Size: px

Start display at page:

Download "目录（目录名）"

兄桂
5 years ago
Views:

1 H3C WA 系列 Fat AP 典型配置案例集杭州华三通信技术有限公司资料版本 :6W

声明 Copyright 2008-2009 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利未经本公司书面许可, 任何单位和个人不得擅自摘抄复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean

对于本手册中出现的其它公司的商标产品标识及商品名称, 由各自权利人拥有由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C

2 声明 Copyright 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利未经本公司书面许可, 任何单位和个人不得擅自摘抄复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标对于本手册中出现的其它公司的商标产品标识及商品名称, 由各自权利人拥有由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述信息和建议也不构成任何明示或暗示的担保技术支持用户支持邮箱 :customer_service@h3c.com 技术支持热线电话 : ( 固话拨打 ) ( 手机固话均可拨打 ) 网址 :

3 相关资料及其获取方式相关资料手册名称 H3C WA1208E 系列无线局域网增强型接入点设备安装手册 H3C WA2200 系列无线局域网接入点设备安装手册 H3C WA2600 系列无线局域网接入点设备安装手册 H3C WB2320 无线网桥设备安装手册 H3C WA 系列无线局域网接入点设备用户手册 H3C WA 系列无线局域网接入点设备 Web 网管用户手册用途介绍了 WA1208E 的整体硬件安装以及软件的基本设置过程对用户使用 H3C WA2200 系列无线局域网接入点设备的安装进行操作指导包括设备简介安装准备室内外型安装和软件设置对用户使用 H3C WA2600 系列无线局域网无线接入点设备的安装进行操作指导包括设备简介安装准备安装和软件设置对用户使用 H3CWB2320 无线网桥的设备的安装进行操作指导包括硬件配置外观和接口设备的机械安装电源和以太网电缆的连接方法和软件基本设置进行操作指导对用户使用无线局域网接入点设备进行操作指导包括命令行接口 VLAN 系统维护与调试无线 IPv4 IPv6 端口基本配置组播协议 802.1x AAA SSH ACL QoS 等内容和全手册的缩略语解释详细解释无线局域网接入点设备中的操作命令包括 VLAN 系统维护与调试无线 IPv4 IPv6 端口基本配置组播协议 802.1x AAA SSH ACL QoS 等内容和全手册的命令总索引详细介绍了 Web 界面的各个页签和功能介绍, 并给出各个特性的配置指导资料获取方式您可以通过 H3C 网站 ( 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档 [ 服务支持 / 文档中心 ]: 可以获取安装类配置类产品资料 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料资料意见反馈如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : info@h3c.com 感谢您的反馈, 让我们做得更好!

4 前言本书简介本配置案例集包含了以下内容 : EAD 典型配置举例 ; WDS 功能典型配置举例 ; MAC 认证典型配置举例 ; PPPoE Client 配置举例 ; PSK 认证方式典型配置举例 ; WEP 加密典型配置举例 ; WPA2-PSK 典型配置举例 ; WPA+802.1x 无线认证和 IAS 配合典型配置举例 ; 动态黑名单典型配置举例 ; 上行链路完整性检测配置举例 ; 用户流量限速 CAR 功能典型配置举例 ; 用户在线检测功能典型配置举例 ; 无线控制器 /WA 系列无线接入点 BootWare 维护典型配置举例 ; 本书约定 1. 命令行格式约定格式意义粗体斜体命令行关键字 ( 命令中保持不变必须照输的部分 ) 采用加粗字体表示命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从两个或多个选项中选取一个 [ x y... ] 表示从两个或多个选项中选取一个或者不选 { x y... } * 表示从两个或多个选项中选取多个, 最少选取一个, 最多选取所有选项 [ x y... ] * 表示从两个或多个选项中选取多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次由号开始的行表示为注释行

5 2. 图形界面格式约定格式意义 < > 带尖括号 < > 表示按钮名, 如单击 < 确定 > 按钮 [ ] 带方括号 [ ] 表示窗口名菜单名和数据表, 如弹出 [ 新建用户 ] 窗口 / 多级菜单用 / 隔开如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下的 [ 文件夹 ] 菜单项 3. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏对操作内容的描述进行必要的补充和说明

6 H3C WA 系列 EAD 典型配置举例关键词 :EAD,PORTAL,DOT1X 摘要 : 本文介绍了用 H3C 公司 WA 系列 AP 部署 EAD 解决方案时必需的配置缩略语 : 缩略语英文全名中文解释 EAD Endpoint Admission Defense 端点准入防御 i

7 目录 1 特性简介特性介绍特性优点应用场合注意事项配置举例组网需求配置思路使用版本配置步骤 CAMS 配置验证结果注意事项相关资料相关协议和标准其它相关资料 ii

大幅度提高网络的整体安全该方案充分发挥企业互联网络设备层路由器的作用, 尤其是在 H3C 公司最新发布的基于新一代硬件平台的 WA 系列无线局域网接入点设备的基础上配合 EAD 安全理念, 极大的提升企业网的性能和安全, 彻底改变传统的安全观点, 使网络的安全上升到一个新的高度, 由原有的被动防御向主动防御和抵抗转化, 由单点防御向整体防御过渡, 由分散管理向集中管理迁移 ; 同时结合了检查

8 R 1 特性简介 1.1 特性介绍 H3C WA 系列无线局域网端点准入防御 (EAD,Endpoint Admission Defense) 方案主要针对企业广域网络入手, 整合网络接入控制与终端安全产品, 强制实施企业安全策略, 从而加强网络终端的主动防御能力, 防止危险易感终端接入网络, 控制病毒蠕虫的蔓延这种端到端的安全防护体系, 可以在终端接入层面帮助管理员统一实施企业安全策略, 大幅度提高网络的整体安全该方案充分发挥企业互联网络设备层路由器的作用, 尤其是在 H3C 公司最新发布的基于新一代硬件平台的 WA 系列无线局域网接入点设备的基础上配合 EAD 安全理念, 极大的提升企业网的性能和安全, 彻底改变传统的安全观点, 使网络的安全上升到一个新的高度, 由原有的被动防御向主动防御和抵抗转化, 由单点防御向整体防御过渡, 由分散管理向集中管理迁移 ; 同时结合了检查隔离修复管理和监控等多种手段 EAD 的基本功能是通过安全客户端安全联动设备 ( 如交换机路由器 ) 安全策略服务器以及防病毒服务器补丁服务器的联动实现的, 其基本原理如下图所示 : 图 1-1 EAD 基本原理架构端点设备层控制层隔离区安全客户端防病毒客户端认证插件其他插件安全客户端平台安全联动设备安全策略服务器防病毒服务器补丁服务器流程身份认证 ( 用户名密码 MAC VLAN) 安全认证 ( 病毒库版本补丁安全设置 ) 策略实施 ( 访问策略 QoS 策略安全设置 ) 非法用户拒绝接入不合格用户进入隔离区, 进行补丁升级病毒库升级为合格用户提供个性化服务用户终端试图接入网络时, 首先通过安全客户端进行用户身份认证, 非法用户将被拒绝接入网络合法用户将被要求进行安全状态认证, 由安全策略服务器验证补丁版本病毒库版本是否合格, 不合格用户将被安全联动设备隔离到隔离区进入隔离区的用户可以进行补丁病毒库的升级, 直到安全状态合格安全状态合格的用户将实施由安全策略服务器下发的安全设置, 并由安全联动设备提供基于身份的网络服务结合 EAD 的安全理念以及企业网目前网络架构,H3C 公司推出 WA2200 无线局域网 EAD 方案 H3C 公司 EAD 安全理念结 WA2200 无线局域网以及 CAMS 服务器, 可以是实现 802.1x Portal 以及扩展 Portal 认证方式, 在企业网出口处对网络用户的端点准入控制 1

9 1.2 特性优点作为一种结合企业网络现有架构, 为企业量身定做的 WA2200 无线局域网端点准入方案可以大幅度提高网络对病毒蠕虫等新兴安全威胁的整体防御能力, 同时在目前主流认证方式的基础上结合客户需求独家扩展 Portal 认证条件, 使网络安全性大大增加 H3C 的 WA2200 无线局域网端点准入防御方案具有以下特点 : 在支持 802.1X 和 Portal 基本认证基础上, 为企业网客户实际应用扩展 Portal 认证条件 : 客户实际应用中只有通过 IE 才可以激活 Portal 认证, 扩展 Portal 激活条件规定只要出现 TCP/UDP 报文就可以激活 Portal 认证, 例如客户不一定启动 IE, 有 FTP 等流量经过端口既可以激活认证双因素决定客户安全和权限, 在原有的基础上增加对客户身份认证之后, 在决定客户的访问权限这样操作可以使不同的客户具备不同的权限, 访问不同的网络资源,IT 资源细化分层整合防病毒与网络接入控制, 大幅提高安全性,EAD 可以确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略不符合安全策略的用户终端将被隔离到隔离区, 只能访问网络管理员指定的资源, 直到按要求完成相应的升级操作全面隔离危险终端, 可以配合设备采用 ACL 隔离的方式, 以到达物理或网络隔离的效果, 实现对危险终端的全面隔离详细的安全事件日志与审计专业防病毒厂商的合作, 通过 EAD 的联动, 防病毒软件的价值得到提升, 从单点防御转化为整体防御 2 应用场合 EAD 是一种通用接入安全解决方案, 具有很强的灵活性和适应性, 配合 H3C 的 WA2200 无线局域网, 实现对企业无线网络入口安全保护 EAD 可以为以下应用场景提供安全防护解决方案 : 企业网络入口安全防护大型企业往往拥有分支或下属机构, 分支机构可以通过专线或 WAN 连接企业总部某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络这种组网方式在开放型的商业企业中比较普遍, 受到的安全威胁也更严重为了确保接入企业内部网的用户具有合法身份且符合企业安全标准, 可以在企业入口路由器或 BAS 中实施 EAD 准入认证, 强制接入用户进行 Portal 认证和安全状态检查 3 注意事项 (1) 接入设备上服务器端口配置正确 (2) 相关 AAA 配置正确 2

10 4 配置举例 4.1 组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点 AP 的 IP 地址为 /24,Radius Server 的 IP 地址为 /8,Client 通过 DHCP 服务器获取 IP 地址本典型配置案例简化组网为两台 Client 以及一台 Fat AP, 一台 PC 作为 Radius Server 图 4-1 EAD 组网图 Radius-Server AP PC Client1 Client2 4.2 配置思路配置 DOT1X 配置服务器 4.3 使用版本 [AP]display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A 3

11 Basic BootROM Version: 1.04 Extend BootROM Version: 1.04 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver) 配置步骤 1. 配置信息 : <AP>display current-configuration version 5.00, 0001 sysname AP configure-user count 1 domain default enable cams port-security enable dot1x authentication-method chap vlan 1 vlan 2 to 4094 radius scheme system primary authentication primary accounting key authentication h3c key accounting h3c accounting-on enable radius scheme cams server-type extended primary authentication primary accounting key authentication h3c key accounting h3c security-policy-server timer realtime-accounting 3 user-name-format without-domain undo stop-accounting-buffer enable accounting-on enablee 4

12 domain cams authentication default radius-scheme cams authorization default radius-scheme cams accounting default radius-scheme cams access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable acl number 3000 rule 0 permit ip acl number 3001 rule 5 permit udp rule 10 deny tcp wlan service-template 2 clear ssid h3c-clear authentication-method open-system service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS2 port-security port-mode userlogin-secure interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 service-template 2 interface wlan-bss 2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 5

13 return [AP] 2. 主要配置步骤在 DOT1X 接入端配置 802.1X 和认证 (1) 启用 port-security, 配置 802.1X 认证方式为 CHAP [AP]port-security enable [AP]dot1x authentication-method chap (2) 配置认证策略创建名为 cams 的 RADIUS 方案并进入其视图 [AP]radius scheme cams 将 RADIUS 方案 cams 的 RADIUS 服务器类型设置为 extended [AP-radius-cams]server-type extended 配置主 RADIUS 认证 / 授权服务器的 IP 地址为 [AP-radius-cams]primary authentication 配置主 RADIUS 计费服务器的 IP 地址为 [AP-radius-cams]primary accounting 将 RADIUS 方案 cams 的认证 / 授权报文的共享密钥设置为 h3c [AP-radius-cams]key authentication h3c 将 RADIUS 方案 cams 的计费报文的共享密钥设置为 h3c [AP-radius-cams]key accounting h3c 设置 RADIUS 方案 cams 的安全策略服务器 IP 地址为 [AP-radius-cams]security-policy-server 设置实时计费的时间间隔为 3 分钟 [AP-radius-cams]timer realtime-accounting 3 指定发送给 RADIUS 方案 cams 中 RADIUS 服务器的用户名不得携带域名 [AP-radius-cams]user-name-format without-domain 禁止在设备上缓存没有得到响应的停止计费请求报文 [AP-radius-cams]undo stop-accounting-buffer enable 使能 accounting-on 功能 [AP-radius-cams]accounting-on enable (3) 配置认证域创建一个新的 ISP 域 cams, 并进入其视图 [AP]domain cams 在 ISP 域 cams 下, 为所有类型的用户配置方案名为 cams 的 RADIUS 认证方案 [AP-isp-cams]authentication default radius-scheme cams 在 ISP 域 cams 下, 为所有类型的用户配置方案名为 cams 的 RADIUS 授权方案 [AP-isp-cams]authorization default radius-scheme cams 6

14 在 ISP 域 cams 下, 为所有类型的用户配置方案名为 cams 的 RADIUS 计费方案 [AP-isp-cams]accounting default radius-scheme cams (4) 把配置的认证域 CAMS 设置为系统缺省域 [AP]domain default enable cams (5) 配置下发的 ACL 创建一个序号为 3000 的 IPv4 ACL [AP]acl number 3000 定义一条规则, 允许所有 IP 报文通过 [AP-acl-adv-3000]rule permit ip 创建一个序号为 3001 的 IPv4 ACL [AP-acl-adv-3000]acl number 3001 定义一条规则, 允许所有 UDP 报文通过 [AP-acl-adv-3001]rule permit udp 定义一条规则, 禁止所有 TCP 报文通过 [AP-acl-adv-3001]rule deny tcp (6) 配置无线服务模板创建 clear 类型的服务模板 2 [AP]wlan service-template 2 clear 设置服务模板 2 的 SSID 为 h3c-clear [AP-wlan-st-2]ssid h3c-clear 使能开放式系统认证 [AP-wlan-st-2]authentication-method open-system 使能服务模板 2 [AP-wlan-st-2]service-template enable (7) 配置无线口, 并在无线口启用端口安全 (802.1X 认证 ) 在系统视图下创建编号为 2 的 WLAN-BSS 接口 [AP]interface WLAN-BSS 2 配置端口 WLAN-BSS 2 的端口安全模式为 userlogin-secure-ext [AP-WLAN-BSS2] port-security port-mode userlogin-secure-ext (8) 在射频口绑定无线服务模板和无线口在系统视图下进入 WLAN-Radio1/0/2 接口视图 [AP]interface WLAN-Radio 1/0/2 将服务模板 2 与 WLAN 射频接口 1/0/2 上的 WLAN BSS 接口 2 进行关联 [AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2 [AP-WLAN-Radio1/0/2] (9) 配置 VLAN 虚接口 [AP1]interface Vlan-interface1 [AP-Vlan-interface1]ip address

15 [AP-Vlan-interface1] (10) 配置缺省路由 [AP-Vlan-interface1]ip route-static CAMS 配置 CAMS 版本 :2.10 试用版 (CAMS 详细版本号 :2.10-R0209) 在 CAMS 上配置 DOT1X 认证项 : 系统配置 : 8

16 配置安全策略 : 配置计费策略 : 9

17 配置服务策略 : 配置帐号用户 : inode 客户端配置 : inode 客户端版本 10

18 11

19 4.6 验证结果使用 display dot1x sessions 查看 DOT1X 用户, 是否用户在线在 CAMS 上查看用户是否在线 4.7 注意事项目前, 在 EAD 解决方案中, 对于客户端可以下发 ACL 和 VLAN 5 相关资料 5.1 相关协议和标准无 5.2 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册安全分册中的端口安全 802.1x AAA H3C WA 系列无线局域网接入点设备用户手册 WLAN 分册中的 WLAN 配置和 WLAN 命令 12

20 H3C WA 系列 Fat AP WDS 功能典型配置举例关键词 :WDS 摘要 : 在实际网络应用, 为了连接两个 ( 或多个 ) 有线网络, 可以通过 H3C Fat AP 上的 WDS 功能以无线桥接的方式来实现 Fat AP 上的 WDS 功能支持 point-to-point(p2p) 模式, 也支持 point-to-multi-point(p2mp) 模式, 两种模式在配置上没有什么差别, 下面以两个 AP 组成的桥接网络为例, 介绍了如何配置 WDS 功能, 并在其中一个 AP 上提供无线接入功能缩略语 : 缩略语英文全名中文解释 WDS Wireless Distributed System 无线分布式系统 i

21 目录 1 特性简介特性介绍特性优点应用场合注意事项配置举例组网需求配置思路使用版本配置步骤中心点 AP1 的 WDS 配置接入点 AP2/AP3 的 WDS 配置在接入点上配置无线接入功能验证结果相关资料相关协议和标准其它相关资料 ii

22 1 特性简介 1.1 特性介绍在实际网络应用中, 常常会遇到这样的组网情况 : 为了连接两个 ( 或多个 ) 有线网络, 常常需要使用挖沟开渠等方式铺设光缆, 这样做不仅花费大量的人力物力, 而且工期长开销大, 且难以满足快速增长的网络应用需求 H3C 公司自主研发的 Fat AP 上的 WDS 功能为类似应用场合提供了一种易于部署且比较经济的组网模式 Fat AP 上的 WDS 功能支持 point-to-point(p2p) 模式, 也支持 point-to-multi-point(p2mp) 模式, 两种模式在配置上没有什么差别, 下面两个 AP 组成的桥接网络为例, 介绍了如何配置 WDS 功能, 并在其中一个 AP 上提供无线接入功能 1.2 特性优点 H3C 公司自主研发的 Fat AP 在提供 WDS 功能的同时, 还支持在双 radio 设备上用另外一个 radio 提供无线接入功能 2 应用场合应用于需要对两个或多个有线网络进行链接, 且有线网络部署不方便的组网情况 3 注意事项在目前的 Fat AP 上, 当配置 mesh-wds 时, 必须的配置包括 : (1) 启用端口安全 port-security enable ( 注意 : 在配置下面的 mesh 功能前, 需要首先启用端口安全功能该功能在 Fat AP 上缺省启用 ) (2) 配置 mesh 接口, 包括在 mesh 接口下配置 psk 认证及 key 该配置是必须的另外, 可以根据实际网络的需要, 配置为 trunk 口还是 hybrid 口 (mesh 口缺省为 acess 类型 ) (3) 配置 mp-policy, 包括配置 probe-request 间隔可连接的最大邻居数等可以采用系统缺省的 mp-policy, 该配置是可选的 ( 注意 : 设备缺省的 mp-policy 允许的最大链路数是 2, 如果在实际应用中, 需要建立的 mesh-link 数目大于 2, 就需要创建一个新的 mp-policy, 并配置允许的最大链接数 ) (4) 配置 mesh-profile, 包括配置 mesh-id 绑定的 mesh 接口等该配置是必须的 ( 注意 : mesh-link 两端的设备上配置的 mesh-id 必须一致 ) (5) 在 wlan-radio 接口绑定 mesh-profile 等, 包括绑定 mesh-profile mp-policy( 可以采用缺省配置 ) mesh-peer-mac 等除了绑定 mesh-profile 外, 其它配置都不是必须的, 可以根据需要选择是否绑定 mp-policy mesh-peer-mac 等 ( 注意 : 如果在一个 AP 上配置 1

23 mesh-peer-mac, 相当于只允许所配置的 mesh-peer-mac 的 peer 接入, 不在 mesh-peer-mac 列表中的 peer 不允许接入 ) 此外, 还要保证 mesh 链路两端的 mesh 设备的 wlan-radio 工作在相同的信道 (channel) 在下面的配置举例中, 所用的 AP 都是双频 AP, 在实际应用时, 请根据实际需要选择配置 4 配置举例 4.1 组网需求本配置举例中的 AP 使用的是 WA2220X-AG 无线局域网接入点设备本配置举例使用 11a 做无线桥接,AP1 作为中心点,AP2 AP3 作为接入点, 同时在 AP2 AP3 上用 11g 提供无线接入功能图 4-1 Fat AP WDS 组网图 Internet WDS(11a) AP 1 WDS(11a) AP 2 AP 3 11g 11g Client 1 Client 2 如果要对两个或多个有线网络进行桥接, 在上面的组网中, 可以把 AP2 或 AP3 的有线口接入有线网络就可以了 4.2 配置思路为了防止非中心点之间的 AP 之间建立起 WDS 链路形成环路, 下面采用 peer-mac-address 方式, 即每一个 AP 都需要指定连接的对端 AP 的 MAC 地址用 VLAN3 作为管理 VLAN, 用 VLAN1 和 VLAN2 作为业务 VLAN 4.3 使用版本 <AP1> display version H3C Comware Platform Software 2

24 Comware Software, Version 5.20, Beta 1108P01 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2220X-AG uptime is 0 week, 0 day, 3 hours, 17 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.B Basic BootROM Version: 1.13 Extend BootROM Version: 1.13 [SLOT 1]CON (Hardware)Ver.B, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.B, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/2 (Hardware)Ver.A, (Driver) 配置步骤以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突中心点 AP1 的 WDS 配置 1. 配置信息 <AP1> display current-configuration version 5.00, Beta 1108P01 sysname AP1 domain default enable system telnet server enable port-security enable vlan 1 vlan 2 to 3 domain system access-limit disable state active idle-cut disable self-service-url disable 3

25 user-group system local-user admin password simple admin authorization-attribute level 3 service-type telnet terminal wlan mesh-profile 1 mesh-id testt bind WLAN-MESH 1 link security-type peer-to-peer mesh-profile enable wlan mp-policy 1 link-maximum-number 8 wlan rrm spectrum-management enable autochannel-set avoid-dot11h dot11a mandatory-rate dot11a supported-rate dot11b mandatory-rate 1 2 dot11b supported-rate dot11g mandatory-rate dot11g supported-rate interface NULL0 interface Vlan-interface3 ip address interface Ethernet1/0/1 port link-type trunk port trunk permit vlan all interface WLAN-MESH1 port link-type hybrid port hybrid vlan 2 to 3 tagged port hybrid vlan 1 untagged port-security port-mode psk port-security tx-key-type 11key port-security preshared-key pass-phrase interface WLAN-Radio1/0/1 channel 149 mp-policy 1 mesh-profile 1 4

26 mesh peer-mac-address 000f-e mesh peer-mac-address 000f-e interface WLAN-Radio1/0/2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 authentication-mode none user privilege level 3 return <AP1> 2. 主要配置步骤 : (1) 设备采用缺省配置启动 (2) 在 WDS 设备上创建 VLAN2 和 VLAN3, 并配置以太网口 Ethernet 1/0/1 为 trunk 口 <AP1> system-view [AP1] vlan 2 to 3 Please wait... Done. [AP1] interface Ethernet 1/0/1 [AP1-Ethernet1/0/1] port link-type trunk [AP1-Ethernet1/0/1] port trunk permit vlan all Please wait... Done. (3) 在 WDS 设备上创建管理 VLAN 三层虚接口 [AP1] interface Vlan-interface 3 [AP1-Vlan-interface3] ip address (4) 在 WDS 设备上启动端口安全, 该命令缺省是启用的 [AP1] port-security enable (5) 在 MESH 设备上配置 mesh 接口在系统视图下创建编号为 1 的 WLAN-MESH 接口 [AP1] interface wlan-mesh 1 将端口 WLAN-MESH1 的端口安全模式改变为 PSK [AP1-WLAN-MESH1] port-security port-mode psk 在接口 WLAN-MESH1 下使能 11key 类型的密钥协商功能 [AP1-WLAN-MESH1] port-security tx-key-type 11key 在接口 WLAN-MESH1 下配置预共享密钥为 [AP1-WLAN-MESH1] port-security preshared-key pass-phrase 设置接口 WLAN-MESH1 的链路类型为 Hybrid 类型 [AP1-WLAN-MESH1] port link-type hybrid 5

27 配置接口 WLAN-MESH1 允许 VLAN2 VLAN3 通过, 并且发送这些 VLAN 的报文时保留 VLAN 标签 [AP1-WLAN-MESH1] port hybrid vlan 2 to 3 tagged Please wait... Done. 注意 :WDS 链路两端的 WDS 设备上配置的 preshared-key 必须一致 (6) 在 WDS 设备上配置 mp-policy 创建 MP 策略 1, 并进入 MP 策略视图 [AP1] wlan mp-policy 1 设置 MP 策略 1 允许建立的最大链路数为 8 [AP1-wlan-mp-policy-1] link-maximum-number 8 [AP1-wlan-mp-policy-1] quit (7) 在 WDS 设备上配置 mesh-profile 创建 Mesh Profile 1 并进入该视图 [AP1]wlan mesh-profile 1 为 Mesh Profile 1 设置的 mesh ID 为 testt [AP1-wlan-mshp-1] mesh-id testt 将 Mesh 接口 1 绑定到 Mesh Profile 1 下 [AP1-wlan-mshp-1] bind WLAN-MESH 1 使能 mesh 策略 1 [AP1-wlan-mshp-1] mesh-profile enable WDS 链路两端的 WDS 设备上配置的 mesh-id 必须一致 (8) 在 wlan-radio 接口应用 mp-policy mesh-profile,000f-e 是 AP2 11a radio 的 MAC 地址,000f-e 是 AP3 11a radio 的 MAC 地址设置射频的工作信道为 149 [AP1-WLAN-Radio1/0/1] channel 149 将 MP 策略 1 和 radio 1/0/1 绑定 [AP1-WLAN-Radio1/0/1] mp-policy 1 将 Mesh Profile 1 与 radio 1/0/1 绑定 [AP1-WLAN-Radio1/0/1] mesh-profile 1 配置与当前设备相连的邻居 MAC 地址 [AP1-WLAN-Radio1/0/1] mesh peer-mac-address 000f-e [AP1-WLAN-Radio1/0/1] mesh peer-mac-address 000f-e

28 WDS 链路两端的 WDS 设备上配置的 channel 必须一致接入点 AP2/AP3 的 WDS 配置 AP2 和 AP3 的 WDS 相关配置和 AP1 类似, 差别在于配置的 peer mac-address 不同,AP2 AP3 上的 peer mac-address 指向的都是 AP1 11a radio 的 MAC 地址而中心点 AP1 上需要配置两个 peer mac-address 分别指向 AP2 AP3 11a radio 的 MAC 地址下面 AP2 AP3 的配置过程略 (AP3 的配置这里不再提供 ) 1. 配置信息 : <AP2> display current-configuration version 5.00, Beta 1108P01 sysname AP2 domain default enable system telnet server enable port-security enable vlan 1 vlan 2 to 3 domain system access-limit disable state active idle-cut disable self-service-url disable user-group system local-user admin password simple admin authorization-attribute level 3 service-type telnet terminal wlan mesh-profile 1 mesh-id testt bind WLAN-MESH 1 link security-type peer-to-peer mesh-profile enable 7

29 wlan mp-policy 1 link-maximum-number 8 wlan rrm spectrum-management enable autochannel-set avoid-dot11h dot11a mandatory-rate dot11a supported-rate dot11b mandatory-rate 1 2 dot11b supported-rate dot11g mandatory-rate dot11g supported-rate interface NULL0 interface Vlan-interface3 ip address interface Ethernet1/0/1 port link-type trunk port trunk permit vlan all interface WLAN-MESH1 port link-type hybrid port hybrid vlan 2 to 3 tagged port hybrid vlan 1 untagged port-security port-mode psk port-security tx-key-type 11key port-security preshared-key pass-phrase interface WLAN-Radio1/0/1 channel 149 mp-policy 1 mesh-profile 1 mesh peer-mac-address 000f-e interface WLAN-Radio1/0/2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 authentication-mode none user privilege level 3 return <AP2> 8

30 4.4.3 在接入点上配置无线接入功能这里只提供了接入点 AP2 上的配置, 接入点 AP3 上的配置和 AP2 上类似, 这里就不再提供 (1) 在接入点 AP2 创建两个不加密的服务模板创建一个 clear 类型的服务模板 1 [AP2] wlan service-template 1 clear 设置服务模板 1 的 SSID 为 test1 [AP2-wlan-st-1] ssid test1 使能服务模板 1 [AP2-wlan-st-1] service-template enable [AP2-wlan-st-1] quit 创建一个 clear 类型的服务模板 2 [AP2] wlan service-template 2 clear 设置服务模板 1 的 SSID 为 test2 [AP2-wlan-st-2] ssid test2 使能服务模板 2 [AP2-wlan-st-2] service-template enable [AP2-wlan-st-2] quit (2) 创建两个 wlan-bss 接口, 分别属于 vlan1 vlan2 [AP2] interface wlan-bss 1 [AP2-WLAN-BSS1] quit [AP2] interface wlan-bss 2 将 WLAN-BSS2 端口加入到 VLAN2 中 [AP2-WLAN-BSS2] port access vlan 2 [AP2-WLAN-BSS2] quit (3) 在 11g radio 绑定两个服务模板 [AP2] interface wlan-radio1/0/2 [AP2-WLAN-Radio1/0/2] service-template 1 interface WLAN-BSS 1 [AP2-WLAN-Radio1/0/2] service-template 2 interface WLAN-BSS 2 [AP2-WLAN-Radio1/0/2] quit 4.5 验证结果 (1) 查看 mesh-link 当 WDS 两端设备配置完成后, 可以通过命令查看 WDS 链路是否已经成功建立查看 mesh-link <AP1> display wlan mesh-link all Peer Link Information Nbr-Mac BSSID Interface Link-state Uptime (hh:mm:ss) f-e f-e WLAN-MESHLINK31 Active 0:17:59 9

