便携式终端无线接入项目 测试方案
目录 目录... 2 第 1 章测试准备... 2 1.1 测试方提供硬件设备... 2 1.2 测试方提供软件... 2 1.3 厂商提供设备... 3 第 2 章基本功能测试... 3 2.2 对单用户的流量限制... 3 2.3 基于时间段控制 AP 的在线时间... 6 2.4 信道自动调整... 8 第 3 章安全测试... 9 3.1 集中转发模式二层用户隔离功能... 9 3.2 集中转发模式三层用户隔离功能... 10 3.3 Rouge AP 检测与反制... 11 3.4 Rouge Client 检测与反制... 12 3.5 SSID 广播隐藏... 13 第 4 章无线网络管理功能测试... 14 4.1 syslog 支持... 14 4.2 snmp 支持... 15 第 5 章主备切换测试... 15 第 6 章本地转发测试... 18 第 1 章测试准备 1.1 测试方提供硬件设备 仪器名称 数量 用途 千兆 POE 交换机 2 台 能够支持二层交换 三层交换 DHCP Server 远程供电等功能 笔记本电脑 至少 2 台 支持 11N 300M 无线网卡, 作为 WLAN 终端 Ipad 至少 2 台 作为 WLAN 移动终端 1.2 测试方提供软件 软件名称数量用途
IxChariot (5.4 版本 ) 1 套 用于 WLAN 网络的性能测试 ethereal 1 套 用于以太网抓包 Omnipeek 1 套 无线空口抓包软件, 用于报文合法性测试 NetStumbler 软件 1 套 测试信号强度 SNR FTP Server/Client 各 1 套 用于应用功能测试 安全认证平台 1 套 用于配合安全准入认证 1.3 厂商提供设备 设备名称数量备注 无线控制器 AC 2 台测试 AC 冗余备份,1+1,N+1 无线接入点 AP 4 台需要测试实际环境 第 2 章基本功能测试 2.2 对单用户的流量限制 测试目的 : 验证 AP 支持对单用户流量限制功能
1 按上图进行连接, 配置无线 AP1 相关参数, 并配置 SSID1, 限制单用户带宽为 4Mbps; 2 PC1 和服务器开启 IxChariot 测试, 检查 PC1 到服务器的带宽值 ; 3 在 AP1 上限制单用户速率为 2Mbps; 4 PC1 和服务器开启 IxChariot 测试, 检查 PC1 到服务器的带宽值 测试命令 : \\ 配置 : WNC6000-200-AC(V2)# config t 进入配置模式 WNC6000-200-AC(V2)(config)#wireless 进入无线配置模式 WNC6000-200-AC(V2)(config-wireless)#ap client-qos 无线全局开启 QoS WNC6000-200-AC(V2)(config-wireless)#network 1 无线 network 配置 WNC6000-200-AC(V2)(config-network)#client-qos bandwidth-limit down 1048576 \\ 控制用户下行带宽为 1M WNC6000-200-AC(V2)(config-network)#client-qos bandwidth-limit up 1048576 控制用户上行带宽为 1M \\ 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1
1 在步骤 2 中,PC1 到服务器的带宽为 1Mbps; 2 在步骤 4 中,PC1 到服务器的带宽为 2Mbps 2.3 基于时间段控制 AP 的在线时间 测试目的 : 验证可基于 SSID 控制无线终端可上线的时间段控制功能 验证在相应时间段内 注册到特定 SSID 的无线终端是否可以使用网络 1 按上图进行连接, 配置无线 AP 相关参数, 并配置 SSID1-4, 分别与 WLAN 终端 1~4 对应 ; 2 在 AC 上限制 Radio 在特定的的时间段不能上网, 观察 SSID 变化测试结果 : 在既定的时间段,SSID 关闭测试命令 :WNC6000-200-AC(V2)# config t 进入配置模式 WNC6000-200-AC(V2)(config)#wireless 进入无线配置模式
WNC6000-200-AC(V2)(config-wireless)#network 1 进入 network 配置模式 WNC6000-200-AC(V2)(config-network)#time-limit from 18:01 to 23:59 weekday all 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1 18:00-23:59 不容许客户接入基于 radio 的实现方式 : WNC6000-200-AC(V2)(config)#wireless 进入无线配置 WNC6000-200-AC(V2)(config-wireless)#ap profile 1 进入无线模板配置模式 WNC6000-200-AC(V2)(config-ap-profile)#radio 1 进入 radio 配置 WNC6000-200-AC(V2)(config-ap-profile-radio)#time-limit from 18:01 to 23:59 weekday all 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1 18:00-23:59 不容许客户接入 1
