h3c msr系列路由器操作手册v1.13-wlan分册

1 1 1 2 4 4 4 5 6 6 9 配置 WLAN服务的显示和..........................................................................................................1- 基于AP的用户接入控制显示和...........................................................................................1- H3CMSR系列路由器对相关命令参数支持情况、缺省值及取值范围的差异内容请参见本模块的WLAN服务配WLAN（WirelessLocalAreaNetwork，无线局域网）技术是通信领域的热点之一，和有线相无线用户可以传统802.3局域网使用不同认证和，安全地WLAN常用术带有无线网卡的PC或便携式笔记本电脑等AP提供无线客户端到局域网的桥接功能，在无线客户端与无线局域网之间进行无线到有线和有线AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息，来为WLAN用户提供认证服务。FAT到无线的转换，而FATAP在这个过程中起到了桥梁的作用。（ServiceSetIdentifier，服务组合识别码），客户端可以先扫描所有网络，然后选择特定的接入某个指定无线网络。AP管理实时任务，如信标生成、探查回应、电源管理、报文缓存、报文分片和分片重组、调度、调度及802.11e分类。用户接入过图1-1建立无线连接过 主动扫描主动扫描 扫AuthenticationRequestAuthenticationResponseAssociationRequestAssociationResponse用户试图主动寻找网络时，可用主动扫描对周围的无线网络进行扫描。根据是否携带指定，客户端发送ProbeRequest（为null）：用户预先配有一个信道列表，客户端在信道列表中的信道上广播探查请求帧（ProbeRequest）。AP收到探查请求帧后，回应探查响应帧（ProbeResponse）AP进行关联。这种方法适用于无线客户端图1-2主动扫描过程（ProbeRequest中为ProbeRequest（ProbeRequest携带指定的）：这种情况下，因为客户端携带指定的，只会单播发送探查请求帧（ProbeRequest），相应的AP接受到后回复图1-3主动扫描过程（ProbeRequest携带指定的APBeacon帧来发现网络。用户预先配有用于扫描的信道列表，在每个信道上信标。扫描要求AP周期性发送Beacon帧。当用户需要节省电量时，可以使用扫描。一般VoIP语音终端通常使用扫描方式。图1-4扫描过为防止用户接入，首先需要在用户和AC/FATAP之间建立认证，认证机制包括两种。只有通如果用户想通过AP接入无线网络，用户必须同特定的AP关联。当用户通过指定选择无线网关联响应。用户每次只可以关联到一个AP上，并且关是由用户发起。解除认证用于中断已经建立的认证关系。AC/FATAP发送解除认证帧来将用户从无线系统中清除。当客户端从一个AP区域/BSS区域漫游到另一个AP区域/BSS区域时，客户端使用重新关联。AP传送重新关联请求到AC。AC通知先前的AP从数据库中删除此用户信息，并通知新AP添加用户802.11协议概在分离MAC架构中，AP和AC负责管理不同的功能。CAPWAPCAPWAP（ControllingandProvisioningofWirelessAccessPoint，无线接入点控制与供应）协议定义APAC之间如何通信，为实APAC之间的互通性提供一个通用封装和传输机制，如图1-5CAPWAP之间的通信依照标准UDP客户端/服务器CAPWAPAC的数据包。这些数据包可以是802.11IP网络中CAPWAPUDP协议作为承载协议，并支持IPv4IPv6协议。CAPWAP支持链路为了实现无线控制器的备份，AP需要与两个无线控制器分别建立信道。这两台无线控制器之间为主备份的关系，且对于需要提供服务的同一AP，其AP视图下的配置必须保持一致。处于主用状AP提供服务，而备用无线控制器为主用无线控制器提供备份。通过心图1-6双链路连AC1出现故障后，AC2的工作状态立即由备用转控制器。当AC1恢复连接后，AC1保持在备用状态。图1-7PrimaryAC支持双链路连 ACAC2会成为MasterACAC1PrimaryACAC1AP建立连接，成为MasterAC。AC图1-8AC同时支持两种工作状 AP AP AC可以同时提供主备份连接。在上图中，AC1AP1AP2提供备份链路。类似的，AC2AP2建立主用链路，同时为AP1提供备份链路。AC组网拓VLAN一个AP所覆盖的范围被称为BSS（BasicServiceSet，基本服务集）。每一个BSS由B 到了同样的，那么他们就可以互相通信。图1-9为单一BSS网络组网示意图。图1-9BSS网ESS（ExtendedServiceSet，扩展服务集）。这些客户端可以互相，也可以网络中的主机。属于同一BSS的客户端之间的通信由AP和AC实它可以加入一个可用的ESS1-10为多ESS网络组网示意图。图1-10ESS网标或探查响应帧，在网络中广播这些ESS的当前信息，客户端可以根据情况选择加入的ESS。图1-11集中式WLAN系APAPAP三层网络连接到AC上。。 使用认证服务器来验证无线客户端FATAP到了同样的，那么他们就可以互相通信。图1-12为单一BSS网络组网示意图。图1-12BSS网AP，它可以加入一个可用的ESS1-13为多ESS网络组网示意图。图1-13ESS网帧，在网络中广播这些ESS的当前信息，客户端可以根据情况选择加入的ESS。ESS多BSS（多重射频情况1-14所示组网描述了FATAP在单一逻辑管理时有超过一个频段的应用。所有的频段支持相同的图1-14ESSBEE组FATRadioBSSRadioBSSESSANSI/IEEEStd802.11,1999IEEEStdIEEEStdIEEEStdIEEEStd配置WLANWLAN表1-1WLAN服务配置任使能WLAN服务（仅AC支持配置全局WLAN参数（仅FATAP支持配置上行接口（仅FATAP支持配置AP（仅AC支持使能WLAN服务（仅AC支持表1-2使能WLAN服-使能WLANwlan缺省情况下，WLAN配置全局WLAN参数（仅FATAP支持表1-3配置全局WLAN参-配置FATAP空闲超时时间间wlanclientidle-秒配置FATAP生存超时时间间wlanclientkeep-alive配置FATAP发现策缺省情况下，FATAP接收广播Probe配置上行接口（仅FATAP支持FATAP用来在客户端和有线网络之间建立连接。所以在FATAP上需要有个连接有线网络的接口，图1-15上行接口组网WiredWiredL2UplinkFAT表1-4配置上行接-配置国家配置AP之前，必须配置有效的国家码或区域码。