09 ADCampus V500R002B01无线业务配置指导

文档密级【内参】ADCampusV500R002B01无线业务配置指导 TIME\@"yyyy'年'M'月'd'日'"2020年11月20日新华三机密，未经许可不得扩散第页新华三技术有限公司H3CTechnologiesCo.,Ltd.解决方案名称Solutionname密级Confidentialitylevel解决方案ADCampusV500R002B01内参解决方案版本Solutionversion共54页Total54pagesV500R002B01 ADCampusV500R002B01 无线业务配置指导拟制宫玉09965日期2019/12/1评审人日期批准日期新华三技术有限公司NewH3CTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved

修订记录RevisionRecord日期修订版本修改章节修改描述作者2019/6/1V1.0全文初稿完成宫玉099652019/7/4V1.1全文根据评审意见修改全文宫玉099652019/12/1V1.2全文根据评审意见修改全文宫玉099652020/4/15V2.0全文根据五期R2版本更新全文宫玉099652020/5/8V2.1全文根据评审意见更新全文宫玉099652020/5/21V2.2全文根据第二轮评审意见更新全文宫玉099652020/7/15V2.31.5取消环回场景透传vlan1宫玉099652020/9/1V2.43.3增加无线AP模式注意事项宫玉099652020/10/21V更新路径【iMC】>【无线业务管理】>【配置管理】>【ComwareBased】宫玉099652020/11/20V2.63.4新增注意事项3.4，无线AP较多时，业务VPN需要配置路由策略宫玉09965

目录1 简介 1-61.1 概述 1-61.2 组网图 1-61.3 部署方式 1-71.4 业务流程说明 1-71.5 无线插卡场景环回配置(按需配置) 1-92 无线业务配置步骤 2-112.1 AC纳管 2-122.1.1 AC设备配置 2-122.1.2 Spine设备配置 2-162.1.3 控制器页面配置 2-172.1.4 WSM组件配置 2-192.2 配置AC设备组策略 2-202.2.1 AC添加到设备组 2-202.2.2 配置AAA策略 2-212.2.3 配置802.1x认证策略 2-232.2.4 配置MAC/MACPortal认证策略 2-242.3 证书安装 2-252.4 配置无线管理网 2-262.4.1 创建无线二层网络域 2-262.4.2 创建无线安全组 2-272.4.3 配置接口组 2-292.5 AP上线 2-342.5.1 Access接口配置 2-342.5.2 WSM组件中配置AP模板 2-342.5.3 AP信息查看 2-362.5.4 配置Radio 2-362.6 配置无线认证参数 2-372.6.1 配置无线服务策略 2-372.6.2 无线服务策略绑定Radio 2-392.6.3 手工设置无线服务模板的转发模式 2-402.6.4 手工设置无线服务模板的url-redirect 2-412.6.5 配置页面推送策略 2-412.7 无线用户上线 2-442.8 无线访客 2-462.9 AC集中转发特殊配置（按需配置） 2-482.10 控制器页面跳转方式配置AC（按需使用） 2-502.10.1 配置前提 2-502.10.2 跳转入口 2-502.10.3 目前可以通过跳转方式配置的内容 2-513 配置注意事项(持续更新) 3-523.1 无线终端认证不通过 3-523.2 无法弹出MACPortal页面 3-533.3 无线AP模式 3-543.4 无线AP较多时，业务VPN下需要配置路由策略 3-54简介概述本文以ADCampus网络有线认证部分已搭建完成为前提，配置仅涉及为实现无线业务增加的部分。相对有线业务，组网中需要新增无线AC设备、AP设备和WSM组件并进行相关配置。组网图部署方式ADCampus方案中无线AC部署方式分为两种：一种是使用独立的无线AC设备旁挂在Spine/Leaf上，另外一种使用无线AC插卡直接插在Spine/Leaf设备上。无线插卡场景下，由于Spine/Leaf内联口不支持VXLAN转发，需要使用环回方案来实现AC插卡与Spine/Leaf的互联，配置方法详见【1.5】【无线插卡场景环回配置】。两种部署方式只是在与无线设备相连的Spine/Leaf接口上配置不同，无线业务其他配置基本相同。本文以独立使用的无线AC设备旁挂在Spine上为例进行介绍(同组网图)。业务流程说明要完成无线业务的搭建，需要进行如下配置：搭建无线管理网>配置无线服务>配置认证参数>配置用户安全组>用户认证上线>流量转发Step1：通过控制器（SeerEngine-Campus）创建专用的安全组，作为无线业务管理网，用于AC和AP的通信。