CAPsMAN AAA
在/caps-man AAA菜单中可以找到配置CAPsMAN AAA功能的设置:
| 属性 | 说明描述 |
|---|---|
| mac-format (string;Default:XX:XX:XX:XX:XX) | 控制MAC认证和MAC计费RADIUS请求的User-Name属性中接入点如何对客户端的MAC地址进行编码。 |
| mac-mode (as-username| as-username-and-password;Default:as username) | 在MAC认证期间发送Access- request时,默认接入点使用空密码。当此属性设置为用户名和密码时,接入点将对用户密码属性使用与用户名属性相同的值。 |
| mac-caching (disabled | time-interval; Default: disabled) | 如果设置为时间间隔,则在指定的时间内缓存RADIUS MAC认证响应,如果匹配的缓存表项已经存在,则不与RADIUS服务器联系。取值disabled将禁用缓存,接入点将始终与RADIUS服务器联系。 |
| interim-update (disabled | time-interval;Default:disabled) | 使用RADIUS计费时,接入点定期向RADIUS服务器发送更新的计费信息。此属性指定RADIUS服务器可以使用 account - interval - interval 属性覆盖的默认更新间隔。 |
| called-format (mac | mac:ssid| ssid; Default: mac:ssid) | 如何将“called-id”标识符传递给RADIUS的格式。在配置radius服务器客户端时,可以指定“called-id”来分隔多个实体。 |
rates.ht-basic-mcsExample
假设已经配置了其余的设置,只剩下“Security”部分。
单服务器Radius认证
创建CAPsMAN安全配置
配置Radius服务器客户端
将配置分配给主概要文件(或直接分配给CAP本身)
/caps-man security add authentication-types=wpa2-eap eap-methods=passthrough encryption=aes-ccm group-encryption=aes-ccm name=radius
/radius add address=x.x.x.x secret=SecretUserPass service=wireless
/caps-man configuration set security=radius
每个SSID使用不同的Radius服务器进行Radius认证
创建CAPsMAN安全配置
配置AAA设置
3.配置Radius服务器客户端
将配置分配给主概要文件(或直接分配给CAP本身)
/caps-man security add authentication-types=wpa2-eap eap-methods=passthrough encryption=aes-ccm group-encryption=aes-ccm name=radius
/caps-man aaa set called-format=ssid
/radius add address=x.x.x.x secret=SecretUserPass service=wireless called-id=SSID1
/radius add address=y.y.y.y secret=SecretUserPass service=wireless called-id=SSID2
/caps-man configuration set security=radius
现在每个连接到CAP的ssid=SSID1将他们的radius请求发送到 x.x.x.x 和每个连接到CAP的ssid=SSID2将他们的radius请求发送到 y.y.y.y
CAPsMAN访问列表
CAPsMAN上的访问列表是一个有序的规则列表,用于允许/拒绝客户端连接到CAPsMAN控制下的任何CAP。当客户端试图连接到由CAPsMAN控制的CAP时,CAP将该请求转发给CAPsMAN。作为注册过程的一部分,CAPsMAN查询访问列表以确定是否应该允许客户端连接。访问列表的默认行为是允许连接。
逐个处理访问列表规则,直到找到匹配的规则。然后执行匹配规则中的操作。如果action指定应该接受客户端,则客户端被接受,可能会用access-list规则中指定的参数重写其默认连接参数。
访问列表在/caps-man access-list菜单中配置。access-list规则有以下参数:
客户端匹配参数:
address -客户端的MAC地址
mask比较客户端地址时使用的MAC地址掩码
interface -可选接口,用于与客户端实际连接的接口进行比较
time -规则匹配的时间
signal-range -客户端信号的匹配范围
allow-signal-out- range -允许客户端信号始终或一段时间间隔超出范围的选项
action参数-指定客户端匹配时采取的操作:
accept -接受客户端
reject拒绝客户端
query- RADIUS在允许特定客户端连接时查询RADIUS服务器
