H3C WX系列无线控制器产品 Web网管配置指导(R3308 R2308)-6W110

08-无线服务

1.3.4 WPA-PSK认证典型配置举例

1.3.5 MAC地址本地认证配置举例

1.3.6 远程MAC地址认证配置举例

1.3.7 远程802.1X认证配置举例

1.3.8 自动提供WEP密钥-802.1X认证配置举例

1 接入服务

WLAN（Wireless Local Area Network，无线局域网）技术是当今通信领域的热点之一，和有线相比，无线局域网的启动和实施相对简单，维护的成本低廉，一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而，WLAN系统不是完全的无线系统，它的服务器和骨干网仍然安置在固定网络，只是用户可以通过无线方式接入网络。

使用WLAN解决方案，网络运营商和企业能够为用户提供无线局域网服务，服务内容包括：

· 应用具有无线局域网功能的设备建立无线网络，通过该网络，用户可以连接到固定网络或因特网。

· 使用不同认证和加密方式，安全地访问WLAN。

· 为无线用户提供安全的网络接入和移动区域内的无缝漫游。

1.1 接入服务简介

1.1.1 常用术语

(1) 无线客户端

带有无线网卡的PC、笔记本电脑以及支持WiFi功能的各种终端。

(2) AP（Access Point，接入点）

AP提供无线客户端到局域网的桥接功能，在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。

(3) AC（Access Controller，接入控制器）

无线控制器对无线局域网中的与其关联的AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息，来为WLAN用户提供认证服务。

(4) SSID

SSID（Service Set Identifier，服务集识别码），客户端可以先进行无线扫描，然后选择特定的SSID接入某个指定无线网络。

1.1.2 用户接入过程

无线用户首先需要通过主动/被动扫描发现周围的无线服务，再通过认证和关联两个过程后，才能和AP建立连接，最终接入无线局域网。整个过程如下图所示。

图1-1 建立无线连接过程

1. 无线扫描

无线客户端有两种方式可以获取到周围的无线网络信息：一种为主动扫描，无线客户端在扫描的时候，同时主动发送一个探测请求帧（Probe Request帧），通过收到探查响应帧（Probe Response）获取网络信息；另外一种是被动扫描，无线客户端只是通过监听周围AP发送的Beacon（信标帧）获取无线网络信息。

无线客户端在实际工作过程中，通常同时使用主动扫描和被动扫描获取周围的无线网络信息。

(1) 主动扫描

无线客户端在工作过程中，会定期地搜索周围的无线网络，也就是主动扫描周围的无线网络。根据Probe Request帧（探测请求帧）是否携带SSID，可以将主动扫描分为两种：

· 客户端发送Probe Request帧（Probe Request中SSID为空，也就是SSID IE的长度为0）：客户端会定期地在其支持的信道列表中，发送Probe Request帧扫描无线网络。当AP收到探查请求帧后，会回应Probe Response帧通告可以提供的无线网络信息。无线客户端通过主动扫描，可以主动获知可使用的无线服务，之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端主动扫描方式的过程如下图所示。

图1-2 主动扫描过程（Probe Request中SSID为空，也就是不携带任何SSID信息）

· 客户端发送Probe Request帧（携带指定的SSID）：当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下，客户端也会定期发送Probe Request帧(携带已经配置或者已经连接的无线网络的SSID)，当能够提供指定SSID无线服务的AP接收到探测请求后回复探查响应。通过这种方法，无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如下图所示。

图1-3 主动扫描过程（Probe Request携带指定的SSID为“AP 1”）

(2) 被动扫描

被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧，所以无线客户端可以定期在支持的信道列表监听Beacon帧获取周围的无线网络信息。当用户需要节省电量时，可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。被动扫描的过程如下图所示。

图1-4 被动扫描过程

2. 认证过程

为了保证无线链路的安全，AC需要完成对客户端的认证，只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制：开放系统认证和共享密钥认证。

· 开放系统认证（Open system authentication）

开放系统认证是缺省使用的认证机制，也是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤：第一步是无线客户端发起认证请求，第二步AP确定无线客户端可以通过无线链路认证，并向无线客户端回应认证结果为“成功”。

图1-5 开放系统认证过程

· 共享密钥认证（Shared key authentication）

共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。

共享密钥认证的认证过程为：客户端先向设备发送认证请求，无线设备端会随机产生一个Challenge包（即一个字符串）发送给客户端；客户端会将接收到的Challenge加密后再发送给无线设备端；无线设备端接收到该消息后，对该消息解密，然后对解密后的字符串和原始字符串进行比较。如果相同，则说明客户端通过了Shared Key链路认证；否则Shared Key链路认证失败。

图1-6 共享密钥认证过程

3. 关联过程

如果用户想通过AP接入无线网络，用户必须同特定的AP关联。当用户通过指定SSID选择无线网络，并通过AP认证后，就可以向AP发送关联请求帧。AP将用户信息添加到数据库，向用户回复关联响应。用户每次只可以关联到一个AP上，并且关联总是由用户发起。

1.1.3 WLAN服务的数据安全

相对于有线网络，WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介，任何一个设备可以接收到其它所有设备的数据，这个特性直接威胁到WLAN接入数据的安全。

