目  錄

1 Client漫遊中心

1.1 Client漫遊中心簡介

1.1.1 典型組網

1.1.2 工作流程

1.2 Client漫遊中心配置任務簡介

1.3 開啟Client漫遊中心功能

1.4 配置WLAN漫遊中心的IP地址和端口號

1.5 配置Client漫遊中心接收響應報文的超時時間

1.6 配置Client漫遊中心發送請求報文的最大嚐試次數

1.7 配置地址安全表項老化時間

1.8 Client漫遊中心典型配置舉例

1.8.1 WLAN地址安全配置舉例

 

1 Client漫遊中心

1.1  Client漫遊中心簡介

1.1.1  典型組網

在無線網絡中，MAC地址和IP地址仿冒的問題非常嚴重，Client漫遊中心可以對上線用戶的MAC地址和IP地址進行檢查，阻止仿冒用戶上線，從而保障合法用戶的利益，加強網絡安全。

Client漫遊中心和WLAN漫遊中心配合使用，典型組網如圖1-1所示，其中：

·     Client漫遊中心：部署在AC上，用於識別和收集用戶信息、檢查用戶MAC地址和IP地址的合法性。

·     WLAN漫遊中心：部署在AC上，用於根據Client漫遊中心提供的信息建立用戶MAC地址表項和IP地址表項以及用戶黑名單表項，並向Client漫遊中心提供查詢服務。

關於WLAN漫遊中心的詳細介紹，請參見“WLAN漫遊配置指導”中的“WLAN漫遊中心”。

圖1-1 WLAN地址安全組網示意圖

 

1.1.2  工作流程

Client漫遊中心的具體工作流程如下：

(1)     Client漫遊中心收到Client上線通知後，查詢本地是否存在對應的MAC地址表項和IP地址表項：

¡     若不存在，則向WLAN漫遊中心發送衝突查詢報文：

-     如果WLAN漫遊中心未查詢到衝突，則向Client漫遊中心回應檢查通過報文，WLAN漫遊中心和Client漫遊中心會生成MAC地址表項和IP地址表項，然後對Client開始計費。

-     如果WLAN漫遊中心查詢到衝突，則檢查仿冒黑名單。如果原用戶和仿冒用戶都在或都不在仿冒名單裏，則向Client漫遊中心發送回應報文，Client漫遊中心會將兩者加入本地黑名單，拒絕兩者上線，如果隻有一個在仿冒名單裏，則拒絕仿冒名單裏的用戶上線。

¡     若存在，則執行以下流程：

-     如果查詢到對應的IP地址表項，則判斷用戶名是否相同：用戶名相同，則會把之前上線的Client踢下線，更新本地MAC地址表項和IP地址表項，並通知WLAN漫遊中心更新相關表項，同時把之前的MAC地址加入MAC地址黑名單。用戶名不相同，則會把兩個都加入MAC地址黑名單，都會踢下線，在生存時間內都不允許上線。

-     如果查詢到對應的MAC地址表項，則去WLAN漫遊中心查詢手動配置的地址仿冒用戶黑名單表項，並將黑名單中的用戶踢下線。當WLAN漫遊中心查詢到對應的MAC地址表項時會通知本地查詢結果，並自動生成一個用戶黑名單，用戶黑名單包含了用戶名和MAC地址，在表項老化之前會拒絕仿冒用戶接入。

