什么是无线漫游
当网络环境存在多个AP,且它们的微单元互相有一定范围的重合时,无线用户
可以在整个WLAN覆盖区内移动,无线网卡能够自动发现附近信号强度最大的
AP,并通过这个AP收发数据,保持不间断的网络连接,这就称为无线漫游。
漫游的核心是保持业务不中断,而业务不中断的核心是保持STA在漫游前后IP
地址保持不变。当前我司产品支持以下两种漫游:
(1)同一AC下的快速漫游
如图所示,AC已经与AP1建立关联信息。此时,用户需要从AP1的覆盖范围切
换到AP2的覆盖范围,AC会按照如下的流程实现切换功能:
在各种信道中发送802.11请求帧。AP2在信道6(AP2使用的信道)
中收到请求后,通过在信道6中发送应答来进行响应。STA收到应答后,
对其进行评估,确定同哪个AP关联最合适。
2.如图中的标号1所示,删除用户与AP1现有的关联。STA通过信道1(AP1
使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关
联。
3.如图中的标号2所示,STA通过信道6向AP2发送关联请求,AP2使用关
联响应做出应答,建立用户与AP2间的关联。
此时,用户实现了从AP1到AP2的快速漫游。
注:a.)AP1和AP2必须使用相同的SSID,例如,图中所示的SSIDHuawei,同
时各业务模板的配置相同。
b.)AP1和AP2连接的必须是同一个控制器AC。
2.)跨VLAN的三层漫游
如图所示,跨VLAN的三层漫游的具体过程为:
通过AP1(属于VLAN1)申请同AC发生关联,AC判断该STA为首次接
入用户,为其创建并保存相关的用户数据信息,以备将来漫游时使用。
2.该STA从AP1覆盖区域向AP2(属于VLAN2)覆盖区域移动;STA断开同
AP1的关联,漫游到同一AC相连的AP2上。
通过AP2重新同AC发生关联,AC通过用户数据信息判断该STA为漫
游用户,更新用户数据库信息;尽管漫游前后不在同一个子网中,AC仍
然把STA视为从原始子网(VLAN1)连过来一样,允许STA保持其原有IP
并支持已建立的IP通讯。
4.里来解释下:
5.1、WLAN漫游的基本特征如下:
6.STA可以在属于同一个ESS内的WIFI网络中任意移动:比如:客户端
可以在SSID为“university”校园内任意移动。
7.保证已有的业务不中断:在漫游的过程中,客户端的业务不中断。
8.用户的标识(IP地址)不改变:客户端在连接网络初期获得了IP地址,
整个漫游过程IP地址不改变。
9.2、有关二层漫游和三层漫游的介绍,楼上的同事基本解释到了。
10.二层漫游:AP与AC直连组网,多个AP连接在同一个
VLAN内,由于STA在不同的AP间切换时,始终在一个VLAN子网内,获
取到的IP地址也不变,从而保证业务不中断。
11.三层漫游:也称为“跨VLAN漫游”,用户在不同VLAN
间漫游时,但依旧保持用户的VLAN为初始VLAN,从而保证用户在不
同VLAN间漫游而业务不中断。
12.3、无缝漫游,是指在漫游过程中,从用户体验角度去说的,即漫游过程
业务不中断,无缝切换。并非如上的分类。
其STA的IP地址不会变。同时业务不中断,用户无感知。
不管二层、还是三层漫游,都是漫游,那么就具备如下特征:
STA可以在属于同一个ESS内的WIFI网络中任意移动:比如:客户端
可以在SSID为“university”校园内任意移动。
保证已有的业务不中断:在漫游的过程中,客户端的业务不中断。
用户的标识(IP地址)不改变:客户端在连接网络初期获得了IP地
址,整个漫游过程IP地址不改变。
华为
7.1WLAN漫游概述
介绍WLAN漫游的基本概念、原理和分类。
随着WLAN网络从家庭网络逐步发展到企业局域网、运营商广域网,由于WLAN
网络不同于有线网络,而类似无线网络的特点,用户对于在一定范围内的WLAN
网络中STA可以自由漫游提出了要求。即下文中所说的WLAN漫游技术。
WLAN漫游是指STA可以在同属一个ESS的AP中接入,并且在移动的过程中保证
已有的业务不中断。
WLAN漫游要求,各个AP的网络参数匹配:
VAP使用相同的SSID。
AP连接的都是同一个控制器AC。
AP使用的是相同的安全模板。
根据用户是否在同一个子网内漫游,可以分为:
二层漫游:在同一个子网内的漫游。
三层漫游:在不同子网间的漫游。
根据用户是否支持快速漫游产生不同的情况,如果用户漫游为快速漫游,则用户
使用的认证加密方式一定为WPA2+DOT1X的加密认证方式,反之则未必成立。其
他漫游都属于非快速漫游。
WLAN漫游原理如图7-1所示。
图7-1WLAN漫游原理组网图
如图所示,AC已经与AP1建立关联信息。此时,用户需要从AP1的覆盖范围切
换到AP2的覆盖范围,AC会按照如下的流程实现切换功能:
在各种信道中发送802.11请求帧。AP2在使用的信道中收到请求后,
通过在该信道中发送应答来进行响应。STA收到应答后,对其进行评估,
确定同哪个AP关联最合适。
2.如图中的标号1所示,删除用户与AP1现有的关联。STA通过AP1使用的
信道向AP1发送802.11解除关联信息,解除用户与AP1间的关联。
3.如图中的标号2所示,STA通过AP2使用的信道向AP2发送关联请求,AP2
使用关联响应做出应答,建立用户与AP2间的关联。
7.2设备支持的WLAN漫游特性
设备支持的WLAN漫游特性为AC内漫游,包括非快速漫游、快速漫游、跨VLAN
三层漫游等。
下面按照认证和加密方式的不同来一一描述:
