juniper 无线中文配置手册.doc

Trapeze 无线网络交换机配置手册（Version 1.0） 羿 飞目录第1章 登陆无线网络交换机51.1登录无线网络交换机方法简介51.2 通过Console口进行本地登陆51.3 通过SSH2或Telnet进行登陆61.4 通过web方式登录7第2章 系统基本配置72.1配置系统名72.2配置系统时间82.3配置系统IP地址82.4配置缺省路由82.5系统初始化配置92.6无线网络交换机密码恢复9第3章 系统升级103.1 通过WEB方式升级113.2 通过网管软件RingMaster升级113.3 通过CLI命令行升级11第4章 Trapeze配置实例124.1 最简单的公共区域接入用户不需要口令124.2 访客使用Web-Portal接入134.3 基于MAC地址进行认证154.4 不同的认证加密方式164.4.1 无需密码和用户名口令174.4.2 wep加密，无需用户名口令认证184.4.3 WPA-tkip加密184.4.4 WPA2-TKIP加密184.4.5 Wpa+WPA2-tkip184.4.6 WPA-AES194.4.7 WPA2-AES194.4.8 无加密，web-portal认证194.4.9 wpa-tkip，web-portal认证204.4.10 802.1X认证，WPA-tkip204.4.11 MAC-local认证，无加密204.4.12 MAC-LOCAL认证，wpa-tkip214.5对802.1x的支持214.6非法AP检测/分类/防护244.7 Intra-Switch 漫游264.8 跨交换机漫游274.9 有线用户认证304.10本地交换324.11 MESH和网桥334.12自动黑洞覆盖354.13控制器冗余支持364.14负载均衡384.15同一台MX上跨vlan漫游39第1章 登陆无线网络交换机1.1登录无线网络交换机方法简介无线网络交换机的登陆，可以通过以下几种方式实现：通过 Console口进行本地登陆； 通过以太网端口利用 SSH2进行本地或远程登陆；通过以太网端口利用 Telnet进行本地或远程登陆。通过以太网端口利用web方式进行本地或远程登陆1.2 通过Console口进行本地登陆通过无线网络交换机 Console口进行本地登陆是登陆无线控制器的最基本的方式，也是配置通过其他方式登陆无线网络交换机的基础。用户终端的通信参数配置要和无线网络交换机 Console 口的配置保持一致，才能通过Console口登陆到无线网络交换机上。无线网络交换机 Console口的缺省配置如下：波特率设置为9600bit/s数据位为8无奇偶效验位停止位为1无数据流控制如下图所示：正确连接之后，敲回车键，就会出现“MXR-2-9792C0”的登陆界面其中：MXR-2为无线网络交换机的型号，9792C0为该无线网络交换机序列号的后6位。在出现上面登陆界面时输入“enable”后，屏幕提示要求输入密码，交换机默认是密码为空，直接回车就会进入交换机的特权配置模式，屏幕出示为“MXR-2-9792C0#”1.3 通过SSH2或Telnet进行登陆无线网络交换机支持SSH2和Telnet功能，管理员可通过SSH2或Telnet的方式对无线网络交换机进行远程管理和维护，无线交换机的缺省IP为。SSH2在缺省情况下是开启，而Telnet缺省情况下是关闭的，因此在进行Telnet管理之前需要先将无线网络交换机的Telnet功能打开，命令为：set ip telnet server enable 想要通过SSH2和Telnet功能远程管理维护无线网络交换机，管理员必须先为”admin”账号配置密码或建立新的管理账号，命令如下：set user username password encrypted stringset user admin password XXXX1.4 通过web方式登录浏览器输入无线网络交换机的IP地址：http：/X.X.X.X用户名为admin，密码为enablepassword（缺省为空）第2章 系统基本配置2.1配置系统名用户设置设备的名称。设备的名称对应于命令行接口的提示符，如设备的名称为 Sysname，则CLI的提示符为Sysname#。 配置系统名的命令： set system name string例子：配置系统名为MX-20MX# set system name MX-20MX-20#2.2配置系统时间1.设置时区命令：set timezone zone-name -hours minutes例子：设置为北京时间MX-20# set timezone BJ 8 0Timezone is set to BJ, offset from UTC is 8:0 hours.2.设置时间命令：set timedate date mmm dd yyyy time hh:mm:ss例子：MX# set timedate date feb 29 2004 time 23:58:00Time now is: Sun Feb 29 2004, 23:58:02 PST2.3配置系统IP地址 系统IP地址是AP启动过程中，无线网络交换机和AP之间相互通信的IP地址。AP正常注册工作后，无线网络交换机也需要通过该IP地址发报文，以保证跟AP维持正常的通信。命令：set system ip-address ip-addr例子：MX# set system ip-address 2.4配置缺省路由 缺省路由用作跨网段访问无线网络交换机。 命令：set ip route default ip-addr例子：MX# set ip route default 12.5系统初始化配置在enable模式中输入quickstart可以清除已有配置。MX-8# quickstart This will erase any existing config. Continue? n: yAnswer the following questions. Enter ? for help. C to break outSystem Name MX-8: Country Code US: CN #设置国家代码System IP address : 00 #设置MX系统管理IPSystem IP address netmask : #设置子网掩码Default route: #设置网关Do you need to use 802.1Q tagged ports for connectivity on the default VLAN? n: Enable Webview y: Admin username admin: Admin password mandatory: 如果不设密码，此处先按空格键，再按回车键（设置密码为空）Enable password optional: Do you wish to set the time? y: nDo you wish to configure wireless? y: nsuccess: created keypair for sshsuccess: Type save config to save the configuration*MX-8#2.6无线网络交换机密码恢复在重启交换机的过程中，进入boot模式后，输入“boot OPT+=default”然后重启，可以实现交换机密码恢复。