• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-WLAN漫游配置指导

目录

02-WLAN漫游中心配置

本章节下载 02-WLAN漫游中心配置  (379.82 KB)

02-WLAN漫游中心配置


1 WLAN漫游中心

1.1  WLAN漫游中心简介

WLAN漫游中心是无线用户认证、授权和漫游等信息的管理中心,主要用于用户需要在AC间无感知漫游的应用场景,即用户从一台AC漫游到另一台AC,无须重新进行认证即可在新AC上继续访问原来的网络资源。目前WLAN漫游中心仅支持使用无线Portal认证方式接入的用户进行AC间漫游。关于Portal支持AC间漫游的详细介绍,请参见“用户接入与认证配置指导”中的“Portal”。

1.1.1  WLAN漫游中心工作流程

WLAN漫游中心在网络中的位置如图1-1所示。

图1-1 WLAN漫游中心示意图

 

具体工作流程如下:

(1)      当Client上线时,AC会向WLAN漫游中心发送用户查询报文,WLAN漫游中心收到报文后会发送响应报文。

(2)      当Client上线后,AC会向WLAN漫游中心发送用户上线报文,如果Client为第一次上线,则WLAN漫游中心建立用户表项并发送上线响应报文,如果Client是漫游上线,则WLAN漫游中心更新用户表项并发送上线响应报文。

(3)      当Client下线时,WLAN漫游中心收到AC发送的下线报文后会删除用户表项,并发送下线回应报文。

1.2  WLAN漫游中心配置任务简介

WLAN漫游中心配置任务如下:

·              开启WLAN漫游中心功能

·              (可选)配置WLAN漫游中心的UDP端口号

·              (可选)配置WLAN漫游中心接收用户下线响应报文的超时时间

·              (可选)配置WLAN漫游中心发送用户下线报文的最大尝试次数

·              (可选)配置允许接入WLAN漫游中心的Portal漫游中心的IP地址

1.3  开启WLAN漫游中心功能

1. 配置限制和指导

漫入和漫出的AC必须都开启Portal漫游中心功能且组网中有一台AC开启WLAN漫游中心功能,Portal用户才能在AC间漫游。一个网络中只能配置一台AC作为WLAN漫游中心。

关闭WLAN漫游中心功能,会清除所有无线Portal用户信息。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      创建WLAN漫游中心,并进入WLAN漫游中心视图。

wlan roaming-center

(3)      开启WLAN漫游中心功能。

roaming-center enable

缺省情况下,WLAN漫游中心功能处于关闭状态。

1.4  配置WLAN漫游中心的UDP端口号

1. 功能简介

此端口号用于Portal漫游中心与WLAN漫游中心进行报文交互。

2. 配置限制和指导

WLAN漫游中心的UDP端口号需要和Portal漫游中心视图下配置的UDP端口号保持一致。

有Portal用户在线时,修改WLAN漫游中心的UDP端口号,可能会导致Portal漫游中心和WLAN漫游中心数据不同步,从而使用户漫游失败,此时用户需要重新进行Portal认证才能上线。

修改WLAN漫游中心的UDP端口号时,建议先关闭WLAN漫游中心功能,再重新开启,防止用户数据残留。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入WLAN漫游中心视图。

wlan roaming-center

(3)      配置WLAN漫游中心的UDP端口号。

port port-number

缺省情况下,WLAN漫游中心的UDP端口号为1088。

1.5  配置WLAN漫游中心接收用户下线响应报文的超时时间

1. 功能简介

Portal用户在下线时会通知所在的Portal漫游中心,然后由该Portal漫游中心通知WLAN漫游中心,再由WLAN漫游中心发送用户下线报文通知其它Portal漫游中心,其它Portal漫游中心收到报文后需要在超时时间内回复响应报文。若WLAN漫游中心在超时时间内未收到响应报文且超过Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数,则会删除超时定时器。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入WLAN漫游中心视图。

wlan roaming-center

(3)      配置WLAN漫游中心接收用户下线响应报文的超时时间。

response-timeout timeout

缺省情况下,WLAN漫游中心接收用户下线响应报文的超时时间为3秒。

1.6  配置WLAN漫游中心发送用户下线报文的最大尝试次数

1. 功能简介

Portal用户下线时,WLAN漫游中心会向该用户上线的Portal漫游中心以外的其它Portal漫游中心发送用户下线报文,其它Portal漫游中心收到报文后会发送响应报文,如果WLAN漫游中心未在超时时间(由response-timeout配置)内收到响应报文,会按照配置的最大尝试次数重新发送用户信息报文。如果达到最大尝试次数后,WLAN漫游中心仍未收到响应报文,则不会删除用户信息。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入WLAN漫游中心视图。

