ADCampus无线配置Word文档下载推荐.docx

1、修改章节修改描述作者1.00initial 初稿完成1.01增加“1.2 组网以及流程说明”乔辉1说明1.1简介本文以用户ADCampus网络有线部分已搭建完成为前提，配置仅涉及为实现无线业务增加的部分，有线部分的配置详见AD Campus V200R001方案最佳实践。AD Campus方案中无线AC部署方式分为两种：一种是使用独立的无线AC控制器旁挂在spine上，采用本地转发模式；另外一种使用无线控制业务插卡直接插在spine或者leaf设备上，既可采用本地转发模式，也可采用集中转发模式，由于当前无线控制业务插卡不支持vxlan转发能力，需要使用环回方案来实现。下文中如无特殊说明，无线A

2、C即代表独立的无线AC控制器，无线插卡即代表无线控制业务插卡。两种部署方式只是在无线设备及相连的交换机上配置不同，director上的业务配置基本是相同的。1.2组网以及流程说明下图为ADCampus无线典型组网：本方案中，Director通过VLAN4094/VXLAN 4094接口地址作为管理IP，对Spine、Leaf、Access和无线AC设备进行纳管；无线AC设备通过VLAN4093/VXLAN 4093建立CAPWAP隧道，对AP进行管理。为了管理大量的AP，管理员可以在Director上为AP管理网段创建一个“二层网络域”（指定其分配的VXLAN为4093）。交换机连接AP的端口

3、使能PoE功能，配置为pvid 4093并trunk vlan all。AP通过如下方式获取自身IP及AC的IP地址：管理员在Director创建“二层网络域”时设置AP管理的IP地址段及其DHCP Option43参数（AC的IP地址），配置到DHCP Server；AP在VXLAN 4093中通过DHCP申请IP并通过Option43获取AC的IP地址；AP在VXLAN 4093中完成向AC注册。无线流量进VXLAN的方式为Port+VLAN进VXLAN：由于无线用户的认证点不在Leaf上，所以无线流量的ac（接入电路）不能动态创建，而需要预先创建（配置Leaf下行口的时候，Directo

4、r自动下发对应的服务实例）对Leaf来说，无线同一个安全组的用户的流量在同一个VLAN内，而有线用户的VLAN都是不同的，故需要给无线流量预留一段和有线端口的PVID不相同的VLAN ID（本期方案为VLAN 35014000）无线接入用户认证通过之后，会根据用户所在的安全组下发对应的授权VLAN到AC设备上。无线流量到达Leaf后，对无线VLAN的流量不做认证，直接放行。无线数据通路的转发支持分布式转发和集中式转发两种，其中后者属于传统无线方案，本文不再赘述。分布式转发的优点主要为：由于AC不再负责数据转发，性能瓶颈完全消除，完全顺应将来高速无线的趋势，而且AC成本可以大幅降低。甚至将来AC

5、完全可以做成软件集成到Director中，作为一个功能管控模块；从AP转发出来的报文不再封装CAPWAP，而是802.3格式的Ethernet报文，L3网关也都设置在交换机上。这样消除了CAPWAP的加减封装的处理消耗，效率更高。AP发送出来的无线流量和从交换机/PC发送出来的有线流量一模一样，有线/无线流量完全混跑在一起，其他设备无法区分也不需要区分。2无线AC部署方式独立的无线AC控制器旁挂在spine上，通过vlan4093/vxlan4093与AP进行通信，通过vlan4094与director进行通信纳入到ADCampus方案的管理中，并与认证服务器通信进行认证。2.1无线控制器St

6、ep1：VLAN4094配置三层接口，用于Director的管理AC使用。# interface Vlan-interface4094 ip address 110.0.1.205 255.255.255.0 Step2：配置VLAN4093三层接口作为与AP通信接口，AC以该地址与AP建立CAPWAP隧道 # interface Vlan-interface4093 ip address 110.0.2.205 255.255.255.0 # Step3：配置LLDP，以确定拓扑关系 # lldp global enable #Step4：配置STP，以防止环路 # undo stp vla

