WAPI是无线局域网鉴别与保密基础结构,中国提出的,以802.11无线协议为基础的无线安全标准
两个部分构成:
1、WAI是无线局域网鉴别基础结构的简称,是用于无线局域网中身份鉴别和密钥管理的安全方案
2、WPI是无线局域网保密基础结构的简称,是用于无线局域网中数据传输保护的安全方案(包括数据加密、数据鉴别和重放保护)
AC用于关联AP进行控制和管理的设备
AP是指一个能通过无线介质为无线终端提供分布式访问服务的实体
STA站点,无线终端设备(手机、笔记本等)
FAT AP传统AP,不能与AC关联使用
PSK预共享密钥是发布给STA的静态密钥
AS认证服务器用于对用户和设备进行身份鉴别等,基于公钥技术的WAI中重要的组成部分
BK用于导出单播会话密钥,有证书鉴别过程协商得到或者由预共享密钥导出
配置细节如下、
出厂AC模式 打cn进去
oap connect slot 0 进交换模式
在相应的接口加入vlan
oap reboot
AC有两个模式:交换模式配置
第一步、划vlan 配置相应的IP地址
vlan 1002
int vlan 1002
ip add 192.168.100.1 255.255.255.0
第二步、配置聚合组(默认group 1)
interface bridge-aggregation 1 (按此顺序配置聚合组)
interface GigabitEthernet1/0/1
port link-aggregation group 1
interface GigabitEthernet1/0/2
port link-aggregation group 1
interface bridge-aggregation 1
port link-type trunk
port trunk permit vlan all #允许所有vlan通过
第三步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
以上为交换模式下的配置
第四步、CTRL+K 是退出交换模式,进入AC模式
同样的步骤是 建立vlan 划接口起trunk 指路由
AC模式下配置
第五步、配置AC的管理vlan 地址不能与交换模式下的地址相同
vlan 1002
int vlan 1002
ip add 192.168.100.3 255.255.255.0
第六步、默认是聚合group 1
interface bridge-aggregation 1 #(按此顺序配置聚合组)
interface GigabitEthernet1/0/1
port link-aggregation group 1
interface GigabitEthernet1/0/2
port link-aggregation group 1
interface bridge-aggregation 1
port link-type trunk
port trunk permit vlan all #允许所有vlan通过 (可以起access模式)
第七步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
ping测试网络的连通性
ping 192.168.1.254 测试一下连通性
第八步、AP去官网激活序列号
display device serial-number 查看序列号 以及 校验值
license register AP + 授权序列号
建立AP管理段、业务段IP地址
vlan 10
description client #电脑手机终端
vlan 20
description AP fitAP
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
interface Vlan-interface20
ip address 192.168.20.254 255.255.255.0
dhcp enable 开启DHCP
dhcp server ip-pool wlan-user
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.254
dns-list 202.106.0.20
option 43 hex 80 0B 00 00 02 (XX XX XX XX XX XX XX)将AC的模式下ip地址10进制转换16进制
dhcp server ip-pool wlan-ap
network 192.168.20.0 mask 255.255.255.0
gateway-list 192.168.20.254
option 43 hex 80 0B 00 00 02 XX XX XX XX XX XX XX
interface WLAN-ESS1 #建立无线虚接口
port access vlan 10 #对应上面的vlan
1.port-security port-mode psk #认证加密方式
2.port-security tx-key-type 11key
3.port-security preshared-key pass-phrase + 密码) (这是加密认证要做,如果不加密就不用做)
BSS(basic service set,基本服务集)为802.11网络提供服务的基本单元
SSID:服务集标识符,用来区分BSS
BSSID:固定AP的Mac地址,无法穿越其它AP
ESSID:不固定AP的MAC地址,可以穿越其它AP
wlan service-template 10 crypto (crypto改为clear无密码)建立无线服务模版
ssid #定义无线信号名称
bind WLAN-ESS 1 # 绑定虚接口
beacon ssid-hide #隐藏无线信号名称
1.cipher-suite ccmp
2.security-ie rsn #看需求(1.2.要是不加密可以不做)
service-template enable (必须开启) 修改密码需要关闭
注册AP
wlan ap 1 model WA2110-GN #这里的1是可以按自己的意思去定义的,WA2110-GN 是AP的型号
serial-id (210235A0UFC13A000101) #输入AP序列号
radio 1
channel 6 #信道按自己的需求定义 可以auto
service-template 10 #调用服务模板
radio enable
radio 2
channel 6 #避免信号干扰修改不同频段
