AC双机(VRRP热备份)环境下的无线Portal接入
双机环境包括AC双机(VRRP)、RADIUS服务器双机和Portal服务器双机,在无线网络中采用双机部署方案,提高网络的可靠性。
组网需求
某企业(大约2000人的规模)由于业务需要,需要部署一套身份认证系统,对所有通过无线接入企业网络的员工进行准入控制,确保只有合法用户才能接入网络。
- 希望操作方面相对简单,只做准入授权,不想在终端上安装其他的软件。
- 对尝试接入园区网的所有终端进行统一的身份认证,拒绝身份不合法的终端接入园区网。
- 园区有内部员工和访客两种用户,内部员工和访客分别通过不同的SSID接入。
- 内部员工认证通过前能访问DNS服务器和Agile Controller-Campus,认证通过后能访问公司内网和Internet。
- 访客认证通过前能访问DNS服务器和Agile Controller-Campus,认证通过后只能访问Internet。
- 为了提高网络的可靠性,网络中已提供两台AC、两台核心交换机和两台Agile Controller-Campus服务器,分别做双机热备。
需求分析
考虑用户组网情况,对终端安全检查没有特殊要求,并且操作方面尽量简单,不需要安装客户端,考虑采用Portal准入控制方案。
- 可靠性:
- AC1与AC2分别通过旁路的方式连接到S7700A和S7700B上,AC1与AC2配置VRRP组,通过HSB(Hot-Standby Backup)链路进行主备配置。
- 两台S7700配置VRRP组,增加网关可靠性。
- 为提高链路可靠性,汇聚交换机与接入交换机、AC与核心交换机、AC之间链路均采用Eth-Trunk方式连接。
- Agile Controller-Campus采用1(SM)+2(SC)方式部署,保障认证服务器可靠性。
- 网络互通:
- 汇聚层交换机配置为DHCP Server,为AP分配地址。核心交换机作为DHCP Server为访客和员工分配地址。
- 数据流量转发方式:
员工数据流量采用本地转发方式,认证报文采用隧道转发;访客数据流量和认证报文采用隧道转发方式。
- 业务:
- 员工和访客均通过Portal推送的Web页面进行身份认证,通过在AC上配置不同的ACL规则对用户的访问权限进行控制。
- 配置两个SSID,员工和访客分别使用不同的SSID接入。
VLAN规划
VLAN ID |
用途 |
|---|---|
100 |
AP的管理VLAN |
101 |
员工的业务VLAN |
102 |
访客的业务VLAN |
103 |
核心交换机网络出口的VLAN |
104 |
两台AC之间通信的VLAN |
网络数据规划
项目 |
编号 |
接口号 |
Eth-Trunk |
所属VLAN |
IP地址 |
说明 |
|
|---|---|---|---|---|---|---|---|
接入交换机S2750EI |
(1) |
GE0/0/1 |
- |
100、101 |
- |
连接AP |
|
(2) |
GE0/0/4 |
- |
100、101 |
- |
连接AP |
||
(3) |
GE0/0/2、GE0/0/3 |
Eth-Trunk1 |
100、101 |
- |
连接汇聚交换机S5720HI |
||
汇聚交换机S5720HI |
(4) |
GE0/0/1、GE0/0/2 |
Eth-Trunk1 |
100、101 |
VLANIF100:172.18.10.4/24 |
连接接入交换机S2750EI AP网关 |
|
(5) |
GE0/0/3、GE0/0/4 |
Eth-Trunk2 |
100、101 |
- |
连接核心交换机S7700A |
||
(6) |
GE0/0/5、GE0/0/6 |
Eth-Trunk3 |
100、101 |
- |
连接核心交换机S7700B |
||
S7700A(主) |
(7) |
GE1/0/1、GE1/0/2 |
Eth-Trunk1 |
100、101 |
VLANIF101:172.19.10.2/24 |
连接汇聚交换机S5720HI |
|
(8) |
GE1/0/3、GE1/0/4 |
Eth-Trunk2 |
100、101、102 |
VLANIF100:172.18.10.5/24 VLANIF102:172.20.10.2/24 |
连接AC1 |
||
(9) |
GE1/0/5 |
- |
103 |
VLANIF103:172.22.20.1/24 |
连接出口路由器 |
||
S7700B(备) |
(10) |
GE1/0/1、GE1/0/2 |
Eth-Trunk1 |
100、101 |
VLANIF101:172.19.10.3/24 |
连接汇聚交换机S5720HI |
|
(11) |
GE1/0/3、GE1/0/4 |
Eth-Trunk2 |
100、101、102 |
VLANIF100:172.18.10.6/24 VLANIF102:172.20.10.3/24 |
连接AC2 |
||
(12) |
GE1/0/5 |
- |
103 |
VLANIF103:172.23.20.1/24 |
连接出口路由器 |
||
AC1(主) |
(13) |
GE0/0/1、GE0/0/2 |
Eth-Trunk1 |
100 |
VLANIF100:172.18.10.2/24 |
连接S7700A |
|
(14) |
GE0/0/3、GE0/0/4 |
Eth-Trunk2 |
104 |
VLANIF104:10.10.11.1/24 |
连接AC2 |
||
AC2(备) |
(15) |
GE0/0/1、GE0/0/2 |
Eth-Trunk1 |
100 |
VLANIF100:172.18.10.3/24 |
连接S7700B |
|
(16) |
GE0/0/3、GE0/0/4 |
Eth-Trunk2 |
104 |
VLANIF104:10.10.11.2/24 |
连接AC1 |
||
AC虚地址 |
- |
- |
- |
- |
172.18.10.1/24 |
与Agile Controller-Campus对接 |
|
S7700虚地址1 |
- |
- |
- |
- |
172.19.10.1/24 |
员工网关 |
|
S7700虚地址2 |
- |
- |
- |
- |
172.20.10.1/24 |
访客网关 |
|
服务器 |
SM+SC(RADIUS服务器1+Portal服务器1) |
172.22.10.2 |
- |
||||
SC(RADIUS服务器2+Portal服务器2) |
172.22.10.3 |
- |
|||||
DNS服务器 |
172.22.10.4 |
- |
|||||
公司内网服务器 |
172.22.10.5 |
- |
|||||
业务数据规划
项目 |
数据 |
说明 |
|---|---|---|
AC |
员工认证后域ACL编号:3001 员工SSID:employee |
在Agile Controller-Campus中设置授权规则和授权结果时需要用到。 |
访客认证后域ACL编号:3002 访客SSID:guest |
在Agile Controller-Campus中设置授权规则和授权结果时需要用到。 |
|
认证服务器:
|
|
|
计费服务器:
|
||
授权服务器:
|
||
Portal服务器:
|
||
Agile Controller-Campus |
服务器1主机名:access1.example.com 服务器2主机名:access2.example.com |
用户可通过域名的方式访问Portal服务器。 |
设备IP地址:172.18.10.1 |
- |
|
认证端口:1812 |
- |
|
计费端口:1813 |
- |
|
RADIUS共享密钥:Admin@123 |
必须与AC上配置的一致 |
|
Portal服务器接收报文的端口:50200 |
- |
|
Portal共享密钥:Admin@123 |
必须与AC上配置的Portal认证共享密钥一致 |
|
部门:员工
部门:guest
|
Agile Controller-Campus中已经创建部门“员工”,并且已经创建了员工帐号tony和访客帐号susan。 |
|
认证前域 |
SM+SC1(RADIUS服务器+Portal服务器)、SC2(RADIUS服务器+Portal服务器)、DNS服务器 |
- |
员工认证后域 |
公司内网服务器和Internet |
- |
访客认证后域 |
Internet |
- |
前提条件
核心路由器的两个物理接口分别与S7700A和S7700B连接,与S7700A连接的物理接口的IP地址为172.22.20.2/24,与S7700B连接的物理接口的IP地址为172.23.20.2/24。
配置思路
- 配置接入交换机、汇聚交换机、核心交换机和AC,保证网络互通和可靠性。
- 在AC上配置RADIUS服务器认证、计费和授权模板,并配置Portal服务器地址,以便AC能够与RADIUS服务器和Portal服务器联动。
- 在AC上配置无线配置同步。
- 在业务管理器中添加AC,并配置参数,保证Agile Controller-Campus能与AC正常联动。
- 增加授权结果和授权规则,对员工和访客认证成功后授予访问权限。
操作步骤
- 【设备】配置接入交换机S2750EI,保证网络互通。
<HUAWEI> system-view [HUAWEI] sysname S2700 [S2700] vlan batch 100 101 //创建VLAN100、VLAN101 [S2700] interface gigabitethernet 0/0/1 //连接AP的接口 [S2700-GigabitEthernet0/0/1] port link-type trunk //修改接口gigabitethernet0/0/1的链路类型为trunk [S2700-GigabitEthernet0/0/1] port trunk pvid vlan 100 //设置接口gigabitethernet0/0/1的缺省VLAN为VLAN100 [S2700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 //把接口gigabitethernet0/0/1加入VLAN100、VLAN101 [S2700-GigabitEthernet0/0/1] quit [S2700] interface gigabitethernet 0/0/4 //连接AP的接口 [S2700-GigabitEthernet0/0/4] port link-type trunk //修改接口gigabitethernet0/0/4的链路类型为trunk [S2700-GigabitEthernet0/0/4] port trunk pvid vlan 100 //设置接口gigabitethernet0/0/4的缺省VLAN为VLAN100 [S2700-GigabitEthernet0/0/4] port trunk allow-pass vlan 100 101 //把接口gigabitethernet0/0/4加入VLAN100、VLAN101 [S2700-GigabitEthernet0/0/4] quit
#创建Eth-Trunk接口1,并把GE0/0/2和GE0/0/3加入Eth-Trunk1。
[S2700] interface eth-trunk 1 //创建Eth-Trunk1 [S2700-Eth-Trunk1] quit [S2700] interface gigabitethernet 0/0/2 //将接口gigabitethernet0/0/2加入Eth-Trunk1 [S2700-GigabitEthernet0/0/2] eth-trunk 1 [S2700-GigabitEthernet0/0/2] quit [S2700] interface gigabitethernet 0/0/3 //将接口gigabitethernet0/0/3加入Eth-Trunk1 [S2700-GigabitEthernet0/0/3] eth-trunk 1 [S2700-GigabitEthernet0/0/3] quit
#将Eth-Trunk1加入VLAN。
[S2700] interface eth-trunk 1 //连接汇聚交换机的接口 [S2700-Eth-Trunk1] port link-type trunk //修改Eth-Trunk1的链路类型为trunk [S2700-Eth-Trunk1] port trunk allow-pass vlan 100 101 //把Eth-Trunk1加入VLAN100、VLAN101 [S2700-Eth-Trunk1] undo port trunk allow-pass vlan 1 [S2700-Eth-Trunk1] quit [S2700] quit <S2700> save //保存配置
- 【设备】配置汇聚交换机S5720HI,保证网络互通。
<HUAWEI> system-view [HUAWEI] sysname S5700 [S5700] dhcp enable //启用DHCP服务 [S5700] vlan batch 100 101 //批量创建VLAN100、VLAN101 [S5700] interface vlanif 100 //进入VLANIF100接口视图 [S5700-Vlanif100] ip address 172.18.10.4 24 //为VLANIF100接口配置IP地址,作为AP网关 [S5700-Vlanif100] dhcp select interface [S5700-Vlanif100] dhcp server excluded-ip-address 172.18.10.1 172.18.10.3 //在DHCP地址池中去掉已经被占用的IP地址 [S5700-Vlanif100] dhcp server excluded-ip-address 172.18.10.5 172.18.10.6 [S5700-Vlanif100] quit
#创建Eth-Trunk接口1,并把GE0/0/1和GE0/0/2加入Eth-Trunk1。
[S5700] interface eth-trunk 1 [S5700-Eth-Trunk1] quit [S5700] interface gigabitethernet 0/0/1 [S5700-GigabitEthernet0/0/1] eth-trunk 1 [S5700-GigabitEthernet0/0/1] quit [S5700] interface gigabitethernet 0/0/2 [S5700-GigabitEthernet0/0/2] eth-trunk 1 [S5700-GigabitEthernet0/0/2] quit
#将Eth-Trunk1加入VLAN。
[S5700] interface eth-trunk 1 //连接接入交换机S2700的接口 [S5700-Eth-Trunk1] port link-type trunk [S5700-Eth-Trunk1] port trunk allow-pass vlan 100 101 [S5700-Eth-Trunk1] undo port trunk allow-pass vlan 1 [S5700-Eth-Trunk1] quit
#创建Eth-Trunk接口2,并把GE0/0/3和GE0/0/4加入Eth-Trunk2。
[S5700] interface eth-trunk 2 [S5700-Eth-Trunk2] quit [S5700] interface gigabitethernet 0/0/3 [S5700-GigabitEthernet0/0/3] eth-trunk 2 [S5700-GigabitEthernet0/0/3] quit [S5700] interface gigabitethernet 0/0/4 [S5700-GigabitEthernet0/0/4] eth-trunk 2 [S5700-GigabitEthernet0/0/4] quit
#将Eth-Trunk2加入VLAN。
[S5700] interface eth-trunk 2 //连接核心交换机S7700A的接口 [S5700-Eth-Trunk2] port link-type trunk [S5700-Eth-Trunk2] port trunk allow-pass vlan 100 101 [S5700-Eth-Trunk2] undo port trunk allow-pass vlan 1 [S5700-Eth-Trunk2] quit
#创建Eth-Trunk接口3,并把GE0/0/5和GE0/0/6加入Eth-Trunk3。
[S5700] interface eth-trunk 3 [S5700-Eth-Trunk3] quit [S5700] interface gigabitethernet 0/0/5 [S5700-GigabitEthernet0/0/5] eth-trunk 3 [S5700-GigabitEthernet0/0/5] quit [S5700] interface gigabitethernet 0/0/6 [S5700-GigabitEthernet0/0/6] eth-trunk 3 [S5700-GigabitEthernet0/0/6] quit
#将Eth-Trunk3加入VLAN。
[S5700] interface eth-trunk 3 //连接核心交换机S7700B的接口 [S5700-Eth-Trunk3] port link-type trunk [S5700-Eth-Trunk3] port trunk allow-pass vlan 100 101 [S5700-Eth-Trunk3] undo port trunk allow-pass vlan 1 [S5700-Eth-Trunk3] quit [S5700] quit <S5700> save //保存配置
- 【设备】配置核心交换机S7700A,保证网络互通。
<HUAWEI> system-view [HUAWEI] sysname S7700A [S7700A] vlan batch 100 to 103 //批量创建VLAN100、VLAN101、VLAN102、VLAN103
#创建Eth-Trunk接口1,并把GE1/0/1和GE1/0/2加入Eth-Trunk1。
