支持2.5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点

首次发布日期:2016年11月23日上次修改日期:2018年7月16日AmericasHeadquartersCiscoSystems,Inc.
170WestTasmanDriveSanJose,CA95134-1706USAhttp://www.
cisco.
comTel:408526-4000800553-NETS(6387)Fax:408527-0883THESPECIFICATIONSANDINFORMATIONREGARDINGTHEPRODUCTSINTHISMANUALARESUBJECTTOCHANGEWITHOUTNOTICE.
ALLSTATEMENTS,INFORMATION,ANDRECOMMENDATIONSINTHISMANUALAREBELIEVEDTOBEACCURATEBUTAREPRESENTEDWITHOUTWARRANTYOFANYKIND,EXPRESSORIMPLIED.
USERSMUSTTAKEFULLRESPONSIBILITYFORTHEIRAPPLICATIONOFANYPRODUCTS.
THESOFTWARELICENSEANDLIMITEDWARRANTYFORTHEACCOMPANYINGPRODUCTARESETFORTHINTHEINFORMATIONPACKETTHATSHIPPEDWITHTHEPRODUCTANDAREINCORPORATEDHEREINBYTHISREFERENCE.
IFYOUAREUNABLETOLOCATETHESOFTWARELICENSEORLIMITEDWARRANTY,CONTACTYOURCISCOREPRESENTATIVEFORACOPY.
TheCiscoimplementationofTCPheadercompressionisanadaptationofaprogramdevelopedbytheUniversityofCalifornia,Berkeley(UCB)aspartofUCB'spublicdomainversionoftheUNIXoperatingsystem.
Allrightsreserved.
Copyright1981,RegentsoftheUniversityofCalifornia.
NOTWITHSTANDINGANYOTHERWARRANTYHEREIN,ALLDOCUMENTFILESANDSOFTWAREOFTHESESUPPLIERSAREPROVIDED"ASIS"WITHALLFAULTS.
CISCOANDTHEABOVE-NAMEDSUPPLIERSDISCLAIMALLWARRANTIES,EXPRESSEDORIMPLIED,INCLUDING,WITHOUTLIMITATION,THOSEOFMERCHANTABILITY,FITNESSFORAPARTICULARPURPOSEANDNONINFRINGEMENTORARISINGFROMACOURSEOFDEALING,USAGE,ORTRADEPRACTICE.
INNOEVENTSHALLCISCOORITSSUPPLIERSBELIABLEFORANYINDIRECT,SPECIAL,CONSEQUENTIAL,ORINCIDENTALDAMAGES,INCLUDING,WITHOUTLIMITATION,LOSTPROFITSORLOSSORDAMAGETODATAARISINGOUTOFTHEUSEORINABILITYTOUSETHISMANUAL,EVENIFCISCOORITSSUPPLIERSHAVEBEENADVISEDOFTHEPOSSIBILITYOFSUCHDAMAGES.
AnyInternetProtocol(IP)addressesandphonenumbersusedinthisdocumentarenotintendedtobeactualaddressesandphonenumbers.
Anyexamples,commanddisplayoutput,networktopologydiagrams,andotherfiguresincludedinthedocumentareshownforillustrativepurposesonly.
AnyuseofactualIPaddressesorphonenumbersinillustrativecontentisunintentionalandcoincidental.
CiscoandtheCiscologoaretrademarksorregisteredtrademarksofCiscoand/oritsaffiliatesintheU.
S.
andothercountries.
ToviewalistofCiscotrademarks,gotothisURL:https://www.
cisco.
com/go/trademarks.
Third-partytrademarksmentionedarethepropertyoftheirrespectiveowners.
TheuseofthewordpartnerdoesnotimplyapartnershiprelationshipbetweenCiscoandanyothercompany.
(1721R)2018CiscoSystems,Inc.
保留所有权利.
Java徽标是SunMicrosystems,Inc.
在美国或其他国家/地区的商标或注册商标.
2018CiscoSystems,Inc.
保留所有权利.
目录使用入门1第1章配置入门1使用无线接入点设置向导2使用移动版无线接入点设置向导4更改密码5TCP/UDP服务6系统状态7快速入门配置8窗口导航9导航窗格9管理按钮9系统配置11第2章局域网11IPv4配置11DHCP自动配置设置12IPv6配置13端口设置14生成树协议14VLAN设置15邻居发现15LLDP16IPv6隧道16时间17支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点v自动通过NTP获取时间设置17手动配置时间设置18通知18LED显示18日志设置19远程日志服务器19查看系统日志20邮件警报/邮件服务器/邮件配置21邮件警报示例22用户帐户23添加用户23更改用户密码23管理24连接会话设置/HTTP/HTTPS服务任务24SSL证书文件状态25SNMP/SNMPv2c设置26SNMPv3视图27SNMPv3组28SNMPv3用户29SNMPv3目标30安全31Radius服务器31配置全局RADIUS服务器31802.
1x请求方32恶意无线接入点检测33查看恶意无线接入点列表33保存受信任的无线接入点列表35导入受信任的无线接入点列表35配置密码复杂性36配置WAP-PSK复杂性36支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点vi目录无线39第3章无线电39网络44配置VAP45配置安全设置47客户端过滤器51在WAP设备上本地配置客户端过滤器列表51在Radius服务器上配置MAC身份验证52调度程序52调度程序配置文件配置52配置文件规则配置53QoS54无线网桥57第4章无线网桥57配置WDS网桥58WDS链路中的WEP58WDS链路中的WPA/PSK59工作组网桥59快速漫游63第5章快速漫游63配置快速漫游63配置远程密钥持有者列表配置文件64集群设置67第6章集群设置概述67管理无线接入点间的集群设置67集群设置协商68从集群设置中删除的WAP设备的运行68支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点vii目录传播和不传播到集群设置无线接入点的配置参数69无线接入点70为集群设置配置WAP设备70固件管理71信道管理73配置高级设置73信道分配表73访问控制75第7章ACL75IPv4和IPv6ACL75配置ACL的工作流程76配置IPv4ACL76配置IPv6ACL78配置MACACL81客户端QoS82配置IPv4流量分类82配置IPv6流量分类85配置MAC流量分类87QoS策略88QoS关联89访客接入89访客接入实例表90访客组表92访客用户帐户92Web门户自定义93Umbrella95第8章思科Umbrella95监控97第9章支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点viii目录控制面板97局域网状态98无线状态99流量统计信息100集群设置100客户端101访客103管理105第10章固件105切换固件映像105HTTP/HTTPS升级106TFTP升级106配置文件107备份配置文件107下载配置文件108复制配置文件108清除配置文件109重启109计划重启109故障排除111第11章频谱智能111数据包捕获111本地数据包捕获112远程数据包捕获113流到远程主机113流到CloudShark114Wireshark115数据包捕获文件下载117使用HTTP117支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点ix目录支持信息117下载CPU/RAM数据118取消身份验证消息原因代码119附录A:取消身份验证消息原因代码119取消身份验证原因代码表119快速索引121附录B:快速索引121支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点x目录第1章使用入门本章包含以下小节:配置入门,第1页使用无线接入点设置向导,第2页更改密码,第5页TCP/UDP服务,第6页系统状态,第7页快速入门配置,第8页窗口导航,第9页配置入门本节介绍系统要求和如何访问基于Web的配置实用程序.
支持的浏览器在开始使用该配置实用程序之前,请确保您的计算机安装有InternetExplorer9或更高版本、Firefox46或更高版本、Chrome49或更高版本、Safari5.
0或更高版本.
浏览器限制如果使用InternetExplorer9,请配置以下安全设置:选择工具、Internet选项,然后选择安全选项卡.
接下来,选择本地内联网,然后选择站点.
选择高级,然后选择添加.
将WAP设备的内联网地址http://添加到本地内联网区域.
也可将IP地址指定为子网IP地址,这样子网中的所有地址均会添加到本地内联网区域.
如果管理站上有多个IPv6接口,则可以使用IPv6全局地址代替IPv6本地地址从浏览器访问WAP设备.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点1启动基于Web的配置实用程序请按照以下这些步骤从您的计算机访问配置实用程序,来配置WAP设备:1.
将WAP设备连接到您的计算机所在的网络(IP子网).
WAP设备的出厂默认IP地址配置为DHCP.
请确保您的DHCP服务器正在运行且可被访问.
2.
找到WAP设备的IP地址.
1.
可通过使用思科FindIT网络发现实用程序来访问和管理WAP设备.
通过此实用程序,可自动发现与计算机在同一本地网段中的所有受支持的思科设备.
您可获取每个设备的静态视图,或启动产品配置实用程序来查看和配置设置.
有关详细信息,请参阅http://www.
cisco.
com/go/findit.
2.
WAP设备支持Bonjour功能,能够自动广播其服务并侦听其他支持Bonjour功能的设备所通告的服务.
如果您有支持Bonjour功能的浏览器(例如安装Bonjour插件的MicrosoftInternetExplorer或AppleMacSafari浏览器),则无需知道IP地址即可找到您本地网络中的WAP设备.
可从Apple网站下载适用于MicrosoftInternetExplorer浏览器的完整Bonjour程序,下载网址为:http://www.
apple.
com/bonjour/.
3.
访问路由器或DHCP服务器,查找DHCP服务器所分配的IP地址.
有关详细信息,请参阅DHCP服务器说明.
3.
启动Web浏览器(例如MicrosoftInternetExplorer).
4.
在地址栏中输入默认DHCP地址,然后按Enter键.
5.
输入默认用户名和密码:在用户名和密码字段中输入cisco.
6.
单击登录.
系统显示无线接入点设置向导.
根据"设置向导"说明完成安装.
强烈建议您在首次安装时使用"设置向导".
有关详细信息,请参阅使用无线接入点设置向导,第2页.
注销默认情况下,如果配置实用程序在10分钟内无活动,将会注销.
有关更改默认超时时间的说明,请参阅管理,第24页.
要注销,请单击配置实用程序右上角的注销.
使用无线接入点设置向导首次登录无线接入点(或重置为出厂默认设置后)时,系统会显示"无线接入点设置向导",以帮助执行初始配置.
请按照以下步骤完成向导:支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点2使用入门使用无线接入点设置向导如果点击取消跳过向导,系统将显示更改密码页面.
在该页面中,您可以更改默认的登录密码和用户名.
有关详细信息,请参阅更改密码,第5页.
注释更改密码后必须重新登录:步骤1在向导的欢迎页面点击下一步.
步骤2在固件升级窗口中,点击升级以升级固件.
完成固件升级后,设备将自动重启并直接进入登录页面.
注释步骤3点击跳过.
系统将显示恢复配置窗口.
步骤4选择要应用于设备的配置文件,然后点击保存.
点击保存.
设备将应用相关配置,然后自动重启并直接进入登录页面.
注释步骤5点击跳过.
系统将显示配置设备—IP地址窗口.
步骤6单击动态IP地址(DHCP)(建议)从DHCP服务器接收IP地址,或单击静态IP地址手动配置IP地址.
有关这些字段的说明,请参阅IPv4配置.
步骤7单击下一步.
此时会出现集群设置-设置集群窗口.
有关集群设置的说明,请参阅集群设置概述.
步骤8要为WAP设备创建新的集群设置,请单击新建集群名称并指定新名称.
使用相同的集群名称配置设备并在另一WAP设备中启用集群设置模式时,这些设备会自动加入组.
如果网络中已存在集群,可以通过单击加入现有集群将此设备添加到其中,然后输入现有集群名称.
如果此时不希望此设备加入集群设置,请单击请勿启用集群设置.
或者,可以在无线接入点位置字段中输入位置以记录WAP设备的物理位置.
如果选中加入现有集群单选按钮,WAP将基于集群来配置其余设置.
单击下一步并接受确认消息,以加入集群.
单击提交加入集群.
完成配置后,单击完成退出设置向导.
步骤9单击下一步.
此时会出现配置设备-设置系统日期和时间窗口.
步骤10选择所在的时区,然后自动从NTP服务器设置系统时间或手动设置.
有关这些选项的说明,请参阅时间,第17页.
步骤11单击下一步.
此时会出现配置设备-设置密码窗口.
步骤12输入新密码,然后在确认密码字段中再次输入新密码.
取消选中密码复杂性复选框可禁用密码安全规则.
但是,思科强烈建议启用密码安全规则.
有关密码的详情,请参阅安全,第31页.
注释步骤13单击下一步.
此时会出现"配置无线1-为您的无线网络命名"窗口.
步骤14输入网络名称.
此名称用作默认无线网络的SSID.
步骤15单击下一步.
此时会出现"配置无线1-对您的无线网络进行安全设置"窗口.
步骤16选择安全加密类型并输入安全密钥.
有关这些选项的说明,请参阅配置安全设置,第47页.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点3使用入门使用无线接入点设置向导步骤17单击"下一步".
此时会出现"配置无线1-为您的无线网络指定VLANID"窗口.
步骤18为在无线网络中接收的流量选择VLANID.
建议从默认设置(1)中为无线流量指定不同的VLANID,以便将其与VLAN1中的管理流量分开.
步骤19单击下一步.
重复步骤13至步骤18,配置无线2接口的设置.
步骤20单击下一步.
此时会出现"启用网页认证-创建您的访客网络"窗口.
步骤21选择是否设置用于网络访客的身份验证方法,然后单击下一步.
如果单击否,则跳至步骤29.
如果单击是,则会出现"启用网页认证-为您的访客网络命名"窗口.
步骤22指定访客网络名称.
步骤23单击下一步.
此时会出现"启用网页认证-对您的访客网络进行安全设置"窗口.
步骤24为访客网络选择安全加密类型并输入安全密钥.
有关这些选项的说明,请参阅配置安全设置,第47页.
步骤25单击下一步.
此时会出现"启用网页认证-指定VLANID"窗口.
步骤26为访客网络指定VLANID.
访客网络VLANID应与管理VLANID不同.
步骤27单击下一步.
此时会出现"启用网页认证-启用重定向URL"窗口.
步骤28选中启用重定向URL,然后在重定向URL字段(包括http://)中输入完全限定域名(FQDN)或IP地址.
如果指定,系统会在身份验证后将访客网络用户重定向到指定的URL.
步骤29单击下一步.
此时会出现"摘要-确认您的设置"窗口.
步骤30检查已配置的设置.
单击返回以重新配置一个或多个设置.
如果单击取消,所有设置将恢复为以前的值或默认值.
步骤31如果设置正确,请单击提交.
您的设置已保存并出现确认窗口.
步骤32单击完成.
WAP设备已成功配置.
您需要使用新密码重新进行登录.
使用移动版无线接入点设置向导首次使用便携式设备登录无线接入点(或将其重置为出厂默认设置)后,系统将显示移动版"无线接入点设置向导"以帮助执行初始配置.
