选择区域语言: EN CN HK

H3C WX系列无线控制产品 Web网管配置指导-6W106

08-无线服务

本章节下载  (2.8 MB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Configure/User_Manual/H3C_WX_WEB_UM-6W106/201011/699388_30005_0.htm

08-无线服务


l          本手册中标有“请以设备实际情况为准”的特性描述,表示WX系列无线控制产品的各型号对于此特性的支持情况不同,具体差异请参见用户手册的“特性差异化列表”的“特性支持情况”章节。

l          本手册的页面显示信息以WX5004设备为例,实际使用中请以设备实际显示的WEB页面为准。

l          页面上显示为灰色的功能或参数,表示设备不支持或在当前配置下不可修改。

 

1 接入服务

WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络。

使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:

l              通过无线网络,用户可以方便的接入到无线网络,并访问已有网络或因特网;

l              安全问题是无线网络最大的挑战,当前无线网络可以使用不同认证和加密方式,提供安全的无线网络接入服务;

l              在无线网络内,无线用户可以在网络覆盖区域内自由的移动,彻底摆脱有线束缚。

1.1  接入服务简介

1.1.1  常用术语

(1)        无线客户端

带有无线网卡的PC或便携式笔记本电脑等终端。

(2)        AP(Access Point,接入点)

AP提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。

(3)        AC(Access Controller,无线控制器)

无线控制器对无线局域网中的与其关联的AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息,来为WLAN用户提供认证服务。

(4)        SSID

SSID(Service Set Identifier,服务集识别码),客户端可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络。

1.1.2  无线用户接入过程

无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网。整个过程如图1-1所示。

图1-1 建立无线连接过程

 

1. 无线扫描

无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围AP发送的信标帧(Beacon帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描的时候,主动发送一个探测请求帧(Probe Request帧),通过收到探测响应帧(Probe Response帧)获取网络信号。

无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息。

(1)        主动扫描

无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧是否携带SSID,可以将主动扫描分为两种:

l              客户端发送Probe Request帧(SSID为空,也就是SSID IE的长度为0):客户端会定期地在网卡支持的信道列表中发送探测请求帧(Probe Request)扫描无线网络。当AP收到探测请求帧后,会回应探测响应帧(Probe Response)通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端这种主动扫描方式的过程如图1-2所示。

图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)

 

l              客户端发送Probe Request帧(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络的情况下,客户端会定期发送探测请求帧(Probe Request帧,该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探测响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如图1-3所示。

图1-3 主动扫描过程(Probe Request携带指定的SSID“AP1”)

 

(2)        被动扫描

被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性的发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧,以获取周围的无线网络信息。被动扫描的过程如图1-4所示。

图1-4 被动扫描过程

 

2. 认证过程

为了保证无线链路的安全,无线用户接入过程中AP需要完成对无线终端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。

l              开放系统认证(Open System Authentication)

开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步是AP确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为“成功”。

图1-5 开放系统认证过程

 

l              共享密钥认证

共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。

共享密钥认证的认证过程为:客户端先向AP发送认证请求,AP会随机产生一个Challenge包(即一个字符串)发送给客户端;客户端会将接收到的Challenge加密后再发送给AP;AP接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了Shared Key链路认证;否则Shared Key链路认证失败。

图1-6 共享密钥认证过程

 

3. 关联过程

如果用户想接入无线网络,必须同特定的AP关联。当用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求帧。AP会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功。通常,无线终端同时只可以和一个AP建立链路,而且关联总是由无线终端发起。

4. 其他相关过程

(1)        解除认证

解除认证用于中断已经建立的链路或者认证,无论AP还是无线终端都可以发送解除认证帧断开当前的链接过程。无线系统中,有多种原因可以导致解除认证,如:

l              接收到非认证用户的关联或解除关联帧。

l              接收到非认证用户的数据帧。

l              接收到非认证用户的PS-Poll帧。

(2)        解除关联

无论AP还是无线终端都可以通过发送解除关联帧以断开当前的无线链路。系统中,有多种原因可以导致解除关联,如:

l              接收到已认证但未关联用户的数据帧。

l              接收到已认证但未关联用户的PS-Poll帧。

(3)        重新关联

当客户端从一个区域漫游到另一个区域时,客户端使用重新关联。AP传送重新关联请求到AC,AC通知先前的AP从数据库中删除此用户信息,并通知新AP添加用户信息到数据库中,并发送帧通知用户重新关联成功。

如果客户端暂时离开AP所涵盖的范围,之后要重新加入的时也必须重新关联。

1.1.3  WLAN服务的数据安全

相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。

802.11协议致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。

(1)        明文数据

该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。

(2)        WEP加密

WEP(Wired Equivalent Privacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法实现数据报文的加密保护,通过共享密钥来加密密钥管理。根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密。

l              静态WEP加密:

静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏,攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。

l              动态WEP加密:

动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.1x协议协商产生,这样每个客户端协商出来的的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。

虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听,会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患。

(3)        TKIP加密

虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护。

首先,TKIP通过增长了算法的IV(Initialization Value,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量IV的长度由24位加长到48位。

其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;

另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络可能正在受到攻击。当在一段时间内连续接收到两个出现MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过将空口静默一段时间不提供服务,实现对无线网络的攻击防御。

(4)        CCMP加密

CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会使用不同的PN,在一定程度上提高安全性。

1.1.4  用户接入认证

当无线终端成功和AP建立无线链路,可以认为无线终端成功接入到无线网络,但是为了无线网络的安全和管理,无线接入用户只有通过后面的接入认证后才可能真正访问网络资源。其中PSK(Preshared Key预共享密钥)认证和802.1x认证伴随着无线链路的动态密钥协商和管理,所以和无线链路协商关系比较密切,但它的认证和无线链路本身没有直接关系。

(1)        PSK认证

WPA和WPA2无线接入都支持PSK认证,无线客户端接入无线网络前,需要配置和AP设备相同的预共享密钥。

四次握手(4-Way Handshake)密钥协商通过802.1x的4个密钥报文交互为无线链路在无线终端和AP侧动态协商出私有密钥,而预共享密钥将作为密钥协商的种子密钥使用。在协商过程中,种子密钥将被双方进行验证,只有密钥设置相同,密钥协商才可以成功,也就是无线用户成功通过PSK接入认证;否则无线用户PSK接入认证失败,无线用户链路将被断开。

(2)        802.1x认证

802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。

接入设备的管理者可以选择使用RADIUS或本地认证方法,以配合802.1X完成用户的身份认证。关于远程和本地802.1x认证的介绍和配置可以参考“认证”。

(3)        MAC接入认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境。

MAC地址认证分为以下两种方式:

l              本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证,此时需要在设备上配置本地用户名和密码。通常情况下,可以采用MAC地址作为用户名,需要事先获知无线接入用户的MAC地址并配置为本地用户名。无线用户接入网络时,只有存在用户的MAC地址可以认证通过,其它用户将被拒绝接入。

图1-7 本地MAC地址认证

 

l              通过RADIUS服务器进行MAC地址认证:当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作。当MAC接入认证发现当前接入的客户端为未知客户端,AP设备作为RADIUS客户端,会主动向RADIUS服务器发起认证请求,完成MAC地址认证。在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络,而且RADIUS服务器可以下发相应的授权信息。

图1-8 远程MAC地址认证

 

采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器。

1.1.5  802.11n协议

802.11n作为802.11协议族的一个新协议,支持2.4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的“接入速率”,802.11n主要通过增加带宽和提高信道利用率两种方式来提高通讯速率。

增加带宽:802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用。当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量。

提高信道利用率:对信道利用率的提高主要体现在三个方面。

l              A-MPDU聚合帧:即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,减少了传输每个MPDU的PHY头,同时还减少了ACK帧的数目,从而降低了协议的负荷,有效的提高信道利用率。

l              A-MSDU特性:该特性实现了将多个MSDU组合成一个MSDU发送,与A-MPDU类似,通过聚合,A-MSDU特性有效减少了传输多个MSDU的MAC头的信息,提高了MAC层的传输效率,最终提高了信道利用率。

l              物理层提供短间隔功能:已有的802.1111a和802.11g的GI(Guard Interval,帧间隔)时长800us,而802.11n可以支持短间隔Short GI,其时长为400us,可以有效减少信道空闲时间,提高信道利用率。使用Short GI时,可以提高大约10%的性能。

1.2  配置接入服务

1.2.1  新建无线服务

在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入如图1-9所示接入服务配置页面。

图1-9 接入服务配置页面

 

单击“新建”按钮,进入如图1-10所示无线服务新建页面。

图1-10 接入服务新建页面

 

新建无线服务的详细配置如表1-1所示。

表1-1 新建无线服务的详细配置

配置项

说明

无线服务名称

设置SSID(Service Set Identifier,服务集识别码)

SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了Beacon报文长度和使用难度,对无线安全没有改进

无线服务类型

选择无线服务类型:

l      clear:使用明文发送无线服务

l      crypto:使用密文发送无线服务

 

