- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-无线配置
本章节下载 (2.12 MB)
在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,点击指定的无线服务后,可以查看相关的详细信息、统计信息、连接历史。
clear类型无线服务的详细信息如图1-1所示,详细信息中的各字段解释请参见表1-1。
图1-1 查看clear类型的无线服务的详细信息
表1-1 clear类型无线服务显示信息描述表
|
配置项 |
说明 |
|
Service Template Number |
当前无线服务号 |
|
SSID |
Service Set Identifier,表示设置的服务组合识别码 |
|
Service Template Type |
服务模板类型 |
|
Authentication Method |
使用的认证类型,clear类型的无线服务只能使用Open System(开放系统认证)方式 |
|
SSID-hide |
l Disable:启用SSID通告 l Enable:禁用SSID通告。SSID隐藏后,设备发送的信标帧里面不包含SSID信息 |
|
Service Template Status |
服务模板状态: l Enable:无线服务处于使能状态 l Disable:无线服务处于关闭状态 |
|
Maximum clients per BSS |
一个BSS中能够连接的最大客户端数 |
clear类型无线服务的详细信息如图1-2所示,详细信息中的各字段解释请参见表1-2。
图1-2 查看crypto类型的无线服务的详细信息
表1-2 crypto类型无线服务显示信息描述表
|
配置项 |
说明 |
|
Service Template Number |
当前无线服务号 |
|
SSID |
Service Set Identifier,表示设置的服务组合识别码 |
|
Service Template Type |
服务模板类型 |
|
Security IE |
安全IE:WPA或RSN |
|
Authentication Method |
使用的认证类型:Open System(开放系统认证)或者Shared Key(共享密钥认证); |
|
SSID-hide |
l Disable:启用SSID通告 l Enable:禁用SSID通告。SSID隐藏后,设备发送的信标帧里面不包含SSID信息 |
|
Cipher Suite |
加密套件:CCMP、TKIP、WEP40、WEP104或WEP128 |
|
TKIP Countermeasure Time(s) |
TKIP反制策略时间,单位为秒 |
|
PTK Life Time(s) |
PTK生存时间,单位为秒 |
|
GTK Rekey |
GTK密钥更新配置 |
|
GTK Rekey Method |
GTK密钥更新方法:基于包或基于时间 |
|
GTK Rekey Time(s) |
当选择基于时间的GTK密钥更新方法时,显示GTK密钥更新时间,单位为秒 当选择基于包的GTK密钥更新方法时,显示数据包的数目 |
|
Service Template Status |
服务模板状态: l Enable:无线服务处于使能状态 l Disable:无线服务处于关闭状态 |
|
Maximum clients per BSS |
一个BSS中能够连接的最大客户端数 |
无线服务的统计信息如图1-3所示。
无线服务的连接历史信息如图1-4所示。
在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“射频”页签。点击指定的射频单元后,选择“无线服务”,可以查看与射频绑定的无线服务。
图1-5 查看射频的详细信息
显示表格中的“背景噪声”表示无线通信过程中遇到的各种随机的电磁波。对于背景噪声较强的环境,可以通过“增加信号功率”或“降低背景噪声”来改善SNR(Signal-to-Noise Ratio,信噪比)。
在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“射频”页签。点击指定的射频单元后,选择“详细信息”,可以查看射频相关的详细信息。
图1-6 查看射频的详细信息
表1-3 射频的详细显示信息描述表
|
字段 |
描述 |
|
WLAN-Radio1/0当前状态 |
WLAN-Radio接口的物理层链路状态 |
|
IP Packet Frame Type |
接口输出帧封装类型 |
|
Hardware Address |
接口的MAC地址 |
|
Radio-type dot11a |
接口使用的WLAN的协议类型 |
|
channel |
接口使用的信道,auto表示channel是由系统自动选择的 如果信道是用户手工配置的,则该字段的显示格式为“channel configured-channel |
|
power(dBm) |
接口的发送功率(单位为dBm) |
|
Received: 2 authentication frames, 2 association frames |
收到的:认证帧的个数,关联帧的个数 |
|
Sent out: 2 authentication frames, 2 association frames |
发送的:认证帧的个数,关联帧的个数 |
|
Stations: 0 associating, 2 associated |
无线用户数目:当前正在关联的会话的数目,当前已经关联的会话的数目 |
|
Input : 70686 packets, 6528920 bytes : 255 unicasts, 34440 bytes : 70461 multicasts/broadcasts, 6494480 bytes : 0 fragmented : 414 discarded, 26629 bytes : 0 duplicates, 3785 FCS errors : 0 decryption errors |
接口物理层输入报文统计信息: l 总包数,总字节数 l 单播总包数,单播总字节数 l 组播/广播总包数,组播/广播总字节数 l 分片报文总个数 l 被丢弃的总包数,被丢弃的总字节数 l 收到的重复帧的个数,FCS错误的次数 l 解密错误的次数 |
|
Output: 3436 packets, 492500 bytes : 3116 unicasts, 449506 bytes : 320 multicasts/broadcasts, 42994 bytes : 0 fragmented : 948 discarded, 100690 bytes : 0 failed RTS, 1331 failed ACK : 4394 transmit retries, 1107 multiple transmit retries |
接口物理层输出报文统计信息: l 总包数,总字节数 l 单播总包数,单播总字节数 l 组播/广播总包数,组播/广播总字节数 l 分片报文的总个数 l 被丢弃的总包数,被丢弃的总字节数 l 发送失败的RTS报文个数,发送失败的ACK报文个数 本次重传发送的帧的个数,重传的次数 |
在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签。进入页面后,选择“详细信息”页签,点击指定的客户端后,可以查看相关的详细信息。
客户端详细信息如图1-7所示,客户端详细信息中的各字段解释,请参见表1-5。
表1-4 信号质量描述表
|
字段 |
描述 |
|
信号质量 |
|
|
字段 |
描述 |
|
MAC address |
客户端的MAC地址 |
|
AID |
客户端的关联ID |
|
Radio Interface |
WLAN射频接口 |
|
SSID |
设备提供的SSID |
|
BSSID |
设备的MAC地址 |
|
Port |
与客户端关联的WLAN-BSS接口 |
|
VLAN |
客户端所处的VLAN |
|
State |
客户端的状态,例如:Running(运行) |
|
Power Save Mode |
客户端的节电模式:Active(激活)或者Sleep(睡眠) |
|
Wireless Mode |
无线模式:802.11a,802.11b,802.11g,802.11an,802.11gn |
|
QoS Mode |
设备是否支持WMM标志 |
|
Listen Interval (Beacon Interval) |
客户端激活后监听信标帧的时间间隔,单位为Beacon interval(信标发送时间间隔) |
|
RSSI |
接收信号强度指示,该值表明了设备检测到Client的信号强度 |
|
SNR |
信噪比 |
|
Rx/Tx Rate |
上一个帧的接收和传输速率 |
|
Client Type |
客户端类型,例如:RSN、WPA或Pre-RSN |
|
Authentication Method |
认证方式,例如:开放系统认证或共享密钥认证 |
|
AKM Method |
AKM套件,如Dot1X,PSK |
|
4-Way Handshake State |
4次握手状态中的一种: l IDLE:初始化状态 l PTKSTART:4次握手初始化完毕 l PTKNEGOTIATING:发送了有效消息3 l PTKINITDONE:4次握手成功 |
|
Group Key State |
组密钥状态,包括以下几种: l IDLE:初始化状态 l REKEYNEGOTIATE:AC向用户发送初始化消息 l REKEYESTABLISHE:密钥更新成功 |
|
Encryption Cipher |
加密密码:明文或者密文加密的类型 |
|
Roam Status |
漫游状态:正常或者快速漫游 |
|
Up Time |
客户端和设备关联的时间 |
该页面的控件含义如下:
l <刷新>按钮
单击<刷新>按钮,刷新当前页面的显示信息。
l <黑名单>按钮
单击<黑名单>按钮,可以把选定的客户端加入到静态黑名单中,静态黑名单可以选择通过“安全 > 黑白名单”进行查看。
l <清空统计>按钮
单击<清空统计>按钮,可以删除列表中的所有项或清除所有统计信息。
l <断开连接>按钮
单击<断开连接>按钮,可以使选定的客户端下线。
在界面左侧的导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签。进入页面后,选择“统计信息”页签,点击指定的客户端后,可以查看相关的统计信息。
客户端统计信息如图1-8所示,客户端统计信息中的各字段解释,请参见表1-6。
|
字段 |
描述 |
|
AP Name |
接入点名称 |
|
Radio Id |
射频ID号 |
|
SSID |
设备提供的SSID |
|
BSSID |
设备的MAC地址 |
|
MAC Address |
客户端的MAC地址 |
|
RSSI |
接收信号强度指示,该指表明了设备检测到Client的信号强度 |
|
Transmitted Frames |
发送的帧的数目 |
|
Back Ground(Frames/Bytes) |
以帧或字节为单位对背景流优先级队列进行统计 |
| Best Effort(Frames/Bytes) |
以帧或字节为单位对尽力而为流优先级队列进行统计 |
|
Video(Frames/Bytes) |
以帧或字节为单位对视频流优先级队列进行统计 |
|
Voice(Frames/Bytes) |
以帧或字节为单位对语音流优先级队列进行统计 |
|
Received Frames |
收到的帧的数目 |
|
Discarded Frames |
丢弃的帧的数目 |
WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在有线网络,只是用户可以通过无线方式接入网络。
使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:
l 通过无线网络,用户可以方便的接入网络,并访问已有网络或因特网;
l 安全问题是无线网络最大的挑战,当前无线网络可以使用不同认证和加密方式,提供安全的无线网络接入服务;
l 在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。
(1) 客户端
带有无线网卡的PC、便携式笔记本电脑以及支持WiFi功能的各种终端。
(2) SSID
