H3C WX係列無線控製器產品 Web網管配置指導(R3308 R2308)-6W110

08-無線服務

1.3.4 WPA-PSK認證典型配置舉例

1.3.5 MAC地址本地認證配置舉例

1.3.6 遠程MAC地址認證配置舉例

1.3.7 遠程802.1X認證配置舉例

1.3.8 自動提供WEP密鑰-802.1X認證配置舉例

1 接入服務

WLAN（Wireless Local Area Network，無線局域網）技術是當今通信領域的熱點之一，和有線相比，無線局域網的啟動和實施相對簡單，維護的成本低廉，一般隻要安放一個或多個接入點設備就可建立覆蓋整個建築或地區的局域網絡。然而，WLAN係統不是完全的無線係統，它的服務器和骨幹網仍然安置在固定網絡，隻是用戶可以通過無線方式接入網絡。

使用WLAN解決方案，網絡運營商和企業能夠為用戶提供無線局域網服務，服務內容包括：

· 應用具有無線局域網功能的設備建立無線網絡，通過該網絡，用戶可以連接到固定網絡或因特網。

· 使用不同認證和加密方式，安全地訪問WLAN。

· 為無線用戶提供安全的網絡接入和移動區域內的無縫漫遊。

1.1 接入服務簡介

1.1.1 常用術語

(1) 無線客戶端

帶有無線網卡的PC、筆記本電腦以及支持WiFi功能的各種終端。

(2) AP（Access Point，接入點）

AP提供無線客戶端到局域網的橋接功能，在無線客戶端與無線局域網之間進行無線到有線和有線到無線的幀轉換。

(3) AC（Access Controller，接入控製器）

無線控製器對無線局域網中的與其關聯的AP進行控製和管理。無線控製器還可以通過同認證服務器交互信息，來為WLAN用戶提供認證服務。

(4) SSID

SSID（Service Set Identifier，服務集識別碼），客戶端可以先進行無線掃描，然後選擇特定的SSID接入某個指定無線網絡。

1.1.2 用戶接入過程

無線用戶首先需要通過主動/被動掃描發現周圍的無線服務，再通過認證和關聯兩個過程後，才能和AP建立連接，最終接入無線局域網。整個過程如下圖所示。

圖1-1 建立無線連接過程

1. 無線掃描

無線客戶端有兩種方式可以獲取到周圍的無線網絡信息：一種為主動掃描，無線客戶端在掃描的時候，同時主動發送一個探測請求幀（Probe Request幀），通過收到探查響應幀（Probe Response）獲取網絡信息；另外一種是被動掃描，無線客戶端隻是通過監聽周圍AP發送的Beacon（信標幀）獲取無線網絡信息。

無線客戶端在實際工作過程中，通常同時使用主動掃描和被動掃描獲取周圍的無線網絡信息。

(1) 主動掃描

無線客戶端在工作過程中，會定期地搜索周圍的無線網絡，也就是主動掃描周圍的無線網絡。根據Probe Request幀（探測請求幀）是否攜帶SSID，可以將主動掃描分為兩種：

· 客戶端發送Probe Request幀（Probe Request中SSID為空，也就是SSID IE的長度為0）：客戶端會定期地在其支持的信道列表中，發送Probe Request幀掃描無線網絡。當AP收到探查請求幀後，會回應Probe Response幀通告可以提供的無線網絡信息。無線客戶端通過主動掃描，可以主動獲知可使用的無線服務，之後無線客戶端可以根據需要選擇適當的無線網絡接入。無線客戶端主動掃描方式的過程如下圖所示。

圖1-2 主動掃描過程（Probe Request中SSID為空，也就是不攜帶任何SSID信息）

· 客戶端發送Probe Request幀（攜帶指定的SSID）：當無線客戶端配置希望連接的無線網絡或者已經成功連接到一個無線網絡情況下，客戶端也會定期發送Probe Request幀(攜帶已經配置或者已經連接的無線網絡的SSID)，當能夠提供指定SSID無線服務的AP接收到探測請求後回複探查響應。通過這種方法，無線客戶端可以主動掃描指定的無線網絡。這種無線客戶端主動掃描方式的過程如下圖所示。

圖1-3 主動掃描過程（Probe Request攜帶指定的SSID為“AP 1”）

(2) 被動掃描

被動掃描是指客戶端通過偵聽AP定期發送的Beacon幀發現周圍的無線網絡。提供無線網絡服務的AP設備都會周期性發送Beacon幀，所以無線客戶端可以定期在支持的信道列表監聽Beacon幀獲取周圍的無線網絡信息。當用戶需要節省電量時，可以使用被動掃描。一般VoIP語音終端通常使用被動掃描方式。被動掃描的過程如下圖所示。

圖1-4 被動掃描過程

2. 認證過程

為了保證無線鏈路的安全，AC需要完成對客戶端的認證，隻有通過認證後才能進入後續的關聯階段。802.11鏈路定義了兩種認證機製：開放係統認證和共享密鑰認證。

· 開放係統認證（Open system authentication）

開放係統認證是缺省使用的認證機製，也是最簡單的認證算法，即不認證。如果認證類型設置為開放係統認證，則所有請求認證的客戶端都會通過認證。開放係統認證包括兩個步驟：第一步是無線客戶端發起認證請求，第二步AP確定無線客戶端可以通過無線鏈路認證，並向無線客戶端回應認證結果為“成功”。

圖1-5 開放係統認證過程

· 共享密鑰認證（Shared key authentication）

共享密鑰認證是除開放係統認證以外的另外一種鏈路認證機製。共享密鑰認證需要客戶端和設備端配置相同的共享密鑰。

共享密鑰認證的認證過程為：客戶端先向設備發送認證請求，無線設備端會隨機產生一個Challenge包（即一個字符串）發送給客戶端；客戶端會將接收到的Challenge加密後再發送給無線設備端；無線設備端接收到該消息後，對該消息解密，然後對解密後的字符串和原始字符串進行比較。如果相同，則說明客戶端通過了Shared Key鏈路認證；否則Shared Key鏈路認證失敗。

