FatAP与FitAP的主要特点和区别.doc

Fat AP与Fit AP的主要特点和区别Fat AP的主要特点：Fat AP是与Fit AP相对来讲的， Fat AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身。Fat AP无线网络解决方案可由由Fat AP直接在有线网的基础上构成。Fat AP设备结构复杂，且难于集中管理。Fit AP的主要特点：Fit AP是相对Fat AP来讲的，它是一个只有加密、射频功能的AP，功能单一，不能独立工作。整个Fit AP无线网络解决方案由无线交换机和Fit AP在有线网的基础上构成。Fit AP上“零配置”，所有配置都集中到无线交换机上。这也促成了Fit AP解决方案更加便于集中管理，并由此具有三层漫游、基于用户下发权限等Fat AP不具备的功能。SR6600系列路由器 L2TP+IPSec VPE的配置方法一、 组网需求：1. 用户服务器位于私网中，由于出差频繁，客户需要从PC机通过L2tp拨入MPLS vpn业务访问私网的各种服务。2. MPLS骨干网络中间的P设备不具备MPLS转发能力，只能进行IP转发需求分析：PC通过L2tp 拨入MPLS vpn，这就要求客户侧的PE设备可以终结IP vpn （L2tp），即作为VPE出现在网络中 P设备不具备MPLS转发能力，因此我们需要在VPE和PE设备之间建立GRE隧道，将MPLS报文作为GRE的乘客协议 将整个MPLS报文转换为IP报文经过P设备转发后到达PE后再进行MPLS处理 二、 组网图： 组网设备： SR6600 路由器 3台版本R2420P07 PC（预装inode客户端进行 L2tp+IPSec） 三、 配置步骤：VPE 配置sysname VPE# l2tp enable# ike local-name gateway /与PC间的IPSec# domain default enable system# router id # telnet server enable# mpls lsr-id #ip vpn-instance test /私网业务vpn route-distinguisher 1:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity#acl number 3000 /IPSec 匹配VPE和PE间网段 rule 0 permit ip source 0 destination 0#mpls#mpls ldp#domain system access-limit disable state active idle-cut disable self-service-url disable ip pool 0 0 /为L2tp用户分配地址#ike proposal 1#ike peer pc /与PC间的IPSec 需用野蛮模式 exchange-mode aggressive proposal 1 pre-shared-key cipher xxxx id-type name remote-name pc#ike peer pe /与PE 间的IPSec proposal 1 pre-shared-key cipher xxxx remote-address #ipsec proposal 1#ipsec policy-template pc 1 /与PC间的IPSec需用template ike-peer pc proposal 1#ipsec policy computer 1 isakmp template pc#ipsec policy test 1 isakmp security acl 3000 ike-peer pe proposal 1#user-group system#local-user routerman /配置L2tp用户 password simple 111 authorization-attribute level 3 service-type ppp# l2tp-group 1 allow l2tp virtual-template 1 tunnel password simple 111111 /可以取消隧道认证 tunnel name access /需配置隧道名称#interface Virtual-Template1 ppp authentication-mode pap domain system remote address pool mtu 1200 ip binding vpn-instance test /虚模板绑定vpn实例 ip address #interface NULL0#interface LoopBack0 ip address 55#interface GigabitEthernet0/1 ip address 52 ipsec policy testinterface GigabitEthernet0/2 /与PC直连的接口 ip address 52 ipsec policy computer#interface Tunnel0 ip address 52 source destination mpls /使能tunnel的MPLS能力 mpls ldp#bgp 100 undo synchronization peer as-number 100 peer connect-interface LoopBack0 # ipv4-family vpn-instance test import-route direct # ipv4-family vpnv4 peer enable# ip route-static 55 Tunnel0 /配置到PE 走tunnel 路由 ip route-static PE 配置# sysname PE# domain default enable system# router id # telnet server enable# mpls lsr-id #ip vpn-instance test route-distinguisher 1:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity#acl number 3000 rule 0 permit ip source 0 destination 0#mpls#mpls ldp #domain system access-limit disable state active idle-cut disable self-service-url disable#ike proposal 1#ike peer vpe proposal 1 pre-shared-key cipher xxxx remote-address #ipsec proposal 1#ipsec policy test 1 isakmp security acl 3000 ike-peer vpe proposal 1#user-group system# l2tp-group 1 tunnel name test#interface NULL0#interface LoopBack0 ip address 55#interface LoopBack1 /测试时替代服务器地址 ip binding vpn-instance test ip address 55#interface GigabitEthernet0/0#interface GigabitEthernet0/1 ip address 52 ipsec policy test#interface Tunnel0 ip address 52 source destination mpls mpls ldp#bgp 100 undo synchronization peer as-number 100 peer connect-interface LoopBack0 # ipv4-family vpn-instance test import-route direct # ipv4-family vpnv4 peer enable# ip route-static 55 Tunnel0 ip route-static PC 配置方法及效果验证请参照附件 四、 配置关键点：1. 