[S7700A] interface eth-trunk 1 [S7700A-Eth-Trunk1] quit [S7700A] interface gigabitethernet 1/0/1 [S7700A-GigabitEthernet1/0/1] eth-trunk 1 [S7700A-GigabitEthernet1/0/1] quit [S7700A] interface gigabitethernet 1/0/2 [S7700A-GigabitEthernet1/0/2] eth-trunk 1 [S7700A-GigabitEthernet1/0/2] quit
#将Eth-Trunk1加入VLAN。
[S7700A] interface eth-trunk 1 //连接汇聚交换机S5720HI的接口 [S7700A-Eth-Trunk1] port link-type trunk [S7700A-Eth-Trunk1] port trunk allow-pass vlan 100 101 [S7700A-Eth-Trunk1] undo port trunk allow-pass vlan 1 [S7700A-Eth-Trunk1] quit [S7700A] dhcp enable [S7700A] interface vlanif 101 //进入VLANIF101接口视图 [S7700A-Vlanif101] ip address 172.19.10.2 24 //为VLANIF101接口配置IP地址,用于与S7700B的VLANIF101接口通信 [S7700A-Vlanif101] dhcp select interface //VLANIF101的接口虚地址配置为员工的网关,需要在VLANIF101上配置dhcp [S7700A-Vlanif101] dhcp server dns-list 172.22.10.4 //配置DNS服务器地址 [S7700A-Vlanif101] dhcp server excluded-ip-address 172.19.10.1 //在DHCP地址池中去掉已经被占用的IP地址 [S7700A-Vlanif101] dhcp server excluded-ip-address 172.19.10.3 [S7700A-Vlanif101] quit
#创建Eth-Trunk接口2,并把GE1/0/3和GE1/0/4加入Eth-Trunk2。
[S7700A] interface eth-trunk 2 [S7700A-Eth-Trunk2] quit [S7700A] interface gigabitethernet 1/0/3 [S7700A-GigabitEthernet1/0/3] eth-trunk 2 [S7700A-GigabitEthernet1/0/3] quit [S7700A] interface gigabitethernet 1/0/4 [S7700A-GigabitEthernet1/0/4] eth-trunk 2 [S7700A-GigabitEthernet1/0/4] quit
#将Eth-Trunk2加入VLAN。
[S7700A] interface eth-trunk 2 //连接AC1的接口 [S7700A-Eth-Trunk2] port link-type trunk [S7700A-Eth-Trunk2] port trunk allow-pass vlan 100 101 102 [S7700A-Eth-Trunk2] undo port trunk allow-pass vlan 1 [S7700A-Eth-Trunk2] quit [S7700A] interface vlanif 100 //进入VLANIF100接口视图 [S7700A-Vlanif100] ip address 172.18.10.5 24 //为VLANIF100接口配置IP地址,用于与AC1通信 [S7700A-Vlanif100] quit [S7700A] interface vlanif 102 //进入VLANIF102接口视图 [S7700A-Vlanif102] ip address 172.20.10.2 24 //为VLANIF102接口配置IP地址,用于与S7700B的VLANIF102接口通信 [S7700A-Vlanif102] dhcp select interface //VLANIF102的接口虚地址配置为访客的网关,需要在VLANIF102上配置dhcp [S7700A-Vlanif102] dhcp server dns-list 172.22.10.4 [S7700A-Vlanif102] dhcp server excluded-ip-address 172.20.10.1 [S7700A-Vlanif102] dhcp server excluded-ip-address 172.20.10.3 [S7700A-Vlanif102] quit
#为连接出口路由器的接口配置IP地址。
[S7700A] interface gigabitethernet 1/0/5 //连接出口路由器的接口 [S7700A-GigabitEthernet1/0/5] port link-type trunk [S7700A-GigabitEthernet1/0/5] port trunk pvid vlan 103 [S7700A-GigabitEthernet1/0/5] port trunk allow-pass vlan 103 [S7700A-GigabitEthernet1/0/5] quit [S7700A] interface vlanif 103 [S7700A-Vlanif103] ip address 172.22.20.1 24 [S7700A-Vlanif103] quit [S7700A] ip route-static 0.0.0.0 0 172.22.20.2 [S7700A] quit <S7700A> save //保存配置
- 【设备】配置核心交换机S7700B,保证网络互通。
<HUAWEI> system-view [HUAWEI] sysname S7700B [S7700B] vlan batch 100 to 103 //批量创建VLAN100、VLAN101、VLAN102、VLAN103
#创建Eth-Trunk接口1,并把GE1/0/1和GE1/0/2加入Eth-Trunk1。
[S7700B] interface eth-trunk 1 [S7700B-Eth-Trunk1] quit [S7700B] interface gigabitethernet 1/0/1 [S7700B-GigabitEthernet1/0/1] eth-trunk 1 [S7700B-GigabitEthernet1/0/1] quit [S7700B] interface gigabitethernet 1/0/2 [S7700B-GigabitEthernet1/0/2] eth-trunk 1 [S7700B-GigabitEthernet1/0/2] quit
#将Eth-Trunk1加入VLAN。
[S7700B] interfacee eth-trunk 1 //连接汇聚交换机S5720HI的接口 [S7700B-Eth-Trunk1] port link-type trunk [S7700B-Eth-Trunk1] port trunk allow-pass vlan 100 101 [S7700B-Eth-Trunk1] undo port trunk allow-pass vlan 1 [S7700B-Eth-Trunk1] quit [S7700B] dhcp enable [S7700B] interface vlanif 101 //进入VLANIF101接口视图 [S7700B-Vlanif101] ip address 172.19.10.3 24 //为VLANIF101接口配置IP地址,用于与S7700A的VLANIF101接口通信 [S7700B-Vlanif101] dhcp select interface //VLANIF101的接口虚地址配置为员工的网关,需要在VLANIF101上配置dhcp [S7700B-Vlanif101] dhcp server dns-list 172.22.10.4 //配置DNS服务器地址 [S7700B-Vlanif101] dhcp server excluded-ip-address 172.19.10.1 172.19.10.2 //在DHCP地址池中去掉已经被占用的IP地址 [S7700B-Vlanif101] quit
#创建Eth-Trunk接口2,并把GE1/0/3和GE1/0/4加入Eth-Trunk2。
[S7700B] interface eth-trunk 2 [S7700B-Eth-Trunk2] quit [S7700B] interface gigabitethernet 1/0/3 [S7700B-GigabitEthernet1/0/3] eth-trunk 2 [S7700B-GigabitEthernet1/0/3] quit [S7700B] interface gigabitethernet 1/0/4 [S7700B-GigabitEthernet1/0/4] eth-trunk 2 [S7700B-GigabitEthernet1/0/4] quit
