1 WLAN 接入配置本文中的 AP 指的是 LA3616 无线网关 1.1 WLAN 接入简介 WLAN 接入为用户提供接入网络的服务无线服务的骨干网通常使用有线电缆作为线路连接安置在固定

目录 1 WLAN 接入配置 1-1 1.1 WLAN 接入简介 1-1 1.1.1 无线扫描 1-1 1.1.2 关联 1-3 1.2 WLAN 客户端接入控制 1-4 1.2.1 基于 AP 组的接入控制 1-4 1.2.2 基于 SSID 的接入控制 1-4 1.3 零漫游 1-5 1.4 WLAN 接入配置任务简介 1-6 1.5 配置 WLAN 接入 1-6 1.5.1 创建无线服务模板 1-6 1.5.2 配置 SSID 1-6 1.5.3 使能无线服务模板 1-7 1.5.4 绑定无线服务模板 1-7 1.5.5 配置区域码 1-8 1.6 WLAN 接入显示和维护 1-8 1.7 WLAN 接入典型配置举例 1-8 i

1 WLAN 接入配置本文中的 AP 指的是 LA3616 无线网关 1.1 WLAN 接入简介 WLAN 接入为用户提供接入网络的服务无线服务的骨干网通常使用有线电缆作为线路连接安置在固定网络, 接入点设备安置在需要覆盖无线网络的区域, 用户在该区域内就可以通过无线接入的方式接入无线网络 1.1.1 无线扫描客户端首先需要通过主动 / 被动扫描方式发现周围的无线网络, 再通过链路层认证关联和用户接入认证三个过程后, 才能和 AP 建立连接, 最终接入无线服务整个过程如图 1-1 所示有关链路层认证的详细介绍及相关配置请参见 WLAN 配置指导中的 WLAN 用户安全有关用户接入认证的详细介绍及相关配置请参见 WLAN 配置指导中的 WLAN 用户接入认证图 1-1 建立无线连接过程 1-1

客户端在实际工作过程中, 通常同时使用主动扫描和被动扫描获取周围的无线网络信息 1. 主动扫描主动扫描是指客户端在工作过程中, 会定期地搜索周围的无线网络, 也就是主动扫描周围的无线网络客户端在扫描的时候, 会主动广播 Probe Request 帧 ( 探测请求帧 ), 通过收到 Probe Response 帧 ( 探测响应帧 ) 获取无线网络信息根据 Probe Request 帧是否携带 SSID(Service Set Identifier, 服务集标识符 ), 可以将主动扫描分为两种 : 客户端发送 Probe Request 帧 (Probe Request 中 SSID 为空, 也就是 SSID 这个信息元素的长度为 0): 客户端会定期地在其支持的信道列表中, 发送 Probe Request 帧扫描无线网络当 AP 收到 Probe Request 帧后, 会回复 Probe Response 帧通告可以提供服务的无线网络信息客户端通过主动扫描, 可以主动获知可使用的无线服务, 之后客户端可以根据需要选择适当的无线网络接入客户端主动扫描方式的过程如图 1-2 所示图 1-2 主动扫描过程 (Probe Request 中 SSID 为空, 也就是不携带任何 SSID 信息 ) 客户端发送 Probe Request 帧 ( 携带指定的 SSID): 在客户端上配置了希望连接的无线网络或者客户端已经成功连接到一个无线网络的情况下, 客户端会定期发送 Probe Request 帧 ( 携带已经配置或者已经连接的无线网络的 SSID), 能够提供指定 SSID 无线服务的 AP 接收到 Probe Request 帧后, 会回复 Probe Response 帧通过这种方法, 客户端可以主动扫描指定的无线网络这种客户端主动扫描方式的过程如图 1-3 所示 1-2

