第26章H3C無線產(chǎn)品高級特性與配置_V35

1、第六章第六章 H3C 無線產(chǎn)品高級特性與配置無線產(chǎn)品高級特性與配置ISSUE 3.5日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播n 隨著隨著WLAN網(wǎng)絡(luò)覆蓋范圍及應(yīng)用場景的不斷擴(kuò)大，網(wǎng)絡(luò)覆蓋范圍及應(yīng)用場景的不斷擴(kuò)大，WLAN設(shè)備的功能與特性也越來越多樣化，以滿足設(shè)備的功能與特性也越來越多樣化，以滿足日益豐富的業(yè)務(wù)需求。本章在日益豐富的業(yè)務(wù)需求。本章在H3C WLAN產(chǎn)品基本產(chǎn)品基本配置操作的基礎(chǔ)上，主要講解配置操作的基礎(chǔ)上，主要講解H3C WLAN系列產(chǎn)品系列產(chǎn)品的高級特性及相關(guān)配置。的高級特性及相關(guān)配置。引入引入n 掌握掌握H3C FAT AP產(chǎn)品高級特性及配置產(chǎn)品高級特

2、性及配置n 掌握掌握H3C 無線控制器無線控制器+FIT AP產(chǎn)品高級特產(chǎn)品高級特性及配置性及配置n 掌握掌握H3C WLAN產(chǎn)品的典型組網(wǎng)應(yīng)用產(chǎn)品的典型組網(wǎng)應(yīng)用課程目標(biāo)課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：學(xué)習(xí)完本課程，您應(yīng)該能夠：n H3C FAT AP高級特性與配置高級特性與配置n H3C 無線控制器無線控制器FIT AP高級特性與配置高級特性與配置n WLAN綜合應(yīng)用案例綜合應(yīng)用案例目錄目錄4FAT AP的主要特性的主要特性l 無線橋接功能無線橋接功能l 上行鏈路完整性檢測功能上行鏈路完整性檢測功能l 無線訪問控制功能無線訪問控制功能l 無線用戶限速功能無線用戶限速功能l 最大接入用戶數(shù)量

3、限制最大接入用戶數(shù)量限制l 射頻管理功能射頻管理功能l 認(rèn)證加密方式認(rèn)證加密方式5無線橋接功能無線橋接功能l 無線橋接是無線橋接是FAT AP的一個特殊功能，通過此功能可以實(shí)現(xiàn)的一個特殊功能，通過此功能可以實(shí)現(xiàn)AP與與AP之之間的無線通信。間的無線通信。l 802.11協(xié)議對無線橋接功能的具體實(shí)現(xiàn)沒作規(guī)定，這為各廠商無線橋協(xié)議對無線橋接功能的具體實(shí)現(xiàn)沒作規(guī)定，這為各廠商無線橋接功能的實(shí)現(xiàn)帶來了靈活的余地，但各廠商產(chǎn)品之間的互通基本沒有接功能的實(shí)現(xiàn)帶來了靈活的余地，但各廠商產(chǎn)品之間的互通基本沒有可能性?？赡苄?。Radius ServerL2交換機(jī)交換機(jī)FAT APFAT AP無線客戶端無線客戶端

4、無線客戶端無線客戶端I PI P網(wǎng)絡(luò)網(wǎng)絡(luò)FAT AP6無線橋接功能典型應(yīng)用與配置方式無線橋接功能典型應(yīng)用與配置方式企業(yè)總部網(wǎng)絡(luò)企業(yè)總部網(wǎng)絡(luò)FAT AP-1FAT AP-2FAT AP-3企業(yè)分支網(wǎng)絡(luò)企業(yè)分支網(wǎng)絡(luò)1 1企業(yè)分支網(wǎng)絡(luò)企業(yè)分支網(wǎng)絡(luò)2 2l 無線橋接功能配置方式無線橋接功能配置方式Peer MAC方式7上行鏈路完整性檢測功能上行鏈路完整性檢測功能 Radius Server無線客戶端無線客戶端L2交換機(jī)交換機(jī)APtrunkI PI Pl FAT AP支持上行鏈路的檢測功能，并且根據(jù)上行鏈路的狀態(tài)確定是否提供WLAN接入服務(wù) WLAN uplink-interface Ethernet

