目  录

1 Client漫游中心

1.1 Client漫游中心简介

1.1.1 典型组网

1.1.2 工作流程

1.2 Client漫游中心配置任务简介

1.3 开启Client漫游中心功能

1.4 配置WLAN漫游中心的IP地址和端口号

1.5 配置Client漫游中心接收响应报文的超时时间

1.6 配置Client漫游中心发送请求报文的最大尝试次数

1.7 配置地址安全表项老化时间

1.8 Client漫游中心典型配置举例

1.8.1 WLAN地址安全配置举例

1 Client漫游中心

1.1  Client漫游中心简介

1.1.1  典型组网

在无线网络中，MAC地址和IP地址仿冒的问题非常严重，Client漫游中心可以对上线用户的MAC地址和IP地址进行检查，阻止仿冒用户上线，从而保障合法用户的利益，加强网络安全。

Client漫游中心和WLAN漫游中心配合使用，典型组网如图1-1所示，其中：

·     Client漫游中心：部署在AC上，用于识别和收集用户信息、检查用户MAC地址和IP地址的合法性。

·     WLAN漫游中心：部署在AC上，用于根据Client漫游中心提供的信息建立用户MAC地址表项和IP地址表项以及用户黑名单表项，并向Client漫游中心提供查询服务。

关于WLAN漫游中心的详细介绍，请参见“WLAN漫游配置指导”中的“WLAN漫游中心”。

图1-1 WLAN地址安全组网示意图

1.1.2  工作流程

Client漫游中心的具体工作流程如下：

(1)     Client漫游中心收到Client上线通知后，查询本地是否存在对应的MAC地址表项和IP地址表项：

¡     若不存在，则向WLAN漫游中心发送冲突查询报文：

-     如果WLAN漫游中心未查询到冲突，则向Client漫游中心回应检查通过报文，WLAN漫游中心和Client漫游中心会生成MAC地址表项和IP地址表项，然后对Client开始计费。

-     如果WLAN漫游中心查询到冲突，则检查仿冒黑名单。如果原用户和仿冒用户都在或都不在仿冒名单里，则向Client漫游中心发送回应报文，Client漫游中心会将两者加入本地黑名单，拒绝两者上线，如果只有一个在仿冒名单里，则拒绝仿冒名单里的用户上线。

¡     若存在，则执行以下流程：

-     如果查询到对应的IP地址表项，则判断用户名是否相同：用户名相同，则会把之前上线的Client踢下线，更新本地MAC地址表项和IP地址表项，并通知WLAN漫游中心更新相关表项，同时把之前的MAC地址加入MAC地址黑名单。用户名不相同，则会把两个都加入MAC地址黑名单，都会踢下线，在生存时间内都不允许上线。

-     如果查询到对应的MAC地址表项，则去WLAN漫游中心查询手动配置的地址仿冒用户黑名单表项，并将黑名单中的用户踢下线。当WLAN漫游中心查询到对应的MAC地址表项时会通知本地查询结果，并自动生成一个用户黑名单，用户黑名单包含了用户名和MAC地址，在表项老化之前会拒绝仿冒用户接入。

(2)     当Client的IP地址发生变化时，会再次触发上述查询流程。

本特性的支持情况与设备型号有关，请以设备的实际情况为准。

1.2  Client漫游中心配置任务简介

Client漫游中心配置任务如下：

·     开启Client漫游中心功能

·     配置WLAN漫游中心的IP地址和端口号

·     （可选）配置Client漫游中心接收响应报文的超时时间

·     （可选）配置Client漫游中心发送请求报文的最大尝试次数

·     （可选）配置地址安全表项老化时间

1.3  开启Client漫游中心功能

1. 功能简介

开启Client漫游中心功能后，AC可以将接入的所有用户信息同步到WLAN漫游中心，从而达到通过WLAN漫游中心监控全网客户端MAC地址和IP地址仿冒的目的。

2. 配置限制和指导

Client漫游中心功能必须和地址安全功能配合使用才能生效，关于WLAN地址安全的详细介绍请参见“WLAN漫游配置指导”中的“WLAN漫游中心”。

AC上开启地址安全功能且关闭Client漫游中心功能后，新用户可以通过802.1X认证但无法接入，已经接入的在线用户不受影响。如果AC上关闭了地址安全功能，则是否关闭Client漫游中心对用户接入没有影响。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建Client漫游中心，并进入Client漫游中心视图。

