- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-無線服務
本章節下載: 09-無線服務 (4.40 MB)
WLAN(Wireless Local Area Network,無線局域網)技術是當今通信領域的熱點之一,和有線相比,無線局域網的啟動和實施相對簡單,維護的成本低廉,一般隻要安放一個或多個接入點設備就可建立覆蓋整個建築或地區的局域網絡。然而,WLAN係統不是完全的無線係統,它的服務器和骨幹網仍然安置在固定網絡,隻是用戶可以通過無線方式接入網絡。
使用WLAN解決方案,網絡運營商和企業能夠為用戶提供無線局域網服務,服務內容包括:
· 應用具有無線局域網功能的設備建立無線網絡,通過該網絡,用戶可以連接到固定網絡或因特網。
· 使用不同認證和加密方式,安全地訪問WLAN。
帶有無線網卡的PC、筆記本電腦以及支持WiFi功能的各種終端。
(2) AP(Access Point,接入點)
AP提供無線客戶端到局域網的橋接功能,在無線客戶端與無線局域網之間進行無線到有線和有線到無線的幀轉換。
(3) AC(Access Controller,接入控製器)
無線控製器對無線局域網中的與其關聯的AP進行控製和管理。無線控製器還可以通過同認證服務器交互信息,來為WLAN用戶提供認證服務。
SSID(Service Set Identifier,服務集標識符),客戶端可以先進行無線掃描,然後選擇特定的SSID接入某個指定無線網絡。
無線用戶首先需要通過主動/被動掃描發現周圍的無線服務,再通過認證和關聯兩個過程後,才能和AP建立連接,最終接入無線局域網。整個過程如下圖所示。
無線客戶端有兩種方式可以獲取到周圍的無線網絡信息:一種為主動掃描,無線客戶端在掃描的時候,同時主動發送一個Probe Request幀(探測請求幀),通過收到Probe Response幀(探查響應幀)獲取網絡信號;另外一種為被動掃描,無線客戶端隻是通過監聽周圍AP發送的Beacon幀(信標幀)獲取無線網絡信息。
無線客戶端在實際工作過程中,通常同時使用主動掃描和被動掃描獲取周圍的無線網絡信息。
無線客戶端在工作過程中,會定期地搜索周圍的無線網絡,也就是主動掃描周圍的無線網絡。根據Probe Request幀(探測請求幀)是否攜帶SSID,可以將主動掃描分為兩種:
· 客戶端發送Probe Request幀(Probe Request中SSID為空,也就是SSID IE的長度為0):客戶端會定期地在其支持的信道列表中,發送Probe Request幀掃描無線網絡。當AP收到探查請求幀後,會回應Probe Response幀通告可以提供的無線網絡信息。無線客戶端通過主動掃描,可以主動獲知可使用的無線服務,之後無線客戶端可以根據需要選擇適當的無線網絡接入。無線客戶端主動掃描方式的過程如下圖所示。
圖1-2 主動掃描過程(Probe Request中SSID為空,也就是不攜帶任何SSID信息)
· 客戶端發送Probe Request幀(攜帶指定的SSID):當無線客戶端配置希望連接的無線網絡或者已經成功連接到一個無線網絡情況下,客戶端也會定期發送Probe Request幀(攜帶已經配置或者已經連接的無線網絡的SSID),當能夠提供指定SSID無線服務的AP接收到探測請求後回複探查響應。通過這種方法,無線客戶端可以主動掃描指定的無線網絡。這種無線客戶端主動掃描方式的過程如下圖所示。
圖1-3 主動掃描過程(Probe Request攜帶指定的SSID為“AP 1”)
被動掃描是指客戶端通過偵聽AP定期發送的Beacon幀發現周圍的無線網絡。提供無線網絡服務的AP設備都會周期性發送Beacon幀,所以無線客戶端可以定期在支持的信道列表監聽Beacon幀獲取周圍的無線網絡信息。當用戶需要節省電量時,可以使用被動掃描。一般VoIP語音終端通常使用被動掃描方式。被動掃描的過程如下圖所示。
為了保證無線鏈路的安全,AC需要完成對客戶端的認證,隻有通過認證後才能進入後續的關聯階段。802.11鏈路定義了兩種認證機製:開放係統認證和共享密鑰認證。
· 開放係統認證(Open system authentication)
開放係統認證是缺省使用的認證機製,也是最簡單的認證算法,即不認證。如果認證類型設置為開放係統認證,則所有請求認證的客戶端都會通過認證。開放係統認證包括兩個步驟:第一步是無線客戶端發起認證請求,第二步AP確定無線客戶端可以通過無線鏈路認證,並向無線客戶端回應認證結果為“成功”。
· 共享密鑰認證(Shared key authentication)
共享密鑰認證是除開放係統認證以外的另外一種鏈路認證機製。共享密鑰認證需要客戶端和設備端配置相同的共享密鑰。
共享密鑰認證的認證過程為:客戶端先向設備發送認證請求,無線設備端會隨機產生一個Challenge包(即一個字符串)發送給客戶端;客戶端會將接收到的Challenge加密後再發送給無線設備端;無線設備端接收到該消息後,對該消息解密,然後對解密後的字符串和原始字符串進行比較。如果相同,則說明客戶端通過了Shared key鏈路認證;否則Shared key鏈路認證失敗。
如果用戶想通過AP接入無線網絡,用戶必須同特定的AP關聯。當用戶通過指定SSID選擇無線網絡,並通過AP認證後,就可以向AP發送關聯請求幀。AP將用戶信息添加到數據庫,向用戶回複關聯響應。用戶每次隻可以關聯到一個AP上,並且關聯總是由用戶發起。
相對於有線網絡,WLAN存在著與生俱來的數據安全問題。在一個區域內的所有的WLAN設備共享一個傳輸媒介,任何一個設備可以接收到其它所有設備的數據,這個特性直接威脅到WLAN接入數據的安全。
802.11協議致力於解決WLAN的安全問題,主要的方法為對數據報文進行加密,保證隻有特定的設備可以對接收到的報文成功解密。其它的設備雖然可以接收到數據報文,但是由於沒有對應的密鑰,無法對數據報文解密,從而實現了WLAN數據的安全性保護。目前支持四種安全服務。
該種服務本質上為無安全保護的WLAN服務,所有的數據報文都沒有通過加密處理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有線等效加密)用來保護WLAN中的授權用戶所交換的數據的機密性,防止這些數據被隨機竊聽。WEP使用RC4加密算法(一種流加密算法)實現數據報文的加密保護。根據WEP密鑰的生成方式,WEP加密分為靜態WEP加密和動態WEP加密。
· 靜態WEP加密:
靜態WEP加密要求手工指定WEP密鑰,接入同一SSID下的所有客戶端使用相同的WEP密鑰。如果WEP密鑰被破解或泄漏,攻擊者就能獲取所有密文。因此靜態WEP加密存在比較大的安全隱患。並且手工定期更新WEP密鑰會給網絡管理員帶來很大的設備管理負擔。
· 動態WEP加密:
動態WEP加密的自動密鑰管理機製對原有的靜態WEP加密進行了較大的改善。在動態WEP加密機製中,用來加密單播數據幀的WEP密鑰並不是手工指定的,而是由客戶端和服務器通過802.1X協議協商產生,這樣每個客戶端協商出來的WEP單播密鑰都是不同的,提高了單播數據幀傳輸的安全性。
雖然WEP加密在一定程度上提供了安全性和保密性,增加了網絡偵聽、會話截獲等的攻擊難度,但是受到RC4加密算法、過短的初始向量等限製,WEP加密還是存在比較大的安全隱患。
(3) TKIP加密
TKIP和WEP加密機製都是使用RC4算法,但是相比WEP加密機製,TKIP加密機製可以為WLAN服務提供更加安全的保護。
首先,TKIP通過增長了算法的IV長度提高了WEP加密的安全性。相比WEP算法,TKIP將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位;
其次,雖然TKIP采用的還是和WEP一樣的RC4加密算法,但其動態密鑰的特性很難被攻破,並且TKIP支持密鑰更新機製,能夠及時提供新的加密密鑰,防止由於密鑰重用帶來的安全隱患;
另外,TKIP還支持了MIC認證(Message Integrity Check,信息完整性校驗)和Countermeasure功能。當MIC發生錯誤的時候,數據很可能已經被篡改,係統很可能正在受到攻擊。此時,可以采取一係列的對策,來阻止黑客的攻擊。
CCMP(Counter mode with CBC-MAC Protocol,[計數器模式]搭配[區塊密碼鎖鏈-信息真實性檢查碼]協議)加密機製是基於AES(Advanced Encryption Standard,高級加密標準)加密算法的CCM(Counter-Mode/CBC-MAC,區塊密碼鎖鏈-信息真實性檢查碼)方法。CCM結合CTR(Counter mode,計數器模式)進行機密性校驗,同時結合CBC-MAC(區塊密碼鎖鏈-信息真實性檢查碼)進行認證和完整性校驗。CCMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。同樣CCMP包含了一套動態密鑰協商和管理方法,每一個無線用戶都會動態的協商一套密鑰,而且密鑰可以定時進行更新,進一步提供了CCMP加密機製的安全性。在加密處理過程中,CCMP也會使用48位的PN(Packet Number)機製,保證每一個加密報文都會是用不同的PN,在一定程度上提高安全性。
(1) PSK認證
PSK認證需要實現在無線客戶端和設備端配置相同的預共享密鑰,如果密鑰相同, PSK接入認證成功;如果密鑰不同,PSK接入認證失敗。
802.1X協議是一種基於端口的網絡接入控製協議(port based network access control protocol)。“基於端口的網絡接入控製”是指在WLAN接入設備的端口這一級對所接入的用戶設備進行認證和控製。連接在端口上的用戶設備如果能通過認證,就可以訪問WLAN中的資源;如果不能通過認證,則無法訪問WLAN中的資源。
接入設備的管理者可以選擇使用RADIUS或本地認證方法,以配合802.1X完成用戶的身份認證。關於遠程和本地802.1X認證的介紹和配置可以參考“認證”。
(3) MAC地址認證
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法。通過手工維護一組允許訪問的MAC地址列表,實現對客戶端物理地址過濾,但這種方法的效率會隨著終端數目的增加而降低,因此MAC地址認證適用安全需求不太高的場合,如家庭、小型辦公室等環境。
MAC地址認證分為以下兩種方式:
· 本地MAC地址認證:當選用本地認證方式進行MAC地址認證時,需要在設備上預先配置允許訪問的MAC地址列表,如果客戶端的MAC地址不在允許訪問的MAC地址列表,將被拒絕其接入請求。
圖1-7 本地MAC地址認證
· 遠程MAC地址認證,即通過RADIUS服務器進行MAC地址認證。當MAC接入認證發現當前接入的客戶端為未知客戶端,會主動向RADIUS服務器發起認證請求,在RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問無線網絡以及獲得相應的授權信息。
圖1-8 遠程MAC地址認證
采用RADIUS服務器進行MAC地址認證時,可以通過在各無線服務下分別指定各自的domain域,將不同SSID的MAC地址認證用戶信息發送到不同的遠端RADIUS服務器。
|
配置clear類型的無線服務 |
||
|
配置crypto類型的無線服務 |
||
|
綁定AP的射頻 |
||
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示接入服務配置頁麵。
(2) 單擊<新建>按鈕,進入如下圖所示無線服務新建頁麵。
(4) 單擊<確定>按鈕完成操作。
|
設置SSID,無線服務名稱可以為1~32個字符的字符串,可以包含字母、數字及下劃線,區分大小寫,可以包含空格 SSID的名稱應該盡量具有唯一性。從安全方麵考慮不應該體現公司名稱,也不推薦使用長隨機數序列作為SSID,因為長隨機數序列隻是增加了頭域負載,對無線安全沒有改進 |
|
|
· Clear:使用明文發送無線服務 · Crypto:使用密文發送無線服務 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的clear類型無線服務,單擊對應的
圖標,進入如下圖所示的配置頁麵。
圖1-11 clear類型無線服務基本配置頁麵
(3) 配置clear類型無線服務基本信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-3 clear類型無線服務基本配置的詳細配置
|
由於不同無線ID下可以配置相同的無線服務,通過設置描述字符串可以用來幫助用戶標識無線服務的用途,以免對無線服務進行誤配置 |
|
|
VLAN(Untagged) |
添加Untagged的VLAN ID, VLAN(Untagged)表示端口成員發送該VLAN報文時不帶Tag標簽 |
|
在缺省情況下,所有端口的缺省VLAN均為VLAN 1,設置新的缺省VLAN後,VLAN 1為Untagged的VLAN ID |
|
|
刪除已有Tagged和Untagged的VLAN ID |
|
|
· Enable:禁止在信標幀中通告SSID · Disable:在信標幀中通告SSID
· SSID隱藏後,AP發送的信標幀裏麵不包含SSID信息,接入客戶端必須在無線網卡上手動配置該SSID標識才能接入AP · 隱藏SSID對無線安全意義不大。允許廣播SSID可以使客戶端更容易發現AP |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的clear類型無線服務,單擊對應的
圖標,進入如下圖所示clear類型無線服務高級配置頁麵。
圖1-12 clear類型無線服務高級配置頁麵
(3) 配置clear類型無線服務高級信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-4 clear類型無線服務高級配置的詳細配置
|
轉發模式 |
· 集中轉發:客戶端的數據流量由AP通過隧道透傳到AC,由AC轉發數據報文。對於集中轉發模式,可以選擇數據報文以802.3格式封裝在數據隧道中,由AC轉發;或是數據報文以802.11格式封裝在數據隧道中,由AC轉發 · 本地轉發:由AC對客戶端進行認證,但客戶端的數據流量直接由AP進行轉發。該模式在保持了AC/Fit AP架構在安全、管理等方麵的優勢的前提下,緩解了AC的數據轉發壓力 · 基於轉發策略:根據客戶端報文匹配轉發策略的情況,使得接入某個SSID的客戶端發送的報文可以進行集中轉發或本地轉發,從而充分利用AP的本地轉發功能,有效減輕AC的負擔。關於轉發策略的詳細介紹和配置請參見“1.3 配置策略”
|
|
同一個SSID下的客戶端有可能屬於不同的VLAN,在配置本地轉發策略的時候需要考慮VLAN因素時,可以設置本地轉發VLAN |
|
|
· 802.11數據報文以802.11格式封裝在數據隧道中,由AC轉發數據報文 · 802.3:數據報文以802.3格式封裝在數據隧道中,由AC轉發數據報文 需要注意的是,使用CAPWAP隧道時,該配置才能生效。使用LWAPP隧道時,數據報文隻能以802.11格式封裝在數據隧道中。關於隧道的配置請參見“AP” |
|
|
信標測量是802.11k協議定義的一套用於無線設備向其他無線設備查詢無線環境信息的標準方法之一。開啟信標測量功能後,AP會周期性地向客戶端發送信標測量請求,客戶端收到信標測量請求後,會回複信標測量報告。AP通過信標測量報告獲取客戶端收集到的信標測量信息 |
|
|
