i目录1无线服务.
1-11.
1接入服务.
1-11.
1.
1常用术语1-11.
1.
2无线用户接入过程.
1-11.
1.
3WLAN服务的数据安全.
1-51.
1.
4用户接入认证.
1-61.
1.
5802.
11n协议1-71.
2WDS简介.
1-81.
2.
1WDS的优势1-81.
2.
2WDS的网络拓扑1-81.
3Repeater模式简介.
1-101.
4WorkgroupBridge模式简介.
1-102配置无线服务.
2-12.
1配置接入服务.
2-12.
1.
1新建无线服务.
2-12.
1.
2配置clear类型无线服务.
2-22.
1.
3配置crypto类型无线服务.
2-82.
1.
4安全参数关系表2-132.
2配置WDS服务2-142.
2.
1配置WDS服务.
2-142.
2.
2配置邻居MAC地址.
2-152.
2.
3配置WDS高级设置.
2-162.
2.
4WDS全局设置.
2-182.
2.
5配置信道2-182.
2.
6开启WDS服务.
2-182.
3配置Repeater服务.
2-192.
4配置WorkgroupBridge.
2-192.
4.
1开启Client模式.
2-192.
4.
2连接无线服务.
2-212.
4.
3查看统计信息.
2-222.
5无线接入配置举例2-222.
5.
1无线服务典型配置举例2-222.
5.
2基于接入服务的VLAN配置举例2-242.
5.
3WPA-PSK认证典型配置举例.
2-262.
5.
4MAC地址本地认证配置举例2-30ii2.
5.
5远程MAC地址认证配置举例2-332.
5.
6远程802.
1x认证配置举例.
2-402.
5.
7自动提供WEP密钥-802.
1x认证配置举例.
2-512.
5.
8802.
11n典型配置举例.
2-572.
6WDS配置举例2-592.
6.
1WDS典型配置举例.
2-592.
6.
2WDS点到多点典型配置举例.
2-622.
7Repeater模式配置举例.
2-632.
8WorkgroupBridge模式配置举例2-671-1z不同型号产品的特性功能支持情况略有不同,对于手册中标有"请以设备实际情况为准"的特性,请参见"01-导读"中的"产品支持特性差异"章节的介绍.
z本手册致力于提供更加准确的描述和WEB页面截图,但由于产品型号的差异,请在实际使用中以设备实际显示的WEB页面为准.
z页面上显示为灰色的功能或参数,表示设备不支持或者在当前配置下不可修改.
1无线服务WLAN(WirelessLocalAreaNetwork,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络.
然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在有线网络,只是用户可以通过无线方式接入网络.
使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:z通过无线网络,用户可以方便的接入到网络,并访问已有网络或因特网;z安全问题是无线网络最大的挑战,当前无线网络可以使用不同认证和加密方式,提供安全的无线网络接入服务;z在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚.
1.
1接入服务1.
1.
1常用术语(1)客户端带有无线网卡的PC、便携式笔记本电脑以及支持WiFi功能的各种终端.
(2)FATAP一种控制和管理无线客户端的无线设备.
帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换,而FATAP在这个过程中起到了桥梁的作用.
(3)SSIDSSID(ServiceSetIdentifier,服务组合识别码),客户端可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络.
1.
1.
2无线用户接入过程无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网.
整个过程如图1-1所示.
1-2图1-1建立无线连接过程APClientAuthenticationRequestAuthenticationResponseAssociationRequestAssociationResponse主动扫描/被动扫描1.
无线扫描无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围AP发送的信标帧(Beacon帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描时,主动发送一个探测请求帧(ProbeRequest帧),通过收到探测响应帧(ProbeResponse)获取网络信号.
无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息.
(1)主动扫描无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络.
根据探测请求帧(ProbeRequest帧)是否携带SSID,可以将主动扫描可以分为两种:z客户端发送广播帧(SSID为空,也就是SSID的长度为0):客户端会定期地在网卡支持的信道列表中,发送广播探测请求帧(ProbeRequest帧)扫描无线网络.
当AP收到探测请求帧后,会回应探测响应帧(ProbeResponse帧)通告可以提供的无线网络信息.
无线客户端会选择信号最强的AP进行关联.
无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入.
无线客户端主动扫描方式的过程如图1-2所示.
图1-2主动扫描过程(ProbeRequest中SSID为空,也就是不携带任何SSID信息)1-3z客户端发送单播帧(ProbeRequest携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送单播探测请求帧(ProbeRequest帧)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探测响应.
通过这种方法,无线客户端可以主动扫描指定的无线网络.
这种无线客户端主动扫描方式的过程如图1-3所示.
图1-3主动扫描过程(ProbeRequest携带指定的SSID为"AP1")(2)被动扫描被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络.
提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息.
当用户需要节省电量时,可以使用被动扫描.
一般VoIP语音终端通常使用被动扫描方式.
被动扫描的过程如图1-4所示.
图1-4被动扫描过程2.
认证过程为了保证无线链路的安全,无线用户接入过程中AP需要完成对无线终端的认证,只有通过认证后才能进入后续的关联阶段.
802.
11链路定义了两种认证机制:开放系统认证和共享密钥认证.
z开放系统认证(Opensystemauthentication)开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证.
如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证.
开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端是否通过无线链路认证并回应认证结果.
如果认证结果为"成功",那么客户端成功通过了AP的链路认证.
1-4图1-5开放系统认证过程APClientAuthenticationrequestAuthenticationresponsez共享密钥认证共享密钥认证是除开放系统认证以外的另外一种链路认证机制.
共享密钥认证需要客户端和设备端配置相同的共享密钥.
共享密钥认证的认证过程为:客户端先向AP发送认证请求,AP端会随机产生一个Challenge(即一个字符串)发送给客户端;客户端会将接收到Challenge加密后再发送给AP;AP接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较.
如果相同,则说明客户端通过了SharedKey链路认证;否则SharedKey链路认证失败.
图1-6共享密钥认证过程APClientAuthenticationRequestAuthenticationResponse(Challenge)Authentication(EncryptedChallenge)AuthenticationResponse(Success)3.
关联过程如果用户想接入无线网络,必须同特定的AP关联.
当用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求.
AP会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功.
通常,无线终端同时只可以和一个AP建立链路,而且关联总是由无线终端发起.
4.
其他相关报文(1)解除认证解除认证用于中断已经建立的链路或者认证,无论AP还是无线终端都可以发送解除认证帧断开当前的链接过程.
无线系统中,有多种原因可以导致解除认证,如:z接收到非认证用户的关联或解除关联帧.
z接收到非认证用户的数据帧.
z接收到非认证用户的PS-Poll帧.
1-5(2)解除关联无论AP还是无线终端都可以通过发送解除关联帧以断开当前的无线链路.
系统中,有多种原因可以导致解除关联,如:z接收到已认证但未关联用户的数据帧.
接收到已认证但未关联用户的PS-Poll帧.
1.
1.
3WLAN服务的数据安全相对于有线网络,WLAN存在着与生俱来的数据安全问题.
在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全.
802.
11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密.
其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护.
目前支持四种安全服务.
(1)明文数据该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理.
(2)WEP加密WEP(WiredEquivalentPrivacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听.
WEP使用RC4加密算法实现数据报文的加密保护,通过共享密钥来加密密钥管理.
根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密.
z静态WEP加密:静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥.
如果WEP密钥被破解或泄漏,攻击者就能获取所有密文.
因此静态WEP加密存在比较大的安全隐患.
并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担.
z动态WEP加密(自动提供WEP密钥):动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善.
在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.
1x协议协商产生,这样每个客户端协商出来的的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性.
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听,会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患.
(3)TKIP加密虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护.
首先,TKIP通过增长了算法的IV(InitialVector,初始化向量)长度提高了加密的安全性.
相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;另外,TKIP还支持了MIC认证(MessageIntegrityCheck,信息完整性校验)和Countermeasure功能.
当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击.
当在一段时间内连续接收到两个出现MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过静默一段时间不提供服务,实现对无线网络的攻击防御.
1-6(4)CCMP加密CCMP(CountermodewithCBC-MACProtocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(AdvancedEncryptionStandard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法.
CCM结合CTR(Countermode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验.
CCMP中的AES块加密算法使用128位的密钥和128位的块大小.
同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性.
在加密处理过程中,CCMP也会使用48位的PN(PacketNumber)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性.
1.
1.
4用户接入认证当无线终端成功和AP建立无线链路,可以认为无线终端成功接入到无线网络,但是为了无线网络的安全和管理,无线接入用户只有通过后面的接入认证后才可能真正访问网络资源.
其中PSK(PresharedKey,预共享密钥)认证和802.
1x认证伴随着无线链路的动态密钥协商和管理,所以和无线链路协商关系比较密切,而且它的认证和无线链路本身没有直接关系.
(1)PSK认证WPA和WPA2无线接入都支持PSK认证,无线客户端接入无线网络前,需要配置和AP设备相同的预共享密钥.
四次握手(4-WayHandshake)密钥协商通过802.
