h3c msr系列路由器操作手冊(cè)v1.13-wlan分冊(cè)

1 1 1 2 4 4 4 5 6 6 9 配置 WLAN服務(wù)的顯示和..........................................................................................................1- 基于AP的用戶接入控制顯示和...........................................................................................1- H3CMSR系列路由器對(duì)相關(guān)命令參數(shù)支持情況、缺省值及取值范圍的差異內(nèi)容請(qǐng)參見本模塊的WLAN服務(wù)配WLAN（WirelessLocalAreaNetwork，無(wú)線局域網(wǎng)）技術(shù)是通信領(lǐng)域的熱點(diǎn)之一，和有線相無(wú)線用戶可以傳統(tǒng)802.3局域網(wǎng)使用不同認(rèn)證和，安全地WLAN常用術(shù)帶有無(wú)線網(wǎng)卡的PC或便攜式筆記本電腦等AP提供無(wú)線客戶端到局域網(wǎng)的橋接功能，在無(wú)線客戶端與無(wú)線局域網(wǎng)之間進(jìn)行無(wú)線到有線和有線AP進(jìn)行控制和管理。無(wú)線控制器還可以通過同認(rèn)證服務(wù)器交互信息，來(lái)為WLAN用戶提供認(rèn)證服務(wù)。FAT到無(wú)線的轉(zhuǎn)換，而FATAP在這個(gè)過程中起到了橋梁的作用。（ServiceSetIdentifier，服務(wù)組合識(shí)別碼），客戶端可以先掃描所有網(wǎng)絡(luò)，然后選擇特定的接入某個(gè)指定無(wú)線網(wǎng)絡(luò)。AP管理實(shí)時(shí)任務(wù)，如信標(biāo)生成、探查回應(yīng)、電源管理、報(bào)文緩存、報(bào)文分片和分片重組、調(diào)度、調(diào)度及802.11e分類。用戶接入過圖1-1建立無(wú)線連接過 主動(dòng)掃描主動(dòng)掃描 掃AuthenticationRequestAuthenticationResponseAssociationRequestAssociationResponse用戶試圖主動(dòng)尋找網(wǎng)絡(luò)時(shí)，可用主動(dòng)掃描對(duì)周圍的無(wú)線網(wǎng)絡(luò)進(jìn)行掃描。根據(jù)是否攜帶指定，客戶端發(fā)送ProbeRequest（為null）：用戶預(yù)先配有一個(gè)信道列表，客戶端在信道列表中的信道上廣播探查請(qǐng)求幀（ProbeRequest）。AP收到探查請(qǐng)求幀后，回應(yīng)探查響應(yīng)幀（ProbeResponse）AP進(jìn)行關(guān)聯(lián)。這種方法適用于無(wú)線客戶端圖1-2主動(dòng)掃描過程（ProbeRequest中為ProbeRequest（ProbeRequest攜帶指定的）：這種情況下，因?yàn)榭蛻舳藬y帶指定的，只會(huì)單播發(fā)送探查請(qǐng)求幀（ProbeRequest），相應(yīng)的AP接受到后回復(fù)圖1-3主動(dòng)掃描過程（ProbeRequest攜帶指定的APBeacon幀來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)。用戶預(yù)先配有用于掃描的信道列表，在每個(gè)信道上信標(biāo)。掃描要求AP周期性發(fā)送Beacon幀。當(dāng)用戶需要節(jié)省電量時(shí)，可以使用掃描。一般VoIP語(yǔ)音終端通常使用掃描方式。圖1-4掃描過為防止用戶接入，首先需要在用戶和AC/FATAP之間建立認(rèn)證，認(rèn)證機(jī)制包括兩種。只有通如果用戶想通過AP接入無(wú)線網(wǎng)絡(luò)，用戶必須同特定的AP關(guān)聯(lián)。當(dāng)用戶通過指定選擇無(wú)線網(wǎng)關(guān)聯(lián)響應(yīng)。用戶每次只可以關(guān)聯(lián)到一個(gè)AP上，并且關(guān)是由用戶發(fā)起。解除認(rèn)證用于中斷已經(jīng)建立的認(rèn)證關(guān)系。AC/FATAP發(fā)送解除認(rèn)證幀來(lái)將用戶從無(wú)線系統(tǒng)中清除。當(dāng)客戶端從一個(gè)AP區(qū)域/BSS區(qū)域漫游到另一個(gè)AP區(qū)域/BSS區(qū)域時(shí)，客戶端使用重新關(guān)聯(lián)。AP傳送重新關(guān)聯(lián)請(qǐng)求到AC。AC通知先前的AP從數(shù)據(jù)庫(kù)中刪除此用戶信息，并通知新AP添加用戶802.11協(xié)議概在分離MAC架構(gòu)中，AP和AC負(fù)責(zé)管理不同的功能。