31 000f-e f-e WLAN-MESHLINK32 Active 0:19: <AP1> 在 WDS 对端 AP2 看到的信息 : <AP2> display wlan mesh-link all Peer Link Information Nbr-Mac BSSID Interface Link-state Uptime (hh:mm:ss) f-e f-e WLAN-MESHLINK62 Active 0:17: <AP2> (2) WDS 维护及调试当 WDS 链路建立, 但通信质量不好时, 在 WEB 页面, 可以通过上面的信息查看当前 WDS 链路质量状况, 当信号质量显示为绿色 ( 五格 ) 时, 表明信号质量最好, 其它情况下信号质量可能都不是很好 ; 如果显示为黄色, 则表明当前信号质量比较差, 此时需要关注点有 : 当前采用的天线是否和 radio 匹配天线连接是否正确 WDS 两端天线是否对准 ( 特别是用定向天线时 ) 当前射频是否工作在最大功率如果是 WDS 链路无法建立, 除了要考虑上述几点因素外, 还要考虑 : 注意事项 (3) 中的提到相关要求是否满足此时也可以在命令行模式, 在用户视图可以通过命令 display wlan mesh-link all 查看当前设备上所有 mesh-link 的状态 <H3C>display wlan mesh-link all Peer Link Information Nbr-Mac BSSID Interface Link-state Uptime (hh:mm:ss) f-e2c f-e WLAN-MESHLINK1 Active 0:25: <H3C> 在隐藏模式下, 通过命令 display wlan mesh neighbors all 可以查看 mesh-link 其它信息, 最重要的是当前 mesh-link 的 RSSI 参数一般情况下, 当 RSSI 参数在 45~60 范围内时, 认为当前链路质量比较好但该参数也不是链路质量好坏的唯一标准, 其它参数也会影响链路质量, 如 SNR [H3C-hidecmd]display wlan mesh neighbors all Mesh Neighbor Parameters Neighbor MINDEX :1280 BSS ID :000f-e Peer Mac Addr :000f-e2c Mesh ID :wds-service1 Neighbor state :Connected peer 10

32 Mean RSSI :37 Zero Config State :No Link FSM State :Established Peer's LinkId :005F Interface Index :00CC [H3C-hidecmd] 在 WDS 无法建立时, 可以除了上面的显示命令, 还可以通过用户视图下的调试命令获取相关调试信息 debugging wlan mesh all/error/event/frame/fsm/timer 如果在设备上正确配置的 WDS 功能后,WDS 链路无法建立, 在打开调试信息 debugging wlan mesh all 后, 只有下面的调试信息输出, 表明 : 该 AP 收不到来自任何 peer 的 WDS 报文, 也探测不到任何 peer 的存在 *Apr 26 12:16:14: H3C WMSH/7/Timer: Keep Alive Timer is expired for the Key cache entry <000f-e2b6-2be0> *Apr 26 12:16:14: H3C WMSH/7/Timer: Keep Alive Timer is refreshed for the Key cache entry <000f-e2b6-2be0> 下面是一次 WDS 链路建立过程完整的调试信息 : 收到来自 peer(000f-e ) 的 mesh 报文 (Peer link open 报文 ) *Jan 4 17:09:10: H3C WMSH/7/Frame_Rcvd: Peer link open frame is received from neighbor 000f-e 把 peer(000f-e ) 添加到 candidate neighbor 列表中 ( 备用 peer 列表 ) *Jan 4 17:09:10: H3C WMSH/7/Event: Neighbor 000f-e is added *Jan 4 17:09:10: H3C WMSH/7/Event: Neighbor 000f-e is selected as candidate neighbor *Jan 4 17:09:10: H3C WMSH/7/Timer: Neighbor aging timer is created for neighbor 000f-e *Jan 4 17:09:10: H3C WMSH/7/Event: The selector for the link is 000f-e2fe-0100 *Jan 4 17:09:10: H3C WMSH/7/Timer: Neighbor aging timer is stopped for neighbor 000f-e 本端发送 Peer link open 报文给 peer(000f-e ) *Jan 4 17:09:10: H3C WMSH/7/Frame_Send: Peer link open frame is being sent to neighbor 000f-e in state Idle *Jan 4 17:09:10: H3C WMSH/7/Timer: Retry timer is started for neighbor 000f-e 发送 Peer link confirm 报文给 peer(000f-e ), 链路状态由 Idle 变为 OpenRcvd *Jan 4 17:09:10: H3C WMSH/7/Frame_Send: Peer link confirm frame is being sent to neighbor 000f-e in state Idle *Jan 4 17:09:10: H3C WMSH/7/Fsm: LINK FSM Change state [Idle -> OpenRcvd] for neighbor 000f-e 收到来自 peer(000f-e ) 的 Peer link confirm 报文, 链路状态由 OpenRcvd 变为 Established, 即 WDS 链路初步建立 *Jan 4 17:09:10: H3C WMSH/7/Frame_Rcvd: Peer link confirm frame is received from neighbor 000f-e

33 *Jan 4 17:09:10: H3C WMSH/7/Timer: Retry timer is stopped for neighbor 000f-e *Jan 4 17:09:10: H3C WMSH/7/Fsm: LINK FSM Change state [OpenRcvd -> Established] for neighbor 000f-e *Jan 4 17:09:10: H3C WMSH/7/Event: Link information added successfully to driver for neighbor 000f-e Jan 4 17:09:10: H3C IFNET/4/INTERFACE UPDOWN: Trap <linkUp>: Interface is Up, ifadminstatus is 1, ifoperstatus is 1 %Jan 4 17:09:10: H3C IFNET/4/LINK UPDOWN: WLAN-MESHLINK710: link status is UP 本端开始认证对端 ( 本端的 MAC 地址比对端大 ), 发送 Link state report 给 peer( 同时也收到来自 peer 的 link state report),wds 链路建立 *Jan 4 17:09:10: H3C WMSH/7/Event: MSA authentication started for neighbor *Jan 4 17:09:10: H3C WMSH/7/Timer: Keep alive timer is started for neighbor 000f-e *Jan 4 17:09:10: H3C WMSH/7/Frame_Rcvd: Peer link report frame is received from neighbor 000f-e *Jan 4 17:09:11: H3C WMSH/7/Frame_Send: Link state report frame is being sent to neighbor 000f-e *Jan 4 17:09:12: H3C WMSH/7/Frame_Rcvd: Peer link report frame is received from neighbor 000f-e *Jan 4 17:09:12: H3C WMSH/7/Frame_Send: Link state report frame is being sent to neighbor 000f-e *Jan 4 17:09:12: H3C WMSH/7/Frame_Send: Peer link open frame is being sent to neighbor 000f-e in state Established *Jan 4 17:09:12: H3C WMSH/7/Frame_Rcvd: Peer link confirm frame is received from neighbor 000f-e *Jan 4 17:09:13: H3C WMSH/7/Frame_Rcvd: Peer link report frame is received from neighbor 000f-e *Jan 4 17:09:13: H3C WMSH/7/Frame_Send: Link state report frame is being sent to neighbor 000f-e *Jan 4 17:09:14: H3C WMSH/7/Frame_Rcvd: Peer link report frame is received from neighbor 000f-e *Jan 4 17:09:14: H3C WMSH/7/Frame_Send: Link state report frame is being sent to neighbor 000f-e *Jan 4 17:09:14: H3C WMSH/7/Frame_Send: Peer link open frame is being sent to neighbor 000f-e in state Established *Jan 4 17:09:14: H3C WMSH/7/Frame_Rcvd: Peer link confirm frame is received from neighbor 000f-e 相关资料 5.1 相关协议和标准无 12

34 5.2 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册 WLAN 分册 H3C WA 系列无线局域网接入点设备用户手册安全分册中的端口安全 H3C WA 系列无线局域网接入点设备用户手册接入分册中的 WLAN 接口 13

35 H3C WA 系列 MAC 认证典型配置举例关键词 :Radius,AAA 摘要 : 随着网络应用的广泛普及, 公司越来越多核心业务会依托网络平台, 但由于传统共享网络的特点, 局域网网络的安全问题日趋明显, 本典型举例可以实现在网络的接入层对非法用户进行控制, 既可缓解安全问题, 又能节省宝贵的带宽缩略语 : 缩略语英文全名中文解释 Radius Remote Authentication Dial In User Service 基于用户服务的远程拨号认证 AAA Authentication Authorization Accounting 认证授权计费 i

36 目录 1 特性简介应用场合注意事项配置举例组网需求配置思路使用版本 MAC 认证配置配置远程 MAC 认证配置本地 MAC 认证验证结果相关资料相关协议和标准其它相关资料 ii

37 1 特性简介 MAC 地址认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法, 它不需要用户安装任何客户端软件设备在首次检测到用户的 MAC 地址以后, 即启动对该用户的认证操作认证过程中, 也不需要用户手动输入用户名或者密码 2 应用场合 MAC 认证提供了一种基于 MAC 的认证手段, 并简单地通过 mac 地址来实现认证, 整个过程不需要输入任何信息这种简化适用于无线局域网的接入认证点对点物理或逻辑端口的接入认证, 但在可运营可管理的宽带 IP 城域网中作为一种认证方式具有极大的局限性 3 注意事项 (1) 本举例设置的是无线接口上的 MAC 认证 (2) 在配置 Radius 时,primary authentication,primary accounting,service type,key 一定要配置正确, 并且和 Radius 服务器一致值得注意的是如果使用的是 Cams 服务器一定要把 service type 设置成 extended, 这样 cams 上一些私有设置才会被 WA2200 识别 (3) 在配置域时要把 Radius 方案和域关联起来 4 配置举例 4.1 组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点本配置举例通过在 AP 的 WLAN-BSS 2 端口上启用 MAC 认证来达到对接入点 Client 进行控制的目的 1

38 图 4-1 AP 远程 MAC 认证组网图 Radius-Server AP Server Client1 Client2 4.2 配置思路配置远程 MAC 认证, 需要配置以下内容 : (1) 创建 MAC 认证时使用的 Radius 方案 (2) 创建 MAC 认证时使用的域, 并在域中引用 Radius 方案作为 AAA 的认证方案 (3) 在系统视图下全局开启端口安全 (4) 在设备上配置的 MAC 认证配置的用户信息中, 用户名密码应小写 (5) 在需要认证的端口下使能 MAC 认证配置本地 MAC 认证, 需要配置以下内容 : (1) 创建本地 MAC 认证时使用的本地用户名 (2) 使用默认域作为认证域 (3) 在系统视图下全局开启端口安全 (4) 在需要认证的端口下使能 MAC 认证 4.3 使用版本 [AP]display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A Basic BootROM Version: 1.04 Extend BootROM Version:

39 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver) MAC 认证配置配置远程 MAC 认证 1. 配置信息 <AP>display current-configuration version 5.00, 0001 sysname AP domain default enable cams port-security enable mac-authentication domain cams vlan 1 vlan 2 to 4094 radius scheme system primary authentication primary accounting key authentication h3c key accounting h3c accounting-on enable radius scheme cams server-type extended primary authentication primary accounting key authentication h3c key accounting h3c security-policy-server timer realtime-accounting 3 user-name-format without-domain undo stop-accounting-buffer enable accounting-on enable domain cams authentication default radius-scheme cams 3

40 authorization default radius-scheme cams accounting default radius-scheme cams access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable wlan service-template 2 clear ssid h3c-mac authentication-method open-system service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS2 port-security port-mode mac-authentication interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 service-template 2 interface wlan-bss 2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 return 2. 主要配置步骤在 MAC 认证接入端配置 MAC 认证 (1) 启用 port-security [AP]port-security enable 4

41 (2) 配置认证策略创建名为 cams 的 RADIUS 方案并进入其视图 [AP]radius scheme cams 将 RADIUS 方案 cams 的 RADIUS 服务器类型设置为 extended [AP-radius-cams]server-type extended 配置主 RADIUS 认证 / 授权服务器的 IP 地址为 [AP-radius-cams]primary authentication 配置主 RADIUS 计费服务器的 IP 地址为 [AP-radius-cams]primary accounting 将 RADIUS 方案 cams 的认证 / 授权报文的共享密钥设置为 h3c [AP-radius-cams]key authentication h3c 将 RADIUS 方案 cams 的计费报文的共享密钥设置为 h3c [AP-radius-cams]key accounting h3c 设置实时计费的时间间隔为 3 分钟 [AP-radius-cams]timer realtime-accounting 3 指定发送给 RADIUS 方案 cams 中 RADIUS 服务器的用户名不得携带域名 [AP-radius-cams]user-name-format without-domain 禁止在设备上缓存没有得到响应的停止计费请求报文 [AP-radius-cams]undo stop-accounting-buffer enable 使能 accounting-on 功能 [AP-radius-cams]accounting-on enable (3) 配置认证域创建一个新的 ISP 域 cams, 并进入其视图 [AP-radius-cams]domain cams 在 ISP 域 cams 下, 为所有类型的用户配置方案名为 cams 的 RADIUS 认证方案 [AP-isp-cams]authentication default radius-scheme cams 在 ISP 域 cams 下, 为所有类型的用户配置方案名为 cams 的 RADIUS 授权方案 [AP-isp-cams]authorization default radius-scheme cams 在 ISP 域 cams 下, 为所有类型的用户配置方案名为 cams 的 RADIUS 计费方案 [AP-isp-cams]accounting default radius-scheme cams (4) 配置 MAC 认证域为 CAMS 域 [AP] mac-authentication domain cams (5) 配置无线服务模板创建 clear 类型的服务模板 2 [AP]wlan service-template 2 clear 设置服务模板 2 的 SSID 为 h3c-mac [AP-wlan-st-2]ssid h3c-mac 5

42 使能开放式系统认证 [AP-wlan-st-2]authentication-method open-system 使能服务模板 2 [AP-wlan-st-2]service-template enable (6) 配置无线口, 并在无线口启用端口安全 ( 对接入用户采用 MAC 地址认证 ) [AP]interface WLAN-BSS 2 [AP-WLAN-BSS2] port-security port-mode mac-authentication (7) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2 [AP]interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2 (8) 配置 VLAN 虚接口 [AP1]interface Vlan-interface1 [AP-Vlan-interface1]ip address (9) 配置缺省路由 [AP-Vlan-interface1]ip route-static CAMS 配置 CAMS 版本 :2.10 试用版 (CAMS 详细版本号 :2.10-R0209) 在 CAMS 上配置 MAC 认证项 : 系统配置 : 6

43 配置计费策略 : 配置服务策略 : 7

配置帐号用户 : ( 这里需要注意的是 : 当采用 MAC 地址认证时, 相应 MAC 用户的密码形式应和用户名形式一致, 但必须是小写 ) 4.4.2 配置本地 MAC 认证 1. 配置信息 <AP> display current-configuration version 5.

