cisco_ap配置手册.doc

cisco ap配置手册2010年9月3日星期五Cisco 胖AP 的基本设定 (Autonomous AP Basic Config) 虽然Cisco的胖AP比市售的胖AP贵的许多，但市场上还是可以看见很多将Cisco的Thin AP更改为胖AP单用的状况，原因是因为:不想常去重开就会好 特别是需要一直放着提供无线服务的环境，不得不佩服它的技术。下面针对胖AP的CLI基本设定做介绍(第一次有GUI的速度慢到让我想学CLI)，帮助大家快速设定这个胖子.(笑)Part 1. 快速让胖AP可用: Step.1 设定802.11的无线SSID:ap#config t ap(config)#dot11 ssid MySSID ap(config-ssid)#authentication open ap(config-ssid)#guest-mode 设定的同时，也必需指令验证方式，我们先用开放验证(open)方式让它通就好。而guest-mode是让SSID进行广播，可以方便初始化的联机，为了安全可以不用设定(Client端需要指定好SSID才能联机)Step.2 指定无线讯号的SSID与开启无线通信:下面是一颗1131AG的AP，所以有两个协议802.11a与802.11g，分别在dot11Radio 0与dot11Radio 1，预设是关闭的，需要进去接口打开:ap(config)#int dot11Radio 0 ap(config-if)#ssid MySSIDap(config-if)#no shutdown ap(config)#int dot11Radio 1 ap(config-if)#ssid MySSIDap(config-if)#no shutdownStep.3 设定BVI:如果是DHCP的环境是可以略过这个步骤，因为预设会自已抓好，Fat AP是靠BVI(Bridge Virtual Interface)来让实体网络与无线网络通讯，所以必需设定一个实体环境的IP给它: ap(config-if)#int bvi 1 ap(config-if)#ip addr dhcp 或是以手动指定IP:ap(config-if)#int bvi 1 ap(config-if)#ip addr 192.168.1.3 255.255.255.0 搞定!把自已的计算机利用无线连看看!Part 2. 常用基本设定: ARP Cache:AP的运作就像Hub一样,广播是它们必做的事，开启Arp-Cache，可以加快效能(虽然感受不到)，当AP收到一个ARP封包，会比对Cache里的数据，如果不在Cache就不广播把封包丢掉，以减少广播封包。ap(config)#dot11 arp-cacheTime:可能希望与NTP Server同步时间ap(config)#sntp server 220.130.158.82 或是直接设定时间 ap#clock set 12:21:00 3 Sep 2010 再show一下时间状况ap#show clock DNS:环境没有DHCP Server的话，可以手动帮AP设定DNS Serverap(config)#ip name-server 168.95.1.1 SNMP:可能需要开SNMP给网管软件看 -最后面可以选择ro(Read Only)或是rw(Read and Write)ap(config)#snmp-server community public roPart 3. 基本加密验证: 通常胖AP较常用的是WEP或是WPA-PSK这两种验证方式，说明如下WEP:首先我们先看一下Web的验证方式，可以更了解为何这么设定，WEP验证基本上是不看人的，只看那把Key，如下:Client - APAuthentication Request- -Association Confirmation 再往上与WEP的流程比较一下，会发觉整个流程都一样，说穿了WEP只是在开放验证里多了一个passphase的确认机制，所以Cisco认为WEP还是一个开放的认证(真是严格呀)Ps. 上面OPEN流程也可以说明为什么在PartI时，我们只设authenticaion open，就可以不用输入密码使用AP了WPA-PSK:因为FAT AP通常不会结合到RADIUS等的认证平台，反而在导Thin AP时都需要与验证平台做验证，在没有验证平台的情况下，我们可以透过设定PreShareKey(PSK)来取代验证平台，方法如下:一样，要先在无线频道下指定加密方式，因为是WPA,会用TKIP来动态更改key加强安全ap(config)#inter dot11Radio 0 ap(config-if)#encryption mode ciphers tkip再进到ssid下面设定验证方式,由于只是wpa-psk，所以不用设定EAP验证，我们以开放式(open)验证即可，而key-managemnet就是用WPA，最后再设定WPA的PreShareKey(即Client联机的密码)就搞定啦!ap(config)#dot11 ssid abc ap(config-ssid)#authentication open ap(config-ssid)#authentication key-management wpa ap(config-ssid)#wpa-psk ascii 12345678设完后你就会发觉，原来WPS-PSK的验证流程，还是OPEN的四个方式，但比WEP还强的是，有TKIP的自动变更key机制，所以较为安全(我说的是较为)Cisco AP的配置方法主要有控制台端口登录、远程登录（如Telnet/SSH等）、Web浏览器等，后两种方式均需要获取或设置一个IP方可登录。