配置如何破解路由器密码
如何破解路由器密码 时间:2021-05-19 阅读:()
i目录1接入服务1-11.
1接入服务简介·1-11.
1.
1常用术语1-11.
1.
2用户接入过程·1-11.
1.
3WLAN服务的数据安全·1-41.
1.
4用户接入认证·1-61.
1.
5802.
11n协议1-71.
2配置接入服务·1-71.
2.
1新建无线服务·1-81.
2.
2配置clear类型无线服务·1-91.
2.
3配置crypto类型无线服务·1-181.
2.
4安全参数关系表1-241.
2.
5开启无线服务·1-251.
2.
6绑定AP的射频·1-251.
2.
7开启射频1-271.
2.
8显示无线服务的详细信息·1-281.
3无线接入配置举例1-311.
3.
1无线服务典型配置举例1-311.
3.
2AP自动发现典型配置举例·1-351.
3.
3802.
11n典型配置举例·1-391.
3.
4WPA-PSK认证典型配置举例·1-411.
3.
5MAC地址本地认证配置举例1-451.
3.
6远程MAC地址认证配置举例1-511.
3.
7远程802.
1X认证配置举例1-621.
3.
8自动提供WEP密钥-802.
1X认证配置举例1-782Mesh服务·2-12.
1Mesh服务简介·2-12.
1.
1基本概念2-12.
1.
2无线Mesh的优点·2-22.
1.
3无线Mesh网络的部署2-22.
1.
4无线Mesh安全2-52.
1.
5MLSP介绍·2-62.
1.
6Mesh网络拓扑2-7ii2.
2配置Mesh服务·2-82.
2.
1配置Mesh服务2-82.
2.
2配置Mesh策略2-132.
2.
3Mesh全局设置2-182.
2.
4配置信道2-192.
2.
5开启射频2-202.
2.
6配置邻居信息·2-202.
2.
7Mesh信道优化操作2-212.
2.
8查看Mesh链路状态2-232.
3无线Mesh配置举例·2-242.
3.
1普通无线Mesh典型配置举例·2-242.
3.
2地铁无线Mesh典型配置举例·2-292.
3.
3Mesh点到多点典型配置举例·2-292.
3.
4Mesh支持三频配置举例·2-302.
3.
5Mesh信道自动选择配置举例·2-311-11接入服务WLAN(WirelessLocalAreaNetwork,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,维护的成本低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络.
然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络.
使用WLAN解决方案,网络运营商和企业能够为用户提供无线局域网服务,服务内容包括:应用具有无线局域网功能的设备建立无线网络,通过该网络,用户可以连接到固定网络或因特网.
使用不同认证和加密方式,安全地访问WLAN.
为无线用户提供安全的网络接入和移动区域内的无缝漫游.
1.
1接入服务简介1.
1.
1常用术语(1)无线客户端带有无线网卡的PC、笔记本电脑以及支持WiFi功能的各种终端.
(2)AP(AccessPoint,接入点)AP提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换.
(3)AC(AccessController,接入控制器)无线控制器对无线局域网中的与其关联的AP进行控制和管理.
无线控制器还可以通过同认证服务器交互信息,来为WLAN用户提供认证服务.
(4)SSIDSSID(ServiceSetIdentifier,服务集识别码),客户端可以先进行无线扫描,然后选择特定的SSID接入某个指定无线网络.
1.
1.
2用户接入过程无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网.
整个过程如下图所示.
1-2图1-1建立无线连接过程1.
无线扫描无线客户端有两种方式可以获取到周围的无线网络信息:一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个探测请求帧(ProbeRequest帧),通过收到探查响应帧(ProbeResponse)获取网络信息;另外一种是被动扫描,无线客户端只是通过监听周围AP发送的Beacon(信标帧)获取无线网络信息.
无线客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息.
(1)主动扫描无线客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络.
根据ProbeRequest帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:客户端发送ProbeRequest帧(ProbeRequest中SSID为空,也就是SSIDIE的长度为0):客户端会定期地在其支持的信道列表中,发送ProbeRequest帧扫描无线网络.
当AP收到探查请求帧后,会回应ProbeResponse帧通告可以提供的无线网络信息.
无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入.
无线客户端主动扫描方式的过程如下图所示.
图1-2主动扫描过程(ProbeRequest中SSID为空,也就是不携带任何SSID信息)1-3客户端发送ProbeRequest帧(携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送ProbeRequest帧(携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探查响应.
通过这种方法,无线客户端可以主动扫描指定的无线网络.
这种无线客户端主动扫描方式的过程如下图所示.
图1-3主动扫描过程(ProbeRequest携带指定的SSID为"AP1")(2)被动扫描被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络.
提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息.
当用户需要节省电量时,可以使用被动扫描.
一般VoIP语音终端通常使用被动扫描方式.
被动扫描的过程如下图所示.
图1-4被动扫描过程2.
认证过程为了保证无线链路的安全,AC需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段.
802.
11链路定义了两种认证机制:开放系统认证和共享密钥认证.
开放系统认证(Opensystemauthentication)开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证.
如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证.
开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为"成功".
1-4图1-5开放系统认证过程共享密钥认证(Sharedkeyauthentication)共享密钥认证是除开放系统认证以外的另外一种链路认证机制.
共享密钥认证需要客户端和设备端配置相同的共享密钥.
共享密钥认证的认证过程为:客户端先向设备发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给客户端;客户端会将接收到的Challenge加密后再发送给无线设备端;无线设备端接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较.
如果相同,则说明客户端通过了SharedKey链路认证;否则SharedKey链路认证失败.
图1-6共享密钥认证过程3.
关联过程如果用户想通过AP接入无线网络,用户必须同特定的AP关联.
当用户通过指定SSID选择无线网络,并通过AP认证后,就可以向AP发送关联请求帧.
AP将用户信息添加到数据库,向用户回复关联响应.
用户每次只可以关联到一个AP上,并且关联总是由用户发起.
1.
1.
3WLAN服务的数据安全相对于有线网络,WLAN存在着与生俱来的数据安全问题.
在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其它所有设备的数据,这个特性直接威胁到WLAN接入数据的安全.
802.
11协议致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密.
其它的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护.
目前支持四种安全服务.
1-5(1)明文数据该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理.
(2)WEP加密WEP(WiredEquivalentPrivacy,有线等效加密)用来保护WLAN中的授权用户所交换的数据的机密性,防止这些数据被随机窃听.
WEP使用RC4加密算法(一种流加密算法)实现数据报文的加密保护.
根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密.
静态WEP加密:静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥.
如果WEP密钥被破解或泄漏,攻击者就能获取所有密文.
因此静态WEP加密存在比较大的安全隐患.
并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担.
动态WEP加密:动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善.
在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.
1X协议协商产生,这样每个客户端协商出来的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性.
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听、会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患.
(3)TKIP加密TKIP和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护.
首先,TKIP通过增长了算法的IV长度提高了WEP加密的安全性.
相比WEP算法,TKIP将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位;其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;另外,TKIP还支持了MIC认证(MessageIntegrityCheck,信息完整性校验)和Countermeasure功能.
当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击.
此时,可以采取一系列的对策,来阻止黑客的攻击.
(4)CCMP加密CCMP(CountermodewithCBC-MACProtocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(AdvancedEncryptionStandard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法.
CCM结合CTR(Countermode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验.
CCMP中的AES块加密算法使用128位的密钥和128位的块大小.
同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性.
在加密处理过程中,CCMP也会使用48位的PN(PacketNumber)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性.
1-61.
1.
4用户接入认证(1)PSK认证PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥,如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败.
(2)802.
1X认证802.
1X协议是一种基于端口的网络接入控制协议(portbasednetworkaccesscontrolprotocol).
"基于端口的网络接入控制"是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制.
连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源.
接入设备的管理者可以选择使用RADIUS或本地认证方法,以配合802.
1X完成用户的身份认证.
关于远程和本地802.
1X认证的介绍和配置可以参考"认证".
(3)MAC地址认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法.
通过手工维护一组允许访问的MAC地址列表,实现对客户端物理地址过滤,但这种方法的效率会随着终端数目的增加而降低,因此MAC地址认证适用安全需求不太高的场合,如家庭、小型办公室等环境.
MAC地址认证分为以下两种方式:本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,需要在设备上预先配置允许访问的MAC地址列表,如果客户端的MAC地址不在允许访问的MAC地址列表,将被拒绝其接入请求.
图1-7本地MAC地址认证远程MAC地址认证,即通过RADIUS服务器进行MAC地址认证.
当MAC接入认证发现当前接入的客户端为未知客户端,会主动向RADIUS服务器发起认证请求,在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络以及获得相应的授权信息.
1-7图1-8远程MAC地址认证采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器.
1.
1.
5802.
11n协议802.
11n作为802.
11协议族的一个新协议,支持2.
4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的吞吐量,802.
11n主要通过增加带宽和提高信道利用率两种方式来提高吞吐量.
增加带宽:802.
11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用.
当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量.
提高信道利用率:对信道利用率的提高主要体现在三个方面.
802.
11n标准中采用A-MPDU聚合帧格式,即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时通过BlockAck减少了ACK帧的数目,从而降低了协议的负荷,有效的提高网络吞吐量.
802.
11n协议定义了一个新的MAC特性A-MSDU,该特性实现了将多个MSDU组合成一个A-MSDU发送,与A-MPDU类似,通过聚合,A-MSDU减少了传输每个MSDU的MAC头的附加信息,提高了MAC层的传输效率.
802.
11n支持在物理层的优化,提供短间隔功能.
原11a/g的GI时长800us,而短间隔ShortGI时长为400us,在使用ShortGI的情况下,可提高10%的速率.
1.
2配置接入服务接入服务配置的推荐步骤如下表所示.
表1-1接入服务配置步骤步骤配置任务说明1新建无线服务必选1-8步骤配置任务说明2配置clear类型的无线服务两者必选其一按实际需求完成接入服务页面的安全设置部分3配置crypto类型的无线服务4开启无线服务必选5绑定AP的射频必选6开启射频必选7查看无线服务的详细信息可选1.
2.
1新建无线服务(1)在界面左侧的导航栏中选择"无线服务>接入服务",进入如下图所示接入服务配置页面.
图1-9接入服务配置页面(2)单击按钮,进入如下图所示无线服务新建页面.
图1-10接入服务新建页面(3)配置无线服务,详细配置如下表所示.
(4)单击按钮完成操作.
1-9表1-2新建无线服务的详细配置配置项说明无线服务名称设置SSID(ServiceSetIdentifier,服务集识别码),无线服务名称可以为1~32个字符的字符串,可以包含字母、数字及下划线,区分大小写,可以包含空格SSID的名称应该尽量具有唯一性.
从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了头域负载,对无线安全没有改进无线服务类型选择无线服务类型:clear:使用明文发送无线服务crypto:使用密文发送无线服务1.
2.
2配置clear类型无线服务1.
clear类型无线服务基本配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入如下图所示的配置页面.
在配置clear类型的无线服务时,需要先将其服务状态改为关闭,单击对应的图标,才能对该无线服务进行配置.
图1-11clear类型无线服务基本配置页面(3)配置clear类型无线服务基本信息,详细配置如下表所示.
(4)单击按钮完成操作.
表1-3clear类型无线服务基本配置的详细配置配置项说明无线服务名称显示选择的SSID1-10配置项说明VLAN(Untagged)添加Untagged的VLANID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签缺省VLAN设置端口的缺省VLAN在缺省情况下,所有端口的缺省VLAN均为VLAN1,设置新的缺省VLAN后,VLAN1为Untagged的VLANID删除VLAN删除已有Tagged和Untagged的VLANID网络隐藏Enable:禁止在信标帧中通告SSIDDisable:在信标帧中通告SSID缺省情况下,信标帧通告SSIDSSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP隐藏SSID对无线安全意义不大,允许广播SSID可以使客户端更容易发现AP2.
clear类型无线服务高级配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入如下图所示clear类型无线服务高级配置页面.
图1-12clear类型无线服务高级配置页面(3)配置clear类型无线服务高级信息,详细配置如下表所示.
(4)单击按钮完成操作.
1-11表1-4clear类型无线服务高级配置的详细配置配置项说明本地转发本地转发是一种在AP上完成客户端之间数据交互的转发模式.
在集中式WLAN架构中,AP会将客户端的数据报文透传给AC,由AC集中处理.
随着客户端速率的不断提高,AC的转发压力也随之增大.
采用本地转发后,AP直接转发客户端的数据,AC不再参与数据转发,大大减轻了AC的负担Enable:开启本地转发功能.
打开本地转发功能后,由AP进行数据帧的转发Disable:关闭本地转发功能.
关闭本地转发功能后,数据帧由AC转发本地转发VLAN同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN关联最大用户数在一个射频下,某个SSID下的关联客户端的最大个数当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏管理权限上线的客户端对设备WEB界面的管理权限Disable:表示上线的客户端对设备WEB界面没有管理权限Enable:表示上线的客户端对设备WEB界面有管理权限MACVLAN功能Enable:表示在指定无线服务下开启MACVLAN功能Disable:表示在指定无线服务下关闭MACVLAN功能开启MACVLAN是配置基于AP区分接入VLAN功能时,绑定VLANID操作前的一个必要的前提条件快速关联功能开启:开启快速关联功能关闭:关闭快速关联功能缺省情况下,快速关联功能处于关闭状态开启此功能后,设备不会对关联到此无线服务的客户端进行频谱导航和负载均衡计算3.
clear类型无线服务安全配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务安全配置页面.
1-12图1-13clear类型无线服务安全配置页面(3)配置clear类型无线服务安全信息,详细配置如下表所示.
(4)单击按钮完成操作.
1-13表1-5clear类型无线服务安全配置的详细配置配置项说明认证方式clear类型只能选择Open-System方式端口安全mac-authentication:对接入用户采用MAC地址认证mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.
1X认证;对于非802.
1X报文直接进行MAC地址认证.
对于802.
1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.
1X认证mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.
1X和MAC地址认证用户userlogin-secure:对接入用户采用基于MAC的802.
1X认证,此模式下,端口允许多个802.
1X认证用户接入,但只有一个用户在线userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.
1X认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.
1X认证,如果802.
1X认证失败再进行MAC地址认证userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.
1X和MAC地址认证用户userlogin-secure-ext:对接入用户采用基于MAC的802.
1X认证,且允许端口下有多个802.
1X用户由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:"userLogin"表示基于端口的802.
1X认证"mac"表示MAC地址认证"Else"之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为"Else"之后的认证方式"Or"连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.
1X认证方式携带"Secure"的userLogin表示基于MAC地址的802.
1X认证携带"Ext"表示可允许多个802.
1X用户认证成功,不携带则表示仅允许一个802.
1X用户认证成功最大用户数控制能够通过某端口接入网络的最大用户数当选择mac-authentication时,需要配置如下选项.
1-14图1-14mac-authentication端口安全配置页面表1-6mac-authentication端口安全配置的详细配置配置项说明端口模式mac-authentication:对接入用户采用MAC地址认证在导航栏中选择"无线服务>接入服务",单击按钮,输入客户端的MAC地址最大用户数控制能够通过某端口接入网络的最大用户数MAC认证选中"MAC认证"前的复选框域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域,否则会导致使用此无线服务的客户端下线当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项.
1-15图1-15userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)表1-7userlogin-secure/userlogin-secure-ext端口安全配置的详细配置配置项说明端口模式userlogin-secure:对接入用户采用基于MAC的802.
1X认证,此模式下,端口允许多个802.
1X认证用户接入,但只有一个用户在线userlogin-secure-ext:对接入用户采用基于MAC的802.
1X认证,且允许端口下有多个802.
1X用户最大用户数控制能够通过某端口接入网络的最大用户数域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线认证方法EAP:采用EAP认证方式.
采用EAP认证方式意味着设备直接把802.
1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证CHAP:采用CHAP认证方式.
缺省情况下,采用CHAP认证方式.
表示在网络上以明文方式传输用户名,以密文方式传输口令.
相比之下,CHAP认证保密性较好,更为安全可靠PAP:采用PAP认证方式.
PAP采用明文方式传送口令用户握手Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线.
缺省情况下,在线用户握手功能处于开启状态Disable:关闭在线用户握手功能1-16配置项说明多播触发Enable:开启802.
1X的组播触发功能,即周期性地向客户端发送组播触发报文.
缺省情况下,802.
1X的组播触发功能处于开启状态Disable:关闭802.
1X的组播触发功能对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能当选择其他四种端口安全时,需要配置如下选项.
图1-16四种端口安全配置页面(以mac-else-userlogin-secure为例)1-17表1-8其它四种端口安全配置的详细配置配置项说明端口模式mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.
1X认证;对于非802.
1X报文直接进行MAC地址认证.
对于802.
1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.
1X认证mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.
1X和MAC地址认证用户userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.
1X认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.
1X认证,如果802.
1X认证失败再进行MAC地址认证userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.
1X和MAC地址认证用户在导航栏中选择"无线服务>接入服务",单击按钮,输入客户端的MAC地址最大用户数控制能够通过某端口接入网络的最大用户数域名在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.
1X用户将被强制使用该认证域来进行认证、授权和计费设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域认证方法EAP:采用EAP认证方式.
采用EAP认证方式意味着设备直接把802.
1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证CHAP:采用CHAP认证方式.
缺省情况下,采用CHAP认证方式.
表示在网络上以明文方式传输用户名,以密文方式传输口令.
相比之下,CHAP认证保密性较好,更为安全可靠PAP:采用PAP认证方式.
PAP采用明文方式传送口令用户握手Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线.
缺省情况下,在线用户握手功能处于开启状态Disable:关闭在线用户握手功能多播触发Enable:开启802.
1X的组播触发功能,即周期性地向客户端发送组播触发报文.
缺省情况下,802.
1X的组播触发功能处于开启状态Disable:关闭802.
1X的组播触发功能对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能MAC认证选中"MAC认证"前的复选框1-18配置项说明域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线1.
2.
3配置crypto类型无线服务1.
crypto类型无线服务基本配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面.
图1-17crypto类型无线服务基本配置页面(3)配置crypto类型无线服务基本配置,详细配置请参见表1-3.
(4)单击按钮完成操作.
2.
crypto类型无线服务高级配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面.
1-19图1-18crypto类型无线服务高级配置页面(3)配置crypto类型无线服务高级信息,详细配置如下表所示.
(4)单击按钮完成操作.
表1-9crypto类型无线服务高级配置的详细配置配置项说明本地转发本地转发是一种在AP上完成客户端之间数据交互的转发模式.
在集中式WLAN架构中,AP会将客户端的数据报文透传给AC,由AC集中处理.
随着客户端速率的不断提高,AC的转发压力也随之增大.
采用本地转发后,AP直接转发客户端的数据,AC不再参与数据转发,大大减轻了AC的负担Enable:开启本地转发功能.
打开本地转发功能后,由AP进行数据帧的转发Disable:关闭本地转发功能.
关闭本地转发功能后,数据帧由AC转发本地转发VLAN同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN关联最大用户数在一个射频下,某个SSID下关联客户端的最大个数当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏PTK生存时间设置PTK的生存时间,PTK通过四次握手方式生成TKIP反制策略实施时间设置反制策略实施时间缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略MIC(MessageIntegrityCheck,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性.
当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击.
启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联1-20配置项说明管理权限上线的客户端对设备WEB界面的管理权限Disable:表示上线的客户端对设备WEB界面没有管理权限Enable:表示上线的客户端对设备WEB界面有管理权限MACVLAN功能Enable:表示在指定无线服务下开启MACVLAN功能Disable:表示在指定无线服务下关闭MACVLAN功能开启MACVLAN是配置基于AP区分接入VLAN功能时,绑定VLANID操作前的一个必要的前提条件快速关联功能开启:开启快速关联功能关闭:关闭快速关联功能缺省情况下,快速关联功能处于关闭状态开启此功能后,设备不会对关联到此无线服务的客户端进行频谱导航和负载均衡计算GTK更新方法GTK由AC生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端.
客户端使用GTK来解密组播和广播报文选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒客户端离线更新GTK启动当客户端离线时更新GTK的功能缺省情况下,客户端离线更新GTK的功能处于关闭状态3.
crypto类型无线服务安全配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面.
1-21图1-19crypto类型无线服务安全配置页面(3)配置crypto类型无线服务安全信息,详细配置如下表所示.
(4)单击按钮完成操作.
表1-10crypto类型无线服务安全配置的详细配置配置项说明认证方式Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制Open-SystemandShared-Key:可以同时选择使用Open-System和Shared-Key认证WEP加密方式可以分别和Opensystem、Sharedkey链路认证方式使用.
采用Opensystemauthentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃采用Sharedkeyauthentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络加密类型无线服务支持加密机制:AES-CCMP:一种基于AES加密算法的加密机制TKIP:一种基于RC4算法和动态密钥管理的加密机制AES-CCMPandTKIP:可以同时选择使用CCMP和TKIP加密安全IE无线服务类型(Beacon或者Proberesponse报文中携带对应的IE信息):WPA:在802.
