- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-Web典型配置举例
本章节下载: 05-Web典型配置举例 (1.05 MB)
CPE5100支持作为AP使用,本手册中的描述和图示不区分AP和CPE。
客户端在无线网络覆盖范围内,通过配置客户端在链路层使用WEP密钥12345接入无线网络。
图1-1 共享密钥认证配置组网图
(1) 配置无线服务
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 创建一个无线服务,名称为service1。
¡ 配置SSID为service。
¡ 开启无线服务。
(2) 配置认证模式为静态WEP密钥
在“无线服务配置”页面单击service1的<编辑>按钮,进入“链路层认证”页面,配置步骤为:
¡ 选择认证模式为静态WEP密钥。
¡ 选择密钥类型为Passphrase。
¡ 选择加密套件为WEP 40。
¡ 配置密钥为12345。
(3) 将无线服务绑定到射频
在“无线服务配置”页面单击service1的<编辑>按钮,进入“绑定”页面,从待选的AP射频中选择指定的射频进行绑定。
(4) 验证配置
配置完成后,查看无线服务详情,可以看到已经创建的名称为service1的无线服务以及配置的认证信息。
· 客户端在无线网络覆盖范围内,通过配置客户端PSK密钥12345678接入无线网络。
· 客户端链路层认证使用开放式系统认证,用户接入认证使用Bypass认证的方式实现客户端可以不需要认证直接接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确保用户数据的传输安全。
图1-2 PSK+Bypass认证配置组网图
(1) 创建无线服务
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 创建无线服务,名称为service1。
¡ 配置SSID为service。
¡ 开启无线服务。
(2) 配置认证模式为静态PSK认证
在“无线服务配置”页面单击service1的<编辑>按钮,进入“链路层认证”页面,配置步骤为:
¡ 选择认证模式为静态PSK认证。
¡ 选择安全模式为WPA。
¡ 选择加密套件为CCMP。
¡ 选择密钥类型为Passphrase,密钥为12345678。
(3) 将无线服务绑定到射频
在“无线服务配置”页面单击service1的<编辑>按钮,进入“绑定”页面,从待选的AP射频中选择指定的射频进行绑定。
配置完成后,查看无线服务详情,可以看到已经创建的名称为service1的无线服务以及配置的认证信息。
· 客户端在无线网络覆盖范围内,通过配置客户端PSK密钥12345678接入无线网络。
· 客户端链路层认证使用开放式系统认证,客户端通过RADIUS服务器进行MAC地址认证。
· 通过配置客户端和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。
图1-3 PSK密钥管理模式和MAC认证配置组网图
· 在RADIUS服务器上配置,将Client的MAC地址作为认证的用户名和密码,且该MAC地址在配置时不能出现大写和连字符。完成RADIUS服务器的其它配置,并保证用户的认证/授权/计费功能正常运行。
· 已完成设备上RADIUS和Domain域的配置。
(1) 配置无线服务
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 创建一个无线服务,名称为service1。
¡ 配置SSID为service。
¡ 开启无线服务。
(2) 配置认证模式为静态PSK认证和MAC地址认证
在“无线服务配置”页面单击service1的<编辑>按钮,进入“链路层认证”页面,配置步骤为:
¡ 选择认证模式为静态PSK认证和MAC地址认证。
¡ 选择安全模式为WPA。
¡ 选择加密套件为CCMP。
¡ 选择密钥类型为Passphrase,密钥为12345678。
¡ 配置域名为dom1。
(3) 将无线服务绑定到射频
在“无线服务配置”页面单击service1的<编辑>按钮,进入“绑定”页面,从待选的AP射频中选择指定的射频进行绑定。
(4) 验证配置
配置完成后,查看无线服务详情,可以看到已经创建的名称为service1的无线服务以及配置的认证信息。
在AP上配置客户端限速功能,使AP分别在入方向上以静态模式、在出方向上以动态模式限制无线客户端的速率。
图1-4 客户端限速配置举例组网图
(1) 配置无线服务
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 创建一个无线服务,名称为service。
¡ 配置SSID为service。
¡ 开启无线服务。
(2) 配置射频绑定
单击页面左侧导航栏的“无线配置 > AP管理 > 绑定无线服务”,将无线服务service绑定到AP的射频1。
(3) 配置客户端限速功能
单击页面左侧导航栏的“无线配置 > 无线QoS > 客户端限速”,在“基于无线服务配置”栏中点击<更多>按钮进入“基于无线服务配置”页面,配置步骤为:
¡ 修改名称为service的无线服务。
¡ 指定入方向限速模式为静态。
¡ 指定入方向每客户端限速速率为8000。
¡ 指定出方向限速模式为动态。
¡ 指定出方向所有客户端总限速速率为4000。
(4) 开启射频
单击页面左侧导航栏的“无线配置 > 射频管理 >射频配置”,进入“射频配置”页面,开启AP的射频1。
配置完成后,在两个客户端上进行测速。每个客户端的上行速率不超过8Mbps,所有客户端的总下行速率不超过4Mbps。
在某企业内,三个客户端分别通过名为research、office、entertain的SSID接入无线网络。为了满足企业网络正常运行的需求,要求在同一个AP内,保证无线服务office的带宽占总带宽的20%,无线服务research的带宽占总带宽的80%,无线服务entertain没有分配固定带宽。
