無(wú)線局域網(wǎng)應(yīng)用技術(shù)（微課版）（微課版）（第2版）項(xiàng)目6 微企業(yè)無(wú)線局域網(wǎng)的安全配置

項(xiàng)目6微企業(yè)無(wú)線局域網(wǎng)的安全配置知識(shí)目標(biāo)：理解WLAN存在的安全問(wèn)題理解WEP協(xié)議的特點(diǎn)理解WPA/WPA2協(xié)議的特點(diǎn)技能目標(biāo)：掌握局域網(wǎng)交換機(jī)的基礎(chǔ)配置掌握基于WPA的FAT無(wú)線局域網(wǎng)的安全配置素質(zhì)拓展目標(biāo)：了解無(wú)線網(wǎng)絡(luò)安全對(duì)國(guó)家政治和經(jīng)濟(jì)發(fā)展的影響為協(xié)助需要，開(kāi)通了遠(yuǎn)程登錄賬戶(hù)，完成工作后，應(yīng)及時(shí)注銷(xiāo)賬戶(hù)信息，確保信息安全企業(yè)遵守國(guó)家或國(guó)際制定的網(wǎng)絡(luò)信息安全法則，員工恪守公司規(guī)定，遵守國(guó)家法律法規(guī)學(xué)習(xí)目標(biāo)項(xiàng)目背景Jan16公司滿足了內(nèi)部員工的移動(dòng)辦公需求，但為了方便員工使用，在網(wǎng)絡(luò)建設(shè)完成初期并沒(méi)有對(duì)網(wǎng)絡(luò)進(jìn)行接入控制，這導(dǎo)致非公司內(nèi)部員工不需要輸入用戶(hù)名和密碼就可以接入網(wǎng)絡(luò)，進(jìn)而接入公司內(nèi)部網(wǎng)絡(luò)。外來(lái)人員接入公司內(nèi)部網(wǎng)絡(luò)給公司的信息安全帶來(lái)了隱患，同時(shí)隨著接入人數(shù)的增加，公司無(wú)線網(wǎng)絡(luò)的傳輸速率也變得越來(lái)越慢。為了解決以上問(wèn)題，公司要求網(wǎng)絡(luò)管理員加強(qiáng)對(duì)無(wú)線網(wǎng)絡(luò)的安全管理，僅允許內(nèi)部員工訪問(wèn)。項(xiàng)目背景微型企業(yè)無(wú)線網(wǎng)絡(luò)通常僅使用FatAP進(jìn)行組網(wǎng)，這種組網(wǎng)方式可以通過(guò)以下幾種方式來(lái)構(gòu)建一個(gè)安全的無(wú)線網(wǎng)絡(luò)。（1）對(duì)公司無(wú)線網(wǎng)絡(luò)實(shí)施安全加密認(rèn)證，內(nèi)部員工訪問(wèn)公司無(wú)線網(wǎng)絡(luò)需要輸入密碼才可以關(guān)聯(lián)無(wú)線SSID。（2）為了避免所有人都可以搜索到公司的無(wú)線SSID信號(hào)，對(duì)無(wú)線網(wǎng)絡(luò)實(shí)施隱藏SSID功能，防止無(wú)線信號(hào)外泄。（3）為了防止非本公司的無(wú)線終端訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)從而造成信息泄露，對(duì)現(xiàn)有無(wú)線網(wǎng)絡(luò)配置白名單，僅允許已注冊(cè)的無(wú)線終端接入網(wǎng)絡(luò)。WLAN安全威脅WLAN以無(wú)線信道作為傳輸媒介，利用電磁波在空氣中傳播數(shù)據(jù)，從而實(shí)現(xiàn)了傳統(tǒng)有線局域網(wǎng)的功能。與傳統(tǒng)的有線接入方式相比，WLAN部署相對(duì)簡(jiǎn)單，維護(hù)成本也相對(duì)低廉，因此應(yīng)用前景十分廣闊。然而由于WLAN傳輸媒介的特殊性和其固有的安全缺陷，用戶(hù)的數(shù)據(jù)面臨被竊聽(tīng)和篡改的威脅，因此WLAN的安全問(wèn)題成為制約其推廣的重要問(wèn)題。WLAN常見(jiàn)的安全威脅有以下幾個(gè)方面。

WLAN安全威脅

