概述
为了实现WLAN自动关联认证、蜂窝网络数据自动卸载、服务提供商间漫游以及提供一种认证信息的有效管理方式,Wi-Fi联盟提出了Hotspot 2.0标准解决方案。Hotspot 2.0是Wi-Fi联盟的一项技术规范,该规范允许无线终端在不需要额外身份标识的情况下,利用802.11u完成WLAN网络中的自动身份识别和无缝切换,使得无线终端的接入与漫游,达到类似蜂窝网络用户的体验效果。
Web操作示例
比如搭建如下网络:
AP1释放SSID为Passpoint,osen
所属VLAN 10
所需步骤如下:
创建Hotspot应用WiFi(SSID:Passpoint)、创建Radius服务器,WiFi绑定到AP组,映射VLAN 10,Radio 2。
创建在线注册服务提供商WiFi(SSID:osen)并且将WiFi绑定到AP组,映射VLAN 10,Radio 2。
创建Hotspot2.0模板。
应用WiFi绑定Hotspot2.0模板。
创建在线注册服务提供商模板。
在线注册服务提供商WiFi绑定在线注册模板。
配置其它信息。
1. 创建WiFi/WLAN
1.1. 配置Hotspot2.0 WiFi信息
1、配置Hotspot2.0 WiFi信息:WLAN ID,SSID名称,加密方式为WPA/WPA2-802.1X,认证服务器必须配置,记账服务器选配,高级配置可根据需要自行配置。
2、创建Radius服务器。
配置服务器地址
配置认证端口
配置计费端口
配置共享密码
3、Hotspot2.0 WiFi无线用户的上网配置,配置AP组,VLAN ID,RADIO等映射关系。
1.2. 配置Hotspot2.0在线注册WiFi信息
如果支持在线注册,需要配置。
1、配置在线注册WiFi信息:WLAN ID,SSID名称,加密方式为Open,高级配置可根据需要自行配置。
2、在线注册WiFi无线用户的上网配置,配置AP组,VLAN ID,RADIO等映射关系。
2. 创建Hotspot 2.0模板
高级配置为可选配置。
2.1. 配置Hotspot2.0模板绑定Hotspot2.0 WiFi
1、填写模板名称。
2、将模板绑定到Hotspot2.0 WiFi上(必须配置正确)。
2.2. 配置在线注册
可选配置
1、配置Hotspot 2.0接入在线注册的SSID:当提供在线注册NAI时,在线注册的接入网络为OSEN方式,否则为OPEN模式,为了安全起见,建议将在线注册SSID配置成hidden模式。
2、有需本地上传图标在此操作。
浏览本地目录,选择图标,进行上传。
3、在线注册服务提供商模板配置。
1)配置服务提供商名称;
2)配置服务提供商URL;
3)配置在线注册方法:用户执行在线注册的方法,包括OMA DM方法和SOAP XML SPP方法;(按照运营商实际提供的方法进行选择);
4)可选择已经上传的图标;
5)高级配置按照运营商实际情况进行填写;
6)保存。
4、选择在线注册服务提供商。
2.3. 配置协议
1、选择连接协议(可选配置);
2、配置下行组播转发状态(可选配置);
3、配置DLS和TDLS连接控制(可选配置)。
2.4. 配置运营商信息
1、配置运营商名称(可选配置);
2、配置热点运营商域名(可选配置):配置后终端可通过ANQP查询获取该信息,以辅助选择网络。
2.5. 配置蜂窝网络信息
1、配置NAI域成员(可选配置):配置后,终端可以访问配置的运营商网络。
2、配置蜂窝网络标识(可选配置):用户终端需要从AP获取蜂窝网络标识(3GPP Cellular PLMN),用于选择接入的网络,识别蜂窝网络,蜂窝网络信息包括MCC(移动国家码,3位)和MNC(移动网络码,2位或者3位)。
3、配置Hotspot 2.0漫游联盟(可选配置):联盟标识(OI),用于唯一标识漫游成员,由六位或十位十六进制数组成。 in-beacon :将漫游联盟标识加入到Beacon 帧,最多可以有3个可以加入Beacon帧。如果未指定本参数,则漫游联盟标识不会加入到Beacon帧。
4、配置Hotspot 2.0家乡扩展服务集标识(可选配置):当网络中存在多个Hotspot 2.0服务时,用户终端需要识别接入的服务提供商,而SSID不具有唯一性,所以使用具备唯一性的HESSID来标识服务提供商相同的AP的集合,HESSID与某一个AP的BSSID一致。HESSID为Hotspot 2.0中的可选参数。支持Hotspot 2.0的AP,在beacon、probe response帧中携带参数信息,帮助用户终端判断是否需要重新获取网络参数
2.6. 配置其它信息
1、可自定义选择填写Hotspot2.0使用的场景以及名称。
2.7. AC控制台命令配置
1、进入configure模式。
configure
2、配置广播转单播。
btou enable
3、OSU选择OSEN加密方式(如果OSU不是OSEN模式可忽略此处配置),需要在在线注册WiFi加密上配置,如下:
wlansec 2
security osen enable
生效
AC进行show run查看配置。
!
