AC认证集中转发配置手册

BDCOM WSC6100-X128B配置说明书1引言1.1编写目的使读者能够较深的了解AC的每个配置项的意义及配置方法。

1.2预期读者和阅读建议1.3参考资料《X》1.4缩写术语2ACWEB登陆用网线连接PC和AC本地管理口，修改本地连接为自动获得IP地址；在浏览器地址栏中输入AC的IP地址后回车，弹出如下登陆界面：输入正确的用户名、口令后及验证码后，点击按钮即可登陆ACWEB管理界面，如下图所示：左侧栏为导航栏，点击配置树的相应节点可进入相关的配置界面，配置树主要分为四项配置内容，分别是：系统配置，系统管理，运行信息查询，WEB服务管理。

右侧为主显示窗口，可使用多标签页方式来显示当前的配置界面。

默认有【基本信息预览】和【快速配置向导】和【高级配置向导】三个标签页。

【基本信息预览】可查看当前AC概要信息，接入AP信息，接入用户信息，系统告警列表，AP设备管理，AP动态信息，用户注销的信息。

【快速配置向导】为主要开局配置项的快捷方式，如下图所示。

按按钮后弹出如下页面：此时设备的默认ESSID：bdcomGeneric加密方式修改成了WEP形式。

【高级配置向导】为主要开局配置项的快捷方式，如下图所示。

步骤一：AC端口IP配置在航栏中选择【步骤一：AC端口IP配置】，进入如下视图：选中条目点击按钮可修改该端口配置，点击按钮可刷新该端口配置。

选中要修改的端口类型，单击按钮或双击要配置的条目，弹出视图如下：可以修改接口配置：修改IP地址配置和地址池配置。

当启动DHCP服务时，就会在DHCP地址池配置中默认增加个名称为POOL_LAN0网关为192.168.0.1的一个地址池。

查看接口状态：步骤二：配置DHCP在导航栏中选择【步骤二：配置DHCP】进入如下视图：默认有两个条目AC分给AP的地址池POOL_LAN0,AP分给STA的地址池POOL_VLAN0。

具体如下：步骤3：无线业务(ESS)配置在的导航栏中选择【步骤3：无线业务(ESS)配置】，进入如下界面：如果AP是W AP2100-K机器默认的ESSID是bdcombdcom-wap2100-k;如果AP是W AP2100-SK机器默认的ESSID是bdcombdcom-wap2100-sk;如果不是这两种机型，默认的ESSID是bdcomGeneric。

AC认证集中转发配置手册AC认证集中转发配置手册前言：AC认证集中转发模式，也就是说无线用户的业务通过AC 转发，同时AC做认证客户端，和认证服务器通信。

那么该模式下又分二层组网、三层组网、NAT组网。

1、集中转发AC认证二层组网1.1、典型组网结构图1.2、根据上述网络拓扑图，对应AC的配置信息如下：AC界面的话会有配置向导信息，如下：操作1:AC端口配置下行口（下联AP端口类型配置）上行口（业务wan口类型配置）操作2：VLAN配置操作3：AC端口IP配置（AC端口的首地址配置，配置后AC会自动重启，请注意）。

AC端口添加其他地址配置：操作4：DHCP地址配置（注意：AP的地址池网关必须是fitlan 端口地址，STA的地址池网关必须是l2wan端口地址）操作5：创建AP信息创建AP信息资源前，确定AP的设备类型，可以在未注册AP信息里查看，确认完AP的设备类型后，在去创建AP资源信息，选择对应的设备类型，AC发现方式选默认就行。

操作6：WLAN服务配置操作7：认证配置免认证开关启用AAA服务器配置，NAS-IP为ACL3WAN口IP地址（AAA服务器信息，根据实际情况填写）PORTAL服务器配置（portal服务器根据实际情况填写）2、集中转发AC认证三层组网2.1、三层组网，AP地址由三层交换机来分配。

三层交换机开启option43功能，option43字段写ACfitlan的ＩＰ地址。

拓扑图如下：2.2、根据上述拓扑图，对应AC的配置信息如下：AC端口、IP、VLAN、认证配置、用户DHCP地址池配置如上二层组网截图，AP地址池关闭就行。

2.3、三层组网，AP地址由ＡＣ来分配。

三层交换机下联ＡＰ端口做DHCPreleay功能，指向AC的fitlan端口IP地址。

拓扑图如下：2.4、根据上述拓扑图，对应AC的配置信息如下：AC端口、IP、VLAN、认证配置、用户DHCP地址池配置如上二层组网截图，开启AP的DHCP 地址池，并在地址池上开启option43功能。

