09-WLAN高级功能配置
本章节下载: 09-WLAN高级功能配置 (982.48 KB)
在实际的无线组网中,经常会出现信号干扰或报文冲突等问题,而这一类的问题通常很难通过无线设备上的调试信息或显示信息进行定位。为了便于管理员能够在远程快速定位此类问题,可以将AP作为抓包工具,用于侦听、捕获和记录无线报文。捕获到的无线报文信息会保存在文件类型为“.dmp”的记录文件中,供管理员参考及定位问题使用。
如图1-1所示,通过开启Capture AP上的无线捕获功能,可以侦听网络中的无线报文,管理员可以将记录文件下载到PC上,然后对得到的结果进行进一步分析。
· 基于射频的无线捕获:在AP的Radio上开启此功能,该Radio能够在工作信道上捕获其能监听到的所有报文(包括控制报文、管理报文和数据报文)。
· 基于客户端的无线捕获:该方式主要用于捕获指定客户端发送和接收到的与客户端上线或状态更新相关的管理、控制与数据报文。
图1-1 无线捕获组网图
· 以自动发现方式关联的AP不支持无线捕获功能。
· 在启动捕获操作前,AP必须处于Run状态。并且只有在手工指定工作信道的射频上才允许启动捕获。
· 在捕获过程中,不允许通过命令work-mode monitor或device-detection enable修改AP的工作模式。
· 对于需要开启无线捕获的射频,建议不要在该射频上开启其它业务。因此在开启无线捕获前,建议关闭无线服务、Mesh服务等业务,同时在无线捕获过程中,也不要开启上述业务。
· 创建二层ACL,设置ACL规则来匹配需要捕获的客户端的MAC地址,匹配动作应该为permit。只支持源MAC地址的匹配,不支持目地MAC匹配。有关ACL的详细配置介绍,请参见“ACL和QoS配置指导”中的“ACL”。需要注意的是,目前只支持在ACL规则中配置源MAC地址来匹配指定的客户端。
配置AP捕获报文的上限数量 |
缺省情况下,AP捕获报文的上限数量为10000 |
||
配置AP捕获报文的记录文件名 |
缺省情况下,AP捕获报文的文件名为“CaptureRecord” · 记录文件名的文件类型为“.dmp”,不可以配置 |
||
在捕获过程中,若处于捕获状态的射频被关闭,则捕获操作会自动停止,并在设备的默认存储中将已捕获到的报文保存在指定的记录文件中。设备的默认存储与设备的型号有关,请以设备的实际情况为准 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后无线捕获的运行情况,通过查看显示信息验证配置的效果。
表1-2 WLAN捕获显示与维护
显示进行无线捕获的AP的相关信息 |
display wlan capture [ | { begin | exclude | include } regular-expression ] |
在如下图所示的无线环境中有时会出现信号干扰或报文冲突等问题,为了方便管理员对问题进行定位,需要在一个AP上开启无线捕获功能。捕获到的无线报文信息会保存在文件类型为“.dmp”的记录文件中,供管理员参考及定位问题使用。
在启动捕获操作前,AP必须为普通模式并处于Run状态,具体配置步骤可参见“WLAN配置指导”中的“WLAN接入”。并且,只有手工配置工作信道的射频才允许启动捕获。本例中手工指定用于捕获的工作信道为11。
在AC上完成无线服务的相关配置,具体配置步骤可参见“WLAN配置指导”中的“WLAN接入”,此处不再重复。
# 在AP(名为“captureap”)的Radio 2上开启基于射频的无线捕获功能。
[AC] wlan capture start ap captureap radio 2
# 显示正在进行无线捕获的AP的相关信息,可以看到该AP上的Radio 2正在捕获报文。
WLAN Capture
--------------------------------------------------------------------------------
AP Name : captureap
Radio : 2
Radio Mode : 802.11g
Channel : 11
Capture Limit : 10000
File Name : CaptureRecord.dmp
Status : Capturing
--------------------------------------------------------------------------------
在如下图所示的无线环境中开启基于客户端的无线捕获功能,跟踪两个指定客户端,并将捕获的报文信息保存在文件类型为“.dmp”的记录文件中,供管理员参考及定位问题使用。
在AC上完成无线服务的相关配置,具体配置步骤可参见“WLAN配置指导”中的“WLAN接入”,此处不再重复。
[AC] acl number 4400
[AC-acl-ethernetframe-4400] rule permit source-mac 0014-6c8a-43ff FFFF-FFFF-FFFF
[AC-acl-ethernetframe-4400] rule permit source-mac 0040-96b3-8a77 FFFF-FFFF-FFFF
[AC-acl-ethernetframe-4400] quit
[AC] wlan capture start client acl 4400
# 显示基于客户端的无线捕获功能。
WLAN Capture
--------------------------------------------------------------------------------
Capture Type : Client
ACL : 4400
Capture Limit : 10000
File Name : CaptureRecord.dmp
Status : Capturing
--------------------------------------------------------------------------------
通常情况下,可以通过终端连接到AP之后,对FIT AP进行配置,但这种逐台配置FIT AP的操作方式不利于大规模的FIT AP部署以及集中化管理。AP预配置提供了一种在AC上对FIT AP的基本网络参数进行配置,并将配置信息下发至FIT AP的方法。下发到FIT AP的配置会在AP上保存为私有配置文件,当FIT AP重启时,私有配置文件生效。需要注意的是,AC只能将配置信息发送给与它建立隧道连接(即当前处于Run状态)的FIT AP。
对于已经和AC建立连接的AP,在AC上更改AP预配置信息后,需要将AP预配置信息保存到AP的私有配置文件中,再重启AP,更改后的配置信息才会生效。
表2-1 配置AP网络参数
配置AC的全局IP地址,使所有AP能够静态发现AC |
wlan ap-provision ac { host-name host-name | ip ip-address | ipv6 ipv6-address } |
缺省情况下,没有配置AC的全局IP地址 |
配置AP使用的域名服务器的全局IP地址 |
wlan ap-provision dns server { ip ip-address | ipv6 ipv6-address } |
缺省情况下,没有配置AP使用的域名服务器的全局IP地址 |
配置AP使用的域名服务器的全局域名后缀 |
缺省情况下,没有配置AP使用的域名服务器的全局域名后缀 |
|
设置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
创建并进入AP配置视图 |
· 创建AP配置视图后,设备会自动配置vlan untagged 1命令 · 该命令同时开启AP预配置功能 · 以自动发现方式关联的AP,不能进行AP预配置信息的配置 |
|
配置MESH零配置扫描时AP使用的初始国家码 |
initial-country-code code |
可选 缺省情况下,没有配置MESH零配置扫描时AP使用的初始国家码 |
配置AC的IP地址,使指定AP能够静态发现AC |
ac { host-name host-name | ip ip-address | ipv6 ipv6-address } |
缺省情况下,没有配置AC的IP地址 AC的IPv6地址不能配置为链路本地地址 wlan ap-provision ac命令对所有AP生效,AP配置视图下的ac命令只对指定的AP生效,如果都进行了配置,则优先采用AP配置视图下的配置 |
配置AP使用的域名服务器的IP地址 |
缺省情况下,没有配置AP使用的域名服务器的IP地址 wlan ap-provision dns server命令对所有AP生效,AP配置视图下的dns server命令只对指定的AP生效,如果都进行了配置,则优先采用AP配置视图下的配置 |
|
配置AP使用的域名服务器的域名后缀 |
缺省情况下,没有配置AP使用的域名服务器的域名后缀 wlan ap-provision dns domain命令对所有AP生效,AP配置视图下的dns domain命令只对指定的AP生效,如果都进行了配置,则优先采用AP配置视图下的配置 |
|
配置AP上二层以太网接口的缺省VLAN ID |
缺省情况下,AP上二层以太网接口的缺省VLAN ID为1 |
|
在AP二层以太网接口上配置需要携带Tag的VLAN列表 |
vlan tagged vlan-id-list |
缺省情况下,AP的二层以太网接口上不存在Tagged的VLAN |
在AP二层以太网接口上配置不需要携带Tag的VLAN列表 |
vlan untagged vlan-id-list |
缺省情况下,AP的二层以太网接口上的Untagged VLAN为1 |
配置AP的管理VLAN接口的IP地址 |
缺省情况下,没有配置AP的管理VLAN接口的IP地址 |
|
配置AP的管理VLAN接口的IPv6地址 |
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
缺省情况下,没有配置AP的管理VLAN接口的IPv6地址 目前,AP的管理VLAN只能配置为VLAN1 |
配置AP的网关地址 |
缺省情况下,没有配置AP的网关地址 |
|
配置AP使用IPsec密钥加密控制隧道 |
tunnel encryption ipsec pre-shared-key { cipher | simple } key |
缺省情况下,AP不对控制隧道进行加密 此命令用于配置“IPsec加密AC与AP间隧道”功能,关于IPsec加密AC与AP间隧道的详细配置步骤请参见“WLAN配置指导”中的“WLAN接入” |
配置AP使用IPsec密钥加密数据隧道 |
缺省情况下,AP不对数据隧道进行加密 此命令用于配置“IPsec加密AC与AP间隧道”功能,关于IPsec加密AC与AP间隧道的详细配置步骤请参见“WLAN配置指导”中的“WLAN接入” |
|
将AP预配置信息同步到指定AP的私有配置文件中 |
该命令仅对当前处于Run状态的AP生效 关于该命令的使用注意事项请参见“WLAN命令参考”中的“WLAN高级功能” |
|
退出AP配置视图 |
quit |
- |
配置自动恢复空配置启动功能 |
provision auto-recovery enable |
可选 缺省情况下,自动恢复空配置启动功能处于开启状态 |
删除指定AP上的私有配置文件 |
该命令仅对当前处于Run状态的AP生效 |
可以在任意视图执行save wlan ap provision和reset wlan ap provision命令。
随着WLAN的应用部署越来越广泛,对于AP的接入安全性也越来越高。由于AP是直接接收无线射频信号的,一般部署在外面,因此存在有仿冒的AP直接接入的可能。为了防止Rogue AP接入网络,在AP的接入设备上开启802.1X认证,只有合法的AP才能接入到AC,因此要求AP需要具有802.1X的客户端功能。
在AP的接入设备上开启802.1X认证之前,需要确保AC和AP建立隧道连接,在AC上通过预配置命令将AP作为802.1X客户端认证所需的配置信息下发保存到AP的私有配置文件中,然后在AP的接入设备上开启802.1X认证,再重启AP,让AP进行认证接入。
表2-2 配置AP支持802.1X客户端认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置AP名称和型号名称,并进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 只有在AP模板被创建时才定义型号名称 |
创建并进入AP配置视图 |
provision |
- · 创建AP配置视图后,设备会自动配置vlan untagged 1命令 · 该命令同时开启AP预配置功能 · 以自动发现方式关联的AP,不能进行AP预配置信息的配置 |
配置AP作为802.1X客户端的认证用户名 |
dot1x supplicant username username |
必选 缺省情况下,没有配置AP作为802.1X客户端的认证用户名 |
配置AP作为802.1X客户端的认证密码 |
dot1x supplicant password { simple | cipher } |
必选 缺省情况下,没有配置AP作为802.1X客户端的认证密码 |
配置AP作为802.1X客户端时采用的认证方法 |
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 } |
可选 缺省情况下,没有配置AP作为802.1X客户端时采用的认证方法 开启AP以太网接口下802.1X客户端功能后,默认采用MD5方式进行认证。 |
配置开启AP以太网接口下802.1X客户端功能 |
dot1x supplicant enable |
必选 缺省情况下,没有在AP的以太接口下开启的802.1X客户端功能 |
在AC 1上设置AP的预配置信息,使AC 1通过隧道将配置信息下发至AP 1和AP 2。下发的配置信息如下:
· AP 1和AP 2的IP地址分别为1.1.1.1/24和1.1.1.2/24。
· AP 1和AP 2能够静态发现AC 2(IP地址为2.2.2.1/24)。
· AP 1和AP 2作为802.1X客户端认证时的用户名为test,密码为test,认证方法为peap-mschapv2,并开启AP 1和AP 2的以太网接口下的802.1X客户端功能。
图2-1 AP预配置组网图
AC 1只能将配置信息发送给与它建立了隧道连接(即当前处于运行状态)的FIT AP,所以在AC 1上配置AP预选配置信息前,需要使AP 1、AP 2和AC 1之间已经建立隧道,确保AP 1和AP 2处于运行状态,同时保证AC2与1.1.1.0/24网段路由可达。
(1) 配置Switch
# 在Switch上开启802.1X功能,具体配置请参见交换机的相关手册。
(2) 配置AC 1
# 配置AP 1和AP 2能够静态发现IP地址为2.2.2.1的AC 2。
[AC1] wlan ap-provision ac ip 2.2.2.1
# 进入AP 1的配置视图,配置AP 1的管理VLAN接口1的IP地址为1.1.1.1。
[AC1] wlan ap ap1 model WA3628i-AGN
[AC1-wlan-ap-ap1] provision
[AC1-wlan-ap-ap1-prvs] ip address 1.1.1.1 24
# 配置AP1作为802.1X客户端认证时的用户名为test,密码为test,认证方法为peap-mschapv2,并开启AP 1的以太网接口下的802.1X客户端功能。
[AC1-wlan-ap-ap1-prvs] dot1x supplicant username test
[AC1-wlan-ap-ap1-prvs] dot1x supplicant password simple test
[AC1-wlan-ap-ap1-prvs] dot1x supplicant eap-method peap-mschapv2
[AC1-wlan-ap-ap1-prvs] dot1x supplicant enable
[AC1-wlan-ap-ap1-prvs] quit
[AC1-wlan-ap-ap1] quit
# 进入AP 2的配置视图,配置AP 2的管理VLAN接口1的IP地址为1.1.1.2。
[AC1] wlan ap ap2 model WA3628i-AGN
[AC1-wlan-ap-ap2] provision
[AC1-wlan-ap-ap2-prvs] ip address 1.1.1.2 24
# 配置AP2作为802.1X客户端认证时的用户名为test,密码为test,认证方法为peap-mschapv2,并开启AP 2的以太网接口下的802.1X客户端功能。
[AC1-wlan-ap-ap2-prvs] dot1x supplicant username test
[AC1-wlan-ap-ap2-prvs] dot1x supplicant password simple test
[AC1-wlan-ap-ap2-prvs] dot1x supplicant eap-method peap-mschapv2
[AC1-wlan-ap-ap2-prvs] dot1x supplicant enable
# 将AP配置视图下的配置信息保存到AP 1和AP 2的私有配置文件中。
[AC1-wlan-ap-ap2-prvs] save wlan ap provision all
# 手动重启AP 1和AP 2,使下发的配置信息生效。
<AC1> reset wlan ap name ap2
# 创建WLAN ESS接口。
[AC2] interface wlan-ess 1
[AC2-WLAN-ESS1] quit
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid service
[AC21-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 创建AP模板,名称为ap1,型号名称选择WA3628i-AGN,该AP的序列号为210235A29G007C000020。
[AC2] wlan ap ap1 model WA3628i-AGN
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] description L3office
# 配置2.4G射频,指定工作信道为11。
[AC2-wlan-ap-ap1] radio 2 type dot11gn
[AC2-wlan-ap-ap1-radio-2] channel 11
[AC2-wlan-ap-ap1-radio-2] service-template 1
[AC2-wlan-ap-ap1-radio-2] radio enable
[AC2-wlan-ap-ap1-radio-2] return
# 创建AP模板,名称为ap2,型号名称选择WA3628i-AGN,该AP的序列号为210235A29G007C000021。
<AC2>system-view
[AC2] wlan ap ap2 model WA3628i-AGN
[AC2-wlan-ap-ap2] serial-id 210235A29G007C000021
[AC2-wlan-ap-ap2] description L3office
# 配置2.4G射频,指定工作信道为11。
[AC2-wlan-ap-ap2] radio 2 type dot11gn
[AC2-wlan-ap-ap2-radio-2] channel 11
[AC2-wlan-ap-ap2-radio-2] service-template 1
[AC2-wlan-ap-ap2-radio-2] radio enable
预配置下发成功后, AP 1和AP 2重启后,认证成功,可以和AC 2建立隧道连接。
为了避免过多的客户端集中于少量的VLAN内,可以使客户端通过应用了VLAN池的服务模板上线。VLAN池是若干个VLAN的集合,VLAN池会根据客户端上线的次序,依次将VLAN ID分配给上线的客户端,使客户端均匀分布在各VLAN。
目前VLAN池只能为无线客户端分配VLAN。
创建VLAN池,并进入VLAN池视图 |
||
配置VLAN池中的VLAN列表 |
缺省情况下,VLAN池中没有VLAN列表 |
|
开启VLAN池静态分配功能 |
work-mode static |
可选 缺省情况下,VLAN池静态分配功能处于关闭状态 |
退出VLAN池视图 |
||
进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
radio radio-number [ type { dot11a | dot11an | dot11b | dot11g | dot11gn } ] |
||
将VLAN池绑定到指定服务模板 |
service-template service-template-number vlan-pool vlan-pool-name |
将VLAN池绑定到指定服务模板后,需要在与该服务模板绑定的WLAN-ESS接口下配置mac-vlan enable,且该WLAN-ESS接口必须为hybrid类型 该命令的详细解释请参见 “WLAN命令参考”中的“WLAN接入” |
· 开启VLAN池静态分配功能后,VLAN池将VLAN ID分配给客户端后,如果该客户端下线,并在再次通过同一SSID上线,那么VLAN池不会再次给该客户端分配VLAN,客户端会直接继承上次VLAN池分配的VLAN。
· 影响客户端所在VLAN的配置有:A、WLAN-ESS接口视图下指定的VLAN;B、绑定服务模板时使用vlan-id参数指定的VLAN;C、VLAN池分配的VLAN;D、认证服务器授权的VLAN。在决定客户端所属VLAN时,这几个配置的优先级为:D > C = B > A,优先级高的配置会覆盖优先级低的配置。
在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN池的统计信息,通过查看显示信息验证配置的效果。
表3-1 VLAN池显示与维护
显示指定VLAN池的统计信息 |
display wlan statistics client vlan-pool [ | { begin | exclude | include } regular-expression ] |
某部门有若干客户端需要通过AP接入到无线网络,该部门能够使用的VLAN为2、3、4、5,并且要求这些客户端能够均匀的分布在上述VLAN中。
图3-1 VLAN池配置组网图
# 创建WLAN ESS接口,配置接口类型为hybrid,并开启MAC VLAN功能。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板,配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建VLAN池,并将VLAN 2~VLAN 5添加到到此VLAN池中。
[AC] wlan vlan-pool office
[AC-wlan-vp-office] vlan-id 2 to 5
[AC-wlan-vp-office] quit
# 创建AP模板,名称为ap1。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A35U007B000010
# 使用VLAN池为通过服务模板1上线的客户端分配VLAN ID,并将此服务模板绑定到Radio 2。
[AC-wlan-ap-ap1-radio-2] service-template 1 vlan-pool office
[AC-wlan-ap-ap1-radio-2] radio enable
· 使用display wlan statistics client vlan-pool命令查看VLAN池中各VLAN中的客户端数量。
· 使用display wlan client命令查看客户端所属VLAN。
无线定位技术利用基于Wi-Fi技术的RFID(Radio Frequency Identification,射频识别)和传感器等设备,实现定位、追踪和监测特定目标。AP将收集的Tag或MU信息发送到定位服务器,通过定位服务器进行位置计算,然后由定位服务器将计算的位置数据传给图形软件。在图形软件上用户可以通过地图、表格或者报告等多种形式直观的获取待定位物资的位置信息。
无线定位可以应用于医疗监护、资产管理、物流等方面,协助用户高效地完成物资管理和监控。
定位系统分为三个部分:需要定位的设备或源、定位信息接收装置和定位系统。
· 需要定位的设备或源:可以是定位服务器公司生产的Tag(一种轻便、易携带的RFID,使用中通常放置或粘贴在需要定位的物资上),也可以是MU(Mobile Unit,移动设备),即任何符合802.11技术的无线终端或设备,这些设备的特点是都可以定时向周围发送无线信号。
· 定位信息接收装置:比如符合标准的802.11技术的AP。
· 定位系统:包括定位服务器、定位服务器公司的计算软件、各种图形软件等。
AP在探知到定位服务器后,才能完成无线定位的工作过程。目前依据定位服务器的实现不同,大致有两种方案。
(1) 定位服务器主动探知AP
AeroScout公司的定位服务器会主动发送报文给AP,AP通过解析报文获得定位服务器的IP地址。这种AP从服务器获取IP地址的方式称为动态定位。
(2) AP主动探知定位服务器
由于AeroScout公司的标准协议过于复杂,其他定位服务器厂家更倾向于在AP上配置定位服务器的IP地址,这样也可以完成定位过程,但只限于MU消息。这种在AP上直接配置定位服务器IP地址的方式称为静态定位。
无线定位系统可以实现对下列设备的定位:无线Client、无线AP、Rogue AP、Rogue Client、Tag及其它支持无线协议的设备,除Tag之外,目前所有无线设备都会被定位系统识别为MU。
(1) 发送Tag和MU消息
Tag消息,即RFID发送的消息。Tag消息能够携带信道信息,为保证更多的Tag被AP侦听到,RFID会同时在不同信道发送Tag消息。通常情况下,RFID会首先在用户配置的一个或多个信道轮询发送Tag消息,接下来,会在1、6、11信道周期性轮询发送Tag消息。
MU消息,即标准无线设备发送的消息。在这些MU消息中并不包含信道信息,因此AP无法对MU消息进行相邻信道过滤或非法报文过滤,这项工作将由定位服务器根据一定的算法和规则完成。
(2) AP收集Tag和MU消息
AP的工作模式影响AP收集Tag和MU消息的效果:
· 当AP工作模式为普通模式并绑定使能的无线服务时,可以定位关联或未关联到本设备的无线客户端或者其它无线设备,包括Tag。对于关联到本设备的无线客户端,无线定位系统将其识别为无线客户端;对于非关联到本设备的无线客户端或者其他无线设备,无线定位系统将其统一识别为未知设备。
· 当AP工作模式为普通模式并未绑定无线服务或无线服务未使能时,仅能定位非关联的无线客户端或者其它无线设备。
· 当AP工作模式为监控模式或混合模式时,可以用于定位非关联的无线客户端或者其它无线设备,但由于其频繁切换信道,对于Tag的定位效果非常差,因此不推荐使用。
关于AP工作模式的介绍请参见“WLAN配置指导”中的“WLAN IDS”。
当完成上述设置后,AP开始收集Tag和MU消息。
· 当AP接收到Tag消息(假定此时在AC上已经开启上报Tag消息功能,定位服务器也已通知AP开始上报Tag消息),AP在收到Tag消息后,首先能滤掉与当前AP工作信道不一致的Tag消息,然后AP会检查Tag消息,并将检查通过的Tag消息进行封装并上报定位服务器。AP对Tag的封装包括复制Tag消息中除组播地址外的所有信息(包括消息头和载荷),并附上接收信号的BSSID、信道、时间戳、数据率、RSSI、SNR及射频模式等信息。