由于是PC通过L2tp+IPSec 拨入vpn 因此需注意要在virtual-template上绑定vpn实例2. MPLS+GRE+IPSec 中的IPSec 需要匹配IPSec网关间（VPE与PE）的网段地址3. GRE tunnel 需要使能MPLS转发能力和LDP能力4. PC 侧配置L2tp+IPSec参数要与VPE上的一致，具体要根据不同的PC拨号终端决定是否需要配置L2tp tunnel name 和 tunnel authentication5. 由于PC的私网地址是VPE分配的，因此IPSec 需要使用野蛮模式和template6. P设备上仅需要配置正确公网路由即可。7. 此例中的公网路由由于组网比较简单使用的是静态路由，实际使用可以根据情况选用动态路由。防止同网段arp欺骗攻击配置二层交换机实现仿冒网关的ARP防攻击：一、组网需求：1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图： 图1二层交换机防ARP攻击组网S3552P是三层设备，其中IP：是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。全局配置ACL禁止所有Sender ip address字段是网关IP地址的ARP报文acl num 5000 rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP Reply报文禁掉，其中斜体部分64010101是网关IP地址的16进制表示形式。Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。在S3026C-A系统视图下发acl规则：S3026C-A packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。 三层交换机实现仿冒网关的ARP防攻击一、组网需求：1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图 图2 三层交换机防ARP攻击组网三、配置步骤1. 对于三层设备自己作为网关，需要配置过滤Sender ip address字段是网关的ARP报文的ACL规则，配置如下ACL规则：acl number 5000 rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP地址的16进制表示形式。2. 下发ACL到全局S3526E packet-filter user-group 5000 仿冒他人IP的ARP防攻击一、组网需求：作为网关的设备有可能会出现错误ARP的表项，因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤。二、组网图：参见图1和图2三、配置步骤：1. 如图1所示，当PC-B发送源IP地址为PC-D的arp reply攻击报文，源mac是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip()，目的ip和mac是网关（3552P）的，这样3552上就会学习到错误的arp，如下所示：- 错误 arp 表项 -IP Address MAC Address VLAN ID Port Name Aging Type 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上，而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击：arp static 000f-3d81-45b4 1 e0/82. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。 3. 对于二层设备（S3050C和S3026E系列），除了可以配置静态ARP外，还可以配置IPMACport绑定，比如在S3026C端口E0/4上做如下操作： am user-bind ip-addr mac-addr 000d-88f8-09fa int e0/4则IP为并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口，仿冒其它设备的ARP报文则无法通过，从而不会出现错误ARP表项。 四、配置关键点：此处仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中，请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。H3C三层交换机VLAN配置实例详解dis cu#sysname H3C#radius scheme system#domain system#acl number 2011rule 0 denyrule 1 permit source 55acl number 2012rule 0 denyrule 1 permit source 55acl number 2013rule 0 denyrule 1 permit source 55acl number 2021rule 0 denyrule 1 permit source 55acl number 2022rule 0 denyrule 1 permit source 55acl number 2023rule 0 denyrule 1 permit source 55acl number 2031rule 0 denyrule 1 permit source 55acl number 2032rule 0 denyrule 1 permit source 55acl number 2033rule 0 denyrule 1 permit source 55acl number 2041rule 0 denyrule 1 permit source 55acl number 2042rule 0 denyrule 1 permit source 55acl number 2043rule 0 denyrule 1 permit source 55acl number 2080rule 0 denyrule 1 permit source 55#vlan 1#vlan 11#vlan 12#vlan 13#vlan 21#vlan 22#vlan 23#vlan 31#vlan 32#vlan 33#vlan 41#vlan 42#vlan 43#vlan 80#interface Aux1/0/0#interface Ethernet1/0/1port link-type hybridport hybrid vlan 1 11 untaggedport hybrid pvid vlan 11packet-filter inbound ip-group 2011 rule 0packet-filter inbound ip-group 2011 rule 1#interface Ethernet1/0/2port link-type hybridport hybrid vlan 1 12 untaggedport hybrid pvid vlan 