配置认证接入设备

操作步骤

1. 建立CAPWAP隧道。

   认证控制设备和认证接入设备之间使用CAPWAP通道建立连接。并且，通过CAPWAP通道完成认证控制设备和认证接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理。

   1. 执行命令system-view，进入系统视图。

   2. 创建CAPWAP隧道的管理VLAN并配置对应VLANIF接口的IP地址。

      CAPWAP隧道的管理VLAN与被iMaster NCE-Campus纳管的交换机的管理VLAN或PnP VLAN不能是同一个VLAN。

      策略联动中，CAPWAP隧道的管理VLAN用于认证接入设备上线，除基本配置外，不建议在管理VLAN及其对应的VLANIF下配置其他业务，以免造成认证接入设备无法正常上线。

      • 方法一：静态配置VLANIF接口的IP地址。
        1. 执行命令vlan batch vlan-id，创建管理VLAN。
        2. 执行命令interface vlanif vlan-id，创建VLANIF接口并进入VLANIF接口视图。
        3. 执行命令ip address ip-address { mask | mask-length }，静态配置VLANIF接口的IP地址。
        4. 执行命令quit，返回到系统视图。
        5. 执行命令as access interface vlanif vlan-id，在认证接入设备上指定建立CAPWAP隧道的源接口。

           缺省情况下，认证接入设备上未指定建立CAPWAP通道的源接口。

           源接口对应的VLAN ID即管理VLAN ID。

        6. 执行命令as access controller ip-address ip-address，在认证接入设备上指定认证控制设备的IP地址。

           缺省情况下，认证接入设备上未指定认证控制设备的IP地址。

      • 方法二：使用DHCP服务器给VLANIF接口分配IP地址。
        1. 执行命令vlan batch vlan-id，创建管理VLAN。
        2. 执行命令interface vlanif vlan-id，创建VLANIF接口并进入VLANIF接口视图。
        3. 执行命令ip address dhcp-alloc，使能VLANIF接口的DHCP客户端功能。
        4. 执行命令quit，返回到系统视图。
        5. 执行命令as access interface vlanif vlan-id，在认证接入设备上指定建立CAPWAP隧道的源接口。

           缺省情况下，认证接入设备上未指定建立CAPWAP通道的源接口。

           源接口对应的VLAN ID即管理VLAN ID。

        6. 通过Option43选项把认证控制设备的IP地址告知给认证接入设备，详细配置请根据实际使用的认证接入设备参见其对应形态《配置指南-IP业务》中的DHCP配置。

2. 配置接口作为接入点。

   1. 执行命令interface interface-type interface-number，进入接口视图。

   2. 执行命令authentication access-point [ open ]，在认证接入设备的接口下使能远程接入控制功能。

      缺省情况下，认证接入设备的接口下未使能远程接入控制功能。

      如果用户希望权限控制功能放在认证控制设备上、认证接入设备不做权限控制，可以在认证接入设备上关闭接入点的权限控制功能（指定open参数）。

      执行命令authentication access-point open时，还需同时执行命令authentication access-point，否则authentication access-point open命令功能不生效。

   3. （可选）执行命令authentication access-point max-user max-user-number，在认证接入设备的接口上配置允许接入用户的最大数目。

      缺省情况下，认证接入设备的接口上没有限制允许接入用户的最大数目。

   4. 执行命令quit，返回到系统视图。

3. （如果接入的AS为堆叠系统）执行命令stack timer mac-address switch-delay 0，配置堆叠系统MAC不切换。

   如果接入的AS为堆叠系统，某些异常情况下，如果堆叠系统MAC切换，会引起Parent上AS认证表项中的MAC地址与切换后的系统MAC地址不一致，导致AS下连的用户无法认证上线。因此，建议执行该命令配置堆叠系统MAC不切换。

   如果接入的AS为堆叠系统，且没有配置堆叠系统MAC不切换，则当堆叠系统主备倒换时，有可能会导致AS下线然后再重新上线，在AS重新上线之前，其下挂用户业务不可用。因此，建议执行该命令配置堆叠系统MAC不切换。

4. 配置扩展功能与可选参数。

   • 执行命令authentication speed-limit max-num max-num-value interval interval-value，配置认证接入设备发送用户关联和去关联请求消息的速率限制。

     缺省情况下，认证接入设备在30秒内发送用户关联和去关联请求消息的最大个数为60个。

   • 执行命令user-detect { interval interval-value | retry retry-value } ^*，使能用户在线探测的功能并配置用户在线探测周期及报文重传次数。

     缺省情况下，用户在线探测的功能处于使能状态，用户在线探测周期为15秒，报文重传次数为3次。

   • 执行命令user-sync interval interval-value，使能用户与认证控制设备上在线用户之间的同步功能。

     缺省情况下，用户同步功能处于使能状态，用户同步周期为60秒。

     为使同步功能正常，认证接入设备和认证控制设备需要同时打开用户同步功能，且认证接入设备上配置的用户同步间隔要小于等于认证控制设备上配置的用户同步间隔，避免用户被同步误下线。

   • 执行命令control-down offline delay { delay-value | unlimited }，配置CAPWAP通道故障后认证接入设备上的用户下线延时的时间。

     缺省情况下，CAPWAP通道故障后认证接入设备上的用户立即下线。

   • 配置关联用户接入限制告警功能。

     • 执行命令authentication associate alarm-restrain enable，打开关联用户接入限制的告警抑制功能。

       缺省情况下，已打开关联用户接入限制的告警抑制功能。

     • 执行命令authentication associate alarm-restrain period period-value，配置关联用户接入限制的告警抑制周期。

       缺省情况下，关联用户接入限制的告警抑制周期为300秒。