02-WLAN漫游中心配置
本章节下载: 02-WLAN漫游中心配置 (292.19 KB)
WLAN漫游中心是无线Portal用户漫游信息以及无线用户地址信息的管理中心,用于支持无线Portal用户漫游、WLAN地址安全以及客户端漫游后的IP地址恢复。
· 无线Portal用户漫游是指,Portal用户从一台AC漫游到另一台AC,无须重新进行认证即可在新AC上继续访问原来的网络资源。关于Portal支持AC间漫游的详细介绍,请参见“用户接入与认证配置指导”中的“Portal”。
· WLAN地址安全是指,WLAN漫游中心与Client漫游中心相配合,对上线用户的MAC地址和IP地址进行检查,阻止仿冒用户上线。关于Client漫游中心的详细介绍,请参见“WLAN漫游配置指导”中的“Client漫游中心”。
· IP地址恢复是指,客户端漫游到新的AP后,如果在一定时间内没有通过DHCP/DHCPv6/ND获取到新的IP地址,则使用漫游前的IP地址接入漫游后的网络。关于IP地址恢复功能,请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。
WLAN漫游中心在网络中的位置如图1-1所示。
图1-1 无线Portal用户AC间漫游示意图
具体工作流程如下:
(1) Client在AC 1上第一次上线。
AC 1首先向WLAN漫游中心发送用户查询报文,WLAN漫游中心未查到用户,会给AC 1发送查询回应报文通知没有查到用户,此时Client在AC 1上进行Portal认证流程,Portal认证成功后,AC 1会向WLAN漫游中心发送上线报文通知用户已经上线,上线报文中会携带AAA服务器下发的授权信息。WLAN漫游中心收到上线报文后,会建立一个用户表项,包含用户的IP地址、MAC地址、上线接入设备列表、授权信息、漫游信息,然后向AC 1发送上线回应报文。
(2) Client漫游到AC 2。
Client从AC 1漫游到AC 2时,AC 2首先会向WLAN漫游中心发送用户查询报文,WLAN漫游中心查询到用户,会给AC 2发送查询回应报文通知查到用户,回应报文中携带Client在AC 1上线获得的授权信息。AC 2收到查询回应报文后,直接允许用户上线,不再进行Portal认证。Client在AC 2上线完成后,AC 2会向WLAN漫游中心发送上线报文。WLAN漫游中心收到上线报文后,更新用户表项中的漫游信息,并向AC 2发送上线回应报文。
(3) Client下线。
¡ Client主动下线
无论Client漫游到网络中的任何设备,Client会在第一次上线的设备AC 1上开始下线流程。AC 1删除用户,同时向WLAN漫游中心发送用户下线报文,WLAN漫游中心收到用户下线报文后,会将AC 1从用户表项中的上线设备列表中删除,并向上线设备列表中的其他设备发送用户下线报文。AC 2收到WLAN漫游中心发送的用户下线报文,删除Portal用户表项,并向WLAN漫游中心发送用户下线回应报文。
¡ Client被强制下线
当Client在AC 2上被强制下线时,AC 2会向WLAN漫游中心发送用户下线报文,WLAN漫游中心收到用户下线报文后,会将AC 2从用户表项中的上线设备列表中删除,并向AC 2发送用户下线回应报文。
导致用户强制下线的原因主要包括:
- 管理员手工执行强制下线命令行。
- AP下线。
- 用户的DHCP租约到期。
- AAA授权属性中的用户闲置切断时间或用户会话超时时间超时。
- 在AAA服务器上直接下线。
如图1-2所示组网中,一台AC作为WLAN漫游中心,根据Client漫游中心提供的信息建立用户MAC地址表项和IP地址表项以及用户黑名单表项,并向Client漫游中心提供查询服务;另一台AC作为Client漫游中心,用来配置WLAN地址安全功能,对仿冒用户进行识别并拒绝仿冒用户上线。
图1-2 WLAN地址安全组网示意图
WLAN地址安全的具体工作流程如下:
(1) Client漫游中心收到Client上线通知后,查询本地是否存在对应的MAC地址表项和IP地址表项:
¡ 若不存在,则向WLAN漫游中心发送冲突查询报文:
- 如果WLAN漫游中心未查询到冲突,则向Client漫游中心回应检查通过报文,WLAN漫游中心和Client漫游中心会生成MAC地址表项和IP地址表项,然后对Client开始计费。
- 如果WLAN漫游中心查询到冲突,则检查仿冒黑名单。如果原用户和仿冒用户都在或都不在仿冒名单里,则向Client漫游中心发送回应报文,Client漫游中心会将两者加入本地黑名单,拒绝两者上线,如果只有一个在仿冒名单里,则拒绝仿冒名单里的用户上线。
¡ 若存在,则执行以下流程:
- 如果查询到对应的IP地址表项,则判断用户名是否相同:用户名相同,则会把之前上线的Client踢下线,更新本地MAC地址表项和IP地址表项,并通知WLAN漫游中心更新相关表项,同时把之前的MAC地址加入MAC地址黑名单。用户名不相同,则会把两个都加入MAC地址黑名单,都会踢下线,在生存时间内都不允许上线。
- 如果查询到对应的MAC地址表项,则去WLAN漫游中心查询手动配置的地址仿冒用户黑名单表项,并将黑名单中的用户踢下线。当WLAN漫游中心查询到对应的MAC地址表项时会通知本地查询结果,并自动生成一个用户黑名单,用户黑名单包含了用户名和MAC地址,在表项老化之前会拒绝仿冒用户接入。
(2) 当Client的IP地址发生变化时,会再次触发上述查询流程。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品系列 |
产品型号 |
产品代码 |
说明 |
WX1800H系列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
不支持 |
