- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-WLAN高級功能配置
本章節下載: 09-WLAN高級功能配置 (982.48 KB)
在實際的無線組網中,經常會出現信號幹擾或報文衝突等問題,而這一類的問題通常很難通過無線設備上的調試信息或顯示信息進行定位。為了便於管理員能夠在遠程快速定位此類問題,可以將AP作為抓包工具,用於偵聽、捕獲和記錄無線報文。捕獲到的無線報文信息會保存在文件類型為“.dmp”的記錄文件中,供管理員參考及定位問題使用。
如圖1-1所示,通過開啟Capture AP上的無線捕獲功能,可以偵聽網絡中的無線報文,管理員可以將記錄文件下載到PC上,然後對得到的結果進行進一步分析。
· 基於射頻的無線捕獲:在AP的Radio上開啟此功能,該Radio能夠在工作信道上捕獲其能監聽到的所有報文(包括控製報文、管理報文和數據報文)。
· 基於客戶端的無線捕獲:該方式主要用於捕獲指定客戶端發送和接收到的與客戶端上線或狀態更新相關的管理、控製與數據報文。
圖1-1 無線捕獲組網圖
· 以自動發現方式關聯的AP不支持無線捕獲功能。
· 在啟動捕獲操作前,AP必須處於Run狀態。並且隻有在手工指定工作信道的射頻上才允許啟動捕獲。
· 在捕獲過程中,不允許通過命令work-mode monitor或device-detection enable修改AP的工作模式。
· 對於需要開啟無線捕獲的射頻,建議不要在該射頻上開啟其它業務。因此在開啟無線捕獲前,建議關閉無線服務、Mesh服務等業務,同時在無線捕獲過程中,也不要開啟上述業務。
· 創建二層ACL,設置ACL規則來匹配需要捕獲的客戶端的MAC地址,匹配動作應該為permit。隻支持源MAC地址的匹配,不支持目地MAC匹配。有關ACL的詳細配置介紹,請參見“ACL和QoS配置指導”中的“ACL”。需要注意的是,目前隻支持在ACL規則中配置源MAC地址來匹配指定的客戶端。
|
配置AP捕獲報文的上限數量 |
缺省情況下,AP捕獲報文的上限數量為10000 |
||
|
配置AP捕獲報文的記錄文件名 |
缺省情況下,AP捕獲報文的文件名為“CaptureRecord” · 記錄文件名的文件類型為“.dmp”,不可以配置 |
||
|
在捕獲過程中,若處於捕獲狀態的射頻被關閉,則捕獲操作會自動停止,並在設備的默認存儲中將已捕獲到的報文保存在指定的記錄文件中。設備的默認存儲與設備的型號有關,請以設備的實際情況為準 |
|||
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後無線捕獲的運行情況,通過查看顯示信息驗證配置的效果。
表1-2 WLAN捕獲顯示與維護
|
顯示進行無線捕獲的AP的相關信息 |
display wlan capture [ | { begin | exclude | include } regular-expression ] |
在如下圖所示的無線環境中有時會出現信號幹擾或報文衝突等問題,為了方便管理員對問題進行定位,需要在一個AP上開啟無線捕獲功能。捕獲到的無線報文信息會保存在文件類型為“.dmp”的記錄文件中,供管理員參考及定位問題使用。
在啟動捕獲操作前,AP必須為普通模式並處於Run狀態,具體配置步驟可參見“WLAN配置指導”中的“WLAN接入”。並且,隻有手工配置工作信道的射頻才允許啟動捕獲。本例中手工指定用於捕獲的工作信道為11。
在AC上完成無線服務的相關配置,具體配置步驟可參見“WLAN配置指導”中的“WLAN接入”,此處不再重複。
# 在AP(名為“captureap”)的Radio 2上開啟基於射頻的無線捕獲功能。
[AC] wlan capture start ap captureap radio 2
# 顯示正在進行無線捕獲的AP的相關信息,可以看到該AP上的Radio 2正在捕獲報文。
WLAN Capture
--------------------------------------------------------------------------------
AP Name : captureap
Radio : 2
Radio Mode : 802.11g
Channel : 11
Capture Limit : 10000
File Name : CaptureRecord.dmp
Status : Capturing
--------------------------------------------------------------------------------
在如下圖所示的無線環境中開啟基於客戶端的無線捕獲功能,跟蹤兩個指定客戶端,並將捕獲的報文信息保存在文件類型為“.dmp”的記錄文件中,供管理員參考及定位問題使用。
在AC上完成無線服務的相關配置,具體配置步驟可參見“WLAN配置指導”中的“WLAN接入”,此處不再重複。
[AC] acl number 4400
[AC-acl-ethernetframe-4400] rule permit source-mac 0014-6c8a-43ff FFFF-FFFF-FFFF
[AC-acl-ethernetframe-4400] rule permit source-mac 0040-96b3-8a77 FFFF-FFFF-FFFF
[AC-acl-ethernetframe-4400] quit
[AC] wlan capture start client acl 4400
# 顯示基於客戶端的無線捕獲功能。
WLAN Capture
--------------------------------------------------------------------------------
Capture Type : Client
ACL : 4400
Capture Limit : 10000
File Name : CaptureRecord.dmp
Status : Capturing
--------------------------------------------------------------------------------
通常情況下,可以通過終端連接到AP之後,對FIT AP進行配置,但這種逐台配置FIT AP的操作方式不利於大規模的FIT AP部署以及集中化管理。AP預配置提供了一種在AC上對FIT AP的基本網絡參數進行配置,並將配置信息下發至FIT AP的方法。下發到FIT AP的配置會在AP上保存為私有配置文件,當FIT AP重啟時,私有配置文件生效。需要注意的是,AC隻能將配置信息發送給與它建立隧道連接(即當前處於Run狀態)的FIT AP。
對於已經和AC建立連接的AP,在AC上更改AP預配置信息後,需要將AP預配置信息保存到AP的私有配置文件中,再重啟AP,更改後的配置信息才會生效。
表2-1 配置AP網絡參數
|
配置AC的全局IP地址,使所有AP能夠靜態發現AC |
wlan ap-provision ac { host-name host-name | ip ip-address | ipv6 ipv6-address } |
缺省情況下,沒有配置AC的全局IP地址 |
|
配置AP使用的域名服務器的全局IP地址 |
wlan ap-provision dns server { ip ip-address | ipv6 ipv6-address } |
缺省情況下,沒有配置AP使用的域名服務器的全局IP地址 |
|
配置AP使用的域名服務器的全局域名後綴 |
缺省情況下,沒有配置AP使用的域名服務器的全局域名後綴 |
|
|
設置AP名稱和型號名稱,並進入AP模板視圖 |
隻有在AP模板被創建時才定義型號名稱 |
|
|
創建並進入AP配置視圖 |
· 創建AP配置視圖後,設備會自動配置vlan untagged 1命令 · 該命令同時開啟AP預配置功能 · 以自動發現方式關聯的AP,不能進行AP預配置信息的配置 |
|
|
配置MESH零配置掃描時AP使用的初始國家碼 |
initial-country-code code |
可選 缺省情況下,沒有配置MESH零配置掃描時AP使用的初始國家碼 |
|
配置AC的IP地址,使指定AP能夠靜態發現AC |
ac { host-name host-name | ip ip-address | ipv6 ipv6-address } |
缺省情況下,沒有配置AC的IP地址 AC的IPv6地址不能配置為鏈路本地地址 wlan ap-provision ac命令對所有AP生效,AP配置視圖下的ac命令隻對指定的AP生效,如果都進行了配置,則優先采用AP配置視圖下的配置 |
|
配置AP使用的域名服務器的IP地址 |
缺省情況下,沒有配置AP使用的域名服務器的IP地址 wlan ap-provision dns server命令對所有AP生效,AP配置視圖下的dns server命令隻對指定的AP生效,如果都進行了配置,則優先采用AP配置視圖下的配置 |
|
|
配置AP使用的域名服務器的域名後綴 |
缺省情況下,沒有配置AP使用的域名服務器的域名後綴 wlan ap-provision dns domain命令對所有AP生效,AP配置視圖下的dns domain命令隻對指定的AP生效,如果都進行了配置,則優先采用AP配置視圖下的配置 |
|
|
配置AP上二層以太網接口的缺省VLAN ID |
缺省情況下,AP上二層以太網接口的缺省VLAN ID為1 |
|
|
在AP二層以太網接口上配置需要攜帶Tag的VLAN列表 |
vlan tagged vlan-id-list |
缺省情況下,AP的二層以太網接口上不存在Tagged的VLAN |
|
在AP二層以太網接口上配置不需要攜帶Tag的VLAN列表 |
vlan untagged vlan-id-list |
缺省情況下,AP的二層以太網接口上的Untagged VLAN為1 |
|
配置AP的管理VLAN接口的IP地址 |
缺省情況下,沒有配置AP的管理VLAN接口的IP地址 |
|
|
配置AP的管理VLAN接口的IPv6地址 |
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } |
缺省情況下,沒有配置AP的管理VLAN接口的IPv6地址 目前,AP的管理VLAN隻能配置為VLAN1 |
|
配置AP的網關地址 |
缺省情況下,沒有配置AP的網關地址 |
|
|
配置AP使用IPsec密鑰加密控製隧道 |
tunnel encryption ipsec pre-shared-key { cipher | simple } key |
缺省情況下,AP不對控製隧道進行加密 此命令用於配置“IPsec加密AC與AP間隧道”功能,關於IPsec加密AC與AP間隧道的詳細配置步驟請參見“WLAN配置指導”中的“WLAN接入” |
|
配置AP使用IPsec密鑰加密數據隧道 |
缺省情況下,AP不對數據隧道進行加密 此命令用於配置“IPsec加密AC與AP間隧道”功能,關於IPsec加密AC與AP間隧道的詳細配置步驟請參見“WLAN配置指導”中的“WLAN接入” |
|
|
將AP預配置信息同步到指定AP的私有配置文件中 |
該命令僅對當前處於Run狀態的AP生效 關於該命令的使用注意事項請參見“WLAN命令參考”中的“WLAN高級功能” |
|
|
退出AP配置視圖 |
quit |
- |
|
配置自動恢複空配置啟動功能 |
provision auto-recovery enable |
可選 缺省情況下,自動恢複空配置啟動功能處於開啟狀態 |
|
刪除指定AP上的私有配置文件 |
該命令僅對當前處於Run狀態的AP生效 |
可以在任意視圖執行save wlan ap provision和reset wlan ap provision命令。
隨著WLAN的應用部署越來越廣泛,對於AP的接入安全性也越來越高。由於AP是直接接收無線射頻信號的,一般部署在外麵,因此存在有仿冒的AP直接接入的可能。為了防止Rogue AP接入網絡,在AP的接入設備上開啟802.1X認證,隻有合法的AP才能接入到AC,因此要求AP需要具有802.1X的客戶端功能。
在AP的接入設備上開啟802.1X認證之前,需要確保AC和AP建立隧道連接,在AC上通過預配置命令將AP作為802.1X客戶端認證所需的配置信息下發保存到AP的私有配置文件中,然後在AP的接入設備上開啟802.1X認證,再重啟AP,讓AP進行認證接入。
表2-2 配置AP支持802.1X客戶端認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置AP名稱和型號名稱,並進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
創建並進入AP配置視圖 |
provision |
- · 創建AP配置視圖後,設備會自動配置vlan untagged 1命令 · 該命令同時開啟AP預配置功能 · 以自動發現方式關聯的AP,不能進行AP預配置信息的配置 |
|
配置AP作為802.1X客戶端的認證用戶名 |
dot1x supplicant username username |
必選 缺省情況下,沒有配置AP作為802.1X客戶端的認證用戶名 |
|
配置AP作為802.1X客戶端的認證密碼 |
dot1x supplicant password { simple | cipher } |
必選 缺省情況下,沒有配置AP作為802.1X客戶端的認證密碼 |
|
配置AP作為802.1X客戶端時采用的認證方法 |
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 } |
可選 缺省情況下,沒有配置AP作為802.1X客戶端時采用的認證方法
開啟AP以太網接口下802.1X客戶端功能後,默認采用MD5方式進行認證。 |
|
配置開啟AP以太網接口下802.1X客戶端功能 |
dot1x supplicant enable |
必選 缺省情況下,沒有在AP的以太接口下開啟的802.1X客戶端功能 |