(2)     當Client的IP地址發生變化時，會再次觸發上述查詢流程。

本特性的支持情況與設備型號有關，請以設備的實際情況為準。

產品係列	產品型號	產品代碼	說明
WX1800H係列	WX1804H-PWR	EWP-WX1804H-PWR-CN	不支持
WX2500H係列	WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H	EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H	不支持
MAK係列	MAK204 MAK206	EWP-MAK204 EWP-MAK206	不支持
WX3000H係列	WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F	EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F	不支持
WX3500H係列	WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H	EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F	WX3508H不支持 WX3510H支持 WX3520H支持 WX3520H-F支持 WX3540H支持
WX5500E係列	WX5510E WX5540E	EWP-WX5510E EWP-WX5540E	支持
WX5500H係列	WX5540H WX5560H WX5580H	EWP-WX5540H EWP-WX5560H EWP-WX5580H	支持
AC插卡係列	LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F	LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F	LSUM1WCME0支持 EWPXM1WCME0支持 LSQM1WCMX20不支持 LSUM1WCMX20RT不支持 LSQM1WCMX40支持 LSUM1WCMX40RT支持 EWPXM2WCMD0F不支持 EWPXM1MAC0F支持

 

產品係列	產品型號	產品代碼	說明
WX1800H係列	WX1804H-PWR WX1810H-PWR WX1820H WX1840H	EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL	不支持
WX3800H係列	WX3820H WX3840H	EWP-WX3820H-GL EWP-WX3840H-GL	支持
WX5800H係列	WX5860H	EWP-WX5860H-GL	支持

 

1.2  Client漫遊中心配置任務簡介

Client漫遊中心配置任務如下：

·     開啟Client漫遊中心功能

·     配置WLAN漫遊中心的IP地址和端口號

·     （可選）配置Client漫遊中心接收響應報文的超時時間

·     （可選）配置Client漫遊中心發送請求報文的最大嚐試次數

·     （可選）配置地址安全表項老化時間

1.3  開啟Client漫遊中心功能

1. 功能簡介

開啟Client漫遊中心功能後，AC可以將接入的所有用戶信息同步到WLAN漫遊中心，從而達到通過WLAN漫遊中心監控全網客戶端MAC地址和IP地址仿冒的目的。

2. 配置限製和指導

Client漫遊中心功能必須和地址安全功能配合使用才能生效，關於WLAN地址安全的詳細介紹請參見“WLAN漫遊配置指導”中的“WLAN漫遊中心”。

AC上開啟地址安全功能且關閉Client漫遊中心功能後，新用戶可以通過802.1X認證但無法接入，已經接入的在線用戶不受影響。如果AC上關閉了地址安全功能，則是否關閉Client漫遊中心對用戶接入沒有影響。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建Client漫遊中心，並進入Client漫遊中心視圖。

client roaming-center

(3)     開啟Client漫遊中心功能。

roaming-center enable

缺省情況下，Client漫遊中心功能處於關閉狀態。

1.4  配置WLAN漫遊中心的IP地址和端口號

1. 功能簡介

Client漫遊中心上需要指定與WLAN漫遊中心進行報文交互的IP地址和端口號。

2. 配置限製和指導

Client漫遊中心上指定的IP地址可以為WLAN漫遊中心上配置的與Client漫遊中心通信的任意IP地址，且此IP地址隻能配置一個，新配置將覆蓋已有配置。

設備上有客戶端在線時，不建議修改WLAN漫遊中心的IP地址和UDP端口號，否則可能會導致Client漫遊中心和WLAN漫遊中心數據不同步。

在Client漫遊中心上指定WLAN漫遊中心的UDP端口號需要和WLAN漫遊中心視圖下配置的UDP端口號保持一致。

修改UDP端口號時，為防止用戶數據殘留，建議先關閉WLAN漫遊中心功能，修改完成後再重新開啟。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     在Client漫遊中心上指定WLAN漫遊中心的IP地址。

wlan-roaming-center ip ip-address

缺省情況下，未在Client漫遊中心上指定WLAN漫遊中心的IP地址。

(4)     在Client漫遊中心上指定WLAN漫遊中心的UDP端口號。

wlan-roaming-center port port-number

缺省情況下，WLAN漫遊中心的UDP端口號為1088。

1.5  配置Client漫遊中心接收響應報文的超時時間

1. 功能簡介

Client漫遊中心會向WLAN漫遊中心發送用戶信息同步報文、保活報文等，WLAN漫遊中心收到報文後會發送響應報文，如果Client漫遊中心未在配置的超時時間內收到響應報文，會重新發送相關報文。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     配置Client漫遊中心接收WLAN漫遊中心響應報文的超時時間。

