16-Hotspot 2.0配置
本章节下载: 16-Hotspot 2.0配置 (1.55 MB)
通常客户端需要手动进行身份验证才可以接入无线网络。运营商希望客户端能够在移动网络和无线网络之间无缝漫游,即客户端根据当前网络环境自动接入合适的无线网络,并无需手工进行身份验证。针对这一需求Wi-Fi联盟推出了Hotspot 2.0协议,该协议可以使客户端自动发现、注册并关联和自己移动网络服务提供商有漫游协议的无线Wi-Fi网络,实现移动数据网络和无线Wi-Fi网络的自动切换,或者无线Wi-Fi网络的不同无线服务的自动切换。
Hotspot 2.0协议分为Version 1和Version 2两个版本,Version 2完全兼容Version 1版本。
Hotspot 2.0网络的接入过程分为三个步骤,其中只有支持Version 2 的客户端需要进行在线注册:
· 无线扫描
· GAS交互
· 在线注册
客户端在实际工作过程中,通过主动扫描或被动扫描发现周围的Hotspot 2.0网络,具体过程如下:
· 主动扫描:客户端周期性广播Probe Request帧(探测请求帧),通过收到包含网络类型、场地信息和漫游联盟支持情况等信息的Probe Response帧(探测响应帧)获取Hotspot 2.0网络信息,具体过程如图1-1所示。
· 被动扫描:客户端通过侦听AP周期发送的包含网络类型、场地信息和漫游联盟支持情况等信息的Beacon帧(信标帧)发现周围的Hotspot 2.0网络。具体过程如图1-2所示。被动扫描可以节省客户端用电量。
客户端通过主动扫描或被动扫描发现Hotspot 2.0网络后,通过GAS报文的交互获取Hotspot 2.0网络参数,并根据获取到的信息及客户端本地配置信息,选择合适的BSS(Basic Service Set,基本服务集)网络,具体交互过程如图1-3所示。
(1) 客户端向AP发送GAS initial request来获取Hotspot 2.0网络参数;
(2) AP接收到GAS initial request后进行报文解析,如果需要携带的GAS initial response报文中的信息大小超过限制,则发送GAS initial response报文通知客户端在Comeback delay时间间隔后使用GAS comeback request请求获取Hotspot 2.0参数信息,否则直接将Hotspot 2.0网络参数携带在GAS initial response报文中发送给客户端。
(3) 客户端在Comeback delay时间间隔后使用GAS comeback request请求获取Hotspot 2.0参数信息。
(4) AP收到GAS comeback request请求后,将使用GAS comeback response报文携带Hotspot 2.0参数信息。
图1-3 GAS报文交互过程
在线注册过程仅支持Version 2版本的客户端支持。客户端首次接入Hotspot 2.0无线网络时,完成GAS交互之后,需要通过在线注册服务器获取客户端证书或认证信息。该客户端证书或认证信息为了实现后续客户端自动选择和接入Hotspot 2.0无线网络,并且无需再次认证。客户端通过OSU(Online Sign Up,在线注册)AP提供的在线注册服务连接OSU Server进行在线注册,具体的注册过程如图1-4所示。注册完成后,客户端会主动断开与OSU AP的连接。客户端接入OSU AP的两种方式:
· Open OSU:开放式在线注册无线服务;
· OSEN OSU:二层认证加密在线注册无线服务。
客户端在线注册过程的具体描述如下:
(1) 客户端通过GAS报文交互过程从AP上获取到在线注册服务器列表,然后选择在线注册服务器;
(2) 客户端通过①开放式或②二层认证加密方式连接OSU AP提供的在线注册无线服务;
(3) 客户端接入在线注册无线服务之后,从OSU Server获取客户端证书、认证信息或者在客户端证书到期时更新证书;
(4) 客户端根据获取的证书或认证信息选择并接入AP提供的Hotspot 2.0无线网络。
由于需要接入的客户端所支持的Hotspot 2.0协议版本不同,设备上的Hotspot 2.0配置任务有所不同,具体差异请见表1-1。
表1-1 Hotspot 2.0配置任务简介
配置任务 |
说明 |
详细配置 |
创建Hotspot 2.0策略 |
必选 |
|
配置在线注册服务器(仅Version 2) |
必选 |
|
配置在线注册服务器SSID(仅Version 2) |
必选 |
|
管理在线注册服务器图标(仅Version 2) |
必选 |
|
绑定在线注册服务器(仅Version 2) |
必选 |
|
绑定Hotspot 2.0策略到无线服务模板 |
必选 |
|
配置AP所属的集结点信息 |
可选 |
Hotspot 2.0需要使用RSNA安全机制,并满足以下条件:
· 身份认证与密钥管理为dot1x模式。
· 安全模式为RSN模式。
· 加密套件为CCMP。
如果接入的客户端仅支持Version 1,则这类客户端上需要预先设置相关的网络信息,如Roam OI(Roam Organization Identifier,漫游联盟标识)、NAI(Network Access Identifier,网络接入标识)域名等信息,并保存在其配置文件里。
Hotspot 2.0策略是一个Hotspot 2.0网络接入参数以及网络接入控制功能的集合,具体包括以下内容:
· NAI域名及支持的认证方式:提供了可以通过AP访问的网络的域名信息、与域名信息对应的EAP认证信息以及与EAP对应的认证方法。
· 接入网络类型:客户端通过AP访问的网络类型,具体网络类型请参见“WLAN命令参考”中的“Hotspot 2.0”。