在AC 1上設置AP的預配置信息,使AC 1通過隧道將配置信息下發至AP 1和AP 2。下發的配置信息如下:
· AP 1和AP 2的IP地址分別為1.1.1.1/24和1.1.1.2/24。
· AP 1和AP 2能夠靜態發現AC 2(IP地址為2.2.2.1/24)。
· AP 1和AP 2作為802.1X客戶端認證時的用戶名為test,密碼為test,認證方法為peap-mschapv2,並開啟AP 1和AP 2的以太網接口下的802.1X客戶端功能。
圖2-1 AP預配置組網圖
AC 1隻能將配置信息發送給與它建立了隧道連接(即當前處於運行狀態)的FIT AP,所以在AC 1上配置AP預選配置信息前,需要使AP 1、AP 2和AC 1之間已經建立隧道,確保AP 1和AP 2處於運行狀態,同時保證AC2與1.1.1.0/24網段路由可達。
(1) 配置Switch
# 在Switch上開啟802.1X功能,具體配置請參見交換機的相關手冊。
(2) 配置AC 1
# 配置AP 1和AP 2能夠靜態發現IP地址為2.2.2.1的AC 2。
[AC1] wlan ap-provision ac ip 2.2.2.1
# 進入AP 1的配置視圖,配置AP 1的管理VLAN接口1的IP地址為1.1.1.1。
[AC1] wlan ap ap1 model WA3628i-AGN
[AC1-wlan-ap-ap1] provision
[AC1-wlan-ap-ap1-prvs] ip address 1.1.1.1 24
# 配置AP1作為802.1X客戶端認證時的用戶名為test,密碼為test,認證方法為peap-mschapv2,並開啟AP 1的以太網接口下的802.1X客戶端功能。
[AC1-wlan-ap-ap1-prvs] dot1x supplicant username test
[AC1-wlan-ap-ap1-prvs] dot1x supplicant password simple test
[AC1-wlan-ap-ap1-prvs] dot1x supplicant eap-method peap-mschapv2
[AC1-wlan-ap-ap1-prvs] dot1x supplicant enable
[AC1-wlan-ap-ap1-prvs] quit
[AC1-wlan-ap-ap1] quit
# 進入AP 2的配置視圖,配置AP 2的管理VLAN接口1的IP地址為1.1.1.2。
[AC1] wlan ap ap2 model WA3628i-AGN
[AC1-wlan-ap-ap2] provision
[AC1-wlan-ap-ap2-prvs] ip address 1.1.1.2 24
# 配置AP2作為802.1X客戶端認證時的用戶名為test,密碼為test,認證方法為peap-mschapv2,並開啟AP 2的以太網接口下的802.1X客戶端功能。
[AC1-wlan-ap-ap2-prvs] dot1x supplicant username test
[AC1-wlan-ap-ap2-prvs] dot1x supplicant password simple test
[AC1-wlan-ap-ap2-prvs] dot1x supplicant eap-method peap-mschapv2
[AC1-wlan-ap-ap2-prvs] dot1x supplicant enable
# 將AP配置視圖下的配置信息保存到AP 1和AP 2的私有配置文件中。
[AC1-wlan-ap-ap2-prvs] save wlan ap provision all
# 手動重啟AP 1和AP 2,使下發的配置信息生效。
<AC1> reset wlan ap name ap2
# 創建WLAN ESS接口。
[AC2] interface wlan-ess 1
[AC2-WLAN-ESS1] quit
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid service
[AC21-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 創建AP模板,名稱為ap1,型號名稱選擇WA3628i-AGN,該AP的序列號為210235A29G007C000020。
[AC2] wlan ap ap1 model WA3628i-AGN
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] description L3office
# 配置2.4G射頻,指定工作信道為11。
[AC2-wlan-ap-ap1] radio 2 type dot11gn
[AC2-wlan-ap-ap1-radio-2] channel 11
[AC2-wlan-ap-ap1-radio-2] service-template 1
[AC2-wlan-ap-ap1-radio-2] radio enable
[AC2-wlan-ap-ap1-radio-2] return
# 創建AP模板,名稱為ap2,型號名稱選擇WA3628i-AGN,該AP的序列號為210235A29G007C000021。
<AC2>system-view
[AC2] wlan ap ap2 model WA3628i-AGN
[AC2-wlan-ap-ap2] serial-id 210235A29G007C000021
[AC2-wlan-ap-ap2] description L3office
# 配置2.4G射頻,指定工作信道為11。
[AC2-wlan-ap-ap2] radio 2 type dot11gn
[AC2-wlan-ap-ap2-radio-2] channel 11
[AC2-wlan-ap-ap2-radio-2] service-template 1
[AC2-wlan-ap-ap2-radio-2] radio enable
預配置下發成功後, AP 1和AP 2重啟後,認證成功,可以和AC 2建立隧道連接。
為了避免過多的客戶端集中於少量的VLAN內,可以使客戶端通過應用了VLAN池的服務模板上線。VLAN池是若幹個VLAN的集合,VLAN池會根據客戶端上線的次序,依次將VLAN ID分配給上線的客戶端,使客戶端均勻分布在各VLAN。
目前VLAN池隻能為無線客戶端分配VLAN。
|
創建VLAN池,並進入VLAN池視圖 |
||
|
配置VLAN池中的VLAN列表 |
缺省情況下,VLAN池中沒有VLAN列表 |
|
|
開啟VLAN池靜態分配功能 |
work-mode static |
可選 缺省情況下,VLAN池靜態分配功能處於關閉狀態 |
|
退出VLAN池視圖 |
||
|
進入AP模板視圖 |
隻有在AP模板被創建時才定義型號名稱 |
|
|
radio radio-number [ type { dot11a | dot11an | dot11b | dot11g | dot11gn } ] |
||
|
將VLAN池綁定到指定服務模板 |
service-template service-template-number vlan-pool vlan-pool-name |
將VLAN池綁定到指定服務模板後,需要在與該服務模板綁定的WLAN-ESS接口下配置mac-vlan enable,且該WLAN-ESS接口必須為hybrid類型 該命令的詳細解釋請參見 “WLAN命令參考”中的“WLAN接入” |
· 開啟VLAN池靜態分配功能後,VLAN池將VLAN ID分配給客戶端後,如果該客戶端下線,並在再次通過同一SSID上線,那麼VLAN池不會再次給該客戶端分配VLAN,客戶端會直接繼承上次VLAN池分配的VLAN。
· 影響客戶端所在VLAN的配置有:A、WLAN-ESS接口視圖下指定的VLAN;B、綁定服務模板時使用vlan-id參數指定的VLAN;C、VLAN池分配的VLAN;D、認證服務器授權的VLAN。在決定客戶端所屬VLAN時,這幾個配置的優先級為:D > C = B > A,優先級高的配置會覆蓋優先級低的配置。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後VLAN池的統計信息,通過查看顯示信息驗證配置的效果。
表3-1 VLAN池顯示與維護
|
顯示指定VLAN池的統計信息 |
display wlan statistics client vlan-pool [ | { begin | exclude | include } regular-expression ] |
某部門有若幹客戶端需要通過AP接入到無線網絡,該部門能夠使用的VLAN為2、3、4、5,並且要求這些客戶端能夠均勻的分布在上述VLAN中。
圖3-1 VLAN池配置組網圖
# 創建WLAN ESS接口,配置接口類型為hybrid,並開啟MAC VLAN功能。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] quit
# 配置WLAN服務模板,配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 創建VLAN池,並將VLAN 2~VLAN 5添加到到此VLAN池中。
[AC] wlan vlan-pool office
[AC-wlan-vp-office] vlan-id 2 to 5
[AC-wlan-vp-office] quit
# 創建AP模板,名稱為ap1。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A35U007B000010
# 使用VLAN池為通過服務模板1上線的客戶端分配VLAN ID,並將此服務模板綁定到Radio 2。
[AC-wlan-ap-ap1-radio-2] service-template 1 vlan-pool office
[AC-wlan-ap-ap1-radio-2] radio enable
· 使用display wlan statistics client vlan-pool命令查看VLAN池中各VLAN中的客戶端數量。
· 使用display wlan client命令查看客戶端所屬VLAN。
無線定位技術利用基於Wi-Fi技術的RFID(Radio Frequency Identification,射頻識別)和傳感器等設備,實現定位、追蹤和監測特定目標。AP將收集的Tag或MU信息發送到定位服務器,通過定位服務器進行位置計算,然後由定位服務器將計算的位置數據傳給圖形軟件。在圖形軟件上用戶可以通過地圖、表格或者報告等多種形式直觀的獲取待定位物資的位置信息。
無線定位可以應用於醫療監護、資產管理、物流等方麵,協助用戶高效地完成物資管理和監控。
定位係統分為三個部分:需要定位的設備或源、定位信息接收裝置和定位係統。
· 需要定位的設備或源:可以是定位服務器公司生產的Tag(一種輕便、易攜帶的RFID,使用中通常放置或粘貼在需要定位的物資上),也可以是MU(Mobile Unit,移動設備),即任何符合802.11技術的無線終端或設備,這些設備的特點是都可以定時向周圍發送無線信號。
· 定位信息接收裝置:比如符合標準的802.11技術的AP。
· 定位係統:包括定位服務器、定位服務器公司的計算軟件、各種圖形軟件等。
AP在探知到定位服務器後,才能完成無線定位的工作過程。目前依據定位服務器的實現不同,大致有兩種方案。
(1) 定位服務器主動探知AP
AeroScout公司的定位服務器會主動發送報文給AP,AP通過解析報文獲得定位服務器的IP地址。這種AP從服務器獲取IP地址的方式稱為動態定位。
(2) AP主動探知定位服務器
由於AeroScout公司的標準協議過於複雜,其他定位服務器廠家更傾向於在AP上配置定位服務器的IP地址,這樣也可以完成定位過程,但隻限於MU消息。這種在AP上直接配置定位服務器IP地址的方式稱為靜態定位。
無線定位係統可以實現對下列設備的定位:無線Client、無線AP、Rogue AP、Rogue Client、Tag及其它支持無線協議的設備,除Tag之外,目前所有無線設備都會被定位係統識別為MU。
(1) 發送Tag和MU消息
Tag消息,即RFID發送的消息。Tag消息能夠攜帶信道信息,為保證更多的Tag被AP偵聽到,RFID會同時在不同信道發送Tag消息。通常情況下,RFID會首先在用戶配置的一個或多個信道輪詢發送Tag消息,接下來,會在1、6、11信道周期性輪詢發送Tag消息。
MU消息,即標準無線設備發送的消息。在這些MU消息中並不包含信道信息,因此AP無法對MU消息進行相鄰信道過濾或非法報文過濾,這項工作將由定位服務器根據一定的算法和規則完成。
(2) AP收集Tag和MU消息
AP的工作模式影響AP收集Tag和MU消息的效果:
· 當AP工作模式為普通模式並綁定使能的無線服務時,可以定位關聯或未關聯到本設備的無線客戶端或者其它無線設備,包括Tag。對於關聯到本設備的無線客戶端,無線定位係統將其識別為無線客戶端;對於非關聯到本設備的無線客戶端或者其他無線設備,無線定位係統將其統一識別為未知設備。
· 當AP工作模式為普通模式並未綁定無線服務或無線服務未使能時,僅能定位非關聯的無線客戶端或者其它無線設備。
· 當AP工作模式為監控模式或混合模式時,可以用於定位非關聯的無線客戶端或者其它無線設備,但由於其頻繁切換信道,對於Tag的定位效果非常差,因此不推薦使用。
關於AP工作模式的介紹請參見“WLAN配置指導”中的“WLAN IDS”。
當完成上述設置後,AP開始收集Tag和MU消息。
· 當AP接收到Tag消息(假定此時在AC上已經開啟上報Tag消息功能,定位服務器也已通知AP開始上報Tag消息),AP在收到Tag消息後,首先能濾掉與當前AP工作信道不一致的Tag消息,然後AP會檢查Tag消息,並將檢查通過的Tag消息進行封裝並上報定位服務器。AP對Tag的封裝包括複製Tag消息中除組播地址外的所有信息(包括消息頭和載荷),並附上接收信號的BSSID、信道、時間戳、數據率、RSSI、SNR及射頻模式等信息。
