配置gmail邮箱格式

思科无线局域网Passpoint配置手册LastUpdated:August,2013概述本文档的目的是提供必要的Passpoint相关配置实例,用于演示采用WiFi联盟Passpoint认证的无线接入点和无线客户端的自动网络发现、选择和连接等功能.
通过使用该文档,你可以像配置Passpoint1.
0认证系统一样配置思科无线接入点/无线控制器.
无线接入点和终端设备要求使用通过WiFi联盟(WiFiAlliance)Passpoint认证的设备.
通过无线接入点支持IEEE802.
11u协议-进行网络信息和其他必要信息的收集,并通过使用ANQP(访问网络查询协议)来实现终端和网络侧信息的交互.
支持802.
11u的手机网络发现和选择是在预关联阶段从无线接入点/无线控制器收集的信息来进行判断的.
手机已经预先设置了相关的网络信息,如HomeOI(OrganizationIdentifier)、Domainname和Realmname等信息,并保存在终端设备的配置文件里面.
此外,终端设备可以从SIM/USIM卡上获取IMSI数据.
支持802.
11u的无线接入点可以提供各种信息列表,热点业主的详细资料,漫游合作伙伴名单,领域列表,3GPP手机信息和域.
领域列表列表还提供域名和其相关的EAP认证类型映射列表.
了解这些信息对于一个电话客户端是必不可少的,这样做可以保证正确的EAP认证交换发生.
目前已经有很多设备通过了Passpoint的认证,包括SamsungGalaxy-S4和IntelCentrino6230WiFi芯片组.
本文给出的相关配置是基于终端SamsungGalaxyS4(OSv4.
2.
2).
本文档中描述的程序的显著优点是提供了一种在支持Passpoint的手机客户端设备和无线接入点之间的无缝认证手段,这种认证可以在运营商内或跨运营商之间进行.
通过这种无需干预的过程,最终用户将体验如同3G或蜂窝服务一样的网络连接.
Passpoint的一个好处是加强了对于非法无线接入点的安全性.
在网络发现的过程中,服务提供商的合法无线接入点会进行身份认证以便可以阻止来自非法无线接入点的电话客户端的加入.
验证过程中,无线接入点的信息会出现在特定的Passpoint装置中以防止无意的连接,如ad-hoc和其他恶意无线接入点广播的错误SSID标记.
Passpoint系统介绍的其它几项技术和方法可以让企业中的WPA2安全方式更强大.
GTK随机化可以用来缓解WPA2-"hole-196"的脆弱性,它被更广泛的应用于在公共WiFi热点屏蔽P2P流量.
本文档中描述的配置列表按顺序写明了必要的证明和测试步骤.
在这个演示中,对于WLAN的配置,包括无线控制器的配置,单个和多个SSID的配置将都会涉及必要的Passpoint信息.
这些额外的Passpoint信息会在信标或探针的响应信息中进行添加,这样拥有Passpoint功能的手机客户端设备可以通过检测和查询无线接入点以获取进一步的信息.
在查询过程中,一种被称为ANQP(AccessNetworkQueryProtocol-接入网络查询协议)的标准被遵循.
该协议通过标准的2路或4路握手过程从无线接入点和ANQP服务器中获得足够的信息,以确定手机客户端设备可以验证和关联的最佳无线接入点.
这个过程被称为GAS(GenericAdvertisementService-通用通告服务)协议,该标准在IEEE802.
11u中定义.
图1基本的Passpoint工作行为在查询过程中,手机客户端设备将收集更多的信息而不仅仅是SSID,如实际地点的名称,实际热点运营商的名称和领域名称,这些都将作为主要元素可用于识别其认证资格.
还有许多其他的参数和信息可以用来作为标准来启动从电话客户端的移动设备的自动连接.
在这份文件中,我们会涉及不同的使用情况和详细配置.
手机客户端设备通过读取信标或探针中802.
11u/HotSpot2.
0关于无线接入点能力的响应来开始自动发现过程.
一旦手机客户端设备识别并确定邻接无线接入点的Passpoint能力,手机客户端设备会开始一个ANQP查询以得到3GPP蜂窝信息(3GPPCI)或领域名称和域名信息.
3GPPCI和领域名称将显示服务提供商列表,手机客户端装置可以以此发起认证请求.
该ANQP响应还包含一个域名列表.
