第6章 H3C 无线产品高级特性与配置_V3.5

1、第六章第六章 H3C 无线产品高级特性与配置无线产品高级特性与配置 ISSUE 3.5 日期： 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 n 随着随着WLAN网络覆盖范围及应用场景的不断扩大，网络覆盖范围及应用场景的不断扩大， WLAN设备的功能与特性也越来越多样化，以满足设备的功能与特性也越来越多样化，以满足 日益丰富的业务需求。本章在日益丰富的业务需求。本章在H3C WLAN产品基本产品基本 配置操作的基础上，主要讲解配置操作的基础上，主要讲解H3C WLAN系列产品系列产品 的高级特性及相关配置。的高级特性及相关配置。 引入引入 n 掌握掌握H3C FAT AP产品高级

2、特性及配置产品高级特性及配置 n 掌握掌握H3C 无线控制器无线控制器+FIT AP产品高级特产品高级特 性及配置性及配置 n 掌握掌握H3C WLAN产品的典型组网应用产品的典型组网应用 课程目标课程目标 学习完本课程，您应该能够：学习完本课程，您应该能够： n H3C FAT AP高级特性与配置高级特性与配置 n H3C 无线控制器无线控制器FIT AP高级特性与配置高级特性与配置 n WLAN综合应用案例综合应用案例 目录目录 4 FAT AP的主要特性的主要特性 l 无线桥接功能无线桥接功能 l 上行链路完整性检测功能上行链路完整性检测功能 l 无线访问控制功能无线访问控制功能 l 无

3、线用户限速功能无线用户限速功能 l 最大接入用户数量限制最大接入用户数量限制 l 射频管理功能射频管理功能 l 认证加密方式认证加密方式 5 无线桥接功能无线桥接功能 l 无线桥接是无线桥接是FAT AP的一个特殊功能，通过此功能可以实现的一个特殊功能，通过此功能可以实现AP与与AP之之 间的无线通信。间的无线通信。 l 802.11协议对无线桥接功能的具体实现没作规定，这为各厂商无线桥协议对无线桥接功能的具体实现没作规定，这为各厂商无线桥 接功能的实现带来了灵活的余地，但各厂商产品之间的互通基本没有接功能的实现带来了灵活的余地，但各厂商产品之间的互通基本没有 可能性。可能性。 Radius

4、ServerL2交换机交换机 FAT AP FAT AP 无线客户端无线客户端无线客户端无线客户端 I PI P网络网络 FAT AP 6 无线桥接功能典型应用与配置方式无线桥接功能典型应用与配置方式 企业总部网络企业总部网络 FAT AP-1 FAT AP-2 FAT AP-3 企业分支网络企业分支网络1 1 企业分支网络企业分支网络2 2 l 无线桥接功能配置方式无线桥接功能配置方式 Peer MAC方式 7 上行链路完整性检测功能上行链路完整性检测功能 Radius Server 无线客户端无线客户端 L2交换机交换机 AP trunk I PI P l FAT AP支持上行链路的检测功

5、能，并且根 据上行链路的状态确定是否提供WLAN接入 服务 WLAN uplink-interface Ethernet 1/0/1 信号消失 8 FAT AP的的无线访问控制功能无线访问控制功能 Radius Server 无线客户端无线客户端 L2交换机交换机 AP trunk l 二层隔离功能 l2fw wlan-client-isolation enable l 黑白名单功能 static-blacklist mac-address mac-add whitelist mac-address mac-add l ACL和防火墙功能 无线客户端无线客户端 I PI P 9 FAT AP的

6、的无线用户限速功能无线用户限速功能 l 静态限速（同一SSID下指定每用户带宽上限） l 动态限速（同一SSID下用户共享设定带宽） 10 FAT AP的最大接入用户数量限制（的最大接入用户数量限制（1） l 限制AP的最大接入用户数量 例如：限制AP的最大接入用户数量为20，当此 AP上已接入20个客户端时，AP会拒绝第21个 客户端的接入。 Radius Server STA1 L2交换机交换机 FAT AP trunk STA20STA21 I PI P 11 FAT AP的最大接入用户数量限制（的最大接入用户数量限制（2） l 限制某SSID在每AP上的最大接入用户数量 例如：限制SS

