TCPIP路由交換技術(shù)（第二版）課件 項(xiàng)目12 組建安全的無線局域網(wǎng)

項(xiàng)目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)目標(biāo)

了解WLAN安全技術(shù)了解WLAN認(rèn)證技術(shù)掌握WLAN安全策略

學(xué)會(huì)WLAN安全加密配置思維導(dǎo)圖了解WLAN安全技術(shù)0

1了解WLAN認(rèn)證技術(shù)02學(xué)會(huì)WLAN安全策略03無線FIT模式多SSID的安全加密04CONTENTS目錄學(xué)習(xí)任務(wù)12.1了解WLAN安全技術(shù)12.1.1

WLAN的安全威脅數(shù)據(jù)容易被竊取、攔截、篡改無線信號容易被黑客或惡意用戶竊取、篡改或攔截，從而引發(fā)一系列安全問題。例如，攻擊者可以利用無線信號漏洞來竊取WLAN用戶的賬戶、密碼等個(gè)人敏感信息接入網(wǎng)絡(luò)，或通過網(wǎng)絡(luò)釣魚等手段誘騙用戶輸入個(gè)人信息，再利用信息進(jìn)行詐騙和其他不法行為。地址欺騙由于IEEE802.11系列協(xié)議中網(wǎng)絡(luò)對數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，所以攻擊者通常會(huì)檢測到授權(quán)設(shè)備(如AP)的MAC地址，并嘗試冒充授權(quán)設(shè)備建立連接。MAC地址欺騙攻擊主要利用了局域網(wǎng)內(nèi)交換機(jī)的轉(zhuǎn)發(fā)特性和MAC地址學(xué)習(xí)特性。這種攻擊方式相對隱蔽，攻擊者不會(huì)大規(guī)模地發(fā)送數(shù)據(jù)包，而是發(fā)送含有幾個(gè)特定源MAC地址的數(shù)據(jù)包。由于交換機(jī)MAC地址表都具有一定的空間限制，當(dāng)MAC地址表被占滿后，就無法學(xué)習(xí)到新的MAC地址，因此，MAC地址的洪范就破壞了整個(gè)局域網(wǎng)的可用性。拒絕服務(wù)拒絕服務(wù)（Dos）攻擊也是WLAN常見的一種網(wǎng)絡(luò)攻擊方式，其主要目的是通過發(fā)送大量無用的請求或數(shù)據(jù)包來占用系統(tǒng)資源，使系統(tǒng)無法處理合法用戶的正常請求或數(shù)據(jù)流，從而導(dǎo)致系統(tǒng)過載、崩潰或拒絕服務(wù)。WEP秘鑰攻擊WEP密鑰的攻擊主要是由于其加密存在嚴(yán)重缺陷，使得攻擊者可以在一定條件下破解密鑰，從而獲得對無線網(wǎng)絡(luò)資源的訪問權(quán)限。在WLAN中，當(dāng)攻擊者截獲到AP區(qū)域內(nèi)的數(shù)據(jù)包，同時(shí)獲取到足夠多的弱秘鑰加密包，通過統(tǒng)計(jì)分析更多使用相同密鑰流加密的密文，將密鑰流與密文進(jìn)行XOR操作，一旦其中一個(gè)明文已知，很容易就可以恢復(fù)所有其他的。Rogue設(shè)備入侵WLAN中的Rogue設(shè)備入侵是指未經(jīng)授權(quán)的設(shè)備接入企業(yè)網(wǎng)絡(luò)（如圖12-2所示），例如攻擊者將未經(jīng)授權(quán)的RogueAP連接到授權(quán)網(wǎng)絡(luò)上，出現(xiàn)惡意雙胞胎AP，并通過RogueAP繞過企業(yè)網(wǎng)絡(luò)的邊界防護(hù)，在內(nèi)網(wǎng)中暢行無阻。此外，隔壁鄰居AP也是需要防備的一種Rogue設(shè)備，如在公司旁的餐館、咖啡店內(nèi)部署的外部AP，當(dāng)員工使用企業(yè)授權(quán)過的移動(dòng)客戶端連接到這些咖啡店網(wǎng)絡(luò)的鄰居AP時(shí)，就能夠繞過公司防火墻設(shè)置的邊界安全和安全限制，將威脅不經(jīng)意間帶進(jìn)企業(yè)內(nèi)網(wǎng)。12.1.2

