- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-Web典型配置舉例
本章節下載 (1.97 MB)
如圖1-1所示,僅有一台AC,要求客戶端在AC內的不同AP間進行漫遊。
圖1-1 AC內漫遊配置組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵配置無線服務,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為roaming。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的射頻。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 漫遊”,進入“漫遊”頁麵查看客戶端漫遊前和漫遊後所關聯的AC和AP。
如圖1-2所示,在一個無線網絡中,有兩台AC,現要求客戶端可以在AC內漫遊,也可以跨AC漫遊。
圖1-2 AC間漫遊配置組網圖
(1) 配置AC 1
# 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵配置無線服務,配置步驟為:
· 創建一個無線服務,名稱為service的。
· 配置SSID為roaming。
· 開啟無線服務。
# 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的射頻。
# 配置漫遊組
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 漫遊”,進入“漫遊”頁麵配置漫遊,配置步驟為:
· 創建名稱為office的漫遊組。
· 選擇隧道IP地址類型為IPv4。
· 配置隧道的源IPv4地址為10.0.0.1。
· 添加漫遊組成員IPv4地址為10.0.0.2。
· 配置漫遊組狀態為開啟。
(2) 配置AC 2
# 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵配置無線服務,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為roaming。
· 開啟無線服務。
# 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 進入AP 3的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 3的射頻。
· 進入AP 4的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 4的射頻。
# 配置漫遊組
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 漫遊”,進入“漫遊”頁麵配置漫遊,配置步驟為:
· 創建名稱為office的漫遊組。
· 選擇隧道IP地址類型為IPv4。
· 配置隧道的源IPv4地址為10.0.0.2。
· 添加漫遊組成員IPv4地址為10.0.0.1。
· 配置漫遊組狀態為開啟。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 漫遊”,進入“漫遊”頁麵查看客戶端漫遊前和漫遊後所關聯的AC和AP。
· AC 1與AC 2通過各自的二層以太網接口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互連接。
· 在AC 1和AC 2上分別配置二層靜態鏈路聚合組,以提高鏈路的可靠性。
圖1-3 以太網鏈路聚合配置組網圖
(1) 配置以太網鏈路聚合
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 接口”,進入“鏈路聚合”頁麵配置鏈路聚合,配置步驟為:
· 在AC 1上添加二層聚合組1,指定聚合模式為靜態聚合,將接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入到該聚合組中。
· AC 2配置與AC 1相同。
(2) 配置VLAN
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵配置VLAN,配置步驟為:
· 在AC 1上創建VLAN 10。進入VLAN 10的詳情頁麵,將與Host A相連的接口GigabitEthernet1/0/4加入VLAN 10的Untagged端口列表,將接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表,將聚合接口BAGG1加入到VLAN 10的Tagged端口列表。
· AC 2配置與AC 1相同。
完成上述配置後,在“鏈路聚合”頁麵中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/3已經加入到靜態聚合組10。Host A能夠Ping通Host B。AC 1與AC 2之間的一條鏈路故障後,Host A仍然能夠Ping通Host B。
· AC 1與AC 2通過各自的二層以太網接口GigabitEthernet1/0/1~GigabitEthernet1/0/3相互連接。
· 在AC 1和AC 2上分別配置二層動態鏈路聚合組,以提高鏈路的可靠性。
圖1-4 以太網鏈路聚合配置組網圖
(1) 配置以太網鏈路聚合
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 接口”,進入“鏈路聚合”頁麵配置鏈路聚合,配置步驟為:
· 在AC 1上添加二層聚合組1,指定聚合模式為動態聚合,將接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入到該聚合組中。
· AC 2配置與AC 1相同。
(2) 配置VLAN
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵配置VLAN,配置步驟為:
· 在AC 1上創建VLAN 10。進入VLAN 10的詳情頁麵,將與Host A相連的接口GigabitEthernet1/0/4加入VLAN 10的Untagged端口列表,將接口GigabitEthernet1/0/1~GigabitEthernet1/0/3加入VLAN 10的Tagged端口列表,將聚合接口BAGG1加入到VLAN 10的Tagged端口列表。
· AC 2配置與AC 1相同。
完成上述配置後,在“鏈路聚合”頁麵中可以看到GigabitEthernet1/0/1~GigabitEthernet1/0/3已經加入到動態聚合組10。Host A能夠Ping通Host B。AC 1與AC 2之間的一條鏈路故障後,Host A仍然能夠Ping通Host B。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
不支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
不支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
AC作為PPPoE客戶端通過GigabitEthernet1/0/1連接到網絡,要求:
· PPPoE服務器與設備路由可達,GigabitEthernet1/0/1為三層物理口。
· PC通過Telnet設備的GE1/0/2 IP連接到Web頁麵。
圖1-5 PPPoE Client組網圖
“鏈路空閑超時斷線”中所設置的空閑時長為發報文空閑時長。
# PPPoE服務器為設備分配用戶名和密碼。(略)
# 配置PPPoE客戶端。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 接口”,進入“接口”頁麵後,點擊上方“PPPoE”頁簽,進入PPPoE配置頁麵。配置步驟為:
(1) 點擊左側
按鈕,進入添加配置頁麵。
(2) 選擇需配置的三層物理接口,組網中為GigabitEthernet1/0/1。
(3) 輸入用戶名和密碼,並選擇在線方式。
(4) 選擇開啟NAT地址轉換功能,並點擊<確定>,完成配置。
完成上述配置,查看GigabitEthernet1/0/1接口通過PPPoE撥號方式已獲取到地址。
· 某公司內網使用的網段為192.168.0.0/16。
· 該公司擁有202.38.1.2和202.38.1.3兩個外網IP地址。
· 需要實現,內部網絡中192.168.1.0/24網段的用戶可以訪問Internet,其它網段的用戶不能訪問Internet。使用的外網地址為202.38.1.2和202.38.1.3。
圖1-6 內網用戶通過NAT訪問外網
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > NAT”,進入“NAT”頁麵,單擊“動態轉換”後進行配置,配置步驟為:
· 添加NAT動態轉換規則,並指定ACL 2000,該ACL僅允許源IP地址為192.168.1.0、通配符掩碼為0.0.0.255的網段的用戶進行地址轉換。
· 添加編號為0的NAT地址組,起始地址為202.38.1.2,結束地址為202.38.1.3。
· 在接口Vlan-interface20上應用上述的NAT動態轉換規則。
以上配置完成後,Client A能夠訪問WWW server,Client B無法訪問WWW server。
內部網絡用戶10.110.10.8/24使用外網地址202.38.1.100訪問Internet。
圖1-7 靜態地址轉換典型配置組網圖
# NAT靜態轉換在“係統 > 網絡配置 > 服務 > NAT”頁麵配置。AC上的配置如下:
· 創建一個“一對一轉換”策略,指定內網IP地址為10.110.10.8,外網IP地址為202.38.1.100。
· 將創建的策略應用在接口Vlan-interface20上。
完成上述配置後,內網Client可以訪問外網服務器。
AC各接口和無線客戶端的IP地址和掩碼如圖1-8所示。要求采用靜態路由,使圖中任意無線客戶端之間都能互通。
圖1-8 IPv4靜態路由配置組網圖
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 >路由”,進入“靜態路由”頁麵配置IPv4靜態路由。三台AC上的配置分別為:
· 在AC A上創建一條IPv4靜態路由表項,指定目的IP地址為0.0.0.0,掩碼長度為0,下一跳地址為1.1.4.2,該路由用來匹配所有的目的IP地址。
· 在AC B上創建到達Client C所在網段和Client A所在網段的兩條IPv4靜態路由表項:
¡ 到達Client C所在網段的路由:目的IP地址為1.1.3.0,掩碼長度為24,下一跳地址為1.1.5.6;
¡ 到達Client A所在網段的路由:目的IP地址為1.1.2.0,掩碼長度為24,下一跳地址為1.1.4.1。
· 在AC C上創建一條IPv4靜態路由表項,指定目的IP地址為0.0.0.0、掩碼長度為0、下一跳地址為1.1.5.5,該路由用來匹配所有的目的IP地址。
完成上述配置後,在任意一台無線客戶端上都可以ping通另外兩台無線客戶端。
AC各接口和無線客戶端的IPv6地址和前綴長度如圖1-9所示。要求采用靜態路由,使圖中任意無線客戶端之間都能互通。
圖1-9 IPv6靜態路由配置組網圖
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 >路由”,進入“靜態路由”頁麵配置IPv6靜態路由。三台AC上的配置分別為:
· 在AC A上創建一條IPv6靜態路由表項,指定目的IPv6地址為::,前綴長度為0,下一跳地址為4::2,該路由用來匹配所有的目的IPv6地址。
· 在AC B上創建到達Client C所在網段和Client A所在網段的兩條IPv6靜態路由表項:
¡ 到達Client C所在網段的路由:目的IPv6地址為3::2,前綴長度為64,下一跳地址為5::1;
¡ 到達Client A所在網段的路由:目的IPv6地址為1::2,前綴長度為64,下一跳地址為4::1。
· 在AC C上創建一條IPv6靜態路由表項,指定目的IPv6地址為::,前綴長度為0,下一跳地址為5::2,該路由用來匹配所有的目的IPv6地址。
完成上述配置後,在任意一台無線客戶端上都可以ping通另外兩台無線客戶端。
· 將AP、AC的以太網端口分別加入相應的VLAN裏,在VLAN接口上配置IPv6地址,驗證它們之間的互通性。
· AC 的VLAN接口1的全球單播地址為2001::1/64。
· Client上安裝了IPv6,根據IPv6鄰居發現協議自動配置IPv6地址。
圖1-10 IPv6地址靜態配置組網圖
# 配置無線服務及AP。(略)
(2) 配置IPv6地址
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > IP服務”,進入“IPv6”頁麵配置IPv6地址,手工配置VLAN1接口地址為2001::1,前綴長度為64。
(3) 配置VLAN接口1允許發布RA消息
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務> ND”,進入“ND”頁麵,點擊“高級設置 > 接口上的RA設置”,允許VLAN接口1發布RA消息。
Client上安裝IPv6,根據IPv6鄰居發現協議自動配置IPv6地址。