· 漫游联盟标识:每个OI(Organization Identifier,机构标识)对应一个漫游联盟成员。如果客户端存储了和OI对应的证书,则可以使用该证书漫游到该漫游联盟下的所有无线服务。
· 扩展服务标识信息: HESSID(Homogenous Extended Service Set IDentifier,扩展服务标识)用于标识同类ESS网络集合。
· 3GPP信息:3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)信息即3G网络信息,其中包含国家码和网络码,国家码用来标识国家,网络码用来标识运营商。
· 网络认证类型:接入该网络需要使用的认证类型。
· ISP域名:客户端所在的域的名称。
· 分配给客户端的IP地址的类型:分配给已关联的客户端的IP地址的版本和类型。
· 广域网链路状态参数:通告客户端该网络的广域网链路状态及上下行速度。
· 运营商信息:运营商名称,以及语言标识码。
· IP协议对应的端口状态:通告客户端该设备的IP协议的端口状态,端口状态包括关闭、开启和未知三种状态。
· DGAF功能:开启DGAF(Downstream Group-Addressed Forwarding,下行组地址报文转发)功能后,AP会转发所有下行的无线广播ARP报文和无线组播报文;关闭该功能后,AP会丢弃这些ARP和组播报文用来防止攻击者利用同一BSS内所有的客户端使用相同的GTK(Group Temporal Key,群组临时密钥)这一漏洞,来伪造组地址帧进而攻击客户端。
· GAS报文控制信息:通过对GAS报文的发送和接收进行控制,保证客户端和AC之间进行合理、有序的报文交互,具体包括:
¡ 配置客户端在Comeback delay延迟后才能发送GAS comback request报文,防止客户端过于频繁地发送GAS comback request报文;
¡ 限定BSS在指定时间间隔内接收客户端发送的最大GAS initial request报文数,降低AC处理报文的负担。
创建Hotspot 2.0策略并进入Hotspot 2.0策略视图 |
||
(可选)配置Hotspot 2.0策略名称 |
policy-name name |
缺省情况下,未配置Hotspot 2.0策略名称 |
配置NAI以及支持的认证方式 |
nai-realm realm-name eap-method eap-method-id auth-method auth-method-id authentication authentication |
缺省情况下,未配置NAI名称 |
配置接入网络类型 |
network-type network-type [ access-internet ] |
缺省情况下,未配置接入网络类型 |
配置漫游联盟标识 |
roam-oi oi [ in-beacon ] |
缺省情况下,未配置漫游联盟标识 本配置对于Version 1可选,对于Version 2必选 |
配置扩展服务标识信息 |
hessid hessid |
缺省情况下,未配置扩展服务标识信息 本配置对于Version 1必选,对于Version 2可选 |
(可选)配置3GPP信息 |
3gpp-info country-code mobile-country-code network-code mobile-network-code |
缺省情况下,未配置3GPP信息 |
(可选)配置网络认证类型 |
authentication-type { 0 [ redirect-url url ] | 1 | 2 redirect-url url | 3 } |
缺省情况下,未配置网络认证类型 |
(可选)配置域名 |
domain-name domain-name |
缺省情况下,未配置域名 本配置对于Version 1必选,对于Version 2可选 |
(可选)配置分配给客户端的IP地址的类型 |
ip-type ipv4 ipv4-type ipv6 ipv6-type |
缺省情况下,为IPv4客户端分配的IP地址类型为1,为IPv6客户端分配的IP地址类型为2 |
(可选)配置运营商信息 |
operator-name operator-name lang-code lang-code |
缺省情况下,未配置运营商信息 |
(可选)配置IP协议对应的端口状态 |
ip-protocol { esp | icmp | tcp | udp } port-number port-number { closed | open | unknown } |
缺省情况下,未配置IP协议对应的端口状态 |
(可选)配置广域网链路状态参数 |
wan-metrics { link-down | link-test | link-up } [ asymmetric downlink-speed downlink-speed uplink-speed uplink-speed | symmetric link-speed link-speed ] |
缺省情况下,未配置广域网链路状态参数 |
(可选)开启DGAF功能 |
dgaf enable |
缺省情况下,下行组地址报文转发功能处于开启状态 |
(可选)配置通知客户端在指定延迟时间后发送GAS comeback request报文 |
comeback-delay value |
缺省情况下,延迟时间值为1TU,即一个时间单位(1024微秒) |
(可选)配置BSS在指定间隔内接收客户端发送的最大GAS initial request报文数 |
gas-limit number number interval interval |
缺省情况下,不对接收到的GAS initial request报文数量进行限制 |
表1-3 配置在线注册服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建在线注册服务器,并进入在线注册服务器视图 |
wlan osu-provider osu-provider-number |
缺省情况下,不存在在线注册服务器 |
配置在线注册服务器名称 |
friendly-name friendly-name lang-code lang-code |
缺省情况下,未配置在线注册服务器名称和对应的语言标识码 |
配置在线注册服务器URI路径 |
uri uri |
缺省情况下,未配置在线注册服务器URI路径 |
配置客户端访问在线注册服务器所使用的协议类型 |
method method-id |
缺省情况下,未配置客户端访问在线注册服务器所使用的协议类型 |
配置在线注册服务器图标 |
icon-file filename lang-code lang-code icon-type icon-type |
缺省情况下,未配置在线注册服务器图标 |
(可选)配置在线注册服务器描述信息 |
description description lang-code lang-code |
缺省情况下,未配置在线注册服务器描述信息 |
(可选)配置在线注册服务器的网络接入标识 |
nai nai |
缺省情况下,未配置在线注册服务器的网络接入标识 |
Hotspot 2.0无线网络为客户端提供一个专供客户端在线注册使用的无线服务,其SSID必须保持与在线注册服务SSID一致。
表1-4 配置在线注册服务SSID
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Hotspot 2.0策略视图 |
wlan hotspot-policy policy-number |
- |
配置在线注册服务SSID |
osu-ssid ssid-name |
缺省情况下,未配置在线注册服务SSID |
配置的在线注册服务器图标文件变更时,可以重新加载在线注册服务器图标。
客户端需要更换或者删除在线注册服务器图标文件时,可以将已经加载(到内存)的图标文件卸载。
表1-5 管理在线注册服务器图标
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
加载在线注册服务器图标 |
wlan hotspot osu-icon upload |
- |
卸载在线注册服务器图标 |
wlan hotspot osu-icon unload |
- |
一个Hotspot 2.0策略最多可以和32个在线注册服务器绑定。将Hotspot 2.0策略与在线注册服务器绑定之前,在线注册服务器视图下必须完成以下配置:
· 配置在线注册服务器名称和对应的语言标识码。
· 配置在线注册服务器URI路径。
· 配置在线注册方式。
· 配置在线注册服务器图标文件。
表1-6 绑定在线注册服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Hotspot 2.0策略视图 |
wlan hotspot-policy policy-number |
- |
绑定在线注册服务器 |
osu-provider osu-provider-number |
缺省情况下,Hotspot 2.0策略未与任何在线注册服务器绑定 |
创建Hotspot 2.0策略后,需要将Hotspot 2.0策略绑定到无线服务模板上,该无线服务模板才会使用Hotspot 2.0策略中的配置生成Hotspot 2.0网络。
表1-7 绑定Hotspot 2.0策略到无线服务模板
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
绑定Hotspot 2.0策略到无线服务模板 |
hotspot-policy policy-number |
缺省情况下,未在无线服务模板上绑定Hotspot 2.0策略 |
集结点信息提供与BSS相关的地点信息(如酒吧,游乐场等),来帮助客户端关联适当的BSS。
表1-8 配置AP所属的集结点信息
进入AP视图 |
||
配置AP所属的集结点类型及其子类型 |
缺省情况下,未配置AP所属的集结点组信息,本配置对于Version 1必选,对于Version 2可选 |
|
配置AP所属的集结点名称信息 |
缺省情况下,未配置AP所属集结点名称,本配置对于Version 1必选,对于Version 2可选 |
在完成上述配置后,在当前视图下执行display命令可以显示配置后的运行情况。
表1-9 Hotspot 2.0显示和维护
display wlan service-template [ service-template-name ] [ verbose ] |
|
显示已加载的在线注册服务器图标列表(仅Version 2) |
display wlan hotspot uploaded-osu-icon |
某高校办公大楼做为无线热点区域部署无线网络,支持Hotspot 2.0特性的移动终端通过Hotspot 2.0特性实现在移动网络和办公楼无线网络之间的无缝漫游,无需手动进行操作。
表1-10 Hotspot 2.0配置组网图
下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全配置指导”中的“AAA”。
(1) 创建hotspot policy
# 创建Hotspot 2.0策略号为1。
<AC> system-view
[AC] wlan hotspot-policy 1
# 配置网络接入标识名为h3c.com,EAP方式为Protected EAP,扩展认证方式为Non-EAP Inner Authentication Type,扩展认证方式的认证参数为MSCHAPV2。
[AC-wlan-hs-1] nai-realm h3c.com eap-method 6 auth-method 2 authentication 4
