08-無線服務
本章節下載: 08-無線服務 (3.14 MB)
WLAN(Wireless Local Area Network,無線局域網)技術是當今通信領域的熱點之一,和有線相比,無線局域網的啟動和實施相對簡單,維護的成本低廉,一般隻要安放一個或多個接入點設備就可建立覆蓋整個建築或地區的局域網絡。然而,WLAN係統不是完全的無線係統,它的服務器和骨幹網仍然安置在固定網絡,隻是用戶可以通過無線方式接入網絡。
使用WLAN解決方案,網絡運營商和企業能夠為用戶提供無線局域網服務,服務內容包括:
· 應用具有無線局域網功能的設備建立無線網絡,通過該網絡,用戶可以連接到固定網絡或因特網。
· 使用不同認證和加密方式,安全地訪問WLAN。
· 為無線用戶提供安全的網絡接入和移動區域內的無縫漫遊。
(1) 無線客戶端
帶有無線網卡的PC、筆記本電腦以及支持WiFi功能的各種終端。
(2) AP(Access Point,接入點)
AP提供無線客戶端到局域網的橋接功能,在無線客戶端與無線局域網之間進行無線到有線和有線到無線的幀轉換。
(3) AC(Access Controller,接入控製器)
無線控製器對無線局域網中的與其關聯的AP進行控製和管理。無線控製器還可以通過同認證服務器交互信息,來為WLAN用戶提供認證服務。
(4) SSID
SSID(Service Set Identifier,服務集識別碼),客戶端可以先進行無線掃描,然後選擇特定的SSID接入某個指定無線網絡。
無線用戶首先需要通過主動/被動掃描發現周圍的無線服務,再通過認證和關聯兩個過程後,才能和AP建立連接,最終接入無線局域網。整個過程如下圖所示。
無線客戶端有兩種方式可以獲取到周圍的無線網絡信息:一種為主動掃描,無線客戶端在掃描的時候,同時主動發送一個探測請求幀(Probe Request幀),通過收到探查響應幀(Probe Response)獲取網絡信息;另外一種是被動掃描,無線客戶端隻是通過監聽周圍AP發送的Beacon(信標幀)獲取無線網絡信息。
無線客戶端在實際工作過程中,通常同時使用主動掃描和被動掃描獲取周圍的無線網絡信息。
(1) 主動掃描
無線客戶端在工作過程中,會定期地搜索周圍的無線網絡,也就是主動掃描周圍的無線網絡。根據Probe Request幀(探測請求幀)是否攜帶SSID,可以將主動掃描分為兩種:
· 客戶端發送Probe Request幀(Probe Request中SSID為空,也就是SSID IE的長度為0):客戶端會定期地在其支持的信道列表中,發送Probe Request幀掃描無線網絡。當AP收到探查請求幀後,會回應Probe Response幀通告可以提供的無線網絡信息。無線客戶端通過主動掃描,可以主動獲知可使用的無線服務,之後無線客戶端可以根據需要選擇適當的無線網絡接入。無線客戶端主動掃描方式的過程如下圖所示。
圖1-2 主動掃描過程(Probe Request中SSID為空,也就是不攜帶任何SSID信息)
· 客戶端發送Probe Request幀(攜帶指定的SSID):當無線客戶端配置希望連接的無線網絡或者已經成功連接到一個無線網絡情況下,客戶端也會定期發送Probe Request幀(攜帶已經配置或者已經連接的無線網絡的SSID),當能夠提供指定SSID無線服務的AP接收到探測請求後回複探查響應。通過這種方法,無線客戶端可以主動掃描指定的無線網絡。這種無線客戶端主動掃描方式的過程如下圖所示。
圖1-3 主動掃描過程(Probe Request攜帶指定的SSID為“AP 1”)
(2) 被動掃描
被動掃描是指客戶端通過偵聽AP定期發送的Beacon幀發現周圍的無線網絡。提供無線網絡服務的AP設備都會周期性發送Beacon幀,所以無線客戶端可以定期在支持的信道列表監聽Beacon幀獲取周圍的無線網絡信息。當用戶需要節省電量時,可以使用被動掃描。一般VoIP語音終端通常使用被動掃描方式。被動掃描的過程如下圖所示。
為了保證無線鏈路的安全,AC需要完成對客戶端的認證,隻有通過認證後才能進入後續的關聯階段。802.11鏈路定義了兩種認證機製:開放係統認證和共享密鑰認證。
· 開放係統認證(Open system authentication)
開放係統認證是缺省使用的認證機製,也是最簡單的認證算法,即不認證。如果認證類型設置為開放係統認證,則所有請求認證的客戶端都會通過認證。開放係統認證包括兩個步驟:第一步是無線客戶端發起認證請求,第二步AP確定無線客戶端可以通過無線鏈路認證,並向無線客戶端回應認證結果為“成功”。
圖1-5 開放係統認證過程
· 共享密鑰認證(Shared key authentication)
共享密鑰認證是除開放係統認證以外的另外一種鏈路認證機製。共享密鑰認證需要客戶端和設備端配置相同的共享密鑰。
共享密鑰認證的認證過程為:客戶端先向設備發送認證請求,無線設備端會隨機產生一個Challenge包(即一個字符串)發送給客戶端;客戶端會將接收到的Challenge加密後再發送給無線設備端;無線設備端接收到該消息後,對該消息解密,然後對解密後的字符串和原始字符串進行比較。如果相同,則說明客戶端通過了Shared Key鏈路認證;否則Shared Key鏈路認證失敗。
圖1-6 共享密鑰認證過程
如果用戶想通過AP接入無線網絡,用戶必須同特定的AP關聯。當用戶通過指定SSID選擇無線網絡,並通過AP認證後,就可以向AP發送關聯請求幀。AP將用戶信息添加到數據庫,向用戶回複關聯響應。用戶每次隻可以關聯到一個AP上,並且關聯總是由用戶發起。
相對於有線網絡,WLAN存在著與生俱來的數據安全問題。在一個區域內的所有的WLAN設備共享一個傳輸媒介,任何一個設備可以接收到其它所有設備的數據,這個特性直接威脅到WLAN接入數據的安全。
802.11協議致力於解決WLAN的安全問題,主要的方法為對數據報文進行加密,保證隻有特定的設備可以對接收到的報文成功解密。其它的設備雖然可以接收到數據報文,但是由於沒有對應的密鑰,無法對數據報文解密,從而實現了WLAN數據的安全性保護。目前支持四種安全服務。
(1) 明文數據
該種服務本質上為無安全保護的WLAN服務,所有的數據報文都沒有通過加密處理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有線等效加密)用來保護WLAN中的授權用戶所交換的數據的機密性,防止這些數據被隨機竊聽。WEP使用RC4加密算法(一種流加密算法)實現數據報文的加密保護。根據WEP密鑰的生成方式,WEP加密分為靜態WEP加密和動態WEP加密。
· 靜態WEP加密:
靜態WEP加密要求手工指定WEP密鑰,接入同一SSID下的所有客戶端使用相同的WEP密鑰。如果WEP密鑰被破解或泄漏,攻擊者就能獲取所有密文。因此靜態WEP加密存在比較大的安全隱患。並且手工定期更新WEP密鑰會給網絡管理員帶來很大的設備管理負擔。
· 動態WEP加密:
動態WEP加密的自動密鑰管理機製對原有的靜態WEP加密進行了較大的改善。在動態WEP加密機製中,用來加密單播數據幀的WEP密鑰並不是手工指定的,而是由客戶端和服務器通過802.1X協議協商產生,這樣每個客戶端協商出來的WEP單播密鑰都是不同的,提高了單播數據幀傳輸的安全性。
雖然WEP加密在一定程度上提供了安全性和保密性,增加了網絡偵聽、會話截獲等的攻擊難度,但是受到RC4加密算法、過短的初始向量等限製,WEP加密還是存在比較大的安全隱患。
(3) TKIP加密
TKIP和WEP加密機製都是使用RC4算法,但是相比WEP加密機製,TKIP加密機製可以為WLAN服務提供更加安全的保護。
首先,TKIP通過增長了算法的IV長度提高了WEP加密的安全性。相比WEP算法,TKIP將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位;
其次,雖然TKIP采用的還是和WEP一樣的RC4加密算法,但其動態密鑰的特性很難被攻破,並且TKIP支持密鑰更新機製,能夠及時提供新的加密密鑰,防止由於密鑰重用帶來的安全隱患;
另外,TKIP還支持了MIC認證(Message Integrity Check,信息完整性校驗)和Countermeasure功能。當MIC發生錯誤的時候,數據很可能已經被篡改,係統很可能正在受到攻擊。此時,可以采取一係列的對策,來阻止黑客的攻擊。
(4) CCMP加密
CCMP(Counter mode with CBC-MAC Protocol,[計數器模式]搭配[區塊密碼鎖鏈-信息真實性檢查碼]協議)加密機製是基於AES(Advanced Encryption Standard,高級加密標準)加密算法的CCM(Counter-Mode/CBC-MAC,區塊密碼鎖鏈-信息真實性檢查碼)方法。CCM結合CTR(Counter mode,計數器模式)進行機密性校驗,同時結合CBC-MAC(區塊密碼鎖鏈-信息真實性檢查碼)進行認證和完整性校驗。CCMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。同樣CCMP包含了一套動態密鑰協商和管理方法,每一個無線用戶都會動態的協商一套密鑰,而且密鑰可以定時進行更新,進一步提供了CCMP加密機製的安全性。在加密處理過程中,CCMP也會使用48位的PN(Packet Number)機製,保證每一個加密報文都會是用不同的PN,在一定程度上提高安全性。
(1) PSK認證
PSK認證需要實現在無線客戶端和設備端配置相同的預共享密鑰,如果密鑰相同,PSK接入認證成功;如果密鑰不同,PSK接入認證失敗。
(2) 802.1X認證
802.1X協議是一種基於端口的網絡接入控製協議(port based network access control protocol)。“基於端口的網絡接入控製”是指在WLAN接入設備的端口這一級對所接入的用戶設備進行認證和控製。連接在端口上的用戶設備如果能通過認證,就可以訪問WLAN中的資源;如果不能通過認證,則無法訪問WLAN中的資源。
接入設備的管理者可以選擇使用RADIUS或本地認證方法,以配合802.1X完成用戶的身份認證。關於遠程和本地802.1X認證的介紹和配置可以參考“認證”。
(3) MAC地址認證
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法。通過手工維護一組允許訪問的MAC地址列表,實現對客戶端物理地址過濾,但這種方法的效率會隨著終端數目的增加而降低,因此MAC地址認證適用安全需求不太高的場合,如家庭、小型辦公室等環境。
MAC地址認證分為以下兩種方式:
· 本地MAC地址認證:當選用本地認證方式進行MAC地址認證時,需要在設備上預先配置允許訪問的MAC地址列表,如果客戶端的MAC地址不在允許訪問的MAC地址列表,將被拒絕其接入請求。
圖1-7 本地MAC地址認證
· 遠程MAC地址認證,即通過RADIUS服務器進行MAC地址認證。當MAC接入認證發現當前接入的客戶端為未知客戶端,會主動向RADIUS服務器發起認證請求,在RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問無線網絡以及獲得相應的授權信息。
圖1-8 遠程MAC地址認證
采用RADIUS服務器進行MAC地址認證時,可以通過在各無線服務下分別指定各自的domain域,將不同SSID的MAC地址認證用戶信息發送到不同的遠端RADIUS服務器。
802.11n作為802.11協議族的一個新協議,支持2.4GHz和5GHz兩個頻段,致力於為WLAN接入用戶提供更高的吞吐量,802.11n主要通過增加帶寬和提高信道利用率兩種方式來提高吞吐量。
增加帶寬:802.11n通過將兩個20MHz的帶寬綁定在一起組成一個40MHz通訊帶寬,在實際工作時可以作為兩個20MHz的帶寬使用。當使用40MHz帶寬時,可將速率提高一倍,提高無線網絡的吞吐量。
提高信道利用率:對信道利用率的提高主要體現在三個方麵。
· 802.11n標準中采用A-MPDU聚合幀格式,即將多個MPDU聚合為一個A-MPDU,隻保留一個PHY頭,刪除其餘MPDU的PHY頭,減少了傳輸每個MPDU的PHY頭的附加信息,同時通過Block Ack減少了ACK幀的數目,從而降低了協議的負荷,有效的提高網絡吞吐量。
· 802.11n協議定義了一個新的MAC特性A-MSDU,該特性實現了將多個MSDU組合成一個A-MSDU發送,與A-MPDU類似,通過聚合,A-MSDU減少了傳輸每個MSDU的MAC頭的附加信息,提高了MAC層的傳輸效率。
· 802.11n支持在物理層的優化,提供短間隔功能。原11a/g的GI時長800us,而短間隔Short GI時長為400us,在使用Short GI的情況下,可提高10%的速率。
接入服務配置的推薦步驟如下表所示。
步驟 |
配置任務 |
說明 |
1 |
新建無線服務 |
必選 |
2 |
配置clear類型的無線服務 |
兩者必選其一 按實際需求完成接入服務頁麵的安全設置部分 |
3 |
配置crypto類型的無線服務 |
|
4 |
開啟無線服務 |
必選 |
5 |
綁定AP的射頻 |
必選 |
6 |
開啟射頻 |
必選 |
7 |
查看無線服務的詳細信息 |
可選 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示接入服務配置頁麵。
(2) 單擊<新建>按鈕,進入如下圖所示無線服務新建頁麵。
(3) 配置無線服務,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
無線服務名稱 |
設置SSID(Service Set Identifier,服務集識別碼),無線服務名稱可以為1~32個字符的字符串,可以包含字母、數字及下劃線,區分大小寫,可以包含空格 SSID的名稱應該盡量具有唯一性。從安全方麵考慮不應該體現公司名稱,也不推薦使用長隨機數序列作為SSID,因為長隨機數序列隻是增加了頭域負載,對無線安全沒有改進 |
無線服務類型 |
選擇無線服務類型: · clear:使用明文發送無線服務 · crypto:使用密文發送無線服務 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表中找到要進行配置的clear類型無線服務,單擊對應的圖標,進入如下圖所示的配置頁麵。
在配置clear類型的無線服務時,需要先將其服務狀態改為關閉,單擊對應的圖標,才能對該無線服務進行配置。
圖1-11 clear類型無線服務基本配置頁麵
(3) 配置clear類型無線服務基本信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-3 clear類型無線服務基本配置的詳細配置
配置項 |
說明 |
無線服務名稱 |
顯示選擇的SSID |
VLAN(Untagged) |
添加Untagged的VLAN ID,VLAN(Untagged)表示端口成員發送該VLAN報文時不帶Tag標簽 |
缺省VLAN |
設置端口的缺省VLAN 在缺省情況下,所有端口的缺省VLAN均為VLAN 1,設置新的缺省VLAN後,VLAN 1為Untagged的VLAN ID |
刪除VLAN |
