- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-无线服务
本章节下载: 07-无线服务 (1.8 MB)
l 不同型号产品的特性功能支持情况略有不同,对于手册中标有“请以设备实际情况为准”的特性,请参见“01-导读”中的“产品支持特性差异”章节的介绍。
l 本手册致力于提供更加准确的描述和WEB页面截图,但由于产品型号的差异,请在实际使用中以设备实际显示的WEB页面为准。
l 页面上显示为灰色的功能或参数,表示设备不支持或者在当前配置下不可修改。
WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在有线网络,只是用户可以通过无线方式接入网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:
l 通过无线网络,用户可以方便的接入到网络,并访问已有网络或因特网;
l 安全问题是无线网络最大的挑战,当前无线网络可以使用不同认证和加密方式,提供安全的无线网络接入服务;
l 在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。
(1) 客户端
带有无线网卡的PC、便携式笔记本电脑以及支持WiFi功能的各种终端。
(2) FAT AP
一种控制和管理无线客户端的无线设备。帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换,而FAT AP在这个过程中起到了桥梁的作用。
(3) SSID
SSID(Service Set Identifier,服务组合识别码),客户端可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络。
无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网。整个过程如图1-1所示。
无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围AP发送的信标帧(Beacon帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描时,主动发送一个探测请求帧(Probe Request帧),通过收到探测响应帧(Probe Response)获取网络信号。
无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息。
(1) 主动扫描
无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据探测请求帧(Probe Request帧)是否携带SSID,可以将主动扫描可以分为两种:
l 客户端发送广播帧(SSID为空,也就是SSID的长度为0):客户端会定期地在网卡支持的信道列表中,发送广播探测请求帧(Probe Request帧)扫描无线网络。当AP收到探测请求帧后,会回应探测响应帧(Probe Response帧)通告可以提供的无线网络信息。无线客户端会选择信号最强的AP进行关联。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端主动扫描方式的过程如图1-2所示。
图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
l 客户端发送单播帧(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送单播探测请求帧(Probe Request帧)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探测响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如图1-3所示。
图1-3 主动扫描过程(Probe Request携带指定的SSID为“AP 1”)
(2) 被动扫描
被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息。当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。被动扫描的过程如图1-4所示。
为了保证无线链路的安全,无线用户接入过程中AP需要完成对无线终端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
l 开放系统认证(Open system authentication)
开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端是否通过无线链路认证并回应认证结果。如果认证结果为“成功”,那么客户端成功通过了AP的链路认证。
图1-5 开放系统认证过程
l 共享密钥认证
共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。
共享密钥认证的认证过程为:客户端先向AP发送认证请求,AP端会随机产生一个Challenge(即一个字符串)发送给客户端;客户端会将接收到Challenge加密后再发送给AP;AP接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了Shared Key链路认证;否则Shared Key链路认证失败。
图1-6 共享密钥认证过程
如果用户想接入无线网络,必须同特定的AP关联。当用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求。AP会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功。通常,无线终端同时只可以和一个AP建立链路,而且关联总是由无线终端发起。
(1) 解除认证
解除认证用于中断已经建立的链路或者认证,无论AP还是无线终端都可以发送解除认证帧断开当前的链接过程。无线系统中,有多种原因可以导致解除认证,如:
l 接收到非认证用户的关联或解除关联帧。
l 接收到非认证用户的数据帧。
l 接收到非认证用户的PS-Poll帧。
(2) 解除关联
无论AP还是无线终端都可以通过发送解除关联帧以断开当前的无线链路。系统中,有多种原因可以导致解除关联,如:
l 接收到已认证但未关联用户的数据帧。
接收到已认证但未关联用户的PS-Poll帧。
相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。
802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。
(1) 明文数据
该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法实现数据报文的加密保护,通过共享密钥来加密密钥管理。根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密。
l 静态WEP加密:
静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏,攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。
l 动态WEP加密(自动提供WEP密钥):
动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.1x协议协商产生,这样每个客户端协商出来的的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。
虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听,会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患。
(3) TKIP加密
虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护。
首先,TKIP通过增长了算法的IV(Initial Vector,初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;
另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个出现MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过静默一段时间不提供服务,实现对无线网络的攻击防御。
(4) CCMP加密
CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性。
当无线终端成功和AP建立无线链路,可以认为无线终端成功接入到无线网络,但是为了无线网络的安全和管理,无线接入用户只有通过后面的接入认证后才可能真正访问网络资源。其中PSK(Preshared Key,预共享密钥)认证和802.1x认证伴随着无线链路的动态密钥协商和管理,所以和无线链路协商关系比较密切,而且它的认证和无线链路本身没有直接关系。
(1) PSK认证
WPA和WPA2无线接入都支持PSK认证,无线客户端接入无线网络前,需要配置和AP设备相同的预共享密钥。
四次握手(4-Way Handshake)密钥协商通过802.1x的4个密钥报文交互为无线链路在无线终端和AP侧动态协商出私有密钥,而预共享密钥将作为密钥协商的种子密钥使用。在协商过程中,种子密钥将被双方进行验证,只有密钥设置相同,密钥协商才可以成功,也就是无线用户成功通过PSK接入认证;否则无线用户PSK接入认证失败,无线用户链路将被断开。
(2) 802.1x认证
802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。
(3) MAC接入认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境。
