03-WLAN服务配置
本章节下载 (1.12 MB)
目 录
1.12.1 AP通过DHCP Option43方式注册典型配置举例(WX系列无线控制产品适用)
1.12.2 AP通过DNS方式注册典型配置举例(WX系列无线控制产品适用)
1.13.1 WLAN服务典型配置举例(WX系列无线控制产品适用)
1.13.2 WLAN AP 自动发现配置举例(WX系列无线控制产品适用)
1.13.3 CAPWAP双链路配置举例(WX系列无线控制产品适用)
1.13.4 802.11n配置举例(WX系列无线控制产品适用)
1.14.1 用户接入AP控制配置举例(WX系列无线控制产品适用)
1.14.2 AC间漫游用户接入AP控制配置举例(WX系列无线控制产品适用)
本手册中标有“请以设备实际情况为准”的特性描述,表示WX系列无线控制产品的各型号对于此特性的支持情况不同,具体差异请参见“特性差异化列表”的“特性支持情况”章节。
WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,维护的成本低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供无线局域网服务,服务内容包括:
l 应用具有无线局域网功能的设备建立无线网络,通过该网络,用户可以连接到固定网络或因特网。
l 无线用户可以访问传统802.3局域网。
l 使用不同认证和加密方式,安全地访问WLAN。
l 为无线用户提供安全的网络接入和移动区域内的无缝漫游。
(1) 客户端
带有无线网卡的PC或便携式笔记本电脑等终端。
(2) AP(Access Point,接入点)
AP提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。
(3) AC(Access Controller,无线控制器)
无线控制器对无线局域网中的所有AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息,来为WLAN用户提供认证服务。
(4) SSID
SSID(Service Set Identifier,服务组合识别码),客户端可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络。
(5) 无线介质
无线介质是用于在无线用户间传输帧的介质。WLAN系统使用无线射频作为传输介质。
(6) 分离MAC
在分离MAC模式中,AP和AC负责管理不同的功能。
AP管理实时任务,如信标生成、探查回应、电源管理、报文缓存、报文分片和分片重组、调度、排队。AC管理的任务包括:分发、集成、关联、解除关联、重新关联、密钥管理、802.1x和EAP、调度及802.11e分类。
无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网。整个过程如图1-1所示。
无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围AP发送的Beacon(信标帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个探测请求帧(Probe Request帧),通过收到探查响应帧(Probe Response)获取网络信号。
无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息。
(1) 主动扫描
无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
l 客户端发送Probe Request帧(SSID为空,也就是SSID IE的长度为0):客户端会定期地在其支持的信道列表中,发送探查请求帧(Probe Request)扫描无线网络。当AP收到探查请求帧后,会回应探查响应帧(Probe Response)通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端主动扫描方式的过程如图1-2所示。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
l 客户端发送Probe Request(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送探查请求帧(Probe Request)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探查响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如图1-3所示。
图1-3 主动扫描过程(Probe Request携带指定的SSID为“AP 1”)
(2) 被动扫描
被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息。当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。被动扫描的过程如图1-4所示。
为了保证无线链路的安全,接入过程中AP需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
l 开放系统认证
l 共享密钥认证
关于两种认证的详细介绍请参见“WLAN配置指导”中的“WLAN安全”。
如果用户想接入无线网络,必须同特定的AP关联。当用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求。AP会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功。通常,无线终端同时只可以和一个AP建立链路,而且关联总是由无线终端发起。
(1) 解除认证
解除认证用于中断已经建立的链路或者认证,无论AP还是无线终端都可以发送解除认证帧断开当前的链接过程。无线系统中,有多种原因可以导致解除认证,如:
l 接收到非认证用户的关联或解除关联帧。
l 接收到非认证用户的数据帧。
l 接收到非认证用户的PS-Poll帧。
(2) 解除关联
无论AP还是无线终端都可以通过发送解除关联帧以断开当前的无线链路。无线系统中,有多种原因可以导致解除关联,如:
l 接收到已认证但未关联用户的数据帧。
l 接收到已认证但未关联用户的PS-Poll帧。
AC的WLAN-MAC功能主要包括实现IEEE 802.11协议MAC层功能。MAC模式包括:
l 本地MAC架构
l 分离MAC架构
在本地MAC架构中,大部分功能由AP单独实现。目前,我司AC不支持本地MAC架构。
在分离MAC架构中,AP和AC负责管理不同的功能。
CAPWAP(Controlling and Provisioning of Wireless Access Point,无线接入点控制与供应)协议定义了无线接入点(AP)与无线控制器(AC)之间如何通信,为实现AP和AC之间的互通性提供一个通用封装和传输机制,如图1-5所示。
图1-5 CAPWAP示意图
CAPWAP同时运行在AP和AC上,为WLAN系统提供安全的AC与AP之间的通信。AP与AC之间的通信依照标准UDP客户端/服务器端模型来建立。
CAPWAP提供数据隧道来封装发往AC的数据包。这些数据包可以是802.11协议的数据包。CAPWAP还支持AC的远程AP配置、WLAN管理和漫游管理。
在AC上,CAPWAP提供了AP管理功能。AC可以根据管理员提供的信息动态地配置AP。
在IP网络中CAPWAP使用UDP协议作为承载协议,并支持IPv4和IPv6协议。
为了实现无线控制器的备份,AP需要与两个无线控制器分别建立信道链接。这两台无线控制器之间为主备份的关系,且对于需要提供服务的同一AP,其AP视图下的配置必须保持一致。处于主用状态的无线控制器负责为所有AP提供服务,而备用无线控制器为主用无线控制器提供备份。通过心跳检测机制,当主用无线控制器失效时,备用无线控制器可立即检测到该主用无线控制器的异常,并成为新的主用无线控制器,保证无线服务不会中断。
图1-6 双链路连接
上图中,AC 1与AC 2为主备热备份的两台无线控制器。AC 1工作在主用状态,并为AP 1、AP 2、AP 3及AP 4提供服务;AC 2工作在备用状态,各AP通过备用信道链路连接到AC 2。通过配置,使两台无线控制器启动主备心跳检测。当检测到AC 1出现故障后,AC 2的工作状态立即由备用转为主用;通过备用信道连接到AC 2的AP将该备用信道转换为主用信道,使用AC 2作为主用无线控制器。当AC 1恢复连接后,AC 1保持在备用状态。
图1-7 Primary AC支持双链路连接
图1-7中,作为Primary AC的AC 1是主AC(通过命令行配置其优先级为7),给AP提供服务,AC 2作为备份AC,为AP提供备份链路。当AC 1出现故障时,在其恢复CAPWAP连接前,AC 2会成为主AC并为AP提供服务。当AC 1恢复CAPWAP连接后,作为Primary AC的AC 1会重新与AP建立连接,成为主AC。
