MWG中文管理手册.doc

系统默认设置下表列出了此接入点的默认设置。要将接入点恢复到默认值，请在CLI 命令行中输入 “reset configuration”特性参数默认标示系统名称SMC管理者用户名admin密码smcadmin一般HTTP server启用HTTP Server 端口号80HTTPS server启用HTTPS server端口号443Web 重定向禁用TCP/IPDHCP启用IP地址子网掩码默认网关主DNS IP从 DNS IPRADIUS（主和从）IP地址端口1812密钥DEFAULT超时5秒转发尝试3记账端口0（禁用）计费更新超时3600秒SSH服务器状态启用服务器端口22PPPOEPPPOE状态禁用MAC认证MAC禁用认证会话超时0分钟（禁用）本地MAC系统设定允许本地MAC权限允许802.1x认证状态禁用广播密钥刷新0分钟（禁用）会话密钥刷新0分钟（禁用）重认证刷新率0秒（禁用）Supplicant禁用VLAN管理vlan ID1VLAN ID（VAP接口）1VLAN TAG支持禁用QOSQOS模式关闭SVP(SpectraLink Voice Priority)禁用过滤控制本地桥禁用AP管理启用以太网类型禁用SNMP状态启用Location位置空Contact空Community (只读)PublicCommunity ( 读写) PrivateTraps启用Trap目的地（1-4）禁用Trap 目的IP 地址空Trap 目的community 名称PublicSNMP v3组RORWAuthRWPrivSNMP v3用户无系统日志Syslog禁用Logging 主机禁用Logging Console禁用IP地址/主机名Logging LevelInformationalLogging Facility Type16系统时钟SNTP服务器状态启用SNTP服务器1 IP0SNTP服务器2 IP8日期和时间00:00, Jan 1, 1970（此时没有时间服务器）夏令时禁用时区GMT-5 (东部时间，美国和加拿大)以太网界面速率和双工模式自动无线802.11a 界面IAPP启用SSIDSMCTurbo 模式禁用状态禁用自动信道选择启用封闭系统禁用传输功率Full最大数据速率54Mbps组播数据速率6MbpsBeacon 间隔100 TUs数据Beacon 速率（DTIM间隔）1 beaconsRTS Threshold2347 bytesAssociation Timeout Interval30分钟Authentication Timeout Interval60分钟Rogue AP检测禁用天线控制方法分集天线ID0x0000天线位置indoor无线802.11a 安全认证类型开放系统数据加密禁用WEP Key 长度128bitsWEP Key 类型HexadecimalWEP 发送Key 数目1WEP Keys空WPA配置模式WEP ONLY（禁用）WPA密钥管理WPA Pre-shared KeyWPA PSK类型Alphanumeric组播密码WEP无线802.11b/g 界面IAPP启用SSIDSMC射频模式b+g状态禁用自动信道选择启用封闭系统禁用传输功率Full最大数据速率54Mbps组播数据速率5.5MbpsPreamble LengthLongBeacon 间隔100 TUs数据Beacon 速率（DTIM间隔）1 beaconsRTS Threshold2347 bytesAssociation Timeout Interval30分钟Authentication Timeout Interval60分钟Rogue AP检测禁用天线控制方法分集天线ID0x0000天线位置indoor无线802.11b/g 安全认证类型开放系统数据加密禁用WEP Key 长度128bitsWEP Key 类型HexadecimalWEP 发送Key 数目1WEP Keys空WPA配置模式WEP ONLY（禁用）WPA密钥管理WPA Pre-shared KeyWPA PSK类型Alphanumeric组播密码WEP链路完整性状态禁用Ping间隔30秒失败重传计数6第二章 硬件安装1. 选择位置 为接入点选择一个适当的位置。一般而言，最好的位置在你覆盖区域的中心，所有无线设备在可视范围之内。尽量将接入点放置在能做到最好覆盖效果的位置（参考“无线局域网基础架构”在4-3）。用于最佳性能，参考以下几点：l 在覆盖范围内尽可能的将接入点放置在高于障碍物的地方。l 避免靠近和紧挨建筑物的承重墙或其他遮挡物，这将导致覆盖范围内部分区域出现信号衰减或无信号。l 安装时远离信号吸收或信号反射的结构体（例如金属）。2. 安装接入点 接入点可以被安装在任何水平表面。安装在水平表面 防止接入点在水平面上滑动，将设备附件中的4个橡胶垫脚粘在设备背面的4个槽位中。