MAC地址认证分为以下两种方式:
l 本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证,此时需要在设备上配置本地用户名和密码。通常情况下,可以采用MAC地址作为用户名,需要事先获知无线接入用户的MAC地址并配置为配置的本地用户名。无线用户接入网络时,只有存在用户的MAC地址可以认证通过,其它用户将被拒绝接入。
图1-7 本地MAC地址认证
l 通过RADIUS服务器进行MAC地址认证:当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作。当MAC接入认证发现当前接入的客户端为未知客户端,AP设备作为RADIUS客户端,会与RADIUS服务器完成MAC地址认证。在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络,而且RADIUS服务器可以下发相应的授权信息。
图1-8 本地MAC地址认证
采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器。
802.11n作为802.11协议族的一个新协议,支持2.4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的“接入速率”,802.11n主要通过增加带宽和提高信道利用率两种方式来提高通讯速率。
增加带宽:802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用。当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量。
提高信道利用率:对信道利用率的提高主要体现在三个方面。
l A-MPDU聚合帧:即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,减少了传输每个MPDU的PHY头,同时还减少了ACK帧的数目,从而降低了协议的负荷,有效的提高信道利用率。
l A-MSDU特性:该特性实现了将多个MSDU组合成一个MSDU发送,与A-MPDU类似,通过聚合,A-MSDU特性有效减少了传输多个MSDU的MAC头的信息,提高了MAC层的传输效率,最终提高了信道利用率。
l 物理层提供短间隔功能:已有的802.11a和802.11g的GI(Guard Interval)时长800us,而802.11n可以支持短间隔Short GI,其时长为400us,可以有效减少信道空闲时间,提高信道利用率。使用Short GI时,可以提高大约10%的性能。
WDS(WLAN Distribution System,无线分布式系统):通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问。
802.11的无线技术已经广泛地在家庭、SOHO、企业等得到应用,用户已经能通过这些无线局域网方便地访问Internet网络。但是在这种网络应用中,AP必须连接到已有的有线网络,才可能提供无线用户的网络访问服务。采用传统的方式,AP需要和有线网络连接,会导致最终部署成本较高,并且在大面积无线覆盖时需要大量的时间,而使用WDS技术可以在一些复杂的环境中方便快捷的建设无线局域网。WDS网络的优点包括:
l 通过无线网桥连接两个独立的局域网段,并且在他们之间提供数据传输。
l 低成本,高性能。
l 扩展性好,并且无需铺设新的有线连接和部署更多的AP。
l 适用于公司,大型仓储,制造,码头等领域。
根据实际的应用需求,WDS网络可以提供了以下三种拓扑。通过在每个AP的射频模式下配置邻居AP的MAC地址来实现,详细配置请参见“2.2.2 配置邻居MAC地址”。
该网络中,WDS通过两台设备实现了两个网络无线桥接,最终实现两个网络的互通。实际应用中,每一台设备可以通过配置对端设备的MAC地址,确定需要建立的桥接链路。如图1-9所示,AP 1和AP 2之间建立WDS桥接链路,可以将LAN Segment 1和LAN Segment 2连接成一个统一的局域网。LAN Segment1中的用户需要访问LAN Segment2中的资源的时候,所有的报文都会被AP1转换成无线报文通过无线桥接链路发送到AP2,最终在由AP2将报文还原发送到目的地;反之亦然。
在点到多点的组网环境中,一台设备作为中心设备,其他所有的设备都只和中心设备建立无线桥接,实现多个网络的互联。该组网可以方便地解决多个网络孤岛需要连接到已有网络的要求,但是多个分支网络的互通都要通过中心桥接设备进行数据转发。
图1-10 点到多点的桥接
多台桥接设备可以采用手动配置或者自动检测方式,互相建立网状无线桥接,将多个局域网连接成一个网络。网状桥接网络,在一条WDS链路故障时可以提供备链路备份的功能,但是应用中需要结合STP解决网络的环路问题。
图1-11 网状桥接
Repeater模式即AP中继模式,是指作为Repeater的AP不但通过WDS链路与另一台AP建立桥接,而且同时提供无线接入服务,也就是作为Repeater的设备不但创建无线网络而且通过WDS桥接将无线网络接入到已有网络中。以图1-12为例,Repeater虽然不直接接入有线网络,但是可以为Client 1和Client 2提供访问有线网络的服务。从应用的角度来看,通过网络中部署了Repeater AP,延长了无线通信的距离和扩大了无线网络的覆盖范围。
Workgroup Bridge是指作为Workgroup Bridge的AP以无线客户端的方式接入到无线网络中,有线网络中多个主机或打印机等可以通过Workgroup Bridge接入无线网络。
图1-13 Workgroup Bridge模式
在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入如图2-1所示接入服务配置页面。
单击<新建>按钮,进入如图2-2所示无线服务新建页面。
新建无线服务的详细配置如表2-1所示。
|
配置项 |
说明 |
|
无线服务名称 |
设置SSID(Service Set Identifier,服务组合识别码) SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了Beacon报文长度和使用难度,对无线安全没有改进 |
|
无线服务类型 |
选择无线服务类型: l clear:使用明文发送数据 l crypto:使用密文发送数据 |
单击“无线服务”中的<绑定>按钮,进入如图2-3所示页面,选择要绑定的射频单元,单击<绑定>按钮,绑定无线服务和射频单元。
绑定无线服务的详细说明如表2-2所示。
|
配置项 |
说明 |
|
射频单元 |
AP支持的射频号,取值为1或2 射频单元的实际取值与设备型号相关,使用中请以设备的实际情况为准 |
|
射频模式 |
AP的射频模式,取值为802.11a、802.11b、802.11g和802.11n(2.4GHz或5GHz) 射频模式的实际取值与设备型号以及射频单元相关,使用中请以设备的实际情况为准 |
在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应
的图标,进入如图2-4所示的配置页面。
图2-4 clear类型无线服务基本配置页面
clear类型无线服务基本配置的详细配置如表2-3所示。
表2-3 clear类型无线服务基本配置的详细配置
|
配置项 |
说明 |
|
无线服务名称 |
显示选择的SSID |
|
VLAN(Untagged) |
添加Untagged的VLAN ID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签 |
|
缺省VLAN |
设置端口的缺省VLAN 在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID |
|
删除VLAN |
删除已有Tagged和Untagged的的VLAN ID |
|
网络隐藏 |
配置是否在信标帧中通告SSID,缺省情况下,信标帧通告SSID l Enable:禁止在信标帧中通告SSID l Disable:在信标帧中通告SSID
l SSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP。 l 隐藏SSID对无线安全意义并不是很大。允许广播SSID可以使AP在关联阶段更容易发现客户端。 |
在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务高级配置页面。
图2-5 clear类型无线服务高级配置页面
clear类型无线服务高级配置的详细配置如表2-4所示。
表2-4 clear类型无线服务高级配置的详细配置
|
配置项 |
说明 |
|
关联最大用户数 |
某个SSID下关联客户端的最大个数 如果关联客户端达到最大个数,除非某些关联的客户端因为某种原因解除关联,否则新的客户端不能加入此SSID |
|
管理权限 |
上线的客户端对设备WEB界面的管理权限 l Disable:表示上线的客户端对设备WEB界面没有管理权限 l Enable: 表示上线的客户端对设备WEB界面有管理权限制 |
|
MAC VLAN功能 |
l Enable:表示在指定无线服务下开启mac-vlan功能 l Disable:表示在指定无线服务下禁止mac-vlan功能 |
在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务安全配置页面。
图2-6 clear类型无线服务安全配置页面
clear类型无线服务基本配置的详细配置如表2-5所示。
表2-5 clear类型无线服务安全配置的详细配置
|
配置项 |
说明 |
|
认证方式 |
clear类型只能选择Open-System方式 |
|
端口安全 |
