- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-无线服务
本章节下载: 09-无线服务 (4.40 MB)
WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,维护的成本低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供无线局域网服务,服务内容包括:
· 应用具有无线局域网功能的设备建立无线网络,通过该网络,用户可以连接到固定网络或因特网。
· 使用不同认证和加密方式,安全地访问WLAN。
带有无线网卡的PC、笔记本电脑以及支持WiFi功能的各种终端。
(2) AP(Access Point,接入点)
AP提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。
(3) AC(Access Controller,接入控制器)
无线控制器对无线局域网中的与其关联的AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息,来为WLAN用户提供认证服务。
SSID(Service Set Identifier,服务集标识符),客户端可以先进行无线扫描,然后选择特定的SSID接入某个指定无线网络。
无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网。整个过程如下图所示。
无线客户端有两种方式可以获取到周围的无线网络信息:一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个Probe Request帧(探测请求帧),通过收到Probe Response帧(探查响应帧)获取网络信号;另外一种为被动扫描,无线客户端只是通过监听周围AP发送的Beacon帧(信标帧)获取无线网络信息。
无线客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息。
无线客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
· 客户端发送Probe Request帧(Probe Request中SSID为空,也就是SSID IE的长度为0):客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到探查请求帧后,会回应Probe Response帧通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端主动扫描方式的过程如下图所示。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
· 客户端发送Probe Request帧(携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送Probe Request帧(携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探查响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如下图所示。
图1-3 主动扫描过程(Probe Request携带指定的SSID为“AP 1”)
被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息。当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。被动扫描的过程如下图所示。
为了保证无线链路的安全,AC需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
· 开放系统认证(Open system authentication)
开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为“成功”。
· 共享密钥认证(Shared key authentication)
共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。
共享密钥认证的认证过程为:客户端先向设备发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给客户端;客户端会将接收到的Challenge加密后再发送给无线设备端;无线设备端接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了Shared key链路认证;否则Shared key链路认证失败。
如果用户想通过AP接入无线网络,用户必须同特定的AP关联。当用户通过指定SSID选择无线网络,并通过AP认证后,就可以向AP发送关联请求帧。AP将用户信息添加到数据库,向用户回复关联响应。用户每次只可以关联到一个AP上,并且关联总是由用户发起。
相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其它所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。
802.11协议致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其它的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。
该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有线等效加密)用来保护WLAN中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法(一种流加密算法)实现数据报文的加密保护。根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密。
· 静态WEP加密:
静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏,攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。
· 动态WEP加密:
动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.1X协议协商产生,这样每个客户端协商出来的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听、会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患。
(3) TKIP加密
TKIP和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护。
首先,TKIP通过增长了算法的IV长度提高了WEP加密的安全性。相比WEP算法,TKIP将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位;
其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,可以采取一系列的对策,来阻止黑客的攻击。
CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性。
(1) PSK认证
PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥,如果密钥相同, PSK接入认证成功;如果密钥不同,PSK接入认证失败。
802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。
接入设备的管理者可以选择使用RADIUS或本地认证方法,以配合802.1X完成用户的身份认证。关于远程和本地802.1X认证的介绍和配置可以参考“认证”。
(3) MAC地址认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。通过手工维护一组允许访问的MAC地址列表,实现对客户端物理地址过滤,但这种方法的效率会随着终端数目的增加而降低,因此MAC地址认证适用安全需求不太高的场合,如家庭、小型办公室等环境。
MAC地址认证分为以下两种方式:
· 本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,需要在设备上预先配置允许访问的MAC地址列表,如果客户端的MAC地址不在允许访问的MAC地址列表,将被拒绝其接入请求。
图1-7 本地MAC地址认证
· 远程MAC地址认证,即通过RADIUS服务器进行MAC地址认证。当MAC接入认证发现当前接入的客户端为未知客户端,会主动向RADIUS服务器发起认证请求,在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络以及获得相应的授权信息。
图1-8 远程MAC地址认证
采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器。
|
配置clear类型的无线服务 |
||
|
配置crypto类型的无线服务 |
||
|
绑定AP的射频 |
||
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入如下图所示接入服务配置页面。
(2) 单击<新建>按钮,进入如下图所示无线服务新建页面。
(4) 单击<确定>按钮完成操作。
|
设置SSID,无线服务名称可以为1~32个字符的字符串,可以包含字母、数字及下划线,区分大小写,可以包含空格 SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了头域负载,对无线安全没有改进 |
|
|
· Clear:使用明文发送无线服务 · Crypto:使用密文发送无线服务 |
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的clear类型无线服务,单击对应的
图标,进入如下图所示的配置页面。
图1-11 clear类型无线服务基本配置页面
(3) 配置clear类型无线服务基本信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-3 clear类型无线服务基本配置的详细配置
|
由于不同无线ID下可以配置相同的无线服务,通过设置描述字符串可以用来帮助用户标识无线服务的用途,以免对无线服务进行误配置 |
|
|
VLAN(Untagged) |
添加Untagged的VLAN ID, VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签 |
|
在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID |
|
|
删除已有Tagged和Untagged的VLAN ID |
|
|
· Enable:禁止在信标帧中通告SSID · Disable:在信标帧中通告SSID
· SSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP · 隐藏SSID对无线安全意义不大。允许广播SSID可以使客户端更容易发现AP |
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的clear类型无线服务,单击对应的
图标,进入如下图所示clear类型无线服务高级配置页面。
图1-12 clear类型无线服务高级配置页面
(3) 配置clear类型无线服务高级信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-4 clear类型无线服务高级配置的详细配置
|
转发模式 |
· 集中转发:客户端的数据流量由AP通过隧道透传到AC,由AC转发数据报文。对于集中转发模式,可以选择数据报文以802.3格式封装在数据隧道中,由AC转发;或是数据报文以802.11格式封装在数据隧道中,由AC转发 · 本地转发:由AC对客户端进行认证,但客户端的数据流量直接由AP进行转发。该模式在保持了AC/Fit AP架构在安全、管理等方面的优势的前提下,缓解了AC的数据转发压力 · 基于转发策略:根据客户端报文匹配转发策略的情况,使得接入某个SSID的客户端发送的报文可以进行集中转发或本地转发,从而充分利用AP的本地转发功能,有效减轻AC的负担。关于转发策略的详细介绍和配置请参见“1.3 配置策略”
|
|
同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN |
|
|
· 802.11数据报文以802.11格式封装在数据隧道中,由AC转发数据报文 · 802.3:数据报文以802.3格式封装在数据隧道中,由AC转发数据报文 需要注意的是,使用CAPWAP隧道时,该配置才能生效。使用LWAPP隧道时,数据报文只能以802.11格式封装在数据隧道中。关于隧道的配置请参见“AP” |
|
|
信标测量是802.11k协议定义的一套用于无线设备向其他无线设备查询无线环境信息的标准方法之一。开启信标测量功能后,AP会周期性地向客户端发送信标测量请求,客户端收到信标测量请求后,会回复信标测量报告。AP通过信标测量报告获取客户端收集到的信标测量信息 |
|
|
· 主动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会在其支持的所有信道上广播发送Probe Request帧,然后设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP · 信标表模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,不执行额外的测量,直接向AP回复信标测量报告,该报告中包含客户端当前存储的所有信标测量信息 · 被动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP |
|
|
在一个射频下,某个SSID下的关联客户端的最大个数
当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏 |
|
|
Bonjour策略 |
将指定的Bonjour策略应用到接入服务 |
|
上线的客户端对设备WEB界面的管理权限 · Disable:表示上线的客户端对设备WEB界面没有管理权限 · Enable: 表示上线的客户端对设备WEB界面有管理权限,缺省情况下,管理权限功能处于开启状态 |
|
|
MAC VLAN功能 |
· Enable:表示在指定无线服务下开启MAC VLAN功能 · Disable:表示在指定无线服务下关闭MAC VLAN功能,缺省情况下,MAC VLAN功能处于关闭状态
开启MAC VLAN是配置基于AP区分接入VLAN功能时,绑定VLAN ID操作前的一个必要的前提条件 |
|
有线接入服务功能 |
设置有线数据进入CAPWAP隧道传输 缺省情况下,有线接入服务功能处于关闭状态 |
|