· 当AP接收到MU消息(假定此时在AC上已经开启上报MU消息功能,定位服务器也已通知AP开始上报MU消息),AP对MU的封装包括复制MU的源地址、Frame Control字段和Sequence Control字段,并附上接收信号的BSSID、射频模式、信道、时间戳、数据率、RSSI、SNR、射频模式、MU类型及是否关联本机标志等信息。
定位服务器在收到多个AP上报的Tag消息及MU消息后,通过对其RSSI、SNR、射频模式、数据率等信息按照某种算法进行计算,并根据用户在定位服务器上导入的地图信息,计算出该设备所在的具体位置并显示在图形界面中。一般来说,只要有三个及以上的AP报告Tag或MU消息,定位服务器就能够计算出需要定位的设备的位置。
当前AP支持的无线定位协议只有AeroScout协议、OmniTrail协议和通用定位协议。
(1) AeroScout协议
AeroScout协议是由AeroScout公司制定的用于服务器和AP间交互的协议。可以支持静态和动态定位方式。
(2) OmniTrail协议
OmniTrail协议是由OmniTrail公司制定的服务器与AP间交互的协议,只支持静态定位方式。
(3) 通用定位协议
通用定位协议是由我司制定的服务器与AP间交互的协议,只支持静态定位方式。
AeroScout协议为防止MU消息过多对网络及定位服务器造成冲击,设置了稀释功能来减少发送至定位服务器的报文。但稀释功能仅适用于高流量的情况,在流量低时会丢弃大量MU消息,使定位功能基本不可用。
我司为了解决稀释功能的缺陷,对MU消息新增了限速功能,能够保证在高流量时减少发送至定位服务器的定位报文,低流量时不丢弃报文。
(1) 基于AP的限速
对AP发往定位服务器的MU消息在二层以太网进行限速,能够限定定位服务的最高流量,防止过多定位消息对网络和定位服务器的冲击。
(2) 基于客户端的限速
对由同一客户端发送的无线报文生成的MU消息在二层以太网进行限速,能够保证每个客户端的MU消息能较均等地发送至定位服务器。
CUPID定位是一种新的私有无线定位方式,与传统的定位方式相比他的定位精度更高,受障碍物、多径效应、部署密度和环境改变的影响更小。
为了确保定位功能的正常运行,需要在定位服务器和无线设备上完成相关配置:
· 在定位服务器上,用户可以根据实际需求,在定位服务器上配置是否定位Tag、是否定位MU、Tag消息组播地址以及稀释因子等信息,这些配置将通过配置消息通知AP。关于定位服务器的介绍和参数配置请参考定位服务器的相关文档。
· 在无线设备上,根据定位服务器的要求,可以选择静态定位和动态定位两种方式。定位方式决定了AP以何种方式获取定位服务器的IP地址,可以配置哪些功能。
在AC上配置无线定位功能时,至少应绑定一个无线服务并使能该无线服务。
在静态定位中,由AC配置定位服务器的IP地址,并且可以配置稀释参数和定位报文的协议类型,不能配置射频的无线定位模式。在完成配置后,AP会主动上报MU消息,MU消息的格式随配置的服务器类型而定。
表4-1 配置WLAN静态定位
配置无线定位使用的协议类型 |
wlan rfid-tracking engine-type { aero-scout | general [ mode { fingerprint | cupid } ] | omnitrail } |
可选 缺省情况下,无线定位使用AeroScout标准协议 |
配置AP上报客户端天线变化的最小时间间隔 |
wlan rfid-tracking antenna-change-report min-interval value |
可选 缺省情况下,AP上报客户端天线变化的最小时间间隔为10秒 此配置只在定位模式为fingerprint时生效 |
使能以CUPID封装格式上报指纹定位报告 |
wlan rfid-tracking fingerprint cupid-report enable |
可选 缺省情况下,未开启以CUPID封装格式上报指纹定位报告,仍以原指纹封装格式上报 使能后,在无线定位配置为指纹模式时,将以CUPID封装格式上报报告 |
配置无线定位方式 |
wlan rfid-tracking engine-detection { static | dynamic } |
可选 缺省情况下,无线定位使用静态方式 |
配置OmniTrail定位数据上报到服务器的端口号 |
wlan rfid-tracking omnitrail { data-port-2g port-number | data-port-5g port-number } |
可选 缺省情况下,定位服务器厂商的端口号为0 |
开启无线定位功能 |
wlan rfid-tracking enable |
必选 缺省情况下,无线定位功能处于关闭状态 |
配置AP向定位服务器上送定位报文的限制速率 |
wlan rfid-tracking rate-limit cir [ cbs cbs ] |
可选 缺省情况下,没有配置限制速率 |
配置客户端向定位服务器上送定位报文的限制速率 |
wlan rfid-tracking client-rate-limit cir [ cbs cbs ] |
缺省情况下,没有限制AP端口定位报文的速率 |
配置忽略AP发送的帧或者Beacon帧 |
wlan rfid-tracking ignore { ap-frame | beacon } |
可选 缺省情况下,不忽略AP发送的帧和Beacon帧 |
配置无线定位报文RSSI门限值 |
wlan rfid-tracking rssi-threshold rssi-threshold |
可选 缺省情况下,没有配置RSSI门限值 |
配置定位报文的稀释参数 |
wlan rfid-tracking dilution factor factor timeout timeout |
可选 缺省情况下,没有配置稀释因子和稀释超时时间 |
开启AP信息上报功能 |
wlan rfid-tracking cupid ap-report enable |
可选 缺省情况下,AP信息上报功能处于关闭状态 配置CUPID定位功能时,必须先开启AP信息上报功能 |
配置AP信息上报周期 |
wlan rfid-tracking cupid ap-report interval interval |
可选 缺省情况下,AP信息上报周期为2秒 |
配置CUPID定位未关联客户端的RSSI阈值 |
wlan rfid-tracking cupid unassociated-measurement rssi-threshold rssi |
可选 缺省情况下,没有配置CUPID定位未关联客户端的RSSI阈值 |
开启CUPID定位非关联客户端功能 |
wlan rfid-tracking cupid unassociated-measurement enable |
可选 缺省情况下,CUPID定位非关联客户端功能处于关闭状态 |
配置802.11原始帧上报功能 |
wlan rfid-tracking raw-frame-report enable |
可选 缺省情况下,当无线定位使用的协议类型为指纹模式时,802.11原始帧上报功能处于开启状态 |
忽略射频模式配置 |
wlan rfid-tracking ignore radio-mode |
可选 缺省情况下,在静态定位模式时,忽略射频模式配置 |
配置Tag组播地址 |
wlan rfid-tracking tag-multicast-address mac-address |
可选 缺省情况下,未配置Tag组播地址 |
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
配置定位服务器的IPv4地址 |
rfid-tracking engine-address engine-address |
必选 缺省情况下,没有配置定位服务器的IPv4地址 |
配置OmniTrail协议规定的AP标识符 |
rfid-tracking omnitrail apid { ascii ascii-string | hex hex-string } |
可选 缺省情况下,未配置AP标识符 |
配置AP的扫描报告抑制功能 |
rrm-report send-inhibitory enable |
可选 缺省情况下,AP的扫描报告抑制功能处于关闭状态 |
退出AP模板视图 |
quit |
必选 |
创建AP组,并进入AP组视图 |
wlan ap-group group-name |
可选 缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
配置定位服务器的IPv4地址 |
rfid-tracking engine-address engine-address |
可选 缺省情况下,没有配置定位服务器的IPv4地址 |
配置无线定位模式 |
rfid-tracking mode { all | mu | tag } |
必选 缺省情况下,没有配置无线定位模式 |
在动态定位中,通过AeroScout协议,定位服务器主动告知AP其自身的IP地址,可以配置射频的无线定位模式,不能由AC配置定位服务器的IP地址,不能配置稀释参数和定位报文的协议类型。
表4-2 配置WLAN动态定位
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置无线定位使用的协议类型 |
wlan rfid-tracking engine-type aero-scout |
可选 缺省情况下,无线定位使用AeroScout标准协议 |
配置无线定位方式 |
wlan rfid-tracking engine-detection dynamic |
必选 缺省情况下,无线定位使用静态方式 |
配置定位服务器厂商的端口号 |
wlan rfid-tracking vendor-port vendor-port-value |
可选 缺省情况下,定位服务器厂商的端口号为1144 |
开启无线定位功能 |
wlan rfid-tracking enable |
必选 缺省情况下,无线定位功能处于关闭状态 |
配置AP向定位服务器上送定位报文的限制速率 |
wlan rfid-tracking rate-limit rate |
可选 缺省情况下,没有配置限制速率 |
配置忽略AP发送的帧或者Beacon帧 |
wlan rfid-tracking ignore { ap-frame | beacon } |
可选 缺省情况下,不忽略AP发送的帧和Beacon帧 |
配置无线定位报文RSSI门限值 |
wlan rfid-tracking rssi-threshold rssi-threshold |
可选 缺省情况下,没有配置RSSI门限值 |
配置AP名称和型号名称,并进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 只有在AP模板被创建时才定义型号名称 |
配置AP的扫描报告抑制功能 |
rrm-report send-inhibitory enable |
可选 缺省情况下,AP的扫描报告抑制功能处于关闭状态 |
进入射频视图 |
radio radio-id |
- |
配置无线定位模式 |
rfid-tracking mode { all | mu | tag } |
必选 缺省情况下,没有配置无线定位模式 |
在完成配置后,AP会等待定位服务器发送的配置消息。只有当AP接收到来自定位服务器的正确的配置消息后,AP才会根据定位服务器的配置开始侦听并上报Tag或者MU消息。
为了使定位服务器能快速获知并响应AP的变化,在AP更换IP地址或AP重启后,AP会主动通知定位服务器。其中AP重启后的消息上报依赖AP在Flash中的数据记录(定位服务器的IP地址及端口信息),关于Flash中的数据记录需要注意:
· 只有当收到定位服务器发送的配置消息时,AP才会更新Flash中的数据。为保护Flash,避免频繁更新Flash中的数据,当AP收到配置消息时,会等待10分钟再更新Flash。如果在等待的这10分钟期内又收到新的配置消息,AP只会刷新缓存,并继续等待剩余的时间之后,将最新的缓存信息保存在Flash中。
· 如果AP在收到首个配置消息后的10分钟内发生重启,那么由于Flash还未来得及保存配置消息,并且在Flash中从未保存过任何配置消息的情况下,本次AP重启后不会向定位服务器发送消息。
在完成上述配置后,在任意视图下执行display命令可以显示配置后无线定位信息,通过查看显示信息验证配置的效果。
表4-3 WLAN定位显示和维护
在如下图所示的无线环境中,AP 1、AP 2和AP 3工作在普通模式,收集Tag和MU信息,然后提供给AE(定位服务器)进行定位计算,使用户可以通过地图、表格或者报告等形式动态获取到无线网络中Rogue AP、AP和Client的位置。
· 在AE上手工配置AP 1~AP 3的IP地址,或者选择广播方式发现AP。
· 在AE上完成和定位相关的配置。
在AC上,将无线服务绑定在AP 1~AP 3,这里以AP 1为例。
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP1,并配置AP序列号,将服务模板1绑定到Radio 1口。
[AC] wlan ap ap1 model WA2220-AG
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 开启动态定位功能。
<AC> system-view
[AC] wlan rfid-tracking engine-detection dynamic
[AC] wlan rfid-tracking enable
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] rfid-tracking mode all
[AC-wlan-ap-ap1-radio-1] return
# 查看无线定位射频信息。
<AC> display wlan rfid-tracking radio
WLAN RFID Tracking
