H3CWA系列无线接入点WLAN配置指导杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:6W109-20150212Copyright2010-2015杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、H3CS、H3CIE、H3CNE、Aolynk、、H3Care、、IRF、NetPilot、Netflow、SecEngine、SecPath、SecCenter、SecBlade、Comware、ITCMM、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CWA系列无线接入点配置指导介绍了WA系列无线接入点的各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《WLAN配置指导》主要包括无线接口配置,无线服务配置,无线安全配置,无线射频资源管理配置,无线QoS配置,无线入侵检测配置,WDS配置等,同时介绍了WAPI协议和基本配置.
手册中标有"支持情况与设备的型号有关"的描述,表示不同型号的产品对于此特性的支持情况不同,具体差异请参见"配置指导导读"的"特性差异情况"章节.
手册中设备的接口类型、显示信息与设备型号和配置信息相关,本手册致力于提供全面、准确的显示信息,但实际使用中还请以设备的实际情况为准.
前言部分包含如下内容:读者对象本书约定产品配套资料资料获取方式技术支持资料意见反馈读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
格式意义{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备.
该图标及其相关描述文字代表无线接入点设备.
该图标及其相关描述文字代表无线Mesh设备.
该图标代表发散的无线射频信号.
该图标代表点到点的无线射频信号.
该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备.
该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡.
5.
端口编号示例约定本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
产品配套资料H3CWA系列无线接入点的配套资料包括如下部分:大类资料名称内容介绍产品知识介绍产品彩页帮助您了解产品的主要规格参数及亮点技术白皮书帮助您了解产品和特性功能,对于特色及复杂技术从细节上进行介绍硬件描述与安装安全兼容性手册列出产品的兼容性声明,并对兼容性和安全的细节进行说明快速入门指导您对设备进行初始安装、配置,通常针对最常用的情况,减少您的检索时间安装指导帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装业务配置快速配置指导帮助您了解产品主要功能,如何安装并登录设备,如何进行基本功能配置,如何进行软件维护以及基础的故障处理配置指导帮助您掌握设备软件功能的配置方法及配置步骤命令参考详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能典型配置案例帮助您了解产品的典型应用和推荐配置,从组网需求、组网图、配置步骤几方面进行介绍运行维护用户FAQ解答您在使用设备过程中遇到的各种常见问题版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料.
[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
[解决方案]:可以获取解决方案类资料.
[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:service@h3c.
com技术支持热线电话:400-810-0504(手机、固话均可拨打)网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1WLAN接口配置·1-11.
1WLAN-Radio接口·1-11.
1.
1WLAN-Radio接口介绍1-11.
1.
2WLAN-Radio接口配置1-11.
2WLAN-BSS接口1-11.
2.
1WLAN-BSS接口介绍1-11.
2.
2WLAN-BSS接口配置1-11.
3WLAN-MESH接口·1-21.
3.
1WLAN-MESH接口介绍1-21.
3.
2进入WLAN-MESH接口视图·1-21.
3.
3配置WLAN-MESH接口1-31.
4WLAN-MESHLINK接口·1-31.
4.
1WLAN-MESHLINK接口介绍·1-31.
5WLAN接口显示和维护1-31-11WLAN接口配置1.
1WLAN-Radio接口1.
1.
1WLAN-Radio接口介绍WLAN-Radio是设备上的一种物理接口,提供无线接入服务.
用户可以配置该接口的参数,但不可手工删除它.
1.
1.
2WLAN-Radio接口配置表1-1WLAN-Radio接口配置配置步骤命令说明进入系统视图system-view-进入WLAN-Radio接口视图interfacewlan-radiointerface-number必选设置接口描述信息descriptiontext可选缺省情况下,接口的描述信息为"接口名interface"恢复WLAN-Radio接口的缺省配置default可选关闭WLAN-Radio接口shutdown可选缺省情况下,接口处于开启状态1.
2WLAN-BSS接口1.
2.
1WLAN-BSS接口介绍WLAN-BSS接口是一种虚拟的二层接口,类似于二层以太网接口,具有二层属性,并可配置多种二层协议.
在FATAP上,WLAN-Radio物理接口与此接口绑定后,WLAN-Radio接口将工作在二层模式.
1.
2.
2WLAN-BSS接口配置表1-2WLAN-BSS接口配置配置步骤命令说明进入系统视图system-view-进入WLAN-BSS接口视图interfacewlan-bssinterface-number必选如果指定的WLAN-BSS接口不存在,则该命令先完成WLAN-BSS接口的创建,然后再进入该接口的视图1-2配置步骤命令说明设置接口描述信息descriptiontext可选缺省情况下,接口的描述信息为"接口名interface"配置接口的链路类型portlink-type{access|hybrid}可选缺省情况下,WLAN-BSS接口的链路类型均为Access类型根据链路类型,WLAN-BSS接口还支持"配置基于Access端口的VLAN"或者"配置基于Hybrid端口的VLAN",关于这些配置的详细介绍请参见"二层技术配置指导"中的"VLAN配置"指定MAC地址认证用户使用的认证域mac-authenticationdomaindomain-name可选缺省情况下,未指定MAC地址认证用户使用的认证域,使用系统缺省的认证域配置端口同时可容纳接入的MAC地址认证用户数量的最大值mac-authenticationmax-useruser-number可选端口同时可容纳接入用户数量的最大值与设备的型号有关,请以设备的实际情况为准恢复WLAN-BSS接口的缺省配置default可选禁用WLAN-BSS接口shutdown可选缺省情况下,接口处于启用状态执行portaccessvlan和porthybridvlan命令前,请确保vlan-id参数标识的VLAN已经存在(可以使用vlan命令来创建指定的VLAN).
portaccessvlan和porthybridvlan命令的详细介绍请参见"二层技术命令参考"中的"VLAN配置命令".
1.
3WLAN-MESH接口1.
3.
1WLAN-MESH接口介绍WLAN-MESH接口是一种虚拟的二层接口,它用来保存配置,作为配置模板使用.
WLAN-MESH接口上的配置将提供给相应的WLAN-MESHLINK接口使用.
一旦设备上创建了相应的WLAN-MESHLINK接口,则该WLAN-MESH的配置不允许改变.
1.
3.
2进入WLAN-MESH接口视图表1-3进入WLAN-MESH接口视图配置步骤命令说明进入系统视图system-view-1-3配置步骤命令说明进入WLAN-MESH接口视图interfacewlan-meshinterface-number必选如果指定的WLAN-MESH接口不存在,则该命令先完成WLAN-MESH接口的创建,然后再进入该接口的视图恢复WLAN-MESH接口的缺省配置default可选1.
3.
3配置WLAN-MESH接口表1-4配置WLAN-MESH接口操作命令配置接口的描述信息description配置接口的链路类型及VLAN参数portlink-typeportaccessporttrunkporthybrid端口安全相关配置port-securitymax-mac-countport-securityport-modeport-securitypreshared-keyport-securitytx-key-type11key1.
4WLAN-MESHLINK接口1.
4.
1WLAN-MESHLINK接口介绍WLAN-MESHLINK接口类似一个虚拟的二层以太网接口,具有二层接口的属性.
它由WLAN模块根据实际应用动态的创建或删除WLAN-MESHLINK接口,通过该接口实现MESH的本地数据转发.
WLAN-MESHLINK接口不能进行任何配置,它使用的是相应WLAN-MESH接口的配置.
1.
5WLAN接口显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN接口的运行情况,通过查看显示信息验证配置的效果.
表1-5WLAN接口显示和维护操作命令显示WLAN-Radio接口的信息displayinterface[wlan-radio][brief[downbegin|exclude|include}regular-expression]displayinterfacewlan-radiointerface-number[brief][|{begin|exclude|include}regular-expression]1-4操作命令显示WLAN-BSS接口的信息displayinterface[wlan-bss][brief[downbegin|exclude|include}regular-expression]displayinterfacewlan-bssinterface-number[brief][|{begin|exclude|include}regular-expression]显示WLAN-MESH接口的信息displayinterface[wlan-mesh][brief[downbegin|exclude|include}regular-expression]displayinterfacewlan-meshinterface-number[brief][|{begin|exclude|include}regular-expression]显示WLAN-MESHLINK接口的信息displayinterface[wlan-meshlink][brief[downbegin|exclude|include}regular-expression]displayinterfacewlan-meshlinkinterface-number[brief][|{begin|exclude|include}regular-expression]i目录1WLAN服务配置·1-11.
1WLAN服务简介1-11.
1.
1常用术语1-11.
1.
2无线用户接入过程·1-11.
2WorkgroupBridge模式简介·1-31.
3协议和标准1-41.
4配置WLAN服务1-41.
4.
1WLAN服务配置任务简介1-41.
4.
2配置全局WLAN参数·1-51.
4.
3配置国家码·1-51.
4.
4配置服务模板·1-61.
4.
5配置AP射频1-61.
4.
6配置射频接口·1-81.
4.
7配置802.
11n1-81.
4.
8配置关闭设备上的所有指示灯·1-101.
4.
9WLAN服务的显示和维护1-111.
5配置无线用户隔离1-111.
5.
1无线用户隔离简介·1-111.
5.
2开启无线用户隔离功能1-121.
6配置上行链路检测1-121.
6.
1配置上行接口·1-121.
7配置WorkgroupBridge模式·1-131.
7.
1开启Client模式·1-141.
7.
2连接无线服务·1-141.
7.
3WorkgroupBridge模式的显示与维护·1-151.
8WLAN服务典型配置举例·1-151.
8.
1WLAN服务典型配置举例1-151.
8.
2802.
11n配置举例1-161.
9WorkgroupBridge模式配置举例1-171-11WLAN服务配置1.
1WLAN服务简介WLAN(WirelessLocalAreaNetwork,无线局域网)技术是当今通信领域的热点之一,和有线局域网相比,WLAN的启动和实施相对简单,维护的成本低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络.
然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络.
1.
1.
1常用术语(1)无线客户端带有无线网卡的PC、笔记本电脑,以及支持WiFi功能的各种终端.
(2)FATAP(FATAccessPoint,胖接入点)可以独立控制和管理无线客户端的无线设备.
数据帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换,而FATAP在这个过程中起到了桥梁的作用.
(3)SSID(ServiceSetIdentifier,服务集识别码)客户端可以先进行无线扫描,然后选择特定的SSID接入某个指定无线网络.
(4)无线介质无线介质是用于在AP和无线客户端之间传输帧的介质.
WLAN系统使用无线射频作为传输介质.
1.
1.
2无线用户接入过程无线用户首先需要通过主动/被动扫描方式发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入WLAN.
整个过程如图1-1所示.
图1-1建立无线连接过程APClientAuthenticationRequestAuthenticationResponseAssociationRequestAssociationResponse主动扫描/被动扫描1-21.
无线扫描无线客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息.
(1)主动扫描主动扫描是指无线客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络.
无线客户端在扫描的时候,主动发送一个ProbeRequest帧(探测请求帧),通过收到ProbeResponse帧(探查响应帧)获取无线网络信息.
根据ProbeRequest帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:无线客户端发送目的地址为广播地址的ProbeRequest帧(ProbeRequest中SSID为空,也就是SSIDIE的长度为0):无线客户端会定期地在其支持的信道列表中,发送ProbeRequest帧扫描无线网络.
当AP收到探查请求帧后,会回复ProbeResponse帧通告可以提供的无线网络信息.
无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入.
无线客户端主动扫描方式的过程如图1-2所示.
图1-2主动扫描过程(ProbeRequest中SSID为空,也就是不携带任何SSID信息)无线客户端发送ProbeRequest帧(携带指定的SSID):当无线客户端上配置另外希望连接的无线网络或者已经成功连接到一个无线网络情况下,无线客户端也会定期发送ProbeReques帧(携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到ProbeRequest帧后回复ProbeResponse帧.
通过这种方法,无线客户端可以主动扫描指定的无线网络.
这种无线客户端主动扫描方式的过程如图1-3所示.
图1-3主动扫描过程(ProbeRequest携带指定的SSID为"AP1")AP2ClientAP1ProbeRequestSSIDProbeRequest(不携带SSID)ProbeResponseProbeResponse1-3(2)被动扫描被动扫描是指无线客户端通过侦听AP定期发送的Beacon帧(信标帧)发现周围的无线网络.
提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息,从而接入AP.
当无线客户端需要节省电量时,可以使用被动扫描.
一般VoIP语音终端通常使用被动扫描方式.
被动扫描的过程如图1-4所示.
图1-4被动扫描过程2.
认证过程为了保证无线链路的安全,接入过程中AP需要完成对无线用户的认证,只有通过认证后才能进入后续的关联阶段.
802.
11链路定义了两种认证机制:开放系统认证和共享密钥认证.
关于两种认证的详细介绍请参见"WLAN配置指导"中的"WLAN安全配置".
3.
关联过程如果无线用户想接入无线网络,必须同特定的AP关联.
当无线用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求.
AP会对关联请求帧携带的能力信息进行检测,最终确定该无线用户支持的能力,并回复关联响应通知链路是否关联成功.
通常,无线用户同时只可以和一个AP建立链路,而且关联总是由无线用户发起.
1.
2WorkgroupBridge模式简介WorkgroupBridge模式(也称为Client模式)是指作为WorkgroupBridge的AP以无线客户端的方式接入到无线网络中.
WorkgroupBridge模式的组网图如下图所示.
在某些环境下,一些主机、打印机因为没有安装无线网卡,无法通过无线接入到网络,这时候可以将这些有线设备通过集线器/交换机和WorkgroupBridge的有线口相连,此时WorkgroupBridge相当于为这些有线设备提供了公共无线网卡的作用,有线网络的主机、打印机等设备通过WorkgroupBridge接入到网络中.
图1-5WorkgroupBridge模式LANSegment1-4如果在WorkgroupBridge上开启的是802.
11n模式的射频,此时WorkgroupBridge相当于以802.
11n的无线客户端接入无线网络.
如果使用双频的AP,其中的一个Radio口设置为WorkgroupBridge模式,另外的一个Radio口可以照常工作.
如在下图所示的组网中,将双频AP中的Radio1口设置为WorkgroupBridge模式,Radio2设置为接入点模式,在这种应用下,通过Radio2上线的无线客户端也可以通过WorkgroupBridge接入网络.
图1-6双频AP同时支持多种模式1.
3协议和标准ANSI/IEEEStd802.
11,1999EditionIEEEStd802.
11aIEEEStd802.
11bIEEEStd802.
11gIEEEStd802.
11nIEEEStd802.
11iIEEEStd802.
11-20041.
4配置WLAN服务1.
4.
1WLAN服务配置任务简介WLAN服务配置包括配置全局WLAN参数、配置国家码、服务模板和AP射频等内容.
表1-1WLAN服务配置任务简介配置任务说明详细配置配置全局WLAN参数可选1.
4.
2配置国家码必选1.
4.
3配置服务模板必选1.
4.
4配置AP射频必选1.
4.
5配置射频接口必选1.
4.
61-5配置任务说明详细配置配置802.
11n可选1.
4.
7配置关闭设备上的所有指示灯可选1.
4.
81.
4.
2配置全局WLAN参数表1-2配置全局WLAN参数操作命令说明进入系统视图system-view-配置无线客户端的空闲超时时间间隔wlanclientidle-timeoutinterval可选缺省情况下,无线客户端的空闲超时时间间隔为3600秒配置无线客户端的保活时间间隔wlanclientkeep-aliveinterval可选缺省情况下,无线客户端的保活功能处于关闭状态配置AP回复无线客户端发送的SSID为空的探测请求wlanbroadcast-probereply可选缺省情况下,AP会回复无线客户端发送的SSID为空的探测请求1.
4.
3配置国家码不同国家或地区对射频使用有不同的管制要求,国家码决定了可以使用的工作频段、信道,以及合法的发射功率级别等.
在配置WLAN设备时,必须正确地设置国家或地区码,以确保不违反当地的管制规定.
表1-3配置国家码操作命令说明进入系统视图system-view-配置国家码wlancountry-codecode必选缺省情况下,国家码为CN关于国家码和国家的对应关系表请参见"WLAN命令参考"中的"WLAN服务配置命令".
1-61.
4.
4配置服务模板WLAN服务模板包括一些属性,如SSID、绑定的WLAN-BSS接口和认证方式(开放系统认证或共享密钥认证).
服务模板有三种类型:明文模板(clear)、密文模板(crypto)和WAPI模板(wapi).
需要注意的是,不能修改已创建的服务模板的类型,只能先删除该服务模板,再重新创建.
表1-4配置服务模板操作命令说明进入系统视图system-view-配置WLAN服务模板wlanservice-templateservice-template-number{clear|crypto|wapi}必选缺省情况下,已经配置了一个clear类型的服务模板该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍配置SSIDssidssid-name必选配置在信标帧中隐藏SSIDbeaconssid-hide可选缺省情况下,信标帧中不隐藏SSID选择认证方式authentication-method{open-system|shared-key}必选共享密钥认证模式请参见"WLAN配置指导"中的"WLAN安全配置"指定在同一个射频下,某个SSID下的关联无线客户端的最大个数clientmax-countmax-number可选缺省情况下,最多可以关联64个无线客户端开启快速关联功能fast-associationenable可选缺省情况下,快速关联功能处于关闭状态开启此功能后,设备不会对关联到此SSID的客户端进行频谱导航计算该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍开启服务模板service-templateenable必选缺省情况下,服务模板处于关闭状态1.
4.
5配置AP射频该配置任务用来配置AP射频,包括配置射频类型、信道和最大功率.
如果某个射频策略被映射到一个射频,则该射频继承在射频策略里配置的所有参数.
1-7表1-5配置AP射频操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radiointerface-number-配置射频类型radio-type{dot11a|dot11an|dot11b|dot11g|dot11gn}]可选射频类型的支持情况与设备的型号相关,请以设备的实际情况为准配置当前射频的服务模板和使用的接口service-templateservice-template-numberinterfacewlan-bssinterface-number必选配置射频的工作信道channel{channel-number|auto}可选缺省情况下,使用自动选择信道模式射频的工作信道由国家码和射频模式决定.
信道列表与设备的型号有关,请以设备的实际情况为准配置射频的最大传输功率max-powerradio-power可选射频的最大功率和国家码、信道、AP型号、射频模式和天线类型相关,如果采用802.
11n射频模式,那么射频的最大功率和带宽模式也相关配置前导码类型preamble{long|short}可选缺省情况下,支持短前导码该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍配置射频的天线类型antennatypetype可选本命令的缺省情况与设备型号有关,请以设备的实际情况为准配置射频可覆盖的最远距离distancedistance可选缺省情况下,射频可覆盖的最远距离为1公里配置绿色自动节能功能green-energy-managementenable可选缺省情况下,绿色自动节能功能处于关闭状态该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍配置射频的MIMO模式mimo{1x1|2x2|3x3}可选缺省情况下,不配置射频的MIMO模式该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍1-81.
4.
6配置射频接口在射频接口下可以配置一系列的射频参数.
表1-6配置射频接口操作命令说明进入系统视图system-view-进入WLAN射频接口视图interfacewlan-radiointerface-number-必选设置发送信标帧的时间间隔beacon-intervalinterval可选缺省情况下,发送信标帧的时间间隔为100TU(TimeUnit,时间单位)设置信标帧的DTIM计数器dtimcounter可选缺省情况下,DTIM计数器为1设置帧的分片门限值fragment-thresholdsize可选缺省情况下,帧的分片门限值为2346字节帧的分片门限值只能设置为偶数字节设置RTS(RequesttoSend,发送请求)的门限值rts-thresholdsize可选缺省情况下,RTS门限值为2346字节配置开启LDPC功能ldpcenable可选缺省情况下,LDPC功能处于关闭状态设置帧长超过RTS门限值的帧的最大重传次数long-retrythresholdcount可选缺省情况下,帧长超过RTS门限值的帧的最大重传次数为4设置帧长不大于RTS门限值的帧的最大重传次数short-retrythresholdcount可选缺省情况下,帧长不大于RTS门限值的帧的最大重传次数为7设置AP接收的帧可以在缓存中保存的最长时间max-rx-durationinterval可选缺省情况下,AP保存接收的帧可以在缓存中保存的最长时间为2000毫秒配置分片门限保护方式protection-mode{cts-to-self|rts-cts}可选缺省情况下,使用CTS-to-Self方式开启自动抗干扰(AdaptiveNoiseImmunity)功能anienable可选缺省情况下,自动抗干扰功能处于开启状态1.
4.
7配置802.
11n802.
11n作为802.
11协议族的一个新协议,支持2.
4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的吞吐量,802.
11n主要通过增加带宽和提高信道利用率两种方式来提高吞吐量.
1-9增加带宽:802.
11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用(一个为主信道,一个为辅信道).
当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量.
提高信道利用率:对信道利用率的提高主要体现在三个方面.
802.
11n标准中采用A-MPDU聚合帧格式,即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时通过BlockAck减少了ACK帧的数目,从而降低了协议的负荷,有效的提高网络吞吐量.
802.
11n协议定义了一个新的MAC特性A-MSDU,该特性实现了将多个MSDU组合成一个A-MSDU发送,与A-MPDU类似,通过聚合,A-MSDU减少了传输每个MSDU的MAC头的附加信息,提高了MAC层的传输效率.
802.
11n支持在物理层的优化,提供短间隔功能.
原11a/g的GI时长800ns,而短间隔ShortGI时长为400ns,在使用ShortGI的情况下,可提高10%的速率.
表1-7配置802.
11n操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radiointerface-number-配置射频类型radio-type{dot11an|dot11gn}-指定当前射频接口的带宽模式channelband-width{20|40[auto-switch]}可选缺省情况下,802.
