• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线接入点 Web网管配置指导(R1508P11)-6W108

06-无线服务

本章节下载 06-无线服务  (1.78 MB)

06-无线服务


1 无线服务

WLAN(Wireless Local Area Network,无线局域网)技术是当今通信领域的热点之一,和有线相比,无线局域网的启动和实施相对简单,成本相对低廉,一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而,WLAN系统不是完全的无线系统,它的服务器和骨干网仍然安置在有线网络,只是用户可以通过无线方式接入网络。

使用WLAN解决方案,网络运营商和企业能够为用户提供方便的无线接入服务,主要包括:

·              通过无线网络,用户可以方便的接入到网络,并访问已有网络或因特网;

·              安全问题是无线网络最大的挑战,当前无线网络可以使用不同认证和加密方式,提供安全的无线网络接入服务;

·              在无线网络内,用户可以在网络覆盖区域内自由移动,彻底摆脱有线束缚。

1.1  接入服务

1.1.1  常用术语

(1)      无线客户端

带有无线网卡的PC、笔记本电脑以及支持WiFi功能的各种终端。

(2)      FAT AP

一种控制和管理无线客户端的无线设备。帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换,而FAT AP在这个过程中起到了桥梁的作用。

(3)      SSID

SSID(Service Set Identifier,服务集标识符),客户端可以先进行无线扫描,然后选择特定的SSID接入某个指定无线网络。

(4)      无线介质

无线介质是用于在无线用户间传输帧的介质。WLAN系统使用无线射频作为传输介质。

1.1.2  无线用户接入过程

无线用户首先需要通过主动/被动扫描发现周围的无线服务,再通过认证和关联两个过程后,才能和AP建立连接,最终接入无线局域网。整个过程如下图所示。

图1-1 建立无线连接过程

 

1. 无线扫描

无线客户端有两种方式可以获取到周围的无线网络信息:一种是被动扫描,无线客户端只是通过监听周围AP发送的Beacon(信标帧)获取无线网络信息;另外一种为主动扫描,无线客户端在扫描的时候,同时主动发送一个探测请求帧(Probe Request帧),通过收到探查响应帧(Probe Response)获取网络信息。

无线客户端在实际工作过程中,通常同时使用被动扫描和主动扫描获取周围的无线网络信息。

(1)      主动扫描

无线客户端在工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:

·              客户端发送Probe Request帧(SSID为空,也就是SSID IE的长度为0):客户端会定期地在其支持的信道列表中,发送探查请求帧(Probe Request)扫描无线网络。当AP收到探查请求帧后,会回应探查响应帧(Probe Response)通告可以提供的无线网络信息。无线客户端通过主动扫描,可以主动获知可使用的无线服务,之后无线客户端可以根据需要选择适当的无线网络接入。无线客户端主动扫描方式的过程如下图所示。

图1-2 主动扫描过程(Probe Request中SSID为空,也就是不携带任何SSID信息)

 

 

·              客户端发送Probe Request(Probe Request携带指定的SSID):当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下,客户端也会定期发送探查请求帧(Probe Request)(该报文携带已经配置或者已经连接的无线网络的SSID),当能够提供指定SSID无线服务的AP接收到探测请求后回复探查响应。通过这种方法,无线客户端可以主动扫描指定的无线网络。这种无线客户端主动扫描方式的过程如下图所示。

图1-3 主动扫描过程(Probe Request携带指定的SSID为“AP 1”)

 

(2)      被动扫描

被动扫描是指客户端通过侦听AP定期发送的Beacon帧发现周围的无线网络。提供无线网络服务的AP设备都会周期性发送Beacon帧,所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息。当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。被动扫描的过程如下图所示。

图1-4 被动扫描过程

 

2. 认证过程

为了保证无线链路的安全,AP需要完成对客户端的认证,只有通过认证后才能进入后续的关联阶段。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。

·              开放系统认证(Open system authentication)

开放系统认证是缺省使用的认证机制,也是最简单的认证算法,即不认证。如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤:第一步是无线客户端发起认证请求,第二步AP确定无线客户端可以通过无线链路认证,并向无线客户端回应认证结果为“成功”。

图1-5 开放系统认证过程

 

·              共享密钥认证

共享密钥认证是除开放系统认证以外的另外一种链路认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。

共享密钥认证的认证过程为:客户端先向AP发送认证请求,AP端会随机产生一个Challenge(即一个字符串)发送给客户端;客户端会将接收到的Challenge加密后再发送给AP;AP接收到该消息后,对该消息解密,然后对解密后的字符串和原始字符串进行比较。如果相同,则说明客户端通过了Shared Key链路认证;否则Shared Key链路认证失败。

图1-6 共享密钥认证过程

 

3. 关联过程

如果用户想接入无线网络,必须同特定的AP关联。当用户通过指定SSID选择无线网络,并通过AP链路认证后,就会立即向AP发送关联请求。AP会对关联请求帧携带的能力信息进行检测,最终确定该无线终端支持的能力,并回复关联响应通知链路是否关联成功。通常,无线终端同时只可以和一个AP建立链路,而且关联总是由无线终端发起。

1.1.3  WLAN服务的数据安全

相对于有线网络,WLAN存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。

802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前支持四种安全服务。

(1)      明文数据

该种服务本质上为无安全保护的WLAN服务,所有的数据报文都没有通过加密处理。

(2)      WEP加密

WEP(Wired Equivalent Privacy,有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。WEP使用RC4加密算法实现数据报文的加密保护。根据WEP密钥的生成方式,WEP加密分为静态WEP加密和动态WEP加密。

·              静态WEP加密:

静态WEP加密要求手工指定WEP密钥,接入同一SSID下的所有客户端使用相同的WEP密钥。如果WEP密钥被破解或泄漏,攻击者就能获取所有密文。因此静态WEP加密存在比较大的安全隐患。并且手工定期更新WEP密钥会给网络管理员带来很大的设备管理负担。

·              动态WEP加密(自动提供WEP密钥):

动态WEP加密的自动密钥管理机制对原有的静态WEP加密进行了较大的改善。在动态WEP加密机制中,用来加密单播数据帧的WEP密钥并不是手工指定的,而是由客户端和服务器通过802.1x协议协商产生,这样每个客户端协商出来的WEP单播密钥都是不同的,提高了单播数据帧传输的安全性。

虽然WEP加密在一定程度上提供了安全性和保密性,增加了网络侦听、会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量等限制,WEP加密还是存在比较大的安全隐患。

(3)      TKIP加密

虽然TKIP加密机制和WEP加密机制都是使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN提供更加安全的保护。

首先,TKIP通过增长了算法的IV(初始化向量)长度提高了加密的安全性。相比WEP算法,TKIP直接使用128位密钥的RC4加密算法,而且将初始化向量的长度由24位加长到48位;

其次,虽然TKIP采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破,并且TKIP支持密钥更新机制,能够及时提供新的加密密钥,防止由于密钥重用带来的安全隐患;

另外,TKIP还支持了MIC认证(Message Integrity Check,信息完整性校验)和Countermeasure功能。当TKIP报文发生MIC错误时,数据可能已经被篡改,也就是无线网络很可能正在受到攻击。当在一段时间内连续接收到两个MIC错误的报文,AP将会启动Countermeasure功能,此时,AP将通过静默一段时间不提供服务,实现对无线网络的攻击防御。

(4)      AES-CCMP加密

CCMP(Counter mode with CBC-MAC Protocol,[计数器模式]搭配[区块密码锁链-信息真实性检查码]协议)加密机制是基于AES(Advanced Encryption Standard,高级加密标准)加密算法的CCM(Counter-Mode/CBC-MAC,区块密码锁链-信息真实性检查码)方法。CCM结合CTR(Counter mode,计数器模式)进行机密性校验,同时结合CBC-MAC(区块密码锁链-信息真实性检查码)进行认证和完整性校验。CCMP中的AES块加密算法使用128位的密钥和128位的块大小。同样CCMP包含了一套动态密钥协商和管理方法,每一个无线用户都会动态的协商一套密钥,而且密钥可以定时进行更新,进一步提供了CCMP加密机制的安全性。在加密处理过程中,CCMP也会使用48位的PN(Packet Number)机制,保证每一个加密报文都会是用不同的PN,在一定程度上提高安全性。

1.1.4  用户接入认证

当无线终端成功和AP建立无线链路,可以认为无线终端成功接入到无线网络,但是为了无线网络的安全和管理,无线接入用户只有通过后面的接入认证后才可能真正访问网络资源。其中PSK(Preshared Key预共享密钥)认证和802.1x认证伴随着无线链路的动态密钥协商和管理,所以和无线链路协商关系比较密切,而且它的认证和无线链路本身没有直接关系。

(1)      PSK认证

WPA和WPA2无线接入都支持PSK认证,无线客户端接入无线网络前,需要配置和AP设备相同的预共享密钥。

四次握手(4-Way Handshake)密钥协商通过802.1x的4个密钥报文交互为无线链路在无线终端和AP侧动态协商出私有密钥,而预共享密钥将作为密钥协商的种子密钥使用。在协商过程中,种子密钥将被双方进行验证,只有密钥设置相同,密钥协商才可以成功,也就是无线用户成功通过PSK接入认证;否则无线用户PSK接入认证失败,无线用户链路将被断开。

(2)      802.1x认证

802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control Protocol)。“基于端口的网络接入控制”是指在WLAN接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问WLAN中的资源;如果不能通过认证,则无法访问WLAN中的资源。

