- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-WLAN接入配置
本章節下載: 05-WLAN接入配置 (946.83 KB)
目 錄
1.8.3 配置客戶端數據報文在CAPWAP隧道中的封裝格式
1.9.7 關閉僅本地認證無線客戶端信息上報成功才允許客戶端上線功能
1.10.9 開啟Beacon和Probe Response報文攜帶BSS Load IE功能
1.19.7 訪客隧道加密模式下跨NAT設備訪客接入典型配置舉例
WLAN接入為用戶提供接入網絡的服務。無線服務的骨幹網通常使用有線電纜作為線路連接安置在固定網絡,接入點設備安置在需要覆蓋無線網絡的區域,用戶在該區域內可以通過無線接入的方式接入無線網絡。
客戶端首先需要通過主動/被動掃描方式發現周圍的無線網絡,再通過鏈路層認證、關聯和用戶接入認證三個過程後,才能和AP建立連接,最終接入無線服務。整個過程如圖1-1所示。有關鏈路層認證、用戶接入認證的詳細介紹及相關配置請參見“WLAN配置指導”中的“WLAN用戶安全”、“WLAN用戶接入認證”。
客戶端在實際工作過程中,通常同時使用主動掃描和被動掃描獲取周圍的無線網絡信息。
主動掃描是指客戶端在工作過程中,會定期地搜索周圍的無線網絡,也就是主動掃描周圍的無線網絡。客戶端在掃描的時候,會主動廣播Probe Request幀(探測請求幀),通過收到Probe Response幀(探測響應幀)獲取無線網絡信息。根據Probe Request幀是否攜帶SSID(Service Set Identifier,服務集標識符),可以將主動掃描分為兩種:
· 客戶端發送Probe Request幀(Probe Request中SSID為空,也就是SSID這個信息元素的長度為0):客戶端會定期地在其支持的信道列表中,發送Probe Request幀掃描無線網絡。當AP收到Probe Request幀後,會回複Probe Response幀通告可以提供服務的無線網絡信息。客戶端通過主動掃描,可以主動獲知可使用的無線服務,之後客戶端可以根據需要選擇適當的無線網絡接入。客戶端主動掃描方式的過程如圖1-2所示。
圖1-2 主動掃描過程(Probe Request中SSID為空,也就是不攜帶任何SSID信息)
· 客戶端發送Probe Request幀(攜帶指定的SSID):在客戶端上配置了希望連接的無線網絡或者客戶端已經成功連接到一個無線網絡的情況下,客戶端會定期發送Probe Request幀(攜帶已經配置或者已經連接的無線網絡的SSID),能夠提供指定SSID無線服務的AP接收到Probe Request幀後,會回複Probe Response幀。通過這種方法,客戶端可以主動掃描指定的無線網絡。這種客戶端主動掃描方式的過程如圖1-3所示。
圖1-3 主動掃描過程(Probe Request攜帶指定為“APPLE”的SSID)
被動掃描是指客戶端通過偵聽AP定期發送的Beacon幀(信標幀)發現周圍的無線網絡。提供無線服務的AP設備都會周期性地廣播發送Beacon幀,所以客戶端可以定期在支持的信道列表監聽Beacon幀獲取周圍的無線網絡信息,從而接入AP。當客戶端需要節省電量時,可以使用被動掃描。被動掃描的過程如圖1-4所示。
當客戶端通過指定SSID選擇無線網絡,並通過AP鏈路認證後,就會立即向AP發送Association Request幀(關聯請求幀),AP會對Association Request幀攜帶的能力信息進行檢測,最終確定該客戶端支持的能力,並回複Association Response幀(關聯響應幀)通知客戶端鏈路是否關聯成功。
WLAN接入控製的主要目的為對用戶接入網絡和訪問網絡進行控製,WLAN接入控製的方式有以下幾種:
· 基於AP組的接入控製。
· 基於SSID的接入控製。
· 基於名單的接入控製。
· 基於ACL的接入控製。
如圖1-5所示,無線網絡中有3個AP,要求Client 1和Client 2隻能通過AP 1或AP 2接入網絡,Client 3隻能通過AP 3接入網絡。為實現上述要求,將AP 1和AP 2添加進AP組1中,AP 3添加進AP組2中。AC上配置Client 1和Client 2對應的User Profile指定允許接入的AP組為AP組1,Client 3對應的User Profile指定允許接入的AP組為AP組2。當Client 1、Client 2和Client 3準備接入網絡並通過身份認證後,認證服務器會將與用戶賬戶綁定的User Profile名稱下發給AC,AC根據指定User Profile裏配置的內容查看客戶端關聯的AP是否在允許接入的AP組中,如果客戶端關聯的AP在允許接入的AP組中,客戶端成功上線,否則上線失敗。
圖1-5 基於AP組的接入控製組網應用
如圖1-6所示,無線網絡中有3個AP,要求Client 1和Client 2隻能接入的SSID名稱為ssida的無線服務,Client 3隻能接入的SSID名稱為ssidb的無線服務。為實現上述要求,AC上配置Client 1和Client 2對應的User Profile指定允許接入的SSID名稱為ssida,Client 3對應的User Profile指定允許接入的SSID名稱為ssidb。當Client 1、Client 2和Client 3準備接入網絡並通過身份認證後,認證服務器會將與用戶賬戶綁定的User Profile名稱下發給AC,AC根據指定User Profile裏配置的內容查看客戶端關聯的SSID是否為允許接入的SSID,如果客戶端關聯的SSID為指定允許接入的SSID,客戶端成功上線,否則上線失敗。
圖1-6 基於SSID的接入控製組網應用
無線網絡很容易受到各種網絡威脅的影響,非法設備對於無線網絡來說是一個很嚴重的威脅,因此需要對客戶端的接入進行控製。通過黑名單和白名單功能來過濾客戶端,對客戶端進行控製,防止非法客戶端接入無線網絡,可以有效的保護企業網絡不被非法設備訪問,從而保證無線網絡的安全。
白名單定義了允許接入無線網絡的客戶端MAC地址表項,不在白名單中的客戶端不允許接入。白名單表項隻能手工添加和刪除。
黑名單定義了禁止接入無線網絡的客戶端MAC地址表項,在黑名單中的客戶端不允許接入。黑名單分為靜態黑名單和動態黑名單,以下分別介紹。
· 靜態黑名單
靜態添加、刪除表項的黑名單稱為靜態黑名單,當無線網絡明確拒絕某些客戶端接入時,可以將這些客戶端加入靜態黑名單。
· 動態黑名單
動態添加、刪除表項的黑名單稱為動態黑名單。在配置了對非法設備進行反製、無線客戶端二次接入認證等場景下,設備會將明確拒絕接入的客戶端MAC地址加入到動態黑名單,當動態黑名單表項到達老化超時時間後,刪除該表項。基於AC生效的動態黑名單會對所有與AC相連的AP生效,基於AP生效的動態黑名單僅對客戶端接入的AP生效。有關反製功能的詳細介紹,請參見“WLAN配置指導”中的“WIPS”。
· 動態黑名單
動態添加、刪除表項的黑名單稱為動態黑名單。在配置了對非法設備進行反製、無線客戶端二次接入認證等場景下,設備會將明確拒絕接入的客戶端MAC地址加入到動態黑名單,當動態黑名單表項到達老化超時時間後,刪除該表項。有關反製功能的詳細介紹,請參見“WLAN配置指導”中的“WIPS”。
當收到客戶端關聯請求報文或AP向AC發送的Add mobile報文時,無線設備將使用白名單和黑名單對客戶端的MAC地址進行過濾。以圖1-7為例,具體的過濾機製如下:
(1) 當AC上存在白名單時,AC將判斷Client 1的MAC地址是否在白名單中,如果在白名單中,則允許客戶端從任意一個AP接入無線網絡,如果Client 1不在白名單中,則拒絕Client 1從任何一個AP接入。
(2) 當AC上不存在白名單時,AC則判斷Client 1的MAC地址是否在靜態黑名單中,若Client 1在靜態黑名單中則拒絕Client 1從任何一個AP接入無線網絡。
(3) 當AC上不存在白名單且Client 1的MAC地址不在靜態黑名單中時,為Client 1配置了二次接入認證時間間隔或者AP收到Client 1的攻擊報文:如果配置了動態黑名單基於AP生效,則AC會將Client 1的MAC地址添加到動態黑名單中,並僅拒絕Client 1從AP 1上接入無線網絡,但仍允許Client 1從AP 2或AP 3接入無線網絡;如果配置了動態黑名單基於AC生效,則拒絕Client 1從任何一個AP接入無線網絡。
當收到客戶端關聯請求報文時,無線設備將使用白名單和黑名單對客戶端的MAC地址進行過濾。以圖1-8為例,具體的過濾機製如下:
(1) 當AP上存在白名單時,AP將判斷Client 1的MAC地址是否在白名單中,如果在白名單中,則允許客戶端接入無線網絡,如果Client 1不在白名單中,則拒絕Client 1接入。
(2) 當AP上不存在白名單時,AP則判斷Client 1的MAC地址是否在靜態黑名單中,若Client 1在靜態黑名單中則拒絕Client 1接入無線網絡。
(3) 當AP上不存在白名單且Client 1的MAC地址不在靜態黑名單中時,如果為Client 1配置了二次接入認證時間間隔或者AP收到Client 1的攻擊報文,此時若配置了動態黑名單,則AP會將Client 1的MAC地址添加到動態黑名單中,並拒絕Client 1接入無線網絡。
基於ACL的接入控製是指,設備根據指定ACL中配置的規則對新接入的無線客戶端進行接入控製。
當無線客戶端接入無線網絡時,設備通過判斷無線客戶端MAC地址與指定的ACL規則的匹配情況對客戶端進行過濾,具體的過濾機製如下:
· 如果匹配上某permit規則,則允許無線客戶端接入無線網絡;
· 如果匹配上某deny規則,則拒絕無線客戶端接入無線網絡;
· 如果未匹配上任何規則,則拒絕其接入。
AP的Radio接口上開啟Client模式後,該AP將作為無線客戶端接入無線網絡,為沒有安裝無線網卡的設備提供公共無線網卡功能。
如圖1-9所示,將沒有安裝無線網卡的主機和打印機等設備通過交換機與AP 2的有線口相連,並在AP 2的Radio 1接口上開啟Client模式為這些設備提供無線網卡功能,接入無線網絡。
將AP 2的Radio 1接口設置為Client模式後,Radio 2接口仍然可以為無線客戶端提供無線接入服務。
圖1-9 Client模式組網圖
無線網絡在提供內部用戶接入的同時,還需要為訪客用戶提供無線接入,而訪客數據可能會給網絡帶來潛在的安全威脅。在這種情況下,可以使用訪客隧道功能,將訪客的所有數據通過訪客隧道重定向到企業的外網,在保證訪客用戶能夠接入無線網絡的同時,也能保障內網數據的安全。
訪客隧道建立在邊緣AC和彙聚AC之間。其中邊緣AC位於用戶內部網絡中,為內部用戶和訪客用戶提供接入和認證;彙聚AC位於外部網絡,處理訪客用戶的數據流量。訪客用戶會從指定的訪客VLAN上線,其數據流量則從訪客隧道的接口轉發至彙聚AC,實現訪客數據與內網數據隔離,同時可以通過配置IKE協商方式生成IPSec SA的IPv4 IPSec隧道實現訪客隧道的加密。
訪客隧道支持NAT穿越功能,即當邊緣AC和彙聚AC之間存在NAT設備時,AC之間能夠建立訪客隧道。
圖1-10 訪客隧道組網圖
在邊緣AC和彙聚AC上完成訪客隧道的相關配置後,邊緣AC會向彙聚AC發送用於建立訪客隧道的保活請求報文,當邊緣AC收到保活回應報文後,訪客隧道建立成功。
在對AP進行配置時,可以采用如下方式:
· 針對單台AP,在AP視圖下進行配置。
· 針對同一個AP組內的AP,在AP組視圖下針對AP組進行配置。
· 在全局配置視圖下針對所有AP進行全局配置。
對於一台AP,這些配置的生效優先級從高到低為:針對AP的配置、AP組中的配置、全局配置。
WLAN接入配置任務如下:
(1) 配置無線服務模板
¡ 創建無線服務模板
¡ (可選)配置描述信息
¡ 配置SSID
¡ (可選)配置無線服務模板允許關聯的最大客戶端數目
¡ 使能無線服務模板
¡ 綁定無線服務模板
¡ (可選)配置AP不繼承AP組下綁定的指定無線服務模板
(2) (可選)配置客戶端數據轉發功能
(3) (可選)配置客戶端管理功能
¡ 開啟快速關聯功能
¡ 關閉僅本地認證無線客戶端信息上報成功才允許客戶端上線功能
(4) (可選)配置客戶端維護功能
¡ 開啟Beacon和Probe Response報文攜帶BSS Load IE功能
(5) (可選)配置VIP客戶端功能
(6) (可選)配置無線轉發策略
(7) (可選)配置客戶端接入控製功能
¡ 配置白名單
¡ 配置靜態黑名單
¡ 配置動態黑名單
(8) (可選)指定AP的配置文件
(9) (可選)配置輕量控製模式
(10) (可選)開啟告警功能
無線服務模板即一類無線服務屬性的集合,如無線網絡的SSID、認證方式(開放係統認證或者共享密鑰認證)等。
(1) 進入係統視圖。
system-view
(2) 創建無線服務模板。
wlan service-template service-template-name
(3) (可選)配置無線客戶端從指定無線服務模板上線後所屬的VLAN。
vlan vlan-id
缺省情況下,無線客戶端從指定無線服務模板上線後將被加入到VLAN 1。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置無線服務模板的描述信息。
