ADCampus无线配置Word文档下载推荐.docx
《ADCampus无线配置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ADCampus无线配置Word文档下载推荐.docx(35页珍藏版)》请在冰点文库上搜索。
修改章节
修改描述
作者
1.00
initial初稿完成
1.01
增加“1.2组网以及流程说明”
乔辉
1说明
1.1简介
本文以用户ADCampus网络有线部分已搭建完成为前提,配置仅涉及为实现无线业务增加的部分,有线部分的配置详见ADCampusV200R001方案最佳实践。
ADCampus方案中无线AC部署方式分为两种:
一种是使用独立的无线AC控制器旁挂在spine上,采用本地转发模式;
另外一种使用无线控制业务插卡直接插在spine或者leaf设备上,既可采用本地转发模式,也可采用集中转发模式,由于当前无线控制业务插卡不支持vxlan转发能力,需要使用环回方案来实现。
下文中如无特殊说明,无线AC即代表独立的无线AC控制器,无线插卡即代表无线控制业务插卡。
两种部署方式只是在无线设备及相连的交换机上配置不同,director上的业务配置基本是相同的。
1.2组网以及流程说明
下图为ADCampus无线典型组网:
本方案中,Director通过VLAN4094/VXLAN4094接口地址作为管理IP,对Spine、Leaf、Access和无线AC设备进行纳管;
无线AC设备通过VLAN4093/VXLAN4093建立CAPWAP隧道,对AP进行管理。
为了管理大量的AP,管理员可以在Director上为AP管理网段创建一个“二层网络域”(指定其分配的VXLAN为4093)。
交换机连接AP的端口使能PoE功能,配置为pvid4093并trunkvlanall。
AP通过如下方式获取自身IP及AC的IP地址:
Ø
管理员在Director创建“二层网络域”时设置AP管理的IP地址段及其DHCPOption43参数(AC的IP地址),配置到DHCPServer;
AP在VXLAN4093中通过DHCP申请IP并通过Option43获取AC的IP地址;
AP在VXLAN4093中完成向AC注册。
无线流量进VXLAN的方式为Port+VLAN进VXLAN:
由于无线用户的认证点不在Leaf上,所以无线流量的ac(接入电路)不能动态创建,而需要预先创建(配置Leaf下行口的时候,Director自动下发对应的服务实例)
对Leaf来说,无线同一个安全组的用户的流量在同一个VLAN内,而有线用户的VLAN都是不同的,故需要给无线流量预留一段和有线端口的PVID不相同的VLANID(本期方案为VLAN3501~4000)
无线接入用户认证通过之后,会根据用户所在的安全组下发对应的授权VLAN到AC设备上。
无线流量到达Leaf后,对无线VLAN的流量不做认证,直接放行。
无线数据通路的转发支持分布式转发和集中式转发两种,其中后者属于传统无线方案,本文不再赘述。
分布式转发的优点主要为:
由于AC不再负责数据转发,性能瓶颈完全消除,完全顺应将来高速无线的趋势,而且AC成本可以大幅降低。
甚至将来AC完全可以做成软件集成到Director中,作为一个功能管控模块;
从AP转发出来的报文不再封装CAPWAP,而是802.3格式的Ethernet报文,L3网关也都设置在交换机上。
这样消除了CAPWAP的加减封装的处理消耗,效率更高。
AP发送出来的无线流量和从交换机/PC发送出来的有线流量一模一样,有线/无线流量完全混跑在一起,其他设备无法区分也不需要区分。
2无线AC部署方式
独立的无线AC控制器旁挂在spine上,通过vlan4093/vxlan4093与AP进行通信,通过vlan4094与director进行通信纳入到ADCampus方案的管理中,并与认证服务器通信进行认证。
2.1无线控制器
Step1:
VLAN4094配置三层接口,用于Director的管理AC使用。
#
interfaceVlan-interface4094
ipaddress110.0.1.205255.255.255.0
Step2:
配置VLAN4093三层接口作为与AP通信接口,AC以该地址与AP建立CAPWAP隧道
#
interfaceVlan-interface4093
ipaddress110.0.2.205255.255.255.0
#
Step3:
配置LLDP,以确定拓扑关系
#
lldpglobalenable
#
Step4:
配置STP,以防止环路
#
undostpvlan2to4094enable
stpmodepvst
stpglobalenable
Step5:
配置SNMP、NETCONF参数
#配置SNMP
snmp-agent
snmp-agentcommunitywriteprivate
snmp-agentcommunityreadpublic
snmp-agentsys-infoversionall
#NETCONF配置
netconfsoaphttpenable