SSID(Service Set Identifier,服务组合识别码),客户端可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络。
(3) 无线介质
无线介质是用于在无线用户间传输帧的介质。WLAN系统使用无线射频作为传输介质。
无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和设备建立连接,最终接入无线局域网。整个过程如图2-1所示。
无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围设备发送的Beacon(信标帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个探测请求帧(Probe Request帧),通过收到探查响应帧(Probe Response)获取网络信号。
无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息。
(1) 主动扫描
无线客户端工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
l 客户端发送Probe Request帧(SSID为空,也就是SSID IE的长度为0):客户端会定期地在其支持的信道列表中,发送探查请求帧(Probe Request)扫描无线网络。当设备收到探查请求帧后,会回应探查响应帧(Probe Response)通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端主动扫描方式的过程如图2-2所示。
图2-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)
l 客户端发送Probe Request(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送探查请求帧(Probe Request)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的设备接收到探测请求后回复探查响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如图2-3所示。
图2-3 主动扫描过程(Probe Request携带指定的SSID为“office”)
(2) 被动扫描
被动扫描是指客户端通过侦听设备定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的设备设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息。当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。被动扫描的过程如图2-4所示。
为了保证无线链路的安全,设备需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
l 开放系统认证(Open system authentication)
开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步设备确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为“成功”。
图2-5 开放系统认证过程
l 共享密钥认证
共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。
共享密钥认证的认证过程为:客户端先向设备发送认证请求,设备端会随机产生一个Challenge(即一个字符串)发送给客户端;客户端会将接收到的Challenge加密后再发送给设备;设备接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了Shared Key链路认证;否则Shared Key链路认证失败。
图2-6 共享密钥认证过程
如果用户想接入无线网络,必须同特定的设备关联。当用户通过指定SSID选择无线网络,并通过设备链路认证后,就会立即向设备发送关联请求。设备会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功。通常,无线终端同时只可以和一个设备建立链路,而且关联总是由无线终端发起。
(1) 解除认证
解除认证用于中断已经建立的链路或者认证,无论设备还是无线终端都可以发送解除认证帧断开当前的链接过程。无线系统中,有多种原因可以导致解除认证,如:
l 接收到非认证用户的关联或解除关联帧。
l 接收到非认证用户的数据帧。
l 接收到非认证用户的PS-Poll帧。
(2) 解除关联
无论设备还是无线终端都可以通过发送解除关联帧以断开当前的无线链路。无线系统中,有多种原因可以导致解除关联,如:
l 接收到已认证但未关联用户的数据帧。
l 接收到已认证但未关联用户的PS-Poll帧。
相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。
802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。
(1) 明文数据
该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法实现数据报文的加密保护,通过共享密钥来加密密钥管理,理论上增加了网络侦听,会话截获等的攻击难度。根据使用的密钥长度,WEP包括WEP40、WEP104和WEP128。密钥长度的增加在一定程度上提高了WEP加密的安全性,但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制,WEP加密还是存在比较大的安全隐患。
WEP加密方式可以分别和Open system、Shared key链路认证方式使用。
l 采用Open system authentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃。
l 采用Shared key authentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络。
(3) TKIP加密
虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护。
首先,TKIP通过增长了算法的IV(初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;
其次,TKIP机密机制实现了密钥的动态协商,解决了WEP加密需要静态配置密钥的限制。TKIP使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破;
另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个出现MIC错误的报文,设备将会启动Countermeasure功能,此时,设备将通过静默一段时间不提供服务,实现对无线网络的攻击防御。
(4) CCMP加密
CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文报文都会是用不同的PN,在一定程度上提高安全性。
当无线终端成功和设备建立无线链路,可以认为无线终端成功接入到无线网络,但是为了无线网络的安全和管理,无线接入用户只有通过后面的接入认证后才可能真正访问网络资源。其中PSK(Preshared Key预共享密钥)认证和802.1x认证伴随着无线链路的动态密钥协商和管理,所以和无线链路协商关系比较密切,而且它的认证和无线链路本身没有直接关系。
(1) PSK认证
WPA和WPA2无线接入都支持PSK认证,无线客户端接入无线网络前,需要配置和设备相同的预共享密钥。
四次握手(4-Way Handshake)密钥协商通过802.1x的4个密钥报文交互为无线链路在无线终端和设备侧动态协商出私有密钥,而预共享密钥将作为密钥协商的种子密钥使用。在协商过程中,种子密钥将被双方进行验证,只有密钥设置相同,密钥协商才可以成功,也就是无线用户成功通过PSK接入认证;否则无线用户PSK接入认证失败,无线用户链路将被断开。
(2) 802.1x认证
802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。
(3) MAC接入认证
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境。
MAC地址认证分为以下两种方式:
l 本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证,此时需要在设备上配置本地用户名和密码。通常情况下,可以采用MAC地址作为用户名,需要事先获知无线接入用户的MAC地址并配置为配置的本地用户名。无线用户接入网络时,只有存在用户的MAC地址可以认证通过,其它用户将被拒绝接入。
图2-7 本地MAC地址认证
l 通过RADIUS服务器进行MAC地址认证:当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作。当MAC接入认证发现当前接入的客户端为未知客户端,设备作为RADIUS客户端,会与RADIUS服务器完成MAC地址认证。在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络,而且RADIUS服务器可以下发相应的授权信息。
图2-8 本地MAC地址认证
采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器。
802.11n作为802.11协议族的一个新协议,支持2.4GHz和5GHz两个频段,致力于为WLAN接入用户提供更高的“接入速率”,802.11n主要通过增加带宽和提高信道利用率两种方式来提高通讯速率。
增加带宽:802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用。当使用40MHz带宽时,可将速率提高一倍,提高无线网络的吞吐量。
提高信道利用率:对信道利用率的提高主要体现在三个方面。
l A-MPDU聚合帧:即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,减少了传输每个MPDU的PHY头,同时还减少了ACK帧的数目,从而降低了协议的负荷,有效的提高信道利用率。
l A-MSDU特性:该特性实现了将多个MSDU组合成一个MSDU发送,与A-MPDU类似,通过聚合,A-MSDU特性有效减少了传输多个MSDU的MAC头的信息,提高了MAC层的传输效率,最终提高了信道利用率。
l 物理层提供短间隔功能:已有的802.11a和802.11g的GI(Guard Interval)时长800us,而802.11n可以支持短间隔Short GI,其时长为400us,可以有效减少信道空闲时间,提高信道利用率。使用Short GI时,可以提高大约10%的性能。
在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,进入如图2-9所示接入服务配置页面。
单击<新建>按钮,进入如图2-10所示无线服务新建页面。
新建无线服务的详细配置如表2-1所示。
|
配置项 |
说明 |
|
射频单元 |
支持的射频号,取值为1或2。实际的取值与设备的型号有关,请以设备的实际情况为准 |
|
射频模式 |
实际的取值与设备的型号以及射频单元有关,请以设备的实际情况为准 |
|
无线服务名称 |
设置SSID(Service Set Identifier,服务组合识别码) SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了Beacon报文长度和使用难度,对无线安全没有改进 |
|
无线服务类型 |
选择无线服务类型: l clear:使用明文发送数据 l crypto:使用密文发送数据 |
在界面左侧的导航栏中选择“接口配置 > 无线
> 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应
的图标,进入如图2-11所示的配置页面。
图2-11 clear类型无线服务基本配置页面
clear类型无线服务基本配置的详细配置如表2-2所示。
表2-2 clear类型无线服务基本配置的详细配置
|
配置项 |
说明 |
|
无线服务名称 |
显示选择的SSID |