刪除已有Tagged和Untagged的VLAN ID |
網絡隱藏 |
· Enable:禁止在信標幀中通告SSID · Disable:在信標幀中通告SSID 缺省情況下,信標幀通告SSID · SSID隱藏後,AP發送的信標幀裏麵不包含SSID信息,接入客戶端必須在無線網卡上手動配置該SSID標識才能接入AP · 隱藏SSID對無線安全意義不大,允許廣播SSID可以使客戶端更容易發現AP |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表中找到要進行配置的clear類型無線服務,單擊對應的圖標,進入如下圖所示clear類型無線服務高級配置頁麵。
圖1-12 clear類型無線服務高級配置頁麵
(3) 配置clear類型無線服務高級信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-4 clear類型無線服務高級配置的詳細配置
配置項 |
說明 |
本地轉發 |
本地轉發是一種在AP上完成客戶端之間數據交互的轉發模式。在集中式WLAN 架構中,AP會將客戶端的數據報文透傳給AC,由AC集中處理。隨著客戶端速率的不斷提高,AC的轉發壓力也隨之增大。采用本地轉發後,AP直接轉發客戶端的數據,AC不再參與數據轉發,大大減輕了AC的負擔 · Enable:開啟本地轉發功能。打開本地轉發功能後,由AP進行數據幀的轉發 · Disable:關閉本地轉發功能。關閉本地轉發功能後,數據幀由AC轉發 |
本地轉發VLAN |
同一個SSID下的客戶端有可能屬於不同的VLAN,在配置本地轉發策略的時候需要考慮VLAN因素時,可以設置本地轉發VLAN |
關聯最大用戶數 |
在一個射頻下,某個SSID下的關聯客戶端的最大個數 當某個SSID下關聯的客戶端達到最大個數時,該SSID會自動隱藏 |
管理權限 |
上線的客戶端對設備WEB界麵的管理權限 · Disable:表示上線的客戶端對設備WEB界麵沒有管理權限 · Enable: 表示上線的客戶端對設備WEB界麵有管理權限 |
MAC VLAN功能 |
· Enable:表示在指定無線服務下開啟MAC VLAN功能 · Disable:表示在指定無線服務下關閉MAC VLAN功能 開啟MAC VLAN是配置基於AP區分接入VLAN功能時,綁定VLAN ID操作前的一個必要的前提條件 |
快速關聯功能 |
· 開啟:開啟快速關聯功能 · 關閉:關閉快速關聯功能 缺省情況下,快速關聯功能處於關閉狀態 開啟此功能後,設備不會對關聯到此無線服務的客戶端進行頻譜導航和負載均衡計算 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表中找到要進行配置的clear類型無線服務,單擊對應的圖標,進入clear類型無線服務安全配置頁麵。
圖1-13 clear類型無線服務安全配置頁麵
(3) 配置clear類型無線服務安全信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-5 clear類型無線服務安全配置的詳細配置
配置項 |
說明 |
認證方式 |
clear類型隻能選擇Open-System方式 |
端口安全 |
· mac-authentication:對接入用戶采用MAC地址認證 · mac-else-userlogin-secure:端口同時處於mac-authentication模式和userlogin-secure模式,但MAC地址認證優先級大於802.1X認證;對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證,如果MAC地址認證失敗進行802.1X認證 · mac-else-userlogin-secure-ext:與mac-else-userlogin-secure類似,但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure:對接入用戶采用基於MAC的802.1X認證,此模式下,端口允許多個802.1X認證用戶接入,但隻有一個用戶在線 · userlogin-secure-or-mac:端口同時處於userlogin-secure模式和mac-authentication模式,但802.1X認證優先級大於MAC地址認證;在用戶接入方式為無線的情況下,報文首先進行802.1X認證,如果802.1X認證失敗再進行MAC地址認證 · userlogin-secure-or-mac-ext:與userlogin-secure-or-mac類似,但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure-ext:對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 由於安全模式種類較多,為便於記憶,部分端口安全模式名稱的構成可按如下規則理解: · “userLogin”表示基於端口的802.1X認證 · “mac”表示MAC地址認證 · “Else”之前的認證方式先被采用,失敗後根據請求認證的報文協議類型決定是否轉為“Else”之後的認證方式 · “Or”連接的兩種認證方式無固定生效順序,設備根據請求認證的報文協議類型決定認證方式,但無線接入的用戶先采用802.1X認證方式 · 攜帶“Secure”的userLogin表示基於MAC地址的802.1X認證 · 攜帶“Ext”表示可允許多個802.1X用戶認證成功,不攜帶則表示僅允許一個802.1X用戶認證成功 |
最大用戶數 |
控製能夠通過某端口接入網絡的最大用戶數 |
當選擇mac-authentication時,需要配置如下選項。
圖1-14 mac-authentication端口安全配置頁麵
表1-6 mac-authentication端口安全配置的詳細配置
配置項 |
說明 |
端口模式 |
mac-authentication:對接入用戶采用MAC地址認證 在導航欄中選擇“無線服務 > 接入服務”,單擊<MAC認證列表>按鈕,輸入客戶端的MAC地址 |
最大用戶數 |
控製能夠通過某端口接入網絡的最大用戶數 |
MAC認證 |
選中“MAC認證”前的複選框 |
域名 |
在下拉框中選擇已存在的域 設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 需要注意的是: · 在該選項中選擇的域名僅對此無線服務生效,並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域,否則會導致使用此無線服務的客戶端下線 |
當選擇userlogin-secure/userlogin-secure-ext時,需要配置如下選項。
圖1-15 userlogin-secure/userlogin-secure-ext端口安全配置頁麵(以userlogin-secure為例)
表1-7 userlogin-secure/userlogin-secure-ext端口安全配置的詳細配置
配置項 |
說明 |
端口模式 |
· userlogin-secure:對接入用戶采用基於MAC的802.1X認證,此模式下,端口允許多個802.1X認證用戶接入,但隻有一個用戶在線 · userlogin-secure-ext:對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
最大用戶數 |
控製能夠通過某端口接入網絡的最大用戶數 |
域名 |
在下拉框中選擇已存在的域 設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 需要注意的是: · 在該選項中選擇的域名僅對此無線服務生效,並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域名,否則會導致正在使用此無線服務的客戶端下線 |
認證方法 |
· EAP:采用EAP認證方式。采用EAP認證方式意味著設備直接把802.1X用戶的認證信息以EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證,而無須將EAP報文轉換成標準的RADIUS報文後再發給RADIUS服務器來完成認證 · CHAP:采用CHAP認證方式。缺省情況下,采用CHAP認證方式。表示在網絡上以明文方式傳輸用戶名,以密文方式傳輸口令。相比之下,CHAP認證保密性較好,更為安全可靠 · PAP:采用PAP認證方式。PAP采用明文方式傳送口令 |
用戶握手 |
· Enable:開啟在線用戶握手功能,通過設備端定期向客戶端發送握手報文來探測用戶是否在線。缺省情況下,在線用戶握手功能處於開啟狀態 · Disable:關閉在線用戶握手功能 |
多播觸發 |
· Enable:開啟802.1X的組播觸發功能,即周期性地向客戶端發送組播觸發報文。缺省情況下,802.1X的組播觸發功能處於開啟狀態 · Disable:關閉802.1X的組播觸發功能 對於無線局域網來說,可以由客戶端主動發起認證,或由無線模塊發現用戶並觸發認證,而不必端口定期發送802.1X的組播報文來觸發。同時,組播觸發報文會占用無線的通信帶寬,因此建議無線局域網中的接入設備關閉該功能 |
當選擇其他四種端口安全時,需要配置如下選項。
圖1-16 四種端口安全配置頁麵(以mac-else-userlogin-secure為例)
表1-8 其它四種端口安全配置的詳細配置
配置項 |
說明 |
端口模式 |
· mac-else-userlogin-secure:端口同時處於mac-authentication模式和userlogin-secure模式,但MAC地址認證優先級大於802.1X認證;對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證,如果MAC地址認證失敗進行802.1X認證 · mac-else-userlogin-secure-ext:與mac-else-userlogin-secure類似,但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure-or-mac:端口同時處於userlogin-secure模式和mac-authentication模式,但802.1X認證優先級大於MAC地址認證;在用戶接入方式為無線的情況下,報文首先進行802.1X認證,如果802.1X認證失敗再進行MAC地址認證 · userlogin-secure-or-mac-ext:與userlogin-secure-or-mac類似,但允許端口下有多個802.1X和MAC地址認證用戶 在導航欄中選擇“無線服務 > 接入服務”,單擊<MAC認證列表>按鈕,輸入客戶端的MAC地址 |
最大用戶數 |
控製能夠通過某端口接入網絡的最大用戶數 |
域名 |
在下拉框中選擇已存在的域,配置了強製認證域後,所有從該端口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費 設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 |
認證方法 |
· EAP:采用EAP認證方式。采用EAP認證方式意味著設備直接把802.1X用戶的認證信息以EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證,而無須將EAP報文轉換成標準的RADIUS報文後再發給RADIUS服務器來完成認證 · CHAP:采用CHAP認證方式。缺省情況下,采用CHAP認證方式。表示在網絡上以明文方式傳輸用戶名,以密文方式傳輸口令。相比之下,CHAP認證保密性較好,更為安全可靠 · PAP:采用PAP認證方式。PAP采用明文方式傳送口令 |
用戶握手 |
· Enable:開啟在線用戶握手功能,通過設備端定期向客戶端發送握手報文來探測用戶是否在線。缺省情況下,在線用戶握手功能處於開啟狀態 · Disable:關閉在線用戶握手功能 |
多播觸發 |
· Enable:開啟802.1X的組播觸發功能,即周期性地向客戶端發送組播觸發報文。缺省情況下,802.1X的組播觸發功能處於開啟狀態 · Disable:關閉802.1X的組播觸發功能 對於無線局域網來說,可以由客戶端主動發起認證,或由無線模塊發現用戶並觸發認證,而不必端口定期發送802.1X的組播報文來觸發。同時,組播觸發報文會占用無線的通信帶寬,因此建議無線局域網中的接入設備關閉該功能 |
MAC認證 |
選中“MAC認證”前的複選框 |
域名 |
在下拉框中選擇已存在的域 設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 需要注意的是: · 在該選項中選擇的域名僅對此無線服務生效,並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域名,否則會導致正在使用此無線服務的客戶端下線 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表中找到要進行配置的crypto類型無線服務,單擊對應的圖標,進入如下圖所示頁麵。
圖1-17 crypto類型無線服務基本配置頁麵
(3) 配置crypto類型無線服務基本配置,詳細配置請參見表1-3。
(4) 單擊<確定>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表中找到要進行配置的crypto類型無線服務,單擊對應的圖標,進入如下圖所示頁麵。
圖1-18 crypto類型無線服務高級配置頁麵
(3) 配置crypto類型無線服務高級信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-9 crypto類型無線服務高級配置的詳細配置
配置項 |
說明 |
本地轉發 |
本地轉發是一種在AP上完成客戶端之間數據交互的轉發模式。在集中式WLAN 架構中,AP會將客戶端的數據報文透傳給AC,由AC集中處理。隨著客戶端速率的不斷提高,AC的轉發壓力也隨之增大。采用本地轉發後,AP直接轉發客戶端的數據,AC不再參與數據轉發,大大減輕了AC的負擔 · Enable:開啟本地轉發功能。打開本地轉發功能後,由AP進行數據幀的轉發 · Disable:關閉本地轉發功能。關閉本地轉發功能後,數據幀由AC轉發 |
本地轉發VLAN |
同一個SSID下的客戶端有可能屬於不同的VLAN,在配置本地轉發策略的時候需要考慮VLAN因素時,可以設置本地轉發VLAN |
關聯最大用戶數 |
在一個射頻下,某個SSID下關聯客戶端的最大個數 當某個SSID下關聯的客戶端達到最大個數時,該SSID會自動隱藏 |
PTK生存時間 |
設置PTK的生存時間,PTK通過四次握手方式生成 |
TKIP反製策略實施時間 |