11i协议之前,Wi-FiProtectedAccess定义的安全机制WPA2:802.
11i定义的安全机制,也就是RSN(RobustSecurityNetwork,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性WPAandWPA2:同时选择使用WPA和WPA21-22配置项说明WEP加密自动提供密钥使用自动提供WEP密钥方式开启:使用自动提供WEP密钥方式关闭:使用静态WEP密钥方式缺省情况下,使用静态WEP密钥方式选择自动提供WEP密钥方式后,"密钥类型"选项会自动使用WEP104加密方式自动提供WEP密钥必须和802.
1X认证方式一起使用配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生.
如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧.
如果不配置WEP密钥,则由设备随机生成组播密钥密钥类型WEP40:选择WEP40进行加密WEP104:选择WEP104进行加密WEP128:选择WEP128进行加密密钥ID1:选择密钥索引为12:选择密钥索引为23:选择密钥索引为34:选择密钥索引为4在WEP中有四个静态的密钥.
其密钥索引分别是1、2、3和4.
指定的密钥索引所对应的密钥将被用来进行帧的加密和解密长度选择WEP密钥长度当密钥类型选择WEP40时,可选的密钥长度5个字符(5AlphanumericChars)或者10位16进制数(10HexadecimalChars)当密钥类型选择WEP104时,可选的密钥长度13个字符(13AlphanumericChars)或者26位16进制数(26HexadecimalChars)当密钥类型选择WEP128时,可选的密钥长度16个字符(16AlphanumericChars)或者32位16进制数(32HexadecimalChars)密钥配置WEP密钥端口安全请参见表1-5"认证方式"、"加密类型"等参数直接决定了端口模式的可选范围,具体请参见表1-13在选则"加密类型"后,增加以下四种端口安全模式:macandpsk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-SharedKey,预共享密钥)与设备进行协商,协商成功后可访问端口userlogin-secure-ext:对接入用户采用基于MAC的802.
1X认证,且允许端口下有多个802.
1X用户当选择macandpsk时,需要配置如下选项.
1-23图1-20macandpsk端口安全配置页面表1-11macandpsk端口安全配置的详细配置配置项说明端口模式macandpsk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口在导航栏中选择"无线服务>接入服务",单击按钮,输入客户端的MAC地址最大用户数控制能够通过某端口接入网络的最大用户数MAC认证选中"MAC认证"前的复选框域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线域共享密钥pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串.
raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数.
当选择psk时,需要配置如下选项.
1-24图1-21psk端口安全配置页面表1-12psk端口安全配置的详细配置配置项说明端口模式psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-SharedKey,预共享密钥)与设备进行协商,协商成功后可访问端口最大用户数控制能够通过某端口接入网络的最大用户数域共享密钥pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串.
raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数.
当选择userlogin-secure-ext时,需要配置的选项如表1-7所示.
1.
2.
4安全参数关系表clear类型和crypto类型无线服务类型下,各参数之间的关系:表1-13安全参数关系表服务类型认证方式加密类型安全IEWEP加密/密钥ID端口模式clearOpen-System不可选不可选不可选mac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extuserlogin-secureuserlogin-secure-extuserlogin-secure-or-macuserlogin-secure-or-mac-extcryptoOpen-System选择必选WEP加密可选/密钥ID可选234macandpskpskuserlogin-secure-ext不选择不可选WEP加密必选/密钥ID可选123mac-authenticationuserlogin-secureuserlogin-secure-ext1-25服务类型认证方式加密类型安全IEWEP加密/密钥ID端口模式Shared-Key不可选不可选WEP加密必选/密钥ID可选1234mac-authenticationOpen-SystemandShared-Key选择必选WEP加密必选/密钥ID可选1234macandpskpskuserlogin-secure-ext不选择不可选WEP加密必选/密钥ID可选1234mac-authenticationuserlogin-secureuserlogin-secure-ext1.
2.
5开启无线服务(1)在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
图1-22开启无线服务(2)选中需要开启的无线服务前的复选框.
(3)单击按钮完成操作.
1.
2.
6绑定AP的射频1.
绑定AP的射频(1)在导航栏中选择"无线服务>接入服务".
(2)在列表里查找到需要绑定的无线服务,单击对应的图标,进入下图所示页面.
1-26图1-23绑定AP的射频(3)选中需要绑定的AP射频前的复选框.
(4)单击按钮完成操作.
2.
绑定VLAN通过不同的SSID区分不同服务的业务流.
而通过AP来区分不同的地点,地点不同用户所能接入的服务不同.
当客户端在不同的AP间漫游时,可以通过区分接入的AP来享受不同的服务.
具体要求为:同属于一个SSID的用户在不同AP接入时可以根据配置情况决定所属的VLAN;用户在漫游时,接入所属的VLAN一直保持不变;在AC间漫游时,如果本AC没有该VLAN出口,则要求能够在漫游组内找到HA,将报文通过HA送出,保证报文不间断.
1-27图1-24基于AP区分接入VLAN示意图上图中,Client1在AP1处上线,所属的VLAN为VLAN3.
漫游期间(包括AC内的漫游,AC间的漫游),Client1的VLAN一直保持不变.
AC间漫游时,如果FA(即AC2)有该VLAN的出口,则在该AC送出报文,如果FA没有该VLAN的出口,报文通过DATATUNNEL送到HA(即AC1)后送出.
Client2在AP4上线,所属的VLAN为VLAN2,表示在不同的AP上线后分配的VLAN不同.
(1)在导航栏中选择"无线服务>接入服务".
(2)在列表里查找到需要绑定的无线服务,单击对应的图标,进入图1-23所示绑定AP的射频页面.
(3)选择需要绑定的AP射频模式,选中前面的复选框.
(4)在绑定VLAN输入框中输入需要绑定的VLAN.
(5)单击按钮完成操作.
1.
2.
7开启射频(1)在界面左侧的导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
上线上线1-28图1-25开启射频(2)选中需要开启的射频模式前的复选框.
(3)单击按钮,弹出配置过程对话框.
(4)单击按钮,完成操作.
1.
2.
8显示无线服务的详细信息1.
clear类型无线服务的详细信息(1)在界面左侧的导航栏中选择"无线服务>接入服务",进入接入服务配置页面.
(2)点击指定的clear类型无线服务后,如下图所示,可以查看相关的详细信息.
图1-26clear类型无线服务的详细信息1-29表1-14clear类型无线服务显示信息描述表配置项说明ServiceTemplateNumber当前无线服务号SSIDServiceSetIdentifier,表示设置的服务集识别码BindingInterface同服务模板绑定的WLAN-ESS接口ServiceTemplateType服务模版类型AuthenticationMethod使用的认证类型,clear类型的无线服务只能使用OpenSystem(开放系统认证)方式SSID-hideDisable:启用SSID通告Enable:禁用SSID通告.
SSID隐藏后,AP发送的信标帧里面不包含SSID信息BridgeMode转发方式:LocalForwarding:使用本地转发转发方式RemoteForwarding:使用AC远端转发方式ServiceTemplateStatus服务模板状态:Enable:无线服务处于开启状态Disable:无线服务处于关闭状态MaximumclientsperBSS一个BSS中能够连接的最大客户端数2.
crypto类型无线服务的详细信息(1)在界面左侧的导航栏中选择"无线服务>接入服务",进入接入服务配置页面.
(2)点击指定的crypto类型无线服务后,如下图所示,可以查看相关的详细信息.
1-30图1-27crypto类型无线服务的详细信息表1-15crypto类型无线服务显示信息描述表配置项说明ServiceTemplateNumber当前无线服务号SSIDServiceSetIdentifier,表示设置的服务集识别码BindingInterface同服务模板绑定的WLAN-ESS接口ServiceTemplateType服务模版类型SecurityIE安全IE:WPA或WPA2AuthenticationMethod使用的认证类型:OpenSystem(开放系统认证)或者SharedKey(共享密钥认证);SSID-hideDisable:启用SSID通告Enable:禁用SSID通告.
SSID隐藏后,AP发送的信标帧里面不包含SSID信息CipherSuite加密套件:CCMP、TKIP、WEP40/WEP104/WEP128WEPKeyIndex加密或解密帧的密钥索引WEPKeyModeWEP密钥模式:HEX:WEP密钥为16进制数的形式ASCII:WEP密钥为字符串的形式WEPKeyWEP密钥1-31配置项说明TKIPCountermeasureTime(s)TKIP反制策略时间,单位为秒PTKLifeTime(s)PTK生存时间,单位为秒GTKRekeyGTK密钥更新配置GTKRekeyMethodGTK密钥更新方法:基于包或基于时间GTKRekeyTime(s)当选择基于时间的GTK密钥更新方法时,显示GTK密钥更新时间,单位为秒当选择基于包的GTK密钥更新方法时,显示数据包的数目BridgeMode转发方式:LocalForwarding:使用本地转发转发方式RemoteForwarding:使用AC远端转发方式ServiceTemplateStatus服务模板状态:Enable:无线服务处于开启状态Disable:无线服务处于关闭状态MaximumclientsperBSS一个BSS中能够连接的最大客户端数1.
3无线接入配置举例1.
3.
1无线服务典型配置举例1.
组网需求某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公.
具体要求如下:AP通过二层交换机与AC相连.
AP的序列ID为210235A29G007C000020,使用手工输入序列号方式.
AP提供SSID为service1的明文方式的无线接入服务.
采用802.
11n(2.
4GHz)射频模式.
图1-28无线服务组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
1-32设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图1-29创建AP(2)配置无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"service1".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
图1-30创建无线服务步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
选中"service1"前的复选框.
单击按钮完成操作.
1-33图1-31开启无线服务(3)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"service1"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮完成操作.
图1-32绑定AP的射频(4)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮完成操作.
1-34图1-33开启802.
11n(2.
4GHz)射频3.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",进入如下图所示页面,可以查看到成功上线的客户端.
图1-34查看成功上线的客户端4.
配置注意事项配置无线服务前需要选择正确的区域码.
1-351.
3.
2AP自动发现典型配置举例1.
组网需求网络中可能存在多个AP,为了避免多次配置大量的AP序列号,使用AP自动发现功能使AP和AC建立隧道,并要求客户端通过下列方式接入无线网络.
AP提供SSID为service1的明文方式的无线接入服务.
采用802.
11n(2.
4GHz)射频模式.
图1-35AP自动发现组网图2.
配置AC(1)创建AP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入如下图所示AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"自动".
步骤4:单击按钮完成操作.
图1-36创建AP(2)配置无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示设置无线服务名称为"service1".
选择无线服务类型为"clear".
1-36步骤4:单击按钮完成操作.
图1-37创建无线服务步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤6:选中"service1"前的复选框,步骤7:单击按钮完成操作.
图1-38开启无线服务(3)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"service1"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮完成操作.
1-37图1-39绑定AP的射频步骤5:在导航栏中选择"AP>AP设置",查看AP状态,发现AP处于"空闲"状态.
图1-40查看AP状态(4)开启自动AP设置步骤1:在导航栏中选择"AP>自动AP设置",进入如下图所示自动AP设置页面.
步骤2:选择"开启"自动AP设置.
步骤3:单击按钮完成操作.
图1-41自动AP设置1-38步骤4:开启自动AP后,单击按钮,可以查询到自动发现的AP.
图1-42查询到自动发现的AP(5)重命名AP如果不需要修改自动发现的AP名,则直接选中"AP名称"前的复选框,单击按钮完成操作.
如果需要修改自动发现的AP名,可以按照以下步骤完成AP重命名.
步骤1:在界面左侧的导航栏中选择"AP>自动AP设置".
步骤2:点击0026-3e08-1140对应栏中的图标,进入如下图所示自动AP设置页面.
选中"重命名AP"前的复选框,输入"ap1".
步骤3:单击按钮完成操作.
图1-43修改AP名称步骤4:在导航栏中选择"AP>AP设置",可以查看到修改后的固定AP.
图1-44查看AP(6)开启802.
11n(2.
4GHz)射频1-39步骤1:在导航栏中选择"射频>射频设置".
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,并选中其复选框.
步骤3:单击按钮完成操作.
3.
验证配置结果(1)开启射频后,在导航栏中选择"AP>AP设置",可以查看到AP处于Run状态.
(2)客户端可以成功关联AP,并且可以访问无线网络.
(3)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
图1-45查看成功上线的客户端4.
配置注意事项配置AP自动发现功能需要注意如下事项:选择正确的区域码.
在本例中,开启射频应该选择转换后的AP(举例中的ap1),而不是自动AP的射频(举例中的ap).
如果先开启自动AP的射频,则以自动发现方式关联的AP也都完成开启射频.
1.
3.
3802.
11n典型配置举例1.
组网需求某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.
11n无线网络.
具体要求如下:AP提供SSID为11nservice的明文方式的无线接入服务.
为了保护现有投资,兼容现有的802.
11g无线网络,采用802.
11gn射频模式.
1-40图1-46802.
11n组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置.
设置AP名称为"11nap".
选择型号为"WA2610E-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
(2)创建无线服务.
步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入接入服务新建页面.
步骤3:进行如下配置.
设置无线服务名称为"11nservice".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入接入服务配置页面.
步骤6:选中"11nservice"前的复选框,步骤7:单击按钮完成操作.
(3)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"11nservice"对应的图标.
步骤3:选中"11nap"前的复选框.
步骤4:单击按钮完成操作.
(4)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"11nap"前的复选框.
步骤3:单击按钮完成操作.
3.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1-41图1-47查看成功上线的客户端从上图中可以看到,0014-6c8a-43ff是802.
11g用户,001c-f0bf-9c92是802.
11n用户,因为本例中没有对用户类型进行限制,所以802.
11g、802.
11n用户都可以接入无线网络.
如果开启了"只允许11n用户接入",那么只有001c-f0bf-9c92用户才能接入无线网络.
4.
配置注意事项配置802.
11n需注意如下事项:在导航栏中选择"射频>射频设置",选择需要配置的AP的射频单元,单击图标进入射频配置页面可以修改关于802.
11n的相关参数,包括带宽模式、A-MPDU、A-MSDU、shortGI和允许11n用户接入情况.
在导航栏中选择"射频>速率设置",可以修改802.
11n的速率.
1.
3.
4WPA-PSK认证典型配置举例1.
组网需求要求客户端使用WPA-PSK方式接入无线网络,客户端的PSK密钥配置与AP端相同,为12345678.
图1-48PSK认证配置组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
1-42图1-49创建AP(2)创建无线服务.
步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"psk".
选择无线服务类型为"crypto".
步骤4:单击按钮完成操作.
图1-50创建无线服务(3)配置WPA-PSK认证创建无线服务后,直接进入配置无线服务界面.
步骤1:PSK认证需要在"安全设置"部分进行如下配置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"加密类型"前的复选框,选择"AES-CCMPandTKIP"加密类型(请根据实际情况,选择需要的加密类型),选择"WPA"安全IE.
选中"端口设置"前的复选框,在端口模式的下拉框中选择"psk"方式.
在PSK预共享密钥下拉框里选择"pass-phrase",输入密钥"12345678".
步骤2:单击按钮完成操作.
1-43图1-51配置无线服务步骤3:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤4:选中"psk"前的复选框.
步骤5:单击按钮完成操作.
图1-52开启无线服务(4)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务psk对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
1-44步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-53绑定AP的射频(5)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-54开启802.
11n(2.
4GHz)射频3.
配置无线客户端打开无线客户端,刷新网络列表,在"选择无线网络"列表里找到配置的网络服务(此例中为psk),单击,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如下图所示.
1-45图1-55配置无线客户端客户端配置相同的PSK预共享密钥,客户端可以成功关联AP.
图1-56客户端成功关联AP4.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
5MAC地址本地认证配置举例1.
组网需求无线控制器AC与二层交换机建立连接.
AP通过二层交换机与AC建立连接,并且AP和AC在同一网络.
要求使用客户端使用MAC地址本地认证方式接入无线网络.
1-46图1-57MAC地址本地认证配置组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤3:单击按钮完成操作.
图1-58创建AP(2)创建无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"mac-auth".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
1-47图1-59创建无线服务(3)配置MAC本地认证创建无线服务后,直接进入配置无线服务界面.
步骤1:MAC地址本地认证需要对"安全设置"部分进行配置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"端口设置"前的复选框,在端口模式的下拉框中选择"mac-authentication"方式.
选中"MAC认证"前的复选框,在域名下拉框中选择"system"(在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以创建新的域).
步骤2:单击按钮完成操作.
1-48图1-60配置无线服务步骤3:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤4:选中"mac-auth"前的复选框.
步骤5:单击按钮完成操作.
图1-61开启无线服务(4)配置MAC认证列表步骤1:在导航栏中选择"无线服务>接入服务".
1-49步骤2:单击按钮.
步骤3:进入如下图所示页面,在MAC地址栏里添加本地接入用户,本例中为"0014-6c8a-43ff".
步骤4:单击按钮完成操作.
图1-62添加MAC认证列表(5)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"mac-auth"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-63绑定AP的射频(6)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
1-50步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-64开启802.
11n(2.
4GHz)射频3.
配置无线客户端打开无线客户端,刷新网络列表,在"选择无线网络"列表里找到配置的网络服务(此例中为mac-auth),单击按钮,如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络.
图1-65配置无线客户端1-514.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
6远程MAC地址认证配置举例1.
组网需求要求无线客户端使用远程MAC地址认证方式接入无线网络.
一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上需要添加Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
AC的IP地址为10.
18.
1.
1,在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名.
图1-66远程MAC地址认证配置组网图2.
配置AC(1)配置AC的接口IP地址在AC上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置RADIUS方案步骤1:在导航栏中选择"认证>RADIUS".
步骤2:单击按钮,进行RADIUS方案配置页面.
步骤3:进行如下配置,如下图所示.
在RADIUS服务器配置中增加如下图所示的两个服务器,其中密钥为"expert".
输入方案名称为"system".
选择服务类型为"Extended".
选择用户名格式为"不带域名".
步骤4:单击按钮完成操作.
1-52图1-67配置RADIUS(3)配置AAA步骤1:创建ISP域.
在导航栏中选择"认证>AAA",默认进入"域设置"页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域).
步骤2:配置ISP域的AAA认证方案.
单击"认证"页签.
步骤3:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access认证"前的复选框,选择认证方式为"RADIUS".
选择认证方案名称为"system".
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-53图1-68配置ISP域的AAA认证方案步骤6:配置ISP域的AAA授权方案.
单击"授权"页签.
步骤7:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access授权"前的复选框,选择授权方式为"RADIUS".
选择授权方案名称为"system".
步骤8:单击按钮,弹出配置进度对话框.
步骤9:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-69配置ISP域的AAA授权方案步骤10:配置ISP域的AAA计费方案.
单击"计费"页签.
步骤11:进行如下配置,如下图所示.
选择域名为"system".
选中"计费可选开关"前的复选框,选择"Enable".
选中"LAN-access计费"前的复选框,选择计费方式为"RADIUS".
1-54选择计费方案名称为"system".
步骤12:单击按钮,弹出配置进度对话框.
步骤13:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-70配置ISP域的AAA计费方案(4)创建AP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图1-71创建AP(5)创建无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
1-55步骤3:进行如下配置,如下图所示.
设置无线服务名称为"mac-auth".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
图1-72创建无线服务(6)配置MAC地址认证创建无线服务后,直接进入配置无线服务界面.
步骤1:配置MAC地址认证需要对"安全设置"部分进行设置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"端口设置"前的复选框,在端口模式的下拉框中选择"mac-authentication"方式.
选中"MAC认证"前的复选框,在域名下拉框中选择"system".
步骤2:单击按钮,弹出配置进度对话框.
步骤3:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-56图1-73安全设置步骤4:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤5:选中"mac-auth"前的复选框.
步骤6:单击按钮,弹出配置进度对话框.
步骤7:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-74开启无线服务(7)绑定AP的射频1-57步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"mac-auth"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-75绑定AP的射频(8)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-76开启802.
11n(2.
4GHz)射频1-583.
配置RADIUSserver(iMCV3)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
(1)增加接入设备.
步骤1:在iMC管理平台选择"业务"页签.
步骤2:单击导航树中的"接入业务/接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert;设置认证及计费的端口号分别为1812和1813;选择协议类型为LAN接入业务;选择接入设备类型为H3C;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
步骤5:单击按钮完成操作.
图1-77增加接入设备(2)增加服务配置.
步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击按钮,进入增加接入设备页面.
步骤4:设置服务名为mac,其他保持缺省配置.
步骤5:单击按钮完成操作.
1-59图1-78增加服务配置页面(3)增加接入用户.
步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户名00146c8a43ff;添加帐号名和密码为00146c8a43ff;选中刚才配置的服务mac.
步骤5:单击按钮完成操作.
图1-79增加接入用户4.