|
VLAN(Untagged) |
添加Untagged的VLAN ID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签 |
|
缺省VLAN |
设置端口的缺省VLAN 在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID |
|
删除VLAN |
删除已有Tagged和Untagged的VLAN ID |
|
网络隐藏 |
配置是否在信标帧中通告SSID,缺省情况下,信标帧通告SSID l Enable:禁止在信标帧中通告SSID l Disable:在信标帧中通告SSID
l SSID隐藏后,设备发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入设备 l 隐藏SSID对无线安全意义不大。允许广播SSID可以使客户端更容易发现AP |
在界面左侧的导航栏中选择“接口配置 > 无线 > 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务高级配置页面。
图2-12 clear类型无线服务高级配置页面
clear类型无线服务高级配置的详细配置如表2-3所示。
表2-3 clear类型无线服务高级配置的详细配置
|
配置项 |
说明 |
|
关联最大用户数 |
在一个射频下,某个SSID下关联客户端的最大个数
当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏 |
|
管理权限 |
上线的客户端对设备WEB界面的管理权限 l Disable:表示上线的客户端对设备WEB界面没有管理权限 l Enable:表示上线的客户端对设备WEB界面有管理权限 |
在界面左侧的导航栏中选择“接口配置 > 无线
> 接入服务”,在列表中找到要进行配置的clear类型无线服务,单击对应的图标,进入clear类型无线服务安全配置页面。
clear类型无线服务基本配置的详细配置如表2-4所示。
表2-4 clear类型无线服务安全配置的详细配置
|
配置项 |
说明 |
|
认证方式 |
clear类型只能选择Open-System方式 |
|
端口安全 |
l mac-authentication:对接入用户采用MAC地址认证 l mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证 l mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户 l userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 l userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证 l userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户 l userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户
由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解: l “userLogin”表示基于端口的802.1X认证; l “mac”表示MAC地址认证; l “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式; l “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式; l 携带“Secure”的userLogin表示基于MAC地址的802.1X认证; l 携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
(1) 当选择mac-authentication时,需要配置如下选项:
图2-13 mac-authentication端口安全配置页面
表2-5 mac-authentication端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
mac-authentication:对接入用户采用MAC地址认证 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
域名 |
在下拉框中选择已存在的域 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 在该选项中选择的域名仅对此无线服务生效 |
(2) 当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项:
图2-14 userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)
表2-6 userlogin-secure/userlogin-secure-ext端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
l userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线 l userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
域名 |
在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
|
认证方法 |
l EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 l CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠 l PAP:采用PAP认证方式。PAP采用明文方式传送口令 |
|
用户握手 |
l Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态 l Disable:关闭在线用户握手功能 |
|
多播触发 |
l Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态 l Disable:关闭802.1X的组播触发功能
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能 |
(3) 当选择其他四种端口安全时,需要配置如下选项:
图2-15 四种端口安全配置页面(以mac-else-userlogin-secure为例)
表2-7 其他四种端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
l mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证 l mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户 l userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证 l userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
域名 |
在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 |
|
认证方法 |
l EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证 l CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠 l PAP:采用PAP认证方式。PAP采用明文方式传送口令 |
|
用户握手 |
l Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态 l Disable:关闭在线用户握手功能 |
|
多播触发 |
l Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态。 l Disable:关闭802.1X的组播触发功能
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能 |
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
域名 |
在下拉框中选择已存在的域 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 在该选项中选择的域名仅对此无线服务生效 |
在界面左侧的导航栏中选择“接口配置 > 无线
> 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-16所示页面。
图2-16 crypto类型无线服务基本配置页面
crypto类型无线服务基本配置的详细配置请参见表2-2。
在界面左侧的导航栏中选择“接口配置 > 无线
> 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-17所示页面。
图2-17 crypto类型无线服务高级配置页面
crypto类型无线服务高级配置的详细配置如表2-8所示。
表2-8 crypto类型无线服务高级配置的详细配置
|
配置项 |
说明 |
|
关联最大用户数 |
在一个射频下,某个SSID下的关联客户端的最大个数
当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏 |
|
PTK生存时间 |
设置PTK的生存时间,PTK通过四次握手方式生成 |
|
TKIP反制策略实施时间 |
设置反制策略实施时间。 缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略;如果时间设置为其他值则启动反制策略; MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联 |
|
管理权限 |
上线的客户端对设备WEB界面的管理权限 l Disable:表示上线的客户端对设备WEB界面没有管理权限 l Enable: 表示上线的客户端对设备WEB界面有管理权限 |
|
GTK更新方法 |
GTK由AC生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文 l 选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔 l 选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK 缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒 |
|
客户端离线更新GTK |
启动当客户端离线时更新GTK的功能 缺省情况下,客户端离线更新GTK的功能处于关闭状态 |
在界面左侧的导航栏中选择“接口配置 > 无线
> 接入服务”,在列表中找到要进行配置的crypto类型无线服务,单击对应的图标,进入如图2-18所示页面。
图2-18 crypto类型无线服务安全配置页面
crypto类型无线服务安全配置的详细配置如表2-9所示。
表2-9 crypto类型无线服务安全配置的详细配置
|
配置项 |
说明 |
|
认证方式 |
链路认证方式,可选择以下几种: l Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证 l Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制 l Open-System and Shared-Key:可以同时选择使用Open-System和Shared-Key认证 |
|
加密类型 |
无线服务支持加密机制 l CCMP:一种基于AES加密算法的加密机制 l TKIP:一种基于RC4算法和动态密钥管理的加密机制 l CCMP and TKIP:可以同时选择使用CCMP和TKIP加密 |
|
安全IE |
无线服务类型(Beacon或者Probe response报文中携带对应的IE信息): l WPA:在802.11i协议之前,Wi-Fi Protected Access定义的安全机制 l WPA2:802.11i定义的安全机制,也就是RSN(Robust Security Network,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性 l WPA and WPA2:同时选择使用WPA和WPA2 |
|
WEP加密 |
|
|
密钥类型 |
l WEP 40:选择WEP 40进行加密 l WEP 104:选择WEP 104进行加密 l WEP 128:选择WEP 128进行加密 |
|
密钥ID |
密钥ID用来配置密钥索引号,可选以下几种: 1:选择密钥索引为1 2:选择密钥索引为2 3:选择密钥索引为3 4:选择密钥索引为4 在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密 |
|
长度 |
选择WEP密钥长度 l 当密钥类型选择WEP 40时,可选的密钥长度5个字符(5 Alphanumeric Chars)或者10位16进制数(10 Hexadecimal Chars) l 当密钥类型选择WEP 104时,可选的密钥长度13个字符(13 Alphanumeric Chars)或者26位16进制数(26 Hexadecimal Chars) l 当密钥类型选择WEP 128时,可选的密钥长度16个字符(16 Alphanumeric Chars)或者32位16进制数(32 Hexadecimal Chars) |
|
密钥 |
配置WEP密钥 |
|
端口安全 |
请参见表2-4 “认证方式”、“加密类型”等参数直接决定了端口模式的可选范围,具体请参见表2-12 在选则“加密类型”后,增加以下四种端口安全模式: l mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 l psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 l userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户 |
(1) 当选择mac and psk时,需要配置如下选项:
图2-19 mac and psk端口安全配置页面
表2-10 mac and psk端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
MAC认证 |
选中“MAC认证”前的复选框 |
|
域名 |
在下拉框中选择已存在的域 设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域 在该选项中选择的域名仅对此无线服务生效 |
|
域共享密钥 |
l pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串。 l raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。 |
(2) 当选择psk时,需要配置如下选项:
图2-20 psk端口安全配置页面
表2-11 psk端口安全配置的详细配置
|
配置项 |
说明 |
|
端口模式 |
psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口 |
|
最大用户数 |
控制能够通过某端口接入网络的最大用户数 |
|
域共享密钥 |
l pass-phrase:以字符串方式输入预共享密钥,输入8~63个字符的可显示字符串。 l raw-key:以十六进制数方式输入预共享密钥,输入长度是64位的合法十六进制数。 |
(3) 当选择userlogin-secure-ext时,需要配置的选项如“2.2.2 3. (2)”:
clear类型和crypto类型无线服务类型下,各参数之间的关系:
|
服务类型 |
认证方式 |
加密类型 |
安全IE |
WEP加密/密钥ID |
端口模式 |
|
clear |
Open-System |
不可选 |
不可选 |
不可选 |
mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext userlogin-secure userlogin-secure-ext userlogin-secure-or-mac userlogin-secure-or-mac-ext |
|
crypto |
Open-System |
选择 |
必选 |
WEP加密可选/密钥ID可选1234 |
mac and psk psk userlogin-secure-ext |
|
不选择 |
不可选 |
WEP加密必选/密钥ID可选1234 |
mac-authentication |
||
|
Shared-Key |
不可选 |
不可选 |
WEP加密必选/密钥ID可选1234 |
mac-authentication |
|
|
Open-System and Shared-Key |
选择 |
必选 |
WEP加密可选/密钥ID可选1234 |
mac and psk psk userlogin-secure-ext |
|
|
不选择 |
不可选 |
WEP加密必选/密钥ID可选1234 |
mac-authentication |
某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要在设备上开启无线功能实现移动办公。
具体要求如下:
l 提供SSID为service1的明文方式的无线接入服务。
l 采用目前较为常用的802.11g射频模式。
图2-21 无线服务组网图
(1) 配置无线服务
# 创建无线服务。
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如图2-22所示无线服务新建页面。
l 选择射频单元为“1”。
l 设置无线服务名称为“service1”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(2) 开启无线服务
在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如图2-23所示页面。
l 选中“service1”前的复选框。
l 单击<开启>按钮完成操作。
(3) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“接口配置 > 无线 > 射频”,进入图2-24所示射频设置页面,确认802.11g处于开启状态。
在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。
配置无线服务需注意如下事项:
l 选择正确的区域码。
l 确认射频单元处于开启状态。
AP可以同时支持多个无线接入服务,不但无线接入服务可以采用不同的无线安全策略,而且可以把将无线接入服务绑定到不同VLAN中,实现无线接入用户的隔离。本例要求如下:
l 建立一个名为“research”的无线接入服务,使用PSK认证方式,所有接入该无线网络的客户端都在VLAN 2中。
l 建立一个名为“office”的无线接入服务,使用明文接入方式,所有接入该无线网络的客户端都在VLAN 3中。
图2-25 基于接入服务的VLAN拓扑图
(1) 配置名为research的无线服务
# 创建无线服务。
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入无线服务新建页面。
l 设置无线服务名称为“research”。
l 选择无线服务类型为“crypto”。
l 单击<确定>按钮完成操作。
# 创建无线服务后,直接进入配置无线服务界面,进行VLAN设置(请先通过“网络 > VLAN”,新建VLAN 2)。
图2-26 设置VLAN
l 设置VLAN(Untagged)为“2”。
l 设置缺省VLAN为“2”。
l 设置删除VLAN为“1”。
PSK认证的相关配置请参见“2.3.3 PSK认证典型配置举例”,可以完全参照相关举例完成配置。
(2) 配置名为office的无线服务
# 创建无线服务。
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入无线服务新建页面。
l 设置无线服务名称为“office”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
# 创建无线服务后,直接进入配置无线服务界面,配置VLAN(请先通过“网络 > VLAN”,新建VLAN 3)。
图2-27 设置VLAN
l 设置VLAN(Untagged)为“3”。
l 设置缺省VLAN为“3”。
l 设置删除VLAN为“1”。
l 单击<确定>按钮完成操作。
在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。
接入SSID为office的客户端0014-6c8a-43ff加入VLAN 3,接入SSID为research的客户端0040-96b3-8a77加入VLAN 2,两个客户端不在同一VLAN,相互不能访问。
要求客户端使用PSK方式接入无线网络,客户端的PSK密钥配置与AP端相同,为12345678。
图2-28 PSK认证配置组网图
(1) 配置无线服务
# 创建无线服务
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如图2-29所示无线服务新建页面。
l 设置无线服务名称为“psk”。
l 选择无线服务类型为“crypto”。
l 单击<确定>按钮完成操作。
(2) 配置PSK认证
创建无线服务后,直接进入配置无线服务界面,配置PSK认证需要对“安全设置”部分进行设置。
图2-30 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“加密类型”前的复选框,选择“CCMP and TKIP”加密类型(请根据实际情况,选择需要的加密类型),选择“WPA”安全IE。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“psk”方式。
l 在PSK预共享密钥下拉框里选择“pass-phrase”,输入密钥“12345678”。
l 单击<确定>按钮完成操作。
(3) 开启无线服务
在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如图2-31所示页面。
l 选中“psk”前的复选框。
l 单击<开启>按钮完成操作。
(4) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。
(5) 配置无线客户端
打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为PSK),单击<连接>,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如图2-32所示。
客户端配置相同的PSK预共享密钥,客户端可以成功关联AP。
图2-33 客户端成功关联AP
(1) 客户端配置相同的PSK预共享密钥。客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。
要求使用客户端使用MAC地址本地认证方式接入无线网络。
图2-34 MAC地址本地认证配置组网图
(1) 配置无线服务
# 创建无线服务。
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如图2-35所示无线服务新建页面。
l 选择射频单元为“1”。
l 设置无线服务名称为“mac-auth”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(2) 配置MAC地址本地认证
创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对“安全设置”部分进行设置。
图2-36 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。
l 选中“MAC认证”前的复选框,在域名下拉框中选择“system”。
l 单击<确定>按钮完成操作。
(3) 开启无线服务
在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如图2-37所示页面。
l 选中“mac-auth”前的复选框。
l 单击<开启>按钮完成操作。
(4) 配置MAC认证列表
