无线局域网配置与调试.ppt
无线局域网配置与调试,浙江大学网络与信息中心段水福,无线客户端的安装与配置,选中无线网卡,点击属性。,IP地址的配置,机器重新启动后,会发现右下角有个绿色标识在闪烁,表明无线网卡已经正常工作,但并意味这和AP设备以及其他同一网段上的机器网络已经联通。,SSID一定要填写成“Lstelcom_2002”(和AP)中SSID保持一致,设置加密项。选中“encryption”,为和AP设置保持一致,测试联通性,ping 133.56.9.95,Reply 正常,表明组网成功。,通过Console端口建立配置环境。首先通过连接线缆将电脑(大多用笔记本电脑)与AP的控制台端口(Console)连接。即将维护终端的串口通过串口线与AP的串口连接。,AP的配置,通过Telnet 建立配置环境,如果用户已经通过串口正确配置AP的VLAN 接口的IP 地址,并已指定与计算机相连的以太网端口属于该VLAN,这时可以Telnet 配置的IP 地址登录到AP,然后对AP进行配置。,命令行级别,命令行划分为参观级、监控级、系统级和管理级4个级别,分别对应0级、1级、2级和3级,简介如下。参观级:该级别包含的命令有网络诊断工具命令(ping、tracert)、用户界面的语言模式切换命令(language-mode)以及telnet命令等。该级别命令不允许进行配置文件保存的操作。监控级:用于系统维护、业务故障诊断等,包括display、debugging命令。该级别命令不允许进行配置文件保存的操作。系统级:业务配置命令,这些命令用于向用户提供直接网络服务。管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP(Trivial File Transfer Protocol,简单文件传输协议)、XModem下载、用户管理命令和级别设置命令等。,命令行视图,基本配置,配置SSID 首先需要在AP上设置SSID(Service Set ID)标识,并且在无线端口上绑定设置的SSID,与之对接的设备(如无线网卡)才能收到无线端口广播的SSID标识,接入无线局域网络。对一个AP可以设计多个SSID,如华为的WA1208E支持多SSID特性,最多可以配置8个SSID。,2)配置信道,有些AP可支持11a和11g两种射频卡。配置的插卡不同,AP的工作信道也不同。根据AP配置的国家码的不同,在11a和11g模式下可配置的信道也会有所不同。如WA1208E的国家码默认设置为中国,此时可配置信道如下:当使用11a射频卡时,支持5工作信道;当使用11g射频卡时,支持13个信道。用户可以通过命令改变工作的信道。具体操作步骤如下:,配置信道(2),例如:以11g为例,将工作信道改变到2号信道上。H3Cradio module 1 H3C-radio-module1 H3C-radio-module1channel 2 H3C-radio-module1,3)配置VLAN,对VLAN进行配置时,首先应根据需求创建VLAN,之后配置属于VLAN的接口参数等。,4)配置系统IP地址,系统IP配置包括:给VLAN接口指定/删除IP地址;配置主机名和其对应的IP地址;配置静态路由。,1.为VLAN接口指定IP地址,2.配置主机名对应的IP地址,用户可以使用本命令将主机名与主机IP地址相对应。当用户使用Telnet等应用时,可以直接使用主机名,由系统解析为IP地址,而不必使用难于记忆的IP地址。,3.配置静态路由,静态路由是一种由网络管理员手工设置的路由。静态路由应用于组网结构比较简单的网络中。合理设置和使用静态路由可以改进网络的性能,并可为重要的应用保证带宽。可以使用以下步骤配置一条静态路由,实现通过网络对AP进行访问。,5)设置系统名称,本操作可以设置命令行中的系统提示符。,例如:设置命令行的系统提示符是WA1208E。H3Csysname WA1208E WA1208E,6)配置系统时钟,系统时钟的配置有两种方式:使用配置命令配置时间和日期 使用NTP协议设置时间 a)设置当前时间和日期,b)使用NTP协议配置时间,网络时间协议(NTP)是用来在整个网络内发布精确时间的TCP/IP协议,其本身的传输基于UDP。在WA1208E设备上需要执行以下命令配置时间。,7)配置SNMP,通过配置SNMP协议,可以将WA1208E设备添加到上级网管中,实现对设备的管理和维护。,8)配置负载均衡功能,使用多个AP覆盖同一个区域时,可以配置在AP之间交互负载信息实现负载均衡。启用AP的负载均衡功能以后,在接入工作站(STA)时,负载较小的AP允许STA接入,负载较大的AP不允许STA接入。参与负载均衡的AP需要配置以下参数:相同的SSID(该SSID参与负载均衡);相同的负载均衡模式;相同的阀值;对端的IP地址。其中,阀值用来比较各AP间负载相差的程度。