Trapeze中文配置手册.docx
《Trapeze中文配置手册.docx》由会员分享,可在线阅读,更多相关《Trapeze中文配置手册.docx(56页珍藏版)》请在冰豆网上搜索。
Trapeze中文配置手册
Trapeze无线网络交换机配置手册
(Version1.0)
羿飞
目录
第1章登陆无线网络交换机5
1.1登录无线网络交换机方法简介5
1.2通过Console口进行本地登陆5
1.3通过SSH2或Telnet进行登陆6
1.4通过web方式登录7
第2章系统基本配置7
2.1配置系统名7
2.2配置系统时间8
2.3配置系统IP地址8
2.4配置缺省路由8
2.5系统初始化配置9
2.6无线网络交换机密码恢复9
第3章系统升级10
3.1通过WEB方式升级11
3.2通过网管软件RingMaster升级11
3.3通过CLI命令行升级11
第4章Trapeze配置实例12
4.1最简单的公共区域接入—用户不需要口令12
4.2访客使用Web-Portal接入13
4.3基于MAC地址进行认证15
4.4不同的认证加密方式16
4.4.1无需密码和用户名口令17
4.4.2wep加密,无需用户名口令认证18
4.4.3WPA-tkip加密18
4.4.4WPA2-TKIP加密18
4.4.5Wpa+WPA2-tkip18
4.4.6WPA-AES19
4.4.7WPA2-AES19
4.4.8无加密,web-portal认证19
4.4.9wpa-tkip,web-portal认证20
4.4.10802.1X认证,WPA-tkip20
4.4.11MAC-local认证,无加密20
4.4.12MAC-LOCAL认证,wpa-tkip21
4.5对802.1x的支持21
4.6非法AP检测/分类/防护24
4.7Intra-Switch漫游26
4.8跨交换机漫游27
4.9有线用户认证30
4.10本地交换32
4.11MESH和网桥33
4.12自动黑洞覆盖35
4.13控制器冗余支持36
4.14负载均衡38
4.15同一台MX上跨vlan漫游39
第1章登陆无线网络交换机
1.1登录无线网络交换机方法简介
无线网络交换机的登陆,可以通过以下几种方式实现:
通过Console口进行本地登陆;
通过以太网端口利用SSH2进行本地或远程登陆;
通过以太网端口利用Telnet进行本地或远程登陆。
通过以太网端口利用web方式进行本地或远程登陆
1.2通过Console口进行本地登陆
通过无线网络交换机Console口进行本地登陆是登陆无线控制器的最基本的方式,也是配置通过其他方式登陆无线网络交换机的基础。
用户终端的通信参数配置要和无线网络交换机Console口的配置保持一致,才能通过Console口登陆到无线网络交换机上。
无线网络交换机Console口的缺省配置如下:
波特率设置为9600bit/s
数据位为8
无奇偶效验位
停止位为1
无数据流控制
如下图所示:
正确连接之后,敲回车键,就会出现“MXR-2-9792C0>”的登陆界面
其中:
MXR-2为无线网络交换机的型号,9792C0为该无线网络交换机序列号的后6位。
在出现上面登陆界面时输入“enable”后,屏幕提示要求输入密码,交换机默认是密码为空,直接回车就会进入交换机的特权配置模式,屏幕出示为“MXR-2-9792C0#”
1.3通过SSH2或Telnet进行登陆
无线网络交换机支持SSH2和Telnet功能,管理员可通过SSH2或Telnet的方式对无线网络交换机进行远程管理和维护,无线交换机的缺省IP为192.168.100.1。
SSH2在缺省情况下是开启,而Telnet缺省情况下是关闭的,因此在进行Telnet管理之前需要先将无线网络交换机的Telnet功能打开,命令为:
setiptelnetserverenable
想要通过SSH2和Telnet功能远程管理维护无线网络交换机,管理员必须先为”admin”账号配置密码或建立新的管理账号,命令如下:
setuserusernamepassword[encrypted]string
setuseradminpasswordXXXX
1.4通过web方式登录
浏览器输入无线网络交换机的IP地址:
http:
//X.X.X.X
用户名为admin,密码为enablepassword(缺省为空)
第2章系统基本配置
2.1配置系统名
用户设置设备的名称。
设备的名称对应于命令行接口的提示符,如设备的名称为Sysname,则CLI的提示符为Sysname#。
配置系统名的命令:
setsystemnamestring
例子:
配置系统名为MX-20
MX#setsystemnameMX-20
MX-20#
2.2配置系统时间
1.设置时区
命令:
settimezonezone-name{-hours[minutes]}
例子:
设置为北京时间
MX-20#settimezoneBJ80
Timezoneissetto'BJ',offsetfromUTCis8:
0hours.