# 配置域名为h3c.com。
[AC-wlan-hs-1] domain-name h3c.com
# 配置HESSID为AP的MAC地址1232-ff23-0123。
[AC-wlan-hs-1] hessid 1232-ff23-0123
[AC-wlan-hs-1] quit
(2) 配置802.1X认证方式及RADIUS方案
# 配置802.1X认证方式为EAP
[AC] dot1x authentication-method eap
# 配置RADIUS方案imcc并进入其视图。
[AC] radius scheme imcc
# 配置主认证/计费RADIUS服务器的IP地址。
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
# 配置AC与认证/计费服务器交互报文时的共享密钥。
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(3) 配置ISP域的AAA方法
# 创建并进入名称为imc的ISP域,为lan-access用户配置AAA认证方法为RADIUS认证/授权/计费,且均使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(4) 创建无线服务模板,并绑定Hotspot 2.0策略
# 创建无线服务模板service1。
[AC] wlan service-template service1
# 配置无线服务模板的SSID为service。
[AC-wlan-st-service1] ssid service
# 将Hotspot 2.0策略绑定到无线服务模板。
[AC-wlan-st-service1] hotspot-policy 1
(5) 配置使用无线服务模板使用RSNA安全机制
# 配置安全信息元素为RSN。
[AC-wlan-st-service1] security-ie rsn
# 配置加密套件为CCMP。
[AC-wlan-st-service1] cipher-suite ccmp
# 配置身份认证和密钥管理为dot1x。
[AC-wlan-st-service1] akm mode dot1x
(6) 配置WLAN用户接入认证模式、ISP域并使能无线服务模板
# 配置WLAN用户接入认证模式为dot1x模式。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置ISP域为imc。
[AC-wlan-st-service1] dot1x domain imc
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(7) 进入radio视图,绑定无线服务模板并使能radio
# 创建手工AP,名称为ap1,选择AP型号并配置序列号。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
# 在Radio 2上绑定无线服务模板。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] service-template service1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(8) 配置RADIUS server(iMC V7)
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。
· 在服务器上已经完成证书的安装。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备配置]菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置认证、计费共享密钥为12345678,其它保持缺省配置;
选择或手工增加接入设备,添加IP地址为10.18.1.1(AC的IP地址)的接入设备。
图1-5 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
设置接入策略名为802.1X_policy;
选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
图1-6 增加接入策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
设置服务名为802.1X_ser;
设置缺省接入策略为已经创建的dot1x策略。
图1-7 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
添加用户admin;
添加帐号名为admin,密码为12345678;
选中刚才配置的服务802.1X_ser。
图1-8 增加接入用户页面
(9) 配置无线终端(以iphone 5S手机为例)
# 首先在MacBook Air笔记本电脑上安装Apple Configurator软件,将iphone 5S手机用数据线连接电脑。
图1-9 Apple Configurator软件
# 打开Apple Configurator软件,在Supervise界面的Profiles栏下面点击“+”,选择“Create New Profile”。
图1-10 创建新描述文件
# 在左侧菜单栏中点击“General”按钮,在界面中Name一栏中输入“h3c.com”,其他选项选配。
图1-11 描述文件通用配置
