- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-Hotspot 2.0配置
本章節下載: 02-Hotspot 2.0配置 (1.61 MB)
Hotspot2.0協議是由Wi-Fi聯盟推出的,可以使客戶端自動發現、注冊並關聯和自己移動網絡服務提供商有漫遊協議的無線Wi-Fi網絡,實現移動數據網絡和無線Wi-Fi網絡的自動切換,或者無線Wi-Fi網絡的不同無線服務的自動切換的一種協議。Hotspot2.0協議分為Version 1和Version 2兩個版本,Version 2完全兼容Version 1。
Hotspot 2.0網絡的接入過程分為三個步驟:
(1) 無線掃描
(2) GAS交互
(3) 在線注冊(僅Version 2)
客戶端在實際工作過程中,通過主動掃描或被動掃描發現周圍的Hotspot 2.0網絡,具體過程如下:
· 主動掃描:客戶端周期性廣播Probe Request幀(探測請求幀),通過收到包含網絡類型、場地信息和漫遊聯盟支持情況等信息的Probe Response幀(探測響應幀)獲取Hotspot 2.0網絡信息,具體過程如圖1-1所示。
· 被動掃描:客戶端通過偵聽AP周期發送的包含網絡類型、場地信息和漫遊聯盟支持情況等信息的Beacon幀(信標幀)發現周圍的Hotspot 2.0網絡。具體過程如圖1-2所示。被動掃描可以節省客戶端用電量。
客戶端通過主動掃描或被動掃描發現Hotspot 2.0網絡後,通過GAS報文的交互獲取Hotspot 2.0網絡參數,並根據獲取到的信息及客戶端本地配置信息,選擇合適的BSS(Basic Service Set,基本服務集)網絡,具體交互過程如圖1-3所示。
(1) 客戶端向AP發送GAS initial request來獲取Hotspot 2.0網絡參數。
(2) AP接收到GAS initial request後進行報文解析,如果需要攜帶的GAS initial response報文中的信息大小超過限製,則發送GAS initial response報文通知客戶端在Comeback delay時間間隔後使用GAS comeback request請求獲取Hotspot 2.0參數信息,否則直接將Hotspot 2.0網絡參數攜帶在GAS initial response報文中發送給客戶端。
(3) 客戶端在Comeback delay時間間隔後使用GAS comeback request請求獲取Hotspot 2.0參數信息。
(4) AP收到GAS comeback request請求後,將使用GAS comeback response報文攜帶Hotspot 2.0參數信息。
圖1-3 GAS報文交互過程
在線注冊過程僅Version 2版本的客戶端支持。客戶端首次接入Hotspot 2.0無線網絡時,完成GAS交互之後,需要通過在線注冊服務器獲取客戶端證書或認證信息。客戶端可以使用該客戶端證書或認證信息實現後續的客戶端自動選擇和接入Hotspot 2.0無線網絡,並且無需再次認證。客戶端通過OSU(Online Sign Up,在線注冊)AP提供的在線注冊服務連接OSU Server進行在線注冊,具體的注冊過程如圖1-4所示。注冊完成後,客戶端會主動斷開與OSU AP的連接。客戶端接入OSU AP的兩種方式:
· Open OSU:開放式在線注冊無線服務。
· OSEN OSU:二層認證加密在線注冊無線服務。
客戶端在線注冊過程的具體描述如下:
(1) 客戶端通過GAS報文交互過程從AP上獲取到在線注冊服務器列表,然後選擇在線注冊服務器;
(2) 客戶端通過開放式或二層認證加密方式連接OSU AP提供的在線注冊無線服務;
(3) 客戶端接入在線注冊無線服務之後,從OSU Server獲取客戶端證書、認證信息或者在客戶端證書到期時更新證書;
(4) 客戶端根據獲取的證書或認證信息選擇並接入AP提供的Hotspot 2.0無線網絡。
與Hotspot 2.0相關的協議規範有:
· IEEE Standard for Information technology— Telecommunications and information exchange between systems— Local and metropolitan area networks— Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications Amendment 9: Interworking with External Networks
· Wi-Fi Alliance Technical Committee Hotspot 2.0 Technical Task GroupHotspot 2.0 (Release 2)Technical SpecificationVersion 3.04
Hotspot 2.0(Version 1)配置任務如下:
(1) 配置Hotspot 2.0策略
d. (可選)Hotspot 2.0網絡性能優化配置
(2) (可選)配置AP所屬的集結點信息
Hotspot 2.0(Version 2)配置任務如下:
(1) 配置Hotspot 2.0策略
c. (可選)配置Hotspot 2.0網絡的網絡參數
d. (可選)Hotspot 2.0網絡性能優化配置
(2) 配置在線注冊服務器
a. 配置在線注冊服務器
b. 配置在線注冊服務SSID
c. 管理在線注冊服務器圖標
d. 綁定在線注冊服務器
(3) (可選)配置AP所屬的集結點信息
Hotspot 2.0需要使用RSNA安全機製,並滿足以下條件:
· 身份認證與密鑰管理為dot1x模式。
· 安全模式為RSN模式。
· 加密套件為CCMP。
如果接入的客戶端僅支持Version 1,則這類客戶端上需要預先設置相關的網絡信息,如Roam OI(Roam Organization Identifier,漫遊聯盟標識)、NAI(Network Access Identifier,網絡接入標識)域名等信息,並保存在其配置文件裏。
