Trapeze配置案例.doc_第1页
Trapeze配置案例.doc_第2页
Trapeze配置案例.doc_第3页
Trapeze配置案例.doc_第4页
Trapeze配置案例.doc_第5页
免费预览已结束,剩余33页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

WLAN TEST PLAN Trapeze networksTrapeze Proprietary InformationWireless without limits 目 录概述31.易用性41.1最简单的支持公共区域的接入的无线环境用户不需要口令41.2访客使用Web-Portal接入,员工使用802.1x/WPA接入51.3访客帐号提供101.4 基于MAC地址进行认证111.5 同一SSID支持多种加密算法121.6 对802.1x的支持141.7自动 channel 和 power 分配181.8 动态智能RF配置192. 安全 入侵检测/阻止能力202.1 非法AP检测/分类/防护202.2 Ad-hoc网络检测223. 性能和扩展性233.1 Intra-Switch 漫游233.2 跨交换机漫游243.3 有线用户认证263.4本地交换283.5 MESH和网桥293.6 自动黑洞覆盖303.7 控制器冗余支持32概述这个文档描述了用于评估企业无线局域网的测试计划。测试人员能够根据测试结果比较不同的无线局域网解决方案,并最终做出正确的选择。一个测试人员在选择解决方案之前,应该考虑如下参数: 易用性 安全性 性能和扩展性 易于管理和排错这个测试计划根据不同的测试目的分成几个章节,每个章节都有一组测试案例。每一个测试案例的格式都如下所示:测试案例所需设备拓扑描述和测试步骤预期结果1.易用性这个章节包括一些场景,用于检验企业无线局域网需要的基本特性易用性。 1.1 最简单的支持公共区域接入的无线环境用户不需要口令测试案例校验是否支持公共区域的无线接入需求,不需要用户输入口令,用户之间L2隔离所需设备1 个控制器1个 AP1 个笔记本 Windows XP SP2拓扑描述和测试步骤1. 为控制器分配一个IP地址和网关2. 设置default vlan 在L2上隔离3. 启动DHCP服务器功能4. 创建public Service-profile使用last-resort认证,不使用加密5. 将public的Service-Profile关联到default的Radio-Profile上6. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。7. 将AP的Radio 1激活8. 设置笔记本使用open-system,关联到public SSID上 9. 检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网,但不能访问内部资源。预期结果.客户端能够连接Public SSID上,并且访问Internet。配置脚本 set ip route default 1-设置网关set system name MXR-2set system ip-address 9 -设置系统IPset system countrycode CN-设置国家代码set timezone PRC 8 0 -设置时区 set service-profile public ssid-name public -建立一个SSID为public的service-profileset service-profile public ssid-type clear -该SSID不加密set service-profile public auth-fallthru last-resort -该SSID无需认证set service-profile public attr vlan-name default 指定缺省的AAA属性set enablepass password 509bacdaa8be1144fd1e6789dcfd2698fc9e-设置enable密码set user admin password encrypted 0005170b0d55 -设置无线认证用户set radio-profile default service-profile public -将service-profile与无线射频进行关联set ap auto mode enable- 将AP auto打开,允许ap自动upset ap 9998 serial-id 0784400305 model MP-620 -设置APset ap 9998 radio 1 mode enable -启动AP的802.11b/gset ap 9998 radio 2 mode enable -启动AP的802.11aset ip https server enable -开启web访问服务set port poe 2 enable -开启将MXR-2的端口2的PoE功能set security l2-restrict vlan 1 mode enable permit-mac 00:1a:70:d4:90:0f-可选命令,二层隔离,只允许client访问网关 (00:1a:70:d4:90:0f为网关的MAC地址)set interface 1 ip 9 -设置vlan 1 的interface IPset interface 1 ip dhcp-server enable start 20 stop 30 primary-dns 0 default-router -开启vlan 1的DHCP server1.2 访客使用Web-Portal接入,员工使用802.1x/WPA接入测试案例校验是否支持员工使用802.1x/WPA 接入、访客使用Web-Portal接入,只用一个IP地址并且没有外置的认证服务器 所需设备1 个控制器1个 AP1 个笔记本 Windows XP SP2拓扑描述和测试步骤10. 为控制器分配一个IP地址和网关11. 启动DHCP服务器功能12. 为访客创建Service-profile使用Web-Portal认证,不使用加密set authentication web ssid guest * local /使用本地数据库验证认证用户set service-profile guest auth-fallthru web-portal /为guest设置使用portal认证方法 set service-profile guest web-portal-acl portalacl /设置认证成功前使用web-portal-acl13. 为员工创建Service-profile使用802.1x认证,使用WPA-TKIP加密 *MX-8# set service-profile employee wpa-ie enable /起用WPA加密,缺省使用TKIP方式14. 为员工的SSID使用PEAP-MSCHAPV2并使用本地offload set authentication dot1x ssid employee * peap-mschapv2 local /卸载peap到本地,注意客户端要设置成不验证服务器证书15. 