设置AP对未知用户数据报文的处理方式 · 解除认证:表示当AP接收到未知用户的数据报文时,主动给该用户发送解认证报文 · 丢弃:表示当AP接收到未知用户的数据报文时,丢弃该报文 |
|
|
用户Cache老化时间 |
当用户从AP下线后,保存了PMK信息,以及授权的VLAN等信息的用户Cache的老化时间。
当配置为0时,用户下线后会立刻删除其Cache信息,即:该用户将不能漫游。 |
|
Remote AP保持客户端 |
设置服务允许Remote AP功能 缺省情况下,服务允许Remote AP功能 |
|
Gsm上行链路网络隐藏 |
当AP的上行链路为GSM网络时,禁止在信标帧中通告SSID 缺省情况下,对GSM的上行链路禁止在信标帧中通告SSID |
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务安全配置页面。
图1-13 clear类型无线服务安全配置页面
(3) 配置clear类型无线服务安全信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-5 clear类型无线服务安全配置的详细配置
|
clear类型只能选择Open-System方式 |
|
|
· mac-authentication:对接入用户采用MAC地址认证 · mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1X认证;对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证 · mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1X和MAC地址认证用户 · userlogin-secure:对接入用户采用基于MAC的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 · userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1X认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 · userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1X和MAC地址认证用户 · userlogin-secure-ext:对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户
由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解: · “userLogin”表示基于端口的802.1X认证 · “mac”表示MAC地址认证 · “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式 · “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式 · 携带“Secure”的userLogin表示基于MAC地址的802.1X认证 · 携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功 |
|
当选择mac-authentication时,需要配置如下选项。
图1-14 mac-authentication端口安全配置页面
表1-6 mac-authentication端口安全配置的详细配置
|
mac-authentication:对接入用户采用MAC地址认证 在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,输入客户端的MAC地址 |
|
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项。
图1-15 userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)
表1-7 userlogin-secure/userlogin-secure-ext端口安全配置的详细配置
|
· userlogin-secure:对接入用户采用基于MAC的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 · userlogin-secure-ext:对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
|
|
设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
|
|
· EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 · CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。表示在网络上以明文方式传输用户名,以密文方式传输口令。相比之下,CHAP认证保密性较好,更为安全可靠 · PAP:采用PAP认证方式。PAP采用明文方式传送口令 |
|
|
· Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态 · Disable:关闭在线用户握手功能 |
|
|
· Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态 · Disable:关闭802.1X的组播触发功能
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能 |
|
|
设置是否开启802.1X支持双机热备功能。要实现此功能,还需要在“高可靠性 > 双机热备”中配置双机热备功能,具体配置请参见“双机热备”。 |
图1-16 四种端口安全配置页面(以mac-else-userlogin-secure为例)
|
· mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1X认证;对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证 · mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1X和MAC地址认证用户 · userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1X认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 · userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1X和MAC地址认证用户 在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,输入客户端的MAC地址 |
|
|
在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
|
|
· EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 · CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。表示在网络上以明文方式传输用户名,以密文方式传输口令。相比之下,CHAP认证保密性较好,更为安全可靠 · PAP:采用PAP认证方式。PAP采用明文方式传送口令 |
|
|
· Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态 · Disable:关闭在线用户握手功能 |
|
|
· Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态 · Disable:关闭802.1X的组播触发功能
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能 |
|
|
设置是否开启802.1X支持双机热备功能。要实现此功能,还需要在“高可靠性 > 双机热备”中配置双机热备功能,具体配置请参见“双机热备”。 |
|
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面。
图1-17 crypto类型无线服务基本配置页面
(3) 配置crypto类型无线服务基本信息,详细配置请参见表1-3。
(4) 单击<确定>按钮完成操作。
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面。
图1-18 crypto类型无线服务高级配置页面
(3) 配置crypto类型无线服务高级信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-9 crypto类型无线服务高级配置的详细配置
|
转发模式 |
· 集中转发:客户端的数据流量由AP通过隧道透传到AC,由AC转发数据报文。对于集中转发模式,可以选择数据报文以802.3格式封装在数据隧道中,由AC转发;或是数据报文以802.11格式封装在数据隧道中,由AC转发 · 本地转发:由AC对客户端进行认证,但客户端的数据流量直接由AP进行转发。该模式在保持了AC/Fit AP架构在安全、管理等方面的优势的前提下,缓解了AC的数据转发压力 · 基于转发策略:根据客户端报文匹配转发策略的情况,使得接入某个SSID的客户端发送的报文可以进行集中转发或本地转发,从而充分利用AP的本地转发功能,有效减轻AC的负担。关于转发策略的详细介绍和配置请参见“1.3 配置策略”
|
|
同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN |
|
|
· 802.11:数据报文以802.11格式封装在数据隧道中,由AC转发数据报文 · 802.3:数据报文以802.3格式封装在数据隧道中,由AC转发数据报文 需要注意的是,使用CAPWAP隧道时,该配置才能生效。使用LWAPP隧道时,数据报文只能以802.11格式封装在数据隧道中 |
|
|
信标测量是802.11k协议定义的一套用于无线设备向其他无线设备查询无线环境信息的标准方法之一。开启信标测量功能后,AP会周期性地向客户端发送信标测量请求,客户端收到信标测量请求后,会回复信标测量报告。AP通过标测量报告获取客户端收集到的信标测量信息 |
|
|
· 主动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会在其支持的所有信道上广播发送Probe Request帧,然后设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP · 信标表模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,不执行额外的测量,直接向AP回复信标测量报告,该报告中包含客户端当前存储的所有信标测量信息 · 被动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP |
|
|
在一个射频下,某个SSID下关联客户端的最大个数
当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏 |
|
|
PTK生存时间 |
设置PTK的生存时间,PTK通过四次握手方式生成 |
|
Bonjour策略 |
将指定的Bonjour策略应用到接入服务 |
|
TKIP反制策略实施时间 |
缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略 MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联 |
|
上线的客户端对设备WEB界面的管理权限 · Disable:表示上线的客户端对设备WEB界面没有管理权限 · Enable:表示上线的客户端对设备WEB界面有管理权限,缺省情况下,管理权限功能处于开启状态 |
|
|
MAC VLAN功能 |
· Enable:表示在指定无线服务下开启MAC VLAN功能 · Disable:表示在指定无线服务下关闭MAC VLAN功能,缺省情况下,MAC VLAN功能处于关闭状态
开启MAC VLAN是配置基于AP区分接入VLAN功能时,绑定VLAN ID操作前的一个必要的前提条件 |
|
有线接入服务功能 |
设置有线数据进入CAPWAP隧道传输 缺省情况下,有线接入服务功能处于关闭状态 |
|
设置AP对未知用户数据报文的处理方式 · 解除认证:表示当AP接收到未知用户的数据报文时,主动给该用户发送解认证报文 · 丢弃:表示当AP接收到未知用户的数据报文时,丢弃该报文 |
|
|
用户Cache老化时间 |
当用户从AP下线后,保存了PMK信息,以及授权的VLAN等信息的用户Cache的老化时间。
当配置为0时,用户下线后会立刻删除其Cache信息,即:该用户将不能漫游。 |
|
GTK更新方法 |
GTK由AC生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文 · 选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔 · 选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK 缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒 |
|
缺省情况下,客户端离线更新GTK的功能处于关闭状态 |
|
|
保护管理帧 |
· 强制:开启保护管理帧功能,支持保护管理帧功能的客户端可上线,同时对通信过程中的管理帧进行保护,不支持保护管理帧功能的客户端无法上线 · 可选:开启保护管理帧功能,支持或不支持保护管理帧功能的客户端均可接入,但仅对支持保护管理帧功能的上线客户端提供保护管理帧功能,对通信过程中的的管理帧进行保护 · 关闭:关闭保护管理帧功能。支持或不支持保护管理帧功能的客户端均可上线,但不对通信过程中的的管理帧进行保护 缺省情况下,保护管理帧功能处于关闭状态
使用认证类型为PSK或802.1X,并且加密类型和安全IE为AES、WPA2的接入服务上才能设置保护管理帧功能 |
|
关联返回时间 |
关联返回时间,在该时间超时前,AP不会处理客户端发送的关联/重关联请求 |
|
SA Query超时时间 |
SA Query超时时间,若AP在SA Query超时时间内未收到客户端的SA Query响应帧,AP将再次发送SA Query请求帧 |
|
SA Query重试次数 |
AP发送SA Query请求帧的重传次数 |
|
绑定Hotspot2.0策略 |
选择绑定的Hotspot2.0策略 |
|
Remote AP保持客户端 |
设置服务允许Remote AP功能 缺省情况下,服务允许Remote AP功能。 |
|
Gsm上行链路网络隐藏 |
当AP的上行链路为GSM网络时,禁止在信标帧中通告SSID 缺省情况下,对GSM的上行链路禁止在信标帧中通告SSID。 |
保护管理帧功能通过保护无线网络中的管理帧来完善无线网络的安全性。保护管理帧的标准是建立在802.11i的框架上的。802.11w保护的管理帧包括解除认证帧,解除关联帧和部分强壮Action帧。
