Microsoft Word - 扉页.doc

Transcription

1 H3C MSR 系列路由器 WLAN 配置指导 杭州华三通信技术有限公司 资料版本 : C-1.11 产品版本 :MSR-CMW520-R2207

2 Copyright 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保

3 前言 H3C MSR 系列路由器配置指导共分为十七本手册, 介绍了 MSR 系列路由器各软件特性的原理及其配置方法, 包含原理简介 配置任务描述和配置举例 WLAN 配置指导 主要介绍 WLAN 指导相关的配置, 包括 WLAN 接口 WLAN RRM WLAN 安全 WLAN IDS 和 WLAN QoS 等 前言部分包含如下内容 : 读者对象 本书约定 产品配套资料 资料获取方式 技术支持 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 本书约定 1. 命令行格式约定 格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从两个或多个选项中选取一个 [ x y... ] 表示从两个或多个选项中选取一个或者不选 { x y... } * 表示从两个或多个选项中选取多个, 最少选取一个, 最多选取所有选项 [ x y... ] * 表示从两个或多个选项中选取多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行 2. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 :

4 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 为确保设备配置成功或者正常工作而需要特别关注的操作或信息 对操作内容的描述进行必要的补充和说明 配置 操作 或使用设备的技巧 小窍门 3. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备 4. 端口编号示例约定本手册中出现的端口编号仅作示例, 并不代表设备上实际具有此编号的端口, 实际使用中请以设备上存在的端口编号为准 产品配套资料 H3C MSR 系列路由器的配套资料包括如下部分 : 大类 资料名称 内容介绍 MSR 50-40[60] 路由器产品彩页 MSR 路由器产品彩页 产品知识介绍 硬件描述与安装 MSR 30 路由器产品彩页 MSR 20-2X[40] 路由器产品彩页 MSR 20-1X 路由器产品彩页 MSR 900 路由器产品彩页 MSR 50 路由器安装指导 MSR 30 路由器安装指导 MSR 20-2X[40] 路由器安装指导 MSR 20-1X 路由器安装指导 MSR 900 路由器安装指导 MSR 系列路由器接口模块手册 帮助您了解产品的主要规格参数及亮点 帮助您详细了解设备硬件规格和安装方法, 指导您对设备进行安装 帮助您详细了解单板的硬件规格

5 大类资料名称内容介绍 业务配置 运行维护 MSR 系列路由器配置指导 MSR 系列路由器命令参考 MSR 系列路由器 Web 配置指导 MSR 系列路由器典型配置举例 MSR 900[920] 路由器版本说明书 MSR 201X 路由器版本说明书 MSR 2020[2021][2040] 路由器基本版版本说明书 MSR 2020[2021][2040] 路由器标准版版本说明书 MSR 3010[3011E][3011F] 路由器版本说明书 MSR 3011 路由器版本说明书 MSR 3016 路由器基本版版本说明书 MSR 3016 路由器标准版版本说明书 MSR 3020[3040][3060] 路由器基本版版本说明书 MSR 3020[3040][3060] 路由器标准版版本说明书 MSR 5006 路由器 CMW5.20 平台版本说明书 MSR 5040[5060] 路由器 (MPUF 主控 ) 基本版版本说明书 MSR 5040[5060] 路由器 (MPUF 主控 ) 标准版版本说明书 MSR 5040[5060] 路由器 ( 高性能主控 MPU-G2) 基本版版本说明书 MSR 5040[5060] 路由器 ( 高性能主控 MPU-G2) 标准版版本说明书 帮助您掌握设备软件功能的配置方法及配置步骤 详细介绍设备的命令, 相当于命令字典, 方便您查阅各个命令的功能 帮助您掌握通过 Web 界面配置设备的方法及配置步骤 帮助您了解产品的典型应用和推荐配置, 从组网需求 组网图 配置步骤几方面进行介绍 帮助您了解产品版本的相关信息 ( 包括 : 版本配套说明 兼容性说明 特性变更说明 技术支持信息 ) 及软件升级方法 资料获取方式 您可以通过 H3C 网站 ( 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 服务支持 / 文档中心 ]: 可以获取硬件安装类 软件升级类 配置类或维护类等产品资料 [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档, 包括产品相关介绍 技术介绍 技术白皮书等

6 [ 解决方案 ]: 可以获取解决方案类资料 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料 技术支持 用户支持邮箱 :customer_service@h3c.com 技术支持热线电话 : ( 手机 固话均可拨打 ) 网址 : 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : info@h3c.com 感谢您的反馈, 让我们做得更好!

7 目录 1 WLAN 接口配置 WLAN 接口简介 WLAN-Radio 接口 WLAN-Radio 接口介绍 WLAN-Radio 接口配置 WLAN-BSS 接口 WLAN-BSS 接口介绍 WLAN-BSS 接口配置 WLAN-Ethernet 接口 WLAN-Ethernet 接口介绍 进入 WLAN-Ethernet 接口视图 配置 WLAN-Ethernet 接口 WLAN 接口显示和维护 i

8 1 WLAN 接口配置 本文所指的 AP 和 FAT AP 代表了 MSR 900 和 MSR 20-1X 无线款型, 以及安装了 SIC-WLAN 模块 的 MSR 系列路由器 1.1 WLAN 接口简介 无线路由器支持一种实际的物理接口 WLAN-Radio 接口, 此接口提供无线接入服务 无线路由器支持 WLAN-BSS 与 WLAN-Ethernet 类型虚拟接口 WLAN-Radio 接口被视为普通物理接入口, 它可以和 WLAN-BSS 接口 WLAN-Ethernet 接口绑定 1.2 WLAN-Radio 接口 WLAN-Radio 接口介绍 WLAN-Radio 是设备上的一种物理接口, 提供无线接入服务 用户可以配置该接口的参数, 但不可手工删除它 WLAN-Radio 接口配置 表 1-1 WLAN-Radio 接口配置 配置步骤命令说明 进入系统视图 system-view - 进入 WLAN-Radio 接口视图 设置接口描述信息 interface wlan-radio interface-number description text 必选 可选 缺省情况下, 接口的描述信息为 接口名 Interface 恢复 WLAN-Radio 接口的缺省配置 default 可选 关闭 WLAN-Radio 接口 shutdown 可选 缺省情况下, 接口处于开启状态 1-1

9 1.3 WLAN-BSS 接口 WLAN-BSS 接口介绍 WLAN-BSS 接口是一种虚拟的二层接口, 类似于 Access 类型的二层以太网接口, 具有二层属性, 并可配置多种二层协议 在无线路由器上,WLAN-Radio 物理接口与此接口绑定后,WLAN-Radio 接口将工作在二层模式 WLAN-BSS 接口配置 表 1-2 WLAN-BSS 接口配置 配置步骤命令说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 设置接口描述信息 把当前 WLAN-BSS 接口加入指定 VLAN 指定 MAC 地址认证用户使用的认证域 配置端口同时可容纳接入的 MAC 地址认证用户数量的最大值 恢复 WLAN-BSS 接口的缺省配置 禁用 WLAN-BSS 接口 interface wlan-bss interface-number description text port access vlan vlan-id mac-authentication domain domain-name mac-authentication max-user user-number default shutdown 必选 如果指定的 WLAN-BSS 接口不存在, 则该命令先完成 WLAN-BSS 接口的创建, 然后再进入该接口的视图 可选 缺省情况下, 接口的描述信息为 接口名 Interface 可选 缺省情况下, 当前接口属于 VLAN1, 缺省 VLAN 是 VLAN1 可选 缺省情况下, 未指定 MAC 地址认证用户使用的认证域, 使用系统缺省的认证域 可选 缺省情况下, 端口可容纳接入用户数量的最大值为 256 可选 可选 缺省情况下, 接口处于启用状态 1-2

10 执行 port access vlan 命令前, 请确保 vlan-id 参数标识的 VLAN 已经存在 ( 可以使用 vlan 命令来创建指定的 VLAN) port access vlan 命令的详细介绍请参见 二层技术 - 以太网交换命令参考 中的 VLAN mac-authentication domain 和 mac-authentication max-user 命令的详细介绍请参见 安 全配置指导 中的 MAC 地址认证 1.4 WLAN-Ethernet 接口 WLAN-Ethernet 接口介绍 WLAN-Ethernet 接口是一种虚拟的三层接口, 类似于三层以太网接口, 具有三层属性, 能够配置 IP 地址 在无线路由器上 WLAN-Radio 物理接口与此接口绑定后,WLAN-Radio 接口将工作在三层模式 进入 WLAN-Ethernet 接口视图 表 1-3 进入 WLAN-Ethernet 接口视图 配置步骤命令说明 进入系统视图 system-view - 进入 WLAN-Ethernet 接口视图 恢复 WLAN-Ethernet 接口的缺省配置 interface wlan-ethernet interface-number default 必选 如果指定的 WLAN-Ethernet 接口不存在, 则该命令先完成 WLAN-Ethernet 接口的创建, 然后再进入该接口的视图 可选 配置 WLAN-Ethernet 接口 WLAN-Ethernet 接口可以配置 MTU 等基本参数, 还可以配置 ARP DHCP 路由等特性 本节只罗列了 WLAN-Ethernet 接口支持的特性, 关于各特性 命令的详细描述及配置, 请参见平台手册的相应章节 表 1-4 配置 WLAN-Ethernet 接口 操作 命令 接口配置 qos max-bandwidth shutdown mtu description enable snmp trap updown 1-3

11 ARP 配置 操作 arp max-learning-num arp proxy enable proxy-arp enable 命令 BOOTP 客户端配置 DHCP 服务器配置 ip address bootp-alloc dhcp select server global-pool DHCP 配置 DHCP 中继配置 DHCP 客户端配置 dhcp relay address-check dhcp relay information enable dhcp relay information format dhcp relay information strategy dhcp relay release dhcp relay server-select dhcp select relay ip address dhcp-alloc IP Accounting 配置 IP 地址配置 IP 性能配置 IP 单播策略路由配置 UDP HELPER 配置 URPF 配置快速转发配置 IPv6 基础配置 NAT-PT 配置 ip count firewall-denied ip count inbound-packets ip count outbound-packets ip address ip forward-broadcast tcp mss ip policy-based-route udp-helper server ip urpf ip fast-forwarding ipv6 address ipv6 address auto link-local ipv6 mtu ipv6 nd autoconfig managed-address-flag ipv6 nd autoconfig other-flag ipv6 nd dad attempts ipv6 nd ns retrans-timer ipv6 nd nud reachable-time ipv6 nd ra halt ipv6 nd ra interval ipv6 nd ra prefix ipv6 nd ra router-lifetime ipv6 neighbors max-learning-num ipv6 policy-based-route natpt enable 1-4