将访客和员工的Service-Profile关联到default的Radio-Profile上16. 将AP的Radio 1使用default Radio-Profile。set ap 1 radio 1 radio-profile default 17. 将AP的Radio 1激活 set ap 1 radio 1 mode enable18. 创建一个为访客使用的ACL,设置为客户只能向网关和控制器发送数据以及只能接收从网关和控制器发送过来的数据。19. 将该ACL设置到访客Service-Profile上20. 设置笔记本使用open-system,关联到访客SSID上,通过浏览器上网,弹出认证界面,输入用户名和口令 21. 检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网,但不能访问内部资源。22. 设置笔记本使用WPA-TKIP加密,以及PEAP-MSCHAPV2认证方式。关联到员工SSID上。检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网,且能够访问内部资源。预期结果.员工和访客应该能够连接他们各自相应的SSID上,并且访问控制允许员工所有的访问权限,而限制访客只能访问Internet。配置过程开机加电启动通过串口连接到MSR-2上Wireless Switch Bootstrap 4.20 Release OKunzip file len 1474280 OK OKunzip file len 158367 OKReset cause is FUGU_RESET_CAUSE_CP_RST. Wireless Switch Bootstrap/Bootloader Version 6.0.7 Release Compiled on Fri Jun 22 17:33:35 PDT 2007 by Bootstrap version: 4.20 Active Bootloader 0 version: 6.0.7 Active Bootloader 1 version: 5.0.5 Mainboard Revision: 15.FPGA Controller Revision: 19./ BOOT Index: 0 BOOT TYPE: c DEVICE: boot1: FILENAME: default FLAGS: 00000000 OPTIONS: run=nos;root=md0a Autoboot flag set, enter q followed by ENTER to abort.1Compact Flash load from boot1:default matches MX060302.008. OKunzip file len 21869632 OKDiskOnChip driver, ver. System Initialized (6.3), starting MSSStarting supervisor .0_062207 .SYSLOGD Jul 31 06:58:32.656613 ALERT SYSTEM_READY: The system has finished booting. (cause was Warm Reboot)SYSLOGD Jul 31 06:58:32.657266 ALERT SYSTEM_READY: Boot partition is boot1:, booted version is 0Copyright (c) 2002 - 2007 Trapeze Networks, Inc. All rights reserved.Username: /无Password: /无MX-8-350CC0 en /无Enter password: MX-8-350CC0# set prompt MX-8 /改变系统提示符success: change accepted.*MX-8# set enablepass /设置enablepasswordEnter old password: Enter new password: Retype new password: success: password changed.*MX-8# set user admin password ruijie /为系统增加一个管理员密码success: change accepted.*MX-8# set timedate date July 31 2007 time 15:03:22 /设置时间success: time set to: Jul 31 2007, 15:03:22 GMTTime now is:Tue Jul 31 2007, 15:03:22 GMT*MX-8# set timezone PRC 8 /设置时区success: change accepted.*MX-8# set interface 1 ip 23 /设置VLAN1的IPsuccess: change accepted.*MX-8# set ip route default 1 /设置缺省路由success: change accepted.*MX-8# set system countrycode CN /设置国家代码This will cause all APs to reboot. Are you sure? (y/n) nysuccess: change accepted.*MX-8# set system ip 23 /设置系统IPThis will cause all APs to reboot. Are you sure? (y/n) nysuccess: change accepted.*MX-8# set interface 1 ip dhcp-server enable default-router primary-dns 48 start 01 stop 03 /设置DHCP服务器success: change accepted.*MX-8# set service-profile guest ssid-name guest /设置SSID名称guest*MX-8# set service-profile guest ssid-type clear /设置SSID为非加密*MX-8# set service-profile guest auth-fallthru web-portal /为guest设置使用portal认证方法*MX-8# set service-profile guest attr vlan-name default /设置VLAN名称为default*MX-8# set service-profile guest web-portal-acl portalacl /设置认证成功前使用web-portal-acl*MX-8# set service-profile guest web-portal-logout mode enable /设置使用logout页面*MX-8# set service-profile guest auth-dot1x disable /禁止使用dot1x认证success: change accepted.MX-8# set user guest password guest /增加一个本地用户用于测试web-portalsuccess: change accepted.