表1-5配置国家-wlancountry-codeFITAP为零配置设备，该设备在上电后可以自动发AC，但缺省情况下FITAPAC软件版本一致。在AC上通过配置软件自动升级命FITAPAC的软件版本，升AC版本后，不再需要人员升级FITAP设备版本。表1-6配置软件自动升-wlanapdbmodel-时的版本，即要求FITAP设备和AC设备软件版本一致配置服务模WLAN服务模板包括一些属性，如WLAN-ESS接口和认证算法（开放系统认证或共表1-7配置服务模--指定WLAN接口并进入WLAN-（仅AC支持此命令的支持情况与-配置WLAN服务模service-template-number{clearcrypto---（仅AC支持此命令的支持情况与[vlanvlan-id-list{open-system|shared-key分册”中的“WLAN安全配置”最多为64配置AP（仅AC支持AP用来在无线控制器和无线网络之间建立连接。AP通过射频信号同无线网络的客户端建立连接，表1-8-wlanapap-name-description缺省情况下，响应时间间隔为10限制ACAP发送数据报文的速[cbscommitted-burst-size配置Jumbo帧的门限jumboframeenable缺省情况下，关闭Jumbo帧的功clientidle-timeout3600clientkeep-aliveprioritylevel-配置AC发现策wlanlwappdiscovery-policy使能WLANwlanradio{disable|enable{radio-policyradio-policy-nameall|dot11a|dot11b|dot11g缺省情况下，WLAN射频处于关闭配置AP自动表1-9AP自动发-wlanauto-apwlanapap-name-serial-id-wlanauto-appersistent{nameauto-ap-name[new-ap-name]|all}配置CAPWAP支持双链路（仅AC支持表1-10CAPWAP支持双链-AC的IP地wlanbackup-ac{ipipv4-|ipv6ipv6-address备份ACwlanapap-name-prioritylevelAC成为PrimaryACAC出现故立连接，成为MasterAC配置必须保持一致。否则当无线控制器的主备状态切换之后，无法保证AP设备工作正常。表1-11AP射频（AC设备-wlanapap-name-radioradio-number[{dot11a|dot11b|dot11g}channel{channel-numberauto即auto模式preamble{long|short使能自动（AdaptiveNoiseaniwlanradio-policy命令创建自定义的radio表1-12AP射频（FATAP设备--radio-type{dot11b|dot11gdot11achannel{channel-numberautopreamble{long|short在射频策略/接口下可以配置一系列的射频参数。如果将某个射频策略映射到某个射频（dot11b/g或dot11a），则该射频就继承在射频策略里配置的所有参数。表1-13配置射频策略/接-wlanradio--进入WLAN射频TrafficIndicationMessage，数据待dtim期是信标周期的counter倍fragment-threshold2346rts-threshold缺省情况下，RTS门限值为2346long-retrythreshold帧的最大重传次数为4short-retrythreshold缺省情况下，帧长不大于RTS门限值的帧的最大重传次数为7缺省情况下，AP保存接收的数据包的时间间隔为2000毫秒802.11n802.112.4GHz5GHzWLAN接入用户提供更高的“接入速率”，802.11n提高通讯速率的主要在于增加带宽和提高信道利用增加带宽：802.11n通过将两个20MHz的带宽绑定在一起组成一个40MHz通讯带宽，在实际工作时可以作为两个20MHz的带宽使用（一个为主带宽，一个为次带宽，收发数据时既可以40MHz的带宽工作，也可以单个20MHz带宽工作），这样可将速率提高一倍，提高无线网络的吞吐量。802.11nA-MPDUMPDUA-MPDU，只保留一PHYMPDUPHYMPDUPHY头的附加信息，同时也减少了ACK帧的数目，从而降低了协议的负荷，有效的提高网络吞吐量。802.11nMACA-MSDUMSDU组合成一个MSDU发送A-MPDU类似，通过聚合，A-MSDUMSDUMAC头的附加信息，提高了MAC层的传输效率。802.11n11a/gGI800us，而短间ShortGI时长为400us，在使用ShortGI的情况下，可提高10%的速率。表1-14-wlanapap-name-{dot11an|dot11gn-指定当前Radio接口的带宽模channelband-width{20|40802.11a用户接入；802.11gn类short-gi缺省情况下，ShortGI功能处于使能状a-msdu缺省情况下，802.11n模式下A-a-mpdu缺省情况下，在802.11n模式A-MPDU功能处于使能状radio关于802.11n的基本MCS集和支持RRM配置”表1-15WLAN服务的显示和（AC设备displaywlanap{all|nameap-name}[verbosedisplaywlanap-model{all|nameap-namedisplaywlanapreboot-lognameap-显示WLAN射频策displaywlanradio-policy[radio-policy-name显示WLAN服务模板信显示WLAN统计信displaywlanstatistics[client[all|mac-mac-address]|radio[ap-name]显示WLANdisplaywlanclient{apap-name[radioradio-number]service-template-number}[verboseresetwlanap{all|nameap-name清除WLAN重启日resetwlanapreboot-log{all|nameap-name清除WLAN统计信resetwlanstatistics{client[all|mac-addressmac-address|radio[ap-name]切断WLANAP连resetwlanclient{all|mac-addressmac-address表1-16WLAN服务的显示和（FATAP设备displaywlanclient{interfacewlan-[wlan-radio-number]|mac-addressmac-addressdisplaywlanservice-template[service-template-numberdisplaywlanstatisticsclient{all|mac-切断WLANAP连resetwlanclient{all|mac-addressmac-addressresetwlanstatisticsclient{all|mac-addressmac-address配置基于AP的用户接入控制（AC支持客户端所接入的AP。