12 IS-IS 配置 OSPF 配置 RIP 配置 IPv6-IS-IS 配置 操作 isis authentication-mode isis circuit-level isis circuit-type p2p isis cost isis dis-name isis dis-priority isis enable isis mesh-group isis small-hello isis timer csnp isis timer hello isis timer holding-multiplier isis timer lsp isis timer retransmit isis silent 命令 ospf authentication-mode simple ospf authentication-mode ospf cost ospf dr-priority ospf mtu-enable ospf network-type ospf timer dead ospf timer hello ospf timer poll ospf timer retransmit ospf trans-delay rip authentication-mode rip input rip output rip metricin rip metricout rip poison-reverse rip split-horizon rip summary-address rip version isis ipv6 enable IPv6-OSPFv3 配置 IPv6-RIPng 配置 ospfv3 cost ospfv3 mtu-ignore ospfv3 timer dead ospfv3 timer hello ospfv3 timer retransmit ospfv3 area ospfv3 dr-priority ospfv3 trans-delay ripng default-route ripng enable ripng metricin ripng metricout ripng poison-reverse ripng split-horizon ripng summary-address 1-5

13 操作 MPLS 基本配置 BGP/MPLS VPN 配置 PPPoE 配置 mpls mpls ldp 命令 mpls ldp timer hello-hold mpls ldp timer keepalive-hold mpls ldp transport-address ip binding vpn-instance pppoe-server bind virtual-template pppoe-client dial-bundle-number 网桥配置 组播配置 组播路由与转发配置 IPv6 组播路由与转发配置 IGMP 配置 MLD 配置 PIM 配置 bridge-set multicast minimum-ttl multicast ipv6 minimum-hoplimit multicast boundary multicast ipv6 boundary multicast ipv6 minimum-hoplimit multicast ipv6 boundary igmp enable igmp fast-leave igmp group-policy igmp last-member-query-interval igmp max-response-time igmp require-router-alert igmp robust-count igmp send-router-alert igmp static-group igmp timer other-querier-present igmp timer query igmp version mld enable mld last-listener-query-interval mld max-response-time mld require-router-alert mld send-router-alert mld robust-count mld timer other-querier-present mld timer query mld version mld static-group mld group-policy mld fast-leave pim bsr-boundary pim hello-option pim holdtime pim require-genid pim sm pim dm pim state-refresh-capable pim timer graft-retry pim timer hello pim timer join-prune pim triggered-hello-delay 1-6

14 QOS 防火墙配置 NAT 配置 Portal 配置 操作 IPv6 PIM 配置 流量监管 / 流量整形 / 物理接口限速配置 QoS 策略配置 拥塞管理配置 命令 pim ipv6 bsr-boundary pim ipv6 hello-option pim ipv6 holdtime pim ipv6 require-genid pim ipv6 sm pim ipv6 dm pim ipv6 state-refresh-capable pim ipv6 timer graft-retry pim ipv6 timer hello pim ipv6 timer join-prune pim ipv6 triggered-hello-delay qos car qos gts any cir qos gts acl qos apply policy qos max-bandwidth firewall ethernet-frame-filter firewall packet-filter firewall packet-filter ipv6 firewall aspf nat outbound nat outbound static nat server portal auth-network portal server IPSec 配置备份中心配置 NetStream 配置 NTP 配置 IPX 配置端口安全 ipsec policy standby interface standby threshold standby timer delay standby timer flow-check standby bandwidth ip netstream ntp-service broadcast-client ntp-service broadcast-server ntp-service multicast-client ntp-service multicast-server ntp-service in-interface disable ipx encapsulation port-security authorization ignore port-security max-mac-count port-security port-mode { mac-and-psk mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext psk userlogin-secure userlogin-secure-ext userlogin-secure-ext-or-psk userlogin-secure-or-mac userlogin-secure-or-mac-ext } port-security preshared-key { pass-phrase raw-key } port-security tx-key-type 11key 1-7

15 1.5 WLAN 接口显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WLAN 接口的运行情况, 通过查看显示信息验证配置的效果 表 1-5 WLAN 接口显示和维护 操作显示 WLAN-Radio 接口的信息显示 WLAN-BSS 接口的信息显示 WLAN-Ethernet 接口的信息 命令 display interface [ wlan-radio ] [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface wlan-radio interface-number [ brief ] [ { begin exclude include } regular-expression ] display interface [ wlan-bss] [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface wlan-bss interface-number [ brief ] [ { begin exclude include } regular-expression ] display interface [ wlan-ethernet ] [ brief [ down ] ] [ { begin exclude include } regular-expression ] display interface wlan-ethernet interface-number [ brief ] [ { begin exclude include } regular-expression ] 1-8

16 目录 1 WLAN 服务配置 WLAN 服务简介 常用术语 无线用户接入过程 WLAN 拓扑 协议和标准 配置 WLAN 服务 WLAN 服务配置任务简介 配置全局 WLAN 参数 配置国家码 配置服务模板 配置 AP 射频参数 配置射频接口 配置 n WLAN 服务的显示和维护 配置无线用户隔离 无线用户隔离简介 开启无线用户隔离功能 配置基于 SSID 的用户接入控制 配置允许接入的 SSID WLAN 服务典型配置举例 WLAN 服务典型配置举例 n 配置举例 i

17 1 WLAN 服务配置 本文所指的 AP 和 FAT AP 代表了 MSR 900 和 MSR 20-1X 无线款型, 以及安装了 SIC-WLAN 模块 的 MSR 系列路由器 1.1 WLAN 服务简介 WLAN(Wireless Local Area Network, 无线局域网 ) 技术是当今通信领域的热点之一, 和有线相比, 无线局域网的启动和实施相对简单, 维护的成本低廉, 一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络 然而,WLAN 系统不是完全的无线系统, 它的服务器和骨干网仍然安置在固定网络, 只是用户可以通过无线方式接入网络 使用 WLAN 解决方案, 网络运营商和企业能够为用户提供无线局域网服务, 服务内容包括 : 应用具有无线局域网功能的设备建立无线网络, 通过该网络, 用户可以连接到固定网络或因特网 无线用户可以访问传统 局域网 使用不同认证和加密方式, 安全地访问 WLAN 为无线用户提供安全的网络接入和移动区域内的无缝漫游 常用术语 (1) 客户端带有无线网卡的 PC 或便携式笔记本电脑等终端 (2) AP(Access Point, 接入点 ) AP 提供无线客户端到局域网的桥接功能, 在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换 (3) FAT AP 一种控制和管理无线客户端的无线设备 数据帧在客户端和 LAN 之间传输需要经过无线到有线以及有线到无线的转换, 而 FAT AP 在这个过程中起到了桥梁的作用 (4) SSID SSID(Service Set Identifier, 服务集识别码 ), 客户端可以先扫描所有网络, 然后选择特定的 SSID 接入某个指定无线网络 (5) 无线介质无线介质是用于在无线用户间传输帧的介质 WLAN 系统使用无线射频作为传输介质 1-1

18 1.1.2 无线用户接入过程 无线用户首先需要通过主动 / 被动扫描方式发现周围的无线服务, 再通过认证和关联两个过程后, 才能和 AP 建立连接, 最终接入无线局域网 整个过程如图 1-1 所示 图 1-1 建立无线连接过程 Client AP 主动扫描 / 被动扫描 Authentication Request Authentication Response Association Request Association Response 1. 无线扫描无线客户端有两种方式可以获取到周围的无线网络信息 : 一种是被动扫描, 无线客户端只是通过监听周围 AP 发送的 Beacon( 信标帧 ) 获取无线网络信息 ; 另外一种为主动扫描, 无线客户端在扫描的时候, 同时主动发送一个探测请求帧 (Probe Request 帧 ), 通过收到探查响应帧 (Probe Response) 获取网络信号 无线客户端在实际工作过程中, 通常同时使用被动扫描和主动扫描获取周围的无线网络信息 (1) 主动扫描无线客户端工作过程中, 会定期地搜索周围的无线网络, 也就是主动扫描周围的无线网络 根据 Probe Request 帧 ( 探测请求帧 ) 是否携带 SSID, 可以将主动扫描分为两种 : 客户端发送 Probe Request 帧 (SSID 为空, 也就是 SSID IE 的长度为 0): 客户端会定期地在其支持的信道列表中, 发送探查请求帧 (Probe Request) 扫描无线网络 当 AP 收到探查请求帧后, 会回应探查响应帧 (Probe Response) 通告可以提供的无线网络信息 无线客户端通过主动扫描, 可以主动获知可使用的无线服务, 之后无线客户端可以根据需要选择适当的无线网络接入 无线客户端主动扫描方式的过程如图 1-2 所示 1-2

19 图 1-2 主动扫描过程 (Probe Request 中 SSID 为空, 也就是不携带任何 SSID 信息 ) Client Probe Request SSID Probe Response AP 1 ProbeRequest( 不携带 SSID) Probe Response AP 2 客户端发送 Probe Request(Probe Request 携带指定的 SSID): 当无线客户端配置希望连接的无线网络或者已经成功连接到一个无线网络情况下, 客户端也会定期发送探查请求帧 (Probe Request)( 该报文携带已经配置或者已经连接的无线网络的 SSID), 当能够提供指定 SSID 无线服务的 AP 接收到探测请求后回复探查响应 通过这种方法, 无线客户端可以主动扫描指定的无线网络 这种无线客户端主动扫描方式的过程如图 1-3 所示 图 1-3 主动扫描过程 (Probe Request 携带指定的 SSID 为 AP 1 ) (2) 被动扫描被动扫描是指客户端通过侦听 AP 定期发送的 Beacon 帧发现周围的无线网络 提供无线网络服务的 AP 设备都会周期性发送 Beacon 帧, 所以无线客户端可以定期在支持的信道列表监听信标帧获取周围的无线网络信息 当用户需要节省电量时, 可以使用被动扫描 一般 VoIP 语音终端通常使用被动扫描方式 被动扫描的过程如图 1-4 所示 图 1-4 被动扫描过程 1-3

20 2. 认证过程 为了保证无线链路的安全, 接入过程中 AP 需要完成对客户端的认证, 只有通过认证后才能进入后续的关联阶段 链路定义了两种认证机制 : 开放系统认证和共享密钥认证 开放系统认证 共享密钥认证 关于两种认证的详细介绍请参见 WLAN 配置指导 中的 WLAN 安全 3. 关联过程 如果用户想接入无线网络, 必须同特定的 AP 关联 当用户通过指定 SSID 选择无线网络, 并通过 AP 链路认证后, 就会立即向 AP 发送关联请求 AP 会对关联请求帧携带的能力信息进行检测, 最终确定该无线终端支持的能力, 并回复关联响应通知链路是否关联成功 通常, 无线终端同时只可以和一个 AP 建立链路, 而且关联总是由无线终端发起 4. 其他相关过程 (1) 解除认证解除认证用于中断已经建立的链路或者认证, 无论 AP 还是无线终端都可以发送解除认证帧断开当前的链接过程 无线系统中, 有多种原因可以导致解除认证, 如 : 接收到非认证用户的关联或解除关联帧 接收到非认证用户的数据帧 接收到非认证用户的 PS-Poll 帧 (2) 解除关联无论 AP 还是无线终端都可以通过发送解除关联帧以断开当前的无线链路 无线系统中, 有多种原因可以导致解除关联, 如 : 接收到已认证但未关联用户的数据帧 接收到已认证但未关联用户的 PS-Poll 帧 1.2 WLAN 拓扑 FAT AP 组网有以下几种拓扑 : 单一 BSS 多 ESS 单一 ESS 多 BSS 1. 单一 BSS 一个 AP 所覆盖的范围被称为 BSS(Basic Service Set, 基本服务集 ) 每一个 BSS 由 BSSID 来标识 最简单的 WLAN 可以由一个 BSS 建立, 所有的无线客户端都在同一个 BSS 内 如果这些客户端都得到了同样的授权, 那么他们就可以互相通信 图 1-5 为单一 BSS 网络组网示意图 1-4

