配置wlan无线上网设置

wlan无线上网设置  时间:2021-05-18  阅读:()
i目录1WLAN接入配置1-11.
1WLAN接入简介·1-11.
1.
1无线扫描·1-11.
1.
2关联·1-31.
2WLAN客户端接入控制1-31.
2.
1基于AP组的接入控制·1-31.
2.
2基于SSID的接入控制·1-41.
2.
3基于名单的接入控制·1-51.
3WLAN接入配置限制和指导1-61.
4WLAN接入配置任务简介1-61.
5配置WLAN接入·1-71.
5.
1创建无线服务模板·1-71.
5.
2配置SSID·1-81.
5.
3配置描述信息·1-81.
5.
4配置客户端的VLAN分配方式1-91.
5.
5配置客户端Cache老化时间1-91.
5.
6配置客户端关联位置·1-91.
5.
7配置客户端数据报文转发位置1-101.
5.
8开启客户端数据报文转发功能1-101.
5.
9配置客户端数据报文在CAPWAP隧道中的封装格式1-111.
5.
10开启快速关联功能1-111.
5.
11开启无线服务模板1-111.
5.
12绑定无线服务模板1-121.
5.
13配置区域码1-131.
5.
14配置AP不回应客户端广播Proberequest报文·1-141.
5.
15配置客户端空闲时间1-141.
5.
16配置客户端保活功能1-151.
5.
17配置AP不继承AP组下绑定的指定无线服务模板·1-151.
5.
18配置网络接入服务器标识1-161.
5.
19配置对未知客户端数据报文处理方式1-171.
5.
20配置无线转发策略1-171.
5.
21配置允许用户接入的AP组1-191.
5.
22配置允许用户接入的SSID名称1-19ii1.
5.
23配置白名单1-191.
5.
24配置静态黑名单1-201.
5.
25配置动态黑名单1-201.
5.
26配置客户端二次接入认证的时间间隔1-201.
6指定AP的配置文件·1-211.
7开启告警功能·1-221.
8WLAN接入显示和维护1-221.
9WLAN接入典型配置举例1-231.
9.
1WLAN接入配置举例1-231.
9.
2白名单配置举例·1-251.
9.
3静态黑名单配置举例·1-261-11WLAN接入配置1.
1WLAN接入简介WLAN接入为用户提供接入网络的服务.
无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络,接入点设备安置在需要覆盖无线网络的区域,用户在该区域内就可以通过无线接入的方式接入无线网络.
1.
1.
1无线扫描客户端首先需要通过主动/被动扫描方式发现周围的无线网络,再通过链路层认证、关联和用户接入认证三个过程后,才能和AP建立连接,最终接入无线服务.
整个过程如图1-1所示.
有关链路层认证的详细介绍及相关配置请参见"WLAN配置指导"中的"WLAN用户安全".
有关用户接入认证的详细介绍及相关配置请参见"WLAN配置指导"中的"WLAN用户接入认证".
图1-1建立无线连接过程客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息.
1.
主动扫描主动扫描是指客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络.
客户端在扫描的时候,会主动广播ProbeRequest帧(探测请求帧),通过收到ProbeResponse1-2帧(探测响应帧)获取无线网络信息.
根据ProbeRequest帧是否携带SSID(ServiceSetIdentifier,服务集标识符),可以将主动扫描分为两种:客户端发送ProbeRequest帧(ProbeRequest中SSID为空,也就是SSID这个信息元素的长度为0):客户端会定期地在其支持的信道列表中,发送ProbeRequest帧扫描无线网络.
当AP收到ProbeRequest帧后,会回复ProbeResponse帧通告可以提供服务的无线网络信息.
客户端通过主动扫描,可以主动获知可使用的无线服务,之后客户端可以根据需要选择适当的无线网络接入.
客户端主动扫描方式的过程如图1-2所示.
图1-2主动扫描过程(ProbeRequest中SSID为空,也就是不携带任何SSID信息)客户端发送ProbeRequest帧(携带指定的SSID):在客户端上配置了希望连接的无线网络或者客户端已经成功连接到一个无线网络的情况下,客户端会定期发送ProbeRequest帧(携带已经配置或者已经连接的无线网络的SSID),能够提供指定SSID无线服务的AP接收到ProbeRequest帧后,会回复ProbeResponse帧.
通过这种方法,客户端可以主动扫描指定的无线网络.
这种客户端主动扫描方式的过程如图1-3所示.
图1-3主动扫描过程(ProbeRequest携带指定为"APPLE"的SSID)1-32.
被动扫描被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧)发现周围的无线网络.
提供无线服务的AP设备都会周期性地广播发送Beacon帧,所以客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息,从而接入AP.
当客户端需要节省电量时,可以使用被动扫描.
被动扫描的过程如图1-4所示.
图1-4被动扫描过程1.
1.
2关联当客户端通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送AssociationRequest帧(关联请求帧),AP会对AssociationRequest帧携带的能力信息进行检测,最终确定该客户端支持的能力,并回复AssociationResponse帧(关联响应帧)通知客户端链路是否关联成功.
1.
2WLAN客户端接入控制WLAN接入控制的主要目的为对用户接入网络和访问网络进行控制,WLAN接入控制的方式有基于AP组的接入控制、基于SSID的接入控制和基于名单的接入控制三种方式.
1.
2.
1基于AP组的接入控制如图1-5所示,无线网络中有3个AP,要求Client1和Client2只能通过AP1或AP2接入网络,Client3只能通过AP3接入网络.
为实现上述要求,将AP1和AP2添加进AP组1中,AP3添加进AP组2中.
AC上配置Client1和Client2对应的UserProfile指定允许接入的AP组为AP组1,Client3对应的UserProfile指定允许接入的AP组为AP组2.
