2024园区网络非虚拟化部署最佳实践（随板AC场景）

园区网络非虚拟化部署最佳实践（AC场景文档版 发布日 05-28园区网络非虚拟化部署最佳实践（随板AC园区网络非虚拟化部署最佳实践（随板AC场景目录0303(2024-05-目录了解iMasterNCE-Campus配套产品与版 园区网络非虚拟化部署随板AC场景介 组网介 方案规 园区网络非虚拟化部署随板AC场景部署最佳实 部署流 规划部署参 部署参数规划注意事 网络管理区部件数据规 整体数据规 iMasterNCE-Campus部署规 iMasterNCE-CampusInsight部署规 DHCP服务器部署规划（可选 数据规 流量模 数据规 WLAN数据规 WLAN安全规 出口网络数据规 iMasterNCE-Campus的三层管理员结 租户管理 站点规划部 创建站 导入网络规 配置防火墙被iMasterNCE-Campus纳 配置核心交换机纳 配置汇聚和接入交换机纳 配置汇聚和接入交换机纳管（设备和链路信息网络规划表格批量导入场景 配置汇聚和接入交换机纳管（设备手工添加、管理VLAN自协商、Eth-Trunk手工配置场景 配置汇聚和接入交换机纳管（设备手工添加、管理VLAN自协商、Eth-Trunk自协商场景 配置FitAP在核心交换机随板AC上 配置物理链路（核心交换机与出口防火墙 配置WLAN业 iMasterNCE-Campus配置无线网络业 iMasterNCE-Campus配置无线认证业务模 随板AC的WEB管理界面配置无线业 配置WLAN安 配置有线业 iMasterNCE-Campus配置有线网络业 iMasterNCE-Campus配置有线认证业 认证逃生配 有线认证逃 无线认证逃 无线MAC和Portal认证逃 无线802.1X认证逃 准入认证控制配 业务随行配 配置安全 配置安全组策 配置IP-Group同 用户接入认证配置（认证服务器侧 配置802.1x认证（员工 添加用户账 配置认证规 配置授权结果和授权规 配置MAC认证（哑终端，传统MAC认证方式 添加MAC账 配置认证规 配置授权结果和授权规 配置Portal自注册认证（访客 配置短信平台和短信服务 配置短信通知模板和访客账号策 配置访客自注册Portal页面和页面推送策 配置认证规 配置授权结果和授权规 智能运维配 配置CampusInsight与iMasterNCE-Campus对 配置园区网络设备向CampusInsight发送采集数 园区WLAN网规网优建 网络规 网络规划交付流 网络规划准 网络规划设 信号覆 业务分 容量设 设备选 网络部署设 信道规 AP布放设 供电走线设 AP安装方式设 场景网规参 网络优 配置射频调 调优模式配 调优信道配 调优功率配 配置RTS-CTS的工作模式和阈 强制低信号强度用户下 配置智能漫 配置频谱导航（5GHz优先 配置用户限 调整EDCA参 调整Beacon周期并提升Beacon速 降低ProbeResponse报文重传次 配置GI模式为Short 降低STA老化时 开启用户隔离和端口隔 园区网络非虚拟化部署最佳实践（随板AC园区网络非虚拟化部署最佳实践（随板AC场景1了解iMasterNCE-Campus0303(2024-05-了解iMasterNCE-Campus本篇最佳实践是基于iMasterNCE-CampusV300R023C00版本所配套的相关产品部件介绍如何部署园区非虚拟化随板AC场景，具体推荐款型和版本如表1非虚拟化网络随表1-1非虚拟化网络随板AC支持被iMasterNCE-Campus纳管，但是复杂配置不支持通过iMasterNCE-Campus下发，在大中型园区场景产品文档链接：USG支持被iMasterNCE-CampusS7700&S8700&S9700&S12700&S16700支持被iMasterNCE-Campus产品文档链接：S3700&S5700&S6700支持被iMasterNCE-Campus产品文档链接：S3700&S5700&S6700支持被iMasterNCE-Campus纳管，但当前运行在Fit产品文档链接：AirEngine6700产品文档链接：iMasterNCE-产品文档链接：iMasterNCE-园区网络非虚拟化部署最佳实践（随板AC园区网络非虚拟化部署最佳实践（随板AC场景2园区网络非虚拟化部署随板AC0303(2024-05-园区网络非虚拟化部署随板AC园区网络非虚拟化场景是相对虚拟化场景而言的，其实就是传统云管理网络场景，通过iMasterNCE-Campu统一纳管网络设备，如W、等，由iMasterNCE-Campus部署所有业务，实现网络设备的集中管理、控制和运维等，并且支持零配置快速开云网规和移动化运维，简化WLAN本篇最佳实践基于非虚拟化集中式网关方案常用的三层组网介绍部署思路，无线网络采用随板tP架构，采用随板作为角色纳管P图2-所示。具体组网说明如下：为了保证链路级可靠性，链路间采用Eth-Trunk接入层，采用S5731-SPOE交换机，连接各种款型AP，提供POE供电及网络接入认证授权控制采用华为iMasterNCE-Campus，对用户进行认证授权，保证其安网络管理采用华为研制的新一代运维管理系统t，简称CI，对多类型的设备进行统一的监控，实现对资源、业务、用户的统一管理以及智能联动。相较于传统的基于分钟级数据采集维护，且缺乏对用户体验、实时网络状态的监控。CI网络分析器功能，可进行可视化管理、用户旅程回放、潜在故障识管理层部件主要涉及iMasterNCE-Campus、iMasterNCE-CampusInsight、图2-1非虚拟化部署核心做随板AC非虚拟化场景主要是基于iMasterNCE-Campus部署，按照iMasterNCE-Campus的业表2-1iMasterNCE-Campus向、iMasterNCE-CampusInsight南向与管理子网互通；一条用于iMasterNCE-Campus南向、DHCP服务器与用户子网互通。–核心交换机采用手动配置上线，汇聚层和接入层网络设备即插–汇聚交换机和接入交换机通过自协商管理VLAN打通管理网络，–AP通过自协商管理VLAN打通管理网络，通过DHCPOption获取WAC的地址，然后在WACFitAP的无线业务配置除认证模板在NCE-Campus上配置外，其他APNCE-Campus上的APESN校验。其中，管理网络打通、WAC的IP地址信息获取可参考“管理网络部署方案设备开局上线方式”规划；对于iMasterNCE-Campus上的APESN校验，支持以下两种方–提前导入AP信息：该方式需要在AP硬装时采集APESN信息，在Trunk等）一起，一次性导入iMasterNCE-Campus。–AP上线后手动修复：该方式不需要提前采集AP的ESN信息，需要现场施工时逐个安装AP并反馈APESN和位置信息，网络管理员可以同步在iMasterNCE-Campus纳管AP并根据AP位置修改SSID和业务VLAN有线无线准入规划X、、ortal混合认证三种，员工使用x认证，访客使用自注册和C优先的ortal认证，哑终端采用C认证。