wlan roaming-center

(3)      配置WLAN漫游中心发送用户下线报文的最大尝试次数。

retry retries

缺省情况下,WLAN漫游中心发送用户下线报文的最大尝试次数为5次。

1.7  配置允许接入WLAN漫游中心的Portal漫游中心的IP地址

1. 功能简介

未配置允许接入WLAN漫游中心的Portal漫游中心的IP地址时,WLAN漫游中心会处理所有Portal漫游中心发送的报文,允许所有Portal漫游中心接入,配置了允许接入WLAN漫游中心的Portal漫游中心的IP地址后,只有指定的Portal漫游中心可以接入,未指定的Portal漫游中心不允许接入,以防止非法设备接入对网络造成恶意攻击。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      进入WLAN漫游中心视图。

wlan roaming-center

(3)      配置允许接入WLAN漫游中心的Portal漫游中心的IP地址。

control-access { bas-ip ipv4-address | bas-ipv6 ipv6-address }

缺省情况下,未配置允许接入WLAN漫游中心的Portal漫游中心的IP地址。

1.8  WLAN漫游中心显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN漫游中心的运行情况,通过查看显示信息验证配置的效果。

表1-1 WLAN漫游中心显示和维护

操作

命令

显示WLAN漫游中心下线用户的历史信息

display wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

显示WLAN漫游中心的报文统计信息

display wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ]

显示WLAN漫游中心的用户信息

display wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } [ verbose ]

清除WLAN漫游中心用户的历史信息

reset wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

清除WLAN漫游中心的报文统计信息

reset wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ]

清除WLAN漫游中心设备上的用户信息

reset wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

 

1.9  无线漫游中心典型配置举例

1.9.1  无线漫游中心基本配置举例

1. 组网需求

图1-2所示,AC 1作为WLAN漫游中心,AC 2和AC 3作为Portal漫游中心,Client通过AP在AC 2上进行Portal认证并漫游到AC 3。要求:当Client漫游到AC 3时不再进行Portal认证,可直接在AC 3上线并访问相关资源。

2. 组网图

图1-2 无线漫游中心组网图

 

3. 配置AC 1

# 创建WLAN漫游中心,并进入WLAN漫游中心视图。

<AC1> system-view

[AC1] wlan roaming-center

# 配置WLAN漫游中心的UDP端口号为40000。

[AC1-wlan-roaming-center] port 40000

# 开启WLAN漫游中心功能。

[AC1-wlan-roaming-center] roaming-center enable

[AC1-wlan-roaming-center] quit

4. 配置AC 2

(1)      配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AC之间的路由可达,具体配置步骤略。

(2)      配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<AC2> system-view

[AC2] radius scheme rs1

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[AC2-radius-rs1] primary authentication 192.168.0.112

[AC2-radius-rs1] primary accounting 192.168.0.112

[AC2-radius-rs1] key authentication simple radius

[AC2-radius-rs1] key accounting simple radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[AC2-radius-rs1] user-name-format without-domain

[AC2-radius-rs1] quit

# 使能RADIUS session control功能。

[AC2] radius session-control enable

(3)      配置认证域

# 创建并进入名字为dm1的ISP域。

[AC2] domain dm1

# 配置ISP域的AAA方法。

[AC2-isp-dm1] authentication portal radius-scheme rs1

[AC2-isp-dm1] authorization portal radius-scheme rs1

[AC2-isp-dm1] accounting portal radius-scheme rs1

[AC2-isp-dm1] quit

# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。

[AC2] domain default enable dm1

(4)      配置Portal认证

# 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,监听Portal报文的端口为50100。

[AC2] portal server newpt

[AC2-portal-server-newpt] ip 192.168.0.111 key simple portal

[AC2-portal-server-newpt] port 50100

[AC2-portal-server-newpt] quit

# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)

