- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-WLAN接入配置
本章節下載: 03-WLAN接入配置 (500.66 KB)
WLAN接入為用戶提供接入網絡的服務。無線服務的骨幹網通常使用有線電纜作為線路連接安置在固定網絡,接入點設備安置在需要覆蓋無線網絡的區域,用戶在該區域內可以通過無線接入的方式接入無線網絡。
客戶端首先需要通過主動/被動掃描方式發現周圍的無線網絡,再通過鏈路層認證、關聯和用戶接入認證三個過程後,才能和AP建立連接,最終接入無線服務。整個過程如圖1-1所示。有關鏈路層認證、用戶接入認證的詳細介紹及相關配置請參見“WLAN配置指導”中的“WLAN用戶安全”、“WLAN用戶接入認證”。
客戶端在實際工作過程中,通常同時使用主動掃描和被動掃描獲取周圍的無線網絡信息。
主動掃描是指客戶端在工作過程中,會定期地搜索周圍的無線網絡,也就是主動掃描周圍的無線網絡。客戶端在掃描的時候,會主動廣播Probe Request幀(探測請求幀),通過收到Probe Response幀(探測響應幀)獲取無線網絡信息。根據Probe Request幀是否攜帶SSID(Service Set Identifier,服務集標識符),可以將主動掃描分為兩種:
· 客戶端發送Probe Request幀(Probe Request中SSID為空,也就是SSID這個信息元素的長度為0):客戶端會定期地在其支持的信道列表中,發送Probe Request幀掃描無線網絡。當AP收到Probe Request幀後,會回複Probe Response幀通告可以提供服務的無線網絡信息。客戶端通過主動掃描,可以主動獲知可使用的無線服務,之後客戶端可以根據需要選擇適當的無線網絡接入。客戶端主動掃描方式的過程如圖1-2所示。
圖1-2 主動掃描過程(Probe Request中SSID為空,也就是不攜帶任何SSID信息)
· 客戶端發送Probe Request幀(攜帶指定的SSID):在客戶端上配置了希望連接的無線網絡或者客戶端已經成功連接到一個無線網絡的情況下,客戶端會定期發送Probe Request幀(攜帶已經配置或者已經連接的無線網絡的SSID),能夠提供指定SSID無線服務的AP接收到Probe Request幀後,會回複Probe Response幀。通過這種方法,客戶端可以主動掃描指定的無線網絡。這種客戶端主動掃描方式的過程如圖1-3所示。
圖1-3 主動掃描過程(Probe Request攜帶指定為“APPLE”的SSID)
被動掃描是指客戶端通過偵聽AP定期發送的Beacon幀(信標幀)發現周圍的無線網絡。提供無線服務的AP設備都會周期性地廣播發送Beacon幀,所以客戶端可以定期在支持的信道列表監聽Beacon幀獲取周圍的無線網絡信息,從而接入AP。當客戶端需要節省電量時,可以使用被動掃描。被動掃描的過程如圖1-4所示。
當客戶端通過指定SSID選擇無線網絡,並通過AP鏈路認證後,就會立即向AP發送Association Request幀(關聯請求幀),AP會對Association Request幀攜帶的能力信息進行檢測,最終確定該客戶端支持的能力,並回複Association Response幀(關聯響應幀)通知客戶端鏈路是否關聯成功。
WLAN接入控製的主要目的為對用戶接入網絡和訪問網絡進行控製,WLAN接入控製的方式有以下幾種:
· 基於名單的接入控製。
· 基於ACL的接入控製。
無線網絡很容易受到各種網絡威脅的影響,非法設備對於無線網絡來說是一個很嚴重的威脅,因此需要對客戶端的接入進行控製。通過黑名單和白名單功能來過濾客戶端,對客戶端進行控製,防止非法客戶端接入無線網絡,可以有效的保護企業網絡不被非法設備訪問,從而保證無線網絡的安全。
白名單定義了允許接入無線網絡的客戶端MAC地址表項,不在白名單中的客戶端不允許接入。白名單表項隻能手工添加和刪除。
黑名單定義了禁止接入無線網絡的客戶端MAC地址表項,在黑名單中的客戶端不允許接入。黑名單分為靜態黑名單和動態黑名單,以下分別介紹。
· 靜態黑名單
靜態添加、刪除表項的黑名單稱為靜態黑名單,當無線網絡明確拒絕某些客戶端接入時,可以將這些客戶端加入靜態黑名單。
· 動態黑名單
動態添加、刪除表項的黑名單稱為動態黑名單。在配置了對非法設備進行反製、無線客戶端二次接入認證等場景下,設備會將明確拒絕接入的客戶端MAC地址加入到動態黑名單,當動態黑名單表項到達老化超時時間後,刪除該表項。
當收到客戶端關聯請求報文時,無線設備將使用白名單和黑名單對客戶端的MAC地址進行過濾。以圖1-5為例,具體的過濾機製如下:
(1) 當AP上存在白名單時,AP將判斷Client 1的MAC地址是否在白名單中,如果在白名單中,則允許客戶端接入無線網絡,如果Client 1不在白名單中,則拒絕Client 1接入。
(2) 當AP上不存在白名單時,AP則判斷Client 1的MAC地址是否在靜態黑名單中,若Client 1在靜態黑名單中則拒絕Client 1接入無線網絡。