连接参数:
ap-tx-limit发送到客户端的速率限制
client-tx-limit -到AP方向的tx限速(仅适用于RouterOS客户端)
-client- to-client-forwarding表示是否允许将从该客户端接收到的数据转发给连接在同一接口上的其他客户端
private-passphrase -当使用PSK认证算法时,该客户端使用的PSK密码
RADIUS -accounting -指定如果对该客户端进行RADIUS认证,是否使用RADIUS流量计费
VLAN -mode - VLAN标记模式指定来自客户端的流量是否被标记(去往客户端的流量是否被标记)。
VLAN - ID配置VLAN标签时使用的VLAN ID。
CAPsMAN频道
信道组设置允许配置无线电信道相关设置的列表,例如无线电频带、频率、Tx功率扩展信道和宽度。
频道组设置在频道配置文件菜单/caps-man频道中配置
| 属性 | 说明 |
|---|---|
| band (2ghz-b | 2ghz-b/g | 2ghz-b/g/n | 2ghz-onlyg | 2ghz-onlyn | 5ghz-a | 5ghz-a/n| 5ghz-onlyn; Default: ) | 根据无线网卡的硬件性能,定义可操作的无线电频带和模式 |
| comment (string;Default:) | 通道组配置文件的简短描述 |
| extension-channel (Ce | eeee | eC| eCee| eeCe | eeeC | disabled;Default:) | 扩展通道配置。(如Ce =扩展通道在控制通道上方,eC =扩展通道在控制通道下方) |
| frequency (integer [0..4294967295];Default:) | 以MHz为单位的信道频率值,AP将在其上工作。 |
| name (string;Default:) | 通道组配置文件的描述性名称 |
| tx-power (integer [-30..40]; Default: ) | CAP接口的TX功率(用于整个接口而不是单个链),以dBm为单位。不可能设置高于国家法规或接口允许的值。缺省情况下,使用国家或接口允许的最大值。 |
| width (;Default:) | 以MHz为单位设置通道宽度。(例20、40) |
| save-selected (;Default:yes) | 为CAP电台保存选定的频道-将在CAP重新连接到CAPsMAN后选择此频道并使用它,直到为此CAP完成频道重新优化 |
CAPsMAN配置
配置文件允许将预定义的“顶级”主设置应用于所提供的CAP无线电。
配置文件在/caps-man Configuration菜单中配置:
| 属性 | 说明 |
|---|---|
| channel (list; Default: ) | 用户自定义列表取自频道名称(/caps-man频道) |
| channel.band (2ghz-b | 2ghz-b/g | 2ghz-b/g/n| 2ghz-only | 2ghz-onlyn | 5ghz-a | 5ghz-a/n | 5ghz-onlyn | 5ghz-a/n/ac | 5ghz-only-ac_;Default:) | 定义一组使用的通道。 |
| channel. control-channel-width (40mhz-turbo | 20mhz | 10mhz| 5 mhz;Default:) | 定义一组使用的通道宽度。 |
| channel. extension-channel (Ce | Ceee | eC| eee | eeCe | eeeC | xx | xxxx | disabled;Default:) | 扩展通道配置。(如Ce =扩展通道在控制通道上方,eC =扩展通道在控制通道下方) |
| channel.frequency (integer [0..4294967295];Default:) | 以MHz为单位的信道频率值,AP将在其上工作。如果留空,CAPsMAN将自动确定占用最少的最佳频率。 |
| channel.reselect-interval (time [00:00:00]; [00:00:00..00:00:00]; Default: ) | 选择占用频率最小的间隔可以定义为一个随机间隔,例如“30m..60m”。仅当channel.frequency为空时有效。 |
| channel.save-selected (yes | no; Default: no) | 如果自动选择通道频率和通道。使用Reselect-interval ,然后保存最后选择的频率。 |
| channel.secondary-frequency (integer [0..4294967295]; Default: auto) | 指定将用于80+80MHz配置的第二个频率。将其设置为Disabled以禁用80+80MHz能力。 |
| channel.skip-dfs-channels (yes | no; Default: no) | 如果channel.frequency为空,选择将跳过DFS通道 |