当Client1、Client2和Client3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的UserProfile名称下发给AC,AC根据指定APClientClientBeaconBeacon1-4UserProfile里配置的内容查看客户端关联的AP是否在允许接入的AP组中,如果客户端关联的AP在允许接入的AP组中,客户端成功上线,否则上线失败.
图1-5基于AP组的接入控制组网应用1.
2.
2基于SSID的接入控制如图1-6所示,无线网络中有3个AP,要求Client1和Client2只能接入的SSID名称为ssida的无线服务,Client3只能接入的SSID名称为ssidb的无线服务.
为实现上述要求,AC上配置Client1和Client2对应的UserProfile指定允许接入的SSID名称为ssida,Client3对应的UserProfile指定允许接入的SSID名称为ssidb.
当Client1、Client2和Client3准备接入网络并通过身份认证后,认证服务器会将与用户帐户绑定的UserProfile名称下发给AC,AC根据指定UserProfile里配置的内容查看客户端关联的SSID是否为允许接入的SSID,如果客户端关联的SSID为指定允许接入的SSID,客户端成功上线,否则上线失败.
IPnetworkACClient1RADIUSserverAP1AP2AP3Client2Client3APgroup2APgroup11-5图1-6基于SSID的接入控制组网应用1.
2.
3基于名单的接入控制无线网络很容易受到各种网络威胁的影响,非法设备对于无线网络来说是一个很严重的威胁,因此需要对客户端的接入进行控制.
通过黑名单和白名单功能来过滤客户端,对客户端进行控制,防止非法客户端接入无线网络,可以有效的保护企业网络不被非法设备访问,从而保证无线网络的安全.
1.
白名单白名单定义了允许接入无线网络的客户端MAC地址表项,不在白名单中的客户端不允许接入.
白名单表项只能手工添加和删除.
2.
黑名单黑名单定义了禁止接入无线网络的客户端MAC地址表项,在黑名单中的客户端不允许接入.
黑名单分为静态黑名单和动态黑名单,以下分别介绍.
(1)静态黑名单静态添加、删除表项的黑名单称为静态黑名单,当无线网络明确拒绝某些客户端接入时,可以将这些客户端加入静态黑名单.
(2)动态黑名单动态添加、删除表项的黑名单称为动态黑名单.
在配置了对非法设备进行反制、无线客户端二次接入认证等场景下,设备会将明确拒绝接入的客户端MAC地址加入到动态黑名单,当动态黑名单表项到达老化超时时间后,删除该表项.
有关反制功能的详细介绍,请参见"WLAN配置指导"中的"WIPS".
3.
客户端过滤机制当收到客户端关联请求报文或AP向AC发送的Addmobile报文时,无线设备将使用白名单和黑名单对客户端的MAC地址进行过滤.
静态黑名单、白名单和基于AC生效的动态黑名单会对所有与AC相连的AP生效,基于AP生效的动态黑名单仅对客户端接入的AP生效.
以图1-7为例,具体的过滤机制如下:1-6(1)当AC上存在白名单时,AC将判断Client1的MAC地址是否在白名单中,如果在白名单中,则允许客户端从任意一个AP接入无线网络,如果Client1不在白名单中,则拒绝Client1从任何一个接入.
(2)当AC上不存在白名单时,AC则判断Client1的MAC地址是否在静态黑名单中,若Client1在静态黑名单中则拒绝Client1从任何一个AP接入无线网络.
(3)当AC上不存在白名单且Client1的MAC地址不在静态黑名单中时,为Client1配置了二次接入认证时间间隔或者AP收到Client1的攻击报文:如果配置了动态黑名单基于AP生效,则AC会将Client1的MAC地址添加到动态黑名单中,并仅拒绝Client1从AP1上接入无线网络,但仍允许Client1从AP2或AP3接入无线网络;如果配置了动态黑名单基于AC生效,则拒绝Client1从任何一个AP接入无线网络.
图1-7客户端过滤机制组网图1.
3WLAN接入配置限制和指导AC上的配置对AP生效的优先级从高到底为:AP视图下的配置、AP组视图下的配置、全局配置视图下的配置.
1.
4WLAN接入配置任务简介表1-1WLAN接入配置任务简介配置任务说明详细配置创建无线服务模板必选1.
5.
1配置SSID必选1.
5.
2配置描述信息可选1.
5.
3配置客户端的VLAN分配方式可选1.
5.
4配置客户端Cache老化时间可选1.
5.
5配置客户端关联位置可选1.
5.
61-7配置任务说明详细配置配置客户端数据报文转发位置可选1.
5.
7开启客户端数据报文转发功能可选1.
5.
8配置客户端数据报文在CAPWAP隧道中的封装格式可选1.
5.
9开启快速关联功能可选1.
5.
10开启无线服务模板必选1.
5.
11绑定无线服务模板必选1.
5.
12配置区域码可选1.
5.
13配置AP不回应客户端广播Proberequest报文可选1.
5.
14配置客户端空闲时间可选1.
5.
15配置客户端保活时间可选1.
5.
16配置AP不继承AP组下绑定的指定无线服务模板可选1.
5.
17配置网络接入服务器标识可选1.
5.
18配置对未知客户端数据报文处理方式可选1.
5.
19配置无线转发策略可选1.
5.
20配置允许用户接入的AP组可选1.
5.
21配置允许用户接入的SSID名称可选1.
5.
22配置白名单可选1.
5.
23配置静态黑名单可选1.
5.
24配置动态黑名单可选1.
5.
25配置客户端二次接入认证的时间间隔可选1.
5.
26指定AP的配置文件可选1.
6开启告警功能可选1.
71.
5配置WLAN接入1.
5.
1创建无线服务模板无线服务模板即一类无线服务属性的集合,如无线网络的SSID、认证方式(开放系统认证或者共享密钥认证)等.
表1-2创建无线服务模板操作命令说明进入系统视图system-view-创建无线服务模板wlanservice-templateservice-template-name缺省情况下,未创建无线服务模板1-8操作命令说明配置无线客户端从指定无线服务模板上线后所属的VLANvlanvlan-id缺省情况下,无线客户端从指定无线服务模板上线后将被加入到VLAN11.
5.
2配置SSIDAP将SSID置于Beacon帧中向外广播发送.
若BSS(BasicServiceSet,基本服务集)的客户端数量已达到上限或BSS一段时间内不可用即客户端不能上线,不希望其它客户端上线,则可以配置SSID隐藏.
若配置了SSID隐藏,AP不将SSID置于Beacon帧中,还可以借此保护网络免遭攻击.
为了进一步保护无线网络,AP对于广播ProbeRequest帧也不会回复.
此时客户端若想连接此BSS,则需要手工指定该SSID,这时客户端会直接向该AP发送认证及关联报文连接该BSS.
表1-3配置SSID操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置SSIDssidssid-name缺省情况下,未配置SSID(可选)配置SSID隐藏beaconssid-hide缺省情况下,信标帧不隐藏SSIDSSID的名称应该尽量具有唯一性.
从安全方面考虑,不应该体现公司名称.
1.
5.
3配置描述信息表1-4配置描述信息操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置无线服务模板的描述信息descriptiontext缺省情况下,未配置无线服务模板的描述信息1-91.
5.
4配置客户端的VLAN分配方式客户端首次上线时,AP会为动态分配方式下的客户端随机分配无线服务模板绑定Radio时指定的VLAN组内的一个VLAN,根据客户端的MAC地址为静态分配、静态兼容分配方式下的客户端分配VLAN.
客户端再次上线时被分配的VLAN将由配置的VLAN分配方式决定:静态分配方式下,直接继承上次VLAN组分配的VLAN.
若客户端的IP地址在租约内,客户端仍被分配到同一个IP地址.
采用该分配方式,可以减少IP地址的消耗.
动态分配方式下,VLAN组再次随机为客户端分配VLAN.
采用该分配方式,客户端会被均衡地分配在VLAN组的所有VLAN中.
静态兼容分配方式下,可以保证客户端在采用静态分配方式的ComwareV5版本AC设备与ComwareV7版本的AC之间漫游时,被分配相同的VLAN.
表1-5配置客户端的VLAN分配方式操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置客户端的VLAN分配方式clientvlan-alloc{dynamic|static|static-compatible}缺省情况下,客户端的VLAN分配方式为动态分配方式1.
5.
5配置客户端Cache老化时间无线客户端Cache记录了客户端的PMK列表、接入VLAN以及其他授权信息.
无线客户端断开连接之后,如果在客户端Cache老化时间内再次成功关联AP,则可继承Cache记录的各种授权信息,实现快速漫游.
如果客户端离线时间超过了老化时间,系统会自动清除该客户端的Cache.
表1-6配置客户端Cache的老化时间操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置客户端Cache老化时间clientcacheaging-timeaging-time缺省情况下,无线客户端Cache的老化时间为180秒1.
5.
6配置客户端关联位置客户端关联位置在AP上时,不支持客户端进行三层漫游,所以连续覆盖区域的所有AP上相同无线服务模板的指定VLAN需要相同.
1-10客户端关联位置在AC上时,客户端与AP关联的过程将由AC处理,管理报文通过CAPWAP隧道透传到AC.
选择客户端关联位置在AC上具有安全和管理上的优势,但是当AC与AP之间的网络复杂,由于管理报文到达AC所需时间较长影响到关联过程时,建议将客户端关联位置配置在AP上,直接由AP处理客户端的关联过程.
表1-7配置客户端关联位置操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置客户端关联位置clientassociation-location{ac|ap}缺省情况下,客户端的关联位置在AC上1.
5.
7配置客户端数据报文转发位置可以在AC上将客户端数据报文转发位置配置在AC或者AP上.
将数据报文转发位置配置在AC上时,为集中式转发,客户端的数据流量由AP通过CAPWAP隧道透传到AC,由AC转发数据报文.
将数据报文转发位置配置在AP上时,为本地转发,客户端的数据流量直接由AP进行转发.
将转发位置配置在AP上缓解了AC的数据转发压力.
将转发位置配置在AP上时,可以指定VLAN,即只有处于指定VLAN的客户端,在AP上转发其数据流量.
若配置客户端数据报文转发位置在AC上,则需要保证客户端数据报文转发功能处于开启状态,否则配置不生效.
表1-8配置客户端数据报文转发位置操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置客户端数据报文转发位置clientforwarding-location{ac|ap[vlan{vlan-start[tovlan-end]}]}缺省情况下,客户端的数据报文转发位置在AP上1.
5.
8开启客户端数据报文转发功能若指定了客户端数据报文转发位置在AC上,则必须开启此功能才能使得AC能够转发客户端数据报文;若指定了客户端数据报文转发位置在AP上,则此功能无效.
表1-9开启客户端数据报文转发功能操作命令说明进入系统视图system-view-1-11操作命令说明开启客户端数据报文转发功能wlanclientforwardingenable缺省情况下,客户端数据报文转发功能处于开启状态1.
5.
9配置客户端数据报文在CAPWAP隧道中的封装格式集中式转发架构下,客户端的数据报文由AP通过CAPWAP隧道透传到AC.
可以配置客户端数据报文封装在CAPWAP隧道中的格式为802.
3或802.
11格式,建议将客户端数据报文封装在CAPWAP中的格式为802.
