- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-WLAN接入配置
本章节下载: 02-WLAN接入配置 (337.02 KB)
目 录
本文中的AP指的是LA3616无线网关。
WLAN接入为用户提供接入网络的服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络。
客户端首先需要通过主动/被动扫描方式发现周围的无线网络,再通过链路层认证、关联和用户接入认证三个过程后,才能和AP建立连接,最终接入无线服务。整个过程如图1-1所示。
· 有关链路层认证的详细介绍及相关配置请参见“WLAN配置指导”中的“WLAN用户安全”。
· 有关用户接入认证的详细介绍及相关配置请参见“WLAN配置指导”中的“WLAN用户接入认证”。
客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息。
主动扫描是指客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。客户端在扫描的时候,会主动广播Probe Request帧(探测请求帧),通过收到Probe Response帧(探测响应帧)获取无线网络信息。根据Probe Request帧是否携带SSID(Service Set Identifier,服务集标识符),可以将主动扫描分为两种:
· 客户端发送Probe Request帧(Probe Request中SSID为空,也就是SSID这个信息元素的长度为0):客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到Probe Request帧后,会回复Probe Response帧通告可以提供服务的无线网络信息。客户端通过主动扫描,可以主动获知可使用的无线服务,之后客户端可以根据需要选择适当的无线网络接入。客户端主动扫描方式的过程如图1-2所示。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
· 客户端发送Probe Request帧(携带指定的SSID):在客户端上配置了希望连接的无线网络或者客户端已经成功连接到一个无线网络的情况下,客户端会定期发送Probe Request帧(携带已经配置或者已经连接的无线网络的SSID),能够提供指定SSID无线服务的AP接收到Probe Request帧后,会回复Probe Response帧。通过这种方法,客户端可以主动扫描指定的无线网络。这种客户端主动扫描方式的过程如图1-3所示。
图1-3 主动扫描过程(Probe Request携带指定为“APPLE”的SSID)
被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧)发现周围的无线网络。提供无线服务的AP设备都会周期性地广播发送Beacon帧,所以客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息,从而接入AP。当客户端需要节省电量时,可以使用被动扫描。被动扫描的过程如图1-4所示。
当客户端通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送Association Request帧(关联请求帧),AP会对Association Request帧携带的能力信息进行检测,最终确定该客户端支持的能力,并回复Association Response帧(关联响应帧)通知客户端链路是否关联成功。
WLAN接入控制的主要目的为对用户接入网络和访问网络进行控制,WLAN接入控制的方式有基于AP组的接入控制、基于SSID的接入控制和基于名单的接入控制三种方式。
如图1-5所示,无线网络中有3个AP,要求Client 1和Client 2只能通过AP 1或AP 2接入网络,Client 3只能通过AP 3接入网络。为实现上述要求,将AP 1和AP 2添加进AP组1中,AP 3添加进AP组2中。AC上配置Client 1和Client 2对应的User Profile指定允许接入的AP组为AP组1,Client 3对应的User Profile指定允许接入的AP组为AP组2。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的AP是否在允许接入的AP组中,如果客户端关联的AP在允许接入的AP组中,客户端成功上线,否则上线失败。
图1-5 基于AP组的接入控制组网应用
如图1-6所示,无线网络中有3个AP,要求Client 1和Client 2只能接入的SSID名称为ssida的无线服务,Client 3只能接入的SSID名称为ssidb的无线服务。为实现上述要求,AC上配置Client 1和Client 2对应的User Profile指定允许接入的SSID名称为ssida,Client 3对应的User Profile指定允许接入的SSID名称为ssidb。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的SSID是否为允许接入的SSID,如果客户端关联的SSID为指定允许接入的SSID,客户端成功上线,否则上线失败。
图1-6 基于SSID的接入控制组网应用
零漫游功能用来避免无线客户端在不同AP间漫游时发生掉线和报文丢失。开启零漫游功能的多个AP为客户端提供统一的虚拟服务,客户端选择接入一个AP后,其余AP实时监控客户端的信号强度。当AC发现其它AP能够比当前AP提供更高质量的服务时,将指定新AP为客户端提供无线服务。
如图1-7所示,无线网络中存在两个AP,零漫游的实现方式如下所述:
(1) AP上开启零漫游功能后,当网络中的AP收到来自客户端的Probe Request帧,AC会为该客户端生成一个虚拟的服务,该虚拟服务的BSSID将由AC的桥MAC地址、AP ID和客户端的MAC地址组成,AP会用这个虚拟BSSID来与客户端进行交互。