description text
缺省情況下,未配置無線服務模板的描述信息。
AP將SSID置於Beacon幀中向外廣播發送。若BSS一段時間內不可用即客戶端不能上線或不希望其它客戶端上線,則可以配置SSID隱藏。若配置了SSID隱藏,AP在Beacon幀中廣播的SSID信息為空,借此保護網絡免遭攻擊。為了進一步保護無線網絡,AP對於廣播Probe Request幀也不會回複。此時客戶端若想連接此BSS,則需要手工指定該SSID,這時客戶端會直接向該AP發送認證及關聯報文連接該BSS。
當射頻或無線服務模板下關聯的客戶端數目達到最大值時,AP會在Beacon幀中隱藏SSID信息,導致客戶端無法發現並關聯AP,配置SSID通告功能可以強製AP在Beacon幀中通告SSID信息,使客戶端可以發現AP,但無法進行關聯。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置SSID。
ssid ssid-name
缺省情況下,未配置SSID。
(4) (可選)配置SSID隱藏。
beacon ssid-hide
缺省情況下,信標幀不隱藏SSID。
(5) (可選)配置在信標幀中通告SSID。
beacon ssid-advertise
缺省情況下,信標幀不強製通告SSID。
配置單個射頻下單個無線服務模板上允許關聯的最大客戶端數目,可以防止單個射頻下單個無線服務模板上由於關聯的客戶端數量過多而過載。當單個射頻下單個無線服務模板上關聯的客戶端數達到允許關聯的最大客戶端數目,將不再接受新的客戶端關聯且SSID會自動隱藏。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置單個射頻下單個無線服務模板允許關聯的最大客戶端數目。
client max-count max-number
缺省情況下,不限製無線服務模板允許關聯的最大客戶端數目。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟無線服務模板。
service-template enable
缺省情況下,無線服務模板處於關閉狀態。
無線服務模板跟AP的Radio存在多對多的映射關係,將無線服務模板綁定在某個AP的射頻上,AP會根據射頻上綁定的無線服務模板的無線服務屬性創建無線服務BSS。BSS是提供無線服務的基本單元。在一個BSS的服務區域內(這個區域是指射頻信號覆蓋的範圍),客戶端能夠相互通信。
綁定無線服務模板時,可以進行如下配置:
· 可以為該BSS指定一個VLAN組,該BSS下連接的客戶端會被均衡地分配在VLAN組的所有VLAN中,既能將客戶端劃分在不同廣播域中,又能充分利用不連續的地址段為客戶端分配IP地址。
· 可以綁定NAS-Port-ID(Network Access Server Port Identifier,網絡接入服務器端口標識)和NAS-ID(Network Access Server Identifier,網絡接入服務器標識),用於網絡服務提供商標識客戶端的接入位置,區分流量來源。按照網絡服務提供者的標準,不同的NAS-Port-ID對應不同的位置信息。
· 可以配置SSID隱藏。
射頻能綁定的最大無線服務模板的個數為16個。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組ap-model視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 請依次執行以下命令進入AP組ap-model視圖。
wlan ap-group group-name
ap-model ap-model
(3) 進入Radio視圖。
radio radio-id
(4) 綁定無線服務模板。
service-template service-template-name [ vlan vlan-id1 [ vlan-id2 ] | vlan-group vlan-group-name ] [ ssid-hide ] [ nas-port-id nas-port-id ] [ nas-id nas-id ]
缺省情況下:
Radio視圖:繼承AP組Radio配置。
AP組Radio視圖:未綁定無線服務模板。
AP會繼承AP組下同型號AP對應的射頻下綁定的服務模板,同時創建無線服務BSS。如果AP不需要或不需要全部繼承AP組下綁定的無線服務模板,通過配置AP不繼承AP組下綁定的指定無線服務模板,不對指定的無線服務模板進行繼承。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖。
wlan ap ap-name
(3) 進入Radio視圖。
radio radio-id
(4) 配置AP不繼承AP組下綁定的指定無線服務模板。
inherit exclude service-template service-template-name
缺省情況下,AP繼承AP組下綁定的無線服務模板。
可以在AC上將客戶端數據報文轉發位置配置在AC或者AP上。
· 將數據報文轉發位置配置在AC上時,為集中式轉發,客戶端的數據流量由AP通過CAPWAP隧道透傳到AC,由AC轉發數據報文。
· 將數據報文轉發位置配置在AP上時,為本地轉發,客戶端的數據流量直接由AP進行轉發。將轉發位置配置在AP上緩解了AC的數據轉發壓力。
· 將轉發位置配置在AP上時,可以指定VLAN,即隻有處於指定VLAN的客戶端,在AP上轉發其數據流量。
若配置客戶端數據報文轉發位置在AC上,則需要保證客戶端數據報文轉發功能處於開啟狀態,否則配置不生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端數據報文轉發位置。
client forwarding-location { ac | ap [ vlan { vlan-start [ to vlan-end ] } ] }
缺省情況下,有關客戶端的數據報文轉發位置請參見命令手冊中對應描述。
在分層AC架構下,當客戶端數據報文轉發位置在AC(Central AC或Local AC)上時,建議在Central AC上關閉客戶端數據報文轉發功能,Local AC上開啟此功能,從而保障Central AC對整個無線網絡的管理性能:
· 若Central AC和Local AC均開啟了此功能,當AP與管理員所指定的Local AC關聯時,由Local AC轉發客戶端報文,指定Local AC發生故障後,AP將自動關聯到Central AC上,且客戶端數據報文的轉發位置會自動遷移到 Central AC上。
· 若僅Central AC或Local AC開啟了此功能,當AP與AC(Cental AC或Local AC)關聯後,若手工關閉了AC上的客戶端數據報文轉發功能,則隻有在重新開啟無線服務模板後,數據報文的轉發位置才會遷移到AP。
有關分層AC的配置請參見“WLAN配置指導”中的“分層AC”。
若指定了客戶端數據報文轉發位置在AC上,則必須開啟此功能才能使得AC能夠轉發客戶端數據報文;若指定了客戶端數據報文轉發位置在AP上,則此功能無效。
(1) 進入係統視圖。
system-view
(2) 開啟客戶端數據報文轉發功能。
wlan client forwarding enable
缺省情況下,客戶端數據報文轉發功能處於開啟狀態。
集中式轉發架構下,客戶端的數據報文由AP通過CAPWAP隧道透傳到AC。可以配置客戶端數據報文封裝在CAPWAP隧道中的格式為802.3或802.11格式,建議將客戶端數據報文封裝在CAPWAP中的格式為802.3格式,AC在收到客戶端報文後不需要進行報文格式轉換。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端數據報文在CAPWAP隧道中的封裝格式。
client frame-format { dot3 | dot11 }
缺省情況下,客戶端數據報文在CAPWAP隧道中的封裝格式為802.3格式。
通過配置對未知客戶端數據報文處理方式,可以選擇設備在收到未知客戶端發送的數據報文後,僅丟棄客戶端發送的數據報文不作處理,或丟棄客戶端發送的數據報文並向客戶端發送解除認證報文通知客戶端斷開連接。
(1) 進入係統視圖。
system-view
(2) 進入服務模板視圖。
wlan service-template service-template-name
(3) 配置對未知客戶端數據報文處理方式。
unknown-client [ deauthenticate | drop ]
缺省情況下,丟棄未知客戶端發送的數據報文並向客戶端發送解除認證報文。
開啟本功能後,設備會向處於上線過程中的AP的上行接口下發用於本地轉發客戶端數據報文的相關配置,包含port link-type trunk和port trunk permit vlan all命令。
若通過開啟遠程配置同步功能或指定AP的配置文件的方式向AP下發並修改port link-type trunk和port trunk permit vlan all命令,則可能會對本功能造成影響,請謹慎使用。有關遠程配置同步功能和指定AP配置文件的詳細介紹,請參見“WLAN配置指導”中的“AP管理”。
開啟本功能後必須重啟AP,本功能才會生效。
(1) 進入係統視圖。
system-view
(2) 開啟AP本地轉發自動配置功能。
wlan ap-forwarding auto-configuration enable
缺省情況下,AP本地轉發自動配置功能處於開啟狀態。
客戶端關聯位置在AC上時,客戶端與AP關聯的過程將由AC處理,管理報文通過CAPWAP隧道透傳到AC。選擇客戶端關聯位置在AC上具有安全和管理上的優勢,但是當AC與AP之間的網絡複雜,由於管理報文到達AC所需時間較長影響到關聯過程時,建議將客戶端關聯位置配置在AP上,直接由AP處理客戶端的關聯過程。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端關聯位置。
client association-location { ac | ap }
缺省情況下,客戶端的關聯位置在AC上。
如果WLAN環境中啟動了負載均衡和頻譜導航,客戶端關聯AP的效率將受到影響。對於不需要負載均衡和頻譜導航功能或注重低延遲的網絡服務,可以在無線服務模板下開啟快速關聯功能。無線服務模板開啟快速關聯功能後,即使AP上啟動了負載均衡和頻譜導航功能,也不會對該無線服務模板下接入的無線客戶端進行頻譜導航和負載均衡計算,從而讓客戶端可以快速的關聯到AP上。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟快速關聯功能。
quick-association enable
缺省情況下,快速關聯功能處於關閉狀態。
設備支持與特定第三方廠商的Web服務器通過HTTP協議傳輸客戶端信息。配置Web服務器信息後,設備將與Web服務器建立HTTP連接,將關聯客戶端的信息(如客戶端MAC地址、接入AP的MAC及接入時間等信息)發送給Web服務器,由服務器進行存儲並由用戶進行查看。
(1) 進入係統視圖。
system-view
(2) 配置接收客戶端信息的Web服務器的域名和端口號。
wlan web-server host host-name port port-number
缺省情況下,未配置接收客戶端信息的Web服務器的域名和端口號。
(3) 指定接收客戶端信息的Web服務器的路徑。
wlan web-server api-path path
缺省情況下,未指定接收客戶端信息的Web服務器的路徑。
(4) (可選)配置設備一次向Web服務器上報客戶端信息的最大數目。
wlan web-server max-client-entry number
缺省情況下,設備一次向Web服務器上報客戶端信息的最大數目為10。
客戶端上線時,設備會自動生成客戶端上線日誌來記錄該事件。客戶端上線日誌的格式有兩種,格式不同,記錄的內容不同。
· H3C格式:日誌內容為客戶端上線的AP名稱、Radio ID、客戶端MAC地址、關聯的SSID、BSSID及客戶端的上線狀態。
· normal格式:日誌內容為客戶端上線的AP的MAC地址、AP名稱、客戶端IP地址、客戶端MAC地址、關聯的SSID及BSSID。
· sangfor格式:日誌內容為客戶端上線的AP的MAC地址、客戶端IP地址和客戶端MAC地址。
缺省情況下,客戶端上線時,設備會自動生成H3C格式的客戶端上線日誌。配置本功能後,設備在生成H3C格式日誌的同時,還會生成normal格式或者sangfor格式的客戶端上線日誌。所有格式的客戶端上線日誌均會發送給設備的信息中心模塊,由信息中心模塊決定日誌最終的輸出方向。有關信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 配置客戶端上線日誌的格式。
customlog format wlan { normal | sangfor }