对于单播管理帧,保护管理帧功能仍旧使用数据帧的成对临时密钥对单播管理帧进行加密,保证单播管理帧的机密性、完整性以及重放保护。
对广播/组播管理帧,保护管理帧功能使用BIP(Broadcast Integrity Protocol,广播完整性协议)保证广播/组播管理帧的完整性以及重放保护,实现防止客户端受到仿冒AP的攻击。但保护管理帧功能不能为广播/组播管理帧的传输提供机密性保护。BIP通过在广播/组播管理帧的帧主体后增加MME(Management MIC IE,管理MIC IE)字段来实现保护广播/组播管理帧。
· 完整性:AC/AP和客户端通过四次握手或者组播握手产生IGTK(Integrity Group Temporal Key,完整性组临时密钥),IGTK与广播/组播管理帧的帧主体进行运算生成MIC(Message Integrity Check,消息完整性校验),将生成的MIC放入MME字段中。客户端通过四次握手消息3或组播握手消息1收到的IGTK,也产生MIC,客户端将此MIC与从AP接收到的MIC进行比较,相同即表示广播/组播管理帧是完整的。
· 重放保护:AP为每个IGTK维护一个IPN(IGTK Packet Number,IGTK报文序列号),通过四次握手消息3或者组播握手消息1将IPN初始值发送给客户端。AP后续发送保护的广播/组播帧时,将IPN存放于MME中发送给客户端,客户端会将收到的IPN与本地保存的IPN进行比较,如果收到的IPN比本地保存的IPN增加1,则表示客户端没有受到重放攻击。
AP与客户端协商结果为使用保护管理帧功能后,无线设备将使用SA Query机制增强客户端的安全连接。SA Query包括主动SA Query和被动SA Query。
(1) 主动SA Query
在AP收到仿冒的关联/重关联报文的情况下,主动SA Query机制可以防止AP对客户端作出错误的响应。
当AP收到客户端的关联/重关联请求,AP将发送关联/重关联响应帧,响应状态值为“关联/重关联临时被拒绝,稍后重连”,并携带关联返回时间,随后AP会触发SA Query过程。
AP向客户端发送SA Query请求帧,若AP在SA Query超时时间内收到客户端发送的SA Query响应帧,则AP认为该客户端在线。若AP在SA Query超时时间内未收到客户端的SA Query响应帧,AP将再次发送SA Query请求帧。若AP在SA Query重试次数内收到SA Query响应帧,则认为客户端在线,并且在关联返回时间内,AP将不再响应关联/重关联请求。若AP在SA Query重试次数内未收到SA Query响应帧,AP将认为客户端已经掉线,允许其重新接入。
图1-19 主动SA Query过程
(2) 被动SA Query
在客户端收到未加密的解除关联/解除认证报文(失败码为6或7)的情况下,被动SA Query机制可以防止客户端异常下线。
当客户端收到一个未保护的解除关联帧或者解除认证帧,客户端会触发SA Query过程。客户端向AP发送SA Query请求帧,AP回复SA Query响应帧。客户端收到SA Query响应帧,判定AP在线,AP和客户端之间的连接处于正常状态,客户端不会下线。
图1-20 被动SA Query过程
配置保护管理帧功能的步骤如下:
(3) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(4) 在列表中找到要进行配置的crypto类型无线服务,单击对应的
图标,进入如图1-18所示页面。
(5) 配置crypto类型无线服务的保护管理帧功能,详细配置如表1-9所示。
(6) 单击<确定>按钮完成操作。
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面。
图1-21 crypto类型无线服务安全配置页面
(3) 配置crypto类型无线服务安全信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表1-10 crypto类型无线服务安全配置的详细配置
|
· Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证 · Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制 · Open-System and Shared-Key:可以同时选择使用Open-System和Shared-Key认证
WEP加密方式可以分别和Open system、Shared key链路认证方式使用 · 采用Open system authentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃 · 采用Shared key authentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络 |
|
|
· AES:AES加密算法 · TKIP:一种基于RC4算法和动态密钥管理的加密机制 · AES and TKIP:可以同时选择使用AES和TKIP加密 |
|
|
无线服务类型(Beacon或者Probe response报文中携带对应的IE信息): · WPA:在802.11i协议之前,Wi-Fi Protected Access定义的安全机制 · WPA2:802.11i定义的安全机制,也就是RSN(Robust Security Network,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性 · WPA and WPA2:同时选择使用WPA和WPA2 |
|
|
密钥衍生类型 |
指定支持的由PMK(Pairwise Master Key,成对主密钥)产生PTK/GTK所使用的散列算法。目前使用的散列算法有两种,分别是SHA1和SHA256。SHA1使用HMAC-SHA1散列算法进行迭代计算产生密钥,SHA256使用HMAC-SHA256散列算法进行迭代计算产生密钥 配置密钥衍生类型: · SHA1:支持使用HMAC-SHA1散列算法 · SHA256:支持使用HMAC-SHA256散列算法 · SHA1 and SHA256:支持使用HMAC-SHA1和HMAC-SHA256散列算法 缺省情况下,密钥衍生类型是SHA1
当认证类型为PSK或802.1X时,配置了密钥衍生类型才能生效 |
|
WEP加密 |
|
|
使用自动提供WEP密钥方式: · 开启:使用自动提供WEP密钥方式 · 关闭:使用静态WEP密钥方式 缺省情况下,使用静态WEP密钥方式 选择自动提供WEP密钥方式后,“密钥类型”选项会自动使用WEP 104加密方式
· 自动提供WEP密钥必须和802.1X认证方式一起使用 · 配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧。如果不配置WEP密钥,则由设备随机生成组播密钥 |
|
|
· WEP 40:选择WEP 40进行加密 · WEP 104:选择WEP104进行加密 · WEP 128:选择WEP 128进行加密 |
|
|
1:选择密钥索引为1 2:选择密钥索引为2 3:选择密钥索引为3 4:选择密钥索引为4 在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密 |
|
|
选择WEP密钥长度: · 当密钥类型选择WEP40时,可选的密钥长度5个字符(5 Alphanumeric Chars)或者10位16进制数(10 Hexadecimal Chars) · 当密钥类型选择WEP104时,可选的密钥长度13个字符(13 Alphanumeric Chars)或者26位16进制数(26 Hexadecimal Chars) · 当密钥类型选择WEP 128时,可选的密钥长度16个字符(16 Alphanumeric Chars)或者32位16进制数(32 Hexadecimal Chars) |
|
|
配置WEP密钥 |
|
|
“认证方式”、“加密类型”等参数直接决定了端口模式的可选范围,具体请参见表1-13 · mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 · psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 · userlogin-secure-ext:对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
|
当选择mac and psk时,需要配置如下选项。
图1-22 mac and psk端口安全配置页面
表1-11 mac and psk端口安全配置的详细配置
|
mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,输入客户端的MAC地址 |
|
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
|
|
· pass-phrase:以字符串方式输入预共享密钥 · raw-key:以十六进制数方式输入预共享密钥 |
当选择psk时,需要配置如下选项。
图1-23 psk端口安全配置页面
表1-12 psk端口安全配置的详细配置
|
psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 |
|
|
· pass-phrase:以字符串方式输入预共享密钥 · raw-key:以十六进制数方式输入预共享密钥 |
当选择userlogin-secure-ext时,需要配置的选项如表1-7所示。
clear类型和crypto类型无线服务类型下,各参数之间的关系:
|
WEP加密/密钥ID |
|||||
|
WEP加密可选/密钥ID可选234 |
|||||
|
WEP加密必选/密钥ID可选1234 |
|||||
|
WEP加密必选/密钥ID可选1234 |
|||||
|
WEP加密必选/密钥ID可选1234 |
|||||
|
WEP加密必选/密钥ID可选1234 |
通过配置认证模式,可以控制客户端的认证。目前支持三种认证模式:
集中式认证是由AC对客户端进行认证,数据转发方式与转发模式选项的设置情况有关,关于本地转发的配置和具体介绍请参见“1.2.3 2. clear类型无线服务高级配置”。AC和AP的连接出现故障后,客户端是否下线与Remote AP选项的设置情况有关,关于Remote AP的配置和具体介绍请参见“AP”。
本地认证即AP本地认证,在一些简单的应用环境下,可以直接使用AP作为认证实体对客户端进行认证,客户端接入后,数据转发方式为本地转发。AC和AP的连接出现故障后,已接入的客户端不会下线[1],新的客户端仍然可以在通过AP认证后接入无线网络。
AP和AC连接正常时,使用AC集中式认证。AC和AP的连接出现故障后,原有的客户端不会下线[1],如果有新的客户端需要接入,就只能使用AP本地认证,客户端接入后,数据转发方式为本地转发。AP和AC恢复连接后,AP会强制所有客户端下线,AC重新对客户端进行认证后,客户端才可接入。
· [1]:如果客户端使用远程认证方式接入,原有客户端不会下线的前提是,AC和AP的连接出现故障后,AP能和认证服务器保持连接,例如将认证服务器部署在AP侧,详细介绍请参见“2. 组网方式”。
· 该特性针对的认证类型为端口模式支持的认证类型,不支持Portal认证。
· 通过AP本地认证上线的客户端不支持漫游。
· 通过AP本地认证上线的客户端不支持客户端信息备份功能,即客户端信息备份功能对于通过AP本地认证上线的客户端不生效,关于客户端信息备份功能和配置请参见“高级设置”。
使用本地认证模式和备份认证模式的情况下,如果客户端使用的认证方式需要认证服务器,可以使用如下图所示的两种组网方式,推荐使用如图1-25所示的组网方式,将认证服务器部署在AP侧,这种方式的优势在于当AP和AC的连接出现故障后,不会因为认证服务器超时定时器超时导致已上线的客户端下线。
图1-24 AP本地认证组网图(认证服务器部署在AC侧)
图1-25 AP本地认证组网图(认证服务器部署在AP侧)
(1) 配置备份或本地认证模式前,请先通过“AP > AP设置”页面开启AP的Remote AP功能。
(2) 配置使用备份或本地认证模式,并且客户端使用802.1X或MAC地址认证方式接入,那么用户需要编辑AP的配置文件,然后通过“AP > AP设置”页面使用配置文件选项将配置文件下载到AP。AP的配置文件中必须包括以下内容:
· 如果客户端使用本地802.1X或本地MAC地址认证,在配置文件中需要包括开启端口安全、ISP域以及本地用户的配置。
· 如果客户端使用远程802.1X或远程MAC地址认证,在配置文件中需要包括开启端口安全、ISP域以及RADIUS方案的配置。
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的无线服务,单击对应的图标,进入如下图所示页面。
(3) 配置认证模式。在集中、本地、备份三种认证模式中选择需要的认证模式。
(4) 单击<确定>按钮完成操作。
· 通过本地认证模式上线的客户端,在AC上可以通过“概览> 客户端”页面的<断开连接>按钮强制客户端下线。
· 使用本地认证模式和备份认证模式的情况下,如果AC和AP的连接出现故障,在故障恢复前,请不要修改AC上的配置。AP和AC恢复连接后,AC会重新检查配置,某些配置不一致可能会导致已上线的客户端下线。
IP源地址验证功能用于对AP收到的报文进行过滤控制,以防止非法客户端的报文通过,从而限制了对网络资源的非法使用(比如非法客户端仿冒合法客户端IP接入网络),提高了无线网络的安全性。
对于使用IPv4地址的客户端,AP会截获客户端与DHCP服务器间交互的DHCPv4报文,从报文中获取到DHCP服务器为客户端分配的IP地址,并与客户端的MAC地址形成绑定表项。
对于使用IPv6地址的客户端,有以下两种方式可以形成绑定表项。
· DHCPv6方式:AP会截获客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的完整的IPv6地址,并与客户端的MAC地址形成绑定表项。从DHCPv6分配到IPv6地址前缀无法与客户端的MAC地址形成绑定表项。
· ND(Neighbor Discovery,IPv6邻居发现)方式:AP会截获客户端与路由器之间交互的RA(Router Advertisement,路由器通告消息)报文,从报文中获取IPv6地址,并与客户端的MAC地址形成绑定表项。
如图1-27所示,开启IP源地址验证功能后,AP在收到客户端报文时,会查找IP源地址绑定表项,如果客户端发送报文的特征项(MAC地址+IP地址)与某个绑定表项匹配,则转发该报文,否则做丢弃处理。
图1-27 IP源地址验证功能示意图
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的无线服务,单击对应的图标,进入如下图所示页面。
(3) 配置IP源地址验证。勾选IPv4或IPv6前的复选框。(缺省情况下,IP源地址验证功能处于关闭状态)
(4) 单击<确定>按钮完成操作。
· 对于要接入开启IP源地址验证功能的SSID的客户端来说,如果客户端是通过AP本地认证方式上线的,IP源地址验证功能依然生效,但是在AC上不会查看到该客户端的IP地址绑定表项。关于AP本地认证的详细介绍请参考“配置认证模式”。