· 當AP接收到MU消息(假定此時在AC上已經開啟上報MU消息功能,定位服務器也已通知AP開始上報MU消息),AP對MU的封裝包括複製MU的源地址、Frame Control字段和Sequence Control字段,並附上接收信號的BSSID、射頻模式、信道、時間戳、數據率、RSSI、SNR、射頻模式、MU類型及是否關聯本機標誌等信息。
定位服務器在收到多個AP上報的Tag消息及MU消息後,通過對其RSSI、SNR、射頻模式、數據率等信息按照某種算法進行計算,並根據用戶在定位服務器上導入的地圖信息,計算出該設備所在的具體位置並顯示在圖形界麵中。一般來說,隻要有三個及以上的AP報告Tag或MU消息,定位服務器就能夠計算出需要定位的設備的位置。
當前AP支持的無線定位協議隻有AeroScout協議、OmniTrail協議和通用定位協議。
(1) AeroScout協議
AeroScout協議是由AeroScout公司製定的用於服務器和AP間交互的協議。可以支持靜態和動態定位方式。
(2) OmniTrail協議
OmniTrail協議是由OmniTrail公司製定的服務器與AP間交互的協議,隻支持靜態定位方式。
(3) 通用定位協議
通用定位協議是由我司製定的服務器與AP間交互的協議,隻支持靜態定位方式。
AeroScout協議為防止MU消息過多對網絡及定位服務器造成衝擊,設置了稀釋功能來減少發送至定位服務器的報文。但稀釋功能僅適用於高流量的情況,在流量低時會丟棄大量MU消息,使定位功能基本不可用。
我司為了解決稀釋功能的缺陷,對MU消息新增了限速功能,能夠保證在高流量時減少發送至定位服務器的定位報文,低流量時不丟棄報文。
(1) 基於AP的限速
對AP發往定位服務器的MU消息在二層以太網進行限速,能夠限定定位服務的最高流量,防止過多定位消息對網絡和定位服務器的衝擊。
(2) 基於客戶端的限速
對由同一客戶端發送的無線報文生成的MU消息在二層以太網進行限速,能夠保證每個客戶端的MU消息能較均等地發送至定位服務器。
CUPID定位是一種新的私有無線定位方式,與傳統的定位方式相比他的定位精度更高,受障礙物、多徑效應、部署密度和環境改變的影響更小。
為了確保定位功能的正常運行,需要在定位服務器和無線設備上完成相關配置:
· 在定位服務器上,用戶可以根據實際需求,在定位服務器上配置是否定位Tag、是否定位MU、Tag消息組播地址以及稀釋因子等信息,這些配置將通過配置消息通知AP。關於定位服務器的介紹和參數配置請參考定位服務器的相關文檔。
· 在無線設備上,根據定位服務器的要求,可以選擇靜態定位和動態定位兩種方式。定位方式決定了AP以何種方式獲取定位服務器的IP地址,可以配置哪些功能。
在AC上配置無線定位功能時,至少應綁定一個無線服務並使能該無線服務。
在靜態定位中,由AC配置定位服務器的IP地址,並且可以配置稀釋參數和定位報文的協議類型,不能配置射頻的無線定位模式。在完成配置後,AP會主動上報MU消息,MU消息的格式隨配置的服務器類型而定。
表4-1 配置WLAN靜態定位
|
配置無線定位使用的協議類型 |
wlan rfid-tracking engine-type { aero-scout | general [ mode { fingerprint | cupid } ] | omnitrail } |
可選 缺省情況下,無線定位使用AeroScout標準協議 |
|
配置AP上報客戶端天線變化的最小時間間隔 |
wlan rfid-tracking antenna-change-report min-interval value |
可選 缺省情況下,AP上報客戶端天線變化的最小時間間隔為10秒 此配置隻在定位模式為fingerprint時生效 |
|
使能以CUPID封裝格式上報指紋定位報告 |
wlan rfid-tracking fingerprint cupid-report enable |
可選 缺省情況下,未開啟以CUPID封裝格式上報指紋定位報告,仍以原指紋封裝格式上報 使能後,在無線定位配置為指紋模式時,將以CUPID封裝格式上報報告 |
|
配置無線定位方式 |
wlan rfid-tracking engine-detection { static | dynamic } |
可選 缺省情況下,無線定位使用靜態方式 |
|
配置OmniTrail定位數據上報到服務器的端口號 |
wlan rfid-tracking omnitrail { data-port-2g port-number | data-port-5g port-number } |
可選 缺省情況下,定位服務器廠商的端口號為0 |
|
開啟無線定位功能 |
wlan rfid-tracking enable |
必選 缺省情況下,無線定位功能處於關閉狀態 |
|
配置AP向定位服務器上送定位報文的限製速率 |
wlan rfid-tracking rate-limit cir [ cbs cbs ] |
可選 缺省情況下,沒有配置限製速率 |
|
配置客戶端向定位服務器上送定位報文的限製速率 |
wlan rfid-tracking client-rate-limit cir [ cbs cbs ] |
缺省情況下,沒有限製AP端口定位報文的速率 |
|
配置忽略AP發送的幀或者Beacon幀 |
wlan rfid-tracking ignore { ap-frame | beacon } |
可選 缺省情況下,不忽略AP發送的幀和Beacon幀 |
|
配置無線定位報文RSSI門限值 |
wlan rfid-tracking rssi-threshold rssi-threshold |
可選 缺省情況下,沒有配置RSSI門限值 |
|
配置定位報文的稀釋參數 |
wlan rfid-tracking dilution factor factor timeout timeout |
可選 缺省情況下,沒有配置稀釋因子和稀釋超時時間 |
|
開啟AP信息上報功能 |
wlan rfid-tracking cupid ap-report enable |
可選 缺省情況下,AP信息上報功能處於關閉狀態
配置CUPID定位功能時,必須先開啟AP信息上報功能 |
|
配置AP信息上報周期 |
wlan rfid-tracking cupid ap-report interval interval |
可選 缺省情況下,AP信息上報周期為2秒 |
|
配置CUPID定位未關聯客戶端的RSSI閾值 |
wlan rfid-tracking cupid unassociated-measurement rssi-threshold rssi |
可選 缺省情況下,沒有配置CUPID定位未關聯客戶端的RSSI閾值 |
|
開啟CUPID定位非關聯客戶端功能 |
wlan rfid-tracking cupid unassociated-measurement enable |
可選 缺省情況下,CUPID定位非關聯客戶端功能處於關閉狀態 |
|
配置802.11原始幀上報功能 |
wlan rfid-tracking raw-frame-report enable |
可選 缺省情況下,當無線定位使用的協議類型為指紋模式時,802.11原始幀上報功能處於開啟狀態 |
|
忽略射頻模式配置 |
wlan rfid-tracking ignore radio-mode |
可選 缺省情況下,在靜態定位模式時,忽略射頻模式配置 |
|
配置Tag組播地址 |
wlan rfid-tracking tag-multicast-address mac-address |
可選 缺省情況下,未配置Tag組播地址 |
|
配置AP名稱和型號名稱,並進入AP模板視圖 |
隻有在AP模板被創建時才定義型號名稱 |
|
|
配置定位服務器的IPv4地址 |
rfid-tracking engine-address engine-address |
必選 缺省情況下,沒有配置定位服務器的IPv4地址 |
|
配置OmniTrail協議規定的AP標識符 |
rfid-tracking omnitrail apid { ascii ascii-string | hex hex-string } |
可選 缺省情況下,未配置AP標識符 |
|
配置AP的掃描報告抑製功能 |
rrm-report send-inhibitory enable |
可選 缺省情況下,AP的掃描報告抑製功能處於關閉狀態 |
|
退出AP模板視圖 |
quit |
必選 |
|
創建AP組,並進入AP組視圖 |
wlan ap-group group-name |
可選 缺省情況下,存在一個名為default_group的AP組,所有AP都在這個缺省組中 |
|
配置定位服務器的IPv4地址 |
rfid-tracking engine-address engine-address |
可選 缺省情況下,沒有配置定位服務器的IPv4地址 |
|
配置無線定位模式 |
rfid-tracking mode { all | mu | tag } |
必選 缺省情況下,沒有配置無線定位模式 |
在動態定位中,通過AeroScout協議,定位服務器主動告知AP其自身的IP地址,可以配置射頻的無線定位模式,不能由AC配置定位服務器的IP地址,不能配置稀釋參數和定位報文的協議類型。
表4-2 配置WLAN動態定位
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置無線定位使用的協議類型 |
wlan rfid-tracking engine-type aero-scout |
可選 缺省情況下,無線定位使用AeroScout標準協議 |
|
配置無線定位方式 |
wlan rfid-tracking engine-detection dynamic |
必選 缺省情況下,無線定位使用靜態方式 |
|
配置定位服務器廠商的端口號 |
wlan rfid-tracking vendor-port vendor-port-value |
可選 缺省情況下,定位服務器廠商的端口號為1144 |
|
開啟無線定位功能 |
wlan rfid-tracking enable |
必選 缺省情況下,無線定位功能處於關閉狀態 |
|
配置AP向定位服務器上送定位報文的限製速率 |
wlan rfid-tracking rate-limit rate |
可選 缺省情況下,沒有配置限製速率 |
|
配置忽略AP發送的幀或者Beacon幀 |
wlan rfid-tracking ignore { ap-frame | beacon } |
可選 缺省情況下,不忽略AP發送的幀和Beacon幀 |
|
配置無線定位報文RSSI門限值 |
wlan rfid-tracking rssi-threshold rssi-threshold |
可選 缺省情況下,沒有配置RSSI門限值 |
|
配置AP名稱和型號名稱,並進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- 隻有在AP模板被創建時才定義型號名稱 |
|
配置AP的掃描報告抑製功能 |
rrm-report send-inhibitory enable |
可選 缺省情況下,AP的掃描報告抑製功能處於關閉狀態 |
|
進入射頻視圖 |
radio radio-id |
- |
|
配置無線定位模式 |
rfid-tracking mode { all | mu | tag } |
必選 缺省情況下,沒有配置無線定位模式 |
在完成配置後,AP會等待定位服務器發送的配置消息。隻有當AP接收到來自定位服務器的正確的配置消息後,AP才會根據定位服務器的配置開始偵聽並上報Tag或者MU消息。
為了使定位服務器能快速獲知並響應AP的變化,在AP更換IP地址或AP重啟後,AP會主動通知定位服務器。其中AP重啟後的消息上報依賴AP在Flash中的數據記錄(定位服務器的IP地址及端口信息),關於Flash中的數據記錄需要注意:
· 隻有當收到定位服務器發送的配置消息時,AP才會更新Flash中的數據。為保護Flash,避免頻繁更新Flash中的數據,當AP收到配置消息時,會等待10分鍾再更新Flash。如果在等待的這10分鍾期內又收到新的配置消息,AP隻會刷新緩存,並繼續等待剩餘的時間之後,將最新的緩存信息保存在Flash中。
· 如果AP在收到首個配置消息後的10分鍾內發生重啟,那麼由於Flash還未來得及保存配置消息,並且在Flash中從未保存過任何配置消息的情況下,本次AP重啟後不會向定位服務器發送消息。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後無線定位信息,通過查看顯示信息驗證配置的效果。
表4-3 WLAN定位顯示和維護
在如下圖所示的無線環境中,AP 1、AP 2和AP 3工作在普通模式,收集Tag和MU信息,然後提供給AE(定位服務器)進行定位計算,使用戶可以通過地圖、表格或者報告等形式動態獲取到無線網絡中Rogue AP、AP和Client的位置。
· 在AE上手工配置AP 1~AP 3的IP地址,或者選擇廣播方式發現AP。
· 在AE上完成和定位相關的配置。
在AC上,將無線服務綁定在AP 1~AP 3,這裏以AP 1為例。
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 創建AP1,並配置AP序列號,將服務模板1綁定到Radio 1口。
[AC] wlan ap ap1 model WA2220-AG
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 開啟動態定位功能。
<AC> system-view
[AC] wlan rfid-tracking engine-detection dynamic
[AC] wlan rfid-tracking enable
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] rfid-tracking mode all
[AC-wlan-ap-ap1-radio-1] return
# 查看無線定位射頻信息。
<AC> display wlan rfid-tracking radio
