- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-WLAN服务配置
本章节下载: 03-WLAN服务配置 (476.68 KB)
目 录
l 不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 设备支持的射频类型取决于设备的型号,使用中请以设备实际情况为准。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:
l 通过无线网络,用户可以方便的接入到无线网络,并访问已有网络或因特网;
l 安全问题是无线网络最大的挑战,当前无线网络可以使用不同认证和加密方式,提供安全的无线网络接入服务;
l 在无线网络内,无线用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。
(1) 客户端
带有无线网卡的PC、便携式笔记本电脑以及支持WiFi功能的各种终端。
(2) AP(Access Point,接入点)
AP提供无线客户端到局域网的桥接功能,在无线客户端同无线局域网之间进行无线到有线和有线到无线的帧转换。
(3) FAT AP
一种控制和管理无线客户端的无线设备。帧在客户端和有线网之间传输需要经过无线到有线以及有线到无线的转化,而FAT AP在这个过程中起到了桥梁的作用。
(4) SSID
SSID(Service Set Identifier,服务组合识别码),客户端可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络。
(5) 无线介质
无线介质是用于在AP和客户端间传输帧的介质。WLAN系统使用无线射频作为传输介质。
无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网。
图1-1 建立无线连接过程
无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围AP发送的信标帧(Beacon帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个探测请求帧(Probe Request帧),通过收到探测响应帧(Probe Response)获取网络信号。
无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息。
(1) 主动扫描
无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据探测请求帧(Probe Request帧)是否携带指定SSID,可以将主动扫描可以分为两种:
l 客户端发送广播Probe Request帧(SSID为空,也就是SSID IE的长度为0):客户端会定期地在其支持的信道列表中,发送广播探测请求帧(Probe Request帧)扫描无线网络。当AP收到探测请求帧后,会回应探测响应帧(Probe Response帧)通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
l 客户端发送单播帧(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送单播探测请求帧(Probe Request帧)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探测响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。
图1-3 主动扫描过程(Probe Request携带指定的SSID为“AP 1”)
(2) 被动扫描
被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息。当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。
图1-4 被动扫描过程
为了保证无线链路的安全,无线用户接入过程中AP需要完成对无线终端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
l 开放系统认证
l 共享密钥认证
关于两种认证的详细介绍请参见“WLAN配置指导“中的“WLAN安全”。
如果用户想接入无线网络,必须同特定的AP关联。当用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求。AP会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功。通常,无线终端同时只可以和一个AP建立链路,而且关联总是由无线终端发起。
(1) 解除认证
解除认证用于中断已经建立的链路或者认证,无论AP还是无线终端都可以发送解除认证帧断开当前的链接过程关系。无线系统中,有多种原因可以导致解除认证,如:
l 接收到非认证用户的关联或解除关联帧。
l 接收到非认证用户的数据帧。
l 接收到非认证用户的PS-Poll帧。
(2) 解除关联
无论AP还是无线终端都可以通过发送解除关联帧以断开当前的无线链路。无线系统中,有多种原因可以导致解除关联,如:
l 接收到已认证但未关联用户的数据帧。
l 接收到已认证但未关联用户的PS-Poll帧。
解除关联帧可以是广播帧或单播帧。
WMAC(Wireless Media Access Control,无线介质接入控制)功能包括:
l 信标生成
l 处理探查请求
l 处理开放系统认证
l 处理关联、解除关联、重新关联
l 处理解除认证
l 电源管理
l 分片和分片重组
l 802.11协议帧到以太网帧转换
l 以太网帧到802.11协议帧转换
l 保活机制
l 空闲超时机制
l 干净信道查找
FAT AP组网有以下几种拓扑:
l 单一BSS
l 多ESS
l 单一ESS多BSS
一个AP所覆盖的范围被称为BSS(Basic Service Set,基本服务集)。每一个BSS由BSSID来标识。最简单的WLAN可以由一个BSS建立,所有的无线客户端都在同一个BSS内。如果这些客户端都得到了同样的授权,那么他们就可以互相通信。图1-5为单一BSS网络组网示意图。
这些客户端可以互相访问,也可以访问网络中的主机。属于同一BSS的客户端之间的通信由FAT AP实现。