Hotspot 2.0策略是一個Hotspot 2.0網絡接入參數以及網絡接入控製功能的集合,主要包含運營商信息及網絡參數信息等內容。
(1) 進入係統視圖。
system-view
(2) 創建Hotspot 2.0策略,並進入Hotspot 2.0視圖。
wlan hotspot-policy policy-number
(3) (可選)配置Hotspot 2.0策略名稱。
policy-name name
缺省情況下,未配置Hotspot 2.0策略名稱。
Hotspot 2.0網絡運營商信息包括以下內容:
· NAI域名及支持的認證方式:提供了可以通過AP訪問的網絡的域名信息、與域名信息對應的EAP認證信息以及與EAP對應的認證方法。
· 漫遊聯盟標識:每個OI(Organization Identifier,機構標識)對應一個漫遊聯盟成員。如果客戶端存儲了和OI對應的證書,則可以使用該證書漫遊到該漫遊聯盟下的所有無線服務。
· 3GPP信息:3GPP(3rd Generation Partnership Project,第三代合作夥伴計劃)信息即3G網絡信息,其中包含國家碼和網絡碼,國家碼用來標識國家,網絡碼用來標識運營商。
· ISP域名:客戶端所在的域的名稱。
· 運營商信息:運營商名稱,以及語言標識碼。
(1) 進入係統視圖。
system-view
(2) 進入Hotspot 2.0策略視圖。
wlan hotspot-policy policy-number
(3) 配置NAI以及支持的認證方式。
nai-realm realm-name eap-method eap-method-id auth-method auth-method-id authentication authentication
缺省情況下,未配置NAI名稱。
(4) 配置漫遊聯盟標識。
roam-oi oi [ in-beacon ]
缺省情況下,未配置漫遊聯盟標識。
本配置對於Version 1可選,對於Version 2必選。
(5) (可選)配置3GPP信息。
3gpp-info country-code mobile-country-code network-code mobile-network-code
缺省情況下,未配置3GPP信息。
(6) 配置域名。
domain-name domain-name
缺省情況下,未配置域名。
本配置對於Version 1必選,對於Version 2可選。
(7) (可選)配置運營商信息。
operator-name operator-name lang-code lang-code
缺省情況下,未配置運營商信息。
Hotspot 2.0網絡的網絡參數包括以下內容:
· 接入網絡類型:客戶端通過AP訪問的網絡類型,具體網絡類型請參見“WLAN高級功能命令參考”中的“Hotspot 2.0”。
· 擴展服務標識信息:HESSID(Homogenous Extended Service Set IDentifier,擴展服務標識)用於標識同類ESS網絡集合。
· 網絡認證類型:接入該網絡需要使用的認證類型。
· 分配給客戶端的IP地址的類型:分配給已關聯的客戶端的IP地址的版本和類型。
· 廣域網鏈路狀態參數:通告客戶端該網絡的廣域網鏈路狀態及上下行速度。
· IP協議對應的端口狀態:通告客戶端該設備的IP協議的端口狀態,端口狀態包括關閉、開啟和未知三種狀態。
(1) 進入係統視圖。
system-view
(2) 進入Hotspot 2.0策略視圖。
wlan hotspot-policy policy-number
(3) 配置接入網絡類型。
network-type network-type [ access-internet ]
缺省情況下,未配置接入網絡類型。
(4) 配置擴展服務標識信息。
hessid hessid
缺省情況下,未配置擴展服務標識信息。
本配置對於Version 1必選,對於Version 2可選。
(5) (可選)配置網絡認證類型。
authentication-type { 0 [ redirect-url url ] | 1 | 2 redirect-url url | 3 }
缺省情況下,未配置網絡認證類型。
(6) 配置分配給客戶端的IP地址的類型。
ip-type ipv4 ipv4-type ipv6 ipv6-type
缺省情況下,為IPv4客戶端分配的IP地址類型為1,為IPv6客戶端分配的IP地址類型為2。
(7) 配置IP協議對應的端口狀態。
ip-protocol { esp | icmp | tcp | udp } port-number port-number { closed | open | unknown }
缺省情況下,未配置IP協議對應的端口狀態。
(8) 配置廣域網鏈路狀態參數。
wan-metrics { link-down | link-test | link-up } [ asymmetric downlink-speed downlink-speed uplink-speed uplink-speed | symmetric link-speed link-speed ]
缺省情況下,未配置廣域網鏈路狀態參數。
Hotspot 2.0網絡性能優化配置主要包含以下內容:
· DGAF功能:開啟DGAF(Downstream Group-Addressed Forwarding,下行組地址報文轉發)功能後,AP會轉發所有下行的無線廣播ARP報文和無線組播報文;關閉該功能後,AP會丟棄這些ARP和組播報文用來防止攻擊者利用同一BSS內所有的客戶端使用相同的GTK(Group Temporal Key,群組臨時密鑰)這一漏洞,來偽造組地址幀進而攻擊客戶端。
· GAS報文控製信息:通過對GAS報文的發送和接收進行控製,保證客戶端和AC之間進行合理、有序的報文交互,具體包括:
¡ 配置客戶端在Comeback delay延遲後才能發送GAS comback request報文,防止客戶端過於頻繁地發送GAS comback request報文;