1.2.2  配置clear类型无线服务

1. clear类型无线服务基本配置

在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入如图1-11所示的配置页面。

在配置clear类型的无线服务时,需要先将其服务状态改为关闭,单击对应的图标,才能对该无线服务进行配置。

 

图1-11 clear类型无线服务基本配置页面

 

clear类型无线服务基本配置的详细配置如表1-2所示。

表1-2 clear类型无线服务基本配置的详细配置

配置项

说明

无线服务名称

显示选择的SSID

VLAN(Untagged)

设置Untagged的VLAN ID,VLAN(Untagged)表示端口发送该VLAN报文时不带Tag标签

缺省VLAN

设置端口的缺省VLAN

在缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置

删除VLAN

删除无线端口下的VLAN

网络隐藏

l      Enable:禁止在信标帧中通告SSID

l      Disable:在信标帧中通告SSID

缺省情况下,信标帧通告SSID

l      SSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP

l      隐藏SSID对无线安全意义并不是很大

 

2. clear类型无线服务高级配置

在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务高级配置页面。

图1-12 clear类型无线服务高级配置页面

 

clear类型无线服务高级配置的详细配置如表1-3所示。

表1-3 clear类型无线服务高级配置的详细配置

配置项

说明

本地转发

本地转发是一种在AP上完成客户端之间数据交互的转发模式。在集中式WLAN架构中,AP会将客户端的数据报文透传给AC,由AC集中处理。随着客户端速率的不断提高,AC的转发压力也随之增大。采用本地转发后,AP直接转发客户端的数据,AC不再参与数据转发,大大减轻了AC的负担

l      Enable:开启本地转发功能。打开本地转发功能后,由AP进行数据帧的转发

l      Disable:关闭本地转发功能。关闭本地转发功能后,数据帧由AC转发

本地转发VLAN

同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN

关联最大用户数

在同一个射频下,某个SSID下的关联客户端的最大个数

如果关联客户端达到最大个数,除非某些关联的客户端因为某种原因解除关联,否则新的客户端不能加入此SSID

管理权限

上线的客户端对设备的管理权限

l      Disable:表示上线的客户端对设备WEB界面没有管理权限

l      Enable: 表示上线的客户端对设备WEB界面有管理权限

MAC VLAN功能

l      Enable:表示在指定无线服务下开启MAC VLAN功能

l      Disable:表示在指定无线服务下关闭MAC VLAN功能

开启MAC VLAN是配置基于AP区分接入VLAN功能时,绑定VLAN ID操作前的一个必要的前提条件

 

3. clear类型无线服务安全配置

在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务安全配置页面。

图1-13 clear类型无线服务安全配置页面

 

clear类型无线服务基本配置的详细配置如表1-4所示。

表1-4 clear类型无线服务安全配置的详细配置

配置项

说明

认证方式

clear类型只能选择Open-System方式

端口安全

l      mac-authentication:对接入用户采用MAC地址认证

l      mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证

l      mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户

l      userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

l      userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证

l      userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户

l      userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:

l      “userLogin”表示基于端口的802.1X认证;

l      “mac”表示MAC地址认证;

l      “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式;

l      “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式;

l      携带“Secure”的userLogin表示基于MAC地址的802.1X认证;

l      携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功

最大用户数

控制能够通过某端口接入网络的最大用户数

 

(1)        当选择mac-authentication时,需要配置如下选项:

图1-14 mac-authentication端口安全配置页面

 

表1-5 mac-authentication端口安全配置的详细配置

配置项

说明

端口模式

mac-authentication:对接入用户采用MAC地址认证

最大用户数

控制能够通过某端口接入网络的最大用户数

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

在该选项中选择的域名仅对此无线服务生效

 

(2)        当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项:

图1-15 userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)

 

表1-6 userlogin-secure/userlogin-secure-ext端口安全配置的详细配置

配置项

说明

端口模式

l      userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

l      userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

最大用户数

控制能够通过某端口接入网络的最大用户数

域名

在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

认证方法

l      EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证

l      CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠

l      PAP:采用PAP认证方式。PAP采用明文方式传送口令

用户握手

l      Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态

l      Disable:关闭在线用户握手功能

多播触发

l      Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态。

l      Disable:关闭802.1X的组播触发功能

对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能

 

(3)        当选择其他四种端口安全时,需要配置如下选项:

图1-16 四种端口安全配置页面(以mac-else-userlogin-secure为例)

 

表1-7 其他四种端口安全配置的详细配置

配置项

说明

端口模式

l      mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证

l      mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户

l      userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证

l      userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户

最大用户数

控制能够通过某端口接入网络的最大用户数

域名

在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

认证方法

l      EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证

l      CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠

l      PAP:采用PAP认证方式。PAP采用明文方式传送口令

用户握手

l      Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态

l      Disable:关闭在线用户握手功能

多播触发

l      Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态。

l      Disable:关闭802.1X的组播触发功能

对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

在该选项中选择的域名仅对此无线服务生效

 

1.2.3  配置crypto类型无线服务

1. crypto类型无线服务基本配置

在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图1-17所示页面。

图1-17 crypto类型无线服务基本配置页面

 

crypto类型无线服务基本配置的详细配置请参见表1-2

2. crypto类型无线服务高级配置

在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图1-18所示页面。

图1-18 crypto类型无线服务高级配置页面

 

crypto类型无线服务高级配置的详细配置如表1-8所示。

表1-8 crypto类型无线服务高级配置的详细配置

配置项

说明

本地转发

本地转发是一种在AP上完成客户端之间数据交互的转发模式。在集中式WLAN 架构中,AP会将客户端的数据报文透传给AC,由AC集中处理。随着客户端速率的不断提高,AC的转发压力也随之增大。采用本地转发后,AP直接转发客户端的数据,AC不再参与数据转发,大大减轻了AC的负担

l      Enable:开启本地转发功能。打开本地转发功能后,由AP进行数据帧的转发

l      Disable:关闭本地转发功能。关闭本地转发功能后,数据帧由AC转发

本地转发VLAN

同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN

关联最大用户数

在同一个射频下,某个SSID下关联客户端的最大个数

如果关联客户端达到最大个数,除非某些关联的客户端因为某种原因解除关联,否则新的客户端不能加入此SSID

PTK生存时间

设置PTK的生存时间,PTK通过四次握手方式生成

TKIP反制策略实施时间

设置反制策略实施时间

缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略;如果时间设置为其他值则启动反制策略;

MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,TKIP会启动反制策略时间,来阻止黑客的攻击。启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联

管理权限

上线的客户端对设备的管理权限

l      Disable:表示上线的客户端对设备没有管理权限

l      Enable:表示上线的客户端对设备有管理权限

GTK更新方法

GTK由AC生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文

l      选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔

l      选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK

缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒

客户端离线更新GTK

启动当客户端离线时更新GTK的功能

缺省情况下,客户端离线更新GTK的功能处于关闭状态

 

3. crypto类型无线服务安全配置

在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图1-19所示页面。

图1-19 crypto类型无线服务安全配置页面

 

crypto类型无线服务安全配置的详细配置如表1-9所示。

表1-9 crypto类型无线服务安全配置的详细配置

配置项

说明

认证方式

链路认证方式,可选择以下几种:

l      Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证

l      Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制

l      Open-System and Shared-Key:可以同时选择使用Open-System和Shared-Key认证

WEP加密方式可以分别和Open system、Shared key链路认证方式使用。

l      采用Open system authentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃

l      采用Shared key authentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络

加密类型

无线服务支持加密机制:

l      CCMP:一种基于AES加密算法的加密机制

l      TKIP:一种基于RC4算法和动态密钥管理的加密机制

l      CCMP and TKIP:可以同时选择使用CCMP和TKIP加密

安全IE

无线服务类型(Beacon或者Probe response报文中携带对应的IE信息):

l      WPA:Wi-Fi Protected Access,Wi-Fi保护访问为802.11i协议之前的安全机制

l      RSN:RSN是一种仅允许建立RSNA(Robust Security Network Association,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性

l      WPA and RSN:可以同时选择使用WPA和RSN

WEP加密

自动提供密钥

使用自动提供WEP密钥方式

l      开启:使用自动提供WEP密钥方式

l      关闭:使用静态WEP密钥方式

缺省情况下,使用静态WEP密钥方式

选择自动提供WEP密钥方式后,“密钥类型”选项会自动使用WEP 104加密方式

l      自动提供WEP密钥必须和802.1x认证方式一起使用

l      配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧。如果不配置WEP密钥,则由设备随机生成组播密钥