缺省情況下,僅輸出H3C格式的客戶端上線日誌。
客戶端首次上線時,AP會為動態分配方式下的客戶端隨機分配無線服務模板綁定Radio時指定的VLAN組內的一個VLAN,根據客戶端的MAC地址為靜態分配、靜態兼容分配方式下的客戶端分配VLAN。客戶端再次上線時被分配的VLAN將由配置的VLAN分配方式決定:
· 靜態分配方式下,直接繼承上次VLAN組分配的VLAN。若客戶端的IP地址在租約內,仍為客戶端分配同一個IP地址。采用該分配方式,可以減少IP地址的消耗。
· 動態分配方式下,VLAN組再次隨機為客戶端分配VLAN。采用該分配方式,客戶端會被均衡地分配在VLAN組的所有VLAN中。
· 靜態兼容分配方式下,可以保證客戶端在采用靜態分配方式的Comware V5 版本AC設備與ComwareV7版本的AC之間漫遊時,被分配相同的VLAN。
當客戶端的VLAN分配方式為static或static-compatible時,修改VLAN組內的VLAN,會導致已在該VLAN上線的客戶端再次上線時被分配到不同的VLAN。
當配置客戶端的VLAN分配方式為dynamic時,修改VLAN組內的VLAN,僅對新上線的客戶端生效。
客戶端上線後,將客戶端的VLAN分配方式從dynamic修改為static或static-compatible,該客戶端再次上線時被分配到的VLAN可能和前一次分配到的VLAN不同。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端的VLAN分配方式。
client vlan-alloc { dynamic | static | static-compatible }
缺省情況下,客戶端的VLAN分配方式為動態分配方式。
客戶端上線時,如果客戶端進行漫遊,由於授權VLAN的優先級高於漫遊VLAN,此時如果iMC安全策略服務器配置了安全策略,客戶端執行了iMC安全策略中對其的限製操作進而觸發安全告警時,iMC安全策略服務器重新下發的用於隔離客戶端的授權VLAN將生效。例如,iMC安全策略服務器設置了一個安全策略,不允許使用客戶端的計算器功能。如果打開計算器功能就會觸發安全告警,iMC安全策略服務器重新下發的授權VLAN將生效。
關閉本功能後,漫遊VLAN的優先級將高於授權VLAN的優先級當iMC安全策略服務器對客戶端下發授權VLAN時,授權VLAN不生效。
AC為客戶端選擇VLAN的優先級從高到低依次為:授權VLAN(授權服務器下發的VLAN或者iMC安全策略服務器下發的VLAN)、漫遊VLAN(漫遊表項中記錄的VLAN)、初始VLAN(無線服務模板綁定的VLAN)。
在AC上配置客戶端優先使用授權VLAN功能後,當客戶端需要進行AC間漫遊時,為了保障漫遊功能的實現,漫遊組內的其他AC均需要開啟本功能。
該配置隻對采用802.1X或MAC地址認證方式上線的無線客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端優先使用授權VLAN。
client preferred-vlan authorized
缺省情況下,授權VLAN的優先級高於漫遊VLAN的優先級。
對於本地認證的無線客戶端,客戶端認證完成後,AP會上報客戶端信息給AC,由AC創建客戶端表項並通知AP允許客戶端上線。若CAPWAP隧道異常,AP將無法成功向AC上報客戶端信息,導致客戶端無法上線,且在CAPWAP隧道恢複正常之前,客戶端會反複進行認證,嚐試上線。
為避免客戶端頻繁進行認證,可關閉僅本地認證無線客戶端信息上報成功才允許客戶端上線功能,允許通過本地認證的客戶端在AP上線,此時AP可以為客戶端轉發數據並提供接入功能。當CAPWAP隧道恢複正常後,AP會同步已上線客戶端信息給AC。
(1) 進入係統視圖。
system-view
(2) 進入無線服務器模板視圖。
wlan service-template service-template-name
(3) 關閉僅本地認證無線客戶端信息上報成功才允許客戶端上線功能。
undo client report-mandatory
缺省情況下,僅本地認證無線客戶端信息上報成功才允許客戶端上線功能處於開啟狀態。
客戶端二次接入認證的時間間隔是指客戶端通過802.1X認證或MAC地址認證(包括通過URL重定向功能完成MAC地址認證)後,RADIUS服務器強製客戶端下線到再次對其進行認證的時間間隔。
配置了客戶端二次接入認證的時間間隔之後,設備將已通過認證的客戶端的MAC地址加入到動態黑名單中,並在指定的時間間隔內禁止客戶端接入。通過此方式加入動態黑名單的MAC地址不受動態黑名單老化時間的影響。
如果在該時間間隔內使用reset wlan dynamic-blacklist命令清除動態黑名單,則設備將允許該客戶端接入並進行認證。
(1) 進入係統視圖。
system-view
(2) 配置客戶端二次接入認證的時間間隔。
wlan client reauthentication-period [ period-value ]
缺省情況下,客戶端二次接入認證的時間間隔為10秒。
無線客戶端區別計費功能是指,對無線客戶端的上網流量基於不同的計費級別進行分別計費,該功能是通過對在線用戶授權User Profile,並在User Profile中指定計費級別的計費策略來實現的,具體機製如下:
· 客戶端認證位置在AC上時,認證服務器會將客戶端賬戶綁定的User Profile名稱下發給AC,由AC再將User Profile下發給AP,AP根據指定User Profile下應用的計費策略對客戶端進行流量統計並將數據上報給AC,AC最終將數據上報給計費服務器進行計費。
· 客戶端認證位置在AP上時,認證服務器會將客戶端賬戶綁定的User Profile名稱下發給AP,AP根據指定User Profile下應用的計費策略對客戶端進行流量統計並將數據上報給計費服務器進行計費。
如果User Profile下沒有應用計費策略,則采用AAA進行計費。
同一計費策略下可以指定多個流量計費級別,可創建計費策略的個數與設備型號有關,請以設備實際情況為準。
修改或刪除User Profile下應用的計費策略後,再次認證或新認證上線的客戶端將使用新的計費策略。
認證服務器上為無線客戶端用戶綁定了需要下發的User Profile名稱。
(1) 進入係統視圖。
system-view
(2) 進入計費策略視圖。
wlan accounting-policy policy-name
(3) 指定需要進行計費的流量計費級別。
accounting-level level acl { acl-number | ipv6 ipv6-acl-number }
缺省情況下,未指定需要進行計費的流量計費級別。
(4) 退回係統視圖。
quit
(5) 進入User Profile視圖。
user-profile profile-name
(6) 在User Profile下應用計費策略。
wlan apply accounting-policy policy-name
缺省情況下,User Profile下未應用計費策略。
客戶端空閑時間,是指AP與客戶端成功連接後,客戶端與AP無任何報文交互的狀態的最大時間,當達到最大空閑時間時,AP會自動與客戶端斷開連接。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖。
wlan ap-group group-name
(3) 配置客戶端空閑時間。
client idle-timeout interval
缺省情況下:
AP視圖:繼承AP組配置。
AP組視圖:AP和客戶端之間連接允許的最大空閑時間為3600秒。
(1) 進入係統視圖。
system-view
(2) 配置客戶端空閑時間。
wlan client idle-timeout interval
缺省情況下,AP和客戶端之間連接允許的最大空閑時間為300秒。
開啟客戶端保活功能後,AP每隔保活時間向客戶端發送空數據報文,以確認其是否在線。若在三個保活時間內未收到客戶端回應應答報文或數據報文,則AP斷開與客戶端的連接。若在此期間內收到,則認為客戶端在線。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖。
wlan ap-group group-name
(3) 開啟客戶端保活功能。
client keep-alive enable
缺省情況下:
AP視圖:繼承AP組配置。
AP組視圖:客戶端保活功能處於關閉狀態。
(4) (可選)配置客戶端保活時間。
client keep-alive interval value
缺省情況下:
AP視圖:繼承AP組配置。
AP組視圖:客戶端保活時間為300秒。
(1) 進入係統視圖。
system-view
(2) 開啟客戶端保活功能。
wlan client keep-alive enable
缺省情況下,客戶端保活功能處於關閉狀態。
(3) 配置客戶端保活時間。
wlan client keep-alive interval interval
缺省情況下,客戶端保活時間為300秒。
無線鏈路質量檢測,即AP根據客戶端上線時協商的速率集,以每個速率發送5個空數據報文進行鏈路質量檢測。AP根據客戶端的響應報文可以獲取AP客戶端之間的無線鏈路質量信息,如信號強度、報文重傳次數、RTT(Round-Trip Time,往返時間)等。
無線鏈路質量檢測的超時時間為10秒,如果AP在超時時間內沒有完成鏈路質量檢測,將無法得到鏈路質量檢測結果。
請在用戶視圖下執行本命令,對客戶端進行鏈路質量測量。
wlan link-test mac-address
為了對無線客戶端的狀態進行有效的監控,通過開啟本功能,由AP周期性的向AC上報客戶端統計信息。AC接收到客戶端統計信息後會對本地客戶端表項進行更新,未與本地客戶端表項匹配上的客戶端將被強製下線。
當用戶網絡狀況較差時,請關閉本功能,AP會停止上報客戶端統計信息且AC不會更新本地客戶端表項,客戶端正常在線。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖。
wlan ap-group group-name
(3) 配置AP向AC上報無線客戶端統計信息功能。
client-statistics-report { disable | enable [ interval interval ] }
缺省情況下:
AP視圖:繼承AP組配置。
AP組視圖:AP向AC上報無線客戶端統計信息功能處於開啟狀態。
開啟本功能後,AP會按client-statistics-report命令配置的時間間隔周期性的向AC上報無線客戶端智能運維統計信息,AC會將統計信息上報給雲平台,用戶可以在雲平台智能運維頁麵查看上報的無線客戶端相關統計信息。當用戶網絡狀況較差時,請關閉本功能,AP將停止上報無線客戶端智能運維統計信息且AC不再向雲平台上報該部分統計信息。
VIP客戶端功能需要使用到部分無線客戶端智能運維統計信息,因此當使用VIP客戶端功能時,本功能需要處於開啟狀態。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖。
wlan ap-group group-name
(3) 開啟AP向AC上報無線客戶端統計信息功能。
client-statistics-report smart-maintenance enable
缺省情況下:
AP視圖:繼承AP組配置。
AP組視圖:AP向AC上報無線客戶端智能運維統計信息功能處於開啟狀態。
NAS-ID、NAS-Port-ID和NAS-VLAN-ID(Network Access Server VLAN Identifier,網絡接入服務器VLAN標識)主要用於網絡服務提供商標識客戶端的接入位置,區分流量來源。
如果在配置無線服務模板時綁定了NAS-ID/NAS-Port-ID,則優先使用無線服務模板綁定的NAS-ID/NAS-Port-ID。
當使用某特定第三方廠商的SAM(Security Accounting Management,安全審計管理)服務器作為RADIUS服務器時,需要在我司設備上配置NAS-VLAN-ID,以便SAM服務器使用該VLAN ID定位客戶端位置。
如果同時配置了wlan nas-port-id format和nas-port-id,則以nas-port-id命令配置的為準。
(1) 進入係統視圖。
system-view
(2) 配置無線客戶端的NAS-Port-ID屬性的格式。
wlan nas-port-id format { 2 | 4 }
缺省情況下,NAS-Port-ID的消息格式為格式2。
(3) 進入AP視圖、AP組視圖或全局配置視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 進入AP組視圖。
wlan ap-group group-name
¡ 進入全局配置視圖。
wlan global-configuration
(4) 配置網絡接入服務器標識。
nas-id nas-id
缺省情況下:
AP視圖:AP組有配置的情況下,繼承AP組配置;AP組無配置的情況下,繼承全局配置。