¡ 限定BSS在指定時間間隔內接收客戶端發送的最大GAS initial request報文數,降低AC處理報文的負擔。
(1) 進入係統視圖。
system-view
(2) 進入Hotspot 2.0策略視圖。
wlan hotspot-policy policy-number
(3) 開啟DGAF功能。
dgaf enable
缺省情況下,DGAF功能處於開啟狀態。
(4) 配置通知客戶端在指定延遲時間後發送GAS comeback request報文。
comeback-delay value
缺省情況下,延遲時間值為1TU,即一個時間單位(1024微秒)。
(5) 配置BSS在指定間隔內接收客戶端發送的最大GAS initial request報文數。
gas-limit number number interval interval
缺省情況下,不對接收到的GAS initial request報文數量進行限製。
需要將Hotspot 2.0策略綁定到無線服務模板上,該無線服務模板才會使用Hotspot 2.0策略中的配置生成Hotspot 2.0網絡。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 綁定Hotspot 2.0策略到無線服務模板。
hotspot-policy policy-number
缺省情況下,未在無線服務模板上綁定Hotspot 2.0策略。
(1) 進入係統視圖。
system-view
(2) 創建在線注冊服務器,並進入在線注冊服務器視圖。
wlan osu-provider osu-provider-number
(3) 配置在線注冊服務器名稱。
friendly-name friendly-name lang-code lang-code
缺省情況下,未配置在線注冊服務器名稱和對應的語言標識碼。
(4) 配置在線注冊服務器URI路徑。
uri uri
缺省情況下,未配置在線注冊服務器URI路徑。
(5) 配置客戶端訪問在線注冊服務器所使用的協議類型。
method method-id
缺省情況下,未配置客戶端訪問在線注冊服務器所使用的協議類型。
(6) 配置在線注冊服務器圖標。
icon-file filename lang-code lang-code icon-type icon-type
缺省情況下,未配置在線注冊服務器圖標。
(7) (可選)配置在線注冊服務器描述信息。
description description lang-code lang-code
缺省情況下,未配置在線注冊服務器描述信息。
(8) (可選)配置在線注冊服務器的網絡接入標識。
nai nai
缺省情況下,未配置在線注冊服務器的網絡接入標識。
Hotspot 2.0無線網絡為客戶端提供一個專供客戶端在線注冊使用的無線服務,其SSID必須保持與在線注冊服務SSID一致。
(1) 進入係統視圖。
system-view
(2) 進入Hotspot 2.0策略視圖。
wlan hotspot-policy policy-number
(3) 配置在線注冊服務SSID。
osu-ssid ssid-name
缺省情況下,未配置在線注冊服務SSID。
配置的在線注冊服務器圖標文件變更時,可以重新加載在線注冊服務器圖標。
客戶端需要更換或者刪除在線注冊服務器圖標文件時,可以將已經加載(到內存)的圖標文件卸載。
(1) 進入係統視圖。
system-view
(2) 管理在線注冊服務器圖標
¡ 加載在線注冊服務器圖標。
wlan hotspot osu-icon upload
¡ 卸載在線注冊服務器圖標。
wlan hotspot osu-icon unload
一個Hotspot 2.0策略最多可以和32個在線注冊服務器綁定。將Hotspot 2.0策略與在線注冊服務器綁定之前,在線注冊服務器視圖下必須完成以下配置:
· 配置在線注冊服務器名稱和對應的語言標識碼。
· 配置在線注冊服務器URI路徑。
· 配置在線注冊方式。
· 配置在線注冊服務器圖標文件。
(1) 進入係統視圖。
system-view
(2) 進入Hotspot 2.0策略視圖。
wlan hotspot-policy policy-number
(3) 綁定在線注冊服務器。
osu-provider osu-provider-number
缺省情況下,Hotspot 2.0策略未與任何在線注冊服務器綁定。
集結點信息提供與BSS相關的地點信息(如酒吧,遊樂場等),來幫助客戶端關聯適當的BSS。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖。
wlan ap ap-name
(3) 配置AP所屬的集結點類型及其子類型。
venue group venue-group-number type venue-type-number
缺省情況下,未配置AP所屬的集結點組信息,本配置對於Version 1必選,對於Version 2可選。
(4) 配置AP所屬的集結點名稱信息。
venue name venue-name lang-code lang-code
缺省情況下,未配置AP所屬集結點名稱,本配置對於Version 1必選,對於Version 2可選。
在完成上述配置後,在當前視圖下執行display命令可以顯示配置後的運行情況。
表1-1 Hotspot 2.0顯示和維護(Version 1)
|
操作 |
命令 |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
表1-2 Hotspot 2.0顯示和維護(Version 2)
|
操作 |
命令 |
|
顯示已加載的在線注冊服務器圖標列表 |
display wlan hotspot uploaded-osu-icon |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