11an类型的射频接口的带宽为40MHz,802.
11gn类型的射频接口的带宽为20MHz.
当802.
11gn射频工作在40MHz带宽下,默认关闭自动带宽切换功能.
若要开启自动带宽切换功能,需要执行channelband-width40auto-switch命令该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍配置仅允许802.
11n用户接入功能clientdot11n-only可选缺省情况下,802.
11an类型的接口同时允许802.
11a和802.
11an用户接入;802.
11gn类型的接口同时允许802.
11b/g和802.
11gn的用户接入开启ShortGI功能short-gienable可选缺省情况下,ShortGI功能处于开启状态该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍1-10操作命令说明开启指定射频接口的A-MSDU功能a-msduenable可选缺省情况下,A-MSDU功能处于开启状态目前,设备只支持接收A-MSDU报文,不支持发送A-MSDU该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍开启指定射频接口的A-MPDU功能a-mpduenable可选缺省情况下,A-MPDU功能处于开启状态该特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍802.
11n射频模式的支持情况与设备型号相关,使用中请以设备实际情况为准.
关于802.
11n的基本MCS集和支持MCS集请参见"WLAN配置指导"的"WLANRRM配置".
1.
4.
8配置关闭设备上的所有指示灯配置关闭设备上的所有指示灯特性的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
设备正常运行过程中,开启了关闭AP设备的所有指示灯功能,则AP设备的所有灯(包括电源灯、射频灯等)都会灭灯,避免了AP设备的指示灯闪烁给用户带来的困扰.
表1-8配置关闭设备上的所有指示灯功能操作命令说明进入系统视图system-view-配置关闭当前AP设备的所有指示灯shut-all-ledenable必选缺省情况下,当前AP设备的所有指示灯是按照设备正常工作状态亮灯的1-111.
4.
9WLAN服务的显示和维护完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN服务的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令清除WLAN服务的相关信息.
在用户视图下执行wlanlink-test命令对无线客户端进行RFPing(RadioFrequencyPing)操作.
RFPing是一种针对无线链路的Ping功能,通过该检测可以获取AP和与之关联的无线客户端之间的无线链路的连接信息,如信号强度、报文重传次数、RTT(Round-tripTime,往返时间)等.
表1-9WLAN服务的显示和维护操作命令显示无线客户端的信息displaywlanclient{interfacewlan-radio[radio-number]|mac-addressmac-address|service-templateservice-template-number}[verbose][|{begin|exclude|include}regular-expression]显示服务模板的信息displaywlanservice-template[service-template-number][|{begin|exclude|include}regular-expression]显示服务模板的统计信息或连接历史信息displaywlanstatisticsservice-templateservice-template-number[connect-history][|{begin|exclude|include}regular-expression]显示无线客户端的统计信息displaywlanstatisticsclient{all|mac-addressmac-address}[|{begin|exclude|include}regular-expression]断开无线客户端的连接resetwlanclient{all|mac-addressmac-address}清除无线客户端的统计信息resetwlanstatisticsclient{all|mac-addressmac-address}对指定的无线客户端进行RFPing操作wlanlink-testmac-address1.
5配置无线用户隔离1.
5.
1无线用户隔离简介用户隔离功能是指关联到同一个AP上的所有无线用户之间的二层报文(单播/广播)相互不能转发,从而使无线用户之间不能直接进行通讯.
1-12图1-7用户隔离组网图在图1-7中,在AP上开启用户隔离功能后,Cleint1~Client4之间不能互通,也无法学习到对方的MAC地址和IP地址.
1.
5.
2开启无线用户隔离功能表1-10开启无线用户隔离功能操作命令说明进入系统视图system-view-开启无线用户隔离功能wlan-client-isolationenable可选缺省情况下,无线用户隔离功能是开启还是关闭与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
1.
6配置上行链路检测1.
6.
1配置上行接口FATAP通常需要通过以太网接口或Radio口(桥接链路)接入上行网络,如图1-8和图1-9所示.
如果AP的上行以太网口或Radio口出现故障,将导致AP及关联到AP的无线客户端无法继续访问上行网络.
开启上行链路检测后,一旦出现AP的上行链路故障,AP将停止提供无线接入服务,无线客户端将无法搜索到该AP的SSID,直至故障AP上行链路恢复正常工作后,无线客户端将可以重新接入该AP.
上行链接检测功能,保证了在无线客户端所关联的AP出现上行链路故障后,在同一区域还有其他正常工作AP覆盖的情况下,无线客户端可以通过关联到其他正常工作的AP接入上行网络.
1-13图1-8上行链路检测组网图(上行接口为以太网口)图1-9上行链路检测组网图(上行接口为Radio口)表1-11配置上行接口操作命令说明进入系统视图system-view-配置上行接口(上行接口为以太网口)wlanuplink-interfaceinterface-typeinterface-number可选缺省情况下,没有配置上行接口配置上行接口(上行接口为Radio口)wlanuplink-interfacemesh-linkinterface-typeinterface-number可选缺省情况下,没有配置上行接口有关wlanuplink-interfacemesh-link命令的详细介绍,请参见"WLAN命令参考"中的"WDS配置命令".
在上行链路检测的up或down事件发生的时刻,如果此时某radio上有WDS配置,那么在下一次上行链路检测事件发生之前(上行链路up或down),即便undo了WDS服务,该radio也不会再受上一次检测结果的影响.
但是下一次的上行链路检测事件可以正常作用于radio.
1.
7配置WorkgroupBridge模式通过配置WorkgroupBridge模式,使AP以无线客户端的方式接入到无线网络中,在有线网络中PC或打印机等可以通过该AP接入无线网络.
WiredNetworkUplinkinterfaceClientClientL2SwitchFATAPWiredNetworkUplinkinterfaceClientClientL2SwitchFATAP1-141.
7.
1开启Client模式Client模式即AP的WorkgroupBridge模式,提供AP以无线客户端接入无线网络的方式.
表1-12开启Client模式操作命令说明进入系统视图system-view-创建并进入WLAN-BSS接口interfacewlan-bsswlan-bss-进入射频接口视图interfacewlan-radiointerface-number-开启Client模式,并绑定WLAN-BSS接口client-modeinterfacewlan-bsswlan-bss必选缺省情况下,Client模式处于关闭状态不同型号的设备支持的射频模式类型不同,请以设备的实际情况为准.
在开启了Client模式的Radio口下不能开启接入服务或WDS服务.
如果采用802.
11(2.
4GHz)/802.
11(5GHz)的客户端模式,那么该客户端可以扫描到802.
11(2.
4GHz)/802.
11(5GHz)的无线服务.
1.
7.
2连接无线服务在开启Client模式后,AP需要进行Client模式的相关配置,最终作为WorkgroupBridge连接无线服务.
表1-13连接无线服务操作命令说明进入系统视图system-view-创建并进入WLAN-BSS接口interfacewlan-bsswlan-bss-进入射频接口视图interfacewlan-radiointerface-number-配置Client模式的认证方式client-modeauthentication-method{open-system|shared-key|wpa2-psk}可选缺省情况下,Client模式的认证方式为open-system配置Client模式的加密套件和预共享密钥client-modecipher-suite{ccmp|tkip|{wep40|wep104|wep128}[key-idkey-id]}key{pass-phrase|raw-key}[cipher|simple]key可选缺省情况下,没有配置Client加密套件和加密密钥配置Client模式的关联SSIDclient-modessidssid必选缺省情况下,没有配置Client模式的关联SSID1-15操作命令说明发起Client模式的AP与无线服务的连接client-modeconnect可选断开Client模式的AP与无线服务的连接client-modedisconnect可选1.
7.
3WorkgroupBridge模式的显示与维护在完成上述配置后,在任意视图下执行display命令可以显示配置后无线客户端的运行情况,通过查看显示信息验证配置的效果.
表1-14Client显示与维护操作命令显示当前无线客户端的配置和连接情况displaywlanclient-moderadio[|{begin|exclude|include}regular-expression]显示当前无线客户端扫描到的无线服务及信号质量displaywlanclient-modessid[ssid][|{begin|exclude|include}regular-expression]1.
8WLAN服务典型配置举例1.
8.
1WLAN服务典型配置举例1.
组网需求某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公.
具体要求如下:AP提供SSID为service的明文方式的无线接入服务.
采用目前较为常用的802.
11g射频模式.
2.
组网图图1-10WLAN服务组网图3.
配置步骤(1)配置FATAP#创建WLANBSS接口.
system-view[AP]interfaceWLAN-BSS11-16[AP-WLAN-BSS1]quit#配置WLAN服务模板为clear模式,不配置认证方式,使能服务模板.
[AP]wlanservice-template1clear[AP-wlan-st-1]ssidservice[AP-wlan-st-1]authentication-methodopen-system[AP-wlan-st-1]service-templateenable[AP-wlan-st-1]quit#在WLAN-Radio1/0/2上绑定无线服务模板1和WLAN-BSS1.
[AP]interfaceWLAN-Radio1/0/2[AP-WLAN-Radio1/0/2]radio-typedot11g[AP-WLAN-Radio1/0/2]channel1[AP-WLAN-Radio1/0/2]service-template1interfaceWLAN-BSS1(2)验证结果无线客户端可以成功关联AP,上线后可以访问网络.
可以使用displaywlanclient命令查看上线的无线客户端.
1.
8.
2802.
11n配置举例802.
11n射频模式、带宽模式和射频速率的支持情况与设备型号相关,使用中请以设备实际情况为准.
1.
组网需求某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.
11n无线网络.
具体要求如下:AP提供SSID为service的明文方式的无线接入服务.
为了保护现有投资,兼容现有的802.
11g无线网络,采用802.
11gn射频模式.
2.
组网图图1-11802.
11n配置组网图3.
配置步骤(1)配置FATAP#创建WLANBSS接口.
system-view[AP]interfaceWLAN-BSS1[AP-WLAN-BSS1]quit1-17#配置WLAN服务模板为clear模式,不配置认证方式,并使能该服务模板.
[AP]wlanservice-template1clear[AP-wlan-st-1]ssidservice[AP-wlan-st-1]authentication-methodopen-system[AP-wlan-st-1]service-templateenable[AP-wlan-st-1]quit#将WLAN-Radio1/0/2接口与该无线服务模板绑定.
[AP]interfaceWLAN-Radio1/0/2[AP-WLAN-Radio1/0/2]radio-typedot11gn[AP-WLAN-Radio1/0/2]channel6[AP-WLAN-Radio1/0/2]service-template1interfaceWLAN-BSS1(2)验证结果无线客户端可以成功关联AP,上线后可以访问网络.
可以使用displaywlanclientverbose命令查看上线的无线客户端.
在该命令的显示信息中会显示11n无线客户端的信息.
1.
9WorkgroupBridge模式配置举例1.
组网需求作为WorkgroupBridge的AP以Client的方式接入到无线网络中.
WorkgroupBridge的以太网口连接有线网络中多个主机或打印机等,通过WorkgroupBridge使有线网络接入无线网络.
具体要求为:AP接入有线局域网,WorkgroupBridge以客户端的方式接入AP;WorkgroupBridge采用SharedKey(WEP)的方式接入名为China-net的无线服务.
图1-12WorkgroupBridge模式配置组网图2.
配置步骤#创建WLANBSS接口.
system-view[AP]interfaceWLAN-BSS1[AP-WLAN-BSS1]quit#开启Client模式,并绑定WLAN-BSS接口.
[AP]interfaceWLAN-Radio1/0/1[AP-WLAN-Radio1/0/1]client-modeinterfacewlan-bss1LANSegment1-18#配置Client模式的认证方式.
[AP-WLAN-Radio1/0/1]client-modeauthentication-methodshared-key#配置Client模式的加密套件和预共享密钥.
[AP-WLAN-Radio1/0/1]client-modecipher-suitewep40keypass-phrasesimple12345#配置Client模式的关联SSID.
[AP-WLAN-Radio1/0/1]client-modessidChina-net#发起Client模式的AP与无线服务的连接.
[AP-WLAN-Radio1/0/1]client-modeconnect[AP-WLAN-Radio1/0/1]return3.
验证配置结果使用displaywlanclient-moderadio命令显示当前Client模式的AP的配置和连接情况.
displaywlanclient-moderadioWLANClientModeRadio:1Mode:802.
11gAuthenticationMethod:Shared-KeyCipherSuite:WEP40Key(Simple)WEPKeyID:N/ASSID:China-netBSSID:000f-e233-5501Status:ConnectedReceivedPacketsData:1324939Management:34876SentPacketsData:46365DiscardedPackets:38272Rate(Rx/Tx):125.
56911121824364854OnlineDuration:0days0hours45minutes5seconds通过显示信息可以看到上述对WorkgroupBridge模式的配置成功,AP作为WorkgroupBridge已经成功关联到无线服务China-net.
4.
注意事项(1)如果WorkgroupBridge同时使用两个Radio口,通过Radio2上线的Client可以通过WorkgroupBridge接入AP(需关闭无线用户隔离功能).
1-19图1-13WorkgroupBridge同时使用两个Radio口(2)如果需要对WorkgroupBridge的上行无线接口的VLAN属性进行配置,请确保WorkgroupBridge的上行无线接口的VLANID和其下行的以太网端口的VLANID保持一致.
i目录1WLAN安全配置·1-11.
1WLAN安全概述1-11.
1.
1链路认证方式·1-11.
1.
2WLAN服务的数据安全·1-21.
1.
3用户接入认证·1-31.
1.
4协议和标准·1-41.
2配置WLAN安全特性1-41.
2.
1使能认证方式·1-41.
2.
2配置PTK生存时间·1-51.
2.
3配置GTK密钥更新方法1-51.
2.
4配置安全信息元素·1-61.
2.
5配置加密套件·1-71.
2.
6配置端口安全·1-91.
2.
7配置WAPI1-111.
2.
8WLAN安全显示和维护·1-121.
3WLAN安全典型配置举例·1-121.
3.
1PSK认证典型配置举例1-121.
3.
2MAC-and-PSK认证典型配置举例·1-131.
3.
3802.
1X认证典型配置举例1-211.
3.
4动态WEP加密-802.
1X认证典型配置举例1-331.
4密码组合方式·1-351-11WLAN安全配置1.
1WLAN安全概述802.
11协议提供的无线安全可以很好地抵御一般性网络攻击,但是仍有少数黑客能够入侵无线网络,从而无法充分保护包含敏感数据的网络.
为了更好的防止未授权用户接入网络,需要实施一种性能高于802.
11的高级安全机制.
1.
1.
1链路认证方式为了保证无线链路的安全,AP需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段.
802.
11链路定义了两种认证机制:开放系统认证和共享密钥认证.
(1)开放系统认证(Opensystemauthentication)开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证.
如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证.
开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为"成功".
图1-1开放系统认证过程(2)共享密钥认证(Sharedkeyauthentication)共享密钥认证是除开放系统认证以外的另外一种链路认证机制.
共享密钥认证需要客户端和设备端配置相同的共享密钥.
共享密钥认证的认证过程为:客户端先向设备发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给客户端;客户端会将接收到的Challenge加密后再发送给无线设备端;无线设备端接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较.
如果相同,则说明客户端通过了链路认证;否则链路认证失败.
1-2图1-2共享密钥认证过程1.
1.
2WLAN服务的数据安全相对于有线网络,WLAN存在着与生俱来的数据安全问题.
在一个区域内的所有的WLAN设备共享一个传输媒介,任何一台设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全.
802.
11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密.
其它的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护.
目前支持四种安全服务.
(1)明文数据该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理.
(2)WEP加密WEP(WiredEquivalentPrivacy,有线等效加密)用来保护WLAN中的授权用户所交换的数据的机密性,防止这些数据被随机窃听.
WEP使用RC4加密算法(一种流加密算法)实现数据报文的加密保护.
根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密.
静态WEP加密:静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥.
如果WEP密钥被破解或泄漏,攻击者就能获取所有密文.
因此静态WEP加密存在比较大的安全隐患.
并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担.
动态WEP加密:动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善.
在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.
1X协议协商产生,这样每个客户端协商出来的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性.
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听、会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患.
(3)TKIP加密虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护.
APClientAuthenticationRequestAuthenticationResponse(Challenge)Authentication(EncryptedChallenge)AuthenticationResponse(Success)1-3首先,TKIP通过增长了算法的IV(初始化向量)长度提高了加密的安全性.
相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;另外,TKIP还支持了MIC认证(MessageIntegrityCheck,信息完整性校验)和Countermeasure功能.
当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击.
当在一段时间内连续接收到两个MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过静默一段时间不提供服务,实现对无线网络的攻击防御.
(4)CCMP加密CCMP(CountermodewithCBC-MACProtocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(AdvancedEncryptionStandard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法.
CCM结合CTR(Countermode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验.
CCMP中的AES块加密算法使用128位的密钥和128位的块大小.
同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性.
在加密处理过程中,CCMP也会使用48位的PN(PacketNumber)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性.
1.
1.
3用户接入认证(1)PSK认证PSK(PresharedKey,预共享密钥)认证需要实现在无线客户端和设备端配置相同的预共享密钥,如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败.
(2)802.
1X认证802.
1X协议是一种基于端口的网络接入控制协议(portbasednetworkaccesscontrolprotocol).
"基于端口的网络接入控制"是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制.
连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源.
(3)MAC地址认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件.
设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作.
认证过程中,也不需要用户手动输入用户名或者密码.
在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境.
MAC地址认证分为以下两种方式:本地MAC地址认证.
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证,此时需要在设备上配置本地用户名和密码.
通常情况下,可以采用MAC地址作为用户名,需要事先获知无线接入用户的MAC地址,并将客户端的MAC配置为本地用户名.
无线用户接入网络时,只有存在用户的MAC地址可以认证通过,其它用户将被拒绝接入.
1-4通过RADIUS服务器进行MAC地址认证.
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作.
在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络以及获得相应的授权信息.
采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器.
接入认证的相关内容请参加"安全配置指导"中的"802.
1X"和"MAC地址认证".
1.
1.
4协议和标准IEEEStandardforInformationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements-2004WI-FIProtectedAccess–EnhancedSecurityImplementationBasedOnIEEEP802.
11iStandard-Aug2004Informationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements—802.
11,1999IEEEStandardforLocalandmetropolitanareanetworks"Port-BasedNetworkAccessControl"802.
1X-2004802.
11iIEEEStandardforInformationtechnology—Telecommunicationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements1.
2配置WLAN安全特性在服务模板上配置WLAN安全属性,将服务模板映射到WLAN射频,并在服务模板中配置SSID名、通告设置(信标发送)及加密设置.
表1-1WLAN安全属性配置任务配置任务说明详细配置使能认证方式必选1.
2.
1配置PTK生存时间必选1.
2.
2配置GTK密钥更新方法必选1.
2.
3配置安全信息元素必选1.
2.
4配置加密套件必选1.
2.
5配置端口安全必选1.
2.
61.
2.
1使能认证方式开放系统方式和共享密钥方式可以单独使用,也可以同时使用.
1-5表1-2使能认证方式配置命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-使能认证方式authentication-method{open-system|shared-key}可选缺省情况下,使用open-system认证方式需要注意的是:只有在使用WEP加密时才可选用shared-key认证机制,此时必须配置命令authentication-methodshared-key对于RSN和WPA,必须使用open-system方式1.
2.
2配置PTK生存时间PTK密钥通过四次握手方式生成,需要用到如下属性:PMK(PairwiseMasterKey,成对主密钥),AP随机值(ANonce),站点随机值(SNonce),AP的MAC地址和客户端的MAC地址.
用户可以通过下面的操作来设置PTK的生存时间.
表1-3配置PTK生存时间配置命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-设置PTK生存时间ptk-lifetimetime可选缺省情况下,PTK生存时间为43200秒1.
2.
3配置GTK密钥更新方法GTK(GroupTemporalKey,群组临时密钥)由FatAP生成,在AP和客户端认证处理的过程中通过组密钥握手或者四次握手的方式发送到客户端.
客户端使用GTK来解密组播和广播报文.
RSN(RobustSecurityNetwork,健壮安全网络)可以通过四次握手或者组密钥握手方式来协商GTK,而WPA只使用组密钥握手方式来协商GTK.
用户可以使能基于时间或基于数据包的GTK密钥更新方法.
前者在指定时间间隔后更新GTK,后者在发送了指定数目的广播或组播数据包后更新GTK.
用户也可以配置当客户端离线时更新GTK.
1.
配置基于时间的密钥更新方法表1-4配置基于时间的更新方法配置命令说明进入系统视图system-view-1-6配置命令说明进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-开启GTK更新功能gtk-rekeyenable必选缺省情况下,GTK更新功能处于开启状态配置基于时间的GTK密钥更新方法gtk-rekeymethodtime-basedtime必选缺省情况下,密钥更新时间间隔为86400秒配置当有客户端离线时更新GTKgtk-rekeyclient-offlineenable可选缺省情况下,当有客户端离线时,不更新GTK只有执行了gtk-rekeyenable命令,此功能才有效2.
配置基于数据包的密钥更新方法表1-5配置基于数据包的密钥更新方法配置命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-开启GTK更新功能gtk-rekeyenable必选缺省情况下,GTK更新功能处于开启状态配置基于数据包的GTK更新方法gtk-rekeymethodpacket-based[packet]必选缺省情况下,在发送了10000000个数据包后更新GTK密钥配置当有客户端离线时更新GTK密钥gtk-rekeyclient-offlineenable可选缺省情况下,当有客户端离线时,不更新GTK只有执行了gtk-rekeyenable命令,此功能才有效缺省情况下,GTK更新采用基于时间的更新方法,时间间隔为86400秒.