圖1-6 共享密鑰認證過程

3. 關聯過程

如果用戶想通過AP接入無線網絡，用戶必須同特定的AP關聯。當用戶通過指定SSID選擇無線網絡，並通過AP認證後，就可以向AP發送關聯請求幀。AP將用戶信息添加到數據庫，向用戶回複關聯響應。用戶每次隻可以關聯到一個AP上，並且關聯總是由用戶發起。

1.1.3 WLAN服務的數據安全

相對於有線網絡，WLAN存在著與生俱來的數據安全問題。在一個區域內的所有的WLAN設備共享一個傳輸媒介，任何一個設備可以接收到其它所有設備的數據，這個特性直接威脅到WLAN接入數據的安全。

802.11協議致力於解決WLAN的安全問題，主要的方法為對數據報文進行加密，保證隻有特定的設備可以對接收到的報文成功解密。其它的設備雖然可以接收到數據報文，但是由於沒有對應的密鑰，無法對數據報文解密，從而實現了WLAN數據的安全性保護。目前支持四種安全服務。

(1) 明文數據

該種服務本質上為無安全保護的WLAN服務，所有的數據報文都沒有通過加密處理。

(2) WEP加密

WEP（Wired Equivalent Privacy，有線等效加密）用來保護WLAN中的授權用戶所交換的數據的機密性，防止這些數據被隨機竊聽。WEP使用RC4加密算法（一種流加密算法）實現數據報文的加密保護。根據WEP密鑰的生成方式，WEP加密分為靜態WEP加密和動態WEP加密。

· 靜態WEP加密：

靜態WEP加密要求手工指定WEP密鑰，接入同一SSID下的所有客戶端使用相同的WEP密鑰。如果WEP密鑰被破解或泄漏，攻擊者就能獲取所有密文。因此靜態WEP加密存在比較大的安全隱患。並且手工定期更新WEP密鑰會給網絡管理員帶來很大的設備管理負擔。

· 動態WEP加密：

動態WEP加密的自動密鑰管理機製對原有的靜態WEP加密進行了較大的改善。在動態WEP加密機製中，用來加密單播數據幀的WEP密鑰並不是手工指定的，而是由客戶端和服務器通過802.1X協議協商產生，這樣每個客戶端協商出來的WEP單播密鑰都是不同的，提高了單播數據幀傳輸的安全性。

雖然WEP加密在一定程度上提供了安全性和保密性，增加了網絡偵聽、會話截獲等的攻擊難度，但是受到RC4加密算法、過短的初始向量等限製，WEP加密還是存在比較大的安全隱患。

(3) TKIP加密

TKIP和WEP加密機製都是使用RC4算法，但是相比WEP加密機製，TKIP加密機製可以為WLAN服務提供更加安全的保護。

首先，TKIP通過增長了算法的IV長度提高了WEP加密的安全性。相比WEP算法，TKIP將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到48位；

其次，雖然TKIP采用的還是和WEP一樣的RC4加密算法，但其動態密鑰的特性很難被攻破，並且TKIP支持密鑰更新機製，能夠及時提供新的加密密鑰，防止由於密鑰重用帶來的安全隱患；

另外，TKIP還支持了MIC認證（Message Integrity Check，信息完整性校驗）和Countermeasure功能。當MIC發生錯誤的時候，數據很可能已經被篡改，係統很可能正在受到攻擊。此時，可以采取一係列的對策，來阻止黑客的攻擊。

(4) CCMP加密

CCMP（Counter mode with CBC-MAC Protocol，[計數器模式]搭配[區塊密碼鎖鏈－信息真實性檢查碼]協議）加密機製是基於AES（Advanced Encryption Standard，高級加密標準）加密算法的CCM（Counter-Mode/CBC-MAC，區塊密碼鎖鏈－信息真實性檢查碼）方法。CCM結合CTR（Counter mode，計數器模式）進行機密性校驗，同時結合CBC-MAC（區塊密碼鎖鏈－信息真實性檢查碼）進行認證和完整性校驗。CCMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。同樣CCMP包含了一套動態密鑰協商和管理方法，每一個無線用戶都會動態的協商一套密鑰，而且密鑰可以定時進行更新，進一步提供了CCMP加密機製的安全性。在加密處理過程中，CCMP也會使用48位的PN（Packet Number）機製，保證每一個加密報文都會是用不同的PN，在一定程度上提高安全性。

1.1.4 用戶接入認證

(1) PSK認證

PSK認證需要實現在無線客戶端和設備端配置相同的預共享密鑰，如果密鑰相同，PSK接入認證成功；如果密鑰不同，PSK接入認證失敗。

(2) 802.1X認證

802.1X協議是一種基於端口的網絡接入控製協議（port based network access control protocol）。“基於端口的網絡接入控製”是指在WLAN接入設備的端口這一級對所接入的用戶設備進行認證和控製。連接在端口上的用戶設備如果能通過認證，就可以訪問WLAN中的資源；如果不能通過認證，則無法訪問WLAN中的資源。

接入設備的管理者可以選擇使用RADIUS或本地認證方法，以配合802.1X完成用戶的身份認證。關於遠程和本地802.1X認證的介紹和配置可以參考“認證”。

(3) MAC地址認證

MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法。通過手工維護一組允許訪問的MAC地址列表，實現對客戶端物理地址過濾，但這種方法的效率會隨著終端數目的增加而降低，因此MAC地址認證適用安全需求不太高的場合，如家庭、小型辦公室等環境。

MAC地址認證分為以下兩種方式：

· 本地MAC地址認證：當選用本地認證方式進行MAC地址認證時，需要在設備上預先配置允許訪問的MAC地址列表，如果客戶端的MAC地址不在允許訪問的MAC地址列表，將被拒絕其接入請求。

圖1-7 本地MAC地址認證

· 遠程MAC地址認證，即通過RADIUS服務器進行MAC地址認證。當MAC接入認證發現當前接入的客戶端為未知客戶端，會主動向RADIUS服務器發起認證請求，在RADIUS服務器完成對該用戶的認證後，認證通過的用戶可以訪問無線網絡以及獲得相應的授權信息。