3格式,AC在收到客户端报文后不需要进行报文格式转换.
表1-10配置客户端数据报文在CAPWAP隧道中的封装格式操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-配置客户端数据报文在CAPWAP隧道中的封装格式clientframe-format{dot3|dot11}缺省情况下,客户端数据报文在CAPWAP隧道中的封装格式为802.
3格式1.
5.
10开启快速关联功能如果WLAN环境中启动了负载均衡和频谱导航,客户端关联AP的效率将受到影响.
对于不需要负载均衡和频谱导航功能或注重低延迟的网络服务,可以在无线服务模板下开启快速关联功能.
无线服务模板开启快速关联功能后,即使AP上启动了负载均衡和频谱导航功能,也不会对该无线服务模板下接入的无线客户端进行频谱导航和负载均衡计算,从而让客户端可以快速的关联到AP上.
表1-11开启快速关联功能操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-开启快速关联功能quick-associationenable缺省情况下,快速关联功能处于关闭状态1.
5.
11开启无线服务模板表1-12开启无线服务模板操作命令说明进入系统视图system-view-进入无线服务模板视图wlanservice-templateservice-template-name-1-12操作命令说明开启无线服务模板service-templateenable缺省情况下,无线服务模板处于关闭状态1.
5.
12绑定无线服务模板无线服务模板跟AP的Radio存在多对多的映射关系,将无线服务模板绑定在某个AP的射频上,AP会根据射频上绑定的无线服务模板的无线服务属性创建无线服务BSS.
BSS是提供无线服务的基本单元.
在一个BSS的服务区域内(这个区域是指射频信号覆盖的范围),客户端能够相互通信.
绑定无线服务模板时,可以进行如下配置:可以为该BSS指定一个VLAN组,该BSS下连接的客户端会被均衡地分配在VLAN组的所有VLAN中,既能将客户端划分在不同广播域中,又能充分利用不连续的地址段为客户端分配IP地址.
可以绑定NAS-Port-ID(NetworkAccessServerPortIdentifier,网络接入服务器端口标识)和NAS-ID(NetworkAccessServerIdentifier,网络接入服务器标识),用于网络服务提供商标识客户端的接入位置,区分流量来源.
按照网络服务提供者的标准,不同的NAS-Port-ID对应不同的位置信息.
可以配置SSID隐藏.
表1-13绑定无线服务模板(Radio视图)操作命令说明进入系统视图system-view-进入AP视图wlanapap-name[modelmodel-name]-进入Radio视图radioradio-number-绑定无线服务模板service-templateservice-template-name[vlanvlan-id|vlan-groupvlan-group-name][ssid-hide][nas-idnas-id|nas-port-idnas-port-id]缺省情况下,继承AP组配置表1-14绑定无线服务模板(AP组Radio视图)操作命令说明进入系统视图system-view-进入AP组视图wlanap-groupgroup-name-进入AP型号视图ap-modelap-model-进入Radio视图radioradio-id-绑定无线服务模板service-templateservice-template-name[vlanvlan-id|vlan-groupvlan-group-name][ssid-hide][nas-idnas-id|nas-port-idnas-port-id]缺省情况下,未绑定无线服务模板1-13射频能绑定的最大无线服务模板个数为16个.
1.
5.
13配置区域码区域码决定了射频可以使用的工作频段、信道、发射功率级别等.
在配置WLAN设备时,必须正确地设置区域码,以确保不违反当地的管制规定.
为了防止区域码的修改导致射频的工作频段、信道等与所在国家或地区的管制要求冲突,可以开启区域码锁定功能.
表1-15配置区域码(AP视图)操作命令说明进入系统视图system-view-进入AP视图wlanapap-name[modelmodel-name]-配置区域码region-codecode缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置开启区域码锁定功能region-code-lockenable缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置表1-16配置区域码(AP组视图)操作命令说明进入系统视图system-view-进入AP组视图wlanap-groupgroup-name-配置区域码region-codecode缺省情况下,继承全局配置开启区域码锁定功能region-code-lockenable缺省情况下,继承全局配置表1-17配置全局区域码操作命令说明进入系统视图system-view-进入全局配置视图wlanglobal-configuration-配置区域码region-codecode缺省情况下,区域码为CN开启区域码锁定功能region-code-lockenable缺省情况下,区域码锁定功能处于关闭状态1-141.
5.
14配置AP不回应客户端广播Proberequest报文广播Proberequest报文即报文中不携带服务的SSID,AP收到广播报文后,将AP提供的所有服务的信息封装在Probereponse报文中,回应给客户端.
可以配置不回应客户端的广播Proberequest报文,可以减少AP回应的Proberesponse报文,并使发送携带SSID的Proberequest报文的客户端更容易接入无线网络.
表1-18配置不回应客户端广播Proberequest报文(AP视图)操作命令说明进入系统视图system-view-进入AP视图wlanapap-name[modelmodel-name]-配置AP不回应广播proberequest报文broadcast-probereplydisable缺省情况下,继承AP组配置表1-19配置回应客户端广播Proberequest报文(AP组视图)操作命令说明进入系统视图system-view-进入AP组视图wlanap-groupgroup-name-配置AP组不回应广播proberequest报文broadcast-probereplydisable缺省情况下,AP回应广播proberequest报文1.
5.
15配置客户端空闲时间客户端空闲时间,是指AP与客户端成功连接后,客户端与AP无任何报文交互的状态的最大时间,当达到最大空闲时间时,AP会自动与客户端断开连接.