开放式系统认证漫游
开放式系统认证方式下,加密方式可以支持OPEN不加密和WEP加密两种。STA
的漫游只需要在AP与STA间完成,AC不参与具体的漫游过程。当STA发生漫游
切换时,向新AP发送认证请求,所有请求认证的STA都会通过认证,认证通过
后发送重关联请求,重关联请求通过后完成漫游。
共享式认证漫游
共享式认证方式下,STA的漫游仍然只需要在AP与STA间完成,AC不参与具体
的漫游过程。当STA发生漫游切换时,向新AP发送认证请求,认证过程需要STA
和AP进行加密和解密的过程,如果发生漫游的两个AP采用相同的认证方式和
与共享密钥,STA认证成功,认证通过后STA发送重关联请求,AC判断是否允许
STA接入。
WPA-PSK认证漫游
WPA-PSK认证方式下,STA在两个AP间漫游需要求重新启动四次握手过程以协商
出加密密钥。密钥协商完成之后AC需要下发消息让STA原来关联的AP删除对应
的密钥,同时AC上需要完成STA关联AP的切换。
WPA802.1X认证漫游
对于是WPA802.1X认证的方式,AC支持用户在切换后,进行802.1X认证+四次
握手过程;同时也支持只进行4次握手过程(即快速漫游),由终端决定是否发
起802.1X认证的过程。
目前AC实现方案,如果是WPA的802.1X认证方式,AC在回应重关联请求后,
立马启动4次握手过程,如果4次握手过程当中,发现STA有802.1X的认证报
文,AC中止握手过程。启动802.1X认证+四次握手流程。如果四次握手结束并
且成功,则漫游成功。
7.3WLAN漫游显示和维护
WLAN漫游后,查看漫游结果。
操作步骤
1.执行命令displaystationroam-trackstasta-mac,查看指定STA的
漫游轨迹。
2.执行命令displaystationassoc-infostamac-address,查看指定终
端的接入信息。可以查看到该终端关联的AP发生了变化。
7.4配置举例
介绍WLAN漫游的配置举例。配置举例中包括组网需求、配置注意事项、配置思
路等。
7.4.1配置二层漫游切换示例
组网需求
如图7-2所示,AC通过接入交换机和汇聚交换机连接和管理AP1和AP2。
当无线用户从一个AP的无线信号覆盖区域移动到另一个AP的无线信号覆盖区域
时,会重新关联新AP。用户希望在关联过程中,无线业务不会中断。
图7-2配置二层漫游组网图
配置流程
1.配置Switch和AC,实现AP和AC互通。
2.配置AC的基本功能,包括配置AC运营商标识和ID、AC与AP之间通信的
源接口,实现AC作为DHCP服务器给AP、STA分配IP地址。
3.配置AP上线的认证方式,并把AP加入到AP域中,实现AP正常工作。
4.配置VAP,下发WLAN业务,实现STA访问WLAN网络功能。
a.配置WLAN-ESS接口,并在服务集下绑定该接口,实现无线侧报文
到达AC后能够送至WLAN业务处理模块功能。
b.配置AP对应的射频模板,并在射频下绑定该模板,实现STA与AP
之间的无线通信参数配置。
c.配置AP对应的服务集,并在服务集下配置数据直接转发模式,绑
定安全模板、流量模板,实现STA接入网络安全策略及QoS控制。
d.配置VAP并下发,实现STA访问WLAN网络功能。
说明:
STA从一个AP漫游到新的AP时,必须确保:
AP都接在同一AC下。
WLAN-ESS接口下配的认证方式相同。
安全模板配置必须保持一致。
服务集模板中配置的SSID必须相同。
如果认证和加密方式不同,则STA与新AP重关联和重认证的时间也会存在差异,
开放式认证方式时间最短,Share-key、PSK认证方式的时间较长,802.1X、MAC
认证的时间最长。
操作步骤
1.配置接入交换机#使接入交换机透传业务VLAN,由交换机给AP管理报
文打tag。
说明:
需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端
口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,
或者导致不同AP间的WLAN用户二层互通的问题。
[Quidway]vlanbatch101800
[Quidway]interfaceethernet0/0/1
[Quidway-Ethernet0/0/1]portlink-typetrunk
[Quidway-Ethernet0/0/1]porttrunkpvidvlan800
[Quidway-Ethernet0/0/1]porttrunkallow-passvlan101800
[Quidway-Ethernet0/0/1]port-isolateenable
[Quidway-Ethernet0/0/1]quit
[Quidway]interfaceethernet0/0/2
[Quidway-Ethernet0/0/2]portlink-typetrunk
[Quidway-Ethernet0/0/2]porttrunkpvidvlan800
[Quidway-Ethernet0/0/2]porttrunkallow-passvlan101800
[Quidway-Ethernet0/0/2]port-isolateenable
[Quidway-Ethernet0/0/2]quit
[Quidway]interfaceethernet0/0/3
[Quidway-Ethernet0/0/3]portlink-typetrunk
