10 H3C WA1208EGN配置实操1206.docx
《10 H3C WA1208EGN配置实操1206.docx》由会员分享,可在线阅读,更多相关《10 H3C WA1208EGN配置实操1206.docx(64页珍藏版)》请在冰豆网上搜索。
10H3CWA1208EGN配置实操1206
H3CWA1208E-GN配置实操
参数说明
1.SymbolAP-4131只支持802.11b无线标准,SymbolAP-5131无线AP支持802.11b和802.11g,H3CWA1208E-GN支持802.11b和802.11g;
2.H3CWA1208E-GN默认配置
设备的IP地址为192.168.0.50,设备使能开放式系统认证模式,SSID名称为H3C;
备注:
✧白名单列表
该列表包含允许接入的无线客户端的MAC地址。
如果使用了白名单,则只有白名单中指定的无线客户端可以接入到WLAN网络中,其他的无线客户端将被拒绝接入。
✧MAC认证
将MAC当作用户名和密码来认证,与MAC过滤没关。
✧MACVLAN功能
根据MAC地址来灵活的确定untagged报文所属的VLAN,从而实现对用户的灵活控制。
✧频谱导航功能
可以将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。
在实际无线网络环境中,某些客户端只能工作在2.4GHz频段上,也有一部分客户端可以同时支持2.4GHz和5GHz频段,如果支持双频的客户端都工作在2.4GHz频段上,会导致2.4GHz射频过载,5GHz射频相对空余。
在这种情况下,可以在设备上开启频谱导航功能。
频谱导航功能可以将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。
开启频谱导航功能后,AP会对发起连接请求的客户端进行导航,将其均衡地连接至该AP的不同射频上。
首先当客户端与某个AP连接时,若该客户端只支持单频2.4GHz,则AP会在拒绝若干次后允许其关联。
若客户端支持双频,AP则会将客户端优先引导至5GHz射频上。
若客户端只支持单频5GHz,则会直接关联至AP的5GHz射频上。
在双频客户端关联到5GHz射频前,AP会检查5GHz射频接收到的客户端的RSSI值,若该RSSI值低于设定值,则不会将此客户端导航至5GHz射频。
如果5GHz射频上已连接的客户端数量达到门限,且5GHz射频与2.4GHz射频上连接的客户端差达到或超过差值门限,AP会拒绝客户端接入5GHz射频,且允许新客户端接入2.4GHz射频(即不会引导双频客户端优先接入5GHz射频)。
如果客户端反复向该AP的5GHz射频上发起关联请求,且AP拒绝客户端关联请求次数达到/超过设定的最大拒绝关联请求次数,那么该AP会认为此时该客户端不能连接到其它任何的AP,在这种情况下,AP上的5GHz射频也会接受该客户端的关联请求。
✧信道环境检测
信道利用率检测提供了一种评估信道忙闲程度的检测工具。
信道利用率检测会对当前区域码所支持的信道进行逐个检测,输出的信道利用率结果可以指导工程人员和用户对信道进行合理选择,避免用户使用负载较高的信道。
在信道利用率检测期间,AP不能提供任何形式的无线服务,所有已关联的客户端会被强制下线,AP接收的无线报文也会被直接丢弃。
疑问:
1、如何设置两个无线服务,其中一个用MAC白名单过滤,另一个允许所有MAC地址的用户使用,但要使用密码。
常用命令:
返回上一步的命令:
quit
#查看所有的配置信息displaycurrent-configuration
#重启在<用户视图>reboot
?
完成帮助,显示当前目录下的所有可用命令
查看历史命令
displayhistory-command显示用户执行过的有效历史命令
访问上一条历史命令上光标键↑或
一、交换机权限管理
命令行分级
命令
system-view切换到管理视图
H3CS5100-SI[EI]交换机用户共分4个级别,Privilegenote:
0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE;缺省情况下用console连接的用户属于第3级——管理级,telnet登陆的用户属于第0级——访问级。
登录交换机的用户的级别可以通过命令进行切换。
需要注意的是:
通过Console口登录的用户可根据需要选择是否使用命令superpassword设置从低级别到高级别的切换口令。
通过Telnet方式登录的用户必须设置使用命令superpassword设置从低级别到高级别的切换口令。
【举例】
通过console口配置用户级别3的切换口令
system-view
[H3C]Superpasswordlevel3simple123456设置用户级别3的切换口令为明文123456
[H3C]Superpasswordlevel3cipher123456设置用户级别3的切换口令为密文123456
查看切换用户级别的密码。
[Sysname]displaycurrent-configuration
#superpasswordlevel3cipher=`*Y=F>*.%-a_SW8\MYM2A!
!