锁住接入点 为了防止未授权的人移动接入点，你可以使用Kensington Slim MicroSaver安全线（不包含在设备中）将设备锁在一个固定的物体上。3. 连接电源线 将电源适配器连接接入点，并将电源线插入交流电源口。另外，接入点可以通过连接支持IEEE 802.3af标准（POE）的设备，通过RJ-45端口获取电源。注意：如果接入点同时连接POE源设备和交流电源，交流电源将失去作用。警告：使用设备自带的电源适配器供电，否则将造成设备损坏。4. 观察自检 当你为接入点加电后，观察PWR指示灯停止闪烁并保持常量，同时其它指示灯指示其他功能启动。如果PWR LED没有停止闪烁，表示自检程序没有完成。参考“故障解答”在A-15. 连接以太网线 接入点可以连接到10/100Mbps以太网通过网络设备，例如集线器或交换机。使用3、4或5类非屏蔽双绞线连接设备背面的RJ-45端口以接入网路。当接入点和连接设备加电后，以太网连接LED变亮，表示一个有效的网络连接。如果此LED不良，参考“故障解答”在A-1。注意：设备的RJ-45端口支持自动MDI/MDI-X操作，所以你可以使用直通线或交叉线来连接交换机或PC。6. 天线定位 每个天线的辐射方向成环形（形成圆环图），大多数覆盖方向与天线垂直。因此天线是有方向的，将射频覆盖区域在水平面上充满整个有效区。同样，分集天线要定位在相同的轴，提供相同的覆盖区域。例如，如果接入点安装在水平面，两个天线应该与水平面垂直放置，来提供最佳覆盖。7. 连接控制端口 连接console线到RS-232端口来访问命令行界面。你可以通过console端口来管理接入点或者WEB界面以及SNMP管理软件来进行管理。第三章 外接天线SMC2555W-AG2提供多种外部天线可选用于扩展射频范围以及调整覆盖区域。这些天线用于不同的安装现场，包括室内或室外，壁挂，吊顶或安装在杆上。此章将为你展示如何将扩展天线安装在你的SMC2555W-AG2上。注意：使用安装外部天线需要经过培训的专业人员操作。用户必须对符合本地规则负责，例如天线增益，线缆，避雷以及传输功率。因此你必须请教专业人士来进行安装。安装规程按照以下步骤安装外部天线并连接到SMC2555W-AG2。警告：不要为了缩短天线与设备的距离而把设备安装在室外。此接入点必须始终安装在室内。1. 计划安装l 尾缆 使用同轴尾缆连接到天线用于连接到接入点。因为大多数尾缆较短（83厘米或33英寸），确认找一个合适的地点安装天线，不能离接入点太远。如果需要扩展线缆，请联系专业RF人员操作。l 安装位置 计划天线的定位与定向。警告：此设备输出功率低于FCC规定的辐射极限。然而设备仍需要使用在这种方式，在正常运行期间人们接触的电位最小化。为了避免高于FCC射频辐射极限，在设备正常工作期间人与天线的距离要不少于20厘米（8英寸）。参考以下几点： 使用天线安装托架或其它硬件，如果包含。 为保证最佳性能，天线安装在竟可能高于所有障碍物的位置，并远离信号吸收或反射结构体。 确认两米内没有咱装其它射频天线。 考虑天线射频的有效区图形，所以它可以适当的覆盖服务区域。l 全向天线 当选择此类天线考虑以下因素： 始终将天线垂直定向，所以天线有效区域分布在水平区域。 为最佳性能，安装天线在区域的中心位置，并与区域内的所有点可视。 避免安装在建筑的承重体或其他遮挡物上，可能导致部分区域信号衰减或盲区。 当使用天线竿在室外安装天线，确保天线在竿的顶端。l 定向天线 当选择此类天线考虑以下因素： 为最佳性能，天线安装在遮挡物之上，并对准覆盖扇面区域的中心。 高增益定向天线提供一个平的覆盖区域。使用可调节的安装臂将天线倾斜安装。l 室外安装 当安装室外天线，确认考虑以下几点： 天线安装点始终要远离电源和电话线。 确保天线，支架和线缆都做接地处理。 对于避雷，考虑使用避雷器直接连接在进入大楼的线缆之前。警告：永远不要将天线或天线杆靠近高架电源线安装。2.安装天线将天线安装在计划好的地点，使用支架，卡子等天线包装中的硬件。查阅文档，包含天线详细信息和安装指导。3.安装尾缆到接入点使用附在天线上或天线包装内的尾缆。如果需要扩展线缆，请联系专业RF人员操作。注意分集式天线有两条尾缆。一个分集式天线包含两个相同的天线单元。两个天线尾缆必须连接到接入点来正常运行。其他非分集天线，可以连接任何一个天线接口，然后在用户界面配置天线使用选项。连接尾缆到接入点，尊徐以下几步：1. 使用WEB界面，CLI或SNMP关闭接入点的射频。2. 断开电源。3. 旋开天线，将两个天线全部拆下。4. 对于分集式天线，将天线的尾缆连接接入点的两个SMA连接口。对于非分集式天线，确认连接的SMA接口在软件界面中已激活。5. 为接入点重新加电。注意：在启用连接扩展天线的射频之前，确认以配置接入点的天线类型。第四章 网络配置无线网络即支持独立配置又集成10/100Mbps以太局域网的配置。