1x的4个密钥报文交互为无线链路在无线终端和AP侧动态协商出私有密钥,而预共享密钥将作为密钥协商的种子密钥使用.
在协商过程中,种子密钥将被双方进行验证,只有密钥设置相同,密钥协商才可以成功,也就是无线用户成功通过PSK接入认证;否则无线用户PSK接入认证失败,无线用户链路将被断开.
(2)802.
1x认证802.
1x协议是一种基于端口的网络接入控制协议(PortBasedNetworkAccessControlProtocol).
"基于端口的网络接入控制"是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制.
连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源.
(3)MAC接入认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件.
设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作.
认证过程中,也不需要用户手动输入用户名或者密码.
在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境.
MAC地址认证分为以下两种方式:z本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证,此时需要在设备上配置本地用户名和密码.
通常情况下,可以采用MAC地址作为用户名,需要事先获知无线接入用户的MAC地址并配置为配置的本地用户名.
无线用户接入网络时,只有存在用户的MAC地址可以认证通过,其它用户将被拒绝接入.
1-7图1-7本地MAC地址认证APClient:0009-5bcf-cce3允许访问的客户端MAC地址列表:0009-5bcf-cce30011-9548-4007000f-e200-00a2Client:0011-9548-4007Client:001a-9228-2d3eInternetz通过RADIUS服务器进行MAC地址认证:当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作.
当MAC接入认证发现当前接入的客户端为未知客户端,AP设备作为RADIUS客户端,会与RADIUS服务器完成MAC地址认证.
在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络,而且RADIUS服务器可以下发相应的授权信息.
图1-8本地MAC地址认证SwitchAPClientRADIUSserver在RADIUS服务器上已配置允许访问的客户端MAC地址列表1.
AssociationRequest2.
AssociationResponse0009-5bcf-cce33.
向RADIUS服务器发送客户端的MAC地址4.
检查MAC地址后,如认证成功,发送RADIUS-ACCEPTInternet采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器.
1.
1.
5802.
11n协议802.
11n作为802.
11协议族的一个新协议,支持2.
4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的"接入速率",802.
11n主要通过增加带宽和提高信道利用率两种方式来提高通讯速率.
1-8增加带宽:802.
11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用.
当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量.
提高信道利用率:对信道利用率的提高主要体现在三个方面.
zA-MPDU聚合帧:即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,减少了传输每个MPDU的PHY头,同时还减少了ACK帧的数目,从而降低了协议的负荷,有效的提高信道利用率.
zA-MSDU特性:该特性实现了将多个MSDU组合成一个MSDU发送,与A-MPDU类似,通过聚合,A-MSDU特性有效减少了传输多个MSDU的MAC头的信息,提高了MAC层的传输效率,最终提高了信道利用率.
z物理层提供短间隔功能:已有的802.
11a和802.
11g的GI(GuardInterval)时长800us,而802.
11n可以支持短间隔ShortGI,其时长为400us,可以有效减少信道空闲时间,提高信道利用率.
使用ShortGI时,可以提高大约10%的性能.
1.
2WDS简介WDS(WLANDistributionSystem,无线分布式系统):通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问.
1.
2.
1WDS的优势802.
11的无线技术已经广泛地在家庭、SOHO、企业等得到应用,用户已经能通过这些无线局域网方便地访问Internet网络.
但是在这种网络应用中,AP必须连接到已有的有线网络,才可能提供无线用户的网络访问服务.
采用传统的方式,AP需要和有线网络连接,会导致最终部署成本较高,并且在大面积无线覆盖时需要大量的时间,而使用WDS技术可以在一些复杂的环境中方便快捷的建设无线局域网.
WDS网络的优点包括:z通过无线网桥连接两个独立的局域网段,并且在他们之间提供数据传输.
z低成本,高性能.
z扩展性好,并且无需铺设新的有线连接和部署更多的AP.
z适用于公司,大型仓储,制造,码头等领域.
1.
2.
2WDS的网络拓扑根据实际的应用需求,WDS网络可以提供了以下三种拓扑.
通过在每个AP的射频模式下配置邻居AP的MAC地址来实现,详细配置请参见"2.
2.
2配置邻居MAC地址".
1.
点到点的桥接该网络中,WDS通过两台设备实现了两个网络无线桥接,最终实现两个网络的互通.
实际应用中,每一台设备可以通过配置对端设备的MAC地址,确定需要建立的桥接链路.
如图1-9所示,AP1和AP2之间建立WDS桥接链路,可以将LANSegment1和LANSegment2连接成一个统一的局域网.
LANSegment1中的用户需要访问LANSegment2中的资源的时候,所有的报文都会被AP1转换成无线报文通过无线桥接链路发送到AP2,最终在由AP2将报文还原发送到目的地;反之亦然.
1-9图1-9点到点的桥接AP2AP1LANSegment2LANSegment12.
点到多点的桥接在点到多点的组网环境中,一台设备作为中心设备,其他所有的设备都只和中心设备建立无线桥接,实现多个网络的互联.
该组网可以方便地解决多个网络孤岛需要连接到已有网络的要求,但是多个分支网络的互通都要通过中心桥接设备进行数据转发.
图1-10点到多点的桥接3.
网状桥接多台桥接设备可以采用手动配置或者自动检测方式,互相建立网状无线桥接,将多个局域网连接成一个网络.
网状桥接网络,在一条WDS链路故障时可以提供备链路备份的功能,但是应用中需要结合STP解决网络的环路问题.
1-10图1-11网状桥接AP2AP1LANSegment2LANSegment1AP4AP31.
3Repeater模式简介Repeater模式即AP中继模式,是指作为Repeater的AP不但通过WDS链路与另一台AP建立桥接,而且同时提供无线接入服务,也就是作为Repeater的设备不但创建无线网络而且通过WDS桥接将无线网络接入到已有网络中.
以图1-12为例,Repeater虽然不直接接入有线网络,但是可以为Client1和Client2提供访问有线网络的服务.
从应用的角度来看,通过网络中部署了RepeaterAP,延长了无线通信的距离和扩大了无线网络的覆盖范围.
图1-12Repeater模式LANSegment1.
4WorkgroupBridge模式简介WorkgroupBridge是指作为WorkgroupBridge的AP以无线客户端的方式接入到无线网络中,有线网络中多个主机或打印机等可以通过WorkgroupBridge接入无线网络.
1-11图1-13WorkgroupBridge模式LANSegment2-12配置无线服务2.
1配置接入服务2.
1.
1新建无线服务在界面左侧的导航栏中选择"无线服务>接入服务",进入如图2-1所示接入服务配置页面.
图2-1接入服务配置页面单击按钮,进入如图2-2所示无线服务新建页面.
图2-2接入服务新建页面新建无线服务的详细配置如表2-1所示.
表2-1新建无线服务的详细配置配置项说明无线服务名称设置SSID(ServiceSetIdentifier,服务组合识别码)SSID的名称应该尽量具有唯一性.
从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了Beacon报文长度和使用难度,对无线安全没有改进无线服务类型选择无线服务类型:zclear:使用明文发送数据zcrypto:使用密文发送数据单击"无线服务"中的按钮,进入如图2-3所示页面,选择要绑定的射频单元,单击按钮,绑定无线服务和射频单元.
2-2图2-3绑定无线服务绑定无线服务的详细说明如表2-2所示.
表2-2绑定无线服务的详细说明配置项说明射频单元AP支持的射频号,取值为1或2射频单元的实际取值与设备型号相关,使用中请以设备的实际情况为准射频模式AP的射频模式,取值为802.
11a、802.
11b、802.
11g和802.
11n(2.
4GHz或5GHz)射频模式的实际取值与设备型号以及射频单元相关,使用中请以设备的实际情况为准2.
1.
2配置clear类型无线服务1.
clear类型无线服务基本配置在界面左侧的导航栏中选择"无线服务>接入服务",在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入如图2-4所示的配置页面.
图2-4clear类型无线服务基本配置页面clear类型无线服务基本配置的详细配置如表2-3所示.
2-3表2-3clear类型无线服务基本配置的详细配置配置项说明无线服务名称显示选择的SSIDVLAN(Untagged)添加Untagged的VLANID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签缺省VLAN设置端口的缺省VLAN在缺省情况下,所有端口的缺省VLAN均为VLAN1,设置新的缺省VLAN后,VLAN1为Untagged的VLANID删除VLAN删除已有Tagged和Untagged的的VLANID网络隐藏配置是否在信标帧中通告SSID,缺省情况下,信标帧通告SSIDzEnable:禁止在信标帧中通告SSIDzDisable:在信标帧中通告SSIDzSSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP.
z隐藏SSID对无线安全意义并不是很大.
允许广播SSID可以使AP在关联阶段更容易发现客户端.
2.
clear类型无线服务高级配置在界面左侧的导航栏中选择"无线服务>接入服务",在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务高级配置页面.
图2-5clear类型无线服务高级配置页面clear类型无线服务高级配置的详细配置如表2-4所示.