表1-20配置客户端空闲时间(AP视图)操作命令说明进入系统视图system-view-进入AP视图wlanapap-name[modelmodel-name]-配置客户端空闲时间clientidle-timeoutinterval缺省情况下,继承AP组配置表1-21配置客户端空闲时间(AP组视图)操作命令说明进入系统视图system-view-进入AP组视图wlanap-groupgroup-name-1-15操作命令说明配置客户端空闲时间clientidle-timeoutinterval缺省情况下,AP和客户端之间连接允许的最大空闲时间为3600秒1.
5.
16配置客户端保活功能开启客户端保活功能后,AP每隔保活时间向客户端发送空数据报文,以确认其是否在线.
若在三个保活时间内未收到客户端回应应答报文或数据报文,则AP断开与客户端的连接.
若在此期间内收到,则认为客户端在线.
表1-22配置客户端保活功能(AP视图)操作命令说明进入系统视图system-view-进入AP视图wlanapap-name[modelmodel-name]-开启客户端保活功能clientkeep-aliveenable缺省情况下,继承AP组配置(可选)配置客户端保活时间clientkeep-aliveintervalvalue缺省情况下,继承AP组配置表1-23配置客户端保活功能(AP组视图)操作命令说明进入系统视图system-view-进入AP组视图wlanap-groupgroup-name-开启客户端保活功能clientkeep-aliveenable缺省情况下,客户端保活功能处于关闭状态(可选)配置客户端保活时间clientkeep-aliveintervalvalue缺省情况下,客户端保活时间为300秒1.
5.
17配置AP不继承AP组下绑定的指定无线服务模板AP会继承AP组下同型号AP对应的射频下绑定的服务模板,同时创建无线服务BSS.
如果AP不需要或不需要全部继承AP组下绑定的无线服务模板,通过配置AP不继承AP组下绑定的指定无线服务模板,不对指定的无线服务模板进行继承.
表1-24配置AP不继承AP组下绑定的指定无线服务模板操作命令说明进入系统视图system-view-进入AP视图wlanapap-name[modelmodel-name]-1-16操作命令说明进入Radio视图radioradio-id-配置AP不继承AP组下绑定的指定无线服务模板inheritexcludeservice-templateservice-template-name缺省情况下,AP继承AP组下绑定的无线服务模板1.
5.
18配置网络接入服务器标识NAS-ID、NAS-Port-ID和NAS-VLAN-ID(NetworkAccessServerVLANIdentifier,网络接入服务器VLAN标识)主要用于网络服务提供商标识客户端的接入位置,区分流量来源.
如果在配置无线服务模板时绑定了NAS-ID/NAS-Port-ID,则优先使用无线服务模板绑定的NAS-ID/NAS-Port-ID.
表1-25配置网络接入服务器标识(AP视图)操作命令说明进入系统视图system-view-进入AP视图wlanapap-name[modelmodel-name]-配置网络接入服务器标识nas-idnas-id缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置配置网络接入服务器端口标识nas-port-idnas-port-id缺省情况下,AP组有配置的情况下,继承AP组配置;AP组无配置的情况下,继承全局配置配置网络接入服务器的VLANIDnas-vlanvlan-id缺省情况下,未配置网络接入服务器的VLANID,即AC向RADIUS服务器发送的请求认证报文中未携带NAS-VLAN-ID字段当使用某特定第三方厂商的SAM(SecurityAccountingManagement,安全审计管理)服务器作为RADIUS服务器时,需要在我司设备上配置NAS-VLAN-ID,以便SAM服务器使用该VLANID定位客户端位置表1-26配置网络接入服务器标识(AP组视图)操作命令说明进入系统视图system-view-进入AP组视图wlanap-groupgroup-name-配置网络接入服务器标识nas-idnas-id缺省情况下,继承全局配置配置网络接入服务器端口标识nas-port-idnas-port-id缺省情况下,继承全局配置1-17表1-27配置全局网络接入服务器标识操作命令说明进入系统视图system-view-进入全局配置视图wlanglobal-configuration-配置网络接入服务器标识nas-idnas-id缺省情况下,未配置网络接入服务器标识配置网络接入服务器端口标识nas-port-idnas-port-id缺省情况下,未配置网络接入服务器标识1.
5.
19配置对未知客户端数据报文处理方式通过配置对未知客户端数据报文处理方式,可以选择AC在收到未知客户端发送的数据报文后,仅丢弃客户端发送的数据报文不作处理,或丢弃客户端发送的数据报文并向客户端发送解除认证报文通知客户端断开连接.
表1-28配置对未知客户端数据报文处理方式操作命令说明进入系统视图system-view-进入服务模板视图wlanservice-templateservice-template-name-配置对未知客户端数据报文处理方式unknown-client[deauthenticate|drop]缺省情况下,丢弃未知客户端发送的数据报文并向客户端发送解除认证报文1.
5.
20配置无线转发策略通过配置无线转发策略,设备可以对具备不同特征的客户端数据报文进行不同的转发处理.
无线转发策略可以在无线服务模板或UserProfile下应用.
设备优先使用UserProfile下应用的无线转发策略对客户端数据进行处理.
如果上线用户的UserProfile下没有应用无线转发策略,则设备将使用无线服务模板下的无线转发策略处理客户端数据.
只有无线用户的接入认证位置在AC上时,无线服务模板和UserProfile下应用的无线转发策略才能生效.
关于用户接入认证位置的介绍和配置,请参见"WLAN配置指导"中的"WLAN用户接入认证".
当配置无线转发策略时,AC和AP必须处于不同网段中.
1.
创建无线转发策略无线转发策略由一条或多条无线转发规则组成,每条无线转发规则中包含匹配报文特征的规则及采取的转发方式.
匹配报文特征的规则可以为基本ACL、高级ACL和二层ACL,可选择的转发方式1-18包括本地转发和集中转发.
无线转发策略仅识别ACL规则中的匹配条件,不识别允许和拒绝操作,即只要是匹配条件的报文,无论在ACL规则中是被允许还是被拒绝,都会被按转发策略处理.