在此时，迅速按下q 和ENTER键，会出现：Boot输入boot OPT+=defaultBoot boot OPT+=defaultBootreset自动重启即可。第3章 系统升级MSS升级方式有三种方式：1）通过web方式升级；2）通过RingMaster升级；3）通过命令行升级升级之前一定要详细阅读MSS_RN_X_X_X_X.pdf文档,如不能直接从MSS5.0直接升级到MSS7.0。3.1 通过WEB方式升级1. IE访问MX的IP2. Maintain#-Update System Software3.2 通过网管软件RingMaster升级1. 菜单栏Devices#右下角“Devices Operations”2. 下面添加MSS ：“Image Repository”“Add image”3. 安装新MSS：“Image Install”3.3 通过CLI命令行升级此方法请详细阅读MSS_RN_X_X_X_X.pdf文档先在自己电脑上打开一个tftp server，添加准备安装的MSS版本。然后在MX上配置：copy tftp：/X.X.X.X/ MX070B02.200 boot0：MX070B02.200set boot partition boot0注：X.X.X.X是你的电脑的IP；至于boot0或boot1我们要选没有使用的boot MX# dir 会包含如下内容，打*表示正在使用的bootBoot:Filename Size Created*boot0:MX070A05.008 11 MB Jun 30 2009, 16:01:08boot1:MX060702.008 8962 KB Mar 18 2009, 15:58:56第4章 Trapeze配置实例4.1 最简单的公共区域接入用户不需要口令测试案例校验是否支持公共区域的无线接入需求，不需要用户输入口令，用户之间L2隔离所需设备1 个控制器1个 AP1 个笔记本 Windows XP SP2拓扑描述和测试步骤1. 为控制器分配一个IP地址和网关2. 设置default vlan 在L2上隔离3. 启动DHCP服务器功能4. 创建public Service-profile使用last-resort认证，不使用加密5. 将public的Service-Profile关联到default的Radio-Profile上6. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。7. 将AP的Radio 1激活8. 设置笔记本使用open-system，关联到public SSID上 9. 检查该笔记本是否能够从DHCP获得一个IP地址，并且能够上网，但不能访问内部资源。预期结果.客户端能够连接Public SSID上，并且访问Internet。配置脚本 set ip route default 1 #设置网关set system name MXR-2 #设置系统名称set system ip-address 9 #设置系统IPset system countrycode CN #设置国家代码set timezone PRC 8 0 #设置时区 set service-profile public ssid-name public #建立一个SSID为public的service-profileset service-profile public ssid-type clear #该SSID不加密set service-profile public auth-fallthru last-resort #该SSID无需认证set service-profile public attr vlan-name default #指定缺省的AAA属性set user admin password encrypted 0005170b0d55 #设置无线认证用户set radio-profile default service-profile public #将service-profile与无线射频进行关联set ap auto mode enable #将AP auto打开，允许ap自动upset ap 9998 serial-id 0784400305 model MP-620 #设置APset ap 9998 radio 1 mode enable #启动AP的802.11b/gset ap 9998 radio 2 mode enable #启动AP的802.11aset ip https server enable #开启web访问服务set port poe 2 enable #开启将MXR-2的端口2的PoE功能set security l2-restrict vlan 1 mode enable permit-mac 00:1a:70:d4:90:0f #可选命令，二层隔离，只允许client访问网关 （00:1a:70:d4:90:0f为网关的MAC地址）set interface 1 ip 9 #设置vlan 1 的interface IPset interface 1 ip dhcp-server enable start 20 stop 30 primary-dns 0 default-router #开启vlan 1的DHCP server4.2 访客使用Web-Portal接入测试案例访客使用Web-Portal接入 所需设备1 个控制器1个 AP1 个笔记本 Windows XP SP2拓扑描述和测试步骤10. 为控制器分配一个IP地址和网关11. 启动DHCP服务器功能12. 