*MX-8# set authentication web ssid guest * local /使用本地数据库验证认证用户success: change accepted.*MX-8# set service-profile employee ssid-name employee /设置SSID名称employeesuccess: change accepted.*MX-8# set service-profile employee attr vlan-name default /设置VLAN名称为defaultsuccess: change accepted.*MX-8# set service-profile employee wpa-ie enable /起用WPA加密,缺省使用TKIP方式success: change accepted.*MX-8# set authentication dot1x ssid employee * peap-mschapv2 local success: change accepted. /卸载peap到本地,注意客户端要设置成不验证服务器证书*MX-8# set radio-profile default service-profile guest /将guest profile关联到default radio-profile上success: change accepted.*MX-8# set radio-profile default service-profile employee /将employee profile关联到default radio-profile上success: change accepted.*MX-8# clear vlan default port 1 /将port 1 从defualt vlan中删除This may disrupt user connectivity. Do you wish to continue? (y/n) nysuccess: change accepted.*MX-8# set port type ap 1 model mp-71 poe en /将port1 设置成为AP模式连接一个AP71success: change accepted set ap 1 port 1 model MP-71set port poe 1 enable*MX-8# set ap 1 radio 1 radio-profile default /设置ap1 的radiao 1使用default radio-profilesuccess: change accepted*MX-8# set ap 1 radio 1 mode enable /将AP的radio启动success: change accepted.*MX-8# set security acl ip acl-99 permit hits /允许网关的流量访问所有*MX-8# set security acl ip acl-99 permit ip 55 hits /允许从网关的流量*MX-8# set security acl ip acl-99 permit 23 hits /允许到达控制器的流量*MX-8# set security acl ip acl-99 permit ip 55 23 hits /允许从控制器来的流量*MX-8# set security acl ip acl-99 deny ip 55 55 hits /不允许client互相访问*MX-8# set security acl ip acl-99 permit 55 hits /允许其他所有流量*MX-8# commit security acl acl-99 /激活ALCsuccess: change accepted.*MX-8# set service-profile guest attr filter-id acl-99.in /应用到SSID上,进入方向success: change accepted.*MX-8# set service-profile guest attr filter-id acl-99.out /应用到SSID上,流入方向success: change accepted.1.3 访客帐号提供测试案例校验系统能否支持让专门的管理人员(如前台人员)自动创建用户帐号的能力。所需设备1 个控制器1个 AP1 个笔记本 Windows XP SP21个安装GuestPass的服务器拓扑描述和测试步骤1. 为控制器分配一个IP地址和网关2. 启动DHCP服务器功能3. 为访客创建Service-profile使用Web-Portal认证,不使用加密4. 为员工创建Service-profile使用802.1x认证,使用WPA-TKIP加密5. 为员工的SSID使用PEAP-MSCHAPV2并使用本地offload6. 将访客和员工的Service-Profile关联到default的Radio-Profile上7. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。8. 将AP的Radio 1激活9. 创建一个为访客使用的ACL,设置为客户只能向网关和控制器发送数据以及只能接收从网关和控制器发送过来的数据。10. 将该ACL设置到访客Service-Profile上11. 创建一个Guest-group,使用Guest-pass创建访客帐号12. 设置笔记本使用open-system,关联到访客SSID上,通过浏览器上网,弹出认证界面,输入用户名和口令 13. 检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网,但不能访问内部资源。14. 设置笔记本使用WPA-TKIP加密,以及PEAP-MSCHAPV2认证方式。关联到员工SSID上。检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网,且能够访问内部资源。预期结果能够让非IT人员方便的为访客创建帐号,并设置有效时间。配置过程如1.2,需要创建访客的用户组,命令如下:MX-8#set usergroup guest-group1.4 基于MAC地址进行认证测试案例检验WLAN解决方案是否能够支持基于MAC地址的认证所需设备1+ APs1 无线控制器1 笔记本或PDA拓扑描述和测试步骤1. 为控制器分配一个IP地址和网关2. 启动DHCP服务器功能3. 创建Service-Profile,不使用加密4. 将该Service-Profile关联到default的Radio-Profile上5. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。6. 将AP的Radio 1激活7. 设置名称为PDA的MAC地址的MAC用户8. 设置该Service-Profile使用MAC地址认证9. 设置PDA关联到该SSID上,检查PDA是否能够从DHCP获得一个IP地址,并且能够上网。