(3)      MAC地址认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。在WLAN网络应用中,MAC认证需要预先获知可以访问无线网络的终端设备MAC地址,所以一般适用于用户比较固定的、小型的无线网络,例如家庭、小型办公室等环境。

MAC地址认证分为以下两种方式:

·              本地MAC地址认证:当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证,此时需要在设备上配置本地用户名和密码。通常情况下,可以采用MAC地址作为用户名,需要事先获知无线接入用户的MAC地址,并将客户端的MAC配置为本地用户名。无线用户接入网络时,只有存在用户的MAC地址可以认证通过,其它用户将被拒绝接入。

图1-7 本地MAC地址认证

·               

·              远程MAC地址认证,即通过RADIUS服务器进行MAC地址认证。当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作。当MAC接入认证发现当前接入的客户端为未知客户端,AP设备作为RADIUS客户端,会与RADIUS服务器完成MAC地址认证。在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络,而且RADIUS服务器可以下发相应的授权信息。

图1-8 远程MAC地址认证

 

 

采用RADIUS服务器进行MAC地址认证时,可以通过在各无线服务下分别指定各自的domain域,将不同SSID的MAC地址认证用户信息发送到不同的远端RADIUS服务器。

1.2  WDS简介

WDS(Wireless Distribution System,无线分布式系统),通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问。

1.2.1  WDS的优势

802.11的无线技术已经在家庭、SOHO、企业等得到广泛地应用,用户已经能通过这些无线局域网方便地访问Internet网络。但是在这种网络应用中,AP必须链接到已有的有线网络,才可能提供无线用户的网络访问服务。采用传统的方式,AP需要和有线网络连接,会导致最终部署成本较高,并且在大面积无线覆盖时需要大量的时间,而使用WDS技术可以在一些复杂的环境中方便快捷建设无线局域网。WDS网络的优点包括:

·              通过无线网桥连接两个独立的局域网段,并且在他们之间提供数据传输。

·              低成本,高性能。

·              扩展性好,并且无需铺设新的有线连接和部署更多的AP。

·              适用于公司,大型仓储,制造,码头等领域。

1.2.2  WDS的网络拓扑

根据实际应用需求,WDS网络可以提供了以下三种拓扑。通过在每个AP的射频模式下配置邻居AP的MAC地址来实现,详细配置请参见“2.2.2  配置邻居MAC地址”。

1. 点到点的桥接

该网络中,WDS通过两台设备实现了两个网络无线桥接,最终实现两个网络的互通。实际应用中,每一台设备可以通过配置的对端设备的MAC地址,确定需要建立的桥接链路。如下图所示,AP 1和AP 2之间建立WDS桥接链路,可以将LAN Segment 1和LAN Segment 2链接成一个统一的局域网。局域网1中的用户需要访问局域网2中的资源的时候,所有的报文都会被AP1转换成无线报文通过无线桥接链路发送到AP2,最终在由AP2将报文还原发送到目的地;反之亦然。

图1-9 点到点的桥接

 

2. 点到多点的桥接

在点到多点的组网环境中,一台设备作为中心设备,其他所有的设备都只和中心设备建立无线桥接,实现多个网络的互联。该组网可以方便地解决多个网络孤岛需要连接到已有网络的要求,但是多个分支网络的互通都要通过中心桥接设备进行数据转发。

图1-10 点到多点的桥接

 

 

3. 网状桥接

多台桥接设备可以采用手动配置或者自动检测方式,互相建立网状无线桥接,将多个局域网连接成一个网络。网状桥接网络,在一条WDS链路故障时可以提供链路备份的功能,但是应用中需要结合STP解决网络的环路问题。

图1-11 自拓扑检测与桥接

 

1.3  Repeater模式简介

Repeater即AP中继模式,是指作为Repeater的AP不但通过WDS链路与另一台AP建立桥接,而且同时提供无线接入服务,也就是Repeater不但创建无线网络而且通过WDS桥接将无线网络接入到已有网络中。以下图为例,Repeater虽然不直接接入有线网络,但是可以为Client 1和Client 2提供访问有线网络的服务。从应用的角度来看,通过网络中部署了Repeater AP,延长了无线通信的距离和扩大了无线网络的覆盖范围。

图1-12 Repeater模式

 

 


2 配置无线服务

说明

手册中设备的接口类型、显示信息与设备型号、支持射频情况和配置信息相关,实际使用中还请以设备的实际情况为准。

 

2.1  配置接入服务

接入服务配置的推荐步骤如下表所示。

表2-1 接入服务配置步骤

步骤

配置任务

说明

1

新建无线服务

必选

2

配置clear类型的无线服务

两者必选其一

按实际需求完成接入服务页面的安全设置部分

3

配置crypto类型的无线服务

4

绑定AP的射频

必选

5

开启无线服务

必选

6

开启射频

可选

 

2.1.1  新建无线服务

(1)      在界面左侧的导航栏中选择“无线服务 > 接入服务”,进入如下图所示接入服务配置页面。

图2-1 接入服务配置页面

 

(2)      单击<新建>按钮,进入如下图所示无线服务新建页面。

图2-2 接入服务新建页面

 

(3)      配置无线服务,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表2-2 新建无线服务的详细配置

配置项

说明

无线服务名称

设置SSID

SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了Beacon报文长度和使用难度,对无线安全没有改进

无线服务类型

选择无线服务类型:

·       clear:使用明文发送数据

·       crypto:使用密文发送数据

 

2.1.2  配置clear类型无线服务

1. clear类型无线服务基本配置

(1)      在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2)      在列表中找到要进行配置的clear类型无线服务,单击对应的icon_mdf图标,进入如下图所示的配置页面。

图2-3 clear类型无线服务基本配置页面

 

(3)      配置clear类型无线服务基本信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表2-3 clear类型无线服务基本配置的详细配置

配置项

说明

无线ID

显示无线服务的ID信息

无线服务名称

显示选择的SSID

VLAN(Untagged)

添加Untagged的VLAN ID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签

缺省VLAN

设置端口的缺省VLAN

在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID

删除VLAN

删除已有Tagged和Untagged的VLAN ID

网络隐藏

配置是否在信标帧中通告SSID,缺省情况下,信标帧通告SSID

·       Enable:禁止在信标帧中通告SSID

·       Disable:在信标帧中通告SSID

提示

·       SSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP

·       隐藏SSID对无线安全意义不大。允许广播SSID可以使客户端更容易发现AP

 

2. clear类型无线服务高级配置

(1)      在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2)      在列表中找到要进行配置的clear类型无线服务,单击对应的icon_mdf图标,进入如下图所示clear类型无线服务高级配置页面。

图2-4 clear类型无线服务高级配置页面

 

(3)      配置clear类型无线服务高级信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表2-4 clear类型无线服务高级配置的详细配置

配置项

说明

信标测量

·       开启:开启信标测量功能

·       关闭:关闭信标测量功能

缺省情况下,信标测量功能处于关闭状态

信标测量是802.11k协议定义的一套用于无线设备向其他无线设备查询无线环境信息的标准方法之一。开启信标测量功能后,AP会周期性地向客户端发送信标测量请求,客户端收到信标测量请求后,会回复信标测量报告。AP通过信标测量报告获取客户端收集到的信标测量信息

信标测量模式

信标测量的三种模式:

·       主动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会在其支持的所有信道上广播发送Probe Request帧,然后设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP

·       信标表模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,不执行额外的测量,直接向AP回复信标测量报告,该报告中包含客户端当前存储的所有信标测量信息

·       被动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP

信标测量间隔

配置信标测量请求的发送间隔

关联最大用户数

在一个射频下,某个SSID下关联客户端的最大个数

提示

当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏

MAC VLAN功能

·       Enable:表示在指定无线服务下开启mac-vlan功能

·       Disable:表示在指定无线服务下禁止mac-vlan功能

快速关联功能

·       开启:开启快速关联功能

·       关闭:关闭快速关联功能

缺省情况下,快速关联功能处于关闭状态

开启此功能后,设备不会对关联到此无线服务的客户端进行频谱导航计算

 

3. clear类型无线服务安全配置

(1)      在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2)      在列表中找到要进行配置的clear类型无线服务,单击对应的icon_mdf图标,进入clear类型无线服务安全配置页面。

图2-5 clear类型无线服务安全配置页面

 

(3)      配置clear类型无线服务安全信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表2-5 clear类型无线服务安全配置的详细配置

配置项

说明

认证方式

clear类型只能选择Open-System方式

端口安全

·       mac-authentication:对接入用户采用MAC地址认证

·       mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证

·       mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户

·       userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

·       userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证

·       userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户

·       userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

窍门

由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:

·       “userLogin”表示基于端口的802.1X认证

·       “mac”表示MAC地址认证

·       “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式

·       “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式

·       携带“Secure”的userLogin表示基于MAC地址的802.1X认证

·       携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功

最大用户数

控制能够通过某端口接入网络的最大用户数

 

当选择mac-authentication时,需要配置如下选项。

图2-6 mac-authentication端口安全配置页面

 

表2-6 mac-authentication端口安全配置的详细配置

配置项

说明

端口模式

mac-authentication:对接入用户采用MAC地址认证

在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,输入客户端的MAC地址

最大用户数

控制能够通过某端口接入网络的最大用户数

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

 

当选择userlogin-secure/userlogin-secure-ext时,需要配置如下选项。

图2-7 userlogin-secure/userlogin-secure-ext端口安全配置页面(以userlogin-secure为例)

 