CAPWAPCAPWAP（ControllingandProvisioningofWirelessAccessPoint，無(wú)線接入點(diǎn)控制與供應(yīng)）協(xié)議定義APAC之間如何通信，為實(shí)APAC之間的互通性提供一個(gè)通用封裝和傳輸機(jī)制，如圖1-5CAPWAP之間的通信依照標(biāo)準(zhǔn)UDP客戶端/服務(wù)器CAPWAPAC的數(shù)據(jù)包。這些數(shù)據(jù)包可以是802.11IP網(wǎng)絡(luò)中CAPWAPUDP協(xié)議作為承載協(xié)議，并支持IPv4IPv6協(xié)議。CAPWAP支持鏈路為了實(shí)現(xiàn)無(wú)線控制器的備份，AP需要與兩個(gè)無(wú)線控制器分別建立信道。這兩臺(tái)無(wú)線控制器之間為主備份的關(guān)系，且對(duì)于需要提供服務(wù)的同一AP，其AP視圖下的配置必須保持一致。處于主用狀A(yù)P提供服務(wù)，而備用無(wú)線控制器為主用無(wú)線控制器提供備份。通過心圖1-6雙鏈路連AC1出現(xiàn)故障后，AC2的工作狀態(tài)立即由備用轉(zhuǎn)控制器。當(dāng)AC1恢復(fù)連接后，AC1保持在備用狀態(tài)。圖1-7PrimaryAC支持雙鏈路連 ACAC2會(huì)成為MasterACAC1PrimaryACAC1AP建立連接，成為MasterAC。AC圖1-8AC同時(shí)支持兩種工作狀 AP AP AC可以同時(shí)提供主備份連接。在上圖中，AC1AP1AP2提供備份鏈路。類似的，AC2AP2建立主用鏈路，同時(shí)為AP1提供備份鏈路。AC組網(wǎng)拓VLAN一個(gè)AP所覆蓋的范圍被稱為BSS（BasicServiceSet，基本服務(wù)集）。每一個(gè)BSS由B 到了同樣的，那么他們就可以互相通信。圖1-9為單一BSS網(wǎng)絡(luò)組網(wǎng)示意圖。圖1-9BSS網(wǎng)ESS（ExtendedServiceSet，擴(kuò)展服務(wù)集）。這些客戶端可以互相，也可以網(wǎng)絡(luò)中的主機(jī)。屬于同一BSS的客戶端之間的通信由AP和AC實(shí)它可以加入一個(gè)可用的ESS1-10為多ESS網(wǎng)絡(luò)組網(wǎng)示意圖。圖1-10ESS網(wǎng)標(biāo)或探查響應(yīng)幀，在網(wǎng)絡(luò)中廣播這些ESS的當(dāng)前信息，客戶端可以根據(jù)情況選擇加入的ESS。圖1-11集中式WLAN系A(chǔ)PAPAP三層網(wǎng)絡(luò)連接到AC上。。 使用認(rèn)證服務(wù)器來(lái)驗(yàn)證無(wú)線客戶端FATAP到了同樣的，那么他們就可以互相通信。圖1-12為單一BSS網(wǎng)絡(luò)組網(wǎng)示意圖。圖1-12BSS網(wǎng)AP，它可以加入一個(gè)可用的ESS1-13為多ESS網(wǎng)絡(luò)組網(wǎng)示意圖。圖1-13ESS網(wǎng)幀，在網(wǎng)絡(luò)中廣播這些ESS的當(dāng)前信息，客戶端可以根據(jù)情況選擇加入的ESS。ESS多BSS（多重射頻情況1-14所示組網(wǎng)描述了FATAP在單一邏輯管理時(shí)有超過一個(gè)頻段的應(yīng)用。所有的頻段支持相同的圖1-14ESSBEE組FATRadioBSSRadioBSSESSANSI/IEEEStd802.11,1999IEEEStdIEEEStdIEEEStdIEEEStd配置WLANWLAN表1-1WLAN服務(wù)配置任使能WLAN服務(wù)（僅AC支持配置全局WLAN參數(shù)（僅FATAP支持配置上行接口（僅FATAP支持配置AP（僅AC支持使能WLAN服務(wù)（僅AC支持表1-2使能WLAN服-使能WLANwlan缺省情況下，WLAN配置全局WLAN參數(shù)（僅FATAP支持表1-3配置全局WLAN參-配置FATAP空閑超時(shí)時(shí)間間wlanclientidle-秒配置FATAP生存超時(shí)時(shí)間間wlanclientkeep-alive配置FATAP發(fā)現(xiàn)策缺省情況下，F(xiàn)ATAP接收廣播Probe配置上行接口（僅FATAP支持FATAP用來(lái)在客戶端和有線網(wǎng)絡(luò)之間建立連接。所以在FATAP上需要有個(gè)連接有線網(wǎng)絡(luò)的接口，圖1-15上行接口組網(wǎng)WiredWiredL2UplinkFAT表1-4配置上行接-配置國(guó)家配置AP之前，必須配置有效的國(guó)家碼或區(qū)域碼。表1-5配置國(guó)家-wlancountry-codeFITAP為零配置設(shè)備，該設(shè)備在上電后可以自動(dòng)發(fā)AC，但缺省情況下FITAPAC軟件版本一致。在AC上通過配置軟件自動(dòng)升級(jí)命FITAPAC的軟件版本，升AC版本后，不再需要人員升級(jí)FITAP設(shè)備版本。