5、1/0/1 信號消失8FAT AP的的無線訪問控制功能無線訪問控制功能Radius Server無線客戶端無線客戶端L2交換機(jī)交換機(jī)APtrunkl 二層隔離功能l2fw wlan-client-isolation enable l 黑白名單功能static-blacklist mac-address mac-add whitelist mac-address mac-add l ACL和防火墻功能無線客戶端無線客戶端I PI P9FAT AP的的無線用戶限速功能無線用戶限速功能l 靜態(tài)限速（同一SSID下指定每用戶帶寬上限）l 動態(tài)限速（同一SSID下用戶共享設(shè)定帶寬）10FAT AP的最大

6、接入用戶數(shù)量限制（的最大接入用戶數(shù)量限制（1）l 限制AP的最大接入用戶數(shù)量 例如：限制AP的最大接入用戶數(shù)量為20，當(dāng)此AP上已接入20個客戶端時，AP會拒絕第21個客戶端的接入。Radius ServerSTA1L2交換機(jī)交換機(jī)FAT APtrunk STA20STA21I PI P11FAT AP的最大接入用戶數(shù)量限制（的最大接入用戶數(shù)量限制（2）l 限制某SSID在每AP上的最大接入用戶數(shù)量 例如：限制SSID ”H3C”在每個AP最大接入用戶數(shù)量為15，當(dāng)一個AP上已有15個客戶端接入SSID “H3C”時，AP會拒絕第16個客戶端的接入此SSID。Radius ServerSTA1

7、L2交換機(jī)交換機(jī)FAT APtrunk STA15STA16SSID：H3CI PI P12FAT AP的射頻管理功能的射頻管理功能l 信道信道自動選擇：FAT AP 上電后會掃描一次周圍的射頻環(huán)境，通過比較自動選擇干擾小，噪聲低的信道為當(dāng)前工作信道。手動設(shè)置：可以手動設(shè)定FAT AP當(dāng)前工作信道。l 功率功率FAT AP功率只能通過手動設(shè)置。默認(rèn)情況下，F(xiàn)AT AP以最大功率啟動。13FAT AP的認(rèn)證加密方式的認(rèn)證加密方式l MAC地址認(rèn)證地址認(rèn)證l PSK（Pre-shared key）認(rèn)證）認(rèn)證l 802.1x認(rèn)證認(rèn)證l WEP（Wired Equivalent Privacy）加密方

8、式）加密方式l WPA（Wi-Fi Protected Access）安全架構(gòu)）安全架構(gòu)l WPA2安全架構(gòu)（又稱為安全架構(gòu)（又稱為RSN ）n H3C FAT AP高級特性與配置高級特性與配置n H3C 無線控制器無線控制器FIT AP高級特性與配置高級特性與配置n WLAN綜合應(yīng)用案例綜合應(yīng)用案例目錄目錄15無線控制器的主要特性無線控制器的主要特性l 無線用戶授權(quán)無線用戶授權(quán)l(xiāng) 無線用戶漫游無線用戶漫游l FIT AP之間的負(fù)載均衡之間的負(fù)載均衡l 無線控制器的可靠性無線控制器的可靠性l ROGUE（欺詐）探測（欺詐）探測l 認(rèn)證加密方式認(rèn)證加密方式16無線用戶授權(quán)（無線用戶授權(quán)（1）基于

9、）基于SSID方式方式l 無線控制器可以基于SSID區(qū)分用戶VLAN屬性，從而對用戶進(jìn)行VLAN授權(quán)。Radius ServerDHCP Servertrunk無線控制器無線控制器vlan 2vlan 3FIT APSTA STA 步驟二、在無線服務(wù)模板中實(shí)現(xiàn)步驟二、在無線服務(wù)模板中實(shí)現(xiàn)SSID與與wlan-ESS接口的綁定接口的綁定wlan service-template 2 clear ssid Office bind wlan-ESS 2 service-template enablewlan service-template 3 clear ssid VIP bind wlan-ES