通过控制器（SeerEngine-Campus）创建“无线”类型的安全组，用于AP获取IP地址并与AC的VLAN4093的IP地址通信，DHCP服务器在给AP分配IP地址的时候通过option43选项给AP指定AC的地址（创建无线安全组时子网中需要配置ACIP属性），AP上电获取到IP地址和AC地址后，与AC设备通过单播自动建立CAPWAP隧道，并完成注册。Step2：AP注册成功后，通过WSM配置无线参数和无线服务，用于AP提供无线服务。无线AP模板创建、无线Radio管理、无线服务策略等无线参数需通过WSM进行配置。配置前需要将AC设备通过VLAN4094地址纳管到WSM。Step3：通过控制器（SeerEngine-Campus）配置AC的认证参数。无线AC的AAA策略、MAC认证、802.1x认证参数需要通过控制器（SeerEngine-Campus）进行配置。配置前需要将AC设备通过VLAN4094地址纳管到控制器（SeerEngine-Campus）。Step4：通过控制器（SeerEngine-Campus）创建用户业务使用的二层网络域和安全组，并在EIA上创建用户。在创建用户二层网络域时，控制器（SeerEngine-Campus）会自动分配VLAN-VXLAN映射关系（也可手工指定），其中的VLAN给该安全组的无线终端使用，五期版本需要在通用设备组中手工指定连接AP的Leaf下行口。指定之后，控制器（SeerEngine-Campus）会在指定的Leaf下行口配置该VLAN的报文免认证并创建服务实例将该VLAN映射到对应的用户业务VXLAN；Step5：用户使用无线终端连接对应的SSID，进行认证。无线用户的认证点在AC上（AC需要通过SeerEngine-Campus配置相关AAA参数和802.1x/MAC认证参数），终端连接上无线信号后首先以AC为NAS向EIA发起认证，EIA认证通过后通知AC给该终端下发授权VLAN（该安全组对应的VLAN），后续该终端的报文在授权VLAN内转发；Step6：用户认证成功后，AP/AC根据预先配置的转发模式对用户流量进行转发。如果采用AP本地转发模式，终端的报文在AP上携带授权VLAN的tag直接转发到Access交换机上（包括DHCP报文），进入Leaf时免认证并通过服务实例直接映射到业务VXLAN中，之后进行DHCP地址获取及正常业务通信；如果采用AC集中式转发模式，终端的报文封装到CAPWAP隧道通过VXLAN4093转发到AC，AC解封装后将携带授权VLAN的用户流量转发到Spine/Leaf连接AC的接口上。该转发模式下，控制器（SeerEngine-Campus）会在Spine/Leaf的对接口上创建用户授权VLAN的服务实例，将用户的流量映射到对应的VXLAN。无线插卡场景环回配置(按需配置)本部分用于指导无线插卡场景下的环回接口相关配置，如果使用的是独立AC设备，请忽略本部分。环回方案实现如下：在后插板内联口(XGE4/5/0/1)上配置QinQ，同时在支持VXLAN三层的接口板上选取两个端口通过光纤/光模块外环，两个端口均关闭STP，其中一个口(XGE4/3/0/8)配置QinQ，和后插板内联口建立一个QinQ隧道，将无线插卡的流量引流到支持VXLAN三层转发的接口板上的另一个外环口(XGE4/3/0/7)，从而可以进行VXLAN转发。Step1：配置无线插卡#使能LLDP lldpglobalenable ##使能STP undostpvlan2to4094enable stpmodepvst stpglobalenable ##配置无线插卡的内联口trunkvlanall，为后续与其他设备及director通信使用interfaceTen-GigabitEthernet1/0/1portlink-typetrunkporttrunkpermitvlanall# #如果无线采用集中式转发，还需在安全组创建后在无线插卡上配置安全组使用的vlan vlan3501to3503 #Step2：配置Spine设备（无线插卡在Spine上）XGE4/5/0/1为后插板内联口（与前插板即无线插卡的内联口XGE1/0/1内部互联），实际组网可以将多个内联口聚合使用，XGE4/3/0/7和XGE4/3/0/8为支持VXLAN三层转发的接口板的两个端口，使用光纤/光模块外环连接。 #配置vlan4091作为QinQ封装外层vlan， vlan4091 # #在spine内联口上配置trunkvlan4091及QinQ interfaceTen-GigabitEthernet4/5/0/1 portlink-modebridge portlink-typetrunk undoporttrunkpermitvlan1 porttrunkpermitvlan2to4094 porttrunkpvidvlan4091 qinqenable #在其中一个外环口XGE4/3/0/8上配置QinQ及关闭stpinterfaceTen-GigabitEthernet4/3/0/8 portlink-modebridge portlink-typetrunk undoporttrunkpermitvlan1 porttrunkpermitvlan409140934094 porttrunkpvidvlan4091 qinqenable undostpenable # #在另外一个外环口XGE4/3/0/7上配置服务实例并关闭stp interfaceTen-GigabitEthernet4/3/0/7 portlink-modebridge portlink-typetrunk undoporttrunkpermitvlan1 porttrunkpermitvlan4093to4094 porttrunkpvidvlan4091 undostpenable service-instance4093 encapsulations-vid4093 xconnectvsivsi4093 service-instance4094 encapsulations-vid4094 xconnectvsivxlan4094 #无线业务配置步骤配置前提：在五期方案中，无线管理安全组、无线AC设备组策略需通过控制器（SeerEngine-Campus）纳管AC后下发配置。无线AP纳管、无线Radio、无线服务模板需要通过iMC的WSM组件纳管AC后下发配置。配置时以组网图中的接口参数为例进行介绍。AC纳管AC纳管需要分别在AC设备、Spine设备、SeerEngine-Campus和WSM上都进行配置，如下所示：AC设备配置独立的无线AC设备旁挂在Spine上，通过VLAN4093/VXLAN4093与AP进行通信，通过VLAN4094与控制器（SeerEngine-Campus）、EIA、WSM进行通信。Step1：VLAN4094配置三层接口，用于控制器（SeerEngine-Campus）、WSM管理AC使用。 #interfaceVlan-interface4094 ipaddress5#Step2：配置VLAN4093三层接口作为与AP通信接口，AC以该地址与AP建立CAPWAP隧道#interfaceVlan-interface4093 ipaddress5#Step3：配置LLDP，以确定拓扑关系 # lldpglobalenable #Step4：配置STP，以防止环路 # undostpvlan2to4094enable stpmodepvst stpglobalenable #Step5：配置SNMP、NETCONF参数 #配置SNMP snmp-agent snmp-agentcommunitywriteprivate snmp-agentcommunityreadpublic snmp-agentsys-infoversionallsnmp-agentpacketmax-size4094 # #NETCONF配置 netconfsoaphttpenable netconfsoaphttpsenable netconfsshserverenable（必须配置） #Step6：配置本地用户local-userh3c和telnet参数，为后续控制器（SeerEngine-Campus）连接设备时使用。# local-userh3cclassmanage passwordsimpleh3c service-typeftp service-typesshtelnetterminalhttphttpsauthorization-attributeuser-rolenetwork-admin#linevty031authentication-modescheme（必须配置为scheme模式）user-rolenetwork-adminuser-rolenetwork-operator#Step7：配置无线AC连接Spine的接口trunkvlanall，为后续与其他设备及控制器通信使用#interfaceTen-GigabitEthernet1/0/9 portlink-typetrunk porttrunkpermitvlanall#Step8：在本地生成配置文件并下载到无线AC上，用于AP上线后自动配置上行口trunk所有VLAN及MACPortal认证时所需的授权acl（AP本地转发时必须配置该ACL）#配置文件具体内容如下，本地写好后上传到无线AC上：interfaceGigabitEthernet1/0/1#不同型号AP的接口名称可能不同，根据实际情况配置即可。 portlink-typetrunk porttrunkpermitvlanall#interfaceGigabitEthernet1/0/2#不同型号AP的接口名称可能不同，根据实际情况配置即可。 