本手冊中的AP型號和序列號僅為舉例,具體支持的AP型號和序列號請以設備的實際情況為準。
某高校辦公大樓作為無線熱點區域部署無線網絡,支持Hotspot 2.0特性的移動終端通過Hotspot 2.0特性實現在移動網絡和辦公樓無線網絡之間的無縫漫遊,無需手動進行操作。
圖1-5 Hotspot 2.0配置組網圖
下述配置步驟中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 創建hotspot policy
# 創建Hotspot 2.0策略號為1。
<AC> system-view
[AC] wlan hotspot-policy 1
# 配置網絡接入標識名為h3c.com,EAP方式為Protected EAP,擴展認證方式為Non-EAP Inner Authentication Type,擴展認證方式的認證參數為MSCHAPV2。
[AC-wlan-hs-1] nai-realm h3c.com eap-method 6 auth-method 2 authentication 4
# 配置域名為h3c.com。
[AC-wlan-hs-1] domain-name h3c.com
# 配置HESSID為AP的MAC地址1232-ff23-0123。
[AC-wlan-hs-1] hessid 1232-ff23-0123
[AC-wlan-hs-1] quit
(2) 配置802.1X認證方式及RADIUS方案
# 配置802.1X認證方式為EAP
[AC] dot1x authentication-method eap
# 配置RADIUS方案imcc並進入其視圖。
[AC] radius scheme imcc
# 配置主認證/計費RADIUS服務器的IP地址。
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
# 配置AC與認證/計費服務器交互報文時的共享密鑰。
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(3) 配置ISP域的AAA方法
# 創建並進入名稱為imc的ISP域,為lan-access用戶配置AAA認證方法為RADIUS認證/授權/計費,且均使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(4) 創建無線服務模板,並綁定Hotspot 2.0策略
# 創建無線服務模板service1。
[AC] wlan service-template service1
# 配置無線服務模板的SSID為service。
[AC-wlan-st-service1] ssid service
# 將Hotspot 2.0策略綁定到無線服務模板。
[AC-wlan-st-service1] hotspot-policy 1
(5) 配置使用無線服務模板使用RSNA安全機製
# 配置安全信息元素為RSN。
[AC-wlan-st-service1] security-ie rsn
# 配置加密套件為CCMP。
[AC-wlan-st-service1] cipher-suite ccmp
# 配置身份認證和密鑰管理為dot1x。
[AC-wlan-st-service1] akm mode dot1x
(6) 配置WLAN用戶接入認證模式、ISP域並使能無線服務模板
# 配置WLAN用戶接入認證模式為dot1x模式。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置ISP域為imc。
[AC-wlan-st-service1] dot1x domain imc
# 使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(7) 進入radio視圖,綁定無線服務模板並使能radio
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
# 在Radio 2上綁定無線服務模板。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] service-template service1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(8) 配置RADIUS server(iMC V7)
· 下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1、iMC UAM 7.1),說明RADIUS server的基本配置。
· 在服務器上已經完成證書的安裝。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備配置]菜單項,進入接入設備管理頁麵,點擊頁麵中的接入設備配置按鈕,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
設置認證、計費共享密鑰為12345678,其它保持缺省配置;
選擇或手工增加接入設備,添加IP地址為10.18.1.1(AC的IP地址)的接入設備。
圖1-6 增加接入設備頁麵
# 增加接入策略。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入策略頁麵。
設置接入策略名為802.1X_policy;
選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。認證證書子類型需要與客戶端的身份驗證方法一致。
圖1-7 增加接入策略頁麵
# 增加接入服務。
選擇“用戶”頁簽,單擊導航欄中的[接入策略管理/接入服務管理]菜單項,進入接入服務管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入服務頁麵。
設置服務名為802.1X_ser;
設置缺省接入策略為已經創建的dot1x策略。
