选择区域语言: EN CN HK

H3C WA系列无线接入点 Web网管配置指导(R2414)-6W100

06-Web典型配置举例

本章节下载  (896.94 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/H3C_WA5500/Configure/Operation_Manual/H3C_WA_WCG(R2414)-6W100/201809/1113907_30005_0.htm

06-Web典型配置举例

  录

1 系统功能配置举例

1.1 网络配置功能配置举例

1.1.1 二层以太网静态链路聚合配置举例

1.1.2 二层以太网动态链路聚合配置举例

1.1.3 PPPoE Client配置举例

1.1.4 MAC地址配置举例

1.1.5 MSTP配置举例

1.1.6 内网用户通过NAT地址访问外网(动态地址转换)

1.1.7 内网用户通过NAT地址访问外网(静态地址转换)

1.1.8 IPv4静态路由基本功能配置举例

1.1.9 IPv6静态路由基本功能配置举例

1.1.10 IPv6地址静态配置举例

1.1.11 DHCP服务器动态分配地址配置举例

1.1.12 DHCP中继配置举例

1.1.13 静态IPv4 DNS配置举例

1.1.14 动态IPv4 DNS配置举例

1.1.15 IPv4 DNS proxy配置举例

1.1.16 静态IPv6 DNS配置举例

1.1.17 动态IPv6 DNS配置举例

1.1.18 IPv6 DNS proxy配置举例

1.1.19 IGMP Snooping配置举例

1.1.20 MLD Snooping配置举例

1.1.21 代理ARP配置举例

1.1.22 使用本地认证的SSH server配置举例

1.1.23 NTP配置举例

1.1.24 LLDP配置举例

1.2 网络安全功能配置举例

1.2.1 通过ACL进行包过滤配置举例

1.3 系统功能配置举例

1.3.1 管理员配置举例

2 网络功能配置举例

2.1 无线配置功能配置举例

2.1.1 射频管理配置举例

2.1.2 WIPS分类与反制配置举例

2.1.3 WIPS畸形报文检测和泛洪攻击检测配置举例

2.1.4 Signature检测配置举例

2.1.5 客户端限速配置举例

2.1.6 带宽保障配置举例

2.1.7 共享密钥认证配置举例

2.1.8 PSK身份认证与密钥管理模式和Bypass认证配置举例

2.1.9 PSK身份认证与密钥管理模式和MAC地址认证配置举例

2.1.10 802.1X用户的RADIUS认证配置举例

2.1.11 802.1X用户的本地认证配置举例

2.1.12 802.1X身份认证与密钥管理模式配置举例

2.1.13 IPv4 Portal直接认证配置举

2.1.14 频谱导航配置举例

2.1.15 Bonjour网关配置举例

2.1.16 组播优化配置举例

2.2 RF Ping配置举例

 


1 系统功能配置举例

1.1  网络配置功能配置举例

1.1.1  二层以太网静态链路聚合配置举例

1. 组网需求

·     AP与Switch通过各自的二层以太网接口GigabitEthernet1/0/1~GigabitEthernet1/0/2相互连接。

·     在AP和Switch上分别配置二层静态链路聚合组,以提高链路的可靠性,本举例仅提供AP上配置。

图1-1 以太网链路聚合配置组网图

 

2. 配置步骤

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 接口”,进入“链路聚合”页面添加二层聚合组1,指定聚合模式为静态聚合,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/2加入到该聚合组中。

3. 验证配置

完成上述配置后,在“链路聚合”页面中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/2已经加入到静态聚合组1。

1.1.2  二层以太网动态链路聚合配置举例

1. 组网需求

·     AP与Switch通过各自的二层以太网接口GigabitEthernet1/0/1~GigabitEthernet1/0/2相互连接。

·     在AP和Switch上分别配置二层动态链路聚合组,以提高链路的可靠性,本举例仅提供AP上配置。

图1-2 以太网链路聚合配置组网图

 

2. 配置步骤

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 接口”,进入“链路聚合”页面添加二层聚合组1,指定聚合模式为动态聚合,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/2加入到该聚合组中。

3. 验证配置

完成上述配置后,在“链路聚合”页面中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/2已经加入到动态聚合组1。

1.1.3  PPPoE Client配置举例

1. 组网需求

Fat AP作为PPPoE客户端通过连接到网络,要求:

·     PPPoE服务器与设备路由可达。

·     PC通过Telnet设备的Vlan-interface10 IP连接到Web页面。

图1-3 PPPoE Client组网图

 

2. 配置步骤

说明

“链路空闲超时断线”中所设置的空闲时长为发报文空闲时长。

 

# PPPoE服务器为设备分配用户名和密码。(略)

# 配置PPPoE客户端。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 接口”,进入“接口”页面后,单击上方“PPPoE”页签,进入PPPoE配置页面。配置步骤为:

(1)     单击左侧按钮,进入添加配置页面。

(2)     选择需配置的VLAN接口。

(3)     输入用户名和密码,并选择在线方式。

(4)     选择开启NAT地址转换功能,并单击<确定>,完成配置。

3.  验证配置

完成上述配置,可通过配置静态路由信息,并进行发送报文,查看流量信息进行验证。

1.1.4  MAC地址配置举例

1. 组网需求

·     现有一台用户主机Host A,它的MAC地址为000f-e235-dc71,属于VLAN 1,连接AP的端口GigabitEthernet1/0/1。为防止假冒身份的非法用户骗取数据,在设备的MAC地址表中为该用户主机添加一条静态表项。

·     另有一台Client,它的MAC地址为000f-e235-abcd,属于VLAN 1。由于该Client曾经接入网络进行非法操作,为了避免此种情况再次发生,在设备上添加一条黑洞MAC地址表项,使该Client接收不到报文。

·     配置设备的动态MAC地址表项老化时间为500秒。

图1-4 MAC地址配置组网图

 

2. 配置步骤

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > VLAN”,进入“MAC”页面配置MAC地址,配置步骤为:

·     增加一条静态MAC地址表项,MAC地址为000f-e235-dc71,出接口为GigabitEthernet1/0/1,且该接口属于VLAN 1。

·     增加一条黑洞MAC地址表项,MAC地址为000f-e235-abcd,属于VLAN 1。

·     进入配置页面,配置动态MAC地址表项的老化时间为500秒。

3. 验证配置

完成上述配置后,在“MAC地址表”页面中可以看到已经创建的MAC地址表项,并且Host无法Ping通Client。

1.1.5  MSTP配置举例

1. 组网需求

·     网络中所有设备都属于同一个MST域。Device A和Device B为汇聚层设备,AP 1和 AP 2为接入层设备。

·     通过配置MSTP,使不同VLAN的报文按照不同的MSTI转发:VLAN 10的报文沿MSTI 1转发,VLAN 30沿MSTI 2转发。

图1-5 MSTP配置组网图

 