Beacon 图 1-3 主动扫描过程 (Probe Request 携带指定为 APPLE 的 SSID) 2. 被动扫描被动扫描是指客户端通过侦听 AP 定期发送的 Beacon 帧 ( 信标帧 ) 发现周围的无线网络提供无线服务的 AP 设备都会周期性地广播发送 Beacon 帧, 所以客户端可以定期在支持的信道列表监听 Beacon 帧获取周围的无线网络信息, 从而接入 AP 当客户端需要节省电量时, 可以使用被动扫描被动扫描的过程如图 1-4 所示图 1-4 被动扫描过程 Client Beacon AP Client 1.1.2 关联当客户端通过指定 SSID 选择无线网络, 并通过 AP 链路认证后, 就会立即向 AP 发送 Association Request 帧 ( 关联请求帧 ),AP 会对 Association Request 帧携带的能力信息进行检测, 最终确定该客户端支持的能力, 并回复 Association Response 帧 ( 关联响应帧 ) 通知客户端链路是否关联成功 1-3

1.2 WLAN 客户端接入控制 WLAN 接入控制的主要目的为对用户接入网络和访问网络进行控制,WLAN 接入控制的方式有基于 AP 组的接入控制基于 SSID 的接入控制和基于名单的接入控制三种方式 1.2.1 基于 AP 组的接入控制如图 1-5 所示, 无线网络中有 3 个 AP, 要求 Client 1 和 Client 2 只能通过 AP 1 或 AP 2 接入网络, Client 3 只能通过 AP 3 接入网络为实现上述要求, 将 AP 1 和 AP 2 添加进 AP 组 1 中,AP 3 添加进 AP 组 2 中 AC 上配置 Client 1 和 Client 2 对应的 User Profile 指定允许接入的 AP 组为 AP 组 1,Client 3 对应的 User Profile 指定允许接入的 AP 组为 AP 组 2 当 Client 1 Client 2 和 Client 3 准备接入网络并通过身份认证后, 认证服务器会将与用户帐户绑定的 User Profile 名称下发给 AC,AC 根据指定 User Profile 里配置的内容查看客户端关联的 AP 是否在允许接入的 AP 组中, 如果客户端关联的 AP 在允许接入的 AP 组中, 客户端成功上线, 否则上线失败图 1-5 基于 AP 组的接入控制组网应用 AP 1 Client 1 IP network AC AP 2 Client 2 AP group 1 RADIUS server AP 3 Client 3 AP group 2 1.2.2 基于 SSID 的接入控制如图 1-6 所示, 无线网络中有 3 个 AP, 要求 Client 1 和 Client 2 只能接入的 SSID 名称为 ssida 的无线服务,Client 3 只能接入的 SSID 名称为 ssidb 的无线服务为实现上述要求,AC 上配置 Client 1 和 Client 2 对应的 User Profile 指定允许接入的 SSID 名称为 ssida,client 3 对应的 User Profile 指定允许接入的 SSID 名称为 ssidb 当 Client 1 Client 2 和 Client 3 准备接入网络并通过身份认证后, 认证服务器会将与用户帐户绑定的 User Profile 名称下发给 AC,AC 根据指定 User Profile 里配置的内容查看客户端关联的 SSID 是否为允许接入的 SSID, 如果客户端关联的 SSID 为指定允许接入的 SSID, 客户端成功上线, 否则上线失败 1-4

