- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
02-WLAN服務配置
本章節下載: 02-WLAN服務配置 (962.57 KB)
WLAN(Wireless Local Area Network,無線局域網)技術是當今通信領域的熱點之一,和有線相比,無線局域網的啟動和實施相對簡單,維護的成本低廉,一般隻要安放一個或多個接入點設備就可建立覆蓋整個建築或地區的局域網絡。然而,WLAN係統不是完全的無線係統,它的服務器和骨幹網仍然安置在固定網絡,隻是用戶可以通過無線方式接入網絡。
使用WLAN解決方案,網絡運營商和企業能夠為用戶提供無線局域網服務,服務內容包括:
· 應用具有無線局域網功能的設備建立無線網絡,通過該網絡,用戶可以連接到固定網絡或因特網。
· 無線用戶可以訪問傳統802.3局域網。
· 使用不同認證和加密方式,安全地訪問WLAN。
· 為無線用戶提供安全的網絡接入和移動區域內的無縫漫遊。
(1) 客戶端
帶有無線網卡的PC、便攜式筆記本電腦以及支持WiFi功能的各種終端。
(2) AP(Access Point,接入點)
AP提供無線客戶端到局域網的橋接功能,在無線客戶端與無線局域網之間進行無線到有線和有線到無線的幀轉換。
(3) AC(Access Controller,無線控製器)
無線控製器對無線局域網中的所有AP進行控製和管理。無線控製器還可以通過同認證服務器交互信息,來為WLAN用戶提供認證服務。
(4) SSID
SSID(Service Set Identifier,服務集識別碼),客戶端可以先掃描所有網絡,然後選擇特定的SSID接入某個指定無線網絡。
(5) 無線介質
無線介質是用於在無線用戶間傳輸幀的介質。WLAN係統使用無線射頻作為傳輸介質。
(6) 分離MAC
在分離MAC模式中,AP和AC負責管理不同的功能:
· AP管理實時任務,如信標生成、探查回應、電源管理、報文緩存、報文分片和分片重組、調度、排隊。
· AC管理的任務包括:分發、集成、關聯、解除關聯、重新關聯、密鑰管理、802.1x和EAP、調度及802.11e分類。
無線用戶首先需要通過主動/被動掃描發現周圍的無線服務,再通過認證和關聯兩個過程後,才能和AP建立連接,最終接入無線局域網。整個過程如圖1-1所示。
無線客戶端有兩種方式可以獲取到周圍的無線網絡信息:一種為主動掃描,無線客戶端在掃描的時候,同時主動發送一個Probe Request幀(探測請求幀),通過收到Probe Response幀(探查響應幀)獲取網絡信號,另外一種是被動掃描,無線客戶端隻是通過監聽周圍AP發送的Beacon幀(信標幀)獲取無線網絡信息;
無線客戶端在實際工作過程中,通常同時使用主動掃描和被動掃描獲取周圍的無線網絡信息。
(1) 主動掃描
無線客戶端在工作過程中,會定期地搜索周圍的無線網絡,也就是主動掃描周圍的無線網絡。根據Probe Request幀(探測請求幀)是否攜帶SSID,可以將主動掃描分為兩種:
· 客戶端發送Probe Request幀(Probe Request中SSID為空,也就是SSID IE的長度為0):客戶端會定期地在其支持的信道列表中,發送Probe Request幀掃描無線網絡。當AP收到探查請求幀後,會回應Probe Response幀通告可以提供的無線網絡信息。無線客戶端通過主動掃描,可以主動獲知可使用的無線服務,之後無線客戶端可以根據需要選擇適當的無線網絡接入。無線客戶端主動掃描方式的過程如圖1-2所示。
圖1-2 主動掃描過程(Probe Request中SSID為空,也就是不攜帶任何SSID信息)
· 客戶端發送Probe Request幀(攜帶指定的SSID):當無線客戶端配置希望連接的無線網絡或者已經成功連接到一個無線網絡情況下,客戶端也會定期發送Probe Request幀(攜帶已經配置或者已經連接的無線網絡的SSID),當能夠提供指定SSID無線服務的AP接收到探測請求後回複探查響應。通過這種方法,無線客戶端可以主動掃描指定的無線網絡。這種無線客戶端主動掃描方式的過程如圖1-3所示。
圖1-3 主動掃描過程(Probe Request攜帶指定的SSID為“AP 1”)
(2) 被動掃描
被動掃描是指客戶端通過偵聽AP定期發送的Beacon幀發現周圍的無線網絡。提供無線網絡服務的AP設備都會周期性發送Beacon幀,從而接入AP,所以無線客戶端可以定期在支持的信道列表監聽Beacon幀獲取周圍的無線網絡信息。當用戶需要節省電量時,可以使用被動掃描。一般VoIP語音終端通常使用被動掃描方式。被動掃描的過程如圖1-4所示。
為了保證無線鏈路的安全,接入過程中AP需要完成對客戶端的認證,隻有通過認證後才能進入後續的關聯階段。802.11鏈路定義了兩種認證機製:開放係統認證和共享密鑰認證。
· 開放係統認證
· 共享密鑰認證
關於兩種認證的詳細介紹請參見“WLAN配置指導”中的“WLAN安全配置”。
如果用戶想接入無線網絡,必須同特定的AP關聯。當用戶通過指定SSID選擇無線網絡,並通過AP鏈路認證後,就會立即向AP發送關聯請求。AP會對關聯請求幀攜帶的能力信息進行檢測,最終確定該無線終端支持的能力,並回複關聯響應通知鏈路是否關聯成功。通常,無線終端同時隻可以和一個AP建立鏈路,而且關聯總是由無線終端發起。
(1) 解除認證
解除認證用於中斷已經建立的鏈路或者認證,無論AP還是無線終端都可以發送解除認證幀斷開當前的鏈接過程。無線係統中,有多種原因可以導致解除認證,如:
· 接收到非認證用戶的關聯或解除關聯幀。
· 接收到非認證用戶的數據幀。
· 接收到非認證用戶的PS-Poll幀。
(2) 解除關聯
無論AP還是無線終端都可以通過發送解除關聯幀以斷開當前的無線鏈路。無線係統中,有多種原因可以導致解除關聯,如:
· 接收到已認證但未關聯用戶的數據幀。
· 接收到已認證但未關聯用戶的PS-Poll幀。
AC的WLAN-MAC功能主要包括實現IEEE 802.11協議MAC層功能。MAC模式包括:
· 本地MAC架構
· 分離MAC架構
在本地MAC架構中,大部分功能由AP單獨實現。目前,AC不支持本地MAC架構。
在分離MAC架構中,AP和AC負責管理不同的功能。
AC與AP間隧道封裝協議定義了AP與AC之間如何通信,為實現AP和AC之間的互通性提供一個通用封裝和傳輸機製,如下圖所示。
圖1-5 AC與AP間隧道封裝示意圖
AC與AP之間的通信依照標準UDP客戶端/服務器端模型來建立。AC與AP間的隧道可以封裝發往AC的數據包。這些數據包可以是802.11協議的數據包。同時該隧道還支持AC的遠程AP配置、WLAN管理和漫遊管理。
在IP網絡中AC與AP間隧道使用UDP協議作為承載協議,並支持IPv4和IPv6協議。
為了實現無線控製器的備份,AP需要與兩個無線控製器分別建立信道鏈接。這兩台無線控製器之間為主備份的關係,且對於需要提供服務的同一AP,其AP視圖下的配置必須保持一致。處於主用狀態的無線控製器負責為所有AP提供服務,而備用無線控製器為主用無線控製器提供備份。通過心跳檢測機製,當主用無線控製器發生故障時,備用無線控製器可立即檢測到該主用無線控製器的異常狀態並成為新的主用無線控製器,保證無線服務不會中斷。
圖1-6 雙鏈路連接
上圖中,AC 1與AC 2為主備熱備份的兩台無線控製器。AC 1工作在主用狀態,並為AP 1、AP 2、AP 3及AP 4提供服務;AC 2工作在備用狀態,各AP通過備用信道鏈路連接到AC 2。通過配置,使兩台無線控製器啟動主備心跳檢測。當檢測到AC 1出現故障後,AC 2的工作狀態快速由備用轉為主用;通過備用信道連接到AC 2的AP將該備用信道轉換為主用信道,使用AC 2作為主用無線控製器。當AC 1恢複連接後,AC 1保持在備用狀態。
圖1-7 Primary AC支持雙鏈路連接
上圖中,作為Primary AC的AC 1是主AC(通過命令行配置其優先級為7),與AP建立隧道連接,AC 2作為備份AC為AP提供備份鏈路。當AC 1出現故障時,在其恢複與AP的隧道連接前,AC 2會成為Master AC。當AC 1恢複連接後,作為Primary AC的AC 1會重新與AP建立連接,成為Master AC。
圖1-8 AC同時支持兩種工作狀態
一個AC可以同時提供主備份連接。在上圖中,AC 1與AP 1建立主用鏈路,同時為AP 2提供備份鏈路。類似的,AC 2與AP 2建立主用鏈路,同時為AP 1提供備份鏈路。
采用AC的集中式WLAN管理有以下幾種拓撲:
· 單一/多BSS
· 單一/多ESS
· 基於VLAN的WLAN
· 集中式WLAN係統
一個AP所覆蓋的範圍被稱為BSS(Basic Service Set,基本服務集)。每一個BSS由BSSID(基本服務集識別碼)來標識。最簡單的WLAN可以由一個BSS建立,所有的無線客戶端都在同一個BSS內。如果這些客戶端都得到了同樣的授權,那麼他們就可以互相通信。圖1-9為單一BSS網絡組網示意圖。
屬於同一BSS的客戶端之間的通信由AP和AC實現。使用多個BSS可以通過添加AP簡單實現。
在相同邏輯管理域下的所有客戶端組成一個ESS(Extended Service Set,擴展服務集)。這些客戶端可以互相訪問,也可以訪問網絡中的主機。多ESS拓撲結構用於網絡中存在多個邏輯管理域(即ESS)的情況。當一個移動用戶加入到某個AP,它可以加入一個可用的ESS。圖1-10為多ESS網絡組網示意圖。
通常,AP可以同時提供多個邏輯ESS。ESS的配置主要從無線控製器下發給AP,AP通過發送信標或探查響應幀,在網絡中廣播這些ESS的當前信息,客戶端可以根據情況選擇加入的ESS。
在無線控製器上,可以配置不同的ESS域,並可以配置當這些域中的用戶通過身份認證後,允許AP通告並接受這些用戶。
在單一ESS中,客戶端都加入到一個ESS中。
集中式WLAN係統邏輯上為無線局域網提供了單獨的解決方案。圖1-11為WLAN係統運行的組網示意圖。
如圖所示,該WLAN係統中有兩個AC和三個AP。AP可以直接連接到AC上,也可以通過二層或三層網絡連接到AC上。
在初始階段,AP從DHCP服務器獲取到網絡基本配置參數,如IP地址、網關、域名和DNS服務器地址等。
AP運用發現機製來識別AC,如果AP使用單播發現機製,AP可以請求DNS服務器提供AC的網絡地址。操作流程如下:
(1) 無線客戶端與網絡中的AP關聯,從而與其它無線客戶端進行通信。
(2) AP與AC通信來對無線客戶端進行認證。
(3) AC使用AS(Authentication Server,認證服務器)來驗證無線客戶端身份。
一旦無線客戶端通過認證並與AP關聯成功,就可以使用授權的WLAN服務並與其它的無線客戶端及有線設備進行通信。
· ANSI/IEEE Std 802.11, 1999 Edition
· IEEE Std 802.11a
· IEEE Std 802.11b
· IEEE Std 802.11g
· IEEE Std 802.11i
· IEEE Std 802.11-2004
· IEEE Std 802.11n
表1-1 WLAN服務配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
開啟WLAN服務 |
必選 |
|
|
配置國家碼 |
必選 |
|
|
配置軟件自動升級 |
可選 |
|
|
配置服務模板 |
必選 |
|
|
配置AP |
必選 |
|
|
配置AP自動發現 |
可選 |
|
|
在AC上設置FIT AP配置信息 |
可選 |
|
|
配置AC與AP間隧道支持雙鏈路 |
可選 |
|
|
配置射頻參數 |
必選 |
|
|
配置射頻策略/接口 |
必選 |
|
|
配置802.11n |
可選 |
隻有開啟了WLAN服務,才能夠獲得WLAN所提供的功能。
表1-2 開啟WLAN服務
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟WLAN服務 |
wlan enable |
必選 缺省情況下,WLAN服務處於開啟狀態 |
不同國家或地區對射頻使用有不同的管製要求,國家碼決定了可以使用的工作頻段、信道,以及合法的發射功率級別等。在配置WLAN設備時,必須正確地設置國家或地區碼,以確保不違反當地的管製規定。
如果某些AC或FIT AP上的國家碼已遵照相應國家或地區的管製要求進行了鎖定,此時國家碼的生效關係如下:
· 若隻有AC的國家碼處於鎖定,則不允許修改該AC的國家碼,且所有FIT AP均不允許修改國家碼,隻能使用AC的國家碼。
