安全可靠的ACFIT-AP无线局域网实验

XXX、实验5.4对安全可靠的AC FITAP无线局域网实验、实验背景、中小型网络如何简单建设和配置WLAN网络成为网络建设者首要面临的问题。 针对网络规模的特点，以下内容是网络规划、建设过程中必须回答的问题。 需求分析通常存在中小型网络的低管理能力因素，客户倾向于选择简单易管理的网络解决方案，尤其是无线部署。 业界比较一致的观点是，通过采用集中管理的FITAP部署模式建设企业的WLAN网络，无线控制器和无线AP能够共同满足企业的无线垄断需求，企业的IT人员能够有效解决AP管理的不安，满足企业的无线语音、视频等增值业务的需要。 FITAP程序具有(1)结构简单的优点。 AP零配置可将所有配置集中在无线交换机上，非常简单、方便。 (2)易于维护。 管理维护支持无线交换机，无需对每个AP进行操作。 (3)易于升级。 增加的功能需要升级软件版本，只需操作无线交换机，无需为每个无线AP单独升级。 (四)安全控制。 能够集中进行无线频率和功率、信道调整、安全访问控制等功能。 (5)更容易扩张。 根据需要灵活添加补充点AP，支持三层漫游，轻松扩展无线监视、语音应用等业务。实验的目的和内容、【实验的目的】(1)掌握在AC上向无线用户认可的方法。 (2)掌握通过AC实现负荷分散的方法。 (3)掌握AC可靠性的实现方法。 (掌握RogueAP的检测方法。 (5)掌握PSK认证的方法。 【实验内容】(1)在AC中给予无线用户许可证。 (2)用AC取得负载平衡。 (3)实现AC可靠性。 (4)RogueAP检测。 (5)PSK认证。 实验设备、1台交换机、3台无线控制器、2台AP、2台带无线卡的计算机、1台带有有线卡的计算机、6对双绞线。 网络拓扑如图5.11所示。 图5.11可靠的AC FITAP无线LAN实验拓扑图，实验步骤，1 .在AC上向无线用户认可(1)无线控制器根据SSID方式认可。 将同一AP设置为两个SSID，用户连接到jsjxy时属于VLAN2，连接到jsjzx时属于VLAN3。 将VLAN绑定到WLAN-ESS接口。 ac1 接口WLAN-es S2 ac1-WLAN-es2 portaccessvlan2 ac1-WLAN-es2 quit ac1 接口WLAN-es3 ac1-WLAN-es3 portaccessvlan3 ac1 - ac1 WLAN服务模板2清除器 ac1-WLAN-ST-2 ssidjsjxy ac1-WLAN-ST-2 绑定WLAN-es2 ac1-WLAN-ST-2 服务模板启用 ac1-WLAN-ST-2 WLAN service-template3clear ac1-WLAN-ST-3 ssidjzsx ac1-WLAN-ST-3 bind WLAN-es3，实验程序， ac1-WLAN-ST-3 service-template enable ac1 区分用户的VLAN属性，对用户进行VLAN认证。 设置无线服务模板。 ac1 WLAN服务模板1清除 ac1-WLAN-ST-1 ssidjsjxy ac1-WLAN-ST-1 绑定WLAN-es1 ac1-WLAN-ST-1 服务模板启用 ac1-WLAN-ST-1 ac1 wlanapapamodelwa 2620 e-4965 AGN ac1-WLAN-AP-APA 序列id 21023529 g 007 c 00020 ac1-WLAN-AP-APA radio1 ac1-WLAN-AP-APA-radio-1 service-template1VLAN-id2 ac1-WLAN-AP-APA-radio-1 radio enable， 实验程序 AC1- WLAN-AP-APA-radio-1 quit AC1- WLAN-AP-APA quit AC1 wlanapapbmodelwa 2620 e-4965 AGN AC1- WLAN-AP-APB 串行id 21023529 g 007 c 000021 ac1-WLAN-AP-APB radio1 ac1-WLAN-AP-radio-1 服务模板1 VLAN-ID3 ac1-WLAN-AP-AP-radio-1 radio enable ac1-WLAN-AP-AP-radio-1 quit ac1-WLAN-AP-APB quit (3)无线控制器是基于MAC方案的授权。 通过启用MAC-VLAN，创建支持MAC-VLAN的列表以启用基于MAC的无线用户身份验证。 配置无线接口。 AC1接口WLAN-es10 AC1- WLAN-es10 端口链路类型混合 AC1- WLAN-es10 porthybridvlan1to3untagged AC1- WLAN-es10 MAC-VLAN启用 ac1 MAC-VLAN MAC-address 2222-3333-4444 VLAN2 ac1 MAC-VLAN MAC-address 5555-6666-7777 VLAN 32.AC中的负载平衡(1)基于用户会话数据的负载平衡。 ac1 WLAN RM ac1-WLAN-RRM 负载平衡会话5 gap 4注意：负载平衡会话的valuegapgap-valuevalue是会话限制，值范围为2到40； gap-value会话的差异阈值的值范围从1到8。 如果APA已有四个用户，而APB没有用户，则第五个用户将尝试连接到APA。 由于两个AP用户的数量之差达到4，APA拒绝第5个用户，最终连接到APB。 (2)流量引起的负载平衡。 