l mac-authentication:对接入用户采用MAC地址认证 l mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证 l mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户 l userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 l userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证 l userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户 l userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户
由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解: l “userLogin”表示基于端口的802.1X认证; l “macAddress”表示MAC地址认证; l “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式; l “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式; l 携带“Secure”的userLogin表示基于MAC地址的802.1X认证; l 携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
(1) 当选择mac-authentication时,需要配置如下选项:
图2-7 mac-authentication端口安全配置页面
表2-6 mac-authentication端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
mac-authentication:对接入用户采用MAC地址认证 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
域名 |
在下拉框中选择已存在的域 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 在该选项中选择的域名仅对此无线服务生效 |
(2) 当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项:
图2-8 userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)
表2-7 userlogin-secure/userlogin-secure-ext端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
l userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 l userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
域名 |
在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
|
认证方法 |
l EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 l CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠 l PAP:采用PAP认证方式。PAP采用明文方式传送口令 |
|
用户握手 |
l Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态 l Disable:关闭在线用户握手功能 |
|
多播触发 |
l Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态。 l Disable:关闭802.1X的组播触发功能
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能 |
(3) 当选择其他四种端口安全时,需要配置如下选项:
图2-9 四种端口安全配置页面(以mac-else-userlogin-secure为例)
表2-8 其他四种端口端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
l mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证 l mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户 l userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证 l userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
域名 |
在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
|
认证方法 |
l EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 l CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠 l PAP:采用PAP认证方式。PAP采用明文方式传送口令 |
|
用户握手 |
l Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态 l Disable:关闭在线用户握手功能 |
|
多播触发 |
l Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态。 l Disable:关闭802.1X的组播触发功能
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能 |
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
域名 |
在下拉框中选择已存在的域 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 在该选项中选择的域名仅对此无线服务生效 |
在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-10所示页面。
图2-10 crypto类型无线服务基本配置页面
crypto类型无线服务基本配置的详细配置请参见表2-3。
在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-11所示页面。
图2-11 crypto类型无线服务高级配置页面
crypto类型无线服务高级配置的详细配置如表2-9所示。
表2-9 crypto类型无线服务高级配置的详细配置
|
配置项 |
说明 |
|
关联最大用户数 |
某个SSID下的关联客户端的最大个数 如果关联客户端达到最大个数,除非某些关联的客户端因为某种原因解除关联,否则新的客户端不能加入此SSID |
|
PTK生存时间 |
设置PTK的生存时间,PTK通过四次握手方式生成 |
|
TKIP反制策略实施时间 |
设置反制策略实施时间。 缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略;如果时间设置为其他值则启动反制策略; MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联 |
|
管理权限 |
上线的客户端对设备WEB界面的管理权限 l Disable:表示上线的客户端对设备WEB界面没有管理权限 l Enable: 表示上线的客户端对设备WEB界面有管理权限制 |
|
MAC VLAN功能 |
l Enable:表示在指定无线服务下开启mac-vlan功能 l Disable:表示在指定无线服务下禁止mac-vlan功能 |
|
GTK更新方法 |
GTK由AC生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文 l 选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔 l 选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK 缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒 |
|
客户端离线更新GTK |
启动当客户端离线时更新GTK的功能 缺省情况下,客户端离线更新GTK的功能处于关闭状态 |
在界面左侧的导航栏中选择“无线服务 > 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-12所示页面。
图2-12 crypto类型无线服务安全配置页面
crypto类型无线服务安全配置的详细配置如表2-10所示。
表2-10 crypto类型无线服务安全配置的详细配置
|
配置项 |
说明 |
|
认证方式 |
链路认证方式,可选择以下几种: l Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证 l Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制 l Open-System and Shared-Key:可以同时选择使用Open-System和Shared-Key认证
WEP加密方式可以分别和Open system、Shared key链路认证方式使用。 l 采用Open system authentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃 l 采用Shared key authentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络 |