1.未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)最常見(jiàn)的WLAN安全威脅就是未經(jīng)授權(quán)的非法用戶(hù)使用WLAN。非法用戶(hù)未經(jīng)授權(quán)使用WLAN，同合法用戶(hù)共享帶寬，會(huì)影響合法用戶(hù)的使用體驗(yàn)，甚至可能泄露合法用戶(hù)的用戶(hù)信息。2.非法AP非法AP是未經(jīng)授權(quán)部署在企業(yè)WLAN里，且干擾網(wǎng)絡(luò)正常運(yùn)行的AP。如果該非法AP配置了正確的有線等效保密（WiredEquivalentPrivacy，WEP）密鑰，還可以捕獲客戶(hù)端數(shù)據(jù)。經(jīng)過(guò)配置后，非法AP可為未授權(quán)用戶(hù)提供接入服務(wù)，可讓未授權(quán)用戶(hù)捕獲和偽裝數(shù)據(jù)報(bào)，最糟糕的是允許未授權(quán)用戶(hù)訪問(wèn)服務(wù)器和文件。WLAN安全威脅3.數(shù)據(jù)安全相對(duì)于以前的有線局域網(wǎng)，WLAN采用無(wú)線通信技術(shù)，用戶(hù)的各類(lèi)信息在無(wú)線網(wǎng)絡(luò)中傳輸會(huì)更容易被竊聽(tīng)、獲取。4.拒絕服務(wù)攻擊這種攻擊方式不以獲取信息為目的，入侵者只是想讓目標(biāo)機(jī)器停止提供服務(wù)。因?yàn)閃LAN采用電磁波傳輸數(shù)據(jù)，理論上只要在有信號(hào)的范圍內(nèi)攻擊者就可以發(fā)起攻擊。這種攻擊方式隱蔽性好，實(shí)現(xiàn)容易，防范困難，是終極攻擊方式之一。WLAN認(rèn)證技術(shù)802.11無(wú)線網(wǎng)絡(luò)一般作為連接802.3有線網(wǎng)絡(luò)的入口。為保護(hù)入口的安全，確保只有授權(quán)用戶(hù)才能通過(guò)無(wú)線AP訪問(wèn)網(wǎng)絡(luò)資源，必須采用有效的認(rèn)證解決方案。認(rèn)證是驗(yàn)證用戶(hù)身份與資格的過(guò)程，用戶(hù)必須表明自己的身份并提供可以證實(shí)自己身份的憑證。安全性較高的認(rèn)證系統(tǒng)通常采用多要素認(rèn)證，用戶(hù)必須提供至少兩種不同的身份憑證。WLAN主要的認(rèn)證技術(shù)如下。WLAN認(rèn)證技術(shù)1.開(kāi)放系統(tǒng)認(rèn)證開(kāi)放系統(tǒng)認(rèn)證不對(duì)用戶(hù)身份做任何驗(yàn)證，在整個(gè)認(rèn)證過(guò)程中，通信雙方僅需交換兩個(gè)認(rèn)證幀：Sta向AP發(fā)送一個(gè)認(rèn)證幀，AP以此幀的源MAC地址作為發(fā)送端的身份證明，AP隨即返回一個(gè)認(rèn)證幀，并建立AP和Sta的連接。因此，開(kāi)放系統(tǒng)認(rèn)證不要求用戶(hù)提供任何身份憑證，通過(guò)這種簡(jiǎn)單的認(rèn)證后就能與AP建立關(guān)聯(lián)，進(jìn)而獲得訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限。

WLAN認(rèn)證技術(shù)

開(kāi)放系統(tǒng)認(rèn)證是唯一的802.11要求必備的認(rèn)證方法，是最簡(jiǎn)單的認(rèn)證方式。對(duì)于需要允許設(shè)備快速進(jìn)入網(wǎng)絡(luò)的場(chǎng)景，可以使用開(kāi)放系統(tǒng)認(rèn)證。開(kāi)放系統(tǒng)認(rèn)證主要用于在公共區(qū)域或熱點(diǎn)區(qū)域（如機(jī)場(chǎng)、酒店等）為用戶(hù)提供無(wú)線接入服務(wù)，適合用戶(hù)眾多的運(yùn)營(yíng)商部署大規(guī)模的WLAN。

WLAN認(rèn)證技術(shù)

2.共享密鑰認(rèn)證共享密鑰認(rèn)證要求Sta必須支持WEP，Sta與AP必須配置匹配的靜態(tài)WEP密鑰。如果雙方的靜態(tài)WEP密鑰不匹配，Sta就無(wú)法通過(guò)認(rèn)證。共享密鑰認(rèn)證過(guò)程中，采用共享密鑰認(rèn)證的無(wú)線接口之間需要交換質(zhì)詢(xún)消息，通信雙方總共需要交換4個(gè)認(rèn)證幀，如圖所示。WLAN認(rèn)證技術(shù)（1）Sta向AP發(fā)送認(rèn)證請(qǐng)求認(rèn)證幀。（2）AP向Sta返回包含明文質(zhì)詢(xún)消息的第2個(gè)認(rèn)證幀，質(zhì)詢(xún)消息長(zhǎng)度為128字節(jié)，由WEP密鑰流生成器利用隨機(jī)密鑰和初始向量產(chǎn)生。