• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

15-WLAN配置指(AC)

03-WLAN接入配置

本章节下载 03-WLAN接入配置  (903.75 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Routers/00-Public/Configure/Operation_Manual/H3C_MSR_CG(V7)-R0615-6W204/15/201901/1144478_30005_0.htm

03-WLAN接入配置

  录

1 WLAN接入

1.1 WLAN接入简介

1.1.2 无线扫描

1.1.3 关联

1.2 WLAN客户端接入控制

1.2.1 基于AP组的接入控制

1.2.2 基于SSID的接入控制

1.2.3 基于名单的接入控制

1.2.4 基于ACL的接入控制

1.3 WLAN接入配置限制和指导

1.4 WLAN接入配置任务简介

1.5 配置无线服务模板

1.5.1 创建无线服务模板

1.5.2 配置描述信息

1.5.3 配置SSID

1.5.4 配置无线服务模板允许关联的最大客户端数目

1.5.5 使能无线服务模板

1.5.6 绑定无线服务模板

1.5.7 配置AP不继承AP组下绑定的指定无线服务模板

1.6 配置客户端功能

1.6.1 配置客户端空闲时间

1.6.2 配置客户端保活功能

1.6.3 配置客户端的VLAN分配方式

1.6.4 配置客户端优先使用授权VLAN

1.6.5 配置客户端Cache老化时间

1.6.6 配置客户端关联位置

1.6.7 配置客户端数据报文转发位置

1.6.8 开启客户端数据报文转发功能

1.6.9 配置客户端数据报文在CAPWAP隧道中的封装格式

1.6.10 开启快速关联功能

1.6.11 配置客户端二次接入认证的时间间隔

1.6.12 配置本地认证无线客户端通过认证后立即上线功能

1.6.13 配置对未知客户端数据报文处理方式

1.6.14 对客户端进行无线链路质量测量

1.6.15 配置接收客户端信息的Web服务器信息

1.6.16 配置客户端上线日志的格式

1.6.17 配置AP上报无线客户端统计信息功能

1.7 配置客户端接入控制

1.7.1 配置允许用户接入的AP组

1.7.2 配置允许用户接入的SSID名称

1.7.3 配置白名单

1.7.4 配置静态黑名单

1.7.5 配置动态黑名单

1.7.6 配置基于ACL的接入控制

1.8 配置区域码

1.9 配置AP不回应客户端广播Probe request报文

1.10 配置网络接入服务器标识

1.11 配置无线转发策略

1.11.1 配置限制和指导

1.11.2 配置准备

1.11.3 创建无线转发策略

1.11.4 在无线服务模板下应用无线转发策略

1.11.5 在User Profile下应用无线转发策略

1.12 指定AP的配置文件

1.13 开启告警功能

1.14 WLAN接入显示和维护

1.15 WLAN接入典型配置举例

1.15.1 WLAN接入配置举例

1.15.2 白名单配置举例

1.15.3 静态黑名单配置举例

1.15.4 ACL接入控制配置举例

 


1 WLAN接入

说明

·     文中的AC指的是支持无线控制器功能的路由器。

·     仅MSR810/810-LM/810-10-PoE/810-LM-HK/2600-6-X1/2600-10-X1/2630/3600-28/3600-51/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/3620-DP/3640/3660/810-LM-WiNet/830-4LM-WiNet/830-5BEI-WiNet/830-6EI-WiNet/830-10BEI-WiNet/830-6BHI-WiNet/830-10BHI-WiNet/2600-10-X1-WiNet/2630-WiNet/3600-28-WiNet/3610-X1-WiNet/3610-WiNet/3620-10-WiNet/3620-DP-WiNet/3620-WiNet/3660-WiNet路由器支持无线控制器功能。

 

1.1  WLAN接入简介

WLAN接入为用户提供接入网络的服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内可以通过无线接入的方式接入无线网络。

客户端首先需要通过主动/被动扫描方式发现周围的无线网络,再通过链路层认证、关联和用户接入认证三个过程后,才能和AP建立连接,最终接入无线服务。整个过程如图1-1所示。有关链路层认证、用户接入认证的详细介绍及相关配置请参见“WLAN配置指导”中的“WLAN用户安全”、“WLAN用户接入认证”。

图1-1 建立无线连接过程

 

1.1.2  无线扫描

客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息。

1. 主动扫描

主动扫描是指客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。客户端在扫描的时候,会主动广播Probe Request帧(探测请求帧),通过收到Probe Response帧(探测响应帧)获取无线网络信息。根据Probe Request帧是否携带SSID(Service Set Identifier,服务集标识符),可以将主动扫描分为两种:

·     客户端发送Probe Request帧(Probe Request中SSID为空,也就是SSID这个信息元素的长度为0):客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到Probe Request帧后,会回复Probe Response帧通告可以提供服务的无线网络信息。客户端通过主动扫描,可以主动获知可使用的无线服务,之后客户端可以根据需要选择适当的无线网络接入。客户端主动扫描方式的过程如图1-2所示。

图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)

 

·     客户端发送Probe Request帧(携带指定的SSID):在客户端上配置了希望连接的无线网络或者客户端已经成功连接到一个无线网络的情况下,客户端会定期发送Probe Request帧(携带已经配置或者已经连接的无线网络的SSID),能够提供指定SSID无线服务的AP接收到Probe Request帧后,会回复Probe Response帧。通过这种方法,客户端可以主动扫描指定的无线网络。这种客户端主动扫描方式的过程如图1-3所示。

图1-3 主动扫描过程(Probe Request携带指定为“APPLE”的SSID)

 

2. 被动扫描

被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧)发现周围的无线网络。提供无线服务的AP设备都会周期性地广播发送Beacon帧,所以客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息,从而接入AP。当客户端需要节省电量时,可以使用被动扫描。被动扫描的过程如图1-4所示。

图1-4 被动扫描过程

 

1.1.3  关联

当客户端通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送Association Request帧(关联请求帧),AP会对Association Request帧携带的能力信息进行检测,最终确定该客户端支持的能力,并回复Association Response帧(关联响应帧)通知客户端链路是否关联成功。

1.2  WLAN客户端接入控制

WLAN接入控制的主要目的为对用户接入网络和访问网络进行控制,WLAN接入控制的方式有基于AP组的接入控制、基于SSID的接入控制、基于名单的接入控制和基于ACL的接入控制四种方式。

1.2.1  基于AP组的接入控制

图1-5所示,无线网络中有3个AP,要求Client 1和Client 2只能通过AP 1或AP 2接入网络,Client 3只能通过AP 3接入网络。为实现上述要求,将AP 1和AP 2添加进AP组1中,AP 3添加进AP组2中。AC上配置Client 1和Client 2对应的User Profile指定允许接入的AP组为AP组1,Client 3对应的User Profile指定允许接入的AP组为AP组2。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的AP是否在允许接入的AP组中,如果客户端关联的AP在允许接入的AP组中,客户端成功上线,否则上线失败。