圖1-8 遠程MAC地址認證

采用RADIUS服務器進行MAC地址認證時，可以通過在各無線服務下分別指定各自的domain域，將不同SSID的MAC地址認證用戶信息發送到不同的遠端RADIUS服務器。

1.1.5 802.11n協議

802.11n作為802.11協議族的一個新協議，支持2.4GHz和5GHz兩個頻段，致力於為WLAN接入用戶提供更高的吞吐量，802.11n主要通過增加帶寬和提高信道利用率兩種方式來提高吞吐量。

增加帶寬：802.11n通過將兩個20MHz的帶寬綁定在一起組成一個40MHz通訊帶寬，在實際工作時可以作為兩個20MHz的帶寬使用。當使用40MHz帶寬時，可將速率提高一倍，提高無線網絡的吞吐量。

提高信道利用率：對信道利用率的提高主要體現在三個方麵。

· 802.11n標準中采用A-MPDU聚合幀格式，即將多個MPDU聚合為一個A-MPDU，隻保留一個PHY頭，刪除其餘MPDU的PHY頭，減少了傳輸每個MPDU的PHY頭的附加信息，同時通過Block Ack減少了ACK幀的數目，從而降低了協議的負荷，有效的提高網絡吞吐量。

· 802.11n協議定義了一個新的MAC特性A-MSDU，該特性實現了將多個MSDU組合成一個A-MSDU發送，與A-MPDU類似，通過聚合，A-MSDU減少了傳輸每個MSDU的MAC頭的附加信息，提高了MAC層的傳輸效率。

· 802.11n支持在物理層的優化，提供短間隔功能。原11a/g的GI時長800us，而短間隔Short GI時長為400us，在使用Short GI的情況下，可提高10%的速率。

1.2 配置接入服務

接入服務配置的推薦步驟如下表所示。

表1-1 接入服務配置步驟

步驟	配置任務	說明
1	新建無線服務	必選
2	配置clear類型的無線服務	兩者必選其一按實際需求完成接入服務頁麵的安全設置部分
3	配置crypto類型的無線服務	兩者必選其一按實際需求完成接入服務頁麵的安全設置部分
4	開啟無線服務	必選
5	綁定AP的射頻	必選
6	開啟射頻	必選
7	查看無線服務的詳細信息	可選

1.2.1 新建無線服務

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”，進入如下圖所示接入服務配置頁麵。

圖1-9 接入服務配置頁麵

(2) 單擊<新建>按鈕，進入如下圖所示無線服務新建頁麵。

圖1-10 接入服務新建頁麵

(3) 配置無線服務，詳細配置如下表所示。

(4) 單擊<確定>按鈕完成操作。

表1-2 新建無線服務的詳細配置

配置項	說明
無線服務名稱	設置SSID（Service Set Identifier，服務集識別碼），無線服務名稱可以為1～32個字符的字符串，可以包含字母、數字及下劃線，區分大小寫，可以包含空格 SSID的名稱應該盡量具有唯一性。從安全方麵考慮不應該體現公司名稱，也不推薦使用長隨機數序列作為SSID，因為長隨機數序列隻是增加了頭域負載，對無線安全沒有改進
無線服務類型	選擇無線服務類型： · clear：使用明文發送無線服務 · crypto：使用密文發送無線服務

配置項

說明

無線服務名稱

設置SSID（Service Set Identifier，服務集識別碼），無線服務名稱可以為1～32個字符的字符串，可以包含字母、數字及下劃線，區分大小寫，可以包含空格

SSID的名稱應該盡量具有唯一性。從安全方麵考慮不應該體現公司名稱，也不推薦使用長隨機數序列作為SSID，因為長隨機數序列隻是增加了頭域負載，對無線安全沒有改進

無線服務類型

選擇無線服務類型：

· clear：使用明文發送無線服務

· crypto：使用密文發送無線服務

1.2.2 配置clear類型無線服務

1. clear類型無線服務基本配置

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表中找到要進行配置的clear類型無線服務，單擊對應的圖標，進入如下圖所示的配置頁麵。

在配置clear類型的無線服務時，需要先將其服務狀態改為關閉，單擊對應的圖標，才能對該無線服務進行配置。

圖1-11 clear類型無線服務基本配置頁麵

(3) 配置clear類型無線服務基本信息，詳細配置如下表所示。

(4) 單擊<確定>按鈕完成操作。

表1-3 clear類型無線服務基本配置的詳細配置

配置項	說明
無線服務名稱	顯示選擇的SSID
VLAN（Untagged）	添加Untagged的VLAN ID，VLAN（Untagged）表示端口成員發送該VLAN報文時不帶Tag標簽
缺省VLAN	設置端口的缺省VLAN 在缺省情況下，所有端口的缺省VLAN均為VLAN 1，設置新的缺省VLAN後，VLAN 1為Untagged的VLAN ID
刪除VLAN	刪除已有Tagged和Untagged的VLAN ID
網絡隱藏	· Enable：禁止在信標幀中通告SSID · Disable：在信標幀中通告SSID 缺省情況下，信標幀通告SSID · SSID隱藏後，AP發送的信標幀裏麵不包含SSID信息，接入客戶端必須在無線網卡上手動配置該SSID標識才能接入AP · 隱藏SSID對無線安全意義不大，允許廣播SSID可以使客戶端更容易發現AP

2. clear類型無線服務高級配置

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表中找到要進行配置的clear類型無線服務，單擊對應的圖標，進入如下圖所示clear類型無線服務高級配置頁麵。