图1-8 AC同时支持两种工作状态
一个AC可以同时提供主备份连接。在图1-8中,AC 1与AP 1建立主用链路,同时为AP 2提供备份链路。类似的,AC 2与AP 2建立主用链路,同时为AP 1提供备份链路。
采用AC的集中式WLAN管理有以下几种拓扑:
l 单一/多BSS
l 单一/多ESS
l 基于VLAN的WLAN
l 集中式WLAN系统
一个AP所覆盖的范围被称为BSS(Basic Service Set,基本服务集)。每一个BSS由BSSID来标识。最简单的WLAN可以由一个BSS建立,所有的无线客户端都在同一个BSS内。如果这些客户端都得到了同样的授权,那么他们就可以互相通信。图1-9为单一BSS网络组网示意图。
在相同逻辑管理域下的所有客户端组成一个ESS(Extended Service Set,扩展服务集)。这些客户端可以互相访问,也可以访问网络中的主机。属于同一BSS的客户端之间的通信由AP和AC实现。
使用多个BSS可以通过添加AP简单实现。
多ESS拓扑结构用于网络中存在多个逻辑管理域(即ESS)的情况。当一个移动用户加入到某个AP,它可以加入一个可用的ESS。图1-10为多ESS网络组网示意图。
通常,AP可以同时提供多个逻辑ESS。ESS的配置主要从AC下发给AP,AP通过发送信标或探查响应帧,在网络中广播这些ESS的当前信息,客户端可以根据情况选择加入的ESS。
在AC上,可以配置不同的ESS域,并可以配置当这些域中的用户通过身份认证后,允许AP通告并接受这些用户。
在单一ESS中,客户端都加入到一个ESS中。
集中式WLAN系统在逻辑上为无线局域网提供了单独的解决方案。图1-11为WLAN系统运行的组网示意图。
如图1-11所示,该WLAN系统中有两个AC和三个AP。AP可以直接连接到AC上,也可以通过二层或三层网络连接到AC上。。
在初始阶段,AP从DHCP服务器获取到网络基本配置参数,如IP地址、网关、域名和DNS服务器地址等。
AP运用发现机制来识别AC,如果AP使用单播发现机制,AP可以请求DNS服务器提供AC的网络地址。操作流程如下:
(1) 无线客户端与网络中的AP关联,从而与其它无线客户端进行通信。
(2) AP与AC通信来对无线客户端进行认证。
(3) AC使用认证服务器来验证无线客户端身份。
一旦无线客户端通过认证并与AP关联成功,就可以使用授权的WLAN服务并与其它的无线客户端及有线设备进行通信。
l ANSI/IEEE Std 802.11, 1999 Edition
l IEEE Std 802.11a
l IEEE Std 802.11b
l IEEE Std 802.11g
l IEEE Std 802.11i
l IEEE Std 802.11-2004
表1-1 WLAN服务配置任务简介
配置任务 |
说明 |
详细配置 |
使能WLAN服务 |
必选 |
|
配置国家码 |
必选 |
|
配置软件自动升级 |
可选 |
|
配置服务模板 |
必选 |
|
配置AP |
必选 |
|
配置AP自动发现 |
可选 |
|
配置CAPWAP支持双链路 |
可选 |
|
配置射频参数 |
必选 |
|
配置射频策略/接口 |
必选 |
|
配置802.11n |
可选 |
表1-2 使能WLAN服务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能WLAN服务 |
wlan enable |
必选 缺省情况下,WLAN服务处于使能状态 |
国家码用来标识使用射频所在的国家,它规定了射频特性,如功率和可用于帧传输的信道总数。在配置设备之前,必须配置有效的国家码或区域码。
表1-3 配置国家码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置国家码 |
wlan country-code code |
必选 缺省情况下,国家码为CN |
关于国家码和国家的对应关系表请参见“WLAN命令参考”的“WLAN服务”模块。
FIT AP为零配置设备,该设备在上电后可以自动发现AC,但缺省情况下要求FIT AP和AC软件版本配套。在AC上通过配置软件自动升级命令,可以关联FIT AP和AC的软件版本,升级AC版本后,不再需要网管人员升级FIT AP设备版本。
表1-4 配置软件自动升级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置软件自动升级 |
wlan apdb model-name hardware-version software-version |
可选 缺省情况下,软件版本为初始驱动时的版本,即要求FIT AP设备和AC设备软件版本一致 |
WLAN服务模板包括一些属性,如SSID、绑定的WLAN-ESS接口和认证算法(开放系统认证或共享密钥认证)。
服务模板有两种类型:明文模板(clear)和密文模板(crypto)。
表1-5 配置服务模板
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定WLAN接口并进入WLAN-ESS接口视图 |
interface wlan-ess interface-index |
- |
退出接口视图 |
quit |
- |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
- |
配置SSID |
ssid ssid-name |
必选 |
配置信标帧不通告SSID |
beacon ssid-hide |
可选 缺省情况下,信标帧通告SSID |
将WLAN-ESS和服务模板绑定 |
bind wlan-ess interface-index |
必选 |
配置本地转发功能 |
client forwarding-mode local [ vlan vlan-id-list ] |
可选 |
选择认证方式 |
authentication-method { open-system | shared-key } |
必选 共享密钥认证模式请参见“WLAN安全配置” |
指定在同一个射频下,某个SSID下的关联客户端的最大个数 |
client max-count max-number |
可选 缺省情况下,最多可以关联64个客户端 |
使能服务模板 |
service-template enable |
必选 缺省情况下,关闭服务模板 |
明文类型的服务模板不可以改为密文类型,如果想将明文类型的模板改为密文类型,必须首先删除原有的服务模板,然后重新配置一个密文类型的服务模板,反之亦然。
AP用来建立无线客户端和AC之间的连接,AP通过射频信号同无线客户端建立连接,并通过上行接口连接到有线网络。
表1-6 配置AP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置AP名称和型号名称,并进入AP模板视图 |
wlan ap ap-name model model-name [ id ap-id ] |
只有在AP模板被创建时才定义模型编号 |
设置AP的位置 |
description text |
可选 |
配置AP的响应时间间隔 |
echo-interval interval |
可选 缺省情况下,响应时间间隔为10秒 |
限制AC向AP发送数据报文的速率 |
cir committed-information-rate [ cbs committed-burst-size ] |
可选 缺省情况下,不限制AC向AP发送数据报文的速率 |
配置AP名称 |
ap-name name |
可选 缺省情况下,没有设置AP名称 |
配置Jumbo帧的门限值 |
jumboframe enable value |
可选 缺省情况下,关闭Jumbo帧的功能 |
配置AP回复客户端发送的SSID为空的探测请求 |
broadcast-probe reply |
可选 缺省情况下,AP会回复客户端发送的SSID为空的探测请求 |
设置客户端的空闲时间 |
client idle-timeout interval |
可选 缺省情况下,客户端的空闲时间为3600秒 |
设置客户端的保活时间间隔 |
client keep-alive interval |
可选 缺省情况下,关闭客户端的保活功能 |
配置AC上AP连接的优先级 |
priority level priority |
可选 缺省情况下,AP连接优先级为4 |
配置与AC上AP的CPU阈值 |
cpu-usage threshold integer |
可选 缺省情况下,AP的默认CPU利用率阈值为90 |
配置与AC上AP的内存阈值 |
memory-usage threshold integet |
可选 缺省情况下,AP的默认内存利用率阈值为90 |
退出AP模板视图 |
quit |
- |
配置AC发现策略 |
wlan lwapp discovery-policy unicast |
