WAPI是无线局域网鉴别与保密基础结构,中国提出的,以802.11无线协议为基础的无线安全标准
两个部分构成:
1、WAI是无线局域网鉴别基础结构的简称,是用于无线局域网中身份鉴别和密钥管理的安全方案
2、WPI是无线局域网保密基础结构的简称,是用于无线局域网中数据传输保护的安全方案(包括数据加密、数据鉴别和重放保护)
AC用于关联AP进行控制和管理的设备
AP是指一个能通过无线介质为无线终端提供分布式访问服务的实体
STA站点,无线终端设备(手机、笔记本等)
FAT AP传统AP,不能与AC关联使用
PSK预共享密钥是发布给STA的静态密钥
AS认证服务器用于对用户和设备进行身份鉴别等,基于公钥技术的WAI中重要的组成部分
BK用于导出单播会话密钥,有证书鉴别过程协商得到或者由预共享密钥导出
配置思路:
配置细节如下、
出厂AC模式 打cn进去
oap connect slot 0 进交换模式
在相应的接口加入vlan
oap reboot
AC有两个模式:交换模式配置
第一步、划vlan 配置相应的IP地址
vlan 1002
int vlan 1002
ip add 192.168.100.1 255.255.255.0
第二步、配置聚合组(默认group 1)
interface bridge-aggregation 1 (按此顺序配置聚合组)
interface GigabitEthernet1/0/1
port link-aggregation group 1
interface GigabitEthernet1/0/2
port link-aggregation group 1
interface bridge-aggregation 1
port link-type trunk
port trunk permit vlan all #允许所有vlan通过
第三步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
以上为交换模式下的配置
第四步、CTRL+K 是退出交换模式,进入AC模式
同样的步骤是 建立vlan 划接口起trunk 指路由
AC模式下配置
第五步、配置AC的管理vlan 地址不能与交换模式下的地址相同
vlan 1002
int vlan 1002
ip add 192.168.100.3 255.255.255.0
第六步、默认是聚合group 1
interface bridge-aggregation 1 #(按此顺序配置聚合组)
interface GigabitEthernet1/0/1
port link-aggregation group 1
interface GigabitEthernet1/0/2
port link-aggregation group 1
interface bridge-aggregation 1
port link-type trunk
port trunk permit vlan all #允许所有vlan通过 (可以起access模式)
第七步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
ping测试网络的连通性
ping 192.168.1.254 测试一下连通性
第八步、AP去官网激活序列号
display device serial-number 查看序列号 以及 校验值
license register AP + 授权序列号
建立AP管理段、业务段IP地址
vlan 10
description client #电脑手机终端
vlan 20
description AP fitAP
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
interface Vlan-interface20
ip address 192.168.20.254 255.255.255.0
dhcp enable 开启DHCP
dhcp server ip-pool wlan-user
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.254
dns-list 202.106.0.20
option 43 hex 80 0B 00 00 02 (XX XX XX XX XX XX XX)将AC的模式下ip地址10进制转换16进制
dhcp server ip-pool wlan-ap
network 192.168.20.0 mask 255.255.255.0
gateway-list 192.168.20.254
option 43 hex 80 0B 00 00 02 XX XX XX XX XX XX XX
interface WLAN-ESS1 #建立无线虚接口
port access vlan 10 #对应上面的vlan
1.port-security port-mode psk #认证加密方式
2.port-security tx-key-type 11key
3.port-security preshared-key pass-phrase + 密码) (这是加密认证要做,如果不加密就不用做)
BSS(basic service set,基本服务集)为802.11网络提供服务的基本单元
SSID:服务集标识符,用来区分BSS
BSSID:固定AP的Mac地址,无法穿越其它AP
ESSID:不固定AP的MAC地址,可以穿越其它AP
wlan service-template 10 crypto (crypto改为clear无密码)建立无线服务模版
ssid #定义无线信号名称
bind WLAN-ESS 1 # 绑定虚接口
beacon ssid-hide #隐藏无线信号名称
1.cipher-suite ccmp
2.security-ie rsn #看需求(1.2.要是不加密可以不做)
service-template enable (必须开启) 修改密码需要关闭
注册AP
wlan ap 1 model WA2110-GN #这里的1是可以按自己的意思去定义的,WA2110-GN 是AP的型号
serial-id (210235A0UFC13A000101) #输入AP序列号
radio 1
channel 6 #信道按自己的需求定义 可以auto
service-template 10 #调用服务模板
radio enable
radio 2
channel 6 #避免信号干扰修改不同频段
service-template 10 #无线模板根据自己的定义去添加
radio enable
附加的:若是两台AC一主一备
wlan backup-ac ip + 是另一台的AC模式下地址
hot-backup enable domain 1 (1可以自己去定义)
hot-backup vlan 1002
probe
wlan ap-execute ap1 exec-console enable 开启APtelnet服务
查看命令
dis wlan ap name ap1 address //“ap1”AP名称
display hot-backup state
display wlan ap name www
display wlan ap all 当FIT AP在无线控制器上注册成功时,状态为”Run”;否则,状态为”Idle”
配置流程图
Poe交换机上配置
vlan 20
interface GigabitEthernet1/0/1 上联接口(连汇聚交换机的口)
port link-type trunk
port trunk permit vlan all
interface GigabitEthernet1/0/2 下联接口(连无线AP的口)
port access vlan 20
poe enable
AP将802.11mac帧转换为有线网络的帧(在一个AP下STA和STA就不需要转换了)
802.11定义两个(wireless Medium)物理层:射频物理层(2.4GHz和5GHz)和红外物理层
在2.4G频下,电脑比手机接收灵敏度高
一般部署要预留10%的AP备用,部署时AP网口向下,避免渗水