在Client上使用Ping測試和AC的互通性;在AC上使用Ping測試和Client的互通性。
· 作為DHCP服務器的AC為網段10.1.1.0/24中的AP和客戶端動態分配IP地址,該地址池網段分為兩個子網網段:10.1.1.0/25和10.1.1.128/25;
· AC的兩個VLAN接口,VLAN接口10和VLAN接口20的地址分別為10.1.1.1/25和10.1.1.129/25;
· 為AP分配10.1.1.0/25網段的IP地址,為DHCP client分配10.1.1.128/25網段的IP地址。
圖1-11 DHCP動態分配地址配置組網圖
# 在AC上創建VLAN 10和VLAN 20,並配置VLAN接口10和VLAN接口20的地址。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵創建VLAN並配置VLAN接口,配置步驟為:
· 創建VLAN10,配置VLAN接口10的IP地址為10.1.1.1/25。
· 創建VLAN20,配置VLAN接口20的IP地址為10.1.1.129/25。
# 配置DHCP服務器。
單擊“係統”菜單頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“DHCP”頁麵配置DHCP服務器,配置步驟為:
· 開啟DHCP服務。
· 配置VLAN接口10和VLAN接口20工作在DHCP服務器模式。
· 在地址池頁麵,創建名稱為pool1的地址池,配置該地址池動態分配的地址段為10.1.1.0/25,在地址池選項中配置網關地址為10.1.1.1。
· 在地址池頁麵,創建名稱為pool2的地址池,配置該地址池動態分配的地址段為10.1.1.128/25,在地址池選項中配置網關地址為10.1.1.129。
· 在高級設置頁麵,配置衝突地址檢查功能中的發送回顯請求報文的最大數目為1,等待回顯響應報文的超時時間為500毫秒。
# 配置無線服務。
單擊“網絡”菜單頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵配置無線服務,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為office。
· 配置缺省VLAN為20。
· 開啟無線服務。
# 配置AP。
單擊“網絡”菜單頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 添加一個AP,配置AP名稱為AP1,配置AP型號及序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的5GHz射頻。
# 配置AP射頻。
單擊“網絡”菜單頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP 1的5GHz射頻狀態為開啟。
配置完成後,AP和客戶端可以從DHCP服務器AC申請到相應網段的IP地址和網絡配置參數。
· DHCP客戶端所在網段為10.10.1.0/24,DHCP服務器的IP地址為10.1.1.1/24;
· 由於DHCP客戶端和DHCP服務器不在同一網段,因此,需要在客戶端所在網段設置DHCP中繼設備,以便客戶端可以從DHCP服務器申請到10.10.1.0/24網段的IP地址及相關配置信息;
· AC作為DHCP中繼通過端口(屬於VLAN10)連接到DHCP客戶端所在的網絡,VLAN接口10的IP地址為10.10.1.1/24,VLAN接口20的IP地址為10.1.1.2/24。
圖1-12 組網圖
# 配置各接口的IP地址。(略)
# 配置DHCP服務器。(略)
# 配置AC基本功能。(略)
# 配置DHCP中繼。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“DHCP”頁麵配置DHCP中繼,配置步驟為:
· 開啟DHCP服務。
· 配置VLAN接口10為DHCP中繼。
· 配置DHCP服務器IP地址為10.1.1.1。
配置完成後,DHCP客戶端可以通過DHCP中繼從DHCP服務器獲取IP地址及相關配置信息。
AC通過以太網端口GigabitEthernet 1/0/1連接到DHCP服務器,通過以太網端口GigabitEthernet 1/0/2連接到AP。要求:
· 與合法DHCP服務器相連的端口可以轉發DHCP服務器的響應報文,而其他端口不轉發DHCP服務器的響應報文。
· 記錄DHCP-REQUEST報文和信任端口收到的DHCP-ACK報文中DHCP客戶端IP地址及MAC地址的綁定信息。
圖1-13 DHCP Snooping配置組網圖
# 配置DHCP服務器。(略)
# 配置AC基本功能。(略)
# 配置DHCP Snooping。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“DHCP Snooping”頁麵配置DHCP Snooping,配置步驟為:
· 開啟DHCP Snooping功能。
· 設置GigabitEthernet1/0/1端口為信任端口。
· 在GigabitEthernet1/0/2上啟用DHCP Snooping表項功能。
配置完成後,在AC上可查詢到獲取到的DHCP Snooping表項。
為了避免記憶複雜的IP地址,AC希望通過便於記憶的主機名訪問某一主機。在AC上手工配置IP地址對應的主機名,利用靜態域名解析功能,就可以實現通過主機名訪問該主機。
在本例中,AC訪問的主機IP地址為10.1.1.2,主機名為host.com。
圖1-14 靜態IPv4 DNS配置舉例組網圖
# 配置主機名host.com對應的IP地址為10.1.1.2。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“IPv4 DNS”頁麵配置靜態域名解析,配置步驟為:
配置靜態域名解析:主機名為host.com,對應的IPv4地址為10.1.1.2。
# 在AC上執行ping host.com命令,可以解析到host.com對應的IP地址為10.1.1.2,並能夠ping通主機。
設備各款型對於本舉例的支持情況有所不同,詳細差異信息如下:
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
不支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
不支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
為了避免記憶複雜的IP地址,AC希望通過便於記憶的域名訪問某一主機。如果網絡中存在域名服務器,則可以利用動態域名解析功能,實現通過域名訪問主機。
在本例中:
· 域名服務器的IP地址是2.1.1.2/16,域名服務器上包含域名“host”和IP地址3.1.1.1/16的對應關係。
· AC作為DNS客戶端,使用動態域名解析功能,將域名解析為IP地址。
· AC上配置域名後綴com,以便簡化訪問主機時輸入的域名,例如通過輸入host即可訪問域名為host.com、IP地址為3.1.1.1/16的主機Host。
圖1-15 動態IPv4 DNS配置舉例組網圖
# 在DNS服務器上添加域名host.com和IP地址3.1.1.1的映射關係。(略)
# 在各設備上配置靜態路由或動態路由協議,使得各設備之間路由可達。(略)
# 配置DNS客戶端。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“IPv4 DNS”頁麵配置域名服務器,配置步驟為:
配置域名服務器地址為2.1.1.2。在高級設置頁麵,配置域名後綴為com。
完成上述配置後,在AC上執行ping host命令,可以解析到host對應的IP地址為3.1.1.1,並能夠ping通主機。
某局域網內擁有多台設備,每台設備上都指定了域名服務器的IP地址,以便直接通過域名訪問外部網絡。當域名服務器的IP地址發生變化時,網絡管理員需要更改局域網內所有設備上配置的域名服務器IP地址,工作量將會非常巨大。
通過DNS proxy功能,可以大大減少網絡管理員的工作量。當域名服務器IP地址改變時,隻需更改DNS proxy上的配置,即可實現局域網內設備通過新的域名服務器解析域名。
在本例中,具體配置步驟為:
(1) 局域網中的某台設備AC配置為DNS proxy,DNS proxy上指定域名服務器IP地址為真正的域名服務器的地址4.1.1.1。
(2) 局域網中的其他設備上,域名服務器的IP地址配置為DNS proxy的地址,域名解析報文將通過DNS proxy轉發給真正的域名服務器。
圖1-16 IPv4 DNS proxy配置舉例組網圖
# 在各設備上配置靜態路由或動態路由協議,使得各設備之間路由可達。(略)
(1) 配置DNS服務器。(略)
(2) 配置AC作為DNS proxy。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“IPv4 DNS”頁麵配置域名服務器,配置步驟為:
配置域名服務器的IP地址為4.1.1.1。在高級設置頁麵,開啟DNS proxy功能。
(3) 配置DNS客戶端Client,配置DNS服務器的IP地址為2.1.1.2。
在Client上執行ping host.com命令,可以ping通主機,且對應的目的地址為3.1.1.1。
為了避免記憶複雜的IPv6地址,AC希望通過便於記憶的主機名訪問某一主機。在AC上手工配置IPv6地址對應的主機名,利用靜態域名解析功能,就可以實現通過主機名訪問該主機。
在本例中,AC訪問的主機IP地址為1::2,主機名為host.com。
圖1-17 靜態IPv6 DNS配置舉例組網圖
# 配置主機名host.com對應的IPv6地址為1::2。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“IPv6 DNS”頁麵配置靜態域名解析,配置步驟為:
配置靜態域名解析:主機名為host.com,對應的IPv6地址為1::2。
# 在AC上執行ping ipv6 host.com命令,可以解析到host.com對應的IPv6地址為1::2,並能夠ping通主機。
設備各款型對於本舉例的支持情況有所不同,詳細差異信息如下:
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
不支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
不支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
為了避免記憶複雜的IPv6地址,AC希望通過便於記憶的域名訪問某一主機。如果網絡中存在域名服務器,則可以利用動態域名解析功能,實現通過域名訪問主機。
在本例中:
· 域名服務器的IPv6地址是2::2/64,域名服務器上包含域名“host”和IPv6地址1::1/64的對應關係。
· AC作為DNS客戶端,使用動態域名解析功能,將域名解析為IPv6地址。
· AC上配置域名後綴com,以便簡化訪問主機時輸入的域名,例如通過輸入host即可訪問域名為host.com、IPv6地址為1::1/64的主機Host。
圖1-18 動態IPv6 DNS配置舉例組網圖
# 在DNS服務器上添加域名host.com和IPv6地址1::1的映射關係。(略)
# 在各設備上配置靜態路由或動態路由協議,使得各設備之間路由可達。(略)
# 配置DNS客戶端。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“IPv6 DNS”頁麵配置域名服務器,配置步驟為:
配置域名服務器地址為2::2。在高級設置頁麵,配置域名後綴為com。
完成上述配置後,在AC上執行ping ipv6 host命令,可以解析到host對應的IPv6地址為1::1,並能夠ping通主機。
某局域網內擁有多台設備,每台設備上都指定了域名服務器的IPv6地址,以便直接通過域名訪問外部網絡。當域名服務器的IPv6地址發生變化時,網絡管理員需要更改局域網內所有設備上配置的域名服務器IPv6地址,工作量將會非常巨大。
通過DNS proxy功能,可以大大減少網絡管理員的工作量。當域名服務器IPv6地址改變時,隻需更改DNS proxy上的配置,即可實現局域網內設備通過新的域名服務器解析域名。
在本例中,具體配置步驟為:
(1) 局域網中的某台設備AC配置為DNS proxy,DNS proxy上指定域名服務器IPv6地址為真正的域名服務器的地址4000::1
(2) 局域網中的其他設備上,域名服務器的IPv6地址配置為DNS proxy的地址,域名解析報文將通過DNS proxy轉發給真正的域名服務器。
圖1-19 IPv6 DNS proxy配置舉例組網圖
# 在各設備上配置靜態路由或動態路由協議,使得各設備之間路由可達。(略)
(1) 配置DNS服務器。(略)
(2) 配置AC作為DNS proxy。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“IPv6 DNS”頁麵配置域名服務器,配置步驟為:
配置域名服務器的IPv6地址為4000::1。在高級設置頁麵,開啟DNS proxy功能。
(3) 配置DNS客戶端Client,配置DNS服務器的IPv6地址為2000::2。
在Client上執行ping ipv6 host.com命令,可以ping通主機,且對應的目的地址為3000::1。