圖1-12 clear類型無線服務高級配置頁麵

(3) 配置clear類型無線服務高級信息，詳細配置如下表所示。

(4) 單擊<確定>按鈕完成操作。

表1-4 clear類型無線服務高級配置的詳細配置

配置項	說明
本地轉發	本地轉發是一種在AP上完成客戶端之間數據交互的轉發模式。在集中式WLAN 架構中，AP會將客戶端的數據報文透傳給AC，由AC集中處理。隨著客戶端速率的不斷提高，AC的轉發壓力也隨之增大。采用本地轉發後，AP直接轉發客戶端的數據，AC不再參與數據轉發，大大減輕了AC的負擔 · Enable：開啟本地轉發功能。打開本地轉發功能後，由AP進行數據幀的轉發 · Disable：關閉本地轉發功能。關閉本地轉發功能後，數據幀由AC轉發
本地轉發VLAN	同一個SSID下的客戶端有可能屬於不同的VLAN，在配置本地轉發策略的時候需要考慮VLAN因素時，可以設置本地轉發VLAN
關聯最大用戶數	在一個射頻下，某個SSID下的關聯客戶端的最大個數當某個SSID下關聯的客戶端達到最大個數時，該SSID會自動隱藏
管理權限	上線的客戶端對設備WEB界麵的管理權限 · Disable：表示上線的客戶端對設備WEB界麵沒有管理權限 · Enable：表示上線的客戶端對設備WEB界麵有管理權限
MAC VLAN功能	· Enable：表示在指定無線服務下開啟MAC VLAN功能 · Disable：表示在指定無線服務下關閉MAC VLAN功能開啟MAC VLAN是配置基於AP區分接入VLAN功能時，綁定VLAN ID操作前的一個必要的前提條件
快速關聯功能	· 開啟：開啟快速關聯功能 · 關閉：關閉快速關聯功能缺省情況下，快速關聯功能處於關閉狀態開啟此功能後，設備不會對關聯到此無線服務的客戶端進行頻譜導航和負載均衡計算

3. clear類型無線服務安全配置

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表中找到要進行配置的clear類型無線服務，單擊對應的圖標，進入clear類型無線服務安全配置頁麵。

圖1-13 clear類型無線服務安全配置頁麵

(3) 配置clear類型無線服務安全信息，詳細配置如下表所示。

(4) 單擊<確定>按鈕完成操作。

表1-5 clear類型無線服務安全配置的詳細配置

配置項	說明
認證方式	clear類型隻能選擇Open-System方式
端口安全	· mac-authentication：對接入用戶采用MAC地址認證 · mac-else-userlogin-secure：端口同時處於mac-authentication模式和userlogin-secure模式，但MAC地址認證優先級大於802.1X認證；對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證，如果MAC地址認證失敗進行802.1X認證 · mac-else-userlogin-secure-ext：與mac-else-userlogin-secure類似，但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure：對接入用戶采用基於MAC的802.1X認證，此模式下，端口允許多個802.1X認證用戶接入，但隻有一個用戶在線 · userlogin-secure-or-mac：端口同時處於userlogin-secure模式和mac-authentication模式，但802.1X認證優先級大於MAC地址認證；在用戶接入方式為無線的情況下，報文首先進行802.1X認證，如果802.1X認證失敗再進行MAC地址認證 · userlogin-secure-or-mac-ext：與userlogin-secure-or-mac類似，但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure-ext：對接入用戶采用基於MAC的802.1X認證，且允許端口下有多個802.1X用戶由於安全模式種類較多，為便於記憶，部分端口安全模式名稱的構成可按如下規則理解： · “userLogin”表示基於端口的802.1X認證 · “mac”表示MAC地址認證 · “Else”之前的認證方式先被采用，失敗後根據請求認證的報文協議類型決定是否轉為“Else”之後的認證方式 · “Or”連接的兩種認證方式無固定生效順序，設備根據請求認證的報文協議類型決定認證方式，但無線接入的用戶先采用802.1X認證方式 · 攜帶“Secure”的userLogin表示基於MAC地址的802.1X認證 · 攜帶“Ext”表示可允許多個802.1X用戶認證成功，不攜帶則表示僅允許一個802.1X用戶認證成功
最大用戶數	控製能夠通過某端口接入網絡的最大用戶數

當選擇mac-authentication時，需要配置如下選項。

圖1-14 mac-authentication端口安全配置頁麵

表1-6 mac-authentication端口安全配置的詳細配置

配置項	說明
端口模式	mac-authentication：對接入用戶采用MAC地址認證在導航欄中選擇“無線服務 > 接入服務”，單擊<MAC認證列表>按鈕，輸入客戶端的MAC地址
最大用戶數	控製能夠通過某端口接入網絡的最大用戶數
MAC認證	選中“MAC認證”前的複選框
域名	在下拉框中選擇已存在的域設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”，選擇“域設置”頁簽，在域名下拉輸入框中可以新建域需要注意的是： · 在該選項中選擇的域名僅對此無線服務生效，並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域，否則會導致使用此無線服務的客戶端下線

當選擇userlogin-secure/userlogin-secure-ext時，需要配置如下選項。

圖1-15 userlogin-secure/userlogin-secure-ext端口安全配置頁麵（以userlogin-secure為例）

表1-7 userlogin-secure/userlogin-secure-ext端口安全配置的詳細配置

配置項	說明
端口模式	· userlogin-secure：對接入用戶采用基於MAC的802.1X認證，此模式下，端口允許多個802.1X認證用戶接入，但隻有一個用戶在線 · userlogin-secure-ext：對接入用戶采用基於MAC的802.1X認證，且允許端口下有多個802.1X用戶
最大用戶數	控製能夠通過某端口接入網絡的最大用戶數
域名	在下拉框中選擇已存在的域設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”，選擇“域設置”頁簽，在域名下拉輸入框中可以新建域需要注意的是： · 在該選項中選擇的域名僅對此無線服務生效，並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域名，否則會導致正在使用此無線服務的客戶端下線
認證方法	· EAP：采用EAP認證方式。采用EAP認證方式意味著設備直接把802.1X用戶的認證信息以EAP報文直接封裝到RADIUS報文的屬性字段中，發送給RADIUS服務器完成認證，而無須將EAP報文轉換成標準的RADIUS報文後再發給RADIUS服務器來完成認證 · CHAP：采用CHAP認證方式。缺省情況下，采用CHAP認證方式。表示在網絡上以明文方式傳輸用戶名，以密文方式傳輸口令。相比之下，CHAP認證保密性較好，更為安全可靠 · PAP：采用PAP認證方式。PAP采用明文方式傳送口令
用戶握手	· Enable：開啟在線用戶握手功能，通過設備端定期向客戶端發送握手報文來探測用戶是否在線。缺省情況下，在線用戶握手功能處於開啟狀態 · Disable：關閉在線用戶握手功能
多播觸發	· Enable：開啟802.1X的組播觸發功能，即周期性地向客戶端發送組播觸發報文。缺省情況下，802.1X的組播觸發功能處於開啟狀態 · Disable：關閉802.1X的組播觸發功能對於無線局域網來說，可以由客戶端主動發起認證，或由無線模塊發現用戶並觸發認證，而不必端口定期發送802.1X的組播報文來觸發。同時，組播觸發報文會占用無線的通信帶寬，因此建議無線局域網中的接入設備關閉該功能