[Quidway-Ethernet0/0/3]porttrunkallow-passvlan101800
[Quidway-Ethernet0/0/3]quit
2.配置AC连接接入交换机的接口,使能AC的DHCP服务器功能
3.
4.[Huawei]sysnameAC
5.[AC]vlanbatch101800
6.[AC]interfaceethernet2/0/0
7.[AC-Ethernet2/0/0]portlink-typetrunk
8.[AC-Ethernet2/0/0]porttrunkallow-passvlan101800
9.[AC-Ethernet2/0/0]quit
10.[AC]dhcpenable
11.[AC]interfacevlanif800
12.[AC-Vlanif800]ipaddress172.1.1.124
13.[AC-Vlanif800]dhcplectinterface
14.[AC-Vlanif800]quit
15.[AC]interfacevlanif101
16.[AC-Vlanif101]ipaddress192.168.10.124
17.[AC-Vlanif101]dhcplectinterface
18.[AC-Vlanif101]quit
19.配置WLAN业务
a.配置AC的全局参数#配置AC全局参数(运营商标识、ID、国家
码)和AC的源接口。
b.[AC]wlanac-globalacid1carrieridother
c.[AC]wlanac-globalcountry-codecn
d.[AC]wlanac
e.[AC-wlan-view]wlanacsourceinterfaceVlanif800
f.配置AP并上线#配置AP的认证方式为不认证。
g.[AC-wlan-view]ap-auth-modeno-auth
#查看AP的上线状态。
[AC-wlan-view]displayapall
AllAPinformation(Normal-2,UnNormal-0):
---------------------------------------------------------
---------------------
APAPAPProfile
RegionAP
IDTypeMACID
IDState
---------------------------------------------------------
---------------------
1WA603SN286E-D42B-0CE50
0normal
2WA603SN0025-9EE8-DF700
0normal
---------------------------------------------------------
---------------------
Totalnumber:2
#创建AP域,分别将AP加入指定域。
[AC-wlan-view]ap-regionid5
[AC-wlan-ap-region-5]quit
[AC-wlan-view]ap-regionid6
[AC-wlan-ap-region-6]quit
[AC-wlan-view]apid1
[AC-wlan-ap-1]region-id5
[AC-wlan-ap-1]quit
[AC-wlan-view]apid2
[AC-wlan-ap-2]region-id6
[AC-wlan-ap-2]quit
[AC-wlan-view]quit
h.配置WLAN-ESS虚接口
i.[AC]interfacewlan-ess0
j.[AC-Wlan-Ess0]portlink-typehybrid
k.[AC-Wlan-Ess0]porthybridtaggedvlan101
l.[AC-Wlan-Ess0]quit
m.配置AP的各项参数#配置射频。
n.[AC]wlanac
o.[AC-wlan-view]wmm-profilenamehuawei-ap1
p.[AC-wlan-wmm-prof-huawei-ap1]quit
q.[AC-wlan-view]wmm-profilenamehuawei-ap2
r.[AC-wlan-wmm-prof-huawei-ap2]quit
s.[AC-wlan-view]radio-profilenamehuawei-ap1
t.[AC-wlan-radio-prof-huawei-ap1]wmm-profilename
huawei-ap1
u.[AC-wlan-radio-prof-huawei-ap1]quit
v.[AC-wlan-view]radio-profilenamehuawei-ap2
w.[AC-wlan-radio-prof-huawei-ap2]wmm-profilename
huawei-ap2
x.[AC-wlan-radio-prof-huawei-ap2]quit
y.[AC-wlan-view]ap1radio0
z.[AC-wlan-radio-1/0]radio-profilenamehuawei-ap1
g:ModifytheRadiotypemaycausomeparametersof
Radioresumedefaul
,areyousuretocontinue?[Y/N]:y
cc.[AC-wlan-radio-1/0]quit
dd.[AC-wlan-view]ap2radio0
