RSN安全服務(wù)ESS配置案例_第1頁
RSN安全服務(wù)ESS配置案例_第2頁
RSN安全服務(wù)ESS配置案例_第3頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、1簡(jiǎn)介本文檔介紹RSN安全服務(wù)ESS配置案例。2配置前提本文檔不嚴(yán)格與具體軟、硬件版本對(duì)應(yīng),如果使用過程中與產(chǎn)品實(shí)際情況有差異,請(qǐng)參考相關(guān)產(chǎn)品手冊(cè),或以設(shè)備實(shí)際情況為準(zhǔn)。本文檔中的配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證,配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對(duì)設(shè)備進(jìn)行了配置,為了保證配置效果,請(qǐng)確認(rèn)現(xiàn)有配置和以下舉例中的配置不沖突。本文檔假設(shè)您已了解WLAN安全特性。3配置舉例3.1組網(wǎng)需求如圖1所示,AP通過交換機(jī)與AC相連,AC作為DHCP服務(wù)器為AP和Client分配IP地址,通過配置AP提供SSID為office-rsn的加密方式無線接入,確保用戶可以安全可靠的傳輸數(shù)據(jù)

2、。圖1RSN安全服務(wù)ESS配置舉例組網(wǎng)圖ACDHCPse<vefVia1016i1/24呂*ilchClicn:3.2配置思路為實(shí)現(xiàn)AP提供RSN加密方式的無線接入,配置無線服務(wù)功能,使用open-system方式認(rèn)證并在WLAN服務(wù)模板視圖下使能安全信息元素。3.3配置注意事項(xiàng)開啟無線側(cè)的端口安全功能時(shí),請(qǐng)確保該端口的802.1X功能或MAC地址認(rèn)證功能處于關(guān)閉狀態(tài)。對(duì)于無線局域網(wǎng)來說,802.1X認(rèn)證可以由客戶端主動(dòng)發(fā)起認(rèn)證,或由無線模塊發(fā)現(xiàn)用戶后自動(dòng)觸發(fā)認(rèn)證,而不需要通過端口定期發(fā)送802.1X的組播報(bào)文的方式來觸發(fā)。同時(shí),組播觸發(fā)報(bào)文會(huì)占用無線的通信帶寬,因此建議無線局域網(wǎng)中的接

3、入設(shè)備關(guān)閉802.1X組播觸發(fā)功能。配置AP的序列號(hào)時(shí)請(qǐng)確保該序列號(hào)與AP唯一對(duì)應(yīng),AP的序列號(hào)可以通過AP設(shè)備背面的標(biāo)簽獲取。3.4配置步驟3.4.1AC的配置(1) 啟動(dòng)端口安全#在AC上開啟端口安全功能。<AC>system-viewACport-securityenable(2) 配置AC的IP地址#創(chuàng)建VLAN100及其對(duì)應(yīng)的VLAN接口,并為該接口配置IP地址。AC將使用該接口的IP地址與AP建立LWAPP隧道。同時(shí)VLAN100作為無線用戶接入的VLAN。ACvlan100AC-vlan100quitACinterfacevlan-interface100AC-int

4、-vlan-100ipaddress10.18.1.124AC-int-vlan-100quit(3) 配置DHCP服務(wù)#使能DHCP服務(wù)。ACdhcpenable#配置DHCP地址池vlan100為AP和Client動(dòng)態(tài)分配的網(wǎng)段為10.18.1.0/24,網(wǎng)關(guān)地址為10.18.1.1。ACdhcpserverip-poolvlan100AC-dhcp-pool-vlan100network10.18.1.024AC-dhcp-pool-vlan100gateway-list10.18.1.1AC-dhcp-pool-vlan100quit(4) 配置AC的接口#將與Switch相連的接口G

5、igabitEthernet1/0/1的鏈路類型配置為Trunk,當(dāng)前Trunk口的PVID為100,禁止VLAN1通過,允許VLAN100(AC和AP間建立LWAPP隧道和無線用戶接入的VLAN)通過。ACinterfacegigabitethernet1/0/1AC-GigabitEthernet1/0/1portlink-typetrunkAC-GigabitEthernet1/0/1porttrunkpvid100AC-GigabitEthernet1/0/1undoporttrunkpermitvlan1AC-GigabitEthernet1/0/1porttrunkpermitvl

6、an100AC-GigabitEthernet1/0/1quit(5) 配置無線服務(wù)#創(chuàng)建編號(hào)為1的WLAN-ESS接口。ACinterfacewlan-ess1#配置端口的鏈路類型為Hybrid。AC-WLAN-ESS1portlink-typehybrid#配置當(dāng)前Hybrid端口的PVID為100,禁止VLAN1通過并允許VLAN100不帶tag通過。AC-WLAN-ESS1porthybridpvidvlan100AC-WLAN-ESS1undoporthybridvlan1AC-WLAN-ESS1porthybridvlan100untagged#在WLAN-ESS1端口上使能MAC