(3) 當AP上不存在白名單且Client 1的MAC地址不在靜態黑名單中時,如果為Client 1配置了二次接入認證時間間隔或者AP收到Client 1的攻擊報文,此時若配置了動態黑名單,則AP會將Client 1的MAC地址添加到動態黑名單中,並拒絕Client 1接入無線網絡。
基於ACL的接入控製是指,設備根據指定ACL中配置的規則對新接入的無線客戶端進行接入控製。
當無線客戶端接入無線網絡時,設備通過判斷無線客戶端MAC地址與指定的ACL規則的匹配情況對客戶端進行過濾,具體的過濾機製如下:
· 如果匹配上某permit規則,則允許無線客戶端接入無線網絡;
· 如果匹配上某deny規則,則拒絕無線客戶端接入無線網絡;
· 如果未匹配上任何規則,則拒絕其接入。
· 設備對無線接入功能的支持情況請參見“WLAN特性與硬件適配關係(FAT AP)”。
· 不同設備的接口編號對應的射頻模式不同,本文中僅以WLAN-Radio0/0舉例。具體接口編號對應的射頻模式,請以設備實際情況為準。
WLAN接入配置任務如下:
(1) 配置無線服務模板
¡ 創建無線服務模板
¡ (可選)配置描述信息
¡ 配置SSID
¡ (可選)配置無線服務模板允許關聯的最大客戶端數目
¡ 使能無線服務模板
¡ 綁定無線服務模板
(2) (可選)配置對未知客戶端數據報文處理方式
(3) (可選)配置客戶端管理功能
¡ 開啟快速關聯功能
(4) (可選)配置客戶端維護功能
(5) (可選)配置客戶端接入控製功能
¡ 配置白名單
¡ 配置靜態黑名單
¡ 配置動態黑名單
(6) (可選)配置AP回複客戶端廣播Probe request報文
(7) (可選)開啟告警功能
無線服務模板即一類無線服務屬性的集合,如無線網絡的SSID、認證方式(開放係統認證或者共享密鑰認證)等。
(1) 進入係統視圖。
system-view
(2) 創建無線服務模板。
wlan service-template service-template-name
(3) (可選)配置無線客戶端從指定無線服務模板上線後所屬的VLAN。
vlan vlan-id
缺省情況下,無線客戶端從指定無線服務模板上線後將被加入到VLAN 1。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置無線服務模板的描述信息。
description text
缺省情況下,未配置無線服務模板的描述信息。
AP將SSID置於Beacon幀中向外廣播發送。若BSS一段時間內不可用即客戶端不能上線或不希望其它客戶端上線,則可以配置SSID隱藏。若配置了SSID隱藏,AP在Beacon幀中廣播的SSID信息為空,借此保護網絡免遭攻擊。為了進一步保護無線網絡,AP對於廣播Probe Request幀也不會回複。此時客戶端若想連接此BSS,則需要手工指定該SSID,這時客戶端會直接向該AP發送認證及關聯報文連接該BSS。
當射頻或無線服務模板下關聯的客戶端數目達到最大值時,AP會在Beacon幀中隱藏SSID信息,導致客戶端無法發現並關聯AP,配置SSID通告功能可以強製AP在Beacon幀中通告SSID信息,使客戶端可以發現AP,但無法進行關聯。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置SSID。
ssid ssid-name
缺省情況下,未配置SSID。
(4) (可選)配置SSID隱藏。
beacon ssid-hide
缺省情況下,信標幀不隱藏SSID。
(5) (可選)配置在信標幀中通告SSID。
beacon ssid-advertise
缺省情況下,信標幀不強製通告SSID。
配置單個射頻下單個無線服務模板上允許關聯的最大客戶端數目,可以防止單個射頻下單個無線服務模板上由於關聯的客戶端數量過多而過載。當單個射頻下單個無線服務模板上關聯的客戶端數達到允許關聯的最大客戶端數目,將不再接受新的客戶端關聯且SSID會自動隱藏。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置單個射頻下單個無線服務模板允許關聯的最大客戶端數目。
client max-count max-number
缺省情況下,不限製無線服務模板允許關聯的最大客戶端數目。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟無線服務模板。
service-template enable
缺省情況下,無線服務模板處於關閉狀態。
射頻能綁定的最大無線服務模板的個數為16個。
(1) 進入係統視圖。
system-view
(2) 進入WLAN射頻接口視圖。
interface wlan-radio interface-number
(3) 綁定無線服務模板。
service-template service-template-name