7、ID ”H3C”在每个AP最大接入用 户数量为15，当一个AP上已有15个客户端接 入SSID “H3C”时，AP会拒绝第16个客户端的 接入此SSID。 Radius Server STA1 L2交换机交换机 FAT AP trunk STA15STA16 SSID：H3C I PI P 12 FAT AP的射频管理功能的射频管理功能 l 信道信道 自动选择：FAT AP 上电后会扫描一次周围的射频环境，通过比较 自动选择干扰小，噪声低的信道为当前工作信道。 手动设置：可以手动设定FAT AP当前工作信道。 l 功率功率 FAT AP功率只能通过手动设置。 默认情况下，FAT AP以最大功率

8、启动。 13 FAT AP的认证加密方式的认证加密方式 l MAC地址认证地址认证 l PSK（Pre-shared key）认证）认证 l 802.1x认证认证 l WEP（Wired Equivalent Privacy）加密方式）加密方式 l WPA（Wi-Fi Protected Access）安全架构）安全架构 l WPA2安全架构（又称为安全架构（又称为RSN ） n H3C FAT AP高级特性与配置高级特性与配置 n H3C 无线控制器无线控制器FIT AP高级特性与配置高级特性与配置 n WLAN综合应用案例综合应用案例 目录目录 15 无线控制器的主要特性无线控制器的主要特

9、性 l 无线用户授权无线用户授权 l 无线用户漫游无线用户漫游 l FIT AP之间的负载均衡之间的负载均衡 l 无线控制器的可靠性无线控制器的可靠性 l ROGUE（欺诈）探测（欺诈）探测 l 认证加密方式认证加密方式 16 无线用户授权（无线用户授权（1）基于）基于SSID方式方式 l 无线控制器可以基于SSID区分用户VLAN属性，从而对用户进行VLAN授权。 Radius Server DHCP Server trunk 无线控制器无线控制器 vlan 2 vlan 3 FIT AP STA STA 步骤二、在无线服务模板中实现步骤二、在无线服务模板中实现SSID与与wlan-ESS接

10、口的绑定接口的绑定 wlan service-template 2 clear ssid Office bind wlan-ESS 2 service-template enable wlan service-template 3 clear ssid VIP bind wlan-ESS 3 service-template enable 步骤一、在步骤一、在wlan-ESS接口中实现与接口中实现与VLAN的绑定的绑定 interface wlan-ESS 2 port access vlan 2 interface wlan-ESS 3 port access vlan 3 SSID：Off

11、ice SSID：VIP I PI P 17 无线用户授权（无线用户授权（2）基于）基于AP方式方式 l 无线控制器可以基于AP区分用户VLAN属性，从而对用户进行VLAN授权。 I PI P Radius Server DHCP Server trunk 无线控制器无线控制器 vlan 2 vlan 3 FIT-AP-2 STA STA FIT-AP-3 SSID：H3C 步骤一、配置无线服务模板步骤一、配置无线服务模板 wlan service-template 1 clear ssid H3C bind wlan-ESS 1 service-template enable 步骤二、将无线

12、服务模板与步骤二、将无线服务模板与VLAN绑定应用到不同绑定应用到不同FIT AP上上 wlan ap FIT-AP-2 model wa2100 radio 1 service-template 1 vlan-id 2 radio enable wlan ap FIT-AP-3 model wa2100 radio 1 service-template 1 vlan-id 3 radio enable I PI P 18 无线用户授权（无线用户授权（3）基于用户）基于用户MAC方式方式 l 无线控制器可以通过自身设置或配合Radius服务器对无线接入用户进行授权，如对用户下 发VLAN属性，

13、实现基于用户MAC的授权。 Radius Server DHCP Server trunk 无线控制器无线控制器 vlan 2 vlan 3 FIT AP STA 2STA 3 方式一、在无线控制器自身设置方式一、在无线控制器自身设置 mac-vlan mac-address 0000-0000-0002 vlan 2 mac-vlan mac-address 0000-0000-0003 vlan 3 在在WLAN-ESS接口上使能接口上使能mac-vlan功能功能 port link-type hybrid port hybrid vlan 1 to 3 untagged mac-vlan

14、 enable 方式二、通过方式二、通过Radius Server授权授权 STA 2 MAC：0000-0000-0002 STA 3 MAC：0000-0000-0003 I PI P 19 无线控制器系统无线用户漫游无线控制器系统无线用户漫游 l漫游：用户在移动时，保持它们的会话连接包括IP地址、所属VLAN及所 连接的服务均不改变，用户感觉不到网络的变化。 l漫游域（Mobility Domain）：漫游域是由多个无线控制器和FIT AP组成 的支持无线客户端漫游的无线网络系统。 Radius Server DHCP Server 192.168.1.4/24 trunk trunk