2.设置时间
命令:
settimedate{datemmmddyyyy[timehh:
mm:
ss]}
例子:
MX#settimedatedatefeb292004time23:
58:
00
Timenowis:
SunFeb292004,23:
58:
02PST
2.3配置系统IP地址
系统IP地址是AP启动过程中,无线网络交换机和AP之间相互通信的IP地址。
AP正常注册工作后,无线网络交换机也需要通过该IP地址发报文,以保证跟AP维持正常的通信。
命令:
setsystemip-addressip-addr
例子:
MX#setsystemip-address192.168.253.1
2.4配置缺省路由
缺省路由用作跨网段访问无线网络交换机。
命令:
setiproutedefaultip-addr
例子:
MX#setiproutedefault192.168.10.11
2.5系统初始化配置
在enable模式中输入quickstart可以清除已有配置。
MX-8#quickstart
Thiswilleraseanyexistingconfig.Continue?
[n]:
y
Answerthefollowingquestions.Enter'?
'forhelp.^Ctobreakout
SystemName[MX-8]:
CountryCode[US]:
CN#设置国家代码
SystemIPaddress:
192.168.1.100#设置MX系统管理IP
SystemIPaddressnetmask[]:
255.255.255.0#设置子网掩码
Defaultroute:
192.168.1.1#设置网关
Doyouneedtouse802.1QtaggedportsforconnectivityonthedefaultVLAN?
[n]:
EnableWebview[y]:
Adminusername[admin]:
Adminpassword[mandatory]:
如果不设密码,此处先按空格键,再按回车键(设置密码为空)
Enablepassword[optional]:
Doyouwishtosetthetime?
[y]:
n
Doyouwishtoconfigurewireless?
[y]:
n
success:
createdkeypairforssh
success:
Type"saveconfig"tosavetheconfiguration
*MX-8#
2.6无线网络交换机密码恢复
在重启交换机的过程中,进入boot模式后,输入“bootOPT+=default”然后重启,可以实现交换机密码恢复。
在此时,迅速按下q和ENTER键,会出现:
Boot>
输入bootOPT+=default
Boot>bootOPT+=default
Boot>reset
自动重启即可。
第3章系统升级
MSS升级方式有三种方式:
1)通过web方式升级;
2)通过RingMaster升级;
3)通过命令行升级
升级之前一定要详细阅读MSS_RN_X_X_X_X.pdf文档,如不能直接从MSS5.0直接升级到MSS7.0。
3.1通过WEB方式升级
1.IE访问MX的IP
2.Maintain#-UpdateSystemSoftware
3.2通过网管软件RingMaster升级
1.菜单栏Devices#右下角“DevicesOperations”
2.下面添加MSS:
“ImageRepository”—“Addimage”
3.安装新MSS:
“ImageInstall”
3.3通过CLI命令行升级
此方法请详细阅读MSS_RN_X_X_X_X.pdf文档
先在自己电脑上打开一个tftpserver,添加准备安装的MSS版本。
然后在MX上配置:
copytftp:
//X.X.X.X/MX070B02.200boot0:
MX070B02.200
setbootpartitionboot0
注:
X.X.X.X是你的电脑的IP;至于boot0或boot1我们要选没有使用的boot
MX#dir会包含如下内容,打*表示正在使用的boot
Boot:
FilenameSizeCreated
*boot0:
MX070A05.00811MBJun302009,16:
01:
08
boot1:
MX060702.0088962KBMar182009,15:
58:
56
第4章Trapeze配置实例
4.1最简单的公共区域接入—用户不需要口令
测试案例
校验是否支持公共区域的无线接入需求,不需要用户输入口令,用户之间L2隔离
所需设备
1个控制器
1个AP
1个笔记本——WindowsXPSP2
拓扑
描述和测试步骤
1.为控制器分配一个IP地址和网关
2.设置defaultvlan在L2上隔离
3.启动DHCP服务器功能
4.创建publicService-profile使用last-resort认证,不使用加密
5.将public的Service-Profile关联到default的Radio-Profile上
6.将端口1设置为APport并将AP的Radio1使用defaultRadio-Profile。
7.将AP的Radio1激活
8.设置笔记本使用open-system,关联到publicSSID上
9.检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网,但不能访问内部资源。
预期结果.