缺省情況下,未綁定無線服務模板。
通過配置對未知客戶端數據報文處理方式,可以選擇設備在收到未知客戶端發送的數據報文後,僅丟棄客戶端發送的數據報文不作處理,或丟棄客戶端發送的數據報文並向客戶端發送解除認證報文通知客戶端斷開連接。
(1) 進入係統視圖。
system-view
(2) 進入服務模板視圖。
wlan service-template service-template-name
(3) 配置對未知客戶端數據報文處理方式。
unknown-client [ deauthenticate | drop ]
缺省情況下,丟棄未知客戶端發送的數據報文並向客戶端發送解除認證報文。
如果WLAN環境中啟動了頻譜導航,客戶端關聯AP的效率將受到影響。對於不需要頻譜導航功能或注重低延遲的網絡服務,可以在無線服務模板下開啟快速關聯功能。無線服務模板開啟快速關聯功能後,即使AP上啟動了頻譜導航功能,也不會對該無線服務模板下接入的無線客戶端進行負載均衡計算,從而讓客戶端可以快速的關聯到AP上。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟快速關聯功能。
quick-association enable
缺省情況下,快速關聯功能處於關閉狀態。
設備支持與特定第三方廠商的Web服務器通過HTTP協議傳輸客戶端信息。配置Web服務器信息後,設備將與Web服務器建立HTTP連接,將關聯客戶端的信息(如客戶端MAC地址、接入AP的MAC及接入時間等信息)發送給Web服務器,由服務器進行存儲並由用戶進行查看。
(1) 進入係統視圖。
system-view
(2) 配置接收客戶端信息的Web服務器的域名和端口號。
wlan web-server host host-name port port-number
缺省情況下,未配置接收客戶端信息的Web服務器的域名和端口號。
(3) 指定接收客戶端信息的Web服務器的路徑。
wlan web-server api-path path
缺省情況下,未指定接收客戶端信息的Web服務器的路徑。
(4) (可選)配置設備一次向Web服務器上報客戶端信息的最大數目。
wlan web-server max-client-entry number
缺省情況下,設備一次向Web服務器上報客戶端信息的最大數目為10。
客戶端上線時,設備會自動生成客戶端上線日誌來記錄該事件。客戶端上線日誌的格式有兩種,格式不同,記錄的內容不同。
· H3C格式:日誌內容為客戶端上線的AP名稱、Radio ID、客戶端MAC地址、關聯的SSID、BSSID及客戶端的上線狀態。
· normal格式:日誌內容為客戶端上線的AP的MAC地址、AP名稱、客戶端IP地址、客戶端MAC地址、關聯的SSID及BSSID。
· sangfor格式:日誌內容為客戶端上線的AP的MAC地址、客戶端IP地址和客戶端MAC地址。
缺省情況下,客戶端上線時,設備會自動生成H3C格式的客戶端上線日誌。配置本功能後,設備在生成H3C格式日誌的同時,還會生成normal格式或者sangfor格式的客戶端上線日誌。所有格式的客戶端上線日誌均會發送給設備的信息中心模塊,由信息中心模塊決定日誌最終的輸出方向。有關信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。
(1) 進入係統視圖。
system-view
(2) 配置客戶端上線日誌的格式。
customlog format wlan { normal | sangfor }
缺省情況下,僅輸出H3C格式的客戶端上線日誌。
客戶端二次接入認證的時間間隔是指客戶端通過802.1X認證或MAC地址認證(包括通過URL重定向功能完成MAC地址認證)後,RADIUS服務器強製客戶端下線到再次對其進行認證的時間間隔。
配置了客戶端二次接入認證的時間間隔之後,設備將已通過認證的客戶端的MAC地址加入到動態黑名單中,並在指定的時間間隔內禁止客戶端接入。通過此方式加入動態黑名單的MAC地址不受動態黑名單老化時間的影響。
如果在該時間間隔內使用reset wlan dynamic-blacklist命令清除動態黑名單,則設備將允許該客戶端接入並進行認證。
(1) 進入係統視圖。
system-view
(2) 配置客戶端二次接入認證的時間間隔。
wlan client reauthentication-period [ period-value ]
缺省情況下,客戶端二次接入認證的時間間隔為10秒。
客戶端空閑時間,是指AP與客戶端成功連接後,客戶端與AP無任何報文交互的狀態的最大時間,當達到最大空閑時間時,AP會自動與客戶端斷開連接。
(1) 進入係統視圖。
system-view
(2) 配置客戶端空閑時間。
wlan client idle-timeout interval
缺省情況下,AP和客戶端之間連接允許的最大空閑時間為3600秒。