图1-5 基于AP组的接入控制组网应用

 

1.2.2  基于SSID的接入控制

图1-6所示,无线网络中有3个AP,要求Client 1和Client 2只能接入的SSID名称为ssida的无线服务,Client 3只能接入的SSID名称为ssidb的无线服务。为实现上述要求,AC上配置Client 1和Client 2对应的User Profile指定允许接入的SSID名称为ssida,Client 3对应的User Profile指定允许接入的SSID名称为ssidb。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的SSID是否为允许接入的SSID,如果客户端关联的SSID为指定允许接入的SSID,客户端成功上线,否则上线失败。

图1-6 基于SSID的接入控制组网应用

 

1.2.3  基于名单的接入控制

无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制。通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全。

1. 白名单

白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。

2. 黑名单

黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。

·     静态黑名单

静态添加、删除表项的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。

·     动态黑名单

动态添加、删除表项的黑名单称为动态黑名单。在配置了对非法设备进行反制、无线客户端二次接入认证等场景下,设备会将明确拒绝接入的客户端MAC地址加入到动态黑名单,当动态黑名单表项到达老化超时时间后,删除该表项。基于AC生效的动态黑名单会对所有与AC相连的AP生效,基于AP生效的动态黑名单仅对客户端接入的AP生效。有关反制功能的详细介绍,请参见“WLAN配置指导”中的“WIPS”。

3. 客户端过滤机制

当收到客户端关联请求报文或AP向AC发送的Add mobile报文时,无线设备将使用白名单和黑名单对客户端的MAC地址进行过滤。以图1-7为例,具体的过滤机制如下:

(1)     当AC上存在白名单时,AC将判断Client 1的MAC地址是否在白名单中,如果在白名单中,则允许客户端从任意一个AP接入无线网络,如果Client 1不在白名单中,则拒绝Client 1从任何一个AP接入。

(2)     当AC上不存在白名单时,AC则判断Client 1的MAC地址是否在静态黑名单中,若Client 1在静态黑名单中则拒绝Client 1从任何一个AP接入无线网络。

(3)     当AC上不存在白名单且Client 1的MAC地址不在静态黑名单中时,为Client 1配置了二次接入认证时间间隔或者AP收到Client 1的攻击报文:如果配置了动态黑名单基于AP生效,则AC会将Client 1的MAC地址添加到动态黑名单中,并仅拒绝Client 1从AP 1上接入无线网络,但仍允许Client 1从AP 2或AP 3接入无线网络;如果配置了动态黑名单基于AC生效,则拒绝Client 1从任何一个AP接入无线网络。

图1-7 客户端过滤机制组网图

 

1.2.4  基于ACL的接入控制

基于ACL的接入控制是指,AC根据指定ACL中配置的规则对指定AP或者服务模板下的新接入的无线客户端进行接入控制。

当无线客户端接入无线网络时,AC通过判断无线客户端MAC地址与指定的ACL规则的匹配情况对客户端进行过滤,具体的过滤机制如下:

·     如果匹配上某permit规则,则允许无线客户端从指定的AP或服务模板接入无线网络;

·     如果匹配上某deny规则,则拒绝无线客户端从指定的AP或服务模板接入无线网络;

·     如果未匹配上任何规则,则拒绝其接入。

1.3  WLAN接入配置限制和指导

在对AP进行配置时,可以采用如下方式:

·     针对单台AP,在AP视图下进行配置。

·     针对同一个AP组内的AP,在AP组视图下针对AP组进行配置。

·     在全局配置视图下针对所有AP进行全局配置。

对于一台AP,这些配置的生效优先级从高到低为:针对AP的配置、AP组中的配置、全局配置。

1.4  WLAN接入配置任务简介

表1-1 WLAN接入配置任务简介

配置任务

说明

详细配置

配置无线服务模板

创建无线服务模板

必选

1.5.1 

配置描述信息

可选

1.5.2 

配置SSID

必选

1.5.3 

配置无线服务模板允许关联的最大客户端数目

可选

1.5.4 

使能无线服务模板

必选

1.5.5 

绑定无线服务模板

必选

1.5.6 

配置AP不继承AP组下绑定的指定无线服务模板

可选

1.5.7 

配置客户端功能

配置客户端空闲时间

可选

1.6.1 

配置客户端保活时间

可选

1.6.2 

配置客户端的VLAN分配方式

可选

1.6.3 

配置客户端优先使用授权VLAN

可选

1.6.4 

配置客户端Cache老化时间

可选

1.6.5 

配置客户端关联位置

可选

1.6.6 

配置客户端数据报文转发位置

可选

1.6.7 

开启客户端数据报文转发功能

可选

1.6.8 

配置客户端数据报文在CAPWAP隧道中的封装格式

可选

1.6.9 

开启快速关联功能

可选

1.6.10 

配置客户端二次接入认证的时间间隔

可选

1.6.11 

配置本地认证无线客户端通过认证后立即上线功能

可选

1.6.12 

配置对未知客户端数据报文处理方式

可选

1.6.13 

对客户端进行无线链路质量测量

可选

1.6.14 

配置接收客户端信息的Web服务器信息

可选

1.6.15 

配置客户端上线日志的格式

可选

1.6.16 

配置AP上报无线客户端统计信息功能

可选

1.6.17 

配置客户端接入控制

配置允许用户接入的AP组

可选

1.7.1 

配置允许用户接入的SSID名称

可选

1.7.2 

配置白名单

可选

1.7.3 

配置静态黑名单

可选

1.7.4 

配置动态黑名单

可选

1.7.5 

配置基于ACL的接入控制

可选

1.7.6 

配置区域码

可选

1.8 

配置AP不回应客户端广播Probe request报文

可选

1.9 

配置网络接入服务器标识

可选

1.10 

配置无线转发策略

可选

1.11 

指定AP的配置文件

可选

1.12 

开启告警功能

可选

1.13 

 

1.5  配置无线服务模板

1.5.1  创建无线服务模板

1. 功能简介

无线服务模板即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。

2. 配置步骤

表1-2 创建无线服务模板

操作

命令

说明

进入系统视图

system-view

-

创建无线服务模板

wlan service-template service-template-name

缺省情况下,不存在无线服务模板

配置无线客户端从指定无线服务模板上线后所属的VLAN

vlan vlan-id

缺省情况下,无线客户端从指定无线服务模板上线后将被加入到VLAN 1

 

1.5.2  配置描述信息

表1-3 配置描述信息

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置无线服务模板的描述信息

description text

缺省情况下,未配置无线服务模板的描述信息

 

