10 H3C WA1208EGN配置实操1206.docx

1、10 H3C WA1208EGN配置实操1206H3C WA1208E-GN配置实操参数说明1. Symbol AP-4131只支持802.11b无线标准，Symbol AP-5131无线AP支持802.11b和802.11g，H3C WA1208E-GN 支持802.11b和802.11g； 2. H3C WA1208E-GN默认配置设备的IP 地址为192.168.0.50，设备使能开放式系统认证模式，SSID 名称为H3C； 备注： 白名单列表该列表包含允许接入的无线客户端的MAC地址。如果使用了白名单，则只有白名单中指定的无线客户端可以接入到WLAN网络中，其他的无线客户端将被拒绝接入

2、。 MAC认证将MAC当作用户名和密码来认证，与MAC过滤没关。 MAC VLAN功能根据MAC地址来灵活的确定untagged报文所属的VLAN，从而实现对用户的灵活控制。 频谱导航功能可以将支持双频工作的客户端优先接入5GHz射频,使得两个频段上的客户端数量相对均衡,从而提高整网性能。在实际无线网络环境中，某些客户端只能工作在2.4GHz频段上，也有一部分客户端可以同时支持2.4GHz和5GHz频段，如果支持双频的客户端都工作在2.4GHz频段上，会导致2.4GHz射频过载，5GHz射频相对空余。在这种情况下，可以在设备上开启频谱导航功能。频谱导航功能可以将支持双频工作的客户端优先接入5G

3、Hz射频，使得两个频段上的客户端数量相对均衡，从而提高整网性能。开启频谱导航功能后，AP会对发起连接请求的客户端进行导航，将其均衡地连接至该AP的不同射频上。首先当客户端与某个AP连接时，若该客户端只支持单频2.4GHz，则AP会在拒绝若干次后允许其关联。 若客户端支持双频，AP则会将客户端优先引导至5GHz射频上。若客户端只支持单频5GHz，则会直接关联至AP的5GHz射频上。在双频客户端关联到5GHz射频前，AP会检查5GHz射频接收到的客户端的RSSI值，若该RSSI值低于设定值，则不会将此客户端导航至5GHz射频。如果5GHz射频上已连接的客户端数量达到门限，且5GHz射频与2.4GH

4、z射频上连接的客户端差达到或超过差值门限，AP会拒绝客户端接入5GHz射频，且允许新客户端接入2.4GHz射频（即不会引导双频客户端优先接入5GHz射频）。如果客户端反复向该AP的5GHz射频上发起关联请求，且AP拒绝客户端关联请求次数达到/超过设定的最大拒绝关联请求次数，那么该AP会认为此时该客户端不能连接到其它任何的AP，在这种情况下，AP上的5GHz射频也会接受该客户端的关联请求。 信道环境检测信道利用率检测提供了一种评估信道忙闲程度的检测工具。信道利用率检测会对当前区域码所支持的信道进行逐个检测，输出的信道利用率结果可以指导工程人员和用户对信道进行合理选择，避免用户使用负载较高的信道。

5、在信道利用率检测期间，AP不能提供任何形式的无线服务，所有已关联的客户端会被强制下线，AP接收的无线报文也会被直接丢弃。疑问：1、如何设置两个无线服务，其中一个用MAC白名单过滤，另一个允许所有MAC地址的用户使用，但要使用密码。常用命令：返回上一步的命令： quit#查看所有的配置信息 display current-configuration #重启 在 reboot ？ 完成帮助，显示当前目录下的所有可用命令查看历史命令display history-command 显示用户执行过的有效历史命令访问上一条历史命令 上光标键或 一、 交换机权限管理命令行分级命令 system-view 切

6、换到管理视图H3C S5100-SIEI交换机用户共分4个级别，Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE；缺省情况下用console连接的用户属于第3级管理级，telnet登陆的用户属于第0级访问级。登录交换机的用户的级别可以通过命令进行切换。需要注意的是：通过Console口登录的用户可根据需要选择是否使用命令super password设置从低级别到高级别的切换口令。通过Telnet 方式登录的用户必须设置使用命令super password 设置从低级别到高级别的切换口令。【举例】通过console口配置用户级别3的切换

7、口令 system-viewH3CSuper password level 3 simple 123456 设置用户级别3的切换口令为明文123456H3CSuper password level 3 cipher 123456 设置用户级别3的切换口令为密文123456查看切换用户级别的密码。Sysname display current-configuration#super password level 3 cipher =*Y=F*.%-a_SW8MYM2A!交换机远程连接管理通过Telnet连接以太网交换机1、将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。