開啟客戶端保活功能後,AP每隔保活時間向客戶端發送空數據報文,以確認其是否在線。若在三個保活時間內未收到客戶端回應應答報文或數據報文,則AP斷開與客戶端的連接。若在此期間內收到,則認為客戶端在線。
(1) 進入係統視圖。
system-view
(2) 開啟客戶端保活功能。
wlan client keep-alive enable
缺省情況下,客戶端保活功能處於關閉狀態。
(3) 配置客戶端保活時間。
wlan client keep-alive interval interval
缺省情況下,客戶端保活時間為300秒。
無線鏈路質量檢測,即AP根據客戶端上線時協商的速率集,以每個速率發送5個空數據報文進行鏈路質量檢測。AP根據客戶端的響應報文可以獲取AP客戶端之間的無線鏈路質量信息,如信號強度、報文重傳次數、RTT(Round-Trip Time,往返時間)等。
無線鏈路質量檢測的超時時間為10秒,如果AP在超時時間內沒有完成鏈路質量檢測,將無法得到鏈路質量檢測結果。
請在用戶視圖下執行本命令,對客戶端進行鏈路質量測量。
wlan link-test mac-address
NAS-ID和NAS-Port-ID主要用於網絡服務提供商標識客戶端的接入位置,區分流量來源。
如果在配置無線服務模板時綁定了NAS-ID,則優先使用無線服務模板綁定的NAS-ID。
(1) 進入係統視圖。
system-view
(2) 配置無線客戶端的NAS-Port-ID屬性的格式。
wlan nas-port-id format { 2 | 4 }
缺省情況下,NAS-Port-ID的消息格式為格式2。
(3) 進入全局配置視圖。
wlan global-configuration
(4) 配置網絡接入服務器標識。
nas-id nas-id
缺省情況下,未配置網絡接入服務器標識。
RADIUS標準屬性NAS-Port-Type用於表示用戶接入的端口類型。
缺省情況下,無線服務模板上有802.1X或者MAC地址認證用戶上線時,設備向RADIUS服務器發送的RADUIS請求報文中填充的為自動獲取到的NAS-Port-Type屬性值WLAN-IEEE 802.11。若無線服務模板配置了NAS-Port-Type,則使用本命令配置的值填充該屬性。
本命令隻能在無線服務模板關閉的狀態下配置。
對於要使用RADIUS服務器進行802.1X或者MAC地址認證的用戶,需要通過本命令將RADIUS請求報文的NAS-Port-Type類型配置為RADIUS服務器支持的類型。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template
(3) 配置NAS-Port-Type。
nas-port-type value
缺省情況下,設備發送的RADIUS請求報文中的NAS-Port-Type屬性值為19。
關聯成功率是指客戶端關聯AP成功的次數占客戶端關聯AP的總次數的百分比。關聯擁塞率是指在AP滿載的情況下,客戶端在關聯AP過程中被拒絕的次數占關聯AP的總次數的百分比。終端異常下線率是指終端異常斷開連接的總次數占終端關聯成功的總次數與當前在線用戶總數之和的百分比。
配置本特性後,設備會重新對客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率進行優化計算。
(1) 進入係統視圖。
system-view
(2) 配置客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率的優化參數值。
wlan association optimization value
缺省情況下,客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率的優化參數值為0,即不對客戶端關聯AP的關聯成功率、關聯擁塞率以及終端異常下線率進行優化,采用實際值。
開啟本功能後,設備發送的Beacon或Probe Response報文中會攜帶BSS Load IE。BSS Load IE主要包含一個射頻下的每個BSS的客戶端數量、信道利用率和剩餘媒體可用時間等內容。
在漫遊網絡和Hotspot 2.0網絡中,建議開啟本功能,以便客戶端根據BSS Load IE自動選擇可接入的最優網絡。
(1) 進入係統視圖。
system-view
(2) 開啟Beacon和Probe Request報文攜帶BSS load IE功能。
wlan client bss-load-ie enable [ update-interval interval ]
缺省情況下,Beacon和Probe Response報文中不攜帶BSS Load IE。
第一次配置白名單時,係統會提示用戶是否解除與所有在線客戶端的關聯,如果選擇解除關聯,才能配置白名單,否則不能配置白名單。當刪除白名單中所有客戶端時,則不存在白名單。
(1) 進入係統視圖。
system-view
(2) 配置白名單。