图1-5 智能带宽保障配置举例组网图
(1) 配置无线服务
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 创建三个无线服务,名称分别为office、research、entertain。
¡ 配置SSID,分别为office、research、entertain。
¡ 开启无线服务。
(2) 配置射频绑定
单击页面左侧导航栏的“无线配置 > AP管理 > 绑定无线服务”,将无线服务office、research、entertain绑定到AP的射频1。
(3) 配置智能带宽保障功能
单击页面左侧导航栏的“无线配置 > 无线QoS > 智能带宽保障”,在“AP配置”栏中点击<更多>按钮进入“AP配置”页面,配置步骤为:
¡ 编辑射频1,开启带宽保障功能。
¡ 指定无线服务office的带宽保障占比为20%。
¡ 指定无线服务research的带宽保障占比为80%。
(4) 开启射频
单击页面左侧导航栏的“无线配置 > 射频管理 >射频配置”,进入“射频配置”页面,开启AP的射频1。
完成上述配置后,在“无线配置 > 无线QoS > 智能带宽保障”页面“AP配置”一栏能看到AP的实际带宽占比值。
如图1-6所示,AP与交换机相连,并开启5GHz射频和2.4GHz射频。由于网络中有些客户端仅支持2.4GHz频段,有些客户端支持双频,就有可能导致2.4GHz射频过载,5GHz射频相对空余。为了防止上述情况的出现,平衡两个频段的射频负载,开启频谱导航功能和频谱导航负载均衡功能。
(1) 配置无线服务
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 创建一个无线服务,名称为service。
¡ 配置SSID为band-navigation。
¡ 开启无线服务。
¡ 关闭快速关联。
(2) 将无线服务绑定到射频
在“无线服务配置”页面单击service的<编辑>按钮,进入“绑定”页面,将无线服务service绑定到AP的5GHz射频和2.4GHz射频。
(3) 配置频谱导航
单击页面左侧导航栏的“无线配置 > 射频管理 >频谱导航”,进入“频谱导航”页面,然后在“全局配置”栏中点击<更多>按钮进入“全局配置”页面,配置全局频谱导航为开启,频谱导航负载均衡连接数门限为5,连接数差值门限为2。
当支持双频的客户端准备接入无线网络时,会优先接入至AP的5GHz射频上。
但是如果5GHz射频上的客户端数量达到或超过5,并且与2.4GHz射频上的客户端数量差值达到或超过2,客户端会优先接入AP的2.4GHz射频上。
单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,可以查看到AP 1的5GHz射频和2.4GHz射频上关联的客户端数量处于均衡状态。
如图1-7所示,AP 1和AP 2为Client提供无线服务,SSID为“free_wlan”,在Sensor上开启WIPS功能,配置分类策略,将非法客户端的MAC地址(000f-1c35-12a5)添加到静态禁用列表中,将SSID“free_wlan”添加到静态信任列表中,要求对检测到的潜在外部AP和非授权客户端进行反制。
图1-7 WIPS分类与反制组网图
单击页面左侧导航栏的“无线配置 > 无线安全 > WIPS”,进入“WIPS”页面,配置步骤为:
· 在“虚拟安全域”页签下,单击左上角的<添加>按钮,创建虚拟安全域VSD_1。
· 单击“开启WIPS”页签,编辑AP,选择开启WIPS的射频接口,并加入虚拟安全域VSD_1中。
· 单击“分类策略”页签,创建分类策略class1,将Client 2的MAC地址配置为禁用MAC地址,将SSID “free_wlan”添加到信任SSID中。
· 单击“反制策略”页签,创建反制策略protect,反制未授权客户端和潜在外部的AP。
· 在“虚拟安全域”页签下,编辑虚拟安全域VSD_1,应用分类策略class1和反制策略protect。
· 单击页面左侧导航栏的“监控 > 无线安全 >WIPS”,进入“WIPS”页面,在设备信息页面中可以查看无线设备的分类结果,在虚拟安全域VSD_1,MAC地址为000f-e223-1616的AP被分类成潜在外部的AP,MAC地址为000f-1c35-12a5的客户端被分类为未授权的客户端。
· 单击页面左侧导航栏的“监控 > 无线安全 >WIPS””,进入“WIPS”页面,在反制记录页面中可以查看反制过的设备记录信息,在虚拟安全域VSD_1,MAC地址为000f-1c35-12a5的未授权客户端和MAC地址为000f-e223-1616的潜在外部的AP被反制。
如图1-8所示将AP配置为Sensor,配置虚拟安全域VSD_1,并配置Sensor属于这个虚拟安全域,当检测到攻击者对无线网络进行IE重复的畸形报文或Beacon帧泛洪攻击时,AP打印告警信息。
单击页面左侧导航栏的“无线配置 > 无线安全> WIPS”,进入“WIPS”页面,配置步骤为:
· 在“虚拟安全域”页签下,单击左上角的<添加>按钮,创建虚拟安全域VSD_1。
· 单击“开启WIPS”页签,编辑AP,选择开启WIPS的射频接口,并加入虚拟安全域VSD_1。
· 单击“攻击检测策略”页签,创建攻击检测策略,配置当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,打印日志信息或告警信息。检测IE重复的畸形报文的静默时间为50秒,检测Beacon帧的检测间隔为100秒,检测阈值为200,静默时间为50秒。
· 编辑虚拟安全域VSD_1,应用检测策略。
· 单击页面左侧导航栏的“监控 > 无线安全> WIPS”,进入“WIPS”页面,当网络中没有攻击者时,查看攻击统计信息,畸形报文和泛洪报文的统计个数为0。
· 单击页面左侧导航栏的“监控 > 无线安全> WIPS”,进入“WIPS”页面,当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,查看攻击统计信息,可以查看到IE重复的畸形报文和Beacon帧泛洪攻击的统计个数。