· 主動模式:AP向客戶端發送信標測量請求,客戶端收到信標測量請求後,會在其支持的所有信道上廣播發送Probe Request幀,然後設置一個測量持續時長,在測量結束後,處理收到的所有Beacon幀和Probe Response幀,並編製信標測量報告回複給AP · 信標表模式:AP向客戶端發送信標測量請求,客戶端收到信標測量請求後,不執行額外的測量,直接向AP回複信標測量報告,該報告中包含客戶端當前存儲的所有信標測量信息 · 被動模式:AP向客戶端發送信標測量請求,客戶端收到信標測量請求後,會設置一個測量持續時長,在測量結束後,處理收到的所有Beacon幀和Probe Response幀,並編製信標測量報告回複給AP |
|
|
在一個射頻下,某個SSID下的關聯客戶端的最大個數
當某個SSID下關聯的客戶端達到最大個數時,該SSID會自動隱藏 |
|
|
Bonjour策略 |
將指定的Bonjour策略應用到接入服務 |
|
上線的客戶端對設備WEB界麵的管理權限 · Disable:表示上線的客戶端對設備WEB界麵沒有管理權限 · Enable: 表示上線的客戶端對設備WEB界麵有管理權限,缺省情況下,管理權限功能處於開啟狀態 |
|
|
MAC VLAN功能 |
· Enable:表示在指定無線服務下開啟MAC VLAN功能 · Disable:表示在指定無線服務下關閉MAC VLAN功能,缺省情況下,MAC VLAN功能處於關閉狀態
開啟MAC VLAN是配置基於AP區分接入VLAN功能時,綁定VLAN ID操作前的一個必要的前提條件 |
|
有線接入服務功能 |
設置有線數據進入CAPWAP隧道傳輸 缺省情況下,有線接入服務功能處於關閉狀態 |
|
設置AP對未知用戶數據報文的處理方式 · 解除認證:表示當AP接收到未知用戶的數據報文時,主動給該用戶發送解認證報文 · 丟棄:表示當AP接收到未知用戶的數據報文時,丟棄該報文 |
|
|
用戶Cache老化時間 |
當用戶從AP下線後,保存了PMK信息,以及授權的VLAN等信息的用戶Cache的老化時間。
當配置為0時,用戶下線後會立刻刪除其Cache信息,即:該用戶將不能漫遊。 |
|
Remote AP保持客戶端 |
設置服務允許Remote AP功能 缺省情況下,服務允許Remote AP功能 |
|
Gsm上行鏈路網絡隱藏 |
當AP的上行鏈路為GSM網絡時,禁止在信標幀中通告SSID 缺省情況下,對GSM的上行鏈路禁止在信標幀中通告SSID |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的clear類型無線服務,單擊對應的圖標,進入clear類型無線服務安全配置頁麵。
圖1-13 clear類型無線服務安全配置頁麵
(3) 配置clear類型無線服務安全信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-5 clear類型無線服務安全配置的詳細配置
|
clear類型隻能選擇Open-System方式 |
|
|
· mac-authentication:對接入用戶采用MAC地址認證 · mac-else-userlogin-secure:端口同時處於mac-authentication模式和userlogin-secure模式,但MAC地址認證優先級大於802.1X認證;對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證,如果MAC地址認證失敗進行802.1X認證 · mac-else-userlogin-secure-ext:與mac-else-userlogin-secure類似,但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure:對接入用戶采用基於MAC的802.1X認證,此模式下,端口允許多個802.1X認證用戶接入,但隻有一個用戶在線 · userlogin-secure-or-mac:端口同時處於userlogin-secure模式和mac-authentication模式,但802.1X認證優先級大於MAC地址認證;在用戶接入方式為無線的情況下,報文首先進行802.1X認證,如果802.1X認證失敗再進行MAC地址認證 · userlogin-secure-or-mac-ext:與userlogin-secure-or-mac類似,但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure-ext:對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶
由於安全模式種類較多,為便於記憶,部分端口安全模式名稱的構成可按如下規則理解: · “userLogin”表示基於端口的802.1X認證 · “mac”表示MAC地址認證 · “Else”之前的認證方式先被采用,失敗後根據請求認證的報文協議類型決定是否轉為“Else”之後的認證方式 · “Or”連接的兩種認證方式無固定生效順序,設備根據請求認證的報文協議類型決定認證方式,但無線接入的用戶先采用802.1X認證方式 · 攜帶“Secure”的userLogin表示基於MAC地址的802.1X認證 · 攜帶“Ext”表示可允許多個802.1X用戶認證成功,不攜帶則表示僅允許一個802.1X用戶認證成功 |
|
當選擇mac-authentication時,需要配置如下選項。
圖1-14 mac-authentication端口安全配置頁麵
表1-6 mac-authentication端口安全配置的詳細配置
|
mac-authentication:對接入用戶采用MAC地址認證 在導航欄中選擇“無線服務 > 接入服務”,單擊<MAC認證列表>按鈕,輸入客戶端的MAC地址 |
|
|
MAC認證 |
選中“MAC認證”前的複選框 |
|
設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 |
當選擇userlogin-secure/userlogin-secure-ext時,需要配置如下選項。
圖1-15 userlogin-secure/userlogin-secure-ext端口安全配置頁麵(以userlogin-secure為例)
表1-7 userlogin-secure/userlogin-secure-ext端口安全配置的詳細配置
|
· userlogin-secure:對接入用戶采用基於MAC的802.1X認證,此模式下,端口允許多個802.1X認證用戶接入,但隻有一個用戶在線 · userlogin-secure-ext:對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|
|
設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 |
|
|
· EAP:采用EAP認證方式。采用EAP認證方式意味著設備直接把802.1X用戶的認證信息以EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證,而無須將EAP報文轉換成標準的RADIUS報文後再發給RADIUS服務器來完成認證 · CHAP:采用CHAP認證方式。缺省情況下,采用CHAP認證方式。表示在網絡上以明文方式傳輸用戶名,以密文方式傳輸口令。相比之下,CHAP認證保密性較好,更為安全可靠 · PAP:采用PAP認證方式。PAP采用明文方式傳送口令 |
|
|
· Enable:開啟在線用戶握手功能,通過設備端定期向客戶端發送握手報文來探測用戶是否在線。缺省情況下,在線用戶握手功能處於開啟狀態 · Disable:關閉在線用戶握手功能 |
|
|
· Enable:開啟802.1X的組播觸發功能,即周期性地向客戶端發送組播觸發報文。缺省情況下,802.1X的組播觸發功能處於開啟狀態 · Disable:關閉802.1X的組播觸發功能
對於無線局域網來說,可以由客戶端主動發起認證,或由無線模塊發現用戶並觸發認證,而不必端口定期發送802.1X的組播報文來觸發。同時,組播觸發報文會占用無線的通信帶寬,因此建議無線局域網中的接入設備關閉該功能 |
|
|
設置是否開啟802.1X支持雙機熱備功能。要實現此功能,還需要在“高可靠性 > 雙機熱備”中配置雙機熱備功能,具體配置請參見“雙機熱備”。 |
圖1-16 四種端口安全配置頁麵(以mac-else-userlogin-secure為例)
|
· mac-else-userlogin-secure:端口同時處於mac-authentication模式和userlogin-secure模式,但MAC地址認證優先級大於802.1X認證;對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證,如果MAC地址認證失敗進行802.1X認證 · mac-else-userlogin-secure-ext:與mac-else-userlogin-secure類似,但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure-or-mac:端口同時處於userlogin-secure模式和mac-authentication模式,但802.1X認證優先級大於MAC地址認證;在用戶接入方式為無線的情況下,報文首先進行802.1X認證,如果802.1X認證失敗再進行MAC地址認證 · userlogin-secure-or-mac-ext:與userlogin-secure-or-mac類似,但允許端口下有多個802.1X和MAC地址認證用戶 在導航欄中選擇“無線服務 > 接入服務”,單擊<MAC認證列表>按鈕,輸入客戶端的MAC地址 |
|
|
在下拉框中選擇已存在的域,配置了強製認證域後,所有從該端口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費 設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 |
|
|
· EAP:采用EAP認證方式。采用EAP認證方式意味著設備直接把802.1X用戶的認證信息以EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證,而無須將EAP報文轉換成標準的RADIUS報文後再發給RADIUS服務器來完成認證 · CHAP:采用CHAP認證方式。缺省情況下,采用CHAP認證方式。表示在網絡上以明文方式傳輸用戶名,以密文方式傳輸口令。相比之下,CHAP認證保密性較好,更為安全可靠 · PAP:采用PAP認證方式。PAP采用明文方式傳送口令 |
|
|
· Enable:開啟在線用戶握手功能,通過設備端定期向客戶端發送握手報文來探測用戶是否在線。缺省情況下,在線用戶握手功能處於開啟狀態 · Disable:關閉在線用戶握手功能 |
|
|
· Enable:開啟802.1X的組播觸發功能,即周期性地向客戶端發送組播觸發報文。缺省情況下,802.1X的組播觸發功能處於開啟狀態 · Disable:關閉802.1X的組播觸發功能
對於無線局域網來說,可以由客戶端主動發起認證,或由無線模塊發現用戶並觸發認證,而不必端口定期發送802.1X的組播報文來觸發。同時,組播觸發報文會占用無線的通信帶寬,因此建議無線局域網中的接入設備關閉該功能 |
|
|
設置是否開啟802.1X支持雙機熱備功能。要實現此功能,還需要在“高可靠性 > 雙機熱備”中配置雙機熱備功能,具體配置請參見“雙機熱備”。 |
|
|
MAC認證 |
選中“MAC認證”前的複選框 |
|
設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的crypto類型無線服務,單擊對應的圖標,進入如下圖所示頁麵。
圖1-17 crypto類型無線服務基本配置頁麵
(3) 配置crypto類型無線服務基本信息,詳細配置請參見表1-3。
(4) 單擊<確定>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的crypto類型無線服務,單擊對應的圖標,進入如下圖所示頁麵。
圖1-18 crypto類型無線服務高級配置頁麵
(3) 配置crypto類型無線服務高級信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-9 crypto類型無線服務高級配置的詳細配置
|
轉發模式 |
· 集中轉發:客戶端的數據流量由AP通過隧道透傳到AC,由AC轉發數據報文。對於集中轉發模式,可以選擇數據報文以802.3格式封裝在數據隧道中,由AC轉發;或是數據報文以802.11格式封裝在數據隧道中,由AC轉發 · 本地轉發:由AC對客戶端進行認證,但客戶端的數據流量直接由AP進行轉發。該模式在保持了AC/Fit AP架構在安全、管理等方麵的優勢的前提下,緩解了AC的數據轉發壓力 · 基於轉發策略:根據客戶端報文匹配轉發策略的情況,使得接入某個SSID的客戶端發送的報文可以進行集中轉發或本地轉發,從而充分利用AP的本地轉發功能,有效減輕AC的負擔。關於轉發策略的詳細介紹和配置請參見“1.3 配置策略”
|
|
同一個SSID下的客戶端有可能屬於不同的VLAN,在配置本地轉發策略的時候需要考慮VLAN因素時,可以設置本地轉發VLAN |
|
|
· 802.11:數據報文以802.11格式封裝在數據隧道中,由AC轉發數據報文 · 802.3:數據報文以802.3格式封裝在數據隧道中,由AC轉發數據報文 需要注意的是,使用CAPWAP隧道時,該配置才能生效。使用LWAPP隧道時,數據報文隻能以802.11格式封裝在數據隧道中 |
|
|
信標測量是802.11k協議定義的一套用於無線設備向其他無線設備查詢無線環境信息的標準方法之一。開啟信標測量功能後,AP會周期性地向客戶端發送信標測量請求,客戶端收到信標測量請求後,會回複信標測量報告。AP通過標測量報告獲取客戶端收集到的信標測量信息 |
|
|
· 主動模式:AP向客戶端發送信標測量請求,客戶端收到信標測量請求後,會在其支持的所有信道上廣播發送Probe Request幀,然後設置一個測量持續時長,在測量結束後,處理收到的所有Beacon幀和Probe Response幀,並編製信標測量報告回複給AP · 信標表模式:AP向客戶端發送信標測量請求,客戶端收到信標測量請求後,不執行額外的測量,直接向AP回複信標測量報告,該報告中包含客戶端當前存儲的所有信標測量信息 · 被動模式:AP向客戶端發送信標測量請求,客戶端收到信標測量請求後,會設置一個測量持續時長,在測量結束後,處理收到的所有Beacon幀和Probe Response幀,並編製信標測量報告回複給AP |
|
|
在一個射頻下,某個SSID下關聯客戶端的最大個數
當某個SSID下關聯的客戶端達到最大個數時,該SSID會自動隱藏 |
|
|
PTK生存時間 |
設置PTK的生存時間,PTK通過四次握手方式生成 |
|
Bonjour策略 |
將指定的Bonjour策略應用到接入服務 |
|
TKIP反製策略實施時間 |
缺省情況下,TKIP反製策略實施的時間為0秒,即不啟動反製策略 MIC(Message Integrity Check,信息完整性校驗)是為了防止黑客的篡改而定製的,它采用Michael算法,具有很高的安全特性。當MIC發生錯誤的時候,數據很可能已經被篡改,係統很可能正在受到攻擊。啟動反製策略後,如果在一定時間內發生了兩次MIC錯誤,則會解除所有關聯到該無線服務的客戶端,並且隻有在TKIP反製策略實施的時間後,才允許客戶端重新建立關聯 |
|
上線的客戶端對設備WEB界麵的管理權限 · Disable:表示上線的客戶端對設備WEB界麵沒有管理權限 · Enable:表示上線的客戶端對設備WEB界麵有管理權限,缺省情況下,管理權限功能處於開啟狀態 |