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<MAC认证列表>按钮,进入如图2-38所示页面。
图2-38 添加MAC认证列表
l 在MAC地址栏里添加本地接入用户,本例中为“00-14-6c-8a-43-ff”。
l 单击<添加>按钮完成操作。
(5) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。
(6) 配置无线客户端
打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为mac-auth),单击<连接>,如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。
图2-39 配置无线客户端
如果客户端的MAC地址在MAC认证列表中,该客户端可以通过认证,并访问无线网络。在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。
要求使用客户端使用远程MAC地址认证方式接入无线网络。
l 一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上需要添加了Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置了与设备交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
l 设备的IP地址为10.18.1.1。设备与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。
图2-40 远程MAC地址认证配置组网图
(1) 配置无线服务
# 创建无线服务。
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如图2-41所示无线服务新建页面。
l 选择射频单元为“1”。
l 设置无线服务名称为“mac-auth”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(2) 配置MAC地址认证
创建无线服务后,直接进入配置无线服务界面,配置MAC地址本地认证需要对“安全设置”部分进行设置。
图2-42 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。
l 选中“MAC认证”前的复选框,在域名下拉框中选择“system”。
l 单击<确定>按钮完成操作。
(3) 开启无线服务
在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如图2-43所示页面。
l 选中“mac-auth”前的复选框。
l 单击<开启>按钮完成操作。
(4) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。
(5) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为expert;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图2-44 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置服务名为mac,其他保持缺省配置。
图2-45 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名和密码为00-14-6c-8a-43-ff;
l 选中刚才配置的服务mac。
图2-46 增加接入用户
认证过程中,客户端不需要用户手动输入用户名或者密码。该客户端通过MAC地址认证后,可以通过访问无线网络。在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。
要求使用客户端使用远程802.1x认证方式接入无线网络。
l 一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上需要添加了Client的用户名和密码(用户名为user,密码dot1x),同时设置了与设备交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。
l 设备的IP地址为10.18.1.1。设备与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。
图2-47 远程802.1x认证配置组网图
(1) 配置无线服务
# 创建无线服务。
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如图2-48所示无线服务新建页面。
l 选择射频单元为“1”。
l 设置无线服务名称为“dot1x”。
l 选择无线服务类型为“crypto”。
l 单击<确定>按钮完成操作。
(2) 配置802.1x认证
创建无线服务后,直接进入配置无线服务界面,配置802.1x认证需要对“安全设置”部分进行设置。
图2-49 安全设置
l 在“认证方式”下拉框中选择“Open-System”。
l 选中“加密类型”前的复选框,在加密类型下拉框中选择“CCMP”,在安全IE下拉框中选择“WPA2”。
l 选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。
l 选中“域名”前的复选框,在域名下拉框中选择“system”。
l 在认证方法下拉框中选择“EAP”。
l 建议关闭用户握手和多播触发。
l 单击<确定>按钮完成操作。
(3) 开启无线服务
在导航栏中选择“接口配置 > 无线 > 接入服务”。
l 选中“dot1x”前的复选框。
l 单击<开启>按钮完成操作。
(4) 开启802.11g射频(缺省情况下,802.11g处于开启状态,此步骤可选)
在导航栏中选择“接口配置 > 无线 > 射频”,进入射频设置页面,确认802.11g处于开启状态。
(5) 配置RADIUS server (iMC)
下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置认证、计费共享密钥为expert;
l 设置认证及计费的端口号分别为1812和1813;
l 选择协议类型为LAN接入业务;
l 选择接入设备类型为H3C;
l 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图2-50 增加接入设备
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入增加服务配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
l 设置服务名为dot1x。
l 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。
图2-51 增加服务配置页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
l 添加用户名;
l 添加帐号名为user,密码为dot1x;
l 选中刚才配置的服务dot1x。
图2-52 增加接入用户
选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用windows登录名和密码选项。然后“确定”。整个过程如下图所示。
图2-53 无线网卡配置过程
图2-54 无线网卡配置过程
图2-55 无线网卡配置过程
(1) 在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。
(2) 在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。
对于支持802.11n的AP设备,可以通过配置为802.11n客户端提供高速接入的无线网络。
图2-56 无线服务组网图
(1) 配置无线服务
# 创建无线服务。
在导航栏中选择“接口配置 > 无线 > 接入服务”,单击<新建>按钮,进入如图2-57所示无线服务新建页面。
l 选择射频单元为“1”。
l 设置无线服务名称为“11nservice”。
l 选择无线服务类型为“clear”。
l 单击<确定>按钮完成操作。
(2) 开启无线服务
在导航栏中选择“接口配置 > 无线 > 接入服务”,进入如图2-58所示页面。
l 选中“11nservice”前的复选框。
l 单击<开启>按钮完成操作。
(3) 开启802.11n(2.4GHz)射频(缺省情况下,802.11n(2.4GHz)处于开启状态,此步骤可选)
在导航栏中选择“接口配置 > 无线 > 概览”,单击“客户端”页签,可以查看成功上线的客户端。
其中0014-6c8a-43ff是802.11g用户,001e-c144-473a是802.11n用户,因为本例中没有对用户类型进行限制,所以802.11g、802.11n用户都可以接入无线网络。如果开启了“只允许11n用户接入”,那么只有001e-c144-473a才能接入无线网络。
配置802.11n需注意如下事项:
l 在导航栏中选择“接口配置 > 无线 > 射频”,选择需要配置的射频单元,单击“操作”进入射频配置页面可以修改关于802.11n的相关参数,包括带宽模式、A-MPDU、A-MSDU、short GI和允许11n用户接入情况。
l 确认802.11n(2.4GHz)处于开启状态。
l 在导航栏中选择“接口配置 > 无线 > 射频”,可以修改802.11n的速率。
在界面左侧的导航栏中选择“接口配置 > 无线
> 射频”,在列表中选择需要配置的射频单元,单击对应的图标,进入如图3-1所示的页面。
射频设置的详细配置如表3-1所示。
|
配置项 |
说明 |
|
射频单元 |
显示选择射频单元 |
|
射频模式 |
选择射频模式 如果改变射频模式,功率和信道会恢复到对应模式下的缺省情况 |
|
发送功率 |
射频的最大传输功率 射频的最大功率和国家码、信道、射频模式和天线类型相关,如果采用802.11n射频模式,那么射频的最大功率和带宽模式也相关 |
|
信道 |
射频的工作信道:射频的工作信道由国家码和射频模式决定。信道列表与设备的型号有关,请以设备的实际情况为准 auto:自动选择信道模式 更改工作信道设置后,功率会自动刷新 |
|
802.11n |
只有选择支持802.11n的设备,此项才可见 |
|
带宽模式 |
802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽,在实际工作时可以作为两个20MHz的带宽使用(一个为主信道,一个为辅信道,收发数据时既可以选择40MHz的带宽工作,也可以选择单个20MHz带宽工作),这样可将速率提高一倍,提高无线网络的吞吐量 l 20Mhz:工作带宽为20MHz l 40Mhz:工作带宽为40MHz 缺省情况下,802.11n(5GHz)的带宽为40MHz,802.11n(2.4GHz)的带宽为20MHz
l 在指定带宽为40MHz情况下,如果找到可以绑定的信道,那么使用40MHz带宽,如果找不到可以绑定的信道,那么实际使用20MHz带宽,关于此部分的协议规范可参见“IEEE P802.11n D2.00” l 更改带宽模式设置后,功率会自动刷新 |
|
只允许11n用户接入 |
选中“只允许11n用户接入”前的复选框,表示非802.11n的客户端将不能接入到AP,如果用户想要兼容802.11a/b/g的客户端,同时还要接入802.11n的客户端,可以取消该功能
如果用户需要采用“只允许11n用户接入”,则必须配置基本MCS,基本MCS的配置请参见“3.2.2 2. 配置802.11n射频速率” |
|
A-MSDU |
选中“A-MSDU”前的复选框,表示开启A-MSDU功能 802.11n协议定义了一个新的MAC特性A-MSDU,该特性实现了将多个MSDU组合成一个MSDU发送,通过聚合,A-MSDU减少了传输每个MSDU的MAC头的附加信息,提高了MAC层的传输效率
在WDS使用802.11n射频的情况下,请确保各AP的此项配置保持一致 |
|
A-MPDU |
选中“A-MPDU”前的复选框,表示开启A-MPDU功能 802.11n标准中采用A-MPDU聚合帧格式,即将多个MPDU聚合为一个A-MPDU,只保留一个PHY头,删除其余MPDU的PHY头,减少了传输每个MPDU的PHY头的附加信息,同时也减少了ACK帧的数目,从而降低了协议的负荷,有效的提高网络吞吐量