· 若FIT AP的國家碼處於鎖定,則不允許修改該FIT AP的國家碼,該FIT AP隻能使用鎖定的國家碼;
· 若FIT AP和AC的國家碼都處於鎖定,且二者不同,則以FIT AP的鎖定國家碼為準。
表1-3 配置國家碼
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置全局國家碼 |
wlan country-code code |
必選 缺省情況下,全局國家碼為CN |
|
配置AP名稱和型號名稱,並進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
配置AP的國家碼 |
country-code code |
可選 缺省情況下,沒有配置AP的國家碼。在沒有配置AP國家碼的情況下,缺省使用全局國家碼。如果都進行了配置,則優先采用AP模板視圖下AP國家碼的配置 |
若在AP模板視圖下已經配置AP國家碼或AP的國家碼已遵照相應國家或地區的管製要求進行了鎖定,則修改全局國家碼的配置不會影響AP的國家碼。
FIT AP為零配置設備,該設備在上電後可以自動發現AC,但缺省情況下要求FIT AP和AC軟件版本一致。在AC上通過配置軟件自動升級命令,可以關聯FIT AP和AC的軟件版本,升級AC版本後,不再需要網管人員升級FIT AP設備版本。
表1-4 配置軟件自動升級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置軟件自動升級 |
wlan apdb model-name hardware-version software-version |
可選 缺省情況下,要求FIT AP設備和AC設備軟件版本一致 |
WLAN服務模板包括一些屬性,如SSID、綁定的WLAN-ESS接口和認證算法(開放係統認證或共享密鑰認證)。服務模板有三種類型:明文模板(clear)和密文模板(crypto)和WAPI模板(wapi)。
表1-5 配置服務模板
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定WLAN接口並進入WLAN-ESS接口視圖 |
interface wlan-ess interface-index |
- |
|
退出接口視圖 |
quit |
- |
|
配置WLAN服務模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
不能修改已創建的服務模板的類型 |
|
配置SSID |
ssid ssid-name |
必選 |
|
配置在信標幀中隱藏SSID |
beacon ssid-hide |
可選 缺省情況下,信標幀中不隱藏SSID |
|
將WLAN-ESS和服務模板綁定 |
bind wlan-ess interface-index |
必選 |
|
配置AP的本地轉發功能 |
client forwarding-mode local [ vlan vlan-id-list ] |
可選 缺省情況下,AP將BSS的所有無線客戶端的流量遠端轉發 |
|
選擇認證方式 |
authentication-method { open-system | shared-key } |
必選 共享密鑰認證模式請參見“WLAN配置指導”中的“WLAN安全配置” |
|
指定在同一個射頻下,某個SSID下的關聯客戶端的最大個數 |
client max-count max-number |
可選 缺省情況下,最多可以關聯124個客戶端 |
|
開啟快速關聯功能 |
fast-association enable |
可選 缺省情況下,快速關聯功能處於關閉狀態 開啟此功能後,設備不會對關聯到此SSID的客戶端進行頻譜導航和負載均衡計算 |
|
開啟服務模板 |
service-template enable |
必選 缺省情況下,服務模板處於關閉狀態 |
通常情況下,對於FIT AP的配置需要終端連接到AP之後才能進行,這樣不利於大規模的FIT AP部署以及集中化管理。通過在AC上設置FIT AP配置信息,提供了一種在AC上對FIT AP進行配置的方法,避免逐台配置FIT AP。AP用來在無線控製器和無線網絡之間建立連接。AP通過射頻信號同無線網絡的客戶端建立連接,並通過上行接口連接到有線網絡。
表1-6 配置AP無線參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置AP名稱和型號名稱,並進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
配置AP的序列號 |
serial-id { text | auto } |
必選 缺省情況下,沒有為AP配置序列號
在配置AP自動發現功能時,除了需要配置serial-id auto之外,還需要配置wlan auto-ap enable命令 |
|
配置AP的描述信息 |
description text |
可選 |
|
配置AP的響應時間間隔 |
echo-interval interval |
可選 缺省情況下,響應時間間隔為10秒 |
|
限製AC向AP發送數據報文的速率 |
cir committed-information-rate [ cbs committed-burst-size ] |
可選 缺省情況下,不限製AC向AP發送數據報文的速率 |
|
配置AP名稱 |
ap-name name |
可選 缺省情況下,沒有設置AP名稱 |
|
配置Jumbo幀的最大長度 |
jumboframe enable value |
可選 缺省情況下,禁止Jumbo幀的傳輸 |
|
配置AP回複客戶端發送的SSID為空的探測請求 |
broadcast-probe reply |
可選 缺省情況下,AP會對無線客戶端發送的SSID為空的探測請求進行回複 |
|
配置AP和無線客戶端之間連接允許的最大空閑時間 |
client idle-timeout interval |
可選 缺省情況下,AP和無線客戶端之間的連接允許的最大空閑時間為3600秒 |
|
設置無線客戶端的保活時間間隔 |
client keep-alive interval |
可選 缺省情況下,關閉無線客戶端的保活功能 |
|
配置AC上AP連接的優先級 |
priority level priority |
可選 缺省情況下,AP連接優先級為4 |
|
開啟AP的Remote AP功能 |
hybrid-remote-ap enable |
可選 缺省情況下,Remote AP功能處於關閉狀態
· 開啟AP的Remote AP功能時,對於AP上使用802.1x認證的服務模板,建議關閉在線用戶握手功能功能 · Remote AP功能不能與Mesh功能同時啟用 |
|
將指定文件映射到AP |
map-configuration filename |
可選 缺省情況下,沒有文件被映射到AP |
|
退出AP模板視圖 |
quit |
- |
|
配置AC發現策略 |
wlan lwapp discovery-policy unicast |
可選 缺省情況下,LWAPP發現策略類型為廣播的方式 發現策略可以是單播或廣播的形式,如果配置發現策略為單播形式,則廣播發現報文將會被丟棄 |
|
開啟WLAN射頻 |
wlan radio { disable | enable } {all | dot11a | dot11an | dot11b | dot11g | dot11gn | radio-policy radio-policy-name } |
必選 缺省情況下,WLAN射頻處於關閉狀態 |
|
配置基於AP的NAS-PORT-ID |
nas-port-id text |
可選 缺省情況下,沒有為AP配置NAS-PORT-ID |
|
配置AP的NAS-ID |
nas-id text |
可選 缺省情況下,沒有為AP配置NAS-ID編號 |
在AC上配置serid-id auto,並開啟自動AP發現功能,AP就能夠自動連接到AC上。在部署AP數量較多的無線網絡時,自動AP發現功能可以簡化配置,避免多次配置大量的AP序列號。
表1-7 配置AP自動發現
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置自動AP發現 |
wlan auto-ap enable |
可選 缺省情況下,自動AP發現功能處於關閉狀態 |
|
進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
設置AP的序列號 |
serial-id auto |
必選 |
|
退出AP模板視圖 |
quit |
- |
|
將自動AP轉換為固定AP |
wlan auto-ap persistent { all | name auto-ap-name [ new-ap-name ] } |
可選 隻有將自動AP轉換為固定AP,才能對AP模板做進一步的配置,AP下線後AP模板不被刪除 |
當配置了AP自動發現,在更改了AP模板的配置信息後,以自動發現方式關聯的AP,需要重新連接AC,才能繼承AP模板的新配置。
AP預配置的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
通常情況下,對於FIT AP的配置需要終端連接到AP之後才能進行,這樣不利於大規模的FIT AP部署以及集中化管理。通過在AC上設置FIT AP配置信息,提供了一種在AC端對FIT AP進行配置的方法,避免逐台配置FIT AP。
AC通過AC與AP間隧道協議將配置信息下發至FIT AP。需要注意的是AC隻能將配置信息發送給與它建立了隧道連接(即當前處於Run狀態)的FIT AP。
以自動發現方式關聯的AP,在AC上設置FIT AP配置信息後,自動AP需要重新連接AC,來更新配置,然後再將AP配置視圖下的配置信息保存到AP的私有配置文件中,再重啟AP,AP配置視圖下的配置信息才會生效。
以手動方式關聯的AP,在AC上設置FIT AP配置信息後,需要將AP配置視圖下的配置信息保存到AP的私有配置文件中,再重啟AP,AP配置視圖下的配置信息才會生效。
表1-8 配置AP網絡參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置AC的全局IP地址,使所有AP能夠靜態發現AC |
wlan ap-provision ac { host-name host-name | ip ip-address | ipv6 ipv6-address } |
可選 缺省情況下,沒有配置AC的全局IP地址 |
|
配置AP使用的域名服務器的全局IP地址 |
wlan ap-provision dns server { ip ip-address | ipv6 ipv6-address } |
可選 缺省情況下,沒有配置AP使用的域名服務器的全局IP地址 |
|
配置AP使用的域名服務器的全局域名後綴 |
wlan ap-provision dns domain domain-name |
可選 缺省情況下,沒有配置AP使用的域名服務器的全局域名後綴 |
|
設置AP名稱和型號名稱,並進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
創建並進入AP配置視圖 |
provision |
- 創建AP配置視圖後,設備會自動配置vlan untagged 1命令 |
|
配置AC的IP地址,使指定AP能夠靜態發現AC |
ac { host-name host-name | ip ip-address | ipv6 ipv6-address } |
可選 缺省情況下,沒有配置AC的IP地址 wlan ap-provision ac命令對所有AP生效,AP配置視圖下的ac命令隻對指定的AP生效,如果都進行了配置,則優先采用AP配置視圖下的配置 |
|
配置AP使用的域名服務器的IP地址 |
dns server { ip ip-address | ipv6 ipv6-address } |
可選 缺省情況下,沒有配置AP使用的域名服務器的IP地址 wlan ap-provision dns server命令對所有AP生效,AP配置視圖下的dns server命令隻對指定的AP生效,如果都進行了配置,則優先采用AP配置視圖下的配置 |