12packet-filter inbound ip-group 2012 rule 0packet-filter inbound ip-group 2012 rule 1#interface Ethernet1/0/3port link-type hybridport hybrid vlan 1 13 untaggedport hybrid pvid vlan 13packet-filter inbound ip-group 2013 rule 0packet-filter inbound ip-group 2013 rule 1#interface Ethernet1/0/4port link-type hybridport hybrid vlan 1 21 untaggedport hybrid pvid vlan 21packet-filter inbound ip-group 2021 rule 0packet-filter inbound ip-group 2021 rule 1#interface Ethernet1/0/5port link-type hybridport hybrid vlan 1 22 untaggedport hybrid pvid vlan 22packet-filter inbound ip-group 2022 rule 0packet-filter inbound ip-group 2022 rule 1#interface Ethernet1/0/6port link-type hybridport hybrid vlan 1 23 untaggedport hybrid pvid vlan 23packet-filter inbound ip-group 2023 rule 0packet-filter inbound ip-group 2023 rule 1#interface Ethernet1/0/7port link-type hybridport hybrid vlan 1 31 untaggedport hybrid pvid vlan 31packet-filter inbound ip-group 2031 rule 0packet-filter inbound ip-group 2031 rule 1#interface Ethernet1/0/8port link-type hybridport hybrid vlan 1 32 untaggedport hybrid pvid vlan 32packet-filter inbound ip-group 2032 rule 0packet-filter inbound ip-group 2032 rule 1#interface Ethernet1/0/9port link-type hybridport hybrid vlan 1 33 untaggedport hybrid pvid vlan 33packet-filter inbound ip-group 2033 rule 0packet-filter inbound ip-group 2033 rule 1#interface Ethernet1/0/10port link-type hybridport hybrid vlan 1 41 untaggedport hybrid pvid vlan 41packet-filter inbound ip-group 2041 rule 0packet-filter inbound ip-group 2041 rule 1#interface Ethernet1/0/11port link-type hybridport hybrid vlan 1 42 untaggedport hybrid pvid vlan 42packet-filter inbound ip-group 2042 rule 0packet-filter inbound ip-group 2042 rule 1#interface Ethernet1/0/12port link-type hybridport hybrid vlan 1 43 untaggedport hybrid pvid vlan 43packet-filter inbound ip-group 2043 rule 0packet-filter inbound ip-group 2043 rule 1#interface Ethernet1/0/13#interface Ethernet1/0/14#interface Ethernet1/0/15#interface Ethernet1/0/16#interface Ethernet1/0/17#interface Ethernet1/0/18#interface Ethernet1/0/19#interface Ethernet1/0/20port link-type hybridport hybrid vlan 1 80 untaggedport hybrid pvid vlan 80packet-filter inbound ip-group 2080 rule 0packet-filter inbound ip-group 2080 rule 1#interface Ethernet1/0/21#interface Ethernet1/0/22port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged#interface Ethernet1/0/23port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged#interface Ethernet1/0/24port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged#interface GigabitEthernet1/1/1#interface GigabitEthernet1/1/2#interface GigabitEthernet1/1/3port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged#interface GigabitEthernet1/1/4port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged#undo irf-fabric authentication-mode#interface NULL0#user-interface aux 0 7user-interface vty 0 4#returnF100-C的设置问题回复方法一：F100-C恢复出厂设置，你以前的配置就会删除了，你可以重新配置你的固定IP配置固定IP配置实例：H3Cdis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#nat address-group 1 218.94.*.* 218.94.*.*#firewall statistic system enable#radius scheme system#domain system#local-user wjmpassword simple wjmservice-type telnetlevel 3#acl number 2000 match-order autorule 0 permit source 55#interface Aux0async mode flow#interface Ethernet0/0ip address #interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3#interface Ethernet1/0ip address 218.94.