WLAN的安全措施WLAN的安全措施213加密技術(shù)加密技術(shù)是保障無線網(wǎng)絡(luò)WIAN安全性的基礎(chǔ)。通過對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以有效地防止數(shù)據(jù)被竊聽或篡改。WEP加密WPA/WPA2加密認(rèn)證機(jī)制為了防止未經(jīng)授權(quán)的用戶接入無線局域網(wǎng)，可以采用認(rèn)證方法。常見的認(rèn)證方法包括基于密碼的認(rèn)證基于MAC地址的認(rèn)證基于證書的認(rèn)證系統(tǒng)防護(hù)為為了防止惡意攻擊，無線網(wǎng)絡(luò)WIAN可采用防護(hù)措施無線入侵檢測系統(tǒng)WIDS無線入侵防御系統(tǒng)WIPS加密技術(shù)——WEP加密WEP（WiredEquivalentPrivacy）是有線等效保密協(xié)議的簡稱，是一種無線網(wǎng)絡(luò)加密技術(shù)，它是IEEE802.11標(biāo)準(zhǔn)的一部分，旨在為無線網(wǎng)絡(luò)提供數(shù)據(jù)加密和基本的安全性。WEP使用RC4流式密碼算法對數(shù)據(jù)進(jìn)行加密，并采用CRC-32校驗(yàn)和來檢測數(shù)據(jù)完整性。加密過程中，WEP使用一個(gè)共享密鑰和一個(gè)初始化向量（IV）作為輸入，通過密鑰生成函數(shù)生成一個(gè)密鑰流，然后與明文數(shù)據(jù)進(jìn)行XOR運(yùn)算，生成密文數(shù)據(jù)，接收端則使用相同的算法和密鑰對密文數(shù)據(jù)進(jìn)行解密，恢復(fù)出原始數(shù)據(jù)。加密技術(shù)——WPA/WPA2加密WPA/WPA2（Wi-FiProtectedAccess）是一種Wi-Fi安全訪問保護(hù)協(xié)議，通過使用預(yù)設(shè)共享密鑰（Pre-SharedKey，簡稱PSK）來保護(hù)無線局域網(wǎng)的通信安全，同時(shí)，通過使用AES（AdvancedEncryptionStandard，高級加密標(biāo)準(zhǔn)）算法對數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)的機(jī)密性。認(rèn)證機(jī)制123基于密碼的認(rèn)證需要用戶提供正確的用戶名和密碼，才能接入無線局域網(wǎng)，在密碼策略上包括密碼復(fù)雜度要求、密碼過期機(jī)制和登錄失敗鎖定等戰(zhàn)?；贛AC地址的認(rèn)證是將用戶的MAC地址添加到無線局域網(wǎng)的訪問控制列表中，只有在列表中的MAC地址才能訪問無線局域網(wǎng)?；谧C書的認(rèn)證則是使用數(shù)字證書來驗(yàn)證用戶的身份。系統(tǒng)防護(hù)——WIDS無線入侵檢測系統(tǒng)WIDS01無線入侵檢測系統(tǒng)WIDS工作的主要特點(diǎn)：無線網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測：無線入侵檢測系統(tǒng)WIDS可以按照預(yù)設(shè)的安全規(guī)則和策略，對網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)測；入侵檢測與威脅識別：當(dāng)監(jiān)聽到與預(yù)設(shè)規(guī)則相匹配的非法AP、網(wǎng)橋、STA和信道重合的干擾AP，或者非法的網(wǎng)絡(luò)時(shí)，WIDS就會(huì)觸發(fā)警報(bào)，并將相關(guān)信息發(fā)送給網(wǎng)絡(luò)管理員，幫助管理員及時(shí)發(fā)現(xiàn)潛在的威脅，并采取相應(yīng)的措施進(jìn)行應(yīng)對。系統(tǒng)防護(hù)——WIPS無線入侵防御系統(tǒng)WIPS02無線入侵防御系統(tǒng)WIPS的主要特點(diǎn)：無線網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測：通過監(jiān)聽無線信號，對無線網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控和檢測。