2. 配置步骤

(1)     配置VLAN

对于AP设备,单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > VLAN”,进入“VLAN”页面配置VLAN。

·     Device A上的配置:

¡     创建VLAN 10和VLAN 30。

¡     进入VLAN 10的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。

¡     进入VLAN 30的详情页面,将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 30的Tagged端口列表。

·     Device B上的配置:

¡     创建VLAN 10和VLAN 30。

¡     进入VLAN 10的详情页面,将接口GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表。

¡     进入VLAN 30的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/3加入VLAN 30的Tagged端口列表。

·     AP 1上的配置:

¡     创建VLAN 10。

¡     进入VLAN 10的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入VLAN 10的Tagged端口列表。

·     AP 2上的配置:

¡     创建VLAN 30。

¡     进入VLAN 30的详情页面,将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入VLAN 30的Tagged端口列表。

(2)     配置MSTP

对于AP设备,单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > VLAN”,进入“STP”页面配置MSTP,配置步骤为:

·     Device A、Device B、AP 1和AP 2上开启STP功能,设置工作模式为MSTP。

·     Device A、Device B、AP 1和AP 2上,在域设置页面,配置MST域的域名为Web,将VLAN 10、30分别映射到MSTI 1、2上,并配置MSTP的修订级别为0。

3. 验证配置

完成上述配置后,在生成树状态中可以看到各个接口的端口角色、端口状态等信息。

1.1.6  内网用户通过NAT地址访问外网(动态地址转换)

1. 组网需求

·     某公司内网使用的IP地址为192.168.0.0/16。

·     该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。

·     需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。

图1-6 内网用户通过NAT访问外网

 

2. 配置步骤

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > NAT”,进入“NAT”页面,单击“动态转换”后进行配置,配置步骤为:

·     添加NAT动态转换规则,并指定ACL 2000,该ACL仅允许源IP地址为192.168.1.0、通配符掩码为0.0.0.255的网段的用户进行地址转换。

·     添加编号为0的NAT地址组,起始地址为202.38.1.2,结束地址为202.38.1.3。

·     在接口Vlan-interface10上应用上述的NAT动态转换规则。

3. 验证配置

以上配置完成后,Client A能够访问WWW server,Client B无法访问WWW server。

1.1.7  内网用户通过NAT地址访问外网(静态地址转换)

1. 组网需求

内部网络用户192.168.1.10/24使用外网地址202.38.1.100访问Internet。

图1-7 静态地址转换典型配置组网图

 

2. 配置步骤

# NAT静态转换在“系统 > 网络配置 > 服务 > NAT”页面配置。AP上的配置如下:

·     创建一个“一对一转换”策略,指定内网IP地址为192.168.1.10,外网IP地址为202.38.1.100。

·     将创建的策略应用在接口Vlan-interface10上。

3. 验证配置

完成上述配置后,内网Client可以访问外网服务器。

1.1.8  IPv4静态路由基本功能配置举例

1. 组网需求

图1-8所示,要求采用静态路由,使图中的Client能够访问WWW Server,本举例仅提供AP上配置。

图1-8 IPv4静态路由配置组网图

 

2. 配置步骤

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 >路由”,进入“静态路由”页面配置IPv4静态路由,创建一条IPv4静态路由表项,指定目的IP地址为0.0.0.0,掩码长度为0,下一跳地址为192.168.2.2,该路由用来匹配所有的目的IP地址。

3. 验证配置

完成上述配置后,Client能够访问WWW Server。

1.1.9  IPv6静态路由基本功能配置举例

1. 组网需求

图1-9所示,要求采用静态路由,使图中的Client能够访问WWW Server,本举例仅提供AP上配置。

图1-9 IPv6静态路由配置组网图

 

2. 配置步骤

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 >路由”,进入“静态路由”页面配置IPv6静态路由,创建一条IPv6静态路由表项,指定目的IPv6地址为::,前缀长度为0,下一跳地址为4::2,该路由用来匹配所有的目的IPv6地址。

3. 验证配置

完成上述配置后,Client能够访问WWW Server。

1.1.10  IPv6地址静态配置举例

1. 组网需求

·     将AP的以太网端口加入VLAN 1里,在VLAN 1接口上配置IPv6地址,验证Client与AP之间的互通性。

·     AP的VLAN接口1的全球单播地址为2001::1/64。

·     Client上安装了IPv6,根据IPv6邻居发现协议自动配置IPv6地址。

图1-10 IPv6地址静态配置组网图

 

2. 配置步骤

(1)     配置AP

# 配置AP基本功能(详细介绍请参见“WLAN配置指导”中的“WLAN接入”)(略)

(2)     配置IPv6地址

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > IP服务”,进入“IPv6”页面配置IPv6地址,手工配置VLAN 1接口地址为2001::1,前缀长度为64。

(3)     配置VLAN接口1允许发布RA消息

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务> ND”,进入“ND”页面,单击“高级设置 > 接口上的RA设置”,允许VLAN接口1发布RA消息。

(4)     配置Client

Client上安装IPv6,根据IPv6邻居发现协议自动配置IPv6地址。

3. 验证配置

在Client上使用Ping测试和AP的互通性;在AP上使用Ping测试和Client的互通性。

1.1.11  DHCP服务器动态分配地址配置举例

1. 组网需求

·     作为DHCP服务器的AP为网段10.1.1.0/24中的Switch和客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25;

·     AP的两个VLAN接口,VLAN接口10和VLAN接口20的地址分别为10.1.1.1/25和10.1.1.129/25;

·     为Switch分配10.1.1.0/25网段的IP地址,为DHCP client分配10.1.1.128/25网段的IP地址。

2. 组网图

图1-11 DHCP动态分配地址配置组网图

 

3. 配置步骤

# 在AP上创建VLAN 10和VLAN 20,并配置VLAN接口10和VLAN接口20的地址。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > VLAN”,进入“VLAN”页面创建VLAN并配置VLAN接口,配置步骤为:

·     创建VLAN10,配置VLAN接口10的IP地址为10.1.1.1/25。

·     创建VLAN20,配置VLAN接口20的IP地址为10.1.1.129/25。

# 配置DHCP服务器。

单击“系统”菜单页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“DHCP”页面配置DHCP服务器,配置步骤为:

·     开启DHCP服务。

·     配置VLAN接口10和VLAN接口20工作在DHCP服务器模式。

·     在地址池页面,创建名称为pool1的地址池,配置该地址池动态分配的地址段为10.1.1.0/25,在地址池选项中配置网关地址为10.1.1.1。

·     在地址池页面,创建名称为pool2的地址池,配置该地址池动态分配的地址段为10.1.1.128/25,在地址池选项中配置网关地址为10.1.1.129。

·     在高级设置页面,配置冲突地址检查功能中的发送回显请求报文的最大数目为1,等待回显响应报文的超时时间为500毫秒。

# 配置无线服务。

单击“网络”菜单页面左侧导航栏的“无线配置 > 无线网络”,进入“无线网络”页面配置无线服务,配置步骤为:

·     创建一个无线服务,名称为service。

·     配置SSID为office。

·     配置缺省VLAN为20。

·     开启无线服务。

# 配置AP。

单击“网络”菜单页面左侧导航栏的“无线配置 > AP管理”,进入“SSID配置”页面配置AP,在“SSID配置”页面中将无线服务service绑定到AP的5GHz射频。

# 配置AP射频。

单击“网络”菜单页面左侧导航栏的“无线配置 > 射频管理”,进入“射频配置”页面配置AP的5GHz射频状态为开启。

4. 验证配置

配置完成后,10.1.1.0/25和10.1.1.128/25网段的Switch和客户端可以从DHCP服务器AP申请到相应网段的IP地址和网络配置参数。

1.1.12  DHCP中继配置举例

1. 组网需求

·     DHCP客户端所在网段为10.10.1.0/24,DHCP服务器的IP地址为10.1.1.1/24;

·     由于DHCP客户端和DHCP服务器不在同一网段,因此,需要在客户端所在网段设置DHCP中继设备,以便客户端可以从DHCP服务器申请到10.10.1.0/24网段的IP地址及相关配置信息;

·     AP作为DHCP中继通过端口(属于VLAN10)连接到DHCP客户端所在的网络,VLAN接口10的IP地址为10.10.1.1/24,VLAN接口20的IP地址为10.1.1.2/24。

2. 组网图

图1-12 组网图

 

3. 配置步骤

# 配置各接口的IP地址。(略)

# 配置DHCP服务器。(略)

# 配置AP基本功能。(略)

# 配置DHCP中继。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“DHCP”页面配置DHCP中继,配置步骤为:

·     开启DHCP服务。

·     配置VLAN接口10为DHCP中继。

·     配置DHCP服务器IP地址为10.1.1.1。

4. 验证配置

配置完成后,DHCP客户端可以通过DHCP中继从DHCP服务器获取IP地址及相关配置信息。

1.1.13  静态IPv4 DNS配置举例

1. 组网需求

为了避免记忆复杂的IP地址,AP希望通过便于记忆的主机名访问某一主机。在AP上手工配置IP地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。

在本例中,AP访问的主机IP地址为10.1.1.2,主机名为host.com。

2. 组网图

图1-13 静态IPv4 DNS配置举例组网图

 

3. 配置步骤

# 配置主机名host.com对应的IP地址为10.1.1.2。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“IPv4 DNS”页面配置静态域名解析,配置步骤为:

配置静态域名解析:主机名为host.com,对应的IPv4地址为10.1.1.2。

4. 验证配置

在AP上执行ping host.com命令,可以解析到host.com对应的IP地址为10.1.1.2,并能够ping通主机。

1.1.14  动态IPv4 DNS配置举例

1. 组网需求

为了避免记忆复杂的IP地址,AP希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。

在本例中:

·     域名服务器的IP地址是2.1.1.2/16,域名服务器上包含域名“host”和IP地址3.1.1.1/16的对应关系。

·     AP作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址。

·     AP上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.com、IP地址为3.1.1.1/16的主机Host。

2. 组网图

图1-14 动态IPv4 DNS配置举例组网图

 

3. 配置步骤

# 在DNS服务器上添加域名host.com和IP地址3.1.1.1的映射关系。(略)

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

# 配置DNS客户端。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“IPv4 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器地址为2.1.1.2。在高级设置页面,配置域名后缀为com。

4. 验证配置

完成上述配置后,在AP上执行ping host命令,可以解析到host对应的IP地址为3.1.1.1,并能够ping通主机。

1.1.15  IPv4 DNS proxy配置举例

1. 组网需求

某局域网内拥有多台设备,每台设备上都指定了域名服务器的IP地址,以便直接通过域名访问外部网络。当域名服务器的IP地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IP地址,工作量将会非常巨大。

通过DNS proxy功能,可以大大减少网络管理员的工作量。当域名服务器IP地址改变时,只需更改DNS proxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名。

在本例中,具体配置步骤为:

(1)     局域网中的某台设备AP配置为DNS proxy,DNS proxy上指定域名服务器IP地址为真正的域名服务器的地址4.1.1.1。

(2)     局域网中的其他设备上,域名服务器的IP地址配置为DNS proxy的地址,域名解析报文将通过DNS proxy转发给真正的域名服务器。

2. 组网图

图1-15 IPv4 DNS proxy配置举例组网图

 

3. 配置步骤

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

(1)     配置DNS服务器。(略)

(2)     配置AP作为DNS proxy。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“IPv4 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器的IP地址为4.1.1.1。在高级设置页面,开启DNS proxy功能。

(3)     配置DNS客户端Client,配置DNS服务器的IP地址为2.1.1.2。

4. 验证配置

在Client上执行ping host.com命令,可以ping通主机,且对应的目的地址为3.1.1.1。

1.1.16  静态IPv6 DNS配置举例

1. 组网需求

为了避免记忆复杂的IPv6地址,AP希望通过便于记忆的主机名访问某一主机。在AP上手工配置IPv6地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。

在本例中,AP访问的主机IP地址为1::2,主机名为host.com。

2. 组网图

图1-16 静态IPv6 DNS配置举例组网图

 

3. 配置步骤

# 配置主机名host.com对应的IPv6地址为1::2。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“IPv6 DNS”页面配置静态域名解析,配置步骤为:

配置静态域名解析:主机名为host.com,对应的IPv6地址为1::2。

4. 验证配置

# 在AP上执行ping ipv6 host.com命令,可以解析到host.com对应的IPv6地址为1::2,并能够ping通主机。

1.1.17  动态IPv6 DNS配置举例

1. 组网需求

为了避免记忆复杂的IPv6地址,AP希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。

在本例中:

·     域名服务器的IPv6地址是2::2/64,域名服务器上包含域名“host”和IPv6地址1::1/64的对应关系。

·     AP作为DNS客户端,使用动态域名解析功能,将域名解析为IPv6地址。

·     AP上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.com、IPv6地址为1::1/64的主机Host。

2. 组网图

图1-17 动态IPv6 DNS配置举例组网图

 

3. 配置步骤

# 在DNS服务器上添加域名host.com和IPv6地址1::1的映射关系。(略)

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

# 配置DNS客户端。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“IPv6 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器地址为2::2。在高级设置页面,配置域名后缀为com。

4. 验证配置

完成上述配置后,在AP上执行ping ipv6 host命令,可以解析到host对应的IPv6地址为1::1,并能够ping通主机。

1.1.18  IPv6 DNS proxy配置举例

1. 组网需求

某局域网内拥有多台设备,每台设备上都指定了域名服务器的IPv6地址,以便直接通过域名访问外部网络。当域名服务器的IPv6地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IPv6地址,工作量将会非常巨大。