|
|
MAC VLAN功能 |
· Enable:表示在指定無線服務下開啟MAC VLAN功能 · Disable:表示在指定無線服務下關閉MAC VLAN功能,缺省情況下,MAC VLAN功能處於關閉狀態
開啟MAC VLAN是配置基於AP區分接入VLAN功能時,綁定VLAN ID操作前的一個必要的前提條件 |
|
有線接入服務功能 |
設置有線數據進入CAPWAP隧道傳輸 缺省情況下,有線接入服務功能處於關閉狀態 |
|
設置AP對未知用戶數據報文的處理方式 · 解除認證:表示當AP接收到未知用戶的數據報文時,主動給該用戶發送解認證報文 · 丟棄:表示當AP接收到未知用戶的數據報文時,丟棄該報文 |
|
|
用戶Cache老化時間 |
當用戶從AP下線後,保存了PMK信息,以及授權的VLAN等信息的用戶Cache的老化時間。
當配置為0時,用戶下線後會立刻刪除其Cache信息,即:該用戶將不能漫遊。 |
|
GTK更新方法 |
GTK由AC生成,在AP和客戶端認證處理的過程中通過組密鑰握手和4次握手的方式發送到客戶端。客戶端使用GTK來解密組播和廣播報文 · 選用基於時間更新的方法,需要指定GTK密鑰更新的周期時間間隔 · 選用基於數據包更新的方法,需要指定傳輸的數據包的數目,在傳送指定數目的數據包後更新GTK 缺省情況下,GTK密鑰更新采用基於時間的方法,缺省的時間間隔是86400秒 |
|
缺省情況下,客戶端離線更新GTK的功能處於關閉狀態 |
|
|
保護管理幀 |
· 強製:開啟保護管理幀功能,支持保護管理幀功能的客戶端可上線,同時對通信過程中的管理幀進行保護,不支持保護管理幀功能的客戶端無法上線 · 可選:開啟保護管理幀功能,支持或不支持保護管理幀功能的客戶端均可接入,但僅對支持保護管理幀功能的上線客戶端提供保護管理幀功能,對通信過程中的的管理幀進行保護 · 關閉:關閉保護管理幀功能。支持或不支持保護管理幀功能的客戶端均可上線,但不對通信過程中的的管理幀進行保護 缺省情況下,保護管理幀功能處於關閉狀態
使用認證類型為PSK或802.1X,並且加密類型和安全IE為AES、WPA2的接入服務上才能設置保護管理幀功能 |
|
關聯返回時間 |
關聯返回時間,在該時間超時前,AP不會處理客戶端發送的關聯/重關聯請求 |
|
SA Query超時時間 |
SA Query超時時間,若AP在SA Query超時時間內未收到客戶端的SA Query響應幀,AP將再次發送SA Query請求幀 |
|
SA Query重試次數 |
AP發送SA Query請求幀的重傳次數 |
|
綁定Hotspot2.0策略 |
選擇綁定的Hotspot2.0策略 |
|
Remote AP保持客戶端 |
設置服務允許Remote AP功能 缺省情況下,服務允許Remote AP功能。 |
|
Gsm上行鏈路網絡隱藏 |
當AP的上行鏈路為GSM網絡時,禁止在信標幀中通告SSID 缺省情況下,對GSM的上行鏈路禁止在信標幀中通告SSID。 |
保護管理幀功能通過保護無線網絡中的管理幀來完善無線網絡的安全性。保護管理幀的標準是建立在802.11i的框架上的。802.11w保護的管理幀包括解除認證幀,解除關聯幀和部分強壯Action幀。
對於單播管理幀,保護管理幀功能仍舊使用數據幀的成對臨時密鑰對單播管理幀進行加密,保證單播管理幀的機密性、完整性以及重放保護。
對廣播/組播管理幀,保護管理幀功能使用BIP(Broadcast Integrity Protocol,廣播完整性協議)保證廣播/組播管理幀的完整性以及重放保護,實現防止客戶端受到仿冒AP的攻擊。但保護管理幀功能不能為廣播/組播管理幀的傳輸提供機密性保護。BIP通過在廣播/組播管理幀的幀主體後增加MME(Management MIC IE,管理MIC IE)字段來實現保護廣播/組播管理幀。
· 完整性:AC/AP和客戶端通過四次握手或者組播握手產生IGTK(Integrity Group Temporal Key,完整性組臨時密鑰),IGTK與廣播/組播管理幀的幀主體進行運算生成MIC(Message Integrity Check,消息完整性校驗),將生成的MIC放入MME字段中。客戶端通過四次握手消息3或組播握手消息1收到的IGTK,也產生MIC,客戶端將此MIC與從AP接收到的MIC進行比較,相同即表示廣播/組播管理幀是完整的。
· 重放保護:AP為每個IGTK維護一個IPN(IGTK Packet Number,IGTK報文序列號),通過四次握手消息3或者組播握手消息1將IPN初始值發送給客戶端。AP後續發送保護的廣播/組播幀時,將IPN存放於MME中發送給客戶端,客戶端會將收到的IPN與本地保存的IPN進行比較,如果收到的IPN比本地保存的IPN增加1,則表示客戶端沒有受到重放攻擊。
AP與客戶端協商結果為使用保護管理幀功能後,無線設備將使用SA Query機製增強客戶端的安全連接。SA Query包括主動SA Query和被動SA Query。
(1) 主動SA Query
在AP收到仿冒的關聯/重關聯報文的情況下,主動SA Query機製可以防止AP對客戶端作出錯誤的響應。
當AP收到客戶端的關聯/重關聯請求,AP將發送關聯/重關聯響應幀,響應狀態值為“關聯/重關聯臨時被拒絕,稍後重連”,並攜帶關聯返回時間,隨後AP會觸發SA Query過程。
AP向客戶端發送SA Query請求幀,若AP在SA Query超時時間內收到客戶端發送的SA Query響應幀,則AP認為該客戶端在線。若AP在SA Query超時時間內未收到客戶端的SA Query響應幀,AP將再次發送SA Query請求幀。若AP在SA Query重試次數內收到SA Query響應幀,則認為客戶端在線,並且在關聯返回時間內,AP將不再響應關聯/重關聯請求。若AP在SA Query重試次數內未收到SA Query響應幀,AP將認為客戶端已經掉線,允許其重新接入。
圖1-19 主動SA Query過程
(2) 被動SA Query
在客戶端收到未加密的解除關聯/解除認證報文(失敗碼為6或7)的情況下,被動SA Query機製可以防止客戶端異常下線。
當客戶端收到一個未保護的解除關聯幀或者解除認證幀,客戶端會觸發SA Query過程。客戶端向AP發送SA Query請求幀,AP回複SA Query響應幀。客戶端收到SA Query響應幀,判定AP在線,AP和客戶端之間的連接處於正常狀態,客戶端不會下線。
圖1-20 被動SA Query過程
配置保護管理幀功能的步驟如下:
(3) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(4) 在列表中找到要進行配置的crypto類型無線服務,單擊對應的
圖標,進入如圖1-18所示頁麵。
(5) 配置crypto類型無線服務的保護管理幀功能,詳細配置如表1-9所示。
(6) 單擊<確定>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的crypto類型無線服務,單擊對應的圖標,進入如下圖所示頁麵。
圖1-21 crypto類型無線服務安全配置頁麵
(3) 配置crypto類型無線服務安全信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表1-10 crypto類型無線服務安全配置的詳細配置
|
· Open-System:即不認證,如果認證類型設置為開放係統認證,則所有請求認證的客戶端都會通過認證 · Shared-Key:共享密鑰認證需要客戶端和設備端配置相同的共享密鑰;隻有在使用WEP加密時才可選用shared-key認證機製 · Open-System and Shared-Key:可以同時選擇使用Open-System和Shared-Key認證
WEP加密方式可以分別和Open system、Shared key鏈路認證方式使用 · 采用Open system authentication方式:此時WEP密鑰隻做加密,即使密鑰配置不一致,用戶也可以成功建立無線鏈路,但所有的數據都會因為密鑰不一致被接收端丟棄 · 采用Shared key authentication方式:此時WEP密鑰同時作為認證密鑰和加密密鑰,如果密鑰配置不一致,客戶端就不能通過鏈路認證,也就無法接入無線網絡 |
|
|
· AES:AES加密算法 · TKIP:一種基於RC4算法和動態密鑰管理的加密機製 · AES and TKIP:可以同時選擇使用AES和TKIP加密 |
|
|
無線服務類型(Beacon或者Probe response報文中攜帶對應的IE信息): · WPA:在802.11i協議之前,Wi-Fi Protected Access定義的安全機製 · WPA2:802.11i定義的安全機製,也就是RSN(Robust Security Network,健壯安全網絡)安全機製,提供比WEP和WPA更強的安全性 · WPA and WPA2:同時選擇使用WPA和WPA2 |
|
|
密鑰衍生類型 |
指定支持的由PMK(Pairwise Master Key,成對主密鑰)產生PTK/GTK所使用的散列算法。目前使用的散列算法有兩種,分別是SHA1和SHA256。SHA1使用HMAC-SHA1散列算法進行迭代計算產生密鑰,SHA256使用HMAC-SHA256散列算法進行迭代計算產生密鑰 配置密鑰衍生類型: · SHA1:支持使用HMAC-SHA1散列算法 · SHA256:支持使用HMAC-SHA256散列算法 · SHA1 and SHA256:支持使用HMAC-SHA1和HMAC-SHA256散列算法 缺省情況下,密鑰衍生類型是SHA1
當認證類型為PSK或802.1X時,配置了密鑰衍生類型才能生效 |
|
WEP加密 |
|
|
使用自動提供WEP密鑰方式: · 開啟:使用自動提供WEP密鑰方式 · 關閉:使用靜態WEP密鑰方式 缺省情況下,使用靜態WEP密鑰方式 選擇自動提供WEP密鑰方式後,“密鑰類型”選項會自動使用WEP 104加密方式
· 自動提供WEP密鑰必須和802.1X認證方式一起使用 · 配置動態WEP加密後,用來加密單播數據幀的WEP密鑰由客戶端和服務器協商產生。如果配置動態WEP加密的同時配置了WEP密鑰,則該WEP密鑰作為組播密鑰,用來加密組播數據幀。如果不配置WEP密鑰,則由設備隨機生成組播密鑰 |
|
|
· WEP 40:選擇WEP 40進行加密 · WEP 104:選擇WEP104進行加密 · WEP 128:選擇WEP 128進行加密 |
|
|
1:選擇密鑰索引為1 2:選擇密鑰索引為2 3:選擇密鑰索引為3 4:選擇密鑰索引為4 在WEP中有四個靜態的密鑰。其密鑰索引分別是1、2、3和4。指定的密鑰索引所對應的密鑰將被用來進行幀的加密和解密 |
|
|
選擇WEP密鑰長度: · 當密鑰類型選擇WEP40時,可選的密鑰長度5個字符(5 Alphanumeric Chars)或者10位16進製數(10 Hexadecimal Chars) · 當密鑰類型選擇WEP104時,可選的密鑰長度13個字符(13 Alphanumeric Chars)或者26位16進製數(26 Hexadecimal Chars) · 當密鑰類型選擇WEP 128時,可選的密鑰長度16個字符(16 Alphanumeric Chars)或者32位16進製數(32 Hexadecimal Chars) |
|
|
配置WEP密鑰 |
|
|
“認證方式”、“加密類型”等參數直接決定了端口模式的可選範圍,具體請參見表1-13 · mac and psk:接入用戶必須先進行MAC地址認證,通過認證後使用預先配置的預共享密鑰與設備協商,協商成功後可訪問端口 · psk:接入用戶必須使用設備上預先配置的靜態密鑰,即PSK(Pre-Shared Key,預共享密鑰)與設備進行協商,協商成功後可訪問端口 · userlogin-secure-ext:對接入用戶采用基於MAC的802.1X認證,且允許端口下有多個802.1X用戶 |
|
當選擇mac and psk時,需要配置如下選項。
圖1-22 mac and psk端口安全配置頁麵
表1-11 mac and psk端口安全配置的詳細配置
|
mac and psk:接入用戶必須先進行MAC地址認證,通過認證後使用預先配置的預共享密鑰與設備協商,協商成功後可訪問端口 在導航欄中選擇“無線服務 > 接入服務”,單擊<MAC認證列表>按鈕,輸入客戶端的MAC地址 |
|
|
MAC認證 |
選中“MAC認證”前的複選框 |
|
設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以新建域 |
|
|
· pass-phrase:以字符串方式輸入預共享密鑰 · raw-key:以十六進製數方式輸入預共享密鑰 |
當選擇psk時,需要配置如下選項。
圖1-23 psk端口安全配置頁麵
表1-12 psk端口安全配置的詳細配置
|
psk:接入用戶必須使用設備上預先配置的靜態密鑰,即PSK(Pre-Shared Key,預共享密鑰)與設備進行協商,協商成功後可訪問端口 |
|
|
· pass-phrase:以字符串方式輸入預共享密鑰 · raw-key:以十六進製數方式輸入預共享密鑰 |
當選擇userlogin-secure-ext時,需要配置的選項如表1-7所示。
clear類型和crypto類型無線服務類型下,各參數之間的關係:
|
WEP加密/密鑰ID |
|||||
|
WEP加密可選/密鑰ID可選234 |
|||||
|
WEP加密必選/密鑰ID可選1234 |
|||||
|
WEP加密必選/密鑰ID可選1234 |
|||||
|
WEP加密必選/密鑰ID可選1234 |
|||||
|
WEP加密必選/密鑰ID可選1234 |
通過配置認證模式,可以控製客戶端的認證。目前支持三種認證模式:
集中式認證是由AC對客戶端進行認證,數據轉發方式與轉發模式選項的設置情況有關,關於本地轉發的配置和具體介紹請參見“1.2.3 2. clear類型無線服務高級配置”。AC和AP的連接出現故障後,客戶端是否下線與Remote AP選項的設置情況有關,關於Remote AP的配置和具體介紹請參見“AP”。
本地認證即AP本地認證,在一些簡單的應用環境下,可以直接使用AP作為認證實體對客戶端進行認證,客戶端接入後,數據轉發方式為本地轉發。AC和AP的連接出現故障後,已接入的客戶端不會下線[1],新的客戶端仍然可以在通過AP認證後接入無線網絡。
AP和AC連接正常時,使用AC集中式認證。AC和AP的連接出現故障後,原有的客戶端不會下線[1],如果有新的客戶端需要接入,就隻能使用AP本地認證,客戶端接入後,數據轉發方式為本地轉發。AP和AC恢複連接後,AP會強製所有客戶端下線,AC重新對客戶端進行認證後,客戶端才可接入。
· [1]:如果客戶端使用遠程認證方式接入,原有客戶端不會下線的前提是,AC和AP的連接出現故障後,AP能和認證服務器保持連接,例如將認證服務器部署在AP側,詳細介紹請參見“2. 組網方式”。
· 該特性針對的認證類型為端口模式支持的認證類型,不支持Portal認證。
· 通過AP本地認證上線的客戶端不支持漫遊。
· 通過AP本地認證上線的客戶端不支持客戶端信息備份功能,即客戶端信息備份功能對於通過AP本地認證上線的客戶端不生效,關於客戶端信息備份功能和配置請參見“高級設置”。
使用本地認證模式和備份認證模式的情況下,如果客戶端使用的認證方式需要認證服務器,可以使用如下圖所示的兩種組網方式,推薦使用如圖1-25所示的組網方式,將認證服務器部署在AP側,這種方式的優勢在於當AP和AC的連接出現故障後,不會因為認證服務器超時定時器超時導致已上線的客戶端下線。
