03-WLAN接入配置
本章节下载: 03-WLAN接入配置 (505.64 KB)
WLAN接入为用户提供接入网络的服务。无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络。
客户端首先需要通过主动/被动扫描方式发现周围的无线网络,再通过链路层认证、关联和用户接入认证三个过程后,才能和AP建立连接,最终接入无线服务。整个过程如图1-1所示。
· 有关链路层认证的详细介绍及相关配置请参见“WLAN配置指导”中的“WLAN用户安全”。
· 有关用户接入认证的详细介绍及相关配置请参见“WLAN配置指导”中的“WLAN用户接入认证”。
客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息。
主动扫描是指客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。客户端在扫描的时候,会主动广播Probe Request帧(探测请求帧),通过收到Probe Response帧(探测响应帧)获取无线网络信息。根据Probe Request帧是否携带SSID(Service Set Identifier,服务集标识符),可以将主动扫描分为两种:
· 客户端发送Probe Request帧(Probe Request中SSID为空,也就是SSID这个信息元素的长度为0):客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到Probe Request帧后,会回复Probe Response帧通告可以提供服务的无线网络信息。客户端通过主动扫描,可以主动获知可使用的无线服务,之后客户端可以根据需要选择适当的无线网络接入。客户端主动扫描方式的过程如图1-2所示。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
· 客户端发送Probe Request帧(携带指定的SSID):在客户端上配置了希望连接的无线网络或者客户端已经成功连接到一个无线网络的情况下,客户端会定期发送Probe Request帧(携带已经配置或者已经连接的无线网络的SSID),能够提供指定SSID无线服务的AP接收到Probe Request帧后,会回复Probe Response帧。通过这种方法,客户端可以主动扫描指定的无线网络。这种客户端主动扫描方式的过程如图1-3所示。
图1-3 主动扫描过程(Probe Request携带指定为“APPLE”的SSID)
被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧)发现周围的无线网络。提供无线服务的AP设备都会周期性地广播发送Beacon帧,所以客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息,从而接入AP。当客户端需要节省电量时,可以使用被动扫描。被动扫描的过程如图1-4所示。
当客户端通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送Association Request帧(关联请求帧),AP会对Association Request帧携带的能力信息进行检测,最终确定该客户端支持的能力,并回复Association Response帧(关联响应帧)通知客户端链路是否关联成功。
WLAN接入控制的主要目的为对用户接入网络和访问网络进行控制,WLAN接入控制的方式有基于AP组的接入控制、基于SSID的接入控制和基于名单的接入控制三种方式。
如图1-5所示,无线网络中有3个AP,要求Client 1和Client 2只能通过AP 1或AP 2接入网络,Client 3只能通过AP 3接入网络。为实现上述要求,将AP 1和AP 2添加进AP组1中,AP 3添加进AP组2中。AC上配置Client 1和Client 2对应的User Profile指定允许接入的AP组为AP组1,Client 3对应的User Profile指定允许接入的AP组为AP组2。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的AP是否在允许接入的AP组中,如果客户端关联的AP在允许接入的AP组中,客户端成功上线,否则上线失败。
图1-5 基于AP组的接入控制组网应用
如图1-6所示,无线网络中有3个AP,要求Client 1和Client 2只能接入的SSID名称为ssida的无线服务,Client 3只能接入的SSID名称为ssidb的无线服务。为实现上述要求,AC上配置Client 1和Client 2对应的User Profile指定允许接入的SSID名称为ssida,Client 3对应的User Profile指定允许接入的SSID名称为ssidb。当Client 1、Client 2和Client 3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的User Profile名称下发给AC,AC根据指定User Profile里配置的内容查看客户端关联的SSID是否为允许接入的SSID,如果客户端关联的SSID为指定允许接入的SSID,客户端成功上线,否则上线失败。
图1-6 基于SSID的接入控制组网应用
白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入。白名单表项只能手工添加和删除。
黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入。黑名单分为静态黑名单和动态黑名单,以下分别介绍。
静态添加、删除表项的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单。