一般情况下，AP设置IP地址的方法有按默认方式获取，配置DHCP方式获取，使用IPSU（IP Setup Utility），使用控制台端口等。实际上对Cisco AP来讲，配置的最简单的方法就是使用Web浏览器方式即GUI方式。Cisco AP有两种基本GUI界面，一种是支持IOS GUI，如Arionet 1100系列；一种是VxWorks GUI，如Arionet 350的AP和网桥；而Arionet 1200系列可以支持这两种GUI界面。如下图Cisco Aironet 1100系列AP GUI配置界面：除了GUI和远程登录方式外，CLI（命令行）也是Cisco AP经常使用的配置方式。GUI的配置方法比较简单，因篇幅所限，不再作介绍。下面我们在CLI（命令行）模式下对Cisco AP进行配置。 Cisco AP的IOS的CLI（命令行）的配置模式有：用户模式、特权模式、全局模式、接口模式、线路模式等等，它的命令提示符、基本配置命令与基于Cisco IOS系统的路由器和交换机CLI的模式也基本相同，如果您对各种模式还不熟悉，请您参照路由器和交换机的基本模式配置章节。1、配置主机名步骤配置命令解释1ap#configure terminal进入全局配置模式2ap(config)#hostname name配置主机名3ap(config)#end返回到特权EXEC模式4ap#show running-config查看配置信息5ap#copy running-config starup-config保存配置信息注意：hostname name命令中的name名称必须符合ARPANET主机名的规则，最多为63个字符，并且必须以一个字母开头，结尾必须是一个字母或数字，中间只能是字母、数字或连接符。2、配置IP地址为了实现对设备的远程管理，我们通常需要对设备配置管理地址，对于AP来说，我们可以通过配置AP的BVI地址来实现。BVI即网桥虚拟接口，它是由AP自动创建的，当AP连接到有线网络时，AP使用BVI将所有接口都聚合到一个IP地址下，然后通过AP的以太网口和无线端口并使用该BVI的地址对AP进行管理。步骤配置命令解释1ap#configure terminal进入全局配置模式2ap(config)#interface bvi1配置BVI接口3ap(config-if)#ip address address mask submask配置BVI接口的地址和子网掩码4ap(config-if)#end或者Ctrl+Z返回到特权EXEC模式5ap#show running-config查看配置信息6ap#copy running-config starup-config保存配置信息3、配置网络映射步骤配置命令解释1ap#configure terminal进入全局配置模式2ap(config)# dot11 network-map collect-interval启用网络映射3ap(config-if)#end 或者Ctrl+Z退出配置模式4ap#show dot11 network-map查看无线网络映射信息5ap#show dot11 adjacent-ap查看与本AP相邻的AP信息。6ap#copy running-config starup-config保存配置信息如上表命令中，第二步dot11 network-map collect-interval命令参数collect-interval为指定IAPP请求报文的时间（1-60秒），默认为5秒。Network Map即网络映射主要用于显示无线网络中所有设备的信息，当该功能被启用时，AP每隔一定时间间隔都会广播一个IAPP（接入点间协议GenIfo Request 报文，该报文从第2层域中的所有Cisco AP处收集信息。接收到GenIfo Request 报文后，AP向请求方发送IAPP GenIfo Response报文，以建立一个新的网络映射。4、显示关联信息步骤配置命令解释1ap#show dot11 associationsclient | repeater | statistics | H.H.H | bss-only | all-client显示无线关联表或者无线关联统计信息，或有选择地显示所有转发器、所有客户端、一个特定的客户端或基本服务客户端的关联信息。如上表第一步show dot11 associations client | repeater | statistics | H.H.H | bss-only | all-client命令，参数说明如下：client-显示关联到AP的所有客户端设备。repeater-显示关联到AP的所有转发器设备。statistics-显示无线接口的AP关联统计信息。H.H.H（mac-address）-显示具有指定mac地址的客户端设备的详细信息。bss-only-显示直接关联到AP的基本服务客户集客户端。all-client-显示关联到AP的所有客户端的状态。举例说明：显示无线关联表:AP# show dot11 associations显示与AP关联到所有客户端设备：AP# show dot11 associations client显示AP的统计信息：AP# show dot11 associations statistics另外，我们可以使用以下命令清除相关信息：步骤配置命令解释1clear dot11 client mac-address解除一个具有指定MAC地址的无线客户端与AP的关联（该客户端直接关联到AP，而不是转发器）。