• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C WX2500X系列无线控制器产品 Web配置指导(专家模式)(R5610)-6W100

05-Web典型配置举例

本章节下载  (1.97 MB)

05-Web典型配置举例

  录

1 无线功能配置举例

1.1 无线服务配置举例

1.1.1 共享密钥认证配置举例

1.1.2 PSK身份认证与密钥管理模式和Bypass认证配置举例

1.1.3 PSK身份认证与密钥管理模式和MAC地址认证配置举例

1.2 AP管理配置举例

1.2.1 配置通过DHCP发现方式建立CAPWAP隧道举例

1.2.2 配置通过DNS发现方式建立CAPWAP隧道举例

1.2.3 配置开启自动AP功能建立CAPWAP隧道举例

1.2.4 AP组配置举例

1.2.5 指定AP的配置文

1.2.6 指定AP组的配置文件

1.3 无线QoS配置举例

1.3.1 客户端限速配置举例

1.3.2 带宽保障配置举例

1.4 射频管理配置举例

1.4.1 射频管理配置举例

1.4.2 定时关闭射频配置举例

1.4.3 WLAN RRM信道调整配置举例

1.4.4 WLAN RRM功率调整配置举例

1.4.5 WLAN RRM频宽调整配置举例

1.4.6 会话模式的负载均衡配置举例

1.4.7 流量模式的负载均衡配置举例

1.4.8 带宽模式的负载均衡配置举例

1.4.9 会话模式的负载均衡组配置举例

1.4.10 流量模式的负载均衡组配置举例

1.4.11 带宽模式的负载均衡组配置举例

1.4.12 频谱导航配置举例

1.5 无线安全配置举例

1.5.1 WIPS分类与反制配置举例

1.5.2 WIPS畸形报文检测和泛洪攻击检测配置举例

1.5.3 Signature检测配置举例

1.6 漫游配置举例

1.6.1 AC内漫游配置举例

1.6.2 AC间漫游配置举例

1.7 应用配置举例

1.7.1 Mesh服务配置举例

1.7.2 组播优化配置举例

1.7.3 无线定位服务配置举例

2 网络功能配置举例

2.1 接口配置举例

2.1.1 二层以太网静态链路聚合配置举例

2.1.2 二层以太网动态链路聚合配置举例

2.1.3 PPPoE Client配置举例

2.2 链路配置举例

2.2.1 DHCP Snooping配置举例

2.3 路由配置举例

2.3.1 IPv4静态路由基本功能配置举例

2.3.2 IPv6静态路由基本功能配置举例

2.4 IP配置举例

2.4.1 内网用户通过NAT地址访问外网(动态地址转换)

2.4.2 内网用户通过NAT地址访问外网(静态地址转换)

2.4.3 代理ARP配置举例

2.4.4 ARP攻击防御配置举例

2.4.5 静态IPv4 DNS配置举例

2.4.6 动态IPv4 DNS配置举例

2.4.7 IPv4 DNS proxy配置举例

2.5 IPv6配置举例

2.5.1 IPv6地址静态配置举例

2.5.2 静态IPv6 DNS配置举例

2.5.3 动态IPv6 DNS配置举例

2.5.4 IPv6 DNS proxy配置举例

2.6 组播配置举例

2.6.1 IGMP Snooping配置举例

2.6.2 MLD Snooping配置举例

2.7 管理协议配置举例

2.7.1 DHCP服务器动态分配地址配置举例

2.7.2 DHCP中继配置举例

2.7.3 NTP配置举例

3 网络安全配置举例

3.1 访问控制配置举例

3.1.1 通过ACL进行包过滤配置举例

3.2 接入认证配置举例

3.2.1 802.1X用户的RADIUS认证配置举例

3.2.2 802.1X用户的本地认证配置举例

3.2.3 802.1X身份认证与密钥管理模式配置举例

3.2.4 IPv4 Portal直接认证配置举例

3.3 来宾管理配置举例

3.3.1 来宾用户管理配置举例

3.4 BYOD配置举例

3.4.1 BYOD配置举例

4 系统功能配置举例

4.1 设备管理配置举例

4.1.1 管理员配置举例

4.1.2 使用本地认证的SSH server配置举例

5 工具配置举例

5.1 报文捕获配置举例

5.1.1 本地报文捕获配置举例

5.1.2 远程报文捕获配置举例

 


1 无线功能配置举例

1.1  无线服务配置举例

1.1.1  共享密钥认证配置举例

1. 组网需求

AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端在链路层使用WEP密钥12345接入无线网络。

图1-1 共享密钥认证配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service1。

¡     配置SSID为service。

¡     开启无线服务。

(2)     配置认证模式为静态WEP密钥

在“无线服务配置”页面单击service1的编辑按钮,进入“链路层认证”页面,配置步骤为:

¡     选择认证模式为静态WEP密钥。

¡     选择密钥类型为Passphrase。

¡     选择加密套件为WEP 40。

¡     明文密钥为12345。

(3)     将无线服务绑定到AP

在“无线服务配置”页面单击service1的编辑按钮,进入“绑定”页面,从待选的AP射频中选择指定的射频进行绑定。

3. 验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

1.1.2  PSK身份认证与密钥管理模式和Bypass认证配置举例

1. 组网需求

·     AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。

·     客户端链路层认证使用开放式系统认证,用户接入认证使用Bypass认证的方式实现客户端可以不需要认证直接接入WLAN网络的目的。

·     通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确保用户数据的传输安全。

图1-2 PSK+Bypass认证配置组网图

 

2. 配置步骤

(1)     创建无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建无线服务,名称为service1。

¡     配置SSID为service。

¡     开启无线服务。

(2)     配置认证模式为静态PSK密钥

在“无线服务配置”页面单击service1的编辑按钮,进入“链路层认证”页面,配置步骤为:

¡     选择认证模式为静态PSK密钥。

¡     选择安全模式为WPA。

¡     选择加密套件为CCMP。

¡     选择密钥类型为Passphrase,明文密钥为12345678。

(3)     将无线服务绑定到AP

在“无线服务配置”页面单击service1的编辑按钮,进入“绑定”页面,从待选的AP射频中选择指定的射频进行绑定。

3. 验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

1.1.3  PSK身份认证与密钥管理模式和MAC地址认证配置举例

1. 组网需求

·     AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。

·     客户端链路层认证使用开放式系统认证,客户端通过RADIUS服务器进行MAC地址认证。

·     通过配置客户端和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。

图1-3 PSK密钥管理模式和MAC认证配置组网图

 

2. 配置步骤

说明

·     在RADIUS服务器上配置,将Client的MAC地址作为认证的用户名和密码,且该MAC地址在配置时不能出现大写和连字符。完成RADIUS服务器的其它配置,并保证用户的认证/授权/计费功能正常运行。

·     完成设备上RADIUS和Domain域的配置。

 

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service1。

¡     配置SSID为service。

¡     开启无线服务。

(2)     配置认证模式为静态PSK密钥和MAC地址认证

在“无线服务配置”页面单击service1的编辑按钮,进入“链路层认证”页面,配置步骤为:

¡     选择认证模式为静态PSK密钥和MAC地址认证。

¡     选择安全模式为WPA。

¡     选择加密套件为CCMP。

¡     选择密钥类型为Passphrase,明文密钥为12345678。

¡     配置域名为dom1。

(3)     将无线服务绑定到AP

在“无线服务配置”页面单击service1的编辑按钮,进入“绑定”页面,从待选的AP射频中选择指定的射频进行绑定。

3. 验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

1.2  AP管理配置举例

1.2.1  配置通过DHCP发现方式建立CAPWAP隧道举例

1. 组网需求

图1-4所示,AP和AC通过交换机相连,AC作为DHCP服务器为AP提供DHCP服务。AP通过DHCP选项方式从DHCP服务器上获取AP和AC的IP地址,发现AC并与AC建立CAPWAP隧道连接。

图1-4 通过DHCP发现方式建立CAPWAP隧道典型组网图

 

2. 配置步骤

(1)     配置AC的IP地址

单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面配置VLAN接口1的IP地址为1.1.1.1/24。

(2)     配置DHCP服务

单击页面左侧导航栏的“网络配置 > 管理协议 > DHCP”,进入“DHCP”页面配置DHCP服务,配置步骤为:

¡     开启DHCP服务。

¡     配置VLAN接口1工作在DHCP服务器模式。

¡     进入“地址池 > 地址分配”页面,点击<添加地址池>按钮,创建名称为pool1的地址池,配置该地址池动态分配的地址段为1.1.1.0/24,在“地址池选项”页签中配置网关地址为1.1.1.1。

¡     进入“地址池 > 地址池选项”页面”,配置DHCP选项43为客户端分配AC的IP地址,类型为十六进制数串,选项内容为800700000101010101。

(3)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

3. 验证配置

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面可以查看到上线的AP,通过查看详情可以看到AP获取到的AP IP地址、AC IP地址和AP发现AC的方式。

1.2.2  配置通过DNS发现方式建立CAPWAP隧道举例

1. 组网需求

图1-5所示,DHCP server、DNS server、AP和AC通过交换机连接。由DHCP server为AP分配IP地址和AC的域名后缀,DNS server将AC的域名解析为AC的IP地址。

图1-5 通过DNS发现方式建立CAPWAP隧道典型组网图

 

2. 配置步骤

(1)     配置DHCP server

在DHCP server上配置为AP分配IP地址的地址池、AC的域名后缀和DNS服务器地址,分配的IP地址段为1.1.1.0/24,AC的域名后缀为abc,DNS服务器地址为1.1.1.4/24。(略)

(2)     配置DNS server

在DNS server上添加AC域名“h3c.abc”和AC IP地址2.1.1.1/24的对应关系。(略)

(3)     配置AC的IP地址

单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面配置VLAN接口1的IP地址为2.1.1.1/24。

(4)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

3. 验证配置

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面可以查看到上线的AP,通过查看上线AP的详细信息可以看到AP获取到的AP IP地址、AC IP地址和AP发现AC的方式。

1.2.3  配置开启自动AP功能建立CAPWAP隧道举例

1. 组网需求

图1-6所示,AP和AC通过交换机相连。在AC上开启自动AP功能,MAC地址为0011-2200-0101的AP通过DHCP选项方式获取到AC的IP地址,AP通过获取到的AC的IP地址发现AC并与AC建立CAPWAP隧道连接。

图1-6 开启自动AP功能建立CAPWAP隧道典型组网图

 

2. 配置步骤

(1)     配置AC的IP地址

单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面配置VLAN接口1的IP地址为1.1.1.1/24。

(2)     配置DHCP服务

单击页面左侧导航栏的“网络配置 > 管理协议 > DHCP”,进入“DHCP”页面配置DHCP服务,配置步骤为:

¡     开启DHCP服务。

¡     配置VLAN接口1工作在DHCP服务器模式。

¡     进入“地址池 > 地址分配”页面,点击<添加地址池>按钮,创建名称为pool1的地址池,配置该地址池动态分配的地址段为1.1.1.0/24,在“地址池选项”页签中配置网关地址为1.1.1.1。

¡     进入“地址池 > 地址池选项”页面”,配置DHCP选项43为客户端分配AC的IP地址,类型为十六进制数串,选项内容为800700000101010101。

(3)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP全局配置”,进入“AP全局配置”页面开启自动AP功能。

3. 验证配置

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面可以查看到上线的自动AP。

1.2.4  AP组配置举例

1. 组网需求

图1-7所示,AC通过交换机和AP 1、AP 2、AP 3、AP 4相连;将AP1加入group1,AP 2、AP 3和AP 4加入group2。AP 1、AP 2、AP 3和AP4名字分别为ap1、ap2、ap3和ap4。

图1-7 AP组配置举例

 

2. 配置步骤

(1)     配置AP通过DHCP方式获取AP IP地址及AC IP地址(略)。

(2)     配置AP组

单击页面左侧导航栏的“无线配置 > AP管理 > AP组”,进入“AP组”页面,配置步骤为:

¡     添加两个AP组,配置AP组名称为group1和group2。

¡     选中AP组group1,单击<配置入组规则>,然后在AP入组规则页面点击“”按钮进入“添加入组规则页面”,配置AP名称入组规则,创建名称为ap1的AP。

