09 ADCampus V500R002B01無線業(yè)務(wù)配置指導(dǎo)

文檔密級【內(nèi)參】ADCampusV500R002B01無線業(yè)務(wù)配置指導(dǎo) TIME\@"yyyy'年'M'月'd'日'"2020年11月20日新華三機(jī)密，未經(jīng)許可不得擴(kuò)散第頁新華三技術(shù)有限公司H3CTechnologiesCo.,Ltd.解決方案名稱Solutionname密級Confidentialitylevel解決方案ADCampusV500R002B01內(nèi)參解決方案版本Solutionversion共54頁Total54pagesV500R002B01 ADCampusV500R002B01 無線業(yè)務(wù)配置指導(dǎo)擬制宮玉09965日期2019/12/1評審人日期批準(zhǔn)日期新華三技術(shù)有限公司NewH3CTechnologiesCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved

修訂記錄RevisionRecord日期修訂版本修改章節(jié)修改描述作者2019/6/1V1.0全文初稿完成宮玉099652019/7/4V1.1全文根據(jù)評審意見修改全文宮玉099652019/12/1V1.2全文根據(jù)評審意見修改全文宮玉099652020/4/15V2.0全文根據(jù)五期R2版本更新全文宮玉099652020/5/8V2.1全文根據(jù)評審意見更新全文宮玉099652020/5/21V2.2全文根據(jù)第二輪評審意見更新全文宮玉099652020/7/15V2.31.5取消環(huán)回場景透傳vlan1宮玉099652020/9/1V2.43.3增加無線AP模式注意事項(xiàng)宮玉099652020/10/21V更新路徑【iMC】>【無線業(yè)務(wù)管理】>【配置管理】>【ComwareBased】宮玉099652020/11/20V2.63.4新增注意事項(xiàng)3.4，無線AP較多時(shí)，業(yè)務(wù)VPN需要配置路由策略宮玉09965

目錄1 簡介 1-61.1 概述 1-61.2 組網(wǎng)圖 1-61.3 部署方式 1-71.4 業(yè)務(wù)流程說明 1-71.5 無線插卡場景環(huán)回配置(按需配置) 1-92 無線業(yè)務(wù)配置步驟 2-112.1 AC納管 2-122.1.1 AC設(shè)備配置 2-122.1.2 Spine設(shè)備配置 2-162.1.3 控制器頁面配置 2-172.1.4 WSM組件配置 2-192.2 配置AC設(shè)備組策略 2-202.2.1 AC添加到設(shè)備組 2-202.2.2 配置AAA策略 2-212.2.3 配置802.1x認(rèn)證策略 2-232.2.4 配置MAC/MACPortal認(rèn)證策略 2-242.3 證書安裝 2-252.4 配置無線管理網(wǎng) 2-262.4.1 創(chuàng)建無線二層網(wǎng)絡(luò)域 2-262.4.2 創(chuàng)建無線安全組 2-272.4.3 配置接口組 2-292.5 AP上線 2-342.5.1 Access接口配置 2-342.5.2 WSM組件中配置AP模板 2-342.5.3 AP信息查看 2-362.5.4 配置Radio 2-362.6 配置無線認(rèn)證參數(shù) 2-372.6.1 配置無線服務(wù)策略 2-372.6.2 無線服務(wù)策略綁定Radio 2-392.6.3 手工設(shè)置無線服務(wù)模板的轉(zhuǎn)發(fā)模式 2-402.6.4 手工設(shè)置無線服務(wù)模板的url-redirect 2-412.6.5 配置頁面推送策略 2-412.7 無線用戶上線 2-442.8 無線訪客 2-462.9 AC集中轉(zhuǎn)發(fā)特殊配置（按需配置） 2-482.10 控制器頁面跳轉(zhuǎn)方式配置AC（按需使用） 2-502.10.1 配置前提 2-502.10.2 跳轉(zhuǎn)入口 2-502.10.3 目前可以通過跳轉(zhuǎn)方式配置的內(nèi)容 2-513 配置注意事項(xiàng)(持續(xù)更新) 3-523.1 無線終端認(rèn)證不通過 3-523.2 無法彈出MACPortal頁面 3-533.3 無線AP模式 3-543.4 無線AP較多時(shí)，業(yè)務(wù)VPN下需要配置路由策略 3-54簡介概述本文以ADCampus網(wǎng)絡(luò)有線認(rèn)證部分已搭建完成為前提，配置僅涉及為實(shí)現(xiàn)無線業(yè)務(wù)增加的部分。相對有線業(yè)務(wù)，組網(wǎng)中需要新增無線AC設(shè)備、AP設(shè)備和WSM組件并進(jìn)行相關(guān)配置。組網(wǎng)圖部署方式ADCampus方案中無線AC部署方式分為兩種：一種是使用獨(dú)立的無線AC設(shè)備旁掛在Spine/Leaf上，另外一種使用無線AC插卡直接插在Spine/Leaf設(shè)備上。無線插卡場景下，由于Spine/Leaf內(nèi)聯(lián)口不支持VXLAN轉(zhuǎn)發(fā)，需要使用環(huán)回方案來實(shí)現(xiàn)AC插卡與Spine/Leaf的互聯(lián)，配置方法詳見【1.5】【無線插卡場景環(huán)回配置】。兩種部署方式只是在與無線設(shè)備相連的Spine/Leaf接口上配置不同，無線業(yè)務(wù)其他配置基本相同。本文以獨(dú)立使用的無線AC設(shè)備旁掛在Spine上為例進(jìn)行介紹(同組網(wǎng)圖)。業(yè)務(wù)流程說明要完成無線業(yè)務(wù)的搭建，需要進(jìn)行如下配置：搭建無線管理網(wǎng)>配置無線服務(wù)>配置認(rèn)證參數(shù)>配置用戶安全組>用戶認(rèn)證上線>流量轉(zhuǎn)發(fā)Step1：通過控制器（SeerEngine-Campus）創(chuàng)建專用的安全組，作為無線業(yè)務(wù)管理網(wǎng)，用于AC和AP的通信。