WX2500H系列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
不支持 |
MAK系列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
不支持 |
WX3000H系列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
不支持 |
WX3500H系列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
不支持 |
WX5500E系列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
EWP-WX5510E不支持 EWP-WX5540E支持 |
WX5500H系列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
AC插卡系列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0支持 EWPXM1WCME0支持 LSQM1WCMX20不支持 LSUM1WCMX20RT不支持 LSQM1WCMX40支持 LSUM1WCMX40RT支持 EWPXM2WCMD0F不支持 EWPXM1MAC0F支持 |
产品系列 |
产品型号 |
产品代码 |
说明 |
WX1800H系列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
不支持 |
WX3800H系列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
WX5800H系列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
· 指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号
· (可选)配置WLAN漫游中心接收响应报文的超时时间
· (可选)配置WLAN漫游中心发送用户下线报文的最大尝试次数
· 指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号
· (可选)配置WLAN漫游中心接收响应报文的超时时间
· (可选)配置WLAN地址安全表项的老化时间
· (可选)配置地址仿冒用户黑名单
· 开启IP地址恢复功能
请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。
· (可选)配置客户端IP地址缓存表项的老化时间
Portal用户AC间漫游时,漫入和漫出的AC必须都开启Portal漫游中心功能且组网中有一台AC开启WLAN漫游中心功能,Portal用户才能在AC间漫游。关闭WLAN漫游中心功能,会清除所有无线Portal用户信息。
一个网络中只能配置一台AC作为WLAN漫游中心。
(1) 进入系统视图。
system-view
(2) 创建WLAN漫游中心,并进入WLAN漫游中心视图。
wlan roaming-center
(3) 开启WLAN漫游中心功能。
roaming-center enable
缺省情况下,WLAN漫游中心功能处于关闭状态。
WLAN漫游中心上可以指定与Portal漫游中心或Client漫游中心进行报文交互的IP地址和UDP端口号。未在WLAN漫游中心上指定Portal漫游中心或Client漫游中心的IP地址和UDP端口号时,WLAN漫游中心会处理所有Portal漫游中心或Client漫游中心发送的报文,允许所有Portal漫游中心或Client漫游中心接入,指定了Portal漫游中心或Client漫游中心的IP地址后,只有指定的Portal漫游中心或Client漫游中心可以接入,未指定的Portal漫游中心或Client漫游中心不允许接入,以防止非法设备接入对网络造成恶意攻击。
WLAN漫游中心的UDP端口号需要和Portal漫游中心或Client漫游中心视图下配置的UDP端口号保持一致。
有Portal用户在线时,修改WLAN漫游中心的UDP端口号,可能会导致Portal漫游中心和WLAN漫游中心数据不同步,从而使用户漫游失败,此时用户需要重新进行Portal认证才能上线。
修改WLAN漫游中心的UDP端口号时,建议先关闭WLAN漫游中心功能,再重新开启,防止用户数据残留。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 指定WLAN漫游中心与Portal漫游中心或Client漫游中心交互报文的IP地址。
control-access { bas-ip ipv4-address | bas-ipv6 ipv6-address }
缺省情况下,未指定与Portal漫游中心或Client漫游中心交互报文的IP地址。
(4) 指定WLAN漫游中心与Portal漫游中心或Client漫游中心交互报文的UDP端口号。
port port-number
缺省情况下,与Portal漫游中心或Client漫游中心交互报文的UDP端口号为1088。
在Portal用户AC间漫游组网中,Portal用户在下线时会通知所在的Portal漫游中心,然后由该Portal漫游中心通知WLAN漫游中心,再由WLAN漫游中心发送用户下线报文通知其它Portal漫游中心,其它Portal漫游中心收到报文后需要在超时时间内回复响应报文。若WLAN漫游中心在超时时间内未收到响应报文且超过Portal漫游中心向WLAN漫游中心发送报文的最大尝试次数,则会删除超时定时器。