8、2、在PC 机上运行Windows XP 的超级终端，设置终端通信参数：传输速率为9600bit/s、8 位数据位、1 位停止位、无校验和无流控。3、以太网交换机上电，PC机终端上将显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符。1、 通过Console 口在超级终端中执行以下命令，配置以太网交换机VLAN1 的IP地址为172.16.10.18/22 (255.255.252.0)。 system-viewH3C interface Vlan-interface 1 进入VLAN接口1H3C-Vlan-interface1 ip address 172.16.9

9、.200 255.255.252.05、在通过Telnet登录以太网交换机之前，配置用户的认证方式。注：VTY是Cisco、HUAWEI的设备管理的一种方式（虚拟链路）有关VTY接口见相关技术文档。配置步骤(注：该方法只配置了一个用户，如果同时多个用户登录，需对VTY 1-4 作相同的配置)# 进入系统视图。 system-view# 进入VTY0 用户界面视图。H3C user-interface vty 0# 设置用户进行Password 认证，口令为明文方式，口令为123456。H3C-ui-vty0 authentication-mode passwordH3C-ui-vty0 set

10、 authentication password simple 123456H3C-ui-vty0 set authentication password cipher 123456 设置密文# 设置从VTY0 用户界面登录后可以访问的命令级别为3 级。H3C-ui-vty0 user privilege level 3# 设置VTY0 用户界面支持Telnet 协议。H3C-ui-vty0 protocol inbound telnet# 设置VTY0 用户界面的超时时间为20 分钟。H3C-ui-vty0 idle-timeout 20# 设置VTY0 用户历史命令缓冲区可存放20 条命令

11、Sysname-ui-vty0 history-command max-size 20H3C-ui-vty0 quit6、在PC机上运行Telnet程序，输入交换机VLAN1 的IP地址。7、通过console口配置用户级别3的切换口令 system-viewH3CSuper password level 3 simple 123456 设置用户级别3的切换口令为1234568、Telnet 用户通过口令认证登录交换机时，缺省可以访问命令级别为0 级的命令。可使用super 命令切换。 Super 3 切换到管理级别3WEB 配置环境搭建通过WEB连接以太网交换机1、在通过WEB方式登录以太网

12、交换机之前，用户先正确配置以太网交换机VLAN1 接口的IP地址（VLAN1 为交换机的缺省VLAN）。2、配置WEB 用户名为admin，密码为admin，用户级别设为3（管理级用户） system-viewH3C local-user adminH3C -luser-admin service-type telnet H3C -luser-admin password cipher 1234563、搭建WEB网管远程配置环境。4、用户通过PC与交换机相连，并通过浏览器登录交换机。二、 WEB配置1.1 设备配置1. 【设备】【基本信息】修改系统名称2. 【设备】【时间管理】3. 【高级设置

13、】【区域码】，确保区域码正确4. 【高级设置】【上行链路检测】FAT AP通常需要通过以太网接口或Radio口（桥接链路）接入上行网络，。如果AP的上行以太网口或Radio口出现故障，将导致AP及关联到AP的无线客户端无法继续访问上行网络。开启上行链路检测后，一旦出现AP的上行链路故障，AP将停止提供无线接入服务，无线客户端将无法搜索到该AP的SSID。上行链接检测功能，保证了在无线客户端所关联的AP出现上行链路故障后，在同一区域还有其他正常工作AP覆盖的情况下，无线客户端可以通过关联到其他正常工作的AP接入上行网络。1.2 接口管理典型配置举例（与CLI配置方法的用途一致，可选其一）1. 组

14、网需求创建Vlan-interface1，并配置其IP地址为172.16.9.200。2. 配置步骤(1) 创建Vlan-interface1，并配置其IP地址。步骤1：在导航栏中选择“设备 接口管理”。步骤2：单击按钮。步骤3：进行如下配置，如下图所示。在接口名称中选择接口类型为“Vlan-interface”，输入接口编号为“1”。选择IP配置为“静态地址”。输入IP地址为“172.16.9.200”。选择网络掩码为“22 (255.255.255.0)”。1.3 VLAN配置（与CLI配置方法的用途一致，可选其一）1. 组网需求建立一个名为“SSID1”的无线接入服务，使用明文接入+ M

15、AC白名单过滤，所有接入该无线网络的客户端都在VLAN 6(192.168.14.*)中。建立一个名为“SSID2”的无线接入服务，使用WEP接入+ MAC白名单过滤，所有接入该无线网络的客户端都在VLAN 31(192.168.31.*)中。 WEB配置方法 新建VLAN 6，VLAN31注：可连续输入多个VLAN ID，例如“2,6-50,100”； 修改端口的成员类型，把VLAN 1设置为Untag,其它VLAN设置为tag 配置FAT AP的以太网接口链路类型配置为Trunk，并允许VLAN 6和VLAN 31的报文通过。1. 3. 验证配置结果(1) 客户端可以成功关联AP，并且可以

