目  錄

1 Client漫遊中心

1.1 Client漫遊中心簡介

1.1.1 典型組網

1.1.2 工作流程

1.2 Client漫遊中心與硬件適配關係

1.3 Client漫遊中心配置任務簡介

1.4 開啟Client漫遊中心功能

1.5 配置WLAN漫遊中心的IP地址和端口號

1.6 配置Client漫遊中心接收響應報文的超時時間

1.7 配置Client漫遊中心發送請求報文的最大嚐試次數

1.8 配置地址安全表項老化時間

1.9 Client漫遊中心典型配置舉例

1.9.1 WLAN地址安全配置舉例

 

1 Client漫遊中心

1.1  Client漫遊中心簡介

1.1.1  典型組網

在無線網絡中，MAC地址和IP地址仿冒的問題非常嚴重，Client漫遊中心可以對上線用戶的MAC地址和IP地址進行檢查，阻止仿冒用戶上線，從而保障合法用戶的利益，加強網絡安全。

Client漫遊中心和WLAN漫遊中心配合使用，典型組網如圖1-1所示，其中：

·     Client漫遊中心：部署在AC上，用於識別和收集用戶信息、檢查用戶MAC地址和IP地址的合法性。

·     WLAN漫遊中心：部署在AC上，用於根據Client漫遊中心提供的信息建立用戶MAC地址表項和IP地址表項以及用戶黑名單表項，並向Client漫遊中心提供查詢服務。

關於WLAN漫遊中心的詳細介紹，請參見“WLAN漫遊配置指導”中的“WLAN漫遊中心”。

圖1-1 WLAN地址安全組網示意圖

 

1.1.2  工作流程

Client漫遊中心的具體工作流程如下：

(1)     Client漫遊中心收到Client上線通知後，查詢本地是否存在對應的MAC地址表項和IP地址表項：

¡     若不存在，則向WLAN漫遊中心發送衝突查詢報文：

-     如果WLAN漫遊中心未查詢到衝突，則向Client漫遊中心回應檢查通過報文，WLAN漫遊中心和Client漫遊中心會生成MAC地址表項和IP地址表項，然後對Client開始計費。

-     如果WLAN漫遊中心查詢到衝突，則檢查仿冒黑名單。如果原用戶和仿冒用戶都在或都不在仿冒名單裏，則向Client漫遊中心發送回應報文，Client漫遊中心會將兩者加入本地黑名單，拒絕兩者上線，如果隻有一個在仿冒名單裏，則拒絕仿冒名單裏的用戶上線。

¡     若存在，則執行以下流程：

-     如果查詢到對應的IP地址表項，則判斷用戶名是否相同：用戶名相同，則會把之前上線的Client踢下線，更新本地MAC地址表項和IP地址表項，並通知WLAN漫遊中心更新相關表項，同時把之前的MAC地址加入MAC地址黑名單。用戶名不相同，則會把兩個都加入MAC地址黑名單，都會踢下線，在生存時間內都不允許上線。

-     如果查詢到對應的MAC地址表項，則去WLAN漫遊中心查詢手動配置的地址仿冒用戶黑名單表項，並將黑名單中的用戶踢下線。當WLAN漫遊中心查詢到對應的MAC地址表項時會通知本地查詢結果，並自動生成一個用戶黑名單，用戶黑名單包含了用戶名和MAC地址，在表項老化之前會拒絕仿冒用戶接入。

(2)     當Client的IP地址發生變化時，會再次觸發上述查詢流程。

1.2  Client漫遊中心與硬件適配關係

本特性的支持情況與設備型號有關，請以設備的實際情況為準。

產品係列	產品型號	產品代碼	說明
WX1800H係列	WX1804H-PWR	EWP-WX1804H-PWR-CN	不支持
WX2500H係列	WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H	EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H	不支持
MAK係列	MAK204 MAK206	EWP-MAK204 EWP-MAK206	不支持
WX3000H係列	WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F	EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F	不支持
WX3500H係列	WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H	EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F	支持
WX5500E係列	WX5510E WX5540E	EWP-WX5510E EWP-WX5540E	支持
WX5500H係列	WX5540H WX5560H WX5580H	EWP-WX5540H EWP-WX5560H EWP-WX5580H	支持
AC插卡係列	LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F	LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F	支持