2.4 GHz/5 GHz无线接入点也支持中继和桥接功能，并可以在每个2.4 GHz/5 GHz射频接口下独立配置。在以下配置，接入点可以配置为支持无线终端并连接有线网络：l Ad hoc用于部门，SOHO或企业网络。l Infrastructure用于无线网路。l Infrastructure无线局域网用于无线PC的漫游。l Infrastructure无线网桥用于连接有线网络。l Infrastructure无线中继用于扩展范围。工作在2.4 GHz的802.11b和802.11g很容易受到其它2.4 GHz设备的干扰，例如其他802.11b/g的无线设备，无绳电话以及微波炉。如果你的无线网络经验不足，尝试一下措施：l 在服务区内限制任何可能的射频源。l 增加相邻接入点之间的距离。l 降低相邻接入点的信号强度。l 增加相邻接入点的信道间距。（例如，最少5个信道间距对于802.11b/g）网络拓扑AD HOC无线局域网（无接入点）一个ad hoc无线局域网由一组装配无线适配器的计算机组成，通过无线信号组成独立的无线局域网。在ad hoc无线局域网的电脑必须配置相同的无线信道。Ad hoc无线局域网可应用在办公室或家庭办公。Infrastructure无线局域网接入点也支持无线终端访问有线网络。一个集成由有线/无线的局域网被称作Infrastructure结构。BSS由一组计算机和直接连接到有线网络的一个接入点组成。每个BSS中的PC可以通过无线链路与此组内的任何PC对话，或通过接入点访问有线网络架构的资源。Infrastructure结构不只是扩展无线PC到有线局域网的可达性，同样增加无线PC的无线传输范围通过一个或更多接入点传输信号。无线架构可以访问到数据中心，或连接移动用户。如下图所示。Infrastructure无线局域网用于无线PC漫游基本服务标示（BSS）定义每个接入点和与其关联的无线终端的通信域。BSS ID是一个基于接入点无线MAC地址的48位二进制数字，并且自动设置并公开作为终端与接入点进行关联。BSS ID用于终端和接入点在帧传输的时候确认流量在服务区内。BSS ID只设置在靠近终端的接入点。终端只需要设置SSID来标识服务由一个或多个接入点提供。SSID可以手动配置，可以找到接入点的信标，或可以通过扫描附近的接入点来获得。对于不需要漫游的用户，设置你想连接的接入点的SSID在你的无线网卡上。无线infrastructure可以支持漫游用于移动用户。由一个以上的接入点组成一个ESS。通过分布接入点形成一个连续的覆盖区域，在此ESS中的无线用户就可以实现自由的漫游。所有在ESS中的无线网卡和接入点都要设置相同的SSID。Infrastructure无线网桥IEEE 802.11标准定义无线分布系统（WDS）用于桥接两个BSS区域。接入点使用WDS在单元之间传输数据。接入点支持WDS桥接链路在任何一个5GHz（802.11a）或2.4GHz（802.11g）频带上并使用不同的外接天线来提供灵活的解决方案。无线桥接网络中每个单元最多可以制定6条WDS桥接链路。其中必须有一个单元作为“root bridge”。root bridge单元连接中心的有线网络。其他桥必须配置一个“父”链路到root bridge或其他连接到root bridge的桥。另外五条可用的WDS链路可作为“子”链路指定到其他网桥。此系统为无线桥接网络的星型拓扑。当使用WDS，只有无线网桥之间可以关联。无线终端只能与设置成接入点或中继模式的接入点关联。Infrastructure无线中继接入点还可以运行在桥接“中继”模式来扩展无线终端的链路范围。接入点使用WDS在中继桥和根桥之间传输数据。接入点支持最多6条WDS中继链路。在中继模式，接入点不支持到有线网络的以太网链路。注意当接入点工作在此模式下只有一般的吞吐量是可能的。这是因为接入点在相同信道上接收并转发所有数据。第五章 初始配置此无线接入点支持多种管理方式，包括基于WEB的界面，直连console端口，telnet，SSH或SNMP。初始配置可以通过WEB界面或CLI，接入点默认通过DHCP的方式获得地址。如果DHCP服务器没有相应，接入点将使用默认IP地址 。如果此地址与你的网络不一致，你可以先通过CLI像下面描述的一样来配置一个有效的IP地址。注意：销售到美国以外的设备没有配置国家代码。你必须使用CLI来设置国家代码并启用无线运行。通过CLI进行初始配置必须的连接接入点提供RS-232串行端口，连接PC，启动终端设备进行配置。使用VT-100兼容终端或PC运行的终端仿真程序。你可以使用包裹中的console线。连接console端口，遵循以下步骤：1. 连接console线到终端设备的串行端口或运行终端仿真程序的PC。并旋紧螺丝。2. 将线的另一端连接到接入点的RS-232串行接口上。3. 