當選擇其他四種端口安全時，需要配置如下選項。

圖1-16 四種端口安全配置頁麵（以mac-else-userlogin-secure為例）

表1-8 其它四種端口安全配置的詳細配置

配置項	說明
端口模式	· mac-else-userlogin-secure：端口同時處於mac-authentication模式和userlogin-secure模式，但MAC地址認證優先級大於802.1X認證；對於非802.1X報文直接進行MAC地址認證。對於802.1X報文先進行MAC地址認證，如果MAC地址認證失敗進行802.1X認證 · mac-else-userlogin-secure-ext：與mac-else-userlogin-secure類似，但允許端口下有多個802.1X和MAC地址認證用戶 · userlogin-secure-or-mac：端口同時處於userlogin-secure模式和mac-authentication模式，但802.1X認證優先級大於MAC地址認證；在用戶接入方式為無線的情況下，報文首先進行802.1X認證，如果802.1X認證失敗再進行MAC地址認證 · userlogin-secure-or-mac-ext：與userlogin-secure-or-mac類似，但允許端口下有多個802.1X和MAC地址認證用戶在導航欄中選擇“無線服務 > 接入服務”，單擊<MAC認證列表>按鈕，輸入客戶端的MAC地址
最大用戶數	控製能夠通過某端口接入網絡的最大用戶數
域名	在下拉框中選擇已存在的域，配置了強製認證域後，所有從該端口接入的802.1X用戶將被強製使用該認證域來進行認證、授權和計費設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”，選擇“域設置”頁簽，在域名下拉輸入框中可以新建域
認證方法	· EAP：采用EAP認證方式。采用EAP認證方式意味著設備直接把802.1X用戶的認證信息以EAP報文直接封裝到RADIUS報文的屬性字段中，發送給RADIUS服務器完成認證，而無須將EAP報文轉換成標準的RADIUS報文後再發給RADIUS服務器來完成認證 · CHAP：采用CHAP認證方式。缺省情況下，采用CHAP認證方式。表示在網絡上以明文方式傳輸用戶名，以密文方式傳輸口令。相比之下，CHAP認證保密性較好，更為安全可靠 · PAP：采用PAP認證方式。PAP采用明文方式傳送口令
用戶握手	· Enable：開啟在線用戶握手功能，通過設備端定期向客戶端發送握手報文來探測用戶是否在線。缺省情況下，在線用戶握手功能處於開啟狀態 · Disable：關閉在線用戶握手功能
多播觸發	· Enable：開啟802.1X的組播觸發功能，即周期性地向客戶端發送組播觸發報文。缺省情況下，802.1X的組播觸發功能處於開啟狀態 · Disable：關閉802.1X的組播觸發功能對於無線局域網來說，可以由客戶端主動發起認證，或由無線模塊發現用戶並觸發認證，而不必端口定期發送802.1X的組播報文來觸發。同時，組播觸發報文會占用無線的通信帶寬，因此建議無線局域網中的接入設備關閉該功能
MAC認證	選中“MAC認證”前的複選框
域名	在下拉框中選擇已存在的域設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”，選擇“域設置”頁簽，在域名下拉輸入框中可以新建域需要注意的是： · 在該選項中選擇的域名僅對此無線服務生效，並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域名，否則會導致正在使用此無線服務的客戶端下線

1.2.3 配置crypto類型無線服務

1. crypto類型無線服務基本配置

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表中找到要進行配置的crypto類型無線服務，單擊對應的圖標，進入如下圖所示頁麵。

圖1-17 crypto類型無線服務基本配置頁麵

(3) 配置crypto類型無線服務基本配置，詳細配置請參見表1-3。

(4) 單擊<確定>按鈕完成操作。

2. crypto類型無線服務高級配置

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表中找到要進行配置的crypto類型無線服務，單擊對應的圖標，進入如下圖所示頁麵。