表2-4clear类型无线服务高级配置的详细配置配置项说明关联最大用户数某个SSID下关联客户端的最大个数如果关联客户端达到最大个数,除非某些关联的客户端因为某种原因解除关联,否则新的客户端不能加入此SSID管理权限上线的客户端对设备WEB界面的管理权限zDisable:表示上线的客户端对设备WEB界面没有管理权限zEnable:表示上线的客户端对设备WEB界面有管理权限制2-4配置项说明MACVLAN功能zEnable:表示在指定无线服务下开启mac-vlan功能zDisable:表示在指定无线服务下禁止mac-vlan功能3.
clear类型无线服务安全配置在界面左侧的导航栏中选择"无线服务>接入服务",在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务安全配置页面.
图2-6clear类型无线服务安全配置页面clear类型无线服务基本配置的详细配置如表2-5所示.
表2-5clear类型无线服务安全配置的详细配置配置项说明认证方式clear类型只能选择Open-System方式2-5配置项说明端口安全zmac-authentication:对接入用户采用MAC地址认证zmac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.
1x认证;对于非802.
1x报文直接进行MAC地址认证.
对于802.
1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.
1x认证zmac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.
1x和MAC地址认证用户zuserlogin-secure:对接入用户采用基于端口的802.
1X认证,此模式下,端口允许多个802.
1X认证用户接入,但只有一个用户在线zuserlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.
1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.
1x认证,如果802.
1x认证失败再进行MAC地址认证zuserlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.
1x和MAC地址认证用户zuserlogin-secure-ext:对接入用户采用基于MAC的802.
1x认证,且允许端口下有多个802.
1x用户由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:z"userLogin"表示基于端口的802.
1X认证;z"macAddress"表示MAC地址认证;z"Else"之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为"Else"之后的认证方式;z"Or"连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.
1X认证方式;z携带"Secure"的userLogin表示基于MAC地址的802.
1X认证;z携带"Ext"表示可允许多个802.
1X用户认证成功,不携带则表示仅允许一个802.
1X用户认证成功最大用户数控制能够通过某端口接入网络的最大用户数(1)当选择mac-authentication时,需要配置如下选项:图2-7mac-authentication端口安全配置页面2-6表2-6mac-authentication端口安全配置的详细配置配置项说明端口模式mac-authentication:对接入用户采用MAC地址认证最大用户数控制能够通过某端口接入网络的最大用户数MAC认证选中"MAC认证"前的复选框域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域在该选项中选择的域名仅对此无线服务生效(2)当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项:图2-8userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)表2-7userlogin-secure/userlogin-secure-ext端口安全配置的详细配置配置项说明端口模式zuserlogin-secure:对接入用户采用基于端口的802.
1X认证,此模式下,端口允许多个802.
1X认证用户接入,但只有一个用户在线zuserlogin-secure-ext:对接入用户采用基于MAC的802.
1x认证,且允许端口下有多个802.
1x用户最大用户数控制能够通过某端口接入网络的最大用户数域名在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.
1X用户将被强制使用该认证域来进行认证、授权和计费设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域认证方法zEAP:采用EAP认证方式.
采用EAP认证方式意味着设备直接把802.
1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证zCHAP:采用CHAP认证方式.
缺省情况下,采用CHAP认证方式.
只在网络上传输用户名,而并不传输口令.
相比之下,CHAP认证保密性较好,更为安全可靠zPAP:采用PAP认证方式.
PAP采用明文方式传送口令2-7配置项说明用户握手zEnable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线.
缺省情况下,在线用户握手功能处于开启状态zDisable:关闭在线用户握手功能多播触发zEnable:开启802.
1X的组播触发功能,即周期性地向客户端发送组播触发报文.
缺省情况下,802.
1X的组播触发功能处于开启状态.
zDisable:关闭802.
1X的组播触发功能对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能(3)当选择其他四种端口安全时,需要配置如下选项:图2-9四种端口安全配置页面(以mac-else-userlogin-secure为例)表2-8其他四种端口端口安全配置的详细配置配置项说明端口模式zmac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.
1x认证;对于非802.
1x报文直接进行MAC地址认证.
对于802.
1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.
1x认证zmac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.
1x和MAC地址认证用户zuserlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.
1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.
1x认证,如果802.
1x认证失败再进行MAC地址认证zuserlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.
1x和MAC地址认证用户2-8配置项说明最大用户数控制能够通过某端口接入网络的最大用户数域名在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.
1X用户将被强制使用该认证域来进行认证、授权和计费设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域认证方法zEAP:采用EAP认证方式.
采用EAP认证方式意味着设备直接把802.
1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证zCHAP:采用CHAP认证方式.
缺省情况下,采用CHAP认证方式.
只在网络上传输用户名,而并不传输口令.
相比之下,CHAP认证保密性较好,更为安全可靠zPAP:采用PAP认证方式.
PAP采用明文方式传送口令用户握手zEnable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线.
缺省情况下,在线用户握手功能处于开启状态zDisable:关闭在线用户握手功能多播触发zEnable:开启802.
1X的组播触发功能,即周期性地向客户端发送组播触发报文.
缺省情况下,802.
1X的组播触发功能处于开启状态.
zDisable:关闭802.
1X的组播触发功能对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能MAC认证选中"MAC认证"前的复选框域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域在该选项中选择的域名仅对此无线服务生效2.
1.
3配置crypto类型无线服务1.
crypto类型无线服务基本配置在界面左侧的导航栏中选择"无线服务>接入服务",在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-10所示页面.
2-9图2-10crypto类型无线服务基本配置页面crypto类型无线服务基本配置的详细配置请参见表2-3.
2.
crypto类型无线服务高级配置在界面左侧的导航栏中选择"无线服务>接入服务",在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-11所示页面.
图2-11crypto类型无线服务高级配置页面crypto类型无线服务高级配置的详细配置如表2-9所示.
表2-9crypto类型无线服务高级配置的详细配置配置项说明关联最大用户数某个SSID下的关联客户端的最大个数如果关联客户端达到最大个数,除非某些关联的客户端因为某种原因解除关联,否则新的客户端不能加入此SSIDPTK生存时间设置PTK的生存时间,PTK通过四次握手方式生成2-10配置项说明TKIP反制策略实施时间设置反制策略实施时间.
缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略;如果时间设置为其他值则启动反制策略;MIC(MessageIntegrityCheck,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性.
当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击.
启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联管理权限上线的客户端对设备WEB界面的管理权限zDisable:表示上线的客户端对设备WEB界面没有管理权限zEnable:表示上线的客户端对设备WEB界面有管理权限制MACVLAN功能zEnable:表示在指定无线服务下开启mac-vlan功能zDisable:表示在指定无线服务下禁止mac-vlan功能GTK更新方法GTK由AC生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端.
客户端使用GTK来解密组播和广播报文z选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔z选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒客户端离线更新GTK启动当客户端离线时更新GTK的功能缺省情况下,客户端离线更新GTK的功能处于关闭状态3.
crypto类型无线服务安全配置在界面左侧的导航栏中选择"无线服务>接入服务",在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-12所示页面.
图2-12crypto类型无线服务安全配置页面crypto类型无线服务安全配置的详细配置如表2-10所示.
2-11表2-10crypto类型无线服务安全配置的详细配置配置项说明认证方式链路认证方式,可选择以下几种:zOpen-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证zShared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制zOpen-SystemandShared-Key:可以同时选择使用Open-System和Shared-Key认证WEP加密方式可以分别和Opensystem、Sharedkey链路认证方式使用.
z采用Opensystemauthentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃z采用Sharedkeyauthentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络加密类型无线服务支持加密机制zCCMP:一种基于AES加密算法的加密机制zTKIP:一种基于RC4算法和动态密钥管理的加密机制zCCMPandTKIP:可以同时选择使用CCMP和TKIP加密安全IE无线服务类型(Beacon或者Proberesponse报文中携带对应的IE信息)zWPA:在802.
11i协议之前,Wi-FiProtectedAccess定义的安全机制zWPA2:常说的802.
11i定义的安全机制,也就是RSN(RobustSecurityNetwork,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性zWPAandWPA2:同时选择使用WPA和WPA2WEP加密自动提供密钥使用自动提供WEP密钥方式z开启:使用自动提供WEP密钥方式z关闭:使用静态WEP密钥方式缺省情况下,使用静态WEP密钥方式选择自动提供WEP密钥方式后,"密钥类型"选项会自动使用WEP104加密方式z自动提供WEP密钥方式必须和802.
1x认证方式一起使用z配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生.
如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧.
如果不配置WEP密钥,则由设备随机生成组播密钥密钥类型zWEP40:选择WEP40进行加密zWEP104:选择WEP104进行加密zWEP128:选择WEP128进行加密密钥ID密钥ID用来配置密钥索引号,可选以下几种:1:选择密钥索引为12:选择密钥索引为23:选择密钥索引为34:选择密钥索引为4在WEP中有四个静态的密钥.
其密钥索引分别是1、2、3和4.