新配置的更新方法会覆盖前一次的配置.
例如,如果先配置了基于数据包的更新然后又配置了基于时间的配置方法,则基于时间的配置将会生效.
1.
2.
4配置安全信息元素1.
配置WPAWPA(Wi-FiProtectedAccess,Wi-Fi保护访问)是一种比WEP性能更强的无线安全方案.
WPA工作在WPA-PSK模式(又称Personal模式)或者WPA-802.
1X模式(又称WPA-Enterprise模式)下.
PSK(PresharedKey,预共享密钥)模式下使用预共享密钥或者口令进行认证,而企业模式1-7使用802.
1XRADIUS服务器和EAP(ExtensibleAuthenticationProtocol,可扩展认证协议)进行认证.
表1-6配置WPA信息元素操作命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-使能安全信息元素security-iewpa必选2.
配置RSNRSN是一种仅允许建立RSNA(RobustSecurityNetworkAssociation,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性.
RSN通过信标帧的RSNIE(InformationElement,信息元素)中的指示来标识.
表1-7配置RSN信息元素操作命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-使能安全信息元素security-iersn必选1.
2.
5配置加密套件加密套件用于数据封装和解封装.
加密套件使用如下加密方法:WEP40/WEP104/WEP128TKIPCCMP1.
配置准备使用crypto类型的服务模板配置WEP、TKIP和CCMP.
2.
配置WEP(1)配置静态WEP加密WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥.
WEP加密机制采用RC4算法(一种流加密算法),支持WEP40、WEP104和WEP128三种密钥长度.
WEP加密方式可以分别和Open-system、Shared-key认证方式配合使用.
采用Open-system:此时WEP密钥只做加密,即使密钥配的不一致,用户也可以成功接入无线网络,但上线后传输的数据会因为密钥不一致被接收端丢弃.
采用Shared-key:此时WEP密钥做认证和加密,如果密钥不一致,客户端就不能通过链路认证,也就无法接入无线网络.
1-8表1-8配置静态WEP加密操作命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-使能加密套件cipher-suite{wep40|wep104|wep128}必选配置WEP缺省密钥wepdefault-key{1|2|3|4}{wep40|wep104|wep128}{pass-phrase|raw-key}[cipher|simple]key必选缺省情况下,WEP缺省密钥索引值为1配置密钥索引号wepkey-id{1|2|3|4}必选缺省情况下,密钥索引号为1(2)配置动态WEP加密表1-9配置动态WEP加密操作命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-配置动态WEP加密wepmodedynamic必选缺省情况下,使用静态WEP密钥方式需要注意的是,动态WEP加密必须和802.
1X认证方式一起使用使能加密套件cipher-suite{wep40|wep104|wep128}*可选配置动态WEP加密后,设备会自动使用WEP104加密方式,用户可以通过cipher-suite命令修改WEP加密方式为其它方式配置WEP缺省密钥wepdefault-key{1|2|3|4}{wep40|wep104|wep128}{pass-phrase|raw-key}[cipher|simple]key可选缺省情况下,没有配置WEP缺省密钥如果配置了WEP缺省密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧,如果不配置此参数,则由设备随机生成组播密钥配置密钥索引号wepkey-id{1|2|3}可选缺省情况下,密钥索引号为1配置动态WEP加密后,wepkey-id不能配置为41-93.
配置TKIP表1-10配置TKIP操作命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-使能加密套件cipher-suitetkip必选配置TKIP反制策略时间tkip-cm-timetime可选缺省情况下,TKIP反制策略时间为0秒,即不启动反制策略MIC(MessageIntegrityCheck,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性.
当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击.
此时,TKIP会启动反制策略时间,来阻止黑客的攻击.
4.
配置CCMPCCMP加密机制采用了更安全的对称加密算法AES.
表1-11配置CCMP操作命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numbercrypto-使能加密套件cipher-suiteccmp必选1.
2.
6配置端口安全认证类型可以配置的方式包括如下几种:PSK802.
1XMACPSK和MAC端口安全定义了各种端口安全模式,本手册只列出几种比较常见的端口安全模式,其它802.
1X和MAC地址认证的扩展和组合应用请参见"安全配置指导"中的"端口安全配置".
1-101.
配置准备在配置端口安全之前,完成以下任务:(1)创建无线端口(2)使能端口安全2.
配置端口安全(1)PSK认证表1-12配置PSK认证操作命令说明进入系统视图system-view-进入WLAN-BSS接口视图interfacewlan-bssinterface-number-使能密钥协商功能port-securitytx-key-type11key必选缺省情况下,没有使能11key协商功能配置预共享密钥port-securitypreshared-key{pass-phrase|raw-key}[cipher|simple]key必选缺省情况下,没有配置密钥配置PSK端口安全模式port-securityport-modepsk必选(2)802.
1X认证表1-13配置802.
1X认证操作命令说明进入系统视图system-view-进入WLAN-BSS接口视图interfacewlan-bssinterface-number-配置802.
1X端口安全模式port-securityport-mode{userlogin-secure|userlogin-secure-ext}必选(3)MAC认证表1-14配置MAC认证操作命令说明进入系统视图system-view-进入WLAN-BSS接口视图interfacewlan-bssinterface-number-配置MAC端口安全模式port-securityport-modemac-authentication必选802.
11i的相关配置不支持MAC认证模式.
1-11(4)PSK和MAC认证表1-15配置PSK和MAC认证操作命令说明进入系统视图system-view-进入WLAN-BSS接口视图interfacewlan-bssinterface-number-使能密钥协商功能port-securitytx-key-type11key必选缺省情况下,没有使能11key协商功能配置PSK和MAC端口安全模式port-securityport-modemac-and-psk必选配置PSK的预共享密钥port-securitypreshared-key{pass-phrase|raw-key}key必选如果密钥类型为字符串,长度应为8~63个字符;如果密钥类型为十六进制数,密钥应为64位(由数字0~9,字母a~f组成)十六进制数端口安全相关命令请参见"安全命令参考"中的"端口安全配置命令".
1.
2.
7配置WAPIWAPI(WLANAuthenticationandPrivacyInfrastructure,无线局域网鉴别与保密基础结构)是一种仅允许建立RSNA(RobustSecurityNetworkAssociation,健壮安全网络连接)的安全网络,提供比WEP和WPA更强的安全性.
WAPI可通过信标帧的WAPIIE(InformationElement,信息元素)中的指示来标识.
WAPI工作在WAPI-PSK模式或者WAPI-CERT模式.
PSK模式使用预共享密钥或者口令进行认证,而企业模式则使用AS服务器进行认证.
表1-16配置WAPI配置命令说明进入系统视图system-view-进入WLAN服务模板视图wlanservice-templateservice-template-numberwapi-WAPI相关配置请参见"WLAN配置指导"中的"WAPI配置".
1-121.
2.
8WLAN安全显示和维护完成上述配置后,在任意视图下执行display命令可以显示配置后WLAN安全的运行情况,通过查看显示信息验证配置的效果.
表1-17配置WLAN安全显示和维护操作命令查看指定的服务模板的信息displaywlanservice-template[service-template-number][|{begin|exclude|include}regular-expression]显示客户端信息displaywlanclient{interfacewlan-radio[radio-number]|mac-addressmac-address|service-templateservice-template-number}[verbose][|{begin|exclude|include}regular-expression]显示全局或指定端口的MAC地址认证信息displaymac-authentication[interfaceinterface-list][|{begin|exclude|include}regular-expression]显示安全MAC地址信息displayport-securitymac-addresssecurity[interfaceinterface-typeinterface-number][vlanvlan-id][count][|{begin|exclude|include}regular-expression]显示端口安全的PSK用户信息displayport-securitypreshared-keyuser[interfaceinterface-typeinterface-number][|{begin|exclude|include}regular-expression]显示端口安全的配置信息、运行情况和统计信息displayport-security[interfaceinterface-list][|{begin|exclude|include}regular-expression]显示802.
1X的会话连接信息、相关统计信息或配置信息displaydot1x[sessions|statistics][interfaceinterface-list][|{begin|exclude|include}regular-expression]在配置WLAN安全时可以根据具体选择的认证方式,使用相关的显示信息查看运行后的WLAN安全状态,具体命令请参见"安全命令参考"中的"端口安全配置命令"、"802.
1X配置命令"和"MAC地址认证配置命令".
1.
3WLAN安全典型配置举例1.
3.
1PSK认证典型配置举例1.
组网需求FATAP与二层交换机建立连接.
客户端的PSK密钥是12345678.
FATAP配置的密钥与客户端相同.
要求使用PSK认证(接入用户必须使用设备上预先配置的静态密钥与设备进行协商,协商成功后可访问端口)方式对客户端进行身份认证.
1-132.
组网图图1-3PSK配置组网图3.
配置步骤(1)配置FATAP#使能端口安全功能.
system-view[Sysname]port-securityenable#在WLANBSS接口下配置端口安全为psk认证方式(预共享密钥为12345678),配置11key类型的密钥协商功能.
[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-modepsk[Sysname-WLAN-BSS1]port-securitypreshared-keypass-phrasesimple12345678[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1]quit#配置服务模板为crypto类型,SSID为psktest,配置认证方式为开放系统认证,并使能服务模板.
[Sysname]wlanservice-template1crypto[Sysname-wlan-st-1]ssidpsktest[Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable#将WLAN-BSS接口与服务模板绑定.
[Sysname]interfacewlan-radio1/0/1[Sysname-WLAN-Radio1/0/1]radio-typedot11g[Sysname-WLAN-Radio1/0/1]service-template1interfacewlan-bss1(2)验证结果客户端配置相同的PSK预共享密钥.
客户端可以成功关联AP,并且可以访问无线网络.
可以使用displaywlanclientverbose和displayport-securitypreshared-keyuser命令查看上线的客户端.
1.
3.
2MAC-and-PSK认证典型配置举例1.
组网需求FATAP和RADIUS服务器通过二层交换机L2switch建立连接.
FATAP的IP地址为10.
18.
1.
1,RADIUS服务器的IP地址为10.
18.
1.
88.
要求客户端使用MAC-and-PSK认证方式接入网络.
1-142.
组网图图1-4MAC-and-PSK认证配置组网图3.
配置步骤(1)配置FATAP#使能端口安全功能.
system-view[Sysname]port-securityenable#在WLANBSS接口下配置端口安全为mac-and-psk认证方式(预共享密钥为12345678),配置11key类型的密钥协商功能.
[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-modemac-and-psk[Sysname-WLAN-BSS1]port-securitypreshared-keypass-phrasesimple12345678[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1]quit#配置服务模板为crypto类型,SSID为mactest.
[Sysname]wlanservice-template1crypto[Sysname-wlan-st-1]ssidmactest#配置信标和探测响应帧携带RSNIE,同时在帧加密时使用加密套件.
[Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]cipher-suiteccmp#配置认证方式为开放系统认证,并使能服务模板.
[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable#配置RADIUS方案rad的主认证/计费服务器的IP地址为10.
18.
1.
88,认证/授权/计费的共享密钥为123456748,服务器类型为extended,发送给RADIUS服务器的用户名格式为不带ISP域名.
[Sysname]radiusschemerad[Sysname-radius-rad]primaryauthentication10.
18.
1.
88[Sysname-radius-rad]primaryaccounting10.
18.
1.
88#配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678.
[Sysname-radius-rad]keyauthentication12345678[Sysname-radius-rad]keyaccounting12345678[Sysname-radius-rad]server-typeextended[Sysname-radius-rad]user-name-formatwithout-domain[Sysname-radius-rad]quitIPnetworkL2switchFATAPClient10.
18.
1.
88/24RADIUSserver10.
18.
1.
1/241-15#添加认证域cams,并为该域指定对应的RADIUS认证/授权/计费方案为rad.
[Sysname]domaincams[Sysname-isp-cams]authenticationlan-accessradius-schemerad[Sysname-isp-cams]authorizationlan-accessradius-schemerad[Sysname-isp-cams]accountinglan-accessradius-schemerad[Sysname-isp-cams]quit#指定MAC认证域为cams.
[Sysname]mac-authenticationdomaincams#配置MAC地址认证用户名格式.
使用不带连字符的MAC地址作为用户名与密码.
(注意要和服务器上使用的形式保持一致)[Sysname]mac-authenticationuser-name-formatmac-addresswithout-hyphen#将WLAN-BSS接口与服务模板绑定.
[Sysname]interfacewlan-radio1/0/1[Sysname-WLAN-Radio1/0/1]radio-typedot11g[Sysname-WLAN-Radio1/0/1]service-template1interfacewlan-bss1(2)配置RADIUSserver(CAMS)#增加接入设备.
登录进入CAMS管理平台,点击左侧菜单树中[系统管理]->[系统配置]的"接入设备配置"->"修改"->"增加"后,进入接入设备配置页面.
添加AP的IP地址10.
18.
1.
1;设置共享密钥为12345678;选择协议类型为LAN接入业务;设置验证及计费的端口号分别为1812和1813;选择RADIUS协议类型为扩展协议;选择RADIUS报文类型为标准报文.
图1-5接入设备配置页面#增加服务配置.
1-16点击左侧菜单树中[服务管理]->[服务配置],在服务配置列表中,选择"增加",添加服务名,在计费策略中选中配置好的计费策略(计费策略配置方法,此处略),这里选择不计费.
图1-6服务配置页面#增加用户配置.
点击左侧菜单树中[用户管理]->[帐号用户]的"增加"后输入用户名和密码.
此处需要注意将刚才配置的服务选上.
在添加帐号用户时,用户名为用户网卡的MAC地址,采用不带"-"的形式,如图1-7所示.
1-17图1-7用户配置页面(3)配置RADIUSserver(iMCV3)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
#增加接入设备.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置认证、计费共享密钥为12345678;设置认证及计费的端口号分别为1812和1813;选择协议类型为LAN接入业务;选择接入设备类型为H3C;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
1-18图1-8增加接入设备#增加服务配置.
选择"业务"页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置服务名为mac,其他保持缺省配置.
图1-9增加服务配置页面#增加接入用户.
选择"用户"页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击按钮,进入增加接入用户页面.
添加用户名00146c8a43ff;添加帐号名和密码为00146c8a43ff;勾选刚才配置的服务mac.
1-19图1-10增加接入用户(4)配置RADIUSserver(iMCV5)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0、iMCUAM5.
0),说明RADIUSserver的基本配置.
#增加接入设备.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置认证、计费共享密钥为12345678,其它保持缺省配置;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
1-20图1-11增加接入设备#增加服务配置.
选择"业务"页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击按钮,进入增加接入设备页面.
设置服务名为mac,其它保持缺省配置.
图1-12增加服务配置页面#增加接入用户.
选择"用户"页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击按钮,进入增加接入用户页面.
添加用户00146c8a43ff;添加帐号名和密码为00146c8a43ff;勾选刚才配置的服务mac.
1-21图1-13增加接入用户(5)验证结果客户端可以通过认证,可以成功关联AP,并且可以访问无线网络.
可以使用displaywlanclientverbose、displayconnection和displaymac-authentication命令查看上线的客户端.
1.
3.
3802.
1X认证典型配置举例1.
组网需求FATAP和RADIUS服务器通过二层交换机L2switch建立连接.
FATAP的IP地址为10.
18.
1.
1,RADIUS服务器的IP地址为10.
18.
1.
88.
要求使用802.
1X认证方式对客户端进行身份认证.
1-222.
组网图图1-14802.
1X典型配置组网图3.
配置步骤(1)配置FATAP#使能端口安全功能,并设置802.
1X用户的认证方式为eap.
system-view[Sysname]port-securityenable[Sysname]dot1xauthentication-methodeap#配置RADIUS方案rad的主认证/计费服务器的IP地址为10.
18.
1.
88,认证/授权/计费的共享密钥为123456748,发送给RADIUS服务器的用户名格式为不带ISP域名.
[Sysname]radiusschemerad[Sysname-radius-rad]primaryauthentication10.
18.
1.
88[Sysname-radius-rad]primaryaccounting10.
18.
1.
88#配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678.
[Sysname-radius-rad]keyauthentication12345678[Sysname-radius-rad]keyaccounting12345678[Sysname-radius-rad]user-name-formatwithout-domain[Sysname-radius-rad]quit#添加认证域cams,并为该域指定对应的RADIUS认证/授权/计费方案为rad.
[Sysname]domaincams[Sysname-isp-cams]authenticationlan-accessradius-schemerad[Sysname-isp-cams]authorizationlan-accessradius-schemerad[Sysname-isp-cams]accountinglan-accessradius-schemerad[Sysname-isp-cams]quit#设置cams为系统缺省的ISP域.
[Sysname]domaindefaultenablecams#在WLANBSS接口下配置端口模式为userlogin-secure-ext,配置11key类型的密钥协商功能.
[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-modeuserlogin-secure-ext[Sysname-WLAN-BSS1]port-securitytx-key-type11key#关闭802.
1X多播触发功能和在线用户握手功能.
[Sysname-WLAN-BSS1]undodot1xmulticast-trigger[Sysname-WLAN-BSS1]undodot1xhandshakeIPnetworkL2switchFATAPClient10.
18.
1.
88/24RADIUSserver10.
18.
1.
1/241-23[Sysname-WLAN-BSS1]quit#创建服务模板1(加密类型服务模板),配置SSID为dot1x.
[Sysname]wlanservice-template1crypto[Sysname-wlan-st-1]ssiddot1x#配置认证方式为开放系统认证,配置信标和探测响应帧携带RSNIE,同时在帧加密时使用加密套件.
[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]service-templateenable[Sysname-wlan-st-1]quit#将WLAN-BSS接口与服务模板绑定.
[Sysname]interfacewlan-radio1/0/1[Sysname-WLAN-Radio1/0/1]radio-typedot11g[Sysname-WLAN-Radio1/0/1]service-template1interfacewlan-bss1(2)配置RADIUSserver(CAMS)#增加接入设备.
登录进入CAMS管理平台,点击左侧菜单树中[系统管理]->[系统配置]的"接入设备配置"->"修改"->"增加"后,进入接入设备配置页面.
添加AP的IP地址10.
18.
1.
1;设置共享密钥为12345678;选择协议类型为LAN接入业务;设置验证及计费的端口号分别为1812和1813;选择RADIUS协议类型为扩展协议;选择RADIUS报文类型为标准报文.
图1-15接入设备配置页面#服务配置.
1-24点击左侧菜单树中[服务管理]->[服务配置],在服务配置列表中,选择"增加".
添加服务名,这里选择不计费.
选中"启动证书认证",选择"EAP-PEAP认证类型"和认证子类型中"MS-CHAPV2".
图1-16服务配置页面#用户配置.
左侧菜单下,进入用户管理,帐号用户,选择"增加"输入用户名和密码.
此处需要注意将刚才配置的服务选上.
1-25图1-17用户配置页面(3)配置RADIUSserver(iMCV3)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
#增加接入设备.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置认证、计费共享密钥为12345678;设置认证及计费的端口号分别为1812和1813;选择协议类型为LAN接入业务;选择接入设备类型为H3C;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
1-26图1-18增加接入设备#增加服务配置.
选择"业务"页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置服务名为dot1x.
选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证.
图1-19增加服务配置页面#增加接入用户.
1-27选择"用户"页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击按钮,进入增加接入用户页面.
添加用户名;添加帐号名为user,密码为dot1x;勾选刚才配置的服务dot1x.
图1-20增加接入用户(4)配置RADIUSserver(iMCV5)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0、iMCUAM5.
0),说明RADIUSserver的基本配置.
#增加接入设备.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置认证、计费共享密钥为12345678,其它保持缺省配置;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
1-28图1-21增加接入设备#增加服务配置.
选择"业务"页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置服务名为dot1x;选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证.
1-29图1-22增加服务配置页面#增加接入用户.
选择"用户"页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击按钮,进入增加接入用户页面.
添加用户user;添加帐号名为user,密码为dot1x;选中刚才配置的服务dot1x.
1-30图1-23增加接入用户(5)配置无线网卡选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击"属性",去掉验证服务器证书选项(此处不验证服务器证书),点击"配置",去掉自动使用windows登录名和密码选项.
然后"确定".
整个过程如下图所示.
1-31图1-24无线网卡配置过程1-32图1-25无线网卡配置过程1-33图1-26无线网卡配置过程(6)验证结果客户端通过802.
1X认证成功关联AP,并且可以访问无线网络.
可以使用displaywlanclientverbose、displayconnection和displaydot1x命令查看上线的客户端.
1.
3.
4动态WEP加密-802.
1X认证典型配置举例1.
组网需求FATAP和RADIUS服务器通过二层交换机建立连接.
FATAP的IP地址为10.
18.
1.
1,RADIUS服务器的IP地址为10.
18.
1.
88.
要求客户端使用动态WEP加密方式接入网络.
1-342.
组网图图1-27动态WEP加密-802.
1X认证典型配置组网图3.
配置步骤(1)配置FATAP#使能端口安全.
system-view[Sysname]port-securityenable#配置802.
1X用户的认证方式为EAP.
[Sysname]dot1xauthentication-methodeap#配置RADIUS方案rad,指定extended类型的RADIUS服务器,表示支持与服务器交互扩展报文.
[Sysname]radiusschemerad[Sysname-radius-rad]server-typeextended#配置主认证RADIUS服务器的IP地址10.
18.
1.
88,主计费RADIUS服务器的IP地址10.
18.
1.
88.
[Sysname-radius-rad]primaryauthentication10.
18.