ee.[AC-wlan-radio-2/0]radio-profilenamehuawei-ap2
g:ModifytheRadiotypemaycausomeparametersof
Radioresumedefaul
,areyousuretocontinue?[Y/N]:y
hh.[AC-wlan-radio-2/0]quit
#配置安全模板。
[AC-wlan-view]curity-profilenamehuawei-ap
[AC-wlan-c-prof-huawei-ap]curity-policywep
[AC-wlan-c-prof-huawei-ap]wepauthentication-method
open-system
[AC-wlan-c-prof-huawei-ap]quit
#配置流量模板。
[AC-wlan-view]traffic-profilenamehuawei-ap
[AC-wlan-traffic-prof-huawei-ap]quit
#配置AP1和AP2的服务集,在服务集内绑定WLAN-ESS接口、安
全模板和流量模板。
[AC-wlan-view]rvice-tnamehuawei
[AC-wlan-rvice-t-huawei]ssidhuawei
[AC-wlan-rvice-t-huawei]wlan-ess0
[AC-wlan-rvice-t-huawei]dhcpsnooping
[AC-wlan-rvice-t-huawei]rvice-vlan101
[AC-wlan-rvice-t-huawei]curity-profilename
huawei-ap
[AC-wlan-rvice-t-huawei]traffic-profilename
huawei-ap
[AC-wlan-rvice-t-huawei]quit
ii.配置AP对应的VAP并下发配置
jj.[AC-wlan-view]ap1radio0
kk.[AC-wlan-radio-1/0]rvice-tnamehuawei
ll.[AC-wlan-radio-1/0]quit
mm.[AC-wlan-view]commitap1
g:Committingconfigurationmaycaurvice
interruption,continue?[Y/N
oo.]y
pp.[AC-wlan-view]ap2radio0
qq.[AC-wlan-radio-2/0]rvice-tnamehuawei
rr.[AC-wlan-radio-2/0]quit
ss.[AC-wlan-view]commitap2
g:Committingconfigurationmaycaurvice
interruption,continue?[Y/N
uu.]y
20.验证配置结果
o完成配置后,STA在AP1的覆盖范围内可以搜索到SSID为huawei
的无线网络,并成功关联。
oSTA长ping服务器地址,并缓慢的从区域101移动到区域102,发
现与用户关联的AP由AP1切换到AP2,长ping服务器地址有少量
丢包。
o在AC上执行displaystationassoc-infostamac-address命
令查看无线终端的接入信息,可查看到STA关联的AP发生了变化。
o在AC上执行displaystationroam-trackstasta-mac,可以查
看该STA的漫游轨迹。
配置文件
接入交换机的配置文件
#vlanbatch101800
#interfaceEthernet0/0/1
portlink-typetrunk
porttrunkpvidvlan800
porttrunkallow-passvlan101800
port-isolateenable
#interfaceEthernet0/0/2
portlink-typetrunk
porttrunkpvidvlan800
porttrunkallow-passvlan101800
port-isolateenable
#interfaceEthernet0/0/3
portlink-typetrunk
porttrunkallow-passvlan101800
#return
AC的配置文件
#sysnameAC
#vlanbatch101800
#wlanac-globalcarrieridotheracid1
#interfaceVlanif101
ipaddress192.168.10.1255.255.255.0
dhcplectinterface
#interfaceVlanif800
ipaddress172.1.1.1255.255.255.0
dhcplectinterface
#interfaceWLAN-ESS0
porthybridtaggedvlan101
#interfaceEthernet2/0/0
portlink-typetrunk
porttrunkallow-passvlan101800
#wlanac
wlanacsourceinterfacevlanif800
ap-regionid101
ap-auth-modeno-auth
apid1type-id6mac286E-D42B-0CE5snAB34002078
region-id101
apid2type-id6mac0025-9EE8-DF70snAB36015000
region-id102
wmm-profilenamehuawei-ap1id0