图 1-6 基于 SSID 的接入控制组网应用 1.3 零漫游零漫游功能用来避免无线客户端在不同 AP 间漫游时发生掉线和报文丢失开启零漫游功能的多个 AP 为客户端提供统一的虚拟服务, 客户端选择接入一个 AP 后, 其余 AP 实时监控客户端的信号强度当 AC 发现其它 AP 能够比当前 AP 提供更高质量的服务时, 将指定新 AP 为客户端提供无线服务如图 1-7 所示, 无线网络中存在两个 AP, 零漫游的实现方式如下所述 : (1) AP 上开启零漫游功能后, 当网络中的 AP 收到来自客户端的 Probe Request 帧,AC 会为该客户端生成一个虚拟的服务, 该虚拟服务的 BSSID 将由 AC 的桥 MAC 地址 AP ID 和客户端的 MAC 地址组成,AP 会用这个虚拟 BSSID 来与客户端进行交互 (2) 如果客户端选择通过 AP 1 上线, 则 AC 会将 AP 1 的虚拟 BSSID 通告到 AP 2 上 AP 2 将替换本地的虚拟 BSSID, 并监控该客户端的信号强度 (3) 当 AC 发现 AP 2 对客户端而言服务质量更好时, 即 AP 2 接收到客户端报文的 RSSI(Received Signal Strength Indicator, 接收信号强度指示 ) 值达到 / 超过 RSSI 门限值, 并且与 AP 1 所接收到的客户端报文 RSSI 值的差值达到 / 超过 RSSI 差值门限, 那么 AC 将指定 AP 2 为客户端提供无线服务由于客户端始终使用相同的虚拟 BSSID 发送数据, 所以即使为客户端提供无线服务的 AP 发生变化, 对客户端而言使用的无线服务却是相同的 1-5

图 1-7 零漫游示意图 1.4 WLAN 接入配置任务简介表 1-1 WLAN 接入配置任务简介配置任务说明详细配置创建无线服务模板必选 1.5.1 配置 SSID 必选 1.5.2 使能无线服务模板必选 1.5.3 绑定无线服务模板 ( 仅 FAT AP) 必选 1.5.4 配置区域码可选 1.5.5 1.5 配置 WLAN 接入 1.5.1 创建无线服务模板无线服务模板即一类无线服务属性的集合, 如无线网络的 SSID 认证方式 ( 开放系统认证或者共享密钥认证 ) 等表 1-2 创建无线服务模板操作命令说明进入系统视图 system-view - 创建无线服务模板配置无线服务模板 VLAN wlan service-template service-template-name vlan vlan-id 缺省情况下, 未创建无线服务模板缺省情况下, 无线服务模板的 VLAN 为 1 1.5.2 配置 SSID AP 将 SSID 置于 Beacon 帧中向外广播发送 1-6

表 1-3 配置 SSID 操作命令说明进入系统视图 system-view - 进入无线服务模板视图 wlan service-template service-template-name - 配置 SSID ssid ssid-name 缺省情况下, 未配置 SSID SSID 的名称应该尽量具有唯一性从安全方面考虑, 不应该体现公司名称 1.5.3 使能无线服务模板表 1-4 打开无线服务模板操作命令说明进入系统视图 system-view - 进入无线服务模板视图 wlan service-template service-template-name - 打开无线服务模板 service-template enable 缺省情况下, 无线服务模板处于关闭状态 1.5.4 绑定无线服务模板无线服务模板跟 AP 的 Radio 存在多对多的映射关系, 将无线服务模板绑定在某个 AP 的射频接口上,AP 会根据射频接口上绑定的无线服务模板的无线服务属性创建无线服务 BSS BSS 是无线服务提供服务的基本单元在一个 BSS 的服务区域内 ( 这个区域是指射频信号覆盖的范围 ), 客户端能够相互通信表 1-5 绑定无线无线服务模板操作命令说明进入系统视图 system-view - 进入 WLAN 射频接口视图 interface wlan-radio interface-number - 绑定无线服务模板 service-template service-template-name 缺省情况下, 未绑定无线无线服务模板射频能绑定的最大无线服务模板个数为 16 个 1-7