(2) 如果客户端选择通过AP 1上线,则AC会将AP 1的虚拟BSSID通告到AP 2上。AP 2将替换本地的虚拟BSSID,并监控该客户端的信号强度。
(3) 当AC发现AP 2对客户端而言服务质量更好时,即AP 2接收到客户端报文的RSSI(Received Signal Strength Indicator,接收信号强度指示)值达到/超过RSSI门限值,并且与AP 1所接收到的客户端报文RSSI值的差值达到/超过RSSI差值门限,那么AC将指定AP 2为客户端提供无线服务。
由于客户端始终使用相同的虚拟BSSID发送数据,所以即使为客户端提供无线服务的AP发生变化,对客户端而言使用的无线服务却是相同的。
表1-1 WLAN接入配置任务简介
无线服务模板即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。
AP将SSID置于Beacon帧中向外广播发送。
SSID的名称应该尽量具有唯一性。从安全方面考虑,不应该体现公司名称。
无线服务模板跟AP的Radio存在多对多的映射关系,将无线服务模板绑定在某个AP的射频接口上,AP会根据射频接口上绑定的无线服务模板的无线服务属性创建无线服务BSS。BSS是无线服务提供服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端能够相互通信。
|
进入WLAN射频接口视图 |
||
区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。
在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN接入的运行情况,通过查看显示信息验证配置效果。
在用户视图下执行wlan link-test命令可以检测AP与指定客户端之间的无线链路质量,检测内容包括:信号强度、报文重传次数、RTT(Round-trip Time,往返时间)等。
表1-7 WLAN接入显示和维护
|
命令 |
|
|
显示无线服务模板信息 |
display wlan service-template [ service-template-name ] |
|
显示客户端的信息 |
display wlan client [ interface wlan-radio interface-number | mac-address mac-address | service-template service-template-name ] [ verbose ] |
· AP通过交换机与有线网络相连。在Switch上开启DHCP server功能,为AP和客户端分配IP地址。
· AP提供SSID为trade-off的无线接入服务。
# 配置无线无线服务模板service1,配置SSID为trade-off,并使能服务模版。
[AP] wlan service-template service1
[AP-wlan-st-service1] ssid trade-off
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
# 将无线服务模板service1绑定到WLAN-Radio 0/1接口。
[AP-WLAN-Radio0/1] undo shutdown
[AP-WLAN-Radio0/1] service-template service1
[AP-WLAN-Radio0/1] quit
(1) 配置完成后,在AP上执行display wlan service-template命令,可以看到所有已经创建的无线服务模板模板。无线服务模板service1的SSID为trade-off,无线服务模板已经使能,其它配置项都使用缺省值。
[AP] display wlan service-template
Service template name : service1
SSID : trade-off
SSID-hide : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
VLAN ID : 3
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 s
PTK life time : 43200 s
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 s
GTK rekey client-offline : Disabled
Authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : 1
Critical VLAN ID : Not configured
802.1X handshake : Enabled
802.1X handshake secure : Disabled
802.1X domain : my-domain
MAC-auth domain : Not configured
Max 802.1X users : 4096
Max MAC-auth users : 4096
802.1X re-authenticate : Enabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
(2) MAC地址为0023-8933-223b的客户端可以连接无线网络名称为trade-off的无线网络。在AP上执行display wlan client命令,可以看到所有连接成功的客户端。
[AP] display wlan client service-template service1
Total number of clients: 3
MAC address Username APID/RID IP address VLAN ID
0023-8933-223b user 1024/1 3.0.0.3 3
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