· 如下圖所示,在一個沒有三層網絡設備的純二層網絡中,組播源Source 1向組播組224.1.1.1發送組播數據,Host A和Host B都是該組播組的接收者,且都使用IGMPv2。
· 由於該網絡中沒有可運行IGMP的三層網絡設備,因此由AC來充當IGMP查詢器,並將其發出的IGMP查詢報文的源IP地址配置為非0.0.0.0,以免影響AC和交換機上IGMP snooping轉發表項的建立從而導致組播數據無法正常轉發。
· 為防止AC和交換機在沒有相應轉發表項時將組播數據在VLAN內廣播,在所有設備上都開啟丟棄未知組播數據報文功能。
圖1-20 IGMP Snooping配置組網圖
(1) 配置AC作為IGMP查詢器
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務> Multicast”,進入“IGMP Snooping”頁麵配置IGMP Snooping,配置步驟為:
· 開啟IGMP Snooping功能。
· 在VLAN 10內開啟版本2的IGMP snooping,並開啟丟棄未知組播數據報文功能和充當IGMP查詢器功能,然後將普遍組查詢報文和特定組查詢報文的源IP地址都配置為192.168.1.10。
(2) 配置Switch A和Switch B,在兩台交換機的VLAN 10內開啟版本2的IGMP snooping,並開啟丟棄未知組播數據報文功能。
完成上述配置,並且接收者申請加入組播組224.1.1.1之後,在頁麵上可以看到該組播組對應的IGMP snooping轉發表項。
· 如下圖所示,在一個沒有三層網絡設備的純二層網絡中,組播源Source 1向IPv6組播組FF1E::101發送IPv6組播數據,Host A和Host B都是該IPv6組播組的接收者,且都使用MLDv1。
· 由於該網絡中沒有可運行MLD的三層網絡設備,因此由AC來充當MLD查詢器。
· 為防止AC和交換機在沒有相應轉發表項時將IPv6組播數據在VLAN內廣播,在所有設備上都開啟丟棄未知IPv6組播數據報文功能。
圖1-21 MLD Snooping配置組網圖
(1) 配置AC作為MLD查詢器
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務> Multicast”,進入“MLD Snooping”頁麵配置MLD Snooping,配置步驟為:
· 開啟MLD Snooping功能。
· 在VLAN 10內開啟版本1的MLD snooping,並開啟丟棄未知IPv6組播數據報文功能和充當MLD查詢器功能。
(2) 配置Switch A和Switch B,在兩台交換機的VLAN 10內開啟版本1的MLD snooping,並開啟丟棄未知IPv6組播數據報文功能。
完成上述配置,並且接收者申請加入IPv6組播組FF1E::101之後,在頁麵上可以看到該IPv6組播組對應的MLD snooping轉發表項。
· Client 1和Client 2配置為同一網段的主機(Client 1的IP地址是192.168.10.100/16,Client 2的IP地址是192.168.20.200/16),但卻被設備AC分在兩個不同的子網(Client 1屬於VLAN 10,Client 2屬於VLAN 20)。
· Client 1和Client 2沒有配置缺省網關,要求在設備AC上開啟代理ARP功能,使處在兩個子網的Client 1和Client 2能互通。
圖1-22 代理ARP配置組網圖
# 創建VLAN 10和VLAN 20,並配置VLAN接口10和VLAN接口20的地址。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵配置VLAN,配置步驟為:
· 創建VLAN 10,配置VLAN接口10的IP地址為192.168.10.99/24。
· 創建VLAN 20,配置VLAN接口20的IP地址為192.168.20.99/24。
# 開啟VLAN接口10和VLAN接口20的代理ARP功能。
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > ARP”,進入“ARP”頁麵,在“高級設置 > ARP代理”頁麵開啟VLAN接口10和VLAN接口20的代理ARP功能。
配置完成後,Client 1和Client 2可以互相ping通。
· Switch是DHCP服務器;
· Client 1是DHCP客戶端;用戶Client 2的IP地址是10.1.1.6,MAC地址是0001-0203-0607。
· AC是DHCP Snooping設備,在VLAN 10內啟用ARP Detection功能,對DHCP客戶端和用戶進行用戶合法性檢查和報文有效性檢查。
(1) 配置組網圖中所有接口屬於VLAN 10及Switch對應VLAN接口的IP地址(略)
(2) 配置DHCP服務器(略)
(3) 配置DHCP客戶端Client 1和用戶Client 2(略)
(4) 配置AC
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS”,進入“DHCP Snooping”頁麵,配置步驟為:
· 開啟DHCP Snooping功能。
· 設置GigabitEthernet1/0/3端口為信任端口。
· 在GigabitEthernet1/0/1上啟用DHCP Snooping表項記錄功能。
單擊“係統”菜單頁麵左側導航欄的“網絡配置 > 服務 > ARP”,進入“ARP”頁麵,在“高級設置 > ARP攻擊防禦 > ARP Detection”頁麵開啟ARP Detection功能,配置步驟為:
· 開啟VLAN10的ARP Detection功能
# 接口狀態缺省為非信任狀態,上行接口配置為信任狀態,下行接口按缺省配置。
· 在高級設置頁麵,設置接口GigabitEthernet 1/0/3狀態為信任狀態
· 在高級設置頁麵,開啟源MAC地址的檢查、目的MAC地址的檢查和IP地址檢查
完成上述配置後,對於接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP報文,先進行報文有效性檢查,然後基於DHCP Snooping安全表項進行用戶合法性檢查。
完成上述配置後,單擊AC頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > ARP”,進入“ARP”頁麵,可以看到Client 1的ARP表項,而無法看到Client 2的ARP表項。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
不支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
如圖1-24所示,網絡管理員需要通過Internet遠程登錄到校園網的網關設備(AC)上對其進行管理。為了提高安全性,可將AC配置為Stelnet服務器,並在Host上運行Stelnet客戶端軟件,在二者之間建立SSH連接。具體要求為:
· Host與AC路由可達,AC通過SSH的password認證方式對客戶端進行認證,認證過程在AC本地完成。
· 網絡管理員Host的登錄用戶名為client,密碼為aabbcc1234,登錄設備後可執行設備支持的所有操作。
圖1-24 設備作為Stelnet服務器配置組網圖
(1) 配置SSH服務器功能
進入AC,單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 管理協議”,進入“SSH”頁麵,開啟Stelnet服務。
(2) 配置VLAN和VLAN接口
進入AC,單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵創建VLAN 2。進入VLAN 2的詳情頁麵,配置端口GigabitEthernet1/0/2加入VLAN 2的Untagged端口列表,並創建VLAN接口2,配置VLAN接口2的IP地址為192.168.1.40/24。
(3) 配置管理員賬戶
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“係統 > 管理員”,進入“管理員”頁麵添加管理員,配置步驟為:
· 添加管理員。
· 配置用戶名為client,密碼為aabbcc1234。
· 選擇角色為network-admin。
· 指定可用的服務為SSH。
Stelnet客戶端軟件有很多,例如PuTTY、OpenSSH等。本文中僅以客戶端軟件PuTTY0.58為例,說明Stelnet客戶端的配置方法。
在Host上打開PuTTY.exe程序,在“Host Name(or IP address)”文本框中輸入Stelnet服務器的IP地址為192.168.1.40。單擊<Open>按鈕。按提示輸入用戶名client及密碼aabbcc1234,成功進入AC的配置界麵。
· AC 1采用本地時鍾作為參考時鍾,使得自己的時鍾處於同步狀態。
· AC 1作為時間服務器為Device B提供時間同步。
圖1-25 NTP配置組網圖
(1) 配置NTP服務器AC 1
進入AC 1,單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 管理協議”,進入“NTP”頁麵配置NTP服務器,配置步驟為:
· 開啟NTP服務。
· 配置本地時鍾的IP地址為127.127.1.0。
· 配置本地時鍾所處的層數為2。
(2) 配置NTP客戶端AC 2
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“係統 > 管理”,進入“係統設置”頁麵配置係統時間,配置步驟為:
· 選擇自動同步係統時間,采用的協議為網絡時間協議(NTP)。
· 指定NTP服務器(即時鍾源)的IP地址為1.0.1.11,並指定時鍾源工作在服務器模式。
完成上述配置後,AC 2與AC 1時間同步成功。此時AC 2層數比AC 1的層數大1,為3。
某公司要求,允許總裁辦在任意時間、財務部在工作時間(每周工作日的8點到18點)訪問財務數據庫服務器,禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。
圖1-26 通過ACL進行包過濾配置組網圖
單擊頁麵底部的<係統>按鈕,然後單擊左側導航欄“網絡安全 > 包過濾”,進入包過濾配置頁麵。配置步驟為:
· 創建接口包過濾策略,在AC的VLAN接口100的出方向上指定包過濾規則為IPv4 ACL。
· 創建IPv4高級ACL 3000,並按順序製定三條規則:
¡ 允許協議類型為256(IP),源IP為192.168.1.0、通配符掩碼為0.0.0.255,目的IP為192.168.0.100、通配符掩碼為0的報文通過。
¡ 創建周期時間段work,指定開始時間為08:00,結束時間為18:00,生效時間為每周一、周二、周三、周四和周五。允許協議類型為256(IP),源IP為192.168.2.0、通配符掩碼為0.0.0.255,目的IP為192.168.0.100、通配符掩碼為0,生效時間段為work的報文通過。
¡ 拒絕協議類型為256(IP),目的IP為192.168.0.100、通配符掩碼為0的報文通過。
· 開啟ACL規則的匹配統計功能。
完成上述配置後,在頁麵上可以看到已經創建的IPv4高級ACL的規則狀態和命中報文數。總裁辦主機在任何時間都可以ping通財務數據庫服務器;在工作時間財務部主機可以ping通該服務器;市場部在任何時間都不能ping通該服務器。
在AC上配置一個管理員帳戶,用於用戶采用HTTP方式登錄AC,具體要求如下:
· 用戶使用管理員帳戶登錄時,AC對其進行本地認證;
· 管理員帳戶名稱為webuser,密碼為hello12345;
· 通過認證之後,用戶被授予角色network-admin。
圖1-27 管理員配置組網圖
(1) 配置VLAN和VLAN接口
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入VLAN頁麵,創建VLAN 2。進入VLAN 2的詳情頁麵,將與管理員PC相連的接口加入VLAN 2的Tagged端口列表,並創建VLAN接口2,配置VLAN接口2的IP地址為192.168.1.20/24。
(2) 配置管理員賬戶
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“係統>管理員”,進入管理員頁麵,配置步驟為:
· 添加管理員。
· 配置用戶名為webuser,密碼為hello12345。
· 選擇角色為network-admin。
· 指定可用的服務為HTTP和HTTPS。
(1) 完成上述配置後,在管理員頁麵上可以看到已成功添加的管理員帳戶。
(2) 用戶在PC的Web瀏覽器地址欄中輸入http://192.168.1.20並回車後,瀏覽器將顯示Web登錄頁麵。用戶在該登錄頁麵中輸入管理員帳戶名稱、密碼以及驗證碼後,即可成功登錄設備的Web頁麵進行相關配置。
如圖2-1所示,AP和AC通過交換機相連,AC作為DHCP服務器為AP提供DHCP服務。AP通過DHCP選項方式從DHCP服務器上獲取AP和AC的IP地址,發現AC並與AC建立CAPWAP隧道連接。
圖2-1 通過DHCP發現方式建立CAPWAP隧道典型組網圖
(1) 配置AC的IP地址
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵配置VLAN接口1的IP地址為1.1.1.1/24。
