- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-WLAN漫遊中心配置
本章節下載: 02-WLAN漫遊中心配置 (284.57 KB)
WLAN漫遊中心是無線Portal用戶漫遊信息以及無線用戶地址信息的管理中心,用於支持無線Portal用戶漫遊以及WLAN地址安全。
· 無線Portal用戶漫遊是指,Portal用戶從一台AC漫遊到另一台AC,無須重新進行認證即可在新AC上繼續訪問原來的網絡資源。關於Portal支持AC間漫遊的詳細介紹,請參見“用戶接入與認證配置指導”中的“Portal”。
· WLAN地址安全是指,WLAN漫遊中心與Client漫遊中心相配合,對上線用戶的MAC地址和IP地址進行檢查,阻止仿冒用戶上線。關於Client漫遊中心的詳細介紹,請參見“WLAN漫遊配置指導”中的“Client漫遊中心”。
WLAN漫遊中心在網絡中的位置如圖1-1所示。
圖1-1 無線Portal用戶AC間漫遊示意圖
具體工作流程如下:
(1) Client在AC 1上第一次上線。
AC 1首先向WLAN漫遊中心發送用戶查詢報文,WLAN漫遊中心未查到用戶,會給AC 1發送查詢回應報文通知沒有查到用戶,此時Client在AC 1上進行Portal認證流程,Portal認證成功後,AC 1會向WLAN漫遊中心發送上線報文通知用戶已經上線,上線報文中會攜帶AAA服務器下發的授權信息。WLAN漫遊中心收到上線報文後,會建立一個用戶表項,包含用戶的IP地址、MAC地址、上線接入設備列表、授權信息、漫遊信息,然後向AC 1發送上線回應報文。
(2) Client漫遊到AC 2。
Client從AC 1漫遊到AC 2時,AC 2首先會向WLAN漫遊中心發送用戶查詢報文,WLAN漫遊中心查詢到用戶,會給AC 2發送查詢回應報文通知查到用戶,回應報文中攜帶Client在AC 1上線獲得的授權信息。AC 2收到查詢回應報文後,直接允許用戶上線,不再進行Portal認證。Client在AC 2上線完成後,AC 2會向WLAN漫遊中心發送上線報文。WLAN漫遊中心收到上線報文後,更新用戶表項中的漫遊信息,並向AC 2發送上線回應報文。
(3) Client下線。
¡ Client主動下線
無論Client漫遊到網絡中的任何設備,Client會在第一次上線的設備AC 1上開始下線流程。AC 1刪除用戶,同時向WLAN漫遊中心發送用戶下線報文,WLAN漫遊中心收到用戶下線報文後,會將AC 1從用戶表項中的上線設備列表中刪除,並向上線設備列表中的其他設備發送用戶下線報文。AC 2收到WLAN漫遊中心發送的用戶下線報文,刪除Portal用戶表項,並向WLAN漫遊中心發送用戶下線回應報文。
¡ Client被強製下線
當Client在AC 2上被強製下線時,AC 2會向WLAN漫遊中心發送用戶下線報文,WLAN漫遊中心收到用戶下線報文後,會將AC 2從用戶表項中的上線設備列表中刪除,並向AC 2發送用戶下線回應報文。
導致用戶強製下線的原因主要包括:
- 管理員手工執行強製下線命令行。
- AP下線。
- 用戶的DHCP租約到期。
- AAA授權屬性中的用戶閑置切斷時間或用戶會話超時時間超時。
- 在AAA服務器上直接下線。
如圖1-2所示組網中,一台AC作為WLAN漫遊中心,根據Client漫遊中心提供的信息建立用戶MAC地址表項和IP地址表項以及用戶黑名單表項,並向Client漫遊中心提供查詢服務;另一台AC作為Client漫遊中心,用來配置WLAN地址安全功能,對仿冒用戶進行識別並拒絕仿冒用戶上線。
圖1-2 WLAN地址安全組網示意圖
WLAN地址安全的具體工作流程如下:
(1) Client漫遊中心收到Client上線通知後,查詢本地是否存在對應的MAC地址表項和IP地址表項:
¡ 若不存在,則向WLAN漫遊中心發送衝突查詢報文:
- 如果WLAN漫遊中心未查詢到衝突,則向Client漫遊中心回應檢查通過報文,WLAN漫遊中心和Client漫遊中心會生成MAC地址表項和IP地址表項,然後對Client開始計費。
- 如果WLAN漫遊中心查詢到衝突,則檢查仿冒黑名單。如果原用戶和仿冒用戶都在或都不在仿冒名單裏,則向Client漫遊中心發送回應報文,Client漫遊中心會將兩者加入本地黑名單,拒絕兩者上線,如果隻有一個在仿冒名單裏,則拒絕仿冒名單裏的用戶上線。
¡ 若存在,則執行以下流程:
- 如果查詢到對應的IP地址表項,則判斷用戶名是否相同:用戶名相同,則會把之前上線的Client踢下線,更新本地MAC地址表項和IP地址表項,並通知WLAN漫遊中心更新相關表項,同時把之前的MAC地址加入MAC地址黑名單。用戶名不相同,則會把兩個都加入MAC地址黑名單,都會踢下線,在生存時間內都不允許上線。
- 如果查詢到對應的MAC地址表項,則去WLAN漫遊中心查詢手動配置的地址仿冒用戶黑名單表項,並將黑名單中的用戶踢下線。當WLAN漫遊中心查詢到對應的MAC地址表項時會通知本地查詢結果,並自動生成一個用戶黑名單,用戶黑名單包含了用戶名和MAC地址,在表項老化之前會拒絕仿冒用戶接入。