（3）Sta使用靜態(tài)WEP密鑰將質(zhì)詢(xún)消息加密，并通過(guò)認(rèn)證幀發(fā)給AP，即第3個(gè)認(rèn)證幀。（4）AP收到第3個(gè)認(rèn)證幀后，將使用靜態(tài)WEP密鑰對(duì)其中的質(zhì)詢(xún)消息進(jìn)行解密，并與原始質(zhì)詢(xún)消息進(jìn)行比較。若兩者匹配，AP將會(huì)向Sta發(fā)送第4個(gè)也是最后一個(gè)認(rèn)證幀，確認(rèn)Sta成功通過(guò)認(rèn)證；若兩者不匹配或AP無(wú)法解密質(zhì)詢(xún)消息，AP將拒絕Sta的認(rèn)證請(qǐng)求。WLAN認(rèn)證技術(shù)Sta成功通過(guò)共享密鑰認(rèn)證后，將采用同一靜態(tài)WEP密鑰加密隨后的802.11數(shù)據(jù)幀與AP通信。共享密鑰認(rèn)證看似安全性比開(kāi)放系統(tǒng)認(rèn)證要高，但是實(shí)際上存在著巨大的安全漏洞。如果入侵者截獲AP發(fā)送的明文質(zhì)詢(xún)消息以及Sta返回的加密質(zhì)詢(xún)消息，就可能從中提取出靜態(tài)WEP密鑰。入侵者一旦掌握靜態(tài)WEP密鑰，就可以解密所有數(shù)據(jù)幀，網(wǎng)絡(luò)對(duì)入侵者將再無(wú)秘密可言。因此，WEP共享密鑰認(rèn)證方式難以為企業(yè)WLAN提供有效保護(hù)。WLAN認(rèn)證技術(shù)3.SSID隱藏SSID隱藏可將無(wú)線網(wǎng)絡(luò)的邏輯名隱藏起來(lái)。AP啟用SSID隱藏后，Sta掃描SSID時(shí)將無(wú)法獲得SSID信息。因此，Sta必須手動(dòng)設(shè)置與AP相同的SSID才能與AP進(jìn)行關(guān)聯(lián)。如果Sta出示的SSID與AP的SSID不同，那么AP將拒絕Sta接入。SSID隱藏適用于某些企業(yè)或機(jī)構(gòu)需要支持大量訪客接入的場(chǎng)景。企業(yè)園區(qū)無(wú)線網(wǎng)絡(luò)可能存在多個(gè)SSID，如員工、訪客等。為盡量避免訪客連錯(cuò)網(wǎng)絡(luò)的問(wèn)題，園區(qū)通常會(huì)隱藏員工的SSID，同時(shí)廣播訪客SSID。此時(shí)訪客嘗試連接無(wú)線網(wǎng)絡(luò)時(shí)只能看到訪客SSID，從而減少訪客了連接到員工網(wǎng)絡(luò)的情況。盡管SSID隱藏可以在一定程度上防止普通用戶(hù)搜索到無(wú)線網(wǎng)絡(luò)，但只要入侵者使用二層無(wú)線協(xié)議分析軟件攔截到任何合法Sta發(fā)送的幀，就能獲得以明文形式傳輸?shù)腟SID。因此，只使用SSID隱藏策略來(lái)保證無(wú)線局域網(wǎng)安全是不行的。WLAN認(rèn)證技術(shù)4.黑白名單認(rèn)證（MAC地址認(rèn)證）白名單的概念與“黑名單”相對(duì)應(yīng)。黑名單啟用后，被列入黑名單的Sta不能通過(guò)。如果設(shè)立了白名單，則在白名單中的Sta會(huì)允許通過(guò)，沒(méi)有在白名單列出的Sta將被拒絕訪問(wèn)。WLAN認(rèn)證技術(shù)黑白名單認(rèn)證是一種基于端口和MAC地址對(duì)Sta的網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)行控制的認(rèn)證方法，不需要Sta安裝任何客戶(hù)端軟件。802.11設(shè)備都具有唯一的MAC地址，因此可以通過(guò)檢驗(yàn)802.11設(shè)備數(shù)據(jù)分組的源MAC地址來(lái)判斷其合法性，過(guò)濾不合法的MAC地址，僅允許特定的Sta發(fā)送的數(shù)據(jù)分組通過(guò)。MAC地址過(guò)濾要求預(yù)先在AP中輸入合法的MAC地址列表，只有當(dāng)Sta的MAC地址和合法MAC地址列表中的地址匹配時(shí)，AP才允許用戶(hù)設(shè)備與之通信，實(shí)現(xiàn)MAC地址過(guò)濾。