2clear dot11 statisticsinterface | mac-address清除一个特定的无线接口或一个具有指定MAC地址的客户端的统计信息。举例说明：清除接口radio0的统计信息ap# clear dot11 statistics dot11radio 0清除MAC地址为0040.9631.81cf客户端的统计信息。ap# clear dot11 statistics 0040.9631.81cf5、配置以太网接口Cisco AP以太网接口的配置方式与交换机和路由器基本一样，如下命令格式：步骤配置命令解释1ap#configure terminal进入全局配置模式2ap(config)#interface type-number进入某类型接口的配置模式在该接口模式下，可以配置它的全双工模式、端口速率、开启/关闭端口等，当然也可以配置它的IP地址（不推荐）。例如：ap#configure terminalap(config)#interface fastethernet 0ap(config-if)#speed 100ap(config-if)#duplex fullap(config-if)#no shutdownap(config-if)#end配置完以上信息后，我们可以使用以下show命令显示接口的信息：ap#show interfacesap#show ip interface briefap#show running-config6、配置无线接口主要配置AP接口的SSID、工作模式（角色）、发射功率、速度、信道及扩展性能及其他设置等。（1）、设置SSID步骤配置命令解释1ap#configure terminal进入全局配置模式2ap(config)#interface dot11radio interface-number进入无线接口的配置模式,默认的dot11radio号为03ap(config-if)#ssid ssid-string创建一个SSID，并进入新SSID的配置模式4ap(config-if-ssid)#authentication open为该SSID设置认证类型为开放式认证即允许任何设备进行认证并与AP通信上表中ssid ssid-string命令 ssid-string命令参数最多可以包括32个字母和数字，对大小写敏感，并且不能包含空格。另外，除了上表中的开放式认证方式外，还经常使用如下认证方式：步骤配置命令解释1ap(config-if-ssid)#authentication sharedmac-address list-nameeap list-name为该SSID设置可指定MAC地址和EAP列表的预共享密钥的认证方式2ap(config-if-ssid)#authenticationnetwork-eap list-namemac-address list-name为该SSID设置可指定MAC地址列表的network-eap认证方式如下例所示：ap#configure terminalap(config)#interface dot11radio 0ap(config-if)#ssid cxj_v122ap(config-if-ssid)#authentication open（2）设置工作模式工作模式也即工作角色，主要是指AP工作在中继/转发模式或者是根模式。在中继/转发模式下，AP无需与有线LAN进行连接，但它必须与一个连接有LAN的AP进行关联。而在根模式下，AP连接到有线LAN。步骤配置命令解释1ap#configure terminal进入全局配置模式2ap(config)#interface dot11radio interface-number进入无线接口的配置模式,默认的dot11radio号为03ap(config-if)# station-rolerepeater | root fallback shutdown | repeater配置AP工作在转发器模式或者根模式上表中station-role repeater | root fallback shutdown | repeater命令，参数说明如下：repeater-指定AP为转发/中继模式root-指定AP为根模式，参数fallback shutdown指定了当主ethernet口停用时关闭AP；而fallbackrepeater指定了AP当在主ethernet 口停用时工作在repeater模式下。（3）、设置发射功率客户端功率设置：配置客户端发射功率，客户端将以该设置的功率与AP进行802.11无线通信，当客户端设备进行关联时，AP将功率电平的设置发送给它。2.4-GHz无线设备(802.11b)ap(config-if)#power client 1 | 5 | 20 | 30 | 50 | 100 | maximum指定一个客户端的特定功率电平（以mW），最大功率的设置因各国管制不同而不同2.4-GHz无线设备(802.11g-cck)ap(config-if)#power client cck 1 | 5 | 10 | 20 | 30 | 50 | 100 | maximum指定一个客户端的特定功率电平（以mW），最大功率的设置因各国管制不同而不同5-GHz 无线设备（802.11a）ap(config-if)#power client 5 | 10 | 20 | 40 | maximum指定一个客户端的特定功率电平（以mW），最大功率的设置因各国管制不同而不同本地AP功率设置：本地AP发射功率的设置可以使用power local命令来实现。