指定的密钥索引所对应的密钥将被用来进行帧的加密和解密2-12配置项说明长度选择WEP密钥长度z当密钥类型选择WEP40时,可选的密钥长度5个字符(5AlphanumericChars)或者10位16进制数(10HexadecimalChars)z当密钥类型选择WEP104时,可选的密钥长度13个字符(13AlphanumericChars)或者26位16进制数(26HexadecimalChars)z当密钥类型选择WEP128时,可选的密钥长度16个字符(16AlphanumericChars)或者32位16进制数(32HexadecimalChars)密钥配置WEP密钥端口安全请参见表2-5"认证方式"、"加密类型"等参数直接决定了端口模式的可选范围,具体请参见表2-13在选则"加密类型"后,增加以下几种端口安全模式:zmacandpsk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口zpsk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-SharedKey,预共享密钥)与设备进行协商,协商成功后可访问端口zuserlogin-secure-ext:对接入用户采用基于MAC的802.
1x认证,且允许端口下有多个802.
1x用户(1)当选择macandpsk时,需要配置如下选项:图2-13macandpsk端口安全配置页面表2-11macandpsk端口安全配置的详细配置配置项说明端口模式macandpsk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口最大用户数控制能够通过某端口接入网络的最大用户数MAC认证选中"MAC认证"前的复选框2-13配置项说明域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域在该选项中选择的域名仅对此无线服务生效域共享密钥zpass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的字符串.
zraw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数.
(2)当选择psk时,需要配置如下选项:图2-14psk端口安全配置页面表2-12psk端口安全配置的详细配置配置项说明端口模式psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-SharedKey,预共享密钥)与设备进行协商,协商成功后可访问端口最大用户数控制能够通过某端口接入网络的最大用户数域共享密钥zpass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的字符串.
zraw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数.
(3)当选择userlogin-secure-ext时,需要配置的选项如"2.
1.
23.
(2)":2.
1.
4安全参数关系表clear类型和crypto类型无线服务类型下,各参数之间的关系:2-14表2-13安全参数关系表服务类型认证方式加密类型安全IEWEP加密/密钥ID端口模式clearOpen-System不可选不可选不可选mac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extuserlogin-secureuserlogin-secure-extuserlogin-secure-or-macuserlogin-secure-or-mac-ext选择必选WEP加密可选/密钥ID可选1234macandpskpskuserlogin-secure-extOpen-System不选择不可选WEP加密必选/密钥ID可选1234mac-authenticationuserlogin-secureuserlogin-secure-extShared-Key不可选不可选WEP加密必选/密钥ID可选1234mac-authentication选择必选WEP加密可选/密钥ID可选1234macandpskpskuserlogin-secure-extcryptoOpen-SystemandShared-Key不选择不可选WEP加密必选/密钥ID可选1234mac-authenticationuserlogin-secureuserlogin-secure-ext2.
2配置WDS服务2.
2.
1配置WDS服务在界面左侧的导航栏中选择"无线服务>WDS",选择"WDS设置"页签,进入如图2-15所示WDS设置页面.
图2-15WDS设置页面在列表中找到要进行配置的射频模式,单击对应的图标,进入如图2-16所示WDS设置页面.
2-15图2-16WDS设置页面WDS的详细配置如表2-14所示.
表2-14WDS设置的详细配置配置项说明射频单元AP支持的射频号,取值为1或2.
实际的取值与设备的型号有关,请以设备的实际情况为准射频模式实际的取值与设备的型号以及射频单元有关,请以设备的实际情况为准字符串方式以字符串方式输入预共享密钥十六进制数方式以十六进制数方式输入预共享密钥预共享密钥预共享密钥z若类型为字符串,则为8~63个字符的字符串z若类型为十六进制数,则为长度是64位的合法十六进制数2.
2.
2配置邻居MAC地址在AP每个的射频模式下可以配置该AP的邻居AP的MAC地址,只有指定的MAC地址可以建立WDS桥接.
如果不配置任何的邻居MAC地址,则表示该AP可以和任何其它AP建立WDS链路.
如果设置了邻居MAC地址,那么该AP只能和这些指定的邻居AP建立WDS链路.
在导航栏中选择"无线服务>WDS",在列表中找到要进行配置的射频模式,单击对应的图标,进入图2-17所示配置邻居MAC地址.
图2-17配置邻居MAC地址在邻居MAC地址输入框中输入MAC地址,单击按钮完成操作.
2-162.
2.
3配置WDS高级设置在界面左侧的导航栏中选择"无线服务>WDS",选择"WDS设置"页签,在列表中找到要进行配置的射频模式,单击对应的图标,进入如图2-18所示的WDS高级设置配置页面.
图2-18WDS高级设置页面WDS高级设置的详细配置如表2-15所示.
表2-15WDS高级设置的详细配置配置项说明网桥链路标识设置网桥链路标识,设备的缺省标识由射频模式决定保活时间间隔配置链路保活报文发送时间间隔链路回程速率配置链路回程速率2-17配置项说明STPWDS网络中可能存在以下环路类型:AP2AP1LANAP2AP1LAN802.
11aWDS802.
11b/gWDS802.
11aWDS802.
11b/gWDS当网络中存在环路时,可以结合STP选择性地阻塞冗余链路来消除环路,并且在WDS链路故障时还可以提供备链路备份的功能WDS环路检测算法:z开启:开启WDS环路检测z关闭:关闭WDS环路检测缺省情况下,WDS环路检测功能处于开启状态该配置只对当前WLAN-Mesh生效,全局STP(请参见"2.
2.
4WDS全局设置")对所有接口生效最大WDS链路数设置允许建立的最大WDS链路数在建立WDS时,如果在AP上建立的WDS链路大于2时,需要根据实际链路数进行设置链路保持RSSI设置链路保持RSSI用于建立和保持一条链路的最小RSSI值.
一条链路的RSSI值必须不小于这个值,才能被建立和保持.
因此这个值必须要保证,否则错误率会很高,链路性能会变差速率选择速率选择方式:zfixed(固定方式):采用的速率为固定值,其值为当前射频接口速率集的最大值zrealtiom(实时更新方式):采用的速率会根据链路质量(RSSI)实时变化,即速率值随射频接口下的信号强度(RSSI)而变化缺省情况下,采用固定方式VLAN(Tagged)添加Tagged的VLANID,VLAN(Tagged)表示端口成员发送该VLAN报文时带Tag标签VLAN(Untagged)添加Untagged的VLANID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签缺省VLAN设置端口的缺省VLAN在缺省情况下,所有端口的缺省VLAN均为VLAN1,设置新的缺省VLAN后,VLAN1为Untagged的VLANID2-18配置项说明排除下列VLAN删除已有Tagged和Untagged的VLANID2.
2.
4WDS全局设置在界面左侧的导航栏中选择"无线服务>WDS",选择"WDS全局设置"页签,进入如图2-19所示WDS全局设置页面.
图2-19WDS基本设置页面WDS全局设置的详细配置如表2-16所示.
表2-16WDS全局设置的详细配置配置项说明全局STP开启:全局STP处于开启状态关闭:全局STP处于关闭状态缺省情况下,全局STP处于关闭状态2.
2.
5配置信道在建立WDS链路时,必须为AP之间的WDS链路手工指定射频的工作信道,并且射频的工作信道必须保持一致.
2.
2.
6开启WDS服务在界面左侧的导航栏中选择"无线服务>WDS",选择"WDS设置"页签,进入如图2-20所示WDS设置配置页面.
图2-20开启WDS服务2-19选择需要开启的WDS服务,单击按钮完成操作.
2.
3配置Repeater服务配置Repeater服务需要同时在AP上配置WDS和无线接入服务:z为Repeater配置接入服务的相关配置请参见"2.
1配置接入服务".
z为Repeater配置WDS的相关配置请参见"2.
2配置WDS服务".
配置成功后,在界面左侧的导航栏中选择"概览>射频",在如图2-21服务类型中可以看到Repeater上的802.
11g射频模式同时提供"接入"和"WDS服务".
图2-21Repeater模式2.
4配置WorkgroupBridge2.
4.
1开启Client模式在界面左侧的导航栏中选择"无线服务>Client模式",选择"连接设置"页签,进入如图2-22所示设置页面.
图2-22开启Client模式选择需要开启的射频单元,单击按钮完成操作.
2-20z不同型号的设备支持的射频模式类型不同,请以设备的实际情况为准.
z在开启了Client模式的Radio口下不能开启接入服务或WDS服务.
z启用了Client模式后设备不支持PPPoEClient、802.
1XClient和IPv6方式接入.
z射频模式的修改可以通过在界面左侧的导航栏中选择"射频>射频设置",在列表中选择需要配置的射频单元,单击对应的图标,通过"射频模式"选项更改.
z如果采用802.
11(2.
4GHz)/802.
11(5GHz)的客户端模式,那么该客户端可以扫描到802.
11(2.
4GHz)/802.
11(5GHz)的无线服务.
开启Client模式后,可以通过无线服务列表查看到已有的无线服务.
图2-23查看无线服务列表在界面左侧的导航栏中选择"无线服务>Client模式",选择"连接设置"页签,单击"关联指定的无线服务"前面的图标,输入待关联的无线服务的名称,单击按钮,完成Client模式的AP关联到指定的无线服务.
