H3CFitAP产品运维相关建议汇编(doc37页)

1、h3c无线产品案例汇编2010 年 1 月目录h3c fit ap 产品运维建议（ 1）室内单独 覆盖情况h3c fit ap 产品在室内单独覆盖时运维建议：1 、室内一般采用 ap 自带天线对覆盖区域进行覆盖，因此ap 安装的位置与高度要与覆盖区域的范围相匹配，保证ap 信号覆盖需要覆盖的主要区域。2 、定期巡检ap 的指示灯与ap 工作温度及环境，尽量做到设备出现故障前就对设备进行更换或修理。3 、对 ap 的安装地点与上连端口做详细标注，因一但大量设备上线后设备命名不规范会导致ap 设备管理混乱无法对ap 位置与覆盖区域进行定位，出现故障后更是无法在第一时间进行排除。4 、建议对 ap

2、进行手工指定工作信道，这样会更加有效更加清楚的对设备进行 管理，同时也会最大限度的保证信道干扰。h3c fit ap 产品运维建议（ 2）室外天线 覆盖情况h3c fit ap 产品在室外加天线进行覆盖时的运维建议：1 、设备安装在室外若设备不是防水型需保证设备的工作环境是完全防雨的，一般室外覆盖会用长馈线把ap 设备与天线连接， 一般天线会暴露在外面接受风吹日晒雷击雨打，因此接地一定要做好所有接口处都要用防水和绝缘胶布进行封闭。2、因 fit ap 先注册到 ac 设备上之后才可以正常工作，而从室外ap 设备到ac 之间需要经过多台设备和多个节点，这时对各节点的链路质量要求就非同寻常了，所以

3、平时巡检时对链路的寻检是丝毫不能松懈的，3、大量fit ap 向 ac 注册时会用到三层注册方式dhcp option 43 ，但有些时候ap 可以获取到 dhcp 地址却获取不到 option 43 下发的 ac 地址，这时可以用笔记本替换ap 并抓包看 dhcp server 下发地址后有没有把option 43 属性一起下发成功，如果下发成功把ap 接回原处把ap 的接口关闭后在打开， 用以重新或得 dhcp地址和 potion 43 属性。如果下发不成功需查看dhcp server 设置是否正确，找到原因后及时解决防止造成更大范围影响。4 、 ap 使用自动注册功能注册到 ac 后需及

4、时对自动命名的 ap 进行修改， 以来 区分自动注册的 ap 是从那个区域那台交换机注册上来的。h3c fat ap 结合室内分布系统环境下设备 巡检及问题处理方式h3c fat ap 结合室内分布系统环境下设备巡检及问题处理方式：（ 1）定期检查设备指示灯，根据指示灯来快速简便对故障及问题进行定位，一般设备上会有三四种灯：电源灯：指示设备是否是在加点状态此灯常亮。射频等：当有用户连在ap 上时不亮、长亮或有规律的闪烁都是不正常的，不规律的闪烁是因为不时的终端信号处理导致，所以不规律的闪烁是正常的。以太网灯：当用户连到设备上并有数据发送时灯会不规则的闪烁。（ 2）信号强不等于信号好，不要盲目的

5、追求ap 覆盖的信号强度，一但ap 发射功率大于终端接受灵敏度后会导致网络中断连接， 严重的会导致终端无线网卡不工作，若发现终端离ap 较近且信号强度很强时可微调 ap 的发射功率。（ 3）在 portal 认证模式下， ap 可以广播出 ssid 并可以连到此ssid 上，但终端无法获得ip 地址从而不能得到正常的网络服务，原因可能是由于此ssid 没有划到 portal 认证的 vlan 或 ap 与上连交换机之间没有把portal 认证 vlan 透传上去。（ 4）在对 ap 设备进行升级时不要对ap 设备进行断电重启，重启后可能会造成设备文件丢失，严重的将无法正常启动。（ 5） 在对