表2-7 userlogin-secure/userlogin-secure-ext端口安全配置的详细配置

配置项

说明

端口模式

·       userlogin-secure:对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线

·       userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

最大用户数

控制能够通过某端口接入网络的最大用户数

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

认证方法

·       EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证

·       CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。表示在网络上以明文方式传输用户名,以密文方式传输口令。相比之下,CHAP认证保密性较好,更为安全可靠

·       PAP:采用PAP认证方式。PAP采用明文方式传送口令

用户握手

·       Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态

·       Disable:关闭在线用户握手功能

多播触发

·       Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态

·       Disable:关闭802.1X的组播触发功能

提示

对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能

 

当选择其他四种端口安全时,需要配置如下选项。

图2-8 四种端口安全配置页面(以mac-else-userlogin-secure为例)

 

表2-8 其他四种端口安全配置的详细配置

配置项

说明

端口模式

·       mac-else-userlogin-secure:端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1x认证;对于非802.1x报文直接进行MAC地址认证。对于802.1x报文先进行MAC地址认证,如果MAC地址认证失败进行802.1x认证

·       mac-else-userlogin-secure-ext:与mac-else-userlogin-secure类似,但允许端口下有多个802.1x和MAC地址认证用户

·       userlogin-secure-or-mac:端口同时处于userlogin-secure模式和mac-authentication模式,但802.1x认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1x认证,如果802.1x认证失败再进行MAC地址认证

·       userlogin-secure-or-mac-ext:与userlogin-secure-or-mac类似,但允许端口下有多个802.1x和MAC地址认证用户

在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,输入客户端的MAC地址

最大用户数

控制能够通过某端口接入网络的最大用户数

域名

在下拉框中选择已存在的域,配置了强制认证域后,所有从该端口接入的802.1X用户将被强制使用该认证域来进行认证、授权和计费

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

认证方法

·       EAP:采用EAP认证方式。采用EAP认证方式意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证

·       CHAP:采用CHAP认证方式。缺省情况下,采用CHAP认证方式。表示在网络上以明文方式传输用户名,以密文方式传输口令。相比之下,CHAP认证保密性较好,更为安全可靠

·       PAP:采用PAP认证方式。PAP采用明文方式传送口令

用户握手

·       Enable:开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。缺省情况下,在线用户握手功能处于开启状态

·       Disable:关闭在线用户握手功能

多播触发

·       Enable:开启802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。缺省情况下,802.1X的组播触发功能处于开启状态

·       Disable:关闭802.1X的组播触发功能

提示

对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必端口定期发送802.1X的组播报文来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

 

2.1.3  配置crypto类型无线服务

1. crypto类型无线服务基本配置

(1)      在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2)      在列表中找到要进行配置的crypto类型无线服务,单击对应的icon_mdf图标,进入如下图所示页面。

图2-9 crypto类型无线服务基本配置页面

 

(3)      配置crypto类型无线服务基本信息,详细配置请参见表2-3

(4)      单击<确定>按钮完成操作。

2. crypto类型无线服务高级配置

(1)      在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2)      在列表中找到要进行配置的crypto类型无线服务,单击对应的icon_mdf图标,进入如下图所示页面。

图2-10 crypto类型无线服务高级配置页面

 

(3)      配置crypto类型无线服务高级信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

说明

开启服务模板后,服务模板的设置无法修改。

 

表2-9 crypto类型无线服务高级配置的详细配置

配置项

说明

信标测量

·       开启:开启信标测量功能

·       关闭:关闭信标测量功能

缺省情况下,信标测量功能处于关闭状态

信标测量是802.11k协议定义的一套用于无线设备向其他无线设备查询无线环境信息的标准方法之一。开启信标测量功能后,AP会周期性地向客户端发送信标测量请求,客户端收到信标测量请求后,会回复信标测量报告。AP通过标测量报告获取客户端收集到的信标测量信息

信标测量模式

信标测量的三种模式:

·       主动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会在其支持的所有信道上广播发送Probe Request帧,然后设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP

·       信标表模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,不执行额外的测量,直接向AP回复信标测量报告,该报告中包含客户端当前存储的所有信标测量信息

·       被动模式:AP向客户端发送信标测量请求,客户端收到信标测量请求后,会设置一个测量持续时长,在测量结束后,处理收到的所有Beacon帧和Probe Response帧,并编制信标测量报告回复给AP

信标测量间隔

配置信标测量请求的发送间隔

关联最大用户数

在一个射频下,某个SSID下的关联客户端的最大个数

提示

当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏

PTK生存时间

设置PTK的生存时间,PTK通过四次握手方式生成

TKIP反制策略实施时间

设置反制策略实施时间

缺省情况下,TKIP反制策略实施的时间为0秒,即不启动反制策略;如果时间设置为其他值则启动反制策略

MIC(Message Integrity Check,信息完整性校验)是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。启动反制策略后,如果在一定时间内发生了两次MIC错误,则会解除所有关联到该无线服务的客户端,并且只有在TKIP反制策略实施的时间后,才允许客户端重新建立关联

管理权限

上线的客户端对设备WEB界面的管理权限

·       Disable:表示上线的客户端对设备WEB界面没有管理权限

·       Enable: 表示上线的客户端对设备WEB界面有管理权限

MAC VLAN功能

·       Enable:表示在指定无线服务下开启mac-vlan功能

·       Disable:表示在指定无线服务下禁止mac-vlan功能

快速关联功能

·       开启:开启快速关联功能

·       关闭:关闭快速关联功能

缺省情况下,快速关联功能处于关闭状态

开启此功能后,设备不会对关联到此无线服务的客户端进行频谱导航计算

源地址验证

·       IPv4地址

·       IPv6地址

缺省情况下,没有配置源地址验证

GTK更新方法

GTK由AP生成,在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来解密组播和广播报文

·       选用基于时间更新的方法,需要指定GTK密钥更新的周期时间间隔

·       选用基于数据包更新的方法,需要指定传输的数据包的数目,在传送指定数目的数据包后更新GTK

缺省情况下,GTK密钥更新采用基于时间的方法,缺省的时间间隔是86400秒

客户端离线更新GTK

启动当客户端离线时更新GTK的功能

缺省情况下,客户端离线更新GTK的功能处于关闭状态

 

3. crypto类型无线服务的保护管理帧功能

保护管理帧功能通过保护无线网络中的管理帧来完善无线网络的安全性。保护管理帧的标准是建立在802.11i的框架上的。802.11w保护的管理帧包括解除认证帧,解除关联帧和部分强壮Action帧。

对于单播管理帧,保护管理帧功能仍旧使用数据帧的成对临时密钥对单播管理帧进行加密,保证单播管理帧的机密性、完整性以及重放保护。

对广播/组播管理帧,保护管理帧功能使用BIP(Broadcast Integrity Protocol,广播完整性协议)保证广播/组播管理帧的完整性以及重放保护,实现防止客户端受到仿冒AP的攻击。但保护管理帧功能不能为广播/组播管理帧的传输提供机密性。BIP通过在广播/组播管理帧的帧主体后增加MME(Management MIC IE,管理MIC IE)字段来实现保护广播/组播管理帧。

·              完整性:AP和客户端通过四次握手或者组播握手产生IGTK(Integrity Group Temporal Key,完整性组临时密钥),IGTK与广播/组播管理帧的帧主体进行运算生成MIC(Message Integrity Check,消息完整性校验),将生成的MIC放入MME字段中。客户端通过四次握手消息3或组播握手消息1收到的IGTK,也产生MIC,客户端将此MIC与从AP接收到的MIC进行比较,相同即表示广播/组播管理帧是完整的。

·              重放保护:AP为每个IGTK维护一个IPN(IGTK Packet Number,IGTK报文序列号),通过四次握手消息3或者组播握手消息1将IPN初始值发送给客户端。AP后续发送保护的广播/组播帧时,将IPN存放于MME中发送给客户端,客户端会将收到的IPN与本地保存的IPN进行比较,如果收到的IPN比本地保存的IPN增加1,则表示客户端没有受到重放攻击。

AP与客户端协商结果为使用保护管理帧功能后,无线设备将使用SA Query机制增强客户端的安全连接。SA Query包括主动 SA Query和被动SA Query。

(1)      主动SA Query

在AP收到仿冒的关联/重关联报文的情况下,主动SA Query机制可以防止AP对客户端作出错误的响应。

当AP收到客户端的关联/重关联请求,AP将发送关联/重关联响应帧,响应状态值为“关联/重关联临时被拒绝,稍后重连”,并携带关联返回时间,随后AP会触发SA Query过程。

AP向客户端发送SA Query请求帧,若AP在SA Query超时时间内收到客户端发送的SA Query响应帧,则AP认为该客户端在线。若AP在SA Query超时时间内未收到客户端的SA Query响应帧,AP将再次发送SA Query请求帧。若AP在SA Query重试次数内收到SA Query响应帧,则认为客户端在线,并且在关联返回时间内,AP将不再响应关联/重关联请求。若AP在SA Query重试次数内未收到SA Query响应帧,AP将认为客户端已经掉线,允许其重新接入。

图2-11 主动SA Query过程

 

(2)      被动SA Query

在客户端收到未加密的解除关联/解除认证报文(失败码为6或7)的情况下,被动SA Query机制可以防止客户端异常下线。

当客户端收到一个未保护的解除关联帧或者解除认证帧,客户端会触发SA Query过程。客户端向AP发送SA Query请求帧,AP回复SA Query响应帧。客户端收到SA Query响应帧,判定AP在线,AP和客户端之间的连接处于正常状态,客户端不会下线。

图2-12 被动SA Query过程

 

配置保护管理帧功能的步骤如下:

(3)      在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(4)      在列表中找到要进行配置的crypto类型无线服务,单击对应的icon_mdf图标,进入如下图所示页面。

图2-13 crypto类型无线服务保护管理帧配置页面

 

(5)      配置crypto类型无线服务的保护管理帧功能,详细配置如下表所示。

(6)      单击<确定>按钮完成操作。

表2-10 crypto类型无线服务保护管理帧的详细配置

配置项

说明

保护管理帧

·       强制:开启保护管理帧功能,支持保护管理帧功能的客户端可上线,同时对通信过程中的管理帧进行保护,不支持保护管理帧功能的客户端无法上线

·       可选:开启保护管理帧功能,支持或不支持保护管理帧功能的客户端均可接入,但仅对支持保护管理帧功能的上线客户端提供保护管理帧功能,对通信过程中的的管理帧进行保护

·       关闭:关闭保护管理帧功能。支持或不支持保护管理帧功能的客户端均可上线,但不对通信过程中的的管理帧进行保护

缺省情况下,保护管理帧功能处于关闭状态

提示

使用认证类型为PSK或802.1X,并且加密类型和安全IE为AES、WPA2的接入服务上才能设置保护管理帧功能

关联返回时间

·       关联返回时间,在该时间超时前,AP不会处理客户端发送的关联/重关联请求

SA Query超时时间

SA Query超时时间,若AP在SA Query超时时间内未收到客户端的SA Query响应帧,AP将再次发送SA Query请求帧

SA Query重试次数

·       AP发送SA Query请求帧的重传次数

 

4. crypto类型无线服务安全配置

(1)      在界面左侧的导航栏中选择“无线服务 > 接入服务”。

(2)      在列表中找到要进行配置的crypto类型无线服务,单击对应的icon_mdf图标,进入如下图所示页面。

图2-14 crypto类型无线服务安全配置页面

 

(3)      配置crypto类型无线服务安全信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表2-11 crypto类型无线服务安全配置的详细配置

配置项

说明

认证方式

链路认证方式,可选择以下几种:

·       Open-System:即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证

·       Shared-Key:共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制

·       Open-System and Shared-Key:可以同时选择使用Open-System和Shared-Key认证

提示

WEP加密方式可以分别和Open system、Shared key链路认证方式使用

·       采用Open system authentication方式:此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃

·       采用Shared key authentication方式:此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络

加密类型

无线服务支持加密机制:

·       AES:AES加密算法

·       TKIP:一种基于RC4算法和动态密钥管理的加密机制

·       AES and TKIP:可以同时选择使用AES和TKIP加密

安全IE

无线服务类型(Beacon或者Probe response报文中携带对应的IE信息)

·       WPA:在802.11i协议之前,Wi-Fi Protected Access定义的安全机制

·       WPA2:802.11i定义的安全机制,也就是RSN(Robust Security Network,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性

·       WPA and WPA2:同时选择使用WPA和WPA2

密钥衍生类型

指定由PMK(Pairwise Master Key,成对主密钥)产生PTK/GTK所使用的散列算法。目前使用的散列算法有两种,分别是SHA1和SHA256。SHA1使用HMAC-SHA1散列算法进行迭代计算产生密钥,SHA256使用HMAC-SHA256散列算法进行迭代计算产生密钥

配置密钥衍生类型:

·       SHA1:采用HMAC-SHA1散列算法

·       SHA1 and SHA256:采用HMAC-SHA1或HMAC-SHA256散列算法

·       SHA256:采用HMAC-SHA256散列算法

缺省情况下,密钥衍生类型是SHA1

提示

当认证类型为PSK或802.1X时,配置的密钥衍生类型才能生效

WEP加密

自动提供密钥

使用自动提供WEP密钥方式:

·       开启:使用自动提供WEP密钥方式

·       关闭:使用静态WEP密钥方式

缺省情况下,使用静态WEP密钥方式

选择自动提供WEP密钥方式后,“密钥类型”选项会自动使用WEP 104加密方式

提示

·       自动提供WEP密钥方式必须和802.1x认证方式一起使用

·       配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧。如果不配置WEP密钥,则由设备随机生成组播密钥

密钥类型

·       WEP 40:选择WEP 40进行加密

·       WEP 104:选择WEP 104进行加密

·       WEP 128:选择WEP 128进行加密

密钥ID

密钥ID用来配置密钥索引号,可选以下几种:

1:选择密钥索引为1

2:选择密钥索引为2

3:选择密钥索引为3

4:选择密钥索引为4

在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密

长度

选择WEP密钥长度:

·       当密钥类型选择WEP 40时,可选的密钥长度5个字符(5 Alphanumeric Chars)或者10位16进制数(10 Hexadecimal Chars)

·       当密钥类型选择WEP 104时,可选的密钥长度13个字符(13 Alphanumeric Chars)或者26位16进制数(26 Hexadecimal Chars)

·       当密钥类型选择WEP 128时,可选的密钥长度16个字符(16 Alphanumeric Chars)或者32位16进制数(32 Hexadecimal Chars)

密钥

配置WEP密钥

端口安全

请参见表2-5

“认证方式”、“加密类型”等参数直接决定了端口模式的可选范围,具体请参见表2-14

在选则“加密类型”后,增加以下三种端口安全模式:

·       mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

·       psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

·       userlogin-secure-ext:对接入用户采用基于MAC的802.1x认证,且允许端口下有多个802.1x用户

 

当选择mac and psk时,需要配置如下选项。

图2-15 mac and psk端口安全配置页面

 

表2-12 mac and psk端口安全配置的详细配置

配置项

说明

端口模式

mac and psk:接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口

在导航栏中选择“无线服务 > 接入服务”,单击<MAC认证列表>按钮,输入客户端的MAC地址

最大用户数

控制能够通过某端口接入网络的最大用户数

MAC认证

选中“MAC认证”前的复选框

域名

在下拉框中选择已存在的域

设备的缺省域为“system”。在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以新建域

需要注意的是:

·       在该选项中选择的域名仅对此无线服务生效,并且从该无线服务接入的客户端将被强制使用该认证域来进行认证、授权和计费

·       请不要删除使用中的域名,否则会导致正在使用此无线服务的客户端下线

预共享密钥

·       pass-phrase:以字符串方式输入预共享密钥

·       raw-key:以十六进制数方式输入预共享密钥

 

当选择psk时,需要配置如下选项。

图2-16 psk端口安全配置页面

 

表2-13 psk端口安全配置的详细配置

配置项

说明

端口模式

psk:接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行协商,协商成功后可访问端口

最大用户数

控制能够通过某端口接入网络的最大用户数

预共享密钥

·       pass-phrase:以字符串方式输入预共享密钥

·       raw-key:以十六进制数方式输入预共享密钥

 

当选择userlogin-secure-ext时,需要配置的选项如表2-7所示。

5. 安全参数关系表

clear类型和crypto类型无线服务类型下,各参数之间的关系如下表所示。

表2-14 安全参数关系表

服务类型

认证方式

加密类型

安全IE

WEP加密/密钥ID

端口模式

clear

Open-System

不可选

不可选

不可选

mac-authentication

mac-else-userlogin-secure

mac-else-userlogin-secure-ext

userlogin-secure

userlogin-secure-ext

userlogin-secure-or-mac

userlogin-secure-or-mac-ext

crypto

Open-System

选择

必选

WEP加密可选/密钥ID可选1234

mac and psk

psk

userlogin-secure-ext

不选择

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

userlogin-secure

userlogin-secure-ext

Shared-Key

不可选

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

Open-System and  Shared-Key

选择

必选

WEP加密必选/密钥ID可选1234

mac and psk

psk

userlogin-secure-ext

不选择

不可选

WEP加密必选/密钥ID可选1234

mac-authentication

userlogin-secure

userlogin-secure-ext

 

2.1.4  绑定AP的射频

(1)      在导航栏中选择“无线服务 > 接入服务”。

(2)      在列表里查找到需要绑定射频的无线服务,单击对应的icon_bind图标,进入下图所示页面。

图2-17 绑定AP的射频

 

(3)      选中需要绑定的射频前的复选框。

(4)      单击<绑定>按钮完成操作。

2.1.5  开启无线服务

(1)      在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

图2-18 开启无线服务

 

(2)      选中需要开启的无线服务前的复选框。

(3)      单击<开启>按钮完成操作。

2.1.6  开启射频

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认射频处于开启状态。

2.2  配置WDS服务

2.2.1  配置WDS服务

(1)      在界面左侧的导航栏中选择“无线服务 > WDS”。

(2)      单击“WDS设置”页签,进入如下图所示WDS设置页面。

图2-19 WDS设置页面

 

(3)      在列表中找到要进行配置的射频模式,单击对应的icon_mdf图标,进入如下图所示WDS设置页面。

图2-20 WDS设置页面

 

(4)      配置WDS的信息,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表2-15 WDS设置的详细配置

配置项

说明

射频单元

AP支持的射频号,取值为1或2。

射频模式

实际的取值与射频单元有关

字符串方式

以字符串方式输入预共享密钥

十六进制数方式

以十六进制数方式输入预共享密钥

预共享密钥

预共享密钥

·       若类型为字符串,则为8~63个字符的可显示字符串

·       若类型为十六进制数,则为长度是64位的合法十六进制数

 

2.2.2  配置邻居MAC地址

说明

如果不配置任何的邻居MAC地址,则表示该AP可以和任何其它AP建立WDS链路。如果设置了邻居MAC地址,那么该AP只能和这些指定的邻居AP建立WDS链路。

 