要使用向导配置无线接入点,请完成以下步骤:在出厂默认模式下,默认SSID为CiscoSB-Setup.
将您的便携式设备关联到具有该SSID且使用预共享密钥cisco123的无线接入点.
启动浏览器,输入任意IP地址或域名.
屏幕上将显示包含登录字段的网页.
输入如下默认用户名和密码:cisco.
单击登录.
屏幕上将显示无线接入点设置向导.
注释步骤1在向导的欢迎页面上点击下一步.
系统将显示配置IP地址窗口.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点4使用入门使用移动版无线接入点设置向导步骤2使用默认配置"动态(DHCP)"(推荐)从DHCP服务器接收IP地址,或者点击静态手动配置IP地址.
有关这些字段的说明,请参阅IPv4配置.
步骤3点击下一步.
系统将显示配置集群配置窗口.
步骤4点击跳过.
转到第6步.
步骤5要加入现有集群,请输入集群组名,然后单击下一步.
屏幕上将显示包含集群信息的摘要页面.
确认显示的数据,然后单击提交.
如需创建新集群,请单击创建并输入集群名称,然后转至步骤6.
注释步骤6在配置设备-设置密码窗口中输入新密码,然后在确认密码字段中重新输入该密码.
步骤7点击下一步.
系统将显示配置您的无线网络窗口.
a)输入用作默认无线网络的SSID的网络名称.
b)输入安全密钥(默认的安全类型为"WPA2个人-AES")c)输入要从无线网络接收流量的VLANID.
选中复选框以将相同的配置应用于Radio2,或者切换到另一个无线电选项卡并再次重复步骤7以进行配置.
注释步骤8点击下一步.
系统将显示设置网页认证窗口.
步骤9点击跳过.
转到第12步.
步骤10点击是.
系统将显示网页认证配置窗口.
步骤11选择无线电1(5GHz)或无线电2(2.
4GHz).
a)指定访客网络名称.
b)输入安全密钥(默认的安全类型为"WPA2个人-AES")c)为访客网络指定VLANID.
d)(可选)您可以使用完全限定域名(FQDN)指定重定向URL,以便将通过验证的用户重定向到指定的URL.
步骤12点击下一步.
系统将显示摘要窗口步骤13检查配置好的设置.
点击返回可重新配置一项或多项设置.
步骤14确保数据正确无误,然后点击提交进行保存.
步骤15WAP设备将成功完成配置.
您需要使用新的密码重新登录.
更改密码出于安全方面的考虑,您需要定期更改管理密码.
当密码过期时间结束时,您将需要访问此页面.
默认情况下,系统会启用密码复杂性设置,"更改密码"页上会显示最低密码复杂性要求.
新密码必须符合默认复杂性规则,或者可以禁用密码复杂性来暂时禁用该规则.
有关详细信息,请参阅安全,第31页.
要更改默认密码,请配置以下几项:用户名-输入新的用户名.
默认用户名为cisco.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点5使用入门更改密码旧密码-输入当前密码(默认值为cisco).
新密码-输入新密码.
确认密码-再次输入新密码进行确认.
密码强度计-显示新密码的强度.
密码复杂性-默认情况下,系统会启用密码复杂性,并要求新密码符合以下复杂性设置:不同于用户名.
不同于当前密码.
最小长度为8个字符.
包含至少三个字符类别的字符(大写字母、小写字母、数字和标准键盘上可用的特殊字符).
选中禁用可禁用密码复杂性规则.
但是,强烈建议您启用密码复杂性规则.
注释TCP/UDP服务TCP/UDP服务表显示在WAP上运行的协议和服务.
服务-服务名称.
协议-服务使用的底层传输协议(TCP或UDP).
本地IP地址-连接设备的本地IP地址.
"全部"表示设备中的任何IP地址都可以使用此服务.
本地端口-本地端口号.
远程IP地址-使用此服务的远程主机的IP地址.
"全部"表示此服务可用于访问系统的所有远程主机.
远程端口-任何与此服务进行通信的远程设备的端口号.
连接状态-服务的状态.
对于UDP,此表仅显示状态为"活动"或"已建立"的连接.
TCP状态包括:正在监听-此服务正在监听连接请求.
活动-已建立连接会话并且正在发送和接收数据包.
已建立-已在WAP设备与服务器或客户端之间建立连接会话.
等待时间-关闭序列已启动,WAP设备在关闭连接之前等待系统定义的超时时间(通常为60秒).
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点6使用入门TCP/UDP服务可以修改或重新排列TCP/UDP服务表上的顺序.
单击刷新可刷新屏幕并显示最新信息.
您还可以输入与服务、协议和其他详细信息相关的参数,以过滤显示的TCP/UDP服务.
单击返回可返回使用入门页.
注释系统状态"系统状态"页显示硬件型号说明、软件版本和各种配置参数,如:PIDVID-WAP设备的硬件型号和版本.
序列号-WAP设备的序列号.
主机名-分配给WAP设备的主机名.
MAC地址-WAP设备的MAC地址.
IPv4地址-WAP设备的IP地址.
IPv6地址-WAP设备的IPv6地址.
ETH0/PD端口-显示以太网接口的状态.
ETH1端口-显示ETH1接口的状态.
无线1(5GHz)-无线1接口启用或禁用5GHz模式.
无线2(2.
4GHz)-无线2接口启用或禁用2.
4GHz模式.
电源-系统可以通过电源适配器供电或通过以太网(PoE)接收供电,其中以太网供电包括来自供电设备(PSE)的802.
3.
af和802.
3at的两个供电模式.
当电源不足(802.
3af)时,WAP设备保留以下配置信息.
禁用Radio1(5GHZ).
Radio2(2.
4GHZ)天线从3x3切换成2x2,发射功率降至18dBm.
ETH0/PD端口的速度降至1Gbps.
关闭ETH1端口.
系统运行时间-自上次重启后的运行时间.
系统时间-当前系统时间.
固件版本(活动映像)-活动映像的固件版本.
固件MD5校验和(活动映像)-活动映像的校验和.
固件版本(非活动)-备份映像的固件版本.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点7使用入门系统状态固件MD5校验和(非活动)-备份映像的校验和.
快速入门配置为通过快速导航简化设备配置,使用入门页提供用于执行常见任务的链接.
使用入门页是启动时的默认窗口.
链接的页面链接名称(在页面上)类别使用无线接入点设置向导,第2页设置向导快速访问添加用户,第23页更改帐户密码配置文件,第107页备份/恢复配置固件,第105页升级设备固件无线电,第39页无线设置高级配置管理,第24页管理设置为集群设置配置WAP设备,第70页配置集群配置IPv4配置,第11页局域网设置访客接入,第89页访客接入控制面板控制面板更多信息TCP/UDP服务,第6页TCP/UDP服务LED显示,第18页查看系统日志流量统计信息,第100页流量统计信息有关设备的其他信息,可以通过以下方式访问产品支持页面或思科支持社区:单击支持可访问产品支持页面.
单击论坛可访问思科支持社区页面.
点击关于FindIT的详细信息查看关于FindIT实用程序的信息.
点击下载FindIT下载FindIT实用程序.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点8使用入门快速入门配置窗口导航使用导航按钮围绕WAP的图形用户界面移动.
配置实用程序页眉配置实用程序页眉包含标准信息,在每页的顶部显示.
页眉提供以下按钮:说明按钮名称登录WAP设备的用户帐户名称(Administrator或Guest).
出厂默认用户名为cisco.
(用户)将鼠标指针悬停在此按钮上,然后选择语言.
出厂默认语言为英语.
(语言)单击此按钮可注销配置实用程序.
单击此按钮可显示WAP设备类型和版本号.
单击此按钮可显示情境相关的在线帮助.
可以使用UTF-8编码通过浏览器查看在线帮助.
如果在线帮助显示乱码,请确认浏览器中的编码设置是否设置为UTF-8.
导航窗格导航窗格或主菜单位于每个页面的左侧.
导航窗格是WAP设备顶层功能的列表.
如果主菜单项前面有一个箭头,选中此箭头可展开并显示每组子菜单.
然后可以选择所需的子菜单项以打开关联页.
管理按钮下表介绍系统中各页面上显示的常用按钮:说明按钮名称向表或数据库添加新条目.
添加取消对页面所做的更改.
取消清除日志表中的所有条目.
全部清除删除表中的条目.
删除编辑现有条目.
编辑用最新数据刷新当前页.
刷新支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点9使用入门窗口导航保存设置或配置.
保存将新信息更新到启动配置中.
更新支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点10使用入门管理按钮第2章系统配置本章介绍如何配置全局系统设置和执行诊断.
具体包括以下主题:局域网,第11页时间,第17页通知,第18页用户帐户,第23页管理,第24页安全,第31页局域网本节介绍如何在WAP设备上配置端口、VLAN、LLDP、IPv4和IPv6设置.
IPv4配置使用"IPv4设置"页配置IPv4地址.
步骤1依次选择局域网>IPv4配置.
步骤2配置以下IPv4设置:连接类型-默认情况下,WAP设备中的DHCP客户端会自动广播网络信息请求.
如果要使用静态IP地址,必须禁用DHCP客户端并手动配置IP地址和其他网络信息.
请选择以下选项之一:DHCP-WAP设备从局域网的DHCP服务器获取其IP地址.
静态IP-手动配置IPv4地址.
IPv4地址应采用类似于xxx.
xxx.
xxx.
xxx(172.
17.
144.
170)的格式.
静态IP地址、子网掩码和默认网关-输入静态IP地址、子网掩码和默认网关.
域名服务器-选择以下选项之一:动态-WAP设备从局域网的DHCP服务器获取DNS服务器地址.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点11手动-在提供的字段中最多输入两个IP地址.
步骤3单击保存保存更改.
DHCP自动配置设置DHCP自动配置选项-默认情况下,启用此选项.
如果无线接入点使用的是出厂默认设置,则它会首先尝试使用DHCP选项进行自动配置.
在自动配置过程中:无线接入点会在仅启用以太网接口的情况下启动(WLAN接口会关闭).
除显示用户界面外,系统不会为用户提供任何服务.
在经过"等待间隔"或配置文件完成TFTP上传后(以先到者为准),"DHCP自动配置选项"会自动变为禁用状态.
如果禁用DHCP客户端(即使用静态IP地址进行配置)或禁用"DHCP自动配置选项",自动配置过程会立即中止.
DHCP客户端会自动广播对DHCP选项66和67的请求.
如果DHCP和"DHCP自动配置选项"已启用,无线接入点在下次重启时,会依据从用于DHCP请求的DHCP服务器收到的信息进行自动配置.
用户/思科上传的配置会覆盖自动配置,以确保用户/思科选择的配置文件具有更高优先级.
如果在任何其他情况下重启无线接入点(如固件升级/重启操作),系统都将使用现有自动配置设置.
注释TFTP服务器IPv4地址/主机名-如果配置TFTP服务器地址,当自动配置失败时,无线接入点会使用该地址从DHCP服务器指定的其他TFTP服务器检索文件.
输入IPv4地址或主机名信息.
如果使用主机名格式,则必须确保能够连接到DNS服务器,以便将主机名转换为IP地址.
此设置值会在无线接入点下次启动时用于自动配置过程.
配置文件名-如果指定配置文件名,而启动文件名不是从DHCP服务器收到的,那么无线接入点会在自动配置过程中从TFTP服务器检索指定的配置文件.
如果不指定此值,无线接入点会默认使用config.
xml.
如果指定此值,则文件扩展名必须为xml.
此设置值会在无线接入点下次启动时用于自动配置过程.
等待间隔-如果已配置此设置,无线接入点会使用本地配置,并在等待间隔结束后向用户提供已启用服务.
如果TFTP事务在此指定间隔内未完成初始化,则无线接入点会中止自动配置过程.
此设置值会在无线接入点下次启动时用于自动配置过程.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点12系统配置DHCP自动配置设置状态日志-此字段用于显示自动配置完成或中止的原因.
IPv6配置使用"IPv6设置"页配置IPv6地址,步骤如下:步骤1依次选择局域网>IPv6配置.
步骤2配置以下参数:IPv6连接类型-选择以下选项之一:DHCPv6-IPv6地址由DHCPv6服务器指定.
静态IPv6-手动配置IPv6地址.
IPv6地址应采用类似于xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx(2001:DB8:CAD5:7D91)的格式.
IPv6管理模式-选中启用启用IPv6管理模式.
IPv6自动配置管理模式-选中启用启用IPv6自动地址配置功能.
如果启用IPv6自动地址配置功能,WAP设备会通过处理局域网端口接收的路由器通告识别其IPv6地址和网关.
WAP设备可拥有多个自动配置的IPv6地址.
静态IPv6地址-输入静态IPv6地址.
WAP设备可以拥有一个静态IPv6地址(即使此地址已自动配置).
静态IPv6地址前缀长度-输入静态地址的前缀长度,前缀长度为0至128之间的整数.
默认值为0.
静态IPv6地址状态-选择以下选项之一:运行-IP地址经验证为唯一地址,且可在局域网接口上使用.
暂定-分配静态IP地址时,WAP设备会自动启动重复地址检测(DAD)进程.
此IPv6地址在网络上进行验证期间是暂定地址,不能用于传输或接收流量.
空白(无值)-未分配IP地址.
IPv6自动配置全局地址-列出已自动分配给设备的IPv6地址.
IPv6链路本地地址-本地物理链路使用的IPv6地址.
此链路的本地地址不可配置,可通过使用IPv6邻居发现进程指定.
默认IPv6网关-静态配置的默认IPv6网关.
IPv6域名服务器-选择以下选项之一:动态-通过DHCPv6动态识别DNS服务器.
手动-手动指定最多两个IPv6DNS服务器.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点13系统配置IPv6配置端口设置使用"端口设置表"查看和配置将WAP设备连接到局域网的端口的设置.
步骤1依次选择局域网>更多>端口设置表.
端口设置表显示局域网接口的以下状态和配置:链路汇聚-启用链路汇聚组(LAG).
LAG模式-包括以下选项:标准LAG-如果两个以太网接口的协商速度不一致,则暂停后面的插件.
BW第一-如果两个以太网接口的协商速度不一致,则暂停速度较慢的接口.
冗余和功率第一-将两个以太网接口的速度调整为相同速度以进行绑定.
此为默认模式.
WAP581支持静态LAG,不支持LACP.
确保LAG可用于WAP581设备.
这有助于用户将LAG从默认模式切换为其他模式.
注释端口设置表包括接口(局域网)的以下状态和配置:接口-指定局域网的接口链路状态-显示当前端口链路状态.
端口速度-在查看模式中,会列出当前端口速度.
在编辑模式中,如果"自动协商"已禁用,请选择一种端口速度,如100Mbps或10Mbps.
"自动协商"已启用时,仅支持1000Mbps速度.
