• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-WLAN漫游配置指导

目录

02-WLAN漫游中心配置

本章节下载 02-WLAN漫游中心配置  (292.19 KB)

02-WLAN漫游中心配置


1 WLAN漫游中心

1.1  WLAN漫游中心简介

WLAN漫游中心是无线Portal用户漫游信息以及无线用户地址信息的管理中心,用于支持无线Portal用户漫游、WLAN地址安全以及客户端漫游后的IP地址恢复。

·     无线Portal用户漫游是指,Portal用户从一台AC漫游到另一台AC,无须重新进行认证即可在新AC上继续访问原来的网络资源。关于Portal支持AC间漫游的详细介绍,请参见“用户接入与认证配置指导”中的“Portal”。

·     WLAN地址安全是指,WLAN漫游中心与Client漫游中心相配合,对上线用户的MAC地址和IP地址进行检查,阻止仿冒用户上线。关于Client漫游中心的详细介绍,请参见“WLAN漫游配置指导”中的“Client漫游中心”。

·     IP地址恢复是指,客户端漫游到新的AP后,如果在一定时间内没有通过DHCP/DHCPv6/ND获取到新的IP地址,则使用漫游前的IP地址接入漫游后的网络。关于IP地址恢复功能,请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。

1.1.1  WLAN漫游中心支持Portal用户AC间漫游工作流程

WLAN漫游中心在网络中的位置如图1-1所示。

图1-1 无线Portal用户AC间漫游示意图

 

具体工作流程如下:

(1)     Client在AC 1上第一次上线。

AC 1首先向WLAN漫游中心发送用户查询报文,WLAN漫游中心未查到用户,会给AC 1发送查询回应报文通知没有查到用户,此时Client在AC 1上进行Portal认证流程,Portal认证成功后,AC 1会向WLAN漫游中心发送上线报文通知用户已经上线,上线报文中会携带AAA服务器下发的授权信息。WLAN漫游中心收到上线报文后,会建立一个用户表项,包含用户的IP地址、MAC地址、上线接入设备列表、授权信息、漫游信息,然后向AC 1发送上线回应报文。

(2)     Client漫游到AC 2。

Client从AC 1漫游到AC 2时,AC 2首先会向WLAN漫游中心发送用户查询报文,WLAN漫游中心查询到用户,会给AC 2发送查询回应报文通知查到用户,回应报文中携带Client在AC 1上线获得的授权信息。AC 2收到查询回应报文后,直接允许用户上线,不再进行Portal认证。Client在AC 2上线完成后,AC 2会向WLAN漫游中心发送上线报文。WLAN漫游中心收到上线报文后,更新用户表项中的漫游信息,并向AC 2发送上线回应报文。

(3)     Client下线。

¡     Client主动下线

无论Client漫游到网络中的任何设备,Client会在第一次上线的设备AC 1上开始下线流程。AC 1删除用户,同时向WLAN漫游中心发送用户下线报文,WLAN漫游中心收到用户下线报文后,会将AC 1从用户表项中的上线设备列表中删除,并向上线设备列表中的其他设备发送用户下线报文。AC 2收到WLAN漫游中心发送的用户下线报文,删除Portal用户表项,并向WLAN漫游中心发送用户下线回应报文。

¡     Client被强制下线

当Client在AC 2上被强制下线时,AC 2会向WLAN漫游中心发送用户下线报文,WLAN漫游中心收到用户下线报文后,会将AC 2从用户表项中的上线设备列表中删除,并向AC 2发送用户下线回应报文。

导致用户强制下线的原因主要包括:

-     管理员手工执行强制下线命令行。

-     AP下线。

-     用户的DHCP租约到期。

-     AAA授权属性中的用户闲置切断时间或用户会话超时时间超时。

-     在AAA服务器上直接下线。

1.1.2  WLAN地址安全工作流程

图1-2所示组网中,一台AC作为WLAN漫游中心,根据Client漫游中心提供的信息建立用户MAC地址表项和IP地址表项以及用户黑名单表项,并向Client漫游中心提供查询服务;另一台AC作为Client漫游中心,用来配置WLAN地址安全功能,对仿冒用户进行识别并拒绝仿冒用户上线。