配置手册集客网关AC V3文档版本：V1.0版权声明copyright©2018集客科技保留对本文档及本声明的一切权利。

未得到集客科技的书面许可，任何单位和个人不得以任何方式或形式对本文档的部分内容或全部进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

GECOOS为集客科技的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

免责声明您所购买的产品、服务或特性等应受商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，集客科技对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

集客科技保留在没有任何通知或者提示的情况下对文档内容进行修改的权利。

本手册仅作为使用指导。

集客科技在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。

感谢您选择我们的产品！阅读此说明书有益于配置、管理和维护本产品，祝您使用愉快！读者对象本书适合下列人员阅读●网络工程师●技术推广人员●网络管理员技术支持●集客科技官方网站：●●QQ交流群：53177852●集客科技技术支持与反馈信箱：*****************本书约定●本手册部分举例的显示信息中可能含有其它产品系列的内容（如产品型号、描述等），具体显示信息请以实际使用的设备信息为准。

●本手册所说的网关是指“集客网关AC”。

1默认参数 (8)2网关设置 (8)2.1网关登录 (8)2.1.1控制台登录管理 (8)2.1.2WEB登录管理 (9)2.1.3网口绑定 (9)2.1.4DNS参数 (10)2.1.5内网设置 (11)2.1.6VLAN管理 (12)2.1.7PPTP客户端 (12)2.1.8网口状态 (13)2.2AC控制器 (13)2.2.1基本设置 (14)2.2.2模板列表 (14)2.2.3无线AP列表 (15)2.2.４接入点列表 (16)2.2.５用户列表 (17)2.2.６黑白名单 (17)2.2.７状态统计 (18)2.3热点运营 (18)2.3.1基础设置 (18)2.3.3黑名单MAC (19)2.3.4认证列表 (20)2.3.5认证日志 (20)2.4路由管理 (21)2.4.1静态路由 (21)2.4.2多线路由 (21)2.4.3默认路由 (22)2.5应用服务 (23)2.5.1DHCP服务 (23)2.5.2DNS代理 (24)2.5.3动态DNS (25)2.6访问控制 (25)2.6.1IPMAC绑定 (25)2.6.2端口映射 (26)2.6.3NET转换 (26)2.6.4单机限速 (27)2.7系统管理 (27)2.7.1系统管理 (27)2.7.2备份修复 (28)2.7.3升级管理 (28)2.7.4重启关机 (29)2.8系统工具 (30)2.8.1PING测试 (30)2.8.2子网计算 (30)2.8.3网络抓包 (31)2.8.4日志分析 (31)2.8.5系统注册 (32)2.9状态监控 (32)2.9.1主机监控 (32)概述集客网关AC：集路由、AP管理、营销认证、流量控制等功能为一体智能网关。

集中转发or本地转发如何选择2017年8月16日背景介绍大家都知道我们在选型的时候选控制器，本地转发和集中转发可以管理的AP数量不同，那就看我们选哪一种数据转发模式。

在无线项目中，经常有用户会问，集中转发和本地转发对我的应用有什么影响？其实，用户很多时候并不关心技术细节，他们更关心应用体验。

所以，用一堆先进的技术理论把用户讲晕，不如先告诉他，哪种方式能够让他的价值最大化。

AC加瘦AP的组网方案已经成为主流的无线局域网组网模式，而所谓的集中转发和本地转发就是基于这种方案提出的两种流量转发模型。

集中转发，就是所有的数据都要发到AC集中处理后由AC再转发出去，而本地转发，则数据不需要经过AC，而是由AP就近转发出去了。

那么我们就来看看集中转发能带给用户什么价值。

集中转发带给客户什么价值？1．简化部署方式，实现即插即用因为数据集中由AC处理，网络中的交换机只需要负责把数据转发到AC就可以，所以配置更改和网络扩容的时候，交换机都不需要做任何操作，只需在AC上做配置。

举例来讲，如果无线业务增加了一个SSID，集中转发模式下只需在AC上做操作，而本地转发模式下，需要在每一台接入交换机上做相应的配置修改。

对已经部署有线网络的用户来讲，如果想增加无线网络，采用集中转发方式对原有网络没有任何影响，不需要改变网络结构。

2．可三层漫游，提升上网体验因为数据集中由AC处理，当用户在多个AP间漫游时，可以由AC统一协调，保证用户漫游后数据转发正常进行，而在本地转发模式下，如果漫游后用户到了另外一个VLAN 中，势必要改变IP地址，造成用户的应用中断，从而影响无线上网体验。