|
配置AP使用的域名服務器的域名後綴 |
dns domain domain-name |
可選 缺省情況下,沒有配置AP使用的域名服務器的域名後綴 wlan ap-provision dns domain命令對所有AP生效,AP配置視圖下的dns domain命令隻對指定的AP生效,如果都進行了配置,則優先采用AP配置視圖下的配置 |
|
配置AP上以太網接口的缺省VLAN ID |
vlan pvid vlan-id |
可選 缺省情況下,AP上以太網接口的缺省VLAN ID為1 |
|
在AP以太網接口上配置需要攜帶Tag的VLAN列表 |
vlan tagged vlan-id-list |
可選 缺省情況下,在AP以太網接口上不存在Tagged的VLAN |
|
在AP以太網接口上配置不需要攜帶Tag的VLAN列表 |
vlan untagged vlan-id-list |
可選 缺省情況下,在AP以太網接口上不存在Untagged的VLAN |
|
配置AP的管理VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
可選 缺省情況下,沒有配置AP的管理VLAN接口的IP地址 目前,AP的管理VLAN隻能配置為VLAN1 |
|
配置AP的管理VLAN接口的IPv6地址 |
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
可選 缺省情況下,沒有配置AP的管理VLAN接口的IPv6地址 目前,AP的管理VLAN隻能配置為VLAN1 |
|
配置AP的網關地址 |
gateway { ip ip- address | ipv6 ipv6-address } |
可選 缺省情況下,沒有配置AP的網關地址 |
|
將AP配置視圖下的配置信息保存到指定AP的私有配置文件中 |
save wlan ap provision { all | name ap-name } |
必選 該命令僅對當前處於Run狀態的AP生效 關於該命令的使用注意事項請參見“WLAN命令參考”中的“WLAN服務配置命令” |
|
清除指定AP上的私有配置文件 |
reset wlan ap provision { all | name ap-name } |
可選 該命令僅對當前處於Run狀態的AP生效 |
可以在任意視圖執行save wlan ap provision和reset wlan ap provision命令。
表1-9 配置AC與AP間隧道支持雙鏈路備份
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置備份AC的IP地址 |
wlan backup-ac { ip ipv4-address | ipv6 ipv6-address } |
可選 缺省情況下,沒有配置備份AC的IP地址 如果在係統視圖和AP模板視圖下配置了相同參數,則不論配置先後,AP模板視圖下的配置將被優先采用 |
|
進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
為指定的AP配置備份AC的IP地址 |
backup-ac { ip ipv4-address | ipv6 ipv6-address } |
可選 缺省情況下,備份AC的IP地址為係統視圖下配置的全局備份AC的IP地址 如果在係統視圖和AP模板視圖下配置了相同參數,則不論配置先後,AP模板視圖下的配置將被優先采用 |
|
配置AC上AP連接的優先級 |
priority level priority |
可選 缺省情況下,AP連接優先級為4 當配置某一AC的優先級為7時,此AC成為Primary AC。此AC出現故障後又恢複連接時,會重新與AP建立連接,成為Master AC |
在配置AC與AP間隧道支持雙鏈路備份時,兩個無線控製器上對於需要提供服務的同一AP,其AP視圖下的配置必須保持一致。否則當無線控製器的主備狀態切換之後,無法保證AP設備工作正常。
IPsec加密CAPWAP/LWAPP隧道特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
CAPWAP/LWAPP協議通過在AP和AC之間建立控製和數據隧道為兩者的通信提供了通用的封裝和傳輸機製,但是隧道報文以明文方式傳輸在網絡上傳輸,必然會存在安全隱患。為了解決隧道傳輸安全問題,可以使用IPsec(IP Security)協議對隧道的控製報文和數據報文進行加密和認證,以保證AC和AP之間的CAPWAP/LWAPP隧道通信安全。
同時配置了AC間熱備份和Portal雙機熱備的情況下,建議使用undo ipsec synchronization enable命令用來關閉IPsec雙機熱備功能。
IPsec加密CAPWAP/LWAPP隧道的基本配置思路如下:
(1) 配置AP預選配置信息前,需要使AP和AC之間建立CAPWAP/LWAPP連接,並確保AP處於運行狀態。
(2) 進入AP配置視圖,完成加密隧道和加密密鑰的相關配置,並執行save wlan ap provision命令將AP配置信息保存到AP的私有配置文件中。
(3) 手動重啟AP後,使配置信息在AP上生效。
(4) 配置IPsec安全隧道。在配置IPsec安全隧道時需要注意以下幾點:
· 對於IPsec加密CAPWAP/LWAPP隧道,安全協議隻支持ESP協議(transform),安全協議對IP報文的封裝形式隻支持隧道模式(encapsulation-mode),ESP協議采用的認證算法隻能采用SHA-1(esp authentication-algorithm sha1),ESP協議采用的加密算法隻能采用DES(esp encryption-algorithm des)。隻支持使用IKEv1為IPsec協商建立SA,采用缺省的安全提議,IKE第一階段的協商模式隻能采用主模式(exchange-mode)。關於IPsec的命令的詳細介紹請參見“安全命令參考”中的“IPsec配置”。
· 由於AC是響應AP的協商請求等原因,在配置使用IKE協商方式的IPsec安全策略時,隻能使用“引用IPsec安全策略模板創建IPsec安全策略”。
· 配置IKE對等體的預共享密鑰認證時,使用命令pre-shared-key配置的預共享密鑰必須和tunnel encryption ipsec pre-shared-key命令配置的預共享密鑰保持一致,前者是AC端的密鑰,後者是由AC通過AP預配置功能下發給AP的密鑰。
· 為了確保AP下線後,AC和AP之間的SA能夠及時刪除,需要配置以下功能:DPD(Dead Peer Detection,對等體存活檢測);使用ike sa keepalive-timer interval命令配置ISAKMP SA向AP發送Keepalive報文的時間間隔;使用ike sa keepalive-timer timeout命令配置ISAKMP SA等待AP發送Keepalive報文的超時時間;使用ipsec invalid-spi-recovery enable使能IPsec無效SPI恢複功能。
關於IPsec的詳細配置請參見 “安全配置指導”中的“IPsec配置”。
(5) 將IPsec策略應用到VLAN接口上。
表1-10 配置IPsec加密CAPWAP/LWAPP隧道
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置AP名稱和型號名稱,並進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- |
|
創建並進入AP配置視圖 |
provision |
- |
|
配置AP使用IPsec密鑰加密控製隧道 |
tunnel encryption ipsec pre-shared-key { cipher | simple } key |
必選 缺省情況下,AP不對控製隧道進行加密 |
|
配置AP使用IPsec密鑰加密數據隧道 |
data-tunnel encryption enable |
可選 缺省情況下,AP不對數據隧道進行加密 |
|
將AP預配置信息同步到指定AP的私有配置文件中 |
save wlan ap provision { all | name ap-name } |
必選 該命令僅對當前處於Run狀態的AP生效 關於該命令的使用注意事項請參見“WLAN命令參考”中的“WLAN服務配置命令” |
該配置任務用來配置AP射頻,包括配置射頻類型、信道和最大功率。如果某個射頻策略被映射到一個射頻,則該射頻繼承在射頻策略裏配置的所有參數。
表1-11 配置射頻參數
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
|
進入射頻視圖 |
radio radio-number [ type { dot11a | dot11an | dot11b | dot11g | dot11gn } ] |
必選 本命令的缺省情況與AP設備的型號有關,請以設備的實際情況為準 |
|
|
配置將服務模板映射到當前射頻 |
service-template service-template-number [ vlan-id vlan-id1 [vlan-id2] ] [ nas-port-id nas-port-id | nas-id nas-id ][ ssid-hide ] |
必選 可以將多個服務模板映射到當前射頻 |
|
|
配置信道 |
配置固定信道 |
channel channel-number |
可選 缺省情況下: · 使用自動選擇信道模式,即auto模式 · 信道沒有被鎖定 命令行的使用注意事項請參見“WLAN服務命令” |
|
配置自動選擇信道模式,在該模式下,可以配置鎖定信道 |
channel auto |
||
|
channel lock |
|||
|
配置功率 |
設置射頻的最大傳輸功率 |
max-power radio-power |
可選 缺省情況下: · 射頻的最大功率和國家碼、信道、AP型號、射頻模式和天線類型相關,如果采用802.11n射頻模式,那麼射頻的最大功率和帶寬模式也相關 · 功率沒有被鎖定 命令行的使用注意事項請參見“WLAN服務配置命令” |
|
鎖定功率,並將max-power設置為自動功率調整後的功率值 |
power lock |
||
|
設置AP使用的前導碼類型 |
preamble { long | short } |
可選 缺省情況下,支持short前導碼 |
|
|
開啟自動抗幹擾(Adaptive Noise Immunity)功能 |
ani enable |
可選 缺省情況下,自動抗幹擾功能處於開啟狀態 |
|
|
配置射頻策略映射到當前射頻 |
radio-policy radio-policy-name |
可選 缺省情況下,缺省射頻策略default_rp映射到當前射頻 在映射自定義射頻策略前,需要使用wlan radio-policy命令創建自定義的射頻策略 |
|
|
配置射頻的天線類型 |
antenna type type |
可選 本命令的缺省情況與設備型號有關,請以設備的實際情況為準 |
|
|
配置射頻可覆蓋的最遠距離 |
distance distance |
可選 缺省情況下,射頻可覆蓋的最遠距離為1公裏 |
|
|
啟用射頻 |
radio enable |
必選 缺省情況下,關閉所有的射頻 |
|
在射頻策略下可以配置一係列的射頻參數。如果將某個射頻策略映射到某個射頻(比如802.11b/g或802.11a),則該射頻就繼承在射頻策略裏配置的所有參數。
表1-12 配置射頻策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個射頻策略並進入射頻策略視圖 |
wlan radio-policy radio-policy-name |
- |
|
設置發送信標幀的時間間隔 |
beacon-interval interval |
可選 缺省情況下,發送信標幀的時間間隔為100TU(Time Unit,時間單位) |
|
設置信標幀的DTIM計數器 |
dtim counter |
可選 缺省情況下,DTIM計數器為1 |
|
設置幀的分片門限值 |
fragment-threshold size |