如图1-16所示，Client1、Client2和Client3可以通过AP1～AP3接入到外的AP接入策略，使Client1和Client2只能通过AP1和AP2网络，而Client3只能通过AP3网络。AP接入策略可以通过用户在UserProfile下配置客户端关联的AP组，这样就可以确保客图1-16用户接入控制组网应AP表1-17AP--APAP，也可以一次设置多AP（一次输入10个description应用配置的AP表1-18应用AP-如果指UserProfile不存在，则先创建指定UserProfileUserProfile视图特定的AP组wlanpermit-ap-groupgroup--AC基于AP的用户接入控制显示和表1-19AP的用户接入控制显displaywlanap-group[group-id配置基于的用户接入控在有用户临时需要接入网络时，需要临时为用户建立一个账户，通过基于的接入控制可以达到限制的目的，即限制用户只能在指定的登陆。的接入控制可以通过在UserProfile下配置允许接入的来实现。配置允许接入的UserProfile下配置允许接入的。配置完毕的UserProfile-如果指UserProfile不存在，则先创建指定UserProfileUserProfile视图允许接入的wlan -，可用任意接入无线网-WLAN服务典型配置举例（AC应用AC与二层交换机相连，AP1（IDSZ001）AP2（IDSZ002）通过二层交换机AC相连。AP1、AP2AC在同一个网络。AP1AP2DHCPServerIP地址。AC的IP地址是10.18.1.1/24。图1-17WLAN服务组网DHCPAPAPL2#<AC>system-view[AC]wlanWLANESS[AC]interfacewlan-ess1[AC-WLAN-ESS1]quit#[AC]wlanservice-template1clear [AC-wlan-st-1]bindwlan-ess[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]service-templateenable[AC-wlan-st-1][AC]wlanradio-policy[AC-wlan-rp-radiopolicy1]beacon-interval[AC-wlan-rp-radiopolicy1]dtim[AC-wlan-rp-radiopolicy1]rts-threshold[AC-wlan-rp-radiopolicy1]fragment-threshold2200[AC-wlan-rp-radiopolicy1]short-retrythreshold6[AC-wlan-rp-radiopolicy1]long-retrythreshold5[AC-wlan-rp-radiopolicy1]max-rx-duration500[AC-wlan-rp-radiopolicy1]quit[AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]descriptionL3Office[AC-wlan-ap-ap1]radio1type[AC-wlan-ap-ap1-radio-1]channel[AC-wlan-ap-ap1-radio-1]max-power[AC-wlan-ap-ap1-radio-1]radio-policyradiopolicy1[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]quit[AC-wlan-ap-ap1]quit[AC]wlanapap2model[AC-wlan-ap-ap2]serial-id210235A29G007C000021[AC-wlan-ap-ap2]descriptionL4Office[AC-wlan-ap-ap2]radio1typedot11a[AC-wlan-ap-ap2-radio-1]channel[AC-wlan-ap-ap2-radio-1]max-power[AC-wlan-ap-ap2-radio-1]radio-policyradiopolicy1[AC-wlan-ap-ap2-radio-1]service-template1[AC-wlan-ap-ap2-radio-1]quit[AC-wlan-ap-ap2]quit[AC]wlanradioenableWLANAP自动发现配置举例（AC应用AC与二层交换机相连，AP1AP2AC相连。AP1、AP2AC在同一个网络。AP1和AP2DHCPServerIP地址。ACIP10.18.1.1/24。要求启用自动AP发现功能，使AP就能够自动连接到AC上。图1-18WLAN自动发现组网<AC>system-[AC]interfacewlan-ess1[AC-WLAN-ESS1]quit#[AC]wlanservice-template1clear [AC-wlan-st-1]bindwlan-ess[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]service-templateenable[AC-wlan-st-1][AC]wlanradio-policy[AC-wlan-rp-radpolicy1]beacon-interval[AC-wlan-rp-radpolicy1]dtim[AC-wlan-rp-radpolicy1]rts-threshold[AC-wlan-rp-radpolicy1]fragment-threshold2200[AC-wlan-rp-radpolicy1]short-retrythreshold6[AC-wlan-rp-radpolicy1]long-retrythreshold5[AC-wlan-rp-radpolicy1]max-rx-duration500[AC-wlan-rp-radpolicy1]quit[AC]wlanauto-ap[AC]wlanapap1modelWA2100[AC-wlan-ap-ap1]serial-idauto[AC-wlan-ap-ap1]radio1typedot11a[AC-wlan-ap-ap1-radio-1]max-power10[AC-wlan-ap-ap1-radio-1]radio-policyradiopolicy1[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]radioCAPWAP双链路配置举例（AC应用用AC2作为主用无线控制器。