 

產品係列	產品型號	產品代碼	說明
WX1800H係列	WX1804H-PWR WX1810H-PWR WX1820H WX1840H	EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL	不支持
WX3800H係列	WX3820H WX3840H	EWP-WX3820H-GL EWP-WX3840H-GL	支持
WX5800H係列	WX5860H	EWP-WX5860H-GL	支持

 

1.3  Client漫遊中心配置任務簡介

Client漫遊中心配置任務如下：

·     開啟Client漫遊中心功能

·     配置WLAN漫遊中心的IP地址和端口號

·     （可選）配置Client漫遊中心接收響應報文的超時時間

·     （可選）配置Client漫遊中心發送請求報文的最大嚐試次數

·     （可選）配置地址安全表項老化時間

1.4  開啟Client漫遊中心功能

1. 功能簡介

開啟Client漫遊中心功能後，AC可以將接入的所有用戶信息同步到WLAN漫遊中心，從而達到通過WLAN漫遊中心監控全網客戶端MAC地址和IP地址仿冒的目的。

2. 配置限製和指導

Client漫遊中心功能必須和地址安全功能配合使用才能生效，關於WLAN地址安全的詳細介紹請參見“WLAN漫遊配置指導”中的“WLAN漫遊中心”。

AC上開啟地址安全功能且關閉Client漫遊中心功能後，新用戶可以通過802.1X認證但無法接入，已經接入的在線用戶不受影響。如果AC上關閉了地址安全功能，則是否關閉Client漫遊中心對用戶接入沒有影響。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建Client漫遊中心，並進入Client漫遊中心視圖。

client roaming-center

(3)     開啟Client漫遊中心功能。

roaming-center enable

缺省情況下，Client漫遊中心功能處於關閉狀態。

1.5  配置WLAN漫遊中心的IP地址和端口號

1. 功能簡介

Client漫遊中心上需要指定與WLAN漫遊中心進行報文交互的IP地址和端口號。

2. 配置限製和指導

Client漫遊中心上指定的IP地址可以為WLAN漫遊中心上配置的與Client漫遊中心通信的任意IP地址，且此IP地址隻能配置一個，新配置將覆蓋已有配置。

設備上有客戶端在線時，不建議修改WLAN漫遊中心的IP地址和UDP端口號，否則可能會導致Client漫遊中心和WLAN漫遊中心數據不同步。

在Client漫遊中心上指定WLAN漫遊中心的UDP端口號需要和WLAN漫遊中心視圖下配置的UDP端口號保持一致。

修改UDP端口號時，為防止用戶數據殘留，建議先關閉WLAN漫遊中心功能，修改完成後再重新開啟。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     在Client漫遊中心上指定WLAN漫遊中心的IP地址。

wlan-roaming-center ip ip-address

缺省情況下，未在Client漫遊中心上指定WLAN漫遊中心的IP地址。

(4)     在Client漫遊中心上指定WLAN漫遊中心的UDP端口號。

wlan-roaming-center port port-number

缺省情況下，WLAN漫遊中心的UDP端口號為1088。

1.6  配置Client漫遊中心接收響應報文的超時時間

1. 功能簡介

Client漫遊中心會向WLAN漫遊中心發送用戶信息同步報文、保活報文等，WLAN漫遊中心收到報文後會發送響應報文，如果Client漫遊中心未在配置的超時時間內收到響應報文，會重新發送相關報文。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     配置Client漫遊中心接收WLAN漫遊中心響應報文的超時時間。

