互相配合

互联是指两个或多个事物一起工作的现象。为了获得更好的无线网络体验,必须在接入点和无线客户端设备之间交换有关网络的信息,可以在基本无线信标和探测请求中找到的信息是有限的。因此,IEEE 802.11u™-2011(与外部网络的交互)标准被创建,该标准规定了设备之间应该如何交换信息。该互联服务可以增强网络发现和接入点选择过程。无线客户机设备可以有更多的标准来选择要关联的网络。

热点2.0

Hotspot 2.0是由Wi-Fi联盟开发和拥有的规范。它的设计目的是在连接Wi-Fi网络时提供更像蜂窝的体验。为了提高无线网络的安全性,Hotspot 2.0接入点使用强制的WPA2认证。Hotspot 2.0依赖于互操作,并添加了一些自己的属性和过程。


对接配置文件根据IEEE 802.11u和Hotspot 2.0 Release 1规范实现。

配置属性

子菜单:/interface无线交互配置文件

信标和探测响应中的信息元素

一些信息可以添加到信标和探测响应数据包与一个互操作元素。对接元素可配置的参数如下:

财产 描述
asra是b|不是;默认值:没有 访问所需的其他步骤。设置为是的,如果用户需要采取额外的步骤才能访问互联网,比如围墙花园。
esr是b|不是;默认值:没有 紧急服务可达(ESR)。设置为是的以表明可通过接入点获得紧急服务。
hessidMAC地址;默认值:) 同类扩展服务集标识符(HESSID)。提供对相同外部网络访问的设备位于一个同构扩展服务集中。该服务集可以由HESSID标识,它在该集的所有接入点上都是相同的。HESSID的6字节值表示为MAC地址。全局唯一,建议使用服务集中接入点的MAC地址之一。
互联网是b|不是;默认值:是的 通过这种连接是否可以使用互联网。该信息包含在Interworking元素中。
网络类型紧急专用|个人设备| private | private-with-guest |公共收费|公共免费| test |通配符;默认值:通配符 网络接入类型信息。
  • 应急-一个专门用于获取紧急服务的网络;
  • 个人设备-个人设备网络。这种类型的网络的一个例子是连接到打印机的相机,从而形成用于打印图片的网络;
  • 私人-为拥有用户帐户的用户提供网络。通常在企业中用于员工,而非客人;
  • private-with-guest-与私人帐户相同,但可以使用客人帐户;
  • public-chargeable-任何愿意付费的人都可以使用的网络。例如,订阅Hotspot 2.0服务或在酒店房间内上网;
  • 免费公立-网络是免费提供给任何人。例如,城市或机场的市政网络热点;
  • 测试-用于测试和实验的网络。不用于生产的;
  • 通配符-用于无线客户端。发送带有通配符作为网络类型值的探测请求将使所有互连接入点响应,尽管它们的实际网络类型设置。
客户端发送一个探测请求帧,将网络类型设置为它感兴趣的值。它将只从具有相同值的接入点接收应答(通配符的情况除外)。
uesa是b|不是;默认值:没有 可访问未经身份验证的紧急服务(UESA)。
  • 没有-表示无法通过该接入点访问未经身份验证的紧急服务;
  • 是的-表示可以通过该接入点访问更高层的未经认证的紧急服务。
聚会地点聚会地点;默认值:未指明的 指定接入点所在的场地。从可用值中选择值。一些例子:
地点=商业银行地点=商业-购物中心地点=教育-大学-学院

ANQP元素

接入网络查询协议(ANQP)。并非所有必要的信息都包含在探测响应和信标帧中。为了使客户端设备在选择接入点与ANQP相关联之前获得更多的信息。接入点可以在多个ANQP元素中存储信息。客户端设备将使用ANQP只查询它感兴趣的信息。这减少了联想之前所需的时间。