AP組視圖:繼承全局配置。
全局配置視圖:未配置網絡接入服務器標識。
(5) 配置網絡接入服務器端口標識。
nas-port-id nas-port-id
缺省情況下:
AP視圖:AP組有配置的情況下,繼承AP組配置;AP組無配置的情況下,繼承全局配置。
AP組視圖:繼承全局配置。
全局配置視圖:未配置網絡接入服務器標識。
(6) 配置網絡接入服務器的VLAN ID。
nas-vlan vlan-id
缺省情況下,未配置網絡接入服務器的VLAN ID,即AC向RADIUS服務器發送的請求認證報文中未攜帶NAS-VLAN-ID字段。
僅AP視圖下支持配置此功能。
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。
缺省情況下,無線服務模板上有802.1X或者MAC地址認證用戶上線時,設備向RADIUS服務器發送的RADUIS請求報文中填充的為自動獲取到的NAS-Port-Type屬性值WLAN-IEEE 802.11。若無線服務模板配置了NAS-Port-Type,則使用本命令配置的值填充該屬性。
本命令隻能在無線服務模板關閉的狀態下配置。
對於要使用RADIUS服務器進行802.1X或者MAC地址認證的用戶,需要通過本命令將RADIUS請求報文的NAS-Port-Type類型配置為RADIUS服務器支持的類型。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template
(3) 配置NAS-Port-Type。
nas-port-type value
缺省情況下,設備發送的RADIUS請求報文中的NAS-Port-Type屬性值為19。
關聯成功率是指客戶端關聯AP成功的次數占客戶端關聯AP的總次數的百分比。關聯擁塞率是指在AP滿載的情況下,客戶端在關聯AP過程中被拒絕的次數占關聯AP的總次數的百分比。終端異常下線率是指終端異常斷開連接的總次數占終端關聯成功的總次數與當前在線用戶總數之和的百分比。
配置本特性後,設備會重新對客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率進行優化計算。
(1) 進入係統視圖。
system-view
(2) 配置客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率的優化參數值。
wlan association optimization value
缺省情況下,客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率的優化參數值為0,即不對客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率進行優化,采用實際值。
開啟本功能後,設備發送的Beacon或Probe Response報文中會攜帶BSS Load IE。BSS Load IE主要包含一個射頻下的每個BSS的客戶端數量、信道利用率和剩餘媒體可用時間等內容。
在漫遊網絡和Hotspot 2.0網絡中,建議開啟本功能,以便客戶端根據BSS Load IE自動選擇可接入的最優網絡。
(1) 進入係統視圖。
system-view
(2) 開啟Beacon和Probe Request報文攜帶BSS load IE功能。
wlan client bss-load-ie enable [ update-interval interval ]
缺省情況下,Beacon和Probe Response報文中不攜帶BSS Load IE。
VIP客戶端組為被監控客戶端的集合,用戶可以通過雲平台VIP客戶端監控頁麵查看添加到VIP客戶端組中的上線客戶端信息。
可以添加到VIP客戶端組的客戶端數最多為設備實際支持的客戶端數。
僅當客戶端的關聯位置在AC上時,VIP客戶端功能才會生效。當客戶端的關聯位置在AP上時,VIP客戶端功能不生效,隻能當做非VIP客戶端。
(1) 進入係統視圖。
system-view
(2) 創建VIP客戶端組,並進入VIP客戶端組視圖。
wlan vip-client-group
(3) 添加客戶端到VIP客戶端組。
client-mac mac-address [ level level ]
缺省情況下,VIP客戶端組中無客戶端。
(4) (可選)配置AP向AC上報VIP客戶端信息的時間間隔。
report-interval interval
缺省情況下,AP向AC上報VIP客戶端信息的時間間隔為50秒。
(5) (可選)開啟VIP客戶端限速功能。
vip limit rate level level { inbound | outbound } mode { dynamic [ min min-cir ] [ max max-cir ] | static } cir cir
缺省情況下,VIP客戶端的限速功能處於關閉狀態。
通過開啟非VIP客戶端限速功能,當射頻接口下有VIP終端上線時,該接口下的非VIP客戶端的速率會被限製;當接口上沒有VIP終端在線時,該接口下的非VIP客戶端的速率不會被限製。
可以同時指定出方向和入方向的速率限製。
同時配置非VIP客戶端限速功能和基於射頻的客戶端限速功能時,僅會對非VIP客戶端進行限速,不會對VIP客戶端進行限速。
(1) 進入係統視圖。
system-view
(2) 創建VIP客戶端組,並進入VIP客戶端組視圖。
wlan vip-client-group
(3) 配置非VIP客戶端的限速速率。
non-vip limit rate { inbound | outbound } [ mode { dynamic [ min min-cir ] [ max max-cir ] | static } ] cir cir
缺省情況下,非VIP客戶端限速功能處於關閉狀態。
配置無線轉發策略,AC和AP必須處於不同網段中。
當無線服務模板和User Profile下均應用無線轉發策略時,設備優先使用User Profile下應用的無線轉發策略對客戶端數據進行處理。如果上線用戶的User Profile下沒有應用無線轉發策略,則設備將使用無線服務模板下的無線轉發策略處理客戶端數據。
應用無線轉發策略前,請使用client-security authentication-location命令將無線用戶的接入認證位置配置在AC上,此時無線轉發策略才能生效。關於用戶接入認證位置的介紹和配置,請參見“WLAN配置指導”中的“WLAN用戶接入認證”。
無線轉發策略由一條或多條無線轉發規則組成,每條無線轉發規則中包含匹配報文特征的規則及采取的轉發方式。匹配報文特征的規則可以為基本ACL、高級ACL和二層ACL,可選擇的轉發方式包括本地轉發和集中轉發。無線轉發策略僅識別ACL規則中的匹配條件,不識別允許和拒絕操作,即隻要是匹配條件的報文,無論在ACL規則中是被允許還是被拒絕,都會被按轉發策略處理。
有關ACL的詳細介紹,請參見“ACL和Qos配置指導”中的“ACL”。
(1) 進入係統視圖。
system-view
(2) 創建無線轉發策略,並進入無線轉發策略視圖。
wlan forwarding-policy policy-name
(3) 配置無線轉發規則。
classifier acl { acl-number | ipv6 ipv6-acl-number } behavior { local | remote }
重複執行該命令可以創建多條無線轉發規則。
本功能主要用於客戶端需要訪問外網,但客戶端數據報文轉發位置又在AP上的場景。開啟本功能後,設備會將客戶端數據報文中的目的地址替換成AP的MAC地址,再通過NAT地址轉換功能,將客戶端數據報文的源地址自動轉換成和AP同網段的IP地址。完成以上配置後,客戶端可以正常訪問外網,否則,訪問外網的報文將被AP丟棄。
(1) 進入係統視圖。
system-view
(2) 進入無線轉發策略視圖。
wlan forwarding-policy policy-name
(3) 開啟本地轉發模式下的外網流量轉發功能。
client behavior-local network-flow-forwarding enable
缺省情況下,本地轉發模式下的外網流量轉發功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入服務模板視圖。
wlan service-template service-template-name
(3) 在無線服務模板下應用無線轉發策略。
client forwarding-policy-name policy-name
缺省情況下,沒有應用無線轉發策略。
應用無線轉發策略後,請開啟無線轉發策略功能。
(4) 開啟無線轉發策略功能。
client forwarding-policy enable
缺省情況下,無線轉發策略功能處於關閉狀態。
在User Profile下應用無線轉發策略後,當客戶端準備接入網絡並通過身份認證後,認證服務器會將與客戶端賬戶綁定的User Profile名稱下發給AC,AC根據指定User Profile下應用的無線轉發策略對客戶端數據報文進行轉發。
修改或刪除User Profile下應用的無線轉發策略時,該配置會在客戶端再次上線時生效。
(1) 進入係統視圖。
system-view
(2) 進入User Profile視圖。
user-profile profile-name
(3) 在User Profile下應用無線轉發策略。
wlan client forwarding-policy-name policy-name
缺省情況下,沒有應用無線轉發策略。
應用無線轉發策略後,請開啟無線轉發策略功能。
(4) 退回係統視圖。
quit
(5) 進入服務模板視圖。
wlan service-template service-template-name
(6) 開啟無線轉發策略功能。
client forwarding-policy enable
缺省情況下,無線轉發策略功能處於關閉狀態。
通過配置允許用戶接入的AP組,讓用戶隻能夠在指定AP組內的AP上接入,控製用戶在無線網絡中接入位置。
(1) 進入係統視圖。
system-view
(2) 進入User Profile視圖。
user-profile profile-name
(3) 配置允許用戶接入的AP組。
wlan permit-ap-group ap-group-name
缺省情況下,未配置允許用戶接入的AP組。
在用戶需要接入網絡時,可通過指定允許用戶接入的SSID控製用戶隻能在指定的SSID接入。
(1) 進入係統視圖。
system-view
(2) 進入User Profile視圖。
user-profile profile-name
(3) 配置SSID用戶接入控製。
wlan permit-ssid ssid-name
缺省情況下,未配置允許用戶接入的SSID名稱。
第一次配置白名單時,係統會提示用戶是否解除與所有在線客戶端的關聯,如果選擇解除關聯,才能配置白名單,否則不能配置白名單。當刪除白名單中所有客戶端時,則不存在白名單。
(1) 進入係統視圖。
system-view
(2) 配置白名單。
wlan whitelist mac-address mac-address
同一MAC地址表項不能同時配置到白名單中和靜態黑名單中。
(1) 進入係統視圖。
system-view
(2) 配置靜態黑名單。
wlan static-blacklist mac-address mac-address
當配置了客戶端二次接入認證的時間間隔或者AP收到客戶端的攻擊報文時,AC會將該客戶端的MAC地址添加到動態黑名單中:
· 配置動態黑名單基於AP生效,AP將拒絕該客戶端的接入,但仍可以從AC下的其他AP接入。
· 配置動態黑名單基於AC生效,AC下相連的所有AP都將拒絕該客戶端接入。
動態黑名單表項具有一定的老化時間。當到達老化時間時,AC會將MAC地址從動態黑名單中刪除。
在AP部署較密集的無線網絡環境下,建議用戶配置動態黑名單基於AC生效。
新配置的動態黑名單老化時間隻對新加入動態黑名單的客戶端生效。
若客戶端同時存在於白名單和動態黑名單中時,則白名單生效。
(1) 進入係統視圖。
system-view
(2) 配置動態黑名單。請選擇其中一項進行配置。
¡ 配置動態黑名單基於AP生效。
wlan dynamic-blacklist active-on-ap
¡ 配置動態黑名單基於AC生效。
undo wlan dynamic-blacklist active-on-ap
缺省情況下,動態黑名單基於AP生效。
(3) (可選)配置動態黑名單表項的老化時間。
wlan dynamic-blacklist lifetime lifetime
缺省情況下,動態黑名單表項的老化時間為300秒。
基於ACL的接入控製的優先級高於基於名單的接入控製的優先級,建議兩種接入控製單獨使用。如果同時配置了兩種接入控製,當設備上沒有配置無線客戶端訪問控製規則時,按照基於名單的接入控製規則對無線客戶端進行訪問控製。