图2-24关联指定的无线服务在界面左侧的导航栏中选择"无线服务>Client模式",选择"连接设置"页签,单击"设置VLAN"前面的图标,输入VLAN编号,单击按钮,完成Client模式工作VLAN的设置.
图2-25设置VLAN2-21z设置的VLAN必须是已有的VLAN.
z设置Client模式的工作VLAN需要关联到无线服务之后才能生效,而且一经设置就不可以修改,除非与当前关联的无线服务解除关联.
2.
4.
2连接无线服务(1)方式一:单击无线服务对应的图标在无线服务列表中点击后,弹出密码设置对话框.
图2-26设置密码目前支持以下四种认证方式:zOpenSystem+ClearzOpenSystem+WEPzSharedkey+WEPzRSN(TKIP/CCMP)+PSK表2-17连接无线服务的详细配置配置项说明网络验证设置网络验证方式:zOpenSystem:开放式系统认证,即不认证zSharedKey:共享密钥认证,需要客户端和设备端配置相同的共享密钥zRSN+PSK:PSK认证数据加密设置数据加密方式:zClear:不加密zWEP:采用WEP加密方式zTKIP/CCMP:采用TKIP/CCMP加密方式加密密钥配置WEP密钥密钥ID在WEP中有四个静态的密钥.
其密钥索引分别是1、2、3和4.
指定的密钥索引所对应的密钥将被用来进行帧的加密和解密2-22(2)方式二:关联指定的无线服务在相同页面,也可以在无线服务输入框中指定需要连接的无线服务.
图2-27关联指定的无线服务在输入框中添加指定的无线服务,单击后,会出现如图2-26所示的对话框,请按照具体的无线服务类型设置其中的选项.
2.
4.
3查看统计信息在界面左侧的导航栏中选择"无线服务>Client模式",选择"统计信息"页签,进入如图2-28所示设置页面.
图2-28查看统计信息2.
5无线接入配置举例2.
5.
1无线服务典型配置举例1.
组网需求某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公.
具体要求如下:zAP提供SSID为service1的明文方式的无线接入服务.
z采用目前较为常用的802.
11g射频模式.
图2-29无线服务组网图2.
配置步骤(1)配置FATAP的接口IP地址在FATAP上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
2-23(2)配置无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-30所示无线服务新建页面.
图2-30创建无线服务z设置无线服务名称为"service1".
z选择无线服务类型为"clear".
z单击按钮完成操作.
(3)绑定并开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如图2-31所示页面.
图2-31绑定并开启无线服务z单击"无线服务"中的按钮,选择要绑定的射频单元,单击按钮,完成无线服务和射频单元的绑定.
z选中"service1"前的复选框,z单击按钮完成操作.
(4)开启802.
11n射频(缺省情况下,802.
11n(2.
4GHz)处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入图2-32所示射频设置页面,确认802.
11n(2.
4GHz)处于开启状态.
2-24图2-32开启802.
11n射频3.
验证配置结果(1)在导航栏中选择"概览>客户端",进入图2-33所示查看成功上线的客户端.
图2-33查看成功上线的客户端只有当ARPSnooping功能处于开启状态时,WEB页面上才能显示AP获取的客户端IP地址,缺省情况下,ARPSnooping功能处于开启状态.
(2)在AP上可以ping通客户端.
4.
配置注意事项配置无线服务需注意如下事项:z选择正确的区域码z确认射频单元处于开启状态.
2.
5.
2基于接入服务的VLAN配置举例1.
组网需求AP可以同时支持多个无线接入服务,不但无线接入服务可以采用不同的无线安全策略,而且可以将无线接入服务绑定到不同VLAN中,实现无线接入用户的隔离.
本例要求如下:z建立一个名为"research"的无线接入服务,使用PSK认证方式,所有接入该无线网络的客户端都在VLAN2中.
z建立一个名为"office"的无线接入服务,使用明文接入方式,所有接入该无线网络的客户端都在VLAN3中.
2-25图2-34基于接入服务的VLAN拓扑图2.
配置步骤(1)配置FATAP的接口IP地址在FATAP上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置名为research的无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入无线服务新建页面.
z设置无线服务名称为"research".
z选择无线服务类型为"crypto".
z单击按钮完成操作.
#创建无线服务后,直接进入配置无线服务界面,进行VLAN设置(请先通过"网络>VLAN",新建VLAN2).
图2-35设置VLANz设置VLAN(Untagged)为"2".
z设置缺省VLAN为"2".
z设置删除VLAN为"1".
PSK认证的相关配置请参见"2.
5.
3WPA-PSK认证典型配置举例",可以完全参照相关举例完成配置.
(3)配置名为office的无线服务2-26#创建无线服务.
z设置无线服务名称为"office".
z选择无线服务类型为"clear".
z单击按钮完成操作.
#创建无线服务后,直接进入配置无线服务界面,配置VLAN(请先通过"网络>VLAN",新建VLAN3).
图2-36设置VLANz设置VLAN(Untagged)为"3".
z设置缺省VLAN为"3".
z设置删除VLAN为"1".
z单击按钮完成操作.
#绑定无线服务对应的射频单元,并开启无线服务"office"和"research",开启射频单元.
3.
验证配置结果在导航栏中选择"概览>客户端",进入图2-37所示查看成功上线的客户端.
图2-37查看成功上线的客户端通过该页面可知,接入SSID为"office"的客户端Client2加入VLAN3,接入SSID为"research"的客户端Client1加入VLAN2,两个客户端不在同一VLAN,相互不能访问.
2.
5.
3WPA-PSK认证典型配置举例1.
组网需求要求客户端使用PSK方式接入无线网络,客户端的PSK密钥配置与AP端相同,为12345678.
2-27图2-38WPA-PSK认证配置组网图2.
配置步骤(1)配置FATAP的接口IP地址在FATAP上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-39所示无线服务新建页面.
图2-39创建无线服务z设置无线服务名称为"psk".
z选择无线服务类型为"crypto".
z单击按钮完成操作.
(3)配置无线服务.
创建无线服务后,直接进入配置无线服务界面,配置PSK认证需要对"安全设置"部分进行设置.
2-28图2-40安全设置z在"认证方式"下拉框中选择"Open-System".
z选中"加密类型"前的复选框,选择"CCMP/AESandTKIP"加密类型(请根据实际情况,选择需要的加密类型),选择"WPA"安全IE.
z选中"端口设置"前的复选框,在端口模式的下拉框中选择"psk"方式.
z在PSK预共享密钥下拉框里选择"pass-phrase",输入密钥"12345678".
z单击按钮完成操作.
(4)绑定并开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如图2-41所示页面.
图2-41绑定并开启无线服务z单击"无线服务"中的按钮,选择要绑定的射频单元,单击按钮,完成无线服务和射频单元的绑定.
2-29z选中"psk"前的复选框,z单击按钮完成操作.
(5)开启802.
11g射频(缺省情况下,802.
11g处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入射频设置页面,确认802.
11g处于开启状态.
(6)配置无线客户端打开无线客户端,刷新网络列表,在"选择无线网络"列表里找到配置的网络服务(此例中为PSK),单击,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如图2-42所示.
图2-42配置无线客户端客户端配置相同的PSK预共享密钥,客户端可以成功关联AP.
图2-43客户端成功关联AP3.
验证配置结果客户端配置相同的PSK预共享密钥.
客户端可以成功关联AP,并且可以访问无线网络.
2-302.
5.
4MAC地址本地认证配置举例1.
组网需求要求使用客户端使用MAC地址本地认证方式接入无线网络.
图2-44MAC地址本地认证配置组网图2.
配置步骤(1)配置FATAP的接口IP地址在FATAP上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-45所示无线服务新建页面.
图2-45创建无线服务z设置无线服务名称为"mac-auth".
z选择无线服务类型为"clear".
z单击按钮完成操作.
(3)配置无线服务创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对"安全设置"部分进行设置.
2-31图2-46安全设置z在"认证方式"下拉框中选择"Open-System".
z选中"端口设置"前的复选框,在端口模式的下拉框中选择"mac-authentication"方式.
z选中"MAC认证"前的复选框,在域名下拉框中选择"system"(在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以创建新的域).
z单击按钮完成操作.
(4)绑定并开启无线服务在导航栏中选择"无线服务>接入服务",进入如图2-47所示页面.
图2-47绑定并开启无线服务z单击"无线服务"中的按钮,选择要绑定的射频单元,单击按钮,完成无线服务和射频单元的绑定.
2-32z选中"mac-auth"前的复选框,z单击按钮完成操作.
(5)配置MAC认证列表在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-48所示页面.
图2-48新建MAC认证列表z在MAC地址栏里添加本地接入用户,本例中为"00-14-6c-8a-43-ff".
z单击按钮完成操作.
(6)开启802.
11g射频(缺省情况下,802.
11g处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入射频设置页面,确认802.
11g处于开启状态.
(7)配置无线客户端打开无线客户端,刷新网络列表,在"选择无线网络"列表里找到配置的网络服务(此例中为mac-auth),单击,如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络.