wlan whitelist mac-address mac-address
同一MAC地址表項不能同時配置到白名單中和靜態黑名單中。
(1) 進入係統視圖。
system-view
(2) 配置靜態黑名單。
wlan static-blacklist mac-address mac-address
當AP收到客戶端的攻擊報文時,會將該客戶端的MAC地址添加到動態黑名單中。
動態黑名單表項具有一定的老化時間。當到達老化時間時,AP會將MAC地址從動態黑名單中刪除。
新配置的動態黑名單老化時間隻對新加入動態黑名單的客戶端生效。
若客戶端同時存在於白名單和動態黑名單中時,則白名單生效。
(1) 進入係統視圖。
system-view
(2) 配置動態黑名單表項的老化時間。
wlan dynamic-blacklist lifetime lifetime
缺省情況下,動態黑名單表項的老化時間為300秒。
基於ACL的接入控製的優先級高於基於名單的接入控製的優先級,建議兩種接入控製單獨使用。如果同時配置了兩種接入控製,當設備上沒有配置無線客戶端訪問控製規則時,按照基於名單的接入控製規則對無線客戶端進行訪問控製。
在ACL中配置deny規則來拒絕指定客戶端接入時,請在deny規則之後配置允許所有客戶端接入的permit規則,否則會導致所有客戶端無法接入。
基於ACL的接入控製隻匹配source mac地址二層ACL規則。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置基於ACL的接入控製。
access-control acl acl-number
缺省情況下,未配置基於ACL的接入控製。
基於ACL的接入控製隻能引用二層ACL規則。
廣播Probe request報文中不攜帶服務的SSID。AP收到該廣播報文後,將AP提供的所有服務的信息封裝在Probe reponse報文中,回應給客戶端。
關閉AP回複廣播Probe request報文功能,可以減少AP回複的Probe response報文。但是,如果AP不回複所有客戶端的廣播Probe request報文,則可能會導致終端無法漫遊,長時間關聯在信號比較弱的AP上。可以通過配置RSSI門限值引導客戶端關聯到信號比較強的AP上,同時又可以減少AP回複的Probe response報文。
通過本功能還可以配置AP僅回複指定工作頻段的客戶端的廣播Probe request報文。
(1) 進入係統視圖。
system-view
(2) 配置AP回複廣播Probe request報文。
wlan broadcast-probe reply [ rssi-threshold rssi-value ] [ frequency-band { 2.4 | 5 } ]
缺省情況下,AP回複所有客戶端的廣播Probe request報文。
開啟了告警功能之後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。(有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。)
(1) 進入係統視圖。
system-view
(2) 開啟告警功能。請至少選擇其中一項進行配置。
¡ 開啟客戶端的告警功能。
snmp-agent trap enable wlan client
¡ 開啟客戶端審計的告警功能。
snmp-agent trap enable wlan client-audit
缺省情況下,客戶端告警功能處於關閉狀態。
開啟無線客戶端智能接入功能後,可以在僅創建無線服務模板或身份認證與密鑰管理模式配置為PSK的情況下,自動將我司配套的無線客戶端接入到無線網絡。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟無線客戶端智能接入功能。
client smart-access enable
缺省情況下,無線客戶端智能接入功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後WLAN接入的運行情況,通過查看顯示信息驗證配置效果。
在用戶視圖下執行reset命令可以清除動態黑名單或斷開AP與客戶端的連接。
表1-1 WLAN接入顯示和維護
|
操作 |
命令 |
|
顯示WLAN射頻接口信息 |
display interface wlan-radio [ interface-number ] [ brief ] |
|
顯示AP上2.4GHz及5GHz頻段的在線客戶端數量 |
display wlan ap all client-number |
|
顯示AP的所有Radio接口下在線客戶端數量和信道信息 |
display wlan ap all radio client-number |
|
顯示黑名單 |
display wlan blacklist { dynamic | static } |