7、n 2 to 4094 enable stp mode pvst stp global enable Step5：配置SNMP、NETCONF参数 # 配置SNMP snmp-agent snmp-agent community write private snmp-agent community read public snmp-agent sys-info version all #NETCONF配置 netconf soap http enable netconf soap https enable # Step6：配置本地用户local-user h3c，为后续Director连接设备

8、时使用。 local-user h3c class manage password simple 123456 service-type ftp service-type ssh telnet terminal http https authorization-attribute user-role network-admin Step7：配置无线AC连接spine的接口trunk vlan all，为后续与其他设备及director通信使用interface Ten-GigabitEthernet1/0/10 port link-type trunk port trunk permit vl

9、an all Step8： 配置ACL 3001用于MAC portal认证的授权acl，需要注意的是：不使用MAC portal认证无需配置，如果是AP本地转发，AC上的acl不能配置任何rule，如果是集中式转发，AC上的acl中需要配置配置ruleacl advanced 3001 rule 0 permit ip destination 110.0.1.91 0 #web portal服务器的地址 rule 2 permit ip source 110.0.1.91 0 #web portal服务器的地址 rule 3 deny ip Step9：当AP为本地转发时还需在本地生成配置文

10、件并下载到无线AC上，用于AP上线后自动配置上行口trunk所有vlan及MAC portal认证时所需的授权acl，需要注意的是：集中式转发无需该步骤#配置文件具体内容如下，本地写好后下载到无线AC上：interface GigabitEthernet1/0/1 port trunk permit vlan all interface GigabitEthernet1/0/2 rule 2 permit ip source 110.0.1.91 0 #web portal服务器的地址 rule 3 deny ip #在默认ap分组里使用map-configuration指定AP的配置文件，当

11、AP上线时自动下载该配置文件并生效，需要注意的是：不同版本的该配置有所区别，部分版本可直接在ap分组视图下配置，部分版本需要在ap分组下的ap model视图下配置#直接在ap分组视图下配置#wlan ap-group default-group map-configuration cfa0:/ad.txt #ap model视图下配置 ap-model WA4320-ACN /ad.txt Step10：MAC portal认证时为了将无线终端踢下线并快速重新上线获取ip地址，需要配置客户端二次接入认证的时间间隔，需要注意的是：该命令默认时间间隔为10s，现网如果出现终端没有踢下线或者下线了

12、没有重新上线可以通过调整该时间来优化wlan client reauthentication-period 2.2spine设备在连接无线AC的接口上配置为trunk口，如果采用AP本地转发模式，不需要trunk vlan all，如果采用集中式转发，需要trunk vlan all，interface Ten-GigabitEthernet4/3/0/20 port link-mode bridge 在连接无线AC的接口上配置服务实例（绑定vlan4094和vsi4094），用于完成管理通道/控制通道的连通。interface Ten-GigabitEthernet4/3/0/20 port

13、 trunk permit vlan 4094 service-instance 4094 encapsulation s-vid 4094 xconnect vsi 4094 # 3无线插卡部署方式无线控制业务插卡可直接插在spine上，仍然通过vlan4094与director进行通信纳入到ADCampus方案的管理中并与认证服务器通信进行认证，通过vlan4093/vxlan4093与AP进行通信。由于当前无线控制业务插卡不支持vxlan转发能力，需要使用环回方案来实现。环回方案实现如下：在后插板内联口上配置QinQ，同时在支持vxlan三层的接口板上选取两个端口通过光纤/光模块外环，两

14、个端口口关闭stp，其中一个口配置QinQ，和后插板内联口建立一个QinQ隧道，将无线插卡入的流量进过QinQ封装解封装后从支持vxlan三层转发的外环口入，从而可以进行vxlan转发。3.1无线插卡配置VLAN4094三层接口作为管理接口及认证接口 ip address 110.0.1.212 255.255.255.0 配置VLAN4093三层接口作为与AP通信接口 ip address 110.0.2.212 255.255.255.0 #local-user h3c class manage 配置前插板（无线插卡）的内联口trunk vlan all，为后续与其他设备及director

