第6章H3C无线产品高级特性与配置_V35

1、第六章第六章 H3C 无线产品高级特性与配置无线产品高级特性与配置ISSUE 3.5日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n 随着随着WLAN网络覆盖范围及应用场景的不断扩大，网络覆盖范围及应用场景的不断扩大，WLAN设备的功能与特性也越来越多样化，以满足设备的功能与特性也越来越多样化，以满足日益丰富的业务需求。本章在日益丰富的业务需求。本章在H3C WLAN产品基本产品基本配置操作的基础上，主要讲解配置操作的基础上，主要讲解H3C WLAN系列产品系列产品的高级特性及相关配置。的高级特性及相关配置。引入引入n 掌握掌握H3C FAT AP产品高级特性及配置产品高级特

2、性及配置n 掌握掌握H3C 无线控制器无线控制器+FIT AP产品高级特产品高级特性及配置性及配置n 掌握掌握H3C WLAN产品的典型组网应用产品的典型组网应用课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n H3C FAT AP高级特性与配置高级特性与配置n H3C 无线控制器无线控制器FIT AP高级特性与配置高级特性与配置n WLAN综合应用案例综合应用案例目录目录4FAT AP的主要特性的主要特性l 无线桥接功能无线桥接功能l 上行链路完整性检测功能上行链路完整性检测功能l 无线访问控制功能无线访问控制功能l 无线用户限速功能无线用户限速功能l 最大接入用户数量

3、限制最大接入用户数量限制l 射频管理功能射频管理功能l 认证加密方式认证加密方式5无线桥接功能无线桥接功能l 无线桥接是无线桥接是FAT AP的一个特殊功能，通过此功能可以实现的一个特殊功能，通过此功能可以实现AP与与AP之之间的无线通信。间的无线通信。l 802.11协议对无线桥接功能的具体实现没作规定，这为各厂商无线桥协议对无线桥接功能的具体实现没作规定，这为各厂商无线桥接功能的实现带来了灵活的余地，但各厂商产品之间的互通基本没有接功能的实现带来了灵活的余地，但各厂商产品之间的互通基本没有可能性。可能性。Radius ServerL2交换机交换机FAT APFAT AP无线客户端无线客户端

4、无线客户端无线客户端I PI P网络网络FAT AP6无线桥接功能典型应用与配置方式无线桥接功能典型应用与配置方式企业总部网络企业总部网络FAT AP-1FAT AP-2FAT AP-3企业分支网络企业分支网络1 1企业分支网络企业分支网络2 2l 无线桥接功能配置方式无线桥接功能配置方式Peer MAC方式7上行链路完整性检测功能上行链路完整性检测功能 Radius Server无线客户端无线客户端L2交换机交换机APtrunkI PI Pl FAT AP支持上行链路的检测功能，并且根据上行链路的状态确定是否提供WLAN接入服务 WLAN uplink-interface Ethernet

5、1/0/1 信号消失8FAT AP的的无线访问控制功能无线访问控制功能Radius Server无线客户端无线客户端L2交换机交换机APtrunkl 二层隔离功能l2fw wlan-client-isolation enable l 黑白名单功能static-blacklist mac-address mac-add whitelist mac-address mac-add l ACL和防火墙功能无线客户端无线客户端I PI P9FAT AP的的无线用户限速功能无线用户限速功能l 静态限速（同一SSID下指定每用户带宽上限）l 动态限速（同一SSID下用户共享设定带宽）10FAT AP的最大

6、接入用户数量限制（的最大接入用户数量限制（1）l 限制AP的最大接入用户数量 例如：限制AP的最大接入用户数量为20，当此AP上已接入20个客户端时，AP会拒绝第21个客户端的接入。Radius ServerSTA1L2交换机交换机FAT APtrunk STA20STA21I PI P11FAT AP的最大接入用户数量限制（的最大接入用户数量限制（2）l 限制某SSID在每AP上的最大接入用户数量 例如：限制SSID ”H3C”在每个AP最大接入用户数量为15，当一个AP上已有15个客户端接入SSID “H3C”时，AP会拒绝第16个客户端的接入此SSID。Radius ServerSTA1