圖1-24 AP本地認證組網圖(認證服務器部署在AC側)
圖1-25 AP本地認證組網圖(認證服務器部署在AP側)
(1) 配置備份或本地認證模式前,請先通過“AP > AP設置”頁麵開啟AP的Remote AP功能。
(2) 配置使用備份或本地認證模式,並且客戶端使用802.1X或MAC地址認證方式接入,那麼用戶需要編輯AP的配置文件,然後通過“AP > AP設置”頁麵使用配置文件選項將配置文件下載到AP。AP的配置文件中必須包括以下內容:
· 如果客戶端使用本地802.1X或本地MAC地址認證,在配置文件中需要包括開啟端口安全、ISP域以及本地用戶的配置。
· 如果客戶端使用遠程802.1X或遠程MAC地址認證,在配置文件中需要包括開啟端口安全、ISP域以及RADIUS方案的配置。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的無線服務,單擊對應的圖標,進入如下圖所示頁麵。
(3) 配置認證模式。在集中、本地、備份三種認證模式中選擇需要的認證模式。
(4) 單擊<確定>按鈕完成操作。
· 通過本地認證模式上線的客戶端,在AC上可以通過“概覽> 客戶端”頁麵的<斷開連接>按鈕強製客戶端下線。
· 使用本地認證模式和備份認證模式的情況下,如果AC和AP的連接出現故障,在故障恢複前,請不要修改AC上的配置。AP和AC恢複連接後,AC會重新檢查配置,某些配置不一致可能會導致已上線的客戶端下線。
IP源地址驗證功能用於對AP收到的報文進行過濾控製,以防止非法客戶端的報文通過,從而限製了對網絡資源的非法使用(比如非法客戶端仿冒合法客戶端IP接入網絡),提高了無線網絡的安全性。
對於使用IPv4地址的客戶端,AP會截獲客戶端與DHCP服務器間交互的DHCPv4報文,從報文中獲取到DHCP服務器為客戶端分配的IP地址,並與客戶端的MAC地址形成綁定表項。
對於使用IPv6地址的客戶端,有以下兩種方式可以形成綁定表項。
· DHCPv6方式:AP會截獲客戶端與DHCPv6服務器間交互的DHCPv6報文,從報文中獲取到DHCPv6服務器為客戶端分配的完整的IPv6地址,並與客戶端的MAC地址形成綁定表項。從DHCPv6分配到IPv6地址前綴無法與客戶端的MAC地址形成綁定表項。
· ND(Neighbor Discovery,IPv6鄰居發現)方式:AP會截獲客戶端與路由器之間交互的RA(Router Advertisement,路由器通告消息)報文,從報文中獲取IPv6地址,並與客戶端的MAC地址形成綁定表項。
如圖1-27所示,開啟IP源地址驗證功能後,AP在收到客戶端報文時,會查找IP源地址綁定表項,如果客戶端發送報文的特征項(MAC地址+IP地址)與某個綁定表項匹配,則轉發該報文,否則做丟棄處理。
圖1-27 IP源地址驗證功能示意圖
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的無線服務,單擊對應的圖標,進入如下圖所示頁麵。
(3) 配置IP源地址驗證。勾選IPv4或IPv6前的複選框。(缺省情況下,IP源地址驗證功能處於關閉狀態)
(4) 單擊<確定>按鈕完成操作。
· 對於要接入開啟IP源地址驗證功能的SSID的客戶端來說,如果客戶端是通過AP本地認證方式上線的,IP源地址驗證功能依然生效,但是在AC上不會查看到該客戶端的IP地址綁定表項。關於AP本地認證的詳細介紹請參考“配置認證模式”。
· 如果接入開啟IP源地址驗證功能的SSID的客戶端需要漫遊到漫遊組內其它AC上的AP,那麼需要在漫遊組其它AC上的相應SSID上開啟IP源地址驗證功能,否則會出現客戶端業務中斷的情況。關於漫遊功能的詳細介紹請參考“ IACTP隧道和漫遊”。
(1) 在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
(3) 單擊<開啟>按鈕完成操作。
(1) 在導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表裏查找到需要綁定的無線服務,單擊對應的
圖標,進入下圖所示頁麵。
圖1-30 綁定AP的射頻
(4) 單擊<綁定>按鈕完成操作。
通過不同的SSID區分不同服務的業務流。而通過AP來區分不同的地點,地點不同用戶所能接入的服務不同。當客戶端在不同的AP間漫遊時,可以通過區分接入的AP來享受不同的服務。具體要求為:
· 同屬於一個SSID的用戶在不同AP接入時可以根據配置情況決定所屬的VLAN;
· 用戶在漫遊時,接入所屬的VLAN一直保持不變;
· 在AC間漫遊時,如果本AC沒有該VLAN出口,則要求能夠在漫遊組內找到HA,將報文通過HA送出,保證報文不間斷。
圖1-31 基於AP區分接入VLAN示意圖
上圖中,Client 1在AP 1處上線,所屬的VLAN為VLAN3。漫遊期間(包括AC內的漫遊,AC間的漫遊),Client 1的VLAN一直保持不變。AC間漫遊時,如果FA(即AC 2)有該VLAN的出口,則在該AC送出報文,如果FA沒有該VLAN的出口,報文通過DATA TUNNEL送到HA(即AC 1)後送出。
Client 2在AP 4上線,所屬的VLAN為VLAN 2,表示在不同的AP上線後分配的VLAN不同。
(2) 在導航欄中選擇“無線服務 > 接入服務”。
(3) 在列表裏查找到需要綁定的無線服務,單擊對應的
圖標,進入圖1-30所示綁定AP的射頻頁麵。
(4) 選擇需要綁定的AP射頻模式,選中前麵的複選框。
(5) 選中“綁定VLAN”前的單選框,在綁定VLAN輸入框中輸入需要綁定的VLAN。
(6) 單擊<綁定>按鈕完成操作。
關於VLAN池的功能介紹和配置,請參見“高級設置”。
(1) 在導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表裏查找到需要綁定的無線服務,單擊對應的圖標,進入圖1-30所示綁定AP的射頻頁麵。
(4) 選中“綁定VLAN池”前的單選框,並在綁定VLAN池下拉框中選擇指定的VLAN池。
(5) 單擊<綁定>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“射頻 > 射頻設置”,進入如圖所示射頻設置頁麵。
(3) 單擊<開啟>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”,進入接入服務配置頁麵。
(2) 點擊指定的clear類型無線服務後,如下圖所示,可以查看相關的詳細信息。
圖1-33 clear類型無線服務的詳細信息
表1-14 clear類型無線服務顯示信息描述表
|
服務模板的描述字符串,Not Configured表示沒有配置服務模板的描述字符串 |
|
|
Hotspot policy |
|
|
使用的認證類型,clear類型的無線服務隻能使用Open System(開放係統認證)方式 |
|
|
Authentication Mode |
服務模板使用的認證模式: · Central:AC集中式認證 · Local:AP本地認證 · Backup:備份認證 |
|
Enable:信標測量功能處於開啟狀態 |
|
|
· Passive:被動模式 · Active:主動模式 · Beacon-table:信標表模式 |
|
|
· Disable:啟用SSID通告 · Enable:禁用SSID通告。SSID隱藏後,AP發送的信標幀裏麵不包含SSID信息 |
|
|
· Local Forwarding:AP本地轉發報文 · Remote Forwarding:AC轉發報文 |
|
|
· Enable:無線服務處於開啟狀態 · Disable:無線服務處於關閉狀態 |
|
|
一個BSS中能夠連接的最大客戶端數 |
|
|
IPv4源地址驗證功能狀態: · Enable:對IPv4客戶端進行源地址驗證 · Disable:不對IPv4客戶端進行源地址驗證 |
|
|
IPv6源地址驗證功能狀態: · Enable:對IPv6客戶端進行源地址驗證 · Disable:不對IPv6客戶端進行源地址驗證 |
|
|
Bonjour Policy |
應用到該服務模板的Bonjour策略名 |
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”,進入接入服務配置頁麵。
(2) 點擊指定的crypto類型無線服務後,如下圖所示,可以查看相關的詳細信息。
圖1-34 crypto類型無線服務的詳細信息
表1-15 crypto類型無線服務顯示信息描述表
|
服務模板的描述字符串,Not Configured表示沒有配置服務模板的描述字符串 |
|
|
Hotspot policy |
|
|
安全IE:WPA或WPA2(RSN) |
|
|
使用的認證類型:Open System(開放係統認證)或者Shared Key(共享密鑰認證); |
|
|
Authentication Mode |
服務模板使用的認證模式: · Central:AC集中式認證 · Local:AP本地認證 · Backup:備份認證 |
|
Enable:信標測量功能處於開啟狀態 |
|
|
· Passive:被動模式 · Active:主動模式 · Beacon-table:信標表模式 |
|
|
· Disable:啟用SSID通告 · Enable:禁用SSID通告。SSID隱藏後,AP發送的信標幀裏麵不包含SSID信息 |
|
|
加密套件:AES-CCMP、TKIP、WEP40/WEP104/WEP128 |
|
|
WEP密鑰模式: · HEX:WEP密鑰為16進製數的形式 · ASCII:WEP密鑰為字符串的形式 |
|
|
WEP密鑰 |
|
|
TKIP反製策略時間,單位為秒 |
|
|
PTK生存時間,單位為秒 |
|
|
GTK密鑰更新配置 |
|
|
GTK密鑰更新方法:基於包或基於時間 |
|
|
當選擇基於時間的GTK密鑰更新方法時,顯示GTK密鑰更新時間,單位為秒 當選擇基於包的GTK密鑰更新方法時,顯示數據包的數目 |
|
|
· Local Forwarding:AP本地轉發報文 · Remote Forwarding:AC轉發報文 |
|
|
PMF Status |
保護管理幀功能的狀態: · Disable:保護管理幀功能處於關閉狀態 · Optional:保護管理幀功能處於開啟狀態,支持或不支持保護管理幀功能的客戶端均可接入 · Mandatory:保護管理幀功能處於開啟狀態,且強製要求隻有支持保護管理幀功能的客戶端可以接入 |
|
· Enable:無線服務處於開啟狀態 · Disable:無線服務處於關閉狀態 |
|
|
一個BSS中能夠連接的最大客戶端數 |
|
|
IPv4源地址驗證功能狀態: · Enable:對IPv4客戶端進行源地址驗證 · Disable:不對IPv4客戶端進行源地址驗證 |
|
|
IPv6源地址驗證功能狀態: · Enable:對IPv6客戶端進行源地址驗證 · Disable:不對IPv6客戶端進行源地址驗證 |
|
|
Bonjour Policy |
應用到該服務模板的Bonjour策略名 |
使用策略轉發首先要創建轉發策略,並製定轉發規則,報文匹配規則如下,先按照ACL的編號由小到大來匹配。如果報文已經匹配到滿足條件的規則,就執行相應的轉發,如果不滿足,則繼續匹配下一個規則。如果沒有匹配到任何規則或是使用的ACL中沒有配置規則,則缺省采用集中轉發。
· 應用到用戶方案,則客戶端通過802.1X認證後,由認證服務器將客戶端使用的用戶方案名稱下發給AP,AP收到用戶方案名字後,會根據用戶方案獲取轉發策略。使用這種方式,需要在AC上創建並激活需要下發給AP的用戶方案。如果用戶方案中同時配置QoS策略,客戶端發送的報文同時符合QoS策略和轉發策略的匹配規則,在這種情況下,QoS策略具有更高的優先級。關於用戶方案的功能介紹請參見“認證”中的“用戶”。
· 應用到接入服務,則接入該SSID的客戶端使用接入服務中定義的轉發策略。
如果應用到兩者的轉發策略不同,用戶方案中的轉發策略優先級高。無論哪種方式,轉發策略中的轉發規則都需要在AP上生效,因此需要使用配置文件將相關配置下發到AP上。配置文件應該包括以下內容:ACL編號及ACL規則。如果需要將轉發策略應用到用戶方案,在配置文件中還需要包括和用戶方案相關的配置。關於配置文件的配置方法和注意事項,請參見“ AP”。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(3) 單擊<新建>按鈕,進入如下圖所示轉發策略新建頁麵。
(5) 單擊<添加>按鈕添加轉發規則。
(6) 單擊<確定>按鈕完成操作。
|
最多可以創建1000個轉發策略 |
|||
|
ACL類型 |
選擇ACL類型為IPv4或IPv6 |
進行報文匹配時,不對ACL規則中的參數“允許”和“禁止”進行區分,隻要報文能夠匹配ACL規則,都算作報文匹配成功 |
|
|
ACL編號 |
設置ACL編號 |
||
|
· 集中:對匹配ACL的報文進行集中轉發 · 本地:對匹配ACL的報文進行本地轉發 |
|||
目前轉發策略對ACL的支持情況如下:
· 對於IPv4和IPv6基本ACL,隻支持指定規則的源地址信息。
· 對於IPv4和IPv6高級ACL,隻支持IP、TCP、UDP和ICMP協議。對於IP協議,支持指定源IP和目的IP地址信息。對於UDP和TCP協議,支持指定源端口號和目的端口號。對於ICMP協議,支持指定ICMP報文的消息類型和消息碼信息。
· 對於IPv4的二層ACL,隻支持指定規則的源MAC和目的MAC地址信息。
(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
(2) 在列表中找到要進行配置的無線服務,單擊對應的圖標,進入如下圖所示無線服務高級配置頁麵。
(3) 將轉發策略應用到接入服務的詳細配置詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
|
在下拉列表中選擇基於轉發策略,開啟策略轉發
|
|
|
轉發策略的名稱
在User Profile上應用轉發策略時,轉發策略的名稱可以為空 |
請參見“1.3.2 將轉發策略應用到接入服務”。在用戶方案上應用轉發策略前,必須在接入服務頁麵完成轉發模式的配置。
在AC上創建並激活需要下發給AP的用戶方案,並確保AC上創建的用戶方案、配置文件中用戶方案的名稱、認證服務器下發用戶方案的名稱三者是一致的。
在導航欄中選擇“認證 > 用戶”,應用AP組管理。
(1) 在導航欄中選擇“認證 > 用戶”。
(3) 單擊<新建>按鈕,進入新建用戶方案名稱的配置頁麵,如下圖所示。
(5) 單擊<確定>按鈕。
(7) 單擊<使能>按鈕將選中的用戶方案使能。
某部門為了保證工作人員可以隨時隨地訪問部門內部的網絡資源,需要通過部署AP實現移動辦公。
· AP通過二層交換機與AC相連。AP的序列ID為210235A29G007C000020,使用手工輸入序列號方式。
· AP提供SSID為service1的明文方式的無線接入服務。
· 采用目前較為常用的802.11n(2.4GHz)射頻模式。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“service1”。
· 選擇無線服務類型為“Clear”。
步驟4:單擊<確定>按鈕完成操作。
步驟5:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟6:選中“service1”前的複選框。
步驟7:單擊<開啟>按鈕完成操作。