| channel. tx-power (integer [-30..40];Default: ) | CAP接口的TX功率(用于整个接口,而不是单个链),以dBm为单位。不可能设置高于国家法规或接口允许的值。缺省情况下,使用国家或接口允许的最大值。 |
| channel.width;Default:) | 以MHz为单位设置通道宽度。 |
| comment (string;Default:) | 配置文件的简短描述 |
| country (name of the country | no_country_set; Default: no_country_set) | 限制每个频率的可用频带、频率和最大发射功率。还指定scan-list的默认值。值no_country_set是FCC兼容的通道集合。 |
| datapath (list; Default: ) | 用户自定义列表,取自数据路径名称(/caps-man Datapath) |
| datapath.bridge (list;Default:) | 桥接,特定的接口应自动添加为端口。仅当不使用local-forwarding时需要配置。 |
| datapath.bridge-cost (integer [0..4294967295];Default:) | 添加为桥接端口时使用的桥接端口成本 |
| datapath.bridge-horizon (integer [0..4294967295]; Default: ) | 添加作为桥端口 |
| datapath.client-to-client-forwarding (yes | no;Default:no) | 控制连接到接口的无线客户端之间是否允许客户端到客户端转发,在本地转发模式下,此功能由CAP执行,否则由CAPsMAN |
| datapath.interface-list (;Default:) | |
| datapath.l2mtu (; Default: ) | set Layer2 MTU大小 |
| datapath.Local-forwarding (yes| no;Default:no) | 控制转发模式。如果禁用,所有L2和L3数据将转发给CAPsMAN,然后才会做出进一步的转发决定。 注,如果禁用,请确保参与同一广播域的每个CAP接口MAC地址是唯一的(包括本地MAC,如Bridge-MAC)。 |
| datapath.mtu (; Default: ) | 设置MTU大小 |
| datapath.openflow-switch (; Default: ) | OpenFlow交换机端口(启用时)用于将接口添加到 |
| datapath.vlan-id (integer [1..4095];Default:) | 如果VLAN模式允许使用VLAN标记,则分配给接口的VLAN ID |
| datapath.vlan-mode (use-service-tag | use-tag;Default:) | 启用并指定要分配给接口的VLAN标签类型(使所有接收到的数据都带有VLAN标签,并允许接口只发送带有给定标签的数据) |
| disconnect-timeout (; Default: ) | |
| distance (; Default: ) | |
| frame-lifetime (; Default: ) | |
| guard-interval (any| long; Default: any) | 是否允许使用短保护间隔(请参阅802.11n MCS规范,以了解这可能如何影响吞吐量)。“any”将根据数据速率使用short或long,“long”将仅使用long。 |
| hide-ssid (yes | no; Default: ) | - yes - AP在信标帧中不包含SSID,并且对广播SSID的探测请求不予回应。 - no - AP在信标帧中包含SSID,对广播SSID的探测请求进行应答。 此属性仅在AP模式下有效。将其设置为yes可以将该网络从某些客户端软件显示的无线网络列表中删除。更改此设置不会提高无线网络的安全性,因为SSID包含在AP发送的其他帧中。 |
| hw-protection-mode (; Default: ) | |
| hw-retries (; Default: ) | |
| installation (any | indoor | outdoor; Default: any) | |
| keepalive-frames (enabled | disabled; Default: enabled) | |
| load-balancing-group (string; Default: ) | 将接口加入负载分担组。要使客户端连接到该组中的接口,该接口应具有与组中所有其他接口相同或更少的已连接客户端数量。在cap范围大多重叠的设置中非常有用。 |
| max- stat -count (integer [1..2007];Default:) | 最大关联客户端数。 |
| mode (;Default:ap) | 设置操作模式。目前仅支持ap。 |