配置RADIUSserver(iMCV5)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0、iMCUAM5.
0),说明RADIUSserver的基本配置.
1-60(1)增加接入设备步骤1:在iMC管理选择"业务"页签.
步骤2:单击导航树中的"接入业务>接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert,其它保持缺省配置;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
步骤5:单击按钮完成操作.
图1-80增加接入设备(2)增加服务配置步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击按钮,进入增加接入设备页面.
步骤4:设置服务名为mac,其它保持缺省配置.
步骤5:单击按钮完成操作.
1-61图1-81增加服务配置页面(3)增加接入用户步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户00146c8a43ff;添加帐号名和密码为00146c8a43ff;选中刚才配置的服务mac.
步骤5:单击按钮完成操作.
1-62图1-82增加接入用户5.
验证结果(1)客户端不需要用户手动输入用户名或者密码.
该客户端通过MAC地址认证后,可以通过访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
7远程802.
1X认证配置举例1.
组网需求要求无线客户端使用远程802.
1X认证方式接入无线网络.
一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
AC的IP地址为10.
18.
1.
1.
在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名.
1-63图1-83远程802.
1X认证配置组网图2.
配置步骤(1)配置AC的接口IP地址在AC上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置RADIUS方案步骤1:在导航栏中选择"认证>RADIUS".
步骤2:单击按钮,进行RADIUS方案配置页面.
步骤3:进行如下配置,如下图所示.
在RADIUS服务器配置中增加如下图所示的两个服务器,其中密钥为"expert".
输入方案名称为"system".
选择服务类型为"Extended".
选择用户名格式为"不带域名".
步骤4:单击按钮完成操作.
1-64图1-84配置RADIUS(3)配置AAA步骤1:创建ISP域.
在导航栏中选择"认证>AAA",默认进入"域设置"页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域).
步骤2:配置ISP域的AAA认证方案.
单击"认证"页签.
步骤3:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access认证"前的复选框,选择认证方式为"RADIUS".
选择认证方案名称为"system".
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-65图1-85配置ISP域的AAA认证方案步骤6:配置ISP域的AAA授权方案.
单击"授权"页签.
步骤7:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access授权"前的复选框,选择授权方式为"RADIUS".
选择授权方案名称为"system".
步骤8:单击按钮,弹出配置进度对话框.
步骤9:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-86配置ISP域的AAA授权方案步骤10:配置ISP域的AAA计费方案.
单击"计费"页签.
步骤11:进行如下配置,如下图所示.
选择域名为"system".
选中"计费可选开关"前的复选框,选择"Enable".
选中"LAN-access计费"前的复选框,选择计费方式为"RADIUS".
1-66选择计费方案名称为"system".
步骤12:单击按钮,弹出配置进度对话框.
步骤13:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-87配置ISP域的AAA计费方案(4)创建AP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图1-88创建AP(5)创建无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
1-67步骤3:进行如下配置,如下图所示.
设置无线服务名称为"dot1x".
选择无线服务类型为"crypto".
步骤4:单击按钮完成操作.
图1-89创建无线服务(6)配置802.
1x认证创建无线服务后,直接进入配置无线服务界面.
步骤1:802.
1x认证需要对"安全设置"部分如下配置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"加密类型"前的复选框,在加密类型下拉框中选择"AES-CCMP",在安全IE下拉框中选择"WPA2".
选中"端口设置"前的复选框,在端口模式的下拉框中选择"userlogin-secure-ext"方式.
选中"域名"前的复选框,在域名下拉框中选择"system".
在认证方法下拉框中选择"EAP".
建议关闭用户握手和多播触发.
步骤2:单击按钮,弹出配置进度对话框.
步骤3:在配置进行过程中,会弹出对话框询问是否继续使能EAP认证,此时单击按钮.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-68图1-90安全设置步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤6:选中"dot1x"前的复选框.
步骤7:单击按钮完成操作.
图1-91开启无线服务(7)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"dot1x"对应的图标,进入如下图所示页面.
1-69步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-92绑定AP的射频(8)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作完成操作.
图1-93开启802.
11n(2.
4GHz)射频1-703.
配置RADIUSserver(iMCV3)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
(1)增加接入设备.
步骤1:在iMC管理平台,选择"业务"页签.
步骤2:单击导航树中的"接入业务>接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert;设置认证及计费的端口号分别为1812和1813;选择协议类型为LAN接入业务;选择接入设备类型为H3C;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
步骤5:单击按钮完成操作.
图1-94增加接入设备(2)增加服务配置.
步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置服务名为dot1x.
选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证.
步骤5:单击按钮完成操作.
1-71图1-95增加服务配置页面(3)增加接入用户.
步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户名user;添加帐号名为user,密码为dot1x;选中刚才配置的服务dot1x.
步骤5:单击按钮完成操作.
1-72图1-96增加接入用户4.
配置RADIUSserver(iMCV5)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0、iMCUAM5.
0),说明RADIUSserver的基本配置.
(1)增加接入设备步骤1:在iMC管理平台选择"业务"页签.
步骤2:单击导航树中的"接入业务>接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert,其它保持缺省配置;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备步骤5:单击按钮完成操作.
1-73图1-97增加接入设备(2)增加服务配置步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击"增加"按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置服务名为dot1x;选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证.
步骤5:单击按钮完成操作.
1-74图1-98增加服务配置页面(3)增加接入用户步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户user;添加帐号名为user,密码为dot1x;选中刚才配置的服务dot1x.
步骤5:单击按钮完成操作.
1-75图1-99增加接入用户(4)配置无线网卡选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击"属性",去掉验证服务器证书选项(此处不验证服务器证书),点击"配置",去掉自动使用windows登录名和密码选项.
然后"确定".
整个过程如下图所示.
1-76图1-100无线网卡配置过程1-77图1-101无线网卡配置过程1-78图1-102无线网卡配置过程5.
验证结果(1)在客户端弹出的对话框中输入用户名user和密码dot1x.
客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
8自动提供WEP密钥-802.
1X认证配置举例1.
组网需求要求使用客户端使用远程自动提供WEP密钥-802.
1X认证方式接入无线网络.
一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
AC的IP地址为10.
18.
1.
1.
在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名.
1-79图1-103自动提供WEP密钥-802.
1X配置组网图2.
配置AC(1)配置AC的接口IP地址请参考"1.
3.
72.
(1)配置AC的接口IP地址"部分.
(2)配置RADIUS方案请参考"1.
3.
72.
(2)配置RADIUS方案"部分.
(3)配置AAA请参考"1.
3.
72.
(3)配置AAA"部分.
(4)配置AP请参考"1.
3.
72.
(4)创建AP"部分.
(5)创建无线服务.
步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"dot1x".
选择无线服务类型为"crypto".
步骤4:单击按钮完成操作.
图1-104创建无线服务(6)配置802.
1x认证创建无线服务后,直接进入配置无线服务界面.
步骤1:802.
1x认证需要对"安全设置"部分进行设置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"WEP加密"前的复选框,在自动提供密钥下拉框中选择"开启".
1-80选中"端口设置"前的复选框,在端口模式的下拉框中选择"userlogin-secure-ext"方式.
选中"域名"前的复选框,在域名下拉框中选择"system".
在认证方法下拉框中选择"EAP".
建议关闭用户握手和多播触发.
步骤2:单击按钮完成操作.
图1-105安全设置步骤3:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤4:选中"dot1x"前的复选框.
步骤5:单击按钮完成操作.
1-81图1-106开启无线服务(7)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"dot1x"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮完成操作.
图1-107绑定AP的射频(8)开启802.
11n(2.
4GHz)射频请参考"1.
3.
72.
(8)开启802.
11n(2.
4GHz)射频"部分.
(9)配置RADIUSserver(iMC)请参考"1.
3.
73.
配置RADIUSserver(iMCV3)"部分.
3.
配置RADIUSserver(iMCV5)请参考"1.
3.
73.
配置RADIUSserver(iMCV5)"部分.
1-824.
配置无线客户端双击桌面的右下角图标,在弹出"无线网络连接状态"窗口上点击"属性",在弹出的属性页面中单击按钮,选择关联页签,添加名为"dot1x"的SSID,并确保选择了"自动为我提供此密钥(H)".
图1-108无线网卡配置过程(关联对话框)在验证页签中,选择EAP类型为"受保护的EAP(PEAP)",点击"属性",取消"验证服务器证书(V)"(此处不验证服务器证书),点击"配置",取消"自动使用windows登录名和密码(以及域,如果有的话)(A)".
然后单击按钮完成客户端操作.
1-83图1-109无线网卡配置过程(验证对话框)1-84图1-110无线网卡配置过程1-85图1-111无线网卡配置过程5.
验证结果(1)在客户端弹出的对话框中输入用户名user和密码dot1x.
客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
2-12Mesh服务Mesh服务的支持情况与设备的型号相关,无线控制产品各型号的支持情况请参见"特性差异列表"的"特性差异情况"部分的介绍.
无线Mesh网络是一种新的无线局域网类型.
与传统的WLAN不同的是,无线Mesh网络中的AP是无线连接的,而且AP间可以建立多跳的无线链路.
无线Mesh网络只是对骨干网进行了变动,和传统的WLAN没有任何区别.
2.
1Mesh服务简介2.
1.
1基本概念图2-1典型无线Mesh组网无线Mesh主要包含如下概念.
表2-1无线Mesh网络中概念概念描述AccessController(AC)一个接入控制器可以控制和管理WLAN内所有的APMeshPoint(MP)通过无线与MPP连接的,但是不可以接入Client的无线接入点MeshAccessPoint(MAP)同时提供Mesh服务和接入服务的接入点2-2概念描述MeshPortalPoint(MPP)通过有线与AC连接的无线接入点Mesh链路由一系列Mesh连接级联成的无线链路2.
1.
2无线Mesh的优点无线Mesh技术使得管理员可以轻松的部署质优价廉的无线局域网.
无线Mesh网络的优点包括:高性价比:Mesh网络中,只有MPP需要接入到有线网络,对有线的依赖程度被降到了最低程度,省却了购买大量有线设备以及布线安装的投资开销.
可扩展性强.
Mesh网络中AP之间能自动相互发现并发起无线连接建立,如果需要向网络中增加新的AP节点,只需要将新增节点安装并进行相应的配置.
部署快捷:组建Mesh网络,除MPP外的其它AP均不需要走线接入有线网络,和传统WLAN网络相比,大大缩短组建周期.
应用场景广.
Mesh网络除了可以应用于企业网、办公网、校园网等传统WLAN网络常用场景外,还可以广泛应用于大型仓库、港口码头、城域网、轨道交通、应急通信等应用场景.
高可靠性.
传统WLAN网络模式下,一旦某个AP上行有线链路出现故障,则该AP所关联的所有客户端均无法正常接入WLAN网络.
而Mesh网络中各AP之间实现的是全连接,由某个MeshAP至portal节点(有线网络)通常有多条可用链路,可以有效避免单点故障.
2.
1.
3无线Mesh网络的部署无线Mesh网络主要包括两种应用,一种是普通环境里无线Mesh的组网,一种是地铁隧道里无线Mesh的组网.
1.
普通无线Mesh网络部署(1)普通FITMP场景2-3图2-2普通FITMP场景如上图所示,两个Mesh网络由一个AC管理.
其中,至少一个MPP需要与AC建立有线连接.
一个MP启动后,它首先扫描附近的网络,然后与所有检测到的MP建立临时连接.
通过这种连接,MP可以与AC联系,并下载配置.
完成配置文件的下载后,MP会与享有相同预共享密钥的邻居建立安全的连接.
(2)拥有两个Radio的FITMP,两个Radio分别在不同的Mesh网络2-4图2-3两个Radio分别在不同的Mesh网络如上图所示,为了使Mesh1和Mesh2网络不产生干扰,可以采用一个拥有两个Radio的MP,两个Radio分别在不同的Mesh网络.
在这种组网里,两个Mesh网络必须由同一个AC管理.
(3)拥有两个Radio的FITMP,两个Radio在相同的Mesh网络如下图所示,MP1的Radio1通过MPP加入Mesh网络,此时在MP1上,只有Radio1能提供下游MP的接入功能.
Radio2并不能自动接入这个Mesh网络,提供Mesh服务.
图2-4两个Radio分别在不同的Mesh网络如果MP支持三频,在这种情况下,可以把Radio1设为上行链路接口,Radio2设为下行链路接口,Radio3作为覆盖天线.
为了利用各MP上的两个相同的Radio资源,可以使用如下图所示的组网方式,在这种组网方式下,当MP1的Radio1接入Mesh网络时,MP1上的Radio2也能够自动加入这个Mesh网络.
这种组网方式需要将加入到同一Mesh网络的各Radio应用到相同的Mesh服务.
具体配置可以参考"2.
3.
4Mesh支持三频配置举例".
2-5图2-5两个Radio在相同的Mesh网络2.
地铁无线Mesh网络部署地铁是现代城市里不可缺少的交通工具.
在一个地铁系统里,控制信息和多媒体信息需要实时的传递给快速移动的列车,从而有效的控制列车的运行,并且为乘客提供多种网络服务.
如下图所示,一个地铁无线Mesh网络里,轨旁MP(FitMP)受AC集中管理,多个轨旁MP沿轨道进行部署.
车载MP(FatMP)不停扫描新的轨旁MP,并选择信号质量最好的多个轨旁MP与之建立Mesh备份链路,主Mesh连接用于车载MP与轨旁有线网络之间的数据传输,Mesh备份链路连接用于Mesh连接的切换备份.
图2-6地铁无线Mesh网络部署为了实现地铁无线Mesh网络的部署,H3C开发了一种私有协议,叫做移动链路切换协议(MobileLinkSwitchProtocol).
它负责在列车移动过程中的活跃链路切换,并保证报文不丢失.
车载MP和轨旁MP之间用于链路建立和通信的下层协议遵循最新的IEEE802.
11s标准.
车载MP不要求担当认证者的角色.
2.
1.
4无线Mesh安全由于传输媒质的开放性,无线网络很容易遭受非法攻击,Mesh网络的多跳性带来了新的安全挑战,无线Mesh安全成为WLANMesh网络的重要组成部分,它主要包括用于加密的算法,密钥的管理和分发等内容.
目前提供PSK+CCMP的方式进行Mesh安全连接.
2-62.
1.
5MLSP介绍为了保证数据传输,在任何时间点,一个车载MP都要有一条活跃链路.
MLSP就是用来在列车移动过程中,完成创建和切换链路任务的.
如下图所示,当列车移动时,车载MP会不断建立新的活跃链路.
图2-7MLSP示意图活跃链路:传递来自或者到达车载MP的所有数据.
备份链路:不传递数据,但是它具备成为活跃链路的所有条件.
1.
MLSP的优点(1)链路切换时间小于30毫秒.
(2)在高功率导致设备饱和的情况下,MLSP仍能正常工作.
(3)链路切换过程中,报文不丢失.
2.
MLSP工作过程MLSP为车载MP建立多条链路,从而提供链路备份,确保良好的网络性能,并增强网络的健壮性.
MLSP使用下面四个参数来决定是否进行活跃链路切换:链路建立RSSI/链路保持RSSI:用于建立和保持一条链路的最小RSSI值.
一条链路的RSSI值必须不小于这个值,才能被建立和保持.
因此这个值必须要保证,否则错误率会很高,链路性能会变差.
链路切换阈值:如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换.
这种机制用来避免频繁的链路切换.
链路保持时间:一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达.
这种机制用来避免频繁的链路切换.
链路饱和RSSI:如果活跃链路上的RSSI超过链路饱和RSSI,会进行链路切换.
3.
备份链路的建立一个车载MP会以较高的速率发送探寻报文,主动扫描附近的轨旁MP,并基于收到的探寻回应,建立邻居列表.
2-7如果来自某个轨旁MP的RSSI大于链路建立RSSI,车载MP会与其建立一条备份链路.
4.
活跃链路的选择车载MP基于如下规则,在备份链路中选择一条活跃链路:(1)如果没有备份链路,活跃链路无法建立.
(2)在链路保持时间内,一般不进行活跃链路切换,但是以下两种情况除外:活跃链路上的RSSI超过了链路饱和RSSI.
活跃链路上的RSSI小于链路保持RSSI.
(3)当链路保持计时器超时后,如果任何一条备份链路的RSSI比当前活跃链路的RSSI高出的部分,都没有超过链路切换阈值,则不进行链路切换.
(4)正常情况下,当下列条件都满足时,进行链路切换.
链路保持定时器超时.
一条备份链路的RSSI比当前活跃链路的RSSI高出的部分,超过链路切换阈值.
待切换备份链路的RSSI没有超过链路饱和RSSI.
(5)正常情况下,如果所有链路的RSSI都低于链路保持RSSI,所有链路都会断掉.
但是,为了在恶劣环境下保证业务的可用性,即便是上述情况发生,活跃链路也不会被切断.
2.
1.
6Mesh网络拓扑Mesh提供了以下三种拓扑.
通过在每个AP的射频模式下配置邻居AP的MAC地址来实现,详细配置请参见"2.
2.
6配置邻居信息".
1.
点到点的连接在点到点的组网环境中,用户可以预先指定与其相连的邻居MAC地址,确定需要建立的指定Mesh链路.
图2-8点到点的连接2.
点到多点的连接在点到多点的组网环境中,所有的连接都要通过中心桥接设备进行数据转发,如下图所示,所有的局域网的数据传输都要通过AP1.
2-8图2-9点到多点的连接3.
自拓扑检测与桥接这种自拓扑检测与桥接可以检测到其它局域网设备,并且形成链路.
该网络拓扑容易引起网络环路,使用时可以结合Mesh路由选择性地阻塞冗余链路来消除环路,在Mesh链路故障时还可以提供备链路备份的功能.
图2-10自拓扑检测与桥接2.
2配置Mesh服务2.
2.
1配置Mesh服务1.
新建Mesh服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签,进入如下图所示Mesh服务配置页面.
2-9图2-11Mesh服务配置页面(3)单击按钮,进入如下图所示Mesh服务新建页面.
图2-12Mesh服务新建页面(4)配置Mesh服务,详细配置如下表所示.
(5)单击按钮完成操作.
表2-2Mesh服务的详细配置配置项说明Mesh服务名称新建Mesh服务名称2.
配置Mesh服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签.
(3)在列表中找到要进行配置的Mesh服务,单击对应的图标,进入如下图所示的配置页面.
2-10图2-13Mesh服务新建页面(4)配置Mesh服务的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-3Mesh服务的详细配置配置项说明Mesh服务名称显示选择的Mesh服务名称VLAN(Tagged)添加Tagged的VLANID,VLAN(Tagged)表示端口成员发送该VLAN报文时带Tag标签VLAN(Untagged)添加Untagged的VLANID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签缺省VLAN设置端口的缺省VLAN在缺省情况下,所有端口的缺省VLAN均为VLAN1,设置新的缺省VLAN后,VLAN1为Untagged的VLANID排除下列VLAN删除已有Tagged和Untagged的VLANIDMesh路由Mesh网络路由选择算法关闭:关闭Mesh网络路由选择算法开启:开启Mesh网络路由选择算法缺省情况下,Mesh网络路由选择功能处于关闭状态保活时间间隔配置链路保活报文发送时间间隔链路回程速率配置链路回程速率2-11配置项说明安全设置字符串方式以字符串方式输入预共享密钥十六进制数方式以十六进制数方式输入预共享密钥预共享密钥预共享密钥:若类型为字符串,则为8~63个字符的可显示字符串若类型为十六进制数,则为长度是64位的合法十六进制数3.
绑定AP的射频(1)在导航栏中选择"无线服务>Mesh服务".
(2)在列表里查找到需要绑定的Mesh服务,单击Mesh服务对应的图标,进入下图所示绑定Mesh服务页面.
(3)选择需要绑定的AP射频前的复选框.
(4)单击按钮完成操作.
图2-14绑定AP的射频4.
开启Mesh服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签,进入如下图所示Mesh服务配置页面.
2-12图2-15开启Mesh服务(3)选中需要开启的Mesh服务前的复选框.
(4)单击按钮完成操作.
5.
Mesh服务的详细信息(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签,进入Mesh服务配置页面.
(3)点击指定的Mesh服务后,可以查看相关的详细信息.
图2-16Mesh服务的详细信息2-13表2-4Mesh服务显示信息描述表配置项说明MeshProfileNumber当前的Mesh服务号MeshIDMesh服务名称BindingInterface绑定的Mesh接口MKDServiceMKD服务的状态:Enable:MKD服务处于开启状态Disable:MKD服务处于关闭状态LinkKeepAliveInterval(s)保活报文发送间隔LinkBackhaulRate(Mbps)链路回程速率MeshProfileStatusMesh服务的状态:Enable:Mesh服务处于开启状态Disable:Mesh服务处于关闭状态2.
2.
2配置Mesh策略1.
新建Mesh策略(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签,进入如下图所示Mesh策略配置页面.