2.4 信道自动调整 测试目的 : 测试 AP 在信道存在干扰的情况下能否自动进行信道调整 1 AP-1 和 AP-2 关联到无线控制器并开启信道自动调整功能 2 AP-1 AP-2 分别工作在 1 1 信道 3 查看 AP-2 信道调整情况测试结果 : AP 在经过算法调整后,Ap1 工作在 1 信道,AP2 工作在 11 信道测试配置 : 2.3 信道自动调整 : WNC6000-200-AC(V2)#config t 进入配置模式 WNC6000-200-AC(V2)(config)#wireless 进入无线配置模式 WNC6000-200-AC(V2)(config-wireless)#ap profile 1 进入无线配置模块配置 WNC6000-200-AC(V2)(config-ap-profile)#radio 1 进入 radio 配置 WNC6000-200-AC(V2)(config-ap-profile-radio)#channel auto 信道配置为自动调整 WNC6000-200-AC(V2)(config-ap-profile-radio)#exit WNC6000-200-AC(V2)(config-wireless)#channel-plan bgn interval 3\\ 调整周期 3 分钟 \\ 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1 1 第 4 步,AP-2 会调整至 11 信道
第 3 章安全测试 3.1 集中转发模式二层用户隔离功能 测试目的 : 测试集中转发模式下对用户的隔离功能 无线控制器 Switch Radius/DHCP server AP1 Pc1 Pc2 1 AP 配置为集中转发方式,ssid 为 test 2 Pc1,pc2 无线接入后, 互相 ping -t 3 配置用户隔离功能, 测试结果 : 两台 PC 互 ping, 无法 ping 通测试命令 : 集中转发 2 层隔离 : WNC6000-200-AC(V2)(config-wireless)# WNC6000-200-AC(V2)# WNC6000-200-AC(V2)#config t WNC6000-200-AC(V2)(config)#wireless WNC6000-200-AC(V2)(config-wireless)#ap profile 1 WNC6000-200-AC(V2)(config-ap-profile)#radio 1 WNC6000-200-AC(V2)(config-ap-profile-radio)#vap 1 WNC6000-200-AC(V2)(config-ap-profile-vap)#enable WNC6000-200-AC(V2)(config-ap-profile-vap)#exit WNC6000-200-AC(V2)(config-ap-profile-radio)#exit WNC6000-200-AC(V2)(config-ap-profile)#exit WNC6000-200-AC(V2)(config-wireless)#network 2 WNC6000-200-AC(V2)(config)# wireless WNC6000-200-AC(V2)(config-wireless)#l2tunnel vlan-list 2
WNC6000-200-AC(V2)(config-wireless)#l2tunnel station-isolation allowed vlan 2\\ 二层隔离 WNC6000-200-AC(V2)(config-network)#ssid test2 WNC6000-200-AC(V2)(config-network)#exit WNC6000-200-AC(V2)(config-wireless)#exit 1 第 2 步,pc1 和 pc2 可以互相 ping 通 2 第 3 步,pc1 和 pc2 不能互相 ping 通 3.2 集中转发模式三层用户隔离功能 测试目的 : 测试集中转发模式下对用户的隔离功能 无线控制器 Switch Radius/DHCP server AP1 Pc1 Pc2 1 AP 配置为集中转发方式 配置 2 个 ssid, 分别为 test1 和 test2( 对应不同的 IP 子网 ) 2 Pc1,pc2 无线接入后, 互相 ping -t 3 配置规则隔离 3 层网络用户之间的通信 4 Pc1,pc2 无线接入后, 互相 ping -t 测试结果 : 测试结果 : 两台 PC 互 ping, 无法 ping 通测试命令 :WNC6000-200-AC(V2)(config-wireless)# WNC6000-200-AC(V2)# WNC6000-200-AC(V2)#config t WNC6000-200-AC(V2)(config)#wireless WNC6000-200-AC(V2)(config-wireless)#ap profile 1