可选 缺省情况下,发现策略类型为广播的方式 发现策略可以是单播或广播的形式,如果配置发现策略为单播形式,则广播发现报文将会被丢弃 |
使能WLAN射频 |
wlan radio { disable | enable } { radio-policy radio-policy-name | all | dot11a | dot11an | dot11b | dot11g | dot11gn } |
必选 缺省情况下,WLAN射频处于关闭状态 |
在AC上配置serid-id auto,并使能自动AP发现功能,AP就能够自动连接到AC上。在部署AP数量较多的无线网络时,自动AP发现功能可以简化配置,避免多次配置大量的AP序列号。
表1-7 配置AP自动发现
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置自动AP |
wlan auto-ap enable |
可选 使能自动AP配置功能 |
进入AP模板视图 |
wlan ap ap-name model model-name |
必选 只有在AP模板被创建时才定义模型编号 |
设置AP的序列号 |
serial-id auto |
必选 |
退出AP模板视图 |
quit |
- |
转换自动AP到配置的AP |
wlan auto-ap persistent { all | name auto-ap-name [ new-ap-name ] } |
可选 |
表1-8 配置CAPWAP支持双链路
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置全局备份AC的IP地址 |
wlan backup-ac { ip ipv4-address | ipv6 ipv6-address } |
可选 缺省情况下,没有配置备份AC的IP地址 如果在系统视图和AP模板视图下配置了相同参数,则不论配置先后,AP模板视图下的配置将被优先采用 |
进入AP模板视图 |
wlan ap ap-name model model-name |
必选 只有在AP模板被创建时才定义模型编号 |
为指定的AP配置备份AC的IP地址 |
backup-ac { ip ipv4-address | ipv6 ipv6-address } |
可选 缺省情况下,备份AC的IP地址为系统视图下配置的全局备份AC的IP地址 如果在系统视图和AP模板视图下配置了相同参数,则不论配置先后,AP模板视图下的配置将被优先采用 |
配置AC上AP连接的优先级 |
priority level priority |
可选 缺省情况下,AP连接优先级为4 当配置某一AC的优先级为7时,此AC成为Primary AC。此AC出现故障后又恢复连接时,会重新与AP建立连接,成为主AC |
在配置CAPWAP双链路备份时,两个无线控制器上对于需要提供服务的同一AP,其AP视图下的配置必须保持一致。否则当无线控制器的主备状态切换之后,无法保证AP设备工作正常。
该配置任务用来配置AP射频,包括配置射频类型、信道和最大功率。如果某个射频策略被映射到一个射频,则该射频继承在射频策略里配置的所有参数。
表1-9 配置AP射频
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AP模板视图 |
wlan ap ap-name model model-name |
- |
|
进入射频模板视图 |
radio radio-number [ type { dot11a | dot11an | dot11b | dot11g | dot11gn } ] |
必选 本命令的缺省情况与设备的型号有关,请以设备的实际情况为准 |
|
配置将服务模板映射到当前射频 |
service-template service-template-number [ vlan vlan-id ] |
必选 可以将多个服务模板映射到当前射频 |
|
配置信道 |
配置固定信道 |
channel channel-number |
可选 缺省情况下: l 使用自动选择信道模式,即auto模式 l 信道没有被锁定 命令行的使用注意事项请参见“WLAN命令参考”中的“WLAN服务” |
配置自动选择信道模式,在该模式下,可以配置锁定信道 |
channel auto |
||
channel lock |
|||
配置功率 |
设置射频的最大传输功率 |
max-power radio-power |
可选 缺省情况下: l 射频的最大功率和国家码、信道、AP型号、射频模式和天线类型相关,如果采用802.11n射频模式,那么射频的最大功率和带宽 模式也相关 l 功率没有被锁定 命令行的使用注意事项请参见“WLAN命令参考”中的“WLAN服务” |
锁定功率 |
power lock |
||
设置AP使用的前导码类型 |
preamble { long | short } |
可选 缺省情况下,支持短前导码 |
|
使能自动抗干扰(Adaptive Noise Immunity)功能 |
ani enable |
可选 缺省情况下,自动抗干扰功能处于使能状态 |
|
配置射频策略映射到当前射频 |
radio-policy radio-policy-name |
可选 缺省情况下,缺省射频策略default_rp映射到当前射频 在映射自定义射频策略前,需要使用wlan radio-policy命令创建自定义的射频策略 |
|
使能射频 |
radio enable |
必选 缺省情况下,关闭所有的射频 |
在射频策略下可以配置一系列的射频参数。如果将某个射频策略映射到某个射频(比如dot11b/g或dot11a),则该射频就继承在射频策略里配置的所有参数。
表1-10 配置射频策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个射频策略并进入射频策略视图 |
wlan radio-policy radio-policy-name |
- |
设置发送信标帧的时间间隔 |
beacon-interval interval |
可选 缺省情况下,发送信标帧的时间间隔为100TU(Time Unit,时间单位) |
设置信标帧的DTIM周期(Delivery Traffic Indication Message,数据待传指示信息) |
dtim counter |
可选 缺省情况下,counter值为1。DTIM周期是信标周期的counter倍 |
设置数据包无分片传输的最大包长 |
fragment-threshold size |
可选 缺省情况下,无分片传输的最大包长为2346字节 |
设置RTS(Request to Send,发送请求)的门限值 |
rts-threshold size |
可选 缺省情况下,RTS门限值为2346字节 |
设置帧长超过RTS门限值的帧的最大重传次数 |
long-retry threshold count |
可选 缺省情况下,帧长超过RTS门限值的帧的最大重传次数为4 |
设置帧长不大于RTS门限值的帧的最大重传次数 |
short-retry threshold count |
可选 缺省情况下,帧长不大于RTS门限值的帧的最大重传次数为7 |
设置AP保存接收到的数据包的时间间隔 |
max-rx-duration interval |
可选 缺省情况下,AP保存接收的数据包的时间间隔为2000毫秒 |
设置客户端的最大个数 |
client max-count max-num |
可选 缺省情况下,最多可以关联64个客户端 |
802.11n作为802.11协议族的一个新协议,支持2.4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的“接入速率”,802.11n提高通讯速率的手段主要在于增加带宽和提高信道利用率两个方面。
增加带宽:802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用(一个为主带宽,一个为次带宽,收发数据时既可以40MHz的带宽工作,也可以单个20MHz带宽工作),这样可将速率提高一倍,提高无线网络的吞吐量。
提高信道利用率:对信道利用率的提高举措主要体现在三个方面。
l 802.11n标准中采用A-MPDU聚合帧格式,即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时也减少了ACK帧的数目,从而降低了协议的负荷,有效的提高网络吞吐量。
l 802.11n协议定义了一个新的MAC特性A-MSDU,该特性实现了将多个MSDU组合成一个MSDU发送,与A-MPDU类似,通过聚合,A-MSDU减少了传输每个MSDU的MAC头的附加信息,提高了MAC层的传输效率。
l 802.11n支持在物理层的优化,提供短间隔功能。原11a/g的GI时长800us,而短间隔Short GI时长为400us,在使用Short GI的情况下,可提高10%的速率。
