国家 / 地区

H3C MSR 系列路由器 Web配置指导(V5)-R2311-V1.06

06-无线配置

本章节下载  (3.38 MB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/User_Manual/H3C_MSR_Web_(V5)-R2311-V1.06/201212/767925_30005_0.htm

06-无线配置

  录

1 无线配置简介

1.1 概述

1.2 配置任务简介

2 无线接入服务配置

2.1 配置无线接入服务

2.1.1 新建无线接入服务

2.1.2 配置clear类型无线服务

2.1.3 配置crypto类型无线服务

2.1.4 配置无线服务绑定

2.1.5 安全参数关系表

2.2 查看无线接入服务

2.2.1 查看无线服务

2.2.2 查看客户端

2.2.3 查看客户链路测试结果

2.3 无线接入服务配置举例

2.3.1 无线服务典型配置举例

2.3.2 基于接入服务的VLAN配置举例

2.3.3 PSK认证典型配置举例

2.3.4 MAC地址本地认证配置举例

2.3.5 远程MAC地址认证配置举例

2.3.6 远程802.1x认证配置举例

2.3.7 802.11n典型配置举例

3 Client模式

3.1 开启Client模式

3.2 连接无线服务

3.3 查看统计信息

3.4 Client模式配置举例

4 射频配置

4.2 配置射频速率

4.2.1 配置802.11a/802.11b/802.11g射频速率

4.2.2 配置802.11n MCS

4.3 查看射频

4.3.1 查看与射频绑定的无线服务

4.3.2 查看射频的详细信息

5 安全配置

5.1 黑白名单

5.2 配置黑白名单

5.3 用户隔离

5.4 配置用户隔离

6 服务质量配置

6.1 无线服务质量简介

6.2 配置无线服务质量

6.2.1 开启无线服务质量

6.2.2 SVP服务设置

6.2.3 CAC准入控制策略设置

6.2.4 射频EDCA设置

6.2.5 用户EDCA设置

6.2.6 显示射频信息

6.2.7 显示客户端信息

6.2.8 配置限速

6.3 无线服务质量配置举例

6.3.1 CAC服务典型配置举例

6.3.2 静态限速配置举例

6.3.3 动态限速配置举例

7 高级

7.1 区域码

7.2 配置区域码

7.3 信道利用率检测

7.3.1 设置信道利用率检测

 


1 无线配置简介

Web页面提供的无线配置功能如下:

·              配置无线接入服务

·              查看无线接入服务

·              配置射频速率

·              查看射频

·              配置黑白名单

·              配置用户隔离

·              配置无线服务质量

·              配置区域码

完成上述配置后,即可以建立一个完整、稳定、安全、高效的无线网络。

1.1  概述

WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在有线网络,只是用户可以通过无线方式接入网络。

通过进行无线配置,网络运营商和企业能够为用户提供无线服务,服务内容主要包括:

·              通过无线网络,用户可以方便的接入网络,并访问已有网络或因特网;

·              无线网络使用不同认证和加密方式,提供安全的无线网络接入服务;

·              在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。

1.2  配置任务简介

表1-1 无线配置配置任务简介

步骤

配置任务

说明

1

无线接入服务配置

必选

新建无线接入服务并配置其属性,提供用户加入特定无线网络的选择

2

射频配置

可选

配置射频速率,调整无线设备的通讯能力

3

安全配置

可选

对无线客户端进行接入控制及互通控制,加强WLAN的安全性能

4

服务质量配置

可选

规划、分配无线网络资源,使网络资源得到高效利用

5

区域码配置

可选

在不同国家或地区根据具体情况,配置符合当地管制规定的区域码


2 无线接入服务配置

说明

无线接入服务的相关内容请参见《H3C MSR系列路由器 配置指导(V5)》,“WLAN配置指导”中的“WLAN服务”和“WLAN安全”。

 

2.1  配置无线接入服务

2.1.1  新建无线接入服务

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,进入如下图所示接入服务配置页面。

图2-1 接入服务配置页面

 

单击<新建>按钮,进入如下图所示接入服务新建页面。

图2-2 接入服务新建页面

 

新建无线接入服务的详细配置如下表所示。

表2-1 新建无线接入服务的详细配置

配置项

说明

射频单元

支持的射频号,取值为1或2。

射频模式

实际的取值与设备的型号以及射频单元有关,请以设备的实际情况为准

无线服务名称

设置SSID(Service Set Identifier,服务集标识符)

SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了Beacon报文长度和使用难度,对无线安全没有改进

无线服务类型

选择无线服务类型:

·       clear:使用明文发送数据

·       crypto:使用密文发送数据

 

2.1.2  配置clear类型无线服务

1. clear类型无线服务基本配置

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应icon_mdf的图标,进入如下图所示的配置页面。

图2-3 clear类型无线服务基本配置页面

 

clear类型无线服务基本配置的详细配置如下表所示。

表2-2 clear类型无线服务基本配置的详细配置

配置项

说明

无线服务名称

显示选择的SSID

VLAN(Untagged)

添加Untagged的VLAN ID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签

缺省VLAN

设置端口的缺省VLAN

在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID

删除VLAN

删除已有Tagged和Untagged的VLAN ID

网络隐藏

配置是否在信标帧中通告SSID,缺省情况下,信标帧通告SSID

·       Enable:禁止在信标帧中通告SSID

·       Disable:在信标帧中通告SSID

提示

SSID隐藏后,设备发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入设备

隐藏SSID对无线安全意义不大。允许广播SSID可以使客户端更容易发现AP

 

2. clear类型无线服务高级配置

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应icon_mdf的图标,进入如下图所示clear类型无线服务高级配置页面。

图2-4 clear类型无线服务高级配置页面

 

clear类型无线服务高级配置的详细配置如下表所示。

表2-3 clear类型无线服务高级配置的详细配置

配置项

说明

关联最大用户数

在一个射频下,某个SSID下关联客户端的最大个数

提示

当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏

管理权限

上线的客户端对设备WEB界面的管理权限

·       Disable:表示上线的客户端对设备WEB界面没有管理权限

·       Enable:表示上线的客户端对设备WEB界面有管理权限

 

3. clear类型无线服务安全配置

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应icon_mdf的图标,进入clear类型无线服务安全配置页面。

clear类型无线服务基本配置的详细配置如下图所示。

表2-4 clear类型无线服务安全配置的详细配置

配置项

说明

认证方式

clear类型只能选择Open-System方式

端口安全

·       mac-authentication:对接入用户采用MAC地址认证

·       mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证

·       mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户

·       userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

·       userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证

·       userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户

·       userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

窍门

由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:

·       “userLogin”表示基于端口的802.1X认证;

·       “mac”表示MAC地址认证;

·       “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式;

·       “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式;

·       携带“Secure”的userLogin表示基于MAC地址的802.1X认证;

·       携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功

最大用户数

控制能够通过某端口接入网络的最大用户数

 

(1)      当选择mac-authentication时,需要配置如下选项:

图2-5 mac-authentication端口安全配置页面

 

表2-5 mac-authentication端口安全配置的详细配置

配置项

说明

端口模式

mac-authentication:对接入用户采用MAC地址认证

最大用户数

控制能够通过某端口接入网络的最大用户数

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

 

(2)      当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项:

图2-6 userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)

 

表2-6 userlogin-secure/userlogin-secure-ext端口安全配置的详细配置

配置项

说明

端口模式

·       userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

·       userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

最大用户数

控制能够通过某端口接入网络的最大用户数

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

认证方法

·       EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证

·       CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠

·       PAP:采用PAP认证方式。PAP采用明文方式传送口令

用户握手

·       Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态

·       Disable:关闭在线用户握手功能

多播触发

·       Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态

·       Disable:关闭802.1X的组播触发功能

提示

对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能

 

(3)      当选择其他四种端口安全时,需要配置如下选项:

图2-7 四种端口安全配置页面(以mac-else-userlogin-secure为例)

 

表2-7 其他四种端口安全配置的详细配置

配置项

说明

端口模式

·       mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证

·       mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户

·       userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证

·       userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户

最大用户数

控制能够通过某端口接入网络的最大用户数

域名

在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

认证方法

·       EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证

·       CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠

·       PAP:采用PAP认证方式。PAP采用明文方式传送口令

用户握手

·       Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态

·       Disable:关闭在线用户握手功能

多播触发

·       Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态。

·       Disable:关闭802.1X的组播触发功能

提示

对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

 

2.1.3  配置crypto类型无线服务

1. crypto类型无线服务基本配置

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应icon_mdf的图标,进入如下图所示页面。

图2-8 crypto类型无线服务基本配置页面

 

crypto类型无线服务基本配置的详细配置请参见表2-2

2. crypto类型无线服务高级配置

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应icon_mdf的图标,进入如下图所示页面。

图2-9 crypto类型无线服务高级配置页面

 

crypto类型无线服务高级配置的详细配置如下表所示。

表2-8 crypto类型无线服务高级配置的详细配置

配置项

说明

关联最大用户数

在一个射频下,某个SSID下的关联客户端的最大个数

提示

当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏

PTK生存时间

设置PTK的生存时间,PTK通过四次握手方式生成

TKIP反制策略实施时间

设置反制策略实施时间。

缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略;如果时间设置为其他值则启动反制策略;

MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联

管理权限

上线的客户端对设备WEB界面的管理权限

·       Disable:表示上线的客户端对设备WEB界面没有管理权限

·       Enable: 表示上线的客户端对设备WEB界面有管理权限

GTK更新方法

GTK由AP生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文

·       选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔

·       选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK

缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒

客户端离线更新GTK

启动当客户端离线时更新GTK的功能

缺省情况下,客户端离线更新GTK的功能处于关闭状态

 

3. crypto类型无线服务安全配置

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应icon_mdf的图标,进入如下图所示页面。

图2-10 crypto类型无线服务安全配置页面

 

crypto类型无线服务安全配置的详细配置如下表所示。

表2-9 crypto类型无线服务安全配置的详细配置

配置项

说明

认证方式

链路认证方式,可选择以下几种:

·       Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证

·       Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制

·       Open-System and Shared-Key:可以同时选择使用Open-System和Shared-Key认证

加密类型

无线服务支持加密机制

·       CCMP:一种基于AES加密算法的加密机制

·       TKIP:一种基于RC4算法和动态密钥管理的加密机制

·       CCMP and TKIP:可以同时选择使用CCMP和TKIP加密

安全IE

无线服务类型(Beacon或者Probe response报文中携带对应的IE信息):

·       WPA:在802.11i协议之前,Wi-Fi Protected Access定义的安全机制

·       WPA2:802.11i定义的安全机制,也就是RSN(Robust Security Network,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性

·       WPA and WPA2:同时选择使用WPA和WPA2

WEP加密

密钥类型

·       WEP 40:选择WEP 40进行加密

·       WEP 104:选择WEP 104进行加密

·       WEP 128:选择WEP 128进行加密

密钥ID

密钥ID用来配置密钥索引号,可选以下几种:

1:选择密钥索引为1

2:选择密钥索引为2

3:选择密钥索引为3

4:选择密钥索引为4

在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密

长度

选择WEP密钥长度

·       当密钥类型选择WEP 40时,可选的密钥长度5个字符(5 Alphanumeric Chars)或者10位16进制数(10 Hexadecimal Chars)

·       当密钥类型选择WEP 104时,可选的密钥长度13个字符(13 Alphanumeric Chars)或者26位16进制数(26 Hexadecimal Chars)

·       当密钥类型选择WEP 128时,可选的密钥长度16个字符(16 Alphanumeric Chars)或者32位16进制数(32 Hexadecimal Chars)

密钥

配置WEP密钥

端口安全

请参见表2-4

“认证方式”、“加密类型”等参数直接决定了端口模式的可选范围,具体请参见表2-12

在选则“加密类型”后,增加以下四种端口安全模式:

·       mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

·       psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

·       userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

 

(1)      当选择mac and psk时,需要配置如下选项:

图2-11 mac and psk端口安全配置页面

 

表2-10 mac and psk端口安全配置的详细配置

配置项

说明

端口模式

mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

最大用户数

控制能够通过某端口接入网络的最大用户数

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

预共享密钥

·       pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串。

·       raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。

 

(2)      当选择psk时,需要配置如下选项:

图2-12 psk端口安全配置页面

 

表2-11 psk端口安全配置的详细配置

配置项

说明

端口模式

psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

最大用户数

控制能够通过某端口接入网络的最大用户数

域共享密钥

·       pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串。

·       raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。

 

(3)      当选择userlogin-secure-ext时,需要配置的选项如“2.1.2  3. (2)”:

2.1.4  配置无线服务绑定

在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的无线服务,单击对应的图标,进入如下图所示页面,选中所要绑定的项目,单击<绑定>按钮。

图2-13 无线服务绑定配置界面

 

2.1.5  安全参数关系表

clear类型和crypto类型无线服务类型下,各参数之间的关系如下表所示:

表2-12 安全参数关系表

服务类型

认证方式

加密类型

安全IE

WEP加密/密钥ID

端口模式

clear

Open-System

不可选

不可选

不可选

mac-authentication

mac-else-userlogin-secure

mac-else-userlogin-secure-ext

userlogin-secure

userlogin-secure-ext

userlogin-secure-or-mac

userlogin-secure-or-mac-ext

crypto

Open-System

选择

必选

WEP加密可选/密钥ID可选1234

mac and psk

psk

userlogin-secure-ext

不选择

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

Shared-Key

不可选

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

Open-System and  Shared-Key

选择

必选

WEP加密必选/密钥ID可选1234

mac and psk

psk

userlogin-secure-ext

不选择

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

 

2.2  查看无线接入服务

2.2.1  查看无线服务

在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,点击指定的无线服务后,可以查看相关的详细信息、统计信息、连接历史。

1. 查看无线服务的详细信息

clear类型无线服务的详细信息如下图所示,详细信息中的各字段解释请参见表2-13

图2-14 查看clear类型的无线服务的详细信息

 

表2-13 clear类型无线服务显示信息描述表

配置项

说明

Service Template Number

当前无线服务号

SSID

Service Set Identifier,表示设置的服务集标识符

Service Template Type

服务模板类型

Authentication Method

使用的认证类型,clear类型的无线服务只能使用Open System(开放系统认证)方式

SSID-hide

·       Disable:启用SSID通告

·       Enable:禁用SSID通告。SSID隐藏后,设备发送的信标帧里面不包含SSID信息

Service Template Status

服务模板状态:

·       Enable:无线服务处于使能状态

·       Disable:无线服务处于关闭状态

Maximum clients per BSS

一个BSS中能够连接的最大客户端数

 

crypto类型无线服务的详细信息如下图所示,详细信息中的各字段解释请参见表2-14

图2-15 查看crypto类型的无线服务的详细信息

 

表2-14 crypto类型无线服务显示信息描述表

配置项

说明

Service Template Number

当前无线服务号

SSID

Service Set Identifier,表示设置的服务集标识符

Service Template Type

服务模板类型

Security IE

安全IE:WPA或RSN

Authentication Method

使用的认证类型:Open System(开放系统认证)或者Shared Key(共享密钥认证);

SSID-hide

·       Disable:启用SSID通告

·       Enable:禁用SSID通告。SSID隐藏后,设备发送的信标帧里面不包含SSID信息

Cipher Suite

加密套件:CCMP、TKIP、WEP40、WEP104或WEP128

TKIP Countermeasure Time(s)

TKIP反制策略时间,单位为秒

PTK Life Time(s)

PTK生存时间,单位为秒

GTK Rekey

GTK密钥更新配置

GTK Rekey Method

GTK密钥更新方法:基于包或基于时间

GTK Rekey Time(s)

当选择基于时间的GTK密钥更新方法时,显示GTK密钥更新时间,单位为秒

当选择基于包的GTK密钥更新方法时,显示数据包的数目

Service Template Status

服务模板状态:

·       Enable:无线服务处于使能状态

·       Disable:无线服务处于关闭状态

Maximum clients per BSS

一个BSS中能够连接的最大客户端数

 

2. 查看无线服务的统计信息

无线服务的统计信息如下图所示。

图2-16 查看无线服务的统计信息

 

3. 查看无线服务的连接历史信息

无线服务的连接历史信息如下图所示。

图2-17 查看无线服务的连接历史信息

 

2.2.2  查看客户端

1. 查看客户端详细信息

在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签。进入页面后,选择“详细信息”页签,点击指定的客户端后,可以查看相关的详细信息。

客户端详细信息如下图所示,客户端详细信息中的各字段解释,请参见表2-15表2-16

图2-18 查看客户端详细信息

 

表2-15 信号质量描述表

字段

描述

信号质量

:只显示最下方1个信号格,表示0<RSSI<=20

:显示2个信号格,表示20<RSSI<=30

:显示3个信号格,表示30<RSSI<=35

:显示4个信号格,表示35<RSSI<=40

:显示5个信号格,表示40<RSSI

 

表2-16 客户端详细显示信息描述表

字段

描述

MAC address

客户端的MAC地址

AID

客户端的关联ID

User Name

客户端的认证用户名

如果客户端采用明文方式或无用户名的加密方式接入,该字段显示为-NA-

需要注意的是,该字段的显示情况和客户端是否采用Portal认证无关。也就是说,如果客户端采用Portal认证方式,User Name字段不会显示客户端的Portal用户名

Radio Interface

WLAN射频接口

SSID

设备提供的SSID

BSSID

设备的MAC地址

Port

与客户端关联的WLAN-BSS接口

VLAN

客户端所处的VLAN

State

客户端的状态,例如:Running(运行)

Power Save Mode

客户端的节电模式:Active(激活)或者Sleep(睡眠)