wmm-profilenamehuawei-ap2id1
traffic-profilenamehuawei-apid0
curity-profilenamehuawei-apid0
rvice-tnamehuaweiid0
wlan-ess0
ssidhuawei
traffic-profileid0
curity-profileid0
dhcpsnooping
rvice-vlan101
radio-profilenamehuawei-ap1id0
wmm-profileid0
radio-profilenamehuawei-ap2id1
wmm-profileid1
ap1radio0
radio-profileid0
rvice-tid0wlan1
ap2radio0
radio-profileid0
rvice-tid0wlan1
#return
7.4.2配置跨VLAN的三层漫游业务示例
组网需求
如图7-3所示,AC通过接入交换机连接和管理AP1和AP2。
当无线用户从一个AP的无线信号覆盖区域移动到另一个AP的无线信号覆盖区域
时,会重新关联新AP。用户希望在关联过程中,无线业务不会中断。
图7-3配置跨VLAN的三层漫游组网图
配置思路
1.配置交换机和AC,实现AP和AC互通。
2.配置AC的基本功能,包括配置AC运营商标识和ID、AC与AP之间通信的
源接口,实现AC作为DHCP服务器给AP、STA分配IP地址。
3.配置AP上线的认证方式,并把AP加入到AP域中,实现AP正常工作。
4.配置VAP,下发WLAN业务,实现STA访问WLAN网络功能。
a.配置WLAN-ESS接口,配置允许两个业务VLAN通过,然后在服务集
下绑定该接口,实现无线侧报文到达AC后能够送至WLAN业务处理
模块功能。
b.配置AP对应的射频模板,并在射频下绑定该模板,实现STA与AP
之间的无线通信参数配置。
c.配置AP对应的服务集,并在服务集下配置数据直接转发模式,绑
定安全模板、流量模板,实现STA接入网络安全策略及QoS控制。
d.配置VAP并下发,实现STA访问WLAN网络功能。
说明:
跨VLAN三层漫游时,必须确保:
AP都接在同一AC下。
WLAN-ESS接口下配的认证方式相同。
每个WLAN-ESS接口下都必须配置两个业务VLAN。
安全模板配置必须保持一致。
服务集模板中配置的SSID和数据转发模式必须相同。
操作步骤
1.配置接入交换机#使接入交换机透传所有的业务VLAN,由交换机给AP
管理报文打tag。
说明:
需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端
口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,
或者导致不同AP间的WLAN用户二层互通的问题。
[Quidway]vlanbatch101800
[Quidway]l2protocol-tunnelur-defined-protocoleap
protocol-mac0180-c200-0022group-mac0100-5e00-0012
[Quidway]interfaceethernet0/0/1
[Quidway-Ethernet0/0/1]portlink-typetrunk
[Quidway-Ethernet0/0/1]porttrunkpvidvlan800
[Quidway-Ethernet0/0/1]porttrunkallow-passvlan101800
[Quidway-Ethernet0/0/1]l2protocol-tunnelur-defined-protocol
eapenable
[Quidway-Ethernet0/0/1]bpduenable
[Quidway-Ethernet0/0/1]port-isolateenable
[Quidway-Ethernet0/0/1]quit
[Quidway]interfaceethernet0/0/2
[Quidway-Ethernet0/0/2]portlink-typetrunk
[Quidway-Ethernet0/0/2]porttrunkpvidvlan800
[Quidway-Ethernet0/0/2]porttrunkallow-passvlan102800
[Quidway-Ethernet0/0/2]l2protocol-tunnelur-defined-protocol
eapenable
[Quidway-Ethernet0/0/2]bpduenable
[Quidway-Ethernet0/0/2]port-isolateenable
[Quidway-Ethernet0/0/2]quit
[Quidway]interfaceethernet0/0/3
[Quidway-Ethernet0/0/3]portlink-typetrunk
[Quidway-Ethernet0/0/3]porttrunkallow-passvlan101102800
[Quidway-Ethernet0/0/3]l2protocol-tunnelur-defined-protocol
eapenable
[Quidway-Ethernet0/0/3]bpduenable
[Quidway-Ethernet0/0/3]quit
2.配置汇聚交换机#使汇聚交换机透传所有的业务VLAN和管理VLAN
3.