3．对数据进行集中分析，让无线数据可视、可控，提高网络利用效率，并增加网络安全性。

IP网络中从来都不缺少各种攻击，而内部攻击比外部攻击对网络的危害更大，增加了无线设备的IP网络，又增加了安全隐患。

因为攻击者可以很方便地探测到无线信号，可以比有线方式更容易地接入到网络中。

开局指导手册目录前言 (3)1. 控制台的使用 (3)1.1 登陆AC的GUI控制界面 (3)1.2 串口登陆AC的CLI界面 (4)2.配置AP和AC关联的几个步骤 (5)3.本地转发配置案例 (7)3.1 二层组网方式 (8)3.1.1 组网图和说明 (8)3.1.2 配置步骤 (8)3.2 三层组网方式 (14)3.2.1 组网图和说明 (14)3.2.2 配置步骤和说明 (14)4.集中转发配置案例 (17)4.1 集中式AC上总结用户网关 (18)4.1.1 组网图和说明 (18)4.1.2 配置步骤和说明 (18)4.2 集中式二层透传至bras设备 (20)4.2.1 组网图和说明 (20)4.2.2 配置步骤 (20)5. vrrp的配置案例 (22)5.1 旁挂式本地转发vrrp组网方式 (23)5.1.1 组网图和说明 (23)5.1.2 配置步骤 (23)5.2 核心式集中式vrrp组网方式 (25)5.2.1 组网图和说明 (25)5.2.2 配置步骤 (25)6. portal的相关配置 (26)6.1 单portal/radius的配置 (27)6.1.1 组网图和说明 (27)6.1.2 配置步骤 (27)6.2 多portal/radius的配置 (29)7 配置案例 (31)7.1 组网图和说明 (31)前言手册内容本手册以7605为例进行配置。

内容包括控制台使用，本地转发和集中转发组网示意图，配置AP和AC关联的几个步骤，本地转发配置，集中转发配置和案例。

适用于现场开局人员阅读。

1. 控制台的使用1.1 登陆AC的GUI控制界面AC支持HTTP登陆，使用HTTP协议的标准端口。

初始登陆地址URL为：http：//192.168.0.1首先为本机配置一个192.168.0.X网段的ip地址，然后再IE浏览器中输入默认登陆ip http：//192.168.0.1，出现如下登陆页面。

H3C _AC常用配置操作指令说明常用命令:一、dis wlan ap all (查看所有 AP 的状态)如图：二、dis wlan ap all add (查看所有 AP 的名称与其对应的 mac-add) 如图：三、dis wlan client (查看总接入用户数以及所接入的业务vlan)如图：Ip地址显示4个0时表示该用户正在获取或因客户端操作不当无法获取到IP四、dis wlan client ap ap_name（查看某具体 AP 的接入用户数）EX:dis wlan client ap ydmzl_02_01 （查看 AP 为 ydmzl_02_01 的接入用户数）如图：五、dis dhcp server ip-in-use all (查看所有 AP 的 ip 分配情况)说明:命令输入后第四列为 TYPE 此有 2 种类型（MITTED 和 OFFERED ）其中 MITTED 为 dhcp 已顺利分配给 AP ip、OFFERED 为 dhcp 没有顺利分配给 AP ip（该状态AP无法上线）如图:六、dis dhcp server ip-in-use pool pool_name (查看某个具体地址池的 ip 分配情况) EX:dis dhcp ser ip-in-use pool vlan502---查看 vlan502 这个地址池的 ip 分配情况如图：七、地址池命名规则:热点所在的 vlan 多少就命名为 vlan_vlan_NO.(地址池之间没有如何分隔号)EX:vlan 110 地址池就为 vlan110vlan 112 地址池就为 vlan112注：以上命名方式是为以后排障方便,地址池名称没有特定的命名方式八、dis vlan：查看已作分配的 vlan九、AP配置：AP配置方式>>>Wlan ap ap_name model xxxxxx （ap_name为给某AP自行命名,AP型号需根据现场安装AP 来定）serial-id xxxxxxxxxxxxx （AP的序列号,在AP面板上可找到）radio 1（射频>>>射频个数视AP型号而定）service-template 1 vlan xxx （服务模板1,后接服务模板1的业务vlan）service-template 2 nas-id xxxxxxxx （服务模板2,后接服务模板2的热点nas-id）（服务模板添加个数视情况而定,可1个可多个,该服务模板目前医大未使用,可不配置）radio enable（射频开启）医大附一服务模板1及所绑定的接口wlan-ess0配置的配置：医大附一服务模板2及所绑定的接口wlan-ess0配置的配置：补充（排障）：若AP掉线,①查看该AP的mac是否可以在AC上学到,dis mac-add x.x.x.x,若可学到,则找出其获取的IP地址dis arp,然后长ping 该IP地址ping –c 100 x.x.x.x（ping100个包）若出现掉包情况,则可判断网线水晶头出现故障,需重新整改水晶头②若在AC上无法查到某掉线AP的mac,则可判断,该AP连接交换机的网线端出现松动,重新插好后一般便可正常上线,若无法上线,循环①点进行排查③若以上2点都无法解决问题,最直接排除方法,把该故障AP直接用可用网线插在交换机上排查AP是否出现问题,若有则更换AP,若没有则可判断连接该AP的网线存在问题④。

