第6章H3C无线产品高级特性与配置_V35

第六章H3C无线产品高级特性与配置ISSUE3.5日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播随着WLAN网络覆盖范围及应用场景的不断扩大，WLAN设备的功能与特性也越来越多样化，以满足日益丰富的业务需求。本章在H3CWLAN产品基本配置操作的基础上，主要讲解H3CWLAN系列产品的高级特性及相关配置。引入掌握H3CFATAP产品高级特性及配置掌握H3C无线控制器+FITAP产品高级特性及配置掌握H3CWLAN产品的典型组网应用课程目标学习完本课程，您应该能够：H3CFATAP高级特性与配置H3C无线控制器＋FITAP高级特性与配置WLAN综合应用案例目录的主要特性无线桥接功能上行链路完整性检测功能无线访问控制功能无线用户限速功能最大接入用户数量限制射频管理功能认证加密方式无线桥接功能无线桥接是FATAP的一个特殊功能，通过此功能可以实现AP与AP之间的无线通信。802.11协议对无线桥接功能的具体实现没作规定，这为各厂商无线桥接功能的实现带来了灵活的余地，但各厂商产品之间的互通基本没有可能性。RadiusServerL2交换机FATAPFATAP无线客户端无线客户端IP网络FATAP无线桥接功能配置方式PeerMAC方式FATAP支持上行链路的检测功能，并且根据上行链路的状态确定是否提供WLAN接入服务WLANuplink-interfaceEthernet1/0/1信号消失二层隔离功能l2fwwlan-client-isolationenable黑白名单功能static-blacklistmac-addressmac-addwhitelistmac-addressmac-addACL和防火墙功能无线客户端IP的无线用户限速功能静态限速（同一SSID下指定每用户带宽上限）动态限速（同一SSID下用户共享设定带宽）的最大接入用户数量限制（1）限制AP的最大接入用户数量例如：限制AP的最大接入用户数量为20，当此AP上已接入20个客户端时，AP会拒绝第21个客户端的接入。RadiusServerSTA1L2交换机FATAPtrunk…STA20STA21IP的最大接入用户数量限制（2）限制某SSID在每AP上的最大接入用户数量例如：限制SSID”H3C”在每个AP最大接入用户数量为15，当一个AP上已有15个客户端接入SSID“H3C”时，AP会拒绝第16个客户端的接入此SSID。RadiusServerSTA1L2交换机FATAPtrunk…STA15STA16SSID：H3CIP的射频管理功能信道自动选择：FATAP上电后会扫描一次周围的射频环境，通过比较自动选择干扰小，噪声低的信道为当前工作信道。手动设置：可以手动设定FATAP当前工作信道。功率FATAP功率只能通过手动设置。默认情况下，FATAP以最大功率启动。的认证加密方式MAC地址认证PSK（Pre-sharedkey）认证802.1x认证WEP（WiredEquivalentPrivacy）加密方式WPA（Wi-FiProtectedAccess）安全架构WPA2安全架构（又称为RSN）H3CFATAP高级特性与配置H3C无线控制器＋FITAP高级特性与配置WLAN综合应用案例目录无线控制器的主要特性无线用户授权无线用户漫游FITAP之间的负载均衡无线控制器的可靠性ROGUE（欺诈）探测认证加密方式无线用户授权（1）－基于SSID方式无线控制器可以基于SSID区分用户VLAN属性，从而对用户进行VLAN授权。RadiusServerDHCPServertrunk无线控制器vlan2vlan3FITAPSTASTA步骤二、在无线服务模板中实现SSID与wlan-ESS接口的绑定wlanservice-template2clearssidOfficebindwlan-ESS2service-templateenablewlanservice-template3clearssidVIPbindwlan-ESS3service-templateenable步骤一、在wlan-ESS接口中实现与VLAN的绑定interfacewlan-ESS2portaccessvlan2interfacewlan-ESS3portaccessvlan3SSID：OfficeSSID：VIPIP无线用户授权（2）－基于AP方式无线控制器可以基于AP区分用户VLAN属性，从而对用户进行VLAN授权。IPRadiusServerDHCPServertrunk无线控制器vlan2vlan3FIT-AP-2STASTAFIT-AP-3SSID：H3C步骤一、配置无线服务模板wlanservice-template1clearssidH3Cbindwlan-ESS1service-templateenable步骤二、将无线服务模板与VLAN绑定应用到不同FITAP上wlanapFIT-AP-2modelwa2100radio1service-template1vlan-id2radioenablewlanapFIT-AP-3modelwa2100radio1service-template1vlan-id3radioenableIP无线用户授权（3）－基于用户MAC方式无线控制器可以通过自身设置或配合Radius服务器对无线接入用户进行授权，如对用户下发VLAN属性，实现基于用户MAC的授权。RadiusServerDHCPServertrunk无线控制器vlan2vlan3FITAPSTA2STA3方式一、在无线控制器自身设置mac-vlanmac-address0000-0000-0002vlan2mac-vlanmac-address0000-0000-0003vlan3在WLAN-ESS接口上使能mac-vlan功能portlink-typehybridporthybridvlan1to3untaggedmac-vlanenable方式二、通过RadiusServer授权STA2MAC：0000-0000-0002STA3MAC：0000-0000-0003IP无线控制器系统－无线用户漫游漫游：用户在移动时，保持它们的会话连接包括IP地址、所属VLAN及所连接的服务均不改变，用户感觉不到网络的变化。漫游域（MobilityDomain）：漫游域是由多个无线控制器和FITAP组成的支持无线客户端漫游的无线网络系统。RadiusServerDHCPServer192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)无线控制器-1:vlan1vlan2192.168.1.2路由器无线控制器-3:vlan4192.168.4.2192.168.4.1/24FITAPFITAPUser1User1无线控制器-2:vlan1vlan3192.168.1.3IP之间的负载均衡当不同的AP覆盖同一区域时，可通过负载均衡控制不同AP的接入用户数，以保证密集用户区域的用户带宽性能。H3CFITAP的负载均衡有两种方式，即用户数（session）和流量（traffic）。无线控制器FITAP1FITAP2client5client4client1····AP1Session:*client1*client2*client3*client4Total:4AP2Session:Total:0AP1Session:*client1*client2*client3*client4Total:4AP2Session:*client5Total:1client5接入无线网络后，两个AP的用户接入情况：client5接入无线网络前，两个AP的用户接入情况：IP无线控制器的可靠性－控制接入AC顺序APAC1AC21、获取AC列表（AC1、AC2）4、与AC1重新建立隧道连接AC1宕机DHCPServer3、与AC2建立隧道连接AC1恢复AC2宕机AC2恢复2、与AC1建立隧道连接步骤一：AC1上配置AP的静态模板[AC1]wlanapap1modelWA2100[AC1-wlan-ap-ap1]serial-idH3CFITAP[AC1-wlan-ap-ap1]prioritylevel6步骤二：AC2上配置AP的静态模板[AC2]wlanapap1modelWA2100[AC2-wlan-ap-ap1]serial-idH3CFITAP说明AC2不配置优先级，则使用默认优先级4，也可以配置为其他的小于6的优先级AP保持与AC2的隧道连接无线控制器的可靠性－1+1热备份APAC1AC21、获取AC列表（AC1、AC2）DHCPServer4、与AC2建立备份隧道连接AC1宕机2、与AC1建立主隧道连接步骤一：AC1上配置AP的静态模板[AC1]wlanapap1modelWA2100[AC1-wlan-ap-ap1]serial-idH3CFITAP[AC1-wlan-ap-ap1]prioritylevel6步骤二：AC2上配置AP的静态模板[AC2]wlanapap1modelWA2100[AC2-wlan-ap-ap1]serial-idH3CFITAP说明AC2不配置优先级，则使用默认优先级4，也可以配置为其他的小于6的优先级3、通知AP备份AC为AC2主隧道（负责数据流量转发）备份隧道备份隧道切换为主隧道步骤三：AC1上配置其BackupAC为AC2[AC1]wlanbackup-acAC2-ipaddress步骤四：AC2上配置其BackupAC为AC1[AC2]wlanbackup-acAC1-ipaddress5、通知AP备份AC为AC1定期探测AC1是否恢复正常AC1恢复6、与AC1建立备份隧道连接主隧道（负责数据流量转发）备份隧道AP检测到主隧道down无线控制器的可靠性－1+1快速热备份APAC1AC21、获取AC列表（AC1、AC2）DHCPServer4、与AC2建立备份隧道连接AC1宕机2、与AC1建立主隧道连接步骤一：AC1上配置AP的静态模板[AC1]wlanapap1modelWA2100[AC1-wlan-ap-ap1]serial-idH3CFITAP[AC1-wlan-ap-ap1]prioritylevel6步骤二：AC2上配置AP的静态模板[AC2]wlanapap1modelWA2100[AC2-wlan-ap-ap1]serial-idH3CFITAP步骤三：AC1上配置其BackupAC为AC2[AC1]wlanbackup-acAC2-ipaddress步骤四：AC2上配置其BackupAC为AC1[AC2]wlanbackup-acAC1