项目12.4 无线FIT模式多SSID的安全加密

项目12组建安全的无线局域网授课教师：管秀君吉林交通职业技术学院项目实战任务12.4无线FIT模式多SSID的安全加密你是某公司的网管，由于无线信号没有进行加密，任何人都可以随意接入，对网络带宽和安全造成很大影响，针对此现象，你决定对无线网络进行加密，而且对财务部和销售部采用WPA2安全策略，只有知道这两个部门无线密码的人才能加入该部门的网络。具体任务就是将网络设备按照拓扑图结构进行连接、完成相关IP地址规划、基础配置及无线加密配置、验证无线用户接入需要密码确认

项目背景12.4.1

实施条件采用锐捷AP作为无线接入点，AC作为无线控制器集中控制AP和数据转发，交换机SW和POE供电模块为AP进行供电。实施条件SWSTASTBG0/1Gi0/1Gi0/24G0/112.4.2

数据规划相关IP数据及信息规划如下：1．Lo0:/32--AC和AP建立CAPWAP隧道接口；2．SVI10:/24--AP管理地址网关；3．SVI20:/24--SW管理地址；4．SVI30:/24一财务部用户网关地址；5．SVI40:/24一销售部用户网关地址；SVI4000:/30--SW和AC互联地址段AP、SW和用户的网关均放置于SW上数据规划12.4.3

实施步骤（1）在Poe交换机上配置基本远程管理功能，并创建AP管理VLAN10、Poe交换机管理VLAN20、无线用户VLAN30、40和Poe交换机与AC互联VLAN4000。交换机基础配置SW(config)#VLAN10创建VLAN10SW(config-vlan)#nameAP-Guanli命名VLAN10为AP-GuanliSW(config)#VLAN20创建VLAN20SW(config-vlan)#nameSW-Guanli命名VLAN20为SW-GuanliSW(config)#VLAN30创建VLAN30SW(config-vlan)#namecaiwu-Wifi命名VLAN30为caiwu-WifiSW(config)#VLAN40创建VLAN40SW(config-vlan)#namexiaoshou-Wifi命名VLAN40为xiaoshou-WifiSW(config)#

VLAN4000创建VLAN4000SW(config-vlan)#nameLink--AC-VLAN4000命名VLAN4000为Link--AC-VLAN4000SW(config-vlan)#exit退出（2）将交换机端口Gi0/1设置为access接口属于VLAN10，Gi0/24配置为Trunk接口，并对Trunk接口进行VLAN修剪优化。交换机基础配置SW(config)#interfacegigabitEthernet0/1进入端口配置模式配置端口Gi0/1SW(config-if)#poeenable开启poe供电功能SW(config-if)#switchportaccessvlan10把该端口配置为access接口SW(config-if)#exit退出SW(config)#interfacegigabitEthernet0/24进入端口配置模式配置端口Gi0/24SW(config-if)#switchportmodetrunk把该端口配置为Trunk接口SW(config-if)#switchporttrunkallowedvlanremove1-29,31-3999,4001-4094将Trunk接口不必要的VLAN修剪掉，防止VLAN广播泛洪SW(config-if)#descriptionLINK—AC-G0/1--接口描述SW(config-if)#exit退出SW(config)#showinterfacesgigabitEthernet0/24switchport查看端口Gi0/24的信息，同时也可以用于查看Gi0/1信息（3）在Poe交换机上创建无线用户VLAN、AP管理VLAN、Poe交换机管理VLAN和Poe交换机与AC互联VLAN的SVI地址，并且配置指向AC的loopback接口明细路由。