--------------------------------------------------------------------------------
AP Radio Mode
--------------------------------------------------------------------------------
ap1 1 MU/Tag
ap1 2 N/A
--------------------------------------------------------------------------------
# 在图形软件上用户可以通过地图、表格或者报告等形式获取到无线网络中Rogue AP、AP和Client的位置。
· 在开启定位功能前,至少有三个AP工作在监控模式或混和模式,这样才能使AP扫描到Tag及非关联无线设备的消息,并确保AE完成定位计算。
· 由于AP的监测方式为信道轮询方式,若Tag被配置为1秒间隔,则大约每半分钟可以扫描并上报一次Tag消息。如果对定位效率有较高要求,建议在AE上将Tag的发送间隔配置为最低值(124毫秒)。
在如下图所示的无线环境中,AP 1、AP 2和AP 3工作在普通模式,收集Tag和MU信息,然后提供给iMC(定位服务器)进行定位计算,使用户可以通过地图、表格或者报告等形式获取到无线网络中Rogue AP、AP和Client的位置。
图4-2 静态无线定位配置组网组
(1) 配置iMC
· 在iMC上手工配置AP 1~AP 3的IP地址,或者选择广播方式发现AP。
· 在iMC上完成和定位相关的配置。
(2) 绑定无线服务
在AC上,将无线服务绑定在AP 1~AP 3,这里以AP 1为例。
# 配置WLAN服务模板(明文模板),配置SSID为service,并将WLAN-ESS接口与该服务模板绑定。
<AC> system-view
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP1,并配置AP序列号,将服务模板1绑定到Radio 1口。
[AC] wlan ap ap1 model WA2220-AG
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 开启静态定位功能。
<AC> system-view
[AC] wlan rfid-tracking engine-type general mode fingerprint
[AC] wlan rfid-tracking enable
# 配置无线定位报文的RSSI门限值为15。
[AC] wlan rfid-tracking rssi-threshold 15
# 在AP模板视图下配置定位服务器IPv4地址为192.168.10.10。
[AC] wlan ap ap1
[AC-wlan-ap-ap1] rfid-tracking engine-address 192.168.10.10
[AC-wlan-ap-ap1] quit
(3) 验证配置结果
开启指纹定位之后可以通过在iMC上查看终端是否可以在定位图上显示即可确定相关配置是否生效。
· 在开启定位功能前,至少有三个AP工作在监控模式或混和模式,这样才能使AP扫描到Tag及非关联无线设备的消息,并确保iMC完成定位计算。
· 由于AP的监测方式为信道轮询方式,若Tag被配置为1秒间隔,则大约每半分钟可以扫描并上报一次Tag消息。如果对定位效率有较高要求,建议在iMC上将Tag的发送间隔配置为最低值(124毫秒)。
本特性的支持情况与具体的设备型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
· 没有相应的确认机制,因此无法对丢失的报文进行重传,导致有些情况组播报文丢失严重。
· 无线组播报文的速率是在强制速率中选取的最低发送速率,因此组播数据的传输效率较低。
组播传输的特点可能无法满足某些对组播流有较高要求的应用,如对延迟不十分敏感,但要求报文流有较高完整性要求的应用,如高清视频点播。为了满足上述需求,可开启组播优化功能,使得AP向客户端发送组播报文时,将组播数据报文转换为单播数据报文,转换后的无线单播数据报文不但具有重传确认机制及更高速率,并且具有Video的优先级,可以优先被发送。
如无特殊说明,下文描述的单播报文均指具有Video的优先级的无线单播数据报文。
开启组播优化功能后,AP会监听客户端上报的组播报告报文和离开报文进行组播优化表项维护。当AP收到客户端的组播报告报文时,会添加或是更新组播优化表项,并更新客户端允许的组播源地址(对于IGMPv3和MLDv2报文)。当收到客户端的组播离开报文或是组播优化表项老化时间超时后,则删除对应的组播优化表项。AP和AC断开连接时或者关闭组播优化功能时,整个组播优化表项会被删除。
建立组播表项后,AP会监听从组播源发往客户端的下行非IGMP和MLD的组播数据报文,查询组播优化表项,检查报文中的组播组地址。若在表项中存在该组播组地址,则遍历加入该组播地址的所有客户端,将组播数据报文转换为单播数据报文,并单播发送给对应客户端;若没有该组播组地址,则正常发送组播数据报文。
为了避免客户端数量过多,导致性能下降。用户可以通过命令行设置支持组播优化的最大客户端数量。在某个射频下,接入组播组的客户端数量超过阈值时,设备有两种处理方式:
· 拒绝新客户端进行组播优化。新接入的客户端可以加入组播组,即生成IGMP-Snooping表项,但不会生成组播优化表项。如果新客户端请求加入的组播组已经存在组播优化表项(其他客户端生成的),则该客户端将无法接收组播数据报文;反之,如果新客户端请求加入的组播组不存在组播优化表项,则该客户端依然可以收到组播数据报文。
如果先配置halt方式(在halt方式下,超出阈值的客户端也能生成组播优化表项),然后使用命令将处理方式修改为reject方式,这些已存在的组播优化表项仍会生效。
· 建议在开启组播优化功能前,先在AC上使能IGMP snooping功能,并配置组播优化表项老化时间大于IGMP Snooping动态成员端口的老化时间。
· 在双AC和漫游组网环境下,为了使组播优化功能能够正常运行,需要使IACTP隧道内所有AC上的组播优化功能都处于开启状态(使用multicast optimization enable命令开启)。
wlan service-template service-template-number { clear | crypto | wapi } |
||
每个客户端最多能加入8个组播组 需要注意的是,当一个客户端加入当前射频下多个组播组时,计数累加。例如,在同一个射频上,如果一个客户端分别加入两个组播地址,则组播优化的客户端数量记做2 |
||
wlan multicast optimization threshold-action { halt | reject-client } |
缺省情况下,客户端数量超过阈值后的处理方式为暂停组播优化功能 如果先配置halt方式(在halt方式下,超出阈值的客户端也能生成组播优化表项),然后使用命令将处理方式修改为reject方式,这些已存在的组播优化表项仍会生效 |
|
完成上述配置后,在任意视图下执行display命令可以显示配置后组播优化功能的运行情况,通过查看显示信息验证配置的效果。
在如下图所示的无线环境中,开启组播优化功能,将组播数据报文转换为单播数据报文并发送给客户端。
(1) 配置AC
在AC上完成无线服务的相关配置,具体配置步骤可参见“WLAN配置指导”中的“WLAN接入”,此处不再重复。
在AC的Vlan1中开启组播功能,并完成组播的必要配置,具体配置步骤可参见“IP组播配置指导”中的“IGMP Snooping配置”,此处不再重复。
# 开启组播优化功能。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] multicast optimization enable
[AC-wlan-st-1] quit
# 配置组播优化表项老化时间为300。
[AC] wlan multicast optimization aging-time 300
# 配置在射频上支持组播优化的最大客户端数量为2。
[AC] wlan multicast optimization threshold 2
# 配置客户端数量超过阈值后的处理方式为拒绝新客户端进行组播优化。
[AC] wlan multicast optimization threshold-action reject-client
Client1和Client 2通过AP的某个射频接入到名为service的SSID,并加入组播组,使用display wlan multicast optimization all命令可以查看到组播优化表项的信息。Client 1和Client 2加入组播组时,组播优化功能能够正常工作,当Client 3加入组播组时,客户端数量超过设置的阈值,Client 3无法加入组播优化表项。
· 频谱分析的支持情况与AP设备型号有关,请以设备的实际情况为准。
· 关于WIDS的介绍请参见“WLAN配置指导”中“WLAN IDS”。
· 本文涉及的频谱分析功能需要用户购买License,并完成注册之后才能使用。License可以通过购买特性软件授权书获得,授权书上提供了注册RFP(Radio Frequency Prevention,频谱分析)特性需要使用的License授权码及特性功能说明。详细的操作流程,请参见《H3C无线控制产品License激活申请和注册操作指导》,添加License的相关配置请参见“基础配置指导”的“License管理配置”。
由于WLAN工作在共享频段,微波炉、无绳电话等设备都可能成为无线网络潜在的干扰源。发现这些干扰的最有效手段是依赖专门的频谱分析设备和软件,这些专门的设备或软件价格不菲,且缺乏实时性,导致工程人员往往只在出了问题后才被动地进行频谱分析。现有的WIDS(Wireless Intrusion Detection System,无线入侵检测系统)、RRM(WLAN Radio Resource Management,无线资源管理)等功能主要基于MAC层数据做检测,而不是利用更有价值的物理层数据,从而导致其对无线环境的检测功能大大受限。比如,无线网络中如果存在非802.11设备干扰,如蓝牙干扰时,RRM功能将无法检测到。
为了解决上述问题,可以通过软件升级WLAN芯片提供频谱分析功能,这样不用额外部署频谱分析设备就可以实现对网络频谱环境的实时分析。频谱分析具有以下作用:
· 识别干扰设备类型:可识别出12种干扰设备类型,并提供关于干扰设备的详细报表。
· 分析评估干扰对无线环境的影响:提供信道质量信息报表,计算出每个信道上干扰的设备数量以及信道质量的平均值和最差值。
· 收集FFT(Fast Fourier Transform,快速傅立叶变换)数据:AP负责收集每个信道的所有频点的FFT数据(包括频点的频率值、FFT功率、最大功率和FFT占空比,并通过AC发送给网管。
· 自动调整信道,规避干扰源。在开启RRM联动功能后,当检测的信道质量低于要求指定的级别时,AC会进行信道调整的计算,如果发现有质量更好的信道,就会将工作信道切换到新的信道上。
网管人员可以通过在AC上查看当前干扰信息,或是在网管系统上查看实时频谱数据图,充分了解无线网络运行情况,为快速诊断并制定排除干扰源的行动策略提供了有力的支持。
配置AP的工作模式 |
||
AP检测的信道范围和AP的工作模式有关:
· 如果AP工作在Normal模式,那么AP只能检测工作信道的干扰设备、信道质量以及收集工作信道上的FFT数据。
· 如果AP工作在Monitor/Hybrid模式,那么AP能检测的信道范围和scan channel命令设置的情况有关。如果设置为scan channel auto,AP会在国家码支持的信道上检测干扰设备、信道质量以及收集这些信道上的FFT数据。如果设置为scan channel all,AP会在频段中的所有信道上检测干扰设备、信道质量以及收集这些信道上的FFT数据。
关于AP模式的设置请参见“WLAN配置指导”中“WLAN IDS”。
AP工作在Monitor/Hybrid模式的情况下,检测的信道范围更广,建议用户在此模式下开启频谱分析功能。
开启频谱分析功能后,AP开始检测干扰设备和信道质量,并收集FFT数据。
进入RRM视图 |
||
dot11a spectrum-analysis device { device-type | all } |
||
dot11bg spectrum-analysis device { device-type | all } |
||
配置AP名称和型号名称,并进入AP模板视图 |
只有在AP模板被创建时才定义型号名称 |
|
radio radio-number [ type { dot11a | dot11an | dot11b | dot11g | dot11gn } ] |
||
AC可以向网管系统发送两种告警:
· 干扰设备告警:检测到指定干扰设备时,AC会向网管系统发送告警。
· 信道质量告警:检测到信道质量低于指定门限值时,AC会向网管系统发送告警。
通过配置告警功能可以使AC在指定条件下向网管系统发送告警,以便网络管理员了解无线网络的运行状况。
进入RRM视图 |
||
开启检测到干扰设备时,AC向网管系统发送告警 |
缺省情况下,检测到干扰设备时,AC向网管系统发送告警 |
|
配置检测到指定干扰设备时,AC会向网管系统发送告警 |
dot11a spectrum-analysis trap device { device-type | all } |
缺省情况下,检测到干扰设备(目前支持12种干扰设备)时,AC会向网管系统发送告警的功能 请先使用dot11a spectrum-analysis device device-type或dot11bg spectrum-analysis device device-type命令配置需要上报的干扰设备类型,否则对于该干扰设备的告警功能将无法生效 |