财产 描述
3 gpp-raw十六进制八进制字符串;默认值:) 蜂窝网络广告信息。国家和网络代码。这有助于Hotspot 2.0客户端选择接入3GPP网络的接入点。请参阅3GPP TS 24.302。(附件H)的格式。查询时发送ANQP响应。
3 gpp-info数/数;默认值:) 蜂窝网络广告信息。国家和网络代码。这有助于Hotspot 2.0客户端选择接入3GPP网络的接入点。写为“mcc/mnc”。用法与“3gpp-raw”相同,但不使用十六进制。可以定义多个mcc/mnc对,用逗号分隔它们。
身份验证类型dns-redirection:url| https-redirection:url|网上报名:url|条款和条件:url;默认值:) 此属性仅在以下情况下有效asra设为是的。的价值url是可选的还是不需要的dns-redirection网上报名被选中。的值url要清空字符串,请使用双引号。例如:
身份验证类型=网上报名:“”
连接能力数量:数量:关闭| |未知的开放;默认值:) 此选项允许提供有关允许的IP协议和端口的信息。这些信息可以在ANQP响应中提供。第一个数字表示IP协议号,第二个数字表示端口号。
  • 关闭-如果不允许协议和端口组合,则设置;
  • 开放-设置是否允许协议和端口组合;
  • 未知的-设置协议和端口组合是打开还是关闭。

例子:

连接能力= 6:80:开放、17:5060:关闭

在接入点上设置这样的值通知连接到接入点的无线客户端,允许HTTP (6 - TCP, 80 - HTTP)和VoIP (17 - UDP;5060 (VoIP)是不允许的。

此属性不限制或允许使用这些协议和端口,它仅向连接到接入点的站点设备提供信息。
域名字符串列表;默认值:) 无或多个FQDN (fully qualified domain names),用于标识运行热点的实体。连接到接入点的站点可以请求此AQNP属性,并检查是否有一个后缀与其拥有凭据的任何域名相匹配。
ipv4-availability双态|不可用| port-restricted | port-restricted双态| port-restricted单态| public |单态|未知;默认值:不可用 关于可用的IPv4地址和访问的信息。
  • 不可用-地址类型不可用;
  • 公共-公网IPv4地址可用;
  • port-restricted-端口限制的IPv4地址可用;
  • single-nated-单个nat私有IPv4地址可用;
  • double-nated-双nat私有IPv4地址可用;
  • port-restricted-single-nated-port-restricted IPv4地址和单一nat IPv4地址可用;
  • port-restricted-double-nated-端口限制IPv4地址和双nat IPv4地址可用;
  • 未知的-地址类型的可用性未知。
ipv6-availability可用|不可用|未知;默认值:不可用 关于可用的IPv6地址和访问的信息。
  • 不可用-地址类型不可用;
  • 可用-可用的地址类型;
  • 未知的-地址类型的可用性未知。
领域字符串:eap-sim | eap-aka | eap-tls |未指定;默认值:) 有关支持的领域和相应EAP方法的信息。
领域= example.com eap-tls foo.ba:未指定
realms-raw十六进制八进制字符串;默认值:) 手动设置NAI Realm anqp元素。
roaming-ois十六进制八进制字符串;默认值:) 组织标识符(OI)通常是24位的唯一标识符,如组织唯一标识符(OUI)或公司标识符(CID)。在某些情况下,OI更长,例如OUI-36。

订阅服务提供者(SSP)可以由其OI指定。roaming-ois属性可以包含零个或多个ssp OI,其网络可通过此AP访问。OI的长度应在OI本身之前指定。例如,要设置E4-8D-8C和6C-3B-6B:

roaming-ois = 03 e48d8c036c3b6b
venue-names字符串:朗;默认值:) 场地名称可用于提供有关场地的其他信息。它可以帮助客户端选择合适的接入点。

参数由零个或多个包含场馆名称和语言代码的双元组组成:

venue-names =调料:eng TiendaDeCafe: es
语言代码字段值是从ISO-639中选择的两个或三个字符的8个语言代码。

领域的原始

realms-raw-十六进制值的字符串列表。每个字符串指定“NAI Realm Tuple”的内容,不包括“NAI Realm Data Field Length”字段。

每个十六进制编码字符串必须包含以下字段:

- NAI领域编码(1字节)- NAI领域长度(1字节)- NAI领域(变量)- EAP方法计数(1字节)- EAP方法元组(变量)

例如,值“00045465737401020d00”解码为:

- NAI领域编码:0 (rfc4282) - NAI领域长度:4 - NAI领域:Test - EAP方法计数:1 - EAP方法长度:2 - EAP方法元组:TLS,无EAP方法参数