service-template 10 #无线模板根据自己的定义去添加
radio enable
附加的:若是两台AC一主一备
wlan backup-ac ip + 是另一台的AC模式下地址
hot-backup enable domain 1 (1可以自己去定义)
hot-backup vlan 1002
probe
wlan ap-execute ap1 exec-console enable 开启APtelnet服务
查看命令
dis wlan ap name ap1 address //“ap1”AP名称
display hot-backup state
display wlan ap name www
display wlan ap all 当FIT AP在无线控制器上注册成功时,状态为”Run”;否则,状态为”Idle”
配置流程图
Poe交换机上配置
vlan 20
interface GigabitEthernet1/0/1 上联接口(连汇聚交换机的口)
port link-type trunk
port trunk permit vlan all
interface GigabitEthernet1/0/2 下联接口(连无线AP的口)
port access vlan 20
poe enable
AP将802.11mac帧转换为有线网络的帧(在一个AP下STA和STA就不需要转换了)
802.11定义两个(wireless Medium)物理层:射频物理层(2.4GHz和5GHz)和红外物理层
在2.4G频下,电脑比手机接收灵敏度高
一般部署要预留10%的AP备用,部署时AP网口向下,避免渗水
第五步、放装ap与室外ap模板:
[AC] wlan
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 # 添加AP
[AC]interface wlan-ess 0 #创建wlan-ess接口(为后期服务集绑定使用)
[AC-Wlan-Ess0]port link-type hybrid
[AC-Wlan-Ess0]port hybrid untagged vlan 100 # 将业务vlan 100加入wlan-ess0
[AC] wlan
[AC-wlan-view]vmm-profile name test #命名vmm模板(可做Qos)
[AC-wlan-view]radio-profile name 2.4G-test #创建射频模板,名字是2.4G-test
[AC-wlan-radio-prof-2.4G-test]vmm-profile name test #调用vmm模板
[AC-wlan-radio-prof-2.4G-test]radio-type 802.11bgn #射频类型(表示都支持2.4GHz)
[AC-wlan-radio-prof-2.4G-test]channel-switch announcement enable开启信道切换业务不中断
[AC-wlan-view]radio-profile name 5G-test #创建射频模板,名字是5G-test
[AC-wlan-radio-prof-5G-test]vmm-profile name test
[AC-wlan-radio-prof-5G-test]radio-type 802.11an #射频类型(表示都支持5GHz)
[AC-wlan-radio-prof-5G-test]channel-switch announcement enable#开启信道切换业务不中断
[AC-wlan-radio-prof-5G-test]channel-mode auto #信道模式自动
[AC] wlan
[AC-wlan-view]traffic-profile name test #流量模板,可做Qos
[AC-wlan-view]security-profile name test #安全模板,提供加密方式
[AC-wlan-traffic-prof-test]security-policy wpa2 #认证方式WPA2
[AC-wlan-traffic-prof-test]wpa2 authentication-method psk pass-phrase simple 12345678 encryption-method ccmp #WPA2预共享密钥12345678使用ccmp加密方式
[AC-wlan-view]ap 1 radio 0 #配置AP1的射频
[AC-wlan-radio 1/0]radio-profile name 2.4G-test #绑定2.4G-test,兼容2.4G
[AC-wlan-radio 1/0]channel 20mhz 1 #设置频宽,设置信道
[AC-wlan-radio 1/0]service-set name test1 #绑定服务集test1,
[Quidway-wlan-view] ap id 0
[Quidway-wlan-ap-0] access priority 5g 配置AP0的5G优先接入功能
config:初始化配置
第九步、自动添加AP
[AC-wlan-view]ap-confirm all 9430上线后使用该命令使R240D上线,在无信息条件下应用
第十步、若发现AP不存在执行以下命令删除AP
[AC-wlan-view]undo ap ap-id 0 删除ap-id为0的ap
定义:无线分布式系统通过无线链路连接两个或者多独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问
传统的Wlan业务,AP必须连接到已有的有线网络才可以为无线用户提供网络访问服务
(需要线缆、电源、交换机设备等成本高,周期长)
使用Wlan WDS技术,AP之间可以是无线连接的,AP可以通过无线连接方式连接到AC
特性:方便网络部署、安装,实现灵活组网。低成本,高性能,扩展性好
使用规则:
无线网桥:射频上提供WDS业务的功能实体,可以说网桥就是AP,而这种AP并不能单独工作,需要AC配合将AP配置为无线网桥,AP才能提供无线连接服务
VAP是虚拟(Virtual)AP的意思
当一个服务集(service-set)被绑定到AP射频上时,即生成一个VAP,一个VAP就是一个无线信号。一个AP的射频可释放出最多16组VAP,即16个不同名称(SSID)的无线信号。
业务型VAP:AP为STA提供的WLAN业务接入点,也称服务性VAP