当检测的信道质量低于要求指定的级别时,AC会进行信道调整的计算,如果发现有质量更好的信道,就会将工作信道切换到新的信道上,避免受到原有信道上干扰源的影响。
进入RRM视图 |
||
配置频谱分析触发信道调整的敏感级别 |
dot11a calibrate-channel sensitivity { high | low | medium } |
缺省情况下,触发信道调整的敏感级别为medium |
dot11bg calibrate-channel sensitivity { high | low | medium } |
||
配置频谱分析触发信道调整功能前,请使用channel auto命令配置射频使用自动选择信道模式,并开启信道调整功能,否则无法运行信道调整功能。关于自动选择信道模式的详细介绍,请参见“WLAN命令参考”中的“WLAN接入”。关于信道调整功能的详细配置,请参见“WLAN 配置指导”中的“WLAN RRM”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后频谱分析的运行情况,通过查看显示信息验证配置的效果。
显示AP检测到的非802.11干扰设备的信息 |
display wlan spectrum-analysis device [ ap ap-name ] |
显示AP检测到的信道质量信息 |
display wlan spectrum-analysis channel-quality [ ap ap-name ] |
在如图6-1所示的无线环境中部署两台AP和网管系统,具体组网要求如下:
· AP 1工作在Normal模式,为客户端提供无线接入服务。
· AP 2工作在Monitor模式,检测无线环境中的干扰设备、信道质量和频点的FFT数据。
· 如果AP 2检测到微波炉或蓝牙,就将检测信息通知AC,由AC向网管系统发送告警。
# 配置AP 1工作在Normal模式,为客户端提供无线接入服务。
此部分配置步骤可以参考“WLAN配置指导”中“WLAN接入”,此处不再重复。
# 配置AP 2的工作模式为Monitor模式,并开启射频上的频谱分析功能。
[AC] wlan ap ap2 model WA2620-AGN
[AC-wlan-ap-ap2] serial-id 210235A29G007C000022
[AC-wlan-ap-ap2] work-mode monitor
[AC-wlan-ap-ap2] radio 2 type dot11gn
[AC-wlan-ap-ap2-radio-2] spectrum-analysis enable
[AC-wlan-ap-ap2-radio-2] radio enable
[AC-wlan-ap-ap2-radio-2] quit
[AC-wlan-ap-ap2] quit
# 在2.4GHz射频上开启全局频谱分析功能。
[AC-wlan-rrm] dot11bg spectrum-analysis enable
# 在2.4GHz射频上配置检测所有的干扰设备类型(缺省开启,此步骤可选)。
[AC-wlan-rrm] dot11bg spectrum-analysis device all
# 开启在2.4GHz射频上检测到微波炉或蓝牙时,AC向网管系统发送告警。
[AC-wlan-rrm] dot11bg spectrum-analysis trap device enable
[AC-wlan-rrm] undo dot11bg spectrum-analysis trap device all
[AC-wlan-rrm] dot11bg spectrum-analysis trap device bluetooth
[AC-wlan-rrm] dot11bg spectrum-analysis trap device microwave
[AC-wlan-rrm] return
· 通过display wlan spectrum-analysis device命令查看AP 2检测到的非802.11干扰设备的信息。
· 通过display wlan spectrum-analysis channel-quality命令用来显示AP 2检测到的信道质量信息。
本特性的支持情况与具体的设备型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
MAC-BAC(Master AC-BAS AC)的核心思想是由各BAS AC负责处理无线接入和认证业务,Master AC统一管理BAS AC,对外部网络(如认证服务器等设备)只呈现一个Master AC。在MAC-BAC这种架构组网中,外部网络中的设备只和Master AC通信,不需要关心各BAS AC的具体信息。
在传统组网中,AC虽然具备认证功能,但是一般会专门配置认证设备。一台负责认证的设备可以与多台AC设备互联,AC负责客户端上线,认证设备负责完成客户端的认证。在这种组网中,随着AC的增多和用户容量的增大,认证设备会由于承担过多的认证工作而成为性能瓶颈。
随着AC认证功能的增强,在组网中直接使用AC对客户端进行认证,客户的上线和认证由AC完成,不需要增加额外的认证设备来处理客户端认证工作。但是对于认证服务器来说,这种组网会使认证服务器管理多个不同的NAS IP地址,配置和管理复杂度也会随着AC数量的增加而上升。
为了解决上述问题,可以使用MAC-BAC架构。在这种架构中,BAS AC负责处理无线接入和认证业务,Master AC位于BAS AC和认证服务器之间,负责统一管理BAS AC。以Portal业务为例,BAS AC负责提供Portal认证,Master AC负责代理BAS AC与Portal服务器进行报文交互。认证服务器只需和Master AC一台设备进行报文交互即可。使用MAC-BAC架构的组网方式可以降低设备管理的复杂度。
Master AC管理BAS AC的前提是Master AC与各BAS AC间建立通道,BAS AC在与Master AC成功建立通道后,BAS AC会将本地信息上报给Master AC,包括与AP建立隧道连接的IP地址(即CAPWAP IP地址)、BAS AC的IP地址、在BAS AC已经上线的AP数量、客户端IP地址,Master AC根据这些信息来管理BAS AC。MAC-BAC典型组网图如图1-2所示。
图1-2 MAC-BAC典型组网图
Master AC与各BAS AC间建立通道后,Master AC收到AP发送的Discovery request报文后,会根据各BAS AC的负载情况为AP分配当前负载最轻的BAS AC,并将该BAS AC的IP地址回复给AP。为了便于描述,将Master AC为AP分配BAS AC的IP地址称为CAPWAP IP地址,即AP通过BAS AC上的该地址与BAS AC建立隧道连接。
图1-3 Master AC为AP分配BAS AC
Master AC为AP分配BAS AC以及AP与指定BAS AC建立隧道的整个过程如下:
(1) Master AC与各BAS AC间建立通道。
(2) AP启动后,根据DHCP服务器回复报文中的Option字段,获得Master AC的IP地址(AP也可以通过其它方式获取Master AC的IP地址)[1]。
(3) AP可以通过单播方式向Master AC发出Discovery request报文。
(4) 为避免部分AC因承担大量AP的流量而导致的性能降低,而部分AC闲置的情况发生。Master AC会根据当前各BAS AC的负载情况,选择当前负载最轻的BAS AC。Master AC向AP回复的Discovery Response消息中会指定AP应该关联的BAS AC的CAPWAP IP地址。
(5) AP获取到BAS AC的CAWAP IP地址,并与指定的BAS AC建立隧道连接。
(6) BAS AC向Master AC上报AP的信息。
[1]实际组网中,建议AP使用Option方式或其它方式获取Master AC的IP地址。
如果BAS AC功能未开启,此时的BAS AC即为普通AC。开启BAS AC功能后,BAS AC与Master AC建立通道,BAS AC会将本地信息上报给Master AC,包括与AP建立隧道连接的IP地址(即CAPWAP IP地址)和BAS AC的IP地址等。
表1-2 配置BAS AC
开启BAS AC功能 |
缺省情况下,BAS AC功能处于关闭状态 |
|
为BAS AC指定Master AC的信息 |
缺省情况下,没有为BAS AC指定Master AC的信息 |
|
配置BAS AC向Master AC上报的IP地址,即BAS AC的IP地址 |
缺省情况下,没有配置BAS AC向Master AC上报的IP地址 |
|
配置BAS AC向Master AC发起连接的时间间隔 |
缺省情况下,BAS AC向Master AC发起连接的时间间隔为15秒 |
|
将当前BAS AC中无线的相关配置同步到MAC-BAC组网中其他BAS AC中 |
wlan bas-ac synchronize-configuration |
可选 |
BAS AC的IP地址和CAPWAP IP地址可以使用BAS AC上的一个IP地址。
BAS AC、Master AC和AP之间通过交换机相连。BAS AC 1所能承载的AP数量的上限为1024,BAS AC 2所能承载的AP数量的上限为192。要求AP启动后,Master AC为AP分配当前负载最轻的BAS AC,假设为BAS AC 1。
图1-4 MAC-BAC组网图
(1) 配置Master AC(目前无线产品暂不支持Master AC功能)。
# 开启Master AC功能。
[Master AC] wlan master-ac enable
# 启用DHCP服务,配置DHCP地址池0,通过自定义选项的方式配置Option 43的内容,为AP指定Master AC的IP地址。注意Option 43选项内容中最后四字节为c0 a8 00 6f(192 168 0 111),即为Master AC的IP地址。
[Master AC] dhcp server ip-pool 0
[Master AC-dhcp-pool-0] network 192.168.0.0 24
[Master AC-dhcp-pool-0] option 43 hex 8007000001c0a8006f
# 开启BAS AC功能。
[BAS AC1] wlan bas-ac enable
# 配置Master AC的IP地址为192.168.0.111,配置CAPWAP IP地址为192.168.0.112。
[BAS AC1] wlan master-ac ip 192.168.0.111
[BAS AC1] wlan capwap address ip 192.168.0.112
# 配置BAS AC向Master AC上报的IP地址为192.168.0.112。
[BAS AC1] wlan bas-ac ip 192.168.0.112
# 开启自动AP功能。创建AP模板,名称为ap1。
[BAS AC1] wlan auto-ap enable
[BAS AC1] wlan ap ap1 model WA2620i-AGN
[BAS AC1-wlan-ap-ap1] serial-id auto
# 开启BAS AC功能。
[BAS AC2] wlan bas-ac enable
# 配置Master AC的IP地址为192.168.0.111,配置CAPWAP IP地址为192.168.0.113。
[BAS AC2] wlan master-ac ip 192.168.0.111
[BAS AC2] wlan capwap address ip 192.168.0.113
# 配置BAS AC向Master AC上报的IP地址为192.168.0.113。
[BAS AC2] wlan bas-ac ip 192.168.0.113
# 开启自动AP功能。创建AP模板,名称为ap1。
[BAS AC2] wlan auto-ap enable
[BAS AC2] wlan ap ap1 model WA2620i-AGN
[BAS AC2-wlan-ap-ap1] serial-id auto
在Master AC上通过display wlan bas-ac命令查看BAS AC的详细信息,可以看到AP与BAS AC1建立隧道连接。
[Master AC-dhcp-pool-0] display wlan bas-ac verbose
MAC address :000f-e212-ff01
IP address :192.168.0.112
CAPWAP IP address :192.168.0.112
CAPWAP IPv6 address :NA
AP count :1
Maximum AP capacity :1024
MAC address :80f6-2e7d-1eb9
IP address :192.168.0.113
CAPWAP IP address :192.168.0.113
CAPWAP IPv6 address :NA
AP count :0
Maximum AP capacity :192
BAS AC、Master AC和AP之间通过交换机相连,要求Master AC将网络中的两个AP分配到一个BAS AC上。
(1) 配置Master AC(目前无线产品暂不支持Master AC功能)。
# 开启Master AC功能。
[Master AC] wlan master-ac enable
# 启用DHCP服务,配置DHCP地址池0,通过自定义选项的方式配置Option 43的内容,为AP指定Master AC的IP地址。注意Option 43选项内容中最后四字节为c0 a8 00 6f(192 168 0 111),即为Master AC的IP地址。
[Master AC] dhcp server ip-pool 0
[Master AC-dhcp-pool-0] network 192.168.0.0 24