WLAN RFID Tracking
--------------------------------------------------------------------------------
AP Radio Mode
--------------------------------------------------------------------------------
ap1 1 MU/Tag
ap1 2 N/A
--------------------------------------------------------------------------------
# 在圖形軟件上用戶可以通過地圖、表格或者報告等形式獲取到無線網絡中Rogue AP、AP和Client的位置。
· 在開啟定位功能前,至少有三個AP工作在監控模式或混和模式,這樣才能使AP掃描到Tag及非關聯無線設備的消息,並確保AE完成定位計算。
· 由於AP的監測方式為信道輪詢方式,若Tag被配置為1秒間隔,則大約每半分鍾可以掃描並上報一次Tag消息。如果對定位效率有較高要求,建議在AE上將Tag的發送間隔配置為最低值(124毫秒)。
在如下圖所示的無線環境中,AP 1、AP 2和AP 3工作在普通模式,收集Tag和MU信息,然後提供給iMC(定位服務器)進行定位計算,使用戶可以通過地圖、表格或者報告等形式獲取到無線網絡中Rogue AP、AP和Client的位置。
圖4-2 靜態無線定位配置組網組
(1) 配置iMC
· 在iMC上手工配置AP 1~AP 3的IP地址,或者選擇廣播方式發現AP。
· 在iMC上完成和定位相關的配置。
(2) 綁定無線服務
在AC上,將無線服務綁定在AP 1~AP 3,這裏以AP 1為例。
# 配置WLAN服務模板(明文模板),配置SSID為service,並將WLAN-ESS接口與該服務模板綁定。
<AC> system-view
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 創建AP1,並配置AP序列號,將服務模板1綁定到Radio 1口。
[AC] wlan ap ap1 model WA2220-AG
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
# 開啟靜態定位功能。
<AC> system-view
[AC] wlan rfid-tracking engine-type general mode fingerprint
[AC] wlan rfid-tracking enable
# 配置無線定位報文的RSSI門限值為15。
[AC] wlan rfid-tracking rssi-threshold 15
# 在AP模板視圖下配置定位服務器IPv4地址為192.168.10.10。
[AC] wlan ap ap1
[AC-wlan-ap-ap1] rfid-tracking engine-address 192.168.10.10
[AC-wlan-ap-ap1] quit
(3) 驗證配置結果
開啟指紋定位之後可以通過在iMC上查看終端是否可以在定位圖上顯示即可確定相關配置是否生效。
· 在開啟定位功能前,至少有三個AP工作在監控模式或混和模式,這樣才能使AP掃描到Tag及非關聯無線設備的消息,並確保iMC完成定位計算。
· 由於AP的監測方式為信道輪詢方式,若Tag被配置為1秒間隔,則大約每半分鍾可以掃描並上報一次Tag消息。如果對定位效率有較高要求,建議在iMC上將Tag的發送間隔配置為最低值(124毫秒)。
本特性的支持情況與具體的設備型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
· 沒有相應的確認機製,因此無法對丟失的報文進行重傳,導致有些情況組播報文丟失嚴重。
· 無線組播報文的速率是在強製速率中選取的最低發送速率,因此組播數據的傳輸效率較低。
組播傳輸的特點可能無法滿足某些對組播流有較高要求的應用,如對延遲不十分敏感,但要求報文流有較高完整性要求的應用,如高清視頻點播。為了滿足上述需求,可開啟組播優化功能,使得AP向客戶端發送組播報文時,將組播數據報文轉換為單播數據報文,轉換後的無線單播數據報文不但具有重傳確認機製及更高速率,並且具有Video的優先級,可以優先被發送。
如無特殊說明,下文描述的單播報文均指具有Video的優先級的無線單播數據報文。
開啟組播優化功能後,AP會監聽客戶端上報的組播報告報文和離開報文進行組播優化表項維護。當AP收到客戶端的組播報告報文時,會添加或是更新組播優化表項,並更新客戶端允許的組播源地址(對於IGMPv3和MLDv2報文)。當收到客戶端的組播離開報文或是組播優化表項老化時間超時後,則刪除對應的組播優化表項。AP和AC斷開連接時或者關閉組播優化功能時,整個組播優化表項會被刪除。
建立組播表項後,AP會監聽從組播源發往客戶端的下行非IGMP和MLD的組播數據報文,查詢組播優化表項,檢查報文中的組播組地址。若在表項中存在該組播組地址,則遍曆加入該組播地址的所有客戶端,將組播數據報文轉換為單播數據報文,並單播發送給對應客戶端;若沒有該組播組地址,則正常發送組播數據報文。
為了避免客戶端數量過多,導致性能下降。用戶可以通過命令行設置支持組播優化的最大客戶端數量。在某個射頻下,接入組播組的客戶端數量超過閾值時,設備有兩種處理方式:
· 拒絕新客戶端進行組播優化。新接入的客戶端可以加入組播組,即生成IGMP-Snooping表項,但不會生成組播優化表項。如果新客戶端請求加入的組播組已經存在組播優化表項(其他客戶端生成的),則該客戶端將無法接收組播數據報文;反之,如果新客戶端請求加入的組播組不存在組播優化表項,則該客戶端依然可以收到組播數據報文。
如果先配置halt方式(在halt方式下,超出閾值的客戶端也能生成組播優化表項),然後使用命令將處理方式修改為reject方式,這些已存在的組播優化表項仍會生效。
· 建議在開啟組播優化功能前,先在AC上使能IGMP snooping功能,並配置組播優化表項老化時間大於IGMP Snooping動態成員端口的老化時間。
· 在雙AC和漫遊組網環境下,為了使組播優化功能能夠正常運行,需要使IACTP隧道內所有AC上的組播優化功能都處於開啟狀態(使用multicast optimization enable命令開啟)。
|
wlan service-template service-template-number { clear | crypto | wapi } |
||
|
每個客戶端最多能加入8個組播組 需要注意的是,當一個客戶端加入當前射頻下多個組播組時,計數累加。例如,在同一個射頻上,如果一個客戶端分別加入兩個組播地址,則組播優化的客戶端數量記做2 |
||
|
wlan multicast optimization threshold-action { halt | reject-client } |
缺省情況下,客戶端數量超過閾值後的處理方式為暫停組播優化功能 如果先配置halt方式(在halt方式下,超出閾值的客戶端也能生成組播優化表項),然後使用命令將處理方式修改為reject方式,這些已存在的組播優化表項仍會生效 |
|
完成上述配置後,在任意視圖下執行display命令可以顯示配置後組播優化功能的運行情況,通過查看顯示信息驗證配置的效果。
在如下圖所示的無線環境中,開啟組播優化功能,將組播數據報文轉換為單播數據報文並發送給客戶端。
(1) 配置AC
在AC上完成無線服務的相關配置,具體配置步驟可參見“WLAN配置指導”中的“WLAN接入”,此處不再重複。
在AC的Vlan1中開啟組播功能,並完成組播的必要配置,具體配置步驟可參見“IP組播配置指導”中的“IGMP Snooping配置”,此處不再重複。
# 開啟組播優化功能。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] multicast optimization enable
[AC-wlan-st-1] quit
# 配置組播優化表項老化時間為300。
[AC] wlan multicast optimization aging-time 300
# 配置在射頻上支持組播優化的最大客戶端數量為2。
[AC] wlan multicast optimization threshold 2
# 配置客戶端數量超過閾值後的處理方式為拒絕新客戶端進行組播優化。
[AC] wlan multicast optimization threshold-action reject-client
Client1和Client 2通過AP的某個射頻接入到名為service的SSID,並加入組播組,使用display wlan multicast optimization all命令可以查看到組播優化表項的信息。Client 1和Client 2加入組播組時,組播優化功能能夠正常工作,當Client 3加入組播組時,客戶端數量超過設置的閾值,Client 3無法加入組播優化表項。
· 頻譜分析的支持情況與AP設備型號有關,請以設備的實際情況為準。
· 關於WIDS的介紹請參見“WLAN配置指導”中“WLAN IDS”。
· 本文涉及的頻譜分析功能需要用戶購買License,並完成注冊之後才能使用。License可以通過購買特性軟件授權書獲得,授權書上提供了注冊RFP(Radio Frequency Prevention,頻譜分析)特性需要使用的License授權碼及特性功能說明。詳細的操作流程,請參見《H3C無線控製產品License激活申請和注冊操作指導》,添加License的相關配置請參見“基礎配置指導”的“License管理配置”。
由於WLAN工作在共享頻段,微波爐、無繩電話等設備都可能成為無線網絡潛在的幹擾源。發現這些幹擾的最有效手段是依賴專門的頻譜分析設備和軟件,這些專門的設備或軟件價格不菲,且缺乏實時性,導致工程人員往往隻在出了問題後才被動地進行頻譜分析。現有的WIDS(Wireless Intrusion Detection System,無線入侵檢測係統)、RRM(WLAN Radio Resource Management,無線資源管理)等功能主要基於MAC層數據做檢測,而不是利用更有價值的物理層數據,從而導致其對無線環境的檢測功能大大受限。比如,無線網絡中如果存在非802.11設備幹擾,如藍牙幹擾時,RRM功能將無法檢測到。
為了解決上述問題,可以通過軟件升級WLAN芯片提供頻譜分析功能,這樣不用額外部署頻譜分析設備就可以實現對網絡頻譜環境的實時分析。頻譜分析具有以下作用:
· 識別幹擾設備類型:可識別出12種幹擾設備類型,並提供關於幹擾設備的詳細報表。
· 分析評估幹擾對無線環境的影響:提供信道質量信息報表,計算出每個信道上幹擾的設備數量以及信道質量的平均值和最差值。
· 收集FFT(Fast Fourier Transform,快速傅立葉變換)數據:AP負責收集每個信道的所有頻點的FFT數據(包括頻點的頻率值、FFT功率、最大功率和FFT占空比,並通過AC發送給網管。
· 自動調整信道,規避幹擾源。在開啟RRM聯動功能後,當檢測的信道質量低於要求指定的級別時,AC會進行信道調整的計算,如果發現有質量更好的信道,就會將工作信道切換到新的信道上。
網管人員可以通過在AC上查看當前幹擾信息,或是在網管係統上查看實時頻譜數據圖,充分了解無線網絡運行情況,為快速診斷並製定排除幹擾源的行動策略提供了有力的支持。
|
配置AP的工作模式 |
||
AP檢測的信道範圍和AP的工作模式有關:
· 如果AP工作在Normal模式,那麼AP隻能檢測工作信道的幹擾設備、信道質量以及收集工作信道上的FFT數據。
· 如果AP工作在Monitor/Hybrid模式,那麼AP能檢測的信道範圍和scan channel命令設置的情況有關。如果設置為scan channel auto,AP會在國家碼支持的信道上檢測幹擾設備、信道質量以及收集這些信道上的FFT數據。如果設置為scan channel all,AP會在頻段中的所有信道上檢測幹擾設備、信道質量以及收集這些信道上的FFT數據。
關於AP模式的設置請參見“WLAN配置指導”中“WLAN IDS”。
AP工作在Monitor/Hybrid模式的情況下,檢測的信道範圍更廣,建議用戶在此模式下開啟頻譜分析功能。
開啟頻譜分析功能後,AP開始檢測幹擾設備和信道質量,並收集FFT數據。
|
進入RRM視圖 |
||
|
dot11a spectrum-analysis device { device-type | all } |
||
|
dot11bg spectrum-analysis device { device-type | all } |
||
|
配置AP名稱和型號名稱,並進入AP模板視圖 |
隻有在AP模板被創建時才定義型號名稱 |
|
|
radio radio-number [ type { dot11a | dot11an | dot11b | dot11g | dot11gn } ] |
||
AC可以向網管係統發送兩種告警:
· 幹擾設備告警:檢測到指定幹擾設備時,AC會向網管係統發送告警。
· 信道質量告警:檢測到信道質量低於指定門限值時,AC會向網管係統發送告警。
通過配置告警功能可以使AC在指定條件下向網管係統發送告警,以便網絡管理員了解無線網絡的運行狀況。
|
進入RRM視圖 |
||
|
開啟檢測到幹擾設備時,AC向網管係統發送告警 |
缺省情況下,檢測到幹擾設備時,AC向網管係統發送告警 |
|
|
配置檢測到指定幹擾設備時,AC會向網管係統發送告警 |
dot11a spectrum-analysis trap device { device-type | all } |
缺省情況下,檢測到幹擾設備(目前支持12種幹擾設備)時,AC會向網管係統發送告警的功能 請先使用dot11a spectrum-analysis device device-type或dot11bg spectrum-analysis device device-type命令配置需要上報的幹擾設備類型,否則對於該幹擾設備的告警功能將無法生效 |