如图1-9所示,AP1和AP2为Client提供无线服务,SSID为“free_wlan”,在Sensor上开启WIPS功能,配置Signature检测,检测无线环境中是否存在其他的无线服务,对SSID不是“free_wlan”的Beacon帧进行检测,并打印告警信息。
图1-9 WIPS的攻击检测组网图
单击页面左侧导航栏的“无线配置 > 无线安全> WIPS”,进入“WIPS”页面,配置步骤为:
· 在“虚拟安全域”页签下,单击左上角的<添加>按钮:创建虚拟安全域vsd1。
· 单击“开启WIPS”页签,编辑AP,选择开启WIPS的射频接口,并加入虚拟安全域vsd1中。
· 单击“Signature规则”页签,创建Signature规则1,配置子规则对SSID不是“free_wlan”的Beacon帧进行检测。
· 单击“Signature策略”页签,创建Signature策略sig1,应用Signature规则1,配置检测间隔为5秒,检测阈值为60,静默时间为60秒。
· 编辑虚拟安全域vsd1,应用Signature策略。
当检测到SSID为“free_wlan”的无线服务后,会打印告警信息。
AP与交换机相连,Client 1、Client 2与Client 3通过无线接入。
· AP为Client 1~Client 3提供SSID为service的无线接入服务。
· 开启组播优化功能,控制组播优化表项。
图1-10 组播优化配置组网图
(1) 配置无线服务
单击页面左侧导航栏的“无线配置 > 无线网络 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 创建一个无线服务,名称为service1。
¡ 配置SSID为service。
¡ 开启无线服务。
(2) 将无线服务绑定到射频
单击页面左侧导航栏的“ 无线配置 > 无线网络 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
¡ 选中创建的无线服务service1,单击<绑定到Radio>按钮,进入到“绑定到Radio”页面。
¡ 选中AP的5GHz射频单元,单击“绑定”。
(3) 配置组播优化功能
单击页面左侧导航栏的“ 无线配置 > 应用 > 组播优化”,在“IPv4组播优化”栏中点击<更多>按钮,进入“IPv4组播优化”页面,配置步骤为:
在“IPv4组播优化状态”页签下,开启无线服务service1的组播优化功能。
在“IPv4组播优化高级配置”页签下,配置以下参数:
¡ 组播优化表项的老化时间为300秒。
¡ 限制组播优化表项数量为1024个,限制为单个客户端维护的表项数量为256个。
¡ 组播优化客户端数量限制为2,超出限制后无线客户端的报文丢弃。
¡ 设备每60秒最多学习100个无线IGMP报文。
Client 1和Client 2先后接入到SSID名称为service的无线服务中,请求组播源,加入该组播源所在的组播组。Client 1和Client 2都加入到了组地址为230.1.1.1、源地址为1.1.1.1的组播组中,并且都收到了所请求的数据流,组播优化功能正常运行。当Client 3加入组地址为230.1.1.1、源地址为1.1.1.1的组播组时,由于客户端数量超过设置的阈值,所以Client1、Clinet2、Client 3无法收到所请求的数据流。
CPE5100支持作为AP使用,本手册中的描述和图示不区分AP和CPE。
Fat AP作为PPPoE客户端通过连接到网络,要求PPPoE服务器与设备路由可达。
图2-1 PPPoE Client组网图
“链路空闲超时断线”中所设置的空闲时长为发报文空闲时长。
# PPPoE服务器为设备分配用户名和密码。(略)
# 配置PPPoE客户端。
单击页面左侧导航栏的“网络配置 > 接口 > PPPoE”,进入“PPPoE”页面,配置步骤为:
(1) 单击左侧<添加>按钮,进入添加配置页面。
(2) 选择需配置的VLAN接口。
(3) 输入用户名和密码,并选择在线方式。
(4) 选择开启NAT地址转换功能,并单击<确定>,完成配置。
完成上述配置,查看VLAN接口通过PPPoE拨号方式已获取到地址。
· 现有一台用户主机Host A,它的MAC地址为000f-e235-dc71,属于VLAN 1,连接AP的端口GE1/0/1。为防止假冒身份的非法用户骗取数据,在设备的MAC地址表中为该用户主机添加一条静态表项。
· 另有一台Client,它的MAC地址为000f-e235-abcd,属于VLAN 1。由于该Client曾经接入网络进行非法操作,为了避免此种情况再次发生,在设备上添加一条黑洞MAC地址表项,使该Client接收不到报文。
· 配置设备的动态MAC地址表项老化时间为500秒。
图2-2 MAC地址配置组网图
单击页面左侧导航栏的“网络配置 > 链路 > MAC”,进入“MAC”页面配置MAC地址,配置步骤为:
· 增加一条静态MAC地址表项,MAC地址为000f-e235-dc71,接口为GE1/0/1,且该接口属于VLAN 1。
· 增加一条黑洞MAC地址表项,MAC地址为000f-e235-abcd,属于VLAN 1。
· 进入配置页面,配置动态MAC地址表项的老化时间为500秒。
完成上述配置后,在“MAC地址表”页面中可以看到已经创建的MAC地址表项,并且Host无法Ping通Client。
如图2-3所示,要求采用静态路由,使图中的Client能够访问WWW Server,本举例仅提供AP上配置。
图2-3 IPv4静态路由配置组网图
单击页面左侧导航栏的“网络配置 > 路由 > 静态路由”,进入“静态路由”页面配置IPv4静态路由,创建一条IPv4静态路由表项,指定目的IPv4地址为0.0.0.0,掩码长度为0,下一跳地址为192.168.2.2,该路由用来匹配所有的目的IPv4地址。
完成上述配置后,Client能够访问WWW Server。