园区网络非虚拟化部署最佳实践（随板园区网络非虚拟化部署最佳实践（随板AC场景 3园区网络非虚拟化部署随板AC场景部署最佳实0303(2024-05-园区网络非虚拟化部署随板AC场景部署最iMasterNCE-Campus配置WLAN图3-1iMasterNCE-Campus支持新旧两种菜单模式，本手册写作以旧模式菜单为准。客骤，请参见切换界面新旧模式目中请按实际业务需要规划资源数量（一般一个vlan规划1000个终端）。非虚拟化网络管理层组件涉及iMasterNCE-Campus、iMasterNCE-CampusInsight和网络管理区安装各部件的每台服务器均采用双网卡绑定，然后与堆叠的相连，各部件与核心交换机互通数据规划如图3-2所示；部署时各部件的地址、VLAN等资源的整体规划如表3-1其中：VLAN4009用于iMasterNCE-Campus南向、iMasterNCE-CampusInsight南向与VLAN4012用于iMasterNCE-Campus南向、DHCP服务器与用户子网互通。表3-1网络管理区部件部署时IP地址、VLANVLANVLAN管理物理服务器VLANVLAN管理物理服务器VLANDHCP所用VLAN管理物理服务器VLAN说明建议把业务面和管理网口的地址规划到同一个网段，如果确实需要业务面和C管理网口的地址不在同一个网段，则需要把两个网段互相打通，否则告警无法上报到控制器。iMasterNCE-CampusiMasterNCE-Campus采用3机集群，网络规划采用两网络平面，内部通信单独一个网图3-3iMasterNCE-Campus表3-2服务器物理网口配置的IPIPbond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出IPbond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出bond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出说明建议把接口和管理网口的地址规划到同一个网段，如果确实需要接口和管理网口的地址不在同一个网段，则需要把两个网段互相打通，否则告警无法上报到控制器。表3-3iMasterNCE-Campus系统的IPIP①Nginx浮动IP（bond0浮动IP地址②ACA_Nginx浮动IP（bond0浮动IP地③ER浮动IP（bond1浮动IP地址1）：➃管理面负载均衡浮动通过该IP可以访问iMasterNCE-⑤负载均衡DIP（bond1浮动IP⑥FusionInsight管理浮动IP：通过该IPFusionInsight的管理⑦南向负载均衡虚安装iMasterNCE-Campus过程中，在填写景下，iMasterNCE-Campus对IP⑧文件服务器负载均衡虚非NAT场景下，iMasterNCE-⑨北向负载均衡虚安装iMasterNCE-Campus过程中，在填写NAT场景下，iMasterNCE-⑩FusionInsightDBservice浮动IP：FusionInsight数据库主备浮动3-4系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCFusionInsightiMasterNCE-Campus系统管iMasterNCE-CampusMSP管iMasterNCE-Campus租户管iMasterNCE-CampusInsightiMasterNCE-CampusInsight采用3机集群，网络规划采用单平面方式，通过系统本身图3-4iMasterNCE-CampusInsight表3-5服务器物理网口配置的IPIPiBMC（服务器管理网口，图中未标出iBMC（服务器管理网口，图中未标出iBMC（服务器管理网口，图中未标出表3-6iMasterNCE-CampusInsight系统的IPIPFusionInsight登录浮动iMasterNCE-CampusInsight登录浮动FusionInsight数据库浮动FusionInsight管理浮动iMasterNCE-CampusInsight南向浮动3-7系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCFusionInsightiMasterNCE-DHCP服务器部署规划（可选如果园区内无专门的DHCP服务器，可以通过用户网关VLANIF下使能DHCPServer功图3-5DHCP服务器部署组网图表3-8服务器物理网口配置的IPIP3-9系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCWLANWLAN的网关统一放到E上，E作为P服务器给分发管理网络地址终端业务网关统一放到核心S12700EFW-FW-Aggre-Aggre-Access-Access-3-11NCE-Campus核心交换机对接IPiMasterNCE-Campus南向地址和端口号：iMasterNCE-Campus纳有线自协商管理VLAN：VLAN–网关接口–网关接口IP–DHCP––无线自协商管理VLAN：VLAN网关接口IPDHCP自动协商WAC地址功能：开启，WAC无线CAPWAPCAPWAPIP地址：Loopback1DHCPAP的DHCP服务器：核心交换机S12700E作为无线用户的网关设备，并且开启DHCP中继AAA计费模式：RADIUS实时计费时间间隔：15RADIUSRADIUS认证服务器IP计费服务器IP授权服务器IPRADIUSIPURLURL用户用户设备MAC：wac-URL携带SSIDMAC引用模板：mac免认证资源：DNS服务器的地址名称：802.1x、MAC、引用模板和认证方案：ortal模板portal、x模板、接入模板mac、S服务器模板、认证方案、S计费方案、免认证规则模板ault_fDNSIPAP名称：Area-引用模板：VAP模板、2G射频模板2G、5G调优策略：rogue-ap、non-SSIDportal认证使用安全模板，名称：open安全策略：开macportalmacVAPiMasterNCE-设备IPRADIUSWLAN一般按照不同的用户角色或者不同的业务类型来规划D客。一般规划个D：访客使用的、员工使用的、哑终端使用的（显示屏、打印机等电子设备）。3-12VAPWLAN3-13指定VAP内每个STA指定VAP内每个STA3-14表3-15指定除ARP/DHCP/DHCPv6/ND限速，单位表3-16AP限速，单位包/AP有线口下行capwaparp、igmp、nd、other表3-17APARPIGMPND3-18FW-FW-FW-FW-FW-iMasterNCE-CampusiMasterNCE-Campus的管理员分为三个层次，每层管理员的职责不同，前台页面呈现图3-6