· 如果接入开启IP源地址验证功能的SSID的客户端需要漫游到漫游组内其它AC上的AP,那么需要在漫游组其它AC上的相应SSID上开启IP源地址验证功能,否则会出现客户端业务中断的情况。关于漫游功能的详细介绍请参考“ IACTP隧道和漫游”。
(1) 在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
(3) 单击<开启>按钮完成操作。
(1) 在导航栏中选择“无线服务 > 接入服务”。
(2) 在列表里查找到需要绑定的无线服务,单击对应的
图标,进入下图所示页面。
图1-30 绑定AP的射频
(4) 单击<绑定>按钮完成操作。
通过不同的SSID区分不同服务的业务流。而通过AP来区分不同的地点,地点不同用户所能接入的服务不同。当客户端在不同的AP间漫游时,可以通过区分接入的AP来享受不同的服务。具体要求为:
· 同属于一个SSID的用户在不同AP接入时可以根据配置情况决定所属的VLAN;
· 用户在漫游时,接入所属的VLAN一直保持不变;
· 在AC间漫游时,如果本AC没有该VLAN出口,则要求能够在漫游组内找到HA,将报文通过HA送出,保证报文不间断。
图1-31 基于AP区分接入VLAN示意图
上图中,Client 1在AP 1处上线,所属的VLAN为VLAN3。漫游期间(包括AC内的漫游,AC间的漫游),Client 1的VLAN一直保持不变。AC间漫游时,如果FA(即AC 2)有该VLAN的出口,则在该AC送出报文,如果FA没有该VLAN的出口,报文通过DATA TUNNEL送到HA(即AC 1)后送出。
Client 2在AP 4上线,所属的VLAN为VLAN 2,表示在不同的AP上线后分配的VLAN不同。
(2) 在导航栏中选择“无线服务 > 接入服务”。
(3) 在列表里查找到需要绑定的无线服务,单击对应的
图标,进入图1-30所示绑定AP的射频页面。
(4) 选择需要绑定的AP射频模式,选中前面的复选框。
(5) 选中“绑定VLAN”前的单选框,在绑定VLAN输入框中输入需要绑定的VLAN。
(6) 单击<绑定>按钮完成操作。
关于VLAN池的功能介绍和配置,请参见“高级设置”。
(1) 在导航栏中选择“无线服务 > 接入服务”。
(2) 在列表里查找到需要绑定的无线服务,单击对应的图标,进入图1-30所示绑定AP的射频页面。
(4) 选中“绑定VLAN池”前的单选框,并在绑定VLAN池下拉框中选择指定的VLAN池。
(5) 单击<绑定>按钮完成操作。
(1) 在界面左侧的导航栏中选择“射频 > 射频设置”,进入如图所示射频设置页面。
(3) 单击<开启>按钮完成操作。
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入接入服务配置页面。
(2) 点击指定的clear类型无线服务后,如下图所示,可以查看相关的详细信息。
图1-33 clear类型无线服务的详细信息
表1-14 clear类型无线服务显示信息描述表
|
服务模板的描述字符串,Not Configured表示没有配置服务模板的描述字符串 |
|
|
Hotspot policy |
|
|
使用的认证类型,clear类型的无线服务只能使用Open System(开放系统认证)方式 |
|
|
Authentication Mode |
服务模板使用的认证模式: · Central:AC集中式认证 · Local:AP本地认证 · Backup:备份认证 |
|
Enable:信标测量功能处于开启状态 |
|
|
· Passive:被动模式 · Active:主动模式 · Beacon-table:信标表模式 |
|
|
· Disable:启用SSID通告 · Enable:禁用SSID通告。SSID隐藏后,AP发送的信标帧里面不包含SSID信息 |
|
|
· Local Forwarding:AP本地转发报文 · Remote Forwarding:AC转发报文 |
|
|
· Enable:无线服务处于开启状态 · Disable:无线服务处于关闭状态 |
|
|
一个BSS中能够连接的最大客户端数 |
|
|
IPv4源地址验证功能状态: · Enable:对IPv4客户端进行源地址验证 · Disable:不对IPv4客户端进行源地址验证 |
|
|
IPv6源地址验证功能状态: · Enable:对IPv6客户端进行源地址验证 · Disable:不对IPv6客户端进行源地址验证 |
|
|
Bonjour Policy |
应用到该服务模板的Bonjour策略名 |
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入接入服务配置页面。
(2) 点击指定的crypto类型无线服务后,如下图所示,可以查看相关的详细信息。
图1-34 crypto类型无线服务的详细信息
表1-15 crypto类型无线服务显示信息描述表
|
服务模板的描述字符串,Not Configured表示没有配置服务模板的描述字符串 |
|
|
Hotspot policy |
|
|
安全IE:WPA或WPA2(RSN) |
|
|
使用的认证类型:Open System(开放系统认证)或者Shared Key(共享密钥认证); |
|
|
Authentication Mode |
服务模板使用的认证模式: · Central:AC集中式认证 · Local:AP本地认证 · Backup:备份认证 |
|
Enable:信标测量功能处于开启状态 |
|
|
· Passive:被动模式 · Active:主动模式 · Beacon-table:信标表模式 |
|
|
· Disable:启用SSID通告 · Enable:禁用SSID通告。SSID隐藏后,AP发送的信标帧里面不包含SSID信息 |
|
|
加密套件:AES-CCMP、TKIP、WEP40/WEP104/WEP128 |
|
|
WEP密钥模式: · HEX:WEP密钥为16进制数的形式 · ASCII:WEP密钥为字符串的形式 |
|
|
WEP密钥 |
|
|
TKIP反制策略时间,单位为秒 |
|
|
PTK生存时间,单位为秒 |
|
|
GTK密钥更新配置 |
|
|
GTK密钥更新方法:基于包或基于时间 |
|
|
当选择基于时间的GTK密钥更新方法时,显示GTK密钥更新时间,单位为秒 当选择基于包的GTK密钥更新方法时,显示数据包的数目 |
|
|
· Local Forwarding:AP本地转发报文 · Remote Forwarding:AC转发报文 |
|
|
PMF Status |
保护管理帧功能的状态: · Disable:保护管理帧功能处于关闭状态 · Optional:保护管理帧功能处于开启状态,支持或不支持保护管理帧功能的客户端均可接入 · Mandatory:保护管理帧功能处于开启状态,且强制要求只有支持保护管理帧功能的客户端可以接入 |
|
· Enable:无线服务处于开启状态 · Disable:无线服务处于关闭状态 |
|
|
一个BSS中能够连接的最大客户端数 |
|
|
IPv4源地址验证功能状态: · Enable:对IPv4客户端进行源地址验证 · Disable:不对IPv4客户端进行源地址验证 |
|
|
IPv6源地址验证功能状态: · Enable:对IPv6客户端进行源地址验证 · Disable:不对IPv6客户端进行源地址验证 |
|
|
Bonjour Policy |
应用到该服务模板的Bonjour策略名 |
使用策略转发首先要创建转发策略,并制定转发规则,报文匹配规则如下,先按照ACL的编号由小到大来匹配。如果报文已经匹配到满足条件的规则,就执行相应的转发,如果不满足,则继续匹配下一个规则。如果没有匹配到任何规则或是使用的ACL中没有配置规则,则缺省采用集中转发。
· 应用到用户方案,则客户端通过802.1X认证后,由认证服务器将客户端使用的用户方案名称下发给AP,AP收到用户方案名字后,会根据用户方案获取转发策略。使用这种方式,需要在AC上创建并激活需要下发给AP的用户方案。如果用户方案中同时配置QoS策略,客户端发送的报文同时符合QoS策略和转发策略的匹配规则,在这种情况下,QoS策略具有更高的优先级。关于用户方案的功能介绍请参见“认证”中的“用户”。
· 应用到接入服务,则接入该SSID的客户端使用接入服务中定义的转发策略。
如果应用到两者的转发策略不同,用户方案中的转发策略优先级高。无论哪种方式,转发策略中的转发规则都需要在AP上生效,因此需要使用配置文件将相关配置下发到AP上。配置文件应该包括以下内容:ACL编号及ACL规则。如果需要将转发策略应用到用户方案,在配置文件中还需要包括和用户方案相关的配置。关于配置文件的配置方法和注意事项,请参见“ AP”。
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(3) 单击<新建>按钮,进入如下图所示转发策略新建页面。
(5) 单击<添加>按钮添加转发规则。
(6) 单击<确定>按钮完成操作。
|
最多可以创建1000个转发策略 |
|||
|
ACL类型 |
选择ACL类型为IPv4或IPv6 |
进行报文匹配时,不对ACL规则中的参数“允许”和“禁止”进行区分,只要报文能够匹配ACL规则,都算作报文匹配成功 |
|
|
ACL编号 |
设置ACL编号 |
||
|
· 集中:对匹配ACL的报文进行集中转发 · 本地:对匹配ACL的报文进行本地转发 |
|||
目前转发策略对ACL的支持情况如下:
· 对于IPv4和IPv6基本ACL,只支持指定规则的源地址信息。
· 对于IPv4和IPv6高级ACL,只支持IP、TCP、UDP和ICMP协议。对于IP协议,支持指定源IP和目的IP地址信息。对于UDP和TCP协议,支持指定源端口号和目的端口号。对于ICMP协议,支持指定ICMP报文的消息类型和消息码信息。
· 对于IPv4的二层ACL,只支持指定规则的源MAC和目的MAC地址信息。
(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。
(2) 在列表中找到要进行配置的无线服务,单击对应的图标,进入如下图所示无线服务高级配置页面。
(3) 将转发策略应用到接入服务的详细配置详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
|
在下拉列表中选择基于转发策略,开启策略转发
|
|
|
转发策略的名称
在User Profile上应用转发策略时,转发策略的名称可以为空 |
请参见“1.3.2 将转发策略应用到接入服务”。在用户方案上应用转发策略前,必须在接入服务页面完成转发模式的配置。
在AC上创建并激活需要下发给AP的用户方案,并确保AC上创建的用户方案、配置文件中用户方案的名称、认证服务器下发用户方案的名称三者是一致的。
在导航栏中选择“认证 > 用户”,应用AP组管理。
(1) 在导航栏中选择“认证 > 用户”。
(3) 单击<新建>按钮,进入新建用户方案名称的配置页面,如下图所示。
(5) 单击<确定>按钮。
(7) 单击<使能>按钮将选中的用户方案使能。
某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公。
· AP通过二层交换机与AC相连。AP的序列ID为210235A29G007C000020,使用手工输入序列号方式。
· AP提供SSID为service1的明文方式的无线接入服务。
· 采用目前较为常用的802.11n(2.4GHz)射频模式。
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入AP新建页面。
步骤3:进行如下配置,如下图所示。
· 设置AP名称为“ap”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤4:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“service1”。
· 选择无线服务类型为“Clear”。
步骤4:单击<确定>按钮完成操作。
步骤5:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤6:选中“service1”前的复选框。
步骤7:单击<开启>按钮完成操作。
(3) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“service1”对应的图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-40 绑定AP的射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
(1) 客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,进入如下图所示页面,可以查看到成功上线的客户端。
要求客户端使用WPA-PSK方式接入无线网络,客户端的PSK密钥配置与AC端相同,为12345678。
图1-43 PSK认证配置组网图
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入AP新建页面。
步骤3:进行如下配置,如下图所示。
· 设置AP名称为“ap”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤4:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“psk”。
· 选择无线服务类型为“Crypto”。
步骤4:单击<确定>按钮完成操作。
步骤1:PSK认证需要在“安全设置”部分进行如下配置,如下图所示。
· 在“认证方式”下拉框中选择“Open-System”。
· 选中“加密类型”前的复选框,选择“TKIP”加密类型(请根据实际情况,选择需要的加密类型),选择“WPA”安全IE。
· 选中“端口设置”前的复选框,在端口模式的下拉框中选择“psk”方式。
· 在PSK预共享密钥下拉框里选择“pass-phrase”,输入密钥“12345678”。
步骤2:单击<确定>按钮完成操作。
步骤3:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤4:选中“psk”前的复选框。
步骤5:单击<开启>按钮完成操作。
(4) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“psk”对应的图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-48 绑定AP的射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为psk),单击<连接>,在弹出的对话框里输入网络密钥(此例中为12345678)。整个过程如下图所示。
客户端配置相同的PSK预共享密钥,客户端可以成功关联AP。
(1) 客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。
AP通过二层交换机与AC建立连接。要求使用客户端使用MAC地址本地认证方式接入无线网络。
图1-52 MAC地址本地认证配置组网图