通過控制器（SeerEngine-Campus）創(chuàng)建“無線”類型的安全組，用于AP獲取IP地址并與AC的VLAN4093的IP地址通信，DHCP服務(wù)器在給AP分配IP地址的時(shí)候通過option43選項(xiàng)給AP指定AC的地址（創(chuàng)建無線安全組時(shí)子網(wǎng)中需要配置ACIP屬性），AP上電獲取到IP地址和AC地址后，與AC設(shè)備通過單播自動(dòng)建立CAPWAP隧道，并完成注冊。Step2：AP注冊成功后，通過WSM配置無線參數(shù)和無線服務(wù)，用于AP提供無線服務(wù)。無線AP模板創(chuàng)建、無線Radio管理、無線服務(wù)策略等無線參數(shù)需通過WSM進(jìn)行配置。配置前需要將AC設(shè)備通過VLAN4094地址納管到WSM。Step3：通過控制器（SeerEngine-Campus）配置AC的認(rèn)證參數(shù)。無線AC的AAA策略、MAC認(rèn)證、802.1x認(rèn)證參數(shù)需要通過控制器（SeerEngine-Campus）進(jìn)行配置。配置前需要將AC設(shè)備通過VLAN4094地址納管到控制器（SeerEngine-Campus）。Step4：通過控制器（SeerEngine-Campus）創(chuàng)建用戶業(yè)務(wù)使用的二層網(wǎng)絡(luò)域和安全組，并在EIA上創(chuàng)建用戶。在創(chuàng)建用戶二層網(wǎng)絡(luò)域時(shí)，控制器（SeerEngine-Campus）會(huì)自動(dòng)分配VLAN-VXLAN映射關(guān)系（也可手工指定），其中的VLAN給該安全組的無線終端使用，五期版本需要在通用設(shè)備組中手工指定連接AP的Leaf下行口。指定之后，控制器（SeerEngine-Campus）會(huì)在指定的Leaf下行口配置該VLAN的報(bào)文免認(rèn)證并創(chuàng)建服務(wù)實(shí)例將該VLAN映射到對應(yīng)的用戶業(yè)務(wù)VXLAN；Step5：用戶使用無線終端連接對應(yīng)的SSID，進(jìn)行認(rèn)證。無線用戶的認(rèn)證點(diǎn)在AC上（AC需要通過SeerEngine-Campus配置相關(guān)AAA參數(shù)和802.1x/MAC認(rèn)證參數(shù)），終端連接上無線信號后首先以AC為NAS向EIA發(fā)起認(rèn)證，EIA認(rèn)證通過后通知AC給該終端下發(fā)授權(quán)VLAN（該安全組對應(yīng)的VLAN），后續(xù)該終端的報(bào)文在授權(quán)VLAN內(nèi)轉(zhuǎn)發(fā)；Step6：用戶認(rèn)證成功后，AP/AC根據(jù)預(yù)先配置的轉(zhuǎn)發(fā)模式對用戶流量進(jìn)行轉(zhuǎn)發(fā)。如果采用AP本地轉(zhuǎn)發(fā)模式，終端的報(bào)文在AP上攜帶授權(quán)VLAN的tag直接轉(zhuǎn)發(fā)到Access交換機(jī)上（包括DHCP報(bào)文），進(jìn)入Leaf時(shí)免認(rèn)證并通過服務(wù)實(shí)例直接映射到業(yè)務(wù)VXLAN中，之后進(jìn)行DHCP地址獲取及正常業(yè)務(wù)通信；如果采用AC集中式轉(zhuǎn)發(fā)模式，終端的報(bào)文封裝到CAPWAP隧道通過VXLAN4093轉(zhuǎn)發(fā)到AC，AC解封裝后將攜帶授權(quán)VLAN的用戶流量轉(zhuǎn)發(fā)到Spine/Leaf連接AC的接口上。該轉(zhuǎn)發(fā)模式下，控制器（SeerEngine-Campus）會(huì)在Spine/Leaf的對接口上創(chuàng)建用戶授權(quán)VLAN的服務(wù)實(shí)例，將用戶的流量映射到對應(yīng)的VXLAN。無線插卡場景環(huán)回配置(按需配置)本部分用于指導(dǎo)無線插卡場景下的環(huán)回接口相關(guān)配置，如果使用的是獨(dú)立AC設(shè)備，請忽略本部分。環(huán)回方案實(shí)現(xiàn)如下：在后插板內(nèi)聯(lián)口(XGE4/5/0/1)上配置QinQ，同時(shí)在支持VXLAN三層的接口板上選取兩個(gè)端口通過光纖/光模塊外環(huán)，兩個(gè)端口均關(guān)閉STP，其中一個(gè)口(XGE4/3/0/8)配置QinQ，和后插板內(nèi)聯(lián)口建立一個(gè)QinQ隧道，將無線插卡的流量引流到支持VXLAN三層轉(zhuǎn)發(fā)的接口板上的另一個(gè)外環(huán)口(XGE4/3/0/7)，從而可以進(jìn)行VXLAN轉(zhuǎn)發(fā)。Step1：配置無線插卡#使能LLDP lldpglobalenable ##使能STP undostpvlan2to4094enable stpmodepvst stpglobalenable ##配置無線插卡的內(nèi)聯(lián)口trunkvlanall，為后續(xù)與其他設(shè)備及director通信使用interfaceTen-GigabitEthernet1/0/1portlink-typetrunkporttrunkpermitvlanall# #如果無線采用集中式轉(zhuǎn)發(fā)，還需在安全組創(chuàng)建后在無線插卡上配置安全組使用的vlan vlan3501to3503 #Step2：配置Spine設(shè)備（無線插卡在Spine上）XGE4/5/0/1為后插板內(nèi)聯(lián)口（與前插板即無線插卡的內(nèi)聯(lián)口XGE1/0/1內(nèi)部互聯(lián)），實(shí)際組網(wǎng)可以將多個(gè)內(nèi)聯(lián)口聚合使用，XGE4/3/0/7和XGE4/3/0/8為支持VXLAN三層轉(zhuǎn)發(fā)的接口板的兩個(gè)端口，使用光纖/光模塊外環(huán)連接。 #配置vlan4091作為QinQ封裝外層vlan， vlan4091 # #在spine內(nèi)聯(lián)口上配置trunkvlan4091及QinQ interfaceTen-GigabitEthernet4/5/0/1 portlink-modebridge portlink-typetrunk undoporttrunkpermitvlan1 porttrunkpermitvlan2to4094 porttrunkpvidvlan4091 qinqenable #在其中一個(gè)外環(huán)口XGE4/3/0/8上配置QinQ及關(guān)閉stpinterfaceTen-GigabitEthernet4/3/0/8 portlink-modebridge portlink-typetrunk undoporttrunkpermitvlan1 porttrunkpermitvlan409140934094 porttrunkpvidvlan4091 qinqenable undostpenable # #在另外一個(gè)外環(huán)口XGE4/3/0/7上配置服務(wù)實(shí)例并關(guān)閉stp interfaceTen-GigabitEthernet4/3/0/7 portlink-modebridge portlink-typetrunk undoporttrunkpermitvlan1 porttrunkpermitvlan4093to4094 porttrunkpvidvlan4091 undostpenable service-instance4093 encapsulations-vid4093 xconnectvsivsi4093 service-instance4094 encapsulations-vid4094 xconnectvsivxlan4094 #無線業(yè)務(wù)配置步驟配置前提：在五期方案中，無線管理安全組、無線AC設(shè)備組策略需通過控制器（SeerEngine-Campus）納管AC后下發(fā)配置。無線AP納管、無線Radio、無線服務(wù)模板需要通過iMC的WSM組件納管AC后下發(fā)配置。配置時(shí)以組網(wǎng)圖中的接口參數(shù)為例進(jìn)行介紹。AC納管AC納管需要分別在AC設(shè)備、Spine設(shè)備、SeerEngine-Campus和WSM上都進(jìn)行配置，如下所示：AC設(shè)備配置獨(dú)立的無線AC設(shè)備旁掛在Spine上，通過VLAN4093/VXLAN4093與AP進(jìn)行通信，通過VLAN4094與控制器（SeerEngine-Campus）、EIA、WSM進(jìn)行通信。Step1：VLAN4094配置三層接口，用于控制器（SeerEngine-Campus）、WSM管理AC使用。 #interfaceVlan-interface4094 ipaddress5#Step2：配置VLAN4093三層接口作為與AP通信接口，AC以該地址與AP建立CAPWAP隧道#interfaceVlan-interface4093 ipaddress5#Step3：配置LLDP，以確定拓?fù)潢P(guān)系 # lldpglobalenable #Step4：配置STP，以防止環(huán)路 # undostpvlan2to4094enable stpmodepvst stpglobalenable #Step5：配置SNMP、NETCONF參數(shù) #配置SNMP snmp-agent snmp-agentcommunitywriteprivate snmp-agentcommunityreadpublic snmp-agentsys-infoversionallsnmp-agentpacketmax-size4094 # #NETCONF配置 netconfsoaphttpenable netconfsoaphttpsenable netconfsshserverenable（必須配置） #Step6：配置本地用戶local-userh3c和telnet參數(shù)，為后續(xù)控制器（SeerEngine-Campus）連接設(shè)備時(shí)使用。# local-userh3cclassmanage passwordsimpleh3c service-typeftp service-typesshtelnetterminalhttphttpsauthorization-attributeuser-rolenetwork-admin#linevty031authentication-modescheme（必須配置為scheme模式）user-rolenetwork-adminuser-rolenetwork-operator#Step7：配置無線AC連接Spine的接口trunkvlanall，為后續(xù)與其他設(shè)備及控制器通信使用#interfaceTen-GigabitEthernet1/0/9 portlink-typetrunk porttrunkpermitvlanall#Step8：在本地生成配置文件并下載到無線AC上，用于AP上線后自動(dòng)配置上行口trunk所有VLAN及MACPortal認(rèn)證時(shí)所需的授權(quán)acl（AP本地轉(zhuǎn)發(fā)時(shí)必須配置該ACL）#配置文件具體內(nèi)容如下，本地寫好后上傳到無線AC上：interfaceGigabitEthernet1/0/1#不同型號AP的接口名稱可能不同，根據(jù)實(shí)際情況配置即可。 portlink-typetrunk porttrunkpermitvlanall#interfaceGigabitEthernet1/0/2#不同型號AP的接口名稱可能不同，根據(jù)實(shí)際情況配置即可。 