10、S 3 service-template enable步驟一、在步驟一、在wlan-ESS接口中實(shí)現(xiàn)與接口中實(shí)現(xiàn)與VLAN的綁定的綁定interface wlan-ESS 2 port access vlan 2interface wlan-ESS 3 port access vlan 3SSID：OfficeSSID：VIPI PI P17無線用戶授權(quán)（無線用戶授權(quán)（2）基于）基于AP方式方式l 無線控制器可以基于AP區(qū)分用戶VLAN屬性，從而對用戶進(jìn)行VLAN授權(quán)。I PI PRadius ServerDHCP Servertrunk無線控制器無線控制器vlan 2vlan 3FIT-AP

11、-2STA STA FIT-AP-3SSID：H3C步驟一、配置無線服務(wù)模板步驟一、配置無線服務(wù)模板wlan service-template 1 clear ssid H3C bind wlan-ESS 1 service-template enable步驟二、將無線服務(wù)模板與步驟二、將無線服務(wù)模板與VLAN綁定應(yīng)用到不同綁定應(yīng)用到不同F(xiàn)IT AP上上wlan ap FIT-AP-2 model wa2100 radio 1 service-template 1 vlan-id 2 radio enablewlan ap FIT-AP-3 model wa2100 radio 1 servi

12、ce-template 1 vlan-id 3 radio enableI PI P18無線用戶授權(quán)（無線用戶授權(quán)（3）基于用戶）基于用戶MAC方式方式l 無線控制器可以通過自身設(shè)置或配合Radius服務(wù)器對無線接入用戶進(jìn)行授權(quán)，如對用戶下發(fā)VLAN屬性，實(shí)現(xiàn)基于用戶MAC的授權(quán)。Radius ServerDHCP Servertrunk無線控制器無線控制器vlan 2vlan 3FIT APSTA 2STA 3方式一、在無線控制器自身設(shè)置方式一、在無線控制器自身設(shè)置mac-vlan mac-address 0000-0000-0002 vlan 2mac-vlan mac-address 0

13、000-0000-0003 vlan 3在在WLAN-ESS接口上使能接口上使能mac-vlan功能功能port link-type hybridport hybrid vlan 1 to 3 untaggedmac-vlan enable方式二、通過方式二、通過Radius Server授權(quán)授權(quán)STA 2 MAC：0000-0000-0002STA 3 MAC：0000-0000-0003I PI P19無線控制器系統(tǒng)無線用戶漫游無線控制器系統(tǒng)無線用戶漫游l漫游：用戶在移動時，保持它們的會話連接包括IP地址、所屬VLAN及所連接的服務(wù)均不改變，用戶感覺不到網(wǎng)絡(luò)的變化。l漫游域（Mobilit

14、y Domain）：漫游域是由多個無線控制器和FIT AP組成的支持無線客戶端漫游的無線網(wǎng)絡(luò)系統(tǒng)。Radius ServerDHCP Server192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)無線控制器無線控制器-1:vlan 1vlan 2192.168.1.2路由器路由器無線控制器無線控制器-3:vlan 4192.168.4.2192.168.4.1/24 FIT APFIT APUser 1User 1無線控制器無線控制器-2:vlan 1vlan 3192.168.1.3

15、I PI P20FIT AP之間的負(fù)載均衡之間的負(fù)載均衡l當(dāng)不同的AP覆蓋同一區(qū)域時，可通過負(fù)載均衡控制不同AP的接入用戶數(shù)，以保證密集用戶區(qū)域的用戶帶寬性能。l H3C FIT AP的負(fù)載均衡有兩種方式，即用戶數(shù)（session）和流量（traffic）。無線控制器無線控制器FIT AP1FIT AP2client 5client 4client 1 AP1 Session:* client 1* client 2* client 3* client 4Total: 4AP2 Session:Total: 0AP1 Session:* client 1* client 2* client 3

16、* client 4Total: 4AP2 Session:* client 5Total: 1client 5接入無線網(wǎng)絡(luò)后，兩個接入無線網(wǎng)絡(luò)后，兩個APAP的用戶接入情況：的用戶接入情況：client 5接入無線網(wǎng)絡(luò)前，兩個接入無線網(wǎng)絡(luò)前，兩個APAP的用戶接入情況：的用戶接入情況：I PI P21無線控制器的可靠性控制接入無線控制器的可靠性控制接入AC順序順序APAC1AC21、獲取AC列表（AC1、AC2）4、與AC1重新建立隧道連接AC1宕機(jī)DHCP Server3、與AC2建立隧道連接AC1恢復(fù)AC2宕機(jī)AC2恢復(fù)2、與AC1建立隧道連接l 步驟一：步驟一：AC1上配置上配置AP的