表1-11 配置802.11n
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP模板视图 |
wlan ap ap-name model model-name |
- |
进入射频模板视图 |
radio radio-number type { dot11an | dot11gn } |
- |
指定当前射频接口的带宽模式 |
channel band-width { 20 | 40 } |
可选 缺省情况下,11an类型的Radio接口的带宽工作在40MHz,11gn类型的Radio接口的带宽工作在20MHz |
使能只允许802.11n用户可以接入功能 |
client dot11n-only |
可选 缺省情况下,802.11an类型的接口可以允许802.11a用户接入;802.11gn类型的接口可以允许802.11b/g的用户接入 |
配置短间隔功能 |
short-gi enable |
可选 缺省情况下,Short GI功能处于使能状态 |
使能指定接口的A-MSDU功能 |
a-msdu enable |
可选 缺省情况下,802.11n模式下A-MSDU功能处于使能状态 |
使能指定接口的A-MPDU功能 |
a-mpdu enable |
可选 缺省情况下,在802.11n模式下A-MPDU功能处于使能状态 |
使能射频 |
radio enable |
必选 缺省情况下,所有的射频处于关闭状态 在使能射频前,必须完成MCS的配置,关于802.11n的基本MCS集和支持MCS集请参见“WLAN RRM配置” |
关于802.11n的基本MCS集和支持MCS集请参见“WLAN RRM配置”。
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN服务的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除WLAN服务的相关信息。
表1-12 WLAN服务的显示和维护
操作 |
命令 |
显示AP配置信息 |
display wlan ap { all | name ap-name } [ verbose | address | radio ] |
显示无线控制器支持的特定AP或所有AP模式信息 |
display wlan ap-model { all | name ap-name } |
显示AP的重启日志信息 |
display wlan ap reboot-log name ap-name |
显示WLAN射频策略 |
display wlan radio-policy [ radio-policy-name ] |
显示WLAN服务模板信息 |
display wlan service-template [ service-template-number ] |
显示WLAN统计信息 |
display wlan statistics [ client [ all | mac-address mac-address ] | radio [ ap-name ] ] |
显示WLAN客户端信息 |
display wlan client { ap ap-name [ radio radio-number ] | mac-address mac-address | service-template service-template-number } [ verbose ] |
重新启动AP |
reset wlan ap { all | name ap-name } |
清除AP的重启日志信息 |
reset wlan ap reboot-log { all | name ap-name } |
清除AP或客户端的统计信息 |
reset wlan statistics { client [ all | mac-address mac-address ] | radio [ ap-name ] } |
切断WLAN客户端同AP连接 |
reset wlan client { all | mac-address mac-address } |
采用用户隔离前,处于同一VLAN的用户是能够互访的,这可能带来安全性问题,采用无线用户隔离,可以解决此问题。开启用户隔离后,在同一个VLAN内,AC收到某一无线用户发往另一无线用户或有线用户的单播报文(任何VLAN广播报文或组播报文不隔离),或者AC收到有线用户发往同一VLAN的无线用户的单播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。
为了使用户隔离不会影响用户与网关的互通,可以将网关地址加入用户隔离允许列表。
由此可见,用户隔离一方面为用户提供了网络服务;另一方面对用户进行隔离,使之不能互访,保证用户业务的安全性。
如图1-12所示,AC上关闭用户隔离后,VLAN 2内的无线用户Client A、Client B和有线用户Host A可以在该VLAN内互访,同时也可以访问Internet。
图1-12 基于VLAN的用户隔离示意图
如图1-12所示,在AC上开启用户隔离功能后,VLAN 2内的无线用户Client A、Client B和有线用户Host A通过同一个网关连接到Internet。
l 将网关的MAC地址添加到“可通过MAC”列表中,那么处于同一VLAN内的无线用户Client A、Client B和Host A被隔离,但是Client A、Client B和Host A都可以访问Internet。
l 将用户的MAC地址添加到“可通过MAC”列表中,如把Client A的MAC地址添加到“可通过MAC”列表中,那么Client A和Client B可以互通,Client A和Host A可以互通,但是Client B和Host A不能互通。
l 如果需要同时达到以上两项需求,需要将网关的MAC地址和用户的MAC地址同时添加到“可通过MAC”列表中。
表1-13 配置基于VLAN的用户隔离
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
对指定VLAN使能用户隔离 |
user-isolation vlan vlan-list enable |
必选 缺省情况下,用户隔离处于关闭状态 |
在指定VLAN内添加允许MAC地址 |
user-isolation vlan vlan-list permit-mac mac-list |
可选 每个VLAN的最大permit-mac个数为16 |
为了避免先使能用户隔离VLAN后出现断网的现象,建议先配置允许网关的MAC地址,再使能用户隔离VLAN。
采用用户隔离前,处于同一SSID的用户是能够互访的,这可能带来安全性或计费问题,采用基于SSID的无线用户隔离,可以解决此问题。开启基于SSID的用户隔离后,在同一个SSID内,连接到此无线服务的所有无线用户之间的二层报文(单播/广播)将相互不能转发,保证了用户业务的安全性和计费的准确性。
如图1-13所示,AC上名为office的SSID默认关闭用户隔离功能时,SSID内的无线用户Client A和Client B可以在该服务内进行二层报文转发,同时也可以访问Internet。
图1-13 基于SSID的用户隔离示意图
如图1-13所示,在AC上开启基于SSID的用户隔离功能后,无线服务office内的无线用户Client A和Client B通过同一个网关连接到Internet,并且它们之间二层报文不可以直接转发。
表1-14 配置基于SSID的用户隔离
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
- |
配置基于SSID的用户隔离功能 |
user-isolation enable |
可选 缺省情况下,基于SSID的用户隔离功能不启用 |
配置了user-isolation enable后,连接到此无线服务的所有无线用户之间的二层报文(单播/广播)相互之间不能转发,从而使无线用户之间不能直接进行通讯。
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户隔离的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除用户隔离的统计信息。
表1-15 用户隔离显示与维护
操作 |
命令 |
显示用户隔离的统计信息 |
display user-isolation statistics [ vlan vlan-id ] |
清除用户隔离的统计信息 |
reset user-isolation statistics [ vlan vlan-id ] |