通过DNS proxy功能,可以大大减少网络管理员的工作量。当域名服务器IPv6地址改变时,只需更改DNS proxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名。

在本例中,具体配置步骤为:

(1)     局域网中的某台设备AP配置为DNS proxy,DNS proxy上指定域名服务器IPv6地址为真正的域名服务器的地址4000::1

(2)     局域网中的其他设备上,域名服务器的IPv6地址配置为DNS proxy的地址,域名解析报文将通过DNS proxy转发给真正的域名服务器。

2. 组网图

图1-18 IPv6 DNS proxy配置举例组网图

 

3. 配置步骤

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

(1)     配置DNS服务器。(略)

(2)     配置AP作为DNS proxy。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > DHCP/DNS”,进入“IPv6 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器的IPv6地址为4000::1。在高级设置页面,开启DNS proxy功能。

(3)     配置DNS客户端Client,配置DNS服务器的IPv6地址为2000::2。

4. 验证配置

在Client上执行ping ipv6 host.com命令,可以ping通主机,且对应的目的地址为3000::1。

1.1.19  IGMP Snooping配置举例

1. 组网需求

·     如下图所示,在一个没有三层网络设备的纯二层网络中,组播源Source向组播组224.1.1.1发送组播数据,Host是该组播组的接收者,且使用IGMPv2。

·     由于该网络中没有可运行IGMP的三层网络设备,因此由AP来充当IGMP查询器,并将其发出的IGMP查询报文的源IP地址配置为非0.0.0.0,以免影响AP和交换机上IGMP snooping转发表项的建立从而导致组播数据无法正常转发。

·     为防止AP和交换机在没有相应转发表项时将组播数据在VLAN内广播,在所有设备上都开启丢弃未知组播数据报文功能。

图1-19 IGMP Snooping配置组网图

 

2. 配置步骤

(1)     配置AP作为IGMP查询器

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务> Multicast”,进入“IGMP Snooping”页面配置IGMP Snooping,配置步骤为:

·     开启IGMP Snooping功能。

·     在VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能和充当IGMP查询器功能,然后将普遍组查询报文和特定组查询报文的源IP地址都配置为192.168.1.10。

(2)     配置Switch,在交换机的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能。

3. 验证配置

完成上述配置,并且接收者申请加入组播组224.1.1.1之后,在页面上可以看到该组播组对应的IGMP snooping转发表项。

1.1.20  MLD Snooping配置举例

1. 组网需求

·     如下图所示,在一个没有三层网络设备的纯二层网络中,组播源Source向IPv6组播组FF1E::101发送IPv6组播数据,Host都是该IPv6组播组的接收者,且使用MLDv1。

·     由于该网络中没有可运行MLD的三层网络设备,因此由AP来充当MLD查询器。

·     为防止AP和交换机在没有相应转发表项时将IPv6组播数据在VLAN内广播,在所有设备上都开启丢弃未知IPv6组播数据报文功能。

图1-20 MLD Snooping配置组网图

 

2. 配置步骤

(1)     配置AP作为MLD查询器

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务> Multicast”,进入“MLD Snooping”页面配置MLD Snooping,配置步骤为:

·     开启MLD Snooping功能。

·     在VLAN 1内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能和充当MLD查询器功能。

(2)     配置Switch,在交换机的VLAN 1内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能。

3. 验证配置

完成上述配置,并且接收者申请加入IPv6组播组FF1E::101之后,在页面上可以看到该IPv6组播组对应的MLD snooping转发表项。

1.1.21  代理ARP配置举例

1. 组网需求

·     Client 1和Client 2配置为同一网段的主机(Client 1的IP地址是192.168.10.100/16,Client 2的IP地址是192.168.20.200/16),但却被设备AP分在两个不同的子网(Client 1属于VLAN 10,Client 2属于VLAN 20)。

·     Client 1和Client 2没有配置缺省网关,要求在设备AP上开启代理ARP功能,使处在两个子网的Client 1和Client 2能互通。

图1-21 代理ARP配置组网图

 

2. 配置步骤

# 创建VLAN 10和VLAN 20,并配置VLAN接口10和VLAN接口20的地址。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > VLAN”,进入“VLAN”页面配置VLAN,配置步骤为:

·     创建VLAN 10,配置VLAN接口10的IP地址为192.168.10.99/24。

·     创建VLAN 20,配置VLAN接口20的IP地址为192.168.20.99/24。

# 开启VLAN接口10和VLAN接口20的代理ARP功能。

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 服务 > ARP”,进入“ARP”页面,在“高级设置 > ARP代理”页面开启VLAN接口10和VLAN接口20的代理ARP功能。

3. 验证配置

配置完成后,Client 1和Client 2可以互相ping通。

1.1.22  使用本地认证的SSH server配置举例

1. 组网需求

图1-22所示,网络管理员登录到校园网的AP设备上对其进行管理。为了提高安全性,可将AP配置为Stelnet服务器,并在Host上运行Stelnet客户端软件,在二者之间建立SSH连接。具体要求为:

·     AP通过SSH的password认证方式对客户端进行认证,认证过程在AP本地完成。

·     网络管理员Host的登录用户名为client,密码为aabbcc,登录设备后可执行设备支持的所有操作。

图1-22 设备作为Stelnet服务器配置组网图

 

2. 配置步骤

(1)     配置SSH服务器功能

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 管理协议 > SSH”,进入“SSH”页面后,开启Stelnet服务。

(2)     配置VLAN和VLAN接口

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > VLAN”,进入“VLAN”页面后,创建VLAN 2并进入VLAN 2的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 2的Untagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.40/24。

(3)     配置管理员账户

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“系统 > 管理员”,进入“管理员”页面后,配置步骤为:

·     添加管理员。

·     配置用户名为client,密码为aabbcc。

·     选择角色为network-admin。

·     指定可用的服务为SSH。

3. 验证配置

说明

Stelnet客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。

 

打开PuTTY.exe程序,在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。单击<Open>按钮。按提示输入用户名client及密码aabbcc,成功进入Device的配置界面。

1.1.23  NTP配置举例

1. 组网需求

·     AP 1采用本地时钟作为参考时钟,使得自己的时钟处于同步状态。

·     AP 1作为时间服务器为 AP 2提供时间同步。

图1-23 NTP配置组网图

 

2. 配置步骤

(1)     配置NTP服务器AP 1

进入AP 1,单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 管理协议”,进入“NTP”页面配置NTP服务器,配置步骤为:

·     开启NTP服务。

·     配置本地时钟的IP地址为127.127.1.0。

·     配置本地时钟所处的层数为2。

(2)     配置NTP客户端AP 2

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“系统 > 管理”,进入“系统设置”页面配置系统时间,配置步骤为:

·     选择自动同步网络日期和时间,采用的协议为网络时间协议(NTP)。

·     指定NTP服务器(即时钟源)的IP地址为1.0.1.11,并指定时钟源工作在服务器模式。

3. 验证配置

完成上述配置后,AP 2与 AP 1进行时间同步。此时AP 2层数比 AP 1的层数大1,为3。

1.1.24  LLDP配置举例

1. 组网需求

通过在AP和Switch上配置LLDP功能,实现:

·     AP可以发现Switch,并获取Switch的系统及配置等信息。

·     Switch不可以发现AP。

图1-24 LLDP配置组网图

 

2. 配置步骤

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > 管理协议 > LLDP”,进入“LLDP”页面。两台设备上的配置分别为:

·     在AP上全局开启LLDP功能。进入接口状态页面,在接口GigabitEthernet1/0/1上开启LLDP功能。在接口设置页面,开启接口GigabitEthernet1/0/1的最近桥代理功能,并配置该接口的工作模式为Rx:只接收LLDP报文,使得AP能够发现邻居。

·     在Switch上全局开启LLDP功能。进入接口状态页面,在接口GigabitEthernet1/0/2上开启LLDP功能。在接口设置页面,开启接口GigabitEthernet1/0/2的最近桥代理功能,并配置该接口的工作模式为Tx:只发送LLDP报文,使得Switch不能够发现邻居。

3. 验证配置

完成上述配置后,在AP的LLDP邻居页面中可以看到Switch的信息,邻居关系建立;Switch的LLDP邻居页面中没有邻居信息。

1.2  网络安全功能配置举例

1.2.1  通过ACL进行包过滤配置举例

1. 组网需求

某公司要求,允许总裁办在任意时间、财务部在工作时间(每周工作日的8点到18点)访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。

图1-25 通过ACL进行包过滤配置组网图

 

2. 配置步骤

单击页面底部的<系统>按钮,然后单击左侧导航栏“网络安全 > 包过滤”,进入包过滤配置页面。配置步骤为:

·     创建接口包过滤策略,在各AP的上行以太网接口GE1/0/1的出方向上指定包过滤规则为IPv4 ACL。

·     创建IPv4高级ACL 3000,并按顺序制定三条规则:

¡     允许协议类型为256(IP),源IP为192.168.1.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0的报文通过。

¡     创建周期时间段work,指定开始时间为08:00,结束时间为18:00,生效时间为每周一、周二、周三、周四和周五。允许协议类型为256(IP),源IP为192.168.2.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0,生效时间段为work的报文通过。

¡     拒绝协议类型为256(IP),目的IP为192.168.0.100、通配符掩码为0的报文通过。

·     开启ACL规则的匹配统计功能。

3. 验证配置

完成上述配置后,在页面上可以看到已经创建的IPv4高级ACL的规则状态和命中报文数。总裁办主机在任何时间都可以ping通财务数据库服务器;在工作时间财务部主机可以ping通该服务器;市场部在任何时间都不能ping通该服务器。

1.3  系统功能配置举例

1.3.1  管理员配置举例

1. 组网需求

在AP上配置一个管理员帐户,用于用户采用HTTP方式登录AP,具体要求如下:

·     用户使用管理员帐户登录时,AP对其进行本地认证;

·     管理员帐户名称为webuser,密码为12345;

·     通过认证之后,用户被授予角色network-admin。

图1-26 管理员配置组网图

 

2. 配置步骤

(1)     配置VLAN和VLAN接口

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“网络配置 > VLAN”,进入VLAN页面,创建VLAN 2。进入VLAN 2的详情页面,将与管理员PC相连的接口加入VLAN 2的Tagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.20/24。

(2)     配置管理员账户

单击页面底部的<系统>按钮,进入“系统”菜单页面,然后单击页面左侧导航栏的“系统>管理员”,进入管理员页面,配置步骤为:

·     添加管理员。

·     配置用户名为webuser,密码为12345。

·     选择角色为network-admin。

·     指定可用的服务为HTTP和HTTPS。

3. 验证配置

(1)     完成上述配置后,在管理员页面上可以看到已成功添加的管理员帐户。

(2)     用户在PC的Web浏览器地址栏中输入http://192.168.1.20并回车后,浏览器将显示Web登录页面。用户在该登录页面中输入管理员帐户名称、密码后,即可成功登录设备的Web页面进行相关配置。

 


2 网络功能配置举例

2.1  无线配置功能配置举例

2.1.1  射频管理配置举例

1. 组网需求

图2-1所示,客户端通过无线方式连接AP。对AP上的5GHz射频进行配置,配置要求如下:

·     配置射频1的射频模式为802.11ac,配置信道为153,最大功率为18dBm。

·     配置射频2的射频模式为802.11ac,配置信道为48,最大功率为19dBm。

·     配置802.11ac的最大基本NSS为2,最大支持NSS为3,组播NSS为2,组播VHT-MCS索引值为5。

·     配置A-MPDU功能、A-MSDU功能来提高AP的吞吐量。

图2-1 射频管理基本功能配置组网图

 

2. 配置步骤

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 射频管理”,进入“射频配置”页面,配置步骤为:

·     在“射频配置”中选择5GHz射频进行编辑,在“基础”页面,分别在射频1上配置射频模式为802.11ac(5GHz),配置信道为153,最大功率为18dBm;在射频2上配置射频模式为802.11ac(5GHz),配置信道为48,最大功率为19dBm。

·     配置802.11ac的最大基本NSS为2,最大支持NSS为3,组播NSS为2,组播VHT-MCS为5。

·     开启A-MPDU和A-MSDU功能。

·     开启射频。

3. 验证配置

单击页面左侧导航栏的“无线配置 > 射频管理”,进入“射频配置”页面,在“射频配置”中选择5GHz射频,单击<编辑>按钮,可以查看5GHz射频上当前的配置。

2.1.2  WIPS分类与反制配置举例

1. 组网需求

图2-2所示,AP 1和AP 2为Client提供无线服务,SSID为“abc”,在Sensor上开启WIPS功能,配置分类策略,将非法客户端的MAC地址(000f-1c35-12a5)添加到静态禁用列表中,将SSID“abc”添加到静态信任列表中,要求对检测到的潜在外部AP和非授权客户端进行反制。

图2-2 WIPS分类与反制组网图

 

2. 配置步骤

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线安全”,进入“无线安全”页面,配置步骤为:

·     在配置虚拟安全域的框里单击右上角的“+”:创建虚拟安全域VSD_1。

·     单击开启WIPS,选择开启WIPS的射频接口,并加入虚拟安全域VSD_1中。

·     单击分类策略,创建分类策略class1,将Client 2的MAC地址配置为禁用MAC地址,将SSID “abc”添加到信任SSID中。

·     单击反制策略,创建反制策略protect,反制未授权客户端和潜在外部AP。

·     编辑虚拟安全域VSD_1,应用分类策略class1和反制策略protect。

3. 验证配置

·     单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“监控 > 无线安全”,进入“无线安全”页面,在设备信息页面中可以查看无线设备的分类结果,在虚拟安全域VSD_1,MAC地址为000f-e223-1616的AP被分类成潜在外部AP,MAC地址为000f-1c35-12a5的客户端被分类为未授权的客户端。