(3) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“service1”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-40 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
(1) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,進入如下圖所示頁麵,可以查看到成功上線的客戶端。
要求客戶端使用WPA-PSK方式接入無線網絡,客戶端的PSK密鑰配置與AC端相同,為12345678。
圖1-43 PSK認證配置組網圖
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“psk”。
· 選擇無線服務類型為“Crypto”。
步驟4:單擊<確定>按鈕完成操作。
步驟1:PSK認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 在“認證方式”下拉框中選擇“Open-System”。
· 選中“加密類型”前的複選框,選擇“TKIP”加密類型(請根據實際情況,選擇需要的加密類型),選擇“WPA”安全IE。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“psk”方式。
· 在PSK預共享密鑰下拉框裏選擇“pass-phrase”,輸入密鑰“12345678”。
步驟2:單擊<確定>按鈕完成操作。
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“psk”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
(4) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“psk”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-48 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
打開無線客戶端,刷新網絡列表,在“選擇無線網絡”列表裏找到配置的網絡服務(此例中為psk),單擊<連接>,在彈出的對話框裏輸入網絡密鑰(此例中為12345678)。整個過程如下圖所示。
客戶端配置相同的PSK預共享密鑰,客戶端可以成功關聯AP。
(1) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
AP通過二層交換機與AC建立連接。要求使用客戶端使用MAC地址本地認證方式接入無線網絡。
圖1-52 MAC地址本地認證配置組網圖
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
· 設置AP名稱為“ap”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟3:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“mac-auth”。
· 選擇無線服務類型為“Clear”。
步驟4:單擊<確定>按鈕完成操作。
(3) 配置MAC本地認證
步驟1:MAC地址本地認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“mac-authentication” 方式。
· 選中“MAC認證”前的複選框,在域名下拉框中選擇“system”(在界麵左側的導航欄中選擇“認證 > AAA”,選擇“域設置”頁簽,在域名下拉輸入框中可以創建新的域)。
步驟2:單擊<確定>按鈕完成操作。
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“mac-auth”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
(4) 配置MAC認證列表
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<MAC認證列表>按鈕。
步驟3:進入如下圖所示頁麵,在MAC地址欄裏添加本地接入用戶,本例中為“0014-6c8a-43ff”。
步驟4:單擊<添加>按鈕完成操作。
圖1-57 添加MAC認證列表
(5) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“mac-auth”對應的
圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-58 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
打開無線客戶端,刷新網絡列表,在“選擇無線網絡”列表裏找到配置的網絡服務(此例中為mac-auth),單擊<連接>按鈕。
(1) 客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
要求無線客戶端使用遠程MAC地址認證方式接入無線網絡。
· 一台RADIUS服務器(使用iMC服務器,擔當認證、授權、計費服務器的職責)。在RADIUS服務器上需要添加Client的用戶名和密碼(用戶名和密碼為Client的MAC地址),同時設置共享密鑰為“expert”,RADIUS服務器IP地址為10.18.1.88。
· AC的IP地址為10.18.1.1,在AC上設置共享密鑰為expert,發送給RADIUS服務器的用戶名中不帶域名。
圖1-61 遠程MAC地址認證配置組網圖
(1) 配置AC的接口IP地址
在AC上創建VLAN(在導航欄中選擇“網絡 > VLAN”,進入頁麵後可以創建VLAN),並配置IP地址(在導航欄中選擇 “設備 > 接口管理”,進入頁麵後可以配置VLAN的IP地址)。
步驟1:在導航欄中選擇“認證 > RADIUS”。
步驟2:單擊<新建>按鈕,進入RADIUS方案配置頁麵。
步驟3:進行如下配置,如下圖所示。
· 在RADIUS服務器配置中增加如圖1-62所示的兩個服務器,其中密鑰為“expert”。
步驟4:單擊<確定>按鈕完成操作。
步驟1:創建ISP域。在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵,本例使用缺省的system域(如果需要定製ISP域,可以創建新的ISP域)。
步驟2:配置ISP域的AAA認證方案。單擊“認證”頁簽。
步驟3:進行如下配置,如下圖所示。
· 選中“LAN-access認證”前的複選框,選擇認證方式為“RADIUS”。
· 選擇認證方案名稱為“mac-auth”。
步驟4:單擊<應用>按鈕完成操作。
圖1-63 配置ISP域的AAA認證方案
步驟5:配置ISP域的AAA授權方案。單擊“授權”頁簽。
步驟6:進行如下配置,如下圖所示。
· 選中“LAN-access授權”前的複選框,選擇授權方式為“RADIUS”。
步驟7:單擊<應用>按鈕完成操作。
圖1-64 配置ISP域的AAA授權方案
步驟8:配置ISP域的AAA計費方案。單擊“計費”頁簽。
步驟9:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“計費可選開關”前的複選框,選擇“Enable”。
· 選中“LAN-access計費”前的複選框,選擇計費方式為“RADIUS”。
· 選擇計費方案名稱為“mac-auth”。
步驟10:單擊<應用>按鈕完成操作。
圖1-65 配置ISP域的AAA計費方案
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“mac-auth”。
· 選擇無線服務類型為“Clear”。
步驟4:單擊<確定>按鈕完成操作。
(6) 配置MAC地址認證
步驟1:配置MAC地址認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“mac-authentication”方式。
· 選中“MAC認證”前的複選框,在域名下拉框中選擇“system”。
步驟2:單擊<確定>按鈕完成操作。
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“mac-auth”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
(7) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“mac-auth”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-70 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),說明RADIUS server的基本配置。
步驟1:在iMC管理平台選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert;
· 設置認證及計費的端口號分別為1812和1813;
· 選擇協議類型為LAN接入業務;
· 選擇接入設備類型為H3C;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊,<增加>按鈕,進入增加接入設備頁麵。
步驟4:設置服務名為mac,其它保持缺省配置。
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“用戶”頁簽。
步驟2:單擊導航樹中的“接入用戶視圖 > 所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶名00146c8a43ff;
· 添加帳號名和密碼為00146c8a43ff;
· 選中剛才配置的服務mac。
步驟5:單擊<確定>按鈕完成操作。
下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0、iMC UAM 5.0),說明RADIUS server的基本配置。
步驟1:在iMC管理選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert,其它保持缺省配置;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:設置服務名為mac,其它保持缺省配置。
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“用戶”頁簽。
步驟2:單擊導航樹中的“接入用戶視圖 > 所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶00146c8a43ff;
· 添加帳號名和密碼為00146c8a43ff;
· 選中剛才配置的服務mac。
步驟5:單擊<確定>按鈕完成操作。
(1) 客戶端不需要用戶手動輸入用戶名或者密碼。該客戶端通過MAC地址認證後,可以直接訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
要求無線客戶端使用遠程802.1X認證方式接入無線網絡。
· 一台RADIUS服務器(使用iMC服務器,擔當認證、授權、計費服務器的職責)。在RADIUS服務器上添加Client的用戶名和密碼(用戶名為user,密碼為dot1x),同時設置共享密鑰為“expert”,RADIUS服務器IP地址為10.18.1.88。
· AC的IP地址為10.18.1.1。在AC上設置共享密鑰為expert,發送給RADIUS服務器的用戶名中不帶域名。
圖1-78 遠程802.1X認證配置組網圖
(1) 配置AC的接口IP地址
在AC上創建VLAN(在導航欄中選擇“網絡 > VLAN”,進入頁麵後可以創建VLAN),並配置IP地址(在導航欄中選擇 “設備 > 接口管理”,進入頁麵後可以配置VLAN的IP地址)。
(2) 獲取CA證書和本地證書
若AC上已經保存了CA證書文件和本地證書文件,則使用離線方式將其導入本地。否則,需要在線申請AC的本地證書並獲取CA證書。證書所在的PKI域為eappki。PKI的具體配置請參見“認證”中的“證書管理”,此處略。
(3) 配置RADIUS方案
步驟1:在導航欄中選擇“認證 > RADIUS”。
步驟2:單擊<新建>按鈕,進入RADIUS方案配置頁麵。
步驟3:進行如下配置,如下圖所示。
· 在RADIUS服務器配置中增加如圖1-79所示的認證和計費服務器,其中密鑰為“expert”。
· 輸入方案名稱為“802.1x”。
· 選擇服務類型為“Extended”。
步驟4:單擊<確定>按鈕完成操作。
步驟1:創建ISP域。在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵,本例使用缺省的system域(如果需要定製ISP域,可以創建新的ISP域)。
步驟2:配置ISP域的AAA認證方案。單擊“認證”頁簽。
步驟3:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“LAN-access認證”前的複選框,選擇認證方式為“RADIUS”。
· 選擇認證方案名稱為“802.1x”。
步驟4:單擊<應用>按鈕完成操作。
圖1-80 配置ISP域的AAA認證方案
步驟5:配置ISP域的AAA授權方案。單擊“授權”頁簽。
步驟6:進行如下配置,如下圖所示。
· 選中“LAN-access授權”前的複選框,選擇授權方式為“RADIUS”。
· 選擇授權方案名稱為“802.1x”。
步驟7:單擊<應用>按鈕完成操作。
圖1-81 配置ISP域的AAA授權方案
步驟8:配置ISP域的AAA計費方案。單擊“計費”頁簽。
步驟9:進行如下配置,如下圖所示。
· 選擇域名為“system”。
· 選中“計費可選開關”前的複選框,選擇“Enable”。
· 選中“LAN-access計費”前的複選框,選擇計費方式為“RADIUS”。
· 選擇計費方案名稱為“802.1x”。
步驟10:單擊<應用>按鈕完成操作。
圖1-82 配置ISP域的AAA計費方案
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“dot1x”。
· 選擇無線服務類型為“Crypto”。
步驟4:單擊<確定>按鈕完成操作。
步驟1:802.1X認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 選中“加密類型”前的複選框,在加密類型下拉框中選擇“AES”,在安全IE下拉框中選擇“WPA2”。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“userlogin-secure-ext”方式。
· 選中“域名”前的複選框,在域名下拉框中選擇“system”。
· 在認證方法下拉框中選擇“EAP”。
步驟2:單擊<確定>按鈕完成操作。
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“dot1x”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
(8) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“dot1x”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-87 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