图1-2 WLAN地址安全组网示意图

 

WLAN地址安全的具体工作流程如下:

(1)     Client漫游中心收到Client上线通知后,查询本地是否存在对应的MAC地址表项和IP地址表项:

¡     若不存在,则向WLAN漫游中心发送冲突查询报文:

-     如果WLAN漫游中心未查询到冲突,则向Client漫游中心回应检查通过报文,WLAN漫游中心和Client漫游中心会生成MAC地址表项和IP地址表项,然后对Client开始计费。

-     如果WLAN漫游中心查询到冲突,则检查仿冒黑名单。如果原用户和仿冒用户都在或都不在仿冒名单里,则向Client漫游中心发送回应报文,Client漫游中心会将两者加入本地黑名单,拒绝两者上线,如果只有一个在仿冒名单里,则拒绝仿冒名单里的用户上线。

¡     若存在,则执行以下流程:

-     如果查询到对应的IP地址表项,则判断用户名是否相同:用户名相同,则会把之前上线的Client踢下线,更新本地MAC地址表项和IP地址表项,并通知WLAN漫游中心更新相关表项,同时把之前的MAC地址加入MAC地址黑名单。用户名不相同,则会把两个都加入MAC地址黑名单,都会踢下线,在生存时间内都不允许上线。

-     如果查询到对应的MAC地址表项,则去WLAN漫游中心查询手动配置的地址仿冒用户黑名单表项,并将黑名单中的用户踢下线。当WLAN漫游中心查询到对应的MAC地址表项时会通知本地查询结果,并自动生成一个用户黑名单,用户黑名单包含了用户名和MAC地址,在表项老化之前会拒绝仿冒用户接入。

(2)     当Client的IP地址发生变化时,会再次触发上述查询流程。

1.2  WLAN漫游中心与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

产品代码

说明

WX1800H系列

WX1804H-PWR

EWP-WX1804H-PWR-CN

不支持

WX2500H系列

WX2508H-PWR-LTE

WX2510H-PWR

WX2510H-F-PWR

WX2540H

WX2540H-F

WX2560H

EWP-WX2508H-PWR-LTE

EWP-WX2510H-PWR

EWP-WX2510H-F-PWR

EWP-WX2540H

EWP-WX2540H-F

EWP-WX2560H

不支持

MAK系列

MAK204

MAK206

EWP-MAK204

EWP-MAK206

不支持

WX3000H系列

WX3010H

WX3010H-X-PWR

WX3010H-L-PWR

WX3024H

WX3024H-L-PWR

WX3024H-F

EWP-WX3010H

EWP-WX3010H-X-PWR

EWP-WX3010H-L-PWR

EWP-WX3024H

EWP-WX3024H-L-PWR

EWP-WX3024H-F

不支持

WX3500H系列

WX3508H

WX3508H

WX3510H

WX3510H

WX3520H

WX3520H-F

WX3540H

WX3540H

EWP-WX3508H

EWP-WX3508H-F

EWP-WX3510H

EWP-WX3510H-F

EWP-WX3520H

EWP-WX3520H-F

EWP-WX3540H

EWP-WX3540H-F

不支持

WX5500E系列

WX5510E

WX5540E

EWP-WX5510E

EWP-WX5540E

EWP-WX5510E不支持

EWP-WX5540E支持

WX5500H系列

WX5540H

WX5560H

WX5580H

EWP-WX5540H

EWP-WX5560H

EWP-WX5580H

支持

AC插卡系列

LSUM1WCME0

EWPXM1WCME0

LSQM1WCMX20

LSUM1WCMX20RT

LSQM1WCMX40

LSUM1WCMX40RT

EWPXM2WCMD0F

EWPXM1MAC0F

LSUM1WCME0

EWPXM1WCME0

LSQM1WCMX20

LSUM1WCMX20RT

LSQM1WCMX40

LSUM1WCMX40RT

EWPXM2WCMD0F

EWPXM1MAC0F

LSUM1WCME0支持

EWPXM1WCME0支持

LSQM1WCMX20不支持

LSUM1WCMX20RT不支持

LSQM1WCMX40支持

LSUM1WCMX40RT支持

EWPXM2WCMD0F不支持

EWPXM1MAC0F支持

 