802.11协议致力于解决WLAN的安全问题，主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密。其它的设备虽然可以接收到数据报文，但是由于没有对应的密钥，无法对数据报文解密，从而实现了WLAN数据的安全性保护。目前支持四种安全服务。

(1) 明文数据

该种服务本质上为无安全保护的WLAN服务，所有的数据报文都没有通过加密处理。

(2) WEP加密

WEP（Wired Equivalent Privacy，有线等效加密）用来保护WLAN中的授权用户所交换的数据的机密性，防止这些数据被随机窃听。WEP使用RC4加密算法（一种流加密算法）实现数据报文的加密保护。根据WEP密钥的生成方式，WEP加密分为静态WEP加密和动态WEP加密。

· 静态WEP加密：

静态WEP加密要求手工指定WEP密钥，接入同一SSID下的所有客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏，攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。

· 动态WEP加密：

动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中，用来加密单播数据帧的WEP密钥并不是手工指定的，而是由客户端和服务器通过802.1X协议协商产生，这样每个客户端协商出来的WEP单播密钥都是不同的，提高了单播数据帧传输的安全性。

虽然WEP加密在一定程度上提供了安全性和保密性，增加了网络侦听、会话截获等的攻击难度，但是受到RC4加密算法、过短的初始向量等限制，WEP加密还是存在比较大的安全隐患。

(3) TKIP加密

TKIP和WEP加密机制都是使用RC4算法，但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护。

首先，TKIP通过增长了算法的IV长度提高了WEP加密的安全性。相比WEP算法，TKIP将WEP密钥的长度由40位加长到128位，初始化向量IV的长度由24位加长到48位；

其次，虽然TKIP采用的还是和WEP一样的RC4加密算法，但其动态密钥的特性很难被攻破，并且TKIP支持密钥更新机制，能够及时提供新的加密密钥，防止由于密钥重用带来的安全隐患；

另外，TKIP还支持了MIC认证（Message Integrity Check，信息完整性校验）和Countermeasure功能。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，可以采取一系列的对策，来阻止黑客的攻击。

(4) CCMP加密

CCMP（Counter mode with CBC-MAC Protocol，[计数器模式]搭配[区块密码锁链－信息真实性检查码]协议）加密机制是基于AES（Advanced Encryption Standard，高级加密标准）加密算法的CCM（Counter-Mode/CBC-MAC，区块密码锁链－信息真实性检查码）方法。CCM结合CTR（Counter mode，计数器模式）进行机密性校验，同时结合CBC-MAC（区块密码锁链－信息真实性检查码）进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法，每一个无线用户都会动态的协商一套密钥，而且密钥可以定时进行更新，进一步提供了CCMP加密机制的安全性。在加密处理过程中，CCMP也会使用48位的PN（Packet Number）机制，保证每一个加密报文都会是用不同的PN，在一定程度上提高安全性。

1.1.4 用户接入认证

(1) PSK认证

PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥，如果密钥相同，PSK接入认证成功；如果密钥不同，PSK接入认证失败。

(2) 802.1X认证

802.1X协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问WLAN中的资源；如果不能通过认证，则无法访问WLAN中的资源。

接入设备的管理者可以选择使用RADIUS或本地认证方法，以配合802.1X完成用户的身份认证。关于远程和本地802.1X认证的介绍和配置可以参考“认证”。

(3) MAC地址认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。通过手工维护一组允许访问的MAC地址列表，实现对客户端物理地址过滤，但这种方法的效率会随着终端数目的增加而降低，因此MAC地址认证适用安全需求不太高的场合，如家庭、小型办公室等环境。

MAC地址认证分为以下两种方式：

· 本地MAC地址认证：当选用本地认证方式进行MAC地址认证时，需要在设备上预先配置允许访问的MAC地址列表，如果客户端的MAC地址不在允许访问的MAC地址列表，将被拒绝其接入请求。

图1-7 本地MAC地址认证

· 远程MAC地址认证，即通过RADIUS服务器进行MAC地址认证。当MAC接入认证发现当前接入的客户端为未知客户端，会主动向RADIUS服务器发起认证请求，在RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问无线网络以及获得相应的授权信息。

图1-8 远程MAC地址认证

采用RADIUS服务器进行MAC地址认证时，可以通过在各无线服务下分别指定各自的domain域，将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器。

1.1.5 802.11n协议

802.11n作为802.11协议族的一个新协议，支持2.4GHz和5GHz两个频段，致力于为WLAN接入用户提供更高的吞吐量，802.11n主要通过增加带宽和提高信道利用率两种方式来提高吞吐量。

增加带宽：802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽，在实际工作时可以作为两个20MHz的带宽使用。当使用40MHz带宽时，可将速率提高一倍，提高无线网络的吞吐量。

提高信道利用率：对信道利用率的提高主要体现在三个方面。

· 802.11n标准中采用A-MPDU聚合帧格式，即将多个MPDU聚合为一个A-MPDU，只保留一个PHY头，删除其余MPDU的PHY头，减少了传输每个MPDU的PHY头的附加信息，同时通过Block Ack减少了ACK帧的数目，从而降低了协议的负荷，有效的提高网络吞吐量。