response-timeout timeout

缺省情況下，Client漫遊中心接收WLAN漫遊中心響應報文的超時時間為3秒。

1.6  配置Client漫遊中心發送請求報文的最大嚐試次數

1. 功能簡介

Client漫遊中心會向WLAN漫遊中心發送用戶信息同步報文、保活報文等，WLAN漫遊中心收到報文後會發送響應報文，如果Client漫遊中心未在配置的超時時間內收到響應報文，會重新發送相關報文。如果達到最大嚐試次數後，Client漫遊中心仍未收到響應報文，將認為本次請求失敗，但不會刪除用戶信息。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     配置Client漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數。

retry retries

缺省情況下，Client漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數為5次。

1.7  配置地址安全表項老化時間

1. 功能簡介

地址安全表項用來記錄用戶信息，包括用戶MAC地址、IP地址和用戶名等關鍵信息。用戶上線時由Client漫遊中心自動創建並記錄地址安全表項。地址安全表項老化後，會自動刪除。

2. 配置限製和指導

地址安全表項老化時間建議配置為不大於客戶端向DHCP服務器申請的IP地址租約有效期。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     配置地址安全表項的老化時間。

address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }

缺省情況下，IPv4地址安全表項的老化時間為14400秒，IPv6地址安全表項的老化時間為604800秒。

1.8  Client漫遊中心典型配置舉例

1.8.1  WLAN地址安全配置舉例

1. 組網需求

如圖1-2所示，AC 1作為WLAN漫遊中心，AC 2和AC 3作為Client漫遊中心，Client通過AP在AC 2上進行802.1X認證並接入，要求Client在AC 2和AC 3上每次接入都進行地址安全檢查。

2. 組網圖

圖1-2 WLAN地址安全組網圖

 