6、ap 设备进行更改配置前请备份ap 设备配置文件， 在确认 ap 修改配置并生效后请及时进行保存。h3c fat ap 产品运维建议h3c fat ap 产品运维建议：1 、设备开箱验货完成后，开始设备的安装和基本调试。2、进行设备初始化配置，验证设备状态是否正常。3、协调准备设备安装条件及环境，确定设备已升级到目前最新版本。4、依据工程设计方案进行设备安装，无论是采用独立安装还是采用室内分布式系统，保证按照规范要求安装。5、按照设计的网络拓扑进行线路连接，保证线路质量和走线方式符合要求。6、配置无线基本接入功能，测试客户端可否正常接入。7、针对已经部署的接入点覆盖区域进行信号测试，确定信号在

7、覆盖区域中可以满足业务需求。8、根据开局设计的网络建设方案，进行完整性配置，并进行功能项实现测试。wlan 产品以其特殊性，在使用维护过程中需要关注许多方面，并以负责任的态度履行注意事项 :保证设备按照要求进行可靠接地。维护人员做好防静电措施。尽量减少无线网络运行周围环境没有其他无线干扰源。保证有线网络健康，以免影响无线网络稳定性使用。室外特殊环境下注意工程规范性和安全性要求。h3c fat ap 结合室内分布系统环境下设备运行环境检查与维护建议h3c fat ap 结合室内分布系统环境下设备运行环境检查与维护建议：（ 1） ap 安装方式是壁挂式还是摆放式， 壁挂式需检查 ap 与支架间的锁

8、孔是否已上锁， 摆放式看摆放位置是否为易取处是否放置与机箱中， 以确保设备的安全性。（ 2）确保设备安装环境是适合设备工作的，包括温度、湿度、防雷接地是否合格， 因一但安装设备安装调试后， 在进行整改会比较烦琐且会造成较高成本让用户感觉到设备的稳定性差。3）设备供电方式有两种直接供电方式与poe 供电方式：直接供电方式： 要保证电源插座质量若质量欠佳会导致设备短路， 尽量与上连交换机使用同一电源排插，且排插要尽量远离管道一防止管道对设备造成伤害。poe 供电方式： 首前要确保供电线路的质量， 因 poe 供电方式是把电源与网络数据放在网线上同时进行传输，要保证供电网线长度在以太网最大传输距离以

9、内。（ 4） ap 设备与天馈系统连接是否正常接口是否做了相应的屏避， 防止 ap 信号 大量外泄导致无法进行有效覆盖。fat ap 与 fit ap 的主要特点和区别fat ap 的主要特点： fat ap是与fit ap相对来讲的，fat ap将wlan的物理层、用户数据加密、用户认证、 qos 、网络管理、漫游技术以及其他应用层的功能集于一身。fat ap 无线网络解决方案可由由 fat ap 直接在有线网的基础上构成。 fat ap设备结构复杂，且难于集中管理。fit ap 的主要特点：fit ap 是相对 fat ap 来讲的，它是一个只有加密、射频功能的 ap ，功能 单一，不能独

10、立工作。整个 fit ap 无线网络解决方案由无线交换机和 fit ap 在有线网的基础上构 成。fit ap 上 “零配置 ”，所有配置都集中到无线交换机上。这也促成了 fit ap解决方案更加便于集中管理，并由此具有三层漫游、基于用户下发权限等fat ap 不具备的功能。wlan 室外覆盖原则wlan 网络时，首先考虑到的是满足 ap 跟无线网卡信号的交互，以及用户可有效的接入网络。 因此如何提高无线信号覆盖范围是ap 安装必须要考虑的因素。在进行天线选择时， 需尽量考虑到信号分布的均匀， 对于重点区域和信号碰撞点，需要考虑调整天线方位角和下倾角。ap 天线安装的位置应确保天线主波束方向正