|
加密类型 |
无线服务支持加密机制 l CCMP:一种基于AES加密算法的加密机制 l TKIP:一种基于RC4算法和动态密钥管理的加密机制 l CCMP and TKIP:可以同时选择使用CCMP和TKIP加密 |
|
安全IE |
无线服务类型(Beacon或者Probe response报文中携带对应的IE信息) l WPA:在802.11i协议之前,Wi-Fi Protected Access定义的安全机制 l WPA2:常说的802.11i定义的安全机制,也就是RSN(Robust Security Network,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性 l WPA and WPA2:同时选择使用WPA和WPA2 |
|
WEP加密 |
|
|
自动提供密钥 |
使用自动提供WEP密钥方式 l 开启:使用自动提供WEP密钥方式 l 关闭:使用静态WEP密钥方式 缺省情况下,使用静态WEP密钥方式 选择自动提供WEP密钥方式后,“密钥类型”选项会自动使用WEP 104加密方式
l 自动提供WEP密钥方式必须和802.1x认证方式一起使用 l 配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧。如果不配置WEP密钥,则由设备随机生成组播密钥 |
|
密钥类型 |
l WEP 40:选择WEP 40进行加密 l WEP 104:选择WEP 104进行加密 l WEP 128:选择WEP 128进行加密 |
|
密钥ID |
密钥ID用来配置密钥索引号,可选以下几种: 1:选择密钥索引为1 2:选择密钥索引为2 3:选择密钥索引为3 4:选择密钥索引为4 在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密 |
|
长度 |
选择WEP密钥长度 l 当密钥类型选择WEP 40时,可选的密钥长度5个字符(5 Alphanumeric Chars)或者10位16进制数(10 Hexadecimal Chars) l 当密钥类型选择WEP 104时,可选的密钥长度13个字符(13 Alphanumeric Chars)或者26位16进制数(26 Hexadecimal Chars) l 当密钥类型选择WEP 128时,可选的密钥长度16个字符(16 Alphanumeric Chars)或者32位16进制数(32 Hexadecimal Chars) |
|
密钥 |
配置WEP密钥 |
|
端口安全 |
请参见表2-5 “认证方式”、“加密类型”等参数直接决定了端口模式的可选范围,具体请参见表2-13 在选则“加密类型”后,增加以下几种端口安全模式: l mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 l psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 l userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户 |
(1) 当选择mac and psk时,需要配置如下选项:
图2-13 mac and psk端口安全配置页面
表2-11 mac and psk端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
域名 |
在下拉框中选择已存在的域 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 在该选项中选择的域名仅对此无线服务生效 |
|
域共享密钥 |
l pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的字符串。 l raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。 |
(2) 当选择psk时,需要配置如下选项:
图2-14 psk端口安全配置页面
表2-12 psk端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
域共享密钥 |
l pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的字符串。 l raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。 |
(3) 当选择userlogin-secure-ext时,需要配置的选项如“2.1.2 3. (2)”:
clear类型和crypto类型无线服务类型下,各参数之间的关系:
|
服务类型 |
认证方式 |
加密类型 |
安全IE |
WEP加密/密钥ID |
端口模式 |
|
clear |
Open-System |
不可选 |
不可选 |
不可选 |
mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext userlogin-secure userlogin-secure-ext userlogin-secure-or-mac userlogin-secure-or-mac-ext |
|
crypto |
Open-System |
选择 |
必选 |
WEP加密可选/密钥ID可选1234 |
mac and psk psk userlogin-secure-ext |
|
不选择 |
不可选 |
WEP加密必选/密钥ID可选1234 |
mac-authentication userlogin-secure userlogin-secure-ext |
||
|
Shared-Key |
不可选 |
不可选 |
WEP加密必选/密钥ID可选1234 |
mac-authentication |
|
|
Open-System and Shared-Key |
选择 |
必选 |
WEP加密可选/密钥ID可选1234 |
mac and psk psk userlogin-secure-ext |
|
|
不选择 |
不可选 |
WEP加密必选/密钥ID可选1234 |
mac-authentication userlogin-secure userlogin-secure-ext |
在界面左侧的导航栏中选择“无线服务 > WDS”,选择“WDS设置”页签,进入如图2-15所示WDS设置页面。
图2-15 WDS设置页面
在列表中找到要进行配置的射频模式,单击对应的图标,进入如图2-16所示WDS设置页面。
图2-16 WDS设置页面
WDS的详细配置如表2-14所示。
表2-14 WDS设置的详细配置
|
配置项 |
说明 |
|
射频单元 |
AP支持的射频号,取值为1或2。实际的取值与设备的型号有关,请以设备的实际情况为准 |
|
射频模式 |
实际的取值与设备的型号以及射频单元有关,请以设备的实际情况为准 |
|
字符串方式 |
以字符串方式输入预共享密钥 |
|
十六进制数方式 |
以十六进制数方式输入预共享密钥 |
|
预共享密钥 |
预共享密钥 l 若类型为字符串,则为8~63个字符的字符串 l 若类型为十六进制数,则为长度是64位的合法十六进制数 |
在AP每个的射频模式下可以配置该AP的邻居AP的MAC地址,只有指定的MAC地址可以建立WDS桥接。
如果不配置任何的邻居MAC地址,则表示该AP可以和任何其它AP建立WDS链路。如果设置了邻居MAC地址,那么该AP只能和这些指定的邻居AP建立WDS链路。
在导航栏中选择“无线服务 > WDS”,在列表中找到要进行配置的射频模式,单击对应的图标,进入图2-17所示配置邻居MAC地址。
在邻居MAC地址输入框中输入MAC地址,单击<新建>按钮完成操作。
在界面左侧的导航栏中选择“无线服务 > WDS”,选择“WDS设置”页签,在列表中找到要进行配置的射频模式,单击对应的图标
,进入如图2-18所示的WDS高级设置配置页面。
图2-18 WDS高级设置页面
WDS高级设置的详细配置如表2-15所示。
表2-15 WDS高级设置的详细配置
|
配置项 |
说明 |
|
网桥链路标识 |
设置网桥链路标识,设备的缺省标识由射频模式决定 |
|
保活时间间隔 |
配置链路保活报文发送时间间隔 |
|
链路回程速率 |
配置链路回程速率 |
|
STP |
WDS网络中可能存在以下环路类型:
当网络中存在环路时,可以结合STP选择性地阻塞冗余链路来消除环路,并且在WDS链路故障时还可以提供备链路备份的功能 WDS环路检测算法: l 开启:开启WDS环路检测 l 关闭:关闭WDS环路检测 缺省情况下,WDS环路检测功能处于开启状态 |
|
最大WDS链路数 |
设置允许建立的最大WDS链路数
在建立WDS时,如果在AP上建立的WDS链路大于2时,需要根据实际链路数进行设置 |
|
链路保持RSSI |
设置链路保持RSSI 用于建立和保持一条链路的最小RSSI值。一条链路的RSSI值必须不小于这个值,才能被建立和保持。因此这个值必须要保证,否则错误率会很高,链路性能会变差 |
|
速率选择 |
速率选择方式: l fixed(固定方式):采用的速率为固定值,其值为当前射频接口速率集的最大值 l realtiom(实时更新方式):采用的速率会根据链路质量(RSSI)实时变化,即速率值随射频接口下的信号强度(RSSI)而变化 缺省情况下,采用固定方式 |
|
VLAN(Tagged) |
添加Tagged的VLAN ID,VLAN(Tagged)表示端口成员发送该VLAN报文时带Tag标签 |
|
VLAN(Untagged) |
添加Untagged的VLAN ID, VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签 |
|
缺省VLAN |
设置端口的缺省VLAN 在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID |
|