1.5.3  配置SSID

1. 功能简介

AP将SSID置于Beacon帧中向外广播发送。若BSS(Basic Service Set,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置SSID隐藏。若配置了SSID隐藏,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击。为了进一步保护无线网络,AP对于广播Probe Request帧也不会回复。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS。

2. 配置步骤

表1-4 配置SSID

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置SSID

ssid ssid-name

缺省情况下,未配置SSID

(可选)配置SSID隐藏

beacon ssid-hide

缺省情况下,信标帧不隐藏SSID

 

1.5.4  配置无线服务模板允许关联的最大客户端数目

1. 功能简介

配置无线服务模板上允许关联的最大客户端数目,可以防止无线服务模板上由于关联的客户端数量过多而过载。当无线服务模板上关联的客户端数达到允许关联的最大客户端数目,将不再接受新的客户端关联。

2. 配置步骤

表1-5 配置无线服务模板允许关联的最大客户端数目

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置无线服务模板允许关联的最大客户端数目

client max-count max-number

缺省情况下,不限制无线服务模板允许关联的最大客户端数目

 

1.5.5  使能无线服务模板

表1-6 打开无线服务模板

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

开启无线服务模板

service-template enable

缺省情况下,无线服务模板处于关闭状态

 

1.5.6  绑定无线服务模板

1. 功能简介

无线服务模板跟AP的Radio存在多对多的映射关系,将无线服务模板绑定在某个AP的射频上,AP会根据射频上绑定的无线服务模板的无线服务属性创建无线服务BSS。BSS是提供无线服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端能够相互通信。

绑定无线服务模板时,可以进行如下配置:

·     可以为该BSS指定一个VLAN组,该BSS下连接的客户端会被均衡地分配在VLAN组的所有VLAN中,既能将客户端划分在不同广播域中,又能充分利用不连续的地址段为客户端分配IP地址。

·     可以绑定NAS-Port-ID(Network Access Server Port Identifier,网络接入服务器端口标识)和NAS-ID(Network Access Server Identifier,网络接入服务器标识),用于网络服务提供商标识客户端的接入位置,区分流量来源。按照网络服务提供者的标准,不同的NAS-Port-ID对应不同的位置信息。

·     可以配置SSID隐藏。

2. 配置限制和指导

射频能绑定的最大无线服务模板的个数为16个。

3. 配置步骤

表1-7 绑定无线服务模板(Radio视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name

-

进入Radio视图

radio radio-number

-

绑定无线服务模板

service-template service-template-name [ vlan vlan-id | vlan-group vlan-group-name ] [ ssid-hide ] [ nas-id nas-id | nas-port-id nas-port-id ]

缺省情况下,继承AP组配置

 

表1-8 绑定无线服务模板(AP组Radio视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

进入AP型号视图

ap-model ap-model

-

进入Radio视图

radio radio-id

-

绑定无线服务模板

service-template service-template-name [ vlan vlan-id | vlan-group vlan-group-name ] [ ssid-hide ] [ nas-id nas-id | nas-port-id nas-port-id ]

缺省情况下,未绑定无线服务模板

 

1.5.7  配置AP不继承AP组下绑定的指定无线服务模板

1. 功能简介

AP会继承AP组下同型号AP对应的射频下绑定的服务模板,同时创建无线服务BSS。如果AP不需要或不需要全部继承AP组下绑定的无线服务模板,通过配置AP不继承AP组下绑定的指定无线服务模板,不对指定的无线服务模板进行继承。

2. 配置步骤

表1-9 配置AP不继承AP组下绑定的指定无线服务模板

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name

-

进入Radio视图

radio radio-id

-

配置AP不继承AP组下绑定的指定无线服务模板

inherit exclude service-template service-template-name

缺省情况下,AP继承AP组下绑定的无线服务模板

 

1.6  配置客户端功能

1.6.1  配置客户端空闲时间

1. 功能简介

客户端空闲时间,是指AP与客户端成功连接后,客户端与AP无任何报文交互的状态的最大时间,当达到最大空闲时间时,AP会自动与客户端断开连接。

2. 配置步骤

表1-10 配置客户端空闲时间(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name

-

配置客户端空闲时间

client idle-timeout interval

缺省情况下,继承AP组配置

 

表1-11 配置客户端空闲时间(AP组视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

配置客户端空闲时间

client idle-timeout interval

缺省情况下,AP和客户端之间连接允许的最大空闲时间为3600秒

 

1.6.2  配置客户端保活功能

1. 功能简介

开启客户端保活功能后,AP每隔保活时间向客户端发送空数据报文,以确认其是否在线。若在三个保活时间内未收到客户端回应应答报文或数据报文,则AP断开与客户端的连接。若在此期间内收到,则认为客户端在线。

2. 配置步骤

表1-12 配置客户端保活功能(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name

-

开启客户端保活功能

client keepalive enable

缺省情况下,继承AP组配置

(可选)配置客户端保活时间

client keepalive interval value

缺省情况下,继承AP组配置

 

表1-13 配置客户端保活功能(AP组视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

开启客户端保活功能

client keepalive enable

缺省情况下,客户端保活功能处于关闭状态

(可选)配置客户端保活时间

client keepalive interval value

缺省情况下,客户端保活时间为300秒

 

1.6.3  配置客户端的VLAN分配方式

1. 功能简介

客户端首次上线时,AP会为动态分配方式下的客户端随机分配无线服务模板绑定Radio时指定的VLAN组内的一个VLAN,根据客户端的MAC地址为静态分配方式下的客户端分配VLAN。客户端再次上线时被分配的VLAN将由配置的VLAN分配方式决定:

·     静态分配方式下,直接继承上次VLAN组分配的VLAN。若客户端的IP地址在租约内,仍为客户端分配同一个IP地址。采用该分配方式,可以减少IP地址的消耗。

·     动态分配方式下,VLAN组再次随机为客户端分配VLAN。采用该分配方式,客户端会被均衡地分配在VLAN组的所有VLAN中。

2. 配置步骤

表1-14 配置客户端的VLAN分配方式

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置客户端的VLAN分配方式

client vlan-alloc { dynamic | static }

缺省情况下,客户端的VLAN分配方式为动态分配方式

 

1.6.4  配置客户端优先使用授权VLAN

1. 功能简介

客户端上线时,如果客户端进行漫游,由于授权VLAN的优先级高于漫游VLAN,此时如果iMC安全策略服务器配置了安全策略,客户端执行了iMC安全策略中对其的限制操作进而触发安全告警时,iMC安全策略服务器重新下发的用于隔离客户端的授权VLAN将生效。例如,iMC安全策略服务器设置了一个安全策略,不允许使用客户端的计算器功能。如果打开计算器功能就会触发安全告警,iMC安全策略服务器重新下发的授权VLAN将生效。