图2-49配置无线客户端2-333.
验证配置结果z如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络.
z在AP上可以ping通客户端.
2.
5.
5远程MAC地址认证配置举例1.
组网需求要求使用客户端使用远程MAC地址认证方式接入无线网络.
z一台RADIUS服务器(使用iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上已经添加了Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置了与AP交互报文时的共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
zAP的IP地址为10.
18.
1.
1.
AP与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名.
图2-50远程MAC地址认证配置组网图2.
配置步骤(1)配置FATAP的接口IP地址在FATAP上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置RADIUS方案#配置RADIUS认证服务器.
在导航栏中选择"认证>RADIUS",默认进入"RADIUS服务器配置"页签的页面,进行如下配置,如图2-51所示.
2-34图2-51配置RADIUS认证服务器z选择服务类型为"认证服务器".
z输入主服务器IP地址为"10.
18.
1.
88".
z输入主UDP端口为"1812"(保持缺省配置).
z选择主服务器状态为"active".
z单击按钮完成操作.
#配置RADIUS计费服务器.
图2-52配置RADIUS计费服务器z选择服务类型为"计费服务器".
z输入主服务器IP地址为"10.
18.
1.
88".
z输入主UDP端口为"1813"(保持缺省配置).
z选择主服务器状态为"active".
z单击按钮完成操作#配置设备与RADIUS服务器交互的方案.
单击"RADIUS参数设置"页签,进行如下配置,如图2-53所示.
2-35图2-53配置设备与RADIUS服务器交互的方案z选择服务器类型为"extended".
z选中"认证服务器共享密钥"前的复选框,输入认证密钥为"expert".
z输入确认认证密钥为"expert".
z选中"计费服务器共享密钥"前的复选框,输入计费密钥为"expert".
z输入确认计费密钥为"expert".
z选择用户名格式为"without-domain".
z单击按钮完成操作.
(3)配置AAA#创建ISP域.
在导航栏中选择"认证>AAA",默认进入"域设置"页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域).
#配置ISP域的AAA认证方案.
单击"认证"页签,进行如下配置,如图2-54所示.
2-36图2-54配置ISP域的AAA认证方案z选择域名为"system".
z选中"LAN-access认证"前的复选框,选择认证方式为"RADIUS".
z选择认证方案名称为"system".
z单击按钮,弹出配置进度对话框.
z看到配置成功的提示后,在对话框中单击按钮完成操作.
#配置ISP域的AAA授权方案.
单击"授权"页签,进行如下配置,如图2-55所示.
图2-55配置ISP域的AAA授权方案z选择域名为"system".
z选中"LAN-access授权"前的复选框,选择授权方式为"RADIUS".
z选择授权方案名称为"system".
z单击按钮,弹出配置进度对话框.
z看到配置成功的提示后,在对话框中单击按钮完成操作.
#配置ISP域的AAA计费方案,并配置用户计费可选.
单击"计费"页签,进行如下配置,如图2-56所示.
2-37图2-56配置ISP域的AAA计费方案z选择域名为"system".
z选中"计费可选开关"前的复选框,选择"Enable".
z选中"LAN-access计费"前的复选框,选择计费方式为"RADIUS".
z选择计费方案名称为"system".
z单击按钮,弹出配置进度对话框.
z看到配置成功的提示后,在对话框中单击按钮完成操作.
(4)配置无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-57所示无线服务新建页面.
图2-57创建无线服务z设置无线服务名称为"mac-auth".
z选择无线服务类型为"clear".
z单击按钮完成操作.
(5)配置MAC地址认证创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对"安全设置"部分进行设置.
2-38图2-58安全设置z在"认证方式"下拉框中选择"Open-System".
z选中"端口设置"前的复选框,在端口模式的下拉框中选择"mac-authentication"方式.
z选中"MAC认证"前的复选框,在域名下拉框中选择"system".
z单击按钮完成操作.
(6)绑定并开启无线服务在导航栏中选择"无线服务>接入服务",进入如图2-59所示页面.
图2-59绑定并开启无线服务z单击"无线服务"中的按钮,选择要绑定的射频单元,单击按钮,完成无线服务和射频单元的绑定.
z选中"mac-auth"前的复选框,2-39z单击按钮完成操作.
(7)开启802.
11g射频(缺省情况下,802.
11g处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入射频设置页面,确认802.
11g处于开启状态.
(8)配置RADIUSserver(iMC)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
#增加接入设备.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
z设置认证、计费共享密钥为expert;z设置认证及计费的端口号分别为1812和1813;z选择协议类型为LAN接入业务;z选择接入设备类型为H3C;z选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
图2-60增加接入设备#增加服务配置.
选择"业务"页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置服务名为mac,其他保持缺省配置.
2-40图2-61增加服务配置页面#增加接入用户.
选择"用户"页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击按钮,进入增加接入用户页面.
z添加用户名;z添加帐号名和密码为00-14-6c-8a-43-ff;z选中刚才配置的服务mac.
图2-62增加接入用户3.
验证结果认证过程中,客户端不需要用户手动输入用户名或者密码.
该客户端通过MAC地址认证后,可以通过访问无线网络.
在导航栏中选择"概览>客户端",可以查看成功上线的客户端.
2.
5.
6远程802.
1x认证配置举例1.
组网需求要求使用客户端使用远程802.
1x认证方式接入无线网络.
z一台RADIUS服务器(使用iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上已经添加了Client的用户名和密码(用户名为user,密码为dot1x),同时设置了与AP交互报文时的共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
zAP的IP地址为10.
18.
1.
1.
AP与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名.
2-41图2-63远程802.
1x认证配置组网图2.
配置步骤(1)配置FATAP的接口IP地址在FATAP上创建VLAN(在导航栏中选择"网路>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置RADIUS方案#配置RADIUS认证服务器.
在导航栏中选择"认证>RADIUS",默认进入"RADIUS服务器配置"页签的页面,进行如下配置,如图2-64所示.
图2-64配置RADIUS认证服务器z选择服务类型为"认证服务器".
z输入主服务器IP地址为"10.
18.
1.
88".
z输入主UDP端口为"1812"(保持缺省配置).
z选择主服务器状态为"active".
z单击按钮完成操作.
#配置RADIUS计费服务器.
2-42图2-65配置RADIUS计费服务器z选择服务类型为"计费服务器".
z输入主服务器IP地址为"10.
18.
1.
88".
z输入主UDP端口为"1813"(保持缺省配置).
z选择主服务器状态为"active".
z单击按钮完成操作#配置设备与RADIUS服务器交互的方案.
单击"RADIUS参数设置"页签,进行如下配置,如图2-66所示.
2-43图2-66配置设备与RADIUS服务器交互的方案z选择服务器类型为"extended".
z选中"认证服务器共享密钥"前的复选框,输入认证密钥为"expert".
z输入确认认证密钥为"expert".
z选中"计费服务器共享密钥"前的复选框,输入计费密钥为"expert".
z输入确认计费密钥为"expert".
z选择用户名格式为"without-domain".
z单击按钮完成操作.
(3)配置AAA#创建ISP域.
在导航栏中选择"认证>AAA",默认进入"域设置"页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域).
#配置ISP域的AAA认证方案.
单击"认证"页签,进行如下配置,如图2-67所示.
2-44图2-67配置ISP域的AAA认证方案z选择域名为"system".
z选中"LAN-access认证"前的复选框,选择认证方式为"RADIUS".
z选择认证方案名称为"system".
z单击按钮,弹出配置进度对话框.
z看到配置成功的提示后,在对话框中单击按钮完成操作.
#配置ISP域的AAA授权方案.
单击"授权"页签,进行如下配置,如图2-68所示.
图2-68配置ISP域的AAA授权方案z选择域名为"system".
z选中"LAN-access授权"前的复选框,选择授权方式为"RADIUS".
z选择授权方案名称为"system".
z单击按钮,弹出配置进度对话框.
z看到配置成功的提示后,在对话框中单击按钮完成操作.
#配置ISP域的AAA计费方案,并配置用户计费可选.
单击"计费"页签,进行如下配置,如图2-69所示.
2-45图2-69配置ISP域的AAA计费方案z选择域名为"system".
z选中"计费可选开关"前的复选框,选择"Enable".
z选中"LAN-access计费"前的复选框,选择计费方式为"RADIUS".
z选择计费方案名称为"system".
z单击按钮,弹出配置进度对话框.
z看到配置成功的提示后,在对话框中单击按钮完成操作.
(4)配置无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-70所示无线服务新建页面.
图2-70创建无线服务z设置无线服务名称为"dot1x".
z选择无线服务类型为"crypto".
z单击按钮完成操作.
(5)配置802.
1x认证创建无线服务后,直接进入配置无线服务界面,配置802.
1x认证需要对"安全设置"部分进行设置.