AC操作指导手册京信通信系统（中国）有限公司2011-5目录1、3U设备的安装 (4)1.1 环境和安全要求 (4)a) 接地要求 (4)b) 防静电要求 (4)c) 抗干扰要求 (4)1.2 安装工具 (4)1.3 电源线配置 (4)1.4 电源线、地线安装步骤与示意图 (5)a) 安装步骤 (5)b) 安装示意图 (5)2 2U设备换3U，更换步骤 (6)2.1 2U机箱 (6)2.2 3U机箱 (6)3 版本升级 (7)3.1配置保存及备份 (7)a) Web页面保存及备份 (7)b) 命令行模式备份配置 (8)3.2版本升级 (8)3.3配置导回 (9)4 开局前所需资源 (10)4.1 集中转发： (10)IP 地址资源： (10)Vlan 资源： (10)物理接口资源： (11)NAS-ID： (11)认证系统资源： (11)网管trap-server 的资源： (11)4.2 本地转发 (11)IP地址资源： (12)VLAN资源： (12)网管trap-server的资源： (12)5 集中转发和本地转发原理 (12)5.1 集中转发原理 (12)a) AP发现AC过程： (13)b) 用户数据 (13)5.2 本地转发原理 (14)a) AP发现AC过程： (14)b) 用户数据 (14)6 AP版本升级 (14)1）WEB 升级步骤 (14)2）TFTP 升级步骤： (15)7 典型的三层集中转发双portal配置案例 (17)7.1 设置AC名称及NTP服务器地址 (17)7.2 定义端口，定义完毕需保存配置、重启后生效 (17)7.3 设置瘦AP端口IP地址 (18)7.4 创建业务VLAN、NAS-ID及WAN口绑定VLAN（tag与untag取决于对端的端口设置） (18)7.5 创建和启用虚接口 (19)7.6 创建AP及用户的DHCP地址池 (19)7.7 设置静态路由 (20)7.8 设置主AC的心跳口地址 (21)7.9 设置虚拟路由ID及IP地址 (21)7.10 WEB认证设置 (22)7.11 RADIUS设定 (23)7.12 认证前白名单设置 (23)7.13 高级设置选项，如下图： (24)7.14 远程管理设置 (24)7.15 防火墙设置 (25)7.16 添加AP模板 (26)8 N+1备份机制及配置 (29)8.1N+1备份运行机制介绍： (29)8.2 N+1备份配置 (31)1.瘦ap端口ip地址的设定 (31)4.心跳口可以单独连接，与瘦AP端口物理隔绝 (34)9 常见故障排查指导 (34)9.1客户端故障： (34)9.2 AC或AP故障排查汇总： (39)10 WLAN AC运维指导 (41)10.1 衡量无线控制器健康状况的主要数据： (41)10.1.1瘦AP列表 (41)10.1.2 CPU使用率 (43)10.1.3内存使用率 (44)10.1.4 磁盘使用率 (48)10.1.5 TCP/IP网络信息 (48)10.1.6 模块信息 (50)10.1.7 系统进程信息 (51)10.1.8 系统运行时间 (52)1、3U设备的安装1.1 环境和安全要求a) 接地要求用户必须为设备提供良好的接地系统。

