• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-WLAN漫游配置指导

目录

02-WLAN漫游中心配置

本章节下载 02-WLAN漫游中心配置  (282.66 KB)

02-WLAN漫游中心配置


1 WLAN漫游中心

1.1  WLAN漫游中心简介

WLAN漫游中心是无线Portal用户漫游信息以及无线用户地址信息的管理中心,用于支持无线Portal用户漫游、WLAN地址安全以及客户端漫游后的IP地址恢复。

·     无线Portal用户漫游是指,Portal用户从一台AC漫游到另一台AC,无须重新进行认证即可在新AC上继续访问原来的网络资源。关于Portal支持AC间漫游的详细介绍,请参见“用户接入与认证配置指导”中的“Portal”。

·     WLAN地址安全是指,WLAN漫游中心与Client漫游中心相配合,对上线用户的MAC地址和IP地址进行检查,阻止仿冒用户上线。关于Client漫游中心的详细介绍,请参见“WLAN漫游配置指导”中的“Client漫游中心”。

·     IP地址恢复是指,客户端漫游到新的AP后,如果在一定时间内没有通过DHCP/DHCPv6/ND获取到新的IP地址,则使用漫游前的IP地址接入漫游后的网络。关于IP地址恢复功能,请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。

1.1.1  WLAN漫游中心支持Portal用户AC间漫游工作流程

WLAN漫游中心在网络中的位置如图1-1所示。

图1-1 无线Portal用户AC间漫游示意图

 

具体工作流程如下:

(1)     Client在AC 1上第一次上线。

AC 1首先向WLAN漫游中心发送用户查询报文,WLAN漫游中心未查到用户,会给AC 1发送查询回应报文通知没有查到用户,此时Client在AC 1上进行Portal认证流程,Portal认证成功后,AC 1会向WLAN漫游中心发送上线报文通知用户已经上线,上线报文中会携带AAA服务器下发的授权信息。WLAN漫游中心收到上线报文后,会建立一个用户表项,包含用户的IP地址、MAC地址、上线接入设备列表、授权信息、漫游信息,然后向AC 1发送上线回应报文。

(2)     Client漫游到AC 2。

Client从AC 1漫游到AC 2时,AC 2首先会向WLAN漫游中心发送用户查询报文,WLAN漫游中心查询到用户,会给AC 2发送查询回应报文通知查到用户,回应报文中携带Client在AC 1上线获得的授权信息。AC 2收到查询回应报文后,直接允许用户上线,不再进行Portal认证。Client在AC 2上线完成后,AC 2会向WLAN漫游中心发送上线报文。WLAN漫游中心收到上线报文后,更新用户表项中的漫游信息,并向AC 2发送上线回应报文。

(3)     Client下线。

¡     Client主动下线

无论Client漫游到网络中的任何设备,Client会在第一次上线的设备AC 1上开始下线流程。AC 1删除用户,同时向WLAN漫游中心发送用户下线报文,WLAN漫游中心收到用户下线报文后,会将AC 1从用户表项中的上线设备列表中删除,并向上线设备列表中的其他设备发送用户下线报文。AC 2收到WLAN漫游中心发送的用户下线报文,删除Portal用户表项,并向WLAN漫游中心发送用户下线回应报文。

¡     Client被强制下线

当Client在AC 2上被强制下线时,AC 2会向WLAN漫游中心发送用户下线报文,WLAN漫游中心收到用户下线报文后,会将AC 2从用户表项中的上线设备列表中删除,并向AC 2发送用户下线回应报文。

导致用户强制下线的原因主要包括:

-     管理员手工执行强制下线命令行。

-     AP下线。

-     用户的DHCP租约到期。

-     AAA授权属性中的用户闲置切断时间或用户会话超时时间超时。

-     在AAA服务器上直接下线。

1.1.2  WLAN地址安全工作流程

图1-2所示组网中,一台AC作为WLAN漫游中心,根据Client漫游中心提供的信息建立用户MAC地址表项和IP地址表项以及用户黑名单表项,并向Client漫游中心提供查询服务;另一台AC作为Client漫游中心,用来配置WLAN地址安全功能,对仿冒用户进行识别并拒绝仿冒用户上线。

图1-2 WLAN地址安全组网示意图

 

WLAN地址安全的具体工作流程如下:

(1)     Client漫游中心收到Client上线通知后,查询本地是否存在对应的MAC地址表项和IP地址表项:

¡     若不存在,则向WLAN漫游中心发送冲突查询报文:

-     如果WLAN漫游中心未查询到冲突,则向Client漫游中心回应检查通过报文,WLAN漫游中心和Client漫游中心会生成MAC地址表项和IP地址表项,然后对Client开始计费。

-     如果WLAN漫游中心查询到冲突,则检查仿冒黑名单。如果原用户和仿冒用户都在或都不在仿冒名单里,则向Client漫游中心发送回应报文,Client漫游中心会将两者加入本地黑名单,拒绝两者上线,如果只有一个在仿冒名单里,则拒绝仿冒名单里的用户上线。

¡     若存在,则执行以下流程:

-     如果查询到对应的IP地址表项,则判断用户名是否相同:用户名相同,则会把之前上线的Client踢下线,更新本地MAC地址表项和IP地址表项,并通知WLAN漫游中心更新相关表项,同时把之前的MAC地址加入MAC地址黑名单。用户名不相同,则会把两个都加入MAC地址黑名单,都会踢下线,在生存时间内都不允许上线。

-     如果查询到对应的MAC地址表项,则去WLAN漫游中心查询手动配置的地址仿冒用户黑名单表项,并将黑名单中的用户踢下线。当WLAN漫游中心查询到对应的MAC地址表项时会通知本地查询结果,并自动生成一个用户黑名单,用户黑名单包含了用户名和MAC地址,在表项老化之前会拒绝仿冒用户接入。

(2)     当Client的IP地址发生变化时,会再次触发上述查询流程。

1.2  WLAN漫游中心配置任务简介

1.2.1  Portal用户AC间漫游配置任务简介

·     开启WLAN漫游中心功能

·     指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号

·     (可选)配置WLAN漫游中心接收响应报文的超时时间

·     (可选)配置WLAN漫游中心发送用户下线报文的最大尝试次数

1.2.2  WLAN地址安全配置任务简介

·     开启WLAN漫游中心功能

·     开启WLAN地址安全功能

·     指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号

·     (可选)配置WLAN漫游中心接收响应报文的超时时间

·     (可选)配置WLAN地址安全表项的老化时间

·     (可选)配置地址仿冒用户黑名单

1.2.3  IP地址恢复配置任务简介

·     开启IP地址恢复功能

请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。

·     (可选)配置客户端IP地址缓存表项的老化时间

1.3  开启WLAN漫游中心功能

1. 配置限制和指导

Portal用户AC间漫游时,漫入和漫出的AC必须都开启Portal漫游中心功能且组网中有一台AC开启WLAN漫游中心功能,Portal用户才能在AC间漫游。关闭WLAN漫游中心功能,会清除所有无线Portal用户信息。

一个网络中只能配置一台AC作为WLAN漫游中心。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建WLAN漫游中心,并进入WLAN漫游中心视图。

wlan roaming-center

(3)     开启WLAN漫游中心功能。

roaming-center enable

缺省情况下,WLAN漫游中心功能处于关闭状态。

1.4  指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号

1. 功能简介

WLAN漫游中心上可以指定与Portal漫游中心或Client漫游中心进行报文交互的IP地址和UDP端口号。未在WLAN漫游中心上指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号时,WLAN漫游中心会处理所有Portal漫游中心或Client漫游中心发送的报文,允许所有Portal漫游中心或Client漫游中心接入,指定了Portal漫游中心或Client漫游中心的IP地址后,只有指定的Portal漫游中心或Client漫游中心可以接入,未指定的Portal漫游中心或Client漫游中心不允许接入,以防止非法设备接入对网络造成恶意攻击。

2. 配置限制和指导

WLAN漫游中心的UDP端口号需要和Portal漫游中心或Client漫游中心视图下配置的UDP端口号保持一致。

有Portal用户在线时,修改WLAN漫游中心的UDP端口号,可能会导致Portal漫游中心和WLAN漫游中心数据不同步,从而使用户漫游失败,此时用户需要重新进行Portal认证才能上线。

修改WLAN漫游中心的UDP端口号时,建议先关闭WLAN漫游中心功能,再重新开启,防止用户数据残留。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     指定WLAN漫游中心与Portal漫游中心或Client漫游中心交互报文的IP地址。

control-access { bas-ip ipv4-address | bas-ipv6 ipv6-address }

缺省情况下,未指定与Portal漫游中心或Client漫游中心交互报文的IP地址。

(4)     指定WLAN漫游中心与Portal漫游中心或Client漫游中心交互报文的UDP端口号。

port port-number

缺省情况下,与Portal漫游中心或Client漫游中心交互报文的UDP端口号为1088。

1.5  配置WLAN漫游中心接收响应报文的超时时间

1. 功能简介

在Portal用户AC间漫游组网中,Portal用户在下线时会通知所在的Portal漫游中心,然后由该Portal漫游中心通知WLAN漫游中心,再由WLAN漫游中心发送用户下线报文通知其它Portal漫游中心,其它Portal漫游中心收到报文后需要在超时时间内回复响应报文。若WLAN漫游中心在超时时间内未收到响应报文且超过Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数,则会删除超时定时器。