如果场地热点中响应的无线接入点是为家庭网络或访问操作提供信息(漫游)网络,那么将会提供域名列表信息.
一旦手机客户端设备收集所需的所有信息,如果手机客户端装置成功地通过自己的连接规则,该规则在Passpoint中定义的配置文件在其用户目录下,其文件名为"cred.
conf",手机客户端设备使用802.
1x/EAP认证开始建立一个到无线接入点的安全连接.
在这个例子中,"cred.
conf"文件名是三星GalaxyS4所独有的.
如果有任何其他Passpoint1.
0认证设备,它将会有一个不同的名称或格式的客户端配置文件.
需求下面的主题包含使用思科无线接入点/无线控制器基础设施时的设备度量,图纸,配置,和必要的Passpoint配置步骤.
Passpoint已测试设备设备型号支持的设备软件注意事项无线局域网控制器CT55087.
3.
112以及更高版本本文档基于的软件版本是WISM27.
5CT8510CT7510CT2504vWLC无线接入点LAP1042,同上同时支持本地模式和FlexConnect模式(连接模式)LAP1142,CAP1602,CAP2600,CAP3502,CAP3602,CAP1552电话客户端设备Samsung默认操作系统安卓操作系统4.
2.
2Galaxy-S4系统设计本章介绍一些组网方式用于Passpoint的演示.
漫游-认证通过第三方的ClearingHouse图2通过Passpoint来进行访客网络连接在访客网络的情况下,Passpoint配置的无线控制器通过多种方式可以获得在热点的漫游合作伙伴网络的网络信息和自己的网络信息.
Realm名称是典型的实现方式,一个SSID可以支持多个Realm(最多32个),每个Realm可以有不同的注册用户.
如果用户有SIM卡或者主动订阅的USIM卡,用户设备可以查询3GPP.
终端用户还可以通过3GPP运营商标识符来获取漫游合作伙伴的信息,该标识符是MCC(移动国家代码)和MNC(移动网络代码)组合而成.
在这种类型的用户的情况下,802.
11uIES(互通信息元素和漫游联盟信息元素)是最常被用到的.
本地网络的自动发现和关联(非运营商漫游)图3使用Passpoint进行家庭网络连接本场景适用于非漫游的情况,Passpoint主要用于多个AP环境下AP的选择过程.
这个无线接入点选择过程可以提供更好的无线连接(连接的用户数量少,利用率量低的),回程速度和容量,网络服务(IPSecVPN,VOIP等等)的可用性.
在以上的应用场景中,HS2.
0IE是最经常使用的信息.
配置场景1–第三方clearinghouse配置概述此配置使用第三方ClearingHouse的私网地址.
管理员可能需要配置VPN网络来连接第三方的中心网络.
如果您希望快速了解该配置,可以点击初始化无线控制器配置手册无线控制器配置目前CiscoPasspoint的配置是基于无线控制器的架构实现的,这种架构使用无线控制器来作为集中化配置和管理无线接入点的中心.
所有的配置可以通过无线控制器或PI来实现配置可以通过Console/Telnet/SSH/GUI或NMS(使用思科PrimeInfrastructure1.
4及以上版本)来实现.
在本指南中,我们将使用CLI和网页的接口说明如何配置思科无线基础设施来配置Passpoint设置.
图4本手册使用支持Passpoint的思科无线接入点/无线控制器WLC1configwlancreate2profile_hs20HS20_TEST//此命令用于创建新的WLAN,SSID名为"HS20_TEST",INDEX为2configwlanhotspotdot11uenable2//此命令用于启动802.
11u服务configwlanhotspoths2enable2//此命令用于启动Hotspot20服务configwlanhotspotdot11u3gpp-infoadd13100902//此命令用于配置3GPPCI来做EAP-SIM认证.
为WLAN2的本地和漫游网络添加MCC-MNCconfigwlanhotspotdot11uroam-oiadd210040961//此命令用于在Beacon和Proberesponse中增加OI(OrganizationalIdentifier)configwlanhotspotdot11unai-realmaddrealm-name21realm.
com//此命令用于在WLAN2上增加Realm的信息configwlanhotspotdot11unai-realmaddeap-method2113//此命令用于增加EAP的认证信息,对于每个Realm支持哪些EAP的认证类型.
configwlanhotspotdot11unai-realmaddeap-method2126//此命令用于增加EAP的认证信息,对于每个Realm支持哪些EAP的认证类型.
configwlanhotspotdot11unai-realmaddauth-method212114//此命令用于EAP配置method参数,比如是否适用innerauthmethod和ms-chapv2configwlanhotspotdot11udomainadd21home.
com//为WLAN2添加域名"home.
com"configwlanhotspoths2operator-nameadd21"ACME-operator"eng//添加操作员名字"NGH-operator"configwlanenable1//激活WLAN1configradiusauthadd1192.