动态添加、删除表项的黑名单称为动态黑名单。在配置了对非法设备进行反制、无线客户端二次接入认证等场景下,设备会将明确拒绝接入的客户端MAC地址加入到动态黑名单,当动态黑名单表项到达老化超时时间后,删除该表项。有关反制功能的详细介绍,请参见“WLAN配置指导”中的“WIPS”。
当收到客户端关联请求报文或AP向AC发送的Add mobile报文时,无线设备将使用白名单和黑名单对客户端的MAC地址进行过滤。静态黑名单、白名单和基于AC生效的动态黑名单会对所有与AC相连的AP生效,基于AP生效的动态黑名单仅对客户端接入的AP生效。以图1-7为例,具体的过滤机制如下:
(1) 当AC上存在白名单时,AC将判断Client 1的MAC地址是否在白名单中,如果在白名单中,则允许客户端从任意一个AP接入无线网络,如果Client 1不在白名单中,则拒绝Client 1从任何一个接入。
(2) 当AC上不存在白名单时,AC则判断Client 1的MAC地址是否在静态黑名单中,若Client 1在静态黑名单中则拒绝Client 1从任何一个AP接入无线网络。
(3) 当AC上不存在白名单且Client 1的MAC地址不在静态黑名单中时,为Client 1配置了二次接入认证时间间隔或者AP收到Client 1的攻击报文:如果配置了动态黑名单基于AP生效,则AC会将Client 1的MAC地址添加到动态黑名单中,并仅拒绝Client 1从AP 1上接入无线网络,但仍允许Client 1从AP 2或AP 3接入无线网络;如果配置了动态黑名单基于AC生效,则拒绝Client 1从任何一个AP接入无线网络。
AC上的配置对AP生效的优先级从高到底为:AP视图下的配置、AP组视图下的配置、全局配置视图下的配置。
表1-1 WLAN接入配置任务简介
配置描述信息 |
可选 |
|
配置客户端的VLAN分配方式 |
可选 |
|
配置客户端Cache老化时间 |
可选 |
|
配置客户端关联位置 |
可选 |
|
开启客户端数据报文转发功能 |
可选 |
|
配置客户端数据报文在CAPWAP隧道中的封装格式 |
可选 |
|
配置AP不回应客户端广播Probe request报文 |
||
配置AP不继承AP组下绑定的指定无线服务模板 |
||
配置无线转发策略 |
可选 |
|
配置客户端二次接入认证的时间间隔 |
可选 |
|
指定AP的配置文件 |
可选 |
|
配置接收客户端信息的Web服务器信息 |
可选 |
|
开启告警功能 |
可选 |
无线服务模板即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等。
配置无线客户端从指定无线服务模板上线后所属的VLAN |
AP将SSID置于Beacon帧中向外广播发送。若BSS(Basic Service Set,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置SSID隐藏。若配置了SSID隐藏,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击。为了进一步保护无线网络,AP对于广播Probe Request帧也不会回复。此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS。
SSID的名称应该尽量具有唯一性。从安全方面考虑,不应该体现公司名称。
表1-4 配置描述信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置无线服务模板的描述信息 |
description text |
缺省情况下,未配置无线服务模板的描述信息 |
客户端首次上线时,AP会为动态分配方式下的客户端随机分配无线服务模板绑定Radio时指定的VLAN组内的一个VLAN,根据客户端的MAC地址为静态分配、静态兼容分配方式下的客户端分配VLAN。客户端再次上线时被分配的VLAN将由配置的VLAN分配方式决定:
· 静态分配方式下,直接继承上次VLAN组分配的VLAN。若客户端的IP地址在租约内,客户端仍被分配到同一个IP地址。采用该分配方式,可以减少IP地址的消耗。
· 动态分配方式下,VLAN组再次随机为客户端分配VLAN。采用该分配方式,客户端会被均衡地分配在VLAN组的所有VLAN中。
· 静态兼容分配方式下,可以保证客户端在采用静态分配方式的Comware V5版本AC设备与ComwareV7版本的AC之间漫游时,被分配相同的VLAN。
表1-5 配置客户端的VLAN分配方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置客户端的VLAN分配方式 |
client vlan-alloc { dynamic | static | static-compatible } |
缺省情况下,客户端的VLAN分配方式为动态分配方式 |
无线客户端Cache记录了客户端的PMK列表、接入VLAN以及其他授权信息。无线客户端断开连接之后,如果在客户端Cache老化时间内再次成功关联AP,则可继承Cache记录的各种授权信息,实现快速漫游。如果客户端离线时间超过了老化时间,系统会自动清除该客户端的Cache。
表1-6 配置客户端Cache的老化时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置客户端Cache老化时间 |
client cache aging-time aging-time |
缺省情况下,无线客户端Cache的老化时间为180秒 |
客户端关联位置在AP上时,不支持客户端进行三层漫游,所以连续覆盖区域的所有AP上相同无线服务模板的指定VLAN需要相同。
客户端关联位置在AC上时,客户端与AP关联的过程将由AC处理,管理报文通过CAPWAP隧道透传到AC。选择客户端关联位置在AC上具有安全和管理上的优势,但是当AC与AP之间的网络复杂,由于管理报文到达AC所需时间较长影响到关联过程时,建议将客户端关联位置配置在AP上,直接由AP处理客户端的关联过程。