ac1 WLAN RM ac1-WLAN-RRM 负载平衡traffic 10a p 20注意事项：负载平衡会话valuegapgap-valuevalue :流量限制，值范围1080，按百分比显示， 假设AP的最大吞吐量为30M，则业务阈值为30M*10%=3M，差异阈值为30M*20%=6M，这是因为第一个用户将10M个业务发送到APA，而当第二个用户连接到APA时，APA仍然可见3.AC可靠性实验(1)通过设定优先度，设定访问AC的优先顺序，提高可靠性。 ac1 wlanapapamodelwa 2620 e-4965 AGN ac1-WLAN-AP-APA ssidjsjxy ac1-WLAN-AP-APA 优先级6 ac1-WLAN-AP-APA quit ac2 如果wlanapapamodelwa 2620 e-4965 AGN AC2- WLAN-ap-APA ssidjsjxy AC2- WLAN-AP-APA 优先级4 AC2- WLAN-AP-APA quita c 1出现故障，AP将自动启动(2)通过设置ac热备份，提高ac访问的可靠性。实验步骤在优先级设定中设定AC访问的优先级来提高可靠性的基础上，进行以下设定即可： AC1 WLAN backup-AC ipac2- IP-address/AC2- IP-address或ac2的IP地址ac2 WLAN backup-AC ipac1- IP-address/ac1-IP-address如果作为ac1的IP地址的由ac1和ac2构成的策略相同，则能够实现负载分担功能。 要使用心跳建立AC1快速热备份并提高访问AC的可靠性，请使用 AC1热备份启用 AC1热备份VLAN-id AC2热备份启用 AC2热备份必须启动快速热备份测试机制，以确保两个交流电在指定的vlan上相互连接。 (3)N 1备份结构构成提供访问可靠性的AC1、AC2、ACN构成APA和APB的2个备份，APA的主AC是AC1，APB的主AC是AC2，ACN是备份AC。 如果主交流电出现问题，备份交流电将提供服务。 主AC恢复后，对应的AP立即切换为主AC，在重新启动之前不会切换。 ac1 wlanapapamodelwa 2620 e-4965 AGN ac1-WLAN-AP-APA ssidjsjxy， ac1-WLAN-AP-APA 优先级7 ac1-WLAN-AP-APA quit ac2 wlanapapbmodelwa 2620 e-4965 AGN ac2-WLAN-AP-APB ssidjsjxy ac2-WLAN-AP-APB 优先级7 AC2- WLAN-AP-APB quit ACN wlanapapamodelwa 2620 e-4965 AGN ACN-WLAN-AP-APA ssidjsjxy ACN-WLAN-AP-APA 备份IPA C1-IP地址 ACN-WLAN-AP-APA quit ACN wlanapapbmodelwa 2620 e-bond ACN-WLAN-AP-APB ssidjsjxy ACN-WLAN-AP-APB backup-AC ipac2- IP-address ACN-WLAN-AP-APB quit，实验步骤4.RogueAP检测功能的实验AP通过交换机与AC连接，AC作为DHCP服务器对APA和客户端分配IP地址，进行路由具体请求如下：一旦发现MonitorAP(APB )周期性地监听无线电接口消息的RogueAP，MonitorAP就开始反射控制。 (1)ac1的配置是配置ac1的接口制作。 设置system-viewAC1vlan3/VLAN3及其对应的VLAN接口，并使用该接口的IP地址AC1-vlan3quit/AC1建立AP和LWAPP隧道。 ac1 接口VLAN -接口3 ac1-VLAN -接口3 IP地址192.168.1.1255.255.0 ac1-VLAN -接口3 quit ac1 VLAN2/创建VLAN2作为ESS接口默认VLAN和无线用户访问的VLAN AC1- VLAN2 quit AC1接口VLAN -接口2 AC1- VLAN -接口2 将IP address 192.168.2.1255.255.255.0、实验步骤AC1-Vlan-interface2quit/与交换机连接的接口千兆位以太网1/0/1的链路类型设定为中继，当前为中继 AC1互联千兆以太网1/0/1 AC1-千兆以太网1/0/1 端口链路类型中继 AC1-千兆以太网1/0/1 porttrunnkpvidvlan3 ACC 1 undoorttrunkpermitvlan1 ac1 -千兆以太网1/0/1 porttrunnkpermitvlan 32 ac1 -千兆以太网1/0/1 quitDHCP服务器的配置DHCP地址池1 DHCP启用 ac1 DHCP服务器IP-pool1 ac1-DHCP-pool-1 网络192.168.2.0 mask 255.255.255.0 ac1-DHCP-pool-1 quit ac1 构成的DHCP服务器IP-pool2 ac1-DHCP-pool-2 网络192.168.1.0 mask 255.255.255.0， 实验程序AC1-dhcp-pool-2quit设定无线服务 ac1 建立介面WLAN-es S1/编号1的wlan-ess介面 ac1-WLAN-es1 连接埠连结类型hybrid/设置wlan-es1接口类型将Hybrid类型/当前Hybrid端口的PVID设置为VLAN2，以禁止VLAN1通过，并允许VLAN2在没有tag的情况下通过。 ac1-WLAN-es1 undoorthybridvlan1 ac1-WLAN-es1 porthybridvlan2untagged ac1-WLAN-es1 porthybridpvlan2 ac1-WLAN-es1 MAC-VLAN引擎启用MACVL