圖1-8 增加接入服務頁麵
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
添加用戶admin;
添加帳號名為admin,密碼為12345678;
選中剛才配置的服務802.1X_ser。
圖1-9 增加接入用戶頁麵
(9) 配置無線終端(以iphone 5S手機為例)
# 首先在MacBook Air筆記本電腦上安裝Apple Configurator軟件,將iphone 5S手機用數據線連接電腦。
圖1-10 Apple Configurator軟件
# 打開Apple Configurator軟件,在Supervise界麵的Profiles欄下麵點擊“+”,選擇“Create New Profile”。
圖1-11 創建新描述文件
# 在左側菜單欄中點擊“General”按鈕,在界麵中Name一欄中輸入“h3c.com”,其他選項選配。
圖1-12 描述文件通用配置
# 點擊左側菜單欄中的“Wi-Fi”,在打開界麵中點擊<Configure>按鈕,彈出如下界麵。進入到配置視圖界麵,在Netwok Type下拉菜單中選擇“Passpoint”。
圖1-13 開啟Passpoint功能
# 彈出如下配置視圖界麵,Accepted EAP Types選項中認證協議勾選“PEAP”選項。
Username、Password為在RADIUS服務器中注冊的用戶名和密碼,分別輸入“admin”和“12345678”;
Accepted EAP Type選擇PEAP認證方式將不需要證書,IdentityCerticate選項中為“None”;
Outer Idetity用於對外公開身份,輸入“admin”。
圖1-14 配置EAP-PEAP認證
# 在Provider Display Name一欄中輸入“h3c.com”。Domain Name和AC上配置的hotspot-policy中的Domain Name保持一致。
圖1-15 配置Domain Name
# Roaming Consortium Ols、NAI Real Names、MCC/MNC三個選項可以不進行配置。如果配置需和AC上配置的hotspot-policy保持一致。完成配置後點擊<Save>進行保存。
圖1-16 配置其它選項
# 點擊上方“Prepare”,在“Settings”界麵點擊<Install Profiles>。
圖1-17 安裝描述文件
# 點擊<Install Profiles>後,出現如下圖界麵,點擊<Next>。
圖1-18 安裝描述文件(2)
# 在下圖中選擇創建的描述文件“h3c.com”,點擊<Next>。
圖1-19 選擇創建的描述文件
# 此時手機會出現如下圖中界麵,點擊“install”安裝描述文件。
圖1-20 安裝描述文件
# 安裝成功後,Apple Configurator界麵將顯示“Install Succeeded”,證明描述文件安裝成功。此時,所有的配置將下發到iphone 5S手機中,當搜索到配置的服務之後,能夠自動關聯上線。
圖1-21 文件安裝成功
# 進入無線網絡覆蓋區域後,移動終端會自動加入到開啟Hotspot 2.0的無線網絡中。 在AC上使用命令display wlan client verbose查看無線客戶端的詳細信息。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : 6021-c05d-19e0
IPv4 address : 105.0.0.5
IPv6 address : N/A
Username : admin
AID : 1
AP ID : 2
AP name : ap1
Radio ID : 2
SSID : service
BSSID : 70f9-6dd7-cfd0
VLAN ID : 1
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
SM power save : Enabled
SM power save mode : Static
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Support HT-MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 49
Rx/Tx rate : 1/72.2 Mbps
Speed : N/A
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : N/A
Online time : 0days 0hours 0minutes 36seconds
FT status : Inactive
某高校辦公大樓作為無線熱點區域部署無線網絡,支持Hotspot 2.0特性的移動終端通過Hotspot 2.0特性實現在移動網絡和辦公樓無線網絡之間的無縫漫遊,無需手動進行操作。
圖1-22 Hotspot 2.0配置組網圖
· 下述配置步驟中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
· 完成RADIUS服務器的配置,安裝證書並添加用戶賬戶,保證用戶的認證/授權/計費功能正常運行。
· 完成客戶端802.1X的配置,安裝證書。
(1) 創建hotspot policy
# 創建Hotspot 2.0策略號為1。
<AC> system-view
[AC] wlan hotspot-policy 1
# 配置網絡接入標識名為abc.com,EAP方式Protected EAP,擴展認證方式為Non-EAP Inner Authentication Type,擴展認證方式的認證參數為MSCHAPV2。
[AC-wlan-hs-1] nai-realm abc.com eap-method 6 auth-method 2 authentication 4
# 配置域名為domain.abc.com。
[AC-wlan-hs-1] domain-name domain.abc.com