15、trunk 192.168.1.1/24(1) 192.168.2.1/24(2) 192.168.3.1/24(3) 无线控制器无线控制器-1: vlan 1 vlan 2 192.168.1.2 路由器路由器 无线控制器无线控制器-3: vlan 4 192.168.4.2 192.168.4.1/24 FIT APFIT AP User 1 User 1 无线控制器无线控制器-2: vlan 1 vlan 3 192.168.1.3 I PI P 20 FIT AP之间的负载均衡之间的负载均衡 l当不同的AP覆盖同一区域时，可通过负载均衡控制不同AP的接入用户数，以 保证密集用户区域的用

16、户带宽性能。 l H3C FIT AP的负载均衡有两种方式，即用户数（session）和流量（traffic）。 无线控制器无线控制器 FIT AP1FIT AP2 client 5 client 4client 1 AP1 Session: * client 1 * client 2 * client 3 * client 4 Total: 4 AP2 Session: Total: 0 AP1 Session: * client 1 * client 2 * client 3 * client 4 Total: 4 AP2 Session: * client 5 Total: 1 clie

17、nt 5接入无线网络后，两个接入无线网络后，两个APAP的用户接入情况：的用户接入情况： client 5接入无线网络前，两个接入无线网络前，两个APAP的用户接入情况：的用户接入情况： I PI P 21 无线控制器的可靠性控制接入无线控制器的可靠性控制接入AC顺序顺序 APAC1AC2 1、获取AC列表 （AC1、AC2） 4、与AC1重新建立隧道连接 AC1宕机 DHCP Server 3、与AC2建立隧道连接 AC1恢复 AC2宕机 AC2恢复 2、与AC1建立隧道连接 l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap1 model WA21

18、00 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6 l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAP l 说明说明 AC2不配置优先级，则使用默认优 先级4，也可以配置为其他的小于6 的优先级 AP保持与AC2的隧道连接 22 无线控制器的可靠性无线控制器的可靠性1+1热备份热备份 APAC1AC2 1、获取AC列表 （AC1、AC2） DHCP Server 4、

19、与AC2建立备份隧道连接 AC1宕机 2、与AC1建立主隧道连接 l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6 l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAP l 说明说明 AC2不配置优先级，则使用默认优先级4， 也可以配置为其他的小于6的优

20、先级 3、通知AP备份AC为AC2 主隧道（负责数据流量转发） 备份隧道 备份隧道切换为主隧道 l 步骤三：步骤三：AC1上配置其上配置其Backup AC为为AC2 AC1 wlan backup-ac AC2-ip address l 步骤四：步骤四：AC2上配置其上配置其Backup AC为为AC1 AC2 wlan backup-ac AC1-ip address 5、通知AP备份AC为AC1 定期探测AC1是否恢复正常 AC1恢复 6、与AC1建立备份隧道连接 主隧道（负责数据流量转发） 备份隧道 AP检测到主隧道down 23 无线控制器的可靠性无线控制器的可靠性1+1快速热备份快

21、速热备份 APAC1AC2 1、获取AC列表 （AC1、AC2） DHCP Server 4、与AC2建立备份隧道连接 AC1宕机 2、与AC1建立主隧道连接 l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6 l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CF

22、ITAP l 步骤三：步骤三：AC1上配置其上配置其Backup AC为为AC2 AC1 wlan backup-ac AC2-ip address l 步骤四：步骤四：AC2上配置其上配置其Backup AC为为AC1 AC2 wlan backup-ac AC1-ip address l 步骤五：步骤五：AC1上启动主备快速检测上启动主备快速检测 AC1 hot-backup enable AC1 hot-backup vlan vlan-id l 步骤六：步骤六：AC2上启动主备快速检测上启动主备快速检测 AC2 hot-backup enable AC2 hot-backup vlan

23、 vlan-id l 说明说明 AC2不配置优先级，则使用默认优先级4， 也可以配置为其他的小于6的优先级 3、通知AP备份AC为AC2 主隧道（负责数据流量转发） 备份隧道 原主隧道down 心跳检测 通知AP启用备份隧道 备份隧道马上切换为主隧道 5、通知AP备份AC为AC1 定期探测AC1是否恢复正常 24 AP1AC1AC2ACNACB（备份（备份AC） 1、获取AC列表（AC1、ACB） 定期探测AC1是否恢复正常 2、与AC1建立连接 AC1宕机 DHCP Server 无线控制器的可靠性无线控制器的可靠性N+1备份备份 3、与备份AC建立连接 AC1恢复4、与AC1重新建立连接

