AC+Fit AP组网的PSK认证和二层用户隔离

步骤1.建立VLAN，DHCP地址池，AP信息等配置，使得AP成功注册到AC上，STA成功连接wlan。

步骤2.配置采用PSK认证方式的无线接入服务
1.配置无线虚拟接口的PSK认证方式，并配置其所属VLAN

开启端口安全功能
port-security enable

配置无线虚拟接口的端口安全模式，即在此处配置PSK认证方式或802.x认证
interface wlan-bss 4
port-security port-mode psk
port-security tx-key-type 11key
port-security preshared-key pass-phrase 12345678
port access vlan 4

2.配置无线服务模板

wlan service-template 4 crypto
ssid h3c
bind wlan-ess 4
authentication-method open-system

设置加密套件为TKIP
cipher-suite tkip

设置采用WPA安全架构
security-ie wpa
service-template enable

(或设置加密套件为CCMP
cipher-suite ccmp

设置采用WPA2安全架构
security-ie rsn
service-template enable)

注1：WLAN最初的安全机制采用WEP进行数据加密，它能够和Open-system认证方式和shared-key认证方式结合使用
注2：WiFi联盟针对WLAN的安全性提供了WPA和WPA2两种安全架构，每种安全架构中都包括身份验证以及数据加密的相关标准

WPA安全架构
1.身份验证
PSK方式（Pre-Shared Key）——预共享密钥, 在AP和无线客户端上配置一个相同的密钥来验证
802.1x方式,通过Radius Server对用户进行验证，每用户将各自的帐号和密码
2.数据加密
TKIP（临时密钥完整性协议）——算法为RC4

WPA2安全架构
1.身份验证
PSK方式（Pre-Shared Key）——预共享密钥, 在AP和无线客户端上配置一个相同的密钥来验证
802.1x方式,通过Radius Server对用户进行验证，每用户将各自的帐号和密码
2.数据加密
CCMP——算法为AES

步骤3.配置无线射频接口

wlan ap ap1
radio 2
service-template 4
radio enable

步骤4.开启二层用户隔离功能，允许客户端访问网关

在VLAN4开启二层隔离功能，假设VLAN4为无线客户端所属的VLAN
user-isolation vlan 4 enable
user-isolation vlan 4 permit-mac 00e0-fc78-c801

获取VLAN4的网关对应的MAC地址的命令
dis int vlan 4
AC-->SW
int vlan 4
dis arp

步骤5.使用2台无线客户端接入后，ping自己的网关IP地址以及互相ping，发现2台无线客户端能ping通自己的网关，但是相互之间不能互访。

步骤6.FAT AP上使用以下命令配置二层用户隔离。

wlan-client-isolation enable

再次使用2台无线客户端接入后，ping自己的网关IP地址以及互相ping，发现2台无线客户端能够ping通自己的网关，但是相互之间不能互访。

dis wlan client