无线接入服务的提供者希望能控制客户端在无线接入网中的接入位置。这里的接入位置目前主要指客户端所接入的AP。如图1-14所示,Client 1、Client 2和Client 3可以通过AP 1~AP 3接入到Internet。基于某些策略考虑(如安全性或者计费等因素),提供无线接入服务的机构希望通过特定的AP接入策略,使Client 1和Client 2只能通过AP 1和AP 2访问网络,而Client 3只能通过AP 3访问网络。AP接入策略可以通过用户在User Profile下配置客户端关联的AP组,这样就可以确保客户端只能通过授权的AP访问网络资源。
通过命令行创建AP组,并且配置允许接入的AP。
表1-16 配置AP组
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建AP组,并进入AP-Group视图 |
wlan ap-group group-id |
- |
配置特定的AP组内允许接入的AP |
ap template-name-list |
必选 缺省情况下,不存在AP列表 可以重复本步骤设置多个AP,也可以一次设置多个AP(一次输入不能超过10个) 所设置的AP可以不存在 |
配置AP组描述信息 |
description text |
可选 缺省情况下,没有AP组的描述信息 |
在User Profile下引用特定的AP组。配置完毕的User Profile必须激活后才能生效。
表1-17 应用配置的AP组
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入User-Profile视图 |
user-profile profile-name |
必选 如果指定的User Profile不存在,则先创建指定的User Profile,再进入User Profile视图 |
在该User-Profile下面引用特定的AP组 |
wlan permit-ap-group group-id |
必选 缺省情况下,没有指定任何AP组 |
退回系统视图 |
quit |
- |
激活已配置的User Profile |
user-profile profile-name enable |
必选 缺省情况下,创建的User Profile处于未激活状态 需要注意的是 l 此处profile-name必须和Radius服务器上外部组的名字保持一致 l 在漫游时,所有AC的profile-name名字应该保持一致 |
关于User Profile的介绍请参见“系统分册”中的“User Profile配置”。
在完成上述配置后,在任意视图下执行display命令可以显示基于AP的用户接入控制配置后的运行情况,通过查看显示信息验证配置的效果。
表1-18 基于AP的用户接入控制显示和维护
操作 |
命令 |
显示配置的AP组信息 |
display wlan ap-group [ group-id ] |
在有用户临时需要接入网络时,需要临时为用户建立一个来宾账户,通过基于SSID的接入控制可以达到访问限制的目的,即限制来宾用户只能在指定的SSID登陆。SSID的接入控制可以通过在User Profile下配置允许接入的SSID来实现。
在User Profile下配置允许接入的SSID。配置完毕的User Profile必须激活后才能生效。
表1-19 配置允许接入的SSID
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入User-Profile视图 |
user-profile profile-name |
必选 如果指定的User Profile不存在,则先创建指定的User Profile,再进入User Profile视图 |
在该User-Profile下面配置允许接入的SSID |
wlan permit-ssid ssid-name |
必选 缺省情况下,没有配置允许接入的SSID,表示用户接入时不限制接入的SSID,可用任意SSID接入无线网络 |
退回系统视图 |
quit |
- |
激活已配置的User Profile |
user-profile profile-name enable |
必选 缺省情况下,创建的用户配置文件处于未激活状态 |
l 控制无线用户的临时接入的配置举例请参见“安全配置指导”中的“AAA”。
l 关于User Profile的介绍请参见“安全配置指导”中的“User Profile”。
当AC的上行链路出现故障时,如果继续让无线用户连接到该AP,无线用户仍然无法访问外部网络。开启上行链路检测功能后,利用ICMP-echo测试,根据应答报文或超时信息判断上行设备的可达性。在上行链路出现故障时,禁止无线用户关联到该AC下挂的AP。
上行链接检测功能,保证了在AC的上行链路出现故障后,无线客户端可以通过上行链路正常工作的AC下的AP接入。
图1-15 上行链路检测组网图
表1-20 配置上行链路检测
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置通过Track与上行链路联动,检测上行链路是否可达 |
wlan uplink track track-entry-number |
可选 缺省情况下,没有指定与上行链路联动的Track项 |
l Track模块的详细介绍,请参见“可靠性配置指导”中的“Track”。
l NQA配置的详细介绍,请参见“网络管理和监控配置指导”中的“NQA”。
AC间热备份的支持情况与设备实际情况相关,请以设备实际情况为准。
在二层网络内,两台AC与对端互连形成热备份的关系,为所辖网络内的AP提供冗余控制。AP与两个AC分别建立信道链路。处于主用状态的AC负责为所有AP提供服务,而备用AC为主用AC提供备份。主、备AC之间通过心跳检测机制,可以快速检测到对方设备的故障。当主用AC发生故障时,备用AC可立即检测到该主用AC的异常状态,并在毫秒级时间内实施主、备用链路切换,成为新的主用AC,保证无线服务不会中断。
图1-16中,AC1与AC2为具有主备热备份功能的两台AC。AC1工作在主用状态,并为AP1、AP2、AP3及AP4提供服务;AC2工作在备用状态,各个AP通过备用信道链路(图中虚线所示)连接到AC2,两台AC定期进行主备心跳检测。当检测到AC1失效后,AC2的工作状态立即由备用转为主用;通过备用信道连接到AC2的AP将该备用信道转换为主用信道,使用AC2作为主用AC。
该配置用于使能AC间热备份功能,可以设置AC所属的备份域(一个备份域指一组互为备份关系的主、备AC)。
表1-21 使能AC间热备份功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能AC间热备份功能 |
hot-backup enable [ domain domain-id ]* |
必选 缺省情况下,AC间热备份功能处于去使能状态 |
该配置用于配置AC间用于热备份的本端数据端口的VLAN ID。
表1-22 配置AC间数据端口的VLAN ID
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AC间数据端口的VLAN ID |
hot-backup vlan vlan-id |
缺省情况下,AC间用于热备份的本端数据端口的VLAN ID为1 |
该配置用于配置AC间的心跳连接周期。主、备AC超过3个心跳周期检测不到对端发送的心跳报文,就认为对端设备异常。
表1-23 配置AC间连接心跳周期
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AC间连接心跳周期 |
hot-backup hellointerval hellointerval |
缺省情况下,心跳周期为2000毫秒 |
完成上述配置后,在任意视图下执行display命令可以显示配置后AC间热备份状态,通过查看显示信息验证配置的效果。
表1-24 AC间连接状态显示
操作 |
命令 |
说明 |
显示AC间连接状态 |
display hot-backup state |
- |
无线网络中,AP与AC分别处于不同网段,AP作为DHCP客户端需要通过DHCP服务器自动获取IP地址,并获取AC的IP地址。DHCP服务器可以通过自定义选项的方式配置Option 43的内容。DHCP服务器上配置的Option 43选项内容为80 0B 00 00 02 0A 01 01 03 0A 01 01 04,其中80为子选项类型(Sub-option type),0B为子选项长度(Sub-option length),00 00为无线控制器类型(PXE server type,关于PXE服务器类型的介绍请参见“三层技术-IP业务配置指导”中的“DHCP配置”),02为无线控制器数目(Server number),0A 01 01 03为AC 1的IP地址10.1.1.3,0A 01 01 04为AC 2的IP地址10.1.1.4。
图1-17 AP通过DHCP Option43方式注册典型配置举例
(1) 配置各接口的IP地址(略)
(2) 配置AC1和AC2与10.1.2.0网段路由可达。
(3) 在DHCP server上配置DHCP服务
