H3C WA2610i-GN 无线AP FAT 配置案例
H3C WA2610i-GN 无线AP FAT 配置案例
WPA2-PSK 无线加密部署案例
组网拓扑
配置思路
1,创建启用 PSK 认证的无线接口;
2,创建启用 RSN 加密的服务模版;
3,在射频口把服务模板和无线口绑定;
固件版本
display version
H3C Comware Platform Software
Comware Software, Version 5.20, Release 1308P11
Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C WA2610i-GN uptime is 0 week, 0 day, 4 hours, 14 minutes
CPU type: ATHEROS AR9350
128M bytes DDR2 SDRAM Memory
32M bytes Flash Memory
Pcb Version: Ver.E
CPLD Version: 004
Basic BootROM Version: 3.03
Extend BootROM Version: 3.03
[SLOT 1]CON (Hardware)Ver.E, (Driver)1.0, (Cpld)4.0
[SLOT 1]GE1/0/1 (Hardware)Ver.E, (Driver)1.0, (Cpld)4.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.E, (Driver)1.0, (Cpld)4.0配置步骤
1,启用 port-security
port-security enable2, 配置无线接口,认证方式为 PSK
interface WLAN-BSS2
# 配置无线端口 WLAN-BSS2 的端口安全模式为 psk。
port-security port-mode psk
# 在接口 WLAN-BSS2 下使能 11key 类型的密钥协商功能。
port-security tx-key-type 11key
# 在接口 WLAN-BSS2 下配置预共享密钥为 12345678。
port-security preshared-key pass-phrase 123456783, 配置无线服务模板(下面的 RSN 即 WPA2)
# 创建一个 crypto 类型的服务模板 2。
wlan service-template 2 crypto
# 设置服务模板 2 的 SSID 为 h3c-abc。
ssid h3c-abc
# 使能开放式系统认证。
authentication-method open-system
# 使能 CCMP 加密套件。
cipher-suite ccmp
# 配置信标和探查帧携带 RSN IE 信息。
security-ie rsn
# 使能服务模板。
service-template enable4, 在射频口 WLAN-Radio 1/0/2 绑定无线服务模板 2 和无线口 WLAN-BSS 2。
interface WLAN-Radio 1/0/2
service-template 2 interface WLAN-BSS 25, 配置 VLAN 虚接口
interface Vlan-interface1
ip address 172.18.51.45 255.255.255.06, 配置缺省路由
ip route-static 0.0.0.0 0.0.0.0 172.18.51.254查看client 信息
display wlan client上行链路完整性检测功能
上行链路检测功能是在 AP 的上行链路都出现故障时,禁止无线用户连接到该 AP。
wlan uplink-interface GigabitEthernet 1/0/1关闭 上行 GigabitEthernet 1/0/1 发现 AP 强迫用户下线,并且用户无法搜索到该 AP 的 SSID。
用户在线检测功能
正常情况下, Client 下线时会发送离线报文通知 AP,AP 收到该报文后会从自己的用户列表中删除该 Client。当 Client 由于电源故障、系统崩溃等原因离线,Client 便无法通知 AP,这样 AP 的用户列表中 就会一直保存该僵死用户。大量的僵死用户会占用 AP 的内存,降低 AP 性能。为了防止这种情况 发生,可以在 AP 上打开用户在线检测功能,AP 周期性的对用户列表中的 Client 进行扫描,若 AP 没有收到 Client 的扫描应答报文,AP 就认为该 Client 已经离线,并从用户列表中删除该 Client。
wlan client keep-alive 300配置用户在线检测功能,可配置的范围为 3-1800s,实例中配置为 300s,表示间隔 5 分钟检测一 次用户是否在线,如果连续 3 次检测不到用户在线,则用户会自动从 AP 的用户列表中老化掉。
静态黑名单
对指定 MAC 地址进行黑名单连接限制接入无线网络
wlan ids
static-blacklist mac-address xxxx-xxxx-xxxx