04-Client漫游中心配置
本章节下载: 04-Client漫游中心配置 (285.39 KB)
目 录
在无线网络中,MAC地址和IP地址仿冒的问题非常严重,Client漫游中心可以对上线用户的MAC地址和IP地址进行检查,阻止仿冒用户上线,从而保障合法用户的利益,加强网络安全。
Client漫游中心和WLAN漫游中心配合使用,典型组网如图1-1所示,其中:
· Client漫游中心:部署在AC上,用于识别和收集用户信息、检查用户MAC地址和IP地址的合法性。
· WLAN漫游中心:部署在AC上,用于根据Client漫游中心提供的信息建立用户MAC地址表项和IP地址表项以及用户黑名单表项,并向Client漫游中心提供查询服务。
关于WLAN漫游中心的详细介绍,请参见“WLAN漫游配置指导”中的“WLAN漫游中心”。
图1-1 WLAN地址安全组网示意图
Client漫游中心的具体工作流程如下:
(1) Client漫游中心收到Client上线通知后,查询本地是否存在对应的MAC地址表项和IP地址表项:
¡ 若不存在,则向WLAN漫游中心发送冲突查询报文:
- 如果WLAN漫游中心未查询到冲突,则向Client漫游中心回应检查通过报文,WLAN漫游中心和Client漫游中心会生成MAC地址表项和IP地址表项,然后对Client开始计费。
- 如果WLAN漫游中心查询到冲突,则检查仿冒黑名单。如果原用户和仿冒用户都在或都不在仿冒名单里,则向Client漫游中心发送回应报文,Client漫游中心会将两者加入本地黑名单,拒绝两者上线,如果只有一个在仿冒名单里,则拒绝仿冒名单里的用户上线。
¡ 若存在,则执行以下流程:
- 如果查询到对应的IP地址表项,则判断用户名是否相同:用户名相同,则会把之前上线的Client踢下线,更新本地MAC地址表项和IP地址表项,并通知WLAN漫游中心更新相关表项,同时把之前的MAC地址加入MAC地址黑名单。用户名不相同,则会把两个都加入MAC地址黑名单,都会踢下线,在生存时间内都不允许上线。
- 如果查询到对应的MAC地址表项,则去WLAN漫游中心查询手动配置的地址仿冒用户黑名单表项,并将黑名单中的用户踢下线。当WLAN漫游中心查询到对应的MAC地址表项时会通知本地查询结果,并自动生成一个用户黑名单,用户黑名单包含了用户名和MAC地址,在表项老化之前会拒绝仿冒用户接入。
(2) 当Client的IP地址发生变化时,会再次触发上述查询流程。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品系列 |
产品型号 |
说明 |
MSG系列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
WX2500H-WiNet系列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
不支持 |
WX3500H-WiNet系列 |
WX3508H-WiNet |
支持 |
WAC系列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
不支持 |
WX2500H-LI系列 |
WX2540H-LI WX2560H-LI |
不支持 |
WX3500H-LI系列 |
WX3510H-LI WX3520H-LI |
支持 |
AC1000系列 |
AC1016 AC1108 |
不支持 |
Client漫游中心配置任务如下:
· (可选)配置Client漫游中心接收响应报文的超时时间
· (可选)配置Client漫游中心发送请求报文的最大尝试次数
· (可选)配置地址安全表项老化时间
开启Client漫游中心功能后,AC可以将接入的所有用户信息同步到WLAN漫游中心,从而达到通过WLAN漫游中心监控全网客户端MAC地址和IP地址仿冒的目的。
Client漫游中心功能必须和地址安全功能配合使用才能生效,关于WLAN地址安全的详细介绍请参见“WLAN漫游配置指导”中的“WLAN漫游中心”。
AC上开启地址安全功能且关闭Client漫游中心功能后,新用户可以通过802.1X认证但无法接入,已经接入的在线用户不受影响。如果AC上关闭了地址安全功能,则是否关闭Client漫游中心对用户接入没有影响。
(1) 进入系统视图。
system-view
(2) 创建Client漫游中心,并进入Client漫游中心视图。
client roaming-center
(3) 开启Client漫游中心功能。
roaming-center enable
缺省情况下,Client漫游中心功能处于关闭状态。
Client漫游中心上需要指定与WLAN漫游中心进行报文交互的IP地址和端口号。
Client漫游中心上指定的IP地址可以为WLAN漫游中心上配置的与Client漫游中心通信的任意IP地址,且此IP地址只能配置一个,新配置将覆盖已有配置。
设备上有客户端在线时,不建议修改WLAN漫游中心的IP地址和UDP端口号,否则可能会导致Client漫游中心和WLAN漫游中心数据不同步。
在Client漫游中心上指定WLAN漫游中心的UDP端口号需要和WLAN漫游中心视图下配置的UDP端口号保持一致。
修改UDP端口号时,为防止用户数据残留,建议先关闭WLAN漫游中心功能,修改完成后再重新开启。
(1) 进入系统视图。
system-view
(2) 进入Client漫游中心视图。
client roaming-center
(3) 在Client漫游中心上指定WLAN漫游中心的IP地址。
wlan-roaming-center ip ip-address