44 配置帐号用户 : ( 这里需要注意的是 : 当采用 MAC 地址认证时, 相应 MAC 用户的密码形式应和用户名形式一致, 但必须是小写 ) 配置本地 MAC 认证 1. 配置信息 <AP> display current-configuration version 5.00, 0001 sysname AP configure-user count 1 domain default enable system port-security enable mac-authentication domain system vlan 1 vlan 2 to 4094 radius scheme system primary authentication primary accounting key authentication h3c key accounting h3c accounting-on enable 8

45 domain system access-limit disable state active idle-cut disable self-service-url disable wlan service-template 2 clear ssid h3c-mac authentication-method open-system service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS2 port-security port-mode mac-authentication interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 service-template 2 interface wlan-bss 2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 return 2. 主要配置步骤在 MAC 认证接入端配置 MAC 认证 (1) 启用 port-security [AP]port-security enable (2) 配置 MAC 认证域为 system 域 [AP] mac-authentication domain system (3) 配置本地 MAC 认证用户添加名称为 00179a007b47 的本地用户, 密码为明文 00179a007b47 (00179a007b47 为客户 MAC 地址 ) 9

46 [AP]local-user 00179a007b47 New local user added. [AP-luser-00179a007b47]password simple 00179a007b47 Updating user(s) information, please wait... 指定用户可以使用 lan-access 服务 [AP-luser-00179a007b47]service-type lan-access [AP-luser-00179a007b47] (4) 配置无线服务模板创建 clear 类型的服务模板 2 [AP]wlan service-template 2 clear 设置服务模板 2 的 SSID 为 h3c-mac [AP-wlan-st-2]ssid h3c-mac 使能开放式系统认证 [AP-wlan-st-2]authentication-method open-system 使能服务模板 2 [AP-wlan-st-2]service-template enable (5) 配置无线口, 并在无线口启用端口安全 ( 对接入用户采用 MAC 地址认证 ) [AP]interface WLAN-BSS 2 [AP-WLAN-BSS2] port-security port-mode mac-authentication (6) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2 [AP]interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2 [AP-WLAN-Radio1/0/2] (7) 配置 VLAN 虚接口 [AP]interface Vlan-interface1 [AP-Vlan-interface1]ip address [AP-Vlan-interface1] (8) 配置缺省路由 [AP-Vlan-interface1]ip route-static 验证结果 (1) 非用户名指定的网卡无法通过 MAC 认证, 在这种情况下使用 Client1 访问 internet, 有结果 1 (2) 用 mac 地址与配置的 MAC 认证用户名相同的 Client 进行认证, 有结果 2 (3) 结果 1:Client1 不能访问 Internet 上的资源 (4) 结果 2:Client2 可以通过 MAC 认证成功, 并且可以正常访问 internet 上的资源 10

47 5 相关资料 5.1 相关协议和标准表 5-1 相关协议与标准标准号标题 RFC 2284 PPP Extensible Authentication Protocol (EAP) 5.2 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册安全分册中的 MAC 地址认证 AAA 和端口安全 11

48 H3C WA 系列 PPPoE Client 配置举例关键词 :PPPoE,PPPoE Client,AP 摘要 :PPPoE 是 Point-to-Point Protocol over Ethernet 的简称, 它可以通过一个远端接入设备为以太网上的主机提供因特网接入服务, 并对接入的每个主机实现控制计费功能由于很好地结合了以太网的经济性及 PPP 良好的可扩展性与管理控制功能,PPPoE 在包括小区组网建设等一系列应用中被广泛采用缩略语 : 缩略语英文全名中文解释 ADSL Asymmetric Digital Subscriber Line 不对称数字用户线 AP Access Point 无线接入点 PPP Point-to-Point Protocol 点对点协议 PPPoE Point-to-Point Protocol over Ethernet 以太网上承载 PPP 协议 i

49 目录 1 特性简介应用场合配置举例组网需求配置思路使用版本 Router 版本 AP 版本配置步骤配置 Router 配置 AP 验证结果相关资料其它相关资料... 7 ii

50 1 特性简介 PPPoE 是 Point-to-Point Protocol over Ethernet 的简称, 它可以通过一个远端接入设备为以太网上的主机提供因特网接入服务, 并对接入的每个主机实现控制计费功能由于很好地结合了以太网的经济性及 PPP 良好的可扩展性与管理控制功能,PPPoE 在包括小区组网建设等一系列应用中被广泛采用 PPPoE 协议采用 Client/Server 方式, 将 PPP 报文封装在以太网帧之内, 在以太网上提供点对点的连接 2 应用场合 PPPoE 在 ADSL 宽带接入中被广泛使用通常情况下, 一台主机如果要通过 ADSL 接入 Internet, 必须在主机上安装 PPPoE 客户端拨号软件设备 AP 实现了 PPPoE Client 功能 ( 即 PPPoE 的客户端拨号功能 ), 用户可以不用在 Host 上安装 PPPoE 客户端软件即可接入 Internet 3 配置举例 3.1 组网需求本配置举例中的 AP 使用的是 WA2200X-AG 无线局域网接入点 Router 的 Ethernet 0/1 接口连接 IP 网络,AP 的 Ethernet 1/0/1 通过 Modem 连接到 PSTN 网络, DSLAM 连接 PSTN 网络与 IP 网络要求 Router 用 PAP CHAP 两种方式验证 AP 使 AP 作为 PPPoE 客户端连接上 PPPoE Server 假设整个网络所使用的 IP 地址都处于同一网段图 3-1 PPPoE Client 配置举例组网图 IP network PSTN 网 Vlan-int 1 Router PPPoE Server DSLAM Modem AP PPPoE Client 3.2 配置思路 PPPoE Client 的配置包括配置拨号接口和配置 PPPoE 会话在配置 PPPoE 会话之前, 需要先配置一个 Dialer 接口, 并在接口上配置 Dialer bundle 每个 PPPoE 会话唯一对应一个 Dialer bundle, 而每个 Dialer bundle 又唯一对应一个 Dialer 接口这样就相当于通过一个 Dialer 接口可以创建一个 PPPoE 会话 1

51 PPPoE 的认证方式有两种 :PAP 和 CHAP 下文的配置步骤会对这两种情况分开说明 3.3 使用版本 Router 版本 <Router>display version Huawei Versatile Routing Platform Software VRP Software, Version 5.20, Beta 1505L01, Standard Copyright (c) Huawei Tech. Co., Ltd. All rights reserved. Quidway AR19-61 uptime is 0 week, 0 day, 0 hour, 43 minutes Last reboot 2008/04/21 09:57:02 System returned to ROM By Power-up. CPU type: FREESCALE PowerPC MHz 384M bytes SDRAM Memory 4M bytes Flash Memory Pcb Version: 3.0 Logic Version:130.0 Basic BootROM Version: 2.11 Extended BootROM Version: 2.11 [SLOT 0]CON (Hardware)3.0, (Driver)1.0, (Cpld)130.0 [SLOT 0]AUX (Hardware)3.0, (Driver)1.0, (Cpld)130.0 [SLOT 0]ETH0/0 (Hardware)3.0, (Driver)1.0, (Cpld)130.0 [SLOT 0]ETH0/1 (Hardware)3.0, (Driver)1.0, (Cpld) AP 版本 <AP> display version H3C Comware Platform Software Comware Software, Version 5.00, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2200X-AG uptime is 0 week, 0 day, 3 hours, 45 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A Basic BootROM Version: 1.00 Extend BootROM Version: 1.01 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.N/A, (Driver)1.0 [SLOT 1]RADIO1/0/2 (Hardware)Ver.N/A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0 2

52 3.4 配置步骤配置 Router 1. 配置信息方案一 :PAP 认证 [Router]display current-configuration local-user user2 password simple hello service-type ppp interface Ethernet0/1 port link-mode route pppoe-server bind Virtual-Template 1 interface Virtual-Template1 ppp authentication-mode pap remote address ip address 主要配置步骤方案一 :PAP 认证 (1) 增加一个 PPPoE 用户 <Router> system-view 添加名称为 user2 的本地用户 [Router] local-user user2 设置名称为 user2 的密码为明文显示, 密码为 hello [Router-luser-user2] password simple hello 指定用户可以使用 PPP 服务 [Router-luser-user2] service-type ppp [Router-luser-user2] quit (2) 配置虚拟模板参数创建虚拟接口模板 1 [Router] interface virtual-template 1 采用 PAP 方法验证对端设备 [Router-Virtual-Template1] ppp authentication-mode pap 配置本端的 IP 地址为 /8 [Router-Virtual-Template1] ip address 配置为对端分配的 IP 地址为

53 [Router-Virtual-Template1] remote address [Router-Virtual-Template1] quit (3) 配置 PPPoE Server [Router] interface ethernet 0/1 在接口 Ethernet0/1 上使能 PPPoE, 将接口 Ethernet0/1 与虚拟模板接口 Virtual-Template1 绑定 [Router-Ethernet0/1] pppoe-server bind virtual-template 1 方案二 :CHAP 认证 (4) 增加一个 PPPoE 用户 <Router> system-view 添加名称为 user2 的本地用户 [Router] local-user user2 设置名称为 user2 的密码为明文显示, 密码为 hello [Router-luser-user2] password simple hello 指定用户可以使用 PPP 服务 [Router-luser-user2] service-type ppp [Router-luser-user2] quit (5) 配置虚拟模板参数创建虚拟接口模板 1 [Router] interface virtual-template 1 采用 CHAP 方法验证对端设备 [Router-Virtual-Template1] ppp authentication-mode chap 配置进行 CHAP 验证时的用户名为 user1 [Router-Virtual-Template1] ppp chap user user1 配置本端的 IP 地址为 /8 [Router-Virtual-Template1] ip address 配置为对端分配的 IP 地址为 [Router-Virtual-Template1] remote address [Router-Virtual-Template1] quit (6) 配置 PPPoE Server [Router] interface ethernet 0/1 在接口 Ethernet0/1 上使能 PPPoE, 将接口 Ethernet0/1 与虚拟模板接口 Virtual-Template1 绑定 [Router-Ethernet0/1] pppoe-server bind virtual-template 1 [Router-Ethernet0/1] quit 配置 AP 1. 配置信息方案一 :PAP 认证 [AP]display current-configuration 4

54 interface Dialer1 link-protocol ppp ppp pap local-user user2 password simple hello ip address ppp-negotiate dialer user user2 dialer-group 1 dialer bundle 1 interface Vlan-interface1 pppoe-client dial-bundle-number 1 dialer-rule 1 ip permit return [AP] 方案二 :CHAP 认证 [AP]display current-configuration local-user user1 interface Dialer1 link-protocol ppp ppp chap user user2 ip address ppp-negotiate dialer user user2 dialer-group 1 dialer bundle 1 interface NULL0 interface Vlan-interface1 pppoe-client dial-bundle-number 1 interface Ethernet1/0/1 2. 主要配置步骤方案一 :PAP 认证 (1) 配置 AP 作为 PPPoE Client <AP> system-view 设置 Dialer-rule1, 允许 IP 协议报文通过 [AP] dialer-rule 1 ip permit 创建一个 Dialer 接口 1 [AP] interface dialer 1 5

55 设置对端用户名为 user2 [AP-Dialer1] dialer user user2 将接口 Dialer1 置入 Dialer Access Group 1 [AP-Dialer1] dialer-group 1 在接口 Dialer1 上配置该接口使用 Dialer bundle3 [AP-Dialer1] dialer bundle 1 为接口 Dialer1 配置 IP 地址可协商属性 [AP-Dialer1] ip address ppp-negotiate 配置本地设备被对端以 PAP 方式验证时发送的用户名为 user2, 口令为 hello [AP-Dialer1] ppp pap local-user user2 password simple hello [AP-Dialer1] quit (2) 配置 PPPoE 会话 [AP] interface Vlan-interface 1 建立一个 PPPoE 会话, 并且指定该会话所对应的 Dialer Bundle [AP-Vlan-interface1] pppoe-client dial-bundle-number 1 方案二 :CHAP 认证 (3) 配置 AP 作为 PPPoE Client <AP> system-view 设置 Dialer-rule1, 允许 IP 协议报文通过 [AP] dialer-rule 1 ip permit 创建一个 Dialer 接口 1 [AP] interface dialer 1 设置对端用户名为 user2 [AP-Dialer1] dialer user user2 将接口 Dialer1 置入 Dialer Access Group 1 [AP-Dialer1] dialer-group 1 在接口 Dialer1 上配置该接口使用 Dialer bundle1 [AP-Dialer1] dialer bundle 1 为接口 Dialer1 配置 IP 地址可协商属性 [AP-Dialer1] ip address ppp-negotiate 配置接口 Dialer1 进行 CHAP 验证时的用户名为 user2 [AP-Dialer1] ppp chap user user2 [AP-Dialer1] quit 添加名称为 user2 的本地用户, 密码为明文密码 hello [AP] local-user user2 [AP-luser-user1] password simple hello [AP-luser-user1] quit (4) 配置 PPPoE 会话 6

56 [AP] interface Vlan-interface 1 建立一个 PPPoE 会话, 并且指定该会话所对应的 Dialer Bundle [AP-Vlan-interface1] pppoe-client dial-bundle-number 验证结果可以有两种方式来验证该配置的结果 : (1) 通过查看接口看拨号接口是否 UP 是否获取 IP 地址 [AP]display brief interface The brief information of interface(s) under route mode: Interface Link Protocol-link Protocol type Main IP Dia1 UP UP PPP NULL0 UP UP(spoofing) NULL -- Vlan1 UP DOWN ETHERNET -- WLAN-Radio1/0/1 UP UP DOT11 -- WLAN-Radio1/0/2 UP UP DOT11 -- The brief information of interface(s) under bridge mode: Interface Link Speed Duplex Link-type PVID Eth1/0/1 UP 100M(a) full(a) access 1 (2) 直接 ping 服务器端接口的 IP 地址, 看能否 ping 通 [AP]ping PING : 56 data bytes, press CTRL_C to break Reply from : bytes=56 Sequence=1 ttl=255 time=3 ms Reply from : bytes=56 Sequence=2 ttl=255 time=3 ms Reply from : bytes=56 Sequence=3 ttl=255 time=3 ms Reply from : bytes=56 Sequence=4 ttl=255 time=3 ms Reply from : bytes=56 Sequence=5 ttl=255 time=3 ms ping statistics packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 3/3/3 ms 4 相关资料 4.1 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册接入分册中的 PPP H3C WA 系列无线局域网接入点设备用户手册安全分册中的 AAA 7

57 H3C WA 系列 PSK 认证典型配置举例关键词 :PSK 摘要 : 随着无线网络应用的广泛普及, 越来越多无线用户出现, 使得无线安全问题凸显出来,PSK 认证可以实现利用共享密钥的方式对无线用户进行控制, 对无线数据机密进行保护缩略语 : 缩略语英文全名中文解释 PSK Preshared Key 预共享密钥 i