(2) 配置DHCP服務
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS > DHCP”,進入“DHCP”頁麵配置DHCP服務,配置步驟為:
· 開啟DHCP服務。
· 配置VLAN接口1工作在DHCP服務器模式。
· 進入“地址池 > 地址分配”頁麵,點擊<添加地址池>按鈕,創建名稱為pool1的地址池,配置該地址池動態分配的地址段為1.1.1.0/24,在“地址池選項”頁簽中配置網關地址為1.1.1.1。
· 進入“地址池 > 地址池選項”頁麵”,配置DHCP選項43為客戶端分配AC的IP地址,類型為十六進製數串,選項內容為800700000101010101。
(3) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP”,進入“AP”頁麵可以查看到上線的AP,通過查看詳情可以看到AP獲取到的AP IP地址、AC IP地址和AP發現AC的方式。
如圖2-2所示,DHCP server、DNS server、AP和AC通過交換機連接。由DHCP server為AP分配IP地址和AC的域名後綴,DNS server將AC的域名解析為AC的IP地址。
圖2-2 通過DNS發現方式建立CAPWAP隧道典型組網圖
(1) 配置DHCP server
在DHCP server上配置為AP分配IP地址的地址池、AC的域名後綴和DNS服務器地址,分配的IP地址段為1.1.1.0/24,AC的域名後綴為abc,DNS服務器地址為1.1.1.4/24。(略)
(2) 配置DNS server
在DNS server上添加AC域名“h3c.abc”和AC IP地址2.1.1.1/24的對應關係。(略)
(3) 配置AC的IP地址
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵配置VLAN接口1的IP地址為2.1.1.1/24。
(4) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP”,進入“AP”頁麵可以查看到上線的AP,通過查看上線AP的詳細信息可以看到AP獲取到的AP IP地址、AC IP地址和AP發現AC的方式。
如圖2-3所示,AP和AC通過交換機相連。在AC上開啟自動AP功能,MAC地址為0011-2200-0101的AP通過DHCP選項方式獲取到AC的IP地址,AP通過獲取到的AC的IP地址發現AC並與AC建立CAPWAP隧道連接。
圖2-3 開啟自動AP功能建立CAPWAP隧道典型組網圖
(1) 配置AC的IP地址
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > VLAN”,進入“VLAN”頁麵配置VLAN接口1的IP地址為1.1.1.1/24。
(2) 配置DHCP服務
單擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵,然後單擊頁麵左側導航欄的“網絡配置 > 服務 > DHCP/DNS > DHCP”,進入“DHCP”頁麵配置DHCP服務,配置步驟為:
· 開啟DHCP服務。
· 配置VLAN接口1工作在DHCP服務器模式。
· 進入“地址池 > 地址分配”頁麵,點擊<添加地址池>按鈕,創建名稱為pool1的地址池,配置該地址池動態分配的地址段為1.1.1.0/24,在“地址池選項”頁簽中配置網關地址為1.1.1.1。
· 進入“地址池 > 地址池選項”頁麵”,配置DHCP選項43為客戶端分配AC的IP地址,類型為十六進製數串,選項內容為800700000101010101。
(3) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP全局配置”,進入“AP全局配置”頁麵開啟自動AP功能。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP”,進入“AP”頁麵可以查看到上線的自動AP。
如圖2-4所示,AC通過交換機和AP 1、AP 2、AP 3、AP 4相連;將AP1加入group1,AP 2、AP 3和AP 4加入group2。AP 1、AP 2、AP 3和AP4名字分別為ap1、ap2、ap3和ap4。
圖2-4 AP組配置舉例
(1) 配置AP通過DHCP方式獲取AP IP地址及AC IP地址(略)。
(2) 配置AP組
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP組”,進入“AP組”頁麵,配置步驟為:
· 添加兩個AP組,配置AP組名稱為group1和group2。
· 選中AP組group1,單擊<配置入組規則 >,創建名稱為ap1的AP名稱入組規則。
· 選中AP組group2,單擊<配置入組規則>,創建名稱為ap2、ap3和ap4的AP名稱入組規則。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP組”,進入“AP組”頁麵,選中AP組,查看AP組group1和group2的AP列表,可以看到ap1加入到AP組group1中,ap2、ap3和ap4加入到AP組group2中。
如圖2-5所示,AP通過交換機與AC相連。對AP上的5GHz射頻進行配置,配置要求如下:
· 配置射頻模式為802.11ac,配置信道為48,最大功率為19dBm。
· 配置802.11ac的最大基本NSS為2,最大支持NSS為3,組播NSS為2,VHT-MCS索引值為5。
· 配置A-MPDU功能、A-MSDU功能來提高AP的吞吐量。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 射頻管理”,進入“射頻配置”頁麵,配置步驟為:
· 在“所有AP的射頻”中選擇對應名稱AP的5GHz射頻進行編輯,在“基礎”頁麵,配置射頻模式為802.11ac(5GHz),配置信道為48,最大功率為19dBm。
· 配置802.11ac的最大基本NSS為2,最大支持NSS為3,組播NSS為2,組播VHT-MCS為5。
· 開啟A-MPDU和A-MSDU功能。
· 開啟射頻。
單擊頁麵左側導航欄的“無線配置 > 射頻管理”,進入“射頻配置”頁麵可以查看射頻上當前的配置。
如圖2-6所示,AP通過交換機與AC相連。控製AP上的射頻1在每周的非工作時間關閉,禁止員工接入無線網絡。非工作時間為:周一至周五的00:00~08:00、22:00~24:00,周六及周日全天。
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為service。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP。
· 配置AP型號及序列號。
· 進入AP的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP的Radio 1射頻。
(3) 配置定時關閉射頻功能
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“射頻配置”頁麵。點擊“定時關閉射頻”的“更多”按鈕進入“詳細信息”頁麵,配置步驟為:
· 在“定時關閉射頻”頁簽下添加待控製射頻。
· 勾選AP的射頻1。
· 添加時間段,配置時間段名稱,而後添加三條“周期時間段”:配置開始時間與結束時間00:00~08:00,日期為周一至周五;配置開始時間與結束時間22:00~24:00,日期為周一至周五;配置開始時間與結束時間00:00~24:00,日期為周六與周日。
單擊頁麵左側導航欄的“無線配置 > 射頻管理 > 射頻配置”,在“射頻配置”頁麵查看“定時關閉射頻”一欄,若設備上的係統時間介於配置的關閉射頻的時間範圍內,則該定時關閉任務的生效狀態將顯示為“生效中”,射頻處於關閉狀態,用戶無法接入。若設備上的係統時間不在配置的關閉射頻的時間範圍內,則射頻處於開啟狀態,用戶可以接入。
如圖2-7所示,AP通過交換機與AC相連。通過Map文件對AP進行配置,使Client 1和Client 2相互隔離。
圖2-7 指定AP的配置文件組網圖
(1) 配置AP通過DHCP方式獲取AP IP地址及AC IP地址、無線服務和射頻管理(略)。
(2) 編輯AP配置文件,將基於VLAN的用戶隔離功能配置步驟中的命令按順序編寫到配置文件中,保存為apcfg.txt。
(3) 指定AP配置文件
單擊單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,單擊頁麵左側導航欄的“無線配置 > AP管理”,進入AP管理頁麵。然後點擊AP顯示信息的“編輯”按鈕,在“Map文件”配置項處選擇為apcfg.txt,點擊確定完成配置。
用戶Client 1和Client 2都可以訪問Internet,但是不能相互訪問。
如圖2-8所示,AP 1、AP 2和AP 3通過交換機與AC相連,且在同一AP組中。通過Map文件對AP組進行配置,使每個AP下的客戶端相互隔離。
圖2-8 指定AP的配置文件組網圖
(1) 配置AP通過DHCP方式獲取AP IP地址及AC IP地址、將AP加入AP組、配置無線服務和射頻管理(略)。
(2) 編輯AP組配置文件,將基於VLAN的用戶隔離功能配置步驟中的命令按順序編寫到配置文件中,保存為apcfg.txt。
(3) 指定AP組配置文件
單擊單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,單擊頁麵左側導航欄的“無線配置 > AP管理”,點擊AP組頁簽,進入AP組管理頁麵。然後點擊AP組顯示信息的“編輯”按鈕,進入AP組管理頁麵,點擊“Map文件配置”頁簽,選擇Map文件為apcfg.txt,點擊確定完成配置。
用戶Client 1和Client 2都可以訪問Internet,但是不能相互訪問。
如圖2-9所示,AP通過交換機與AC相連,AP 1和AP 2為Client提供無線服務,SSID為“abc”,在Sensor上開啟WIPS功能,配置分類策略,將非法客戶端的MAC地址(000f-1c35-12a5)添加到靜態禁用列表中,將SSID“abc”添加到靜態信任列表中,要求對檢測到的潛在外部AP和非授權客戶端進行反製。
圖2-9 WIPS分類與反製組網圖
(1) 配置手工AP。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 創建AP名稱為AP1、AP2和Sensor。
· 配置AP的型號、序列號。
· 在AP1和AP2上綁定SSID為“abc”的無線服務。
(2) 配置WIPS功能。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線安全 > WIPS”,進入“WIPS”頁麵,配置步驟為:
· 在“虛擬安全域”頁簽下,單擊左上角的“+”:創建虛擬安全域VSD_1。
· 單擊“開啟WIPS”頁簽,編輯名稱為Sensor的AP,選擇開啟WIPS的射頻接口,並加入虛擬安全域VSD_1中。
· 單擊“分類策略”頁簽,創建分類策略class1,將Client 2的MAC地址配置為禁用MAC地址,將SSID abc添加到信任SSID中。
· 單擊“反製策略”頁簽,創建反製策略protect,反製未授權客戶端和潛在外部AP。
· 編輯虛擬安全域VSD_1,應用分類策略class1和反製策略protect。
· 單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“監控 > 無線安全”,進入“無線安全”頁麵,在設備信息頁麵中可以查看無線設備的分類結果,在虛擬安全域VSD_1,MAC地址為000f-e223-1616的AP被分類成潛在外部AP,MAC地址為000f-1c35-12a5的客戶端被分類為未授權的客戶端。
· 單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“監控 > 無線安全”,進入“無線安全”頁麵,在反製記錄頁麵中可以查看反製過的設備記錄信息,在虛擬安全域VSD_1,MAC地址為000f-1c35-12a5的未授權客戶端和MAC地址為000f-e223-1616的潛在外部AP被反製。
如圖2-10所示,AP通過交換機與AC相連,將兩台AP分別配置為Sensor,配置虛擬安全域VSD_1,並配置兩台Sensor屬於這個虛擬安全域,當檢測到攻擊者對無線網絡進行IE重複的畸形報文或Beacon幀泛洪攻擊時,AP向AC發送告警信息。
(1) 配置手工AP。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP管理”頁麵,配置步驟為:
· 創建AP名稱為Sensor 1和Sensor 2。
· 配置AP的型號、序列號。
(2) 配置WIPS功能。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線安全 > WIPS”,進入“WIPS”頁麵,配置步驟為:
· 在“虛擬安全域”頁簽下,單擊左上角的“+”:創建虛擬安全域VSD_1。
· 單擊“開啟WIPS”頁簽,編輯名稱為Sensor 1和Sensor 2的AP,選擇開啟WIPS的射頻接口,並加入虛擬安全域VSD_1。