[Master AC-dhcp-pool-0] option 43 hex 8007000001c0a8006f
[Master AC-dhcp-pool-0] quit
# 创建AP列表,将AP 1和AP 2添加到AP列表中,AP 1的MAC地址为000f-e323-e221,AP 2的MAC地址为000f-e323-5432。
[Master AC] wlan ap-list list1
[Master AC-ap-list-list1] mac-address 000f-e323-e221
[Master AC-ap-list-list1] mac-address 000f-e323-5432
[Master AC-ap-list-list1] quit
# 配置热点分配BAS AC,将AP列表下的所有AP分配到一个BAS AC上。
[Master AC] wlan load-balance ap ap-list list1
# 开启BAS AC功能。
[BAS AC1] wlan bas-ac enable
# 配置Master AC的IP地址为192.168.0.111,配置CAPWAP IP地址为192.168.0.112。
[BAS AC1] wlan master-ac ip 192.168.0.111
[BAS AC1] wlan capwap address ip 192.168.0.112
# 配置BAS AC向Master AC上报的IP地址为192.168.0.112。
[BAS AC1] wlan bas-ac ip 192.168.0.112
# 开启自动AP功能。创建AP模板,名称为ap1。
[BAS AC1] wlan auto-ap enable
[BAS AC1] wlan ap ap1 model WA2620i-AGN
[BAS AC1-wlan-ap-ap1] serial-id auto
# 开启BAS AC功能。
[BAS AC2] wlan bas-ac enable
# 配置Master AC的IP地址为192.168.0.111,配置CAPWAP IP地址为192.168.0.113。
[BAS AC2] wlan master-ac ipv4 192.168.0.111
[BAS AC2] wlan capwap address ip 192.168.0.113
# 配置BAS AC向Master AC上报的IP地址为192.168.0.113。
[BAS AC2] wlan bas-ac ip 192.168.0.113
# 开启自动AP功能。创建AP模板,名称为ap1。
[BAS AC2] wlan auto-ap enable
[BAS AC2] wlan ap ap1 model WA2620i-AGN
[BAS AC2-wlan-ap-ap1] serial-id auto
在Master AC上通过display wlan bas-ac命令查看BAS AC的详细信息,可以看到两个AP与同一台BAS AC建立隧道连接。
[Master AC] display wlan bas-ac verbose
MAC address :000f-e212-ff01
IP address :192.168.0.112
CAPWAP IP address :192.168.0.112
CAPWAP IPv6 address :NA
AP count :2
Maximum AP capacity :1024
MAC address :80f6-2e7d-1eb9
IP address :192.168.0.113
CAPWAP IP address :192.168.0.113
CAPWAP IPv6 address :NA
AP count :0
Maximum AP capacity :192
本特性的支持情况与具体的设备型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
无线网络在提供内部用户接入的同时,还需要为访客用户提供无线接入,而访客数据可能会给网络带来潜在的安全威胁。在这种情况下,可以使用访客隧道功能,将访客的所有数据通过访客隧道重定向到企业的外网,在保证访客用户能够接入无线网络的同时,也能保障内网数据的安全。
访客隧道功能主要是通过指定边缘AC和汇聚AC来实现。边缘AC存在于内部网络中,为内部用户和访客用户提供接入和认证。汇聚AC存在于外部网络,用于处理访客用户的数据流量。在边缘AC和汇聚AC上完成访客隧道的相关配置后,在边缘AC与汇聚AC之间就能建立访客隧道。访客隧道建立后,访客用户会从指定的访客VLAN上线,其数据流量则从访客隧道的接口转发至汇聚AC,实现访客数据与内网数据隔离。
访客隧道支持NAT穿越功能,即当边缘AC和汇聚AC之间存在NAT设备时,AC之间能够建立访客隧道。
图8-1 访客隧道组网图
· 存在多条访客隧道时,每条访客隧道必须属于不同的VLAN。
· 设备最多能支持512条访客隧道。目前只支持使用IPv4地址建立访客隧道。
· 为了使访客用户成功接入访客VLAN,在边缘AC和汇聚AC上配置访客隧道时,应在这两类AC上配置有交集的访客VLAN。此外,还需要在边缘AC上配置用于访客用户上线的VLAN,且该VLAN必须是生效的访客VLAN。影响客户端上线所在VLAN的配置有:A、WLAN-ESS接口视图下指定的VLAN;B、绑定服务模板时使用vlan-id参数指定的VLAN;C、VLAN池分配的VLAN;D、认证服务器授权的VLAN。在决定访客用户所属VLAN时,这几个配置的优先级为:D > C = B > A,优先级高的配置会覆盖优先级低的配置。
在边缘AC上完成汇聚AC信息的配置后,边缘AC会向汇聚AC发送用于建立访客隧道的保活请求报文,边缘AC收到回应报文后,访客隧道建立成功。访客隧道成功建立后,边缘AC会以time-interval为周期向汇聚AC发送保活请求报文,汇聚AC收到保活请求报文后会回复保活回应报文。如果边缘AC连续发送三次保活请求报文后,都没有收到汇聚AC的保活回应报文,那么边缘AC会断开访客隧道。对于汇聚AC,如果在发送保活回应报文之后的三倍时间内未收到保活请求报文,汇聚AC会断开访客隧道。
边缘AC可以与多个汇聚AC建立多条访客遂道,但不允许边缘AC使用不同源IP地址与同一个汇聚AC建立访客隧道。如果在边缘AC配置的多个汇聚AC的IP地址实际上属于同一台汇聚AC,那么汇聚AC使用接收到的第一个保活请求报文的目的IP地址与边缘AC建立隧道。
表8-1 在边缘AC上配置汇聚AC信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定当前AC为边缘AC,并创建边缘AC视图 |
wlan guest-tunnel edge-ac |
- |
配置汇聚AC信息 |
aggregation-ac ip ipv4-address source ip ipv4-address vlan vlan-id-list |
必选 缺省情况下,在边缘AC上不存在汇聚AC的信息 |
配置访客遂道保活请求报文的发送周期 |
keep-alive time-interval |
可选 缺省情况下,保活请求报文的发送周期为10秒 |
在汇聚AC上配置边缘AC地址和访客VLAN。完成配置后,汇聚AC会等待边缘AC发起的保活请求报文,收到该报文之后,汇聚AC会检查报文中携带的源地址是否在其配置的边缘AC列表中,如果在列表中,汇聚AC会发送保活回应报文,访客隧道建立成功。
表8-2 在汇聚AC上配置边缘AC信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定当前AC为汇聚AC,并创建汇聚AC视图 |
wlan guest-tunnel aggregation-ac |
- |
配置边缘AC信息 |
edge-ac ip ipv4-address vlan vlan-id-list |
必选 缺省情况下,在汇聚AC上不存在边缘AC的信息 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后访客隧道的配置和状态信息,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以删除访客隧道。
表8-3 WLAN定位显示和维护
操作 |
命令 |
显示当前AC上访客遂道的配置和状态信息 |
display wlan guest-tunnel { all | ip ipv4-address } [ | { begin | exclude | include } regular-expression ] |
删除访客隧道 |
reset wlan guest-tunnel { all | ip ipv4-address } |
在如图所示的组网环境中,AC 1作为边缘AC位于内网,AC 2作为汇聚AC位于外网。访客用户通过访客VLAN 5接入AP。当AC 1收到访客用户的数据流量时,会通过访客隧道将数据流量转发至防火墙外的AC 2,由AC 2处理访客用户的数据流量,实现访客数据流量与内网数据隔离。
图8-2 访客隧道配置组网图
(1) 配置AC 1
# 配置AC 1为边缘AC。
<AC1> system-view
[AC1] wlan guest-tunnel edge-ac
# 指定AC 2作为汇聚AC,访客VLAN为VLAN 5。
[AC1-wlan-edge-ac] aggregation-ac ip 192.168.2.3 source ip 192.168.2.1 vlan 5
# 创建WLAN服务模板,配置SSID为guest,用于访客接入,并将WLAN-ESS接口与该服务模板绑定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid guest
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] service-template enable
# 创建AP模板,名称为ap1。
[AC1] wlan ap ap1 model WA2620E-AGN
[AC1-wlan-ap-ap1] serial-id 210235A35U007B000010
# 将服务模板绑定到ap1的Radio 2上,并指定客户端上线所在VLAN为访客VLAN 5。
[AC1-wlan-ap-ap1] radio 2
[AC1-wlan-ap-ap1-radio-2] service-template 1 vlan-id 5
[AC1-wlan-ap-ap1-radio-2] radio enable
(2) 配置AC 2
# 配置AC 2为汇聚AC。
<AC2> system-view
[AC2] wlan guest-tunnel aggregation-ac
# 指定AC 1作为边缘AC,访客VLAN为VLAN 5。
[AC2-wlan-aggregation-ac] edge-ac ip 192.168.2.1 vlan 5
(1) 在AC 1和AC 2上使用display wlan guest-tunnel all命令查看访客隧道状态
<AC1> display wlan guest-tunnel all
Guest-Tunnel Information
Local Mode: Edge AC Tunnel Count: 1
-------------------------------------------------------------------------------
Peer IP Address Local IP Address VLAN State Interface
-------------------------------------------------------------------------------
192.168.2.3 192.168.2.1 5 Up WLAN-Tunnel9
-------------------------------------------------------------------------------
<AC2> display wlan guest-tunnel all
Guest-Tunnel Information
Local Mode: Aggregation AC Tunnel Count: 1
-------------------------------------------------------------------------------
Peer IP Address VLAN State Interface
-------------------------------------------------------------------------------
192.168.2.1 5 Up WLAN-Tunnel9
-------------------------------------------------------------------------------
通过上述显示信息可以确认访客隧道处于Up状态。
(2) 使用display interface wlan-tunnel命令查看隧道接口信息
AC 1和AC 2上的用于转发访客数据流量的WLAN-TUNNEL接口显示允许通过的VLAN中存在VLAN 5,且AC 1上WLAN-TUNNEL发送数据和AC 2上WLAN-TUNNEL接收数据的值相同,表明AC 1将访客用户的数据流量转发到AC 2。
<AC1> display interface WLAN-TUNNEL
WLAN-Tunnel9 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e207-f2e0
Description: WLAN-Tunnel9 Interface
PVID: 1
Port link-type: trunk
VLAN passing : 5
VLAN permitted: 5