为访客创建Service-profile使用Web-Portal认证，不使用加密set authentication web ssid guest * local /使用本地数据库验证认证用户set service-profile guest auth-fallthru web-portal /为guest设置使用portal认证方法 set service-profile guest web-portal-acl portalacl /设置认证成功前使用web-portal-acl13. 将访客和员工的Service-Profile关联到default的Radio-Profile上14. 将AP的Radio 1使用default Radio-Profile。set ap 1 radio 1 radio-profile default 15. 将AP的Radio 1激活 set ap 1 radio 1 mode enable16. 设置笔记本使用open-system，关联到访客SSID上，通过浏览器上网，弹出认证界面，输入用户名和口令 17. 检查该笔记本是否能够从DHCP获得一个IP地址，并且能够上网，但不能访问内部资源。18.set ip route default 1 #设置缺省路由set system name Trapeze #设置系统名称set system ip-address #设置系统IPset system countrycode CN #设置国家代码set timezone cnt 8 0 #设置时区set service-profile test ssid-name test #设置一个ssid名称为testset service-profile test l ssid-type clear #ssid不加密set service-profile test auth-fallthru web-portal #该ssid将采用web-portal认证方式set service-profile test cipher-tkip enable set service-profile test auth-dot1x disable #关闭802.1x认证set service-profile test web-portal-acl portalacl #将web-portal认证的acl与ssid关联set service-profile test attr vlan-name default #将该ssid与default vlan关联set authentication web ssid test * local #采用本地认证用户（MX上的user）set user admin password 12345678 #创建本地认证用户set radio-profile default service-profile test #将service-profile与无线射频关联set ap auto mode enable #开启ap自动上线模式set ap 30 serial-id 0775101673 model MP-422 #新建一个apset ap 30 radio 1 mode enable #开启ap 30的802.11b/gset ap 30 radio 2 mode enable #开启ap 30的802.11aset port poe 1 enable #开启所有poe端口的poe功能set port poe 2 enableset port poe 3 enableset port poe 4 enable set port poe 5 enableset port poe 6 enableset vlan 1 port 1 #端口所属的vlanset vlan 1 port 2set vlan 1 port 3set vlan 1 port 4set vlan 1 port 5set vlan 1 port 6set vlan 1 port 7set vlan 1 port 8 set interface 1 ip #设置vlan 1的interface ipset interface 1 ip dhcp-server enable start 0 stop 00 primary-dns 6 secondary-dns 66 default-router #开启MX上的dhcp server4.3 基于MAC地址进行认证测试案例检验WLAN解决方案是否能够支持基于MAC地址的认证所需设备1+ APs1 无线控制器1 笔记本或PDA拓扑描述和测试步骤1. 为控制器分配一个IP地址和网关2. 启动DHCP服务器功能3. 创建Service-Profile，不使用加密4. 将该Service-Profile关联到default的Radio-Profile上5. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。6. 将AP的Radio 1激活7. 设置名称为PDA的MAC地址的MAC用户8. 设置该Service-Profile使用MAC地址认证9. 设置PDA关联到该SSID上，检查PDA是否能够从DHCP获得一个IP地址，并且能够上网。Expected results.对于功能比较少的终端如（PDA，Wi-Fi Phone）能够通过使用基于MAC地址的方式接入WLAN中配置脚本set ip route default 1 #设置缺省路由set system name Trapeze #设置系统名称set system ip-address #设置系统IPset system countrycode CN #设置国家代码set timezone cnt 8 0 #设置时区set service-profile mac ssid-name mac #设置ssid名称为macset service-profile mac ssid-type clear #ssid不加密set service-profile mac cipher-tkip enableset service-profile mac auth-dot1x disable #关闭802.1x认证set service-profile mac attr vlan-name default #将该ssid与default vlan关联set authentication mac ssid mac * local #mac认证用户来自本地set mac-user 00:11:22:33:44:55 #创建本地mac认证用户set radio-profile default service-profile test #将service-profile与无线射频关联set