02-WLAN漫游中心配置
本章节下载: 02-WLAN漫游中心配置 (379.82 KB)
WLAN漫游中心是无线用户认证、授权和漫游等信息的管理中心,主要用于用户需要在AC间无感知漫游的应用场景,即用户从一台AC漫游到另一台AC,无须重新进行认证即可在新AC上继续访问原来的网络资源。目前WLAN漫游中心仅支持使用无线Portal认证方式接入的用户进行AC间漫游。关于Portal支持AC间漫游的详细介绍,请参见“用户接入与认证配置指导”中的“Portal”。
WLAN漫游中心在网络中的位置如图1-1所示。
图1-1 WLAN漫游中心示意图
具体工作流程如下:
(1) 当Client上线时,AC会向WLAN漫游中心发送用户查询报文,WLAN漫游中心收到报文后会发送响应报文。
(2) 当Client上线后,AC会向WLAN漫游中心发送用户上线报文,如果Client为第一次上线,则WLAN漫游中心建立用户表项并发送上线响应报文,如果Client是漫游上线,则WLAN漫游中心更新用户表项并发送上线响应报文。
(3) 当Client下线时,WLAN漫游中心收到AC发送的下线报文后会删除用户表项,并发送下线回应报文。
WLAN漫游中心配置任务如下:
· (可选)配置WLAN漫游中心的UDP端口号
· (可选)配置WLAN漫游中心接收用户下线响应报文的超时时间
· (可选)配置WLAN漫游中心发送用户下线报文的最大尝试次数
· (可选)配置允许接入WLAN漫游中心的Portal漫游中心的IP地址
漫入和漫出的AC必须都开启Portal漫游中心功能且组网中有一台AC开启WLAN漫游中心功能,Portal用户才能在AC间漫游。一个网络中只能配置一台AC作为WLAN漫游中心。
关闭WLAN漫游中心功能,会清除所有无线Portal用户信息。
(1) 进入系统视图。
system-view
(2) 创建WLAN漫游中心,并进入WLAN漫游中心视图。
wlan roaming-center
(3) 开启WLAN漫游中心功能。
roaming-center enable
缺省情况下,WLAN漫游中心功能处于关闭状态。
此端口号用于Portal漫游中心与WLAN漫游中心进行报文交互。
WLAN漫游中心的UDP端口号需要和Portal漫游中心视图下配置的UDP端口号保持一致。
有Portal用户在线时,修改WLAN漫游中心的UDP端口号,可能会导致Portal漫游中心和WLAN漫游中心数据不同步,从而使用户漫游失败,此时用户需要重新进行Portal认证才能上线。
修改WLAN漫游中心的UDP端口号时,建议先关闭WLAN漫游中心功能,再重新开启,防止用户数据残留。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置WLAN漫游中心的UDP端口号。
port port-number
缺省情况下,WLAN漫游中心的UDP端口号为1088。
Portal用户在下线时会通知所在的Portal漫游中心,然后由该Portal漫游中心通知WLAN漫游中心,再由WLAN漫游中心发送用户下线报文通知其它Portal漫游中心,其它Portal漫游中心收到报文后需要在超时时间内回复响应报文。若WLAN漫游中心在超时时间内未收到响应报文且超过Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数,则会删除超时定时器。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置WLAN漫游中心接收用户下线响应报文的超时时间。
response-timeout timeout
缺省情况下,WLAN漫游中心接收用户下线响应报文的超时时间为3秒。
Portal用户下线时,WLAN漫游中心会向该用户上线的Portal漫游中心以外的其它Portal漫游中心发送用户下线报文,其它Portal漫游中心收到报文后会发送响应报文,如果WLAN漫游中心未在超时时间(由response-timeout配置)内收到响应报文,会按照配置的最大尝试次数重新发送用户信息报文。如果达到最大尝试次数后,WLAN漫游中心仍未收到响应报文,则不会删除用户信息。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置WLAN漫游中心发送用户下线报文的最大尝试次数。
retry retries
缺省情况下,WLAN漫游中心发送用户下线报文的最大尝试次数为5次。
未配置允许接入WLAN漫游中心的Portal漫游中心的IP地址时,WLAN漫游中心会处理所有Portal漫游中心发送的报文,允许所有Portal漫游中心接入,配置了允许接入WLAN漫游中心的Portal漫游中心的IP地址后,只有指定的Portal漫游中心可以接入,未指定的Portal漫游中心不允许接入,以防止非法设备接入对网络造成恶意攻击。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置允许接入WLAN漫游中心的Portal漫游中心的IP地址。
control-access { bas-ip ipv4-address | bas-ipv6 ipv6-address }
缺省情况下,未配置允许接入WLAN漫游中心的Portal漫游中心的IP地址。
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN漫游中心的运行情况,通过查看显示信息验证配置的效果。
表1-1 WLAN漫游中心显示和维护
操作 |
命令 |
显示WLAN漫游中心下线用户的历史信息 |
display wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
显示WLAN漫游中心的报文统计信息 |
display wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ] |
显示WLAN漫游中心的用户信息 |
display wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } [ verbose ] |
清除WLAN漫游中心用户的历史信息 |
reset wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
清除WLAN漫游中心的报文统计信息 |
reset wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ] |
清除WLAN漫游中心设备上的用户信息 |
reset wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
如图1-2所示,AC 1作为WLAN漫游中心,AC 2和AC 3作为Portal漫游中心,Client通过AP在AC 2上进行Portal认证并漫游到AC 3。要求:当Client漫游到AC 3时不再进行Portal认证,可直接在AC 3上线并访问相关资源。
# 创建WLAN漫游中心,并进入WLAN漫游中心视图。
<AC1> system-view
[AC1] wlan roaming-center
# 配置WLAN漫游中心的UDP端口号为40000。
[AC1-wlan-roaming-center] port 40000
# 开启WLAN漫游中心功能。
[AC1-wlan-roaming-center] roaming-center enable
[AC1-wlan-roaming-center] quit
(1) 配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AC之间的路由可达,具体配置步骤略。
(2) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
<AC2> system-view
[AC2] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC2-radius-rs1] primary authentication 192.168.0.112
[AC2-radius-rs1] primary accounting 192.168.0.112
[AC2-radius-rs1] key authentication simple radius
[AC2-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
# 使能RADIUS session control功能。
[AC2] radius session-control enable
(3) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的AAA方法。
[AC2-isp-dm1] authentication portal radius-scheme rs1
[AC2-isp-dm1] authorization portal radius-scheme rs1
[AC2-isp-dm1] accounting portal radius-scheme rs1
[AC2-isp-dm1] quit
# 配置系统缺省的ISP域dm1,所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[AC2] domain default enable dm1
(4) 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.0.111,密钥为明文portal,监听Portal报文的端口为50100。
[AC2] portal server newpt
[AC2-portal-server-newpt] ip 192.168.0.111 key simple portal
[AC2-portal-server-newpt] port 50100
[AC2-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例)
[AC2] portal web-server newpt
[AC2-portal-websvr-newpt] url http://192.168.0.111:8080/portal
[AC2-portal-websvr-newpt] quit
# 创建手工AP,名称为ap2,选择AP型号并配置序列号。
[AC2] wlan ap ap2 model WA4320i-ACN
[AC2-wlan-ap-ap2] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap2] quit
# 配置无线服务模板,SSID为portal_1。
[AC2] wlan service-template newst
[AC2–wlan-st-newst] ssid portal_1
# 在无线服务模板newst上使能直接方式的Portal认证。
[AC2–wlan-st-newst] portal enable method direct
# 在无线服务模板newst上引用Portal Web服务器newpt。
[AC2–wlan-st-newst] portal apply web-server newpt
# 在无线服务模板newst上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为192.168.0.110。
[AC2–wlan-st-newst] portal bas-ip 192.168.0.110
# 配置客户端数据报文转发位置为AP。
[AC2–wlan-st-newst] client forwarding-location ap
# 使能无线服务模板newst
[AC2–wlan-st-newst] service-template enable
[AC2–wlan-st-newst] quit