·     单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“监控 > 无线安全”,进入“无线安全”页面,在反制记录页面中可以查看反制过的设备记录信息,在虚拟安全域VSD_1,MAC地址为000f-1c35-12a5的未授权客户端和MAC地址为000f-e223-1616的潜在外部AP被反制。

2.1.3  WIPS畸形报文检测和泛洪攻击检测配置举例

1. 组网需求

图2-3所示将AP配置为Sensor,配置虚拟安全域VSD_1,并配置Sensor属于这个虚拟安全域,当检测到攻击者对无线网络进行IE重复的畸形报文或Beacon帧泛洪攻击时,AP打印告警信息。

图2-3 畸形报文检测和泛洪攻击检测组网图

 

 

2. 配置步骤

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线安全”,进入“无线安全”页面,配置步骤为:

·     在配置虚拟安全域的框里单击右上角的“+”:创建虚拟安全域VSD_1。

·     单击开启WIPS,选择开启WIPS的射频接口,并加入虚拟安全域VSD_1。

·     单击攻击检测策略,创建攻击检测策略,配置当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,打印日志信息或告警信息。检测IE重复的畸形报文的静默时间为50秒,检测Beacon帧的统计周期为100秒,触发阈值为200,静默时间为50秒。

·     编辑虚拟安全域VSD_1,应用攻击检测策略。

3. 验证配置

·     单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“监控 > 无线安全”,进入“无线安全”页面,当网络中没有攻击者时,查看攻击统计信息,畸形报文和泛洪报文的统计个数为0。

·     单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“监控 > 无线安全”,进入“无线安全”页面,当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,查看攻击统计信息,可以查看到IE重复的畸形报文和Beacon帧泛洪攻击的统计个数。

2.1.4  Signature检测配置举例

1. 组网需求

图2-4所示,AP1和AP2为Client提供无线服务,SSID为“abc”,在Sensor上开启WIPS功能,配置Signature检测,检测无线环境中是否存在其他的无线服务,对SSID不是“abc”的Beacon帧进行检测,并打印告警信息。

2. 组网图

图2-4 WIPS的攻击检测组网图

 

3. 配置步骤

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线安全”,进入“无线安全”页面,配置步骤为:

·     在配置虚拟安全域的框里单击右上角的“+”:创建虚拟安全域vsd1。

·     单击开启WIPS,选择开启WIPS的射频接口,并加入虚拟安全域vsd1中。

·     单击Signature规则,创建Signature规则1,配置子规则对SSID不是“abc”的Beacon帧进行检测。

·     单击Signature策略,创建Signature策略sig1,应用Signature规则1,配置统计周期为5秒,发出告警后的静默时间为60秒,统计次数的阈值为60。

·     编辑虚拟安全域vsd1,应用Signature策略。

4. 验证配置

当检测到SSID为“free_wlan”的无线服务后,会打印告警信息。

2.1.5  客户端限速配置举例

1. 组网需求

在AP上配置客户端限速功能,使AP分别在入方向上以静态模式、在出方向上以动态模式限制无线客户端的速率。

图2-5 客户端限速配置举例组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线网络”页面,配置步骤为:

·     创建一个无线服务,名称为service。

·     配置SSID为service。

·     开启无线服务。

(2)     配置射频绑定

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > AP管理”页面,在“SSID配置”页面中将无线服务service绑定到AP的射频1。

(3)     配置客户端限速功能

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线QoS > 客户端限速 > 基于无线服务配置”页面,配置步骤为:

·     修改名称为service的无线服务。

·     指定入方向限速模式为静态。

·     指定入方向每客户端限速速率为8000

·     指定出方向限速模式为动态。

·     指定出方向所有客户端总限速速率为8000

(4)     开启射频

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 射频管理”页面,开启AP的射频1。

2.1.6  带宽保障配置举例

1. 组网需求

在某企业内,三个客户端分别通过名为researchofficeentertainSSID接入无线网络。为了满足企业网络正常运行的需求,要求在同一个AP内,保证无线服务office的带宽占总带宽的20%,无线服务research的带宽占总带宽的80%,无线服务entertain没有分配固定带宽。

图2-6 智能带宽保障配置举例组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线网络”页面,配置步骤为:

·     创建三个无线服务,名称分别为office、research、entertain。

·     配置SSID,分别为office、research、entertain。

·     开启无线服务。

(2)     配置射频绑定

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > AP管理”页面,在“SSID配置”页面中将无线服务office、research、entertain绑定到AP的射频1。

(3)     配置智能带宽保障功能

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线QoS > 智能带宽保障 > AP配置”页面,配置步骤为:

·     开启带宽保障功能。

·     指定无线服务office的带宽保障占比为20%

·     指定无线服务research的带宽保障占比为80%

(4)     开启射频

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 射频管理”页面,开启AP的射频1。

3. 验证配置

完成上述配置后,在“无线配置 > 无线QoS > 智能带宽保障”页面“AP配置”一栏能看到AP的实际带宽占比值。

2.1.7  共享密钥认证配置举例

1. 组网需求

客户端在无线网络覆盖范围内,通过配置客户端在链路层使用WEP密钥12345接入无线网络。

图2-7 共享密钥认证配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     创建一个无线服务,名称为service1。

·     配置SSID为service。

·     开启无线服务。

(2)     配置认证模式为静态WEP密钥

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,在“无线网络”页面单击service1的<编辑>按钮,进入“链路层认证”页面,配置步骤为:

·     选择认证模式为静态WEP密钥。

·     选择密钥类型为Passphrase。

·     选择加密套件为WEP40。

·     配置明文密钥为12345。

(3)     将无线服务绑定到射频

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     选中创建的无线服务service1,单击“绑定到Radio”按钮,进入到“绑定到Radio”页面。

·     选中AP的5GHz射频单元,单击“绑定”。

(4)     验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

2.1.8  PSK身份认证与密钥管理模式和Bypass认证配置举例

1. 组网需求

·     客户端在无线网络覆盖范围内,通过配置客户端PSK密钥12345678接入无线网络。

·     客户端链路层认证使用开放式系统认证,用户接入认证使用Bypass认证的方式实现客户端可以不需要认证直接接入WLAN网络的目的。

·     通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确保用户数据的传输安全。

图2-8 PSK+Bypass认证配置组网图

 

2. 配置步骤

(1)     创建无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     创建无线服务,名称为service1。

·     配置SSID为service。

·     开启无线服务。

(2)     配置认证模式为静态PSK密钥

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,在“无线网络”页面单击service1的<编辑>按钮,进入“链路层认证”页面,配置步骤为:

·     选择认证模式为静态PSK密钥。

·     选择安全模式为WPA。

·     选择加密套件为CCMP。

·     选择密钥类型为Passphrase,明文密钥为12345678。

(3)     将无线服务绑定到射频

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     选中创建的无线服务service1,单击“绑定到Radio”按钮,进入到“绑定到Radio”页面。

·     选中AP的5GHz射频单元,单击“绑定”。

3. 验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

2.1.9  PSK身份认证与密钥管理模式和MAC地址认证配置举例

1. 组网需求

·     客户端在无线网络覆盖范围内,通过配置客户端PSK密钥12345678接入无线网络。

·     客户端链路层认证使用开放式系统认证,客户端通过RADIUS服务器进行MAC地址认证。

·     通过配置客户端和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。

图2-9 PSK密钥管理模式和MAC认证配置组网图

 

2. 配置步骤

说明

·     在RADIUS服务器上配置,将Client的MAC地址作为认证的用户名和密码,且该MAC地址在配置时不能出现大写和连字符。完成RADIUS服务器的其它配置,并保证用户的认证/授权/计费功能正常运行。

·     完成设备上RADIUS和Domain域的配置。

 

(1)     配置无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     创建一个无线服务,名称为service1。

·     配置SSID为service。

·     开启无线服务。

(2)     配置认证模式为静态PSK密钥和MAC地址认证

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,在“无线网络”页面单击service1的<编辑>按钮,进入“链路层认证”页面,配置步骤为:

·     选择认证模式为静态PSK密钥和MAC地址认证。

·     选择安全模式为WPA。

·     选择加密套件为CCMP。

·     选择密钥类型为Passphrase,明文密钥为12345678。

·     配置域名为dom1。

(3)     将无线服务绑定到射频

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     选中创建的无线服务service1,单击“绑定到Radio”按钮,进入到“绑定到Radio”页面。

·     选中AP的5GHz射频单元,单击“绑定”。

(4)     验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

2.1.10  802.1X用户的RADIUS认证配置举例

1. 组网需求

用户接入无线网络,AP对接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     RADIUS服务器作为认证/授权/计费服务器与AP相连,其IP地址为10.1.1.1/24。

·     AP对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为dm1X。

·     AP与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。

图2-10 802.1X用户的RADIUS认证配置组网图

 

2. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置RADIUS方案

单击页面底部的<网络>按钮,然后单击左侧导航栏“网络安全 > 认证”,然后单击“RADIUS”,再单击<添加>按钮,添加RADIUS方案,配置步骤为:

·     方案名称为802.1X。

·     指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。

·     指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。

·     在显示高级设置里指定发送给RADIUS服务器的用户名格式为不携带域名。

(3)     配置ISP域

单击左侧导航栏“网络安全 > 认证”,进入“ISP域”页面配置,配置步骤为:

·     添加ISP域,名称为dm1X,并将该ISP域的状态设置为活动。

·     指定接入方式为LAN接入。

·     指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择802.1X。

·     单击<确定>按钮。

(4)     配置802.1X

单击左侧导航栏“无线配置 > 无线网络”,进入无线网络页面配置,单击<添加>按钮,配置步骤为:

·     基础设置部分配置无线服务名称和SSID。

·     安全认证部分认证模式选择802.1X认证。

·     域名为dm1X。

·     单击<确定>按钮。

(5)     配置RADIUS服务器

在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。

3. 验证配置

(1)     单击左侧导航栏“网络安全 > 认证”,然后单击“RADIUS”页签,可以看到已添加成功的RADIUS方案802.1X的概要信息。

(2)     单击左侧导航栏“网络安全 > 认证”,在ISP域页面上,可以看到已添加成功的ISP域的dm1X的概要信息。

(3)     用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线。

2.1.11  802.1X用户的本地认证配置举例

1. 组网需求

用户接入无线网络,AP对接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     AP对802.1X用户采用本地认证,认证域为abc。

·     802.1X用户的认证名为dotuser,认证密码为12345。

图2-11 802.1X用户的本地认证配置组网图

 

2. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置本地用户

单击页面底部的<网络>按钮,然后单击左侧导航栏“网络安全 > 用户管理”,进入“本地用户”页面配置,配置步骤为:

·     添加用户,用户名为dotuser,密码为12345。

·     指定可用服务为LAN接入。

(3)     配置ISP域

单击左侧导航栏“网络安全 > 认证”,进入“ISP域”页面配置,配置步骤为:

·     添加ISP域,名称为abc,并将该ISP域的状态设置为活动。

·     指定接入方式为LAN接入。

·     指定LAN接入AAA方案的认证方法为本地认证,授权方法为本地授权,计费方法为不计费。

(4)     配置802.1X

单击左侧导航栏“无线配置 > 无线网络”页面配置,配置步骤为:

·     基础设置部分配置无线服务名称和SSID。

·     链路层认证部分认证模式选择802.1X认证。

·     域名为abc。

3. 验证配置

(1)     完成上述配置后,单击左侧导航栏“网络安全 > 用户管理”,在“本地用户”页面上可以看到已成功添加的本地用户。

(2)     单击左侧导航栏“网络安全 > 认证”,在“ISP域”页面上可以看到已经成功添加的ISP域。

(3)     用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线。

2.1.12  802.1X身份认证与密钥管理模式配置举例

1. 组网需求

·     AP旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。

·     客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。

·     通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。

图2-12 802.1X认证配置组网图

 

2. 配置步骤

说明

·     完成RADIUS服务器的配置,添加用户帐户,用户名为abcedf,密码为123456,并保证用户的认证/授权/计费功能正常运行。

·     完成设备上RADIUS和Domain域的配置。

 

(1)     配置无线服务

单击页面底部的<网络>按钮,然后单击左侧导航栏“无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     单击<添加>按钮,创建一个无线服务,无线服务名称为service1。

·     配置SSID为service。

·     无线服务状态选择“开启”。

·     单击<确定>按钮。

(2)     配置认证模式为802.1X认证

完成上述配置后,会返回“全部网络 > 无线配置 > 无线网络 > 无线网络”页面,单击无线名称为“service1”表项后面的<编辑>按钮,再单击页面上方的“链路层认证”页签,进入认证配置页面,配置步骤为:

·     选择认证模式为802.1X认证。

·     选择安全模式为WPA。

·     选择加密套件为CCMP。

·     配置域名为dom1。

·     单击<确定>按钮。

(3)     将无线服务绑定到射频

进入“全部网络 > 无线配置 > 无线网络 > 无线网络”页面,配置步骤:

·     选中绑定的射频,单击<确定>。

(4)     验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

2.1.13  IPv4 Portal直接认证配置举例

1. 组网需求

在本地转发模式下,对通过无线接入的用户采用直接认证方式。

·     无线客户端通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证/计费服务器。

图2-13 Portal直接认证配置组网图

 

