02-WLAN接入配置
本章节下载: 02-WLAN接入配置 (1.21 MB)
目 录
WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线局域网相比,WLAN的启动和实施相对简单,维护的成本低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络。
使用WLAN解决方案,网络运营商和企业能够为无线用户提供WLAN服务,服务内容主要包括:
· 应用具有WLAN功能的设备建立无线网络,通过该网络,无线用户可以连接到固定网络或因特网。
· 无线用户可以访问传统802.3局域网。
带有无线网卡的PC、笔记本电脑以及支持WiFi功能的各种终端。
(2) AP(Access Point,接入点)
AP提供无线用户到局域网的桥接功能,在无线客户端与WLAN之间进行无线到有线和有线到无线的帧转换。
(3) AC(Access Controller,接入控制器)
AC对WLAN中的所有AP进行控制和管理。AC还可以通过同认证服务器交互信息,来为无线用户提供认证服务。
(4) SSID(Service Set Identifier,服务集标识符)
无线客户端可以先进行无线扫描,然后选择特定的SSID接入某个指定无线网络。
无线介质是用于在无线用户间传输帧的介质。WLAN系统使用无线射频作为传输介质。
分布式系统是在AP间传送帧的骨干网,用于将帧转发到目的端。
无线用户首先需要通过主动/被动扫描方式发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入WLAN。整个过程如图1-1所示。
无线客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息。
主动扫描是指无线客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。无线客户端在扫描的时候,主动发送一个Probe Request帧(探测请求帧),通过收到Probe Response帧(探查响应帧)获取无线网络信息。根据Probe Request帧是否携带SSID,可以将主动扫描分为两种:
· 无线客户端发送Probe Request帧(Probe Request中SSID为空,也就是SSID IE的长度为0):无线客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到探查请求帧后,会回复Probe Response帧通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端主动扫描方式的过程如图1-2所示。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
· 无线客户端发送Probe Request帧(携带指定的SSID):当在无线客户端上配置了希望连接的无线网络或者已经成功连接到一个无线网络情况下,无线客户端会定期发送Probe Request帧(携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到Probe Request帧后回复Probe Response帧。通过这种方法,无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如图1-3所示。
图1-3 主动扫描过程(Probe Request携带指定的SSID为“AP 1”)
被动扫描是指无线客户端通过侦听AP定期发送的Beacon帧(信标帧)发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息,从而接入AP。当无线客户端需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。被动扫描的过程如图1-4所示。
为了保证无线链路的安全,接入过程中AP需要完成对无线用户的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
关于这两种认证的详细介绍请参见“WLAN配置指导”中的“WLAN安全”。
如果无线用户想接入无线网络,必须同特定的AP关联。当无线用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求。AP会对关联请求帧携带的能力信息进行检测,最终确定该无线用户支持的能力,并回复关联响应通知链路是否关联成功。通常,无线用户在同一个时刻只可以和一个AP建立链路,而且关联总是由无线用户发起。
表1-1 WLAN接入配置任务简介
开启WLAN服务 |
||
配置AC每秒处理的AP上线请求的个数 |
可选 |
|
配置自动AP功能 |
||
配置AP组 |
||
开启Trap功能 |
||
配置无线客户端IP地址窥探 |
只有开启了WLAN服务,才能够获得WLAN所提供的功能。
开启WLAN服务 |
缺省情况下,WLAN服务处于开启状态 |
用户可以根据实际网络情况来配置AC能同时处理的AP上线请求的个数。
表1-3 配置AC能同时处理的AP上线请求的个数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AC能同时处理的AP上线请求的个数 |
wlan ap-concurrency-limit number |
必选 缺省情况下,AC能同时处理的AP上线请求个数为32 取值范围为1~AC支持的最大AP上线个数。AC支持的最大AP上线个数的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍 |
不同国家或地区对射频使用有不同的管制要求,国家码决定了可以使用的工作频段、信道,以及合法的发射功率级别等。在配置WLAN设备时,必须正确地设置国家或地区码,以确保不违反当地的管制规定。
如果某些AC或FIT AP上的国家码已遵照相应国家或地区的管制要求进行了锁定,此时国家码的生效关系如下:
· 若只有AC的国家码处于锁定,则不允许修改该AC的国家码,且所有FIT AP均不允许修改国家码,只能使用AC的国家码;
· 若FIT AP的国家码处于锁定,则不允许修改该FIT AP的国家码,该FIT AP只能使用锁定的国家码;
· 若FIT AP和AC的国家码都处于锁定,且二者不同,则以FIT AP的锁定国家码为准。
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
配置AP的国家码 |
缺省情况下,没有配置AP的国家码。在没有配置AP国家码的情况下,缺省采用全局国家码。如果都进行了配置,则优先采用AP模板视图下AP国家码的配置 |
若在AP模板视图下已经配置AP国家码或AP的国家码已遵照相应国家或地区的管制要求进行了锁定,则修改全局国家码的配置不会影响AP的国家码。
在无线网络中部署的AP数量较多时,使用自动AP功能可以简化配置,避免多次配置AP序列号,减少管理员的配置工作量,同时降低了配置出错的概率。
设备支持以下两种自动AP配置方式:
(1) 配置指定AP模板的自动AP功能
在AC上使用wlan ap命令创建某AP型号的AP模板后(为了便于描述,称为自动AP模板),开启自动AP功能,此型号的AP能够自动连接到AC上,上线的自动AP会继承自动AP模板中的配置,AC将以AP的MAC地址来命名上线的自动AP。客户端可以关联到自动AP,但管理员不能对自动AP进行参数修改。
由于AC会以AP的MAC地址来命名上线的自动AP,建议用户在使用wlan ap ap-name model model-name命令时,不要以AP的MAC地址来命名ap-name参数。
(2) 只开启自动AP功能
开启自动AP功能后,所有AP都能够自动连接到AC上,AC将以AP的MAC地址来命名上线的自动AP。客户端可以关联到自动AP,但管理员不能对自动AP进行参数修改。
AP接入AC有三种配置方式:A、配置AP的序列号;B、配置指定型号的自动AP模板;C、只开启自动AP功能。AP在接入AC时,这三个配置的优先级为:A > B > C。例如,同时配置A和C,如果某AP上线时能够匹配AP模板下指定的序列号,该AP会直接上线。
开启自动AP功能 |
缺省情况下,自动AP功能处于关闭状态 |
||
配置自动AP模板 |
进入AP模板视图 |
配置指定AP模板的自动AP功能时,必须配置自动AP模板 |
|
设置自动查找AP序列号 |
· 出于网络安全因素考虑,自动AP功能一般都是在AC第一次运行时使用,当所有AP连接到AC后,建议立即关闭该功能。
· 修改自动AP模板的配置对已上线的自动AP不生效,只有新上线的自动AP才能继承修改后自动AP模板的配置。
自动AP认证功能仅对自动AP生效,本小节描述的AP,指的都是自动AP。
使用自动AP功能可以减少管理员的配置工作量,但是AP不需要任何认证即可接入AC,这会给设备带来很多安全隐患。因此,在使用自动AP功能时,还可以配置自动AP认证功能,实现对自动AP的控制和管理。
(1) 配置自动AP认证
自动AP认证有两种方式:
本地认证是指认证过程在AC设备上完成,在AC设备上配置认证方式,如AP的序列号或是AP的MAC地址,然后使用wlan ap-authentication acl命令指定用于自动AP认证的ACL规则。
以选用序列号方式为例,自动AP接入AC时,AC会使用AP的序列号去匹配ACL规则,如果AP的序列号能够匹配指定ACL中permit或者deny规则,那么本地认证结果为“自动AP通过认证,允许接入AC”或是“自动AP未通过认证,不允许接入AC”。如果找不到可匹配的规则,本地认证结果为“未认证AP”。ACL规则可以通过手工配置或者文件导入方式生成。
当本地认证结果为“未认证AP时”,可以使用认证服务器对自动AP进行远程认证。AC会将AP的序列号或者MAC地址作为用户名和密码,发送给认证服务器进行远程认证。如果远程认证成功,那么AC允许AP接入,并能够提供服务,如果失败,那么AC拒绝AP接入。
配置本地认证后,自动AP在找不到可匹配的ACL规则的情况下,才会出现“未认证AP”状态。如果开启远程认证,可以使用认证服务器对自动AP进行远程认证,远程认证的结果只有两个状态:认证成功或是认证失败。
配置自动AP的认证方式 |
缺省情况下,使用MAC地址对自动AP进行认证 |
||
配置使用指定的ACL对自动AP进行认证 |
配置该命令前,需要使用acl number命令创建WLAN AP类型的ACL,并配置具体的ACL规则。有关ACL的详细配置介绍,请参见“ACL和QoS配置指导”中的“ACL” |
||
导入自动AP认证文件,并在指定的ACL编号中生成ACL规则 |
|||
有关认证域和AAA方案的详细配置介绍,请参见“安全配置指导”中的“AAA” |
|||
使用序列号或者MAC地址作为用户名和密码 |
|||
配置自动AP认证使用的认证域 |
缺省情况下,没有指定自动AP认证使用的认证域 |
||
开启自动AP认证功能 |
缺省情况下,自动AP上线时,不会对自动AP进行认证 |
(2) 对未认证的自动AP进行手工认证
处于未认证状态的自动AP是否可以接入AC由命令wlan ap-authentication permit-unauthenticated决定。如果允许其接入AC,此时的自动AP将无法提供无线服务(Radio接口处于关闭状态),用户可以执行wlan ap-authentication accept命令对未认证的自动AP进行手工认证,认证后的自动AP可以提供无线服务。
表1-7 对未认证的自动AP进行手工认证
配置允许未认证的自动AP接入AC,但未认证的自动AP无法提供无线服务 |
缺省情况下,允许未认证的自动AP接入AC,但未认证的自动AP无法提供无线服务 |
|
对未认证的自动AP进行手工认证,并在指定的ACL编号中生成相应规则 |
wlan ap-authentication { accept | reject } ap unauthenticated { all | name ap-name } |
在执行此命令前,需要使用wlan ap-authentication acl命令指定ACL编号,生成的ACL规则会加入到该ACL编号下 |
配置自动AP认证小节中,只有wlan ap-authentication { accept | reject } ap unauthenticated命令会对已经上线的自动AP生效,其它命令对已上线的自动AP不生效。如果需要对已上线的自动AP进行认证,可以使用reset wlan ap unauthenticated命令使自动AP下线,AC就可以对重新上线的自动AP进行认证。
使用wlan auto-ap persistent或wlan auto-persistent enable命令可以对“未认证”和“已认证”的自动AP进行固化,固化后的AP称为固化AP。固化AP和通过序列号上线的AP没有区别,管理员可以对这些AP进行参数修改。
将自动AP转换为固化AP |
wlan auto-ap persistent { all | name auto-ap-name [ new-ap-name ] } |
需要注意的是,wlan auto-persistent enable命令仅对新上线的自动AP生效,对于已上线的自动AP,只能使用wlan auto-ap persistent命令将自动AP转换为固化AP |
当多个AC共用一个公网IP地址时,可以在公网AC上指定AP与AC的绑定关系,当AP请求关联AC时,公网AC将该AP的报文重定向至AP绑定的AC,AP与绑定的AC建立隧道。
表1-9 配置AP与指定AC的绑定关系
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AP与指定AC的绑定关系 |
wlan ap-mac-address mac-address bas-ac-ip ip-address |
可选 缺省情况下,未配置AP与指定AC的绑定关系 |
可以手工指定AP使用其他VLAN作为管理VLAN接口,AP会首先使用默认VLAN1进行关联,超时后使用指定管理VLAN接口关联AC。
表1-10 配置AP管理VLAN接口
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AP管理VLAN接口 |
wlan management-interface interface-type interface-number |
可选 缺省情况下,AP与AC建立管理通道的接口为Vlan-interface 1 |
如下图所示,AC与AP建立控制和数据隧道,控制隧道用于实现AC对AP进行管理和监控。数据隧道用于转发客户端的数据报文。完成隧道连接后,所有的配置都在AC上进行,在部署、升级、配置AP时,不再需要用户的干预,实现在AC上对AP的统一管理和维护。
图1-5 AC与AP间隧道典型组网图
通常情况下,对于FIT AP的配置需要终端连接到AP之后才能进行,这样不利于大规模的FIT AP部署以及集中化管理。通过在AC上设置FIT AP配置信息,提供了一种在AC上对FIT AP进行配置的方法,避免逐台配置FIT AP。AC通过隧道将配置信息下发至FIT AP。需要注意的是,AC只能将配置信息发送给与它建立了连接(即当前处于Run状态)的FIT AP。
表1-11 配置AC与AP间隧道
配置AC发现策略 |
||
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
配置AP的序列号 |
缺省情况下,没有为AP配置序列号 在配置AP自动发现功能时,除了配置serial-id auto命令外,还需要配置wlan auto-ap enable命令 |
|
配置AP的描述信息 |
||
