cisco_ap配置手册

1ciscoap配置手册2010年9月3日星期五Cisco胖AP的基本设定(AutonomousAPBasicConfig)虽然Cisco的胖AP比市售的胖AP贵的许多，但市场上还是可以看见很多将Cisco的ThinAP更改为胖AP单用的状况，原因是因为:不想常去重开就会好特别是需要一直放着提供无线服务的环境，不得不佩服它的技术。下面针对胖AP的CLI基本设定做介绍(第一次有GUI的速度慢到让我想学CLI)，帮助大家快速设定这个胖子...(笑)Part1.快速让胖AP可用:Step.1设定802.11的无线SSID:ap#configtap(config)#dot11ssidMySSIDap(config-ssid)#authenticationopenap(config-ssid)#guest-mode设定的同时，也必需指令验证方式，我们先用开放验证(open)方式让它通就好。而guest-mode是让SSID进行广播，可以方便初始化的联机，为了安全可以不用设定(Client端需要指定好SSID才能联机)Step.2指定无线讯号的SSID与开启无线通信:下面是一颗1131AG的AP，所以有两个协议802.11a与802.11g，分别在dot11Radio0与dot11Radio1，预设是关闭的，需要进去接口打开:ap(config)#intdot11Radio0ap(config-if)#ssidMySSIDap(config-if)#noshutdownap(config)#intdot11Radio1ap(config-if)#ssidMySSIDap(config-if)#noshutdownStep.3设定BVI:如果是DHCP的环境是可以略过这个步骤，因为预设会自已抓好，FatAP是靠BVI(BridgeVirtualInterface)来让实体网络与无线网络通讯，所以必需设定一个实体环境的IP给它:ap(config-if)#intbvi1ap(config-if)#ipaddrdhcp或是以手动指定IP:ap(config-if)#intbvi1ap(config-if)#ipaddr192.168.1.3255.255.255.02搞定!!把自已的计算机利用无线连看看!!Part2.常用基本设定:ARPCache:AP的运作就像Hub一样,广播是它们必做的事，开启Arp-Cache，可以加快效能(虽然感受不到)，当AP收到一个ARP封包，会比对Cache里的数据，如果不在Cache就不广播把封包丢掉，以减少广播封包。ap(config)#dot11arp-cacheTime:可能希望与NTPServer同步时间ap(config)#sntpserver220.130.158.82或是直接设定时间ap#clockset12:21:003Sep2010再show一下时间状况ap#showclockDNS:环境没有DHCPServer的话，可以手动帮AP设定DNSServerap(config)#ipname-server168.95.1.1SNMP:可能需要开SNMP给网管软件看-最后面可以选择ro(ReadOnly)或是rw(ReadandWrite)ap(config)#snmp-servercommunitypublicroPart3.基本加密验证:通常胖AP较常用的是WEP或是WPA-PSK这两种验证方式，说明如下WEP:首先我们先看一下Web的验证方式，可以更了解为何这么设定，WEP验证基本上是不看人的，只看那把Key，如下:Client---------------------------------------------APAuthenticationRequest--------AuthenticationResponse+ChallengeClear-textUsetexttoEncrypt(AssociationRequest)--------ComparestaticWEPkeys&AssociationConfirmation3从上面的验证流程可以知道AP在第二个步验会请Client输入Cler-text，这就是我们在联机AP时，会跳出一个画面(或在联机的设定里)要我们输入一个passphase，输入后就可以把数据加密送给AP，AP收到后就用我们现在要设定的Key来解密码看，可以解开就送AssociationConfirmation给Client。了解流程后，在设定CiscoAP时要记住:1.设定验证放式是在SSID下2.设定加密方式要在无线讯号(Radio)下而设定顺序一定要先设定加密方式，再设定验证方式，因为要先有key，才可以在验证方式里选用key麻~下面就先到无线讯号下设定加密，设定WEP加密方式要先设定一个key1~4,size可以选择40或128，设定40就需要设定十位的文字(联机的密码)，设定128的话，需要设定26个字的密码，如下的1234567890就是很Client联机要输入的key.然后再指定模式为WEPap(config)#interdot11Radio0ap(config-if)#encryptionkey1size401234567890ap(config-if)#encryptionmodewepmandatorykey-hash然后再进到ssid里面，指定验证模式为开放ap(config)#dot11ssidabcap(config-ssid)#authenticationopen如此就完成WEP的设定啦^^冻一下~~~不是设定WEP吗?怎么验证是用开放咧!!??