21 图 1-5 单一 BSS 网络 这些客户端可以互相访问, 也可以访问网络中的主机 属于同一 BSS 的客户端之间的通信由 FAT AP 实现 2. 多 ESS 多 ESS 拓扑结构用于网络中存在多个逻辑管理域 ( 即 ESS) 的情况 当一个移动用户加入到某个 FAT AP, 它可以加入一个可用的 ESS 图 1-6 为多 ESS 网络组网示意图 图 1-6 多 ESS 网络 通常,Fat AP 可以同时提供多个逻辑 ESS Fat AP 中的 ESS 的配置主要通过发送信标或探查响应帧, 在网络中广播这些 ESS 的当前信息, 客户端可以根据情况选择加入的 ESS 在 Fat AP 上, 可以配置不同的 ESS 域, 并可以配置当这些域中的用户通过身份认证后, 允许 Fat AP 通告并接受这些用户 1-5

22 3. 单一 ESS 多 BSS( 多重射频情况 ) 图 1-7 所示组网描述了 FAT AP 在单一逻辑管理时有超过一个频段的应用 所有的频段支持相同的服务集 ( 在同一个 ESS 内 ), 但由于属于不同的 BSS 所以逻辑上的覆盖范围是不同的 图 1-7 单一 ESS 多 BSS 组网 Internet Gateway FAT AP BSS 1 Radio 1 Radio 2 BSS 2 Client 1 ESS 1 ESS 1 Client 2 这种组网也应用于需要共同支持 a 和 b/g 的情形 图 1-7 所示为两个客户端连接到不同的频段, 但属于相同 ESS 和不同 BSS 的情形 1.3 协议和标准 ANSI/IEEE Std , 1999 Edition IEEE Std a IEEE Std b IEEE Std g IEEE Std i IEEE Std IEEE Std n 1.4 配置 WLAN 服务 WLAN 服务配置任务简介 表 1-1 WLAN 服务配置任务简介 配置任务说明详细配置 配置全局 WLAN 参数可选 配置国家码必选 配置服务模板必选 配置射频参数必选 配置射频策略 / 接口必选

23 配置任务说明详细配置 配置 n 可选 配置全局 WLAN 参数 表 1-2 配置全局 WLAN 参数 操作命令说明 进入系统视图 system-view - 配置无线客户端的空闲超时时间间隔 配置无线客户端的保活时时间间隔 配置 AP 回复无线客户端发送的 SSID 为空的探测请求 wlan client idle-timeout interval wlan client keep-alive interval wlan broadcast-probe reply 可选缺省情况下, 无线客户端的空闲超时时间间隔是 3600 秒 可选 缺省情况下, 无线客户端的保活功能处于关闭状态 可选缺省情况下,AP 会回复无线客户端发送的 SSID 为空的探测请求 配置国家码 不同国家或地区对射频使用有不同的管制要求, 国家码决定了可以使用的工作频段 信道, 以及合法的发射功率级别等 在配置 WLAN 设备时, 必须正确地设置国家或地区码, 以确保不违反当地的管制规定 表 1-3 配置国家码 操作命令说明 进入系统视图 system-view - 必选 配置国家码 wlan country-code code 缺省情况下, 北美款型设备的国家代码为 US, 非北美款型设备的国家码为 CN 对于北美款型设备的国家代码固定为 US, 用户不可以更改 对于非北美款型设备的国家代码, 用户可以根据设备所在的国家, 使用此命令进行配置 关于国家码和国家的对应关系表请参见 WLAN 命令参考 中的 WLAN 服务命令 1-7

24 1.4.4 配置服务模板 WLAN 服务模板包括一些属性, 如 SSID 和认证算法 ( 开放系统认证或共享密钥认证 ) 服务模板有两种类型 : 明文模板 (clear) 和密文模板 (crypto) 明文类型的服务模板不可以改为密文类型, 如果想将明文类型的模板改为密文类型, 必须首先删除原有的服务模板, 然后重新配置一个密文类型的服务模板 反之亦然 表 1-4 配置服务模板 操作命令说明 进入系统视图 system-view - 配置 WLAN 服务模板 wlan service-template service-template-number { clear crypto } - 配置 SSID ssid ssid-name 必选 配置在信标帧中隐藏 SSID 选择认证方式 指定在同一个射频下, 某个 SSID 下的关联无线客户端的最大个数 开启服务模板 beacon ssid-hide authentication-method { open-system shared-key } client max-count max-number service-template enable 可选 缺省情况下, 信标帧中不隐藏 SSID 必选 共享密钥认证模式请参见 WLAN 配置指导 中的 WLAN 安全 可选 缺省情况下, 最多可以关联 32 个客户端 必选 缺省情况下, 服务模板处于关闭状态 配置 AP 射频参数 该配置任务用来配置 AP 射频, 包括配置射频类型 信道和最大功率 表 1-5 配置 AP 射频操作命令说明进入系统视图 system-view - 进入射频接口视图 配置射频类型 配置当前射频的服务模板和使用的接口 interface wlan-radio interface-number radio-type [ type { dot11b dot11g dot11gn } ] service-template service-template-number interface wlan-bss interface-number - 必选 必选 1-8

25 操作命令说明 配置射频的工作信道 配置射频的最大传输功率 channel { channel-number auto } max-power radio-power 可选 缺省情况下, 使用自动选择信道模式 射频的工作信道由国家码和射频模式决定 信道列表与设备的型号有关, 请以设备的实际情况为准 可选射频的最大功率和国家码 信道 AP 型号 射频模式和天线类型相关, 如果采用 n 射频模式, 那么射频的最大功率和带宽模式也相关 配置前导码类型 preamble { long short } 可选缺省情况下, 支持短前导码 配置射频接口 在射频接口下可以配置一系列的射频参数 如果将某个射频接口映射到某个射频 ( 比如 b/g), 则该射频就继承在射频接口里配置的所有参数 表 1-6 配置射频接口 操作命令说明 进入系统视图 system-view - 进入 WLAN 射频接口视图 设置发送信标帧的时间间隔 设置信标帧的 DTIM 计数器 设置帧的分片门限值 设置 RTS(Request to Send, 发送请求 ) 的门限值 设置帧长超过 RTS 门限值的帧的最大重传次数 设置帧长不大于 RTS 门限值的帧的最大重传次数 interface wlan-radio interface-number beacon-interval interval dtim counter fragment-threshold size rts-threshold size long-retry threshold count short-retry threshold count - 必选 可选 缺省情况下, 发送信标帧的时间间隔为 100TU(Time Unit, 时间单位 ) 可选缺省情况下, 计数器为 1 可选缺省情况下, 帧的分片门限值为 2346 字节 帧的分片门限值只能设置为偶数字节 可选缺省情况下,RTS 门限值为 2346 字节 可选 缺省情况下, 帧长超过 RTS 门限值的帧的最大重传次数为 4 可选缺省情况下, 帧长不大于 RTS 门限值的帧的最大重传次数为 7 1-9

26 操作命令说明 设置 AP 接收的帧可以在缓存中保存的最长时间 max-rx-duration interval 可选 缺省情况下,AP 接收的帧可以在缓存中保存的最长时间为 2000 毫秒 配置 n n 作为 协议族的一个新协议, 支持 2.4GHz 和 5GHz 两个频段, 致力于为 WLAN 接入用户提供更高的 接入速率,802.11n 主要通过增加带宽和提高信道利用率两种方式来提高通讯速率 增加带宽 :802.11n 通过将两个 20MHz 的带宽绑定在一起组成一个 40MHz 通讯带宽, 在实际工作时可以作为两个 20MHz 的带宽使用 当使用 40MHz 带宽时, 可将速率提高一倍, 提高无线网络的吞吐量 提高信道利用率 : 对信道利用率的提高主要体现在三个方面 n 标准中采用 A-MPDU 聚合帧格式, 即将多个 MPDU 聚合为一个 A-MPDU, 只保留一个 PHY 头, 删除其余 MPDU 的 PHY 头, 减少了传输每个 MPDU 的 PHY 头的附加信息, 同时也减少了 ACK 帧的数目, 从而降低了协议的负荷, 有效的提高网络吞吐量 n 协议定义了一个新的 MAC 特性 A-MSDU, 该特性实现了将多个 MSDU 组合成一个 MSDU 发送, 与 A-MPDU 类似, 通过聚合,A-MSDU 减少了传输每个 MSDU 的 MAC 头的附加信息, 提高了 MAC 层的传输效率 n 支持在物理层的优化, 提供短间隔功能 原 11a/g 的 GI 时长 800us, 而短间隔 Short GI 时长为 400us, 在使用 Short GI 的情况下, 可提高 10% 的速率 表 1-7 配置 n 操作命令说明 进入系统视图 system-view - 进入射频接口视图 进入射频模板视图 interface wlan-radio interface-number radio radio-number type dot11gn - - 指定当前 Radio 接口的带宽模式 channel band-width { } 可选 缺省情况下,802.11gn 类型的 Radio 接口的带宽为 20MHz 配置仅允许 n 用户接入功能 开启 Short GI 功能 client dot11n-only short-gi enable 可选 缺省情况下,802.11gn 类型的接口同时允许 b/g 和 gn 的用户接入 可选 缺省情况下,Short GI 功能处于开启状态 1-10

27 操作命令说明 开启指定 Radio 接口的 A-MSDU 功能 开启指定 Radio 接口的 A-MPDU 功能 a-msdu enable a-mpdu enable 可选 缺省情况下,A-MSDU 功能处于开启状态 目前, 设备只支持接收 A-MSDU 报文, 不支持发送 A-MSDU 可选 缺省情况下, A-MPDU 功能处于开启状态 关于 n 的基本 MCS 集和支持 MCS 集请参见 WLAN 配置指导 的 WLAN RRM MSR 系列路由器各款型对于 n 特性的支持情况有所不同, 详细差异信息如下 : 特性 MSR 900 MSR 20-1X MSR 20 MSR 30 MSR n No 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 WLAN 服务的显示和维护 完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WLAN 服务的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令清除 WLAN 服务的相关信息 表 1-8 WLAN 服务的显示和维护 操作显示无线客户端的信息显示指定的服务模板的信息显示指定无线客户端的统计信息 命令 display wlan client { interface wlan-radio [ radio-number ] mac-address mac-address service-template service-template-number } [ verbose ] [ { begin exclude include } regular-expression ] display wlan service-template [ service-template-number ] [ { begin exclude include } regular-expression ] display wlan statistics client { all mac-address mac-address } [ { begin exclude include } regular-expression ] 切断无线客户端的连接 reset wlan client { all mac-address mac-address } 清除无线客户端的统计信息 reset wlan statistics client { all mac-address mac-address } 1-11