配置开启AP告警信息 |
||
配置AP名称 |
||
配置Jumbo帧的最大长度 |
缺省情况下,禁止Jumbo帧的传输 |
|
配置AP回复无线客户端发送的SSID为空的探测请求 |
缺省情况下,AP会对无线客户端发送的SSID为空的探测请求进行回复 |
|
配置AP和无线客户端之间连接允许的最大空闲时间 |
缺省情况下,AP和无线客户端之间的连接允许的最大空闲时间为3600秒 |
|
配置AP发送统计信息报告的时间间隔 |
缺省情况下,AP发送统计信息报告的时间间隔为50秒 |
|
配置基于AP的NAS-PORT-ID |
缺省情况下,没有为AP配置NAS-PORT-ID |
|
配置AP的NAS-ID |
缺省情况下,没有为AP配置NAS-ID编号 |
|
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
设置AP对未知用户数据报文的处理方式 |
缺省情况下,当AP接收到未知用户的数据报文时,发送解认证报文 |
AP和AC间隧道报文以明文方式传输在网络上传输,必然会存在安全隐患。为了解决隧道传输安全问题,可以使用IPsec(IP Security)协议对隧道的控制报文和数据报文进行加密和认证,以保证AC和AP之间的隧道通信安全。
IPsec加密AC与AP间隧道的基本配置步骤如下:
(1) 配置AP预选配置信息前,需要使AP和AC之间建立连接,并确保AP处于运行状态。
(2) 进入AP配置视图,完成加密隧道和加密密钥的相关配置,并执行save wlan ap provision命令将AP配置信息保存到AP的私有配置文件中。
(3) 手动重启AP后,使配置信息在AP上生效。
(4) 配置IPsec安全隧道。在配置IPsec安全隧道时需要注意以下几点:
· 对于IPsec加密AC与AP间隧道,安全协议只支持ESP协议(transform),安全协议对IP报文的封装形式只支持隧道模式(encapsulation-mode),ESP协议采用的认证算法只能采用SHA-1(esp authentication-algorithm sha1),ESP协议采用的加密算法只能采用AES(esp encryption-algorithm aes-cbc-128)。只支持使用IKEv1为IPsec协商建立SA,采用缺省的安全提议,IKE第一阶段的协商模式只能采用主模式(exchange-mode)。关于IPsec的命令的详细介绍请参见“安全命令参考”中的“IPsec”。
· 由于AC是响应AP的协商请求等原因,在配置使用IKE协商方式的IPsec安全策略时,只能使用“引用IPsec安全策略模板创建IPsec安全策略”。
· 配置IKE对等体的预共享密钥认证时,使用命令pre-shared-key配置的预共享密钥必须和tunnel encryption ipsec pre-shared-key命令配置的预共享密钥保持一致,前者是AC端的密钥,后者是由AC通过AP预配置功能下发给AP的密钥。
· 由于AC作为协商响应方,在AC上配置IKE对等体时,可以通过remote-address命令配置AC可以接受的协商对象的地址,这个地址可以是AP的IP地址或是AP的IP地址范围。如果不配置,表示AC可以接受任何AP发起的协商请求。但是如果有多个AP需要和AC建立IPsec安全隧道,且各AP上的预共享密钥不同,在这种情况下,建议使用remote-address命令配置AP的IP地址或是AP的IP地址范围,且各AP的IP地址范围不要有交集。关于remote-address命令的详细介绍请参见“安全命令参考”中的“IPsec”。
· 为了确保AP下线后,AC和AP之间的SA能够及时删除,需要配置以下功能:DPD(Dead Peer Detection,对等体存活检测);使用ike sa keepalive-timer interval命令配置ISAKMP SA向AP发送Keepalive报文的时间间隔;使用ike sa keepalive-timer timeout命令配置ISAKMP SA等待AP发送Keepalive报文的超时时间;使用ipsec invalid-spi-recovery enable使能IPsec无效SPI恢复功能。
关于IPsec的详细配置请参见 “安全配置指导”中的“IPsec”。
(5) 将IPsec策略应用到VLAN接口上。
表1-12 配置IPsec加密AC与AP间隧道
设置AP名称和型号名称,并进入AP模板视图 |
||
创建并进入AP配置视图 |
||
配置AP使用IPsec密钥加密控制隧道 |
tunnel encryption ipsec pre-shared-key { cipher | simple } key |
缺省情况下,AP不对控制隧道进行加密 |
配置AP使用IPsec密钥加密数据隧道 |
缺省情况下,AP不对数据隧道进行加密 |
|
将AP预配置信息同步到指定AP的私有配置文件中 |
该命令仅对当前处于Run状态的AP生效 关于该命令的使用注意事项请参见“WLAN命令参考”中的“WLAN高级功能” |
关于tunnel encryption ipsec pre-shared-key和data-tunnel encryption enable命令的详细介绍,请参见“WLAN命令参考”中的“WLAN高级功能”。
在AP和AC之间使用保活机制来确认隧道是否正常工作。正常情况下,AP周期性地发送回声请求(echo request)给AC,AC收到该请求后会回复回声应答(echo response)。如果AC在三倍保活时间内没有收到AP发送的回声请求,或是AP在三倍保活时间内没有收到AC回复的回声应答,AC/AP会主动断开隧道。
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
AP发送回声请求的时间间隔 |
缺省情况下,AP发送回声请求的时间间隔为10秒 |
为了保持AC与AP间隧道的稳定性,可以通过关闭AC-AP间隧道保活信息更新机制,避免AP主动发起下线请求,或者通过配置AP上行链路的AC-AP间隧道协议报文重传失败时AP不主动断开隧道,来避免AP频繁掉线。
表1-14 在AP视图下配置隧道管理
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
配置AP名称和型号名称,并进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
只有在AP模板被创建时才定义型号名称 |
配置关闭AC-AP间隧道保活信息更新机制 |
tunnel key-update disable |
缺省情况下,AC-AP间隧道保活信息更新机制处于开启状态 |
配置当AP上行链路的AC-AP间隧道协议报文重传失败时AP不会主动断开隧道 |
tunnel uplink-retransmit-insensitive enable |
缺省情况下,当AP上行链路的AC-AP间隧道协议报文重传失败时AP会主动断开隧道 |
表1-15 在AP组视图下配置隧道管理
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
进入AP组视图 |
必选 缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
|
配置关闭AC-AP间隧道保活信息更新机制 |
tunnel key-update disable |
缺省情况下,AC-AP间隧道保活信息更新机制处于开启状态 |
配置当AP上行链路的AC-AP间隧道协议报文重传失败时AP不会主动断开隧道 |
tunnel uplink-retransmit-insensitive enable |
缺省情况下,当AP上行链路的AC-AP间隧道协议报文重传失败时AP会主动断开隧道 |
在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件),将配置文件下载到AP,配置文件会在下一次隧道处于Run时生效。配置文件生效后,AP会使用配置文件中的命令,但AP不会保存这些配置。
除了使用map-configuration命令将指定的配置文件下载到AP这种方法,用户也可以使用AP预配置方式对AP进行配置,关于AP预配置的详细信息请参见“WLAN配置指导”中的“WLAN高级功能”。
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
缺省情况下,没有指定AP的配置文件 |
· 使用map-configuration命令指定的配置文件,文件中的内容必须是完整的命令行形式。
· 在使用某些功能时,需要使用配置文件对AP进行配置,例如:在本地转发模式下配置用户方案时,需要事先将用户方案、相关的QoS策略和ACL等命令写入配置文件,并将配置文件下载到AP。
修改AP的名称 |
对于AP自动发现上线的AP,在转换其为固化AP前,不能对自动AP名称进行修改 |
开启AP流量保护功能后,可以对AC和AP间的数据流量进行限速,防止出现由于AP遭受超过其处理能力的数据流量冲击,使其无法及时向AC回复报文而导致AP频繁重启。
表1-18 配置AP流量保护
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
限制AC向AP发送数据报文的速率 |
缺省情况下,不限制AC向AP发送数据报文的速率 开启AP流量保护功能后,可以对AC和AP间的数据流量进行限速,防止出现由于AP遭受超过其处理能力的数据流量冲击,使其无法及时向AC回复报文而导致AP频繁重启 |
AP为零配置设备,缺省情况下,如果AP和AC软件版本一致,那么AP在上电后可以自动发现AC,并和AC建立隧道连接。如果AP的软件版本与AC不一致,AP会从AC上下载版本,AP完成版本下载后会自动重启,重启后,AP完成版本升级。但是在实际使用中,如果AP和AC的版本不一致,但网管人员不愿意升级AP的情况下,网管人员可以设置AP和AC版本的匹配条件,如果AP和AC的版本符合AP版本匹配条件,那么网管人员不需要升级AP版本,AP可以和AC建立隧道。如果AP和AC的版本不符合AP版本匹配条件,那么AP需要从AC上下载AP的版本,AP完成版本下载后会自动重启,重启后,AP完成版本升级。
表1-19 配置AP版本匹配
配置AP版本匹配 |
wlan apdb model-name hardware-version software-version |
缺省情况下,AC和AP的软件版本保持一致,AC和AP才能建立隧道 如果命令行中只显示Ver.A,则代表此AP的硬件版本号可以忽略。 |
只有LWAPP协议支持本功能,通过CAPWAP协议建立的隧道不支持AP分阶段版本升级。
随着WLAN网络中AP设备的增多,对AP进行升级的风险也会逐步加大。在这种情况下,可以通过AP分阶段升级功能逐步对AP版本进行升级,降低由AP升级造成的网络故障风险。
AP版本升级开关可以在系统视图、AP组视图、AP模板视图下配置,通过在不同视图下设置AP版本升级开关,可以实现选择性地对个别AP进行版本升级,或是对AP组内的AP成员进行版本升级。
不同视图下AP版本升级开关优先级顺序由高到低依次为为AP模板视图 > AP组视图 > 系统视图。如果优先级高的视图下未配置此开关,表示继承较低优先级的配置情况。
AP版本升级开关的含义如下:
· AP版本升级开关为关闭:表示不检查AP和AC的版本情况,AP和AC可以建立隧道。
· AP版本升级开关为开启:表示检查AP和AC的版本匹配情况,如果检查不通过,那么AP会从AC上下载版本,AP完成版本下载后会自动重启,重启后,AP完成版本升级。
在AP已经和AC建立隧道连接的情况下,如果在AC上配置AP版本开关为开启,那么需要手动重启AP后,AP才能从AC上下载版本,AP完成版本下载后会自动重启,重启后,AP完成版本升级。
(1) 在系统视图下配置AP版本开关
表1-20 在系统视图下配置AP版本开关
配置AP版本升级开关 |
缺省情况下,系统视图下AP版本升级开关处于开启状态 |
|
(2) 在AP组视图下配置AP版本开关
如果需要批量对多个AP进行版本升级设置,可以将这些AP加入到同一个AP组,在AP组视图下设置AP版本升级开关。
表1-21 在AP组视图下配置AP版本开关
创建AP组,并进入AP组视图 |
缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
|
配置AP版本升级开关 |
可选 缺省情况下, AP组视图下AP版本升级开关处于开启状态 |
|
重启指定AP组内的所有AP |
(3) 在AP模板视图下配置AP版本开关
如果需要单独对某个AP进行版本升级设置,可以在AP模板视图下设置AP版本升级开关。
表1-22 在AP模板视图下配置AP版本开关
进入AP模板视图 |
创建AP模板时,需要定义型号名称 |
|
配置AP版本升级开关 |
缺省情况下,AP模板视图下AP版本升级开关处于开启状态 |
|
AP需要提供SSID使得客户端接入。配置SSID之前,需要创建服务模板。通过创建多个服务模板,可以提供不同的SSID,每个SSID可以有不同的属性和参数,如认证方式等,也可以在不同服务模版下可以配置相同的SSID,即相同的SSID也可以提供不同的接入服务。
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
由于不同服务模版下可以配置相同的SSID,通过配置description命令可以用来帮助用户标识服务模版的用途,以免对SSID进行误配置 |
||
可以根据实际的网络环境,灵活配置Beacon帧中是否携带国家码和携带的国家码信息。
表1-24 配置Beacon帧中国家码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
不能修改已创建的服务模板的类型 |
配置Beacon帧中是否携带国家码和携带的国家码信息 |
beacon country-code-ie { disable | enable { any | indoor | outdoor } } |
可选 缺省情况下,Beacon帧中携带国家码信息并且环境标记为室内 |
安全接入主要体现在认证和数据加密两个方面。认证用来保证只能由授权用户进行访问,数据加密则保证发送的数据只能被特定的用户所接收。
认证主要有802.1X接入认证、PSK认证、MAC地址认证等。数据加密主要有WEP、TKIP和CCMP。
关于WLAN安全的内容介绍和配置请参见“WLAN配置指导”中的“WLAN安全”。关于端口安全的内容介绍和配置请参见“安全配置指导”中的“端口安全”。
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
关于该命令的详细配置介绍请参考“WLAN命令参考”中的“WLAN安全” |
表1-26 配置将WLAN-ESS接口绑定到服务模板
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
将WLAN-ESS接口绑定到服务模板 |
在AC上可以配置三种转发模式:
· 集中式转发模式:客户端的数据流量由AP通过隧道透传到AC,由AC转发数据报文。对于集中转发模式,可以选择数据报文以802.3格式封装在数据隧道中,由AC转发;或是数据报文以802.11格式封装在数据隧道中,由AC转发。
· 本地转发模式:仍由AC对客户端进行认证,但客户端的数据流量直接由AP进行转发。该模式在保持了AC/Fit AP架构在安全、管理等方面的优势的前提下,缓解了AC的数据转发压力。
· 策略转发模式:根据客户端报文匹配转发策略的情况,使得接入某个SSID的客户端发送的报文可以进行集中转发或本地转发,从而充分利用AP的本地转发功能,有效减轻AC的负担。
缺省情况下,AC工作在集中转发模式。