這種監(jiān)測包括了對網(wǎng)絡(luò)流量、設(shè)備行為以及異常事件的觀察和分析。入侵檢測與威脅識別：具有強(qiáng)大的入侵檢測功能，能夠通過分析收集到的數(shù)據(jù)包，識別出各種潛在的威脅和入侵行為。這些威脅包括惡意攻擊、未經(jīng)授權(quán)的訪問、病毒傳播等。自動(dòng)防御與阻斷：一旦檢測到威脅或入侵行為，WIPS將立即啟動(dòng)自動(dòng)防御機(jī)制。包括阻止惡意流量、隔離可疑設(shè)備、向管理員發(fā)送警報(bào)等措施，以防止威脅進(jìn)一步擴(kuò)大。動(dòng)態(tài)安全策略：能夠根據(jù)威脅的類型和嚴(yán)重程度，動(dòng)態(tài)調(diào)整安全策略。例如，對于某些已知的惡意IP地址，WIPS可以自動(dòng)將其加入黑名單，禁止其訪問無線網(wǎng)絡(luò)。持續(xù)學(xué)習(xí)與更新：WIPS具備學(xué)習(xí)能力，能夠根據(jù)網(wǎng)絡(luò)環(huán)境和威脅的變化進(jìn)行自我調(diào)整和更新，這有助于應(yīng)對不斷變化的網(wǎng)絡(luò)威脅，提高系統(tǒng)的防御能力。下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項(xiàng)目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)任務(wù)12.2了解WLAN認(rèn)證技術(shù)開放系統(tǒng)認(rèn)證這種認(rèn)證方式相當(dāng)于不進(jìn)行認(rèn)證，當(dāng)STA向AP發(fā)送認(rèn)證請求幀時(shí)，AP對所有用戶立即回應(yīng)認(rèn)證成功的響應(yīng)報(bào)文。比如在生活中，我們的手機(jī)搜索到某個(gè)無線網(wǎng)絡(luò)，如果此無線網(wǎng)絡(luò)采用的是開放性系統(tǒng)認(rèn)證，那么你就不需要輸入任何有關(guān)密鑰等認(rèn)證憑證，系統(tǒng)就會(huì)提示你已經(jīng)關(guān)聯(lián)上了此無線網(wǎng)絡(luò)。如果使用開放認(rèn)證，任何知道無線SSID的用戶都可以訪問網(wǎng)絡(luò)，顯然，開放系統(tǒng)認(rèn)證無法檢驗(yàn)客戶端是否是一黑客共享密鑰認(rèn)證配置共享密鑰認(rèn)證，需要在無線網(wǎng)絡(luò)中使用WEP（WiredEquivalentPrivacy）加密技術(shù)，要求STA（客戶端）和AP（接入點(diǎn)）使用相同的共享密鑰，該密鑰通常被稱為WEP密鑰。MAC認(rèn)證在無線網(wǎng)絡(luò)WLAN中，MAC認(rèn)證是一種基于物理地址的認(rèn)證方法。預(yù)先在設(shè)備（認(rèn)證服務(wù)器或無線控制器）上配置允許訪問的MAC地址列表（MAC白名單列表），如果客戶端的MAC地址不在這個(gè)MAC地址表（MAC黑名單）中，那么將被拒絕接入網(wǎng)絡(luò)。IEEE802.1X認(rèn)證IEEE802.1X認(rèn)證是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，是IEEE指定的關(guān)于用戶接入無線局域網(wǎng)WLAN的認(rèn)證標(biāo)準(zhǔn)，用于在局域網(wǎng)接入設(shè)備的端口這一級，對所接入的用戶設(shè)備通過認(rèn)證來控制其對網(wǎng)絡(luò)資源的訪問。Portal認(rèn)證Portal認(rèn)證是一種基于Web的認(rèn)證方式，也稱為Web認(rèn)證。它是一種通過用戶主動(dòng)訪問特定的Web頁面，進(jìn)行身份驗(yàn)證的方法。在無線網(wǎng)絡(luò)中，Portal認(rèn)證通常用于控制用戶訪問網(wǎng)絡(luò)資源，確保只有經(jīng)過認(rèn)證的用戶才能接入網(wǎng)絡(luò)。