(1)      在导航栏中选择“无线服务 > WDS”。

(2)      在列表中找到要进行配置的射频模式,单击对应的icon_mdf图标,进入如下图所示配置邻居MAC地址。

图2-21 配置邻居MAC地址

 

(3)      在邻居MAC地址表项里输入MAC地址,单击<新建>按钮完成操作。

(4)      单击<确定>按钮完成操作。

2.2.3  配置WDS高级设置

(1)      在界面左侧的导航栏中选择“无线服务 > WDS”。

(2)      单击“WDS设置”页签。

(3)      在列表中找到要进行配置的射频模式,单击对应的icon_mdf图标,进入如下图所示的WDS高级设置配置页面。

图2-22 WDS高级设置页面

 

(4)      配置WDS高级设置选项,详细配置如下表所示。

(5)      单击<确定>按钮完成操作。

表2-16 WDS高级设置的详细配置

配置项

说明

网桥链路标识

设置网桥链路标识,设备的缺省标识由射频模式决定

保活时间间隔

配置链路保活报文发送时间间隔

链路回程速率

配置链路回程速率

STP

WDS网络中可能存在以下环路类型:

 

 

 

 

当网络中存在环路时,可以结合STP选择性地阻塞冗余链路来消除环路,并且在WDS链路故障时还可以提供备链路备份的功能

WDS环路检测算法:

·       开启:开启WDS环路检测

·       关闭:关闭WDS环路检测

缺省情况下,WDS环路检测功能处于开启状态

该配置只对当前WLAN-Mesh接口生效,全局STP(请参见“2.2.4  WDS全局设置”)对所有接口生效

最大WDS链路数

设置允许建立的最大WDS链路数

提示

在建立WDS时,如果在AP上建立的WDS链路大于2时,需要根据实际链路数进行设置

链路保持RSSI

设置链路保持RSSI

用于建立和保持一条链路的最小RSSI值。一条链路的RSSI值必须不小于这个值,才能被建立和保持。因此这个值必须要保证,否则错误率会很高,链路性能会变差

速率选择方式

·       固定方式:采用的速率为固定值,其值为当前Radio接口速率集的最大值

·       实时更新方式:采用的速率会根据链路质量(RSSI)实时变化,即速率值随Radio接口下的信号强度(RSSI)而变化

缺省情况下,采用固定方式

VLAN(Tagged)

添加Tagged的VLAN ID,VLAN(Tagged)表示端口成员发送该VLAN报文时带Tag标签

VLAN(Untagged)

添加Untagged的VLAN ID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签

缺省VLAN

设置端口的缺省VLAN

在缺省情况下,所有端口的缺省VLAN均为VLAN 1,设置新的缺省VLAN后,VLAN 1为Untagged的VLAN ID

排除下列VLAN

删除已有Tagged和Untagged的VLAN ID

 

2.2.4  WDS全局设置

(1)      在界面左侧的导航栏中选择“无线服务 > WDS”。

(2)      单击“WDS全局设置”页签,进入如下图所示WDS全局设置页面。

图2-23 WDS基本设置页面

 

(3)      配置WDS全局设置,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表2-17 WDS全局设置的详细配置

配置项

说明

全局STP

·       开启:全局STP处于开启状态

·       关闭:全局STP处于关闭状态

缺省情况下,全局STP处于关闭状态

 

2.2.5  配置信道

可以通过以下两种方式完成WDS的信道配置:

·              手工指定信道:需要为AP之间的WDS链路手工指定射频的工作信道,并且在两个AP上配置的工作信道必须保持一致。

·              自动信道选择:AP上配置信道为auto方式,AP间的射频建立WDS链接时,自动协商工作信道。

说明

·       无论是手工指定信道或是使用自动信道选择方式配置WDS的工作信道,只要有AP在工作信道上检测到雷达信号,该AP和与其建立WDS链路的其它所有AP都会将工作信道切换到其它可用信道上。

·       部分国家802.11a频段的可用信道大部分为雷达信道,因此如果要在802.11a频段上建立WDS链路,建议为AP配置使用自动信道选择方式建立WDS网络。

·       选择自动信道选择方式时,在没有建立WDS链接时,会自动选择一个临时工作信道。临时工作信道的有效时间为10~20秒。临时工作信道超时后,射频切换回auto信道,再重新选择新的临时工作信道。射频在auto信道和临时工作信道间的切换信息会保存在射频的信道切换记录中。

 

2.2.6  开启WDS服务

(1)      在界面左侧的导航栏中选择“无线服务 > WDS”。

(2)      单击“WDS设置”页签,进入如下图所示WDS设置配置页面。

图2-24 开启WDS服务

 

(3)      选中需要开启WDS的射频前的复选框。

(4)      单击<开启>按钮完成操作。

2.3  配置Repeater服务

说明

使用Repeater服务,需要在AP的一个射频上同时配置WDS和无线接入服务,且必须将该射频配置为使用固定信道。

 

配置Repeater服务需要在AP的一个射频上同时配置WDS和无线接入服务:

·              为Repeater配置接入服务的相关配置请参见“2.1  配置接入服务”。

·              为Repeater配置WDS的相关配置请参见“2.2  配置WDS服务”。

配置成功后,在界面左侧的导航栏中选择“概览 > 射频”,在如下图所示页面中的“服务类型”中可以看到Repeater上的802.11n射频模式会显示该射频同时提供“接入”和“WDS”。

图2-25 Repeater模式

 

说明

使用Repeater服务,需要在AP的一个射频上同时配置WDS和无线接入服务,且必须将该射频配置为使用固定信道。

 

2.4  无线接入配置举例

2.4.1  无线服务典型配置举例

1. 组网需求

某部门为了保证工作人员可以随时随地访问部门内部的网络资源,需要通过部署AP实现移动办公。

具体要求如下:

·              AP提供SSID为service1的明文方式的无线接入服务。

·              采用目前较为常用的802.11n射频模式。

图2-26 无线服务组网图

 

2. 配置AP

(1)      配置FAT AP的接口IP地址

在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“service1”。

·              选择无线服务类型为“clear”。

步骤4:单击<确定>按钮完成操作。

图2-27 创建无线服务

 

(3)      绑定AP的射频

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击无线服务“service1”对应的icon_bind图标,进入如下图所示页面。

步骤3:选中“802.11n”前的复选框

步骤4:单击<绑定>按钮完成操作。

图2-28 绑定AP的射频

 

(4)      开启无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

步骤2:选中“service1”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-29 开启无线服务

 

(5)      开启802.11n射频(缺省情况下,802.11n处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入下图所示射频设置页面,确认802.11n处于开启状态。

图2-30 开启802.11n射频

 

3. 验证配置结果

(1)      客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,进入如下图所示页面,可以查看到成功上线的客户端。

图2-31 查看成功上线的客户端

 

4. 配置注意事项

配置无线服务需注意如下事项:

·              选择正确的区域码。

·              确认射频单元处于开启状态。

2.4.2  基于接入服务的VLAN配置举例

1. 组网需求

AP可以同时支持多个无线接入服务,不但无线接入服务可以采用不同的无线安全策略,而且可以把将无线接入服务绑定到不同VLAN中,实现无线接入用户的隔离。本例要求如下:

·              建立一个名为“research”的无线接入服务,使用PSK认证方式,所有接入该无线网络的客户端都在VLAN 2中。

·              建立一个名为“office”的无线接入服务,使用明文接入方式,所有接入该无线网络的客户端都在VLAN 3中。

图2-32 基于接入服务的VLAN拓扑图

 

2. 配置AP

(1)      配置FAT AP的接口

·              配置FAT AP的接口IP地址:在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

·              配置FAT AP的以太网接口链路类型配置为Trunk,并允许VLAN 2和VLAN 3的报文通过。(具体的配置步骤请参见“网络”模块中的“VLAN”。)

(2)      配置名为research的无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“research”。

·              选择无线服务类型为“crypto”。

步骤4:单击<确定>按钮完成操作。

步骤5:创建无线服务后,直接进入配置无线服务界面,进行VLAN设置(请先通过“网络 > VLAN”,新建VLAN 2)。

步骤6:进行如下配置,如下图所示。

·              设置VLAN(Untagged)为“2”。

·              设置缺省VLAN为“2”。

·              设置删除VLAN为“1”。

步骤7:进入安全设置,勾选“加密类型”,选择“AES and TKIP”。

步骤8:单击<确定>按钮完成操作。

图2-33 设置VLAN

 

说明

PSK认证的相关配置请参见“2.4.3  WPA-PSK认证典型配置举例”,可以完全参照相关举例完成配置。

 

(3)      配置名为office的无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“office”。

·              选择无线服务类型为“clear”。

步骤4:单击<确定>按钮完成操作。

步骤5:创建无线服务后,直接进入配置无线服务界面,配置VLAN(请先通过“网络 > VLAN”,新建VLAN 3)。

步骤6:进行如下配置,如下图所示。

·              设置VLAN(Untagged)为“3”。

·              设置缺省VLAN为“3”。

·              设置删除VLAN为“1”。

步骤7:单击<确定>按钮完成操作。

图2-34 设置VLAN

 

说明

无线接入的相关配置请参见“2.2  无线服务典型配置举例”,可以完全参照相关举例完成配置。

 

3. 验证配置结果

(1)      客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,进入如下图所示页面,可以查看到成功上线的客户端。

图2-35 查看成功上线的客户端

 

通过该页面可知,接入SSID为office的客户端984b-4ad4-3f24加入VLAN 3,接入SSID为research的客户端984b-4ad4-3fd4加入VLAN 2,两个客户端不在同一VLAN,相互不能访问。