|
顯示BSS(Basic Service Set,基本服務集)信息 |
display wlan bss { all | bssid bssid } [ verbose ] |
|
顯示客戶端的信息 |
display wlan client [ interface wlan-radio interface-number | mac-address mac-address | service-template service-template-name | vlan vlan-id ] [ verbose ] |
|
顯示客戶端的IPv6地址信息 |
display wlan client ipv6 |
|
顯示客戶端在線時長 |
display wlan client online-duration [ verbose ] |
|
顯示客戶端狀態信息 |
display wlan client status [ mac-address mac-address ] [ verbose ] |
|
顯示Client模式AP收發報文的統計信息 |
display wlan client-mode packet-statistics radio radio-id |
|
顯示Client模式AP掃描到的BSS信息 |
display wlan client-mode roam-enhance bss |
|
顯示Client模式射頻的漫遊狀態信息 |
display wlan client-mode roaming-state |
|
顯示無線服務模板信息 |
display wlan service-template [ service-template-name ] [ verbose ] |
|
查看無線客戶端的統計信息 |
display wlan statistics client [ mac-address mac-address ] |
|
查看客戶端連接曆史信息 |
display wlan statistics connect-history service-template service-template-name |
|
查看無線服務模板的統計信息 |
display wlan statistics service-template service-template-name |
|
顯示白名單 |
display wlan whitelist |
|
斷開與客戶端的連接 |
reset wlan client { all | mac-address mac-address } |
|
清除動態黑名單 |
reset wlan dynamic-blacklist [ mac-address mac-address ] |
|
清除無線客戶端的統計信息 |
reset wlan statistics client { all | mac-address mac-address } |
|
清除無線服務模板的統計信息 |
reset wlan statistics service-template service-template-name |
· AP通過交換機與有線網絡相連。在Switch上開啟DHCP server功能,為AP和客戶端分配IP地址。
· AP提供SSID為trade-off的無線接入服務。
圖1-6 無線接入組網圖
# 配置無線服務模板service1,配置SSID為trade-off,並開啟服務模板。
<AP> system-view
[AP] wlan service-template service1
[AP-wlan-st-service1] ssid trade-off
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
# 將無線服務模板service1綁定到WLAN-Radio0/0接口。
[AP] interface wlan-radio 0/0
[AP-WLAN-Radio0/0] undo shutdown
[AP-WLAN-Radio0/0] service-template service1
[AP-WLAN-Radio0/0] quit
(1) 配置完成後,在AP上執行display wlan service-template命令,可以看到所有已經創建的無線服務模板。無線服務模板service1的SSID為trade-off,無線服務模板已經使能,其它配置項都使用缺省值。
[AP] display wlan service-template verbose
Service template name : service1
Description : Not configured
SSID : trade-off
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 3