# 使能DHCP服务。
<DHCP server> system-view
[DHCP server] dhcp enable
# 配置DHCP地址池0。
[DHCP server] dhcp server ip-pool 0
# 配置DHCP地址池0动态分配的IP地址范围
[DHCP server C-dhcp-pool-0] network 10.1.2.0 mask 255.255.255.0
# 配置DHCP地址池0为DHCP客户端分配的网关地址为10.1.2.1。
[DHCP server-dhcp-pool-0] gateway-list 10.1.2.1
# 配置DHCP Option43的内容
[DHCP server-dhcp-pool-0] option 43 hex 80 0B 00 00 02 0A 01 01 03 0A 01 01 04
(4) 验证结果
配置完成后,AP可以从DHCP服务器申请到IP地址,通过display dhcp server ip-in-use命令可以查看DHCP服务器为AP分配的IP地址。
AP完成自动注册后,可以参见WLAN服务典型配置举例,完成WLAN服务相关配置。
无线网络中,AP与AC分别处于不同网段,AP可以先通过DHCP服务器自动获取IP地址、AC域名、DNS服务器地址,然后通过DNS服务器使用H3C.XXXX.XXX(XXXX.XXX为DNS服务器上配置的AC域名)解析出AC的列表。本例中配置AC 1的IP地址为10.1.1.3/24,AC 2的IP地址为10.1.1.4/24,对应的域名均为host.com,配置DHCP服务器为AP分配的网关地址为10.1.2.1/24,DNS服务器的IP地址为10.1.1.2/24。
图1-18 AP通过DNS方式注册典型配置举例
(1) 配置各接口的IP地址(略)
(2) 配置AC1和AC2与10.1.2.0网段路由可达。
(3) 配置DHCP服务
# 使能DHCP服务。
<DHCP server> system-view
[DHCP server] dhcp enable
# 配置DHCP地址池0。
[DHCP server] dhcp server ip-pool 0
# 配置DHCP地址池动态分配的IP地址范围
[DHCP server-dhcp-pool-0] network 10.1.2.0 mask 255.255.255.0
# 配置DHCP地址池0为DHCP客户端分配的网关地址为10.1.2.1。
[DHCP server-dhcp-pool-0] gateway-list 10.1.2.1
# 配置DHCP地址池0为DHCP客户端分配的DNS服务器地址为10.1.1.2。
[DHCP server-dhcp-pool-0] dns-list 10.1.1.2
# 配置DHCP地址池为DHCP客户端分配的域名后缀为host.com
[DHCP server-dhcp-pool-0] domain-name host.com
(4) 验证结果
在DNS服务器上创建域名为host.com的域,配置两个名称为h3c的AC主机,对应的IP地址分别为10.1.1.3/24和10.1.1.4/24,配置完成后,AP可以从DHCP服务器自动获取IP地址,从DNS服务器获取AC的IP地址。
AP完成自动注册后,可以参见WLAN服务典型配置举例,完成WLAN服务相关配置。
某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公。
具体要求如下:
l AP通过二层交换机与AC相连。AP的序列ID为210235A29G007C000020,使用手工输入序列号方式。
l AP提供SSID为service的明文方式的无线接入服务。
l 采用目前较为常用的802.11g射频模式。
图1-19 WLAN服务组网图
(1) 配置AC
# 使能WLAN服务(该命令可以不配置,因为缺省情况下该命令处于使能状态)。
<AC> system-view
[AC] wlan enable
# 创建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置射频策略(可以不配置射频策略,因为缺省情况下存在缺省射频策略default_rp。如果需要定制射频策略,可以创建新的射频策略,并调整射频策略的参数)。
[AC] wlan radio-policy radiopolicy1
[AC-wlan-rp-radiopolicy1] beacon-interval 200
[AC-wlan-rp-radiopolicy1] dtim 4
[AC-wlan-rp-radiopolicy1] rts-threshold 2300
[AC-wlan-rp-radiopolicy1] fragment-threshold 2200
[AC-wlan-rp-radiopolicy1] short-retry threshold 6
[AC-wlan-rp-radiopolicy1] long-retry threshold 5
[AC-wlan-rp-radiopolicy1] max-rx-duration 500
[AC-wlan-rp-radiopolicy1] quit
# 创建AP 1的模板,名称为ap1,型号名称选择WA2100,并配置AP 1的序列号为210235A045B05B1236550。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A045B05B1236550
[AC-wlan-ap-ap1] description L3Office
# 配置802.11g射频,指定工作信道为11。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] channel 11
# 将服务模板1和射频策略radiopolicy1绑定到Radio 1口。
[AC-wlan-ap-ap1-radio-1] radio-policy radiopolicy1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1] quit
(2) 验证结果
l 客户端可以成功关联AP,上线后可以访问网络。
l 可以使用display wlan client、display connection命令查看上线的客户端。
AC与二层交换机相连,AP 1和AP 2通过二层交换机与AC相连。AP 1、AP 2和AC在同一个网络。AP 1和AP 2通过DHCP Server获取IP地址。AC的IP地址是10.18.1.1/24。要求启用自动AP发现功能,使AP能够自动连接到AC上。
图1-20 WLAN自动发现组网图
(1) 配置AC
# 创建WLAN ESS接口。
<AC> system-view
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置射频策略(可以不配置射频策略,因为缺省情况下存在缺省射频策略default_rp。如果需要定制射频策略,可以创建新的射频策略,并调整射频策略的参数)。
[AC] wlan radio-policy radpolicy1
[AC-wlan-rp-radpolicy1] beacon-interval 200
[AC-wlan-rp-radpolicy1] dtim 4
[AC-wlan-rp-radpolicy1] rts-threshold 2300
[AC-wlan-rp-radpolicy1] fragment-threshold 2200
[AC-wlan-rp-radpolicy1] short-retry threshold 6
[AC-wlan-rp-radpolicy1] long-retry threshold 5
[AC-wlan-rp-radpolicy1] max-rx-duration 500
[AC-wlan-rp-radpolicy1] quit
# 使能自动发现功能。
[AC] wlan auto-ap enable
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id auto
# 配置射频,缺省采用自动信道,设置最大功率为10。
[AC-wlan-ap-ap1] radio 1 type dot11a
[AC-wlan-ap-ap1-radio-1] max-power 10
# 将服务模板和射频策略radiopolicy1绑定到AP 1的radio 1口。
[AC-wlan-ap-ap1-radio-1] radio-policy radiopolicy1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
(2) 验证结果
l 通过display wlan ap查看到AC自动发现的两个AP,用户可以使用wlan auto-ap persistent命令将这两个临时AP转换为固定AP。