| multicast-helper (default | disabled | full; Default: default) | 当设置为full时,组播数据包将以单播目的MAC地址发送,解决了无线链路上的 组播问题 。此选项应仅在接入点上启用,客户端应配置为站-网桥模式。从v5.15开始可用。 - disabled关闭helper功能,发送带组播目的MAC地址的组播报文 - full - all组播包的MAC地址在发送之前更改为单播MAC地址 - default -当前设置为_disabled_的默认选项。值可以在以后的版本中更改。 |
| name (string; Default: ) | 配置文件的描述性名称 |
| rate (;Default:) | 用户自定义列表,取自速率名称(/caps-man Rates) |
| rates.basic (1Mbps | 2Mbps | 5.5Mbps | 6Mbps | 11Mbps | 11Mbps | 12Mbps | 18Mbps | 24Mbps | 36Mbps | 48Mbps | 54Mbps; Default: ) | |
| rates.supported (1Mbps | 2Mbps | 5.5Mbps | 6Mbps | 11Mbps | 11Mbps | 12Mbps | 18Mbps | 24Mbps | 36Mbps | 48Mbps | 54Mbps; Default: ) | |
| rates.ht-basic-mcs (list of (mcs-0 | mcs-1 | mcs-2 | mcs-3 | mcs-4 | mcs-5 | mcs-6 | mcs-7 | mcs-8 | mcs-9 | mcs-10 | mcs-11 | mcs-12 | mcs-13 | mcs-14 | mcs-15 | mcs-16 | mcs-17 | mcs-18 | mcs-19 | mcs-20 | mcs-21 | mcs-22 | mcs-23); Default: mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7) | 调制和编码方案,每个连接的客户端必须支持。MCS规范请参考802.11n。 |
| rates.ht-supported-mcs (list of (mcs-0| mcs-1 | mcs-2 | mcs-3 | mcs-4 | mcs-5 | mcs-6 | mcs-7 | mcs-8 | mcs-9 | mcs-10 | mcs-11 | mcs-12 | mcs-13 | mcs-14 | mcs-15 | mcs-16 | mcs-17 | mcs-18 | mcs-19 | mcs-20 | mcs-21 | mcs-22 | mcs-23); Default: mcs-0; mcs-1; mcs-2; mcs-3; mcs-4; mcs-5; mcs-6; mcs-7; mcs-8; mcs-9; mcs-10; mcs-11; mcs-12; mcs-13; mcs-14; mcs-15; mcs-16; mcs-17; mcs-18; mcs-19; mcs-20; mcs-21; mcs-22; mcs-23) | 调制和编码方案,该设备宣布支持。MCS规范请参考802.11n。 |
| rates.vht-basic-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: none) | 调制和编码方案,每个连接的客户端必须支持。MCS规范请参考802.11ac。 您可以设置每个空间流的MCS间隔 - none -将不使用选定的空间流 - MCS 0-7 - client必须支持MCS-0到MCS-7 - MCS 0-8 - client必须支持MCS-0到MCS-8 - MCS 0-9 - client必须支持MCS-0到MCS-9 |
| rates.vht-supported-mcs (none | MCS 0-7 | MCS 0-8 | MCS 0-9; Default: none) | 调制和编码方案,该设备宣布支持。MCS规范请参考802.11ac。 可以设置每个空间流的MCS间隔 - none -将不使用选定的空间流 - MCS 0-7 -设备将作为支持的MCS-0通告到MCS-7 - MCS 0-8 -设备将通告为支持的MCS-0到MCS-8 - MCS 0-9 -设备将作为支持的MCS-0通告到MCS-9 |
| rx-chains (list of integer [0..3]; Default: 0) | 用哪根天线接收。 |
| security (string;Default:none) | 来自/caps-man security的安全配置名称 |
| security.authentication-types (list of string;Default:none) | 指定身份验证的类型从wpa-psk , wpa2-psk, wpa-eap或wpa2-eap |
| security.disable-pmkid (; Default: ) | |
| security.eap-methods (eap-tls | passthrough; Default: none) | - EAP - TLS -使用内置的EAP TLS认证。 - passthrough -接入点将认证过程中继到RADIUS服务器。 |