24、5、断开与备份AC的连接 AP2 1、获取AC列表（AC2、ACB） 定期探测AC2是否恢复正常 2、与AC2建立连接 AC2宕机 3、与备份AC建立连接 AC2恢复4、与AC2重新建立连接 5、断开与备份AC的连接 l 当主AC出现问题后，备 份AC才提供服务； l 主AC恢复后所有的AP 又切回到主AC； l 如果AP开机时，主AC 还没有正常工作，AP会 连接到备份AC上，此后 AP会不断尝试和主AC 进行连接，当主AC正常 工作以后，AP同样会将 断开和备份AC的连接而 连接到主AC上。 25 l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap

25、1 model WA2100 AC1-wlan-ap-ap1 serial-id H3cFITAP1 AC1-wlan-ap-ap1 priority level 7 l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap2 model WA2100 AC2-wlan-ap-ap2 serial-id H3cFITAP2 AC2-wlan-ap-ap2 priority level 7 l 说明说明 主AC配置该控制器需要管理的AP信息，而且作为这些AP的首选控制器； 备份AC配置所有控制器需要管理的AP，并且根据AP指定对应的首选控制器; AP1首选接入

26、AC1； AP2首选接入AC2； AP3首选接入AC3；ACB作为AC1、AC2、AC3的备份。 l 步骤三：步骤三：AC3上配置上配置AP的静态模板的静态模板 AC3 wlan ap ap3 model WA2100 AC3-wlan-ap-ap3 serial-id H3cFITAP3 AC3-wlan-ap-ap3 priority level 7 l 步骤四：步骤四：ACB上配置上配置AP的静态模板的静态模板 ACB wlan ap ap1 model WA2100 ACB-wlan-ap-ap1 serial-id H3cFITAP1 ACB-wlan-ap-ap1 backup-a

27、c AC1-ip address ACB wlan ap ap2 model WA2100 ACB-wlan-ap-ap2 serial-id H3cFITAP2 ACB-wlan-ap-ap2 backup-ac AC2-ip address ACB wlan ap ap3 model WA2100 ACB-wlan-ap-ap3 serial-id H3cFITAP3 ACB-wlan-ap-ap3 backup-ac AC3-ip address 无线控制器的可靠性无线控制器的可靠性N+1备份（续）备份（续） 26 无线控制器系统无线控制器系统 ROGUE(欺诈欺诈)探测探测 lRogu

28、e AP是指未经授权在网络中 运行的AP，它及其用户造成了对 网络安全的威胁。 l无线控制器的Rogue AP检测功能 用来检测Rogue设备并对它们采取 反制措施。 lAP可以工作在以下三种模式下: Normal模式 Monitor模式 Hybrid模式 无线控制器无线控制器 POE Switch FIT AP FIT AP 第三方第三方AP 27 无线控制器系统认证加密方式无线控制器系统认证加密方式 l支持通过支持通过Radius服务器或者无线控制器本地数据库认证服务器或者无线控制器本地数据库认证 无线用户，支持的认证方式如下无线用户，支持的认证方式如下 802.1X认证 MAC认证 Po

29、rtal认证 PPPoE认证 l无线控制器支持的加密方式如下无线控制器支持的加密方式如下 WEP（Wired Equivalent Privacy）加密方式 WPA（Wi-Fi Protected Access）安全架构 WPA2安全架构 WAPI安全架构 n H3C FAT AP高级特性与配置高级特性与配置 n H3C 无线控制器无线控制器FIT AP高级特性与配置高级特性与配置 n WLAN综合应用案例综合应用案例 目录目录 29 无线控制器无线控制器+FIT AP集中式企业内部部署方式集中式企业内部部署方式 无线控制器无线控制器 无线控制器无线控制器 认证服务器认证服务器 无线网管无线网管 公司骨干公司骨干 汇聚交换机汇聚交换机 有线客户端有线客户端 有线客户端有线客户端 PoE交换机交换机 PoE交换机交换机 无线接入点无线接入点 无线接入点无线接入点 无线客户端无线客户端 一层楼一层楼 二层楼二层楼