H3C WA2610i-GN 无线AP FAT 配置案例

2020-08-11 16:19:05 浏览数 (1)

WPA2-PSK 无线加密部署案例

组网拓扑

配置思路

1,创建启用 PSK 认证的无线接口;

2,创建启用 RSN 加密的服务模版;

3,在射频口把服务模板和无线口绑定;

固件版本

代码语言:javascript复制
display    version 
H3C Comware Platform Software
Comware Software, Version 5.20, Release 1308P11
Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C WA2610i-GN uptime is 0 week, 0 day, 4 hours, 14 minutes

 CPU type: ATHEROS AR9350
 128M bytes DDR2 SDRAM Memory
 32M bytes Flash Memory
 Pcb             Version:  Ver.E
 CPLD            Version:  004
 Basic  BootROM  Version:  3.03
 Extend BootROM  Version:  3.03
 [SLOT  1]CON           (Hardware)Ver.E,        (Driver)1.0,    (Cpld)4.0
 [SLOT  1]GE1/0/1       (Hardware)Ver.E,        (Driver)1.0,    (Cpld)4.0
 [SLOT  1]RADIO1/0/1    (Hardware)Ver.E,        (Driver)1.0,    (Cpld)4.0

配置步骤

1,启用 port-security

代码语言:javascript复制
port-security enable

2, 配置无线接口,认证方式为 PSK

代码语言:javascript复制
interface WLAN-BSS2
# 配置无线端口 WLAN-BSS2 的端口安全模式为 psk。
port-security port-mode psk
# 在接口 WLAN-BSS2 下使能 11key 类型的密钥协商功能。
port-security tx-key-type 11key
# 在接口 WLAN-BSS2 下配置预共享密钥为 12345678。
port-security preshared-key pass-phrase 12345678

3, 配置无线服务模板(下面的 RSN 即 WPA2)

代码语言:javascript复制
# 创建一个 crypto 类型的服务模板 2。
wlan service-template 2 crypto 
# 设置服务模板 2 的 SSID 为 h3c-abc。
ssid h3c-abc
# 使能开放式系统认证。
authentication-method open-system 
# 使能 CCMP 加密套件。
cipher-suite ccmp
# 配置信标和探查帧携带 RSN IE 信息。
security-ie rsn 
# 使能服务模板。
service-template enable

4, 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2。

代码语言:javascript复制
interface WLAN-Radio 1/0/2
service-template 2 interface WLAN-BSS 2

5, 配置 VLAN 虚接口

代码语言:javascript复制
interface Vlan-interface1 
ip address 172.18.51.45 255.255.255.0

6, 配置缺省路由

代码语言:javascript复制
ip route-static 0.0.0.0 0.0.0.0 172.18.51.254

查看client 信息

代码语言:javascript复制
display    wlan  client

上行链路完整性检测功能

上行链路检测功能是在 AP 的上行链路都出现故障时,禁止无线用户连接到该 AP。

代码语言:javascript复制
wlan uplink-interface GigabitEthernet 1/0/1

关闭 上行 GigabitEthernet 1/0/1 发现 AP 强迫用户下线,并且用户无法搜索到该 AP 的 SSID。

用户在线检测功能

正常情况下, Client 下线时会发送离线报文通知 AP,AP 收到该报文后会从自己的用户列表中删除该 Client。当 Client 由于电源故障、系统崩溃等原因离线,Client 便无法通知 AP,这样 AP 的用户列表中 就会一直保存该僵死用户。大量的僵死用户会占用 AP 的内存,降低 AP 性能。为了防止这种情况 发生,可以在 AP 上打开用户在线检测功能,AP 周期性的对用户列表中的 Client 进行扫描,若 AP 没有收到 Client 的扫描应答报文,AP 就认为该 Client 已经离线,并从用户列表中删除该 Client。

代码语言:javascript复制
wlan client keep-alive 300

配置用户在线检测功能,可配置的范围为 3-1800s,实例中配置为 300s,表示间隔 5 分钟检测一 次用户是否在线,如果连续 3 次检测不到用户在线,则用户会自动从 AP 的用户列表中老化掉。

静态黑名单

对指定 MAC 地址进行黑名单连接限制接入无线网络

代码语言:javascript复制
wlan ids
 static-blacklist mac-address xxxx-xxxx-xxxx
client port security

0 人点赞