當檢測的信道質量低於要求指定的級別時,AC會進行信道調整的計算,如果發現有質量更好的信道,就會將工作信道切換到新的信道上,避免受到原有信道上幹擾源的影響。
|
進入RRM視圖 |
||
|
配置頻譜分析觸發信道調整的敏感級別 |
dot11a calibrate-channel sensitivity { high | low | medium } |
缺省情況下,觸發信道調整的敏感級別為medium |
|
dot11bg calibrate-channel sensitivity { high | low | medium } |
||
配置頻譜分析觸發信道調整功能前,請使用channel auto命令配置射頻使用自動選擇信道模式,並開啟信道調整功能,否則無法運行信道調整功能。關於自動選擇信道模式的詳細介紹,請參見“WLAN命令參考”中的“WLAN接入”。關於信道調整功能的詳細配置,請參見“WLAN 配置指導”中的“WLAN RRM”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後頻譜分析的運行情況,通過查看顯示信息驗證配置的效果。
|
顯示AP檢測到的非802.11幹擾設備的信息 |
display wlan spectrum-analysis device [ ap ap-name ] |
|
顯示AP檢測到的信道質量信息 |
display wlan spectrum-analysis channel-quality [ ap ap-name ] |
在如圖6-1所示的無線環境中部署兩台AP和網管係統,具體組網要求如下:
· AP 1工作在Normal模式,為客戶端提供無線接入服務。
· AP 2工作在Monitor模式,檢測無線環境中的幹擾設備、信道質量和頻點的FFT數據。
· 如果AP 2檢測到微波爐或藍牙,就將檢測信息通知AC,由AC向網管係統發送告警。
# 配置AP 1工作在Normal模式,為客戶端提供無線接入服務。
此部分配置步驟可以參考“WLAN配置指導”中“WLAN接入”,此處不再重複。
# 配置AP 2的工作模式為Monitor模式,並開啟射頻上的頻譜分析功能。
[AC] wlan ap ap2 model WA2620-AGN
[AC-wlan-ap-ap2] serial-id 210235A29G007C000022
[AC-wlan-ap-ap2] work-mode monitor
[AC-wlan-ap-ap2] radio 2 type dot11gn
[AC-wlan-ap-ap2-radio-2] spectrum-analysis enable
[AC-wlan-ap-ap2-radio-2] radio enable
[AC-wlan-ap-ap2-radio-2] quit
[AC-wlan-ap-ap2] quit
# 在2.4GHz射頻上開啟全局頻譜分析功能。
[AC-wlan-rrm] dot11bg spectrum-analysis enable
# 在2.4GHz射頻上配置檢測所有的幹擾設備類型(缺省開啟,此步驟可選)。
[AC-wlan-rrm] dot11bg spectrum-analysis device all
# 開啟在2.4GHz射頻上檢測到微波爐或藍牙時,AC向網管係統發送告警。
[AC-wlan-rrm] dot11bg spectrum-analysis trap device enable
[AC-wlan-rrm] undo dot11bg spectrum-analysis trap device all
[AC-wlan-rrm] dot11bg spectrum-analysis trap device bluetooth
[AC-wlan-rrm] dot11bg spectrum-analysis trap device microwave
[AC-wlan-rrm] return
· 通過display wlan spectrum-analysis device命令查看AP 2檢測到的非802.11幹擾設備的信息。
· 通過display wlan spectrum-analysis channel-quality命令用來顯示AP 2檢測到的信道質量信息。
本特性的支持情況與具體的設備型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
MAC-BAC(Master AC-BAS AC)的核心思想是由各BAS AC負責處理無線接入和認證業務,Master AC統一管理BAS AC,對外部網絡(如認證服務器等設備)隻呈現一個Master AC。在MAC-BAC這種架構組網中,外部網絡中的設備隻和Master AC通信,不需要關心各BAS AC的具體信息。
在傳統組網中,AC雖然具備認證功能,但是一般會專門配置認證設備。一台負責認證的設備可以與多台AC設備互聯,AC負責客戶端上線,認證設備負責完成客戶端的認證。在這種組網中,隨著AC的增多和用戶容量的增大,認證設備會由於承擔過多的認證工作而成為性能瓶頸。
隨著AC認證功能的增強,在組網中直接使用AC對客戶端進行認證,客戶的上線和認證由AC完成,不需要增加額外的認證設備來處理客戶端認證工作。但是對於認證服務器來說,這種組網會使認證服務器管理多個不同的NAS IP地址,配置和管理複雜度也會隨著AC數量的增加而上升。
為了解決上述問題,可以使用MAC-BAC架構。在這種架構中,BAS AC負責處理無線接入和認證業務,Master AC位於BAS AC和認證服務器之間,負責統一管理BAS AC。以Portal業務為例,BAS AC負責提供Portal認證,Master AC負責代理BAS AC與Portal服務器進行報文交互。認證服務器隻需和Master AC一台設備進行報文交互即可。使用MAC-BAC架構的組網方式可以降低設備管理的複雜度。
Master AC管理BAS AC的前提是Master AC與各BAS AC間建立通道,BAS AC在與Master AC成功建立通道後,BAS AC會將本地信息上報給Master AC,包括與AP建立隧道連接的IP地址(即CAPWAP IP地址)、BAS AC的IP地址、在BAS AC已經上線的AP數量、客戶端IP地址,Master AC根據這些信息來管理BAS AC。MAC-BAC典型組網圖如圖1-2所示。
圖1-2 MAC-BAC典型組網圖
Master AC與各BAS AC間建立通道後,Master AC收到AP發送的Discovery request報文後,會根據各BAS AC的負載情況為AP分配當前負載最輕的BAS AC,並將該BAS AC的IP地址回複給AP。為了便於描述,將Master AC為AP分配BAS AC的IP地址稱為CAPWAP IP地址,即AP通過BAS AC上的該地址與BAS AC建立隧道連接。
圖1-3 Master AC為AP分配BAS AC
Master AC為AP分配BAS AC以及AP與指定BAS AC建立隧道的整個過程如下:
(1) Master AC與各BAS AC間建立通道。
(2) AP啟動後,根據DHCP服務器回複報文中的Option字段,獲得Master AC的IP地址(AP也可以通過其它方式獲取Master AC的IP地址)[1]。
(3) AP可以通過單播方式向Master AC發出Discovery request報文。
(4) 為避免部分AC因承擔大量AP的流量而導致的性能降低,而部分AC閑置的情況發生。Master AC會根據當前各BAS AC的負載情況,選擇當前負載最輕的BAS AC。Master AC向AP回複的Discovery Response消息中會指定AP應該關聯的BAS AC的CAPWAP IP地址。
(5) AP獲取到BAS AC的CAWAP IP地址,並與指定的BAS AC建立隧道連接。
(6) BAS AC向Master AC上報AP的信息。
[1]實際組網中,建議AP使用Option方式或其它方式獲取Master AC的IP地址。
如果BAS AC功能未開啟,此時的BAS AC即為普通AC。開啟BAS AC功能後,BAS AC與Master AC建立通道,BAS AC會將本地信息上報給Master AC,包括與AP建立隧道連接的IP地址(即CAPWAP IP地址)和BAS AC的IP地址等。
表1-2 配置BAS AC
|
開啟BAS AC功能 |
缺省情況下,BAS AC功能處於關閉狀態 |
|
|
為BAS AC指定Master AC的信息 |
缺省情況下,沒有為BAS AC指定Master AC的信息 |
|
|
配置BAS AC向Master AC上報的IP地址,即BAS AC的IP地址 |
缺省情況下,沒有配置BAS AC向Master AC上報的IP地址 |
|
|
配置BAS AC向Master AC發起連接的時間間隔 |
缺省情況下,BAS AC向Master AC發起連接的時間間隔為15秒 |
|
|
將當前BAS AC中無線的相關配置同步到MAC-BAC組網中其他BAS AC中 |
wlan bas-ac synchronize-configuration |
可選 |
BAS AC的IP地址和CAPWAP IP地址可以使用BAS AC上的一個IP地址。
BAS AC、Master AC和AP之間通過交換機相連。BAS AC 1所能承載的AP數量的上限為1024,BAS AC 2所能承載的AP數量的上限為192。要求AP啟動後,Master AC為AP分配當前負載最輕的BAS AC,假設為BAS AC 1。
圖1-4 MAC-BAC組網圖
(1) 配置Master AC(目前無線產品暫不支持Master AC功能)。
# 開啟Master AC功能。
[Master AC] wlan master-ac enable
# 啟用DHCP服務,配置DHCP地址池0,通過自定義選項的方式配置Option 43的內容,為AP指定Master AC的IP地址。注意Option 43選項內容中最後四字節為c0 a8 00 6f(192 168 0 111),即為Master AC的IP地址。
[Master AC] dhcp server ip-pool 0
[Master AC-dhcp-pool-0] network 192.168.0.0 24
[Master AC-dhcp-pool-0] option 43 hex 8007000001c0a8006f
# 開啟BAS AC功能。
[BAS AC1] wlan bas-ac enable
# 配置Master AC的IP地址為192.168.0.111,配置CAPWAP IP地址為192.168.0.112。
[BAS AC1] wlan master-ac ip 192.168.0.111
[BAS AC1] wlan capwap address ip 192.168.0.112
# 配置BAS AC向Master AC上報的IP地址為192.168.0.112。
[BAS AC1] wlan bas-ac ip 192.168.0.112
# 開啟自動AP功能。創建AP模板,名稱為ap1。
[BAS AC1] wlan auto-ap enable
[BAS AC1] wlan ap ap1 model WA2620i-AGN
[BAS AC1-wlan-ap-ap1] serial-id auto
# 開啟BAS AC功能。
[BAS AC2] wlan bas-ac enable
# 配置Master AC的IP地址為192.168.0.111,配置CAPWAP IP地址為192.168.0.113。
[BAS AC2] wlan master-ac ip 192.168.0.111
[BAS AC2] wlan capwap address ip 192.168.0.113
# 配置BAS AC向Master AC上報的IP地址為192.168.0.113。
[BAS AC2] wlan bas-ac ip 192.168.0.113
# 開啟自動AP功能。創建AP模板,名稱為ap1。
[BAS AC2] wlan auto-ap enable
[BAS AC2] wlan ap ap1 model WA2620i-AGN
[BAS AC2-wlan-ap-ap1] serial-id auto
在Master AC上通過display wlan bas-ac命令查看BAS AC的詳細信息,可以看到AP與BAS AC1建立隧道連接。
[Master AC-dhcp-pool-0] display wlan bas-ac verbose
MAC address :000f-e212-ff01
IP address :192.168.0.112
CAPWAP IP address :192.168.0.112
CAPWAP IPv6 address :NA
AP count :1
Maximum AP capacity :1024
MAC address :80f6-2e7d-1eb9
IP address :192.168.0.113
CAPWAP IP address :192.168.0.113
CAPWAP IPv6 address :NA
AP count :0
Maximum AP capacity :192
BAS AC、Master AC和AP之間通過交換機相連,要求Master AC將網絡中的兩個AP分配到一個BAS AC上。
(1) 配置Master AC(目前無線產品暫不支持Master AC功能)。
# 開啟Master AC功能。
[Master AC] wlan master-ac enable
# 啟用DHCP服務,配置DHCP地址池0,通過自定義選項的方式配置Option 43的內容,為AP指定Master AC的IP地址。注意Option 43選項內容中最後四字節為c0 a8 00 6f(192 168 0 111),即為Master AC的IP地址。
[Master AC] dhcp server ip-pool 0
[Master AC-dhcp-pool-0] network 192.168.0.0 24