Expected results.对于功能比较少的终端如(PDA,Wi-Fi Phone)能够通过使用基于MAC地址的方式接入WLAN中配置脚本*MX-8# set service-profile voip ssid-name public /设置SSID名称voipsuccess: change accepted.*MX-8# set service-profile voip ssid-type clear /设置SSID为非加密success: change accepted.*MX-8# set service-profile voip attr vlan-name default /设置VLAN名称为defaultsuccess: change accepted.*MX-8# set radio-profile default service-profile voip /将voip profile关联到default radio-profile上success: change accepted.*MX-8# clear vlan default port 1 /将port 1 从defualt vlan中删除This may disrupt user connectivity. Do you wish to continue? (y/n) nysuccess: change accepted.*MX-8# set port type ap 1 model mp-71 poe en /将port1 设置成为AP模式连接一个AP71success: change accepted*MX-8# set ap 1 radio 1 radio-profile default /设置ap1 的radiao 1使用default radio-profilesuccess: change accepted*MX-8# set ap 1 radio 1 mode enable /将AP的radio启动success: change accepted.*MX-8# set mac-user 00:11:22:33:44:55*MX-8# set authentication mac ssid voice * loal1.5 同一SSID支持多种加密算法测试案例为WLAN设置一个SSID,这个SSID能够配置支持多种加密算法,使设置不同加密参数的客户端接入所需设备1+ APs1 无线控制器拓扑描述和测试步骤10. 为控制器分配一个IP地址和网关11. 启动DHCP服务器功能12. 创建Service-Profile,SSID名称为:mix-crypto13. 为该SSID配置WEP、TKIP等参数14. 将mix-crypto的Service-Profile关联到default的Radio-Profile上15. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。16. 将AP的Radio 1激活17. 设置笔记本使用静态WEP加密 检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网。18. 设置笔记本使用动态WEP加密,以及PEAP-MSCHAPV2认证方式。检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网。19. 设置笔记本使用PSK的TIKP加密,检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网。20. 设置笔记本使用802.1x的TIKP加密,以及PEAP-MSCHAPV2认证方式。检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网。Expected results.同一SSID下能够同时支持多种加密方式具体配置MXR-2# show config# Configuration nvgend at 2007-8-04 04:49:34# Image .0# Model MXR-2# Last change occurred at 2007-8-04 04:48:33set trace authentication level 4set ip route default 1set system name MXR-2set system ip-address 9set system countrycode CNset timezone PRC 8 0set service-profile mix-crypto ssid-name mix-cryptoset service-profile mix-crypto auth-fallthru last-resortset service-profile mix-crypto wep key-index 1 key aabbccddeeset service-profile mix-crypto wpa-ie enableset service-profile mix-crypto cipher-ccmp enableset service-profile mix-crypto cipher-wep104 enableset service-profile mix-crypto psk-raw d8d9a574a46b8eb742c4f139c965d402aa6c07a9e41a1d35a0f0208919f3d7a7set service-profile mix-crypto auth-psk enableset service-profile mix-crypto attr vlan-name defaultset service-profile public ssid-name publicset service-profile public ssid-type clearset service-profile public auth-fallthru last-resortset service-profile public attr vlan-name defaultset enablepass password b6b706525e1814394621eeb2a1c4d5803fcfset authentication dot1x ssid mix-crypto * peap-mschapv2 localset user test password encrypted 06120a3258set user ccw password encrypted 1414111cset radio-profile default service-profile publicset radio-profile default service-profile mix-cryptoset ap 2 port 2 model MP-620 set ap 2 radio 1 tx-power 13 mode enable antennatype ANT1360-OUTset ap 2 radio 2 mode enableset ip https server enableset vlan 1 port 1set interface 1 ip 9 set interface 1 ip dhcp-server enable start 20 stop 30 primary-dns 0 default-router 1.6 对802.1x的支持测试案例测试WLAN解决方案是否能够支持802.1x认证,并且当外部Radius不支持EAP时,控制器能否支持eap offload。 