# 点击左侧菜单栏中的“Wi-Fi”,在打开界面中点击<Configure>按钮,弹出如下界面。进入到配置视图界面,在Netwok Type下拉菜单中选择“Passpoint”。
图1-12 开启Passpoint功能
# 弹出如下配置视图界面,Accepted EAP Types选项中认证协议勾选“PEAP”选项。
Username、Password为在RADIUS服务器中注册的用户名和密码,分别输入“admin”和“12345678”;
Accepted EAP Type选择PEAP认证方式将不需要证书,IdentityCerticate选项中为“None”;
Outer Idetity用于对外公开身份,输入“admin”。
图1-13 配置EAP-PEAP认证
# 在Provider Display Name一栏中输入“h3c.com”。Domain Name和AC上配置的hotspot-policy中的Domain Name保持一致。
图1-14 配置Domain Name
# Roaming Consortium Ols、NAI Real Names、MCC/MNC三个选项可以不进行配置。如果配置需和AC上配置的hotspot-policy保持一致。完成配置后点击<Save>进行保存。
图1-15 配置其它选项
# 点击上方“Prepare”,在“Settings”界面点击<Install Profiles>。
图1-16 安装描述文件
# 点击<Install Profiles>后,出现如下图界面,点击<Next>。
图1-17 安装描述文件(2)
# 在下图中选择创建的描述文件“h3c.com”,点击<Next>。
图1-18 选择创建的描述文件
# 此时手机会出现如下图中界面,点击“install”安装描述文件。
图1-19 安装描述文件
# 安装成功后,Apple Configurator界面将显示“Install Succeeded”,证明描述文件安装成功。此时,所有的配置将下发到iphone 5S手机中,当搜索到配置的服务之后,能够自动关联上线。
图1-20 文件安装成功
# 进入无线网络覆盖区域后,移动终端会自动加入到开启Hotspot 2.0的无线网络中。 在AC上使用命令display wlan client verbose查看无线客户端的详细信息。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : 6021-c05d-19e0
IPv4 address : 105.0.0.5
IPv6 address : N/A
Username : dongxixi
AID : 1
AP ID : 2
AP name : ap1
Radio ID : 2
SSID : dongxixi
BSSID : 70f9-6dd7-cfd0
VLAN ID : 1
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
SM power save : Enabled
SM power save mode : Static
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 In
Support HT-MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 49
Rx/Tx rate : 1/72.2 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
Authorization ACL ID : N/A
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : N/A
Online time : 0days 0hours 0minutes 36seconds
FT status : Inactive
某高校办公大楼作为无线热点区域部署无线网络,支持Hotspot 2.0特性的移动终端通过Hotspot 2.0特性实现在移动网络和办公楼无线网络之间的无缝漫游,无需手动进行操作。
图1-21 Hotspot 2.0配置组网图
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全配置指导”中的“AAA”。
· 完成RADIUS服务器的配置,安装证书并添加用户账户,保证用户的认证/授权/计费功能正常运行。
· 完成客户端802.1X的配置,安装证书。
# 创建Hotspot 2.0策略号为1。
[AC] wlan hotspot-policy 1
# 配置网络接入标识名为abc.com,EAP方式Protected EAP,扩展认证方式为Non-EAP Inner Authentication Type,扩展认证方式的认证参数为MSCHAPV2。
[AC-wlan-hs-1] nai-realm abc.com eap-method 6 auth-method 2 authentication 4
# 配置域名为domain.abc.com。
[AC-wlan-hs-1] domain-name domain.abc.com
# 配置HESSID为AP的MAC地址1232-ff23-0123。
[AC-wlan-hs-1] hessid 1232-ff23-0123
[AC-wlan-hs-1] quit
(2) 配置802.1X认证方式及RADIUS方案
# 配置802.1X认证方式为EAP
[AC] dot1x authentication-method eap
# 配置RADIUS方案imcc并进入其视图。
# 配置主认证/计费RADIUS服务器的IP地址。
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
# 配置AC与认证/计费服务器交互报文时的共享密钥。
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(3) 配置ISP域的AAA方法
# 创建并进入名称为imc的ISP域,为lan-access用户配置AAA认证方法为RADIUS认证/授权/计费,且均使用RADIUS方案imcc。
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(4) 创建无线服务模板,并绑定Hotspot 2.0策略
# 创建无线服务模板service1。
[AC] wlan service-template service1
# 配置无线服务模板的SSID为service。
[AC-wlan-st-service1] ssid service
# 将Hotspot 2.0策略绑定到无线服务模板。
[AC-wlan-st-service1] hotspot-policy 1
(5) 配置使用无线服务模板使用RSNA安全机制
# 配置安全信息元素为RSN。
[AC-wlan-st-service1] security-ie rsn
# 配置加密套件为CCMP。
[AC-wlan-st-service1] cipher-suite ccmp
# 配置身份认证和密钥管理为dot1x。
[AC-wlan-st-service1] akm mode dot1x
(6) 配置WLAN用户接入认证模式、ISP域并使能无线服务模板
# 配置WLAN用户接入认证模式为dot1x模式。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置ISP域为imc。
[AC-wlan-st-service1] dot1x domain imc
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(7) 进入radio视图,绑定无线服务模板并使能radio
# 创建手工AP,名称为ap1,选择AP型号并配置序列号。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
# 在Radio 2上绑定无线服务模板。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] service-template service1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(8) 配置RADIUS server(iMC V7)
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。
· 在服务器上已经完成证书的安装。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备配置]菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置认证、计费共享密钥为12345678,其它保持缺省配置;
选择或手工增加接入设备,添加IP地址为10.18.1.1(AC的IP地址)的接入设备。
图1-22 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
设置接入策略名为802.1X_policy;
选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
图1-23 增加接入策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
设置服务名为802.1X_ser;
设置缺省接入策略为已经创建的dot1x策略。
图1-24 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
添加用户admin;
添加帐号名为admin,密码为12345678;
选中刚才配置的服务802.1X_ser。
图1-25 增加接入用户页面
# 使用文本编辑软件编辑Hotspot 2.0特性的配置文件“cred.conf”。
· 配置文件中的nai-realm、domain-name需要和AC上配置的hotspot-policy中nai-realm、domain-name保持一致。
· 配置文件中的username、password必须和RADIUS服务器上配置的用户名和密码保持一致。
· 配置文件中EAP、phase2的取值,Hotspot 2.0和RADIUS服务器上的认证方式必须保持一致。
编辑配置文件的方式有两种,一种是直接在PC上编辑,在完成编辑后,可以通过USB传输的方式或邮件的方式将配置文件传输到手机并保存在根目录下。另一种方式是直接在手机上用文档编辑APP编辑配置文件并保存在根目录下。
在PC上编辑的配置文件内容如下:
realm="abc.com"
username="admin"
password="12345678"
domain="domain.abc.com"
eap=PEAP
phase2="auth=MSCHAPV2"
}
# 点击进入无线网络设定,并点击高级选项。
表1-11 开启三星手机WLAN功能示意图
# 进入高级设置界面,开启Passpoint功能。
表1-12 三星手机WLAN高级设置页面示意图
# 手机将自动连接合适的无线网络。
图1-26 连接成功示意图
# 在AC上使用命令display wlan client verbose查看无线客户端的详细信息。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : 000f-e265-6400
IPv4 address : 10.1.1.114