可選 缺省情況下,幀的分片門限值為2346字節 幀的分片門限值隻能設置為偶數字節 |
|
設置RTS(Request to Send,發送請求)的門限值 |
rts-threshold size |
可選 缺省情況下,RTS門限值為2346字節 |
|
設置幀長超過RTS門限值的幀的最大重傳次數 |
long-retry threshold count |
可選 缺省情況下,幀長超過RTS門限值的幀的最大重傳次數為4 |
|
設置幀長不大於RTS門限值的幀的最大重傳次數 |
short-retry threshold count |
可選 缺省情況下,幀長不大於RTS門限值的幀的最大重傳次數為7 |
|
設置AP接收的幀可以在緩存中保存的最長時間 |
max-rx-duration interval |
可選 缺省情況下,AP接收的幀可以在緩存中保存的最長時間為2000毫秒 |
|
設置射頻策略允許的客戶端的最大個數 |
client max-count max-number |
可選 最多可以關聯64個無線客戶端 |
|
配置分片門限保護方式 |
protection-mode { cts-to-self | rts-cts } |
可選 缺省情況下,保護模式是RTS/CTS方式 |
802.11n作為802.11協議族的一個新協議,支持2.4GHz和5GHz兩個頻段,致力於為WLAN接入用戶提供更高的“接入速率”,802.11n主要通過增加帶寬和提高信道利用率兩種方式來提高通訊速率。
增加帶寬:802.11n通過將兩個20MHz的帶寬綁定在一起組成一個40MHz通訊帶寬,在實際工作時可以作為兩個20MHz的帶寬使用(一個為主信道,一個為輔信道)。當使用40MHz帶寬時,可將速率提高一倍,提高無線網絡的吞吐量。
提高信道利用率:對信道利用率的提高主要體現在三個方麵。
· 802.11n標準中采用A-MPDU聚合幀格式,即將多個MPDU聚合為一個A-MPDU,隻保留一個PHY頭,刪除其餘MPDU的PHY頭,減少了傳輸每個MPDU的PHY頭的附加信息,同時也減少了ACK幀的數目,從而降低了協議的負荷,有效的提高網絡吞吐量。
· 802.11n協議定義了一個新的MAC特性A-MSDU,該特性實現了將多個MSDU組合成一個MSDU發送,與A-MPDU類似,通過聚合,A-MSDU減少了傳輸每個MSDU的MAC頭的附加信息,提高了MAC層的傳輸效率。
· 802.11n支持在物理層的優化,提供短間隔功能。原11a/g的GI時長800us,而短間隔Short GI時長為400us,在使用Short GI的情況下,可提高10%的速率。
表1-13 配置802.11n
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
進入射頻模板視圖 |
radio radio-number type { dot11an | dot11gn } |
- |
|
指定當前射頻接口的帶寬模式 |
channel band-width { 20 | 40 } |
可選 缺省情況下,802.11an類型的射頻接口的帶寬為40MHz,802.11gn類型的射頻接口的帶寬為20MHz |
|
配置僅允許802.11n用戶接入功能 |
client dot11n-only |
可選 缺省情況下,802.11an類型的接口同時允許802.11a和802.11an用戶接入;802.11gn類型的接口同時允許802.11b/g和802.11gn的用戶接入 |
|
開啟Short GI功能 |
short-gi enable |
可選 缺省情況下,Short GI功能處於開啟狀態 |
|
開啟指定射頻接口的A-MSDU功能 |
a-msdu enable |
可選 缺省情況下,A-MSDU功能處於開啟狀態 目前,設備隻支持接收A-MSDU報文,不支持發送A-MSDU |
|
開啟指定射頻接口的A-MPDU功能 |
a-mpdu enable |
可選 缺省情況下, A-MPDU功能處於開啟狀態 |
|
啟用射頻 |
radio enable |
必選 缺省情況下,所有的射頻處於關閉狀態 在啟用射頻前,必須完成MCS的配置,關於802.11n的基本MCS集和支持MCS集請參見“WLAN配置指導”中的“WLAN RRM配置” |
關於802.11n的基本MCS集和支持MCS集請參見“WLAN配置指導”的“WLAN RRM配置”。
在AP模板視圖下可以關閉當前模板下所有上線的AP設備的所有指示燈(包括電源燈、射頻燈等),避免了指示燈閃爍給用戶帶來的困擾。
表1-14 配置關閉設備上的所有指示燈功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置AP名稱和型號名稱,並進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
配置關閉當前模板下上線的所有AP設備的所有指示燈 |
shut-all-led enable |
必選 缺省情況下,當前模板下上線的所有AP設備的所有指示燈是按照設備正常工作狀態亮燈的 |
完成上述配置後,在任意視圖下執行display命令可以顯示配置後WLAN服務的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令清除WLAN服務的相關信息。
在用戶視圖下執行wlan link-test命令對無線客戶端進行RFPing(Radio Frequency Ping)操作。RFPing是一種針對無線鏈路的Ping功能,通過該檢測可以獲取AP和與之關聯的無線客戶端之間的無線鏈路的連接信息,如信號強度、報文重傳次數、RTT(Round-trip Time,往返時間)等。
表1-15 WLAN服務的顯示和維護
|
操作 |
命令 |
|
顯示AP配置信息 |
display wlan ap { all | name ap-name } [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
顯示AP的地址信息 |
display wlan ap { all | name ap-name } address [ | { begin | exclude | include } regular-expression ] |
|
顯示AP的射頻信息 |
display wlan ap { all | name ap-name } radio [ | { begin | exclude | include } regular-expression ] |
|
顯示AC支持的特定AP或所有AP模式信息 |
display wlan ap-model { all | name ap-name } [ | { begin | exclude | include } regular-expression ] |
|
顯示AP的重啟日誌信息 |
display wlan ap reboot-log name ap-name [ | { begin | exclude | include } regular-expression ] |
|
顯示AP的國家碼信息 |
display wlan country-code ap [ | { begin | exclude | include } regular-expression ] |
|
顯示WLAN射頻策略 |
display wlan radio-policy [ radio-policy-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示WLAN服務模板信息 |
display wlan service-template [ service-template-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示無線客戶端連接曆史 |
display wlan statistics ap { all | name ap-name } connect-history [ | { begin | exclude | include } regular-expression ] |
|
顯示無線客戶端的統計信息 |
display wlan statistics client { all | mac-address mac-address } [ | { begin | exclude | include } regular-expression ] |
|
顯示AP的射頻統計信息 |
display wlan statistics radio [ ap ap-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示AP的負載信息 |
display wlan statistics radio [ ap ap-name ] load [ | { begin | exclude | include } regular-expression ] |
|
顯示服務模板的統計信息 |
display wlan statistics service-template service-template-number [ | { begin | exclude | include } regular-expression ] |
|
顯示服務模板的所有AP的連接曆史信息 |
display wlan statistics service-template service-template-number connect-history [ | { begin | exclude | include } regular-expression ] |
|
顯示無線客戶端信息 |
display wlan client { ap ap-name [ radio radio-number ] | mac-address mac-address | service-template service-template-number } [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
重新啟動AP |
reset wlan ap { all | name ap-name } |
|
清除AP的重啟日誌信息 |
reset wlan ap reboot-log { all | name ap-name } |
|
清除AP或客戶端的統計信息 |
reset wlan statistics { client { all | mac-address mac-address } | radio [ ap-name ] } |
|
斷開無線客戶端同AP的連接 |
reset wlan client { all | mac-address mac-address } |
|
對無線客戶端進行RFPing操作 |
wlan link-test mac-address |
采用用戶隔離前,處於同一VLAN的用戶是能夠互訪的,這可能帶來安全性問題,采用基於VLAN的用戶隔離,可以解決此問題。開啟基於VLAN的用戶隔離後,在同一個VLAN內,AC收到某一無線用戶發往另一無線用戶或有線用戶的單播報文(任何VLAN廣播報文或組播報文不隔離),或者AC收到有線用戶發往同一VLAN的無線用戶的單播報文,AC會根據配置的用戶隔離允許列表來判斷是否隔離該VLAN內的用戶。
為了使用戶隔離不會影響用戶與網關的互通,可以將網關地址加入用戶隔離允許列表。
由此可見,用戶隔離一方麵為用戶提供了網絡服務;另一方麵對用戶進行隔離,使之不能互訪,保證用戶業務的安全性。
如圖1-12所示,AC上關閉用戶隔離後,VLAN 2內的無線用戶Client A、Client B和有線用戶Host A可以在該VLAN內互訪,同時也可以訪問Internet。
如圖1-12所示,在AC上開啟用戶隔離功能後,VLAN 2內的無線用戶Client A、Client B和有線用戶Host A通過同一個網關連接到Internet。
· 將網關的MAC地址添加到“可通過MAC”列表中,那麼處於同一VLAN內的無線用戶Client A、Client B和Host A被隔離,但是Client A、Client B和Host A都可以訪問Internet。