密钥类型

l      WEP 40:选择WEP40进行加密

l      WEP 104:选择WEP104进行加密

l      WEP 128:选择WEP 128进行加密

密钥ID

1:选择密钥索引为1

2:选择密钥索引为2

3:选择密钥索引为3

4:选择密钥索引为4

在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密

长度

选择WEP密钥长度

l      当密钥类型选择WEP40时,可选的密钥长度5个字符(5 Alphanumeric Chars)或者10位16进制数(10 Hexadecimal Chars)

l      当密钥类型选择WEP104时,可选的密钥长度13个字符(13 Alphanumeric Chars)或者26位16进制数(26 Hexadecimal Chars)

l      当密钥类型选择WEP 128时,可选的密钥长度16个字符(16 Alphanumeric Chars)或者32位16进制数(32 Hexadecimal Chars)

密钥

配置WEP密钥

端口安全

请参见表1-4

“认证方式”、“加密类型”等参数直接决定了端口模式的可选范围,具体请参见表1-12

在选则“加密类型”后,增加以下三种端口安全模式:

l      mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

l      psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(预共享密钥)与设备进行协商,协商成功后可访问端口

l      userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

 

(1)        当选择mac and psk时,需要配置如下选项:

图1-20 mac and psk端口安全配置页面

 

表1-10 mac and psk端口安全配置的详细配置

配置项

说明

端口模式

mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

最大用户数

控制能够通过某端口接入网络的最大用户数

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

在该选项中选择的域名仅对此无线服务生效

域共享密钥

l      pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串。

l      raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。

 

(2)        当选择psk时,需要配置如下选项:

图1-21 psk端口安全配置页面

 

表1-11 psk端口安全配置的详细配置

配置项

说明

端口模式

psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(预共享密钥)与设备进行协商,协商成功后可访问端口

最大用户数

控制能够通过某端口接入网络的最大用户数

域共享密钥

l      pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串。

l      raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。

 

(3)        当选择userlogin-secure-ext时,需要配置的选项如“1.2.2  3. (2)”:

1.2.4  安全参数关系表

clear类型和crypto类型无线服务类型下,各参数之间的关系:

表1-12 安全参数关系表

服务类型

认证方式

加密类型

安全IE

WEP加密/密钥ID

端口模式

clear

Open-System

不可选

不可选

不可选

mac-authentication

mac-else-userlogin-secure

mac-else-userlogin-secure-ext

userlogin-secure

userlogin-secure-ext

userlogin-secure-or-mac

userlogin-secure-or-mac-ext

crypto

Open-System

选择

必选

WEP加密可选/密钥ID可选1234

mac and psk

psk

userlogin-secure-ext

不选择

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

userlogin-secure

userlogin-secure-ext

Shared-Key

不可选

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

Open-System and  Shared-Key

选择

必选

WEP加密可选/密钥ID可选1234

mac and psk

psk

userlogin-secure-ext

不选择

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

userlogin-secure

userlogin-secure-ext

 

1.2.5  绑定AP的射频

1. 绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,在列表里查找到需要绑定的无线服务,点击无线服务右边的“绑定”按钮,进入图1-22所示绑定AP的射频页面。

图1-22 绑定AP的射频

 

选择需要绑定的AP射频,单击<绑定>按钮完成操作。

2. 绑定VLAN

通过不同的SSID区分不同服务的业务流。而通过AP来区分不同的地点,地点不同用户所能接入的服务不同。当客户端在不同的AP间漫游时,可以通过区分接入的AP来享受不同的服务。具体要求为:

l              同属于一个SSID的用户在不同AP接入时可以根据配置情况决定所属的VLAN;

l              用户在漫游时,接入所属的VLAN一直保持不变;

l              在AC间漫游时,如果本AC没有该VLAN出口,则要求能够在漫游组内找到HA,将报文通过HA送出,保证报文不间断。

图1-23 基于AP区分接入VLAN示意图

 

图1-23中,Client 1在AP 1处上线,所属的VLAN为VLAN3。漫游期间(包括AC内的漫游,AC间的漫游),Client 1的VLAN一直保持不变。AC间漫游时,如果FA(即AC 2)有该VLAN的出口,则在该AC送出报文,如果FA没有该VLAN的出口,报文通过DATA TUNNEL送到HA(即AC 1)后送出。

Client 2在AP 4上线,所属的VLAN为VLAN 2,表示在不同的AP上线后分配的VLAN不同。

在导航栏中选择“无线服务 > 接入服务”,在列表里查找到需要绑定的无线服务,点击无线服务右边的“绑定”按钮,进入图1-22所示绑定AP的射频页面。

选择需要绑定的AP射频模式,选中前面的复选框,在绑定VLAN输入框中输入需要绑定的VLAN。单击<确定>按钮完成绑定VLAN操作。

1.2.6  显示无线服务的详细信息

1. clear类型无线服务的详细信息

在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入接入服务配置页面,点击指定的clear类型无线服务后,如图1-24所示,可以查看相关的详细信息。

图1-24 clear类型无线服务的详细信息

 

表1-13 clear类型无线服务显示信息描述表

配置项

说明

Service Template Number

当前无线服务号

SSID

Service Set Identifier,表示设置的服务集识别码

Binding Interface

同服务模板绑定的WLAN-ESS

Service Template Type

服务模版类型

Authentication Method

使用的认证类型,clear类型的无线服务只能使用Open System(开放系统认证)方式

SSID-hide

l      Disable:启用SSID通告

l      Enable:禁用SSID通告。SSID隐藏后,AP发送的信标帧里面不包含SSID信息

Bridge Mode

转发方式:

l      Local Forwarding:使用本地转发转发方式

l      Remote Forwarding:使用AC远端转发方式

Service Template Status

服务模板状态:

l      Enable:无线服务处于开启状态

l      Disable:无线服务处于关闭状态

Maximum clients per BSS

一个BSS中能够连接的最大客户端数

 

2. crypto类型无线服务的详细信息

在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入接入服务配置页面,点击指定的crypto类型无线服务后,如图1-25所示,可以查看相关的详细信息。

图1-25 crypto类型无线服务的详细信息

 

表1-14 crypto类型无线服务显示信息描述表

配置项

说明

Service Template Number

当前无线服务号

SSID

Service Set Identifier,表示设置的服务集识别码

Binding Interface

同服务模板绑定的WLAN-ESS

Service Template Type

服务模版类型

Security IE

安全IE:WPA或RSN

Authentication Method

使用的认证类型:Open System(开放系统认证)或者Shared Key(共享密钥认证);

SSID-hide

l      Disable:启用SSID通告

l      Enable:禁用SSID通告。SSID隐藏后,AP发送的信标帧里面不包含SSID信息

Cipher Suite

加密套件:CCMP、TKIP、WEP40、WEP104、WEP128

TKIP Countermeasure Time(s)

TKIP反制策略时间,单位为秒

PTK Life Time(s)

PTK生存时间,单位为秒

GTK Rekey

GTK密钥更新配置

GTK Rekey Method

GTK密钥更新方法:基于包或基于时间

GTK Rekey Time(s)

当选择基于时间的GTK密钥更新方法时,显示GTK密钥更新时间,单位为秒

当选择基于包的GTK密钥更新方法时,显示数据包的数目

Bridge Mode

转发方式:

l      Local Forwarding:使用本地转发转发方式

l      Remote Forwarding:使用AC远端转发方式

Service Template Status

服务模板状态:

l      Enable:无线服务处于开启状态

l      Disable:无线服务处于关闭状态

Maximum clients per BSS

一个BSS中能够连接的最大客户端数

 

1.3  无线接入配置举例

1.3.1  无线服务典型配置举例

1. 组网需求

AC与二层交换机相连,AP(序列ID为210235A29G007C000020)通过二层交换机与AC相连。

要求客户端通过下列方式接入无线网络。

l              使用手工输入序列号方式

l              采用802.11g射频模式

l              使用明文方式接入

图1-26 无线网络拓扑图

 

2. 配置步骤

(1)        配置AP

# 创建AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入如图1-27所示AP新建页面。

图1-27 创建AP

 

l              设置AP名称为“ap”。

l              选择型号为“WA2220X-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

(2)        配置无线服务

# 创建无线服务。

在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图1-28所示无线服务新建页面。

图1-28 创建无线服务

 

l              设置无线服务名称为“service1”。

l              选择无线服务类型为“clear”。

l              单击<确定>按钮完成操作。

# 开启无线服务。

在导航栏中选择“无线服务 > 接入服务”,进入如图1-29所示页面。

图1-29 开启无线服务

 

l              选中“service1”前的复选框,

l              单击<开启>按钮完成操作。

(3)        绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,在列表里点击无线服务service1右边的“绑定”按钮,进入如图1-30所示页面。

图1-30 绑定AP的射频

 

l              选中“ap 802.11g”前的复选框。

l              单击<绑定>按钮完成操作。

(4)        开启802.11g射频

在导航栏中选择“射频 > 射频设置”,进入图1-31所示射频设置页面。

图1-31 开启802.11g射频

 

l              在列表里找到需要开启的AP名称及相应的射频模式,选中“ap 802.11g”前的复选框。

l              单击<开启>按钮完成操作。

3. 验证配置结果

l              开启射频后,在导航栏中选择“AP > AP设置”,可以查看到AP处于Run状态。

l              在导航栏中选择“概览 > 客户端”,进入图1-32所示查看成功上线的客户端。

图1-32 查看成功上线的客户端

 