双工模式-在查看模式中,会列出当前端口的双工模式.
在编辑模式中,如果"自动协商"已禁用,请选择半双工或全双工模式.
自动协商-如果已启用,端口会与其链路伙伴协商以设置可用的最快链路速度和双工模式.
如果已禁用,可以手动配置"端口速度"和"双工模式".
绿色以太网-绿色以太网模式同时支持自动断电模式和EEE(节能以太网,IEEE802.
3az)模式.
绿色以太网模式仅在端口启用自定协商时工作.
自动关闭电源模式可以在链路伙伴的信号不存在时降低芯片功耗.
WAP设备可在线路中的电量消失时自动进入低功耗模式,并在检测到电量时恢复正常运行.
EEE模式支持在链路利用率低时使用静默时间,允许链路两端同时禁用每个PHY的部分工作电路以节省能源.
步骤2单击保存.
生成树协议在"生成树协议"模式下,选中启用复选框以在思科WAP设备上启用STP模式.
启用后,STP可以帮助阻止交换环路.
如果配置WDS链路,建议使用STP.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点14系统配置端口设置VLAN设置使用"VLAN配置"页查看和配置VLAN设置.
步骤1依次选择局域网>更多>VLAN设置表.
步骤2配置以下参数:未标记VLANID-对于未标记VLANID,指定一个1至4094之间的数字.
默认值为1.
在此字段中指定的VLAN上的流量在转发到网络时,不使用VLANID进行标记.
说明-相关VLAN的说明.
管理VLAN-管理VLAN是用于通过Telnet或WebGUI访问设备的VLAN.
必须只有一个VLAN作为管理VLAN.
如果未将任何接口(有线或无线)分配到管理VLAN,用户将没有能用于访问配置实用程序的接口.
VLAN-从下拉列表中选择(未标记或已标记)VLAN.
默认情况下,WAP设备上的所有流量都使用VLAN1(默认的未标记VLAN).
这意味着在禁用未标记虚拟局域网、更改未标记流量VLANID、使用RADIUS更改VAP或客户端的VLANID之前,不对任何流量进行标记.
步骤3单击保存.
更改将保存到"启动配置".
邻居发现通过Bonjour,可以使用组播域名服务器(mDNS)发现WAP设备及其服务.
Bonjour可向网络通告服务并对支持的服务类型进行查询答复,从而简化您业务环境中的网络配置.
WAP设备可以通告以下服务类型:思科特定设备说明(csco-sb)-通过此服务,客户端可以发现思科WAP设备以及网络中部署的其他产品.
管理用户接口-此服务可识别WAP设备中可用的管理接口(HTTP和SNMP).
将启用Bonjour的WAP设备连接到网络后,任何Bonjour客户端均可发现和访问配置实用程序,而无需预先配置.
系统管理员可以使用已安装的InternetExplorer插件来发现WAP设备.
基于Web的配置实用程序在浏览器中显示为一个选项卡.
系统管理员可以使用最新的InternetExplorer插件(思科FindIT工具)查看已启用Bonjour的WAP.
在Bonjour发现流程后,集群中的所有WAP设备在集群名称下显示.
管理员应确保集群名称在网络中是唯一的.
注释Bonjour在IPv4和IPv6中均可工作.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点15系统配置VLAN设置要通过Bonjour发现WAP设备,请执行以下步骤:步骤1依次选择局域网>邻居发现.
步骤2选中启用启用Bonjour.
步骤3单击保存.
更改将保存到"启动配置".
LLDP链路层发现协议(LLDP)由IEEE802.
1AB标准定义,并允许UAP通告其系统名称、系统功能和电源要求.
此信息可帮助识别系统拓扑并检测局域网中的不良配置.
该无线接入点还支持链路层发现协议-媒体终端发现(LLDP-MED)协议,该协议可标准化设备彼此传输的其他信息元素,从而改善网络管理.
步骤1要配置LLDP设置,请依次选择局域网>LLDP.
步骤2配置以下参数:LLDP模式-选中启用启用LLDP.
启用后,无线接入点会将LLDP协议数据单元发送给相邻设备.
传输间隔-传输每个LLDP消息之间间隔的秒数.
有效范围为5至32768秒.
默认值为30秒.
POE优先级-从下拉列表中选择优先级(严重、高、低或未知).
当供电设备(PSE)没有足够的容量为所有连接的设备供电时,PoE优先级可帮助PSE确定在分配功率时应优先考虑哪些受电设备.
步骤3单击保存.
IPv6隧道WAP设备支持站内自动隧道寻址协议(ISATAP).
通过ISATAP,WAP设备可以通过局域网发送IPv4数据包内封装的IPv6数据包.
通过此协议,WAP设备可以与支持IPv6的远程主机通信,即使连接它们的局域网不支持IPv6也没有问题.
WAP设备可以用作ISATAP客户端.
已启用ISATAP的主机或路由器必须位于局域网中.
路由器的IP地址或主机名是在WAP设备上配置的(默认情况下是ISATAP).
如果将其配置为主机名,WAP设备会与DNS服务器进行通信以将此名称解析为一个或多个ISATAP路由器地址.
然后WAP设备将请求消息发送到路由器.
已启用ISATAP的路由器回复通告消息后,WAP设备和路由器建立隧道.
为隧道接口指定链路本地和全局IPv6地址,隧道接口可以用作IPv4网络中的虚拟IPv6接口.
IPv6主机发起与通过ISATAP路由器连接的WAP设备之间的通信时,ISATAP路由器会将IPv6数据包封装到IPv4数据包中.
ISATAP状态-选中启用可在设备上启用ISATAP.
支持ISATAP的主机-输入ISATAP路由器的IP地址或DNS名称.
默认值为isatap.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点16系统配置LLDPISATAP查询间隔-输入WAP设备应向DNS服务器发送查询以尝试将ISATAP主机名解析为IP地址的频率.
有效范围为120至3600秒.
默认值为120秒.
ISATAP请求间隔-输入WAP设备应向ISATAP路由器发送路由器请求消息的频率.
WAP设备仅在没有活动ISATAP路由器时发送路由器请求消息.
有效范围为120至3600秒.
默认值为120秒.
ISATAPIPv6链路本地地址—本地物理链路使用的IPv6地址.
此链路的本地地址不可配置,可通过使用IPv6邻居发现进程指定.
ISATAPIPv6全局地址—如果已经为WAP设备自动指定一个或多个IPv6地址,系统会列出这些地址.
建立隧道后,页面中显示"ISATAPIPv6链路本地地址"和"ISATAPIPv6全局地址"字段.
这些是虚拟IPv6接口地址.
注释单击保存.
时间系统时钟为消息日志提供网络同步的时间戳服务.
系统时钟可以手动配置,也可以配置为从服务器获取时钟数据的网络时间协议(NTP)客户端.
使用"时间设置"页可手动或从预配置的NTP服务器配置系统时间.
默认情况下,WAP设备会配置为从预定义的NTP服务器列表获取其时间.
页面顶部会显示当前系统时间和系统时钟源选项.
自动通过NTP获取时间设置要自动从NTP服务器获取时间设置,请按照以下步骤操作:步骤1依次选择系统配置>时间.
步骤2在"系统时钟源"区域中,单击网络时间协议(NTP).
步骤3配置以下参数:NTP服务器(1至4)-指定NTP服务器的IPv4地址、IPv6地址或主机名.
系统会列出默认NTP服务器.
主机名可以包含一个或多个标签,每个标签最多由63个字母数字字符组成.
如果主机名包含多个标签,可用句点(.
)分隔标签.
整个标签和句点字串的长度不能超过253个字符.
时区-选择所在位置的时区.
进行夏令时时间调整-选中以启用和配置以下字段:开始-选择夏令时开始的星期、日、月和时间.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点17系统配置时间结束-选择夏令时结束的星期、日、月和时间.
夏令时补偿-指定在夏令时开始和结束时时钟向前/向后拨动的分钟数.
步骤4单击保存.
更改将保存到"启动配置".
手动配置时间设置要手动配置时间设置,请执行以下步骤:步骤1依次选择系统配置>时间.
步骤2在"系统时钟源"区域中,选择手动.
步骤3单击与PC同步时间,从本地PC复制系统时间设置.
步骤4还可以配置以下字段:系统日期-从下拉列表中选择当前年、月、日.
系统时间-选择当前的小时和分钟(24小时制).
时区-选择所在位置的时区.
进行夏令时时间调整-选中以启用和配置以下字段:开始-选择夏令时开始的星期、日、月和时间.
结束-选择夏令时结束的星期、日、月和时间.
夏令时补偿-指定在夏令时开始和结束时时钟向前/向后拨动的分钟数.
步骤5单击保存.
更改将保存到"启动配置".
单击与PC同步时间,设备的系统时间将与PC相同.
注释通知本节详细介绍启用和配置无线接入点通知的过程.
LED显示WAP设备有两种类型的LED:系统LED和以太网LED.
使用"LED显示"页配置所有LED.
要配置LED显示,请执行以下操作:支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点18系统配置手动配置时间设置步骤1依次选择通知>LED显示.
步骤2选择启用启用LED.
选择禁用禁用LED.
选择关联调度程序并转到步骤3.
步骤3从"关联调度程序LED显示"的下拉列表中选择配置文件名称.
默认情况下,LED未关联任何配置文件.
下拉选项中会显示在无线>调度程序页中配置的已配置调度程序配置文件名称.
当LED关联到调度程序配置文件时,此列会根据当天该时刻是否存在活动的配置文件规则来显示状态.
步骤4单击保存.
日志设置使用"日志设置"页将日志消息保存在永久内存中.
也可以将日志发送到远程主机.
如果系统意外重启,则日志消息可用于诊断原因.
但是,除非启用永久日志记录,否则系统重新启动时会擦除日志消息.
启用永久日志记录会耗尽闪存(非易失性内存),降低网络性能.
请仅在调试问题时启用永久日志记录,并确保在完成问题调试之后禁用永久日志记录.
注意配置永久日志步骤1依次选择通知>日志设置.
步骤2配置以下参数:永久-选中启用将系统日志保存到非易失性内存中,以便在WAP设备重启时保留日志.
最多可以保存1000条日志消息.
达到1000条的限制时,最新的日志消息会覆盖最早的日志消息.
清除此字段可将系统日志保存到易失性内存.
系统重新启动时会删除易失性内存中的日志.
严重性-从用于过滤将保存在非易失性内存中的事件消息的下拉列表中选择严重性(紧急、警报、严重、错误、警告、通知、信息或调试).
所有其他消息都将保存在易失性内存中.
深度-输入可以存储在易失性内存中的最大消息数(最多为1000条).
达到在此字段中配置的数量时,最新的日志事件会覆盖最早的日志事件.
步骤3单击保存.
远程日志服务器内核日志是一个全面的系统事件(显示在"系统日志"中)和内核消息列表.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点19系统配置日志设置无法直接从配置实用程序查看内核日志消息.
必须先设置远程日志服务器,才能接收和捕获日志.
然后,可以配置WAP设备,以登录远程日志服务器.
WAP设备最多支持两台远程日志服务器.
系统日志消息的远程日志服务器集合提供以下功能:允许从多个无线接入点集合系统日志消息.
存储消息历史记录的时间长于单个WAP设备.
触发脚本管理操作和警报.
要将网络中的主机指定为远程日志服务器,请执行以下步骤:步骤1依次选择通知>日志设置.
步骤2在"远程日志服务器表"中配置以下参数:服务器IPv4/IPv6地址/名称-输入远程日志服务器的IPv4地址、IPv6地址或主机名.
主机名可以包含一个或多个标签,每个标签最多由63个字母数字字符组成.
如果主机名包含多个标签,可用句点(.
)分隔标签.
整个标签和句点字串的长度不能超过253个字符.
启用-选中启用启用远程日志服务器.
然后,定义日志严重性和UDP端口.
日志严重性-选中事件必须将其发送到远程日志服务器的严重性.
UDP端口-输入远程主机上系统日志进程的逻辑端口号.
范围为1至65535.
默认端口为514.
建议使用默认端口.
如果重新配置日志端口,确保指定给系统日志的端口号可供使用.
步骤3单击保存.
更改将保存到"启动配置".
如果已启用远程日志服务器,单击保存可激活远程日志记录.
WAP设备可将用于显示的内核消息实时发送到远程日志服务器监控器、指定的内核日志文件或其他存储器,具体取决于实际配置.
如果已禁用远程日志服务器,单击保存可禁用远程日志记录.
注释查看系统日志"查看系统日志"页显示设备上发生的系统事件的列表.
系统会在重新启动时清除日志,也可以由管理员清除日志.
最多可以显示1000个事件.
根据需要从列表中删除较早的条目,为新事件释放空间.
要查看系统日志,请依次选择通知>查看系统日志.
系统将显示以下信息:时间戳-事件发生时的系统时间.
严重性-事件的严重性级别.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点20系统配置查看系统日志服务-与事件关联的服务.
说明-事件说明.
可以过滤或重新排列"查看系统日志"中的设置.
单击刷新可刷新屏幕并显示最新信息.
单击全部清除可清除日志中的所有条目.
单击下载可下载日志中的所有条目.
邮件警报/邮件服务器/邮件配置邮件警报功能支持邮件服务器配置、消息严重性配置以及最多3个用于发送紧急和非紧急邮件警报的邮件地址.
使用"邮件警报"页,可在发生特殊系统事件时将消息发送到已配置的邮件地址.
请勿使用个人邮件地址.
这会不必要地暴露个人邮件登录凭证.
请使用单独的邮件帐户.
另外,请注意,默认情况下,许多邮件帐户保留发送的所有邮件的副本.
任何有权访问此邮件帐户的人都可以访问发送的邮件.
查看邮件设置以确保其符合您的隐私策略.
提示要配置WAP设备以发送邮件警报,请执行以下步骤:步骤1依次选择通知>邮件警报.
步骤2在"全局配置"区域中,配置以下参数:管理模式-选中启用启用邮件警报功能.
邮件发件人地址-输入要显示为邮件发件人的邮件地址.
此地址是一个包含255个字符的字符串,仅能使用可打印字符.
默认情况下,系统未配置任何地址.
日志持续时间-输入发送预定邮件的频率(以分钟为单位).
范围为30至1440分钟.
默认值为30分钟.
预定邮件严重性-从下拉列表中选择严重性(紧急、警报、严重、错误或警告),事件必须以"日志持续时间"指定的频率将其发送到配置的邮件地址.
默认严重性为警告.
紧急邮件严重性-从下拉列表中选择严重性(紧急、警报、严重、错误、警告、通知、信息或调试),事件必须立即将其发送到配置的邮件地址.
默认严重性为警报.
步骤3在"邮件服务器配置"区域中,配置以下参数:服务器IPv4地址/名称-输入出站SMTP服务器的IP地址或主机名.