排除下列VLAN |
删除已有Tagged和Untagged的VLAN ID |
在界面左侧的导航栏中选择“无线服务 > WDS”,选择“WDS全局设置”页签,进入如图2-19所示WDS全局设置页面。
图2-19 WDS基本设置页面
WDS全局设置的详细配置如表2-16所示。
表2-16 WDS全局设置的详细配置
|
配置项 |
说明 |
|
全局STP |
开启:全局STP处于开启状态 关闭:全局STP处于关闭状态 缺省情况下,全局STP处于关闭状态 |
在建立WDS链路时,必须为AP之间的WDS链路手工指定射频的工作信道,并且射频的工作信道必须保持一致。
在界面左侧的导航栏中选择“无线服务 > WDS”,选择“WDS设置”页签,进入如图2-20所示WDS设置配置页面。
选择需要开启的WDS服务,单击<开启>按钮完成操作。
配置Repeater服务需要同时在AP上配置WDS和无线接入服务:
l 为Repeater配置接入服务的相关配置请参见“2.1 配置接入服务”。
l 为Repeater配置WDS的相关配置请参见“2.2 配置WDS服务”。
配置成功后,在界面左侧的导航栏中选择“概览 > 射频”,在如图2-21服务类型中可以看到Repeater上的802.11g射频模式同时提供“接入”和“WDS服务”。
在界面左侧的导航栏中选择“无线服务 > Client模式”,选择“连接设置”页签,进入如图2-22所示设置页面。
选择需要开启的射频单元,单击<开启>按钮完成操作。
l 不同型号的设备支持的射频模式类型不同,请以设备的实际情况为准。
l 在开启了Client模式的Radio口下不能开启接入服务或WDS服务。
l 启用了Client模式后设备不支持PPPoE Client、802.1X Client和IPv6方式接入。
l
射频模式的修改可以通过在界面左侧的导航栏中选择“射频 > 射频设置”,在列表中选择需要配置的射频单元,单击对应的图标,通过“射频模式”选项更改。
l 如果采用802.11(2.4GHz)/802.11(5GHz)的客户端模式,那么该客户端可以扫描到802.11(2.4GHz)/802.11(5GHz)的无线服务。
开启Client模式后,可以通过无线服务列表查看到已有的无线服务。
图2-23 查看无线服务列表
在界面左侧的导航栏中选择“无线服务 > Client模式”,选择“连接设置”页签,单击“关联指定的无线服务”前面的图标
,输入待关联的无线服务的名称,单击<连接>按钮,完成Client模式的AP关联到指定的无线服务。
图2-24 关联指定的无线服务
在界面左侧的导航栏中选择“无线服务 > Client模式”,选择“连接设置”页签,单击“设置VLAN”前面的图标,输入VLAN编号,单击<设置>按钮,完成Client模式工作VLAN的设置。
图2-25 设置VLAN
l 设置的VLAN必须是已有的VLAN。
l 设置Client模式的工作VLAN需要关联到无线服务之后才能生效,而且一经设置就不可以修改,除非与当前关联的无线服务解除关联。
(1) 方式一:单击无线服务对应的<连接>图标
在无线服务列表中点击<连接>后,弹出密码设置对话框。
目前支持以下四种认证方式:
l Open System + Clear
l Open System + WEP
l Shared key + WEP
l RSN(TKIP/CCMP)+ PSK
表2-17 连接无线服务的详细配置
|
配置项 |
说明 |
|
网络验证 |
设置网络验证方式: l Open System:开放式系统认证,即不认证 l Shared Key:共享密钥认证,需要客户端和设备端配置相同的共享密钥 l RSN+PSK:PSK认证 |
|
数据加密 |
设置数据加密方式: l Clear:不加密 l WEP:采用WEP加密方式 l TKIP/CCMP:采用TKIP/CCMP加密方式 |
|
加密密钥 |
配置WEP密钥 |
|
密钥ID |
在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密 |
在相同页面,也可以在无线服务输入框中指定需要连接的无线服务。
图2-27 关联指定的无线服务
在输入框中添加指定的无线服务,单击<连接>后,会出现如图2-26所示的对话框,请按照具体的无线服务类型设置其中的选项。
在界面左侧的导航栏中选择“无线服务 > Client模式”,选择“统计信息”页签,进入如图2-28所示设置页面。
某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公。
具体要求如下:
l AP提供SSID为service1的明文方式的无线接入服务。
l 采用目前较为常用的802.11g射频模式。
图2-29 无线服务组网图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图2-30所示无线服务新建页面。
l 设置无线服务名称为“service1”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(3) 绑定并开启无线服务。
在导航栏中选择“无线服务 > 接入服务”,进入如图2-31所示页面。
l 单击“无线服务”中的<绑定>按钮,选择要绑定的射频单元,单击<绑定>按钮,完成无线服务和射频单元的绑定。
l 选中“service1”前的复选框,
l 单击<开启>按钮完成操作。
(4) 开启802.11n射频(缺省情况下,802.11n(2.4GHz)处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入图2-32所示射频设置页面,确认802.11n(2.4GHz)处于开启状态。
(1) 在导航栏中选择“概览 > 客户端”,进入图2-33所示查看成功上线的客户端。
只有当ARP Snooping功能处于开启状态时,WEB页面上才能显示AP获取的客户端IP地址,缺省情况下,ARP Snooping功能处于开启状态。
(2) 在AP上可以ping通客户端。
配置无线服务需注意如下事项:
l 选择正确的区域码
l 确认射频单元处于开启状态。
AP可以同时支持多个无线接入服务,不但无线接入服务可以采用不同的无线安全策略,而且可以将无线接入服务绑定到不同VLAN中,实现无线接入用户的隔离。本例要求如下:
l 建立一个名为“research”的无线接入服务,使用PSK认证方式,所有接入该无线网络的客户端都在VLAN 2中。
l 建立一个名为“office”的无线接入服务,使用明文接入方式,所有接入该无线网络的客户端都在VLAN 3中。
图2-34 基于接入服务的VLAN拓扑图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置名为research的无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入无线服务新建页面。
l 设置无线服务名称为“research”。
l 选择无线服务类型为“crypto”。
l 单击<确定>按钮完成操作。
# 创建无线服务后,直接进入配置无线服务界面,进行VLAN设置(请先通过“网络 > VLAN”,新建VLAN 2)。
图2-35 设置VLAN
l 设置VLAN(Untagged)为“2”。
l 设置缺省VLAN为“2”。
l 设置删除VLAN为“1”。
PSK认证的相关配置请参见“2.5.3 WPA-PSK认证典型配置举例”,可以完全参照相关举例完成配置。
(3) 配置名为office的无线服务
# 创建无线服务。
l 设置无线服务名称为“office”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
# 创建无线服务后,直接进入配置无线服务界面,配置VLAN(请先通过“网络 > VLAN”,新建VLAN 3)。
图2-36 设置VLAN
l 设置VLAN(Untagged)为“3”。
l 设置缺省VLAN为“3”。
l 设置删除VLAN为“1”。
l 单击<确定>按钮完成操作。
# 绑定无线服务对应的射频单元,并开启无线服务“office”和“research”,开启射频单元。
在导航栏中选择“概览 > 客户端”,进入图2-37所示查看成功上线的客户端。
通过该页面可知,接入SSID为“office”的客户端Client 2加入VLAN 3,接入SSID为“research”的客户端Client 1加入VLAN 2,两个客户端不在同一VLAN,相互不能访问。
要求客户端使用PSK方式接入无线网络,客户端的PSK密钥配置与AP端相同,为12345678。
图2-38 WPA-PSK认证配置组网图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图2-39所示无线服务新建页面。
l 设置无线服务名称为“psk”。
l 选择无线服务类型为“crypto”。
l 单击<确定>按钮完成操作。
(3) 配置无线服务。
创建无线服务后,直接进入配置无线服务界面,配置PSK认证需要对“安全设置”部分进行设置。
图2-40 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“加密类型”前的复选框,选择“CCMP/AES and TKIP”加密类型(请根据实际情况,选择需要的加密类型),选择“WPA”安全IE。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“psk”方式。
l 在PSK预共享密钥下拉框里选择“pass-phrase”,输入密钥“12345678”。
l 单击<确定>按钮完成操作。
(4) 绑定并开启无线服务。
在导航栏中选择“无线服务 > 接入服务”,进入如图2-41所示页面。
l 单击“无线服务”中的<绑定>按钮,选择要绑定的射频单元,单击<绑定>按钮,完成无线服务和射频单元的绑定。
l 选中“psk”前的复选框,
l 单击<开启>按钮完成操作。
(5) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11g处于开启状态。