#将Eth-Trunk2加入VLAN。
[S7700B] interface eth-trunk 2 //连接AC2的接口 [S7700B-Eth-Trunk2] port link-type trunk [S7700B-Eth-Trunk2] port trunk allow-pass vlan 100 101 102 [S7700B-Eth-Trunk2] undo port trunk allow-pass vlan 1 [S7700B-Eth-Trunk2] quit [S7700B] interface vlanif 100 //进入VLANIF100接口视图 [S7700B-Vlanif100] ip address 172.18.10.6 24 //为VLANIF100接口配置IP地址,用于与AC2通信 [S7700B-Vlanif100] quit [S7700B] interface vlanif 102 //进入VLANIF102接口视图 [S7700B-Vlanif102] ip address 172.20.10.3 24//为VLANIF102接口配置IP地址,用于与S7700A的VLANIF102接口通信 [S7700B-Vlanif102] dhcp select interface//VLANIF102的接口虚地址配置为访客的网关,需要在VLANIF102上配置dhcp [S7700B-Vlanif102] dhcp server dns-list 172.22.10.4 [S7700B-Vlanif102] dhcp server excluded-ip-address 172.20.10.1 172.20.10.2 [S7700B-Vlanif102] quit
#为连接出口路由器的接口配置IP地址。
[S7700B] interface gigabitethernet 1/0/5 //连接出口路由器的接口 [S7700B-GigabitEthernet1/0/5] port link-type trunk [S7700B-GigabitEthernet1/0/5] port trunk pvid vlan 103 [S7700B-GigabitEthernet1/0/5] port trunk allow-pass vlan 103 [S7700B-GigabitEthernet1/0/5] quit [S7700B] interface vlanif 103 [S7700B-Vlanif103] ip address 172.23.20.1 24 [S7700B-Vlanif103] quit [S7700B] ip route-static 0.0.0.0 0 172.23.20.2 [S7700B] quit <S7700B> save //保存配置
- 【设备】配置核心交换机S7700的VRRP备份组。
# 在S7700A上VLANIF101下创建VRRP备份组1,配置S7700A在该备份组中的优先级为120,并配置抢占时间为20s,备份组1的虚地址为员工网关。
<S7700A> system-view [S7700A] interface vlanif 101 [S7700A-Vlanif101] vrrp vrid 1 virtual-ip 172.19.10.1 [S7700A-Vlanif101] vrrp vrid 1 priority 120 [S7700A-Vlanif101] vrrp vrid 1 preempt-mode timer delay 20 [S7700A-Vlanif101] quit
# 在S7700A上VLANIF102下创建VRRP备份组2,配置S7700A在该备份组中的优先级为120,并配置抢占时间为20s,备份组2的虚地址为访客网关。
[S7700A] interface vlanif 102 [S7700A-Vlanif102] vrrp vrid 1 virtual-ip 172.20.10.1 [S7700A-Vlanif102] vrrp vrid 1 priority 120 [S7700A-Vlanif102] vrrp vrid 1 preempt-mode timer delay 20 [S7700A-Vlanif102] quit [S7700A] quit <S7700A> save //保存配置
# 在S7700B上VLANIF101下创建VRRP备份组1,该备份组中的优先级使用缺省值100。
<S7700B> system-view [S7700B] interface vlanif 101 [S7700B-Vlanif101] vrrp vrid 1 virtual-ip 172.19.10.1 [S7700B-Vlanif101] quit
# 在S7700B上VLANIF102下创建VRRP备份组2,该备份组中的优先级使用缺省值100。
[S7700B] interface vlanif 102 [S7700B-Vlanif102] vrrp vrid 1 virtual-ip 172.20.10.1 [S7700B-Vlanif102] quit [S7700B] quit <S7700B> save //保存配置
- 【设备】配置AC,保证网络互通。
# 在AC1上配置网络互通,创建Eth-Trunk1和Eth-Trunk2,Eth-Trunk1加入VLAN100、Eth-Trunk2加入VLAN104,AC1连接核心交换机S7700A的接口GE0/0/1和GE0/0/2加入Eth-Trunk1、AC1连接AC2的接口GE0/0/3和GE0/0/4加入Eth-Trunk2。
<AC6605> system-view [AC6605] sysname AC1 [AC1] vlan batch 100 101 102 104 [AC1] interface eth-trunk 1 [AC1-Eth-Trunk1] port link-type trunk [AC1-Eth-Trunk1] port trunk allow-pass vlan 100 [AC1-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 0/0/2 //将连接核心交换机S7700A的接口GE0/0/1和GE0/0/2加入Eth-Trunk1 [AC1-Eth-Trunk1] quit [AC1] interface eth-trunk 2 [AC1-Eth-Trunk2] port link-type trunk [AC1-Eth-Trunk2] port trunk allow-pass vlan 104 [AC1-Eth-Trunk2] trunkport GigabitEthernet 0/0/3 0/0/4 //将连接AC2的接口GE0/0/3和GE0/0/4加入Eth-Trunk2 [AC1-Eth-Trunk2] quit
# 配置AC1上的IP地址,用于和其它网元进行通信。
[AC1] interface vlanif 104 [AC1-Vlanif104] ip address 10.10.11.1 24 //用于和AC2之间通信和备份数据传输 [AC1-Vlanif104] quit [AC1] interface vlanif 100 [AC1-Vlanif100] ip address 172.18.10.2 24 [AC1-Vlanif100] quit
# 配置AC1的缺省路由,报文默认转发到核心交换机。
[AC1] ip route-static 0.0.0.0 0 172.18.10.5# 在AC2上配置网络互通,创建Eth-Trunk1和Eth-Trunk2,Eth-Trunk1加入VLAN100、Eth-Trunk2加入VLAN104,AC2连接核心交换机S7700B的接口GE0/0/1和GE0/0/2加入Eth-Trunk1、AC2连接AC1的接口GE0/0/3和GE0/0/4加入Eth-Trunk2。
<AC6605> system-view [AC6605] sysname AC2 [AC2] vlan batch 100 101 102 104 [AC2] interface eth-trunk 1 [AC2-Eth-Trunk1] port link-type trunk [AC2-Eth-Trunk1] port trunk allow-pass vlan 100 [AC2-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 0/0/2 //将连接核心交换机S7700B的接口GE0/0/1和GE0/0/2加入Eth-Trunk1 [AC2-Eth-Trunk1] quit [AC2] interface eth-trunk 2 [AC2-Eth-Trunk2] port link-type trunk [AC2-Eth-Trunk2] port trunk allow-pass vlan 104 [AC2-Eth-Trunk2] trunkport GigabitEthernet 0/0/3 0/0/4 //将连接AC1的接口GE0/0/3和GE0/0/4加入Eth-Trunk2 [AC2-Eth-Trunk2] quit