17、靜態(tài)模板的靜態(tài)模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6l 步驟二：步驟二：AC2上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAPl 說明說明 AC2不配置優(yōu)先級，則使用默認(rèn)優(yōu)先級4，也可以配置為其他的小于6的優(yōu)先級AP保持與AC2的隧道連接22無線控制器的可靠性無線控制器的可靠性1+1熱備份熱備份APAC1AC21、獲取AC

18、列表（AC1、AC2）DHCP Server4、與AC2建立備份隧道連接AC1宕機(jī)2、與AC1建立主隧道連接l 步驟一：步驟一：AC1上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6l 步驟二：步驟二：AC2上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAPl 說明說明 AC2不配置優(yōu)先級，則使用默認(rèn)優(yōu)

19、先級4，也可以配置為其他的小于6的優(yōu)先級3、通知AP備份AC為AC2主隧道（負(fù)責(zé)數(shù)據(jù)流量轉(zhuǎn)發(fā)）備份隧道備份隧道切換為主隧道l 步驟三：步驟三：AC1上配置其上配置其Backup AC為為AC2 AC1 wlan backup-ac AC2-ip addressl 步驟四：步驟四：AC2上配置其上配置其Backup AC為為AC1 AC2 wlan backup-ac AC1-ip address5、通知AP備份AC為AC1定期探測AC1是否恢復(fù)正常AC1恢復(fù)6、與AC1建立備份隧道連接主隧道（負(fù)責(zé)數(shù)據(jù)流量轉(zhuǎn)發(fā)）備份隧道AP檢測到主隧道23無線控制器的可靠性無線控制器的可靠性1+1快速熱備份快速

20、熱備份APAC1AC21、獲取AC列表（AC1、AC2）DHCP Server4、與AC2建立備份隧道連接AC1宕機(jī)2、與AC1建立主隧道連接l 步驟一：步驟一：AC1上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6l 步驟二：步驟二：AC2上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAPl 步驟三：

21、步驟三：AC1上配置其上配置其Backup AC為為AC2 AC1 wlan backup-ac AC2-ip addressl 步驟四：步驟四：AC2上配置其上配置其Backup AC為為AC1 AC2 wlan backup-ac AC1-ip addressl 步驟五：步驟五：AC1上啟動主備快速檢測上啟動主備快速檢測 AC1 hot-backup enable AC1 hot-backup vlan vlan-idl 步驟六：步驟六：AC2上啟動主備快速檢測上啟動主備快速檢測 AC2 hot-backup enable AC2 hot-backup vlan vlan-idl 說明說明

22、 AC2不配置優(yōu)先級，則使用默認(rèn)優(yōu)先級4，也可以配置為其他的小于6的優(yōu)先級3、通知AP備份AC為AC2主隧道（負(fù)責(zé)數(shù)據(jù)流量轉(zhuǎn)發(fā)）備份隧道原主隧道down心跳檢測通知AP啟用備份隧道備份隧道馬上切換為主隧道5、通知AP備份AC為AC1定期探測AC1是否恢復(fù)正常24AP1AC1AC2ACNACB（備份（備份AC）1、獲取AC列表（AC1、ACB）定期探測AC1是否恢復(fù)正常2、與AC1建立連接AC1宕機(jī)DHCP Server無線控制器的可靠性無線控制器的可靠性N+1備份備份3、與備份AC建立連接AC1恢復(fù)4、與AC1重新建立連接5、斷開與備份AC的連接AP21、獲取AC列表（AC2、ACB）定期探測

23、AC2是否恢復(fù)正常2、與AC2建立連接AC2宕機(jī)3、與備份AC建立連接AC2恢復(fù)4、與AC2重新建立連接5、斷開與備份AC的連接l 當(dāng)主AC出現(xiàn)問題后，備份AC才提供服務(wù)；l 主AC恢復(fù)后所有的AP又切回到主AC；l 如果AP開機(jī)時，主AC還沒有正常工作，AP會連接到備份AC上，此后AP會不斷嘗試和主AC進(jìn)行連接，當(dāng)主AC正常工作以后，AP同樣會將斷開和備份AC的連接而連接到主AC上。25l 步驟一：步驟一：AC1上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3cFITAP1 AC1-wla