168.
1.
111812ascii12345678//添加RADIUS认证服务器configradiusacctadd1192.
168.
1.
111813ascii12345678//添加RADIUS计费服务器思科无线局域网基础设施支持Passpoint认证的802.
11uIES和HotSpot2.
0IES.
当前的目标电话客户端会通过信标和探针的响应来检测自身的11uIE以及hotspot2.
0IE的体验度以展开进一步的ANQP进度.
如果在信标上11u和hotspot2.
0的IE信息可以通过设备的自动连接策略,设备可以不通过ANQP步骤就进入802.
1x认证流程,进而连接到一个AP上.
例如,如果普通HESSID是在单一的移动域中使用,该装置不需要为位于同一地区的每个无线接入点使用ANQP查询.
(CiscoController)>configwlancreate2profile_hs20HS20_TEST这条命令会创建一个拥有"HS20_TEST"SSID的WLAN.
这个新的WLAN将会被赋予WLAN2作为索引以方便被后期的命令所应用.
SSID"HS20_TEST"在被网络管理员显示的使用命令configwlanenable2或在网页GUI界面,在WLANs>Edit启用该特性之前,都不能传输广播(CiscoController)>configwlanhotspotdot11uenable2这条命令为WLAN索引2开启802.
11u的服务.
在开启hotspot2服务之前必须要开启802.
11u服务(CiscoController)>configwlanhotspoths2enable1ThiscommandwillenableHotSpot2servicesinWLANindex2.
该命令会开启WLAN索引2的hotspot2服务(CiscoController)>configwlanhotspotdot11u3gpp-infoadd13100902该命令会给WLAN索引2添加3GPP蜂窝信息;在该例子中,使用310作为移动国家代码同时将090映射到移动网络代码.
MCC和MNC对于每一个运营商来说是一个唯一值,同时在手机客户端设备中可以使用UICC卡来访问.
手机客户端设备将从UICC卡读取本地PLMN数,并从PLMN提取MCC/MNC信息.
手机客户端设备将使用HotSpot2.
0ANQP将其MCC/MNC数量与无线接入点的3GPP蜂窝信息进行对比,随后选择一个无线接入点发起EAP-SIM认证.
如果MNC只由两个数字组成,那么在您的配置中使用2个数字替代3个数字.
例如,如果MCC/MNC是520/99,那么使用99来作为MNC的区域代码.
当手机客户端设备找到一个匹配的3GPP-CI值,它将会根据EAP-SM或AKA来设置自己的配置信息.
(CiscoController)>configwlanhotspotdot11uroam-oiadd210040961这个命令将添加OI(组织识别)信息到信标和探测响应.
本例中使用"004096"来作为一个例子,该值对于一个操作来说是唯一的OI的信息会被从IEEE注册机关注册,并且可以从IEEE首页进行提交(http://standards.
ieee.
org/develop/regauth/oui/public.
html)拥有一个OI值并不是一个强制性条件;它是从手机客户端设备选择另一个无线接入点的条件(CiscoController)>configwlanhotspotdot11unai-realmaddrealm-name21realm.
com这个命令将添加域名信息到NAI服务器列表.
在该例中使用的域名是"realm.
com".
一旦手机客户端装置从无线接入点使用ANQP手机域名信息,手机客户端设备将会同自己设备HS2.
0描述中的域名进行比较.
域名对于每个操作员来说是唯一的,通常将"@"分隔符后面的部分作为用户部分进行认证.
一个单一的SSID可以有多个定义的域名,最大可达32个.
域名在配置时不从域名列表中区分本地域名和漫游域名.
该域名将随着EAP认证类型一起发送,该信息将会作为漫游联盟的信息元素,会在下一个命令中进行定义.
(CiscoController)>configwlanhotspotdot11unai-realmaddeap-method2113这个命令将添加EAP身份验证信息,会根据每一个域名提供EAP协议所需要的信息.