圖1-18 crypto類型無線服務高級配置頁麵

(3) 配置crypto類型無線服務高級信息，詳細配置如下表所示。

(4) 單擊<確定>按鈕完成操作。

表1-9 crypto類型無線服務高級配置的詳細配置

配置項	說明
本地轉發	本地轉發是一種在AP上完成客戶端之間數據交互的轉發模式。在集中式WLAN 架構中，AP會將客戶端的數據報文透傳給AC，由AC集中處理。隨著客戶端速率的不斷提高，AC的轉發壓力也隨之增大。采用本地轉發後，AP直接轉發客戶端的數據，AC不再參與數據轉發，大大減輕了AC的負擔 · Enable：開啟本地轉發功能。打開本地轉發功能後，由AP進行數據幀的轉發 · Disable：關閉本地轉發功能。關閉本地轉發功能後，數據幀由AC轉發
本地轉發VLAN	同一個SSID下的客戶端有可能屬於不同的VLAN，在配置本地轉發策略的時候需要考慮VLAN因素時，可以設置本地轉發VLAN
關聯最大用戶數	在一個射頻下，某個SSID下關聯客戶端的最大個數當某個SSID下關聯的客戶端達到最大個數時，該SSID會自動隱藏
PTK生存時間	設置PTK的生存時間，PTK通過四次握手方式生成
TKIP反製策略實施時間	設置反製策略實施時間缺省情況下，TKIP反製策略實施的時間為0秒，即不啟動反製策略 MIC（Message Integrity Check，信息完整性校驗）是為了防止黑客的篡改而定製的，它采用Michael算法，具有很高的安全特性。當MIC發生錯誤的時候，數據很可能已經被篡改，係統很可能正在受到攻擊。啟動反製策略後，如果在一定時間內發生了兩次MIC錯誤，則會解除所有關聯到該無線服務的客戶端，並且隻有在TKIP反製策略實施的時間後，才允許客戶端重新建立關聯
管理權限	上線的客戶端對設備WEB界麵的管理權限 · Disable：表示上線的客戶端對設備WEB界麵沒有管理權限 · Enable：表示上線的客戶端對設備WEB界麵有管理權限
MAC VLAN功能	· Enable：表示在指定無線服務下開啟MAC VLAN功能 · Disable：表示在指定無線服務下關閉MAC VLAN功能開啟MAC VLAN是配置基於AP區分接入VLAN功能時，綁定VLAN ID操作前的一個必要的前提條件
快速關聯功能	· 開啟：開啟快速關聯功能 · 關閉：關閉快速關聯功能缺省情況下，快速關聯功能處於關閉狀態開啟此功能後，設備不會對關聯到此無線服務的客戶端進行頻譜導航和負載均衡計算
GTK更新方法	GTK由AC生成，在AP和客戶端認證處理的過程中通過組密鑰握手和4次握手的方式發送到客戶端。客戶端使用GTK來解密組播和廣播報文 · 選用基於時間更新的方法，需要指定GTK密鑰更新的周期時間間隔 · 選用基於數據包更新的方法，需要指定傳輸的數據包的數目，在傳送指定數目的數據包後更新GTK 缺省情況下，GTK密鑰更新采用基於時間的方法，缺省的時間間隔是86400秒
客戶端離線更新GTK	啟動當客戶端離線時更新GTK的功能缺省情況下，客戶端離線更新GTK的功能處於關閉狀態

3. crypto類型無線服務安全配置

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表中找到要進行配置的crypto類型無線服務，單擊對應的圖標，進入如下圖所示頁麵。

圖1-19 crypto類型無線服務安全配置頁麵

(3) 配置crypto類型無線服務安全信息，詳細配置如下表所示。

(4) 單擊<確定>按鈕完成操作。

表1-10 crypto類型無線服務安全配置的詳細配置

配置項	說明
認證方式	· Open-System：即不認證，如果認證類型設置為開放係統認證，則所有請求認證的客戶端都會通過認證 · Shared-Key：共享密鑰認證需要客戶端和設備端配置相同的共享密鑰；隻有在使用WEP加密時才可選用shared-key認證機製 · Open-System and Shared-Key：可以同時選擇使用Open-System和Shared-Key認證 WEP加密方式可以分別和Open system、Shared key鏈路認證方式使用。 · 采用Open system authentication方式：此時WEP密鑰隻做加密，即使密鑰配置不一致，用戶也可以成功建立無線鏈路，但所有的數據都會因為密鑰不一致被接收端丟棄 · 采用Shared key authentication方式：此時WEP密鑰同時作為認證密鑰和加密密鑰，如果密鑰配置不一致，客戶端就不能通過鏈路認證，也就無法接入無線網絡
加密類型	無線服務支持加密機製： · AES-CCMP：一種基於AES加密算法的加密機製 · TKIP：一種基於RC4算法和動態密鑰管理的加密機製 · AES-CCMP and TKIP：可以同時選擇使用CCMP和TKIP加密
安全IE	無線服務類型（Beacon或者Probe response報文中攜帶對應的IE信息）： · WPA：在802.11i協議之前，Wi-Fi Protected Access定義的安全機製 · WPA2：802.11i定義的安全機製，也就是RSN（Robust Security Network，健壯安全網絡）安全機製，提供比WEP和WPA更強的安全性 · WPA and WPA2：同時選擇使用WPA和WPA2
WEP加密
自動提供密鑰	使用自動提供WEP密鑰方式 · 開啟：使用自動提供WEP密鑰方式 · 關閉：使用靜態WEP密鑰方式缺省情況下，使用靜態WEP密鑰方式選擇自動提供WEP密鑰方式後，“密鑰類型”選項會自動使用WEP 104加密方式 · 自動提供WEP密鑰必須和802.1X認證方式一起使用 · 配置動態WEP加密後，用來加密單播數據幀的WEP密鑰由客戶端和服務器協商產生。如果配置動態WEP加密的同時配置了WEP密鑰，則該WEP密鑰作為組播密鑰，用來加密組播數據幀。如果不配置WEP密鑰，則由設備隨機生成組播密鑰
密鑰類型	· WEP 40：選擇WEP 40進行加密 · WEP 104：選擇WEP104進行加密 · WEP 128：選擇WEP 128進行加密
密鑰ID	1：選擇密鑰索引為1 2：選擇密鑰索引為2 3：選擇密鑰索引為3 4：選擇密鑰索引為4 在WEP中有四個靜態的密鑰。其密鑰索引分別是1、2、3和4。指定的密鑰索引所對應的密鑰將被用來進行幀的加密和解密
長度	選擇WEP密鑰長度 · 當密鑰類型選擇WEP40時，可選的密鑰長度5個字符（5 Alphanumeric Chars）或者10位16進製數（10 Hexadecimal Chars） · 當密鑰類型選擇WEP104時，可選的密鑰長度13個字符（13 Alphanumeric Chars）或者26位16進製數（26 Hexadecimal Chars） · 當密鑰類型選擇WEP 128時，可選的密鑰長度16個字符（16 Alphanumeric Chars）或者32位16進製數（32 Hexadecimal Chars）
密鑰	配置WEP密鑰
端口安全	請參見表1-5 “認證方式”、“加密類型”等參數直接決定了端口模式的可選範圍，具體請參見表1-13 在選則“加密類型”後，增加以下四種端口安全模式： · mac and psk：接入用戶必須先進行MAC地址認證，通過認證後使用預先配置的預共享密鑰與設備協商，協商成功後可訪問端口 · psk：接入用戶必須使用設備上預先配置的靜態密鑰，即PSK（Pre-Shared Key，預共享密鑰）與設備進行協商，協商成功後可訪問端口 · userlogin-secure-ext：對接入用戶采用基於MAC的802.1X認證，且允許端口下有多個802.1X用戶