11、对覆盖目标区域，保证良好的覆盖效果。ap 的覆盖方向尽可能错开，避免同频干扰。需室外覆盖的类型较少，基本为居民小区（或结构类似小区的建筑物）和室外 空旷区域（如高尔夫球场、风景区等）。当使用自带鞭状小天线时， 在空旷区域的 wa1208e 最大的覆盖距离建议考虑在 200m 以内， 天线增益 10dbi 的条件下， 开阔视距环境中的覆盖半径达到了300m 左右，在半开阔环境中能够达到约 200m 。对小区覆盖而言， 从室外透过封闭的混凝土墙后的无线信号几乎不可用， 因而 只能考虑利用从门、窗入射的信号。2 个房间。ap 的天线，被覆盖区域与ap 的天线尽可能直视。wa1208e 而言，建议每个

12、ap 下带的用户不超过30 。关于无线 (wlan) 校园网学生宿舍区覆盖方案基本策略的说明无线 (wlan) 校园网建设逐渐成为教育信息化发展的主流趋势，作为可能的网络建设方， 学校网络中心或电信运营商都存在对学生宿舍区作一定无线信号覆盖的需求。 由于无线技术的开放性， 各主流厂商的相关技术方案普遍在国内无线校园网宿舍区覆盖中出现一定实施和交付风险， h3c 无线产品支持团队根据国内实际校园无线网络使用环境并结合海外无线园区覆盖经验， 确定相关宿舍区覆盖基本策略，请区域技术人员认真学习掌握：推荐无线信号覆盖作为学生宿舍区网络覆盖的辅助手段， 提供有线接入外的增值移动无线接入；在各方面条件允许

13、的情况下， 优先采用室内覆盖方案； 室内覆盖方案优先采用双频双模设备实现高强度接入； 天线安放优先考虑功分器形式的寝室内方案；在单寝室有线信息点小于或等于实际住宿人员 1/2 的宿舍区， 不推荐采用室外覆盖方案， 且单 ap 室外覆盖范围不超过横向 6 寝室， 纵向 8 层，推荐纵向每4 层一台 ap 设备； 高于 12 层的宿舍楼不再建议室外覆盖方案；用户认证接入模式优先级为：开放式 portalh3c portalead ，计费模式推荐时长方式下的包月计费制，不推荐点卡制、流量制；有线接入设备( bas )必须采取严格的基于用户帐户限流措施，无线设备可以按照实际情况考虑开启 h3c 特有的

14、智能流量控制和用户隔离功能，并人工限制接入用户数与实际网络情况相匹配。推荐：高强度接入情况 =15 人，普通接入情况下 =25 人；802.11n作为新一代高强度接入技术，推荐在intel内置无线网卡4965/5100/5300/5150/5350 agn普及率较高的校园区采用，且不建议使用在2.4ghz频段；wa2200 系列 fat ap 分时段限制无线客户端通信的典型配置适用 wa2200 版本：comware software, version 5.20, release 1107p01、组网需求wa2200系列fat ap、交换机、便携机(安装有 11b/g无线网卡)、组网图日 m/

15、0/1交换机ap本例中使用的ssid名称为h3c,无线客户端在每天的9:00-18:00不能通过无线网络进行通信，其他时间不受限制。三、配置步骤#配置时间段 system-viewh3c time-range a 09:00 to 18:00 daily#配置aclh3c acl number 3000h3c-acl-adv-3000 rule 0 permit ip time-range ah3c-acl-adv-3000 quit#配置qos策略h3c traffic classifier 1h3c-classifier-1 if-match acl 3000h3c-classifier-

16、1 quith3c traffic behavior 1h3c-behavior-1 filter denyh3c-behavior-1 quith3c qos policy 1h3c-qospolicy-1classifier 1 behavior 1#配置无线服务模板h3c wlan service-template 1 clearh3c-wlan-st-1 ssid h3ch3c-wlan-st-1 authentication-method open-systemh3c-wlan-st-1 service-template enable# 在无线接口下应用 qos 策略h3c inte

17、rface wlan-bss 1h3c-wlan-bss1 qos apply policy 1 inbound# 设置系统时间为当前时间 clock datetime 15:29:00 10/27/2008配置信息#version 5.20, release 1107p01#sysname h3c#domain default enable system#telnet server enable#time-range a 09:00 to 18:00 daily#acl number 3000rule 0 permit ip time-range a#vlan 1#domain system