客户端能够连接PublicSSID上,并且访问Internet。
配置脚本
setiproutedefault192.168.0.11#设置网关
setsystemnameMXR-2#设置系统名称
setsystemip-address192.168.0.49#设置系统IP
setsystemcountrycodeCN#设置国家代码
settimezonePRC80#设置时区
setservice-profilepublicssid-namepublic#建立一个SSID为public的service-profile
setservice-profilepublicssid-typeclear#该SSID不加密
setservice-profilepublicauth-fallthrulast-resort#该SSID无需认证
setservice-profilepublicattrvlan-namedefault#指定缺省的AAA属性
setuseradminpasswordencrypted0005170b0d55#设置无线认证用户
setradio-profiledefaultservice-profilepublic#将service-profile与无线射频进行关联
setapautomodeenable#将APauto打开,允许ap自动up
setap9998serial-id0784400305modelMP-620#设置AP
setap9998radio1modeenable#启动AP的802.11b/g
setap9998radio2modeenable#启动AP的802.11a
setiphttpsserverenable#开启web访问服务
setportpoe2enable#开启将MXR-2的端口2的PoE功能
setsecurityl2-restrictvlan1modeenablepermit-mac00:
1a:
70:
d4:
90:
0f
#可选命令,二层隔离,只允许client访问网关(00:
1a:
70:
d4:
90:
0f为网关的MAC地址)
setinterface1ip192.168.0.49255.255.255.0#设置vlan1的interfaceIP
setinterface1ipdhcp-serverenablestart192.168.0.220stop192.168.0.230primary-dns219.141.136.10default-router192.168.0.1
#开启vlan1的DHCPserver
4.2访客使用Web-Portal接入
测试案例
访客使用Web-Portal接入
所需设备
1个控制器
1个AP
1个笔记本——WindowsXPSP2
拓扑
描述和测试步骤
10.为控制器分配一个IP地址和网关
11.启动DHCP服务器功能
12.为访客创建Service-profile使用Web-Portal认证,不使用加密
setauthenticationwebssidguest*local//使用本地数据库验证认证用户
setservice-profileguestauth-fallthruweb-portal//为guest设置使用portal认证方法
setservice-profileguestweb-portal-aclportalacl//设置认证成功前使用web-portal-acl
13.将访客和员工的Service-Profile关联到default的Radio-Profile上
14.将AP的Radio1使用defaultRadio-Profile。
setap1radio1radio-profiledefault
15.将AP的Radio1激活
setap1radio1modeenable
16.设置笔记本使用open-system,关联到访客SSID上,通过浏览器上网,弹出认证界面,输入用户名和口令
17.检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网,但不能访问内部资源。
18.