IPv6 address : 2001::1234:5678:0102:0304
Username : admin
AP ID : 1
AP name : ap1
Radio ID : 1
SSID : service
BSSID : 0026-3e08-1150
VLAN ID : 1
Power save mode : Active
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
SM power save : Disabled
Short GI for 20MHz : Not supported
Short GI for 40MHz : Supported
Support MCS set : 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10
Block Ack (TID 0) : In
QoS mode : N/A
Listen interval : 10
RSSI : 62
Rx/Tx rate : 130/11 Mbps
Authentication method : Open system
某高校办公大楼作为无线热点区域部署无线网络,支持Hotspot 2.0特性的移动终端通过Hotspot 2.0特性实现在移动网络和办公楼无线网络之间的无缝漫游,无需手动进行操作。
图1-27 Hotspot 2.0配置组网图
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全配置指导”中的“AAA”。
· 加载在线注册服务器图标之前需要用户手动在设备版本文件所在的存储介质上的根目录下创建icon文件(可通过mkdir命令配置),然后通过FTP或TFTP等方式将图标文件下载到该icon文件中。
(1) 配置在线注册服务器
# 创建在线注册服务器索引号为1。
<AC> system-view
[AC] wlan osu-provider 1
# 配置在线注册服务器名称为osu_test语言码为英语。
[AC-wlan-osu-1] friendly-name osu_test lang-code eng
# 配置在线注册服务器URI路径为https://192.168.1.23:8088/service。
[AC-wlan-osu-1] uri https://192.168.1.23:8088/service
# 配置客户端访问在线注册服务器所使用的协议类型为1,表示SOAP-XML SPP。
[AC-wlan-osu-1] method 1
# 配置在线注册服务图标文件为test.png,语言标识码为英语,图标格式为png。
[AC-wlan-osu-1] icon-file test.png lang-code eng icon-type png
# 配置在线注册服务器描述信息为The OSU provider。
[AC-wlan-osu-1] description "The OSU provider." lang-code eng
# 配置NAI为example.com。
[AC-wlan-osu-1] nai example.com
[AC-wlan-osu-1] quit
(2) 配置hotspot 2.0 策略
# 创建Hotspot 2.0策略,策略号为1。
# 配置网络接入标识名为example.com,EAP认证方式为EAP-Authentication and Key Agreement(EAP-AKA),扩展认证方式为Non-EAP Inner Authentication Type,扩展认证方式的认证参数为MSCHAPV2。
[AC-wlan-hs-1] nai-realm example.com eap-method 5 auth-method 2 authentication 4
# 配置网络类型为Wildcard。
[AC-wlan-hs-1] network-type 15
# 配置漫游联盟信息为80F62E,并将该标识加入Beacon帧。
[AC-wlan-hs-1] roam-oi 80F62E in-beacon
# 配置域名为domain.com。
[AC-wlan-hs-1] domain-name domain.com
# 配置配置分配给客户端的IPv4地址类型为可用的公共IPv4地址,IPv6地址类型为可用IPv6地址。
[AC-wlan-hs-1] ip-type ipv4 1 ipv6 1
# 配置在线注册服务SSID为osu-ssid。
[AC-wlan-hs-1] osu-ssid osu-ssid
# 将在线注册服务器绑定到Hotspot 2.0策略1。
[AC-wlan-hs-1] osu-provider 1
[AC-wlan-hs-1] quit
# 当配置的在线注册服务器图标文件变更时,加载在线注册服务器图标
[AC] wlan hotspot osu-icon upload
# 创建提供开放式在线注册服务的无线服务模板。
[AC] wlan service-template osu
# 配置无线服务模板SSID为osu-ssid。
[AC-wlan-st-osu] ssid osu-ssid
# 使能无线服务模板。
[AC-wlan-st-osu] service-template enable
[AC-wlan-st-osu] quit
(4) 配置802.1X认证方式及RADIUS方案
# 配置802.1X认证方式为EAP
[AC] dot1x authentication-method eap
# 创建RADIUS方案imcc。
# 配置主认证/计费RADIUS服务器的IP地址为192.168.1.23。
[AC-radius-imcc] primary authentication 192.168.1.23 1812