在ACL中配置deny規則來拒絕指定客戶端接入時,請在deny規則之後配置允許所有客戶端接入的permit規則,否則會導致所有客戶端無法接入。
AP視圖下配置的優先級高於無線服務模板視圖下的配置。
基於ACL的接入控製隻匹配source mac地址二層ACL規則。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖或AP視圖。
¡ 進入無線服務模板視圖。
wlan service-template service-template-name
¡ 進入AP視圖。
wlan ap ap-name
(3) 配置基於ACL的接入控製。
access-control acl acl-number
缺省情況下,未配置基於ACL的接入控製。
基於ACL的接入控製隻能引用二層ACL規則。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置基於ACL的接入控製。
access-control acl acl-number
缺省情況下,未配置基於ACL的接入控製。
基於ACL的接入控製隻能引用二層ACL規則。
在需要更新AP配置文件的情況下,可以在AC上指定AP配置文件的文件名(在AC的存儲介質中必須已經存在該配置文件),當隧道處於Run狀態時,AC會將配置文件中的命令下發到AP上,AP會使用配置文件中的命令,但AP不會保存這些配置。
例如:本地轉發模式下配置用戶方案時,將用戶方案、相關的QoS策略和ACL等命令寫入配置文件,然後通過指定AP的配置文件的方式將命令下發到AP。
一旦使用map-configuration命令為AP指定了配置文件,該配置文件會永久生效,即隻要AP在線,AC就會將配置文件中的命令下發給AP。
在本地轉發模式下配置用戶方案時,通過配置文件配置的AP隻用通過主IP地址與AC建立CAWPAP隧道。
使用map-configuration命令指定的配置文件,文件中的內容必須是完整的命令行形式。
在IRF組網中,當需要使用map-configuration命令指定AP的配置文件時,請將配置文件分別導入到各成員設備的存儲介質中,防止在發生主備倒換後找不到AP的配置文件,通過map-configuration命令下發的AP配置文件隻能在IRF的主設備上生效,同時必須指定配置文件的存儲路徑為主設備。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖或AP組ap-model視圖。
¡ 進入AP視圖。
wlan ap ap-name
¡ 請依次執行以下命令進入AP組ap-model視圖。
wlan ap-group group-name
ap-model ap-model
(3) 將配置文件下載到AP。
map-configuration filename
缺省情況下,沒有指定AP的配置文件。
設備進行模式切換時,會清空當前配置並重啟,該操作會導致AP下線和業務中斷。
輕量控製是一種客戶端數據報文僅支持在AP上進行轉發的控製模式。開啟輕量控製模式功能後,配置client forwarding-location命令時,配置不生效。該模式適用於客戶業務需求不依賴於集中式轉發模式,且同時需要管理的AP數量較多的場景。
(1) 進入係統視圖。
system-view
(2) 開啟輕量控製模式。
wlan lite-control-mode enable
缺省情況下,輕量控製模式處於關閉狀態。
開啟了告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
(1) 進入係統視圖。
system-view
(2) 開啟告警功能。請至少選擇其中一項進行配置。
¡ 開啟客戶端的告警功能。
snmp-agent trap enable wlan client
¡ 開啟客戶端審計的告警功能。
snmp-agent trap enable wlan client-audit
缺省情況下,客戶端告警功能處於關閉狀態。
開啟無線客戶端智能接入功能後,可以在僅創建無線服務模板或身份認證與密鑰管理模式配置為PSK的情況下,自動將我司配套的無線客戶端接入到無線網絡。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟無線客戶端智能接入功能。
client smart-access enable
缺省情況下,無線客戶端智能接入功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後WLAN接入的運行情況,通過查看顯示信息驗證配置效果。
在用戶視圖下執行reset命令可以清除動態黑名單或斷開AP與客戶端的連接。
表1-1 WLAN接入顯示和維護
|
操作 |
命令 |
|
顯示上行以太網接口智能帶寬限速的配置 |
display uplink client-rate-limit |
|
顯示AP上2.4GHz及5GHz頻段的在線客戶端數量 |
display wlan ap all client-number |
|
顯示AP的所有Radio接口下在線客戶端數量和信道信息 |
display wlan ap all radio client-number |
|
顯示所有AP組內在線客戶端數量 |
display wlan ap-group all client-number |
|
顯示黑名單 |
display wlan blacklist { dynamic | static } |
|
顯示BSS(Basic Service Set,基本服務集)信息 |
display wlan bss { all | ap ap-name | bssid bssid } [ slot slot-number ] [ verbose ] |
|
顯示客戶端的信息 |
display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } | vlan vlan-id ] [ verbose ] |
|
顯示客戶端的IPv6地址信息 |
display wlan client ipv6 |
|
顯示客戶端在線時長 |
display wlan client online-duration [ ap ap-name ] [ verbose ] |
|
顯示客戶端狀態信息 |
display wlan client status [ mac-address mac-address ] [ verbose ] |
|
顯示無線轉發策略信息 |
display wlan forwarding-policy |
|
顯示當前AC上的訪客隧道信息 |
display wlan guest-tunnel { all | ip ipv4-address } |
|
查看輕量控製模式狀態 |
display wlan lite-control-mode status |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
|
查看無線客戶端的統計信息 |
display wlan statistics client [ mac-address mac-address ] |
|
查看客戶端連接曆史信息 |
display wlan statistics connect-history { ap { all | name ap-name } | service-template service-template-name } |
|
查看無線服務模板的統計信息 |
display wlan statistics service-template service-template-name |
|
顯示AP向AC上報的VIP客戶端的統計信息 |
display wlan statistics vip-client [ mac-address mac-address ] [ history-record ] |
|
顯示白名單 |
display wlan whitelist |
|
斷開與客戶端的連接 |
reset wlan client { all | mac-address mac-address } |
|
清除動態黑名單 |
reset wlan dynamic-blacklist [ mac-address mac-address ] |
|
刪除訪客隧道 |
reset wlan guest-tunnel { all | ip ipv4-address } |
|
清除無線客戶端的統計信息 |
reset wlan statistics client { all | mac-address mac-address } |
|
清除無線服務模板的統計信息 |
reset wlan statistics service-template service-template-name |
· AP通過交換機與AC相連。在Switch上開啟DHCP server功能,為AP和客戶端分配IP地址。
· 使用手工輸入序列號方式輸入序列號。AP提供SSID為trade-off的無線接入服務。
圖1-11 無線接入組網圖
(1) 配置IP地址
# 創建VLAN 100,並配置VLAN 100接口的IP地址。
<AC> system-view
[AC] vlan 100
[AC-vlan100]quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 10.1.9.58 16
(2) 創建手工AP
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
(3) 創建無線服務模板,並將無線服務模板綁定到AP的Radio接口。
# 配置無線服務模板service1,配置SSID為trade-off,配置客戶端從無線服務模板service1上線後將被加入到VLAN 100,並開啟服務模板。
<AC> system-view
[AC] wlan service-template service1
[AC-wlan-st-service1] ssid trade-off
[AC-wlan-st-service1] vlan 100
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
# 配置射頻,指定工作信道為157。
[AC] wlan ap ap1
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 157
# 將無線服務模板service1綁定到Radio 1接口。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] service-template service1
(1) 配置完成後,在AC上執行display wlan service-template命令,可以看到所有已經創建的無線服務模板。無線服務模板service1的SSID為trade-off,無線服務模板已經使能,其它配置項都使用缺省值。
[AC] display wlan service-template verbose
Service template name : service1
Description : Not configured
SSID : trade-off
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 100
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 sec
PTK life time : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Enabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : 1
Critical VLAN ID : Not configured
802.1X handshake : Enabled
802.1X handshake secure : Disabled
802.1X domain : my-domain
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Enabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AC
FT status : Disabled
QoS trust : Port
QoS priority : 0
(2) MAC地址為0023-8933-223b的客戶端可以連接無線網絡名稱為trade-off的無線網絡。在AC上執行display wlan client命令,可以看到所有連接成功的客戶端。
[AC] display wlan client service-template service1
Total number of clients: 1
MAC address Username AP name RID IP address IPv6 address VLAN