产品系列

产品型号

产品代码

说明

WX1800H系列

WX1804H-PWR

WX1810H-PWR

WX1820H

WX1840H

EWP-WX1804H-PWR

EWP-WX1810H-PWR

EWP-WX1820H

EWP-WX1840H-GL

不支持

WX3800H系列

WX3820H

WX3840H

EWP-WX3820H-GL

EWP-WX3840H-GL

支持

WX5800H系列

WX5860H

EWP-WX5860H-GL

支持

 

1.3  WLAN漫游中心配置任务简介

1.3.1  Portal用户AC间漫游配置任务简介

·     开启WLAN漫游中心功能

·     指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号

·     (可选)配置WLAN漫游中心接收响应报文的超时时间

·     (可选)配置WLAN漫游中心发送用户下线报文的最大尝试次数

1.3.2  WLAN地址安全配置任务简介

·     开启WLAN漫游中心功能

·     开启WLAN地址安全功能

·     指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号

·     (可选)配置WLAN漫游中心接收响应报文的超时时间

·     (可选)配置WLAN地址安全表项的老化时间

·     (可选)配置地址仿冒用户黑名单

1.3.3  IP地址恢复配置任务简介

·     开启IP地址恢复功能

请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。

·     (可选)配置客户端IP地址缓存表项的老化时间

1.4  开启WLAN漫游中心功能

1. 配置限制和指导

Portal用户AC间漫游时,漫入和漫出的AC必须都开启Portal漫游中心功能且组网中有一台AC开启WLAN漫游中心功能,Portal用户才能在AC间漫游。关闭WLAN漫游中心功能,会清除所有无线Portal用户信息。

一个网络中只能配置一台AC作为WLAN漫游中心。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建WLAN漫游中心,并进入WLAN漫游中心视图。

wlan roaming-center

(3)     开启WLAN漫游中心功能。

roaming-center enable

缺省情况下,WLAN漫游中心功能处于关闭状态。

1.5  指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号

1. 功能简介

WLAN漫游中心上可以指定与Portal漫游中心或Client漫游中心进行报文交互的IP地址和UDP端口号。未在WLAN漫游中心上指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号时,WLAN漫游中心会处理所有Portal漫游中心或Client漫游中心发送的报文,允许所有Portal漫游中心或Client漫游中心接入,指定了Portal漫游中心或Client漫游中心的IP地址后,只有指定的Portal漫游中心或Client漫游中心可以接入,未指定的Portal漫游中心或Client漫游中心不允许接入,以防止非法设备接入对网络造成恶意攻击。

2. 配置限制和指导

WLAN漫游中心的UDP端口号需要和Portal漫游中心或Client漫游中心视图下配置的UDP端口号保持一致。

有Portal用户在线时,修改WLAN漫游中心的UDP端口号,可能会导致Portal漫游中心和WLAN漫游中心数据不同步,从而使用户漫游失败,此时用户需要重新进行Portal认证才能上线。

修改WLAN漫游中心的UDP端口号时,建议先关闭WLAN漫游中心功能,再重新开启,防止用户数据残留。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     指定WLAN漫游中心与Portal漫游中心或Client漫游中心交互报文的IP地址。

control-access { bas-ip ipv4-address | bas-ipv6 ipv6-address }

缺省情况下,未指定与Portal漫游中心或Client漫游中心交互报文的IP地址。

(4)     指定WLAN漫游中心与Portal漫游中心或Client漫游中心交互报文的UDP端口号。

port port-number

缺省情况下,与Portal漫游中心或Client漫游中心交互报文的UDP端口号为1088。

1.6  配置WLAN漫游中心接收响应报文的超时时间

1. 功能简介

在Portal用户AC间漫游组网中,Portal用户在下线时会通知所在的Portal漫游中心,然后由该Portal漫游中心通知WLAN漫游中心,再由WLAN漫游中心发送用户下线报文通知其它Portal漫游中心,其它Portal漫游中心收到报文后需要在超时时间内回复响应报文。若WLAN漫游中心在超时时间内未收到响应报文且超过Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数,则会删除超时定时器。