如图2-4所示,要求采用静态路由,使图中的Client能够访问WWW Server,本举例仅提供AP上配置。
图2-4 IPv6静态路由配置组网图
单击页面左侧导航栏的“网络配置 >路由 > 静态路由”,进入“静态路由”页面配置IPv6静态路由,创建一条IPv6静态路由表项,指定目的IPv6地址为::,前缀长度为0,下一跳地址为4::2,该路由用来匹配所有的目的IPv6地址。
完成上述配置后,Client能够访问WWW Server。
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
· 需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。
图2-5 内网用户通过NAT访问外网
单击页面左侧导航栏的“网络配置 > IP > NAT”,进入“NAT”页面,在“动态转换”页签下进行配置,配置步骤为:
· 添加NAT动态转换规则,并指定ACL 2000,该ACL仅允许源IP地址为192.168.1.0、通配符掩码为0.0.0.255的网段的用户进行地址转换。
· 添加编号为0的NAT地址组,起始地址为202.38.1.2,结束地址为202.38.1.3。
· 在接口Vlan-interface10上应用上述的NAT动态转换规则。
以上配置完成后,Client A能够访问WWW server,Client B无法访问WWW server。
内部网络用户192.168.1.10/24使用外网地址202.38.1.100访问Internet。
图2-6 静态地址转换典型配置组网图
单击页面左侧导航栏的“网络配置 > IP > NAT”,进入“NAT”页面,在“静态转换”页签下,进行配置,AP上的配置如下:
· 创建一个“一对一转换”策略,指定内网IP地址为192.168.1.10,外网IP地址为202.38.1.100。
· 将创建的策略应用在接口Vlan-interface10上。
完成上述配置后,内网Client可以访问外网服务器。
· Client 1和Client 2配置为同一网段的主机(Client 1的IP地址是192.168.10.100/16,Client 2的IP地址是192.168.20.200/16),但却被设备AP分在两个不同的子网(Client 1属于VLAN 10,Client 2属于VLAN 20)。
· Client 1和Client 2没有配置缺省网关,要求在设备AP上开启代理ARP功能,使处在两个子网的Client 1和Client 2能互通。
图2-7 代理ARP配置组网图
# 创建VLAN 10和VLAN 20,并配置VLAN接口10和VLAN接口20的地址。
单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面配置VLAN,配置步骤为:
· 创建VLAN 10,配置VLAN接口10的IP地址为192.168.10.99/24。
· 创建VLAN 20,配置VLAN接口20的IP地址为192.168.20.99/24。
VLAN接口的IP地址配置方法:单击页面左侧导航栏的“网络配置 > IP > IP”,进入“IP”页面,点击对应VLAN接口表项后面的<编辑>按钮,进入“修改IP设置”页面并配置VLAN接口的IP地址。
# 开启VLAN接口10和VLAN接口20的代理ARP功能。
单击页面左侧导航栏的“网络配置 > IP > ARP”,进入“ARP”页面,在“高级设置 > ARP代理”页面开启VLAN接口10和VLAN接口20的代理ARP功能。
配置完成后,Client 1和Client 2可以互相ping通。
为了避免记忆复杂的IP地址,AP希望通过便于记忆的主机名访问某一主机。在AP上手工配置IP地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。
在本例中,AP访问的主机IP地址为10.1.1.2,主机名为host.com。
图2-8 静态IPv4 DNS配置举例组网图
# 配置主机名host.com对应的IP地址为10.1.1.2。
单击页面左侧导航栏的“网络配置 > IP > IPv4 DNS”,进入“IPv4 DNS”页面,在“静态域名”页签下进行配置,配置步骤为:
配置静态域名解析:主机名为host.com,对应的IPv4地址为10.1.1.2。
在AP上执行ping host.com命令,可以解析到host.com对应的IP地址为10.1.1.2,并能够ping通主机。
为了避免记忆复杂的IP地址,AP希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。
在本例中:
· 域名服务器的IP地址是2.1.1.2/16,域名服务器上包含域名“host”和IP地址3.1.1.1/16的对应关系。
· AP作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址。
· AP上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.com、IP地址为3.1.1.1/16的主机Host。
图2-9 动态IPv4 DNS配置举例组网图
# 在DNS服务器上添加域名host.com和IP地址3.1.1.1的映射关系。(略)
# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)
# 配置DNS客户端。
单击页面左侧导航栏的“网络配置 > IP > IPv4 DNS”,进入“IPv4 DNS”页面配置域名服务器,配置步骤为:
配置域名服务器地址为2.1.1.2。在高级设置页面,配置域名后缀为com。
完成上述配置后,在AP上执行ping host命令,可以解析到host对应的IP地址为3.1.1.1,并能够ping通主机。
某局域网内拥有多台设备,每台设备上都指定了域名服务器的IP地址,以便直接通过域名访问外部网络。当域名服务器的IP地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IP地址,工作量将会非常巨大。