在WLAN地址安全组网中,WLAN漫游中心会给Client漫游中心发送MAC地址表项和IP地址表项老化查询请求报文,如果在超时时间内未收到响应报文,则MAC地址表项和IP地址表项会老化。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置WLAN漫游中心接收响应报文的超时时间。

response-timeout timeout

缺省情况下,WLAN漫游中心接收响应报文的超时时间为3秒。

1.6  配置WLAN漫游中心发送用户下线报文的最大尝试次数

1. 功能简介

Portal用户下线时,WLAN漫游中心会向该用户上线的Portal漫游中心以外的其它Portal漫游中心发送用户下线报文,其它Portal漫游中心收到报文后会发送响应报文,如果WLAN漫游中心未在超时时间(由response-timeout配置)内收到响应报文,会按照配置的最大尝试次数重新发送用户信息报文。如果达到最大尝试次数后,WLAN漫游中心仍未收到响应报文,则不会删除用户信息。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置WLAN漫游中心发送用户下线报文的最大尝试次数。

retry retries

缺省情况下,WLAN漫游中心发送用户下线报文的最大尝试次数为5次。

1.7  开启WLAN地址安全功能

1. 功能简介

设备开启WLAN地址安全功能后,会检查从无线服务模板下接入的用户是否存在MAC地址和IP地址仿冒的问题,如果判定用户地址被仿冒,则会将该用户加入黑名单,并将原用户和仿冒用户都踢下线。

2. 配置限制和指导

WLAN地址安全功能仅在无线用户接入认证模式为802.1X认证时生效。

WLAN地址安全功能仅对新上线的用户生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启地址安全功能。

address-security enable [ alarm-only ]

缺省情况下,地址安全功能处于关闭状态。

1.8  配置WLAN地址安全表项的老化时间

1. 功能简介

地址安全表项用来记录用户信息,包括用户MAC地址、IP地址和用户名等关键信息。此表项由Client漫游中心同步而来。关于Client漫游中心的详细介绍,请参见“WLAN漫游配置指导”中的“Client漫游中心”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置地址安全表项的老化时间。

address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }

缺省情况下,IPv4地址安全表项的老化时间为14400秒,IPv6地址安全表项的老化时间为604800秒。

1.9  配置地址仿冒用户黑名单

1. 功能简介

设备检测到仿冒MAC地址或IP地址后,会将原用户和仿冒用户都踢下线并产生日志信息,网络管理员通过日志信息发现仿冒后可以在WLAN漫游中心上将仿冒地址用户的用户名加入黑名单,让原用户重新上线,从而防止仿冒用户再次仿冒上线对原用户造成影响。

2. 配置限制和指导

最多可以配置5000条用户黑名单,超过后必须手动删除已有的黑名单才能配置新的黑名单。

地址仿冒用户黑名单必须配置在WLAN漫游中心上才能生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN地址安全视图。

wlan address-security

(3)     创建址仿冒用户黑名单。

spoofing-attack blacklist username username

缺省情况下,未创建地址仿冒用户黑名单。

1.10  配置客户端IP地址缓存表项的老化时间

1. 功能简介

开启IP地址恢复功能后,当客户端漫游离开原AP时,AC会将客户端的IP地址和MAC地址等信息上报给WLAN漫游中心,WLAN漫游中心将建立客户端IP地址缓存表项。当客户端IP地址缓存表项到达老化时间时,WLAN漫游中心将删除表项。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入WLAN漫游中心视图。

wlan roaming-center

(3)     配置客户端IP地址缓存表项的老化时间。

client ip-cache aging-time aging-time

缺省情况下,客户端IP地址缓存表项的老化时间为1800秒。

1.11  WLAN漫游中心显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN漫游中心的运行情况,通过查看显示信息验证配置的效果。

表1-1 WLAN漫游中心显示和维护

操作

命令

显示WLAN漫游中心下线用户的历史信息

display wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

显示WLAN漫游中心的报文统计信息

display wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ]

显示WLAN漫游中心的用户信息

display wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } [ verbose ]

清除WLAN漫游中心用户的历史信息

reset wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

清除WLAN漫游中心的报文统计信息

reset wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ]

清除WLAN漫游中心设备上的用户信息

reset wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address }

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们