client roaming-center

(3)     开启Client漫游中心功能。

roaming-center enable

缺省情况下，Client漫游中心功能处于关闭状态。

1.4  配置WLAN漫游中心的IP地址和端口号

1. 功能简介

Client漫游中心上需要指定与WLAN漫游中心进行报文交互的IP地址和端口号。

2. 配置限制和指导

Client漫游中心上指定的IP地址可以为WLAN漫游中心上配置的与Client漫游中心通信的任意IP地址，且此IP地址只能配置一个，新配置将覆盖已有配置。

设备上有客户端在线时，不建议修改WLAN漫游中心的IP地址和UDP端口号，否则可能会导致Client漫游中心和WLAN漫游中心数据不同步。

在Client漫游中心上指定WLAN漫游中心的UDP端口号需要和WLAN漫游中心视图下配置的UDP端口号保持一致。

修改UDP端口号时，为防止用户数据残留，建议先关闭WLAN漫游中心功能，修改完成后再重新开启。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Client漫游中心视图。

client roaming-center

(3)     在Client漫游中心上指定WLAN漫游中心的IP地址。

wlan-roaming-center ip ip-address

缺省情况下，未在Client漫游中心上指定WLAN漫游中心的IP地址。

(4)     在Client漫游中心上指定WLAN漫游中心的UDP端口号。

wlan-roaming-center port port-number

缺省情况下，WLAN漫游中心的UDP端口号为1088。

1.5  配置Client漫游中心接收响应报文的超时时间

1. 功能简介

Client漫游中心会向WLAN漫游中心发送用户信息同步报文、保活报文等，WLAN漫游中心收到报文后会发送响应报文，如果Client漫游中心未在配置的超时时间内收到响应报文，会重新发送相关报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Client漫游中心视图。

client roaming-center

(3)     配置Client漫游中心接收WLAN漫游中心响应报文的超时时间。

response-timeout timeout

缺省情况下，Client漫游中心接收WLAN漫游中心响应报文的超时时间为3秒。

1.6  配置Client漫游中心发送请求报文的最大尝试次数

1. 功能简介

Client漫游中心会向WLAN漫游中心发送用户信息同步报文、保活报文等，WLAN漫游中心收到报文后会发送响应报文，如果Client漫游中心未在配置的超时时间内收到响应报文，会重新发送相关报文。如果达到最大尝试次数后，Client漫游中心仍未收到响应报文，将认为本次请求失败，但不会删除用户信息。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Client漫游中心视图。

client roaming-center

(3)     配置Client漫游中心向WLAN漫游中心发送报文的最大尝试次数。

retry retries

缺省情况下，Client漫游中心向WLAN漫游中心发送报文的最大尝试次数为5次。

1.7  配置地址安全表项老化时间

1. 功能简介

地址安全表项用来记录用户信息，包括用户MAC地址、IP地址和用户名等关键信息。用户上线时由Client漫游中心自动创建并记录地址安全表项。地址安全表项老化后，会自动删除。

2. 配置限制和指导

地址安全表项老化时间建议配置为不大于客户端向DHCP服务器申请的IP地址租约有效期。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入Client漫游中心视图。

client roaming-center

(3)     配置地址安全表项的老化时间。

address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }

缺省情况下，IPv4地址安全表项的老化时间为14400秒，IPv6地址安全表项的老化时间为604800秒。

1.8  Client漫游中心典型配置举例

1.8.1  WLAN地址安全配置举例

1. 组网需求

如图1-2所示，AC 1作为WLAN漫游中心，AC 2和AC 3作为Client漫游中心，Client通过AP在AC 2上进行802.1X认证并接入，要求Client在AC 2和AC 3上每次接入都进行地址安全检查。

2. 组网图

图1-2 WLAN地址安全组网图

3. 配置AC 1

# 创建WLAN漫游中心，并进入WLAN漫游中心视图。

<AC1> system-view

[AC1] wlan roaming-center

# 开启WLAN漫游中心功能。

[AC1-wlan-roaming-center] roaming-center enable

[AC1-wlan-roaming-center] quit

4. 配置AC 2

(1)     配置设备各接口的IP地址，保证启动无线802.1X认证之前服务器和AC之间的路由可达，具体配置步骤略。

(2)     配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<AC2> system-view

[AC2] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[AC2-radius-rs1] primary authentication 192.168.0.112

[AC2-radius-rs1] primary accounting 192.168.0.112

[AC2-radius-rs1] key authentication simple radius

[AC2-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[AC2-radius-rs1] user-name-format without-domain

