten-gigabitethernet4/3/0/7
[Spine-Ten-GigabitEthernet4/3/0/7] port link-mode bridge
[Spine-Ten-GigabitEthernet4/3/0/7] port link-type trunk
[Spine-Ten-GigabitEthernet4/3/0/7] undo port trunk permit vlan 1
[Spine-Ten-GigabitEthernet4/3/0/7] port trunk permit vlan 4093 to 4094
[Spine-Ten-GigabitEthernet4/3/0/7] port trunk pvid vlan 4091
[Spine-Ten-GigabitEthernet4/3/0/7] undo stp enable
[Spine-Ten-GigabitEthernet4/3/0/7] service-instance 4093
[Spine-Ten-GigabitEthernet4/3/0/7-srv4093] encapsulation s-vid 4093
[Spine-Ten-GigabitEthernet4/3/0/7-srv4093] xconnect vsi 4093
[Spine-Ten-GigabitEthernet4/3/0/7-srv4093] quit
[Spine-Ten-GigabitEthernet4/3/0/7] service-instance 4094
[Spine-Ten-GigabitEthernet4/3/0/7-srv4094] encapsulation s-vid 4094
[Spine-Ten-GigabitEthernet4/3/0/7-srv4094] xconnect vsi 4094
# 如果采用集中式转发,还需将无线插卡部署方式中配置了VXLAN 4094服务实例的外环口加入Leaf下行接口组里。如果无法将外环口加入Leaf下行口,需手工配置业务安全组的服务实例。
[Spine-Ten-GigabitEthernet4/3/0/7-srv4094] quit
[Spine-Ten-GigabitEthernet4/3/0/7] service-instance 3532
[Spine-Ten-GigabitEthernet4/3/0/7-srv3532] encapsulation s-vid 3532
[Spine-Ten-GigabitEthernet4/3/0/7-srv3532] xconnect vsi vsi3532
[Spine-Ten-GigabitEthernet4/3/0/7-srv3532] quit
[Spine-Ten-GigabitEthernet4/3/0/7] service-instance 3533
[Spine-Ten-GigabitEthernet4/3/0/7-srv3533] encapsulation s-vid 3533
[Spine-Ten-GigabitEthernet4/3/0/7-srv3533] xconnect vsi vsi3533
[Spine-Ten-GigabitEthernet4/3/0/7-srv3533] quit
[Spine-Ten-GigabitEthernet4/3/0/7] service-instance 3534
[Spine-Ten-GigabitEthernet4/3/0/7-srv3534] encapsulation s-vid 3534
[Spine-Ten-GigabitEthernet4/3/0/7-srv3534] xconnect vsi vsi3534
[Spine-Ten-GigabitEthernet4/3/0/7-srv3534] quit
[Spine-Ten-GigabitEthernet4/3/0/7] service-instance 3535
[Spine-Ten-GigabitEthernet4/3/0/7-srv3535] encapsulation s-vid 3535
[Spine-Ten-GigabitEthernet4/3/0/7-srv3535] xconnect vsi vsi3535
[Spine-Ten-GigabitEthernet4/3/0/7-srv3535] quit
[Spine-Ten-GigabitEthernet4/3/0/7] arp detection trust
[Spine-Ten-GigabitEthernet4/3/0/7] quit
# 在所有安全组对应的VSI口上开启DHCP relay功能。
[Spine] interface vsi-interface3532
[Spine-Vsi-interface100] dhcp select relay proxy
[Spine-Vsi-interface100] dhcp relay information circuit-id vxlan-port
[Spine-Vsi-interface100] dhcp relay information enable
[Spine-Vsi-interface100] dhcp relay server-address 110.0.1.64
[Spine-Vsi-interface100] dhcp relay server-address 110.0.1.65
[Spine-Vsi-interface100] dhcp relay source-address interface vsi-interface4094
[Spine-Vsi-interface100] dhcp relay request-from-tunnel discard
[Spine-Vsi-interface100] quit
Director的配置与无线控制器部署配置举例相同,请参见3.1.2 3. Director。
· 用户名/密码不正确;
· 用户数量达到设备允许上线的最大值;
· 接入场景不匹配;
· 无线AC与认证服务器之间网络不可达;
· 无线AC未加入到接入设备中。
(1) 检查RADIUS服务器状态是否正常,State为Active则正常,Block则异常。
<Sysname> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: testscheme
Index: 0
Primary authentication server:
IP : 110.0.1.62 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Primary accounting server:
IP : 110.0.1.62 Port: 1813
VPN : Not configured
State: Active
Second authentication server:
IP : 110.0.1.63 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Second accounting server:
IP : 110.0.1.63 Port: 1813
VPN : Not configured
State: Active
(2) 如果State为Active,请在Director上查看认证失败记录:故障诊断-接入日志分析-认证失败日志,并请根据相应原因进行处理。
(3) 如果State为Block,首先在AC上ping认证服务器是否正常,如果不正常请检查网络配置;如果可以ping通认证服务器,请在Director上检查接入设备中是否将无线AC加入且共享密钥是否正确。
· 无线终端到Portal服务器不通;
· 未配置页面推送策略。
(1) 检查无线终端是否能ping通Portal服务器,如果可以ping通,请在用户-访客用户-页面推送策略中,检查页面推送策略配置是否正确;
(2) 如果ping不通Portal服务器,首先请检查BYOD用户专用的ACL 3001是否配置,并放行到Portal服务器的流量;如果正确,请检查路由配置是否正常。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!