7、L2交换机交换机FAT APtrunk STA15STA16SSID：H3CI PI P12FAT AP的射频管理功能的射频管理功能l 信道信道自动选择：FAT AP 上电后会扫描一次周围的射频环境，通过比较自动选择干扰小，噪声低的信道为当前工作信道。手动设置：可以手动设定FAT AP当前工作信道。l 功率功率FAT AP功率只能通过手动设置。默认情况下，FAT AP以最大功率启动。13FAT AP的认证加密方式的认证加密方式l MAC地址认证地址认证l PSK（Pre-shared key）认证）认证l 802.1x认证认证l WEP（Wired Equivalent Privacy）加密方

8、式）加密方式l WPA（Wi-Fi Protected Access）安全架构）安全架构l WPA2安全架构（又称为安全架构（又称为RSN ）n H3C FAT AP高级特性与配置高级特性与配置n H3C 无线控制器无线控制器FIT AP高级特性与配置高级特性与配置n WLAN综合应用案例综合应用案例目录目录15无线控制器的主要特性无线控制器的主要特性l 无线用户授权无线用户授权l 无线用户漫游无线用户漫游l FIT AP之间的负载均衡之间的负载均衡l 无线控制器的可靠性无线控制器的可靠性l ROGUE（欺诈）探测（欺诈）探测l 认证加密方式认证加密方式16无线用户授权（无线用户授权（1）基于

9、）基于SSID方式方式l 无线控制器可以基于SSID区分用户VLAN属性，从而对用户进行VLAN授权。Radius ServerDHCP Servertrunk无线控制器无线控制器vlan 2vlan 3FIT APSTA STA 步骤二、在无线服务模板中实现步骤二、在无线服务模板中实现SSID与与wlan-ESS接口的绑定接口的绑定wlan service-template 2 clear ssid Office bind wlan-ESS 2 service-template enablewlan service-template 3 clear ssid VIP bind wlan-ES

10、S 3 service-template enable步骤一、在步骤一、在wlan-ESS接口中实现与接口中实现与VLAN的绑定的绑定interface wlan-ESS 2 port access vlan 2interface wlan-ESS 3 port access vlan 3SSID：OfficeSSID：VIPI PI P17无线用户授权（无线用户授权（2）基于）基于AP方式方式l 无线控制器可以基于AP区分用户VLAN属性，从而对用户进行VLAN授权。I PI PRadius ServerDHCP Servertrunk无线控制器无线控制器vlan 2vlan 3FIT-AP

11、-2STA STA FIT-AP-3SSID：H3C步骤一、配置无线服务模板步骤一、配置无线服务模板wlan service-template 1 clear ssid H3C bind wlan-ESS 1 service-template enable步骤二、将无线服务模板与步骤二、将无线服务模板与VLAN绑定应用到不同绑定应用到不同FIT AP上上wlan ap FIT-AP-2 model wa2100 radio 1 service-template 1 vlan-id 2 radio enablewlan ap FIT-AP-3 model wa2100 radio 1 servi

12、ce-template 1 vlan-id 3 radio enableI PI P18无线用户授权（无线用户授权（3）基于用户）基于用户MAC方式方式l 无线控制器可以通过自身设置或配合Radius服务器对无线接入用户进行授权，如对用户下发VLAN属性，实现基于用户MAC的授权。Radius ServerDHCP Servertrunk无线控制器无线控制器vlan 2vlan 3FIT APSTA 2STA 3方式一、在无线控制器自身设置方式一、在无线控制器自身设置mac-vlan mac-address 0000-0000-0002 vlan 2mac-vlan mac-address 0

13、000-0000-0003 vlan 3在在WLAN-ESS接口上使能接口上使能mac-vlan功能功能port link-type hybridport hybrid vlan 1 to 3 untaggedmac-vlan enable方式二、通过方式二、通过Radius Server授权授权STA 2 MAC：0000-0000-0002STA 3 MAC：0000-0000-0003I PI P19无线控制器系统无线用户漫游无线控制器系统无线用户漫游l漫游：用户在移动时，保持它们的会话连接包括IP地址、所属VLAN及所连接的服务均不改变，用户感觉不到网络的变化。l漫游域（Mobilit