2.4.3  WPA-PSK认证典型配置举例

1. 组网需求

要求客户端使用WPA-PSK方式接入无线网络,客户端的PSK密钥配置与AP端相同,为12345678。

图2-36 WPA-PSK认证配置组网图

 

2. 配置AP

(1)      配置FAT AP的接口IP地址

在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“psk”。

·              选择无线服务类型为“crypto”。

步骤4:单击<确定>按钮完成操作。

图2-37 创建无线服务

 

(3)      配置PSK认证

创建无线服务后,直接进入配置无线服务界面。

步骤1:PSK认证需要对“安全设置”部分进行如下配置,如下图所示。

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“加密类型”前的复选框,选择“TKIP”加密类型(请根据实际情况,选择需要的加密类型),选择“WPA”安全IE。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“psk”方式。

·              在PSK预共享密钥下拉框里选择“pass-phrase”,输入密钥“12345678”。

步骤2:单击<确定>按钮完成操作。

图2-38 安全设置

 

(4)      绑定AP的射频

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击无线服务“psk”对应的icon_bind图标,进入如下图所示页面。

步骤3:选中“802.11n”前的复选框。

步骤4:单击<绑定>按钮完成操作。

图2-39 绑定AP的射频

 

(5)      开启无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

步骤2:选中“psk”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-40 开启无线服务

 

(6)      开启802.11n射频(缺省情况下,802.11n处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11n处于开启状态。

3. 配置无线客户端

打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为psk),单击<连接>,在弹出的对话框里输入网络密钥(此例中为12345678),整个过程如下图所示。

图2-41 配置无线客户端

 

客户端配置相同的PSK预共享密钥,客户端可以成功关联AP。

图2-42 客户端成功关联AP

 

4. 验证配置结果

(1)      客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。

2.4.4  MAC地址本地认证配置举例

1. 组网需求

要求使用客户端使用MAC地址本地认证方式接入无线网络。

图2-43 MAC地址本地认证配置组网图

 

2. 配置AP

(1)      配置FAT AP的接口IP地址

在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“mac-auth”。

·              选择无线服务类型为“clear”。

步骤4:单击<确定>按钮完成操作。

图2-44 创建无线服务

 

(3)      配置MAC地址本地认证

创建无线服务后,直接进入配置无线服务界面。

步骤1:MAC地址本地认证需要在“安全设置”部分进行如下配置,如下图所示。

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。

·              选中“MAC认证”前的复选框,在域名下拉框中选择“system”(在界面左侧的导航栏中选择“认证 > AAA”,选择“域设置”页签,在域名下拉输入框中可以创建新的域)。

步骤2:单击<确定>按钮完成操作。

图2-45 安全设置

 

(4)      绑定AP的射频

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击无线服务“mac-auth”对应的icon_bind图标,进入如下图所示页面。

步骤3:选中“802.11n”前的复选框。

步骤4:单击<绑定>按钮完成操作。

图2-46 绑定AP的射频

  

 

(5)      开启无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

步骤2:选中“mac-auth”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-47 开启无线服务

 

 

(6)      配置MAC认证列表

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<MAC认证列表>按钮。

步骤3:进入如下图所示页面,在MAC地址栏里添加本地接入用户,本例中为“00-14-6c-8a-43-ff”。

步骤4:单击<新建>按钮完成操作。

图2-48 添加MAC认证列表

 

 

(7)      开启802.11n射频(缺省情况下,802.11n处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11n处于开启状态。

3. 配置无线客户端

打开无线客户端,刷新网络列表,在“选择无线网络”列表里找到配置的网络服务(此例中为mac-auth),单击<连接>按钮。

图2-49 配置无线客户端

 

4. 验证配置结果

(1)      客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。

2.4.5  远程MAC地址认证配置举例

1. 组网需求

要求使用无线客户端使用远程MAC地址认证方式接入无线网络。

·              一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上已经添加了Client的用户名和密码(用户名和密码为Client的MAC地址),同时设置了与AP交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。

·              AP的IP地址为10.18.1.1。AP与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。

图2-50 远程MAC地址认证配置组网图

 

2. 配置AP

(1)      配置FAT AP的接口IP地址

在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置RADIUS方案

步骤1:在导航栏中选择“认证 > RADIUS”。

步骤2:单击<新建>按钮,进入RADIUS方案配置页面。

步骤3:进行如下配置,如下图所示。

·              在RADIUS服务器配置中增加如图2-51所示的两个服务器,其中密钥为“expert”。

·              输入方案名称为“mac-auth”。

·              选择服务类型为“Extended”。

·              选择用户名格式为“不带域名”。

步骤4:单击<确定>按钮完成操作。

图2-51 配置RADIUS

 

(3)      配置AAA

步骤1:创建ISP域。在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域)。

步骤2:配置ISP域的AAA认证方案。单击“认证”页签。

步骤3:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“LAN-access认证”前的复选框,选择认证方式为“RADIUS”。

·              选择认证方案名称为“mac-auth”。

步骤4:单击<应用>按钮完成操作。

图2-52 配置ISP域的AAA认证方案

 

步骤5:配置ISP域的AAA授权方案。单击“授权”页签,

步骤6:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“LAN-access授权”前的复选框,选择授权方式为“RADIUS”。

·              选择授权方案名称为“mac-auth”。

步骤7:单击<应用>按钮完成操作。

图2-53 配置ISP域的AAA授权方案

 

步骤8:配置ISP域的AAA计费方案。单击“计费”页签。

步骤9:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“计费可选开关”前的复选框,选择“Enable”。

·              选中“LAN-access计费”前的复选框,选择计费方式为“RADIUS”。

·              选择计费方案名称为“mac-auth”。

步骤10:单击<应用>按钮完成操作。

图2-54 配置ISP域的AAA计费方案

 

(4)      配置无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“mac-auth”。

·              选择无线服务类型为“clear”。

步骤4:单击<确定>按钮完成操作。

图2-55 创建无线服务

 

(5)      配置MAC地址认证

创建无线服务后,直接进入配置无线服务界面。

步骤1:配置MAC地址本地认证需要在“安全设置”部分进行如下配置,如下图所示。

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“mac-authentication”方式。

·              选中“MAC认证”前的复选框,在域名下拉框中选择“system”。

步骤2:单击<确定>按钮完成操作。

图2-56 安全设置

 

(6)      绑定AP的射频

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击无线服务“mac-auth”对应的icon_bind图标,进入如下图所示页面。

步骤3:选中“802.11n”前的复选框

步骤4:单击<绑定>按钮完成操作。

图2-57 绑定AP的射频

 

 

(7)      开启无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

步骤2:选中“mac-auth”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-58 开启无线服务

 

 

(8)      开启802.11n射频(缺省情况下,802.11n处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11n处于开启状态。

3. 配置RADIUS server(iMC V3)

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。

 

(1)      增加接入设备

步骤1:在iMC管理平台选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。

步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。

步骤4:进行如下配置,如下图所示。

·              设置认证、计费共享密钥为expert;

·              设置认证及计费的端口号分别为1812和1813;

·              选择协议类型为LAN接入业务;

·              选择接入设备类型为H3C;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

步骤5:单击<确定>按钮完成操作。

图2-59 增加接入设备

 

(2)      增加服务配置

步骤1:选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。

步骤3:在服务配置页面中单击<增加>按钮,进入增加接入设备页面。

步骤4:设置服务名为mac,其他保持缺省配置。

步骤5:单击<确定>按钮完成操作。

图2-60 增加服务配置页面

 

(3)      增加接入用户

步骤1:选择“用户”页签。

步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。

步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。

步骤4:进行如下配置,如下图所示。

·              添加用户名00146c8a43ff;

·              添加帐号名和密码为00146c8a43ff;

·              选中刚才配置的服务mac。

步骤5:单击<确定>按钮完成操作。

图2-61 增加接入用户

 

4. 配置RADIUS server(iMC V5)

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。

 

(1)      增加接入设备

步骤1:在iMC管理平台选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。

步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。

步骤4:进行如下配置,如下图所示。

·              设置认证、计费共享密钥为expert,其它保持缺省配置;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

步骤5:单击<确定>按钮完成操作。

图2-62 增加接入设备

 

(2)      增加服务配置

步骤1:选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。

步骤3:在服务配置页面中单击<增加>按钮,进入增加接入设备页面。

步骤4:设置服务名为mac,其它保持缺省配置。

步骤5:单击<确定>按钮完成操作。

图2-63 增加服务配置页面

 

(3)      增加接入用户

步骤1:选择“用户”页签。

步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。

步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。

步骤4:进行如下配置,如下图所示。

·              添加用户00146c8a43ff;

·              添加帐号名和密码为00146c8a43ff;

·              选中刚才配置的服务mac。

步骤5:单击<确定>按钮完成操作。

图2-64 增加接入用户

 

5. 验证结果

(1)      客户端不需要用户手动输入用户名或者密码。该客户端通过MAC地址认证后,可以通过访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。

2.4.6  远程802.1X认证配置举例

1. 组网需求

要求无线客户端使用远程802.1X认证方式接入无线网络。

·              一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上已经添加了Client的用户名和密码(用户名为user,密码为dot1x),同时设置了与AP交互报文时的共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。

·              AP的IP地址为10.18.1.1。AP与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,发送给RADIUS服务器的用户名中不带域名。

图2-65 远程802.1x认证配置组网图

 