[Master AC-dhcp-pool-0] option 43 hex 8007000001c0a8006f
[Master AC-dhcp-pool-0] quit
# 創建AP列表,將AP 1和AP 2添加到AP列表中,AP 1的MAC地址為000f-e323-e221,AP 2的MAC地址為000f-e323-5432。
[Master AC] wlan ap-list list1
[Master AC-ap-list-list1] mac-address 000f-e323-e221
[Master AC-ap-list-list1] mac-address 000f-e323-5432
[Master AC-ap-list-list1] quit
# 配置熱點分配BAS AC,將AP列表下的所有AP分配到一個BAS AC上。
[Master AC] wlan load-balance ap ap-list list1
# 開啟BAS AC功能。
[BAS AC1] wlan bas-ac enable
# 配置Master AC的IP地址為192.168.0.111,配置CAPWAP IP地址為192.168.0.112。
[BAS AC1] wlan master-ac ip 192.168.0.111
[BAS AC1] wlan capwap address ip 192.168.0.112
# 配置BAS AC向Master AC上報的IP地址為192.168.0.112。
[BAS AC1] wlan bas-ac ip 192.168.0.112
# 開啟自動AP功能。創建AP模板,名稱為ap1。
[BAS AC1] wlan auto-ap enable
[BAS AC1] wlan ap ap1 model WA2620i-AGN
[BAS AC1-wlan-ap-ap1] serial-id auto
# 開啟BAS AC功能。
[BAS AC2] wlan bas-ac enable
# 配置Master AC的IP地址為192.168.0.111,配置CAPWAP IP地址為192.168.0.113。
[BAS AC2] wlan master-ac ipv4 192.168.0.111
[BAS AC2] wlan capwap address ip 192.168.0.113
# 配置BAS AC向Master AC上報的IP地址為192.168.0.113。
[BAS AC2] wlan bas-ac ip 192.168.0.113
# 開啟自動AP功能。創建AP模板,名稱為ap1。
[BAS AC2] wlan auto-ap enable
[BAS AC2] wlan ap ap1 model WA2620i-AGN
[BAS AC2-wlan-ap-ap1] serial-id auto
在Master AC上通過display wlan bas-ac命令查看BAS AC的詳細信息,可以看到兩個AP與同一台BAS AC建立隧道連接。
[Master AC] display wlan bas-ac verbose
MAC address :000f-e212-ff01
IP address :192.168.0.112
CAPWAP IP address :192.168.0.112
CAPWAP IPv6 address :NA
AP count :2
Maximum AP capacity :1024
MAC address :80f6-2e7d-1eb9
IP address :192.168.0.113
CAPWAP IP address :192.168.0.113
CAPWAP IPv6 address :NA
AP count :0
Maximum AP capacity :192
本特性的支持情況與具體的設備型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
無線網絡在提供內部用戶接入的同時,還需要為訪客用戶提供無線接入,而訪客數據可能會給網絡帶來潛在的安全威脅。在這種情況下,可以使用訪客隧道功能,將訪客的所有數據通過訪客隧道重定向到企業的外網,在保證訪客用戶能夠接入無線網絡的同時,也能保障內網數據的安全。
訪客隧道功能主要是通過指定邊緣AC和彙聚AC來實現。邊緣AC存在於內部網絡中,為內部用戶和訪客用戶提供接入和認證。彙聚AC存在於外部網絡,用於處理訪客用戶的數據流量。在邊緣AC和彙聚AC上完成訪客隧道的相關配置後,在邊緣AC與彙聚AC之間就能建立訪客隧道。訪客隧道建立後,訪客用戶會從指定的訪客VLAN上線,其數據流量則從訪客隧道的接口轉發至彙聚AC,實現訪客數據與內網數據隔離。
訪客隧道支持NAT穿越功能,即當邊緣AC和彙聚AC之間存在NAT設備時,AC之間能夠建立訪客隧道。
圖8-1 訪客隧道組網圖
· 存在多條訪客隧道時,每條訪客隧道必須屬於不同的VLAN。
· 設備最多能支持512條訪客隧道。目前隻支持使用IPv4地址建立訪客隧道。
· 為了使訪客用戶成功接入訪客VLAN,在邊緣AC和彙聚AC上配置訪客隧道時,應在這兩類AC上配置有交集的訪客VLAN。此外,還需要在邊緣AC上配置用於訪客用戶上線的VLAN,且該VLAN必須是生效的訪客VLAN。影響客戶端上線所在VLAN的配置有:A、WLAN-ESS接口視圖下指定的VLAN;B、綁定服務模板時使用vlan-id參數指定的VLAN;C、VLAN池分配的VLAN;D、認證服務器授權的VLAN。在決定訪客用戶所屬VLAN時,這幾個配置的優先級為:D > C = B > A,優先級高的配置會覆蓋優先級低的配置。
在邊緣AC上完成彙聚AC信息的配置後,邊緣AC會向彙聚AC發送用於建立訪客隧道的保活請求報文,邊緣AC收到回應報文後,訪客隧道建立成功。訪客隧道成功建立後,邊緣AC會以time-interval為周期向彙聚AC發送保活請求報文,彙聚AC收到保活請求報文後會回複保活回應報文。如果邊緣AC連續發送三次保活請求報文後,都沒有收到彙聚AC的保活回應報文,那麼邊緣AC會斷開訪客隧道。對於彙聚AC,如果在發送保活回應報文之後的三倍時間內未收到保活請求報文,彙聚AC會斷開訪客隧道。
邊緣AC可以與多個彙聚AC建立多條訪客遂道,但不允許邊緣AC使用不同源IP地址與同一個彙聚AC建立訪客隧道。如果在邊緣AC配置的多個彙聚AC的IP地址實際上屬於同一台彙聚AC,那麼彙聚AC使用接收到的第一個保活請求報文的目的IP地址與邊緣AC建立隧道。
表8-1 在邊緣AC上配置彙聚AC信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定當前AC為邊緣AC,並創建邊緣AC視圖 |
wlan guest-tunnel edge-ac |
- |
|
配置彙聚AC信息 |
aggregation-ac ip ipv4-address source ip ipv4-address vlan vlan-id-list |
必選 缺省情況下,在邊緣AC上不存在彙聚AC的信息 |
|
配置訪客遂道保活請求報文的發送周期 |
keep-alive time-interval |
可選 缺省情況下,保活請求報文的發送周期為10秒 |
在彙聚AC上配置邊緣AC地址和訪客VLAN。完成配置後,彙聚AC會等待邊緣AC發起的保活請求報文,收到該報文之後,彙聚AC會檢查報文中攜帶的源地址是否在其配置的邊緣AC列表中,如果在列表中,彙聚AC會發送保活回應報文,訪客隧道建立成功。
表8-2 在彙聚AC上配置邊緣AC信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定當前AC為彙聚AC,並創建彙聚AC視圖 |
wlan guest-tunnel aggregation-ac |
- |
|
配置邊緣AC信息 |
edge-ac ip ipv4-address vlan vlan-id-list |
必選 缺省情況下,在彙聚AC上不存在邊緣AC的信息 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後訪客隧道的配置和狀態信息,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以刪除訪客隧道。
表8-3 WLAN定位顯示和維護
|
操作 |
命令 |
|
顯示當前AC上訪客遂道的配置和狀態信息 |
display wlan guest-tunnel { all | ip ipv4-address } [ | { begin | exclude | include } regular-expression ] |
|
刪除訪客隧道 |
reset wlan guest-tunnel { all | ip ipv4-address } |
在如圖所示的組網環境中,AC 1作為邊緣AC位於內網,AC 2作為彙聚AC位於外網。訪客用戶通過訪客VLAN 5接入AP。當AC 1收到訪客用戶的數據流量時,會通過訪客隧道將數據流量轉發至防火牆外的AC 2,由AC 2處理訪客用戶的數據流量,實現訪客數據流量與內網數據隔離。
圖8-2 訪客隧道配置組網圖
(1) 配置AC 1
# 配置AC 1為邊緣AC。
<AC1> system-view
[AC1] wlan guest-tunnel edge-ac
# 指定AC 2作為彙聚AC,訪客VLAN為VLAN 5。
[AC1-wlan-edge-ac] aggregation-ac ip 192.168.2.3 source ip 192.168.2.1 vlan 5
# 創建WLAN服務模板,配置SSID為guest,用於訪客接入,並將WLAN-ESS接口與該服務模板綁定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid guest
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] service-template enable
# 創建AP模板,名稱為ap1。
[AC1] wlan ap ap1 model WA2620E-AGN
[AC1-wlan-ap-ap1] serial-id 210235A35U007B000010
# 將服務模板綁定到ap1的Radio 2上,並指定客戶端上線所在VLAN為訪客VLAN 5。
[AC1-wlan-ap-ap1] radio 2
[AC1-wlan-ap-ap1-radio-2] service-template 1 vlan-id 5
[AC1-wlan-ap-ap1-radio-2] radio enable
(2) 配置AC 2
# 配置AC 2為彙聚AC。
<AC2> system-view
[AC2] wlan guest-tunnel aggregation-ac
# 指定AC 1作為邊緣AC,訪客VLAN為VLAN 5。
[AC2-wlan-aggregation-ac] edge-ac ip 192.168.2.1 vlan 5
(1) 在AC 1和AC 2上使用display wlan guest-tunnel all命令查看訪客隧道狀態
<AC1> display wlan guest-tunnel all
Guest-Tunnel Information
Local Mode: Edge AC Tunnel Count: 1
-------------------------------------------------------------------------------
Peer IP Address Local IP Address VLAN State Interface
-------------------------------------------------------------------------------
192.168.2.3 192.168.2.1 5 Up WLAN-Tunnel9
-------------------------------------------------------------------------------
<AC2> display wlan guest-tunnel all
Guest-Tunnel Information
Local Mode: Aggregation AC Tunnel Count: 1
-------------------------------------------------------------------------------
Peer IP Address VLAN State Interface
-------------------------------------------------------------------------------
192.168.2.1 5 Up WLAN-Tunnel9
-------------------------------------------------------------------------------
通過上述顯示信息可以確認訪客隧道處於Up狀態。
(2) 使用display interface wlan-tunnel命令查看隧道接口信息
AC 1和AC 2上的用於轉發訪客數據流量的WLAN-TUNNEL接口顯示允許通過的VLAN中存在VLAN 5,且AC 1上WLAN-TUNNEL發送數據和AC 2上WLAN-TUNNEL接收數據的值相同,表明AC 1將訪客用戶的數據流量轉發到AC 2。
<AC1> display interface WLAN-TUNNEL
WLAN-Tunnel9 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e207-f2e0
Description: WLAN-Tunnel9 Interface
PVID: 1
Port link-type: trunk
VLAN passing : 5
VLAN permitted: 5
Trunk port encapsulation: IEEE 802.1q
Port priority: 0