表1-7 配置客户端关联位置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置客户端关联位置 |
client association-location { ac | ap } |
缺省情况下,客户端的关联位置在AC上 |
可以在AC上将客户端数据报文转发位置配置在AC或者AP上。
· 将数据报文转发位置配置在AC上时,为集中式转发,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文。
· 将数据报文转发位置配置在AP上时,为本地转发,客户端的数据流量直接由AP进行转发。将转发位置配置在AP上缓解了AC的数据转发压力。
· 将转发位置配置在AP上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AP上转发其数据流量。
若配置客户端数据报文转发位置在AC上,则需要保证客户端数据报文转发功能处于开启状态,否则配置不生效。
表1-8 配置客户端数据报文转发位置
client forwarding-location { ac | ap [ vlan { vlan-start [ to vlan-end ] } ] } |
若指定了客户端数据报文转发位置在AC上,则必须开启此功能才能使得AC能够转发客户端数据报文;若指定了客户端数据报文转发位置在AP上,则此功能无效。
表1-9 开启客户端数据报文转发功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启客户端数据报文转发功能 |
wlan client forwarding enable |
缺省情况下,客户端数据报文转发功能处于开启状态 |
集中式转发架构下,客户端的数据报文由AP通过CAPWAP隧道透传到AC。可以配置客户端数据报文封装在CAPWAP隧道中的格式为802.3或802.11格式,建议将客户端数据报文封装在CAPWAP中的格式为802.3格式,AC在收到客户端报文后不需要进行报文格式转换。
表1-10 配置客户端数据报文在CAPWAP隧道中的封装格式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
配置客户端数据报文在CAPWAP隧道中的封装格式 |
client frame-format { dot3 | dot11 } |
缺省情况下,客户端数据报文在CAPWAP隧道中的封装格式为802.3格式 |
如果WLAN环境中启动了负载均衡和频谱导航,客户端关联AP的效率将受到影响。对于不需要负载均衡和频谱导航功能或注重低延迟的网络服务,可以在无线服务模板下开启快速关联功能。无线服务模板开启快速关联功能后,即使AP上启动了负载均衡和频谱导航功能,也不会对该无线服务模板下接入的无线客户端进行频谱导航和负载均衡计算,从而让客户端可以快速的关联到AP上。
无线服务模板跟AP的Radio存在多对多的映射关系,将无线服务模板绑定在某个AP的射频上,AP会根据射频上绑定的无线服务模板的无线服务属性创建无线服务BSS。BSS是提供无线服务的基本单元。在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端能够相互通信。
· 可以为该BSS指定一个VLAN组,该BSS下连接的客户端会被均衡地分配在VLAN组的所有VLAN中,既能将客户端划分在不同广播域中,又能充分利用不连续的地址段为客户端分配IP地址。
· 可以绑定NAS-Port-ID(Network Access Server Port Identifier,网络接入服务器端口标识)和NAS-ID(Network Access Server Identifier,网络接入服务器标识),用于网络服务提供商标识客户端的接入位置,区分流量来源。按照网络服务提供者的标准,不同的NAS-Port-ID对应不同的位置信息。
· 可以配置SSID隐藏。
表1-13 绑定无线服务模板(Radio视图)
进入AP视图 |
||
进入Radio视图 |
||
缺省情况下,继承AP组配置 |
表1-14 绑定无线服务模板(AP组Radio视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP组视图 |
wlan ap-group group-name |
- |
进入AP型号视图 |
ap-model ap-model |
- |
进入Radio视图 |
radio radio-id |
- |
绑定无线服务模板 |
service-template service-template-name [ vlan vlan-id | vlan-group vlan-group-name ] [ ssid-hide ] [ nas-id nas-id | nas-port-id nas-port-id ] |
缺省情况下,未绑定无线服务模板 |
区域码决定了射频可以使用的工作频段、信道、发射功率级别等。在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定。为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能。
表1-15 配置区域码(AP视图)
进入AP视图 |
||
缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置 |
||
缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置 |
表1-16 配置区域码(AP组视图)
进入AP组视图 |
||