2. 配置AP

(1)      配置FAT AP的接口IP地址

在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置RADIUS方案

步骤1:在导航栏中选择“认证 > RADIUS”。

步骤2:单击<新建>按钮,进入RADIUS方案配置页面。

步骤3:进行如下配置,如下图所示。

·              在RADIUS服务器配置中增加如图2-66所示的两个服务器,其中密钥为“expert”。

·              输入方案名称为“802.1x”。

·              选择服务类型为“Extended”。

·              选择用户名格式为“不带域名”。

步骤4:单击<确定>按钮完成操作。

图2-66 配置RADIUS

 

(3)      配置AAA

步骤1:创建ISP域。在导航栏中选择“认证 > AAA”,默认进入“域设置”页签的页面,本例使用缺省的system域(如果需要定制ISP域,可以创建新的ISP域)。

步骤2:配置ISP域的AAA认证方案。单击“认证”页签。

步骤3:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“LAN-access认证”前的复选框,选择认证方式为“RADIUS”。

·              选择认证方案名称为“802.1x”。

步骤4:单击<应用>按钮完成操作。

图2-67 配置ISP域的AAA认证方案

 

 

步骤5:配置ISP域的AAA授权方案。单击“授权”页签。

步骤6:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“LAN-access授权”前的复选框,选择授权方式为“RADIUS”。

·              选择授权方案名称为“802.1x”。

步骤7:单击<应用>按钮完成操作。

图2-68 配置ISP域的AAA授权方案

 

 

步骤8:配置ISP域的AAA计费方案。单击“计费”页签。

步骤9:进行如下配置,如下图所示。

·              选择域名为“system”。

·              选中“计费可选开关”前的复选框,选择“Enable”。

·              选中“LAN-access计费”前的复选框,选择计费方式为“RADIUS”。

·              选择计费方案名称为“802.1x”。

步骤10:单击<应用>按钮完成操作。

图2-69 配置ISP域的AAA计费方案

 

 

(4)      配置无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“dot1x”。

·              选择无线服务类型为“crypto”。

步骤4:单击<确定>按钮完成操作。

图2-70 创建无线服务

 

(5)      配置802.1x认证

创建无线服务后,直接进入配置无线服务界面。

步骤1:802.1x认证需要在“安全设置”部分进行如下配置,如下图所示。

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“加密类型”前的复选框,在加密类型下拉框中选择“AES”,在安全IE下拉框中选择“WPA2”。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。

·              选中“域名”前的复选框,在域名下拉框中选择“system”。

·              在认证方法下拉框中选择“EAP”。

·              建议关闭用户握手和多播触发。

步骤2:单击<确定>按钮完成操作。

图2-71 安全设置

 

(6)      绑定AP的射频

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击无线服务“dot1x”对应的icon_bind图标,进入如下图所示页面。

步骤3:选中“802.11n”前的复选框。

步骤4:单击<绑定>按钮完成操作。

图2-72 绑定AP的射频

 

 

(7)      开启无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

步骤2:选中“dot1x”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-73 开启无线服务

 

 

(8)      开启802.11n射频(缺省情况下,802.11n处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11n处于开启状态。

3. 配置RADIUS server(iMC V3)

说明

·       下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUS server的基本配置。

·       在服务器上已经完成证书安装。

 

(1)      增加接入设备

步骤1:在iMC管理平台选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。

步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。

步骤4:进行如下配置,如下图所示。

·              设置认证、计费共享密钥为expert;

·              设置认证及计费的端口号分别为1812和1813;

·              选择协议类型为LAN接入业务;

·              选择接入设备类型为H3C;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

步骤5:单击<确定>按钮完成操作。

图2-74 增加接入设备

 

(2)      增加服务配置

步骤1:选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。

步骤3:在服务配置页面中单击<增加>按钮,进入增加接入设备页面。

步骤4:进行如下配置,如下图所示。

·              设置服务名为dot1x;

·              选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。

步骤5:单击<确定>按钮完成操作。

图2-75 增加服务配置页面

 

(3)      增加接入用户

步骤1:选择“用户”页签。

步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。

步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。

步骤4:进行如下配置,如下图所示。

·              添加用户名user;

·              添加帐号名为user,密码为dot1x;

·              选中刚才配置的服务dot1x。

步骤5:单击<确定>按钮完成操作。

图2-76 增加接入用户

 

4. 配置RADIUS server(iMC V5)

说明

·       下面以iMC为例(使用iMC版本为:iMC PLAT 5.0、iMC UAM 5.0),说明RADIUS server的基本配置。

·       在服务器上已经完成证书安装。

 

(1)      增加接入设备

步骤1:在进入iMC管理平台选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 接入设备配置”菜单项,进入接入设备配置页面。

步骤3:在接入设备页面中单击<增加>按钮,进入增加接入设备页面。

步骤4:进行如下配置,如下图所示。

·              设置认证、计费共享密钥为expert,其它保持缺省配置;

·              选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

步骤5:单击<确定>按钮完成操作。

图2-77 增加接入设备

 

(2)      增加服务配置

步骤1:选择“业务”页签。

步骤2:单击导航树中的“接入业务 > 服务配置管理”菜单项,进入增加服务配置页面。

步骤3:在服务配置页面中单击“增加”按钮,进入增加接入设备页面。

步骤4:进行如下配置,如下图所示。

·              设置服务名为dot1x;

·              选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。

步骤5:单击<确定>按钮完成操作。

图2-78 增加服务配置页面

 

(3)      增加接入用户

步骤1:选择“用户”页签。

步骤2:单击导航树中的“接入用户视图 > 所有接入用户”菜单项,进入用户页面。

步骤3:在该页面中单击<增加>按钮,进入增加接入用户页面。

步骤4:进行如下配置,如下图所示。

·              添加用户user;

·              添加帐号名为user,密码为dot1x;

·              选中刚才配置的服务dot1x。

步骤5:单击<确定>按钮完成操作。

图2-79 增加接入用户

 

5. 配置无线网卡

选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用windows登录名和密码选项。单击“确定”按钮完成操作。整个过程如下图所示。

图2-80 无线网卡配置过程

 

图2-81 无线网卡配置过程

 

图2-82 无线网卡配置过程

 

6. 验证结果

(1)      在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。

2.4.7  自动提供WEP密钥-802.1x认证配置举例

1. 组网需求

要求使用客户端使用远程自动提供WEP密钥-802.1x认证方式接入无线网络。

·              一台RADIUS服务器(使用CAMS/iMC服务器,担当认证、授权、计费服务器的职责)。在RADIUS服务器上添加Client的用户名和密码(用户名为user,密码为dot1x),同时设置共享密钥为“expert”,RADIUS服务器IP地址为10.18.1.88。

·              AP的IP地址为10.18.1.1。在AP上设置共享密钥为expert,发送给RADIUS服务器的用户名中不带域名。

图2-83 自动提供WEP密钥-802.1x配置组网图

 

2. 配置AP

(1)      配置FAT AP的接口IP地址

在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置RADIUS方案

请参考“2.4.6  2. (2)配置RADIUS方案”部分。

(3)      配置AAA

请参考“2.4.6  2. (3)配置AAA”部分。

(4)      配置无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“dot1x”。

·              选择无线服务类型为“crypto”。

步骤4:单击<确定>按钮完成操作。

图2-84 创建无线服务

 

(5)      配置802.1x认证

创建无线服务后,直接进入配置无线服务界面。

步骤1:802.1x认证需要在“安全设置”部分进行如下设置,如下图所示。

·              在“认证方式”下拉框中选择“Open-System”。

·              选中“WEP加密”前的复选框,在自动提供密钥下拉框中选择“开启”。

·              选中“端口设置”前的复选框,在端口模式的下拉框中选择“userlogin-secure-ext”方式。

·              选中“域名”前的复选框,在域名下拉框中选择“system”。

·              在认证方法下拉框中选择“EAP”。

·              建议关闭用户握手和多播触发。

步骤2:单击<确定>按钮完成操作。

图2-85 安全设置

 

(6)      绑定AP的射频

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击无线服务“dot1x”对应的icon_bind图标,进入如下图所示页面。

步骤3:选中“802.11n”前的复选框。

步骤4:单击<绑定>按钮完成操作。

图2-86 绑定AP的射频

 

 

(7)      开启无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

步骤2:选中“dot1x”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-87 开启无线服务

 

 

(8)      开启802.11n射频(缺省情况下,802.11n处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11n处于开启状态。

3. 配置无线网卡

双击桌面右下角的图标,在弹出“无线网络连接状态”窗口上点击“属性”,在弹出的属性页面中单击<添加>按钮,选择关联页签,添加名为“dot1x”的SSID,并确保选择了“自动为我提供此密钥(H)”。最后单击<确定>按钮完成操作。

图2-88 无线网卡配置过程(关联对话框)

 

在验证页签中,选择EAP类型为“受保护的EAP(PEAP)”,点击“属性”,取消“验证服务器证书(V)”(此处不验证服务器证书),点击“配置”,取消“自动使用windows登录名和密码(以及域,如果有的话)(A)”。然后单击<确定>按钮完成客户端操作。

图2-89 无线网卡配置过程(关联对话框)

 

图2-90 无线网卡配置过程(验证对话框)

 

图2-91 无线网卡配置过程

 

图2-92 无线网卡配置过程

 

4. 验证结果

(1)      在客户端弹出的对话框中输入用户名user和密码dot1x。客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。

2.4.8  802.11n典型配置举例

1. 组网需求

某公司为了满足多媒体应用的高带宽要求,需要部署高速接入的802.11n无线网络。

具体要求如下:

·              AP提供SSID为11nservice的明文方式的无线接入服务。

·              为了保护现有投资,兼容现有的802.11g无线网络,采用802.11n(2.4GHz)射频模式。

图2-93 802.11n无线服务组网图

 

2. 配置AP

(1)      配置FAT AP的接口IP地址

在FAT AP上创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击<新建>按钮,进入无线服务新建页面。

步骤3:进行如下配置,如下图所示。

·              设置无线服务名称为“11nservice”。

·              选择无线服务类型为“clear”。

步骤4:单击<确定>按钮完成操作。

图2-94 创建无线服务

 

(3)      绑定AP的射频

步骤1:在导航栏中选择“无线服务 > 接入服务”。

步骤2:单击无线服务“11nservice”对应的icon_bind图标,进入如下图所示页面。

步骤3:选中“802.11n(2.4GHz)”前的复选框。

步骤4:单击<绑定>按钮完成操作。

图2-95 绑定AP的射频

 

(4)      开启无线服务

步骤1:在导航栏中选择“无线服务 > 接入服务”,进入如下图所示页面。

步骤2:选中“11nservice”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-96 开启无线服务

 

(5)      开启802.11n(2.4GHz)射频(缺省情况下,802.11n(2.4GHz)处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入如下图所示射频设置页面,确认802.11n(2.4GHz)处于开启状态。

图2-97 开启802.11n(2.4GHz)射频

 

 

3. 验证配置结果

(1)      客户端可以成功关联AP,并且可以访问无线网络。

(2)      在导航栏中选择“概览 > 客户端”,可以查看到成功上线的客户端。

图2-98 查看成功上线的客户端

 

从上图中可以看到,984b-4ad4-3f24是802.11g用户,984b-4ad4-3fd4是802.11n用户,因为本例中没有对用户类型进行限制,所以802.11g、802.11n用户都可以接入无线网络。如果开启了“只允许11n用户接入”,那么只有984b-4ad4-3fd4用户才能接入无线网络。

4. 配置注意事项

配置802.11n需注意如下事项:

·              在导航栏中选择“射频 > 射频设置”,选择需要配置的AP的射频单元,单击icon_mdf图标进入射频配置页面可以修改关于802.11n的相关参数,包括带宽模式、A-MPDU、A-MSDU、short GI和允许11n用户接入情况。

·              确认802.11n(2.4GHz)处于开启状态。

·              在导航栏中选择“射频 > 速率设置”,可以修改802.11n的速率。

2.5  WDS配置举例

2.5.1  WDS典型配置举例

1. 组网需求

在如下图所示的室外环境中存在两个独立的局域网,如果采用有线方式连接这两个局域网,需要使用挖沟开渠等方式铺设线缆,这样做工期长、开销大。在这种部署有线网络不方便的情况下,可以采用WDS链路连接这两个局域网,实现两个局域网之间的互通。

具体部署方式如下:

·              AP 1和AP 2分别连接不同的局域网。

·              手工指定固定信道153,通过802.11ac射频模式使AP 1和AP 2之间形成WDS链路。

·              为了保证WDS链路的安全性,设置预共享密钥为“12345678”。

图2-99 WDS配置组网图

 

2. 配置AP 1

(1)      配置AP 1的接口IP地址

创建VLAN(在导航栏中选择“网络 > VLAN”,进入页面后可以创建VLAN),并配置IP地址(在导航栏中选择 “设备 > 接口管理”,进入页面后可以配置VLAN的IP地址)。

(2)      配置WDS

步骤1:在导航栏中选择“无线服务 > WDS”,进入如下图所示WDS设置页面。

图2-100 WDS设置

 

 

步骤2:在列表中找到要进行配置的射频模式,单击对应的icon_mdf图标,进入WDS设置页面。

步骤3:进行如下配置,如下图所示。

·              选择字符串方式,设置预共享密钥为“12345678”。

·              不对邻居列表进行操作,即AP可以和任何其它AP建立WDS链路。

步骤4:单击<确定>按钮完成操作。

图2-101 WDS设置页面

 

 

(3)      手工指定信道

步骤1:在界面左侧的导航栏中选择“射频 > 射频设置”。

步骤2:在列表中选择需要配置的射频单元,单击对应的icon_mdf图标,进入射频设置页面。

步骤3:在信道下拉框中选择使用的信道。

步骤4:单击<确定>按钮完成操作。

图2-102 手工配置相同的信道

 

 

(4)      开启802.11ac射频(缺省情况下,802.11ac处于开启状态,此步骤可选)

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11ac处于开启状态。

(5)      开启WDS

步骤1:在导航栏中选择“无线服务 > WDS”,进入WDS设置页面。

步骤2:选中“802.11ac”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-103 WDS设置

 

 

3. 配置AP 2

AP 2的配置步骤和AP 1相同,此处不再重复。

4. 验证配置结果

在导航栏中选择“概览 > WDS”,进入WDS显示页面。

图2-104 WDS显示页面

 

 

在上图中可以看到WDS链路已经成功建立。

5. 配置注意事项

在一个WDS链路中,显示的信息包括:邻居MAC地址、本地MAC地址、邻居状态、链路UP时间、信号质量。

当信号质量显示为绿色(五格)时,表明信号质量最好;如果显示为黄色,则表明当前信号质量比较差,此时需要关注:当前采用的天线是否和Radio匹配、天线连接是否正确、当前射频的最大功率是否过小等。

2.5.2  WDS点到多点典型配置举例

1. 组网需求

要求在AP 1分别和AP 2,AP 3,AP 4建立WDS链路。

图2-105 WDS配置组网图

 

2. 配置思路

WDS点到多点配置和普通无线WDS配置基本相同,但需要注意以下几点:

·              在每个AP的射频模式下配置邻居AP的MAC地址(否则AP2、AP3、AP4之间也可能建立WDS链路)。

·              设置允许建立的最大WDS链路数(缺省值为2,需要根据实际链路数进行设置,此例中在AP 1上该值应设为3)。

3. 配置步骤

WDS点到多点配置和普通无线WDS配置相同,具体配置步骤请参见“2.5.1  2. 配置AP 1”。

4. 验证配置结果

查看WDS链路状态:

(1)      在AP 1上的WDS链路状态页面(在导航栏中选择“概览 > WDS”)可以看到AP 1与AP 2、AP 3、AP 4建立的三条WDS链路。

(2)      在AP 2、AP 3和AP 4上的WDS链路状态页面(在导航栏中选择“概览 > WDS”)可以看到它们各自与AP 1建立的一条WDS链路。

2.6  Repeater模式配置举例

1. 组网需求

·              AP 1接入有线局域网,作为Repeater的AP通过WDS链路与AP 1建立连接,同时该Repeater也能为Client提供无线接入服务。

·              通过802.11n射频模式使AP 1和Repeater建立WDS链路。

·              通过802.11n射频模式使Client接入Repeater。

·              接入服务使用的信道和WDS链路使用的信道应该保持一致,本例中选用802.11n射频模式下的信道11作为工作信道。

图2-106 Repeater模式配置组网图

 

2. 配置思路

·              配置AP 1:在AP 1上配置WDS,具体配置步骤请参见“2.5.1  2. 配置AP 1”。

·              配置Repeater:在Repeater上配置WDS和接入服务。

3. 配置Repeater

(1)      配置WDS

步骤1:在导航栏中选择“无线服务 > WDS”,进入如下图所示WDS设置页面。

图2-107 WDS设置

 

步骤2:在列表中找到要进行配置的802.11n射频模式,单击对应的icon_mdf图标,进入WDS设置页面。

步骤3:选择字符串方式,设置预共享密钥为“12345678”。

步骤4:单击<确定>按钮完成操作。

图2-108 WDS设置页面

 

(2)      手工配置信道

步骤1:在界面左侧的导航栏中选择“射频 > 射频设置”。

步骤2:在列表中选择需要配置的射频单元,单击对应的icon_mdf图标,进入射频设置页面。

步骤3:在信道下拉框中选择使用的信道11。

步骤4:单击<确定>按钮完成操作。

图2-109 手工配置相同的信道

 

(3)      开启802.11n射频(缺省情况下,802.11n处于开启状态,此步骤可选)。

在导航栏中选择“射频 > 射频设置”,进入射频设置页面,确认802.11n处于开启状态。

(4)      开启WDS

步骤1:在导航栏中选择“无线服务 > WDS”,进入WDS设置页面。

步骤2:选中“802.11n”前的复选框。

步骤3:单击<开启>按钮完成操作。

图2-110 WDS设置

 

(5)      配置接入服务

说明

为Repeater配置接入服务的相关配置请参见“无线接入配置举例”,可以完全参照相关举例完成配置。

 

图2-111 配置接入服务

 

说明

在Repeater上配置接入服务时,应保证以下两点:

·       接入服务使用的射频模式和WDS链路使用的射频模式应该保持一致,本例中WDS和接入服务都使用802.11n射频模式。

·       接入服务使用的信道和WDS链路使用的信道应该保持一致,本例中选用802.11n射频模式下的信道11作为工作信道。

 

4. 验证配置结果

(1)      验证Repeater模式中WDS链接已经建立

在导航栏中选择“概览 > WDS”,进入WDS显示页面。单击射频单元2,可以查看到邻居信息。

图2-112 显示WDS

 

(2)      已经成功建立Repeater模式

在界面左侧的导航栏中选择“概览 > 射频”,在服务类型中可以看到Repeater上的802.11n射频模式同时提供“接入”和“WDS”服务,并且有一个客户端通过repeater接入无线网络。

图2-113 显示射频

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们