· 將用戶的MAC地址添加到“可通過MAC”列表中,如把Client A的MAC地址添加到“可通過MAC”列表中,那麼Client A和Client B可以互通,Client A和Host A可以互通,但是Client B和Host A不能互通。
· 如果需要同時達到以上兩項需求,需要將網關的MAC地址和用戶的MAC地址同時添加到“可通過MAC”列表中。
表1-16 配置基於VLAN的用戶隔離
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
在指定VLAN上開啟用戶隔離功能 |
user-isolation vlan vlan-list enable |
必選 缺省情況下,用戶隔離功能處於關閉狀態 |
|
配置指定VLAN的允許MAC地址 |
user-isolation vlan vlan-list permit-mac mac-list |
可選 在一個VLAN內最多可以配置16個允許的MAC地址 |
· 為了避免在指定VLAN上先開啟用戶隔離功能後,出現斷網的現象,建議先配置網關的MAC地址為該VLAN的允許MAC地址,再開啟該VLAN的用戶隔離功能。
· 如果對Super VLAN配置用戶隔離功能,此配置不會對Super VLAN內的子VLAN生效,在這種情況下,可以直接對子VLAN配置用戶隔離功能。 Super VLAN特性的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
配置用戶隔離前,處於同一SSID的用戶是能夠互訪的,這可能帶來安全性問題,采用基於SSID的用戶隔離,可以解決此問題。開啟基於SSID的用戶隔離功能後,在同一個SSID內,連接到此無線服務的所有無線用戶之間的二層報文(單播/廣播)將相互不能轉發,從而使無線用戶之間不能直接進行通訊。
表1-17 配置基於SSID的用戶隔離
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置WLAN服務模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
- |
|
開啟基於SSID的用戶隔離功能 |
user-isolation enable |
可選 缺省情況下,基於SSID的用戶隔離功能處於關閉狀態 |
表1-18 配置隔離有線用戶到無線用戶的廣播組播報文
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置隔離有線用戶到無線用戶的廣播組播報文 |
undo user-isolation permit broadcast |
可選 缺省情況下,允許有線用戶到無線用戶的廣播組播報文通過,隻隔離無線用戶到無線用戶的廣播組播報文 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後用戶隔離的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,用戶可以執行reset命令清除用戶隔離的統計信息。
表1-19 用戶隔離顯示與維護
|
操作 |
命令 |
|
顯示用戶隔離的統計信息 |
display user-isolation statistics [ vlan vlan-id ] [ | { begin | exclude | include } regular-expression ] |
|
清除用戶隔離的統計信息 |
reset user-isolation statistics [ vlan vlan-id ] |
無線接入服務的提供者希望能控製客戶端在無線接入網中的接入位置。這裏的接入位置目前主要指客戶端所接入的AP。如圖1-13所示,Client 1、Client 2和Client 3可以通過AP 1~AP 3接入到外部網絡。基於某些策略考慮(如安全性或者計費等因素),提供無線接入服務的機構希望通過特定的AP接入策略,使Client 1和Client 2隻能通過AP 1和AP 2訪問網絡,而Client 3隻能通過AP 3訪問網絡。AP接入策略可以通過用戶在User Profile下配置客戶端關聯的AP組,這樣就可以確保客戶端隻能通過授權的AP訪問網絡資源。
通過命令行創建AP組,並且配置允許接入的AP。
表1-20 配置AP組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建AP組,並進入AP-Group視圖 |
wlan ap-group group-id |
- |
|
配置特定的AP組內允許接入的AP |
ap template-name-list |
必選 缺省情況下,不存在AP列表 · 可以重複本步驟設置多個AP,也可以一次設置多個AP(一次輸入不能超過10個) · 所設置的AP可以不存在 |
|
配置AP組描述信息 |
description string |
可選 缺省情況下,沒有AP組的描述信息 |
在User Profile下引用特定的AP組。配置完畢的User Profile必須激活後才能生效。
表1-21 應用配置的AP組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入User-Profile視圖 |
user-profile profile-name |
必選 如果指定的User Profile不存在,則先創建指定的User Profile,再進入User Profile視圖 |
|
在該User-Profile下麵引用特定的AP接入控製組 |
wlan permit-ap-group group-id |
必選 缺省情況下,沒有指定任何AP接入控製組 |
|
退回係統視圖 |
quit |
- |
|
激活已配置的User Profile |
user-profile profile-name enable |
必選 缺省情況下,創建的User Profile處於未激活狀態 需要注意的是 · 此處profile-name必須和Radius服務器上外部組的名字保持一致 · 在漫遊時,所有AC的profile-name名字應該保持一致 |
關於User Profile的介紹請參見“安全配置指導”中的“User Profile配置”。
在完成上述配置後,在任意視圖下執行display命令可以顯示基於AP的用戶接入控製配置後的運行情況,通過查看顯示信息驗證配置的效果。
表1-22 基於AP的用戶接入控製顯示和維護
|
操作 |
命令 |
|
顯示配置的AP組信息 |
display wlan ap-group [ group-id ] [ | { begin | exclude | include } regular-expression ] |
在有用戶臨時需要接入網絡時,需要臨時為用戶建立一個來賓賬戶,通過基於SSID的接入控製可以達到訪問限製的目的,即限製來賓用戶隻能在指定的SSID登錄。SSID的接入控製可以通過在User Profile下配置允許接入的SSID來實現。
在User Profile下配置允許接入的SSID。配置完畢的User Profile必須激活後才能生效。
表1-23 配置允許接入的SSID
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入User-Profile視圖 |
user-profile profile-name |
必選 如果指定的User Profile不存在,則先創建指定的User Profile,再進入User Profile視圖 |
|
配置允許接入的SSID |
wlan permit-ssid ssid-name |
必選 缺省情況下,沒有配置允許接入的SSID,表示用戶接入時不限製接入的SSID,可用任意SSID接入無線網絡 |
|
退回係統視圖 |
quit |
- |
|
激活已配置的User Profile |
user-profile profile-name enable |
必選 缺省情況下,創建的用戶配置文件處於未激活狀態 |
· 控製無線用戶的臨時接入的配置舉例請參見“安全配置指導”中的“AAA配置”。
· 關於User Profile的介紹請參見“安全配置指導”中的“User Profile配置”。
上行鏈接檢測功能,保證了在AC的上行鏈路出現故障後,無線客戶端可以通過上行鏈路正常工作的AC下的AP接入。
當AC的上行鏈路出現故障時,如果繼續讓無線客戶端戶連接到該AP,無線客戶端仍然無法訪問外部網絡。開啟上行鏈路檢測功能後,AC會利用NQA的ICMP-echo測試檢查上行鏈路是否可達。在上行鏈路出現故障時,AC會通知AP自動關閉Radio。上行鏈路恢複正常工作後,AC會通知AP重新開啟Radio。
該功能需要用戶配置上行鏈路與Track項關聯,使該上行鏈路通過Track項來監測上行鏈路的狀態,從而根據網絡環境改變其狀態:
· 如果Track項的狀態為Positive,則上行鏈路檢測模塊將打開先前關閉的AP射頻;
· 如果Track項的狀態為Negative,則上行鏈路檢測模塊將關閉已經開啟的AP射頻;
· 如果Track項創建後處於Invalid狀態,則說明Track關聯監測模塊的配置尚未生效,上行鏈路檢測模塊維持原有狀態。
圖1-14 上行鏈路檢測組網圖
表1-24 配置上行鏈路檢測
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置通過Track與上行鏈路聯動,檢測上行鏈路是否可達 |
wlan uplink track track-entry-number |
可選 缺省情況下,沒有指定與上行鏈路聯動的Track項 |
· Track模塊的詳細介紹,請參見“可靠性配置指導”中的“Track配置”。
· NQA配置的詳細介紹,請參見“網絡管理和監控配置指導”中的“NQA配置”。
· AC間熱備份的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
· 對於EWPX2WCMD0、LSRM1WCM3A1、LSQM1WCMD0三款板卡需要保證Ten-GigabitEthernet1/0/1接口是up狀態,且允許命令hot-backup vlan vlan-id配置的VLAN通過。
在二層網絡內,兩台AC與對端互連形成熱備份的關係,為所轄網絡內的AP提供冗餘控製。AP與兩個AC分別建立信道鏈路。處於主用狀態的AC負責為所有AP提供服務,而備用AC為主用AC提供備份。主、備AC之間通過心跳檢測機製,可以快速檢測到對方設備的故障。當主用AC發生故障時,備用AC可立即檢測到該主用AC的異常狀態,並在毫秒級時間內實施主、備用鏈路切換,成為新的主用AC,保證無線服務不會中斷。
圖1-15中,AC1與AC2為具有主備熱備份功能的兩台AC。AC1工作在主用狀態,並為AP1、AP2、AP3及AP4提供服務;AC2工作在備用狀態,各個AP通過備用信道鏈路(圖中虛線所示)連接到AC2,兩台AC定期進行主備心跳檢測。當檢測到AC1失效後,AC2的工作狀態立即由備用轉為主用;通過備用信道連接到AC2的AP將該備用信道轉換為主用信道,使用AC2作為主用AC。
該配置用於使能AC間熱備份功能,可以設置AC所屬的備份域(一個備份域指一組互為備份關係的主、備AC)。
表1-25 使能AC間熱備份功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能AC間熱備份功能 |
hot-backup enable [ domain domain-id ]* |
必選 缺省情況下,AC間熱備份功能處於去使能狀態 |
該配置用於配置AC間用於熱備份的本端數據端口的VLAN ID。
表1-26 配置AC間數據端口的VLAN ID
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置AC間數據端口的VLAN ID |
hot-backup vlan vlan-id |
缺省情況下,AC間用於熱備份的本端數據端口的VLAN ID為1 |
該配置用於配置AC間的心跳連接周期。主、備AC超過3個心跳周期檢測不到對端發送的心跳報文,就認為對端設備異常。
表1-27 配置AC間連接心跳周期
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置AC間連接心跳周期 |
hot-backup hellointerval hellointerval |
缺省情況下,心跳周期為2000毫秒 |