[AC2-radius-rs1] quit

(3)     配置认证域

# 创建并进入名字为dm1的ISP域。

[AC2] domain dm1

# 配置ISP域的AAA方法。

[AC2-isp-dm1] authentication lan-access radius-scheme rs1

[AC2-isp-dm1] authorization lan-access radius-scheme rs1

[AC2-isp-dm1] accounting lan-access radius-scheme rs1

[AC2-isp-dm1] quit

(4)     配置802.1X认证

# 配置802.1X认证方式为EAP。

[AC2] dot1x authentication-method eap

# 创建手工AP，名称为ap2，选择AP型号并配置序列号。

[AC2] wlan ap ap2 model WA4320i-ACN

[AC2-wlan-ap-ap2] serial-id 210235A29G007C000020

[AC2-wlan-ap-ap2] quit

# 配置无线服务模板，SSID为AddrSec。

[AC2] wlan service-template newst

[AC2–wlan-st-newst] ssid AddrSec

# 在无线服务模板newst上配置RSN+802.1X认证。

[AC2–wlan-st-newst] client-security authentication-mode dot1x

[AC2–wlan-st-newst] akm mode dot1x

[AC2–wlan-st-newst] cipher-suite ccmp

[AC2–wlan-st-newst] security-ie rsn

[AC2–wlan-st-newst] dot1x domain dm1

# 开启地址安全功能。

[AC2–wlan-st-newst] address-security enable

# 开启无线服务模板newst。

[AC2–wlan-st-newst] service-template enable

[AC2–wlan-st-newst] quit

# 配置射频，指定工作信道为11。

[AC2] wlan ap ap2

[AC2-wlan-ap-ap2] radio 2

[AC2-wlan-ap-ap2-radio-2] channel 11

# 开启射频功能，将无线服务模板newst绑定到Radio2上。

[AC2-wlan-ap-ap2-radio-2] radio enable

[AC2-wlan-ap-ap2-radio-2] service-template newst

[AC2-wlan-ap-ap2-radio-2] quit

[AC2-wlan-ap-ap2] quit

(5)     配置Client漫游中心

# 创建Client漫游中心，并进入Client漫游中心视图。

[AC2] client roaming-center

# 指定WLAN漫游中心的IP地址。

[AC2-client-roaming-center] ip 192.168.1.1

# 开启Client漫游中心功能。

[AC2-client-roaming-center] roaming-center enable

[AC2-client-roaming-center] quit

5. 配置AC 3

AC 3的配置与AC 2相同，请参见配置AC 2。

6. 配置AAA服务器

完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行，具体配置步骤略。

7. 验证配置

Client在AC 2上通过dot1x认证模式上线。

# 在 AC2查看认证客户端

<AC2> display dot1x connection

Total connections: 1

User MAC address                   : 9cd3-6d9e-6742

AP name                            : ap1

Radio ID                           : 1

SSID                               : roam-relay

BSSID                              : 487a-da52-d321

Username                           : rsn4x

Authentication domain              : imc

IPv4 address                       : 126.0.0.12

IPv6 address                       : 2000:1000:1020::2

Authentication method              : EAP

Initial VLAN                       : 1

Authorization VLAN                 : 1

Authorization ACL number           : N/A

Authorization user profile         : N/A

Authorization CAR                  : N/A

Termination action                 : N/A

Session timeout last from          : N/A

Session timeout period             : N/A

Online from                        : 2020/06/06 13:23:31

Online duration                    : 0h 0m 20s

# 在 AC 2上查看地址安全生成的本地MAC地址表项。

[AC2] probe

[AC2-probe] display system internal wlan address-security local-cache mac

Total number of MACs: 1

MAC address    User name            Duration

9cd3-6d9e-6742 rsn4x                0days 0hours 0minutes 42seconds

# 在 AC 2上查看地址安全生成的本地IP地址表项。

[AC2-probe] display system internal wlan address-security cache ip

Total number of IPs: 2

IP address                              User name            MAC address

126.0.0.12                              rsn4x                9cd3-6d9e-6742

2000:1000:1020::2                       rsn4x                9cd3-6d9e-6742

# 在 AC 1上查看Client漫游中心同步给WLAN漫游中心的MAC地址表项。

[AC1] probe

[AC1-probe] display system internal wlan address-security cache mac

Total number of MACs: 1

MAC address    User name            Duration

9cd3-6d9e-6742 rsn4x                0days 0hours 1minutes 7seconds

# 在 AC 1上查看Client漫游中心同步给WLAN漫游中心的IP地址表项。

[AC1] probe

[AC1-probe] display system internal wlan address-security cache ip

Total number of IPs: 2

IP address                              User name            MAC address

126.0.0.12                              rsn4x                9cd3-6d9e-6742

2000:1000:1020::2                       rsn4x                9cd3-6d9e-6742