关闭本功能后,漫游VLAN的优先级将高于授权VLAN的优先级当iMC安全策略服务器对客户端下发授权VLAN时,授权VLAN不生效。

2. 配置限制和指导

AC为客户端选择VLAN的优先级从高到低依次为:授权VLAN(授权服务器下发的VLAN或者iMC安全策略服务器下发的VLAN)、漫游VLAN(漫游表项中记录的VLAN)、初始VLAN(无线服务模板绑定的VLAN)。

在AC上配置客户端优先使用授权VLAN功能后,当客户端需要进行AC间漫游时,为了保障漫游功能的实现,漫游组内的其他AC均需要开启本功能。

该配置只对采用802.1X或MAC地址认证方式上线的无线客户端生效。

3. 配置步骤

表1-15 配置客户端优先使用授权VLAN

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置客户端优先使用授权VLAN

client preferred-vlan authorized

缺省情况下,授权VLAN的优先级高于漫游VLAN的优先级

 

1.6.5  配置客户端Cache老化时间

1. 功能简介

无线客户端Cache记录了客户端的PMK列表、接入VLAN以及其他授权信息。无线客户端断开连接之后,如果在客户端Cache老化时间内再次成功关联AP,则可继承Cache记录的各种授权信息,实现快速漫游。如果客户端离线时间超过了老化时间,系统会自动清除该客户端的Cache。

2. 配置步骤

表1-16 配置客户端Cache的老化时间

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置客户端Cache老化时间

client cache aging-time aging-time

缺省情况下,无线客户端Cache的老化时间为180秒

 

1.6.6  配置客户端关联位置

1. 功能简介

客户端关联位置在AC上时,客户端与AP关联的过程将由AC处理,管理报文通过CAPWAP隧道透传到AC。选择客户端关联位置在AC上具有安全和管理上的优势,但是当AC与AP之间的网络复杂,由于管理报文到达AC所需时间较长影响到关联过程时,建议将客户端关联位置配置在AP上,直接由AP处理客户端的关联过程。

2. 配置步骤

表1-17 配置客户端关联位置

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置客户端关联位置

client association-location { ac | ap }

缺省情况下,客户端的关联位置在AC上

 

1.6.7  配置客户端数据报文转发位置

1. 功能简介

可以在AC上将客户端数据报文转发位置配置在AC或者AP上。

·     将数据报文转发位置配置在AC上时,为集中式转发,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。

·     将数据报文转发位置配置在AP上时,为本地转发,客户端的数据流量直接由AP进行转发。将转发位置配置在AP上缓解了AC的数据转发压力。

·     将转发位置配置在AP上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AP上转发其数据流量。

2. 配置限制和指导

若配置客户端数据报文转发位置在AC上,则需要保证客户端数据报文转发功能处于开启状态,否则配置不生效。

3. 配置步骤

表1-18 配置客户端数据报文转发位置

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置客户端数据报文转发位置

client forwarding-location { ac | ap [ vlan { vlan-start [ to vlan-end ] } ] }

缺省情况下,客户端的数据报文转发位置在AC上

 

1.6.8  开启客户端数据报文转发功能

1. 功能简介

在分层AC架构下,如果客户端数据报文转发位置在AC(Central AC或Local AC)上,则建议在Central AC上关闭客户端数据报文转发功能,Local AC上开启此功能。当AP与管理员所指定的Local AC关联时,由Local AC转发客户端报文。如果指定的Local AC发生故障,AP将关联到Central AC上,由于Central AC上的客户端数据报文转发功能处于关闭状态,客户端数据报文的转发位置将自动迁移到AP上,从而保障Central AC对整个无线网络的管理性能。

有关分层AC的配置请参见“WLAN配置指导”中的“分层AC”。

2. 配置限制和指导

若指定了客户端数据报文转发位置在AC上,则必须开启此功能才能使得AC能够转发客户端数据报文;若指定了客户端数据报文转发位置在AP上,则此功能无效。

3. 配置步骤

表1-19 开启客户端数据报文转发功能

操作

命令

说明

进入系统视图

system-view

-

开启客户端数据报文转发功能

wlan client forwarding enable

缺省情况下,客户端数据报文转发功能处于开启状态

 

1.6.9  配置客户端数据报文在CAPWAP隧道中的封装格式

1. 功能简介

集中式转发架构下,客户端的数据报文由AP通过CAPWAP隧道透传到AC。可以配置客户端数据报文封装在CAPWAP隧道中的格式为802.3或802.11格式,建议将客户端数据报文封装在CAPWAP中的格式为802.3格式,AC在收到客户端报文后不需要进行报文格式转换。

2. 配置步骤

表1-20 配置客户端数据报文在CAPWAP隧道中的封装格式

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置客户端数据报文在CAPWAP隧道中的封装格式

client frame-format { dot3 | dot11 }

缺省情况下,客户端数据报文在CAPWAP隧道中的封装格式为802.3格式

 

1.6.10  开启快速关联功能

1. 功能简介

如果WLAN环境中启动了负载均衡和频谱导航,客户端关联AP的效率将受到影响。对于不需要负载均衡和频谱导航功能或注重低延迟的网络服务,可以在无线服务模板下开启快速关联功能。无线服务模板开启快速关联功能后,即使AP上启动了负载均衡和频谱导航功能,也不会对该无线服务模板下接入的无线客户端进行频谱导航和负载均衡计算,从而让客户端可以快速的关联到AP上。

2. 配置步骤

表1-21 开启快速关联功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

开启快速关联功能

quick-association enable

缺省情况下,快速关联功能处于关闭状态

 

1.6.11  配置客户端二次接入认证的时间间隔

1. 功能简介

客户端二次接入认证的时间间隔是指客户端通过802.1X认证或MAC地址认证(包括通过URL重定向功能完成MAC地址认证)后,RADIUS服务器强制客户端下线到再次对其进行认证的时间间隔。

配置了客户端二次接入认证的时间间隔之后,设备将已通过认证的客户端的MAC地址加入到动态黑名单中,并在指定的时间间隔内禁止客户端接入。通过此方式加入动态黑名单的MAC地址不受动态黑名单老化时间的影响。

如果在该时间间隔内使用reset wlan dynamic-blacklist命令清除动态黑名单,则设备将允许该客户端接入并进行认证。

2. 配置步骤

表1-22 配置客户端二次接入认证的时间间隔

操作

命令

说明

进入系统视图

system-view

-

配置客户端二次接入认证的时间间隔

wlan client reauthentication-period [ period-value ]

缺省情况下,客户端二次接入认证的时间间隔为0秒

 