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 sec
PTK life time : 43200 sec
PTK rekey : Enabled
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
WPA3 status : Disabled
PPSK : Disabled
PPSK Fail Permit : Disabled
Enhance-open status : Enabled
Enhanced-open transition-mode service-template : N/A
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
Critical VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : my-domain
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
Forwarder : AP
FT status : Disabled
QoS trust : Port
QoS priority : 0
(2) MAC地址為0023-8933-223b的客戶端可以連接無線網絡名稱為trade-off的無線網絡。在AP上執行display wlan client命令,可以看到所有連接成功的客戶端。
[AP] display wlan client service-template service1
Total number of clients: 1
MAC address Username RID IP address IPv6 address VLAN
0023-8933-223b N/A 1 3.0.0.3 3
AP通過交換機接入無線網絡,客戶端為已知合法客戶端,通過將客戶端的MAC地址0000-000f-1211加入到白名單中,僅允許白名單中的客戶端接入無線網絡,拒絕白名單以外的客戶端接入無線網絡。
圖1-7 白名單配置組網圖
# 將客戶端的MAC地址0000-000f-1211添加到白名單。
<AP> system-view
[AP] wlan whitelist mac-address 0000-000f-1211
配置完成後,在AP上執行display wlan whitelist命令,可以看到AC已經將客戶端的MAC地址表項加入到白名單。
<AP> display wlan whitelist
Total number of clients: 1
MAC addresses:
0000-000f-1211
AP通過交換機接入無線網絡。客戶端為已知非法客戶端,通過將客戶端的MAC地址0000-000f-1211加入到靜態黑名單中,拒絕靜態黑名單中的客戶端接入無線網絡。
圖1-8 靜態黑名單配置組網圖
# 將客戶端的MAC地址0000-000f-1211添加到靜態黑名單。
<AP> system-view
[AP] wlan static-blacklist mac-address 0000-000f-1211
配置完成後,在AP上執行display wlan blacklist static命令,可以看到AC已經將客戶端的MAC地址表項加入到靜態黑名單。
<AP> display wlan blacklist static
Total number of clients: 1
MAC addresses:
0000-000f-1211
AP 1和AP 2通過Switch1與AC連接,為工作在Client模式的AP 3提供接入和漫遊增強服務,AP 3的5GHz射頻Radio 1以Client模式接入SSID為agv的無線服務,AP 3的2.4GHz射頻Radio 2開啟漫遊增強功能。同時,AP 3的以太網接口通過交換機連接有線網絡中的設備,實現AP 3為沒有安裝無線網卡的設備提供公共無線網卡功能,並降低Client模式AP 3在漫遊過程中的丟包率。
圖1-9 Client模式漫遊增強組網圖
(1) 配置AC
# 創建無線服務模板agv,配置SSID為agv,並使能該服務模版,為工作在Client模式的AP 3 提供無線接入服務。
<AC> system-view
[AC] wlan service-template agv
[AC-wlan-st-agv] ssid agv
[AC-wlan-st-agv] service-template enable
[AC-wlan-st-agv] quit
# 創建其它無線服務模板service,配置SSID為service,並使能該服務模版,為手機、平板等其它無線終端提供無線接入服務,同時服務於網絡側的漫遊增強功能。
[AC] wlan service-template service
[AC-wlan-st-service] ssid service