当AP间的负载相差程度大于阀值时,如果有用户要求接入参与负载均衡的SSID,负载轻的AP将允许接入,而负载重的AP将不允许接入。,配置负载均衡操作步骤如下。,9)配置IAPP功能,IAPP在IEEE 802.11f中规定,用于AP间访问通信。当一个STA从一个AP的工作范围移动到另一个AP的工作范围时,STA新接入的AP,需要从原接入AP中获得STA信息。通过AP的IAPP功能可以完成两个AP间的通信,实现STA在两台AP之间连接的无缝切换。通过采用Cache技术,可以加快切换速度。IAPP切换只限在同一ESS内进行。IAPP配置原则如下:各AP上必须配置相同的SSID,包括相同的SSID名、密钥、认证方式等;各AP之间通过二层网络可以互通(可以通过以太网口或WDS口互连);各AP都要开启IAPP功能。,配置IAPP的相关命令如下:,10)配置QoS-WMM功能,1.配置QoS功能 QoS(Quality of Service)指数据通信网络在条件允许的情况下能尽力保证预期的带宽、延迟、延迟抖动、丢包率。例如,WA1208E的QoS功能包括以下内容:优先级标识:根据用户配置的流分类或者报文中的信息给报文标上相应的优先级标志。该优先级标志将作为WMM模块转发报文时的队列映射依据,从而实现PQ(Priority Queue)优先级队列,高优先级的报文优先转发。广播报文抑制:将系统转发的广播报文限制在某一带宽之内,如果超出系统设定的带宽,则超出部分被丢弃。如果长时间没有收到报文,则积攒的最大令牌数为令牌桶的容量。流量监控:跟广播报文抑制功能基本相同,只是对SSID的上行或者下行带宽进行限制,超出带宽的数据报文将被丢弃。如果长时间没有收到报文,则积攒的最大令牌数为令牌桶的容量。,配置QoS功能的相关命令,配置WMM功能,通过WMM功能,WA1208E可以实现按照不同优先级来发送报文。总共有四种优先级。可以通过报文中的信息来确定报文优先级,也可以通过配置ACL规则来设定报文优先级。每一种优先级根据竞争参数来单独竞争无线信道。通过改变每个优先级的竞争参数可以改变该优先级的竞争信道的能力。只有接入AP的STA支持WMM,才能实现该功能。网卡与AP的竞争参数都通过AP来配置,AP在网卡接入后将竞争参数实时的下发给网卡。要使用WMM功能时要注意以下几点:必须在无线网卡接入AP前先启用WMM。可以通过报文中的信息来确定报文优先级;也可以通过配置ACL规则,规定匹配该规则的报文按照什么方式区分优先级。竞争参数一般采用默认值。,配置WMM功能的相关命令,无线交换机的配置,无线交换机集中实现了链路层的功能,AP只是实现无线电波的收发功能。除了一些基本信息,例如AP的编号、IP地址、缺省网关、无线交换机地址等参数之外,AP本身不再储存任何无线网络的配置信息。AP在启动的时候会从交换机下载启动脚本和无线电波的配置参数,这些启动脚本和配置参数并不储存在AP上。这种架构下的AP与传统的AP完全不同,不能够单独使用。由于其本身相对传统的AP只集成了无线部分的功能,所以也被业界称为THIN AP。Wireless switching架构有非常好的扩展性,如果需要增加新的功能,可以通过升级交换机的软件来实现,而无须对部署的每一个AP进行升级。,Wireless switching架构的另一大特点是AP和无线交换机之间通过某种隧道进行通信,所有进入AP的无线数据都是通过隧道传输到交换机上进行处理。即使AP和交换机不在同一个局域网内部,远端的AP只须预设相应的隧道参数就可以与无线交换机通过Internet互连。,另外,所有802.11的加密和解密都是在无线交换机上运行,AP上不实现加密和解密的功能。数据从客户端加密之后,通过无线电波传输到AP,再经由有线链路到达位于中心机房或配线间的无线交换机。这种模式下,从客户端到AP再到无线交换机整条路径上的数据都是加密传输的。业界称这种模式为集中加密/解密。简而言之,Wireless switching架构将无线电波的收发功能和无线网络的链路层功能分别在AP和无线交换机上实现,用以解决无线组网中的一些缺陷。,AP和无线交换机间既可直接连接,也可以通过二层或者三层的以太网交换机、路由器等网络设备连接。Aruba AP启动后,它会自动和Aruba交换机建立两个GRE隧道:数据隧道和管理隧道。数据隧道,顾名思义就是用于无线终端上网的数据传输,当然包括上行数据和下行数据;而管理隧道则是用于无线交换机管理AP的专门通道。,构架无线网络时需要特别注意的地方:1.兼容性问题。Aruba的无线交换机只能搭配Aruba AP使用,无法与其他品牌的AP兼容。2.单点故障问题。Aruba AP都是通过无线交换机管理和控制,一旦交换机发生故障,则所有与其相连的AP均无法工作。3.Aruba提供的客户端定位功能需要打开AP当中的AM(Air Monitor)功能,但是AP的接入功能和AM功能无法同时开启。