这个特定的命令可以为第二WLAN索引,第一域名添加EAP-TLS协议,作为第一个EAP方法.
(CiscoController)>configwlanhotspotdot11unai-realmaddeap-method2126这个命令将添加EAP身份验证信息,这个信息将会被根据域名给予到对应的EAP协议.
这个特定的命令可以为第二WLAN索引,第一种域名索引添加EAP-TTLS协议,作为第二个方法.
(CiscoController)>configwlanhotspotdot11unai-realmaddauth-method212114这个命令将添加认证方法的信息,将这个需要的认证信息类型给到对应的EAP协议.
这个特定的命令配置MS-CHAPv2认证类型到第二WLAN索引,第一域名索引,EAP-TTLS作为EAP方法(2),第一认证索引,非EAP内部的方法(4).
(CiscoController)>configwlanhotspotdot11udomainadd21home.
com为本地服务提供商添加"home.
com"域名.
这个将会被用来确认当前无线接入点连接是属于本地网络还是漫游网络(CiscoController)>configwlanhotspoths2operator-nameadd21"ACME-operator"eng为HotSpot2.
0IE添加操作员名字.
如果管理员想添加空格字符,使用双引号标记操作者的名称字段.
另外,语言代码可以是2或3字节大小.
(CiscoController)>configwlanenable2最后,通过启用WLAN来启动服务同样的,也可以使用思科无线控制器的GUI界面来完成上述配置.
步骤1在WLANs选项卡中访问802.
11u配置页面步骤2开启802.
11u步骤3在802.
11uIE配置页面中,在802.
11uGeneralParameters选项卡下,选择[NetworkType]然后点击Apply步骤4配置3GPPCI,Realm以及Domainname信息,之后单击Apply步骤5为Realm配置EAP步骤6在802.
11uGUI界面中添加EAP协议和认证类型电话设备我们将推荐使用WFAPasspoint认证过的手机终端.
本文中我们将使用Samsung-S4作为客户端设备.
终端设备通过两种方法获取网络信息.
第一个获取信息的地方是UICC卡.
UICC卡拥有IMSI信息,这个信息包括一个15个数字长度的MCC和MNC.
这个数字将被提取并用于3GPPCI进行比较.
可选地,管理员可以手动配置3GPP-CI提供的手机内Passpoint配置文件.
第二的位置是一个静态的域名定义文件,位于"/storage/emulated/0".
它在默认情况下没有被保存,该cred.
conf文件必须使用文本编辑器或类似工具来单独创建.
目前来说,自动创建默认配置还不支持.
下面是一个在SGS4上一个典型的基于Passpoint/EAP-SIM的认证配置文件"cred.
conf"cred={imsi=""eap=SIM}有几种方法生成此文件"cred.
conf"并保存到/storage/emulated/0目录.
方法1这种方法需要一台windowsPC机.
您必须通过USB连接电缆将电话和您的PC连接在一起.
将电话配置为可移动硬盘.
一旦当电话被识别,拷贝"cred.
conf"到电话的根目录中.
方法2在安卓手机上使用文本编辑器,直接在手机终端上创建"cred.
conf"文件,然后直接保存在您的手机设备上.
1.
到Google的"playstore"上搜索文本编辑器2.
下载"JotaTextEditor"或其他建议文本编辑器3.
打开文本编辑器并输入在屏幕上显示的文本信息4.
在/storage/emulated/0文件夹中保存该文件并重命名为"cred.
conf"方法31.
在另一台设备上写一个配置文件,例如PC机或苹果笔记本,随后以"cred.
conf"文件另存为.
2.
将"cred.
conf"文件通过e-mail的方式发送到电话上.
3.
通过默认Gmail阅读器或电子邮件阅读器打开收到的邮件文件夹,单击在手机设备保存文件.
使用默认的存储地址"/storage/emulated/0/Download".
4.
选择"myfiles"应用程序5.
点击AllFiles>Download然后选择"cred.
conf".
6.
点击您电话屏幕右上角的"="图标或长按"cred.
conf"文件.
选择复制或移动选项7.
选择"/storage/emulated/0"文件夹8.
点击"Pastehere"或"Movehere"按钮来完成复制或移动流程方法41.
同方法3,可以使用外部的编辑器来创建配置文件,并另存为"cred.
conf"2.