确认终端仿真程序设置如下：l 选择对应的串行端口（COM端口1或2）l 设置波特率为9600l 设置数据为为8，停止位为1，并无奇偶校验l 数据流控制设为无。l 设置仿真方式为VT100l 当使用超级终端选择终端秘钥而不是windows秘钥。注意：当使用微软的视窗操作系统2000，确认你已经安装了Windows 2000 Service Pack 2或更新版本。Windows 2000 Service Pack 2修复了在超级终端的VT100仿真中方向键无效的问题。具体信息请参考微软官方网站。4. 一旦你正确的设置好终端程序，按回车键启用console连接。屏幕将显示登陆信息。初始配置步骤登陆 输入“admin”用户名，默认密码为“smcadmin”。命令提示符显示接入点名称。设置IP地址 在默认状态接入点被配置为从DHCP服务器获取IP地址。如果DHCP服务器没有相应，默认的IP地址为。可能与你的网络不一致。在此之前你可以通过CLI来分配一个与你的网络一致的IP地址。输入“configure”进入配置模式。然后输入“interface ethernet”进入接入点的以太网接口配置模式。首先输入“no ip dhcp”来关闭DHCP终端模式。然后输入“ip addressip-address netmask gateway”，其中“ip-address”为接入点的IP地址，“netmask”为网络的掩码，“gateway”就是默认网关路由器。与你的系统管理员协商分配此IP地址。设置完无线网桥的IP地址参数后，您可以在网络内的任何地方以任何管理方式访问此网桥。也可以通过网络上的PC使用telnet来使用CLI。设置国家代码 销售在美国的的设备被配置为FCC规章定义的802.11b/g模式下使用1-11信道。美国以外销售的设备没有配置国家代码（默认99）。你必须使用CLI来设置一个国家代码。由于不同国家的无线产品可能会有不同的规范，在此选择此无线网桥使用的国家，将自动调整为相应国家的一些规范。输入“exit”推出配置模式。然后输入“country ?”链式国家列表。选择你所在国家的国家代码，并再次输入country命令并跟随国家代码。登陆只需要基本的几步你必须完成，在连接接入点到你的网络，并为无线终端提供网络接入之前。接入点可以通过电脑使用WEB浏览器（Internet Explorer 5.0或更高版本,或 Netscape Navigator 6.2或更高版本）。输入默认IP地址：登陆 输入用户名：admin，和密码：smcadmin，然后点击LONGIN。主页显示的主菜单。第六章 系统配置在进行高级配置之前，请先根据第5章中的内容配置完接入点的IP地址。在局域网上的任意计算机都可以通过WEB浏览器管理此接入点。输入为接入点配置的IP地址，或默认IP地址：要登录到接入点，输入默认的用户名”admin”，密码“smcadmin”，并点击LOGIN。当显示主页后，点击Advanced Setup进入高级设置界面。将显示下图：本章中的信息为您通过WEB界面管理无线接入点提供基本的参考。建议您先设置您的用户名和密码，增强安全性。高级设置高级设置页面包括以下选项：菜单描述System配置基本管理者信息和客户端访问信息Identification 指定系统名称，未知和联系信息TCP/IP Setting配置IP地址，子网掩码，网关以及域名服务器RADIUS配置RADIUS服务器用于无线终端的认证和计费SSH setingAuthentication配置802.1x终端认证，包括MAC地址认证可选项Filter control启用VLAN，按要求过滤特定数据包VLAN启用支持vlan，并设置管理vlan IDWDS Seting为每个射频接口设置桥接或中继模式以及设置生成树参数AP Management设置管理接口Administration配置用户名，密码；升级固件，恢复此无线网桥到出厂默认设置，重新启动SNMP配置SNMP SNMP运行SNMP的站点可以控制接入点，并收到trap信息。SNMP Trap Filters为SNMP V3用户定义trap filterSNMP Targets定制SNMP v3用户，并将收到trap信息Radio Interface A配置IEEE802.11a界面Radio Settings配置无线信号参数，以及其他用于每个vap接口的参数Security启用每个虚拟接入点（VAP），设置SSID以及配置安全策略Radio Interface G配置802.11g界面Radio Settings配置无线信号参数，以及其他用于每个vap接口的参数Security启用每个虚拟接入点（VAP），设置SSID以及配置安全策略Status显示关于接入点和无线终端的信息。AP Status显示基本系统和无线接口的配置Station Station显示当前关联到接入点的无线终端。Event Logs显示保存在内存的日志信息。