*.* 40#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0add interface Ethernet0/1add interface Ethernet0/2add interface Ethernet0/3set priority 85#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 218.94.*.*preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return华为交换机配置命令本文网址:/121555 复制华为QuidWay交换机配置命令手册：1、开始建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。在主机上运行终端仿真程序(如Windows的超级终端等)，设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100。以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符(如)。键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入?2、命令视图(1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入(2)系统视图(配置系统参数)Quidway:在用户视图下键入system-view(3)以太网端口视图(配置以太网端口参数)Quidway-Ethernet0/1:在系统视图下键入interface ethernet 0/1(4)VLAN视图(配置VLAN参数)Quidway-Vlan1:在系统视图下键入vlan 1(5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参数)Quidway-Vlan-interface1:在系统视图下键入interface vlan-interface 1(6)本地用户视图(配置本地用户参数)Quidway-luser-user1:在系统视图下键入local-user user1(7)用户界面视图(配置用户界面参数)Quidway-ui0:在系统视图下键入user-interface3、其他命令设置系统时间和时区clock time Beijing add 8clock datetime 12:00:00 2005/01/23设置交换机的名称Quidwaysysname TRAIN-3026-1TRAIN-3026-1配置用户登录Quidwayuser-interface vty 0 4Quidway-ui-vty0authentication-mode scheme创建本地用户Quidwaylocal-user huaweiQuidway-luser-huaweipassword simple huaweiQuidway-luser-huawei service-type telnet level 34、VLAN配置方法配置环境参数SwitchA端口E0/1属于VLAN2，E0/2属于VLAN3组网需求把交换机端口E0/1加入到VLAN2 ，E0/2加入到VLAN3数据配置步骤VLAN配置流程(1)缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan;(2)如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉;(3)除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图;如果VLAN XX已经存在，则进入VLAN视图。【SwitchA相关配置】方法一：(1)创建(进入)vlan2SwitchAvlan 2(2)将端口E0/1加入到vlan2SwitchA-vlan2port ethernet 0/1(3)创建(进入)vlan3SwitchA-vlan2vlan 3(4)将端口E0/2加入到vlan3SwitchA-vlan3port ethernet 0/2方法二：(1)创建(进入)vlan2SwitchAvlan 2(2)进入端口E0/1视图SwitchAinterface ethernet 0/1(3)指定端口E0/1属于vlan2SwitchA-Ethernet1port access vlan 2(4)创建(进入)vlan3SwitchAvlan 3(5)进入端口E0/2视图SwitchAinterface ethernet 0/2(6)指定端口E0/2属于vlan3SwitchA-Ethernet2port access vlan 3测试验证(1)使用命令disp cur可以看到端口E0/1属于vlan2，E0/2属于vlan3;(2)使用display interface Ethernet 0/1可以看到端口为access端口，PVID为2;(3)使用display interface Ethernet 0/2可以看到端口为access端口，PVID为35、交换机IP地址配置功能需求及组网说明配置环境参数三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2，分别属于vlan 2、vlan 3;以vlan 2的三层接口地址分别是/24作为PC1的网关;以vlan 3的三层接口地址分别是/24作为PC2的网关;组网需求PC1和PC2通过三层接口互通【SwitchA相关配置】(1)创建(进入)vlan2Quidwayvlan 2(2)将端口E0/1加入到vlan2Quidway-vlan2port ethernet 0/1(3)进入vlan2的虚接口Quidway-vlan2interface vlan 2(4)在vlan2的虚接口上配置IP地址Quidway-Vlan-interface2ip address (5)创建(进入)vlan3Quidwayvlan 3(6)将E0/2加入到vlan3Quidway-vlan3port ethernet 0/2(7)进入vlan3的虚接口Quidway-vlan3interface vlan 3(8)在vlan3的虚接口上配置IP地址Quidway-Vlan-interface3ip address 测试验证(1)PC1和PC2都可以PING通自己的网关(2)PC1和PC2可以相互PING通6、端口的trunk配置配置环境参数(1)SwitchA 端口E0/1属于vlan10，E0/2属于vlan20，E0/3与SwitchB端口E0/3互连(2)SwitchB 端口E0/1属于vlan10，E0/2属于vlan20，E0/3与SwitchA端口E0/3互连组网需求(1)要求SwitchA的vlan10的PC与SwitchB的vlan10的PC互通(2)要求SwitchA的vlan20的PC与SwitchB的vlan20的PC互通数据配置步骤【SwitchA相关配置】(1)创建(进入)vlan10SwitchA vlan 10(2)将E0/1加入到vlan10SwitchA-vlan10port Ethernet 0/1(3)创建(进入)vlan20SwitchAvlan 20(4)将E0/2加入到vlan20SwitchA-vlan20port Ethernet 0/2(5)实际当中一般将上行端口设置成trunk属性，允许vlan透传SwitchA-Ethernet0/3port link-type trunk(6)允许所有的vlan从E0/3端口透传通过