安全可靠的AC+FIT-AP无线局域网实验

XXX实验5.4安全可靠的AC+FITAP无线局域网实验实验背景1实验目的与内容2实验设备3实验步骤4实验背景对于中小规模网络，如何更方便地建设、部署WLAN网络成为网络建设者首要面对的问题。针对网络规模的特点，以下内容，是网络规划、建设过程中必须回答的问题。需求分析对于中小规模网络普遍存在管理能力不强的因素，客户倾向于简单、易管理的网络解决方案，对于无线部署尤其如此。业界比较一致的观点是采用集中控制管理的FITAP部署模式来建设企业WLAN网络，即通过无线控制器和无线AP共同满足企业无线覆盖需求，有效地解决企业IT人员对AP管理的后顾之忧，并满足企业对无线话音、视频等增值业务的需要。FITAP方案具有以下优点：（1）配置简单。AP零配置，所有的配置集中在无线交换机上完成，简单便捷。（2）维护方便。管理、维护针对无线交换机来实现，不需要对每一台AP进行操作。（3）易于升级。针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作即可，不需要对每一台无线AP单独升级。（4）安全可控。可以集中进行射频及功率、信道调整，安全访问控制等功能。（5）更易扩展。根据需要，可以灵活增加补点AP，支持三层漫游，方便扩展支持无线监控、话音应用等业务。实验目的与内容【实验目的】（1）掌握在AC上为无线用户进行授权的方法。（2）掌握在AC上实现负载均衡的方法。（3）掌握AC可靠性的实现方法。（4）掌握RogueAP检测的方法。（5）掌握PSK认证的方法。【实验内容】（1）在AC上为无线用户进行授权。（2）在AC上实现负载均衡。（3）AC可靠性的实现。（4）RogueAP检测。（5）PSK认证。实验设备交换机一台，无线控制器三台，AP两台，带无线网卡的计算机两台，有线网卡的计算机一台，双绞线6根。网络拓扑结构如图5.11所示。图5.11可靠的AC+FITAP无线局域网实验拓扑结构图APAPCAMAC:2222-3333-4444AC1/DHCPServerSSID:jsjxySSID:jsjzxAPBSSID:jsjxyPCBMAC:5555-6666-7777VLAN2VLAN3G1/0/1G1/0/2G1/0/3G1/0/1G1/0/5AC2ACN实验步骤1.在AC上为无线用户进行授权（1）无线控制器基于SSID方式授权。在同一个AP上设置两个SSID，如果用户连接到jsjxy属于VLAN2，连接到jsjzx则属于VLAN3。①在WLAN-ESS接口上绑定VLAN。[AC1]interfaceWLAN-ESS2[AC1-WLAN-ESS2]portaccessvlan2[AC1-WLAN-ESS2]quit[AC1]interfaceWLAN-ESS3[AC1-WLAN-ESS3]portaccessvlan3[AC1-WLAN-ESS3]quit②在无线服务模板中绑定SSID和WLAN-ESS接口。[AC1]wlanservice-template2clear[AC1-wlan-st-2]ssidjsjxy[AC1-wlan-st-2]bindWLAN-ESS2[AC1-wlan-st-2]service-templateenable[AC1-wlan-st-2]quit[AC1]wlanservice-template3clear[AC1-wlan-st-3]ssidjsjzx[AC1-wlan-st-3]bindWLAN-ESS3实验步骤[AC1-wlan-st-3]service-templateenable[AC1-wlan-st-3]quit（2）无线控制器基于AP方式授权。通过区分用户的VLAN属性来对用户进行VLAN授权。①配置无线服务模板。[AC1]wlanservice-template1clear[AC1-wlan-st-1]ssidjsjxy[AC1-wlan-st-1]bindWLAN-ESS1[AC1-wlan-st-1]service-templateenable[AC1-wlan-st-1]quit②将无线服务模板与VLAN绑定应用到不同的FITAP上。[AC1]wlanapAPAmodelWA2620E-AGN[AC1-wlan-ap-APA]serial-id21023529G007C000020[AC1-wlan-ap-APA]radio1[AC1-wlan-ap-APA-radio-1]service-template1vlan-id2[AC1-wlan-ap-APA-radio-1]Radioenable实验步骤[AC1-wlan-ap-APA-radio-1]quit[AC1-wlan-ap-APA]quit[AC1]wlanapAPBmodelWA2620E-AGN[AC1-wlan-ap-APB]serial-id21023529G007C000021[AC1-wlan-ap-APB]radio1[AC1-wlan-ap-APB-radio-1]service-template1vlan-id3[AC1-wlan-ap-APB-radio-1]Radioenable[AC1-wlan-ap-APB-radio-1]quit[AC1-wlan-ap-APB]quit（3）无线控制器基于MAC方式授权。通过使能MAC-VLAN，建立MAC-VLAN对应列表，以实现基于MAC的无线用户授权。①配置无线接口。[AC1]interfaceWLAN-ESS10[AC1-WLAN-ESS10]portlink-typehybrid[AC1-WLAN-ESS10]porthybridvlan1to3untagged[AC1-WLAN-ESS10]mac-vlanenable[AC1-WLAN-ESS10]quit实验步骤②在无线控制器视图下设置。[AC1]mac-vlanmac-address2222-3333-4444vlan2[AC1]mac-vlanmac-address5555-6666-7777vlan32.