# 配置AC2上的IP地址,用于和其它网元进行通信。
[AC2] interface vlanif 104 [AC2-Vlanif104] ip address 10.10.11.2 24 //用于和AC1之间通信和备份数据传输 [AC2-Vlanif104] quit [AC2] interface vlanif 100 [AC2-Vlanif100] ip address 172.18.10.3 24 [AC2-Vlanif100] quit
# 配置AC2的缺省路由,报文默认转发到核心交换机。
[AC2] ip route-static 0.0.0.0 0 172.18.10.6 - 【设备】配置AP上线。
# 创建AP组,用于将相同配置的AP都加入同一AP组中。
[AC1] wlan [AC1-wlan-view] ap-group name ap_group [AC1-wlan-ap-group-ap_group] quit
# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC1-wlan-view] regulatory-domain-profile name domain1 [AC1-wlan-regulatory-domain-prof-domain1] country-code cn [AC1-wlan-regulatory-domain-prof-domain1] quit [AC1-wlan-view] ap-group name ap_group [AC1-wlan-ap-group-ap_group] regulatory-domain-profile domain1 Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC1-wlan-ap-group-ap_group] quit [AC1-wlan-view] quit
# 配置AC的源接口。
[AC1] capwap source ip-address 172.18.10.1# 在AC上离线导入AP,并将AP加入AP组中。假设AP的类型为AP6010DN-AGN,AP_0的MAC地址为60de-4476-e360,AP_1的MAC地址为60de-4476-e380。
[AC1] wlan [AC1-wlan-view] ap auth-mode mac-auth [AC1-wlan-view] ap-id 0 ap-mac 60de-4476-e360 [AC1-wlan-ap-0] ap-name ap_0 [AC1-wlan-ap-0] ap-group ap_group Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC1-wlan-ap-0] quit [AC1-wlan-view] ap-id 1 ap-mac 60de-4476-e380 [AC1-wlan-ap-1] ap-name ap_1 [AC1-wlan-ap-1] ap-group ap_group Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC1-wlan-ap-1] quit [AC1-wlan-view] quit
# 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
[AC1] display ap all Total AP information: nor : normal [2] ------------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime ------------------------------------------------------------------------------------- 0 60de-4476-e360 ap_0 ap_group 172.18.10.254 AP6010DN-AGN nor 0 20S 1 60de-4476-e380 ap_1 ap_group 172.18.10.253 AP6010DN-AGN nor 0 10S ------------------------------------------------------------------------------------- Total: 2
- 【设备】配置AC与RADIUS服务器和Portal服务器的对接参数,以便AC能够与RADIUS服务器和Portal服务器联动。
# 配置AC1的RADIUS服务器认证、计费和授权模板。
[AC1] radius-server template radius_template [AC1-radius-radius_template] radius-server authentication 172.22.10.2 1812 weight 80 //配置RADIUS主认证服务器,权重值高于备认证服务器,认证端口1812 [AC1-radius-radius_template] radius-server authentication 172.22.10.3 1812 weight 40 //配置RADIUS备认证服务器,权重值低于主认证服务器,认证端口1812 [AC1-radius-radius_template] radius-server accounting 172.22.10.2 1813 weight 80 //配置RADIUS主计费服务器,权重值高于备计费服务器,以便获取终端用户的上下线信息,计费端口1813 [AC1-radius-radius_template] radius-server accounting 172.22.10.3 1813 weight 40 //配置RADIUS备计费服务器,权重值低于主计费服务器,以便获取终端用户的上下线信息,计费端口1813 [AC1-radius-radius_template] radius-server shared-key cipher Admin@123 //配置RADIUS服务器预共享密钥 [AC1-radius-radius_template] radius-server user-name original //设备向RADIUS服务器发送的用户名为用户原始输入的用户名 [AC1-radius-radius_template] quit [AC1] radius-server source ip-address 172.18.10.1 //配置AC使用172.18.10.1和RADIUS服务器通信。 [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123 //配置主RADIUS授权服务器的地址,共享密钥为Admin@123,必须与认证密钥和计费密钥一致。配置授权服务器以便RADIUS服务器向AC下发授权规则 [AC1] radius-server authorization 172.22.10.3 shared-key cipher Admin@123 //配置备RADIUS授权服务器的地址,共享密钥为Admin@123,必须与认证密钥和计费密钥一致。配置授权服务器以便RADIUS服务器向AC下发授权规则 配置了授权服务器后,接入控制设备才能处理Agile Controller-Campus [AC1] aaa [AC1-aaa] authentication-scheme auth_scheme [AC1-aaa-authen-auth_scheme] authentication-mode radius //AC与Agile Controller-Campus联动,业务控制器作为RADIUS服务器,认证方案必须配置为RADIUS [AC1-aaa-authen-auth_scheme] quit [AC1-aaa] accounting-scheme acco_scheme [AC1-aaa-accounting-acco_scheme] accounting-mode radius //配置计费方案为RADIUS方式。为了方便RADIUS服务器维护帐号的状态信息,例如上下线信息,强制帐号下线,计费模式必须配置为radius [AC1-aaa-accounting-acco_scheme] accounting realtime 15 //配置实时计费周期为15分钟,计费周期需要按照下表根据实际用户数进行配置,本例以用户数2000来配置 [AC1-aaa-accounting-acco_scheme] quit [AC1-aaa] quit
配置实时计费是为了认证控制设备与Agile Controller-Campus之间定期发送计费报文,确保在线状态信息一致。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。
# 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test,用户密码Admin_123)。
[AC1] test-aaa test Admin_123 radius-template radius_template pap Info: Account test succeed.