· 802.11n协议定义了一个新的MAC特性A-MSDU，该特性实现了将多个MSDU组合成一个A-MSDU发送，与A-MPDU类似，通过聚合，A-MSDU减少了传输每个MSDU的MAC头的附加信息，提高了MAC层的传输效率。

· 802.11n支持在物理层的优化，提供短间隔功能。原11a/g的GI时长800us，而短间隔Short GI时长为400us，在使用Short GI的情况下，可提高10%的速率。

1.2 配置接入服务

接入服务配置的推荐步骤如下表所示。

表1-1 接入服务配置步骤

步骤	配置任务	说明
1	新建无线服务	必选
2	配置clear类型的无线服务	两者必选其一按实际需求完成接入服务页面的安全设置部分
3	配置crypto类型的无线服务	两者必选其一按实际需求完成接入服务页面的安全设置部分
4	开启无线服务	必选
5	绑定AP的射频	必选
6	开启射频	必选
7	查看无线服务的详细信息	可选

1.2.1 新建无线服务

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”，进入如下图所示接入服务配置页面。

图1-9 接入服务配置页面

(2) 单击<新建>按钮，进入如下图所示无线服务新建页面。

图1-10 接入服务新建页面

(3) 配置无线服务，详细配置如下表所示。

(4) 单击<确定>按钮完成操作。

表1-2 新建无线服务的详细配置

配置项	说明
无线服务名称	设置SSID（Service Set Identifier，服务集识别码），无线服务名称可以为1～32个字符的字符串，可以包含字母、数字及下划线，区分大小写，可以包含空格 SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称，也不推荐使用长随机数序列作为SSID，因为长随机数序列只是增加了头域负载，对无线安全没有改进
无线服务类型	选择无线服务类型： · clear：使用明文发送无线服务 · crypto：使用密文发送无线服务

配置项

说明

无线服务名称

设置SSID（Service Set Identifier，服务集识别码），无线服务名称可以为1～32个字符的字符串，可以包含字母、数字及下划线，区分大小写，可以包含空格

SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称，也不推荐使用长随机数序列作为SSID，因为长随机数序列只是增加了头域负载，对无线安全没有改进

无线服务类型

选择无线服务类型：

· clear：使用明文发送无线服务

· crypto：使用密文发送无线服务

1.2.2 配置clear类型无线服务

1. clear类型无线服务基本配置

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2) 在列表中找到要进行配置的clear类型无线服务，单击对应的图标，进入如下图所示的配置页面。

在配置clear类型的无线服务时，需要先将其服务状态改为关闭，单击对应的图标，才能对该无线服务进行配置。

图1-11 clear类型无线服务基本配置页面

(3) 配置clear类型无线服务基本信息，详细配置如下表所示。

(4) 单击<确定>按钮完成操作。

表1-3 clear类型无线服务基本配置的详细配置

配置项	说明
无线服务名称	显示选择的SSID
VLAN（Untagged）	添加Untagged的VLAN ID，VLAN（Untagged）表示端口成员发送该VLAN报文时不带Tag标签
缺省VLAN	设置端口的缺省VLAN 在缺省情况下，所有端口的缺省VLAN均为VLAN 1，设置新的缺省VLAN后，VLAN 1为Untagged的VLAN ID
删除VLAN	删除已有Tagged和Untagged的VLAN ID
网络隐藏	· Enable：禁止在信标帧中通告SSID · Disable：在信标帧中通告SSID 缺省情况下，信标帧通告SSID · SSID隐藏后，AP发送的信标帧里面不包含SSID信息，接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP · 隐藏SSID对无线安全意义不大，允许广播SSID可以使客户端更容易发现AP

2. clear类型无线服务高级配置

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2) 在列表中找到要进行配置的clear类型无线服务，单击对应的图标，进入如下图所示clear类型无线服务高级配置页面。

图1-12 clear类型无线服务高级配置页面

(3) 配置clear类型无线服务高级信息，详细配置如下表所示。

(4) 单击<确定>按钮完成操作。

表1-4 clear类型无线服务高级配置的详细配置

配置项	说明
本地转发	本地转发是一种在AP上完成客户端之间数据交互的转发模式。在集中式WLAN 架构中，AP会将客户端的数据报文透传给AC，由AC集中处理。随着客户端速率的不断提高，AC的转发压力也随之增大。采用本地转发后，AP直接转发客户端的数据，AC不再参与数据转发，大大减轻了AC的负担 · Enable：开启本地转发功能。打开本地转发功能后，由AP进行数据帧的转发 · Disable：关闭本地转发功能。关闭本地转发功能后，数据帧由AC转发
本地转发VLAN	同一个SSID下的客户端有可能属于不同的VLAN，在配置本地转发策略的时候需要考虑VLAN因素时，可以设置本地转发VLAN
关联最大用户数	在一个射频下，某个SSID下的关联客户端的最大个数当某个SSID下关联的客户端达到最大个数时，该SSID会自动隐藏
管理权限	上线的客户端对设备WEB界面的管理权限 · Disable：表示上线的客户端对设备WEB界面没有管理权限 · Enable：表示上线的客户端对设备WEB界面有管理权限
MAC VLAN功能	· Enable：表示在指定无线服务下开启MAC VLAN功能 · Disable：表示在指定无线服务下关闭MAC VLAN功能开启MAC VLAN是配置基于AP区分接入VLAN功能时，绑定VLAN ID操作前的一个必要的前提条件
快速关联功能	· 开启：开启快速关联功能 · 关闭：关闭快速关联功能缺省情况下，快速关联功能处于关闭状态开启此功能后，设备不会对关联到此无线服务的客户端进行频谱导航和负载均衡计算