16、访问无线网络。(2) 在导航栏中选择“概览 客户端”，进入下图所示页面，可以查看到成功上线的客户端。 CLI配置步骤配置无线AP# 创建VLAN6,31，将端口加入到VLAN中SwitchA interface GigabitEthernet 1/0/1SwitchA- GigabitEthernet1/0/1 port link-type trunk 或HybridSwitchA- GigabitEthernet1/0/1 port trunk permit vlan 1 6 31SwitchA- GigabitEthernet1/0/1 quit完成VLAN配置后，在任意视图下执行disp

17、lay 命令，可以显示配置VLAN 后的运行情况。 display VLAN all 显示所有VLAN的信息 display interface Vlan-interface 1 显示VLAN1的接口信息1.4 无线服务配置1. 【无线服务】【接入服务】 在配置“接入服务”前，务必先关闭，否则会灰色显示、没法修改2. 新建无线服务 无线服务名称设置SSID（Service Set Identifier，服务集识别码）SSID的名称应该尽量具有唯一性。从安全方面考虑不应该体现公司名称，也不推荐使用长随机数序列作为SSID，因为长随机数序列只是增加了Beacon报文长度和使用难度，对无线安全没有改

18、进无线服务类型选择无线服务类型： clear：使用明文发送数据 crypto：使用密文发送数据注：只有选定了crypto：使用密文发送数据，才能配置加密方式 配置clear类型无线服务3. clear类型无线服务基本配置在界面左侧的导航栏中选择“无线服务 接入服务”B1AP1_MAC。配置项说明无线服务名称显示选择的SSIDVLAN（Untagged）添加Untagged的VLAN ID，VLAN（Untagged）表示端口成员发送该VLAN报文时不带Tag标签缺省VLAN设置端口的缺省VLAN在缺省情况下，所有端口的缺省VLAN均为VLAN 1，设置新的缺省VLAN后，VLAN 1为Unta

19、gged的VLAN ID删除VLAN删除已有Tagged和Untagged的VLAN ID网络隐藏配置是否在信标帧中通告SSID，缺省情况下，信标帧通告SSIDEnable：禁止在信标帧中通告SSID Disable：在信标帧中通告SSID SSID隐藏后，AP发送的信标帧里面不包含SSID信息，接入客户端必须在无线网卡上手动配置该SSID标识才能接入AP隐藏SSID对无线安全意义不大。允许广播SSID可以使客户端更容易发现AP4. clear类型无线服务高级配置表1-1 表2-4 clear类型无线服务高级配置的详细配置配置项说明关联最大用户数在一个射频下，某个SSID下关联客户端的最大个数

20、当某个SSID下关联的客户端达到最大个数时，该SSID会自动隐藏管理权限上线的客户端对设备WEB界面的管理权限Disable：表示上线的客户端对设备WEB界面没有管理权限 Enable：表示上线的客户端对设备WEB界面有管理权限MAC VLAN功能Enable：表示在指定无线服务下开启mac-vlan功能Disable：表示在指定无线服务下禁止mac-vlan功能快速关联功能开启：开启快速关联功能关闭：关闭快速关联功能缺省情况下，快速关联功能处于关闭状态开启此功能后，设备不会对关联到此无线服务的客户端进行频谱导航计算该特性的支持情况与设备型号相关，请参见“特性差异列表”中的“特性差异情况”部分

21、的介绍2. clear类型无线服务安全配置(1) 在列表中找到要进行配置的clear类型无线服务，单击对应的图标，进入clear类型无线服务安全配置页面。表2-5 clear类型无线服务安全配置的详细配置配置项说明认证方式clear类型只能选择Open-System方式端口安全 mac-authentication：对接入用户采用MAC地址认证mac-else-userlogin-secure：端口同时处于mac-authentication模式和userlogin-secure模式，但MAC地址认证优先级大于802.1X认证；对于非802.1X报文直接进行MAC地址认证。对于802.1X报文

22、先进行MAC地址认证，如果MAC地址认证失败进行802.1X认证mac-else-userlogin-secure-ext：与mac-else-userlogin-secure类似，但允许端口下有多个802.1X和MAC地址认证用户userlogin-secure：对接入用户采用基于端口的802.1X认证，此模式下，端口允许多个802.1X认证用户接入，但只有一个用户在线userlogin-secure-or-mac：端口同时处于userlogin-secure模式和mac-authentication模式，但802.1X认证优先级大于MAC地址认证；在用户接入方式为无线的情况下，报文首先进行

23、802.1X认证，如果802.1X认证失败再进行MAC地址认证userlogin-secure-or-mac-ext：与userlogin-secure-or-mac类似，但允许端口下有多个802.1X和MAC地址认证用户userlogin-secure-ext：对接入用户采用基于MAC的802.1X认证，且允许端口下有多个802.1X用户由于安全模式种类较多，为便于记忆，部分端口安全模式名称的构成可按如下规则理解： “userLogin”表示基于端口的802.1X认证 “mac”表示MAC地址认证 “Else”之前的认证方式先被采用，失败后根据请求认证的报文协议类型决定是否转为“Else”之