response-timeout timeout

缺省情況下，Client漫遊中心接收WLAN漫遊中心響應報文的超時時間為3秒。

1.7  配置Client漫遊中心發送請求報文的最大嚐試次數

1. 功能簡介

Client漫遊中心會向WLAN漫遊中心發送用戶信息同步報文、保活報文等，WLAN漫遊中心收到報文後會發送響應報文，如果Client漫遊中心未在配置的超時時間內收到響應報文，會重新發送相關報文。如果達到最大嚐試次數後，Client漫遊中心仍未收到響應報文，將認為本次請求失敗，但不會刪除用戶信息。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     配置Client漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數。

retry retries

缺省情況下，Client漫遊中心向WLAN漫遊中心發送報文的最大嚐試次數為5次。

1.8  配置地址安全表項老化時間

1. 功能簡介

地址安全表項用來記錄用戶信息，包括用戶MAC地址、IP地址和用戶名等關鍵信息。用戶上線時由Client漫遊中心自動創建並記錄地址安全表項。地址安全表項老化後，會自動刪除。

2. 配置限製和指導

地址安全表項老化時間建議配置為不大於客戶端向DHCP服務器申請的IP地址租約有效期。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入Client漫遊中心視圖。

client roaming-center

(3)     配置地址安全表項的老化時間。

address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }

缺省情況下，IPv4地址安全表項的老化時間為14400秒，IPv6地址安全表項的老化時間為604800秒。

1.9  Client漫遊中心典型配置舉例

1.9.1  WLAN地址安全配置舉例

1. 組網需求

如圖1-2所示，AC 1作為WLAN漫遊中心，AC 2和AC 3作為Client漫遊中心，Client通過AP在AC 2上進行802.1X認證並接入，要求Client在AC 2和AC 3上每次接入都進行地址安全檢查。

2. 組網圖

圖1-2 WLAN地址安全組網圖

 