l 客户端可以成功关联AP,上线后可以访问网络。
AC 1与AC 2分别连接到一台二层交换机。AP通过该二层交换机连接到AC 1和AC 2。AC 1、AC 2与AP都接入同一个网络。AP通过DHCP服务器获取IP地址,AC 1的IP地址为10.18.1.1,AC 2的IP地址为10.18.1.2。AC 1工作在主用状态,AC 2工作在备用状态。要求当AC 1失效后,AC 2立即成为主用无线控制器,且通过备用信道连接到AC 2的AP将该备用信道转换为主用信道,使用AC 2作为主用无线控制器。
图1-21 CAPWAP双链路配置组网图
(1) AC 1上的配置
# 创建WLAN ESS接口。
<AC1> system-view
[AC1] interface wlan-ess 1
[AC1-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid service
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 配置备份无线控制器AC 2的IP地址。
[AC1] wlan backup-ac ip 10.18.1.2
# 在AC 1上配置AP。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A045B05B1236550
[AC1-wlan-ap-ap1] radio 1 type dot11g
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
(2) AC 2上的配置
# 创建WLAN ESS接口。
<AC2> system-view
[AC2] interface wlan-ess 1
[AC2-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),相互备份的AC上的SSID需要保持一致,所以绑定到AP 2模板上的SSID必须为service,并将WLAN-ESS接口与该服务模板绑定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid service
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 配置备份无线控制器AC 1的IP地址。
[AC2] wlan backup-ac ip 10.18.1.1
# 在AC 2上配置AP。
[AC2] wlan ap ap1 model WA2100
[AC2-wlan-ap-ap1] serial-id 210235A045B05B1236550
[AC2-wlan-ap-ap1] radio 1 type dot11g
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
(3) 验证结果
当AC 1失效后,AC 2立即成为主用无线控制器。在AC上可以通过display wlan ap查看AP的状态。
某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.11n无线网络。
具体要求如下:
l AP提供SSID为11nservice的明文方式的无线接入服务。
l 为了保护现有投资,兼容现有的802.11g无线网络,采用802.11gn射频模式。
图1-22 802.11n组网图
(1) 配置AC
# 创建WLAN ESS接口。
<AC> system-view
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为11nservice,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid 11nservice
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP,选择的AP必须支持802.11n。
[AC] wlan ap ap1 model WA2610E-AGN
[AC-wlan-ap-ap1] serial-id 210235A045B05B1236550
# 配置AP的射频工作在802.11n模式,兼容802.11g。
[AC-wlan-ap-ap1] radio 1 type dot11gn
# 配置AP射频的工作带宽为40MHz,将服务模板绑定到radio口。
[AC-wlan-ap-ap1-radio-1] channel band-width 40
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
(2) 验证结果
l 客户端可以成功关联AP,上线后可以访问网络。
l 可以使用display wlan client、display connection命令查看上线的客户端。在display wlan client的显示信息中会显示11n客户端的信息。
网关Gateway的MAC地址为000f-e212-7788。要求通过配置实现用户隔离,要求VLAN 2中的用户Client A、Client B和Host A可以访问Internet,但是VLAN 2中的用户之间都不可以相互访问。
图1-23 用户隔离配置组网
(1) 配置AC
# 配置AP,使AC和AP之间建立CAPWAP连接。
可以参照1.13.1 WLAN服务典型配置举例(WX系列无线控制产品适用)建立CAPWAP。具体配置步骤略。
# 在VLAN 2上使能用户隔离功能,使VLAN 2中的用户之间都不可以相互访问。
<AC> system-view
[AC] user-isolation vlan 2 enable
# 将网关的MAC地址加入VLAN 2的允许地址列表,使VLAN 2中的用户Client A、Client B和Host A可以访问Internet。
[AC] user-isolation vlan 2 permit-mac 000f-e212-7788
(2) 验证结果
VLAN 2中的用户Client A、Client B和Host A可以访问Internet,但是VLAN 2中的用户之间都不可以相互访问
当AC的上行链路出现故障时,如果继续让无线用户连接到该AP,无线用户仍然无法访问外部网络。利用上行链路检测功能,在上行链路出现故障时,禁止无线用户关联到该AC下挂的AP。
图1-24 上行链路检测组网图
# 创建ICMP-echo类型的NQA测试组并配置相关测试参数。
<AC> system-view
[AC] nqa entry admin test
[AC-nqa-admin-test] type icmp-echo
[AC-nqa-admin-test-icmp-echo] destination ip 10.1.1.1
# 配置可选参数。
[AC-nqa-admin-test-icmp-echo] frequency 1000
# 配置联动项1(连续失败5次触发联动)。
[AC-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[AC-nqa-admin-test-icmp-echo] quit
# 启动ICMP-echo测试操作。
[AC] nqa schedule admin test start-time now lifetime forever
# 配置Track项1,关联NQA测试组(管理员为admin,操作标签为test)的联动项1。
[AC] track 1 nqa entry admin test reaction 1
# 配置上行链路检测与Track项1关联。
[AC] wlan uplink track 1
当无线用户进行认证时,需要判断当前用户连接的AP是否为允许的AP,只有允许的AP才可以允许该用户接入。
图1-25 用户接入AP控制组网图
(1) 配置AC
# 使能端口安全特性。
<AC> system-view
[AC] port-security enable
# 配置用户认证方式为eap。
[AC] dot1x authentication-method eap
# 创建一个RADIUS方案。
[AC] radius scheme wlan-user-policy
# 配置RADIUS认证服务器的IP地址,RADIUS计费服务器的IP地址、认证和计费key。
[AC-radius-wlan-user-policy] server-type extended
[AC-radius-wlan-user-policy] primary authentication 10.100.100.100
[AC-radius-wlan-user-policy] primary accounting 10.100.100.100
[AC-radius-wlan-user-policy] key authentication wlan
[AC-radius-wlan-user-policy] key accounting wlan