图2-17Mesh策略配置页面(3)单击按钮,进入如下图所示Mesh策略新建页面.
2-14图2-18Mesh策略新建页面(4)配置Mesh策略的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-5Mesh策略的详细配置配置项说明Mesh策略名称新建Mesh策略名称新建的Mesh策略会继承缺省default_mp_plcy中的缺省策略内容2.
配置Mesh策略(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签.
(3)在列表中找到要进行配置的Mesh策略,单击对应的图标,进入如下图所示的配置页面.
2-15图2-19Mesh策略配置页面(4)配置Mesh策略的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-6Mesh策略的详细配置配置项说明Mesh策略显示选择的Mesh策略名称链路发起功能缺省情况下,链路发起处于开启状态在配置轨旁AP的MP策略时,需要关闭链路发起功能关闭链路发起功能目前只用于地铁环境中链路保持时间设置链路保持时间一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达.
这种机制用来避免频繁的链路切换最大Mesh链路数设置允许建立的最大Mesh链路数在建立Mesh时,如果在AP上建立的Mesh链路大于2时,需要根据实际链路数进行设置2-16配置项说明链路保持RSSI设置链路保持RSSI用于建立和保持一条链路的最小RSSI值.
一条链路的RSSI值必须不小于这个值,才能被建立和保持.
因此这个值必须要保证,否则错误率会很高,链路性能会变差链路切换阀值设置链路切换阀值如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换.
这种机制用来避免频繁的链路切换链路饱和RSSI设置链路饱和RSSI如果活跃链路上的RSSI超过链路饱和RSSI,芯片组将饱和,进行链路切换探寻请求发送间隔设置探寻请求的发送间隔认证者角色缺省情况下,一个设备基于协商的结果决定是否作为认证者速率选择方式固定方式:采用的速率为固定值,其值为当前Radio接口速率集的最大值实时更新方式:采用的速率会根据链路质量(RSSI)实时变化,即速率值随Radio接口下的信号强度(RSSI)而变化缺省情况下,采用固定方式MLSP协议负责活跃链路的切换,该协议仅用于地铁Mesh网络部署环境被代理设备地址选中"MLSP代理设备地址"前的复选框,指定被代理设备的MAC地址被代理设备VLAN被代理设备的VLAN编号3.
绑定Mesh策略(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签.
(3)在列表中找到要进行配置的Mesh策略,选中对应的图标.
(4)选中需要绑定的射频前的复选框.
(5)单击按钮完成操作.
4.
Mesh策略的详细信息(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签,进入Mesh策略配置页面.
(3)点击指定的Mesh策略后,可以查看相关的详细信息.
2-17图2-20Mesh策略的详细信息表2-7Mesh策略显示信息描述表配置项说明MPPolicyNameMesh策略名MeshLinkInitiationMesh链路发起是否开启MlspMLSP的状态:Enable:MLSP处于开启状态Disable:MLSP处于关闭状态AuthenticatorRole认证者角色的状态:Enable:开启认证者角色Disable:关闭认证者角色MaxLinksMesh策略允许的最大链路数ProbeRequestInterval(ms)探寻请求的发送间隔LinkHoldRSSI链路保持RSSILinkHoldTime(ms)链路保持时间LinkSwitchMargin链路切换阈值LinksaturationRSSI链路饱和RSSILinkrate-mode选择计算COST值的方式:fixed:Mesh接口的速率为固定值real-time:Mesh接口的速率为根据链路质量(RSSI)实时变化的值2-182.
2.
3Mesh全局设置1.
Mesh基本设置(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh全局设置"页签,进入如下图所示Mesh全局设置页面.
图2-21Mesh基本设置页面(3)配置Mesh基本设置的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表2-8Mesh基本设置的详细配置配置项说明MKD-ID需要注意的是:配置的MAC地址必须没有被使用,并且有正确的厂商标识部分不能把AC的MAC地址配置为MKD-ID动态信道选择Mesh信道选择选项:手动:开启手动优化Mesh网络信道功能.
选择手动方式后,在下一次校准间隔周期到来时,若没有手动指定需要优化的Mesh网络,则AC会刷新所有管理Mesh网络的射频信息,显示在Mesh信道优化操作页的射频信息页签中,以供用户查看、选择需要手动优化信道的Mesh网络;若选择了需要手动优化的Mesh网络,则AC执行信道优化、调整操作.
手动方式只对选择的Mesh网络执行一次信道调整,如果下次还需要进行Mesh信道调整,则必须手动重新选择自动:开启自动优化Mesh网络信道功能.
选择自动方式将对Mesh网络内所有采用自动信道方式建立的Mesh网络起作用,每个校准间隔周期后会进行一次信道优化,如果优化出更好的信道,将会在Mesh网络中进行信道调整关闭:关闭Mesh网络信道优化功能,Mesh网络将不再进行信道优化,并在下一个校准间隔周期,Mesh信道优化操作页的射频信息和信道切换记录将被清除缺省情况下,Mesh网络信道优化功能处于关闭状态开启Mesh网络的手动或自动信道调整功能前,必须保证Mesh网络中选择auto信道模式.
相关配置请参见"射频"2.
开启MeshPortal服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
2-19(2)单击"Mesh全局设置"页签,进入如下图所示MeshPortal服务配置页面.
图2-22MeshPortal服务配置页面(3)选中需要开启的MeshPortal服务的AP名称前的复选框.
(4)单击按钮完成操作.
2.
2.
4配置信道可以通过以下两种方式完成Mesh的信道配置:1.
手工指定信道(1)在界面左侧的导航栏中选择"射频>射频设置",进入如下图所示射频配置页面.
图2-23射频配置页面(2)在信道下拉框里选择指定的信道.
(3)单击按钮完成操作.
在MAP和MPP上都需要手工指定射频的工作信道,并且工作信道必须保持一致.
2-202.
自动信道选择在上如所示页面中,设置MPP和MAP上射频的信道为auto.
MPP和MAP间的射频建立WDS链接时,自动协商工作信道.
当MPP和MAP的射频配置为auto信道时,自动选择的工作信道为非雷达信道.
2.
2.
5开启射频(1)在界面左侧的导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
图2-24开启射频(2)选中需要开启的射频前的复选框.
(3)单击按钮完成操作.
2.
2.
6配置邻居信息(1)在导航栏中选择"无线服务>Mesh服务".
(2)在列表里查找到需要绑定的Mesh服务,单击对应的图标,进入图2-14所示页面.
(3)在列表里选择需要配置的AP射频,单击对应的图标,进入下图所示邻居MAC地址配置页面.
2-21图2-25配置邻居MAC地址(4)配置邻居信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-9邻居信息的详细配置配置项说明邻居MAC地址通过在每个AP的射频模式下配置邻居AP的Radio的MAC地址来实现Mesh网络的三种拓扑,关于Mesh网络拓扑的介绍请参见"2.
1.
6Mesh网络拓扑"路径开销配置与邻居创建Mesh链路的STPcost值,如果不配置,则由STP自动计算该Mesh链路的cost值在图2-28所示Mesh链路监控页面中查看Mesh链路的cost值2.
2.
7Mesh信道优化操作1.
显示Mesh信道优化操作的射频信息(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh信道优化操作"页签,进入Mesh信道优化操作.
(3)点击指定的Mesh网络,单击"射频信息"页签,可以进入如下图所示查看射频信息.
2-22图2-26查看射频信息2.
Mesh信道优化操作的信道切换(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh信道优化操作"页签,进入Mesh信道优化操作页面.
(3)点击指定的Mesh网络,选择"信道切换记录"页签,可以查看信道切换记录.
图2-27Mesh信道切换记录2-23如果将Mesh全局设置页面中的动态信道选择设置为"关闭"方式或"自动"方式,那么进入该页面后,"信道优化"按钮为灰显,即不可操作.
如果选用手动优化方式,每次优化时需要先选择需要优化的Mesh网络,再单击按钮,完成手动优化操作.
自动方式下信道每个校准间隔进行一次信道优化,手动方式仅进行一次信道优化.
Mesh信道切换记录信息的详细显示如下表所示.
表2-10Mesh信道切换记录信息字段描述AP显示Mesh网络AP的名称Radio显示AP的射频单元Chl(After/Before)显示信道(变更前/变更后)Date(yyyy-mm-dd)显示日期(年-月-日)Time(hh:mm:ss)显示时间(时:分:秒)2.
2.
8查看Mesh链路状态1.
Mesh链路监控(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh链路监控"页签,进入如下图所示Mesh链路监控页面.
图2-28查看Mesh链路监控通过查看Mesh链路监控页面,管理者可以实时监控Mesh链路的状态信息.
2.
Mesh链路测试(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
2-24(2)单击"Mesh链路测试"页签,进入如下图所示Mesh链路测试页面.
图2-29查看Mesh链路测试页面(3)选中需要测试的Mesh链路前的复选框.
(4)单击按钮完成操作.
2.
3无线Mesh配置举例2.
3.
1普通无线Mesh典型配置举例1.
组网需求要求在MAP和MPP之间建立Mesh链路,链路之间使用802.
11a协议.
在MAP上配置802.
11g接入服务,使客户端接入无线网络.
图2-30普通无线Mesh配置组网图2.
配置思路采用如下思路进行配置:(1)建立MPP和MAP之间的Mesh链路,按如下步骤配置:创建MAP和MPP:在界面左侧的导航栏中选择"AP>AP设置",单击按钮,创建MAP和MPP,配置步骤请参见"(1)创建MAP和MPP".
配置Mesh服务:新建Mesh服务,配置预共享密钥后,将Mesh服务和AP相绑定后开启Mesh服务,配置步骤请参见"(2)新建Mesh服务".
配置Mesh策略:Mesh策略缺省存在.
在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的AP绑定,配置步骤请参见"(5)配置Mesh策略".
Mesh全局配置:配置MKD-ID(缺省存在),并对MPP开启MeshPortal服务,配置步骤请参见"(6)Mesh全局配置".
2-25手工配置相同的信道,并开启射频,配置步骤请参见"(7)手工配置相同的信道,并开启射频".
(2)在MAP上配置802.
11g接入服务,使客户端接入无线网络:相关配置请参见"1.
3无线接入配置举例",可以完全参照相关举例完成配置.
此处不再重复.
3.
配置AC(1)创建MAP和MPP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"map".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图2-31创建AP按此方法建立MPP.
(2)新建Mesh服务步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:单击按钮,进入如下图所示Mesh服务配置页面.
步骤3:设置Mesh服务名称为"outdoor".
步骤4:单击按钮完成操作.
图2-32新建Mesh服务完成Mesh服务配置页面后,默认进入如下图所示Mesh服务配置页面.
2-26图2-33配置预共享密钥步骤5:选择字符串方式,设置预共享密钥为"12345678".
步骤6:单击按钮完成操作.
(3)将Mesh服务和AP相绑定.
步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:在列表中单击Mesh服务"outdoor"对应的图标,进入如下图所示的配置页面.
步骤3:选中需要绑定的射频前的复选框.
步骤4:点击按钮完成操作.
图2-34将Mesh服务和AP相绑定(4)开启Mesh服务.
步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
2-27图2-35开启Mesh服务步骤2:选中需要开启的Mesh服务前的复选框.
步骤3:单击按钮完成操作.
(5)配置Mesh策略(缺省情况下,缺省的default_mp_plcy策略已经存在,此步骤可选)Mesh策略缺省存在.
在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的射频绑定.
此例中使用缺省的default_mp_plcy策略.
(6)Mesh全局配置步骤1:设置MKD-ID.
在界面左侧的导航栏中选择"无线服务>Mesh服务",单击"Mesh全局设置"页签,进入Mesh全局设置页面,可以对MKD-ID进行设置.
(缺省情况下,MKD-ID已经存在,此步骤可选).
步骤2:对MPP开启MeshPortal服务.
选中与AC有线连接的MPP前的复选框.
步骤3:单击按钮完成操作.
图2-36开启MeshPortal服务(7)手工配置相同的信道,并开启射频步骤1:在界面左侧的导航栏中选择"射频>射频设置".
2-28步骤2:在列表中选择需要配置的map,单击对应的图标,进入射频设置页面.
图2-37手工配置相同的信道步骤3:在信道下拉框中选择使用的信道.
步骤4:单击按钮完成操作.
按此方法指定MPP的工作信道.
需要注意的是,在MAP和MPP上选用的信道应该保持一致.
步骤5:开启射频.
在界面左面的导航栏中选择"射频>射频设置",进入射频设置页面.
步骤6:选择需要开启的MAP和MPP射频前的复选框.
步骤7:单击按钮完成操作.
图2-38开启射频4.
验证配置结果(1)MAP和MPP之间的Mesh链路已经建立,可以相互ping通.
2-29(2)配置802.
11n(2.
4GHz)接入服务后,客户端可以通过Mesh链路接入网络.
2.
3.
2地铁无线Mesh典型配置举例1.
组网需求如下图所示,所有轨旁MP与一个AC相连.
要求配置WLANMesh后,车载MP能够与轨旁MP正常建立连接.
图2-39地铁无线Mesh配置组网图2.
配置思路地铁无线Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:(1)需要定制轨旁AP(对应图中的RailMP)Mesh策略:需要关闭链路发起功能,详细配置可参见"2.
2.
2配置Mesh策略".
需要开启MeshPortal服务,详细配置可参见"2.
2.
32.
开启MeshPortal服务".
(2)需要定制车载AP(对应图中的TrainMP)Mesh策略:需要开启MLSP协议.
需要配置MLSP代理的VLAN信息以及MAC地址.
需要关闭认证者角色,详细配置可参见"2.
2.
2配置Mesh策略".
设置允许建立的最大Mesh链路数(缺省值为2,请根据实际链路数进行设置).
详细配置可参见"2.
2.
2配置Mesh策略".
3.
配置AC地铁无线Mesh和普通无线Mesh在配置上的差别体现在轨旁AP和车载AP的Mesh策略上,其它配置步骤与普通无线Mesh基本相同,具体配置步骤请参见"2.
3.
13.
配置AC".
2.
3.
3Mesh点到多点典型配置举例1.
组网需求要求在AP1做为MPP,分别和AP2、AP3、AP4、AP5建立Mesh链路.
2-30图2-40Mesh配置组网图2.
配置思路Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:在每个AP的射频模式下配置邻居AP的MAC地址,在AP1上需要同时配置AP2~AP5的MAC地址,在AP2~AP5上只需要配置AP1的MAC地址.
设置允许建立的最大Mesh链路数(缺省值为2,需要根据实际链路数进行设置,此列中应设为4).
详细配置可参见"2.
2.
2配置Mesh策略".
3.
配置ACMesh配置和普通无线Mesh配置相同,具体配置步骤请参见"2.
3.
13.
配置AC".
2.
3.
4Mesh支持三频配置举例1.
组网需求在各MP和MPP之间建立Mesh链路,并要求利用射频资源,使MPP的Radio1、MP的Radio1和Radio2、MP2的Radio1加入到同一个Mesh网络中,Radio3作为覆盖天线,提供无线接入服务.
图2-41Mesh支持三频组网图2.
配置思路(1)配置Mesh服务Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:2-31加入同一个Mesh网络的Radio上需要应用相同的Mesh服务.
根据本例的需求,将MPP的Radio1、MP1的Radio1和Radio2、MP2的Radio1绑定到同一个Mesh服务上.
图2-42绑定Mesh服务在MPP的Radio1上将MP1上的Radio1设定为邻居MAC,同理,在MP1上将MPP的Radio1设定为邻居MAC.
MP1的Radio2和MP2的Radio1上也进行同样操作.
(2)配置接入服务Radio3作为覆盖天线,提供无线接入服务.
相关配置请参见"1.
3无线接入配置举例",可以完全参照相关举例完成配置.
3.
配置步骤Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见"2.
3.
13.
配置AC".
2.
3.
5Mesh信道自动选择配置举例1.
组网需求要求在MAP和MPP之间建立Mesh链路,使用自动信道选择方式,在链路之间使用802.
11a协议.
开启手动优化Mesh网络信道功能,当Mesh网络的当前工作信道质量变差时,手动调整Mesh网络信道.
图2-43普通无线Mesh配置组网图2-322.
配置思路Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:在每个AP提供Mesh服务的射频模式下配置的信道模式为自动信道,在每个AP提供Mesh服务的射频模式下不要配置无线服务.
3.
配置步骤Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见"2.
3.
13.
配置AC".
在完成上面基本配置之后,要进行如下操作.
(1)设置校准间隔(缺省情况下,存在缺省的校准间隔,此步骤可选)步骤1:在界面左侧的导航栏中选择"射频>功率信道优化".
步骤2:单击"参数设置"页签,进入参数设置页面.
步骤3:输入校准间隔时间为3.
步骤3:单击按钮完成操作.
图2-44Mesh网络信道优化校准间隔(2)配置Mesh信道调整方式步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:单击"Mesh全局设置"页签,进入Mesh服务配置页面.
步骤3:在动态信道选择中,选中"手动"单选框.
步骤4:单击按钮完成操作.
图2-45动态信道选择2-33(3)执行Mesh信道优化操作步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:单击"Mesh信道优化操作"页签,进入Mesh信道优化操作页面.
步骤3:选中Mesh网络"outdoor"前的复选框.
步骤4:单击按钮完成操作.
图2-46Mesh信道优化操作手动优化4.
验证配置结果在下一个信道优化校准间隔时间到达后,如果发生信道切换,可以查看到信道切换记录.
在界面左侧的导航栏中选择"无线服务>Mesh服务",单击"Mesh信道优化操作"页签,选择"信道切换记录"页签,点击指定的Mesh网络,可以查看到如下图所示的信道切换记录.
图2-47Mesh信道切换记录
1接入服务简介·1-11.
1.
1常用术语1-11.
1.
2用户接入过程·1-11.
1.
3WLAN服务的数据安全·1-41.
1.
4用户接入认证·1-61.
1.
5802.
11n协议1-71.
2配置接入服务·1-71.
2.
1新建无线服务·1-81.
2.
2配置clear类型无线服务·1-91.
2.
3配置crypto类型无线服务·1-181.
2.
4安全参数关系表1-241.
2.
5开启无线服务·1-251.
2.
6绑定AP的射频·1-251.
2.
7开启射频1-271.
2.
8显示无线服务的详细信息·1-281.
3无线接入配置举例1-311.
3.
1无线服务典型配置举例1-311.
3.
2AP自动发现典型配置举例·1-351.
3.
3802.
11n典型配置举例·1-391.
3.
4WPA-PSK认证典型配置举例·1-411.
3.
5MAC地址本地认证配置举例1-451.
3.
6远程MAC地址认证配置举例1-511.
3.
7远程802.
1X认证配置举例1-621.
3.
8自动提供WEP密钥-802.
1X认证配置举例1-782Mesh服务·2-12.
1Mesh服务简介·2-12.
1.
1基本概念2-12.
1.
2无线Mesh的优点·2-22.
1.
3无线Mesh网络的部署2-22.
1.
4无线Mesh安全2-52.
1.
5MLSP介绍·2-62.
1.
6Mesh网络拓扑2-7ii2.
2配置Mesh服务·2-82.
2.
1配置Mesh服务2-82.
2.
2配置Mesh策略2-132.
2.
3Mesh全局设置2-182.
2.
4配置信道2-192.
2.
5开启射频2-202.
2.
6配置邻居信息·2-202.
2.
7Mesh信道优化操作2-212.
2.
8查看Mesh链路状态2-232.
3无线Mesh配置举例·2-242.
3.
1普通无线Mesh典型配置举例·2-242.
3.
2地铁无线Mesh典型配置举例·2-292.
3.
3Mesh点到多点典型配置举例·2-292.
3.
4Mesh支持三频配置举例·2-302.
3.
5Mesh信道自动选择配置举例·2-311-11接入服务WLAN(WirelessLocalAreaNetwork,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,维护的成本低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络.
然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在固定网络,只是用户可以通过无线方式接入网络.
使用WLAN解决方案,网络运营商和企业能够为用户提供无线局域网服务,服务内容包括:应用具有无线局域网功能的设备建立无线网络,通过该网络,用户可以连接到固定网络或因特网.
使用不同认证和加密方式,安全地访问WLAN.
为无线用户提供安全的网络接入和移动区域内的无缝漫游.
1.
1接入服务简介1.
1.
1常用术语(1)无线客户端带有无线网卡的PC、笔记本电脑以及支持WiFi功能的各种终端.
(2)AP(AccessPoint,接入点)AP提供无线客户端到局域网的桥接功能,在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换.
(3)AC(AccessController,接入控制器)无线控制器对无线局域网中的与其关联的AP进行控制和管理.
无线控制器还可以通过同认证服务器交互信息,来为WLAN用户提供认证服务.
(4)SSIDSSID(ServiceSetIdentifier,服务集识别码),客户端可以先进行无线扫描,然后选择特定的SSID接入某个指定无线网络.
1.
1.
2用户接入过程无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网.
整个过程如下图所示.
1-2图1-1建立无线连接过程1.
无线扫描无线客户端有两种方式可以获取到周围的无线网络信息:一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个探测请求帧(ProbeRequest帧),通过收到探查响应帧(ProbeResponse)获取网络信息;另外一种是被动扫描,无线客户端只是通过监听周围AP发送的Beacon(信标帧)获取无线网络信息.
无线客户端在实际工作过程中,通常同时使用主动扫描和被动扫描获取周围的无线网络信息.
(1)主动扫描无线客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络.
根据ProbeRequest帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:客户端发送ProbeRequest帧(ProbeRequest中SSID为空,也就是SSIDIE的长度为0):客户端会定期地在其支持的信道列表中,发送ProbeRequest帧扫描无线网络.
当AP收到探查请求帧后,会回应ProbeResponse帧通告可以提供的无线网络信息.
无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入.
无线客户端主动扫描方式的过程如下图所示.
图1-2主动扫描过程(ProbeRequest中SSID为空,也就是不携带任何SSID信息)1-3客户端发送ProbeRequest帧(携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送ProbeRequest帧(携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探查响应.
通过这种方法,无线客户端可以主动扫描指定的无线网络.
这种无线客户端主动扫描方式的过程如下图所示.
图1-3主动扫描过程(ProbeRequest携带指定的SSID为"AP1")(2)被动扫描被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络.
提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息.
当用户需要节省电量时,可以使用被动扫描.
一般VoIP语音终端通常使用被动扫描方式.
被动扫描的过程如下图所示.
图1-4被动扫描过程2.
认证过程为了保证无线链路的安全,AC需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段.
802.
11链路定义了两种认证机制:开放系统认证和共享密钥认证.
开放系统认证(Opensystemauthentication)开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证.
如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证.
开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为"成功".
1-4图1-5开放系统认证过程共享密钥认证(Sharedkeyauthentication)共享密钥认证是除开放系统认证以外的另外一种链路认证机制.
共享密钥认证需要客户端和设备端配置相同的共享密钥.
共享密钥认证的认证过程为:客户端先向设备发送认证请求,无线设备端会随机产生一个Challenge包(即一个字符串)发送给客户端;客户端会将接收到的Challenge加密后再发送给无线设备端;无线设备端接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较.
如果相同,则说明客户端通过了SharedKey链路认证;否则SharedKey链路认证失败.
图1-6共享密钥认证过程3.
关联过程如果用户想通过AP接入无线网络,用户必须同特定的AP关联.
当用户通过指定SSID选择无线网络,并通过AP认证后,就可以向AP发送关联请求帧.
AP将用户信息添加到数据库,向用户回复关联响应.
用户每次只可以关联到一个AP上,并且关联总是由用户发起.
1.
1.
3WLAN服务的数据安全相对于有线网络,WLAN存在着与生俱来的数据安全问题.
在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其它所有设备的数据,这个特性直接威胁到WLAN接入数据的安全.
802.
11协议致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密.
其它的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护.
目前支持四种安全服务.
1-5(1)明文数据该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理.
(2)WEP加密WEP(WiredEquivalentPrivacy,有线等效加密)用来保护WLAN中的授权用户所交换的数据的机密性,防止这些数据被随机窃听.
WEP使用RC4加密算法(一种流加密算法)实现数据报文的加密保护.
根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密.
静态WEP加密:静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥.
如果WEP密钥被破解或泄漏,攻击者就能获取所有密文.
因此静态WEP加密存在比较大的安全隐患.
并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担.
动态WEP加密:动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善.
在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.
1X协议协商产生,这样每个客户端协商出来的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性.
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听、会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患.
(3)TKIP加密TKIP和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护.
首先,TKIP通过增长了算法的IV长度提高了WEP加密的安全性.
相比WEP算法,TKIP将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位;其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;另外,TKIP还支持了MIC认证(MessageIntegrityCheck,信息完整性校验)和Countermeasure功能.
当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击.
此时,可以采取一系列的对策,来阻止黑客的攻击.
(4)CCMP加密CCMP(CountermodewithCBC-MACProtocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(AdvancedEncryptionStandard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法.
CCM结合CTR(Countermode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验.
CCMP中的AES块加密算法使用128位的密钥和128位的块大小.
同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性.
在加密处理过程中,CCMP也会使用48位的PN(PacketNumber)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性.
1-61.
1.
4用户接入认证(1)PSK认证PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥,如果密钥相同,PSK接入认证成功;如果密钥不同,PSK接入认证失败.
(2)802.
1X认证802.
1X协议是一种基于端口的网络接入控制协议(portbasednetworkaccesscontrolprotocol).
"基于端口的网络接入控制"是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制.
连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源.
接入设备的管理者可以选择使用RADIUS或本地认证方法,以配合802.
1X完成用户的身份认证.
关于远程和本地802.
1X认证的介绍和配置可以参考"认证".
(3)MAC地址认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法.
通过手工维护一组允许访问的MAC地址列表,实现对客户端物理地址过滤,但这种方法的效率会随着终端数目的增加而降低,因此MAC地址认证适用安全需求不太高的场合,如家庭、小型办公室等环境.
MAC地址认证分为以下两种方式:本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,需要在设备上预先配置允许访问的MAC地址列表,如果客户端的MAC地址不在允许访问的MAC地址列表,将被拒绝其接入请求.
图1-7本地MAC地址认证远程MAC地址认证,即通过RADIUS服务器进行MAC地址认证.
当MAC接入认证发现当前接入的客户端为未知客户端,会主动向RADIUS服务器发起认证请求,在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络以及获得相应的授权信息.
1-7图1-8远程MAC地址认证采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器.
1.
1.
5802.
11n协议802.
11n作为802.
11协议族的一个新协议,支持2.
4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的吞吐量,802.
11n主要通过增加带宽和提高信道利用率两种方式来提高吞吐量.
增加带宽:802.
11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用.
当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量.
提高信道利用率:对信道利用率的提高主要体现在三个方面.
802.
11n标准中采用A-MPDU聚合帧格式,即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时通过BlockAck减少了ACK帧的数目,从而降低了协议的负荷,有效的提高网络吞吐量.
802.
11n协议定义了一个新的MAC特性A-MSDU,该特性实现了将多个MSDU组合成一个A-MSDU发送,与A-MPDU类似,通过聚合,A-MSDU减少了传输每个MSDU的MAC头的附加信息,提高了MAC层的传输效率.
802.
11n支持在物理层的优化,提供短间隔功能.
原11a/g的GI时长800us,而短间隔ShortGI时长为400us,在使用ShortGI的情况下,可提高10%的速率.
1.
2配置接入服务接入服务配置的推荐步骤如下表所示.
表1-1接入服务配置步骤步骤配置任务说明1新建无线服务必选1-8步骤配置任务说明2配置clear类型的无线服务两者必选其一按实际需求完成接入服务页面的安全设置部分3配置crypto类型的无线服务4开启无线服务必选5绑定AP的射频必选6开启射频必选7查看无线服务的详细信息可选1.
2.
1新建无线服务(1)在界面左侧的导航栏中选择"无线服务>接入服务",进入如下图所示接入服务配置页面.
图1-9接入服务配置页面(2)单击按钮,进入如下图所示无线服务新建页面.
图1-10接入服务新建页面(3)配置无线服务,详细配置如下表所示.
(4)单击按钮完成操作.
1-9表1-2新建无线服务的详细配置配置项说明无线服务名称设置SSID(ServiceSetIdentifier,服务集识别码),无线服务名称可以为1~32个字符的字符串,可以包含字母、数字及下划线,区分大小写,可以包含空格SSID的名称应该尽量具有唯一性.
从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了头域负载,对无线安全没有改进无线服务类型选择无线服务类型:clear:使用明文发送无线服务crypto:使用密文发送无线服务1.
2.
2配置clear类型无线服务1.
clear类型无线服务基本配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入如下图所示的配置页面.
在配置clear类型的无线服务时,需要先将其服务状态改为关闭,单击对应的图标,才能对该无线服务进行配置.
图1-11clear类型无线服务基本配置页面(3)配置clear类型无线服务基本信息,详细配置如下表所示.
(4)单击按钮完成操作.
表1-3clear类型无线服务基本配置的详细配置配置项说明无线服务名称显示选择的SSID1-10配置项说明VLAN(Untagged)添加Untagged的VLANID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签缺省VLAN设置端口的缺省VLAN在缺省情况下,所有端口的缺省VLAN均为VLAN1,设置新的缺省VLAN后,VLAN1为Untagged的VLANID删除VLAN删除已有Tagged和Untagged的VLANID网络隐藏Enable:禁止在信标帧中通告SSIDDisable:在信标帧中通告SSID缺省情况下,信标帧通告SSIDSSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP隐藏SSID对无线安全意义不大,允许广播SSID可以使客户端更容易发现AP2.
clear类型无线服务高级配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入如下图所示clear类型无线服务高级配置页面.
图1-12clear类型无线服务高级配置页面(3)配置clear类型无线服务高级信息,详细配置如下表所示.
(4)单击按钮完成操作.
1-11表1-4clear类型无线服务高级配置的详细配置配置项说明本地转发本地转发是一种在AP上完成客户端之间数据交互的转发模式.
在集中式WLAN架构中,AP会将客户端的数据报文透传给AC,由AC集中处理.
随着客户端速率的不断提高,AC的转发压力也随之增大.
采用本地转发后,AP直接转发客户端的数据,AC不再参与数据转发,大大减轻了AC的负担Enable:开启本地转发功能.
打开本地转发功能后,由AP进行数据帧的转发Disable:关闭本地转发功能.
关闭本地转发功能后,数据帧由AC转发本地转发VLAN同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN关联最大用户数在一个射频下,某个SSID下的关联客户端的最大个数当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏管理权限上线的客户端对设备WEB界面的管理权限Disable:表示上线的客户端对设备WEB界面没有管理权限Enable:表示上线的客户端对设备WEB界面有管理权限MACVLAN功能Enable:表示在指定无线服务下开启MACVLAN功能Disable:表示在指定无线服务下关闭MACVLAN功能开启MACVLAN是配置基于AP区分接入VLAN功能时,绑定VLANID操作前的一个必要的前提条件快速关联功能开启:开启快速关联功能关闭:关闭快速关联功能缺省情况下,快速关联功能处于关闭状态开启此功能后,设备不会对关联到此无线服务的客户端进行频谱导航和负载均衡计算3.
clear类型无线服务安全配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务安全配置页面.
1-12图1-13clear类型无线服务安全配置页面(3)配置clear类型无线服务安全信息,详细配置如下表所示.
(4)单击按钮完成操作.
1-13表1-5clear类型无线服务安全配置的详细配置配置项说明认证方式clear类型只能选择Open-System方式端口安全mac-authentication:对接入用户采用MAC地址认证mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.
1X认证;对于非802.
1X报文直接进行MAC地址认证.
对于802.
1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.
1X认证mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.
1X和MAC地址认证用户userlogin-secure:对接入用户采用基于MAC的802.
1X认证,此模式下,端口允许多个802.
1X认证用户接入,但只有一个用户在线userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.
1X认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.
1X认证,如果802.
1X认证失败再进行MAC地址认证userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.
1X和MAC地址认证用户userlogin-secure-ext:对接入用户采用基于MAC的802.
1X认证,且允许端口下有多个802.
1X用户由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:"userLogin"表示基于端口的802.
1X认证"mac"表示MAC地址认证"Else"之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为"Else"之后的认证方式"Or"连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.
1X认证方式携带"Secure"的userLogin表示基于MAC地址的802.
1X认证携带"Ext"表示可允许多个802.
1X用户认证成功,不携带则表示仅允许一个802.
1X用户认证成功最大用户数控制能够通过某端口接入网络的最大用户数当选择mac-authentication时,需要配置如下选项.
1-14图1-14mac-authentication端口安全配置页面表1-6mac-authentication端口安全配置的详细配置配置项说明端口模式mac-authentication:对接入用户采用MAC地址认证在导航栏中选择"无线服务>接入服务",单击按钮,输入客户端的MAC地址最大用户数控制能够通过某端口接入网络的最大用户数MAC认证选中"MAC认证"前的复选框域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域,否则会导致使用此无线服务的客户端下线当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项.
1-15图1-15userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)表1-7userlogin-secure/userlogin-secure-ext端口安全配置的详细配置配置项说明端口模式userlogin-secure:对接入用户采用基于MAC的802.
1X认证,此模式下,端口允许多个802.
1X认证用户接入,但只有一个用户在线userlogin-secure-ext:对接入用户采用基于MAC的802.
1X认证,且允许端口下有多个802.
1X用户最大用户数控制能够通过某端口接入网络的最大用户数域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线认证方法EAP:采用EAP认证方式.
采用EAP认证方式意味着设备直接把802.
1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证CHAP:采用CHAP认证方式.
缺省情况下,采用CHAP认证方式.
表示在网络上以明文方式传输用户名,以密文方式传输口令.
相比之下,CHAP认证保密性较好,更为安全可靠PAP:采用PAP认证方式.
PAP采用明文方式传送口令用户握手Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线.
缺省情况下,在线用户握手功能处于开启状态Disable:关闭在线用户握手功能1-16配置项说明多播触发Enable:开启802.
1X的组播触发功能,即周期性地向客户端发送组播触发报文.
缺省情况下,802.
1X的组播触发功能处于开启状态Disable:关闭802.
1X的组播触发功能对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能当选择其他四种端口安全时,需要配置如下选项.
图1-16四种端口安全配置页面(以mac-else-userlogin-secure为例)1-17表1-8其它四种端口安全配置的详细配置配置项说明端口模式mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.
1X认证;对于非802.
1X报文直接进行MAC地址认证.
对于802.
1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.
1X认证mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.
1X和MAC地址认证用户userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.
1X认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.
1X认证,如果802.
1X认证失败再进行MAC地址认证userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.
1X和MAC地址认证用户在导航栏中选择"无线服务>接入服务",单击按钮,输入客户端的MAC地址最大用户数控制能够通过某端口接入网络的最大用户数域名在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.
1X用户将被强制使用该认证域来进行认证、授权和计费设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域认证方法EAP:采用EAP认证方式.
采用EAP认证方式意味着设备直接把802.
1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证CHAP:采用CHAP认证方式.
缺省情况下,采用CHAP认证方式.
表示在网络上以明文方式传输用户名,以密文方式传输口令.
相比之下,CHAP认证保密性较好,更为安全可靠PAP:采用PAP认证方式.
PAP采用明文方式传送口令用户握手Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线.
缺省情况下,在线用户握手功能处于开启状态Disable:关闭在线用户握手功能多播触发Enable:开启802.
1X的组播触发功能,即周期性地向客户端发送组播触发报文.
缺省情况下,802.
1X的组播触发功能处于开启状态Disable:关闭802.
1X的组播触发功能对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能MAC认证选中"MAC认证"前的复选框1-18配置项说明域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线1.
2.
3配置crypto类型无线服务1.
crypto类型无线服务基本配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面.
图1-17crypto类型无线服务基本配置页面(3)配置crypto类型无线服务基本配置,详细配置请参见表1-3.
(4)单击按钮完成操作.
2.
crypto类型无线服务高级配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面.
1-19图1-18crypto类型无线服务高级配置页面(3)配置crypto类型无线服务高级信息,详细配置如下表所示.
(4)单击按钮完成操作.
表1-9crypto类型无线服务高级配置的详细配置配置项说明本地转发本地转发是一种在AP上完成客户端之间数据交互的转发模式.
在集中式WLAN架构中,AP会将客户端的数据报文透传给AC,由AC集中处理.
随着客户端速率的不断提高,AC的转发压力也随之增大.
采用本地转发后,AP直接转发客户端的数据,AC不再参与数据转发,大大减轻了AC的负担Enable:开启本地转发功能.
打开本地转发功能后,由AP进行数据帧的转发Disable:关闭本地转发功能.
关闭本地转发功能后,数据帧由AC转发本地转发VLAN同一个SSID下的客户端有可能属于不同的VLAN,在配置本地转发策略的时候需要考虑VLAN因素时,可以设置本地转发VLAN关联最大用户数在一个射频下,某个SSID下关联客户端的最大个数当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏PTK生存时间设置PTK的生存时间,PTK通过四次握手方式生成TKIP反制策略实施时间设置反制策略实施时间缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略MIC(MessageIntegrityCheck,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性.
当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击.
启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联1-20配置项说明管理权限上线的客户端对设备WEB界面的管理权限Disable:表示上线的客户端对设备WEB界面没有管理权限Enable:表示上线的客户端对设备WEB界面有管理权限MACVLAN功能Enable:表示在指定无线服务下开启MACVLAN功能Disable:表示在指定无线服务下关闭MACVLAN功能开启MACVLAN是配置基于AP区分接入VLAN功能时,绑定VLANID操作前的一个必要的前提条件快速关联功能开启:开启快速关联功能关闭:关闭快速关联功能缺省情况下,快速关联功能处于关闭状态开启此功能后,设备不会对关联到此无线服务的客户端进行频谱导航和负载均衡计算GTK更新方法GTK由AC生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端.
客户端使用GTK来解密组播和广播报文选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒客户端离线更新GTK启动当客户端离线时更新GTK的功能缺省情况下,客户端离线更新GTK的功能处于关闭状态3.
crypto类型无线服务安全配置(1)在界面左侧的导航栏中选择"无线服务>接入服务".
(2)在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如下图所示页面.
1-21图1-19crypto类型无线服务安全配置页面(3)配置crypto类型无线服务安全信息,详细配置如下表所示.
(4)单击按钮完成操作.
表1-10crypto类型无线服务安全配置的详细配置配置项说明认证方式Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制Open-SystemandShared-Key:可以同时选择使用Open-System和Shared-Key认证WEP加密方式可以分别和Opensystem、Sharedkey链路认证方式使用.
采用Opensystemauthentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃采用Sharedkeyauthentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络加密类型无线服务支持加密机制:AES-CCMP:一种基于AES加密算法的加密机制TKIP:一种基于RC4算法和动态密钥管理的加密机制AES-CCMPandTKIP:可以同时选择使用CCMP和TKIP加密安全IE无线服务类型(Beacon或者Proberesponse报文中携带对应的IE信息):WPA:在802.
11i协议之前,Wi-FiProtectedAccess定义的安全机制WPA2:802.
11i定义的安全机制,也就是RSN(RobustSecurityNetwork,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性WPAandWPA2:同时选择使用WPA和WPA21-22配置项说明WEP加密自动提供密钥使用自动提供WEP密钥方式开启:使用自动提供WEP密钥方式关闭:使用静态WEP密钥方式缺省情况下,使用静态WEP密钥方式选择自动提供WEP密钥方式后,"密钥类型"选项会自动使用WEP104加密方式自动提供WEP密钥必须和802.
1X认证方式一起使用配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生.
如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧.
如果不配置WEP密钥,则由设备随机生成组播密钥密钥类型WEP40:选择WEP40进行加密WEP104:选择WEP104进行加密WEP128:选择WEP128进行加密密钥ID1:选择密钥索引为12:选择密钥索引为23:选择密钥索引为34:选择密钥索引为4在WEP中有四个静态的密钥.
其密钥索引分别是1、2、3和4.
指定的密钥索引所对应的密钥将被用来进行帧的加密和解密长度选择WEP密钥长度当密钥类型选择WEP40时,可选的密钥长度5个字符(5AlphanumericChars)或者10位16进制数(10HexadecimalChars)当密钥类型选择WEP104时,可选的密钥长度13个字符(13AlphanumericChars)或者26位16进制数(26HexadecimalChars)当密钥类型选择WEP128时,可选的密钥长度16个字符(16AlphanumericChars)或者32位16进制数(32HexadecimalChars)密钥配置WEP密钥端口安全请参见表1-5"认证方式"、"加密类型"等参数直接决定了端口模式的可选范围,具体请参见表1-13在选则"加密类型"后,增加以下四种端口安全模式:macandpsk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-SharedKey,预共享密钥)与设备进行协商,协商成功后可访问端口userlogin-secure-ext:对接入用户采用基于MAC的802.
1X认证,且允许端口下有多个802.
1X用户当选择macandpsk时,需要配置如下选项.
1-23图1-20macandpsk端口安全配置页面表1-11macandpsk端口安全配置的详细配置配置项说明端口模式macandpsk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口在导航栏中选择"无线服务>接入服务",单击按钮,输入客户端的MAC地址最大用户数控制能够通过某端口接入网络的最大用户数MAC认证选中"MAC认证"前的复选框域名在下拉框中选择已存在的域设备的缺省域为"system".
在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以新建域需要注意的是:在该选项中选择的域名仅对此无线服务生效在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线域共享密钥pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串.
raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数.
当选择psk时,需要配置如下选项.
1-24图1-21psk端口安全配置页面表1-12psk端口安全配置的详细配置配置项说明端口模式psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-SharedKey,预共享密钥)与设备进行协商,协商成功后可访问端口最大用户数控制能够通过某端口接入网络的最大用户数域共享密钥pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串.
raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数.