| security.eap-radius-accounting (; Default: ) | 指定如果对该客户端进行RADIUS认证,是否应该使用RADIUS流量计费 |
| security.encryption (aes-ccm | tkip;Default:) | 设置使用的单播加密算法类型 |
| security.group-encryption (aes-ccm | tkip;Default:aes-ccm) | 接入点发布这些密码中的一个,可以选择多个值。接入点使用它来加密所有广播和组播帧。客户端只尝试连接到使用指定组密码之一的接入点。 - tkip -临时密钥完整性协议-加密协议,与传统的WEP设备兼容,但增强以纠正一些WEP缺陷。 - AES -ccm -更安全的WPA加密协议,基于可靠的AES (Advanced encryption Standard)。没有WEP遗留的网络应该只使用这个密码。 |
| security.group-key-update (time: 30s..1h; Default: 5m) | 控制访问点更新组密钥的频率。该密钥用于加密所有广播和组播帧。属性仅对接入点有效。 |
| security. passphrase (string;Default:) | WPA或WPA2预共享密钥 |
| security. tls-certificate (none | name;Default:) | 接入点总是需要一个证书。当Tls-mode设置为no-certificates以外的值时。 |
| security.tls-mode (verify-certificate | dont-verify-certificate | no-certificates | verify-certificate-with-crl; Default: ) | 此属性仅在安全时有效。eap-methods包含eap-tls。 - verify-certificate -要求远端设备拥有有效的证书。检查它是否由已知的证书颁发机构签名。没有额外的身份验证。证书可能包括有关其有效期间的信息。如果路由器的时间和日期不正确,它可能会因为路由器的时钟超出了时间和日期而拒绝有效的证书。另请参见 证书 配置。 - don -verify-certificate -不检查远端设备的证书。接入点不需要客户端提供证书。 - no-certificates -不使用证书。TLS会话采用2048位匿名Diffie-Hellman密钥交换建立。 - verify-certificate-with-crl -与verify-certificate相同,但通过查看证书吊销列表来检查证书是否有效。 |
| ssid (string (0..32 chars); Default: ) | SSID(服务集标识符)是在信标中广播的标识无线网络的名称。 |
| tx-chains (list of integer [0..3];Default:0) | 使用哪些天线进行传输。 |
CAPsMAN datapath
数据路径设置控制数据转发的相关方面。在CAPsMAN中,数据路径设置在数据路径配置文件菜单/caps-man数据路径中配置,或者直接在配置配置文件或接口菜单中配置 datapath 前缀。
主要有两种转发方式:
本地转发模式,CAP在本地向无线接口转发数据
管理者转发模式,CAP将所有通过无线方式接收到的数据发送给CAPsMAN,只发送从CAPsMAN接收到的无线数据。在这种模式下,甚至客户机到客户机的转发也由CAPsMAN控制和执行。
转发模式是在每个接口的基础上配置的,所以如果一个CAP提供2个无线电接口,一个可以配置为本地转发模式,另一个可以配置为管理转发模式。Virtual-AP接口也是如此,每个接口可以与主接口或其他Virtual-AP接口具有不同的转发模式。
大多数数据路径设置仅在管理员转发模式下使用,因为在本地转发模式下,CAPsMAN无法控制数据转发。
数据路径设置如下:
bridge -在启用时,将接口添加为桥接端口
bridge-cost -添加为桥接端口时使用的桥接端口成本
bridge-horizon -添加为桥接端口时使用的桥接地平线
client-to-client-forwarding——控制连接到接口的无线客户端之间是否允许client-to-client转发,在本地转发模式下,此功能由CAP执行,否则由CAPsMAN执行。
local-forwarding - 控制转发方式
OpenFlow -switch -OpenFlow开关,当打开时,将接口添加到端口
VLAN - ID -当VLAN -mode使能VLAN标记时,指定给接口的VLAN ID
VLAN -mode -VLAN标签模式指定是否给接口分配VLAN标签(使所有接收到的数据都带有VLAN标签,并允许接口只发送带有给定标签的数据)
CAPsMAN接口
CAPsMAN接口在/caps-man接口菜单中管理:
[admin@CM] > /caps-man interface print
Flags: M - master, D - dynamic, B - bound, X - disabled, I - inactive, R - running
# NAME RADIO-MAC MASTER-INTERFACE
0 M BR cap2 00:0C:42:1B:4E:F5 none
