WLAN实验手册.doc

实验一FAT AP基本配置【实验拓扑】PC的COM口连接FAT AP的Console口【实验说明】1、无线虚拟接口即interface wlan-bss接口，该接口用于关联无线客户端和无线服务模板，和无线服务模板一起绑定到无线射频接口下。2、无线服务模板即service-template，用于定义SSID、无线验证和加密方式等3、无线射频接口即interface radio接口，该接口用于绑定无线服务模板和无线虚拟接口、使能无线射频卡以及设置无线射频参数。对于双射频（2块射频卡，一块11b/g卡，一块11a卡），模块情况下11b/g卡射频接口对应为interface radio 1/0/2。【实验步骤】步骤一：创建无线虚拟接口，并设置无线终端从此无线虚拟接口接入时属于VLAN 2H3Cinterface wlan-bss 1H3C-wlan-bss1port access vlan 2步骤二：创建无线服务模板，采用开放系统验证（Open-system），定义SSID为ALADING-LYH3Cwlan service-template 2 clearH3C-wlan-st-2ssid ALADING-LYH3C-wlan-st-2authentication-method open-systemH3C-wlan-st-2service-template enable步骤三：创建无线射频接口，绑定无线虚拟接口和服务模板H3Cinterface wlan-radio 1/0/2H3C-wlan-radio1/0/2radio-type dot11gH3C-wlan-radio1/0/2service-template 2 interface wlan-bss 2注：对于双射频接口的AP，wlan-radio1/0/1为802.11a射频接口，wlan-radio1/0/2默认射频为802.11g，可通过命令更改为802.11b【注意】1、修改无线虚拟接口参数时，必须首先在无线服务模板视图下，输入命令service-template disable后才能够修改。2、修改无线服务模板参数时，也需要先禁用无线服务模板。3、使用命令display wlan client verbose查看无线终端接入的详细信息。实验二配置FAT AP共享式WEP加密【实验拓扑】AP连接以太网交换机【实验步骤】步骤一：配置AP和以太网交换机的IP地址配置以太网交换机的IP地址：Switchvlan 1Switchinterface vlan-interface 1Switch-vlan-interface1ip address 172.16.1.254 24配置AP的IP地址：APinterface vlan-interface 1AP-vlan-interface1ip address 172.16.1.253 24步骤二：在以太网交换机上配置DHCPSwitchdhcp enableSwitchdhcp server ip-pool POOL1Switch-dhcp-pool-POOL1network 172.16.1.0 mask 255.255.255.0Switch-dhcp-pool-POOL1gateway-list 172.16.1.254Switch-dhcp-pool-POOL1expired day 3Switch-dhcp-pool-POOL1quitSwitchdhcp server forbidden-ip 172.16.1.253Switchdhcp server forbidden-ip 172.16.1.254查看DHCP地址分配情况Switchdisplay dhcp server ip-in-use all步骤三：配置共享式身份验证的无线接入服务APinterface wlan-bss 3AP-wlan-bss3port access vlan 1APwlan service-template 3 cryptoAP-wlan-st-3ssid ALADING-WEP40AP-wlan-st-3authentication-method share-keyAP-wlan-st-3cipher-suite wep40AP-wlan-st-3wep default-key 3 wep40 pass-phrase helloAP-wlan-st-3wep key-id 3AP-wlan-st-3service-template enableAPinterface wlan-bss 4AP-wlan-bss3port access vlan 1APwlan service-template 4 cryptoAP-wlan-st-4ssid ALADING-WEP104AP-wlan-st-4authentication-method share-keyAP-wlan-st-4cipher-suite wep104AP-wlan-st-4wep default-key 4 wep104 pass-phrase hello12345678AP-wlan-st-4wep key-id 4AP-wlan-st-4service-template