图1-19CAPWAP双链路配置组网L2<AC1>system-[AC1]interfacewlan-ess1[AC1-WLAN-ESS1]quit#[AC1]wlanservice-template1clear [AC1-wlan-st-1]bindwlan-ess[AC1-wlan-st-1]authentication-methodopen-system[AC1-wlan-st-1]service-templateenable[AC1-wlan-st-1]IP[AC1]wlanbackup-acipAC1AP[AC1]wlanapap1model[AC1-wlan-ap-ap1]serial-id[AC1-wlan-ap-ap1]radio1type[AC1-wlan-ap-ap1-radio-1]service-template1[AC1-wlan-ap-ap1-radio-1]radioenable<AC2>system-[AC2]interfacewlan-ess1[AC2-WLAN-ESS1]quit#[AC2]wlanservice-template1clear [AC2-wlan-st-1]bindwlan-ess[AC2-wlan-st-1]authentication-methodopen-system[AC2-wlan-st-1]service-templateenable[AC2-wlan-st-1]IP[AC2]wlanbackup-acipAC2AP[AC2]wlanapap1model[AC2-wlan-ap-ap1]serial-id[AC2-wlan-ap-ap1]radio1type[AC2-wlan-ap-ap1-radio-1]service-template1[AC2-wlan-ap-ap1-radio-1]radioenable802.11n配置配置使802.11n客户端接入无线网络。图1-20WLAN服务组网 L2 <AC>system-[AC]interfacewlan-ess1[AC-WLAN-ESS1]quit#[AC]wlanservice-template1clear [AC-wlan-st-1]bindWLAN-ESS[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]service-templateenable[AC-wlan-st-1][AC]wlanapap1modelWA2610E-[AC-wlan-ap-ap1]serial-id[AC-wlan-ap-ap1]radio1type[AC-wlan-ap-ap1-radio-1]channelband-width40[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]radioenableWLAN服务典型配置举例（FATAP应用图1-21WLAN服务组网<Sysname>system-view[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]#[Sysname]wlanservice-template1clear [Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable[Sysname-wlan-st-1][Sysname]interfacewlan-radio1/0/1[Sysname-WLAN-Radio1/0/1]radio-typedot11a[Sysname-WLAN-Radio1/0/1]channel149[Sysname-WLAN-Radio1/0/1]service-template1interfacewlan-bss<AC>system-[AC]port-security[AC]dot1xauthentication-method[AC]radiusschemewlan-user-[AC-radius-wlan-user-policy]server-type[AC-radius-wlan-user-policy]primaryauthentication10.100.100.100[AC-radius-wlan-user-policy]primaryaccounting10.100.100.100[AC-radius-wlan-user-policy]keyauthenticationwlan[AC-radius-wlan-user-policy]keyaccounting[AC-radius-wlan-user-policy]nas-ip10.100.100.200[AC-radius-wlan-user-policy]quit [AC-isp-universal]authenticationdefaultradius-schemewlan-user-policy[AC-isp-universal]authorizationdefaultradius-schemewlan-user-policy[AC-isp-universal]accountingdefaultradius-schemewlan-user-policy[AC-isp-universal]quit defaultenable#WLAN[AC]interfacewlan-ess[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC-WLAN-ESS1]port-securitytx-key-type11key[AC-WLAN-ESS1]undodot1xmulticast-trigger[AC-WLAN-ESS1]undodot1xhandshake[AC-WLAN-ESS1]WLAN[AC]wlanservice-template1crypto [AC-wlan-st-1]bindwlan-ess[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]cipher-suiteccmp[AC-wlan-st-1]security-ie[AC-wlan-st-1]service-templateenable[AC-wlan-st-1]quit[AC]wlanapap1model[AC-wlan-ap-ap1]radio1type[AC-wlan-ap-ap1-radio1]service-template1[AC-wlan-ap-ap1-radio1]radioenable[AC-wlan-ap-ap1-radio1]<AC>system-[AC]wlanap-group11[AC-ap-group11]apap1[AC-ap-group11]quit[AC]user-profile[AC-user-profile-management]wlanpermit-ap-group11[AC-user-profile-management]quit[AC]user-profilemanagement图1-24User两个无线控制AC1AC2通过一个二层交换机连接AC处于同一个漫游组，客户端先通过AP1获取无线服务，然AC2相连的AP2上。