3. clear类型无线服务安全配置

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2) 在列表中找到要进行配置的clear类型无线服务，单击对应的图标，进入clear类型无线服务安全配置页面。

图1-13 clear类型无线服务安全配置页面

(3) 配置clear类型无线服务安全信息，详细配置如下表所示。

(4) 单击<确定>按钮完成操作。

表1-5 clear类型无线服务安全配置的详细配置

配置项	说明
认证方式	clear类型只能选择Open-System方式
端口安全	· mac-authentication：对接入用户采用MAC地址认证 · mac-else-userlogin-secure：端口同时处于mac-authentication模式和userlogin-secure模式，但MAC地址认证优先级大于802.1X认证；对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证，如果MAC地址认证失败进行802.1X认证 · mac-else-userlogin-secure-ext：与mac-else-userlogin-secure类似，但允许端口下有多个802.1X和MAC地址认证用户 · userlogin-secure：对接入用户采用基于MAC的802.1X认证，此模式下，端口允许多个802.1X认证用户接入，但只有一个用户在线 · userlogin-secure-or-mac：端口同时处于userlogin-secure模式和mac-authentication模式，但802.1X认证优先级大于MAC地址认证；在用户接入方式为无线的情况下，报文首先进行802.1X认证，如果802.1X认证失败再进行MAC地址认证 · userlogin-secure-or-mac-ext：与userlogin-secure-or-mac类似，但允许端口下有多个802.1X和MAC地址认证用户 · userlogin-secure-ext：对接入用户采用基于MAC的802.1X认证，且允许端口下有多个802.1X用户由于安全模式种类较多，为便于记忆，部分端口安全模式名称的构成可按如下规则理解： · “userLogin”表示基于端口的802.1X认证 · “mac”表示MAC地址认证 · “Else”之前的认证方式先被采用，失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式 · “Or”连接的两种认证方式无固定生效顺序，设备根据请求认证的报文协议类型决定认证方式，但无线接入的用户先采用802.1X认证方式 · 携带“Secure”的userLogin表示基于MAC地址的802.1X认证 · 携带“Ext”表示可允许多个802.1X用户认证成功，不携带则表示仅允许一个802.1X用户认证成功
最大用户数	控制能够通过某端口接入网络的最大用户数

当选择mac-authentication时，需要配置如下选项。

图1-14 mac-authentication端口安全配置页面

表1-6 mac-authentication端口安全配置的详细配置

配置项	说明
端口模式	mac-authentication：对接入用户采用MAC地址认证在导航栏中选择“无线服务 > 接入服务”，单击<MAC认证列表>按钮，输入客户端的MAC地址
最大用户数	控制能够通过某端口接入网络的最大用户数
MAC认证	选中“MAC认证”前的复选框
域名	在下拉框中选择已存在的域设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”，选择“域设置”页签，在域名下拉输入框中可以新建域需要注意的是： · 在该选项中选择的域名仅对此无线服务生效，并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费 · 请不要删除使用中的域，否则会导致使用此无线服务的客户端下线

当选择userlogin-secure/userlogin-secure-ext时，需要配置如下选项。

图1-15 userlogin-secure/userlogin-secure-ext端口安全配置页面（以userlogin-secure为例）

表1-7 userlogin-secure/userlogin-secure-ext端口安全配置的详细配置

配置项	说明
端口模式	· userlogin-secure：对接入用户采用基于MAC的802.1X认证，此模式下，端口允许多个802.1X认证用户接入，但只有一个用户在线 · userlogin-secure-ext：对接入用户采用基于MAC的802.1X认证，且允许端口下有多个802.1X用户
最大用户数	控制能够通过某端口接入网络的最大用户数
域名	在下拉框中选择已存在的域设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”，选择“域设置”页签，在域名下拉输入框中可以新建域需要注意的是： · 在该选项中选择的域名仅对此无线服务生效，并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费 · 请不要删除使用中的域名，否则会导致正在使用此无线服务的客户端下线
认证方法	· EAP：采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中，发送给RADIUS服务器完成认证，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 · CHAP：采用CHAP认证方式。缺省情况下，采用CHAP认证方式。表示在网络上以明文方式传输用户名，以密文方式传输口令。相比之下，CHAP认证保密性较好，更为安全可靠 · PAP：采用PAP认证方式。PAP采用明文方式传送口令
用户握手	· Enable：开启在线用户握手功能，通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下，在线用户握手功能处于开启状态 · Disable：关闭在线用户握手功能
多播触发	· Enable：开启802.1X的组播触发功能，即周期性地向客户端发送组播触发报文。缺省情况下，802.1X的组播触发功能处于开启状态 · Disable：关闭802.1X的组播触发功能对于无线局域网来说，可以由客户端主动发起认证，或由无线模块发现用户并触发认证，而不必端口定期发送802.1X的组播报文来触发。同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭该功能