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入AP新建页面。
· 设置AP名称为“ap”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤3:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“mac-auth”。
· 选择无线服务类型为“Clear”。
步骤4:单击<确定>按钮完成操作。
(3) 配置MAC本地认证
步骤1:MAC地址本地认证需要在“安全设置”部分进行如下配置,如下图所示。
· 选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication” 方式。
· 选中“MAC认证”前的复选框,在域名下拉框中选择“system”(在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以创建新的域)。
步骤2:单击<确定>按钮完成操作。
步骤3:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤4:选中“mac-auth”前的复选框。
步骤5:单击<开启>按钮完成操作。
(4) 配置MAC认证列表
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<MAC认证列表>按钮。
步骤3:进入如下图所示页面,在MAC地址栏里添加本地接入用户,本例中为“0014-6c8a-43ff”。
步骤4:单击<添加>按钮完成操作。
图1-57 添加MAC认证列表
(5) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“mac-auth”对应的
图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-58 绑定AP的射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为mac-auth),单击<连接>按钮。
(1) 客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。
要求无线客户端使用远程MAC地址认证方式接入无线网络。
· 一台RADIUS服务器(使用iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上需要添加Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
· AC的IP地址为10.18.1.1,在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名。
图1-61 远程MAC地址认证配置组网图
(1) 配置AC的接口IP地址
在AC上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
步骤1:在导航栏中选择“认证 > RADIUS”。
步骤2:单击<新建>按钮,进入RADIUS方案配置页面。
步骤3:进行如下配置,如下图所示。
· 在RADIUS服务器配置中增加如图1-62所示的两个服务器,其中密钥为“expert”。
步骤4:单击<确定>按钮完成操作。
步骤1:创建ISP域。在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域)。
步骤2:配置ISP域的AAA认证方案。单击“认证”页签。
步骤3:进行如下配置,如下图所示。
· 选中“LAN-access认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“mac-auth”。
步骤4:单击<应用>按钮完成操作。
图1-63 配置ISP域的AAA认证方案
步骤5:配置ISP域的AAA授权方案。单击“授权”页签。
步骤6:进行如下配置,如下图所示。
· 选中“LAN-access授权”前的复选框,选择授权方式为“RADIUS”。
步骤7:单击<应用>按钮完成操作。
图1-64 配置ISP域的AAA授权方案
步骤8:配置ISP域的AAA计费方案。单击“计费”页签。
步骤9:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“LAN-access计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“mac-auth”。
步骤10:单击<应用>按钮完成操作。
图1-65 配置ISP域的AAA计费方案
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入AP新建页面。
步骤3:进行如下配置,如下图所示。
· 设置AP名称为“ap”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤4:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“mac-auth”。
· 选择无线服务类型为“Clear”。
步骤4:单击<确定>按钮完成操作。
(6) 配置MAC地址认证
步骤1:配置MAC地址认证需要在“安全设置”部分进行如下配置,如下图所示。
· 选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。
· 选中“MAC认证”前的复选框,在域名下拉框中选择“system”。
步骤2:单击<确定>按钮完成操作。
步骤3:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤4:选中“mac-auth”前的复选框。
步骤5:单击<开启>按钮完成操作。
(7) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“mac-auth”对应的图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-70 绑定AP的射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
步骤1:在iMC管理平台选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。
步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。
步骤4:进行如下配置,如下图所示。
· 设置认证、计费共享密钥为expert;
· 设置认证及计费的端口号分别为1812和1813;
· 选择协议类型为LAN接入业务;
· 选择接入设备类型为H3C;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
步骤5:单击<确定>按钮完成操作。
步骤1:选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。
步骤3:在服务配置页面中单击,<增加>按钮,进入增加接入设备页面。
步骤4:设置服务名为mac,其它保持缺省配置。
步骤5:单击<确定>按钮完成操作。
步骤1:选择“用户”页签。
步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。
步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。
步骤4:进行如下配置,如下图所示。
· 添加用户名00146c8a43ff;
· 添加帐号名和密码为00146c8a43ff;
· 选中刚才配置的服务mac。
步骤5:单击<确定>按钮完成操作。
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。
步骤1:在iMC管理选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。
步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。
步骤4:进行如下配置,如下图所示。
· 设置认证、计费共享密钥为expert,其它保持缺省配置;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
步骤5:单击<确定>按钮完成操作。
步骤1:选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。
步骤3:在服务配置页面中单击<增加>按钮,进入增加接入设备页面。
步骤4:设置服务名为mac,其它保持缺省配置。
步骤5:单击<确定>按钮完成操作。
步骤1:选择“用户”页签。
步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。
步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。
步骤4:进行如下配置,如下图所示。
· 添加用户00146c8a43ff;
· 添加帐号名和密码为00146c8a43ff;
· 选中刚才配置的服务mac。
步骤5:单击<确定>按钮完成操作。
(1) 客户端不需要用户手动输入用户名或者密码。该客户端通过MAC地址认证后,可以直接访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。
要求无线客户端使用远程802.1X认证方式接入无线网络。
· 一台RADIUS服务器(使用iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
· AC的IP地址为10.18.1.1。在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名。
图1-78 远程802.1X认证配置组网图
(1) 配置AC的接口IP地址
在AC上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 获取CA证书和本地证书
若AC上已经保存了CA证书文件和本地证书文件,则使用离线方式将其导入本地。否则,需要在线申请AC的本地证书并获取CA证书。证书所在的PKI域为eappki。PKI的具体配置请参见“认证”中的“证书管理”,此处略。
(3) 配置RADIUS方案
步骤1:在导航栏中选择“认证 > RADIUS”。
步骤2:单击<新建>按钮,进入RADIUS方案配置页面。
步骤3:进行如下配置,如下图所示。
· 在RADIUS服务器配置中增加如图1-79所示的认证和计费服务器,其中密钥为“expert”。
· 输入方案名称为“802.1x”。
· 选择服务类型为“Extended”。
步骤4:单击<确定>按钮完成操作。
步骤1:创建ISP域。在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域)。
步骤2:配置ISP域的AAA认证方案。单击“认证”页签。
步骤3:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“LAN-access认证”前的复选框,选择认证方式为“RADIUS”。
· 选择认证方案名称为“802.1x”。
步骤4:单击<应用>按钮完成操作。
图1-80 配置ISP域的AAA认证方案
步骤5:配置ISP域的AAA授权方案。单击“授权”页签。
步骤6:进行如下配置,如下图所示。
· 选中“LAN-access授权”前的复选框,选择授权方式为“RADIUS”。
· 选择授权方案名称为“802.1x”。
步骤7:单击<应用>按钮完成操作。
图1-81 配置ISP域的AAA授权方案
步骤8:配置ISP域的AAA计费方案。单击“计费”页签。
步骤9:进行如下配置,如下图所示。
· 选择域名为“system”。
· 选中“计费可选开关”前的复选框,选择“Enable”。
· 选中“LAN-access计费”前的复选框,选择计费方式为“RADIUS”。
· 选择计费方案名称为“802.1x”。
步骤10:单击<应用>按钮完成操作。
图1-82 配置ISP域的AAA计费方案
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入AP新建页面。
步骤3:进行如下配置,如下图所示。
· 设置AP名称为“ap”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤4:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“dot1x”。
· 选择无线服务类型为“Crypto”。
步骤4:单击<确定>按钮完成操作。
步骤1:802.1X认证需要在“安全设置”部分进行如下配置,如下图所示。
· 选中“加密类型”前的复选框,在加密类型下拉框中选择“AES”,在安全IE下拉框中选择“WPA2”。
· 选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。
· 选中“域名”前的复选框,在域名下拉框中选择“system”。
· 在认证方法下拉框中选择“EAP”。
步骤2:单击<确定>按钮完成操作。
步骤3:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤4:选中“dot1x”前的复选框。
步骤5:单击<开启>按钮完成操作。
(8) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“dot1x”对应的图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-87 绑定AP的射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
· 下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
步骤1:在iMC管理平台选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。
步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。
步骤4:进行如下配置,如下图所示。
· 设置认证、计费共享密钥为expert;
· 设置认证及计费的端口号分别为1812和1813;
· 选择协议类型为LAN接入业务;
· 选择接入设备类型为H3C;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
步骤5:单击<确定>按钮完成操作。
步骤1:选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。
步骤3:在服务配置页面中单击<增加>按钮,进入增加接入设备页面。
步骤4:进行如下配置,如下图所示。
· 设置服务名为dot1x;
· 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。
步骤5:单击<确定>按钮完成操作。
步骤1:选择“用户”页签。
步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。