18、access-limit disablestate activeidle-cut disableself-service-url disable#traffic classifier 1 operator andif-match acl 3000#traffic behavior 1filter deny#qos policy 1classifier 1 behavior 1#local-user adminpassword simple h3capadminservice-type telnetlevel 3#wlan rrm11a mandatory-rate 6 12 2411a sup

19、ported-rate 9 18 36 48 5411b mandatory-rate 1 211b supported-rate 5.5 1111g mandatory-rate 1 2 5.5 1111g supported-rate 6 9 12 18 24 36 48 54#wlan service-template 1 clearssid h3cauthentication-method open-systemservice-template enable#interface null0#interface vlan-interface1ip address 192.168.0.50

20、 255.255.255.0#interface ethernet1/0/1#interface wlan-bss1qos apply policy 1 inbound#interface wlan-radio1/0/1#interface wlan-radio1/0/2channel 1service-template 1 interface wlan-bss 1#user-interface con 0user-interface vty 0 4authentication-mode scheme#return四、验证结果无线客户端在每天的 9:00-18:00 时段内无法通过无线网络通信

21、，其他时间可以正常访问无线网络五、 faq此功能的应用依靠设备的时钟，故需要将设备时钟时间设置为当前时间。 clock datetime 15:29:00 10/27/2008设备重启后时钟将被重置， display clock12:05:34 utc wed 04/26/2000需要重新设置时钟时间为当前时间。另：可以考虑通过外置的 ntp server 同步 ap 的时钟，以解决上述问题。h3c 无线产品常见问题处理建议（ 1）用户无线网卡无法搜索到无线信号一、问题描述用户无线网卡无法搜索到无线信号二、原因分析初步预判可能原因：1 、确认当地环境存在无线网络覆盖2、用户网卡已经被禁用；打开

22、“网络连接”选中无线网卡将其启用3、用户笔记本电脑无线网卡的硬件开关没有打开；当前很多主流笔记本电脑都有无线网卡的硬件启用开关，或者键上有热键开启无线网卡4、用户开启了无线网卡软件配置客户端；例如用户是intel网卡、当其开启了 intel配置网卡软件和其它无线网络配置软件，那么可能在windows 无线网络配置栏中显示：此时只能使用网卡自带的配置软件来配置，如果需要使用windows来配置其无线网络需要在网卡中勾选“用 windows配置我的无线网络设置”。如下图:局方判断可能原因:1 、 ap 掉电 在网管上查看设备时候可达，设备告警信息判断2 、 ap 数据配置问题，请核对标准数据脚本v

23、5的配置方式中主要注意 service-template enable使能无线模板service-template 1 interface wlan-bss 1/无线模板和bss 接口的对应3 、 ap 发出信号非常弱，导致用户无法搜到无线信号a ap 天馈线或天线接触问题或线路硬件故障b 使用室分系统的局点合路器故障或合路器输入输出馈线接反4 、 ap 自身硬件问题现场工程师可用 ap 自带天线替换测试，正常情况替换后附近无遮挡处一般信号强度在-20dbm 至-40dbm 。h3c 无线产品常见问题处理建议（ 2）用户无法获得 ip 地址一、问题描述用户无法获得ip 地址二、原因分析初步预判

24、可能原因：1、运行“cmd” - “ ipconfig/renew ”尝试查看“ ipconfig ”是否解决2、客户端网卡故障，禁用后启用网卡或者重启pc尝试解决局方判断可能原因：1、ap掉电在网管上查看设备时候可达，设备告警信息判断2、业务vlan 不通，需要各二层设备透传业务vlan 数据维护部门确认3、 dhcp server 的 ip 地址池中地址用完4、ap自身硬件问题导致不转发报文lan接入方式现场工程师可以在交换机上配置端口port access vlan xx 并接入有线网卡的客户端来判断或排除无线网络问题。h3c 无线产品常见问题处理建议（ 3）用户无法打开portal 认