如需获取客户端的IP地址,需要在系统视图下开启ARP Snooping功能,AC才能获取客户端IP地址。缺省情况下,ARP Snooping功能处于关闭状态,用户在“IP地址”栏中看到的地址为0.0.0.0。

 

4. 配置注意事项

l              选择正确的区域码

l              在删除无线服务前,必须先解除无线服务与AP之间的绑定关系

l              如果发现AP不能处于Run状态,请检查AP和AC之间是否可以三层互通。

1.3.2  AP自动发现典型配置举例

1. 组网需求

AC与二层交换机相连,AP通过二层交换机与AC相连。

要求客户端通过下列方式接入无线网络。

l              使用AP自动发现机制

l              采用802.11g射频模式

l              使用明文方式接入

图1-33 AP自动发现组网图

 

2. 配置步骤

(1)        配置AP

# 创建AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入如图1-34所示AP新建页面。

图1-34 创建AP

 

l              设置AP名称为“ap”。

l              选择型号为“WA2220X-AG”。

l              选择序列号方式为“自动”。

l              单击<确定>按钮完成操作。

(2)        配置无线服务

# 创建无线服务。

在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图1-35所示无线服务新建页面。

图1-35 创建无线服务

 

l              设置无线服务名称为“service1”。

l              选择无线服务类型为“clear”。

l              单击<确定>按钮完成操作。

# 开启无线服务。

在导航栏中选择“无线服务 > 接入服务”,进入如图1-36所示页面。

图1-36 开启无线服务

 

l              选中“service1”前的复选框,

l              单击<开启>按钮完成操作。

(3)        绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,在列表里点击无线服务service1右边的“绑定”按钮,进入如图1-37所示页面。

图1-37 绑定AP的射频

 

l              选中“ap 802.11g”前的复选框。

l              单击<绑定>按钮完成操作。

在导航栏中选择“AP > AP设置”,查看AP状态,发现AP处于Idle状态。

图1-38 查看AP状态

 

(4)        开启自动AP设置

在导航栏中选择“AP > 自动AP设置”,进入如图1-39所示自动AP设置页面。

图1-39 自动AP设置

 

l              选择“开启”自动AP设置。

l              单击<确定>按钮完成操作。

开启自动AP后,单击<刷新>按钮,可以查询到自动发现的AP(ap_001)。

图1-40 查询到自动发现的AP

 

(5)        转换固定AP

如果不需要修改自动发现的AP名ap_001,则直接选中“ap_001”前的复选框,单击<批量转换>按钮完成操作。

如果需要修改自动发现的AP名ap_001,可以点击“自动AP设置”页签下,ap_001对应栏中的页面,修改AP名称,这里以修改AP名称为例,具体配置可以如图1-41所示。

图1-41 修改AP名称

 

在导航栏中选择“AP > AP设置”,可以查看到修改后的固定AP。

图1-42 查看AP

 

(6)        开启802.11g射频

在导航栏中选择“射频 > 射频设置”

l              在列表里找到需要开启的AP名称及相应的射频模式,并选中其复选框。

l              单击<开启>按钮完成操作。

3. 验证配置结果

l              在导航栏中选择“概览 > 客户端”,进入图1-43所示查看成功上线的客户端。

图1-43 查看成功上线的客户端

 

如需获取客户端的IP地址,需要在系统视图下开启ARP Snooping功能,AC才能获取客户端IP地址。缺省情况下,ARP Snooping功能处于关闭状态,用户在“IP地址”栏中看到的地址为0.0.0.0。

 

l              在AC上可以ping通客户端。

4. 配置注意事项

配置AP需注意如下事项:

l              选择正确的区域码

l              在删除无线服务前,必须先解除无线服务与AP之间的绑定关系

l              在本例中,开启射频应该选择转换后的AP(举例中的ap1),而不是自动AP的射频(举例中的ap)。如果先开启自动AP的射频,则发现的AP也都完成开启射频。

1.3.3  802.11n典型配置举例

1. 组网需求

AP通过二层交换机与AC相连。AP为支持802.11n的设备。通过配置可以实现为802.11n客户端提供高速接入的无线网络。

图1-44 802.11n组网图

 

2. 配置步骤

# 创建AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入AP新建页面。

l              设置AP名称为“11nap”。

l              选择型号为“WA2610E-AGN”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

# 创建无线服务。

在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入接入服务新建页面。

l              设置无线服务名称为“11nservice”。

l              选择无线服务类型为“clear”。

l              单击<确定>按钮完成操作。

# 开启无线服务。

在导航栏中选择“无线服务 > 接入服务”,进入接入服务配置页面。

l              选中“11nservice”前的复选框,

l              单击<开启>按钮完成操作。

# 绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,在列表里点击无线服务service1右边的“绑定”按钮,进入接入服务配页面。

l              选中“11nap”前的复选框。

l              单击<绑定>按钮完成操作。

# 开启802.11n(2.4GHz)射频

在导航栏中选择“射频 > 射频设置”,进入射频设置页面。

l              在列表里找到需要开启的AP名称及相应的射频模式,选中“11nap”前的复选框。

l              单击<开启>按钮完成操作。

3. 验证配置结果

在导航栏中选择“概览 > 客户端”,查看成功上线的客户端。

图1-45 查看成功上线的客户端

 

如需获取客户端的IP地址,需要在系统视图下开启ARP Snooping功能,AC才能获取客户端IP地址。缺省情况下,ARP Snooping功能处于关闭状态,用户在“IP地址”栏中看到的地址为0.0.0.0。

 

其中0014-6c8a-43ff是802.11g用户,001c-f0bf-9c92是802.11n用户,因为本例中没有对用户类型进行限制,所以802.11g、802.11n用户都可以接入无线网络。如果开启了“只允许11n用户接入”,那么只有001c-f0bf-9c92才能接入无线网络。

4. 配置注意事项

配置802.11n需注意如下事项:

l              在导航栏中选择“射频 > 射频设置”,选择需要配置的AP,单击“操作”进入射频配置页面可以修改关于802.11n的相关参数,包括带宽模式、A-MSDU、A-MPDU、short GI和允许11n用户接入情况。

l              在导航栏中选择“射频 > 速率设置”,可以修改802.11n的速率。

1.3.4  WPA-PSK认证典型配置举例

1. 组网需求

要求客户端使用WPA-PSK方式接入无线网络,客户端的PSK密钥配置与AC端相同,为12345678。

图1-46 WPA-PSK认证配置组网图

 

2. 配置步骤

(1)        配置AP

# 创建AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入如图1-47所示AP新建页面。

图1-47 创建AP

 

l              设置AP名称为“ap”。

l              选择型号为“WA2220X-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

(2)        配置无线服务

# 创建无线服务。

在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图1-48所示无线服务新建页面。

图1-48 创建无线服务

 

l              设置无线服务名称为“psk”。

l              选择无线服务类型为“crypto”。

l              单击<确定>按钮完成操作。

# 配置无线服务。

创建无线服务后,直接进入配置无线服务界面,配置PSK认证需要对“安全设置”部分进行设置。

图1-49 配置无线服务

 

l              在“认证方式”下拉框中选择“Open-System”。

l              选中“加密类型”前的复选框,选择“CCMP and TKIP”加密类型(请根据实际情况,选择需要的加密类型),选择“WPA”安全IE。

l              选中“端口设置”前的复选框,在端口模式的下拉框中选择“psk”方式。

l              在PSK预共享密钥下拉框里选择“pass-phrase”,输入密钥“12345678”。

l              单击<确定>按钮完成操作。

# 开启无线服务。

在导航栏中选择“无线服务 > 接入服务”,进入如图1-50所示页面。

图1-50 开启无线服务

 

l              选中“psk”前的复选框,

l              单击<开启>按钮完成操作。

(3)        绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,在列表里点击无线服务psk右边的“绑定”按钮,进入如图1-51所示页面。

图1-51 绑定AP的射频

 

l              选中“ap 802.11g”前的复选框。

l              单击<绑定>按钮完成操作。

(4)        开启802.11g射频

在导航栏中选择“射频 > 射频设置”,进入图1-52所示射频设置页面。

图1-52 开启802.11g射频

 

l              在列表里找到需要开启的AP名称及相应的射频模式,选中“ap 802.11g”前的复选框。

l              单击<开启>按钮完成操作。

(5)        配置无线客户端

打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为psk),单击<连接>,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如图1-53所示。

图1-53 配置无线客户端

 

客户端配置相同的PSK预共享密钥,客户端可以成功关联AP。

图1-54 客户端成功关联AP

 

3. 验证配置结果

客户端配置相同的PSK预共享密钥。客户端可以成功关联AP,并且可以访问无线网络。

1.3.5  MAC地址本地认证配置举例

1. 组网需求

无线控制器AC与二层交换机建立连接。AP通过二层交换机与AC建立连接,并且AP和AC在同一网络。要求使用客户端使用MAC地址本地认证方式接入无线网络。

图1-55 MAC地址本地认证配置组网图

 