要求客户端通过允许接入AP接入RADIUS服务器上的配置和1.10.1相似，此AP1<AC1>system-[AC1]port-security[AC1]dot1xauthentication-methodeap[AC1]interfacewlan-ess1[AC1-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC1-WLAN-ESS1]port-securitytx-key-type11key[AC1-WLAN-ESS1]undodot1xmulticast-trigger[AC1-WLAN-ESS1]undodot1xhandshake[AC1-WLAN-ESS1][AC1]wlanservice-template1crypto [AC1-wlan-st-1]bindwlan-ess[AC1-wlan-st-1]authentication-methodopen-system[AC1-wlan-st-1]cipher-suiteccmp[AC1-wlan-st-1]security-ie[AC1-wlan-st-1]service-templateenable[AC1-wlan-st-1]quit[AC1]wlanapap1model[AC1-wlan-ap-ap1]serial-id210235A045B05B[AC1-wlan-ap-ap1]radio1typedot11g[AC1-wlan-ap-ap1-radio-1]service-template1[AC1-wlan-ap-ap1-radio-1]radioenable[AC1-wlan-ap-ap1-radio-1]quit[AC1-wlan-ap-ap1]quit[AC1]wlanmobility-group[AC1-wlan-mg-abc]sourceip10.18.1.1[AC1-wlan-mg-abc]memberip10.18.1.2[AC1-wlan-mg-abc]mobility-groupenable[AC1-wlan-mg-abc]return<AC1>system-view[AC1]wlanap-group1[AC1-ap-group1]apap1ap2[AC1-ap-group1]quit[AC1]user-profile[AC1-user-profile-management]wlanpermit-ap-group1[AC1-user-profile-management]quit[AC1]user-profilemanagementAP2<AC2>system-[AC2]port-security[AC2]dot1xauthentication-methodeap[AC2]interfacewlan-ess1[AC2-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC2-WLAN-ESS1]port-securitytx-key-type11key[AC2-WLAN-ESS1]undodot1xmulticast-trigger[AC2-WLAN-ESS1]undodot1xhandshake[AC2-WLAN-ESS1][AC2]wlanservice-template1crypto [AC2-wlan-st-1]bindwlan-ess[AC2-wlan-st-1]authentication-methodopen-system[AC2-wlan-st-1]cipher-suiteccmp[AC2-wlan-st-1]security-ie[AC2-wlan-st-1]service-templateenable[AC2-wlan-st-1]quit[AC2]wlanapap1model[AC2-wlan-ap-ap1]serial-id210235A22W[AC2-wlan-ap-ap1]radio1typedot11g[AC2-wlan-ap-ap1-radio-1]service-template1[AC2-wlan-ap-ap1-radio-1]radioenable[AC2-wlan-ap-ap1-radio-1]quit[AC2-wlan-ap-ap1]quit[AC2]wlanmobility-group[AC2-wlan-mg-abc]sourceip10.18.1.2[AC2-wlan-mg-abc]memberip10.18.1.1[AC2-wlan-mg-abc]mobility-groupenable[AC2-wlan-mg-abc]quit[AC2]wlanap-group1[AC2-ap-group1]apap1ap2[AC2-ap-group1]quit[AC2]user-profile[AC2-user-profile-management]wlanpermit-ap-group1[AC2-user-profile-management]quit[AC2]user-profilemanagement 1 1 1 2 3 3 3 4 4 4 5 6 8配置 WLAN安全显示和................................................................................................................1- iH3CMSR系列路由器对相关命令参数支持情况、缺省值及取值范围的差异内容请参见本模块的WLAN安全配网络，从而无法充分保护包含敏感数据的网络。为了更好的防止未用户接入网络，需要实施一种性能高于802.11的高级安全机制。链路认证方开放系统认证（Opensystem认证，第二步是返回认证结果。如果认证结果为“成功”，那么客户端和AP就通过双向认证。图1-1开放系统认证过 AuthenticationAuthenticationAuthentication共享密钥认证（SharedkeySharedKey认证；否则SharedKey认证失败。图1-2共享密钥认证过 AuthenticationRequestAuthenticationAuthenticationRequestAuthenticationResponse（Challenge）Authentication（EncryptedAuthenticationWLAN服务的数据相对于有线网络，WLANWLAN设备共802.11WLAN的安全问题，主要的方法为对数据报文进行加密，保证只有特的密钥，无法对数据报文，从而实现了WLAN数据的安全性保护。目前支持四种安全服务。的性，防止这些数据被随机。在实际实现中，已经广泛使用104位密钥的WEP来代替40位密WEP，104位密钥WEPWEP-104。