Portal認(rèn)證典型組網(wǎng)方式下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項(xiàng)目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院學(xué)習(xí)任務(wù)12.3掌握WLAN安全策略12.3.1

WEP安全策略WEP安全特點(diǎn)WEP是由802.11標(biāo)準(zhǔn)定義的一種無線網(wǎng)絡(luò)加密標(biāo)準(zhǔn)，旨在為無線網(wǎng)絡(luò)提供與有線網(wǎng)絡(luò)相當(dāng)?shù)陌踩?。WEP使用RC4流密碼算法，采用24位的初始向量和64位或128位的密鑰長度。其安全性主要依賴于RC4流密碼算法和IV（初始化向量）的隨機(jī)性。要提高WEP加密的安全性，可以采取以下措施：強(qiáng)密碼是保護(hù)無線網(wǎng)絡(luò)的第一道防線。應(yīng)選擇包含大小寫字母、數(shù)字和特殊字符的強(qiáng)密碼，以防止暴力破解攻擊使用更強(qiáng)的密碼定期更換密碼可以防止被不法分子長期攻擊。建議至少每3個(gè)月更換一次密碼。定期更換密碼使用多組WEP密鑰可以增加安全性使用多組WEP密鑰隱藏?zé)o線網(wǎng)絡(luò)標(biāo)識符可以防止未授權(quán)用戶發(fā)現(xiàn)和接入您的無線網(wǎng)絡(luò)。禁用SSID廣播WEP安全配置實(shí)例

WEP安全配置實(shí)例拓?fù)鋱D序號設(shè)備數(shù)據(jù)規(guī)劃1交換機(jī)3560Gi0/1IP地址：54/24在交換機(jī)上啟用DHCP服務(wù)動(dòng)態(tài)地址池：/24DNS：2無線AP-PT-NSSID：AP-5305Channel：11時(shí)啟用WEP安全策略，秘鑰：ABCD5305AA3無線工作站STA1時(shí)啟用WEP安全策略，動(dòng)態(tài)獲取IP4無線工作站STA2時(shí)啟用WEP安全策略，動(dòng)態(tài)獲取IPWEP安全配置數(shù)據(jù)規(guī)劃實(shí)施步驟1.配置三層交換機(jī)SWconfig)#interfacegigabitEthernet1/1SW(config-if)#ipaddress54SW(config-if)#noshSW(config)#ipdhcppoolAPSW(dhcp-config)#networkSW(dhcp-config)#default-router54SW(dhcp-config)#dns-server.12.AP的配置實(shí)施步驟3.無線工作站STA和STB的配置實(shí)施步驟實(shí)施步驟4.測試12.3.2