portlink-typetrunk porttrunkpermitvlanall#acladvanced3001 rule0permitudpdestination-porteqbootpsrule1permitudpdestination-porteqbootpcrule2permitudpdestination-porteqdnsrule3permitudpsource-porteqdnsrule4permitipdestination880#PortalWeb服務(wù)器的地址 rule5permitipsource880#PortalWeb服務(wù)器的地址rule10denyip##在默認(rèn)ap分組里使用map-configuration指定AP的配置文件，當(dāng)AP上線時(shí)自動(dòng)下載該配置文件并生效#不同版本的該配置有所區(qū)別，部分版本可直接在ap分組視圖下配置，部分版本需要在ap分組下的apmodel視圖下配置，根據(jù)實(shí)際設(shè)備支持的命令行配置即可#直接在ap分組視圖下配置#wlanap-groupdefault-group map-configurationcfa0:/ad.txt##apmodel視圖下配置#wlanap-groupdefault-group ap-modelWA4320i-ACN map-configurationcfa0:/ad.txt#Step9：MACportal認(rèn)證時(shí)為了將無線終端踢下線并快速重新上線獲取ip地址，需要配置客戶端二次接入認(rèn)證的時(shí)間間隔及動(dòng)態(tài)黑名單基于AC生效，需要注意的是：二次接入認(rèn)證時(shí)間間隔配置命令默認(rèn)時(shí)間間隔為10s，現(xiàn)網(wǎng)如果出現(xiàn)終端沒有踢下線或者下線了沒有重新上線可以通過調(diào)整該時(shí)間來優(yōu)化#wlanclientreauthentication-periodundowlandynamic-blacklistactive-on-ap#Step10：由于AC需要跟控制器（SeerEngine-Campus）、WSM、EIA進(jìn)行通信，需要根據(jù)實(shí)際組網(wǎng)添加相應(yīng)的路由，配置后，AC的VLAN4094地址應(yīng)能ping通控制器（SeerEngine-Campus）、EIA和WSM的業(yè)務(wù)IP。Spine設(shè)備配置Step1：在連接無線AC的接口上配置為trunk口，trunkvlanall。#interfaceTen-GigabitEthernet0/0/15 portlink-modebridge portlink-typetrunk porttrunkpermitvlanall#Step2：在連接無線AC的接口上配置服務(wù)實(shí)例（綁定vlan4094和vsi4094），用于完成管理通道/控制通道的連通。#interfaceTen-GigabitEthernet0/0/15portlink-typetrunkporttrunkpermitvlan4094 service-instance4094 encapsulations-vid4094 xconnectvsivxlan4094#備注：五期VXLAN4094的服務(wù)實(shí)例需要手工配置，但VXLAN4093服務(wù)實(shí)例不需要手工配置，控制器（SeerEngine-Campus）中將該接口添加到ACAccess接口組之后，會(huì)自動(dòng)下發(fā)VXLAN4093的服務(wù)實(shí)例，詳見2.4.2中的接口組配置。控制器頁面配置Step1：控制器中配置WSM連接參數(shù)。在【SNACenter】>【基礎(chǔ)服務(wù)】>【W(wǎng)SM】頁面，增加WSM服務(wù)器。WSM服務(wù)器地址、用戶名、密碼參數(shù)使用登錄WSM所在iMC網(wǎng)管時(shí)的IP地址、用戶名、密碼即可（iMC網(wǎng)管缺省用戶名/密碼為admin/admin）。Step2:SNACenter中納管AC。在【SNACenter】>【基礎(chǔ)網(wǎng)絡(luò)】>【資源】>【設(shè)備資源】頁面，添加無線AC設(shè)備。將AC納管到SNACenter中，如下圖所示：增加AC設(shè)備時(shí)，管理IP使用AC設(shè)備VLAN4094接口的IP地址。NETCONF用戶名密碼對應(yīng)章節(jié)【2.1.1】【AC設(shè)備配置】中配置的本地用戶local-user的用戶名密碼。AC納管成功后，如下圖所示：（圖片僅供參考，請以實(shí)際環(huán)境為準(zhǔn)）WSM組件配置目前版本的無線相關(guān)參數(shù)需要通過iMC中的WSM組件進(jìn)行配置，因此需要預(yù)先安裝好WSM組件，然后將AC設(shè)備納管到iMC的WSM組件中。方法如下：路徑：【iMC】>【資源】>【視圖管理】>【設(shè)備視圖】>【增加設(shè)備】填寫SNMP等相關(guān)參數(shù)后，納管成功。AC的IP需要使用VLAN4094接口的IP地址。納管后設(shè)備“類型”應(yīng)能自動(dòng)識別為“無線設(shè)備”，如下圖所示：之后查看【iMC】>【業(yè)務(wù)】>【無線業(yè)務(wù)管理】>【無線控制器列表】頁面。應(yīng)能自動(dòng)顯示上一步添加的AC設(shè)備，如下圖所示：配置AC設(shè)備組策略目前版本需要通過控制器（SeerEngine-Campus）對AC設(shè)備下發(fā)相關(guān)策略（AAA、802.1x/MAC認(rèn)證）。如下：AC添加到設(shè)備組查看【SNACenter】>【基礎(chǔ)網(wǎng)絡(luò)】>【資源】>【設(shè)備資源】>【通用設(shè)備組】>【ACDeviceGroup】。AC納管到控制器（SeerEngine-Campus）后，會(huì)自動(dòng)添加到該組。如果組中沒有該AC，需要手工添加到該組。然后再進(jìn)行后續(xù)的組策略配置。配置AAA策略Step1：首先創(chuàng)建AAA策略，方法同有線認(rèn)證。