當選擇mac and psk時，需要配置如下選項。

圖1-20 mac and psk端口安全配置頁麵

表1-11 mac and psk端口安全配置的詳細配置

配置項	說明
端口模式	mac and psk：接入用戶必須先進行MAC地址認證，通過認證後使用預先配置的預共享密鑰與設備協商，協商成功後可訪問端口在導航欄中選擇“無線服務 > 接入服務”，單擊<MAC認證列表>按鈕，輸入客戶端的MAC地址
最大用戶數	控製能夠通過某端口接入網絡的最大用戶數
MAC認證	選中“MAC認證”前的複選框
域名	在下拉框中選擇已存在的域設備的缺省域為“system”。在界麵左側的導航欄中選擇“認證 > AAA”，選擇“域設置”頁簽，在域名下拉輸入框中可以新建域需要注意的是：在該選項中選擇的域名僅對此無線服務生效 · 在該選項中選擇的域名僅對此無線服務生效，並且從該無線服務接入的客戶端將被強製使用該認證域來進行認證、授權和計費 · 請不要刪除使用中的域名，否則會導致正在使用此無線服務的客戶端下線
域共享密鑰	· pass-phrase：以字符串方式輸入預共享密鑰，輸入8～63個字符的可顯示字符串。 · raw-key：以十六進製數方式輸入預共享密鑰，輸入長度是64位的合法十六進製數。

當選擇psk時，需要配置如下選項。

圖1-21 psk端口安全配置頁麵

表1-12 psk端口安全配置的詳細配置

配置項	說明
端口模式	psk：接入用戶必須使用設備上預先配置的靜態密鑰，即PSK（Pre-Shared Key，預共享密鑰）與設備進行協商，協商成功後可訪問端口
最大用戶數	控製能夠通過某端口接入網絡的最大用戶數
域共享密鑰	· pass-phrase：以字符串方式輸入預共享密鑰，輸入8～63個字符的可顯示字符串。 · raw-key：以十六進製數方式輸入預共享密鑰，輸入長度是64位的合法十六進製數。

當選擇userlogin-secure-ext時，需要配置的選項如表1-7所示。

1.2.4 安全參數關係表

clear類型和crypto類型無線服務類型下，各參數之間的關係：

表1-13 安全參數關係表

服務類型	認證方式	加密類型	安全IE	WEP加密/密鑰ID	端口模式
clear	Open-System	不可選	不可選	不可選	mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext userlogin-secure userlogin-secure-ext userlogin-secure-or-mac userlogin-secure-or-mac-ext
crypto	Open-System	選擇	必選	WEP加密可選/密鑰ID可選234	mac and psk psk userlogin-secure-ext
	Open-System	不選擇	不可選	WEP加密必選/密鑰ID可選123	mac-authentication userlogin-secure userlogin-secure-ext
	Shared-Key	不可選	不可選	WEP加密必選/密鑰ID可選1234	mac-authentication
	Open-System and Shared-Key	選擇	必選	WEP加密必選/密鑰ID可選1234	mac and psk psk userlogin-secure-ext
	Open-System and Shared-Key	不選擇	不可選	WEP加密必選/密鑰ID可選1234	mac-authentication userlogin-secure userlogin-secure-ext

1.2.5 開啟無線服務

(1) 在導航欄中選擇“無線服務 > 接入服務”，進入如下圖所示頁麵。

圖1-22 開啟無線服務

(2) 選中需要開啟的無線服務前的複選框。

(3) 單擊<開啟>按鈕完成操作。

1.2.6 綁定AP的射頻

1. 綁定AP的射頻

(1) 在導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表裏查找到需要綁定的無線服務，單擊對應的圖標，進入下圖所示頁麵。

圖1-23 綁定AP的射頻

(3) 選中需要綁定的AP射頻前的複選框。

(4) 單擊<關閉>按鈕完成操作。

2. 綁定VLAN

通過不同的SSID區分不同服務的業務流。而通過AP來區分不同的地點，地點不同用戶所能接入的服務不同。當客戶端在不同的AP間漫遊時，可以通過區分接入的AP來享受不同的服務。具體要求為：

· 同屬於一個SSID的用戶在不同AP接入時可以根據配置情況決定所屬的VLAN；

· 用戶在漫遊時，接入所屬的VLAN一直保持不變；

· 在AC間漫遊時，如果本AC沒有該VLAN出口，則要求能夠在漫遊組內找到HA，將報文通過HA送出，保證報文不間斷。

圖1-24 基於AP區分接入VLAN示意圖

上圖中，Client 1在AP 1處上線，所屬的VLAN為VLAN3。漫遊期間（包括AC內的漫遊，AC間的漫遊），Client 1的VLAN一直保持不變。AC間漫遊時，如果FA（即AC 2）有該VLAN的出口，則在該AC送出報文，如果FA沒有該VLAN的出口，報文通過DATA TUNNEL送到HA（即AC 1）後送出。