2-46图2-71安全设置z在"认证方式"下拉框中选择"Open-System".
z选中"加密类型"前的复选框,在加密类型下拉框中选择"CCMP/AESandTKIP",在安全IE下拉框中选择"WPA2".
z选中"端口设置"前的复选框,在端口模式的下拉框中选择"userlogin-secure-ext"方式.
z选中"域名"前的复选框,在域名下拉框中选择"system".
z在认证方法下拉框中选择"EAP".
z建议关闭用户握手和多播触发.
z单击按钮完成操作.
(6)绑定并开启无线服务在导航栏中选择"无线服务>接入服务",进入如图2-72所示页面.
图2-72绑定并开启无线服务2-47z单击"无线服务"中的按钮,选择要绑定的射频单元,单击按钮,完成无线服务和射频单元的绑定.
z选中"dot1x"前的复选框.
z单击按钮完成操作.
(7)开启802.
11g射频(缺省情况下,802.
11g处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入射频设置页面,确认802.
11g处于开启状态.
(8)配置RADIUSserver(iMC)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
#增加接入设备.
登录进入iMC管理平台,选择"业务"页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
z设置认证、计费共享密钥为expert;z设置认证及计费的端口号分别为1812和1813;z选择协议类型为LAN接入业务;z选择接入设备类型为H3C;z选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
图2-73增加接入设备#增加服务配置.
选择"业务"页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
z设置服务名为dot1x.
z选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证.
2-48图2-74增加服务配置页面#增加接入用户.
选择"用户"页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击按钮,进入增加接入用户页面.
z添加用户名;z添加帐号名为user,密码为dot1x;z选中刚才配置的服务dot1x.
图2-75增加接入用户(9)配置无线网卡2-49在桌面的右下角选择无线连接的图标,双击该图标弹出"无线网络连接状态"窗口,单击"常规"页签中的按钮,弹出"无线网络连接属性"窗口.
在"无线网络配置"页签中选择SSID为"dot1X"的无线网络,单击按钮,弹出"dot1x属性"窗口,在"验证"页签中,选择EAP类型为PEAP,点击"属性",去掉验证服务器证书选项(此处不验证服务器证书),点击"配置",去掉自动使用windows登录名和密码选项.
然后"确定".
整个过程如下图所示.
图2-76无线网卡配置过程2-50图2-77无线网卡配置过程图2-78无线网卡配置过程3.
验证结果(1)在客户端弹出的对话框中输入用户名user和密码dot1x.
客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看成功上线的客户端.
2-512.
5.
7自动提供WEP密钥-802.
1x认证配置举例1.
组网需求要求使用客户端使用远程自动提供WEP密钥-802.
1x认证方式接入无线网络.
z一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
zAP的IP地址为10.
18.
1.
1.
在AP上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名.
图2-79自动提供WEP密钥-802.
1x配置组网图2.
配置步骤(1)配置FATAP的接口IP地址在FATAP上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置RADIUS方案请参考"2.
5.
62.
(2)配置RADIUS方案"部分.
(3)配置AAA请参考"2.
5.
62.
(3)配置AAA"部分.
(4)配置无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-80所示无线服务新建页面.
图2-80创建无线服务z设置无线服务名称为"dot1x".
z选择无线服务类型为"crypto".
2-52z单击按钮完成操作.
(5)配置802.
1x认证创建无线服务后,直接进入配置无线服务界面,配置802.
1x认证需要对"安全设置"部分进行设置.
图2-81安全设置z在"认证方式"下拉框中选择"Open-System".
z选中"WEP加密"前的复选框,在自动提供密钥下拉框中选择"开启".
z选中"端口设置"前的复选框,在端口模式的下拉框中选择"userlogin-secure-ext"方式.
z选中"域名"前的复选框,在域名下拉框中选择"system".
z在认证方法下拉框中选择"EAP".
z建议关闭用户握手和多播触发.
z单击按钮完成操作.
(6)开启无线服务在导航栏中选择"无线服务>接入服务",进入如图2-82所示页面.
2-53图2-82开启无线服务z选中"dot1x"前的复选框.
z单击按钮完成操作.
(7)绑定AP的射频在导航栏中选择"无线服务>接入服务",单击无线服务"dot1x"对应的"绑定"图标,进入如绑定AP的射频所示页面.
图2-83绑定AP的射频z选中"802.
11n(2.
4GHz)"前的复选框.
z单击按钮完成操作.
(8)开启802.
11n(2.
4GHz)射频(缺省情况下,802.
11n(2.
4GHz)处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入射频设置页面,确认802.
11n(2.
4GHz)处于开启状态.
(9)配置无线网卡双击桌面的右下角图标,在弹出"无线网络连接状态"窗口上点击"属性",在弹出的属性页面中单击按钮,选择关联页签,添加dot1x的SSID,并确保选择了"自动为我提供此密钥(H)".
2-54图2-84无线网卡配置过程(关联对话框)在验证页签中,选择EAP类型为"受保护的EAP(PEAP)",点击"属性",取消"验证服务器证书(V)"(此处不验证服务器证书),点击"配置",取消"自动使用windows登录名和密码(以及域,如果有的话)(A)".
然后单击按钮完成客户端操作.
2-55图2-85无线网卡配置过程(验证对话框)2-56图2-86无线网卡配置过程2-57图2-87无线网卡配置过程3.
验证结果(1)在客户端弹出的对话框中输入用户名user和密码dot1x.
客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看成功上线的客户端.
2.
5.
8802.
11n典型配置举例1.
组网需求某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.
11n无线网络.
具体要求如下:zAP提供SSID为service的明文方式的无线接入服务.
z为了保护现有投资,兼容现有的802.
11g无线网络,采用802.
11n(2.
4GHz)射频模式.
图2-88802.
11n无线服务组网图2.
配置步骤(1)配置FATAP的接口IP地址2-58在FATAP上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置无线服务#创建无线服务.
在导航栏中选择"无线服务>接入服务",单击按钮,进入如图2-89所示无线服务新建页面.
图2-89创建无线服务z设置无线服务名称为"11nservice".
z选择无线服务类型为"clear".
z单击按钮完成操作.
(3)绑定并开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如图2-31所示页面.
图2-90绑定并开启无线服务z单击"无线服务"中的按钮,选择要绑定的射频单元,单击按钮,完成无线服务和射频单元的绑定.
z选中"11nservice"前的复选框,z单击按钮完成操作.
(4)开启802.
11n(2.
4GHz)射频(缺省情况下,802.
11n(2.
4GHz)处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入图2-91所示射频设置页面,确认802.
11n(2.
4GHz)处于开启状态.
2-59图2-91开启802.
11n(2.
4GHz)射频3.
验证配置结果(1)在导航栏中选择"概览>客户端",进入图2-92所示查看成功上线的客户端.
图2-92查看成功上线的客户端其中0014-6c8a-43ff是802.
11g用户,001e-c144-473a是802.
11n用户,因为本例中没有对用户类型进行限制,所以802.
11g、802.
11n用户都可以接入无线网络.
如果开启了"只允许11n用户接入",那么只有001e-c144-473a才能接入无线网络.
(2)在AP上可以ping通客户端.
4.
配置注意事项配置802.
11n需注意如下事项:z在修改802.
11n射频设置和速率设置之前要关闭射频.
z在导航栏中选择"射频>射频设置",选择需要配置的AP射频单元,单击"操作"进入射频配置页面可以修改关于802.
11n的相关参数,包括带宽模式、A-MSDU、A-MSDU、shortGI和允许11n用户接入情况.
z确认802.
11n(2.
4GHz)处于开启状态.
z在导航栏中选择"射频>速率设置",可以修改802.
11n的速率.
2.
6WDS配置举例2.
6.
1WDS典型配置举例1.
组网需求在如图2-93所示的室外环境中存在两个独立的局域网,如果采用有线方式连接这两个局域网,需要使用挖沟开渠等方式铺设线缆,这样做工期长、开销大.
在这种部署有线网络不方便的情况下,可以采用WDS链路连接这两个局域网,实现两个局域网之间的互通.
具体部署方式如下:zAP1和AP2分别连接在不同的局域网.
2-60z手工指定固定信道153,通过802.
11a射频模式使AP1和AP2之间形成WDS链路.
z为了保证WDS链路的安全性,设置预共享密钥为"12345678".
图2-93WDS配置组网图AP2AP1LANSegment2LANSegment12.
配置步骤(1)配置AP1和AP2的接口IP地址在AP1和AP2上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置WDS在导航栏中选择"无线服务>WDS",进入如图2-94所示WDS设置页面.
图2-94WDS设置在列表中找到要进行配置的射频模式,单击对应的图标,进入如图2-95所示WDS设置页面.
2-61图2-95WDS设置页面z选择字符串方式,设置预共享密钥为"12345678".
z不对邻居列表进行操作,即AP可以和任何其它AP建立WDS链路.
z单击按钮完成操作.
(3)配置相同的信道在界面左侧的导航栏中选择"射频>射频设置",在列表中选择需要配置的射频单元,单击对应的图标,进入如图2-96所示的页面.
图2-96手工配置相同的信道在信道下拉框中选择使用的信道.
#开启802.
11a射频(缺省情况下,802.
11a处于开启状态,此步骤可选)在导航栏中选择"射频>射频设置",进入射频设置页面,确认802.