# 配置本设备的IP地址。
[AC-radius-wlan-user-policy] nas-ip 10.100.100.200
[AC-radius-wlan-user-policy] quit
# 创建ISP域并配置AAA方案。
[AC] domain universal
[AC-isp-universal] authentication default radius-scheme wlan-user-policy
[AC-isp-universal] authorization default radius-scheme wlan-user-policy
[AC-isp-universal] accounting default radius-scheme wlan-user-policy
[AC-isp-universal] quit
# 配置universal为缺省域。
[AC] domain default enable universal
# 配置WLAN接口以及端口安全模式。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
# 配置服务模板并绑定WLAN接口。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid test
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 将radio接口与服务模板绑定。
[AC] wlan ap ap1 model wa2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio1] service-template 1
[AC-wlan-ap-ap1-radio1] radio enable
[AC-wlan-ap-ap1-radio1] return
# 配置AP组并应用在User Profile下。
<AC> system-view
[AC] wlan ap-group 11
[AC-ap-group11] ap ap1
[AC-ap-group11] quit
[AC] user-profile management
[AC-user-profile-management] wlan permit-ap-group 11
[AC-user-profile-management] quit
[AC] user-profile management enable
(2) 配置RADIUS服务器
# 在RADIUS服务器上配置User Profile名字。
登录进入CAMS管理平台,点击左侧菜单树中[服务管理]->[服务配置]的“增加服务”后,进入配置页面。
在外部组内添加User Profile:management。
如果外部组名称为空,则默认该用户不受AP组权限控制,允许接入任意AP。
图1-26 图1-24 配置User Profile
(3) 验证结果
User Profile下设置的AP组只包含AP 1,所以Client只能通过关联AP 1得到无线服务。
两个无线控制器AC 1和AC 2通过一个二层交换机连接,两个AC处于同一个漫游组,客户端先通过AP 1获取无线服务,然后漫游到与AC 2相连的AP 2上。要求客户端通过允许接入的AP接入无线网络,并保证客户端在漫游后还能获取无线服务。
图1-27 AC间漫游用户接入AP控制组网图
RADIUS服务器上的配置和1.14.1 3. (2)相似,此处省略。
(1) 配置AC 1
# 配置AP 1。
<AC1> system-view
[AC1] port-security enable
[AC1] dot1x authentication-method eap
[AC1] interface wlan-ess 1
[AC1-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC1-WLAN-ESS1] port-security tx-key-type 11key
[AC1-WLAN-ESS1] undo dot1x multicast-trigger
[AC1-WLAN-ESS1] undo dot1x handshake
[AC1-WLAN-ESS1] quit
[AC1] wlan service-template 1 crypto
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A045B05B1236548
[AC1-wlan-ap-ap1] radio 1 type dot11g
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 配置AC 1上的漫游组,并使能IACTP服务。
[AC1] wlan mobility-group abc
[AC1-wlan-mg-abc] source ip 10.18.1.1
[AC1-wlan-mg-abc] member ip 10.18.1.2
[AC1-wlan-mg-abc] mobility-group enable
[AC1-wlan-mg-abc] return
# 配置AP组并应用在User Profile下。
<AC1> system-view
[AC1] wlan ap-group 1
[AC1-ap-group1] ap ap1 ap2
[AC1-ap-group1] quit
[AC1] user-profile management
[AC1-user-profile-management] wlan permit-ap-group 1
[AC1-user-profile-management] quit
[AC1] user-profile management enable
(2) 配置AC 2
# 配置AP 2。
<AC2> system-view
[AC2] port-security enable
[AC2] dot1x authentication-method eap
[AC2] interface wlan-ess 1
[AC2-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC2-WLAN-ESS1] port-security tx-key-type 11key
[AC2-WLAN-ESS1] undo dot1x multicast-trigger
[AC2-WLAN-ESS1] undo dot1x handshake
[AC2-WLAN-ESS1] quit
[AC2] wlan service-template 1 crypto
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] cipher-suite ccmp
[AC2-wlan-st-1] security-ie rsn
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
[AC2] wlan ap ap2 model WA2100
[AC2-wlan-ap-ap2] serial-id 210235A22W0076000103
[AC2-wlan-ap-ap2] radio 1 type dot11g
[AC2-wlan-ap-ap2-radio-1] service-template 1
[AC2-wlan-ap-ap2-radio-1] radio enable
[AC2-wlan-ap-ap2-radio-1] quit
[AC2-wlan-ap-ap2] quit
# 配置AC 2上的漫游组,并使能IACTP服务。
[AC2] wlan mobility-group abc
[AC2-wlan-mg-abc] source ip 10.18.1.2
[AC2-wlan-mg-abc] member ip 10.18.1.1
[AC2-wlan-mg-abc] mobility-group enable
[AC2-wlan-mg-abc] quit
# 配置AP组并应用在User Profile下。
[AC2] wlan ap-group 1
[AC2-ap-group1] ap ap1 ap2
[AC2-ap-group1] quit
[AC2] user-profile management
[AC2-user-profile-management] wlan permit-ap-group 1
[AC2-user-profile-management] quit
[AC2] user-profile management enable
(3) 验证结果
AP 1和AP 2下的User Profile均允许接入AP 1,AP 2,客户端漫游成功。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!