4.[Quidway]interfaceethernet0/0/1
5.[Quidway-Ethernet0/0/1]portlink-typetrunk
6.[Quidway-Ethernet0/0/1]porttrunkallow-passvlan101102800
7.[Quidway-Ethernet0/0/1]bpdubridgeenable
8.[Quidway-Ethernet0/0/1]port-isolateenable
9.[Quidway-Ethernet0/0/1]quit
10.[Quidway]interfaceethernet0/0/2
11.[Quidway-Ethernet0/0/2]portlink-typetrunk
12.[Quidway-Ethernet0/0/2]porttrunkallow-passvlan101102800
13.[Quidway-Ethernet0/0/2]bpdubridgeenable
14.[Quidway-Ethernet0/0/2]quit
说明:
802.1x+数据直接转发的组网情况下,需要在AC与AP之间配置二层协议
透明传输,配置方法如下:
o框式交换机设备:只需要在接口视图下执行命令bpdubridge
enable。
o盒式交换机设备:全局视图下执行命令l2protocol-tunnel
ur-defined-protocolprotocol-nameprotocol-mac
protocol-macgroup-macgroup-mac;并且接口视图下执行命令
l2protocol-tunnelur-defined-protocolprotocol-name
enable和命令bpduenable。
15.配置AC连接接入交换机的接口,使能AC的DHCP服务器功能
16.
17.[Huawei]sysnameAC
18.[AC]vlanbatch101102800
19.[AC]interfaceethernet2/0/0
20.[AC-Ethernet2/0/0]portlink-typetrunk
21.[AC-Ethernet2/0/0]porttrunkallow-passvlan101102800
22.[AC-Ethernet2/0/0]quit
23.[AC]dhcpenable
24.[AC]interfacevlanif800
25.[AC-Vlanif800]ipaddress10.1.1.124
26.[AC-Vlanif800]dhcplectinterface
27.[AC-Vlanif800]quit
28.[AC]interfacevlanif101
29.[AC-Vlanif101]ipaddress128.1.1.124
30.[AC-Vlanif101]dhcplectinterface
31.[AC-Vlanif101]quit
32.[AC]interfacevlanif102
33.[AC-Vlanif102]ipaddress128.1.2.124
34.[AC-Vlanif102]dhcplectinterface
[AC-Vlanif102]quit
35.配置802.1X认证时的RDIUS方案和AAA域
a.配置RADIUS方案。
说明:
请确保AC与RADIUS服务器的Shared-key相同。
[AC]radius-rvertemplateradius_huawei
[AC-radius-radius_huawei]radius-rverauthentication
10.1.1.51812
[AC-radius-radius_huawei]radius-rveraccounting
10.1.1.51813
[AC-radius-radius_huawei]radius-rvershared-keysimple
huawei
[AC-radius-radius_huawei]quit
b.配置AAA域,在域下应用认证、计费方案和RADIUS方案。
c.[AC]radius-rvertemplateradius_huawei
d.[AC-radius-radius_huawei]radius-rverauthentication
10.1.1.51812
e.[AC-radius-radius_huawei]radius-rveraccounting
10.1.1.51813
f.[AC-radius-radius_huawei]radius-rvershared-keysimple
huawei
g.[AC-radius-radius_huawei]quit
h.[AC]aaa
i.[AC-aaa]authentication-schemeradius_huawei
j.[AC-aaa-authen-radius_huawei]authentication-moderadius
k.[AC-aaa-authen-radius_huawei]quit
l.[AC-aaa]accounting-schemeradius_huawei
m.[AC-aaa-accounting-radius_huawei]accounting-moderadius
n.[AC-aaa-accounting-radius_huawei]quit
o.[AC-aaa]
p.[]authentication-scheme
radius_huawei
q.[]accounting-scheme
radius_huawei
r.[]radius-rver
radius_huawei
s.[]quit
t.[AC-aaa]quit
说明:
配置了域后,认证用户名后面需要加上域名。
u.测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器
上配置了测试用户test@,用户密码123456)
v.[AC]test-aaatest@123456radius-template
radius_huawei
:Accounttestsucceed.