将文件保存到外部存储卡中(迷你SD卡)3.
将迷你SD卡插入到电话设备中4.
运行"myfiles"应用程序5.
找到目录/extSdCard并确认"cred.
conf"文件是否已经复制完成(该文件已经在步骤2中复制到外部存储卡中).
6.
长按"cred.
conf"文件直到显示copy菜单7.
选择"copy"并粘贴文件到父目录/sdcard0如果Passpoint系统被配置为EAP-TLS,CA证书和用户证书必须使用SD卡来进行复制.
该文件还可以发送电子邮件,因为PKCS#12SGS4支持多个证书编码格式.
推荐使用"p.
12"格式的证书场景2—不使用第三方AAA服务器的独立演示配置本主题不包括运营商使用第三方AAA服务器的情况使用思科CAR来配置AAA以RADIUS电话的方式添加WLC设备以RADUIS电话的方式来添加WLC设备CARcd/radius/phones//cd到RADIUS电话选项addhs20wlc//以RADIUS电话的方式添加无线控制器设备cdhs20wlc///cd到安装目录IPAddress=10.
11.
23.
102//配置无线控制器管理IPSharedsecret=思科123//radius密码save//保存配置以远程服务器的方式定义ITPMAP网关以远程服务器的方式定义ITPMAP网关CARcd/Radius/RemoteServers//cd到远端AAA服务器,指向ITPMAPGW路由器additp1//添加一个叫做itp1的网关cditp1///cd到itp1来安装Protocol=map-gateway//设置协议为map-gatewayIPAddress=10.
11.
24.
11//设置map-gateway的IP地址Port=12345ReactivateTimerInterval=300000Sharedsecret=itpmap1MaxTries=3InitialTimeout=45000save定义EAP-SIM服务TodefineEAP-SIMservice:CARcd.
.
addeap-simcdeap-simsetTypeeap-simcdRemoteServers/add1itp1save定义基于认证的EAP-SIM域名规则定义基于认证的EAP-SIM域名规则CARcd/radius/Rules//定位到Rules目录addsim-operator1.
com使用add命令来添加新的规则名称setScriptExecRealmRule//定义ExecRealm规则cdAttributes///cd到Attribute目录SetAuthentication-serviceeap-sim//定义eap-sim作为认证方式SetAuthorization-serviceauth-local//定义local为认证方式Setrealm@sim-operator1.
com//设置域名save//保存配置基于认证定义EAP-SIM需要的策略TodefinepolicyforEAP-SIMRealmbasedauthentication基于认证定义EAP-SIM需要的策略:CARcd/radius/PoliciesaddSelectPolicy//AddedPolicy添加策略SetGroupingsim-operator1.
com//Setgroupingtothenameofrules为规则设置组save//saveconfiguration保存配置定义EAP-SIM订阅者定义EAP-SIM订阅者:CARcd/Radius/UserLists/subscribers-local//cd到localsubscriberadd1102030405060708//基于IMSI添加新的用户名setAllowNullPasswordTRUE//为EAP-SIM用户允许空密码save//保存配置为每一个用户重复以上的步骤无线控制器配置和AAAConfigurationusingCiscoCAR配置相同,但是针对本地分配的IP地址可以不一样电话配置电话上Passpoint配置缺省是关闭的.
如果需要打开,需要进入Setting,选择WifiOption,点击Menu–(Home左侧),启动Passpoint.
1.
根据操作员的漫游需求编辑完成"cred.
conf",并拷贝到/sdcard0/目录下.
2.
电话设备使用"cred.
conf"文件来做EAP-SIM认证3.
EAP-TLS/TTLS需要预先定义证书,同时需要cred.
conf文件已经包括用户的ID和密码,文件插入的方法是一样的实际导入的证书可以通过手动认证副本做安装或使用Gmail在您的手机导入证书使用手机中的Gmaila.
把证书以方式发到手机注册的Gmail邮箱.
b.
从您的安卓手机上打开Gmail邮箱并读出带有证书的邮件.
c.
点击[View]d.
如果存在证书那么输入证书口令.
此外证书可以通过[Settings]>[More]>[Security]>[TrustedCredential]>Select[User]Tab的方式进行确认e.
管理员需要使安全PIN码,如果证书是第一次加入,那么需要输入代码使用microSD卡手动复制证书程序这个操作可以通过外部的迷你SD卡来完成a.