¡     选中AP组group2,单击<配置入组规则>,然后在AP入组规则页面点击“”按钮进入“添加入组规则页面”,配置AP名称入组规则,创建名称为ap2、ap3和ap4的AP。

3. 验证配置

单击页面左侧导航栏的“无线配置 > AP管理 > AP组”,进入“AP组”页面,选中AP组,查看AP组group1和group2的AP列表,可以看到ap1加入到AP组group1中,ap2、ap3和ap4加入到AP组group2中。

1.2.5  指定AP的配置文件

1. 组网需求

图1-8所示,AP通过交换机与AC相连。通过Map文件对AP进行配置,使Client 1和Client 2相互隔离。

图1-8 指定AP的配置文件组网图

2. 配置步骤

(1)     配置AP通过DHCP方式获取AP IP地址及AC IP地址、无线服务和射频管理(略)。

(2)     编辑AP配置文件,将基于VLAN的用户隔离功能配置步骤中的命令按顺序编写到配置文件中,保存为apcfg.txt。

(3)     指定AP配置文件

单击页面左侧导航栏的“无线配置 > AP管理> AP”,进入AP管理页面。然后点击AP显示信息的“编辑”按钮,在“Map文件”配置项处选择为apcfg.txt,点击确定完成配置。

3. 验证配置

用户Client 1和Client 2都可以访问Internet,但是不能相互访问。

1.2.6  指定AP组的配置文件

1. 组网需求

图1-9所示,AP 1、AP 2和AP 3通过交换机与AC相连,且在同一AP组中。通过Map文件对AP组进行配置,使每个AP下的客户端相互隔离。

图1-9 指定AP的配置文件组网图

 

2. 配置步骤

(1)     配置AP通过DHCP方式获取AP IP地址及AC IP地址、将AP加入AP组、配置无线服务和射频管理(略)。

(2)     编辑AP组配置文件,将基于VLAN的用户隔离功能配置步骤中的命令按顺序编写到配置文件中,保存为apcfg.txt。

(3)     指定AP组配置文件

单击页面左侧导航栏的“无线配置 > AP管理> AP”,点击AP组页签,进入AP组管理页面。然后点击AP组显示信息的“编辑”按钮,进入AP组管理页面,点击“Map文件配置”页签,选择Map文件为apcfg.txt,点击确定完成配置。

3. 验证配置

用户Client 1和Client 2都可以访问Internet,但是不能相互访问。

1.3  无线QoS配置举例

1.3.1  客户端限速配置举例

1. 组网需求

AC与二层交换机Switch相连,AP和AC在同一个网络。在AC上配置客户端限速功能,使AP分别在入方向上以静态模式、在出方向上以动态模式限制无线客户端的速率。

图1-10 客户端限速配置举例组网图

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为service。

¡     开启无线服务。

(2)     配置AP及序列号

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP页面”,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的射频1。

(3)     配置客户端限速功能

单击页面左侧导航栏的“无线配置 > 无线QoS > 客户端限速”,在“基于无线服务配置”栏中点击“更多”按钮进入“基于无线服务配置”页面,配置步骤为:

¡     修改名称为service的无线服务。

¡     指定入方向限速模式为静态。

¡     指定入方向每客户端限速速率为8000

¡     指定出方向限速模式为动态。

¡     指定出方向每客户端限速速率为4000

(4)     开启射频

单击页面左侧导航栏的“无线配置 > 射频管理 >射频配置”,进入“射频配置”页面,开启AP 1的射频1。

3. 验证配置

配置完成后,在两个客户端上进行测速。每个客户端的上行速率不超过8Mbps,下行速率均不超过4Mbps。

1.3.2  带宽保障配置举例

1. 组网需求

在某企业内,三个客户端分别通过名为researchofficeentertainSSID接入无线网络。为了满足企业网络正常运行的需求,要求在同一个AP内,保证无线服务office的带宽占总带宽的20%,无线服务research的带宽占总带宽的80%,无线服务entertain没有分配固定带宽。

图1-11 智能带宽保障配置举例组网图

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建三个无线服务,名称分别为office、research、entertain。

¡     配置SSID,分别为office、research、entertain。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

进入AP 1的配置页面,在“无线服务配置”页面中将无线服务office、research、entertain绑定到AP 1的射频1。

(3)     配置智能带宽保障功能

单击页面左侧导航栏的“无线配置 > 无线QoS > 智能带宽保障”,在“AP配置”栏中点击“更多”按钮进入“AP配置”页面,配置步骤为:

¡     修改AP 1的带宽保障功能参数。

¡     开启智能带宽保障。

¡     指定无线服务office的保障带宽占比为20%

¡     指定无线服务research的保障带宽占比为80%

(4)     开启射频

单击页面左侧导航栏的“无线配置 > 射频管理 >射频配置”,进入“射频配置”页面,开启AP 1的射频1。

3. 验证配置

完成上述配置后,在“无线配置 > 无线QoS > 智能带宽保障”页面的“AP配置”栏中,可以能看到AP 1的实际带宽占比值。在网络出现拥塞时,接入office的客户端能保障获得最少20%的带宽,接入research的客户端能保障获得最少80%的带宽,接入entertain的客户端所能获得的带宽无法得到保障。

1.4  射频管理配置举例

1.4.1  射频管理配置举例

1. 组网需求

图1-12所示,AP通过交换机与AC相连。对AP上的5GHz射频进行配置,配置要求如下:

·     配置射频模式为802.11ac,配置信道为48,最大功率为19dBm。

·     配置802.11ac的最大基本NSS为2,最大支持NSS为3,组播NSS为2,VHT-MCS索引值为5。

·     配置A-MPDU功能、A-MSDU功能来提高AP的吞吐量。

图1-12 射频管理基本功能配置组网图

 

2. 配置步骤

单击页面左侧导航栏的“无线配置 > 射频管理 > 射频配置”,进入“射频配置”页面,配置步骤为:

·     在“所有AP的射频”中选择对应名称AP的5GHz射频进行编辑,在“基础”页面,配置射频模式为802.11ac(5GHz),配置信道为48,最大功率为19dBm。

·     配置802.11ac的最大基本NSS为2,最大支持NSS为3,组播NSS为2,组播VHT-MCS为5。

·     开启A-MPDU和A-MSDU功能。

·     开启射频。

3. 验证配置

单击页面左侧导航栏的“无线配置 > 射频管理 > 射频配置”,进入“射频配置”页面可以查看射频上当前的配置。

1.4.2  定时关闭射频配置举例

1. 组网需求

图1-13所示,AP通过交换机与AC相连。控制AP上的射频1在每周的非工作时间关闭,禁止员工接入无线网络。非工作时间为:周一至周五的00:00~08:00、22:00~24:00,周六及周日全天。

图1-13 定制关闭射频功能配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为service。

¡     开启无线服务。

(2)     配置AP及序列号

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面,配置步骤为:

¡     配置AP名称为AP。

¡     配置AP型号及序列号。

进入AP的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP的射频1。

(3)     配置定时关闭射频功能

单击页面左侧导航栏的“无线配置 > 射频管理 > 射频配置”,在“射频配置”页面选择“定时关闭射频”一栏右上方的“更多”,进入“详细信息”页面,配置步骤为:

¡     在“定时关闭射频”页签下添加待控制射频,勾选AP的射频1。

¡     添加时间段,配置时间段名称,而后添加三条“周期时间段”:配置开始时间与结束时间00:00~08:00,日期为周一至周五;配置开始时间与结束时间22:00~24:00,日期为周一至周五;配置开始时间与结束时间00:00~24:00,日期为周六与周日。

3. 验证配置

单击页面左侧导航栏的“无线配置 > 射频管理 > 射频配置”,在“射频配置”页面查看“定时关闭射频”一栏,若设备上的系统时间介于配置的关闭射频的时间范围内,则该定时关闭任务的生效状态将显示为“生效中”,射频处于关闭状态,用户无法接入。若设备上的系统时间不在配置的关闭射频的时间范围内,则射频处于开启状态,用户可以接入。

1.4.3  WLAN RRM信道调整配置举例

1. 组网需求

图1-14所示,客户端通过AP接入无线服务,当信道变差达到信道调整触发条件时,AC能自动切换信道,保证客户端的无线服务质量。

图1-14 自动信道调整配置组网图

 

2. 配置步骤

(1)     配置AP射频的配置信道(缺省为自动选择,且信道不锁定)

单击页面左侧导航栏的“ 无线配置 > 射频管理 > 射频配置”,进入“射频配置”页面,配置AP 1、AP 2、AP 3上射频的配置信道为“自动选择不锁定”。

(2)     配置RRM

单击页面左侧导航栏的“ 无线配置 > 射频管理 > 射频优化”,进入“射频优化”页面,在“AP RRM配置”中开启AP 1、AP 2、AP 3和AP 4的自动信道调整功能。

3. 验证配置

调整周期超时后,如果某个AP的当前工作信道质量达到任意一个信道调整门限,AC将为该AP进行信道调整。单击页面左侧导航栏的“ 监控 > 射频 > 射频优化”,进入“射频优化”页面,可以查看信道调整前后,AP所使用的信道和信道调整的详细信息。

1.4.4  WLAN RRM功率调整配置举例

1. 组网需求

图1-15所示,无线网络中原本存在AP 1~AP 3,每个AP上仅开启Radio 1,客户端通过AP 1接入无线网络。要求当AP 4加入AC时,各AP能够自动调整发送功率。

图1-15 自动功率调整配置组网图

 

2. 配置步骤

(1)     配置AP射频的功率锁定状态为关闭

单击页面左侧导航栏的“ 无线配置 > 射频管理 > 射频配置”,进入“射频配置”页面,配置AP 1、AP 2、AP 3和AP 4的功率锁定状态为关闭。

(2)     配置RRM

单击页面左侧导航栏的“ 无线配置 > 射频管理 > 射频优化”,进入“射频优化”页面,在“AP RRM配置”中开启AP 1、AP 2、AP 3和AP 4的自动功率调整功能。

3. 验证配置

调整周期超时后,如果某个AP的当前发送功率达到功率调整门限,AC将为该AP进行功率调整。单击页面左侧导航栏的“ 监控 > 射频 > 射频优化”,进入“射频优化”页面,可以查看功率调整前后,AP所使用的功率和功率调整的详细信息。

1.4.5  WLAN RRM频宽调整配置举例

1. 组网需求

图1-16所示,客户端通过AP接入无线服务。当射频的邻居Radio数量达到频宽调整触发条件时,AC自动调整射频频宽,以保证客户端的无线服务质量。

图1-16 自动频宽调整配置组网图

 

2. 配置步骤

单击页面左侧导航栏的“无线配置 > 射频管理”,进入“射频优化”页面,配置步骤为:

·     在“快速调整”中开启全局频宽调整功能。

·     单击“快速调整”的“更多”按钮进入“调整周期”页面,配置频宽调整周期为10分钟。

3. 验证配置

调整周期超时后,如果某个射频的邻居射频数量达到频宽调整条件时,AC将对该AP的射频进行频宽调整。

单击页面左侧导航栏的“无线配置 > 射频管理”,进入“射频优化”页面,单击“AP RRM配置”的“更多”按钮进入“详细信息”页面,在“RRM历史调整信息”页面可以查看射频调整前后的频宽。

1.4.6  会话模式的负载均衡配置举例

1. 组网需求

AC连接了两个AP,这两个AP的Radio覆盖区域有重叠,为了对这两个AP上Radio的接入载荷进行负载均衡,有以下要求:

·     负载均衡的评判依据为在线客户端数量。

·     当Radio上的在线客户端数量达到或超过3,并且与另一个Radio上的在线客户端数量差值达到或超过2,开始运行负载均衡。

2. 组网图

图1-17 会话模式的负载均衡配置组网图

 

3. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为session-balance。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

¡     配置AP名称为AP2。

¡     配置AP型号及序列号。

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的Radio 2射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的Radio 2射频。

(3)     配置负载均衡

单击页面左侧导航栏的“ 无线配置 > 射频管理 > 负载均衡”,进入“负载均衡”页面,配置步骤为:

¡     点击“全局配置”的“更多”按钮进入“详细信息”页面,选择状态为“开启”。

¡     选择模式为“会话模式”。

¡     配置会话门限值为3,会话差值门限值为2。

4. 验证配置

Client 2、Client 3、Client 4已接入AP 2的Radio 2,Client 1已接入AP 1的Radio 2,两个Radio接入客户端数量的差值达到2,AP 2的Radio 2开始运行负载均衡。Client 5欲接入AP 2被拒绝,而后接入到AP 1。通过单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,进入“客户端信息”页面,可以查看到AP 1的Radio 2和AP 2的Radio 2上关联的客户端数量达到均衡。

1.4.7  流量模式的负载均衡配置举例

1. 组网需求

AC连接了两个AP,这两个AP的Radio覆盖区域有重叠,每个2.4GHz频段射频的射频模式均为802.11gn。为了对这两个AP上Radio的接入载荷进行负载均衡,有以下要求:

·     负载均衡的评判依据为Radio的流量值。

·     当Radio上的流量达到或超过50Mbps(即流量值为占Radio最大支持带宽的20%),并且与另一个Radio上的流量差值达到或超过25Mbps(即流量差值为占Radio最大支持带宽的10%),开始运行负载均衡。

2. 组网图

图1-18 流量模式的负载均衡配置组网图

 

3. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为traffic-balance。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

¡     配置AP名称为AP2。

¡     配置AP型号及序列号。

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的Radio 2射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的Radio 2射频。

(3)     配置负载均衡

单击页面左侧导航栏的“无线配置 > 射频管理 > 负载均衡”,进入“负载均衡”页面,配置步骤为:

¡     点击“全局配置”的“更多”按钮进入“详细信息”页面,选择状态为“开启”。

¡     选择模式为“流量模式”。

¡     配置流量门限值为20,流量差值门限值为10。

4. 验证配置

当AP 1的Radio 2上的流量达到50Mbps,并且与AP 2的Radio 2上的流量差值达到或超过25Mbps时,开始运行负载均衡。通过单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,进入“客户端信息”页面,可以查看到AP 1的Radio 2和AP 2的Radio 2上关联的客户端数量达到均衡。

1.4.8  带宽模式的负载均衡配置举例

1. 组网需求

AC连接了两个AP,这两个AP的Radio覆盖区域有重叠,为了对这两个AP上Radio的接入载荷进行负载均衡,有以下要求:

·     负载均衡的评判依据为Radio的带宽值。

·     当Radio上的带宽达到或超过12Mbps,并且与另一个Radio上的带宽差值达到或超过3Mbps,开始运行负载均衡。

2. 组网图

图1-19 带宽模式的负载均衡配置组网图

 

3. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为bandwidth-balance。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

¡     配置AP名称为AP2。

¡     配置AP型号及序列号。

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的Radio 2射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的Radio 2射频。

(3)     配置负载均衡

单击页面左侧导航栏的“无线配置 > 射频管理 > 负载均衡”,进入“负载均衡”页面,配置步骤为:

¡     点击“全局配置”的“更多”按钮进入“详细信息”页面,选择状态为“开启”。

¡     选择模式为“带宽模式”。

¡     配置带宽门限值为12Mbps,带宽差值门限值为3Mbps。

4. 验证配置

当AP 1的Radio 2上的流量达到或超过12Mbps,并且与AP 2的Radio 2上的流量差值达到或超过3Mbps,开始运行负载均衡。通过单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,进入“客户端信息”页面,可以查看到AP 1的Radio 2和AP 2的Radio 2上关联的客户端数量达到均衡。

1.4.9  会话模式的负载均衡组配置举例

1. 组网需求

AC连接了三个AP,这三个AP的radio覆盖区域有重叠,为了对这三个AP上Radio的接入载荷进行负载均衡,有以下要求:

·     负载均衡的评判依据为在线客户端数量。

·     仅需要对AP 1的Radio 2和AP 2的Radio 2进行负载均衡。

·     当Radio上的在线客户端数量达到或超过3,并且与另一个Radio上的在线客户端数量差值达到或超过2,开始运行负载均衡。

2. 组网图

图1-20 会话模式的负载均衡组配置组网图

 

3. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为session-balance。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

¡     配置AP名称为AP2。

¡     配置AP型号及序列号。

¡     配置AP名称为AP3。

¡     配置AP型号及序列号。

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的Radio 2射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的Radio 2射频。

¡     进入AP 3的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 3的Radio 2射频。

(3)     配置负载均衡

单击页面左侧导航栏的“无线配置 > 射频管理 > 负载均衡”,进入“负载均衡”页面,配置步骤为:

¡     点击“全局配置”的“更多”按钮进入“详细信息”页面,选择状态为“开启”。

¡     选择模式为“会话模式”。

¡     配置会话门限值为3,会话差值门限值为2。

¡     进入负载均衡组配置页面,创建负载均衡组1

¡     将AP 1的Radio 2和AP 2的Radio 2绑定到负载均衡组中。

4. 验证配置

AP 1的Radio 2和AP 2的Radio 2在同一个负载均衡组中,AP 3的Radio 2没有加入负载均衡组。由于负载均衡只对组内的Radio生效,所以AP 3的Radio 2不参与负载均衡。

Client 3、Client 4、Client 5已接入AP 2的Radio 2,Client 1已接入AP 1的Radio 2,两个Radio接入客户端数量的差值达到2,AP 2的Radio 2开始运行负载均衡。Client 6欲接入AP 2被拒绝,而后接入到AP 1。通过单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,进入“客户端信息”页面,可以查看到AP 1的Radio 2和AP 2的Radio 2上关联的客户端数量达到均衡。

1.4.10  流量模式的负载均衡组配置举例

1. 组网需求

AC连接了三个AP,这三个AP的radio覆盖区域有重叠,每个2.4GHz频段射频的射频模式均为802.11gn。为了对这三个AP上Radio的接入载荷进行负载均衡,有以下要求:

·     负载均衡的评判依据为Radio的流量值。

·     仅需要对AP 1的Radio 2和AP 2的Radio 2进行负载均衡。

·     当Radio上的流量达到或超过50Mbps(即流量值为占Radio最大支持带宽的20%),并且与另一个Radio上的流量差值达到或超过25Mbps(即流量差值为占Radio最大支持带宽的10%),开始运行负载均衡。

2. 组网图

图1-21 流量模式的负载均衡组网图

 

3. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为traffic-balance。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

¡     配置AP名称为AP2。

¡     配置AP型号及序列号。

¡     配置AP名称为AP3。

¡     配置AP型号及序列号。

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的Radio 2射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的Radio 2射频。

¡     进入AP 3的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 3的Radio 2射频。

(3)     配置负载均衡

单击左侧导航栏的“无线配置 > 射频管理 > 负载均衡”,进入“负载均衡”页面,配置步骤为:

¡     点击“全局配置”的“更多”按钮进入“详细信息”页面,选择状态为“开启”。

¡     选择模式为“流量模式”。

¡     配置流量门限值为20,流量差值门限值为10。

¡     进入负载均衡组配置页面,创建负载均衡组1

¡     将AP 1的Radio 2和AP 2的Radio 2绑定到负载均衡组中。

4. 验证配置

AP 1的Radio 2和AP 2的Radio 2在同一个负载均衡组中,AP 3的Radio 2没有加入负载均衡组。由于负载均衡只对组内的Radio生效,所以AP 3的Radio 2不参与负载均衡。

当AP 1的Radio 2上的流量达到50Mbps,并且与AP 2的Radio 2上的流量差值达到或超过25Mbps时,开始运行负载均衡。通过单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,进入“客户端信息”页面,可以查看到AP 1的Radio 2和AP 2的Radio 2上关联的客户端数量达到均衡。

1.4.11  带宽模式的负载均衡组配置举例

1. 组网需求

AC连接了三个AP,这三个AP的radio覆盖区域有重叠,为了对这三个AP上Radio的接入载荷进行负载均衡,有以下要求:

·     负载均衡的评判依据为Radio的带宽值。

·     仅需要对AP 1的Radio 2和AP 2的Radio 2进行负载均衡。

·     当Radio上的带宽达到或超过12Mbps,并且与另一个Radio上的带宽差值达到或超过3Mbps,开始运行负载均衡。

2. 组网图

图1-22 带宽模式的负载均衡组网图

 

3. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为bandwidth-balance。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

¡     配置AP名称为AP2。

¡     配置AP型号及序列号。

¡     配置AP名称为AP3。

¡     配置AP型号及序列号。

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的Radio 2射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的Radio 2射频。

¡     进入AP 3的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 3的Radio 2射频。

(3)     配置负载均衡

单击页面左侧导航栏的“无线配置 > 射频管理 > 负载均衡”,进入“负载均衡”页面,配置步骤为:

¡     点击“全局配置”的“更多”按钮进入“详细信息”页面,选择状态为“开启”。

¡     选择模式为“带宽模式”。

¡     配置带宽门限值为12Mbps,带宽差值门限值为3Mbps。

¡     进入负载均衡组配置页面,创建负载均衡组1

¡     将AP 1的Radio 2和AP 2的Radio 2绑定到负载均衡组中。

4. 验证配置

AP 1的Radio 2和AP 2的Radio 2在同一个负载均衡组中,AP 3的Radio 2没有加入负载均衡组。由于负载均衡只对组内的Radio生效,所以AP 3的Radio 2不参与负载均衡。

当AP 1的Radio 2上的带宽达到或超过12Mbps,并且与AP 2的Radio 2上的带宽差值达到或超过3Mbps,开始运行负载均衡。通过单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,进入“客户端信息”页面,可以查看到AP 1的Radio 2和AP 2的Radio 2上关联的客户端数量达到均衡。

1.4.12  频谱导航配置举例

1. 组网需求

图1-23所示,AP通过交换机与AC相连,并开启5GHz射频和2.4GHz射频。由于网络中有些客户端仅支持2.4GHz频段,有些客户端支持双频,就有可能导致2.4GHz射频过载,5GHz射频相对空余。为了防止上述情况的出现,平衡两个频段的射频负载,开启频谱导航功能。

图1-23 频谱导航配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为band-navigation。

¡     开启无线服务。

¡     关闭快速关联。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的5GHz射频和2.4GHz射频。

(3)     配置频谱导航

单击页面左侧导航栏的“无线配置 > 射频管理 >频谱导航”,进入“频谱导航”页面,配置步骤为:

¡     在“全局配置”页面,配置全局频谱导航状态为开启,频谱导航负载均衡的连接数门限为5,连接数差值门限为2。

¡     在“AP配置”页面,配置AP1频谱导航状态为开启。

3. 验证配置

当支持双频的客户端准备接入无线网络时,会优先接入至AP的5GHz射频上。

但是如果5GHz射频上的客户端数量达到或超过5,并且与2.4GHz射频上的客户端数量差值达到或超过2,客户端会优先接入AP的2.4GHz射频上。

单击页面左侧导航栏的“监控 > 客户端 > 客户端信息”,进入“客户端”页面,可以查看到AP 1的5GHz射频和2.4GHz射频上关联的客户端数量处于均衡状态。

1.5  无线安全配置举例

1.5.1  WIPS分类与反制配置举例

1. 组网需求

图1-24所示,AP通过交换机与AC相连,AP 1和AP 2为Client提供无线服务,SSID为“abc”,在Sensor上开启WIPS功能,配置分类策略,将非法客户端的MAC地址(000f-1c35-12a5)添加到静态禁用列表中,将SSID“abc”添加到静态信任列表中,要求对检测到的潜在外部AP和非授权客户端进行反制。

图1-24 WIPS分类与反制组网图

 

2. 配置步骤

(1)     配置手工AP。

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     创建AP名称为AP1、AP2和Sensor。

¡     配置AP的型号、序列号。

¡     在AP1和AP2上绑定SSID为“abc”的无线服务。

(2)     配置WIPS功能。

单击页面左侧导航栏的“无线配置 > 无线安全 > WIPS”,进入“WIPS”页面,配置步骤为:

¡     在配置虚拟安全域的框里单击右上角的“+”:创建虚拟安全域VSD_1。

¡     单击开启WIPS,编辑名称为Sensor的AP,选择开启WIPS的射频接口,并加入虚拟安全域VSD_1中。

¡     单击分类策略,创建分类策略class1,将Client 2的MAC地址配置为禁用MAC地址,将SSID abc添加到信任SSID中。

¡     单击反制策略,创建反制策略protect,反制未授权客户端和潜在外部AP。

¡     编辑虚拟安全域VSD_1,应用分类策略class1和反制策略protect。

3. 验证配置

·     单击页面左侧导航栏的“监控 > 无线安全 > WIPS”,进入“WIPS”页面,在设备信息页面中可以查看无线设备的分类结果,在虚拟安全域VSD_1,MAC地址为000f-e223-1616的AP被分类成潜在外部AP,MAC地址为000f-1c35-12a5的客户端被分类为未授权的客户端。

·     单击页面左侧导航栏的“监控 > 无线安全 > WIPS”,进入“WIPS”页面,在反制记录页面中可以查看反制过的设备记录信息,在虚拟安全域VSD_1,MAC地址为000f-1c35-12a5的未授权客户端和MAC地址为000f-e223-1616的潜在外部AP被反制。

1.5.2  WIPS畸形报文检测和泛洪攻击检测配置举例

1. 组网需求

图1-25所示,AP通过交换机与AC相连,将两台AP分别配置为Sensor,配置虚拟安全域VSD_1,并配置两台Sensor属于这个虚拟安全域,当检测到攻击者对无线网络进行IE重复的畸形报文或Beacon帧泛洪攻击时,AP向AC发送告警信息。

图1-25 畸形报文检测和泛洪攻击检测组网图

 

2. 配置步骤

(1)     配置手工AP。

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面,配置步骤为:

¡     创建AP名称为Sensor 1和Sensor 2。

¡     配置AP的型号、序列号。

(2)     配置WIPS功能。

单击页面左侧导航栏的“无线配置 > 无线安全 > WIPS”,进入“WIPS”页面,配置步骤为:

¡     在配置虚拟安全域的框里单击右上角的“+”:创建虚拟安全域VSD_1。

¡     单击开启WIPS,编辑名称为Sensor 1和Sensor 2的AP,选择开启WIPS的射频接口,并加入虚拟安全域VSD_1。

¡     单击攻击检测策略,创建攻击检测策略,配置当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,向AC发送日志信息或告警信息。检测IE重复的畸形报文的静默时间为50秒,检测Beacon帧的统计周期为100秒,触发阈值为200,静默时间为50秒。

¡     编辑虚拟安全域VSD_1,应用攻击检测策略。

3. 验证配置

·     单击页面左侧导航栏的“监控 > 无线安全 > WIPS”,进入“WIPS”页面,当网络中没有攻击者时,查看攻击统计信息,畸形报文和泛洪报文的统计个数为0。

·     单击页面左侧导航栏的“监控 > 无线安全 > WIPS”,进入“WIPS”页面,当检测到IE重复的畸形报文和Beacon帧泛洪攻击时,查看攻击统计信息,可以查看到IE重复的畸形报文和Beacon帧泛洪攻击的统计个数。

1.5.3  Signature检测配置举例

1. 组网需求

图1-26所示,AP通过交换机与AC相连,AP1和AP2为Client提供无线服务,SSID为“abc”,在Sensor上开启WIPS功能,配置Signature检测,检测无线环境中是否存在其他的无线服务,对SSID不是abc的Beacon帧进行检测,Sensor向AC发送告警信息。

2. 组网图

图1-26 WIPS的攻击检测组网图

 

3. 配置步骤

(1)     配置手工AP。

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     创建AP名称为AP1、AP2和Sensor。

¡     配置AP的型号、序列号。

¡     在AP1和AP2上绑定SSID为“abc”的无线服务。

(2)     配置WIPS功能。

单击页面左侧导航栏的“无线配置 > 无线安全 > WIPS”,进入“WIPS”页面,配置步骤为:

¡     在配置虚拟安全域的框里单击右上角的“+”:创建虚拟安全域VSD_1。

¡     单击开启WIPS,编辑名称为Sensor的AP,选择开启WIPS的射频接口,并加入虚拟安全域VSD_1中。

¡     单击Signature规则,创建Signature规则1,配置子规则对SSID不是abc的Beacon帧进行检测。

¡     单击Signature策略,创建Signature策略sig1,应用Signature规则1,配置检测间隔为5秒,发出告警后的静默时间为60秒,统计次数的阈值为60。

¡     编辑虚拟安全域VSD_1,应用Signature策略。

4. 验证配置

·     当检测到SSID为“free_wlan”的无线服务后,AC会收到Sensor发送的告警信息。

·     查看Signature检测统计信息,可以查看到Signature检测的统计个数。

1.6  漫游配置举例

1.6.1  AC内漫游配置举例

1. 组网需求

图1-27所示,仅有一台AC,要求客户端在AC内的不同AP间进行漫游。

图1-27 AC内漫游配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面配置无线服务,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为roaming。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的射频。

3. 验证配置

单击页面左侧导航栏的“无线配置 > 漫游 > 漫游组”,进入“客户端漫游轨迹”页面,查看客户端漫游信息。

1.6.2  AC间漫游配置举例

1. 组网需求

图1-28所示,在一个无线网络中,有两台AC,现要求客户端可以在AC内漫游,也可以跨AC漫游。

图1-28 AC间漫游配置组网图

 

2. 配置步骤

(1)     配置AC 1

# 配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面配置无线服务,配置步骤为:

¡     创建一个无线服务,名称为service的。

¡     配置SSID为roaming。

¡     开启无线服务。

# 配置AP

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面配置AP,配置步骤为:

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的射频。

¡     进入AP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 2的射频。

# 配置漫游组

单击页面左侧导航栏的“无线配置 > 漫游 > 漫游组”,进入“漫游组”页面配置漫游功能,配置步骤为:

¡     创建名称为office的漫游组。

¡     选择隧道IP地址类型为IPv4。

¡     配置隧道的源IPv4地址为10.0.0.1。

¡     添加漫游组成员IPv4地址为10.0.0.2。

¡     配置漫游组状态为开启。

(2)     配置AC 2

# 配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面配置无线服务,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为roaming。

¡     开启无线服务。

# 配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     进入AP 3的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 3的射频。

¡     进入AP 4的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 4的射频。

# 配置漫游组

单击页面左侧导航栏的“无线配置 > 漫游 > 漫游组”,进入“漫游组”页面配置漫游,配置步骤为:

¡     创建名称为office的漫游组。

¡     选择隧道IP地址类型为IPv4。

¡     配置隧道的源IPv4地址为10.0.0.2。

¡     添加漫游组成员IPv4地址为10.0.0.1。

¡     配置漫游组状态为开启。

3. 验证配置

单击页面左侧导航栏的“无线配置 > 漫游 > 漫游组”,进入“客户端漫游轨迹”页面,查看客户端漫游信息。

1.7  应用配置举例

1.7.1  Mesh服务配置举例

1. 组网需求

组建一个Mesh网络,MPP通过交换机与AC连接,在MPP和MAP 1、MPP和MAP 2之间使用射频工作模式为802.11n(5GHz),工作信道号为149来建立Mesh链路,客户端能够通过MAP接入网络并访问网络资源。

图1-29 集中式Mesh网络配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为mesh-network。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为MPP,配置AP型号及序列号。

¡     配置AP名称为MAP1,配置AP型号及序列号。

¡     配置AP名称为MAP2,配置AP型号及序列号。

分别进入MPP、MAP 1、MAP 2的配置页面,在“无线服务配置”页面中将无线服务service绑定到MPP、MAP 1、MAP 2的射频1。

(3)     配置Mesh Profile

单击页面左侧导航栏的“无线配置 > 应用 > Mesh服务”,在“Mesh服务”页面的“Mesh Profile”栏中点击“+”进入“新增Profile”页面,配置步骤为:

¡     指定Profile索引为1

¡     指定Profile状态为开启。

¡     指定Mesh ID1

¡     指定身份认证和密钥管理模式为SAE,勾选“使用密钥”并输入密钥12345678

¡     其它配置项为缺省配置。

(4)     配置将Mesh Profile绑定到射频

单击页面左侧导航栏的“无线配置 > 应用 > Mesh服务”,在“Mesh服务”页面的“绑定信息”栏中点击“更多”按钮进入“绑定信息”页面,对MPPMAP 1MAP 2进行绑定操作,绑定的Profile索引为1

(5)     配置MPP停止发送邻居探测请求

单击页面左侧导航栏的“无线配置 > 应用 > Mesh服务”,在“Mesh服务”页面的“邻居探测请求发送功能”栏中点击“更多”按钮进入“邻居探测请求发送功能”页面,开启MPP的邻居探测请求发送功能。

(6)     配置邻居白名单

单击页面左侧导航栏的“无线配置 > 应用 > Mesh服务”,在“Mesh服务”页面的“邻居白名单统计”栏中点击“更多”按钮进入“邻居白名单统计”页面,配置步骤为:

¡     配置MAP 1的邻居白名单表项为MPPMAC地址,使MAP1仅与MPP建立Mesh连接,以避免环路的产生。

¡     配置MAP 2的邻居白名单表项为MPPMAC地址,使MAP2仅与MPP建立Mesh连接,以避免环路的产生。

(7)     配置射频模式和工作信道

单击页面左侧导航栏的“无线配置 > 射频管理 > 射频配置”,进入“射频配置”页面。在“所有AP的射频”栏中分别选择MPPMAP 1MAP 2的5GHz射频进行编辑,配置步骤为:

¡     配置射频模式为802.11n(5GHz)。

¡     配置工作信道为149。

¡     开启射频。

3. 验证配置

Mesh网络建立完成后,当客户端接入网络并访问网络资源时,可通过Mesh链路统计信息页面查看到Mesh链路上的报文统计信息。

1.7.2  组播优化配置举例

1. 组网需求

AC与组播源相连,AP通过交换机与AC相连。在Switch上开启DHCP server功能,为AP和客户端分配IP地址。Client 1、Client 2与Client 3进行无线接入。

·     AP为Client 1~Client 3提供SSID为service的无线接入服务。

·     开启组播优化功能,控制组播优化表项。

图1-30 组播优化配置组网图

 

2. 配置步骤

(1)     配置无线服务

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     创建一个无线服务,名称为service。

¡     配置SSID为service。

¡     开启无线服务。

(2)     配置AP

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面,配置步骤为:

¡     配置AP名称为AP 1。

¡     配置AP型号及序列号。

进入AP 1的配置页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的射频1。

(3)     配置组播优化功能

单击页面左侧导航栏的“无线配置 > 应用 > 组播优化”,进入“组播优化”页面,单击“IPv4组播优化”的“更多”按钮,进入“IPv4组播优化状态”页面,配置步骤为:

在“IPv4组播优化状态”页签下,开启无线服务service的组播优化功能。

在“IPv4组播优化高级配置”页签下,配置以下参数:

¡     组播优化表项的老化时间为300秒。

¡     组播优化表项数量最大为1024个,为单个客户端维护的表项数量最多为256个。

¡     限制组播优化客户端数量为2,超出限制数的无线客户端的报文直接丢弃。

¡     设备每60秒最多学习100个无线IGMP报文。

3. 验证配置

Client 1和Client 2先后接入到SSID名称为service的无线服务中,请求组播源,加入该组播源所在的组播组。Client 1和Client 2都加入到了组地址为230.1.1.1、源地址为1.1.1.1的组播组中,并且都收到了所请求的数据流,组播优化功能正常运行。当Client 3加入组地址为230.1.1.1、源地址为1.1.1.1的组播组时,由于客户端数量超过设置的阈值,所以Client1、Clinet2、Client 3无法收到所请求的数据流。

1.7.3  无线定位服务配置举例

1. 组网需求

图1-31所示的无线环境中,通过AP 1、AP 2和AP 3搜集Tag和Mobile设备的定位信息,然后提供给定位服务器进行定位。

图1-31 无线定位配置组网组

 

2. 配置步骤

(1)     配置定位服务器

¡     在定位服务器上手工配置AP 1~AP 3的IP地址,或者选择广播方式发现AP。

¡     在定位服务器上完成和定位相关的配置。

(2)     配置AP

在AC上,对AP 1~AP 3进行配置。这里以AP 1为例。

单击页面左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面配置无线服务,配置步骤为:

¡     创建一个无线服务,名称为market。

¡     开启无线服务。

单击页面左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

¡     配置AP名称为AP1。

¡     配置AP型号及序列号。

¡     进入AP 1的配置页面,在“无线服务配置”页面中将无线服务market绑定到AP 1的Radio1射频。

单击页面左侧导航栏的“无线配置 > 应用 > 无线定位”,进入“无线定位”页面配置无线定位,配置步骤为:

¡     单击“全局配置”的“更多”按钮,在“Aeroscout定位配置”页面下开启Aeroscout定位。

¡     单击“AP配置”的“更多”按钮,对AP1进行编辑,在“通用配置”页面下开启忽略Beacon帧功能。在Aeroscout定位配置下,开启Aeroscout定位功能,配置Radio1为开启并且客户端类型选择Mobile设备和TAG设备。

3. 验证配置

在图形软件上用户可以通过地图、表格或者报告等形式获取到无线网络中MU和Tag设备的位置。


2 网络功能配置举例

2.1  接口配置举例

2.1.1  二层以太网静态链路聚合配置举例

1. 组网需求

·     AC 1与AC 2通过各自的二层以太网接口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。

·     在AC 1和AC 2上分别配置二层静态链路聚合组,以提高链路的可靠性。

图2-1 以太网链路聚合配置组网图

 

2. 配置步骤

(1)     配置以太网链路聚合

单击页面左侧导航栏的“网络配置 > 接口 > 链路聚合”,进入“链路聚合”页面配置链路聚合,配置步骤为:

¡     在AC 1上添加二层聚合组1,指定聚合模式为静态聚合,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入到该聚合组中。

¡     AC 2配置与AC 1相同。

(2)     配置VLAN

单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面配置VLAN,配置步骤为:

¡     在AC 1上创建VLAN 10。进入VLAN 10的详情页面,将与Host A相连的接口GigabitEthernet1/0/4加入VLAN 10的Untagged端口列表,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表,将聚合接口BAGG1加入到VLAN 10的Tagged端口列表。

¡     AC 2配置与AC 1相同。

3. 验证配置

完成上述配置后,在“链路聚合”页面中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/3已经加入到静态聚合组1。Host A能够Ping通Host B。AC 1与AC 2之间的一条链路故障后,Host A仍然能够Ping通Host B。

2.1.2  二层以太网动态链路聚合配置举例

1. 组网需求

·     AC 1与AC 2通过各自的二层以太网接口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互连接。

·     在AC 1和AC 2上分别配置二层动态链路聚合组,以提高链路的可靠性。

图2-2 以太网链路聚合配置组网图

 

2. 配置步骤

(1)     配置以太网链路聚合

单击页面左侧导航栏的“网络配置 > 接口 > 链路聚合”,进入“链路聚合”页面配置链路聚合,配置步骤为:

¡     在AC 1上添加二层聚合组1,指定聚合模式为动态聚合,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入到该聚合组中。

¡     AC 2配置与AC 1相同。

(2)     配置VLAN

单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面配置VLAN,配置步骤为:

¡     在AC 1上创建VLAN 10。进入VLAN 10的详情页面,将与Host A相连的接口GigabitEthernet1/0/4加入VLAN 10的Untagged端口列表,将接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表,将聚合接口BAGG1加入到VLAN 10的Tagged端口列表。

¡     AC 2配置与AC 1相同。

3. 验证配置

完成上述配置后,在“链路聚合”页面中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/3已经加入到动态聚合组1。Host A能够Ping通Host B。AC 1与AC 2之间的一条链路故障后,Host A仍然能够Ping通Host B。

2.1.3  PPPoE Client配置举例

1. 组网需求

AC作为PPPoE客户端通过GE1/0/1连接到网络,要求:

·     PPPoE服务器与设备路由可达,GE1/0/1为三层物理口。

·     PC通过Telnet设备的GE1/0/2 IP连接到Web页面。

图2-3 PPPoE Client组网图

 

2. 配置步骤

说明

“链路空闲超时断线”中所设置的空闲时长为发报文空闲时长。

 

# PPPoE服务器为设备分配用户名和密码。(略)

# 配置PPPoE客户端。

单击页面左侧导航栏的“网络配置 > 接口 > PPPoE”,进入“PPPoE”配置页面。配置步骤为:

(1)     点击左侧按钮,进入添加配置页面。

(2)     选择需配置的三层物理接口,组网中为GE1/0/1。

(3)     输入用户名和密码,并选择在线方式。

(4)     选择开启NAT地址转换功能,并点击<确定>,完成配置。

3. 验证配置

完成上述配置,查看GigabitEthernet1/0/1接口通过PPPoE拨号方式已获取到地址。

2.2  链路配置举例

2.2.1  DHCP Snooping配置举例

1. 组网需求

AC通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过以太网端口GigabitEthernet1/0/2连接到AP。要求:

·     与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。

·     记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。

图2-4 DHCP Snooping配置组网图

 

2. 配置步骤

# 配置DHCP服务器。(略)

# 配置AC基本功能。(略)

# 配置DHCP Snooping。

单击页面左侧导航栏的“网络配置 > 链路 > DHCP Snooping”,进入“DHCP Snooping”页面配置DHCP Snooping,配置步骤为:

·     开启DHCP Snooping功能。

·     设置GigabitEthernet1/0/1端口为信任端口。

·     在GigabitEthernet1/0/2上启用DHCP Snooping表项记录功能。

3. 验证配置

配置完成后,在AC上可查询到获取到的DHCP Snooping表项。

2.3  路由配置举例

2.3.1  IPv4静态路由基本功能配置举例

1. 组网需求

AC各接口和无线客户端的IP地址和掩码如图2-5所示。要求采用静态路由,使图中任意无线客户端之间都能互通。

图2-5 IPv4静态路由配置组网图

 

2. 配置步骤

单击页面左侧导航栏的“网络配置 > 路由 > 静态路由”,进入“静态路由”页面配置IPv4静态路由。三台AC上的配置分别为:

·     在AC A上创建一条IPv4静态路由表项,指定目的IP地址为0.0.0.0,掩码长度为0,下一跳地址为1.1.4.2,该路由用来匹配所有的目的IP地址。

·     在AC B上创建到达Client C所在网段和Client A所在网段的两条IPv4静态路由表项:

¡     到达Client C所在网段的路由:目的IP地址为1.1.3.0,掩码长度为24,下一跳地址为1.1.5.6;

¡     到达Client A所在网段的路由:目的IP地址为1.1.2.0,掩码长度为24,下一跳地址为1.1.4.1。

·     在AC C上创建一条IPv4静态路由表项,指定目的IP地址为0.0.0.0、掩码长度为0、下一跳地址为1.1.5.5,该路由用来匹配所有的目的IP地址。

3. 验证配置

完成上述配置后,在任意一台无线客户端上都可以ping通另外两台无线客户端。

2.3.2  IPv6静态路由基本功能配置举例

1. 组网需求

AC各接口和无线客户端的IPv6地址和前缀长度如图2-6所示。要求采用静态路由,使图中任意无线客户端之间都能互通。

图2-6 IPv6静态路由配置组网图

 

2. 配置步骤

单击页面左侧导航栏的“网络配置 >路由 > 静态路由”,进入“静态路由”页面配置IPv6静态路由。三台AC上的配置分别为:

·     在AC A上创建一条IPv6静态路由表项,指定目的IPv6地址为::,前缀长度为0,下一跳地址为4::2,该路由用来匹配所有的目的IPv6地址。

·     在AC B上创建到达Client C所在网段和Client A所在网段的两条IPv6静态路由表项:

¡     到达Client C所在网段的路由:目的IPv6地址为3::2,前缀长度为64,下一跳地址为5::1;

¡     到达Client A所在网段的路由:目的IPv6地址为1::2,前缀长度为64,下一跳地址为4::1。

·     在AC C上创建一条IPv6静态路由表项,指定目的IPv6地址为::,前缀长度为0,下一跳地址为5::2,该路由用来匹配所有的目的IPv6地址。

3. 验证配置

完成上述配置后,在任意一台无线客户端上都可以ping通另外两台无线客户端。

2.4  IP配置举例

2.4.1  内网用户通过NAT地址访问外网(动态地址转换)

1. 组网需求

·     某公司内网使用的IP地址为192.168.0.0/16。

·     该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。

·     需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。

图2-7 内网用户通过NAT访问外网

 

2. 配置步骤

单击页面左侧导航栏的“网络配置 > IP > NAT”,进入“NAT”页面,在“动态转换”页签下,进行配置,配置步骤为:

·     添加NAT动态转换规则,并指定ACL 2000,该ACL仅允许源IP地址为192.168.1.0、通配符掩码为0.0.0.255的网段的用户进行地址转换。

·     添加编号为0的NAT地址组,起始IP地址为202.38.1.2,结束IP地址为202.38.1.3。

·     在接口Vlan-interface20上应用上述的NAT动态转换规则。

3. 验证配置

以上配置完成后,Client A能够访问WWW server,Client B无法访问WWW server。

2.4.2  内网用户通过NAT地址访问外网(静态地址转换)

1. 组网需求

内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

图2-8 静态地址转换典型配置组网图

 

2. 配置步骤

单击页面左侧导航栏的“网络配置 > IP > NAT”,进入“NAT”页面,在“静态转换”页签下,进行配置,配置步骤为:

·     创建一个“一对一转换”策略,指定内网IP地址为10.110.10.8,外网IP地址为202.38.1.100。

·     将创建的策略应用在接口Vlan-interface20上。

3. 验证配置

完成上述配置后,内网Client可以访问外网服务器。

2.4.3  代理ARP配置举例

1. 组网需求

·     Client 1和Client 2配置为同一网段的主机(Client 1的IP地址是192.168.10.100/16,Client 2的IP地址是192.168.20.200/16),但却被设备AC分在两个不同的子网(Client 1属于VLAN 10,Client 2属于VLAN 20)。

·     Client 1和Client 2没有配置缺省网关,要求在设备AC上开启代理ARP功能,使处在两个子网的Client 1和Client 2能互通。

图2-9 代理ARP配置组网图

 

2. 配置步骤

# 创建VLAN 10和VLAN 20,并配置VLAN接口10和VLAN接口20的地址。

单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面配置VLAN,配置步骤为:

·     创建VLAN 10,配置VLAN接口10的IP地址为192.168.10.99/24。

·     创建VLAN 20,配置VLAN接口20的IP地址为192.168.20.99/24。

# 开启VLAN接口10和VLAN接口20的代理ARP功能。

单击页面左侧导航栏的“网络配置 > IP > ARP”,进入“ARP”页面,在“高级设置 > ARP代理”页面开启VLAN接口10和VLAN接口20的代理ARP功能。

3. 验证配置

配置完成后,Client 1和Client 2可以互相ping通。

2.4.4  ARP攻击防御配置举例

1. 组网需求

·     Switch是DHCP服务器;

·     Client 1是DHCP客户端;用户Client 2的IP地址是10.1.1.6,MAC地址是0001-0203-0607。

·     AC是DHCP Snooping设备,在VLAN 10内启用ARP Detection功能,对DHCP客户端和用户进行用户合法性检查和报文有效性检查。

图2-10 配置用户合法性检查和报文有效性检查组网图

 

 

2. 配置步骤

(1)     配置组网图中所有接口属于VLAN 10及Switch对应VLAN接口的IP地址(略)

(2)     配置DHCP服务器(略)

(3)     配置DHCP客户端Client 1和用户Client 2(略)

(4)     配置AC

单击页面左侧导航栏的“网络配置 > IP > DHCPSnooping”,进入“DHCP Snooping”页面,配置步骤为:

¡     开启DHCP Snooping功能。

¡     设置GigabitEthernet1/0/3端口为信任端口。

¡     在GigabitEthernet1/0/1上启用DHCP Snooping表项记录功能。

单击页面左侧导航栏的“网络配置 > IP > ARP”,进入“ARP”页面,在“高级设置 > ARP攻击防御 > ARP Detection”页面开启ARP Detection功能,配置步骤为:

¡     开启VLAN10的ARP Detection功能

# 接口状态缺省为非信任状态,上行接口配置为信任状态,下行接口按缺省配置。

¡     在高级设置页面,设置接口gigabitethernet 1/0/3状态为信任状态

¡     在高级设置页面,开启源MAC地址的检查、目的MAC地址的检查和IP地址的检查

完成上述配置后,对于接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP报文,先进行报文有效性检查,然后基于DHCP Snooping安全表项进行用户合法性检查。

3. 验证配置

完成上述配置后,可在AC的“网络配置 > IP > ARP”页面上看到Client 1的ARP表项,而无法看到Client 2的ARP表项。

2.4.5  静态IPv4 DNS配置举例

1. 组网需求

为了避免记忆复杂的IP地址,AC希望通过便于记忆的主机名访问某一主机。在AC上手工配置IP地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。

在本例中,AC访问的主机IP地址为10.1.1.2,主机名为host.com。

图2-11 静态IPv4 DNS配置举例组网图

 

2. 配置步骤

# 配置主机名host.com对应的IP地址为10.1.1.2。

单击页面左侧导航栏的“网络配置 > IP > IPv4 DNS”,进入“IPv4 DNS”页面配置静态域名解析,配置步骤为:

配置静态域名解析:主机名为host.com,对应的IPv4地址为10.1.1.2。

3. 验证配置

# 在AC上执行ping host.com命令,可以解析到host.com对应的IP地址为10.1.1.2,并能够ping通主机。

2.4.6  动态IPv4 DNS配置举例

1. 组网需求

为了避免记忆复杂的IP地址,AC希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。

在本例中:

·     域名服务器的IP地址是2.1.1.2/16,域名服务器上包含域名“host”和IP地址3.1.1.1/16的对应关系。

·     AC作为DNS客户端,使用动态域名解析功能,将域名解析为IP地址。

·     AC上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.com、IP地址为3.1.1.1/16的主机Host。

图2-12 动态IPv4 DNS配置举例组网图

 

2. 配置步骤

# 在DNS服务器上添加域名host.com和IP地址3.1.1.1的映射关系。(略)

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

# 配置DNS客户端。

单击页面左侧导航栏的“网络配置 > IP > IPv4 DNS”,进入“IPv4 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器地址为2.1.1.2。在高级设置页面,配置域名后缀为com。

3. 验证配置

完成上述配置后,在AC上执行ping host命令,可以解析到host对应的IP地址为3.1.1.1,并能够ping通主机。

2.4.7  IPv4 DNS proxy配置举例

1. 组网需求

某局域网内拥有多台设备,每台设备上都指定了域名服务器的IP地址,以便直接通过域名访问外部网络。当域名服务器的IP地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IP地址,工作量将会非常巨大。

通过DNS proxy功能,可以大大减少网络管理员的工作量。当域名服务器IP地址改变时,只需更改DNS proxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名。

在本例中,具体配置步骤为:

(1)     局域网中的某台设备AC配置为DNS proxy,DNS proxy上指定域名服务器IP地址为真正的域名服务器的地址4.1.1.1。

(2)     局域网中的其他设备上,域名服务器的IP地址配置为DNS proxy的地址,域名解析报文将通过DNS proxy转发给真正的域名服务器。

图2-13 IPv4 DNS proxy配置举例组网图

 

2. 配置步骤

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

(1)     配置DNS服务器。(略)

(2)     配置AC作为DNS proxy。

单击页面左侧导航栏的“网络配置 > IP > IPv4 DNS”,进入“IPv4 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器的IP地址为4.1.1.1。在高级设置页面,开启DNS代理功能。

(3)     配置DNS客户端Client,配置DNS服务器的IP地址为2.1.1.2。

3. 验证配置

在Client上执行ping host.com命令,可以ping通主机,且对应的目的地址为3.1.1.1。

2.5  IPv6配置举例

2.5.1  IPv6地址静态配置举例

1. 组网需求

·     将AP、AC的以太网端口分别加入相应的VLAN里,在VLAN接口上配置IPv6地址,验证它们之间的互通性。

·     AC 的VLAN接口1的全球单播地址为2001::1/64。

·     Client上安装了IPv6,根据IPv6邻居发现协议自动配置IPv6地址。

图2-14 IPv6地址静态配置组网图

 

2. 配置步骤

(1)     配置AC

# 配置无线服务及AP。(略)

(2)     配置IPv6地址

单击页面左侧导航栏的“网络配置 > IPv6 > IPv6”,进入“IPv6”页面配置IPv6地址,手工配置VLAN1接口地址为2001::1,前缀长度为64。

(3)     配置VLAN接口1允许发布RA消息

单击页面左侧导航栏的“网络配置 > IPv6 > ND”,进入“ND”页面,点击“高级设置 > 接口上的RA设置”,允许VLAN接口1发布RA消息。

(4)     配置Client

Client上安装IPv6,根据IPv6邻居发现协议自动配置IPv6地址。

3. 验证配置

在Client上使用Ping测试和AC的互通性;在AC上使用Ping测试和Client的互通性。

2.5.2  静态IPv6 DNS配置举例

1. 组网需求

为了避免记忆复杂的IPv6地址,AC希望通过便于记忆的主机名访问某一主机。在AC上手工配置IPv6地址对应的主机名,利用静态域名解析功能,就可以实现通过主机名访问该主机。

在本例中,AC访问的主机IP地址为1::2,主机名为host.com。

图2-15 静态IPv6 DNS配置举例组网图

 

2. 配置步骤

# 配置主机名host.com对应的IPv6地址为1::2。

单击页面左侧导航栏的“网络配置 > IPv6 > IPv6 DNS”,进入“IPv6 DNS”页面配置静态域名解析,配置步骤为:

配置静态域名解析:主机名为host.com,对应的IPv6地址为1::2。

3. 验证配置

# 在AC上执行ping ipv6 host.com命令,可以解析到host.com对应的IPv6地址为1::2,并能够ping通主机。

2.5.3  动态IPv6 DNS配置举例

1. 组网需求

为了避免记忆复杂的IPv6地址,AC希望通过便于记忆的域名访问某一主机。如果网络中存在域名服务器,则可以利用动态域名解析功能,实现通过域名访问主机。

在本例中:

·     域名服务器的IPv6地址是2::2/64,域名服务器上包含域名“host”和IPv6地址1::1/64的对应关系。

·     AC作为DNS客户端,使用动态域名解析功能,将域名解析为IPv6地址。

·     AC上配置域名后缀com,以便简化访问主机时输入的域名,例如通过输入host即可访问域名为host.com、IPv6地址为1::1/64的主机Host。

图2-16 动态IPv6 DNS配置举例组网图

 

2. 配置步骤

# 在DNS服务器上添加域名host.com和IPv6地址1::1的映射关系。(略)

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

# 配置DNS客户端。

单击页面左侧导航栏的“网络配置 > IPv6 > IPv6 DNS”,进入“IPv6 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器地址为2::2。在高级设置页面,配置域名后缀为com。

3. 验证配置

完成上述配置后,在AC上执行ping ipv6 host命令,可以解析到host对应的IPv6地址为1::1,并能够ping通主机。

2.5.4  IPv6 DNS proxy配置举例

1. 组网需求

某局域网内拥有多台设备,每台设备上都指定了域名服务器的IPv6地址,以便直接通过域名访问外部网络。当域名服务器的IPv6地址发生变化时,网络管理员需要更改局域网内所有设备上配置的域名服务器IPv6地址,工作量将会非常巨大。

通过DNS proxy功能,可以大大减少网络管理员的工作量。当域名服务器IPv6地址改变时,只需更改DNS proxy上的配置,即可实现局域网内设备通过新的域名服务器解析域名。

在本例中,具体配置步骤为:

(1)     局域网中的某台设备AC配置为DNS proxy,DNS proxy上指定域名服务器IPv6地址为真正的域名服务器的地址4000::1

(2)     局域网中的其他设备上,域名服务器的IPv6地址配置为DNS proxy的地址,域名解析报文将通过DNS proxy转发给真正的域名服务器。

图2-17 IPv6 DNS proxy配置举例组网图

 

2. 配置步骤

# 在各设备上配置静态路由或动态路由协议,使得各设备之间路由可达。(略)

(1)     配置DNS服务器。(略)

(2)     配置AC作为DNS proxy。

单击页面左侧导航栏的“网络配置 > IPv6 > IPv6 DNS”,进入“IPv6 DNS”页面配置域名服务器,配置步骤为:

配置域名服务器的IPv6地址为4000::1。在高级设置页面,开启DNS proxy功能。

(3)     配置DNS客户端Client,配置DNS服务器的IPv6地址为2000::2。

3. 验证配置

在Client上执行ping ipv6 host.com命令,可以ping通主机,且对应的目的地址为3000::1。

2.6  组播配置举例

2.6.1  IGMP Snooping配置举例

1. 组网需求

·     如图2-18所示,在一个没有三层网络设备的纯二层网络中,组播源Source 1向组播组224.1.1.1发送组播数据,Host A和Host B都是该组播组的接收者,且都使用IGMPv2。

·     由于该网络中没有可运行IGMP的三层网络设备,因此由AC来充当IGMP查询器,并将其发出的IGMP查询报文的源IP地址配置为非0.0.0.0,以免影响AC和交换机上IGMP snooping转发表项的建立从而导致组播数据无法正常转发。

·     为防止AC和交换机在没有相应转发表项时将组播数据在VLAN内广播,在所有设备上都开启丢弃未知组播数据报文功能。

图2-18 IGMP Snooping配置组网图

 

 

2. 配置步骤

(1)     配置AC作为IGMP查询器

单击页面左侧导航栏的“网络配置 >组播 > IGMPSnooping”,进入“IGMP Snooping”页面配置IGMP Snooping,配置步骤为:

¡     开启IGMP Snooping功能。

¡     在VLAN 10内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能和充当IGMP查询器功能,然后将普遍组查询报文和特定组查询报文的源IP地址都配置为192.168.1.10。

(2)     配置Switch A和Switch B,在两台交换机的VLAN 10内开启版本2的IGMP snooping,并开启丢弃未知组播数据报文功能。

3. 验证配置

完成上述配置,并且接收者申请加入组播组224.1.1.1之后,在页面上可以看到该组播组对应的IGMP snooping转发表项。

2.6.2  MLD Snooping配置举例

1. 组网需求

·     如图2-19所示,在一个没有三层网络设备的纯二层网络中,组播源Source 1向IPv6组播组FF1E::101发送IPv6组播数据,Host A和Host B都是该IPv6组播组的接收者,且都使用MLDv1。

·     由于该网络中没有可运行MLD的三层网络设备,因此由AC来充当MLD查询器。

·     为防止AC和交换机在没有相应转发表项时将IPv6组播数据在VLAN内广播,在所有设备上都开启丢弃未知IPv6组播数据报文功能。

图2-19 MLD Snooping配置组网图

 

 

2. 配置步骤

(1)     配置AC作为MLD查询器

单击页面左侧导航栏的“网络配置 > 组播 > MLDSnooping”,进入“MLD Snooping”页面配置MLD Snooping,配置步骤为:

¡     开启MLD Snooping功能。

¡     在VLAN 10内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能和充当MLD查询器功能。

(2)     配置Switch A和Switch B,在两台交换机的VLAN 10内开启版本1的MLD snooping,并开启丢弃未知IPv6组播数据报文功能。

3. 验证配置

完成上述配置,并且接收者申请加入IPv6组播组FF1E::101之后,在页面上可以看到该IPv6组播组对应的MLD snooping转发表项。

2.7  管理协议配置举例

2.7.1  DHCP服务器动态分配地址配置举例

1. 组网需求

·     作为DHCP服务器的AC为网段10.1.1.0/24中的AP和客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25;

·     AC的两个VLAN接口,VLAN接口10和VLAN接口20的地址分别为10.1.1.1/25和10.1.1.129/25;

·     为AP分配10.1.1.0/25网段的IP地址,为DHCP client分配10.1.1.128/25网段的IP地址。

图2-20 DHCP动态分配地址配置组网图

 

2. 配置步骤

# 在AC上创建VLAN 10和VLAN 20,并配置VLAN接口10和VLAN接口20的地址。

单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面创建VLAN并配置VLAN接口,配置步骤为:

·     创建VLAN10,配置VLAN接口10的IP地址为10.1.1.1/25。

·     创建VLAN20,配置VLAN接口20的IP地址为10.1.1.129/25。

# 配置DHCP服务器。

单击左侧导航栏的“网络配置 > 管理协议 > DHCP”,进入“DHCP”页面配置DHCP服务器,配置步骤为:

·     开启DHCP服务。

·     配置VLAN接口10和VLAN接口20工作在DHCP服务器模式。

·     在地址池页面,创建名称为pool1的地址池,配置该地址池动态分配的地址段为10.1.1.0/25,在地址池选项中配置网关地址为10.1.1.1。

·     在地址池页面,创建名称为pool2的地址池,配置该地址池动态分配的地址段为10.1.1.128/25,在地址池选项中配置网关地址为10.1.1.129。

·     在高级设置页面,配置冲突地址检查功能中的发送回显请求报文的最大数目为1,等待回显响应报文的超时时间为500毫秒。

# 配置无线服务。

单击左侧导航栏的“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面配置无线服务,配置步骤为:

·     创建一个无线服务,名称为service。

·     配置SSID为office。

·     配置缺省VLAN为20。

·     开启无线服务。

# 配置AP。

单击左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP,配置步骤为:

·     添加一个AP,配置AP名称为AP 1,配置AP型号及序列号。

·     进入“高级设置”页面,在“无线服务配置”页面中将无线服务service绑定到AP 1的5GHz射频。

# 配置AP射频。

单击“左侧导航栏的“无线配置 > AP管理 > AP”,进入“AP”页面配置AP 1的5GHz射频状态为开启。

3. 验证配置

配置完成后,10.1.1.0/25和10.1.1.128/25网段的AP和客户端可以从DHCP服务器AC申请到相应网段的IP地址和网络配置参数。

2.7.2  DHCP中继配置举例

1. 组网需求

·     DHCP客户端所在网段为10.10.1.0/24,DHCP服务器的IP地址为10.1.1.1/24;

·     由于DHCP客户端和DHCP服务器不在同一网段,因此,需要在客户端所在网段设置DHCP中继设备,以便客户端可以从DHCP服务器申请到10.10.1.0/24网段的IP地址及相关配置信息;

·     AC作为DHCP中继通过端口(属于VLAN10)连接到DHCP客户端所在的网络,VLAN接口10的IP地址为10.10.1.1/24,VLAN接口20的IP地址为10.1.1.2/24。

图2-21 组网图

 

2. 配置步骤

# 配置各接口的IP地址。(略)

# 配置DHCP服务器。(略)

# 配置AC基本功能。(略)

# 配置DHCP中继。

单击页面左侧导航栏的“网络配置 > 管理协议 > DHCP”,进入“DHCP”页面配置DHCP中继,配置步骤为:

·     开启DHCP服务。

·     配置VLAN接口10为DHCP中继。

·     配置DHCP服务器IP地址为10.1.1.1。

3. 验证配置

配置完成后,DHCP客户端可以通过DHCP中继从DHCP服务器获取IP地址及相关配置信息。

2.7.3  NTP配置举例

1. 组网需求

·     AC 1采用本地时钟作为参考时钟,使得自己的时钟处于同步状态。

·     AC 1作为时间服务器为Device B提供时间同步。

图2-22 NTP配置组网图

 

2. 配置步骤

(1)     配置NTP服务器AC 1

进入AC 1,单击页面左侧导航栏的“网络配置 > 管理协议 > NTP”,进入“NTP”页面配置NTP服务器,配置步骤为:

·     开启NTP服务。

·     配置本地时钟的IP地址为127.127.1.0。

·     配置本地时钟所处的层数为2。

(2)     配置NTP客户端AC 2

单击页面左侧导航栏的“系统 > 设备管理 > 系统设置”,进入“系统设置”页面配置系统时间,配置步骤为:

·     选择自动同步系统时间,采用的协议为网络时间协议(NTP)。

·     指定NTP服务器(即时钟源)的IP地址为1.0.1.11,并指定时钟源工作在服务器模式。

3. 验证配置

完成上述配置后,AC 2与AC 1进行时间同步。此时AC 2层数比AC 1的层数大1,为3。


3 网络安全配置举例

3.1  访问控制配置举例

3.1.1  通过ACL进行包过滤配置举例

1. 组网需求

某公司要求,允许总裁办在任意时间、财务部在工作时间(每周工作日的8点到18点)访问财务数据库服务器,禁止其它部门在任何时间、财务部在非工作时间访问该服务器。

图3-1 通过ACL进行包过滤配置组网图

 

2. 配置步骤

单击左侧导航栏“网络安全 > 流策略 > 包过滤”,进入包过滤配置页面。配置步骤为:

·     创建接口包过滤策略,在AC的VLAN接口100的出方向上指定包过滤规则为IPv4 ACL。

·     创建IPv4高级ACL 3000,并按顺序制定三条规则:

¡     允许协议类型为256(IP),源IP为192.168.1.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0的报文通过。

¡     创建周期时间段work,指定开始时间为08:00,结束时间为18:00,生效时间为每周一、周二、周三、周四和周五。允许协议类型为256(IP),源IP为192.168.2.0、通配符掩码为0.0.0.255,目的IP为192.168.0.100、通配符掩码为0,生效时间段为work的报文通过。

¡     拒绝协议类型为256(IP),目的IP为192.168.0.100、通配符掩码为0的报文通过。

·     开启ACL规则的匹配统计功能。

3. 验证配置

完成上述配置后,在页面上可以看到已经创建的IPv4高级ACL的规则状态和命中报文数。总裁办主机在任何时间都可以ping通财务数据库服务器;在工作时间财务部主机可以ping通该服务器;市场部在任何时间都不能ping通该服务器。

3.2  接入认证配置举例

3.2.1  802.1X用户的RADIUS认证配置举例

1. 组网需求

用户接入无线网络,AC对接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     RADIUS服务器作为认证/授权/计费服务器与AC相连,其IP地址为10.1.1.1/24。

·     端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

·     AC对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为dm1X。

·     AC与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。

图3-2 802.1X用户的RADIUS认证配置组网图

 

2. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置RADIUS方案

单击左侧导航栏“网络安全 > AAA > RADIUS”,再单击<添加>按钮,添加RADIUS方案,配置步骤为:

¡     方案名称为802.1X。

¡     指定主认证服务器IP地址为10.1.1.1,端口号为1812,共享密钥为name。设置主认证服务器状态为活动。

¡     指定主计费服务器IP地址为10.1.1.1,端口号为1813,共享密钥为name。设置主计费服务器状态为活动。

¡     在显示高级设置里指定发送给RADIUS服务器的用户名格式为不携带域名。

(3)     配置ISP域

单击左侧导航栏“网络安全 > AAA > ISP域”,进入“ISP域”页面配置,配置步骤为:

¡     添加ISP域,名称为dm1X,并将该ISP域的状态设置为活动。

¡     指定接入方式为LAN接入。

¡     指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择802.1X。

¡     单击<确定>按钮。

(4)     配置802.1X

单击左侧导航栏“无线配置 > 无线服务 > 无线服务配置”,进入无线服务配置页面,单击<添加>按钮,配置步骤为:

¡     基础设置部分配置无线服务名称和SSID。

¡     安全认证部分认证模式选择802.1X认证。

¡     域名为dm1X。

¡     单击<确定>按钮。

(5)     配置RADIUS服务器

在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。

3. 验证配置

(1)     单击左侧导航栏“网络安全 > AAA > RADIUS”,在RADIUS页面上,可以看到已添加成功的RADIUS方案802.1X的概要信息。

(2)     单击左侧导航栏“网络安全 > AAA > ISP域”,在ISP域页面上,可以看到已添加成功的ISP域的dm1X的概要信息。

(3)     用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线。

3.2.2  802.1X用户的本地认证配置举例

1. 组网需求

用户接入无线网络,AC对接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·     AC对802.1X用户采用本地认证,认证域为abc。

·     802.1X用户的认证名为dotuser,认证密码为12345。

图3-3 802.1X用户的本地认证配置组网图

 

2. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置本地用户

单击左侧导航栏“网络安全 > 用户管理 > 本地用户”,进入“本地用户”页面配置,配置步骤为:

¡     添加用户,用户名为dotuser,密码为12345。

¡     指定可用服务为LAN接入。

(3)     配置ISP域

单击左侧导航栏“网络安全 > AAA > ISP域”,进入“ISP域”页面配置,配置步骤为:

¡     添加ISP域,名称为abc,并将该ISP域的状态设置为活动。

¡     指定接入方式为LAN接入。

¡     指定LAN接入AAA方案的认证方法为本地认证,授权方法为本地授权,计费方法为不计费。

(4)     配置802.1X

单击左侧导航栏“无线配置 > 无线服务 > 无线服务配置”,进入无线服务配置页面,配置步骤为:

¡     基础设置部分配置无线服务名称和SSID。

¡     安全认证部分认证模式选择802.1X认证。

¡     域名为abc。

3. 验证配置

(1)     完成上述配置后,单击左侧导航栏“网络安全 > 用户管理 > 本地用户”,在“本地用户”页面上可以看到已成功添加的本地用户。

(2)     单击左侧导航栏“网络安全 > AAA > ISP域”,在“ISP域”页面上可以看到已经成功添加的ISP域。

(3)     用户启动802.1X客户端,输入正确的用户名和密码之后,可以成功上线。

3.2.3  802.1X身份认证与密钥管理模式配置举例

1. 组网需求

·     AP旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。

·     客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。

·     通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。

图3-4 802.1X认证配置组网图

 

2. 配置步骤

说明

·     完成RADIUS服务器的配置,添加用户帐户,用户名为abcedf,密码为123456,并保证用户的认证/授权/计费功能正常运行。

·     完成设备上RADIUS和Domain域的配置。

 

(1)     配置无线服务

单击左侧导航栏“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     单击<添加>按钮,创建一个无线服务,无线服务名称为service1。

¡     配置SSID为service。

¡     无线服务状态选择“开启”。

¡     单击<确定>按钮。

(2)     配置认证模式为802.1X认证

完成上述配置后,会返回“无线服务配置”页面,单击无线名称为“service1”表项后面的<编辑>按钮,再单击页面上方的“链路层认证”,进入认证配置页面,配置步骤为:

¡     选择认证模式为802.1X认证。

¡     选择安全模式为WPA。

¡     选择加密套件为CCMP。

¡     配置域名为dom1。

¡     单击<确定>按钮。

(3)     将无线服务绑定到AP

进入“无线服务配置”页面,配置步骤:

¡     选中创建的无线服务service1,单击“绑定到AP”按钮,进入到“绑定到AP”页面。

¡     选中AP的5GHz射频单元,单击“快速绑定”。

3. 验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

3.2.4  IPv4 Portal直接认证配置举例

1. 组网需求

在本地转发模式下,对通过无线接入的用户采用直接认证方式。

·     无线客户端通过手工配置或DHCP获取的一个公网IP地址进行认证,在通过Portal认证前,只能访问Portal Web服务器;在通过Portal认证后,可以使用此IP地址访问非受限互联网资源。

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证/计费服务器。

图3-5 Portal直接认证配置组网图

 

2. 配置步骤

说明

·     按照组网图配置设备各接口的IP地址,保证启动Portal之前各Client、服务器和AC之间的路由可达。

·     完成RADIUS服务器上的配置,保证用户的认证/计费功能正常运行。

·     完成AP上的配置,保证AP与AC能够互通。

·     完成设备上RADIUS和Domain域的配置。

 

(1)     配置无线服务

单击左侧导航栏“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     单击<添加>按钮,创建一个无线服务,无线服务名称为service1。

¡     配置SSID为service。

¡     无线服务状态选择“开启”。

¡     单击<确定>按钮。

(2)     配置认证模式为Portal认证

完成上述配置后,会返回“无线服务配置”页面,单击无线名称为“service1”表项后面的<编辑>按钮,再单击页面上方的“链路层认证”,进入认证配置页面,配置步骤为:

¡     选择认证模式为IPv4 Portal认证。

¡     配置域名为dm1。

¡     选择Web服务器名称为newpt。

¡     配置BAS-IP为192.168.0.110。

¡     单击<确定>按钮。

(3)     将无线服务绑定到AP

进入“无线服务配置”页面,配置步骤:

¡     选中创建的无线服务service1,单击“绑定到AP”按钮,进入到“绑定到AP”页面。

¡     选中AP的5GHz射频单元,单击“绑定”按钮。

¡     配置绑定到VLAN 2,单击“确定”按钮。

3. 验证配置

配置完成后,查看无线服务详情,可以看到已经创建的名称为service1无线服务以及配置的认证信息。

3.3  来宾管理配置举例

3.3.1  来宾用户管理配置举例

1. 组网需求

在AC上配置来宾管理功能,并为来宾Jack创建来宾用户user1。具体要求如下:

·     为来宾Jack创建一个本地来宾用户user1,并设置密码、所属用户组、个人相关信息、有效期、以及接待人信息。

·     配置设备为来宾用户业务发送电子邮件使用的SMTP服务器地址、发件人地址、来宾管理员的电子邮件地址。

·     配置设备发送给来宾用户、来宾接待人、来宾管理员的邮件标题和内容。

·     来宾用户账户过期后系统自动将其删除。

图3-6 来宾用户管理配置组网图

 

2. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置无线服务(略)

(3)     添加来宾用户

单击页面左侧导航栏的“ 网络安全 > 来宾管理 > 来宾用户”,进入“来宾用户”页面,配置步骤为:

¡     添加用户,账号为user1,密码为123456。

¡     指定来宾用户所属的用户组。(请根据实际需求选择)

¡     配置来宾用户的姓名、公司名称、电子邮箱、联系电话、描述信息。(请根据实际情况配置)

¡     配置来宾接待人的姓名、所属部门、电子邮箱。(请根据实际情况配置)

¡     配置来宾用户的有效期。(请根据实际情况配置)

(4)     配置来宾业务参数

单击页面左侧导航栏的“ 网络安全 > 来宾管理 > 来宾业务参数”,进入“来宾业务参数”页面,配置步骤为:

¡     开启自动删除失效来宾用户功能。

¡     配置发送电子邮件使用的SMTP服务器地址为smtp://192.168.0.112/smtp。

¡     配置发件人电子邮箱为bbb@ccc.com。

¡     配置来宾管理员电子邮箱为guest-manager@ccc.com。

¡     配置发送给来宾用户的通知邮件标题为Guest account information,邮件内容为A guest account has been created for your use. The username, password, and valid dates for the account are given below.。

¡     配置发送给来宾管理员的通知邮件标题为Guest register information,邮件内容为A guest account has been registered. The username for the account is given below. Please approve the register information.。

¡     配置发送给来宾接待人的通知邮件标题为Guest account information,邮件内容为A guest account has been created. The username, password, and valid dates for the account are given below.。

3. 验证配置

Jack使用用户名user1和密码123456在账户有效期内进行本地认证,可以认证通过并接入网络。来宾用户、来宾管理员和来宾接待人可收到来宾用户被创建的通知邮件,邮件标题、内容与配置相同。来宾用户账户过期后系统已自动将其删除。

3.4  BYOD配置举例

3.4.1  BYOD配置举例

1. 组网需求

用户通过AC接入网络, AC对用户进行802.1X认证以控制其访问权限,具体要求如下:

·     802.1X用户的认证名为dotuser,认证密码为12345。

·     AC使用开放式系统对802.1X用户进行本地认证、授权,认证域为abc

·     终端类型为Microsoft Windows 8的802.1X用户通过认证后将被授权访问VLAN 3。

图3-7 支持本地BYOD授权的802.1X用户认证、授权配置组网图

 

2. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置无线服务

单击左侧导航栏“无线配置 > 无线服务 > 无线服务配置”,进入“无线服务配置”页面,配置步骤为:

¡     单击<添加>按钮,创建一个无线服务,无线服务名称为service1。

¡     配置SSID为service。

¡     无线服务状态选择“开启”。

¡     单击<确定>按钮。

(3)     配置认证模式为802.1X认证

完成上述配置后,会返回“无线服务配置”页面,单击无线名称为“service1”表项后面的<编辑>按钮,再单击页面上方的“链路层认证”,进入认证配置页面,配置步骤为:

¡     选择认证模式为802.1X认证。

¡     选择安全模式为WPA。

¡     选择加密套件为CCMP。

¡     配置域名为abc。

¡     单击<确定>按钮。

(4)     将无线服务绑定到AP

进入“无线服务配置”页面,配置步骤为:

¡     选中创建的无线服务service1,点击“绑定到AP”按钮,进入到“绑定到AP”页面。

¡     选中AP的5GHz射频单元,点击“快速绑定”。

(5)     配置ISP域

单击左侧导航栏“网络安全 > AAA > ISP域”,进入“ISP域”配置页面,配置步骤为:

¡     单击<添加>按钮,添加ISP域,域名为abc,并将该ISP域的状态设置为活动。

¡     指定接入方式为LAN接入。

¡     指定LAN接入AAA方案的认证方法为本地认证,授权方法为本地授权,计费方法为不计费。

¡     单击<确定>按钮。

(6)     配置本地用户

单击左侧导航栏“网络安全 > 用户管理 > 本地用户”,进入“本地用户”配置页面,配置步骤为:

¡     单击页面右上方<用户组>按钮,然后单击<添加>按钮,添加用户组,用户组名为windows8。

¡     单击<确定>按钮,返回本地用户页面。

¡     单击页面右上方<用户>按钮,然后单击<添加>按钮,添加用户,用户名为dotuser,密码为12345。

¡     指定可用的服务为LAN接入。

¡     指定授权用户组为windows8。

¡     单击<确定>按钮。

(7)     配置BYOD授权

单击左侧导航栏“网络安全 > BYOD > BYOD授权”,进入“BYOD授权”配置页面,单击用户组windows8表项后面的<编辑>按钮,为用户组windows8配置授权属性:设备类型为Microsoft Windows 8、ACL编号为2000,授权VLAN为VLAN 3。

然后单击表项右侧的<添加>按钮,最后单击<确定>。

(8)     配置BYOD规则

完成上述配置后,单击左侧导航栏“网络安全 > BYOD > BYOD规则”,新建一条BYOD规则的自定义DHCP规则:DHCP Option 55为1,15,3,6,44,46,47,31,33,121,249,252,43.33,终端类型为Microsoft Windows 8。

3. 验证配置

以上配置完成后,使用Microsoft Windows 8终端的802.1X用户通过认证后,可访问VLAN 3中的网络资源。


4 系统功能配置举例

4.1  设备管理配置举例

4.1.1  管理员配置举例

1. 组网需求

在AC上配置一个管理员帐户,用于用户采用HTTP方式登录AC,具体要求如下:

·     用户使用管理员帐户登录时,AC对其进行本地认证;

·     管理员帐户名称为webuser,密码为12345;

·     通过认证之后,用户被授予角色network-admin。

图4-1 管理员配置组网图

 

2. 配置步骤

(1)     配置VLAN和VLAN接口

单击页面左侧导航栏的“网络配置 > 链路> VLAN”,进入VLAN页面,创建VLAN 2。进入VLAN 2的详情页面,将与管理员PC相连的接口加入VLAN 2的Tagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.20/24。

(2)     配置管理员账户

单击页面左侧导航栏的“系统 > 设备管理 > 管理员”,进入管理员页面,配置步骤为:

¡     添加管理员。

¡     配置用户名为webuser,密码为12345。

¡     选择角色为network-admin。

¡     指定可用的服务为HTTP和HTTPS。

3. 验证配置

(1)     完成上述配置后,在管理员页面上可以看到已成功添加的管理员帐户。

(2)     用户在PC的Web浏览器地址栏中输入http://192.168.1.20并回车后,浏览器将显示Web登录页面。用户在该登录页面中输入管理员帐户名称、密码以及验证码后,即可成功登录设备的Web页面进行相关配置。

4.1.2  使用本地认证的SSH server配置举例

1. 组网需求

图4-2所示,网络管理员需要通过Internet远程登录到校园网的网关设备(AC)上对其进行管理。为了提高安全性,可将AC配置为Stelnet服务器,并在Host上运行Stelnet客户端软件,在二者之间建立SSH连接。具体要求为:

·     Host与AC路由可达,AC通过SSH的password认证方式对客户端进行认证,认证过程在AC本地完成。

·     网络管理员Host的登录用户名为client,密码为aabbcc,登录设备后可执行设备支持的所有操作。

图4-2 设备作为Stelnet服务器配置组网图

2. 配置步骤

(1)     配置SSH服务器功能

进入AC,单击页面左侧导航栏的“网络配置 > 管理协议 > SSH”,进入“SSH”页面,开启Stelnet服务。

(2)     配置VLAN和VLAN接口

进入AC,单击页面左侧导航栏的“网络配置 > 链路 > VLAN”,进入“VLAN”页面创建VLAN 2。进入VLAN 2的详情页面,配置端口GigabitEthernet1/0/2加入VLAN 2的Untagged端口列表,并创建VLAN接口2,配置VLAN接口2的IP地址为192.168.1.40/24。

(3)     配置管理员账户

单击页面左侧导航栏的“系统 > 管理协议 > 管理员”,进入“管理员”页面添加管理员,配置步骤为:

¡     添加管理员。

¡     配置用户名为client,密码为aabbcc。

¡     选择角色为network-admin。

¡     指定可用的服务为SSH。

3. 验证配置

说明

Stelnet客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。

在Host上打开PuTTY.exe程序,在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。单击<Open>按钮。按提示输入用户名client及密码aabbcc,成功进入AC的配置界面。


5 工具配置举例

5.1  报文捕获配置举例

5.1.1  本地报文捕获配置举例

1. 组网需求

·     在AP的Radio 1上开启本地报文捕获功能,要求捕获1KB的协议类型为TCP,且报文的源IP地址为192.168.20.173的报文。

·     Switch做为FTP服务器,保存AP发送的被捕获报文。

图5-1 本地报文捕获组网图

 

2. 配置步骤

说明

确保装有报文捕获软件的PC与AP路由可达。

 

(1)     配置Switch

# 在Switch上添加一个FTP用户abc,并设置其认证密码为123456,访问时使用的用户角色为network-admin,授权访问目录为Flash的根目录,可以使用的服务类型为FTP。

# 启动Switch的FTP服务功能。

(2)     在AC上配置本地报文捕获功能

单击页面左侧导航栏的“工具 > 报文捕获 > 无线报文捕获”,进入“无线报文捕获”页面,配置步骤为:

¡     选择AP的Radio 1,开启报文捕获功能。

¡     在弹出的“无线报文捕获”弹框中,选择报文捕获方式为本地报文捕获。

¡     指定捕获报文的过滤规则为"src 192.168.20.173 and tcp",捕获报文最大长度为8000,存储捕获报文的文件大小为1KB,FTP服务器的URL地址为ftp://10.1.1.1,登录FTP服务器的用户名为abc,用户密码为123456。

3. 验证配置

报文捕获成功后,在PC上使用报文捕获软件与FTP服务器建立连接,可以解析报文文件。

5.1.2  远程报文捕获配置举例

1. 组网需求

在AP的Radio 1上开启远程报文捕获功能,将捕获的报文上送到报文捕获软件上解析。

图5-2 远程报文捕获组网图

 

2. 配置步骤

说明

确保装有报文捕获软件的PC与AP路由可达。

 

(1)     配置远程报文捕获功能

单击页面左侧导航栏的“工具 > 报文捕获 > 无线报文捕获”,进入“无线报文捕获”页面,配置步骤为:

¡     选择AP的Radio 1,开启报文捕获功能。

¡     在弹出的“无线报文捕获”弹框中,选择报文捕获方式为远程报文捕获。

¡     指定RPCAP服务端口号为2014。

(2)     配置PC

在PC上打开报文捕获软件,菜单栏选择Capture,在弹出的下拉菜单中选择Options,弹出Capture Options对话框后,选择remote捕获方式,输入捕获地址10.1.1.1和端口号2014,点击“OK”按钮,再点击“Start”按钮,此时在弹出的报文捕获窗口会看到捕获的报文。

图5-3 报文捕获软件报文捕获窗口

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们