配置终端定位基本示例
适用的AC:AC6605、AC6005
适用的AP:所有形态的AP
适用的版本:V200R005C00
组网需求
如图1所示,某公司网络中,AC直接与AP1、AP2、AP3连接。
管理员希望通过终端定位功能,实时获取公司无线网络覆盖范围内没有接入公司无线网络的非法终端的位置,方便管理员对无线网络进行管理。
图1
配置WLAN定位基本服务示例
配置思路
采用如下的思路配置终端定位服务:
配置WLAN基本业务,保证用户能够通过WLAN网络接入公司内部网络。
配置终端定位业务,使AP可以扫描和采集周围环境的无线信号,并能够将数据上报给定位服务器。
操作步骤
1、获取/安装esight网管(略)
请登录华为公司企业业务支持网站(http://support.huawei.com/enterprise),在“服务支持 > 产品支持 > 基础网络与安全 > 网络管理 > eSight ”下,获取esight网管产品文档,并根据文档的指导获取/安装esight网管。
说明:
请参照esight网管V200R003C01SPC200版本或V200R003C01SPC200以上版本的产品文档。
2、配置AC,使AP与AC之间能够传输CAPWAP报文
说明:
本示例的数据转发方式采用隧道转发。如果数据转发方式为直接转发,建议在AC连接AP的接口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。
# 配置AC连接AP1~AP3的接口GigabitEthernet0/0/1~GigabitEthernet0/0/3加入VLAN100(管理VLAN)。
<AC6605> system-view [AC6605] sysname AC [AC] vlan batch 100 101 [AC] interface gigabitethernet 0/0/1 [AC-GigabitEthernet0/0/1] port link-type trunk [AC-GigabitEthernet0/0/1] port trunk pvid vlan 100 [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 [AC-GigabitEthernet0/0/1] quit [AC] interface gigabitethernet 0/0/2 [AC-GigabitEthernet0/0/2] port link-type trunk [AC-GigabitEthernet0/0/2] port trunk pvid vlan 100 [AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 [AC-GigabitEthernet0/0/2] quit [AC] interface gigabitethernet 0/0/3 [AC-GigabitEthernet0/0/3] port link-type trunk [AC-GigabitEthernet0/0/3] port trunk pvid vlan 100 [AC-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 [AC-GigabitEthernet0/0/3] quit
3、配置AC与定位服务器互通
# 配置AC连接定位服务器的接口GE0/0/4加入VLAN100。
[AC] interface gigabitethernet 0/0/4 [AC-GigabitEthernet0/0/4] port hybrid pvid vlan 100 [AC-GigabitEthernet0/0/4] port hybrid untagged vlan 100 [AC-GigabitEthernet0/0/4] quit
4、配置AC作为DHCP服务器,为STA和AP分配IP地址
# 配置基于接口地址池的DHCP服务器,其中,VLANIF100接口为AP提供IP地址,VLANIF101为STA提供IP地址。
[AC] dhcp enable[AC] interface vlanif 100 [AC-Vlanif100] ip address 192.168.10.1 24 [AC-Vlanif100] dhcp select interface [AC-Vlanif100] quit [AC] interface vlanif 101 [AC-Vlanif101] ip address 192.168.11.1 24 [AC-Vlanif101] dhcp select interface [AC-Vlanif101] quit
5、配置AC的系统参数
# 配置AC的国家码。
[AC] wlan ac-global country-code cnWarning: Modify the country code may delete configuration on those AP which use
the global country code and reset them, continue?[Y/N]:y
# 配置AC ID和运营商标识。
[AC] wlan ac-global ac id 1 carrier id other
# 配置AC的源接口。
[AC] wlan[AC-wlan-view] wlan ac source interface vlanif 100
6、在AC上管理AP