MAC地址認(rèn)證如圖6-2所示，Sta1的MAC地址不在AP的合法MAC地址列表中，因而不能接入AP；而Sta2和Sta3的MAC地址分別與合法MAC地址列表中的第4個(gè)、第3個(gè)MAC地址完全匹配，因而可以接入AP。WLAN認(rèn)證技術(shù)WLAN認(rèn)證技術(shù)然而，由于很多無(wú)線網(wǎng)卡支持重新配置MAC地址，MAC地址很容易被偽造或復(fù)制。只要將MAC地址偽裝成某個(gè)出現(xiàn)在允許列表中的Sta的MAC地址，就能輕易繞過(guò)MAC地址過(guò)濾。為所有Sta配置MAC地址過(guò)濾的工作量較大，而MAC地址又易于偽造，因此MAC地址過(guò)濾無(wú)法成為一種可靠的無(wú)線安全解決方案。WLAN認(rèn)證技術(shù)5.PSK認(rèn)證預(yù)共享密鑰（Pre-SharedKey，PSK）認(rèn)證是Wi-Fi保護(hù)接入(Wi-FiProtectedAccess,WPA)使用的認(rèn)證方式，要求用戶(hù)使用一個(gè)簡(jiǎn)單的ASCII字符串（長(zhǎng)度為8～63個(gè)字符，稱(chēng)為密碼短語(yǔ)）作為密鑰。Sta和AP通過(guò)能否成功解密“協(xié)商”的消息來(lái)確定Sta配置的預(yù)共享密鑰是否與AP配置的預(yù)共享密鑰相同，從而完成AP和Sta的相互認(rèn)證。WLAN認(rèn)證技術(shù)PSK認(rèn)證有很多別稱(chēng)，如WPA/WPA2口令（WPA/WPA2Passphrase）和WPA/WPA2預(yù)共享密鑰（WPA/WPA2PSK）等。WPA/WPA2定義的PSK認(rèn)證方法是一種弱認(rèn)證方法，很容易受到暴力字典(通過(guò)大量猜測(cè)和窮舉的方式來(lái)嘗試獲取用戶(hù)口令的攻擊方式)的攻擊。雖然這種簡(jiǎn)單的PSK認(rèn)證是為小型無(wú)線網(wǎng)絡(luò)設(shè)計(jì)的，但實(shí)際上很多企業(yè)也使用WPA/WPA2。由于所有Sta上的PSK都是相同的，如果用戶(hù)不小心將PSK泄露，WLAN的安全性將受到威脅。為保證安全，所有Sta就必須重新配置一個(gè)新的PSK。WLAN加密技術(shù)在WLAN用戶(hù)通過(guò)認(rèn)證并被賦予訪問(wèn)權(quán)限后，網(wǎng)絡(luò)必須保護(hù)用戶(hù)所傳送的數(shù)據(jù)不被泄露，其主要方法是對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密。WLAN采用的加密技術(shù)主要有：WEP加密、TKIP（TemporalKeyIntegrityProtocol，臨時(shí)密鑰完整性協(xié)議）加密和CCMP（CounterModewithCipher-BlockChainingMessageAuthenticationCodeProtocol，計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證碼協(xié)議）加密等。項(xiàng)目規(guī)劃設(shè)計(jì)公司原有網(wǎng)絡(luò)是通過(guò)DHCP管理客戶(hù)端IP地址的，網(wǎng)關(guān)和DHCP地址池都放置于核心交換機(jī)中，因IP地址需統(tǒng)一管理，公司網(wǎng)絡(luò)管理員需要將無(wú)線用戶(hù)的網(wǎng)關(guān)和DHCP地址池也配置在核心交換機(jī)上。同時(shí)，需要在Ap上配置WLAN加密、隱藏SSID、全局白名單等功能，以提高網(wǎng)絡(luò)的安全性。項(xiàng)目規(guī)劃設(shè)計(jì)1、VLAN規(guī)劃2、設(shè)備管理規(guī)劃VLAN-IDVLAN命名網(wǎng)段用途VLAN10user192.168.10.0/24無(wú)線用戶(hù)網(wǎng)段VLAN99mgmt192.168.99.0/24設(shè)備管理網(wǎng)段設(shè)備類(lèi)型型號(hào)設(shè)備命名console密碼用戶(hù)名密碼無(wú)線接入點(diǎn)AP4050DNAPHuawei@123adminHuawei@123交換機(jī)S5700SWHuawei@123adminHuawei@123項(xiàng)目規(guī)劃設(shè)計(jì)3、端口互聯(lián)規(guī)劃4、IP規(guī)劃本端設(shè)備本端端口端口配置對(duì)端設(shè)備對(duì)端端口APG0/0/0trunkpvidvlan99SWG0/0/1SWG0/0/1trunkpvidvlan99AP1G0/0/0設(shè)備接口IP地址用途SWVLAN10192.168.10.1-253/24DHCP分配給無(wú)線用戶(hù)192.168.10.254/24無(wú)線用戶(hù)網(wǎng)段網(wǎng)關(guān)VLAN99192.168.99.254/24設(shè)備管理網(wǎng)關(guān)APVLAN99192.168.99.1AP管理地址項(xiàng)目規(guī)劃設(shè)計(jì)5、VAP規(guī)劃6、Radio規(guī)劃VAPVLANSSID加密方式是否廣播VAP110Huawei12345678否AP名稱(chēng)WLAN-RadioVAPWLAN-ID頻率與信道功率AP0/0/0VAP112.4G:1100%AP0/0/1VAP115.8G:149100%任務(wù)1交換機(jī)的配置任務(wù)描述交換機(jī)的配置包括交換機(jī)的遠(yuǎn)程管理配置、VLAN和IP地址配置、端口配置和DHCP服務(wù)配置。任務(wù)1交換機(jī)的配置1、配置遠(yuǎn)程登錄和管理密碼<Quidway>system-view進(jìn)入系統(tǒng)視圖[Quidway]sysnameSW配置設(shè)備名稱(chēng)[SW]user-interfacevty04進(jìn)入虛擬鏈路[SW-ui-vty0-4]protocolinboundtelnet配置協(xié)議為telnet[SW-ui-vty0-4]authentication-modeaaa配置認(rèn)證模式為aaa[SW-ui-vty0-4]quit退出[SW]aaa進(jìn)入aaa視圖[SW-aaa]local-useradminpasswordirreversible-cipherHuawei@123創(chuàng)建admin用戶(hù)并配置密碼Huawei@123[SW-aaa]local-useradminservice-typetelnet配置用戶(hù)類(lèi)型為telnet用戶(hù)[SW-aaa]local-useradminprivilegelevel15配置用戶(hù)等級(jí)為15[SW-aaa]quit退出任務(wù)1交換機(jī)的配置2、創(chuàng)建各部門(mén)使用的VLAN，配置設(shè)備的IP地址，即用戶(hù)的網(wǎng)關(guān)地址[SW]vlan10創(chuàng)建VLAN10[SW-vlan10]nameUSERVLAN命名為USER[SW-vlan10]quit退出[SW]vlan99創(chuàng)建VLAN99[SW-vlan99]nameMgmtVLAN命名為Mgmt[SW-vlan99]quit退出[SW]interfaceVlanif10進(jìn)入vlanif10接口[SW-Vlanif10]ipaddress192.168.10.25424配置IP地址[SW-Vlanif10]quit退出[SW]interfaceVlanif99進(jìn)入vlanif99接口[SW-Vlanif99]ipaddress192.168.99.25424配置IP地址[SW-Vlanif99]quit退出任務(wù)1交換機(jī)的配置3、配置與AP互聯(lián)接口；[SW]interfaceGigabitEthernet0/0/1進(jìn)入G0/0/1接口視圖[SW-GigabitEthernet0/0/1]portlink-typetrunk配置接口類(lèi)型為trunk[SW-GigabitEthernet0/0/1]porttrunkpvidvlan99配置接口默認(rèn)VLAN[SW-GigabitEthernet0/0/1]porttrunkallow-passvlan1099配置接口放行VLAN列表[SW-port-group]quit退出任務(wù)1交換機(jī)的配置4、開(kāi)啟核心設(shè)備的DHCP服務(wù)功能，創(chuàng)建用戶(hù)的DHCP地址池；[SW]dhcpenable開(kāi)