当选择其他四种端口安全时，需要配置如下选项。

图1-16 四种端口安全配置页面（以mac-else-userlogin-secure为例）

表1-8 其它四种端口安全配置的详细配置

配置项	说明
端口模式	· mac-else-userlogin-secure：端口同时处于mac-authentication模式和userlogin-secure模式，但MAC地址认证优先级大于802.1X认证；对于非802.1X报文直接进行MAC地址认证。对于802.1X报文先进行MAC地址认证，如果MAC地址认证失败进行802.1X认证 · mac-else-userlogin-secure-ext：与mac-else-userlogin-secure类似，但允许端口下有多个802.1X和MAC地址认证用户 · userlogin-secure-or-mac：端口同时处于userlogin-secure模式和mac-authentication模式，但802.1X认证优先级大于MAC地址认证；在用户接入方式为无线的情况下，报文首先进行802.1X认证，如果802.1X认证失败再进行MAC地址认证 · userlogin-secure-or-mac-ext：与userlogin-secure-or-mac类似，但允许端口下有多个802.1X和MAC地址认证用户在导航栏中选择“无线服务 > 接入服务”，单击<MAC认证列表>按钮，输入客户端的MAC地址
最大用户数	控制能够通过某端口接入网络的最大用户数
域名	在下拉框中选择已存在的域，配置了强制认证域后，所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”，选择“域设置”页签，在域名下拉输入框中可以新建域
认证方法	· EAP：采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中，发送给RADIUS服务器完成认证，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 · CHAP：采用CHAP认证方式。缺省情况下，采用CHAP认证方式。表示在网络上以明文方式传输用户名，以密文方式传输口令。相比之下，CHAP认证保密性较好，更为安全可靠 · PAP：采用PAP认证方式。PAP采用明文方式传送口令
用户握手	· Enable：开启在线用户握手功能，通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下，在线用户握手功能处于开启状态 · Disable：关闭在线用户握手功能
多播触发	· Enable：开启802.1X的组播触发功能，即周期性地向客户端发送组播触发报文。缺省情况下，802.1X的组播触发功能处于开启状态 · Disable：关闭802.1X的组播触发功能对于无线局域网来说，可以由客户端主动发起认证，或由无线模块发现用户并触发认证，而不必端口定期发送802.1X的组播报文来触发。同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭该功能
MAC认证	选中“MAC认证”前的复选框
域名	在下拉框中选择已存在的域设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”，选择“域设置”页签，在域名下拉输入框中可以新建域需要注意的是： · 在该选项中选择的域名仅对此无线服务生效，并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费 · 请不要删除使用中的域名，否则会导致正在使用此无线服务的客户端下线

1.2.3 配置crypto类型无线服务

1. crypto类型无线服务基本配置

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2) 在列表中找到要进行配置的crypto类型无线服务，单击对应的图标，进入如下图所示页面。

图1-17 crypto类型无线服务基本配置页面

(3) 配置crypto类型无线服务基本配置，详细配置请参见表1-3。

(4) 单击<确定>按钮完成操作。

2. crypto类型无线服务高级配置

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2) 在列表中找到要进行配置的crypto类型无线服务，单击对应的图标，进入如下图所示页面。

图1-18 crypto类型无线服务高级配置页面

(3) 配置crypto类型无线服务高级信息，详细配置如下表所示。

(4) 单击<确定>按钮完成操作。

表1-9 crypto类型无线服务高级配置的详细配置

配置项	说明
本地转发	本地转发是一种在AP上完成客户端之间数据交互的转发模式。在集中式WLAN 架构中，AP会将客户端的数据报文透传给AC，由AC集中处理。随着客户端速率的不断提高，AC的转发压力也随之增大。采用本地转发后，AP直接转发客户端的数据，AC不再参与数据转发，大大减轻了AC的负担 · Enable：开启本地转发功能。打开本地转发功能后，由AP进行数据帧的转发 · Disable：关闭本地转发功能。关闭本地转发功能后，数据帧由AC转发
本地转发VLAN	同一个SSID下的客户端有可能属于不同的VLAN，在配置本地转发策略的时候需要考虑VLAN因素时，可以设置本地转发VLAN
关联最大用户数	在一个射频下，某个SSID下关联客户端的最大个数当某个SSID下关联的客户端达到最大个数时，该SSID会自动隐藏
PTK生存时间	设置PTK的生存时间，PTK通过四次握手方式生成
TKIP反制策略实施时间	设置反制策略实施时间缺省情况下，TKIP反制策略实施的时间为0秒，即不启动反制策略 MIC（Message Integrity Check，信息完整性校验）是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。启动反制策略后，如果在一定时间内发生了两次MIC错误，则会解除所有关联到该无线服务的客户端，并且只有在TKIP反制策略实施的时间后，才允许客户端重新建立关联
管理权限	上线的客户端对设备WEB界面的管理权限 · Disable：表示上线的客户端对设备WEB界面没有管理权限 · Enable：表示上线的客户端对设备WEB界面有管理权限
MAC VLAN功能	· Enable：表示在指定无线服务下开启MAC VLAN功能 · Disable：表示在指定无线服务下关闭MAC VLAN功能开启MAC VLAN是配置基于AP区分接入VLAN功能时，绑定VLAN ID操作前的一个必要的前提条件
快速关联功能	· 开启：开启快速关联功能 · 关闭：关闭快速关联功能缺省情况下，快速关联功能处于关闭状态开启此功能后，设备不会对关联到此无线服务的客户端进行频谱导航和负载均衡计算
GTK更新方法	GTK由AC生成，在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文 · 选用基于时间更新的方法，需要指定GTK密钥更新的周期时间间隔 · 选用基于数据包更新的方法，需要指定传输的数据包的数目，在传送指定数目的数据包后更新GTK 缺省情况下，GTK密钥更新采用基于时间的方法，缺省的时间间隔是86400秒
客户端离线更新GTK	启动当客户端离线时更新GTK的功能缺省情况下，客户端离线更新GTK的功能处于关闭状态