# 配置HESSID為AP的MAC地址1232-ff23-0123。
[AC-wlan-hs-1] hessid 1232-ff23-0123
[AC-wlan-hs-1] quit
(2) 配置802.1X認證方式及RADIUS方案
# 配置802.1X認證方式為EAP
[AC] dot1x authentication-method eap
# 配置RADIUS方案imcc並進入其視圖。
[AC] radius scheme imcc
# 配置主認證/計費RADIUS服務器的IP地址。
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
# 配置AC與認證/計費服務器交互報文時的共享密鑰。
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(3) 配置ISP域的AAA方法
# 創建並進入名稱為imc的ISP域,為lan-access用戶配置AAA認證方法為RADIUS認證/授權/計費,且均使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(4) 創建無線服務模板,並綁定Hotspot 2.0策略
# 創建無線服務模板service1。
<AC> system-view
[AC] wlan service-template service1
# 配置無線服務模板的SSID為service。
[AC-wlan-st-service1] ssid service
# 將Hotspot 2.0策略綁定到無線服務模板。
[AC-wlan-st-service1] hotspot-policy 1
(5) 配置使用無線服務模板使用RSNA安全機製
[AC-wlan-st-service1] security-ie rsn
# 配置加密套件為CCMP。
[AC-wlan-st-service1] cipher-suite ccmp
# 配置身份認證和密鑰管理為dot1x。
[AC-wlan-st-service1] akm mode dot1x
(6) 配置WLAN用戶接入認證模式、ISP域並使能無線服務模板
# 配置WLAN用戶接入認證模式為dot1x模式。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置ISP域為imc。
[AC-wlan-st-service1] dot1x domain imc
# 使能無線服務模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(7) 進入radio視圖,綁定無線服務模板並使能radio
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
# 在Radio 2上綁定無線服務模板。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] service-template service1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(8) 配置RADIUS server(iMC V7)
· 下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1、iMC UAM 7.1),說明RADIUS server的基本配置。
· 在服務器上已經完成證書的安裝。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備配置]菜單項,進入接入設備管理頁麵,點擊頁麵中的接入設備配置按鈕,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
設置認證、計費共享密鑰為12345678,其它保持缺省配置;
選擇或手工增加接入設備,添加IP地址為10.18.1.1(AC的IP地址)的接入設備。
圖1-23 增加接入設備頁麵
# 增加接入策略。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入策略頁麵。
設置接入策略名為802.1X_policy;
選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。認證證書子類型需要與客戶端的身份驗證方法一致。
圖1-24 增加接入策略頁麵
# 增加接入服務。
選擇“用戶”頁簽,單擊導航欄中的[接入策略管理/接入服務管理]菜單項,進入接入服務管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入服務頁麵。
設置服務名為802.1X_ser;
設置缺省接入策略為已經創建的dot1x策略。
圖1-25 增加接入服務頁麵
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
添加用戶admin;
添加帳號名為admin,密碼為12345678;
選中剛才配置的服務802.1X_ser。
圖1-26 增加接入用戶頁麵
(9) 配置無線終端(以三星手機為例)
# 使用文本編輯軟件編輯Hotspot 2.0特性的配置文件“cred.conf”。
· 配置文件中的nai-realm、domain-name需要和AC上配置的hotspot-policy中nai-realm、domain-name保持一致。
· 配置文件中的username、password必須和RADIUS服務器上配置的用戶名和密碼保持一致。
· 配置文件中EAP、phase2的取值,Hotspot 2.0和RADIUS服務器上的認證方式必須保持一致。
編輯配置文件的方式有兩種,一種是直接在PC上編輯,在完成編輯後,可以通過USB傳輸的方式或郵件的方式將配置文件傳輸到手機並保存在根目錄下。另一種方式是直接在手機上用文檔編輯APP編輯配置文件並保存在根目錄下。
在PC上編輯的配置文件內容如下:
cred={
realm="abc.com"
username="admin"
password="12345678"
domain="domain.abc.com"
eap=PEAP
phase2="auth=MSCHAPV2"
}
# 點擊進入無線網絡設定,並點擊高級選項,
表1-3 開啟三星手機WLAN功能示意圖
# 進入高級設置界麵,開啟Passpoint功能。
表1-4 三星手機WLAN高級設置頁麵示意圖
# 手機將自動連接合適的無線網絡。
圖1-27 連接成功示意圖
# 在AC上使用命令display wlan client verbose查看無線客戶端的詳細信息。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : 000f-e265-6400
IPv4 address : 10.1.1.114
IPv6 address : 2001::1234:5678:0102:0304
Username : admin
AID : 1
AP ID : 2
AP name : ap1
Radio ID : 2
SSID : service
BSSID : 0026-3e08-1150
VLAN ID : 1
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
SM power save : Enabled
SM power save mode : Static
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Support HT-MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 49
Rx/Tx rate : 130/11 Mbps
Speed : N/A
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : N/A
Online time : 0days 0hours 0minutes 36seconds
FT status : Inactive
某高校辦公大樓作為無線熱點區域部署無線網絡,支持Hotspot 2.0特性的移動終端通過Hotspot 2.0特性實現在移動網絡和辦公樓無線網絡之間的無縫漫遊,無需手動進行操作。
圖1-28 Hotspot 2.0配置組網圖
· 下述配置步驟中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
· 加載在線注冊服務器圖標之前需要用戶手動在設備版本文件所在的存儲介質上的根目錄下創建icon文件(可通過mkdir命令配置),然後通過FTP或TFTP等方式將圖標文件下載到該icon文件中。
(1) 配置在線注冊服務器
# 創建在線注冊服務器索引號為1。
<AC> system-view
[AC] wlan osu-provider 1
# 配置在線注冊服務器名稱為osu_test語言碼為英語。
[AC-wlan-osu-1] friendly-name osu_test lang-code eng
# 配置在線注冊服務器URI路徑為https://192.168.1.23:8088/service。
[AC-wlan-osu-1] uri https://192.168.1.23:8088/service
# 配置客戶端訪問在線注冊服務器所使用的協議類型為1,表示SOAP-XML SPP。
[AC-wlan-osu-1] method 1
# 配置在線注冊服務圖標文件為test.png,語言標識碼為英語,圖標格式為png。
[AC-wlan-osu-1] icon-file test.png lang-code eng icon-type png
# 配置在線注冊服務器描述信息為The OSU provider。
[AC-wlan-osu-1] description "The OSU provider." lang-code eng
# 配置NAI為example.com。
[AC-wlan-osu-1] nai example.com
[AC-wlan-osu-1] quit
(2) 配置hotspot 2.0 策略
# 創建Hotspot 2.0策略,策略號為1。
[AC] wlan hotspot-policy 1
# 配置網絡接入標識名為example.com,EAP認證方式為EAP-Authentication and Key Agreement(EAP-AKA),擴展認證方式為Non-EAP Inner Authentication Type,擴展認證方式的認證參數為MSCHAPV2。
[AC-wlan-hs-1] nai-realm example.com eap-method 5 auth-method 2 authentication 4
# 配置網絡類型為Wildcard。
[AC-wlan-hs-1] network-type 15
# 配置漫遊聯盟信息為80F62E,並將該標識加入Beacon幀。
[AC-wlan-hs-1] roam-oi 80F62E in-beacon
# 配置域名為domain.com。
[AC-wlan-hs-1] domain-name domain.com
# 配置分配給客戶端的IPv4地址類型為可用的公共IPv4地址,IPv6地址類型為可用IPv6地址。
[AC-wlan-hs-1] ip-type ipv4 1 ipv6 1
# 配置在線注冊服務SSID為osu-ssid。
[AC-wlan-hs-1] osu-ssid osu-ssid
# 將在線注冊服務器綁定到Hotspot 2.0策略1。
[AC-wlan-hs-1] osu-provider 1
[AC-wlan-hs-1] quit
# 當配置的在線注冊服務器圖標文件變更時,加載在線注冊服務器圖標
[AC] wlan hotspot osu-icon upload
