CiscoWLAN无线测试方案.docx
《CiscoWLAN无线测试方案.docx》由会员分享,可在线阅读,更多相关《CiscoWLAN无线测试方案.docx(21页珍藏版)》请在冰豆网上搜索。
CiscoWLAN无线测试方案
第1章.
基本无线功能测试
1.1.客户端多种认证方式
测试目的
设定不同的用户认证方法,确认无线局域网设备能同时支持WEP,WEB,WPA2的认证。
设备需求
∙一台无线交换机
∙一台AP
∙一台笔记本,安装windowsXPSP2
网络拓扑
测试步骤
i.如上图进行网络设置:
AP、控制器以及Internet连接起来;用户通过内置的DHCP服务器获取IP地址;
ii.无线网络配置三个SSID:
一个WEP认证,一个网页认证,一个WPA2认证方式,三个SSID映射到同一个VLAN,分配同一段IP地址
iii.确认用户可以拿到正确的IP地址,并能访问Internet
结果记录
客户端可以通过不同的SSID采用不同的认证方式接入网络,并且可以拿到同一网段地址访问Internet
1.2.
AP多种部署方式
测试目的
设定不同的网络环境,确认无线局域网AC和AP能够支持2层部署,3层网络部署,AP静态设置地址。
设备需求
∙一台无线交换机
∙一台AP
∙一台笔记本,安装windowsXPSP2
网络拓扑
测试步骤
i.AP和AC之间为2层网络环境,AP通过AC上的外部DHCP分配地址,查看AP加电后是否正常工作,记录结果
ii.AP和AC之间为3层网络环境,AP通过外部DHCP获得地址,可正常启动,并和AC通信,查看AP加电后是否正常工作,记录结果
iii.AP和AC之间为3层网络环境,AP通过静态设置地址,可正常启动,并和AC通信,查看AP加电后是否正常工作,记录结果
结果记录
AP和AC之间可以通过2层网络的工作环境或者3层网络的工作环境自动连接,AP连接入AC以后可以正常工作
1.3.
客户化web门户认证
测试目的
确认AC可以根据客户要求,更改web认证门户的界面,不同SSID,对应不同的web门户界面,并且可以根据客户端接入不同AP,推送不同的Web门户界面
设备需求
∙一台无线交换机
∙一台AP
∙一台笔记本,安装windowsXPSP2
∙RadiusServer
网络拓扑
测试步骤
i.分布在AC和AP设置不同的两个SSID
ii.两个SSID对应不同的web认证界面
iii.接入不同的AP,推出不同的web认证界面
iv.这个界面可以根据客户要求,进行随意修改
结果记录
客户端可以根据不同的SSID和不同的APMAC地址得到不同的Web认证界面,并且Web界面可以根据客户要求修改
1.4.单一SSID,动态VLAN接入能力
测试用例
检验无线网络系统能够在同一SSID下,具有动态VLAN接入能力,即根据用户名来为用户分配VLAN
设备需求
∙一台无线交换机
∙一台AP
∙多台笔记本电脑
网络拓扑
测试步骤
i.在Radius上设置不同的两个帐号,并为不同的帐号设置不同的VLAN权限
ii.采用802.1x认证
iii.分别采用不同的用户名接入网络
iv.检测不同用户名上线以后拿到的地址和接入的VLAN
v.记录结果
结果记录
在同一SSID下,客户端可以根据用户名接入不同VLAN
1.5.黑名单功能
测试目的
确认无线局域网有黑名单功能
设备需求
∙1台无线交换机
∙2台AP
∙一多台笔记本,安装windowsXPSP2
网络拓扑
测试步骤
i.如上图进行网络设置:
通过一个三层交换将无线交换机、AP、认证服务器
ii.通过WEB页面进行认证,设置最大失败次数5次
iii.客户端用错误的连接用户名或密码,连接无线网络
iv.当重试到第6次,应该发现该用户无法跟此无线网络作关联
v.检查黑名单组中,是否有该用户MAC地址
vi.确认该用户被自动放入黑名单组中
vii.将连接的那个AP断电
viii.查看是否另外一个AP也无法连接
结果记录
AC中可以设置黑名单规则,并且可以修改连续几次认证失败列入黑名单
1.6.