1.6.12  配置本地认证无线客户端通过认证后立即上线功能

1. 功能简介

对于本地认证的无线客户端,客户端认证完成后,AP会上报客户端信息给AC,由AC创建客户端表项并通知AP允许客户端上线。若CAPWAP隧道异常,AP将无法成功向AC上报客户端信息,导致客户端无法上线,且在CAPWAP隧道恢复正常之前,客户端会反复进行认证,尝试上线。

为避免客户端频繁进行认证,可开启本地认证无线客户端通过认证后立即上线功能,允许通过本地认证的客户端在AP上线,此时AP可以为客户端转发数据并提供接入功能。当CAPWAP隧道恢复正常后,AP会同步已上线客户端信息给AC。

2. 配置步骤

表1-23 配置本地认证无线客户端通过认证后立即上线功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务器模板视图

wlan service-template service-template-name

-

配置本地认证无线客户端通过认证后立即上线功能

undo client report-mandatory

缺省情况下,本地认证无线客户端通过认证后立即上线功能处于开启状态

 

1.6.13  配置对未知客户端数据报文处理方式

1. 功能简介

通过配置对未知客户端数据报文处理方式,可以选择AC在收到未知客户端发送的数据报文后,仅丢弃客户端发送的数据报文不作处理,或丢弃客户端发送的数据报文并向客户端发送解除认证报文通知客户端断开连接。

2. 配置步骤

表1-24 配置对未知客户端数据报文处理方式

操作

命令

说明

进入系统视图

system-view

-

进入服务模板视图

wlan service-template service-template-name

-

配置对未知客户端数据报文处理方式

unknown-client [ deauthenticate | drop ]

缺省情况下,丢弃未知客户端发送的数据报文并向客户端发送解除认证报文

 

1.6.14  对客户端进行无线链路质量测量

1. 功能简介

无线链路质量检测,即AP根据客户端上线时协商的速率集,以每个速率发送5个空数据报文进行链路质量检测。AP根据客户端的响应报文可以获取AP客户端之间的无线链路质量信息,如信号强度、报文重传次数、RTT(Round-Trip Time,往返时间)等。

无线链路质量检测的超时时间为10秒,如果AP在超时时间内没有完成链路质量检测,将无法得到链路质量检测结果。

2. 配置步骤

表1-25 对客户端进行无线链路质量测量

操作

命令

说明

对客户端进行链路质量测量

wlan link-test mac-address

-

 

1.6.15  配置接收客户端信息的Web服务器信息

1. 功能简介

AC支持与特定第三方厂商的Web服务器通过HTTP协议传输客户端信息。配置Web服务器信息后,AC将与Web服务器建立HTTP连接,将关联客户端的信息(如客户端MAC地址、接入AP的MAC及接入时间等信息)发送给Web服务器,由服务器进行存储并由用户进行查看。

2. 配置步骤

表1-26 配置接收客户端信息的Web服务器信息

操作

命令

说明

进入系统视图

system-view

-

配置接收客户端信息的Web服务器的域名和端口号

wlan web-server host host-name port port-number

缺省情况下,未配置接收客户端信息的Web服务器的域名和端口号

指定接收客户端信息的Web服务器的路径

wlan web-server api-path path

缺省情况下,未指定接收客户端信息的Web服务器的路径

配置设备一次向Web服务器上报客户端信息的最大数目

wlan web-server max-client-entry number

缺省情况下,设备一次向Web服务器上报客户端信息的最大数目为10

 

1.6.16  配置客户端上线日志的格式

1. 功能简介

客户端上线时,设备会自动生成客户端上线日志来记录该事件。客户端上线日志的格式有两种,格式不同,记录的内容不同。

·     H3C格式:日志内容为客户端上线的AP名称、Radio ID、客户端MAC地址、关联的SSID、BSSID及客户端的上线状态。

·     normal格式:日志内容为客户端上线的AP的MAC地址、AP名称、客户端IP地址、客户端MAC地址、关联的SSID及BSSID。

·     sangfor格式:日志内容为客户端上线的AP的MAC地址、客户端IP地址和客户端MAC地址。

缺省情况下,客户端上线时,设备会自动生成H3C格式的客户端上线日志。配置本功能后,设备在生成H3C格式日志的同时,还会生成normal格式或者sangfor格式的客户端上线日志。所有格式的客户端上线日志均会发送给设备的信息中心模块,由信息中心模块决定日志最终的输出方向。有关信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置步骤

表1-27 配置客户端上线日志的格式

操作

命令

说明

进入系统视图

system-view

-

配置客户端上线日志的格式

customlog format wlan { normal | sangfor }

缺省情况下,仅输出H3C格式的客户端上线日志

 

1.6.17  配置AP上报无线客户端统计信息功能

为了对无线客户端的状态进行有效的监控,通过开启本功能,由AP周期性的向AC上报客户端统计信息。AC接收到客户端统计信息后会对本地客户端表项进行更新,未与本地客户端表项匹配上的客户端将被强制下线。

当用户网络状况较差时,请关闭本功能,AP会停止上报客户端统计信息且AC不会更新本地客户端表项,客户端正常在线。

表1-28 配置AP上报无线客户端统计信息功能(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name [ model model-name ]

-

配置AP向AC上报无线客户端统计信息功能

client-statistics-report { disable | enable [ interval interval ] }

缺省情况下,继承AP组配置

 

表1-29 配置AP上报无线客户端统计信息功能(AP组视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

进入AP组视图

配置AP向AC上报无线客户端统计信息功能

client-statistics-report { disable | enable [ interval interval ] }

缺省情况下,AP向AC上报无线客户端统计信息功能处于开启状态

 

1.7  配置客户端接入控制

1.7.1  配置允许用户接入的AP

1. 功能简介

通过配置允许用户接入的AP组,让用户只能够在指定AP组内的AP上接入,控制用户在无线网络中接入位置。

2. 配置步骤

表1-30 配置允许用户接入的AP组

操作

命令

说明

进入系统视图

system-view

-

进入User Profile视图

user-profile profile-name

-

配置允许用户接入的AP组

wlan permit-ap-group ap-group-name

缺省情况下,未配置允许用户接入的AP组

 

1.7.2  配置允许用户接入的SSID名称

1. 功能简介

在用户需要接入网络时,可通过指定允许用户接入的SSID控制用户只能在指定的SSID接入。

2. 配置步骤

表1-31 配置允许用户接入的SSID名称

操作

命令

说明

进入系统视图

system-view

-

进入User Profile视图

user-profile profile-name

-

配置SSID用户接入控制

wlan permit-ssid ssid-name

缺省情况下,未配置允许用户接入的SSID名称

 