24、n-ap-ap1 priority level 7l 步驟二：步驟二：AC2上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC2 wlan ap ap2 model WA2100 AC2-wlan-ap-ap2 serial-id H3cFITAP2 AC2-wlan-ap-ap2 priority level 7l 說明說明 主AC配置該控制器需要管理的AP信息，而且作為這些AP的首選控制器； 備份AC配置所有控制器需要管理的AP，并且根據(jù)AP指定對應(yīng)的首選控制器; AP1首選接入AC1； AP2首選接入AC2； AP3首選接入AC3；ACB作為AC1、AC2、AC3的備份。l 步驟三：步驟三：AC

25、3上配置上配置AP的靜態(tài)模板的靜態(tài)模板 AC3 wlan ap ap3 model WA2100 AC3-wlan-ap-ap3 serial-id H3cFITAP3 AC3-wlan-ap-ap3 priority level 7l 步驟四：步驟四：ACB上配置上配置AP的靜態(tài)模板的靜態(tài)模板 ACB wlan ap ap1 model WA2100 ACB-wlan-ap-ap1 serial-id H3cFITAP1 ACB-wlan-ap-ap1 backup-ac AC1-ip address ACB wlan ap ap2 model WA2100 ACB-wlan-ap-ap2

26、serial-id H3cFITAP2 ACB-wlan-ap-ap2 backup-ac AC2-ip address ACB wlan ap ap3 model WA2100 ACB-wlan-ap-ap3 serial-id H3cFITAP3 ACB-wlan-ap-ap3 backup-ac AC3-ip address無線控制器的可靠性無線控制器的可靠性N+1備份（續(xù)）備份（續(xù)）26無線控制器系統(tǒng)無線控制器系統(tǒng) ROGUE(欺詐欺詐)探測探測lRogue AP是指未經(jīng)授權(quán)在網(wǎng)絡(luò)中運(yùn)行的AP，它及其用戶造成了對網(wǎng)絡(luò)安全的威脅。l無線控制器的Rogue AP檢測功能用來檢測Rogue設(shè)

27、備并對它們采取反制措施。lAP可以工作在以下三種模式下:Normal模式Monitor模式Hybrid模式無線控制器無線控制器POE SwitchFIT APFIT AP第三方第三方AP27無線控制器系統(tǒng)認(rèn)證加密方式無線控制器系統(tǒng)認(rèn)證加密方式l支持通過支持通過Radius服務(wù)器或者無線控制器本地數(shù)據(jù)庫認(rèn)證無線服務(wù)器或者無線控制器本地數(shù)據(jù)庫認(rèn)證無線用戶，支持的認(rèn)證方式如下用戶，支持的認(rèn)證方式如下802.1X認(rèn)證MAC認(rèn)證Portal認(rèn)證PPPoE認(rèn)證l無線控制器支持的加密方式如下無線控制器支持的加密方式如下WEP（Wired Equivalent Privacy）加密方式WPA（Wi-Fi Pr

28、otected Access）安全架構(gòu)WPA2安全架構(gòu)WAPI安全架構(gòu)WAPI無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WAI）不僅具有更加安全的鑒別機(jī)制、更加靈活的密鑰管理技術(shù)，而且實(shí)現(xiàn)了整個基礎(chǔ)網(wǎng)絡(luò)的集中用戶管理。從而滿足更多用戶和更復(fù)雜的安全性要求。n H3C FAT AP高級特性與配置高級特性與配置n H3C 無線控制器無線控制器FIT AP高級特性與配置高級特性與配置n WLAN綜合應(yīng)用案例綜合應(yīng)用案例目錄目錄29無線控制器無線控制器+FIT AP集中式企業(yè)內(nèi)部部署方式集中式企業(yè)內(nèi)部部署方式無線控制器無線控制器無線控制器無線控制器認(rèn)證服務(wù)器認(rèn)證服務(wù)器無線網(wǎng)管無線網(wǎng)管公司骨干公司骨干匯聚交換機(jī)匯聚交換機(jī)有線客戶端有線客戶端有線客戶端有線客戶端PoE交換機(jī)交換機(jī)PoE交換機(jī)交換機(jī)無線接入點(diǎn)無線