enable步骤四：在802.11g射频卡上绑定无线服务模板和无线虚拟接口APinterface wlan-radio 1/0/2AP-wlan-radio1/0/2service-template 3 interface wlan-bss 3AP-wlan-radio1/0/2service-template 4 interface wlan-bss 4步骤五：客户端配置1）SSID：ALADING-WEP402）网络身份验证：共享式3）数据加密：WEP4）网络密钥：hello5）密钥索引：3或1）SSID：ALADING-WEP1042）网络身份验证：共享式3）数据加密：WEP4）网络密钥：hello123456785）密钥索引：4实验三配置FAT AP上行链路完整性检测功能【实验拓扑】AP连接以太网交换机【实验步骤】步骤一：在AP上配置无线服务模板、无线虚拟接口并绑定H3Cwlan service-template 5 clearH3C-wlan-st-5ssid ALADING-UPLINKH3C-wlan-st-5authentication-method open-systemH3C-wlan-st-5service-template enableH3Cinterface wlan-bss 5H3C-wlan-bss3port access vlan 1H3Cinterface wlan-radio 1/0/2H3C-wlan-radio1/0/2service-template 5 interface wlan-bss 5步骤二：交换机的DHCP配置略去（或者无线终端手工指定IP地址）步骤三：在AP上使能上行链路完整性检测功能H3Cwlan uplink-interface Ethernet 1/0/1步骤四：验证上行链路完整性检测功能1）无线终端连接到AP上H3Cdisplay wlan client查看WLAN客户端信息H3Cdisplay wlan client verbose查看WLAN客户端详细信息2）关闭AP的接口Ethernet1/0/1，发现AP强制无线客户端下线，并且客户端将无法搜索到该AP的SSID。H3Cdisplay wlan client3）重新开启AP的Ethernet1/0/1接口，无线客户端将能够重新搜索到该AP的SSID并成功连接到该AP。实验四AC+Fit AP组网通过二层网络注册【实验拓扑】AP连接无线交换机WX3010的g1/0/3端口【实验步骤】步骤一：将AP工作模式设置为FIT AP ap fit注：输入上述命令后AP将提示是否切换到瘦AP模式，输入Y确认步骤二：在AC的无线模块上创建VLAN并配置相关VLAN的IP地址；在AC的交换模块上创建VLAN并配置相关VLAN的IP地址H3Csysname ACACvlan 2AC-vlan-2quitACint vlan 2AC-vlan-interface2ip address 192.168.2.253 24AC-vlan-interface2quit#配置无线交换机的无线模块与交换模块互连的接口为Trunk，#并允许所有vlan通过ACint g1/0/1AC-gigabitethernet1/0/1port link-type trunkAC-gigabitethernet1/0/1port trunk permit vlan allAC-gigabitethernet1/0/1return注：WX3010无线交换机在内部通过无线模块的G1/0/1接口与交换模块的G1/0/11接口内部互连oap connect slot 0#从无线模块切换到交换模块进行配置sysH3Csysname SwitchSwitchvlan 2Switch-vlan-2quitSwitchint vlan 2Switch-vlan-interface2ip address 192.168.2.254 24Switch-vlan-interface2quitSwitchint g1/0/11Switch-gigabitethernet1/0/11port link-type trunkSwitch-gigabitethernet1/0/11port trunk permit vlan allSwitch-gigabitethernet1/0/11quit#配置无线交换机的交换模块的G1/0/3端口为access，#并且划分到VLAN 2，即AP划分到VLAN 2中。Switchint g1/0/3Switch-gigabitethernet1/0/3port link-type accessSwitch-gigabitethernet1/0/3port access vlan 2Switch-gigabitethernet1/0/3quit【分析】AP连接的无线交换机的端口（交换模块的端口G1/0/3）被划分到VLAN 2中。无线交换机内部交换模块与无线模块互连的端口（分别为交换模块的G1/0/11和无线模块的G1/0/1）配置为Trunk，并允许所有VLAN通过。另外在无线交换机的无线模块上创建VLAN 2并配置VLAN 2的三层虚接口（int vlan 2）。