58 目录 1 特性简介应用场合配置举例组网需求配置思路使用版本配置 AP PSK 认证验证结果相关资料相关协议和标准其它相关资料... 5 ii

59 1 特性简介 PSK(Preshared Key, 预共享密钥 ) 用来以预共享密钥的方式对无线用户的接入进行控制, 并能够动态产生密钥保护无线局域网中的授权用户所交换的数据的机密性, 防止这些数据被随机窃听 2 应用场合 PSK 对无线报文的一种预共享密钥的认证方式和产生动态密钥对无线数据报文进行加密, 该协议适用于接入设备与 Client 点到点的连接方式通过预共享密钥的方式来进行认证并产生动态密钥对数据进行加密 3 配置举例 3.1 组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点本典型举例通过在 AP 的 WLAN-BSS 2 端口上启用 PSK 认证来达到对接入点 Client1 进行控制的目的图 3-1 WA2200 PSK 认证组网图 Radius-Server AP PC Client1 Client2 1

60 3.2 配置思路配置 PSK 认证, 需要配置以下内容 : 创建启用 PSK 认证的无线口 ; 创建启用 PSK 认证的服务模版 ; 在射频口把服务模板和无线口绑定 3.3 使用版本 [AP]display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A Basic BootROM Version: 1.04 Extend BootROM Version: 1.04 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver) 配置 AP PSK 认证 1. 配置文件 <AP>display current-configuration version 5.00, 0001 sysname AP configure-user count 1 domain default enable system port-security enable vlan 1 vlan 2 to

61 radius scheme system primary authentication primary accounting key authentication h3c key accounting h3c accounting-on enable domain system access-limit disable state active idle-cut disable self-service-url disable wlan service-template 2 crypto ssid h3c-psk authentication-method open-system cipher-suite tkip security-ie wpa service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS2 port-security port-mode psk port-security tx-key-type 11key port-security preshared-key pass-phrase interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 service-template 2 interface wlan-bss 2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 return 3

62 2. 配置步骤在 PSK 接入端 (AP) 配置 PSK (1) 启用 port-security [AP]port-security enable (2) 配置无线接口, 认证方式为 PSK [AP]interface WLAN-BSS2 配置无线端口 WLAN-BSS2 的端口安全模式为 psk [AP-WLAN-BSS2]port-security port-mode psk 在接口 WLAN-BSS2 下使能 11key 类型的密钥协商功能 [AP-WLAN-BSS2]port-security tx-key-type 11key 在接口 WLAN-BSS2 下配置预共享密钥为 [AP-WLAN-BSS2]port-security preshared-key pass-phrase (3) 配置无线服务模板创建一个 crypto 类型的服务模板 2 [AP-wlan-rp-rp]wlan service-template 2 crypto 设置服务模板 2 的 SSID 为 h3c-psk [AP-wlan-st-2]ssid h3c-psk 使能开放式系统认证 [AP-wlan-st-2]authentication-method open-system 使能 TKIP 加密套件 [AP-wlan-st-2] cipher-suite tkip 配置信标和探查帧携带 WPA IE 信息 [AP-wlan-st-2] security-ie wpa 使能服务模板 2 [AP-wlan-st-2]service-template enable (4) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2 [AP]interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2 (5) 配置 VLAN 虚接口 [AP1]interface Vlan-interface1 [AP-Vlan-interface1]ip address (6) 配置缺省路由 [AP-Vlan-interface1]ip route-static 验证结果 (1) 在配置错误预共享密钥的情况下, 使用 Client1 访问 internet, 有结果 1 (2) 在配置正确预共享密钥的情况下, 使用 Client1 访问 internet, 有结果 2 结果 1:Client1 不能访问 Internet 上的资源 4

63 结果 2:Client1 可以成功关联, 并且可以正常访问 internet 上的资源 4 相关资料 4.1 相关协议和标准表 4-1 相关协议与标准标准号标题 IEEE i i IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements 4.2 其它相关资料 H3C WA 系列无线接入点设备用户手册 WLAN 分册中的 WLAN H3C WA 系列无线接入点设备用户手册安全分册中的端口安全 5

64 H3C WA 系列 WEP 加密典型配置举例关键词 :WEP 摘要 : 随着无线网络应用的广泛普及, 越来越多无线用户出现, 使得无线安全问题凸显出来,WEP 认证可以实现利用共享密钥的方式对无线用户进行控制, 对无线数据机密进行保护缩略语 : 缩略语英文全名中文解释 WEP Wired Equivalent Privacy 有线等效加密 i

65 目录 1 特性简介应用场合注意事项配置举例组网需求配置思路使用版本配置步骤验证结果相关资料相关协议和标准其它相关资料... 6 ii

66 1 特性简介 WEP(Wired Equivalent Privacy, 有线等效加密 ) 用来保护无线局域网中的授权用户所交换的数据的机密性, 防止这些数据被随机窃听在实际实现中, 已经广泛使用 104 位密钥的 WEP 来代替 40 位密钥的 WEP,104 位密钥的 WEP 称为 WEP-104 WEP 定义了对无线报文的一种共享密钥的认证方式和对无线数据报文加密算法, 该协议适用于接入设备与 Client 点到点的连接方式通过共享密钥的方式来进行认证 2 应用场合因为无线网络本身的特点, 网络安全相对来说比较重要, 最简单的方式对无线网络数据报文进行加密, 以报文无线数据的安全性,WEP 提供了一种比较简单的方式 WEP 对无线报文的一种共享密钥的认证方式和对无线数据报文加密算法, 该协议适用于接入设备与 Client 点到点的连接方式通过共享密钥的方式来进行认证并对数据进行加密 3 注意事项配置 WEP 密钥时, 需根据需要配置相应的 WEP 密钥长度, 并设置对应的密钥序号特别需要说明的是, 当采用 WEP 加密时,windows 客户端缺省采用的 key-index 是 1; 如果在设备的配置的 key-index 不是 1, 比如是 2, 就需要在 windows 客户端手工指定 key-index( 密钥索引 ) 为 2 见下图 : 1

67 配置服务集时, 应配置 authentication method 为 open-system 或 shared key, 以配合网卡自动识别网卡默认为 open-system 认证方式, 如果 AP 上配置为 shared key 认证方式, 网卡上需要做相应操作, 进行手工设置 4 配置举例 4.1 组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点本典型举例通过在 AP 的 WLAN-BSS 2 端口上启用 WEP 加密来达到对接入点 Client1 数据进行保护的目的 2

68 图 4-1 AP PSK 认证组网图 Radius-Server AP PC Client1 Client2 4.2 配置思路配置 WEP 加密, 需要配置以下内容 : 创建无线口 ; 创建启用 WEP 加密的服务模版 ; 在射频口把服务模板和无线口绑定 4.3 使用版本 [AP]display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A Basic BootROM Version: 1.04 Extend BootROM Version: 1.04 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0 [AP] 3

69 4.4 配置步骤 1. 配置文件 <AP> display current-configuration version 5.00, 0001 sysname AP domain default enable system vlan 1 vlan 2 to 4094 radius scheme system primary authentication primary accounting key authentication h3c key accounting h3c accounting-on enable domain system access-limit disable state active idle-cut disable self-service-url disable wlan service-template 2 crypto ssid h3c-wep authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS2 interface WLAN-Radio1/0/1 4

70 interface WLAN-Radio1/0/2 service-template 2 interface wlan-bss 2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 return 2. 配置步骤在 WEP 接入端 (AP) 配置 WEP (1) 创建无线接口 WLAN-BSS2 [AP]interface WLAN-BSS2 (2) 配置无线服务模板创建一个 crypto 类型的服务模板 2 [AP]wlan service-template 2 crypto 设置服务模板 2 的 SSID 为 h3c-wep [AP-wlan-st-2]ssid h3c-wep 使能开放式系统认证 [AP-wlan-st-2]authentication-method open-system 使能 wep40 加密套件 [AP-wlan-st-2] cipher-suite wep40 配置 WEP 缺省密钥 1 为 [AP-wlan-st-2] wep default-key 1 wep40 pass-phrase 使能服务模板 2 [AP-wlan-st-2]service-template enable (3) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2 [AP]interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2 (4) 配置 VLAN 虚接口 [AP]interface Vlan-interface1 [AP-Vlan-interface1]ip address (5) 配置缺省路由 [AP-Vlan-interface1]ip route-static 验证结果 (1) 在配置错误共享密钥的情况下, 使用 Client1 访问 internet, 有结果 1 (2) 在配置正确共享密钥的情况下, 使用 Client1 访问 internet, 有结果 2 结果 1:Client1 不能访问 Internet 上的资源 5

71 结果 2:Client1 可以成功关联, 并且可以正常访问 internet 上的资源 5 相关资料 5.1 相关协议和标准表 5-1 相关协议与标准标准号标题 IEEE Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications 5.2 其它相关资料 H3C WA 系列无线接入点设备用户手册 WLAN 分册中的 WLAN 6

72 H3C WA 系列 WPA2-PSK 典型配置举例关键词 :WPA2,PSK 摘要 : 随着无线网络应用的广泛普及, 越来越多无线用户出现, 使得无线安全问题凸显出来,PSK 认证可以实现利用共享密钥的方式对无线用户进行控制, 对无线数据机密进行保护缩略语 : 缩略语英文全名中文解释 WPA2 Wi-Fi Protected Access version 2 WPA 版本 2 PSK presharedkey 共享密钥 i

73 目录 1 特性简介应用场合配置举例组网需求配置思路使用版本配置 AP RSN 加密验证结果相关资料相关协议和标准其它相关资料... 6 ii

74 1 特性简介协议提供的无线安全性能可以很好地抵御一般性网络攻击, 但是仍有少数黑客能够入侵无线网络, 从而无法充分保护包含敏感数据的网络为了更好的防止未授权用户接入网络, 需要实施一种性能高于的高级安全机制为了克服以上问题, 将 WLAN 安全特性合入 Comware 系统来增强系统的安全性和健壮性, 该特性通过检查 WLAN-MAC 的方式提供客户端的安全接入 2 应用场合当使用明文传输数据时, 由于无线的开发性, 其他无线用户能够窃听到所传输的数据, 这对用户的数据安全提出了挑战通过对数据进行加密, 能够有效的防止信息泄漏目前 WLAN 数据加密有 WEP TKIP CCMP 等方式 TKIP CCMP 相对于 WEP 来说, 要安全的多 WA 系列 AP 上, 无论 WPA 网络还是 WAP2 网络, 都支持 TKIP 和 CCMP 两种加密方式或者混合加密 3 配置举例 3.1 组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点本典型举例通过在 AP 的 WLAN-BSS 2 端口上启用 WPA2 加密和 PSK 认证来达到对接入点 Client1 数据进行保护的目的 1

75 图 3-1 AP PSK 认证组网图 Radius-Server AP PC Client1 Client2 3.2 配置思路配置 WPA2 加密, 需要配置以下内容 : 创建启用 PSK 认证的无线口 ; 创建启用 RSN 加密的服务模版 ; 在射频口把服务模板和无线口绑定 3.3 使用版本 [AP]display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A Basic BootROM Version: 1.04 Extend BootROM Version: 1.04 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0 2

76 3.4 配置 AP RSN 加密 1. 配置文件 <AP>display current-configuration version 5.00, 0001 sysname AP domain default enable system port-security enable vlan 1 radius scheme system primary authentication primary accounting key authentication h3c key accounting h3c accounting-on enable domain system access-limit disable state active idle-cut disable self-service-url disable wlan service-template 2 crypto ssid h3c-wpa2-psk authentication-method open-system cipher-suite ccmp security-ie rsn service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS2 port-security port-mode psk port-security tx-key-type 11key port-security preshared-key pass-phrase

77 interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 service-template 2 interface wlan-bss 2 ip route-static user-interface con 0 user-interface vty 0 4 return 2. 配置步骤在 RSN 接入端 (AP) 配置 RSN (1) 启用 port-security [AP]port-security enable (2) 配置无线接口, 认证方式为 PSK [AP]interface WLAN-BSS2 配置无线端口 WLAN-BSS2 的端口安全模式为 psk [AP-WLAN-BSS2]port-security port-mode psk 在接口 WLAN-BSS2 下使能 11key 类型的密钥协商功能 [AP-WLAN-BSS2]port-security tx-key-type 11key 在接口 WLAN-BSS2 下配置预共享密钥为 [AP-WLAN-BSS2]port-security preshared-key pass-phrase (3) 配置无线服务模板 ( 下面的 RSN 即 WPA2) 创建一个 crypto 类型的服务模板 2 [AP-wlan-rp-rp]wlan service-template 2 crypto 设置服务模板 2 的 SSID 为 h3c-wpa2-psk [AP-wlan-st-2]ssid h3c-wpa2-psk 使能开放式系统认证 [AP-wlan-st-2]authentication-method open-system 使能 CCMP 加密套件 [AP-wlan-st-2] cipher-suite ccmp 配置信标和探查帧携带 RSN IE 信息 [AP-wlan-st-2] security-ie rsn 使能服务模板 2 [AP-wlan-st-2]service-template enable (4) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2 [AP]interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2 4

78 (5) 配置 VLAN 虚接口 [AP1]interface Vlan-interface1 [AP-Vlan-interface1]ip address (6) 配置缺省路由 [AP-Vlan-interface1]ip route-static 验证结果 (1) 配置客户端采用 RSN,CCMP 方式可以正常连接到 AP 上 (2) 调用 display wlan client verbose, 可以看到连接的客户端确实是以 RSN,CCMP 方式连接上来的 (Authentication Method:Open System,AKM Method: PSK,Encryption Cipher: CCMP) <AP>display wlan client verbose Total Number of Clients : 1 Total Number of Clients Connected : 1 Client Information MAC Address : a00-7b47 AID : 376 Radio Interface : WLAN-Radio1/0/2 SSID : h3c-wpa2-psk BSSID : 000f-e2c VLAN : 1 State : Running Power Save Mode : Active Wireless Mode : 11g QoS Mode : WMM Listen Interval (Beacon Interval) : 10 RSSI : 41 SNR : -NA- Client Type : RSN Authentication Method : Open System AKM Method : PSK 4-Way Handshake State : PTKINITDONE Group Key State : IDLE Encryption Cipher : CCMP Roam Status : Normal Up Time (hh:mm:ss) : 00:01:

79 4 相关资料 4.1 相关协议和标准表 4-1 相关协议与标准标准号标题 IEEE i i IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements 4.2 其它相关资料 H3C WA 系列无线接入点设备用户手册 WLAN 分册中的 WLAN H3C WA 系列无线接入点设备用户手册安全分册中的端口安全 6

80 H3C WA 系列 WPA+802.1x 无线认证和 IAS 配合典型配置举例关键词 :wpa,802.1x,radius,eapol 摘要 : 该文档简单介绍了在 H3C WA 系列 AP 上启用 WPA+802.1x 认证时必需的配置缩略语 : 缩略语英文全名中文解释 WPA Wi-Fi Protected Access Wi-Fi 防护访问 EAP Extensible Authentication Protocol 可扩展认证协议 EAPOL EAP over Lans 基于局域网的可扩展认证协议 Radius Remote Authentication Dial In User Service 基于用户服务的远程拨号认证 AAA Authentication Authorization Accounting 认证授权计费 i