1.
88[Sysname-radius-rad]primaryaccounting10.
18.
1.
88#配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678,系统与计费RADIUS服务器交互报文时的共享密钥为12345678.
[Sysname-radius-rad]keyauthentication12345678[Sysname-radius-rad]keyaccounting12345678[Sysname-radius-rad]user-name-formatwithout-domain[Sysname-radius-rad]quit#添加认证域bbb,并为该域指定对应的RADIUS认证方案为rad.
[Sysname]domainbbb[Sysname-isp-bbb]authenticationlan-accessradius-schemerad[Sysname-isp-bbb]authorizationlan-accessradius-schemerad[Sysname-isp-bbb]accountinglan-accessradius-schemerad[Sysname-isp-bbb]quit[Sysname]domaindefaultenablebbb#配置WLAN-BSS接口,认证方式为userlogin-secure-ext.
[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-modeuserlogin-secure-ext#关闭802.
1X多播触发功能和在线用户握手功能.
[Sysname-WLAN-BSS1]undodot1xmulticast-trigger[Sysname-WLAN-BSS1]undodot1xhandshakeIPnetworkL2switchFATAPClient10.
18.
1.
88/24RADIUSserver10.
18.
1.
1/241-35[Sysname-WLAN-BSS1]quit#创建服务模板(加密类型服务模板),配置SSID为dot1x,并开启动态WEP加密.
[Sysname]wlanservice-template1crypto[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]ssiddot1x[Sysname-wlan-st-1]wepmodedynamic[Sysname-wlan-st-1]service-templateenable[Sysname-wlan-st-1]quit#将WLAN-BSS接口与服务模板绑定.
[Sysname]interfacewlan-radio1/0/1[Sysname-WLAN-Radio1/0/1]radio-typedot11g[Sysname-WLAN-Radio1/0/1]service-template1interfacewlan-bss1(2)配置RADIUSserver(CAMS)请参考"1.
3.
33.
(2)配置RADIUSserver(CAMS)"部分.
(3)配置RADIUSserver(iMCV3)请参考"1.
3.
33.
(3)配置RADIUSserver(iMCV3)"部分.
(4)配置RADIUSserver(iMCV5)请参考"1.
3.
33.
(4)配置RADIUSserver(iMCV5)"部分.
(5)配置无线网卡请参考"1.
3.
33.
(5)配置无线网卡"部分.
(6)验证结果在客户端弹出的对话框中输入用户名user和密码dot1x.
客户端可以成功关联AP,并且可以访问无线网络.
可以使用displaywlanclientverbose、displayconnection和displaydot1x命令查看上线的客户端.
1.
4密码组合方式本节内容包括了加密套件配置中使用到的所有组合方式.
1.
RSN对于RSN,无线安全支持CCMP和TKIP作为成对密钥,而WEP只用作组加密套件.
下面是无线安全支持的RSN的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在).
表1-18RSN的加密套件组合方式单播密钥广播密钥认证方式安全类型CCMPWEP40PSKRSNCCMPWEP104PSKRSNCCMPWEP128PSKRSNCCMPTKIPPSKRSNCCMPCCMPPSKRSNTKIPWEP40PSKRSN1-36单播密钥广播密钥认证方式安全类型TKIPWEP104PSKRSNTKIPWEP128PSKRSNTKIPTKIPPSKRSNCCMPWEP40802.
1XRSNCCMPWEP104802.
1XRSNCCMPWEP128802.
1XRSNCCMPTKIP802.
1XRSNCCMPCCMP802.
1XRSNTKIPWEP40802.
1XRSNTKIPWEP104802.
1XRSNTKIPWEP128802.
1XRSNTKIPTKIP802.
1XRSN2.
WPA对于WPA,无线安全支持CCMP和TKIP作为成对密钥,而WEP只用作组加密套件.
下面是无线安全支持的WPA的加密套件组合方式(WEP40、WEP104和WEP128不能同时存在).
表1-19WPA的加密套件组合方式单播密钥广播密钥认证方式安全类型CCMPWEP40PSKWPACCMPWEP104PSKWPACCMPWEP128PSKWPACCMPTKIPPSKWPACCMPCCMPPSKWPATKIPWEP40PSKWPATKIPWEP104PSKWPATKIPWEP128PSKWPATKIPTKIPPSKWPACCMPWEP40802.
1XWPACCMPWEP104802.
1XWPACCMPWEP128802.
1XWPACCMPTKIP802.
1XWPACCMPCCMP802.
1XWPATKIPWEP40802.
1XWPATKIPWEP104802.
1XWPA1-37单播密钥广播密钥认证方式安全类型TKIPWEP128802.
1XWPATKIPTKIP802.
1XWPA3.
PreRSN对于PreRSN无线客户端,无线安全仅支持WEP加密套件(WEP40、WEP104和WEP128不能同时存在).
表1-20PreRSN的加密套件组合方式单播密钥广播密钥认证方式安全类型WEP40WEP40OpensystemnoSecTypeWEP104WEP104OpensystemnoSecTypeWEP128WEP128OpensystemnoSecTypeWEP40WEP40SharedkeynoSecTypeWEP104WEP104SharedkeynoSecTypeWEP128WEP128SharedkeynoSecTypei目录1WLANRRM配置·1-11.
1WLANRRM简介1-11.
2WLANRRM配置任务简介·1-11.
3配置射频速率·1-21.
3.
1配置802.
11a/802.
11b/802.
11g射频速率·1-21.
3.
2配置802.
11n射频速率·1-31.
4配置信道排除·1-51.
5配置对无线客户端的发射功率进行限制·1-61.
6配置扫描非802.
11h信道·1-71.
7配置802.
11g保护功能·1-71.
7.
1开启802.
11g保护功能·1-71.
7.
2配置802.
11g保护方式·1-81.
8配置802.
11n保护功能·1-81.
8.
1开启802.
11n保护功能·1-81.
8.
2配置802.
11n保护方式·1-91.
9配置最大带宽参考值·1-101.
10WLANRRM显示1-111.
11频谱导航·1-111.
11.
1配置准备1-111.
11.
2开启频谱导航功能·1-121.
11.
3配置频谱导航参数·1-121.
11.
4频谱导航配置举例·1-131-11WLANRRM配置1.
1WLANRRM简介无线资源管理(WLANRRM,WLANRadioResourceManagement)是一种可升级的射频管理解决方案,通过提供一套系统化的实时智能射频管理方案,使无线网络能够快速适应无线环境变化,保持最优的射频资源状态.
对于无线局域网,信道是非常稀缺的资源,每个AP只能够工作在非常有限的信道上,所以智能地为AP分配信道是无线应用的关键.
同时,无线局域网工作的频段可能存在大量的干扰源,如雷达、微波炉等,这些干扰会影响AP的正常工作.
通过在AP上配置自动信道调整功能,对信道进行实时扫描检测,保证每个AP能够分配到信道,避免AP使用存在雷达、微波炉等干扰源的信道.
信道调整受以下四种因素影响.
误码率:包括传输过程中物理层的误码率和CRC错误.
冲突:802.
11信号或非802.
11信号对无线接入服务产生的影响.
重传:由于AP没有收到ACK报文造成的数据重传.
在工作信道上检测到雷达信号.
满足前三种的情况下,AP会开始计算信道质量,只要发现了比当前信道更优的信道,在达到切换时间时就会切换.
当AP射频的工作信道配置为自动选择信道模式时(通过channelauto命令配置),自动信道调整功能是自动开启的,不需要通过命令配置.
在FatAP上仅支持mesh链路自动信道调整功能.
1.
2WLANRRM配置任务简介表1-1WLANRRM配置任务简介配置任务说明详细配置配置射频速率可选1.
3配置信道排除可选1.
4配置对无线客户端的发射功率进行限制可选1.
5配置扫描非802.
11h信道可选1.
6使能802.
11g保护可选1.
7配置802.
11n保护可选1.
8配置最大带宽参考值可选1.
91-21.
3配置射频速率射频模式的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
1.
3.
1配置802.
11a/802.
11b/802.
11g射频速率表1-2配置802.
11a/802.
11b/802.
11g射频速率操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-设置"802.
11a"模式下的射频速率dot11a{disabled-rate|mandatory-rate|multicast-rate|supported-rate}rate-value可选缺省情况下,禁用速率:无;强制速率:6,12,24;组播速率:自动从强制速率集中选取,即在所有客户端都支持的强制速率中选取发送速率,作为组播报文的发送速率支持速率:9,18,36,48,54802.
11a射频模式的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍设置"802.
11b"模式下的射频速率dot11b{disabled-rate|mandatory-rate|multicast-rate|supported-rate}rate-value可选缺省情况下,禁用速率:无;强制速率:1,2;组播速率:自动从强制速率集中选取,即在所有客户端都支持的强制速率中选取发送速率,作为组播报文的发送速率支持速率:5.
5,11设置"802.
11g"模式下的射频速率dot11g{disabled-rate|mandatory-rate|multicast-rate|supported-rate}rate-value可选缺省情况下,禁用速率:无;强制速率:1,2,5.
5,11;组播速率:自动从强制速率集中选取,即在所有客户端都支持的强制速率中选取发送速率,作为组播报文的发送速率支持速率:6,9,12,18,24,36,48,541-31.
3.
2配置802.
11n射频速率802.
11n射频速率的配置通过MCS(ModulationandCodingScheme,调制与编码策略)索引值实现.
MCS调制编码表是802.
11n协议为表征WLAN的通讯速率而提出的一种表示形式.
MCS将所关注的影响通讯速率的因素作为表的列,将MCS索引作为行,形成一张速率表.
所以,每一个MCS索引其实对应了一组参数下的物理传输速率,表1-3和表1-4分别列举了带宽为20MHz和带宽为40MHz的MCS速率表.
从表中可以得到结论:当MSC索引取值为0~7时,空间流数量为1,当MCS=7时,速率值最大.
当MSC索引取值为8~15时,空间流数量为2,当MCS=15时,速率值最大.
当MSC索引取值为16~23时,空间流数量为3,当MCS=23时,速率值最大.
完整的MCS对应速率表可参见"IEEE802.
11n-2009",MCS索引的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
表1-3MCS对应速率表(20MHz)MCS索引空间流数量调制方式速率(Mb/s)800nsGI400nsGI01BPSK6.
57.
211QPSK13.
014.
421QPSK19.
521.
73116-QAM26.
028.
94116-QAM39.
043.
35164-QAM52.
057.
86164-QAM58.
565.
07164-QAM65.
072.
282BPSK13.
014.
492QPSK26.
028.
9102QPSK39.
043.
311216-QAM52.
057.
812216-QAM78.
086.
713264-QAM104.
0115.
614264-QAM117.
0130.
015264-QAM130.
0144.
4163BPSK19.
521.
7173QPSK39.
043.
3183QPSK58.
565.
019316-QAM78.
086.
71-4MCS索引空间流数量调制方式速率(Mb/s)800nsGI400nsGI20316-QAM117.
0130.
021364-QAM156.
0173.
322364-QAM175.
5195.
023364-QAM195.
0216.
7表1-4MCS对应速率表(40MHz)MCS索引空间流数量调制方式速率(Mb/s)800nsGI400nsGI01BPSK13.
515.
011QPSK27.
030.
021QPSK40.
545.
03116-QAM54.
060.
04116-QAM81.
090.
05164-QAM108.
0120.
06164-QAM121.
5135.
07164-QAM135.
0150.
082BPSK27.
030.
092QPSK54.
060.
0102QPSK81.
090.
011216-QAM108.
0120.
012216-QAM162.
0180.
013264-QAM216.
0240.
014264-QAM243.
0270.
015264-QAM270.
0300.
0163BPSK40.
545.
0173QPSK81.
090.
0183QPSK121.
5135.
019316-QAM162.
0180.
020316-QAM243.
0270.
021364-QAM324.
0360.
022364-QAM364.
5405.
023364-QAM405.
0450.
01-5MCS分为三类:基本MCS集、支持MCS集、组播MCS集.
基本MCS集:AP必须支持的MCS速率集,客户端必须满足AP所配置的基本MCS速率才能够与AP进行关联.
支持MCS集:在基本MCS集的基础上,AP所能够支持的更高的速率集合,配置支持MCS速率集使客户端在满足基本MCS的前提下选择更高的速率与AP进行关联.
组播MCS集:在基本MCS集的基础上,AP所能够支持的更高的组播速率集合,配置组播MCS速率集使客户端可在配置的组播MCS速率集上发送组播速率.
需要注意的是,配置MCS索引值时,输入的MCS索引值表示的是一个范围,即指0~配置值,例如输入5,则表示指定了所设置的MCS值为0~5.
802.
11n射频速率的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
如果用户在指定射频接口下配置使能了clientdot11n-only命令,则必须配置基本MCS集.
表1-5配置802.
11n射频速率操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-配置802.
11n基本MCS集的最大MCS索引dot11nmandatorymaximum-mcsindex可选缺省情况下,没有配置任何基本MCS集配置802.
11n支持MCS集的最大MCS索引dot11nsupportmaximum-mcsindex可选缺省情况下,支持MCS集的索引为76配置802.
11n的组播MCS集的最大MCS索引dot11nmulticast-rateindex可选缺省情况下,没有配置802.
11n的组播MCS索引1.
4配置信道排除为了避免设备在自动选择信道时使用某些不合适的信道,用户可以通过配置信道排除列表使部分信道不参与信道选择.
配置信道排除列表之后,设备在进行信道选择前会过滤指定的信道,被排除的信道将不会参与自动选择信道(无线接入服务,WDS)、自动信道调整以及WDS自动信道调整.
Rogue设备检测以及WIDS攻击检测等不会受此配置影响.
表1-6配置信道排除操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-1-6操作命令说明配置信道排除列表dot11aexclude-channelchannel-list可选缺省情况下,信道排除列表中不存在任何信道配置5GHz信道排除列表的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍dot11bgexclude-channelchannel-list信道排除列表的选择范围不受国家码限制,即不在当前国家码范围内的信道也可被添加到信道排除列表中.
修改国家码时,已经配置的信道排除列表也不会受国家码影响.
设备会在排除后信道及国家码支持信道的交集内选择信道,因此在配置此功能时,请不要将当前国家码下的所有信道都添加到信道排除列表中.
如果用户使用dot11a/dot11bgexclude-channel命令将设备自动选择出来的信道加入到信道排除列表,那么设备会先自动关闭Radio,再开启Radio,然后会在排除后信道及国家码支持信道的交集内重新选择一个可用信道.
对于工作带宽为40MHz的802.
11n射频模式,如果将自动选择出来的主信道加入到信道排除列表,设备会重新选择一个可用的主信道;在设备自动选择主信道的情况下,如果将辅信道加入到信道排除列表,设备也会重新选择辅信道,设备找不到可用的辅信道,此时,无线接入/WDS服务将没有可用信道.
1.
5配置对无线客户端的发射功率进行限制配置对无线客户端的发射功率进行限制特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
开启802.
11a频段的频谱管理特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
表1-7配置对无线客户端的发射功率进行限制操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-开启802.
11a频段的频谱管理功能spectrum-managementenable必选缺省情况下,频谱管理功能处于关闭状态1-7操作命令说明配置对所有的802.
11a无线客户端的发射功率进行限制power-constraintpower-constraint可选缺省情况下,对于802.
11a的无线客户端的发射功率的限制为为0dBm1.
6配置扫描非802.
11h信道扫描非802.
11h信道的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
表1-8配置扫描非802.
11h信道操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-配置扫描非802.
11h信道autochannel-setavoid-dot11h可选缺省情况下,扫描国家码下设备所支持的所有信道1.
7配置802.
11g保护功能1.
7.
1开启802.
11g保护功能当网络中同时接入了802.
11b和802.
11g的用户,由于调制方式不同,这两种用户很容易产生冲突,导致网络速率严重下降.
为了保证802.
11b用户和802.
11g用户能够同时正常工作,可启动802.
11g保护机制,使运行802.
11g的设备发送RTS/CTS(RequesttoSend/CleartoSend,请求发送/允许发送)报文或CTS-to-Self(CTS报文的接收地址等于自己)报文来避免和802.
11b设备发生冲突,确保802.
11b和802.
11g用户可以同时工作.
以下两种情况会使运行802.
11g的AP执行802.
11g保护功能.
802.
11b的无线客户端和运行802.
11g的AP相关联;运行802.
11g的AP探测到周边同一信道内的运行802.
11b的AP或无线客户端.
在第一种情况下,无论是否使用命令行开启802.
11g保护功能,802.
11g保护功能都是运行的;在第二种情况下,只有通过命令dot11gprotectionenable开启了802.
11g保护功能后,802.
11g保护功能才会生效.
表1-9开启802.
11g保护操作命令说明进入系统视图system-view-1-8操作命令说明进入RRM视图wlanrrm-开启802.
11g保护功能dot11gprotectionenable可选缺省情况下,802.
11g保护功能处于关闭状态开启802.
11g保护功能会降低网络性能.
1.
7.
2配置802.
11g保护方式802.
11g保护方式有两种:RTS/CTS:当AP向某个客户端发送数据的时候,AP会向客户端发送一个RTS报文,这样所有在AP覆盖范围内的设备在收到RTS报文后都会在指定的时间内停止发送数据.
该客户端收到RTS报文后,会再发送一个CTS报文,这样保证在该客户端覆盖范围内的所有无线设备都会在指定的时间内停止发送数据.
CTS-to-Self:当AP需要向客户端发送报文的时候,会使用自己的地址发送一个CTS报文,通告自己要发送报文,这样所有在AP覆盖范围内的无线设备都会在指定的时间内不发送数据.
表1-10配置802.
11g保护方式操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-配置802.
11g保护方式dot11gprotection-mode{cts-to-self|rts-cts}可选缺省情况下,802.
11g保护方式为CTS-to-Self方式1.
8配置802.
11n保护功能1.
8.
1开启802.
11n保护功能802.
11n保护功能的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
类似于802.
11g保护,802.
11n设备与非802.
11n设备共存的情况下,在进行传输前,需要启用RTS/CTS或CTS-to-self方式进行保护,降低或避免共享传输媒介冲突.
802.
11n保护有四种模式:1-9noprotectionmode:AP上关联的客户端以及周围环境中的无线设备都为802.
11n模式,并且在AP上关联的客户端都是40MHz带宽的802.
11n客户端;或者在AP上关联的客户端都是20MHz带宽的802.
11n客户端.
Non-membermode:AP上关联的客户端都是802.
11n客户端,但是周围环境中存在着非802.
11n无线设备.
20MHzmode:AP的射频带宽模式为40MHz,AP上关联的客户端以及周围环境中的无线设备都为802.
11n模式,并且在该AP的射频上至少关联了一个20MHz带宽的802.
11n客户端.
Non-HTmixmode:除以上三种之外的其他所有情况都属于此模式.
如果为noprotectionmode或者20MHzmode,并且连接的客户端都支持greenfieldformat,则不需要启用任何保护,因为环境中的无线设备都能解析所有报文.
如果为noprotectionmode或者20MHzmode,但是连接的客户端有不支持greenfieldformat,则使用HT_GF格式发送报文的无线设备需要使用802.
11n保护.
如果为non-membermode或者non-HTmixmode,则根据环境中的无线设备类型的不同,需要采用不同的保护方式.
如果环境中的非802.
11n设备为802.
11g或者802.
11a设备,则使用HT_MF格式发送报文的无线设备不需要使用802.
11n保护.
使用HT_GF格式发送报文的无线设备需要使用802.
11n保护.
表1-11开启802.
11n保护操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-开启802.
11n保护功能dot11nprotectionenable可选缺省情况下,802.
11n保护功能处于关闭状态需要注意的是,开启802.
11n保护功能会降低网络性能.
1.
8.
2配置802.
11n保护方式802.
11n保护方式的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
802.
11n保护方式有两种:RTS/CTS:当AP向某个客户端发送数据的时候,AP会向客户端发送一个RTS报文,这样所有在AP覆盖范围内的设备在收到RTS报文后都会在指定的时间内不发送数据.
该客户端收到RTS报文后,会再发送一个CTS报文,这样保证在该客户端覆盖范围内的所有的无线设备都会在指定的时间内不发送数据.
1-10CTS-to-Self:当AP需要向客户端发送报文的时候,会使用自己的地址发送一个CTS报文,通告自己要发送报文,这样所有在AP覆盖范围内的无线设备都会在指定的时间内不发送数据.
表1-12配置802.
11n保护方式操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-配置802.
11n保护方式dot11nprotection-mode{cts-to-self|rts-cts}可选缺省情况下,802.
11n保护方式为CTS-to-Self1.
9配置最大带宽参考值最大带宽参考值的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
修改射频参考值后,对于已经开启智能带宽保障功能的射频,修改的射频参考值不会生效.
必须关闭相应的射频,在重新使能射频之后,修改后的配置才会生效.
表1-13配置最大带宽参考值操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-配置最大带宽参考值802.
11a模式dot11amax-bandwidth11a-bandwidth根据具体情况选择缺省情况下:802.
11a的最大带宽参考值为30000kbps802.
11b的最大带宽参考值为7000kbps802.
11g的最大带宽参考值为30000kbps802.
11n的最大带宽参考值与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍配置的最大带宽参考值应接近并略小于实际可达的流量上限802.
11b模式dot11bmax-bandwidth11b-bandwidth802.
11g模式dot11gmax-bandwidth11g-bandwidth802.
11n模式dot11nmax-bandwidth11n-bandwidth1-111.
10WLANRRM显示在完成上述配置后,在任意视图下执行display命令可以显示配置后RRM的运行情况,通过查看显示信息验证配置的效果.