0023-8933-223b N/A ap1 1 10.1.9.3 100
AC和AP通過交換機連接,通過將客戶端的MAC地址0000-000f-1211加入到白名單中,僅允許該客戶端接入無線網絡,拒絕其它客戶端接入無線網絡。
# 將客戶端的MAC地址0000-000f-1211添加到白名單。
<AC> system-view
[AC] wlan whitelist mac-address 0000-000f-1211
配置完成後,在AC上執行display wlan whitelist命令,可以看到AC已經將客戶端的MAC地址表項加入到白名單。
[AC] display wlan whitelist
Total number of clients: 1
MAC addresses:
0000-000f-1211
AC和AP通過交換機連接,客戶端為已知非法客戶端,通過將客戶端的MAC地址0000-000f-1211加入到靜態黑名單中,拒絕該客戶端接入無線網絡。
圖1-13 靜態黑名單配置組網圖
# 將客戶端的MAC地址0000-000f-1211添加到靜態黑名單。
<AC> system-view
[AC] wlan static-blacklist mac-address 0000-000f-1211
配置完成後,在AC上執行display wlan blacklist static命令,可以看到AC已經將客戶端的MAC地址表項加入到靜態黑名單。
[AC] display wlan blacklist static
Total number of clients: 1
MAC addresses:
0000-000f-1211
AC和AP通過交換機連接,如圖1-14所示,通過配置基於ACL的接入控製規則,實現僅匹配上MAC地址規則及OUI規則的客戶端可以接入無線網絡,其他客戶端無法接入無線網絡的目的。
圖1-14 ACL接入控製配置組網圖
# 將Client 1和Client 2分別按照MAC地址匹配規則及OUI匹配規則添加到ACL 4000中。
<Sysname> system-view
[Syname] acl mac 4000
[Syname-acl-mac-4000] rule 0 permit source-mac 0000-000f-1121 ffff-ffff-ffff
[Syname-acl-mac-4000] rule 1 permit source-mac 000e-35b2-000e ffff-ff00-0000
[Syname-acl-mac-4000] quit
# 在無線服務模板service1上應用ACL 4000。
[Syname] wlan service service1
[Sysname-wlan-st-service1] access-control acl 4000
配置完成之後,在AC上執行display wlan client命令,可以看到除Client 1及匹配上OUI規則的客戶端(包括但不限於Client 2)可以接入無線網絡外,其它客戶端均無法接入無線網絡。
[AC] display wlan client
Total number of clients: 2
MAC address Username AP name R IP address VLAN
0000-000f-1121 N/A ap 1 192.168.100.12 1
000e-35b2-000e N/A ap 1 192.168.100.13 1
在如圖1-15所示的組網環境中,AC 1作為邊緣AC位於企業內網,AC 2作為彙聚AC位於企業外網。訪客用戶Client通過訪客VLAN 5接入AP。當AC 1收到訪客用戶的數據流量時,會通過訪客隧道直接將數據流量轉發至防火牆外的AC 2,由AC 2處理訪客用戶的數據流量,實現訪客數據流量與企業內網數據的隔離。
(1) 配置AC 1
# 配置AC 1各接口的IP地址(略)。
# 配置AC 1為邊緣AC。
<AC1> system-view
[AC1] wlan guest-tunnel edge-ac
# 指定AC 2作為彙聚AC,訪客VLAN為VLAN 5。
[AC1-wlan-edge-ac] aggregation-ac ip 202.38.1.20 tunnel-source ip 192.168.2.1 vlan 5
[AC1-wlan-edge-ac] quit
# 創建無線服務模板,配置SSID為guest,用於訪客接入。
[AC1] wlan service-template 1
[AC1-wlan-st-1] ssid guest
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 創建AP模板,名稱為ap1。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 將服務模板綁定到ap1的Radio 2上,並指定客戶端從訪客VLAN 5接入。
[AC1-wlan-ap-ap1] radio 2
[AC1-wlan-ap-ap1-radio-2] service-template 1 vlan-id 5
[AC1-wlan-ap-ap1-radio-2] radio enable
[AC1-wlan-ap-ap1-radio-2] quit
[AC1-wlan-ap-ap1] quit
(2) 配置AC 2
# 配置AC 2各接口的IP地址(略)。
# 配置AC 2為彙聚AC。
<AC2> system-view
[AC2] wlan guest-tunnel aggregation-ac
# 指定AC 1作為邊緣AC,訪客VLAN為VLAN 5。
[AC2-wlan-aggregation-ac] edge-ac ip 192.168.2.1 vlan 5
[AC2-wlan-aggregation-ac] quit
(1) 在AC 1和AC 2上使用display wlan guest-tunnel all命令查看訪客隧道狀態,通過下述顯示信息可以確認訪客隧道處於Up狀態。
[AC1] display wlan guest-tunnel all
Guest access tunnel information
Local Mode: Edge AC Tunnel Count: 1
Peer IP Address Local IP Address VLANs State Interface
202.38.1.20 192.168.2.1 5 Up WLAN-Tunnel1
<AC2> display wlan guest-tunnel all
Guest access tunnel information
Local Mode: Aggregation AC Tunnel Count: 1
Peer IP Address VLANs State Interface
192.168.2.1 5 Up WLAN-Tunnel1
(2) 使用display wlan client命令查看訪客用戶的詳細信息,在VLAN字段可以看到訪客用戶通過訪客VLAN 5上線。
<AC1> display wlan client
MAC address User name AP name R IP address VLAN
508f-4c40-f3a6 N/A ap1 1 192.168.1.2 5
在如圖1-16所示的組網環境中,AC 1作為邊緣AC位於企業內網,AC 2作為彙聚AC位於企業外網。訪客用戶Client通過訪客VLAN 5接入AP。當AC 1收到訪客用戶的數據流量時,先將數據流量通過IPSec加密,再通過訪客隧道將加密後的數據流量轉發至防火牆外的AC 2,由AC 2處理訪客用戶的加密數據流量,實現訪客隧道數據流量的加密。
(1) 配置AC 1
# 配置AC 1各接口的IP地址(略)。
# 配置AC 1為邊緣AC。
<AC1> system-view
[AC1] wlan guest-tunnel edge-ac
# 指定AC 2作為彙聚AC,訪客VLAN為VLAN 5。
[AC1-wlan-edge-ac] aggregation-ac ip 202.38.1.20 tunnel-source ip 192.168.2.1 vlan 5
# 開啟訪客隧道加密時的流量分發功能。
[AC1-wlan-edge-ac] wlan guest-tunnel flow-distribute enable
[AC1-wlan-edge-ac] quit
# 創建無線服務模板,配置SSID為guest,並且開啟無線服務模板。
[AC1] wlan service-template 1
[AC1-wlan-st-1] ssid guest
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號,指定客戶端從訪客VLAN 5上線,並將無線服務模板綁定到AP的Radio 2接口。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC1-wlan-ap-ap1] radio 2
[AC1-wlan-ap-ap1-radio-2] service-template 1 vlan 5
[AC1-wlan-ap-ap1-radio-2] radio enable
[AC1-wlan-ap-ap1-radio-2] quit
[AC1-wlan-ap-ap1] quit
(2) 配置AC 2
# 配置AC 2各接口的IP地址(略)。
# 配置AC 2為彙聚AC。
<AC2> system-view
[AC2] wlan guest-tunnel aggregation-ac
# 指定AC 1作為邊緣AC,訪客VLAN為VLAN 5。
[AC2-wlan-aggregation-ac] edge-ac ip 192.168.2.1 vlan 5
# 開啟訪客隧道加密時的流量分發功能。
[AC1-wlan-aggregation-ac] wlan guest-tunnel flow-distribute enable
[AC1-wlan-aggregation-ac] quit
(3) 配置IPsec加密
# 創建IPv4高級ACL 3111。
[AC1] acl advanced 3111
# 定義由源端口18002去往目的端口18002的UDP數據流將被加密。
[AC1-acl-ipv4-adv-3111] rule permit udp source-port eq 18002 destination-port eq 18002
# 定義由源端口60016~60031去往目的端口60016~60031的UDP數據流將被加密。
[AC1-acl-ipv4-adv-3111] rule permit udp source-port range 60016 60031 destination-port range 60016 60031
[AC1-acl-ipv4-adv-3111] quit
# 創建IPsec安全提議tran1。
[AC1] ipsec transform-set tran1
# 配置安全協議對IP報文的封裝形式為隧道模式。
[AC1-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全協議為ESP。
[AC1-ipsec-transform-set-tran1] protocol esp
# 配置ESP協議采用的加密算法為128比特的AES,認證算法為HMAC-SHA1。
[AC1-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[AC1-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[AC1-ipsec-transform-set-tran1] quit
# 創建並配置IKE keychain,名稱為keychain1。
[AC1] ike keychain keychain1
# 配置與IP地址為202.38.1.20的對端使用的預共享密鑰為明文123456TESTplat&!。
[AC1-ike-keychain-keychain1] pre-shared-key address 202.38.1.20 255.255.255.0 key simple 123456TESTplat&!
[AC1-ike-keychain-keychain1] quit
# 創建並配置IKE profile,名稱為profile1。
[AC1] ike profile profile1
# 指定引用的keychain,名稱為keychain1。
[AC1-ike-profile-profile1] keychain keychain1
# 指定需要匹配對端身份類型為IP地址,取值為202.38.1.20。
[AC1-ike-profile-profile1] match remote identity address 202.38.1.20 255.255.255.0
[AC1-ike-profile-profile1] quit