WNC6000-200-AC(V2)(config-ap-profile)#radio 1 WNC6000-200-AC(V2)(config-ap-profile-radio)#vap 1 WNC6000-200-AC(V2)(config-ap-profile-vap)#enable WNC6000-200-AC(V2)(config-ap-profile-vap)#exit WNC6000-200-AC(V2)(config-ap-profile-radio)#exit WNC6000-200-AC(V2)(config-ap-profile)#exit WNC6000-200-AC(V2)(config-network)#ssid test2 WNC6000-200-AC(V2)(config-network)#exit WNC6000-200-AC(V2)(config-wireless)#exit WNC6000-200-AC(V2)(config)# access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 WNC6000-200-AC(V2)(config)# access-list 100 deny icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 WNC6000-200-AC(V2)(config)# access-list 100 permit ip any-source any-destination WNC6000-200-AC(V2)(config)#wireless WNC6000-200-AC(V2)(config-wireless)#network 1 WNC6000-200-AC(V2)(config-network)#client-qos access-control down ip 100 WNC6000-200-AC(V2)(config-network)#client-qos access-control up ip 100 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1 1 第 2 步,pc1 和 pc2 可以互相 ping 通 2 第 3 步,pc1 和 pc2 不能互相 ping 通 3.3 Rouge AP 检测与反制 测试目的 : 测试无线控制器是否支持 Rouge AP 检测并做出反制措施
1 PC1 AP AC 按照以上配置连接并设置参数 2 AC 上配置 Rouge AP 检测和反制 3 PC1 和认证 AP 连接 4 将一台未经 AC 认证的 AP 接入交换机 5 从 PC1 上登录 AC, 看系统中是否发现 Rouge AP, 是否标记为 Rouge AP 测试结果 : Rouge ap 发现与反制 : WNC6000-200-AC(V2)(config-wireless)#wids-security ap-de-auth-attack 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1 1 第 4 步, 发出 WIDS 告警, 在 WIDS 日志上看到告警 3.4 Rouge Client 检测与反制 测试目的 : 测试无线控制器是否支持 Rouge Client 检测并做出反制措施
1 PC1 AP AC 按照以上配置连接并设置参数 2 AC 上配置 Rouge Client 检测和反制 3 PC1 和 AP 连接 4 将一台未经授权的 PC2 尝试关联 AP 5 从 AC 上观察系统中是否发现 Rouge Client, 是否标记为 Rouge Client 测试结果 : 满足 Rouge Client 发现与反制 : WNC6000-200-AC(V2)(config-wireless)#wids-security client threat-mitigation 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1 2 第 4 步, 发出 WIDS 告警, 在 WIDS 日志上看到告警 3.5 SSID 广播隐藏 测试目的 : 检测 AP 隐藏 SSID 的功能, 防止未经授权的人员接入无线网络