1.7.3  配置白名单

1. 配置限制和指导

第一次配置白名单时,系统会提示用户是否解除与所有在线客户端的关联,如果选择解除关联,才能配置白名单,否则不能配置白名单。当删除白名单中所有客户端时,则不存在白名单。

2. 配置步骤

表1-32 配置白名单

操作

命令

说明

进入系统视图

system-view

-

配置白名单

wlan whitelist mac-address mac-address

缺省情况下,不存在白名单

 

1.7.4  配置静态黑名单

1. 配置限制和指导

同一MAC地址表项不能同时配置到白名单中和静态黑名单中。

2. 配置步骤

表1-33 配置静态黑名单

操作

命令

说明

进入系统视图

system-view

-

配置静态黑名单

wlan static-blacklist mac-address mac-address

缺省情况下,不存在静态黑名单

 

1.7.5  配置动态黑名单

1. 功能简介

当配置了客户端二次接入认证的时间间隔或者AP收到客户端的攻击报文时,AC会将该客户端的MAC地址添加到动态黑名单中:

·     配置动态黑名单基于AP生效,AP将拒绝该客户端的接入,但仍可以从AC下的其他AP接入。

·     配置动态黑名单基于AC生效,AC下相连的所有AP都将拒绝该客户端接入。

2. 配置限制和指导

在AP部署较密集的无线网络环境下,建议用户配置动态黑名单基于AC生效。

动态黑名单表项具有一定的老化时间。当到达老化时间时,AC会将MAC地址从动态黑名单中删除。

新配置的动态黑名单老化时间只对新加入动态黑名单的客户端生效。

若客户端同时存在于白名单和动态黑名单中时,则白名单生效。

3. 配置步骤

表1-34 配置动态黑名单

操作

命令

说明

进入系统视图

system-view

-

配置动态黑名单基于AP生效

wlan dynamic-blacklist active-on-ap

缺省情况下,动态黑名单基于AP生效

配置动态黑名单基于AC生效

undo wlan dynamic-blacklist active-on-ap

配置动态黑名单表项的老化时间

wlan dynamic-blacklist lifetime lifetime

缺省情况下,动态黑名单表项的老化时间为300秒

 

1.7.6  配置基于ACL的接入控制

说明

基于ACL的接入控制只匹配source mac地址二层ACL规则。

 

1. 配置限制与指导

基于ACL的接入控制的优先级高于基于名单的接入控制的优先级。当AC上没有为指定AP或服务模板配置无线客户端访问控制规则时,按照基于名单的接入控制规则对无线客户端进行访问控制。

在ACL中配置deny规则来拒绝指定客户端接入时,请在deny规则之后配置允许所有客户端接入的permit规则,否则会导致所有客户端无法接入。

AP视图下配置的优先级高于无线服务模板视图下的配置。

2. 配置步骤

表1-35 配置基于ACL的接入控制(无线服务模板视图)

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置基于ACL的接入控制

access-control acl acl-number

缺省情况下,未配置基于ACL的接入控制

基于ACL的接入控制只能引用二层ACL规则

 

表1-36 配置基于ACL的接入控制(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP模板视图

wlan ap ap-name [ model model-name ]

-

配置基于ACL的接入控制

access-control acl acl-number

缺省情况下,未配置基于ACL的接入控制

基于ACL的接入控制只能引用二层ACL规则

 

1.8  配置区域码

1. 功能简介

区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。

2. 配置步骤

表1-37 配置区域码(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name

-

配置区域码

region-code code

缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置

开启区域码锁定功能

region-code-lock enable

缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置

 

表1-38 配置区域码(AP组视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

配置区域码

region-code code

缺省情况下,继承全局配置

开启区域码锁定功能

region-code-lock enable

缺省情况下,继承全局配置

 

表1-39 配置区域码(全局配置视图)

操作

命令

说明

进入系统视图

system-view

-

进入全局配置视图

wlan global-configuration

-

配置区域码

region-code code

缺省情况下,区域码为CN

开启区域码锁定功能

region-code-lock enable

缺省情况下,区域码锁定功能处于关闭状态

 

1.9  配置AP不回应客户端广播Probe request报文

1. 功能简介

广播Probe request报文即报文中不携带无线服务的SSID,AP收到广播报文后,将AP提供的所有服务的信息封装在Probe reponse报文中,回应给客户端。可以配置不回应客户端的广播Probe request报文,可以减少AP回应的Probe response报文,并使发送携带SSID的Probe request报文的客户端更容易接入无线网络。

2. 配置步骤

表1-40 配置不回应客户端广播Probe request报文(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name

-

配置AP不回应广播probe request报文

broadcast-probe reply disable

缺省情况下,继承AP组配置

 

表1-41 配置回应客户端广播Probe request报文(AP组视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

配置AP组不回应广播probe request报文

broadcast-probe reply disable

缺省情况下,AP回应广播probe request报文

 

1.10  配置网络接入服务器标识

1. 功能简介

NAS-ID、NAS-Port-ID和NAS-VLAN-ID(Network Access Server VLAN Identifier,网络接入服务器VLAN标识)主要用于网络服务提供商标识客户端的接入位置,区分流量来源。

2. 配置限制和指导

如果在配置无线服务模板时绑定了NAS-ID/NAS-Port-ID,则优先使用无线服务模板绑定的NAS-ID/NAS-Port-ID。

3. 配置步骤

表1-42 配置网络接入服务器标识(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name

-

配置网络接入服务器标识

nas-id nas-id

缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置

配置网络接入服务器端口标识

nas-port-id nas-port-id

缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置

配置网络接入服务器的VLAN ID

nas-vlan vlan-id

缺省情况下,未配置网络接入服务器的VLAN ID,即AC向RADIUS服务器发送的请求认证报文中未携带NAS-VLAN-ID字段

当使用某特定第三方厂商的SAM(Security Accounting Management,安全审计管理)服务器作为RADIUS服务器时,需要在我司设备上配置NAS-VLAN-ID,以便SAM服务器使用该VLAN ID定位客户端位置

 

表1-43 配置网络接入服务器标识(AP组视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

配置网络接入服务器标识

nas-id nas-id

缺省情况下,继承全局配置

配置网络接入服务器端口标识

nas-port-id nas-port-id

缺省情况下,继承全局配置

 

表1-44 配置网络接入服务器标识(全局配置视图)

操作

命令

说明

进入系统视图

system-view

-

进入全局配置视图

wlan global-configuration

-

配置网络接入服务器标识

nas-id nas-id

缺省情况下,未配置网络接入服务器标识

配置网络接入服务器端口标识

nas-port-id nas-port-id

缺省情况下,未配置网络接入服务器标识

 