表1-6配置軟件自動(dòng)升-wlanapdbmodel-時(shí)的版本，即要求FITAP設(shè)備和AC設(shè)備軟件版本一致配置服務(wù)模WLAN服務(wù)模板包括一些屬性，如WLAN-ESS接口和認(rèn)證算法（開放系統(tǒng)認(rèn)證或共表1-7配置服務(wù)模--指定WLAN接口并進(jìn)入WLAN-（僅AC支持此命令的支持情況與-配置WLAN服務(wù)模service-template-number{clearcrypto---（僅AC支持此命令的支持情況與[vlanvlan-id-list{open-system|shared-key分冊(cè)”中的“WLAN安全配置”最多為64配置AP（僅AC支持AP用來(lái)在無(wú)線控制器和無(wú)線網(wǎng)絡(luò)之間建立連接。AP通過射頻信號(hào)同無(wú)線網(wǎng)絡(luò)的客戶端建立連接，表1-8-wlanapap-name-description缺省情況下，響應(yīng)時(shí)間間隔為10限制ACAP發(fā)送數(shù)據(jù)報(bào)文的速[cbscommitted-burst-size配置Jumbo幀的門限jumboframeenable缺省情況下，關(guān)閉Jumbo幀的功clientidle-timeout3600clientkeep-aliveprioritylevel-配置AC發(fā)現(xiàn)策wlanlwappdiscovery-policy使能WLANwlanradio{disable|enable{radio-policyradio-policy-nameall|dot11a|dot11b|dot11g缺省情況下，WLAN射頻處于關(guān)閉配置AP自動(dòng)表1-9AP自動(dòng)發(fā)-wlanauto-apwlanapap-name-serial-id-wlanauto-appersistent{nameauto-ap-name[new-ap-name]|all}配置CAPWAP支持雙鏈路（僅AC支持表1-10CAPWAP支持雙鏈-AC的IP地wlanbackup-ac{ipipv4-|ipv6ipv6-address備份ACwlanapap-name-prioritylevelAC成為PrimaryACAC出現(xiàn)故立連接，成為MasterAC配置必須保持一致。否則當(dāng)無(wú)線控制器的主備狀態(tài)切換之后，無(wú)法保證AP設(shè)備工作正常。表1-11AP射頻（AC設(shè)備-wlanapap-name-radioradio-number[{dot11a|dot11b|dot11g}channel{channel-numberauto即auto模式preamble{long|short使能自動(dòng)（AdaptiveNoiseaniwlanradio-policy命令創(chuàng)建自定義的radio表1-12AP射頻（FATAP設(shè)備--radio-type{dot11b|dot11gdot11achannel{channel-numberautopreamble{long|short在射頻策略/接口下可以配置一系列的射頻參數(shù)。如果將某個(gè)射頻策略映射到某個(gè)射頻（dot11b/g或dot11a），則該射頻就繼承在射頻策略里配置的所有參數(shù)。表1-13配置射頻策略/接-wlanradio--進(jìn)入WLAN射頻TrafficIndicationMessage，數(shù)據(jù)待dtim期是信標(biāo)周期的counter倍fragment-threshold2346rts-threshold缺省情況下，RTS門限值為2346long-retrythreshold幀的最大重傳次數(shù)為4short-retrythreshold缺省情況下，幀長(zhǎng)不大于RTS門限值的幀的最大重傳次數(shù)為7缺省情況下，AP保存接收的數(shù)據(jù)包的時(shí)間間隔為2000毫秒802.11n802.112.4GHz5GHzWLAN接入用戶提供更高的“接入速率”，802.11n提高通訊速率的主要在于增加帶寬和提高信道利用增加帶寬：802.11n通過將兩個(gè)20MHz的帶寬綁定在一起組成一個(gè)40MHz通訊帶寬，在實(shí)際工作時(shí)可以作為兩個(gè)20MHz的帶寬使用（一個(gè)為主帶寬，一個(gè)為次帶寬，收發(fā)數(shù)據(jù)時(shí)既可以40MHz的帶寬工作，也可以單個(gè)20MHz帶寬工作），這樣可將速率提高一倍，提高無(wú)線網(wǎng)絡(luò)的吞吐量。802.11nA-MPDUMPDUA-MPDU，只保留一PHYMPDUPHYMPDUPHY頭的附加信息，同時(shí)也減少了ACK幀的數(shù)目，從而降低了協(xié)議的負(fù)荷，有效的提高網(wǎng)絡(luò)吞吐量。