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
配置数据报文以在数据隧道中的封装格式,由AC转发数据报文 |
缺省情况下,数据报文以802.11格式封装在数据隧道中,由AC转发数据报文 使用CAPWAP隧道时,该配置才能生效。使用LWAPP隧道时,数据报文只能以802.11格式封装在数据隧道中 |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
缺省情况下,AP会将客户端的数据报文透传给AC,由AC转发数据报文 |
· 如果使用Local认证模式,那么数据转发方式为本地转发模式,配置的策略转发无效。关于认证模式的介绍请参见“1.2.9 7. 配置认证模式”。
· 当配置策略转发时,建议AC和AP不在同一二层网络中。
使用策略转发首先要创建转发策略,并制定转发规则,报文匹配规则如下,先按照ACL的编号由小到大来匹配。如果报文已经匹配到满足条件的规则,就执行相应的转发,如果不满足,则继续匹配下一个规则。如果没有匹配到任何规则或是使用的ACL中没有配置规则,则缺省采用集中转发。
进行报文匹配时,不对ACL规则中的参数permit和deny进行区分,只要报文能够匹配ACL规则,都算作报文匹配成功。目前转发策略对ACL的支持情况如下:
· 对于IPv4和IPv6基本ACL,只支持指定规则的源地址信息。
· 对于IPv4和IPv6高级ACL,只支持IP、TCP、UDP和ICMP协议。对于IP协议,支持指定源IP和目的IP地址信息。对于UDP和TCP协议,支持指定源端口号和目的端口号。对于ICMP协议,支持指定ICMP报文的消息类型和消息码信息。
· 对于IPv4的二层ACL,只支持指定规则的源MAC和目的MAC地址信息。
转发策略可以应用到User Profile或是服务模板。
· 应用到User Profile,则客户端通过802.1X认证后,由认证服务器将客户端使用的User Profile名称下发给AP,AP收到User Profile名字后,会根据User Profile获取转发策略。使用这种方式,需要在AC上创建并激活需要下发给AP的User Profile。如果User Profile中同时配置QoS策略,客户端发送的报文同时符合QoS策略和转发策略的匹配规则,在这种情况下,QoS策略具有更高的优先级。
· 应用到服务模板,则接入该SSID的客户端使用服务模板下的转发策略。
如果应用到两者的转发策略不同,User Profile中的转发策略优先级高。无论哪种方式,转发策略中的转发规则都需要在AP上生效,因此需要使用map-configuration命令将相关配置下发到AP上。配置文件应该包括以下内容:ACL编号及ACL规则。如果需要将转发策略应用到User Profile,在配置文件中还需要包括和User Profile相关的配置。
配置转发规则,即对匹配ACL的报文进行分类,并采用对应的转发策略进行转发 |
classifier acl { acl-number | ipv6 acl6-number } behavior { local | remote } |
|
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
缺省情况下,转发模式为集中转发,即AP会将客户端的数据报文透传给AC,由AC转发数据报文 无论是在服务模板上应用转发策略,或是在User Profile上应用转发策略,都必须配置该命令 |
对于本地转发、集中Portal认证的应用场景,如果客户端通过本地分配IP地址,不同分支机构的客户端有可能分配到相同的IP地址。 IP地址是Portal认证的唯一标识,因此不允许客户端使用相同的IP地址。在配置客户端的DHCP报文封装在数据隧道中转发后,可以由AC统一分配IP地址,避免该问题的发生。
表1-30 配置客户端的DHCP报文封装在数据隧道中转发
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto } |
不能修改已创建的服务模板的类型 |
配置客户端的DHCP报文封装在数据隧道中转发 |
client dhcp-server centralized |
必选 缺省情况下,客户端的DHCP报文与数据报文的转发模式保持一致。 |
通过配置认证模式,可以控制客户端的认证。目前支持三种认证模式:
· AC集中式认证模式
集中式认证是由AC对客户端进行认证,数据转发方式与命令client forwarding-mode local的设置情况有关。AC和AP的连接出现故障后,客户端是否下线与hybrid-remote-ap enable命令的设置情况有关,关于hybrid-remote-ap enable命令的配置介绍请参见“1.4 配置Remote AP”。
· Local认证模式
Local认证即AP本地认证,该模式下AP直接作为认证实体对客户端进行认证,客户端接入后,数据转发方式为本地转发。即使AC和AP的连接发生故障,也不会影响已接入用户的认证状态及新的用户接入。
· Backup认证模式
AP和AC连接正常时,使用AC集中式认证。AC和AP的连接出现故障后,原有的客户端不会下线[1],如果有新的客户端需要接入,将自动使用AP本地认证,客户端接入后,数据转发方式为本地转发。当Remote AP功能开启时,AP和AC恢复连接后,AP会强制所有客户端下线,AC重新对客户端进行认证后,客户端才可接入;当Remote AP功能关闭且AC和AP连接断开时,客户端不能接入。当AC和AP恢复连接后,客户端由AC进行集中认证后,才可接入。
· [1]:Backup认证模式下,AC和AP断开后,对于原有客户端仅将数据转发方式转为本地转发,以保障基本数据通信不中断,认证信息并不保留。认证相关业务,如重认证等,需客户端重新连接才能生效。
· 该特性针对的认证类型为WLAN-ESS接口下端口安全支持的认证类型,不支持Portal认证。
· 通过AP本地认证上线的客户端不支持漫游。
· 通过AP本地认证上线的客户端不支持客户端信息备份功能,即wlan backup-client enable命令对于通过AP本地认证上线的客户端不生效。
使用Local认证模式的情况下,如果客户端使用的认证方式需要认证服务器,可以使用如下图所示的两种组网方式,推荐使用如图1-7所示的组网方式,将认证服务器部署在AP侧,这种方式的优势在于当AP和AC的连接出现故障后,不会因为认证服务器超时定时器超时导致已上线的客户端下线。
图1-6 AP本地认证组网图(认证服务器部署在AC侧)
图1-7 AP本地认证组网图(认证服务器部署在AP侧)
配置backup或local认证模式前,请先使用hybrid-remote-ap enable命令开启AP的Remote AP功能。
配置使用backup或local认证模式,并且客户端使用802.1X或MAC地址认证方式接入,那么用户需要编辑AP的配置文件,然后使用map-configuration命令将配置文件下载到AP。AP的配置文件中必须包括以下内容:
· 如果客户端使用本地802.1X或本地MAC地址认证,在配置文件中需要包括开启端口安全、ISP域以及本地用户的配置。
· 如果客户端使用远程802.1X或远程MAC地址认证,在配置文件中需要包括开启端口安全、ISP域以及RADIUS方案的配置。
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
WAPI服务模板只支持AC对客户端进行认证,在WAPI类型的服务模板视图下不能修改认证模式 |
缺省情况下,使用AC集中式认证模式,即由AC对客户端进行认证 |
· 通过Local认证模式上线的客户端,在AC上可以通过reset wlan client命令强制客户端下线。
· 使用Local认证模式和Backup认证模式的情况下,如果AC和AP的连接出现故障,在故障恢复前,请不要修改AC上的配置。AP和AC恢复连接后,AC会重新检查配置,某些配置不一致可能会导致已上线的客户端下线。
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
指定在同一个射频下,某个SSID下的关联无线客户端的最大个数 |
缺省情况下,最多可以关联64个无线客户端 |
信标测量是802.11k协议定义的一套用于无线设备向其他无线设备查询无线环境信息的标准方法之一。开启信标测量功能后,AP会周期性地向客户端发送信标测量请求,客户端收到信标测量请求后,会回复信标测量报告。AP通过信标测量报告获取客户端收集到的信标测量信息。
· 主动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会在其支持的所有信道上广播发送Probe Request帧,然后设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP。
· 信标表模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,不执行额外的测量,直接向AP回复信标测量报告,该报告中包含客户端当前存储的所有信标测量信息。
· 被动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP。
只有支持802.11k协议的客户端才能使用信标测量功能。
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
开启此功能后,设备不会对关联到此SSID的客户端进行频谱导航和负载均衡计算 |
表1-35 配置用户Cache老化时间
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
配置用户Cache老化时间 |
缺省情况下,用户Cache的老化时间为180秒 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
不能修改已创建的服务模板的类型 |
配置A-MPDU聚合的报文最大个数 |
a-mpdu { 11ac | 11n | all } { rx | tx } packet-number number |
必选 缺省情况下,A-MPDU聚合的最大报文个数与AP型号相关,请以设备的实际情况为准。 |
配置A-MPDU聚合报文的最大长度 |
a-mpdu { 11ac | 11n } packet-length-exponent exponent |
必选 缺省情况下,A-MPDU聚合报文的最大长度与AP型号相关,请以设备的实际情况为准。 |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
|
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
||
radio radio-number [ type { dot11a | dot11an | dot11ac | dot11b | dot11g | dot11gn } ] |
本命令的缺省情况与AP设备的型号有关,请以设备的实际情况为准 |
||
· 使用自动选择信道模式,即auto模式 命令行的使用注意事项请参见“WLAN接入命令” |
|||
· 射频的最大功率和国家码、信道、AP型号、射频模式和天线类型相关,如果采用802.11n射频模式,那么射频的最大功率和带宽模式也相关 命令行的使用注意事项请参见“WLAN接入命令” |
|||
锁定功率,并将max-power设置为自动功率调整后的功率值 |
|||
设置AP使用的前导码类型 |
只有2.4GHz的射频支持此功能 |
||
开启ANI(Adaptive Noise Immunity,自动抗干扰)功能 |
|||
只有支持802.11n并支持2条以上流的AP支持此功能 |
|||
只有支持802.11n并支持2条以上流的AP支持此功能 |
|||
antenna type type |
|||
· 在高密度的无线网络环境中,减少AP和客户端之间形成的干扰,避开非无线设备形成的干扰 只有使用antenna type命令为射频配置内置天线的情况下,智能天线才会起作用 |
|||
smart-antenna policy { auto | high-reliability | high-throughput } |
|||
配置STBC(Space-timed |
缺省情况下,STBC处于开启状态 开启STBC后,可以提高接收端的SNR,增强数据传输的可靠性 STBC可用于无线接入、Mesh链路。用于Mesh链路时,为使性能达到最佳,建议在发送设备和接收设备上同时开启STBC 当AP上存在的天线 > Radio使用速率对应的空间流时,STBC才能生效,例如设置MCS索引值为8,该索引值对应的空间流数量为2,那么AP上至少有3个天线,配置的STBC才能起作用 |
||
配置开启LDPC功能 |
ldpc enable |
可选 缺省情况下,LDPC功能处于关闭状态 |
|
radio-policy radio-policy-name |
缺省情况下,射频策略default_rp映射到当前射频 在映射自定义射频策略前,需要使用wlan radio-policy命令创建自定义的射频策略 |
在射频策略下可以配置一系列的射频参数。如果将某个射频策略映射到某个射频,则该射频就继承在射频策略里配置的所有参数。
wlan radio-policy radio-policy-name |
|||
缺省情况下,发送信标帧的时间间隔为100TU(Time Unit,时间单位) |
|||
设置信标帧的DTIM计数器 |
缺省情况下,DTIM计数器为1 |
||
设置帧长超过RTS门限值的帧的最大重传次数 |
缺省情况下,帧长超过RTS门限值的帧的最大重传次数为4 |
||
设置帧长不大于RTS门限值的帧的最大重传次数 |
缺省情况下,帧长不大于RTS门限值的帧的最大重传次数为7 |
||
设置AP接收的帧可以在缓存中保存的最长时间 |
缺省情况下,AP接收的帧可以在缓存中保存的最长时间为2000毫秒 |
||
设置RTS(Request to Send,发送请求)的门限值 |
缺省情况下,RTS门限值为2346字节 |
||
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
||
radio radio-number [ type { dot11a | dot11an | dot11ac | dot11b | dot11g | dot11gn } ] |
本命令的缺省情况与AP设备的型号有关,请以设备的实际情况为准 |
||
radio-policy radio-policy-name |
缺省情况下,缺省射频策略default_rp映射到当前射频 |
配置了SNMP操作下射频策略自动创建功能后,对于通过SNMP新创建的AP模板,都会给该模板的每一个射频自动创建并绑定一个新的射频策略。
表1-39 配置SNMP操作下射频策略自动创建
启用SNMP操作下射频策略自动创建 |
wlan radio-policy auto-create snmp |
缺省情况下,SNMP操作下的射频策略自动创建功能关闭 |
802.11n作为802.11协议族的一个新协议,支持2.4GHz和5GHz两个频段,致力于为无线用户提供更高的吞吐量,802.11n主要通过增加带宽和提高信道利用率两种方式来提高吞吐量。
增加带宽:802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用(一个为主信道,一个为辅信道)。当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量。