服务器地址必须是有效的IPv4地址或主机名.
IPv4地址应采用类似于xxx.
xxx.
xxx.
xxx(192.
0.
2.
10)的格式.
主机名可以包含一个或多个标签,每个标签最多由63个字母数字字符组成.
如果主机名包含多个标签,可用句点(.
)分隔标签.
整个标签和句点字串的长度不能超过253个字符.
数据加密-从出站邮件警报的下拉列表中选择安全模式(无加密或TLSv1).
使用安全TLSv1协议可以防止在公用网络上的通信过程中遭受窃听和篡改.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点21系统配置邮件警报/邮件服务器/邮件配置端口-输入用于出站邮件的SMTP端口号.
范围是从0至65535的有效端口号.
默认端口为465.
用户名-输入将用于发送这些邮件的邮件帐户的用户名.
通常(但不一定),用户名是包含域的完整邮件地址(如Name@example.
com).
指定帐户将用作发件人的邮件地址.
用户名可以包含1至64个字母数字字符.
密码-输入将用于发送邮件的邮件帐户的密码.
密码可以包含1至64个字符.
步骤4在"邮件配置"区域中,配置邮件地址和主题行:收件人邮件地址1/2/3-最多可输入3个用于接收邮件警报的地址.
每个邮件地址都必须为有效地址.
邮件主题-输入在邮件主题行中显示的文本.
主题是最多可以包含255个字符的字母数字字符串.
步骤5单击保存.
邮件警报示例以下示例显示"邮件服务器配置"参数的填写方式:GmailServerIPv4Address/Name=smtp.
gmail.
comDataEncryption=TLSv1Port=465Username=YourfullemailaddressyoucanusetologintoyouremailaccountassociatedwiththeaboveserverPassword=xxxxxxxxisavalidpasswordofyourvalidemailaccountToEmailAddress1=myemail@gmail.
comWindowsLiveHotmailWindowsLiveHotmailrecommendsthefollowingsettings:DataEncryption:TLSv1SMTPServer:smtp.
live.
comSMTPPort:587Username:Yourfullemailaddress,suchasmyName@hotmail.
comormyName@myDomain.
comPassword:YourWindowsLiveaccountpasswordYahoo!
MailYahoorequiresusingapaidaccountforthistypeofservice.
Yahoorecommendsthefollowingsettings:DataEncryption:TLSv1SMTPServer:plus.
smtp.
mail.
yahoo.
comSMTPPort:465or587Username:Youremailaddress,withoutthedomainnamesuchasmyName(without@yahoo.
com)Password:YourYahooaccountpassword以下示例显示常规日志邮件的样例格式.
From:AP-192.
168.
2.
10@mailserver.
comSent:Wednesday,September09,200911:16AMTo:administrator@mailserver.
comSubject:logmessagefromAPTIMEPriority>ProcessId>>>MessageSep803:48:25info>>login[1457]>>>rootloginonttyp0Sep803:48:26info>>mini_http-ssl[1175]>Maxconcurrentconnectionsof20reached支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点22系统配置邮件警报示例用户帐户默认情况下,WAP设备中配置了一个管理用户:用户名:cisco密码:cisco使用"用户帐户"页最多可配置4个其他用户,并且可以更改用户密码.
添加用户配置以下设置以添加新用户:步骤1依次选择系统配置>用户帐户.
用户帐户表显示当前已配置的用户.
用户cisco是在系统中预先配置的,具有读/写权限.
所有其他用户可以拥有只读访问权限,但没有读/写访问权限.
步骤2单击添加新行.
步骤3选中新用户的复选框,并为新用户输入用户名.
步骤4输入"新密码"(0至127个字符),然后在"确认新密码"字段中输入相同密码.
"密钥强度计"字段指示密码强度,如下所示:红色-密码不满足最低复杂性要求.
橙色-密码满足最低复杂性要求,但密码强度较弱.
绿色-密码强度较强.
步骤5单击保存.
要删除用户,请选择用户名并单击删除.
要编辑现有用户,请选择用户名并单击编辑,然后单击保存以保存对配置所做的所有更改.
注释更改用户密码要更改用户密码,请执行以下步骤:步骤1依次选择系统配置>用户帐户.
用户帐户表显示当前已配置的用户.
用户cisco是系统中预先配置的用户,具有读/写权限.
用户cisco的密码可以更改.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点23系统配置用户帐户步骤2选择要配置的用户,然后单击编辑.
步骤3输入新密码(0至127个字符),然后在确认新密码字段中输入相同密码.
"密钥强度计"指示密码强度,如下所示:红色-密码不满足最低复杂性要求.
橙色-密码满足最低复杂性要求,但密码强度较弱.
绿色-密码强度较强.
步骤4单击保存.
更改将保存到"启动配置".
如果更改密码,必须重新登录系统.
注释管理使用"系统设置"页配置标识网络中WAP设备的信息.
要配置系统设置,请执行以下步骤:步骤1依次选择系统配置>管理.
步骤2配置以下参数:主机名-输入WAP设备的主机名.
默认情况下,此名称是节点的完全限定域名(FQDN).
默认主机名由wap与WAP设备MAC地址的最后6位十六进制数字连接组成.
主机名标签只能包含字母、数字和连字符.
其不能以连字符开头或结尾.
也不允许使用其他符号、标点字符或空格.
主机名可以包含1至63个字符.
系统联系人-输入WAP设备的联系人.
系统联系人的长度为0至255个字符,可以包含空格和特殊字符.
系统位置-输入WAP设备的物理位置.
系统位置的长度为0至255个字符,可以包含空格和特殊字符.
步骤3单击保存.
更改将保存到"启动配置".
连接会话设置/HTTP/HTTPS服务任务使用"HTTP/HTTPS服务"页可启用和配置基于Web的管理连接.
如果对安全管理会话使用HTTPS,还可以使用此页管理所需的SSL证书.
要配置HTTP和HTTPS服务,请执行以下步骤:步骤1依次选择系统配置>管理.
步骤2在"全局设置"区域中配置以下参数:支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点24系统配置管理最大会话数-输入可以同时使用的Web会话数,包括HTTP和HTTPS.
当用户登录WAP的配置实用程序时,系统会创建一个会话.
在用户注销或会话超时过期之前此会话会一直保留.
范围为1至10个会话.
默认值为5.
如果达到最大会话数量,下一位尝试登录配置实用程序的用户将收到有关会话限制的错误消息.
会话超时-输入非活动用户保持登录的最长时间(以分钟为单位).
当达到配置的超时时间时,用户将自动注销.
范围为2至60分钟.
默认值为10分钟.
步骤3配置HTTP和HTTPS服务:HTTP服务器-启用或禁用通过HTTP的访问.
默认情况下,HTTP访问处于禁用状态.
如果禁用此设置,当前使用此协议的所有连接都将断开.
HTTP端口-输入用于HTTP连接的逻辑端口号,范围为1025至65535.
HTTP连接的默认端口号是已知IANA端口号80.
将HTTP重定向到HTTPS-将HTTP端口上的管理HTTP访问尝试重定向到HTTPS端口.
此字段仅在禁用HTTP访问时可用.
HTTPS服务器-启用或禁用通过安全HTTP(HTTPS)访问.
默认情况下,HTTPS访问处于启用状态.
如果禁用此设置,当前使用此协议的所有连接都将断开.
HTTPS端口-输入用于HTTPS连接的逻辑端口号,范围为1025至65535.
HTTPS连接的默认端口号是IANA端口号443.
管理ACL模式-如果此模式已启用,则只能通过Web和SNMP访问指定IP主机.
如果禁用此功能,任何人通过提供正确的WAP设备用户名和密码,都可以从任一网络客户端访问配置实用程序.
请对您所输入的所有IP地址进行验证.
如果输入的IP地址与管理计算机不匹配,将失去对配置接口的访问权限.
建议您为管理计算机指定一个静态IP地址,这样地址就不会随着时间而改变.
注释步骤4单击保存.
SSL证书文件状态要使用HTTPS服务,WAP设备必须具有有效的SSL证书.
WAP设备可以生成证书,也可以从网络或TFTP(普通文件传输协议)服务器下载证书.
在"生成SSL证书"区域中,单击SSL设置,然后单击生成以生成WAP设备的证书.
此程序应在WAP设备获取IP地址后完成,这样可以确保证书的公用名与WAP设备的IP地址匹配.
生成新SSL证书会重新启动安全Web服务器.
在浏览器接受新证书之前,安全连接将无法正常工作.
在"SSL证书文件状态"区域中,可以查看WAP设备上的当前证书.
系统将显示以下内容:存在证书文件证书过期日期支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点25系统配置SSL证书文件状态证书颁发机构通用名称如果WAP设备上存在SSL证书(扩展名为.
pem的文件),可以将其下载到计算机上进行备份.
在传输SSL证书(设备到PC)区域中,选择HTTP/HTTPS或TFTP作为下载选项,然后单击传输.
如果选择HTTP/HTTPS,请确认下载,然后浏览在网络中保存此文件的位置.
如果选择TFTP,请输入为下载文件指定的文件名,以及要下载文件的TFTP服务器IPv4地址.
还可以从计算机向WAP设备上传证书文件(扩展名为.
pem的文件).
在传输SSL证书(PC到设备)区域中,选择HTTP/HTTPS或TFTP作为上传选项,然后单击传输.
如果选择HTTP/HTTPS,请浏览网络位置,选择文件,然后单击传输.
如果选择TFTP,请输入"文件名"和"TFTP服务器IPv4地址",然后单击传输.
文件名不能包含以下字符:空格、以及两个或两个以上连续的句点.
上传成功时系统会显示确认消息.
SNMP/SNMPv2c设置SNMP定义用于记录、存储和共享网络设备相关信息的标准.
SNMP有助于网络管理、故障排除和维护.
WAP支持SNMP,并且可以作为SNMP受管设备无缝集成到网络管理系统中.
使用"SNMP/SNMPv2c设置"页启用SNMP并配置基本协议设置.
要配置通用SNMP设置,请执行以下步骤:步骤1依次选择管理>SNMP设置.
步骤2选中启用启用SNMP.
步骤3输入用于SNMP流量的UDP端口.
默认值为161.
但是,可以进行配置,以便代理监听不同端口上的请求.
有效范围为1025至65535.
步骤4在"SNMPv2c设置"区域中配置SNMPv2c设置:只读社区-输入用于SNMPv2访问的只读社区名称.
有效范围为1至256个字母数字和特殊字符.
社区名称可以用作简单身份验证功能,限制网络中可以从SNMP代理请求数据的设备.
此名称还可以用作密码,如果发送方知道此密码,会认为请求可信.
读写社区-输入用于SNMP设置请求的读写社区名称.
有效范围为1至256个字母数字和特殊字符.
设置社区名称和设置密码类似.
仅接受可通过此社区名称识别的机器所发送的请求.
管理工作站-确定可以通过SNMP访问WAP设备的工作站.
请选择以下选项之一:全部-所有工作站都可以通过SNMP访问WAP设备.
用户定义-允许的用户定义SNMP请求集.
NMSIPv4地址/名称-输入网络管理系统(NMS)的IPv4IP地址、DNS主机名或子网.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点26系统配置SNMP/SNMPv2c设置DNS主机名可以包含一个或多个标签,每个标签最多由63个字母数字字符组成.
如果主机名包含多个标签,可用句点(.
)分隔标签.
整个标签和句点字串的长度不能超过253个字符.
和社区名称一样,此设置也可提供有关SNMP设置的安全级别.
SNMP代理仅接受此处指定的IP地址、主机名或子网的请求.
要指定子网,请以地址/掩码长度的形式输入一个或多个子网地址范围,其中地址是IP地址,掩码长度是掩码位数.
地址/掩码和地址/掩码长度两种格式均受支持.
例如,如果输入范围192.
168.
1.
0/24,这将指定IP地址为192.
168.
1.
0、子网掩码为255.
255.
255.
0的子网.
NMSIPv6地址/名称-可以对受管设备执行、获取和设置请求的设备的IPv6地址、DNS主机名或子网.
IPv6地址应采用类似于xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx(2001:DB8:CAD5:7D91)的格式.
主机名可以包含一个或多个标签,每个标签最多由63个字母数字字符组成.
如果主机名包含多个标签,可用句点(.
)分隔标签.
整个标签和句点字串的长度不能超过253个字符.
注释步骤5在"SNMPv2c陷阱设置"区域中配置SNMPv2c陷阱设置:陷阱社区-输入与SNMP陷阱关联的全局社区字符串.
从设备发送的陷阱将此字符串作为社区名称提供.
有效范围为1至60个字母数字和特殊字符.
陷阱目标表-输入最多包含3个用于接收SNMP陷阱的IP地址或主机名的列表.
选中此框,然后选择主机IP地址类型(IPv4或IPv6),最后添加主机名/IP地址.
例如,DNS主机名为snmptraps.
foo.
com.
由于SNMP陷阱是从SNMP代理随机发送的,指定用于发送陷阱的准确位置很重要.
您最多可以拥有3个DNS主机名.
请确保选中已启用复选框,然后选择合适的主机IP地址类型.
步骤6单击保存.
SNMPv3视图SNMPMIB视图是MIB分级结构中的视图子树系列.
视图子树是通过位串掩码值的对象标识符(OID)子树值配对标识的.
每个MIB视图是通过两组视图子树定义的,这些视图子树可包含在此MIB视图中或从MIB视图中排除.
可以创建MIB视图以控制SNMPv3用户可以访问的OID范围.
WAP设备最多支持16个视图.
本节总结了SNMPv3视图配置的关键准则.
请在继续操作前阅读所有注释.
名称为all的MIB视图是在系统中默认创建的.
此视图包含系统支持的所有管理对象.
注释默认情况下,view-all和view-noneSNMPv3视图在WAP设备中创建.
这些视图无法删除或修改.
注释支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点27系统配置SNMPv3视图要添加和配置SNMP视图,请执行以下操作:步骤1依次选择管理>SNMPv3步骤2单击以在SNMPv3视图表中创建一个新行,或选中现有视图的复选框,然后单击编辑.
视图名称-输入用于标识MIB视图的名称.
视图名称最多可包含32个字母数字字符.
类型-选择视图子树或子树系列是包含在MIB视图中还是从MIB视图中排除.
OID-输入要包含在视图中或从视图中排除的子树的OID字符串.
例如,系统子树由OID字符串.
1.
3.
6.
1.
2.
1.
1指定.
掩码-输入OID掩码.
此掩码的长度应为47个字符.
OID掩码的格式为xx.
xx.
xx(.
).
.
.
或xx:xx:xx.
.
.
.
(:),长度应为16个八位字节.
每个八位字节是用句点(.
)或冒号(:)分隔的两个十六进制字符.
此字段仅接受十六进制字符.
例如,OID掩码FA.