System Identification无线网桥的系统信息参数可以保持默认设置。然而，修改这些参数，可以帮助您区分同一网络中的不同无线设备。System Name 系统名称。 无线网桥的别名，使其在此网络上与其他无线产品区分开来。（默认：Enterprise Wireless AP）应该是1-23个字符组成的字符串。CLI 界面的System Identification 进入全局配置模式，使用system name命令指定一个新的系统名称。然后返回到Exec模式，并使用show system命令来显示修改结果TCP/IP 设置通过配置带有IP 地址的无线网桥可以扩展您管理此无线网桥的能力。一部分无线网桥的功能是依赖于此IP地址来进行的。注意：您可以通过WEB浏览器界面访问IP地址。默认情况下，接入点将从DHCP 服务器自动获得一个IP地址。然而，如果您不使用DHCP服务器获得IP地址，您也可以通过CLI手动配置一个初始IP地址。当您通过WEB浏览器访问此网桥后，也可以通过WEB页面直接修改此初始IP地址。注意：如果在您的网络中没有DHCP服务器，或者DHCP 失败，无线网桥将自动使用一个默认IP地址：。DHCP Client( Enable) 选择此项使此无线网桥从网络中的DHCP服务器自动获得IP地址。IP地址，子网掩码，默认网关，DNS地址都由DHCP服务器自动分配。（默认：Enable）DHCP Client（Disable） 选择此项为无线网桥手动配置一个静态地址。l IP Address：无线网桥的IP地址。有效的IP地址由4个数字组成，0-255。l Subnet Mask：掩码用于标识主机地址位用于路由到指定子网。l Default Gateway：无线网桥的默认网关， 用于目的地址不在同一子网中。如果您在其他子网中有管理工作站，DNS，或其他网络服务器，输入默认网关的IP 地址， 否则，使地址全留0。（）。l Primary and Secondary DNS Address：网络上DNS的IP地址。一个DNS IP地址映射到主机名，这样用户就可以只记比较熟悉的域名，而不用记复杂的IP地址。如果你在本地网络上由一个或多个DNS服务器，输入相应的IP地址。否则，使地址全留0()。CLI界面 在全局配置模式，进入端口配置模式使用interface ethernet命令。使用ip dhcp命令启用DHCP终端或no ip dhcp关闭。在手动配置地址中，使用ip address命令指定新的IP地址，子网掩码和默认网关。使用dns server命令来指定DNS服务器地址。在Exec模式下使用show interface ethernet命令显示当前IP设定。RADIUS远程验证拨入用户服务（RADIUS）是一个认证协议，通过运行在中央服务器上的软件来控制访问到网络中的RADIUS-aware设备。一个认证服务器包含每个请求接入网络的用户的用户凭证数据库。主RADIUS服务器必须指定，并且接入点要执行IEEE 802.1x网络访问控制和WPA无线安全。指定备份RADIUS服务器作为备份，当主服务器失效或不可达。另外，配置RADIUS服务器也可以作为RADIUS计费服务器并从接入点接收用户会话计费信息。RADIUS计费可以被用做提供有价值的信息在用户在网络中处于活跃状态。注意：此指南假定你已经配置好RADIUS服务器来支持接入点。配置RADIUS服务器不属于本手册范围，请参考RADIUS服务器软件相关手册。MAC地址格式 MAC地址可以被指定为四种格式中的其中一种。不使用分隔符，使用一个破折号分隔符，使用多个破折号分隔符以及使用多个冒号分隔符。VLANID格式 vlan ID（1到4094）可以被分配到每个终端，当终端使用802.1x在中央RADIUS服务器成功认证。用户VLAN ID必须在RADIUS服务器上配置用于授权每个用户访问网络。VLAN ID可以键入十六进制数字或ASCII字符串。主RADIUS服务器设置 配置以下设置来使用RADIUS认证在接入点上。l IP address：指定RADIUS服务器的IP地址或主机名。l Port：RADIUS服务器用户传输认证信息的UDP端口号（范围：1024-65535；默认1812）l Key：一个共享的文本字符串用户加密接入点和RADIUS服务器之间的信息。确认相同的文本字符串指定在RADIUS服务器上。字符串中不允许使用空格。（最大长度255个字符）l Timeout：接入点再次发送请求之前等待RADIUS答复的时间。（范围：1-60秒；默认5）l Retransmit attempts：在认证失败之前接入点重新发送请求到RADIUS的时间。（范围：1-30；默认3）l Accounting Port：RADIUS计费服务器用户传输计费信息的UDP端口。