虽WEP104在一定程度上提高WEP加TKIPpre-RSNWEP协议的加密的安全性，其加密的安全性WEP。WEPIV（InitialVector，初始向量）改变但在所有的帧中CCMPCCM结合CTR（Countermode，计数器模式）进行性校验，同时结合CBC-MAC（区块CCM中每个会话都需要一个新的临时密钥。对于每个通过给定的临时密钥加密的帧来说，CCM同对于同一个临时密钥，重复使用PN会使所有的安全保证无效。用户接入认成功；如果密钥不同，PSK接入认证失败。802.1x认802.1x协议是一种基于端口的网络接入控制协议（portbasednetworkaccesscontrolprotocol）。WLAN接入设备的端口这一级对所接入的用户设备进行认证和无法WLAN中的资源。MAC地址认证是一种基于端口和MAC地址对用户的网络权限进行控制的认证方法，它不需要协议和标IEEEStandardforInformationtechnology— municationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements-2004WI-FIProtectedAccess–EnhancedSecurityImplementationBasedOnIEEEP802.11iStandard-Aug2004 systems—Localandmetropolitanareanetworks—Specificrequirements—802.11,1999IEEEStandardforLocalandmetropolitanareanetworks”Port-BasedNetworkAccessControl”802.1X™-2004802.11iIEEEStandardforInformationtechnology— municationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements配置WLANWLANWLAN射频，并在服务模板中配置表1-1WLAN安全属性配配置GTK密钥更使能认证方表1-2使能认证方-进入WLAN服务模板视service-template-number-{open-system|shared-key只有在使用WEP加密时才可选对于RSN和，开放系统认证配置PTK生存AP随机值（ANonce），站点随机值（SNonce），AP的MACMAC地址。表1-3PTK生存时-进入WLAN服务模板视-ptk-lifetime43200配置GTK密钥更新方GTK由AC生成，在AP和客户端认证处理的过程中通过组密钥握手和4次握手的方式发送到客户端。客户端使用GTK来组播和广播报文。RSN可以通过四次握手或者组密钥握手方式来协商GTK，而只使用组密钥握手方式来协商GTK。GTKGTK，只有执行了gtk-rekeyenable命令，此功能才有效。表1-4配置基于时间的更新方-进入WLAN服务模板视wlanservice-template-使能GTK更新功缺省情况下，启动GTK配置基于时间的GTK密钥更86400新GTK表1-5配置基于数据包的密钥更新方-进入WLAN服务模板视-使能GTK更新功缺省情况下，启动GTK配置基于数据包的GTK[packet个数据包后更新GTK密缺省情况下，GTK更新采用基于时间的更新方法，时间间隔为86400下。PSK（PresharedKey，预共享密钥）模式下使用预共享密钥或者口令进行认证，而企业模式802.1xRADIUSEAP（ExtensibleAuthenticationProtocol，可扩展认证协议）进行表1-6配置信息元-进入WLAN服务模板视-RSN是一种仅允许建立RSNA（RobustSecurityNetworkAssociation，健壮安全网络连接）的安全网络，提供比WEP和 表1-7RSN信息元-进入WLAN服务模板视-security-ie配置加密套crypto类型的服务模WEP、TKIPCCMPWEPWLANWLAN网络的客户端配置相同的密钥。WEP加密机制采用RC4算法（一种流加密算法），支持WEP40WEP104两种密钥长度。表1-8配置-进入WLAN服务模板视-cipher-suite{wep40|wep104配置WEP缺省密wepdefault-key{1|2|3|4{wep40|wep104}{pass-|raw-key}wepkey-id{1|2|3|4表1-9配置-进入WLAN服务模板视-配置TKIP策略时60到。此时，TKIP会启动策略时间（缺省情况下，暂停活动60秒），来的。表1-10-进入WLAN服务模板视-配置端口安表1-11PSK认-进入WLAN接进入WLAN-接口视图-进入WLAN-port-securitytx-key-type{pass-phrase|raw-key}802.1x认表1-12802.1X认-WLAN-ESS-WLAN-BSS配置802.1X表1-13MAC认-WLAN-ESS-WLAN-BSS802.11i的相关配置不支持MAC表1-14PSK和MAC认-WLAN-ESS进入WLAN接-WLAN-BSSport-securitytx-key-typePSK和MAC端口安全模{pass-phrase|raw-key}应为64（由数字9，字母a～f组成）十六进制PSK802.1X表1-15PSK802.1X认-进入WLAN进入WLAN-接口视图-进入WLAN-port-securitytx-key-type缺省情况下，没有使能11key使能PSK802.1Xport-securityport-mode{pass-phrase|raw-key}63个字符；如果密钥类型为十六进制母a～f组成）十六进制数WAPIRSNA（RobustSecurityNetworkAssociation，健壮安全网络连接）的安（normao信息元素）中的指示来标识。WAPIWAPI-PSKWAPI-CERT模式。PSK模式使用预共享密钥或者口令进行认证，而企业模式则使用AS服务器进行认证。WAPI默认支持WPISMS4加密机制。表1-16配置-进入WLAN服务模板视service-template-number-WLAN安全显示和完成上述配置后，在任意视图下执行display命令可以显示配置后WLAN安全的运行情况，通过查看表1-17配置WLAN安全显示displaywlanservice-interface-typeinterface-number][vlanvlan-id][countdisplayport-securitypreshared-keyuser[displayport-security[interfaceinterface-listdisplaydot1x[sessions|statistics][WLANWLAN安全状态，具体命令请参考“安全分册”中的“端口安全命令”、“802.1x命令”和“MAC地址认WLAN安全PSK典型配置PSKAC端相同，为。图1-3PSK配置组网<AC>system-[AC]port-securityenable[AC]interfacewlan-ess10[AC-WLAN-ESS10]port-securityport-mode[AC-WLAN-ESS10]port-securitypreshared-keypass-phrase[AC-WLAN-ESS10]port-securitytx-key-type11key[AC-WLAN-ESS10][AC]wlanservice-template10crypto [AC-wlan-st-10]bindWLAN-ESS10[AC-wlan-st-10]security-iersn[AC-wlan-st-10]cipher-suiteccmp[AC-wlan-st-10]authentication-methodopen-system[AC-wlan-st-10]service-templateenable[AC-wlan-st-10][AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]radio1typedot11g[AC-wlan-ap-ap1-radio-1]service-template10[AC-wlan-ap-ap2-radio-1]radioenableWLAN安全MAC器的IP地址为10.18.1.88。要求使用MAC认证方式对客户端进行认证图1-4MAC认证配置组网RADIUS L2 <AC>system-[AC]port-securityMAC[AC]interfacewlan-ess[AC-WLAN-ESS2]port-securityport-modemac-and-psk[AC-WLAN-ESS2]port-securitytx-key-type11key[AC-WLAN-ESS2]port-securitypreshared-keypass-phrase[AC-WLAN-ESS2]quit[AC]wlanservice-template2crypto [AC-wlan-st-2]bindwlan-ess[AC-wlan-st-2]authentication-methodopen-system[AC-wlan-st-2]cipher-suitetkip[AC-wlan-st-2]security-ie[AC-wlan-st-2]service-templateenable[AC-wlan-st-2]quit[AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]radio1typedot11g[AC-wlan-ap-ap1-radio-1]service-template2[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]quit[AC-wlan-ap-ap1]quit[AC]radiusscheme[AC-radius-rad]primaryauthentication10.1.1.88[AC-radius-rad]primaryaccounting10.1.1.88[AC-radius-rad]keyauthentication[AC-radius-rad]key[AC-radius-rad]server-typeextended[AC-radius-rad]user-name-formatwith-[AC-radius-rad]quit [AC-isp-cams]authenticationlan-accessradius-schemerad[AC-isp-cams]authorizationlan-accessradius-schemerad[AC-isp-cams]accountinglan-accessradius-schemerad[AC-isp-cams]quit[AC]mac- [AC]mac-authenticationuser-name-formatmac-addresswithout-#增加接入设备。 选择协议类型为LAN接入业务设置验证及计费的端分别为1812和图1-5接入设备配置页图1-6服务配置页图1-7用户配置页WLAN安全802.1x典型配置AC相连的RADIUS服务器的IP地址为10.18.1.88。要求使用802.1X方式进行用户认证图1-8802.1x典型配置组网RADIUS L2 <AC>system-[AC]port-security[AC]dot1xauthentication-method[AC]radiusscheme[AC-radius-rad]primaryauthentication10.18.1.88[AC-radius-rad]primaryaccounting10.18.1.88[AC-radius-rad]keyauthentication[AC-radius-rad]key[AC-radius-rad]server-type[AC-radius-rad]user-name-formatwithout-[AC-radius-rad]quit [AC-isp-cams]authenticationlan-accessradius-schemerad[AC-isp-cams]authorizationlan-accessradius-schemerad[AC-isp-cams]accountinglan-accessradius-schemerad[AC-isp-cams]quit defaultenable[AC]interfaceWLAN-ESS[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC-WLAN-ESS1]port-securitytx-key-type11key[AC-WLAN-ESS1]undodot1xmulticast-trigger[AC-WLAN-ESS1]undodot1xhandshake[AC-WLAN-ESS1][AC]wlanservice-template1crypto [AC-wlan-st-1]bindWLAN-ESS[AC-wlan-st-1]authentication-methodopen-[AC-wlan-st-1]cipher-suitetkip[AC-wlan-st-1]cipher-suiteccmp[AC-wlan-st-1]security-iersn[AC-wlan-st-1]service-templateenable[AC-wlan-st-1]quit[AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]radio1typedot11g[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]radioenable#增加接入设备。 