80是11111010.
10000000.
family掩码用于定义视图子树系列.
family掩码指示对family的定义具有重要作用的关联familyOID字符串的子标识符.
视图子树系列可用来有效地控制对表中某行的访问.
步骤3单击保存.
要删除视图,请在列表中选中相应视图,然后单击删除.
注释SNMPv3组通过SNMPv3组,可以将用户组合到具有不同授权和访问权限的组中.
每组都与以下3个安全级别之一关联:noAuthNoPrivauthNoPrivauthPriv通过将MIB视图关联到读取或写入访问权限组,可以分别控制对每组MIB的访问权限.
默认情况下,WAP设备包含以下两组:RO-使用身份验证和数据加密的只读组.
此组中的用户使用SHA密钥或密码进行身份验证,并使用DES或AES128进行加密.
必须定义SHA、DES和AES128密钥.
默认情况下,此组的用户对默认的所有MIB视图具有读取访问权限.
RW-使用身份验证和数据加密的读/写组.
此组中的用户使用SHA密钥或密码进行身份验证,并使用DES密钥或AES128进行加密.
必须定义SHA、DES和AES128密钥.
默认情况下,此组的用户对默认的所有MIB视图具有读写访问权限.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点28系统配置SNMPv3组不能删除默认组RO和RW.
WAP设备最多支持8个组.
注释要添加和配置SNMP组,请按照以下步骤操作:步骤1依次选择管理>SNMPv3.
步骤2单击将新行添加到SNMPv3组表.
步骤3选中新组的复选框,并配置以下参数组名称-输入组的名称.
默认组名称为RO和RW.
组名称最多可包含32个字母数字字符.
安全级别-从以下选项中选择组的安全级别:noAuthNoPriv-无身份验证和数据加密(无安全性).
authNoPriv-有身份验证,但无数据加密.
使用此安全级别,用户可以发送使用SHA密钥或密码的SNMP消息进行身份验证,但不使用DES密钥或AES128进行加密.
authPriv-有身份验证和数据加密.
使用此安全级别,用户可以发送SHA密钥或密码进行身份验证并使用DES或AES128进行加密.
对于需要身份验证、加密或两者都需要的组,必须在SNMP用户页定义SHA、DES和AES128密钥或密码.
写入视图-从以下选项之一选择组的MIB的写入访问权限:view-all-此组可以创建、更改和删除MIB.
view-none-此组不能创建、更改或删除MIB.
读取视图-从以下选项之一选择对组的MIB的读取访问权限:view-all-允许此组查看和读取所有MIB.
view-none-此组不能查看或读取MIB.
步骤4单击保存将组添加到SNMPv3组表.
要删除组,请在列表中选中相应组,然后单击删除.
要编辑组,请在列表中选中相应组,然后单击编辑.
注释SNMPv3用户使用"SNMP用户"页可定义用户、将安全级别关联到每个用户,以及为每个用户配置安全密钥.
可以从预定义或用户定义的组中将每个用户映射到SNMPv3组,(可选)还可以针对每个用户配置身份验证和加密.
身份验证中仅支持SHA类型.
对于加密,仅支持DES和AES128类型.
WAP设备中没有默认的SNMPv3用户,最多可以添加8个用户.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点29系统配置SNMPv3用户要添加SNMP用户,请执行以下步骤:步骤1依次选择管理>SNMPv3.
步骤2单击将新行添加到SNMPv3用户表.
步骤3选中新行中的复选框,并配置以下参数:用户名-输入用于标识SNMPv3用户的名字.
用户名最多可包含32个字母数字字符.
组-输入要将用户映射到的组.
默认组为RW和RO.
可以在"SNMP组"页定义其他组.
身份验证类型-从以下选项中选择要用于来自用户的SNMPv3请求的身份验证类型:SHA-要求对来自此用户的SNMP请求进行SHA身份验证.
无-不需要对来自此用户的SNMPv3请求进行身份验证.
身份验证密码-如果将SHA指定为身份验证类型,请输入密码,以使SNMP代理能够对此用户发送的请求进行身份验证.
密码的长度必须为8至32个字符.
加密类型-从以下选项中选择应用于用户SNMP请求的加密/隐私类型:DES-对来自用户的SNMPv3请求使用DES加密.
AES128-对来自用户的SNMPv3请求使用AES128加密.
无-来自此用户的SNMPv3请求不需要隐私.
加密密码-如果将DES或AES128指定为加密类型,请输入用于对SNMP请求进行加密的密码.
密码的长度必须为8至32个字符.
步骤4单击保存.
系统将用户添加到SNMPv3用户列表中,并将所做更改保存到"启动配置".
要删除用户,请在列表中选择相应用户,然后单击删除.
要编辑用户,请在列表中选择相应用户,然后单击编辑.
注释SNMPv3目标SNMPv3目标通过使用SNMP管理器的通知消息发送SNMP通知.
对于SNMPv3目标,仅发送通知,不发送陷阱.
对于SNMP版本1和2,发送陷阱.
通过目标IP地址、UDP端口和SNMPv3用户名定义每个目标.
SNMPv3用户配置(请参阅SNMPv3用户页)应在配置SNMPv3目标之前完成.
WAP设备最多支持8个目标.
注释支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点30系统配置SNMPv3目标要添加SNMP目标,请执行以下步骤:步骤1依次选择管理>SNMPv3目标.
步骤2单击将新行添加到表.
步骤3选中新行中的复选框,并配置以下参数:IP地址-输入用于接收目标的远程SNMP管理器的IPv4或IPv6地址.
UDP端口-输入用于发送SNMPv3目标的UDP端口.
用户-输入与目标关联的SNMP用户的名字.
要配置SNMP用户,请参阅SNMPv3用户,第29页页.
步骤4单击保存.
系统将用户添加到SNMPv3目标列表中,并将所做更改保存到"启动配置".
要删除SNMP目标,请在列表中选择相应用户,然后单击删除.
要编辑SNMP目标,请在列表中选择相应用户,然后单击编辑.
注释安全本节介绍如何在WAP设备上配置安全设置.
Radius服务器多个功能需要与RADIUS身份验证服务器进行通信.
例如,在无线接入点上配置虚拟无线接入点(VAP)时,可以配置用于控制无线客户端访问的安全方法.
有关详细信息,请参阅无线电.
"WPA企业"安全方法使用外部RADIUS服务器对客户端进行身份验证.
MAC地址过滤功能还可以配置为使用RADIUS服务器控制访问,其中客户端访问仅限于列表范围内.
网页认证功能也可使用RADIUS对客户端进行身份验证.
可以使用"Radius服务器"页配置这些功能使用的RADIUS服务器.
最多可以配置4个全局可用的IPv4或IPv6RADIUS服务器,但必须选择对于全局服务器,RADIUS客户端是否可以在IPv4或IPv6模式下工作.
其中一个服务器始终用作主服务器,其他服务器则可以用作备份服务器.
除了使用全局RADIUS服务器,还可以配置每个VAP以使用特定的RADIUS服务器组.
请参阅网络.
注释配置全局RADIUS服务器步骤1依次选择安全>Radius服务器支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点31系统配置安全步骤2配置以下参数:服务器IP地址类型-选择RADIUS服务器使用的IP版本.
可以在地址类型之间进行切换以配置IPv4和IPv6全局RADIUS地址设置,但WAP设备仅可连接RADIUS服务器或与此字段中所选地址类型对应的服务器.
服务器IP地址1或服务器IPv6地址1-输入主全局RADIUS服务器的地址.
第一个无线客户端尝试通过WAP设备进行身份验证时,WAP设备会向主服务器发送身份验证请求.
如果主服务器响应身份验证请求,WAP设备继续将此RADIUS服务器用作主服务器,身份验证请求也会发送至指定的地址.
服务器IP地址2或服务器IPv6地址2-输入备份IPv4或IPv6RADIUS服务器的地址.
如果主服务器身份验证失败,则系统会尝试使用配置的备份服务器.
密钥1-输入WAP设备用于向主RADIUS服务器进行身份验证的共享密钥.
可以使用1至64个标准字母数字字符和特殊字符.
此密钥区分大小写,必须与RADIUS服务器上配置的密钥相匹配.
输入的文本显示为星号.
密钥2-输入与已配置备份RADIUS服务器关联的RADIUS密钥.
服务器IP(IPv6)地址2的服务器使用密钥2.
启用RADIUS帐务-用于对特定用户消耗的资源进行跟踪和测量,例如系统时间、发送和接收的数据量等.
如果启用RADIUS记帐,也会对主RADIUS服务器和所有的备份服务器启用此功能.
步骤3单击保存.
802.
1x请求方通过IEEE802.
1X身份验证,WAP设备可以获取对安全有线网络的访问权限.
可以将此WAP设备作为有线网络中的802.
1X请求方(客户端).
可配置使用MD5算法加密的用户名和密码,以允许WAP设备使用802.
1X进行身份验证.
在使用基于IEEE802.
1X端口的网络访问控制的网络中,请求方在802.
1X验证方获取访问权限之前无法获取对网络的访问权限.
如果网络使用802.
1X,必须在WAP设备中配置802.
1X身份验证信息,这样WAP设备即可向身份验证器提供这些信息.
要配置802.
1X请求方设置,请按照以下步骤操作:步骤1依次单击安全>802.
1X请求方.
步骤2在"802.
1x请求方"区域中,选中启用启用管理模式.
步骤3配置802.
1X操作状态和基本设置:EAP方法-选择用于加密身份验证用户名和密码的算法.
选项如下:MD5-RFC3748中定义的散列函数,可提供基本安全.
PEAP-受保护的可扩展身份验证协议,可通过将其封装在TLS隧道内提供高于MD5的安全级别.
TLS-RFC5216中定义的传输层安全性,是可以提供高级别安全性的开放标准.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点32系统配置802.
1x请求方用户名-输入用户名.
密码-输入密码.
步骤4在"证书文件上传"区域中,可以将证书文件上传到WAP设备:a)选择HTTP或TFTP作为传输方式.
b)如果选择HTTP,请单击浏览选择文件.
有关配置HTTP服务器设置的详细信息,请参阅连接会话设置/HTTP/HTTPS服务任务.
c)如果选择TFTP,请输入文件名和TFTP服务器IPv4地址.
d)单击上传.
系统会显示一个确认窗口,后跟一个指示上传状态的进度条.
步骤5单击保存.
恶意无线接入点检测恶意无线接入点是在未获得系统管理员明确授权的情况下即安装在安全网络中的无线接入点.
恶意无线接入点存在安全威胁,因为进入网络的任何人会无意或恶意安装廉价的无线WAP设备,未经授权的用户可能会借此访问网络.
WAP设备对所有信道执行射频扫描,以检测网络附近的所有无线接入点.
如果检测到恶意无线接入点,系统会将其显示在"恶意无线接入点检测"页上.
如果列为恶意的无线接入点是合法的,可以将其添加到"已知无线接入点列表"中.
"已检测到的恶意无线接入点列表"和"受信任的无线接入点列表"可提供信息.
无线接入点无法对列表中的无线接入点进行任何控制,也不能对通过射频扫描检测到的无线接入点应用任何安全策略.
如果启用恶意无线接入点检测,无线会定期从其工作信道切换以扫描同一频段内的其他信道.
注释查看恶意无线接入点列表为了使恶意无线接入点检测功能正常工作,必须启用无线功能.
对无线接口启用恶意无线接入点检测之前,应先启用无线接口.
要启用无线以收集有关恶意无线接入点的信息,请执行以下步骤:步骤1依次选择安全>恶意无线接入点检测.
步骤2选中启用启用无线1和无线2的无线接入点检测.
步骤3单击保存.
"检测到的恶意无线接入点列表"表显示所有检测到的恶意无线接入点.
"受信任的无线接入点列表"显示所有受信任的无线接入点.
每个列表或恶意无线接入点列表显示以下设置:支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点33系统配置恶意无线接入点检测MAC地址-恶意无线接入点的MAC地址.
信标间隔-恶意无线接入点使用的信标间隔.
信标帧由无线接入点按规定的时间间隔发送,宣布无线网络的存在.
默认特性是每100毫秒发送1个(或每秒发送10个)信标帧.
信标间隔在无线电,第39页页上设置.
类型-设备的类型.
选项如下:无线接入点-在基础设施模式下支持IEEE802.
11无线网络架构的无线接入点恶意设备.
临时-在临时模式下运行的恶意工作站.
临时模式是IEEE802.
11无线网络架构,也称作对等模式或独立基本服务集(IBSS).
SSID-WAP设备的服务集标识符(SSID).
隐私-指示恶意设备上是否存在任何安全性.
选项如下:关闭-安全模式关闭(无安全性).
开启-安全模式开启.
WPA-显示恶意无线接入点的WPA安全性处于开启还是关闭状态.
频段-恶意无线接入点上使用的IEEE802.
11模式,例如IEEE802.
11a、IEEE802.
11b、IEEE802.
11g.
显示的数字表示相应的模式:2.
4表示IEEE802.
11b、802.
11g或802.
11n模式(或这些模式的组合).
5表示IEEE802.
11a或802.
11n模式(或这两种模式).
信道-当前广播恶意无线接入点的信道.
速率-当前传输恶意无线接入点的速率(兆位/秒).
当前速率始终都是"支持的速率"字段中所示的速率之一.
信号-从恶意无线接入点发出的无线信号的强度.
如果将鼠标指针悬停在这些条上,会出现用分贝(dB)表示强度的数字.
信标-自首次发现信标后从恶意无线接入点接收的信标总数.
上一个信标-从恶意无线接入点接收的上一个信标的日期和时间.
速率-恶意无线接入点的支持和基本(通告)速率集.
速率以兆位/秒(Mbps)为单位显示.
会列出所有支持速率,其中基本速率以粗体显示.
速率集在无线电,第39页页中配置.
步骤4选中"无线接入点列表",然后单击移至受信任的无线接入点列表,以将无线接入点移至受信任的无线接入点列表.
如果无线接入点位于受信任的无线接入点列表中,请单击检测到的恶意无线接入点列表,以将该无线接入点移至检测到的恶意无线接入点列表.
步骤5单击刷新可刷新屏幕并显示最新信息.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点34系统配置查看恶意无线接入点列表保存受信任的无线接入点列表要创建受信任的无线接入点列表并将其保存到文件中,请执行以下步骤:步骤1选择安全,然后单击恶意无线接入点检测部分中的查看恶意无线接入点列表.
.
.
.
系统将显示恶意无线接入点检测页.
步骤2在检测到的恶意无线接入点列表中,对已知无线接入点单击移至受信任的无线接入点列表.
受信任的无线接入点会移到受信任的无线接入点列表中.
步骤3在"下载/备份受信任的AP列表"区域中,选择备份(从无线接入点到PC).
步骤4单击保存.