28 1.5 配置无线用户隔离 无线用户隔离简介 用户隔离功能是指关联到同一个 AP 上的所有无线用户之间的二层报文 ( 单播 / 广播 ) 相互不能转发, 从而使无线用户之间不能直接进行通讯 图 1-8 用户隔离组网图 在图 1-8 中, 在 AP 上开启用户隔离功能后,Cleint 1~Client 4 之间不能互通, 也无法学习到对方的 MAC 地址和 IP 地址 开启无线用户隔离功能 表 1-9 开启无线用户隔离功能 操作命令说明 进入系统视图 system-view - 开启无线用户隔离功能 wlan-client-isolation enable 可选缺省情况下, 无线用户隔离功能处于关闭状态 1.6 配置基于 SSID 的用户接入控制 在有用户临时需要接入网络时, 需要临时为用户建立一个来宾账户, 通过基于 SSID 的接入控制可以达到访问限制的目的, 即限制来宾用户只能在指定的 SSID 登录 SSID 的接入控制可以通过在 User Profile 下配置允许接入的 SSID 来实现 配置允许接入的 SSID 在 User Profile 下配置允许接入的 SSID 配置完毕的 User Profile 必须激活后才能生效 1-12

29 表 1-10 配置允许接入的 SSID 操作命令说明 进入系统视图 system-view - 进入 User-Profile 视图 配置允许接入的 SSID user-profile profile-name wlan permit-ssid ssid-name 必选 如果指定的 User Profile 不存在, 则先创建指定的 User Profile, 再进入 User Profile 视图 必选 缺省情况下, 没有配置允许接入的 SSID, 表示用户接入时不限制接入的 SSID, 可用任意 SSID 接入无线网络 退回系统视图 quit - 激活已配置的 User Profile user-profile profile-name enable 必选缺省情况下, 创建的用户配置文件处于未激活状态 控制无线用户的临时接入的配置举例请参见 安全配置指导 中的 AAA 关于 User Profile 的介绍请参见 安全配置指导 中的 User Profile 1.7 WLAN 服务典型配置举例 WLAN 服务典型配置举例 1. 组网需求某部门为了保证工作人员可以随时随地访问部门内部的网络资源, 需要通过部署 AP 实现移动办公 具体要求如下 : AP 提供 SSID 为 service 的明文方式的无线接入服务 采用目前较为常用的 g 射频模式 2. 组网图图 1-9 WLAN 服务组网图 LAN Segment 3. 配置步骤 (1) 配置 FAT AP 1-13

30 # 创建 WLAN BSS 接口 <AP> system-view [AP] interface wlan-bss 1 [AP-WLAN-BSS1] quit # 配置 WLAN 服务模板为 clear 模式, 不配置认证方式 [AP] wlan service-template 1 clear [AP-wlan-st-1] ssid service [AP-wlan-st-1] authentication-method open-system [AP-wlan-st-1] service-template enable [AP-wlan-st-1] quit # 在 WLAN-Radio 2/0 上绑定无线服务模板 1 和 WLAN-BSS 1 [AP] interface wlan-radio 2/0 [AP-WLAN-Radio2/0] radio-type dot11g [AP-WLAN-Radio2/0] channel 1 [AP-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 验证结果 无线客户端可以成功关联 AP, 上线后可以访问网络 可以使用 display wlan client 命令查看上线的无线客户端 n 配置举例 MSR 系列路由器各款型对于 n 特性的支持情况有所不同, 详细差异信息如下 : 特性 MSR 900 MSR 20-1X MSR 20 MSR 30 MSR n No 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 1. 组网需求某公司为了满足多媒体应用的高带宽要求, 需要部署高速接入的 n 无线网络 具体要求如下 : AP 提供 SSID 为 service 的明文方式的无线接入服务 为了保护现有投资, 兼容现有的 g 无线网络, 采用 gn 射频模式 2. 组网图图 n 配置组网图 LAN Segment 3. 配置步骤 (1) 配置 FAT AP # 创建 WLAN BSS 接口 1-14

31 <AP> system-view [AP] interface WLAN-BSS 1 [AP-WLAN-BSS1] quit # 配置 WLAN 服务模板为 clear 模式, 不配置认证方式 [AP] wlan service-template 1 clear [AP-wlan-st-1] ssid service [AP-wlan-st-1] authentication-method open-system [AP-wlan-st-1] service-template enable [AP-wlan-st-1] quit # 配置工作带宽为 20MHz, 并在 WLAN-Radio 2/0 上绑定无线服务模板 1 和 WLAN-BSS 1 [AP] interface WLAN-Radio 2/0 [AP-WLAN-Radio2/0] radio-type dot11gn [AP-WLAN-Radio2/0] channel 6 [AP-WLAN-Radio2/0] channel band-width 20 [AP-WLAN-Radio2/0] service-template 1 interface WLAN-BSS 1 (2) 验证结果 无线客户端可以成功关联 AP, 上线后可以访问网络 可以使用 display wlan client verbose 命令查看上线的无线客户端 在该命令的显示信息中会显示 11n 无线客户端的信息 1-15

32 目录 1 WLAN RRM 配置 WLAN RRM 简介 WLAN RRM 配置任务简介 配置射频速率 配置 b/802.11g 射频速率 配置 n 射频速率 配置扫描非 dot11h 信道 开启 g 保护 WLAN RRM 显示和维护 i

33 1 WLAN RRM 配置 本文所指的 AP 和 FAT AP 代表了 MSR 900 和 MSR 20-1X 无线款型, 以及安装了 SIC-WLAN 模块 的 MSR 系列路由器 1.1 WLAN RRM 简介 无线信号的传播受周围环境影响, 多径等问题会导致无线信号在不同方向上存在非常复杂的衰减现象, 所以 WLAN 网络的实施往往需要周密的网络规划 即使在成功部署无线网络后, 应用阶段的参数调整仍然必不可少, 这是因为无线环境是在不断变化的, 移动的障碍物 正在工作的微波炉等带来的干扰等都可能对无线信号的传播造成影响, 所以信道 发射功率等射频资源必须能够动态地调整以适应用户环境的变化 这样的调整过程是复杂的, 需要丰富的技术经验和定期的人工检测, 无疑造成非常高的管理成本 无线资源管理 (WLAN RRM,WLAN Radio Resource Management) 是一种可升级的射频管理解决方案, 通过提供一套系统化的实时智能射频管理方案, 使无线网络能够快速适应无线环境变化, 保持最优的射频资源状态 1.2 WLAN RRM 配置任务简介 表 1-1 WLAN RRM 配置任务简介配置任务 说明 详细配置 配置射频速率 可选 1.3 配置扫描非 dot11h 信道 可选 1.4 开启 dot11g 保护 可选 配置射频速率 配置 b/802.11g 射频速率 表 1-2 配置 b/802.11g 射频速率操作 命令 说明 进入系统视图 system-view - 进入 RRM 视图 wlan rrm - 1-1

34 操作命令说明 可选 设置 b 模式下的射频速率 设置 g 模式下的射频速率 dot11b { disabled-rate mandatory-rate supported-rate } rate-value dot11g { disabled-rate mandatory-rate supported-rate } rate-value 缺省情况下, 强制速率 :1,2; 支持速率 :5.5,11; 禁用速率 : 无 可选 缺省情况下, 强制速率 :1,2,5.5,11; 支持速率 :6,9,12,18, 24,36,48,54; 禁用速率 : 无 配置 n 射频速率 n 射频速率的配置通过 MCS(Modulation and Coding Scheme, 调制与编码策略 ) 索引值实现 MCS 调制编码表是 n 协议为表征 WLAN 的通讯速率而提出的一种表示形式 MCS 将所关注的影响通讯速率的因素作为表的列, 将 MCS 索引作为行, 形成一张速率表 所以, 每一个 MCS 索引其实对应了一组参数下的物理传输速率, 表 1-3 和表 1-4 分别列举了带宽为 20MHz 和带宽为 40MHz 的 MCS 速率表 ( 全部速率的描述可参见 IEEE P802.11n D2.00 ) 从表中可以得到结论 :MCS 0~7 使用单条空间流, 当 MCS=7 时, 速率值最大 MCS 8~15 使用两条空间流, 当 MCS=15 时, 速率值最大 表 1-3 MCS 对应速率表 (20MHz) MCS 索引空间流数量调制方式 800ns GI 速率 (Mb/s) 400ns GI 0 1 BPSK QPSK QPSK QAM QAM QAM QAM QAM BPSK QPSK QPSK QAM QAM QAM

35 MCS 索引空间流数量调制方式 800ns GI 速率 (Mb/s) 400ns GI QAM QAM 表 1-4 MCS 对应速率表 (40MHz) MCS 索引空间流数量调制方式 800ns GI 速率 (Mb/s) 400ns GI 0 1 BPSK QPSK QPSK QAM QAM QAM QAM QAM BPSK QPSK QPSK QAM QAM QAM QAM QAM MCS 分为两类 : 基本 MCS 集 支持 MCS 集 基本 MCS 集 : 基本 MCS 是指 AP 正常工作所必须支持的 MCS 速率集, 客户端必须满足 AP 所配置的基本 MCS 速率才能够与 AP 进行关联 支持 MCS 集 : 支持 MCS 速率集是在 AP 的基本 MCS 集的基础上,AP 所能够支持的更高的速率集合, 用户可以配置支持 MCS 速率集让客户端在满足基本 MCS 的前提下选择更高的速率与 AP 进行关联 需要注意的是, 配置 MCS 索引值时, 输入的 MCS 索引值表示的是一个范围, 即指 0~ 配置值, 例如输入 5, 则表示指定了所设置的 MCS 值为 0~5 表 1-5 配置 n 射频速率 操作命令说明 进入系统视图 system-view - 1-3