# 现场获取AP的MAC地址后,查看AP的设备类型ID。
[AC-wlan-view] display ap-type all
根据查询到的AP设备类型ID,离线添加AP。假设AP的类型为AP6010DN-AGN,其MAC地址分别为60de-4476-e360、dcd2-fc04-b500、dcd2-fc21-5d40。
[AC-wlan-view] ap-auth-mode mac-auth [AC-wlan-view] ap id 1 type-id 19 mac 60de-4476-e360 [AC-wlan-ap-1] quit [AC-wlan-view] ap id 2 type-id 19 mac dcd2-fc04-b500 [AC-wlan-ap-2] quit [AC-wlan-view] ap id 3 type-id 19 mac dcd2-fc21-5d40 [AC-wlan-ap-3] quit
说明:
ap-auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap-auth-mode mac-auth。
# 配置AP域并将AP加入到AP域。
[AC-wlan-view] ap-region id 10 [AC-wlan-ap-region-10] quit [AC-wlan-view] ap id 1 [AC-wlan-ap-1] region-id 10 [AC-wlan-ap-1] quit [AC-wlan-view] ap id 2 [AC-wlan-ap-2] region-id 10 [AC-wlan-ap-2] quit [AC-wlan-view] ap id 3 [AC-wlan-ap-3] region-id 10 [AC-wlan-ap-3] quit
# AP上线后,可以查看到AP的“AP State”字段为“normal”。
[AC-wlan-view] display ap all
7、配置AC和AP上报信道扫描信息的目的地与端口号
# 配置AP上到信道扫描信息给AC,端口号为6411。
[AC-wlan-view] location ap report-server ac port 6411
# 配置AC上报信道扫描信息给服务器,端口号为32180。定位服务器的地址为192.168.10.100。
[AC-wlan-view] location ac report-server ip-address 192.168.100.10 port 32180
8、配置WLAN业务和终端定位相关参数
# 创建名为“wmm”的WMM模板。
[AC-wlan-view] wmm-profile name wmm id 1[AC-wlan-wmm-prof-wmm] quit
# 创建名为“radio”的射频模板,绑定WMM模板“wmm”,同时配置终端定位的信道扫描时间与信道扫描间隔以及扫描信息上报周期。
[AC-wlan-view] radio-profile name radio id 1 [AC-wlan-radio-prof-radio] wmm-profile name wmm [AC-wlan-radio-prof-radio] channel-mode fixed [AC-wlan-radio-prof-radio] power-mode fixed [AC-wlan-radio-prof-radio] undo calibrate enable [AC-wlan-radio-prof-radio] channel scan-time 200 [AC-wlan-radio-prof-radio] channel scan-frequency 2 [AC-wlan-radio-prof-radio] location report-frequency 10 [AC-wlan-radio-prof-radio] quit [AC-wlan-view] quit
# 创建WLAN-ESS接口1。
[AC] interface wlan-ess 1 [AC-Wlan-Ess1] port hybrid pvid vlan 101 [AC-Wlan-Ess1] port hybrid untagged vlan 101 [AC-Wlan-Ess1] quit
# 创建名为“security”的安全模板。
[AC] wlan [AC-wlan-view] security-profile name security id 1 [AC-wlan-sec-prof-security] quit
# 创建名为“traffic”的流量模板。
[AC-wlan-view] traffic-profile name traffic id 1[AC-wlan-traffic-prof-traffic] quit
# 创建名为“test”的服务集并绑定WLAN-ESS接口、安全模板和流量模板。
[AC-wlan-view] service-set name test id 1 [AC-wlan-service-set-test] ssid test [AC-wlan-service-set-test] wlan-ess 1 [AC-wlan-service-set-test] security-profile name security [AC-wlan-service-set-test] traffic-profile name traffic [AC-wlan-service-set-test] service-vlan 101 [AC-wlan-service-set-test] forward-mode tunnel [AC-wlan-service-set-test] quit