交换机远程连接管理
通过Telnet连接以太网交换机
1、将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。
2、在PC机上运行WindowsXP的超级终端,设置终端通信参数:
传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。
3、以太网交换机上电,PC机终端上将显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符。
1、通过Console口在超级终端中执行以下命令,配置以太网交换机VLAN1的IP地址为172.16.10.18/22(255.255.252.0)。
system-view
[H3C]interfaceVlan-interface1进入VLAN接口1
[H3C-Vlan-interface1]ipaddress172.16.9.200255.255.252.0
5、在通过Telnet登录以太网交换机之前,配置用户的认证方式。
注:
VTY是Cisco、HUAWEI的设备管理的一种方式(虚拟链路)有关VTY接口见相关技术文档。
配置步骤(注:
该方法只配置了一个用户,如果同时多个用户登录,需对VTY1-4作相同的配置)
#进入系统视图。
system-view
#进入VTY0用户界面视图。
[H3C]user-interfacevty0
#设置用户进行Password认证,口令为明文方式,口令为123456。
[H3C-ui-vty0]authentication-modepassword
[H3C-ui-vty0]setauthenticationpasswordsimple123456
[H3C-ui-vty0]setauthenticationpasswordcipher123456设置密文
#设置从VTY0用户界面登录后可以访问的命令级别为3级。
[H3C-ui-vty0]userprivilegelevel3
#设置VTY0用户界面支持Telnet协议。
[H3C-ui-vty0]protocolinboundtelnet
#设置VTY0用户界面的超时时间为20分钟。
[H3C-ui-vty0]idle-timeout20
#设置VTY0用户历史命令缓冲区可存放20条命令
[Sysname-ui-vty0]history-commandmax-size20
[H3C-ui-vty0]quit
6、在PC机上运行Telnet程序,输入交换机VLAN1的IP地址。
7、通过console口配置用户级别3的切换口令
system-view
[H3C]Superpasswordlevel3simple123456设置用户级别3的切换口令为123456
8、Telnet用户通过口令认证登录交换机时,缺省可以访问命令级别为0级的命令。
可使用super命令切换。
Super3切换到管理级别3
WEB配置环境搭建
通过WEB连接以太网交换机
1、在通过WEB方式登录以太网交换机之前,用户先正确配置以太网交换机VLAN1接口的IP地址(VLAN1为交换机的缺省VLAN)。
2、配置WEB用户名为admin,密码为admin,用户级别设为3(管理级用户)
system-view
[H3C]local-useradmin
[H3C-luser-admin]service-typetelnet
[H3C-luser-admin]passwordcipher123456
3、搭建WEB网管远程配置环境。
4、用户通过PC与交换机相连,并通过浏览器登录交换机。
二、WEB配置
1.1设备配置
1.【设备】——【基本信息】——修改系统名称
2.【设备】——【时间管理】
3.【高级设置】——【区域码】,确保区域码正确
4.【高级设置】——【上行链路检测】
FATAP通常需要通过以太网接口或Radio口(桥接链路)接入上行网络,。
如果AP的上行以太网口或Radio口出现故障,将导致AP及关联到AP的无线客户端无法继续访问上行网络。
开启上行链路检测后,一旦出现AP的上行链路故障,AP将停止提供无线接入服务,无线客户端将无法搜索到该AP的SSID。
上行链接检测功能,保证了在无线客户端所关联的AP出现上行链路故障后,在同一区域还有其他正常工作AP覆盖的情况下,无线客户端可以通过关联到其他正常工作的AP接入上行网络。
1.2接口管理典型配置举例(与CLI配置方法的用途一致,可选其一)
1.组网需求
创建Vlan-interface1,并配置其IP地址为172.16.9.200。
2.配置步骤
(1)创建Vlan-interface1,并配置其IP地址。
步骤1:
在导航栏中选择“设备>接口管理”。
步骤2:
单击<新建>按钮。
步骤3:
进行如下配置,如下图所示。
在接口名称中选择接口类型为“Vlan-interface”,输入接口编号为“1”。
选择IP配置为“静态地址”。
输入IP地址为“172.16.9.200”。
选择网络掩码为“22(255.255.255.0)”。
1.3VLAN配置(与CLI配置方法的用途一致,可选其一)
1.组网需求
建立一个名为“SSID1”的无线接入服务,使用明文接入+MAC白名单过滤,所有接入该无线网络的客户端都在VLAN6(192.168.14.*)中。
建立一个名为“SSID2”的无线接入服务,使用WEP接入+MAC白名单过滤,所有接入该无线网络的客户端都在VLAN31(192.168.31.*)中。
⏹WEB配置方法
◆新建VLAN6,VLAN31
注:
可连续输入多个VLANID,例如“2,6-50,100”;
◆修改端口的成员类型,把VLAN1设置为Untag,其它VLAN设置为tag