交换机基础配置SW(config)#interfaceVLAN10进入VLAN10的SVI接口SW(config-if-VLAN10)#description对AP的网关SVI接口描述为AP-GuanliSW(config-if-VLAN10)#ipaddress配置AP管理地址的网关SVI地址SW(config)#interfaceVLAN20进入VLAN20的SVI接口SW(config-if-VLAN20)#descriptionSW-Guanli命名VLAN20为SW-GuanliSW(config-if-VLAN20)#ipaddress配置Poe交换机的管理IP地址SW(config)#interfaceVLAN30进入VLAN30的SVI接口SW(config-if-VLAN30)#descriptioncaiwu-Wifi描述VLAN30为caiwu-WifiSW(config-if-VLAN30)#ipaddress配置财务部无线用户的网关SVI地址SW(config)#interfaceVLAN40进入VLAN40的SVI接口SW(config-if-VLAN30)#descriptionxiaoshou-Wifi描述VLAN40为xiaoshou-WifiSW(config-if-VLAN30)#ipaddress配置销售部无线用户的网关SVI地址SW(config)#interfaceVLAN4000进入VLAN4000的SVI接口SW(config-if-VLAN4000)#descriptionLink--AC-VLAN4000--对SVI接口描述为Link--AC-VLAN4000SW(config-if-VLAN4000)#ipaddress52配置与AC互联VLAN的IP地址SW(config)#iproute55添加指向AC的LO0明细路由SW(config)#showipinterfacebrief查看接口IP地址配置（4）在交换机上创建无线用户和AP管理的DHCP地址池。交换机基础配置SW(config)#servicedhcp开启DHCP功能，默认DHCP功能关闭SW(config)#ipdhcppoolAP-Guanli创建AP的DHCP地址池SW(dhcp-config)#option138ip配置APoption138字段指向AC的Lo0SW(dhcp-config)#network指定APDHCP分发地址段SW(dhcp-config)#default-router指定AP的网关地址SW(dhcp-config)#exit退出SW(config)#ipdhcppoolcaiwu-Wifi创建财务部无线用户的DHCP地址池SW(dhcp-config)#network指定财务部无线用户DHCP分发地址段SW(dhcp-config)#default-router指定财务部无线用户的网关地址SW(config)#ipdhcppoolxiaoshou-Wifi创建销售部无线用户的DHCP地址池SW(dhcp-config)#network指定销售部无线用户DHCP分发地址段SW(dhcp-config)#default-router指定销售部无线用户的网关地址（1）在AC上配置基本远程管理功能，添加无线用户VLAN和与核心互联的VLAN，并创建核心互联VLAN的SVI接口地址和loopback0的接口IP，将AC的G0/1接口配置为Trunk接口，进行VLAN修剪；添加默认路由指向Poe交换机。无线控制器基础配置Ruijie#configureterminal从特权模式进入到全局模式Ruijie(config)#hostnameAC对AC进行命名AC(config)#usernameadminpasswordruijie创建用户名和密码AC(config)#linevty04进入虚线路AC(config-line)#loginlocal采用本地用户认证AC(config)#VLAN30创建VLAN30AC(config-vlan)#namecaiwu-Wifi命名VLAN30为caiwu-WifiAC(config)#VLAN40创建VLAN40AC(config-vlan)#namexiaoshou-Wifi命名VLAN40为xiaoshou-WifiAC(config)#VLAN4000创建VLAN4000AC(config-vlan)#nameLink--SW-VLAN4000命名VLAN4000为Link--SW-VLAN4000AC(config)#interfacevlan4000进入VLAN4000的SVI接口AC(config-if-VLAN4000)#descriptionLink--SW-VLAN4000对VLAN4000的SVI接口进行描述AC(config-if-VLAN4000)#ipaddress52配置VLAN4000的SVI接口地址AC(config)#interfacegi0/1进入G0/1接口AC(config-if)#switchportmodetrunk配置G0/1接口为Trunk接口AC(config-if)#switchporttrunkallvlanremove1-29,31-3999,4001-4094将不必要VLAN在Trunk口进行修剪AC(config-if)#descriptionLink--SW-Gi0/24对G0/1口对端连接情况进行描述AC(config)#interfaceloopback0进入loopback0接口AC(config-if)#ipaddress55配置loopback0接口IP地址AC(config-if)#descriptionCAPWAP对loopback0接口进行描述AC(config)#iproute添加默认路由，保证loopback0能够和AP管理网段路由互通（2）AP和AC的版本同步，AP和AC的版本必须一致，否则可能导致CAPWAP隧道异常发生。（注：可以先查看AP和AC的版本，如果AC和AP的版本一致，则不需要此版本同步过程）无线控制器基础配置AC#copytftp://x.x.x.x/xxx.binflash:AP720I.bin将AP的主程序TFTP导入无线控制器AC(config)#ac-controller进入AC控制模式AC(config-ac)#active-bin-fileAP720I.bin激活AP主程序AC(config-ac)#ap-serialAP720AP720-Ihw-verx.x创建AP系列，注：试验中根据具体实验设备进行选择AC(config-ac)#ap-imageAP720I.binAP720将AP系列和AP主程序进行关联（3）在AC上创建无线相关配置，包括WLAN-ID、SSID和ap-group。无线控制器基础配置AC(config)#wlan-config1caiwubu创建WLAN1的SSID为caiwuAC(config)#wlan-config2xiaoshou创建WLAN1的SSID为xiaoshouAC(config)#ap-groupdefault进入ap-group的default组AC(config-group)#interface-mapping130配置wlan-id1和财务部无线用户VLAN30的对应关系AC(config-group)#interface-mapping240配置wlan-id2和销售部无线用户VLA40N的对应关系（4）将AP加入ap-group，并进行信道规划和命名。无线控制器基础配置AC(config)#ap-configxxxx.xxxx.xxxx进入AP配置模式，xxxx部分为实验AP的mac地址AC(config-ac)#ap-groupdefault将AP加入default组AC(config-ac)#ap-nameAP720-1对AP进行命名，注：项目中会有很多AP存在，需要对每个AP进行命名，便于网络维护AC(config-ac)#channel11radio1对AP信道进行调整，避免同频干扰存在（1）针对财务部无线用户采用WPA2进行加密。无线安全加密配置AC(config)#wlansec1进入无线安全配置模式AC(config-wlansec)#securityrsnenable使能WPA2加密AC(config-wla