(6) 配置无线客户端
打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为PSK),单击<连接>,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如图2-42所示。
客户端配置相同的PSK预共享密钥,客户端可以成功关联AP。
图2-43 客户端成功关联AP
客户端配置相同的PSK预共享密钥。客户端可以成功关联AP,并且可以访问无线网络。
要求使用客户端使用MAC地址本地认证方式接入无线网络。
图2-44 MAC地址本地认证配置组网图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图2-45所示无线服务新建页面。
l 设置无线服务名称为“mac-auth”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(3) 配置无线服务
创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对“安全设置”部分进行设置。
图2-46 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication” 方式。
l 选中“MAC认证”前的复选框,在域名下拉框中选择“system”(在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以创建新的域)。
l 单击<确定>按钮完成操作。
(4) 绑定并开启无线服务
在导航栏中选择“无线服务 > 接入服务”,进入如图2-47所示页面。
l 单击“无线服务”中的<绑定>按钮,选择要绑定的射频单元,单击<绑定>按钮,完成无线服务和射频单元的绑定。
l 选中“mac-auth”前的复选框,
l 单击<开启>按钮完成操作。
(5) 配置MAC认证列表
在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,进入如图2-48所示页面。
图2-48 新建MAC认证列表
l 在MAC地址栏里添加本地接入用户,本例中为“00-14-6c-8a-43-ff”。
l 单击<新建>按钮完成操作。
(6) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11g处于开启状态。
(7) 配置无线客户端
打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为mac-auth),单击<连接>,如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。
图2-49 配置无线客户端
l 如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。
l 在AP上可以ping通客户端。
要求使用客户端使用远程MAC地址认证方式接入无线网络。
l 一台RADIUS服务器(使用iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上已经添加了Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置了与AP交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
l AP的IP地址为10.18.1.1。AP与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。
图2-50 远程MAC地址认证配置组网图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置RADIUS方案
# 配置RADIUS认证服务器。
在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,进行如下配置,如图2-51所示。
图2-51 配置RADIUS认证服务器
l 选择服务类型为“认证服务器”。
l 输入主服务器IP地址为“10.18.1.88”。
l 输入主UDP端口为“1812”(保持缺省配置)。
l 选择主服务器状态为“active”。
l 单击<确定>按钮完成操作。
# 配置RADIUS计费服务器。
图2-52 配置RADIUS计费服务器
l 选择服务类型为“计费服务器”。
l 输入主服务器IP地址为“10.18.1.88”。
l 输入主UDP端口为“1813”(保持缺省配置)。
l 选择主服务器状态为“active”。
l 单击<确定>按钮完成操作
# 配置设备与RADIUS服务器交互的方案。
单击“RADIUS参数设置”页签,进行如下配置,如图2-53所示。
图2-53 配置设备与RADIUS服务器交互的方案
l 选择服务器类型为“extended”。
l 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。
l 输入确认认证密钥为“expert”。
l 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。
l 输入确认计费密钥为“expert”。
l 选择用户名格式为“without-domain”。
l 单击<确定>按钮完成操作。
(3) 配置AAA
# 创建ISP域。在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域)。
# 配置ISP域的AAA认证方案。
单击“认证”页签,进行如下配置,如图2-54所示。
图2-54 配置ISP域的AAA认证方案
l 选择域名为“system”。
l 选中“LAN-access认证”前的复选框,选择认证方式为“RADIUS”。
l 选择认证方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA授权方案。
单击“授权”页签,进行如下配置,如图2-55所示。
图2-55 配置ISP域的AAA授权方案
l 选择域名为“system”。
l 选中“LAN-access授权”前的复选框,选择授权方式为“RADIUS”。
l 选择授权方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA计费方案,并配置用户计费可选。
单击“计费”页签,进行如下配置,如图2-56所示。
图2-56 配置ISP域的AAA计费方案
l 选择域名为“system”。
l 选中“计费可选开关”前的复选框,选择“Enable”。
l 选中“LAN-access计费”前的复选框,选择计费方式为“RADIUS”。
l 选择计费方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图2-57所示无线服务新建页面。
l 设置无线服务名称为“mac-auth”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(5) 配置MAC地址认证
创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对“安全设置”部分进行设置。
图2-58 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。
l 选中“MAC认证”前的复选框,在域名下拉框中选择“system”。
l 单击<确定>按钮完成操作。
(6) 绑定并开启无线服务
在导航栏中选择“无线服务 > 接入服务”,进入如图2-59所示页面。
l 单击“无线服务”中的<绑定>按钮,选择要绑定的射频单元,单击<绑定>按钮,完成无线服务和射频单元的绑定。
l 选中“mac-auth”前的复选框,
l 单击<开启>按钮完成操作。
(7) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11g处于开启状态。
(8) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为expert;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图2-60 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置服务名为mac,其他保持缺省配置。
图2-61 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名和密码为00-14-6c-8a-43-ff;
l 选中刚才配置的服务mac。
图2-62 增加接入用户
认证过程中,客户端不需要用户手动输入用户名或者密码。该客户端通过MAC地址认证后,可以通过访问无线网络。在导航栏中选择“概览 > 客户端”,可以查看成功上线的客户端。
要求使用客户端使用远程802.1x认证方式接入无线网络。
l 一台RADIUS服务器(使用iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上已经添加了Client的用户名和密码(用户名为user,密码为dot1x),同时设置了与AP交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
l AP的IP地址为10.18.1.1。AP与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。
图2-63 远程802.1x认证配置组网图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网路 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
# 配置RADIUS认证服务器。
在导航栏中选择“认证 > RADIUS”,默认进入“RADIUS服务器配置”页签的页面,进行如下配置,如图2-64所示。