在WLAN地址安全组网中,WLAN漫游中心会给Client漫游中心发送MAC地址表项和IP地址表项老化查询请求报文,如果在超时时间内未收到响应报文,则MAC地址表项和IP地址表项会老化。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置WLAN漫游中心接收响应报文的超时时间。

response-timeout timeout

缺省情况下,WLAN漫游中心接收响应报文的超时时间为3秒。

1.7  配置WLAN漫游中心发送用户下线报文的最大尝试次数

1. 功能简介

Portal用户下线时,WLAN漫游中心会向该用户上线的Portal漫游中心以外的其它Portal漫游中心发送用户下线报文,其它Portal漫游中心收到报文后会发送响应报文,如果WLAN漫游中心未在超时时间(由response-timeout配置)内收到响应报文,会按照配置的最大尝试次数重新发送用户信息报文。如果达到最大尝试次数后,WLAN漫游中心仍未收到响应报文,则不会删除用户信息。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置WLAN漫游中心发送用户下线报文的最大尝试次数。

retry retries

缺省情况下,WLAN漫游中心发送用户下线报文的最大尝试次数为5次。

1.8  开启WLAN地址安全功能

1. 功能简介

设备开启WLAN地址安全功能后,会检查从无线服务模板下接入的用户是否存在MAC地址和IP地址仿冒的问题,如果判定用户地址被仿冒,则会将该用户加入黑名单,并将原用户和仿冒用户都踢下线。

2. 配置限制和指导

WLAN地址安全功能仅在无线用户接入认证模式为802.1X认证时生效。

WLAN地址安全功能仅对新上线的用户生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启地址安全功能。

address-security enable

缺省情况下,地址安全功能处于关闭状态。

1.9  配置WLAN地址安全表项的老化时间

1. 功能简介

地址安全表项用来记录用户信息,包括用户MAC地址、IP地址和用户名等关键信息。此表项由Client漫游中心同步而来。关于Client漫游中心的详细介绍,请参见“WLAN漫游配置指导”中的“Client漫游中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置地址安全表项的老化时间。

address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }

缺省情况下,IPv4地址安全表项的老化时间为14400秒,IPv6地址安全表项的老化时间为604800秒。

1.10  配置地址仿冒用户黑名单

1. 功能简介

设备检测到仿冒MAC地址或IP地址后,会将原用户和仿冒用户都踢下线并产生日志信息,网络管理员通过日志信息发现仿冒后可以在WLAN漫游中心上将仿冒地址用户的用户名加入黑名单,让原用户重新上线,从而防止仿冒用户再次仿冒上线对原用户造成影响。

2. 配置限制和指导

最多可以配置5000条用户黑名单,超过后必须手动删除已有的黑名单才能配置新的黑名单。

地址仿冒用户黑名单必须配置在WLAN漫游中心上才能生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN地址安全视图。

wlan address-security

(3)     创建址仿冒用户黑名单。

spoofing-attack blacklist username username

缺省情况下,未创建地址仿冒用户黑名单。

1.11  配置客户端IP地址缓存表项的老化时间

1. 功能简介

开启IP地址恢复功能后,当客户端漫游离开原AP时,AC会将客户端的IP地址和MAC地址等信息上报给WLAN漫游中心,WLAN漫游中心将建立客户端IP地址缓存表项。当客户端IP地址缓存表项到达老化时间时,WLAN漫游中心将删除表项。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置客户端IP地址缓存表项的老化时间。

client ip-cache aging-time aging-time

缺省情况下,客户端IP地址缓存表项的老化时间为1800秒。

1.12  WLAN漫游中心显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN漫游中心的运行情况,通过查看显示信息验证配置的效果。

表1-1 WLAN漫游中心显示和维护

操作

命令

显示WLAN漫游中心下线用户的历史信息

display wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

显示WLAN漫游中心的报文统计信息

display wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ]

显示WLAN漫游中心的用户信息

display wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } [ verbose ]

清除WLAN漫游中心用户的历史信息

reset wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

清除WLAN漫游中心的报文统计信息

reset wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ]

清除WLAN漫游中心设备上的用户信息

reset wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们