[AC-wlan-st-service] service-template enable
[AC-wlan-st-service] quit
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE00021T
# 配置射頻工作信道為36,並將服務模板agv綁定到ap1的Radio 1接口。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 36
[AC-wlan-ap-ap1-radio-1] service-template agv
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
# 配置射頻工作信道為1,並將服務模板service綁定到ap1的Radio 2接口。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] channel 1
[AC-wlan-ap-ap1-radio-2] service-template service
[AC-wlan-ap-ap1-radio-2] roam-enhance ssid agv
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
# 創建手工AP,名稱為ap2,選擇AP型號並配置序列號。
[AC] wlan ap ap2 model WA6320
[AC-wlan-ap-ap2] serial-id 219801A28N819CE0002T
# 配置射頻工作信道為40,並將服務模板agv綁定到ap2的Radio 1接口。
[AC-wlan-ap-ap2] radio 1
[AC-wlan-ap-ap2-radio-1] channel 40
[AC-wlan-ap-ap2-radio-1] service-template agv
[AC-wlan-ap-ap2-radio-1] radio enable
[AC-wlan-ap-ap2-radio-1] quit
# 配置射頻工作信道為6,並將服務模板service綁定到ap2的Radio 2接口。
[AC-wlan-ap-ap2] radio 2
[AC-wlan-ap-ap2-radio-2] channel 6
[AC-wlan-ap-ap2-radio-2] service-template service
[AC-wlan-ap-ap2-radio-2] roam-enhance ssid agv
[AC-wlan-ap-ap2-radio-2] radio enable
[AC-wlan-ap-ap2-radio-2] quit
[AC-wlan-ap-ap2] quit
(2) 配置Client模式AP 3
# 進入WLAN-Radio 1/0/1接口視圖。
[AP3] interface wlan-radio 1/0/1
# 開啟Client模式。
[AP3-WLAN-Radio1/0/1] client-mode enable
# 配置Client模式AP 3的關聯SSID為agv。
[AP3-WLAN-Radio1/0/1] client-mode ssid agv
[AP3-WLAN-Radio1/0/1] quit
# 進入WLAN-Radio 1/0/2接口視圖。
[AP3] interface wlan-radio 1/0/2
# 配置信道掃描白名單。
[AP3-WLAN-Radio1/0/2] scan channel whitelist 1 6 11
# 開啟Client模式AP3的漫遊增強功能,並配置漫遊模式為快速漫遊。
[AP3-WLAN-Radio1/0/2] client-mode roam-enhance quick
[AP3-WLAN-Radio1/0/2] quit
配置完成後,在AP 3上執行display wlan client-mode roam-enhance bss命令,可以查看到Client模式AP掃描到的BSS信息。
<AP3> display wlan client-mode roam-enhance bss
Total number of BSSs: 2
BSSID Time MSec RSSI AVER CHL AGE SSID
84d9-3100-4b00 16:51:09 0244 37 36 36 5 agv
16:51:08 0834 37
16:51:08 0732 36
16:51:08 0642 37
16:51:09 0253 36
50da-00df-33e0 16:51:08 0802 45 45 40 5 agv
16:51:08 0699 44
16:51:08 0597 46
16:51:08 0261 46
16:51:09 0251 45
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