如下圖所示：備注：如果搭建有線認(rèn)證環(huán)境時(shí)已經(jīng)創(chuàng)建了AAA策略，直接使用該策略即可，不用再次創(chuàng)建。目前五期版本有線、無線可以使用相同的AAA策略模板，控制器（SeerEngine-Campus）會(huì)根據(jù)設(shè)備類型下發(fā)對應(yīng)的命令行。Step2：將該策略應(yīng)用到AC設(shè)備組，如下圖所示：Step3：查看AC設(shè)備，控制器會(huì)給AC下發(fā)AAA相關(guān)的配置（domain、radius相關(guān)），如下圖所示：#domainh3cdomainauthenticationlan-accessradius-schemetestschemeauthorizationlan-accessradius-schemetestschemeaccountinglan-accessradius-schemetestscheme#domainsystem#domaindefaultenableh3cdomain#radiussession-controlenableradiussession-controlclientip88keyciphervkWV7FqgQN/#radiusschemetestschemeprimaryauthentication88primaryaccounting88accounting-onenablesend255interval15keyauthenticationcipher$c$3$T1KCtkM5YaDZgEu2/ORW6xEyU0r3lw==keyaccountingcipher$c$3$i4zmpwdo6sr07HyDI5Efpe9pOGa1yQ==timerrealtime-accounting20user-name-formatwithout-domain#radiusdynamic-authorserverclientip88keycipher$c$3$p6J3kiw0nDY7BfIgjGXhSp1DtWJKSg==#Step4：控制器下發(fā)AAA到AC時(shí)，會(huì)自動(dòng)同步信息給EIA，自動(dòng)將AC添加到接入設(shè)備列表中，如下圖所示：配置802.1x認(rèn)證策略首先創(chuàng)建802.1x認(rèn)證策略模板，如下圖所示：備注：無線業(yè)務(wù)802.1x認(rèn)證必須使用EAP類型。如果有線業(yè)務(wù)已經(jīng)創(chuàng)建了EAP類型的認(rèn)證模板，直接使用即可。無需再次創(chuàng)建。然后在AC設(shè)備組中應(yīng)用該模板，如下圖所示：查看AC設(shè)備，會(huì)下發(fā)如下配置：#dot1xdot1xauthentication-methodeap#配置MAC/MACPortal認(rèn)證策略首先創(chuàng)建MAC/MACPortal認(rèn)證模板，如下圖所示：然后在AC設(shè)備組中應(yīng)用該模板，如下圖所示：查看AC設(shè)備，會(huì)下發(fā)如下配置（使能MAC認(rèn)證并創(chuàng)建ACL）：#mac-authentication##acladvanced3001descriptionSDN_ACL_AUTHrule0permitudpdestination-porteqbootpsrule1permitudpdestination-porteqbootpcrule2permitudpdestination-porteqdnsrule3permitudpsource-porteqdnsrule4permitipdestination880rule5permitipsource880rule6denyip#證書安裝如果使用802.1x方式認(rèn)證，服務(wù)器還需要安裝證書，對于不需要EAP-TLS雙向證書認(rèn)證的普通場景，我司提供了自己申購的預(yù)置證書，可直接使用；對于需要使用EAP-TLS的局點(diǎn)需要用戶自建CA并申請證書。如果使用我司提供的預(yù)置證書，在【iMC】>【用戶】>【接入策略管理】>【業(yè)務(wù)參數(shù)配置】>【證書配置】頁面，點(diǎn)擊【導(dǎo)入預(yù)置證書】即可，如下圖所示：配置無線管理網(wǎng)通過控制器（SeerEngine-Campus）創(chuàng)建“無線”類型的二層網(wǎng)絡(luò)域，用于AP獲取IP地址并與AC的VLAN4093的IP地址通信，DHCP服務(wù)器在給AP分配IP地址的時(shí)候通過option43選項(xiàng)給AP指定AC的地址（創(chuàng)建二層網(wǎng)絡(luò)域時(shí)子網(wǎng)中需要配置ACIP屬性），AP的上行口對端的ACCESS口pvid為4093，因此流量會(huì)被ACCESS打上4093的標(biāo)簽，并最終進(jìn)入VSI4093服務(wù)實(shí)例，因此會(huì)通過DHCP獲取到VSI4093地址池的IP地址，解析出AC地址后，AP與AC單播建立CAPWAP隧道并完成注冊。配置方法如下所示：創(chuàng)建無線二層網(wǎng)絡(luò)域在【SNACenter】>【策略】>【網(wǎng)絡(luò)】>【私有網(wǎng)絡(luò)】>【二層網(wǎng)絡(luò)域】頁面創(chuàng)建二層網(wǎng)絡(luò)域，VPN必須選擇vpn-default，類型選擇無線。子網(wǎng)使用VLAN4093的網(wǎng)段。無線AC參數(shù)使用AC設(shè)備VLAN4093接口的IP：5，如下圖所示：創(chuàng)建無線安全組在【SNACenter】>【策略】>【網(wǎng)絡(luò)】>【私有網(wǎng)絡(luò)】>【安全組】頁面創(chuàng)建安全組，私有網(wǎng)絡(luò)選擇“vpn-default”，類型選擇“無線”，選擇上一步創(chuàng)建的二層網(wǎng)絡(luò)域即可，如下所示：創(chuàng)建無線類型二層域和安全組之后，控制器下發(fā)的VPN、VSI、VSI接口等設(shè)備配置與“普通”類型的用戶業(yè)務(wù)安全組相同，此處可參考有線業(yè)務(wù)。