# 配置AC1的Portal服务器。配置主Portal认证页面URL地址,当用户未认证访问网络时,AC将用户的访问地址重定向到主Portal服务器。
为了推送更安全和快速,建议采用域名方式,但需要提前在DNS服务器配置域名与服务器IP地址的映射关系。
[AC1] url-template name huawei1 [AC1-url-template-huawei1] url http://access1.example.com:8080/portal //access1.example.com为主Portal服务器的主机名
配置URL中携带的参数字段名称,和认证服务器保持一致。
[AC1-url-template-huawei1] url-parameter ssid ssid redirect-url url //第一个ssid指在URL中携带SSID这个字段,第二个指携带SSID字段时所用的参数名称。例如,配置ssid ssid之后,在重定向给用户的URL中,会带有ssid=guest(ssid为参数名称,guest为用户关联的SSID名称) //第二个ssid只是代表传递的参数名称,请不要替换成实际的用户SSID名称 [AC1-url-template-huawei1] quit
配置备Portal认证页面URL地址,当主Portal服务器不可用时,AC将用户的访问地址重定向到备Portal服务器。
[AC1] url-template name huawei2 [AC1-url-template-huawei2] url http://access2.example.com:8080/portal //access2.example.com为备Portal服务器的主机名 [AC1-url-template-huawei2] url-parameter ssid ssid redirect-url url [AC1-url-template-huawei2] quit
配置设备上处理Portal协议报文的端口号,默认为2000,如果修改此端口的值,在Agile Controller-Campus上添加AC设备时,也需要配置成修改后的端口号。
[AC1] web-auth-server listening-port 2000配置主Portal服务器模板,包括:Portal服务器IP地址、Portal服务器端口等。
Portal服务器接收报文的端口号为50200,AC上默认的发送报文的端口号为50100,必须手动修改为50200,以便与Portal服务器适配。
[AC1] web-auth-server source-ip 172.18.10.1 //配置设备和Portal服务器通信的IP地址 [AC1] web-auth-server portal_huawei1 [AC1-web-auth-server-portal_huawei1] server-ip 172.22.10.2 //配置主Portal服务器的IP地址 [AC1-web-auth-server-portal_huawei1] port 50200 //配置向Portal服务器主动发送报文时使用的目的端口号为50200
配置与Portal服务器通信的共享密钥,和Portal服务器保持一致。
[AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123 //配置与Portal服务器通信的共享密钥 [AC1-web-auth-server-portal_huawei1] url-template huawei1 //Portal服务器模板绑定URL模板
使能Portal服务器探测功能。
设备会对该Portal服务器模板下配置的所有Portal服务器进行探测。 如果对某一Portal服务器探测失败次数超过最大次数,会将该Portal服务器的状态由Up改变为Down。如果状态为Up的Portal服务器数目小于或等于设置的最小值(critical-num),设备将会做出相应的动作,如:告警、上报日志、Portal逃生等,使管理员能够实时掌握网络中Portal服务器的状态。探测周期interval不能小于15s,建议配置为100s。如果要启用Portal逃生,必须使能Portal服务器探测功能。
[AC1-web-auth-server-portal_huawei1] server-detect interval 100 max-times 5 critical-num 0 action log配置备Portal服务器模板,包括:备Portal服务器IP地址、Portal服务器端口、共享密钥等。
[AC1] web-auth-server portal_huawei2 [AC1-web-auth-server-portal_huawei2] server-ip 172.22.10.3 //配置备Portal服务器的IP地址 [AC1-web-auth-server-portal_huawei2] port 50200 [AC1-web-auth-server-portal_huawei2] shared-key cipher Admin@123 [AC1-web-auth-server-portal_huawei2] url-template huawei2 [AC1-web-auth-server-portal_huawei2] server-detect interval 100 max-times 5 critical-num 0 action log [AC1-web-auth-server-portal_huawei2] quit
# 使能Portal认证静默功能,认证用户在60秒内认证失败的次数超过设定值,则在设置的一定时间内,丢弃认证用户的报文,防止用户频繁认证对系统造成冲击。
[AC1] portal quiet-period [AC1] portal quiet-times 5 //配置Portal认证用户被静默前60秒内允许认证失败的次数 [AC1] portal timer quiet-period 240 //配置Portal认证静默周期为240秒
# 创建Portal接入模板,并在模板下绑定Portal服务器模板。
[AC1] portal-access-profile name acc_portal //创建Portal接入模板 [AC1-portal-access-profile-acc_portal] web-auth-server portal_huawei1 portal_huawei2 direct //配置Portal接入模板使用的主Portal服务器和备Portal服务器模板,用户终端和AC之间为二层组网,配置为direct方式,如果为三层组网,则需要配置layer3方式 [AC1-portal-access-profile-acc_portal] quit
# 配置用户认证前和认证后的访问规则。
[AC1] free-rule-template name default_free_rule [AC1-free-rule-default_free_rule] free-rule 1 destination ip 172.22.10.4 mask 255.255.255.255 //配置portal认证的免认证规则,确保终端用户认证前能访问DNS服务器 [AC1-free-rule-default_free_rule] quit
[AC1] acl 3001 //配置员工认证后域,可访问内网及Internet [AC1-acl-adv-3001] rule 5 permit ip [AC1-acl-adv-3001] quit [AC1] acl 3002 //配置访客认证后域,可访问Internet [AC1-acl-adv-3002] rule 5 deny ip destination 172.22.10.5 0 //172.22.10.5为公司服务器资源,不允许访客访问 [AC1-acl-adv-3002] rule 10 permit ip [AC1-acl-adv-3002] quit
# 配置认证模板。[AC1] authentication-profile name auth_portal [AC1-authentication-profile-auth_portal] portal-access-profile acc_portal [AC1-authentication-profile-auth_portal] authentication-scheme auth_scheme [AC1-authentication-profile-auth_portal] accounting-scheme acco_scheme [AC1-authentication-profile-auth_portal] radius-server radius_template [AC1-authentication-profile-auth_portal] free-rule-template default_free_rule [AC1-authentication-profile-auth_portal] quit
# 在AC1上配置终端类型感知功能,将DHCP报文中包含终端类型信息的Option字段,发送给认证服务器,认证服务器可以根据终端类型,推送合适的Portal认证页面。
[AC1] dhcp snooping enable [AC1] device-sensor dhcp option 12 55 60
# 在AC2上配置终端类型感知功能,将DHCP报文中包含终端类型信息的Option字段,发送给认证服务器,认证服务器可以根据终端类型,推送合适的Portal认证页面。
[AC2] dhcp snooping enable [AC2] device-sensor dhcp option 12 55 60
# 在AC2全局下配置设备与RADIUS服务器、Portal服务器通信的源IP地址。AC2上的其他RADIUS、Portal相关配置通过后续步骤的无线配置同步功能同步。
[AC2] radius-server source ip-address 172.18.10.1 [AC2] web-auth-server source-ip 172.18.10.1
- 【设备】配置AC1,完成WLAN业务参数配置。
# 创建名为“security_portal”的安全模板,并配置安全策略。
[AC1] wlan [AC1-wlan-view] security-profile name security_portal [AC1-wlan-sec-prof-security_portal] quit