36 操作命令说明 进入 RRM 视图 wlan rrm - 配置 n 基本 MCS 集的最大 MCS 索引 配置 n 支持 MCS 集的最大 MCS 索引 dot11n mandatory maximum-mcs index dot11n support maximum-mcs index 可选 缺省情况下, 没有配置任何基本 MCS 集 可选缺省情况下, 支持 MCS 集的索引为 76 如果用户在指定 Radio 接口下配置使能了 client dot11n-only 命令, 则必须配置基本 MCS 集 MSR 系列路由器各款型对于 n 特性的支持情况有所不同, 详细差异信息如下 : 特性 MSR 900 MSR 20-1X MSR 20 MSR 30 MSR n No 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 支持 n 的 SIC-WLAN 模块支持 1.4 配置扫描非 dot11h 信道 表 1-6 配置扫描非 dot11h 信道操作 命令 说明 进入系统视图 system-view - 进入 RRM 视图 wlan rrm - 配置扫描非 h 信道 autochannel-set avoid-dot11h 可选缺省情况下, 扫描国家码支持的所有信道 1.5 开启 g 保护 当网络中同时接入了 b 和 g 的用户, 由于调制方式不同, 这两种用户很容易产生冲突, 导致网络速率严重下降 为了保证 b 用户和 g 用户能够同时正常工作, 可启动 g 保护机制, 使运行 g 的设备发送 RTS/CTS 或 CTS-to-self 来避免和 b 设备发生冲突, 确保 b 和 g 用户可以同时工作 以下两种情况会使运行 g 的 AP 执行 g 保护功能 b 的无线客户端和运行 g 的 AP 相关联 ; 运行 g 的 AP 探测到周边同一信道内的运行 b 的 AP 或无线客户端 1-4

37 在第一种情况下, 无论是否使用命令行开启 g 保护功能,802.11g 保护功能都是运行的 ; 在第二种情况下, 只有通过命令 dot11g protection enable 开启了 g 保护功能后,802.11g 保护功能才会生效 表 1-7 开启 g 保护 操作命令说明 进入系统视图 system-view - 进入 RRM 视图 wlan rrm - 开启 g 保护功能 dot11g protection enable 可选 缺省情况下,802.11g 保护功能处于关闭状态 开启 g 保护功能会降低网络性能 1.6 WLAN RRM 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 RRM 的运行情况, 通过查看显示信息验证配置的效果 表 1-8 WLAN RRM 显示与维护 操作 命令 查看 WLAN RRM 配置 display wlan rrm [ { begin exclude include } regular-expression ] 1-5

38 目录 1 WLAN 安全配置 WLAN 安全概述 链路认证方式 WLAN 服务的数据安全 用户接入认证 协议和标准 配置 WLAN 安全特性 使能认证方式 配置 PTK 生存时间 配置 GTK 密钥更新方法 配置安全信息元素 配置加密套件 配置端口安全 WLAN 安全显示和维护 WLAN 安全典型配置举例 PSK 认证典型配置举例 MAC-and-PSK 认证典型配置举例 x 认证典型配置举例 密码组合方式 i

39 1 WLAN 安全配置 本文所指的 AP 和 FAT AP 代表了 MSR 900 和 MSR 20-1X 无线款型, 以及安装了 SIC-WLAN 模块 的 MSR 系列路由器 1.1 WLAN 安全概述 协议提供的无线安全性能可以很好地抵御一般性网络攻击, 但是仍有少数黑客能够入侵无线网络, 从而无法充分保护包含敏感数据的网络 为了更好的防止未授权用户接入网络, 需要实施一种性能高于 的高级安全机制 链路认证方式 为了保证无线链路的安全, 无线设备需要完成对无线客户端的认证, 只有通过认证后才能进入后续的关联阶段 链路定义了两种认证机制 : 开放系统认证和共享密钥认证 1. 开放系统认证 (Open system authentication) 开放系统认证是缺省使用的认证机制, 也是最简单的认证算法, 即不认证 如果认证类型设置为开放系统认证, 则所有请求认证的无线客户端都会通过认证 开放系统认证包括两个步骤 : 第一步是无线客户端发起认证请求, 第二步 AP 确定无线客户端可以通过无线链路认证, 并向无线客户端回应认证结果为 成功 图 1-1 开放系统认证过程 Client AP Authentication request Authentication response 2. 共享密钥认证 (Shared key authentication) 共享密钥认证是除开放系统认证以外的另外一种链路认证机制 共享密钥认证需要无线客户端和 AP 配置相同的共享密钥 共享密钥认证的认证过程为 : (1) 客户端先向设备发送认证请求 ; (2) AP 会随机产生一个 Challenge 包 ( 即一个字符串 ) 发送给无线客户端 ; (3) 无线客户端会将接收到的 Challenge 加密后再发送给 AP; 1-1

40 (4) 无线设备端接收到该消息后, 对该消息解密, 然后对解密后的字符串和原始字符串进行比较 如果相同, 则说明无线客户端通过了 Shared Key 链路认证 ; 否则 Shared Key 链路认证失败 图 1-2 共享密钥认证过程 Client AP Authentication Request Authentication Response(Challenge) Authentication(Encrypted Challenge) Authentication Response(Success) WLAN 服务的数据安全 相对于有线网络,WLAN 存在着与生俱来的数据安全问题 在一个区域内的所有的 WLAN 设备共享一个传输媒介, 任何一台设备可以接收到其它所有设备的数据, 这个特性直接威胁到 WLAN 接入数据的安全 协议也在致力于解决 WLAN 的安全问题, 主要的方法为对数据报文进行加密, 保证只有特定的设备可以对接收到的报文成功解密 其它的设备虽然可以接收到数据报文, 但是由于没有对应的密钥, 无法对数据报文解密, 从而实现了 WLAN 数据的安全性保护 目前支持四种安全服务 (1) 明文数据该种服务本质上为无安全保护的 WLAN 服务, 所有的数据报文都没有通过加密处理 (2) WEP 加密 WEP(Wired Equivalent Privacy, 有线等效加密 ) 用来保护无线局域网中的授权用户所交换的数据的机密性, 防止这些数据被随机窃听 WEP 使用 RC4 加密算法 ( 一种流加密算法 ) 实现数据报文的加密保护, 在一定程度上提供了安全性和保密性, 增加了网络侦听, 会话截获等的攻击难度 根据使用的密钥长度,WEP 包括 WEP40 WEP104 和 WEP128 密钥长度的增加在一定程度上提高了 WEP 加密的安全性, 但是受到 RC4 加密算法 过短的初始向量等限制,WEP 加密还是存在比较大的安全隐患 (3) TKIP 加密虽然 TKIP 加密机制和 WEP 加密机制都是使用 RC4 算法, 但是相比 WEP 加密机制,TKIP 加密机制可以为 WLAN 提供更加安全的保护 首先,TKIP 通过增长了算法的 IV( 初始化向量 ) 长度提高了加密的安全性 相比 WEP 算法,TKIP 直接使用 128 位密钥的 RC4 加密算法, 而且将初始化向量的长度由 24 位加长到 48 位 ; 其次, 虽然 TKIP 采用的还是和 WEP 一样的 RC4 加密算法, 但其动态密钥的特性很难被攻破, 并且 TKIP 支持密钥更新机制, 能够及时提供新的加密密钥, 防止由于密钥重用带来的安全隐患 ; 另外,TKIP 还支持了 MIC 认证 (Message Integrity Check, 信息完整性校验 ) 和 Countermeasure 功能 当 TKIP 报文发生 MIC 错误时, 数据可能已经被篡改, 也就是无线网络很可能正在受到攻击 当在一段时间内连续接收到两个 MIC 错误的报文,AP 将会启动 Countermeasure 功能, 此时,AP 将通过静默一段时间不提供服务, 实现对无线网络的攻击防御 1-2

41 (4) CCMP 加密 CCMP(Counter mode with CBC-MAC Protocol,[ 计数器模式 ] 搭配 [ 区块密码锁链 - 信息真实性检查码 ] 协议 ) 加密机制是基于 AES(Advanced Encryption Standard, 高级加密标准 ) 加密算法的 CCM(Counter-Mode/CBC-MAC, 区块密码锁链 - 信息真实性检查码 ) 方法 CCM 结合 CTR (Counter mode, 计数器模式 ) 进行机密性校验, 同时结合 CBC-MAC( 区块密码锁链 - 信息真实性检查码 ) 进行认证和完整性校验 CCMP 中的 AES 块加密算法使用 128 位的密钥和 128 位的块大小 同样 CCMP 包含了一套动态密钥协商和管理方法, 每一个无线用户都会动态的协商一套密钥, 而且密钥可以定时进行更新, 进一步提供了 CCMP 加密机制的安全性 在加密处理过程中,CCMP 也会使用 48 位的 PN(Packet Number) 机制, 保证每一个加密报文都会是用不同的 PN, 在一定程度上提高安全性 用户接入认证 (1) PSK 认证 PSK(Preshared Key, 预共享密钥 ) 认证需要实现在无线客户端和设备端配置相同的预共享密钥, 如果密钥相同, PSK 接入认证成功 ; 如果密钥不同,PSK 接入认证失败 (2) 802.1X 认证 802.1X 协议是一种基于端口的网络接入控制协议 (port based network access control protocol) 基于端口的网络接入控制 是指在 WLAN 接入设备的端口这一级对所接入的用户设备进行认证和控制 连接在端口上的用户设备如果能通过认证, 就可以访问 WLAN 中的资源 ; 如果不能通过认证, 则无法访问 WLAN 中的资源 (3) MAC 地址认证 MAC 地址认证是一种基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法, 它不需要用户安装任何客户端软件 设备在首次检测到用户的 MAC 地址以后, 即启动对该用户的认证操作 认证过程中, 也不需要用户手动输入用户名或者密码 在 WLAN 网络应用中,MAC 认证需要预先获知可以访问无线网络的终端设备 MAC 地址, 所以一般适用于用户比较固定的 小型的无线网络, 例如家庭 小型办公室等环境 MAC 地址认证分为以下两种方式 : 本地 MAC 地址认证 当选用本地认证方式进行 MAC 地址认证时, 直接在设备上完成对用户的认证, 此时需要在设备上配置本地用户名和密码 通常情况下, 可以采用 MAC 地址作为用户名, 需要事先获知无线接入用户的 MAC 地址并配置为本地用户名 无线用户接入网络时, 只有 MAC 地址存在的用户可以通过认证, 其他用户将被拒绝接入 通过 RADIUS 服务器进行 MAC 地址认证 当选用 RADIUS 服务器认证方式进行 MAC 地址认证时, 设备作为 RADIUS 客户端, 与 RADIUS 服务器配合完成 MAC 地址认证操作 在 RADIUS 服务器完成对该用户的认证后, 认证通过的用户可以访问无线网络以及获得相应的授权信息 采用 RADIUS 服务器进行 MAC 地址认证时, 可以通过在各无线服务下分别指定各自的 domain 域, 将不同 SSID 的 MAC 地址认证用户信息发送到不同的远端 RADIUS 服务器 接入认证的相关内容请参加 安全配置指导 中的 802.1X 和 MAC 地址认证 1-3