# 配置射频,指定工作信道为11。
[AC2] wlan ap ap2
[AC2-wlan-ap-ap2] radio 2
[AC2-wlan-ap-ap2-radio-2] channel 11
# 开启射频功能,将无线服务模板newst绑定到Radio2上,并绑定vlan2。
[AC2-wlan-ap-ap2-radio-2] radio enable
[AC2-wlan-ap-ap2-radio-2] service-template newst vlan 2
[AC2-wlan-ap-ap2-radio-2] quit
[AC2-wlan-ap-ap2] quit
(5) 配置Portal漫游中心
# 创建Portal漫游中心,并进入Portal漫游中心视图。
[AC2] portal roaming-center
# 指定WLAN漫游中心的IP地址。
[AC2-portal-roaming-center] ip 192.168.1.1
# 配置WLAN漫游中心的UDP端口号为40000。
[AC2-portal-roaming-center] port 40000
# 配置Portal漫游中心等待WLAN漫游中心响应报文的超时时间为5秒。
[AC2-portal-roaming-center] response-timeout 5
# 配置Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数为3次。
[AC2-portal-roaming-center] retry 3
# 开启Portal漫游中心功能。
[AC2-portal-roaming-center] roaming-center enable
[AC2-portal-roaming-center] quit
AC 3的配置与AC 2相同,请参见配置AC 2。
(1) 配置RADIUS服务器
完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行,具体配置步骤略。
(2) 配置Portal服务器
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC EIA 7.1(E0304)),说明Portal server的基本配置。
(3) 配置Portal认证服务器
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面。
¡ 根据实际组网情况调整以下参数,本例中使用缺省配置。
图1-3 Portal认证服务器配置页面
(4) 配置IP地址组
单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入Portal IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
¡ 填写IP地址组名;
¡ 输入起始地址和终止地址,输入的地址范围中应包含用户主机的IP地址;
¡ 选择业务分组,本例中使用缺省的“未分组”;
¡ 选择IP地址组的类型为“普通”。
图1-4 增加IP地址组配置页面
(5) 增加Portal设备
单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入Portal设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
¡ 填写设备名;
¡ 指定IP地址为与接入用户相连的设备接口IP;
¡ 选择是否支持逃生心跳功能和用户心跳功能,本例中选择否;
¡ 输入密钥,与接入设备AC上的配置保持一致;
¡ 选择组网方式为直连。
图1-5 增加设备信息配置页面
(6) Portal设备关联IP地址组
在Portal设备配置页面中的设备信息列表中,点击NAS设备的<端口组信息管理>链接,进入端口组信息配置页面。
图1-6 设备信息列表
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
¡ 填写端口组名;
¡ 选择IP地址组,用户接入网络时使用的IP地址必须属于所选的IP地址组;
¡ 其它参数采用缺省值。
图1-7 增加端口组信息配置页面
单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项,使以上Portal认证服务器配置生效。
# 在AC 1上查看WLAN漫游中心的在线用户信息。
[AC1] display wlan roaming-center user all
Total user:1
MAC address IP address
000d-88f8-0eac 122.122.111.100
# 在AC 1上查看WLAN漫游中心上的在线用户详细内容,包括授权信息和漫游轨迹。
[AC1] display wlan roaming-center user all verbose
MAC address: 000d-88f8-0eac
IP address: 122.122.111.100
Username: 1
Authorization information:
User profile: abc
ACL number/name: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Session Timeout period: N/A
Idle cut: N/A
Roaming information:
Online BAS IP: 192.168.0.10
Online time: 12:01:12 01/02 2018 UTC
Roaming count: 3
BAS-IP Roam-in time
192.168.0.11 12:20:12 01/02 2018 UTC
192.168.0.10 12:18:12 01/02 2018 UTC
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!