24、后的认证方式 “Or”连接的两种认证方式无固定生效顺序，设备根据请求认证的报文协议类型决定认证方式，但无线接入的用户先采用802.1X认证方式携带“Secure”的userLogin表示基于MAC地址的802.1X认证 携带“Ext”表示可允许多个802.1X用户认证成功，不携带则表示仅允许一个802.1X用户认证成功最大用户数控制能够通过某端口接入网络的最大用户数802.1x身份认证：802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制XX的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设

25、备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 配置crypto类型无线服务5. crypto类型无线服务基本配置 在界面左侧的导航栏中选择“无线服务 接入服务”。 在列表中找到要进行配置的crypto类型无线服务，单击对应的图标，进入如下图所示页面。6. crypto类型无线服务安全配置 在列表中找到要进行配置的crypto类型无线服务，单击对应的图标，进入如下图所示页面。WEP认证典型配置(2) 配置crypto类型无线服务安全信息，详细配置如下表所示。配置项说明认证方式链

26、路认证方式，可选择以下几种：Open-System：即不认证，如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证Shared-Key：共享密钥认证需要客户端和设备端配置相同的共享密钥；只有在使用WEP加密时才可选用shared-key认证机制Open-System and Shared-Key：可以同时选择使用Open-System和Shared-Key认证WEP加密方式可以分别和Open system、Shared key链路认证方式使用。采用Open system authentication方式：此时WEP密钥只做加密，即使密钥配置不一致，用户也可以成功建立无线链路，但所

27、有的数据都会因为密钥不一致被接收端丢弃采用Shared key authentication方式：此时WEP密钥同时作为认证密钥和加密密钥，如果密钥配置不一致，客户端就不能通过链路认证，也就无法接入无线网络加密类型无线服务支持加密机制 AES-CCMP：一种基于AES加密算法的加密机制TKIP：一种基于RC4算法和动态密钥管理的加密机制AES-CCMP and TKIP：可以同时选择使用AES-CCMP和TKIP加密安全IE无线服务类型（Beacon或者Probe response报文中携带对应的IE信息）WPA：在802.11i协议之前，Wi-Fi Protected Access定义的安全

28、机制WPA2：802.11i定义的安全机制，也就是RSN（Robust Security Network，健壮安全网络）安全机制，提供比WEP和WPA更强的安全性 WPA and WPA2：同时选择使用WPA和WPA2WEP加密自动提供密钥使用自动提供WEP密钥方式开启：使用自动提供WEP密钥方式关闭：使用静态WEP密钥方式缺省情况下，使用静态WEP密钥方式选择自动提供WEP密钥方式后，“密钥类型”选项会自动使用WEP 104加密方式自动提供WEP密钥方式必须和802.1X认证方式一起使用 配置动态WEP加密后，用来加密单播数据帧的WEP密钥由客户端和服务器协商产生。如果配置动态WEP加密的同

29、时配置了WEP密钥，则该WEP密钥作为组播密钥，用来加密组播数据帧。如果不配置WEP密钥，则由设备随机生成组播密钥密钥类型WEP 40：选择WEP 40进行加密 WEP 104：选择WEP 104进行加密WEP 128：选择WEP 128进行加密密钥ID密钥ID用来配置密钥索引号，在WEP中有四个静态的密钥。其密钥索引分别是1、2、3和4。指定的密钥索引所对应的密钥将被用来进行帧的加密和解密长度选择WEP密钥长度 当密钥类型选择WEP 40时，可选的密钥长度5个字符（5 Alphanumeric Chars）或者10位16进制数（10 Hexadecimal Chars）当密钥类型选择WEP

30、104时，可选的密钥长度13个字符（13 Alphanumeric Chars）或者26位16进制数（26 Hexadecimal Chars）当密钥类型选择WEP 128时，可选的密钥长度16个字符（16 Alphanumeric Chars）或者32位16进制数（32 Hexadecimal Chars）密钥配置WEP密钥端口安全四种端口安全模式： mac and psk：接入用户必须先进行MAC地址认证，通过认证后使用预先配置的预共享密钥与设备协商，协商成功后可访问端口psk：接入用户必须使用设备上预先配置的静态密钥，即PSK（Pre-Shared Key，预共享密钥）与设备进行协商，协商成功后可访问端口userlogin-secure-ext：对接入用户采用基于MAC的802.1X认证，且允许端口下有多个802.1X用户WPA-PSK认证典型配置举例7. 组网需求 要求客户端使用WPA-PSK方式接入