81 目录 1 特性简介应用场合注意事项配置举例组网需求配置思路使用版本配置步骤验证结果注意事项相关资料相关协议和标准其它相关资料... 8 ii

82 1 特性简介 IEEE 802.1X 定义了基于端口的网络接入控制协议 (port based network access control), 该协议适用于接入设备与接入端口间点到点的连接方式通过开关端口的状态来实现对报文转发的控制 2 应用场合 802.1x 协议仅仅提供了一种用户接入认证的手段, 并简单地通过控制接入端口的开 / 关状态来实现, 这种简化适用于无线局域网的接入认证点对点物理或逻辑端口的接入认证, 而在可运营可管理的宽带 IP 城域网中作为一种认证方式具有极大的局限性 3 注意事项接入设备上服务器端口配置正确 ; 相关 AAA 配置正确 4 配置举例 4.1 组网需求本配置举例中的 AP 使用的是 WA2200 无线局域网接入点 AP 的 IP 地址为 /24,Radius Server 的 IP 地址为 /8,Client 通过 DHCP 服务器获取 IP 地址本典型配置案例简化组网为两台 Client 以及一台 Fat AP, 一台 PC 作为 Server 1

83 图 4-1 WPA+802.1X 无线认证和 IAS 配合组网图 Radius-Server AP PC Client1 Client2 4.2 配置思路配置 802.1X; 配置服务器 4.3 使用版本 [AP]display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A Basic BootROM Version: 1.04 Extend BootROM Version: 1.04 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver) 配置步骤 1. 配置 dot1x: <AP> display current-configuration 2

84 version 5.00, 0001 sysname AP configure-user count 1 domain default enable ias port-security enable dot1x authentication-method eap vlan 1 vlan 2 to 4094 radius scheme system primary authentication primary accounting key authentication h3c key accounting h3c accounting-on enable radius scheme ias server-type extended primary authentication primary accounting key authentication h3c key accounting h3c timer realtime-accounting 3 user-name-format without-domain undo stop-accounting-buffer enable accounting-on enable domain ias authentication default radius-scheme ias authorization default radius-scheme ias accounting default radius-scheme ias access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable wlan service-template 2 crypto 3

85 ssid h3c-dot1x authentication-method open-system cipher-suite tkip security-ie wpa service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS2 port-security port-mode userlogin-secure-ext port-security tx-key-type 11key interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 service-template 2 interface wlan-bss 2 ip route-static user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 return 2. 主要配置步骤在 802.1X 接入端配置 802.1X 和认证 (1) 启用 port-security, 配置 802.1X 认证方式为 EAP [AP]port-security enable [AP]dot1x authentication-method eap (2) 配置认证策略创建名为 ias 的 RADIUS 方案并进入其视图 [AP]radius scheme ias 将 RADIUS 方案 ias 的 RADIUS 服务器类型设置为 extended [AP-radius-ias]server-type extended 配置主 RADIUS 认证 / 授权服务器的 IP 地址为 [AP-radius-ias]primary authentication

86 配置主 RADIUS 计费服务器的 IP 地址为 [AP-radius-ias]primary accounting 将 RADIUS 方案 ias 的认证 / 授权报文的共享密钥设置为 h3c [AP-radius-ias]key authentication h3c 将 RADIUS 方案 ias 的计费报文的共享密钥设置为 h3c [AP-radius-ias]key accounting h3c 设置实时计费的时间间隔为 3 分钟 [AP-radius-ias]timer realtime-accounting 3 指定发送给 RADIUS 方案 ias 中 RADIUS 服务器的用户名不得携带域名 [AP-radius-ias]user-name-format without-domain 禁止在设备上缓存没有得到响应的停止计费请求报文 [AP-radius-ias]undo stop-accounting-buffer enable 使能 accounting-on 功能 [AP-radius-ias]accounting-on enable (3) 配置认证域创建一个新的 ISP 域 ias, 并进入其视图 [AP-radius-cams]domain ias 在 ISP 域 ias 下, 为 lan-access 用户配置方案名为 ias 的 RADIUS 认证方案 [AP-isp-ias]authentication lan-access radius-scheme ias 在 ISP 域 ias 下, 为 lan-access 用户配置方案名为 ias 的 RADIUS 授权方案 [AP-isp-ias]authorization lan-access radius-scheme ias 在 ISP 域 ias 下, 为 lan-access 用户配置方案名为 ias 的 RADIUS 计费方案 [AP-isp- ias]accounting lan-access radius-scheme ias [AP-isp- ias] (4) 把配置的认证域 IAS 设置为系统缺省域 [AP-isp-cams]domain default enable ias (5) 配置无线接口,DOT1X 认证方式为 EAP( 对应的端口安全认证方式为 userlogin-secure-ext) [AP]interface WLAN-BSS2 配置无线端口 WLAN-BSS2 的端口安全模式为 userlogin-secure-ext [AP-WLAN-BSS2]port-security port-mode userlogin-secure-ext 在接口 WLAN-BSS2 下使能 11key 类型的密钥协商功能 [AP-WLAN-BSS2]port-security tx-key-type 11key (6) 配置无线服务模板创建 crypto 类型的服务模板 2 [AP-wlan-rp-rp]wlan service-template 2 crypto 设置服务模板 2 的 SSID 为 h3c-dot1x [AP-wlan-st-2]ssid h3c-dot1x 使能开放式系统认证 5

[AP-wlan-st-2]authentication-method open-system 使能 TKIP 加密套件 [AP-wlan-st-2] cipher-suite tkip 配置信标和探查帧携带 WPA IE 信息 [AP-wlan-st-2] security-ie wpa 使能服务模板 2 [AP-wlan-st-2]service-template enable (7)

87 [AP-wlan-st-2]authentication-method open-system 使能 TKIP 加密套件 [AP-wlan-st-2] cipher-suite tkip 配置信标和探查帧携带 WPA IE 信息 [AP-wlan-st-2] security-ie wpa 使能服务模板 2 [AP-wlan-st-2]service-template enable (7) 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2 [AP]interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2 [AP-WLAN-Radio1/0/2] (8) 配置 VLAN 虚接口 [AP]interface Vlan-interface1 [AP-Vlan-interface1]ip address [AP-Vlan-interface1] (9) 配置缺省路由 [AP-Vlan-interface1]ip route-static 在 IAS 上配置 802.1X 认证项 : 配置 Radius 客户端 : 6

88 配置远程访问策略 : 编辑拨入配置文件 : IAS 相关的其他配置 ( 比如采用证书认证时需要的证书 AD 中的用户等 ) 这里不再详细说明, 请参考 windows 相关帮助文档 7

89 4.5 验证结果使用 display dot1x sessions 查看 DOT1X 用户, 是否用户在线 4.6 注意事项 (1) 如果采用 EAP-TLS/EAP-PEAP 认证, 需要 IAS 服务器上有服务器验证证书 (2) 还需要在 AD 中配置认证用户, 并允许该用户远程拨入 (windows 创建一个用户后, 缺省是禁止拨入的 ) 相关配置请参考 windows IAS 配置说明 5 相关资料 5.1 相关协议和标准表 5-1 相关协议与标准标准号标题 RFC 2284 IEEE 802.1x PPP Extensible Authentication Protocol (EAP) Port-Based Network Access Control 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册安全分册中的端口安全 AAA 和 802.1X H3C WA 系列无线局域网接入点设备用户手册 WLAN 分册中的 WLAN 8

90 H3C WA 系列动态黑名单典型配置举例关键词 :WIDS 摘要 : 本文介绍了用 H3C 公司 WA 系列 AP 部署动态黑名单功能时的必需的配置缩略语 : 缩略语英文全名中文解释 WIDS Wireless Intrusion Detection System 无线入侵检测系统 i

91 目录 1 特性简介特性介绍泛洪攻击检测特性优点应用场合注意事项配置举例组网需求配置思路使用版本配置步骤相关资料相关协议和标准其它相关资料... 5 ii

92 1 特性简介 1.1 特性介绍泛洪攻击检测泛洪攻击 (Flooding 攻击 ) 是指 WLAN 设备会在短时间内接收了大量的同种类型的报文此时 WLAN 设备会被泛洪攻击报文淹没而无法处理真正的无线终端的报文 IDS 攻击检测通过持续的监控每台设备的流量大小来预防这种泛洪攻击当流量超出可容忍的上限时, 该设备将被认为要在网络内泛洪从而被锁定, 此时如果使能了动态黑名单, 检查到的攻击设备将被加入动态黑名单 IDS 支持下列报文的泛洪攻击检测认证请求 / 解除认证请求 (Authentication / De-authentication); 关联请求 / 解除关联请求 / 重新关联请求 (Association / Disassociation / Reassociation); 探查请求 (Probe request); 空数据帧 ; Action 帧 ; 当一个 AP 支持超过一个 BSSID 时, 无线终端会发送探查请求报文到每个单独的 BSSID 所以在报文为探查请求报文的情况下, 需要考虑源端和目的地的共同流量, 而对于其它类型的报文, 只需要考虑源端的流量即可 1.2 特性优点作为一种防护手段, 有效地应对了网络中潜在存在的客户端对 AP 发起的泛洪攻击, 保障 AP 正常工作 2 应用场合复杂网络中, 有潜在攻击的场合 3 注意事项 (1) AP 上 WIDS 功能配置正确 (2) 动态黑名单功能启用 1

93 4 配置举例 4.1 组网需求本配置举例中的 AP 使用的是 WA2200 系列无线局域网接入点设备,IP 地址为 /24 AP 的配置应根据具体的 AP 型号和序列号进行配置本配置举例中 Client 1 和 Client 2 是两个无线用户, 当他们对 AP 发起泛洪攻击时,AP 就可以把他们添加到动态黑名单里图 4-1 WA 系列动态黑名单组网图 4.2 配置思路使能 WIDS 配置动态黑名单功能 4.3 使用版本 <AP> display version H3C Comware Platform Software Comware Software, Version 5.20, Beta 1108 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2220E-AG uptime is 0 week, 0 day, 0 hour, 17 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.B Basic BootROM Version: 1.11 Extend BootROM Version: 1.11 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/2 (Hardware)Ver.A, (Driver)1.0 2

94 4.4 配置步骤 1. 配置信息 : <AP> display current-configuration version 5.20, Beta 1108 sysname AP domain default enable system telnet server enable vlan 1 domain system access-limit disable state active idle-cut disable self-service-url disable user-group system local-user admin password simple admin authorization-attribute level 3 service-type telnet wlan rrm dot11a mandatory-rate dot11a supported-rate dot11b mandatory-rate 1 2 dot11b supported-rate dot11g mandatory-rate dot11g supported-rate wlan service-template 1 clear ssid SYS service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 3

95 interface WLAN-BSS1 interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 channel 1 service-template 1 interface wlan-bss 1 wlan ids dynamic-blacklist enable dynamic-blacklist lifetime 500 attack-detection enable flood load xml-configuration user-interface con 0 user-interface vty 0 4 authentication-mode scheme return <AP> 2. 主要配置步骤配置 WIDS [AP] wlan ids 使能泛洪攻击入侵检测 [AP-wlan-ids] attack-detection enable flood 使能动态黑名单功能 [AP-wlan-ids] dynamic-blacklist enable 设置动态黑名单表项生命周期 [AP-wlan-ids] dynamic-blacklist lifetime 300 当 Client 被加入到动态黑名单中时,Client 将被管制所设置的 lifetime 的时间 Client 从黑名单中释放的条件是 lifetime 时间到期且 client 不再发攻击报文这个 lifetime 时长可以根据要求设置, 范围是 1 分钟到 1 小时, 设备默认时长是 300 秒 3. 验证结果当 Client 发起对 AP 泛洪攻击时 ( 例如 :Client 向 AP 发送大量攻击性关联帧报文, 或者向 AP 发送大量攻击性去关联帧报文 ),AP 将该 Client 加入到动态黑名单中, 在一段时间内该 Client 将不能与任何 AP 发生关联 <AP> display wlan blacklist dynamic Total Number of Entries: 2 Dynamic Blacklist MAC-Address Lifetime(s) Last Updated Since(hh:mm:ss) Reason

96 000e-35b2-8be :02:11 Assoc-Flood :01:17 Deauth-Flood Assoc-Flood 指该 Client 因发送关联帧攻击而被加入黑名单 ;Deauth-Flood 是指该 Client 因发送去关联帧攻击而被加入到黑名单中 5 相关资料 5.1 相关协议和标准无 5.2 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册 WLAN 分册 5

97 H3C WA 系列上行链路完整性检测配置举例关键词 : 链路完整性, uplink 摘要 : 在无线环境中, 当 AP 的上行链路状态变为 down 时, 用户即使关联到 AP, 也无法使用网络资源可以通过配置上行链路完整性检查, 当 AP 的上行链路出现故障时, 用户无法关联到该 AP, 从而可以强迫用户关联到其它 AP 上去缩略语 : 缩略语英文全名中文解释 AP Access Point 接入点 i

98 目录 1 特性简介应用场合配置举例组网需求使用版本配置步骤配置 AP 验证结果相关资料相关协议和标准其它相关资料... 4 ii

99 1 特性简介上行链路检测功能是在 AP 的上行链路都出现故障时, 禁止无线用户连接到该 AP 2 应用场合当 AP 的上行链路都出现故障时,AP 无法连接到外部网络若继续让无线用户连接到该 AP, 无线用户仍然无法访问外部网络. 利用上行链路检测功能, 可以在上行链路出现故障时, 禁止无线用户连接到该 AP 3 配置举例 3.1 组网需求本配置举例中的 AP 使用的是 WA1208E-GP 无线局域网接入点在 AP 的接口 Ethernet1/0/1 上配置上行链路完整性检测功能, 接口 Ethernet1/0/1 关闭,AP 强迫用户下线, 并且用户无法搜索到该 AP 的 SSID; 接口 Ethernet1/0/1 打开, 重新连接用户, 用户可以搜索到该 AP 的 SSID, 可以连接到该 AP 图 3-1 上行链路完整性检测组网图 3.2 使用版本 <AP> display version H3C Comware Platform Software Comware Software, Version 5.00, 0001 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled May :04:56, RELEASE SOFTWARE WA1208E-GP uptime is 0 week, 1 day, 0 hour, 13 minutes CPU type: IXP422 64M bytes SDRAM Memory 8M bytes Flash Memory 1

100 Pcb Version: Ver.A Basic BootROM Version: 2.01 Extend BootROM Version: 2.01 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver) 配置步骤配置 AP 1. 配置信息 [AP]display current-confiuration version 5.20, Beta 1102 sysname AP domain default enable system wlan uplink-interface Ethernet1/0/1 vlan 1 domain system access-limit disable state active idle-cut disable self-service-url disable wlan rrm dot11a mandatory-rate dot11a supported-rate dot11b mandatory-rate 1 2 dot11b supported-rate dot11g mandatory-rate dot11g supported-rate wlan service-template 1 clear ssid ChinaNet authentication-method open-system service-template enable interface NULL0 interface Ethernet1/0/1 interface Ethernet1/0/2 2