3. 配置AC 1

# 創建WLAN漫遊中心，並進入WLAN漫遊中心視圖。

<AC1> system-view

[AC1] wlan roaming-center

# 開啟WLAN漫遊中心功能。

[AC1-wlan-roaming-center] roaming-center enable

[AC1-wlan-roaming-center] quit

4. 配置AC 2

(1)     配置設備各接口的IP地址，保證啟動無線802.1X認證之前服務器和AC之間的路由可達，具體配置步驟略。

(2)     配置RADIUS方案

# 創建名字為rs1的RADIUS方案並進入該方案視圖。

<AC2> system-view

[AC2] radius scheme rs1

# 配置RADIUS方案的主認證和主計費服務器及其通信密鑰。

[AC2-radius-rs1] primary authentication 192.168.0.112

[AC2-radius-rs1] primary accounting 192.168.0.112

[AC2-radius-rs1] key authentication simple radius

[AC2-radius-rs1] key accounting simple radius

# 配置發送給RADIUS服務器的用戶名不攜帶ISP域名。

[AC2-radius-rs1] user-name-format without-domain

[AC2-radius-rs1] quit

(3)     配置認證域

# 創建並進入名字為dm1的ISP域。

[AC2] domain dm1

# 配置ISP域的AAA方法。

[AC2-isp-dm1] authentication lan-access radius-scheme rs1

[AC2-isp-dm1] authorization lan-access radius-scheme rs1

[AC2-isp-dm1] accounting lan-access radius-scheme rs1

[AC2-isp-dm1] quit

(4)     配置802.1X認證

# 配置802.1X認證方式為EAP。

[AC2] dot1x authentication-method eap

# 創建手工AP，名稱為ap2，選擇AP型號並配置序列號。

[AC2] wlan ap ap2 model WA6320

[AC2-wlan-ap-ap2] serial-id 219801A28N819CE0002T

[AC2-wlan-ap-ap2] quit

# 配置無線服務模板，SSID為AddrSec。

[AC2] wlan service-template newst

[AC2–wlan-st-newst] ssid AddrSec

# 在無線服務模板newst上配置RSN+802.1X認證。

[AC2–wlan-st-newst] client-security authentication-mode dot1x

[AC2–wlan-st-newst] akm mode dot1x

[AC2–wlan-st-newst] cipher-suite ccmp

[AC2–wlan-st-newst] security-ie rsn

[AC2–wlan-st-newst] dot1x domain dm1

# 開啟地址安全功能。

[AC2–wlan-st-newst] address-security enable

# 開啟無線服務模板newst。

[AC2–wlan-st-newst] service-template enable

[AC2–wlan-st-newst] quit

# 配置射頻，指定工作信道為11。

[AC2] wlan ap ap2

[AC2-wlan-ap-ap2] radio 2

[AC2-wlan-ap-ap2-radio-2] channel 11

# 開啟射頻功能，將無線服務模板newst綁定到Radio2上。

[AC2-wlan-ap-ap2-radio-2] radio enable

[AC2-wlan-ap-ap2-radio-2] service-template newst

[AC2-wlan-ap-ap2-radio-2] quit

[AC2-wlan-ap-ap2] quit

(5)     配置Client漫遊中心

# 創建Client漫遊中心，並進入Client漫遊中心視圖。

[AC2] client roaming-center

# 指定WLAN漫遊中心的IP地址。

[AC2-client-roaming-center] wlan-roaming-center ip 192.168.1.1

# 開啟Client漫遊中心功能。

[AC2-client-roaming-center] roaming-center enable

[AC2-client-roaming-center] quit

5. 配置AC 3

AC 3的配置與AC 2相同，請參見配置AC 2。

6. 配置AAA服務器

完成RADIUS服務器上的配置，保證用戶的認證/計費功能正常運行，具體配置步驟略。

7. 驗證配置

Client在AC 2上通過dot1x認證模式上線。

# 在 AC2查看認證客戶端

<AC2> display dot1x connection

Total connections: 1

User MAC address                   : 9cd3-6d9e-6742

AP name                            : ap1

Radio ID                           : 1

SSID                               : roam-relay

BSSID                              : 487a-da52-d321

Username                           : rsn4x

Authentication domain              : imc

IPv4 address                       : 126.0.0.12

IPv6 address                       : 2000:1000:1020::2

Authentication method              : EAP

Initial VLAN                       : 1

Authorization VLAN                 : 1

Authorization ACL number           : N/A

Authorization user profile         : N/A

Authorization CAR                  : N/A

Authorization URL                  : http://oauth.h3c.com

Termination action                 : N/A

Session timeout last from          : N/A

Session timeout period             : N/A

Online from                        : 2020/06/06 13:23:31

Online duration                    : 0h 0m 20s

# 在 AC 2上查看地址安全生成的本地MAC地址表項。

[AC2] probe

[AC2-probe] display system internal wlan address-security local-cache mac

Total number of MACs: 1

 

MAC address    User name            Duration

9cd3-6d9e-6742 rsn4x                0days 0hours 0minutes 42seconds

# 在 AC 2上查看地址安全生成的本地IP地址表項。

[AC2-probe] display system internal wlan address-security cache ip

Total number of IPs: 2

 

IP address                              User name            MAC address

126.0.0.12                              rsn4x                9cd3-6d9e-6742

2000:1000:1020::2                       rsn4x                9cd3-6d9e-6742

# 在 AC 1上查看Client漫遊中心同步給WLAN漫遊中心的MAC地址表項。

[AC1] probe

[AC1-probe] display system internal wlan address-security cache mac

Total number of MACs: 1

 

MAC address    User name            Duration

9cd3-6d9e-6742 rsn4x                0days 0hours 1minutes 7seconds

# 在 AC 1上查看Client漫遊中心同步給WLAN漫遊中心的IP地址表項。

[AC1] probe

[AC1-probe] display system internal wlan address-security cache ip

Total number of IPs: 2

 

IP address                              User name            MAC address

126.0.0.12                              rsn4x                9cd3-6d9e-6742

2000:1000:1020::2                       rsn4x                9cd3-6d9e-6742