25、证页面一、问题描述用户可以获取ip 地址，但无法打开portal 认证页面（以 ie 为例）二、原因分析初步预判可能原因：1、用户无线网卡手工设置了 ip 地址，应该改为自动获取ip 地址2、用户 ie 浏览器设置了代理服务器，如下图：事蚣 si网再 的 展环 药国犷崎苴壮也学用 胆志置用flk）t1看而 如.chi hl，4ffih也，44*,_ *_1_| .里国事涉13ies鼻明 由电理1审,g从不遇行x号垣鹿啜） 不达附孑连!，者再在卷四行m号里）月修网（3）靛督号区局城网uy.遍置岂燃器懈耶尸e-串詈j|eiaatt.-i. w内使用手珈，信修周日碇匚珊i而厘城口震郎百共要本场和建b

26、善.：力3即用k支h募募工）唾吟不言且题于i*尊m一 m3、用户ie浏览器设置了 “受限站点”（这种可能性很小），如下图:h 痴 j4、用户浏览器故障或其它设置导致，恢复浏览器默认设置或重启pc尝试解决5、如果认证服务器允许，可以尝试 pppo鼓号的方式认证。局方判断可能原因：portal认证服务器故pt,可以尝试 ping 61.180.1.4 。如果认证服务器允许，可 以尝试pppo散号的方式认证h3c 无线产品常见问题处理建议（4）用户无法认证成功一、问题描述用户可以获取ip地址，可以打开portal认证页面，无法认证成功二、原因分析初步预判可能原因：1 、卡号密码输入错误，尝试重新输入

27、解决2 、局方判断可能原因：portal 认证服务器故障h3c 无线产品常见问题处理建议（5）上网速度变慢一、问题描述上网过程中，出现网络速度变慢的问题二、原因分析初步预判可能原因：1、用户上网位置环境发生较大变化、环境信号强度和质量降低2、用户无线网络环境突然存在干扰，无线网卡附近存在微波炉、开启了其它ap设备或其它无线客户端设备（客户端存在ad hoc勺干扰情况）局方判断可能原因：1、一台ap 上接入用户数量超过了25 个用户此现象可以在imc 网管上设置条件形成告警提示2、有线网络带宽问题，上层设备是否有带宽限制3、有线网络存在丢包，可以尝试ping ap 或交换机管理地址来判断4、确认

28、ap 的配置是否存在带宽限制的配置与标准配置比较，ap默认不会设置带宽限制5、用户上网位置环境发生较小的变化、但环境信号强度降低portal 认证服务器故障h3c 无线产品常见问题处理建议（ 6）网络中断问题一、问题描述用户上网过程中，出现网络中断问题二、原因分析初步预判可能原因：1、用户上网位置环境发生较大变化、环境信号强度和质量降低2、用户无线网络环境突然存在干扰，无线网卡附近存在微波炉、开启了其它ap设备或其它无线客户端设备（客户端存在ad hoc勺干扰情况）3、网卡是否还连接在无线网络上，是不是已经切换到其它ssid局方判断可能原因：1、提示“系统检测连接已断开”，重新认证是否能恢复，

29、如果能恢复需要在portal 认证服务器上查找相关帐号异常或失败记录2、在ap上查看用户是否正常连接在 ap上通过命令 display wlan client(v5) display mac-station (v3)查看在线用户情况， 此处可能需要在得到用户登录帐号后， 通过认证服务器关联查找到用户的mac*址来确认其连接情况。3、是否跨越不同vlan 之间漫游造成fat ap只能二层漫游h3c 无线产品常见问题处理建议 ( 7) fit ap 无法正常注册问题一、问题描述ac fit ap 出现 fit ap 无法正常注册问题二、原因分析初步预判可能原因：1、是否ap供电发生变化，例如po或