在AC上实现负载均衡（1）基于用户会话数的负载均衡。[AC1]wlanrrm[AC1-wlan-rrm]load-balancesession5gap4备注：load-balancesessionvaluegapgap-valueValue为会话限制，取值范围为2~40；gap-value会话差值门限，取值范围为1~8。假如APA上已经有4个用户，APB上没有用户，这时有第5个用户试图连接APA，由于两个AP用户数量差额已经到达4，这时APA会拒绝第5个用户，最终会连接到APB上。（2）基于流量的负载均衡。[AC1]wlanrrm[AC1-wlan-rrm]load-balancetraffic10gap20备注：load-balancesessionvaluegapgap-valueValue:流量限制，取值范围10~80，以百分比表示，实验步骤gap-value流量差值门限，取值范围10~40，以百分比表示。假设AP最大吞吐率为30M，则流量门限为：30M*10%=3M，差值门限为：30M*20%=6M，第一个用户向APA发送10M的流量，而APB空闲，这时第二个用户连接APA时由于APA既超过门限（103）又超过门限差值（106），最后第二个用户会被关联到APB上。3.AC可靠性实验（1）通过配置优先级设置接入AC的先后顺序提高可靠性。[AC1]wlanapAPAmodelWA2620E-AGN[AC1-wlan-ap-APA]ssidjsjxy[AC1-wlan-ap-APA]prioritylevel6[AC1-wlan-ap-APA]quit[AC2]wlanapAPAmodelWA2620E-AGN[AC2-wlan-ap-APA]ssidjsjxy[AC2-wlan-ap-APA]prioritylevel4[AC2-wlan-ap-APA]quit当AC1出现问题宕机时AP将自动接入到AC2，当AC1恢复后，AP再次重启后将重新接入AC1，不会实现动态负载分担。（2）通过设置AC1+1热备份提高接入AC可靠性。实验步骤在通过配置优先级设置接入AC的先后顺序提高可靠性的基础上做如下设置即可：[AC1]wlanbackup-acipAC2-ip-address//AC2-ip-address是AC2的ipaddress[AC2]wlanbackup-acipAC1-ip-address//AC1-ip-address是AC1的ipaddress如果AC1和AC2上配置的策略相同，可实现负载分担功能。如果要使用心跳线建立AC1+1快速热备份提高接入AC可靠性还要做如下设置：[AC1]hot-backupenable[AC1]hot-backupvlanvlan-id[AC2]hot-backupenable[AC2]hot-backupvlanvlan-id要保证两台AC在指定的VLAN中二层互通才能启动快速热备份检测机制。（3）N+1备份结构提供接入可靠性假设AC1、AC2和ACN组成针对APA和APB的2+备份，APA的主AC是AC1，APB的主AC是AC2，ACN作为备份AC。主AC出现问题时备份AC才会提供服务，一旦主AC恢复，相应的AP就会立即切换到主AC上而不是等到重启时才切换。[AC1]wlanapAPAmodelWA2620E-AGN[AC1-wlan-ap-APA]ssidjsjxy实验步骤[AC1-wlan-ap-APA]prioritylevel7[AC1-wlan-ap-APA]quit[AC2]wlanapAPBmodelWA2620E-AGN[AC2-wlan-ap-APB]ssidjsjxy[AC2-wlan-ap-APB]prioritylevel7[AC2-wlan-ap-APB]quit[ACN]wlanapAPAmodelWA2620E-AGN[ACN-wlan-ap-APA]ssidjsjxy[ACN-wlan-ap-APA]backup-acipAC1-ip-address[ACN-wlan-ap-APA]quit[ACN]wlanapAPBmodelWA2620E-AGN[ACN-wlan-ap-APB]ssidjsjxy[ACN-wlan-ap-APB]backup-acipAC2-ip-address[ACN-wlan-ap-APB]quit实验步骤4.RogueAP检测功能实验AP通过交换机与AC相连，AC作为DHCP服务器为APA和Client分配IP地址，开启RougeAP反制功能，以保证用户能通过合法的APA接入到正确的网络中，具体要求如下：MonitorAP（APB）周期性的监听无线射频接口报文；当发现RogueAP时，MonitorAP发起反制。（1）对AC1的配置如下：①配置AC1的接口创建。AC1system-view[AC1]vlan3//VLAN3及其对应的VLAN接口，并为该接口配置IP地址[AC1-vlan3]quit//AC1将使用该接口的IP地址与AP建立LWAPP隧道。[AC1]interfacevlan-interface3[AC1-Vlan-interface3]ipaddress192.168.1.1255.255.255.0[AC1-Vlan-interface3]quit[AC1]vlan2//创建VLAN2作为ESS接口的默认VLAN和无线用户接入的VLAN[AC1-vlan2]quit[AC1]interfacevlan-interface2[AC1-Vlan-interface2]ipaddress192.168.2.1255.255.255.0实验步骤[AC1-Vlan-interface2]quit//下面将与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk，当前Trunk口的PVID为3，禁止VLAN1通过，允许VLAN