外部迷你SD卡可以通过"MyFiles"中的"SDmemorycard"来访问b.
选择EAP-TLS证书,将其复制到/storage/emulated/0folder文件夹下c.
转移到目录[Settings]>[more]>[Security]>[Installfromdevicestorage]4.
一旦当所有的设置都配置完毕,打开WiFi接口.
如果电话设备自动强制连接到HotSpot2.
0无线接入点上,它将会自动运行包括在"cred.
conf"中的802.
1x认证程序.
除非用户成功通过身份验证连接,电话设备将不显示任何特定的启用了Passpoint-enabledSSID标识符5.
在任何时间,如果用户关闭了Passpoint特性,那么SSID的自动连接将会被断开6.
如果您通过高级菜单点击了[Passpoint]切换菜单,那么电话设备将会显示已经扫描到的PasspointAP特定案例的配置手册开启设备打开Wi-Fi无线功能EAP-SIM的预配置案例当配置电话设备时,您必须要按照如下的格式创建"cred.
conf"文件cred={imsi="mncmcc-simno"eg.
domain=home.
com}cred={imsi="19454-simno"domain=home.
com}"mncmcc"部分由两位或三位数的MNC和三位数的MCC组成.
在MNCMCC数字后,加上"–(DASH)simno(字符串:"simno").
可选的,"cred.
conf"文件可以用来验证漫游域的定义,该域通过比较从无线接入点过来的ANQP响应信息和电话与配置中的域名信息来验证漫游网络.
如果从无线接入点域名(由ANQP查询得到的结果)与cred.
conf文件的域名匹配,无线接入点将被视为内部网络.
如果imsi值相同但是域名不同,这将会被认为是在访问漫游网络.
MCC和MNC的序列在无线接入点/无线控制器的3GPPCI信息标签是相反的.
无线控制器无线控制器必须知道被测试SIM卡的3GPPCI信息.
要获得此信息,管理员必须加载实体电话上的IMSI读取器.
IMSI读取器可以从谷歌商店中通过搜索关键字"IMSI"来找到.
搜索结果显示之后,选择"KnowYourPhone"应用程序在上面的例子中,"454"被识别为移动国家代码(MNC),同时"19"被识别为移动网络代码(MCC).
这个值可以通过在手机客户端设备的Passpoint的模块进行加载,该值将会被作为ANQP查询的结果用来和3GPPCI进行比较.
无线控制器可以配置匹配的MCC和MNC值,您可以在802.
11u的配置界面中在3GPPCI选项卡中配置MCC为454、MNC为19.
通过CLI进行配置使用命令:(CiscoController)>configwlanhotspotdot11u3gpp-infoadd1454191一旦手机客户端设备连接成功,一个"连接"消息将通过Passpoint显示.
为EAP-AKA配置SIMConfigurationfromPhone从电话端进行配置EAP-AKA与EAP-SIM并没有太多的不同.
当您从电话端进行配置时,您必须要使用如下的格式创建"cred.
conf"文件cred={imsi="mncmcc-simno"eg.
eap=AKAdomain=home.
com}cred={imsi="19454-simno"eap=AKAdomain=home.
com}"mncmcc"部分由两位或三位数的MNC和三位数的MCC组成.
在MNCMCC数字后,加上"–(DASH)simno(字符串:"simno").
电话的IMSI顺序是MNC-MCC.
无线控制器的11u3GPPCI顺序是MCC-MNC.
与EAP-SIM类似,"cred.
conf"文件可选的包含域定义信息,可通过比较电话中的配置信息以及从无线接入点的ANQP响应信息中包括的域名信息来验证漫游(游客)网络EAP-TLS通过电话端进行配置手机客户端设备必须有预配置证书–CA证书(如果是在测试环境中,可以使用私人CA或安卓手机上的默认CA根证书),服务器证书,证书和一个电话.
安卓操作系统4.
1.
2版本可以支持*.
p12,*.
pfxand*.
cer格式的证书文件作为导入的证书.
单个*.
p12文件可以打包成多个证书和密钥文件"cred.
conf"文件必须采用不同类型的证书:cred={username="user-name"realm="realm.
com"domain="home.
com"ca_cert="keystore://CACERT_certificate-name-installed"phone_cert="keystore://USRCERT_certificate-name-installed"private_key="keystore://USRPKEY_privatekey-name-used"}通过无线控制器进行配置网络管理员可以使用同WLCConfiguration一样的配置步骤通过GUI配置转移至[WLANs][802.