有关ACL的详细介绍,请参见"ACL和Qos配置指导"中的"ACL".
表1-29创建无线转发策略操作命令说明进入系统视图system-view-创建无线转发策略,并进入无线转发策略视图wlanforwarding-policypolicy-name缺省情况下,不存在无线转发策略配置无线转发规则classifieracl{acl-number|ipv6ipv6-acl-number}behavior{local|remote}缺省情况下,不存在无线转发规则重复执行该命令可以创建多条无线转发规则2.
在无线服务模板下应用无线转发策略在无线服务模板下应用无线转发策略后,还需要开启无线转发策略功能,无线转发策略才能生效.
表1-30在无线服务模板下应用无线转发策略操作命令说明进入系统视图system-view-进入服务模板视图wlanservice-templateservice-template-name-在无线服务模板下应用无线转发策略clientforwarding-policy-namepolicy-name缺省情况下,没有应用无线转发策略开启无线转发策略功能clientforwarding-pollicyenable缺省情况下,无线转发策略功能处于关闭状态3.
在UserProfile下应用无线转发策略在UserProfile下应用无线转发策略后,当客户端准备接入网络并通过身份认证后,认证服务器会将与客户端帐户绑定的UserProfile名称下发给AC,AC根据指定UserProfile下应用的无线转发策略对客户端数据报文进行转发.
在UserProfile下应用无线转发策略后,还需要在服务模板下开启无线转发策略功能,无线转发策略才能生效.
修改或删除UserProfile下应用的无线转发策略时,该配置会在客户端再次上线时生效.
表1-31在UserProfile下应用无线转发策略操作命令说明进入系统视图system-view-进入UserProfile视图user-profileprofile-name-在UserProfile下应用无线转发策略wlanclientforwarding-policy-namepolicy-name缺省情况下,没有应用无线转发策略1-19操作命令说明退回系统视图quit-进入服务模板视图wlanservice-templateservice-template-name-开启无线转发策略功能clientforwarding-pollicyenable缺省情况下,无线转发策略功能处于关闭状态1.
5.
21配置允许用户接入的AP组通过配置允许用户接入的AP组,让用户只能够在指定AP组内的AP上接入,控制用户在无线网络中接入位置.
表1-32配置允许用户接入的AP组操作命令说明进入系统视图system-view-进入UserProfile视图user-profileprofile-name-配置允许用户接入的AP组wlanpermit-ap-groupap-group-name缺省情况下,未配置允许用户接入的AP组1.
5.
22配置允许用户接入的SSID名称在用户需要接入网络时,可指定允许用户接入的SSID.
表1-33配置允许用户接入的SSID名称操作命令说明进入系统视图system-view-进入UserProfile视图user-profileprofile-name-配置SSID用户接入控制wlanpermit-ssidssid-name缺省情况下,未配置允许用户接入的SSID名称1.
5.
23配置白名单第一次配置白名单时,系统会提示用户是否解除与所有在线客户端的关联,如果选择解除关联,才能配置白名单,否则不能配置白名单.
当删除白名单中所有客户端时,则不存在白名单.
表1-34配置白名单操作命令说明进入系统视图system-view-配置白名单wlanwhitelistmac-addressmac-address缺省情况下,不存在白名单1-201.
5.
24配置静态黑名单同一MAC地址表项不能同时配置到白名单中和静态黑名单中.
表1-35配置静态黑名单操作命令说明进入系统视图system-view-配置静态黑名单wlanstatic-blacklistmac-addressmac-address缺省情况下,不存在静态黑名单1.
5.
25配置动态黑名单当配置了客户端二次接入认证的时间间隔或者AP收到客户端的攻击报文时,AC会将该客户端的MAC地址添加到动态黑名单中:配置动态黑名单基于AP生效,AP将拒绝该客户端的接入,但仍可以从AC下的其他AP接入.
配置动态黑名单基于AC生效,AC下相连的所有AP都将拒绝该客户端接入.
在AP分布密集的无线网络环境下,建议用户配置动态黑名单基于AC生效.
动态黑名单表项具有一定的老化时间.
当到达老化时间时,AC会将MAC地址从动态黑名单中删除.
新配置的动态黑名单老化时间只对新加入动态黑名单的客户端生效.
需要注意的是,若客户端同时存在于白名单和动态黑名单中时,则白名单生效.
表1-36配置动态黑名单操作命令说明进入系统视图system-view-配置动态黑名单基于AP生效wlandynamic-blacklistactive-on-ap缺省情况下,动态黑名单基于AP生效配置动态黑名单基于AC生效undowlandynamic-blacklistactive-on-ap配置动态黑名单表项的老化时间wlandynamic-blacklistlifetimelifetime缺省情况下,动态黑名单表项的老化时间为300秒1.
5.
26配置客户端二次接入认证的时间间隔在客户端进行二次接入认证并切换VLAN的组网环境中,建议配置客户端二次接入认证的时间间隔.
客户端二次接入认证的时间间隔是指客户端通过802.
1X认证或MAC地址认证(包括通过URL重定向功能完成MAC地址认证)后,RADIUS服务器强制客户端下线到再次对其进行认证的时间间隔.
配置了客户端二次接入认证的时间间隔之后,设备将已通过认证的客户端的MAC地址加入到动态黑名单中,并在指定的时间间隔内禁止客户端接入.
通过此方式加入动态黑名单的MAC地址不受动态黑名单老化时间的影响.
1-21如果在该时间间隔内使用resetwlandynamic-blacklist命令清除动态黑名单,则设备将允许该客户端接入并进行认证.