WPA/WPA2安全策略WPA協(xié)議是一種保護(hù)無線網(wǎng)絡(luò)(WiFi)安全的系統(tǒng)，它是在前一代有線等效加密(WEP)的基礎(chǔ)上產(chǎn)生的，解決了前任WEP的缺陷問題，它使用TKIP(臨時(shí)密鑰完整性)協(xié)議，是IEEE802.11i標(biāo)準(zhǔn)中的過渡方案.WPA采用有效的密鑰分發(fā)機(jī)制，可以跨越不同廠商的無線網(wǎng)卡實(shí)現(xiàn)應(yīng)用。它作為WEP的升級版，在安全的防護(hù)上比WEP更為周密，主要體現(xiàn)在身份認(rèn)證、加密機(jī)制和數(shù)據(jù)包檢查等方面，而且它還提升了無線網(wǎng)絡(luò)的管理能力。WPAWPA2是WiFi聯(lián)盟驗(yàn)證過的IEEE802.11i標(biāo)準(zhǔn)的認(rèn)證形式，WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素，特別是Michael算法被公認(rèn)徹底安全的CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)訊息認(rèn)證碼所取代、而RC4加密算法也被AES所取代。而且除了加密和認(rèn)證機(jī)制，WPA/WPA2還提供了其他一些安全功能，例如防止暴力破解攻擊和MAC地址過濾等。這些功能可以幫助保護(hù)無線網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問和攻擊WPA2WPA2的配置命令A(yù)C(config)#wlansec1進(jìn)入無線安全配置模式AC(config-wlansec)#securityrsnenable使能WPA2加密AC(config-wlansec)#securityrsnciphersaesenable配置AES加密AC(config-wlansec)#securityrsnakmpskenable配置PSK加密AC(config-wlansec)#securityrsnakmpskset-keyascii

12345678配置加密密碼為12345678AC(config-wlansec)#end退出銳捷無線控制器的WPA2的配置命令思政小課堂轉(zhuǎn)型過程中的能力提升工匠型人才在轉(zhuǎn)型過程中需要提升智能化技術(shù)應(yīng)用能力、數(shù)據(jù)分析能力、創(chuàng)新思維能力等。轉(zhuǎn)型后的角色轉(zhuǎn)變智匠型人才不僅需要具備傳統(tǒng)工匠的技能，還需要具備技術(shù)創(chuàng)新、團(tuán)隊(duì)協(xié)作、終身學(xué)習(xí)和網(wǎng)絡(luò)安全防范等能力。智能化技術(shù)推動(dòng)轉(zhuǎn)型隨著人工智能、大數(shù)據(jù)等技術(shù)的不斷發(fā)展，傳統(tǒng)工匠型人才已無法滿足時(shí)代需求，需要向智匠型人才轉(zhuǎn)型。工匠型人才向智匠型人才轉(zhuǎn)型趨勢技術(shù)創(chuàng)新引領(lǐng)者智匠型人才應(yīng)具備創(chuàng)新思維和技術(shù)研發(fā)能力，能夠推動(dòng)網(wǎng)絡(luò)安全技術(shù)的不斷創(chuàng)新和發(fā)展。網(wǎng)絡(luò)安全守護(hù)者智匠型人才應(yīng)具備網(wǎng)絡(luò)安全意識，能夠利用智能化技術(shù)防范和應(yīng)對網(wǎng)絡(luò)攻擊，保障網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行。團(tuán)隊(duì)協(xié)作核心成員智匠型人才應(yīng)具備良好的團(tuán)隊(duì)協(xié)作精神和溝通能力，能夠與團(tuán)隊(duì)成員緊密合作，共同應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)。智匠型人才在網(wǎng)絡(luò)安全領(lǐng)域的角色定位持續(xù)更新知識體系智匠型人才需要樹立終身學(xué)習(xí)理念，不斷關(guān)注新技術(shù)、新動(dòng)態(tài)，持續(xù)更新自身知識體系。多元化學(xué)習(xí)方式智匠型人才應(yīng)通過參加培訓(xùn)、研討會(huì)、在線課程等多元化學(xué)習(xí)方式，不斷提升自身專業(yè)技能和綜合素質(zhì)。實(shí)踐與反思相結(jié)合智匠型人才應(yīng)注重將理論知識與實(shí)踐經(jīng)驗(yàn)相結(jié)合，通過反思和總結(jié)不斷提升自身能力水平。終身學(xué)習(xí)理念貫穿智匠型人才成長全過程下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院CLASSOVER,THANKYOU!項(xiàng)目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術(shù)學(xué)院項(xiàng)目實(shí)戰(zhàn)任務(wù)12.4無線FIT模式多SSID的安全加密你是某公司的網(wǎng)管，由于無線信號沒有進(jìn)行加密，任何人都可以隨意接入，對網(wǎng)絡(luò)帶寬和安全造成很大影響，針對此現(xiàn)象，你決定對無線網(wǎng)絡(luò)進(jìn)行加密，而且對財(cái)務(wù)部和銷售部采用WPA2安全策略，只有知道這兩個(gè)部門無線密碼的人才能加入該部門的網(wǎng)絡(luò)。具體任務(wù)就是將網(wǎng)絡(luò)設(shè)備按照拓?fù)鋱D結(jié)構(gòu)進(jìn)行連接、完成相關(guān)IP地址規(guī)劃、基礎(chǔ)配置及無線加密配置、驗(yàn)證無線用戶接入需要密碼確認(rèn)