15、通信使用interface Ten-GigabitEthernet1/0/1 如果无线采用集中式转发，还需在安全组创建后在无线插卡上配置安全组使用的vlanvlan 3501 to 3503 rule 0 permit ip destination 110.0.1.91 0 #web portal服务器的地址 rule 2 permit ip source 110.0.1.91 0 #web portal服务器的地址 Step10：#在默认ap分组里使用map-configuration指定AP的配置文件，当AP上线时自动下载该配置文件并生效，不同版本的该配置有所区别，部分版本可直接在ap分组

16、视图下配置，部分版本需要在ap分组下的ap model视图下配置 Step11：3.2spine设备te4/5/0/1为后插板内联口（与前插板即无线插卡的内联口te1/0/1内部互联），实际组网可以将多个内联口聚合使用，te4/3/0/7和te4/3/0/8为支持vxlan三层转发的接口板的两个端口，使用光纤/光模块外环连接配置vlan 4091作为QinQ封装外层vlan，在后插板内联口上配置trunk vlan 1、4091及QinQ，同时配置vlan 1的报文直接透传#vlan 4091 interface Ten-GigabitEthernet4/5/0/1 port trunk pv

17、id vlan 4091 qinq enable qinq transparent-vlan 1 在其中一个外环口te4/3/0/8上配置QinQ及关闭stpinterface Ten-GigabitEthernet4/3/0/8 undo port trunk permit vlan 1 port trunk permit vlan 4091 undo stp enable 配置VSI 4093、VSI虚接口IP地址，并在另外一个外环口te4/3/0/7上配置服务实例（绑定vlan4093/4094和vsi4093/4094），用于完成无线插卡和AP的连通以及无线插卡与director的认证

18、通道建立。 #配置vxlan 4093/4094的服务实例并关闭stp interface Ten-GigabitEthernet4/3/0/7 port trunk permit vlan 4093 to 4094 undo stp enable service-instance 4093 encapsulation s-vid 4093 xconnect vsi 4093 # 4Director配置4.1Director纳管打开资源有线页面，点击右上角“增加设备”：在弹出的页面中输入无线控制器的ip地址，下面的连接参数默认使用模板里的参数，这里也可以进行修改增加无线控制器后，设备列表里会有

19、该设备的信息：设备的netconf参数既可以使用访问参数模板里的参数，也可以单独配置参数，单独配置参数时点击设备后进入设备页面，点击右下角红色部分可以修改netconf参数NETCONF里需要新增一个访问URL协议SOAP/HTTP类型，对应的用户名和设备上配置的local-user用户名和密码一致，这里配置的是h3c/h3c。增加完点击测试，通过即可。4.2无线管理网络配置进行该步骤前，请确认有线设备都已加入到director且加入到相应的设备组里，leaf下行口也加入到对应的接口组中。Step1 ：创建无线管理使用的二层网络域，子网及掩码和无线AC相同，配置可选参数，手工配置vlan/vx

20、lan均为4093，开启arp代理，配置AC IP为无线AC的IP地址（在dhcp服务器分配地址时在option43里携带该ip地址，AP根据该option43选项确定AC地址直接向AC发起注册）配置无线管理使用的安全组，选中dhcp在dhcp服务器上创建地址池，用于AP上线时自动去dhcp服务器申请IP地址点击确定后会在leaf和spine上下发vxlan和vsi接口配置vsi vsi4093 flooding disable broadcast vxlan 4093 evpn encapsulation vxlan route-distinguisher auto vpn-target a

21、uto export-extcommunity vpn-target auto import-extcommunity dhcp snooping binding record interface Vsi-interface4093 description wlan ip binding vpn-instance VPN-Default ip address 110.0.2.1 255.255.255.0 mac-address 0000-0000-0001 local-proxy-arp enable dhcp select relay proxy / Spine上不会下发dhcp relay相关配置 dhcp relay information circuit-id vxlan-port dhcp relay information enable dhcp relay server-address 110.0.1.64 dhcp relay source-address interface Vsi-interface4094 dhcp relay request-from-tunnel discard distributed-gateway loca