注意,设置“realms-raw=00045465737401020d00”会产生与设置“realms=Test:eap-tls”相同的广告内容。

有关完整的NAI Realm编码,请参阅802.11-2016,第9.4.5.10节。

热点2.0 ANQP元素

Hotspot 2.0规范引入了一些额外的ANQP元素。这些元素使用ANQP供应商特定的元素ID。以下是可用于更改这些元素的属性。

财产 描述
hotspot20是b|不是;默认值:是的 表示接入点的Hotspot 2.0能力。
hotspot20-dgaf是b|不是;默认值:是的 下游组寻址转发(DGAF)。设置DGAF位的值,以指示向客户端发送的组播和广播帧是禁用还是启用。
  • 是的-启用向客户端发送组播和广播帧;
  • 没有-禁止向客户端发送组播帧和广播帧。
禁用组播和广播帧设置multicast-helper =全
operational-classes编号清单;默认值:) 同一ESS的其他可用频带信息。
operator-names字符串:朗;默认值:) 设置操作符名称。必须为每个操作符名称条目指定语言。

Operator-names形参由0个或多个包含Operator Name和Language Code的双元组组成:

operator-names = BestOperator: eng MejorOperador: es
语言代码字段值是从ISO-639中选择的两个或三个字符的8个语言代码。
wan-at-capacity是b|不是;默认值:没有 接入点或网络是否处于最大容量。如果设置为是的不允许其他移动设备与AP关联。
wan-downlink数量;默认值:0 广域网连接的下行速度,单位为kbps。如果下行速率未知,则设置为0。
wan-downlink-load数量;默认值:0 广域网连接的下行负载测量超过wan-measurement-duration。取值范围为0 ~ 255。
  • 0——未知;
  • 255- 100%。
wan-measurement-duration数量;默认值:0 持续时间wan-downlink-loadwan-uplink-load测量。Value为数字,取值范围为0 ~ 65535,代表十分之一秒。
  • 0-未测量;
  • 10- 1秒;
  • 65535- 1小时49分钟或更长时间。
wan-status下行|保留|测试|向上;默认值:保留 有关接入点WAN连接状态的信息。的值保留没有使用。
wan-symmetric是b|不是;默认值:没有 广域网链路是否对称(上传和下载速度相同)。
wan-uplink数量;默认值:0 广域网连接的上行速度,单位为kbps。如果上行链路速率未知,则设置为0。
wan-uplink-load数量;默认值:0 广域网连接的上行链路负载测量到wan-measurement-duration。取值范围为0 ~ 255。
  • 0——未知;
  • 255- 100%。

其他属性

财产 描述
评论字符串;默认值:) 概要文件的简短描述
名字字符串;默认值:) 对接配置文件的名称。

使用本地RadSec和Orion Wifi的配置指南:

本指南描述了如何设置您的MikroTik设备,以便您可以与RadSec代理和Or雷竞技网站ion Wifi一起使用它们,尽管主要配置步骤保持不变,并且可以与不同的提供商一起工作:
确保使用最新的长期或稳定的RouterOS版本。l雷竞技

在无线局域网控制器和Orion Wifi之间建立一个安全的RADIUS连接是很重要的。
Orion Wifi采用RADIUS over TLS (RadSec)技术,保证AAA流量的端到端加密。

1)导入您从Orion下载的RadSec证书:

在WinBox中拖放证书,然后使用导入功能对其进行导入,该功能可以在WinBox的/system certificates下找到,命令行相当于:"/certificate import file-name=bw.radsec.cacert. "密码= " ","/certificate import file-name=cert. "密码= " ","/certificate import file-name=key.pem passphrase="""

一旦证书被导入,它们应该是这样的:

2)配置Radius客户端

命令行等效:"/radius add address=216.239.32.91 certificate=cert. "Pem_0协议=radsec服务=无线超时= 1500ms "

3)创建执行802.1x认证的无线安全配置文件

命令行等效为" /interface wireless security-profiles add authentication-types=wpa2-eap management-protection=allowed mode=dynamic-keys name=dot1x_profile supplicant-identity="" radius-eap-accounting=yes eap-methods=passthrough .”。

4)下一步是配置无线接口,并分配创建的安全配置文件。按“高级模式”查看所有选项。

命令行相当于:"/interface wireless set [find default-name=wlan1] mode=ap-bridge security-profile=dot1x_profile wps-mode=disabled”。

确保配置了正确的国家配置文件。在本例中,我们使用的是" wlan1 ",但同样的命令也可以用于其他接口,或者使用"/接口无线设置wlan1”。

5)配置对接设置(热点2.0)。

命令行等效:" /interface wireless interworking-profile add domain-names= .orion.area120.comipv4-availability=public name=Orion_雷竞技网站MikroTik network-type=public-chargeable operator-names=Orion:eng realms=orion.area120.com:eap-tls routing -ois=f4f5e8f5f4,baa2D00100,baa2d00000 venue=business-unspecified venue-names=Orion:eng wan-downlink=50 wan-uplink=50 wan-status=up”。