該配置用於配置AP從主用AC切換為備份AC的延時時間,此延時時間從AP與備份AC建立備份隧道開始計時。
表1-28 配置備份AC切換的延時時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置備份AC切換的延時時間 |
wlan backup-ac switch-delay time |
缺省情況下,AP從主用AC切換為備用AC的延時為5秒 |
完成上述配置後,在任意視圖下執行display命令可以顯示配置後AC間熱備份狀態,通過查看顯示信息驗證配置的效果。
表1-29 AC間連接狀態顯示
|
操作 |
命令 |
說明 |
|
顯示AC間連接狀態 |
display hot-backup state |
- |
某部門為了保證工作人員可以隨時隨地訪問部門內部的網絡資源,需要通過部署AP實現移動辦公。
具體要求如下:
· AP通過二層交換機與AC相連。AP的序列ID為210235A29G007C000020,使用手工輸入序列號方式。
· AP提供SSID為service的明文方式的無線接入服務。
· 采用目前較為常用的802.11g射頻模式。
圖1-16 WLAN服務組網圖
(1) 配置AC
# 開啟WLAN服務(該命令可以不配置,因為缺省情況下該命令處於開啟狀態)。
<AC> system-view
[AC] wlan enable
# 創建WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置射頻策略(可以不配置射頻策略,因為缺省情況下存在缺省射頻策略default_rp。如果需要定製射頻策略,可以創建新的射頻策略,並調整射頻策略的參數)。
[AC] wlan radio-policy radiopolicy1
[AC-wlan-rp-radiopolicy1] beacon-interval 200
[AC-wlan-rp-radiopolicy1] dtim 4
[AC-wlan-rp-radiopolicy1] rts-threshold 2300
[AC-wlan-rp-radiopolicy1] fragment-threshold 2200
[AC-wlan-rp-radiopolicy1] short-retry threshold 6
[AC-wlan-rp-radiopolicy1] long-retry threshold 5
[AC-wlan-rp-radiopolicy1] max-rx-duration 500
[AC-wlan-rp-radiopolicy1] quit
# 創建AP模板,名稱為ap1,型號名稱選擇WA2100,該AP的序列號為210235A29G007C000020。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] description L3Office
# 配置802.11g射頻,指定工作信道為11。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] channel 11
# 將服務模板1和射頻策略radiopolicy1綁定到Radio 1口。
[AC-wlan-ap-ap1-radio-1] radio-policy radiopolicy1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
(2) 驗證結果
· 客戶端可以成功關聯AP,上線後可以訪問網絡。
· 可以使用display wlan client命令查看上線的客戶端。
AC與二層交換機相連,AP 1和AP 2通過二層交換機與AC相連。AP 1、AP 2和AC在同一個網絡。AP 1和AP 2通過DHCP Server獲取IP地址。AC的IP地址是10.18.1.1/24。要求啟用自動AP發現功能,使AP能夠自動連接到AC上。
圖1-17 WLAN自動發現組網圖
(1) 配置AC
# 創建WLAN ESS接口。
<AC> system-view
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置射頻策略(可以不配置射頻策略,因為缺省情況下存在缺省射頻策略default_rp。如果需要定製射頻策略,可以創建新的射頻策略,並調整射頻策略的參數)。
[AC] wlan radio-policy radpolicy1
[AC-wlan-rp-radpolicy1] beacon-interval 200
[AC-wlan-rp-radpolicy1] dtim 4
[AC-wlan-rp-radpolicy1] rts-threshold 2300
[AC-wlan-rp-radpolicy1] fragment-threshold 2200
[AC-wlan-rp-radpolicy1] short-retry threshold 6
[AC-wlan-rp-radpolicy1] long-retry threshold 5
[AC-wlan-rp-radpolicy1] max-rx-duration 500
[AC-wlan-rp-radpolicy1] quit
# 開啟自動發現功能。
[AC] wlan auto-ap enable
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id auto
# 配置射頻,缺省采用自動信道,設置最大功率為10。
[AC-wlan-ap-ap1] radio 1 type dot11a
[AC-wlan-ap-ap1-radio-1] max-power 10
# 將服務模板和射頻策略radiopolicy1綁定到AP 1的radio 1口。
[AC-wlan-ap-ap1-radio-1] radio-policy radiopolicy1
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
(2) 驗證結果
· 通過display wlan ap查看到AC自動發現的兩個AP,用戶可以使用wlan auto-ap persistent命令將這兩個臨時AP轉換為固定AP。
· 客戶端可以成功關聯AP,上線後可以訪問網絡。
AC 1與AC 2分別連接到一台二層交換機。AP通過該二層交換機連接到AC 1和AC 2。AC 1、AC 2與AP都接入同一個網絡。AP通過DHCP服務器獲取IP地址,AC 1的IP地址為10.18.1.1,AC 2的IP地址為10.18.1.2。AC 1工作在主用狀態,AC 2工作在備用狀態。要求當AC 1失效後,AC 2立即成為主用無線控製器,且通過備用信道連接到AC 2的AP將該備用信道轉換為主用信道,使用AC 2作為主用無線控製器。
圖1-18 AC與AP間建立雙鏈路備份配置組網圖
(1) AC 1上的配置
# 創建WLAN ESS接口。
<AC1> system-view
[AC1] interface wlan-ess 1
[AC1-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid service
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 配置備份無線控製器AC 2的IP地址。
[AC1] wlan backup-ac ip 10.18.1.2
# 在AC 1上配置AP。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] radio 1 type dot11g
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
(2) AC 2上的配置
# 創建WLAN ESS接口。
<AC2> system-view
[AC2] interface wlan-ess 1
[AC2-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),相互備份的AC上的SSID需要保持一致,所以在AC 2上配置的服務模板的SSID必須為service,並將WLAN-ESS接口與該服務模板綁定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid service
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 配置備份無線控製器AC 1的IP地址。
[AC2] wlan backup-ac ip 10.18.1.1
# 在AC 2上配置AP。
[AC2] wlan ap ap1 model WA2100
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] radio 1 type dot11g
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
(3) 驗證結果
當AC 1失效後,AC 2立即成為主用無線控製器。在AC上可以通過display wlan ap查看AP的狀態。
AP 1、AP 2和AP 3通過交換機與AC建立CAPWAP連接,為了保證AC和某些AP之間的隧道安全性,使用IPsec加密CAPWAP隧道,具體要求如下:
· AP 1和AC之間的隧道不需要加密,即隧道間的數據和控製報文均使用明文方式傳輸。
· 為了保證AP 2和AC隧道之間控製報文的安全性,使用IPsec加密CAPWAP控製隧道。
· 為了保證AP 3和AC隧道之間控製報文和數據報文的安全性,使用IPsec加密CAPWAP控製和數據隧道。
圖1-19 IPsec加密CAPWAP隧道配置組網圖
在配置AP 2和AP 3的預配置信息前,需要在AP 2、AP 3和AC之間完成CAPWAP連接,並確保AP 2和AP 3處於運行狀態。
# 創建並進入AP 2的配置視圖,配置AP使用IPsec密鑰12345來加密控製隧道,並將配置信息保存到AP的私有配置文件中。
<AC> system-view
[AC] wlan ap ap2 model WA2620E-AGN
[AC-wlan-ap-ap2] provision
[AC-wlan-ap-ap2-prvs] tunnel encryption ipsec pre-shared-key simple 12345
[AC-wlan-ap-ap2-prvs] save wlan ap provision name ap2
[AC-wlan-ap-ap2-prvs] quit
[AC-wlan-ap-ap2] quit
# 創建並進入AP 3的配置視圖,配置AP使用IPsec密鑰abcde來加密控製和數據隧道,並將配置信息保存到AP的私有配置文件中。
[AC] wlan ap ap3 model WA2620E-AGN
[AC-wlan-ap-ap3] provision
[AC-wlan-ap-ap3-prvs] tunnel encryption ipsec pre-shared-key simple abcde
[AC-wlan-ap-ap3-prvs] data-tunnel encryption enable
[AC-wlan-ap-ap3-prvs] save wlan ap provision name ap3
[AC-wlan-ap-ap3-prvs] return
# 手動重啟AP 2和AP 3,使配置信息生效。
<AC> reset wlan ap name ap2
<AC> reset wlan ap name ap3
# 配置IPsec安全提議。
<AC> system-view
[AC] ipsec transform-set tran1
[AC-ipsec-transform-set-tran1] encapsulation-mode tunnel
[AC-ipsec-transform-set-tran1] transform esp
[AC-ipsec-transform-set-tran1] esp encryption-algorithm des
[AC-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[AC-ipsec-transform-set-tran1] quit
# 創建一個名稱為dpd的DPD。
[AC] ike dpd dpd