图2-64 配置RADIUS认证服务器
l 选择服务类型为“认证服务器”。
l 输入主服务器IP地址为“10.18.1.88”。
l 输入主UDP端口为“1812”(保持缺省配置)。
l 选择主服务器状态为“active”。
l 单击<确定>按钮完成操作。
# 配置RADIUS计费服务器。
图2-65 配置RADIUS计费服务器
l 选择服务类型为“计费服务器”。
l 输入主服务器IP地址为“10.18.1.88”。
l 输入主UDP端口为“1813”(保持缺省配置)。
l 选择主服务器状态为“active”。
l 单击<确定>按钮完成操作
# 配置设备与RADIUS服务器交互的方案。
单击“RADIUS参数设置”页签,进行如下配置,如图2-66所示。
图2-66 配置设备与RADIUS服务器交互的方案
l 选择服务器类型为“extended”。
l 选中“认证服务器共享密钥”前的复选框,输入认证密钥为“expert”。
l 输入确认认证密钥为“expert”。
l 选中“计费服务器共享密钥”前的复选框,输入计费密钥为“expert”。
l 输入确认计费密钥为“expert”。
l 选择用户名格式为“without-domain”。
l 单击<确定>按钮完成操作。
# 创建ISP域。在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域)。
# 配置ISP域的AAA认证方案。
单击“认证”页签,进行如下配置,如图2-67所示。
图2-67 配置ISP域的AAA认证方案
l 选择域名为“system”。
l 选中“LAN-access认证”前的复选框,选择认证方式为“RADIUS”。
l 选择认证方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA授权方案。
单击“授权”页签,进行如下配置,如图2-68所示。
图2-68 配置ISP域的AAA授权方案
l 选择域名为“system”。
l 选中“LAN-access授权”前的复选框,选择授权方式为“RADIUS”。
l 选择授权方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置ISP域的AAA计费方案,并配置用户计费可选。
单击“计费”页签,进行如下配置,如图2-69所示。
图2-69 配置ISP域的AAA计费方案
l 选择域名为“system”。
l 选中“计费可选开关”前的复选框,选择“Enable”。
l 选中“LAN-access计费”前的复选框,选择计费方式为“RADIUS”。
l 选择计费方案名称为“system”。
l 单击<应用>按钮,弹出配置进度对话框。
l 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(4) 配置无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图2-70所示无线服务新建页面。
l 设置无线服务名称为“dot1x”。
l 选择无线服务类型为“crypto”。
l 单击<确定>按钮完成操作。
(5) 配置802.1x认证
创建无线服务后,直接进入配置无线服务界面,配置802.1x认证需要对“安全设置”部分进行设置。
图2-71 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“加密类型”前的复选框,在加密类型下拉框中选择“CCMP/AES and TKIP”,在安全IE下拉框中选择“WPA2”。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。
l 选中“域名”前的复选框,在域名下拉框中选择“system”。
l 在认证方法下拉框中选择“EAP”。
l 建议关闭用户握手和多播触发。
l 单击<确定>按钮完成操作。
(6) 绑定并开启无线服务
在导航栏中选择“无线服务 > 接入服务”,进入如图2-72所示页面。
l 单击“无线服务”中的<绑定>按钮,选择要绑定的射频单元,单击<绑定>按钮,完成无线服务和射频单元的绑定。
l 选中“dot1x”前的复选框。
l 单击<开启>按钮完成操作。
(7) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11g处于开启状态。
(8) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为expert;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图2-73 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置服务名为dot1x。
l 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。
图2-74 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名为user,密码为dot1x;
l 选中刚才配置的服务dot1x。
图2-75 增加接入用户
在桌面的右下角选择无线连接的图标
,双击该图标弹出“无线网络连接状态”窗口,单击“常规”页签中的<属性>按钮,弹出“无线网络连接属性”窗口。在“无线网络配置”页签中选择SSID为“dot1X”的无线网络,单击<属性>按钮,弹出“dot1x属性”窗口,在“验证”页签中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用windows登录名和密码选项。然后“确定”。整个过程如下图所示。
图2-76 无线网卡配置过程
图2-77 无线网卡配置过程
图2-78 无线网卡配置过程
(1) 在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,可以查看成功上线的客户端。
要求使用客户端使用远程自动提供WEP密钥-802.1x认证方式接入无线网络。
l 一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
l AP的IP地址为10.18.1.1。在AP上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名。
图2-79 自动提供WEP密钥-802.1x配置组网图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置RADIUS方案
请参考“2.5.6 2. (2)配置RADIUS方案”部分。
(3) 配置AAA
请参考“2.5.6 2. (3)配置AAA”部分。
(4) 配置无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图2-80所示无线服务新建页面。
l 设置无线服务名称为“dot1x”。
l 选择无线服务类型为“crypto”。
l 单击<确定>按钮完成操作。
(5) 配置802.1x认证
创建无线服务后,直接进入配置无线服务界面,配置802.1x认证需要对“安全设置”部分进行设置。
图2-81 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“WEP加密”前的复选框,在自动提供密钥下拉框中选择“开启”。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。
l 选中“域名”前的复选框,在域名下拉框中选择“system”。
l 在认证方法下拉框中选择“EAP”。
l 建议关闭用户握手和多播触发。
l 单击<确定>按钮完成操作。
(6) 开启无线服务
在导航栏中选择“无线服务 > 接入服务”,进入如图2-82所示页面。
l 选中“dot1x”前的复选框。
l 单击<开启>按钮完成操作。
(7) 绑定AP的射频
在导航栏中选择“无线服务 > 接入服务”,单击无线服务“dot1x”对应的“绑定”图标,进入如绑定AP的射频所示页面。
图2-83 绑定AP的射频
l 选中“802.11n(2.4GHz)”前的复选框。
l 单击<绑定>按钮完成操作。
(8) 开启802.11n(2.4GHz)射频(缺省情况下,802.11n(2.4GHz)处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11n(2.4GHz)处于开启状态。
(9) 配置无线网卡
双击桌面的右下角图标,在弹出“无线网络连接状态”窗口上点击“属性”,在弹出的属性页面中单击<添加>按钮,选择关联页签,添加dot1x的SSID,并确保选择了“自动为我提供此密钥(H)”。
图2-84 无线网卡配置过程(关联对话框)
在验证页签中,选择EAP类型为“受保护的EAP(PEAP)”,点击“属性”,取消“验证服务器证书(V)”(此处不验证服务器证书),点击“配置”,取消“自动使用windows登录名和密码(以及域,如果有的话)(A)”。然后单击<确定>按钮完成客户端操作。
图2-85 无线网卡配置过程(验证对话框)
图2-86 无线网卡配置过程
图2-87 无线网卡配置过程
(1) 在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“概览 > 客户端”,可以查看成功上线的客户端。
某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.11n无线网络。
具体要求如下:
l AP提供SSID为service的明文方式的无线接入服务。
l 为了保护现有投资,兼容现有的802.11g无线网络,采用802.11n(2.4GHz)射频模式。
图2-88 802.11n无线服务组网图
(1) 配置FAT AP的接口IP地址
在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置无线服务