3. crypto类型无线服务安全配置

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2) 在列表中找到要进行配置的crypto类型无线服务，单击对应的图标，进入如下图所示页面。

图1-19 crypto类型无线服务安全配置页面

(3) 配置crypto类型无线服务安全信息，详细配置如下表所示。

(4) 单击<确定>按钮完成操作。

表1-10 crypto类型无线服务安全配置的详细配置

配置项	说明
认证方式	· Open-System：即不认证，如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证 · Shared-Key：共享密钥认证需要客户端和设备端配置相同的共享密钥；只有在使用WEP加密时才可选用shared-key认证机制 · Open-System and Shared-Key：可以同时选择使用Open-System和Shared-Key认证 WEP加密方式可以分别和Open system、Shared key链路认证方式使用。 · 采用Open system authentication方式：此时WEP密钥只做加密，即使密钥配置不一致，用户也可以成功建立无线链路，但所有的数据都会因为密钥不一致被接收端丢弃 · 采用Shared key authentication方式：此时WEP密钥同时作为认证密钥和加密密钥，如果密钥配置不一致，客户端就不能通过链路认证，也就无法接入无线网络
加密类型	无线服务支持加密机制： · AES-CCMP：一种基于AES加密算法的加密机制 · TKIP：一种基于RC4算法和动态密钥管理的加密机制 · AES-CCMP and TKIP：可以同时选择使用CCMP和TKIP加密
安全IE	无线服务类型（Beacon或者Probe response报文中携带对应的IE信息）： · WPA：在802.11i协议之前，Wi-Fi Protected Access定义的安全机制 · WPA2：802.11i定义的安全机制，也就是RSN（Robust Security Network，健壮安全网络）安全机制，提供比WEP和WPA更强的安全性 · WPA and WPA2：同时选择使用WPA和WPA2
WEP加密
自动提供密钥	使用自动提供WEP密钥方式 · 开启：使用自动提供WEP密钥方式 · 关闭：使用静态WEP密钥方式缺省情况下，使用静态WEP密钥方式选择自动提供WEP密钥方式后，“密钥类型”选项会自动使用WEP 104加密方式 · 自动提供WEP密钥必须和802.1X认证方式一起使用 · 配置动态WEP加密后，用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥，则该WEP密钥作为组播密钥，用来加密组播数据帧。如果不配置WEP密钥，则由设备随机生成组播密钥
密钥类型	· WEP 40：选择WEP 40进行加密 · WEP 104：选择WEP104进行加密 · WEP 128：选择WEP 128进行加密
密钥ID	1：选择密钥索引为1 2：选择密钥索引为2 3：选择密钥索引为3 4：选择密钥索引为4 在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密
长度	选择WEP密钥长度 · 当密钥类型选择WEP40时，可选的密钥长度5个字符（5 Alphanumeric Chars）或者10位16进制数（10 Hexadecimal Chars） · 当密钥类型选择WEP104时，可选的密钥长度13个字符（13 Alphanumeric Chars）或者26位16进制数（26 Hexadecimal Chars） · 当密钥类型选择WEP 128时，可选的密钥长度16个字符（16 Alphanumeric Chars）或者32位16进制数（32 Hexadecimal Chars）
密钥	配置WEP密钥
端口安全	请参见表1-5 “认证方式”、“加密类型”等参数直接决定了端口模式的可选范围，具体请参见表1-13 在选则“加密类型”后，增加以下四种端口安全模式： · mac and psk：接入用户必须先进行MAC地址认证，通过认证后使用预先配置的预共享密钥与设备协商，协商成功后可访问端口 · psk：接入用户必须使用设备上预先配置的静态密钥，即PSK（Pre-Shared Key，预共享密钥）与设备进行协商，协商成功后可访问端口 · userlogin-secure-ext：对接入用户采用基于MAC的802.1X认证，且允许端口下有多个802.1X用户

当选择mac and psk时，需要配置如下选项。

图1-20 mac and psk端口安全配置页面

表1-11 mac and psk端口安全配置的详细配置

配置项	说明
端口模式	mac and psk：接入用户必须先进行MAC地址认证，通过认证后使用预先配置的预共享密钥与设备协商，协商成功后可访问端口在导航栏中选择“无线服务 > 接入服务”，单击<MAC认证列表>按钮，输入客户端的MAC地址
最大用户数	控制能够通过某端口接入网络的最大用户数
MAC认证	选中“MAC认证”前的复选框
域名	在下拉框中选择已存在的域设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”，选择“域设置”页签，在域名下拉输入框中可以新建域需要注意的是：在该选项中选择的域名仅对此无线服务生效 · 在该选项中选择的域名仅对此无线服务生效，并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费 · 请不要删除使用中的域名，否则会导致正在使用此无线服务的客户端下线
域共享密钥	· pass-phrase：以字符串方式输入预共享密钥，输入8～63个字符的可显示字符串。 · raw-key：以十六进制数方式输入预共享密钥，输入长度是64位的合法十六进制数。