Wireless Mode

无线模式:802.11b,802.11g,802.11gn

QoS Mode

设备是否支持WMM标志

Listen Interval (Beacon Interval)

客户端激活后监听信标帧的时间间隔,单位为Beacon interval(信标发送时间间隔)

RSSI

接收信号强度指示,该值表明了设备检测到Client的信号强度

SNR

信噪比

Rx/Tx Rate

上一个帧的接收和传输速率

Client Type

客户端类型,例如:RSN、WPA或Pre-RSN

Authentication Method

认证方式,例如:开放系统认证或共享密钥认证

AKM Method

AKM套件,如Dot1X,PSK

4-Way Handshake State

4次握手状态中的一种:

·       IDLE:初始化状态

·       PTKSTART:4次握手初始化完毕

·       PTKNEGOTIATING:发送了有效消息3

·       PTKINITDONE:4次握手成功

Group Key State

组密钥状态,包括以下几种:

·       IDLE:初始化状态

·       REKEYNEGOTIATE:AC向用户发送初始化消息

·       REKEYESTABLISHE:密钥更新成功

Encryption Cipher

加密密码:明文或者密文加密的类型

Roam Status

漫游状态:正常或者快速漫游

Up Time

客户端和设备关联的时间

 

该页面的控件含义如下:

·              <刷新>按钮

单击<刷新>按钮,刷新当前页面的显示信息。

·              <黑名单>按钮

单击<黑名单>按钮,可以把选定的客户端加入到静态黑名单中,静态黑名单可以选择通过“安全 > 黑白名单”进行查看。

·              <清空统计>按钮

单击<清空统计>按钮,可以删除列表中的所有项或清除所有统计信息。

·              <断开连接>按钮

单击<断开连接>按钮,可以使选定的客户端下线。

2. 查看客户端统计信息

在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签。进入页面后,选择“统计信息”页签,点击指定的客户端后,可以查看相关的统计信息。

客户端统计信息如下图所示,客户端统计信息中的各字段解释,请参见表2-17

图2-19 查看客户端详细信息

 

表2-17 客户端统计信息显示信息描述表

字段

描述

AP Name

接入点名称

Radio Id

射频ID号

SSID

设备提供的SSID

BSSID

设备的MAC地址

MAC Address

客户端的MAC地址

RSSI

接收信号强度指示,该指表明了设备检测到Client的信号强度

Transmitted Frames

发送的帧的数目

Back Ground(Frames/Bytes)

以帧或字节为单位对背景流优先级队列进行统计

        

Best Effort(Frames/Bytes)

以帧或字节为单位对尽力而为流优先级队列进行统计

Video(Frames/Bytes)

以帧或字节为单位对视频流优先级队列进行统计

Voice(Frames/Bytes)

以帧或字节为单位对语音流优先级队列进行统计

Received Frames

收到的帧的数目

Discarded Frames

丢弃的帧的数目

 

2.2.3  查看客户链路测试结果

RFPing(Radio Frequency Ping)是一种针对无线链路的Ping功能,通过该检测可以获取路由器和与之关联的客户端之间的无线链路的连接信息,如信号强度、报文重传次数、RTT等。

在界面左侧的导航栏中选择“接口配置 > 无线 > 概览 > 客户端”,进入页面后,选择“链路测试结果”页签,点击指定的客户端后,显示如图2-20所示链路测试结果。链路测试结果中的各字段解释,请参见表2-18

图2-20 查看客户链路测试结果

表2-18 链路测试结果

字段

描述

No./MCS

1.   对非802.11n客户端进行RFPing操作后,链路测试结果中会显示No.字段,表示非802.11n客户端的速率编号

2.   对802.11n客户端进行RFPing操作后,链路测试结果中会显示MCS字段,表示802.11n客户端的MCS索引值

Rate(Mbps)

Radio接口发送无线Ping的速率

TxCnt

Radio接口发送无线Ping包的个数

RxCnt

Radio接口收到客户端回应无线Ping包的个数

RSSI

接收信号强度指示,该值表明了AP检测到客户端的信号强度

Retries

Radio接口发送无线Ping包失败时的重传总次数

RTT(ms)

从Radio接口发出无线Ping包到收到客户端回应的平均往返时间

 

2.3  无线接入服务配置举例

2.3.1  无线服务典型配置举例

1. 组网需求

某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要在设备上开启无线功能实现移动办公。

具体要求如下:

·              提供SSID为service1的明文方式的无线接入服务。

·              采用目前较为常用的802.11g射频模式。

图2-21 无线服务组网图

 

2. 配置步骤

(1)      配置无线服务

# 创建无线服务。

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如下图所示无线服务新建页面。

图2-22 创建无线服务

 

·              选择射频单元为“1”。

·              设置无线服务名称为“service1”。

·              选择无线服务类型为“clear”。

·              单击<确定>按钮完成操作。

(2)      开启无线服务

在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如下图所示页面。

图2-23 开启无线服务

 

·              选中“service1”前的复选框。

·              单击<开启>按钮完成操作。

(3)      开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)

在导航栏中选择“接口配置 > 无线 > 射频”,进入下图所示射频设置页面,确认802.11g处于开启状态。

图2-24 开启802.11g射频

 

3. 验证配置结果

在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。

4. 配置注意事项

配置无线服务需注意如下事项:

·              选择正确的区域码。

·              确认射频单元处于开启状态。

2.3.2  基于接入服务的VLAN配置举例

1. 组网需求

AP可以同时支持多个无线接入服务,不但无线接入服务可以采用不同的无线安全策略,而且可以把将无线接入服务绑定到不同VLAN中,实现无线接入用户的隔离。本例要求如下:

·              建立一个名为“research”的无线接入服务,使用PSK认证方式,所有接入该无线网络的客户端都在VLAN 2中。

·              建立一个名为“office”的无线接入服务,使用明文接入方式,所有接入该无线网络的客户端都在VLAN 3中。

图2-25 基于接入服务的VLAN拓扑图

 

2. 配置步骤

(1)      配置名为research的无线服务

# 创建无线服务。

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入无线服务新建页面。

·              设置无线服务名称为“research”。

·              选择无线服务类型为“crypto”。

·              单击<确定>按钮完成操作。

# 创建无线服务后,直接进入配置无线服务界面,进行VLAN设置(请先通过“网络 > VLAN”,新建VLAN 2)。

图2-26 设置VLAN

 

·              设置VLAN(Untagged)为“2”。

·              设置缺省VLAN为“2”。

·              设置删除VLAN为“1”。

 

说明

PSK认证的相关配置请参见“2.3.3  PSK认证典型配置举例”,可以完全参照相关举例完成配置。

 

(2)      配置名为office的无线服务

# 创建无线服务。

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入无线服务新建页面。

·              设置无线服务名称为“office”。

·              选择无线服务类型为“clear”。

·              单击<确定>按钮完成操作。

# 创建无线服务后,直接进入配置无线服务界面,配置VLAN(请先通过“网络 > VLAN”,新建VLAN 3)。

图2-27 设置VLAN

 

·              设置VLAN(Untagged)为“3”。

·              设置缺省VLAN为“3”。

·              设置删除VLAN为“1”。

·              单击<确定>按钮完成操作。

3. 验证配置结果

在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。

接入SSID为office的客户端0014-6c8a-43ff加入VLAN 3,接入SSID为research的客户端0040-96b3-8a77加入VLAN 2,两个客户端不在同一VLAN,相互不能访问。

2.3.3  PSK认证典型配置举例

1. 组网需求

要求客户端使用PSK方式接入无线网络,客户端的PSK密钥配置与AP端相同,为12345678。

图2-28 PSK认证配置组网图

 

2. 配置步骤

(1)      配置无线服务

# 创建无线服务

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如下图所示页面。

图2-29 创建无线服务

 

·              设置无线服务名称为“psk”。

·              选择无线服务类型为“crypto”。

·              单击<确定>按钮完成操作。

(2)      配置PSK认证

创建无线服务后,直接进入配置无线服务界面,配置PSK认证需要对“安全设置”部分进行设置。

图2-30 安全设置

 

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“加密类型”前的复选框,选择“CCMP and TKIP”加密类型(请根据实际情况,选择需要的加密类型),选择“WPA”安全IE。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“psk”方式。

·              在PSK预共享密钥下拉框里选择“pass-phrase”,输入密钥“12345678”。

·              单击<确定>按钮完成操作。

(3)      开启无线服务

在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如下图所示页面。

图2-31 开启无线服务

 

·              选中“psk”前的复选框。

·              单击<开启>按钮完成操作。

(4)      开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)

在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。

(5)      配置无线客户端

打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为PSK),单击<连接>,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如下图所示。

图2-32 配置无线客户端

 

客户端配置相同的PSK预共享密钥,客户端可以成功关联AP。

图2-33 客户端成功关联AP

 