在WDS使用802.11n射频的情况下,请确保各AP的此项配置保持一致 |
|
short GI |
选中“short GI”前的复选框,表示开启short GI功能 原11a/g的Short GI时长800us,短间隔Short GI时长为400us 无线信号在空间传输会因多径等因素在接收侧形成时延,如果后面的数据块发送的过快,会和前一个数据块的形成干扰,GI可以用来规避这个干扰。在使用Short GI的情况下,可提高10%的无线吞吐量 |
图3-2 射频设置(高级设置)
射频设置(高级设置)的详细配置如表3-2所示。
|
配置项 |
说明 |
|
前导码 |
前导码是位于数据包起始处的一组bit位,接收者可以据此同步并准备接收实际的数据。 l 短:短前导码。选择短前导码能使网络同步性能更好,一般选择短前导码 l 长:长前导码。在网络中需要兼容一些比较老的客户端网卡时,可以选择长前导码进行兼容 802.11a/802.11n(5GHz)不支持此项配置 |
|
发射距离 |
射频可覆盖的最大距离 |
|
分片门限 |
指定帧的分片门限值。分片的基本原理是将一个大的帧分成更小的分片,每个分片独立地传输和确认。当数据包的实际大小超过指定的分片门限值时,该数据包被分片传输 在误码率较高的无线环境下,可以把分片门限适当降低,这样在传输失败的情况下,只有未成功发送的部分需要重新发送,从而提高帧传输的吞吐量 在无干扰环境下,适当提高分片门限,可以减少确认帧的次数,也可以提高帧传输的吞吐量 |
|
Beacon间隔 |
发送信标帧的时间间隔。信标帧按规定的时间间隔周期性发送,以允许移动用户接入网络。与其它接入点设备或其它网络控制设备进行联络 |
|
RTS门限 |
启用RTS(Request To Send,要求发送)机制所要求的帧的长度门限值。当帧的实际长度大于设定的门限值时,会启用RTS机制 RTS用于在无线局域网中避免数据发送冲突。RTS包的发送频率需要合理设置,设置RTS门限时需要进行权衡:如果将门限值设得较小,则会增加RTS包的发送频率,消耗更多的带宽。但RTS包发送得越频繁,无线网络从冲突中恢复得就越快 在高密度无线网络环境可以降低此门限值,以减少冲突发生的概率
使用RTS机制会占用一定的网络带宽,所以只在传输高于RTS门限的数据帧时才使用,对于小于RTS门限的数据帧不启动该机制 |
|
DTIM周期 |
设置信标帧的DTIM周期(Delivery Traffic Indication Message,数据待传指示信息) 当DTIM计数达到0时,设备才会发送缓存中的多播帧或广播帧 |
|
长帧重传门限 |
设置帧长超过RTS门限值的单播帧的最大重传次数 |
|
短帧重传门限 |
设置帧长不大于RTS门限值的单播帧的最大重传次数 |
|
接收帧缓存时间 |
设备接收到的帧可以在缓存区保存的最大时间 |
在界面左侧的导航栏中选择“接口配置 > 无线 > 射频”,单击“速率设置”页签,进入如图3-3所示的页面。
速率设置的详细配置如表3-3所示。
表3-3 802.11a/802.11b/802.11g射频速率的详细配置
|
配置项 |
说明 |
|
802.11a |
802.11a速率设置 缺省情况下: l 强制速率:6,12,24; l 支持速率:9,18,36,48,54; l 组播速率:自动从强制速率集中选取,在所有客户端都支持的强制速率中选取发送速率,作为BSS中的多播报文的发送速率 |
|
802.11b |
802.11b速率设置 缺省情况下: l 强制速率:1,2; l 支持速率:5.5,11; l 组播速率:自动从强制速率集中选取,在所有客户端都支持的强制速率中选取发送速率,作为BSS中的多播报文的发送速率 |
|
802.11g |
802.11g速率设置 缺省情况下: l 强制速率:1,2,5.5,11; l 支持速率:6,9,12,18,24,36,48,54; l 组播速率:自动从强制速率集中选取,在所有客户端都支持的强制速率中选取发送速率,作为BSS中的多播报文的发送速率 |
802.11n射频速率的配置通过MCS(Modulation and Coding Scheme,调制与编码策略)索引值实现。MCS调制编码表是802.11n协议为表征WLAN的通讯速率而提出的一种表示形式。MCS将所关注的影响通讯速率的因素作为表的列,将MCS索引作为行,形成一张速率表。所以,每一个MCS索引其实对应了一组参数下的物理传输速率,表3-4和表3-5分别列举了带宽为20MHz和带宽为40MHz的MCS速率表(全部速率的描述可参见“IEEE P802.11n D2.00”)。
从表中可以得到结论:MCS 0~7使用单条空间流,当MCS=7时,速率值最大。MCS 8~15使用两条空间流,当MCS=15时,速率值最大。
表3-4 MCS对应速率表(20MHz)
|
MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
6.5 |
7.2 |
|
1 |
1 |
QPSK |
13.0 |
14.4 |
|
2 |
1 |
QPSK |
19.5 |
21.7 |
|
3 |
1 |
16-QAM |
26.0 |
28.9 |
|
4 |
1 |
16-QAM |
39.0 |
43.3 |
|
5 |
1 |
64-QAM |
52.0 |
57.8 |
|
6 |
1 |
64-QAM |
58.5 |
65.0 |
|
7 |
1 |
64-QAM |
65.0 |
72.2 |
|
8 |
2 |
BPSK |
13.0 |
14.4 |
|
9 |
2 |
QPSK |
26.0 |
28.9 |
|
10 |
2 |
QPSK |
39.0 |
43.3 |
|
11 |
2 |
16-QAM |
52.0 |
57.8 |
|
12 |
2 |
16-QAM |
78.0 |
86.7 |
|
13 |
2 |
64-QAM |
104.0 |
115.6 |
|
14 |
2 |
64-QAM |
117.0 |
130.0 |
|
15 |
2 |
64-QAM |
130.0 |
144.4 |
表3-5 MCS对应速率表(40MHz)
|
MCS索引 |
空间流数量 |
调制方式 |
速率(Mb/s) |
|
|
800ns GI |
400ns GI |
|||
|
0 |
1 |
BPSK |
13.5 |
15.0 |
|
1 |
1 |
QPSK |
27.0 |
30.0 |
|
2 |
1 |
QPSK |
40.5 |
45.0 |
|
3 |
1 |
16-QAM |
54.0 |
60.0 |
|
4 |
1 |
16-QAM |
81.0 |
90.0 |
|
5 |
1 |
64-QAM |
108.0 |
120.0 |
|
6 |
1 |
64-QAM |
121.5 |
135.0 |
|
7 |
1 |
64-QAM |
135.0 |
150.0 |
|
8 |
2 |
BPSK |
27.0 |
30.0 |
|
9 |
2 |
QPSK |
54.0 |
60.0 |
|
10 |
2 |
QPSK |
81.0 |
90.0 |
|
11 |
2 |
16-QAM |
108.0 |
120.0 |
|
12 |
2 |
16-QAM |
162.0 |
180.0 |
|
13 |
2 |
64-QAM |
216.0 |
240.0 |
|
14 |
2 |
64-QAM |
243.0 |
270.0 |
|
15 |
2 |
64-QAM |
270.0 |
300.0 |
用户对MCS的配置分为三类,配置基本MCS、支持MCS和组播MCS。配置输入的MCS索引是一个范围,即指0~配置值,如输入5,即指定了所要输入的MCS范围为0~5。
l 基本MCS:基本MCS是指设备正常工作所必须支持的MCS速率集,客户端必须满足设备所配置的基本MCS速率才能够与AP进行连接。
l 支持MCS:支持MCS速率集是在设备的基本MCS速率集基础上设备所能够支持的更高的速率集合,用户可以配置支持MCS速率集让客户端在满足基本MCS的前提下选择更高的速率与设备进行连接。
l 组播MCS:802.11n的组播MCS索引。
在界面左侧的导航栏中选择“接口配置 > 无线 > 射频”,单击“速率设置”页签,进入如图3-4所示的页面。
图3-4 配置802.11n射频速率
802.11n速率设置的详细配置如表3-6所示。
表3-6 802.11n射频速率的详细配置
|
配置项 |
说明 |
|
基本MCS集最大MCS索引 |
选中“基本MCS集最大MCS索引”前的复选框,设置802.11n的基本MCS集的最大MCS索引号 |
|
组播MCS索引 |
设置802.11n的组播MCS索引 对于802.11n模式,当所有的客户端都使用802.11n射频时,才使用组播MCS索引,如果存在非802.11n客户端,则使用基础模式的组播速率
组播MCS起作用时,无论是20M模式还是40M模式,统一采用20M模式对应的速率进行发送 |
|
支持MCS集最大MCS索引 |
设置802.11n的支持MCS集的最大MCS索引号 需要注意的是,支持MCS集最大MCS索引不能小于基本MCS集最大MCS索引 |
在WLAN网络环境中,可以通过黑白名单功能设定一定的规则过滤无线客户端,实现对无线客户端的接入控制。
黑白名单维护三种类型的列表。
l 白名单列表:该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。
l 静态黑名单列表:该列表包含拒绝接入的无线客户端的MAC地址。
l 动态黑名单列表:当WLAN设备检测到来自某一设备的非法攻击时,可以选择将该设备动态加入到黑名单中,拒绝接收任何来自于该设备的报文,直至该动态黑名单表项老化为止,从而实现对WLAN网络的安全保护。
黑白名单按照以下步骤对接收到的802.11报文进行过滤,只有满足条件的报文允许通过,其他的所有的报文都会被丢弃。
(1) 当设备接收到一个802.11帧时,将针对该802.11帧的源MAC进行过滤;
(2) 如果设置了白名单列表,但接收帧的源MAC不在白名单列表内,该帧将被丢弃;
(3) 如果源MAC在白名单内,该帧将被作为合法帧进一步处理;
(4) 如果没有设置白名单列表,则继续搜索静态和动态的黑名单列表。如果源MAC在静态或动态黑名单列表内,该帧将被丢弃;
(5) 如果源MAC没有在静态或动态黑名单列表内,或者黑名单列表为空,则该帧将被作为合法帧进一步处理。
在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“黑名单”页签,进入如图4-1所示的页面。
动态黑名单的详细配置如表4-1所示。
|
配置项 |
说明 |
|
动态黑名单功能 |
开启:开启动态黑名单列表功能 关闭:关闭动态黑名单列表功能
在开启动态黑名单前,需要在“入侵检测设置”页面,选中“泛洪攻击检测”前的复选框 |
|
生存时间 |
设置动态黑名单中的对应表项的生存时间,被加入到动态黑名单中的MAC表项在经过生存时间后将被删除 |
目前在动态黑名单支持检测的攻击类型有以下几种:“Assoc-Flood(关联请求泛洪攻击)”、“Reassoc-Flood(重关联请求泛洪攻击)”、“Disassoc-Flood(解除关联请求泛洪攻击)”、“ProbeReq-Flood(探查请求泛洪攻击)”、“Action-Flood(802.11 Action帧泛洪攻击)”、“Auth-Flood(认证请求泛洪攻击)”、“Deauth-Flood(解除认证请求泛洪攻击)”和“NullData-Flood(802.11 Null数据帧泛洪攻击)”。
在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“静态”页签,单击<添加静态表项>按钮,进入如图4-2所示的页面。
图4-2 静态黑名单配置页面
静态黑名单的详细配置如表4-2所示。
|
配置项 |
说明 |
|
可以通过以下两种方式配置静态黑名单: |
|
|
MAC地址 |
选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到静态黑名单 |
|
选择当前连接客户端 |
从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到静态黑名单 |
在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“白名单”页签,单击<添加>按钮,进入如图4-3所示的页面。
白名单的详细配置如表4-3所示。
|
配置项 |
说明 |
|