portlink-typetrunk porttrunkpermitvlanall#acladvanced3001 rule0permitudpdestination-porteqbootpsrule1permitudpdestination-porteqbootpcrule2permitudpdestination-porteqdnsrule3permitudpsource-porteqdnsrule4permitipdestination880#PortalWeb服务器的地址 rule5permitipsource880#PortalWeb服务器的地址rule10denyip##在默认ap分组里使用map-configuration指定AP的配置文件，当AP上线时自动下载该配置文件并生效#不同版本的该配置有所区别，部分版本可直接在ap分组视图下配置，部分版本需要在ap分组下的apmodel视图下配置，根据实际设备支持的命令行配置即可#直接在ap分组视图下配置#wlanap-groupdefault-group map-configurationcfa0:/ad.txt##apmodel视图下配置#wlanap-groupdefault-group ap-modelWA4320i-ACN map-configurationcfa0:/ad.txt#Step9：MACportal认证时为了将无线终端踢下线并快速重新上线获取ip地址，需要配置客户端二次接入认证的时间间隔及动态黑名单基于AC生效，需要注意的是：二次接入认证时间间隔配置命令默认时间间隔为10s，现网如果出现终端没有踢下线或者下线了没有重新上线可以通过调整该时间来优化#wlanclientreauthentication-periodundowlandynamic-blacklistactive-on-ap#Step10：由于AC需要跟控制器（SeerEngine-Campus）、WSM、EIA进行通信，需要根据实际组网添加相应的路由，配置后，AC的VLAN4094地址应能ping通控制器（SeerEngine-Campus）、EIA和WSM的业务IP。Spine设备配置Step1：在连接无线AC的接口上配置为trunk口，trunkvlanall。#interfaceTen-GigabitEthernet0/0/15 portlink-modebridge portlink-typetrunk porttrunkpermitvlanall#Step2：在连接无线AC的接口上配置服务实例（绑定vlan4094和vsi4094），用于完成管理通道/控制通道的连通。#interfaceTen-GigabitEthernet0/0/15portlink-typetrunkporttrunkpermitvlan4094 service-instance4094 encapsulations-vid4094 xconnectvsivxlan4094#备注：五期VXLAN4094的服务实例需要手工配置，但VXLAN4093服务实例不需要手工配置，控制器（SeerEngine-Campus）中将该接口添加到ACAccess接口组之后，会自动下发VXLAN4093的服务实例，详见2.4.2中的接口组配置。控制器页面配置Step1：控制器中配置WSM连接参数。在【SNACenter】>【基础服务】>【WSM】页面，增加WSM服务器。WSM服务器地址、用户名、密码参数使用登录WSM所在iMC网管时的IP地址、用户名、密码即可（iMC网管缺省用户名/密码为admin/admin）。Step2:SNACenter中纳管AC。在【SNACenter】>【基础网络】>【资源】>【设备资源】页面，添加无线AC设备。将AC纳管到SNACenter中，如下图所示：增加AC设备时，管理IP使用AC设备VLAN4094接口的IP地址。NETCONF用户名密码对应章节【2.1.1】【AC设备配置】中配置的本地用户local-user的用户名密码。AC纳管成功后，如下图所示：（图片仅供参考，请以实际环境为准）WSM组件配置目前版本的无线相关参数需要通过iMC中的WSM组件进行配置，因此需要预先安装好WSM组件，然后将AC设备纳管到iMC的WSM组件中。方法如下：路径：【iMC】>【资源】>【视图管理】>【设备视图】>【增加设备】填写SNMP等相关参数后，纳管成功。AC的IP需要使用VLAN4094接口的IP地址。纳管后设备“类型”应能自动识别为“无线设备”，如下图所示：之后查看【iMC】>【业务】>【无线业务管理】>【无线控制器列表】页面。应能自动显示上一步添加的AC设备，如下图所示：配置AC设备组策略目前版本需要通过控制器（SeerEngine-Campus）对AC设备下发相关策略（AAA、802.1x/MAC认证）。如下：AC添加到设备组查看【SNACenter】>【基础网络】>【资源】>【设备资源】>【通用设备组】>【ACDeviceGroup】。AC纳管到控制器（SeerEngine-Campus）后，会自动添加到该组。如果组中没有该AC，需要手工添加到该组。然后再进行后续的组策略配置。配置AAA策略Step1：首先创建AAA策略，方法同有线认证。如下图所示：备注：如果搭建有线认证环境时已经创建了AAA策略，直接使用该策略即可，不用再次创建。目前五期版本有线、无线可以使用相同的AAA策略模板，控制器（SeerEngine-Campus）会根据设备类型下发对应的命令行。Step2：将该策略应用到AC设备组，如下图所示：Step3：查看AC设备，控制器会给AC下发AAA相关的配置（domain、radius相关），如下图所示：#domainh3cdomainauthenticationlan-accessradius-schemetestschemeauthorizationlan-accessradius-schemetestschemeaccountinglan-accessradius-schemetestscheme#domainsystem#domaindefaultenableh3cdomain#radiussession-controlenableradiussession-controlclientip88keyciphervkWV7FqgQN/#radiusschemetestschemeprimaryauthentication88primaryaccounting88accounting-onenablesend255interval15keyauthenticationcipher$c$3$T1KCtkM5YaDZgEu2/ORW6xEyU0r3lw==keyaccountingcipher$c$3$i4zmpwdo6sr07HyDI5Efpe9pOGa1yQ==timerrealtime-accounting20user-name-formatwithout-domain#radiusdynamic-authorserverclientip88keycipher$c$3$p6J3kiw0nDY7BfIgjGXhSp1DtWJKSg==#Step4：控制器下发AAA到AC时，会自动同步信息给EIA，自动将AC添加到接入设备列表中，如下图所示：配置802.1x认证策略首先创建802.1x认证策略模板，如下图所示：备注：无线业务802.1x认证必须使用EAP类型。如果有线业务已经创建了EAP类型的认证模板，直接使用即可。无需再次创建。然后在AC设备组中应用该模板，如下图所示：查看AC设备，会下发如下配置：#dot1xdot1xauthentication-methodeap#配置MAC/MACPortal认证策略首先创建MAC/MACPortal认证模板，如下图所示：然后在AC设备组中应用该模板，如下图所示：查看AC设备，会下发如下配置（使能MAC认证并创建ACL）：#mac-authentication##acladvanced3001descriptionSDN_ACL_AUTHrule0permitudpdestination-porteqbootpsrule1permitudpdestination-porteqbootpcrule2permitudpdestination-porteqdnsrule3permitudpsource-porteqdnsrule4permitipdestination880rule5permitipsource880rule6denyip#证书安装如果使用802.1x方式认证，服务器还需要安装证书，对于不需要EAP-TLS双向证书认证的普通场景，我司提供了自己申购的预置证书，可直接使用；对于需要使用EAP-TLS的局点需要用户自建CA并申请证书。如果使用我司提供的预置证书，在【iMC】>【用户】>【接入策略管理】>【业务参数配置】>【证书配置】页面，点击【导入预置证书】即可，如下图所示：配置无线管理网通过控制器（SeerEngine-Campus）创建“无线”类型的二层网络域，用于AP获取IP地址并与AC的VLAN4093的IP地址通信，DHCP服务器在给AP分配IP地址的时候通过option43选项给AP指定AC的地址（创建二层网络域时子网中需要配置ACIP属性），AP的上行口对端的ACCESS口pvid为4093，因此流量会被ACCESS打上4093的标签，并最终进入VSI4093服务实例，因此会通过DHCP获取到VSI4093地址池的IP地址，解析出AC地址后，AP与AC单播建立CAPWAP隧道并完成注册。配置方法如下所示：创建无线二层网络域在【SNACenter】>【策略】>【网络】>【私有网络】>【二层网络域】页面创建二层网络域，VPN必须选择vpn-default，类型选择无线。子网使用VLAN4093的网段。无线AC参数使用AC设备VLAN4093接口的IP：5，如下图所示：创建无线安全组在【SNACenter】>【策略】>【网络】>【私有网络】>【安全组】页面创建安全组，私有网络选择“vpn-default”，类型选择“无线”，选择上一步创建的二层网络域即可，如下所示：创建无线类型二层域和安全组之后，控制器下发的VPN、VSI、VSI接口等设备配置与“普通”类型的用户业务安全组相同，此处可参考有线业务。下发DHCP子网配置时，此处与有线业务不同，会多下发option43字段，用于AP通过DHCP获取IP时解析AC设备VLAN4093的IP。同时还会将AC的VLAN4093接口IP添加到排除地址中。【SNACenter】>【基础网络】>【网络】>【基础服务】>【DHCP】>【DHCP子网信息】可以查看选项信息：vDHCP服务器后台的子网信息如下：配置接口组五期版本缺省不会在Leaf下行口下发静态AC服务实例，用户可以根据实际组网将面向AP的leaf下行口和面向AC的接口添加到相应接口组里，控制器（SeerEngine-Campus）会根据设置的无线转发模式对接口组下发相应的静态AC服务实例。Step1:

设置无线转发模式。（无线服务模板的转发模式需要在AC本地配置，控制器无法配置。此处仅用来指定服务实例的下发位置）备注：五期方案中，需要通过命令行修改AC设备上无线服务模板的转发模式。详见章节【2.6.3】【手工设置无线服务模板的转发模式】。控制器（SeerEngine-Campus）隔离域页面的无线转发模式只是用来控制静态服务实例的下发位置。AP本地转发模式时，ACAccess接口组只会下发4093服务实例，APAccess接口组会下发4093和用户业务的服务实例。AC集中转发模式时，ACAccess接口组会下发4093和用户业务的服务实例，APAccess接口组只会下发4093的服务实例。Step2：设置AP接口组该接口组是指面向AP的Leaf下行口。对应组网图中左侧leaf的BAGG1聚合口。在【SNACenter】>【基础网络】>【资源】>【设备资源】>【通用设备组】页面将该接口添加到APAccessGroup接口组中，如下图所示：添加到接口组之后，控制器（SeerEngine-Campus）会结合step1中设置的无线转发模式，对该接口下发静态服务实例和VLAN免认证，如下所示：#interfaceBridge-Aggregation1portlink-typetrunkporttrunkpermitvlanallmac-basedacdot1xundodot1xmulticast-triggerdot1xunicast-triggerdot1xcriticalvsivsi5dot1xcriticaleapolmac-authenticationmac-authenticationdomainh3cdomainmac-authenticationcriticalvsivsi5url-user-logoffport-securityfree-vlan13501to35034093to4094//vlan免认证#service-instance3501//无线业务静态服务实例encapsulations-vid3501xconnectvsivsi4arpdetectiontrust#service-instance4093encapsulations-vid4093xconnectvsivsi4093arpdetectiontrust#service-instance4094encapsulations-vid4094xconnectvsivxlan4094dhcpsnoopingtrust#可以看出，在缺省的AP本地转发模式下，该Leaf下行口会下发VLAN4093和用户业务VLAN的服务实例以及端口免认证。其他未加入给接口组的Leaf下行口不会下发静态服务实例。Step3：设置AC接口组该接口组是指跟连接AC的接口。对应1.1.1组网图中Spine的XGE0/0/15接口。在【SNACenter】>【基础网络】>【资源】>【设备资源】>【通用设备组】页面将该接口添加到ACAccessGroup接口组中，如下图所示：添加到该接口组后，控制器（SeerEngine-Campus）会结合step1中设置的无线转发模式，对该接口下发静态服务实例，如下所示：#interfaceXGE0/0/15portlink-modebridgedescriptionto_ACportlink-typetrunkporttrunkpermitvlanall#service-instance4093encapsulations-vid4093xconnectvsivsi4093#service-instance4094encapsulations-vid4094xconnectvsivxlan4094#从上面可以看出，在缺省的AP本地转发模式下，该接口只会下发VLAN4093服务实例。不会下发用户业务VLAN的服务实例。Step4：设置Leaf直连AP接口组（分体式AP的本体直连Leaf时请参考本步骤，普通AP请忽略本步骤）该接口组是指Leaf上直连分体式AP的本体的接口。