3. 验证配置结果

(1)      客户端配置相同的PSK预共享密钥。客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。

2.3.4  MAC地址本地认证配置举例

1. 组网需求

要求使用客户端使用MAC地址本地认证方式接入无线网络。

图2-34 MAC地址本地认证配置组网图

 

 

2. 配置步骤

(1)      配置无线服务

# 创建无线服务。

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如下图所示无线服务新建页面。

图2-35 创建无线服务

 

·              选择射频单元为“1”。

·              设置无线服务名称为“mac-auth”。

·              选择无线服务类型为“clear”。

·              单击<确定>按钮完成操作。

(2)      配置MAC地址本地认证

创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对“安全设置”部分进行设置。

图2-36 安全设置

 

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。

·              选中“MAC认证”前的复选框,在域名下拉框中选择“system”。

·              单击<确定>按钮完成操作。

(3)      开启无线服务

在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如下图所示页面。

图2-37 开启无线服务

 

·              选中“mac-auth”前的复选框。

·              单击<开启>按钮完成操作。

(4)      配置MAC认证列表

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<MAC认证列表>按钮,进入如下图所示页面。

图2-38 添加MAC认证列表

 

·              在MAC地址栏里添加本地接入用户,本例中为“00-14-6c-8a-43-ff”。

·              单击<新建>按钮完成操作。

(5)      开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)

在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。

(6)      配置无线客户端

打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为mac-auth),单击<连接>,如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。

图2-39 配置无线客户端

 

3. 验证配置结果

如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。

2.3.5  远程MAC地址认证配置举例

1. 组网需求

要求使用客户端使用远程MAC地址认证方式接入无线网络。

·              一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上需要添加了Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置了与设备交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。

·              设备的IP地址为10.18.1.1。设备与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。

图2-40 远程MAC地址认证配置组网图

 

2. 配置步骤

(1)      配置无线服务

# 创建无线服务。

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如下图所示页面。

图2-41 创建无线服务

 

·              选择射频单元为“1”。

·              设置无线服务名称为“mac-auth”。

·              选择无线服务类型为“clear”。

·              单击<确定>按钮完成操作。

(2)      配置MAC地址认证

创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对“安全设置”部分进行设置。

图2-42 安全设置

 

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。

·              选中“MAC认证”前的复选框,在域名下拉框中选择“system”。

·              单击<确定>按钮完成操作。

(3)      开启无线服务

在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如下图所示页面。

图2-43 开启无线服务

 

·              选中“mac-auth”前的复选框。

·              单击<开启>按钮完成操作。

(4)      开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)

在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。

(5)      配置RADIUS serveriMC V3

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·              设置认证、计费共享密钥为expert;

·              设置认证及计费的端口号分别为1812和1813;

·              选择协议类型为LAN接入业务;

·              选择接入设备类型为H3C;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

图2-44 增加接入设备

 

# 增加服务配置。

选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

设置服务名为mac,其他保持缺省配置。

图2-45 增加服务配置页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·              添加用户名00-14-6c-8a-43-ff;

·              添加帐号名和密码为00-14-6c-8a-43-ff;

·              选中刚才配置的服务mac。

图2-46 增加接入用户

 

(6)      配置RADIUS serveriMC V5

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·              设置认证、计费共享密钥为expert,其它保持缺省配置;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

图2-47 增加接入设备

 

# 增加服务配置。

选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。

设置服务名为mac,其它保持缺省配置。

图2-48 增加服务配置页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·              添加用户00-14-6c-8a-43-ff;

·              添加帐号名和密码为00-14-6c-8a-43-ff;

·              勾选刚才配置的服务mac。

图2-49 增加接入用户

 

3. 验证结果

认证过程中,客户端不需要用户手动输入用户名或者密码。该客户端通过MAC地址认证后,可以通过访问无线网络。在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。

2.3.6  远程802.1x认证配置举例

1. 组网需求

要求使用客户端使用远程802.1x认证方式接入无线网络。

·              一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上需要添加了Client的用户名和密码(用户名为user,密码dot1x),同时设置了与设备交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。

·              设备的IP地址为10.18.1.1。设备与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。

图2-50 远程802.1x认证配置组网图

 

2. 配置步骤

(1)      配置无线服务

# 创建无线服务。

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如下图所示无线服务新建页面。

图2-51 创建无线服务

 

·              选择射频单元为“1”。

·              设置无线服务名称为“dot1x”。

·              选择无线服务类型为“crypto”。

·              单击<确定>按钮完成操作。

(2)      配置802.1x认证

创建无线服务后,直接进入配置无线服务界面,配置802.1x认证需要对“安全设置”部分进行设置。

图2-52 安全设置

 

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“加密类型”前的复选框,在加密类型下拉框中选择“CCMP”,在安全IE下拉框中选择“WPA2”。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。

·              选中“域名”前的复选框,在域名下拉框中选择“system”。

·              在认证方法下拉框中选择“EAP”。

·              建议关闭用户握手和多播触发。

·              单击<确定>按钮完成操作。

(3)      开启无线服务

在导航栏中选择“接口配置 > 无线 > 接入服务”。

·              选中“dot1x”前的复选框。

·              单击<开启>按钮完成操作。

(4)      开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)

在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。

(5)      配置RADIUS serveriMC V3

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·              设置认证、计费共享密钥为expert;

·              设置认证及计费的端口号分别为1812和1813;

·              选择协议类型为LAN接入业务;

·              选择接入设备类型为H3C;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

图2-53 增加接入设备

 

# 增加服务配置。

选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·              设置服务名为dot1x;

·              选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。

图2-54 增加服务配置页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·              添加用户名user;

·              添加帐号名为user,密码为dot1x;

·              选中刚才配置的服务dot1x。

图2-55 增加接入用户

 

(6)      配置RADIUS server(iMC V5)

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·              设置认证、计费共享密钥为expert,其它保持缺省配置;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

图2-56 增加接入设备

 

# 增加服务配置。

选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·              设置服务名为dot1x;

·              选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。

图2-57 增加服务配置页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·              添加用户user;

·              添加帐号名为user,密码为dot1x;

·              选中刚才配置的服务dot1x。

图2-58 增加接入用户

 

(7)      配置无线网卡

选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用windows登录名和密码选项。然后“确定”。整个过程如下图所示。

图2-59 无线网卡配置过程

 

图2-60 无线网卡配置过程

 

图2-61 无线网卡配置过程

 

3. 验证结果

(1)      在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。

2.3.7  802.11n典型配置举例

1. 组网需求

对于支持802.11n的AP设备,可以通过配置为802.11n客户端提供高速接入的无线网络。

图2-62 无线服务组网图

 

 

2. 配置步骤

(1)      配置无线服务

# 创建无线服务。

在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如下图所示无线服务新建页面。

图2-63 创建无线服务

 

·              选择射频单元为“1”。

·              设置无线服务名称为“11nservice”。

·              选择无线服务类型为“clear”。

·              单击<确定>按钮完成操作。

(2)      开启无线服务

在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如下图所示页面。

图2-64 开启无线服务

 

·              选中“11nservice”前的复选框。

·              单击<开启>按钮完成操作。

(3)      开启802.11n(2.4GHz)射频(缺省情况下,802.11n(2.4GHz)处于开启状态,此步骤可选)

3. 验证配置结果

在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。

其中0014-6c8a-43ff是802.11g用户,001e-c144-473a是802.11n用户,因为本例中没有对用户类型进行限制,所以802.11g、802.11n用户都可以接入无线网络。如果开启了“只允许11n用户接入”,那么只有001e-c144-473a才能接入无线网络。

4. 配置注意事项

配置802.11n需注意如下事项:

·              在导航栏中选择“接口配置 > 无线 > 射频”,选择需要配置的射频单元,单击“操作”进入射频配置页面可以修改关于802.11n的相关参数,包括带宽模式、A-MPDU、A-MSDU、short GI和允许11n用户接入情况。

·              确认802.11n(2.4GHz)处于开启状态。

·              在导航栏中选择“接口配置 > 无线 > 射频”,可以修改802.11n的速率。


3 Client模式

Client模式是指路由器以无线客户端的方式接入到无线网络中,有线网络中多个主机或打印机等可以通过路由器接入无线网络。

图1-1 Client模式

 

3.1  开启Client模式

在界面左侧的导航栏中选择“接口配置 > 无线 > Client模式”,选择“连接设置”页签,进入如图1-1所示设置页面。

图1-1 开启Client模式

 

选择需要开启的射频单元,单击<开启>按钮完成操作。

说明

l   不同型号的设备支持的射频模式类型不同,请以设备的实际情况为准。

l   在开启了Client模式的Radio口下不能开启接入服务或WDS服务。

l   射频模式的修改可以通过在界面左侧的导航栏中选择“接口配置 > 无线 > 射频”,在列表中选择需要配置的射频单元,单击对应的icon_mdf图标,通过“射频模式”选项可以更改射频模式。

l   如果采用802.11(2.4GHz)/802.11(5GHz)的客户端模式,那么该客户端可以扫描到802.11(2.4GHz)/802.11(5GHz)的无线服务。