列表包含已添加到已知无线接入点列表中的所有无线接入点的MAC地址.
默认情况下,文件名为Rogue2.
cfg.
可以使用文本编辑器或Web浏览器打开文件并查看其中的内容.
导入受信任的无线接入点列表可从保存的列表中导入已知无线接入点列表.
该列表可以从其他无线接入点获取或从文本文件创建.
如果接入点的MAC地址出现在受信任的无线接入点列表中,则系统不会将其检测为恶意接入点.
要从文件导入无线接入点列表,请执行以下步骤:步骤1依次选择安全>恶意无线接入点检测.
步骤2在"下载/备份受信任的无线接入点列表"区域中,单击下载(PC到无线接入点).
步骤3在"源文件名"字段中,单击浏览选择要导入的文件.
导入的文件必须是扩展名为.
txt或.
cfg的纯文本文件.
文件中的条目是十六进制格式的MAC地址,每隔八位字节用冒号隔开,例如00:11:22:33:44:55.
各条目之间必须用一个空格隔开.
对于要接受文件的接入点,必须仅包含MAC地址.
步骤4在"文件管理目标"字段中,选择是替换现有受信任的无线接入点列表还是将导入文件中的条目添加到受信任的无线接入点列表中.
选项如下:替换-导入列表并替换已知无线接入点列表的内容.
合并-导入列表并将导入文件中的无线接入点添加到已知无线接入点列表中当前显示的无线接入点.
步骤5单击保存.
导入完成后,系统刷新屏幕,并在已知无线接入点列表中显示导入文件中无线接入点的MAC地址.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点35系统配置保存受信任的无线接入点列表配置密码复杂性使用"密码复杂性"页修改用于访问配置实用程序的密码的复杂性要求.
复杂密码可以提高安全性.
要配置密码复杂性要求,请按照以下步骤操作:步骤1依次选择安全>配置密码复杂性.
步骤2选中启用启用密码复杂性.
步骤3配置以下参数:密码最小字符类-输入必须在密码字符串中出现的最小字符类数.
4个可用的字符类别包括可使用标准键盘输入的大写字母、小写字母、数字和特殊字符.
密码不同于当前密码-选中此项可使用户在当前密码过期后输入不同的密码.
如果不选中,用户可以在密码到期时重新输入相同的密码.
最大密码长度-最大密码字符长度范围为64至127.
默认值为64.
最小密码长度-最小密码字符长度范围为0至32.
默认值为8.
密码过期支持-选中此项可使密码在配置的时间段后过期.
密码过期时间-输入新创建密码的有效期天数,范围为1至365.
默认值为180天.
步骤4单击保存.
更改将保存到"启动配置".
密码过期时间结束时,您将需要访问更改密码页.
注释配置WAP-PSK复杂性在WAP设备上配置VAP时,可以选择安全地对客户端进行身份验证的方法.
如果选择"WPA个人"协议(也称为WPA预共享密钥或WPA-PSK)作为安全方法,则可以在"WPA-PSK复杂性"页上配置要在身份验证过程中使用的复杂性要求.
较复杂的密钥可以提高安全性.
要配置WPA-PSK复杂性,请执行以下步骤:步骤1依次选择安全>配置WPA-PSK复杂性.
步骤2选中启用可使WAP设备根据配置的条件检查WPA-PSK密钥.
如果禁用,则不使用任何配置的设置.
默认情况下,系统会禁用"WPA-PSK复杂性".
步骤3配置以下参数:WPA-PSK最小字符类-选择必须在密钥字符串中出现的最小字符类数.
4个可用的字符类别包括可使用标准键盘输入的大写字母、小写字母、数字和特殊字符.
默认值为3.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点36系统配置配置密码复杂性WPA-PSK不同于当前值-选中启用可使用户在其当前密钥过期后配置不同的密钥.
如果禁用,用户可以在其当前密钥过期后使用旧密钥或以前的密钥.
最大WPA-PSK长度-输入密钥长度值.
最大密钥长度为32至63个字符.
默认值为63.
最小WPA-PSK长度-输入密钥长度值.
最小密钥长度为8至16个字符.
默认值为8.
步骤4单击保存.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点37系统配置配置WAP-PSK复杂性支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点38系统配置配置WAP-PSK复杂性第3章无线本章介绍如何配置无线功能属性.
具体包括以下主题:无线电,第39页网络,第44页客户端过滤器,第51页调度程序,第52页QoS,第54页无线电无线电是创建无线网络的WAP的物理部分.
WAP上的无线设置控制无线的行为并确定WAP发出的无线信号的种类.
要配置无线功能设置,请执行以下步骤:步骤1依次选择无线>无线电.
步骤2选择工作模式:无线1(5G)-支持具有4x4MIMO模式的5G无线.
无线2(2.
4G)-支持具有3x3MIMO模式的2.
4G无线.
步骤3在每个接口的无线设置区域中,选择要应用配置参数的无线接口.
步骤4在基本设置区域中,为所选无线接口配置以下参数:当地法规可能会禁止使用某些无线模式.
某些模式在部分国家/地区不可用.
注释无线电-选中启用启用无线接口.
无线网络模式-无线使用的IEEE802.
11标准和频率.
无线2的模式默认值是802.
11b/g/n,无线1的模式默认值是802.
11a/n/ac.
请为每个无线选择一个可用的模式.
无线2(2.
4G)支持以下无线模式:支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点39802.
11b/g-802.
11b和802.
11g客户端可以连接到WAP设备.
802.
11b/g/n(默认值)-以2.
4GHz频率运行的802.
11b、802.
11g和802.
11n客户端可以连接到WAP设备.
2.
4GHz802.
11n-仅以2.
4GHz频率运行的802.
11n客户端可以连接到WAP设备.
无线1(5G)支持以下无线模式:802.
11a-仅802.
11a客户端可以连接到WAP设备.
802.
11a/n/ac-以5GHz频率运行的802.
11a、802.
11n和802.
11ac客户端可以连接到WAP设备.
802.
11n/ac-以5GHz频率运行的802.
11n和802.
11ac客户端可以连接到WAP设备无线频段选择(仅限802.
11n和802.
11ac模式)-802.
11n规范除允许使用传统20MHz频段,也允许将共存的20/40MHz频段用于其他模式.
20/40MHz频段可提高数据速率,但会减少可用于其他2.
4GHz和5GHz设备的频段.
802.
11ac规范除了允许使用20MHz和40MHz频段,也允许使用80MHz宽频段.
将该字段设置为20MHz,以将无线频段选择的使用限制为20MHz频段.
对于802.
11ac模式,将该字段设置为40MHz,以防止无线使用80MHz无线频段选择.
主要频道(仅使用20/40MHz带宽的802.
11n模式)-可以将40MHz频道视为由频率域中两个相邻的20MHz频道组成.
通常,将这两个20MHz频道分别称为主要频道和次要频道.
主要频道用于传统客户端和仅支持20MHz频道带宽的802.
11n客户端.
请选择以下选项之一:高频-将主要频道设置为40MHz频段中大于20MHz频道.
低频-将主要频道设置为40MHz频段中小于20MHz频道.
默认选择"低频".
信道-无线用于发送和接收的无线频谱部分.
可用信道的范围由无线接口的模式和国家/地区代码的设置决定.
如果选择"自动"作为信道设置,WAP设备会扫描可用信道并选择检测到的流量最少的信道.
每种模式都会提供多个信道,具体取决于频谱如何获得美国联邦通信委员会(FCC)、国际电信联盟(ITU-R)等国家和跨国监管机构的许可.
调度程序-对于无线接口,请从列表中选择配置文件.
步骤5在高级设置区域中,配置以下参数:DFS支持-此字段仅在所选无线模式以5GHz频率运行时可用.
对于在5GHz频段中运行的无线,当DFS支持已开启且调节域需要在相应信道上进行雷达检测时,系统将激活802.
11h的动态频率选择(DFS)和发射功率控制(TPC)功能.
DFS机制不仅可以要求无线设备共用频谱,还可以避免雷达系统在5GHz频段下发生同信道运行.
DFS要求因调节域而异,具体取决于无线接入点的国家/地区代码设置.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点40无线无线电当使用802.
11h无线模式时,以下是有关IEEE802.
11h标准的几个要点:802.
11h仅适用于5GHz频段.
2.
4GHz频段不需要此标准.
如果无线接入点在启用802.
11h的域中运行,则无线接入点会尝试使用所分配的信道.
如果信道已由以前的雷达检测阻止或无线接入点在信道中检测到雷达,则无线接入点会自动选择不同的信道.
如果启用802.
11h,由于雷达扫描,无线接入点在5GHz频段中至少60秒无法使用.
当使用802.
11h时,设置WDS链路可能比较困难.
这是因为WDS链路中两个无线接入点的工作信道可能会不断改变,具体取决于信道使用和雷达干扰.
如果两个无线接入点在同一信道中运行,仅WDS可以正常工作.
有关WDS的更多信息,请参阅"WDS网桥".
支持短保护间隔-仅当选定的无线模式包括802.
11n时,此字段才可用.
保护间隔是OFDM(正交频分多路复用)符号之间的无响应时间(纳秒).
保护间隔可以避免符号间干扰(ISI)和载波间干扰(ICI).
802.
11n模式允许将此保护间隔从a和g定义的800纳秒减少到400纳秒.
减少保护间隔可以使数据吞吐量提高10%.
与WAP设备通信的客户端还必须支持较短的保护间隔.
请选择以下选项之一:是-WAP设备与支持较短保护间隔的客户端通信时以400纳秒的保护间隔发送数据.
此项为默认选择.
否-WAP设备以800纳秒的保护间隔发送数据.
保护-保护功能包含用于保证802.
11传输不会干扰传统工作站或应用的规则.
默认情况下,启用保护(自动).
启用保护后,如果传统设备属于WAP设备,则会调用保护功能.
可以禁用保护(关闭),但特定范围内的传统客户端或WAP设备会受802.
11n传输的影响.
当模式为802.
11b/g时,还可以使用保护功能.
在此模式下启用保护时,可从802.
11g传输保护802.
11b客户端和WAP设备.
此设置不影响客户端与WAP设备进行关联的能力.
注释信标间隔-信标帧传输间隔.
WAP设备按规定的时间间隔发送这些信标帧,宣布无线网络的存在.
默认特性是每100毫秒发送1个(或每秒发送10个)信标帧.
输入一个20至2000毫秒之间的整数.
默认值为100毫秒.
DTIM周期-发送流量指示图(DTIM)周期.
输入一个1至255个信标之间的整数.
默认值为2个信标.
DTIM消息是某些信标帧中包含的元素.
用于指示当前在低功率模式下处于睡眠状态的客户端工作站在WAP设备中已有等待接收的缓存数据.
DTIM周期用于指示由此WAP设备服务的客户端应多久检查一次等待接收的缓存数据.
以信标为测量单位.
例如,如果将其设置为1,客户端每接收到1个信标会检查一次WAP设备中的缓存数据.
如果将其设置为10,客户端每接收到10个信标会检查一次.
分片阈值-帧大小阈值(字节).
有效整数必须是256至2346之间的偶数.
默认值为2346.
分片阈值用于限制通过网络发送的数据包(帧)的大小.
如果数据包大小超过设置的分片阈值,分片激活并且数据包以多个802.
11帧发送.
如果正在发送的数据包大小等于或小于阈值,则不使用分片.
将阈值设置为最大值(2346字节,即默认值)可以有效禁用分片.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点41无线无线电默认情况下,分片功能是关闭的.
除非怀疑存在无线电干扰,否则建议不要使用分片.
应用于各个分片的其他报头增加网络中的开销,会显著减少吞吐量.
RTS阈值-发送请求(RTS)阈值.
有效整数范围必须为0至65535.
默认值为65535个八位字节.
RTS阈值表示MPDU中的八位字节数,低于此阈值将不执行RTS/CTS握手.
更改RTS阈值有助于通过WAP设备控制流量.
如果指定较低的阈值,WAP设备将更频繁地发送RTS数据包,这会占用更多带宽并减少数据包的吞吐量.
但是,发送更多的RTS数据包可以帮助网络从干扰或冲突中恢复,忙碌网络或遇到电磁干扰的网络中可能会发生此类干扰或冲突.
最大关联客户端数-允许在任何时间访问WAP设备的最大工作站数.
可输入一个0至200之间的整数.
默认值为200个工作站.
发射功率-WAP设备的发射功率电平的百分比值.
默认值全功率100%可以向WAP设备提供最大的广播范围并减少所需的无线接入点数,比其他较低的百分比值更具成本效益.
要增加网络容量,请使WAP设备相互间更靠近并降低发射功率值.
此设置有助于减少无线接入点之间的重叠和干扰.
由于较弱的无线信号不太可能传播到网络的物理位置之外,较低的发射功率设置还可以使网络更加安全.
一些信道范围和国家/地区代码组合的最大发射功率相对较低.
尝试将发射功率设置为较低范围(例如,中功率25%或低功率12%)时,可能不会发生预期的功率下降,因为某些功率放大器具有最低发射功率要求.
帧突发支持-通常,启用帧突发支持有助于改善下行方向的无线性能.
发送时间公平性模式-实施发送时间公平性(ATF)功能,以解决较慢数据传输限制较高速率数据传输的问题.
最大利用率阈值-输入在WAP设备禁止新客户端关联之前无线中允许的网络带宽利用百分比.
有效整数范围为0至100%.
默认值为0.
如果设置为0,无论利用率为多少,都将允许所有新的关联.
固定组播速度-广播和组播数据包的传输速率(Mbps).
如果无线客户端可以处理已配置的速率,此设置在发生无线组播视频流的环境中会很有用.
如果选择自动,WAP设备会选择关联客户端的最佳速率.
有效值范围由已配置的无线模式决定.
传统速率集-速率以兆位/秒表示.
"支持的速率集"表示WAP设备支持的速率.
可以选中多个速率.
WAP设备会基于误码率、客户端工作站与WAP设备的距离等因素自动选择效率最高的速率.
"基本速率集"表示为建立与网络中的其他无线接入点和客户端工作站的通信,WAP设备向网络通告的速率.
这通常比由WAP设备广播所支持速率集的子集效率更高.
广播/组播速度限制-通过限制整个网络传输的数据包数,组播和广播速率限制可以改进整体的网络性能.
默认情况下,此功能处于禁用状态.
在您启用此功能之前,以下字段处于禁用状态:速率限制-组播和广播流量的速率限制.
速率限制应大于1,但小于50个数据包/秒.
低于此速率限制的任何流量总是符合条件并传输至相应的目标位置.
默认的最大速率限制设置为50个数据包/秒.
速率限制突发-以字节为测量单位的流量,即使流量大于定义的最大速率,也允许作为临时的突发流量传递.