· 下麵以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),說明RADIUS server的基本配置。
步驟1:在iMC管理平台選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert;
· 設置認證及計費的端口號分別為1812和1813;
· 選擇協議類型為LAN接入業務;
· 選擇接入設備類型為H3C;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置服務名為dot1x;
· 選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“用戶”頁簽。
步驟2:單擊導航樹中的“接入用戶視圖 > 所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶名user;
· 添加帳號名為user,密碼為dot1x;
· 選中剛才配置的服務dot1x。
步驟5:單擊<確定>按鈕完成操作。
· 下麵以iMC為例(使用iMC版本為:iMC PLAT 5.0、iMC UAM 5.0),說明RADIUS server的基本配置。
步驟1:在iMC管理平台選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 接入設備配置”菜單項,進入接入設備配置頁麵。
步驟3:在接入設備頁麵中單擊<增加>按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置認證、計費共享密鑰為expert,其它保持缺省配置;
· 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“業務”頁簽。
步驟2:單擊導航樹中的“接入業務 > 服務配置管理”菜單項,進入增加服務配置頁麵。
步驟3:在服務配置頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
步驟4:進行如下配置,如下圖所示。
· 設置服務名為dot1x;
· 選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。
步驟5:單擊<確定>按鈕完成操作。
步驟1:選擇“用戶”頁簽。
步驟2:單擊導航樹中的“接入用戶視圖 > 所有接入用戶”菜單項,進入用戶頁麵。
步驟3:在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
步驟4:進行如下配置,如下圖所示。
· 添加用戶user;
· 添加帳號名為user,密碼為dot1x;
· 選中剛才配置的服務dot1x。
步驟5:單擊<確定>按鈕完成操作。
選擇無線網卡,在驗證對話框中,選擇EAP類型為PEAP,點擊“屬性”按鈕,去掉驗證服務器證書選項(此處不驗證服務器證書),點擊“配置”,去掉自動使用windows登錄名和密碼選項。單擊<確定>按鈕完成操作。整個過程如下圖所示。
(1) 在客戶端彈出的對話框中輸入用戶名user和密碼dot1x。客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
要求使用客戶端使用遠程自動提供WEP密鑰-802.1X認證方式接入無線網絡。
· 一台RADIUS服務器(使用iMC服務器,擔當認證、授權、計費服務器的職責)。在RADIUS服務器上添加Client的用戶名和密碼(用戶名為user,密碼為dot1x),同時設置共享密鑰為“expert”,RADIUS服務器IP地址為10.18.1.88。
· AC的IP地址為10.18.1.1。在AC上設置共享密鑰為expert,發送給RADIUS服務器的用戶名中不帶域名。
圖1-98 自動提供WEP密鑰-802.1X配置組網圖
(1) 配置AC的接口IP地址
請參考“1.4.5 2. (1)”部分。
請參考“1.4.5 2. (2)”部分。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“dot1x”。
· 選擇無線服務類型為“Crypto”。
步驟4:單擊<確定>按鈕完成操作。
步驟1:802.1X認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 在“認證方式”下拉框中選擇“Open-System”。
· 選中“WEP加密”前的複選框,在自動提供密鑰下拉框中選擇“開啟”。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“userlogin-secure-ext”方式。
· 選中“域名”前的複選框,在域名下拉框中選擇“system”。
· 在認證方法下拉框中選擇“EAP”。
步驟2:單擊<確定>按鈕完成操作。
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“dot1x”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
(7) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“dot1x”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-102 綁定AP的射頻
請參考“1.4.5 2. (9)開啟802.11n(2.4GHz)射頻”部分。
請參考“1.4.5 3. 配置RADIUS server(iMC V3)”部分。
請參考“1.4.5 4. 配置RADIUS server(iMC V5)”部分。
雙擊桌麵右下角的
圖標,在彈出“無線網絡連接狀態”窗口上點擊“屬性”,在彈出的屬性頁麵中單擊<添加>按鈕,選擇關聯頁簽,添加名為“dot1x”的SSID,並確保選擇了“自動為我提供此密鑰(H)”。最後單擊<確定>按鈕完成操作。
在驗證頁簽中,選擇EAP類型為“受保護的EAP(PEAP)”,點擊“屬性”,取消“驗證服務器證書(V)”(此處不驗證服務器證書),點擊“配置”,取消“自動使用windows登錄名和密碼(以及域,如果有的話)(A)”。然後單擊<確定>按鈕完成客戶端操作。
(1) 在客戶端彈出的對話框中輸入用戶名user和密碼dot1x。客戶端可以成功關聯AP,並且可以訪問無線網絡。
(2) 在導航欄中選擇“概覽 > 客戶端”,可以查看到成功上線的客戶端。
某公司在AC上開啟備份認證模式,由總部的AC對分支機構的客戶端進行本地MAC地址認證,並且保證AC和AP的連接出現故障時,已接入的客戶端不會下線,可以繼續訪問本地資源。如果有新的客戶端需要接入,可以使用AP本地認證上線。
在配置文件中必須包括以下內容:
domain branch.net
authentication lan-access local
authorization lan-access local
accounting lan-access local
local-user 00-14-6c-8a-43-ff
password simple 00-14-6c-8a-43-ff
service-type lan-access
mac-authentication user-name-format mac-address with-hyphen lowercase
保存配置文件,並將配置文件命名為map.cfg,並將配置文件上傳到AC存儲介質上。
需要在AC上用命令行配置MAC地址認證的用戶名格式,具體命令為mac-authentication user-name-format mac-address with-hyphen lowercase。表示使用客戶端的MAC地址作為用戶名和密碼,MAC地址的格式為帶連字符“-”小寫字母。
(1) 配置ISP域branch.net。
步驟1:在導航欄中選擇“認證 > AAA”,默認進入“域設置”頁簽的頁麵。
步驟2:如下圖所示,輸入域名為“branch.net”。
步驟3:單擊<應用>按鈕完成操作。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
· 設置AP名稱為“ap”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟3:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“mac-auth”。
· 選擇無線服務類型為“Clear”。
步驟4:單擊<確定>按鈕完成操作。
創建無線服務後,直接進入配置無線服務界麵,如下圖所示,在認證模式下拉框中選擇“備份”,然後在該頁麵上繼續配置MAC本地認證。
(5) 配置MAC本地認證
步驟1:MAC地址本地認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“mac-authentication”方式。
· 選中“MAC認證”前的複選框,在域名下拉框中選擇“branch.net”。注意,這裏選擇的強製認證域必須和AP配置文件中配置的ISP域保持一致。
步驟2:單擊<確定>按鈕完成操作。
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“mac-auth”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
(6) 配置MAC認證列表
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<MAC認證列表>按鈕。
步驟3:進入如下圖所示頁麵,在MAC地址欄裏添加本地接入用戶,本例中為“00-14-6c-8a-43-ff”。
步驟4:單擊<添加>按鈕完成操作。
圖1-114 添加MAC認證列表
(7) 開啟Remote AP,並將配置文件下載到AP
步驟1:在界麵左側的導航欄中選擇“AP > AP設置”,在列表中找到要進行配置的AP,單擊對應的圖標,進入“AP設置”頁麵。
步驟2:展開“高級設置”部分,如下圖所示頁麵。
· 設置配置文件為“map.cfg”。
· “開啟”Remote AP功能。
步驟3:單擊<確定>按鈕完成操作。
圖1-115 開啟Remote AP,並將配置文件下載到AP
(8) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“mac-auth”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-116 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
· AP和AC連接正常時,客戶端通過AC集中式認證後可以訪問網絡。在導航欄中選擇“概覽 > 客戶端”,可以查看到接入客戶端的詳細信息,顯示信息中authentication-mode字段顯示Central,表示由AC對該客戶端進行認證。
· AC和AP的連接出現故障後,原有的客戶端不會下線。如果有新的客戶端需要接入,可以使用AP本地認證上線。
· AP和AC恢複連接後,AP會強製所有客戶端下線,AC重新對客戶端進行認證後,客戶端才可接入,在導航欄中選擇“概覽 > 客戶端”,可以查看到重新接入客戶端的詳細信息,顯示信息中authentication-mode字段顯示Central。
某公司在AC上開啟本地認證模式,滿足以下需求:
· 無論AP和AC正常連接或是連接出現故障時,都使用AP對分支機構的客戶端進行遠程802.1X認證。
· 將認證服務器部署在AP側,保證分支機構和總部之間的網絡通信出現故障時,已接入的802.1X客戶端不會下線,可以繼續訪問本地資源。
dot1x authentication-method eap
radius scheme rad
primary authentication 192.168.100.254
primary accounting 192.168.100.254
key authentication simple 123456
key accounting simple 123456
user-name-format without-domain
domain cams
authentication default radius-scheme rad
authorization default radius-scheme rad
accounting default radius-scheme rad
保存配置文件,並將配置文件命名為map.cfg,並將配置文件上傳到AC存儲介質上。
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入AP新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“ap”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊<新建>按鈕,進入無線服務新建頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置無線服務名稱為“dot1x”。
· 選擇無線服務類型為“Crypto”。
步驟4:單擊<確定>按鈕完成操作。
創建無線服務後,直接進入配置無線服務界麵,如下圖所示,在認證模式下拉框中選擇“本地”。
步驟1:802.1X認證需要在“安全設置”部分進行如下配置,如下圖所示。
· 選中“加密類型”前的複選框,在加密類型下拉框中選擇“AES”,在安全IE下拉框中選擇“WPA2”。
· 選中“端口設置”前的複選框,在端口模式的下拉框中選擇“userlogin-secure-ext”方式。
· 選中“域名”前的複選框,在域名下拉框中選擇“cams”。注意,這裏選擇的強製認證域必須和AP配置文件中配置的ISP域保持一致。
· 在認證方法下拉框中選擇“EAP”。
步驟2:單擊<確定>按鈕完成操作。
步驟3:開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”,進入如下圖所示頁麵。
步驟4:選中“dot1x”前的複選框。
步驟5:單擊<開啟>按鈕完成操作。
(5) 開啟Remote AP,並將配置文件下載到AP
步驟1:在界麵左側的導航欄中選擇“AP > AP設置”,在列表中找到要進行配置的AP,單擊對應的圖標,進入“AP設置”頁麵。
步驟2:展開“高級設置”部分,如下圖所示頁麵。
· 設置配置文件為“map.cfg”。
· “開啟”Remote AP功能。
步驟3:單擊<確定>按鈕完成操作。
圖1-124 開啟Remote AP,並將配置文件下載到AP
(6) 綁定AP的射頻
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊無線服務“dot1x”對應的圖標,進入如下圖所示頁麵。
步驟3:選中“802.11n(2.4GHz)”前的複選框。
步驟4:單擊<綁定>按鈕完成操作。
圖1-125 綁定AP的射頻
步驟1:在導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
步驟2:在列表裏找到需要開啟的AP名稱及相應的射頻模式,選中“802.11n(2.4GHz)”前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