◆配置FATAP的以太网接口链路类型配置为Trunk,并允许VLAN6和VLAN31的报文通过。
1.3.验证配置结果
(1)客户端可以成功关联AP,并且可以访问无线网络。
(2)在导航栏中选择“概览>客户端”,进入下图所示页面,可以查看到成功上线的客户端。
⏹CLI配置步骤
配置无线AP
#创建VLAN6,31,将端口加入到VLAN中
[SwitchA]interfaceGigabitEthernet1/0/1
[SwitchA-GigabitEthernet1/0/1]portlink-typetrunk或Hybrid
[SwitchA-GigabitEthernet1/0/1]porttrunkpermitvlan1631
[SwitchA-GigabitEthernet1/0/1]quit
………………………………………
完成VLAN配置后,在任意视图下执行display命令,可以显示配置VLAN后的运行情况。
displayVLANall显示所有VLAN的信息
displayinterfaceVlan-interface1显示VLAN1的接口信息
1.4无线服务配置
1.【无线服务】——【接入服务】
◆在配置“接入服务”前,务必先关闭,否则会灰色显示、没法修改
2.新建无线服务
无线服务名称
设置SSID(ServiceSetIdentifier,服务集识别码)
SSID的名称应该尽量具有唯一性。
从安全方面考虑不应该体现公司名称,也不推荐使用长随机数序列作为SSID,因为长随机数序列只是增加了Beacon报文长度和使用难度,对无线安全没有改进
无线服务类型
选择无线服务类型:
clear:
使用明文发送数据
crypto:
使用密文发送数据
注:
只有选定了crypto:
使用密文发送数据,才能配置加密方式
◆配置clear类型无线服务
3.clear类型无线服务基本配置
在界面左侧的导航栏中选择“无线服务>接入服务”————B1AP1_MAC。
配置项
说明
无线服务名称
显示选择的SSID
VLAN(Untagged)
添加Untagged的VLANID,VLAN(Untagged)表示端口成员发送该VLAN报文时不带Tag标签
缺省VLAN
设置端口的缺省VLAN
在缺省情况下,所有端口的缺省VLAN均为VLAN1,设置新的缺省VLAN后,VLAN1为Untagged的VLANID
删除VLAN
删除已有Tagged和Untagged的VLANID
网络隐藏
配置是否在信标帧中通告SSID,缺省情况下,信标帧通告SSID
∙Enable:
禁止在信标帧中通告SSID
∙Disable:
在信标帧中通告SSID
∙SSID隐藏后,AP发送的信标帧里面不包含SSID信息,接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP
∙隐藏SSID对无线安全意义不大。
允许广播SSID可以使客户端更容易发现AP
4.clear类型无线服务高级配置
表1-1表2-4clear类型无线服务高级配置的详细配置
配置项
说明
关联最大用户数
在一个射频下,某个SSID下关联客户端的最大个数
当某个SSID下关联的客户端达到最大个数时,该SSID会自动隐藏
管理权限
上线的客户端对设备WEB界面的管理权限
∙Disable:
表示上线的客户端对设备WEB界面没有管理权限
∙Enable:
表示上线的客户端对设备WEB界面有管理权限
MACVLAN功能
∙Enable:
表示在指定无线服务下开启mac-vlan功能
∙Disable:
表示在指定无线服务下禁止mac-vlan功能
快速关联功能
∙开启:
开启快速关联功能
∙关闭:
关闭快速关联功能
缺省情况下,快速关联功能处于关闭状态
开启此功能后,设备不会对关联到此无线服务的客户端进行频谱导航计算
该特性的支持情况与设备型号相关,请参见“特性差异列表”中的“特性差异情况”部分的介绍
2.clear类型无线服务安全配置
(1)在列表中找到要进行配置的clear类型无线服务,单击对应的
图标,进入clear类型无线服务安全配置页面。
表2-5clear类型无线服务安全配置的详细配置
配置项
说明
认证方式
clear类型只能选择Open-System方式
端口安全
∙mac-authentication:
对接入用户采用MAC地址认证
∙mac-else-userlogin-secure:
端口同时处于mac-authentication模式和userlogin-secure模式,但MAC地址认证优先级大于802.1X认证;对于非802.1X报文直接进行MAC地址认证。
对于802.1X报文先进行MAC地址认证,如果MAC地址认证失败进行802.1X认证
∙mac-else-userlogin-secure-ext:
与mac-else-userlogin-secure类似,但允许端口下有多个802.1X和MAC地址认证用户
∙userlogin-secure:
对接入用户采用基于端口的802.1X认证,此模式下,端口允许多个802.1X认证用户接入,但只有一个用户在线
∙userlogin-secure-or-mac:
端口同时处于userlogin-secure模式和mac-authentication模式,但802.1X认证优先级大于MAC地址认证;在用户接入方式为无线的情况下,报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证
∙userlogin-secure-or-mac-ext:
与userlogin-secure-or-mac类似,但允许端口下有多个802.1X和MAC地址认证用户
∙userlogin-secure-ext:
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户
