无线AP的配置.doc

胖AP的简单配置无线接入点（AP）在无线网络中充当用户的中心通信点，可以连接有线和无线网络。使用Web浏览器和命令行接口(CLI)都可以完成配置。一般来说，AP可以配置两个接口 以太网接口和无线端口。a：配置方式1：控制台端口（需要翻转线）2：Telnet（远程登录）3：Web浏览器（这是最简单的配置方法，只需要在图形界面(GUI)上就可以操作）b：配置过程1：图形界面(GUI)根据IOS的不同，一般有两种基本的GUI界面。GUI配置简单这里就不说明了。2：通过Telnet在MS-Dos中输入 Telnet ip-address3：使用CLI（命令行）配置是本文的重点。下面我将详细给大家说明。首先连接物理线缆，打开超级终端（在系统“开始”菜单中的“通讯”中）。超级终端的配置参数如下：* 每秒比特数：9600；*数据位：8；*奇偶效验：无；*停止位：1；*流控：Xon/Xoff或者无；进入命令行的界面如下：User Access VerificationUsername: CiscoPassword:Apshowversion/可以查看当前版本信息一：设置系统名ApenableAp#config tAp(config)#hostname myap/设置系统名，默认是ap二：为BVI分配IP地址当AP连接到有线网络的时候，会自动创建一个BVI（网桥虚拟接口）连接到网络，允许所有端口都聚合在一个IP地址下。说明一下我们只能在BVI接口上配置AP的IP地址，不能在其他接口Ap#config tAp(config)#interface bvi1/进入BVI接口配置模式Ap(config-if)#ip address address mask /第二个address为你分配的ip地址mask为掩码三：察看网络映射Ap(config)#dot11 network-map 30 /要建立无线网络映射Ap#show dot11 network-map /显示无线网络映射Ap#show dot11 adjacent-ap /显示一个与某个AP邻连的AP列表下面给大家一个示范：Ap(config-if)#ip address Ap(config-if)#ip address dhcp ?Client-id Specify client-id to useHostname Specify value for hostname optionAp(config-if)#ip address dhcp关于启用和禁用接口的命令：shutdown 禁用 no shutdown 启用四：配置SSIDSSID（服务集标示符）一个唯一的标识符，允许客户端识别出一个接入点（AP）Ap(config)#int dot11radio 0Ap(config-if)#ssid myAPAp(config-if-ssid)#authentication open /设置认证类型五：监控AP状态Ap#show interface dot11radio 加上相应接口号六：配置一些相应的服务1：Telnet/SSHAp(config)#line vty 0 4Ap(config-line)#login localAp(config-line)#endAp#show run!line con 0line vty 0 4login localline vty 5 15login!end2：热备份备用设备位于它监控的AP附近，并且它的配置与被监控的设备相同。备用设备需要通过以太网和无线端口来监控AP。如果被监控的设备响应失败，那么备用AP将在线激活替换在网络中取代被监控的设备。Ap(config)#iapp standby mac-addressAp(config-if)#interface dot11radio 0Ap(config-if)#ssid ssid-stringAp(config-if)#infrastructure-ssid optionalAp(config-if)#exitAp(config)#iapp standby poll-frequency secondsAp(config)#exitAp#show iapp standby-parms3：DNSAp(config)#ip domain-name 禁用域名查找Ap(config)#no ip domain-lookup4：HTTP下列命令可以为一个HTTP服务器提供安全性和改变默认帮助目录的配置Ap(config)#ip httpAp(config)#ip http authentication localAp(config)#ip http port 8080Ap(config)#access-list 1 permit host Ap(config)#ip http access-class 1其他的例如：代理移动IP，Qos（服务质量）, 网络时间协议，WDS(无线域服务)等的配置建议使用AP的图形界面来配置。注意细节：1：不能将直流电源同时连接到AP电源端口和内置电源。2：绿色LED表示正常活动；黄色LED表示错误或者警告；红色LED表示AP没有正确运行或需要升级。3：获得帮助 输入？可以显示每种命令模式的可用命令列表。4：在CLI下的常用编辑按键Return 向下滚动一行命令；Space向下滚动一屏命令；Ctrl-D删除光标处的字符；Ctrl-Y从缓冲区中取出最近的一条目；AP的配置只是无线网构建的部分内容，其实还有更多的方面，这些技术也只是AP的基础配置 8.2 缺省配置功能特性缺省值配置WEP加密功能缺省关闭配置链路认证方式缺省使用开放系统身份认证配置WPA安全模式缺省关闭配置RSN安全模式缺省关闭配置TKIP加密缺省关闭配置ASE加密缺省关闭配置PSK认证缺省关闭配置PSK预共享密钥缺省无配置配置802.1X认证缺省关闭 配置WEP加密配置了WEP加密密码即启用WEP加密方式，配置步骤请参见下表。命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# wlansec wlan-id进入无线安全配置模式，其中wlan-id是一个已经存在的WLAN编号，在进行本项配置之前需要先创建一个WLAN 。