無論AP和AC正常連接或是連接出現故障時,都使用AP作為認證實體對分支機構的客戶端進行遠程802.1X認證。當AP和AC正常連接,在導航欄中選擇“概覽 > 客戶端”,可以查看到接入客戶端的詳細信息,顯示信息中authentication-mode 字段顯示Local,表示由AP對該客戶端進行認證。
某公司希望使用一個SSID同時實現集中轉發和本地轉發,為了滿足這個需求,可以通過部署策略轉發,具體要求如下:將不同的轉發策略應用到接入服務或用戶方案上,對匹配轉發策略中ACL的報文進行分類,並采用對應的轉發策略進行轉發。
在配置文件中必須包括ACL和User Profile的配置,內容如下:
rule 0 permit icmp icmp-type echo
acl ipv6 number 3001
rule 0 permit icmpv6 icmp6-type echo-request
undo user-profile aaa enable
user-profile aaa
wlan forwarding-policy us
user-profile aaa enable
在認證服務器上設置與AC交互報文時的共享密鑰為12345678;添加接入客戶端的用戶名及密碼,並確認下發用戶方案的名稱為aaa。(略)
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊“轉發策略”頁簽,進入轉發策略配置頁麵。
步驟3:單擊<新建>按鈕,進入轉發策略配置頁麵。
步驟3:創建名為st的轉發策略,配置轉發規則如下圖所示。
步驟4:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“無線服務 > 接入服務”。
步驟2:單擊“轉發策略”頁簽,進入轉發策略配置頁麵。
步驟3:單擊<新建>按鈕,進入轉發策略配置頁麵。
步驟3:創建名為us的轉發策略,配置轉發規則如下圖所示。
步驟4:單擊<確定>按鈕完成操作。
(3) 配置802.1x認證方式
可以參照“1.4.5 遠程802.1X認證配置舉例”,完成相關配置。
步驟1:在界麵左側的導航欄中選擇“AP > AP設置”,在列表中找到要進行配置的AP,單擊對應的圖標,進入“AP設置”頁麵。
步驟2:展開“高級設置”部分,設置配置文件為“ACL.cfg”。
步驟3:單擊<確定>按鈕完成操作。
步驟1:在界麵左側的導航欄中選擇“無線服務 > 接入服務”。
步驟2:在列表中找到要進行配置的無線服務,單擊對應的圖標,進入如下圖所示無線服務高級配置頁麵。
步驟3:選擇轉發模式為“基於轉發策略”。
步驟4:設置轉發策略的名稱為“st”。
步驟5:選擇報文格式為“802.3”。
步驟6:單擊<確定>按鈕完成操作。
步驟1:在導航欄中選擇“認證 > 用戶”。
步驟2:單擊“用戶方案”頁簽,進入用戶方案的顯示頁麵。
步驟3:單擊<新建>按鈕,進入新建用戶方案名稱的配置頁麵。
步驟4:單擊<確定>按鈕。
步驟5:在用戶方案的顯示頁麵中選中用戶方案前的複選框。
步驟6:單擊<使能>按鈕將選中的用戶方案使能。
· 一個使用IPv4地址的客戶端ping AC側的IP地址,該ICMP報文匹配到規則ACL 3000,由AC進行集中轉發。且在AP進行CAPWAP封裝前,AP會將802.11報文轉換為802.3格式。
· 一個使用IPv6地址的客戶端ping AC側的IP地址,該ICMPv6報文匹配到規則ACL 3001,由AP進行本地轉發。
無線Mesh網絡是一種新的無線局域網類型。與傳統的WLAN不同的是,無線Mesh網絡中的AP是無線連接的,而且AP間可以建立多跳的無線鏈路。
表2-1 無線Mesh網絡中概念
|
一個接入控製器可以控製和管理WLAN內所有的AP |
|
|
通過無線與MPP連接的,但是不可以接入Client的無線接入點 |
|
|
同時提供Mesh服務和接入服務的接入點 |
|
|
通過有線與AC連接的無線接入點 |
|
|
Mesh鏈路 |
由一係列Mesh連接級聯成的無線鏈路 |
無線Mesh技術使得管理員可以輕鬆的部署質優價廉的無線局域網。無線Mesh網絡的優點包括:
· 高性價比:Mesh網絡中,隻有MPP需要接入到有線網絡,對有線的依賴程度被降到了最低程度,省卻了購買大量有線設備以及布線安裝的投資開銷。
· 可擴展性強。Mesh網絡中AP之間能自動相互發現並發起無線連接建立,如果需要向網絡中增加新的AP節點,隻需要將新增節點安裝並進行相應的配置。
· 部署快捷:組建Mesh網絡,除MPP外的其它AP均不需要走線接入有線網絡,和傳統WLAN網絡相比,大大縮短組建周期。
· 應用場景廣。Mesh網絡除了可以應用於企業網、辦公網、校園網等傳統WLAN網絡常用場景外,還可以廣泛應用於大型倉庫、港口碼頭、城域網、軌道交通、應急通信等應用場景。
· 高可靠性。傳統WLAN網絡模式下,一旦某個AP上行有線鏈路出現故障,則該AP所關聯的所有客戶端均無法正常接入WLAN網絡。而Mesh網絡中各AP之間實現的是全連接,由某個Mesh AP至portal節點(有線網絡)通常有多條可用鏈路,可以有效避免單點故障。
無線Mesh網絡主要包括兩種應用,一種是普通環境裏無線Mesh的組網,一種是地鐵隧道裏無線Mesh的組網。
如上圖所示,兩個Mesh網絡由一個AC管理,每個Mesh網絡至少有一個MPP需要與AC建立有線連接。一個MP啟動後,它首先掃描附近的網絡,然後與所有檢測到的MP建立臨時連接。通過這種連接,MP可以與AC聯係,並下載配置。完成配置文件的下載後,MP會與享有相同預共享密鑰的鄰居建立安全的連接。
(2) 擁有兩個Radio的FIT MP,兩個Radio分別在不同的Mesh網絡
圖2-3 兩個Radio分別在不同的Mesh網絡
如上圖所示,為了使Mesh 1和Mesh 2網絡不產生幹擾,可以采用一個擁有兩個Radio的MP,兩個Radio分別在不同的Mesh網絡。在這種組網裏,兩個Mesh網絡必須由同一個AC管理。
(3) 擁有兩個Radio的FIT MP,兩個Radio在相同的Mesh網絡
如圖2-4所示,MP 1的Radio 1通過MPP加入Mesh網絡,此時在MP 1上,隻有Radio 1能提供下遊MP的接入功能。Radio 2並不能自動接入這個Mesh網絡,提供Mesh服務。
圖2-4 兩個Radio分別在不同的Mesh網絡
地鐵是現代城市裏不可缺少的交通工具。在一個地鐵係統裏,控製信息和多媒體信息需要實時的傳遞給快速移動的列車,從而有效的控製列車的運行,並且為乘客提供多種網絡服務。
如下圖所示,一個地鐵無線Mesh網絡裏,車載MP和軌旁MP均采用Fit MP,受AC集中管理.多個軌旁MP沿軌道進行部署。車載MP不停掃描新的軌旁MP,並選擇信號質量最好的多個軌旁MP與之建立Mesh備份鏈路,主Mesh連接用於車載MP與軌旁有線網絡之間的數據傳輸,Mesh備份鏈路連接用於Mesh連接的切換備份。
圖2-5 地鐵無線mesh網絡部署
為了實現地鐵無線Mesh網絡的部署,H3C開發了一種私有協議,叫做移動鏈路切換協議(Mobile Link Switch Protocol)。它負責在列車移動過程中的活躍鏈路切換,並保證報文不丟失。車載MP和軌旁MP之間用於鏈路建立和通信的下層協議遵循最新的IEEE 802.11s標準。車載MP不需要擔當認證者的角色。
由於傳輸媒質的開放性,無線網絡很容易遭受非法攻擊,Mesh網絡的多跳性帶來了新的安全挑戰,無線Mesh安全成為WLAN Mesh網絡的重要組成部分,它主要包括用於加密的算法,密鑰的管理和分發等內容。目前提供PSK+AES-CCMP的方式進行Mesh安全連接。
為了保證數據傳輸,在任何時間點,一個車載MP都要有一條活躍鏈路。MLSP就是用來在列車移動過程中,完成創建和切換鏈路任務的。如下圖所示,當列車移動時,車載MP會不斷建立新的活躍鏈路。
圖2-6 MLSP示意圖
· 活躍鏈路:傳遞來自或者到達車載MP的所有數據。
· 備份鏈路:不傳遞數據,但是它具備成為活躍鏈路的所有條件。
(1) 鏈路切換時間小於30毫秒。
(2) 在高功率導致設備飽和的情況下,MLSP仍能正常工作。
MLSP為車載MP建立多條鏈路,從而提供鏈路備份,確保良好的網絡性能,並增強網絡的健壯性。
MLSP使用下麵四個參數來決定是否進行活躍鏈路切換:
· 鏈路建立RSSI/鏈路保持RSSI:用於建立和保持一條鏈路的最小RSSI值。一條鏈路的RSSI值必須不小於這個值,才能被建立和保持。因此這個值必須要保證,否則錯誤率會很高,鏈路性能會變差。
· 鏈路切換閾值:如果一條新鏈路的RSSI值比當前活躍鏈路的RSSI高出的部分大於鏈路切換閾值時,則進行鏈路切換。這種機製用來避免頻繁的鏈路切換。
· 鏈路保持時間:一條活躍鏈路在鏈路保持時間內始終保持UP,即便在此期間,鏈路切換閾值已經到達。這種機製用來避免頻繁的鏈路切換。
· 鏈路飽和RSSI:如果活躍鏈路上的RSSI超過鏈路飽和RSSI,會進行鏈路切換。
一個車載MP會以較高的速率發送探尋報文,主動掃描附近的軌旁MP,並基於收到的探尋回應,建立鄰居列表。
如果來自某個軌旁MP的RSSI大於鏈路建立RSSI,車載MP會與其建立一條備份鏈路。
車載MP基於如下規則,在備份鏈路中選擇一條活躍鏈路:
(2) 在鏈路保持時間內,一般不進行活躍鏈路切換,但是以下兩種情況除外:
· 活躍鏈路上的RSSI超過了鏈路飽和RSSI。
· 活躍鏈路上的RSSI小於鏈路保持RSSI。
(3) 當鏈路保持計時器超時後,如果任何一條備份鏈路的RSSI比當前活躍鏈路的RSSI高出的部分都沒有超過鏈路切換閾值,則不進行鏈路切換。
· 一條備份鏈路的RSSI比當前活躍鏈路的RSSI高出的部分,超過鏈路切換閾值。
· 待切換備份鏈路的RSSI沒有超過鏈路飽和RSSI。
(5) 正常情況下,如果所有鏈路的RSSI都低於鏈路保持RSSI,所有鏈路都會斷掉。但是,為了在惡劣環境下保證業務的可用性,即便是上述情況發生,活躍鏈路也不會被切斷。
Mesh提供了以下三種拓撲。通過在每個AP的射頻模式下配置鄰居AP的MAC地址來實現,詳細配置請參見“2.2.6 配置鄰居信息”。
在點到點的組網環境中,用戶可以預先指定與其相連的鄰居MAC地址,確定需要建立的指定Mesh鏈路。
在點到多點的組網環境中,所有的連接都要通過中心橋接設備進行數據轉發,如下圖所示,所有的局域網的數據傳輸都要通過AP 1。
這種自拓撲檢測與橋接可以檢測到其它局域網設備,並且形成鏈路。該網絡拓撲容易引起網絡環路,使用時可以結合Mesh路由選擇性地阻塞冗餘鏈路來消除環路,在Mesh鏈路故障時還可以提供備鏈路備份的功能。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽,進入如下圖所示Mesh服務配置頁麵。
圖2-10 Mesh服務配置頁麵
(3) 單擊<新建>按鈕,進入如下圖所示Mesh服務新建頁麵。
圖2-11 Mesh服務新建頁麵
(4) 配置Mesh服務,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-2 Mesh服務的詳細配置
|
Mesh服務名稱 |
新建Mesh服務名稱 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽。
(3) 在列表中找到要進行配置的Mesh服務,單擊對應的圖標,進入如下圖所示的配置頁麵。
圖2-12 Mesh服務新建頁麵
(4) 配置Mesh服務的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-3 Mesh服務的詳細配置
|
Mesh服務名稱 |
顯示選擇的Mesh服務名稱 |
|
VLAN(Tagged) |
添加Tagged的VLAN ID,VLAN(Tagged)表示端口成員發送該VLAN報文時帶Tag標簽 |
|
VLAN(Untagged) |
添加Untagged的VLAN ID,VLAN(Untagged)表示端口成員發送該VLAN報文時不帶Tag標簽 |
|
在缺省情況下,所有端口的缺省VLAN均為VLAN 1,設置新的缺省VLAN後,VLAN 1為Untagged的VLAN ID |
|
|
刪除已有Tagged和Untagged的VLAN ID |
|
|
Mesh路由 |
Mesh網絡路由選擇算法 · 關閉:關閉Mesh網絡路由選擇算法 · 開啟:開啟Mesh網絡路由選擇算法 缺省情況下,Mesh網絡路由選擇功能處於開啟狀態 |
|
· 若類型為字符串,則為8~63個字符的可顯示字符串 · 若類型為十六進製數,則為長度是64位的合法十六進製數 |
|
(1) 在導航欄中選擇“無線服務 > Mesh服務”。
(2) 在列表裏查找到需要綁定的Mesh服務,單擊Mesh服務對應的圖標,進入如圖所示綁定Mesh服務頁麵。
(4) 單擊<綁定>按鈕完成操作。
圖2-13 綁定AP的射頻
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽,進入如下圖所示Mesh服務配置頁麵。
(3) 選中需要開啟的Mesh服務前的複選框。
(4) 單擊<開啟>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh服務”頁簽,進入Mesh服務配置頁麵。
(3) 點擊指定的Mesh服務後,可以查看相關的詳細信息。
圖2-15 Mesh服務的詳細信息
表2-4 Mesh服務顯示信息描述表
|
當前的Mesh服務號 |
|
|
Mesh服務名稱 |
|
|
綁定的Mesh接口 |
|
|
MKD服務的狀態: · Enable:MKD服務處於開啟狀態 · Disable:MKD服務處於關閉狀態 |
|
|
Mesh服務的狀態: · Enable:Mesh服務處於開啟狀態 · Disable:Mesh服務處於關閉狀態 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽,進入如下圖所示Mesh策略配置頁麵。
圖2-16 Mesh策略配置頁麵
(3) 單擊<創建>按鈕,進入如下圖所示Mesh策略新建頁麵。
圖2-17 Mesh策略新建頁麵
(4) 配置Mesh策略的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-5 Mesh策略的詳細配置
|
Mesh策略名稱 |
新建Mesh策略名稱 新建的Mesh策略會繼承缺省default_mp_plcy中的策略內容 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽。
(3) 在列表中找到需要進行配置的Mesh策略,單擊對應的圖標,進入如下圖所示的配置頁麵。
圖2-18 Mesh策略配置頁麵
(4) 配置Mesh策略的信息,詳細配置如下表所示。
(5) 單擊<確定>按鈕完成操作。
表2-6 Mesh策略的詳細配置
|
Mesh策略 |
顯示選擇的Mesh策略名稱 |
|
在配置軌旁AP的MP策略時,需要關閉鏈路發起功能 |
|
|
一條活躍鏈路在鏈路保持時間內始終保持UP,即便在此期間,鏈路切換閾值已經到達。這種機製用來避免頻繁的鏈路切換 |
|
|
最大Mesh鏈路數 |
在建立Mesh時,如果在AP上建立的Mesh鏈路大於2時,需要根據實際鏈路數進行設置 |
|
用於建立和保持一條鏈路的最小RSSI值。一條鏈路的RSSI值必須不小於這個值,才能被建立和保持。因此這個值必須要保證,否則錯誤率會很高,鏈路性能會變差 |
|
|
如果一條新鏈路的RSSI值比當前活躍鏈路的RSSI高出的部分大於鏈路切換閾值時,則進行鏈路切換。這種機製用來避免頻繁的鏈路切換 |
|
|
如果活躍鏈路上的RSSI超過鏈路飽和RSSI,芯片組將飽和,進行鏈路切換 |
|
|