項(xiàng)目背景12.4.1

實(shí)施條件采用銳捷AP作為無線接入點(diǎn)，AC作為無線控制器集中控制AP和數(shù)據(jù)轉(zhuǎn)發(fā)，交換機(jī)SW和POE供電模塊為AP進(jìn)行供電。實(shí)施條件SWSTASTBG0/1Gi0/1Gi0/24G0/112.4.2

數(shù)據(jù)規(guī)劃相關(guān)IP數(shù)據(jù)及信息規(guī)劃如下：1．Lo0:/32--AC和AP建立CAPWAP隧道接口；2．SVI10:/24--AP管理地址網(wǎng)關(guān)；3．SVI20:/24--SW管理地址；4．SVI30:/24一財(cái)務(wù)部用戶網(wǎng)關(guān)地址；5．SVI40:/24一銷售部用戶網(wǎng)關(guān)地址；SVI4000:/30--SW和AC互聯(lián)地址段AP、SW和用戶的網(wǎng)關(guān)均放置于SW上數(shù)據(jù)規(guī)劃12.4.3

實(shí)施步驟（1）在Poe交換機(jī)上配置基本遠(yuǎn)程管理功能，并創(chuàng)建AP管理VLAN10、Poe交換機(jī)管理VLAN20、無線用戶VLAN30、40和Poe交換機(jī)與AC互聯(lián)VLAN4000。交換機(jī)基礎(chǔ)配置SW(config)#VLAN10創(chuàng)建VLAN10SW(config-vlan)#nameAP-Guanli命名VLAN10為AP-GuanliSW(config)#VLAN20創(chuàng)建VLAN20SW(config-vlan)#nameSW-Guanli命名VLAN20為SW-GuanliSW(config)#VLAN30創(chuàng)建VLAN30SW(config-vlan)#namecaiwu-Wifi命名VLAN30為caiwu-WifiSW(config)#VLAN40創(chuàng)建VLAN40SW(config-vlan)#namexiaoshou-Wifi命名VLAN40為xiaoshou-WifiSW(config)#