嘿~这就要从什么是开放说起，下面是开放验证流程:Client------------------------------------APAuthenticationRequest--------AuthenticationResponseAssociationRequest--------AssociationConfirmation再往上与WEP的流程比较一下，会发觉整个流程都一样，说穿了WEP只是在开放验证里多了一个passphase的确认机制，所以Cisco认为WEP还是一个开放的认证(真是严格呀~)Ps.上面OPEN流程也可以说明为什么在PartI时，我们只设authenticaionopen，就可以不用输入密码使用AP了WPA-PSK:因为FATAP通常不会结合到RADIUS等的认证平台，反而在导ThinAP时都需要与验证平台做验证，在没有验证平台的情况下，我们可以透过设定PreShareKey(PSK)来取代验证平台，方法如下:一样，要先在无线频道下指定加密方式，因为是WPA,会用TKIP来动态更改key加强安全4ap(config)#interdot11Radio0ap(config-if)#encryptionmodecipherstkip再进到ssid下面设定验证方式,由于只是wpa-psk，所以不用设定EAP验证，我们以开放式(open)验证即可，而key-managemnet就是用WPA，最后再设定WPA的PreShareKey(即Client联机的密码)就搞定啦!ap(config)#dot11ssidabcap(config-ssid)#authenticationopenap(config-ssid)#authenticationkey-managementwpaap(config-ssid)#wpa-pskascii12345678设完后你就会发觉，原来WPS-PSK的验证流程，还是OPEN的四个方式，但比WEP还强的是，有TKIP的自动变更key机制，所以较为安全^^(我说的是…较为)5CiscoAP的配置方法主要有控制台端口登录、远程登录（如Telnet/SSH等）、Web浏览器等，后两种方式均需要获取或设置一个IP方可登录。一般情况下，AP设置IP地址的方法有按默认方式获取，配置DHCP方式获取，使用IPSU（IPSetupUtility），使用控制台端口等。实际上对CiscoAP来讲，配置的最简单的方法就是使用Web浏览器方式即GUI方式。CiscoAP有两种基本GUI界面，一种是支持IOSGUI，如Arionet1100系列；一种是VxWorksGUI，如Arionet350的AP和网桥；而Arionet1200系列可以支持这两种GUI界面。如下图CiscoAironet1100系列APGUI配置界面：除了GUI和远程登录方式外，CLI（命令行）也是CiscoAP经常使用的配置方式。GUI的配置方法比较简单，因篇幅所限，不再作介绍。下面我们在CLI（命令行）模式下对CiscoAP进行配置。CiscoAP的IOS的CLI（命令行）的配置模式有：用户模式、特权模式、全局模式、接口模式、线路模式等等，它的命令提示符、基本配置命令与基于CiscoIOS系统的路由器和交换机CLI的模式也基本相同，如果您对各种模式还不熟悉，请您参照路由器和交换机的基本模式配置章节。1、配置主机名步骤配置命令解释1ap#configureterminal进入全局配置模式2ap(config)#hostnamename配置主机名3ap(config)#end返回到特权EXEC模式4ap#showrunning-config查看配置信息5ap#copyrunning-configstarup-config保存配置信息注意：hostnamename命令中的name名称必须符合ARPANET主机名的规则，最多为63个字符，并且必须以一个字母开头，结尾必须是一个字母或数字，中间只能是字母、数字或连接符。2、配置IP地址为了实现对设备的远程管理，我们通常需要对设备配置管理地址，对于AP来说，我们可以通过配置AP的BVI地址来实现。BVI即网桥虚拟接口，它是由AP自动创建的，当AP连接到有线网络时，AP使用BVI将所有接口都聚合到一个IP地址下，然后通过AP的以太网口和无线端口并使用该BVI的地址对AP进行管理。步骤配置命令解释1ap#configureterminal进入全局配置模式2ap(config)#interfacebvi1配置BVI接口3ap(config-if)#ipaddressaddressmasksubmask配置BVI接口的地址和子网掩码4ap(config-if)#end或者Ctrl+Z返回到特权EXEC模式65ap#showrunning-config查看配置信息6ap#copyrunning-configstarup-config保存配置信息3、配置网络映射步骤配置命令解释1ap#configureterminal进入全局配置模式2ap(config)#dot11network-map[collect-interval]启用网络映射3ap(config-if)#end或者Ctrl+Z退出配置模式4ap#showdot11network-map查看无线网络映射信息5ap#showdot11adjacent-ap查看与本AP相邻的AP信息。6ap#copyrunning-configstarup-config保存配置信息如上表命令中，第二步dot11network-map[collect-interval]命令参数[collect-interval]为指定IAPP请求报文的时间（1-60秒），默认为5秒。NetworkMap即网络映射主要用于显示无线网络中所有设备的信息，当该功能被启用时，AP每隔一定时间间隔都会广播一个IAPP（接入点间协议GenIfoRequest报文，该报文从第2层域中的所有CiscoAP处收集信息。接收到GenIfoRequest报文后，AP向请求方发送IAPPGenIfoResponse报文，以建立一个新的网络映射。4、显示关联信息步骤配置命令解释1ap#showdot11associations[cl