# 创建名为“wlan-ssid-employee”和“wlan-ssid-guest”的SSID模板,并配置SSID名称分别为“employee”和“guest”。
[AC1-wlan-view] ssid-profile name wlan-ssid-employee [AC1-wlan-ssid-prof-wlan-ssid-employee] ssid employee Warning: This action may cause service interruption. Continue?[Y/N]y [AC1-wlan-ssid-prof-wlan-ssid-employee] quit [AC1-wlan-view] ssid-profile name wlan-ssid-guest [AC1-wlan-ssid-prof-wlan-ssid-guest] ssid guest Warning: This action may cause service interruption. Continue?[Y/N]y [AC1-wlan-ssid-prof-wlan-ssid-guest] quit
# 创建名为“wlan-vap-employee”和“wlan-vap-guest”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板和认证模板。
[AC1-wlan-view] vap-profile name wlan-vap-employee [AC1-wlan-vap-prof-wlan-vap-employee] forward-mode direct-forward //配置员工为直接转发 [AC1-wlan-vap-prof-wlan-vap-employee] service-vlan vlan-id 101 [AC1-wlan-vap-prof-wlan-vap-employee] security-profile security_portal [AC1-wlan-vap-prof-wlan-vap-employee] ssid-profile wlan-ssid-employee [AC1-wlan-vap-prof-wlan-vap-employee] authentication-profile auth_portal //绑定认证模板 [AC1-wlan-vap-prof-wlan-vap-employee] quit [AC1-wlan-view] vap-profile name wlan-vap-guest [AC1-wlan-vap-prof-wlan-vap-guest] forward-mode tunnel //配置访客为隧道转发 Warning: This action may cause service interruption. Continue?[Y/N]y [AC1-wlan-vap-prof-wlan-vap-guest] service-vlan vlan-id 102 [AC1-wlan-vap-prof-wlan-vap-guest] security-profile security_portal [AC1-wlan-vap-prof-wlan-vap-guest] ssid-profile wlan-ssid-guest [AC1-wlan-vap-prof-wlan-vap-guest] authentication-profile auth_portal [AC1-wlan-vap-prof-wlan-vap-guest] quit
# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板的配置。
[AC1-wlan-view] ap-group name ap_group [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 0 //AP的2.4G射频为员工提供服务 [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 1 //AP的5G射频为员工提供服务 [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 0 //AP的2.4G射频为访客提供服务 [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 1 //AP的5G射频为访客提供服务 [AC1-wlan-ap-group-ap_group] quit
- 【设备】在AC1上配置VRRP方式的双机热备份。
# 配置VRRP备份组的状态恢复延迟时间为30秒。
[AC1] vrrp recover-delay 30# 在AC1上创建管理VRRP备份组,配置AC1在该备份组中的优先级为120,并配置抢占时间为1200秒。
[AC1] interface vlanif 100 [AC1-Vlanif100] vrrp vrid 1 virtual-ip 172.18.10.1 //配置管理VRRP备份组的虚拟IP地址 [AC1-Vlanif100] vrrp vrid 1 priority 120 //配置AC1在管理VRRP备份组中的优先级 [AC1-Vlanif100] vrrp vrid 1 preempt-mode timer delay 1200 //配置AC1在VRRP备份组中的抢占延迟时间 [AC1-Vlanif100] admin-vrrp vrid 1 //配置vrid 1为管理VRRP备份组 [AC1-Vlanif100] quit
# 在AC1上创建HSB主备服务0,并配置其主备通道IP地址和端口号,配置HSB主备服务报文的重传次数和发送间隔。
[AC1] hsb-service 0 [AC1-hsb-service-0] service-ip-port local-ip 10.10.11.1 peer-ip 10.10.11.2 local-data-port 10241 peer-data-port 10241 [AC1-hsb-service-0] service-keep-alive detect retransmit 3 interval 6 [AC1-hsb-service-0] quit
# 在AC1上创建HSB备份组0,并配置其绑定HSB主备服务0和管理VRRP备份组。
[AC1] hsb-group 0 [AC1-hsb-group-0] bind-service 0 [AC1-hsb-group-0] track vrrp vrid 1 interface vlanif 100 [AC1-hsb-group-0] quit
# 配置NAC业务绑定HSB备份组。
[AC1] hsb-service-type access-user hsb-group 0# 配置WLAN业务绑定HSB备份组。
[AC1] hsb-service-type ap hsb-group 0# 配置DHCP业务绑定HSB备份组。
[AC1] hsb-service-type dhcp hsb-group 0# 使能双机热备功能。
[AC1] hsb-group 0 [AC1-hsb-group-0] hsb enable [AC1-hsb-group-0] quit
- 【设备】在AC2上配置VRRP方式的双机热备份。
# 配置VRRP备份组的状态恢复延迟时间为30秒。
[AC2] vrrp recover-delay 30# 在AC2上创建管理VRRP备份组。
[AC2] interface vlanif 100 [AC2-Vlanif100] vrrp vrid 1 virtual-ip 172.18.10.1 //配置管理VRRP备份组的虚拟IP地址 [AC2-Vlanif100] admin-vrrp vrid 1 //配置vrid 1为管理VRRP备份组 [AC2-Vlanif100] quit
# 在AC2上创建HSB主备服务0,并配置其主备通道IP地址和端口号,配置HSB主备服务报文的重传次数和发送间隔。
[AC2] hsb-service 0 [AC2-hsb-service-0] service-ip-port local-ip 10.10.11.2 peer-ip 10.10.11.1 local-data-port 10241 peer-data-port 10241 [AC2-hsb-service-0] service-keep-alive detect retransmit 3 interval 6 [AC2-hsb-service-0] quit
# 在AC2上创建HSB备份组0,并配置其绑定HSB主备服务0和管理VRRP备份组。
[AC2] hsb-group 0 [AC2-hsb-group-0] bind-service 0 [AC2-hsb-group-0] track vrrp vrid 1 interface vlanif 100 [AC2-hsb-group-0] quit
# 配置NAC业务绑定HSB备份组。
[AC2] hsb-service-type access-user hsb-group 0# 配置WLAN业务绑定HSB备份组。
[AC2] hsb-service-type ap hsb-group 0# 配置DHCP业务绑定HSB备份组。
[AC2] hsb-service-type dhcp hsb-group 0# 使能双机热备功能。
[AC2] hsb-group 0 [AC2-hsb-group-0] hsb enable [AC2-hsb-group-0] quit
- 【设备】检查VRRP配置结果。
# 完成上述配置以后,在AC1和AC2上分别执行display vrrp命令,可以看到AC1的State字段的显示为Master,AC2的State字段的显示为Backup。
[AC1] display vrrp Vlanif100 | Virtual Router 1 State : Master Virtual IP : 172.18.10.1 Master IP : 172.18.10.2 PriorityRun : 120 PriorityConfig : 120 MasterPriority : 120 Preempt : YES Delay Time : 1200 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : admin-vrrp Backup-forward : disabled Create time : 2005-07-31 01:25:55 UTC+08:00 Last change time : 2005-07-31 02:48:22 UTC+08:00
[AC2] display vrrp Vlanif100 | Virtual Router 1 State : Backup Virtual IP : 172.18.10.1 Master IP : 172.18.10.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : admin-vrrp Backup-forward : disabled Create time : 2005-07-31 02:11:07 UTC+08:00 Last change time : 2005-07-31 03:40:45 UTC+08:00