在相同逻辑管理域下的所有客户端组成一个ESS(Extended Service Set,扩展服务集)。多ESS拓扑结构用于网络中存在多个逻辑管理域的情况。当一个移动用户加入到某个FAT AP,它可以加入一个可用的ESS。图1-6为多ESS网络组网示意图。
通常,FAT AP可以同时提供多个逻辑ESS。FAT AP中的ESS的配置主要通过发送信标或探查响应帧,在网络中广播这些ESS的当前信息,客户端可以根据情况选择加入的ESS。
在FAT AP上,可以配置不同的ESS域,并可以配置当这些域中的用户通过身份认证后,允许FAT AP通告并接受这些用户。
图1-7所示组网描述了FAT AP在单一逻辑管理时有超过一个频段的应用。所有的频段支持相同的服务集(在同一个ESS内),但由于属于不同的BSS所以逻辑上的覆盖范围是不同的。
图1-7 单一ESS多BSS组网
这种组网也应用于需要共同支持802.11a和802.11b/g的情形。图1-7所示为两个客户端连接到不同的频段,但属于相同ESS和不同BSS的情形。
l ANSI/IEEE Std 802.11, 1999 Edition
l IEEE Std 802.11a
l IEEE Std 802.11b
l IEEE Std 802.11g
l IEEE Std 802.11i
l IEEE Std 802.11-2004
WLAN服务配置包括WLAN全局配置、国家码、服务模板和射频策略的配置。
表1-1 WLAN服务配置任务
|
配置任务 |
说明 |
详细配置 |
|
配置WLAN全局参数 |
包括空闲超时时间、生存时间、广播探测配置 |
|
|
配置国家码 |
包括要进行射频操作的国家的代码。缺省值是CN |
|
|
配置服务模板 |
缺省没有配置服务模板 |
|
|
配置AP射频 |
包括配置射频类型、信道和最大功率 |
|
|
配置射频接口 |
包括射频接口下可以配置的一系列射频参数 |
表1-2 配置全局WLAN参数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置AP和无线客户端之间连接允许的最大空闲时间 |
wlan client idle-timeout interval |
缺省情况下,空闲时间为3600秒 |
|
配置无线客户端的保活时间间隔 |
wlan client keep-alive interval |
缺省情况下,关闭客户端的保活功能 |
|
配置AP回复客户端发送的SSID为空的探测请求 |
wlan broadcast-probe reply |
可选 缺省情况下,AP会回复客户端发送的SSID为空的探测请求 |
国家码用来标识使用射频所在的国家,它规定了射频特性,如功率和可用于帧传输的信道总数。在配置AP之前,必须配置有效的国家码或区域码。
表1-3 配置国家码
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置国家码 |
wlan country-code code |
必选 缺省情况下,国家码为CN |
关于国家码和国家的对应关系表请参见“WLAN命令参考”。
WLAN服务模板包括一些属性,如SSID和认证算法(开放系统认证或共享密钥认证)。服务模板有两种类型:明文模板(clear)和密文模板(crypto)。明文类型的服务模板不可以改为密文类型,如果想将明文类型的模板改为密文类型,必须首先删除原有的服务模板,然后重新配置一个密文类型的服务模板。反之亦然。
表1-4 配置服务模板
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置WLAN服务模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
必选 缺省情况下,已经配置了一个clear类型的服务模板 |
|
配置SSID |
ssid ssid-name |
必选 |
|
配置信标帧不通告SSID |
beacon ssid-hide |
可选 缺省情况下,信标帧通告SSID |
|
指定在同一个射频下,某个SSID下的关联客户端的最大个数 |
client max-count max-number |
可选 缺省情况下,最多可以关联64个客户端 |
|
选择认证方式 |
authentication-method { open-system | shared-key } |
必选 共享密钥认证模式请参见“WLAN配置指导“中的“WLAN安全” |
|
使能服务模板 |
service-template enable |
必选 缺省情况下,禁用服务模板。 |
该配置任务用来配置AP射频,包括配置射频类型、信道和最大功率。如果某个射频策略被映射到一个射频,则该射频继承在射频策略里配置的所有参数。
表1-5 配置AP射频
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入射频接口视图 |
interface wlan-radio interface-number |
- |
|
配置射频类型 |
radio-type { dot11b | dot11g | dot11a } |
必选 |
|
配置当前射频的服务模板和使用的接口 |
service-template service-template-number interface wlan-bss interface-number |
必选 |
|
配置射频的工作信道 |
channel { channel-number | auto } |
可选 缺省情况下,使用自动选择信道模式 射频的工作信道由国家码和射频模式决定。信道列表与设备的型号有关,请以设备的实际情况为准 |
|
配置最大射频功率 |
max-power max-power |
可选 射频的最大功率与国家码、射频模式、信道、AP型号和天线类型相关,如果采用802.11n射频模式,那么射频的最大功率和带宽 模式也相关 |
|
配置前导码类型 |
preamble { long | short } |
可选 缺省情况下,支持短前导码 |
射频接口下可以配置一系列的射频参数。如果将某个射频接口映射到某个射频(比如802.11b/g或802.11a),则该射频就继承在射频接口里配置的所有参数。