表1-14WLANRRM显示操作命令查看WLANRRM配置displaywlanrrm[|{begin|exclude|include}regular-expression]1.
11频谱导航在实际无线网络环境中,某些客户端只能工作在2.
4GHz频段上,也有一部分客户端可以同时支持2.
4GHz和5GHz频段,如果支持双频的客户端都工作在2.
4GHz频段上,会导致2.
4GHz射频过载,5GHz射频相对空余.
在这种情况下,可以在设备上开启频谱导航功能.
频谱导航功能可以将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能.
开启频谱导航功能后,AP会对发起连接请求的客户端进行导航,将其均衡地连接至该AP的不同射频上.
当客户端与某个AP连接时,若该客户端只支持单频2.
4GHz,则AP会在拒绝若干次后允许其关联.
若客户端支持双频,AP则会将客户端优先引导至5GHz射频上.
若客户端只支持单频5GHz,则会直接关联至AP的5GHz射频上.
在双频客户端关联到5GHz射频前,AP会检查5GHz射频接收到的客户端的RSSI值,若该RSSI值低于设定值,则不会将此客户端导航至5GHz射频.
如果5GHz射频上已连接的客户端数量达到门限,且5GHz射频与2.
4GHz射频上连接的客户端差达到或超过差值门限,AP会拒绝客户端接入5GHz射频,且允许新客户端接入2.
4GHz射频(即不会引导双频客户端优先接入5GHz射频).
如果客户端反复向该AP的5GHz射频上发起关联请求,且AP拒绝客户端关联请求次数达到设定的最大拒绝关联请求次数,那么该AP会认为此时该客户端不能连接到其它的AP,同时不能连接到该AP的2.
4GHz射频上(即此客户端只支持5GHz频段),在这种情况下,AP上的5GHz射频也会接受该客户端的关联请求.
开启频谱导航后,客户端的关联效率将受到影响,因此不建议在普遍使用单频2.
4GHz客户端的场景下开启本功能.
对于要求低延迟的网络环境,不建议开启频谱导航功能.
频谱导航特性的支持情况与设备型号相关,请参见"配置指导导读"的"特性差异情况"部分的介绍.
1.
11.
1配置准备为使频谱导航功能能够正常运行,需完成以下任务:确认客户端接入的SSID的快速关联功能处于关闭状态.
缺省情况下,快速关联功能处于关闭状态.
关于快速关联的介绍和配置请参见"WLAN配置指导"中的"WLAN服务配置".
1-12AP的两个射频模式分别为5GHz和2.
4GHz,客户端接入的SSID绑定在同一AP的两个射频上.
1.
11.
2开启频谱导航功能表1-15开启频谱导航功能操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-开启频谱导航功能band-navigationenable必选缺省情况下,频谱导航功能处于关闭状态1.
11.
3配置频谱导航参数表1-16配置频谱导航参数操作命令说明进入系统视图system-view-进入RRM视图wlanrrm-配置频谱导航的负载均衡门限band-navigationbalancesessionsession[gapgap]可选缺省情况下,频谱导航的负载均衡功能关闭配置设备拒绝5GHz客户端关联请求的最大次数band-navigationbalanceaccess-denialaccess-denial可选缺省情况下,不进行拒绝配置频谱导航的RSSI门限band-navigationrssi-thresholdrssi-threshold可选缺省情况下,频谱导航RSSI门限为15本命令仅对工作在5GHz射频模式下的客户端生效配置客户端信息的老化时间band-navigationaging-timeaging-time可选缺省情况下,客户端信息的老化时间为180秒当客户端请求连接AP时,AP会记录客户端的相关信息.
在到达老化时间前,AP接收到客户端的ProbeRequest或AssociationRequest,那么AP会刷新客户端信息,重新计算客户端信息的老化时间.
到达老化时间仍得不到刷新的客户端信息将被AP删除.
删除客户端信息后,AP在计算频谱导航时不会计算该客户端1-131.
11.
4频谱导航配置举例1.
组网需求Client1~Client4需要接入AP1,其中AP1的两个射频模式分别为5GHz和2.
4GHz,Client1、Client2与Client3为双频客户端,Client4为单频2.
4GHz客户端.
要求使用频谱导航功能,充分利用AP1的两个射频,使两个频段上的客户端数量相对均衡.
2.
组网图图1-1频谱导航组网图3.
配置步骤#开启AP频谱导航功能.
system-view[AP]wlanrrm[AP-wlan-rrm]band-navigationenable[ap-wlan-rrm]quit#创建WLANBSS接口.
system-view[AP]interfacewlan-bss1[AP-WLAN-BSS1]quit[AP]interfacewlan-bss2[AP-WLAN-BSS2]quit#配置WLAN服务模板(明文模板),配置SSID为band-navigation.
[AP]wlanservice-template1clear[AP-wlan-st-1]ssidband-navigation#关闭快速关联功能(此步骤可选,缺省情况下,快速关联功能处于关闭状态).
[AP-wlan-st-1]undofast-associationenable[AP-wlan-st-1]service-templateenable[AP-wlan-st-1]quit#将服务模板1绑定到Radio1(5GHz).
[AP]interfaceWLAN-Radio1/0/1[AP-WLAN-Radio1/0/1]service-template1interfaceWLAN-BSS1[AP-WLAN-Radio1/0/1]quitAP1Client1Client2Client4Client35GHzRadio2.
4GHzRadioSwitch1-14#将服务模板1绑定到Radio2(2.
4GHz).
[AP]interfaceWLAN-Radio1/0/2[AP-WLAN-Radio1/0/2]service-template1interfaceWLAN-BSS2[AP-WLAN-Radio1/0/2]quit#配置频谱导航的均衡门限,客户端连接数门限为2,差值门限为1.
.
[AP]wlanrrm[AP-wlan-rrm]band-navigationbalancesession2gap14.
验证配置结果Client1、Client2优先接入到AP1的5GHz射频上,Client4只能接入到AP1的2.
4GHz射频上.
此时由于5GHz射频上已连接的客户端数量达到门限2,且5GHz射频与2.
4GHz射频上连接的客户端差值达到门限1,所以当Client3想接入AP1时,会关联至AP1的2.
4GHz射频上.
i目录1WLANIDS配置·1-11.
1WLANIDS功能简介1-11.
1.
1检测IDS攻击1-11.
2配置AP的工作模式1-21.
3配置检测IDS攻击·1-21.
3.
1配置检测IDS攻击·1-21.
3.
2IDS攻击检测显示和维护·1-31.
4WLANIDS配置举例1-32WIDS-FrameFiltering·2-12.
1WIDS-FrameFiltering简介·2-12.
1.
1FrameFiltering简介2-12.
2配置WIDS-FrameFiltering·2-22.
2.
1配置静态列表·2-22.
2.
2配置动态黑名单2-32.
3WIDS-FrameFiltering显示和维护2-32.
4WIDS–FrameFiltering配置举例·2-31-11WLANIDS配置1.
1WLANIDS功能简介802.
11网络很容易受到各种网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等.
Rogue设备对于企业网络安全来说是一个很严重的威胁.
WIDS(WirelessIntrusionDetectionSystem)用于对有恶意的用户攻击和入侵无线网络进行早期检测.
WIPS(WirelessIntrusionPreventionSystem)可以保护企业网络和用户不被无线网络上未经授权的设备访问.
Rogue设备检测功能是WIDS/WIPS功能的一部分,它用于检测WLAN网络中的Rogue设备,并对它们采取反制措施,以阻止其工作.
1.
1.
1检测IDS攻击为了及时发现WLAN网络的恶意或者无意的攻击,通过记录信息或者发送日志信息的方式通知网络管理者.
目前设备支持的入侵检测主要包括泛洪攻击检测、Spoof检测以及WeakIV检测.
1.
泛洪攻击检测泛洪攻击(Flooding攻击)是指WLAN设备会在短时间内接收了大量的同种类型的报文.
此时WLAN设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文.
攻击检测通过持续地监控每台无线客户端的流量大小来预防这种泛洪攻击.
当流量超出可容忍的上限时,该无线客户端将被认定在实施泛洪攻击.
如果在WLAN设备上开启动态黑名单功能,此时被检测到的攻击设备将被加入黑名单,在后续一段时间内将被禁止接入WLAN网络.
入侵检测支持对下列报文的泛洪攻击检测:认证请求/解除认证请求(Authentication/De-authentication);关联请求/解除关联请求/重新关联请求(Association/Disassociation/Reassociation);探查请求(ProbeRequest);802.
11Null数据帧;802.
11Action帧;2.
Spoofing攻击检测Spoofing攻击是指潜在的攻击者会仿冒其他设备的名义发送攻击报文,以达到破坏无线网络正常工作的目的.
例如:无线网络中的客户端已经和AP关联,并处于正常工作状态,此时如果有攻击者仿冒AP的名义给客户端发送解除认证报文就可能导致客户端下线,同样如果攻击者仿冒客户端的名义给AP发送解除认证报文也会影响无线网络的正常工作.
目前,Spoofing攻击检测支持对仿冒AP名义发送的广播解除认证和广播解除关联报文进行检测.
当接收到这两种报文时,设备会将其定义为Spoofing攻击并被记录到日志中.
3.
WeakIV攻击检测使用WEP加密的时候,WLAN设备对于每一个报文都会使用初始化向量(IV,InitializationVector),IV和Key一起作为输入来生成KeyStream,使相同密钥产生不同加密效果.
当一个WEP报文被发送时,用于加密报文的IV也作为报文头的一部分被发送.
如果WLAN设备使用不安全的方法生1-2成IV,例如始终使用固定的IV,就可能会暴露共享的密钥,如果潜在的攻击者获得了共享的密钥,攻击者将能够控制网络资源.
检测IDS攻击可以通过识别每个WEP报文的IV来预防这种攻击,当一个有WeakIV的报文被检测到时,这个检测将立刻被记录到日志中.
1.
2配置AP的工作模式WLAN网络由跨越建筑物提供不同WLAN服务的AP组成,由于rogue设备的存在,管理员需要其中的一些AP监视WLAN.
AP可以工作在Normal、Monitor或Hybrid三种模式之一.
标准(Normal)模式:AP仅传输WLAN用户的数据,不进行任何监测.
监控(Monitor)模式:在这种模式下,AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP.
当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭.
Monitor模式的AP,监听所有802.
11帧.
混合(Hybrid)模式:在这种模式下,AP可以在监测无线环境的同时可以提供无线服务.
表1-1配置AP的工作模式配置命令说明进入系统视图system-view-配置AP工作在Monitor模式wlanwork-modemonitor两者选择其一缺省情况下,AP工作在Normal模式,仅提供WLAN服务需要注意的是:当AP从Normal模式切换到Monitor模式时,AP不会重启当AP从Monitor模式切换到Normal模式时,AP会重启配置AP工作在Hybrid模式wlandevice-detectionenable如果AP工作模式为Hybrid模式,需要配置服务模板,AP可以在监测无线环境的同时可以提供无线服务.
如果AP工作模式为Monitor模式,那么AP不需要提供无线服务,不需要配置服务模板.
1.
3配置检测IDS攻击1.
3.
1配置检测IDS攻击表1-2配置IDS攻击检测配置命令说明进入系统视图system-view-进入IDS视图wlanids-1-3配置命令说明配置IDS攻击检测attack-detectionenable{all|flood|spoof|weak-iv}必选缺省情况下,攻击检测功能处于关闭状态1.
3.
2IDS攻击检测显示和维护在完成上述配置后,在任意视图下执行display命令可以显示IDS攻击检测配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除IDS攻击检测统计信息.
表1-3IDS攻击检测显示和维护配置命令显示WLAN系统的攻击检测历史信息displaywlanidshistory[|{begin|exclude|include}regular-expression]显示检测到的攻击数displaywlanidsstatistics[|{begin|exclude|include}regular-expression]清除WLAN系统攻击检测的历史信息resetwlanidshistory清除WLAN系统攻击检测的统计信息resetwlanidsstatistics1.
4WLANIDS配置举例1.
组网需求FATAP通过二层交换机接入网络.
Client1(MAC地址为000f-e215-1515)、Client2(MAC地址为000f-e215-1530)、Client3(MAC地址为000f-e213-1235)连接到无线网络中,享受FATAP提供的WLAN服务.
通过配置FATAP的工作模式为Hybrid模式达到其在提供WLAN服务的同时,检测网络中非法客户端的目的.
1-42.
组网图图1-1WIDS配置组网图3.
配置步骤#创建WLANBSS接口.
system-view[AP]interfacewlan-bss1[AP-WLAN-BSS1]quit#配置WLAN服务模板为clear模式,配置SSID为service,不配置认证方式.
[AP]wlanservice-template1clear[AP-wlan-st-1]ssidservice[AP-wlan-st-1]authentication-methodopen-system[AP-wlan-st-1]service-templateenable[AP-wlan-st-1]quit#在WLAN-Radio1/0/1上绑定无线服务模板1和WLAN-BSS1[AP]interfaceWLAN-Radio1/0/1[AP-WLAN-Radio1/0/1]service-template1interfaceWLAN-BSS1[AP-WLAN-Radio1/0/1]quit#配置AP工作为Hybrid模式,使其提供无线服务的同时对非法设备进行检测.
[AP]wlandevice-detectionenable2-12WIDS-FrameFiltering2.
1WIDS-FrameFiltering简介帧过滤是802.
11MAC和WIDS(WirelessIntrusionDetectionSystem,无线入侵检测系统)子特性的一个小特性.
FATAP包括白名单列表(列表中的当前表项是被许可,并可以通过命令行配置的),静态黑名单列表(列表中的当前表项是不被许可,但可以通过命令行配置的)和动态黑名单列表(列表中的当前表项是不被许可,并只有在无线入侵检测系统检测到泛洪攻击时才被添加).
过滤行为实体维持了AP上的MAC地址,并且过滤行为只有在输入的MAC地址匹配的情况下才执行.
2.
1.
1FrameFiltering简介1.
黑白名单列表在WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制.
黑白名单维护三种类型的列表.
白名单列表:该列表包含允许接入的无线客户端的MAC地址.
如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入.
静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址.
动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护.
2.
黑白名单的处理过程黑白名单按照以下步骤对接收到的802.
11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃.
(1)当AP接收到一个802.
11帧时,将针对该802.
11帧的源MAC进行过滤;(2)如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;(3)如果源MAC在白名单内,该帧将被作为合法帧进一步处理;(4)如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表.
如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;(5)如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理.
2-2图2-1Frame-Filtering组网图在FATAP组网图中,假设Client1的MAC地址存在于黑名单列表中,则Client1不能与FATAP发生关联.
当Client1的MAC地址存在于FATAP的白名单列表中时,它可以接入无线网络.
2.
2配置WIDS-FrameFilteringWIDS-FrameFiltering配置包括白名单列表、静态黑名单列表和动态黑名单列表.
各种名单列表的特性如下:切换到IDS视图下可以配置静态黑名单列表、白名单列表、使能动态黑名单列表功能以及动态黑名单中的对应列表的生存时间.
只有当表项存在于白名单列表中时,对应的客户端才能通过帧过滤.
用户可以通过命令行添加或删除表项.
当输入表项存在于黑名单列表中时将被拒绝通过,当WIDS检测到泛洪攻击时,该表项将被动态添加到动态黑名单列表中.
对于存在于动态黑名单中的表项,用户可以通过命令行设置生存时间.
在该时间超时后,该设备接口将被从动态列表中删除.
2.
2.
1配置静态列表表2-1配置静态列表操作命令说明进入系统视图system-view-进入ids视图wlanids-配置白名单列表whitelistmac-addressmac-address可选配置静态黑名单列表static-blacklistmac-addressmac-address可选2-32.
2.
2配置动态黑名单表2-2配置动态黑名单操作命令说明进入系统视图system-view-进入ids视图wlanids-使能动态黑名单列表功能dynamic-blacklistenable可选缺省情况下,不使能动态黑名单列表功能设置动态黑名单中的对应列表的生存时间dynamic-blacklistlifetimelifetime可选缺省情况下,生存时间为300秒2.
3WIDS-FrameFiltering显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后WIDS-FrameFiltering的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令清除WIDS-FrameFiltering的相关信息.
表2-3WIDS-FrameFiltering显示和维护操作命令显示黑名单列表displaywlanblacklist{static|dynamic}[|{begin|exclude|include}regular-expression]显示白名单列表displaywlanwhitelist[|{begin|exclude|include}regular-expression]清除动态黑名单列表选项resetwlandynamic-blacklist{mac-addressmac-address|all}2.
4WIDS–FrameFiltering配置举例1.
组网需求客户端通过FATAP接入无线网络.
其中Client1(0000-000f-1211)为已知非法客户端,为了保证无线网络的安全性,网络管理员需要将其的MAC地址加入到设备的黑名单列表中,使其无法接入网络.
2-42.
组网图图2-2帧过虑配置组网图3.
配置步骤#将Client1的MAC地址0000-000f-1211添加到静态黑名单列表.
system-view[Sysname]wlanids[Sysname-wlan-ids]static-blacklistmac-address0000-000f-1211完成配置后,非法客户端Client1(0000-000f-1211)无法接入AP,其它客户端正常接入网络.
i目录1WLANQoS配置·1-11.
1WLANQoS简介1-11.
1.
1术语1-11.
1.
2WMM协议概述·1-11.
1.
3协议和标准·1-31.
2配置WMM服务1-31.
2.
1配置准备1-31.
2.
2配置WMM服务·1-31.
3WMM服务显示和维护1-51.
4WMM服务典型配置举例·1-51.
4.
1WMM基本服务配置举例1-51.
4.
2CAC服务典型配置举例·1-61.
5常见配置错误举例1-81.
5.
1EDCA参数配置失败·1-81.
5.
2配置SVP或CAC功能无效1-81.
6智能带宽保障功能1-81.
6.
1智能带宽保障功能·1-91.
6.
2智能带宽保障显示和维护·1-91.
6.
3智能带宽保障典型配置举例1-91.
7配置基于无线服务的用户限速服务·1-111.
7.
1配置基于无线服务的用户限速服务1-121.
7.
2用户限速服务显示和维护·1-121.
7.
3用户限速服务典型配置举例1-121-11WLANQoS配置1.
1WLANQoS简介802.
11网络提供了基于竞争的无线接入服务,但是不同的应用需求对于网络的要求是不同的,而原始的网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要.
IEEE802.
11e为基于802.
11协议的WLAN体系添加了QoS特性,这个协议的标准化时间很长,在这个过程中,Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通,定义了WMM(Wi-FiMultimedia,Wi-Fi多媒体)标准.
WMM标准使WLAN网络具备了提供QoS服务的能力.
1.
1.
1术语(1)WMMWMM是一种无线QoS协议,用于保证高优先级的报文有优先的发送权利,从而保证语音、视频等应用在无线网络中有更好的质量.
(2)EDCAEDCA(EnhancedDistributedChannelAccess,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽.
(3)ACAC(AccessCategory,接入类),WMM按照优先级从高到低的顺序分为AC-VO(语音流)、AC-VI(视频流)、AC-BE(尽力而为流)、AC-BK(背景流)四个优先级队列,保证越高优先级队列中的报文,抢占信道的能力越高.
(4)CACCAC(ConnectAdmissionControl,连接准入控制),限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽保证.
(5)U-APSDU-APSD(Unscheduledautomaticpower-savedelivery,非调度自动节能发送),是WMM定义的一种新的节能处理方式,可以进一步提升客户端的节能能力.
(6)SVPSVP(SpectraLinkVoicePriority,Spectralink语音优先级)是Spectralink公司为向语音通话提供QoS保障而设计的语音优先协议.
1.
1.
2WMM协议概述在802.
11协议中DCF(DistributedCoordinationFunction,分布式协调功能)规定了AP和客户端使用CSMA/CA(CarrierSenseMultipleAccesswithCollisionAvoidance,载波监听/冲突避免)的接入方式.
在占用信道发送数据前,AP或客户端会监听信道.
当信道空闲时间大于或等于规定的空闲等待时间,AP或客户端在竞争窗口范围内随机选择退避时间进行退避.
最先结束退避的设备竞争到信道.
在802.
11协议中,由于所有设备的空闲等待时间、竞争窗口都相同,所以整个网络设备的信道竞争机会相同.
1-21.
EDCA参数WMM协议通过对802.
11协议的增强,改变了整个网络完全公平的竞争方式,将BSS(BasicServiceSet,基本服务集)内的数据报文分为4个AC,高优先级的AC占用信道的机会大于低优先级的AC,从而使不同的AC能获得不同级别的服务.
WMM协议对每个AC定义了一套信道竞争EDCA参数,EDCA参数的含义如下所示.
AIFSN(ArbitrationInterFrameSpacingNumber,仲裁帧间隙数),在802.
11协议中,空闲等待时长(DIFS)为固定值,而WMM针对不同AC可以配置不同的空闲等待时长,AIFSN数值越大,用户的空闲等待时间越长,为图1-1中AIFS时间段;ECWmin(ExponentformofCWmin,最小竞争窗口指数形式)和ECWmax(ExponentformofCWmax,最大竞争窗口指数形式),决定了平均退避时间值,这两个数值越大,用户的平均退避时间越长,为图1-1中Backoffslots时间段;TXOPLimit(TransmissionOpportunityLimit,传输机会限制),用户一次竞争成功后,可占用信道的最大时长.
这个数值越大,用户一次能占用信道的时长越大,如果是0,则每次占用信道后只能发送一个报文.
图1-1WMM对每个AC赋予不同的信道竞争参数2.
