华三无线v7简单配置案例

1、#创建手工AP,名称为ap1#创建手HAP,名称为ap1，并配置序列号。1.1.1共享密钥认证配置举例绢网需求如图1-10所示,AC旁挂在Switch 上, Switch同时作为DHCP server为AP和Client 分配IP地址。通过配置客户端在链路层使用WEP密钥12345接入无线网络。绢网图图1-1共享密钥认证配置绢网图3.配置步骤创建无线服务模板#创建无线服务模板service1。 system-viAC wlan service-template servicel#配置无线服务的SSID为serviceoAC-wilan-st-service1_ssid_servi 配置WEP并

2、使能无线服务模板#配置使用WEP40加密套件，配置密钥索引为2,使用明文的字符串12345作为共 享密钥。AC-wlan-st-service1_cipher-suite iwep4 0AC-wlan-st-service1 wep key 2 wep40 pass-phrase simple 12345AC-wlan-st-servicel wep key-id 2#使能无线服务模板。AC-wlan-st-servicel_service-template enableAC-wlan-st-servicel quit(3)将无线服务模板绑定到radio1上AC wlan ap apl mod

3、el WA4320i-ACNAC-wlan-ap-apl serial-id 2l980lA0CNCl380ll454#进入Radio 1视图。AC-wlan-ap-apl radio#将无线服务模板绑定到Radio 1上，并开启射频。AC-wlan-ap-apl-radio-l service-template servicelAC-wlan-ap-ap1-radio-1 radio enableAC-wlan-ap-ap1-radio-1 return4.验证配詈#配置完成后，在AC上执行display wlan service-template命令，可以看到无线 服务模板下安全信息的配置

4、情况如下： display wlan_service-template_servicelService template nameSSIDSSID-hideUser-isolation:service1:service:Disabled:DisabledService template status:EnabledMaximum clients per BSS:64Frame format:Dot3Seamless roam status:DisabledSeamless roam RSSI threshold:50Seamless roam RSSI gap:20VLAN ID:1AKM m

5、ode:Not configuredSecurity IE:Not configuredCipher suite:WEP40WEP key ID:2TKIP countermeasure time:0PTK lifetime:43200 secGTK rekey:EnabledGTK rekey method:Time-basedGTK rekey time:86400 secGTK rekey client-offline:EnabledUser authentication mode:BypassIntrusion protection:DisabledIntrusion protecti

6、on mode:Temporary-blockTemporary block time:180 secTemporary service stop time:20 secFail VLAN ID:Not configured802.1X handshake:Disabled802.1X handshake secure:Disabled802.1X domain:Not configuredMAC-auth domain:Not configuredMax 802.1X users:4096Max MAC-auth users:4096802.1X re-authenticate:Disabl

7、edAuthorization fail mode:OnlineAccounting fail mode:OnlineAuthorization:PermittedKey derivation:N/APMF status:DisabledHotspot policy number:Not configuredForwarding policy status:DisabledForwarding policy name:Not configuredFT status:DisabledQoS trust:PortQoS priority:01.1.2 PSK身份认证与密钥管理模式和Bypass认证

8、配置举例组网需求如图1-11所示，AC旁挂在Switch上，Switch同时作为DHCP server为AP 和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。客户端客路层认证使用开放式系统认证，用户接入认证使用Bypass认证的方 式实现客户端可以不需要认证直接接入WLAN网络的目的。通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确 保用户数据的传输安全。组网图图1-2 PSK+Bypass认证配置组网图3一配置步援3.配置步骤(1)创建无线服务模板#创建无线无线服务模板serviced_system-viewAC wlan servic

9、e-template servicel#配置无线服务的SSID为serviceoAC-wlan-st-service1_ssid service配置身份认证与密钥管理模式为PSK模式、加密套件为CCMP、安全信息元素 为WPA并使能无线服务模板#配置AKM为PSK，配置PSK密钥，使用明文的字符串12345678作为共享密钥。AC-wlan-st-service1_akm mode pskAC-wlan-st-servicel preshared-key pass-phrase simple 12345678#配置CCMP为加密套件，配置WPA为安全信息元素。AC-wlan-st-servic

10、e1_cipher-suite ccmpAC-wlan-st-service1 security-ie wpa#使能无线服务模板。AC-wlan-st-service1service-templatenableAC-wlan-st-service1 quit(3)进入AP视图并将无线服务模板绑定到radiol上#创建手工AP，名称为ap1，并配置序列号。AC wlan ap ap1 model WA4320i-ACNAC-wlan-ap-ap1 serial-id 219801A0CNC138011454#进入Radio 1视图。AC-wlan-ap-ap1 radio 1#将无线服务模板绑定

11、到Radio 1上，并开启射频。AC-wlan-ap-ap1-radio-1 service-template service1AC-wlan-ap-ap1-radio-1 radio enableAC-wlan-ap-ap1-radio-1 return4.验证配置#配置完成后，在AC上执行display wlan service-template命令，可以看到无线 服务模板的配置情况如下。 display wlan service-template service1Service template name:service1SSID:serviceSSID-hide:DisabledUse