30、换机或本地供电盒损坏2、观察连接ap交换机的指示灯，是否有频繁切换的现象或指示灯狂闪的现象，需要排除是否有网络广播风暴或环路的可能3、ac和ap的版本是否正常匹配局方判断可能原因：1、查看ap是否能够正确获得ipv4地址，并ping通。观察ap的射频指示灯是 否正常闪烁。2、在ac上通过命令查看ap运行状况，查看相关log信息。2、切断相关ap电源，观察ap是否能够恢复注册。3、查看ap上联交换机是否关闭stp功能。4、查看端口流量，观察ap、上联端口等环节的报文统计变化5、打开lwapp勺调试开关，观察是否启动 lwap程序。6、查看dhcp server是否正常运行。无线(wlan)技术漫

31、游实现描述、fat ap架构下，ap设备不做认证时：staprobe reqwstbeejconestprobe e&sponst .auth requestauth responseassoc requestassoc rjesponsedataprobe rficprobe rjesjanseauth rjeqilestatith rj&sjassoc rje(inesth.assoc res ponserdatabeaconapi , ap2正常工作，发送beacon帧，向sta!告支持的无线服务;(2) sta搜索到ap1的信号，向ap1发probe request,请求获取ap1所提

32、供 的无线服务；ap1回应probe response；(3) sta向ap1发送认证请求报文(authentication request )请求接入， ap1 回应认证响应报文(authentication response);(4) sta 向 ap1 发送关联请求报文( association request )进行关联， ap1 回应关联响应报文(association response) 。sta与ap间建立链路层连接；(5) sta不需要进行身份认证，通过 ap1成功连入网络。(6)当sta从ap1往ap2方向移动，感知到ap2的信号强度渐大，ap1强度 渐弱，当ap2与ap1的

33、信号强度差达到一定门限时，sta开始向ap2发起认证和 关联请求， (通过 probe request/response, authentication request/response 以及 association request/response 报文)；(7) sta与ap2的链路层连接建立成功后，成功连入网络。二、ac+fit ap架构下，ac上不做认证时：staap2acbeacon 4probe requestprobe respohsebeaconfrauth requestkauth responsevaesoc request4assoc response4datawprob

34、e rjeq.uestprobe rjesons&auth requestanth rjesponse01assoc requestwb4|assoc rjesponse一 wdata(1) api与ap2分另1j与ac建立capwap道；(2) api , ap2发送beacon帧，向sta!告支持的无线服务；(3) sta搜索到ap1的信号，向ap1发probe request,请求获取ap1所提供 的无线服务；ap1回应probe response；(4) sta向ap1发送认证请求报文(authentication request )请求接入， ap1透传报文到ag acs过ap1回应

35、认证响应报文(authentication response);(5) sta向ap1发送关联请求报文(association request )进行关联，ap1 透传报文至 ag ac回应关联响应报文(association response) 。 sta与ap1问 建立链路层连接；(6) sta不需要进行身份认证，通过 ap1成功连入网络。 当sta从ap1往ap2方向移动，感知到ap2的信号强度渐大，ap1强度 渐弱，当ap2与ap1的信号强度差达到一定门限时，sta开始向ap2发起认证和 关联请求，(通过 probe request/response, authentication r

36、equest/response 以及association request/response 报文)，建立无线链路连接；(8) ac通过ap1向sta送一个去认证报文，通知 sta从ap1下线；(9) sta通过ap2成功连入网络。三、fat ap架构下，在 ap上进行802.1x认证时：beaconprobe rie quest/rjesponseauih rjequestirje spouseassoc reqvues t/rjespons e st4 way hand5liahedatabeacon2.1x autherilcationprobe rec ueft/refp。陵auth

37、reqi的承际。晔2.ix authenticationf handshaked? taradius serverap1 , ap2正常工作，发送beacon帧，向sta!告支持的无线服务；sta搜索到ap1的信号，向ap1发probe request,请求获取ap1所提供的无线服务；ap1回应probe response;(3) sta向api发送认证请求报文(authentication request )请求接入， ap1 回应认证响应报文(authentication response);(4) sta 向 ap1 发送关联请求报文( association request )进行关联