11u]安装界面通过CLI配置CiscoController)>configwlanhotspotdot11unai-realmaddrealm-name11realm.
com(CiscoController)>configwlanhotspotdot11unai-realmaddeap-method1113EAP-TTLS通过电话端进行配置手机客户端设备必须有预配置证书–CA证书(如果是在测试环境中,可以使用私人CA或安卓手机上的默认CA根证书),服务器证书,证书和一个电话.
cred={username="user-name"password="password"realm="realm.
com"domain="home.
com"#mandatoryforhomeidentificationca_cert="keystore://CACERT_certificate-name-installed"#强制作为本地表示}通过无线控制器进行配置网络管理员可以使用同WLCConfiguration一样的配置步骤通过GUI进行配置转移至[WLANs][802.
11u]安装界面通过CLI进行配置按照同WLCConfiguration一样的配置步骤完成(CiscoController)>configwlanhotspotdot11unai-realmaddeap-method1126//在域名中添加EAP-TTLS作为EAP-method的类型(CiscoController)>configwlanhotspotdot11unai-realmaddauth-method112114//在域名中添加MS-CHAPv2作为EAP-TTLSEAP-method的认证方式非配置EAP-SIM从电话端进行配置在假定使用SIM卡的情况下,手机客户端设备通过SIM卡读取3GPP蜂窝信息(3GPPCI)并自动填写必要的MCC/MNC信息.
手机客户端设备将使用SIM卡的信息,并与无线接入点中的3GPPCIANQP查询信息进行比较.
没有明确的或预先定义在手机客户端设备的配置文件所需的IMSI信息.
如果无线接入点响应相同的3GPPCI值,手机客户端设备会自动连接EAP-SIM.
因为这里没有定义任何本地域,所有的自动连接都将被认为是漫游网络目前,手机客户端设备不从现有包中生成默认的"cred.
conf".
最基本的手动配置仍然需要以下是"cred.
conf"文件所需要的内容:cred={imsi=""eap=SIM}从无线控制器进行配置与前一篇测试案例相同–WLCConfiguration.
非配置EAP-AKAEAP-AKA和EAP-SIM的配置案例几乎类似,如下所示的EAP类型的定义是唯一的不同之处:cred={imsi=""eap=AKA}本地网络连接的结果图漫游网络连接的结果图在访问网络上的本地网络优先级设置(不需要提供域名)电话配置由于不需要预配置域名,所以需要使用预先配置域名领域验证HSP或访问网络.
无线控制器配置创建两个启用了Passpoint的SSID,在这两个SSID上配置相同的3GPPCI.
您必须在其中一个SSID上定义"home.
com"为指定域名,而另一个不需要配置域名.
拥有"home.
com"域名的SSID将会变为HSP,而另一个没有域名的SSID将会成为访问网络.
对目前话机的观察,手机客户端设备即使在HSP网络可以重新上线访问时也不会断开到访问网络的连接调试通过无线控制器调试命令通过使用以下命令在无线控制器上进行调试(CiscoController)>debughotspoteventenable//显示HS2.
0的事件调试信息(CiscoController)>debughotspotpacketenable//显示HS2.
0的数据包调试信息电话终端上的DebugStep1.
管理员需要先安装JavaSDK,然后安装DDMS.
Step2.
AndroidSDK需要安装DDMS(DalvikDebugMonitorServer),从Android开发网站下载安装DDMS.
DDMS是Android的调试工具包括AndroidSDK.
http://developer.
android.
com/sdk/index.
htmlStep3.
连接Samsung终端到已安装SDK的PC(MAC)如果电话显示未连接,确认USBdebug选项enabled[setting][Developeroptions]Step4.
选择Phone并EnableDDMSStep5.
增加Filter启动DDMSa.
WindowsPC\AppData\Local\Android\android-sdk\tools>ddms.
batb.
MACOS/Applications/android-sdk-macosx/tools/ddms.
bin原文链接:http://www.
cisco.
com/en/US/docs/wireless/controller/technotes/7.
5/Hotspot_057.
html翻译人:姚远校对:谢清翻译时间:2013年9月