3. 配置AC 1

# 創建WLAN漫遊中心，並進入WLAN漫遊中心視圖。

<AC1> system-view

[AC1] wlan roaming-center

# 開啟WLAN漫遊中心功能。

[AC1-wlan-roaming-center] roaming-center enable

[AC1-wlan-roaming-center] quit

4. 配置AC 2

(1)     配置設備各接口的IP地址，保證啟動無線802.1X認證之前服務器和AC之間的路由可達，具體配置步驟略。

(2)     配置RADIUS方案

# 創建名字為rs1的RADIUS方案並進入該方案視圖。

<AC2> system-view

[AC2] radius scheme rs1

# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。

[AC2-radius-rs1] primary authentication 192.168.0.112

[AC2-radius-rs1] primary accounting 192.168.0.112

[AC2-radius-rs1] key authentication simple radius

[AC2-radius-rs1] key accounting simple radius

# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。

[AC2-radius-rs1] user-name-format without-domain

[AC2-radius-rs1] quit

(3)     配置認證域

# 創建並進入名字為dm1的ISP域。

[AC2] domain dm1

# 配置ISP域的AAA方法。

[AC2-isp-dm1] authentication lan-access radius-scheme rs1

[AC2-isp-dm1] authorization lan-access radius-scheme rs1

[AC2-isp-dm1] accounting lan-access radius-scheme rs1

[AC2-isp-dm1] quit

(4)     配置802.1X認證

# 配置802.1X認證方式為EAP。

[AC2] dot1x authentication-method eap

# 創建手工AP，名稱為ap2，選擇AP型號並配置序列號。

[AC2] wlan ap ap2 model WA4320i-ACN

[AC2-wlan-ap-ap2] serial-id 210235A29G007C000020

[AC2-wlan-ap-ap2] quit

# 配置無線服務模板，SSID為AddrSec。

[AC2] wlan service-template newst

[AC2–wlan-st-newst] ssid AddrSec

# 在無線服務模板newst上配置RSN+802.1X認證。

[AC2–wlan-st-newst] client-security authentication-mode dot1x

[AC2–wlan-st-newst] akm mode dot1x

[AC2–wlan-st-newst] cipher-suite ccmp

[AC2–wlan-st-newst] security-ie rsn

[AC2–wlan-st-newst] dot1x domain dm1

# 開啟地址安全功能。

[AC2–wlan-st-newst] address-security enable

# 開啟無線服務模板newst。

[AC2–wlan-st-newst] service-template enable

[AC2–wlan-st-newst] quit

# 配置射頻，指定工作信道為11。

[AC2] wlan ap ap2

[AC2-wlan-ap-ap2] radio 2

[AC2-wlan-ap-ap2-radio-2] channel 11

# 開啟射頻功能，將無線服務模板newst綁定到Radio2上。

[AC2-wlan-ap-ap2-radio-2] radio enable

[AC2-wlan-ap-ap2-radio-2] service-template newst

[AC2-wlan-ap-ap2-radio-2] quit

[AC2-wlan-ap-ap2] quit

(5)     配置Client漫遊中心

# 創建Client漫遊中心，並進入Client漫遊中心視圖。

[AC2] client roaming-center

# 指定WLAN漫遊中心的IP地址。

[AC2-client-roaming-center] ip 192.168.1.1

# 開啟Client漫遊中心功能。

[AC2-client-roaming-center] roaming-center enable

[AC2-client-roaming-center] quit

5. 配置AC 3

AC 3的配置與AC 2相同，請參見配置AC 2。

6. 配置AAA服務器

完成RADIUS服務器上的配置，保證用戶的認證/計費功能正常運行，具體配置步驟略。

7. 驗證配置

Client在AC 2上通過dot1x認證模式上線。

# 在 AC2查看認證客戶端

<AC2> display dot1x connection

Total connections: 1

User MAC address                   : 9cd3-6d9e-6742

AP name                            : ap1

Radio ID                           : 1

SSID                               : roam-relay

BSSID                              : 487a-da52-d321

Username                           : rsn4x

Authentication domain              : imc

IPv4 address                       : 126.0.0.12

IPv6 address                       : 2000:1000:1020::2

Authentication method              : EAP

Initial VLAN                       : 1

Authorization VLAN                 : 1

Authorization ACL number           : N/A

Authorization user profile         : N/A

Authorization CAR                  : N/A

Termination action                 : N/A

Session timeout last from          : N/A

Session timeout period             : N/A

Online from                        : 2020/06/06 13:23:31

Online duration                    : 0h 0m 20s

# 在 AC 2上查看地址安全生成的本地MAC地址表項。

[AC2] probe

[AC2-probe] display system internal wlan address-security local-cache mac

Total number of MACs: 1

 

MAC address    User name            Duration

9cd3-6d9e-6742 rsn4x                0days 0hours 0minutes 42seconds

# 在 AC 2上查看地址安全生成的本地IP地址表項。

[AC2-probe] display system internal wlan address-security cache ip

Total number of IPs: 2

 

IP address                              User name            MAC address

126.0.0.12                              rsn4x                9cd3-6d9e-6742

2000:1000:1020::2                       rsn4x                9cd3-6d9e-6742

# 在 AC 1上查看Client漫遊中心同步給WLAN漫遊中心的MAC地址表項。

[AC1] probe

[AC1-probe] display system internal wlan address-security cache mac

Total number of MACs: 1

 

MAC address    User name            Duration

9cd3-6d9e-6742 rsn4x                0days 0hours 1minutes 7seconds

# 在 AC 1上查看Client漫遊中心同步給WLAN漫遊中心的IP地址表項。

[AC1] probe

[AC1-probe] display system internal wlan address-security cache ip

Total number of IPs: 2

 

IP address                              User name            MAC address

126.0.0.12                              rsn4x                9cd3-6d9e-6742

2000:1000:1020::2                       rsn4x                9cd3-6d9e-6742