配置WLAN业务
.配置AC的基本功能#配置AC全局参数(运营商标识、ID、国家
码)和AC的源接口。
a.[AC]wlanac-globalacid1carrieridother
b.[AC]wlanac-globalcountry-codecn
c.[AC]wlanac
d.[AC-wlan-view]wlanacsourceinterfacevlanif800
e.配置AP并上线#配置AP的认证方式为mac认证。
f.[AC-wlan-view]ap-auth-modemac-auth
#查询AP的设备类型
[AC-wlan-view]displayap-typeall
AllAPtypesinformation:
---------------------------------------------------------
---------------------
IDType
---------------------------------------------------------
---------------------
0WA601
1WA631
2WA651
3WA602
4WA632
5WA652
6WA603SN
7WA603DN
8WA633SN
11WA603DE
12WA653DE
14WA653SN
17AP6010SN-GN
18WA615DN-AGN
19AP6010DN-AGN
20WA635SN-GN
21AP6310SN-GN
22WA655DN-AGN
23AP6510DN-AGN
25AP6610DN-AGN
---------------------------------------------------------
---------------------
Totalnumber:20
#根据查询到的AP设备类型ID(WA603SNtype-id为6),离线
添加AP
[AC-wlan-view]apid1type-id6mac286E-D42B-0CE5
[AC-wlan-ap-1]quit
[AC-wlan-view]apid2type-id6mac0025-9EE8-DF70
[AC-wlan-ap-2]quit
#查看AP的上线状态。
[AC-wlan-view]displayapall
AllAPinformation(Normal-2,UnNormal-0):
---------------------------------------------------------
---------------------
APAPAPProfile
RegionAP
IDTypeMACID
IDState
---------------------------------------------------------
---------------------
1WA603SN286E-D42B-0CE50
0normal
2WA603SN0025-9EE8-DF700
0normal
---------------------------------------------------------
---------------------
Totalnumber:2
#将AP加入指定域
[AC-wlan-view]ap-regionid5
[AC-wlan-ap-region-5]quit
[AC-wlan-view]ap-regionid6
[AC-wlan-ap-region-6]quit
[AC-wlan-view]apid1
[AC-wlan-ap-1]region-id5
[AC-wlan-ap-1]quit
[AC-wlan-view]apid2
[AC-wlan-ap-2]region-id6
[AC-wlan-ap-2]quit
[AC-wlan-view]quit
g.配置WLAN-ESS虚接口。由于是跨VLAN的三层漫游,注意每个
WLAN-ESS接口都需要配置两个业务VLAN。
h.[AC]interfacewlan-ess0
i.[AC-Wlan-Ess0]portlink-typehybrid
j.[AC-Wlan-Ess0]porthybridpvidvlan101
k.[AC-Wlan-Ess0]porthybridtaggedvlan101102
l.[AC-Wlan-Ess0]dot1x-authenticationenable
m.[AC-Wlan-Ess0]dot1xauthentication-methodeap
n.[AC-Wlan-Ess0]quit
o.[AC]interfacewlan-ess1
p.[AC-Wlan-Ess1]portlink-typehybrid
q.[AC-Wlan-Ess1]porthybridpvidvlan102
r.[AC-Wlan-Ess1]porthybridtaggedvlan101102
s.[AC-Wlan-Ess1]dot1x-authenticationenable
t.[AC-Wlan-Ess1]dot1xauthentication-methodeap
u.[AC-Wlan-Ess1]quit
v.配置AP的各项参数#分别配置AP1和AP2的指定射频。
w.[AC]wlanac
x.[AC-wlan-view]wmm-profilenamehuawei
y.[AC-wlan-wmm-prof-huawei]quit
z.[AC-wlan-view]radio-profilenamehuawei
aa.[AC-wlan-radio-prof-huawei]wmm-profilenamehuawei
bb.[AC-wlan-radio-prof-huawei]quit
cc.[AC-wlan-view]ap1radio0
dd.[AC-wlan-radio-1/0]radio-profilenamehuawei
g:ModifytheRadiotypemaycausomeparametersof
Radioresumedefaul
,areyousuretocontinue?[Y/N]:y
gg.[AC-wlan-radio-1/0]quit
hh.[AC-wlan-view]ap2radio0
ii.[AC-wlan-radio-2/0]radio-profilenamehuawei
g:ModifytheRadiotypemaycausomeparametersof
Radioresumedefaul
,areyousuretocontinue?[Y/N]:y
ll.[AC-wlan-radio-2/0]quit
#配置安全模板
[AC-wlan-view]curity-profilenamehuawei
[AC-wlan-c-prof-huawei]curity-policywpa
[AC-wlan-c-prof-huawei]wpaauthentication-methoddot1x
peapencryption-methodccmp
[AC-wlan-c-prof-huawei]quit
#配置流量模板
[AC-wlan-view]traffic-profilenamehuawei
[AC-wlan-traffic-prof-huawei]quit
#配置AP1和AP2的服务集,设置数据转发模式为直接转发
[AC-wlan-view]rvice-tnamehuawei-1
[AC-wlan-rvice-t-huawei-1]ssidRoam
[AC-wlan-rvice-t-huawei-1]wlan-ess0
[AC-wlan-rvice-t-huawei-1]dhcpsnooping
[AC-wlan-rvice-t-huawei-1]rvice-vlan101
[AC-wlan-rvice-t-huawei-1]curity-profilename
huawei
[AC-wlan-rvice-t-huawei-1]traffic-profilenamehuawei
[AC-wlan-rvice-t-huawei-1]quit