当AP通过DHCP获取IP地址后，将发出广播报文（该广播将在VLAN 2内传播）来查找AC，最终能够找到AC并正常注册。步骤三：在AC上配置DHCPACdhcp enableACdhcp server ip-pool POOL2AC-dhcp-pool-pool2network 192.168.2.0 24AC-dhcp-pool-pool2gateway-list 192.168.2.254AC-dhcp-pool-pool2quitACdhcp server forbidden-ip 192.168.2.253ACdhcp server forbidden-ip 192.168.2.254#通过以下命令查看DHCP Server进行地址分配的情况ACdisplay dhcp server ip-in-use all步骤四：在AC上配置AP相关信息ACwlan ap ap1 model WA2220-AG#设置AP的序列号（在AP的背面查看，注意区分大小写）AC-wlan-ap-ap1serial-id 210235A22W0073000022AC-wlan-ap-ap1quit#通过以下命令观察AP是否成功注册到ACACdisplay wlan ap allACdisplay wlan ap all verbose注：当AP成功注册后，查看的状态将为“Run/M”（M表示Master，表示该AC是此AP的主用AC设备；若为备用AC设备，则注册成功后的状态为“Run/B”）。实验五AC+Fit AP组网通过三层网络注册（DHCP Option 43）【实验拓扑】AP连接无线交换机WX3010的g1/0/3端口【实验步骤】步骤一：若AP工作在FAT AP模式，则将AP工作模式设置为FIT AP ap fit注：输入上述命令后AP将提示是否切换到瘦AP模式，输入Y确认步骤二：在AC的无线模块上创建VLAN并配置相关VLAN的IP地址；在AC的无线模块上完成路由配置H3Csysname ACACvlan 2AC-vlan-2quitACint vlan 2AC-vlan-interface2ip address 192.168.2.253 24AC-vlan-interface2quitACip route-static 0.0.0.0 0.0.0.0 192.168.2.254#配置无线交换机的无线模块与交换模块互连的接口为Trunk，#并允许所有vlan通过ACint g1/0/1AC-gigabitethernet1/0/1port link-type trunkAC-gigabitethernet1/0/1port trunk permit vlan allAC-gigabitethernet1/0/1return注：WX3010无线交换机在内部通过无线模块的G1/0/1接口与交换模块的G1/0/11接口内部互连oap connect slot 0#从无线模块切换到交换模块进行配置sysH3Csysname SwitchSwitchvlan 2Switch-vlan-2vlan 3Switch-vlan-3quitSwitchint vlan 2Switch-vlan-interface2ip address 192.168.2.254 24Switch-vlan-interface2quitSwitchint vlan 3Switch-vlan-interface3ip address 192.168.3.254 24Switch-vlan-interface3quitSwitchint g1/0/11Switch-gigabitethernet1/0/11port link-type trunkSwitch-gigabitethernet1/0/11port trunk permit vlan allSwitch-gigabitethernet1/0/11quit#配置无线交换机的交换模块的G1/0/3端口为access，#并且划分到VLAN 3，即AP划分到VLAN 3中。Switchint g1/0/3Switch-gigabitethernet1/0/3port link-type accessSwitch-gigabitethernet1/0/3port access vlan 3Switch-gigabitethernet1/0/3quit【分析】AP连接的无线交换机的端口（交换模块的端口G1/0/3）被划分到VLAN 3中。无线交换机内部交换模块与无线模块互连的端口（分别为交换模块的G1/0/11和无线模块的G1/0/1）配置为Trunk，并允许所有VLAN通过。但是在无线交换机的无线模块上并不存在VLAN 3及其三层虚接口（int vlan 3）。当AP通过DHCP获取IP地址后，（可以获取到地址吗）将发出广播报文（该广播将在VLAN 3内传播）来查找AC，AC无法正确地接收到，也就是说AP与AC将采用三层网络方式进行注册，可以认为采用上述配置时AP属于VLAN 3，但是AC上配置int VLAN 2的IP地址（相当于属于VLAN 2），双方位于不同的VLAN中，必须采用三层方式完成注册。