1.5.5 配置区域码区域码决定了射频可以使用的工作频段信道发射功率级别等在配置 WLAN 设备时, 必须正确地设置区域码, 以确保不违反当地的管制规定为了防止区域码的修改导致射频的工作频段信道等与所在国家或地区的管制要求冲突, 可以开启区域码锁定功能表 1-6 配置全局区域码操作命令说明进入系统视图 system-view - 进入全局配置视图 wlan global-configuration - 配置区域码 region-code code 缺省情况下, 区域码为 CN 开启区域码锁定功能 region-code-lock enable 缺省情况下, 区域码锁定功能处于关闭状态 1.6 WLAN 接入显示和维护在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WLAN 接入的运行情况, 通过查看显示信息验证配置效果在用户视图下执行 wlan link-test 命令可以检测 AP 与指定客户端之间的无线链路质量, 检测内容包括 : 信号强度报文重传次数 RTT(Round-trip Time, 往返时间 ) 等表 1-7 WLAN 接入显示和维护操作命令显示无线服务模板信息 display wlan service-template [ service-template-name ] 显示客户端的信息 display wlan client [ interface wlan-radio interface-number mac-address mac-address service-template service-template-name ] [ verbose ] 1.7 WLAN 接入典型配置举例 1. 组网需求 AP 通过交换机与有线网络相连在 Switch 上开启 DHCP server 功能, 为 AP 和客户端分配 IP 地址 AP 提供 SSID 为 trade-off 的无线接入服务 1-8

2. 组网图图 1-8 无线接入组网图 3. 配置步骤 # 配置无线无线服务模板 service1, 配置 SSID 为 trade-off, 并使能服务模版 <AP> system-view [AP] wlan service-template service1 [AP-wlan-st-service1] ssid trade-off [AP-wlan-st-service1] service-template enable [AP-wlan-st-service1] quit # 将无线服务模板 service1 绑定到 WLAN-Radio 0/1 接口 [AP] interface wlan-radio 0/1 [AP-WLAN-Radio0/1] undo shutdown [AP-WLAN-Radio0/1] service-template service1 [AP-WLAN-Radio0/1] quit 4. 验证配置 (1) 配置完成后, 在 AP 上执行 display wlan service-template 命令, 可以看到所有已经创建的无线服务模板模板无线服务模板 service1 的 SSID 为 trade-off, 无线服务模板已经使能, 其它配置项都使用缺省值 [AP] display wlan service-template Service template name : service1 SSID : trade-off SSID-hide : Disabled Service template status : Enabled Maximum clients per BSS : 64 VLAN ID : 3 AKM mode : Not configured Security IE : Not configured Cipher suite : Not configured TKIP countermeasure time : 0 s PTK life time : 43200 s GTK rekey : Enabled GTK rekey method : Time-based GTK rekey time : 86400 s GTK rekey client-offline : Disabled Authentication mode : 802.1X Intrusion protection : Disabled Intrusion protection mode : Temporary-block Temporary block time : 180 sec Temporary service stop time : 20 sec 1-9

Fail VLAN ID : 1 Critical VLAN ID : Not configured 802.1X handshake : Enabled 802.1X handshake secure : Disabled 802.1X domain : my-domain MAC-auth domain : Not configured Max 802.1X users : 4096 Max MAC-auth users : 4096 802.1X re-authenticate : Enabled Authorization fail mode : Online Accounting fail mode : Online Authorization : Permitted Key derivation : N/A PMF status : Disabled (2) MAC 地址为 0023-8933-223b 的客户端可以连接无线网络名称为 trade-off 的无线网络在 AP 上执行 display wlan client 命令, 可以看到所有连接成功的客户端 [AP] display wlan client service-template service1 Total number of clients: 3 MAC address Username APID/RID IP address VLAN ID 0023-8933-223b user 1024/1 3.0.0.3 3 1-10

1 WLAN 接 入 配 置 本 文 中 的 AP 指 的 是 LA3616 无 线 网 关 1.1 WLAN 接 入 简 介 WLAN 接 入 为 用 户 提 供 接 入 网 络 的 服 务 无 线 服 务 的 骨 干 网 通 常 使 用 有 线 电 缆 作 为 线 路 连 接 安 置 在 固 定

1 WLAN 接入配置本文中的 AP 指的是 LA3616 无线网关 1.1 WLAN 接入简介 WLAN 接入为用户提供接入网络的服务无线服务的骨干网通常使用有线电缆作为线路连接安置在固定