（范围：0或1024-65535；默认：0，关闭）l Interim Update Timeout：在发送计费更新信息到RADIUS服务器的时间间隔。（范围：60-86400；默认：3600秒）注意：Timeout 和 Retransmit attempts栏建议保持默认值，除非你有丰富的经验调试RADIUS服务器的连接问题。备份RADIUS服务器设置 配置备份RADIUS服务器备份当主服务器失效时。当主服务器失效或不可达时接入点将启用备份服务器。一旦接入点转接到备份服务器，它将定期尝试与主服务器再次建立连接。如果与主服务器的通讯恢复，备份服务器将恢复备份状态。CLI界面用于RADIUS 在全局配置模式下，使用radius-server address命令来指定主或备份服务器的地址。（下面的例子配置了主RADIUS服务器）配置其他RADIUS服务器参数。然后使用show radius命令显示当前主/备份服务器配置信息。SSH 设置Telnet是一种远程管理工具可以被用做在网络中任何地点配置接入点。可是，Telnet在中间人攻击下并不安全。安全外壳（SSH）可以作为安全的方式替代Telnet。SSH协议使用生成的公共密钥加密在接入点和SSH管理终端之间传输的所有数据并确保抵达的数据未被改变。这时终端就可以放心的使用用于接入验证的本地用户名和密码。注意SSH终端软件需要安装在管理工作站来通过SSH协议访问接入点进行管理。注意： 1.接入点只支持SSH v2.02.在启动后，SSH服务器需要大约两分钟的时间生成主机加密密钥。当密钥生成中SSH服务器为关闭状态。SSH Settingsl Telnet Server Status：启用或关闭Telnet服务器。（默认：启用）l SSH Server Status：启用或关闭SSH服务器。（默认：启用）l SSH Server Port：设置SSH服务器的UDP端口。（范围：1-65535；默认：22）CLI命令行 启用SSH服务器在以太网端口配置模式下使用ip ssh-server enable命令。使用ip ssh-server port命令配置SSH服务器端口。在Exec模式下使用show system命令查阅当前信息。（以下示例中没有展示）Authentication无线终端可以通过认证来进行网络接入，通过对比在接入点上配置的数据库校验无线终端的MAC地址，或者使用RADIUS服务器上配置的数据库。作为选择，认证可以执行IEEE 802.1x网络访问控制协议。终端MAC地址体统相对较弱的用户认证，因为MAC地址可以很容易被其他站点捕捉用来侵入网络。使用802.1x通过用户名和密码或数字证书的方式可以提供更加坚固的用户认证。你可以配置接入点同时进行MAC地址和802.1x认证。配置MAC地址或802.1x认证之前请注意以下几点：l 使用MAC地址认证用在少数用户的小型网络。MAC地址可以手动的配置在接入点上，不需要配置在RADIUS服务器，但是通过许多接入点维护很多MAC地址是非常麻烦的事情。RADIUS服务器可以用来集中维护大量的用户MAC地址数据库。l 使用IEEE 802.1x认证用于用户很多的网络以及安全性要求较高的网络。当使用802.1x认证，在有线网络中必须使用RADIUS服务器，用来集中管理无线用的凭证。它还提供增强的安全机制通过使用动态加密密钥或WPA。注意： 如果你配置RADIUSMAC认证和802.1x，RADIUS MAC地址认证优先于802.1x认证执行。如果RADIUS MAC地认证成功，然后执行802.1x认证。如果RADIUS MAC认证失败，802.1x认证将不会执行。l 接入点业可以运行在802.1x恳求模式。启用此项，接入点自身通过配置的MD5用户名和密码通过认证。这样可以阻止非法接入点接入网络。MAC Authentication 你可以配置授权访问网络的终端的MAC地址列表。此提供了基本级别的让认证用于企图访问网络的无限用户。授权的MAC地址数据库可以保持在接入点本地或远程的RADIUS服务器。（默认：关闭）l Disabled：对相关站点的MAC地址不执行验证。l Local MAC：关联站点的MAC地址与存储在接入点的本地数据库做对比。在此页面使用本地MAC认证设置本地数据库，并将无线网络服务区内的所有接入点配置相同的MAC地址数据库。l Radius MAC：关联站点的MAC地址被发送到配置好的RADIUS服务器做认证。当使用RADIUS认证服务器做MAC地址认证，服务器首先要在RADIUS视窗中配置。MAC地址的数据库和过滤侧率必须在RADIUS服务器中定义。注意：RADIUS服务器中的MAC地址可以已四种不同的格式输入。802.1X Supplicant 接入点也可以运行在802.1x恳求模式。启用此项，接入点自身通过配置的MD5用户名和密码通过认证。这样可以阻止非法接入点接入网络。