· 單擊“攻擊檢測策略”頁簽,創建攻擊檢測策略,配置當檢測到IE重複的畸形報文和Beacon幀泛洪攻擊時,向AC發送日誌信息或告警信息。檢測IE重複的畸形報文的靜默時間為50秒,檢測Beacon幀的統計周期為100秒,觸發閾值為200,靜默時間為50秒。
· 編輯虛擬安全域VSD_1,應用攻擊檢測策略。
· 單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“監控 > 無線安全”,進入“無線安全”頁麵,當網絡中沒有攻擊者時,查看攻擊統計信息,畸形報文和泛洪報文的統計個數為0。
· 單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“監控 > 無線安全”,進入“無線安全”頁麵,當檢測到IE重複的畸形報文和Beacon幀泛洪攻擊時,查看攻擊統計信息,可以查看到IE重複的畸形報文和Beacon幀泛洪攻擊的統計個數。
如圖2-11所示,AP通過交換機與AC相連,AP1和AP2為Client提供無線服務,SSID為“abc”,在Sensor上開啟WIPS功能,配置Signature檢測,檢測無線環境中是否存在其他的無線服務,對SSID不是abc的Beacon幀進行檢測,Sensor向AC發送告警信息。
圖2-11 WIPS的攻擊檢測組網圖
(1) 配置手工AP。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 創建AP名稱為AP1、AP2和Sensor。
· 配置AP的型號、序列號。
· 在AP1和AP2上綁定SSID為“abc”的無線服務。
(2) 配置WIPS功能。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線安全 > WIPS”,進入“WIPS”頁麵,配置步驟為:
· 在“虛擬安全域”頁麵下,單擊左上角的“+”:創建虛擬安全域VSD_1。
· 單擊“開啟WIPS”頁簽,編輯名稱為Sensor的AP,選擇開啟WIPS的射頻接口,並加入虛擬安全域VSD_1中。
· 單擊“Signature規則”頁簽,創建Signature規則1,配置子規則對SSID不是abc的Beacon幀進行檢測。
· 單擊“Signature策略”頁簽,創建Signature策略sig1,應用Signature規則1,配置檢測間隔為5秒,發出告警後的靜默時間為60秒,統計次數的閾值為60。
· 編輯虛擬安全域VSD_1,應用Signature策略。
· 當檢測到SSID為“free_wlan”的無線服務後,AC會收到Sensor發送的告警信息。
· 查看Signature檢測統計信息,可以查看到Signature檢測的統計個數。
AC與二層交換機Switch相連,AP和AC在同一個網絡。在AC上配置客戶端限速功能,使AP分別在入方向上以靜態模式、在出方向上以動態模式限製無線客戶端的速率。
圖2-12 客戶端限速配置舉例組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為service。
· 開啟無線服務。
(2) 配置AP及序列號
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP”頁麵,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的射頻1。
(3) 配置客戶端限速功能
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線QoS > 客戶端限速 > 基於無線服務配置”頁麵,配置步驟為:
· 修改名稱為service的無線服務。
· 指定入方向限速模式為靜態。
· 指定入方向每客戶端限速速率為8000。
· 指定出方向限速模式為動態。
· 指定出方向所有客戶端總限速速率為8000。
(4) 開啟射頻
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 射頻管理”頁麵,開啟AP 1的射頻1。
配置完成後,在兩個客戶端上進行測速。每個客戶端的上行速率不超過8Mbps,下行速率均不超過4Mbps。
在某企業內,三個客戶端分別通過名為research、office、entertain的SSID接入無線網絡。為了滿足企業網絡正常運行的需求,要求在同一個AP內,保證無線服務office的帶寬占總帶寬的20%,無線服務research的帶寬占總帶寬的80%,無線服務entertain沒有分配固定帶寬。
圖2-13 智能帶寬保障配置舉例組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”頁麵,配置步驟為:
· 創建三個無線服務,名稱分別為office、research、entertain。
· 配置SSID,分別為office、research、entertain。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理 > AP”頁麵,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務office、research、entertain綁定到AP 1的射頻1。
(3) 配置智能帶寬保障功能
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線QoS > 智能帶寬保障 > AP配置”頁麵,配置步驟為:
· 修改AP 1的帶寬保障功能參數。
· 開啟智能帶寬保障。
· 指定無線服務office的帶寬保障占比為20%。
· 指定無線服務research的帶寬保障占比為80%。
(4) 開啟射頻
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 射頻管理”頁麵,開啟AP 1的射頻1。
完成上述配置後,在“無線配置 > 無線QoS > 智能帶寬保障 > AP配置”頁麵能看到AP 1的實際帶寬占比值。在網絡出現擁塞時,接入office的客戶端能保障獲得最少20%的帶寬,接入research的客戶端能保障獲得最少80%的帶寬,接入entertain的客戶端所能獲得的帶寬無法得到保障。
AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。通過配置客戶端在鏈路層使用WEP密鑰12345接入無線網絡。
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為“service1”。
· 配置SSID為“service”。
· 開啟無線服務。
(2) 配置認證模式為靜態WEP密鑰
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,在“無線網絡”頁麵單擊service1的編輯按鈕,再單擊頁麵上方的“鏈路層認證”,配置步驟為:
· 選擇認證模式為“靜態WEP密鑰”。
· 選擇密鑰類型為“Passphrase”。
· 選擇加密套件為“WEP 40”。
· 明文密鑰為“12345”。
(3) 將無線服務綁定到AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 選中創建的無線服務service1,點擊<綁定到AP>按鈕,進入到“綁定到AP”頁麵。
· 選中AP的5GHz射頻單元,點擊“快速綁定”。
(4) 驗證配置
配置完成後,單擊左側導航欄“無線配置 > 無線網絡 >”進入“無線網絡”頁麵,然後單擊名稱為“service1”的無線服務後麵的詳情,可以看到已經創建的名稱為service1無線服務以及配置的認證信息。
· AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。通過配置客戶端PSK密鑰12345678接入無線網絡。
· 客戶端鏈路層認證使用開放式係統認證,用戶接入認證使用Bypass認證的方式實現客戶端可以不需要認證直接接入WLAN網絡的目的。
· 通過配置客戶端和AP之間的數據報文采用PSK身份認證與密鑰管理模式來確保用戶數據的傳輸安全。
(1) 創建無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建無線服務,名稱為“service1”。
· 配置SSID為“service”。
· 開啟無線服務。
(2) 配置認證模式為靜態PSK密鑰
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,在“無線網絡”頁麵單擊service1的編輯按鈕,再單擊頁麵上方的“鏈路層認證”,配置步驟為:
· 選擇認證模式為“靜態PSK密鑰”。
· 選擇安全模式為“WPA”。
· 選擇加密套件為“CCMP”。
· 選擇密鑰類型為“Passphrase”,明文密鑰為12345678。
(3) 將無線服務綁定到AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 選中創建的無線服務service1,點擊<綁定到AP>按鈕,進入到“綁定到AP”頁麵。
· 選中AP的5GHz射頻單元,點擊“快速綁定”。
配置完成後,單擊左側導航欄“無線配置 > 無線網絡 >”進入“無線網絡”頁麵,然後單擊名稱為“service1”的無線服務後麵的詳情,可以看到已經創建的名稱為service1無線服務以及配置的認證信息。
· AC旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。通過配置客戶端PSK密鑰12345678接入無線網絡。
· 客戶端鏈路層認證使用開放式係統認證,客戶端通過RADIUS服務器進行MAC地址認證。
· 通過配置客戶端和AP之間的數據報文采用PSK認證密鑰管理模式來確保用戶數據的傳輸安全。
圖2-16 PSK密鑰管理模式和MAC認證配置組網圖
在RADIUS服務器上配置,將Client的MAC地址作為認證的用戶名和密碼,且該MAC地址在配置時不能出現大寫和連字符。完成RADIUS服務器的其它配置,並保證用戶的認證/授權/計費功能正常運行。
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“網絡安全 > 認證”,然後單擊“RADIUS”,再單擊<添加>按鈕,添加RADIUS方案,配置步驟為:
· 方案名稱為“PSKMAC”。
· 指定主認證服務器IP地址為10.1.1.1,端口號為1812,共享密鑰為name。設置主認證服務器狀態為活動。
· 指定主計費服務器IP地址為10.1.1.1,端口號為1813,共享密鑰為name。設置主計費服務器狀態為活動。
· 在顯示高級設置裏指定發送給RADIUS服務器的用戶名格式為不攜帶域名。
(2) 配置ISP域
單擊左側導航欄“網絡安全 > 認證”,進入“ISP域”頁麵配置,配置步驟為:
· 添加ISP域,名稱為“dm1X”,並將該ISP域的狀態設置為“活動”。
· 指定接入方式為“LAN接入”。
· 指定LAN接入AAA方案的認證、授權和計費的方法均為“RADIUS”,方案都選擇“PSKMAC”。
· 單擊<確定>按鈕。
(3) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為“service1”。
· 配置SSID為“service”。
· 開啟無線服務。
(4) 配置認證模式為靜態PSK密鑰和MAC地址認證
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,在“無線網絡”頁麵單擊service1的編輯按鈕,再單擊頁麵上方的“鏈路層認證”,配置步驟為:
· 選擇認證模式為“靜態PSK密鑰”和“MAC地址認證”。
· 選擇安全模式為“WPA”。
· 選擇加密套件為“CCMP”。
· 選擇密鑰類型為“Passphrase”,明文密鑰為12345678。
· 配置MAC地址認證域名為“dom1”。
(5) 將無線服務綁定到AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 選中創建的無線服務service1,點擊<綁定到AP>按鈕,進入到“綁定到AP”頁麵。
· 選中AP的5GHz射頻單元,點擊“快速綁定”。
(6) 驗證配置
配置完成後,單擊左側導航欄“無線配置 > 無線網絡 >”進入“無線網絡”頁麵,然後單擊名稱為“service1”的無線服務後麵的詳情,可以看到已經創建的名稱為service1無線服務以及配置的認證信息。
用戶接入無線網絡,AC對接入的用戶進行802.1X認證以控製其訪問Internet,具體要求如下:
· RADIUS服務器作為認證/授權/計費服務器與AC相連,其IP地址為10.1.1.1/24。
· AC對802.1X用戶進行認證時,采用RADIUS認證方式,認證ISP域為dm1X。
· AC與RADIUS認證/授權和計費服務器交互報文時的共享密鑰均為name,認證/授權、計費的端口號分別為1812和1813,向RADIUS服務器發送的用戶名不攜帶域名。
圖2-17 802.1X用戶的RADIUS認證配置組網圖
(1) 配置各接口的IP地址(略)
(2) 配置RADIUS方案
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“網絡安全 > 認證”,然後單擊“RADIUS”,再單擊<添加>按鈕,添加RADIUS方案,配置步驟為:
· 方案名稱為“802.1X”。
· 指定主認證服務器IP地址為10.1.1.1,端口號為1812,共享密鑰為name。設置主認證服務器狀態為活動。