AP用户隔离功能
项目:
基于SSID的不同AP下的用户隔离功能测试
测试类型:
必须
STA2
AP
STA1
测试配置:
测试过程:
1)关掉AP隔离功能,检测2台STA是否可以正常上网以及保持相互之间的通信;
2)打开AP隔离功能,检测2台STA是否可以正常上网以及保持相互之间的通信;
3)所有这些隔离都能基于SSID来完成
测试要求:
1)情况1中2台STA可以正常上网以及保持相互之间的通信;
2)情况2中2台STA可以连接上AP但无法保持相互之间的通信。
测试结果:
关掉AP隔离功能,2台STA可以正常通讯,打开AP隔离功能,2台STA不能正常通讯
并且该功能可以基于SSID来设置
1.7.无线IDS功能
项目:
无线IDS
测试类型:
必须
测试配置:
测试过程:
1)STA、AP、AC按照以上配置连接并设置参数
2)使用无线终端进行无线攻击
3)无线网络具有无线IDS功能,可以自动断掉具有攻击的用户,并且报警
4)AC可以具有IDS签名的升级能力,定期进行无线攻击特征文件的更新
5)AC具有与有线IPS设备的接口,检测7层攻击
测试要求:
要求网络支持WIDS功能
测试结果:
AC内置了WirelessIDS功能,当有网络攻击时,AC自动屏蔽攻击客户端,并且该功能完全内置免费,无需任何License支持
AC内置与有线IPS内置接口,具有检测7层攻击能力
1.8.无线WLC与有线IDS/IPS联动
测试目的:
检测无线控制器与有线IDS/IPS系统之间的联动,以实现对L2-L7入侵攻击的防范,弥补无线入侵检测(WIDS)防范L2入侵攻击的不足。
测试配置:
测试过程:
1.在IDS上配置攻击检测选项,考虑测试效果,选择阻断发出Ping包的客户端
2.在WLC上配置IDS的相关信息
3.无线客户端连入网络
4.无线客户端Ping服务器
5.验证客户端是否被阻断,WLC上是否有相关记录。
测试结果:
通过和外置IPS配合,发现当PC客户端采用7层攻击时,IPS可以及时通知AC(WLC)对该攻击客户进行阻断,并且在AC(WLC)和网管上留下记录
1.9.管理帧保护(MFP)
测试目的:
检测无线客户端与无线AP之间的管理帧保护功能(MFP:
ManagementFrameProtection)
测试配置:
测试过程:
1.AP1、AP2与WLC4402通过交换机连接。
2.PC1配置CB21无线网卡,并安装支持CCXv5(CiscoCompatibleExtensionVersion5)的网卡驱动程序,PC2采用普通Intel迅驰芯片无线功能;
3.在WCS上设置SSID=testmfp,此SSID下设置管理帧保护(MFP)子项为Optional(即可选)
4.查看PC1和PC2能否获得IP地址,并能够ping到有线端,并在PC1和PC2上分别启动pingt命令
4.使用AirMagNet工具抓取PC1、PC2与AP之间的802.11帧,查看PC1与AP之间的802.11管理帧(Beacon、Probe、Association、Re-Association、De-Association、Authentication、De-Authentication
等)内含有MIC(MessageIntegrityCheck,一种Signature)内容。
查看PC2与AP之间的802.11管理帧内没有MIC(MessageIntegrityCheck,一种Signature)内容。
5.启动NetworkAuditor攻击工具,向PC1、PC2发起De-Association攻击,查看PC1的ping不受影响,而PC2的Ping会中断。
6.将步骤3中SSID=testmfp下的管理帧保护(MFP)子项设置为required(即必选)
7.让重新PC1和PC2重新与AP关联,检测PC1能够获得IP地址,而PC2不能获得IP地址。
测试结果:
发起攻击后,PC1仍可以接续ping通有线测,而PC2被攻击中断,掉线不能接入网络。
查看抓包结果,PC1的管理帧都进行了加密,而PC2的管理帧完全是明文传输
1.10.无线访客功能(GuestAccess)
测试目的:
检测无线系统的访客功能
测试配置:
测试过程:
1.在controller上设置访客SSID=Guest,在WCS上定制访客用户名密码和有效时间,
测试WCS是否把访客信息推送到controller
2.使用一个客户接入网络,检验该用户接入用户密码和接入时效
测试结果:
可以通过WCS的特定用户进行Guest用户的开户,生成访问用户名/密码,访问时长,并立即生效
第2章.