 

开启Client模式后,可以通过无线服务列表查看到已有的无线服务。

图1-2 查看无线服务列表

 

3.2  连接无线服务

(1)      方式一:单击无线服务对应的<连接>图标

在无线服务列表中点击<连接>后,弹出密码设置对话框。

图1-3 设置密码

 

目前支持以下3种认证方式:

·              Open System

·              Shared key

·              RSN+PSK

表1-1 连接无线服务的详细配置

配置项

说明

网络验证

设置网络认证方式:

1.   Open System:开放式系统认证,即不认证

2.   Shared Key:共享密钥认证,需要客户端和设备端配置相同的共享密钥

3.   RSN+PSK:PSK认证

数据加密

设置数据加密方式:

1.   Clear:不加密

2.   WEP:采用WEP加密方式

3.   TKIP/CCMP/AES:采用TKIP/CCMP/AES加密方式

加密密钥

配置密钥

密钥ID

在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密

 

(2)      方式二:关联指定的无线服务

在相同页面,也可以在无线服务输入框中指定需要连接的无线服务。

图1-4 关联指定的无线服务

 

在输入框中添加指定的无线服务,单击<连接>后,会出现如图1-3所示的对话框,请设置接入无线服务的各项参数。

3.3  查看统计信息

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务 > Client模式”,选择“统计信息”页签,进入如图1-5所示设置页面。

图1-5 查看统计信息

 

3.4  Client模式配置举例

2. 组网需求

路由器以Client的方式接入到无线网络中。路由器以太网口连接有线网络中多个主机或打印机等,这些设备通过有线网络接入无线网络。

具体要求为:

·              AP接入有线局域网,路由器以客户端的方式接入AP;

·              路由器采用RSN(CCMP)+PSK的方式接入名为psk的无线服务;

·              Client(0014-6c8a-43ff)也接入名为psk的无线服务。

图1-6 Client模式配置组网图

 

3. 配置步骤

(1)      开启Client模式

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务 > Client模式”,选择“连接设置”页签,进入如图1-7所示设置页面。

图1-7 开启Client模式

 

选中802.11g前的复选框,单击<开启>按钮完成操作。开启Client模式后,可以通过无线服务列表查看到已有的无线服务。

图1-8 查看无线服务列表

 

(2)      连接无线服务

选择无线服务名称为psk的无线服务,单击无线服务对应的[连接]图标,弹出密码设置对话框。

图1-9 设置密码

 

·              选择网络验证方式为“RSN+PSK”。

·              选择加密方式为“CCMP/AES”。

·              加密密钥与AP侧保持一致,设置为“12345678”。

·              单击<确定>按钮完成操作。

4. 验证配置结果

图1-6所示的AP设备上,在导航栏中选择“接口配置 > 无线 > 概览 > 客户端”,进入图1-10所示页面,可以查看Client上线。

图1-10 查看Client上线

 

·              可以查看到Client(0014-6c8a-43ff)和路由器(000f-e2333-5510)都已经成功关联到AP上。

·              路由器右侧的有线设备(如打印机、PC等)可以通过路由器接入无线网络。

5. 注意事项

图1-11中,如果路由器同时使用两个Radio口,通过Radio 2上线的Client可以通过路由器接入AP。

图1-11 路由器同时使用两个Radio

 

4 射频配置

射频表示具有远距离传输能力,可以辐射到空间的电磁频率。不同的射频模式工作在对应的射频段,802.11b/g工作于2.4GHz射频段,802.11a工作于5GHz射频段,802.11n可以同时工作于2.4GHz和5GHz射频段。按照不同的工作频率可以将射频划分为信道(表示以无线信号作为传输媒体的传送通道),每个信道对应一个频率范围。可以通过配置射频来调整无线设备的通讯能力。

在界面左侧的导航栏中选择“接口配置 > 无线 > 射频”,在列表中选择需要配置的射频单元,单击对应icon_mdf的图标,进入如下图所示的页面。

图4-1 射频设置

 

射频设置的详细配置如下表所示。

表4-1 射频设置的详细配置

配置项

说明

射频单元

显示选择射频单元

射频模式

选择射频模式

如果改变射频模式,功率和信道会恢复到对应模式下的缺省情况

发送功率

射频的最大传输功率

射频的最大功率和国家码、信道、射频模式和天线类型相关,如果采用802.11n射频模式,那么射频的最大功率和带宽模式也相关

信道

指定射频的工作信道。信道列表由国家码和射频模式决定。

auto:自动选择信道模式。选择此模式后,AP会评估无线网络中的信道质量,自动选择质量最优的信道作为工作信道

更改工作信道设置后,功率会自动刷新

802.11n

提示

只有选择支持802.11n的设备,此项才可见

带宽模式

802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用(一个为主信道,一个为辅信道,收发数据时既可以选择40MHz的带宽工作,也可以选择单个20MHz带宽工作),这样可将速率提高一倍,提高无线网络的吞吐量

·       20Mhz:工作带宽为20MHz

·       40Mhz:工作带宽为40MHz

缺省情况下,802.11n(5GHz)的带宽为40MHz,802.11n(2.4GHz)的带宽为20MHz

提示

在指定带宽为40MHz情况下,如果找到可以绑定的信道,那么使用40MHz带宽,如果找不到可以绑定的信道,那么实际使用20MHz带宽,关于此部分的协议规范可参见“IEEE P802.11n D2.00”

更改带宽模式设置后,功率会自动刷新

只允许11n用户接入

选中“只允许11n用户接入”前的复选框,表示非802.11n的客户端将不能接入到AP,如果用户想要兼容802.11a/b/g的客户端,同时还要接入802.11n的客户端,可以取消该功能

提示

如果用户需要采用“只允许11n用户接入”,则必须配置基本MCS,基本MCS的配置请参见“4.2.2  配置802.11n MCS

A-MSDU

选中“A-MSDU”前的复选框,表示开启A-MSDU功能

802.11n协议定义了一个新的MAC特性A-MSDU,该特性实现了将多个MSDU组合成一个MSDU发送,通过聚合,A-MSDU减少了传输每个MSDU的MAC头的附加信息,提高了MAC层的传输效率

提示

在WDS使用802.11n射频的情况下,请确保各AP的此项配置保持一致

A-MPDU

选中“A-MPDU”前的复选框,表示开启A-MPDU功能

802.11n标准中采用A-MPDU聚合帧格式,即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时也减少了ACK帧的数目,从而降低了协议的负荷,有效的提高网络吞吐量

提示

在WDS使用802.11n射频的情况下,请确保各AP的此项配置保持一致

short GI

选中“short GI”前的复选框,表示开启short GI功能

原11a/g的Short GI时长800us,短间隔Short GI时长为400us

无线信号在空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快,会和前一个数据块的形成干扰,GI可以用来规避这个干扰。在使用Short GI的情况下,可提高10%的无线吞吐量

 

图4-2 射频设置(高级设置)

 

射频设置(高级设置)的详细配置如下表所示。

表4-2 射频设置的详细配置

配置项

说明

前导码

前导码是位于数据包起始处的一组bit位,接收者可以据此同步并准备接收实际的数据。

·       短:短前导码。选择短前导码能使网络同步性能更好,一般选择短前导码

·       长:长前导码。在网络中需要兼容一些比较老的客户端网卡时,可以选择长前导码进行兼容

802.11a/802.11n(5GHz)不支持此项配置

发射距离

射频可覆盖的最大距离

分片门限

指定帧的分片门限值。分片的基本原理是将一个大的帧分成更小的分片,每个分片独立地传输和确认。当数据包的实际大小超过指定的分片门限值时,该数据包被分片传输

在误码率较高的无线环境下,可以把分片门限适当降低,这样在传输失败的情况下,只有未成功发送的部分需要重新发送,从而提高帧传输的吞吐量

在无干扰环境下,适当提高分片门限,可以减少确认帧的次数,也可以提高帧传输的吞吐量

Beacon间隔

发送信标帧的时间间隔。信标帧按规定的时间间隔周期性发送,以允许移动用户接入网络。与其它接入点设备或其它网络控制设备进行联络

RTS门限

启用RTS(Request To Send,发送请求)机制所要求的帧的长度门限值。当帧的实际长度大于设定的门限值时,会启用RTS机制

RTS用于在无线局域网中避免数据发送冲突。RTS包的发送频率需要合理设置,设置RTS门限时需要进行权衡:如果将门限值设得较小,则会增加RTS包的发送频率,消耗更多的带宽。但RTS包发送得越频繁,无线网络从冲突中恢复得就越快