# 在AC1和AC2上执行display hsb-service 0 命令,查看主备服务的建立情况。可以看到Service State字段的显示为Connected,说明主备服务通道已经成功建立。
[AC1] display hsb-service 0 Hot Standby Service Information: ---------------------------------------------------------- Local IP Address : 10.10.11.1 Peer IP Address : 10.10.11.2 Source Port : 10241 Destination Port : 10241 Keep Alive Times : 2 Keep Alive Interval : 1 Service State : Connected Service Batch Modules : ----------------------------------------------------------
[AC2] display hsb-service 0 Hot Standby Service Information: ---------------------------------------------------------- Local IP Address : 10.10.11.2 Peer IP Address : 10.10.11.1 Source Port : 10241 Destination Port : 10241 Keep Alive Times : 2 Keep Alive Interval : 1 Service State : Connected Service Batch Modules : ----------------------------------------------------------
# 在AC1和AC2上执行display hsb-group 0命令,查看HSB备份组的运行情况。
[AC1] display hsb-group 0 Hot Standby Group Information: ---------------------------------------------------------- HSB-group ID : 0 Vrrp Group ID : 1 Vrrp Interface : Vlanif100 Service Index : 0 Group Vrrp Status : Master Group Status : Active Group Backup Process : Realtime Peer Group Device Type : AC6605 Peer Group Software Version : V200R006C20 Group Backup Modules : Access-user AP DHCP ----------------------------------------------------------
[AC2] display hsb-group 0 Hot Standby Group Information: ---------------------------------------------------------- HSB-group ID : 0 Vrrp Group ID : 1 Vrrp Interface : Vlanif100 Service Index : 0 Group Vrrp Status : Backup Group Status : Inactive Group Backup Process : Realtime Peer Group Device Type : AC6605 Peer Group Software Version : V200R006C20 Group Backup Modules : Access-user DHCP AP ----------------------------------------------------------
- 配置AC2的WLAN私有配置
# 配置AC2的源地址。
[AC2] capwap source ip-address 172.18.10.1
- 检查无线配置同步。
# 在AC1和AC2上分别执行命令display sync-configuration status,查看无线配置同步状态信息。状态为“up”表示无线配置同步功能正常。
[AC1] display sync-configuration status Controller role:Master/Backup/Local ----------------------------------------------------------------------------------------- Controller IP Role Device Type Version Status Last synced ----------------------------------------------------------------------------------------- 10.10.11.2 Backup AC6605 V200R008C10 up 2017-09-01/11:18:15 ----------------------------------------------------------------------------------------- Total: 1 [AC2] display sync-configuration status Controller role:Master/Backup/Local ----------------------------------------------------------------------------------------- Controller IP Role Device Type Version Status Last synced ----------------------------------------------------------------------------------------- 10.10.11.1 Master AC6605 V200R008C10 up 2017-09-01/11:18:25 ----------------------------------------------------------------------------------------- Total: 1
- 【Agile Controller-Campus】在业务管理器中添加AC设备,以便Agile Controller-Campus能与AC正常联动。
- 设置AC设备的参数。
参数
取值
说明
名称
AC
-
IP地址
172.18.10.1
AC上该接口必须与业务控制器互通。
认证计费密钥
Admin@123
[AC1-radius-radius_template] radius-server shared-key cipher Admin@123
授权密钥
Admin@123
[AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123
实时计费周期
15
[AC1-aaa-accounting-acco_scheme] accounting realtime 15
端口
2000
AC上与Portal服务器通信的端口,请保持默认值。
Portal密钥
Admin@123
[AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123
接入终端IPv4地址列表
172.19.10.1/24;172.20.10.1/24
请将要通过Portal认证上线的终端IP地址全部加入终端IP地址列表。Portal服务器收到终端用户提交的帐号和密码后,会根据终端的IP地址进行查找负责处理上线请求的接入控制设备,然后在目标接入控制设备上线。如果接入控制设备中的IP地址池不包含终端IP地址,则Portal服务器无法找到合适的接入控制设备为终端放开访问权限,导致终端上线失败。
启用接入设备与Portal服务器的心跳
选中
当设备检测到主Portal服务器不可用时,可自动连接到备Portal服务器。
只有启用“接入设备与Portal服务器的心跳”,并且将Portal服务器的地址加入到“Portal服务器IP地址列表”,Portal服务器才会向接入设备发送心跳报文和向接入设备同步用户信息。设备才能周期检测到Portal服务器的心跳报文,从而判断Portal服务器的状态,并和Portal服务器之间同步用户信息。与设备上Portal服务器视图下配置的server-detect和user-sync命令对应。
Portal服务器IP地址列表
172.22.10.2;172.22.10.3
- 设置AC设备的参数。
- 【Agile Controller-Campus】将SSID添加到Agile Controller-Campus中,以便通过SSID对用户进行授权。
- 单击“增加”,分别添加员工和访客SSID。
添加的SSID必须与AC上配置的SSID一致。
- 单击“增加”,分别添加员工和访客SSID。
- 【Agile Controller-Campus】配置授权结果和授权规则,对员工和访客认证成功后授予不同的访问权限。
- 选择,分别添加员工和访客授权ACL。
ACL编号与认证控制设备配置一致。
- 选择,关联授权结果,指定员工和访客认证通过后允许访问的资源。
- 修改缺省授权规则,将缺省授权规则的授权结果改为拒绝接入。
选择,单击“缺省授权规则”右侧的
,将“授权结果”改为“拒绝接入”。
- 选择,分别添加员工和访客授权ACL。
,将
验证
- 选择。
- 在“高级”页签中勾选“使用TLS”的相关选项。
- 单击“确定”。
验证项目 |
预期结果 |
|---|---|
员工认证 |
|
访客认证 |
|
AC1下电 |
业务自动切换到AC2,员工和访客认证不受影响,终端用户无感知。 |
SC下电 |
拔掉一台业务控制器的网线之后,终端用户和访客重新认证后上线,访问权限正常。 |
总结与建议
配置过程中有三个共享密钥(RADIUS认证和计费密钥、Portal密钥)设备侧与Agile Controller-Campus侧必须要配置一致。计费周期也必须配置一致。
设置授权规则或Portal推送规则时,规则的匹配顺序是按照从高到低(规则前的数字从小到大)的顺序匹配的,如果用户的授权条件或Portal推送条件已经在某一条规则命中,就不会再去匹配后面的规则了。所以建议对于条件配置的越精细的规则,优先级设置的高一些,对于条件配置的比较模糊的规则,优先级设置的低一些。
- 在AC上配置RADIUS计费是为了Agile Controller-Campus能通过计费报文获取在线用户详细信息,并不是通常意义上的计费,Agile Controller-Campus目前还不支持通常所说的计费功能,如果需要计费,需要第三方的计费服务器来完成。