VLAN4000創(chuàng)建VLAN4000SW(config-vlan)#nameLink--AC-VLAN4000命名VLAN4000為Link--AC-VLAN4000SW(config-vlan)#exit退出（2）將交換機(jī)端口Gi0/1設(shè)置為access接口屬于VLAN10，Gi0/24配置為Trunk接口，并對Trunk接口進(jìn)行VLAN修剪優(yōu)化。交換機(jī)基礎(chǔ)配置SW(config)#interfacegigabitEthernet0/1進(jìn)入端口配置模式配置端口Gi0/1SW(config-if)#poeenable開啟poe供電功能SW(config-if)#switchportaccessvlan10把該端口配置為access接口SW(config-if)#exit退出SW(config)#interfacegigabitEthernet0/24進(jìn)入端口配置模式配置端口Gi0/24SW(config-if)#switchportmodetrunk把該端口配置為Trunk接口SW(config-if)#switchporttrunkallowedvlanremove1-29,31-3999,4001-4094將Trunk接口不必要的VLAN修剪掉，防止VLAN廣播泛洪SW(config-if)#descriptionLINK—AC-G0/1--接口描述SW(config-if)#exit退出SW(config)#showinterfacesgigabitEthernet0/24switchport查看端口Gi0/24的信息，同時(shí)也可以用于查看Gi0/1信息（3）在Poe交換機(jī)上創(chuàng)建無線用戶VLAN、AP管理VLAN、Poe交換機(jī)管理VLAN和Poe交換機(jī)與AC互聯(lián)VLAN的SVI地址，并且配置指向AC的loopback接口明細(xì)路由。