42 1.1.4 协议和标准 IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements WI-FI Protected Access Enhanced Security Implementation Based On IEEE P802.11i Standard-Aug 2004 Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements , 1999 IEEE Standard for Local and metropolitan area networks Port-Based Network Access Control 802.1X i IEEE Standard for Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements 1.2 配置 WLAN 安全特性 在服务模板上配置 WLAN 安全属性, 将服务模板映射到 WLAN 射频, 并在服务模板中配置 SSID 名 通告设置 ( 信标发送 ) 及加密设置 表 1-1 WLAN 安全属性配置任务 配置任务说明详细配置 使能认证方式必选 配置 PTK 生存时间必选 配置 GTK 密钥更新方法必选 配置安全信息元素必选 配置加密套件必选 配置端口安全必选 使能认证方式 开放系统方式和共享密钥方式可以单独使用, 也可以同时使用 表 1-2 使能认证方式配置命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 wlan service-template service-template-number crypto - 1-4

43 配置命令说明 使能认证方式 authentication-method { open-system shared-key } 可选 缺省情况下, 使用 open-system 认证方式 需要注意的是 : 只有在使用 WEP 加密时才可选用 shared-key 认证机制, 此时必须配置命令 authentication-method shared-key 对于 RSN 和 WPA, 必须使用 open-system 方式 配置 PTK 生存时间 PTK 密钥通过四次握手方式生成, 需要用到如下属性 :PMK(Pairwise Master Key, 成对主密钥 ), AP 随机值 (ANonce), 站点随机值 (SNonce),AP 的 MAC 地址和客户端的 MAC 地址 用户可以通过下面的操作来设置 PTK 的生存时间 表 1-3 配置 PTK 生存时间 配置命令说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 设置 PTK 生存时间 wlan service-template service-template-number crypto ptk-lifetime time - 可选 缺省情况下,PTK 生存时间为 秒 配置 GTK 密钥更新方法 GTK(Group Temporal Key, 群组临时密钥 ) 由 FAT AP 生成, 在 AP 和无线客户端认证处理的过程中通过组密钥握手或者四次握手的方式发送到无线客户端 无线客户端使用 GTK 来解密组播和广播报文 RSN(Robust Security Network, 健壮安全网络 ) 可以通过四次握手或者组密钥握手方式来协商 GTK, 而 WPA(Wi-Fi Protected Access,Wi-Fi 保护访问 ) 只使用组密钥握手方式来协商 GTK 用户可以使能基于时间或基于数据包的 GTK 密钥更新方法 前者在指定时间间隔后更新 GTK, 后者在发送了指定数目的广播数据包后更新 GTK 用户也可以配置当无线客户端离线时更新 GTK 1. 配置基于时间的密钥更新方法 表 1-4 配置基于时间的更新方法 配置命令说明 进入系统视图 system-view - 1-5

44 配置命令说明 进入 WLAN 服务模板视图 开启 GTK 更新功能 配置基于时间的 GTK 密钥更新方法 配置当有无线客户端离线时更新 GTK wlan service-template service-template-number crypto gtk-rekey enable gtk-rekey method time-based time gtk-rekey client-offline enable - 必选 缺省情况下,GTK 更新功能处于开启状态 必选 缺省情况下, 密钥更新时间间隔为 秒 可选 缺省情况下, 当有无线客户端离线时, 不更新 GTK 只有执行了 gtk-rekey enable 命令, 此功能才有效 2. 配置基于数据包的密钥更新方法表 1-5 配置基于数据包的密钥更新方法配置 命令 说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 开启 GTK 更新功能 配置基于数据包的 GTK 更新方法 配置当有无线客户端离线时更新 GTK 密钥 wlan service-template service-template-number crypto gtk-rekey enable gtk-rekey method packet-based [ packet ] gtk-rekey client-offline enable - 必选 缺省情况下, 启动 GTK 更新功能 必选 缺省情况下, 在发送了 个数据包后更新 GTK 密钥 可选缺省情况下, 当有无线客户端离线时, 不更新 GTK 只有执行了 gtk-rekey enable 命令, 此功能才有效 缺省情况下,GTK 更新采用基于时间的更新方法, 时间间隔为 秒 配置 GTK 密钥更新方法时, 新配置的方法会覆盖前一次的配置 例如, 如果先配置了基于数据包的方法, 然后又配置了基于时间的方法, 则最后生效的是基于时间的方法 1-6

45 1.2.4 配置安全信息元素 安全信息元素的配置包括 WPA 和 RSN 的配置, 以上两种方式都必须启用开放系统认证 1. 配置 WPA WPA 是一种比 WEP 性能更强的无线安全方案 WPA 工作在 WPA-PSK 模式 ( 又称 Personal 模式 ) 或者 WPA-802.1X 模式 ( 又称 WPA-Enterprise 模式 ) 下 PSK 模式下使用预共享密钥或者口令进行认证, 而企业模式使用 802.1X RADIUS 服务器和 EAP(Extensible Authentication Protocol, 可扩展认证协议 ) 进行认证 表 1-6 配置 WPA 信息元素 操作命令说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 配置信标和探测帧携带 WPA IE 信息 wlan service-template service-template-number crypto security-ie wpa - 必选 缺省情况下, 信标和探测响应帧不携带 WPA IE 2. 配置 RSN RSN 是一种仅允许建立 RSNA(Robust Security Network Association, 健壮安全网络连接 ) 的安全网络, 提供比 WEP 和 WPA 更强的安全性 RSN 通过信标帧的 RSN IE(Information Element, 信息元素 ) 中的指示来标识 表 1-7 配置 RSN 信息元素 操作命令说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 配置信标和探测帧携带 RSN IE 信息 wlan service-template service-template-number crypto security-ie rsn - 必选 缺省情况下, 信标和探测响应帧不携带 RSN IE 配置加密套件 加密套件通常用于数据封装和解封装 加密套件使用如下加密方法 : WEP40/WEP104/WEP128 TKIP CCMP 1. 配置 WEP WEP 加密机制需要 WLAN 设备端以及所有接入到该 WLAN 网络的客户端配置相同的密钥 WEP 加密机制采用 RC4 算法 ( 一种流加密算法 ), 支持 WEP40 WEP104 和 WEP128 三种密钥长度 WEP 加密方式可以分别和 open-system shared-key 认证方式配合使用 1-7

46 采用 open-system: 此时 WEP 密钥只做加密, 即使密钥配的不一致, 用户也是可以上线, 但上线后传输的数据会因为密钥不一致被接收端丢弃 采用 shared-key: 此时 WEP 密钥做认证和加密, 如果密钥不一致, 客户端无法上线 表 1-8 配置 WEP 加密操作命令说明进入系统视图 system-view - 进入 WLAN 服务模板视图 使能加密套件 配置 WEP 缺省密钥 wlan service-template service-template-number crypto cipher-suite { wep40 wep104 wep128 } wep default-key { } { wep40 wep104 wep128 } { pass-phrase raw-key } [ cipher simple ] key - 必选 必选 缺省情况下,WEP 缺省密钥索引值为 1 配置密钥索引号 wep key-id { } 可选 缺省情况下, 密钥索引号为 1 2. 配置 TKIP 表 1-9 配置 TKIP 操作 命令 说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 使能 TKIP 加密套件 配置 TKIP 反制策略实施的时间 wlan service-template service-template-number crypto cipher-suite tkip tkip-cm-time time - 必选 缺省情况下, 没有使能任何加密套件 可选缺省情况下,TKIP 反制策略实施的时间为 0 秒, 即不启动反制策略 MIC(Message Integrity Check, 信息完整性校验 ) 是为了防止黑客的篡改而定制的, 它采用 Michael 算法, 具有很高的安全特性 当 MIC 发生错误的时候, 数据很可能已经被篡改, 系统很可能正在受到攻击 此时,TKIP 可以通过启动反制策略, 来阻止黑客的攻击 3. 配置 CCMP CCMP 加密机制采用了更安全的对称加密算法 AES 1-8

47 表 1-10 配置 CCMP 操作命令说明 进入系统视图 system-view - 进入 WLAN 服务模板视图 使能 CCMP 加密套件 wlan service-template service-template-number crypto cipher-suite ccmp - 必选 缺省情况下, 没有使能任何加密套件 配置端口安全 认证类型可以配置的方式举例如下几种 : PSK 802.1x MAC PSK 和 MAC 端口安全定义了各种端口安全模式, 本手册只列出几种比较常见的端口安全模式, 其它 802.1X 和 MAC 地址认证的扩展和组合应用请参见 安全配置指导 中的 端口安全 1. 配置准备 在配置端口安全之前, 完成以下任务 : (1) 创建无线端口 (2) 使能端口安全 2. 配置端口安全 (1) PSK 认证 表 1-11 配置 PSK 认证操作 命令 说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 使能密钥协商功能 配置预共享密钥 port-security tx-key-type 11key port-security preshared-key { pass-phrase raw-key } [ cipher simple ] key 必选缺省情况下, 没有使能 11key 协商功能 必选 缺省情况下, 没有配置预共享密钥 配置 PSK 端口安全模式 port-security port-mode psk 必选 1-9

48 (2) 802.1X 认证 表 1-12 配置 802.1X 认证操作 命令 说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 使能密钥协商功能 配置 802.1X 端口安全模式 port-security tx-key-type 11key port-security port-mode userlogin-secure-ext port-security port-mode userlogin-secure 必选缺省情况下, 没有使能 11key 协商功能 必选 (3) MAC 认证 表 1-13 配置 MAC 认证 操作命令说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 配置 MAC 端口安全模式 port-security port-mode mac-authentication 必选 i 的相关配置不支持 MAC 认证模式 (4) PSK 和 MAC 认证 表 1-14 配置 PSK 和 MAC 认证操作 命令 说明 进入系统视图 system-view - 进入 WLAN-BSS 接口视图 interface wlan-bss interface-number 必选 使能密钥协商功能 配置 PSK 和 MAC 端口安全模式 port-security tx-key-type 11key port-security port-mode mac-and-psk 必选缺省情况下, 没有使能 11key 协商功能 必选 1-10

49 操作命令说明 必选 配置 PSK 的预共享密钥 port-security preshared-key { pass-phrase raw-key } key 如果密钥类型为字符串, 长度应为 8~63 个字符 ; 如果密钥类型为十六进制数, 密钥应为 64 位 ( 由数字 0~9, 字母 a~f 组成 ) 十六进制数 端口安全相关命令请参见 安全命令参考 中的 端口安全 WLAN 安全显示和维护 完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 WLAN 安全的运行情况, 通过查看显示信息验证配置的效果 表 1-15 配置 WLAN 安全显示和维护 操作 查看指定的服务模板的信息 命令 display wlan service-template [ service-template-number ] 显示全局或指定端口的 MAC 地址认证信息 display mac-authentication [ interface interface-list ] 显示安全 MAC 地址信息 显示端口安全的 PSK 用户信息 display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] display port-security preshared-key user [ interface interface-type interface-number ] 显示端口安全的配置信息 运行情况和统计信息 display port-security [ interface interface-list ] 显示 802.1X 的会话连接信息 相关统计信息或配置信息 display dot1x [ sessions statistics ] [ interface interface-list ] 在配置 WLAN 安全时可以根据具体选择的认证方式, 使用相关的显示信息查看运行后的 WLAN 安全状态, 具体命令请参见 安全命令参考 中的 端口安全 802.1X 和 MAC 地址认证 1-11