# 創建一條IKE協商方式的IPsec安全策略,名稱為map1,序列號為10。
[AC1] ipsec policy map1 10 isakmp
# 指定引用ACL 3111。
[AC1-ipsec-policy-isakmp-map1-10] security acl 3111
# 指定引用的安全提議為tran1。
[AC1-ipsec-policy-isakmp-map1-10] transform-set tran1
# 指定IPsec隧道的本端IP地址為192.168.2.1,對端IP地址為202.38.1.20。
[AC1-ipsec-policy-isakmp-map1-10] local-address 192.168.2.1
[AC1-ipsec-policy-isakmp-map1-10] remote-address 202.38.1.20
# 指定引用的IKE profile為profile1。
[AC1-ipsec-policy-isakmp-map1-10] ike-profile profile1
[AC1-ipsec-policy-isakmp-map1-10] quit
# 在VLAN 2上應用安全策略map1。
[AC1] interface Vlan-interface 2
[AC1-Vlan-interface2] ip address 192.168.2.1 255.255.255.0
[AC1-Vlan-interface2] ipsec apply policy map1
[AC1-Vlan-interface2] quit
# 配置端口GigabitEthernet 1/0/1(Trunk類型)的缺省VLAN為2,並允許VLAN 5通過。
[AC1] interface GigabitEthernet 1/0/1
[AC1-GigabitEthernet 1/0/1] port link-type trunk
[AC1-GigabitEthernet 1/0/1] port trunk pvid vlan 2
[AC1-GigabitEthernet 1/0/1] port trunk permit vlan 2 5
[AC1-GigabitEthernet 1/0/1] quit
AC 2上的配置與AC 1相同,此處不再贅述。
(1) 以上配置完成後,AC 1和AC 2之間如果有源端口18002與目的端口18002之間的報文通過,將觸發IKE進行IPsec SA的協商。IKE成功協商出IPsec SA後,源端口18002與目的端口18002之間數據流和源端口60016~60031去往目的端口60016~60031的數據流的傳輸的傳輸將受到IPsec SA的保護。可通過以下顯示查看到協商生成的IPsec SA。
[AC1] display ipsec sa
-------------------------------
Interface: Vlan-interface5
-------------------------------
-----------------------------
IPsec policy: map1
Sequence number: 10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Path MTU: 1428
Tunnel:
local address: 192.168.2.1
remote address: 202.38.1.20
Flow:
sour addr: 0.0.0.0/0.0.0.0 port: 18002 protocol: udp
dest addr: 0.0.0.0/0.0.0.0 port: 18002 protocol: udp
[Inbound ESP SAs]
SPI: 2485516269 (0x9425f7ed)
Connection ID: 38654705664
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843187/986
Max received sequence-number: 264
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 3088244842 (0xb812e06a)
Connection ID: 38654705665
Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843187/986
Max sent sequence-number: 264
UDP encapsulation used for NAT traversal: N
Status: Active
(2) 在AC 1和AC 2上使用display wlan guest-tunnel all命令可以看到訪客隧道的狀態已經處於Up狀態。
# 在AC 1上查看訪客隧道狀態。
[AC1] display wlan guest-tunnel all
Guest access tunnel information
Local Mode: Edge AC Tunnel Count: 1
Peer IP Address Local IP Address VLANs State Interface
202.38.1.20 192.168.2.1 5 Up WLAN-Tunnel1
# 在AC 2上查看訪客隧道狀態。
[AC2] display wlan guest-tunnel all
Guest access tunnel information
Local Mode: Aggregation AC Tunnel Count: 1
Peer IP Address Local IP Address VLANs State Interface
192.168.2.1 202.38.1.20 5 Up WLAN-Tunnel1
在如圖1-17所示的組網環境中,AC 1作為邊緣AC位於企業內網,AC 2作為彙聚AC位於企業外網。訪客用戶Client通過訪客VLAN 5接入AP。當AC 1收到訪客用戶的數據流量時,先將數據流量通過IPSec加密再通過訪客隧道將加密後的數據流量轉發至NAT設備,然後由NAT設備把加密後的數據流量轉發至AC 2,由AC 2處理訪客用戶的加密數據流量,實現訪客隧道數據流量在加密模式下跨NAT設備到達企業外網,與企業內網數據隔離。
圖1-17 訪客隧道加密模式下跨NAT設備訪客接入配置組網圖
(1) 配置AC 1
# 配置AC 1各接口的IP地址(略)。
# 配置AC 1為邊緣AC。
<AC1> system-view
[AC1] wlan guest-tunnel edge-ac
# 指定AC 2作為彙聚AC,訪客VLAN為VLAN 5。
[AC1-wlan-edge-ac] aggregation-ac ip 202.38.1.21 tunnel-source ip 10.1.0.1 vlan 5
# 配置訪客隧道加密時的流量分發功能。
[AC1-wlan-edge-ac] wlan guest-tunnel flow-distribute enable
[AC1-wlan-edge-ac] quit
# 創建無線服務模板,配置SSID為guest,用於訪客接入。
[AC1] wlan service-template 1
[AC1-wlan-st-1] ssid guest
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 創建AP模板,名稱為ap1。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 將服務模板綁定到ap1的Radio 2上,並指定客戶端從訪客VLAN 5上線。
[AC1-wlan-ap-ap1] radio 2
[AC1-wlan-ap-ap1-radio-2] service-template 1 vlan 5
[AC1-wlan-ap-ap1-radio-2] radio enable
[AC1-wlan-ap-ap1-radio-2] quit
[AC1-wlan-ap-ap1] quit
(2) 配置AC 2
# 配置AC 2各接口的IP地址(略)。
# 配置AC 2為彙聚AC。
<AC2> system-view
[AC2] wlan guest-tunnel aggregation-ac
# 指定AC 1作為邊緣AC,訪客VLAN為VLAN 5。
[AC2-wlan-aggregation-ac] edge-ac ip 10.1.0.1 vlan 5
# 配置訪客隧道加密時的流量分發功能。
[AC2-wlan-aggregation-ac] wlan guest-tunnel flow-distribute enable
[AC2-wlan-aggregation-ac] quit
(3) 配置NAT設備
# 配置GigabitEthernet 1/0/1使其與邊緣AC相通。
<NAT> system-view
[NAT] interface GigabitEthernet 1/0/1
[NAT-GigabitEthernet 1/0/1] ip address 10.1.0.2 255.255.0.0
[NAT-GigabitEthernet 1/0/1] quit
# 配置地址組0,包含一個外網地址202.38.1.23。
[NAT] nat address-group 0
[NAT-address-group-0] address 202.38.1.23 202.38.1.23
[NAT-address-group-0] quit
# 配置ACL 2000,允許對企業內網中10.1.0.3/16網段的用戶報文進行地址轉化。
[NAT] acl basic 2000
[NAT-acl-ipv4-basic-2000] rule permit source 10.1.0.3 0.0.0.255
[NAT-acl-ipv4-basic-2000] quit
# 配置GigabitEthernet 1/0/2使其與彙聚AC相通。
[NAT] interface GigabitEthernet 1/0/2
[NAT-GigabitEthernet 1/0/2] ip address 202.38.1.20 255.255.0.0
# 在接口GigabitEthernet 1/0/2上配置出方向動態地址轉換,允許使用地址組0中的地址對匹配ACL 2000的報文進行源地址轉換,並在轉換過程中使用端口信息。
[NAT-GigabitEthernet 1/0/2] nat outbound 2000 address-group 0
[NAT-GigabitEthernet 1/0/2] quit
(4) 配置IPsec加密
a. 配置AC 1
# 創建IPv4高級ACL 3000。
[AC1] acl advanced 3000
# 定義由源端口18002去往目的端口18002的UDP數據流將被加密。
[AC1-acl-ipv4-adv-3000] rule permit udp source-port eq 18002 destination-port eq 18002
#定義由源端口60016~60031去往目的端口60016~60031的UDP數據流將被加密。
[AC1-acl-ipv4-adv-3000] rule permit udp source-port range 60016 60031 destination-port range 60016 60031
[AC1-acl-ipv4-adv-3000] quit
# 創建IPsec安全提議tran1。
[AC1] ipsec transform-set tran1
# 配置安全協議對IP報文的封裝形式為隧道模式。
[AC1-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全協議為ESP。
[AC1-ipsec-transform-set-tran1] protocol esp
# 配置ESP協議采用的加密算法為3DES,認證算法為HMAC-MD5。
[AC1-ipsec-transform-set-tran1] esp encryption-algorithm 3des-cbc
[AC1-ipsec-transform-set-tran1] esp authentication-algorithm md5
[AC1-ipsec-transform-set-tran1] quit
# 創建並配置IKE keychain,名稱為keychain1。
[AC1] ike keychain keychain1
# 配置與IP地址為202.38.1.21的對端使用的預共享密鑰為明文123456TESTplat&!。
[AC1-ike-keychain-keychain1] pre-shared-key address 202.38.1.21 255.255.0.0 key simple 123456TESTplat&!
[AC1-ike-keychain-keychain1] quit
# 創建並配置IKE profile,名稱為profile1。
[AC1] ike profile profile1
# 指定引用的keychain,名稱為keychain1。
[AC1-ike-profile-profile1] keychain keychain1
# 配置協商模式為野蠻模式。
[AC1-ike-profile-profile1] exchange-mode aggressive
# 配置本端身份為FQDN名稱為h3c.com,兩端配置的FQDN必須相同。
[AC1-ike-profile-profile1] local-identity fqdn h3c.com
[AC1-ike-profile-profile1] match remote identity address 202.38.1.21 255.255.0.0
[AC1-ike-profile-profile1] quit
# 創建一條IKE協商方式的IPsec安全策略,名稱為policy1,序列號為1。
[AC1] ipsec policy policy1 1 isakmp
# 指定引用ACL 3000。
[AC1-ipsec-policy-isakmp-policy1-1] security acl 3000
# 指定引用的安全提議為tran1。
[AC1-ipsec-policy-isakmp-policy1-1] transform-set tran1
# 配置IPsec隧道的對端IP地址為202.38.1.21。
[AC1-ipsec-policy-isakmp-policy1-1] remote-address 202.38.1.21
# 指定引用的IKE profile為profile1。
[AC1-ipsec-policy-isakmp-policy1-1] ike-profile profile1
[AC1-ipsec-policy-isakmp-policy1-1] quit
# 在VLAN 2上應用安全策略policy1。
[AC1] interface Vlan-interface 2
[AC1-Vlan-interface2] ip address 10.1.0.1 255.255.0.0
[AC1-Vlan-interface2] ipsec apply policy policy1
[AC1-Vlan-interface2] quit
# 配置端口GigabitEthernet 1/0/1(Trunk類型)的缺省VLAN為2,並允許VLAN 5通過。
[AC1] interface GigabitEthernet 1/0/1
[AC1-GigabitEthernet 1/0/1] port link-type trunk
[AC1-GigabitEthernet 1/0/1] port trunk pvid vlan 2
[AC1-GigabitEthernet 1/0/1] port trunk permit vlan 2 5
[AC1-GigabitEthernet 1/0/1] quit
# 配置流量觸發IKE DPD探測間隔時間為10秒,重傳時間間隔為5秒,探測模式為按需探測。
[AC1] ike dpd interval 10 retry 5 on-demand
# 配置靜態路由。
[AC1] ip route-static 0.0.0.0 0 10.1.0.2
# (可選)如果是IRF堆疊環境,還需要打開IPsec冗餘備份功能。
[AC1] ipsec redundancy enable
b. 配置AC 2
# 創建IPsec安全提議tran1。
[AC2] ipsec transform-set tran1
# 配置安全協議對IP報文的封裝形式為隧道模式。
[AC2-ipsec-transform-set-tran1] encapsulation-mode tunnel
# 配置采用的安全協議為ESP。
[AC2-ipsec-transform-set-tran1] protocol esp
# 配置ESP協議采用的加密算法為3DES,認證算法為HMAC-MD5。
[AC2-ipsec-transform-set-tran1] esp encryption-algorithm 3des-cbc
[AC2-ipsec-transform-set-tran1] esp authentication-algorithm md5
[AC2-ipsec-transform-set-tran1] quit
# 創建並配置IKE keychain,名稱為keychain1。
[AC2] ike keychain keychain1
# 配置與IP地址為202.38.1.23的對端使用的預共享密鑰為明文123456TESTplat&!。
[AC2-ike-keychain-keychain1] pre-shared-key address 202.38.1.23 255.255.0.0 key simple 123456TESTplat&!
[AC2-ike-keychain-keychain1] quit
# 創建並配置IKE profile,名稱為profile1。
[AC2] ike profile profile1
# 指定引用的keychain,名稱為keychain1。
[AC2-ike-profile-profile1] keychain keychain1
# 配置協商模式為野蠻模式。
[AC2-ike-profile-profile1] exchange-mode aggressive
# 配置匹配對端身份的規則為FQDN名稱h3c.com,兩端配置的FQDN必須相同。
[AC2-ike-profile-profile1] match remote identity fqdn h3c.com
[AC2-ike-profile-profile1] quit
# 創建一條IKE協商方式的IPsec安全策略,名稱為template1,序列號為1。
[AC2] ipsec policy-template template1 1
# 指定引用的安全提議為tran1。
[AC2-ipsec-policy-template-template1-1] transform-set tran1
# 指定IPsec隧道的本端IP地址為202.38.1.21。
[AC2-ipsec-policy-template-template1-1] local-address 202.38.1.21
# 指定引用的IKE profile為profile1。
[AC2-ipsec-policy-template-template1-1] ike-profile profile1
[AC2-ipsec-policy-template-template1-1] quit
# 引用IPsec安全策略模板創建一條IKE協商方式的IPsec安全策略,名稱為policy1,順序號為1。
[AC2] ipsec policy policy1 1 isakmp template template1
# 在VLAN 2上應用安全策略policy1。
[AC2] interface Vlan-interface 2
[AC2-Vlan-interface2] ip address 202.38.1.21 255.255.0.0
[AC2-Vlan-interface2] ipsec apply policy policy1
[AC2-Vlan-interface2] quit
# 配置端口GigabitEthernet 1/0/1(Trunk類型)的缺省VLAN為2,並允許VLAN 5通過。
[AC2] interface GigabitEthernet 1/0/1
[AC2-GigabitEthernet 1/0/1] port link-type trunk
[AC2-GigabitEthernet 1/0/1] port trunk pvid vlan 2
[AC2-GigabitEthernet 1/0/1] port trunk permit vlan 2 5
[AC2-GigabitEthernet 1/0/1] quit
# 配置流量觸發IKE DPD探測間隔時間為10秒,重傳時間間隔為5秒,探測模式為按需探測。
[AC2] ike dpd interval 10 retry 5 on-demand
# 配置靜態路由。
[AC2] ip route-static 0.0.0.0 0 202.38.1.20
# (可選)如果是IRF堆疊環境,還需要打開IPsec冗餘備份功能。
[AC2] ipsec redundancy enable
(1) 以上配置完成後,AC 1和AC 2之間如果有源端口18002與目的端口18002之間的報文通過,將觸發IKE進行IPsec SA的協商。IKE成功協商出IPsec SA後,源端口18002與目的端口18002之間數據流和源端口60016~60031去往目的端口60016~60031的數據流的傳輸將受到IPsec SA的保護。可通過以下顯示查看到協商生成的IPsec SA。
[AC1] display ipsec sa
-------------------------------
Interface: Vlan-interface5
-------------------------------
-----------------------------
IPsec policy: policy1
Sequence number: 1
Mode: Template
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Path MTU: 1436
Tunnel:
local address: 10.1.0.1
remote address: 202.38.1.21
Flow:
sour addr: 0.0.0.0/0.0.0.0 port: 18002 protocol: udp
dest addr: 0.0.0.0/0.0.0.0 port: 18002 protocol: udp
[Inbound ESP SAs]
SPI: 3885901857 (0xe79e2821)
Connection ID: 55834574848
Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3160
Max received sequence-number: 5
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: Y
Status: Active
(2) 在AC 1和AC 2上使用display wlan guest-tunnel all命令可以看到訪客隧道的狀態已經處於Up狀態。
# 在AC 1上查看訪客隧道狀態。
[AC1] display wlan guest-tunnel all
Guest access tunnel information
Local Mode: Edge AC Tunnel Count: 1
Peer IP Address Local IP Address VLANs State Interface
202.38.1.21 10.1.0.1 5 Up WLAN-Tunnel1
# 在AC 2上查看訪客隧道狀態。
[AC2] display wlan guest-tunnel all
Guest access tunnel information
Local Mode: Aggregation AC Tunnel Count: 1
Peer IP Address VLANs State Interface
10.1.0.1 5 Up WLAN-Tunnel1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