缺省情况下,未在Client漫游中心上指定WLAN漫游中心的IP地址。
(4) 在Client漫游中心上指定WLAN漫游中心的UDP端口号。
wlan-roaming-center port port-number
缺省情况下,WLAN漫游中心的UDP端口号为1088。
Client漫游中心会向WLAN漫游中心发送用户信息同步报文、保活报文等,WLAN漫游中心收到报文后会发送响应报文,如果Client漫游中心未在配置的超时时间内收到响应报文,会重新发送相关报文。
(1) 进入系统视图。
system-view
(2) 进入Client漫游中心视图。
client roaming-center
(3) 配置Client漫游中心接收WLAN漫游中心响应报文的超时时间。
response-timeout timeout
缺省情况下,Client漫游中心接收WLAN漫游中心响应报文的超时时间为3秒。
Client漫游中心会向WLAN漫游中心发送用户信息同步报文、保活报文等,WLAN漫游中心收到报文后会发送响应报文,如果Client漫游中心未在配置的超时时间内收到响应报文,会重新发送相关报文。如果达到最大尝试次数后,Client漫游中心仍未收到响应报文,将认为本次请求失败,但不会删除用户信息。
(1) 进入系统视图。
system-view
(2) 进入Client漫游中心视图。
client roaming-center
(3) 配置Client漫游中心向WLAN漫游中心发送报文的最大尝试次数。
retry retries
缺省情况下,Client漫游中心向WLAN漫游中心发送报文的最大尝试次数为5次。
地址安全表项用来记录用户信息,包括用户MAC地址、IP地址和用户名等关键信息。用户上线时由Client漫游中心自动创建并记录地址安全表项。地址安全表项老化后,会自动删除。
地址安全表项老化时间建议配置为不大于客户端向DHCP服务器申请的IP地址租约有效期。
(1) 进入系统视图。
system-view
(2) 进入Client漫游中心视图。
client roaming-center
(3) 配置地址安全表项的老化时间。
address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }
缺省情况下,IPv4地址安全表项的老化时间为14400秒,IPv6地址安全表项的老化时间为604800秒。
本手册中的AP型号和序列号仅为举例,具体支持的AP型号和序列号请以设备的实际情况为准。
如图1-2所示,AC 1作为WLAN漫游中心,AC 2和AC 3作为Client漫游中心,Client通过AP在AC 2上进行802.1X认证并接入,要求Client在AC 2和AC 3上每次接入都进行地址安全检查。
图1-2 WLAN地址安全组网图
# 创建WLAN漫游中心,并进入WLAN漫游中心视图。
<AC1> system-view
[AC1] wlan roaming-center
# 开启WLAN漫游中心功能。
[AC1-wlan-roaming-center] roaming-center enable
[AC1-wlan-roaming-center] quit
(1) 配置设备各接口的IP地址,保证启动无线802.1X认证之前服务器和AC之间的路由可达,具体配置步骤略。
(2) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC2> system-view
[AC2] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC2-radius-rs1] primary authentication 192.168.0.112
[AC2-radius-rs1] primary accounting 192.168.0.112
[AC2-radius-rs1] key authentication simple radius
[AC2-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
(3) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的AAA方法。
[AC2-isp-dm1] authentication lan-access radius-scheme rs1
[AC2-isp-dm1] authorization lan-access radius-scheme rs1
[AC2-isp-dm1] accounting lan-access radius-scheme rs1
[AC2-isp-dm1] quit
(4) 配置802.1X认证
# 配置802.1X认证方式为EAP。
[AC2] dot1x authentication-method eap
# 创建手工AP,名称为ap2,选择AP型号并配置序列号。
[AC2] wlan ap ap2 model WA4320i-ACN
[AC2-wlan-ap-ap2] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap2] quit
# 配置无线服务模板,SSID为AddrSec。
[AC2] wlan service-template newst
[AC2–wlan-st-newst] ssid AddrSec
# 在无线服务模板newst上配置RSN+802.1X认证。
[AC2–wlan-st-newst] client-security authentication-mode dot1x
[AC2–wlan-st-newst] akm mode dot1x
[AC2–wlan-st-newst] cipher-suite ccmp
[AC2–wlan-st-newst] security-ie rsn
[AC2–wlan-st-newst] dot1x domain dm1
# 开启地址安全功能。
[AC2–wlan-st-newst] address-security enable
# 开启无线服务模板newst。
[AC2–wlan-st-newst] service-template enable
[AC2–wlan-st-newst] quit
# 配置射频,指定工作信道为11。
[AC2] wlan ap ap2
[AC2-wlan-ap-ap2] radio 2
[AC2-wlan-ap-ap2-radio-2] channel 11
# 开启射频功能,将无线服务模板newst绑定到Radio2上。
[AC2-wlan-ap-ap2-radio-2] radio enable
[AC2-wlan-ap-ap2-radio-2] service-template newst
[AC2-wlan-ap-ap2-radio-2] quit
[AC2-wlan-ap-ap2] quit
(5) 配置Client漫游中心
# 创建Client漫游中心,并进入Client漫游中心视图。
[AC2] client roaming-center
# 指定WLAN漫游中心的IP地址。
[AC2-client-roaming-center] wlan-roaming-center ip 192.168.1.1
# 开启Client漫游中心功能。
[AC2-client-roaming-center] roaming-center enable
[AC2-client-roaming-center] quit
AC 3的配置与AC 2相同,请参见配置AC 2。
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行,具体配置步骤略。
Client在AC 2上通过dot1x认证模式上线。
# 在 AC2查看认证客户端
<AC2> display dot1x connection
Total connections: 1
User MAC address : 9cd3-6d9e-6742
AP name : ap1
Radio ID : 1
SSID : roam-relay
BSSID : 487a-da52-d321
Username : rsn4x
Authentication domain : imc
IPv4 address : 126.0.0.12
IPv6 address : 2000:1000:1020::2
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : 1
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : http://oauth.h3c.com
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2020/06/06 13:23:31
Online duration : 0h 0m 20s
# 在 AC 2上查看地址安全生成的本地MAC地址表项。
[AC2] probe
[AC2-probe] display system internal wlan address-security local-cache mac
Total number of MACs: 1
MAC address User name Duration
9cd3-6d9e-6742 rsn4x 0days 0hours 0minutes 42seconds
# 在 AC 2上查看地址安全生成的本地IP地址表项。
[AC2-probe] display system internal wlan address-security cache ip
Total number of IPs: 2
IP address User name MAC address
126.0.0.12 rsn4x 9cd3-6d9e-6742
2000:1000:1020::2 rsn4x 9cd3-6d9e-6742
# 在 AC 1上查看Client漫游中心同步给WLAN漫游中心的MAC地址表项。
[AC1] probe
[AC1-probe] display system internal wlan address-security cache mac
Total number of MACs: 1
MAC address User name Duration
9cd3-6d9e-6742 rsn4x 0days 0hours 1minutes 7seconds
# 在 AC 1上查看Client漫游中心同步给WLAN漫游中心的IP地址表项。
[AC1] probe
[AC1-probe] display system internal wlan address-security cache ip
Total number of IPs: 2
IP address User name MAC address
126.0.0.12 rsn4x 9cd3-6d9e-6742
2000:1000:1020::2 rsn4x 9cd3-6d9e-6742
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!