netconfsoaphttpsenable
#Step6:
配置本地用户local-userh3c,为后续Director连接设备时使用。
local-userh3cclassmanage
passwordsimple123456
service-typeftp
service-typesshtelnetterminalhttphttps
authorization-attributeuser-rolenetwork-admin
Step7:
配置无线AC连接spine的接口trunkvlanall,为后续与其他设备及director通信使用
interfaceTen-GigabitEthernet1/0/10
portlink-typetrunk
porttrunkpermitvlanall
Step8:
配置ACL3001用于MACportal认证的授权acl,需要注意的是:
不使用MACportal认证无需配置,如果是AP本地转发,AC上的acl不能配置任何rule,如果是集中式转发,AC上的acl中需要配置配置rule
acladvanced3001
rule0permitipdestination110.0.1.910#webportal服务器的地址
rule2permitipsource110.0.1.910#webportal服务器的地址
rule3denyip
Step9:
当AP为本地转发时还需在本地生成配置文件并下载到无线AC上,用于AP上线后自动配置上行口trunk所有vlan及MACportal认证时所需的授权acl,需要注意的是:
集中式转发无需该步骤
#配置文件具体内容如下,本地写好后下载到无线AC上:
interfaceGigabitEthernet1/0/1
porttrunkpermitvlanall
interfaceGigabitEthernet1/0/2
rule2permitipsource110.0.1.910#webportal服务器的地址
rule3denyip
#在默认ap分组里使用map-configuration指定AP的配置文件,当AP上线时自动下载该配置文件并生效,需要注意的是:
不同版本的该配置有所区别,部分版本可直接在ap分组视图下配置,部分版本需要在ap分组下的apmodel视图下配置
#直接在ap分组视图下配置
#
wlanap-groupdefault-group
map-configurationcfa0:
/ad.txt
#apmodel视图下配置
ap-modelWA4320-ACN
/ad.txt
Step10:
MACportal认证时为了将无线终端踢下线并快速重新上线获取ip地址,需要配置客户端二次接入认证的时间间隔,需要注意的是:
该命令默认时间间隔为10s,现网如果出现终端没有踢下线或者下线了没有重新上线可以通过调整该时间来优化
wlanclientreauthentication-period
2.2spine设备
在连接无线AC的接口上配置为trunk口,如果采用AP本地转发模式,不需要trunkvlanall,如果采用集中式转发,需要trunkvlanall,
interfaceTen-GigabitEthernet4/3/0/20
portlink-modebridge
在连接无线AC的接口上配置服务实例(绑定vlan4094和vsi4094),用于完成管理通道/控制通道的连通。
interfaceTen-GigabitEthernet4/3/0/20
porttrunkpermitvlan4094
service-instance4094
encapsulations-vid4094
xconnectvsi4094
#
3无线插卡部署方式
无线控制业务插卡可直接插在spine上,仍然通过vlan4094与director进行通信纳入到ADCampus方案的管理中并与认证服务器通信进行认证,通过vlan4093/vxlan4093与AP进行通信。
由于当前无线控制业务插卡不支持vxlan转发能力,需要使用环回方案来实现。
环回方案实现如下:
在后插板内联口上配置QinQ,同时在支持vxlan三层的接口板上选取两个端口通过光纤/光模块外环,两个端口口关闭stp,其中一个口配置QinQ,和后插板内联口建立一个QinQ隧道,将无线插卡入的流量进过QinQ封装解封装后从支持vxlan三层转发的外环口入,从而可以进行vxlan转发。
3.1无线插卡
配置VLAN4094三层接口作为管理接口及认证接口
ipaddress110.0.1.212255.255.255.0
配置VLAN4093三层接口作为与AP通信接口
ipaddress110.0.2.212255.255.255.0
#
local-userh3cclassmanage
配置前插板(无线插卡)的内联口trunkvlanall,为后续与其他设备及director通信使用
interfaceTen-GigabitEthernet1/0/1
如果无线采用集中式转发,还需在安全组创建后在无线插卡上配置安全组使用的vlan