广播Probe request报文即报文中不携带服务的SSID,AP收到广播报文后,将AP提供的所有服务的信息封装在Probe reponse报文中,回应给客户端。可以配置不回应客户端的广播Probe request报文,可以减少AP回应的Probe response报文,并使发送携带SSID的Probe request报文的客户端更容易接入无线网络。
表1-18 配置不回应客户端广播Probe request报文(AP视图)
进入AP视图 |
||
配置AP不回应广播probe request报文 |
缺省情况下,继承AP组配置 |
表1-19 配置回应客户端广播Probe request报文(AP组视图)
进入AP组视图 |
||
配置AP组不回应广播probe request报文 |
缺省情况下,AP回应广播probe request报文 |
客户端空闲时间,是指AP与客户端成功连接后,客户端与AP无任何报文交互的状态的最大时间,当达到最大空闲时间时,AP会自动与客户端断开连接。
进入AP视图 |
||
缺省情况下,继承AP组配置 |
进入AP组视图 |
||
缺省情况下,AP和客户端之间连接允许的最大空闲时间为3600秒 |
开启客户端保活功能后,AP每隔保活时间向客户端发送空数据报文,以确认其是否在线。若在三个保活时间内未收到客户端回应应答报文或数据报文,则AP断开与客户端的连接。若在此期间内收到,则认为客户端在线。
进入AP视图 |
||
缺省情况下,继承AP组配置 |
||
缺省情况下,继承AP组配置 |
进入AP组视图 |
||
AP会继承AP组下同型号AP对应的射频下绑定的服务模板,同时创建无线服务BSS。如果AP不需要或不需要全部继承AP组下绑定的无线服务模板,通过配置AP不继承AP组下绑定的指定无线服务模板,不对指定的无线服务模板进行继承。
表1-24 配置AP不继承AP组下绑定的指定无线服务模板
进入AP视图 |
||
进入Radio视图 |
||
配置AP不继承AP组下绑定的指定无线服务模板 |
缺省情况下,AP继承AP组下绑定的无线服务模板 |
NAS-ID、NAS-Port-ID和NAS-VLAN-ID(Network Access Server VLAN Identifier,网络接入服务器VLAN标识)主要用于网络服务提供商标识客户端的接入位置,区分流量来源。
如果在配置无线服务模板时绑定了NAS-ID/NAS-Port-ID,则优先使用无线服务模板绑定的NAS-ID/NAS-Port-ID。
表1-25 配置网络接入服务器标识(AP视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP视图 |
wlan ap ap-name [ model model-name ] |
- |
配置网络接入服务器标识 |
nas-id nas-id |
缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置 |
配置网络接入服务器端口标识 |
nas-port-id nas-port-id |
缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置 |
配置网络接入服务器的VLAN ID |
nas-vlan vlan-id |
缺省情况下,未配置网络接入服务器的VLAN ID,即AC向RADIUS服务器发送的请求认证报文中未携带NAS-VLAN-ID字段 当使用某特定第三方厂商的SAM(Security Accounting Management,安全审计管理)服务器作为RADIUS服务器时,需要在我司设备上配置NAS-VLAN-ID,以便SAM服务器使用该VLAN ID定位客户端位置 |
表1-26 配置网络接入服务器标识(AP组视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP组视图 |
wlan ap-group group-name |
- |
配置网络接入服务器标识 |
nas-id nas-id |
缺省情况下,继承全局配置 |
配置网络接入服务器端口标识 |
nas-port-id nas-port-id |
缺省情况下,继承全局配置 |
表1-27 配置全局网络接入服务器标识
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入全局配置视图 |
wlan global-configuration |
- |
配置网络接入服务器标识 |
nas-id nas-id |
缺省情况下,未配置网络接入服务器标识 |
配置网络接入服务器端口标识 |
nas-port-id nas-port-id |
缺省情况下,未配置网络接入服务器标识 |
通过配置对未知客户端数据报文处理方式,可以选择AC在收到未知客户端发送的数据报文后,仅丢弃客户端发送的数据报文不作处理,或丢弃客户端发送的数据报文并向客户端发送解除认证报文通知客户端断开连接。
通过配置无线转发策略,设备可以对具备不同特征的客户端数据报文进行不同的转发处理。
无线转发策略可以在无线服务模板或User Profile下应用。设备优先使用User Profile下应用的无线转发策略对客户端数据进行处理。如果上线用户的User Profile下没有应用无线转发策略,则设备将使用无线服务模板下的无线转发策略处理客户端数据。
· 只有无线用户的接入认证位置在AC上时,无线服务模板和User Profile下应用的无线转发策略才能生效。关于用户接入认证位置的介绍和配置,请参见“WLAN配置指导”中的“WLAN用户接入认证”。
· 当配置无线转发策略时,AC和AP必须处于不同网段中。
无线转发策略由一条或多条无线转发规则组成,每条无线转发规则中包含匹配报文特征的规则及采取的转发方式。匹配报文特征的规则可以为基本ACL、高级ACL和二层ACL,可选择的转发方式包括本地转发和集中转发。无线转发策略仅识别ACL规则中的匹配条件,不识别允许和拒绝操作,即只要是匹配条件的报文,无论在ACL规则中是被允许还是被拒绝,都会被按转发策略处理。