· 802.11n标准中采用A-MPDU(Aggregate-MAC Protocol Data Unit)聚合帧格式,即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时通过Block Ack减少了ACK帧的数目,从而降低了协议的负荷,有效的提高网络吞吐量。
· 802.11n协议定义了一个新的MAC特性A-MSDU(Aggregate-Service Protocol Data Unit),该特性实现了将多个MSDU组合成一个A-MSDU发送,与A-MPDU类似,通过聚合,A-MSDU减少了传输每个MSDU的MAC头的附加信息,提高了MAC层的传输效率。
· 802.11n支持在物理层的优化,提供短间隔功能。原11a/g的GI时长800ns,而短间隔Short GI时长为400ns,在使用Short GI的情况下,可提高10%的速率。
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
缺省情况下,802.11an类型的射频接口的带宽为40MHz,802.11gn类型的射频接口的带宽为20MHz。当802.11gn射频工作在40MHz带宽下,默认关闭自动带宽切换功能。若要开启自动带宽切换功能,需要执行channel band-width 40 auto-switch命令 |
||
配置仅允许802.11n用户接入功能 |
缺省情况下,802.11an类型的接口同时允许802.11a和802.11an用户接入;802.11gn类型的接口同时允许802.11b/g和802.11gn用户接入 |
|
缺省情况下,Short GI功能处于开启状态 |
||
缺省情况下,A-MSDU功能处于开启状态 目前,设备只支持接收A-MSDU报文,不支持发送A-MSDU |
||
缺省情况下, A-MPDU功能处于开启状态 |
||
开启sFlow功能 |
sflow enable |
可选 缺省情况下,sFlow功能处于开启状态 关于sFlow功能的介绍和命令请参见“网络管理和监控”中的“sFlow” |
在启用射频前,必须完成MCS的配置,关于802.11n的基本MCS集和支持MCS集请参见“WLAN配置指导”中的“WLAN RRM” |
关于802.11n的基本MCS集和支持MCS集请参见“WLAN配置指导”的“WLAN RRM”。
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
radio radio-number [ type { dot11a | dot11an | dot11ac | dot11b | dot11g | dot11gn } ] |
本命令的缺省情况与AP设备的型号有关,请以设备的实际情况为准 |
|
开启WLAN射频 |
||
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
radio radio-number [ type { dot11a | dot11an | dot11ac | dot11b | dot11g | dot11gn } ] |
本命令的缺省情况与AP设备的型号有关,请以设备的实际情况为准 |
|
802.11ac通过采用由四个20MHz的带宽绑定成一个80MHz带宽的方式增加了通信带宽,提高了吞吐量。同时,802.11ac也继承了802.11n中的提高信道利用率的方式确保设备的吞吐量。
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
缺省情况下,802.11ac类型的射频接口的带宽为80MHz |
||
配置允许802.11n以及802.11ac用户接入功能 |
缺省情况下,802.11ac类型的接口同时允许802.11a、802.11an以及802.11ac用户接入 |
|
配置仅允许802.11ac用户接入功能 |
缺省情况下,802.11ac类型的接口同时允许802.11a、802.11an以及802.11ac用户接入 |
|
缺省情况下,Short GI功能处于开启状态 |
||
缺省情况下,A-MSDU功能处于开启状态 目前,设备只支持接收A-MSDU报文,不支持发送A-MSDU |
||
缺省情况下,A-MPDU功能处于开启状态 |
||
在启用射频前,必须完成NSS的配置,关于802.11ac的基本NSS和支持NSS请参见“WLAN配置指导”中的“WLAN RRM” |
关于802.11ac的基本空间流数和支持空间流数的介绍请参见“WLAN配置指导”的“WLAN RRM”。
当多个AP需要配置某功能时,逐个进入AP模板视图,对每个AP执行一遍命令,比较繁琐。此时,可以使用AP组功能,以减少重复配置工作。
没有创建任何AP组时,存在一个名为default_group的缺省AP组,所有AP默认都属于缺省AP组。缺省AP组不允许删除,但可以修改缺省AP组的配置。创建AP后,所有AP默认都属于缺省AP组。
创建AP组后,可以将某些配置相同或是在同一网段的多个AP加入一个AP组中。加入AP组的成员AP会继承AP组中的配置。对于自动AP,如果将自动AP模板加入到一个非缺省的AP组中,那么使用该自动AP模板上线的自动AP都将被分到该AP组,即上线的自动AP会继承自动AP模板所在的AP组中的配置。
在AP组配置视图下执行的命令,通常情况下,对所有成员AP生效。如果某个成员AP执行某命令失败,设备会给出相应的提示信息,不会影响其它成员AP继续执行该命令。
从某个AP组中删除AP(相当于加入缺省AP组)或是将AP加入到一个新的AP组,该AP会先重启,再清空除了序列号以外的所有配置,AP加入新的AP组后,AP会先重启,然后继承新的AP组中的配置。
AP接入AC有三种配置方式:A、配置AP的序列号;B、配置指定型号的自动AP模板;C、只开启自动AP功能。通过这三种配置方式接入AC的AP在分组时,如果AP模板和IP匹配网段所在AP组出现冲突,那么AP分组优先级情况如下:
· 如果AP模板已被加入名为name1的AP组,但AP上线时,其IP地址匹配到名为name2的AP组的IP网段,则AP优先加入名为name1的AP组。
· 对于自动AP,如果自动AP模板已被加入名为name1的AP组,但自动AP上线时,其IP地址匹配到名为name2的AP组的IP网段,则自动AP会加入名为name1的AP组。
· 对于自动AP,如果自动AP模板属于名为default_group的缺省组,且自动AP上线时,其IP匹配到名为name1的AP组的IP网段,则自动AP会加入名为name1的AP组。
表1-44 创建AP组
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建AP组,并进入AP组视图 |
wlan ap-group group-name |
必选 缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
配置AP组的网段匹配条件提供了一种根据区域对AP进行统一管理的方法。当AP接入AC时,AC会将AP的IP地址与各AP组下的网段进行匹配。如果AP的IP地址在AP组的IP网段范围内,AP会加入该AP组,以此方式实现按IP网段对AP分组的管理功能。
配置为AP分组的IP网段匹配条件时,需要注意以下事项。
· 为AP分组的IP网段匹配条件只在AP上线时生效,因此修改AP组的IPv4/IPv6匹配条件不会影响已上线的AP的分组情况。
· 通过匹配IP网段条件上线的AP不支持VRRP热备。即使在AP下线并重新上线后,该AP仍不能支持VRRP热备。只有手工修改其所在AP组,使得该AP不在IP网段匹配的AP组内,该AP才能重新支持VRRP热备。
表1-45 配置为AP分组的IP网段匹配条件
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建AP组,并进入AP组视图 |
wlan ap-group group-name |
必选 缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
配置IPv4网段匹配条件 |
if-match ip ip-address { mask-length | mask } |
可选 缺省情况下,没有配置IPv4网段匹配条件 |
配置IPv6网段匹配条件 |
if-match ipv6 { ipv6-address prefix-length | ipv6-address/prefix-length } |
可选 缺省情况下,没有配置IPv6网段匹配条件 |
· 用户可以在AP模板下逐个对AP进行配置,也可以通过AP组一次配置多个AP,两者没有配置优先级关系,后配置的命令生效。
· AP组支持配置的所有命令中,如下命令dot11a radio enable、dot11a radio-policy、dot11a service-template、dot11bg radio enable、dot11bg radio-policy、dot11bg service-template、work-mode可能在某些成员AP上执行失败。有关这些命令的详细介绍请参见“WLAN命令参考”中的“WLAN接入”和“WLAN IDS”。
创建AP组,并进入AP组视图 |
缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 不同型号的设备支持的的AP组个数不同,请参见“配置指导导读”中的“特性差异情况”部分的介绍 |
|
配置AP组的描述信息 |
缺省情况下,没有AP组的描述信息 |
|
配置AP对客户端发送的SSID为空的探测请求进行回复 |
缺省情况下,AP会对客户端发送的SSID为空的探测请求进行回复 |
|
配置AP和客户端的最大空闲时间 |
缺省情况下,AP和客户端之间的最大空闲时间为3600秒 |
|
配置接入AP的客户端的保活时间间隔 |
||
配置备份AC的IP地址 |
缺省情况下,AP组内没有配置备份AC的IP地址 |
|
配置AP的国家码 |
缺省情况下,AP组内没有配置AP的国家码 |
|
配置AP发送回声请求的时间间隔 |
缺省情况下,AP发送回声请求的时间间隔为10秒 |
|
缺省情况下,Remote AP功能处于关闭状态 |
||
指定AP在AC上的连接优先级 |
缺省情况下,AP连接优先级为4 |
|
配置AP发送统计信息报告的时间间隔 |
缺省情况下,AP发送统计信息报告的时间间隔为50秒 |
|
设置AP工作在Hybrid模式 |
缺省情况下,AP设置为标准模式,仅提供WLAN服务 该命令的详细介绍请参见“WLAN命令参考”中的 “WLAN IDS” |
|
设置AP的工作模式为Monitor模式 |
缺省情况下,AP设置为标准模式,仅提供WLAN服务 该命令的详细介绍请参见“WLAN命令参考”中的 “WLAN IDS” |
|
开启AP组内成员AP的5GHz射频上的sFlow功能 |
dot11a sflow enable |
可选 缺省情况下,AP组内的sFlow功能处于开启状态 关于sFlow功能的介绍和命令请参见“网络管理和监控”中的“sFlow” |
配置AP版本升级开关 |
缺省情况下, AP组视图下AP版本升级开关处于开启状态 |
|
将服务模板映射到AP组内成员AP的5GHz射频 |
dot11a service-template service-template-number [ vlan-id vlan-id | vlan-pool vlan-pool-name ] |
缺省情况下,AP组下没有配置服务模板 |
将射频策略映射到AP组内成员AP的5GHz射频 |
缺省情况下,所有AP的射频都使用缺省存在的射频策略default_rp |
|
开启AP组内成员AP的5GHz射频 |
缺省情况下,AP组内成员AP的5GHz射频处于关闭状态 |
|
开启AP组内成员AP的2.4GHz射频上的sFlow功能 |
dot11bg sflow enable |
可选 缺省情况下,AP组内的sFlow功能处于开启状态 关于sFlow功能的介绍和命令请参见“网络管理和监控”中的“sFlow” |
将服务模板映射到AP组内成员AP的2.4GHz射频 |
dot11bg service-template service-template-number [ vlan-id vlan-id | vlan-pool vlan-pool-name ] |
缺省情况下,AP组下没有配置服务模板 |
将射频策略映射到AP组内成员AP的2.4GHz射频 |
缺省情况下,所有AP的射频都使用缺省存在的射频策略default_rp |
|
开启AP组内成员AP的2.4GHz射频 |
缺省情况下,AP组内成员AP的2.4GHz射频处于关闭状态 |
有两种配置方式可以将AP加入到AP组中。
表1-47 配置AP加入AP组(方式一)
创建AP组,并进入AP组视图 |
缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
|
将AP加入到AP组中 |
缺省情况下,使用wlan ap-group命令创建新AP组后,在该组中不存在AP成员 |
表1-48 配置AP加入AP组(方式二)
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
将AP加入到AP组中 |
缺省情况下,所有AP都在名为default_group的缺省组中 |
可以在AC上通过命令行设置AP发送统计信息报告(统计信息报告包括射频解密错误报告和射频统计等信息)的时间间隔。
表1-49 配置AP发送统计信息报告的时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AP名称和型号名称,并进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
只有在AP模板被创建时才定义型号名称 |
设置AP发送统计信息报告的时间间隔 |
statistics-interval interval |
必选 缺省情况下,AP发送统计信息报告的时间间隔为50秒 |
可以在AC上通过命令行设置AP的内存利用率阈值,如果AP的内存利用率超过了设定的阈值,则AP会发出告警。
表1-50 配置AP的内存利用率阈值
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AP名称和型号名称,并进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
只有在AP模板被创建时才定义型号名称 |
设置AP的内存利用率阈值 |
memory-usage threshold integer |
必选 缺省情况下,AP的默认内存利用率阈值为90 |
在AC上配置AP恢复出厂配置的特性,配置完后需要将待恢复出厂配置的AP与AC的连接断开,且待恢复出厂配置的AP需要重启之后才能恢复AP的出厂配置。
表1-51 配置AP恢复出厂配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AP恢复出厂配置 |
wlan ap-execute { all | name ap-name } conversion-to-factory |
必选 缺省情况下,不配置AP恢复出厂配置 |
对于室外型AP,在当工作环境温度过低时需要开启AP自动加热功能才能确保AP正常工作。
表1-52 配置开启AP自动加热功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置开启AP自动加热功能 |
wlan ap-execute { all | name ap-name } heatfilm { disable | enable } |