# 配置ISAKMP SA向AP發送Keepalive報文的時間間隔為100秒。
[AC] ike sa keepalive-timer interval 100
# 配置ISAKMP SA等待AP發送Keepalive報文的超時時間為300秒。
[AC] ike sa keepalive-timer timeout 300
# 使能IPsec無效SPI恢複功能。
[AC] ipsec invalid-spi-recovery enable
# 配置IKE對等體ap2,對等體peer1用來為AP 2和AC協商SA,預共享密鑰必須和AP 2上的預共享密鑰保持一致。
[AC] ike peer ap2
[AC-ike-peer-ap2] remote-address 10.1.1.3
[AC-ike-peer-ap2] pre-shared-key 12345
[AC-ike-peer-ap2] dpd dpd
[AC-ike-peer-ap2] quit
# 配置IKE對等體ap3,對等體peer1用來為AP 3和AC協商SA,預共享密鑰必須和AP 3上的預共享密鑰保持一致。
[AC] ike peer ap3
[AC-ike-peer-ap3] remote-address 10.1.1.4
[AC-ike-peer-ap3] pre-shared-key abcde
[AC-ike-peer-ap3] dpd dpd
[AC-ike-peer-ap3] quit
# 創建一個模板名字為pt,順序號為1的IPsec安全策略模板。配置IPsec安全策略所引用的安全提議為tran1,引用的IKE對等體為ap2。
[AC] ipsec policy-template pt 1
[AC-ipsec-policy-template-pt-1] transform-set tran1
[AC-ipsec-policy-template-pt-1] ike-peer ap2
[AC-ipsec-policy-template-pt-1] quit
# 創建一個模板名字為pt,順序號為2的IPsec安全策略模板。配置IPsec安全策略所引用的安全提議為tran1,引用的IKE對等體為ap3。
[AC] ipsec policy-template pt 2
[AC-ipsec-policy-template-pt-2] transform-set tran1
[AC-ipsec-policy-template-pt-2] ike-peer ap3
[AC-ipsec-policy-template-pt-2] quit
# 引用IPsec安全策略模板pt創建名為map,順序號為1的一條IPsec安全策略。
[AC] ipsec policy map 1 isakmp template pt
# 在VLAN接口上應用IPsec策略。
[AC] interface vlan-interface 1
[AC-Vlan-interface-1] ip address 10.1.1.1 24
[AC-Vlan-interface-1] ipsec policy map
在VLAN接口上應用IPsec策略,不會影響AP 1以明文方式和AC建立CAPWAP隧道。
以AP 2為例,完成以上配置後,AP 2和AC之間如果有Join request控製報文通過,將觸發IKE進行協商建立SA,使用display ipsec sa命令可以查看到建立的SA聯盟。IKE協商成功並創建了SA後,AP 2和AC之間的控製報文將被加密傳輸。
在AC上設置AP的預配置信息,通過AC將配置信息下發至AP 1和AP 2。下發的配置信息如下:
· AP 1和AP 2的IP地址分別為1.1.1.1/24和1.1.1.2/24。
· AP 1和AP 2能夠靜態發現AC 1(IP地址為2.2.2.1/24)。
圖1-20 在AC上設置FIT AP配置信息組網圖
· AC隻能將配置信息發送給與它建立了連接(即當前處於Run狀態)的FIT AP,所以在進行配置信息前,需要使AP 1、AP 2和AC之間建立連接,確保AP 1和AP 2處於Run狀態。
· 目前,AP的管理VLAN隻能配置為VLAN1。
(1) 配置AC
# 配置AP 1和AP 2能夠靜態發現IP地址為2.2.2.1的AC 1。
<AC> system-view
[AC] wlan ap-provision ac ip 2.2.2.1
# 創建並進入AP 1的配置視圖,配置AP 1的管理VLAN接口1的IP地址為1.1.1.1。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] provision
[AC-wlan-ap-ap1-prvs] ip address 1.1.1.1 24
[AC-wlan-ap-ap1-prvs] quit
[AC-wlan-ap-ap1] quit
# 創建並進入AP 2的配置視圖,配置AP 2的管理VLAN接口1的IP地址為1.1.1.2。
[AC] wlan ap ap2 model WA2210-AG
[AC-wlan-ap-ap2] provision
[AC-wlan-ap-ap2-prvs] ip address 1.1.1.2 24
# 將AP配置視圖下的配置信息保存到AP 1和AP 2的私有配置文件中。
[AC-wlan-ap-ap2-prvs] save wlan ap provision all
[AC-wlan-ap-ap2-prvs] return
# 手動重啟AP 1和AP 2,使下發的配置信息生效。
<AC> reset wlan ap name ap1
<AC> reset wlan ap name ap2
(2) 配置AC 1
# 創建WLAN ESS接口。
<AC1> system-view
[AC1] interface wlan-ess 1
[AC1-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC1-wlan-st-1] ssid service
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 創建AP模板,名稱為ap1,型號名稱選擇WA2100,該AP的序列號為210235A29G007C000020。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] description L3office
# 配置802.11g射頻,指定工作信道為11。
[AC1-wlan-ap-ap1] radio 1 type dot11g
[AC1-wlan-ap-ap1-radio-1] channel 11
# 將服務模板1和射頻策略radiopolicy1綁定到Radio 1口。
[AC1-wlan-ap-ap1-radio-1] radio-policy radiopolicy1
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] return
(3) 驗證結果
AP 1和AP 2重啟後,AP 1、AP 2和AC 1建立連接。
AC 1、AC 2和AP通過交換機相連,在AC 1上配置較高的AP連接優先級,使AP和AC 1建立CAPWAP連接。
圖1-21 AP連接優先級組網圖
(1) 配置AC 1
# 創建WLAN ESS接口。
<AC1> system-view
[AC1] interface wlan-ess 1
[AC1-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid service
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 在AC 1上配置AP。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
# 配置AP連接優先級為6。
[AC1-wlan-ap-ap1] priority level 6
[AC1-wlan-ap-ap1] radio 1 type dot11g
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
(2) 配置AC 2
AC 2與AC 1的配置基本相同,不同的是,在AC 2上保持缺省的AP連接優先級,即AP連接優先級為4。
(3) 驗證結果
在AC 1上配置的AP連接優先級較高,AP和AC 1建立CAPWAP連接。
需要注意的是,隻有當AP同時發現AC 1和AC 2的時候,才會選擇優先級較高的AC 1建立CAPWAP連接;如果AP先和低優先級的AC 2建立了CAPWAP連接,再發現高優先級的AC 1,這時AP不會和AC 1建立CAPWAP連接。
某公司為了滿足多媒體應用的高帶寬要求,需要部署高速接入的802.11n無線網絡。
具體要求如下:
· AP提供SSID為11nservice的明文方式的無線接入服務。
· 為了保護現有投資,兼容現有的802.11g無線網絡,采用802.11gn射頻模式。
圖1-22 802.11n組網圖
(1) 配置AC
# 創建WLAN ESS接口。
<AC> system-view
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為11nservice,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid 11nservice
[AC-wlan-st-1] bind WLAN-ESS 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP,選擇的AP必須支持802.11n。
[AC] wlan ap ap1 model WA2610E-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 配置AP的射頻工作在802.11n模式,兼容802.11g。
[AC-wlan-ap-ap1] radio 1 type dot11gn
# 將服務模板綁定到radio口。。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
(2) 驗證結果
· 客戶端可以成功關聯AP,上線後可以訪問網絡。
· 可以使用display wlan client verbose 命令查看上線的客戶端。在該命令的顯示信息中會顯示11n客戶端的信息。
網關Gateway的MAC地址為000f-e212-7788。要求通過配置實現用戶隔離,要求VLAN 2中的用戶Client A、Client B和Host A可以訪問Internet,但是VLAN 2中的用戶之間都不可以相互訪問。
圖1-23 用戶隔離配置組網
(1) 配置AC
# 配置AP,使AC和AP之間建立隧道連接。
可以參照1.12.1 WLAN服務典型配置舉例建立AC和AP間隧道。具體配置步驟略。
# 在VLAN 2上開啟用戶隔離功能,使VLAN 2中的用戶之間都不可以相互訪問。
<AC> system-view
[AC] user-isolation vlan 2 enable
# 將網關的MAC地址加入VLAN 2的允許地址列表,使VLAN 2中的用戶Client A、Client B和Host A可以訪問Internet。
[AC] user-isolation vlan 2 permit-mac 000f-e212-7788
# 在VLAN 2上開啟用戶隔離功能,使VLAN 2中的用戶之間不可以相互訪問。
[AC] user-isolation vlan 2 enable
(2) 驗證結果
VLAN 2中的用戶Client A、Client B和Host A可以訪問Internet,但是VLAN 2中的用戶之間都不可以相互訪問
當AC的上行鏈路出現故障時,如果繼續讓無線客戶端連接到該AP,無線客戶端仍然無法訪問外部網絡。利用上行鏈路檢測功能,在上行鏈路出現故障時,AC通知AP自動關閉Radio,使無線客戶端無法關聯到該AC下掛的AP。
圖1-24 上行鏈路檢測組網圖
# 創建ICMP-echo類型的NQA測試組並配置相關測試參數。
<AC> system-view
[AC] nqa entry admin test
[AC-nqa-admin-test] type icmp-echo