setiproutedefault192.168.10.11#设置缺省路由
setsystemnameTrapeze#设置系统名称
setsystemip-address192.168.10.2#设置系统IP
setsystemcountrycodeCN#设置国家代码
settimezonecnt80#设置时区
setservice-profiletestssid-nametest#设置一个ssid名称为test
setservice-profiletestlssid-typeclear#ssid不加密
setservice-profiletestauth-fallthruweb-portal#该ssid将采用web-portal认证方式
setservice-profiletestcipher-tkipenable
setservice-profiletestauth-dot1xdisable#关闭802.1x认证
setservice-profiletestweb-portal-aclportalacl#将web-portal认证的acl与ssid关联
setservice-profiletestattrvlan-namedefault#将该ssid与defaultvlan关联
setauthenticationwebssidtest**local#采用本地认证用户(MX上的user)
setuseradminpassword12345678#创建本地认证用户
setradio-profiledefaultservice-profiletest#将service-profile与无线射频关联
setapautomodeenable#开启ap自动上线模式
setap30serial-id0775101673modelMP-422#新建一个ap
setap30radio1modeenable#开启ap30的802.11b/g
setap30radio2modeenable#开启ap30的802.11a
setportpoe1enable#开启所有poe端口的poe功能
setportpoe2enable
setportpoe3enable
setportpoe4enable
setportpoe5enable
setportpoe6enable
setvlan1port1#端口所属的vlan
setvlan1port2
setvlan1port3
setvlan1port4
setvlan1port5
setvlan1port6
setvlan1port7
setvlan1port8
setinterface1ip192.168.10.2255.255.255.0#设置vlan1的interfaceip
setinterface1ipdhcp-serverenablestart192.168.10.10stop192.168.10.100primary-dns202.96.128.86secondary-dns202.96.128.166default-router192.168.10.1
#开启MX上的dhcpserver
4.3基于MAC地址进行认证
测试案例
检验WLAN解决方案是否能够支持基于MAC地址的认证
所需设备
1+APs
1无线控制器
1笔记本或PDA
拓扑
描述和测试步骤
1.为控制器分配一个IP地址和网关
2.启动DHCP服务器功能
3.创建Service-Profile,不使用加密
4.将该Service-Profile关联到default的Radio-Profile上
5.将端口1设置为APport并将AP的Radio1使用defaultRadio-Profile。
6.将AP的Radio1激活
7.设置名称为PDA的MAC地址的MAC用户
8.设置该Service-Profile使用MAC地址认证
9.设置PDA关联到该SSID上,检查PDA是否能够从DHCP获得一个IP地址,并且能够上网。
Expectedresults.
对于功能比较少的终端如(PDA,Wi-FiPhone)能够通过使用基于MAC地址的方式接入WLAN中
配置脚本
setiproutedefault192.168.10.11#设置缺省路由
setsystemnameTrapeze#设置系统名称
setsystemip-address192.168.10.2#设置系统IP
setsystemcountrycodeCN#设置国家代码
settimezonecnt80#设置时区
setservice-profilemacssid-namemac#设置ssid名称为mac
setservice-profilemacssid-typeclear#ssid不加密
setservice-profilemaccipher-tkipenable
setservice-profilemacauth-dot1xdisable#关闭802.1x认证
setservice-profilemacattrvlan-namedefault#将该ssid与defaultvlan关联
setauthenticationmacssidmac*local#mac认证用户来自本地
setmac-user00:
11:
22:
33:
44:
55#创建本地mac认证用户
setradio-profiledefaultservice-profiletest#将service-profile与无线射频关联
setapautomodeenable#开启ap自动上线模式
setap30serial-id0775101673modelMP-422#新建一个ap
setap30radio1modeenable#开启ap30的802.11b/g
setap30radio2modeenable#开启ap30的802.11a
setportpoe1enable#开启所有poe端口的poe功能
setportpoe2enable
setportpoe3enable
setportpoe4enable
setportpoe5enable
setportpoe6enable
setvlan1port1#端口所属的vlan
setvlan1port2
setvlan1port3
setvlan1port4
setvlan
升级会员 