Trunk port encapsulation: IEEE 802.1q
Port priority: 0
Last clearing of counters: Never
Last 300 seconds input rate: 26 bytes/sec, 208 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
10464620 packets input, 1476008950 bytes, 0 drops
10562630 packets output, 1499509010 bytes, 0 drops
<AC2> display interface WLAN-TUNNEL
WLAN-Tunnel9 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e207-f2e0
Description: WLAN-Tunnel9 Interface
PVID: 1
Port link-type: trunk
VLAN passing : 5
VLAN permitted: 5
Trunk port encapsulation: IEEE 802.1q
Port priority: 0
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 9 bytes/sec, 72 bits/sec, 0 packets/sec
10562630 packets input, 1499509010 bytes, 0 drops
10464620 packets output, 1476008950 bytes, 0 drops
(3) 使用display wlan client命令查看访客用户的详细信息
使用display wlan client命令查看访客用户的详细信息,在VLAN字段可以看到访客用户通过访客VLAN 5上线。
本特性的支持情况与具体的设备型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
Bonjour协议是苹果公司开发的基于mDNS(Multicast DNS,组播域名)服务的零配置网络协议。Bonjour协议致力于让网络配置更简单,支持Bonjour协议的服务端设备能够自动组播服务信息,使得局域网内的客户端在无需获取服务端设备信息的情况下,自动发现可提供服务的设备。但是Bonjour协议本身只支持本地链路,不支持跨VLAN转发客户端和服务端设备的mDNS协议报文,并且网络管理员也不希望局域网内的客户端不被限制地任意使用网内服务。这就需要网络中能有设备设定规则来管理客户端和服务端设备,并且提供跨VLAN转发mDNS协议报文,这个设备就是Bonjour网关。
Bonjour网关是用来管理支持Bonjour协议的客户端和服务端设备,实现Bonjour协议在大规模网络中的应用。在网络中部署Bonjour网关的优势如下:
· 控制网络中mDNS协议报文流量,减少网络中过多的mDNS协议报文数量。
· 支持配置策略规则,管理客户端可以使用的具体服务。
· 提供跨VLAN转发客户端和服务端设备的mDNS协议报文,增强网络的易用性。
· 可以在多级视图下应用Bonjour策略。
· Bonjour网关不支持对从有线侧收到的查询报文进行转发,即如果从有线侧收到查询报文,Bonjour网关会直接丢弃。
· 在实际组网中,Bonjour网关会根据配置的限制服务规则和转发规则对查询和响应报文进行过滤。为了方便描述,本节重点围绕Bonjour的工作机制,不对规则过滤进行详细描述。关于服务规则和转发规则的作用和配置请参见“9.3.2 配置服务规则和转发规则”。
Bonjour网关的任务是查询代理、响应代答和响应转发,下面将结合组网来介绍Bonjour网关的工作机制。
在Bonjour网关已经获取到客户端需要查询的所有服务时,Bonjour网关的任务是响应代答。网络中各服务端设备发送Bonjour响应报文,在网络中通告其支持的服务,Bonjour网关收到响应报文后,建立Bonjour服务资源表项,然后Bonjour网关可以直接为查询表项中服务的客户端回复响应报文,这个过程称为响应代答。
结合如图9-1所示组网,Bonjour网关进行响应代答的过程如下:
(1) Apple TV和Print设备发送的Bonjour响应报文,在网络中通告其支持的服务。
(2) AC收到Apple TV和Print设备发送的Bonjour响应报文后,就会建立Apple TV、Print的Bonjour服务资源表项。
(3) AC收到客户端关于Apple TV或Print服务的查询报文,就会直接向客户端回复响应报文给客户端,客户端收到响应后即可获取提供Apple TV或Print服务的设备信息。
图9-1 Bonjour网关代答过程图
在某些情况下,Bonjour网关上收到客户端的查询报文,在检查Bonjour服务资源表项后发现Bonjour网关没有获取到客户端请求的指定服务,此时,Bonjour网关需要对指定服务进行查询代理和响应转发。Bonjour网关会转发查询报文,如果收到关于此服务的响应报文,就会将此服务的信息添加到Bonjour服务资源表项,然后转发响应报文给客户端。之后Bonjour网关可以为该服务端设备进行响应代答。
结合如图9-2所示组网,Bonjour网关进行查询代理和响应转发的过程如下:
(4) iPad客户端发出一个对Print服务的查询报文,AP收到该报文后,经由CAPWAP隧道发送到AC。
(5) AC查找Bonjour服务资源表项,发现表项内没有关于Print服务的内容。AC就会向配置的VLAN列表转发查询请求。
(6) 打印机收到AC转发的查询报文后,回复响应报文。
(7) AC将响应报文中的服务列表记录到Bonjour服务资源表项,然后转发响应给客户端。
至此AC已经获取到关于Print服务的表项,之后就可以进行响应代答。即如果有其它客户端给AC发送关于Print服务的查询报文,AC会直接查找Bonjour服务资源表项,然后回复响应报文给客户端。
图9-2 Bonjour网关查询代理和响应转发过程图
· Bonjour网关支持集中转发、本地转发以及策略转发模式。
· 在使用视频音频等媒体流服务时,建议在Bonjour网关上开启组播转单播功能。
只有同时开启全局和AP的Bonjour网关功能后,Bonjour网关功能才能生效。其中AP的Bonjour网关功能可以在指定AP模板视图下配置,也可以在AP组视图下配置。
表9-1 开启全局Bonjour网关功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启全局Bonjour网关功能 |
wlan bonjour-gateway enable |
必选 缺省情况下,全局Bonjour网关功能处于关闭状态 |
表9-2 在AP模板视图下开启Bonjour网关功能(方式一)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- |
开启Bonjour网关功能 |
bonjour-gateway enable |
可选 缺省情况下,Bonjour网关功能处于开启状态 |
表9-3 在AP组视图下开启Bonjour网关功能(方式二)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建AP组,并进入AP组视图 |
wlan ap-group group-name |
必选 缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
开启Bonjour网关功能 |
bonjour-gateway enable |
可选 缺省情况下,Bonjour网关功能处于开启状态 |
Bonjour策略视图下的配置包括服务规则和转发规则。
· AC会根据服务规则检查是否转发查询和响应报文。AC收到查询报文后,会检查查询报文中包含的服务类型与service type命令配置的服务类型是否匹配,不匹配就直接丢弃查询报文。对于收到的响应报文,AC会检查服务类型、IP地址和实例名,AC只会转发符合全部配置要求的响应报文。
· AC会根据配置的VLAN列表检查是否转发查询和响应报文,其中可选参数access-vlan是客户端接入的VLAN,配置此参数表示可以在客户端接入的VLAN内转发查询和响应报文。
如果某一种服务可能使用多种协议,为确保AC可以转发针对这种服务的查询报文,在AC上需要配置多条服务规则。例如,对于airprint打印机服务,在AC上需要同时配置ipp和ipps两种服务规则。
表9-4 配置服务规则和转发规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Bonjour策略 |
wlan bonjour-policy policy-name |
必选 缺省情况下,不存在任何Bonjour策略 |
配置服务规则 |
service type service-type [ ip ipv4-address | ipv6 ipv6-address | instance instance-name ] |
请根据实际组网配置 缺省情况下,没有限制客户端能够查找的服务,即客户端能够查找到所有的服务 |
配置转发规则 |
service vlan vlan-id-list [ access-vlan ] |
必选 缺省情况,不转发查询请求和响应报文 |
Bonjour策略可以分别应用到User Profile视图、AP视图、AP组视图与服务模板视图下,其中在AP组视图下应用Bonjour策略是一种批量配置方式,等效于在多个AP视图下应用Bonjour策略。在User Profile视图、AP视图、服务模板视图下应用的Bonjour策略会组成一个并集。例如在名为ap1的AP视图下应用Bonjour策略A,配置在VLAN A内可以转发查询和响应报文。在配置SSID为service的服务模板下应用Bonjour策略B,配置在VLAN B内可以转发查询和响应报文。如果客户端通过接入点service接入到ap1,那么AC收到查询报文和响应报文后,会去同时检查Bonjour策略A和Bonjour策略B下的配置,在VLAN A和VLAN B内均可以转发查询和响应报文。
表9-5 在AP模板上应用指定的Bonjour策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- |
在AP模板上应用指定的Bonjour策略 |
bonjour-policy policy-name |
必选 缺省情况下,没有在AP模板上应用Bonjour策略 |
表9-6 在AP组上应用指定的Bonjour策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建AP组,并进入AP组视图 |
wlan ap-group group-name |
必选 缺省情况下,存在一个名为default_group的AP组,所有AP都在这个缺省组中 |
在AP组上应用指定的Bonjour策略 |
bonjour-policy policy-name |
必选 缺省情况下,没有在AP组上应用Bonjour策略 |
表9-7 在服务模板上应用指定的Bonjour策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
- |
在服务模板上应用指定的Bonjour策略 |
bonjour-policy policy-name |
必选 缺省情况下,没有在服务模板上应用Bonjour策略 |
表9-8 在User Profile上应用指定的Bonjour策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建User Profile并进入相应的user-profile视图 |
user-profile profile-name |
必选 |
在User Profile上应用指定的Bonjour策略 |
wlan bonjour-policy policy-name |
必选 缺省情况下,没有在User Profile上应用Bonjour策略 |
AC进行响应代答时,可能以单播或组播的形式给客户端回复响应报文:
· 如果AC以单播形式给客户端回复响应报文,为了防止AC发送过多的单播响应报文给客户端,可以配置启动组播方式回复响应报文的门限值解决响应报文过多导致占用带宽资源的问题。当500毫秒内,接入一个BSS的客户端对同一个Bonjour服务的查询报文个数达到指定门限值时,AC在回复响应报文给客户端时,会使用一个组播响应报文替代达到门限值的单播响应报文。
· 如果AC以组播形式给客户端回复响应报文,AC缺省会将组播响应报文转换为单播响应报文。当500毫秒内,接入一个BSS的客户端对同一个Bonjour服务的查询报文个数达到指定门限值时,AC在回复响应报文给客户端时,也会使用一个组播响应报文替代达到门限值的单播响应报文。
表9-9 配置启动组播方式回复响应报文的门限值
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置启动组播方式回复响应报文的门限值 |
wlan bonjour-gateway multicast threshold threshold-number |
可选 缺省情况下,使用组播方式回复响应报文的门限值为10 |
为了实现响应代答,AC需要维护Bonjour服务资源表项。AC可以使用两种方法来维护Bonjour服务资源表项:
· 被动查询方式:使用display wlan bonjour-service命令可以查看Bonjour服务的生存时间,即TTL值。达到该TTL时间的80%到82%之间时,AC会随机选择一个时间发送对此Bonjour服务记录的查询报文,如果未收到响应报文,AC会依次在该TTL时间的85%到87%、90%到92%、95%到97%之间发送对此记录的查询报文。若在生存时间内,如果AC没有收到响应报文,AC会删除对应的服务资源记录。被动查询方式在AC上默认开启,不需要配置。