默认的最大速率限制突发设置为75个数据包/秒.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点42无线无线电频谱分析模式-频谱分析模式状态可以是以下模式之一:专用频谱分析仪-在专用模式下,无线有超过10%的时间会被用于频谱分析,客户端连接可以工作,但是性能没有保证.
混合频谱分析仪-在混合模式下,客户端连接得到保证,但预期会整体降级.
3+1频谱分析-在3+1模式下,客户端连接到3x3链,而对1x1链进行频谱分析.
已禁用-默认值为"已禁用".
VHT功能-此功能的目的是在Broadcom到Broadcom链接的VHT中启用/禁用Broadcom特定扩展.
VHT功能支持802.
11ac草案未规定的256QAMVHT速率.
这些速率全部都处于VHTLDPC模式(MCS9Nss120Mhz、MCS9Nss220Mhz和MCS6Nss380Mhz).
802.
11acPHY支持VHT功能.
步骤6单击配置TSPEC,并配置以下参数:TSPEC违规间隔-在"TSPEC违规间隔"字段中,输入WAP设备报告关联客户端未遵守强制准入控制过程的时间间隔(秒).
通过系统日志和SNMP陷阱进行报告.
输入一个0至900秒之间的时间.
默认值为300秒.
TSPEC模式-控制WAP设备中的整体TSPEC模式.
默认情况下,TSPEC模式是关闭的.
选项如下:开启-WAP设备根据"无线"页中配置的TSPEC设置处理TSPEC请求.
关闭-WAP设备忽略来自客户端工作站的TSPEC请求.
TSPEC语音ACM模式-控制语音接入类别的强制准入控制(ACM).
默认情况下,关闭TSPEC语音ACM模式.
选项如下:开启-需要某个工作站向WAP设备发送TSPEC带宽请求,然后发送或接收语音流量流.
WAP设备以请求结果作为响应,如果允许使用TSPEC,结果包含分配的介质时间.
关闭-工作站可以发送和接收优先的语音流量,而无需使用经允许的TSPEC.
WAP设备会忽略来自客户端工作站的语音TSPEC请求.
TSPEC语音ACM限制-为获取访问权限,WAP设备尝试使用语音AC通过无线媒体传输的流量上限.
默认限值为总流量的20%.
TSPEC视频ACM模式-控制视频接入类别的强制准入控制.
默认情况下,关闭TSPEC视频ACM模式.
选项如下:开启-需要某个工作站向WAP设备发送TSPEC带宽请求,然后发送或接收视频流量流.
WAP设备以请求结果作为响应,如果允许使用TSPEC,结果包含分配的介质时间.
关闭-工作站可以发送和接收优先的视频流量,无需使用经允许的TSPEC;WAP设备会忽略来自客户端工作站的视频TSPEC请求.
TSPEC视频ACM限制-为了获取访问权限,WAP设备尝试使用视频AC通过无线媒体传输的流量上限.
默认限值为总流量的15%.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点43无线无线电TSPEC无线接入点不活动超时值-WAP设备在删除下行链路流量规范之前检测其为闲置状态的时间长度.
有效整数范围为0至120秒,默认值为30秒.
TSPEC工作站不活动超时值-WAP设备在删除上行链路流量规范之前检测其为闲置状态的时间长度.
有效整数范围为0至120秒,默认值为30秒.
TSPEC传统WMM队列映射模式-选中"启用"以启用队列中作为ACM运行的混合传统流量.
默认情况下,此模式是关闭的.
步骤7单击确定,然后单击保存.
网络虚拟无线接入点(VAP)将无线局域网分为多个广播域,这些域是以太网虚拟局域网的无线对等体.
VAP在一个物理WAP设备中模拟多个无线接入点.
此思科WAP设备最多支持四个VAP.
除了VAP0,可以单独启用或禁用其他所有的VAP.
VAP0是物理无线接口,只要启用无线即保持启用状态.
要禁用VAP0,必须禁用无线本身.
每个VAP都通过一个用户配置的服务集标识符(SSID)来识别.
多个VAP无法使用相同的SSID名称.
可以单独启用或禁用每个VAP的SSID广播.
默认情况下,启用SSID广播.
SSID命名约定VAP0的默认SSID为ciscosb.
已创建的其他各个VAP都拥有空的SSID名称.
可以将所有VAP的SSID配置为其他值.
SSID可以是由任何字母数字组成的条目,区分大小写,字符数介于2至32之间.
允许使用的字符包括:从0x20至0x7E的ASCII字符.
不允许使用结尾和前导空格(ASCII0x20).
这意味着允许在SSID中使用空格,但不能用作首字符或最后的字符,也允许使用句点".
"(ASCII0x2E).
注释VLANID每个VAP都与虚拟局域网关联,可通过VLANID(VID)识别.
VID可以是介于1至4094(含1和4094)之间的任何值.
此思科WAP设备支持9个活动虚拟局域网(其中8个是无线局域网,1个是管理虚拟局域网).
默认情况下,指定给WAP设备的配置实用程序的VID是1,这也是默认的未标记VID.
如果管理VID和指定给VAP的VID相同,则与此特定VAP关联的无线局域网客户端可以管理WAP设备.
如有需要,可以创建访问控制列表(ACL)以便从无线局域网客户端中禁用管理.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点44无线网络配置VAP要配置VAP,请执行以下步骤:步骤1依次选择无线>网络.
步骤2在"无线电"字段中,单击应用VAP配置参数的无线接口(无线1或无线2).
步骤3如果VAP0是系统中配置的唯一VAP,并且要添加VAP,请单击.
然后,选中要添加的VAP.
步骤4配置以下参数:VLANID-指定要与VAP关联的VLAN的VLANID.
务必输入在网络中正确配置的VLANID.
如果VAP将无线客户端与配置不正确的VLAN相关联,则会造成网络问题.
当无线客户端通过使用此VAP连接到WAP设备时,WAP设备使用已配置VLAN标记来自无线客户端的所有流量,除非输入端口VLANID或使用RADIUS服务器将无线客户端分配给VLAN.
VLANID的范围为1至4094.
如果将VLANID更改为与当前管理VLANID不同的ID,则与此特定VAP关联的无线局域网客户端无法管理设备.
可在LAN页验证非标记和管理VLANID的配置.
有关详细信息,请参阅IPv4配置,第11页.
SSID名称-输入无线网络的名称.
SSID是最多包含32个字符的字母数字字符串.
为每个VAP选择唯一的SSID.
如果作为无线客户端连接到正在管理的同一WAP设备,重置SSID将会断开与WAP设备的连接.
保存此新设置后,您将需要重新连接到新SSID.
SSID广播-启用和禁用SSID的广播.
指定是否允许WAP设备在其信标帧中广播SSID.
默认情况下,启用广播SSID参数.
如果VAP不广播其SSID,则客户端工作站的可用网络列表中不会显示网络名称.
相反,必须在客户端上的无线连接实用程序中手动输入确切的网络名称,这样网络才可以连接.
禁用广播SSID足以避免客户端无意间连接到网络,但即使是黑客发起的最简单的连接或监控未加密流量的企图也无法阻止.
禁止SSID广播可以为其他暴露的网络(例如访客网络)提供最低级别的保护,其中最重要的是要便于客户端获取连接并且不会提供敏感信息.
WMF-无线组播转发提供一种有效的方法,可在无线设备上传输组播流量,也可以使用重复的单播或组播帧来克服WLAN上的组播传输问题.
安全性-选择访问VAP所需的身份验证类型.
选项如下:无静态WEPWPA个人WPA企业如果选择"无"以外的安全模式,则会出现其他字段.
有关配置无线安全设置的详细信息,请参阅配置安全设置.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点45无线配置VAP建议使用可提供较强安全保护的"WPA个人"或"WPA企业"作为身份验证类型.
静态WEP可用于不支持"WPA个人"和"WPA企业"的无线计算机或设备.
要使用静态WEP设置安全性,请将无线配置为802.
11a或802.
11b/g模式.
802.
11n模式限制将"静态"用作安全性.
注释客户端过滤器-指定是否将可访问此VAP的工作站限制为已配置的MAC地址全局列表.
可以选择以下客户端过滤器类型之一:已禁用-不使用客户端过滤器.
本地-使用在"客户端过滤器"页中配置的MAC身份验证列表.
RADIUS-使用外部RADIUS服务器中的MAC身份验证列表.
信道隔离-选中此选项可启用信道隔离.
如果禁用此选项,无线客户端可以通过WAP设备发送流量,从而与另一个客户端进行正常通信.
如果启用此选项,WAP设备将阻止同一VAP上的无线客户端之间的通信.
WAP设备仍允许网络中其无线客户端与有线设备之间、通过WDS链路以及与不同VAP关联的其他无线客户端之间的数据流量,但不允许其无线客户端之间的数据流量频段切换-开启两个无线时,选中此选项可启用频段切换.
它通过将支持双频段的客户端从2.
4频段切换为5GHz频段,有效利用5GHz频段.
其在每个VAP上配置,因此需要在两个无线上启用.
不建议将频段切换用于时间敏感型语音或视频流量VAP上.
频段切换时不会考虑无线的802.
11n带宽.
即使5GHz无线刚好使用20MHz带宽,无线接入点也会尝试将客户端切换到该无线.
调度程序-从列表中选择调度程序配置文件,VAP0不能与调度程序配置文件关联.
访客接入实例-将CP实例与VAP相关联.
关联的CP实例设置应用于尝试在VAP中验证身份的用户.
为实例所要关联的每个VAP选择实例名称.
VAP可以在访问控制>访客接入页中与一个访客接入实例相关联.
必须先配置访客接入实例.
注释步骤5单击保存.
保存新设置后,相应的过程可能会停止并重新启动.
如果发生这种情况,WAP设备可能会断开连接.
此时建议更改WAP设备设置.
注意要删除VAP,请选中VAP并单击删除.
要编辑VAP,请选中VAP并单击编辑.
要保存更改,请在完成后单击保存.
注释支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点46无线配置VAP配置安全设置本节介绍可在"网络"页上的WAP设备中配置的安全设置.
有三个安全设置选项可供选择,分别为"无"、"WPA个人"和"WPA企业".
无如果选择无作为安全模式,则不需要在设备上进行其他安全设置.
此模式表示不对WAP设备收发的数据进行加密.
此安全模式在最初配置网络或解决问题期间会很有用,但因其不太安全,不建议在内部网络中经常使用.
静态WEP有线对等保密(WEP)是用于802.
11无线网络的数据加密协议.
通过静态64位(40位密钥+24位初始化向量[IV])或128位(104位密钥+24位初始化向量)共享密钥配置网络中的所有无线工作站和无线接入点以加密数据.
"静态WEP"并非可用的最安全模式,但可提供比将安全模式设置为"无"(纯文本)更多的保护,因为此模式可以避免外部人员轻易发现未加密的无线流量.
WEP基于静态密钥加密通过无线网络移动的数据.
加密算法是称为RC4的流密码.
以下参数可用于配置"静态WEP":传输密钥索引-输入密钥索引列表.
提供从1至4的密钥索引.
默认值为1.
"传输密钥索引"表示WAP设备使用哪个WEP密钥加密其发送的数据.
密钥长度-选择64位或128位作为密钥长度.
密钥类型-选择ASCII或Hex作为密钥类型.
WEP密钥-最多可以指定4个WEP密钥.
在每个文本框中,为每个密钥输入一个字符串.
输入的密钥取决于所选的密钥类型:ASCII-包括大写和小写字母、数字以及特殊字符(如@和#).
十六进制-包括0至9的数字以及A至F的字母.
按照所需字符数字段中指定的字符数对每个密钥使用相同数量的字符.
这些RC4WEP密钥可以与使用WAP设备的工作站共享.
必须配置每个客户端工作站,以按照WAP设备中指定的设置在同一时槽使用上述其中一个相同的WEP密钥.
802.
1X身份验证-当安全模式为静态WEP时,身份验证算法定义用于确定是否允许客户端工作站与WAP设备进行关联的方法.
通过选择以下选项之一指定要使用的身份验证算法:"开放系统"允许任何客户端工作站与WAP设备进行关联,无论该客户端工作站是否拥有正确的WEP密钥.
此算法还可用于纯文本、IEEE802.
1X和WPA模式.
如果将身份验证算法设置为"开放系统",则任何客户端都可以与WAP设备进行关联.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点47无线配置安全设置即使允许关联客户端工作站,也无法确保该客户端工作站可以与WAP设备交换流量.
客户端工作站必须拥有正确的WEP密钥,才能成功地从WAP设备访问和解密数据,并将可读数据传输至WAP设备.
注释"共享密钥"要求客户端工作站拥有正确的WEP密钥,这样才能与WAP设备进行关联.
如果将身份验证算法设置为"共享密钥",WEP密钥错误的客户端工作站无法与WAP设备进行关联.
同时选择"开放系统"和"共享密钥".
如果同时选择这两种身份验证算法,配置为在共享密钥模式下使用WEP的客户端工作站必须拥有有效的WEP密钥,这样才能与WAP设备进行关联.
此外,即使配置为将WEP用作开放系统(共享密钥模式未启用)的客户端工作站没有正确的WEP密钥,也可与WAP设备进行关联.
静态WEP规则如果使用"静态WEP",以下规则适用:所有的客户端工作站必须将无线局域网(WLAN)安全性设置为WEP,并且所有客户端必须拥有WAP设备中指定的一个WEP密钥,这样才能对无线接入点到工作站的数据传输进行解码.
WAP设备必须拥有客户端用于工作站到无线接入点传输的所有密钥,这样才能对工作站传输的数据进行解码.
相同密钥在所有节点(无线接入点和客户端)中必须占用相同时槽.
例如,如果WAP设备将abc123密钥定义为WEP密钥3,则客户端工作站也必须将该字符串定义为WEP密钥3.
客户端工作站可以使用不同密钥将数据传输至无线接入点.
(它们也可以使用相同密钥,但使用相同密钥不太安全,因为这意味着一个工作站可以对另一个工作站正在发送的数据进行解密.
)在某些无线客户端软件中,可以配置多个WEP密钥并定义客户端工作站传输密钥索引,然后设置这些工作站以使用不同密钥对其传输的数据进行加密.
这可以确保相邻无线接入点无法对其他无线接入点传输的数据进行解码.
无法在无线接入点与其客户端工作站之间混合使用64位和128位的WEP密钥.
WPA个人"WPA个人"是Wi-Fi联盟IEEE802.
11i标准,包含AES-CCMP和TKIP加密.
"WPA个人"使用预共享密钥(PSK),而不使用IEEE802.
1X和EAP,后者在企业WPA安全模式下使用.
PSK仅用于凭据的初始检查中.
"WPA个人"也称为WPA-PSK.
此安全模式向后兼容支持最初的WPA的无线客户端.