Local MAC Authentication 配置本地MAC认证数据库。MAC数据库提供一种机制来进行可靠的操作基于无线终端的MAC地址。MAC列表可以配置成允许或阻止指定终端访问网络。l System Default：对所有未知的MAC地址指定一个默认的操作。（即那些没有列在本地MAC数据库的） Deny：拒绝所有MAC地址的访问除了那些列在本地数据库中作为“允许”的地址。 Allow：允许所有的MAC地址访问除了那些列在数据库中作为“拒绝”的地址。l MAC Authentication Settings：输入指定的MAC地址并允许加入本地MAC数据库。 MAC Address：终端的物理地址。输入六对十六进制数字，以连字符分割开；例如，00-90-D1-12-AB-89 Permission：选择Allow来允许接入或Deny来阻止接入。如果选择Delete，指定的MAC地址项将被从数据库中移除。 Update：键入指定的MAC地址并允许设置加入到本地数据库。l MAC Authentication Table：显示当前本地MAC数据库条目。CLI命令行（本地MAC地址认证） 在全局配置模式下使用mac-authentication server命令启用本地MAC认证。使用mac-authentication session-timeout命令设置认证时间间隔。使用web-redirect命令启用基于web认证用于服务计费。使用address filter default命令设置对没再本地MAC地址表中的地址的默认操作。然后使用address filter entry命令输入MAC地址到本地表。使用address filter delete移除表中的项目。在Exec模式下使用show authentication命令显示当前设置。CLI命令行（RADIUS MAC认证） - 在全局配置模式使用mac-authentication server命令启用远程MAC认证。使用macauthentication session-timeout命令设置重认证超时时间。确认同样设置RADIUS服务器的连接设置（以下示例中没有展示）。在Exec模式下使用show authentication命令显示当前配置。CLI命令行（802.1x Supplicant） - 配置接入点以802.1x Supplicant模式工作。首先使用802.1X supplicant user命令设置接入点的用户名和密码，然后使用802.1X supplicant命令启用此功能。使用show authentication命令显示当前配置（以下示例没有展示）Filter Control接入点可以使用网络数据帧过滤来控制网络资源的访问并增加安全性。你可以阻止无线终端之间的通讯以及阻止从无线终端对接入点的管理。同样，你可以阻止由接入点转发的指定以太网流量。Inter Client STAs Communication Filter 设置全局模式对于关联到接入点上的虚拟AP（VAP）的终端之间的无线到无线的通讯。（默认：Prevent Inter and Intra VAP client Communication）l Disabled：所有终端可以通过接入点互相通讯。l Prevent Intra VAP client communication：当启用后，关联在同一VAP下的终端不能相互建立通讯。可以与其他VAP下关联的终端通讯。l Prevent Inter and Intra VAP client communication：当启用后，终端之间不能相互建立无线通讯，任何关联到相同或不同VAP下的终端。l Disabled：允许冲无线终端的管理访问。l Enabled：阻止无线终端的管理访问。Uplink Port MAC Address Filtering Status 阻止指定源MAC地址数据流通过接入点转发到无线终端。你可以添加最多8条MAC地址到过滤表。（默认：Disabled）l MAC Address：指定过滤的MAC地址。格式xx-xx-xx-xx-xx-xxl Permission：从过滤表中添加或删除MAC地址。Ethernet Type Filter 对比协议过滤表控制检查以太网类型的所有进出以太网数据包。（默认：Disabled）l Disabled：接入点不过滤以太网协议类型。l Enabled：接入点基于过滤表中配置的协议类型过滤以太网协议类型。如果协议状态设置为“ON”，此协议将从接入点过滤。Note: Ethernet protocol types not listed in the filtering table are always forwarded by theaccess point.注意：没有在过滤表中列出的以太网协议类型接入点始终转发。Ethernet Type Filter 启用或关闭端口的以太网过滤。