说明本方案涉及相关软件采用企业私有云部署场景，iMasterNCE-Campus的License模式采用全N1商业模式仅支持私有云场景，且对应N1商业模式，iMasterNCE-Campus获得的

本方案涉及软件产品对应的ESN对于iMasterNCE-Campus的ESN，可通过系统管理员账号登录iMasterNCE-Campus，然后选择“系统>用户管理>License管理”，在License管理页面选择如果iMasterNCE-Campu对接了iMastert，从iMasterCampus系统界面上获取的ESN会同时包含iMaster的ESN信息，可供iMastert的Li获取时使用；同时，iMastert的Li也可在iMasterNCE-Campu界面上加载，加载完成后，还需要手动向iMastert同步Li数据。

以下用iMasterNCE-Campus的License获取为例进行介绍，iMasterNCE-CampusInsight的License获取方式跟iMasterNCE-Campus的License获取操作上相步骤1登录华为License系统/sdp/portal.html，选择菜单”License激活>在线批量激活>单网元激活（数通使用）”，在搜索框内输入合同号。步骤2勾选对应产品，并填写对应设备的“ESN步骤3单击“确认并激活License步骤4最后下载激活的License步骤5获取License文件后，通过系统管理员账号登录iMasterNCE-Campus，加载License文件。选择“系统>管理员>License管理”，选择“License文件”页签，单击“上传更多License加载的详细信息，可参考iMasterNCE-Campus产品文档中的“License管----iMasterNCE-Campus部署在企业本地网络，License推荐全局永久模式，此种模式

通过系统管理员账号登录iMasterNCE-Campus在系统管理员视图下创建MSP及MSP在MSP3-19iMasterNCE-Campus北步骤1使用系统管理员admin账号登录iMasterNCE-Campus说明首次登录系统时，可以用默认的系统管理员账号登录iMasterNCE-Campus《iMasterNCE-Campus缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与步骤2进入“MSP管理”菜单，选择“MSP管理>MSP管理>MSP管理”，单击“创建”，表3-20创建MSP及MSP该MSP所能拥有的MSP选择MSP步骤3单击右上角的账号，选择“注销”，退出系统管理员视图。使用刚创建的MSP账号登步骤4进入“租户管理”菜单，选择“租户管理>租户管理>租户管理”，单击“创建”，3-21步骤5单击右上角的账号，选择“注销”，退出MSP管理员视图。使用刚创建的租户管理员----iMasterNCE-Campus安装完成后，首先就需要创建一个网络站点。站点创建主要就是置与iMasterNCE-Campus南向对接，然后完成上线；汇聚/接入交换机在不同场景有非虚拟化网络中，推荐采用网络规划模板预先批量导入所有交换机的设备信息、互联的runk链路；模板导入完成后，上游设备的下行runk接口会默认预配置“runk聚接入交换机的管理子网网关，并启用自协商管理VLAN功能，最终实现汇聚/接入交换机的即插即用上线。方式二：手工添加设备信息，Eth-Trunk此种方式适用于少量设备上线场景，并且希望交换机间互联runk定义手工创建。此时，仍以核心交换机作为汇聚接入交换机的管理子网网关，并启用自协商管理VLAN功能；然后，汇聚接入交换机通过单物理链路临时即插即用上线；最后，按顺序依次创建接入交换机、汇聚交换机、核心交换机的runk接口，并且依次确保接入交换机、汇聚交换机通过runk链路重新上线成功。方式三：手工添加设备信息，Eth-Trunk图3-7汇聚/接入交换机不同上线方式（假设核心交换机已通过命令行在iMasterNCE-Campus上线）

3-22LSW、WAC、步骤1选择“设计>站点设计>站点管理”，单击“创建”，创建站点，输入“站点名说明无线业务管理采用的是随板AC+FitAP架构，FitAP由随板AC进行统一配置管理。随板AC被iMasterNCE-Campus纳管后，可以直接在iMasterNCE-Campus上跳转到随板AC的Web网管界面对FitAP进行管理。----同时，由于聚合链路不能通过LLDP动态发现，因此需要在iMasterNCE-Campus进行iMasterNCE-Campus纳管，核心交换机与防火墙之间的聚合链路需要手工创建，其中，核心交换机侧的配置可参见“3.6.7配置物理链路（核心交换机与出口防火墙）步骤1选择“设计>网络设计>步骤2说明iMasterNCE-Campus通过模板导入的方式向站点添加堆叠系统的过程中，如果组建好的堆叠系统原有信息与模板中导入的信息不一致，会导致堆叠系统重启；而且重启前，iMasterNCE-Campus会向堆叠系统下发新的堆叠信息（框式交换机SlotID除外）。因此：对于框式交换机，由于通过命令行方式在iMasterNCE-Campus上线，可以在本地命令行配置过程中，执行命令displayesn和displaycssstatus记录原有成员设备ESN、堆叠ID和堆对于盒式交换机，由于通过P方式实现即插即用，需要堆叠系统空配置，而且盒式交换按规划的信息重新启动上线。3-23S12700E-S12700E-堆叠名称：堆叠设备必填。3-24卡槽号/S12700E-S12700E-说明3-25H-H-H-H-说明预配置“Eth-Trunk自协商”功能，以确保下游设备后续能通过Eth-Trunk链路在iMasterNCE-Campus步骤3填写完成后，在iMasterNCE-Campus上“选择文件”，选中填好的模板文件后，单击说明----配置防火墙被iMasterNCE-Campus步骤1配置防火墙接入Internet通过WebWeb将运行模式切换为云管理模式。单击“面板＞系统信息＞云管理模式”后的GE0/0/33-26GE0/0/3PPPoEInternet通过运营商A3-27GE0/0/4PPPoEInternet通过运营商B步骤2配置防火墙注册到iMasterNCE-单击“系统>管理员>设置”，单击“北向接口配置”模块中“Call-home主动注册”中的“新建”，填写网关（云防火墙）注册到iMasterNCE-Campus的IP地3-28----

将待管理的设备添加到网络站点enant_Campu后，接下来iMasterNCE-Campu就需要打通与站点设备间的管理通道，完成设备纳管，以进行后续的业务配置下发。目前，iMasterNCE-Campu要在核心交换机上通过命令行配置与iMasterNCE-Campu的南向对接。