通过DNS proxy功能,可以大大减少网络管理员的工作量。当域名服务器IP地址改变时,只需更改DNS proxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名。
在本例中,具体配置步骤为:
(1) 局域网中的某台设备AP配置为DNS proxy,DNS proxy上指定域名服务器IP地址为真正的域名服务器的地址4.1.1.1。
(2) 局域网中的其他设备上,域名服务器的IP地址配置为DNS proxy的地址,域名解析报文将通过DNS proxy转发给真正的域名服务器。
图2-10 IPv4 DNS proxy配置举例组网图
# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)
(1) 配置DNS服务器。(略)
(2) 配置AP作为DNS proxy。
单击页面左侧导航栏的“网络配置 > IP > IPv4 DNS”,进入“IPv4 DNS”页面配置域名服务器,配置步骤为:
配置域名服务器的IP地址为4.1.1.1。在高级设置页面,开启DNS proxy功能。
(3) 配置DNS客户端Client,配置DNS服务器的IP地址为2.1.1.2。
在Client上执行ping host.com命令,可以ping通主机,且对应的目的地址为3.1.1.1。
· 将AP的以太网端口加入VLAN 1里,在VLAN 1接口上配置IPv6地址,验证Client与AP之间的互通性。
· AP的VLAN接口1的全球单播地址为2001::1/64。
· Client上安装了IPv6,根据IPv6邻居发现协议自动配置IPv6地址。
图2-11 IPv6地址静态配置组网图
(1) 配置AP
# 配置无线服务。(略)
(2) 配置IPv6地址
单击页面左侧导航栏的“网络配置 > IPv6 > IPv6”,进入“IPv6”页面配置IPv6地址,手工配置VLAN 1接口地址为2001::1,前缀长度为64。
(3) 配置VLAN接口1允许发布RA消息
单击页面左侧导航栏的“网络配置 > IPv6 > ND”,进入“ND”页面,单击“高级设置 > 接口上的RA设置”,允许VLAN接口1发布RA消息。
Client上安装IPv6,根据IPv6邻居发现协议自动配置IPv6地址。
在Client上使用Ping测试和AP的互通性;在AP上使用Ping测试和Client的互通性。
为了避免记忆复杂的IPv6地址,AP希望通过便于记忆的主机名访问某一主机。在AP上手工配置IPv6地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。
在本例中,AP访问的主机IP地址为1::2,主机名为host.com。
图2-12 静态IPv6 DNS配置举例组网图
# 配置主机名host.com对应的IPv6地址为1::2。
单击页面左侧导航栏的“网络配置 > IPv6 > IPv6 DNS”,进入“IPv6 DNS”页面配置静态域名解析,配置步骤为:
配置静态域名解析:主机名为host.com,对应的IPv6地址为1::2。
# 在AP上执行ping ipv6 host.com命令,可以解析到host.com对应的IPv6地址为1::2,并能够ping通主机。
为了避免记忆复杂的IPv6地址,AP希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。
在本例中:
· 域名服务器的IPv6地址是2::2/64,域名服务器上包含域名“host”和IPv6地址1::1/64的对应关系。
· AP作为DNS客户端,使用动态域名解析功能,将域名解析为IPv6地址。
· AP上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.com、IPv6地址为1::1/64的主机Host。
图2-13 动态IPv6 DNS配置举例组网图
# 在DNS服务器上添加域名host.com和IPv6地址1::1的映射关系。(略)
# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)
# 配置DNS客户端。
单击页面左侧导航栏的“网络配置 > IPv6 > IPv6 DNS”,进入“IPv6 DNS”页面配置域名服务器,配置步骤为:
配置域名服务器地址为2::2。在高级设置页面,配置域名后缀为com。
完成上述配置后,在AP上执行ping ipv6 host命令,可以解析到host对应的IPv6地址为1::1,并能够ping通主机。
某局域网内拥有多台设备,每台设备上都指定了域名服务器的IPv6地址,以便直接通过域名访问外部网络。当域名服务器的IPv6地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IPv6地址,工作量将会非常巨大。
通过DNS proxy功能,可以大大减少网络管理员的工作量。当域名服务器IPv6地址改变时,只需更改DNS proxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名。
在本例中,具体配置步骤为:
(1) 局域网中的某台设备AP配置为DNS proxy,DNS proxy上指定域名服务器IPv6地址为真正的域名服务器的地址4000::1。
(2) 局域网中的其他设备上,域名服务器的IPv6地址配置为DNS proxy的地址,域名解析报文将通过DNS proxy转发给真正的域名服务器。
图2-14 IPv6 DNS proxy配置举例组网图
# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)
(1) 配置DNS服务器。(略)
(2) 配置AP作为DNS proxy。
单击页面左侧导航栏的“网络配置 > IPv6 > IPv6 DNS”,进入“IPv6 DNS”页面配置域名服务器,配置步骤为:
配置域名服务器的IPv6地址为4000::1。在高级设置页面,开启DNS 代理功能。
(3) 配置DNS客户端Client,配置DNS服务器的IPv6地址为2000::2。
在Client上执行ping ipv6 host.com命令,可以ping通主机,且对应的目的地址为3000::1。
· 在一个没有三层网络设备的纯二层网络中,组播源Source向组播组224.1.1.1发送组播数据,Host是该组播组的接收者,且使用IGMPv2。
· 由于该网络中没有可运行IGMP的三层网络设备,因此由AP来充当IGMP查询器,并将其发出的IGMP查询报文的源IP地址配置为非0.0.0.0,以免影响AP和交换机上IGMP snooping转发表项的建立从而导致组播数据无法正常转发。
· 为防止AP和交换机在没有相应转发表项时将组播数据在VLAN内广播,在所有设备上都开启丢弃未知组播数据报文功能。
图2-15 IGMP Snooping配置组网图
(1) 配置AP作为IGMP查询器
单击页面左侧导航栏的“网络配置 >组播 > IGMPSnooping”进入“IGMP Snooping”页面配置IGMP Snooping,配置步骤为:
¡ 开启IGMP Snooping功能。
¡ 在VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能和充当IGMP查询器功能,然后将普遍组查询报文和特定组查询报文的源IP地址都配置为192.168.1.10。
(2) 配置Switch,在交换机的VLAN 1内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能。
完成上述配置,并且接收者申请加入组播组224.1.1.1之后,在页面上可以看到该组播组对应的IGMP snooping转发表项。
· 在一个没有三层网络设备的纯二层网络中,组播源Source向IPv6组播组FF1E::101发送IPv6组播数据,Host都是该IPv6组播组的接收者,且使用MLDv1。
· 由于该网络中没有可运行MLD的三层网络设备,因此由AP来充当MLD查询器。
· 为防止AP和交换机在没有相应转发表项时将IPv6组播数据在VLAN内广播,在所有设备上都开启丢弃未知IPv6组播数据报文功能。
图2-16 MLD Snooping配置组网图
(1) 配置AP作为MLD查询器
单击页面左侧导航栏的“网络配置 > 组播 > MLDSnooping”,进入“MLD Snooping”页面配置MLD Snooping,配置步骤为:
¡ 开启MLD Snooping功能。
¡ 在VLAN 1内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能和充当MLD查询器功能。
(2) 配置Switch,在交换机的VLAN 1内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能。
完成上述配置,并且接收者申请加入IPv6组播组FF1E::101之后,在页面上可以看到该IPv6组播组对应的MLD snooping转发表项。
· 作为DHCP服务器的AP为网段10.1.1.0/24中的Switch和客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25;
· AP的两个VLAN接口,VLAN接口10和VLAN接口20的地址分别为10.1.1.1/25和10.1.1.129/25;
· 为Switch分配10.1.1.0/25网段的IP地址,为DHCP client分配10.1.1.128/25网段的IP地址。
图2-17 DHCP动态分配地址配置组网图
# 在AP上创建VLAN 10和VLAN 20,并配置VLAN接口10和VLAN接口20的地址。
单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面创建VLAN并编辑创建VLAN接口,配置步骤为:
· 创建VLAN10和VLAN10接口。
· 创建VLAN20和VLAN20接口。
# 配置VLAN接口10和VLAN接口20的地址。
单击页面左侧导航栏的“网络配置 > 接口 > 接口”,进入“接口”页面,点击“编辑”进入“修改接口设置”页面,点击“修改IP设置”,配置步骤为:
· 配置VLAN接口10的IP地址为10.1.1.1/25。
· 配置VLAN接口20的IP地址为10.1.1.129/25。
# 配置DHCP服务器。
单击页面左侧导航栏的“网络配置 > 管理协议 > DHCP”,进入“DHCP”页面配置DHCP服务器,配置步骤为:
· 开启DHCP服务。
· 配置VLAN接口10和VLAN接口20工作在DHCP服务器模式。
· 在地址池页面,创建名称为pool1的地址池,配置该地址池动态分配的地址段为10.1.1.0/25,在地址池选项中配置网关地址为10.1.1.1。
· 在地址池页面,创建名称为pool2的地址池,配置该地址池动态分配的地址段为10.1.1.128/25,在地址池选项中配置网关地址为10.1.1.129。
· 在高级设置页面,配置冲突地址检查功能中的发送回显请求报文的最大数目为1,等待回显响应报文的超时时间为500毫秒。
# 配置无线服务。
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:
· 创建一个无线服务,名称为service。
· 配置SSID为office。
· 配置缺省VLAN为20。
· 开启无线服务。
# 配置AP。
单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面配置AP,在“无线服务配置”页面中将无线服务service绑定到AP的5GHz射频。
# 配置AP射频。
单击菜单页面左侧导航栏的“无线配置 > 射频管理 > 射频配置”,进入“射频配置”页面配置AP的5GHz射频状态为开启。