当选择psk时，需要配置如下选项。

图1-21 psk端口安全配置页面

表1-12 psk端口安全配置的详细配置

配置项	说明
端口模式	psk：接入用户必须使用设备上预先配置的静态密钥，即PSK（Pre-Shared Key，预共享密钥）与设备进行协商，协商成功后可访问端口
最大用户数	控制能够通过某端口接入网络的最大用户数
域共享密钥	· pass-phrase：以字符串方式输入预共享密钥，输入8～63个字符的可显示字符串。 · raw-key：以十六进制数方式输入预共享密钥，输入长度是64位的合法十六进制数。

当选择userlogin-secure-ext时，需要配置的选项如表1-7所示。

1.2.4 安全参数关系表

clear类型和crypto类型无线服务类型下，各参数之间的关系：

表1-13 安全参数关系表

服务类型	认证方式	加密类型	安全IE	WEP加密/密钥ID	端口模式
clear	Open-System	不可选	不可选	不可选	mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext userlogin-secure userlogin-secure-ext userlogin-secure-or-mac userlogin-secure-or-mac-ext
crypto	Open-System	选择	必选	WEP加密可选/密钥ID可选234	mac and psk psk userlogin-secure-ext
	Open-System	不选择	不可选	WEP加密必选/密钥ID可选123	mac-authentication userlogin-secure userlogin-secure-ext
	Shared-Key	不可选	不可选	WEP加密必选/密钥ID可选1234	mac-authentication
	Open-System and Shared-Key	选择	必选	WEP加密必选/密钥ID可选1234	mac and psk psk userlogin-secure-ext
	Open-System and Shared-Key	不选择	不可选	WEP加密必选/密钥ID可选1234	mac-authentication userlogin-secure userlogin-secure-ext

1.2.5 开启无线服务

(1) 在导航栏中选择“无线服务 > 接入服务”，进入如下图所示页面。

图1-22 开启无线服务

(2) 选中需要开启的无线服务前的复选框。

(3) 单击<开启>按钮完成操作。

1.2.6 绑定AP的射频

1. 绑定AP的射频

(1) 在导航栏中选择“无线服务 > 接入服务”。

(2) 在列表里查找到需要绑定的无线服务，单击对应的图标，进入下图所示页面。

图1-23 绑定AP的射频

(3) 选中需要绑定的AP射频前的复选框。

(4) 单击<关闭>按钮完成操作。

2. 绑定VLAN

通过不同的SSID区分不同服务的业务流。而通过AP来区分不同的地点，地点不同用户所能接入的服务不同。当客户端在不同的AP间漫游时，可以通过区分接入的AP来享受不同的服务。具体要求为：

· 同属于一个SSID的用户在不同AP接入时可以根据配置情况决定所属的VLAN；

· 用户在漫游时，接入所属的VLAN一直保持不变；

· 在AC间漫游时，如果本AC没有该VLAN出口，则要求能够在漫游组内找到HA，将报文通过HA送出，保证报文不间断。

图1-24 基于AP区分接入VLAN示意图

上图中，Client 1在AP 1处上线，所属的VLAN为VLAN3。漫游期间（包括AC内的漫游，AC间的漫游），Client 1的VLAN一直保持不变。AC间漫游时，如果FA（即AC 2）有该VLAN的出口，则在该AC送出报文，如果FA没有该VLAN的出口，报文通过DATA TUNNEL送到HA（即AC 1）后送出。

Client 2在AP 4上线，所属的VLAN为VLAN 2，表示在不同的AP上线后分配的VLAN不同。

(1) 在导航栏中选择“无线服务 > 接入服务”。

(2) 在列表里查找到需要绑定的无线服务，单击对应的图标，进入图1-23所示绑定AP的射频页面。

(3) 选择需要绑定的AP射频模式，选中前面的复选框。

(4) 在绑定VLAN输入框中输入需要绑定的VLAN。

(5) 单击<确定>按钮完成操作。

1.2.7 开启射频

(1) 在界面左侧的导航栏中选择“射频 > 射频设置”，进入如下图所示射频设置页面。

图1-25 开启射频

(2) 选中需要开启的射频模式前的复选框。

(3) 单击<开启>按钮，弹出配置过程对话框。

(4) 单击<关闭>按钮，完成操作。

1.2.8 显示无线服务的详细信息

1. clear类型无线服务的详细信息

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”，进入接入服务配置页面。

(2) 点击指定的clear类型无线服务后，如下图所示，可以查看相关的详细信息。

图1-26 clear类型无线服务的详细信息

表1-14 clear类型无线服务显示信息描述表

配置项	说明
Service Template Number	当前无线服务号
SSID	Service Set Identifier，表示设置的服务集识别码
Binding Interface	同服务模板绑定的WLAN-ESS接口
Service Template Type	服务模版类型
Authentication Method	使用的认证类型，clear类型的无线服务只能使用Open System（开放系统认证）方式
SSID-hide	· Disable：启用SSID通告 · Enable：禁用SSID通告。SSID隐藏后，AP发送的信标帧里面不包含SSID信息
Bridge Mode	转发方式： · Local Forwarding：使用本地转发转发方式 · Remote Forwarding：使用AC远端转发方式
Service Template Status	服务模板状态： · Enable：无线服务处于开启状态 · Disable：无线服务处于关闭状态
Maximum clients per BSS	一个BSS中能够连接的最大客户端数