· 指定主計費服務器IP地址為10.1.1.1,端口號為1813,共享密鑰為name。設置主計費服務器狀態為活動。
· 在顯示高級設置裏指定發送給RADIUS服務器的用戶名格式為不攜帶域名。
(3) 配置ISP域
單擊左側導航欄“網絡安全 > 認證”,進入“ISP域”頁麵配置,配置步驟為:
· 添加ISP域,名稱為“dm1X”,並將該ISP域的狀態設置為“活動”。
· 指定接入方式為“LAN接入”。
· 指定LAN接入AAA方案的認證、授權和計費的方法均為“RADIUS”,方案都選擇“802.1X”。
· 單擊<確定>按鈕。
(4) 配置802.1X
單擊左側導航欄“無線配置 > 無線網絡”,進入無線網絡頁麵配置,單擊<添加>按鈕,配置步驟為:
· 基礎設置部分配置無線服務名稱和SSID。
· 安全認證部分認證模式選擇“802.1X認證”。
· 域名為“dm1X”。
· 單擊<確定>按鈕。
(5) 配置RADIUS服務器
在RADIUS服務器上添加用戶帳戶,保證用戶的認證/授權/計費功能正常運行。具體配置方法請參考關於RADIUS服務器的配置說明。
(1) 單擊左側導航欄“網絡安全 > 認證”,然後單擊“RADIUS”頁簽,可以看到已添加成功的RADIUS方案802.1X的概要信息。
(2) 單擊左側導航欄“網絡安全 > 認證”,在ISP域頁麵上,可以看到已添加成功的ISP域的dm1X的概要信息。
(3) 用戶啟動802.1X客戶端,輸入正確的用戶名和密碼之後,可以成功上線。
用戶接入無線網絡,AC對接入的用戶進行802.1X認證以控製其訪問Internet,具體要求如下:
· AC對802.1X用戶采用本地認證,認證域為abc。
· 802.1X用戶的認證名為dotuser,認證密碼為12345。
圖2-18 802.1X用戶的本地認證配置組網圖
(1) 配置各接口的IP地址(略)
(2) 配置本地用戶
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“網絡安全 > 用戶管理”,進入“本地用戶”頁麵配置,配置步驟為:
· 添加用戶,用戶名為“dotuser”,密碼為“12345”。
· 指定可用服務為“LAN接入”。
(3) 配置ISP域
單擊左側導航欄“網絡安全 > 認證”,進入“ISP域”頁麵配置,配置步驟為:
· 添加ISP域,名稱為“abc”,並將該ISP域的狀態設置為“活動”。
· 指定接入方式為“LAN接入”。
· 指定LAN接入AAA方案的認證方法為本地認證,授權方法為本地授權,計費方法為不計費。
(4) 配置802.1X
單擊左側導航欄“無線配置 > 無線網絡”頁麵配置,配置步驟為:
· 基礎設置部分配置無線服務名稱和SSID。
· 安全認證部分認證模式選擇“802.1X認證”。
· 域名為“abc”。
(1) 完成上述配置後,單擊左側導航欄“網絡安全 > 用戶管理”,在“本地用戶”頁麵上可以看到已成功添加的本地用戶。
(2) 單擊左側導航欄“網絡安全 > 認證”,在“ISP域”頁麵上可以看到已經成功添加的ISP域。
(3) 用戶啟動802.1X客戶端,輸入正確的用戶名和密碼之後,可以成功上線。
· AP旁掛在Switch上,Switch同時作為DHCP server為AP和Client分配IP地址。
· 客戶端鏈路層認證使用開放式係統認證,客戶端通過802.1X接入認證的方式實現客戶端可使用用戶名abcdef和密碼123456接入WLAN網絡的目的。
· 通過配置客戶端和AP之間的數據報文采用802.1X身份認證與密鑰管理來確保用戶數據的傳輸安全。
圖2-19 802.1X認證配置組網圖
完成RADIUS服務器的配置,添加用戶帳戶,用戶名為abcedf,密碼為123456,並保證用戶的認證/授權/計費功能正常運行。
(1) 配置RADIUS方案
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“網絡安全 > 認證”,然後單擊“RADIUS”,再單擊<添加>按鈕,添加RADIUS方案,配置步驟為:
· 方案名稱為“802.1X”。
· 指定主認證服務器IP地址為10.1.1.1,端口號為1812,共享密鑰為name。設置主認證服務器狀態為活動。
· 指定主計費服務器IP地址為10.1.1.1,端口號為1813,共享密鑰為name。設置主計費服務器狀態為活動。
· 在顯示高級設置裏指定發送給RADIUS服務器的用戶名格式為不攜帶域名。
(2) 配置ISP域
單擊左側導航欄“網絡安全 > 認證”,進入“ISP域”頁麵配置,配置步驟為:
· 添加ISP域,名稱為“dom1”,並將該ISP域的狀態設置為“活動”。
· 指定接入方式為“LAN接入”。
· 指定LAN接入AAA方案的認證、授權和計費的方法均為RADIUS,方案都選擇“802.1X”。
· 單擊<確定>按鈕。
(3) 配置無線服務
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 單擊<添加>按鈕,創建一個無線服務,無線服務名稱為“service1”。
· 配置SSID為“service”。
· 無線服務狀態選擇“開啟”。
· 單擊<確定>按鈕。
(4) 配置認證模式為802.1X認證
完成上述配置後,會返回“全部網絡 > 無線配置 > 無線網絡 > 無線網絡 >”頁麵,單擊無線名稱為“service1”表項後麵的<編輯>按鈕,再單擊頁麵上方的“鏈路層認證”,進入認證配置頁麵,配置步驟為:
· 選擇認證模式為“802.1X認證”。
· 選擇安全模式為“WPA”。
· 選擇加密套件為“CCMP”。
· 配置域名為“dom1”。
· 單擊<確定>按鈕。
(5) 將無線服務綁定到AP
進入“全部網絡 > 無線配置 > 無線網絡 > 無線網絡”頁麵,配置步驟:
· 選中創建的無線服務service1,單擊“綁定到AP”按鈕,進入到“綁定到AP”頁麵。
· 選中AP的5GHz射頻單元,單擊“快速綁定”。
(6) 驗證配置
配置完成後,單擊左側導航欄“無線配置 > 無線網絡 >”進入“無線網絡”頁麵,然後單擊名稱為“service1”的無線服務後麵的詳情,可以看到已經創建的名稱為service1無線服務以及配置的認證信息。
在本地轉發模式下,對通過無線接入的用戶采用直接認證方式。
· 無線客戶端通過手工配置或DHCP獲取的IP地址進行認證,在通過Portal認證前,隻能訪問Portal Web服務器;在通過Portal認證後,可以使用此IP地址訪問非受限互聯網資源。
· 采用一台Portal服務器承擔Portal認證服務器和Portal Web服務器的職責。
· 采用RADIUS服務器作為認證/計費服務器。
圖2-20 Portal直接認證配置組網圖
· 按照組網圖配置設備各接口的IP地址,保證啟動Portal之前各Client、服務器和AC之間的路由可達。
· 完成RADIUS服務器上的配置,保證用戶的認證/計費功能正常運行。
· 完成AP上的配置,保證AP與AC能夠互通。
(1) 配置RADIUS方案
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“網絡安全 > 認證”,然後單擊“RADIUS”,再單擊<添加>按鈕,添加RADIUS方案,配置步驟為:
· 方案名稱為“Portal”。
· 指定主認證服務器IP地址為10.1.1.1,端口號為1812,共享密鑰為name。設置主認證服務器狀態為活動。
· 指定主計費服務器IP地址為10.1.1.1,端口號為1813,共享密鑰為name。設置主計費服務器狀態為活動。
· 在顯示高級設置裏指定發送給RADIUS服務器的用戶名格式為不攜帶域名。
(2) 配置ISP域
單擊左側導航欄“網絡安全 > 認證”,進入“ISP域”頁麵配置,配置步驟為:
· 添加ISP域,名稱為“dm1”,並將該ISP域的狀態設置為“活動”。
· 指定接入方式為“LAN接入”。
· 指定LAN接入AAA方案的認證、授權和計費的方法均為“RADIUS”,方案都選擇“Portal”。
· 單擊<確定>按鈕。
(3) 配置Portal Web服務器
單擊左側導航欄“網絡安全 > 接入管理”,然後單擊“Portal”頁簽,單擊“Portal Web服務器”,進入Portal Web服務器配置頁麵,單擊“添加”按鈕,然後配置服務器名稱為“newpt”。
(4) 配置無線服務
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“無線配置 > 無線網絡 >”進入“無線網絡”頁麵,配置步驟為:
· 單擊<添加>按鈕,創建一個無線服務,無線服務名稱為“service1”。
· 配置SSID為“service”。
· 無線服務狀態選擇“開啟”。
· 單擊<確定>按鈕。
(5) 配置認證模式為“Portal認證”
完成上述配置後,會返回“全部網絡 > 無線配置 > 無線網絡 > 無線網絡 >”頁麵,單擊無線名稱為“service1”表項後麵的<編輯>按鈕,再單擊頁麵上方的“鏈路層認證”,進入認證配置頁麵,配置步驟為:
· 選擇認證模式為“IPv4 Portal認證”。
· 配置域名為“dm1”。
· 選擇Web服務器名稱為“newpt”。
· 配置BAS-IP為“192.168.0.110”。
· 單擊<確定>按鈕。
(6) 將無線服務綁定到AP
進入“全部網絡 > 無線配置 > 無線網絡 > 無線網絡”頁麵,配置步驟:
· 選中創建的無線服務service1,單擊“綁定到AP”按鈕,進入到“綁定到AP”頁麵。
· 選中AP的5GHz射頻單元,單擊“綁定”按鈕。
· 配置綁定到VLAN 2,單擊“確定”按鈕。
(7) 驗證配置
配置完成後,單擊左側導航欄“無線配置 > 無線網絡 >”進入“無線網絡”頁麵,然後單擊名稱為“service1”的無線服務後麵的詳情,可以看到已經創建的名稱為service1無線服務以及配置的認證信息。
如圖2-21所示,客戶端通過AP接入無線服務,當信道變差達到信道調整觸發條件時,AC能自動切換信道,保證客戶端的無線服務質量。
(1) 配置AP射頻的配置信道(缺省為自動選擇,且信道不鎖定)
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“射頻配置”頁麵,配置AP 1、AP 2、AP 3上射頻的配置信道為“自動選擇不鎖定”。
(2) 配置RRM
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“射頻優化”頁麵,在“AP RRM配置”中開啟AP 1、AP 2、AP 3上射頻的自動信道調整功能。
調整周期超時後,如果某個AP的當前工作信道質量達到任意一個信道調整門限,AC將為該AP進行信道調整。單擊頁麵左側導航欄的“ 監控 > 射頻監控”,進入“射頻優化”頁麵,可以查看信道調整前後,AP所使用的信道和信道調整的詳細信息。
如圖2-22所示,無線網絡中原本存在AP 1~AP 3,每個AP上僅開啟Radio 1,客戶端通過AP 1接入無線網絡。要求當AP 4加入AC時,各AP能夠自動調整發送功率。
(1) 配置AP射頻的功率鎖定狀態為關閉
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“射頻配置”頁麵,配置AP 1、AP 2、AP 3和AP 4的功率鎖定狀態為關閉。
(2) 配置RRM
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“射頻優化”頁麵,在“AP RRM配置”中開啟AP 1、AP 2、AP 3和AP 4的自動功率調整功能。
調整周期超時後,如果某個AP的當前發送功率達到功率調整門限,AC將為該AP進行功率調整。單擊頁麵左側導航欄的“ 監控 > 射頻監控”,進入“射頻優化”頁麵,可以查看功率調整前後,AP所使用的功率和功率調整的詳細信息。
如圖2-23所示,客戶端通過AP接入無線服務。當射頻的鄰居Radio數量達到頻寬調整觸發條件時,AC自動調整射頻頻寬,以保證客戶端的無線服務質量。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 射頻管理”,進入“射頻優化”頁麵,配置步驟為:
· 在“快速調整”中開啟全局頻寬調整功能。
· 單擊“快速調整”的“更多”按鈕進入“調整周期”頁麵,配置頻寬調整周期為10分鍾。
調整周期超時後,如果某個射頻的鄰居射頻數量達到頻寬調整條件時,AC將對該AP的射頻進行頻寬調整。
單擊頁麵左側導航欄的“無線配置 > 射頻管理”,進入“射頻優化”頁麵,單擊“AP RRM配置”的“更多”按鈕進入“詳細信息”頁麵,在“RRM曆史調整信息”頁麵可以查看射頻調整前後的頻寬。
AC連接了兩個AP,這兩個AP的Radio覆蓋區域有重疊,為了對這兩個AP上Radio的接入載荷進行負載均衡,有以下要求:
· 負載均衡的評判依據為在線客戶端數量。
· 當Radio上的在線客戶端數量達到或超過3,並且與另一個Radio上的在線客戶端數量差值達到或超過2,開始運行負載均衡。
圖2-24 會話模式的負載均衡配置組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為session-balance。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
· 配置AP名稱為AP2。
· 配置AP型號及序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的Radio 2射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的Radio 2射頻。
