华三AC基本调试步骤-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

华三AC基本调试步骤

简介:

WAPI是无线局域网鉴别与保密基础结构,中国提出的,以802.11无线协议为基础的无线安全标准
两个部分构成:
1、WAI是无线局域网鉴别基础结构的简称,是用于无线局域网中身份鉴别和密钥管理的安全方案
2、WPI是无线局域网保密基础结构的简称,是用于无线局域网中数据传输保护的安全方案(包括数据加密、数据鉴别和重放保护)

AC用于关联AP进行控制和管理的设备
AP是指一个能通过无线介质为无线终端提供分布式访问服务的实体

STA站点,无线终端设备(手机、笔记本等)

FAT AP传统AP,不能与AC关联使用
PSK预共享密钥是发布给STA的静态密钥

AS认证服务器用于对用户和设备进行身份鉴别等,基于公钥技术的WAI中重要的组成部分
BK用于导出单播会话密钥,有证书鉴别过程协商得到或者由预共享密钥导出


配置思路:
图片.png

配置细节如下、
出厂AC模式 打cn进去
oap connect slot 0 进交换模式 

在相应的接口加入vlan  
oap reboot

AC有两个模式:交换模式配置

第一步、划vlan 配置相应的IP地址
vlan 1002
int vlan 1002  
ip add 192.168.100.1 255.255.255.0 
第二步、配置聚合组(默认group 1)
interface bridge-aggregation 1 (按此顺序配置聚合组)

interface GigabitEthernet1/0/1

  port link-aggregation group 1
interface GigabitEthernet1/0/2               
  port link-aggregation group 1

interface bridge-aggregation 1

  port link-type trunk

  port trunk permit vlan all #允许所有vlan通过
第三步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254

以上为交换模式下的配置

第四步、CTRL+K 是退出交换模式,进入AC模式
同样的步骤是 建立vlan 划接口起trunk 指路由


AC模式下配置

第五步、配置AC的管理vlan 地址不能与交换模式下的地址相同
vlan 1002
int vlan 1002  
ip add 192.168.100.3 255.255.255.0 
第六步、默认是聚合group 1

interface bridge-aggregation 1 #(按此顺序配置聚合组)

interface GigabitEthernet1/0/1

  port link-aggregation group 1
interface GigabitEthernet1/0/2               
  port link-aggregation group 1

interface bridge-aggregation 1

   port link-type trunk

   port trunk permit vlan all #允许所有vlan通过 (可以起access模式)
第七步、配置路由
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254

ping测试网络的连通性
ping 192.168.1.254 测试一下连通性

第八步、AP去官网激活序列号
display device serial-number 查看序列号 以及 校验值
license register AP + 授权序列号


建立AP管理段、业务段IP地址
vlan 10 

description client #电脑手机终端 

vlan 20 

description AP      fitAP

interface Vlan-interface10
 ip address 192.168.10.254 255.255.255.0   
interface Vlan-interface20
 ip address 192.168.20.254 255.255.255.0


dhcp enable   开启DHCP
dhcp server ip-pool wlan-user 

network 192.168.10.0 mask 255.255.255.0

gateway-list 192.168.10.254

dns-list 202.106.0.20

option 43 hex 80 0B 00 00 02 (XX XX XX XX XX XX XX)将AC的模式下ip地址10进制转换16进制

dhcp server ip-pool wlan-ap

network 192.168.20.0 mask 255.255.255.0

gateway-list 192.168.20.254

option 43 hex 80 0B 00 00 02 XX XX XX XX XX XX XX

interface WLAN-ESS1  #建立无线虚接口

 port access vlan 10 #对应上面的vlan
1.port-security port-mode psk #认证加密方式

2.port-security tx-key-type 11key
3.port-security preshared-key pass-phrase + 密码) (这是加密认证要做,如果不加密就不用做)

BSS(basic service set,基本服务集)为802.11网络提供服务的基本单元
SSID:服务集标识符,用来区分BSS

BSSID:固定AP的Mac地址,无法穿越其它AP
ESSID:不固定AP的MAC地址,可以穿越其它AP


wlan service-template 10 crypto (crypto改为clear无密码)建立无线服务模版

 ssid #定义无线信号名称
 bind WLAN-ESS 1 # 绑定虚接口
 beacon ssid-hide  #隐藏无线信号名称

 1.cipher-suite ccmp
 2.security-ie rsn  #看需求(1.2.要是不加密可以不做)
 service-template enable (必须开启) 修改密码需要关闭

注册AP
wlan ap 1 model WA2110-GN #这里的1是可以按自己的意思去定义的,WA2110-GN 是AP的型号
 serial-id (210235A0UFC13A000101) #输入AP序列号
 radio 1
 channel 6 #信道按自己的需求定义 可以auto
 service-template 10 #调用服务模板
 radio enable
 radio 2
 channel 6  #避免信号干扰修改不同频段
 service-template 10  #无线模板根据自己的定义去添加
 radio enable

附加的:若是两台AC一主一备
wlan backup-ac ip + 是另一台的AC模式下地址
hot-backup enable domain 1 (1可以自己去定义)
hot-backup vlan 1002
probe
wlan ap-execute ap1 exec-console enable 开启APtelnet服务

查看命令

dis wlan ap name ap1 address //“ap1”AP名称
display hot-backup state
display wlan ap name www
display wlan ap all 当FIT AP在无线控制器上注册成功时,状态为”Run”;否则,状态为”Idle”

配置流程图

wKiom1le9S6jfxbaAAEdxvx5NEc090.jpg

Poe交换机上配置
vlan 20
interface GigabitEthernet1/0/1 上联接口(连汇聚交换机的口)
 port link-type trunk
 port trunk permit vlan all
interface GigabitEthernet1/0/2 下联接口(连无线AP的口)
 port access vlan 20
 poe enable


AP将802.11mac帧转换为有线网络的帧(在一个AP下STA和STA就不需要转换了)
802.11定义两个(wireless Medium)物理层:射频物理层(2.4GHz和5GHz)和红外物理层


在2.4G频下,电脑比手机接收灵敏度高

一般部署要预留10%的AP备用,部署时AP网口向下,避免渗水










本文转自 周小玉 51CTO博客,原文链接:http://blog.51cto.com/maguangjie/1748151,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: