配置WLAN服務集
管理員必須給AP下發業務參數,AP才能為無線用戶提供正常網絡接入服務。服務集就是這樣的一個業務參數的集合,服務集內可配置SSID、SSID是否隱藏、業務VLAN、最大接入用戶數和STA的關聯老化時間等參數。
通過手工配置服務集,並將該服務集綁定到AP射頻上,則服務集內所有的業務參數都會被應用到VAP上,AP將會以這些業務參數向用戶提供差異化的無線服務。
操作步驟
1、進入系統視圖
system-view
2、進入WLAN視圖
wlan
3、創建服務集。
service-set { name service-set-name | id service-set-id }
創建服務集時,必須輸入服務集的名稱。
4、配置服務集必配參數:
a、 配置SSID
ssid ssid
缺省情況下,服務集下沒有配置SSID。
b、配置業務VLAN
service-vlan vlan-id
缺省情況下,業務VLAN ID為1。該處的vlan就是終端上線后使用的vlan。
c、配置轉發模式
forward-mode {tunnel | direct}
以下參數都具有默認值,可作為可選配置
c、配置服務集的最大接入用戶數目
max-user-number max-user-number
缺省情況下,服務集最大接入用戶數目為64,32-128.
d、配置無線用戶的關聯老化時間
association-timeout association-timeout
缺省情況下,老化時間為5分鍾。
e、配置Beacon幀中隱藏SSID
ssid-hide
缺省情況下,Beacon幀中沒有隱藏SSID。 用戶在創建無線網絡時,為了保護無線網絡的安全,可以對無線網絡名稱進行隱藏設置。這樣,只有知道網絡名稱的無線用戶才能連接到這個無線網絡中。
f、配置AP離線管理VAP功能
offline-management enable
缺省情況下,AP離線管理VAP功能未使能。 由於AP設備通常安裝在比較隱蔽或較高的位置,當AP出現異常時,現場維護人員定位故障是需要通過Console或網線直接連接到AP,很不方便。每個AP僅支持一個管理VAP,當服務集下使能AP離線管理VAP功能並被綁定到AP射頻上時,AP創建新的管理VAP並刪除名為hw_manage的VAP。維護人員在現場將維護設備的IP地址配置成169.254.1.x/16(169.254.1.1除外)的IP地址后,關聯該無線網絡后,可以連接上AP進行故障處理。
說明:
當且僅當AP模板和服務集視圖下都執行命令offline-management enable后,AP離線管理VAP功能才能使能。
離線管理VAP只能使用2.4G射頻。如果AP的2.4G射頻被WDS網橋或Mesh鏈路占用,則無法使用離線管理VAP。
使用離線管理VAP請確保AP設備已經開啟了Telnet服務。
離線管理VAP只支持WEP或WPA/WPA2 PSK方式的安全策略。
g、使能802.1X認證報文或HTTP認證報文或WAPI認證報文的隧道轉發功能
tunnel-forward protocol { all | dot1x | http | wapi | mdns }
缺省情況下,802.1X認證報文、HTTP認證報文、WAPI認證報文和MDNS報文的隧道轉發功能使能。
采用802.1X、Portal認證或WAPI認證時,如果數據轉發模式為直接轉發模式,則認證報文不能由AP通過CAPWAP隧道發送給AC,AC不能集中認證。
通過使能802.1X認證報文、HTTP認證報文或WAPI認證報文的隧道轉發功能,可以將認證報文進行CAPWAP報文封裝,實現直接轉發模式下的AC集中認證功能。
h、使能STA地址學習功能
learn client ip-address enable
缺省情況下,STA地址學習功能處於使能狀態。 使能STA地址學習功能后,如果STA和AP進行關聯並成功獲取了IP地址,AP都會主動向AC上報與該STA相關的IP信息,用於維護STA的MAC地址和IP地址對應關系表項。
i、使能STA地址嚴格DHCP獲取功能
learn client ipv4-address dhcp-strict
缺省情況下,STA地址嚴格DHCP獲取功能處於未使能狀態。使能STA地址嚴格DHCP獲取功能后,STA與AP進行關聯,如果STA是通過DHCP協議獲取的IP地址,AP會主動向AC上報與該STA相關的IP信息,用於維護STA的MAC地址和IP地址對應關系表項;如果STA的IP地址是靜態IP地址,STA會被加入到AP的動態黑名單中,黑名單表項老化前,STA都無法關聯到AP上。
j、使能動態ARP檢測功能
dai enable
缺省情況下,動態ARP檢測功能處於未使能狀態。 配置動態ARP檢測功能可以防御中間人攻擊,避免合法用戶的數據被中間人竊取,還可以防止攻擊者對AP的CPU形成沖擊,造成AP功能無法正常運行甚至AP癱瘓。
k、使能AP的IPSG功能
ip source guard enable
缺省情況下,AP的IPSG功能處於未使能狀態。 配置IPSG功能,對接收到的IP報文進行綁定表匹配檢查,可以有效的防止基於源地址欺騙的網絡攻擊行為。
說明:
只有同時配置了learn client ip-address enable和ip source guard enable命令,IPSG功能才會生效。
開啟STA地址學習功能,如果STA掉線后重新上線,可能無法在AC上查看STA的IP地址,配置IPSG功能可解決此問題。
l、去使能AP的DHCP信任功能
undo dhcp trust port
缺省情況下,服務集視圖下AP的DHCP信任功能處於未使能狀態。 如果用戶側存在私自架設的DHCP服務器,則可能導致STA獲取錯誤的IP地址和網絡配置參數,無法正常通信。在服務集視圖下執行命令undo dhcp trust port后,AP發現從用戶側收到的報文中存在私設的DHCP服務器發送的DHCP OFFER/ACK/NAK等報文后,丟棄報文並向AC上報非法服務器的IP地址等信息。
m、去使能AP的ND信任功能
undo nd trust port
缺省情況下,服務集視圖下AP的ND信任功能處於未使能狀態。 如果用戶側存在私自架設的ND服務器,則可能導致STA獲取錯誤的IPv6地址和網絡配置參數,無法正常通信。在服務集視圖下執行命令undo nd trust port后,AP發現從用戶側收到的報文中存在私設的ND服務器發送的ND OFFER/ACK/NAK等報文后,丟棄報文並向AC上報非法服務器的IPv6地址等信息。
n、配置在STA發送的DHCP報文中添加Option82選項
dhcp option82 insert enable
dhcp option82 remote-id format { ap-mac | ap-mac-ssid }
缺省情況下,未使能在STA發送的DHCP報文中添加Option82選項功能。 STA上線后通過DHCP方式獲取IP地址,當STA發送的DHCP請求報文到達AP時,AP通過在DHCP請求報文中添加Option82選項,可以將AP的MAC地址或SSID發送給DHCP Server,從而使得DHCP Server能夠根據Option82選項的內容定位出STA是從哪個AP上線。缺省情況下,STA發送的DHCP報文中添加的Option82的remote-id子選項的格式為ap-mac。
o、打開指定的VAP
service-mode enable
缺省情況下,VAP處於打開狀態。當我們需要關閉一個服務集就可以使用該命令。
p、組播轉單播功能
igmp-mode snooping
mld-mode snooping
缺省情況下,IPv4報文組播轉單播功能處於關閉狀態。 開啟組播轉單播功能后,AP通過偵聽用戶上報的組播報告報文和離開報文來維護組播轉單播表項。當AP向客戶端發送組播報文時,根據組播轉單播表項,將組播數據報文轉換為單播數據報文,從而提高組播數據流傳輸效率。
q、配置服務集的類型
type { ac-management | ap-management | service }
管理型AC,管理型AP,服務集類型缺省。
undo type
恢復默認
5、(必選)服務集下綁定安全模板
security-profile { name profile-name | id profile-id }
缺省情況下,服務集沒有綁定安全模板。
6、(必選)服務集下綁定流量模板
traffic-profile { name profile-name | id profile-id }
缺省情況下,服務集沒有綁定流量模板。
7、(必選)服務集下綁定WLAN-ESS接口
wlan-ess wlan-ess-number
缺省情況下,服務集下沒有綁定WLAN-ESS接口。