101 interface WLAN-BSS1 interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 service-template 1 interface wlan-bss 1 user-interface con 0 user-interface vty 0 4 return 2. 配置无线接入基本功能进入系统视图 <AP> system-view 创建一个 clear 类型的服务模板 1 [AP]wlan service-template 1 clear 设置服务模板 1 的 SSID 为 ChinaNet [AP-wlan-st-1]ssid ChinaNet 使能开放式系统认证 [AP-wlan-st-1]authentication-method open-system 使能服务模板 1 [AP-wlan-st-1]service-template enable 在系统视图下创建编号为 1 的 WLAN-BSS 接口 [AP]interface WLAN-BSS 1 在无线接口 WLAN-Radio 1/0/2 上绑定服务模版 1 和接口 WLAN-BSS 1 [AP]interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2]service-template 1 interface WLAN-BSS 1 3. 配置上行链路完整性检测功能 [AP]wlan uplink-interface ethernet 1/0/1 3.4 验证结果可通过以下方式验证上述配置 : 按照如上步骤配置上行链路检测功能让用户连接到该 AP [AP]display wlan client Total Number of Clients : 1 Total Number of Clients Connected : 1 Client Information

102 MAC Address BSSID AID State PS Mode QoS Mode b94-2f23 000f-e27b-3e Running Active None 关闭接口 Ethernet1/0/1, 可以发现 AP 强迫用户下线, 并且用户无法搜索到该 AP 的 SSID [AP]interface ethernet 1/0/1 [AP-Ethernet1/0/1]shutdown Apr 2 17:45:49: H3C IFNET/4/INTERFAPE UPDOWN: Trap <linkDown>: Interface is Down, ifadminstatus is 2, ifoperstatus is 2 %Apr 2 17:45:49: H3C IFNET/4/LINK UPDOWN: Ethernet1/0/1: link status is DOWN [AP-Ethernet1/0/1]display wlan client % Info: Clients do not exist. 打开接口 Ethernet1/0/1, 重新连接用户, 用户可以搜索到该 AP 的 SSID, 可以连接到该 AP 4 相关资料 4.1 相关协议和标准无 4.2 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册 WLAN 分册中的 WLAN 4

103 H3C WA 系列用户流量限速 CAR 功能典型配置举例关键词 :CAR 摘要 :IP 网络应用日益繁多的今天, 宝贵有限的网络带宽资源越来越成为开展众多业务应用的瓶颈 ; 而提高网络带宽代价昂贵, 这就要求在现有基础上更有效的利用这些网络资源而 QoS 可以根据不同的业务的不同要求, 通过为不同业务提供区分的 QoS 服务, 从而使有限的网络资源得到更好的利用, 满足客户对不同业务的不同需求本文介绍了如何使用 CAR 流量监管技术, 对用户访问网络时所占用的带宽进行流量监管缩略语 : 缩略语英文全名中文解释 QoS Quality of Service 服务质量 CAR Committed Access Rate 承诺访问速率 i

104 目录 1 特性简介应用场合注意事项配置举例组网需求配置思路使用版本配置步骤 FAT AP 的配置 L2 交换机的配置验证结果相关资料相关协议和标准其它相关资料... 9 ii

105 1 特性简介随着计算机网络的高速发展, 越来越多的网络接入 Internet Internet 无论从规模覆盖范围和用户数量上都拓展得非常快越来越多的用户使用 Internet 作为数据传输的平台, 开展各种应用除了传统的 WWW FTP 应用外, 用户还尝试在 Internet 上拓展新业务, 比如远程教学远程医疗可视电话电视会议视频点播等企业用户也希望通过 VPN 技术, 将分布在各地的分支机构连接起来, 开展一些事务性应用 : 比如访问公司的数据库或通过 Telnet 管理远程设备这些新业务有一个共同特点, 即对带宽延迟抖动等传输性能有着特殊的需求比如电视会议视频点播需要高带宽低延迟和低抖动的保证事务处理 Telnet 等关键任务虽然不一定要求高带宽, 但非常注重低延迟, 在拥塞发生时要求优先获得处理新业务的不断涌现对 IP 网络的服务能力提出了更高的要求, 用户已不再满足于能够简单地将报文送达目的地, 而是还希望在转发过程中得到更好的服务, 诸如支持为用户提供专用带宽减少报文的丢失率管理和避免网络拥塞调控网络的流量设置报文的优先级所有这些, 都要求网络应当具备更为完善的服务能力增加网络带宽是解决资源不足的一个直接途径, 然而它并不能解决所有导致网络拥塞的问题解决网络拥塞问题的一个更有效的办法是在网络中增加流量控制和资源分配的功能, 为有不同服务需求的业务提供有区别的服务, 正确地分配和使用资源在进行资源分配和流量控制的过程中, 尽可能地控制好那些可能引发网络拥塞的直接或间接因素, 减少拥塞发生的概率 ; 在拥塞发生时, 依据业务的性质及其需求特性权衡资源的分配, 将拥塞对 QoS 的影响减到最小 CAR(Committed Access Rate) 作为一种常用的 QoS 流量监管技术, 它可以对进入设备的特定流量的规格进行监管当流量超出规格时, 可以采取限制或惩罚措施, 以保护运营商的商业利益和网络资源不受损害 2 应用场合为了有效地利用有限的网络资源, 需要对用户访问网络时所占用的带宽进行相应的限制, 从而保证每个用户的利益 CAR 适用于接入网络, 即在用户接入网络时, 就对用户可以占用的网络带宽进行监管 3 注意事项在无线产品的配置中,CAR 通过 QoS 的流行为来实现的, 下面首先介绍一下 QoS 策略 QoS 策略包含了三个要素 : 类流行为策略用户可以通过 QoS 策略将指定的类和流行为绑定起来, 方便的进行 QoS 配置 1. 流分类流分类是用来识别流的流分类的要素包括 : 流分类的名称和流分类的规则 1

106 用户可以通过命令定义一系列的规则, 来对报文进行分类同时用户可以通过命令指定规则之间的关系 :and 或者 or and: 报文只有匹配了所有的规则, 设备才认为报文属于这个类 or: 报文只要匹配了类中的一个规则, 设备就认为报文属于这个类 2. 流行为流行为用来定义针对报文所做的 QoS 动作流行为的要素包括 : 流行为的名称和流行为中定义的动作用户可以通过命令在一个流行为中定义多个动作 3. 策略策略用来将指定的类和指定的流行为绑定起来策略的要素包括 : 策略名称绑定在一起的类和流行为的名称用户可以通过命令在一个策略中定义多个类与流行为的绑定关系下面将要介绍的用户流量限速 CAR 功能就是通过上述 QoS 策略实现的在配置过程中, 需要注意以下几点 : 配置正确的流分类策略, 以保证所要监管的流量能进入相应的流行为配置正确的流行为, 这里主要是 CAR 规则在 QoS 策略中匹配流分类和流行为在相应的接口应用 QoS 策略 4 配置举例 4.1 组网需求本配置举例中的 AP 使用的是 WA2220X-AG 无线局域网接入点在下面的配置举例中, 通过在 FAT AP 的 WLAN-BSS 1 口的出方向 (outbound) 和入方向 (inbound) 同时配置 QoS 策略 (CAR), 限制无线用户可以访问网络的带宽 2

107 图 4-1 用户流量限速 CAR 组网图 Wired Network L2 Switch Uplink interface AP Client1 Client2 Client3 4.2 配置思路用户流量限速 CAR 功能的配置目前是通过 MQC 实现的, 即先配置用于流分类的 ACL, 再配置流分类和流行为及 QoS 策略, 最后在无线接口上应用 QoS 策略 4.3 使用版本 <AP> display version H3C Comware Platform Software Comware Software, Version 5.20, Beta 1103P01 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2220X-AG uptime is 0 week, 0 day, 0 hour, 5 minutes CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.B Basic BootROM Version: 1.07 Extend BootROM Version: 1.07 [SLOT 1]CON (Hardware)Ver.B, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.B, (Driver)1.0 [SLOT 1]ETH1/0/2 (Hardware)Ver.B, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.B, (Driver)1.0 [SLOT 1]RADIO1/0/2 (Hardware)Ver.A, (Driver)1.0 3

108 4.4 配置步骤以下配置均是在实验室环境下进行的配置和验证, 配置前设备的所有参数均采用出厂时的缺省配置如果您已经对设备进行了配置, 为了保证配置效果, 请确认现有配置和以下配置不冲突 FAT AP 的配置 1. 配置信息 <AP> display current-configuration version 5.20, Beta 1103P01 sysname AP domain default enable system telnet server enable acl number 4001 rule 0 permit source-mac 0012-f0cc-3a2f ffff-ffff-ffff rule 5 permit dest-mac 0012-f0cc-3a2f ffff-ffff-ffff rule 10 deny vlan 1 domain system access-limit disable state active idle-cut disable self-service-url disable traffic classifier client1 operator and if-match acl 4001 traffic behavior client1 car cir 1000 cbs ebs 0 green pass red discard qos policy clientpolicy classifier client1 behavior client1 local-user admin password simple h3capadmin service-type telnet level 3 4

109 wlan rrm 11a mandatory-rate a supported-rate b mandatory-rate b supported-rate g mandatory-rate g supported-rate wlan service-template 1 clear ssid H3C authentication-method open-system service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface Ethernet1/0/2 interface WLAN-BSS1 qos apply policy clientpolicy inbound qos apply policy clientpolicy outbound interface WLAN-BSS2 interface WLAN-Radio1/0/1 service-template 1 interface wlan-bss 2 interface WLAN-Radio1/0/2 channel 1 service-template 1 interface wlan-bss 1 user-interface con 0 user-interface vty 0 4 authentication-mode scheme return <AP> 2. 配置步骤 (1) 设备采用缺省配置启动 (2) 配置用于流分类的 ACL <AP>system-view System View: return to User View with Ctrl+Z. 5

110 创建一个序号为 4001 的二层 ACL [AP]acl number 4001 设置一条规则允许源 MAC 地址为 0012-f0cc-3a2f 的报文通过 [AP-acl-ethernetframe-4001]rule permit source-mac 0012-f0cc-3a2f ffff-ffff-ffff 设置一条规则允许目的 MAC 地址为 0012-f0cc-3a2f 的报文通过 [AP-acl-ethernetframe-4001]rule permit dest-mac 0012-f0cc-3a2f ffff-ffff-ffff 设置一条规则禁止所有报文通过 [AP-acl-ethernetframe-4001]rule deny [AP-acl-ethernetframe-4001]quit 显示 ACL 4001 中配置的规则 [AP]display acl 4001 Ethernet frame ACL 4001, named -none-, 3 rules, ACL's step is 5 rule 0 permit source-mac 0012-f0cc-3a2f ffff-ffff-ffff rule 5 permit dest-mac 0012-f0cc-3a2f ffff-ffff-ffff rule 10 deny (3) 配置流分类定义一个名为 client1 的类 [AP]traffic classifier client1 定义类匹配 ACL4001 [AP-classifier-client1]if-match acl 4001 [AP-classifier-client1]quit (4) 配置流行为定义一个名为 client1 的流行为 [AP]traffic behavior client1 为流行为配置流量监管, 承诺信息速率为 1000kbps [AP-behavior-client1]car cir 1000 [AP-behavior-client1]quit [AP] (5) 配置 QoS 策略定义一个策略 clientpolicy 并进入策略视图 [AP]qos policy clientpolicy 在策略 clientpolicy 中为类 client1 指定采用流行为 client1 [AP-qospolicy-clientpolicy]classifier client1 behavior client1 [AP-qospolicy-clientpolicy]quit (6) 在 WLAN-BSS 1 口上应用 QoS 策略, 这里是在 WLAN-BSS 1 口的入方向和出方向都应用了相同的 QoS 策略 [AP]interface WLAN-BSS 1 [AP-WLAN-BSS1]qos apply policy clientpolicy inbound [AP-WLAN-BSS1]qos apply policy clientpolicy outbound [AP-WLAN-BSS1]quit 6

111 (7) 查看 WLAN-BSS 1 口的 QoS 策略 [AP]display qos policy interface WLAN-BSS 1 Interface: WLAN-BSS1 Direction: Inbound Policy: clientpolicy Classifier: client1 Matched : 0(Packets) 0(Bytes) Operator: AND Rule(s) : If-match acl 4001 Behavior: client1 Committed Access Rate: CIR 1000 (kbps), CBS (byte), EBS 0 (byte) Green Action: pass Red Action: discard Green : 0(Packets) 0(Bytes) Red : 0(Packets) 0(Bytes) Direction: Outbound Policy: clientpolicy Classifier: client1 Matched : 0(Packets) 0(Bytes) Operator: AND Rule(s) : If-match acl 4001 Behavior: client1 Committed Access Rate: CIR 1000 (kbps), CBS (byte), EBS 0 (byte) Green Action: pass Red Action: discard Green : 0(Packets) 0(Bytes) Red : 0(Packets) 0(Bytes) [AP] L2 交换机的配置 L2 交换机采用缺省配置, 无线用户上线后, 和有线网络都在同一个 VLAN 中配置文件略验证结果在无线网络中,QoS 策略需要在无线用户上线之前配置, 无线用户上线后相应的 QoS 策略才会生效在完成上述配置后, 可通过以下方式验证上述配置 : (1) 通过命令 display qos policy interface WLAN-BSS 1 查看接口的 QoS 统计信息因为无线用户在上线后就有 ARP 或其它报文收发, 从下面可以看到, 已经有报文被 ACL 匹配 <AP>display qos policy interface WLAN-BSS 1 Interface: WLAN-BSS1 Direction: Inbound Policy: clientpolicy Classifier: client1 7

112 Matched : 19(Packets) 1732(Bytes) Operator: AND Rule(s) : If-match acl 4001 Behavior: client1 Committed Access Rate: CIR 1000 (kbps), CBS (byte), EBS 0 (byte) Green Action: pass Red Action: discard Green : 19(Packets) 1732(Bytes) Red : 0(Packets) 0(Bytes) Direction: Outbound Policy: clientpolicy Classifier: client1 Matched : 29(Packets) 2576(Bytes) Operator: AND Rule(s) : If-match acl 4001 Behavior: client1 Committed Access Rate: CIR 1000 (kbps), CBS (byte), EBS 0 (byte) Green Action: pass Red Action: discard Green : 29(Packets) 2576(Bytes) Red : 0(Packets) 0(Bytes) <AP> (2) 在打流量 1 分钟后, 通过命令可以看到, 有更多的报文被匹配上 <AP>display qos policy interface WLAN-BSS 1 Interface: WLAN-BSS1 Direction: Inbound Policy: clientpolicy Classifier: client1 Matched : 2790(Packets) (Bytes) Operator: AND Rule(s) : If-match acl 4001 Behavior: client1 Committed Access Rate: CIR 1000 (kbps), CBS (byte), EBS 0 (byte) Green Action: pass Red Action: discard Green : 2790(Packets) (Bytes) Red : 0(Packets) 0(Bytes) Direction: Outbound Policy: clientpolicy Classifier: client1 Matched : 5705(Packets) (Bytes) Operator: AND Rule(s) : If-match acl 4001 Behavior: client1 Committed Access Rate: 8