2. crypto类型无线服务的详细信息

(1) 在界面左侧的导航栏中选择“无线服务 > 接入服务”，进入接入服务配置页面。

(2) 点击指定的crypto类型无线服务后，如下图所示，可以查看相关的详细信息。

图1-27 crypto类型无线服务的详细信息

表1-15 crypto类型无线服务显示信息描述表

配置项	说明
Service Template Number	当前无线服务号
SSID	Service Set Identifier，表示设置的服务集识别码
Binding Interface	同服务模板绑定的WLAN-ESS接口
Service Template Type	服务模版类型
Security IE	安全IE：WPA或WPA2
Authentication Method	使用的认证类型：Open System（开放系统认证）或者Shared Key（共享密钥认证）；
SSID-hide	· Disable：启用SSID通告 · Enable：禁用SSID通告。SSID隐藏后，AP发送的信标帧里面不包含SSID信息
Cipher Suite	加密套件：CCMP、TKIP、WEP40/WEP104/WEP128
WEP Key Index	加密或解密帧的密钥索引
WEP Key Mode	WEP密钥模式： · HEX：WEP密钥为16进制数的形式 · ASCII：WEP密钥为字符串的形式
WEP Key	WEP密钥
TKIP Countermeasure Time(s)	TKIP反制策略时间，单位为秒
PTK Life Time(s)	PTK生存时间，单位为秒
GTK Rekey	GTK密钥更新配置
GTK Rekey Method	GTK密钥更新方法：基于包或基于时间
GTK Rekey Time(s)	当选择基于时间的GTK密钥更新方法时，显示GTK密钥更新时间，单位为秒当选择基于包的GTK密钥更新方法时，显示数据包的数目
Bridge Mode	转发方式： · Local Forwarding：使用本地转发转发方式 · Remote Forwarding：使用AC远端转发方式
Service Template Status	服务模板状态： · Enable：无线服务处于开启状态 · Disable：无线服务处于关闭状态
Maximum clients per BSS	一个BSS中能够连接的最大客户端数

1.3 无线接入配置举例

1.3.1 无线服务典型配置举例

1. 组网需求

某部门为了保证工作人员可以随时随地访问部门内部的网络资源，需要通过部署AP实现移动办公。

具体要求如下：

· AP通过二层交换机与AC相连。AP的序列ID为210235A29G007C000020，使用手工输入序列号方式。

· AP提供SSID为service1的明文方式的无线接入服务。

· 采用802.11n（2.4GHz）射频模式。

图1-28 无线服务组网图

2. 配置AC

(1) 创建AP。

步骤1：在导航栏中选择“AP > AP设置”。

步骤2：单击<新建>按钮，进入AP新建页面。

步骤3：进行如下配置，如下图所示。

· 设置AP名称为“ap”。

· 选择型号为“WA2620-AGN”。

· 选择序列号方式为“手动”，并输入AP的序列号。

步骤4：单击<确定>按钮完成操作。

图1-29 创建AP

(2) 配置无线服务

步骤1：在导航栏中选择“无线服务 > 接入服务”。

步骤2：单击<新建>按钮，进入无线服务新建页面。

步骤3：进行如下配置，如下图所示。

· 设置无线服务名称为“service1”。

· 选择无线服务类型为“clear”。

步骤4：单击<确定>按钮完成操作。

图1-30 创建无线服务

步骤5：开启无线服务。在导航栏中选择“无线服务 > 接入服务”，进入如下图所示页面。

· 选中“service1”前的复选框。

· 单击<开启>按钮完成操作。

图1-31 开启无线服务

(3) 绑定AP的射频

步骤1：在导航栏中选择“无线服务 > 接入服务”。

步骤2：单击无线服务“service1”对应的图标，进入如下图所示页面。

步骤3：选中“ap 802.11n（2.4GHz）”前的复选框。

步骤4：单击<绑定>按钮完成操作。

图1-32 绑定AP的射频

(4) 开启802.11n（2.4GHz）射频

步骤1：在导航栏中选择“射频 > 射频设置”，进入下图所示射频设置页面。

步骤2：在列表里找到需要开启的AP名称及相应的射频模式，选中“ap 802.11n（2.4GHz）”前的复选框。

步骤3：单击<开启>按钮完成操作。

图1-33 开启802.11n（2.4GHz）射频

3. 验证配置结果

(1) 客户端可以成功关联AP，并且可以访问无线网络。

(2) 在导航栏中选择“概览 > 客户端”，进入如下图所示页面，可以查看到成功上线的客户端。

图1-34 查看成功上线的客户端

4. 配置注意事项

配置无线服务前需要选择正确的区域码。