14、y Domain）：漫游域是由多个无线控制器和FIT AP组成的支持无线客户端漫游的无线网络系统。Radius ServerDHCP Server192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)无线控制器无线控制器-1:vlan 1vlan 2192.168.1.2路由器路由器无线控制器无线控制器-3:vlan 4192.168.4.2192.168.4.1/24 FIT APFIT APUser 1User 1无线控制器无线控制器-2:vlan 1vlan 3192.168.1.3

15、I PI P20FIT AP之间的负载均衡之间的负载均衡l当不同的AP覆盖同一区域时，可通过负载均衡控制不同AP的接入用户数，以保证密集用户区域的用户带宽性能。l H3C FIT AP的负载均衡有两种方式，即用户数（session）和流量（traffic）。无线控制器无线控制器FIT AP1FIT AP2client 5client 4client 1 AP1 Session:* client 1* client 2* client 3* client 4Total: 4AP2 Session:Total: 0AP1 Session:* client 1* client 2* client 3

16、* client 4Total: 4AP2 Session:* client 5Total: 1client 5接入无线网络后，两个接入无线网络后，两个APAP的用户接入情况：的用户接入情况：client 5接入无线网络前，两个接入无线网络前，两个APAP的用户接入情况：的用户接入情况：I PI P21无线控制器的可靠性控制接入无线控制器的可靠性控制接入AC顺序顺序APAC1AC21、获取AC列表（AC1、AC2）4、与AC1重新建立隧道连接AC1宕机DHCP Server3、与AC2建立隧道连接AC1恢复AC2宕机AC2恢复2、与AC1建立隧道连接l 步骤一：步骤一：AC1上配置上配置AP的

17、静态模板的静态模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAPl 说明说明 AC2不配置优先级，则使用默认优先级4，也可以配置为其他的小于6的优先级AP保持与AC2的隧道连接22无线控制器的可靠性无线控制器的可靠性1+1热备份热备份APAC1AC21、获取AC

18、列表（AC1、AC2）DHCP Server4、与AC2建立备份隧道连接AC1宕机2、与AC1建立主隧道连接l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAPl 说明说明 AC2不配置优先级，则使用默认优

19、先级4，也可以配置为其他的小于6的优先级3、通知AP备份AC为AC2主隧道（负责数据流量转发）备份隧道备份隧道切换为主隧道l 步骤三：步骤三：AC1上配置其上配置其Backup AC为为AC2 AC1 wlan backup-ac AC2-ip addressl 步骤四：步骤四：AC2上配置其上配置其Backup AC为为AC1 AC2 wlan backup-ac AC1-ip address5、通知AP备份AC为AC1定期探测AC1是否恢复正常AC1恢复6、与AC1建立备份隧道连接主隧道（负责数据流量转发）备份隧道AP检测到主隧道23无线控制器的可靠性无线控制器的可靠性1+1快速热备份快速

20、热备份APAC1AC21、获取AC列表（AC1、AC2）DHCP Server4、与AC2建立备份隧道连接AC1宕机2、与AC1建立主隧道连接l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAPl 步骤三：

21、步骤三：AC1上配置其上配置其Backup AC为为AC2 AC1 wlan backup-ac AC2-ip addressl 步骤四：步骤四：AC2上配置其上配置其Backup AC为为AC1 AC2 wlan backup-ac AC1-ip addressl 步骤五：步骤五：AC1上启动主备快速检测上启动主备快速检测 AC1 hot-backup enable AC1 hot-backup vlan vlan-idl 步骤六：步骤六：AC2上启动主备快速检测上启动主备快速检测 AC2 hot-backup enable AC2 hot-backup vlan vlan-idl 说明说明