50 1.3 WLAN 安全典型配置举例 PSK 认证典型配置举例 1. 组网需求 FAT AP 与二层交换机建立连接 客户端的 PSK 密钥是 FAT AP 配置的密钥与客户端相同 2. 组网图 图 1-3 PSK 配置组网图 LAN Segment 3. 配置步骤 (1) 配置 FAT AP # 使能端口安全功能 <Sysname> system-view [Sysname] port-security enable # 在 WLAN BSS 接口下配置端口安全为 psk 认证方式 ( 预共享密钥为 ), 配置 11key 类型的密钥协商功能 [Sysname] interface wlan-bss 1 [Sysname-WLAN-BSS1] port-security port-mode psk [Sysname-WLAN-BSS1] port-security preshared-key pass-phrase [Sysname-WLAN-BSS1] port-security tx-key-type 11key [Sysname-WLAN-BSS1] quit # 配置服务模板为 crypto 类型,SSID 为 psktest, 配置认证方式为开放系统认证, 并使能服务模板 [Sysname] wlan service-template 1 crypto [Sysname-wlan-st-1] ssid psktest [Sysname-wlan-st-1] security-ie rsn [Sysname-wlan-st-1] cipher-suite ccmp [Sysname-wlan-st-1] authentication-method open-system [Sysname-wlan-st-1] service-template enable [Sysname-wlan-st-1] quit # 将 WLAN-BSS 接口与服务模板绑定 [Sysname] interface wlan-radio 2/0 [Sysname-WLAN-Radio2/0] radio-type dot11g [Sysname-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 验证结果客户端配置相同的 PSK 预共享密钥 客户端可以成功关联 AP, 并且可以访问无线网络 可以使用 display wlan client 和 display port-security preshared-key user 命令查看上线的客户端 1-12

51 1.3.2 MAC-and-PSK 认证典型配置举例 1. 组网需求 FAT AP 和 RADIUS 服务器通过二层交换机建立连接 FAT AP 的 IP 地址为 , RADIUS 服务器的 IP 地址为 要求客户端使用 MAC-and-PSK 认证方式接入网络 2. 组网图图 1-4 MAC-and-PSK 认证配置组网图 3. 配置步骤 (1) 配置 FAT AP # 使能端口安全功能 <Sysname> system-view [Sysname] port-security enable # 在 WLAN BSS 接口下配置端口安全为 mac-and-psk 认证方式 ( 预共享密钥为 ), 配置 11key 类型的密钥协商功能 [Sysname] interface wlan-bss 1 [Sysname-WLAN-BSS1] port-security port-mode mac-and-psk [Sysname-WLAN-BSS1] port-security preshared-key pass-phrase [Sysname-WLAN-BSS1] port-security tx-key-type 11key [Sysname-WLAN-BSS1] quit # 配置服务模板为 crypto 类型,SSID 为 mactest [Sysname] wlan service-template 1 crypto [Sysname-wlan-st-1] ssid mactest # 配置信标和探测响应帧携带 RSN IE, 同时在帧加密时使用加密套件 [Sysname-wlan-st-1] security-ie rsn [Sysname-wlan-st-1] cipher-suite ccmp # 配置认证方式为开放系统认证, 并使能服务模板 [Sysname-wlan-st-1] authentication-method open-system [Sysname-wlan-st-1] service-template enable [Sysname-wlan-st-1] quit # 配置 RADIUS 方案 rad 的主认证 / 计费服务器的 IP 地址为 , 认证 / 授权 / 计费的共享密钥为 , 服务器类型为 extended, 发送给 RADIUS 服务器的用户名格式为不带 ISP 域名 [Sysname] radius scheme rad [Sysname-radius-rad] primary authentication

52 [Sysname-radius-rad] primary accounting # 配置系统与认证 RADIUS 服务器交互报文时的共享密钥为 , 系统与计费 RADIUS 服务器交互报文时的共享密钥为 [Sysname-radius-rad] key authentication [Sysname-radius-rad] key accounting [Sysname-radius-rad] server-type extended [Sysname-radius-rad] user-name-format without-domain [Sysname-radius-rad] quit # 添加认证域 cams, 并为该域指定对应的 RADIUS 认证方案为 rad [Sysname] domain cams [Sysname-isp-cams] authentication lan-access radius-scheme rad [Sysname-isp-cams] authorization lan-access radius-scheme rad [Sysname-isp-cams] accounting lan-access radius-scheme rad [Sysname-isp-cams] quit # 指定 MAC 认证域为 cams [Sysname] mac-authentication domain cams # 配置 MAC 地址认证用户名格式 使用不带连字符的 MAC 地址作为用户名与密码 ( 注意要和服务器上使用的形式保持一致 ) [Sysname] mac-authentication user-name-format mac-address without-hyphen # 将 WLAN-BSS 接口与服务模板绑定 [Sysname] interface wlan-radio2/0 [Sysname-WLAN-Radio2/0] radio-type dot11g [Sysname-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 配置 RADIUS server(cams) # 增加接入设备 登录进入 CAMS 管理平台, 点击左侧菜单树中 [ 系统管理 ]->[ 系统配置 ] 的 接入设备配置 -> 修改 -> 增加 后, 进入接入设备配置页面 添加 AC 的 IP 地址 ; 设置共享密钥为 ; 选择协议类型为 LAN 接入业务 ; 设置验证及计费的端口号分别为 1812 和 1813; 选择 RADIUS 协议类型为扩展协议 ; 选择 RADIUS 报文类型为标准报文 1-14

53 图 1-5 接入设备配置页面 # 增加服务配置 点击左侧菜单树中 [ 服务管理 ]->[ 服务配置 ], 在服务配置列表中, 选择 增加, 添加服务名, 在计费策略中选中配置好的计费策略 ( 计费策略配置方法, 此处略 ), 这里选择不计费 图 1-6 服务配置页面 # 增加用户配置 点击左侧菜单树中 [ 用户管理 ]->[ 帐号用户 ] 的 增加 后输入用户名和密码 此处需要注意将刚才配置的服务选上 1-15

54 图 1-7 用户配置页面 (3) 配置 RADIUS server(imc V3) 下面以 imc 为例 ( 使用 imc 版本为 :imc PLAT 3.20-R2602 imc UAM 3.60-E6102), 说明 RADIUS server 的基本配置 # 增加接入设备 登录进入 imc 管理平台, 选择 业务 页签, 单击导航树中的 [ 接入业务 / 接入设备配置 ] 菜单项, 进入接入设备配置页面, 在该页面中单击 增加 按钮, 进入增加接入设备页面 设置认证 计费共享密钥为 ; 设置认证及计费的端口号分别为 1812 和 1813; 选择协议类型为 LAN 接入业务 ; 选择接入设备类型为 H3C; 选择或手工增加接入设备, 添加 IP 地址为 的接入设备 1-16

55 图 1-8 增加接入设备 # 增加服务配置 选择 业务 页签, 单击导航树中的 [ 接入业务 / 服务配置管理 ] 菜单项, 进入增加服务配置页面, 在该页面中单击 增加 按钮, 进入增加接入设备页面 设置服务名为 mac, 其他保持缺省配置 图 1-9 增加服务配置页面 # 增加接入用户 选择 用户 页签, 单击导航树中的 [ 接入用户视图 / 所有接入用户 ] 菜单项, 进入用户页面, 在该页面中单击 < 增加 > 按钮, 进入增加接入用户页面 添加用户名 ; 添加帐号名和密码为 00146c8a43ff; 勾选刚才配置的服务 mac 1-17

56 图 1-10 增加接入用户 (4) 配置 RADIUS server(imc V5) 下面以 imc 为例 ( 使用 imc 版本为 :imc PLAT 5.0 imc UAM 5.0), 说明 RADIUS server 的基本配置 # 增加接入设备 登录进入 imc 管理平台, 选择 业务 页签, 单击导航树中的 [ 接入业务 / 接入设备配置 ] 菜单项, 进入接入设备配置页面, 在该页面中单击 增加 按钮, 进入增加接入设备页面 设置认证 计费共享密钥为 , 其它保持缺省配置 ; 选择或手工增加接入设备, 添加 IP 地址为 的接入设备 1-18

57 图 1-11 增加接入设备 # 增加服务配置 选择 业务 页签, 单击导航树中的 [ 接入业务 / 服务配置管理 ] 菜单项, 进入增加服务配置页面, 在该页面中单击 < 增加 > 按钮, 进入增加接入设备页面 设置服务名为 mac, 其它保持缺省配置 图 1-12 增加服务配置页面 # 增加接入用户 选择 用户 页签, 单击导航树中的 [ 接入用户视图 / 所有接入用户 ] 菜单项, 进入用户页面, 在该页面中单击 < 增加 > 按钮, 进入增加接入用户页面 添加用户 00146c8a43ff; 添加帐号名和密码为 00146c8a43ff; 勾选刚才配置的服务 mac 1-19

58 图 1-13 增加接入用户 (5) 验证结果客户端可以通过认证, 并且可以访问无线网络 可以使用 display wlan client display connection 和 display mac-authentication 命令查看上线的客户端 x 认证典型配置举例 1. 组网需求 FAT AP 和 RADIUS 服务器通过二层交换机建立连接 FAT AP 的 IP 地址为 , RADIUS 服务器的 IP 地址为 要求使用 802.1x 认证方式对客户端进行身份认证 1-20

59 2. 组网图 图 x 典型配置组网图 3. 配置步骤 (1) 配置 FAT AP # 使能端口安全功能, 并设置 802.1X 用户的认证方式为 eap <Sysname> system-view [Sysname] port-security enable [Sysname] dot1x authentication-method eap # 配置 RADIUS 方案 rad 的主认证 / 计费服务器的 IP 地址为 , 认证 / 授权 / 计费的共享密钥为 , 发送给 RADIUS 服务器的用户名格式为不带 ISP 域名 [Sysname] radius scheme rad [Sysname-radius-rad] primary authentication [Sysname-radius-rad] primary accounting # 配置系统与认证 RADIUS 服务器交互报文时的共享密钥为 , 系统与计费 RADIUS 服务器交互报文时的共享密钥为 [Sysname-radius-rad] key authentication [Sysname-radius-rad] key accounting [Sysname-radius-rad] user-name-format without-domain [Sysname-radius-rad] quit # 添加认证域 cams, 并为该域指定对应的 RADIUS 认证方案为 rad [Sysname] domain cams [Sysname-isp-cams] authentication lan-access radius-scheme rad [Sysname-isp-cams] authorization lan-access radius-scheme rad [Sysname-isp-cams] accounting lan-access radius-scheme rad [Sysname-isp-cams] quit # 设置 cams 为系统缺省的 ISP 域 [Sysname] domain default enable cams # 在 WLAN-BSS 接口下配置端口模式为 userlogin-secure-ext, 配置 11key 类型的密钥协商功能 [Sysname] interface wlan-bss 1 [Sysname-WLAN-BSS1] port-security port-mode userlogin-secure-ext [Sysname-WLAN-BSS1] port-security tx-key-type 11key # 关闭 802.1x 多播触发功能和在线用户握手功能 [Sysname-WLAN-BSS1] undo dot1x multicast-trigger [Sysname-WLAN-BSS1] undo dot1x handshake 1-21