38、， ap1 回应关联响应报文(association response) 。sta与ap间建立链路层连接；(5) ap1向sta发起802.1x协商，用户输入用户名、密码，ap1通过radius 协议把用户名、密码发到 radius 服务器上进行认证。(6) 802.1x认证成功后，sta与服务器间协商出pmk同时服务器把pmkf 发到 ap1 上。(7) sta与ap1进行四次握手协商，通过pmk&商彳4到sta与ap1问数据加 密所用的ptk。(8) sta通过ap1成功连入网络。(9)当sta从ap1往ap2方向移动，感知到ap2的信号强度渐大，ap1强度 渐弱，当ap2与ap1的信号强

39、度差达到一定门限时，sta开始向ap2发起认证和 关联请求， (通过 probe request/response, authentication request/response 以及 association request/response 报文)；(10) sta与ap2的链路层连接建立成功后，因 ap2上没有sta的身份信息， 因此还需要与sta进行802.1x协商，并得到sta与ap2之间的pmk(11) 802.1x协商成功后，sta与ap2进一步通过四次握手协商数据加密密 钥 ptk；(12) sta通过ap2成功连入网络。四、ac+fit ap架构下，ac上做802.1x认证时

40、：radius serverstaapiap2ac(1) api与ap2分另1j与ac建立capwap道；(2) api , ap2发送beacon帧，向sta!告支持的无线服务；(3) sta搜索到ap1的信号，向ap1发probe request,请求获取ap1所提供 的无线服务；ap1回应probe response；(4) sta向ap1发送认证请求报文(authentication request )请求接入， ap1透传报文到ag acs过ap1回应认证响应报文(authentication response);(5) sta向ap1发送关联请求报文(association req

41、uest )进行关联，ap1 透传报文至 ag ac回应关联响应报文(association response) 。 sta与ap1问 建立链路层连接；(6) ap1与sta开始802.1x协商，用户输入用户名、密码，ac通过radius协议把用户名、密码发到 radius服务器上进行认证802.1x认证成功后，sta与服务器间协商出pmk同时服务器把pmkf 发到ac上。(8) sta与ac之间进行四次握手协商，通过 pmk商彳4到sta与ap1间数 据加密所用的ptk ac把ptk下发到ap1上。(9) sta通过ap1成功连入网络。(10)当sta从ap1往ap2方向移动，感知到ap2的

42、信号强度渐大，ap1强 度渐弱，当ap2与ap1的信号强度差达到一定门限时，sta开始向ap2发起认证 和关联请求，(通过probe request/response, authenticationrequest/response 以及 association request/response 报文)；(11) sta与ap2的链路层连接建立成功后，因ac上已经有sta的身份信息， 因此不需要再进行802.1x协商，而是直接使用之前得到的 pmk4彳tsta与ap2 间的四次握手协议协商 ap2与sta间的数据加密密钥ptk(12) ac通过ap1向stag送一个去认证报文，通知 star a

43、p1下线；(13) sta通过ap2成功连入网络。h3c 无线控制器与fit ap 直连或通过二层网络连接时的注册流程fit ap 在无线控制器上的注册流程fit ap 直连或通过二层网络连接时，如下图所示：dhcp server无线控制器获取ip地址发送二层广播发现请求 无线交换机发现响应版本、配直下载用户数据传递二、无线控制器与 fit ap直连或通过二层网络连接时，fit ap在无线控制器上的注册步骤如下：1、fit ap 通过 dhcp server 获取 ip 地址。2、fit ap发出二层广播的发现请求报文试图联系一个无线交换机无线控制器。3、接收到发现请求报文的无线交换机无线控制

44、器会检查该fit ap是否有接入本机的权限，如果有则回应发现响应。4、fit ap从无线交换机无线控制器下载最新软件版本。5、fit ap从无线交换机无线控制器下载最新配置。6、fit ap开始正常工作和无线交换机无线控制器交换用户数据报文。wa2200系列fat ap上行链路完整性检测功能的典型配置适用 wa2200 版本：comware software, version 5.20, ess 1104p02一、组网需求wa2200系列fat ap、交换机、便携机（安装有11b/g无线网卡）二、组网图eth1/o/1ap交换机在ap的接口 ethernet1/0/1上配置上行链路完整性检测功