CIR 1000 (kbps), CBS 62500 (byte), EBS 0 (byte) Green Action: pass Red Action: discard Green : 5016(Packets) 7428973(Bytes) Red : 689(Packets) 1032293(Bytes) <AP>display acl 4001 Ethernet frame ACL

113 CIR 1000 (kbps), CBS (byte), EBS 0 (byte) Green Action: pass Red Action: discard Green : 5016(Packets) (Bytes) Red : 689(Packets) (Bytes) <AP>display acl 4001 Ethernet frame ACL 4001, named -none-, 3 rules, ACL's step is 5 rule 0 permit source-mac 0012-f0cc-3a2f ffff-ffff-ffff(2881 times matched) rule 5 permit dest-mac 0012-f0cc-3a2f ffff-ffff-ffff(5624 times matched) rule 10 deny(76 times matched) <AP> (3) 如果是用 IxChariot 打流量, 通过 IxChariot 的流量图, 就可以更加明确地看出无线用户的流量被限制在 1M 左右 5 相关资料 5.1 相关协议和标准 TCP/IP Routing, 第二卷 ;Routing TCP/IP, Volume Ⅱ 5.2 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册 QoS 分册 H3C WA 系列无线局域网接入点设备用户手册安全分册中的 ACL 9

114 H3C WA 系列用户在线检测功能典型配置举例关键词 : 在线检测,keepalive 摘要 : 本文介绍了 H3C 公司 WA 系列无线局域网接入点设备用户在线检测功能配置的方法注意 :AP 的配置要根据具体的 AP 和序列号进行配置缩略语 : 缩略语英文全名中文解释 AP Access Ponit 无线接入点 i

115 目录 1 特性简介应用场合配置举例组网需求使用版本配置步骤相关资料相关协议和标准其它相关资料... 5 ii

116 1 特性简介 H3C WA 系列无线局域网接入点的用户在线检测功能可以检测到异常 Client 下线正常情况下, Client 下线时会发送离线报文通知 AP,AP 收到该报文后会从自己的用户列表中删除该 Client 但是, 若 Client 由于电源故障系统崩溃等原因离线,Client 便无法通知 AP, 这样 AP 的用户列表中就会一直保存该僵死用户大量的僵死用户会占用 AP 的内存, 降低 AP 性能为了防止这种情况发生, 可以在 AP 上打开用户在线检测功能,AP 周期性的对用户列表中的 Client 进行扫描, 若 AP 没有收到 Client 的扫描应答报文,AP 就认为该 Client 已经离线, 并从用户列表中删除该 Client 2 应用场合用户在线检测功能默认是关闭的, 可以在任何情况下打开该功能由于断电和系统死机等都是不可预知的, 推荐用户使用时打开该功能 3 配置举例 3.1 组网需求本配置举例中的 AP 使用的是 WA1208E 系列无线局域网接入点设备图 3-1 用户在线检测功能组网图 3.2 使用版本 <AP> display version H3C Comware Platform Software Comware Software, Version 5.20, Beta 1106P03 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA1208E-AGP uptime is 0 week, 0 day, 0 hour, 54 minutes CPU type: IXP422 1

117 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version: Ver.A Basic BootROM Version: 2.08 Extend BootROM Version: 2.08 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0 [SLOT 1]RADIO1/0/2 (Hardware)Ver.A, (Driver) 配置步骤 1. 配置信息 : <AP> display current-configuration version 5.20, Beta 1106P03 sysname AP domain default enable system telnet server enable wlan client keep-alive 300 vlan 1 domain system access-limit disable state active idle-cut disable self-service-url disable user-group system local-user admin password simple h3capadmin authorization-attribute level 3 service-type telnet wlan rrm dot11a mandatory-rate dot11a supported-rate dot11b mandatory-rate 1 2 dot11b supported-rate dot11g mandatory-rate dot11g supported-rate

118 wlan service-template 1 clear ssid H3C service-template enable interface NULL0 interface Vlan-interface1 ip address interface Ethernet1/0/1 interface WLAN-BSS1 interface WLAN-Radio1/0/1 interface WLAN-Radio1/0/2 channel 1 service-template 1 interface wlan-bss 1 load xml-configuration user-interface con 0 user-interface vty 0 4 authentication-mode scheme return 2. 主要配置步骤创建并配置无线服务模版 [AP] wlan service-template 1 clear [AP-wlan-st-1] ssid H3C [AP-wlan-st-1] service-template enable 创建无线虚接口 [AP] interface WLAN-BSS 1 [AP-WLAN-BSS1] quit 在无线接口上绑定无线服务模版和虚接口 [AP] interface WLAN-Radio 1/0/2 [AP-WLAN-Radio1/0/2] service-template 1 interface WLAN-BSS 1 配置用户在线检测功能, 可配置的范围为 s, 实例中配置为 300s, 表示间隔 5 分钟检测一次用户是否在线, 如果连续 3 次检测不到用户在线, 则用户会自动从 AP 的用户列表中老化掉 [AP] wlan client keep-alive 300 3

119 3. 验证结果 Client 上线后, 拔掉 Client 上的无线网卡, 此时 Client 非正常下线,AP 无从获知 Client 已经下线默认情况下, 由于没有开启用户下线检测功能, 该 Client 会一直在 AP 的 Client 列表中开启用户下线检测功能, 并在 AP 上观察用户列表约 15 分钟后, 该 Client 会从 AP 的用户列表中老化掉 <AP> display wlan client verbose Total Number of Clients : 1 Total Number of Clients Connected : 1 Client Information MAC Address : fd-9d4e AID : 1 Radio Interface : WLAN-Radio1/0/2 SSID : H06532_clear1 BSSID : 000f-e Port : WLAN-BSS1 VLAN : 1 State : Running Power Save Mode : Active Wireless Mode : 11g QoS Mode : WMM Listen Interval (Beacon Interval) : 10 RSSI : 65 SNR : 31 Rx/Tx Rate : 54/54 Client Type : PRE-RSNA Authentication Method : Open System AKM Method : None 4-Way Handshake State : -NA- Group Key State : -NA- Encryption Cipher : Clear Roam Status : Normal Up Time (hh:mm:ss) : 00:20: [AP] wlan client keep-alive 分钟后, 再次观察用户, 发现用户已经下线 <AP> display wlan client % Info: Clients do not exist. 4 相关资料 4.1 相关协议和标准无 4

120 4.2 其它相关资料 H3C WA 系列无线局域网接入点设备用户手册 WLAN 分册 5

121 H3C WX 系列无线控制器 /WA 系列无线接入点 BootWare 维护典型配置举例关键词 :AP,AC,BootWare 摘要 : 本配置举例介绍了 H3C WX 系列无线控制器 /WA 系列无线接入点 BootWare 的维护方法缩略语 : 缩略语英文全名中文解释 AC Access Controller 无线控制器 AP Access Point 无线接入点 i

122 目录 1 特性简介应用场合配置举例组网需求使用版本 AC 版本 AP 版本配置步骤 AC 的 BootWare 升级方法 ( 以 WX5002 设备为例 ) AC 的 BootWare 密码恢复方法 ( 以 WX5002 设备为例 ) AP 的 BootWare 升级方法 ( 以 WA2100 设备为例 ) WA2100 BootWare 密码恢复方法相关资料... 6 ii

123 1 特性简介在某些情况下, 如应用程序文件坏了, 导致 AC 或 AP 暂时无法启动, 需要通过 BootWare 菜单来对软件版本等内容进行升级 2 应用场合无法进入命令行对设备进行升级操作的场合 3 配置举例 3.1 组网需求 AC 或 AP 一台, 本配置举例使用的 AC 为 WX5002 无线控制器,AP 为 WA2100 无线局域网接入点 3.2 使用版本 AC 版本 <AC>display version H3C Comware Platform Software Comware Software, Version 5.00, ESS 1102P01 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jun :14:11, RELEASE SOFTWARE H3C WX uptime is 0 week, 5 days, 17 hours, 55 minutes CPU type: BCM MIPS MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Version: A Logic Version: 1.0 Basic BootROM Version: 1.12 Extend BootROM Version: 1.13 [SLOT 1]CON (Hardware)A, (Driver)1.0, (Cpld)1.0 [SLOT 1]GE1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0 [SLOT 1]GE1/0/2 (Hardware)A, (Driver)1.0, (Cpld)1.0 [SLOT 1]M-E1/0/1 (Hardware)A, (Driver)1.0, (Cpld) AP 版本 <AP>display version H3C Comware Platform Software 1

124 Comware Software, Version 5.00, ESS 1102P01 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jun :52:46, RELEASE SOFTWARE H3C WA2100 uptime is 0 week, 0 day, 0 hour, 14 minutes CPU type: ATHEROS MIPS MHz 32M bytes SDRAM Memory 4M bytes Flash Memory Pcb Version: Ver.B Basic BootROM Version: 1.08 Extend BootROM Version: 1.08 [SLOT 1]CON (Hardware)Ver.B, (Driver)1.0 [SLOT 1]RADIO1/0/1 (Hardware)Ver.B, (Driver)1.0 [SLOT 1]ETH1/0/1 (Hardware)Ver.B, (Driver) 配置步骤 AC 的 BootWare 升级方法 ( 以 WX5002 设备为例 ) 1. 方法一 : 直接升级应用程序文件, 可以通过 ftp 等方式 down 到 flash 上, 然后指定该文件作为主文件 <AC>boot-loader file wx5002.bin main This command will set boot file, Continue? [Y/N]:y The specified file will be used as the main boot file at the next reboot! <AC> BootWare 程序同应用程序捆绑升级, 即用户不需要单独升级 BootWare 程序, 在升级最新版本的应用程序时, 系统将检测当前的 BootWare 版本和主机应用程序内包含的 BootWare 版本是否一致, 如果检测到不一致, 系统就会自动将当前的 BootWare 刷新需要注意的是, 此方法不能用于 BootWare 降级 2. 方法二 : 通过手工升级, 需要有应用程序文件或单独的 BootWare 文件 <AC>bootrom update file wx5002.bin This command will update bootrom file, Continue? [Y/N]:y Now updating bootrom, please wait... Updating basic bootrom! Update basic bootrom success! Updating extended bootrom! Update extended bootrom success! Update bootrom success! <H3C> 2

125 3. 方法三 : 通过 BootWare 菜单升级 ******************************************* * * * H3C WCM BootWare, Ver 1.07 * * * ******************************************* Copyright(c) Hangzhou H3C Tech. Co., Ltd. and its licensors. Compiled date : Dec , 12:20:43 CPU type : BCM1250 CPU L1 DCache : 32KB CPU L1 ICache : 32KB CPU L2 Cache : 512KB CPU Clock Speed : 700MHz Memory Type : SDRAM Memory Size : 512MB Memory Speed : 140MHz BootWare Size : 512KB Flash Size : 64B NVRAM Size : 512KB CPLD Version is 1.00 Hardware Version is Ver.C GE0...OK! GE1...OK! ==================<EXTEND-BOOTWARE MENU>=================== <1> Boot System <2> Enter Serial SubMenu <3> Enter Ethernet SubMenu <4> File Control <5> Modify BootWare Password <6> Ignore System Configuration <7> BootWare Operation Menu <8> Clear Super Password <0> Reboot =========================================================== Enter your choice (0-8): (1) 选择 <7>, 进入 BootWare 操作菜单, 如图 : =====================<BOOTWARE OPERATION>==================== <1> Backup Full BootWare <2> Restore Full BootWare <3> Update Full BootWare With XModem <4> Update Extend BootWare With XModem <5> Update Basic BootWare With XModem <0> Exit To Main Menu 3

============================================================= Enter your choice (0-5): (2) 在 BootWare 菜单中选择 <3> 更新 BootWare 程序 (3) 键入 <5>, 选择用 115200 的速度下载程序 ========================<BAUDRATE

126 ============================================================= Enter your choice (0-5): (2) 在 BootWare 菜单中选择 <3> 更新 BootWare 程序 (3) 键入 <5>, 选择用的速度下载程序 ========================<BAUDRATE SET>======================= Note: Change The HyperTerminal's Baudrate Accordingly, Press 'Enter' to exit with things untouched <Baudrate Avaliable> <1> 9600(Default) <2> <3> <4> <5> <0> Exit ============================================================= Enter Your Choice (0-5): (4) 系统会提示修改超级终端的波特率为 Download speed is bps. Change the terminal's speed to bps, and select XMODEM protocol. Press 'Enter' key when ready. (5) 修改超级终端的波特率为 (6) 选择 BootWare 升级文件 46BtmPacketV1.08.bin( 或者更高版本 ), 开始升级, 协议选择 Xmodem Download speed is bps. Change the terminal's speed to bps, and select XMODEM protocol. Press 'Enter' key when ready. Now Downloading Program File. Please Start Transfer Program File And Use Xmodem Protocol. If You Want To Exit.Press 'Ctrl+X'. 4

Waiting...CCCCCCCCCCCCCCCCCCCCCCCCC (7) 传送结束后, 系统会提示是否升级基本段和扩展段, 请全部选择 Y Download speed is 115200 bps. Change the terminal's speed to 115200 bps, and select XMODEM protocol.

127 Waiting...CCCCCCCCCCCCCCCCCCCCCCCCC (7) 传送结束后, 系统会提示是否升级基本段和扩展段, 请全部选择 Y Download speed is bps. Change the terminal's speed to bps, and select XMODEM protocol. Press 'Enter' key when ready. Now Downloading Program File. Please Start Transfer Program File And Use Xmodem Protocol. If You Want To Exit.Press 'Ctrl+X'. Waiting...CCC Download successfully! bytes downloaded! Updating Basic BootWare? Yes or No (Y/N) :y Updating Basic BTM Updating the Norm Basic BootWare...Done Updating Extend BootWare? Yes or No (Y/N) :y Updating Extend BTM Updating Extend BootWare...Done Please use 9600 bps.press 'Enter' key to exit to Main Menu. (8) 更新完成后, 根据提示, 将波特率设置为 9600, 然后重新启动设备 System is rebooting now... System starts booting... ******************************************* * * * H3C WCM BootWare, Ver 1.08 * * * ******************************************* Copyright(c) Hangzhou H3C Tech. Co., Ltd. and its licensors. Compiled date : Mar , 14:44:29 CPU type : BCM1250 CPU L1 DCache : 32KB CPU L1 ICache : 32KB CPU L2 Cache : 512KB CPU Clock Speed : 700MHz Memory Type : SDRAM 5

展开

目录（目录名） H3C WA 系列 PPPoE Client 配置举例关键词 :PPPoE,PPPoE Client,AP 摘要 :PPPoE 是 Point-to-Point Protocol over Ethernet 的简称, 它可以通过一个远端接入设备为以太网上的主机提供因特网接入服务, 并对接入的每个主机实现控制计费功能由于很好地结合了以太网的经济性及 PPP 良好的可扩展性与管理控制功能,PPPoE

目 录（目录名）

目录（目录名）