設置反製策略實施時間 缺省情況下,TKIP反製策略實施的時間為0秒,即不啟動反製策略 MIC(Message Integrity Check,信息完整性校驗)是為了防止黑客的篡改而定製的,它采用Michael算法,具有很高的安全特性。當MIC發生錯誤的時候,數據很可能已經被篡改,係統很可能正在受到攻擊。啟動反製策略後,如果在一定時間內發生了兩次MIC錯誤,則會解除所有關聯到該無線服務的客戶端,並且隻有在TKIP反製策略實施的時間後,才允許客戶端重新建立關聯 |
管理權限 |
上線的客戶端對設備WEB界麵的管理權限 · Disable:表示上線的客戶端對設備WEB界麵沒有管理權限 · Enable:表示上線的客戶端對設備WEB界麵有管理權限 |
MAC VLAN功能 |
· Enable:表示在指定無線服務下開啟MAC VLAN功能 · Disable:表示在指定無線服務下關閉MAC VLAN功能 開啟MAC VLAN是配置基於AP區分接入VLAN功能時,綁定VLAN ID操作前的一個必要的前提條件 |
快速關聯功能 |
· 開啟:開啟快速關聯功能 · 關閉:關閉快速關聯功能 缺省情況下,快速關聯功能處於關閉狀態 開啟此功能後,設備不會對關聯到此無線服務的客戶端進行頻譜導航和負載均衡計算 |
GTK更新方法 |
GTK由AC生成,在AP和客戶端認證處理的過程中通過組密鑰握手和4次握手的方式發送到客戶端。客戶端使用GTK來解密組播和廣播報文 · 選用基於時間更新的方法,需要指定GTK密鑰更新的周期時間間隔 · 選用基於數據包更新的方法,需要指定傳輸的數據包的數目,在傳送指定數目的數據包後更新GTK 缺省情況下,GTK密鑰更新采用基於時間的方法,缺省的時間間隔是86400秒 |
客戶端離線更新GTK |
啟動當客戶端離線時更新GTK的功能 缺省情況下,客戶端離線更新GTK的功能處於關閉狀態 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表中找到要進行配置的crypto類型無線服務,單擊對應的圖標,進入如下圖所示頁麵。
圖1-19 crypto類型無線服務安全配置頁麵
(3) 配置crypto類型無線服務安全信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-10 crypto類型無線服務安全配置的詳細配置
配置項 |
說明 |
認證方式 |
· Open-System:即不認證,如果認證類型設置為開放係統認證,則所有請求認證的客戶端都會通過認證 · Shared-Key:共享密鑰認證需要客戶端和設備端配置相同的共享密鑰;隻有在使用WEP加密時才可選用shared-key認證機製 · Open-System and Shared-Key:可以同時選擇使用Open-System和Shared-Key認證 WEP加密方式可以分別和Open system、Shared key鏈路認證方式使用。 · 采用Open system authentication方式:此時WEP密鑰隻做加密,即使密鑰配置不一致,用戶也可以成功建立無線鏈路,但所有的數據都會因為密鑰不一致被接收端丟棄 · 采用Shared key authentication方式:此時WEP密鑰同時作為認證密鑰和加密密鑰,如果密鑰配置不一致,客戶端就不能通過鏈路認證,也就無法接入無線網絡 |
加密類型 |
無線服務支持加密機製: · AES-CCMP:一種基於AES加密算法的加密機製 · TKIP:一種基於RC4算法和動態密鑰管理的加密機製 · AES-CCMP and TKIP:可以同時選擇使用CCMP和TKIP加密 |
安全IE |
無線服務類型(Beacon或者Probe response報文中攜帶對應的IE信息): · WPA:在802.11i協議之前,Wi-Fi Protected Access定義的安全機製 · WPA2:802.11i定義的安全機製,也就是RSN(Robust Security Network,健壯安全網絡)安全機製,提供比WEP和WPA更強的安全性 · WPA and WPA2:同時選擇使用WPA和WPA2 |
WEP加密 |
|
自動提供密鑰 |
使用自動提供WEP密鑰方式 · 開啟:使用自動提供WEP密鑰方式 · 關閉:使用靜態WEP密鑰方式 缺省情況下,使用靜態WEP密鑰方式 選擇自動提供WEP密鑰方式後,“密鑰類型”選項會自動使用WEP 104加密方式 · 自動提供WEP密鑰必須和802.1X認證方式一起使用 · 配置動態WEP加密後,用來加密單播數據幀的WEP密鑰由客戶端和服務器協商產生。如果配置動態WEP加密的同時配置了WEP密鑰,則該WEP密鑰作為組播密鑰,用來加密組播數據幀。如果不配置WEP密鑰,則由設備隨機生成組播密鑰 |
密鑰類型 |
· WEP 40:選擇WEP 40進行加密 · WEP 104:選擇WEP104進行加密 · WEP 128:選擇WEP 128進行加密 |
密鑰ID |
1:選擇密鑰索引為1 2:選擇密鑰索引為2 3:選擇密鑰索引為3 4:選擇密鑰索引為4 在WEP中有四個靜態的密鑰。其密鑰索引分別是1、2、3和4。指定的密鑰索引所對應的密鑰將被用來進行幀的加密和解密 |
長度 |
選擇WEP密鑰長度 · 當密鑰類型選擇WEP40時,可選的密鑰長度5個字符(5 Alphanumeric Chars)或者10位16進製數(10 Hexadecimal Chars) · 當密鑰類型選擇WEP104時,可選的密鑰長度13個字符(13 Alphanumeric Chars)或者26位16進製數(26 Hexadecimal Chars) · 當密鑰類型選擇WEP 128時,可選的密鑰長度16個字符(16 Alphanumeric Chars)或者32位16進製數(32 Hexadecimal Chars) |
密鑰 |
配置WEP密鑰 |
端口安全 |
請參見表1-5 “認證方式”、“加密類型”等參數直接決定了端口模式的可選範圍,具體請參見表1-13 在選則“加密類型”後,增加以下四種端口安全模式: · mac and psk:接入用戶必須先進行MAC地址認證,通過認證後使用預先配置的預共享密鑰與設備協商,協商成功後可訪問端口 · psk:接入用戶必須使用設備上預先配置的靜態密鑰,即PSK(Pre-Shared Key,預共享密鑰)與設備進行協商,協商成功後可訪問端口 · userlogin-secure-ext:對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
當選擇mac and psk時,需要配置如下選項。
圖1-20 mac and psk端口安全配置頁麵
表1-11 mac and psk端口安全配置的詳細配置
配置項 |
說明 |
端口模式 |
mac and psk:接入用戶必須先進行MAC地址認證,通過認證後使用預先配置的預共享密鑰與設備協商,協商成功後可訪問端口 在導航欄中選擇“無線服務 > 接入服務”,單擊<MAC認證列表>按鈕,輸入客戶端的MAC地址 |
最大用戶數 |
控製能夠通過某端口接入網絡的最大用戶數 |
MAC認證 |
選中“MAC認證”前的複選框 |
域名 |
在下拉框中選擇已存在的域 設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 需要注意的是: 在該選項中選擇的域名僅對此無線服務生效 · 在該選項中選擇的域名僅對此無線服務生效,並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域名,否則會導致正在使用此無線服務的客戶端下線 |
域共享密鑰 |
· pass-phrase:以字符串方式輸入預共享密鑰,輸入8~63個字符的可顯示字符串。 · raw-key:以十六進製數方式輸入預共享密鑰,輸入長度是64位的合法十六進製數。 |
當選擇psk時,需要配置如下選項。
圖1-21 psk端口安全配置頁麵
表1-12 psk端口安全配置的詳細配置
配置項 |
說明 |
端口模式 |
psk:接入用戶必須使用設備上預先配置的靜態密鑰,即PSK(Pre-Shared Key,預共享密鑰)與設備進行協商,協商成功後可訪問端口 |
最大用戶數 |
控製能夠通過某端口接入網絡的最大用戶數 |
域共享密鑰 |
· pass-phrase:以字符串方式輸入預共享密鑰,輸入8~63個字符的可顯示字符串。 · raw-key:以十六進製數方式輸入預共享密鑰,輸入長度是64位的合法十六進製數。 |
當選擇userlogin-secure-ext時,需要配置的選項如表1-7所示。
clear類型和crypto類型無線服務類型下,各參數之間的關係:
服務類型 |
認證方式 |
加密類型 |
安全IE |
WEP加密/密鑰ID |
端口模式 |
clear |
Open-System |
不可選 |
不可選 |
不可選 |
mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext userlogin-secure userlogin-secure-ext userlogin-secure-or-mac userlogin-secure-or-mac-ext |
crypto |
Open-System |
選擇 |
必選 |
WEP加密可選/密鑰ID可選234 |
mac and psk psk userlogin-secure-ext |
不選擇 |
不可選 |
WEP加密必選/密鑰ID可選123 |
mac-authentication userlogin-secure userlogin-secure-ext |
||
Shared-Key |
不可選 |
不可選 |
WEP加密必選/密鑰ID可選1234 |
mac-authentication |
|
Open-System and Shared-Key |
選擇 |
必選 |
WEP加密必選/密鑰ID可選1234 |
mac and psk psk userlogin-secure-ext |
|
不選擇 |
不可選 |
WEP加密必選/密鑰ID可選1234 |
mac-authentication userlogin-secure userlogin-secure-ext |
(1) 在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
圖1-22 開啟無線服務
(2) 選中需要開啟的無線服務前的複選框。
(3) 單擊<開啟>按鈕完成操作。
(1) 在導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表裏查找到需要綁定的無線服務,單擊對應的圖標,進入下圖所示頁麵。
圖1-23 綁定AP的射頻
(3) 選中需要綁定的AP射頻前的複選框。
(4) 單擊<關閉>按鈕完成操作。
通過不同的SSID區分不同服務的業務流。而通過AP來區分不同的地點,地點不同用戶所能接入的服務不同。當客戶端在不同的AP間漫遊時,可以通過區分接入的AP來享受不同的服務。具體要求為:
· 同屬於一個SSID的用戶在不同AP接入時可以根據配置情況決定所屬的VLAN;
· 用戶在漫遊時,接入所屬的VLAN一直保持不變;
· 在AC間漫遊時,如果本AC沒有該VLAN出口,則要求能夠在漫遊組內找到HA,將報文通過HA送出,保證報文不間斷。
圖1-24 基於AP區分接入VLAN示意圖
上圖中,Client 1在AP 1處上線,所屬的VLAN為VLAN3。漫遊期間(包括AC內的漫遊,AC間的漫遊),Client 1的VLAN一直保持不變。AC間漫遊時,如果FA(即AC 2)有該VLAN的出口,則在該AC送出報文,如果FA沒有該VLAN的出口,報文通過DATA TUNNEL送到HA(即AC 1)後送出。
Client 2在AP 4上線,所屬的VLAN為VLAN 2,表示在不同的AP上線後分配的VLAN不同。
(1) 在導航欄中選擇“無線服務 > 接入服務”。
(2)
在列表裏查找到需要綁定的無線服務,單擊對應的圖標,進入圖1-23所示綁定AP的射頻頁麵。
(3) 選擇需要綁定的AP射頻模式,選中前麵的複選框。
(4) 在綁定VLAN輸入框中輸入需要綁定的VLAN。
(5) 單擊<確定>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
(2) 選中需要開啟的射頻模式前的複選框。
(3) 單擊<開啟>按鈕,彈出配置過程對話框。
(4) 單擊<關閉>按鈕,完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”,進入接入服務配置頁麵。
(2) 點擊指定的clear類型無線服務後,如下圖所示,可以查看相關的詳細信息。
圖1-26 clear類型無線服務的詳細信息
表1-14 clear類型無線服務顯示信息描述表
配置項 |
說明 |
Service Template Number |
當前無線服務號 |
SSID |
Service Set Identifier,表示設置的服務集識別碼 |
Binding Interface |
同服務模板綁定的WLAN-ESS接口 |
Service Template Type |
服務模版類型 |
Authentication Method |
使用的認證類型,clear類型的無線服務隻能使用Open System(開放係統認證)方式 |
SSID-hide |
· Disable:啟用SSID通告 · Enable:禁用SSID通告。SSID隱藏後,AP發送的信標幀裏麵不包含SSID信息 |
Bridge Mode |
轉發方式: · Local Forwarding:使用本地轉發轉發方式 · Remote Forwarding:使用AC遠端轉發方式 |
Service Template Status |
服務模板狀態: · Enable:無線服務處於開啟狀態 · Disable:無線服務處於關閉狀態 |
Maximum clients per BSS |
一個BSS中能夠連接的最大客戶端數 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”,進入接入服務配置頁麵。
(2) 點擊指定的crypto類型無線服務後,如下圖所示,可以查看相關的詳細信息。
圖1-27 crypto類型無線服務的詳細信息
表1-15 crypto類型無線服務顯示信息描述表
配置項 |
說明 |
Service Template Number |
當前無線服務號 |
SSID |
Service Set Identifier,表示設置的服務集識別碼 |
Binding Interface |
同服務模板綁定的WLAN-ESS接口 |
Service Template Type |
服務模版類型 |
Security IE |
安全IE:WPA或WPA2 |
Authentication Method |
使用的認證類型:Open System(開放係統認證)或者Shared Key(共享密鑰認證); |
SSID-hide |
· Disable:啟用SSID通告 · Enable:禁用SSID通告。SSID隱藏後,AP發送的信標幀裏麵不包含SSID信息 |
Cipher Suite |
加密套件:CCMP、TKIP、WEP40/WEP104/WEP128 |