步骤三：在AC上配置DHCP，并设置Option 43参数注：DHCP Server利用Option 43中携带的参数来将AC的IP地址信息告诉AP。Option 43的参数格式如下（16进制）：80固定07表示后面共有7个字节内容00 00固定01表示后面有1个IP地址信息C0 A8 02 FD即AC的IP地址（本例中AC的IP为192.168.2.253）ACdhcp enableACdhcp server ip-pool POOL3AC-dhcp-pool-pool2network 192.168.3.0 24AC-dhcp-pool-pool2gateway-list 192.168.3.254AC-dhcp-pool-pool2option 43 hex 80 07 00 00 01 C0 A8 02 FDAC-dhcp-pool-pool2quitACdhcp server forbidden-ip 192.168.3.254步骤四：在AC的交换模块上配置DHCP中继代理#DHCP Server配置在AC的无线模块（根据步骤二的分析，可以认为此时DHCP Server在VLAN 2中），但是AP位于VLAN 3，DHCP动态获取IP地址时是采用广播报文来进行交互的，既然DHCP Server和AP位于不同VLAN，必须配置DHCP中继代理。在本例中，DHCP中继代理将配置在AC的交换模块的int vlan 3接口上注：DHCP中继代理应该配置在DHCP客户端所属VLAN的三层虚接口上。oap connect slot 0sys#配置DHCP Server组的IP地址Switchdhcp-server 1 ip 192.168.2.253#到AP所属的VLAN对应的三层虚接口下启用DHCP中继代理Switchint vlan 3Switch-vlan-interface3dhcp-server 1注：完成上述配置后，当AP发出DHCP广播报文（AP属于VLAN 3，因此此报文将在VLAN 3内传播）时，交换模块将从int vlan 3收到该广播报文，由于int vlan 3下启用DHCP中继代理，交换模块会将此DHCP广播报文转换为单播IP报文，直接发送给DHCP Server#通过以下命令查看DHCP Server进行地址分配的情况ACdisplay dhcp server ip-in-use all步骤五：在AC上配置AP相关信息ACwlan ap ap1 model WA2220-AG#设置AP的序列号（在AP的背面查看，注意区分大小写）AC-wlan-ap-ap1serial-id 210235A22W0073000022AC-wlan-ap-ap1quit#通过以下命令观察AP是否成功注册到ACACdisplay wlan ap allACdisplay wlan ap all verbose注：当AP成功注册后，查看的状态将为“Run/M”（M表示Master，表示该AC是此AP的主用AC设备；若为备用AC设备，则注册成功后的状态为“Run/B”）。步骤六：在AC上配置无线接入服务1）配置无线虚拟接口注意：FAT AP组网时BSS接口，AC+FIT AP组网则为ESS接口ACinterface WLAN-ess 2AC-WLAN-ESS2port access vlan 22）配置无线服务模板ACwlan service-template 2 clearAC-wlan-st-2ssid ALADING(FIT_AP)#在无线服务模板中绑定WLAN-ESS接口AC-wlan-st-2bind WLAN-ESS 2#设置验证方法AC-wlan-st-2authentication-method open-system#启用此无线服务模板AC-wlan-st-2service-template enable#进入ap1进行配置ACwlan ap ap1#进入ap1的第二个射频接口（本实验中AP为双射频卡的，其中radio 1为802.11a、radio 2默认为802.11g，可通过配置更改为802.11b，相当于胖AP配置中的wlan-radio1/0/1和wlan-radio1/0/2两个射频接口）AC-wlan-ap-ap1radio 2AC-wlan-ap-ap1-radio-2max-power 14#设置该AP的最大功率AC-wlan-ap-ap1-radio-2channel 11#设置该AP的信道AC-wlan-ap-ap1-radio-2service-template 2#应用服务模板AC-wlan-ap-ap1-radio-2service-template 3#应用服务模板注：AP的一个射频接口下可以应用多个无线服务模板AC-wlan-ap-ap1-radio-2radio enable#启用射频接口步骤七：在无线客户端配置使之连接到SSID为ALADING(FIT_AP)的无线服务中，在AC上使用以下命令查看无线客户端ACdisplay wlan clientACdisplay wlan client verbose实验六AC+Fit