11a处于开启状态.
(4)开启WDS在导航栏中选择"无线服务>WDS",进入WDS设置页面.
2-62图2-97WDS设置选中802.
11a前的复选框,单击按钮完成操作.
3.
验证配置结果查看WDS链路状态:在导航栏中选择"概览>WDS",进入WDS显示页面.
图2-98WDS显示页面4.
配置注意事项在一个WDS链路中,显示的信息包括:邻居MAC地址、本地MAC地址、邻居状态、链路UP时间、信号质量.
当信号质量显示为绿色(五格)时,表明信号质量最好;如果显示为黄色,则表明当前信号质量比较差,此时需要关注:当前采用的天线是否和Radio匹配、天线连接是否正确、当前射频的最大功率是否过小等.
2.
6.
2WDS点到多点典型配置举例1.
组网需求要求在AP1分别和AP2,AP3,AP4建立WDS链路.
2-63图2-99WDS配置组网图2.
配置思路WDS配置和普通无线WDS配置基本相同,但需要注意以下几点:z在每个AP的射频模式下配置邻居AP的MAC地址(否则AP2、AP3、AP4之间也可能建立WDS链路),z设置允许建立的最大WDS链路数(缺省值为2,需要根据实际链路数进行设置,此例中在AP1上该值应设为3).
3.
配置步骤WDS配置和普通无线WDS配置相同,具体配置步骤请参见"2.
6.
12.
配置步骤".
4.
验证配置结果查看WDS链路状态:z在AP1上的WDS链路状态页面(在导航栏中选择"概览>WDS")可以看到AP1与AP2、AP3、AP4建立的三条WDS链路.
z在AP2、AP3和AP4上的WDS链路状态页面(在导航栏中选择"概览>WDS")可以看到它们各自与AP1建立的一条WDS链路.
2.
7Repeater模式配置举例1.
组网需求zAP1接入有线局域网,作为Repeater的AP通过WDS链路与AP1建立连接,同时该Repeater也能为Client提供无线接入服务.
z通过802.
11g射频模式使AP1和Repeater建立WDS链路.
z通过802.
11g射频模式使Client接入Repeater.
zAP1与Repeater之间的WDS链路的信道需要保持一致,本例中选用802.
11g射频模式下的信道11作为工作信道.
2-64图2-100Repeater模式配置组网图AP1Client1Client2Repeater信道11802.
11g信道11802.
11g信道11802.
11gLANSegment2.
配置思路z配置AP1:在AP1上配置进行WDS,具体配置步骤请参见"2.
6.
12.
配置步骤".
z配置Repeater:在Repeater上配置进行WDS和接入服务.
3.
配置步骤在Repeater上进行以下配置.
(1)配置WDS在导航栏中选择"无线服务>WDS",进入如图2-101所示WDS设置页面.
图2-101WDS设置在列表中找到要进行配置的802.
11g射频模式,单击对应的图标,进入如图2-102所示WDS设置页面.
图2-102WDS设置页面z选择字符串方式,设置预共享密钥为"12345678".
z单击按钮完成操作.
2-65(2)配置信道#手工配置相同的信道.
在界面左侧的导航栏中选择"射频>射频设置",在列表中选择需要配置的射频单元,单击对应的图标,进入如图2-103所示的页面.
图2-103手工配置相同的信道在信道下拉框中选择使用的信道11.
#开启802.
11g射频(缺省情况下,802.
11g处于开启状态,此步骤可选).
在导航栏中选择"射频>射频设置",进入射频设置页面,确认802.
11g处于开启状态.
(3)开启WDS在导航栏中选择"无线服务>WDS",进入WDS设置页面.
图2-104WDS设置选中802.
11g前的复选框,单击按钮完成操作.
(4)配置接入服务为Repeater配置接入服务的相关配置请参见"无线接入配置举例",可以完全参照相关举例完成配置.
2-66图2-105配置接入服务在Repeater上配置接入服务时,应保证其射频模式和WDS选用的射频模式保持一致.
4.
验证配置结果#验证Repeater模式中WDS链接已经建立.
在导航栏中选择"概览>WDS",进入WDS显示页面.
单击射频单元2,可以查看邻居信息.
图2-106显示WDS#验证已经成功建立Repeater模式.
在界面左侧的导航栏中选择"概览>射频",在服务类型中可以看到Repeater上的802.
11g射频模式同时提供"接入"和"mesh服务",并且有一个用户通过repeater接入无线网络.
图2-107显示射频2-672.
8WorkgroupBridge模式配置举例1.
组网需求作为WorkgroupBridge的AP以Client的方式接入到无线网络中.
WorkgroupBridge的以太网口连接有线网络中多个主机或打印机等,通过WorkgroupBridge使有线网络接入无线网络.
具体要求为:zAP接入有线局域网,WorkgroupBridge(000f-e2333-5510)以客户端的方式接入AP;zWorkgroupBridge采用RSN(CCMP)+PSK的方式接入名为psk的无线服务;zClient(0014-6c8a-43ff)也接入名为psk的无线服务.
图2-108WorkgroupBridge模式配置组网图APWorkgroupBridgepsk000f-e233-55100014-6c8a-43ffClientpskHubPCPrinterClient2.
配置步骤(1)开启Client模式在界面左侧的导航栏中选择"无线服务>Client模式",选择"连接设置"页签,进入如图2-109所示设置页面.
图2-109开启Client模式选中802.
11g前的复选框,单击按钮完成操作.
开启Client模式后,可以通过无线服务列表查看到已有的无线服务.
2-68图2-110查看无线服务列表(2)连接无线服务选择无线服务名称为psk的无线服务,单击无线服务对应的[连接]图标,弹出密码设置对话框.
图2-111设置密码z选择网络验证方式为"RSN+PSK".
z选择加密方式为"CCMP".
z加密密钥与AP侧保持一致,设置为"12345678".
z单击按钮完成操作.
3.
验证配置结果在图2-108所示的AP设备上,在导航栏中选择"概览>客户端",进入图2-112所示页面,可以查看WorkgroupBridge上线.
图2-112查看WorkgroupBridge上线z可以查看到Client(0014-6c8a-43ff)和WorkgroupBridge(000f-e2333-5510)都已经成功关联到AP上.
2-69zWorkgroupBridge右侧的有线设备(如打印机、PC等)可以通过WorkgroupBridge接入无线网络.
4.
注意事项如图2-113中,如果WorkgroupBridge同时使用两个Radio口,通过Radio2上线的Client可以通过WorkgroupBridge接入AP.
图2-113WorkgroupBridge同时使用两个Radio口LANSegment
在六月初的时候有介绍过一次来自中国台湾的PQS彼得巧商家(在这里)。商家的特点是有提供台湾彰化HiNet线路VPS主机,起步带宽200M,从带宽速率看是不错的,不过价格也比较贵原价需要300多一个月,是不是很贵?当然懂的人可能会有需要。这次年中促销期间,商家也有提供一定的优惠。比如月付七折,年付达到38折,不过年付价格确实总价格比较高的。第一、商家优惠活动年付三八折优惠:PQS2021-618-C...
最近发现一个比较怪异的事情,在访问和登录大部分国外主机商和域名商的时候都需要二次验证。常见的就是需要我们勾选判断是不是真人。以及比如在刚才要访问Namecheap检查前几天送给网友域名的账户域名是否转出的,再次登录网站的时候又需要人机验证。这里有看到"Attention Required"的提示。我们只能手工选择按钮,然后根据验证码进行选择合适的标记。这次我要选择的是船的标识,每次需要选择三个,一...
RAKsmart 商家这几年还是在做事情的,虽然他们家顺带做的VPS主机并不是主营业务,毕竟当下的基础云服务器竞争过于激烈,他们家主营业务的独立服务器。包括在去年开始有新增多个数据中心独立服务器,包括有10G带宽的不限流量的独立服务器。当然,如果有需要便宜VPS主机的他们家也是有的,比如有最低月付1.99美元的美国VPS主机,而且可选安装Windows系统。这里商家有提供下面六款六月份的活动便宜V...
如何用路由器建立局域网为你推荐
京沪高铁上市首秀我能买京沪高铁股票吗微信回应封杀钉钉为什么微信被封以后然后解封了过了一会又被封了李子柒年入1.6亿新晋网红李子柒是不是背后有团队是摆拍、炒作为的是人气、流量?丑福晋谁有好看的言情小说介绍下百花百游百花净斑方多少钱一盒同ip站点同IP做同类站好吗?百度指数词什么是百度指数广告法请问违反了广告法,罚款的标准是什么www.toutoulu.com安装好派克滤芯后要检查其是否漏气恶魔兜兜梦幻诛仙的恶魔兜兜怎么得的?
已备案域名 域名注册godaddy 已经备案域名 台湾谷歌地址 天互数据 cdn联盟 静态空间 100m独享 网络空间租赁 中国网通测速 网通服务器托管 idc查询 360云服务 域名dns 空间登陆首页 免费获得q币 so域名 时间同步服务器 美国达拉斯 卡巴斯基免费版下载 更多