啟DHCP服務(wù)[SW]ippoolvlan10創(chuàng)建vlan10的地址池[SW-ip-pool-vlan10]network192.168.10.0mask24配置分配的IP地址段[SW-ip-pool-vlan10]gateway-list192.168.10.254配置分配的網(wǎng)關(guān)地址[SW-ip-pool-vlan10]dns-list8.8.8.8配置分配的DNS地址[SW-ip-pool-vlan10]quit退出[SW]interfaceVlanif10進(jìn)入vlanif10接口[SW-Vlanif10]dhcpselectglobalDHCP選擇全局配置[SW-Vlanif10]quit退出任務(wù)1交換機(jī)的配置任務(wù)驗(yàn)證1、在交換機(jī)上使用displayipinterfacebrief，查看交換機(jī)的IP地址信息，如圖所示；<SW>displayipinterfacebrief*down:administrativelydown^down:standby(l):loopback(s):spoofing(E):E-TrunkdownThenumberofinterfacethatisUPinPhysicalis4ThenumberofinterfacethatisDOWNinPhysicalis1ThenumberofinterfacethatisUPinProtocolis4ThenumberofinterfacethatisDOWNinProtocolis1

Interface IPAddress/Mask Physic ProtocolMEth0/0/1 unassigned down downNULL0 unassigned up up(s)Vlanif10 192.168.10.254/24 up upVlanif99 192.168.99.254/24 up up圖6-2displayipinterfacebrief任務(wù)1交換機(jī)的配置2、在交換機(jī)上使用displayportvlan，查看接口的VLAN信息，如圖所示。<SW>displayportvlanPort LinkType PVID TrunkVLANList-------------------------------------------------------------------------------GigabitEthernet0/0/1 trunk 99 1102099GigabitEthernet0/0/2 desirable 1 1-4094GigabitEthernet0/0/3 desirable 1 1-4094GigabitEthernet0/0/4 desirable 1 1-4094任務(wù)2AP的配置任務(wù)描述AP的配置包括遠(yuǎn)程管理、VLAN和IP地址配置、端口配置、WLAN配置、天線配置、無(wú)線配置等內(nèi)容。任務(wù)2AP的配置1、使用console登錄AP，并配置遠(yuǎn)程登錄和管理密碼<Huawei>system-view進(jìn)入系統(tǒng)視圖[Huawei]sysnameAP1配置設(shè)備名稱(chēng)[AP]user-interfacevty04進(jìn)入虛擬鏈路[AP-ui-vty0-4]protocolinboundtelnet配置協(xié)議為telnet[AP-ui-vty0-4]authentication-modeaaa配置認(rèn)證模式為aaa[AP-ui-vty0-4]quit退出[AP]aaa進(jìn)入aaa視圖[AP-aaa]local-useradminpasswordirreversible-cipherHuawei@123創(chuàng)建admin用戶(hù)并配置密碼Huawei@123[AP-aaa]local-useradminservice-typetelnet配置用戶(hù)類(lèi)型為telnet用戶(hù)[AP-aaa]local-useradminprivilegelevel15配置用戶(hù)等級(jí)為15[AP-aaa]quit退出任務(wù)2AP的配置2、配置VLAN和IP地址[AP1]vlan10創(chuàng)建VLAN10[AP1-vlan10]nameUSERVLAN命名為USER[AP1-vlan10]quit