有关ACL的详细介绍,请参见“ACL和Qos配置指导”中的“ACL”。
表1-29 创建无线转发策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建无线转发策略,并进入无线转发策略视图 |
wlan forwarding-policy policy-name |
缺省情况下,不存在无线转发策略 |
配置无线转发规则 |
classifier acl { acl-number | ipv6 ipv6-acl-number } behavior { local | remote } |
缺省情况下,不存在无线转发规则 重复执行该命令可以创建多条无线转发规则 |
在无线服务模板下应用无线转发策略后,还需要开启无线转发策略功能,无线转发策略才能生效。
表1-30 在无线服务模板下应用无线转发策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入服务模板视图 |
wlan service-template service-template-name |
- |
在无线服务模板下应用无线转发策略 |
client forwarding-policy-name policy-name |
缺省情况下,没有应用无线转发策略 |
开启无线转发策略功能 |
client forwarding-pollicy enable |
缺省情况下,无线转发策略功能处于关闭状态 |
在User Profile下应用无线转发策略后,当客户端准备接入网络并通过身份认证后,认证服务器会将与客户端帐户绑定的User Profile名称下发给AC,AC根据指定User Profile下应用的无线转发策略对客户端数据报文进行转发。
在User Profile下应用无线转发策略后,还需要在服务模板下开启无线转发策略功能,无线转发策略才能生效。修改或删除User Profile下应用的无线转发策略时,该配置会在客户端再次上线时生效。
表1-31 在User Profile下应用无线转发策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入User Profile视图 |
user-profile profile-name |
- |
在User Profile下应用无线转发策略 |
wlan client forwarding-policy-name policy-name |
缺省情况下,没有应用无线转发策略 |
退回系统视图 |
quit |
- |
进入服务模板视图 |
wlan service-template service-template-name |
- |
开启无线转发策略功能 |
client forwarding-pollicy enable |
缺省情况下,无线转发策略功能处于关闭状态 |
通过配置允许用户接入的AP组,让用户只能够在指定AP组内的AP上接入,控制用户在无线网络中接入位置。
配置SSID用户接入控制 |
第一次配置白名单时,系统会提示用户是否解除与所有在线客户端的关联,如果选择解除关联,才能配置白名单,否则不能配置白名单。当删除白名单中所有客户端时,则不存在白名单。
同一MAC地址表项不能同时配置到白名单中和静态黑名单中。
当配置了客户端二次接入认证的时间间隔或者AP收到客户端的攻击报文时,AC会将该客户端的MAC地址添加到动态黑名单中:
· 配置动态黑名单基于AP生效,AP将拒绝该客户端的接入,但仍可以从AC下的其他AP接入。
· 配置动态黑名单基于AC生效,AC下相连的所有AP都将拒绝该客户端接入。
在AP分布密集的无线网络环境下,建议用户配置动态黑名单基于AC生效。
动态黑名单表项具有一定的老化时间。当到达老化时间时,AC会将MAC地址从动态黑名单中删除。
新配置的动态黑名单老化时间只对新加入动态黑名单的客户端生效。
需要注意的是,若客户端同时存在于白名单和动态黑名单中时,则白名单生效。
配置动态黑名单基于AP生效 |
wlan dynamic-blacklist active-on-ap |
缺省情况下,动态黑名单基于AP生效 |
配置动态黑名单基于AC生效 |
undo wlan dynamic-blacklist active-on-ap |
|
在客户端进行二次接入认证并切换VLAN的组网环境中,建议配置客户端二次接入认证的时间间隔。
客户端二次接入认证的时间间隔是指客户端通过802.1X认证或MAC地址认证(包括通过URL重定向功能完成MAC地址认证)后,RADIUS服务器强制客户端下线到再次对其进行认证的时间间隔。
配置了客户端二次接入认证的时间间隔之后,设备将已通过认证的客户端的MAC地址加入到动态黑名单中,并在指定的时间间隔内禁止客户端接入。通过此方式加入动态黑名单的MAC地址不受动态黑名单老化时间的影响。
如果在该时间间隔内使用reset wlan dynamic-blacklist命令清除动态黑名单,则设备将允许该客户端接入并进行认证。
表1-37 配置客户端二次接入认证的时间间隔
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置客户端二次接入认证的时间间隔 |
wlan client reauthentication-period [ period-value ] |
缺省情况下,客户端二次接入认证的时间间隔为0秒 |
在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件),将配置文件中的命令下载到AP,配置文件会在隧道处于Run时生效。配置文件生效后,AP会使用配置文件中的命令,但AP不会保存这些配置。
表1-38 指定AP的配置文件(AP视图)
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