1 B cap3 00:00:00:00:00:00 cap2
CAPsMAN管理者
| 属性 | 说明 |
|---|---|
| enabled (yes| no;Default:no) | 禁用或启用CAPsMAN功能 |
| certificate (auto|certificate name| none;Default:none) | 设备证书 |
| ca-certificate (auto |certificate name| none;Default:none) | 设备CA证书 |
| require-peer-certificate (yes | no;Default:no) | 要求所有连接的CAPs具有有效的证书 |
| package-path (string |;Default:) | RouterOS包的文件夹位置。例如,使用"/upgrade"从files部分指定升级文件夹。如果设置为空字符串,则CAPsMAN可以使用内置的RouterOS包,注意在这种情况下,只有与CAPsMAN架构相同的cap才会升级。 |
| upgrade-policy (none | require-same-version | suggest-same-upgrade;Default:none) | 升级策略选项 - none -不升级 - require-same-version - CAPsMAN建议升级CAP的RouterOS版本,如果升级失败,则不会再发放CAP(手动发放仍然是可能的)。 - suggest-same-version - CAPsMAN建议升级CAP RouterOS版本,如果升级失败,仍会继续发放 |
CAPsMAN配置
CAPsMAN根据通用名称标识符来区分cap。该标识符的生成规则如下:
如果CAP提供了证书,则标识符设置为证书中的Common Name字段
否则,标识符基于CAP提供的Base-MAC,格式为:'[XX:XX:XX:XX:XX]'。
当与CAP的DTLS连接成功建立时(这意味着CAP标识符是已知且有效的),CAPsMAN确保使用相同标识符的与CAP的连接没有失效。当前连接的CAPs列在/ CAPs -man remote-cap菜单中:
[admin@CM] /caps-man> remote-cap print
# ADDRESS IDENT STATE RADIOS 0 00:0C:42:00:C0:32/27044 MT-000C4200C032 Run 1
CAPsMAN根据内置的MAC地址(radio-mac)来区分实际的无线接口(无线电)。这意味着在一个CAPsMAN上管理两个具有相同MAC地址的无线电是不可能的。目前由CAPsMAN管理的无线电(由连接的CAPs提供)列在/ CAPs -man radio菜单中:
[admin@CM] /caps-man> radio print
Flags: L - local, P - provisioned
# RADIO-MAC INTERFACE REMOTE-AP-IDENT
0 P 00:03:7F:48:CC:07 cap1 MT-000C4200C032
当CAP连接时,CAPsMAN首先尝试将每个CAP无线电绑定到基于无线电mac的CAPsMAN主接口上。如果找到合适的接口,则使用主接口配置和引用特定主接口的从接口配置来设置无线电。此时,接口(包括主接口和从接口)被认为绑定到无线电,无线电被认为是供应的。
如果没有找到匹配的无线电主接口,CAPsMAN执行“供应规则”。供应规则是一个有序的规则列表,其中包含指定要匹配哪个无线电的设置,以及指定如果无线电匹配要采取什么操作的设置。
匹配无线电的发放规则在/caps-man Provisioning 菜单中配置:
| 属性 | 说明 |
|---|---|
| action (_create-disabled | create-enabled | create-dynamic-enabled | none;Default:none) | 如果规则匹配由以下设置指定,则采取的操作: - create-disabled -创建禁用的无线静态接口。即,接口将被绑定到无线电,但无线电将不会运行,直到手动启用接口; - create-enabled -创建已启用的静态接口。也就是说,接口将被绑定到无线电,无线电将是可操作的; - create-dynamic-enabled -创建启用的动态接口。也就是说,接口将被绑定到无线电,无线电将是可操作的; - none -什么都不做,使无线电处于未提供状态; |
| comment (string; Default: ) | 发放规则的简要说明 |
| common-name-regexp (string;Default:) | 通过通用名称匹配无线电的正则表达式。每个CAP的通用名称标识符可以在“/caps-man radio”下找到,值为“REMOTE-CAP-NAME” |
| hw-supported-modes (a|a-turbo|ac|an|b|g|g-turbo|gn;Default: ) | 按支持的无线模式匹配无线电 |
| identity-regexp (string;Default:) | 根据路由器标识匹配无线电的正则表达式 |