配置完成后,10.1.1.0/25和10.1.1.128/25网段的Switch和客户端可以从DHCP服务器AP申请到相应网段的IP地址和网络配置参数。
· DHCP客户端所在网段为10.10.1.0/24,DHCP服务器的IP地址为10.1.1.1/24;
· 由于DHCP客户端和DHCP服务器不在同一网段,因此,需要在客户端所在网段设置DHCP中继设备,以便客户端可以从DHCP服务器申请到10.10.1.0/24网段的IP地址及相关配置信息;
· AP作为DHCP中继通过端口(属于VLAN10)连接到DHCP客户端所在的网络,VLAN接口10的IP地址为10.10.1.1/24,VLAN接口20的IP地址为10.1.1.2/24。
图2-18 组网图
# 配置各接口的IP地址。(略)
# 配置DHCP服务器。(略)
# 配置AP基本功能。(略)
# 配置DHCP中继。
单击页面左侧导航栏的“网络配置 > 管理协议 > DHCP”,进入“DHCP”页面配置DHCP中继,配置步骤为:
· 开启DHCP服务。
· 配置VLAN接口10为DHCP中继。
· 配置DHCP服务器IP地址为10.1.1.1。
配置完成后,DHCP客户端可以通过DHCP中继从DHCP服务器获取IP地址及相关配置信息。
· AP 1采用本地时钟作为参考时钟,使得自己的时钟处于同步状态。
· AP 1作为时间服务器为AP 2提供时间同步。
图2-19 NTP配置组网图
(1) 配置NTP服务器AP 1
进入AP 1,单击页面左侧导航栏的“网络配置 > 管理协议 > NTP”,进入“NTP”页面配置NTP服务器,配置步骤为:
¡ 开启NTP服务。
¡ 配置本地时钟的IP地址为127.127.1.0。
¡ 配置本地时钟所处的层数为2。
(2) 配置NTP客户端AP 2
单击页面左侧导航栏的“系统 > 设备管理 > 系统设置”,进入“系统设置”页面配置系统时间,配置步骤为:
¡ 选择自动同步网络日期和时间,采用的协议为网络时间协议(NTP)。
¡ 指定NTP服务器(即时钟源)的IP地址为1.0.1.11,并指定时钟源工作在服务器模式。
完成上述配置后,AP 2与 AP 1进行时间同步。此时AP 2层数比 AP 1的层数大1,为3。
通过在AP和Switch上配置LLDP功能,实现:
· AP可以发现Switch,并获取Switch的系统及配置等信息。
· Switch不可以发现AP。
图2-20 LLDP配置组网图
单击页面左侧导航栏的“网络配置 > 管理协议 > LLDP”,进入“LLDP”页面。两台设备上的配置分别为:
· 在AP上全局开启LLDP功能。进入接口状态页面,在接口GE1/0/1上开启LLDP功能。在接口设置页面,开启接口GE1/0/1的最近桥代理功能,并配置该接口的工作模式为Rx:只接收LLDP报文,使得AP能够发现邻居。
· 在Switch上全局开启LLDP功能。进入接口状态页面,在接口GE1/0/2上开启LLDP功能。在接口设置页面,开启接口GE1/0/2的最近桥代理功能,并配置该接口的工作模式为Tx:只发送LLDP报文,使得Switch不能够发现邻居。
完成上述配置后,在AP的LLDP邻居页面中可以看到Switch的信息,邻居关系建立;Switch的LLDP邻居页面中没有邻居信息。
配置CPE通过DDR自动拨号接入5G网络。
图2-21 单WAN场景组网图
(1) 选择单WAN场景
进入CPE,单击页面左侧导航栏的“网络配置 > 外网配置 > 场景定义”,进入“场景定义”页面选择单WAN场景,配置步骤为:
¡ 点选单WAN场景。
¡ 配置线路1为SIM1(Cellular1/0/1)。
(2) 配置WAN参数
单击页面左侧导航栏的“网络配置 > 外网配置 > WAN配置”,进入“WAN配置”页面配置线路1的WAN参数,配置步骤为:
¡ 配置运营商为自定义。
- 配置APN为test。
- 配置认证方式为PAP or CHAP。
· 一般情况下,使用出厂的运营商配置发起拨号即可接入国内主要的运营商公网,如果使用物联网卡等场景,则需要从运营商获取APN、用户名、密码等相关信息,并配置到设备上。
· 本举例假设需要将运营商的APN配置为test。
¡ 配置制式选择为5G。
¡ 配置NAT地址转换为启用。
¡ 点击<更多配置>按钮,再点击<重启Modem>按钮,使CPE重新发起接入。
确认CPE是否可以通过自动拨号接入到5G网络。
CPE5100支持作为AP使用,本手册中的描述和图示不区分AP和CPE。
某公司要求,允许总裁办在任意时间、财务部在工作时间(每周工作日的8点到18点)访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。
图3-1 通过ACL进行包过滤配置组网图
单击左侧导航栏“网络安全 > 流策略 >包过滤”,再单击<添加>按钮,添加包过滤策略:
(1) 在各AP的上行VLAN接口1的出方向上指定包过滤规则为IPv4 ACL。
(2) 创建IPv4高级ACL 3000,并按顺序制定三条规则:
¡ 允许协议类型为256(IP),源IP为192.168.1.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0的报文通过。
¡ 创建周期时间段work,指定开始时间为08:00,结束时间为18:00,生效时间为每周一、周二、周三、周四和周五。允许协议类型为256(IP),源IP为192.168.2.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0,生效时间段为work的报文通过。
¡ 拒绝协议类型为256(IP),目的IP为192.168.0.100、通配符掩码为0的报文通过。
(3) 开启ACL规则的匹配统计功能。
完成上述配置后,在页面上可以看到已经创建的IPv4高级ACL的规则状态和命中报文数。总裁办主机在任何时间都可以ping通财务数据库服务器;在工作时间财务部主机可以ping通该服务器;市场部在任何时间都不能ping通该服务器。