2. 配置步骤

(1)        配置AP

# 创建AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入如图1-56所示AP新建页面。

图1-56 创建AP

 

l              设置AP名称为“ap”。

l              选择型号为“WA2220X-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

(2)        配置无线服务

# 创建无线服务。

在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图1-57所示无线服务新建页面。

图1-57 创建无线服务

 

l              设置无线服务名称为“mac-auth”。

l              选择无线服务类型为“clear”。

l              单击<确定>按钮完成操作。

# 配置无线服务。

创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对“安全设置”部分进行设置。

图1-58 配置无线服务

 

l              在“认证方式”下拉框中选择“Open-System”。

l              选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication” 方式。

l              选中“MAC认证”前的复选框,在域名下拉框中选择“system”(在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以创建新的域)。

l              单击<确定>按钮完成操作。

# 开启无线服务。

在导航栏中选择“无线服务 > 接入服务”,进入如图1-59所示页面。

图1-59 开启无线服务

 

l              选中“mac-auth”前的复选框,

l              单击<开启>按钮完成操作。

(3)        配置MAC认证列表

在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,进入如图1-60所示页面。

图1-60 添加MAC认证列表

 

l              在MAC地址栏里添加本地接入用户,本例中为“00-14-6c-8a-43-ff”。

l              单击<确定>按钮完成操作。

(4)        绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,在列表里点击无线服务service1右边的“绑定”按钮,进入如图1-61所示页面。

图1-61 绑定AP的射频

 

l              选中“ap 802.11g”前的复选框。

l              单击<绑定>按钮完成操作。

(5)        开启802.11g射频

在导航栏中选择“射频 > 射频设置”,进入图1-62所示射频设置页面。

图1-62 开启802.11g射频

 

l              在列表里找到需要开启的AP名称及相应的射频模式,选中“ap 802.11g”前的复选框。

l              单击<开启>按钮完成操作。

(6)        配置无线客户端

打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为mac-auth),单击<连接>,如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。

图1-63 配置无线客户端

 

3. 验证配置结果

如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。

1.3.6  自动提供WEP密钥-802.1x认证配置举例

1. 组网需求

要求使用客户端使用远程自动提供WEP密钥-802.1x认证方式接入无线网络。

l              一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。

l              AC的IP地址为10.18.1.1。在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名。

图1-64 自动提供WEP密钥-802.1x配置组网图

 

2. 配置步骤

(1)        配置AC的接口IP地址

在AC上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)        配置RADIUS方案

# 配置RADIUS认证服务器。

在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,进行如下配置,如图1-65所示。

图1-65 配置RADIUS认证服务器

 

l              选择服务类型为“认证服务器”。

l              输入主服务器IP地址为“10.18.1.88”。

l              输入主UDP端口为“1812”(保持缺省配置)。

l              选择主服务器状态为“active”。

l              单击<确定>按钮完成操作。

# 配置RADIUS计费服务器。

图1-66 配置RADIUS计费服务器

 

l              选择服务类型为“计费服务器”。

l              输入主服务器IP地址为“10.18.1.88”。

l              输入主UDP端口为“1813”(保持缺省配置)。

l              选择主服务器状态为“active”。

l              单击<确定>按钮完成操作

# 配置设备与RADIUS服务器交互的方案。

单击“RADIUS参数设置”页签,进行如下配置,如图1-67所示。

图1-67 配置设备与RADIUS服务器交互的方案

 

l              选择服务器类型为“extended”。

l              选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。

l              输入确认认证密钥为“expert”。

l              选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。

l              输入确认计费密钥为“expert”。

l              选择用户名格式为“without-domain”。

单击<确定>按钮完成操作。

(3)        配置AAA

# 创建ISP域。在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域)。

# 配置ISP域的AAA认证方案。

单击“认证”页签,进行如下配置,如图1-68所示。

图1-68 配置ISP域的AAA认证方案

 

l              选择域名为“system”。

l              选中“LAN-access认证”前的复选框,选择认证方式为“RADIUS”。

l              选择认证方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框。

# 配置ISP域的AAA授权方案。

单击“授权”页签,进行如下配置,如图1-69所示。

图1-69 配置ISP域的AAA授权方案

 

l              选择域名为“system”。

l              选中“LAN-access授权”前的复选框,选择授权方式为“RADIUS”。

l              选择授权方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

# 配置ISP域的AAA计费方案,并配置用户计费可选。

单击“计费”页签,进行如下配置,如图1-70所示。

图1-70 配置ISP域的AAA计费方案

 

l              选择域名为“system”。

l              选中“计费可选开关”前的复选框,选择“Enable”。

l              选中“LAN-access计费”前的复选框,选择计费方式为“RADIUS”。

l              选择计费方案名称为“system”。

l              单击<应用>按钮,弹出配置进度对话框。

l              看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

(4)        配置AP

# 创建AP。

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入如图1-71所示AP新建页面。

图1-71 创建AP

 

l              设置AP名称为“ap”。

l              选择型号为“WA2220-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

(5)        配置无线服务

# 创建无线服务。

在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图1-72所示无线服务新建页面。

图1-72 创建无线服务

 

l              设置无线服务名称为“dot1x”。

l              选择无线服务类型为“crypto”。

l              单击<确定>按钮完成操作。

# 配置802.1x认证

创建无线服务后,直接进入配置无线服务界面,配置802.1x认证需要对“安全设置”部分进行设置。

图1-73 安全设置

 

l              在“认证方式”下拉框中选择“Open-System”。

l              选中“WEP加密”前的复选框,在自动提供密钥下拉框中选择“开启”。

l              选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。

l              选中“域名”前的复选框,在域名下拉框中选择“system”。

l              在认证方法下拉框中选择“EAP”。

l              建议关闭用户握手和多播触发。

l              单击<确定>按钮完成操作。

# 开启无线服务。

在导航栏中选择“无线服务 > 接入服务”,进入如图1-74所示页面。

图1-74 开启无线服务

 

l              选中“dot1x”前的复选框。

l              单击<开启>按钮完成操作。

(6)        绑定AP的射频

在导航栏中选择“无线服务 > 接入服务”,单击无线服务“dot1x”对应的“绑定”图标,进入如图1-75所示页面。

图1-75 绑定AP的射频

 

l              选中“ap 802.11g”前的复选框。

l              单击<绑定>按钮完成操作。

(7)        开启802.11g射频

在导航栏中选择“射频 > 射频设置”,进入图1-76所示射频设置页面。

图1-76 开启802.11g射频

 

l              在列表里找到需要开启的AP名称及相应的射频模式,选中“ap 802.11g”前的复选框。

l              单击<开启>按钮完成操作。

(8)        配置RADIUS server iMC

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

l              设置认证、计费共享密钥为expert;

l              设置认证及计费的端口号分别为1812和1813;

l              选择协议类型为LAN接入业务;

l              选择接入设备类型为H3C;

l              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

图1-77 增加接入设备

 

# 增加服务配置。

选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

l              设置服务名为dot1x。

l              选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。

图1-78 增加服务配置页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

l              添加用户名;

l              添加帐号名为user,密码为dot1x;

l              选中刚才配置的服务dot1x。

图1-79 增加接入用户

 

(9)        配置无线网卡

双击桌面的右下角图标,在弹出“无线网络连接状态”窗口上点击“属性”,在弹出的属性页面中单击<添加>按钮,选择关联页签,添加dot1x的SSID,并确保选择了“自动为我提供此密钥(H)”。

图1-80 无线网卡配置过程(关联对话框)

 

在验证页签中,选择EAP类型为“受保护的EAP(PEAP)”,点击“属性”,取消“验证服务器证书(V)”(此处不验证服务器证书),点击“配置”,取消“自动使用windows登录名和密码(以及域,如果有的话)(A)”。然后单击<确定>按钮完成客户端操作。

图1-81 无线网卡配置过程(验证对话框)

 

图1-82 无线网卡配置过程

 

图1-83 无线网卡配置过程

 

3. 验证结果

(1)        在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。

(2)        在导航栏中选择“概览 > 客户端”,可以查看成功上线的客户端。

 


2 Mesh服务

无线Mesh网络是一种新的无线局域网类型。与传统的WLAN不同的是,无线Mesh网络中的AP是无线连接的,而且AP间可以建立多跳的无线链路。无线Mesh网络只是对骨干网进行了变动,和传统的WLAN没有任何区别。

2.1  Mesh服务简介

2.1.1  基本概念

图2-1 典型无线Mesh组网

 

表2-1,无线Mesh主要包含如下概念:

表2-1 无线Mesh网络中概念

概念

描述

Access Controller (AC)

一个接入控制器可以控制和管理WLAN内所有的AP

Mesh Point (MP)

通过无线与MPP连接的,但是不可以接入Client的无线接入点

Mesh Access Point (MAP)