· 主动查询方式:开启该功能后,AC会针对Bonjour服务记录周期性发送查询报文,以获取该服务的响应。AC通过学习响应报文来更新Bonjour服务记录。若在生存时间内,如果AC没有收到响应报文,AC会删除对应的服务资源记录。
表9-10 配置AC主动查询Bonjour服务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置AC主动查询Bonjour服务 |
wlan bonjour-gateway query enable |
必选 缺省情况下,AC主动查询Bonjour服务功能处于关闭状态 |
配置AC向已发现的服务发送查询报文的时间间隔 |
wlan bonjour-gateway query interval interval-number |
可选 缺省情况下,AC向已发现的服务发送查询报文的时间间隔为15秒 |
在完成上述配置后,在任意视图下执行display命令可以显示Bonjour网关的运行情况,通过查看显示信息验证配置的效果。
表9-11 Bonjour网关显示和维护
操作 |
命令 |
显示Bonjour策略信息 |
display wlan bonjour-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ] |
显示AC发现的Bonjour服务信息 |
display wlan bonjour-service [ | { begin | exclude | include } regular-expression ] |
显示客户端查询到的Bonjour服务 |
display wlan client verbose [ | { begin | exclude | include } regular-expression ] |
显示应用的Bonjour策略 |
display wlan ap { all | name ap-name } verbose [ | { begin | exclude | include } regular-expression ] |
display wlan service-template [ service-template-number ] [ | { begin | exclude | include } regular-expression ] |
|
display wlan ap-group [ group-name ] [ | { begin | exclude | include } regular-expression ] |
在下图所示组网中,Apple TV和Print分别通过名为apple_tv和print的SSID接入无线网络,在不同VLAN中的老师和学生需要使用iPad客户端通过名为teacher和student的SSID接入无线网络,要求使用iPad客户端自动发现网络提供的服务,即老师使用的iPad客户端可以查找到Apple TV和Print服务,学生使用的iPad客户端只可以查找到Print服务。
图9-3 Bonjour网关配置组网图
(1) 在AC上完成无线服务的相关配置
将学生使用的iPad客户端接入名为student的SSID,接入VLAN为VLAN 10,将老师使用的iPad客户端接入名为teacher的SSID,接入VLAN为VLAN 20,具体配置步骤略。
(2) 为DHCP客户端分配的网关地址
配置DHCP服务器,使其为客户端分配的网关地址为AC的IP地址,具体配置步骤略。
(3) 配置Bonjour网关
# 开启全局Bonjour网关功能。
<AC> system-view
[AC] wlan bonjour-gateway enable
# 创建名称为teacher的Bonjour策略,通过名为teacher的SSID接入的客户端可以查找VLAN 3 4 中的服务。
[AC] wlan bonjour-policy teacher
[AC-wlan-bp-teacher] service vlan 3 4
# 创建名称为student的Bonjour策略,通过名为student的SSID接入的客户端可以查找VLAN 4 中的服务。
<AC> system-view
[AC] wlan bonjour-policy student
[AC-wlan-bp-student] service vlan 4
# 在为学生接入配置的服务模板上应用Bonjour策略。
[AC] wlan service-template 10 clear
[AC-wlan-st-10] ssid student
[AC-wlan-st-10] bonjour-policy student
[AC-wlan-st-10] service-template enable
# 在为老师接入配置的服务模板上应用Bonjour策略。
[AC] wlan service-template 11 clear
[AC-wlan-st-11] ssid teacher
[AC-wlan-st-11] bonjour-policy teacher
[AC-wlan-st-11] service-template enable
(1) 使用display wlan bonjour-service命令可以查看到AC发现的Apple TV和Print服务。
(2) 使用display wlan client verbose命令可以查看客户端查找到的Apple TV和Print服务。在VLAN 10中的iPad客户端只可以查找到Print服务,在VLAN 20中的iPad客户端只可以查找到Apple TV和Print服务。
本特性的支持情况与具体的设备型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
Hotspot2.0是基于802.11u协议,实现客户端自动发现网络、自动认证和客户端在网络之间无缝漫游。
目前,AC支持Hotspot2.0协议中的以下三部分。
· 自动发现网络:通过主动扫描或被动扫描,AC和客户端交互Hotspot2.0协议的支持情况,如果设备均支持Hotspot2.0协议,客户端在关联到AP之前就能通过GAS(Generic Advertisement Service,一般广告服务)报文查询到丰富的外部网络信息。
· 安全性提高:为了提高无线网络的安全,提供DGAF(Downstream Group-Addressed Forwarding,下行组地址报文转发)功能,开启该功能后,AP会转发所有下行的无线广播ARP报文和无线组播报文。关闭DGAF功能后,AP会丢弃所有下行的无线广播和组播报文,防止非法用户利用这些报文进行欺骗攻击。
· 增强网络管理:客户端从当前BSS获取负载信息,并且可以在AC上通过调整参数的取值,实现控制客户端和AC之间进行合理、有序的报文交互。
本地转发不支持Hotspot2.0协议,即在开启本地转发命令后,Hotspot功能不会生效。
自动发现网络包括核心网的信息和AP集结点信息,其中AP集结点用于通知客户端提供接入服务AP的用途和类型。配置自动发现网络功能后,AC会发送GAS报文通知客户端外部网络信息,包含广域网链路信息、运营商信息、AP集结点信息等,以便客户端在获取这些信息后更智能地选择接入的网络。
需要注意是,将Hotspot2.0策略应用到服务模板后,下列配置才能生效。
表10-1 配置自动发现网络
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个Hotspot2.0策略,并进入Hotspot2.0策略视图 |
wlan hotspot-policy policy-number |
- |
配置3GPP信息 |
3gpp-info country-code country-code network-code network-code |
可选 缺省情况下,没有配置3GPP信息 |
配置域名 |
domain-name name |
可选 缺省情况下,没有配置域名信息 |
配置扩展服务标示 |
hessid hessid |
可选 缺省情况下,没有配置扩展服务标识 |
配置IP地址类型 |
ip-type ipv4 ipv4-type ipv6 ipv6-type |
可选 缺省情况下,IPv4地址的有效性为1,IPv6地址的有效性为2 |
配置运营商信息 |
operator-name operator-name lang-code lang-code |
可选 缺省情况下,没有配置运营商信息 |
配置漫游的服务标示 |
roam-oui oui [ in-beacon ] |
可选 缺省情况下,没有配置漫游机构的标识 |
配置策略名称 |
policy-name policy-name |
可选 缺省情况下,没有配置Hotspot2.0策略名称 |
配置认证方式 |
authentication-type authentication-type [ redirect-url url-address ] |
可选 缺省情况下,没有配置网络认证类型 |
配置NAI 域名 |
nai-realm name name eap-method eap-method-id auth-method auth-method authentication authentication |
可选 缺省情况下,没有配置NAI域名支持的认证方式 |
用来配置NAI域的存储顺序与手动配置的顺序一致 |
nai-realm unsorted |
可选 缺省情况下,NAI域按字典序存储 |
配置广域网信息 |
wan-metrics { link-down | link-test | link-up } [ asymmetric downlink-speed downlink-speed uplink-speed uplink-speed | symmetric link-speed link-speed ] |
可选 缺省情况下,没有配置广域网参数 |
表10-2 配置集结点信息
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AP模板视图/AP组视图 |
进入AP模板视图 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
两者必选其一 |
进入AP组视图 |
wlan ap-group group-name |
||
配置AP所属的集结点组名及其子类型 |
ap-venue group venue-group type venue-type |
可选 缺省情况下,没有配置AP所属的集结点组名及其子类型 |
|
配置AP所属的集结点名称信息 |
ap-venue name venue-name lang-code lang-code |
可选 缺省情况下,没有配置AP所属的集结点名称信息 |
开启DGAF(Downstream Group-Addressed Forwarding,下行组地址报文转发)功能后,AP会转发所有下行的无线广播ARP报文和无线组播报文。关闭DGAF功能后,AP会丢弃所有下行的无线广播ARP报文和无线组播报文,防止非法用户利用下行组地址报文进行欺骗攻击。
需要注意的是,如果需要保留无线广播ARP报文或者无线组播报文,可以配置开启代理ARP功能或组播优化功能。为了避免报文丢失,建议在关闭该功能前,先开启代理ARP功能和组播优化功能。
表10-3 关闭DGAF功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个Hotspot2.0策略,并进入Hotspot2.0策略视图 |
wlan hotspot-policy policy-number |
- |
关闭DGAF功能 |
undo dgaf enable |
可选 缺省情况下,DGAF功能处于开启状态 |
为了控制客户端和AC之间进行合理、有序的报文交互,增强网络管理,可以配置以下参数:
· 为了降低AC处理报文的负担,可以限定AC在指定时间间隔内接收客户端发送的最大GAS initial报文数。
· 为了防止客户端过于频繁地发送GAS comback报文,限定客户端必须在指定延迟后才能发送GAS comback报文。
表10-4 配置网络管理参数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建一个Hotspot2.0策略,并进入Hotspot2.0策略视图 |
wlan hotspot-policy policy-number |
|
配置通知客户端在指定延迟时间后发送GAS comeback报文 |
comeback-delay value |
可选 缺省情况下,延迟时间值为1TU |
配置AC在指定间隔内接收客户端发送的最大GAS initial报文数 |
gas-limit number number interval interval |
可选 缺省情况下,不对接收到的GAS initial报文数量进行限制 |
为了增强网络完全性,在应用Hotspot2.0策略时,请注意如下事项:
· 只能在使用WPA加密方式、认证类型为802.1X的Crypto类型服务模板上应用Hotspot2.0策略。
· 建议在AC上通过attack-detection enable flood命令开启泛洪攻击检测。
表10-5 应用Hotspot2.0策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置WLAN服务模板 |
wlan service-template service-template-number crypto |
不能修改已创建的服务模板的类型 |
在服务模板上应用Hotspot2.0策略号 |
hotspot-policy policy-number |
必选 缺省情况下,没有在服务模板上应用Hotspot2.0策略号, |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!