进入AP模板视图 |
wlan ap ap-name [ model model-name ] |
- |
将配置文件下载到AP |
map-configuration filename |
可选 缺省情况下,没有指定AP的配置文件 |
表1-39 指定AP的配置文件(AP组ap-model视图)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AP组视图 |
wlan ap-group group-name |
- |
进入AP型号视图 |
ap-model ap-model |
- |
将配置文件下载到AP |
map-configuration filename |
可选 缺省情况下,没有指定AP的配置文件 |
· 使用map-configuration命令指定的配置文件,文件中的内容必须是完整的命令行形式。
· 在使用某些功能时,需要使用配置文件对AP进行配置,例如:在本地转发模式下配置用户方案时,需要事先将用户方案、相关的QoS策略和ACL等命令写入配置文件,并将配置文件下载到AP。
· 通过配置文件配置的AP只能通过主IP地址与AC建立CAPWAP隧道。
· 在IRF组网中,当需要使用map-configuration命令指定AP的配置文件时,请将配置文件分别导入到各成员设备的存储介质中,防止在发生主备倒换后找不到AP的配置文件,通过map-configuration命令 下发的AP配置文件只能在IRF的主设备上生效,同时必须指定配置文件的存储路径为主设备。
AC支持与特定第三方厂商的Web服务器通过HTTP协议传输客户端信息。配置Web服务器信息后,AC将与Web服务器建立HTTP连接,将关联客户端的信息(如客户端MAC地址、接入AP的MAC及接入时间等信息)发送给Web服务器,由服务器进行存储并由用户进行查看。
表1-40 配置接收客户端信息的Web服务器信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置接收客户端信息的Web服务器的域名和端口号 |
wlan web-server host host-name port port-number |
缺省情况下,未配置接收客户端信息的Web服务器的域名和端口号 |
指定接收客户端信息的Web服务器的路径 |
wlan web-server api-path path |
缺省情况下,未指定接收客户端信息的Web服务器的路径 |
开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。(有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。)
表1-41 开启告警功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启客户端的告警功能 |
snmp-agent trap enable wlan client |
缺省情况下,客户端的告警功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN接入的运行情况,通过查看显示信息验证配置效果。
在用户视图下执行reset命令可以清除动态黑名单或断开AP与客户端的连接。
在用户视图下执行wlan link-test命令可以检测AP与指定客户端之间的无线链路质量,检测内容包括:信号强度、报文重传次数、RTT(Round-Trip Time,往返时间)等。
表1-42 WLAN接入显示和维护
显示黑名单 |
display wlan blacklist { dynamic | static } |
显示客户端的信息 |
display wlan client [ ap ap-name [ radio radio-id ] | mac-address mac-address | service-template service-template-name | frequency-band { 2.4 | 5 } ] [ verbose ] |
显示客户端状态信息 |
display wlan client status [ mac-address mac-address ] [ verbose ] |
显示无线转发策略信息 |
|
显示AP的区域码信息 |
display wlan region-code |
display wlan service-template [ service-template-name ] [ verbose ] |
|
查看客户端的统计信息或服务模板的统计信息 |
display wlan statistics { ap { all | name ap-name } connect-history | client [ mac-address mac-address ] | service-template service-template-name [ connect-history ] } |
断开与客户端的连接 |
reset wlan client { all | mac-address mac-address } |
清除无线客户端的统计信息 |
reset wlan statistics client { all | mac-address mac-address } |
对客户端进行无线链路质量检测 |
wlan link-test mac-address |
· AP通过交换机与AC相连。在Switch上开启DHCP server功能,为AP和客户端分配IP地址。
· 使用手工输入序列号方式输入序列号。AP提供SSID为trade-off的无线接入服务。
(1) 配置IP地址
# 创建VLAN100,并配置VLAN100接口的IP地址。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 10.1.9.58 16
[AC-Vlan-interface100] quit