(2) 當Client的IP地址發生變化時,會再次觸發上述查詢流程。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
不支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
不支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
不支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
不支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
WX3508H不支持 WX3510H支持 WX3520H支持 WX3520H-F支持 WX3540H支持 |
|
WX5500E係列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0支持 EWPXM1WCME0支持 LSQM1WCMX20不支持 LSUM1WCMX20RT不支持 LSQM1WCMX40支持 LSUM1WCMX40RT支持 EWPXM2WCMD0F不支持 EWPXM1MAC0F支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
不支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
· 指定Portal漫遊中心或Client漫遊中心的IP地址和UDP端口號
· (可選)配置WLAN漫遊中心接收響應報文的超時時間
· (可選)配置WLAN漫遊中心發送用戶下線報文的最大嚐試次數
· 指定Portal漫遊中心或Client漫遊中心的IP地址和UDP端口號
· (可選)配置WLAN漫遊中心接收響應報文的超時時間
· (可選)配置WLAN地址安全表項的老化時間
· (可選)配置地址仿冒用戶黑名單
Portal用戶AC間漫遊時,漫入和漫出的AC必須都開啟Portal漫遊中心功能且組網中有一台AC開啟WLAN漫遊中心功能,Portal用戶才能在AC間漫遊。關閉WLAN漫遊中心功能,會清除所有無線Portal用戶信息。
一個網絡中隻能配置一台AC作為WLAN漫遊中心。
(1) 進入係統視圖。
system-view
(2) 創建WLAN漫遊中心,並進入WLAN漫遊中心視圖。
wlan roaming-center
(3) 開啟WLAN漫遊中心功能。
roaming-center enable
缺省情況下,WLAN漫遊中心功能處於關閉狀態。
WLAN漫遊中心上可以指定與Portal漫遊中心或Client漫遊中心進行報文交互的IP地址和UDP端口號。未在WLAN漫遊中心上指定Portal漫遊中心或Client漫遊中心的IP地址和UDP端口號時,WLAN漫遊中心會處理所有Portal漫遊中心或Client漫遊中心發送的報文,允許所有Portal漫遊中心或Client漫遊中心接入,指定了Portal漫遊中心或Client漫遊中心的IP地址後,隻有指定的Portal漫遊中心或Client漫遊中心可以接入,未指定的Portal漫遊中心或Client漫遊中心不允許接入,以防止非法設備接入對網絡造成惡意攻擊。
WLAN漫遊中心的UDP端口號需要和Portal漫遊中心或Client漫遊中心視圖下配置的UDP端口號保持一致。
有Portal用戶在線時,修改WLAN漫遊中心的UDP端口號,可能會導致Portal漫遊中心和WLAN漫遊中心數據不同步,從而使用戶漫遊失敗,此時用戶需要重新進行Portal認證才能上線。
修改WLAN漫遊中心的UDP端口號時,建議先關閉WLAN漫遊中心功能,再重新開啟,防止用戶數據殘留。
(1) 進入係統視圖。
system-view
(2) 進入WLAN漫遊中心視圖。
wlan roaming-center
(3) 指定WLAN漫遊中心與Portal漫遊中心或Client漫遊中心交互報文的IP地址。
control-access { bas-ip ipv4-address | bas-ipv6 ipv6-address }
缺省情況下,未指定與Portal漫遊中心或Client漫遊中心交互報文的IP地址。
(4) 指定WLAN漫遊中心與Portal漫遊中心或Client漫遊中心交互報文的UDP端口號。
port port-number
缺省情況下,與Portal漫遊中心或Client漫遊中心交互報文的UDP端口號為1088。
在Portal用戶AC間漫遊組網中,Portal用戶在下線時會通知所在的Portal漫遊中心,然後由該Portal漫遊中心通知WLAN漫遊中心,再由WLAN漫遊中心發送用戶下線報文通知其它Portal漫遊中心,其它Portal漫遊中心收到報文後需要在超時時間內回複響應報文。若WLAN漫遊中心在超時時間內未收到響應報文且超過Portal漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數,則會刪除超時定時器。