# 創建提供開放式在線注冊服務的無線服務模板。
[AC] wlan service-template osu
# 配置無線服務模板SSID為osu-ssid。
[AC-wlan-st-osu] ssid osu-ssid
# 使能無線服務模板。
[AC-wlan-st-osu] service-template enable
[AC-wlan-st-osu] quit
(4) 配置802.1X認證方式及RADIUS方案
# 配置802.1X認證方式為EAP
[AC] dot1x authentication-method eap
# 創建RADIUS方案imcc。
[AC] radius scheme imcc
# 配置主認證/計費RADIUS服務器的IP地址為192.168.1.23。
[AC-radius-imcc] primary authentication 192.168.1.23 1812
[AC-radius-imcc] primary accounting 192.168.1.23 1813
# 配置AC與認證/計費服務器交互報文時的共享密鑰。
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(5) 配置ISP域的AAA方法
# 創建並進入名稱為abc的ISP域,為lan-access用戶配置AAA認證方法為RADIUS認證/授權/計費,且均使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(6) 配置無線服務模板,並綁定Hotspot 2.0策略
# 創建無線服務模板stname。
[AC] wlan service-template stname
# 配置無線服務模板的SSID為service。
[AC-wlan-st-stname] ssid service
# 將Hotspot 2.0策略綁定到無線服務模板。
[AC-wlan-st-stname] hotspot-policy 1
(7) 配置無線服務模板使用RSNA安全機製
# 配置安全信息元素為RSN。
[AC-wlan-st-stname] security-ie rsn
# 配置加密套件為CCMP。
[AC-wlan-st-stname] cipher-suite ccmp
# 配置身份認證和密鑰管理模式為dot1x,WLAN用戶接入認證模式為dot1x模式。
[AC-wlan-st-stname] akm mode dot1x
(8) 配置WLAN用戶接入認證模式、ISP域並使能無線服務模板
# 配置WLAN用戶接入認證模式為dot1x模式。
[AC-wlan-st-stname] client-security authentication-mode dot1x
# 配置ISP域為imc。
[AC-wlan-st-stname] dot1x domain imc
# 使能無線服務模板。
[AC-wlan-st-stname] service-template enable
[AC-wlan-st-stname] quit
(9) 配置Radio
# 創建手工AP,名稱為ap1,並選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置集結點信息為office,語言標識碼為英語。
[AC-wlan-ap-ap1] venue name "H3C lab" lang-code eng
# 在Radio 2上綁定無線服務模板。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] service-template stname
[AC-wlan-ap-ap1-radio-2] service-template osu
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
# 配置完成後,在AC上使用命令display wlan hotspot uploaded-osu-icon查看已加載的在線注冊服務器圖標。
[AC] display wlan hotspot uploaded-osu-icon
Total number of icons: 1
Icon name Icon type
--------------------------------------------------------------------------------
test.png png
# 配置完成後,Hotspot 2.0網絡中,有abcd用戶接入時,可以在AC上通過命令display wlan client verbose看到無線客戶端的詳細信息。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : d022-bee8-a267
IPv4 address : 192.168.1.52
IPv6 address : N/A
Username : abcd
AID : 2
AP ID : 1
AP name : ap1
Radio ID : 2
SSID : service
BSSID : 5866-ba74-e790
VLAN ID : 1
Sleep count : 37
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 Both
TID 2 Out
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 45
Rx/Tx rate : 72.2/72.2 Mbps
Speed : N/A
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : N/A
Online time : 0days 0hours 1minutes 29seconds
FT status : Inactive
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