当选择userlogin-secure-ext时,需要配置的选项如表1-7所示.
1.
2.
4安全参数关系表clear类型和crypto类型无线服务类型下,各参数之间的关系:表1-13安全参数关系表服务类型认证方式加密类型安全IEWEP加密/密钥ID端口模式clearOpen-System不可选不可选不可选mac-authenticationmac-else-userlogin-securemac-else-userlogin-secure-extuserlogin-secureuserlogin-secure-extuserlogin-secure-or-macuserlogin-secure-or-mac-extcryptoOpen-System选择必选WEP加密可选/密钥ID可选234macandpskpskuserlogin-secure-ext不选择不可选WEP加密必选/密钥ID可选123mac-authenticationuserlogin-secureuserlogin-secure-ext1-25服务类型认证方式加密类型安全IEWEP加密/密钥ID端口模式Shared-Key不可选不可选WEP加密必选/密钥ID可选1234mac-authenticationOpen-SystemandShared-Key选择必选WEP加密必选/密钥ID可选1234macandpskpskuserlogin-secure-ext不选择不可选WEP加密必选/密钥ID可选1234mac-authenticationuserlogin-secureuserlogin-secure-ext1.
2.
5开启无线服务(1)在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
图1-22开启无线服务(2)选中需要开启的无线服务前的复选框.
(3)单击按钮完成操作.
1.
2.
6绑定AP的射频1.
绑定AP的射频(1)在导航栏中选择"无线服务>接入服务".
(2)在列表里查找到需要绑定的无线服务,单击对应的图标,进入下图所示页面.
1-26图1-23绑定AP的射频(3)选中需要绑定的AP射频前的复选框.
(4)单击按钮完成操作.
2.
绑定VLAN通过不同的SSID区分不同服务的业务流.
而通过AP来区分不同的地点,地点不同用户所能接入的服务不同.
当客户端在不同的AP间漫游时,可以通过区分接入的AP来享受不同的服务.
具体要求为:同属于一个SSID的用户在不同AP接入时可以根据配置情况决定所属的VLAN;用户在漫游时,接入所属的VLAN一直保持不变;在AC间漫游时,如果本AC没有该VLAN出口,则要求能够在漫游组内找到HA,将报文通过HA送出,保证报文不间断.
1-27图1-24基于AP区分接入VLAN示意图上图中,Client1在AP1处上线,所属的VLAN为VLAN3.
漫游期间(包括AC内的漫游,AC间的漫游),Client1的VLAN一直保持不变.
AC间漫游时,如果FA(即AC2)有该VLAN的出口,则在该AC送出报文,如果FA没有该VLAN的出口,报文通过DATATUNNEL送到HA(即AC1)后送出.
Client2在AP4上线,所属的VLAN为VLAN2,表示在不同的AP上线后分配的VLAN不同.
(1)在导航栏中选择"无线服务>接入服务".
(2)在列表里查找到需要绑定的无线服务,单击对应的图标,进入图1-23所示绑定AP的射频页面.
(3)选择需要绑定的AP射频模式,选中前面的复选框.
(4)在绑定VLAN输入框中输入需要绑定的VLAN.
(5)单击按钮完成操作.
1.
2.
7开启射频(1)在界面左侧的导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
上线上线1-28图1-25开启射频(2)选中需要开启的射频模式前的复选框.
(3)单击按钮,弹出配置过程对话框.
(4)单击按钮,完成操作.
1.
2.
8显示无线服务的详细信息1.
clear类型无线服务的详细信息(1)在界面左侧的导航栏中选择"无线服务>接入服务",进入接入服务配置页面.
(2)点击指定的clear类型无线服务后,如下图所示,可以查看相关的详细信息.
图1-26clear类型无线服务的详细信息1-29表1-14clear类型无线服务显示信息描述表配置项说明ServiceTemplateNumber当前无线服务号SSIDServiceSetIdentifier,表示设置的服务集识别码BindingInterface同服务模板绑定的WLAN-ESS接口ServiceTemplateType服务模版类型AuthenticationMethod使用的认证类型,clear类型的无线服务只能使用OpenSystem(开放系统认证)方式SSID-hideDisable:启用SSID通告Enable:禁用SSID通告.
SSID隐藏后,AP发送的信标帧里面不包含SSID信息BridgeMode转发方式:LocalForwarding:使用本地转发转发方式RemoteForwarding:使用AC远端转发方式ServiceTemplateStatus服务模板状态:Enable:无线服务处于开启状态Disable:无线服务处于关闭状态MaximumclientsperBSS一个BSS中能够连接的最大客户端数2.
crypto类型无线服务的详细信息(1)在界面左侧的导航栏中选择"无线服务>接入服务",进入接入服务配置页面.
(2)点击指定的crypto类型无线服务后,如下图所示,可以查看相关的详细信息.
1-30图1-27crypto类型无线服务的详细信息表1-15crypto类型无线服务显示信息描述表配置项说明ServiceTemplateNumber当前无线服务号SSIDServiceSetIdentifier,表示设置的服务集识别码BindingInterface同服务模板绑定的WLAN-ESS接口ServiceTemplateType服务模版类型SecurityIE安全IE:WPA或WPA2AuthenticationMethod使用的认证类型:OpenSystem(开放系统认证)或者SharedKey(共享密钥认证);SSID-hideDisable:启用SSID通告Enable:禁用SSID通告.
SSID隐藏后,AP发送的信标帧里面不包含SSID信息CipherSuite加密套件:CCMP、TKIP、WEP40/WEP104/WEP128WEPKeyIndex加密或解密帧的密钥索引WEPKeyModeWEP密钥模式:HEX:WEP密钥为16进制数的形式ASCII:WEP密钥为字符串的形式WEPKeyWEP密钥1-31配置项说明TKIPCountermeasureTime(s)TKIP反制策略时间,单位为秒PTKLifeTime(s)PTK生存时间,单位为秒GTKRekeyGTK密钥更新配置GTKRekeyMethodGTK密钥更新方法:基于包或基于时间GTKRekeyTime(s)当选择基于时间的GTK密钥更新方法时,显示GTK密钥更新时间,单位为秒当选择基于包的GTK密钥更新方法时,显示数据包的数目BridgeMode转发方式:LocalForwarding:使用本地转发转发方式RemoteForwarding:使用AC远端转发方式ServiceTemplateStatus服务模板状态:Enable:无线服务处于开启状态Disable:无线服务处于关闭状态MaximumclientsperBSS一个BSS中能够连接的最大客户端数1.
3无线接入配置举例1.
3.
1无线服务典型配置举例1.
组网需求某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公.
具体要求如下:AP通过二层交换机与AC相连.
AP的序列ID为210235A29G007C000020,使用手工输入序列号方式.
AP提供SSID为service1的明文方式的无线接入服务.
采用802.
11n(2.
4GHz)射频模式.
图1-28无线服务组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
1-32设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图1-29创建AP(2)配置无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"service1".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
图1-30创建无线服务步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
选中"service1"前的复选框.
单击按钮完成操作.
1-33图1-31开启无线服务(3)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"service1"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮完成操作.
图1-32绑定AP的射频(4)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮完成操作.
1-34图1-33开启802.
11n(2.
4GHz)射频3.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",进入如下图所示页面,可以查看到成功上线的客户端.
图1-34查看成功上线的客户端4.
配置注意事项配置无线服务前需要选择正确的区域码.
1-351.
3.
2AP自动发现典型配置举例1.
组网需求网络中可能存在多个AP,为了避免多次配置大量的AP序列号,使用AP自动发现功能使AP和AC建立隧道,并要求客户端通过下列方式接入无线网络.
AP提供SSID为service1的明文方式的无线接入服务.
采用802.
11n(2.
4GHz)射频模式.
图1-35AP自动发现组网图2.
配置AC(1)创建AP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入如下图所示AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"自动".
步骤4:单击按钮完成操作.
图1-36创建AP(2)配置无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示设置无线服务名称为"service1".
选择无线服务类型为"clear".
1-36步骤4:单击按钮完成操作.
图1-37创建无线服务步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤6:选中"service1"前的复选框,步骤7:单击按钮完成操作.
图1-38开启无线服务(3)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"service1"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮完成操作.
1-37图1-39绑定AP的射频步骤5:在导航栏中选择"AP>AP设置",查看AP状态,发现AP处于"空闲"状态.
图1-40查看AP状态(4)开启自动AP设置步骤1:在导航栏中选择"AP>自动AP设置",进入如下图所示自动AP设置页面.
步骤2:选择"开启"自动AP设置.
步骤3:单击按钮完成操作.
图1-41自动AP设置1-38步骤4:开启自动AP后,单击按钮,可以查询到自动发现的AP.
图1-42查询到自动发现的AP(5)重命名AP如果不需要修改自动发现的AP名,则直接选中"AP名称"前的复选框,单击按钮完成操作.
如果需要修改自动发现的AP名,可以按照以下步骤完成AP重命名.
步骤1:在界面左侧的导航栏中选择"AP>自动AP设置".
步骤2:点击0026-3e08-1140对应栏中的图标,进入如下图所示自动AP设置页面.
选中"重命名AP"前的复选框,输入"ap1".
步骤3:单击按钮完成操作.
图1-43修改AP名称步骤4:在导航栏中选择"AP>AP设置",可以查看到修改后的固定AP.
图1-44查看AP(6)开启802.
11n(2.
4GHz)射频1-39步骤1:在导航栏中选择"射频>射频设置".
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,并选中其复选框.
步骤3:单击按钮完成操作.
3.
验证配置结果(1)开启射频后,在导航栏中选择"AP>AP设置",可以查看到AP处于Run状态.
(2)客户端可以成功关联AP,并且可以访问无线网络.
(3)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
图1-45查看成功上线的客户端4.
配置注意事项配置AP自动发现功能需要注意如下事项:选择正确的区域码.
在本例中,开启射频应该选择转换后的AP(举例中的ap1),而不是自动AP的射频(举例中的ap).
如果先开启自动AP的射频,则以自动发现方式关联的AP也都完成开启射频.
1.
3.
3802.
11n典型配置举例1.
组网需求某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.
11n无线网络.
具体要求如下:AP提供SSID为11nservice的明文方式的无线接入服务.
为了保护现有投资,兼容现有的802.
11g无线网络,采用802.
11gn射频模式.
1-40图1-46802.
11n组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置.
设置AP名称为"11nap".
选择型号为"WA2610E-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
(2)创建无线服务.
步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入接入服务新建页面.
步骤3:进行如下配置.
设置无线服务名称为"11nservice".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入接入服务配置页面.
步骤6:选中"11nservice"前的复选框,步骤7:单击按钮完成操作.
(3)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"11nservice"对应的图标.
步骤3:选中"11nap"前的复选框.
步骤4:单击按钮完成操作.
(4)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"11nap"前的复选框.
步骤3:单击按钮完成操作.
3.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1-41图1-47查看成功上线的客户端从上图中可以看到,0014-6c8a-43ff是802.
11g用户,001c-f0bf-9c92是802.
11n用户,因为本例中没有对用户类型进行限制,所以802.
11g、802.
11n用户都可以接入无线网络.
如果开启了"只允许11n用户接入",那么只有001c-f0bf-9c92用户才能接入无线网络.
4.
配置注意事项配置802.
11n需注意如下事项:在导航栏中选择"射频>射频设置",选择需要配置的AP的射频单元,单击图标进入射频配置页面可以修改关于802.
11n的相关参数,包括带宽模式、A-MPDU、A-MSDU、shortGI和允许11n用户接入情况.
在导航栏中选择"射频>速率设置",可以修改802.
11n的速率.
1.
3.
4WPA-PSK认证典型配置举例1.
组网需求要求客户端使用WPA-PSK方式接入无线网络,客户端的PSK密钥配置与AP端相同,为12345678.
图1-48PSK认证配置组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
1-42图1-49创建AP(2)创建无线服务.
步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"psk".
选择无线服务类型为"crypto".
步骤4:单击按钮完成操作.
图1-50创建无线服务(3)配置WPA-PSK认证创建无线服务后,直接进入配置无线服务界面.
步骤1:PSK认证需要在"安全设置"部分进行如下配置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"加密类型"前的复选框,选择"AES-CCMPandTKIP"加密类型(请根据实际情况,选择需要的加密类型),选择"WPA"安全IE.
选中"端口设置"前的复选框,在端口模式的下拉框中选择"psk"方式.
在PSK预共享密钥下拉框里选择"pass-phrase",输入密钥"12345678".
步骤2:单击按钮完成操作.
1-43图1-51配置无线服务步骤3:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤4:选中"psk"前的复选框.
步骤5:单击按钮完成操作.
图1-52开启无线服务(4)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务psk对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
1-44步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-53绑定AP的射频(5)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-54开启802.
11n(2.
4GHz)射频3.
配置无线客户端打开无线客户端,刷新网络列表,在"选择无线网络"列表里找到配置的网络服务(此例中为psk),单击,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如下图所示.
1-45图1-55配置无线客户端客户端配置相同的PSK预共享密钥,客户端可以成功关联AP.
图1-56客户端成功关联AP4.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
5MAC地址本地认证配置举例1.
组网需求无线控制器AC与二层交换机建立连接.
AP通过二层交换机与AC建立连接,并且AP和AC在同一网络.
要求使用客户端使用MAC地址本地认证方式接入无线网络.
1-46图1-57MAC地址本地认证配置组网图2.
配置AC(1)创建AP.
步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤3:单击按钮完成操作.
图1-58创建AP(2)创建无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"mac-auth".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
1-47图1-59创建无线服务(3)配置MAC本地认证创建无线服务后,直接进入配置无线服务界面.
步骤1:MAC地址本地认证需要对"安全设置"部分进行配置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"端口设置"前的复选框,在端口模式的下拉框中选择"mac-authentication"方式.
选中"MAC认证"前的复选框,在域名下拉框中选择"system"(在界面左侧的导航栏中选择"认证>AAA",选择"域设置"页签,在域名下拉输入框中可以创建新的域).
步骤2:单击按钮完成操作.
1-48图1-60配置无线服务步骤3:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤4:选中"mac-auth"前的复选框.
步骤5:单击按钮完成操作.
图1-61开启无线服务(4)配置MAC认证列表步骤1:在导航栏中选择"无线服务>接入服务".
1-49步骤2:单击按钮.
步骤3:进入如下图所示页面,在MAC地址栏里添加本地接入用户,本例中为"0014-6c8a-43ff".
步骤4:单击按钮完成操作.
图1-62添加MAC认证列表(5)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"mac-auth"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-63绑定AP的射频(6)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
1-50步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-64开启802.
11n(2.
4GHz)射频3.
配置无线客户端打开无线客户端,刷新网络列表,在"选择无线网络"列表里找到配置的网络服务(此例中为mac-auth),单击按钮,如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络.
图1-65配置无线客户端1-514.
验证配置结果(1)客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
6远程MAC地址认证配置举例1.
组网需求要求无线客户端使用远程MAC地址认证方式接入无线网络.
一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上需要添加Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
AC的IP地址为10.
18.
1.
1,在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名.
图1-66远程MAC地址认证配置组网图2.
配置AC(1)配置AC的接口IP地址在AC上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置RADIUS方案步骤1:在导航栏中选择"认证>RADIUS".
步骤2:单击按钮,进行RADIUS方案配置页面.
步骤3:进行如下配置,如下图所示.
在RADIUS服务器配置中增加如下图所示的两个服务器,其中密钥为"expert".
输入方案名称为"system".
选择服务类型为"Extended".
选择用户名格式为"不带域名".
步骤4:单击按钮完成操作.
1-52图1-67配置RADIUS(3)配置AAA步骤1:创建ISP域.
在导航栏中选择"认证>AAA",默认进入"域设置"页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域).
步骤2:配置ISP域的AAA认证方案.
单击"认证"页签.
步骤3:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access认证"前的复选框,选择认证方式为"RADIUS".
选择认证方案名称为"system".
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-53图1-68配置ISP域的AAA认证方案步骤6:配置ISP域的AAA授权方案.
单击"授权"页签.
步骤7:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access授权"前的复选框,选择授权方式为"RADIUS".
选择授权方案名称为"system".
步骤8:单击按钮,弹出配置进度对话框.
步骤9:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-69配置ISP域的AAA授权方案步骤10:配置ISP域的AAA计费方案.
单击"计费"页签.
步骤11:进行如下配置,如下图所示.
选择域名为"system".
选中"计费可选开关"前的复选框,选择"Enable".
选中"LAN-access计费"前的复选框,选择计费方式为"RADIUS".
1-54选择计费方案名称为"system".
步骤12:单击按钮,弹出配置进度对话框.
步骤13:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-70配置ISP域的AAA计费方案(4)创建AP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图1-71创建AP(5)创建无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
1-55步骤3:进行如下配置,如下图所示.
设置无线服务名称为"mac-auth".
选择无线服务类型为"clear".
步骤4:单击按钮完成操作.
图1-72创建无线服务(6)配置MAC地址认证创建无线服务后,直接进入配置无线服务界面.
步骤1:配置MAC地址认证需要对"安全设置"部分进行设置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"端口设置"前的复选框,在端口模式的下拉框中选择"mac-authentication"方式.
选中"MAC认证"前的复选框,在域名下拉框中选择"system".
步骤2:单击按钮,弹出配置进度对话框.
步骤3:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-56图1-73安全设置步骤4:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤5:选中"mac-auth"前的复选框.
步骤6:单击按钮,弹出配置进度对话框.
步骤7:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-74开启无线服务(7)绑定AP的射频1-57步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"mac-auth"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-75绑定AP的射频(8)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-76开启802.
11n(2.
4GHz)射频1-583.
配置RADIUSserver(iMCV3)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
(1)增加接入设备.
步骤1:在iMC管理平台选择"业务"页签.
步骤2:单击导航树中的"接入业务/接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert;设置认证及计费的端口号分别为1812和1813;选择协议类型为LAN接入业务;选择接入设备类型为H3C;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
步骤5:单击按钮完成操作.
图1-77增加接入设备(2)增加服务配置.
步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击按钮,进入增加接入设备页面.
步骤4:设置服务名为mac,其他保持缺省配置.
步骤5:单击按钮完成操作.
1-59图1-78增加服务配置页面(3)增加接入用户.
步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户名00146c8a43ff;添加帐号名和密码为00146c8a43ff;选中刚才配置的服务mac.
步骤5:单击按钮完成操作.
图1-79增加接入用户4.
配置RADIUSserver(iMCV5)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0、iMCUAM5.
0),说明RADIUSserver的基本配置.
1-60(1)增加接入设备步骤1:在iMC管理选择"业务"页签.
步骤2:单击导航树中的"接入业务>接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert,其它保持缺省配置;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
步骤5:单击按钮完成操作.
图1-80增加接入设备(2)增加服务配置步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击按钮,进入增加接入设备页面.
步骤4:设置服务名为mac,其它保持缺省配置.
步骤5:单击按钮完成操作.
1-61图1-81增加服务配置页面(3)增加接入用户步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户00146c8a43ff;添加帐号名和密码为00146c8a43ff;选中刚才配置的服务mac.
步骤5:单击按钮完成操作.
1-62图1-82增加接入用户5.
验证结果(1)客户端不需要用户手动输入用户名或者密码.
该客户端通过MAC地址认证后,可以通过访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
7远程802.
1X认证配置举例1.
组网需求要求无线客户端使用远程802.
1X认证方式接入无线网络.
一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
AC的IP地址为10.
18.
1.
1.
在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名.
1-63图1-83远程802.
1X认证配置组网图2.
配置步骤(1)配置AC的接口IP地址在AC上创建VLAN(在导航栏中选择"网络>VLAN",进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择"设备>接口管理",进入页面后可以配置VLAN的IP地址).
(2)配置RADIUS方案步骤1:在导航栏中选择"认证>RADIUS".
步骤2:单击按钮,进行RADIUS方案配置页面.
步骤3:进行如下配置,如下图所示.
在RADIUS服务器配置中增加如下图所示的两个服务器,其中密钥为"expert".
输入方案名称为"system".
选择服务类型为"Extended".
选择用户名格式为"不带域名".
步骤4:单击按钮完成操作.
1-64图1-84配置RADIUS(3)配置AAA步骤1:创建ISP域.
在导航栏中选择"认证>AAA",默认进入"域设置"页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域).
步骤2:配置ISP域的AAA认证方案.
单击"认证"页签.
步骤3:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access认证"前的复选框,选择认证方式为"RADIUS".
选择认证方案名称为"system".
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-65图1-85配置ISP域的AAA认证方案步骤6:配置ISP域的AAA授权方案.
单击"授权"页签.
步骤7:进行如下配置,如下图所示.
选择域名为"system".
选中"LAN-access授权"前的复选框,选择授权方式为"RADIUS".
选择授权方案名称为"system".
步骤8:单击按钮,弹出配置进度对话框.
步骤9:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-86配置ISP域的AAA授权方案步骤10:配置ISP域的AAA计费方案.
单击"计费"页签.
步骤11:进行如下配置,如下图所示.
选择域名为"system".
选中"计费可选开关"前的复选框,选择"Enable".
选中"LAN-access计费"前的复选框,选择计费方式为"RADIUS".
1-66选择计费方案名称为"system".
步骤12:单击按钮,弹出配置进度对话框.
步骤13:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-87配置ISP域的AAA计费方案(4)创建AP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"ap".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图1-88创建AP(5)创建无线服务步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
1-67步骤3:进行如下配置,如下图所示.
设置无线服务名称为"dot1x".
选择无线服务类型为"crypto".
步骤4:单击按钮完成操作.
图1-89创建无线服务(6)配置802.
1x认证创建无线服务后,直接进入配置无线服务界面.
步骤1:802.
1x认证需要对"安全设置"部分如下配置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"加密类型"前的复选框,在加密类型下拉框中选择"AES-CCMP",在安全IE下拉框中选择"WPA2".
选中"端口设置"前的复选框,在端口模式的下拉框中选择"userlogin-secure-ext"方式.
选中"域名"前的复选框,在域名下拉框中选择"system".
在认证方法下拉框中选择"EAP".
建议关闭用户握手和多播触发.
步骤2:单击按钮,弹出配置进度对话框.
步骤3:在配置进行过程中,会弹出对话框询问是否继续使能EAP认证,此时单击按钮.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作.
1-68图1-90安全设置步骤5:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤6:选中"dot1x"前的复选框.
步骤7:单击按钮完成操作.
图1-91开启无线服务(7)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"dot1x"对应的图标,进入如下图所示页面.
1-69步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮,弹出配置进度对话框.
步骤5:看到配置成功的提示后,在对话框中单击按钮完成操作.
图1-92绑定AP的射频(8)开启802.
11n(2.
4GHz)射频步骤1:在导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
步骤2:在列表里找到需要开启的AP名称及相应的射频模式,选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤3:单击按钮,弹出配置进度对话框.
步骤4:看到配置成功的提示后,在对话框中单击按钮完成操作完成操作.
图1-93开启802.
11n(2.
4GHz)射频1-703.
配置RADIUSserver(iMCV3)下面以iMC为例(使用iMC版本为:iMCPLAT3.
20-R2602、iMCUAM3.
60-E6102),说明RADIUSserver的基本配置.
(1)增加接入设备.
步骤1:在iMC管理平台,选择"业务"页签.
步骤2:单击导航树中的"接入业务>接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert;设置认证及计费的端口号分别为1812和1813;选择协议类型为LAN接入业务;选择接入设备类型为H3C;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备.
步骤5:单击按钮完成操作.
图1-94增加接入设备(2)增加服务配置.
步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置服务名为dot1x.
选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证.
步骤5:单击按钮完成操作.
1-71图1-95增加服务配置页面(3)增加接入用户.
步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户名user;添加帐号名为user,密码为dot1x;选中刚才配置的服务dot1x.
步骤5:单击按钮完成操作.
1-72图1-96增加接入用户4.
配置RADIUSserver(iMCV5)下面以iMC为例(使用iMC版本为:iMCPLAT5.
0、iMCUAM5.
0),说明RADIUSserver的基本配置.
(1)增加接入设备步骤1:在iMC管理平台选择"业务"页签.
步骤2:单击导航树中的"接入业务>接入设备配置"菜单项,进入接入设备配置页面.
步骤3:在接入设备页面中单击按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置认证、计费共享密钥为expert,其它保持缺省配置;选择或手工增加接入设备,添加IP地址为10.
18.
1.
1的接入设备步骤5:单击按钮完成操作.
1-73图1-97增加接入设备(2)增加服务配置步骤1:选择"业务"页签.
步骤2:单击导航树中的"接入业务>服务配置管理"菜单项,进入增加服务配置页面.
步骤3:在服务配置页面中单击"增加"按钮,进入增加接入设备页面.
步骤4:进行如下配置,如下图所示.
设置服务名为dot1x;选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证.
步骤5:单击按钮完成操作.
1-74图1-98增加服务配置页面(3)增加接入用户步骤1:选择"用户"页签.
步骤2:单击导航树中的"接入用户视图>所有接入用户"菜单项,进入用户页面.
步骤3:在该页面中单击按钮,进入增加接入用户页面.
步骤4:进行如下配置,如下图所示.
添加用户user;添加帐号名为user,密码为dot1x;选中刚才配置的服务dot1x.
步骤5:单击按钮完成操作.
1-75图1-99增加接入用户(4)配置无线网卡选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击"属性",去掉验证服务器证书选项(此处不验证服务器证书),点击"配置",去掉自动使用windows登录名和密码选项.
然后"确定".
整个过程如下图所示.
1-76图1-100无线网卡配置过程1-77图1-101无线网卡配置过程1-78图1-102无线网卡配置过程5.
验证结果(1)在客户端弹出的对话框中输入用户名user和密码dot1x.
客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
1.
3.
8自动提供WEP密钥-802.
1X认证配置举例1.
组网需求要求使用客户端使用远程自动提供WEP密钥-802.
1X认证方式接入无线网络.
一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责).
在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为"expert",RADIUS服务器IP地址为10.
18.
1.
88.
AC的IP地址为10.
18.
1.
1.
在AC上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名.
1-79图1-103自动提供WEP密钥-802.
1X配置组网图2.
配置AC(1)配置AC的接口IP地址请参考"1.
3.
72.
(1)配置AC的接口IP地址"部分.
(2)配置RADIUS方案请参考"1.
3.
72.
(2)配置RADIUS方案"部分.
(3)配置AAA请参考"1.
3.
72.
(3)配置AAA"部分.
(4)配置AP请参考"1.
3.
72.
(4)创建AP"部分.
(5)创建无线服务.
步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击按钮,进入无线服务新建页面.
步骤3:进行如下配置,如下图所示.
设置无线服务名称为"dot1x".
选择无线服务类型为"crypto".
步骤4:单击按钮完成操作.
图1-104创建无线服务(6)配置802.
1x认证创建无线服务后,直接进入配置无线服务界面.
步骤1:802.
1x认证需要对"安全设置"部分进行设置,如下图所示.
在"认证方式"下拉框中选择"Open-System".
选中"WEP加密"前的复选框,在自动提供密钥下拉框中选择"开启".
1-80选中"端口设置"前的复选框,在端口模式的下拉框中选择"userlogin-secure-ext"方式.
选中"域名"前的复选框,在域名下拉框中选择"system".
在认证方法下拉框中选择"EAP".
建议关闭用户握手和多播触发.
步骤2:单击按钮完成操作.
图1-105安全设置步骤3:开启无线服务.
在导航栏中选择"无线服务>接入服务",进入如下图所示页面.
步骤4:选中"dot1x"前的复选框.
步骤5:单击按钮完成操作.
1-81图1-106开启无线服务(7)绑定AP的射频步骤1:在导航栏中选择"无线服务>接入服务".
步骤2:单击无线服务"dot1x"对应的图标,进入如下图所示页面.
步骤3:选中"ap802.
11n(2.
4GHz)"前的复选框.
步骤4:单击按钮完成操作.
图1-107绑定AP的射频(8)开启802.
11n(2.
4GHz)射频请参考"1.
3.
72.
(8)开启802.
11n(2.
4GHz)射频"部分.
(9)配置RADIUSserver(iMC)请参考"1.
3.
73.
配置RADIUSserver(iMCV3)"部分.
3.
配置RADIUSserver(iMCV5)请参考"1.
3.
73.
配置RADIUSserver(iMCV5)"部分.
1-824.
配置无线客户端双击桌面的右下角图标,在弹出"无线网络连接状态"窗口上点击"属性",在弹出的属性页面中单击按钮,选择关联页签,添加名为"dot1x"的SSID,并确保选择了"自动为我提供此密钥(H)".
图1-108无线网卡配置过程(关联对话框)在验证页签中,选择EAP类型为"受保护的EAP(PEAP)",点击"属性",取消"验证服务器证书(V)"(此处不验证服务器证书),点击"配置",取消"自动使用windows登录名和密码(以及域,如果有的话)(A)".
然后单击按钮完成客户端操作.
1-83图1-109无线网卡配置过程(验证对话框)1-84图1-110无线网卡配置过程1-85图1-111无线网卡配置过程5.
验证结果(1)在客户端弹出的对话框中输入用户名user和密码dot1x.
客户端可以成功关联AP,并且可以访问无线网络.
(2)在导航栏中选择"概览>客户端",可以查看到成功上线的客户端.
2-12Mesh服务Mesh服务的支持情况与设备的型号相关,无线控制产品各型号的支持情况请参见"特性差异列表"的"特性差异情况"部分的介绍.
无线Mesh网络是一种新的无线局域网类型.
与传统的WLAN不同的是,无线Mesh网络中的AP是无线连接的,而且AP间可以建立多跳的无线链路.
无线Mesh网络只是对骨干网进行了变动,和传统的WLAN没有任何区别.
2.
1Mesh服务简介2.
1.
1基本概念图2-1典型无线Mesh组网无线Mesh主要包含如下概念.
表2-1无线Mesh网络中概念概念描述AccessController(AC)一个接入控制器可以控制和管理WLAN内所有的APMeshPoint(MP)通过无线与MPP连接的,但是不可以接入Client的无线接入点MeshAccessPoint(MAP)同时提供Mesh服务和接入服务的接入点2-2概念描述MeshPortalPoint(MPP)通过有线与AC连接的无线接入点Mesh链路由一系列Mesh连接级联成的无线链路2.
1.
2无线Mesh的优点无线Mesh技术使得管理员可以轻松的部署质优价廉的无线局域网.
无线Mesh网络的优点包括:高性价比:Mesh网络中,只有MPP需要接入到有线网络,对有线的依赖程度被降到了最低程度,省却了购买大量有线设备以及布线安装的投资开销.
可扩展性强.
Mesh网络中AP之间能自动相互发现并发起无线连接建立,如果需要向网络中增加新的AP节点,只需要将新增节点安装并进行相应的配置.
部署快捷:组建Mesh网络,除MPP外的其它AP均不需要走线接入有线网络,和传统WLAN网络相比,大大缩短组建周期.
应用场景广.
Mesh网络除了可以应用于企业网、办公网、校园网等传统WLAN网络常用场景外,还可以广泛应用于大型仓库、港口码头、城域网、轨道交通、应急通信等应用场景.
高可靠性.
传统WLAN网络模式下,一旦某个AP上行有线链路出现故障,则该AP所关联的所有客户端均无法正常接入WLAN网络.
而Mesh网络中各AP之间实现的是全连接,由某个MeshAP至portal节点(有线网络)通常有多条可用链路,可以有效避免单点故障.
2.
1.
3无线Mesh网络的部署无线Mesh网络主要包括两种应用,一种是普通环境里无线Mesh的组网,一种是地铁隧道里无线Mesh的组网.
1.
普通无线Mesh网络部署(1)普通FITMP场景2-3图2-2普通FITMP场景如上图所示,两个Mesh网络由一个AC管理.
其中,至少一个MPP需要与AC建立有线连接.
一个MP启动后,它首先扫描附近的网络,然后与所有检测到的MP建立临时连接.
通过这种连接,MP可以与AC联系,并下载配置.
完成配置文件的下载后,MP会与享有相同预共享密钥的邻居建立安全的连接.
(2)拥有两个Radio的FITMP,两个Radio分别在不同的Mesh网络2-4图2-3两个Radio分别在不同的Mesh网络如上图所示,为了使Mesh1和Mesh2网络不产生干扰,可以采用一个拥有两个Radio的MP,两个Radio分别在不同的Mesh网络.
在这种组网里,两个Mesh网络必须由同一个AC管理.
(3)拥有两个Radio的FITMP,两个Radio在相同的Mesh网络如下图所示,MP1的Radio1通过MPP加入Mesh网络,此时在MP1上,只有Radio1能提供下游MP的接入功能.
Radio2并不能自动接入这个Mesh网络,提供Mesh服务.
图2-4两个Radio分别在不同的Mesh网络如果MP支持三频,在这种情况下,可以把Radio1设为上行链路接口,Radio2设为下行链路接口,Radio3作为覆盖天线.
为了利用各MP上的两个相同的Radio资源,可以使用如下图所示的组网方式,在这种组网方式下,当MP1的Radio1接入Mesh网络时,MP1上的Radio2也能够自动加入这个Mesh网络.
这种组网方式需要将加入到同一Mesh网络的各Radio应用到相同的Mesh服务.
具体配置可以参考"2.
3.
4Mesh支持三频配置举例".
2-5图2-5两个Radio在相同的Mesh网络2.
地铁无线Mesh网络部署地铁是现代城市里不可缺少的交通工具.
在一个地铁系统里,控制信息和多媒体信息需要实时的传递给快速移动的列车,从而有效的控制列车的运行,并且为乘客提供多种网络服务.
如下图所示,一个地铁无线Mesh网络里,轨旁MP(FitMP)受AC集中管理,多个轨旁MP沿轨道进行部署.
车载MP(FatMP)不停扫描新的轨旁MP,并选择信号质量最好的多个轨旁MP与之建立Mesh备份链路,主Mesh连接用于车载MP与轨旁有线网络之间的数据传输,Mesh备份链路连接用于Mesh连接的切换备份.
图2-6地铁无线Mesh网络部署为了实现地铁无线Mesh网络的部署,H3C开发了一种私有协议,叫做移动链路切换协议(MobileLinkSwitchProtocol).
它负责在列车移动过程中的活跃链路切换,并保证报文不丢失.
车载MP和轨旁MP之间用于链路建立和通信的下层协议遵循最新的IEEE802.
11s标准.
车载MP不要求担当认证者的角色.
2.
1.
4无线Mesh安全由于传输媒质的开放性,无线网络很容易遭受非法攻击,Mesh网络的多跳性带来了新的安全挑战,无线Mesh安全成为WLANMesh网络的重要组成部分,它主要包括用于加密的算法,密钥的管理和分发等内容.
目前提供PSK+CCMP的方式进行Mesh安全连接.
2-62.
1.
5MLSP介绍为了保证数据传输,在任何时间点,一个车载MP都要有一条活跃链路.
MLSP就是用来在列车移动过程中,完成创建和切换链路任务的.
如下图所示,当列车移动时,车载MP会不断建立新的活跃链路.
图2-7MLSP示意图活跃链路:传递来自或者到达车载MP的所有数据.
备份链路:不传递数据,但是它具备成为活跃链路的所有条件.
1.
MLSP的优点(1)链路切换时间小于30毫秒.
(2)在高功率导致设备饱和的情况下,MLSP仍能正常工作.
(3)链路切换过程中,报文不丢失.
2.
MLSP工作过程MLSP为车载MP建立多条链路,从而提供链路备份,确保良好的网络性能,并增强网络的健壮性.
MLSP使用下面四个参数来决定是否进行活跃链路切换:链路建立RSSI/链路保持RSSI:用于建立和保持一条链路的最小RSSI值.
一条链路的RSSI值必须不小于这个值,才能被建立和保持.
因此这个值必须要保证,否则错误率会很高,链路性能会变差.
链路切换阈值:如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换.
这种机制用来避免频繁的链路切换.
链路保持时间:一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达.
这种机制用来避免频繁的链路切换.
链路饱和RSSI:如果活跃链路上的RSSI超过链路饱和RSSI,会进行链路切换.
3.
备份链路的建立一个车载MP会以较高的速率发送探寻报文,主动扫描附近的轨旁MP,并基于收到的探寻回应,建立邻居列表.
2-7如果来自某个轨旁MP的RSSI大于链路建立RSSI,车载MP会与其建立一条备份链路.
4.
活跃链路的选择车载MP基于如下规则,在备份链路中选择一条活跃链路:(1)如果没有备份链路,活跃链路无法建立.
(2)在链路保持时间内,一般不进行活跃链路切换,但是以下两种情况除外:活跃链路上的RSSI超过了链路饱和RSSI.
活跃链路上的RSSI小于链路保持RSSI.
(3)当链路保持计时器超时后,如果任何一条备份链路的RSSI比当前活跃链路的RSSI高出的部分,都没有超过链路切换阈值,则不进行链路切换.
(4)正常情况下,当下列条件都满足时,进行链路切换.
链路保持定时器超时.
一条备份链路的RSSI比当前活跃链路的RSSI高出的部分,超过链路切换阈值.
待切换备份链路的RSSI没有超过链路饱和RSSI.
(5)正常情况下,如果所有链路的RSSI都低于链路保持RSSI,所有链路都会断掉.
但是,为了在恶劣环境下保证业务的可用性,即便是上述情况发生,活跃链路也不会被切断.
2.
1.
6Mesh网络拓扑Mesh提供了以下三种拓扑.
通过在每个AP的射频模式下配置邻居AP的MAC地址来实现,详细配置请参见"2.
2.
6配置邻居信息".
1.
点到点的连接在点到点的组网环境中,用户可以预先指定与其相连的邻居MAC地址,确定需要建立的指定Mesh链路.
图2-8点到点的连接2.
点到多点的连接在点到多点的组网环境中,所有的连接都要通过中心桥接设备进行数据转发,如下图所示,所有的局域网的数据传输都要通过AP1.
2-8图2-9点到多点的连接3.
自拓扑检测与桥接这种自拓扑检测与桥接可以检测到其它局域网设备,并且形成链路.
该网络拓扑容易引起网络环路,使用时可以结合Mesh路由选择性地阻塞冗余链路来消除环路,在Mesh链路故障时还可以提供备链路备份的功能.
图2-10自拓扑检测与桥接2.
2配置Mesh服务2.
2.
1配置Mesh服务1.
新建Mesh服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签,进入如下图所示Mesh服务配置页面.
2-9图2-11Mesh服务配置页面(3)单击按钮,进入如下图所示Mesh服务新建页面.
图2-12Mesh服务新建页面(4)配置Mesh服务,详细配置如下表所示.
(5)单击按钮完成操作.
表2-2Mesh服务的详细配置配置项说明Mesh服务名称新建Mesh服务名称2.
配置Mesh服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签.
(3)在列表中找到要进行配置的Mesh服务,单击对应的图标,进入如下图所示的配置页面.
2-10图2-13Mesh服务新建页面(4)配置Mesh服务的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-3Mesh服务的详细配置配置项说明Mesh服务名称显示选择的Mesh服务名称VLAN(Tagged)添加Tagged的VLANID,VLAN(Tagged)表示端口成员发送该VLAN报文时带Tag标签VLAN(Untagged)添加Untagged的VLANID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签缺省VLAN设置端口的缺省VLAN在缺省情况下,所有端口的缺省VLAN均为VLAN1,设置新的缺省VLAN后,VLAN1为Untagged的VLANID排除下列VLAN删除已有Tagged和Untagged的VLANIDMesh路由Mesh网络路由选择算法关闭:关闭Mesh网络路由选择算法开启:开启Mesh网络路由选择算法缺省情况下,Mesh网络路由选择功能处于关闭状态保活时间间隔配置链路保活报文发送时间间隔链路回程速率配置链路回程速率2-11配置项说明安全设置字符串方式以字符串方式输入预共享密钥十六进制数方式以十六进制数方式输入预共享密钥预共享密钥预共享密钥:若类型为字符串,则为8~63个字符的可显示字符串若类型为十六进制数,则为长度是64位的合法十六进制数3.
绑定AP的射频(1)在导航栏中选择"无线服务>Mesh服务".
(2)在列表里查找到需要绑定的Mesh服务,单击Mesh服务对应的图标,进入下图所示绑定Mesh服务页面.
(3)选择需要绑定的AP射频前的复选框.
(4)单击按钮完成操作.
图2-14绑定AP的射频4.
开启Mesh服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签,进入如下图所示Mesh服务配置页面.
2-12图2-15开启Mesh服务(3)选中需要开启的Mesh服务前的复选框.
(4)单击按钮完成操作.
5.
Mesh服务的详细信息(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh服务"页签,进入Mesh服务配置页面.
(3)点击指定的Mesh服务后,可以查看相关的详细信息.
图2-16Mesh服务的详细信息2-13表2-4Mesh服务显示信息描述表配置项说明MeshProfileNumber当前的Mesh服务号MeshIDMesh服务名称BindingInterface绑定的Mesh接口MKDServiceMKD服务的状态:Enable:MKD服务处于开启状态Disable:MKD服务处于关闭状态LinkKeepAliveInterval(s)保活报文发送间隔LinkBackhaulRate(Mbps)链路回程速率MeshProfileStatusMesh服务的状态:Enable:Mesh服务处于开启状态Disable:Mesh服务处于关闭状态2.
2.
2配置Mesh策略1.
新建Mesh策略(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签,进入如下图所示Mesh策略配置页面.