如下所示：2.4-GHz无线设备(802.11b)ap(config-if)#power local 1 | 5 | 20 | 30 | 50 | 100 | maximum指定本地AP的特定功率电平（以mW），最大功率的设置因各国管制不同而不同2.4-GHz无线设备(CCK)ap(config-if)#power local cck 1 | 5 | 10 | 20 | 30 | 50 | 100 | maximum指定本地AP的特定功率电平（以mW），最大功率的设置因各国管制不同而不同2.4-GHz无线设备(OFDM)ap(config-if)#power local ofdm 1 | 5 | 10 | 20 | 30 | maximum指定本地AP的特定功率电平（以mW），最大功率的设置因各国管制不同而不同5-GHz 无线设备（802.11a）power local 5 | 10 | 20 | 40 | maximum指定本地AP的特定功率电平（以mW），最大功率的设置因各国管制不同而不同注意：在2.4-GHz频段下，既可以设置OFDM（正交频分多路复用）功率等级也可以使用CCK功率等级，CCK（补充编码键控）模式下可以由IEEE802.11b和IEEE802.11g设备来支持，而OFDM模式下可以由IEEE802.11a和IEEE802.11g设备来支持。举例说明：配置指定客户端发射功率为20mW：ap(config-if)# power client 20配置指定本地AP发射功率为20mW：ap(config-if)# power local 20（4）、设置传输速度2.4-GHz无线AP(802.11b)ap(config-if)#speed 1.02.05.5 11.0basic-1.0basic-2.0basic-5.5 basic-11.0 | range | throughput指定AP在2.4GHz模式802.11b下的传输速度。2.4-GHz无线AP(802.11g)ap(config-if)# speed 1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0basic-1.0 basic-2.0basic-5.5basic-6.0basic-9.0 basic-11.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0|range|throughputofdm|default 指定AP在2.4GHz模式802.11g下的传输速度。5-GHz 无线设备（802.11a）ap(config-if)#speed 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0 | range | throughput | default 指定AP在5GHz模式802.11a下的传输速度。参数说明：speed 1.0 2.0 5.5中可选参数的设置是指允许AP使用非基本设置，即AP只以这些速率发送单播包；speed basic-1.0 basic-2.0中可选参数的设置是指允许AP使用基本设置来发送所有单播和组播数据包。至少一个AP的速率必须被配置为基本设置。rang可选参数是指设置数据速率以获得最佳范围。throughput可选参数是指设置数据率以获得最佳吞吐量。default可选参数是指将数据率设置为默认。注意：IEEE802.11g无线功率在上升至100mW时，可以达到1M，2M，5.5M和11M的速度；对于6M，9M，12M，18M，24M，36M，48M和54Mbps数据速率，可以在802.11g最大无线功率为30mW时实现。举例说明：设置AP无线接口的数据速率以获得最佳吞吐量：ap(config-if)# speed throughput设置AP无线接口同时支持基本速率和非基本速率的设置：ap(config-if)# speed basic-1.0 2.0 5.5 11.0（5）、设置无线信道步骤配置命令解释1ap(config-if)# channel number | frequency | least-congested设置AP无线接口信道及参数参数说明：number参数是指信道编号，除了不同的IEEE802.11系列不同标准的信道有所差异外，不同的管制域所允许的信道也有所不同。frequency参数是指无线信道的中心频率，有效的频率取决于每个管制域中所允许的信道。least-congested参数是指启用或禁用扫描闲置信道，并使用该信道与客户端进行无线通信。如下列表中所示2.4-GHz Radios (包括802.11b和802.11g)信道和中心频率：如下列表中所示5-GHz Radioswy信道和中心频率：注意：这个命令不能够在5GHz频段下使用DFS（动态频率选择），只有生产并使用于为欧洲和新加坡等国家的5GHz频段的设备才可以配置。另外，除了美国等国家在室内和室外对52-64信道的需求外，其他所有国家的5GHz频段仅限用于室内使用。举例说明：设置AP的channel为8，中心频率为2447：ap(config-if)# channel 2447设置AP自动扫描闲置channel：ap(config-if)# channel least-congested设置AP信道为默认配置：ap(config-if)# no channel（6）、启用802.11扩展该功能可以使