60 [Sysname-WLAN-BSS1] quit # 创建服务模板 1( 加密类型服务模板 ), 配置 SSID 为 dot1x [Sysname] wlan service-template 1 crypto [Sysname-wlan-st-1] ssid dot1x # 配置认证方式为开放系统认证, 配置信标和探测响应帧携带 RSN IE, 同时在帧加密时使用加密套件 [Sysname-wlan-st-1] authentication-method open-system [Sysname-wlan-st-1] cipher-suite ccmp [Sysname-wlan-st-1] security-ie rsn [Sysname-wlan-st-1] service-template enable [Sysname-wlan-st-1] quit # 将 WLAN-BSS 接口与服务模板绑定 [Sysname] interface wlan-radio2/0 [Sysname-WLAN-Radio2/0] radio-type dot11g [Sysname-WLAN-Radio2/0] service-template 1 interface wlan-bss 1 (2) 配置 RADIUS server(cams) 请参考 (2) 配置 RADIUS server(cams) 部分 (3) 配置 RADIUS server(imc V3) 请参考 (3) 配置 RADIUS server(imc) 部分 (4) 配置 RADIUS server(imc V5) 请参考 (4) 配置 RADIUS server(imc V5) 部分 (5) 配置无线网卡选择无线网卡, 在验证对话框中, 选择 EAP 类型为 PEAP, 点击 属性, 去掉验证服务器证书选项 ( 此处不验证服务器证书 ), 点击 配置, 去掉自动使用 windows 登录名和密码选项 然后 确定 整个过程如下图所示 1-22

61 图 1-15 无线网卡配置过程 图 1-16 无线网卡配置过程 1-23

62 图 1-17 无线网卡配置过程 1-24

63 (6) 验证结果客户端通过 802.1x 认证, 并且可以访问无线网络 可以使用 display wlan client display connection 和 display dot1x 命令查看上线的客户端 1.4 密码组合方式 本节内容包括了加密套件配置中使用到的所有组合方式 1. RSN 对于 RSN, 无线安全支持 CCMP 和 TKIP 作为成对密钥, 而 WEP 只用作组加密套件 下面是无线安全支持的 RSN 的加密套件组合方式 (WEP40 WEP104 和 WEP128 不能同时存在 ) 表 1-16 RSN 的加密套件组合方式 单播密钥广播密钥认证方式安全类型 CCMP WEP40 PSK RSN CCMP WEP104 PSK RSN CCMP WEP128 PSK RSN CCMP TKIP PSK RSN CCMP CCMP PSK RSN TKIP WEP40 PSK RSN 1-25

64 单播密钥 广播密钥 认证方式 安全类型 TKIP WEP104 PSK RSN TKIP WEP128 PSK RSN TKIP TKIP PSK RSN CCMP WEP x RSN CCMP WEP x RSN CCMP WEP x RSN CCMP TKIP 802.1x RSN CCMP CCMP 802.1x RSN TKIP WEP x RSN TKIP WEP x RSN TKIP WEP x RSN TKIP TKIP 802.1x RSN 2. WPA 对于 WPA, 无线安全支持 CCMP 和 TKIP 作为成对密钥, 而 WEP 只用作组加密套件 下面是无线安全支持的 WPA 的加密套件组合方式 (WEP40 WEP104 和 WEP128 不能同时存在 ) 表 1-17 WPA 的加密套件组合方式 单播密钥广播密钥认证方式安全类型 CCMP WEP40 PSK WPA CCMP WEP104 PSK WPA CCMP WEP128 PSK WPA CCMP TKIP PSK WPA CCMP CCMP PSK WPA TKIP WEP40 PSK WPA TKIP WEP104 PSK WPA TKIP WEP128 PSK WPA TKIP TKIP PSK WPA CCMP WEP x WPA CCMP WEP x WPA CCMP WEP x WPA CCMP TKIP 802.1x WPA CCMP CCMP 802.1x WPA TKIP WEP x WPA TKIP WEP x WPA TKIP WEP x WPA 1-26

65 单播密钥广播密钥认证方式安全类型 TKIP TKIP 802.1x WPA 3. Pre RSN 对于 Pre RSN 无线客户端, 无线安全仅支持 WEP 加密套件 (WEP40 WEP104 和 WEP128 不能同时存在 ) 表 1-18 Pre RSN 的加密套件组合方式 单播密钥广播密钥认证方式安全类型 WEP40 WEP40 Open system no Sec Type WEP104 WEP104 Open system no Sec Type WEP128 WEP128 Open system no Sec Type WEP40 WEP40 Shared key no Sec Type WEP104 WEP104 Shared key no Sec Type WEP128 WEP128 Shared key no Sec Type 1-27

66 目录 1 WLAN IDS 配置 WLAN IDS 功能简介 常用术语 检测 IDS 攻击 WLAN IDS 配置任务简介 配置检测 IDS 攻击 配置检测 IDS 攻击 IDS 攻击检测显示和维护 WIDS-Frame Filtering WIDS-Frame Filtering 简介 黑白名单列表 黑白名单的处理过程 配置 WIDS-Frame Filtering 配置静态列表 配置动态黑名单 WIDS-Frame Filtering 显示和维护 WIDS Frame Filtering 配置举例 i

67 1 WLAN IDS 配置 本文所指的 AP 和 FAT AP 代表了 MSR 900 和 MSR 20-1X 无线款型, 以及安装了 SIC-WLAN 模块 的 MSR 系列路由器 1.1 WLAN IDS 功能简介 网络很容易受到各种网络威胁的影响, 如未经授权的 AP 用户 Ad-hoc 网络 拒绝服务型攻击等 Rogue 设备对于企业网络安全来说是一个很严重的威胁 WIDS(Wireless Intrusion Detection System) 用于对有恶意的用户攻击和入侵无线网络进行早期检测 WIPS(Wireless Intrusion Prevention System) 可以保护企业网络和用户不被无线网络上未经授权的设备访问 Rogue 设备检测功能是 WIDS/WIPS 功能的一部分, 它用于检测 WLAN 网络中的 Rogue 设备, 并对它们采取反制措施, 以阻止其工作 常用术语 Wireless Intrusion Detection System (WIDS):WIDS 用于放置到已有的无线网络中, 它可 以对网络外恶意的攻击和入侵无线网络进行检测 Rogue AP: 网络中未经授权或者有恶意的 AP, 它可以是私自接入到网络中的 AP 未配置的 AP 邻居 AP 或者攻击者操作的 AP 如果在这些 AP 上存在漏洞的话, 黑客就有机会危害你的网络安全 Rogue Client: 非法客户端, 网络中未经授权或者有恶意的客户端, 类似于 rogue AP Rogue Wireless Bridge: 非法无线网桥, 网络中未经授权或者有恶意的网桥 Monitor AP: 网络中用于扫描或监听无线介质, 并试图检测无线网络中的攻击 Ad-hoc mode: 把无线客户端的工作模式设置为 Ad-hoc 模式,Ad-hoc 终端可以不需要任何 设备支持而直接进行通讯 Passive Scanning: 在被动扫描模式下,monitor AP 监听该信道下空气介质中所有的 帧 Active Scanning: 在监听 帧的同时,monitor AP 发送广播探查请求并在该信道上等待所有的探查响应消息 每一个在 monitor AP 附近的 AP 都将回应探查请求, 这样就可以通过处理探查响应帧来分辨 friend AP 和 rogue AP 在发送探查请求时,Monitor AP 是伪装成客户端的 检测 IDS 攻击 为了及时发现 WLAN 网络的恶意或者无意的攻击, 通过记录信息或者发送日志信息的方式通知网络管理者 目前设备支持的入侵检测主要包括泛洪攻击检测 Spoof 检测以及 Weak IV 检测 1-1

68 1. 泛洪攻击检测 泛洪攻击 (Flooding 攻击 ) 是指 WLAN 设备会在短时间内接收了大量的同种类型的报文 此时 WLAN 设备会被泛洪的攻击报文淹没而无法处理合法无线客户端的报文 攻击检测通过持续地监控每台无线客户端的流量大小来预防这种泛洪攻击 当流量超出可容忍的上限时, 该无线客户端将被认定在实施泛洪攻击 如果在 WLAN 设备上开启动态黑名单功能, 此时被检测到的攻击设备将被加入黑名单, 在后续一段时间内将被禁止接入 WLAN 网络 入侵检测支持对下列报文的泛洪攻击检测 : 认证请求 / 解除认证请求 (Authentication / De-authentication); 关联请求 / 解除关联请求 / 重新关联请求 (Association / Disassociation / Reassociation); 探查请求 (Probe Request); Null 数据帧 ; Action 帧 ; 2. Spoofing 攻击检测 Spoofing 攻击是指潜在的攻击者会仿冒其他设备的名义发送攻击报文, 以达到破坏无线网络正常工作的目的 例如 : 无线网络中的客户端已经和 AP 关联, 并处于正常工作状态, 此时如果有攻击者仿冒 AP 的名义给客户端发送解除认证报文就可能导致客户端下线, 同样如果攻击者仿冒客户端的名义给 AP 发送解除认证报文也会影响无线网络的正常工作 目前,Spoofing 攻击检测支持对仿冒 AP 名义发送的广播解除认证和广播解除关联报文进行检测 当接收到这两种报文时, 设备会将其定义为 Spoofing 攻击并被记录到日志中 3. Weak IV 攻击检测使用 WEP 加密的时候,WLAN 设备对于每一个报文都会使用初始化向量 (IV,Initialization Vector), IV 和 Key 一起作为输入来生成 Key Stream, 使相同密钥产生不同加密效果 当一个 WEP 报文被发送时, 用于加密报文的 IV 也作为报文头的一部分被发送 如果 WLAN 设备使用不安全的方法生成 IV, 例如始终使用固定的 IV, 就可能会暴露共享的密钥, 如果潜在的攻击者获得了共享的密钥, 攻击者将能够控制网络资源 检测 IDS 攻击可以通过识别每个 WEP 报文的 IV 来预防这种攻击, 当一个有 Weak IV 的报文被检测到时, 这个检测将立刻被记录到日志中 1.2 WLAN IDS 配置任务简介 表 1-1 WLAN IDS 配置任务简介 配置任务说明详细配置 配置 IDS 攻击检测 配置 IDS 攻击检测 IDS 攻击检测显示和维护 可选