要配置"WPA个人",请执行以下操作:WPA版本-从以下选项中选择客户端工作站类型:支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点48无线配置安全设置WPA-TKIP-此网络具有仅支持原始WPA和TKIP安全协议的客户端工作站.
请注意,根据Wi-Fi联盟的最新要求,不允许仅选择WPA-TKIP.
WPA2-AES-网络上的所有客户端工作站都支持WPA2和AES-CCMP加密/安全协议.
此版本可依据IEEE802.
11i标准提供最佳安全性.
根据Wi-Fi联盟的最新要求,无线接入点必须始终支持此模式.
如果网络混合使用不同的客户端,即某些客户端支持WPA2,而其他客户端仅支持原始WPA,则选择两者.
通过此设置,WPA和WPA2客户端工作站可以进行关联和身份验证,但对支持WPA2的客户端使用更稳健的WPA2.
此WPA配置提高了互操作性,可以代替某些安全性.
WPA客户端必须拥有以下密钥之一才能与WAP设备进行关联:有效TKIP密钥有效AES-CCMP密钥PMF(保护管理帧)-为未加密802.
11管理帧提供安全保障.
当"安全模式"处于禁用状态时,PMF设置为"无PMF"且不可编辑(隐藏或灰色).
当"安全模式"设置为WPA2-xxx时,默认情况下,PMF有能力且可编辑.
它可以配置为以下三个复选框值.
不需要有能力必需WiFi联盟要求启用PMF并将其设置为"有能力(默认)".
当不兼容无线客户端遇到不稳定或连接问题时,可以将其禁用.
注释密钥-用于WPA个人安全性的共享密钥.
输入最少为8个字符、最多为63个字符的字符串.
可接受的字符包括大写和小写字母、数字以及特殊字符(例如@和#).
以明文显示密钥-如果启用,将显示键入的文本.
如果禁用,输入时不隐藏文本.
密钥强度计-WAP设备针对所用的不同字符类型数(大写和小写字母、数字以及特殊字符)、字符串长度等复杂性标准检查密钥.
如果启用WPA-PSK复杂性检查功能,除非密钥满足最低标准,否则不可接受.
有关配置复杂性检查的详情,请参阅配置WAP-PSK复杂性,第36页.
广播密钥刷新率-针对与此VAP关联的客户端刷新广播(组)密钥的间隔.
默认值为86400秒,有效范围介于0至86400秒之间.
值0表示不刷新广播密钥.
WPA企业WPAEnterprisewithRADIUS是Wi-Fi联盟IEEE802.
11i标准的实施,包含CCMP(AES)和TKIP加密.
企业模式需要使用RADIUS服务器对用户进行身份验证.
此安全模式向后兼容支持最初的WPA的无线客户端.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点49无线配置安全设置动态VLAN模式是默认启用的,它使RADIUS身份验证服务器可决定将哪个VLAN用于工作站.
以下参数用于配置"WPA企业":WPA版本-选择要支持的客户端工作站的类型.
选项如下:WPA-TKIP-网络中有一些客户端工作站仅支持原始WPA和TKIP安全协议.
请注意,根据Wi-Fi联盟的最新要求,不允许对无线接入点仅选择WPA-TKIP.
WPA2-AES-网络中的所有客户端工作站都支持WPA2版本和AES-CCMP密码/安全协议.
此版本可依据IEEE802.
11i标准提供最佳安全性.
根据Wi-Fi联盟的最新要求,无线接入点必须始终支持此模式.
启用预身份验证-如果仅选择WPA2或同时选择WPA和WPA2作为WPA版本,则可以对WPA2客户端启用预身份验证.
如果您要WPA2无线客户端发送预身份验证数据包,请选中此选项.
预身份验证信息是从WAP设备中继的,此设备当前由客户端将其用作目标WAP设备.
启用此功能可以帮助加快与多个无线接入点连接的漫游客户端的身份验证速度.
如果已为WPA版本选择WPA,则此选项不适用,因为最初的WPA不支持此功能.
配置为使用WPAwithRADIUS的客户端工作站必须具有以下地址和密钥之一:有效TKIPRADIUSIP地址和RADIUS密钥有效CCMP(AES)IP地址和RADIUS密钥PMF(保护管理帧)-为未加密802.
11管理帧提供安全保障.
当"安全模式"处于禁用状态或为WEP时,PMF设置为无PMF且不可编辑(隐藏或灰色).
当"安全模式"设置为WPA2-xxx时,默认情况下,PMF有能力且可编辑.
它可以配置为以下三个复选框值.
不需要有能力必需WiFi联盟要求启用PMF,且默认设置为有能力.
当不兼容无线客户端遇到不稳定或连接问题时,可以将其禁用.
注释使用全局RADIUS服务器设置-默认情况下,每个VAP都使用为WAP设备定义的全局RADIUS设置.
但可以配置每个VAP以使用一组不同的RADIUS服务器.
选中此选项可使用全局RADIUS服务器设置,取消选中此选项可对VAP使用单独的RADIUS服务器,并在相应的字段中输入RADIUS服务器的IP地址和密钥.
服务器IP地址类型-RADIUS服务器使用的IP版本.
可以在地址类型之间进行切换以配置IPv4和IPv6全局RADIUS地址设置,但WAP设备仅可连接RADIUS服务器或与此字段中所选地址类型对应的服务器.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点50无线配置安全设置服务器IP地址1或服务器IPv6地址1-此VAP的主RADIUS服务器的地址.
服务器IP地址2或服务器IPv6地址2-最多3个IPv4和/或IPv6地址,用作此VAP的备份RADIUS服务器.
如果没有通过主服务器的身份验证,将按顺序尝试每个已配置的备份服务器.
密钥1-全局RADIUS服务器的共享密钥.
最多可以使用63个标准字母数字字符和特殊字符.
密钥区分大小写,必须在WAP设备和RADIUS服务器上配置相同的密钥.
输入的文本显示为星号,可防止他人看到键入的RADIUS密钥.
密钥2-与已配置备份RADIUS服务器关联的RADIUS密钥.
服务器IP(IPv6)地址2的服务器使用密钥2.
启用RADIUS记帐-可对特定用户消耗的资源进行跟踪和测量,例如系统时间、发送和接收的数据量等.
如果启用RADIUS记帐,也会对主RADIUS服务器和所有的备份服务器启用此功能.
活动服务器-管理性地选择活动的RADIUS服务器,而不是由WAP设备尝试按顺序连接每个已配置的服务器和选择正在运行的第一个服务器.
广播密钥刷新率-针对与此VAP关联的客户端刷新广播(组)密钥的间隔.
默认值为86400秒.
有效范围为0至86400秒.
值0表示不刷新广播密钥.
会话密钥刷新率-WAP设备针对与VAP关联的每个客户端刷新会话(单播)密钥的间隔.
有效范围为30至86400秒.
值0表示不刷新会话密钥.
客户端过滤器客户端过滤器可用于允许或拒绝列出的客户端工作站通过WAP设备进行身份验证.
MAC身份验证可在网络,第44页页配置.
根据VAP配置,WAP设备可能会参照外部RADlUS服务器中存储的客户端过滤器列表或在WAP设备中本地存储的客户端过滤器列表.
在WAP设备上本地配置客户端过滤器列表WAP设备仅支持一个本地客户端过滤器列表.
可以配置过滤器,仅访问列表中的MAC地址或仅拒绝访问列表中的MAC地址.
最多可以将512个客户端地址添加到过滤器列表中.
要配置客户端过滤器,请按照以下步骤操作:步骤1依次选择无线>客户端过滤器.
步骤2选择WAP设备使用过滤器列表的方式:允许(只允许列表中的客户端)-拒绝不在"工作站列表"中的任何工作站通过WAP设备访问网络.
拒绝(拒绝列表中的所有客户端)-仅拒绝列表中显示的工作站通过WAP设备访问网络.
允许所有其他工作站访问.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点51无线客户端过滤器过滤器设置也适用于存储在RADIUS服务器上的客户端过滤器列表(如果存在).
注释步骤3在此列表完成前一直输入MAC地址.
单击关联客户端旁边的箭头,然后它会显示关联客户端列表选择一个MAC地址,然后单击添加.
一条规则将会添加到MAC地址表中.
关联客户端列表:MAC地址-关联无线客户端的MAC地址.
主机名-关联无线客户端的主机名.
IP地址-关联无线客户端的IP地址.
网络(SSID)-WAP设备的服务集标识符(SSID).
SSID是最多为32个字符的字母数字字符串,可以唯一标识无线局域网.
还可称为网络名称步骤4单击保存.
在Radius服务器上配置MAC身份验证如果配置一个或多个VAP以使用客户端过滤器,则必须在RADIUS服务器上配置工作站列表.
列表格式如下表所述.
值说明RADIUS服务器属性有效的以太网MAC地址客户端工作站的MAC地址.
用户名(1)无密码用于查找客户端MAC条目的固定全局密码.
用户密码(2)调度程序无线和VAP调度程序可用来配置VAP的特定时间间隔规则或要使用的无线.
使用此功能方法是安排要运行的无线或只允许在工作时间访问VAP,以确保安全并降低功耗.
WAP设备最多支持16个配置文件.
仅将有效规则添加到配置文件中.
最多可以将16条规则组合在一起以构成一个调度配置文件.
属于同一配置文件的周期时间条目不会重叠.
调度程序配置文件配置最多可以创建16个调度程序配置文件名称.
默认情况下,不创建任何配置文件.
要查看调度程序状态和添加调度程序配置文件,请执行以下步骤:步骤1依次选择无线>调度程序.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点52无线在Radius服务器上配置MAC身份验证步骤2选中启用确保已启用"管理模式".
默认情况下,禁用此选项.
"调度程序运行状态"区域指示调度程序的当前运行状态:状态-调度程序的运行状态(已启用或已禁用).
默认值为"已禁用".
原因-调度程序运行状态的原因.
可能的值包括:处于活动状态-管理性地启用调度程序.
禁用管理模式-已禁用调度程序管理模式.
系统时间已过时-系统时间已过时.
受管模式-调度程序处于受管模式.
步骤3要添加配置文件,请在"调度程序配置文件配置"文本框中输入配置文件名称,然后单击添加.
配置文件名称最多可以包含32个字母数字字符.
配置文件规则配置最多可以为一个配置文件配置16条规则.
每条规则都会指定无线或VAP可以使用的开始时间、结束时间和星期几.
这些规则本身具有周期性,每周可以重复使用.
有效规则必须包含开始时间和结束时间的以下参数(星期几、小时和分钟).
规则之间不能存在冲突;例如,可以配置一个在每个工作日启动的规则,再配置一个在每个周末启动的规则,但无法配置一个每天启动的规则,再配置一个周末启动的规则.
要配置配置文件规则,请执行以下步骤:步骤1从选择配置文件名称列表中选择配置文件.
步骤2单击.
新规则将显示在配置文件规则表中.
步骤3选中配置文件名称前面的复选框,然后单击编辑.
步骤4从星期几菜单中选择规则的循环时间表.
可以配置每天、每个工作日、每个周末(星期六和星期日)或一周中的任何一天启动的规则.
步骤5设置开始时间和结束时间:开始时间-设置启用无线或VAP的时间.
时间采用hh:mm24小时格式.
范围为:.
默认值为00:00.
结束时间-设置禁用无线或VAP的时间.
时间采用hh:mm24小时格式.
范围为:.
默认值为00:00.
步骤6单击保存.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点53无线配置文件规则配置调度程序配置文件必须与无线接口或VAP接口关联才会生效.
要删除规则,从"配置文件名称"列中选择配置文件,然后单击删除.
注释QoS服务质量(QoS)设置允许在处理差异化的无线流量时配置传输队列,进而优化吞吐量和增强性能.
该流量可以是VoIP、其他类型的音频、视频、流媒体以及传统的IP数据.
要在WAP设备上配置QoS,请为不同类型的无线流量设置有关传输队列的参数,并指定最小和最大传输等待时间.
WAP增强型分布式信道接入(EDCA)参数会影响从WAP设备流向客户端工作站的流量.
工作站EDCA参数会影响从客户端工作站流向WAP设备的流量.
正常使用情况下,WAP设备和工作站EDCA的默认值不应更改.
更改这些值会影响提供的QoS.
要配置WAP设备和EDCA参数,请执行以下步骤:步骤1依次选择无线>QoS.
步骤2选择无线接口(无线1或无线2).
步骤3从EDCA下拉列表中选择以下选项之一:WFA默认值-用Wi-Fi联盟默认值(最适合一般的混合流量)填充WAP设备和工作站EDCA参数.
针对语音优化-用最适合语音流量的值填充WAP设备和工作站EDCA参数.
自定义-可用来选择自定义EDCA参数.
下面四个队列是为从WAP传输至工作站的不同类型的数据定义的.
如果选择"自定义"模板,可以配置用于定义队列的参数,否则将这些参数设置为适合所选内容的预定义值.
这四个队列为:数据0(语音)-高优先级队列,延迟最短.
会将VoIP、流媒体等时间敏感型数据自动发送到此队列中.
数据1(视频)-高优先级队列,延迟最短.
会将时间敏感型视频数据自动发送到此队列中.
数据2(尽力而为)-中优先级队列,中等吞吐量和延迟.
会将大多数的传统IP数据发送到此队列中.
数据3(后台)-最低优先级的队列,吞吐量较高.
会将需要最大吞吐量并且时间不敏感的批量数据(例如FTP数据)发送到此队列中.
步骤4选中启用启用Wi-Fi多媒体(WMM)扩展.
Wi-Fi多媒体(WMM)-默认情况下,启用此字段.
启用WMM后,会启用无线媒体接入的QoS优先级和协调.
启用WMM后,WAP设备中的QoS设置可以控制从WAP设备流向客户端工作站(APEDCA参数)的下行流量以及从客户端工作站流向AP(工作站EDCA参数)的上行流量.
支持2.
5GbE局域网的思科WAP581Wireless-AC/N双频无线接入点54无线QoS禁用WMM会停用从客户端工作站流向WAP设备的上行流量的工作站EDCA参数的QoS控制.
禁用WMM后,仍可以设置有关从WAP设备流向客户端工作站(APEDCA参数)的下行流量的一些参数.
步骤5配置以下EDCA和工作站EDCA参数:仲裁帧间间隔-数据帧的等待时间.
等待时间用时槽计算.
AIFS的有效值是1至255.
最小争用窗口-输入用于确定重试传输故障的初始随机退避等待时间(窗口)的算法.
此值是确定初始随机退避等待时间所处范围的上限(毫秒).
生成的第一个随机数是介于0和此处指定的数字之间的一个数.
如果第一个随机退避等待时间在数据帧发送之前过期,则重试计数递增,而随机退避值(窗口)加倍.
在随机退避值的大小达到"最大争用窗口"中定义的数字之前,此值会一直成倍增加.