必选 缺省情况下,AP不需要开启自动加热功能 |
在AP模板视图下可以关闭当前模板下所有上线的AP设备的所有指示灯(包括电源灯、射频灯等),避免了指示灯闪烁给用户带来的困扰。
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
配置关闭当前模板下上线的所有AP设备的所有指示灯 |
缺省情况下,当前模板下上线的所有AP设备的所有指示灯是按照设备正常工作状态亮灯的 |
开启WLAN模块的Trap功能后,该模块会生成级别为level4的警告Trap报文,用于报告该模块的重要事件。生成的Trap报文将被发送到设备的信息中心,通过设置信息中心的参数,最终决定Trap报文的输出规则(即是否允许输出以及输出方向)。(有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。)
开启WLAN模块的Trap功能 |
缺省情况下,WLAN模块的Trap功能处于开启状态 |
|
设置AP上线数量的告警门限百分比 |
缺省情况下,AP上线数量的告警门限百分比为100 |
|
设置AP上线数量的告警 |
snmp-agent trap enable wlan { above-ap-number | below-ap-number } |
缺省情况下,开启AP上线数量的告警 |
snmp-agent trap enable wlan命令的详细介绍请参见“网络管理和监控命令参考/SNMP”中的snmp-agent trap enable命令。
无线客户端IP地址窥探功能用于监控无线客户端IPv4地址的变化。
· 当无线客户端通过DHCP服务器动态获取IP地址时,AP通过截获无线客户端与DHCP服务器间交互的DHCPv4报文,获取到DHCP服务器为无线客户端动态分配的IP地址,建立IP地址表项,上报AC,由AC打印SYSLOG信息。
· 当无线客户端通过手动静态配置IP地址时,AP通过监控并解析无线客户端的ARP报文,建立IP地址表项,上报AC,由AC打印SYSLOG信息。
表1-55 配置无线客户端IP地址窥探
|
||
配置无线客户端IP地址窥探 |
缺省情况下,不对无线客户端IP地址进行窥探 |
· 当无线客户端获取IP地址失败时,AC不会打印SYSLOG信息。
· 通过动态和静态方式配置的无线客户端IP地址,在无线客户端关联到AC后可以重新通过手动静态配置的方式修改,IP地址修改后会打印SYSLOG信息。
· 对于同一无线客户端,使用DHCP方式获取到的IP地址优先级更高。即,无线客户端使用DHCP方式动态获取IP地址并关联到AC后,如果手动修改客户端的IP地址为之前使用DHCP方式动态获取IP地址,则认为客户端还是使用DHCP方式获取的IP地址。
· 可以通过display wlan client source binding命令显示无线客户端的IP地址,详细介绍请参见“安全命令参考/IP源地址验证”。
用户可以通过该功能配置管理报文数量统计信息。
表1-56 管理报文数量统计配置
配置 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置管理报文数量统计的时间间隔 |
wlan statistics ap-interval ap-interval |
可选 |
配置管理报文数量统计的告警门限值 |
wlan statistics ap-threshold ap-threshold |
可选 |
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN接入的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除WLAN接入的相关信息。
在用户视图下执行wlan link-test命令对无线客户端进行RFPing(Radio Frequency Ping)操作。RFPing是一种针对无线链路的Ping功能,通过该检测可以获取AP和与之关联的无线客户端之间的无线链路的连接信息,如信号强度、报文重传次数、RTT(Round-trip Time,往返时间)等。
表1-57 WLAN接入的显示和维护
Remote AP是一种针对远程办公、小分支机构或家庭办公的解决方案。如下图所示,通过Internet网络,公司总部统一部署和管理连接远程办公室或小分支机构的Remote AP,在这些地方不需要在单独部署一个AC。
当Remote AP和AC处于连接状态时,由AC管理Remote AP。
当Remote AP与AC之间的隧道断开时,AP会自动开启本地转发模式(与AC上是否配置本地转发无关):
· 对于已接入的无线客户端,Remote AP可以继续为其提供无线接入服务,保证这些客户端能够继续访问本地资源。
· 对于新的无线客户端:
¡ 在Local和Backup认证模式下开启Remote AP功能时,Remote AP允许新的无线客户端接入。
¡ 在集中式认证模式下开启Remote AP功能时,Remote AP不允许新的无线客户端接入。
当AP与AC重新建立隧道后,AP会自动切换回到集中转发模式,并强制Remote AP上所有的客户端下线,所有客户端需要重新接入。
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
开启AP的Remote AP功能 |
缺省情况下,Remote AP功能处于关闭状态 · Remote AP不能和Mesh同时使用 · 不能将Remote AP上的所有物理接口都关闭,否则AP不能进行本地转发,所有客户端都会下线 · 如果Remote AP已经和备份AC建立了备份隧道,那么当Remote AP和主AC的隧道断开时,Remote AP会优先使用备份隧道继续为客户端提供无线服务 · 开启AP的Remote AP功能时,对于AP上使用802.1x认证的服务模板,建议关闭在线用户握手功能 |
AP组的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
无线接入服务的提供者希望能控制无线客户端在无线接入网中的接入位置。这里的接入位置目前主要指无线客户端所接入的AP。如图1-9所示,Client 1、Client 2和Client 3可以通过AP 1~AP 3接入到外部网络。基于某些策略考虑(如安全性或者计费等因素),提供无线接入服务的机构希望通过特定的AP接入策略,使Client 1和Client 2只能通过AP 1和AP 2访问网络,而Client 3只能通过AP 3访问网络。AP接入策略可以通过用户在User Profile下配置无线客户端关联的AP组,这样就可以确保客户端只能通过授权的AP访问网络资源。
通过命令行创建AP组,并且配置允许接入的AP。
表1-59 配置AP组
创建AP组,并进入AP组视图 |
||
配置特定的AP组内允许接入的AP |
· 可以重复本步骤设置多个AP,也可以一次设置多个AP(一次输入不能超过10个) · 所设置的AP可以不存在 |
|
配置AP组描述信息 |
缺省情况下,没有AP组的描述信息 |
在User Profile下引用特定的AP组。配置完毕的User Profile必须激活后才能生效。
如果指定的User Profile不存在,则先创建指定的User Profile,再进入User Profile视图 |
||
在该User-Profile下面引用特定的AP组 |
||
激活已配置的User Profile |
缺省情况下,创建的User Profile处于未激活状态 · 此处profile-name必须和RADIUS服务器上外部组的名字保持一致 · 在漫游时,所有AC的profile-name名字应该保持一致 |
关于User Profile的介绍请参见“安全配置指导”中的“User Profile”。
在完成上述配置后,在任意视图下执行display命令可以显示基于AP的用户接入控制配置后的运行情况,通过查看显示信息验证配置的效果。
表1-61 基于AP的用户接入控制显示和维护
显示配置的AP组信息 |
display wlan ap-group [ group-id ] [ | { begin | exclude | include } regular-expression ] |
在有用户临时需要接入网络时,需要临时为用户建立一个来宾账户,通过基于SSID的接入控制可以达到访问限制的目的,即限制来宾用户只能在指定的SSID登录。SSID的接入控制可以通过在User Profile下配置允许接入的SSID来实现。在User Profile下配置允许接入的SSID。配置完毕的User Profile必须激活后才能生效。
表1-62 配置基于SSID的用户接入控制
如果指定的User Profile不存在,则先创建指定的User Profile,再进入User Profile视图 |
||
缺省情况下,没有配置允许接入的SSID,表示用户接入时不限制接入的SSID,可用任意SSID接入无线网络 |
||
激活已配置的User Profile |
· 控制无线用户的临时接入的配置举例请参见“安全配置指导”中的“AAA”。
· 关于User Profile的介绍请参见“安全配置指导”中的“User Profile”。
某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公。
· AP通过二层交换机与AC相连。AP的序列ID为210235A29G007C000020,使用手工输入序列号方式。
· AP提供SSID为service的明文方式的无线接入服务。
· 采用目前较为常用的802.11an射频模式。
图1-10 WLAN接入组网图
# 开启WLAN服务(该命令可以不配置,因为缺省情况下该命令处于开启状态)。
[AC] wlan enable
# 创建WLAN ESS接口。
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置射频策略(可以不配置射频策略,因为缺省情况下存在缺省射频策略default_rp。如果需要定制射频策略,可以创建新的射频策略,并调整射频策略的参数)。
[AC] wlan radio-policy radiopolicy1
[AC-wlan-rp-radiopolicy1] beacon-interval 200
[AC-wlan-rp-radiopolicy1] dtim 4
[AC-wlan-rp-radiopolicy1] rts-threshold 2300
[AC-wlan-rp-radiopolicy1] fragment-threshold 2200
[AC-wlan-rp-radiopolicy1] short-retry threshold 6
[AC-wlan-rp-radiopolicy1] long-retry threshold 5
[AC-wlan-rp-radiopolicy1] max-rx-duration 500
[AC-wlan-rp-radiopolicy1] quit
# 创建AP模板,名称为ap1,型号名称选择WA3628i-AGN,该AP的序列号为210235A29G007C000020。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] description L3office
# 配置802.11an射频,指定工作信道为161。
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] channel 161
# 将服务模板1和射频策略radiopolicy1绑定到Radio 1口。
[AC-wlan-ap-ap1-radio-1] radio-policy radiopolicy1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
· 无线客户端可以成功关联AP,上线后可以访问网络。
· 可以使用display wlan client命令查看上线的无线客户端。
某小型接待室只提供一个名为service的SSID,具体要求如下:
· 二楼办公室的用户使用PSK方式接入无线网络。
图1-11 同一SSID支持不同接入方式组网图
# 开启WLAN服务(该命令可以不配置,因为缺省情况下该命令处于开启状态)。
[AC] wlan enable
# 创建WLAN ESS接口。
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] description hall
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP模板,名称为ap1。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11an
# 将服务模板1绑定到Radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
[AC] port-security enable
# 创建WLAN ESS接口,配置端口安全,使用PSK认证方式,预共享密钥为12345678。
[AC-WLAN-ESS10] port-security port-mode psk
[AC-WLAN-ESS10] port-security preshared-key pass-phrase 12345678
[AC-WLAN-ESS10] port-security tx-key-type 11key
[AC-WLAN-ESS10] quit
# 创建服务模板10(加密类型服务模板),配置SSID为service,将WLAN-ESS10接口绑定到服务模板10。
[AC] wlan service-template 10 crypto
[AC-wlan-st-10] ssid service
[AC-wlan-st-10] bind WLAN-ESS 10
[AC-wlan-st-10] security-ie rsn
[AC-wlan-st-10] cipher-suite ccmp
[AC-wlan-st-10] authentication-method open-system
[AC-wlan-st-10] description office
[AC-wlan-st-10] service-template enable
[AC-wlan-st-10] quit
# 创建AP模板,名称为ap2。
[AC] wlan ap ap2 model WA3628i-AGN
[AC-wlan-ap-ap2] serial-id 210235A29G007C000021
# 将服务模板10绑定到ap2的radio 1口。
[AC-wlan-ap-ap2] radio 1 type dot11an
[AC-wlan-ap-ap2-radio-1] service-template 10
[AC-wlan-ap-ap2-radio-1] radio enable
· 无线客户端可以成功关联AP,上线后可以访问网络。
· 可以使用display wlan client命令查看上线的客户端。
无线网络中可能存在多个AP。为了简化配置,要求启用自动AP发现功能,使AP能够自动连接到AC上,接入的自动AP通过DHCP server获取IP地址,并提供SSID为service1的明文方式的无线接入服务。
图1-12 自动AP组网图
# 创建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 开启自动AP功能,使某个型号的AP能够自动连接到AC上。
# 配置自动AP模板,自动AP模板的型号为WA2610E-AGN,并设置自动查找AP序列号方式。
[AC] wlan ap ap1 model WA2610E-AGN