WEP Key Index |
加密或解密幀的密鑰索引 |
WEP Key Mode |
WEP密鑰模式: · HEX:WEP密鑰為16進製數的形式 · ASCII:WEP密鑰為字符串的形式 |
WEP Key |
WEP密鑰 |
TKIP Countermeasure Time(s) |
TKIP反製策略時間,單位為秒 |
PTK Life Time(s) |
PTK生存時間,單位為秒 |
GTK Rekey |
GTK密鑰更新配置 |
GTK Rekey Method |
GTK密鑰更新方法:基於包或基於時間 |
GTK Rekey Time(s) |
當選擇基於時間的GTK密鑰更新方法時,顯示GTK密鑰更新時間,單位為秒 當選擇基於包的GTK密鑰更新方法時,顯示數據包的數目 |
Bridge Mode |
轉發方式: · Local Forwarding:使用本地轉發轉發方式 · Remote Forwarding:使用AC遠端轉發方式 |
Service Template Status |
服務模板狀態: · Enable:無線服務處於開啟狀態 · Disable:無線服務處於關閉狀態 |
Maximum clients per BSS |
一個BSS中能夠連接的最大客戶端數 |
某部門為了保證工作人員可以隨時隨地訪問部門內部的網絡資源,需要通過部署AP實現移動辦公。
具體要求如下:
· AP通過二層交換機與AC相連。AP的序列ID為210235A29G007C000020,使用手工輸入序列號方式。
· AP提供SSID為service1的明文方式的無線接入服務。
· 采用802.11n(2.4GHz)射頻模式。
圖1-28 無線服務組網圖
(1) 創建AP。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
圖1-29 創建AP
(2) 配置無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“service1”。
· 選擇無線服務類型為“clear”。
步驟4:單擊<確定>按鈕完成操作。
圖1-30 創建無線服務
步驟5:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
· 選中“service1”前的複選框。
· 單擊<開啟>按鈕完成操作。
圖1-31 開啟無線服務
(3) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“service1”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“ap 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-32 綁定AP的射頻
(4) 開啟802.11n(2.4GHz)射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“ap 802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
圖1-33 開啟802.11n(2.4GHz)射頻
(1) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,進入如下圖所示頁麵,可以查看到成功上線的客戶端。
配置無線服務前需要選擇正確的區域碼。
網絡中可能存在多個AP,為了避免多次配置大量的AP序列號,使用AP自動發現功能使AP和AC建立隧道,並要求客戶端通過下列方式接入無線網絡。
· AP提供SSID為service1的明文方式的無線接入服務。
· 采用802.11n(2.4GHz)射頻模式。
圖1-35 AP自動發現組網圖
(1) 創建AP
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入如下圖所示AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“自動”。
步驟4:單擊<確定>按鈕完成操作。
圖1-36 創建AP
(2) 配置無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示
· 設置無線服務名稱為“service1”。
· 選擇無線服務類型為“clear”。
步驟4:單擊<確定>按鈕完成操作。
圖1-37 創建無線服務
步驟5:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟6:選中“service1”前的複選框,
步驟7:單擊<開啟>按鈕完成操作。
圖1-38 開啟無線服務
(3) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“service1”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“ap 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-39 綁定AP的射頻
步驟5:在導航欄中選擇“AP > AP設置”,查看AP狀態,發現AP處於“空閑”狀態。
(4) 開啟自動AP設置
步驟1:在導航欄中選擇“AP > 自動AP設置”,進入如下圖所示自動AP設置頁麵。
步驟2:選擇“開啟”自動AP設置。
步驟3:單擊<確定>按鈕完成操作。
圖1-41 自動AP設置
步驟4:開啟自動AP後,單擊<刷新>按鈕,可以查詢到自動發現的AP(ap_0001)。
圖1-42 查詢到自動發現的AP
(5) 重命名AP
如果不需要修改自動發現的AP名ap_0001,則直接選中“ap_0001”前的複選框,單擊<批量轉換>按鈕完成操作。
如果需要修改自動發現的AP名ap_0001,可以按照以下步驟完成AP重命名。
步驟1:在界麵左側的導航欄中選擇“AP > 自動AP設置”。
步驟2:點擊ap_0001對應欄中的圖標,進入如下圖所示自動AP設置頁麵。選中“重命名AP”前的複選框,輸入“ap1”。
步驟3:單擊<確定>按鈕完成操作。
步驟4:在導航欄中選擇“AP > AP設置”,可以查看到修改後的固定AP。
圖1-44 查看AP
(6) 開啟802.11n(2.4GHz)射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,並選中其複選框。
步驟3:單擊<開啟>按鈕完成操作。
(1) 開啟射頻後,在導航欄中選擇“AP > AP設置”,可以查看到AP處於Run狀態。
(2) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(3) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
配置AP自動發現功能需要注意如下事項:
· 選擇正確的區域碼。
· 在本例中,開啟射頻應該選擇轉換後的AP(舉例中的ap1),而不是自動AP的射頻(舉例中的ap)。如果先開啟自動AP的射頻,則以自動發現方式關聯的AP也都完成開啟射頻。
某公司為了滿足多媒體應用的高帶寬要求,需要部署高速接入的802.11n無線網絡。
具體要求如下:
· AP提供SSID為11nservice的明文方式的無線接入服務。
· 為了保護現有投資,兼容現有的802.11g無線網絡,采用802.11gn射頻模式。
圖1-46 802.11n組網圖
(1) 創建AP。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置。
· 設置AP名稱為“11nap”。
· 選擇型號為“WA2610E-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
(2) 創建無線服務。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入接入服務新建頁麵。
步驟3:進行如下配置。
· 設置無線服務名稱為“11nservice”。
· 選擇無線服務類型為“clear”。
步驟4:單擊<確定>按鈕完成操作。
步驟5:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入接入服務配置頁麵。
步驟6:選中“11nservice”前的複選框,
步驟7:單擊<開啟>按鈕完成操作。
(3) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“11nservice”對應的圖標。
步驟3:選中“11nap”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
(4) 開啟802.11n(2.4GHz)射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“11nap”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
(1) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
圖1-47 查看成功上線的客戶端
從上圖中可以看到,0014-6c8a-43ff是802.11g用戶,001c-f0bf-9c92是802.11n用戶,因為本例中沒有對用戶類型進行限製,所以802.11g、802.11n用戶都可以接入無線網絡。如果開啟了“隻允許11n用戶接入”,那麼隻有001c-f0bf-9c92用戶才能接入無線網絡。
配置802.11n需注意如下事項:
·
在導航欄中選擇“射頻
> 射頻設置”,選擇需要配置的AP的射頻單元,單擊圖標進入射頻配置頁麵可以修改關於802.11n的相關參數,包括帶寬模式、A-MPDU、A-MSDU、short GI和允許11n用戶接入情況。
· 在導航欄中選擇“射頻 > 速率設置”,可以修改802.11n的速率。
要求客戶端使用WPA-PSK方式接入無線網絡,客戶端的PSK密鑰配置與AP端相同,為12345678。
圖1-48 PSK認證配置組網圖
(1) 創建AP。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
圖1-49 創建AP
(2) 創建無線服務。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“psk”。
· 選擇無線服務類型為“crypto”。
步驟4:單擊<確定>按鈕完成操作。
圖1-50 創建無線服務
(3) 配置WPA-PSK認證
創建無線服務後,直接進入配置無線服務界麵。
步驟1:PSK認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 在“認證方式”下拉框中選擇“Open-System”。
· 選中“加密類型”前的複選框,選擇“AES-CCMP and TKIP”加密類型(請根據實際情況,選擇需要的加密類型),選擇“WPA”安全IE。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“psk”方式。
· 在PSK預共享密鑰下拉框裏選擇“pass-phrase”,輸入密鑰“12345678”。
步驟2:單擊<確定>按鈕完成操作。
圖1-51 配置無線服務
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“psk”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
圖1-52 開啟無線服務
(4) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務psk對應的圖標,進入如下圖所示頁麵。
步驟3:選中“ap 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-53 綁定AP的射頻
(5) 開啟802.11n(2.4GHz)射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“ap 802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-54 開啟802.11n(2.4GHz)射頻
打開無線客戶端,刷新網絡列表,在“選擇無線網絡”列表裏找到配置的網絡服務(此例中為psk),單擊<連接>,在彈出的對話框裏輸入網絡密鑰(此例中為12345678),整個過程如下圖所示。
客戶端配置相同的PSK預共享密鑰,客戶端可以成功關聯AP。
圖1-56 客戶端成功關聯AP
(1) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
無線控製器AC與二層交換機建立連接。AP通過二層交換機與AC建立連接,並且AP和AC在同一網絡。要求使用客戶端使用MAC地址本地認證方式接入無線網絡。
圖1-57 MAC地址本地認證配置組網圖
(1) 創建AP。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
· 設置AP名稱為“ap”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟3:單擊<確定>按鈕完成操作。
圖1-58 創建AP
(2) 創建無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“mac-auth”。
· 選擇無線服務類型為“clear”。
步驟4:單擊<確定>按鈕完成操作。
圖1-59 創建無線服務
(3) 配置MAC本地認證
創建無線服務後,直接進入配置無線服務界麵。
步驟1:MAC地址本地認證需要對“安全設置”部分進行配置,如下圖所示。
· 在“認證方式”下拉框中選擇“Open-System”。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“mac-authentication” 方式。
· 選中“MAC認證”前的複選框,在域名下拉框中選擇“system”(在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以創建新的域)。
步驟2:單擊<確定>按鈕完成操作。
圖1-60 配置無線服務
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“mac-auth”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
圖1-61 開啟無線服務
(4) 配置MAC認證列表
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<MAC認證列表>按鈕。
步驟3:進入如下圖所示頁麵,在MAC地址欄裏添加本地接入用戶,本例中為“0014-6c8a-43ff”。
步驟4:單擊<添加>按鈕完成操作。
圖1-62 添加MAC認證列表
(5) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“mac-auth”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“ap 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-63 綁定AP的射頻
(6) 開啟802.11n(2.4GHz)射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“ap 802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-64 開啟802.11n(2.4GHz)射頻
打開無線客戶端,刷新網絡列表,在“選擇無線網絡”列表裏找到配置的網絡服務(此例中為mac-auth),單擊<連接>按鈕,如果客戶端的MAC地址在MAC認證列表中,該客戶端可以通過認證,並訪問無線網絡。
圖1-65 配置無線客戶端
(1) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
要求無線客戶端使用遠程MAC地址認證方式接入無線網絡。
· 一台RADIUS服務器(使用CAMS/iMC服務器,擔當認證、授權、計費服務器的職責)。在RADIUS服務器上需要添加Client的用戶名和密碼(用戶名和密碼為Client的MAC地址),同時設置共享密鑰為“expert”,RADIUS服務器IP地址為10.18.1.88。
· AC的IP地址為10.18.1.1,在AC上設置共享密鑰為expert,發送給RADIUS服務器的用戶名中不帶域名。
圖1-66 遠程MAC地址認證配置組網圖
(1) 配置AC的接口IP地址
在AC上創建VLAN(在導航欄中選擇“網絡 > VLAN”,進入頁麵後可以創建VLAN),並配置IP地址(在導航欄中選擇 “設備 > 接口管理”,進入頁麵後可以配置VLAN的IP地址)。
(2) 配置RADIUS方案
步驟1:在導航欄中選擇“認證 > RADIUS”。
步驟2:單擊<新建>按鈕,進行RADIUS方案配置頁麵。
步驟3:進行如下配置,如下圖所示。
· 在RADIUS服務器配置中增加如下圖所示的兩個服務器,其中密鑰為“expert”。
· 輸入方案名稱為“system”。
· 選擇服務類型為“Extended”。
· 選擇用戶名格式為“不帶域名”。
步驟4:單擊<確定>按鈕完成操作。
圖1-67 配置RADIUS
(3) 配置AAA
步驟1:創建ISP域。在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵,本例使用缺省的system域(如果需要定製ISP域,可以創建新的ISP域)。
步驟2:配置ISP域的AAA認證方案。單擊“認證”頁簽。
步驟3:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“LAN-access認證”前的複選框,選擇認證方式為“RADIUS”。
· 選擇認證方案名稱為“system”。
步驟4:單擊<應用>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-68 配置ISP域的AAA認證方案
步驟6:配置ISP域的AAA授權方案。單擊“授權”頁簽。
步驟7:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“LAN-access授權”前的複選框,選擇授權方式為“RADIUS”。
· 選擇授權方案名稱為“system”。
步驟8:單擊<應用>按鈕,彈出配置進度對話框。
步驟9:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-69 配置ISP域的AAA授權方案
步驟10:配置ISP域的AAA計費方案。單擊“計費”頁簽。
步驟11:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“計費可選開關”前的複選框,選擇“Enable”。
· 選中“LAN-access計費”前的複選框,選擇計費方式為“RADIUS”。
· 選擇計費方案名稱為“system”。
步驟12:單擊<應用>按鈕,彈出配置進度對話框。
步驟13:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-70 配置ISP域的AAA計費方案
(4) 創建AP
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
圖1-71 創建AP
(5) 創建無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“mac-auth”。
· 選擇無線服務類型為“clear”。
步驟4:單擊<確定>按鈕完成操作。
圖1-72 創建無線服務
(6) 配置MAC地址認證
創建無線服務後,直接進入配置無線服務界麵。
步驟1:配置MAC地址認證需要對“安全設置”部分進行設置,如下圖所示。
· 在“認證方式”下拉框中選擇“Open-System”。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“mac-authentication”方式。
· 選中“MAC認證”前的複選框,在域名下拉框中選擇“system”。
步驟2:單擊<確定>按鈕,彈出配置進度對話框。
步驟3:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-73 安全設置
步驟4:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟5:選中“mac-auth”前的複選框。
步驟6:單擊<開啟>按鈕,彈出配置進度對話框。
步驟7:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-74 開啟無線服務
(7) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“mac-auth”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“ap 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-75 綁定AP的射頻
(8) 開啟802.11n(2.4GHz)射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“ap 802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-76 開啟802.11n(2.4GHz)射頻
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),說明RADIUS server的基本配置。
(1) 增加接入設備。
步驟1:在iMC管理平台選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務/接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert;
· 設置認證及計費的端口號分別為1812和1813;
· 選擇協議類型為LAN接入業務;
· 選擇接入設備類型為H3C;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
步驟5:單擊<確定>按鈕完成操作。
圖1-77 增加接入設備
(2) 增加服務配置。
步驟1:選擇“業務”頁簽.
步驟2:單擊導航樹中的“接入業務>服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:設置服務名為mac,其他保持缺省配置。
步驟5:單擊<確定>按鈕完成操作。
圖1-78 增加服務配置頁麵
(3) 增加接入用戶。
步驟1:選擇“用戶”頁簽.
步驟2:單擊導航樹中的“接入用戶視圖>所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶名00146c8a43ff;
· 添加帳號名和密碼為00146c8a43ff;
· 選中剛才配置的服務mac。
步驟5:單擊<確定>按鈕完成操作。
圖1-79 增加接入用戶
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0、iMC UAM 5.0),說明RADIUS server的基本配置。
(1) 增加接入設備
步驟1:在iMC管理選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert,其它保持缺省配置;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
步驟5:單擊<確定>按鈕完成操作。
圖1-80 增加接入設備
(2) 增加服務配置
步驟1:選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:設置服務名為mac,其它保持缺省配置。
步驟5:單擊<確定>按鈕完成操作。
圖1-81 增加服務配置頁麵
(3) 增加接入用戶
步驟1:選擇“用戶”頁簽。
步驟2:單擊導航樹中的“接入用戶視圖 > 所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶00146c8a43ff;
· 添加帳號名和密碼為00146c8a43ff;
· 選中剛才配置的服務mac。
步驟5:單擊<確定>按鈕完成操作。
圖1-82 增加接入用戶
(1) 客戶端不需要用戶手動輸入用戶名或者密碼。該客戶端通過MAC地址認證後,可以通過訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
要求無線客戶端使用遠程802.1X認證方式接入無線網絡。
· 一台RADIUS服務器(使用CAMS/iMC服務器,擔當認證、授權、計費服務器的職責)。在RADIUS服務器上添加Client的用戶名和密碼(用戶名為user,密碼為dot1x),同時設置共享密鑰為“expert”,RADIUS服務器IP地址為10.18.1.88。
· AC的IP地址為10.18.1.1。在AC上設置共享密鑰為expert,發送給RADIUS服務器的用戶名中不帶域名。
圖1-83 遠程802.1X認證配置組網圖
(1) 配置AC的接口IP地址
在AC上創建VLAN(在導航欄中選擇“網絡 > VLAN”,進入頁麵後可以創建VLAN),並配置IP地址(在導航欄中選擇 “設備 > 接口管理”,進入頁麵後可以配置VLAN的IP地址)。
步驟1:在導航欄中選擇“認證 > RADIUS”。
步驟2:單擊<新建>按鈕,進行RADIUS方案配置頁麵。
步驟3:進行如下配置,如下圖所示。
· 在RADIUS服務器配置中增加如下圖所示的兩個服務器,其中密鑰為“expert”。
· 輸入方案名稱為“system”。
· 選擇服務類型為“Extended”。
· 選擇用戶名格式為“不帶域名”。
步驟4:單擊<確定>按鈕完成操作。
圖1-84 配置RADIUS
步驟1:創建ISP域。在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵,本例使用缺省的system域(如果需要定製ISP域,可以創建新的ISP域)。
步驟2:配置ISP域的AAA認證方案。單擊“認證”頁簽。
步驟3:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“LAN-access認證”前的複選框,選擇認證方式為“RADIUS”。
· 選擇認證方案名稱為“system”。
步驟4:單擊<應用>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-85 配置ISP域的AAA認證方案
步驟6:配置ISP域的AAA授權方案。單擊“授權”頁簽。
步驟7:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“LAN-access授權”前的複選框,選擇授權方式為“RADIUS”。
· 選擇授權方案名稱為“system”。
步驟8:單擊<應用>按鈕,彈出配置進度對話框。
步驟9:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-86 配置ISP域的AAA授權方案
步驟10:配置ISP域的AAA計費方案。單擊“計費”頁簽。
步驟11:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“計費可選開關”前的複選框,選擇“Enable”。
· 選中“LAN-access計費”前的複選框,選擇計費方式為“RADIUS”。
· 選擇計費方案名稱為“system”。
步驟12:單擊<應用>按鈕,彈出配置進度對話框。
步驟13:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-87 配置ISP域的AAA計費方案
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
圖1-88 創建AP
(5) 創建無線服務
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“dot1x”。
· 選擇無線服務類型為“crypto”。
步驟4:單擊<確定>按鈕完成操作。
圖1-89 創建無線服務
(6) 配置802.1x認證
創建無線服務後,直接進入配置無線服務界麵。
步驟1: 802.1x認證需要對“安全設置”部分如下配置,如下圖所示。
· 在“認證方式”下拉框中選擇“Open-System”。
· 選中“加密類型”前的複選框,在加密類型下拉框中選擇“AES-CCMP”,在安全IE下拉框中選擇“WPA2”。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“userlogin-secure-ext”方式。
· 選中“域名”前的複選框,在域名下拉框中選擇“system”。
· 在認證方法下拉框中選擇“EAP”。
· 建議關閉用戶握手和多播觸發。
步驟2:單擊<確定>按鈕,彈出配置進度對話框。
步驟3:在配置進行過程中,會彈出對話框詢問是否繼續使能EAP認證,此時單擊<確定>按鈕。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-90 安全設置
步驟5:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟6:選中“dot1x”前的複選框。
步驟7:單擊<開啟>按鈕完成操作。
圖1-91 開啟無線服務
(7) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”.