步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。
步骤4:进行如下配置,如下图所示。
· 添加用户名user;
· 添加帐号名为user,密码为dot1x;
· 选中刚才配置的服务dot1x。
步骤5:单击<确定>按钮完成操作。
· 下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。
步骤1:在iMC管理平台选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。
步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。
步骤4:进行如下配置,如下图所示。
· 设置认证、计费共享密钥为expert,其它保持缺省配置;
· 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备
步骤5:单击<确定>按钮完成操作。
步骤1:选择“业务”页签。
步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。
步骤3:在服务配置页面中单击“增加”按钮,进入增加接入设备页面。
步骤4:进行如下配置,如下图所示。
· 设置服务名为dot1x;
· 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。
步骤5:单击<确定>按钮完成操作。
步骤1:选择“用户”页签。
步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。
步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。
步骤4:进行如下配置,如下图所示。
· 添加用户user;
· 添加帐号名为user,密码为dot1x;
· 选中刚才配置的服务dot1x。
步骤5:单击<确定>按钮完成操作。
选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”按钮,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用windows登录名和密码选项。单击<确定>按钮完成操作。整个过程如下图所示。
(1) 在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。
要求使用客户端使用远程自动提供WEP密钥-802.1X认证方式接入无线网络。
· 一台RADIUS服务器(使用iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
· AC的IP地址为10.18.1.1。在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名。
图1-98 自动提供WEP密钥-802.1X配置组网图
(1) 配置AC的接口IP地址
请参考“1.4.5 2. (1)”部分。
请参考“1.4.5 2. (2)”部分。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“dot1x”。
· 选择无线服务类型为“Crypto”。
步骤4:单击<确定>按钮完成操作。
步骤1:802.1X认证需要在“安全设置”部分进行如下配置,如下图所示。
· 在“认证方式”下拉框中选择“Open-System”。
· 选中“WEP加密”前的复选框,在自动提供密钥下拉框中选择“开启”。
· 选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。
· 选中“域名”前的复选框,在域名下拉框中选择“system”。
· 在认证方法下拉框中选择“EAP”。
步骤2:单击<确定>按钮完成操作。
步骤3:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤4:选中“dot1x”前的复选框。
步骤5:单击<开启>按钮完成操作。
(7) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“dot1x”对应的图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-102 绑定AP的射频
请参考“1.4.5 2. (9)开启802.11n(2.4GHz)射频”部分。
请参考“1.4.5 3. 配置RADIUS server(iMC V3)”部分。
请参考“1.4.5 4. 配置RADIUS server(iMC V5)”部分。
双击桌面右下角的
图标,在弹出“无线网络连接状态”窗口上点击“属性”,在弹出的属性页面中单击<添加>按钮,选择关联页签,添加名为“dot1x”的SSID,并确保选择了“自动为我提供此密钥(H)”。最后单击<确定>按钮完成操作。
在验证页签中,选择EAP类型为“受保护的EAP(PEAP)”,点击“属性”,取消“验证服务器证书(V)”(此处不验证服务器证书),点击“配置”,取消“自动使用windows登录名和密码(以及域,如果有的话)(A)”。然后单击<确定>按钮完成客户端操作。
(1) 在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。
某公司在AC上开启备份认证模式,由总部的AC对分支机构的客户端进行本地MAC地址认证,并且保证AC和AP的连接出现故障时,已接入的客户端不会下线,可以继续访问本地资源。如果有新的客户端需要接入,可以使用AP本地认证上线。
在配置文件中必须包括以下内容:
domain branch.net
authentication lan-access local
authorization lan-access local
accounting lan-access local
local-user 00-14-6c-8a-43-ff
password simple 00-14-6c-8a-43-ff
service-type lan-access
mac-authentication user-name-format mac-address with-hyphen lowercase
保存配置文件,并将配置文件命名为map.cfg,并将配置文件上传到AC存储介质上。
需要在AC上用命令行配置MAC地址认证的用户名格式,具体命令为mac-authentication user-name-format mac-address with-hyphen lowercase。表示使用客户端的MAC地址作为用户名和密码,MAC地址的格式为带连字符“-”小写字母。
(1) 配置ISP域branch.net。
步骤1:在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面。
步骤2:如下图所示,输入域名为“branch.net”。
步骤3:单击<应用>按钮完成操作。
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入AP新建页面。
· 设置AP名称为“ap”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤3:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“mac-auth”。
· 选择无线服务类型为“Clear”。
步骤4:单击<确定>按钮完成操作。
创建无线服务后,直接进入配置无线服务界面,如下图所示,在认证模式下拉框中选择“备份”,然后在该页面上继续配置MAC本地认证。
(5) 配置MAC本地认证
步骤1:MAC地址本地认证需要在“安全设置”部分进行如下配置,如下图所示。
· 选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。
· 选中“MAC认证”前的复选框,在域名下拉框中选择“branch.net”。注意,这里选择的强制认证域必须和AP配置文件中配置的ISP域保持一致。
步骤2:单击<确定>按钮完成操作。
步骤3:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤4:选中“mac-auth”前的复选框。
步骤5:单击<开启>按钮完成操作。
(6) 配置MAC认证列表
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<MAC认证列表>按钮。
步骤3:进入如下图所示页面,在MAC地址栏里添加本地接入用户,本例中为“00-14-6c-8a-43-ff”。
步骤4:单击<添加>按钮完成操作。
图1-114 添加MAC认证列表
(7) 开启Remote AP,并将配置文件下载到AP
步骤1:在界面左侧的导航栏中选择“AP > AP设置”,在列表中找到要进行配置的AP,单击对应的图标,进入“AP设置”页面。
步骤2:展开“高级设置”部分,如下图所示页面。
· 设置配置文件为“map.cfg”。
· “开启”Remote AP功能。
步骤3:单击<确定>按钮完成操作。
图1-115 开启Remote AP,并将配置文件下载到AP
(8) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“mac-auth”对应的图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-116 绑定AP的射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
· AP和AC连接正常时,客户端通过AC集中式认证后可以访问网络。在导航栏中选择“概览 > 客户端”,可以查看到接入客户端的详细信息,显示信息中authentication-mode字段显示Central,表示由AC对该客户端进行认证。
· AC和AP的连接出现故障后,原有的客户端不会下线。如果有新的客户端需要接入,可以使用AP本地认证上线。
· AP和AC恢复连接后,AP会强制所有客户端下线,AC重新对客户端进行认证后,客户端才可接入,在导航栏中选择“概览 > 客户端”,可以查看到重新接入客户端的详细信息,显示信息中authentication-mode字段显示Central。
某公司在AC上开启本地认证模式,满足以下需求:
· 无论AP和AC正常连接或是连接出现故障时,都使用AP对分支机构的客户端进行远程802.1X认证。
· 将认证服务器部署在AP侧,保证分支机构和总部之间的网络通信出现故障时,已接入的802.1X客户端不会下线,可以继续访问本地资源。
dot1x authentication-method eap
radius scheme rad
primary authentication 192.168.100.254
primary accounting 192.168.100.254
key authentication simple 123456
key accounting simple 123456
user-name-format without-domain
domain cams
authentication default radius-scheme rad
authorization default radius-scheme rad
accounting default radius-scheme rad
保存配置文件,并将配置文件命名为map.cfg,并将配置文件上传到AC存储介质上。
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入AP新建页面。
步骤3:进行如下配置,如下图所示。
· 设置AP名称为“ap”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤4:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击<新建>按钮,进入无线服务新建页面。
步骤3:进行如下配置,如下图所示。
· 设置无线服务名称为“dot1x”。
· 选择无线服务类型为“Crypto”。
步骤4:单击<确定>按钮完成操作。
创建无线服务后,直接进入配置无线服务界面,如下图所示,在认证模式下拉框中选择“本地”。
步骤1:802.1X认证需要在“安全设置”部分进行如下配置,如下图所示。
· 选中“加密类型”前的复选框,在加密类型下拉框中选择“AES”,在安全IE下拉框中选择“WPA2”。
· 选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。
· 选中“域名”前的复选框,在域名下拉框中选择“cams”。注意,这里选择的强制认证域必须和AP配置文件中配置的ISP域保持一致。
· 在认证方法下拉框中选择“EAP”。
步骤2:单击<确定>按钮完成操作。
步骤3:开启无线服务。在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。
步骤4:选中“dot1x”前的复选框。
步骤5:单击<开启>按钮完成操作。
(5) 开启Remote AP,并将配置文件下载到AP
步骤1:在界面左侧的导航栏中选择“AP > AP设置”,在列表中找到要进行配置的AP,单击对应的图标,进入“AP设置”页面。
步骤2:展开“高级设置”部分,如下图所示页面。
· 设置配置文件为“map.cfg”。
· “开启”Remote AP功能。
步骤3:单击<确定>按钮完成操作。
图1-124 开启Remote AP,并将配置文件下载到AP
(6) 绑定AP的射频
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击无线服务“dot1x”对应的图标,进入如下图所示页面。
步骤3:选中“802.11n(2.4GHz)”前的复选框。
步骤4:单击<绑定>按钮完成操作。
图1-125 绑定AP的射频
步骤1:在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中“802.11n(2.4GHz)”前的复选框。
步骤3:单击<开启>按钮完成操作。
无论AP和AC正常连接或是连接出现故障时,都使用AP作为认证实体对分支机构的客户端进行远程802.1X认证。当AP和AC正常连接,在导航栏中选择“概览 > 客户端”,可以查看到接入客户端的详细信息,显示信息中authentication-mode 字段显示Local,表示由AP对该客户端进行认证。
某公司希望使用一个SSID同时实现集中转发和本地转发,为了满足这个需求,可以通过部署策略转发,具体要求如下:将不同的转发策略应用到接入服务或用户方案上,对匹配转发策略中ACL的报文进行分类,并采用对应的转发策略进行转发。
在配置文件中必须包括ACL和User Profile的配置,内容如下:
rule 0 permit icmp icmp-type echo
acl ipv6 number 3001
rule 0 permit icmpv6 icmp6-type echo-request
undo user-profile aaa enable
user-profile aaa
wlan forwarding-policy us
user-profile aaa enable