表1-6 配置射频接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入WLAN射频接口视图 |
interface wlan-radio interface-number |
必选 |
|
设置发送信标帧的时间间隔 |
beacon-interval interval |
可选 缺省情况下,发送信标帧的时间间隔为100TU(Time Unit,时间单位) |
|
设置信标帧的DTIM周期(Delivery Traffic Indication Message,数据待传指示信息) |
dtim counter |
可选 缺省情况下,counter值为1。DTIM周期是信标周期的counter倍 |
|
设置数据包无分片传输的最大包长 |
fragment-threshold size |
可选 缺省情况下,无分片传输的最大包长为2346字节 |
|
设置RTS(Request to Send,发送请求)的门限值 |
rts-threshold size |
可选 缺省情况下,RTS门限值为2346字节 |
|
设置帧长超过RTS门限值的帧的最大重传次数 |
long-retry threshold count |
可选 缺省情况下,帧长超过RTS门限值的帧的最大重传次数为4 |
|
设置帧长不大于RTS门限值的帧的最大重传次数 |
short-retry threshold count |
可选 缺省情况下,帧长不大于RTS门限值的帧的最大重传次数为7 |
|
设置AP保存接收到的数据包的时间间隔 |
max-rx-duration interval |
可选 缺省情况下,AP保存接收的数据包的时间间隔为2000毫秒 |
802.11n作为802.11协议族的一个新协议,支持2.4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的“接入速率”,802.11n提高通讯速率的手段主要在于增加带宽和提高信道利用率两个方面。
802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用(一个为主带宽,一个为次带宽,收发数据时既可以以40MHz的带宽工作,也可以以单个20MHz带宽工作),这样可将速率提高一倍,提高无线网络的吞吐量。
对信道利用率的提高举措主要体现在三个方面。
l A-MPDU聚合帧:即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,减少了传输每个MPDU的PHY头,同时还减少了ACK帧的数目,从而降低了协议的负荷,有效的提高信道利用率。
l A-MSDU特性:该特性实现了将多个MSDU组合成一个MSDU发送,与A-MPDU类似,通过聚合,A-MSDU特性有效减少了传输多个MSDU的MAC头的信息,提高了MAC层的传输效率,最终提高了信道利用率。
l 物理层提供短间隔功能:已有的802.11a和802.11g的GI(Guard Interval)时长800us,而802.11n可以支持短间隔Short GI,其时长为400us,可以有效减少信道空闲时间,提高信道利用率。使用Short GI时,可以提高大约10%的性能。
表1-7 配置802.11n
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入射频接口视图 |
interface wlan-radio interface-number |
- |
|
进入射频模板视图 |
radio-type { dot11an | dot11gn } |
- |
|
指定当前Radio接口的带宽模式 |
channel band-width { 20 | 40 } |
可选 缺省情况下,802.11an类型的Radio接口的带宽工作在40MHz,802.11gn类型的Radio接口的带宽工作在20MHz |
|
使能仅允许802.11n用户接入功能 |
client dot11n-only |
可选 缺省情况下,802.11an类型的接口可以允许802.11a用户接入;802.11gn类型的接口可以允许802.11b/g的用户接入 |
|
配置短间隔功能 |
short-gi enable |
可选 缺省情况下,Short GI功能处于使能状态 |
|
使能指定接口的A-MSDU功能 |
a-msdu enable |
可选 缺省情况下,802.11n模式下A-MSDU功能处于使能状态 |
|
使能指定接口的A-MPDU功能 |
a-mpdu enable |
可选 缺省情况下,在802.11n模式下A-MPDU功能处于使能状态 |
l 802.11n的配置与设备实际情况相关,使用中请以设备实际情况为准。
l 关于802.11n的基本MCS集和支持MCS集请参见“WLAN配置指导“中的“WLANRRM”。
FAT AP通常需要通过以太网接口或Radio口(桥接链路)接入上行网络,如图1-8和图1-9所示。如果AP的上行以太网口或Radio口出现故障,将导致AP及关联到AP的无线客户端无法继续访问上行网络。开启上行链路检测后,一旦出现AP的上行接口故障,AP将停止提供无线接入服务,无线客户端将无法搜索到该AP的SSID,直至故障AP上行口恢复正常工作后,无线客户端将可以重新接入该AP。
上行链接检测功能,保证了在无线客户端所关联的AP出现上行口故障后,同时,在同一区域还有其他正常工作AP覆盖的情况下,无线客户端可以通过关联到其他正常工作的AP接入上行网络。
表1-8 配置上行接口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置上行接口(上行接口为以太网口) |
wlan uplink-interface interface-type interface-number |
可选 缺省情况下,没有配置上行接口 |
|
配置上行接口(上行接口为Radio口) |
wlan uplink-interface mesh-link interface-type interface-number |
可选 缺省情况下,没有配置上行接口 |
有关wlan uplink-interface mesh-link命令的详细介绍,请参见“WLAN命令参考”中的“WDS”。
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN服务的运行情况,通过查看显示信息验证配置的效果。在用户视图下,执行reset命令清除WLAN服务的相关信息。