wlan-config 1 Passpoint -->Hotspot2.0 WiFi
ssid-code utf-8
hotspot2 template Hotspot2.0 -->绑定Hotspot2.0模板
!
wlan-config 2 osen -->创建在线注册WiFi
ssid-code utf-8
!
ap-group default
interface-mapping 1 10 radio 2 ap-wlan-id 1
interface-mapping 2 10 radio 2 ap-wlan-id 2
!
hotspot2 osu-provider template ruijie -->在线注册模板
server-uri https://osu.odyssys.net-->在线注服务URL
method soap-xml-spp -->配置在线注册方法
!
hotspot2 template Hotspot2.0 -->Hotspot2.0模板
3gpp-cellular-network mcc 460 mnc 00 -->配置Hotspot 2.0模板的蜂窝网络标识
3gpp-cellular-network mcc 460 mnc 01
3gpp-cellular-network mcc 460 mnc 03
osu-ssid osen -->绑定在线注册WiFi
roam-consortium oi 50-6F-9A in-beacon -->配置Hotspot 2.0漫游联盟
hessid 0a69.6cb9.7918 -->配置家乡扩展服务集标识
domain-name wi-fi.org -->配置热点运营商域名
nai-realm realm-name wi-fi.org -->配置NAI域成员信息
nai-realm realm-name wifi.org eap-method-type eap-tls auth-method 5 auth-para 7
operator-name language-code chi name "Wi-Fi" -->配置运营商名称
operator-name language-code eng name "Wi-Fi Alliance"
osu-provider ruijie -->配置应用在线注册提供商模板
!
aaa accounting network radius start-stop group radius-->配置网络记账方法列表(使用RADIUS记账)
aaa authentication login default local
aaa authentication dot1x radius group radius -->用于802.1X用户认证
no identify-application enable
!
radius-server host 172.18.33.114 key testing123 -->配置RADIUS服务器和密钥
!
btou enable -->配置广播转单播
!
wlansec 1
security rsn enable
security rsn ciphers aes enable
security rsn akm 802.1x enable
security wpa enable
security wpa ciphers aes enable
security wpa akm 802.1x enable
dot1x authentication radius
dot1x accounting radius
!
wlansec 2
security osen enable -->OSU是OSEN加密方式则OSEN 加密需要开使能
!
常见问答
配置在线注册friendly name后,终端无法显示该信号?
三星终端:需要在终端上先安装证书后,可以显示friendly name信号。
iPhone终端:
官网提问:有国外网友在官网提问该问题,iPhone没有给出答复。
联盟颁发证书:iPhone没有获取R2相关证书。
终端选择安装的证书去关联AP释放的SSID无法上线?
证书安装后,终端上会生成一个运营商信号,可以点击该信号进行证书认证接入。
出于安全性考虑,服务器或者终端会校验接入的信号和证书携带的信号等进行校验,所以不能用AP释放的SSID进行证书认证接入。