在高密度无线网络环境可以降低此门限值,以减少冲突发生的概率

提示

使用RTS机制会占用一定的网络带宽,所以只在传输高于RTS门限的数据帧时才使用,对于小于RTS门限的数据帧不启动该机制

DTIM周期

设置信标帧的DTIM(Delivery Traffic Indication Message,数据待传指示信息)周期

当DTIM计数达到0时,设备才会发送缓存中的多播帧或广播帧

长帧重传门限

设置帧长超过RTS门限值的单播帧的最大重传次数

短帧重传门限

设置帧长不大于RTS门限值的单播帧的最大重传次数

接收帧缓存时间

设备接收到的帧可以在缓存区保存的最大时间

 

4.2  配置射频速率

4.2.1  配置802.11a/802.11b/802.11g射频速率

在界面左侧的导航栏中选择“接口配置 > 无线 > 射频”,单击“速率设置”页签,进入如下图所示的页面。

图4-3 速率设置

 

速率设置的详细配置如下表所示。

表4-3 802.11a/802.11b/802.11g射频速率的详细配置

配置项

说明

802.11a

802.11a速率设置

缺省情况下:

·       强制速率:6,12,24;

·       支持速率:9,18,36,48,54;

·       组播速率:自动从强制速率集中选取,在所有客户端都支持的强制速率中选取发送速率,作为BSS中的多播报文的发送速率

802.11b

802.11b速率设置

缺省情况下:

·       强制速率:1,2;

·       支持速率:5.5,11;

·       组播速率:自动从强制速率集中选取,在所有客户端都支持的强制速率中选取发送速率,作为BSS中的多播报文的发送速率

802.11g

802.11g速率设置

缺省情况下:

·       强制速率:1,2,5.5,11;

·       支持速率:6,9,12,18,24,36,48,54;

·       组播速率:自动从强制速率集中选取,在所有客户端都支持的强制速率中选取发送速率,作为BSS中的多播报文的发送速率

 

4.2.2  配置802.11n MCS

802.11n射频速率的配置通过MCS(Modulation and Coding Scheme,调制与编码策略)索引值实现。

在界面左侧的导航栏中选择“接口配置 > 无线 > 射频”,单击“速率设置”页签,进入如下图所示的页面。

图4-4 配置802.11n射频速率

 

802.11n速率设置的详细配置如下表所示。

表4-4 802.11n射频速率的详细配置

配置项

说明

基本MCS集最大MCS索引

选中“基本MCS集最大MCS索引”前的复选框,设置802.11n的基本MCS集的最大MCS索引号

组播MCS索引

设置802.11n的组播MCS索引

对于802.11n模式,当所有的客户端都使用802.11n射频时,才使用组播MCS索引,如果存在非802.11n客户端,则使用基础模式的组播速率

提示

组播MCS起作用时,无论是20M模式还是40M模式,统一采用20M模式对应的速率进行发送

支持MCS集最大MCS索引

设置802.11n的支持MCS集的最大MCS索引号

需要注意的是,支持MCS集最大MCS索引不能小于基本MCS集最大MCS索引

 

说明

l   关于MCS的详细介绍请参见《H3C MSR系列路由器 配置指导(V5)》,“WLAN配置指导”中的“WLAN RRM”。

l   在Mesh使用802.11n射频的情况下,请确保在各AP上关于MCS索引的配置保持一致。

 

4.3  查看射频

4.3.1  查看与射频绑定的无线服务

在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“射频”页签。点击指定的射频单元后,选择“无线服务”,可以查看与射频绑定的无线服务。

图4-5 查看射频的详细信息

 

说明

显示表格中的“背景噪声”表示无线通信过程中遇到的各种随机的电磁波。对于背景噪声较强的环境,可以通过“增加信号功率”或“降低背景噪声”来改善SNR(Signal-to-Noise Ratio,信噪比)。

 

4.3.2  查看射频的详细信息

在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“射频”页签。点击指定的射频单元后,选择“详细信息”,可以查看射频相关的详细信息。

图4-6 查看射频的详细信息

 

表4-5 射频的详细显示信息描述表

字段

描述

WLAN-Radio1/0当前状态

WLAN-Radio接口的物理层链路状态

IP Packet Frame Type

接口输出帧封装类型

Hardware Address

接口的MAC地址

Radio-type dot11a

接口使用的WLAN的协议类型

channel

接口使用的信道,auto表示channel是由系统自动选择的

如果信道是用户手工配置的,则该字段的显示格式为“channel configured-channel

power(dBm)

接口的发送功率(单位为dBm)

Received: 2 authentication frames, 2 association frames

收到的:认证帧的个数,关联帧的个数

Sent out: 2 authentication frames, 2 association frames

发送的:认证帧的个数,关联帧的个数

Stations: 0 associating, 2 associated

无线用户数目:当前正在关联的会话的数目,当前已经关联的会话的数目

Input : 70686 packets, 6528920 bytes

       : 255 unicasts, 34440 bytes

       : 70461 multicasts/broadcasts, 6494480 bytes

       : 0 fragmented

       : 414 discarded, 26629 bytes

       : 0 duplicates, 3785 FCS errors

       : 0 decryption errors

接口物理层输入报文统计信息:

·       总包数,总字节数

·       单播总包数,单播总字节数

·       组播/广播总包数,组播/广播总字节数

·       分片报文总个数

·       被丢弃的总包数,被丢弃的总字节数

·       收到的重复帧的个数,FCS错误的次数

·       解密错误的次数

Output: 3436 packets, 492500 bytes

       : 3116 unicasts, 449506 bytes

       : 320 multicasts/broadcasts, 42994 bytes

       : 0 fragmented

       : 948 discarded, 100690 bytes

       : 0 failed RTS, 1331 failed ACK

       : 4394 transmit retries, 1107 multiple transmit retries

接口物理层输出报文统计信息:

·       总包数,总字节数

·       单播总包数,单播总字节数

·       组播/广播总包数,组播/广播总字节数

·       分片报文的总个数

·       被丢弃的总包数,被丢弃的总字节数

·       发送失败的RTS报文个数,发送失败的ACK报文个数

·       本次重传发送的帧的个数,重传的次数

 


5 安全配置

相对于有线网络,WLAN存在着与生俱来的安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其它所有设备的数据,这个特性直接威胁到WLAN的安全。可以通过配置黑白名单功能和用户隔离功能来对无线客户端进行安全控制,从而加强WLAN的安全性能。

5.1  黑白名单

WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制。

黑白名单维护三种类型的列表。

·              白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。

·              静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。

·              动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。

黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。

(1)      当设备接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;

(2)      如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;

(3)      如果源MAC在白名单内,该帧将被作为合法帧进一步处理;

(4)      如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;

(5)      如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。

5.2  配置黑白名单

1. 配置动态黑名单

在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“黑名单”页签,进入如下图所示的页面。

图5-1 动态黑名单配置页面

 

动态黑名单的详细配置如下表所示。

表5-1 动态黑名单的详细配置

配置项

说明

动态黑名单功能

开启:开启动态黑名单列表功能

关闭:关闭动态黑名单列表功能

提示

在开启动态黑名单前,需要在“入侵检测设置”页面,选中“泛洪攻击检测”前的复选框

生存时间

设置动态黑名单中的对应表项的生存时间,被加入到动态黑名单中的MAC表项在经过生存时间后将被删除

 

说明

目前在动态黑名单支持检测的攻击类型有以下几种:“Assoc-Flood(关联请求泛洪攻击)”、“Reassoc-Flood(重关联请求泛洪攻击)”、“Disassoc-Flood(解除关联请求泛洪攻击)”、“ProbeReq-Flood(探查请求泛洪攻击)”、“Action-Flood(802.11 Action帧泛洪攻击)”、“Auth-Flood(认证请求泛洪攻击)”、“Deauth-Flood(解除认证请求泛洪攻击)”和“NullData-Flood(802.11 Null数据帧泛洪攻击)”。

 

2. 配置静态黑名单

在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“静态”页签,单击<新建静态表项>按钮,进入如下图所示的页面。

图5-2 静态黑名单配置页面

 

静态黑名单的详细配置如下表所示。

表5-2 静态黑名单的详细配置

配置项

说明

可以通过以下两种方式配置静态黑名单:

MAC地址

选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到静态黑名单

选择当前连接客户端

从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到静态黑名单

 

3. 配置白名单

在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“白名单”页签,单击<新建>按钮,进入如下图所示的页面。

图5-3 白名单配置页面

 

白名单的详细配置如下表所示。

表5-3 白名单的详细配置

配置项

说明

可以通过以下两种方式配置白名单:

MAC地址

选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到白名单

选择当前连接客户端

从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到白名单

 

5.3  用户隔离

用户隔离功能是指关联到同一个设备上的所有无线客户端之间的二层报文(单播/广播)相互不能转发,从而使无线客户端之间不能直接进行通讯。

图5-4 用户隔离组网图

 

在上图中,在设备上开启用户隔离功能后,Cleint 1~Client 4之间不能互通,也无法学习到对方的MAC地址和IP地址。

5.4  配置用户隔离

在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“用户隔离”页签,进入如下图所示的页面。

图5-5 配置用户隔离

 