CAC准入策略CAC的基本原理是客户端只有获得AP的批准,才能以高优先级的AC发送数据,否则只能使用低优先级的AC,保证了已经获得批准的客户端能够获得需要的带宽.
这里将各种传输报文分为两类:实时业务流(需要CAC控制的流,包括AC-VO和AC-VI)和普通数据流(不需要CAC控制的流,包括AC-BE和AC-BK).
如果客户端需要使用高优先级的AC,则需要进行请求,AP按照如下介绍的算法,计算是否允许客户端使用,并将结果回应给客户端.
基于信道利用率的准入策略:计算1秒内所有已接入的高优先级AC占用信道的时间,以及请求以高优先级接入的AC占用信道的时间,二者相加,如果小于或等于用户配置的最大信道占用时间,则允许该流以请求的优先级接入.
否则,拒绝请求.
1-3基于用户数量的准入策略:如果高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的该高优先级AC的最大用户数,则允许用户的请求.
否则,拒绝请求.
如果一个客户端同时接入AC-VO和AC-VI优先级业务流,接入客户端的个数按1计算.
3.
U-APSD节能模式U-APSD是对原有节能模式的改进.
客户端在关联时可以指定某些AC具有触发属性,某些AC具有发送属性,以及触发后最多允许发送的数据报文数量.
触发和发送属性还可以在通过连接准入控制创建流的时候进行更改.
客户端休眠后,发往客户端的属于具有发送属性AC的数据报文将被缓存在发送缓存队列中,客户端需要发送属于具有触发属性AC的报文以获取发送缓存队列中的报文.
AP收到触发报文后,按照接入时确定的发送报文数量,发送属于发送队列的报文.
没有发送属性的AC仍然使用802.
11定义的传统方式存储和传送.
4.
SVP服务SVP服务是实现对IP头中ProtocolID为119的SVP报文的处理功能,将其放入指定的AC队列中.
由于SVP规定SVP报文不需要进行随机退避,所以当对应AC队列中只有SVP报文时,可以将ECWmin和ECWmax均设置为0.
5.
ACK策略协议规定ACK策略有两种:NormalACK和NoACK.
NoACK(NoAcknowledgment)策略,是针对通信质量较好,干扰较小的情况下,在无线报文交互过程中,不使用ACK报文进行接收确认的一种策略.
NoACK策略能有效提高传输效率,但在不使用ACK确认的情况下,如果通信质量较差,即使接收端没有收到发送包,发送端也不会重发,所以会造成丢包率增大的问题.
NormalACK策略是指对于每个发送的单播报文,接收者在成功接收到发送报文后,都要发送ACK进行确认.
1.
1.
3协议和标准802.
11e-2005,Amendment8:MediumAccessControl(MAC)QualityofServiceEnhancements,IEEEComputerSociety,2005Wi-Fi,WMMSpecificationversion1.
1,Wi-FiAlliance,20051.
2配置WMM服务1.
2.
1配置准备启用WLAN服务,具体请参见"WLAN配置指导".
1.
2.
2配置WMM服务表1-1配置WMM服务操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radioradio-number-1-4操作命令说明使能WMM功能wmmenable必选缺省情况下,使能WMM服务需要注意的是,协议要求802.
11n的客户端必须支持WLANQoS,所以当Radio工作在802.
11an或802.
11gn的情况下,WMM功能必须开启,否则可能会导致关联后的802.
11n的客户端无法通信设置AC-VO、AC-VI客户端的EDCA参数wmmedcaclient{ac-vo|ac-vi}{aifsnaifsn-value|ecwecwminecwmin-valueecwmaxecwmax-value|txoplimittxoplimit-value|cac}*可选缺省情况下,客户端使用的EDCA参数为缺省值.
具体参见表1-2设置AC-BE、AC-BK客户端的EDCA参数wmmedcaclient{ac-be|ac-bk}{aifsnaifsn-value|ecwecwminecwmin-valueecwmaxecwmax-value|txoplimittxoplimit-value}*可选缺省情况下,客户端使用的EDCA参数为缺省值.
具体参见表1-2设置AP的EDCA参数和ACK策略wmmedcaradio{ac-vo|ac-vi|ac-be|ac-bk}{aifsnaifsn-value|ecwecwminecwmin-valueecwmaxecwmax-value|txoplimittxoplimit-value|noack}*可选缺省情况下,AP使用的EDCA参数为缺省值,具体参见表1-3,ACK策略使用NormalACK设置CAC准入控制策略wmmcacpolicy{channelutilization[channelutilization-value]|users[users-number]}可选缺省情况下,使用基于用户数的准入策略,允许接入用户数为20设置SVP映射队列wmmsvpmap-ac{ac-vi|ac-vo|ac-be|ac-bk}可选缺省情况下,不启用SVP报文优先级映射功能需要注意的是,SVP映射只针对非WMM客户端接入,对WMM客户端不起作用如果某优先级队列的CAC功能被启动,则高于此优先级队列的CAC功能会同时被启用.
例如,使用wmmedcaclient命令启动AC-VI优先级CAC功能,则AC-VO优先级也同时启动CAC功能,但是,启动AC-VO优先级的CAC功能,AC-VI优先级的CAC功能不会被启用.
用户如非必须,请使用AP和客户端EDCA参数的缺省值(对于应用802.
11b射频卡的设备的TXOPLimit参数除外).
设备应用802.
11b射频卡时,建议将AC-BK、AC-BE、AC-VI、AC-VO的TXOP-Limit参数的值分别配置为0、0、188、102.
用户只有启用WMM后,SVP才能起作用.
1-5表1-2客户端EDCA参数的缺省值ACAIFSNECWminECWmaxTXOPLimitAC-BK74100AC-BE34100AC-VI23494AC-VO22347表1-3AP使用的EDCA参数的缺省值ACAIFSNECWminECWmaxTXOPLimitAC-BK74100AC-BE3460AC-VI13494AC-VO123471.
3WMM服务显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后WMM服务的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除WMM服务的统计信息.
表1-4WMM服务显示和维护操作命令查看指定客户端的统计信息displaywlanstatisticsclient{all|mac-addressmac-address}[|{begin|exclude|include}regular-expression]显示射频或客户端的WMM相关信息displaywlanwmm{radio[interfacewlan-radiowlan-radio-number]|client{all|interfacewlan-radiowlan-radio-number|mac-addressmac-addressbegin|exclude|include}regular-expression]清除射频或客户端的WMM相关信息resetwlanwmm{radio[interfacewlan-radiowlan-radio-number]|client{all|interfacewlan-radiowlan-radio-number|mac-addressmac-address}}1.
4WMM服务典型配置举例1.
4.
1WMM基本服务配置举例1.
组网需求在FATAP上开启WMM功能,使AP和客户端在发送流量时能够区分业务优先级.
1-62.
组网图图1-2WMM基本服务组网图3.
配置步骤#在WLAN-BSS接口上配置优先级信任模式为信任报文自带的802.
11e优先级.
system-view[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]qostrustdot11e[Sysname-WLAN-BSS1]quit#在以太网端口上配置优先级信任模式为信任报文自带的802.
1p优先级.
[Sysname]interfaceGigabitEthernet1/0/1[Sysname-GigabitEthernet1/0/1]qostrustdot1p[Sysname-GigabitEthernet1/0/1]quit#配置服务模板为clear类型,SSID为market,认证方式为开放系统认证,并使能服务模板.
[Sysname]wlanservice-template1clear[Sysname-wlan-st-1]ssidmarket[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable#在WLAN-Radio1/0/2上绑定无线服务模板1和WLAN-BSS1.
[Sysname]interfacewlan-radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bss1#开启WMM功能.
[Sysname-WLAN-Radio1/0/2]wmmenable[Sysname-WLAN-Radio1/0/2]quit开启WMM功能后,通过displaywlanwmmradio可以查看到关于WMM的显示信息.
1.
4.
2CAC服务典型配置举例1.
组网需求无线接入点FATAP连接以太网,并启用WMM功能.
要求使用用户数判断策略,允许10个客户端可以和AP建立AC-VO和AC-VI的业务流,保证使用高优先级AC-VO和AC-VI队列的客户端能够有足够的带宽保证.
1-72.
组网图图1-3CAC服务组网图3.
配置步骤#在WLAN-BSS接口上配置优先级信任模式为信任报文自带的802.
11e优先级.
system-view[Sysname]interfaceWLAN-BSS1[Sysname-WLAN-BSS1]qostrustdot11e[Sysname-WLAN-BSS1]quit#在以太网端口上配置优先级信任模式为信任报文自带的802.
1p优先级.
[Sysname]interfaceethernet1/0/1[Sysname-Ethernet1/0/1]qostrustdot1p[Sysname-Ethernet1/0/1]quit#配置服务模板为clear类型,SSID为market,认证方式为开放系统认证,并使能服务模板.
[Sysname]wlanservice-template1clear[Sysname-wlan-st-1]ssidmarket[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable#在WLAN-Radio1/0/2上绑定无线服务模板1和WLAN-BSS1.
[Sysname]interfaceWLAN-Radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bss1#最多允许10个客户端使用高优先级AC(AC-VO或AC-VI).
[Sysname-WLAN-Radio1/0/2]wmmedcaclientac-vocac[Sysname-WLAN-Radio1/0/2]wmmedcaclientac-vicac[Sysname-WLAN-Radio1/0/2]wmmcacpolicyusers10[Sysname-WLAN-Radio1/0/2]wmmenable[Sysname-WLAN-Radio1/0/2]quit如果AP上高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的该高优先级AC的最大用户数(本例中为10),则允许用户的请求.
对超过最大用户数的报文进行降级处理.
1-81.
5常见配置错误举例1.
5.
1EDCA参数配置失败1.
故障现象配置EDCA参数,提示失败.
2.
故障分析配置AP的EDCA参数,受到AP上射频芯片的制约.
3.
处理过程(1)使用displaywlanwmmradio命令查看AP上射频芯片对EDCA参数的支持范围,保证配置的EDCA参数在此外围之内.
(2)检查配置的EDCA参数是否为合法值.
1.
5.
2配置SVP或CAC功能无效1.
故障现象已经应用wmmsvpmap-ac命令配置了SVP报文优先级映射功能,但是配置没有生效.
已经应用wmmedcaclient命令配置了CAC,但是配置没有生效.
2.
故障分析只有在启用了WMM功能后,SVP、CAC功能才能生效.
3.
处理过程(1)应用wmmenable命令使能WMM功能.
(2)检查配置的SVP或CAC功能是否生效.
(3)SVP功能只针对非WMM客户端生效,检查关联的客户端是否是非WMM客户端.
1.
6智能带宽保障功能在实际应用中,网络中的流量不会一直处于某个稳定的状态.
当某一个BSS的流量非常大时,会挤占其它BSS的可用带宽.
如果采取简单地对某个BSS的报文进行限速,在总体流量较小时,又会导致闲置带宽被浪费.
在这种情况下,可以开启智能带宽保障功能,确保在网络未拥塞时,所有BSS的报文都可以通过;在网络拥塞时,每个BSS都可以获取最低的保障带宽.
通过这种方式,既确保了网络带宽的充分利用,又兼顾了不同无线服务之间带宽占用的公平原则.
例如,SSID1、SSID2及SSID3分别配置保障带宽为25%、25%及50%.
当网络空闲时,SSID1可以超过保障带宽,任意占用网络剩余带宽;当网络繁忙、没有剩余带宽时,SSID1至少可以占有自己的保障带宽部分(25%).
智能带宽保障功能仅对AP到客户端的方向上生效.
1-91.
6.
1智能带宽保障功能表1-5配置智能带宽保障功能操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radioradio-number-开启智能带宽保障功能bandwidth-guaranteeenable必选缺省情况下,智能带宽保障功能处于关闭状态配置BSS的保障带宽占总带宽的百分比bandwidth-guaranteeservice-templateservice-template-numberpercentpercent可选配置的无线服务必须为射频下已绑定的无线服务.
同一个射频下,所有绑定的保障带宽百分比之和不能超过100%1.
6.
2智能带宽保障显示和维护在完成上述配置后,在任意视图下执行displaywlanbandwidth-guarantee命令可以显示带宽保障情况,通过查看显示信息验证配置的效果.
表1-6带宽保障显示和维护操作命令查看智能带宽保障信息displaywlanbandwidth-guarantee[interfaceradio-interface-name][|{begin|exclude|include}regular-expression]1.
6.
3智能带宽保障典型配置举例1.
组网需求在某企业内,三个客户端分别通过名为research、office、entertain的SSID接入无线网络.
为了满足企业网络正常运行的需求,要求在同一个FATAP内,无线服务office的带宽保障为20%,无线服务research的带宽保障为80%,无线服务entertain没有分配带宽保障.
1-102.
组网图图1-4智能带宽保障配置举例组网图3.
配置步骤#配置802.
11g射频的最大带宽参考值为10000kbps.
system-view[AP]wlanrrm[AP-wlan-rrm]dot11gmax-bandwidth10000[AP-wlan-rrm]quit#创建WLAN-BSS接口.
system-view[AP]interfacewlan-bss1[AP-WLAN-BSS1]port-securityport-modepsk[AP-WLAN-BSS1]port-securitytx-key-type11key[AP-WLAN-BSS1]port-securitypreshared-keypass-phrasesimple12345678[AP-WLAN-BSS1]quit[AP]interfacewlan-bss2[AP-WLAN-BSS2]port-securityport-modepsk[AP-WLAN-BSS2]port-securitytx-key-type11key[AP-WLAN-BSS2]port-securitypreshared-keypass-phrasesimpleabcdefgh[AP-WLAN-BSS2]quit[AP]interfacewlan-bss3[AP-WLAN-BSS3]quit#配置服务模板1为crypto模式,SSID为research.
[AP]wlanservice-template1crypto[AP-wlan-st-1]ssidresearch[AP-wlan-st-1]authentication-methodopen-system[AP-wlan-st-1]cipher-suiteccmp[AP-wlan-st-1]security-iersn[AP-wlan-st-1]service-templateenable[AP-wlan-st-1]quit#配置服务模板2为crypto模式,SSID为office.
[AP]wlanservice-template2crypto[AP-wlan-st-2]ssidoffice[AP-wlan-st-2]authentication-methodopen-system[AP-wlan-st-2]cipher-suiteccmp1-11[AP-wlan-st-2]security-iersn[AP-wlan-st-2]service-templateenable[AP-wlan-st-2]quit#配置服务模板3为clear模式,SSID为entertain.
[AP]wlanservice-template3clear[AP-wlan-st-3]ssidentertain[AP-wlan-st-3]service-templateenable[AP-wlan-st-3]quit#在WLAN-Radio1/0/1上绑定无线服务模板和WLAN-BSS.
[AP]interfacewlan-radio1/0/1[AP-WLAN-Radio1/0/1]radio-typedot11g[AP-WLAN-Radio1/0/1]service-template1interfacewlan-bss1[AP-WLAN-Radio1/0/1]service-template2interfacewlan-bss2[AP-WLAN-Radio1/0/1]service-template3interfacewlan-bss3#开启智能带宽保障.
[AP-WLAN-Radio1/0/1]bandwidth-guaranteeenable#配置服务模板1、服务模板2的保障带宽占总带宽的百分比分别为80%、20%.
[AP-WLAN-Radio1/0/1]bandwidth-guaranteeservice-template1percent80[AP-WLAN-Radio1/0/1]bandwidth-guaranteeservice-template2percent20[AP-WLAN-Radio1/0/1]return4.
验证配置结果#通过displaywlanbandwidth-guarantee命令查看智能带宽保障信息.
displaywlanbandwidth-guaranteeinterfacewlan-radio1/0/1BandwidthGuaranteeRadioModeService-TemplatePercentWLAN-Radio1/0/1802.
11g180%WLAN-Radio1/0/1802.
11g220%(1)如果AP向所有客户端发送的总流量小于10000kpbs.
在这种情况下,AP向Client1~Client3实际发送的流量不会受限制.
(2)如果AP分别向Client1和Client2发送大于2000kbps以及8000kbps的流量,并且向所有客户端发送的总流量大于10000kpbs.
在这种情况下,由于为research无线服务和office无线服务配置了智能带宽保障功能,设备会优先保证Client1和Client2的流量.
因此AP向Client1和Client2实际发送的流量分别为2000kbps以及8000kbps左右,向其它数据流(Client3)发送的流量会受到限制.
1.
7配置基于无线服务的用户限速服务WLAN网络中每一个AP提供的可用带宽有限,且由接入的无线客户端共享,部分无线客户端占用过多带宽,势必导致其它无线客户端受到影响.
通过配置用户限速功能,可以限制部分无线客户端对带宽的过多消耗,保证所有接入无线客户端均能正常使用网络业务.
基于无线客户端的速率限制功能有两种模式:1-12动态模式:在同一个AP内,配置的速率值是所有客户端使用的速率总和.
每个客户端的限制速率是配置速率值/客户端数量.
例如,配置10Mbps速率,有5个用户上线,则每个用户的可用带宽限制为2Mbps.
静态模式:由用户静态配置每个客户端的速率,即配置的速率是同一个AP内,每个客户端的最大速率.
例如,配置1Mbps速率,则每个上线的客户端的可用带宽限制为1Mbps.
接入客户端增加至一定数量时,如果所有接入客户端理论允许的总带宽超出AP可提供的有效带宽,那么每个客户端将不能保证获得的指定带宽.
1.
7.
1配置基于无线服务的用户限速服务表1-7配置基于无线服务的用户限速服务操作命令说明进入系统视图system-view-进入服务模板视图wlanservice-templateservice-template-number{clear|crypto|wapi}wapi参数的支持情况与设备型号相关,请参见"配置指导导读"中的"特性差异情况"部分的介绍配置基于无线服务的无线用户限速功能client-rate-limitdirection{inbound|outbound}mode{dynamic|static}circir可选缺省情况下,基于无线服务的无线用户限速功能处于关闭状态1.
7.
2用户限速服务显示和维护在完成上述配置后,在任意视图下执行displaywlanclient-rate-limit命令可以显示用户限速情况,通过查看显示信息验证配置的效果.
表1-8用户限速服务显示和维护操作命令显示用户限速信息displaywlanclient-rate-limitservice-template[service-template-number][|{begin|exclude|include}regular-expression]1.
7.
3用户限速服务典型配置举例1.
组网需求FATAP与二层交换机Switch相连.
在FATAP上配置用户限速功能,使FATAP分别在入方向上以静态模式、在出方向上以动态模式限制无线客户端的速率.
1-132.
组网图图1-5用户限速基本服务组网图3.
配置步骤#创建WLANBSS接口.
system-view[AP]interfacewlan-bss1[AP-WLAN-BSS1]quit#配置WLAN服务模板为clear模式,不配置认证方式.
[AP]wlanservice-template1clear[AP-wlan-st-1]ssidservice[AP-wlan-st-1]authentication-methodopen-system#配置基于无线服务的无线用户限速功能,使从客户端到AP方向的固定速率为8000kbps,从AP到客户端方向的共享速率为8000kbps.
[AP-wlan-st-1]client-rate-limitdirectioninboundmodestaticcir8000[AP-wlan-st-1]client-rate-limitdirectionoutboundmodedynamiccir8000[AP-wlan-st-1]service-templateenable[AP-wlan-st-1]quit#在WLAN-Radio1/0/1上绑定无线服务模板1和WLAN-BSS1.
[AP]interfacewlan-radio1/0/1[AP-WLAN-Radio1/0/1]radio-typedot11g[AP-WLAN-Radio1/0/1]channel1[AP-WLAN-Radio1/0/1]service-template1interfacewlan-bss1[AP-WLAN-Radio1/0/1]return4.
验证配置结果#通过displaywlanclient-rate-limitservice-template命令查看用户限速的配置情况.
displaywlanclient-rate-limitservice-templateClientRateLimitServiceTemplateDirectionModeCIR(kbps)1InboundStatic80001OutboundDynamic80001-14(1)只有Client1通过service接入无线网络,可使用的带宽被限制在8000kbps左右.
(2)Client2也通过service接入无线网络后,从Client1、Client2侧到AP侧方向上的可使用的带宽分别被限制在8000kbps左右,从AP侧到Client1、Client2侧方向上的可使用的带宽分别被限制在4000kbps左右.
i目录1WDS配置·1-11.
1无线WDS简介1-11.
1.
1WDS基本概念·1-11.
1.
2WDS的优势1-11.
1.
3WDS网络的部署1-11.
1.
4MLSP介绍·1-31.
2WDS配置任务简介1-51.
2.
1配置WDS端口安全·1-51.
2.
2配置WDS的服务模板MeshProfile·1-61.
2.
3配置MP策略·1-61.
2.
4绑定WDS的服务模板MeshProfile·1-71.
2.
5绑定MP策略·1-71.
2.
6配置WDS邻居MAC地址1-81.
2.
7配置射频指示灯指示建立WDS链路的对端MAC地址·1-81.
3WDS显示和维护·1-91.
4WDS配置举例1-91.
4.
1点到点的WDS连接·1-91.
4.
2点到多点的WDS连接·1-101-11WDS配置WDS的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
1.
1无线WDS简介无线局域网(WirelessLocalAreaNetwork,WLAN)可以被用来扩展或替代某个现存的有线局域网,为无线用户提供入网连接和漫游服务.
WDS(WLANDistributionSystem)网络是一种新的WLAN类型.
与传统的WLAN不同的是,WDS网络中的AP之间是无线连接的,而且AP之间可以建立多跳的无线链路.
然而,对于终端用户来讲,传统的WLAN和WDS网络没有任何区别,因为只是骨干网进行了变动.