在认证服务器上设置与AC交互报文时的共享密钥为12345678;添加接入客户端的用户名及密码,并确认下发用户方案的名称为aaa。(略)
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击“转发策略”页签,进入转发策略配置页面。
步骤3:单击<新建>按钮,进入转发策略配置页面。
步骤3:创建名为st的转发策略,配置转发规则如下图所示。
步骤4:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“无线服务 > 接入服务”。
步骤2:单击“转发策略”页签,进入转发策略配置页面。
步骤3:单击<新建>按钮,进入转发策略配置页面。
步骤3:创建名为us的转发策略,配置转发规则如下图所示。
步骤4:单击<确定>按钮完成操作。
(3) 配置802.1x认证方式
可以参照“1.4.5 远程802.1X认证配置举例”,完成相关配置。
步骤1:在界面左侧的导航栏中选择“AP > AP设置”,在列表中找到要进行配置的AP,单击对应的图标,进入“AP设置”页面。
步骤2:展开“高级设置”部分,设置配置文件为“ACL.cfg”。
步骤3:单击<确定>按钮完成操作。
步骤1:在界面左侧的导航栏中选择“无线服务 > 接入服务”。
步骤2:在列表中找到要进行配置的无线服务,单击对应的图标,进入如下图所示无线服务高级配置页面。
步骤3:选择转发模式为“基于转发策略”。
步骤4:设置转发策略的名称为“st”。
步骤5:选择报文格式为“802.3”。
步骤6:单击<确定>按钮完成操作。
步骤1:在导航栏中选择“认证 > 用户”。
步骤2:单击“用户方案”页签,进入用户方案的显示页面。
步骤3:单击<新建>按钮,进入新建用户方案名称的配置页面。
步骤4:单击<确定>按钮。
步骤5:在用户方案的显示页面中选中用户方案前的复选框。
步骤6:单击<使能>按钮将选中的用户方案使能。
· 一个使用IPv4地址的客户端ping AC侧的IP地址,该ICMP报文匹配到规则ACL 3000,由AC进行集中转发。且在AP进行CAPWAP封装前,AP会将802.11报文转换为802.3格式。
· 一个使用IPv6地址的客户端ping AC侧的IP地址,该ICMPv6报文匹配到规则ACL 3001,由AP进行本地转发。
无线Mesh网络是一种新的无线局域网类型。与传统的WLAN不同的是,无线Mesh网络中的AP是无线连接的,而且AP间可以建立多跳的无线链路。
表2-1 无线Mesh网络中概念
|
一个接入控制器可以控制和管理WLAN内所有的AP |
|
|
通过无线与MPP连接的,但是不可以接入Client的无线接入点 |
|
|
同时提供Mesh服务和接入服务的接入点 |
|
|
通过有线与AC连接的无线接入点 |
|
|
Mesh链路 |
由一系列Mesh连接级联成的无线链路 |
无线Mesh技术使得管理员可以轻松的部署质优价廉的无线局域网。无线Mesh网络的优点包括:
· 高性价比:Mesh网络中,只有MPP需要接入到有线网络,对有线的依赖程度被降到了最低程度,省却了购买大量有线设备以及布线安装的投资开销。
· 可扩展性强。Mesh网络中AP之间能自动相互发现并发起无线连接建立,如果需要向网络中增加新的AP节点,只需要将新增节点安装并进行相应的配置。
· 部署快捷:组建Mesh网络,除MPP外的其它AP均不需要走线接入有线网络,和传统WLAN网络相比,大大缩短组建周期。
· 应用场景广。Mesh网络除了可以应用于企业网、办公网、校园网等传统WLAN网络常用场景外,还可以广泛应用于大型仓库、港口码头、城域网、轨道交通、应急通信等应用场景。
· 高可靠性。传统WLAN网络模式下,一旦某个AP上行有线链路出现故障,则该AP所关联的所有客户端均无法正常接入WLAN网络。而Mesh网络中各AP之间实现的是全连接,由某个Mesh AP至portal节点(有线网络)通常有多条可用链路,可以有效避免单点故障。
无线Mesh网络主要包括两种应用,一种是普通环境里无线Mesh的组网,一种是地铁隧道里无线Mesh的组网。
如上图所示,两个Mesh网络由一个AC管理,每个Mesh网络至少有一个MPP需要与AC建立有线连接。一个MP启动后,它首先扫描附近的网络,然后与所有检测到的MP建立临时连接。通过这种连接,MP可以与AC联系,并下载配置。完成配置文件的下载后,MP会与享有相同预共享密钥的邻居建立安全的连接。
(2) 拥有两个Radio的FIT MP,两个Radio分别在不同的Mesh网络
图2-3 两个Radio分别在不同的Mesh网络
如上图所示,为了使Mesh 1和Mesh 2网络不产生干扰,可以采用一个拥有两个Radio的MP,两个Radio分别在不同的Mesh网络。在这种组网里,两个Mesh网络必须由同一个AC管理。
(3) 拥有两个Radio的FIT MP,两个Radio在相同的Mesh网络
如图2-4所示,MP 1的Radio 1通过MPP加入Mesh网络,此时在MP 1上,只有Radio 1能提供下游MP的接入功能。Radio 2并不能自动接入这个Mesh网络,提供Mesh服务。
图2-4 两个Radio分别在不同的Mesh网络
地铁是现代城市里不可缺少的交通工具。在一个地铁系统里,控制信息和多媒体信息需要实时的传递给快速移动的列车,从而有效的控制列车的运行,并且为乘客提供多种网络服务。
如下图所示,一个地铁无线Mesh网络里,车载MP和轨旁MP均采用Fit MP,受AC集中管理.多个轨旁MP沿轨道进行部署。车载MP不停扫描新的轨旁MP,并选择信号质量最好的多个轨旁MP与之建立Mesh备份链路,主Mesh连接用于车载MP与轨旁有线网络之间的数据传输,Mesh备份链路连接用于Mesh连接的切换备份。
图2-5 地铁无线mesh网络部署
为了实现地铁无线Mesh网络的部署,H3C开发了一种私有协议,叫做移动链路切换协议(Mobile Link Switch Protocol)。它负责在列车移动过程中的活跃链路切换,并保证报文不丢失。车载MP和轨旁MP之间用于链路建立和通信的下层协议遵循最新的IEEE 802.11s标准。车载MP不需要担当认证者的角色。
由于传输媒质的开放性,无线网络很容易遭受非法攻击,Mesh网络的多跳性带来了新的安全挑战,无线Mesh安全成为WLAN Mesh网络的重要组成部分,它主要包括用于加密的算法,密钥的管理和分发等内容。目前提供PSK+AES-CCMP的方式进行Mesh安全连接。
为了保证数据传输,在任何时间点,一个车载MP都要有一条活跃链路。MLSP就是用来在列车移动过程中,完成创建和切换链路任务的。如下图所示,当列车移动时,车载MP会不断建立新的活跃链路。
图2-6 MLSP示意图
· 活跃链路:传递来自或者到达车载MP的所有数据。
· 备份链路:不传递数据,但是它具备成为活跃链路的所有条件。
(1) 链路切换时间小于30毫秒。
(2) 在高功率导致设备饱和的情况下,MLSP仍能正常工作。
MLSP为车载MP建立多条链路,从而提供链路备份,确保良好的网络性能,并增强网络的健壮性。
MLSP使用下面四个参数来决定是否进行活跃链路切换:
· 链路建立RSSI/链路保持RSSI:用于建立和保持一条链路的最小RSSI值。一条链路的RSSI值必须不小于这个值,才能被建立和保持。因此这个值必须要保证,否则错误率会很高,链路性能会变差。
· 链路切换阈值:如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换。这种机制用来避免频繁的链路切换。
· 链路保持时间:一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达。这种机制用来避免频繁的链路切换。
· 链路饱和RSSI:如果活跃链路上的RSSI超过链路饱和RSSI,会进行链路切换。
一个车载MP会以较高的速率发送探寻报文,主动扫描附近的轨旁MP,并基于收到的探寻回应,建立邻居列表。
如果来自某个轨旁MP的RSSI大于链路建立RSSI,车载MP会与其建立一条备份链路。
车载MP基于如下规则,在备份链路中选择一条活跃链路:
(2) 在链路保持时间内,一般不进行活跃链路切换,但是以下两种情况除外:
· 活跃链路上的RSSI超过了链路饱和RSSI。
· 活跃链路上的RSSI小于链路保持RSSI。
(3) 当链路保持计时器超时后,如果任何一条备份链路的RSSI比当前活跃链路的RSSI高出的部分都没有超过链路切换阈值,则不进行链路切换。
· 一条备份链路的RSSI比当前活跃链路的RSSI高出的部分,超过链路切换阈值。
· 待切换备份链路的RSSI没有超过链路饱和RSSI。
(5) 正常情况下,如果所有链路的RSSI都低于链路保持RSSI,所有链路都会断掉。但是,为了在恶劣环境下保证业务的可用性,即便是上述情况发生,活跃链路也不会被切断。
Mesh提供了以下三种拓扑。通过在每个AP的射频模式下配置邻居AP的MAC地址来实现,详细配置请参见“2.2.6 配置邻居信息”。
在点到点的组网环境中,用户可以预先指定与其相连的邻居MAC地址,确定需要建立的指定Mesh链路。
在点到多点的组网环境中,所有的连接都要通过中心桥接设备进行数据转发,如下图所示,所有的局域网的数据传输都要通过AP 1。
这种自拓扑检测与桥接可以检测到其它局域网设备,并且形成链路。该网络拓扑容易引起网络环路,使用时可以结合Mesh路由选择性地阻塞冗余链路来消除环路,在Mesh链路故障时还可以提供备链路备份的功能。
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh服务”页签,进入如下图所示Mesh服务配置页面。
图2-10 Mesh服务配置页面
(3) 单击<新建>按钮,进入如下图所示Mesh服务新建页面。
图2-11 Mesh服务新建页面
(4) 配置Mesh服务,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-2 Mesh服务的详细配置
|
Mesh服务名称 |
新建Mesh服务名称 |
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh服务”页签。
(3) 在列表中找到要进行配置的Mesh服务,单击对应的图标,进入如下图所示的配置页面。
图2-12 Mesh服务新建页面
(4) 配置Mesh服务的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-3 Mesh服务的详细配置
|
Mesh服务名称 |
显示选择的Mesh服务名称 |
|
VLAN(Tagged) |
添加Tagged的VLAN ID,VLAN(Tagged)表示端口成员发送该VLAN报文时带Tag标签 |
|
VLAN(Untagged) |
添加Untagged的VLAN ID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签 |
|
在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID |
|
|
删除已有Tagged和Untagged的VLAN ID |
|
|
Mesh路由 |
Mesh网络路由选择算法 · 关闭:关闭Mesh网络路由选择算法 · 开启:开启Mesh网络路由选择算法 缺省情况下,Mesh网络路由选择功能处于开启状态 |
|
· 若类型为字符串,则为8~63个字符的可显示字符串 · 若类型为十六进制数,则为长度是64位的合法十六进制数 |
|
(1) 在导航栏中选择“无线服务 > Mesh服务”。
(2) 在列表里查找到需要绑定的Mesh服务,单击Mesh服务对应的图标,进入如图所示绑定Mesh服务页面。
(4) 单击<绑定>按钮完成操作。
图2-13 绑定AP的射频
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh服务”页签,进入如下图所示Mesh服务配置页面。
(3) 选中需要开启的Mesh服务前的复选框。
(4) 单击<开启>按钮完成操作。
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh服务”页签,进入Mesh服务配置页面。
(3) 点击指定的Mesh服务后,可以查看相关的详细信息。
图2-15 Mesh服务的详细信息
表2-4 Mesh服务显示信息描述表
|
当前的Mesh服务号 |
|
|
Mesh服务名称 |
|
|
绑定的Mesh接口 |
|
|
MKD服务的状态: · Enable:MKD服务处于开启状态 · Disable:MKD服务处于关闭状态 |
|
|
Mesh服务的状态: · Enable:Mesh服务处于开启状态 · Disable:Mesh服务处于关闭状态 |
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh策略”页签,进入如下图所示Mesh策略配置页面。
图2-16 Mesh策略配置页面
(3) 单击<创建>按钮,进入如下图所示Mesh策略新建页面。
图2-17 Mesh策略新建页面
(4) 配置Mesh策略的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-5 Mesh策略的详细配置
|
Mesh策略名称 |
新建Mesh策略名称 新建的Mesh策略会继承缺省default_mp_plcy中的策略内容 |
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh策略”页签。
(3) 在列表中找到需要进行配置的Mesh策略,单击对应的图标,进入如下图所示的配置页面。
图2-18 Mesh策略配置页面
(4) 配置Mesh策略的信息,详细配置如下表所示。
(5) 单击<确定>按钮完成操作。
表2-6 Mesh策略的详细配置
|
Mesh策略 |
显示选择的Mesh策略名称 |
|
在配置轨旁AP的MP策略时,需要关闭链路发起功能 |
|
|
一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达。这种机制用来避免频繁的链路切换 |
|
|
最大Mesh链路数 |
在建立Mesh时,如果在AP上建立的Mesh链路大于2时,需要根据实际链路数进行设置 |
|
用于建立和保持一条链路的最小RSSI值。一条链路的RSSI值必须不小于这个值,才能被建立和保持。因此这个值必须要保证,否则错误率会很高,链路性能会变差 |
|
|
如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换。这种机制用来避免频繁的链路切换 |
|
|
如果活跃链路上的RSSI超过链路饱和RSSI,芯片组将饱和,进行链路切换 |
|
|
· 固定方式:采用的速率为固定值,其值为当前Radio接口速率集的最大值 · 实时更新方式:采用的速率会根据链路质量(RSSI)实时变化,即速率值随Radio接口下的信号强度(RSSI)而变化 |
|
|
MLSP协议负责活跃链路的切换,该协议仅用于地铁Mesh网络部署环境 |
|
|
选中“MLSP代理设备地址“前的复选框,指定被代理设备的MAC地址 |
|
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh策略”页签。
(3) 在列表中找到要进行配置的Mesh策略,单击对应的图标。
(5) 单击<绑定>按钮完成操作。