DCN无线常见应用场景AC配置流程及规范V1.2技术中心2016-6-13前言读者对象本用户手册的编写主要针对WLAN开通时现场工程师在实际工程AC配置环节的流程指导，适用DCN各型AC 设备。

本手册需要读者有以太网通信基础，熟悉计算机网网络和无线局域网的组建，熟悉局域网和无线局域网的常见概念和术语。

内容介绍本手册详细介绍了常见应用场景下DCN 无线控制器的业务开通流程，是现场工程师了解设备开通步骤并顺利完成AC开通部署的指导文档。

文档总体共分为四个部分：第一部分推荐场景介绍第二部分推荐场景配置流程图第三部分推荐场景流程图说明第四部分常见场景差异分析获取技术支援全国售后服务热线：400-810-9119修订记录目录前言 (2)修订记录 (3)目录 (4)1. 推荐场景介绍 (5)2. 推荐场景配置流程图 (6)3. 推荐场景流程图说明 (7)3.1 AC上电检查 (7)3.1.1 AC版本检查 (7)3.1.2 AC所支持AP类型检查 (7)3.1.3 AC无线授权导入 (8)3.1.4 AC所支持AP数量检查 (9)3.2 AC端口配置 (10)3.2.1 端口类型配置 (10)3.2.2 端口IP配置 (11)3.3路由配置 (12)3.4 无线管理配置 (12)3.4.1设置静态无线管理IP (12)3.4.2 AP认证方式设置 (12)3.4.3防AP上线攻击功能设置 (13)3.5 AP profile配置 (13)3.5.1创建AP基本模板 (13)3.5.2 Network基本配置 (14)3.5.3 Radio基本配置 (15)3.5.4无线终端隔离 (15)3.6 映射AP的profile (16)3.7 下发AP profile操作 (17)3.8 与外置RADIUS对接配置（选配） (17)3.9 Captive portal配置（选配） (18)3.9.1认证类型选择 (18)3.9.2白名单配置 (19)3.9.3 Captive Portal实例（configuration）配置 (19)3.10与网管对接配置（选配） (20)3.10.1 SNMP配置 (20)3.10.2 Trap配置 (20)3.10.3相关开关开启/关闭 (21)4. 推荐场景其他设备配置说明 (22)4.1 DHCP配置 (22)4.1.1 用户的DHCP配置 (22)4.1.2 AP的DHCP配置 (22)4.2 交换设备数据配置汇总 (23)5. 常见场景差异分析 (23)5.1集中转发场景 (23)5.2其他类型portal认证场景 (24)1.推荐场景介绍无线组网推荐AC旁挂核心交换机，仅做AP控制器为优，兼做NAS设备次之。

深信服AC使用说明
默认内网地址登陆：https://10.50.66.53（可修改）
默认管理账号：Admin（注意大小写）
密码：Admin（注意大小写）
1、增加用户
2、在default组下添加用户：选取default，点击新增。

本地密码勾选、允许多人同时使用该账户、允许修改本地密码
3、 新增上网权限策略
勾选应用控制，点击增加，
勾选要的应用
4、新增时间计划组
5、在用户组中选中需要管理的组，点击策略列表，勾选需要的策略
6、并发连接数控制：点击新增流量配额与时长控制
7、修改配置的网段、网关
8、查看日志信息，在界面右上角点击内置数据中心
（1）无需密码认证
（2）需要密码认证
认证界面如下
如果与IP地址绑定，在非绑定的IP地址使用账户登录后会进入如下页面：。

锐捷无线AC配置手册21.1理解Web认证21.1.1Web认证概述Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行接入认证。