Last clearing of counters: Never
Last 300 seconds input rate: 26 bytes/sec, 208 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
10464620 packets input, 1476008950 bytes, 0 drops
10562630 packets output, 1499509010 bytes, 0 drops
<AC2> display interface WLAN-TUNNEL
WLAN-Tunnel9 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-e207-f2e0
Description: WLAN-Tunnel9 Interface
PVID: 1
Port link-type: trunk
VLAN passing : 5
VLAN permitted: 5
Trunk port encapsulation: IEEE 802.1q
Port priority: 0
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 9 bytes/sec, 72 bits/sec, 0 packets/sec
10562630 packets input, 1499509010 bytes, 0 drops
10464620 packets output, 1476008950 bytes, 0 drops
(3) 使用display wlan client命令查看訪客用戶的詳細信息
使用display wlan client命令查看訪客用戶的詳細信息,在VLAN字段可以看到訪客用戶通過訪客VLAN 5上線。
本特性的支持情況與具體的設備型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
Bonjour協議是蘋果公司開發的基於mDNS(Multicast DNS,組播域名)服務的零配置網絡協議。Bonjour協議致力於讓網絡配置更簡單,支持Bonjour協議的服務端設備能夠自動組播服務信息,使得局域網內的客戶端在無需獲取服務端設備信息的情況下,自動發現可提供服務的設備。但是Bonjour協議本身隻支持本地鏈路,不支持跨VLAN轉發客戶端和服務端設備的mDNS協議報文,並且網絡管理員也不希望局域網內的客戶端不被限製地任意使用網內服務。這就需要網絡中能有設備設定規則來管理客戶端和服務端設備,並且提供跨VLAN轉發mDNS協議報文,這個設備就是Bonjour網關。
Bonjour網關是用來管理支持Bonjour協議的客戶端和服務端設備,實現Bonjour協議在大規模網絡中的應用。在網絡中部署Bonjour網關的優勢如下:
· 控製網絡中mDNS協議報文流量,減少網絡中過多的mDNS協議報文數量。
· 支持配置策略規則,管理客戶端可以使用的具體服務。
· 提供跨VLAN轉發客戶端和服務端設備的mDNS協議報文,增強網絡的易用性。
· 可以在多級視圖下應用Bonjour策略。
· Bonjour網關不支持對從有線側收到的查詢報文進行轉發,即如果從有線側收到查詢報文,Bonjour網關會直接丟棄。
· 在實際組網中,Bonjour網關會根據配置的限製服務規則和轉發規則對查詢和響應報文進行過濾。為了方便描述,本節重點圍繞Bonjour的工作機製,不對規則過濾進行詳細描述。關於服務規則和轉發規則的作用和配置請參見“9.3.2 配置服務規則和轉發規則”。
Bonjour網關的任務是查詢代理、響應代答和響應轉發,下麵將結合組網來介紹Bonjour網關的工作機製。
在Bonjour網關已經獲取到客戶端需要查詢的所有服務時,Bonjour網關的任務是響應代答。網絡中各服務端設備發送Bonjour響應報文,在網絡中通告其支持的服務,Bonjour網關收到響應報文後,建立Bonjour服務資源表項,然後Bonjour網關可以直接為查詢表項中服務的客戶端回複響應報文,這個過程稱為響應代答。
結合如圖9-1所示組網,Bonjour網關進行響應代答的過程如下:
(1) Apple TV和Print設備發送的Bonjour響應報文,在網絡中通告其支持的服務。
(2) AC收到Apple TV和Print設備發送的Bonjour響應報文後,就會建立Apple TV、Print的Bonjour服務資源表項。
(3) AC收到客戶端關於Apple TV或Print服務的查詢報文,就會直接向客戶端回複響應報文給客戶端,客戶端收到響應後即可獲取提供Apple TV或Print服務的設備信息。
圖9-1 Bonjour網關代答過程圖
在某些情況下,Bonjour網關上收到客戶端的查詢報文,在檢查Bonjour服務資源表項後發現Bonjour網關沒有獲取到客戶端請求的指定服務,此時,Bonjour網關需要對指定服務進行查詢代理和響應轉發。Bonjour網關會轉發查詢報文,如果收到關於此服務的響應報文,就會將此服務的信息添加到Bonjour服務資源表項,然後轉發響應報文給客戶端。之後Bonjour網關可以為該服務端設備進行響應代答。
結合如圖9-2所示組網,Bonjour網關進行查詢代理和響應轉發的過程如下:
(4) iPad客戶端發出一個對Print服務的查詢報文,AP收到該報文後,經由CAPWAP隧道發送到AC。
(5) AC查找Bonjour服務資源表項,發現表項內沒有關於Print服務的內容。AC就會向配置的VLAN列表轉發查詢請求。
(6) 打印機收到AC轉發的查詢報文後,回複響應報文。
(7) AC將響應報文中的服務列表記錄到Bonjour服務資源表項,然後轉發響應給客戶端。
至此AC已經獲取到關於Print服務的表項,之後就可以進行響應代答。即如果有其它客戶端給AC發送關於Print服務的查詢報文,AC會直接查找Bonjour服務資源表項,然後回複響應報文給客戶端。
圖9-2 Bonjour網關查詢代理和響應轉發過程圖
· Bonjour網關支持集中轉發、本地轉發以及策略轉發模式。
· 在使用視頻音頻等媒體流服務時,建議在Bonjour網關上開啟組播轉單播功能。
隻有同時開啟全局和AP的Bonjour網關功能後,Bonjour網關功能才能生效。其中AP的Bonjour網關功能可以在指定AP模板視圖下配置,也可以在AP組視圖下配置。
表9-1 開啟全局Bonjour網關功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟全局Bonjour網關功能 |
wlan bonjour-gateway enable |
必選 缺省情況下,全局Bonjour網關功能處於關閉狀態 |
表9-2 在AP模板視圖下開啟Bonjour網關功能(方式一)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- |
|
開啟Bonjour網關功能 |
bonjour-gateway enable |
可選 缺省情況下,Bonjour網關功能處於開啟狀態 |
表9-3 在AP組視圖下開啟Bonjour網關功能(方式二)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建AP組,並進入AP組視圖 |
wlan ap-group group-name |
必選 缺省情況下,存在一個名為default_group的AP組,所有AP都在這個缺省組中 |
|
開啟Bonjour網關功能 |
bonjour-gateway enable |
可選 缺省情況下,Bonjour網關功能處於開啟狀態 |
Bonjour策略視圖下的配置包括服務規則和轉發規則。
· AC會根據服務規則檢查是否轉發查詢和響應報文。AC收到查詢報文後,會檢查查詢報文中包含的服務類型與service type命令配置的服務類型是否匹配,不匹配就直接丟棄查詢報文。對於收到的響應報文,AC會檢查服務類型、IP地址和實例名,AC隻會轉發符合全部配置要求的響應報文。
· AC會根據配置的VLAN列表檢查是否轉發查詢和響應報文,其中可選參數access-vlan是客戶端接入的VLAN,配置此參數表示可以在客戶端接入的VLAN內轉發查詢和響應報文。
如果某一種服務可能使用多種協議,為確保AC可以轉發針對這種服務的查詢報文,在AC上需要配置多條服務規則。例如,對於airprint打印機服務,在AC上需要同時配置ipp和ipps兩種服務規則。
表9-4 配置服務規則和轉發規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建Bonjour策略 |
wlan bonjour-policy policy-name |
必選 缺省情況下,不存在任何Bonjour策略 |
|
配置服務規則 |
service type service-type [ ip ipv4-address | ipv6 ipv6-address | instance instance-name ] |
請根據實際組網配置 缺省情況下,沒有限製客戶端能夠查找的服務,即客戶端能夠查找到所有的服務 |
|
配置轉發規則 |
service vlan vlan-id-list [ access-vlan ] |
必選 缺省情況,不轉發查詢請求和響應報文 |
Bonjour策略可以分別應用到User Profile視圖、AP視圖、AP組視圖與服務模板視圖下,其中在AP組視圖下應用Bonjour策略是一種批量配置方式,等效於在多個AP視圖下應用Bonjour策略。在User Profile視圖、AP視圖、服務模板視圖下應用的Bonjour策略會組成一個並集。例如在名為ap1的AP視圖下應用Bonjour策略A,配置在VLAN A內可以轉發查詢和響應報文。在配置SSID為service的服務模板下應用Bonjour策略B,配置在VLAN B內可以轉發查詢和響應報文。如果客戶端通過接入點service接入到ap1,那麼AC收到查詢報文和響應報文後,會去同時檢查Bonjour策略A和Bonjour策略B下的配置,在VLAN A和VLAN B內均可以轉發查詢和響應報文。
表9-5 在AP模板上應用指定的Bonjour策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
- |
|
在AP模板上應用指定的Bonjour策略 |
bonjour-policy policy-name |
必選 缺省情況下,沒有在AP模板上應用Bonjour策略 |
表9-6 在AP組上應用指定的Bonjour策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建AP組,並進入AP組視圖 |
wlan ap-group group-name |
必選 缺省情況下,存在一個名為default_group的AP組,所有AP都在這個缺省組中 |
|
在AP組上應用指定的Bonjour策略 |
bonjour-policy policy-name |
必選 缺省情況下,沒有在AP組上應用Bonjour策略 |
表9-7 在服務模板上應用指定的Bonjour策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置WLAN服務模板 |
wlan service-template service-template-number { clear | crypto | wapi } |
- |
|
在服務模板上應用指定的Bonjour策略 |
bonjour-policy policy-name |
必選 缺省情況下,沒有在服務模板上應用Bonjour策略 |
表9-8 在User Profile上應用指定的Bonjour策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建User Profile並進入相應的user-profile視圖 |
user-profile profile-name |
必選 |
|
在User Profile上應用指定的Bonjour策略 |
wlan bonjour-policy policy-name |
必選 缺省情況下,沒有在User Profile上應用Bonjour策略 |
AC進行響應代答時,可能以單播或組播的形式給客戶端回複響應報文:
· 如果AC以單播形式給客戶端回複響應報文,為了防止AC發送過多的單播響應報文給客戶端,可以配置啟動組播方式回複響應報文的門限值解決響應報文過多導致占用帶寬資源的問題。當500毫秒內,接入一個BSS的客戶端對同一個Bonjour服務的查詢報文個數達到指定門限值時,AC在回複響應報文給客戶端時,會使用一個組播響應報文替代達到門限值的單播響應報文。
· 如果AC以組播形式給客戶端回複響應報文,AC缺省會將組播響應報文轉換為單播響應報文。當500毫秒內,接入一個BSS的客戶端對同一個Bonjour服務的查詢報文個數達到指定門限值時,AC在回複響應報文給客戶端時,也會使用一個組播響應報文替代達到門限值的單播響應報文。
表9-9 配置啟動組播方式回複響應報文的門限值
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置啟動組播方式回複響應報文的門限值 |
wlan bonjour-gateway multicast threshold threshold-number |
可選 缺省情況下,使用組播方式回複響應報文的門限值為10 |
為了實現響應代答,AC需要維護Bonjour服務資源表項。AC可以使用兩種方法來維護Bonjour服務資源表項:
· 被動查詢方式:使用display wlan bonjour-service命令可以查看Bonjour服務的生存時間,即TTL值。達到該TTL時間的80%到82%之間時,AC會隨機選擇一個時間發送對此Bonjour服務記錄的查詢報文,如果未收到響應報文,AC會依次在該TTL時間的85%到87%、90%到92%、95%到97%之間發送對此記錄的查詢報文。若在生存時間內,如果AC沒有收到響應報文,AC會刪除對應的服務資源記錄。被動查詢方式在AC上默認開啟,不需要配置。