[AC-wlan-ap-ap1] serial-id auto
# 将服务模板绑定到AP 1的Radio 1口,并开启Radio。
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
· 通过display wlan ap命令查看两个型号为WA2610E-AGN的自动AP。
· 无线客户端可以成功关联AP,上线后可以访问网络。
无线网络中可能存在多个AP。为了简化配置,要求启用自动AP功能,并对自动AP进行认证。
· AP 1的序列号为210235A42QB095000761;AP 2的序列号210235A42QB095000762;AP 3的序列号为210235A42QB095000763。允许AP 1接入,拒绝AP 2接入。
· 通过认证的自动AP允许接入AC,并由DHCP server分配IP地址,提供无线服务。
· 使用认证服务器对本地认证结果为“未认证的自动AP”进行远程认证。
图1-13 自动AP认证组网图
# 创建一个编号为202的ACL。
[AC] acl number 202
# ACL 202配置规则如下:允许序列号为210235A42QB095000761的AP 1接入,拒绝序列号为210235A42QB095000762的AP 2接入。
[AC-acl-ap-202] rule permit serial-id 210235A42QB095000761
[AC-acl-ap-202] rule deny serial-id 210235A42QB095000762
[AC-acl-ap-202] quit
# 配置使用序列号对自动AP进行认证。
[AC] wlan ap-authentication method serial-id
# 配置使用ACL 202对自动AP进行本地认证。
[AC] wlan ap-authentication acl 202
# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。
[AC-radius-rad] server-type extended
# 配置主认证RADIUS服务器的IP地址为1.1.1.2。
[AC-radius-rad] primary authentication 1.1.1.2
# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。
[AC-radius-rad] key authentication 12345678
[AC-radius-rad] user-name-format without-domain
[AC-radius-rad] quit
# 添加AP的认证域auto,并为该域指定对应的RADIUS认证方案为rad。
[AC-isp-auto] authentication wlan-ap radius-scheme rad
[AC-isp-auto] quit
[AC] wlan ap-authentication domain auto
# 开启自动AP功能。
# 开启自动AP开启认证功能。
[AC] wlan ap-authentication enable
· AP 1能够匹配ACL中的permit规则,认证成功,允许接入AC。
· AP 2能够匹配ACL中的deny规则,认证失败,不允许接入AC。
· AP 3没有匹配到ACL中的规则,使用认证服务器对AP 3进行远程认证。如果认证成功,那么AC允许AP 3接入,AP 3能够提供服务。
AP 1、AP 2和AP 3通过交换机与AC建立连接,接入的AP通过DHCP server获取IP地址。为了保证AC和某些AP之间的隧道安全性,使用IPsec加密AC与AP间隧道,具体要求如下:
· AP 1和AC之间的隧道不需要加密,即隧道间的数据和控制报文均使用明文方式传输。
· 为了保证AP 2和AC隧道之间控制报文的安全性,使用IPsec加密AC与AP间控制隧道。
· 为了保证AP 3和AC隧道之间控制报文和数据报文的安全性,使用IPsec加密AC与AP间控制和数据隧道。
图1-14 IPsec加密AC与AP间隧道配置组网图
在配置AP 2和AP 3的预配置信息前,需要在AP 2、AP 3和AC之间完成连接,并确保AP 2和AP 3处于运行状态。
(1) 配置DHCP服务器
假设DHCP服务器为AP 1分配的IP地址范围为10.1.1.1~10.1.1.10,为AP 2分配的IP地址范围为10.1.1.11~10.1.1.20,为AP 3分配的IP地址范围为10.1.1.21~10.1.1.30。关于DHCP服务器的具体配置请参见“三层技术配置指导”中的“DHCP”。
(2) 配置AC
# 创建并进入AP 2的配置视图,配置AP使用IPsec密钥12345来加密控制隧道,并将配置信息保存到AP的私有配置文件中。
[AC] wlan ap ap2 model WA2620E-AGN
[AC-wlan-ap-ap2] provision
[AC-wlan-ap-ap2-prvs] tunnel encryption ipsec pre-shared-key simple 12345
[AC-wlan-ap-ap2-prvs] save wlan ap provision name ap2
[AC-wlan-ap-ap2-prvs] quit
[AC-wlan-ap-ap2] quit
# 创建并进入AP 3的配置视图,配置AP使用IPsec密钥abcde来加密控制和数据隧道,并将配置信息保存到AP的私有配置文件中。
[AC] wlan ap ap3 model WA2620E-AGN
[AC-wlan-ap-ap3] provision
[AC-wlan-ap-ap3-prvs] tunnel encryption ipsec pre-shared-key simple abcde
[AC-wlan-ap-ap3-prvs] data-tunnel encryption enable
[AC-wlan-ap-ap3-prvs] save wlan ap provision name ap3
[AC-wlan-ap-ap3-prvs] return
# 手动重启AP 2和AP 3,使配置信息生效。
<AC> reset wlan ap name ap3
# 配置IPsec安全提议。
[AC] ipsec transform-set tran1
[AC-ipsec-transform-set-tran1] encapsulation-mode tunnel
[AC-ipsec-transform-set-tran1] transform esp
[AC-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[AC-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[AC-ipsec-transform-set-tran1] quit
# 创建一个名称为1的ike提议。
[AC-ike-proposal-1]encryption-algorithm aes-cbc 128
[AC-ike-proposal-1] dh group2
[AC-ike-proposal-1] quit
# 配置ISAKMP SA向AP发送Keepalive报文的时间间隔为20秒。
[AC] ike sa keepalive-timer interval 20
# 配置ISAKMP SA等待AP发送Keepalive报文的超时时间为60秒。
[AC] ike sa keepalive-timer timeout 60
# 使能IPsec无效SPI恢复功能。
[AC] ipsec invalid-spi-recovery enable
# 配置IKE对等体ap2,对等体peer1用来为AP 2和AC协商SA,预共享密钥必须和AP 2上的预共享密钥保持一致。
[AC-ike-peer-ap2] remote-address 10.1.1.11 10.1.1.20
[AC-ike-peer-ap2] pre-shared-key 12345
[AC-ike-peer-ap2] proposal 1
[AC-ike-peer-ap2] quit
# 配置IKE对等体ap3,对等体peer1用来为AP 3和AC协商SA,预共享密钥必须和AP 3上的预共享密钥保持一致。
[AC] ike peer ap3
[AC-ike-peer-ap3] remote-address 10.1.1.21 10.1.1.30
[AC-ike-peer-ap3] pre-shared-key abcde
[AC-ike-peer-ap3] proposal 1
[AC-ike-peer-ap3] quit
# 创建一个模板名字为pt,顺序号为1的IPsec安全策略模板。配置IPsec安全策略所引用的安全提议为tran1,引用的IKE对等体为ap2。
[AC] ipsec policy-template pt 1
[AC-ipsec-policy-template-pt-1] transform-set tran1
[AC-ipsec-policy-template-pt-1] ike-peer ap2
[AC-ipsec-policy-template-pt-1] quit
# 创建一个模板名字为pt,顺序号为2的IPsec安全策略模板。配置IPsec安全策略所引用的安全提议为tran1,引用的IKE对等体为ap3。
[AC] ipsec policy-template pt 2
[AC-ipsec-policy-template-pt-2] transform-set tran1
[AC-ipsec-policy-template-pt-2] ike-peer ap3
[AC-ipsec-policy-template-pt-2] quit
# 引用IPsec安全策略模板pt创建名为map,顺序号为1的一条IPsec安全策略。
[AC] ipsec policy map 1 isakmp template pt
# 在VLAN接口上应用IPsec策略。
[AC] interface vlan-interface 1
[AC-Vlan-interface-1] ip address 10.1.1.1 24
[AC-Vlan-interface-1] ipsec policy map
在VLAN接口上应用IPsec策略,不会影响AP 1以明文方式和AC建立隧道。
以AP 2为例,完成以上配置后,AP 2和AC之间如果有Join request控制报文通过,将触发IKE进行协商建立SA,使用display ipsec sa命令可以查看到建立的SA联盟。IKE协商成功并创建了SA后,AP 2和AC之间的控制报文将被加密传输。
某公司希望使用一个SSID同时实现集中转发和本地转发,为了满足这个需求,可以通过部署策略转发,具体要求如下:将不同的转发策略应用到服务模板或User Profile上,对匹配转发策略中ACL的报文进行分类,并采用对应的转发策略进行转发。
(1) 编辑AP的配置文件ACL.txt
在配置文件中必须包括ACL和User Profile的配置,内容如下:
rule 0 permit icmp icmp-type echo
acl ipv6 number 3001
rule 0 permit icmpv6 icmp6-type echo-request
undo user-profile aaa enable
user-profile aaa
wlan forwarding-policy us
user-profile aaa enable
在认证服务器上设置与AC交互报文时的共享密钥为12345678;添加接入客户端的用户名及密码,并确认下发User Profile的名字为aaa。(略)
# 创建转发策略st,并配置转发规则,对匹配ACL 3000的报文进行本地转发,对匹配ACL 3001的报文进行集中转发。
[AC] wlan forwarding-policy st
[AC-wlan-fp-st] classifier acl 3000 behavior local
[AC-wlan-fp-st] classifier acl ipv6 3001 behavior remote
[AC-wlan-fp-st] quit
# 创建转发策略us,并配置转发规则,对匹配ACL 3000的报文进行集中转发,对匹配ACL 3001的报文进行本地转发。
[AC] wlan forwarding-policy us
[AC-wlan-fp-us] classifier acl 3000 behavior remote
[AC-wlan-fp-us] classifier acl ipv6 3001 behavior local
[AC-wlan-fp-us] quit
# 使能端口安全。
# 配置802.1X用户的认证方式为EAP。
[AC] dot1x authentication-method eap
# 创建RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文。
[AC-radius-rad] server-type extended
# 配置主认证RADIUS服务器的IP地址192.168.1.9,主计费RADIUS服务器的IP地址192.168.1.9。
[AC-radius-rad] primary authentication 192.168.1.9
[AC-radius-rad] primary accounting 192.168.1.9
# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[AC-radius-rad] key authentication 12345678
[AC-radius-rad] key accounting 12345678
# 配置向RADIUS服务器发送的用户名不携带域名。
[AC-radius-rad] user-name-format without-domain
[AC-radius-rad] quit
# 添加认证域test,并为该域指定对应的RADIUS认证/授权/计费方案为rad。
[AC-isp-test] authentication lan-access radius-scheme rad
[AC-isp-test] authorization lan-access radius-scheme rad
[AC-isp-test] accounting lan-access radius-scheme rad
[AC-isp-test] quit
# 在接口WLAN-ESS1上配置802.1X用户的强制认证域test。
[AC-WLAN-ESS1] dot1x mandatory-domain test
# 配置端口安全模式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 关闭802.1X多播触发功能和在线用户握手功能。
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为dot1x,加密方式为TKIP和AES-CCMP。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid dot1x
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite tkip
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 开启策略转发,并在服务模板上应用转发策略。