配置核心交换机与iMasterNCE-Campus对接所使用的VLAN、IP配置核心交换机到iMasterNCE-Campus配置核心交换机使用NETCONFOverSSHCallhome模式与iMasterNCE-说明核心交换机通过命令行配置被iMasterNCE-Campus纳管时，必须要先完成和iMasterNCE-表3-29核心交换机与iMasterNCE-CampusVLANIF接口iMasterNCE-南向接口IPEth-Trunk[Core]vlanbatch[Core][Core]vlanbatch[Core]interfaceeth-trunk[Core-Eth-Trunk5]trunkportxgigabitethernet1/1/0/31[Core-Eth-Trunk5]portlink-type[Core-Eth-Trunk5][Core]interfacevlanif[Core-Vlanif4009]ipaddress54[Core-Vlanif4009]步骤2配置到iMasterNCE-Campus[Core]iproute-static24 [Core][Core-netconf]source[Core][Core-netconf]sourceip[Core-netconf]callhomeimaster-[Core-netconf-callhome-imaster-campus]ipaddressport[Core-netconf-callhome-imaster-campus]步骤4通过命令行或者iMasterNCE-Campus检查核心交换机是否被iMasterNCE-Campus正[Core]displaynetconfconnect-Netconf :Uploadalarm :Connectedtocontrollerbefore:Controlleraddress Controller ControllerIP Controller Management ManagementIP Register Register Netconfsrc- :Netconfsrc- Netconfsrc- Controller No Port1callhomeimaster- 100202 3 4 5 6 ----

手动添加设备，开启自协商管理VLAN，开启自协商eth-trunk手动添加设备，开启自协商管理VLAN，不协商eth-配置汇聚和接入交换机纳管（设备和链路信息网络规划表格批量导入场景

较多，推荐通过3.6.2导入网络规划的方式，将设备和Eth-Trunk信息通过模板预先导入到iMasterNCE-Campus中。后续配置汇聚/接入交换机纳管时，可以将核心交换机VLAN，实现汇聚/

以核心交换机为根设备，配置自协商管理VLAN说明3-30IPIP表3-31自协商VLAN步骤1在核心交换机上配置管理汇聚/接入交换机的子网，子网网关接口开启DHCP服务器功能，并开启自动协商iMasterNCE-Campus地址功能。选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>子网”，然后单击“创建”，按如下信息配置有线管理子网，配置完成后，单击设备选择“Core”，子网名称为“Manage_Net”，管理VLANID为4080，开启DHCP功能，DHCP开启“管理网络”，然后AP模式选择“FitAP”，“自动协商控制器地址”按钮~00说明3-32DHCPAP指定当前子网中AP设备的模式。大中型园区网络，一般采用Fit备可以通过Option148获取iMasterNCE-CampusWAC开启时，当前子网的DHCPServer自动生成Option43，FitAP可以步骤2在核心交换机配置自协商管理VLAN功能，使得核心交换机作为根设备，通过pnp报文选择“部署>设备部署>>管理VLAN交换机，单击，配置自协商管理VLAN为VLAN4080，并将上行口自动放行功能关表3-33配置自协商管理VLAN接的是AP，会将端口的PVIDVLAN修改为自协商管理VLAN。以当前设备为根设备，可以通过协商机制一级一级将下行级联链路的无线管理VLAN打通。在有线无线分别规划管理VLAN、自协商管理VLAN和无线自协商管理VLAN同时配置的场景下，如果根设备/联设备识别到下行端口连接的是，会将DVLAN修改为无线自协商管理VLAN，不会修改为自协商管理VLAN。管理开启该开关后，当前设备的上行口PVID会修改成管理VLAN如果当前设备的上行口为Access，会自动将管理VLANVLANID步骤3检查汇聚/在iMasterNCE-Campus选择“设计站点设计设备管理”，查看站点的设备列表，汇聚和接入设备的在iMasterNCE-Campus选择“维护配置维护配置结果”，查看向设备下发的配置结果。可以选择指执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。Netconf :Uploadalarmstatus Connectedtocontrollerbefore:yesControlleraddresssource ControllerURL :--ControllerIP ControllerManagementManagementIPRegisterRegisterNetconfsrc-:Netconfsrc-Netconfsrc-:ControllerNo 1callhomeimaster-2 3 4 5 6 登录设备命令行界面查看Eth-Trunk执行命令displayeth-trunk查看Eth-Trunk接口的配置信息，包括Eth-Trunk接口<Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime:10 SystemPriority:120 SystemID:0018-82d4-04c3LeastActive-linknumber:1MaxActive-linknumber:2Operatestatus:up NumberOfUpPortInTrunk:2Status PortPriPortNoPortKeyPortStateSelected 262260910111100Selected 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb1132768262 3276800e0-fc6e-bb1132768263 ----后续配置（可选对于大中型非虚拟化网络来说，如果需要管理的网络设备数量较多，在汇聚/接入交换机通过自协商VLAN功能完成上线后，可以按需规划多个管理VLAN及多个管理子网。而且还可以对不同的汇聚/接入交换机配置静态的管理地址，便于后续运维管理时访问汇聚/接入交换机。不同管理子网的网关接口仍设置在核心交换机，假设切换的新管理VLAN为VLAN，网关地址为4，某接入交换机需要配置的静态管理为1，其具体配置过程如下：步骤1[Switch]iproute-static24 步骤2通过手工静态配置的方式，将核心、汇聚、接入交换机互联的Eth-Trunk接口，以trunk方式加入VLAN4081。以核心交换机连接汇聚交换机的Eth-Trunk1为例，在iMasterNCE-Campus具体操作如下。选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，并在对应设备列表中选择核心交换机，然后在接口面板上选中Eth-VLAN增加VLAN4081。配置完成后，单击“应用”。步骤3在核心交换机上创建新的管理子网，在iMasterNCE-Campus选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角“交换机>子网”，然后单击“创建”。设备选择“Co”，子网名称为“1”，管理VLAN为1，接口获取方式选择手动，配置地址为4；关闭P功能。配置完成后，单击“确步骤4将站点中汇聚/接入交换机的管理VLAN切换到新的管理VLAN，并配置静态IP地址。以接入交换机Access-a为例，配置的静态管理IP为，在iMasterNCE-Campus选择“部署>设备部署>>管理VLAN”，并在对应设备列表中选择接入交换机Access-a，单击，选择“管理VLAN类型”为自定义，配置“管理VLANID”为VLAN4081，“上行口自动放行”按钮开启（如果步骤2中已配置Access-a上行口加入VLAN4081，可不开启），“IP获取说明汇聚/接入交换机切换了新的管理VLANiMasterNCE-Campus南向与汇聚/接入交换机能通过新的管理VLAN----配置汇聚和接入交换机纳管（设备手工添加、管理VLAN自协商、Eth-Trunk手工配置场景）