可以通过以下两种方式配置白名单: |
|
|
MAC地址 |
选中“MAC地址”前面单选按钮,在输入框中添加指定的MAC地址到白名单 |
|
选择当前连接客户端 |
从当前连接的客户端中,通过指定客户端MAC地址的方式把某些客户端加入到白名单 |
用户隔离功能是指关联到同一个设备上的所有无线用户之间的二层报文(单播/广播)相互不能转发,从而使无线用户之间不能直接进行通讯。
在图4-4中,在设备上开启用户隔离功能后,Cleint 1~Client 4之间不能互通,也无法学习到对方的MAC地址和IP地址。
在界面左侧的导航栏中选择“接口配置 > 无线 > 安全”,选择“用户隔离”页签,进入如图4-5所示的页面。
用户隔离的详细配置如表4-4所示。
|
配置项 |
说明 |
|
无线用户隔离 |
l 开启:启用无线用户二层隔离功能,使能用户隔离后无线用户之间不能互通 l 关闭:关闭无线用户二层隔离功能 缺省情况下,无线用户二层隔离功能处于开启状态 |
802.11网络提供基于CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance,载波监听/冲突避免)信道竞争机制的无线接入服务,接入WLAN网络的所有客户端享有公平的信道竞争机会,承载在WLAN上的所有业务使用相同的信道竞争参数。但实际应用中,不同的业务在带宽、时延、抖动等方面的要求往往不同,需要WLAN网能根据承载业务提供有区分的接入服务。
IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS特性,在IEEE 802.11e标准化之前, Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通,定义了WMM(Wi-Fii Multimedia,Wi-Fi多媒体)标准。WMM标准使WLAN网络具备了提供QoS服务的能力。
(1) WMM
WMM是一种无线QoS协议,用于保证高优先级的报文有优先的发送权利,从而保证语音、视频等应用在无线网络中有更好的服务质量。
(2) EDCA
EDCA(Enhanced Distributed Channel Access,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽。
(3) AC
AC(Access Category,接入类),WMM将WLAN数据按照优先级从高到低的顺序分为AC-VO(语音流)、AC-VI(视频流)、AC-BE(尽力而为流)、AC-BK(背景流)四个接入类,每个接入类使用独立的优先级队列发送数据。WMM保证越高优先级队列中的报文,抢占信道的能力越强。
(4) CAC
CAC(Connect Admission Control,连接准入控制),限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽保证。
(5) U-APSD
U-APSD(Unscheduled automatic power-save delivery,非调度自动节能发送),是WMM定义的一种新的节能处理方式,可以进一步提升客户端的节能能力。
(6) SVP
SVP(SpectraLink Voice Priority,Spectralink语音优先级)是Spectralink公司为向语音通话提供QoS保障而设计的语音优先协议。
在802.11协议中DCF(Distributed Coordination Function,分布式协调功能)规定了设备和客户端使用CSMA/CA的接入方式。在占用信道发送数据前,设备或客户端会监听信道。当信道空闲时间大于或等于规定的空闲等待时间,设备或客户端在竞争窗口范围内随机选择退避时间进行退避。最先结束退避的设备竞争到信道。在802.11协议中,由于所有设备的空闲等待时间、竞争窗口都相同,所以整个网络设备的信道竞争机会相同。
WMM协议通过对802.11协议的增强,改变了整个网络完全公平的竞争方式,将数据报文分为4个AC,高优先级的AC占用信道的机会大于低优先级的AC,从而使不同的AC能获得不同级别的服务。
WMM协议对每个AC定义了一套信道竞争EDCA参数,EDCA参数的含义如下所示。
l AIFSN(Arbitration Inter Frame Spacing Number,仲裁帧间隙数),在802.11协议中,空闲等待时长(DIFS)为固定值,而WMM针对不同AC可以配置不同的空闲等待时长,AIFSN数值越大,用户的空闲等待时间越长,为图5-1中AIFS时间段;
l ECWmin(Exponent form of CWmin,最小竞争窗口指数)和ECWmax(Exponent form of CWmax,最大竞争窗口指数),决定了平均退避时间值,这两个数值越大,用户的平均退避时间越长,为图5-1中Backoff slots时间段;
l TXOPLimit(Transmission Opportunity Limit,传输机会限制),用户一次竞争成功后,可占用信道的最大时长。这个数值越大,用户一次能占用信道的时长越大,如果是0,则每次占用信道后只能发送一个报文。
图5-1 WMM对每个AC赋予不同的信道竞争参数
CAC的基本原理是客户端只有获得设备的批准,才能以高优先级的AC发送数据,否则只能使用低优先级的AC,保证了已经获得批准的客户端能够获得需要的带宽。这里将各种传输报文分为两类:实时业务流(需要CAC控制的流,包括AC-VO和AC-VI)和普通数据流(不需要CAC控制的流,包括AC-BE和AC-BK)。
如果客户端需要使用高优先级的AC,则需要进行请求,设备按照如下介绍的算法,计算是否允许客户端使用,并将结果回应给客户端。
l 基于信道利用率的准入策略:计算1秒内所有已接入的高优先级AC占用信道的时间,以及请求以高优先级接入的AC占用信道的时间,二者相加,如果小于或等于用户配置的最大信道占用时间,则允许该流以请求的优先级接入。否则,拒绝请求。
l 基于用户数量的准入策略:如果高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的该高优先级AC的最大用户数,则允许该流的请求。否则,拒绝请求。如果一个客户端同时接入AC-VO和AC-VI优先级业务流,接入客户端的个数按1计算。
U-APSD是对原有节能模式的改进。客户端在关联时可以指定某些AC具有触发属性,某些AC具有发送属性,以及触发后最多允许发送的数据报文数量。触发和发送属性还可以在通过连接准入控制创建流的时候进行更改。客户端休眠后,发往客户端的属于具有发送属性AC的数据报文将被缓存在发送缓存队列中,客户端需要发送属于具有触发属性AC的报文以获取发送缓存队列中的报文。设备收到触发报文后,按照接入时确定的发送报文数量,发送属于发送队列的报文。没有发送属性的AC仍然使用802.11定义的传统方式存储和传送。
SVP服务实现对SVP报文(即IP协议号为119)的区别处理,将SVP报文映射为指定的接入类,放入指定的发送队列中。
协议规定ACK策略有两种:Normal ACK和No ACK。
l No ACK(No Acknowledgment)策略是在无线报文传输过程中,不使用ACK报文进行接收确认的一种策略。No ACK策略可以用于通信环境较好,干扰较小的应用场合,可以有效提高传输效率。但是如果在通信环境较差的场合使用No ACK策略,报文的发送方将不会对丢包进行重发,将导致丢包率增大的问题,反而导致整体性能的下降。
l Normal ACK策略是指对于每个发送的单播报文,接收者在成功接收到发送报文后,都要发送ACK进行确认。
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,进入服务质量显示页面。
图5-2 无线服务质量
在列表中找到要进行配置的射频单元,勾选其前面的复选框,单击<开启>按钮完成操作。缺省情况下,无线服务质量处于开启状态。
WMM协议是802.11n协议所依赖的基础,所以当Radio工作在802.11n(5GHz)或802.11n(2.4GHz)射频模式时,WMM功能必须处于开启状态,否则可能会导致所关联的802.11n客户端无法正常通信。
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,进入服务质量显示页面。
图5-3 无线服务质量
在列表中找到要进行配置的射频单元,单击对应的图标,进入如图5-4所示SVP映射队列配置页面。
图5-4 SVP映射接入类设置
SVP映射接入类的详细配置如表5-1所示。
表5-1 SVP映射接入类的详细配置
|
配置项 |
说明 |
|
射频单元 |
显示选中的射频单元 |
|
SVP报文映射 |
选中SVP报文映射前的复选框,选择SVP服务使用的映射接入类 l AC-VO:AC-VO(语音流)接入类 l AC-VI:AC-VI(视频流)接入类 l AC-BE:AC-BE(尽力而为流)接入类 l AC-BK:AC-BK(背景流)接入类 |
SVP映射只针对非WMM客户端接入,对WMM客户端不起作用。
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入图5-5所示CAC准入控制策略配置页面。
图5-5 CAC准入控制策略设置
CAC准入控制策略的详细配置如表5-2所示。
表5-2 CAC准入控制策略的详细配置
|
配置项 |
说明 |
|
用户数 |
基于用户数的准入策略 即允许接入的客户端的最大个数,如果一个客户端同时接入AC-VO和AC-VI优先级业务流,接入客户端的个数按1计算 缺省情况下,CAC策略是基于用户数的准入策略,用户数为20 |
|
信道利用率 |
基于信道利用率的准入策略 即单位时间内,允许接入AC-VO和AC-VI优先级的业务流占用信道的总共时间与有效时间的百分比,有效时间为用于实际收发数据的时间 |
射频EDCA参数设置完成对设备使用的EDCA参数的配置。
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“射频EDCA”列表中找到要进行修改的优先级类型(这里以AC_BK优先级为例),单击对应“操作”列中的图标,进入图5-6所示“射频EDCA”参数设置页面。
射频EDCA设置的详细配置如表5-3所示。
表5-3 射频EDCA设置的详细配置
|
配置项 |
说明 |
|
射频单元 |
显示选中的射频单元 |
|
优先级类型 |
显示进行配置的优先级类型 |
|
AIFSN |
设备采用的仲裁帧间隙数 |
|
TXOP Limit |
设备采用的传输机会限制 |
|
ECWmin |
设备采用的最小竞争窗口指数 |
|
ECWmax |
设备采用的最大竞争窗口指数 |
|
No ACK |
选中“No ACK”前的复选框,表示设备采取No ACK(No Acknowledgment)策略 缺省情况下,ACK策略为Normal ACK |
射频EDCA参数的缺省情况请参见表5-4。
表5-4 设备使用的EDCA参数的缺省值
|
AC |
TXOP Limit |
AIFSN |
ECWmin |
ECWmax |
|
AC-BK |
0 |
7 |
4 |
10 |
|
AC-BE |
0 |
3 |
4 |
6 |
|
AC-VI |
94 |
1 |
3 |
4 |
|
AC-VO |
47 |
1 |
2 |
3 |
l ECWmin的值不能大于ECWmax。
l 设备选择802.11b射频模式时,建议将AC-BK、AC-BE、AC-VI、AC-VO的TXOP-Limit参数的值分别配置为0、0、188、102。
用户EDCA参数设置完成对接入无线客户端使用的EDCA参数的配置。
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“用户EDCA”列表中找到要进行修改的优先级类型(这里以AC_BK优先级为例),单击对应“操作”列中的图标,进入图5-7所示“用户EDCA”参数设置页面。
用户EDCA设置的详细配置如表5-5所示。
表5-5 用户EDCA设置的详细配置
|
配置项 |
说明 |
|
射频单元 |
显示选中的射频单元 |
|
优先级类型 |
显示进行配置的优先级类型 |
|
AIFSN |
客户端采用的仲裁帧间隙数 |
|
TXOP Limit |
客户端采用的传输机会限制 |
|
ECWmin |
客户端采用的最小竞争窗口指数 |
|
ECWmax |
客户端采用的最大竞争窗口指数 |
|
CAC |
客户端使用连接准入控制 l 开启:使用连接准入控制 l 关闭:禁止连接准入控制 AC-VO和AC-VI支持CAC,缺省情况下,CAC处于关闭状态。 AC-BE和AC-BK不支持CAC功能,不可配置该选项 |