1 无线控制器 AP 按照上图连接, 配置 SSID 为 ICBC-test, 并启用 SSID 隐藏功能 2 在无线终端上面搜索无线网络 ICBC-test 3 在无线终端上面指定 SSID:ICBC-test 进行连接 4 无线终端 ping 有线服务器 (-t) 测试结果 : Ssid 隐藏 : config WNC6000-200-AC(V2)(config)#wireless WNC6000-200-AC(V2)(config-wireless)#network 1 WNC6000-200-AC(V2)(config-network)#ssid testicbc WNC6000-200-AC(V2)(config-network)#hide-ssid WNC6000-200-AC(V2)(config-network)#ssid testicbc 下发配置模板 1: WNC6000-200-AC(V2)#wireless ap profile apply 1 1 第 2 步, 无线终端上面不能搜索到无线网络 ICBC-test 2 第 3 步, 无线终端可以连接到无线网络 ICBC-test 3 第 4 步, 可以 ping 通 第 4 章无线网络管理功能测试 4.1 syslog 支持 测试目的 : 测试无线网络是否支持 Syslog 功能
1 在控制器中配置相应的 Syslog 服务器以及 Syslog 级别 2 观察 Syslog 服务器是否接收到相应的日志信息, 以及日志内容 3 记录所有数值, 并保存测试结果 测试结果 : 满足 Sysloggin 配置 : WNC6000-200-AC(V2)#logging source mstp channel all WNC6000-200-AC(V2)#logging executed-commands enable WNC6000-200-AC(V2)# config t WNC6000-200-AC(V2)(config)#logging 192.168.1.124 4.2 snmp 支持 测试目的 : 测试无线网络是否支持 SNMP 功能 1 在控制器中配置相应的 SNMP 参数 2 使用 SNMP 工具读取无线控制器的 MIB 库 3 记录所有数值, 并保存测试结果测试结果 : 满足网管配置 : snmp-server enable snmp-server host 83.10.15.46 v2c 1 snmp-server host 83.10.15.46 v2c public snmp-server community rw private snmp-server community ro public 网管软件能够实现读取 snmp 信息的功能 第 5 章主备切换测试 测试目的 : 测试 AC 宕机的情况下 AP 是否能够正常切换到备份 AC 以及实现原理 测试使用方式 :N+1 备份
1 配置 AC1 为主 AC 2 配置 AC2 为备份 AC 3 无线客户端关联到 AP 上, 通过认证连接到认证服务器 ; 4 主 AC 宕机情况下, 终端连接到备份 AC 上
测试结果 : 终端连接到备份 AC 并通过认证, 中间断线 1 分钟左右 AC1 配置 : wireless enable ap authentication none no discovery method ip-poll no discovery method l2-multicast discovery ip-list 192.168.1.20 discovery ip-list 192.168.2.20 discovery vlan-list 1 l2tunnel vlan-list 2 static-ip 83.10.15.162 network 1 hide-ssid dist-tunnel radius server-name auth wlan radius server-name acct wlan security mode wpa-enterprise ssid testicbc AC2 配置 :wireless enable ap authentication none discovery ip-list 192.168.1.20 discovery ip-list 192.168.1.21 discovery vlan-list 1 l2tunnel vlan-list 2 static-ip 83.10.15.163 network 1 hide-ssid radius server-name auth wlan
第 6 章本地转发测试 测试目的 : 测试 AC 宕机的情况下 AP 是否能够正常切换到备份 AC 以及实现原理 测试使用方式 :N+1 备份 1 配置 AC1 工作在 vlan1, 地址为 192.168.1.1/24,AP 为静态地址 192.168.1.20/24, 192.168.1.1/24 交换机为 192.168.1.254/24 2 配置用户终端为 VLAN30 ip192.168.30.1/24,vlan5 ip 192.168.2.1/24 3 无线客户端关联到不同的 SSID 上, 得到不同的 IP 地址 ; 4 在本地转发模式下, 终端 1 和终端 2 互相 ping 通, 终端 1 和终端 3 互相 ping 通终端 1pingPC 5 抓包获取终端之间访问不经过 AC, 终端访问 AC 可以抓取
测试结果 : 满足