选择协议类型为LAN接入业务设置验证及计费的端分别为1812和图1-9接入设备配置页动动图1-10服务配置页图1-11用户配置页选择无线网卡，在验证框中，选择EAP类型为PEAP，点击“属性”，去掉验证服务器选图1-12无线网卡配置过图1-13无线网卡配置过图1-14无线网卡配置过客户端通过802.1x认证成功关联AP，并且可以无线网络WLAN安全PSK典型配置FATAP与二层交换机建立连接。客户端的PSK密钥是 。FATAP配置的密钥与客户端图1-15PSK配置组网<Sysname>system-view[Sysname]port-securityenable[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-mode[Sysname-WLAN-BSS1]port-securitypreshared-keypass-phrase[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1]quit[Sysname]wlanservice-template1crypto [Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenableWLAN-BSS[Sysname]interfacewlan-radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bssWLAN安全MACFATAPRADIUS服务器通过二层交换机建立连接。FATAPIP10.18.1.1，RADIUS服务器的IP地址为10.18.1.88。要求使用MAC认证方式对客户端进行认证图1-16MAC认证配置组网<Sysname>system-view[Sysname]port-securityenable[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-modemac-and-psk[Sysname-WLAN-BSS1]port-securitypreshared-keypass-phrase[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1]quit[Sysname]wlanservice-template1crypto [Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable[Sysname]radiusscheme[Sysname-radius-rad]primaryauthentication10.1.1.88[Sysname-radius-rad]primaryaccounting10.1.1.88[Sysname-radius-rad]keyauthentication[Sysname-radius-rad]keyaccounting[Sysname-radius-rad]server-typeextended[Sysname-radius-rad]user-name-formatwith-[Sysname-radius-rad] [Sysname-isp-cams]authenticationlan-accessradius-schemerad[Sysname-isp-cams]authorizationlan-accessradius-schemerad[Sysname-isp-cams]accountinglan-accessradius-schemerad[Sysname-isp-cams]quit[Sysname]mac- [Sysname]mac-authenticationuser-name-formatmac-addresswithout-WLAN-BSS[Sysname]interfacewlan-radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bss请参考“1.3.232)配置RADIUSserverWLAN安全802.1x典型配置FATAPRADIUS服务器通过二层交换机建立连接。FATAPIP10.18.1.1，RADIUS服务器的IP地址为10.18.1.88。要求使用802.1x认证方式对客户端进行认证图1-17802.1x典型配置组网<Sysname>system-[Sysname]port-security[Sysname]dot1xauthentication-method[Sysname]radiusscheme[Sysname-radius-rad]primaryauthentication10.18.1.88[Sysname-radius-rad]primaryaccounting10.18.1.88[Sysname-radius-rad]keyauthentication[Sysname-radius-rad]key[Sysname-radius-rad]user-name-formatwithout-[Sysname-radius-rad]quit [Sysname-isp-cams]authenticationlan-accessradius-schemerad[Sysname-isp-cams]authorizationlan-accessradius-schemerad[Sysname-isp-cams]accountinglan-accessradius-schemerad[Sysname-isp-cams]quit defaultenable[Sysname]interfacewlan-bss[Sysname-WLAN-BSS1]port-securityport-modeuserlogin-secure-ext[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1][Sysname]wlanservice-template1crypto [Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]service-templateenable[Sysname-wlan-st-1]quitWLAN-BSS[Sysname]interfacewlan-radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bss请参考“1.3.332)配置RADIUSserver请参考“1.3.333)客户端通过802.1x认证，并且可以无线网络安全支持的RSN的加密套件组合方式（WEP40和WEP104不能同时存在）。 的加密套件组合方式（WEP40和WEP104不能同时存在）。表1-19WLAN-WSEC支持的的加密套件组合方PreOpennoSecOpennoSecSharednoSecSharednoSecWLANIDS配 1HYPERLINK\l