[AC-wlan-st-1] client forwarding-mode policy-based st
# 在集中转发的情况下,配置数据报文以802.3格式封装在数据隧道中,由AC转发数据报文。
[AC-wlan-st-1] client remote-forwarding format dot3
# 使能服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP 1的模板信息。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 将配置文件ACL.txt下载到AP 1。
[AC-wlan-ap-ap1] map-configuration ACL.txt
# 将服务模板1绑定到AP 1的Radio 2,并使能服务模板。
[AC-wlan-ap-ap1] radio 2 type dot11gn
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
# 创建并激活名称为aaa的User Profile。
[AC-user-profile-aaa] quit
[AC] user-profile aaa enable
User Profile中的转发策略具有更高的优先级,转发策略us生效。
· 一个使用IPv4地址的客户端ping AC侧的IP地址,该ICMP报文匹配到规则ACL 3000,由AC进行集中转发。且在AP进行CAPWAP封装前,AP会将802.11报文转换为802.3格式。
· 一个使用IPv6地址的客户端ping AC侧的IP地址,该ICMPv6报文匹配到规则ACL 3001,由AP进行本地转发。
某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.11n无线网络。
· AP提供SSID为11nservice的明文方式的无线接入服务。
· 为了保护现有投资,兼容现有的802.11g无线网络,采用802.11gn射频模式。
# 创建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为11nservice,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid 11nservice
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP,选择的AP必须支持802.11n。
[AC] wlan ap ap1 model WA2610E-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 配置AP的射频工作在802.11n模式,兼容802.11g。
[AC-wlan-ap-ap1] radio 1 type dot11gn
# 将服务模板绑定到radio口。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
· 无线客户端可以成功关联AP,上线后可以访问网络。
· 可以使用display wlan client verbose命令查看上线的无线客户端,在该命令的显示信息中会显示11n无线客户端的信息。
某公司为了满足多媒体应用的超高吞吐量要求,需要部署SSID为11acservice的明文方式的高速接入的802.11ac无线网络。
# 创建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为11acservice,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid 11acservice
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP,选择的AP必须支持802.11ac。
[AC] wlan ap ap1 model WA4620i-ACN
[AC-wlan-ap-ap1] serial-id 210236A35VA10A48231
# 配置AP的射频工作在802.11ac模式。
[AC-wlan-ap-ap1] radio 1 type dot11ac
# 将服务模板绑定到radio口。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
· 无线客户端可以成功关联AP,上线后可以访问网络。
· 可以使用display wlan client verbose命令查看上线的无线客户端,在该命令的显示信息中会显示11ac无线客户端的信息。
某公司在AC上开启Backup认证模式,由总部的AC对分支机构的客户端进行本地MAC地址认证,并且保证AC和AP的连接出现故障时,已接入的客户端不会下线,可以继续访问本地资源。如果有新的客户端需要接入,可以使用AP本地认证上线。
图1-18 Backup认证模式组网图
(1) 编辑AP的配置文件,在配置文件中必须包括以下内容
domain branch.net
authentication lan-access local
authorization lan-access local
accounting lan-access local
local-user 00-14-6c-8a-43-ff
password simple 00-14-6c-8a-43-ff
service-type lan-access
mac-authentication user-name-format mac-address with-hyphen lowercase
保存配置文件,并将配置文件命名为map.cfg,并将配置文件上传到AC存储介质上。
# 添加本地接入用户。用户名和密码均为接入客户端的MAC地址00-14-6c-8a-43-ff,服务类型为lan-access。
[AC] local-user 00-14-6c-8a-43-ff
[AC-luser-00-14-6c-8a-43-ff] password simple 00-14-6c-8a-43-ff
[AC-luser-00-14-6c-8a-43-ff] service-type lan-access
[AC-luser-00-14-6c-8a-43-ff] quit
# 配置ISP域,使用本地认证方法。
[AC-isp-branch.net] authentication lan-access local
[AC-isp-branch.net] quit
# 使能端口安全。
# 配置端口安全,开启MAC地址认证,使用的ISP域为branch.net,注意这里的强制认证域必须和AP配置文件中创建的ISP域保持一致。
[AC-WLAN-ESS1] port-security port-mode mac-authentication
[AC-WLAN-ESS1] mac-authentication domain branch.net
[AC-WLAN-ESS1] quit
# 配置MAC地址认证的用户名格式。使用客户端的MAC地址作为用户名和密码,MAC地址的格式为带连字符“-”小写字母。
[AC] mac-authentication user-name-format mac-address with-hyphen lowercase
# 创建服务模板1(明文服务模板),配置SSID为backup,将WLAN-ESS1接口绑定到服务模板1。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid backup
[AC-wlan-st-1] bind WLAN-ESS 1
# 配置使用Backup认证模式。
[AC-wlan-st-1] authentication-mode backup
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建名为ap1的AP模板,并配置AP的序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 开启Remote AP功能。
[AC-wlan-ap-ap1] hybrid-remote-ap enable
# 将配置文件map.cfg下载到ap1。
[AC-wlan-ap-ap1] map-configuration map.cfg
# 将服务模板1绑定到AP 1的Radio 2口。
[AC-wlan-ap-ap1] radio 2 type dot11gn
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
· AP和AC连接正常时,客户端通过AC集中式认证后可以访问网络。在AC上使用命令display wlan client verbose查看接入客户端的详细信息,显示信息中authentication-mode字段显示Central,表示由AC对该客户端进行认证。
· AC和AP的连接出现故障后,原有的客户端不会下线。如果有新的客户端需要接入,可以使用AP本地认证上线。
· AP和AC恢复连接后,AP会强制所有客户端下线,AC重新对客户端进行认证后,客户端才可接入,在AC上使用命令display wlan client verbose查看重新接入客户端的详细信息,显示信息中authentication-mode字段显示Central。
某公司在AC上开启Local认证模式,满足以下需求:
· 无论AP和AC正常连接或是连接出现故障时,都使用Local认证模式对分支机构的客户端进行远程802.1X认证。
· 将认证服务器部署在AP侧,保证分支机构和总部之间的网络通信出现故障时,已接入的802.1X客户端不会下线,可以继续访问本地资源。
图1-19 Local认证模式组网图
(1) 编辑AP的配置文件,在配置文件中必须包括以下内容
dot1x authentication-method eap
radius scheme rad
primary authentication 192.168.100.254
primary accounting 192.168.100.254
key authentication simple 123456
key accounting simple 123456
user-name-format without-domain
domain cams
authentication default radius-scheme rad
authorization default radius-scheme rad
accounting default radius-scheme rad
保存配置文件,并将配置文件命名为map.cfg,并将配置文件上传到AC存储介质上。
# 在接口WLAN-ESS1上配置802.1X用户的强制认证域cams,注意这里的强制认证域必须和AP配置文件中创建的ISP域保持一致。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] dot1x mandatory-domain cams
# 配置端口安全模式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 关闭802.1X多播触发功能和在线用户握手功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为local1x,加密方式为AES-CCMP。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid local1x
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 配置使用Local认证模式。
[AC-wlan-st-1] authentication-mode local
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建名为ap1的AP模板,并配置AP的序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 开启Remote AP功能。
[AC-wlan-ap-ap1] hybrid-remote-ap enable
# 将配置文件map.cfg下载到ap1。
[AC-wlan-ap-ap1] map-configuration map.cfg
# 将服务模板1绑定到AP 1的Radio 2口。
[AC-wlan-ap-ap1] radio 2 type dot11gn
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
· 无论AP和AC正常连接或是连接出现故障时,都使用Local认证模式对分支机构的客户端进行远程802.1X认证。当AP和AC正常连接,在AC上使用命令display wlan client verbose,显示信息中authentication-mode 字段显示Local,表示由AP作为认证实体对该客户端进行认证。
· 由于客户端使用AP本地认证上线,所以在AC上使用命令display connection、display dot1x或display port-security等命令查看客户端,不会查看到客户端信息。
如图1-20所示无线网络环境中AC和三台AP已经建立LWAPP隧道,AP 1的型号为WA2620X、AP 2的型号为WA2620X-AGNP,AP 3的型号为WA2620i-AGN,三台AP和AC的版本均为B109D001,现在需要将AC升级到B109D031,AP 1和AP 2也同步升级到B109D031,AP 3不需要升级。
图1-20 AP分阶段版本升级配置组网图
在开始下面的配置之前,假设已经完成以下操作:在AC上完成三台AP的AP模板配置,AC和三台AP建立LWAPP隧道连接(此时AC和三台AP都使用B109D001版本)。
# 创建名为update的AP组,并将ap1和ap2加入到名为update的AP组中。
[AC] wlan ap-group update
[AC-ap-group-update] ap ap1 ap2
# 将AP组名为update内两个成员AP的AP版本升级开关置为开启。
[AC-ap-group-update] firmware-update enable
[AC-ap-group-update] quit
[AC] quit
# 进入AP 3的模板视图,并将AP版本升级开关置为关闭。
[AC] wlan ap ap3 model WA2620i-AGN
[AC-wlan-ap-ap3] firmware-update disable
# 下载AP版本到AC的存储设备中(此步骤略)。
# 将AC升级到B109D031,重启AC。AC重启后,AP会去试图和AC建立隧道:
· AP 1和AP 2检查其版本和AC不一致后,会从AC上下载B109D031的AP版本,AP完成版本下载后,会自动重启。重启后,两个AP的版本升级到B109D031,AP 1和AP 2使用B109D031版本和AC建立LWAPP隧道。
· AP 3的版本升级开关置为关闭,AP 3不会去检查其版本是否和AC一致,AP 3使用B109D001版本和AC建立LWAPP隧道。
通过display wlan ap verbose命令可以查看到AP 1和AP 2的版本升级到B109D031,AP 3的版本保持为B109D001。