在【SNACenter】>【基础网络】>【资源】>【设备资源】>【通用设备组】页面将该接口添加到APDirectAccessGroup接口组中，如下图所示：添加到该接口组后，控制器（SeerEngine-Campus）会结合step1中设置的无线转发模式，对该接口下发静态服务实例和VLAN免认证，如下所示：#interfaceBridge-Aggregation998portlink-typetrunkporttrunkpermitvlan13501to35084093porttrunkpvidvlan4093port-securityfree-vlan3501to35084093#service-instance3501encapsulations-vid3501xconnectvsivsi4arpdetectiontrust#service-instance4093encapsulationuntaggedxconnectvsivsi4093arpdetectiontrust#备注：与其他接口组不同，该接口组会下发pvid4093且4093服务实例使用untagged模式。AP上线无线管理网搭建完成后，需要将AP连接到相应支持PoE供电的设备（Access或Leaf）。AP上电后会通过DHCP自动获取IP和AC的IP，然后通过无线管理网连接到AC注册。配置方法如下所示：Access接口配置对于自动化上线的Access交换机，无需特殊配置，支持PoE的交换机上线后，下行口自动会下发poeenable，AP连接Access加电启动后，Access会自动修改接口的pvid为4093并放通所有VLAN，如下所示：#interfaceXGE1/0/21portlink-typetrunkporttrunkpermitvlanallporttrunkpvidvlan4093poeenable#对于手工纳管的Access交换机，需要手工修改Access对应接口的配置，添加如下命令：#interfaceGigabitEthernet1/0/22portlink-typetrunkporttrunkpermitvlanallporttrunkpvidvlan4093poeenable#WSM组件中配置AP模板进行该配置前，需要确保AC已被识别并自动添加到无线控制器列表。如下所示：路径：【iMC】>【业务】>【无线业务管理】>【资源管理】>【无线控制器列表】确认上述信息之后，在【iMC】>【业务】>【无线业务管理】>【配置管理】>【H3C】>【AP模板配置】页面创建AP模板，如下：AP上线并注册成功后，状态会变为在线，如下所示：AP信息查看AP上线后，可以在AC上查看AP的状态，状态应该为“R/M”状态，如下所示：配置RadioAP注册成功后，需要将Radio的状态改为up，如下所示：路径：【iMC】>【无线业务管理】>【配置管理】>【H3C】>【Radio批量配置】勾选管理状态（up），增加相应AP的Radio，然后点击确定即可。配置无线认证参数配置无线服务策略AC设备上的无线服务模板（对应WSM页面的无线服务策略）即一类无线服务属性的集合，如无线网络的SSID、认证方式等。需要通过WSM组件进行配置，如下所示：路径：【iMC】>【无线业务管理】>【配置管理】>【ComwareBased】>【服务策略配置】无线服务策略参数说明：对于802.1x认证方式，AKM模式需要选择dot1x，VLAN参数是指无线内部使用的VLAN，与用户的业务VLAN无关，填写一个1~3500之间的空闲VLAN即可，需要避开用户的业务VLAN。如下图所示：对于MAC/MACPortal认证方式，AKM模式需要选择psk，认证模式需要选择MAC，VLAN参数是指无线内部使用的VLAN，与用户的业务VLAN无关，填写一个1~3500之间的空闲VLAN即可，需要避开用户的业务VLAN。如下图所示：WSM上创建服务策略后，会在AC设备上下发无线服务模板配置，其中模板1为802.1x认证方式，模板2为MAC认证方式，如下图所示：#wlanservice-template1ssidgongyu_1xvlan2981clientforwarding-locationapakmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xservice-templateenable#wlanservice-template2ssidgongyu_mac-portalvlan2982clientforwarding-locationapakmmodepskpreshared-keypass-phrasecipher$c$3$b98SQcipher-suiteccmpsecurity-iersnclienturl-redirectenableclient-securityauthentication-modemacservice-templateenable#无线服务策略绑定Radio服务策略创之后，需要跟Radio绑定，如下所示：在【iMC】>【无线业务管理】>【配置管理】>【H3C】>【服务策略管理】页面，首先勾选模板，然后增加Radio，最后点击“绑定服务策略“按钮即可，如下图所示：手工设置无线服务模板的转发模式目前AC设备上的无线服务模板缺省是使用AC集中式转发模式的，而ADCampus方案缺省需要使用AP本地转发模式。