未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。

当用户需要使用互联网中的其它信息时，必须在Web认证服务器进行认证，只有认证通过后才可以使用互联网资源。

如果用户试图通过HTTP 访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称作强制认证。

Web认证可以为用户提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等。

21.1.2Web认证基本概念Web认证的基本概念主要有HTTP拦截、HTTP重定向。

21.1.2.1HTTP拦截HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来，不进行转发。

这些HTTP报文是连接在接入设备的端口下的用户所发出的，但目的并不是接入设备本身。

例如，某用户通过IE浏览器上网，接入设备本应该将这些HTTP请求报文转发到网关的，但如果启动HTTP拦截，这些报文可以不被转发。

HTTP拦截之后，接入设备需要将用户的HTTP连接请求转向自己，于是接入设备和用户之间将建立起连接会话。

接入设备将利用HTTP 重定向功能，将重定向页面推送给用户，用户的浏览器上将弹出一个页面，这个页面可以是认证页面，也可以是下载软件的链接等等。

在Web认证功能中，连接在哪些物理端口下、哪些用户所发出的到哪个目的端口的HTTP报文需要进行拦截，哪些不需要，都是可以设置的。

一般地，未经过认证的用户发出的HTTP请求报文会被拦截，已通过认证的用户将不被拦截。

HTTP拦截是Web认证功能的基础，一旦发生了拦截，就会自动触发Web认证的过程。

21.1.2.2HTTP重定向根据HTTP协议规定，正常情况下，用户的浏览器发出HTTP GET 或HEAD请求报文后，如果接收一方能够提供资源，则以200报文响应，如果本地不能提供资源，则可以使用302报文响应。

三层集中转发原理
拓扑图
一、AP通过DHCP的option 43选项发现AC
1、瘦AP的有线端口作为dchp client，在192.168.101.0/24子网内广播发送的dhcp请
求。

2、路由器上配置dhcp server，地址池为：192.168.101.0/24网段，网关192.168.101.1
（路由器上的接口），option 43字段为：厂商代码+瘦AP端口地址（192.168.100.1）。

3、当瘦AP获取地址后，会通过option43字段的地址来寻找AC。

AP的发现请求通过
路由到达AC。

4、AC收到AP的发现请求后给AP发送响应报文。

5、AP收到响应报文后，主动向AC发送加入请求，中间经过数据加密。

6、AC收到加入请求后，判断AP是否合法，并对AP认证，认证通过后，将AP加到
在线列表中，并向AP发送加入成功的响应报文。

二、用户数据
1、AP成功关联上AC后，用户向互联网发送数据。

2、用户的数据包通过ip in ip的方式被封装到原IP为AP的ip，目的IP为AC瘦AP
端口（LAN口）的UDP数据报中，发送到AC。

3、UDP数据报到达AC后，进行解封装，还原得出原IP为用户的ip，目的ip为访问
网络的ip。

4、用户数据通过W AN口路由到达路由器，再出Internet。

华三集中转发方案v1.1华三集中转发组网方案1、背景根据集团公司要求，山东公司后续新增AP/AC采用集中转发方式组网，原已入网本地转发AP/AC组网方式保持不变。

2、组网总体要求采用集中转发方式组网，新增AC应串接于BRAS和城域数据网汇聚交换机之间1)2台新增交换机只起二层汇聚作用、并启用堆叠功能；透传BRAS主备VRRP心跳安全性2)AC上联口连接汇聚SW,AC与BRAS之间采用二层组网3)AP将用户数据打包在隧道中，通过路由转发给AC，AC为热点配置相关的业务VLAN、二层透传给BRASAC应采用1+1组网或N+1组网(N<=2)。

为节约BRAS端口资源、实现相关安全备份，需新增AC汇聚交换机对AC 进行汇聚。

新增交换机通过管理VLAN（vlan80）定义管理IP地址进行管理，分配私有地址，在CMNET私有地址中的“CMNET 城域网设备管理地址段”中分配；BRAS对这个互联地址段进行network即可。

1对AC汇聚交换机上行与BRAS采用口字型连接方式；AC汇聚交换机需采用堆叠技术(避免环路)，下行与每台AC交叉连接；考虑BRAS单端口终结VLAN数量有限，原则上1对AC汇聚交换机负责接入的AP数量应控制在3500个以下。

每对AC汇聚交换机与BRAS终期链路带宽配置为2*GE（到每台BRAS 一个GE）。

集中转发情况下的业务VLAN：同1对汇聚交换机下的业务VLAN 需唯一，不同对汇聚交换机间业务VLAN可以复用注：华三、思科AC本身即基于交换机架构增加AC管理板卡，所以可以不必增加AC汇聚交换机3、AC上行组网AC N+1组网模式下，每台AC上行分别与1对AC汇聚交换机采用交叉连接；AC上行链路应采用链路聚合技术，避免组网环路。

AC 1+1组网模式下，具备条件的，建议每台AC上行分别与1对AC汇聚交换机采用交叉连接；AC上行链路应采用链路聚合技术，避免组网环路。

AC 1+1组网模式下，若主用AC上行链路down时主备AC能够切换，2台AC上行与1对AC汇聚交换机可采用口字型连接。