用户接入无线网络,AP对接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与AP相连,其IP地址为10.1.1.1/24。
· AP对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为dm1X。
· AP与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
图3-2 802.1X用户的RADIUS认证配置组网图
(1) 配置各接口的IP地址(略)
(2) 配置RADIUS方案
单击左侧导航栏“网络安全> AAA > RADIUS”,再单击<添加>按钮,添加RADIUS方案:
¡ 配置方案名称为802.1X。
¡ 配置主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。
¡ 配置主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。
¡ 显示高级设置,在高级设置里指定发送给RADIUS服务器的用户名格式为不携带域名。
¡ 单击<确定>按钮。
(3) 配置ISP域
单击左侧导航栏“网络安全> AAA > ISP域”,再单击<添加>按钮,添加ISP域:
¡ 配置域名为dm1X,并将该ISP域的状态设置为活动。
¡ 指定接入方式为LAN接入。
¡ 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择802.1x。
¡ 单击<确定>按钮。
(4) 配置802.1X
单击左侧导航栏“无线配置 > 无线服务 > 无线服务配置”,再单击<添加>按钮,新增无线服务:
¡ 基础设置部分配置无线服务名称和SSID。
¡ 安全认证部分认证模式选择802.1X认证。
¡ 配置域名为dm1X。
¡ 单击<确定>按钮。
(5) 配置RADIUS服务器
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 单击左侧导航栏“网络安全 > AAA > RADIUS”,在RADIUS页面上,可以看到已添加成功的RADIUS方案802.1X的概要信息。
(2) 单击左侧导航栏“网络安全 > AAA > ISP域”,在ISP域页面上,可以看到已添加成功的ISP域的dm1X的概要信息。
(3) 用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线。
· AP旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。
· 客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。
图3-3 802.1X认证配置组网图
· 完成RADIUS服务器的配置,添加用户帐户,用户名为abcedf,密码为123456,并保证用户的认证/授权/计费功能正常运行。
· 已完成设备上RADIUS和Domain域的配置。
(1) 配置无线服务
单击左侧导航栏“无线配置 > 无线服务 > 无线服务配置”,再单击<添加>按钮,新增无线服务:
¡ 配置无线服务名称为service1。
¡ 配置SSID为service。
¡ 无线服务选择“开启”。
¡ 单击<确定>按钮。
(2) 配置认证模式为802.1X认证
完成上述配置后,会返回“无线配置 > 无线服务 > 无线服务配置”页面,单击无线名称为“service1”表项后面的<编辑>按钮,再单击页面上方的“链路层认证”页签:
¡ 选择认证模式为802.1X认证。
¡ 选择安全模式为WPA。
¡ 选择加密套件为CCMP。
¡ 配置域名为dom1。
¡ 单击<确定>按钮。
(3) 将无线服务绑定到射频
返回“无线配置 > 无线服务 > 无线服务配置”页面:
¡ 选中创建的无线服务service1,单击页面下方的<绑定到Radio>按钮,进入到绑定到Radio页面。
¡ 选中AP的2.4GHz射频单元,单击页面下方的<绑定>按钮。
(4) 验证配置
配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。
CPE5100支持作为AP使用,本手册中的描述和图示不区分AP和CPE。
在AP上配置一个管理员帐户,用于用户采用HTTP方式登录AP,具体要求如下:
· 用户使用管理员帐户登录时,AP对其进行本地认证;
· 管理员帐户名称为webuser,密码为hello12345;
· 通过认证之后,用户被授予角色network-admin。
图4-1 管理员配置组网图
(1) 创建VLAN
单击页面左侧导航栏的“网络配置 > 链路> VLAN”,进入VLAN页面,创建VLAN 2。
(2) 编辑VLAN并创建VLAN接口
点击的VLAN 2表项后面的<编辑>按钮,进入“修改VLAN”页面,将与管理员PC相连的接口加入VLAN 2的Tagged端口列表,并创建VLAN接口2。
(3) 配置VLAN接口2 IP地址
单击页面左侧导航栏的“网络配置 > IP> IP”,进入“IP”页面,点击VLAN接口2表项后面的<编辑>按钮,进入“修改IP设置”页面,配置VLAN接口2的IP地址为192.168.1.20/24。
(4) 配置管理员账户
单击页面左侧导航栏的“系统 > 设备管理 > 管理员”,进入“管理员”页面,配置步骤为:
¡ 添加管理员。
¡ 配置用户名为webuser,密码为hello12345。
¡ 选择角色为network-admin。
¡ 指定可用的服务为HTTP和HTTPS。
(1) 完成上述配置后,在管理员页面上可以看到已成功添加的管理员帐户。
(2) 用户在PC的Web浏览器地址栏中输入http://192.168.1.20并回车后,浏览器将显示Web登录页面。用户在该登录页面中输入管理员帐户名称、密码后,即可成功登录设备的Web页面进行相关配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