(3) 配置負載均衡
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“負載均衡”頁麵,配置步驟為:
· 點擊“全局配置”的“更多”按鈕進入“詳細信息”頁麵,選擇狀態為“開啟”。
· 選擇模式為“會話模式”。
· 配置會話門限值為3,會話差值門限值為2。
Client 2、Client 3、Client 4已接入AP 2的Radio 2,Client 1已接入AP 1的Radio 2,兩個Radio接入客戶端數量的差值達到2,AP 2的Radio 2開始運行負載均衡。Client 5欲接入AP 2被拒絕,而後接入到AP 1。通過單擊頁麵左側導航欄的“ 監控 > 客戶端”,進入“客戶端”頁麵,可以查看到AP 1的Radio 2和AP 2的Radio 2上關聯的客戶端數量達到均衡。
AC連接了兩個AP,這兩個AP的Radio覆蓋區域有重疊,每個2.4GHz頻段射頻的射頻模式均為802.11gn。為了對這兩個AP上Radio的接入載荷進行負載均衡,有以下要求:
· 負載均衡的評判依據為Radio的流量值。
· 當Radio上的流量達到或超過50Mbps(即流量值為占Radio最大支持帶寬的20%),並且與另一個Radio上的流量差值達到或超過25Mbps(即流量差值為占Radio最大支持帶寬的10%),開始運行負載均衡。
圖2-25 流量模式的負載均衡配置組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為traffic-balance。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
· 配置AP名稱為AP2。
· 配置AP型號及序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的Radio 2射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的Radio 2射頻。
(3) 配置負載均衡
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“負載均衡”頁麵,配置步驟為:
· 點擊“全局配置”的“更多”按鈕進入“詳細信息”頁麵,選擇狀態為“開啟”。
· 選擇模式為“流量模式”。
· 配置流量門限值為20,流量差值門限值為10。
當AP 1的Radio 2上的流量達到50Mbps,並且與AP 2的Radio 2上的流量差值達到或超過25Mbps時,開始運行負載均衡。通過單擊頁麵左側導航欄的“ 監控 > 客戶端”,進入“客戶端”頁麵,可以查看到AP 1的Radio 2和AP 2的Radio 2上關聯的客戶端數量達到均衡。
AC連接了兩個AP,這兩個AP的Radio覆蓋區域有重疊,為了對這兩個AP上Radio的接入載荷進行負載均衡,有以下要求:
· 負載均衡的評判依據為Radio的帶寬值。
· 當Radio上的帶寬達到或超過12Mbps,並且與另一個Radio上的帶寬差值達到或超過3Mbps,開始運行負載均衡。
圖2-26 帶寬模式的負載均衡配置組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為bandwidth-balance。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
· 配置AP名稱為AP2。
· 配置AP型號及序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的Radio 2射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的Radio 2射頻。
(3) 配置負載均衡
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“負載均衡”頁麵,配置步驟為:
· 點擊“全局配置”的“更多”按鈕進入“詳細信息”頁麵,選擇狀態為“開啟”。
· 選擇模式為“帶寬模式”。
· 配置帶寬門限值為12Mbps,帶寬差值門限值為3Mbps。
當AP 1的Radio 2上的流量達到或超過12Mbps,並且與AP 2的Radio 2上的流量差值達到或超過3Mbps,開始運行負載均衡。通過單擊頁麵左側導航欄的“ 監控 > 客戶端”,進入“客戶端”頁麵,可以查看到AP 1的Radio 2和AP 2的Radio 2上關聯的客戶端數量達到均衡。
AC連接了三個AP,這三個AP的radio覆蓋區域有重疊,為了對這三個AP上Radio的接入載荷進行負載均衡,有以下要求:
· 負載均衡的評判依據為在線客戶端數量。
· 僅需要對AP 1的Radio 2和AP 2的Radio 2進行負載均衡。
· 當Radio上的在線客戶端數量達到或超過3,並且與另一個Radio上的在線客戶端數量差值達到或超過2,開始運行負載均衡。
圖2-27 會話模式的負載均衡組配置組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為session-balance。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
· 配置AP名稱為AP2。
· 配置AP型號及序列號。
· 配置AP名稱為AP3。
· 配置AP型號及序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的Radio 2射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的Radio 2射頻。
· 進入AP 3的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 3的Radio 2射頻。
(3) 配置負載均衡
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“負載均衡”頁麵,配置步驟為:
· 點擊“全局配置”的“更多”按鈕進入“詳細信息”頁麵,選擇狀態為“開啟”。
· 選擇模式為“會話模式”。
· 配置會話門限值為3,會話差值門限值為2。
· 進入負載均衡組配置頁麵,創建負載均衡組1
· 將AP 1的Radio 2和AP 2的Radio 2綁定到負載均衡組中。
AP 1的Radio 2和AP 2的Radio 2在同一個負載均衡組中,AP 3的Radio 2沒有加入負載均衡組。由於負載均衡隻對組內的Radio生效,所以AP 3的Radio 2不參與負載均衡。
Client 3、Client 4、Client 5已接入AP 2的Radio 2,Client 1已接入AP 1的Radio 2,兩個Radio接入客戶端數量的差值達到2,AP 2的Radio 2開始運行負載均衡。Client 6欲接入AP 2被拒絕,而後接入到AP 1。通過單擊頁麵左側導航欄的“ 監控 > 客戶端”,進入“客戶端”頁麵,可以查看到AP 1的Radio 2和AP 2的Radio 2上關聯的客戶端數量達到均衡。
AC連接了三個AP,這三個AP的radio覆蓋區域有重疊,每個2.4GHz頻段射頻的射頻模式均為802.11gn。為了對這三個AP上Radio的接入載荷進行負載均衡,有以下要求:
· 負載均衡的評判依據為Radio的流量值。
· 僅需要對AP 1的Radio 2和AP 2的Radio 2進行負載均衡。
· 當Radio上的流量達到或超過50Mbps(即流量值為占Radio最大支持帶寬的20%),並且與另一個Radio上的流量差值達到或超過25Mbps(即流量差值為占Radio最大支持帶寬的10%),開始運行負載均衡。
圖2-28 流量模式的負載均衡組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為traffic-balance。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
· 配置AP名稱為AP2。
· 配置AP型號及序列號。
· 配置AP名稱為AP3。
· 配置AP型號及序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的Radio 2射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的Radio 2射頻。
· 進入AP 3的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 3的Radio 2射頻。
(3) 配置負載均衡
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“負載均衡”頁麵,配置步驟為:
· 點擊“全局配置”的“更多”按鈕進入“詳細信息”頁麵,選擇狀態為“開啟”。
· 選擇模式為“流量模式”。
· 配置流量門限值為20,流量差值門限值為10。
· 進入負載均衡組配置頁麵,創建負載均衡組1
· 將AP 1的Radio 2和AP 2的Radio 2綁定到負載均衡組中。
AP 1的Radio 2和AP 2的Radio 2在同一個負載均衡組中,AP 3的Radio 2沒有加入負載均衡組。由於負載均衡隻對組內的Radio生效,所以AP 3的Radio 2不參與負載均衡。
當AP 1的Radio 2上的流量達到50Mbps,並且與AP 2的Radio 2上的流量差值達到或超過25Mbps時,開始運行負載均衡。通過單擊頁麵左側導航欄的“ 監控 > 客戶端”,進入“客戶端”頁麵,可以查看到AP 1的Radio 2和AP 2的Radio 2上關聯的客戶端數量達到均衡。
AC連接了三個AP,這三個AP的radio覆蓋區域有重疊,為了對這三個AP上Radio的接入載荷進行負載均衡,有以下要求:
· 負載均衡的評判依據為Radio的帶寬值。
· 僅需要對AP 1的Radio 2和AP 2的Radio 2進行負載均衡。
· 當Radio上的帶寬達到或超過12Mbps,並且與另一個Radio上的帶寬差值達到或超過3Mbps,開始運行負載均衡。
圖2-29 帶寬模式的負載均衡組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為bandwidth-balance。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
· 配置AP名稱為AP2。
· 配置AP型號及序列號。
· 配置AP名稱為AP3。
· 配置AP型號及序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的Radio 2射頻。
· 進入AP 2的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 2的Radio 2射頻。
· 進入AP 3的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 3的Radio 2射頻。
(3) 配置負載均衡
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“負載均衡”頁麵,配置步驟為:
· 點擊“全局配置”的“更多”按鈕進入“詳細信息”頁麵,選擇狀態為“開啟”。
· 選擇模式為“帶寬模式”。
· 配置帶寬門限值為12Mbps,帶寬差值門限值為3Mbps。
· 進入負載均衡組配置頁麵,創建負載均衡組1
· 將AP 1的Radio 2和AP 2的Radio 2綁定到負載均衡組中。
AP 1的Radio 2和AP 2的Radio 2在同一個負載均衡組中,AP 3的Radio 2沒有加入負載均衡組。由於負載均衡隻對組內的Radio生效,所以AP 3的Radio 2不參與負載均衡。
當AP 1的Radio 2上的帶寬達到或超過12Mbps,並且與AP 2的Radio 2上的帶寬差值達到或超過3Mbps,開始運行負載均衡。通過單擊頁麵左側導航欄的“ 監控 > 客戶端”,進入“客戶端”頁麵,可以查看到AP 1的Radio 2和AP 2的Radio 2上關聯的客戶端數量達到均衡。
如圖2-30所示,AP通過交換機與AC相連,並開啟5GHz射頻和2.4GHz射頻。由於網絡中有些客戶端僅支持2.4GHz頻段,有些客戶端支持雙頻,就有可能導致2.4GHz射頻過載,5GHz射頻相對空餘。為了防止上述情況的出現,平衡兩個頻段的射頻負載,開啟頻譜導航功能。
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為band-navigation。
· 開啟無線服務。
· 關閉快速關聯。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的5GHz射頻和2.4GHz射頻。
(3) 配置頻譜導航
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 射頻管理”,進入“頻譜導航”頁麵,配置步驟為:
· 在“全局配置”頁麵,配置全局頻譜導航狀態為開啟,頻譜導航負載均衡的連接數門限為5,連接數差值門限為2。
· 在“AP配置”頁麵,配置AP 1頻譜導航狀態為開啟。
當支持雙頻的客戶端準備接入無線網絡時,會優先接入至AP的5GHz射頻上。