22、 AC2不配置优先级，则使用默认优先级4，也可以配置为其他的小于6的优先级3、通知AP备份AC为AC2主隧道（负责数据流量转发）备份隧道原主隧道down心跳检测通知AP启用备份隧道备份隧道马上切换为主隧道5、通知AP备份AC为AC1定期探测AC1是否恢复正常24AP1AC1AC2ACNACB（备份（备份AC）1、获取AC列表（AC1、ACB）定期探测AC1是否恢复正常2、与AC1建立连接AC1宕机DHCP Server无线控制器的可靠性无线控制器的可靠性N+1备份备份3、与备份AC建立连接AC1恢复4、与AC1重新建立连接5、断开与备份AC的连接AP21、获取AC列表（AC2、ACB）定期探测

23、AC2是否恢复正常2、与AC2建立连接AC2宕机3、与备份AC建立连接AC2恢复4、与AC2重新建立连接5、断开与备份AC的连接l 当主AC出现问题后，备份AC才提供服务；l 主AC恢复后所有的AP又切回到主AC；l 如果AP开机时，主AC还没有正常工作，AP会连接到备份AC上，此后AP会不断尝试和主AC进行连接，当主AC正常工作以后，AP同样会将断开和备份AC的连接而连接到主AC上。25l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3cFITAP1 AC1-wla

24、n-ap-ap1 priority level 7l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap2 model WA2100 AC2-wlan-ap-ap2 serial-id H3cFITAP2 AC2-wlan-ap-ap2 priority level 7l 说明说明 主AC配置该控制器需要管理的AP信息，而且作为这些AP的首选控制器； 备份AC配置所有控制器需要管理的AP，并且根据AP指定对应的首选控制器; AP1首选接入AC1； AP2首选接入AC2； AP3首选接入AC3；ACB作为AC1、AC2、AC3的备份。l 步骤三：步骤三：AC

25、3上配置上配置AP的静态模板的静态模板 AC3 wlan ap ap3 model WA2100 AC3-wlan-ap-ap3 serial-id H3cFITAP3 AC3-wlan-ap-ap3 priority level 7l 步骤四：步骤四：ACB上配置上配置AP的静态模板的静态模板 ACB wlan ap ap1 model WA2100 ACB-wlan-ap-ap1 serial-id H3cFITAP1 ACB-wlan-ap-ap1 backup-ac AC1-ip address ACB wlan ap ap2 model WA2100 ACB-wlan-ap-ap2

26、serial-id H3cFITAP2 ACB-wlan-ap-ap2 backup-ac AC2-ip address ACB wlan ap ap3 model WA2100 ACB-wlan-ap-ap3 serial-id H3cFITAP3 ACB-wlan-ap-ap3 backup-ac AC3-ip address无线控制器的可靠性无线控制器的可靠性N+1备份（续）备份（续）26无线控制器系统无线控制器系统 ROGUE(欺诈欺诈)探测探测lRogue AP是指未经授权在网络中运行的AP，它及其用户造成了对网络安全的威胁。l无线控制器的Rogue AP检测功能用来检测Rogue设

27、备并对它们采取反制措施。lAP可以工作在以下三种模式下:Normal模式Monitor模式Hybrid模式无线控制器无线控制器POE SwitchFIT APFIT AP第三方第三方AP27无线控制器系统认证加密方式无线控制器系统认证加密方式l支持通过支持通过Radius服务器或者无线控制器本地数据库认证服务器或者无线控制器本地数据库认证无线用户，支持的认证方式如下无线用户，支持的认证方式如下802.1X认证MAC认证Portal认证PPPoE认证l无线控制器支持的加密方式如下无线控制器支持的加密方式如下WEP（Wired Equivalent Privacy）加密方式WPA（Wi-Fi Protected Access）安全架构WPA2安全架构WAPI安全架构n H3C FAT AP高级特性与配置高级特性与配置n H3C 无线控制器无线控制器FIT AP高级特性与配置高级特性与配置n WLAN综合应用案例综合应用案例目录目录29无线控制器无线控制器+FIT AP集中式企业内部部署方式集中式企业内部部署方式无线控制器无线控制器无线控制器无线控制器认证服务器认证服务器无线网管无线网管公司骨干公司骨干汇聚交换机汇聚交换机有线客户端有线客户端有线客户端有线客户端PoE交换机交换机PoE交换机交换机无线接入点无线接入点无线接入点无