说明如果上游设备已经在iMasterNCE-Campu上线，并且下行runk接口已经创建，则需要临时保持runk接口仅有一个物理成员接口Up，确保下游设备能够临时通过单物理链路自协商管理VLAN成功，然后在iMasterNCE-Campu行runk接口。如果上游设备已经在iMasterNCE-Campus上线，但下行Eth-Trunk接口没有创建，则下游设备临时通过单物理链路自协商管理VLAN成功，并在iMasterNCE-Campus上线后，需要先创致下游设备不能重新通过Eth-Trunk链路在iMasterNCE-Campus上线。

以核心交换机为根设备，配置自协商管理VLAN等待汇聚/接入交换机临时采用单物理链路在iMasterNCE-Campus即插即用上在汇聚交换机和核心交换机间创建Eth-Trunk步骤1将汇聚/选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤2假设汇聚/选择“设计>站点设计>设备管理>叠”，添加堆叠成员，并填写堆叠、堆叠优先级等信息。配置完成后，单击“确定”。步骤4以核心交换机为根设备，配置自协商管理VLAN功能，详细配置可参考配置汇步骤5等待汇聚/接入交换机临时采用单物理链路在iMasterNCE-Campus即插即用上线。步骤6汇聚/接入交换机上线后，在接入交换机和汇聚交换机间创建Eth-Trunk链路。在接入交换机创建与汇聚交换机相连的上行Eth-Trunk选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击相应的接入层堆叠系统，在成员交换机的接口面板上选中需要聚合的成员接口，然后单击“聚合”；然后在下面的“接口配置”中，设置runk编号。配置完成后，单击“应用”。步骤7按照步骤6的配置过程在汇聚交换机和核心交换机间创建Eth-Trunk链路。在汇聚交换机创建与核心交换机相连的上行Eth-Trunk在核心交换机创建与汇聚交换机相连的下行Eth-Trunk在iMasterNCE-Campus选择“设计站点设计设备管理”，查看站点的设备列表，汇聚和接入设在iMasterNCE-Campus选择“维护配置维护配置结果”，查看向设备下发的配置结果。可以选执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。[Aggre-a]displaynetconfNetconf Uploadalarm ConnectedtocontrollerbeforeControlleraddress -Controller ControllerIP Controller Management -ManagementIP -Register Register Netconfsrc- :Netconfsrc- Netconfsrc- No 1callhomeimaster-2 3 4 5 6 登录设备命令行界面查看Eth-Trunk执行命令displayeth-trunk查看Eth-Trunk接口的配置信息，包括Eth-<Aggre-a><Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime: Hasharithmetic:AccordingtoSIP-XOR-SystemPriority:120LeastActive-linknumber:Operatestatus:upSystemID:0018-82d4-1MaxActive-linknumber:2NumberOfUpPortInTrunk:2StatusPortTypeSelected1GESelected1GEPortPriPortNoPortKeyPortState 262260910111100 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb11327683276800e0-fc6e-bb1132768----配置汇聚和接入交换机纳管（设备手工添加、管理VLAN自协商、Eth-Trunk自协商场景）

网络扩容时，也有可能存在少量汇聚/接入交换机通过手工方式添加到iMasterNCE-

以核心交换机为根设备，配置自协商管理VLAN汇聚交换机可进行预配置，上线后iMasterNCE-Campus会自动向其下发Eth-步骤1将汇聚/选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤2假设汇聚/选择“设计>站点设计>设备管理>叠”，添加堆叠成员，并填写堆叠、堆叠优先级等信息。配置完成后，单击“确定”。步骤4以核心交换机为根设备，配置自协商管理VLAN功能，详细配置可参考配置汇步骤5在核心交换机创建与汇聚交换机相连的下行Eth-Trunk接口，Eth-Trunk接口启用自协选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机接口”，进入物理接口配置页面。单击手工添加的堆叠系统，在2台成员交换机的步骤6按照步骤5的配置过程在汇聚交换机创建与接入交换机相连的下行Eth-TrunkEth-Trunk说明汇聚或接入上行口Eth-Trunk会默认自协商成Eth-Trunk0步骤7检查汇聚/在iMasterNCE-Campus选择“设计站点设计设备管理”，查看站点的设备列表，汇聚和接入设备的在iMasterNCE-Campus选择“维护配置维护配置结果”，查看向设备下发的配置结果。可以选择指执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。[Aggre-a]displaynetconfNetconf :Uploadalarm :Connectedtocontrollerbefore:Controlleraddress Controller ControllerIP Controller Management ManagementIP Register Register Netconfsrc- :Netconfsrc- Netconfsrc- Controller No 1callhomeimaster-2 3 4 5 6 登录设备命令行界面查看Eth-Trunk执行命令displayeth-trunk查看Eth-Trunk接口的配置信息，包括Eth-Trunk接口<Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime:10 SystemPriority:120 SystemID:0018-82d4-04c3LeastActive-linknumber:1MaxActive-linknumber:2Operatestatus:up NumberOfUpPortInTrunk:2Status PortPriPortNoPortKeyPortStateSelected 262260910111100Selected 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb1132768262 3276800e0-fc6e-bb1132768263 ----配置FitAP在核心交换机随板AC

在非虚拟化随板AC网络方案中，AP（通过iMasterNCE-Campus配置下发）在核心交换机配置AP管理VLAN的地址池接口以及和地址，通过P方式自动获取管理地址，打通随板与间的管理通道。（通过iMasterNCE-Campus配置下发）在核心随板AC上关联AP，确保上线AP的3-34IPWACWACDHCP配置AP通过iMasterNCE-Campus（设备和链路信息网络规划表格批量导入场景）汇聚/接入交换机与AP可以共用管理VLANVLAN功能实现核心交换机到AP间的管理VLAN汇聚/接入交换机与AP也可以各自规划管理VLANVLAN时，同时启用无线的自协商管理VLAN配置WAC关联通过iMasterNCE-Campus在核心随板AC上选中需要上线的通过iMasterNCE-Campus在核心设备上创建源接口通过登录随板AC的Web网管界面进行配置Loopback1CAPWAP步骤1（通过iMasterNCE-Campus配置下发）在核心交换机配置DHCP地址池接口，并且开启Option43选项中携带WAC地址的功能。本案例中，AP与核心交换机间的管理通道iMasterNCE-Campus纳管”时启用。无线管理子网配置过程如下。选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>子网”，然后单击“创建”，按如下信息配置，配置完成后，单击“确定”。设备选择“Core”，子网名称为“AP_Manage_Net”，管理VLANID为4090，开启DHCP功能，DHCP开启“管理网络”，然后AP模式选择“FitAP”，“自动协商WAC地址”按钮选如果AP是通过“设备管理>批量导入”方式添加的，则执行步骤2和3完成FitAP行步骤3完成FitAP纳管。步骤2（通过iMasterNCE-Campus配置下发）在WAC上关联AP。选择“部署>设备部署>的FitAP纳入核心设备管理。说明对于存量WAC场景，如果将正在使用的FitAP纳入到WAC管理，则原始FitAP上的配置将丢失。步骤3（通过iMasterNCE-Campus配置下发）创建无线AC源接口LoopBack1选择“配置>站点配置”，选择核心交换机所在站点，在左侧列表中单击“交换机接口”，选择Loopback页签，创建Loopback1步骤4（通过随板AC的WEB界面配置下发）配置LoopBack1作为CAPWAP选择“设计>站点设计>设备管理”。在“设备管理”页签，单击需要登录的设输入设备的管理账户和密码，单击“Go”进入设备的web说明选择“配置>无线业务管理>AC配置”，进入“AC基本信息”页签。在AC步骤5（可选）（通过iMasterNCE-Campus配置下发）对于没有提前通过“批量导入”方式选择“设计>站点设计>设备管理”，在设备列表中单击作为WAC的Core设备，进入----配置物理链路（核心交换机与出口防火墙