Client 2在AP 4上線，所屬的VLAN為VLAN 2，表示在不同的AP上線後分配的VLAN不同。

(1) 在導航欄中選擇“無線服務 > 接入服務”。

(2) 在列表裏查找到需要綁定的無線服務，單擊對應的圖標，進入圖1-23所示綁定AP的射頻頁麵。

(3) 選擇需要綁定的AP射頻模式，選中前麵的複選框。

(4) 在綁定VLAN輸入框中輸入需要綁定的VLAN。

(5) 單擊<確定>按鈕完成操作。

1.2.7 開啟射頻

(1) 在界麵左側的導航欄中選擇“射頻 > 射頻設置”，進入如下圖所示射頻設置頁麵。

圖1-25 開啟射頻

(2) 選中需要開啟的射頻模式前的複選框。

(3) 單擊<開啟>按鈕，彈出配置過程對話框。

(4) 單擊<關閉>按鈕，完成操作。

1.2.8 顯示無線服務的詳細信息

1. clear類型無線服務的詳細信息

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”，進入接入服務配置頁麵。

(2) 點擊指定的clear類型無線服務後，如下圖所示，可以查看相關的詳細信息。

圖1-26 clear類型無線服務的詳細信息

表1-14 clear類型無線服務顯示信息描述表

配置項	說明
Service Template Number	當前無線服務號
SSID	Service Set Identifier，表示設置的服務集識別碼
Binding Interface	同服務模板綁定的WLAN-ESS接口
Service Template Type	服務模版類型
Authentication Method	使用的認證類型，clear類型的無線服務隻能使用Open System（開放係統認證）方式
SSID-hide	· Disable：啟用SSID通告 · Enable：禁用SSID通告。SSID隱藏後，AP發送的信標幀裏麵不包含SSID信息
Bridge Mode	轉發方式： · Local Forwarding：使用本地轉發轉發方式 · Remote Forwarding：使用AC遠端轉發方式
Service Template Status	服務模板狀態： · Enable：無線服務處於開啟狀態 · Disable：無線服務處於關閉狀態
Maximum clients per BSS	一個BSS中能夠連接的最大客戶端數

2. crypto類型無線服務的詳細信息

(1) 在界麵左側的導航欄中選擇“無線服務 > 接入服務”，進入接入服務配置頁麵。

(2) 點擊指定的crypto類型無線服務後，如下圖所示，可以查看相關的詳細信息。

圖1-27 crypto類型無線服務的詳細信息

表1-15 crypto類型無線服務顯示信息描述表

配置項	說明
Service Template Number	當前無線服務號
SSID	Service Set Identifier，表示設置的服務集識別碼
Binding Interface	同服務模板綁定的WLAN-ESS接口
Service Template Type	服務模版類型
Security IE	安全IE：WPA或WPA2
Authentication Method	使用的認證類型：Open System（開放係統認證）或者Shared Key（共享密鑰認證）；
SSID-hide	· Disable：啟用SSID通告 · Enable：禁用SSID通告。SSID隱藏後，AP發送的信標幀裏麵不包含SSID信息
Cipher Suite	加密套件：CCMP、TKIP、WEP40/WEP104/WEP128
WEP Key Index	加密或解密幀的密鑰索引
WEP Key Mode	WEP密鑰模式： · HEX：WEP密鑰為16進製數的形式 · ASCII：WEP密鑰為字符串的形式
WEP Key	WEP密鑰
TKIP Countermeasure Time(s)	TKIP反製策略時間，單位為秒
PTK Life Time(s)	PTK生存時間，單位為秒
GTK Rekey	GTK密鑰更新配置
GTK Rekey Method	GTK密鑰更新方法：基於包或基於時間
GTK Rekey Time(s)	當選擇基於時間的GTK密鑰更新方法時，顯示GTK密鑰更新時間，單位為秒當選擇基於包的GTK密鑰更新方法時，顯示數據包的數目
Bridge Mode	轉發方式： · Local Forwarding：使用本地轉發轉發方式 · Remote Forwarding：使用AC遠端轉發方式
Service Template Status	服務模板狀態： · Enable：無線服務處於開啟狀態 · Disable：無線服務處於關閉狀態
Maximum clients per BSS	一個BSS中能夠連接的最大客戶端數

1.3 無線接入配置舉例

1.3.1 無線服務典型配置舉例

1. 組網需求

某部門為了保證工作人員可以隨時隨地訪問部門內部的網絡資源，需要通過部署AP實現移動辦公。

具體要求如下：

· AP通過二層交換機與AC相連。AP的序列ID為210235A29G007C000020，使用手工輸入序列號方式。

· AP提供SSID為service1的明文方式的無線接入服務。

· 采用802.11n（2.4GHz）射頻模式。

圖1-28 無線服務組網圖

2. 配置AC

(1) 創建AP。

步驟1：在導航欄中選擇“AP > AP設置”。

步驟2：單擊<新建>按鈕，進入AP新建頁麵。

步驟3：進行如下配置，如下圖所示。

· 設置AP名稱為“ap”。

· 選擇型號為“WA2620-AGN”。

· 選擇序列號方式為“手動”，並輸入AP的序列號。

步驟4：單擊<確定>按鈕完成操作。

圖1-29 創建AP

(2) 配置無線服務

步驟1：在導航欄中選擇“無線服務 > 接入服務”。

步驟2：單擊<新建>按鈕，進入無線服務新建頁麵。

步驟3：進行如下配置，如下圖所示。

· 設置無線服務名稱為“service1”。

· 選擇無線服務類型為“clear”。

步驟4：單擊<確定>按鈕完成操作。

圖1-30 創建無線服務

步驟5：開啟無線服務。在導航欄中選擇“無線服務 > 接入服務”，進入如下圖所示頁麵。

· 選中“service1”前的複選框。

· 單擊<開啟>按鈕完成操作。

圖1-31 開啟無線服務

(3) 綁定AP的射頻

步驟1：在導航欄中選擇“無線服務 > 接入服務”。

步驟2：單擊無線服務“service1”對應的圖標，進入如下圖所示頁麵。

步驟3：選中“ap 802.11n（2.4GHz）”前的複選框。

步驟4：單擊<綁定>按鈕完成操作。

圖1-32 綁定AP的射頻

(4) 開啟802.11n（2.4GHz）射頻

步驟1：在導航欄中選擇“射頻 > 射頻設置”，進入下圖所示射頻設置頁麵。

步驟2：在列表裏找到需要開啟的AP名稱及相應的射頻模式，選中“ap 802.11n（2.4GHz）”前的複選框。

步驟3：單擊<開啟>按鈕完成操作。

圖1-33 開啟802.11n（2.4GHz）射頻

3. 驗證配置結果

(1) 客戶端可以成功關聯AP，並且可以訪問無線網絡。

(2) 在導航欄中選擇“概覽 > 客戶端”，進入如下圖所示頁麵，可以查看到成功上線的客戶端。

圖1-34 查看成功上線的客戶端

4. 配置注意事項

配置無線服務前需要選擇正確的區域碼。