如图1-21所示无线网络环境中AC和三台AP已经建立LWAPP隧道,AP 1的型号为WA2620X、AP 2的型号为WA2620X-AGNP,AP 3的型号为WA2620i-AGN,AC的版本均为B109D001,三台AP的版本均为B109D031,现在需要将AP 1和AP 2回退到B109D001,AP 3保持为B109D031。
图1-21 AP版本回退配置组网图
在开始下面的配置之前,假设已经完成以下操作:在AC上完成三台AP的AP模板配置。AC的版本为B109D001,三台AP的版本均为B109D031,配置AP版本条件为wlan apdb wa2620x Ver.A V100R001B109D031,wlan apdb wa2620x-agnp Ver.A V100R001B109D031,wlan apdb wa2620i-agn Ver.A V100R001B109D031。AC和三台AP建立LWAPP隧道连接。
# 创建名为switchback的AP组,并将ap1和ap2加入到名为switchback的AP组中。
[AC] wlan ap-group switchback
[AC-ap-group-switchback] ap ap1 ap2
[AC-ap-group-switchback] quit
[AC] quit
# 将AP版本匹配条件恢复为缺省情况。
[AC] undo wlan apdb wa2620x Ver.A V100R001B109D031
[AC] undo wlan apdb wa2620x-agnp Ver.A V100R001B109D031
[AC] quit
# 下载AP 1和AP 2的B109D001版本到AC的存储设备中(此步骤略)。
# 重启AP组switchback内的AP。
<AC> reset wlan ap ap-group switchback
通过display wlan ap verbose命令可以查看到AP 1和AP 2的版本回退到B109D001,AP 3的版本保持为B109D031。
如图1-22所示无线网络环境中AC和三台AP已经建立LWAPP隧道,AP 1的型号为WA2620X、AP 2的型号为WA2620X-AGNP,AP 3的型号为WA2620i-AGN,AC和三台AP的版本均为B109D031,现在需要将AC版本回退B109D001, AP 1和AP 2回退到B109D001,AP 3保持为B109D031。
图1-22 AC和AP版本回退配置组网图
在开始下面的配置之前,假设已经完成以下操作:在AC上完成三台AP的AP模板配置。AC和三台AP的版本均为B109D031。AC和三台AP建立LWAPP隧道连接。
# 下载AC的B109D001版本到AC的存储设备中。
# 下载AP 1和AP 2的B109D001版本到AC的存储设备中。
# 配置AP 3的版本匹配条件。
[AC] wlan apdb wa2620i-agn Ver.A V100R001B109D031
# 重启AC。
通过display wlan ap verbose命令可以查看到AP 1和AP 2的版本回退到B109D001,AP 3的版本保持为B109D031。
当无线用户进行认证时,需要判断当前用户连接的AP是否为允许的AP,只有允许的AP才可以允许该用户接入。
图1-23 用户接入AP控制组网图
# 开启端口安全功能。
[AC] port-security enable
# 配置用户认证方式为eap。
[AC] dot1x authentication-method eap
# 创建一个RADIUS方案。
[AC] radius scheme wlan-user-policy
# 配置RADIUS认证服务器的IP地址,RADIUS计费服务器的IP地址、认证和计费key。
[AC-radius-wlan-user-policy] server-type extended
[AC-radius-wlan-user-policy] primary authentication 10.100.100.100
[AC-radius-wlan-user-policy] primary accounting 10.100.100.100
[AC-radius-wlan-user-policy] key authentication wlan
[AC-radius-wlan-user-policy] key accounting wlan
# 配置本设备的IP地址。
[AC-radius-wlan-user-policy] nas-ip 10.100.100.200
[AC-radius-wlan-user-policy] quit
# 创建ISP域并配置AAA方案。
[AC-isp-universal] authentication default radius-scheme wlan-user-policy
[AC-isp-universal] authorization default radius-scheme wlan-user-policy
[AC-isp-universal] accounting default radius-scheme wlan-user-policy
[AC-isp-universal] quit
# 配置universal为缺省域。
[AC] domain default enable universal
# 配置WLAN接口以及端口安全模式。
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
# 配置服务模板并绑定WLAN接口。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid test
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建名为ap1的AP模板,选择AP的型号并配置序列号。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 将服务模板绑定到AP 1的Radio 1口,并开启Radio。
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio1] service-template 1
[AC-wlan-ap-ap1-radio1] radio enable
[AC-wlan-ap-ap1-radio1] return
# 配置AP组并应用在User Profile下。
[AC] wlan ap-group 11
[AC-ap-group11] ap ap1
[AC-ap-group11] quit
[AC] user-profile management
[AC-user-profile-management] wlan permit-ap-group 11
[AC-user-profile-management] quit
[AC] user-profile management enable
(2) 配置RADIUS服务器
# 在RADIUS服务器上下发User Profile。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/服务配置管理],进入服务配置管理页面,在该页面中单击“增加”按钮后,进入配置页面。
配置下发User Profile:management。
User Profile下设置的AP组只包含AP 1,所以Client只能通过关联AP 1得到无线服务。
AC 1和AC 2通过一个二层交换机连接,两个AC处于同一个漫游组,无线客户端先通过AP 1获取无线服务,然后漫游到与AC 2相连的AP 2上。要求无线客户端通过允许接入的AP接入无线网络,并保证无线客户端在漫游后还能获取无线服务。
图1-25 AC间漫游用户接入AP控制组网图
RADIUS服务器上的配置和1.6.14 3. (2)相似,此处省略。
# 开启端口安全功能。
[AC1] port-security enable
# 配置用户认证方式为eap。
[AC1] dot1x authentication-method eap
# 配置无线端口安全,使用802.1X认证方式。
[AC1-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC1-WLAN-ESS1] port-security tx-key-type 11key
[AC1-WLAN-ESS1] undo dot1x multicast-trigger
[AC1-WLAN-ESS1] undo dot1x handshake
[AC1-WLAN-ESS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为abc。
[AC1] wlan service-template 1 crypto
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 配置AP 1:创建AP 1的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP 1的序列号为210235A045B05B1236548。
[AC1] wlan ap ap1 model WA3628i-AGN
[AC1-wlan-ap-ap1] serial-id 210235A045B05B1236548
[AC1-wlan-ap-ap1] radio 1 type dot11an
# 将服务模板1绑定到AP 1的Radio 1口。
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 配置AC 1上的漫游组,并开启IACTP服务。
[AC1-wlan-mg-abc] source ip 10.18.1.1
[AC1-wlan-mg-abc] member ip 10.18.1.2
[AC1-wlan-mg-abc] mobility-group enable
[AC1-wlan-mg-abc] return
# 配置AP组并应用在User Profile下。
[AC1] wlan ap-group 1
[AC1-ap-group1] ap ap1 ap2
[AC1-ap-group1] quit
[AC1] user-profile management
[AC1-user-profile-management] wlan permit-ap-group 1
[AC1-user-profile-management] quit
[AC1] user-profile management enable
# 开启端口安全功能。
[AC2] port-security enable
# 配置用户认证方式为eap。
[AC2] dot1x authentication-method eap
# 配置无线端口安全,使用802.1X认证方式。
[AC2-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC2-WLAN-ESS1] port-security tx-key-type 11key
[AC2-WLAN-ESS1] undo dot1x multicast-trigger
[AC2-WLAN-ESS1] undo dot1x handshake
[AC2-WLAN-ESS1] quit
# 创建服务模板1(加密类型服务模板),配置SSID为abc。
[AC2] wlan service-template 1 crypto
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] cipher-suite ccmp
[AC2-wlan-st-1] security-ie rsn
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 配置AP 2:创建AP 2的模板,名称为ap2,型号名称选择WA3628i-AGN,并配置AP 2的序列号为210235A22W0076000103。
[AC2] wlan ap ap2 model WA3628i-AGN
[AC2-wlan-ap-ap2] serial-id 210235A22W0076000103
[AC2-wlan-ap-ap2] radio 1 type dot11an
[AC2-wlan-ap-ap2-radio-1] service-template 1
[AC2-wlan-ap-ap2-radio-1] radio enable
[AC2-wlan-ap-ap2-radio-1] quit
[AC2-wlan-ap-ap2] quit
# 配置AC 2上的漫游组,并开启IACTP服务。
[AC2-wlan-mg-abc] source ip 10.18.1.2
[AC2-wlan-mg-abc] member ip 10.18.1.1
[AC2-wlan-mg-abc] mobility-group enable
[AC2-wlan-mg-abc] quit
# 配置AP组并应用在User Profile下。
[AC2-ap-group1] ap ap1 ap2
[AC2-ap-group1] quit
[AC2] user-profile management
[AC2-user-profile-management] wlan permit-ap-group 1
[AC2-user-profile-management] quit
[AC2] user-profile management enable
AP 1和AP 2下的User Profile均允许接入AP 1,AP 2,无线客户端漫游成功。
如图1-26所示,AC与AP分别与Switch相连,在AC上配置DHCP服务器,AP和无线客户端Client通过DHCP服务器动态获取的IP地址,通过配置无线客户端IP地址窥探功能实现实时监控无线客户端Client的IP地址变化情况。
图1-26 无线客户端IP地址窥探组网图
(1) 在AC上配置DHCP服务
# 使能DHCP服务。
[AC] interface vlan 1
[AC-Vlan-interface1] ip address 192.168.0.1 16
[AC-Vlan-interface1] quit
# 配置DHCP地址池1,采用动态绑定方式为客户端分配IP地址。
[AC-dhcp-pool-1] network 192.168.0.0 16
[AC-dhcp-pool-1] quit
(2) 配置无线客户端IP地址窥探
[AC]wlan client learn-ipaddr enable
(1) 当无线客户端IP地址变化时打印LOG
当无线客户端上线、下线、认证失败、IP地址更新时,都会上报AC,由AC打印LOG信息,信息中携带最新的IP地址。
# 在AC上显示DHCP分配给无线客户端的IP地址。
[AC]display wlan client ip source binding
Total Number of Clients : 1
IP Source Binding Information
------------------------------------------------------------
MAC Address APID/RID Type Binding IP Address
------------------------------------------------------------
001c-f08f-f7f1 20/2 DHCP 192.168.0.6
------------------------------------------------------------
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!