表1-9 WLAN服务的显示和维护
|
操作 |
命令 |
|
显示AP配置信息 |
display wlan client { interface wlan-radio [ radio-number ] | mac-address mac-address | service-template service-template-number } [ verbose ] |
|
显示指定的服务模板的信息 |
display wlan service-template [ service-template-number ] |
|
显示指定客户端的统计信息 |
display wlan statistics client { all | mac-address mac-address } |
|
切断客户端的连接 |
reset wlan client { all | mac-address mac-address } |
|
清除客户端的统计信息 |
reset wlan statistics client { all | mac-address mac-address } |
在各类公共场合以及网络运营商、大中型企业、金融机构等环境中,有些用户需要在热点公共地区(如机场、咖啡店等)通过无线接入Internet,因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证,非法用户就可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量,并给无线接入服务提供商带来不可接受的损失。无线用户二层隔离功能结合IEEE802.1i、RADIUS的用户认证以及计费方式可以给用户提供专业级的安全保障。
用户隔离功能是指关联到同一个AP上的所有无线用户之间的二层报文(单播/广播)相互不能转发,从而使无线用户之间不能直接进行通讯。
在图1-10中,在AP上开启用户隔离功能后,Cleint 1~Client 4之间不能互通,也无法学习到对方的MAC地址和IP地址。
表1-10 使能无线用户隔离功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能无线用户隔离功能 |
l2fw wlan-client-isolation enable |
可选 缺省情况下,无线用户隔离功能处于使能状态 |
某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公。
具体要求如下:
l AP提供SSID为service的明文方式的无线接入服务。
l 采用目前较为常用的802.11g射频模式。
图1-11 WLAN服务组网图
(1) 配置FAT AP
# 创建WLAN BSS接口。
<AP> system-view
[AP] interface WLAN-BSS 1
[AP-WLAN-BSS1] quit
# 配置WLAN服务模板为clear模式,不配置认证方式,使能服务模板。
[AP] wlan service-template 1 clear
[AP-wlan-st-1] ssid service
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
[AP-wlan-st-1]quit
# 在WLAN-Radio 1/0/1上绑定无线服务模板1和WLAN-BSS 1。
[AP] interface WLAN-Radio 1/0/1
[AP-WLAN-Radio1/0/1] radio-type dot11g
[AP-WLAN-Radio1/0/1] channel 6
[AP-WLAN-Radio1/0/1] service-template 1 interface WLAN-BSS 1
(2) 验证结果
l 客户端可以成功关联AP,上线后可以访问网络。
l 可以使用display wlan client、display connection命令查看上线的客户端。
802.11n特性的支持情况与设备实际情况相关,使用中请以设备实际情况为准。
某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.11n无线网络。
具体要求如下:
l AP提供SSID为service的明文方式的无线接入服务。
l 为了保护现有投资,兼容现有的802.11g无线网络,采用802.11gn射频模式。
图1-12 802.11n配置组网图
(1) 配置FAT AP
# 创建WLAN BSS接口。
<AP> system-view
[AP] interface WLAN-BSS 1
[AP-WLAN-BSS1] quit
# 配置WLAN服务模板为clear模式,不配置认证方式,并将WLAN-BSS接口与该服务模板绑定。
[AP] wlan service-template 1 clear
[AP-wlan-st-1] ssid service
[AP-wlan-st-1] authentication-method open-system
[AP-wlan-st-1] service-template enable
[AP-wlan-st-1] quit
# 配置工作带宽为40MHz,并在WLAN-Radio 1/0/1上绑定无线服务模板1和WLAN-BSS 1。
[AP] interface WLAN-Radio 1/0/1
[AP-WLAN-Radio1/0/1] radio-type dot11gn
[AP-WLAN-Radio1/0/1] channel 6
[AP-WLAN-Radio1/0/1] channel band-width 40
[AP-WLAN-Radio1/0/1] service-template 1 interface WLAN-BSS 1
(2) 验证结果
l 客户端可以成功关联AP,上线后可以访问网络。
l 可以使用display wlan client、display connection命令查看上线的客户端。在display wlan client的显示信息中会显示11n客户端的信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