AP组网的本地MAC地址认证【实验拓扑】AP连接无线交换机WX3010的g1/0/3端口【实验步骤】步骤一：完成VLAN、DHCP地址池、AP信息等配置（二层/三层注册均可），使得AP成功注册到AC上步骤二：配置采用MAC地址验证的无线接入服务1）配置无线虚拟接口的MAC地址认证功能，并配置其所属VLAN#开启端口安全功能ACport-security enableACinterface wlan-ess 3#配置无线虚拟接口的端口安全模式AC-WLAN-ESS3port-security port-mode mac-authenticationAC-WLAN-ESS3port access vlan 32）配置无线服务模板ACwlan service-template 3 clearAC-wlan-st-3ssid Alading-MACAC-wlan-st-3bind WLAN-ESS 3AC-wlan-st-3authentication-method open-systemAC-wlan-st-3service-template enable3）配置无线射频接口00234ed5cd0aACwlan ap ap1AC-wlan-ap-ap1radio 2AC-wlan-ap-ap1-radio-2service-template 3AC-wlan-ap-ap1-radio-2radio enable4）配置本地帐号用于进行MAC验证#创建本地帐号0019d221a8d6AClocal-user 0019d221a8d6#配置该帐号的密码为0019d221a8d6AC-luser-0019d221a8d6password simple 0019d221a8d6#配置该帐号可以用于WLAN接入AC-luser-0019d221a8d6service-type lan-access注：帐号的名称和密码均为无线客户端的MAC地址（16进制对应的字符，无“:”或“-”分割，必须为小写）实验七AC+Fit AP组网的PSK认证【实验拓扑】AP连接无线交换机WX3010的g1/0/3端口【实验步骤】步骤一：完成VLAN、DHCP地址池、AP信息等配置（二层/三层注册均可），使得AP成功注册到AC上步骤二：配置采用PSK认证方式的无线接入服务1）配置无线虚拟接口的PSK认证方式，并配置其所属VLAN#开启端口安全功能ACport-security enableACinterface wlan-ess 4#配置无线虚拟接口的端口安全模式，即在此处配置PSK认证方式或802.1x认证方式AC-WLAN-ESS4port-security port-mode pskAC-WLAN-ESS4port-security tx-key-type 11keyAC-WLAN-ESS4port-security preshared-key pass-phrase 12345678AC-WLAN-ESS4port access vlan 32）配置无线服务模板ACwlan service-template 4 cryptoAC-wlan-st-4ssid Alading-PSKAC-wlan-st-4bind WLAN-ESS 4#WPA或WPA2安全架构中，在无线服务模板中配置验证方法并无实际作用，配置为open-system即可。AC-wlan-st-4authentication-method open-system#设置加密套件为TKIPAC-wlan-st-4cipher-suite tkip#设置采用WPA安全架构AC-wlan-st-4security-ie wpaAC-wlan-st-3service-template enable或#设置加密套件为CCMPAC-wlan-st-4cipher-suite ccmp#设置采用WPA2安全架构（注：802.11i中把WiFi联盟定义的WPA2命名为Robust Security Network健壮安全网络）AC-wlan-st-4security-ie rsn注1：WLAN最初的安全机制采用WEP进行数据加密，它能够和Open-system认证方式和shared-key认证方式结合使用。注2：WiFi联盟针对WLAN的安全性提供了WPA和WPA2两种安全架构，每种安全架构中都包括身份验证以及数据加密的相关标准，具体如下：u WPA安全架构 身份验证o PSK方式（Pre-Shared Key）预共享密钥在AP和无线客户端上配置一个相同的密钥来验证o 802.1x方式通过Radius Server对用户进行验证，每用户将各自的帐号和密码 数据加密o TKIP（临时密钥完整性协议）算法为RC4o CCMP算法为AESu WPA2安全架构 身份验证o PSK方式（Pre-Shared Key）预共享密钥在AP和无线客户端上配置一个相同的密钥来验证o 802.1x方式通过Radius Server对用户进行验证，每用户将各自的帐号和密码 数据加密o TKIP（临时密钥完整性协议）算法为RC4o CCMP算法为AES3）配置无线射频接口ACwlan ap ap1AC-wlan-ap-ap1radio 2AC-wlan-ap-ap1-radio-2service-template 4AC-wlan-ap-ap1-radio-2radio enable步骤三：无线客户端连