步驟2:單擊無線服務“dot1x”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“ap 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕,彈出配置進度對話框。
步驟5:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作。
圖1-92 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“ap 802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕,彈出配置進度對話框。
步驟4:看到配置成功的提示後,在對話框中單擊<關閉>按鈕完成操作完成操作。
圖1-93 開啟802.11n(2.4GHz)射頻
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),說明RADIUS server的基本配置。
(1) 增加接入設備。
步驟1:在iMC管理平台,選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務>接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert;
· 設置認證及計費的端口號分別為1812和1813;
· 選擇協議類型為LAN接入業務;
· 選擇接入設備類型為H3C;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
步驟5:單擊<確定>按鈕完成操作。
圖1-94 增加接入設備
(2) 增加服務配置。
步驟1:選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置服務名為dot1x。
· 選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。
步驟5:單擊<確定>按鈕完成操作。
圖1-95 增加服務配置頁麵
(3) 增加接入用戶。
步驟1:選擇“用戶”頁簽。
步驟2:單擊導航樹中的“接入用戶視圖 > 所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶名user;
· 添加帳號名為user,密碼為dot1x;
· 選中剛才配置的服務dot1x。
步驟5:單擊<確定>按鈕完成操作。
圖1-96 增加接入用戶
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0、iMC UAM 5.0),說明RADIUS server的基本配置。
(1) 增加接入設備
步驟1:在iMC管理平台選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert,其它保持缺省配置;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備
步驟5:單擊<確定>按鈕完成操作。
圖1-97 增加接入設備
(2) 增加服務配置
步驟1:選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置服務名為dot1x;
· 選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。
步驟5:單擊<確定>按鈕完成操作。
圖1-98 增加服務配置頁麵
(3) 增加接入用戶
步驟1:選擇“用戶”頁簽。
步驟2:單擊導航樹中的“接入用戶視圖 > 所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶user;
· 添加帳號名為user,密碼為dot1x;
· 選中剛才配置的服務dot1x。
步驟5:單擊<確定>按鈕完成操作。
圖1-99 增加接入用戶
選擇無線網卡,在驗證對話框中,選擇EAP類型為PEAP,點擊“屬性”,去掉驗證服務器證書選項(此處不驗證服務器證書),點擊“配置”,去掉自動使用windows登錄名和密碼選項。然後“確定”。整個過程如下圖所示。
圖1-100 無線網卡配置過程
圖1-101 無線網卡配置過程
圖1-102 無線網卡配置過程
(1) 在客戶端彈出的對話框中輸入用戶名user和密碼dot1x。客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
要求使用客戶端使用遠程自動提供WEP密鑰-802.1X認證方式接入無線網絡。
· 一台RADIUS服務器(使用CAMS/iMC服務器,擔當認證、授權、計費服務器的職責)。在RADIUS服務器上添加Client的用戶名和密碼(用戶名為user,密碼為dot1x),同時設置共享密鑰為“expert”,RADIUS服務器IP地址為10.18.1.88。
· AC的IP地址為10.18.1.1。在AC上設置共享密鑰為expert,發送給RADIUS服務器的用戶名中不帶域名。
圖1-103 自動提供WEP密鑰-802.1X配置組網圖
(1) 配置AC的接口IP地址
請參考“1.3.7 2. (1)配置AC的接口IP地址”部分。
(2) 配置RADIUS方案
請參考“1.3.7 2. (2)配置RADIUS方案”部分。
(3) 配置AAA
請參考“1.3.7 2. (3)配置AAA”部分。
請參考“1.3.7 2. (4)創建AP”部分。
(5) 創建無線服務。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“dot1x”。
· 選擇無線服務類型為“crypto”。
步驟4:單擊<確定>按鈕完成操作。
圖1-104 創建無線服務
(6) 配置802.1x認證
創建無線服務後,直接進入配置無線服務界麵。
步驟1:802.1x認證需要對“安全設置”部分進行設置,如下圖所示。
· 在“認證方式”下拉框中選擇“Open-System”。
· 選中“WEP加密”前的複選框,在自動提供密鑰下拉框中選擇“開啟”。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“userlogin-secure-ext”方式。
· 選中“域名”前的複選框,在域名下拉框中選擇“system”。
· 在認證方法下拉框中選擇“EAP”。
· 建議關閉用戶握手和多播觸發。
步驟2:單擊<確定>按鈕完成操作。
圖1-105 安全設置
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“dot1x”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
圖1-106 開啟無線服務
(7) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“dot1x”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“ap 802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-107 綁定AP的射頻
(8) 開啟802.11n(2.4GHz)射頻
請參考“1.3.7 2. (8)開啟802.11n(2.4GHz)射頻”部分。
(9) 配置RADIUS server (iMC)
請參考“1.3.7 3. 配置RADIUS server (iMC V3)”部分。
請參考“1.3.7 3. 配置RADIUS server(iMC V5)”部分。
雙擊桌麵的右下角圖標,在彈出“無線網絡連接狀態”窗口上點擊“屬性”,在彈出的屬性頁麵中單擊<添加>按鈕,選擇關聯頁簽,添加名為“dot1x”的SSID,並確保選擇了“自動為我提供此密鑰(H)”。
圖1-108 無線網卡配置過程(關聯對話框)
在驗證頁簽中,選擇EAP類型為“受保護的EAP(PEAP)”,點擊“屬性”,取消“驗證服務器證書(V)”(此處不驗證服務器證書),點擊“配置”,取消“自動使用windows登錄名和密碼(以及域,如果有的話)(A)”。然後單擊<確定>按鈕完成客戶端操作。
圖1-109 無線網卡配置過程(驗證對話框)
圖1-110 無線網卡配置過程
圖1-111 無線網卡配置過程
(1) 在客戶端彈出的對話框中輸入用戶名user和密碼dot1x。客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
無線Mesh網絡是一種新的無線局域網類型。與傳統的WLAN不同的是,無線Mesh網絡中的AP是無線連接的,而且AP間可以建立多跳的無線鏈路。無線Mesh網絡隻是對骨幹網進行了變動,和傳統的WLAN沒有任何區別。
無線Mesh主要包含如下概念。
表2-1 無線Mesh網絡中概念
概念 |
描述 |
Access Controller (AC) |
一個接入控製器可以控製和管理WLAN內所有的AP |
Mesh Point (MP) |
通過無線與MPP連接的,但是不可以接入Client的無線接入點 |
Mesh Access Point (MAP) |
同時提供Mesh服務和接入服務的接入點 |
Mesh Portal Point (MPP) |
通過有線與AC連接的無線接入點 |
Mesh鏈路 |
由一係列Mesh連接級聯成的無線鏈路 |
無線Mesh技術使得管理員可以輕鬆的部署質優價廉的無線局域網。無線Mesh網絡的優點包括:
· 高性價比:Mesh網絡中,隻有MPP需要接入到有線網絡,對有線的依賴程度被降到了最低程度,省卻了購買大量有線設備以及布線安裝的投資開銷。
· 可擴展性強。Mesh網絡中AP之間能自動相互發現並發起無線連接建立,如果需要向網絡中增加新的AP節點,隻需要將新增節點安裝並進行相應的配置。
· 部署快捷:組建Mesh網絡,除MPP外的其它AP均不需要走線接入有線網絡,和傳統WLAN網絡相比,大大縮短組建周期。
· 應用場景廣。Mesh網絡除了可以應用於企業網、辦公網、校園網等傳統WLAN網絡常用場景外,還可以廣泛應用於大型倉庫、港口碼頭、城域網、軌道交通、應急通信等應用場景。
· 高可靠性。傳統WLAN網絡模式下,一旦某個AP上行有線鏈路出現故障,則該AP所關聯的所有客戶端均無法正常接入WLAN網絡。而Mesh網絡中各AP之間實現的是全連接,由某個Mesh AP至portal節點(有線網絡)通常有多條可用鏈路,可以有效避免單點故障。
無線Mesh網絡主要包括兩種應用,一種是普通環境裏無線Mesh的組網,一種是地鐵隧道裏無線Mesh的組網。
(1) 普通FIT MP場景
圖2-2 普通FIT MP場景
如上圖所示,兩個Mesh網絡由一個AC管理。其中,至少一個MPP需要與AC建立有線連接。一個MP啟動後,它首先掃描附近的網絡,然後與所有檢測到的MP建立臨時連接。通過這種連接,MP可以與AC聯係,並下載配置。完成配置文件的下載後,MP會與享有相同預共享密鑰的鄰居建立安全的連接。
(2) 擁有兩個Radio的FIT MP,兩個Radio分別在不同的Mesh網絡
圖2-3 兩個Radio分別在不同的Mesh網絡
如上圖所示,為了使Mesh 1和Mesh 2網絡不產生幹擾,可以采用一個擁有兩個Radio的MP,兩個Radio分別在不同的Mesh網絡。在這種組網裏,兩個Mesh網絡必須由同一個AC管理。
(3) 擁有兩個Radio的FIT MP,兩個Radio在相同的Mesh網絡
如下圖所示,MP 1的Radio 1通過MPP加入Mesh網絡,此時在MP 1上,隻有Radio 1能提供下遊MP的接入功能。Radio 2並不能自動接入這個Mesh網絡,提供Mesh服務。
圖2-4 兩個Radio分別在不同的Mesh網絡
如果MP支持三頻,在這種情況下,可以把Radio 1設為上行鏈路接口,Radio 2設為下行鏈路接口,Radio 3作為覆蓋天線。為了利用各MP上的兩個相同的Radio資源,可以使用如下圖所示的組網方式,在這種組網方式下,當MP 1的Radio 1接入Mesh網絡時,MP 1上的Radio 2也能夠自動加入這個Mesh網絡。這種組網方式需要將加入到同一Mesh網絡的各Radio應用到相同的Mesh服務。具體配置可以參考“2.3.4 Mesh支持三頻配置舉例”。
圖2-5 兩個Radio在相同的Mesh網絡
地鐵是現代城市裏不可缺少的交通工具。在一個地鐵係統裏,控製信息和多媒體信息需要實時的傳遞給快速移動的列車,從而有效的控製列車的運行,並且為乘客提供多種網絡服務。
如下圖所示,一個地鐵無線Mesh網絡裏,軌旁MP(Fit MP)受AC集中管理,多個軌旁MP沿軌道進行部署。車載MP(Fat MP)不停掃描新的軌旁MP,並選擇信號質量最好的多個軌旁MP與之建立Mesh備份鏈路,主Mesh連接用於車載MP與軌旁有線網絡之間的數據傳輸,Mesh備份鏈路連接用於Mesh連接的切換備份。
圖2-6 地鐵無線Mesh網絡部署
為了實現地鐵無線Mesh網絡的部署,H3C開發了一種私有協議,叫做移動鏈路切換協議(Mobile Link Switch Protocol)。它負責在列車移動過程中的活躍鏈路切換,並保證報文不丟失。車載MP和軌旁MP之間用於鏈路建立和通信的下層協議遵循最新的IEEE 802.11s標準。車載MP不要求擔當認證者的角色。
由於傳輸媒質的開放性,無線網絡很容易遭受非法攻擊,Mesh網絡的多跳性帶來了新的安全挑戰,無線Mesh安全成為WLAN Mesh網絡的重要組成部分,它主要包括用於加密的算法,密鑰的管理和分發等內容。目前提供PSK+CCMP的方式進行Mesh安全連接。
為了保證數據傳輸,在任何時間點,一個車載MP都要有一條活躍鏈路。MLSP就是用來在列車移動過程中,完成創建和切換鏈路任務的。如下圖所示,當列車移動時,車載MP會不斷建立新的活躍鏈路。
圖2-7 MLSP示意圖
· 活躍鏈路:傳遞來自或者到達車載MP的所有數據。
· 備份鏈路:不傳遞數據,但是它具備成為活躍鏈路的所有條件。
(1) 鏈路切換時間小於30毫秒。
(2) 在高功率導致設備飽和的情況下,MLSP仍能正常工作。
(3) 鏈路切換過程中,報文不丟失。
MLSP為車載MP建立多條鏈路,從而提供鏈路備份,確保良好的網絡性能,並增強網絡的健壯性。
MLSP使用下麵四個參數來決定是否進行活躍鏈路切換:
· 鏈路建立RSSI/鏈路保持RSSI:用於建立和保持一條鏈路的最小RSSI值。一條鏈路的RSSI值必須不小於這個值,才能被建立和保持。因此這個值必須要保證,否則錯誤率會很高,鏈路性能會變差。
· 鏈路切換閾值:如果一條新鏈路的RSSI值比當前活躍鏈路的RSSI高出的部分大於鏈路切換閾值時,則進行鏈路切換。這種機製用來避免頻繁的鏈路切換。