表1-37配置客户端二次接入认证的时间间隔操作命令说明进入系统视图system-view-配置客户端二次接入认证的时间间隔wlanclientreauthentication-period[period-value]缺省情况下,客户端二次接入认证的时间间隔为0秒1.
6指定AP的配置文件在需要更新AP配置文件的情况下,可以在AC上指定AP配置文件的文件名(在AC的存储介质中必须已经存在该配置文件),将配置文件中的命令下载到AP,配置文件会在隧道处于Run时生效.
配置文件生效后,AP会使用配置文件中的命令,但AP不会保存这些配置.
表1-38指定AP的配置文件(AP视图)操作命令说明进入系统视图system-view-进入AP模板视图wlanapap-name[modelmodel-name]-将配置文件下载到APmap-configurationfilename可选缺省情况下,没有指定AP的配置文件表1-39指定AP的配置文件(AP组ap-model视图)操作命令说明进入系统视图system-view-进入AP组视图wlanap-groupgroup-name-进入AP型号视图ap-modelap-model-将配置文件下载到APmap-configurationfilename可选缺省情况下,没有指定AP的配置文件1-22使用map-configuration命令指定的配置文件,文件中的内容必须是完整的命令行形式.
在使用某些功能时,需要使用配置文件对AP进行配置,例如:在本地转发模式下配置用户方案时,需要事先将用户方案、相关的QoS策略和ACL等命令写入配置文件,并将配置文件下载到AP.
通过配置文件配置的AP只能通过主IP地址与AC建立CAPWAP隧道.
在IRF组网中,当需要使用map-configuration命令指定AP的配置文件时,请将配置文件分别导入到各成员设备的存储介质中,防止在发生主备倒换后找不到AP的配置文件,通过map-configuration命令下发的AP配置文件只能在IRF的主设备上生效,同时必须指定配置文件的存储路径为主设备.
1.
7开启告警功能开启了告警功能之后,该模块会生成告警信息,用于报告该模块的重要事件.
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性.
(有关告警信息的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
)表1-40开启告警功能操作命令说明进入系统视图system-view-开启客户端的告警功能snmp-agenttrapenablewlanclient缺省情况下,客户端的告警功能处于关闭状态1.
8WLAN接入显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN接入的运行情况,通过查看显示信息验证配置效果.
在用户视图下执行reset命令可以清除动态黑名单或断开AP与客户端的连接.
在用户视图下执行wlanlink-test命令可以检测AP与指定客户端之间的无线链路质量,检测内容包括:信号强度、报文重传次数、RTT(Round-TripTime,往返时间)等.
表1-41WLAN接入显示和维护操作命令显示黑名单displaywlanblacklist{dynamic|static}显示客户端的信息displaywlanclient[apap-name[radioradio-id]|mac-addressmac-address|service-templateservice-template-name|frequency-band{2.
4|5}][verbose]显示客户端状态信息displaywlanclientstatus[mac-addressmac-address][verbose]1-23操作命令显示无线转发策略信息displaywlanforwarding-policy[policy-name]显示AP的区域码信息displaywlanregion-code显示无线服务模板信息displaywlanservice-template[service-template-name][verbose]查看客户端的统计信息或服务模板的统计信息displaywlanstatistics{ap{all|nameap-name}connect-history|client[mac-addressmac-address]|service-templateservice-template-name[connect-history]}显示白名单displaywlanwhitelist清除动态黑名单resetwlandynamic-blacklist[mac-addressmac-address]断开与客户端的连接resetwlanclient{all|mac-addressmac-address}对客户端进行无线链路质量检测wlanlink-testmac-address1.
9WLAN接入典型配置举例1.
9.
1WLAN接入配置举例1.
组网需求AP通过交换机与AC相连.
在Switch上开启DHCPserver功能,为AP和客户端分配IP地址.
使用手工输入序列号方式输入序列号.
AP提供SSID为trade-off的无线接入服务.
2.
组网图图1-8无线接入组网图3.
配置步骤(1)配置IP地址#创建VLAN100,并配置VLAN100接口的IP地址.
system-view[AC]vlan100[AC-vlan100]quit[AC]interfacevlan-interface100[AC-Vlan-interface100]ipaddress10.
1.
9.
5816[AC-Vlan-interface100]quit(2)创建手工AP#创建手工AP,名称为ap1,选择AP型号并配置序列号.
1-24[AC]wlanapap1modelWA4320H[AC-wlan-ap-ap1]serial-id219801A0YG8165E00001(3)创建无线服务模板,并将无线服务模板绑定到AP的Radio接口.
#配置无线服务模板service1,配置SSID为trade-off,配置客户端从无线服务模板service1上线后将被加入到VLAN100,并开启无线服务模板.
[AC]wlanservice-templateservice1[AC-wlan-st-service1]ssidtrade-off[AC-wlan-st-service1]vlan100[AC-wlan-st-service1]service-templateenable[AC-wlan-st-service1]quit#配置射频,指定工作信道为157.
[AC]wlanapap1[AC-wlan-ap-ap1]radio1[AC-wlan-ap-ap1-radio-1]channel157#将无线服务模板service1绑定到Radio1接口.
[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]service-templateservice1[AC-wlan-ap-ap1-radio-1]quit4.
验证配置(1)配置完成后,在AC上执行displaywlanservice-template命令,可以看到所有已经创建的无线服务模板模板.
无线服务模板service1的SSID为trade-off,无线服务模板已经开启,其它配置项都使用缺省值.