用户隔离的详细配置如下表所示。

表5-4 用户隔离详细配置

配置项

说明

无线用户隔离

·       开启:启用无线用户二层隔离功能,使能用户隔离后无线用户之间不能互通

·       关闭:关闭无线用户二层隔离功能

缺省情况下,无线用户二层隔离功能处于开启状态

 


6 服务质量配置

6.1  无线服务质量简介

802.11网络提供基于CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance,载波监听/冲突避免)信道竞争机制的无线接入服务,接入WLAN网络的所有客户端享有公平的信道竞争机会,承载在WLAN上的所有业务使用相同的信道竞争参数。但实际应用中,不同的业务在带宽、时延、抖动等方面的要求往往不同,需要WLAN网能根据承载业务提供有区分的接入服务。

IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS(Quality of Service,服务质量)特性,在IEEE 802.11e标准化之前, Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通,定义了WMM(Wi-Fi Multimedia,Wi-Fi多媒体)标准。WMM标准使WLAN网络具备了提供QoS服务的能力。

说明

关于对无线服务质量常用术语及WMM协议的介绍请参见《H3C MSR系列路由器 配置指导(V5)》,“WLAN配置指导”中的“WLAN QoS”。

 

6.2  配置无线服务质量

无线服务质量的推荐步骤如下表所示。

表6-1 无线服务质量配置步骤

步骤

配置任务

说明

1

开启无线服务质量

必选

2

设置SVP服务

必选

3

设置CAC准入控制策略

必选

4

设置射频EDCA

必选

5

设置用户EDCA

必选

6

显示射频信息

可选

7

显示客户端信息

可选

8

配置限速

必选

 

6.2.1  开启无线服务质量

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,进入服务质量显示页面。

图6-1 无线服务质量

 

在列表中找到要进行配置的射频单元,勾选其前面的复选框,单击<开启>按钮完成操作。缺省情况下,无线服务质量处于开启状态。

说明

WMM协议是802.11n协议所依赖的基础,所以当Radio工作在802.11n(5GHz)或802.11n(2.4GHz)射频模式时,WMM功能必须处于开启状态,否则可能会导致所关联的802.11n客户端无法正常通信。

 

6.2.2  SVP服务设置

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,进入服务质量显示页面。

图6-2 无线服务质量

 

在列表中找到要进行配置的射频单元,单击对应icon_mdf的图标,进入如下图所示SVP映射队列配置页面。

图6-3 SVP映射接入类设置

 

SVP映射接入类的详细配置如下表所示。

表6-2 SVP映射接入类的详细配置

配置项

说明

射频单元

显示选中的射频单元

SVP报文映射

选中SVP报文映射前的复选框,选择SVP服务使用的映射接入类

·       AC-VO:AC-VO(语音流)接入类

·       AC-VI:AC-VI(视频流)接入类

·       AC-BE:AC-BE(尽力而为流)接入类

·       AC-BK:AC-BK(背景流)接入类

 

说明

SVP映射只针对非WMM客户端接入,对WMM客户端不起作用。

 

6.2.3  CAC准入控制策略设置

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入如下图所示CAC准入控制策略配置页面。

图6-4 CAC准入控制策略设置

 

CAC准入控制策略的详细配置如下表所示。

表6-3 CAC准入控制策略的详细配置

配置项

说明

用户数

基于用户数的准入策略

即允许接入的客户端的最大个数,如果一个客户端同时接入AC-VO和AC-VI优先级业务流,接入客户端的个数按1计算

缺省情况下,CAC策略是基于用户数的准入策略,用户数为20

信道利用率

基于信道利用率的准入策略

即单位时间内,允许接入AC-VO和AC-VI优先级的业务流占用信道的有效时间与总共时间的百分比,有效时间为用于实际收发数据的时间

 

6.2.4  射频EDCA设置

射频EDCA参数设置完成对设备使用的EDCA参数的配置。

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“射频EDCA”列表中找到要进行修改的优先级类型(这里以AC_BK优先级为例),单击对应“操作”列中的图标,进入如下图所示“射频EDCA”参数设置页面。

图6-5 射频EDCA设置

 

射频EDCA设置的详细配置如下表所示。

表6-4 射频EDCA设置的详细配置

配置项

说明

射频单元

显示选中的射频单元

优先级类型

显示进行配置的优先级类型

AIFSN

设备采用的仲裁帧间隙数

TXOP Limit

设备采用的传输机会限制

ECWmin

设备采用的最小竞争窗口指数

ECWmax

设备采用的最大竞争窗口指数

No ACK

选中“No ACK”前的复选框,表示设备采取No ACK(No Acknowledgment)策略

缺省情况下,ACK策略为Normal ACK

 

射频EDCA参数的缺省情况请参见下表。

表6-5 设备使用的EDCA参数的缺省值

AC

TXOP Limit

AIFSN

ECWmin

ECWmax

AC-BK

0

7

4

10

AC-BE

0

3

4

6

AC-VI

94

1

3

4

AC-VO

47

1

2

3

 

说明

·       ECWmin的值不能大于ECWmax。

·       设备选择802.11b射频模式时,建议将AC-BK、AC-BE、AC-VI、AC-VO的TXOP-Limit参数的值分别配置为0、0、188、102。

 

6.2.5  用户EDCA设置

用户EDCA参数设置完成对接入无线客户端使用的EDCA参数的配置。

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“用户EDCA”列表中找到要进行修改的优先级类型(这里以AC_BK优先级为例),单击对应“操作”列中的图标,进入如下图所示“用户EDCA”参数设置页面。

图6-6 用户EDCA设置

 

用户EDCA设置的详细配置如下表所示。

表6-6 用户EDCA设置的详细配置

配置项

说明

射频单元

显示选中的射频单元

优先级类型

显示进行配置的优先级类型

AIFSN

客户端采用的仲裁帧间隙数

TXOP Limit

客户端采用的传输机会限制

ECWmin

客户端采用的最小竞争窗口指数

ECWmax

客户端采用的最大竞争窗口指数

CAC

客户端使用连接准入控制

·       开启:使用连接准入控制

·       关闭:禁止连接准入控制

AC-VO和AC-VI支持CAC,缺省情况下,CAC处于关闭状态。

AC-BE和AC-BK不支持CAC功能,不可配置该选项

 

用户EDCA参数的缺省情况请参见下表。

表6-7 用户EDCA参数的缺省值

AC

TXOP Limit

AIFSN

ECWmin

ECWmax

AC-BK

0

7

4

10

AC-BE

0

3

4

10

AC-VI

94

2

3

4

AC-VO

47

2

2

3

 

说明

·       ECWmin的值不能大于ECWmax。

·       如果所有客户端应用802.11b射频模式,建议将AC-VI、AC-VO的TXOP Limit参数的值分别配置为188、102。

·       如果网络中既有使用802.11b射频卡又有使用802.11g射频卡的客户端,则建议按TXOP Limit参数值使用表6-7中缺省值。

·       如果某优先级队列的CAC功能被启动,则高于此优先级队列的CAC功能会同时被启用。例如,启动AC-VI优先级CAC功能,则AC-VO优先级也同时启动CAC功能,但是,启动AC-VO优先级的CAC功能,AC-VI优先级的CAC功能不会被启用。

 

6.2.6  显示射频信息

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“射频信息”页签,进入射频信息显示页面。点击指定的射频单元后,可以查看相关的详细信息。

图6-7 显示射频信息

 

表6-8 射频显示信息描述表

字段

描述

Radio interface

WLAN射频接口

Client EDCA update count

客户端EDCA参数更新次数

QoS mode

QoS模式,WMM:启用QoS模式,None:不启用QoS模式

Radio chip QoS mode

Radio是否支持QoS模式

Radio chip max AIFSN

Radio支持的AIFSN值的最大值

Radio chip max ECWmin

Radio支持的ECWmin值的最大值

Radio chip max TXOPLimit

Radio支持的TXOPLimit值的最大值

Radio chip max ECWmax

Radio支持的ECWmax值的最大值

Client accepted

Radio下已准入的Client数量,包括Voice队列下和Video队列下准入的Client数量

Total request mediumtime(us)

所有队列申请的时间,包括Voice队列下和Video队列下申请的时间

Calls rejected due to insufficient resource

因资源不足拒绝的请求数量

Calls rejected due to invalid parameters

因参数无效拒绝的请求数量

Calls rejected due to invalid mediumtime

因接入时间无效拒绝的请求数量

Calls rejected due to invalid delaybound

因延迟时间无效拒绝的请求数量

Admission Control Policy

准入控制策略

Threshold

准入控制策略使用的门限值

CAC-Free's AC Request Policy

对没有开启CAC功能的AC采用的回应策略

Response Success表示回应成功

CAC Unauthed Frame Policy

对CAC未授权报文的处理策略:

·       Discard表示丢弃报文

·       Downgrade表示将报文的优先级降低处理

·       Disassociate表示将断开与客户端的连接

CAC Medium Time Limitation(us)

CAC策略允许的接入时间上限,单位为微秒

CAC AC-VO's Max Delay(us)

CAC策略允许的语音流延迟上限,单位为微秒

CAC AC-VI's Max Delay(us)

CAC策略允许的视频流延迟上限,单位为微秒

SVP packet mapped AC number

SVP报文映射到的AC的编号

ECWmin

ECWmin的值

ECWmax

ECWmax的值

AIFSN

AIFSN的值

TXOPLimit

TXOP limit的值

AckPolicy

设备使用的ACK策略

CAC

表示此队列是否受CAC的限制,Disabled表示不受限制,Enabled表示受限制

 

6.2.7  显示客户端信息

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“客户端信息”页签,进入客户端信息显示页面。点击指定的客户端后,可以查看相关的详细信息。

图6-8 显示客户端信息

 

表6-9 客户端显示信息描述表

字段

描述

MAC address

Client的MAC地址

SSID

SSID名

QoS Mode

QoS模式:

·       WMM:QoS客户端

·       None:非QoS客户端

Max SP length

最大服务时间长度

AC

接入类

State

AC队列的APSD属性

·       T表示本AC有trigger-enabled属性

·       D表示本AC有delivery-enabled属性

·       T | D表示上面的两个属性都有

·       L表示本AC有Legacy属性

Assoc State

Client接入时指定的AC的APSD属性

Uplink CAC packets

上行CAC的报文数

Uplink CAC bytes

上行CAC的字节数

Downlink CAC packets

下行CAC的报文数

Downlink CAC bytes

下行CAC的字节数

Downgrade packets

降级处理的报文数

Downgrade bytes

降级处理的字节数

Discard packets

丢弃处理的报文数

Discard bytes

丢弃处理的字节数

 

6.2.8  配置限速

WLAN网络中每一个设备可提供的可用带宽有限,且由接入的无线客户端共享,部分客户端占用过多带宽,势必导致其他客户端使用受到影响。通过配置用户限速功能,可以限制部分客户端对带宽的过多消耗,保证所有接入客户端均能正常使用网络业务。基于客户端的速率限制功能有两种模式:

·              动态模式:配置同一BSS下所有接入客户端可共享的总带宽,每个客户端的限制速率是配置速率值/客户端数量。例如,配置10Mbps速率,有5个用户上线,则每个用户的可用带宽限制为2Mbps。

·              静态模式。配置同一BSS下每个客户端限制使用的最大带宽。例如,配置1Mbps速率,则每个上线的客户端的可用带宽限制为1Mbps。接入客户端数增加至一定数量时,如果所有接入客户端理论允许的总带宽超出设备可提供的有效带宽,那么每个客户端将不能保证获得的指定带宽。

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“用户限速”页签,单击<新建>按钮,进入如下图所示用户限速的配置页面。

图6-9 用户限速

 

用户限速的设置的详细配置如下表所示。

表6-10 用户限速的详细配置

配置项

说明

无线服务

显示已有的无线服务

方向

包括入方向和出方向

·       入方向:从客户端到设备

·       出方向:从设备到客户端

·       出/入方向:包括出方向(从设备到客户端)和入方向(从客户端到设备)

模式

模式,包括动态和静态两种模式

·       静态模式

·       动态模式

速率

·       选择静态模式时,显示固定速率:设置的速率值为每个客户端的带宽

·       选择动态模式时,显示共享速率:设置的速率值为所有客户端的总带宽

 

6.3  无线服务质量配置举例

6.3.1  CAC服务典型配置举例

1. 组网需求

要求使用用户数判断策略,只允许10个客户端可以和AP建立AC-VO和AC-VI的业务流,保证使用高优先级AC-VO和AC-VI队列的客户端能够有足够的带宽保证。

图6-10 CAC服务组网图

 

2. 配置步骤

(1)      配置接入服务

相关配置请参见“2.3  无线接入服务配置举例”,可以完全参照相关举例完成配置。

(2)      配置无线服务质量

# 在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,确认WMM状态处于开启状态。

图6-11 无线服务质量页面

 

# 在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标icon_mdf,进入服务质量设置的配置页面。在“用户EDCA”列表中找到要进行修改的优先级类型(这里以AC_VO优先级为例),单击对应“操作”列中的图标icon_mdf,进入“用户EDCA”参数设置页面。

图6-12 开启CAC

 

·              选择CAC功能为“开启”。

·              单击<确定>按钮完成操作。

# 使用相同的方法开启AC_VI的CAC功能。

# 在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。

图6-13 CAC用户数配置页面

 

·              选中“用户数”前的单选框,输入10。

·              单击<确定>按钮完成操作。

3. 验证配置结果

如果设备上高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的高优先级AC的最大用户数10(本例中为10),则允许用户的请求。否则,拒绝请求。

6.3.2  静态限速配置举例

1. 组网需求

两个客户端通过名为service1的SSID接入无线网络,限定每个客户端从客户端到设备的方向上使用的最大带宽为128Kbps。

图6-14 静态限速配置举例组网图

 

2. 配置步骤

(1)      配置接入服务

相关配置请参见“2.3  无线接入服务配置举例”,可以完全参照相关举例完成配置。

(2)      配置静态限速

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“用户限速”页签,单击<新建>按钮,进入如下图所示用户限速的配置页面。

图6-15 配置静态限速

 

·              无线服务下拉框中选择“service1”。

·              方向下拉框中选择“入方向”。

·              模式下拉框中选择“静态”。

·              固定速率中输入128000。

·              单击<确定>按钮完成操作。

3. 验证配置结果

Client 1和Client 2通过名为service1的SSID接入无线网络。

从Client 1侧到设备侧方向上的可使用的带宽被限制在128Kbps左右;从Client 2侧到设备侧方向上的可使用的带宽也被限制在128Kbps左右。

6.3.3  动态限速配置举例

1. 组网需求

客户端通过名为service2的SSID接入无线网络,要求接入的客户端在任意方向上都要平等地共享设定的8000Kbps总带宽。

图6-16 动态限速配置举例组网图

 

2. 配置步骤

(1)      配置无线服务

相关配置请参见“2.3  无线接入服务配置举例”,可以完全参照相关举例完成配置。

(2)      配置动态限速

在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“用户限速”页签,单击<新建>按钮,进入如下图所示用户限速的配置页面。

图6-17 配置动态限速

 

·              无线服务下拉框中选择“service2”。

·              方向下拉框中选择“出/入方向”。

·              模式下拉框中选择“动态”。

·              共享速率中输入8000。

·              单击<确定>按钮完成操作。

3. 验证配置结果

(1)      只有Client 1通过service2接入无线网络,可使用的带宽被限制在8000Kbps左右。

(2)      Client 2也通过service2接入无线网络后,Client 1和Client 2可使用的带宽都被限制在4000Kbps左右。


7 高级

7.1  区域码

不同国家或地区对射频使用有不同的管制要求,区域码决定了可以使用的工作频段、信道,以及合法的发射功率级别等。在配置WLAN设备时,必须正确地设置国家或地区码,以确保不违反当地的管制规定。

7.2  配置区域码

在界面左侧的导航栏中选择“接口 > 无线 > 区域码”,进入如下图所示的页面。

图7-1 区域码

 

区域码的详细配置如下表所示。

表7-1 区域码的详细配置

配置项

说明

区域码

在下拉框中选择区域码

在配置WLAN设备时,必须正确地的设置国家和或地区码,以确保不违反当地的管制规定

 

说明

如果区域码设置选框显灰,则表示该设备已遵照相应国家或地区的管制要求进行了区域码锁定,在这种情况下,用户不能更改此项设置。

 

7.3  信道利用率检测

信道利用率检测提供了一种评估信道忙闲程度的检测工具。信道利用率检测会对当前国家码所支持的信道进行逐个检测,输出的信道利用率结果可以指导工程人员和用户对信道进行合理选择,避免用户使用负载较高的信道。

在信道利用率检测期间,路由器不能提供任何形式的无线服务,所有已关联的客户端会被强制下线,路由器接收的无线报文也会被直接丢弃。

7.3.1  设置信道利用率检测

在界面左侧的导航栏中选择“接口配置 > 无线 > 高级 > 信道利用率检测”,进入如图1-1所示的页面。

图1-1 信道利用率

 

单击列表中对应的image014图标,进入如图1-2所示的信道利用率检测页面。

表1-1 信道利用率检测

配置项

说明

射频单元

支持的射频号,取值为1或2。实际的取值与设备的型号有关,请以设备的实际情况为准

射频模式

显示选择路由器的射频模式。实际的取值与设备的型号以及射频单元有关,请以设备的实际情况为准

每个信道检测时间

检测每条无线信道的时长,单位为秒,缺省值为3秒

 

图1-2 配置信道利用率检测

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!