AP能力测试
2.1.AP流量测试
项目:
AP流量测试
测试目的:
测试AP的转发能力
测试工具:
流量软件
测试类型:
必须
测试配置:
测试过程:
1)STA、AP、AC按照以上配置连接并设置参数
2)使用流量软件chariot测试AP传输速率
测试要求:
要求b/gRadio转发流量不得小于20Mbps,同时aRadio转发流量也不得小于20Mbps
测试结果:
采用Chariot专业工具测试,
表明AP在b/gRadio上的转发流量为23.738Mbps,如下图(该环境存在一定干扰,实际真实流量大于该测试结果,在25Mbps左右)
表明AP在aRadio上的转发流量为23.585Mbps,如下图(该环境存在一定干扰,实际真实流量大于该测试结果,在25Mbps左右)
并且该测试对b/gRadio和aRadio同时开启,表明该AP为双频AP,可以同时工作在b/g和a的工作频点,单AP实际转发能力在50Mbps左右
2.2.AP频点测试
项目:
AP频点测试
测试目的:
测试AP同时具有双频转发能力
测试工具:
一般客户端
测试类型:
必须
测试配置:
测试过程:
1)配置STA、AP、AC并设置参数
2)同时使用2台STA,一台使用802.11b/g无线网卡接入无线网络,另外一台使用802.11a无线网卡接入无线网络
测试要求:
要求2台笔记本均能ping通网络,b/gRadio转发流量不得小于20Mbps,同时aRadio转发流量也不得小于20Mbps
测试结果:
通过2.1的测试表明,该AP为双频AP,可以a/b/g同时工作,且每个Radio的转发能力都在25Mbps左右
2.3.胖瘦AP的自动转换
测试目的:
检测能否把AP通过软件自动转换成瘦模式或者胖模式
测试配置:
测试过程:
检测能否通过软件自动转换AP工作在胖AP模式下或者瘦AP模式下
测试结果:
可以通过软件自动转换AP的工作模式为胖AP或者为瘦AP,并且转化过程完全免费
第3章.远程运行管理测试
3.1.远程AP混合工作方式(可以实现中心转发和本地转发)
测试目的:
检测AP是否支持在跨越广域网时的本地工作模式。
在广域网通畅,远端无线控制器可达时,混合AP工作在“中心认证、本地交换”模式,即通过远端控制器进行认证(CentralAuthentication),数据交换则在本地(LocalSwitching);当广域网故障,远端控制器不可达时,混合AP可独立工作在“本地认证、本地交换”方式,即AP可转为本地认证(LocalAuthentication),数据交换在本地(LocalSwitching)。
测试配置:
测试过程:
因条件限制,采用三层交换机的不同子网模拟广域网。
1.配置3层交换机,使WLC、WCS连接到某一网段,而远程AP连接到另外远程网段,此网段模拟远程网络,该网段上还有一台PC机。
2.在网管上,检查控制器的AP列表中是否能够看到AP
3.在网管上,配置此AP为远程工作模式
4.PC与AP关联,并确保PC获得远程网段的IP地址,启动,查看能否ping通中心网段设备
5.关闭WLC无线控制器电源
6.检查AP是否正常工作,并且PC机仍然与AP1242保持关联查看ping没有中断
测试结果:
通过设置AP为H-REAP模式,AP可以工作在本地转发状态,即使远程连接中断,AP仍可以正常工作,并且改功能不受License限制,完全免费
第4章.
基本RF管理
4.1.动态调整无线网络的功率和频点
测试目的
确认AC可以根据周围环境,动态调节AP的频点和增益
设备需求
∙一台无线交换机
∙三台AP
∙一台三层交换机
∙一台或多台笔记本,安装windowsXPSP2
网络拓扑
测试步骤
1如上图进行网络设置:
通过一个三层交换将无线交换机、AP连接起来
2.三个AP的频点和功率,确认其会自动分布在1、6、11等三个频点
结果记录
AP可以根据实际的无线环境,自动分配频点,并且自动优化频点
4.2.非法AP的检测/分类/抑制/定位
测试目的
检测无线网络对于非法AP以及干扰AP的检测和区分以及抑制功能
设备需求
∙一台无线交换机
∙3台AP
∙一台第三方的AP,用于产生干扰
∙一台三层交换机
∙一台或多台笔记本,安装windowsXPSP2
网络拓扑
测试步骤
1.如上图配置网络:
使用一台三层交换机将无线交换机和AP连接起来,所有AP都配置为接入模式,不能设置为Monitor模式或者RogueAP检测模式
2.开启第三方AP,设置加密WEP模式,让客户端连接至该AP,通过客户端ping通网络
3.无线网络可以检测到第三方AP,并将其认为是非法AP
4.开启非法AP抑制功能,笔记本上进行的FTP业务将会发生中断
结果记录
在AP为接入模式下,开启非法AP抑制功能,客户端立刻从非法AP上掉线,并且不能ping通网络
4.3.