因此,如果需要提供定位服务,在保证原有无线覆盖不变的前提之下,需要部署更多的AP。,登陆管理界面,无线交换机一般采用Web的方式进行配置,以netgear 的bluesocket 2100为例。(1)、开启网络浏览器(2)、输入username&password提供认证登录,设定WG功能,Protected的接口可以分为实体的Protected接口设定与基于Vlan的Protected接口设定。WG实体Protected接口的设定步骤(1)在WG管理接口中选取“network”,选取edit编辑protected接口。,(2)在这里可以选择是否使用dhcp功能、设定Protected接口的Ip address和netmask,以及主要、次要的Dns与Default Domain。,基于Vlan的Protected接口的设定步骤,(1)在Protected接口中选择新增protect-vlan;(2)在设定Vlan之前,需先将要设置的Vlan Enable起来,当Enable Vlan后便可以设定相关的参数。,Name:指独一无二的Protected-side vlan的名称。Vlan id:指独一无二的id,范围从24094。Vlan Type:指一般vlan公用的通讯协议,IEEE802.1q。,WG Manager接口设定,WG Manager管理接口是用来管理有线或无线的公众网络工具,使用者如想要存取网络上的资源都须经由Manager接口去做控制管理与认证。因此Manager的接口上也有三个子选项,分别为Interface,DHCP server,one-to-one NAT。,interface设定,在Interface的选项中,可用来设定 DHCP relay以及将DHCP Server指向目前企业(公司)的DHCP Server。当然,也可以定义IP Address和Subnet Mask以方便网管人员管理。此外管理者也可以决定是否要使用DHCP功能与NAT等等功能,且在这个接口中也能针对一些特定的IP给予特别规则的设定,DHCP server设定,在DHCP Server的选项中,则是设定客户端DHCP的起始IP与结束IP,但须注意目前你所拥有的WG TYPE关系到多少人能同时上网。此外,如Domain Name与 Primary DNS 和Secondary DNS,也在这里做设定。,one-to-one NAT设定,在One-to-One NAT选项则是用来做静态的NAT功能在Manager与Protected之间。此外,在Manager管理接口,可以设置VLAN用来对在公众网络上有线或无线的认证使用者做管理,而设置的VLAN方法与功能则与在Protected管理接口设置VLAN的方法一样的。,WG规则的设定,由于WG是一个无线安全网关,因此规则的设定是非常重要的,规则包含了VLAN的设定、频宽的控管与认证的使用者对内部网络资源的存取行为与权限等都是在ROLE设定。在WG的管理者接口中选取ROLE,然后下去新增ROLE。当新ROLE展开后,可以看到相关的选项与参数。一般而言,管理者可依照一个特定的使用者或特定的使用群组去设置相关的规则。,WG设定用户,(1)选择“user”,选择“local users”,新增“local user”。,(2)输入相关信息,如:新增 Administrator User。选择 Users tab。选择 Local users tab,新增Administrator User。其余的设定与新增USER一样。,WG服务设定,WG事先已定义相关的网络服务,如http、ftp。供管理者设定以服务以认证的使用者或使用群组。因此管理者用此接口来设置相关性服务与特定服务。且管理者也由此功能来设定QoS与相关的 Priority。而在服务群组中,管理者可将要开放的网络服务做相关群组以利于管理。,WG 认证服务,WG提供了RADIUS与LADP的认证去保证使用者与企业内部网络资源的安全。且WG的安全认证也支持企业现有认证SERVER。,(1)设定 LDAP server在管理者接口中选择USER TAB。选取 External Authentication Server tab.选取新增 External LDAP/Active Directory Authentication,RADIUS SERVER设定,(1)登入WG 后选择ROLE tab,进去ROLE后新增一条名称为RADIUS的role并给予相关的权限与服务。(2)在USER tab中选择新增External Radius Server。(3)新增RADIUS server 并取名为“Radius”。一般而言,大部分的RADIUS server的port number为1645,但是也可以由管理者自己定义,以方便管理与使用。(4)选择External Authentication test,