45、能，接口ethernet1/0/1 down时，ap提供的无线服务 ssid自动消失，用户无法将搜索到该 ap的ssid;接口 ethernet1/0/1 up时，ap重新提供无线接入服务，用户可以搜索到该ap的ssid,并可以成功连接到该ap。三、配置步骤1、配置无线接入基本功能#进入系统视图 system-viewh3c wlan service-template 1 clearh3c-wlan-st-1 ssid h3ch3c-wlan-st-1 authentication-method open-system h3c-wlan-st-1 service-template enable

46、#创建并配置无线接口h3c interface wlan-bss 1在无线接口上绑定无线模版和无线接口。h3c interface wlan-radio 1/0/1h3c-wlan-radio1/0/1 service-template 1 interface wlan-bss 12、配置上行链路完整性检测功能。h3c wlan uplink-interface ethernet 1/0/1配置文件h3cdisplay current-confuguration#version 5.20, ess 1104p02#sysname h3c#domain default enable system

47、#wlan uplink-interface ethernet1/0/1#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g suppor

48、ted-rate 6 9 12 18 24 36 48 54#wlan service-template 1 clearssid h3cauthentication-method open-systemservice-template enable#interface null0#interface ethernet1/0/1#interface wlan-bss1#interface wlan-radio1/0/1service-template 1 interface wlan-bss 1#interface wlan-radio1/0/2#user-interface con 0user

49、-interface vty 0 4#return四、验证结果可通过以下方式验证上述配置：(1) 按照如上步骤配置上行链路检测功能。(2) 让无线客户端连接到该ap 上。h3cdisplay wlan clienttotal number of clientstotal number of clients connected : 1clientinformationmacaddressbssidaidstateps mode qos mode0009-5b94-2f23active none000f-e27b-3e74501running(3) 关闭接口 ethernet1/0/1， 可以发现

50、 ap 强迫客户端下线，并且客户端将无法搜索到该ap 的 ssid h3c 。h3cinterface ethernet 1/0/1h3c-ethernet1/0/1shutdown#apr 2 17:45:49:342 2000 h3c ifnet/4/interface updown:trap 1.3.6.1.6.3.1.1.5.3: interface 9371648 is down, ifadminstatus is2, ifoperstatus is 2%apr 2 17:45:49:343 2000 h3c ifnet/4/link updown:ethernet1/0/1: li

51、nk status is downh3c-ethernet1/0/1display wlan client% info: clients do not exist.(4)打开接口 ethernet1/0/1,无线客户端可以搜索到该ap的ssidh3c ，并可以再成功连接到该ap 。h3cinterface ethernet 1/0/1h3c-ethernet1/0/1undo shutdownwa2200系歹u fat ap的wep加密功能的典型配置comware software, version 5.20, ess 1104p02一、组网需求wa2200、交换机、便携机（安装有11b/g无

52、线网卡）二、组网图无线客户端wa2200 上配置两个 vlan： vlan 256 和 vlan 1000vlan 256为业务vlan ,所有的无线客户端都属于 vlan 256 ; vlan 1000为管 理 vlan管理 vlan 的 ip 地址为 10.10.1.50/24，业务 vlan 的 ip 地址为 192.168.1.1/24服务集标识ssid为h3c-wep ,采用wep加密方式，密码为12345、wa2200的完整配置# version 5.20, ess1104p02sysname h3c# password-control login-attempt 3 exceed

53、 lock-time 120# domain default enable system#vlan1#vlan256#vlan 1000#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool pool1network 192.168.1.0 mask 255.255.255.0gateway-list 192.168.1.254expired day 3#wlan rrm11a mandatory-rate 6 12 2411a supported-rate 9 18 36 48 5411b mandatory-rate 1 211b supported-rate 5.5 1111g mandatory-rate 1 2 5.5 1111g supported-rate 6 9 12 18 24 36 48 54#wlan service-template 1 cry