用户EDCA参数的缺省情况请参见表5-6。
表5-6 用户EDCA参数的缺省值
|
AC |
TXOP Limit |
AIFSN |
ECWmin |
ECWmax |
|
AC-BK |
0 |
7 |
4 |
10 |
|
AC-BE |
0 |
3 |
4 |
10 |
|
AC-VI |
94 |
2 |
3 |
4 |
|
AC-VO |
47 |
2 |
2 |
3 |
l ECWmin的值不能大于ECWmax。
l 如果所有客户端应用802.11b射频模式,建议将AC-VI、AC-VO的TXOP Limit参数的值分别配置为188、102。
l 如果网络中既有使用802.11b射频卡又有使用802.11g射频卡的客户端,则建议按TXOP Limit参数值使用表5-6中缺省值。
l 如果某优先级队列的CAC功能被启动,则高于此优先级队列的CAC功能会同时被启用。例如,启动AC-VI优先级CAC功能,则AC-VO优先级也同时启动CAC功能,但是,启动AC-VO优先级的CAC功能,AC-VI优先级的CAC功能不会被启用。
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“射频信息”页签,进入射频信息显示页面。点击指定的射频单元后,可以查看相关的详细信息。
表5-7 射频显示信息描述表
|
字段 |
描述 |
|
Radio interface |
WLAN射频接口 |
|
Client EDCA update count |
客户端EDCA参数更新次数 |
|
QoS mode |
QoS模式,WMM:启用QoS模式,None:不启用QoS模式 |
|
Radio chip QoS mode |
Radio是否支持QoS模式 |
|
Radio chip max AIFSN |
Radio支持的AIFSN值的最大值 |
|
Radio chip max ECWmin |
Radio支持的ECWmin值的最大值 |
|
Radio chip max TXOPLimit |
Radio支持的TXOPLimit值的最大值 |
|
Radio chip max ECWmax |
Radio支持的ECWmax值的最大值 |
|
Client accepted |
Radio下已准入的Client数量,包括Voice队列下和Video队列下准入的Client数量 |
|
Total request mediumtime(us) |
所有队列申请的时间,包括Voice队列下和Video队列下申请的时间 |
|
Calls rejected due to insufficient resource |
因资源不足拒绝的请求数量 |
|
Calls rejected due to invalid parameters |
因参数无效拒绝的请求数量 |
|
Calls rejected due to invalid mediumtime |
因接入时间无效拒绝的请求数量 |
|
Calls rejected due to invalid delaybound |
因延迟时间无效拒绝的请求数量 |
|
Admission Control Policy |
准入控制策略 |
|
Threshold |
准入控制策略使用的门限值 |
|
CAC-Free's AC Request Policy |
对没有开启CAC功能的AC采用的回应策略 Response Success表示回应成功 |
|
CAC Unauthed Frame Policy |
对CAC未授权报文的处理策略: l Discard表示丢弃报文 l Downgrade表示将报文的优先级降低处理 l Disassociate表示将断开与客户端的连接 |
|
CAC Medium Time Limitation(us) |
CAC策略允许的接入时间上限,单位为微秒 |
|
CAC AC-VO's Max Delay(us) |
CAC策略允许的语音流延迟上限,单位为微秒 |
|
CAC AC-VI's Max Delay(us) |
CAC策略允许的视频流延迟上限,单位为微秒 |
|
SVP packet mapped AC number |
SVP报文映射到的AC的编号 |
|
ECWmin |
ECWmin的值 |
|
ECWmax |
ECWmax的值 |
|
AIFSN |
AIFSN的值 |
|
TXOPLimit |
TXOP limit的值 |
|
AckPolicy |
设备使用的ACK策略 |
|
CAC |
表示此队列是否受CAC的限制,Disabled表示不受限制,Enabled表示受限制 |
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“客户端信息”页签,进入客户端信息显示页面。点击指定的客户端后,可以查看相关的详细信息。
图5-9 显示客户端信息
表5-8 客户端显示信息描述表
|
字段 |
描述 |
|
MAC address |
Client的MAC地址 |
|
SSID |
SSID名 |
|
QoS Mode |
QoS模式: l WMM:QoS客户端 l None:非QoS客户端 |
|
Max SP length |
最大服务时间长度 |
|
AC |
接入类 |
|
State |
AC队列的APSD属性 l T表示本AC有trigger-enabled属性 l D表示本AC有delivery-enabled属性 l T | D表示上面的两个属性都有 l L表示本AC有Legacy属性 |
|
Assoc State |
Client接入时指定的AC的APSD属性 |
|
Uplink CAC packets |
上行CAC的报文数 |
|
Uplink CAC bytes |
上行CAC的字节数 |
|
Downlink CAC packets |
下行CAC的报文数 |
|
Downlink CAC bytes |
下行CAC的字节数 |
|
Downgrade packets |
降级处理的报文数 |
|
Downgrade bytes |
降级处理的字节数 |
|
Discard packets |
丢弃处理的报文数 |
|
Discard bytes |
丢弃处理的字节数 |
WLAN网络中每一个设备可提供的可用带宽有限,且由接入的无线客户端共享,部分客户端占用过多带宽,势必导致其他客户端使用受到影响。通过配置用户限速功能,可以限制部分客户端对带宽的过多消耗,保证所有接入客户端均能正常使用网络业务。基于客户端的速率限制功能有两种模式:
l 动态模式:配置同一BSS下所有接入客户端可共享的总带宽,每个客户端的限制速率是配置速率值/客户端数量。例如,配置10Mbps速率,有5个用户上线,则每个用户的可用带宽限制为2Mbps。
l 静态模式。配置同一BSS下每个客户端限制使用的最大带宽。例如,配置1Mbps速率,则每个上线的客户端的可用带宽限制为1Mbps。接入客户端数增加至一定数量时,如果所有接入客户端理论允许的总带宽超出设备可提供的有效带宽,那么每个客户端将不能保证获得的指定带宽。
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“用户限速”页签,单击<新建>按钮,进入图5-10所示用户限速的配置页面。
用户限速的设置的详细配置如表5-9所示。
|
配置项 |
说明 |
|
无线服务 |
显示已有的无线服务 |
|
方向 |
包括入方向和出方向 l 入方向:从客户端到设备 l 出方向:从设备到客户端 l 出/入方向:包括出方向(从设备到客户端)和入方向(从客户端到设备) |
|
模式 |
模式,包括动态和静态两种模式 l 静态模式 l 动态模式 |
|
速率 |
l 选择静态模式时,显示固定速率:设置的速率值为每个客户端的带宽 l 选择动态模式时,显示共享速率:设置的速率值为所有客户端的总带宽 |
要求使用用户数判断策略,只允许10个客户端可以和AP建立AC-VO和AC-VI的业务流,保证使用高优先级AC-VO和AC-VI队列的客户端能够有足够的带宽保证。
图5-11 CAC服务组网图
(1) 配置接入服务
相关配置请参见“2.3 无线接入配置举例”,可以完全参照相关举例完成配置。
(2) 配置无线服务质量
# 在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,确认WMM状态处于开启状态。
图5-12 无线服务质量页面
# 在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“用户EDCA”列表中找到要进行修改的优先级类型(这里以AC_VO优先级为例),单击对应“操作”列中的图标,进入“用户EDCA”参数设置页面。
图5-13 开启CAC
l 选择CAC功能为“开启”。
l 单击<确定>按钮完成操作。
# 使用相同的方法开启AC_VI的CAC功能。
# 在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。
图5-14 CAC用户数配置页面
l 选中“用户数”前的单选框,输入10。
l 单击<确定>按钮完成操作。
如果设备上高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的高优先级AC的最大用户数10(本例中为10),则允许用户的请求。否则,拒绝请求。
两个客户端通过名为service1的SSID接入无线网络,限定每个客户端从客户端到设备的方向上使用的最大带宽为128Kbps。
图5-15 静态限速配置举例组网图
(1) 配置接入服务
相关配置请参见“2.3 无线接入配置举例”,可以完全参照相关举例完成配置。
(2) 配置静态限速
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“用户限速”页签,单击<新建>按钮,进入图5-16所示用户限速的配置页面。
l 无线服务下拉框中选择“service1”。
l 方向下拉框中选择“入方向”。
l 模式下拉框中选择“静态”。
l 固定速率中输入128000。
l 单击<确定>按钮完成操作。
Client 1和Client 2通过名为service1的SSID接入无线网络。
从Client 1侧到设备侧方向上的可使用的带宽被限制在128Kbps左右;从Client 2侧到设备侧方向上的可使用的带宽也被限制在128Kbps左右。
客户端通过名为service2的SSID接入无线网络,要求接入的客户端在任意方向上都要平等地共享设定的8000Kbps总带宽。
图5-17 动态限速配置举例组网图
(1) 配置无线服务
相关配置请参见“2.3 无线接入配置举例”,可以完全参照相关举例完成配置。
(2) 配置动态限速
在界面左侧的导航栏中选择“接口配置 > 无线 > 服务质量”,选择“用户限速”页签,单击<新建>按钮,进入图5-18所示用户限速的配置页面。
l 无线服务下拉框中选择“service2”。
l 方向下拉框中选择“出/入方向”。
l 模式下拉框中选择“动态”。
l 共享速率中输入8000。
l 单击<确定>按钮完成操作。
(1) 只有Client 1通过service2接入无线网络,可使用的带宽被限制在8000Kbps左右。
(2) Client 2也通过service2接入无线网络后,Client 1和Client 2可使用的带宽都被限制在4000Kbps左右。
不同国家或地区对射频使用有不同的管制要求,区域码决定了可以使用的工作频段、信道,以及合法的发射功率级别等。在配置WLAN设备时,必须正确地设置国家或地区码,以确保不违反当地的管制规定。
在界面左侧的导航栏中选择“接口 > 无线 > 区域码”,进入如图6-1所示的页面。
区域码的详细配置如表6-1所示。
|
配置项 |
说明 |
|
区域码 |
在下拉框中选择区域码 在配置WLAN设备时,必须正确地的设置国家和或地区码,以确保不违反当地的管制规定 |
l 如果区域码设置选框显灰,则表示该设备已遵照相应国家或地区的管制要求进行了区域码锁定,在这种情况下,用户不能更改此项设置。
l 区域码的支持情况与设备的型号有关,请以设备的实际情况为准。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
:只显示最下方1个信号格,表示0<RSSI<=20
:显示2个信号格,表示20<RSSI<=30
:显示3个信号格,表示30<RSSI<=35
:显示4个信号格,表示35<RSSI<=40
:显示5个信号格,表示40<RSSI
:
