WAPI是無線局域網鑑別與保密基礎結構,中國提出的,以802.11無線協議爲基礎的無線安全標準
兩個部分構成:
1、WAI是無線局域網鑑別基礎結構的簡稱,是用於無線局域網中身份鑑別和密鑰管理的安全方案
2、WPI是無線局域網保密基礎結構的簡稱,是用於無線局域網中數據傳輸保護的安全方案(包括數據加密、數據鑑別和重放保護)
AC用於關聯AP進行控制和管理的設備
AP是指一個能通過無線介質爲無線終端提供分佈式訪問服務的實體
STA站點,無線終端設備(手機、筆記本等)
FAT AP傳統AP,不能與AC關聯使用
PSK預共享密鑰是發佈給STA的靜態密鑰
AS認證服務器用於對用戶和設備進行身份鑑別等,基於公鑰技術的WAI中重要的組成部分
BK用於導出單播會話密鑰,有證書鑑別過程協商得到或者由預共享密鑰導出
配置思路:
配置細節如下、
出廠AC模式 打cn進去
oap connect slot 0 進交換模式
在相應的接口加入vlan
oap reboot
AC有兩個模式:交換模式配置
第一步、劃vlan 配置相應的IP地址
vlan 1002
int vlan 1002
ip add 192.168.100.1 255.255.255.0
第二步、配置聚合組(默認group 1)
interface bridge-aggregation 1 (按此順序配置聚合組)
interface GigabitEthernet1/0/1
port link-aggregation group 1
interface GigabitEthernet1/0/2
port link-aggregation group 1
interface bridge-aggregation 1
port link-type trunk
port trunk permit vlan all #允許所有vlan通過
第三步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
以上爲交換模式下的配置
第四步、CTRL+K 是退出交換模式,進入AC模式
同樣的步驟是 建立vlan 劃接口起trunk 指路由
AC模式下配置
第五步、配置AC的管理vlan 地址不能與交換模式下的地址相同
vlan 1002
int vlan 1002
ip add 192.168.100.3 255.255.255.0
第六步、默認是聚合group 1
interface bridge-aggregation 1 #(按此順序配置聚合組)
interface GigabitEthernet1/0/1
port link-aggregation group 1
interface GigabitEthernet1/0/2
port link-aggregation group 1
interface bridge-aggregation 1
port link-type trunk
port trunk permit vlan all #允許所有vlan通過
(可以起access模式)
第七步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
ping測試網絡的連通性
ping 192.168.1.254 測試一下連通性
第八步、AP去官網激活序列號
display device serial-number 查看序列號 以及 校驗值
license register AP + 授權序列號
建立AP管理段、業務段IP地址
vlan 10
description client #電腦手機終端
vlan 20
description AP fitAP
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
interface Vlan-interface20
ip address 192.168.20.254 255.255.255.0
dhcp enable 開啓DHCP
dhcp server ip-pool wlan-user
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.254
dns-list 202.106.0.20
option 43 hex 80 0B 00 00 02 (XX XX XX XX XX XX XX)將AC的模式下ip地址10進制轉換16進制
dhcp server ip-pool wlan-ap
network 192.168.20.0 mask 255.255.255.0
gateway-list 192.168.20.254
option 43 hex 80 0B 00 00 02 XX XX XX XX XX XX XX
interface WLAN-ESS1 #建立無線虛接口
port access vlan 10 #對應上面的vlan
1.port-security port-mode psk #認證加密方式
2.port-security tx-key-type 11key
3.port-security preshared-key pass-phrase + 密碼)
(這是加密認證要做,如果不加密就不用做)
BSS(basic service set,基本服務集)爲802.11網絡提供服務的基本單元
SSID:服務集標識符,用來區分BSS
BSSID:固定AP的Mac地址,無法穿越其它AP
ESSID:不固定AP的MAC地址,可以穿越其它AP
wlan service-template 10 crypto (crypto改爲clear無密碼)建立無線服務模版
ssid #定義無線信號名稱
bind WLAN-ESS
1 # 綁定虛接口
beacon ssid-hide #隱藏無線信號名稱
1.cipher-suite ccmp
2.security-ie
rsn #看需求(1.2.要是不加密可以不做)
service-template enable (必須開啓) 修改密碼需要關閉
註冊AP
wlan ap 1 model WA2110-GN #這裏的1是可以按自己的意思去定義的,WA2110-GN 是AP的型號
serial-id (210235A0UFC13A000101) #輸入AP序列號
radio 1
channel
6 #信道按自己的需求定義 可以auto
service-template
10 #調用服務模板
radio enable
radio 2
channel
6 #避免信號干擾修改不同頻段
service-template
10 #無線模板根據自己的定義去添加
radio enable
附加的:若是兩臺AC一主一備
wlan backup-ac ip + 是另一臺的AC模式下地址
hot-backup enable domain 1 (1可以自己去定義)
hot-backup vlan 1002
probe
wlan ap-execute ap1 exec-console enable 開啓APtelnet服務
查看命令
dis wlan ap name ap1 address //“ap1”AP名稱
display hot-backup state
display wlan ap name www
display wlan ap all 當FIT AP在無線控制器上註冊成功時,狀態爲”Run”;否則,狀態爲”Idle”
配置流程圖
Poe交換機上配置
vlan 20
interface GigabitEthernet1/0/1 上聯接口(連匯聚交換機的口)
port link-type trunk
port trunk permit vlan all
interface GigabitEthernet1/0/2 下聯接口(連無線AP的口)
port access vlan 20
poe enable
AP將802.11mac幀轉換爲有線網絡的幀(在一個AP下STA和STA就不需要轉換了)
802.11定義兩個(wireless Medium)物理層:射頻物理層(2.4GHz和5GHz)和紅外物理層
在2.4G頻下,電腦比手機接收靈敏度高
一般部署要預留10%的AP備用,部署時AP網口向下,避免滲水
第五步、放裝ap與室外ap模板:
[AC] wlan
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 # 添加AP
[AC]interface wlan-ess 0 #創建wlan-ess接口(爲後期服務集綁定使用)
[AC-Wlan-Ess0]port link-type hybrid
[AC-Wlan-Ess0]port hybrid untagged vlan 100 # 將業務vlan 100加入wlan-ess0
[AC] wlan
[AC-wlan-view]vmm-profile name test #命名vmm模板(可做Qos)
[AC-wlan-view]radio-profile name 2.4G-test #創建射頻模板,名字是2.4G-test
[AC-wlan-radio-prof-2.4G-test]vmm-profile name test #調用vmm模板
[AC-wlan-radio-prof-2.4G-test]radio-type 802.11bgn #射頻類型(表示都支持2.4GHz)
[AC-wlan-radio-prof-2.4G-test]channel-switch announcement enable開啓信道切換業務不中斷
[AC-wlan-view]radio-profile name 5G-test #創建射頻模板,名字是5G-test
[AC-wlan-radio-prof-5G-test]vmm-profile name test
[AC-wlan-radio-prof-5G-test]radio-type 802.11an #射頻類型(表示都支持5GHz)
[AC-wlan-radio-prof-5G-test]channel-switch announcement enable#開啓信道切換業務不中斷
[AC-wlan-radio-prof-5G-test]channel-mode auto #信道模式自動
[AC] wlan
[AC-wlan-view]traffic-profile name test #流量模板,可做Qos
[AC-wlan-view]security-profile name test #安全模板,提供加密方式
[AC-wlan-traffic-prof-test]security-policy wpa2 #認證方式WPA2
[AC-wlan-traffic-prof-test]wpa2 authentication-method psk pass-phrase simple 12345678 encryption-method ccmp #WPA2預共享密鑰12345678使用ccmp加密方式
[AC-wlan-view]ap 1 radio 0 #配置AP1的射頻
[AC-wlan-radio 1/0]radio-profile name 2.4G-test #綁定2.4G-test,兼容2.4G
[AC-wlan-radio 1/0]channel 20mhz 1 #設置頻寬,設置信道
[AC-wlan-radio 1/0]service-set name test1 #綁定服務集test1,
[Quidway-wlan-view] ap id 0
[Quidway-wlan-ap-0] access priority 5g 配置AP0的5G優先接入功能
config:初始化配置
第九步、自動添加AP
[AC-wlan-view]ap-confirm all 9430上線後使用該命令使R240D上線,在無信息條件下應用
第十步、若發現AP不存在執行以下命令刪除AP
[AC-wlan-view]undo ap ap-id 0 刪除ap-id爲0的ap
定義:無線分佈式系統通過無線鏈路連接兩個或者多獨立的有線局域網或者無線局域網,組建一個互通的網絡實現數據訪問
傳統的Wlan業務,AP必須連接到已有的有線網絡纔可以爲無線用戶提供網絡訪問服務
(需要線纜、電源、交換機設備等成本高,週期長)
使用Wlan WDS技術,AP之間可以是無線連接的,AP可以通過無線連接方式連接到AC
特性:方便網絡部署、安裝,實現靈活組網。低成本,高性能,擴展性好
使用規則:
無線網橋:射頻上提供WDS業務的功能實體,可以說網橋就是AP,而這種AP並不能單獨工作,需要AC配合將AP配置爲無線網橋,AP才能提供無線連接服務
VAP是虛擬(Virtual)AP的意思
當一個服務集(service-set)被綁定到AP射頻上時,即生成一個VAP,一個VAP就是一個無線信號。一個AP的射頻可釋放出最多16組VAP,即16個不同名稱(SSID)的無線信號。
業務型VAP:AP爲STA提供的WLAN業務接入點,也稱服務性VAP