所需设备1+ APs1 无线控制器1 Radius服务器(不支持EAP)1 Radius服务器(支持EAP)拓扑描述和测试步骤1. 为控制器分配一个IP地址和网关2. 启动DHCP服务器功能3. 创建Service-Profile,为该SSID配置WEP、TKIP等参数4. 创建Radius服务器和服务器组5. 配置该Service-Profile的认证方式为passthrough到支持EAP的RADIUS服务器上6. 将Service-Profile关联到default的Radio-Profile上7. 将端口1设置为AP port并将AP的Radio 1使用default Radio-Profile。8. 将AP的Radio 1激活9. 设置笔记本使用动态WEP加密,以及PEAP-MSCHAPV2认证方式。检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网。10. 更改该Service-Profile的认证方式为EAP-Offload,MS-CHAP-V2到不支持EAP的RADIUS服务器上认证11. 设置笔记本使用动态WEP加密,以及PEAP-MSCHAPV2认证方式。检查该笔记本是否能够从DHCP获得一个IP地址,并且能够上网。Expected results.无论是否RADIUS服务器是否能够支持EAP,都能够实现WLAN的802.1x认证使用外部Radius,并配置了ACL以及动态/静态WEP的配置,计费set trace aaamsg level 5set ip route default 1set system name MXR-2set system ip-address 9set system countrycode CNset timezone PRC 8 0set service-profile test ssid-name testset service-profile test auth-fallthru web-portalset service-profile test wep key-index 1 key aabbccddeeset service-profile test web-portal-acl portalaclset service-profile test web-portal-logout mode enableset service-profile test attr vlan-name defaultset radius server linux address 5 encrypted-key 151e02021132set server group radius members linuxset enablepass password 167adb2ad14f82b99db98877c704d093b7b9set authentication dot1x ssid test * pass-through radiusset authentication web ssid test * radiusset user admin password encrypted 03055f060f01set radio-profile default service-profile testset ap auto mode enable set ap 8 serial-id 0675201229 model MP-372 set ap 8 fingerprint d2:c1:10:12:d5:34:a2:16:ff:40:02:40:8d:3b:fa:f5set ap 8 radio 1 mode enableset ip https server enableset port poe 2 enableset vlan 1 port 1set vlan 1 port 2set vlan 2 name vlan2set vlan 2 port 1 tag 2set interface 1 ip 9 set interface 1 ip dhcp-server enable primary-dns 9 default-router 9set interface 2 ip set interface 2 ip dhcp-server enable primary-dns default-router set security acl ip portalacl permit udp 55 eq 68 55 eq 67set security acl ip portalacl deny 55 capturecommit security acl portalaclset security acl ip acl-88 permit hitscommit security acl acl-88set security acl ip acl-99 permit set security acl ip acl-99 permit 9 set security acl ip acl-99 permit ip 55 set security acl ip acl-99 permit ip 55 9 set security acl ip acl-99 deny ip 55 55set security acl ip acl-99 permit 55commit security acl acl-99EAP Off-load并计费到Radius,使用802.1xMXR-2# show config# Configuration nvgend at 2006-2-07 16:29:02# Image .0# Model MXR-2# Last change occurred at 2006-2-07 16:25:10set trace aaamsg level 5set ip route default 1set system name MXR-2set system ip-address 9set system countrycode CNset timezone PRC 8 0set service-profile test ssid-name testset service-profile test auth-fallthru web-portalset service-profile test wep key-index 1 key aabbccddeeset service-profile test web-portal-acl portalaclset serv
人人文库> 全部分类> 应用文书 > 技术指导

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论