退出[AP1]vlan99創(chuàng)建VLAN99[AP1-vlan99]nameMgmtVLAN命名為Mgmt[AP1-vlan99]quit退出[AP1]interfaceVlanif99進(jìn)入VLANif99接口[AP1-Vlanif99]ipaddress192.168.99.124配置IP地址[AP1-Vlanif99]quit退出[AP]iproute-static0.0.0.00192.168.99.254配置默認(rèn)路由任務(wù)2AP的配置3、配置與上聯(lián)交換機(jī)互聯(lián)的以太網(wǎng)物理接口為T(mén)runk模式[AP1]interfaceGigabitEthernet0/0/0進(jìn)入G0/0/0接口視圖[AP1-GigabitEthernet0/0/0]portlink-typetrunk配置接口類(lèi)型為trunk[AP1-GigabitEthernet0/0/0]porttrunkpvidvlan99配置接口默認(rèn)VLAN[AP1-GigabitEthernet0/0/0]porttrunkallow-passvlan1099配置接口放行VLAN列表[AP1-GigabitEthernet0/0/0]quit退出任務(wù)2AP的配置4、定義SSID；[AP1]wlan進(jìn)入WLAN視圖[AP1-wlan-view]ssid-profilenameSSID1創(chuàng)建SSID配置文件[AP1-wlan-ssid-prof-SSID1]ssidHuawei定義SSID[AP1-wlan-ssid-prof-SSID1]quit退出[AP1-wlan-view]vap-profilenameVAP1創(chuàng)建VAP配置文件[AP1-wlan-vap-prof-VAP1]service-vlanvlan-id10配置VAP關(guān)聯(lián)VLAN[AP1-wlan-vap-prof-VAP1]ssid-profileSSID1配置VAP關(guān)聯(lián)SSID1文件[AP1-wlan-vap-prof-VAP1]quit退出到WLAN視圖[AP1-wlan-view]quit退出到系統(tǒng)視圖任務(wù)2AP的配置5、創(chuàng)建射頻卡子接口并關(guān)聯(lián)SSID；[AP]interfaceWlan-Radio0/0/0進(jìn)入無(wú)線射頻卡接口0/0/0[AP-Wlan-Radio0/0/0]undovap-profiledefault-ssidwlan1取消WLAN1默認(rèn)綁定的VAP文件[AP-Wlan-Radio0/0/0]vap-profileVAP1wlan1WLAN1綁定VAP文件[AP-Wlan-Radio0/0/0]quit退出[AP]interfaceWlan-Radio0/0/1進(jìn)入無(wú)線射頻卡接口0/0/1[AP-Wlan-Radio0/0/1]undovap-profiledefault-ssidwlan1取消WLAN1默認(rèn)綁定的VAP文件[AP-Wlan-Radio0/0/1]vap-profileVAP1wlan1WLAN1綁定VAP文件[AP-Wlan-Radio0/0/1]quit退出任務(wù)2AP的配置任務(wù)驗(yàn)證1、在AP上使用displayvapall，查看所有VAP信息，如圖所示。[AP]displayvapallInfo:Thisoperationmaytakeafewseconds,pleasewait.WID:WLANID----------------------------------------------------------------------------APMACRfIDWIDBSSIDStatusAuthtypeSTASSID----------------------------------------------------------------------------c4b8-b469-32e001C4B8-B469-32E0ONOpen0Huaweic4b8-b469-32e011C4B8-B469-32F0ONOpen0Huawei----------------------------------------------------------------------------Total:2任務(wù)3無(wú)線安全配置任務(wù)描述無(wú)線安全的配置包括對(duì)WLAN開(kāi)啟WPA2加密，設(shè)置預(yù)共享密鑰，將SSID設(shè)置為隱藏，并配置白名單允許合法用戶(hù)接入和配置黑名單禁止非法用戶(hù)接入。