1.
1.
1WDS基本概念链路的建立:通过在对等体之间交换消息来建立连接.
链路的安全:提供PSK+CCMP的无线安全连接.
1.
1.
2WDS的优势目前,基于802.
11的无线技术已经广泛地在家庭、SOHO、企业等得到应用,用户能通过这些无线局域网得到无线服务.
对于目前的无线网络技术,为了扩大无线覆盖面积,需要用电缆、交换机、电源等设备将AP互相连接.
AP的之间的有线连接会导致最终部署的无线网络结构复杂,成本较高,并且在大面积无线覆盖时需要大量的时间才能完成部署.
WDS利用Mesh在FATAP之间形成链路,提供无线服务.
WDS网络的优点包括:通过无线网桥连接两个独立的局域网段,并且在他们之间提供数据传输.
低成本,高性能.
扩展性好,并且无需铺设新的有线连接和部署更多的AP.
适用于地铁,公司,大型仓储,制造,码头等领域.
1.
1.
3WDS网络的部署WDS提供了以下三种拓扑.
1.
点到点的连接在点到点的组网环境中,用户可以预先指定与其相连的邻居.
如下图所示,AP1和AP2形成的链路可以将局域网LANSegment1和LANSegment2的802.
3报文转换成802.
11s报文,然后在无线链路上传输.
1-2图1-1点到点的连接2.
点到多点的连接在点到多点的组网环境中,所有的连接都要通过中心桥接设备进行数据转发,如下图所示,所有的局域网的数据传输都要通过AP1.
图1-2点到多点的连接3.
自拓扑检测与桥接这种自拓扑检测与桥接可以检测到其他局域网设备,并且形成链路.
1-3图1-3自拓扑检测与桥接1.
1.
4MLSP介绍为了保证数据传输,在任何时间点,一个车载MP都要有一条活跃链路.
MLSP就是用来在列车移动过程中,完成创建和切换链路任务的.
1.
术语如下图所示,当列车移动时,车载MP会不断建立新的活跃链路.
图1-4MLSP示意图活跃链路:传递来自或者到达车载MP的所有数据.
备份链路:不传递数据,但是它具备成为活跃链路的所有条件.
LANSegment4LANSegment3ActivelinkDormantlinkRailMP1.
.
.
TrainMP.
.
.
ACRailMP2RailMP3RailMP4RailMPn1-42.
MLSP的优点(1)链路切换时间小于30毫秒.
(2)在芯片组由于高功率导致饱和的情况下,MLSP仍能正常工作.
(3)链路切换过程中,报文不丢失.
3.
MLSP工作过程MLSP为车载MP建立多条链路,从而提供链路备份,确保良好的网络性能,并增强网络的健壮性.
MLSP使用下面四个参数来决定是否进行活跃链路切换:链路建立RSSI/链路保持RSSI:用于建立和保持一条链路的最小RSSI值.
一条链路的RSSI值必须不小于这个值,才能被建立和保持.
因此这个值必须要保证,否则错误率会很高,链路性能会变差.
链路切换阈值:如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换.
链路保持时间:一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达.
这种机制用来避免频繁的链路切换.
链路饱和RSSI:如果活跃链路上的RSSI超过链路饱和RSSI,芯片组将饱和,进行链路切换.
4.
备份链路的建立一个车载MP会以较高的速率发送探寻报文,主动扫描附近的轨旁MP,并基于收到的探寻回应,建立邻居列表.
如果来自某个轨旁MP的RSSI大于链路建立RSSI,车载MP会与其建立一条备份链路.
5.
活跃链路的选择车载MP基于如下规则,在备份链路中选择一条活跃链路:(1)如果没有备份链路,活跃链路无法建立.
(2)在链路保持时间内,一般不进行活跃链路切换,但是以下两种情况除外:活跃链路上的RSSI超过了链路饱和RSSI活跃链路上的RSSI小于链路保持RSSI(3)当链路保持计时器超时后,如果任何一条备份链路的RSSI比当前活跃链路的RSSI高出的部分,都不能超过链路切换阈值,则不进行链路切换.
(4)正常情况下,当下列条件都满足时,进行链路切换.
链路保持定时器超时;一条备份链路的RSSI比当前活跃链路的RSSI高出的部分,超过链路切换阈值;待切换备份链路的RSSI没有超过链路饱和RSSI;(5)正常情况下,如果所有链路的RSSI都低于链路保持RSSI,所有链路都会断掉.
但是,为了在恶劣环境下保证业务的可用性,即便是上述情况发生,活跃链路也不会被切断.
1-51.
2WDS配置任务简介表1-1WDS配置任务简介配置任务说明详细配置配置WDS端口安全必选1.
2.
2配置WDS的服务模板MeshProfile必选1.
2.
3配置MP策略可选1.
2.
4绑定WDS的服务模板MeshProfile必选1.
2.
5绑定MP策略必选1.
2.
6配置WDS邻居MAC地址可选1.
2.
71.
2.
1配置WDS端口安全表1-2配置WDS端口安全操作命令说明进入系统视图system-view-进入WLANMesh接口视图interfacewlan-meshinterface-number-使能11key类型的密钥协商功能port-securitytx-key-type11key必选缺省情况下,11key类型的密钥协商功能处于关闭状态配置预共享密钥port-securitypreshared-key{pass-phrase|raw-key}key必选缺省情况下,无预共享密钥配置接口安全模式为PSKport-securityport-modepsk必选缺省情况下,接口工作在noRestrictions模式port-securitytx-key-type、port-securitypreshared-key和port-securityport-mode命令的详细介绍,请参见"安全命令参考"中的"端口安全配置命令".
1-61.
2.
2配置WDS的服务模板MeshProfile表1-3配置MeshProfile操作命令说明进入系统视图system-view-创建WDS的服务模板MeshProfile,进入meshprofile视图wlanmesh-profilemesh-profile-number-配置MeshIDmesh-idmesh-id-name必选缺省情况下,没有配置MeshID绑定WLANMesh接口bindwlan-meshinterface-index必选缺省情况下,没有绑定Mesh接口配置链路保活报文发送时间间隔link-keep-alivekeep-alive-interval可选缺省情况下,保活报文发送时间间隔为2秒配置链路回程速率link-backhaul-raterate-value可选缺省情况下,链路回程速率为18Mbps使能MeshProfilemesh-profileenable必选缺省情况下,MeshProfile处于关闭状态返回系统视图quit-1.
2.
3配置MP策略MP策略的具体内容决定了链路的建立和维护.
表1-4配置MP策略操作命令说明进入系统视图system-view-创建一个MP策略,进入MP策略视图wlanmp-policypolicy-name必选缺省情况下,Radio使用缺省MP策略"default_mp_plcy"缺省MP策略default_mp_plcy不能被删除或修改使能链路发起link-initiationenable可选缺省情况下,链路发起处于使能状态配置最大链路数目link-maximum-numbermax-link-number可选缺省情况下,最大链路数为2配置链路保持RSSIlink-hold-rssivalue可选缺省情况下,维持MeshLink链路的最小信号强度值为151-7操作命令说明配置链路保持时间link-hold-timevalue可选缺省情况下,链路保持时间为4000毫秒配置链路切换阈值link-switch-marginvalue可选缺省情况下,链路切换阈值为10配置链路饱和RSSIlink-saturation-rssivalue可选缺省情况下,链路饱和RSSI为150配置探寻请求报文的发送间隔probe-request-intervalinterval-value可选缺省情况下,探寻请求报文的发送间隔为1000毫秒使能MLSP协议mlspenable可选缺省情况下,MLSP处于关闭状态关闭MLSP时,会删除当前MP策略下配置的mlsp-proxymac-address配置被代理设备信息mlsp-proxymac-addressmac-address[vlanvlan-id][ipip-address]可选缺省情况下,没有配置被代理设备信息此命令仅在使能MLSP后可见配置选择计算COST值的方式linkrate-mode{fixed|real-time}可选缺省情况下,链路速率模式mesh链路的速率模式为fixedmlspenable和mlsp-proxymac-address仅用于地铁Mesh网络部署.
1.
2.
4绑定WDS的服务模板MeshProfile如果需要使能一个WDS服务,必须将它的射频接口和相应MeshProfile绑定.
表1-5绑定WDS的服务模板MeshProfile操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radiointerface-number-绑定WDS的服务模板MeshProfilemesh-profilemesh-profile-number必选缺省情况下,接口下没有绑定MeshProfile1.
2.
5绑定MP策略将一个MP策略和radio绑定后,此MP策略里的属性将会驱动此射频接口上链路的建立和维护.
1-8表1-6绑定MP策略操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radiointerface-number-绑定MP策略mp-policypolicy-name必选缺省情况下,Radio使用缺省MP策略"default_mp_plcy"1.
2.
6配置WDS邻居MAC地址通过在每个AP的射频模式下配置邻居AP的MAC地址来实现WDS.
表1-7WDS邻居MAC地址操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radiointerface-number-配置WDS邻居MAC地址meshpeer-mac-addressmac-address必选缺省情况下,没有配置WDS邻居MAC地址,即允许连接所有邻居1.
2.
7配置射频指示灯指示建立WDS链路的对端MAC地址本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
当AP射频与指定MAC地址的对端成功建立WDS连接时,本端的射频指示灯闪烁.
表1-8配置射频指示灯指示的对端MAC地址操作命令说明进入系统视图system-view-进入射频接口视图interfacewlan-radiointerface-number-配置射频指示灯指示建立WDS链路的对端MAC地址meshled-indicatorpeer-mac-addresspeer-mac-address必选缺省情况下,没有配置射频指示灯指示建立WDS链路的对端MAC地址1-91.
3WDS显示和维护表1-9WDS显示和维护操作命令显示WDS链路信息displaywlanmesh-link{mesh-profilemesh-profile-number|radioradio-number|peer-mac-addressmac-address|all}[|{begin|exclude|include}regular-expression]显示WDS策略信息displaywlanmesh-profile{mesh-profile-number|all}[|{begin|exclude|include}regular-expression]显示MP策略信息displaywlanmp-policy{mp-policy-name|all}[|{begin|exclude|include}regular-expression]1.
4WDS配置举例1.
4.
1点到点的WDS连接1.
组网需求在如图1-5所示的室外环境中存在两个独立的局域网,如果采用有线方式连接这两个局域网,需要使用挖沟开渠等方式铺设线缆,这样做工期长、开销大.
在这种部署有线网络不方便的情况下,可以采用WDS链路连接这两个局域网,实现两个局域网之间的互通.
具体部署方式如下:AP1和AP2分别连接不同的局域网.
手工指定固定信道153,通过802.
11a射频模式使AP1和AP2之间形成WDS链路.
为了保证WDS链路的安全性,设置预共享密钥为"12345678".
2.
组网图图1-5点到点的WDS连接配置组网图3.
配置步骤AP1和AP2上的配置完全相同,这里以AP1为例.
#使能端口安全功能.
system-view[AP1]port-securityenable1-10#在WLANMesh接口下配置端口安全为PSK认证方式(预共享密钥为12345678),并使能11key类型的密钥协商功能.
[AP1]interfaceWLAN-MESH1[AP1-WLAN-MESH1]port-securityport-modepsk[AP1-WLAN-MESH1]port-securitypreshared-keypass-phrasesimple12345678[AP1-WLAN-MESH1]port-securitytx-key-type11key#在MeshProfile下配置MeshID为outdoor,将WLAN-Mesh1接口绑定到服务模板,使能当前MeshProfile服务模板.
[AP1]wlanmesh-profile1[AP1-wlan-mshp-1]mesh-idoutdoor[AP1-wlan-mshp-1]bindWLAN-MESH1[AP1-wlan-mshp-1]mesh-profileenable[AP1-wlan-mshp-1]quit#在802.
11a射频接口下指定工作信道为153.
[AP1]interfaceWLAN-Radio1/0/1[AP1-WLAN-Radio1/0/1]radio-typedot11a[AP1-WLAN-Radio1/0/1]channel153AP1和AP2上配置的信道要保持一致,即在AP1上选择使用信道153作为WDS链路信道,在AP2上也要使用信道153.
#配置WDS邻居MAC地址,即AP2射频接口的MAC地址.
[AP1-WLAN-Radio1/0/1]meshpeer-mac-address0ebb-01bb-bb00#绑定MeshProfile服务模板.
[AP1-WLAN-Radio1/0/1]mesh-profile1AP2的配置与上述配置类似,只需要将WDS邻居MAC地址设置为AP1的MAC地址.
4.
验证配置结果当WDS两端设备配置完成后,可以通过命令查看WDS链路是否已经成功建立.
#在AP1上查看WDS链路信息.
displaywlanmesh-linkallPeerLinkInformationNbr-MacBSSIDInterfaceLink-stateUptime(hh:mm:ss)0ebb-01bb-bb00000f-e212-1200WLAN-MESHLINK62Active0:17:59通过显示信息可以看到AP1和AP2之间的WDS链路已经成功建立.
1.
4.
2点到多点的WDS连接1.
组网需求AP1、AP2、AP3和AP4分别连接在不同的局域网.
要求AP1分别和AP2,AP3,AP4建立WDS链路.
1-112.
组网图图1-6点到多点的WDS连接配置组网图3.
配置步骤点到多点的WDS连接配置和点到点的WDS连接配置基本相同,但需要注意以下几点:在每个AP的射频模式下配置邻居AP的MAC地址(否则AP2、AP3、AP4之间也可能建立WDS链路).
设置允许建立的最大WDS链路数(缺省值为2,需要根据实际链路数进行设置,此例中在AP1上该值应设为3).
4.
验证配置结果在AP1上通过displaywlanmesh-linkall可以看到AP1与AP2、AP3、AP4建立的三条WDS链路.
在AP2、AP3和AP4上通过displaywlanmesh-linkall可以看到它们各自与AP1建立的一条WDS链路.
i目录1WLAN网络应用策略配置·1-11.
1概述·1-11.
2禁止弱信号客户端接入·1-11.
3报文发送公平调度机制·1-21.
4忽略弱信号无线报文·1-21.
5802.
11n报文发送抑制1-31.
6基于连接状况的流量整形1-41.
7射频接口发送速率调整算法·1-41.
8调整AP间信道共享1-51.
9调整AP间信道重用1-51.
10禁止组播报文缓存1-61.
11优化多无线服务性能·1-71.
12逐包功率控制·1-71.
13主动触发无线客户端重连接·1-71.
14接收所有广播报文1-81.
15配置AP供电模式·1-81.
16配置漫游导航功能1-91.
17配置基于用户类别的限速功能1-91.
18配置proberesponse报文发送次数1-101.
19配置延时丢包功能1-101.
20配置静谧模式·1-101.
21组播教学应用策略配置举例·1-111-11WLAN网络应用策略配置WA2110-GN暂不支持WLAN网络应用策略配置功能.
1.
1概述WLAN网络早期的建设侧重于基础硬件的建设、信道和功率的调整规划等,而后期随着WLAN网络应用的日益普及,大量的无线网络设备和无线客户端会共同享用同一信道.
无线网络设备整体的竞争加剧,干扰冲突的增多,会最终导致WLAN网络整体性能的下降.
针对WLAN网络中出现的这类问题,采用不同的应用策略,通过"有针对性的报文控制和调整",实现对WLAN网络的有序管理,寻求WLAN网络的稳定、应用和性能的均衡,从而实现对WLAN网络的有序管理并提高整个WLAN网络的应用感受.
由于影响WLAN网络性能的因素非常多,一种应用策略对于两个不同的WLAN网络的改善效果不一定相同.
WLAN网络是一个开放的复杂的网络,无法给出一套固定通用的优化策略,需要在实际应用中根据具体的环境和需要选择使用,并根据具体的应用效果确定网络最有效的应用策略组合.
初始网络的构建、信道和功率的规划初步决定了网络的总体性能,任何一种应用策略对WLAN网络的优化不会产生质的飞跃,在实际应用中,如果一种策略能够导致网络性能3%的提升,则可以认为是一次较成功的优化.
1.
2禁止弱信号客户端接入在WLAN网络中,信号强度较弱的无线客户端,虽然也可以接入到网络中,但是所能够获取的网络性能和服务质量要比信号强度较强的无线客户端差很多.
如果弱信号的无线客户端在接入到WLAN网络的同时还在大量地下载数据,就会占用较多的信道资源,最终必然对其他的无线客户端造成很大的影响.
禁止弱信号客户端接入功能,通过配置允许接入的无线客户端的最小信号强度门限值,可以直接拒绝信号强度低于指定门限的无线客户端接入到WLAN网络中,减少弱信号客户端对其他无线客户端的影响,从而提升整个WLAN网络的应用效果.
1-2配置禁止弱信号客户端接入功能,会导致信号强度低于指定门限值的无线客户端无法接入WLAN网络.
表1-1配置禁止弱信号客户端接入操作命令说明进入系统视图system-view-配置禁止弱信号客户端接入功能wlanoptionclient-rejectrssi必选缺省情况下,关闭通过信号强度控制无线客户端接入WLAN网络的功能1.
3报文发送公平调度机制本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
在WLAN网络应用中,一个无线接入点可以同时允许多个无线客户端接入,当无线客户端需要使用的网络服务需要传输大量的数据时(例如BT下载、在线视频点播等等),对于这个接入点,所有的无线客户端共享相同的资源,所有的数据都需要通过接入点一个一个的按先后顺序发送给无线客户端.
然而,通常情况下AP设备向无线客户端发送的报文顺序都是无序不可控的,当个别无线客户端突然有大量的突发数据需要发送时,所有的这些突发数据报文将顺序排队等待发送,而其他无线客户端的报文则需要等到这些突发数据报文全部发送完成以后才能发送.
这样就会导致部分无线客户端占用过多的射频资源,而其他无线客户端不得不长时间等待.
报文发送公平调度机制可以根据无线客户端使用业务的实际情况,动态的调整报文的发送顺序,控制有数据发送需求的无线客户端每次仅允许发送一个报文,最终实现发送报文的公平调度.
表1-2配置报文发送公平调度机制操作命令说明进入系统视图system-view-配置报文发送公平调度机制wlanoptionfair-scheduleenable必选缺省情况下,启用报文发送公平调度机制1.
4忽略弱信号无线报文WLAN是一个开放的网络空间,整个空间存在众多的WLAN或者非WLAN的设备,这就给网络的稳定使用带来了很大的挑战.
当一个距离AP较远的无线客户端在发送数据时,无线报文到达AP1-3时信号强度可能已经很弱,但此时AP的射频特性仍然可以感知到该报文的存在.
在这种情况下,AP可能会认为信道繁忙而不会发送报文.
忽略弱信号无线报文功能通过配置AP忽略信号强度低于指定门限,减少信号弱的无线报文对AP的影响,从而达到提高有效报文的接收以及提高AP发送报文的机会的目的.
AP开启了忽略弱信号无线报文功能后,提高了自身的发送机率,但有可能对其它的同信道设备造成冲突和干扰.
表1-3配置忽略弱信号无线报文操作命令说明进入系统视图system-view-配置忽略弱信号无线报文wlanoptionsignal-ignorerssi必选缺省情况下,关闭忽略弱信号无线报文功能1.
5802.
11n报文发送抑制对于802.
11n类型的WLAN网络,A-MPDU是性能提升的关键.
A-MPDU聚合帧格式将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时也减少了ACK帧的数目,这样可以极大地降低信道竞争和物理层的相关消耗,提高了信道的利用效率,从而提高WLAN的性能.
然而,在实际应用中,由于网络中存在众多的无线客户端,且无线客户端的类型可能为802.
11gn、802.
11g、802.
11b等模式.
如果在实际应用中对于802.
11n的客户端始终采用最大的聚合能力,会导致对其他类型的无线客户端的不公平,从而降低了非802.
11n客户端对于网络的应用体验.
802.
11n报文发送抑制功能在AP发送报文时,对802.
11n客户端的A-MPDU聚合过程进行控制,通过配置可以聚合的报文个数不超过配置的"最大报文个数",聚合后的报文总长度不超过配置的"最大报文长度"来达到抑制802.
11n报文发送的目的.
启用802.
11n报文发送抑制功能后,对于混合类型无线客户端(802.
11a、802.
11b/g和802.
11n客户端同时存在的情况),可以降低大流量的802.
11n无线客户端对其他非802.
11n类型的客户端的影响.
802.
11n报文发送抑制功能功能开启后,聚合后的最大报文个数和聚合后的最大报文长度两个限制同时生效,默认选择其中最先满足条件的一个规则.
本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
1-4表1-4配置802.
11n报文发送抑制操作命令说明进入系统视图system-view-配置802.
11n报文发送抑制功能wlanoptiondot11n-restraintpacket-numbermax-packetspacket-lengthmax-length必选缺省情况下,关闭802.
11n报文发送抑制功能1.
6基于连接状况的流量整形本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
在实际的网络环境中,由于AP覆盖的范围比较大,有的无线客户端距离AP比较近,无线信号比较好,而有的无线客户端却处在AP的信号覆盖边缘地带,无线信号比较差,当无线客户端比较少,信道使用不是特别繁忙,总体流量比较小的情况下,对整个网络没有太大的影响.
但是,当信道中无线客户端比较多(特别是链路状况较差、信号强度较弱的用户比较多),信道比较繁忙时,由于链路状况较差的无线客户端通常使用较低的速率发送报文,会较长时间的占用信道资源,造成对信号质量好的无线客户端的不公平.
基于连接状况的流量整形可以配置对链路状况(例如信号强弱、丢包率等等)较差的客户端进行发送报文的流量整形处理,动态控制链路质量差的无线客户端发送报文的相对比例,避免链路质量差的无线客户端过多的消耗射频资源.