9、配置VAP并下发
# 配置VAP,同时开启信道扫描功能和WIDS功能。
说明:
使用终端定位功能对非法终端、非法AP、非法网桥和Ad-hoc等进行定位时,需要开启WIDS功能。对正常终端定位时,无需开启WIDS功能。
[AC-wlan-view] ap 1 radio 0[AC-wlan-radio-1/0] radio-profile name radio[AC-wlan-radio-1/0] service-set name test[AC-wlan-radio-1/0] work-mode hybrid
Warning: Modify the work mode may cause business interruption, are you sure to
continue?(y/n)[n]: y [AC-wlan-radio-1/0] device detect enable[AC-wlan-radio-1/0] location enable[AC-wlan-radio-1/0] channel scan-switch enable[AC-wlan-radio-1/0] quit[AC-wlan-view] ap 2 radio 0[AC-wlan-radio-2/0] radio-profile name radio[AC-wlan-radio-2/0] service-set name test[AC-wlan-radio-2/0] work-mode hybrid
Warning: Modify the work mode may cause business interruption, are you sure to
continue?(y/n)[n]: y [AC-wlan-radio-2/0] device detect enable[AC-wlan-radio-2/0] location enable[AC-wlan-radio-2/0] channel scan-switch enable[AC-wlan-radio-2/0] quit[AC-wlan-view] ap 3 radio 0[AC-wlan-radio-3/0] radio-profile name radio[AC-wlan-radio-3/0] service-set name test[AC-wlan-radio-3/0] work-mode hybrid
Warning: Modify the work mode may cause business interruption, are you sure to
continue?(y/n)[n]: y [AC-wlan-radio-3/0] device detect enable[AC-wlan-radio-3/0] location enable[AC-wlan-radio-3/0] channel scan-switch enable[AC-wlan-radio-3/0] quit
# 提交配置。
[AC-wlan-view] commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N
]y
10、验证配置结果
a、打开esight网管,创建区域。此例中创建的区域名称为ap_region_1
# 在主菜单中选择“业务 > 网络 > WLAN管理”。
# 在左侧的导航树中选择“资源管理 > 区域”。
# 创建区域
b、在WLAN位置拓扑中增加AP。
# 在左侧的导航树中选择“WLAN拓扑 > WLAN位置拓扑”,打开“WLAN位置拓扑”页面。
# 在“Location Topology”页面双击左侧导航树或右侧视图中区域(位置)的名称ap_region_1,进入ap_region_1的位置视图。
# 在ap_region_1的位置视图中右键“增加AP”,勾选需要执行定位的AP,并刷新“Location Topology”页面。
说明:
执行定位的AP应不少于三个,否则无法对终端执行定位。
c、为定位区域ap_region_1设置背景地图和比例尺。
# 在ap_region_1的位置视图中,单击快捷图标栏中的
# 根据实际情况选择背景题图,并单击“确定”。
说明:
图片为网络物理环境的平面图,图片文件格式支持GIF、JPG、JPEG、PNG。
# 在ap_region_1的位置视图中,单击快捷图标栏中的锁定/解锁图标,并根据AP的实际部署情况,正确放置各个AP在背景地图上的位置。
# 在ap_region_1的位置视图中,单击右键选择“设置比例尺”。单击设置起点和终点,并输入两点之间的实际长度,系统自动计算出背景地图的比例尺。
# 单击快捷图标栏中的,保存ap_region_1的位置拓扑。
d、启动esight网管的区域定位功能
# 打开esight网管的主页面,在左侧的导航树中选择“资源管理 > 区域”。在新建的区域ap_region_1的“操作”列单击“更多”,选择“启用区域定位”。
e、在esight网管上查看定位结果
说明:
启动esight网管的区域定位功能后,esight网管会根据AP在一段时间内多次上报的扫描信息进行计算,大概30分钟后可以计算出定位结果。
# 在左侧的导航树中选择“WLAN拓扑 > WLAN位置拓扑”,打开“WLAN位置拓扑”页面。双击ap_region_1区域,进入ap_region_1的位置视图。
# 在“地图设置”里勾选“非法终端”,查看非法终端的定位信息。