網橋型VAP:AP網橋上爲鄰居網橋提供的與之建立無線虛鏈路的接入點
WVL(Wireless Virtual Link):兩個分屬不同AP網橋的網橋型VAP建立起的連接
管理型WVL:用於AP間管理,是搭建WDS環境的基礎
業務型WVL:用於傳輸用戶的實體業務
WDS下AP的工作模式(root/middle/leaf)root AP-middle AP,Middle AP-leaf AP,Leaf AP-STA
root模式:AP直接與AC有線連接,以AP型網橋向下提供終端型網橋接入(root模式最多接6個leafAP(根據距離)
middle模式:以終端型網橋向上連接AP型網橋,以AP型網橋向下提供STA型網橋接入(中間橋接的AP)
leaf模式:AP作爲葉子節點以終端型網橋向上連接AP型網橋(連接終端的AP)
連接方式與AC連接的AP必須設置爲root 模式,而root AP下既可以連接middle AP又可以直連leaf AP,middle AP下只可以連接leaf AP
白名單
AC上的AP白名單用於AP能否在AC註冊上線的控制。
而網橋白名單則用於控制兩個AP之間WDS無線網橋的建立。
Root AP下的網橋白名單用於控制middle和leaf類型的AP接入。
middle AP下的網橋白名單用於控制Leaf AP的接入。
[AC]wlan
[AC-wlan-view]wmm-profile name wp01#創建WMM模板
[AC-wlan-wmm-prof-wp01]quit
[AC]wlan
[AC-wlan-view]
[AC-wlan-view]radio-profile name rp01
[AC-wlan-radio-prof-rp01]wmm-profile name wp01 #配置Radio模板並綁定至AP射頻
[AC-wlan-radio-prof-rp01]radio-type 80211an #修改射頻類型爲80211an,用於綁定5G射頻
[AC-wlan-view]ap 1 radio0
[AC-wlan-radio-1/0]radio-profile name rp01
[AC-wlan-radio-1/0]quit
[AC-wlan-view]security-profile name sp01
[AC-wlan-sec-prof-sp01]wpa2 authentication-method psk pass-phrase simple 12345678 encryption-method ccmp
[AC-wlan-sec-prof-sp01]quit
[AC-wlan-view]bridge-profile name bp01
[AC-wlan-bridge-prof-bp01]bridge-name chinanet01
[AC-wlan-bridge-prof-bp01]vlan tagged 101to106容許業務vlan通過,不容許管理vlan通過,否則存在環
[AC-wlan-bridge-prof-bp01]security-profile name sp01
[AC]wlan
[AC-wlan-view]bridge-whitelist name bw01#配置網橋白名單
[AC-wlan-br-whitelist-bw01]peer ap mac 2222-2222-2222
[AC-wlan-view]bridge-whitelist name bw02
[AC-wlan-br-whitelist-bw02]peer ap mac 3333-3333-3333
[AC-wlan-view]ap 1 radio 1#配置AP1爲root AP
[AC-wlan-radio-1/1]bridge-profile name bp01
[AC-wlan-radio-1/1]bridge enable mode root
Info: This action will take effect after resetting ap.
[AC-wlan-radio-1/1]bridge whitelist enable
[AC-wlan-radio-1/1]bridge-whitelist name bw01
[AC-wlan-radio-1/1]quit
[AC-wlan-view]ap 2 radio 1 配置AP2爲middle AP
[AC-wlan-radio-2/1] bridge-profile name bp01
[AC-wlan-radio-2/1]bridge enable mode middle
Info: This action will take effect after resetting ap.
[AC-wlan-radio-2/1]bridge whitelist enable
[AC-wlan-radio-2/1]bridge-whitelist name bw02
[AC-wlan-radio-2/1]quit
[AC-wlan-view]ap 3 radio 1#配置AP3爲leaf AP
[AC-wlan-radio-3/1] bridge-profile name bp01
[AC-wlan-radio-3/1] bridge enable mode leaf
Info: This action will take effect after resetting ap.
[AC]wlan
[AC-wlan-view]service-set name ss01
[AC-wlan-service-set-ss01]security-profile name sp01
[AC-wlan-service-set-ss01]service-vlan 101
Info: This action may cause service interruption if you don't execute commit c
ommand.
[AC-wlan-service-set-ss01]ssid chinaser01
[AC-wlan-service-set-ss01]wlan-ess 1
業務型網橋配置步驟
配置AC與AP之間設備的路由可達(配置vlan)
離線添加各AP模式
創建射頻模板,綁定WMM模板
創建白名單、添加AP的mac地址
創建網橋模板、並設置網橋名稱,綁定安全模板,配置允許通過的VLAN
設置信道、功率,AP模式,如果AP已在線,重啓才能生效
創建服務集,綁定到指定的AP的指定射頻上
下發業務VAP