同时提供Mesh服务和接入服务的接入点

Mesh Portal Point (MPP)

通过有线与AC连接的无线接入点

Mesh链路

由一系列Mesh连接级联成的无线链路

 

2.1.2  无线Mesh的优点

无线Mesh技术使得管理员可以轻松的部署质优价廉的无线局域网。无线Mesh网络的优点包括:

l              高性价比:Mesh网络中,只有MPP需要接入到有线网络,对有线的依赖程度被降到了最低程度,省却了购买大量有线设备以及布线安装的投资开销。

l              可扩展性强。Mesh网络中AP之间能自动相互发现并发起无线连接建立,如果需要向网络中增加新的AP节点,只需要将新增节点安装并进行相应的配置。

l              部署快捷:组建Mesh网络,除MPP外的其他AP均不需要走线接入有线网络,和传统WLAN网络相比,大大缩短组建周期。

l              应用场景广。Mesh网络除了可以应用于企业网、办公网、校园网等传统WLAN网络常用场景外,还可以广泛应用于大型仓库、港口码头、城域网、轨道交通、应急通信等应用场景。

l              高可靠性。传统WLAN网络模式下,一旦某个AP上行有线链路出现故障,则该AP所关联的所有客户端均无法正常接入WLAN网络。而Mesh网络中各AP之间实现的是全连接,由某个Mesh AP至portal节点(有线网络)通常有多条可用链路,可以有效避免单点故障。

2.1.3  无线Mesh网络的部署

无线Mesh网络主要包括两种应用,一种是普通环境里无线Mesh的组网,一种是地铁隧道里无线Mesh的组网。

1. 普通无线Mesh网络部署

(1)        普通FIT MP场景

图2-2 普通FIT MP场景

 

如上图所示,两个Mesh网络由一个AC管理。其中,至少一个MPP需要与AC建立有线连接。一个MP启动后,它首先扫描附近的网络,然后与所有检测到的MP建立临时连接。通过这种连接,MP可以与AC联系,并下载配置。完成配置文件的下载后,MP会与享有相同预共享密钥的邻居建立安全的连接。

(2)        拥有两个Radio的FIT MP,两个Radio分别在不同的Mesh网络

图2-3 两个Radio分别在不同的Mesh网络

 

如上图所示,为了使Mesh 1和Mesh 2网络不产生干扰,可以采用一个拥有两个Radio的MP,两个Radio分别在不同的Mesh网络。在这种组网里,两个Mesh网络必须由同一个AC管理。

(3)        拥有两个Radio的FIT MP,两个Radio在相同的Mesh网络

图2-4所示,MP 1的Radio 1通过MPP加入Mesh网络,此时在MP 1上,只有Radio 1能提供下游MP的接入功能。Radio 2并不能自动接入这个Mesh网络,提供Mesh服务。

图2-4 两个Radio分别在不同的Mesh网络

 

如果MP支持三频,在这种情况下,可以把Radio 1设为上行链路接口,Radio 2设为下行链路接口,Radio 3作为覆盖天线。为了利用各MP上的两个相同的Radio资源,可以使用如图2-5所示的组网方式,在这种组网方式下,当MP 1的Radio 1接入Mesh网络时,MP 1上的Radio 2也能够自动加入这个Mesh网络。这种组网方式需要将加入到同一Mesh网络的各Radio应用到相同的Mesh服务。具体配置可以参考“2.4.4  Mesh支持三频配置举例”。

图2-5 两个Radio在相同的Mesh网络

 

如果MP支持三频,在这种情况下,可以把Radio 1设为上行链路接口,Radio 2设为下行链路接口,Radio 3作为覆盖天线。具体配置可以参考“2.4.4  Mesh支持三频配置举例”。

2. 地铁无线Mesh网络部署

地铁是现代城市里不可缺少的交通工具。在一个地铁系统里,控制信息和多媒体信息需要实时的传递给快速移动的列车,从而有效的控制列车的运行,并且为乘客提供多种网络服务。

如下图所示,一个地铁无线Mesh网络里,车载MP和轨旁MP均采用Fit MP,受AC集中管理。多个轨旁MP沿轨道进行部署。车载MP不停扫描新的轨旁MP,并选择信号质量最好的多个轨旁MP与之建立Mesh备份链路,主Mesh连接用于车载MP与轨旁有线网络之间的数据传输,Mesh备份链路连接用于Mesh连接的切换备份。

图2-6 地铁无线mesh网络部署

 

为了实现地铁无线Mesh网络的部署,H3C开发了一种私有协议,叫做移动链路切换协议(Mobile Link Switch Protocol)。它负责在列车移动过程中的活跃链路切换,并保证报文不丢失。车载MP和轨旁MP之间用于链路建立和通信的下层协议遵循最新的IEEE 802.11s标准。车载MP不要求担当认证者的角色。

2.1.4  无线Mesh安全

由于传输媒质的开放性,无线网络很容易遭受非法攻击,Mesh网络的多跳性带来了新的安全挑战,无线Mesh安全成为WLAN Mesh网络的重要组成部分,它主要包括用于加密的算法,密钥的管理和分发等内容。目前提供PSKCCMP的方式进行Mesh安全连接。

2.1.5  MLSP介绍

为了保证数据传输,在任何时间点,一个车载MP都要有一条活跃链路。MLSP就是用来在列车移动过程中,完成创建和切换链路任务的。如下图所示,当列车移动时,车载MP会不断建立新的活跃链路。

图2-7 MLSP示意图

 

l              活跃链路:传递来自或者到达车载MP的所有数据。

l              备份链路:不传递数据,但是它具备成为活跃链路的所有条件。

1. MLSP的优点

(1)        链路切换时间小于30毫秒。

(2)        在高功率导致设备饱和的情况下,MLSP仍能正常工作。

(3)        链路切换过程中,报文不丢失。

2. MLSP工作过程

MLSP为车载MP建立多条链路,从而提供链路备份,确保良好的网络性能,并增强网络的健壮性。

MLSP使用下面四个参数来决定是否进行活跃链路切换:

l              链路建立RSSI/链路保持RSSI:用于建立和保持一条链路的最小RSSI值。一条链路的RSSI值必须不小于这个值,才能被建立和保持。因此这个值必须要保证,否则错误率会很高,链路性能会变差。

l              链路切换阈值:如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换。这种机制用来避免频繁的链路切换。

l              链路保持时间:一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达。这种机制用来避免频繁的链路切换。

l              链路饱和RSSI:如果活跃链路上的RSSI超过链路饱和RSSI,会进行链路切换。

3. 休止链路的建立

一个车载MP会以较高的速率发送探寻报文,主动扫描附近的轨旁MP,并基于收到的探寻回应,建立邻居列表。

如果来自某个轨旁MP的RSSI大于链路建立RSSI,车载MP会与其建立一条休止链路。

4. 活跃链路的选择

车载MP基于如下规则,在休止链路中选择一条活跃链路:

(1)        如果没有休止链路,活跃链路无法建立。

(2)        在链路保持时间内,一般不进行活跃链路切换,但是以下两种情况除外:

l              活跃链路上的RSSI超过了链路饱和RSSI

l              活跃链路上的RSSI小于链路保持RSSI

(3)        当链路保持计时器超时后,如果任何一条休止链路的RSSI比当前活跃链路的RSSI高出的部分,都不能超过链路切换阈值,则不进行链路切换。

(4)        正常情况下,当下列条件都满足时,进行链路切换。

l              链路保持定时器超时;

l              一条休止链路的RSSI比当前活跃链路的RSSI高出的部分,超过链路切换阈值;

l              待切换休止链路的RSSI没有超过链路饱和RSSI;

(5)        正常情况下,如果所有链路的RSSI都低于链路保持RSSI,所有链路都会断掉。但是,为了在恶劣环境下保证业务的可用性,即便是上述情况发生,活跃链路也不会被切断。

2.1.6  Mesh网络拓扑

Mesh提供了以下三种拓扑。通过在每个AP的射频模式下配置邻居AP的MAC地址来实现,详细配置请参见“2.2.6  配置邻居MAC地址”。

1. 点到点的连接

在点到点的组网环境中,用户可以预先指定与其相连的邻居MAC地址,确定需要建立的指定Mesh链路。

图2-8 点到点的连接

 

2. 点到多点的连接

在点到多点的组网环境中,所有的连接都要通过中心桥接设备进行数据转发,如图2-9所示,所有的局域网的数据传输都要通过AP 1。

图2-9 点到多点的连接

 

3. 自拓扑检测与桥接

这种自拓扑检测与桥接可以检测到其他局域网设备,并且形成链路。该网络拓扑容易引起网络环路,使用时可以结合Mesh路由选择性地阻塞冗余链路来消除环路,在Mesh链路故障时还可以提供备链路备份的功能。

图2-10 自拓扑检测与桥接

 

2.2  配置Mesh服务

2.2.1  配置Mesh服务

1. 新建Mesh服务

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh服务”页签,进入如图2-11所示Mesh服务配置页面。