· 鏈路保持時間:一條活躍鏈路在鏈路保持時間內始終保持UP,即便在此期間,鏈路切換閾值已經到達。這種機製用來避免頻繁的鏈路切換。
· 鏈路飽和RSSI:如果活躍鏈路上的RSSI超過鏈路飽和RSSI,會進行鏈路切換。
一個車載MP會以較高的速率發送探尋報文,主動掃描附近的軌旁MP,並基於收到的探尋回應,建立鄰居列表。
如果來自某個軌旁MP的RSSI大於鏈路建立RSSI,車載MP會與其建立一條備份鏈路。
車載MP基於如下規則,在備份鏈路中選擇一條活躍鏈路:
(1) 如果沒有備份鏈路,活躍鏈路無法建立。
(2) 在鏈路保持時間內,一般不進行活躍鏈路切換,但是以下兩種情況除外:
· 活躍鏈路上的RSSI超過了鏈路飽和RSSI。
· 活躍鏈路上的RSSI小於鏈路保持RSSI。
(3) 當鏈路保持計時器超時後,如果任何一條備份鏈路的RSSI比當前活躍鏈路的RSSI高出的部分,都沒有超過鏈路切換閾值,則不進行鏈路切換。
(4) 正常情況下,當下列條件都滿足時,進行鏈路切換。
· 鏈路保持定時器超時。
· 一條備份鏈路的RSSI比當前活躍鏈路的RSSI高出的部分,超過鏈路切換閾值。
· 待切換備份鏈路的RSSI沒有超過鏈路飽和RSSI。
(5) 正常情況下,如果所有鏈路的RSSI都低於鏈路保持RSSI,所有鏈路都會斷掉。但是,為了在惡劣環境下保證業務的可用性,即便是上述情況發生,活躍鏈路也不會被切斷。
Mesh提供了以下三種拓撲。通過在每個AP的射頻模式下配置鄰居AP的MAC地址來實現,詳細配置請參見“2.2.6 配置鄰居信息”。
在點到點的組網環境中,用戶可以預先指定與其相連的鄰居MAC地址,確定需要建立的指定Mesh鏈路。
圖2-8 點到點的連接
在點到多點的組網環境中,所有的連接都要通過中心橋接設備進行數據轉發,如下圖所示,所有的局域網的數據傳輸都要通過AP 1。
圖2-9 點到多點的連接
這種自拓撲檢測與橋接可以檢測到其它局域網設備,並且形成鏈路。該網絡拓撲容易引起網絡環路,使用時可以結合Mesh路由選擇性地阻塞冗餘鏈路來消除環路,在Mesh鏈路故障時還可以提供備鏈路備份的功能。
圖2-10 自拓撲檢測與橋接
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽,進入如下圖所示Mesh服務配置頁麵。
圖2-11 Mesh服務配置頁麵
(3) 單擊<新建>按鈕,進入如下圖所示Mesh服務新建頁麵。
圖2-12 Mesh服務新建頁麵
(4) 配置Mesh服務,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-2 Mesh服務的詳細配置
配置項 |
說明 |
Mesh服務名稱 |
新建Mesh服務名稱 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽。
(3)
在列表中找到要進行配置的Mesh服務,單擊對應的圖標,進入如下圖所示的配置頁麵。
圖2-13 Mesh服務新建頁麵
(4) 配置Mesh服務的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-3 Mesh服務的詳細配置
配置項 |
說明 |
Mesh服務名稱 |
顯示選擇的Mesh服務名稱 |
VLAN(Tagged) |
添加Tagged的VLAN ID,VLAN(Tagged)表示端口成員發送該VLAN報文時帶Tag標簽 |
VLAN(Untagged) |
添加Untagged的VLAN ID,VLAN(Untagged)表示端口成員發送該VLAN報文時不帶Tag標簽 |
缺省VLAN |
設置端口的缺省VLAN 在缺省情況下,所有端口的缺省VLAN均為VLAN 1,設置新的缺省VLAN後,VLAN 1為Untagged的VLAN ID |
排除下列VLAN |
刪除已有Tagged和Untagged的VLAN ID |
Mesh路由 |
Mesh網絡路由選擇算法 · 關閉:關閉Mesh網絡路由選擇算法 · 開啟:開啟Mesh網絡路由選擇算法 缺省情況下,Mesh網絡路由選擇功能處於關閉狀態 |
保活時間間隔 |
配置鏈路保活報文發送時間間隔 |
鏈路回程速率 |
配置鏈路回程速率 |
安全設置 |
|
字符串方式 |
以字符串方式輸入預共享密鑰 |
十六進製數方式 |
以十六進製數方式輸入預共享密鑰 |
預共享密鑰 |
預共享密鑰: · 若類型為字符串,則為8~63個字符的可顯示字符串 · 若類型為十六進製數,則為長度是64位的合法十六進製數 |
(1) 在導航欄中選擇“無線服務 > Mesh服務”。
(2)
在列表裏查找到需要綁定的Mesh服務,單擊Mesh服務對應的圖標,進入下圖所示綁定Mesh服務頁麵。
(3) 選擇需要綁定的AP射頻前的複選框。
(4) 單擊<綁定>按鈕完成操作。
圖2-14 綁定AP的射頻
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽,進入如下圖所示Mesh服務配置頁麵。
(3) 選中需要開啟的Mesh服務前的複選框。
(4) 單擊<開啟>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽,進入Mesh服務配置頁麵。
(3) 點擊指定的Mesh服務後,可以查看相關的詳細信息。
圖2-16 Mesh服務的詳細信息
表2-4 Mesh服務顯示信息描述表
配置項 |
說明 |
Mesh Profile Number |
當前的Mesh服務號 |
Mesh ID |
Mesh服務名稱 |
Binding Interface |
綁定的Mesh接口 |
MKD Service |
MKD服務的狀態: · Enable:MKD服務處於開啟狀態 · Disable:MKD服務處於關閉狀態 |
Link Keep Alive Interval (s) |
保活報文發送間隔 |
Link Backhaul Rate (Mbps) |
鏈路回程速率 |
Mesh Profile Status |
Mesh服務的狀態: · Enable:Mesh服務處於開啟狀態 · Disable:Mesh服務處於關閉狀態 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽,進入如下圖所示Mesh策略配置頁麵。
圖2-17 Mesh策略配置頁麵
(3) 單擊<創建>按鈕,進入如下圖所示Mesh策略新建頁麵。
圖2-18 Mesh策略新建頁麵
(4) 配置Mesh策略的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-5 Mesh策略的詳細配置
配置項 |
說明 |
Mesh策略名稱 |
新建Mesh策略名稱 新建的Mesh策略會繼承缺省default_mp_plcy中的缺省策略內容 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽。
(3)
在列表中找到要進行配置的Mesh策略,單擊對應的圖標,進入如下圖所示的配置頁麵。
圖2-19 Mesh策略配置頁麵
(4) 配置Mesh策略的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-6 Mesh策略的詳細配置
配置項 |
說明 |
Mesh策略 |
顯示選擇的Mesh策略名稱 |
鏈路發起功能 |
缺省情況下,鏈路發起處於開啟狀態 在配置軌旁AP的MP策略時,需要關閉鏈路發起功能 關閉鏈路發起功能目前隻用於地鐵環境中 |
鏈路保持時間 |
設置鏈路保持時間 一條活躍鏈路在鏈路保持時間內始終保持UP,即便在此期間,鏈路切換閾值已經到達。這種機製用來避免頻繁的鏈路切換 |
最大Mesh鏈路數 |
設置允許建立的最大Mesh鏈路數 在建立Mesh時,如果在AP上建立的Mesh鏈路大於2時,需要根據實際鏈路數進行設置 |
鏈路保持RSSI |
設置鏈路保持RSSI 用於建立和保持一條鏈路的最小RSSI值。一條鏈路的RSSI值必須不小於這個值,才能被建立和保持。因此這個值必須要保證,否則錯誤率會很高,鏈路性能會變差 |
鏈路切換閥值 |
設置鏈路切換閥值 如果一條新鏈路的RSSI值比當前活躍鏈路的RSSI高出的部分大於鏈路切換閾值時,則進行鏈路切換。這種機製用來避免頻繁的鏈路切換 |
鏈路飽和RSSI |
設置鏈路飽和RSSI 如果活躍鏈路上的RSSI超過鏈路飽和RSSI,芯片組將飽和,進行鏈路切換 |
探尋請求發送間隔 |
設置探尋請求的發送間隔 |
認證者角色 |
缺省情況下,一個設備基於協商的結果決定是否作為認證者 |
速率選擇方式 |
· 固定方式:采用的速率為固定值,其值為當前Radio接口速率集的最大值 · 實時更新方式:采用的速率會根據鏈路質量(RSSI)實時變化,即速率值隨Radio接口下的信號強度(RSSI)而變化 缺省情況下,采用固定方式 |
MLSP協議負責活躍鏈路的切換,該協議僅用於地鐵Mesh網絡部署環境 |
|
被代理設備地址 |
選中“MLSP代理設備地址“前的複選框,指定被代理設備的MAC地址 |
被代理設備VLAN |
被代理設備的VLAN編號 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽。
(3)
在列表中找到要進行配置的Mesh策略,選中對應的圖標。
(4) 選中需要綁定的射頻前的複選框。
(5) 單擊<綁定>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽,進入Mesh策略配置頁麵。
(3) 點擊指定的Mesh策略後,可以查看相關的詳細信息。
圖2-20 Mesh策略的詳細信息
表2-7 Mesh策略顯示信息描述表
配置項 |
說明 |
MP Policy Name |
Mesh策略名 |
Mesh Link Initiation |
Mesh鏈路發起是否開啟 |
Mlsp |
MLSP的狀態: · Enable:MLSP處於開啟狀態 · Disable:MLSP處於關閉狀態 |
Authenticator Role |
認證者角色的狀態: · Enable:開啟認證者角色 · Disable:關閉認證者角色 |
Max Links |
Mesh策略允許的最大鏈路數 |
Probe Request Interval (ms) |
探尋請求的發送間隔 |
Link Hold RSSI |
鏈路保持RSSI |
Link Hold Time (ms) |
鏈路保持時間 |
Link Switch Margin |
鏈路切換閾值 |
Link saturation RSSI |
鏈路飽和RSSI |
Link rate-mode |
選擇計算COST值的方式: · fixed:Mesh接口的速率為固定值 · real-time:Mesh接口的速率為根據鏈路質量(RSSI)實時變化的值 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh全局設置”頁簽,進入如下圖所示Mesh全局設置頁麵。
圖2-21 Mesh基本設置頁麵
(3) 配置Mesh基本設置的信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表2-8 Mesh基本設置的詳細配置
配置項 |
說明 |
MKD-ID |
需要注意的是: · 配置的MAC地址必須沒有被使用,並且有正確的廠商標識部分 · 不能把AC的MAC地址配置為MKD-ID |
動態信道選擇 |
Mesh信道選擇選項: · 手動:開啟手動優化Mesh網絡信道功能。選擇手動方式後,在下一次校準間隔周期到來時,若沒有手動指定需要優化的Mesh網絡,則AC會刷新所有管理Mesh網絡的射頻信息,顯示在Mesh信道優化操作頁的射頻信息頁簽中,以供用戶查看、選擇需要手動優化信道的Mesh網絡;若選擇了需要手動優化的Mesh網絡,則AC執行信道優化、調整操作。手動方式隻對選擇的Mesh網絡執行一次信道調整,如果下次還需要進行Mesh信道調整,則必須手動重新選擇 · 自動:開啟自動優化Mesh網絡信道功能。選擇自動方式將對Mesh網絡內所有采用自動信道方式建立的Mesh網絡起作用,每個校準間隔周期後會進行一次信道優化,如果優化出更好的信道,將會在Mesh網絡中進行信道調整 · 關閉:關閉Mesh網絡信道優化功能,Mesh網絡將不再進行信道優化,並在下一個校準間隔周期,Mesh信道優化操作頁的射頻信息和信道切換記錄將被清除 缺省情況下,Mesh網絡信道優化功能處於關閉狀態 開啟Mesh網絡的手動或自動信道調整功能前,必須保證Mesh網絡中選擇auto信道模式。相關配置請參見“ 射頻” |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh全局設置”頁簽,進入如下圖所示Mesh Portal服務配置頁麵。
圖2-22 Mesh Portal服務配置頁麵
(3) 選中需要開啟的Mesh Portal服務的AP名稱前的複選框。
(4) 單擊<開啟>按鈕完成操作。
可以通過以下兩種方式完成Mesh的信道配置:
(1) 在界麵左側的導航欄中選擇“射頻 > 射頻設置” ,進入如下圖所示射頻配置頁麵。
(2) 在信道下拉框裏選擇指定的信道。
(3) 單擊<確定>按鈕完成操作。
在MAP和MPP上都需要手工指定射頻的工作信道,並且工作信道必須保持一致。
在上如所示頁麵中,設置MPP和MAP上射頻的信道為auto。MPP和MAP間的射頻建立WDS鏈接時,自動協商工作信道。
當MPP和MAP的射頻配置為auto信道時,自動選擇的工作信道為非雷達信道。
(1) 在界麵左側的導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
(2) 選中需要開啟的射頻前的複選框。
(3) 單擊<開啟>按鈕完成操作。
(1) 在導航欄中選擇“無線服務 > Mesh服務”。
(2)
在列表裏查找到需要綁定的Mesh服務,單擊對應的圖標,進入圖2-14所示頁麵。
(3)
在列表裏選擇需要配置的AP射頻,單擊對應的圖標,進入下圖所示鄰居MAC地址配置頁麵。
(4) 配置鄰居信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
配置項 |
說明 |
鄰居MAC地址 |
通過在每個AP的射頻模式下配置鄰居AP的Radio的MAC地址來實現Mesh網絡的三種拓撲,關於Mesh網絡拓撲的介紹請參見“2.1.6 Mesh網絡拓撲” |
路徑開銷 |
配置與鄰居創建Mesh鏈路的STP cost值,如果不配置,則由STP自動計算該Mesh鏈路的cost值 在圖2-28所示Mesh鏈路監控頁麵中查看Mesh鏈路的cost值 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”.