（默认：Disabled）CLI命令（桥过滤） - 在全局模式下使用filter local-bridge命令阻止通过接入点的无线到无线通讯。使用filter ap-manage命令来限制无线终端的管理访问。使用filter ethernet-type enable命令启用以太网协议过滤并使用filter ethernet-type protocol命令定义你想过滤的协议。使用address filter delete命令从列表中移除条目。使用show filters命令显示当前配置。VLAN接入点可以使用支持VLAN 标识来控制访问网络资源并增加安全性。VLAN分隔数据传输在接入点，关联的终端以及有线网络之间。VLAN可以分配到每个关联终端，默认VLAN用于每个VAP界面，以及管理VLAN用于接入点。注意以下几点关于接入点的VLAN支持：l 管理VLAN用于管理接入点通过远程管理工具，例如WEB界面，SSH,SNMP或Telnet。接入点支接受标记这指定管理VLAN ID的管理数据流。l 所有关联到接入点的无线终端被分配到VLAN。如果使用IEEE 802.1x来认证无线终端，指定的VLAN ID可以配置在RADIUS服务器用于分配到每个终端。如果终端没有分配指定VLAN或没有使用802.1x，终端将被分配VAP端口的默认VLAN。接入点只允许数据流标识已分配的VLAN ID或默认VLAN ID访问关联在每个VAP接口的终端。l 当VLAN支持在接入点启用，数据流传输到有线网络标示着适当的VLAN ID，分配的终端VLAN ID，默认VLAN ID或管理VLAN ID的任意一个。从有线网络接收的数据必须也标示着已知VLAN ID中的一个。接收数据标示这未知VLAN ID或无VLAN标示将被丢弃。l 当VLAN支持关闭，接入点不会标示任何传输到有线网络的数据并忽略所有接收帧的VLAN标识。注意：在启用接入点的VLAN标识之前，确认在对应交换机的端口上配置接入点的管理VLAN ID，默认VLAN ID，和其他终端VLAN ID。否则，当启用VLAN功能到接入点的连接将会丢失。使用IEEE 802.1X和RADIUS服务器，最多64个VLAN ID可以映射到指定无线终端，允许用户保持相同的VLAN在园区网内移动。这项功能也可以用来控制终端访问网络资源，因此增加安全性。VLAN ID（1-4094）可以被分配到终端在通过IEEE 802.1X认证之后。终端的VLAN ID必须在RADIUS服务器上配置用于为每个用户授权访问网络。如果终端没有在RADIUS服务器上配置VLAN ID，接入点分配终端到VAP配置的默认VLAN ID。注意：当使用IEEE 802.1X来动态分配VLAN ID，接入点必须启用802.1x认证和配置RADIUS服务器。无线终端也必须支持802.1x终端软件。当在RADIUS服务器为每个用户启用VLAN ID，去任使用下表描述的RADIUS属性和数值。在RADIUS服务器的VLAN ID可以键入十六进制数字或字符串。注意：配置RADIUS服务器软件不是本手册范围。请参考RADIUS服务器软件文档。VLAN Classification 启用或禁用计入点支持VLAN taggingNative VLAN ID 用来管理接入点的VLAN ID。（范围：1-4094；默认：1）WDS Settings每个接入点射频端口可以配置运行在网桥或中继模式，即允许直接转发数据到其他接入点单元。配置接入点单元之间的桥接链路，你必须配置无线分布系统(WDS)转发表通过指定你想转发数据的单元的无线MAC地址。在无线桥接网络中最多六条WDS桥接或中继链路可以指定在每个单元。生成树协议(STP)用于检测并禁用网络环，并在网桥之间提供备份连接。这样，就允许无线网桥就可以与网络中的其他网桥设备（兼容STP的交换机，网桥或路由器）互相操作，保证在网络上的两个站点之间只有一个路径，并当一条路径出现故障时，可以有备份的路径。WDS Bridge 每个单元的射频接口最多可以指定六条桥接或中介链路（MAC地址）。在无线网络中一个单元必须被配置作为“root bridge”。根网桥用于连接中心有线网络。其它网桥需要指定一个“Parent”链路到根网桥。其他五条WDS链路作为“Child”链路连接其他网桥。l Bridge Role 每个射频接口可以工作在以下四种模式中的一种：（默认：AP）l AP (Access Point)：运行在接入点模式，为无线终端提供到有线网络的连接。l Bridge：运行做为网桥到其它接入点。连接根网桥的“Parent”链路必须配置。最多五条“Child”链路用于连接其它网桥。l Repeater：作为无线中继运行，扩展远程无线终端的范围并连接他们到根网桥。用于链接到根网桥的“Parent”链路必须配置。在此模式下，流量不会从射频端口转发到以