图2-11 Mesh服务配置页面

 

单击<新建>按钮,进入如图2-12所示Mesh服务新建页面。

图2-12 Mesh服务新建页面

 

Mesh服务的详细配置如表2-2所示。

表2-2 Mesh服务的详细配置

配置项

说明

Mesh服务名称

新建Mesh服务名称

 

2. 配置Mesh服务

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh服务”页签,在列表中找到要进行配置的Mesh服务,单击对应的图标,进入如图2-13所示的配置页面。

图2-13 Mesh服务新建页面

 

Mesh服务的详细配置如表2-3所示。

表2-3 Mesh服务的详细配置

配置项

说明

Mesh服务名称

显示选择的Mesh服务名称

VLAN(Tagged)

设置Tagged的VLAN ID,VLAN(Tagged)表示端口成员发送该VLAN报文时带Tag标签

VLAN(Untagged)

设置Untagged的VLAN ID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签

缺省VLAN

设置端口的缺省VLAN

在缺省情况下,所有端口的缺省VLAN均为VLAN 1,但用户可以根据需要进行配置

排除下列VLAN

删除已有Tagged和Untagged的VLAN ID

Mesh路由

Mesh环路检测算法

保活时间间隔

配置链路保活报文发送时间间隔

链路回程速率

配置链路回程速率

安全设置

字符串方式

以字符串方式输入预共享密钥

十六进制数方式

以十六进制数方式输入预共享密钥

预共享密钥

预共享密钥。

l      若类型为字符串,则为8~63个字符的可显示字符串

l      若类型为十六进制数,则为长度是64位的合法十六进制数

 

3. 绑定AP的射频

在导航栏中选择“无线服务 > Mesh服务”,在列表里查找到需要绑定的Mesh服务,点击Mesh服务右边的“绑定”按钮,进入图2-14所示绑定AP的射频页面。

图2-14 绑定AP的射频

 

选择需要绑定的AP射频,单击<绑定>按钮完成操作。

4. 开启Mesh服务

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh服务”页签,进入如图2-15所示Mesh服务配置页面。

图2-15 开启Mesh服务

 

选择需要开启的Mesh服务,单击<开启>按钮完成操作。

在开启Mesh服务前,必须完成配置Mesh服务中的预共享密钥配置,请参见2.2.1  2.

 

5. Mesh服务的详细信息

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh服务”页签,进入Mesh服务配置页面。点击指定的Mesh服务后,可以查看相关的详细信息。

图2-16 Mesh服务的详细信息

 

表2-4 Mesh服务显示信息描述表

配置项

说明

Mesh Profile Number

当前的Mesh服务号

Mesh ID

Mesh服务名称

Binding Interface

绑定的Mesh接口

MKD Service

MKD服务的状态:

l      Enable:MKD服务处于开启状态

l      Disable:MKD服务处于关闭状态

Link Keep Alive Interval (s)

保活报文发送间隔

Link Backhaul Rate (Mbps)

链路回程速率

Mesh Profile Status

Mesh服务的状态:

l      Enable:Mesh服务处于开启状态

l      Disable:Mesh服务处于关闭状态

 

2.2.2  配置Mesh策略

1. 新建Mesh策略

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh策略”页签,进入如图2-17所示Mesh策略配置页面。

图2-17 Mesh策略配置页面

 

单击“新建”按钮,进入如图2-18所示Mesh策略新建页面。

图2-18 Mesh策略新建页面

 

Mesh策略的详细配置如表2-5所示。

表2-5 Mesh策略的详细配置

配置项

说明

Mesh策略名称

新建Mesh策略名称

新建的Mesh策略能继承缺省default_mp_plcy的缺省策略内容

 

2. 配置Mesh策略

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh策略”页签,在列表中找到要进行配置的Mesh策略,单击对应的图标,进入如图2-19所示的配置页面。

图2-19 Mesh策略配置页面

 

Mesh策略的详细配置如表2-6所示。

表2-6 Mesh策略的详细配置

配置项

说明

Mesh策略

显示选择的Mesh策略名称

链路发起功能

缺省情况下,链路发起处于开启状态

在配置轨旁AP的MP策略时,需要禁止链路发起功能

禁止链路发起功能目前只用于地铁环境中

链路保持时间

设置链路保持时间

一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达。这种机制用来避免频繁的链路切换

最大Mesh链路数

设置允许建立的最大Mesh链路数

在建立Mesh时,如果在AP上建立的Mesh链路大于2时,需要根据实际链路数进行设置

链路保持RSSI

设置链路保持RSSI

用于建立和保持一条链路的最小RSSI值。一条链路的RSSI值必须不小于这个值,才能被建立和保持。因此这个值必须要保证,否则错误率会很高,链路性能会变差

链路切换阈值

设置链路切换阈值

如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换。这种机制用来避免频繁的链路切换

链路饱和RSSI

设置链路饱和RSSI

如果活跃链路上的RSSI超过链路饱和RSSI,芯片组将饱和,进行链路切换

探寻请求发送间隔

设置探寻请求的发送间隔

认证者角色

缺省情况下,一个设备基于协商的结果决定是否作为认证者

 

MLSP协议负责活跃链路的切换,该协议仅用于地铁Mesh网络部署环境。

 

图2-20 MLSP协议配置页面

 

MLSP协议的详细配置如表2-7所示。

表2-7 MLSP协议的详细配置

配置项

说明

MLSP代理设备地址

选中“MLSP代理设备地址“前的复选框,指定相连设备的MAC地址

 

3. 绑定Mesh策略

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh策略”页签,在列表中找到要进行配置的Mesh策略,选中对应“绑定”按钮,选择需要绑定的AP射频模式,单击<绑定>按钮完成操作。

4. Mesh策略的详细信息

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh策略”页签,进入Mesh策略配置页面。点击指定的Mesh策略后,可以查看相关的详细信息。

图2-21 Mesh策略详细信息

 

表2-8 Mesh策略显示信息描述表

配置项

说明

MP Policy Name

Mesh策略名

Mesh Link Initiation

Mesh链路发起是否开启

l      Enable:Mesh链路开启

l      Disable:Mesh链路关闭

Mlsp

MLSP的状态:

l      Enable:MLSP处于开启状态

l      Disable:MLSP处于关闭状态

Authenticator Role

认证者角色的状态:

l      Enable:开启认证者角色

l      Disable:关闭认证者角色

Max Links

Mesh策略允许的最大链路数

Probe Request Interval (ms)

探寻请求的发送间隔

Link Hold RSSI

链路保持RSSI

Link Hold Time (ms)

链路保持时间

Link Switch Margin

链路切换阈值

Link saturation RSSI

链路饱和RSSI

Link rate-mode

选择计算COST值的方式

l      fixed:Mesh接口的速率为固定值

l      real-time:Mesh接口的速率为根据链路质量(RSSI)实时变化的值

 

2.2.3  Mesh全局设置

1. Mesh基本设置

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh全局设置”页签,进入如图2-22所示Mesh全局设置页面。

图2-22 Mesh基本设置页面

 

Mesh基本设置的详细配置如表2-9所示。

表2-9 Mesh基本设置的详细配置

配置项

说明

MKD-ID

需要注意的是:

l      配置的MAC地址必须没有被使用,并且有正确的厂商标识部分

l      不能把AC的MAC地址配置为MKD-ID

 

2. 开启Mesh Portal服务

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh全局设置”页签,进入如图2-23所示Mesh Portal服务配置页面。

图2-23 Mesh Portal服务配置页面

 

选择需要开启的Mesh Portal服务的AP名称,单击<开启>按钮完成操作。

2.2.4  配置信道

可以通过以下两种方式完成Mesh的信道配置:

l              手工指定信道:在MAP和MPP之间的Mesh链路需要手工指定射频的工作信道,并且必须保持一致。在界面左侧的导航栏中选择“射频 > 射频设置”,进入如图2-24所示射频配置页面,在该页面可以手工选择信道。

图2-24 射频配置页面

 

在信道下拉框里选择指定的信道。

l              自动信道选择:设置MPP和MAP上射频的信道为auto,MPP和MAP间的射频建立WDS链接时,自动协商工作信道。

当MPP和MAP的射频配置为auto信道时,自动选择的工作信道为非雷达信道。

 

2.2.5  开启射频

在界面左侧的导航栏中选择“射频 > 射频设置”,进入如图2-25所示射频设置页面。

图2-25 开启射频

 

选择需要开启的射频模式,单击<开启>按钮完成操作。

2.2.6  配置邻居MAC地址

Mesh提供三种拓扑,请参见“2.1.6  Mesh网络拓扑”。通过在每个AP的射频模式下配置邻居AP的MAC地址来实现。

在导航栏中选择“无线服务 > Mesh服务”,在列表里查找到需要绑定的Mesh服务,点击Mesh服务右边的“绑定”按钮,进入图2-14所示绑定AP的射频页面。

在列表里选择需要配置的AP射频,单击对应的图标,进入图2-26所示邻居MAC地址配置页面。

图2-26 配置邻居MAC地址

 

邻居MAC地址的详细配置如表2-10所示。

表2-10 邻居MAC地址的详细配置

配置项

说明

邻居MAC地址

Mesh提供三种拓扑,请参见“2.1.6  Mesh网络拓扑”。通过在每个AP的射频模式下配置邻居AP的Radio的MAC地址来实现

路径开销

配置与邻居创建Mesh链路的stp cost值,如果不配置,则由stp自动计算该Mesh链路的cost值

图2-27所示Mesh链路监控页面中查看Mesh链路的cost值

 

2.3  查看Mesh链路状态

2.3.1  Mesh链路监控

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh链路监控”页签,进入如图2-27所示Mesh链路监控页面。

图2-27 查看Mesh链路监控

 

通过Mesh链路监控页面,管理者可以实时监控Mesh链路的状态信息。

2.3.2  Mesh链路测试

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh链路测试”页签,进入如图2-28所示Mesh链路测试页面。

图2-28 查看Mesh链路测试页面

 

该页面提供Mesh链路测试功能,具体操作方式如下:选中某一AP,点击开始,AC向AP发送链路检测指令,AP收到链路检测指令后,会向所有建立Mesh链路的邻居AP发送链路检测报文(目前一次检测中,AP发送5个检测报文)。在结束链路检测后,AP向AC发送检测报告。刷新AC链路检测页面后,可通过该页面查看相应AP的Mesh链路情况。

2.4  无线Mesh配置举例

2.4.1  普通无线Mesh典型配置举例

1. 组网需求

l              要求在MAP和MPP之间建立Mesh链路,链路之间使用802.11a协议。

l              在MAP上配置802.11g接入服务,使客户端接入无线网络。

图2-29 普通无线Mesh配置组网图

 

2. 配置思路

(1)        建立MPP和MAP之间的Mesh链路,按如下步骤配置:

l              创建MAP和MPP:在界面左侧的导航栏中选择“AP > AP设置”,单击“新建”按钮,创建MAP和MPP,配置步骤请参见“(1) 创建MAP和MPP”。

l              配置Mesh服务:新建Mesh服务,配置预共享密钥后,将Mesh服务和AP相绑定后开启Mesh服务,配置步骤请参见“(2) 配置Mesh服务”。

l              配置Mesh策略:Mesh策略缺省存在。在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的AP绑定,配置步骤请参见“(3) 配置Mesh策略”。

l              Mesh全局配置:配置MKD-ID(缺省存在),并对MPP开启Mesh Portal服务,配置步骤请参见“(4) Mesh全局配置”。

l              手工配置相同的信道,并开启射频,配置步骤请参见“(5) 手工配置相同的信道,并开启射频”。

(2)        在MAP上配置802.11g接入服务,使客户端接入无线网络:

相关配置请参见“1.3.1  无线服务典型配置举例”,可以完全参照相关举例完成配置。此处不再重复。

3. 配置步骤

(1)        创建MAP和MPP

在导航栏中选择“AP > AP设置”,单击<新建>按钮,进入如图2-30所示AP新建页面。

图2-30 创建AP

 

l              设置AP名称为“map”。

l              选择型号为“WA2220X-AG”。

l              选择序列号方式为“手动”,并输入AP的序列号。

l              单击<确定>按钮完成操作。

按此方法建立MPP。

(2)        配置Mesh服务

# 新建Mesh服务。

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh服务”页签,进入如图2-31所示Mesh服务配置页面。

图2-31 新建Mesh服务

 

l              设置Mesh服务名称为“outdoor”。

l              单击<确定>按钮完成操作。

# 配置预共享密钥。

图2-32 配置预共享密钥

 

l              选择字符串方式,设置预共享密钥为“12345678”。

l              单击<确定>按钮完成操作。

# 将Mesh服务和AP相绑定。

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh服务”页签,在列表中点击Mesh服务outdoor右边的“绑定”按钮,进入如图2-33所示的配置页面。

图2-33 将Mesh服务和AP相绑定

 

选择需要绑定的射频模式,点击<绑定>按钮完成操作。

# 开启Mesh服务。

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh服务”页签,进入如图2-34所示Mesh服务配置页面。

图2-34 开启Mesh服务

 

选择需要开启的Mesh服务,单击<开启>按钮完成操作。

(3)        配置Mesh策略

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh策略”页签,进入如图2-35所示Mesh策略配置页面。

图2-35 配置Mesh策略

 

Mesh策略缺省存在。在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的AP绑定。此例中使用缺省的default_mp_plcy策略。

 

(4)        Mesh全局配置

# 设置MKD-ID(缺省情况下,MKD-ID已经存在,此步骤可选)。

在界面左侧的导航栏中选择“无线服务 > Mesh服务”,选择“Mesh全局设置”页签,进入Mesh全局设置页面,可以对MKD-ID进行设置。

# 对MPP开启Mesh Portal服务。

图2-36 开启Mesh Portal服务

 

l              选择与AC有线连接的MPP。

l              单击<开启>按钮完成操作。

(5)        手工配置相同的信道,并开启射频

# 手工配置相同的信道。

在界面左侧的导航栏中选择“射频 > 射频设置”,在列表中选择需要配置的map,单击对应的图标,进入如图2-37所示的页面。

图2-37 手工配置相同的信道

 

在信道下拉框中选择使用的信道。按此方法指定MPP的工作信道。需要注意的是,在MAP和MPP上选用的信道应该保持一致。

# 开启射频。

在界面左面的导航栏中选择“射频 > 射频设置”,进入射频设置页面。

图2-38 开启射频

 

选择需要开启的MAP和MPP的射频模式,单击<开启>按钮完成操作。

4. 验证配置结果

MAP和MPP之间的Mesh链路已经建立,可以相互ping通。

在MAP上配置802.11g接入服务后,客户端和AC之间可以相互ping通,客户端通过Mesh链路接入网络。

2.4.2  地铁无线Mesh典型配置举例

1. 组网需求

l              如下图所示,所有轨旁MP与一个AC相连。

l              要求配置WLAN Mesh后,车载MP能够与轨旁MP正常建立连接。

图2-39 地铁无线Mesh配置组网图

 

2. 配置思路

地铁无线Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:

(1)        需要定制轨旁AP(对应图中的Rail MP)Mesh策略:

l              需要关闭止链路发起功能,详细配置可参见“2.2.2  配置Mesh策略”。

l              需要开启Mesh Portal服务,详细配置可参见“2.2.3  2. 开启Mesh Portal服务”。

(2)        需要定制车载AP(对应图中的Train MP)Mesh策略:

l              需要开启MLSP协议;

l              需要关闭认证者角色,详细配置可参见“2.2.2  配置Mesh策略”。

l              设置允许建立的最大Mesh链路数(缺省值为2,请根据实际链路数进行设置)。详细配置可参见“2.2.2  配置Mesh策略”。

3. 配置步骤

地铁无线Mesh配置和普通无线Mesh在配置上的差别体现在轨旁AP和车载AP的Mesh策略上,其他配置步骤与普通无线Mesh基本相同,具体配置步骤请参见“2.4.1  3. 配置步骤”。

2.4.3  Mesh点到多点典型配置举例

1. 组网需求

要求AP 1做为MPP,分别和AP 2,AP 3,AP 4,AP 5建立Mesh链路。

图2-40 Mesh配置组网图

 

2. 配置思路

Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:

l              在每个AP的射频模式下配置邻居AP的MAC地址,

l              设置允许建立的最大Mesh链路数(缺省值为2,需要根据实际链路数进行设置,此列中应设为4)。详细配置可参见“2.2.2  配置Mesh策略”。

3. 配置步骤

Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见“2.4.1  3. 配置步骤”。

2.4.4  Mesh支持三频配置举例

1. 组网需求

在各MP和MPP之间建立Mesh链路,并要求利用射频资源,使MPP的Radio 1、MP的Radio 1和Radio 2、MP 2的Radio 1加入到同一个Mesh网络中,Radio 3作为覆盖天线,提供无线接入服务。

图2-41 Mesh支持三频组网图

 

2. 配置思路

(1)        配置Mesh服务

Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:

l              加入同一个Mesh网络的Radio上需要应用相同的Mesh服务。根据本例的需求,将MPP的Radio 1、MP 1的Radio 1和Radio 2、MP 2的Radio 1绑定到同一个Mesh服务上。

图2-42 绑定Mesh服务

 

l              在MPP的Radio 1上将MP 1上的Radio 1设定为邻居MAC,同理,在MP 1上将MPP的Radio 1设定为邻居MAC。MP 1的Radio 2和MP 2的Radio 1上也进行同样操作。

(2)        配置接入服务

Radio 3作为覆盖天线,提供无线接入服务。相关配置请参见“1.3  无线接入配置举例”,可以完全参照相关举例完成配置。

3. 配置步骤

Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见“2.4.1  3. 配置步骤”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!