任務(wù)3無(wú)線安全配置1、開(kāi)啟加密功能和設(shè)置密碼；[AP]wlan進(jìn)入WALN視圖[AP-wlan-view]security-profilenamewpa2創(chuàng)建安全加密配置文件[AP-wlan-sec-prof-wpa2]securitywpa2pskpass-phrase12345678aes認(rèn)證協(xié)議wpa2，密碼為12345678，加密方式為高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard,AES）[AP-wlan-vap-prof-wpa2]quit退出[AP-wlan-view]vap-profilenameVAP1進(jìn)入VAP配置文件[AP-wlan-vap-prof-VAP1]security-profilewpa2配置VAP關(guān)聯(lián)安全加密文件[AP-wlan-vap-prof-VAP1]quit退出任務(wù)3無(wú)線安全配置2、將無(wú)線SSID調(diào)整為非廣播模式；[AP-wlan-view]ssid-profilenameSSID1進(jìn)入SSID1配置文件[AP-wlan-ssid-prof-SSID1]ssid-hideenable配置SSID隱藏[AP-wlan-ssid-prof-SSID1]quit退出任務(wù)3無(wú)線安全配置3、配置全局白名單；[AP-wlan-view]sta-whitelist-profilenamewhitelist創(chuàng)建白名單配置文件[AP-wlan-whitelist-prof-whitelist]sta-mac0C82-680C-E699綁定STA的MAC地址[AP-wlan-whitelist-prof-whitelist]quit退出[AP-wlan-view]vap-profilenameVAP1進(jìn)入VAP1配置文件[AP-wlan-vap-prof-VAP1]sta-access-modewhitelistwhitelist指定STA連接模式為白名單，選擇白名單文件[AP-wlan-vap-prof-VAP1]quit退出任務(wù)3無(wú)線安全配置任務(wù)驗(yàn)證1、在AP上使用displayvapall，查看所有VAP信息，如圖所示；[AP]disvapallInfo:Thisoperationmaytakeafewseconds,pleasewait.WID:WLANID--------------------------------------------------------------------------APMACRfIDWIDBSSIDStatusAuthtypeSTASSID--------------------------------------------------------------------------c4b8-b469-32e001C4B8-B469-32E0ONWPA2-PSK0Huaweic4b8-b469-32e011C4B8-B469-32F0ONWPA2-PSK0Huawei--------------------------------------------------------------------------Total:2任務(wù)3無(wú)線安全配置2、在AP上使用displayssidnameSSID1查看SSID1配置文件信息，如圖所示；[AP]disssidnameSSID1-------------------------------------------------------------------ProfileID :2SSID :HuaweiSSIDhide :enableAssociationtimeout(min) :5MaxSTAnumber :64ReachmaxSTASSIDhide :enableLegacystation :enableDTIMinterval :1Beacon2.4Grate(Mbps) :1Beacon