· 主動查詢方式:開啟該功能後,AC會針對Bonjour服務記錄周期性發送查詢報文,以獲取該服務的響應。AC通過學習響應報文來更新Bonjour服務記錄。若在生存時間內,如果AC沒有收到響應報文,AC會刪除對應的服務資源記錄。
表9-10 配置AC主動查詢Bonjour服務
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置AC主動查詢Bonjour服務 |
wlan bonjour-gateway query enable |
必選 缺省情況下,AC主動查詢Bonjour服務功能處於關閉狀態 |
|
配置AC向已發現的服務發送查詢報文的時間間隔 |
wlan bonjour-gateway query interval interval-number |
可選 缺省情況下,AC向已發現的服務發送查詢報文的時間間隔為15秒 |
在完成上述配置後,在任意視圖下執行display命令可以顯示Bonjour網關的運行情況,通過查看顯示信息驗證配置的效果。
表9-11 Bonjour網關顯示和維護
|
操作 |
命令 |
|
顯示Bonjour策略信息 |
display wlan bonjour-policy [ policy-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示AC發現的Bonjour服務信息 |
display wlan bonjour-service [ | { begin | exclude | include } regular-expression ] |
|
顯示客戶端查詢到的Bonjour服務 |
display wlan client verbose [ | { begin | exclude | include } regular-expression ] |
|
顯示應用的Bonjour策略 |
display wlan ap { all | name ap-name } verbose [ | { begin | exclude | include } regular-expression ] |
|
display wlan service-template [ service-template-number ] [ | { begin | exclude | include } regular-expression ] |
|
|
display wlan ap-group [ group-name ] [ | { begin | exclude | include } regular-expression ] |
在下圖所示組網中,Apple TV和Print分別通過名為apple_tv和print的SSID接入無線網絡,在不同VLAN中的老師和學生需要使用iPad客戶端通過名為teacher和student的SSID接入無線網絡,要求使用iPad客戶端自動發現網絡提供的服務,即老師使用的iPad客戶端可以查找到Apple TV和Print服務,學生使用的iPad客戶端隻可以查找到Print服務。
圖9-3 Bonjour網關配置組網圖
(1) 在AC上完成無線服務的相關配置
將學生使用的iPad客戶端接入名為student的SSID,接入VLAN為VLAN 10,將老師使用的iPad客戶端接入名為teacher的SSID,接入VLAN為VLAN 20,具體配置步驟略。
(2) 為DHCP客戶端分配的網關地址
配置DHCP服務器,使其為客戶端分配的網關地址為AC的IP地址,具體配置步驟略。
(3) 配置Bonjour網關
# 開啟全局Bonjour網關功能。
<AC> system-view
[AC] wlan bonjour-gateway enable
# 創建名稱為teacher的Bonjour策略,通過名為teacher的SSID接入的客戶端可以查找VLAN 3 4 中的服務。
[AC] wlan bonjour-policy teacher
[AC-wlan-bp-teacher] service vlan 3 4
# 創建名稱為student的Bonjour策略,通過名為student的SSID接入的客戶端可以查找VLAN 4 中的服務。
<AC> system-view
[AC] wlan bonjour-policy student
[AC-wlan-bp-student] service vlan 4
# 在為學生接入配置的服務模板上應用Bonjour策略。
[AC] wlan service-template 10 clear
[AC-wlan-st-10] ssid student
[AC-wlan-st-10] bonjour-policy student
[AC-wlan-st-10] service-template enable
# 在為老師接入配置的服務模板上應用Bonjour策略。
[AC] wlan service-template 11 clear
[AC-wlan-st-11] ssid teacher
[AC-wlan-st-11] bonjour-policy teacher
[AC-wlan-st-11] service-template enable
(1) 使用display wlan bonjour-service命令可以查看到AC發現的Apple TV和Print服務。
(2) 使用display wlan client verbose命令可以查看客戶端查找到的Apple TV和Print服務。在VLAN 10中的iPad客戶端隻可以查找到Print服務,在VLAN 20中的iPad客戶端隻可以查找到Apple TV和Print服務。
本特性的支持情況與具體的設備型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
Hotspot2.0是基於802.11u協議,實現客戶端自動發現網絡、自動認證和客戶端在網絡之間無縫漫遊。
目前,AC支持Hotspot2.0協議中的以下三部分。
· 自動發現網絡:通過主動掃描或被動掃描,AC和客戶端交互Hotspot2.0協議的支持情況,如果設備均支持Hotspot2.0協議,客戶端在關聯到AP之前就能通過GAS(Generic Advertisement Service,一般廣告服務)報文查詢到豐富的外部網絡信息。
· 安全性提高:為了提高無線網絡的安全,提供DGAF(Downstream Group-Addressed Forwarding,下行組地址報文轉發)功能,開啟該功能後,AP會轉發所有下行的無線廣播ARP報文和無線組播報文。關閉DGAF功能後,AP會丟棄所有下行的無線廣播和組播報文,防止非法用戶利用這些報文進行欺騙攻擊。
· 增強網絡管理:客戶端從當前BSS獲取負載信息,並且可以在AC上通過調整參數的取值,實現控製客戶端和AC之間進行合理、有序的報文交互。
本地轉發不支持Hotspot2.0協議,即在開啟本地轉發命令後,Hotspot功能不會生效。
自動發現網絡包括核心網的信息和AP集結點信息,其中AP集結點用於通知客戶端提供接入服務AP的用途和類型。配置自動發現網絡功能後,AC會發送GAS報文通知客戶端外部網絡信息,包含廣域網鏈路信息、運營商信息、AP集結點信息等,以便客戶端在獲取這些信息後更智能地選擇接入的網絡。
需要注意是,將Hotspot2.0策略應用到服務模板後,下列配置才能生效。
表10-1 配置自動發現網絡
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個Hotspot2.0策略,並進入Hotspot2.0策略視圖 |
wlan hotspot-policy policy-number |
- |
|
配置3GPP信息 |
3gpp-info country-code country-code network-code network-code |
可選 缺省情況下,沒有配置3GPP信息 |
|
配置域名 |
domain-name name |
可選 缺省情況下,沒有配置域名信息 |
|
配置擴展服務標示 |
hessid hessid |
可選 缺省情況下,沒有配置擴展服務標識 |
|
配置IP地址類型 |
ip-type ipv4 ipv4-type ipv6 ipv6-type |
可選 缺省情況下,IPv4地址的有效性為1,IPv6地址的有效性為2 |
|
配置運營商信息 |
operator-name operator-name lang-code lang-code |
可選 缺省情況下,沒有配置運營商信息 |
|
配置漫遊的服務標示 |
roam-oui oui [ in-beacon ] |
可選 缺省情況下,沒有配置漫遊機構的標識 |
|
配置策略名稱 |
policy-name policy-name |
可選 缺省情況下,沒有配置Hotspot2.0策略名稱 |
|
配置認證方式 |
authentication-type authentication-type [ redirect-url url-address ] |
可選 缺省情況下,沒有配置網絡認證類型 |
|
配置NAI 域名 |
nai-realm name name eap-method eap-method-id auth-method auth-method authentication authentication |
可選 缺省情況下,沒有配置NAI域名支持的認證方式 |
|
用來配置NAI域的存儲順序與手動配置的順序一致 |
nai-realm unsorted |
可選 缺省情況下,NAI域按字典序存儲 |
|
配置廣域網信息 |
wan-metrics { link-down | link-test | link-up } [ asymmetric downlink-speed downlink-speed uplink-speed uplink-speed | symmetric link-speed link-speed ] |
可選 缺省情況下,沒有配置廣域網參數 |
表10-2 配置集結點信息
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AP模板視圖/AP組視圖 |
進入AP模板視圖 |
wlan ap ap-name [ model model-name [ id ap-id ] ] |
兩者必選其一 |
|
進入AP組視圖 |
wlan ap-group group-name |
||
|
配置AP所屬的集結點組名及其子類型 |
ap-venue group venue-group type venue-type |
可選 缺省情況下,沒有配置AP所屬的集結點組名及其子類型 |
|
|
配置AP所屬的集結點名稱信息 |
ap-venue name venue-name lang-code lang-code |
可選 缺省情況下,沒有配置AP所屬的集結點名稱信息 |
|
開啟DGAF(Downstream Group-Addressed Forwarding,下行組地址報文轉發)功能後,AP會轉發所有下行的無線廣播ARP報文和無線組播報文。關閉DGAF功能後,AP會丟棄所有下行的無線廣播ARP報文和無線組播報文,防止非法用戶利用下行組地址報文進行欺騙攻擊。
需要注意的是,如果需要保留無線廣播ARP報文或者無線組播報文,可以配置開啟代理ARP功能或組播優化功能。為了避免報文丟失,建議在關閉該功能前,先開啟代理ARP功能和組播優化功能。
表10-3 關閉DGAF功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個Hotspot2.0策略,並進入Hotspot2.0策略視圖 |
wlan hotspot-policy policy-number |
- |
|
關閉DGAF功能 |
undo dgaf enable |
可選 缺省情況下,DGAF功能處於開啟狀態 |
為了控製客戶端和AC之間進行合理、有序的報文交互,增強網絡管理,可以配置以下參數:
· 為了降低AC處理報文的負擔,可以限定AC在指定時間間隔內接收客戶端發送的最大GAS initial報文數。
· 為了防止客戶端過於頻繁地發送GAS comback報文,限定客戶端必須在指定延遲後才能發送GAS comback報文。
表10-4 配置網絡管理參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個Hotspot2.0策略,並進入Hotspot2.0策略視圖 |
wlan hotspot-policy policy-number |
|
|
配置通知客戶端在指定延遲時間後發送GAS comeback報文 |
comeback-delay value |
可選 缺省情況下,延遲時間值為1TU |
|
配置AC在指定間隔內接收客戶端發送的最大GAS initial報文數 |
gas-limit number number interval interval |
可選 缺省情況下,不對接收到的GAS initial報文數量進行限製 |
為了增強網絡完全性,在應用Hotspot2.0策略時,請注意如下事項:
· 隻能在使用WPA加密方式、認證類型為802.1X的Crypto類型服務模板上應用Hotspot2.0策略。
· 建議在AC上通過attack-detection enable flood命令開啟泛洪攻擊檢測。
表10-5 應用Hotspot2.0策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置WLAN服務模板 |
wlan service-template service-template-number crypto |
不能修改已創建的服務模板的類型 |
|
在服務模板上應用Hotspot2.0策略號 |
hotspot-policy policy-number |
必選 缺省情況下,沒有在服務模板上應用Hotspot2.0策略號, |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