1.11  配置无线转发策略

1.11.1  配置限制和指导

配置无线转发策略,AC和AP必须处于不同网段中。

当无线服务模板和User Profile下均应用无线转发策略时,设备优先使用User Profile下应用的无线转发策略对客户端数据进行处理。如果上线用户的User Profile下没有应用无线转发策略,则设备将使用无线服务模板下的无线转发策略处理客户端数据。

1.11.2  配置准备

应用无线转发策略前,请使用client-security authentication-location命令将无线用户的接入认证位置配置在AC上,此时无线转发策略才能生效。关于用户接入认证位置的介绍和配置,请参见“WLAN配置指导”中的“WLAN用户接入认证”。

1.11.3  创建无线转发策略

1. 功能简介

无线转发策略由一条或多条无线转发规则组成,每条无线转发规则中包含匹配报文特征的规则及采取的转发方式。匹配报文特征的规则可以为基本ACL、高级ACL和二层ACL,可选择的转发方式包括本地转发和集中转发。无线转发策略仅识别ACL规则中的匹配条件,不识别允许和拒绝操作,即只要是匹配条件的报文,无论在ACL规则中是被允许还是被拒绝,都会被按转发策略处理。

有关ACL的详细介绍,请参见“ACL和Qos配置指导”中的“ACL”。

2. 配置步骤

表1-45 创建无线转发策略

操作

命令

说明

进入系统视图

system-view

-

创建无线转发策略,并进入无线转发策略视图

wlan forwarding-policy policy-name

缺省情况下,不存在无线转发策略

配置无线转发规则

classifier acl { acl-number | ipv6 ipv6-acl-number }

缺省情况下,不存在无线转发规则

重复执行该命令可以创建多条无线转发规则

 

1.11.4  在无线服务模板下应用无线转发策略

表1-46 在无线服务模板下应用无线转发策略

操作

命令

说明

进入系统视图

system-view

-

进入服务模板视图

wlan service-template service-template-name

-

在无线服务模板下应用无线转发策略

client forwarding-policy-name policy-name

缺省情况下,没有应用无线转发策略

应用无线转发策略后,请开启无线转发策略功能

开启无线转发策略功能

client forwarding-pollicy enable

缺省情况下,无线转发策略功能处于关闭状态

 

1.11.5  在User Profile下应用无线转发策略

1. 功能简介

在User Profile下应用无线转发策略后,当客户端准备接入网络并通过身份认证后,认证服务器会将与客户端帐户绑定的User Profile名称下发给AC,AC根据指定User Profile下应用的无线转发策略对客户端数据报文进行转发。

2. 配置限制和指导

修改或删除User Profile下应用的无线转发策略时,该配置会在客户端再次上线时生效。

3. 配置步骤

表1-47 在User Profile下应用无线转发策略

操作

命令

说明

进入系统视图

system-view

-

进入User Profile视图

user-profile profile-name

-

在User Profile下应用无线转发策略

wlan client forwarding-policy-name policy-name

缺省情况下,没有应用无线转发策略

应用无线转发策略后,请开启无线转发策略功能

退回系统视图

quit

-

进入服务模板视图

wlan service-template service-template-name

-

开启无线转发策略功能

client forwarding-pollicy enable

缺省情况下,无线转发策略功能处于关闭状态

 

1.12  指定AP的配置文件

1. 功能简介

在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件),当隧道处于Run状态时,AC会将配置文件中的命令下发到AP上,AP会使用配置文件中的命令,但AP不会保存这些配置。

例如:本地转发模式下配置用户方案时,将用户方案、相关的QoS策略和ACL等命令写入配置文件,然后通过指定AP的配置文件的方式将命令下发到AP。

2. 配置限制和指导

使用map-configuration命令指定的配置文件,文件中的内容必须是完整的命令行形式。

一旦使用map-configuration命令为AP指定了配置文件,该配置文件会永久生效,即只要AP在线,AC就会将配置文件中的命令下发给AP。

在本地转发模式下配置用户方案时,通过配置文件配置的AP只用通过主IP地址与AC建立CAWPAP隧道。

在IRF组网中,当需要使用map-configuration命令指定AP的配置文件时,请将配置文件分别导入到各成员设备的存储介质中,防止在发生主备倒换后找不到AP的配置文件,通过map-configuration命令下发的AP配置文件只能在IRF的主设备上生效,同时必须指定配置文件的存储路径为主设备。

3. 配置步骤

表1-48 指定AP的配置文件(AP视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP模板视图

wlan ap ap-name

-

将配置文件下载到AP

map-configuration filename

可选

缺省情况下,没有指定AP的配置文件

 

表1-49 指定AP的配置文件(AP组ap-model视图)

操作

命令

说明

进入系统视图

system-view

-

进入AP组视图

wlan ap-group group-name

-

进入AP型号视图

ap-model ap-model

-

将配置文件下载到AP

map-configuration filename

可选

缺省情况下,没有指定AP的配置文件

 

1.13  开启告警功能

1. 功能简介

开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)

2. 配置步骤

表1-50 开启告警功能

操作

命令

说明

进入系统视图

system-view

-

开启客户端的告警功能

snmp-agent trap enable wlan client

缺省情况下,客户端的告警功能处于关闭状态

开启客户端审计的告警功能

snmp-agent trap enable wlan client-audit

缺省情况下,客户端审计的告警功能处于关闭状态

 

1.14  WLAN接入显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN接入的运行情况,通过查看显示信息验证配置效果。

在用户视图下执行reset命令可以清除动态黑名单或断开AP与客户端的连接。

表1-51 WLAN接入显示和维护

操作

命令

显示AP的所有Radio接口下在线客户端数量和信道信息

display wlan ap all radio client-number

显示所有AP组内在线客户端数量

display wlan ap-group all client-number

显示AP上2.4GHz及5GHz频段的在线客户端数量

display wlan ap all client-number

显示黑名单

display wlan blacklist { dynamic | static }

显示BSS(Basic Service Set,基本服务集)信息

display wlan bss { all | ap ap-name | bssid bssid } [ slot slot-number ] [ verbose ]

显示客户端的信息(集中式设备—独立运行模式)

display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } ] [ verbose ]

显示客户端的信息(集中式设备—IRF模式)

display wlan client distributed-sys [ slot slot-number ] [ verbose ]

显示客户端的IPv6地址信息

display wlan client ipv6

显示客户端在线时长

display wlan client online-duration [ ap ap-name ] [ verbose ]

显示客户端状态信息

display wlan client status [ mac-address mac-address ] [ verbose ]

显示无线转发策略信息

display wlan forwarding-policy

显示AP的区域码信息

display wlan ap { all | name ap-name } region-code

显示无线服务模板信息

display wlan service-template [ service-template-name ] [ verbose ]

查看客户端的统计信息或服务模板的统计信息

display wlan statistics { ap { all | name ap-name } connect-history | client [ mac-address mac-address ] | service-template service-template-name [ connect-history ] }