但是如果5GHz射頻上的客戶端數量達到或超過5,並且與2.4GHz射頻上的客戶端數量差值達到或超過2,客戶端會優先接入AP的2.4GHz射頻上。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“監控 > 客戶端”,進入“客戶端”頁麵,可以查看到AP 1的5GHz射頻和2.4GHz射頻上關聯的客戶端數量處於均衡狀態。
在如下圖所示的無線環境中,通過AP 1、AP 2和AP 3搜集Tag和Mobile設備的定位信息,然後提供給定位服務器進行定位。
(1) 配置定位服務器
· 在定位服務器上手工配置AP 1~AP 3的IP地址,或者選擇廣播方式發現AP。
· 在定位服務器上完成和定位相關的配置。
(2) 配置AP
在AC上,對AP 1~AP 3進行配置。這裏以AP 1為例。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 無線網絡”,進入“無線網絡”頁麵配置無線服務,配置步驟為:
· 創建一個無線服務,名稱為market。
· 開啟無線服務。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > AP管理”,進入“AP”頁麵配置AP,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
· 配置序列號。
· 進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務market綁定到AP 1的Radio1射頻。
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“無線配置 > 應用”,進入“無線定位”頁麵配置無線定位,配置步驟為:
· 單擊“全局配置”的“更多”按鈕,在“Aeroscout定位配置”頁麵下開啟Aeroscout定位。
· 單擊“AP配置”的“更多”按鈕,對AP1進行編輯,在“通用配置”頁麵下開啟忽略Beacon幀功能。在Aeroscout定位配置下,開啟Aeroscout定位功能,配置Radio1為開啟並且客戶端類型選擇Mobile設備和TAG設備。
在圖形軟件上用戶可以通過地圖、表格或者報告等形式獲取到無線網絡中MU和Tag設備的位置。
AC與組播源相連,AP通過交換機與AC相連。在Switch上開啟DHCP server功能,為AP和客戶端分配IP地址。Client 1、Client 2與Client 3進行無線接入。
· AP為Client 1~Client 3提供SSID為service的無線接入服務。
· 開啟組播優化功能,控製組播優化表項。
圖2-32 組播優化配置組網圖
(1) 配置無線服務
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 創建一個無線服務,名稱為service。
· 配置SSID為service。
· 開啟無線服務。
(2) 配置AP
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > AP管理”,進入“AP”頁麵,配置步驟為:
· 配置AP名稱為AP1。
· 配置AP型號及序列號。
進入AP 1的配置頁麵,在“無線服務配置”頁麵中將無線服務service綁定到AP 1的射頻1。
(3) 配置組播優化功能
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 無線配置 > 應用”,進入“組播優化”頁麵,單擊“IPv4組播優化”的“更多”按鈕,進入“網絡 > 無線配置 > 應用 > 組播優化 > IPv4組播優化”頁麵,配置步驟為:
在“IPv4組播優化狀態”頁簽下,開啟無線服務service的組播優化功能。
在“IPv4組播優化高級配置”頁簽下,配置以下參數:
· 組播優化表項的老化時間為300秒。
· 組播優化表項數量最大為1024個,為單個客戶端維護的表項數量最多為256個。
· 限製組播優化客戶端數量為2,超出限製數的無線客戶端的報文直接丟棄。
· 設備每60秒最多學習100個無線IGMP報文。
Client 1和Client 2先後接入到SSID名稱為service的無線服務中,請求組播源,加入該組播源所在的組播組。Client 1和Client 2都加入到了組地址為230.1.1.1、源地址為1.1.1.1的組播組中,並且都收到了所請求的數據流,組播優化功能正常運行。當Client 3加入組地址為230.1.1.1、源地址為1.1.1.1的組播組時,由於客戶端數量超過設置的閾值,所以Client1、Clinet2、Client 3無法收到所請求的數據流。
用戶通過AC接入網絡, AC對用戶進行802.1X認證以控製其訪問權限,具體要求如下:
· 802.1X用戶的認證名為dotuser,認證密碼為12345。
· AC使用開放式係統對802.1X用戶進行本地認證、授權,認證域為abc
· 終端類型為Microsoft Windows 8的802.1X用戶通過認證後將被授權訪問VLAN 3。
圖2-33 支持本地BYOD授權的802.1X用戶認證、授權配置組網圖
(1) 配置各接口的IP地址(略)
(2) 配置無線服務
單擊頁麵底部的<網絡>按鈕,然後單擊左側導航欄“無線配置 > 無線網絡”,進入“無線網絡”頁麵,配置步驟為:
· 單擊<添加>按鈕,創建一個無線服務,無線服務名稱為service1。
· 配置SSID為service。
· 無線服務狀態選擇“開啟”。
· 單擊<確定>按鈕。
(3) 配置認證模式為802.1X認證
完成上述配置後,會返回“全部網絡 > 無線配置 > 無線網絡 > 無線網絡”頁麵,單擊無線名稱為“service1”表項後麵的<編輯>按鈕,再單擊頁麵上方的“鏈路層認證”,進入認證配置頁麵,配置步驟為:
· 選擇認證模式為802.1X認證。
· 選擇安全模式為WPA。
· 選擇加密套件為CCMP。
· 配置域名為abc。
· 單擊<確定>按鈕。
(4) 將無線服務綁定到AP
進入“全部網絡 > 無線配置 > 無線網絡 > 無線網絡”頁麵,配置步驟為:
· 選中創建的無線服務service1,點擊“綁定到AP”按鈕,進入到“綁定到AP”頁麵。
· 選中AP的5GHz射頻單元,點擊“快速綁定”。
(5) 配置ISP域
單擊左側導航欄“網絡安全 > 認證”,進入“ISP域”配置頁麵,配置步驟為:
· 單擊<添加>按鈕,添加ISP域,域名為abc,並將該ISP域的狀態設置為活動。
· 指定接入方式為LAN接入。
· 指定LAN接入AAA方案的認證方法為本地認證,授權方法為本地授權,計費方法為不計費。
· 單擊<確定>按鈕。
(6) 配置本地用戶
單擊左側導航欄“網絡> 網絡安全 > 用戶管理”,進入“本地用戶”配置頁麵,配置步驟為:
· 單擊頁麵右上方<用戶組>按鈕,然後單擊<添加>按鈕,添加用戶組,用戶組名為windows8。
· 單擊<確定>按鈕,返回本地用戶頁麵。
· 單擊頁麵右上方<用戶>按鈕,然後單擊<添加>按鈕,添加用戶,用戶名為dotuser,密碼為12345。
· 指定可用的服務為LAN接入。
· 指定授權用戶組為windows8。
· 單擊<確定>按鈕。
(7) 配置BYOD授權
單擊左側導航欄“網絡安全 > BYOD”,然後單擊頁麵上方“BYOD授權”,進入BYOD授權配置頁麵,單擊用戶組windows8表項後麵的<編輯>按鈕,為用戶組windows8配置授權屬性:設備類型為Microsoft Windows 8、ACL編號為2000,授權VLAN為VLAN 3。
然後單擊表項右側的<添加>按鈕,最後單擊<確定>。
(8) 配置BYOD規則
完成上述配置後會返回到BYOD授權頁麵,單擊“BYOD規則”,新建一條自定義BYOD規則:DHCP Option 55為1,15,3,6,44,46,47,31,33,121,249,252,43.33,終端類型為Microsoft Windows 8。
以上配置完成後,使用Microsoft Windows 8終端的802.1X用戶通過認證後,可訪問VLAN 3中的網絡資源。
在AC上配置來賓管理功能,並為來賓Jack創建來賓用戶user1。具體要求如下:
· 為來賓Jack創建一個本地來賓用戶user1,並設置密碼、所屬用戶組、個人相關信息、有效期、以及接待人信息。
· 配置設備為來賓用戶業務發送電子郵件使用的SMTP服務器地址、發件人地址、來賓管理員的電子郵件地址。
· 配置設備發送給來賓用戶、來賓接待人、來賓管理員的郵件標題和內容。
· 來賓用戶賬戶過期後係統自動將其刪除。
圖2-34 來賓用戶管理配置組網圖
(1) 配置各接口的IP地址(略)
(2) 配置無線服務(略)
(3) 添加來賓用戶
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 網絡安全 > 來賓管理”,進入“來賓用戶”頁麵,配置步驟為:
· 添加用戶,賬號為user1,密碼為123456。
· 指定來賓用戶所屬的用戶組。(請根據實際需求選擇)
· 配置來賓用戶的姓名、公司名稱、電子郵箱、聯係電話、描述信息。(請根據實際情況配置)
· 配置來賓接待人的姓名、所屬部門、電子郵箱。(請根據實際情況配置)
· 配置來賓用戶的有效期。(請根據實際情況配置)
(4) 配置來賓業務參數
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 網絡安全 > 來賓管理”,進入“來賓業務參數”頁麵,配置步驟為:
· 開啟自動刪除失效來賓用戶功能。
· 配置發送電子郵件使用的SMTP服務器地址為smtp://192.168.0.112/smtp。
· 配置發件人電子郵箱為[email protected]。
· 配置來賓管理員電子郵箱為[email protected]。
· 配置發送給來賓用戶的通知郵件標題為Guest account information,郵件內容為A guest account has been created for your use. The username, password, and valid dates for the account are given below.。
· 配置發送給來賓管理員的通知郵件標題為Guest register information,郵件內容為A guest account has been registered. The username for the account is given below. Please approve the register information.。
· 配置發送給來賓接待人的通知郵件標題為Guest account information,郵件內容為A guest account has been created. The username, password, and valid dates for the account are given below.。
Jack使用用戶名user1和密碼123456在賬戶有效期內進行本地認證,可以認證通過並接入網絡。來賓用戶、來賓管理員和來賓接待人可收到來賓用戶被創建的通知郵件,郵件標題、內容與配置相同。來賓用戶賬戶過期後係統已自動將其刪除。
· 在AP的Radio 1上開啟本地報文捕獲功能,要求捕獲1KB的協議類型為TCP,且報文的源IP地址為192.168.20.173的報文。
· Switch做為FTP服務器,保存AP發送的被捕獲報文。
圖2-35 本地報文捕獲組網圖
確保裝有報文捕獲軟件的PC與AP路由可達。
(1) 配置Switch
# 在Switch上添加一個FTP用戶abc,並設置其認證密碼為123456,訪問時使用的用戶角色為network-admin,授權訪問目錄為Flash的根目錄,可以使用的服務類型為FTP。
# 啟動Switch的FTP服務功能。
(2) 在AC上配置本地報文捕獲功能
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 工具 > 無線報文捕獲”,進入“無線報文捕獲”頁麵,配置步驟為:
· 選擇AP的Radio 1,開啟報文捕獲功能。
· 在彈出的“無線報文捕獲”彈框中,選擇報文捕獲方式為本地報文捕獲。
· 指定捕獲報文的過濾規則為"src 192.168.20.173 and tcp",捕獲報文最大長度為8000,存儲捕獲報文的文件大小為1KB,FTP服務器的URL地址為ftp://10.1.1.1,登錄FTP服務器的用戶名為abc,用戶密碼為123456。
報文捕獲成功後,在PC上使用報文捕獲軟件與FTP服務器建立連接,可以解析報文文件。
在AP的Radio 1上開啟遠程報文捕獲功能,將捕獲的報文上送到報文捕獲軟件上解析。
圖2-36 遠程報文捕獲組網圖
確保裝有報文捕獲軟件的PC與AP路由可達。
(1) 配置遠程報文捕獲功能
單擊頁麵底部的<網絡>按鈕,進入“網絡”菜單頁麵,然後單擊頁麵左側導航欄的“ 工具 > 無線報文捕獲”,進入“無線報文捕獲”頁麵,配置步驟為:
· 選擇AP的Radio 1,開啟報文捕獲功能。
· 在彈出的“無線報文捕獲”彈框中,選擇報文捕獲方式為遠程報文捕獲。
· 指定RPCAP服務端口號為2014。
(2) 配置PC
· 在PC上打開報文捕獲軟件,菜單欄選擇Capture,在彈出的下拉菜單中選擇Options,彈出Capture Options對話框後,選擇remote捕獲方式,輸入捕獲地址10.1.1.1和端口號2014,點擊“OK”按鈕,再點擊“Start”按鈕,此時在彈出的報文捕獲窗口會看到捕獲的報文。
圖2-37 報文捕獲軟件界麵
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