下發(fā)DHCP子網(wǎng)配置時(shí)，此處與有線業(yè)務(wù)不同，會(huì)多下發(fā)option43字段，用于AP通過DHCP獲取IP時(shí)解析AC設(shè)備VLAN4093的IP。同時(shí)還會(huì)將AC的VLAN4093接口IP添加到排除地址中?！維NACenter】>【基礎(chǔ)網(wǎng)絡(luò)】>【網(wǎng)絡(luò)】>【基礎(chǔ)服務(wù)】>【DHCP】>【DHCP子網(wǎng)信息】可以查看選項(xiàng)信息：vDHCP服務(wù)器后臺(tái)的子網(wǎng)信息如下：配置接口組五期版本缺省不會(huì)在Leaf下行口下發(fā)靜態(tài)AC服務(wù)實(shí)例，用戶可以根據(jù)實(shí)際組網(wǎng)將面向AP的leaf下行口和面向AC的接口添加到相應(yīng)接口組里，控制器（SeerEngine-Campus）會(huì)根據(jù)設(shè)置的無線轉(zhuǎn)發(fā)模式對接口組下發(fā)相應(yīng)的靜態(tài)AC服務(wù)實(shí)例。Step1:

設(shè)置無線轉(zhuǎn)發(fā)模式。（無線服務(wù)模板的轉(zhuǎn)發(fā)模式需要在AC本地配置，控制器無法配置。此處僅用來指定服務(wù)實(shí)例的下發(fā)位置）備注：五期方案中，需要通過命令行修改AC設(shè)備上無線服務(wù)模板的轉(zhuǎn)發(fā)模式。詳見章節(jié)【2.6.3】【手工設(shè)置無線服務(wù)模板的轉(zhuǎn)發(fā)模式】。控制器（SeerEngine-Campus）隔離域頁面的無線轉(zhuǎn)發(fā)模式只是用來控制靜態(tài)服務(wù)實(shí)例的下發(fā)位置。AP本地轉(zhuǎn)發(fā)模式時(shí)，ACAccess接口組只會(huì)下發(fā)4093服務(wù)實(shí)例，APAccess接口組會(huì)下發(fā)4093和用戶業(yè)務(wù)的服務(wù)實(shí)例。AC集中轉(zhuǎn)發(fā)模式時(shí)，ACAccess接口組會(huì)下發(fā)4093和用戶業(yè)務(wù)的服務(wù)實(shí)例，APAccess接口組只會(huì)下發(fā)4093的服務(wù)實(shí)例。Step2：設(shè)置AP接口組該接口組是指面向AP的Leaf下行口。對應(yīng)組網(wǎng)圖中左側(cè)leaf的BAGG1聚合口。在【SNACenter】>【基礎(chǔ)網(wǎng)絡(luò)】>【資源】>【設(shè)備資源】>【通用設(shè)備組】頁面將該接口添加到APAccessGroup接口組中，如下圖所示：添加到接口組之后，控制器（SeerEngine-Campus）會(huì)結(jié)合step1中設(shè)置的無線轉(zhuǎn)發(fā)模式，對該接口下發(fā)靜態(tài)服務(wù)實(shí)例和VLAN免認(rèn)證，如下所示：#interfaceBridge-Aggregation1portlink-typetrunkporttrunkpermitvlanallmac-basedacdot1xundodot1xmulticast-triggerdot1xunicast-triggerdot1xcriticalvsivsi5dot1xcriticaleapolmac-authenticationmac-authenticationdomainh3cdomainmac-authenticationcriticalvsivsi5url-user-logoffport-securityfree-vlan13501to35034093to4094//vlan免認(rèn)證#service-instance3501//無線業(yè)務(wù)靜態(tài)服務(wù)實(shí)例encapsulations-vid3501xconnectvsivsi4arpdetectiontrust#service-instance4093encapsulations-vid4093xconnectvsivsi4093arpdetectiontrust#service-instance4094encapsulations-vid4094xconnectvsivxlan4094dhcpsnoopingtrust#可以看出，在缺省的AP本地轉(zhuǎn)發(fā)模式下，該Leaf下行口會(huì)下發(fā)VLAN4093和用戶業(yè)務(wù)VLAN的服務(wù)實(shí)例以及端口免認(rèn)證。其他未加入給接口組的Leaf下行口不會(huì)下發(fā)靜態(tài)服務(wù)實(shí)例。Step3：設(shè)置AC接口組該接口組是指跟連接AC的接口。對應(yīng)1.1.1組網(wǎng)圖中Spine的XGE0/0/15接口。在【SNACenter】>【基礎(chǔ)網(wǎng)絡(luò)】>【資源】>【設(shè)備資源】>【通用設(shè)備組】頁面將該接口添加到ACAccessGroup接口組中，如下圖所示：添加到該接口組后，控制器（SeerEngine-Campus）會(huì)結(jié)合step1中設(shè)置的無線轉(zhuǎn)發(fā)模式，對該接口下發(fā)靜態(tài)服務(wù)實(shí)例，如下所示：#interfaceXGE0/0/15portlink-modebridgedescriptionto_ACportlink-typetrunkporttrunkpermitvlanall#service-instance4093encapsulations-vid4093xconnectvsivsi4093#service-instance4094encapsulations-vid4094xconnectvsivxlan4094#從上面可以看出，在缺省的AP本地轉(zhuǎn)發(fā)模式下，該接口只會(huì)下發(fā)VLAN4093服務(wù)實(shí)例。