合链路，需要通过iMasterNCE-Campus在核心交换机上进行手工配置。3-35与出口防火墙FW-a与出口防火墙FW-b步骤1选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击“Core”堆叠系统，在2台成员交换机的步骤2按照步骤1的方式依次配置Eth-Trunk4----配置WLAN

在随板AC的方案中，无线网络采用AC+FitAP架构，FitAP通过传统方式上线；无线业务子网在Border设备接入，无线业务子网的网关通过iMasterNCE-Campus在Border上配置；无线用户接入的认证模板和FitAP的无线业务配置主要通过登录WAC的Web网

通过iMasterNCE-Campus通过iMasterNCE-CampusiMasterNCE-Campus

3-36是否开启开启DHCP中继开启DHCP中继开启DHCP中继步骤1选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>子网”，创建无线网关。步骤2点击“创建”，创建employee用户网关，填写子网名称，VLAN，IP网关/掩码以及开步骤3点击“创建”，创建guest用户网关，选择核心设备，填写子网名称，VLAN，IP网关/步骤4点击“创建”，创建dumb终端网关，选择核心设备，填写子网名称，VLAN，网关掩码以及开启P，P模式选择中继模式，关闭管理网络功能，以上参数请根据实际情况进行参数填写。最后点击确定完成。----iMasterNCE-Campus

核心随板AC的业务认证配置通过iMasterNCE-Campus部署下发，为每个无线认证的3-37配置认证模板数据规划表（802.1X认证RADIUS无线表3-38配置认证模板数据规划表（MAC认证RADIUSMAC无线步骤1创建RADIUS服务器模板和Portal服务器模板，并配置认证源IP选择“设计>网络设计>模板管理”，选择“策略模板>RADIUS服务器”，点选择“设计>网络设计>模板管理”，选择“策略模板>Portal服务器”，点击说明如果需要使用tp协议，需要登录NCE-Campu管理面，打开tp协议的5启端口具体步骤请参考iMasterNCE-Campu的产品手册配置核心随板交换机设备源IP，选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左侧列表选择“交换机>高级”，选择“设备源IP配置”页说明设备源IP配置功能，需要配置源IP为核心交换机注册iMasterNCE-Campus的管理IP步骤2选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左侧列表选择“交换机>认证”，选择“无线认证”页签。说明以下步骤中配置无线802.1x、MAC、Portal免认证时SSID的名称要与后续随板ACSSID步骤3配置无线802.1X步骤4配置MAC单击“创建”，配置名称为dumb，SSID为dumb，认证方式选择MAC步骤5配置MAC优先的Portal单击“创建”配置名称为guest，SSID为guest，认证方式选择Portal说明如果需要推送自定义Portal界面，在“准入>准入资源>页面管理”中，单击，创建----随板AC的WEB本案例中无线总共规划员工、哑终端、访客三个，每个角色的对应不同的业务VLAN，实际现网中与无线业务VLAN划。说明本案例中，随板AC的所有无线WLAN业务都需要登录WAC的WEB页面进行配置，包括VAPSSID3-39VAPSSIDarea1-业务VLANWPA-IPmDNSSnooping功能：area1-业务VLANSSIDIPmDNSSnooping功能：area1-业务VLANSSIDIPmDNSSnooping功能：表3-40无线终端识别数据上报的WMIDHCPOption、HTTPUA和步骤1选择“设计>站点设计>设备管理”。在“设备管理”页签，单击需要登录的设备，说明步骤2进入到配置界面，配置无线相关的SSID模板、VAP步骤3新建AP组并配置AP加入AP选择“配置>AP配置>AP组配置”，进入“AP组”页签，单击“新建”，输入步骤4配置AP组Area-1的员工802.1x选择“配置>AP配置>AP组配置”，进入“AP组”页签。单击AP单击“SSID模板”，在右侧页签单击“新建”创建模板名为employee的进入模板e配置界面，修改“名称”为e，点击“应用”，完成模板的配置和应用。说明此处SSID名称要与先前步骤在iMasterNCE-Campus上配置的无线802.1x的SSID说明随板方案中无线认证模板是通过iMasterNCE-Campu创建的，因此在此处P下绑定认证模板时，选择已经创建完成的认证模板即可，具体查询请到“部署>设备部署>点配置”，选择“站点配置”页签，在左侧列表选择“交换机>认证”，选择“无线认证”页签下的认证模板对应的认证模板。选择“VAP配置>area1-employee”，进入VAP模板area1-employee配置视图，配置业务VLAN为VLAN730开启IP地址学习功能，默认为开启状态。无线终端识别采用DHCPOption方开启mDNSSnooping功能。无线终端识别采用DHCPOption方式上报终端识按照上述步骤的配置过程，配置其他的MAC和Portal----配置WLANweb登陆随板AC设备，在“配置>无线业务管理>模板管理>无线业务>流量vap在“配置>无线业务管理>模板管理>无线业务>VAPweb登录随板AC设备，在“配置>无线业务管理>模板管理>无线业务>模板”，选择新建或者点击已经存在的vapweb登录AC设备，在“配置>无线业务管理>模板管理>AP>AP>”界面，选择新建或者点击已经存在的AP配置好后将上面配置的AP有线口模板应用到ap组，如下路径：“配置>无线业务管理>AP组配置>AP组”，点击“Area-1”进入AP组配置界面，选择“AP有线有线下行capwaparp、igmp、nd、other广播抑制，为了减小大量低速广播/组播web登录随板AC设备，“配置>无线业务管理>AP组配置>AP组”，点击“Area-1”进入AP组配置界面，点击“AP>APweb登录随板AC设备，“配置>无线业务管理>AP组配置>AP组”，点击“Area-1”进入AP组配置界面，点击“VAP配置>area1-employee>流量模web登录随板AC设备，“配置>无线业务管理>AP组配置>AP组”，点击“Area-1”进入AP组配置界面，点击“VAP配置>area1-employee”，使能严格