2. 配置步骤

说明

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AP之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

·     完成设备上RADIUS和Domain域的配置。

 

(1)     配置无线服务

单击页面底部的<网络>按钮,然后单击左侧导航栏“无线配置 > 无线网络”进入“无线网络”页面,配置步骤为:

·     单击<添加>按钮,创建一个无线服务,无线服务名称为service1。

·     配置SSID为service。

·     无线服务状态选择“开启”。

·     单击<确定>按钮。

(2)     配置认证模式为Portal认证

完成上述配置后,会返回“全部网络 > 无线配置 > 无线网络 > 无线网络”页面,单击无线名称为“service1”表项后面的<编辑>按钮,再单击页面上方的“链路层认证”,进入认证配置页面,配置步骤为:

·     选择认证模式为IPv4 Portal认证。

·     配置域名为dm1。

·     选择Web服务器名称为newpt。

·     配置BAS-IP为192.168.0.110。

·     单击<确定>按钮。

(3)     将无线服务绑定到射频

进入“全部网络 > 无线配置 > 无线网络 > 无线网络”页面,配置步骤:

·     选中绑定的射频,单击<确定>。

(4)     验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

2.1.14  频谱导航配置举例

1. 组网需求

图2-14所示,AP与交换机相连,并开启5GHz射频和2.4GHz射频。由于网络中有些客户端仅支持2.4GHz频段,有些客户端支持双频,就有可能导致2.4GHz射频过载,5GHz射频相对空余。为了防止上述情况的出现,平衡两个频段的射频负载,开启频谱导航功能和频谱导航负载均衡功能。

图2-14 频谱导航配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     创建一个无线服务,名称为service。

·     配置SSID为band-navigation。

·     开启无线服务。

·     关闭快速关联。

(2)     配置AP

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > AP管理”,进入AP的配置页面,在“SSID配置”页面中将无线服务service绑定到AP的5GHz射频和2.4GHz射频。

(3)     配置频谱导航

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 射频管理”,进入“频谱导航”页面,然后在“全局配置”页面,配置全局频谱导航状态为开启,频谱导航负载均衡的连接数门限为5,连接数差值门限为2。

3. 验证配置

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“监控 > 客户端”,进入“客户端”页面,可以查看到AP的5GHz射频和2.4GHz射频上关联的客户端数量处于均衡状态。

2.1.15  Bonjour网关配置举例

1. 组网需求

图2-15所示组网中,Apple TV和打印机分别通过名为apple_tv和printer的SSID接入无线网络,在不同VLAN中的教师和学生需要使用iPad客户端通过名为teacher和student的SSID接入无线网络,要求教师使用的iPad客户端可以查找到Apple TV和Print服务,学生使用的iPad客户端只可以查找到Print服务。

图2-15 Bonjour网关配置组网图

 

2. 配置步骤

(1)     为DHCP客户端分配IP地址并指定网关地址

配置DHCP服务器,使其为客户端分配IP地址并指定网关地址为AP的IP地址,具体配置步骤略。

说明

由于IOS系统的限制,在DHCP服务器上必须配置任意一个DNSlist。

 

(2)     配置无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     创建一个无线服务,名称为student,缺省VLAN为10。

·     开启无线服务。

·     创建一个无线服务,名称为teacher,缺省VLAN为20。

·     开启无线服务。

·     创建一个无线服务,名称为apple_tv,缺省VLAN为3。

·     开启无线服务。

·     创建一个无线服务,名称为printer,缺省VLAN为4。

·     开启无线服务。

(3)     配置AP

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > AP管理”,进入“AP管理”页面,配置步骤为:

·     在“SSID配置”页面中将无线服务student、teacher、apple_tv、printer绑定到射频。

(4)     配置Bonjour网关

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 应用 > Bonjour网关”,进入“Bonjour网关”页面,配置步骤为:

·     进入全局配置,开启网关功能,网关模式选择为自定义模式。

·     创建名称为teacher的Bonjour策略,通过名为teacher的SSID接入的客户端可以查找VLAN 3和VLAN 4中的服务。

·     创建名称为student的Bonjour策略,通过名为student的SSID接入的客户端可以查找VLAN 4 中的服务。

·     进入服务类型配置,配置airplay、raop和printer服务类型为激活。

·     进入无线服务配置页面,选择无线服务student,应用Bonjour策略student。

·     选择无线服务teacher,应用Bonjour策略teacher。

3. 验证配置

教师使用的iPad客户端可以查找到Apple TV和Print服务,学生使用的iPad客户端只可以查找到Print服务。

2.1.16  组播优化配置举例

1. 组网需求

AP与交换机相连,Client 1、Client 2与Client 3通过无线接入。

·     AP为Client 1~Client 3提供SSID为service的无线接入服务。

·     开启组播优化功能,控制组播优化表项。

图2-16 组播优化配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     创建一个无线服务,名称为service1。

·     配置SSID为service。

·     开启无线服务。

(2)     将无线服务绑定到射频

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 无线网络”,进入“无线网络”页面,配置步骤为:

·     选中创建的无线服务service1,单击“绑定到Radio”按钮,进入到“绑定到Radio”页面。

·     选中AP的5GHz射频单元,单击“绑定”。

(3)     配置组播优化功能

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“ 无线配置 > 应用 > 组播优化”,而后进入“IPv4组播优化配置”页面,配置步骤为:

在“IPv4组播优化状态”页签下,开启无线服务service1的组播优化功能。

在“IPv4组播优化高级配置”页签下,配置以下参数:

·     组播优化表项的老化时间为300秒。

·     组播优化表项数量最大为1024个,为单个客户端维护的表项数量最多为256个。

·     限制组播优化客户端数量为2,超出限制数的无线客户端的报文直接丢弃。

·     设备每60秒最多学习100个无线IGMP报文。

3. 验证配置

Client 1和Client 2先后接入到SSID名称为service的无线服务中,请求组播源,加入该组播源所在的组播组。Client 1和Client 2都加入到了组地址为230.1.1.1、源地址为1.1.1.1的组播组中,并且都收到了所请求的数据流,组播优化功能正常运行。当Client 3加入组地址为230.1.1.1、源地址为1.1.1.1的组播组时,由于客户端数量超过设置的阈值,所以Client1、Clinet2、Client 3无法收到所请求的数据流。

2.2  RF Ping配置举例

1. 组网需求

MAC地址为04-0A-00-00-30-00的客户端在AP上线,通过执行RF Ping对AP与客户端之间的无线链路质量进行检测。

2. 组网图

 

3. 配置步骤

单击页面底部的<网络>按钮,进入“网络”菜单页面,然后单击页面左侧导航栏的“工具 > RF Ping”,进入“RF Ping”页面,输入客户端的MAC地址,对AP与客户端之间的无线链路质量进行检测。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!