特别注意“wan-downlink”和“wan-uplink”,在这种情况下,“50”的值被用作占位符,请确保根据您的设置调整值,一些客户端设备使用它来评估是否应该加入网络。设置“场地”-场地类型,“场地名称”和其他适用的属性。“domain-names”应该是热点2.0操作符。

6)为接口配置对接配置文件。

命令行相当于:" /interface wireless set wlan1 interworking-profile=Orion_MikroTik "。雷竞技网站如果没有看到交互配置文件字段,请按“高级模式”。

注意:Orion用于区分网络的NAS-id等于系统标识,可以执行“/system identity set name=exampleName”命令调整NAS-id。从6.47.10和6.48.3以上的版本中添加了对互联配置文件的图形界面支持。

使用RadSec代理和Orion Wifi的配置指南:

本指南描述了如何设置您的MikroTik设备,以便您可以与RadSec代理和Or雷竞技网站ion Wifi一起使用它们,尽管主要配置步骤保持不变,并且可以与不同的提供商一起工作:
本指南假设您已经配置了具有Orion Wifi凭据的radsecproxy。确保使用最新的长期或稳定的RouterOS版本。l雷竞技

在无线局域网控制器和Orion Wifi之间建立一个安全的RADIUS连接是很重要的。
Orion Wifi采用RADIUS over TLS (RadSec)技术,保证AAA流量的端到端加密。本指南适用于以下场景:在AAA流量通过internet发送之前,RouterOS接入点l雷竞技将AAA流量重定向到RadSec代理(radsecproxy)。
1)配置指向radsecproxy的Radius客户端。

命令行等效为/radius add address=192.168.88.233 secret=yourSecret service=无线超时= 1500ms

该密钥应该与radsecproxy上配置的密钥匹配,在本例中,“192.168.88.233”是运行该代理的虚拟机。

2)创建执行802.1x认证的无线安全配置文件


命令行等效为" /interface wireless security-profiles add authentication-types=wpa2-eap management-protection=allowed mode=dynamic-keys name=dot1x_profile supplicant-identity="" radius-eap-accounting=yes eap-methods=passthrough .”。

3)下一步是配置无线接口,并分配创建的安全配置文件。按“高级模式”查看所有选项。

命令行相当于:"/interface wireless set [find default-name=wlan1] mode=ap-bridge security-profile=dot1x_profile wps-mode=disabled”。

确保配置了正确的国家配置文件。在本例中,我们使用的是" wlan1 ",但同样的命令也可以用于其他接口,或者使用"/接口无线设置wlan1”。

4)配置对接设置(热点2.0)。

命令行等效:" /interface wireless interworking-profile add domain-names= .orion.area120.comipv4-availability=public name=Orion_雷竞技网站MikroTik network-type=public-chargeable operator-names=Orion:eng realms=orion.area120.com:eap-tls routing -ois=f4f5e8f5f4,baa2D00100,baa2d00000 venue=business-unspecified venue-names=Orion:eng wan-downlink=50 wan-uplink=50 wan-status=up”。

一定要在“wan-downlink”和“wan-uplink”中指定一些值,在这种情况下,“50”的值被用作占位符,一些客户端设备使用它来评估是否应该加入网络。设置“场地”-场地类型,“场地名称”和其他适用的属性。“domain-names”应该是热点2.0操作符。

5)为接口配置对接配置文件。

此步骤也可以通过以下命令完成:" /interface wireless set wlan1 interworking-profile=Orion_MikroTik "。雷竞技网站

如果radsecproxy正常工作,那么安装了适当Hotspot配置文件的客户机应该能够连接。

注意:Orion用于区分网络的NAS-id等于系统标识,可以执行“/system identity set name=exampleName”命令调整NAS-id。从6.47.10、6.48.3以上的版本中增加了对互联配置文件的图形界面支持。

故障排除

可以通过RADIUS菜单查看RADIUS消息的状态。

或者通过命令行运行“/radius monitor X”,X是数字ID,您可以看到带有“/radius print”的ID。
要了解更多信息,可以在“/system logging add topics=radius,debug,packet”下配置额外的日志记录。您可以在下面查看结果“/日志”

要查看活动的无线连接,请查看无线注册表(/接口无线注册表打印



  • 没有标签