网桥型VAP:AP网桥上为邻居网桥提供的与之建立无线虚链路的接入点
WVL(Wireless Virtual Link):两个分属不同AP网桥的网桥型VAP建立起的连接
管理型WVL:用于AP间管理,是搭建WDS环境的基础
业务型WVL:用于传输用户的实体业务
WDS下AP的工作模式(root/middle/leaf)root AP-middle AP,Middle AP-leaf AP,Leaf AP-STA
root模式:AP直接与AC有线连接,以AP型网桥向下提供终端型网桥接入(root模式最多接6个leafAP(根据距离)
middle模式:以终端型网桥向上连接AP型网桥,以AP型网桥向下提供STA型网桥接入(中间桥接的AP)
leaf模式:AP作为叶子节点以终端型网桥向上连接AP型网桥(连接终端的AP)
连接方式与AC连接的AP必须设置为root 模式,而root AP下既可以连接middle AP又可以直连leaf AP,middle AP下只可以连接leaf AP
白名单
AC上的AP白名单用于AP能否在AC注册上线的控制。
而网桥白名单则用于控制两个AP之间WDS无线网桥的建立。
Root AP下的网桥白名单用于控制middle和leaf类型的AP接入。
middle AP下的网桥白名单用于控制Leaf AP的接入。
[AC]wlan
[AC-wlan-view]wmm-profile name wp01#创建WMM模板
[AC-wlan-wmm-prof-wp01]quit
[AC]wlan
[AC-wlan-view]
[AC-wlan-view]radio-profile name rp01
[AC-wlan-radio-prof-rp01]wmm-profile name wp01 #配置Radio模板并绑定至AP射频
[AC-wlan-radio-prof-rp01]radio-type 80211an #修改射频类型为80211an,用于绑定5G射频
[AC-wlan-view]ap 1 radio0
[AC-wlan-radio-1/0]radio-profile name rp01
[AC-wlan-radio-1/0]quit
[AC-wlan-view]security-profile name sp01
[AC-wlan-sec-prof-sp01]wpa2 authentication-method psk pass-phrase simple 12345678 encryption-method ccmp
[AC-wlan-sec-prof-sp01]quit
[AC-wlan-view]bridge-profile name bp01
[AC-wlan-bridge-prof-bp01]bridge-name chinanet01
[AC-wlan-bridge-prof-bp01]vlan tagged 101to106容许业务vlan通过,不容许管理vlan通过,否则存在环
[AC-wlan-bridge-prof-bp01]security-profile name sp01
[AC]wlan
[AC-wlan-view]bridge-whitelist name bw01#配置网桥白名单
[AC-wlan-br-whitelist-bw01]peer ap mac 2222-2222-2222
[AC-wlan-view]bridge-whitelist name bw02
[AC-wlan-br-whitelist-bw02]peer ap mac 3333-3333-3333
[AC-wlan-view]ap 1 radio 1#配置AP1为root AP
[AC-wlan-radio-1/1]bridge-profile name bp01
[AC-wlan-radio-1/1]bridge enable mode root
Info: This action will take effect after resetting ap.
[AC-wlan-radio-1/1]bridge whitelist enable
[AC-wlan-radio-1/1]bridge-whitelist name bw01
[AC-wlan-radio-1/1]quit
[AC-wlan-view]ap 2 radio 1 配置AP2为middle AP
[AC-wlan-radio-2/1] bridge-profile name bp01
[AC-wlan-radio-2/1]bridge enable mode middle
Info: This action will take effect after resetting ap.
[AC-wlan-radio-2/1]bridge whitelist enable
[AC-wlan-radio-2/1]bridge-whitelist name bw02
[AC-wlan-radio-2/1]quit
[AC-wlan-view]ap 3 radio 1#配置AP3为leaf AP
[AC-wlan-radio-3/1] bridge-profile name bp01
[AC-wlan-radio-3/1] bridge enable mode leaf
Info: This action will take effect after resetting ap.
[AC]wlan
[AC-wlan-view]service-set name ss01
[AC-wlan-service-set-ss01]security-profile name sp01
[AC-wlan-service-set-ss01]service-vlan 101
Info: This action may cause service interruption if you don't execute commit c
ommand.
[AC-wlan-service-set-ss01]ssid chinaser01
[AC-wlan-service-set-ss01]wlan-ess 1
业务型网桥配置步骤
配置AC与AP之间设备的路由可达(配置vlan)
离线添加各AP模式
创建射频模板,绑定WMM模板
创建白名单、添加AP的mac地址
创建网桥模板、并设置网桥名称,绑定安全模板,配置允许通过的VLAN
设置信道、功率,AP模式,如果AP已在线,重启才能生效
创建服务集,绑定到指定的AP的指定射频上
下发业务VAP