ap auto mode enable #开启ap自动上线模式set ap 30 serial-id 0775101673 model MP-422 #新建一个apset ap 30 radio 1 mode enable #开启ap 30的802.11b/gset ap 30 radio 2 mode enable #开启ap 30的802.11aset port poe 1 enable #开启所有poe端口的poe功能set port poe 2 enableset port poe 3 enableset port poe 4 enable set port poe 5 enableset port poe 6 enableset vlan 1 port 1 #端口所属的vlanset vlan 1 port 2set vlan 1 port 3set vlan 1 port 4set vlan 1 port 5set vlan 1 port 6set vlan 1 port 7set vlan 1 port 8 set interface 1 ip #设置vlan 1的interface ipset interface 1 ip dhcp-server enable start 0 stop 00 primary-dns 6 secondary-dns 66 default-router #开启MX上的dhcp server4.4 不同的认证加密方式测试案例为WLAN设置一个SSID，这个SSID能够配置支持多种加密算法，使设置不同加密参数的客户端接入所需设备1+ APs1 无线控制器拓扑 描述和测试步骤10. 为控制器分配一个IP地址和网关11. 启动DHCP服务器功能12. 创建Service-Profile，SSID名称为：mix-crypto13. 为该SSID配置WEP、TKIP等参数14. 将mix-crypto的Service-Profile关联到default的Radio-Profile上15. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。16. 将AP的Radio 1激活Expected results.同一SSID下能够同时支持多种加密方式4.4.1 无需密码和用户名口令set ip route default 1 #设置网关set system name MXR-2 #设置系统名称set system ip-address 9 #设置系统IPset system countrycode CN #设置国家代码set timezone PRC 8 0 #设置时区 set service-profile open ssid-name open #建立一个SSID为open的service-profileset service-profile open ssid-type clear #该SSID不加密set service-profile open auth-fallthru last-resort #该SSID无需认证set service-profile open attr vlan-name default #指定缺省的AAA属性set user admin password encrypted 0005170b0d55 #设置无线认证用户set radio-profile default service-profile open #将service-profile与无线射频进行关联set ap auto mode enable #将AP auto打开，允许ap自动upset ap 9998 serial-id 0784400305 model MP-620 #设置APset ap 9998 radio 1 mode enable #启动AP的802.11b/gset ap 9998 radio 2 mode enable #启动AP的802.11aset ip https server enable #开启web访问服务set port poe 2 enable #开启将MXR-2的端口2的PoE功能set security l2-restrict vlan 1 mode enable permit-mac 00:1a:70:d4:90:0f #可选命令，二层隔离，只允许client访问网关 （00:1a:70:d4:90:0f为网关的MAC地址）set interface 1 ip 9 #设置vlan 1 的interface IPset interface 1 ip dhcp-server enable start 20 stop 30 primary-dns 0 default-router #开启vlan 1的DHCP server4.4.2 wep加密，无需用户名口令认证将4.4.1中的红色字体部分换成如下配置，即可：set service-profile Open ssid-name openset service-profile Open auth-fallthru last-resortset service-profile Open wep key-index 1 key 1234567890set service-profile Open wep key-index 2 key abcdefghijset service-profile Open cipher-tkip enableset service-profile Open auth-dot1x disableset service-profile Open attr vlan-name default4.4.3 WPA-tkip加密将4.4.1中的红色字体部分换成如下配置，即可：set service-profile Open ssid-name openset service-profile Open auth-fallthru last-resortset service-profile Open cipher-tkip enable /无命令set service-profile Open wpa-ie enableset service-profile Open psk-phrase 1234567890 / 密码 最少8位set service-profile Open auth-psk enableset service-profile Open auth-dot1x disableset service-profile Open attr vlan-name