通过iMasterNCE-Campus通过iMasterNCE-CampusiMasterNCE-Campus

心设备，因此核心设备只需配置无线网关以及设备互联端口放通业务VLAN。本案例中，有线用户和无线用户网关合一。3-41是否开启开启DHCP是否开启开启DHCP开启DHCP步骤1选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>子网”，创建无线网关。点击“创建”，创建e用户网关，填写子网名称，VLAN，网关/掩码以及开启P点击确定完成。点击“创建”，创建用户网关，选择核心设备，填写子网名称，VLAN，网关/掩码以及开启P，P模式选择服务器模式，设置dns功能，以上参数请根据实际情况进行参数填写。最后点击确定完成。点击“创建”，创建dum终端网关，选择核心设备，填写子网名称，VLAN，网关/掩码以及开启P，P模式选择服务器模式，设置dns功能，以上参数请根据实际情况进行参数填写。最后点击确定完成。步骤2在核心交换机设备与汇聚、接入互联端口放通业务选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机接口”，选择核心设备，选择连接汇聚或接入设备的Eth-Trunk口配置选择接口上的Eth-Trunk图标，添加允许通过的VLAN730，VLAN750步骤3在接入交换机配置用户接入端口类型和业务VLAN。选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，选择接入设备，选择接入设备的端口配置端口类型和业务VLAN。点击应说明接入端口类型，如果项目中用户是通过动态授权VLAN方式，接口类型选择Hybrid----iMasterNCE-Campus

有线认证点设备在接入设备，iMasterNCE-Campus上需要为接入设备部署配置对应的3-42步骤1选择“设计>网络设计>模板管理”，选择“策略模板>RADIUS服务器”，点击步骤2选择“设计>网络设计>模板管理”，选择“策略模板>Portal服务器”，点击“创说明如果需要使用tp协议，需要登录NCE-Campu管理面，打开tp协议的5启端口具体步骤请参考iMasterNCE-Campu的产品手册步骤3选择“部署设备部署站点配置”，选择“站点配置”页签，在左侧列表选择“交换机>认证”。说明因此配置有线x、、ortal三种混合认证方式，即端口支持多种认证类型，在创建认证时，选择多种认证方式即可。步骤4单击“创建”，配置名称为802.1x_MAC_Portal_Auth认证方式：802.1X、MAC、Portal主portal认证协议：CHAP（此处认证协议指的是MAC认证协议Portal免认证：开启，免认证时长2----

当iMasterNCE-Campu故障或者由于网络原因导致设备与iMasterNCE-Campu之间无法正常交互时，会造成用户无法认证，导致用户无网络访问权限。认证逃生是指在这种情况下，设备探测到无法与iMasterNCE-Campu络访问权限，满足用户基本的网络访问需求。当前支持三种逃生方案，分别是：允许用户接入，不需要认证，使用逃生VLAN用户对网络安全性要求较高时，可选择“允许已认证用户继续使用网络，不允许新用户接入”；用户对网络安全性要求较低时，可选择“允许用户接入，不需要认证，使用逃生VLAN或者自定义逃生策略”，当iMasterNCE-Campu故障或者由于网络原因导致设备与iMasterNCE-Campu访问一些特定资源，无需认证。说明本章节的逃生部署指南，是指服务器Down无线的Portal认证或者包含Portal认证的混合认证，不支持认证前授权VLANVLAN本案例中，所有无线业务通过登录WAC的WEB随板AC暂时还不支持802.1X认证方式的认证服务器Down3-43逃生步骤1在主菜单中选择“设计网络设计模板管理”，选择“策略模板”页签，在左侧模输入名称、创建IPv4步骤2选择“部署设备部署站点配置”，选择“站点配置”页签，在左上角选择“交换机>认证”。在“有线认证”页签，点击认证模板名称为“Authen1说明对于有线用户进行认证，当S服务器时，某些客户端新上线时无法拥有逃生权限，例如新上线的ws客户端收到设备回应的Sues报文时未收到与服务器的认证交互报文，导致认证失败，无法上线。目前如下客户端新上线时可以拥有逃生权限：使用E5和EP协议的C客户端、使用ET和EP协议的Cisot客户端。对于ws客户端，以ws为例，需选择“本地连接>属性>身份验证>回滚到未经授权的网路”。如果需要支持用户在客户端无响应时有网络访问权限，需要手工增加命令authenticationeentclien-no-eactionauthori。----无线MAC和Portal说明无线的Portal认证或者包含Portal认证的混合认证，不支持认证前授权VLANVLAN

上面章节《配置向C下发认证模板》在数据规划时，为的逃生策略是“允许用户接入，不需要认证”，现在需要根据实际需要调整逃生策略。3-44逃生campus-步骤1在主菜单中选择“设计网络设计模板管理”，选择“策略模板”页签，在左侧模输入名称、创建IPv4步骤2选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>认证”。在“无线认证”页签，点击认证模板名称为“Authen4----

无线802.1X认证方式不支持认证服务器Down的逃生。此场景可以通过配置OpenSSID，在认证服务器Down说明和开启闭操作使用命令vap-service-backupauth-server-down。3-45RADIUS非逃生VAP逃生VAP说明aea1-模板的P类型为业务型，aea1-模板的类型为备份业务型。SSID业务VLAN不一样，aea1-的业务VLAN是，aea1-的业务VLAN是（对应的VN是Pe_VN）。步骤1配置VAP#单击“配置>无线业务管理>模板管理>无线业务>P模板”，新建模板“aea1-”，进入该模板页面。在“高级配置”配置P类型。配置业务VLAN为、类型为备份业务型、S服务器离线时生效，选择监测S服务器“”。步骤2配置VAP模板“area1-rd-employee_test1”的SSID----本案例中，以无线为例，采用iMasterNCE-Campus内置的用户认证和策略服务器。整配置业务策略：采用业务随行方案，创建安全组并配置不同安全组间策略。用户接入认证通过后，iMasterNCE-Campu应安全组，认证控制点设备基于安全组间策略，控制用户访问权限。在传统园区网络中，控制用户网络访问权限主要是通过技术结合VLAN和技术来实现的，需要在大量的认证点交换机上提前配置，部署和维护工作量巨大。基于安全组的业务随行方案，实现了业务策略与地址的解耦，改变了访问控制策略的匹配机制，把原来的一步匹配改成了两步匹配：先用匹配安全组，再用安全组去匹配策略。与安全组的映射关系可以随着区网络中的任意位置、任意VLAN、任意网段接入，并可以始终控制其网络访问权

表3-46RD说明：iMasterNCE-Campus授权安全组信息的相应表3-47Market说明：iMasterNCE-Campus授权安全组信息的相应3-48Guest说明：iMasterNCE-Campus授权安全组信息的相应步骤1选择“准入>业务随行>安全组”，单击“创建”，按数据规划增加安全组。以安全----3-49研发部和市场部基于安全组的访问控制策略规划（第一列为源安全组、第一行步骤1选择“准入>业务随行>策略控制”。单击按钮，创建安全组策略。以研发部安步骤23-50步骤3----配置IP-Group上只有无线用户的认证信息，没有有线用户的认证信息，因此需要在iMasterCampu上配置-Goup订阅功能，通过核心向控制器订阅有线认证用户的安全组信务进行业务随行策略控制。步骤1在主菜单中选择“准入>业务随行>IP-安全组订阅”。单击“创建”，创建IP-安全----用户接入认证配置（认证服务器侧本案例中采用iMasterNCE-Campus内置的认证服务器，对于员工，采用802.1X认证方式，需要在iMasterNCE-Campus上添加用户账号、配置用户认证方式等，然后对用户进行认证授权。iMasterNCE-Campus可以在同一类用户组的授权结果中绑定相应安全3-51（市场部无线员工终端步骤1选择“准入>准入资源>用户管理”，选择“用户管理>用户”页签，单击 步骤2----

3-52步骤1配置802.1x认证，以创建认证规则RD_Wireless_Employee_Authen选择“准入>准入策略>认证授权”，选择“认证规则”页签。单击“创建”，选择“认证方式”为“用户接入认证”，选择接入方式为“WIFI”。匹配条件开启“使能用户组信息匹配”按钮，“用户组”选择RD_Wiee_Goup。然后选择认证协议，配置完成后，单击“确定”。----

3-53步骤1选择“准入>准入策略>认证授权”，选择“授权结果”页签。以创建授权结果3-54VIP基于ACL或者动态ACLIPV6基于IPv6ACLURL黑名单过滤模式：禁止访问URL授权VLAN授权结果可设置DSCP强制重定向到指定的ACL或者URL可通过调整RADIUS步骤2选择“准入>准入策略>认证授权”，选择“授权规则”页签。以创建授权规则----配置MAC认证（哑终端，传统MAC认证方式本案例中采用iMasterNCE-Campu接入认证方式，需要在iMasterNCE-Campu上添加账号、配置认证方式等，然后对哑终端进行认证授权。iMasterNCE-Campu定相应安全组，认证控制点设备在执行安全组策略时，能够基于绑定的安全组控制哑终端访问权限。添加MAC3-55MACMAC步骤1选择“准入>准入资源>用户管理”，选择“用户管理>用户”页签，单击 步骤2选择“准入>准入资源>用户管理”，选择“MAC账号”页签，单击“创建”，配置----

3-56MACMAC步骤1以创建认证规则RD_Wireless_Dumb_Authen1选择“准入>准入策略>“认证方式”为“C认证”，选择接入方式为“WIFI”。匹配条件开启“用户组信息匹配”按钮，“C账号映射用户组”选择RD_Wieless_Dumb_Gou，认证协议选择“P协议”和“P协议”。配置完成后，单击“确定”。----

3-57步骤1选择“准入>准入策略>认证授权”，选择“授权结果”页签。以创建授权结果RD_Wi为例，“安全组”选择RD_Wieless_Dumb_Sec，配置完表3-5。3-58VIP基于ACL或者动态ACLIPV6基于IPv6ACLURL黑名单过滤模式：禁止访问URL授权VLAN授权结果可设置DSCP强制重定向到指定的ACL或者URL可通过调整RADIUS步骤2选择“准入>准入策略>认证授权”，选择“授权规则”页签。以创建授权规则RD_Wi为例，认证方式选择“认证”，接入方式选择“WIFI”。匹配条件开启“用户组信息匹配”按钮，“账号映射用户组”选择RD_Wieless_Dumb_Goup；“认证授权结果”选择RD_Wi。配置完成后，单击“确定”。----配置Portal自注册认证（访客对于园区临时访客，由于数量较多、流动性强，不利于在iMasterNCE-Campu加用户账号，此时可以通过访客自注册的方式，对访客进行授权，方便访客接入园区网络。访客自注册时支持用户手工输入密码和系统生成密码两种方式。当审批通知方式或者访客通知方式选择短信时，需要提前部署短信服务器；当审批通知方式或者访客通知方式选择邮件时，需要提前部署邮箱服务器。本例中以短信审批为例。在部署短信审批方式Portal自注册认证时，需要iMasterNCE-Campus与短信平台、短表3-59iMasterNCE-CampusHTTPUTF-URLsms-Body失败：-表3-60iMasterNCE-CampusHTTPSMS步骤1通过系统管理员账号登录iMasterNCE-Campus。步骤2导入短信服务器证书。说明根据实际对接的短信服务器平台是否需要证书，如果不需要，可以通过选择“HTTPURL选择“系统>安全管理>证书管理”，在左侧导航树中选择“服务证书管理”，在“服务列表”页面，单击“rre”。单击“信任证书”页签，单击“导入”，填写证书信息，选择证书文件上传，单击“提交”，将短信服务器证书上传到iMasterNCE-Campu。步骤3说明缺省情况下，iMasterNCE-Campus已经预置了如下短信平台的对接参数。如果短信服务器采用选择“系统系统设置第三方服务”，单击“短信平台”页签，然后单击“创3-61iMasterNCE-Campus支持以下两种发送方式，具体使用哪种发送UTF-8GBKTIS-620URLTLSURL请求的HOST字段，如果不填，默认使用URLiMasterNCE-Campus将属性传递给短信平台，以便完成短信发送属性的格式为“属性名=属性值：由iMasterNCE-Campus定义，iMa