vlan3501to3503
rule0permitipdestination110.0.1.910#webportal服务器的地址
rule2permitipsource110.0.1.910#webportal服务器的地址
Step10:
#在默认ap分组里使用map-configuration指定AP的配置文件,当AP上线时自动下载该配置文件并生效,不同版本的该配置有所区别,部分版本可直接在ap分组视图下配置,部分版本需要在ap分组下的apmodel视图下配置
Step11:
3.2spine设备
te4/5/0/1为后插板内联口(与前插板即无线插卡的内联口te1/0/1内部互联),实际组网可以将多个内联口聚合使用,te4/3/0/7和te4/3/0/8为支持vxlan三层转发的接口板的两个端口,使用光纤/光模块外环连接
配置vlan4091作为QinQ封装外层vlan,在后插板内联口上配置trunkvlan1、4091及QinQ,同时配置vlan1的报文直接透传
#vlan4091
interfaceTen-GigabitEthernet4/5/0/1
porttrunkpvidvlan4091
qinqenable
qinqtransparent-vlan1
在其中一个外环口te4/3/0/8上配置QinQ及关闭stp
interfaceTen-GigabitEthernet4/3/0/8
undoporttrunkpermitvlan1
porttrunkpermitvlan4091
undostpenable
配置VSI4093、VSI虚接口IP地址,并在另外一个外环口te4/3/0/7上配置服务实例(绑定vlan4093/4094和vsi4093/4094),用于完成无线插卡和AP的连通以及无线插卡与director的认证通道建立。
#配置vxlan4093/4094的服务实例并关闭stp
interfaceTen-GigabitEthernet4/3/0/7
porttrunkpermitvlan4093to4094
undostpenable
service-instance4093
encapsulations-vid4093
xconnectvsi4093
#
4Director配置
4.1Director纳管
打开资源—>
有线页面,点击右上角“增加设备”:
在弹出的页面中输入无线控制器的ip地址,下面的连接参数默认使用模板里的参数,这里也可以进行修改
增加无线控制器后,设备列表里会有该设备的信息:
设备的netconf参数既可以使用访问参数模板里的参数,也可以单独配置参数,单独配置参数时点击设备后进入设备页面,点击右下角红色部分可以修改netconf参数
NETCONF里需要新增一个访问URL协议SOAP/HTTP类型,对应的用户名和设备上配置的local-user用户名和密码一致,这里配置的是h3c/h3c。
增加完点击测试,通过即可。
4.2无线管理网络配置
进行该步骤前,请确认有线设备都已加入到director且加入到相应的设备组里,leaf下行口也加入到对应的接口组中。
Step1:
创建无线管理使用的二层网络域,子网及掩码和无线AC相同,配置可选参数,手工配置vlan/vxlan均为4093,开启arp代理,配置ACIP为无线AC的IP地址(在dhcp服务器分配地址时在option43里携带该ip地址,AP根据该option43选项确定AC地址直接向AC发起注册)
配置无线管理使用的安全组,选中dhcp在dhcp服务器上创建地址池,用于AP上线时自动去dhcp服务器申请IP地址
点击确定后会在leaf和spine上下发vxlan和vsi接口配置
vsivsi4093
floodingdisablebroadcast
vxlan4093
evpnencapsulationvxlan
route-distinguisherauto
vpn-targetautoexport-extcommunity
vpn-targetautoimport-extcommunity
dhcpsnoopingbindingrecord
interfaceVsi-interface4093
descriptionwlan
ipbindingvpn-instanceVPN-Default
ipaddress110.0.2.1255.255.255.0
mac-address0000-0000-0001
local-proxy-arpenable
dhcpselectrelayproxy//Spine上不会下发dhcprelay相关配置
dhcprelayinformationcircuit-idvxlan-port
dhcprelayinformationenable
dhcprelayserver-address110.0.1.64
dhcprelaysource-addressinterfaceVsi-interface4094
dhcprelayrequest-from-tunneldiscard
distributed-gatewayloca