7、VLAN功能。AC-WLAN-ESS1mac-vlanenable#配置WLAN-ESS1的端口安全模式為psk。AC-WLAN-ESS1port-securityport-modepsk#在接口WLAN-ESS1下使能11key類型的密鑰協(xié)商功能。AC-WLAN-ESS1port-securitytx-key-type11key#在接口WLAN-ESS1下配置預(yù)共享密鑰為12345678。AC-WLAN-ESS1port-securitypreshared-keypass-phrase12345678#關(guān)閉802.1X的組播觸發(fā)功能。AC-WLAN-ESS1undodot1xmulticas

8、t-triggerAC-WLAN-ESS1quit#創(chuàng)建crypto類型的服務(wù)模板1。ACwlanservice-template1crypto#設(shè)置當(dāng)前服務(wù)模板的SSID為office-rsn。AC-wlan-st-1ssidoffice-rsn#將WLAN-ESS1接口綁定到服務(wù)模板1。AC-wlan-st-1bindwlan-ess1#設(shè)置無線客戶端接入該無線服務(wù)(SSID)的認(rèn)證方式為開放式系統(tǒng)認(rèn)證。AC-wlan-st-1authentication-methodopen-system#啟用CCMP加密套件。AC-wlan-st-1cipher-suiteccmp#配置信標(biāo)和探查幀攜

9、帶RSNIE信息。AC-wlan-st-1security-iersn#使能服務(wù)模板。AC-wlan-st-1service-templateenableAC-wlan-st-1quit(6) 配置AP#創(chuàng)建AP管理模板,其名稱為officeap,型號(hào)名為WA2620E-AGN。ACwlanapofficeapmodelWA2620E-AGN# 設(shè)置AP的序列號(hào)為21023529G007C000020。AC-wlan-ap-officeapserial-id21023529G007C000020#設(shè)置radio2的無線接口工作在2.4GHZ的802.11gn模式。AC-wlan-ap-offi

10、ceapradio2typedot11gn#設(shè)置radio2的工作信道為6。AC-wlan-ap-officeap-radio-2channel6#將服務(wù)模板1綁定到AP的radio2上。AC-wlan-ap-officeap-radio-2service-template1# 使能AP的radio2。AC-wlan-ap-officeap-radio-2radioenableAC-wlan-ap-officeap-radio-2return3.4.2Switch的配置#創(chuàng)建VLAN100,用于轉(zhuǎn)發(fā)AC和AP間LWAPP隧道內(nèi)的流量和無線用戶的接入。<Switch>system-v

11、iewSwitchvlan100Switch-vlan100quit# 配置Switch與AC相連的GigabitEthernet1/0/1接口的屬性為Trunk,當(dāng)前Trunk口的PVID為100,,禁止VLAN1通過,允許VLAN100通過。Switchinterfacegigabitethernet1/0/1Switch-GigabitEthernet1/0/1portlink-typetrunkSwitch-GigabitEthernet1/0/1undoporttrunkpermitvlan1Switch-GigabitEthernet1/0/1porttrunkpermitvlan

12、100Switch-GigabitEthernet1/0/1porttrunkpvidvlan100Switch-GigabitEthernet1/0/1quit# 配置Switch與AP相連的GigabitEthernet1/0/2接口屬性為Access,當(dāng)前Access口允許VLAN100通過。Switchinterfacegigabitethernet1/0/2Switch-GigabitEthernet1/0/2portlink-typeaccessSwitch-GigabitEthernet1/0/2portaccessvlan100# 配置Switch與AP相連的GigabitEt

13、hernet1/0/2接口使能PoE功能。Switch-GigabitEthernet1/0/2poeenableSwitch-GigabitEthernet1/0/2quit3.5驗(yàn)證配置#使用displaywlanclientverbose命令,可以看到客戶端采用RSN、CCMP加密認(rèn)證方式接入無線網(wǎng)絡(luò)。ACdisplaywlanclientverboseTotalNumberofClients:1ClientInformationMACAddress:0021-631e-7911UserName:-NA-AID:1APName:officeapRadioId:2SSID:office-r

14、snBSSID:5866-ba28-2b70Port:WLAN-DBSS1:9VLAN:100State:RunningPowerSaveMode:ActiveWirelessMode:11gnChannelBand-width:20MHzSMPowerSaveEnable:DisabledShortGIfor20MHz:SupportedShortGIfor40MHz:NotSupportedSupportMCSSet:0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23BLOCKACK-TID0:BOTHBLOCKACK-TID1:OUTBLOCKACK-TID7:OUTQoSMode:WMMListenInterval(BeaconInterval):1RSSIRx/TxRate:42:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論