default4.4.4 WPA2-TKIP加密将4.4.1中的红色字体部分换成如下配置，即可：set service-profile Open ssid-name openset service-profile Open auth-fallthru last-resortset service-profile Open cipher-tkip enableset service-profile Open rsn-ie enableset service-profile Open psk-phrase 1234567890set service-profile Open auth-psk enableset service-profile Open auth-dot1x disableset service-profile Open attr vlan-name default4.4.5 Wpa+WPA2-tkip将4.4.1中的红色字体部分换成如下配置，即可：set service-profile Open ssid-name openset service-profile Open auth-fallthru last-resortset service-profile Open cipher-tkip enable set service-profile Open wpa-ie enableset service-profile Open rsn-ie enableset service-profile Open psk-phrase 1234567890set service-profile Open auth-psk enableset service-profile Open auth-dot1x disableset service-profile Open attr vlan-name default4.4.6 WPA-AES将4.4.1中的红色字体部分换成如下配置，即可：set service-profile open ssid-name openset service-profile open auth-fallthru last-resortset service-profile open cipher-ccmp enableset service-profile open wpa-ie enableset service-profile open psk-encrypted 06005b7419195c4c014441595a512cset service-profile open auth-psk enableset service-profile open auth-dot1x disableset service-profile open attr vlan-name default4.4.7 WPA2-AES将4.4.1中的红色字体部分换成如下配置，即可：set service-profile open ssid-name openset service-profile open auth-fallthru last-resortset service-profile open cipher-ccmp enableset service-profile open rsn-ie enableset service-profile open psk-encrypted 06005b7419195c4c014441595a512cset service-profile open auth-psk enableset service-profile open auth-dot1x disableset service-profile open attr vlan-name default4.4.8 无加密，web-portal认证将4.4.1中的红色字体部分换成如下配置，即可：set service-profile Web-Portal ssid-name Web-Portalset service-profile Web-Portal ssid-type clearset service-profile Web-Portal auth-fallthru web-portalset service-profile Web-Portal cipher-tkip enableset service-profile Web-Portal auth-dot1x disableset service-profile Web-Portal web-portal-acl portalaclset service-profile Web-Portal attr vlan-name defaultset authentication web ssid Web-Portal * local4.4.9 wpa-tkip，web-portal认证将4.4.1中的红色字体部分换成如下配置，即可：set service-profile Web-Portal ssid-name Web-Portalset service-profile Web-Portal auth-fallthru web-portalset service-profile Web-Portal cipher-tkip enableset service-profile Web-Portal wpa-ie enableset service-profile Web-Portal psk-encrypted 121f554e4b5a55517c79777e366 set service-profile Web-Portal auth-psk enableset service-profile Web-Portal auth-dot1x disableset service-profile Web-Portal web-portal-acl portalaclset service-profile Web-Portal attr vlan-name defaultset authentication web ssid Web-Portal * local（wpa-tkip、web-portal认证是将wpa-tkip无认证和web-portal认证无加密整合在一起）（WPA2-tkip、web-portal认证只需将wpa-ie换成rsn-ie即可）4.4.10 802.1X认证，WPA-tkip将4.4.1中的红色字体部分换成如下配置，即可：set service-profile 80