图2-17Mesh策略配置页面(3)单击按钮,进入如下图所示Mesh策略新建页面.
2-14图2-18Mesh策略新建页面(4)配置Mesh策略的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-5Mesh策略的详细配置配置项说明Mesh策略名称新建Mesh策略名称新建的Mesh策略会继承缺省default_mp_plcy中的缺省策略内容2.
配置Mesh策略(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签.
(3)在列表中找到要进行配置的Mesh策略,单击对应的图标,进入如下图所示的配置页面.
2-15图2-19Mesh策略配置页面(4)配置Mesh策略的信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-6Mesh策略的详细配置配置项说明Mesh策略显示选择的Mesh策略名称链路发起功能缺省情况下,链路发起处于开启状态在配置轨旁AP的MP策略时,需要关闭链路发起功能关闭链路发起功能目前只用于地铁环境中链路保持时间设置链路保持时间一条活跃链路在链路保持时间内始终保持UP,即便在此期间,链路切换阈值已经到达.
这种机制用来避免频繁的链路切换最大Mesh链路数设置允许建立的最大Mesh链路数在建立Mesh时,如果在AP上建立的Mesh链路大于2时,需要根据实际链路数进行设置2-16配置项说明链路保持RSSI设置链路保持RSSI用于建立和保持一条链路的最小RSSI值.
一条链路的RSSI值必须不小于这个值,才能被建立和保持.
因此这个值必须要保证,否则错误率会很高,链路性能会变差链路切换阀值设置链路切换阀值如果一条新链路的RSSI值比当前活跃链路的RSSI高出的部分大于链路切换阈值时,则进行链路切换.
这种机制用来避免频繁的链路切换链路饱和RSSI设置链路饱和RSSI如果活跃链路上的RSSI超过链路饱和RSSI,芯片组将饱和,进行链路切换探寻请求发送间隔设置探寻请求的发送间隔认证者角色缺省情况下,一个设备基于协商的结果决定是否作为认证者速率选择方式固定方式:采用的速率为固定值,其值为当前Radio接口速率集的最大值实时更新方式:采用的速率会根据链路质量(RSSI)实时变化,即速率值随Radio接口下的信号强度(RSSI)而变化缺省情况下,采用固定方式MLSP协议负责活跃链路的切换,该协议仅用于地铁Mesh网络部署环境被代理设备地址选中"MLSP代理设备地址"前的复选框,指定被代理设备的MAC地址被代理设备VLAN被代理设备的VLAN编号3.
绑定Mesh策略(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签.
(3)在列表中找到要进行配置的Mesh策略,选中对应的图标.
(4)选中需要绑定的射频前的复选框.
(5)单击按钮完成操作.
4.
Mesh策略的详细信息(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh策略"页签,进入Mesh策略配置页面.
(3)点击指定的Mesh策略后,可以查看相关的详细信息.
2-17图2-20Mesh策略的详细信息表2-7Mesh策略显示信息描述表配置项说明MPPolicyNameMesh策略名MeshLinkInitiationMesh链路发起是否开启MlspMLSP的状态:Enable:MLSP处于开启状态Disable:MLSP处于关闭状态AuthenticatorRole认证者角色的状态:Enable:开启认证者角色Disable:关闭认证者角色MaxLinksMesh策略允许的最大链路数ProbeRequestInterval(ms)探寻请求的发送间隔LinkHoldRSSI链路保持RSSILinkHoldTime(ms)链路保持时间LinkSwitchMargin链路切换阈值LinksaturationRSSI链路饱和RSSILinkrate-mode选择计算COST值的方式:fixed:Mesh接口的速率为固定值real-time:Mesh接口的速率为根据链路质量(RSSI)实时变化的值2-182.
2.
3Mesh全局设置1.
Mesh基本设置(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh全局设置"页签,进入如下图所示Mesh全局设置页面.
图2-21Mesh基本设置页面(3)配置Mesh基本设置的信息,详细配置如下表所示.
(4)单击按钮完成操作.
表2-8Mesh基本设置的详细配置配置项说明MKD-ID需要注意的是:配置的MAC地址必须没有被使用,并且有正确的厂商标识部分不能把AC的MAC地址配置为MKD-ID动态信道选择Mesh信道选择选项:手动:开启手动优化Mesh网络信道功能.
选择手动方式后,在下一次校准间隔周期到来时,若没有手动指定需要优化的Mesh网络,则AC会刷新所有管理Mesh网络的射频信息,显示在Mesh信道优化操作页的射频信息页签中,以供用户查看、选择需要手动优化信道的Mesh网络;若选择了需要手动优化的Mesh网络,则AC执行信道优化、调整操作.
手动方式只对选择的Mesh网络执行一次信道调整,如果下次还需要进行Mesh信道调整,则必须手动重新选择自动:开启自动优化Mesh网络信道功能.
选择自动方式将对Mesh网络内所有采用自动信道方式建立的Mesh网络起作用,每个校准间隔周期后会进行一次信道优化,如果优化出更好的信道,将会在Mesh网络中进行信道调整关闭:关闭Mesh网络信道优化功能,Mesh网络将不再进行信道优化,并在下一个校准间隔周期,Mesh信道优化操作页的射频信息和信道切换记录将被清除缺省情况下,Mesh网络信道优化功能处于关闭状态开启Mesh网络的手动或自动信道调整功能前,必须保证Mesh网络中选择auto信道模式.
相关配置请参见"射频"2.
开启MeshPortal服务(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
2-19(2)单击"Mesh全局设置"页签,进入如下图所示MeshPortal服务配置页面.
图2-22MeshPortal服务配置页面(3)选中需要开启的MeshPortal服务的AP名称前的复选框.
(4)单击按钮完成操作.
2.
2.
4配置信道可以通过以下两种方式完成Mesh的信道配置:1.
手工指定信道(1)在界面左侧的导航栏中选择"射频>射频设置",进入如下图所示射频配置页面.
图2-23射频配置页面(2)在信道下拉框里选择指定的信道.
(3)单击按钮完成操作.
在MAP和MPP上都需要手工指定射频的工作信道,并且工作信道必须保持一致.
2-202.
自动信道选择在上如所示页面中,设置MPP和MAP上射频的信道为auto.
MPP和MAP间的射频建立WDS链接时,自动协商工作信道.
当MPP和MAP的射频配置为auto信道时,自动选择的工作信道为非雷达信道.
2.
2.
5开启射频(1)在界面左侧的导航栏中选择"射频>射频设置",进入如下图所示射频设置页面.
图2-24开启射频(2)选中需要开启的射频前的复选框.
(3)单击按钮完成操作.
2.
2.
6配置邻居信息(1)在导航栏中选择"无线服务>Mesh服务".
(2)在列表里查找到需要绑定的Mesh服务,单击对应的图标,进入图2-14所示页面.
(3)在列表里选择需要配置的AP射频,单击对应的图标,进入下图所示邻居MAC地址配置页面.
2-21图2-25配置邻居MAC地址(4)配置邻居信息,详细配置如下表所示.
(5)单击按钮完成操作.
表2-9邻居信息的详细配置配置项说明邻居MAC地址通过在每个AP的射频模式下配置邻居AP的Radio的MAC地址来实现Mesh网络的三种拓扑,关于Mesh网络拓扑的介绍请参见"2.
1.
6Mesh网络拓扑"路径开销配置与邻居创建Mesh链路的STPcost值,如果不配置,则由STP自动计算该Mesh链路的cost值在图2-28所示Mesh链路监控页面中查看Mesh链路的cost值2.
2.
7Mesh信道优化操作1.
显示Mesh信道优化操作的射频信息(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh信道优化操作"页签,进入Mesh信道优化操作.
(3)点击指定的Mesh网络,单击"射频信息"页签,可以进入如下图所示查看射频信息.
2-22图2-26查看射频信息2.
Mesh信道优化操作的信道切换(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh信道优化操作"页签,进入Mesh信道优化操作页面.
(3)点击指定的Mesh网络,选择"信道切换记录"页签,可以查看信道切换记录.
图2-27Mesh信道切换记录2-23如果将Mesh全局设置页面中的动态信道选择设置为"关闭"方式或"自动"方式,那么进入该页面后,"信道优化"按钮为灰显,即不可操作.
如果选用手动优化方式,每次优化时需要先选择需要优化的Mesh网络,再单击按钮,完成手动优化操作.
自动方式下信道每个校准间隔进行一次信道优化,手动方式仅进行一次信道优化.
Mesh信道切换记录信息的详细显示如下表所示.
表2-10Mesh信道切换记录信息字段描述AP显示Mesh网络AP的名称Radio显示AP的射频单元Chl(After/Before)显示信道(变更前/变更后)Date(yyyy-mm-dd)显示日期(年-月-日)Time(hh:mm:ss)显示时间(时:分:秒)2.
2.
8查看Mesh链路状态1.
Mesh链路监控(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
(2)单击"Mesh链路监控"页签,进入如下图所示Mesh链路监控页面.
图2-28查看Mesh链路监控通过查看Mesh链路监控页面,管理者可以实时监控Mesh链路的状态信息.
2.
Mesh链路测试(1)在界面左侧的导航栏中选择"无线服务>Mesh服务".
2-24(2)单击"Mesh链路测试"页签,进入如下图所示Mesh链路测试页面.
图2-29查看Mesh链路测试页面(3)选中需要测试的Mesh链路前的复选框.
(4)单击按钮完成操作.
2.
3无线Mesh配置举例2.
3.
1普通无线Mesh典型配置举例1.
组网需求要求在MAP和MPP之间建立Mesh链路,链路之间使用802.
11a协议.
在MAP上配置802.
11g接入服务,使客户端接入无线网络.
图2-30普通无线Mesh配置组网图2.
配置思路采用如下思路进行配置:(1)建立MPP和MAP之间的Mesh链路,按如下步骤配置:创建MAP和MPP:在界面左侧的导航栏中选择"AP>AP设置",单击按钮,创建MAP和MPP,配置步骤请参见"(1)创建MAP和MPP".
配置Mesh服务:新建Mesh服务,配置预共享密钥后,将Mesh服务和AP相绑定后开启Mesh服务,配置步骤请参见"(2)新建Mesh服务".
配置Mesh策略:Mesh策略缺省存在.
在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的AP绑定,配置步骤请参见"(5)配置Mesh策略".
Mesh全局配置:配置MKD-ID(缺省存在),并对MPP开启MeshPortal服务,配置步骤请参见"(6)Mesh全局配置".
2-25手工配置相同的信道,并开启射频,配置步骤请参见"(7)手工配置相同的信道,并开启射频".
(2)在MAP上配置802.
11g接入服务,使客户端接入无线网络:相关配置请参见"1.
3无线接入配置举例",可以完全参照相关举例完成配置.
此处不再重复.
3.
配置AC(1)创建MAP和MPP步骤1:在导航栏中选择"AP>AP设置".
步骤2:单击按钮,进入AP新建页面.
步骤3:进行如下配置,如下图所示.
设置AP名称为"map".
选择型号为"WA2620-AGN".
选择序列号方式为"手动",并输入AP的序列号.
步骤4:单击按钮完成操作.
图2-31创建AP按此方法建立MPP.
(2)新建Mesh服务步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:单击按钮,进入如下图所示Mesh服务配置页面.
步骤3:设置Mesh服务名称为"outdoor".
步骤4:单击按钮完成操作.
图2-32新建Mesh服务完成Mesh服务配置页面后,默认进入如下图所示Mesh服务配置页面.
2-26图2-33配置预共享密钥步骤5:选择字符串方式,设置预共享密钥为"12345678".
步骤6:单击按钮完成操作.
(3)将Mesh服务和AP相绑定.
步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:在列表中单击Mesh服务"outdoor"对应的图标,进入如下图所示的配置页面.
步骤3:选中需要绑定的射频前的复选框.
步骤4:点击按钮完成操作.
图2-34将Mesh服务和AP相绑定(4)开启Mesh服务.
步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
2-27图2-35开启Mesh服务步骤2:选中需要开启的Mesh服务前的复选框.
步骤3:单击按钮完成操作.
(5)配置Mesh策略(缺省情况下,缺省的default_mp_plcy策略已经存在,此步骤可选)Mesh策略缺省存在.
在需要定制Mesh策略的情况下,可以新建Mesh策略,并将Mesh策略和相应的射频绑定.
此例中使用缺省的default_mp_plcy策略.
(6)Mesh全局配置步骤1:设置MKD-ID.
在界面左侧的导航栏中选择"无线服务>Mesh服务",单击"Mesh全局设置"页签,进入Mesh全局设置页面,可以对MKD-ID进行设置.
(缺省情况下,MKD-ID已经存在,此步骤可选).
步骤2:对MPP开启MeshPortal服务.
选中与AC有线连接的MPP前的复选框.
步骤3:单击按钮完成操作.
图2-36开启MeshPortal服务(7)手工配置相同的信道,并开启射频步骤1:在界面左侧的导航栏中选择"射频>射频设置".
2-28步骤2:在列表中选择需要配置的map,单击对应的图标,进入射频设置页面.
图2-37手工配置相同的信道步骤3:在信道下拉框中选择使用的信道.
步骤4:单击按钮完成操作.
按此方法指定MPP的工作信道.
需要注意的是,在MAP和MPP上选用的信道应该保持一致.
步骤5:开启射频.
在界面左面的导航栏中选择"射频>射频设置",进入射频设置页面.
步骤6:选择需要开启的MAP和MPP射频前的复选框.
步骤7:单击按钮完成操作.
图2-38开启射频4.
验证配置结果(1)MAP和MPP之间的Mesh链路已经建立,可以相互ping通.
2-29(2)配置802.
11n(2.
4GHz)接入服务后,客户端可以通过Mesh链路接入网络.
2.
3.
2地铁无线Mesh典型配置举例1.
组网需求如下图所示,所有轨旁MP与一个AC相连.
要求配置WLANMesh后,车载MP能够与轨旁MP正常建立连接.
图2-39地铁无线Mesh配置组网图2.
配置思路地铁无线Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:(1)需要定制轨旁AP(对应图中的RailMP)Mesh策略:需要关闭链路发起功能,详细配置可参见"2.
2.
2配置Mesh策略".
需要开启MeshPortal服务,详细配置可参见"2.
2.
32.
开启MeshPortal服务".
(2)需要定制车载AP(对应图中的TrainMP)Mesh策略:需要开启MLSP协议.
需要配置MLSP代理的VLAN信息以及MAC地址.
需要关闭认证者角色,详细配置可参见"2.
2.
2配置Mesh策略".
设置允许建立的最大Mesh链路数(缺省值为2,请根据实际链路数进行设置).
详细配置可参见"2.
2.
2配置Mesh策略".
3.
配置AC地铁无线Mesh和普通无线Mesh在配置上的差别体现在轨旁AP和车载AP的Mesh策略上,其它配置步骤与普通无线Mesh基本相同,具体配置步骤请参见"2.
3.
13.
配置AC".
2.
3.
3Mesh点到多点典型配置举例1.
组网需求要求在AP1做为MPP,分别和AP2、AP3、AP4、AP5建立Mesh链路.
2-30图2-40Mesh配置组网图2.
配置思路Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:在每个AP的射频模式下配置邻居AP的MAC地址,在AP1上需要同时配置AP2~AP5的MAC地址,在AP2~AP5上只需要配置AP1的MAC地址.
设置允许建立的最大Mesh链路数(缺省值为2,需要根据实际链路数进行设置,此列中应设为4).
详细配置可参见"2.
2.
2配置Mesh策略".
3.
配置ACMesh配置和普通无线Mesh配置相同,具体配置步骤请参见"2.
3.
13.
配置AC".
2.
3.
4Mesh支持三频配置举例1.
组网需求在各MP和MPP之间建立Mesh链路,并要求利用射频资源,使MPP的Radio1、MP的Radio1和Radio2、MP2的Radio1加入到同一个Mesh网络中,Radio3作为覆盖天线,提供无线接入服务.
图2-41Mesh支持三频组网图2.
配置思路(1)配置Mesh服务Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:2-31加入同一个Mesh网络的Radio上需要应用相同的Mesh服务.
根据本例的需求,将MPP的Radio1、MP1的Radio1和Radio2、MP2的Radio1绑定到同一个Mesh服务上.
图2-42绑定Mesh服务在MPP的Radio1上将MP1上的Radio1设定为邻居MAC,同理,在MP1上将MPP的Radio1设定为邻居MAC.
MP1的Radio2和MP2的Radio1上也进行同样操作.
(2)配置接入服务Radio3作为覆盖天线,提供无线接入服务.
相关配置请参见"1.
3无线接入配置举例",可以完全参照相关举例完成配置.
3.
配置步骤Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见"2.
3.
13.
配置AC".
2.
3.
5Mesh信道自动选择配置举例1.
组网需求要求在MAP和MPP之间建立Mesh链路,使用自动信道选择方式,在链路之间使用802.
11a协议.
开启手动优化Mesh网络信道功能,当Mesh网络的当前工作信道质量变差时,手动调整Mesh网络信道.
图2-43普通无线Mesh配置组网图2-322.
配置思路Mesh配置和普通无线Mesh配置基本相同,但需要注意以下几点:在每个AP提供Mesh服务的射频模式下配置的信道模式为自动信道,在每个AP提供Mesh服务的射频模式下不要配置无线服务.
3.
配置步骤Mesh配置和普通无线Mesh配置相同,具体配置步骤请参见"2.
3.
13.
配置AC".
在完成上面基本配置之后,要进行如下操作.
(1)设置校准间隔(缺省情况下,存在缺省的校准间隔,此步骤可选)步骤1:在界面左侧的导航栏中选择"射频>功率信道优化".
步骤2:单击"参数设置"页签,进入参数设置页面.
步骤3:输入校准间隔时间为3.
步骤3:单击按钮完成操作.
图2-44Mesh网络信道优化校准间隔(2)配置Mesh信道调整方式步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:单击"Mesh全局设置"页签,进入Mesh服务配置页面.
步骤3:在动态信道选择中,选中"手动"单选框.
步骤4:单击按钮完成操作.
图2-45动态信道选择2-33(3)执行Mesh信道优化操作步骤1:在界面左侧的导航栏中选择"无线服务>Mesh服务".
步骤2:单击"Mesh信道优化操作"页签,进入Mesh信道优化操作页面.
步骤3:选中Mesh网络"outdoor"前的复选框.
步骤4:单击按钮完成操作.
图2-46Mesh信道优化操作手动优化4.
验证配置结果在下一个信道优化校准间隔时间到达后,如果发生信道切换,可以查看到信道切换记录.
在界面左侧的导航栏中选择"无线服务>Mesh服务",单击"Mesh信道优化操作"页签,选择"信道切换记录"页签,点击指定的Mesh网络,可以查看到如下图所示的信道切换记录.
图2-47Mesh信道切换记录
HostKvm($4.25/月),俄罗斯CN2带宽大升级,俄罗斯/香港高防限量5折优惠进行中
HostKvm是一家成立于2013年的国外VPS服务商,产品基于KVM架构,数据中心包括日本、新加坡、韩国、美国、俄罗斯、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。本月,商家旗下俄罗斯、新加坡、美国、香港等节点带宽进行了大幅度升级,俄罗斯机房国内电信/联通直连,CN2线路,150Mbps(原来30Mbps)带宽起,目前俄罗斯和香港高防节点5折骨折码继续优惠中...
创梦网络-江苏宿迁BGP云服务器100G高防资源,全程ceph集群存储,安全可靠,数据有保证,防护真实,现在购买7折促销,续费同价!
官方网站:点击访问创梦网络宿迁BGP高防活动方案:机房CPU内存硬盘带宽IP防护流量原价活动价开通方式宿迁BGP4vCPU4G40G+50G20Mbps1个100G不限流量299元/月 209.3元/月点击自助购买成都电信优化线路8vCPU8G40G+50G20Mbps1个100G不限流量399元/月 279.3元/月点击自助购买成都电信优化线路8vCPU16G40G+50G2...
RAKsmart美国洛杉矶独立服务器 E3-1230 16GB内存 限时促销月$76
RAKsmart 商家我们应该较多的熟悉的,主营独立服务器和站群服务器业务。从去年开始有陆续的新增多个机房,包含韩国、日本、中国香港等。虽然他们家也有VPS主机,但是好像不是特别的重视,价格上特价的时候也是比较便宜的1.99美元月付(年中活动有促销)。不过他们的重点还是独立服务器,毕竟在这个产业中利润率较大。正如上面的Megalayer商家的美国服务器活动,这个同学有需要独立服务器,这里我一并整理...
如何破解路由器密码为你推荐
-
accessroutehttp://www.huajinsc.cn/支持ipad支持ipad支持ipad请仔细阅读在本报告尾部的重要法律声明tracerouteTRACEROUTE的作用是什么iphone连不上wifi苹果iphone6/plus wifi连接不上怎么办win7telnetWin7系统中的telnet命令如何应用?360chrome360Chrome 世界之窗极速浏览器 ChromePlus