Step 3Ruijie(wlansec)# no security static-wep-key encryption key-length ascii | hex key-index key配置WEP加密密码。key-length：密码长度。取值为40、104和128。单位：bit。ascii：密码形式为ASCII码。hex：密码形式为16进制。key-index：密码索引号，取值范围为1-4key：密码。Step 4Ruijie(wlansec)# show wlan security wlan-id查看指定WLAN的安全配置信息& 说明1、 配置完静态WEP加密密码后，无线安全的模式自动切换到静态WEP模式。2、 WEP支持配置四个密码，但是目前仅第一个生效。举例：配置WLAN1的静态WEP密码为12345方法1：使用ASCII密码形式配置：Ruijie (config)#wlansec 1Ruijie(wlansec)# security static-wep-key encryption 40 ascii 1 12345Ruijie(wlansec)#show wlan security 1Security Policy :static WEP / 安全策略：静态WEPWEP auth mode :openWEP index. :0 / 密码索引号为0，对应key Index值为1WEP key is HEX :false / 密码是否使用十六进制配置WEP key length :5WEP passphrase :31 32 33 34 35 / 密码短语（16进制显示）：对应ASCII密码为12345方法2：使用16进制的密码形式配置：Ruijie (config)#wlansec 1Ruijie(wlansec)# security static-wep-key encryption 40 hex 1 3132333435Ruijie(wlansec)#show wlan security 1Security Policy :static WEP /安全策略：静态WEPWEP auth mode :openWEP index. :0 / 密码索引号为0，对应key Index值为1WEP key is HEX :true / 密码是否使用十六进制配置WEP key length :5WEP passphrase :31 32 33 34 35 / 密码短语（16进制显示）：对应ASCII密码为1234 配置链路认证方式WEP加密方式可以分别和以下两种链路认证方式一起使用。n 使用开放系统认证：此时WEP密钥只做加密，即使密钥配的不一致，用户也是可以上线，但上线后传输的数据会因为密钥不一致被接收端丢弃。即STA可以关联上AP，但无法上网。n 使用共享密钥认证：此时WEP密钥做认证和加密，如果密钥不一致，STA无法上线。命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# wlansec wlan-id进入无线安全配置模式，其中wlan-id是一个已经存在的WLAN编号，在进行本项配置之前需要先创建一个WLAN 。Step 3Ruijie(wlansec)# security static-wep-key authentication open | share-key 配置WEP的认证模式。缺省使用开放系统认证，即无认证。open：开放系统认证方式share-key：共享密钥认证方式Step 4Ruijie(wlansec)# show wlan security wlan-id查看指定WLAN的安全配置信息 注意1. 只有在配置WEP加密的时候，才能配置共享密钥认证方式。2. 在配置WPA和RSN安全模式时， AP必须工作在开放系统身份认证方式下。举例：配置WLAN1的链路认证模式为共享密钥认证：Ruijie (config)#wlansec 1Ruijie(wlansec)# security static-wep-key authentication share-keyRuijie(wlansec)#show wlan security 1Security Policy :static WEP WEP auth mode : share-key / 链路认证方式：共享密钥身份认证WEP index. :0WEP key is HEX :trueWEP key length :5WEP passphrase :31 32 33 34 35 8.3.3 配置WPA安全模式 在现有的WPA安全解决方案中，可采用两种安全加密方法，一种是TKIP，一种是AES-CCMP；可采用两种认证方法，一种是预置密钥PSK认证方式，一种是802.11x认证方式。WPA同这些加密、认证方法一起保证了数据链路层的安全，同时保证了只有授权用户才可以访问无线网络WLAN。 配置WPA安全加密模型的步骤如下：1、（必选）启用WPA模式2、（必选）配置WPA加密方式3、（必选）配置WPA认证方式4、（可选）配置PSK预共享密钥 以下是启用WPA安全模式的配置步骤。只有启用了安全模式后，才能进行加密方式和认证方式的配置，否则是无法配置。命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# wlansec wlan-id进入无线安全配置模式，其中wlan-id是一个已经存在的WLAN编号，在进行本项配置之前需要先创建一个WLAN 。Step 3Ruijie(wlansec)# security wpa enable | disable （必选）配置开启/关闭WPA安全模式。Step 4Ruijie(wlansec)#show wlan security wlan-id查看指定WLAN的安全配置信息 注意1. 使用WPA安全机制时，需要配合配置加密模式和认证模式。如果只配置了加密模式，或者只配置了认证模式，或者两者都未配置，那么STA将无法关联到无线网络。2. 使用WPA安全机制时， AP必须工作在开放系统身份认证方式下。