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh策略”页签,进入如下图所示Mesh策略配置页面。
(3) 点击指定的Mesh策略后,可以查看相关的详细信息。
图2-19 Mesh策略的详细信息
表2-7 Mesh策略显示信息描述表
|
Mesh策略名 |
|
|
Mesh链路发起是否开启 |
|
|
MLSP的状态: · Enable:MLSP处于开启状态 · Disable:MLSP处于关闭状态 |
|
|
· Enable:开启认证者角色 · Disable:关闭认证者角色 |
|
|
Mesh策略允许的最大链路数 |
|
|
选择计算COST值的方式: · fixed:Mesh接口的速率为固定值 · real-time:Mesh接口的速率为根据链路质量(RSSI)实时变化的值 |
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh全局设置”页签,进入如下图所示Mesh全局设置页面。
图2-20 Mesh基本设置页面
(3) 配置Mesh基本设置的信息,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
表2-8 Mesh基本设置的详细配置
|
· 配置的MAC地址必须没有被使用,并且有正确的厂商标识部分 · 不能把AC的MAC地址配置为MKD-ID |
|
|
Mesh信道选择选项: · 手动:开启手动优化Mesh网络信道功能。选择手动方式后,在下一次校准间隔周期到来时,若没有手动指定需要优化的Mesh网络,则AC会刷新所有管理Mesh网络的射频信息,显示在Mesh信道优化操作页的射频信息页签中,以供用户查看、选择需要手动优化信道的Mesh网络;若选择了需要手动优化的Mesh网络,则AC执行信道优化、调整操作。手动方式只对选择的Mesh网络执行一次信道调整,如果下次还需要进行Mesh信道调整,则必须手动重新选择 · 自动:开启自动优化Mesh网络信道功能。选择自动方式将对Mesh网络内所有采用自动信道方式建立的Mesh网络起作用,每个校准间隔周期后会进行一次信道优化,如果优化出更好的信道,将会在Mesh网络中进行信道调整 · 关闭:关闭Mesh网络信道优化功能,Mesh网络将不再进行信道优化,并在下一个校准间隔周期,Mesh信道优化操作页的射频信息和信道切换记录将被清除 缺省情况下,Mesh网络信道优化功能处于关闭状态
开启Mesh网络的手动或自动信道调整功能前,必须保证Mesh网络中选择auto信道模式。相关配置请参见“射频” |
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh全局设置”页签,进入如下图所示Mesh Portal服务配置页面。
图2-21 Mesh Portal服务配置页面
(3) 选中需要开启Mesh Portal服务的AP名称前的复选框。
(4) 单击<开启>按钮完成操作。
可以通过以下两种方式完成Mesh信道配置。
· 无论是手工指定信道或是使用自动信道选择方式配置Mesh的工作信道,只要有AP在工作信道上检测到雷达信号,该AP和与其建立Mesh链路的其它所有AP都会将工作信道切换到其它可用信道上。
· 部分国家802.11a频段的可用信道大部分为雷达信道,因此如果要在802.11a频段上建立Mesh链路,建议为AP配置使用自动信道选择方式建立Mesh网络。
(1) 在界面左侧的导航栏中选择“射频 > 射频设置”,选择AP后,点击对应操作栏中的图标
,进入如下图所示射频配置页面。
(3) 单击<确定>按钮完成操作。
在MAP和MPP上都需要手工指定射频的工作信道,并且工作信道必须保持一致。
在上图所示页面中,设置MPP和MAP上射频的信道为auto。MPP和MAP间的射频建立WDS链接时,自动协商工作信道。
当MPP和MAP的射频配置为auto信道时,自动选择的工作信道为非雷达信道。
(1) 在界面左侧的导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面。
(3) 单击<开启>按钮完成操作。
(1) 在导航栏中选择“无线服务 > Mesh服务”。
(2) 在列表里查找到需要绑定的Mesh服务,单击对应的图标,进入如图2-13所示页面。
(3) 在列表里选择需要配置的射频,单击对应的
图标,进入如下图所示邻居MAC地址配置页面。
(5) 单击<确定>按钮完成操作。
|
邻居MAC地址 |
通过在每个AP的射频模式下配置邻居AP的Radio的MAC地址来实现Mesh网络的三种拓扑,关于Mesh网络拓扑的介绍请参见“2.1.6 Mesh网络拓扑” |
|
配置与邻居创建Mesh链路的STP cost值,如果不配置,则由STP自动计算该Mesh链路的cost值 |
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh信道优化操作”页签,进入Mesh信道优化操作页面。
(3) 点击指定的Mesh网络,单击“射频信息”页签,可以进入如下图所示页面查看射频信息。
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh信道优化操作”页签,进入Mesh信道优化操作页面。
(3) 点击指定的Mesh网络,选择“信道切换记录”页签,可以查看信道切换记录。
图2-26 Mesh信道切换记录
· 如果将Mesh全局设置页面中的动态信道选择设置为“关闭”方式或“自动”方式,那么进入该页面后,“信道优化”按钮为灰显,即不可操作。
· 如果选用手动优化方式,每次优化时需要先选择需要优化的Mesh网络,再单击<信道优化>按钮,完成手动优化操作。自动方式下信道每个校准间隔进行一次信道优化,手动方式仅进行一次信道优化。
Mesh信道切换记录信息的详细显示如下表所示。
表2-10 Mesh信道切换记录信息
|
显示Mesh网络AP的名称 |
|
|
显示AP的射频单元 |
|
|
显示日期(年-月-日) |
|
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh链路监控”页签,进入如下图所示Mesh链路监控页面。
图2-27 查看Mesh链路监控
通过查看Mesh链路监控页面,管理者可以实时监控Mesh链路的状态。
(1) 在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
(2) 单击“Mesh链路测试”页签,进入如下图所示Mesh链路测试页面。
图2-28 查看Mesh链路测试页面
(3) 选中需要测试的Mesh链路前的复选框。
(4) 单击<开始>按钮完成操作。
· 要求在MAP和MPP之间建立Mesh链路,链路之间使用802.11n(5GHz)协议。
· 在MAP上配置802.11n(2.4GHz)接入服务,使客户端接入无线网络。
图2-29 普通无线Mesh配置组网图
(1) 建立MPP和MAP之间的Mesh链路,按如下步骤配置:
· 创建MAP和MPP:在界面左侧的导航栏中选择“AP > AP设置”,单击<新建>按钮,创建MAP和MPP,配置步骤请参见“(1)创建MAP和MPP”。
· 配置Mesh服务:新建Mesh服务,配置预共享密钥后,将Mesh服务和AP相绑定后开启Mesh服务,配置步骤请参见“(2)新建Mesh服务”。
· 配置Mesh策略:Mesh策略缺省存在。在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的AP绑定,配置步骤请参见“(5) 配置Mesh策略(缺省情况下,缺省的default_mp_plcy策略已经存在,此步骤可选)”。
· Mesh全局配置:配置MKD-ID(缺省存在),并对MPP开启Mesh Portal服务,配置步骤请参见“(6)Mesh全局配置”。
· 手工配置相同的信道,并开启射频,配置步骤请参见“(7)手工配置相同的信道,并开启射频”。
(2) 在MAP上配置802.11n(2.4GHz)接入服务,使客户端接入无线网络:
相关配置请参见“1.3 无线接入配置举例”,可以完全参照相关举例完成配置。此处不再重复。
(1) 创建MAP和MPP
步骤1:在导航栏中选择“AP > AP设置”。
步骤2:单击<新建>按钮,进入新建AP页面。
步骤3:进行如下配置,如下图所示。
· 设置AP名称为“map”。
· 选择型号为“WA3628i-AGN”。
· 选择序列号方式为“手动”,并输入AP的序列号。
步骤4:单击<确定>按钮完成操作。
步骤1:在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
步骤2:单击<新建>按钮,进入如如下图所示新建Mesh服务页面。
步骤3:设置Mesh服务名称为“outdoor”。
步骤4:单击<确定>按钮完成操作。
完成Mesh服务配置页面后,默认进入如下图所示Mesh服务配置页面。
步骤5:选择字符串方式,设置预共享密钥为“12345678”。
步骤6:单击<确定>按钮完成操作。
(3) 将Mesh服务和射频绑定
步骤1:在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
步骤2:在列表中单击Mesh服务“outdoor”对应的图标,进入如下图所示的配置页面。
步骤3:选中需要绑定的射频前的复选框。
步骤4:点击<绑定>按钮完成操作。
图2-33 将Mesh服务和AP相绑定
步骤1:在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
步骤2:选中需要开启的Mesh服务前的复选框。
步骤3:单击<开启>按钮完成操作。
(5) 配置Mesh策略(缺省情况下,缺省的default_mp_plcy策略已经存在,此步骤可选)
Mesh策略缺省存在。在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的射频绑定。此例中使用缺省的default_mp_plcy策略。
(6) Mesh全局配置
步骤1:设置MKD-ID。在界面左侧的导航栏中选择“无线服务 > Mesh服务”,单击“Mesh全局设置”页签,进入Mesh全局设置页面,可以对MKD-ID进行设置。(缺省情况下,MKD-ID已经存在,此步骤可选)。
步骤2:对MPP开启Mesh Portal服务。选中与AC有线连接的MPP前的复选框。
步骤3:单击<开启>按钮完成操作。
步骤1:在界面左侧的导航栏中选择“射频 > 射频设置”。
步骤2:在列表中选择需要配置的map,单击对应的图标,进入射频设置页面。
步骤3:在信道下拉框中选择使用的信道153。
步骤4:单击<确定>按钮完成操作。
按此方法指定MPP的工作信道。需要注意的是,在MAP和MPP上选用的信道应该保持一致。
步骤5:开启射频。在界面左面的导航栏中选择“射频 > 射频设置”,进入射频设置页面。
步骤6:选中需要开启的MAP和MPP射频前的复选框。
步骤7:单击<开启>按钮完成操作。
(1) MAP和MPP之间的Mesh链路已经建立,可以相互ping通。
(2) 配置802.11n(2.4GHz)接入服务后,客户端可以通过Mesh链路接入网络。
· 如下图所示,所有轨旁MP与一个AC相连。
· 要求配置WLAN Mesh后,车载MP能够与轨旁MP正常建立连接。
图2-38 地铁无线Mesh配置组网图
地铁无线Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:
(1) 需要定制轨旁AP(对应图中的Rail MP)Mesh策略:
· 需要关闭链路发起功能,详细配置可参见“2.2.2 配置Mesh策略”。
· 需要开启Mesh Portal服务,详细配置可参见“2.2.3 2. 开启Mesh Portal服务”。
(2) 需要定制车载AP(对应图中的Train MP)Mesh策略:
· 需要开启MLSP协议。
· ]需要配置MLSP代理的VLAN信息以及MAC地址。
· 需要关闭认证者角色,详细配置可参见“2.2.2 配置Mesh策略”。
· 设置允许建立的最大Mesh链路数(缺省值为2,请根据实际链路数进行设置)。详细配置可参见“2.2.2 配置Mesh策略”。
地铁无线Mesh和普通无线Mesh在配置上的差别体现在轨旁AP和车载AP的Mesh策略上,其它配置步骤与普通无线Mesh基本相同,具体配置步骤请参见“2.3.1 3. 配置AC”。
要求在AP 1做为MPP,分别和AP 2、AP 3、AP 4、AP 5建立Mesh链路。
图2-39 Mesh配置组网图
Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:
· 在每个AP的射频模式下配置邻居AP的MAC地址,在AP 1上需要同时配置AP 2~AP 5的MAC地址,在AP 2~AP 5上只需要配置AP 1的MAC地址。
· 设置允许建立的最大Mesh链路数(缺省值为2,需要根据实际链路数进行设置,此列中应设为4)。详细配置可参见“2.2.2 配置Mesh策略”。
Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见“2.3.1 3. 配置AC”。
· 要求在MAP和MPP之间建立Mesh链路,使用自动信道选择方式,在链路之间使用802.11n(5GHz)协议。
· 开启手动优化Mesh网络信道功能,当Mesh网络的当前工作信道质量变差时,手动调整Mesh网络信道。
图2-40 普通无线Mesh配置组网图
Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:
· 在每个AP提供Mesh服务的射频模式下配置的信道模式为自动信道。
· 在每个AP提供Mesh服务的射频模式下不要配置无线服务。
Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见“2.3.1 3. 配置AC”。在完成上面基本配置之后,要进行如下操作。
(1) 设置校准间隔(缺省情况下,存在缺省的校准间隔,此步骤可选)
步骤1:在界面左侧的导航栏中选择“射频 > 功率信道优化”。
步骤2:单击“参数设置”页签,进入参数设置页面。
步骤3:输入校准间隔时间为3。
步骤4:单击<确定>按钮完成操作。
图2-41 Mesh网络信道校准间隔
(2) 配置Mesh信道调整方式
步骤1:在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
步骤2:单击“Mesh全局设置”页签,进入Mesh服务配置页面。
步骤3:在动态信道选择项中,选中“手动”单选框。
步骤4:单击<确认>按钮完成操作。
(3) 执行Mesh信道优化操作
步骤1:在界面左侧的导航栏中选择“无线服务 > Mesh服务”。
步骤2:单击“Mesh信道优化操作”页签,进入Mesh信道优化操作页面。
步骤3:选中Mesh网络“outdoor”前的复选框。
步骤4:单击<信道优化>按钮完成操作。
图2-43 Mesh信道优化操作手动优化
在下一个信道优化校准间隔时间到达后,如果发生信道切换,可以查看到信道切换记录。
在界面左侧的导航栏中选择“无线服务 > Mesh服务”,单击“Mesh信道优化操作”页签,选择“信道切换记录”页签,点击指定的Mesh网络,可以查看到如下图所示的信道切换记录。
图2-44 Mesh信道切换记录
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