· 固定方式:采用的速率為固定值,其值為當前Radio接口速率集的最大值 · 實時更新方式:采用的速率會根據鏈路質量(RSSI)實時變化,即速率值隨Radio接口下的信號強度(RSSI)而變化 |
|
|
MLSP協議負責活躍鏈路的切換,該協議僅用於地鐵Mesh網絡部署環境 |
|
|
選中“MLSP代理設備地址“前的複選框,指定被代理設備的MAC地址 |
|
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽。
(3) 在列表中找到要進行配置的Mesh策略,單擊對應的圖標。
(5) 單擊<綁定>按鈕完成操作。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh策略”頁簽,進入如下圖所示Mesh策略配置頁麵。
(3) 點擊指定的Mesh策略後,可以查看相關的詳細信息。
圖2-19 Mesh策略的詳細信息
表2-7 Mesh策略顯示信息描述表
|
Mesh策略名 |
|
|
Mesh鏈路發起是否開啟 |
|
|
MLSP的狀態: · Enable:MLSP處於開啟狀態 · Disable:MLSP處於關閉狀態 |
|
|
· Enable:開啟認證者角色 · Disable:關閉認證者角色 |
|
|
Mesh策略允許的最大鏈路數 |
|
|
選擇計算COST值的方式: · fixed:Mesh接口的速率為固定值 · real-time:Mesh接口的速率為根據鏈路質量(RSSI)實時變化的值 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh全局設置”頁簽,進入如下圖所示Mesh全局設置頁麵。
圖2-20 Mesh基本設置頁麵
(3) 配置Mesh基本設置的信息,詳細配置如下表所示。
(4) 單擊<確定>按鈕完成操作。
表2-8 Mesh基本設置的詳細配置
|
· 配置的MAC地址必須沒有被使用,並且有正確的廠商標識部分 · 不能把AC的MAC地址配置為MKD-ID |
|
|
Mesh信道選擇選項: · 手動:開啟手動優化Mesh網絡信道功能。選擇手動方式後,在下一次校準間隔周期到來時,若沒有手動指定需要優化的Mesh網絡,則AC會刷新所有管理Mesh網絡的射頻信息,顯示在Mesh信道優化操作頁的射頻信息頁簽中,以供用戶查看、選擇需要手動優化信道的Mesh網絡;若選擇了需要手動優化的Mesh網絡,則AC執行信道優化、調整操作。手動方式隻對選擇的Mesh網絡執行一次信道調整,如果下次還需要進行Mesh信道調整,則必須手動重新選擇 · 自動:開啟自動優化Mesh網絡信道功能。選擇自動方式將對Mesh網絡內所有采用自動信道方式建立的Mesh網絡起作用,每個校準間隔周期後會進行一次信道優化,如果優化出更好的信道,將會在Mesh網絡中進行信道調整 · 關閉:關閉Mesh網絡信道優化功能,Mesh網絡將不再進行信道優化,並在下一個校準間隔周期,Mesh信道優化操作頁的射頻信息和信道切換記錄將被清除 缺省情況下,Mesh網絡信道優化功能處於關閉狀態
開啟Mesh網絡的手動或自動信道調整功能前,必須保證Mesh網絡中選擇auto信道模式。相關配置請參見“射頻” |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh全局設置”頁簽,進入如下圖所示Mesh Portal服務配置頁麵。
圖2-21 Mesh Portal服務配置頁麵
(3) 選中需要開啟Mesh Portal服務的AP名稱前的複選框。
(4) 單擊<開啟>按鈕完成操作。
可以通過以下兩種方式完成Mesh信道配置。
· 無論是手工指定信道或是使用自動信道選擇方式配置Mesh的工作信道,隻要有AP在工作信道上檢測到雷達信號,該AP和與其建立Mesh鏈路的其它所有AP都會將工作信道切換到其它可用信道上。
· 部分國家802.11a頻段的可用信道大部分為雷達信道,因此如果要在802.11a頻段上建立Mesh鏈路,建議為AP配置使用自動信道選擇方式建立Mesh網絡。
(1) 在界麵左側的導航欄中選擇“射頻 > 射頻設置”,選擇AP後,點擊對應操作欄中的圖標
,進入如下圖所示射頻配置頁麵。
(3) 單擊<確定>按鈕完成操作。
在MAP和MPP上都需要手工指定射頻的工作信道,並且工作信道必須保持一致。
在上圖所示頁麵中,設置MPP和MAP上射頻的信道為auto。MPP和MAP間的射頻建立WDS鏈接時,自動協商工作信道。
當MPP和MAP的射頻配置為auto信道時,自動選擇的工作信道為非雷達信道。
(1) 在界麵左側的導航欄中選擇“射頻 > 射頻設置”,進入如下圖所示射頻設置頁麵。
(3) 單擊<開啟>按鈕完成操作。
(1) 在導航欄中選擇“無線服務 > Mesh服務”。
(2) 在列表裏查找到需要綁定的Mesh服務,單擊對應的圖標,進入如圖2-13所示頁麵。
(3) 在列表裏選擇需要配置的射頻,單擊對應的
圖標,進入如下圖所示鄰居MAC地址配置頁麵。
(5) 單擊<確定>按鈕完成操作。
|
鄰居MAC地址 |
通過在每個AP的射頻模式下配置鄰居AP的Radio的MAC地址來實現Mesh網絡的三種拓撲,關於Mesh網絡拓撲的介紹請參見“2.1.6 Mesh網絡拓撲” |
|
配置與鄰居創建Mesh鏈路的STP cost值,如果不配置,則由STP自動計算該Mesh鏈路的cost值 |
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh信道優化操作”頁簽,進入Mesh信道優化操作頁麵。
(3) 點擊指定的Mesh網絡,單擊“射頻信息”頁簽,可以進入如下圖所示頁麵查看射頻信息。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh信道優化操作”頁簽,進入Mesh信道優化操作頁麵。
(3) 點擊指定的Mesh網絡,選擇“信道切換記錄”頁簽,可以查看信道切換記錄。
圖2-26 Mesh信道切換記錄
· 如果將Mesh全局設置頁麵中的動態信道選擇設置為“關閉”方式或“自動”方式,那麼進入該頁麵後,“信道優化”按鈕為灰顯,即不可操作。
· 如果選用手動優化方式,每次優化時需要先選擇需要優化的Mesh網絡,再單擊<信道優化>按鈕,完成手動優化操作。自動方式下信道每個校準間隔進行一次信道優化,手動方式僅進行一次信道優化。
Mesh信道切換記錄信息的詳細顯示如下表所示。
表2-10 Mesh信道切換記錄信息
|
顯示Mesh網絡AP的名稱 |
|
|
顯示AP的射頻單元 |
|
|
顯示日期(年-月-日) |
|
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh鏈路監控”頁簽,進入如下圖所示Mesh鏈路監控頁麵。
圖2-27 查看Mesh鏈路監控
通過查看Mesh鏈路監控頁麵,管理者可以實時監控Mesh鏈路的狀態。
(1) 在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
(2) 單擊“Mesh鏈路測試”頁簽,進入如下圖所示Mesh鏈路測試頁麵。
圖2-28 查看Mesh鏈路測試頁麵
(3) 選中需要測試的Mesh鏈路前的複選框。
(4) 單擊<開始>按鈕完成操作。
· 要求在MAP和MPP之間建立Mesh鏈路,鏈路之間使用802.11n(5GHz)協議。
· 在MAP上配置802.11n(2.4GHz)接入服務,使客戶端接入無線網絡。
圖2-29 普通無線Mesh配置組網圖
(1) 建立MPP和MAP之間的Mesh鏈路,按如下步驟配置:
· 創建MAP和MPP:在界麵左側的導航欄中選擇“AP > AP設置”,單擊<新建>按鈕,創建MAP和MPP,配置步驟請參見“(1)創建MAP和MPP”。
· 配置Mesh服務:新建Mesh服務,配置預共享密鑰後,將Mesh服務和AP相綁定後開啟Mesh服務,配置步驟請參見“(2)新建Mesh服務”。
· 配置Mesh策略:Mesh策略缺省存在。在需要定製Mesh策略的情況下,可以新建Mesh策略,並將Mesh策略和相應的AP綁定,配置步驟請參見“(5) 配置Mesh策略(缺省情況下,缺省的default_mp_plcy策略已經存在,此步驟可選)”。
· Mesh全局配置:配置MKD-ID(缺省存在),並對MPP開啟Mesh Portal服務,配置步驟請參見“(6)Mesh全局配置”。
· 手工配置相同的信道,並開啟射頻,配置步驟請參見“(7)手工配置相同的信道,並開啟射頻”。
(2) 在MAP上配置802.11n(2.4GHz)接入服務,使客戶端接入無線網絡:
相關配置請參見“1.3 無線接入配置舉例”,可以完全參照相關舉例完成配置。此處不再重複。
(1) 創建MAP和MPP
步驟1:在導航欄中選擇“AP > AP設置”。
步驟2:單擊<新建>按鈕,進入新建AP頁麵。
步驟3:進行如下配置,如下圖所示。
· 設置AP名稱為“map”。
· 選擇型號為“WA3628i-AGN”。
· 選擇序列號方式為“手動”,並輸入AP的序列號。
步驟4:單擊<確定>按鈕完成操作。
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:單擊<新建>按鈕,進入如如下圖所示新建Mesh服務頁麵。
步驟3:設置Mesh服務名稱為“outdoor”。
步驟4:單擊<確定>按鈕完成操作。
完成Mesh服務配置頁麵後,默認進入如下圖所示Mesh服務配置頁麵。
步驟5:選擇字符串方式,設置預共享密鑰為“12345678”。
步驟6:單擊<確定>按鈕完成操作。
(3) 將Mesh服務和射頻綁定
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:在列表中單擊Mesh服務“outdoor”對應的圖標,進入如下圖所示的配置頁麵。
步驟3:選中需要綁定的射頻前的複選框。
步驟4:點擊<綁定>按鈕完成操作。
圖2-33 將Mesh服務和AP相綁定
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:選中需要開啟的Mesh服務前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
(5) 配置Mesh策略(缺省情況下,缺省的default_mp_plcy策略已經存在,此步驟可選)
Mesh策略缺省存在。在需要定製Mesh策略的情況下,可以新建Mesh策略,並將Mesh策略和相應的射頻綁定。此例中使用缺省的default_mp_plcy策略。
(6) Mesh全局配置
步驟1:設置MKD-ID。在界麵左側的導航欄中選擇“無線服務 > Mesh服務”,單擊“Mesh全局設置”頁簽,進入Mesh全局設置頁麵,可以對MKD-ID進行設置。(缺省情況下,MKD-ID已經存在,此步驟可選)。
步驟2:對MPP開啟Mesh Portal服務。選中與AC有線連接的MPP前的複選框。
步驟3:單擊<開啟>按鈕完成操作。
步驟1:在界麵左側的導航欄中選擇“射頻 > 射頻設置”。
步驟2:在列表中選擇需要配置的map,單擊對應的圖標,進入射頻設置頁麵。
步驟3:在信道下拉框中選擇使用的信道153。
步驟4:單擊<確定>按鈕完成操作。
按此方法指定MPP的工作信道。需要注意的是,在MAP和MPP上選用的信道應該保持一致。
步驟5:開啟射頻。在界麵左麵的導航欄中選擇“射頻 > 射頻設置”,進入射頻設置頁麵。
步驟6:選中需要開啟的MAP和MPP射頻前的複選框。
步驟7:單擊<開啟>按鈕完成操作。
(1) MAP和MPP之間的Mesh鏈路已經建立,可以相互ping通。
(2) 配置802.11n(2.4GHz)接入服務後,客戶端可以通過Mesh鏈路接入網絡。
· 如下圖所示,所有軌旁MP與一個AC相連。
· 要求配置WLAN Mesh後,車載MP能夠與軌旁MP正常建立連接。
圖2-38 地鐵無線Mesh配置組網圖
地鐵無線Mesh配置和普通無線Mesh配置基本相同,但需要注意以下幾點:
(1) 需要定製軌旁AP(對應圖中的Rail MP)Mesh策略:
· 需要關閉鏈路發起功能,詳細配置可參見“2.2.2 配置Mesh策略”。
· 需要開啟Mesh Portal服務,詳細配置可參見“2.2.3 2. 開啟Mesh Portal服務”。
(2) 需要定製車載AP(對應圖中的Train MP)Mesh策略:
· 需要開啟MLSP協議。
· ]需要配置MLSP代理的VLAN信息以及MAC地址。
· 需要關閉認證者角色,詳細配置可參見“2.2.2 配置Mesh策略”。
· 設置允許建立的最大Mesh鏈路數(缺省值為2,請根據實際鏈路數進行設置)。詳細配置可參見“2.2.2 配置Mesh策略”。
地鐵無線Mesh和普通無線Mesh在配置上的差別體現在軌旁AP和車載AP的Mesh策略上,其它配置步驟與普通無線Mesh基本相同,具體配置步驟請參見“2.3.1 3. 配置AC”。
要求在AP 1做為MPP,分別和AP 2、AP 3、AP 4、AP 5建立Mesh鏈路。
圖2-39 Mesh配置組網圖
Mesh配置和普通無線Mesh配置基本相同,但需要注意以下幾點:
· 在每個AP的射頻模式下配置鄰居AP的MAC地址,在AP 1上需要同時配置AP 2~AP 5的MAC地址,在AP 2~AP 5上隻需要配置AP 1的MAC地址。
· 設置允許建立的最大Mesh鏈路數(缺省值為2,需要根據實際鏈路數進行設置,此列中應設為4)。詳細配置可參見“2.2.2 配置Mesh策略”。
Mesh配置和普通無線Mesh配置相同,具體配置步驟請參見“2.3.1 3. 配置AC”。
· 要求在MAP和MPP之間建立Mesh鏈路,使用自動信道選擇方式,在鏈路之間使用802.11n(5GHz)協議。
· 開啟手動優化Mesh網絡信道功能,當Mesh網絡的當前工作信道質量變差時,手動調整Mesh網絡信道。
圖2-40 普通無線Mesh配置組網圖
Mesh配置和普通無線Mesh配置基本相同,但需要注意以下幾點:
· 在每個AP提供Mesh服務的射頻模式下配置的信道模式為自動信道。
· 在每個AP提供Mesh服務的射頻模式下不要配置無線服務。
Mesh配置和普通無線Mesh配置相同,具體配置步驟請參見“2.3.1 3. 配置AC”。在完成上麵基本配置之後,要進行如下操作。
(1) 設置校準間隔(缺省情況下,存在缺省的校準間隔,此步驟可選)
步驟1:在界麵左側的導航欄中選擇“射頻 > 功率信道優化”。
步驟2:單擊“參數設置”頁簽,進入參數設置頁麵。
步驟3:輸入校準間隔時間為3。
步驟4:單擊<確定>按鈕完成操作。
圖2-41 Mesh網絡信道校準間隔
(2) 配置Mesh信道調整方式
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:單擊“Mesh全局設置”頁簽,進入Mesh服務配置頁麵。
步驟3:在動態信道選擇項中,選中“手動”單選框。
步驟4:單擊<確認>按鈕完成操作。
(3) 執行Mesh信道優化操作
步驟1:在界麵左側的導航欄中選擇“無線服務 > Mesh服務”。
步驟2:單擊“Mesh信道優化操作”頁簽,進入Mesh信道優化操作頁麵。
步驟3:選中Mesh網絡“outdoor”前的複選框。
步驟4:單擊<信道優化>按鈕完成操作。
圖2-43 Mesh信道優化操作手動優化
在下一個信道優化校準間隔時間到達後,如果發生信道切換,可以查看到信道切換記錄。
在界麵左側的導航欄中選擇“無線服務 > Mesh服務”,單擊“Mesh信道優化操作”頁簽,選擇“信道切換記錄”頁簽,點擊指定的Mesh網絡,可以查看到如下圖所示的信道切換記錄。
圖2-44 Mesh信道切換記錄
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