在WLAN地址安全组网中,WLAN漫游中心会给Client漫游中心发送MAC地址表项和IP地址表项老化查询请求报文,如果在超时时间内未收到响应报文,则MAC地址表项和IP地址表项会老化。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置WLAN漫游中心接收响应报文的超时时间。
response-timeout timeout
缺省情况下,WLAN漫游中心接收响应报文的超时时间为3秒。
Portal用户下线时,WLAN漫游中心会向该用户上线的Portal漫游中心以外的其它Portal漫游中心发送用户下线报文,其它Portal漫游中心收到报文后会发送响应报文,如果WLAN漫游中心未在超时时间(由response-timeout配置)内收到响应报文,会按照配置的最大尝试次数重新发送用户信息报文。如果达到最大尝试次数后,WLAN漫游中心仍未收到响应报文,则不会删除用户信息。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置WLAN漫游中心发送用户下线报文的最大尝试次数。
retry retries
缺省情况下,WLAN漫游中心发送用户下线报文的最大尝试次数为5次。
设备开启WLAN地址安全功能后,会检查从无线服务模板下接入的用户是否存在MAC地址和IP地址仿冒的问题,如果判定用户地址被仿冒,则会将该用户加入黑名单,并将原用户和仿冒用户都踢下线。
WLAN地址安全功能仅在无线用户接入认证模式为802.1X认证时生效。
WLAN地址安全功能仅对新上线的用户生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启地址安全功能。
address-security enable
缺省情况下,地址安全功能处于关闭状态。
地址安全表项用来记录用户信息,包括用户MAC地址、IP地址和用户名等关键信息。此表项由Client漫游中心同步而来。关于Client漫游中心的详细介绍,请参见“WLAN漫游配置指导”中的“Client漫游中心”。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置地址安全表项的老化时间。
address-security cache { ipv4-aging-time aging-time | ipv6-aging-time aging-time }
缺省情况下,IPv4地址安全表项的老化时间为14400秒,IPv6地址安全表项的老化时间为604800秒。
设备检测到仿冒MAC地址或IP地址后,会将原用户和仿冒用户都踢下线并产生日志信息,网络管理员通过日志信息发现仿冒后可以在WLAN漫游中心上将仿冒地址用户的用户名加入黑名单,让原用户重新上线,从而防止仿冒用户再次仿冒上线对原用户造成影响。
最多可以配置5000条用户黑名单,超过后必须手动删除已有的黑名单才能配置新的黑名单。
地址仿冒用户黑名单必须配置在WLAN漫游中心上才能生效。
(1) 进入系统视图。
system-view
(2) 进入WLAN地址安全视图。
wlan address-security
(3) 创建址仿冒用户黑名单。
spoofing-attack blacklist username username
缺省情况下,未创建地址仿冒用户黑名单。
开启IP地址恢复功能后,当客户端漫游离开原AP时,AC会将客户端的IP地址和MAC地址等信息上报给WLAN漫游中心,WLAN漫游中心将建立客户端IP地址缓存表项。当客户端IP地址缓存表项到达老化时间时,WLAN漫游中心将删除表项。
(1) 进入系统视图。
system-view
(2) 进入WLAN漫游中心视图。
wlan roaming-center
(3) 配置客户端IP地址缓存表项的老化时间。
client ip-cache aging-time aging-time
缺省情况下,客户端IP地址缓存表项的老化时间为1800秒。
完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN漫游中心的运行情况,通过查看显示信息验证配置的效果。
表1-1 WLAN漫游中心显示和维护
操作 |
命令 |
显示WLAN漫游中心下线用户的历史信息 |
display wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
显示WLAN漫游中心的报文统计信息 |
display wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ] |
显示WLAN漫游中心的用户信息 |
display wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } [ verbose ] |
清除WLAN漫游中心用户的历史信息 |
reset wlan roaming-center history user { all | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
清除WLAN漫游中心的报文统计信息 |
reset wlan roaming-center statistics packet [ bas-ip ipv4-address | bas-ipv6 ipv6-address ] |
清除WLAN漫游中心设备上的用户信息 |
reset wlan roaming-center user { all | bas-ip ipv4-address | bas-ipv6 ipv6-address | ip ipv4-address | ipv6 ipv6-address | mac mac-address } |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!