12、r-isolation:DisabledService template status:EnabledMaximum clients per BSS:64Frame format:Dot3Seamless roam status:DisabledSeamless roam RSSI threshold:50Seamless roam RSSI gap:20VLAN ID:1AKM mode:PSKSecurity IE:WPACipher suite:CCMPWEP key ID:2TKIP countermeasure time:0PTK lifetime:43200 secGTK reke

13、y:EnabledGTK rekey method:Time-basedGTK rekey time:86400 secGTK rekey client-offline:EnabledUser authentication mode:BypassIntrusion protection:DisabledIntrusion protection mode:Temporary-blockTemporary block time:180 secTemporary service stop time:20 secFail VLAN ID:Not configured802.1X handshake:D

14、isabled802.1X handshake secure:Disabled802.1X domain:Not configuredMAC-auth domain:Not configuredMax 802.1X users:4096Max MAC-auth users:4096802.1X re-authenticate:DisabledAuthorization fail mode:OnlineAccounting fail mode:OnlineAuthorization:PermittedKey derivation:N/APMF status:DisabledHotspot pol

15、icy number:Not configuredForwarding policy status:DisabledForwarding policy name:Not configuredFT status:DisabledQoS trust:PortQoS priority:01.1.3 PSK身份认证与密钥管理模式和MAC地址认证配置举例1.绢网需求如图1-12所示，AC旁挂在Switch上，Switch同时作为DHCP server为AP 和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。客户端链路层认证使用开放式系统认证，客户端通过RADIUS服务器进

16、行MAC 地址认证的方式，实现客户端可使用固定用户名abc和密码123接入WLAN 网络的目的。通过配詈客户端和AP之间的数据报文采用PSK认证密钥管理模式来确保用户 数据的传输安全。2.绢网图图1-3 PSK密钥管理模式和MAC认证配置组网图3.配置步骤. 下述配置中包含了若干AAA/RADIUS协议的配置命令，关于这些命令的详 细介绍，请参见“安全命令参考”中的“ AAA”。.确保RADIUS服务器与AC路由可达，并成功添加了用户账户，用户名为 abc，密码为123。创建无线服务模板#创建无线无线服务模板serviced_system-viewAC wlan service-templat

17、e servicel#配置无线服务的SSID为serviceoAC-wlan-st-service1_ssid service配置身份认证与密钥管理为PSK模式、加密套件为CCMP、安全信息元素为WPA#配置AKM为PSK,配置PSK密钥，使用明文的字符串12345678作为共享密钥。AC-wlan-st-service1_akm mode pskAC-wlan-st-service1 preshared-key pass-phrase simple 12345678#配置CCMP为加密套件，配置WPA为安全信息元素。AC-wlan-st-service1cipher-suite ccmpAC

18、-wlan-st-servicel security-ie wpa配置用户接入认证模式并使能无线服务模板#配置用户接入方式为MAC地址认证。AC-wlan-st-servicel_client-security authentication-mode mac#配置使能无线服务模板。AC-wlan-st-service1_service-template enableAC-wlan-st-service1 quit创建RADIUS方案#创建RADIUS方案radiusl并进入其视图。ACradius scheme radiusl#配置主认证/计费RADIUS服务器的IP地址为10.1.1.3，服

19、务器的UDP端口号为 1812 和 1813。AC-radius-radius1_primary authentication_10.1.1.3_1812AC-radius-radiusl primary accounting 10.1.1.3 1813#配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为12345678。AC-radius-radius1_key authentication_simple_1234 5678AC-radius-radius1 key accounting simple 12345678#配置发送给RADIUS服务器的用户名不携带域名。AC-radi

20、us-radius1iser-name-fcrmat without-domainAC-radius-radius1 quit发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名、 以及服务器端的配置有关：若服务器端不接受携带域名的用户名，或者服务器上配置的用户认证所使 用的服务不携带域名后缀，则Device上指定不携带用户名(without-domain)；若服务器端可接受携带域名的用户名，且服务器上配置的用户认证所使用 的服务携带域名后缀，则Device上指定携带用户名(with-domain)。配置使用RADIUS方案进行认证、授权、计费#创建认证域(ISP域)dom1并进

21、入其视图。AC_domain dom1#配置MAC用户使用RADIUS方案radius1进行认证、授权、计费。AC-isp-dom1_authentication lan-accessradius-scheme radius1AC-isp-dom1 authorization lan-access radius-scheme radius1AC-isp-dom1 accounting lan-access radius-scheme radius1AC-isp-dom1 quit配置MAC地址认证域及用户名和密码#配置认证域为doml,用户名为abc,密码为明文字符串123。AC_mac-authentication domain domlAC mac-authentication user-name-format fixed account abc password simple 123(7)将无线服务模板绑定到radiol上#创建手工AP，名称为ap1，并配置序列号。AC wlan ap ap1 model WA4320i-ACNAC-wlan-ap-ap1 serial-id 219801A0CNC138011454#进入Radio 1视图。AC-wlan-ap-ap1 radio 1#将无线服务模板绑定到Radio 1上，并开启射频。AC-wlan-ap-a