交換機(jī)基礎(chǔ)配置SW(config)#interfaceVLAN10進(jìn)入VLAN10的SVI接口SW(config-if-VLAN10)#description對AP的網(wǎng)關(guān)SVI接口描述為AP-GuanliSW(config-if-VLAN10)#ipaddress配置AP管理地址的網(wǎng)關(guān)SVI地址SW(config)#interfaceVLAN20進(jìn)入VLAN20的SVI接口SW(config-if-VLAN20)#descriptionSW-Guanli命名VLAN20為SW-GuanliSW(config-if-VLAN20)#ipaddress配置Poe交換機(jī)的管理IP地址SW(config)#interfaceVLAN30進(jìn)入VLAN30的SVI接口SW(config-if-VLAN30)#descriptioncaiwu-Wifi描述VLAN30為caiwu-WifiSW(config-if-VLAN30)#ipaddress配置財(cái)務(wù)部無線用戶的網(wǎng)關(guān)SVI地址SW(config)#interfaceVLAN40進(jìn)入VLAN40的SVI接口SW(config-if-VLAN30)#descriptionxiaoshou-Wifi描述VLAN40為xiaoshou-WifiSW(config-if-VLAN30)#ipaddress配置銷售部無線用戶的網(wǎng)關(guān)SVI地址SW(config)#interfaceVLAN4000進(jìn)入VLAN4000的SVI接口SW(config-if-VLAN4000)#descriptionLink--AC-VLAN4000--對SVI接口描述為Link--AC-VLAN4000SW(config-if-VLAN4000)#ipaddress52配置與AC互聯(lián)VLAN的IP地址SW(config)#iproute55添加指向AC的LO0明細(xì)路由SW(config)#showipinterfacebrief查看接口IP地址配置（4）在交換機(jī)上創(chuàng)建無線用戶和AP管理的DHCP地址池。交換機(jī)基礎(chǔ)配置SW(config)#servicedhcp開啟DHCP功能，默認(rèn)DHCP功能關(guān)閉SW(config)#ipdhcppoolAP-Guanli創(chuàng)建AP的DHCP地址池SW(dhcp-config)#option138ip配置APoption138字段指向AC的Lo0SW(dhcp-config)#network指定APDHCP分發(fā)地址段SW(dhcp-config)#default-router指定AP的網(wǎng)關(guān)地址SW(dhcp-config)#exit退出SW(config)#ipdhcppoolcaiwu-Wifi創(chuàng)建財(cái)務(wù)部無線用戶的DHCP地址池SW(dhcp-config)#network指定財(cái)務(wù)部無線用戶DHCP分發(fā)地址段SW(dhcp-config)#default-router指定財(cái)務(wù)部無線用戶的網(wǎng)關(guān)地址SW(config)#ipdhcppoolxiaoshou-Wifi創(chuàng)建銷售部無線用戶的DHCP地址池SW(dhcp-config)#network指定銷售部無線用戶DHCP分發(fā)地址段SW(dhcp-config)#default-router指定銷售部無線用戶的網(wǎng)關(guān)地址（1）在AC上配置基本遠(yuǎn)程管理功能，添加無線用戶VLAN和與核心互聯(lián)的VLAN，并創(chuàng)建核心互聯(lián)VLAN的SVI接口地址和loopback0的接口IP，將AC的G0/1接口配置為Trunk接口，進(jìn)行VLAN修剪；添加默認(rèn)路由指向Poe交換機(jī)。無線控制器基礎(chǔ)配置Ruijie#configureterminal從特權(quán)模式進(jìn)入到全局模式Ruijie(config)#hostnameAC對AC進(jìn)行命名AC(config)#usernameadminpasswordruijie創(chuàng)建用戶名和密碼AC(config)#linevty04進(jìn)入虛線路AC(config-line)#loginlocal采用本地用戶認(rèn)證AC(config)#VLAN30創(chuàng)建VLAN30AC(config-vlan)#namecaiwu-Wifi命名VLAN30為caiwu-WifiAC(config)#VLAN40創(chuàng)建VLAN40AC(config-vlan)#namexiaoshou-Wifi命名VLAN40為xiaoshou-WifiAC(config)#VLAN4000創(chuàng)建VLAN4000AC(config-vlan)#nameLink--SW-VLAN4000命名VLAN4000為Link--SW-VLAN4000AC(config)#interfacevlan4000進(jìn)入VLAN4000的SVI接口AC(config-if-VLAN4000)#descriptionLink--SW-VLAN4000對VLAN4000的SVI接口進(jìn)行描述AC(config-if-VLAN4000)#ipaddress52配置VLAN4000的SVI接口地址AC(config)#interfacegi0/1進(jìn)入G0/1接口AC(config-if)#switchportmodetrunk配置G0/1接口為Trunk接口AC(config-if)#switchporttrunkallvlanremove1-29,31-3999,4001-4094將不必要VLAN在Trunk口進(jìn)行修剪AC(config-if)#descriptionLink--SW-Gi0/24對G0/1口對端連接情況進(jìn)行描述AC(config)#interfaceloopback0進(jìn)入loopback0接口AC(config-if)#ipaddress55配置loopback0接口IP地址AC(config-if)#descriptionCAPWAP對loopback0接口進(jìn)行描述AC(config)#iproute添加默認(rèn)路由，保證loopback0能夠和AP管理網(wǎng)段路由互通（2）AP和AC的版本同步，AP和AC的版本必須一致，否則可能導(dǎo)致CAPWAP隧道異常發(fā)生。（注：可以先查看AP和AC的版本，如果AC和AP的版本一致，則不需要此版本同步過程）無線控制器基礎(chǔ)配置AC#copytftp://x.x.x.x/xxx.binflash:AP720I.bin將AP的主程序TFTP導(dǎo)入無線控制器AC(config)#ac-controller進(jìn)入AC控制模式AC(config-ac)#active-bin-fileAP720I.bin激活A(yù)P主程序AC(config-ac)#ap-serialAP720AP720-Ihw-verx.x創(chuàng)建AP系列，注：試驗(yàn)中根據(jù)具體實(shí)驗(yàn)設(shè)備進(jìn)行選擇AC(config-ac)#ap-imageAP720I.binAP720將AP系列和AP主程序進(jìn)行關(guān)聯(lián)（3）在AC上創(chuàng)建無線相關(guān)配置，包括WLAN-ID、SSID和ap-group。無線控制器基礎(chǔ)配置AC(config)#wlan-config1caiwubu創(chuàng)建WLAN1的SSID為caiwuAC(config)#wlan-config2xiaoshou創(chuàng)建WLAN1的SSID為xiaoshouAC(config)#ap-groupdefault進(jìn)入ap-g