目前五期方案需要通过命令行手工修改，将模式修改为AP本地转发模式。修改方法如下：首先进入服务模板视图，然后undoservice-templateenable将模板去使能,然后输入clientforwarding-locationap，最后再输入service-templateenable重新使能模板即可。修改后的模板配置如下所示：#wlanservice-template1ssidgongyu_1xvlan2981clientforwarding-locationapakmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xservice-templateenable#手工设置无线服务模板的url-redirect对于MACPortal认证，需要在AC设备上手工修改服务模板，使能无线服务模板的url重定向。备注：802.1x认证方式不需要使能url-redirect首先进入服务模板视图，然后undoservice-templateenable将模板去使能,然后输入clienturl-redirectenable，最后再输入service-templateenable重新使能模板即可。修改后的模板配置如下所示：#wlanservice-template2ssidgongyu_mac-portalvlan2982clientforwarding-locationapakmmodepskpreshared-keypass-phrasecipher$c$3$b98SQcipher-suiteccmpsecurity-iersnclienturl-redirectenableclient-securityauthentication-modemacservice-templateenable#配置页面推送策略对于MACPortal认证，需要在EIA上配置页面推送策略，为无线终端弹出专门的无线认证页面。备注：802.1x认证方式不需要配置页面推送策略配置前提：需要提前配置好byod用户（方法同有线认证）首先需要在【iMC】>【用户】>【接入策略管理】>【接入条件管理】>【终端类型分组】中创建无线终端分组，具体的终端类型可根据实际需要选取，一般选择Smartphone这个类型即可，如下所示：分组创建后如下所示，名称为“123“：然后在【iMC】>【用户】>【接入策略】>【页面推送策略】页面新增一条策略，如下所示：其中认证方式选择“MAC“，缺省认证页面选择”PC-缺省页面（PC）“。然后新增一条子策略，终端类型分组选择之前创建的“123“，认证页面选择”PHONE-缺省Web认证（PHONE）“如下：最后点击确定即可。该策略的作用是当用户终端匹配到终端类型分组“123“中时，弹出无线的Portal页面，其他情况下弹出PC的Portal页面。无线用户上线配置完成后终端可以上线。AC上无线终端的认证信息，如下所示:[WLAN_AC-probe]diswlanclientTotalnumberofclients:1MACaddress Username APname RID IPaddress IPv6address VLAN5cad-cf6f-694c 5cadcf6... ap1 2 3505[WLAN_AC-probe]dismac-authenticationconnectionTotalconnections:1UserMACaddress:5cad-cf6f-694cAPname:ap-1RadioID:2SSID:XXXXXXBSSID:3897-d6de-57b1Username:5cadcf6f694cAuthenticationdomain:h3cInitialVLAN:1AuthorizationVLAN:3505＃认证通过后的授权vlan，在leaf上免认证且映射到对应的二层网络域VXLAN中AuthorizationACLnumber:3001＃byod用户的授权acl，匹配该acl的报文才能通过Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:86400sOnlinefrom:2016/09/2917:48:08Onlineduration:0h0m9sAP上对应的无线终端信息如下所示：[ap-1-probe]dissysteminternalwlankernelclientallverboseTotalnumberofkernelclients:1MACAddress:5cad-cf6f-694cBSSID:3897-d6de-57b1VLAN:3505＃授权vlanApID:1RadioID:2WlanID:2AID:1Wirelessmode:8FwdLocal:Yes＃本地转发模式FwdMode:1BSSType:0CipherSuite:255CryptoFiledLen:0WEPunicastkeyID