# 创建手工AP,名称为ap1,选择AP型号并配置序列号。
[AC] wlan ap ap1 model WA4320H
[AC-wlan-ap-ap1] serial-id 219801A0YG8165E00001
(3) 创建无线服务模板,并将无线服务模板绑定到AP的Radio接口。
# 配置无线服务模板service1,配置SSID为trade-off,配置客户端从无线服务模板service1上线后将被加入到VLAN 100,并开启无线服务模板。
[AC] wlan service-template service1
[AC-wlan-st-service1] ssid trade-off
[AC-wlan-st-service1] vlan 100
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
# 配置射频,指定工作信道为157。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 157
# 将无线服务模板service1绑定到Radio 1接口。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] quit
(1) 配置完成后,在AC上执行display wlan service-template命令,可以看到所有已经创建的无线服务模板模板。无线服务模板service1的SSID为trade-off,无线服务模板已经开启,其它配置项都使用缺省值。
[AC] display wlan service-template
Service template name : service1
Description : Not configured
SSID : trade-off
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : 64
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 100
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 s
PTK life time : 43200 s
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 s
GTK rekey client-offline : Disabled
User authentication mode : Bypass
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : 1
802.1X handshake : Enabled
802.1X handshake secure : Disabled
802.1X domain : my-domain
MAC-auth domain : Not configured
Max 802.1X users per BSS : 4096
Max MAC-auth users per BSS : 4096
802.1X re-authenticate : Enabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : N/A
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
FT status : Disabled
QoS trust : Port
QoS priority : 0
(2) MAC地址为0023-8933-223b的客户端可以连接无线网络名称为trade-off的无线网络。在AC上执行display wlan client命令,可以看到所有连接成功的客户端。
[AC] display wlan client service-template service1
Total number of clients: 1
MAC address Username AP name RID IP address IPv6 address VLAN
0023-8933-223b N/A ap1 1 3.0.0.3 100
AC和AP通过交换机连接,通过将客户端的MAC地址0000-000f-1211加入到白名单中,仅允许该客户端接入无线网络,拒绝其它客户端接入无线网络。
# 将客户端的MAC地址0000-000f-1211添加到白名单。
[AC] wlan whitelist mac-address 0000-000f-1211
配置完成后,在AC上执行display wlan whitelist命令,可以看到AC已经将客户端的MAC地址表项加入到白名单。
Total number of clients: 1
MAC addresses:
0000-000f-1211
AC和AP通过交换机连接,客户端为已知非法客户端,通过将客户端的MAC地址0000-000f-1211加入到静态黑名单中,拒绝该客户端接入无线网络。
# 将客户端的MAC地址0000-000f-1211添加到静态黑名单。
[AC] wlan static-blacklist mac-address 0000-000f-1211
配置完成后,在AC上执行display wlan blacklist static命令,可以看到AC已经将客户端的MAC地址表项加入到静态黑名单。
[AC] display wlan blacklist static
Total number of clients: 1
MAC addresses:
0000-000f-1211
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!