显示白名单

display wlan whitelist

清除动态黑名单

reset wlan dynamic-blacklist [ mac-address mac-address ]

断开与客户端的连接

reset wlan client { all | mac-address mac-address }

清除无线客户端的统计信息

reset wlan statistics client { all | mac-address mac-address }

清除无线服务模板的统计信息

reset wlan statistics service-template service-template-name

 

1.15  WLAN接入典型配置举例

1.15.1  WLAN接入配置举例

1. 组网需求

·     AP通过交换机与AC相连。在Switch上开启DHCP server功能,为AP和客户端分配IP地址。

·     使用手工输入序列号方式输入序列号。AP提供SSID为trade-off的无线接入服务。

2. 组网图

图1-8 无线接入组网图

 

 

3. 配置步骤

(1)     配置IP地址

# 创建VLAN 100,并配置VLAN 100接口的IP地址。

<AC> system-view

[AC] vlan 100

[AC-vlan100]quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 10.1.9.58 16

(2)     创建手工AP

# 创建手工AP,名称为ap1,选择AP型号并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

(3)     创建无线服务模板,并将无线服务模板绑定到AP的Radio接口。

# 配置无线无线服务模板service1,配置SSID为trade-off,配置客户端从无线服务模板service1上线后将被加入到VLAN 100,并开启服务模版。

<AC> system-view

[AC] wlan service-template service1

[AC-wlan-st-service1] ssid trade-off

[AC-wlan-st-service1] vlan 100

[AC-wlan-st-service1] service-template enable

[AC-wlan-st-service1] quit

# 配置射频,指定工作信道为157。

[AC] wlan ap ap1

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] channel 157

# 将无线服务模板service1绑定到Radio 1接口。

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] service-template service1

4. 验证配置

(1)     配置完成后,在AC上执行display wlan service-template命令,可以看到所有已经创建的无线服务模板模板。无线服务模板service1的SSID为trade-off,无线服务模板已经使能,其它配置项都使用缺省值。

[AC] display wlan service-template verbose

Service template name          : service1

Description                    : Not configured

SSID                           : trade-off

SSID-hide                      : Disabled

User-isolation                 : Disabled

Service template status        : Enabled

Maximum clients per BSS        : 64

Frame format                   : Dot3

Seamless roam status           : Disabled

Seamless roam RSSI threshold   : 50

Seamless roam RSSI gap         : 20

VLAN ID                        : 100

AKM mode                       : Not configured

Security IE                    : Not configured

Cipher suite                   : Not configured

TKIP countermeasure time       : 0 s

PTK life time                  : 43200 s

GTK rekey                      : Enabled

GTK rekey method               : Time-based

GTK rekey time                 : 86400 s

GTK rekey client-offline       : Disabled

User authentication mode       : Bypass

Intrusion protection           : Disabled

Intrusion protection mode      : Temporary-block

Temporary block time           : 180 sec

Temporary service stop time    : 20 sec

Fail VLAN ID                   : 1

Critical VLAN ID               : Not configured

802.1X handshake               : Enabled

802.1X handshake secure        : Disabled

802.1X domain                  : my-domain

MAC-auth domain                : Not configured

Max 802.1X users per BSS       : 4096

Max MAC-auth users per BSS     : 4096

802.1X re-authenticate         : Enabled

Authorization fail mode        : Online

Accounting fail mode           : Online

Authorization                  : Permitted

Key derivation                 : N/A

PMF status                     : Disabled

Hotspot policy number          : Not configured

Forwarding policy status       : Disabled

Forwarding policy name         : Not configured

Forwarder                      : AC

FT status                      : Disabled

QoS trust                      : Port

QoS priority                   : 0

(2)     MAC地址为0023-8933-223b的客户端可以连接无线网络名称为trade-off的无线网络。在AC上执行display wlan client命令,可以看到所有连接成功的客户端。

[AC] display wlan client service-template service1

Total number of clients: 1

 

MAC address       Username   AP name    RID   IP address      IPv6 address   VLAN

0023-8933-223b    N/A        ap1        1     3.0.0.3                        100

1.15.2  白名单配置举例

1. 组网需求

AC和AP通过交换机连接,通过将客户端的MAC地址0000-000f-1211加入到白名单中,仅允许该客户端接入无线网络,拒绝其它客户端接入无线网络。

2. 组网图

图1-9 白名单配置组网图

 

3. 配置步骤

# 将客户端的MAC地址0000-000f-1211添加到白名单。

<AC> system-view

[AC] wlan whitelist mac-address 0000-000f-1211

4. 验证配置

配置完成后,在AC上执行display wlan whitelist命令,可以看到AC已经将客户端的MAC地址表项加入到白名单。

[AC] display wlan whitelist

Total number of clients: 1

 MAC addresses:

  0000-000f-1211

1.15.3  静态黑名单配置举例

1. 组网需求

AC和AP通过交换机连接,客户端为已知非法客户端,通过将客户端的MAC地址0000-000f-1211加入到静态黑名单中,拒绝该客户端接入无线网络。

2. 组网图

图1-10 静态黑名单配置组网图

 

3. 配置步骤

# 将客户端的MAC地址0000-000f-1211添加到静态黑名单。

<AC> system-view

[AC] wlan static-blacklist mac-address 0000-000f-1211

4. 验证配置

配置完成后,在AC上执行display wlan blacklist static命令,可以看到AC已经将客户端的MAC地址表项加入到静态黑名单。

[AC] display wlan blacklist static

Total number of clients: 1

 MAC addresses:

  0000-000f-1211

1.15.4  ACL接入控制配置举例

1. 组网需求

AC和AP通过交换机连接,如图1-11所示,通过配置基于ACL的接入控制规则,实现仅匹配上MAC地址规则及OUI规则的客户端可以接入无线网络,其他客户端无法接入无线网络的目的。

2. 组网图

图1-11 ACL接入控制配置组网图

 

3. 配置步骤

# 将Client 1和Client 2分别按照MAC地址匹配规则及OUI匹配规则添加到ACL 4000中。

<Sysname> system-view

[Syname] acl mac 4000

[Syname-acl-mac-4000] rule 0 permit source-mac 0000-000f-1121 ffff-ffff-ffff

[Syname-acl-mac-4000] rule 1 permit source-mac 000e-35b2-000e ffff-ff00-0000

[Syname-acl-mac-4000] quit

# 在无线服务模板service1上应用ACL 4000。

[Syname] wlan service service1

[Sysname-wlan-st-service1] access-control acl 4000

4. 验证实现

配置完成之后,会发现除Client 1及匹配上OUI规则的客户端(包括但不限于Client 2)可以接入无线网络外,其它客户端均无法接入无线网络。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们