不會(huì)下發(fā)用戶業(yè)務(wù)VLAN的服務(wù)實(shí)例。Step4：設(shè)置Leaf直連AP接口組（分體式AP的本體直連Leaf時(shí)請參考本步驟，普通AP請忽略本步驟）該接口組是指Leaf上直連分體式AP的本體的接口。在【SNACenter】>【基礎(chǔ)網(wǎng)絡(luò)】>【資源】>【設(shè)備資源】>【通用設(shè)備組】頁面將該接口添加到APDirectAccessGroup接口組中，如下圖所示：添加到該接口組后，控制器（SeerEngine-Campus）會(huì)結(jié)合step1中設(shè)置的無線轉(zhuǎn)發(fā)模式，對該接口下發(fā)靜態(tài)服務(wù)實(shí)例和VLAN免認(rèn)證，如下所示：#interfaceBridge-Aggregation998portlink-typetrunkporttrunkpermitvlan13501to35084093porttrunkpvidvlan4093port-securityfree-vlan3501to35084093#service-instance3501encapsulations-vid3501xconnectvsivsi4arpdetectiontrust#service-instance4093encapsulationuntaggedxconnectvsivsi4093arpdetectiontrust#備注：與其他接口組不同，該接口組會(huì)下發(fā)pvid4093且4093服務(wù)實(shí)例使用untagged模式。AP上線無線管理網(wǎng)搭建完成后，需要將AP連接到相應(yīng)支持PoE供電的設(shè)備（Access或Leaf）。AP上電后會(huì)通過DHCP自動(dòng)獲取IP和AC的IP，然后通過無線管理網(wǎng)連接到AC注冊。配置方法如下所示：Access接口配置對于自動(dòng)化上線的Access交換機(jī)，無需特殊配置，支持PoE的交換機(jī)上線后，下行口自動(dòng)會(huì)下發(fā)poeenable，AP連接Access加電啟動(dòng)后，Access會(huì)自動(dòng)修改接口的pvid為4093并放通所有VLAN，如下所示：#interfaceXGE1/0/21portlink-typetrunkporttrunkpermitvlanallporttrunkpvidvlan4093poeenable#對于手工納管的Access交換機(jī)，需要手工修改Access對應(yīng)接口的配置，添加如下命令：#interfaceGigabitEthernet1/0/22portlink-typetrunkporttrunkpermitvlanallporttrunkpvidvlan4093poeenable#WSM組件中配置AP模板進(jìn)行該配置前，需要確保AC已被識別并自動(dòng)添加到無線控制器列表。如下所示：路徑：【iMC】>【業(yè)務(wù)】>【無線業(yè)務(wù)管理】>【資源管理】>【無線控制器列表】確認(rèn)上述信息之后，在【iMC】>【業(yè)務(wù)】>【無線業(yè)務(wù)管理】>【配置管理】>【H3C】>【AP模板配置】頁面創(chuàng)建AP模板，如下：AP上線并注冊成功后，狀態(tài)會(huì)變?yōu)樵诰€，如下所示：AP信息查看AP上線后，可以在AC上查看AP的狀態(tài)，狀態(tài)應(yīng)該為“R/M”狀態(tài)，如下所示：配置RadioAP注冊成功后，需要將Radio的狀態(tài)改為up，如下所示：路徑：【iMC】>【無線業(yè)務(wù)管理】>【配置管理】>【H3C】>【Radio批量配置】勾選管理狀態(tài)（up），增加相應(yīng)AP的Radio，然后點(diǎn)擊確定即可。配置無線認(rèn)證參數(shù)配置無線服務(wù)策略AC設(shè)備上的無線服務(wù)模板（對應(yīng)WSM頁面的無線服務(wù)策略）即一類無線服務(wù)屬性的集合，如無線網(wǎng)絡(luò)的SSID、認(rèn)證方式等。需要通過WSM組件進(jìn)行配置，如下所示：路徑：【iMC】>【無線業(yè)務(wù)管理】>【配置管理】>【ComwareBased】>【服務(wù)策略配置】無線服務(wù)策略參數(shù)說明：對于802.1x認(rèn)證方式，AKM模式需要選擇dot1x，VLAN參數(shù)是指無線內(nèi)部使用的VLAN，與用戶的業(yè)務(wù)VLAN無關(guān)，填寫一個(gè)1~3500之間的空閑VLAN即可，需要避開用戶的業(yè)務(wù)VLAN。如下圖所示：對于MAC/MACPortal認(rèn)證方式，AKM模式需要選擇psk，認(rèn)證模式需要選擇MAC，VLAN參數(shù)是指無線內(nèi)部使用的VLAN，與用戶的業(yè)務(wù)VLAN無關(guān)，填寫一個(gè)1~3500之間的空閑VLAN即可，需要避開用戶的業(yè)務(wù)VLAN。如下圖所示：WSM上創(chuàng)建服務(wù)策略后，會(huì)在AC設(shè)備上下發(fā)無線服務(wù)模板配置，其中模板1為802.1x認(rèn)證方式，模板2為MAC認(rèn)證方式，如下圖所示：#wlanservice-template1ssidgongyu_1xvlan2981clientforwarding-locationapakmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xservice-templateenable#wlanservice-template2ssidgongyu_mac-portalvlan2982clientforwarding-locationapakmmodepskpreshared-keypass-phrasecipher$c$3$b98SQcipher-suiteccmpsecurity-iersnclienturl-redirectenableclient-securityauthentication-modemacservice-templateenable#無線服務(wù)策略綁定Radio服務(wù)策略創(chuàng)之后，需要跟Radio綁定，如下所示：在【iMC】>【無線業(yè)務(wù)管理】>【配置管理】>【H3C】>【服務(wù)策略管理】頁面，首先勾選模板，然后增加Radio，最后點(diǎn)擊“綁定服務(wù)策略“按鈕即可，如下圖所示：手工設(shè)置無線服務(wù)模板的轉(zhuǎn)發(fā)模式目前AC設(shè)備上的無線服務(wù)模板缺省是使用AC集中式轉(zhuǎn)發(fā)模式的，而ADCampus方案缺省需要使用AP本地轉(zhuǎn)發(fā)模式。