在WLAN地址安全組網中,WLAN漫遊中心會給Client漫遊中心發送MAC地址表項和IP地址表項老化查詢請求報文,如果在超時時間內未收到響應報文,則MAC地址表項和IP地址表項會老化。
(1) 進入係統視圖。
system-view
(2) 進入WLAN漫遊中心視圖。
wlan roaming-center
(3) 配置WLAN漫遊中心接收響應報文的超時時間。
response-timeout timeout
缺省情況下,WLAN漫遊中心接收響應報文的超時時間為3秒。
Portal用戶下線時,WLAN漫遊中心會向該用戶上線的Portal漫遊中心以外的其它Portal漫遊中心發送用戶下線報文,其它Portal漫遊中心收到報文後會發送響應報文,如果WLAN漫遊中心未在超時時間(由response-timeout配置)內收到響應報文,會按照配置的最大嚐試次數重新發送用戶信息報文。如果達到最大嚐試次數後,WLAN漫遊中心仍未收到響應報文,則不會刪除用戶信息。
(1) 進入係統視圖。
system-view
(2) 進入WLAN漫遊中心視圖。
wlan roaming-center
(3) 配置WLAN漫遊中心發送用戶下線報文的最大嚐試次數。
retry retries
缺省情況下,WLAN漫遊中心發送用戶下線報文的最大嚐試次數為5次。
設備開啟WLAN地址安全功能後,會檢查從無線服務模板下接入的用戶是否存在MAC地址和IP地址仿冒的問題,如果判定用戶地址被仿冒,則會將該用戶加入黑名單,並將原用戶和仿冒用戶都踢下線。
WLAN地址安全功能僅在無線用戶接入認證模式為802.1X認證時生效。
WLAN地址安全功能僅對新上線的用戶生效。
WLAN地址安全功能僅在WLAN漫遊中心上生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟地址安全功能。
address-security enable
缺省情況下,地址安全功能處於關閉狀態。
地址安全表項用來記錄用戶信息,包括用戶MAC地址、IP地址和用戶名等關鍵信息。此表項由Client漫遊中心同步而來。關於Client漫遊中心的詳細介紹,請參見“WLAN漫遊配置指導”中的“Client漫遊中心”。
(1) 進入係統視圖。
system-view
(2) 進入WLAN漫遊中心視圖。
wlan roaming-center
(3) 配置地址安全表項的老化時間。
address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }
缺省情況下,IPv4地址安全表項的老化時間為14400秒,IPv6地址安全表項的老化時間為604800秒。
設備檢測到仿冒MAC地址或IP地址後,會將原用戶和仿冒用戶都踢下線並產生日誌信息,網絡管理員通過日誌信息發現仿冒後可以在WLAN漫遊中心上將仿冒地址用戶的用戶名加入黑名單,讓原用戶重新上線,從而防止仿冒用戶再次仿冒上線對原用戶造成影響。
最多可以配置5000條用戶黑名單,超過後必須手動刪除已有的黑名單才能配置新的黑名單。
地址仿冒用戶黑名單必須配置在WLAN漫遊中心上才能生效。
(1) 進入係統視圖。
system-view
(2) 進入WLAN地址安全視圖。
wlan address-security
(3) 創建址仿冒用戶黑名單。
spoofing-attack blacklist username username
缺省情況下,未創建地址仿冒用戶黑名單。
完成上述配置後,在任意視圖下執行display命令可以顯示配置後WLAN漫遊中心的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 WLAN漫遊中心顯示和維護
|
操作 |
命令 |
|
顯示WLAN漫遊中心下線用戶的曆史信息 |
display wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
|
顯示WLAN漫遊中心的報文統計信息 |
display wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ] |
|
顯示WLAN漫遊中心的用戶信息 |
display wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } [ verbose ] |
|
清除WLAN漫遊中心用戶的曆史信息 |
reset wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
|
清除WLAN漫遊中心的報文統計信息 |
reset wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ] |
|
清除WLAN漫遊中心設備上的用戶信息 |
reset wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