基于接入用户数目的负载均衡
测试目的
检验无线网络系统能够基于接入用户数作负载均衡
设备需求
∙一台无线交换机
∙两台AP
∙一台三层交换机
∙三台笔记本
网络拓扑
测试步骤
i.如上图进行网络设置:
通过一个三层交换将无线交换机、AP、FTP服务器(或者是其它类型的应用服务器)以及Internet连接起来,把两个AP放置在适当远的位置之上
ii.多个笔记本平均接入不同的AP
结果记录
不同的客户端连接上不同的AP,可以实现基于用户的流量均衡
第5章.
无线网管功能
5.1.RF热区图
测试目的
确认网管可以根据根据周围环境,显示实时的RF热区图
设备需求
∙一台无线交换机
∙4台AP
∙
网络拓扑
测试步骤
i.如图配置AC和AP
ii.在网管中导入实际的物理地图
iii.能看到实时的RF热区图
iv.并且热区图根据实际情况而分布
结果记录
可以通过网管WCS配置AC和AP,在网管里导入实际的物理地图(jpg格式或者AutoCAD格式),可以看见AP的RF热区图,并且热区图是根据实际情况进行分布的
5.2.
无线网管功能测试
项目:
无线资源查看能力
测试目的:
检测网管系统的功能
测试类型:
必须
测试工具:
厂商提供AP配置管理软件
测试配置:
测试过程:
1)在网管系统上可以观察到无线AP的无线信号强度分布热图
2)在网管系统上可以观测无线覆盖漏洞情况
3)在网管可以观察实时的接入用户数
4)在网管上可以观察安全侵入威胁
5)在网管上可以检测非法AP的侵入并且排除
6)在网管上可以定位无线客户端
7)在网管上可以管理普通的瘦AP、室内MeshAP及胖AP
测试要求:
厂商提供的网管软件可以进行无线网络情况的观察
测试结果
在网管上可以看到AP的无线信号分布,可以观察到无线覆盖漏洞,可以实时查看接入用户数,有安全侵入告警,非法AP告警并且可对非法AP进行抑制,可以定位无线客户端,并且同一网管可以管理Cisco瘦AP,Mesh及胖AP
5.3.无线网管配置能力
项目:
无线配置能力
测试目的:
检测网管系统对无线设备的批量配置能力
测试类型:
必须
测试工具:
厂商提供AP配置管理软件
测试配置:
测试过程:
1)通过网管系统对无线设备进行批量配置模板
测试结果:
通过无线网关可以对无线控制器及无线AP进行批量配置,具有批量配置模板
5.4.无线网络的配置管理模式
测试目的:
检测无线网关系统的配置管理模式
测试配置:
测试要求:
要求无线网管系统完全基于B-S模式,管理网管的客户端无需安装任何软件,只需要通过IE浏览器进行管理
测试结果:
可以通过IE浏览器查看、管理、控制、无线网管系统
5.5.无线网管的规划工具
测试目的:
无线网管的无线网络规划功能
测试类型:
必须
测试工具:
厂商提供AP配置管理软件
测试配置:
测试过程:
1)在网管系统上导入无线覆盖区域的平面图
2)通过编辑工具编辑平面图以符合真实的无线覆盖区域环境
3)根据不同的接入需求对无线系统进行规划
4)无线网管系统根据无线接入需求计算出所需AP数量并生成最终报告
测试要求:
厂商提供的网管软件可以对无线环境进行规划
测试结果:
可以通过无线网管内置的规划工具(PlanningTools)对无线环境进行预先规划并生成报告