[AC2] portal web-server newpt

[AC2-portal-websvr-newpt] url http://192.168.0.111:8080/portal

[AC2-portal-websvr-newpt] quit

# 创建手工AP,名称为ap2,选择AP型号并配置序列号。

[AC2] wlan ap ap2 model WA4320i-ACN

[AC2-wlan-ap-ap2] serial-id 210235A29G007C000020

[AC2-wlan-ap-ap2] quit

# 配置无线服务模板,SSID为portal_1。

[AC2] wlan service-template newst

[AC2–wlan-st-newst] ssid portal_1

# 在无线服务模板newst上使能直接方式的Portal认证。

[AC2–wlan-st-newst] portal enable method direct

# 在无线服务模板newst上引用Portal Web服务器newpt。

[AC2–wlan-st-newst] portal apply web-server newpt

# 在无线服务模板newst上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为192.168.0.110。

[AC2–wlan-st-newst] portal bas-ip 192.168.0.110

# 配置客户端数据报文转发位置为AP。

[AC2–wlan-st-newst] client forwarding-location ap

# 使能无线服务模板newst

[AC2–wlan-st-newst] service-template enable

[AC2–wlan-st-newst] quit

# 配置射频,指定工作信道为11。

[AC2] wlan ap ap2

[AC2-wlan-ap-ap2] radio 2

[AC2-wlan-ap-ap2-radio-2] channel 11

# 开启射频功能,将无线服务模板newst绑定到Radio2上,并绑定vlan2。

[AC2-wlan-ap-ap2-radio-2] radio enable

[AC2-wlan-ap-ap2-radio-2] service-template newst vlan 2

[AC2-wlan-ap-ap2-radio-2] quit

[AC2-wlan-ap-ap2] quit

(5)      配置Portal漫游中心

# 创建Portal漫游中心,并进入Portal漫游中心视图。

[AC2] portal roaming-center

# 指定WLAN漫游中心的IP地址。

[AC2-portal-roaming-center] ip 192.168.1.1

# 配置WLAN漫游中心的UDP端口号为40000。

[AC2-portal-roaming-center] port 40000

# 配置Portal漫游中心等待WLAN漫游中心响应报文的超时时间为5秒。

[AC2-portal-roaming-center] response-timeout 5

# 配置Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数为3次。

[AC2-portal-roaming-center] retry 3

# 开启Portal漫游中心功能。

[AC2-portal-roaming-center] roaming-center enable

[AC2-portal-roaming-center] quit

5. 配置AC 3

AC 3的配置与AC 2相同,请参见配置AC 2

6. 配置AAA服务器

(1)      配置RADIUS服务器

完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行,具体配置步骤略。

(2)      配置Portal服务器

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)),说明Portal server的基本配置。

 

(3)      配置Portal认证服务器

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面。

¡  根据实际组网情况调整以下参数,本例中使用缺省配置。

图1-3 Portal认证服务器配置页面

 

(4)      配置IP地址组

单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。

¡  填写IP地址组名;

¡  输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址;

¡  选择业务分组,本例中使用缺省的“未分组”;

¡  选择IP地址组的类型为“普通”。

图1-4 增加IP地址组配置页面

 

(5)      增加Portal设备

单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。

¡  填写设备名;

¡  指定IP地址为与接入用户相连的设备接口IP;

¡  选择是否支持逃生心跳功能和用户心跳功能,本例中选择否;

¡  输入密钥,与接入设备AC上的配置保持一致;

¡  选择组网方式为直连。

图1-5 增加设备信息配置页面

 

(6)      Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。

图1-6 设备信息列表

 

在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。

¡  填写端口组名;

¡  选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;

¡  其它参数采用缺省值。

图1-7 增加端口组信息配置页面

 

单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。

7. 验证配置结果

# 在AC 1上查看WLAN漫游中心的在线用户信息。

[AC1] display wlan roaming-center user all

Total user:1

MAC address               IP address               

000d-88f8-0eac            122.122.111.100    

# 在AC 1上查看WLAN漫游中心上的在线用户详细内容,包括授权信息和漫游轨迹。

[AC1] display wlan roaming-center user all verbose

MAC address: 000d-88f8-0eac

  IP address: 122.122.111.100

  Username: 1

  Authorization information:

User profile: abc

ACL number/name: N/A

Inbound CAR: N/A

Outbound CAR: N/A

    Session Timeout period: N/A

    Idle cut: N/A

  Roaming information:

    Online BAS IP: 192.168.0.10

    Online time: 12:01:12 01/02 2018 UTC

    Roaming count: 3

      BAS-IP                          Roam-in time

      192.168.0.11                    12:20:12 01/02 2018 UTC

      192.168.0.10                    12:18:12 01/02 2018 UTC

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们