[AC-nqa-admin-test-icmp-echo] destination ip 10.1.1.1
# 配置可選參數。
[AC-nqa-admin-test-icmp-echo] frequency 1000
# 配置聯動項1(連續失敗5次觸發聯動)。
[AC-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[AC-nqa-admin-test-icmp-echo] quit
# 啟動ICMP-echo測試操作。
[AC] nqa schedule admin test start-time now lifetime forever
# 配置Track項1,關聯NQA測試組(管理員為admin,操作標簽為test)的聯動項1。
[AC] track 1 nqa entry admin test reaction 1
# 配置上行鏈路檢測與Track項1關聯。
[AC] wlan uplink track 1
當無線用戶進行認證時,需要判斷當前用戶連接的AP是否為允許的AP,隻有允許的AP才可以允許該用戶接入。
圖1-25 用戶接入AP控製組網圖
(1) 配置AC
# 開啟端口安全功能。
<AC> system-view
[AC] port-security enable
# 配置用戶認證方式為eap。
[AC] dot1x authentication-method eap
# 創建一個RADIUS方案。
[AC] radius scheme wlan-user-policy
# 配置RADIUS認證服務器的IP地址,RADIUS計費服務器的IP地址、認證和計費key。
[AC-radius-wlan-user-policy] server-type extended
[AC-radius-wlan-user-policy] primary authentication 10.100.100.100
[AC-radius-wlan-user-policy] primary accounting 10.100.100.100
[AC-radius-wlan-user-policy] key authentication wlan
[AC-radius-wlan-user-policy] key accounting wlan
# 配置本設備的IP地址。
[AC-radius-wlan-user-policy] nas-ip 10.100.100.200
[AC-radius-wlan-user-policy] quit
# 創建ISP域並配置AAA方案。
[AC] domain universal
[AC-isp-universal] authentication default radius-scheme wlan-user-policy
[AC-isp-universal] authorization default radius-scheme wlan-user-policy
[AC-isp-universal] accounting default radius-scheme wlan-user-policy
[AC-isp-universal] quit
# 配置universal為缺省域。
[AC] domain default enable universal
# 配置WLAN接口以及端口安全模式。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] port-security tx-key-type 11key
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] quit
# 配置服務模板並綁定WLAN接口。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid test
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 將射頻接口與服務模板綁定。
[AC] wlan ap ap1 model wa2100
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio1] service-template 1
[AC-wlan-ap-ap1-radio1] radio enable
[AC-wlan-ap-ap1-radio1] return
# 配置AP組並應用在User Profile下。
<AC> system-view
[AC] wlan ap-group 11
[AC-ap-group11] ap ap1
[AC-ap-group11] quit
[AC] user-profile management
[AC-user-profile-management] wlan permit-ap-group 11
[AC-user-profile-management] quit
[AC] user-profile management enable
(2) 配置RADIUS服務器
# 在RADIUS服務器上下發User Profile。
登錄進入iMC管理平台,選擇“業務”頁簽,單擊導航樹中的[接入業務/服務配置管理],進入服務配置管理頁麵,在該頁麵中單擊“增加”按鈕後,進入配置頁麵。
配置下發User Profile:management。
圖1-26 配置下發User Profile
(3) 驗證結果
User Profile下設置的AP組隻包含AP 1,所以Client隻能通過關聯AP 1得到無線服務。
兩個無線控製器AC 1和AC 2通過一個二層交換機連接,兩個AC處於同一個漫遊組,無線客戶端先通過AP 1獲取無線服務,然後漫遊到與AC 2相連的AP 2上。要求無線客戶端通過允許接入的AP接入無線網絡,並保證無線客戶端在漫遊後還能獲取無線服務。
圖1-27 AC間漫遊用戶接入AP控製組網圖
RADIUS服務器上的配置和1.13.1 3. (2)相似,此處省略。
(1) 配置AC 1
# 開啟端口安全功能。
<AC1> system-view
[AC1] port-security enable
# 配置用戶認證方式為eap。
[AC1] dot1x authentication-method eap
# 配置無線端口安全,使用802.1X認證方式。
[AC1] interface wlan-ess 1
[AC1-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC1-WLAN-ESS1] port-security tx-key-type 11key
[AC1-WLAN-ESS1] undo dot1x multicast-trigger
[AC1-WLAN-ESS1] undo dot1x handshake
[AC1-WLAN-ESS1] quit
# 創建服務模板1(加密類型服務模板),配置SSID為abc。
[AC1] wlan service-template 1 crypto
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 配置AP 1:創建AP 1的模板,名稱為ap1,型號名稱選擇WA2100,並配置AP 1的序列號為210235A045B05B1236548。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A045B05B1236548
[AC1-wlan-ap-ap1] radio 1 type dot11g
# 將服務模板1綁定到AP 1的Radio 1口。
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 配置AC 1上的漫遊組,並開啟IACTP服務。
[AC1] wlan mobility-group abc
[AC1-wlan-mg-abc] source ip 10.18.1.1
[AC1-wlan-mg-abc] member ip 10.18.1.2
[AC1-wlan-mg-abc] mobility-group enable
[AC1-wlan-mg-abc] return
# 配置AP組並應用在User Profile下。
<AC1> system-view
[AC1] wlan ap-group 1
[AC1-ap-group1] ap ap1 ap2
[AC1-ap-group1] quit
[AC1] user-profile management
[AC1-user-profile-management] wlan permit-ap-group 1
[AC1-user-profile-management] quit
[AC1] user-profile management enable
(2) 配置AC 2
# 開啟端口安全功能。
<AC2> system-view
[AC2] port-security enable
# 配置用戶認證方式為eap。
[AC2] dot1x authentication-method eap
# 配置無線端口安全,使用802.1X認證方式。
[AC2] interface wlan-ess 1
[AC2-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC2-WLAN-ESS1] port-security tx-key-type 11key
[AC2-WLAN-ESS1] undo dot1x multicast-trigger
[AC2-WLAN-ESS1] undo dot1x handshake
[AC2-WLAN-ESS1] quit
# 創建服務模板1(加密類型服務模板),配置SSID為abc。
[AC2] wlan service-template 1 crypto
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] cipher-suite ccmp
[AC2-wlan-st-1] security-ie rsn
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 配置AP 2:創建AP 2的模板,名稱為ap2,型號名稱選擇WA2100,並配置AP 2的序列號為210235A22W0076000103。
[AC2] wlan ap ap2 model WA2100
[AC2-wlan-ap-ap2] serial-id 210235A22W0076000103
[AC2-wlan-ap-ap2] radio 1 type dot11g
[AC2-wlan-ap-ap2-radio-1] service-template 1
[AC2-wlan-ap-ap2-radio-1] radio enable
[AC2-wlan-ap-ap2-radio-1] quit
[AC2-wlan-ap-ap2] quit
# 配置AC 2上的漫遊組,並開啟IACTP服務。
[AC2] wlan mobility-group abc
[AC2-wlan-mg-abc] source ip 10.18.1.2
[AC2-wlan-mg-abc] member ip 10.18.1.1
[AC2-wlan-mg-abc] mobility-group enable
[AC2-wlan-mg-abc] quit
# 配置AP組並應用在User Profile下。
[AC2] wlan ap-group 1
[AC2-ap-group1] ap ap1 ap2
[AC2-ap-group1] quit
[AC2] user-profile management
[AC2-user-profile-management] wlan permit-ap-group 1
[AC2-user-profile-management] quit
[AC2] user-profile management enable
(3) 驗證結果
AP 1和AP 2下的User Profile均允許接入AP 1,AP 2,客戶端漫遊成功。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
售前谘詢
售後谘詢
人工在線谘詢