举例：配置开启WLAN10的WPA安全模式Ruijie (config)#wlansec 1Ruijie(wlansec)# security wpa enable8.3.4 配置RSN安全模式 同WPA类似，RSN也需同加密、认证方法一起配合使用，以保证数据链路层安全，并保证只有授权用户才可以访问无线网络WLAN。 RSN安全加密模型需要进行以下配置： 1、（必选）开启RSN模式 2、（必选）配置RSN加密方式 3、（必选）配置RSN认证方式 4、（可选）配置PSK预共享密钥 以下是启用RSN安全模式的配置步骤。只有启用了安全模式后，才能进行加密方式和认证方式的配置，否则是无法配置。命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# wlansec wlan-id进入无线安全配置模式，其中wlan-id是一个已经存在的WLAN编号，在进行本项配置之前需要先创建一个WLAN 。Step 3Ruijie(wlansec)# security rsn enable | disable （必选）配置开启RSN安全模式Step 5Ruijie(wlansec)#show wlan security wlan-id查看指定WLAN的安全配置信息 注意1. 使用RSN安全机制时，需要配合配置加密模式和认证模式。如果只配置了加密模式，或者只配置了认证模式，或者两者都未配置，那么STA将无法关联到无线网络。2. 使用RSN安全机制时， AP必须工作在开放系统身份认证方式下。3. 对于Windows XP SP1/SP2的无线客户端需要额外补丁才能支持RSN安全模式。举例：配置启用WLAN10的RSN安全模式Ruijie (config)#wlansec 10Ruijie(wlansec)# security rsn enable8.3.5 配置安全加密方式在无线安全模式下，配置WPA/RSN的加密方式。WPA和RSN均可使用如下两种加密方式：n TKIP加密方式n AES加密方式命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# wlansec wlan-id进入无线安全配置模式，其中wlan-id是一个已经存在的WLAN编号，在进行本项配置之前需要先创建一个WLAN 。Step 3Ruijie(wlansec)# security wpa ciphers aes | tkip enable配置WPA的加密模式为AES或者TKIP，或者两者都开启。缺省关闭。Step 4Ruijie(wlansec)#show wlan security wlan-id查看指定WLAN的安全配置信息& 说明n WPA密钥协商方式一般和TKIP数据保密算法一起使用，也可以和AES数据保密算法一起使用。同样，RSN密钥协商方式一般和AES数据保密算法一起使用，也可以和TKIP数据保密算法一起使用。n TKIP支持802.11a/b/g模式， 不支持 802.11n模式。举例：配置启用RSN-AES加密方式Ruijie (config)#wlansec 10Ruijie(wlansec)# security rsn enableRuijie(wlansec)# security wpa ciphers aes enableRuijie(wlansec)# show wlan security 10Security Policy: WPA none (no AKM)WPA version : WPA2（RSN）AKM type :pairwise cipher type:AES / 加密方式：AESgroup cipher type :AESWLAN SSID :SSID_wlan10wpa_passhraselen :wpa_passphrase :WEP auth mode :open8.3.6 配置安全认证方式在无线安全模式下，配置WPA/RSN的认证方式。WPA和RSN均可使用如下两种认证方式：n PSK认证方式n 802.1x认证方式命令作用Step 1Ruijie# configure terminal进入全局配置模式。Step 2Ruijie(config)# wlansec wlan-id进入无线安全配置模式，其中wlan-id是一个已经存在的WLAN编号，在进行本项配置之前需要先创建一个WLAN 。Step 3Ruijie(wlansec)# security wpa akm psk | 802.1x enable（必选）配置WPA的认证模式为PSK或者IEEE802.1X，或者两者都开启。当配置的认证方式为PSK时，需要配置PSK预共享密钥。缺省关闭。Step 4Ruijie(wlansec)#show wlan security wlan-id查看指定WLAN的安全配置信息& 说明1. 支持WPA/RSN的AP需要工作在开放系统认证方式下。2. STA以WPA模式或者RSN模式同AP建立关联之后，如果网络中有Radius服务器作为认证服务器，那么STA就可以选择使用802.1x方式进行认证；如果网络中没有Radius服务器，STA与AP就可以使用PSK的方式进行认证。举例：配置启用RSN-PSK认证方式Ruijie (config)#wlansec 10Ruijie(wlansec)# security rsn enableRuijie(wlansec)# security wpa ciphers aes enableRuijie(wlansec)# security wpa akm psk enableRuijie(wlansec)# show wlan security 10Security Policy : WPA PSKWPA version : WPA2（RSN）AKM type : preshare key /接入认证方式：PSK认证pairwise cipher type:AESgroup cipher type :AESWLAN SSID :SSID_wlan10wpa_passhraselen :wpa_passphrase :WEP auth mode :open8.3.7 配置