[AC-wlan-view]rvice-tnamehuawei-2
[AC-wlan-rvice-t-huawei-2]ssidRoam
[AC-wlan-rvice-t-huawei-2]wlan-ess1
[AC-wlan-rvice-t-huawei-2]dhcpsnooping
[AC-wlan-rvice-t-huawei-2]rvice-vlan102
[AC-wlan-rvice-t-huawei-2]curity-profilename
huawei
[AC-wlan-rvice-t-huawei-2]traffic-profilenamehuawei
[AC-wlan-rvice-t-huawei-2]quit
mm.配置AP对应的VAP并下发配置
nn.[AC-wlan-view]ap1radio0
oo.[AC-wlan-radio-1/0]rvice-tnamehuawei-1
pp.[AC-wlan-radio-1/0]quit
qq.[AC-wlan-view]commitap1
g:Committingconfigurationmaycaurvice
interruption,continue?[Y/N
ss.]y
tt.[AC-wlan-view]ap2radio0
uu.[AC-wlan-radio-2/0]rvice-tnamehuawei-2
vv.[AC-wlan-radio-2/0]quit
ww.[AC-wlan-view]commitap2
g:Committingconfigurationmaycaurvice
interruption,continue?[Y/N
yy.]y
验证配置结果
o完成配置后,STA在AP1的覆盖范围内可以搜索到SSID为Roam的
无线网络,并成功关联。
o在AC上执行displaystationassoc-infostamac-address命
令查看无线终端的接入信息,可查看到STA关联的AP发生了变化。
o在AC上执行displaystationroam-trackstasta-mac,可以查
看该STA的漫游轨迹。
配置文件
接入交换机的配置文件
#vlanbatch101102800
#l2protocol-tunnelur-defined-protocoleapprotocol-mac
0180-c200-0022group-m
ac0100-5e00-0012
#interfaceEthernet0/0/1
portlink-typetrunk
porttrunkpvidvlan800
porttrunkallow-passvlan101800
l2protocol-tunnelur-defined-protocoleapenable
port-isolateenable
#interfaceEthernet0/0/2
portlink-typetrunk
porttrunkpvidvlan800
porttrunkallow-passvlan102800
l2protocol-tunnelur-defined-protocoleapenable
port-isolateenable
#interfaceEthernet0/0/3
portlink-typetrunk
porttrunkallow-passvlan101102800
l2protocol-tunnelur-defined-protocoleapenable
#return
汇聚交换机的配置文件
#vlanbatch101102800
#interfaceEthernet0/0/1
portlink-typetrunk
porttrunkallow-passvlan101102800
bpdubridgeenable
port-isolateenable
#interfaceEthernet0/0/2
portlink-typetrunk
porttrunkallow-passvlan101102800
bpdubridgeenable
#return
AC的配置文件
#sysnameAC
#vlanbatch101102800
#dhcpenable
#wlanac-globalcarrieridotheracid1
#radius-rvertemplateradius_huawei
radius-rverauthentication10.1.1.51812
radius-rveraccounting10.1.1.51813
#aaa
authentication-schemeradius_huawei
authentication-moderadius
accounting-schemeradius_huawei
accounting-moderadius
authentication-schemeradius_huawei
accounting-schemeradius_huawei
radius-rverradius_huawei
#interfaceVlanif101
ipaddress128.1.1.1255.255.255.0
dhcplectinterface
#interfaceVlanif102
ipaddress128.1.2.1255.255.255.0
dhcplectinterface
#interfaceVlanif800
ipaddress10.1.1.1255.255.255.0
dhcplectinterface
#interfaceWlan-Ess0
porthybridpvidvlan101
porthybriduntaggedvlan101to102
dot1x-authenticationenable
dot1xauthentication-methodeap
#interfaceWlan-Ess1
porthybridpvidvlan102
porthybriduntaggedvlan101to102
dot1x-authenticationenable
dot1xauthentication-methodeap
#interfaceEthernet2/0/0
portlink-typetrunk
porttrunkallow-passvlan101102800
#wlanac
wlanacsourceinterfacevlanif800
ap-regionid5
ap-regionid6
ap-auth-modemac-auth
apid0type-id6mac286E-D42B-0CE5snAB34002078
region-id5
apid1type-id6mac0025-9EE8-DF70snAB36015000
region-id6
wmm-profilenamehuaweiid0
traffic-profilenamehuaweiid0
curity-profilenamehuaweiid0
rvice-tnamehuawei-1id0
wlan-ess0
ssidhuawei
traffic-profileid0
curity-profileid0
dhcpsnooping
rvice-vlan101
rvice-tnamehuawei-2id1
wlan-ess1
ssidhuawei
traffic-profileid0
curity-profileid0
dhcpsnooping
rvice-vlan101
radio-profilenamehuaweiid0
wmm-profileid0
ap1radio0
radio-profileid0
rvice-tid0wlan1
ap2radio0
radio-profileid0
rvice-tid1wlan2
#return
本文发布于:2022-12-26 17:41:37,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/fanwen/fan/90/35084.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