[AC]displaywlanservice-templateServicetemplatename:service1Description:NotconfiguredSSID:trade-offSSID-hide:DisabledUser-isolation:DisabledServicetemplatestatus:EnabledMaximumclientsperBSS:64Frameformat:Dot3Seamlessroamstatus:DisabledSeamlessroamRSSIthreshold:50SeamlessroamRSSIgap:20VLANID:100AKMmode:NotconfiguredSecurityIE:NotconfiguredCiphersuite:NotconfiguredTKIPcountermeasuretime:0sPTKlifetime:43200sGTKrekey:EnabledGTKrekeymethod:Time-basedGTKrekeytime:86400sGTKrekeyclient-offline:DisabledUserauthenticationmode:BypassIntrusionprotection:Disabled1-25Intrusionprotectionmode:Temporary-blockTemporaryblocktime:180secTemporaryservicestoptime:20secFailVLANID:1802.
1Xhandshake:Enabled802.
1Xhandshakesecure:Disabled802.
1Xdomain:my-domainMAC-authdomain:NotconfiguredMax802.
1XusersperBSS:4096MaxMAC-authusersperBSS:4096802.
1Xre-authenticate:EnabledAuthorizationfailmode:OnlineAccountingfailmode:OnlineAuthorization:PermittedKeyderivation:N/APMFstatus:DisabledHotspotpolicynumber:NotconfiguredForwardingpolicystatus:DisabledForwardingpolicyname:NotconfiguredFTstatus:DisabledQoStrust:PortQoSpriority:0(2)MAC地址为0023-8933-223b的客户端可以连接无线网络名称为trade-off的无线网络.
在AC上执行displaywlanclient命令,可以看到所有连接成功的客户端.
[AC]displaywlanclientservice-templateservice1Totalnumberofclients:1MACaddressUsernameAPnameRIDIPaddressIPv6addressVLAN0023-8933-223bN/Aap113.
0.
0.
31001.
9.
2白名单配置举例1.
组网需求AC和AP通过交换机连接,通过将客户端的MAC地址0000-000f-1211加入到白名单中,仅允许该客户端接入无线网络,拒绝其它客户端接入无线网络.
2.
组网图图1-9白名单配置组网图3.
配置步骤#将客户端的MAC地址0000-000f-1211添加到白名单.
system-view1-26[AC]wlanwhitelistmac-address0000-000f-12114.
验证配置配置完成后,在AC上执行displaywlanwhitelist命令,可以看到AC已经将客户端的MAC地址表项加入到白名单.
[AC]displaywlanwhitelistTotalnumberofclients:1MACaddresses:0000-000f-12111.
9.
3静态黑名单配置举例1.
组网需求AC和AP通过交换机连接,客户端为已知非法客户端,通过将客户端的MAC地址0000-000f-1211加入到静态黑名单中,拒绝该客户端接入无线网络.
2.
组网图图1-10静态黑名单配置组网图3.
配置步骤#将客户端的MAC地址0000-000f-1211添加到静态黑名单.
system-view[AC]wlanstatic-blacklistmac-address0000-000f-12114.
验证配置配置完成后,在AC上执行displaywlanblackliststatic命令,可以看到AC已经将客户端的MAC地址表项加入到静态黑名单.
[AC]displaywlanblackliststaticTotalnumberofclients:1MACaddresses:0000-000f-1211

tmhhost:暑假快乐,全高端线路,VPS直接8折,200G高防,美国gia日本软银韩国cn2香港cn2大带宽

tmhhost为2021年暑假开启了全场大促销,全部都是高端线路的VPS,速度快有保障。美国洛杉矶CN2 GIA+200G高防、洛杉矶三网CN2 GIA、洛杉矶CERA机房CN2 GIA,日本软银(100M带宽)、香港BGP直连200M带宽、香港三网CN2 GIA、韩国双向CN2。本次活动结束于8月31日。官方网站:https://www.tmhhost.com8折优惠码:TMH-SUMMER日本...

VPSDime7美元/月,美国达拉斯Windows VPS,2核4G/50GB SSD/2TB流量/Hyper-V虚拟化

VPSDime是2013年成立的国外VPS主机商,以大内存闻名业界,主营基于OpenVZ和KVM虚拟化的Linux套餐,大内存、10Gbps大带宽、大硬盘,有美国西雅图、达拉斯、新泽西、英国、荷兰机房可选。在上个月搞了一款达拉斯Linux系统VPS促销,详情查看:VPSDime夏季促销:美国达拉斯VPS/2G内存/2核/20gSSD/1T流量/$20/年,此次推出一款Windows VPS,依然是...

企鹅小屋:垃圾服务商有跑路风险,站长注意转移备份数据!

企鹅小屋:垃圾服务商有跑路风险!企鹅不允许你二次工单的,二次提交工单直接关服务器,再严重就封号,意思是你提交工单要小心,别因为提交工单被干了账号!前段时间,就有站长说企鹅小屋要跑路了,站长不太相信,本站平台已经为企鹅小屋推荐了几千元的业绩,CPS返利达182.67CNY。然后,站长通过企鹅小屋后台申请提现,提现申请至今已经有20几天,企鹅小屋也没有转账。然后,搞笑的一幕出现了:平台账号登录不上提示...

wlan无线上网设置为你推荐
版本itunes支持ipadApplicationsios5eacceleratoreaccelerator.shm_size设置多少合适呢?netbios端口如何组织netbios端口的外部通信photoshop技术photoshop技术对哪些工作有用?iphone连不上wifi苹果iphone6/plus wifi连接不上怎么办css下拉菜单html+css下拉菜单怎么制作127.0.0.1127.0.0.1打不开联通版iphone4s怎么区分iphone4s电信版和联通版
网站空间免备案 免备案虚拟主机 免费动态域名解析 google电话 樊云 mach 日志分析软件 debian6 北京主机 免费ftp空间申请 admit的用法 什么是服务器托管 国外免费asp空间 t云 空间登录首页 网通服务器 云营销系统 监控服务器 石家庄服务器托管 实惠 更多