| ip-address-ranges (IpAddressRange[,IpAddressRanges] max 100x;Default:"") | 在配置的地址范围内匹配CAPs和ip。 |
| master-configuration (string;Default:) | 如果action指定创建接口,则将创建一个新的主接口,其配置设置为此配置文件 |
| name-format (cap | identity | prefix | prefix-identity; Default: cap) | 指定创建CAP接口名称的语法 - cap -默认名称 - identity - CAP板的系统标识名称 -prefix - name从name-prefix的值中提取 - prefix-identity - name从name-prefix的值和CAP板的系统标识名中提取 |
| name-prefix (string; Default: ) | 名称前缀,可以在名称格式中使用,用于创建CAP接口名称 |
| radio-mac (MAC address;Default:00:00:00:00:00) | 要匹配的无线电MAC地址,空MAC(00:00:00:00:00)表示匹配所有MAC地址 |
| slave-configurations (string;Default:) | 如果action指定创建接口,则为此列表中的每个配置文件创建一个新的从接口。 |
如果没有匹配radio的规则,则隐式默认规则的操作create-enabled和不执行配置集。
要获取活动供应匹配器:
[admin@CM] /caps-man provisioning> print
Flags: X - disabled
0 radio-mac=00:00:00:00:00:00 action=create-enabled master-configuration=main-cfg
slave-configurations=virtual-ap-cfg name-prefix=""
为了方便用户,有一些命令允许对某些AP提供的某些或所有无线电重新执行供应过程:
[admin@CM] > caps-man radio provision 0
和
[admin@CM] > caps-man remote-cap provision 0
CAPsMAN radio
见 /caps-man provisioning
CAPsMAN rates
见 /caps-man configuration
CAPsMAN注册表
注册表包含连接到由CAPsMAN控制的无线电的客户端列表,可在/caps-man registration-table菜单中使用:
[admin@CM] /caps-man> registration-table print
# INTERFACE MAC-ADDRESS UPTIME RX-SIGNAL
0 cap1 00:03:7F:48:CC:0B 1h38m9s210ms -36
CAPsMAN remote-cap
见 /caps-man provisioning
CAPsMAN安全
例子
假设已经配置了其余的设置,只剩下“Security”部分。
单服务器Radius认证
创建CAPsMAN安全配置
配置Radius服务器客户端
将配置分配给主概要文件(或直接分配给CAP本身)
/caps-man security add authentication-types=wpa2-eap eap-methods=passthrough encryption=aes-ccm group-encryption=aes-ccm name=radius
/radius add address=x.x.x.x secret=SecretUserPass service=wireless
/caps-man configuration set security=radius
每个SSID使用不同的Radius服务器进行Radius认证
创建CAPsMAN安全配置
配置AAA设置
配置Radius服务器客户端
将配置分配给主概要文件(或直接分配给CAP本身)
/caps-man security add authentication-types=wpa2-eap eap-methods=passthrough encryption=aes-ccm group-encryption=aes-ccm name=radius
/caps-man aaa set called-format=ssid
/radius add address=x.x.x.x secret=SecretUserPass service=wireless called-id=SSID1
/radius add address=y.y.y.y secret=SecretUserPass service=wireless called-id=SSID2
/caps-man configuration set security=radius
现在每个连接到CAP的ssid=SSID1 将他们的radius 请求发送到 x.x.x.x ,每个连接到CAP的ssid=SSID2 将他们的radius 请求发送到 y.y.y.y