目前五期方案需要通過命令行手工修改，將模式修改為AP本地轉(zhuǎn)發(fā)模式。修改方法如下：首先進(jìn)入服務(wù)模板視圖，然后undoservice-templateenable將模板去使能,然后輸入clientforwarding-locationap，最后再輸入service-templateenable重新使能模板即可。修改后的模板配置如下所示：#wlanservice-template1ssidgongyu_1xvlan2981clientforwarding-locationapakmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xservice-templateenable#手工設(shè)置無線服務(wù)模板的url-redirect對于MACPortal認(rèn)證，需要在AC設(shè)備上手工修改服務(wù)模板，使能無線服務(wù)模板的url重定向。備注：802.1x認(rèn)證方式不需要使能url-redirect首先進(jìn)入服務(wù)模板視圖，然后undoservice-templateenable將模板去使能,然后輸入clienturl-redirectenable，最后再輸入service-templateenable重新使能模板即可。修改后的模板配置如下所示：#wlanservice-template2ssidgongyu_mac-portalvlan2982clientforwarding-locationapakmmodepskpreshared-keypass-phrasecipher$c$3$b98SQcipher-suiteccmpsecurity-iersnclienturl-redirectenableclient-securityauthentication-modemacservice-templateenable#配置頁面推送策略對于MACPortal認(rèn)證，需要在EIA上配置頁面推送策略，為無線終端彈出專門的無線認(rèn)證頁面。備注：802.1x認(rèn)證方式不需要配置頁面推送策略配置前提：需要提前配置好byod用戶（方法同有線認(rèn)證）首先需要在【iMC】>【用戶】>【接入策略管理】>【接入條件管理】>【終端類型分組】中創(chuàng)建無線終端分組，具體的終端類型可根據(jù)實(shí)際需要選取，一般選擇Smartphone這個(gè)類型即可，如下所示：分組創(chuàng)建后如下所示，名稱為“123“：然后在【iMC】>【用戶】>【接入策略】>【頁面推送策略】頁面新增一條策略，如下所示：其中認(rèn)證方式選擇“MAC“，缺省認(rèn)證頁面選擇”PC-缺省頁面（PC）“。然后新增一條子策略，終端類型分組選擇之前創(chuàng)建的“123“，認(rèn)證頁面選擇”PHONE-缺省Web認(rèn)證（PHONE）“如下：最后點(diǎn)擊確定即可。該策略的作用是當(dāng)用戶終端匹配到終端類型分組“123“中時(shí)，彈出無線的Portal頁面，其他情況下彈出PC的Portal頁面。無線用戶上線配置完成后終端可以上線。AC上無線終端的認(rèn)證信息，如下所示:[WLAN_AC-probe]diswlanclientTotalnumberofclients:1MACaddress Username APname RID IPaddress IPv6address VLAN5cad-cf6f-694c 5cadcf6... ap1 2 3505[WLAN_AC-probe]dismac-authenticationconnectionTotalconnections:1UserMACaddress:5cad-cf6f-694cAPname:ap-1RadioID:2SSID:XXXXXXBSSID:3897-d6de-57b1Username:5cadcf6f694cAuthenticationdomain:h3cInitialVLAN:1AuthorizationVLAN:3505＃認(rèn)證通過后的授權(quán)vlan，在leaf上免認(rèn)證且映射到對應(yīng)的二層網(wǎng)絡(luò)域VXLAN中AuthorizationACLnumber:3001＃byod用戶的授權(quán)acl，匹配該acl的報(bào)文才能通過Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:86400sOnlinefrom:2016/09/2917:48:08Onlineduration:0h0m9sAP上對應(yīng)的無線終端信息如下所示：[ap-1-probe]dissysteminternalwlankernelclientallverboseTotalnumberofkernelclients:1MACAddress:5cad-cf6f-694cBSSID:3897-d6de-57b1VLAN:3505＃授權(quán)vlanApID:1RadioID:2WlanID:2AID:1Wirelessmode:8FwdLocal:Yes＃本地轉(zhuǎn)發(fā)模式FwdMode:1BSSType:0CipherSuite:255CryptoFiledLen:0WEPunicastkeyID