(2) 單擊“Mesh信道優化操作”頁簽,進入Mesh信道優化操作。
(3) 點擊指定的Mesh網絡,單擊“射頻信息”頁簽,可以進入如下圖所示查看射頻信息。
圖2-26 查看射頻信息
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh信道優化操作”頁簽,進入Mesh信道優化操作頁麵。
(3) 點擊指定的Mesh網絡,選擇“信道切換記錄”頁簽,可以查看信道切換記錄。
圖2-27 Mesh信道切換記錄
· 如果將Mesh全局設置頁麵中的動態信道選擇設置為“關閉”方式或“自動”方式,那麼進入該頁麵後,“信道優化”按鈕為灰顯,即不可操作。
· 如果選用手動優化方式,每次優化時需要先選擇需要優化的Mesh網絡,再單擊<信道優化>按鈕,完成手動優化操作。自動方式下信道每個校準間隔進行一次信道優化,手動方式僅進行一次信道優化。
Mesh信道切換記錄信息的詳細顯示如下表所示。
表2-10 Mesh信道切換記錄信息
字段 |
描述 |
AP |
顯示Mesh網絡AP的名稱 |
Radio |
顯示AP的射頻單元 |
Chl(After/Before) |
顯示信道(變更前/變更後) |
Date(yyyy-mm-dd) |
顯示日期(年-月-日) |
Time(hh:mm:ss) |
顯示時間(時:分:秒) |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh鏈路監控”頁簽,進入如下圖所示Mesh鏈路監控頁麵。
圖2-28 查看Mesh鏈路監控
通過查看Mesh鏈路監控頁麵,管理者可以實時監控Mesh鏈路的狀態信息。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh鏈路測試”頁簽,進入如下圖所示Mesh鏈路測試頁麵。
圖2-29 查看Mesh鏈路測試頁麵
(3) 選中需要測試的Mesh鏈路前的複選框。
(4) 單擊<開始>按鈕完成操作。
· 要求在MAP和MPP之間建立Mesh鏈路,鏈路之間使用802.11a協議。
· 在MAP上配置802.11g接入服務,使客戶端接入無線網絡。
圖2-30 普通無線Mesh配置組網圖
采用如下思路進行配置:
(1) 建立MPP和MAP之間的Mesh鏈路,按如下步驟配置:
· 創建MAP和MPP:在界麵左側的導航欄中選擇“AP > AP設置”,單擊<新建>按鈕,創建MAP和MPP,配置步驟請參見“(1) 創建MAP和MPP”。
· 配置Mesh服務:新建Mesh服務,配置預共享密鑰後,將Mesh服務和AP相綁定後開啟Mesh服務,配置步驟請參見“(2) 新建Mesh服務”。
· 配置Mesh策略:Mesh策略缺省存在。在需要定製Mesh策略的情況下,可以新建Mesh策略,並將Mesh策略和相應的AP綁定,配置步驟請參見“(5) 配置Mesh策略”。
· Mesh全局配置:配置MKD-ID(缺省存在),並對MPP開啟Mesh Portal服務,配置步驟請參見“(6) Mesh全局配置”。
· 手工配置相同的信道,並開啟射頻,配置步驟請參見“(7) 手工配置相同的信道,並開啟射頻”。
(2) 在MAP上配置802.11g接入服務,使客戶端接入無線網絡:
相關配置請參見“1.3 無線接入配置舉例”,可以完全參照相關舉例完成配置。此處不再重複。
(1) 創建MAP和MPP
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“map”。
· 選擇型號為“WA2620-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
圖2-31 創建AP
按此方法建立MPP。
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:單擊<新建>按鈕,進入如下圖所示Mesh服務配置頁麵。
步驟3:設置Mesh服務名稱為“outdoor”。
步驟4:單擊<確定>按鈕完成操作。
圖2-32 新建Mesh服務
完成Mesh服務配置頁麵後,默認進入如下圖所示Mesh服務配置頁麵。
圖2-33 配置預共享密鑰
步驟5:選擇字符串方式,設置預共享密鑰為“12345678”。
步驟6:單擊<確定>按鈕完成操作。
(3) 將Mesh服務和AP相綁定。
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:在列表中單擊Mesh服務“outdoor”對應的圖標,進入如下圖所示的配置頁麵。
步驟3:選中需要綁定的射頻前的複選框。
步驟4:點擊<綁定>按鈕完成操作。
圖2-34 將Mesh服務和AP相綁定
(4) 開啟Mesh服務。
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
圖2-35 開啟Mesh服務
步驟2:選中需要開啟的Mesh服務前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
(5) 配置Mesh策略(缺省情況下,缺省的default_mp_plcy策略已經存在,此步驟可選)
Mesh策略缺省存在。在需要定製Mesh策略的情況下,可以新建Mesh策略,並將Mesh策略和相應的射頻綁定。此例中使用缺省的default_mp_plcy策略。
(6) Mesh全局配置
步驟1:設置MKD-ID。在界麵左側的導航欄中選擇“無線服務 > Mesh服務”,單擊“Mesh全局設置”頁簽,進入Mesh全局設置頁麵,可以對MKD-ID進行設置。(缺省情況下,MKD-ID已經存在,此步驟可選)。
步驟2:對MPP開啟Mesh Portal服務。選中與AC有線連接的MPP前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
圖2-36 開啟Mesh Portal服務
步驟1:在界麵左側的導航欄中選擇“射頻 > 射頻設置”。
步驟2:在列表中選擇需要配置的map,單擊對應的圖標,進入射頻設置頁麵。
步驟3:在信道下拉框中選擇使用的信道。
步驟4:單擊<確定>按鈕完成操作。
按此方法指定MPP的工作信道。需要注意的是,在MAP和MPP上選用的信道應該保持一致。
步驟5:開啟射頻。在界麵左麵的導航欄中選擇“射頻 > 射頻設置”,進入射頻設置頁麵。
步驟6:選擇需要開啟的MAP和MPP射頻前的複選框。
步驟7:單擊<開啟>按鈕完成操作。
圖2-38 開啟射頻
(1) MAP和MPP之間的Mesh鏈路已經建立,可以相互ping通。
(2) 配置802.11n(2.4GHz)接入服務後,客戶端可以通過Mesh鏈路接入網絡。
· 如下圖所示,所有軌旁MP與一個AC相連。
· 要求配置WLAN Mesh後,車載MP能夠與軌旁MP正常建立連接。
圖2-39 地鐵無線Mesh配置組網圖
地鐵無線Mesh配置和普通無線Mesh配置基本相同,但需要注意以下幾點:
(1) 需要定製軌旁AP(對應圖中的Rail MP)Mesh策略:
· 需要關閉鏈路發起功能,詳細配置可參見“2.2.2 配置Mesh策略”。
· 需要開啟Mesh Portal服務,詳細配置可參見“2.2.3 2. 開啟Mesh Portal服務”。
(2) 需要定製車載AP(對應圖中的Train MP)Mesh策略:
· 需要開啟MLSP協議。
· 需要配置MLSP代理的VLAN信息以及MAC地址。
· 需要關閉認證者角色,詳細配置可參見“2.2.2 配置Mesh策略”。
· 設置允許建立的最大Mesh鏈路數(缺省值為2,請根據實際鏈路數進行設置)。詳細配置可參見“2.2.2 配置Mesh策略”。
地鐵無線Mesh和普通無線Mesh在配置上的差別體現在軌旁AP和車載AP的Mesh策略上,其它配置步驟與普通無線Mesh基本相同,具體配置步驟請參見“2.3.1 3. 配置AC”。
要求在AP 1做為MPP,分別和AP 2、AP 3、AP 4、AP 5建立Mesh鏈路。
圖2-40 Mesh配置組網圖
Mesh配置和普通無線Mesh配置基本相同,但需要注意以下幾點:
· 在每個AP的射頻模式下配置鄰居AP的MAC地址,在AP 1上需要同時配置AP 2~AP 5的MAC地址,在AP 2~AP 5上隻需要配置AP 1的MAC地址。
· 設置允許建立的最大Mesh鏈路數(缺省值為2,需要根據實際鏈路數進行設置,此列中應設為4)。詳細配置可參見“2.2.2 配置Mesh策略”。
Mesh配置和普通無線Mesh配置相同,具體配置步驟請參見“2.3.1 3. 配置AC”。
在各MP和MPP之間建立Mesh鏈路,並要求利用射頻資源,使MPP的Radio 1、MP的Radio 1和Radio 2、MP 2的Radio 1加入到同一個Mesh網絡中,Radio 3作為覆蓋天線,提供無線接入服務。
圖2-41 Mesh支持三頻組網圖
(1) 配置Mesh服務
Mesh配置和普通無線Mesh配置基本相同,但需要注意以下幾點:
· 加入同一個Mesh網絡的Radio上需要應用相同的Mesh服務。根據本例的需求,將MPP的Radio 1、MP 1的Radio 1和Radio 2、MP 2的Radio 1綁定到同一個Mesh服務上。
圖2-42 綁定Mesh服務
· 在MPP的Radio 1上將MP 1上的Radio 1設定為鄰居MAC,同理,在MP 1上將MPP的Radio 1設定為鄰居MAC。MP 1的Radio 2和MP 2的Radio 1上也進行同樣操作。
(2) 配置接入服務
Radio 3作為覆蓋天線,提供無線接入服務。相關配置請參見“1.3 無線接入配置舉例”,可以完全參照相關舉例完成配置。
Mesh配置和普通無線Mesh配置相同,具體配置步驟請參見“2.3.1 3. 配置AC”。
· 要求在MAP和MPP之間建立Mesh鏈路,使用自動信道選擇方式,在鏈路之間使用802.11a協議。
· 開啟手動優化Mesh網絡信道功能,當Mesh網絡的當前工作信道質量變差時,手動調整Mesh網絡信道。
圖2-43 普通無線Mesh配置組網圖
Mesh配置和普通無線Mesh配置基本相同,但需要注意以下幾點:
· 在每個AP提供Mesh服務的射頻模式下配置的信道模式為自動信道,
· 在每個AP提供Mesh服務的射頻模式下不要配置無線服務。
Mesh配置和普通無線Mesh配置相同,具體配置步驟請參見“2.3.1 3. 配置AC”。在完成上麵基本配置之後,要進行如下操作。
(1) 設置校準間隔(缺省情況下,存在缺省的校準間隔,此步驟可選)
步驟1:在界麵左側的導航欄中選擇“射頻 > 功率信道優化”。
步驟2:單擊“參數設置”頁簽,進入參數設置頁麵。
步驟3:輸入校準間隔時間為3。
步驟3:單擊<確認>按鈕完成操作。
圖2-44 Mesh網絡信道優化校準間隔
(2) 配置Mesh信道調整方式
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:單擊“Mesh全局設置”頁簽,進入Mesh服務配置頁麵。
步驟3:在動態信道選擇中,選中“手動”單選框。
步驟4:單擊<確認>按鈕完成操作。
圖2-45 動態信道選擇
(3) 執行Mesh信道優化操作
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:單擊“Mesh信道優化操作”頁簽,進入Mesh信道優化操作頁麵。
步驟3:選中Mesh網絡“outdoor” 前的複選框。
步驟4:單擊<信道優化>按鈕完成操作。
圖2-46 Mesh信道優化操作手動優化
在下一個信道優化校準間隔時間到達後,如果發生信道切換,可以查看到信道切換記錄。
在界麵左側的導航欄中選擇“無線服務 > Mesh服務”,單擊“Mesh信道優化操作”頁簽,選擇
“信道切換記錄”頁簽,點擊指定的Mesh網絡,可以查看到如下圖所示的信道切換記錄。
圖2-47 Mesh信道切換記錄
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!