表1-5配置基于链接状况的流量整形操作命令说明进入系统视图system-view-配置基于连接状况的流量整形wlanoptiontraffic-shapingenable必选缺省情况下,关闭基于连接状况的流量整形功能1.
7射频接口发送速率调整算法WLAN协议为报文的传输提供了一组物理发送速率(例如802.
11g支持的速率集包括:1,2,5.
5,11,6,9,12,18,24,36,48,54),所有的WLAN设备在发送数据时都是根据当前的信道质量、历史发送状况等信息动态地选择速率,最终确定一个报文发送可以使用的物理速率.
射频接口发送速率调整算法为用户提供了多种动态速率选择算法,从而避免了由于WLAN网络环境、干扰和其他错误因素引起的设备对于发送速率的不恰当调整导致的网络应用影响.
目前系统支持ARR,HDD,HDD2和LPL算法,系统默认使用的ARR算法是多种应用场景综合效果最好的动态速率算法.
1-5本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
表1-6配置射频接口发送速率调整算法操作命令说明进入系统视图system-view-配置射频接口发送速率调整算法wlanoptionrate-algorithm{arrband|hdd|hdd2|lplpacket-countup-thresholddown-threshold}必选缺省情况下,射频接口发送速率调整算法为ARR算法1.
8调整AP间信道共享WLAN空间环境中通常会存在多个AP,甚至在一个信道频段内也会同时存在多个AP一起工作.
例如,对于802.
11g设备,可用的不重合的信道只有3个,所以一般的环境中一个AP可以同时感知到周围多个AP是非常正常的.
由于WLAN设备共用空间媒质的特性,导致随着WLAN设备的增多,信道中设备的数量也随之增多,网络的整体性能会同步下降.
解决这一问题主要还是通过WLAN网络前期部署时的信道规划和功率控制来规避.
但对于已有的WLAN网络环境,还可以通过调整AP间信道共享来减少信道重叠,提高整体性能.
调整AP间信道共享功能通过调整AP设备感知弱信号报文的接收处理能力实现.
当AP在发送报文的时候,会判断射频周围是否有信号,如果信号强度低于调整阈值,AP会继续发送报文;否则AP会认为信道已经被其他设备使用,会暂停发送,继续等待机会重新获取信道.
这就增大了信道重叠范围,降低了AP在信道空间存在数据时发送报文的机会,避免信道冲突和干扰.
不建议将调整AP间信道共享和调整AP间信道重用能力策略同时使用.
表1-7配置调整AP间信道共享操作命令说明进入系统视图system-view-配置调整AP间信道共享wlanoptionchannel-sharepower-level必选缺省情况下,AP不启用信道共享功能1.
9调整AP间信道重用对于WLAN设备来说,一定空间范围内的所有WLAN设备,会共同使用一个公共的空间媒质,通过退避和竞争机制使用信道.
所以,随着整个信道中设备的增多,网络整体的性能会有所下降.
解1-6决这一问题主要还是通过WLAN网络前期部署时的信道规划和功率控制来规避.
但对于已有的WLAN网络环境,还可以通过调整AP间信道重用来提升同信道AP的整体性能.
调整AP间信道重用功能主要通过调整AP设备感知到的环境噪声,即通过设置的信道重用级别(reuse-level),对AP接收报文的信号强度和发送报文时的信道空闲检测进行判断,最终忽略掉信号强度低于信道重用级别的所有报文的影响,从而确保AP能够有更多机会获得射频资源,提高AP的发送能力,特别在多个AP密集部署的环境中,可以提高同信道AP的整体性能.
不建议将调整AP间信道共享和调整AP间信道重用能力策略同时使用.
配置该策略有可能导致增加了隐藏节点.
表1-8配置调整AP间信道重用级别功能操作命令说明进入系统视图system-view-配置调整AP间信道重用级别功能wlanoptionchannel-reusereuse-level必选缺省情况下,AP不启用信道重用功能1.
10禁止组播报文缓存在WLAN网络中,AP通常允许接入多个无线客户端,如果其中一个无线客户端处于休眠状态,则AP需要将当前所有的广播和组播报文进行缓存,直到发送下一个Beacon报文后再将这些缓存的广播和组播报文发送出去.
处于休眠状态的无线客户端会导致整个网络的组播报文经历先被缓存,再发送的过程,从而对实时组播业务的应用带来不良影响.
禁止组播报文缓存策略可以通过配置关闭组播报文缓存功能,确保所有的组播和广播报文不受休眠客户端的影响,实现AP直接发送的所有广播和组播报文,最终改善实时组播业务的应用效果.
配置禁止组播广播报文缓存功能时建议将无线客户端的"电源管理"设置成最高值.
禁止组播报文缓存策略可用于特殊场合(例如组播教学),由于实现了组播报文的快速及时发送,也会带来个别休眠的无线客户端无法接收到一些广播或者组播报文的后果.
表1-9配置组播报文缓存操作命令说明进入系统视图system-view-配置禁止组播报文缓存undowlanoptionbroadcast-bufferenable必选缺省情况下,当无线客户端进入休眠状态时,所有发往无线客户端的组播和广播报文都会被缓存1-71.
11优化多无线服务性能优化多无线服务性能主要解决部分802.
11n类型的AP在同时提供多个无线接入服务时的总体性能问题,通过该应用策略可以保证多个无线接入服务的性能测试达到总体最高.
实际应用中,特别仅有1个或者2个无线服务的应用中,不建议使用该应用策略,该应用策略会引起设备空口BSSID的变化.
本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
表1-10配置优化多无线服务性能操作命令说明进入系统视图system-view-配置优化多无线服务性能wlanoptionmulti-serviceenable必选缺省情况下,没有启用优化多无线服务性能功能1.
12逐包功率控制为了保证无线服务的覆盖效果,AP设备的发射功率通常设置的都比较大,且通常都使用固定的发射功率向无线客户端发送报文.
逐包功率控制功能可以动态选择报文的发射功率,通过动态调整发射功率的大小,实现对信号覆盖范围的调整.
例如,对于信号强度较好的无线客户端,AP设备可以使用较低的发射功率,同样可以达到与使用固定发射功率相同的数据传输效果.
较低的发射功率不但减少了AP设备的能耗和辐射,更加的绿色环保,而且可以有效的控制报文的影响范围,减少对周围设备的干扰,在整体上提升用户对于WLAN网络使用的感受.
表1-11配置逐包功率控制功能操作命令说明进入系统视图system-view-配置逐包功率控制功能wlanoptiontpcenable必选缺省情况下,不启用逐包功率控制功能1.
13主动触发无线客户端重连接主动触发无线客户端重连接功能可以在AP设备感知到无线客户端的信号强度低于指定的信号强度时,主动地向无线客户端发送解除认证帧报文,给无线客户端一次重新连接或者漫游的机会,从而避免了无线客户端在信号比较差的情况下还不会主动发起重新连接或者漫游.
1-8表1-12配置主动触发无线客户端重连接操作命令说明进入系统视图system-view-主动触发无线客户端重连接wlanoptionclient-reconnect-triggerrssisignal-check必选缺省情况下,关闭主动触发无线客户端重连接功能1.
14接收所有广播报文本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
由于长期接收大量的广播报文会对设备的正常工作造成一定的影响,因此在不需要使用此功能时,请关闭此功能.
无线网络中潜在的攻击者会仿冒其他设备的名义发送攻击报文,以达到破坏无线网络正常工作的目的,这种攻击称之为Spoofing攻击.
Spoofing攻击检测支持对仿冒AP名义发送的广播解除认证和广播解除关联报文进行检测,因此,AP如果需要检测当前开启的射频下的所有BSS下的Spoofing攻击,就需要开启接收所有广播报文的功能.
表1-13配置接收所有广播报文操作命令说明进入系统视图system-view-配置接收所有广播报文功能wlanoptionrx-broadcast-allenable必选缺省情况下,关闭接收来自射频的所有BSS的广播报文功能1.
15配置AP供电模式本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
AP现在支持三种供电模式:local、PoE和PoE+.
为了获得更好的性能,建议用户使用local或PoE+方式进行供电.
1-9表1-14配置AP供电模式操作命令说明进入系统视图system-view-配置AP供电模式wlanoptionpower-supply{local|poe|poeplus}可选缺省情况下,默认为本地供电方式1.
16配置漫游导航功能无缝漫游是WLAN网络的一个重要特性,随着各种手持终端对无线接入的广泛支持,漫游在无线网络中的地位也越来越重要.
然而,WLAN协议并没有提供控制终端漫游的机制,而是完全由终端自身决定什么时间漫游、如何进行漫游,在实际应用中,不同客户端的漫游机制存在着较大的差异.
有些客户端触发漫游的条件不太合理,即使存在信号强度较好的AP,终端仍然和信号已经变弱的AP维持原来的链接,而不会主动切换到信号强度较好的AP,链接的信号强度下降会严重影响终端在移动过程中的应用效果.
开启漫游导航功能后,AP可以通过自身调整为终端创造更多漫游的条件,从而提升终端用户在移动中的应用体验.
表1-15配置漫游导航功能操作命令说明进入系统视图system-view-配置漫游导航功能wlanoptionroam-navigationlevellevel[rssiclient-level]可选缺省情况下,不启用漫游导航功能1.
17配置基于用户类别的限速功能无线网络中每一个AP提供的可用带宽有限,且由接入的无线客户端共享,当低速率无线客户端(例如802.
11b类型客户端)占用过多带宽,势必影响整个网络的性能.
通过基于用户类别的限速功能,可以根据无线客户端的类别限制流量,避免低性能客户端对带宽的过多消耗,提高整个无线网络的性能.
比如在802.
11n网络中适当限制802.
11g或者802.
11a客户端的速率,可以更好保证802.
11n客户端的网络体验.
表1-16配置基于用户类别的限速功能操作命令说明进入系统视图system-view-开启基于用户类别的限速功能wlanoptionclient-rate-limit{dot11b|dot11ag|dot11n}[inbound|outbound]cirkbps[cbsbyte]必选缺省情况下,基于用户类别的限速功能处于关闭状态1-101.
18配置proberesponse报文发送次数在密集应用的场景下,通过调整proberesponse报文发送的次数,有效减少射频口proberesponse报文发送的数量,节约射频口资源,有利于提高整个网络的应用效果.
表1-17配置proberesponse报文发送次数操作命令说明进入系统视图system-view-配置proberesponse报文发送次数wlanoptionprobe-response-trytrynum必选缺省情况下,proberesponse报文发送次数为21.
19配置延时丢包功能地铁应用比较特殊,需要及时的完成信息交互,如果信息不能及时到达,那么宁可把报文丢弃,为了满足这个需求,可以通过配置超时门限来选择性的把大延时报文丢弃.
该特性仅适用于地铁MESH链路,不适用于其他应用场景.
该特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
表1-18配置延时丢包功能操作命令说明进入系统视图system-view-配置延时丢包功能wlanoptiontx-durationradioradio-numbersoftqueue-timethredhardqueue-timethred必选缺省情况下,延时丢包功能处于关闭状态1.
20配置静谧模式H3C针对X分系列产品开发了静谧模式功能,正常情况下X分系列产品发送报文时需要使用两根或者三根天线同时发送,开启静谧模式后,每个报文都只用一根天线发送,实现了环保节能和降低辐射的效果.
本特性的支持情况与设备的型号有关,请参见"配置指导导读"中的"特性差异情况"部分的介绍.
1-11表1-19配置静谧模式操作命令说明进入系统视图system-view-配置静谧模式wlanoptionx-sharequietenable必选缺省情况下,静谧模式处于关闭状态1.
21组播教学应用策略配置举例1.
组网需求在一个培训教室布置了1台双频FATAP,使用WLANRRM配置组播报文的速率,并配置禁止组播报文缓存功能,实现实时组播报文能及时到达无线客户端.
.
建议无线客户端选择双频段网卡,所有的网卡将电源管理调到最大,尽量避免无线客户端休眠.
2.
组网图图1-1组播教学WLAN组网3.
配置步骤(1)配置IP地址请按照上图要求,配置各设备的IP地址和子网掩码,具体配置过程略.
(2)配置FatAP相关功能无线服务的具体配置,请参见"WLAN服务配置",下面仅简单描述了一个clear的无线服务策略的配置.
#在接口WLAN-BSS1,WLAN-BSS2配置默认业务VLAN为100.
system-view[AP]interfacewlan-bss1[AP-WLAN-BSS1]portaccessvlan100[AP-WLAN-BSS1]quit[AP]interfacewlan-bss2[AP-WLAN-BSS2]portaccessvlan100[AP-WLAN-BSS2]quit#创建类型为Clear的无线服务模板1,配置其SSID为Clear-Test,使能该服务模板.
[AP]wlanservice-template1clearL2SwitchDHCPserver10.
10.
1.
2/24APClient1-12[AP-wlan-st-1]ssidClear-Test[AP-wlan-st-1]service-templateenable[AP-wlan-st-1]quit#将无线服务绑定到radio接口.
[AP]interfacewlan-radio1/0/1[AP-WLAN-Radio1/0/1]service-template1interfacewlan-bss1[AP-WLAN-Radio1/0/1]quit[AP]interfacewlan-radio1/0/2[AP-WLAN-Radio1/0/2]service-template1interfacewlan-bss2[AP-WLAN-Radio1/0/2]quit(3)指定组播报文使用的发送速率#通过WEB页面登录设备后,选择"射频->速率设置",进入"速率设置"页签,配置802.
11g和802.
11a组播报文速率为24Mbps,单击按钮,完成配置.
图1-2配置组播报文使用的发送速率(4)启用禁止组播报文缓存功能功能.
[AP]undowlanoptionbroadcast-bufferenablei目录1组播优化1-11.
1组播优化功能简介1-11.
2配置组播优化功能1-21.
3组播优化功能显示和维护1-31.
4组播优化功能配置举例·1-31.
4.
1组播优化功能配置举例1-31-11组播优化1.
1组播优化功能简介设备在发送无线组播数据报文时,会有如下两个特点.
没有相应的确认机制,因此无法对丢失的报文进行重传,导致有些情况组播报文丢失严重.
无线组播报文的速率是在强制速率中选取的最低发送速率,因此组播数据的传输效率较低.
组播传输的特点可能无法满足某些对组播流有较高要求的应用,如对延迟不十分敏感,但要求报文流有较高完整性要求的应用,如高清视频点播.
为了满足上诉需求,可开启组播优化功能,使得AP向客户端发送组播报文时,将组播数据报文转换为单播数据报文,转换后的无线单播数据报文不但具有重传确认机制及更高速率,并且具有Video的优先级,可以优先被发送.
如无特殊说明,下文描述的单播报文均指具有Video的优先级的无线单播数据报文.
图1-1开启组播优化后数据传输示意图开启组播优化功能后,AP会监听客户端上报的组播报告报文和离开报文进行组播优化表项维护.
当AP收到客户端的组播报告报文时,会添加或是更新组播优化表项,并更新客户端允许的组播源地址(对于IGMPv3和MLDv2报文).
当收到客户端的组播离开报文或是组播优化表项老化时间超时后,则删除对应的组播优化表项.
关闭组播优化功能时,整个组播优化表项会被删除.
.
建立组播表项后,AP会监听从组播源发往客户端的下行非IGMP和MLD的组播数据报文,查询组播优化表项,检查报文中的组播组地址.
若在表项中存在该组播组地址,则遍历加入该组播地址的所有客户端,将组播数据报文转换为单播数据报文,并单播发送给对应客户端;若没有该组播组地址,则正常发送组播数据报文.
为了避免客户端数量过多,导致功能性能下降.
用户可以通过命令行设置支持组播优化的最大客户端数量.
在某个射频下,接入组播组的客户端数量超过阈值时,设备有两种处理方式:1-2组播优化功能暂停.
新接入的客户端可以加入组播组,能够收到组播报文,并生成组播优化表项,但是会导致接入组播组的所有客户端的组播数据报文无法转换为单播数据报文.
当接入组播组的客户端数量小于阈值时,组播优化功能重新生效.
拒绝新客户端进行组播优化.
新接入的客户端可以加入组播组,但不会生成组播优化表项.
如果组播优化表项存在组播组的优化表项,则新接入的客户端将无法接收组播数据报文;否则,该客户端可以收到组播数据报文.
如果先配置halt方式(在halt方式下,超出阈值的客户端也能生成组播优化表项),然后使用命令将处理方式修改为reject方式,这些已存在的组播优化表项仍会生效.
1.
2配置组播优化功能表1-1配置组播优化功能操作命令说明进入系统视图system-view-进入服务模板视图wlanservice-templateservice-template-number{clear|crypto|wapi}-开启组播优化功能multicastoptimizationenable必选缺省情况下,组播优化功能处于关闭状态退回系统视图quit-配置在射频上支持组播优化的最大客户端数量wlanmulticastoptimizationthresholdthreshold-value可选缺省情况下,在射频上支持组播优化的最大客户端数量为6需要注意的是,当一个客户端加入当前射频下多个组播组时,计数累加.
例如,在同一个射频上,如果一个客户端分别加入两个组播地址,则组播优化的客户端数量记做2配置组播优化客户端数量超过阈值后的处理方式wlanmulticastoptimizationthreshold-action{halt|reject-client}可选缺省情况下,客户端数量超过阈值后的处理方式为暂停组播优化功能如果先配置halt方式(在halt方式下,超出阈值的客户端也能生成组播优化表项),然后使用命令将处理方式修改为reject方式,这些已存在的组播优化表项仍会生效配置组播优化表项老化时间wlanmulticastoptimizationaging-timetime可选缺省情况下,组播转单播表项老化时间为2601-31.
3组播优化功能显示和维护完成上述配置后,在任意视图下执行display命令可以显示配置后组播优化功能的运行情况,通过查看显示信息验证配置的效果.
表1-2组播优化功能显示和维护操作命令查看组播优化信息displaywlanmulticastoptimizationinterfacewlan-radio[radio-number][verbose][|{begin|exclude|include}regular-expression]1.
4组播优化功能配置举例1.
4.
1组播优化功能配置举例1.
组网需求在如下图所示的无线环境中,开启组播优化功能,将组播数据报文转换为单播数据报文并发送给客户端.
2.
组网图图1-2组播优化功能配置组网组3.
配置步骤(1)配置FATAP在FATAP上完成无线服务的相关配置,具体配置步骤可参见"WLAN配置指导"中的"WLAN服务",此处不再重复.
#开启组播优化功能.
system-view[Sysname]wlanservice-template1clear[Sysname-wlan-st-1]multicastoptimizationenable#配置组播优化表项老化时间为300秒.
[Sysname]wlanmulticastoptimizationaging-time300#配置在射频上支持组播优化的最大客户端数量为2.
1-4[Sysname]wlanmulticastoptimizationthreshold2#配置客户端数量超过阈值后的处理方式为拒绝新客户端进行组播优化.
[Sysname]wlanmulticastoptimizationthreshold-actionreject-client(2)验证配置结果Client1和Client2通过AP的某个射频接入到名为service的SSID,并加入组播组,使用displaywlanmulticastoptimizationall命令可以查看到组播优化表项的信息.
Client1和Client2加入组播组时,组播优化功能能够正常工作,当Client3加入组播组时,客户端数量超过设置的阈值,Client3无法接收组播数据.
华纳云双11钜惠出海:CN2海外物理服务器终身价688元/月,香港/美国机房,免费送20G DDos防御,50M CN2或100M国际带宽可选,(文内附带测评)华纳云作为一家专业的全球数据中心基础服务提供商,总部在香港,拥有香港政府颁发的商业登记证明,APNIC 和 ARIN 会员单位。主营香港服务器、美国服务器、香港/美国OpenStack云服务器、香港高防物理服务器、美国高防服务器、香港高防I...
LOCVPS发来了新的洛杉矶CN2线路主机上线通知,基于KVM架构,目前可与香港云地、香港邦联机房XEN架构主机一起适用7折优惠码,优惠后最低美国洛杉矶CN2线路KVM架构2GB内存套餐月付38.5元起。LOCPVS是一家成立较早的国人VPS服务商,目前提供洛杉矶MC、洛杉矶C3、和香港邦联、香港沙田电信、香港大埔、日本东京、日本大阪、新加坡、德国和荷兰等机房VPS主机,基于KVM或者XEN架构。...
近日CloudCone商家对旗下的大硬盘VPS云服务器进行了少量库存补货,也是悄悄推送了一批便宜VPS云服务器产品,此前较受欢迎的特价20美元/年、1核心1G内存1Gbps带宽的VPS云服务器也有少量库存,有需要美国便宜大硬盘VPS云服务器的朋友可以关注一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2017年的美国服务...
蹭网卡破解软件下载为你推荐
methoxychrome菏泽市牡丹区实验小学realgoogle支持ipad用itunes备份iphone怎么从itunes备份恢复用itunes备份如何使用itunes完整备份iPhone资料迅雷下载速度迅雷下载快慢和什么有关ipad无法加入网络为什么ipad无法加入网络?www.baidu.jp谁能推荐几个日本的资源网站、搜索引擎、音乐软件?routeaddRout add -p在网络中是什么意思?Route add Cp又是什么意思?
注册国际域名 黑龙江域名注册 备案未注册域名 香港服务器租用99idc 免费linux主机 山东vps vps.net 秒解服务器 linode代购 kddi 宕机监控 gateone 正版win8.1升级win10 evssl证书 xen 圣诞节促销 最好看的qq空间 gg广告 qq数据库下载 qingyun 更多