# 创建无线服务。
在导航栏中选择“无线服务 > 接入服务”,单击<新建>按钮,进入如图2-89所示无线服务新建页面。
l 设置无线服务名称为“11nservice”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(3) 绑定并开启无线服务。
在导航栏中选择“无线服务 > 接入服务”,进入如图2-31所示页面。
图2-90 绑定并开启无线服务
l 单击“无线服务”中的<绑定>按钮,选择要绑定的射频单元,单击<绑定>按钮,完成无线服务和射频单元的绑定。
l 选中“11nservice”前的复选框,
l 单击<开启>按钮完成操作。
(4) 开启802.11n(2.4GHz)射频(缺省情况下,802.11n(2.4GHz)处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入图2-91所示射频设置页面,确认802.11n(2.4GHz)处于开启状态。
(1) 在导航栏中选择“概览 > 客户端”,进入图2-92所示查看成功上线的客户端。
其中0014-6c8a-43ff是802.11g用户,001e-c144-473a是802.11n用户,因为本例中没有对用户类型进行限制,所以802.11g、802.11n用户都可以接入无线网络。如果开启了“只允许11n用户接入”,那么只有001e-c144-473a才能接入无线网络。
(2) 在AP上可以ping通客户端。
配置802.11n需注意如下事项:
l 在修改802.11n射频设置和速率设置之前要关闭射频。
l 在导航栏中选择“射频 > 射频设置”,选择需要配置的AP射频单元,单击“操作”进入射频配置页面可以修改关于802.11n的相关参数,包括带宽模式、A-MSDU、A-MSDU、short GI和允许11n用户接入情况。
l 确认802.11n(2.4GHz)处于开启状态。
l 在导航栏中选择“射频 > 速率设置”,可以修改802.11n的速率。
在如图2-93所示的室外环境中存在两个独立的局域网,如果采用有线方式连接这两个局域网,需要使用挖沟开渠等方式铺设线缆,这样做工期长、开销大。在这种部署有线网络不方便的情况下,可以采用WDS链路连接这两个局域网,实现两个局域网之间的互通。
具体部署方式如下:
l AP 1和AP 2分别连接在不同的局域网。
l 手工指定固定信道153,通过802.11a射频模式使AP 1和AP 2之间形成WDS链路。
l 为了保证WDS链路的安全性,设置预共享密钥为“12345678”。
图2-93 WDS配置组网图
(1) 配置AP 1和AP 2的接口IP地址
在AP 1和AP 2上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。
(2) 配置WDS
在导航栏中选择“无线服务 > WDS”,进入如图2-94所示WDS设置页面。
在列表中找到要进行配置的射频模式,单击对应的图标,进入如图2-95所示WDS设置页面。
图2-95 WDS设置页面
l 选择字符串方式,设置预共享密钥为“12345678”。
l 不对邻居列表进行操作,即AP可以和任何其它AP建立WDS链路。
l 单击<确定>按钮完成操作。
在界面左侧的导航栏中选择“射频 > 射频设置”,在列表中选择需要配置的射频单元,单击对应的图标,进入如图2-96所示的页面。
在信道下拉框中选择使用的信道。
# 开启802.11a射频(缺省情况下,802.11a处于开启状态,此步骤可选)
在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11a处于开启状态。
(4) 开启WDS
在导航栏中选择“无线服务 > WDS”,进入WDS设置页面。
图2-97 WDS设置
选中802.11a前的复选框,单击<开启>按钮完成操作。
查看WDS链路状态:
在导航栏中选择“概览 > WDS”,进入WDS显示页面。
图2-98 WDS显示页面
在一个WDS链路中,显示的信息包括:邻居MAC地址、本地MAC地址、邻居状态、链路UP时间、信号质量。
当信号质量显示为绿色(五格)时,表明信号质量最好;如果显示为黄色,则表明当前信号质量比较差,此时需要关注:当前采用的天线是否和Radio匹配、天线连接是否正确、当前射频的最大功率是否过小等。
要求在AP 1分别和AP 2,AP 3,AP 4建立WDS链路。
图2-99 WDS配置组网图
WDS配置和普通无线WDS配置基本相同,但需要注意以下几点:
l 在每个AP的射频模式下配置邻居AP的MAC地址(否则AP2、AP3、AP4之间也可能建立WDS链路),
l 设置允许建立的最大WDS链路数(缺省值为2,需要根据实际链路数进行设置,此例中在AP 1上该值应设为3)。
WDS配置和普通无线WDS配置相同,具体配置步骤请参见“2.6.1 2. 配置步骤”。
查看WDS链路状态:
l 在AP 1上的WDS链路状态页面(在导航栏中选择“概览 > WDS”)可以看到AP 1与AP 2、AP 3、AP 4建立的三条WDS链路。
l 在AP 2、AP 3和AP 4上的WDS链路状态页面(在导航栏中选择“概览 > WDS”)可以看到它们各自与AP 1建立的一条WDS链路。
l AP 1接入有线局域网,作为Repeater的AP通过WDS链路与AP 1建立连接,同时该Repeater也能为Client提供无线接入服务。
l 通过802.11g射频模式使AP 1和Repeater建立WDS链路。
l 通过802.11g射频模式使Client接入Repeater。
l AP 1与Repeater之间的WDS链路的信道需要保持一致,本例中选用802.11g射频模式下的信道11作为工作信道。
图2-100 Repeater模式配置组网图
l 配置AP 1:在AP 1上配置进行WDS,具体配置步骤请参见“2.6.1 2. 配置步骤”。
l 配置Repeater:在Repeater上配置进行WDS和接入服务。
在Repeater上进行以下配置。
(1) 配置WDS
在导航栏中选择“无线服务 > WDS”,进入如图2-101所示WDS设置页面。
在列表中找到要进行配置的802.11g射频模式,单击对应的图标,进入如图2-102所示WDS设置页面。
图2-102 WDS设置页面
l 选择字符串方式,设置预共享密钥为“12345678”。
l 单击<确定>按钮完成操作。
(2) 配置信道
# 手工配置相同的信道。
在界面左侧的导航栏中选择“射频 > 射频设置”,在列表中选择需要配置的射频单元,单击对应的图标,进入如图2-103所示的页面。
在信道下拉框中选择使用的信道11。
# 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)。
在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11g处于开启状态。
(3) 开启WDS
在导航栏中选择“无线服务 > WDS”,进入WDS设置页面。
图2-104 WDS设置
选中802.11g前的复选框,单击<开启>按钮完成操作。
(4) 配置接入服务
为Repeater配置接入服务的相关配置请参见“无线接入配置举例”,可以完全参照相关举例完成配置。
图2-105 配置接入服务
在Repeater上配置接入服务时,应保证其射频模式和WDS选用的射频模式保持一致。
# 验证Repeater模式中WDS链接已经建立。
在导航栏中选择“概览 > WDS”,进入WDS显示页面。单击射频单元2,可以查看邻居信息。
图2-106 显示WDS
# 验证已经成功建立Repeater模式。
在界面左侧的导航栏中选择“概览 > 射频”,在服务类型中可以看到Repeater上的802.11g射频模式同时提供“接入”和“mesh服务”,并且有一个用户通过repeater接入无线网络。
图2-107 显示射频
作为Workgroup Bridge的AP以Client的方式接入到无线网络中。Workgroup Bridge的以太网口连接有线网络中多个主机或打印机等,通过Workgroup Bridge使有线网络接入无线网络。
具体要求为:
l AP接入有线局域网,Workgroup Bridge(000f-e2333-5510)以客户端的方式接入AP;
l Workgroup Bridge采用RSN(CCMP)+PSK的方式接入名为psk的无线服务;
l Client(0014-6c8a-43ff)也接入名为psk的无线服务。
图2-108 Workgroup Bridge模式配置组网图
(1) 开启Client模式
在界面左侧的导航栏中选择“无线服务 > Client模式”,选择“连接设置”页签,进入如图2-109所示设置页面。
选中802.11g前的复选框,单击<开启>按钮完成操作。开启Client模式后,可以通过无线服务列表查看到已有的无线服务。
图2-110 查看无线服务列表
(2) 连接无线服务
选择无线服务名称为psk的无线服务,单击无线服务对应的[连接]图标,弹出密码设置对话框。
图2-111 设置密码
l 选择网络验证方式为“RSN+PSK”。
l 选择加密方式为“CCMP”。
l 加密密钥与AP侧保持一致,设置为“12345678”。
l 单击<确定>按钮完成操作。
在图2-108所示的AP设备上,在导航栏中选择“概览 > 客户端”,进入图2-112所示页面,可以查看Workgroup Bridge上线。
l 可以查看到Client(0014-6c8a-43ff)和Workgroup Bridge(000f-e2333-5510)都已经成功关联到AP上。
l Workgroup Bridge右侧的有线设备(如打印机、PC等)可以通过Workgroup Bridge接入无线网络。
如图2-113中,如果Workgroup Bridge同时使用两个Radio口,通过Radio 2上线的Client可以通过Workgroup Bridge接入AP。
图2-113 Workgroup Bridge同时使用两个Radio口
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