由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:
∙“userLogin”表示基于端口的802.1X认证
∙“mac”表示MAC地址认证
∙“Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式
∙“Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式
∙携带“Secure”的userLogin表示基于MAC地址的802.1X认证
∙携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功
最大用户数
控制能够通过某端口接入网络的最大用户数
802.1x身份认证:
802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制XX的用户/设备通过接入端口访问LAN/MAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
◆配置crypto类型无线服务
5.crypto类型无线服务基本配置
✧在界面左侧的导航栏中选择“无线服务>接入服务”。
✧在列表中找到要进行配置的crypto类型无线服务,单击对应的
图标,进入如下图所示页面。
6.crypto类型无线服务安全配置
✧ 在列表中找到要进行配置的crypto类型无线服务,单击对应的
图标,进入如下图所示页面。
WEP认证典型配置
(2) 配置crypto类型无线服务安全信息,详细配置如下表所示。
配置项
说明
认证方式
链路认证方式,可选择以下几种:
∙Open-System:
即不认证,如果认证类型设置为开放系统认证,则所有请求认证的客户端都会通过认证
∙Shared-Key:
共享密钥认证需要客户端和设备端配置相同的共享密钥;只有在使用WEP加密时才可选用shared-key认证机制
∙Open-SystemandShared-Key:
可以同时选择使用Open-System和Shared-Key认证
WEP加密方式可以分别和Opensystem、Sharedkey链路认证方式使用。
∙采用Opensystemauthentication方式:
此时WEP密钥只做加密,即使密钥配置不一致,用户也可以成功建立无线链路,但所有的数据都会因为密钥不一致被接收端丢弃
∙采用Sharedkeyauthentication方式:
此时WEP密钥同时作为认证密钥和加密密钥,如果密钥配置不一致,客户端就不能通过链路认证,也就无法接入无线网络
加密类型
无线服务支持加密机制
∙AES-CCMP:
一种基于AES加密算法的加密机制
∙TKIP:
一种基于RC4算法和动态密钥管理的加密机制
∙AES-CCMPandTKIP:
可以同时选择使用AES-CCMP和TKIP加密
安全IE
无线服务类型(Beacon或者Proberesponse报文中携带对应的IE信息)
∙WPA:
在802.11i协议之前,Wi-FiProtectedAccess定义的安全机制
∙WPA2:
802.11i定义的安全机制,也就是RSN(RobustSecurityNetwork,健壮安全网络)安全机制,提供比WEP和WPA更强的安全性
∙WPAandWPA2:
同时选择使用WPA和WPA2
WEP加密
自动提供密钥
使用自动提供WEP密钥方式
∙开启:
使用自动提供WEP密钥方式
∙关闭:
使用静态WEP密钥方式
缺省情况下,使用静态WEP密钥方式
选择自动提供WEP密钥方式后,“密钥类型”选项会自动使用WEP104加密方式
∙自动提供WEP密钥方式必须和802.1X认证方式一起使用
∙配置动态WEP加密后,用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。
如果配置动态WEP加密的同时配置了WEP密钥,则该WEP密钥作为组播密钥,用来加密组播数据帧。
如果不配置WEP密钥,则由设备随机生成组播密钥
密钥类型
∙WEP40:
选择WEP40进行加密
∙WEP104:
选择WEP104进行加密
∙WEP128:
选择WEP128进行加密
密钥ID
密钥ID用来配置密钥索引号,
在WEP中有四个静态的密钥。
其密钥索引分别是1、2、3和4。
指定的密钥索引所对应的密钥将被用来进行帧的加密和解密
长度
选择WEP密钥长度
∙当密钥类型选择WEP40时,可选的密钥长度5个字符(5AlphanumericChars)或者10位16进制数(10HexadecimalChars)
∙当密钥类型选择WEP104时,可选的密钥长度13个字符(13AlphanumericChars)或者26位16进制数(26HexadecimalChars)
∙当密钥类型选择WEP128时,可选的密钥长度16个字符(16AlphanumericChars)或者32位16进制数(32HexadecimalChars)
密钥
配置WEP密钥
端口安全
四种端口安全模式:
∙macandpsk:
接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问端口
∙psk:
接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-SharedKey,预共享密钥)与设备进行协商,协商成功后可访问端口
∙userlogin-secure-ext:
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户
WPA-PSK认证典型配置举例
7.组网需求
✧要求客户端使用WPA-PSK方式接入
升级会员 