[AC-radius-imcc] primary accounting 192.168.1.23 1813
# 配置AC与认证/计费服务器交互报文时的共享密钥。
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(5) 配置ISP域的AAA方法
# 创建并进入名称为abc的ISP域,为lan-access用户配置AAA认证方法为RADIUS认证/授权/计费,且均使用RADIUS方案imcc。
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(6) 配置无线服务模板,并绑定Hotspot 2.0策略
# 创建无线服务模板stname。
[AC] wlan service-template stname
# 配置无线服务模板的SSID为service。
[AC-wlan-st-stname] ssid service
# 将Hotspot 2.0策略绑定到无线服务模板。
[AC-wlan-st-stname] hotspot-policy 1
(7) 配置无线服务模板使用RSNA安全机制
# 配置安全信息元素为RSN。
[AC-wlan-st-stname] security-ie rsn
# 配置加密套件为CCMP。
[AC-wlan-st-stname] cipher-suite ccmp
# 配置身份认证和密钥管理模式为dot1x,WLAN用户接入认证模式为dot1x模式。
[AC-wlan-st-stname] akm mode dot1x
(8) 配置WLAN用户接入认证模式、ISP域并使能无线服务模板
# 配置WLAN用户接入认证模式为dot1x模式。
[AC-wlan-st-stname] client-security authentication-mode dot1x
# 配置ISP域为imc。
[AC-wlan-st-stname] dot1x domain imc
# 使能无线服务模板。
[AC-wlan-st-stname] service-template enable
[AC-wlan-st-stname] quit
(9) 配置Radio
# 创建手工AP,名称为ap1,并选择AP型号并配置序列号。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置集结点信息为office,语言标识码为英语。
[AC-wlan-ap-ap1] venue name "H3C lab" lang-code eng
# 在Radio 2上绑定无线服务模板。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] service-template stname
[AC-wlan-ap-ap1-radio-2] service-template osu
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(1) 配置完成后,在AC上使用命令display wlan hotspot uploaded-osu-icon查看已加载的在线注册服务器图标。
[AC] display wlan hotspot uploaded-osu-icon
Total number of icons: 1
Icon name Icon type
--------------------------------------------------------------------------------
test.png png
(2) 配置完成后,Hotspot 2.0网络中,有abcd用户接入时,可以在AC上通过命令display wlan client verbose看到无线客户端的详细信息。
[AC] display wlan client verbose
Total number of clients: 1
MAC address : d022-bee8-a267
IPv4 address : 192.168.1.52
IPv6 address : N/A
Username : abcd
AID : 2
AP ID : 1
AP name : ap1
Radio ID : 2
SSID : service
BSSID : 5866-ba74-e790
VLAN ID : 1
Sleep count : 37
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Not supported
LDPC RX capability : Not supported
Block Ack : TID 0 Both
TID 2 Out
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7
Supported rates : 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 45
Rx/Tx rate : 72.2/72.2 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
Authorization ACL ID : N/A
Authorization user profile : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : N/A
Online time : 0days 0hours 1minutes 29seconds
FT status : Inactive
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!