802.11nMACA-MSDUMSDU組合成一個(gè)MSDU發(fā)送A-MPDU類似，通過聚合，A-MSDUMSDUMAC頭的附加信息，提高了MAC層的傳輸效率。802.11n11a/gGI800us，而短間ShortGI時(shí)長(zhǎng)為400us，在使用ShortGI的情況下，可提高10%的速率。表1-14-wlanapap-name-{dot11an|dot11gn-指定當(dāng)前Radio接口的帶寬模channelband-width{20|40802.11a用戶接入；802.11gn類short-gi缺省情況下，ShortGI功能處于使能狀a-msdu缺省情況下，802.11n模式下A-a-mpdu缺省情況下，在802.11n模式A-MPDU功能處于使能狀radio關(guān)于802.11n的基本MCS集和支持RRM配置”表1-15WLAN服務(wù)的顯示和（AC設(shè)備displaywlanap{all|nameap-name}[verbosedisplaywlanap-model{all|nameap-namedisplaywlanapreboot-lognameap-顯示W(wǎng)LAN射頻策displaywlanradio-policy[radio-policy-name顯示W(wǎng)LAN服務(wù)模板信顯示W(wǎng)LAN統(tǒng)計(jì)信displaywlanstatistics[client[all|mac-mac-address]|radio[ap-name]顯示W(wǎng)LANdisplaywlanclient{apap-name[radioradio-number]service-template-number}[verboseresetwlanap{all|nameap-name清除WLAN重啟日resetwlanapreboot-log{all|nameap-name清除WLAN統(tǒng)計(jì)信resetwlanstatistics{client[all|mac-addressmac-address|radio[ap-name]切斷WLANAP連resetwlanclient{all|mac-addressmac-address表1-16WLAN服務(wù)的顯示和（FATAP設(shè)備displaywlanclient{interfacewlan-[wlan-radio-number]|mac-addressmac-addressdisplaywlanservice-template[service-template-numberdisplaywlanstatisticsclient{all|mac-切斷WLANAP連resetwlanclient{all|mac-addressmac-addressresetwlanstatisticsclient{all|mac-addressmac-address配置基于AP的用戶接入控制（AC支持客戶端所接入的AP。如圖1-16所示，Client1、Client2和Client3可以通過AP1～AP3接入到外的AP接入策略，使Client1和Client2只能通過AP1和AP2網(wǎng)絡(luò)，而Client3只能通過AP3網(wǎng)絡(luò)。AP接入策略可以通過用戶在UserProfile下配置客戶端關(guān)聯(lián)的AP組，這樣就可以確保客圖1-16用戶接入控制組網(wǎng)應(yīng)AP表1-17AP--APAP，也可以一次設(shè)置多AP（一次輸入10個(gè)description應(yīng)用配置的AP表1-18應(yīng)用AP-如果指UserProfile不存在，則先創(chuàng)建指定UserProfileUserProfile視圖特定的AP組wlanpermit-ap-groupgroup--AC基于AP的用戶接入控制顯示和表1-19AP的用戶接入控制顯displaywlanap-group[group-id配置基于的用戶接入控在有用戶臨時(shí)需要接入網(wǎng)絡(luò)時(shí)，需要臨時(shí)為用戶建立一個(gè)賬戶，通過基于的接入控制可以達(dá)到限制的目的，即限制用戶只能在指定的登陸。的接入控制可以通過在UserProfile下配置允許接入的來(lái)實(shí)現(xiàn)。配置允許接入的UserProfile下配置允許接入的。配置完畢的UserProfile-如果指UserProfile不存在，則先創(chuàng)建指定UserProfileUserProfile視圖允許接入的wlan -，可用任意接入無(wú)線網(wǎng)-WLAN服務(wù)典型配置舉例（AC應(yīng)用AC與二層交換機(jī)相連，AP1（IDSZ001）AP2（IDSZ002）通過二層交換機(jī)AC相連。AP1、AP2AC在同一個(gè)網(wǎng)絡(luò)。AP1AP2DHCPServerIP地址。AC的IP地址是10.18.1.1/24。圖1-17WLAN服務(wù)組網(wǎng)DHCPAPAPL2#<AC>system-view[AC]wlanWLANESS[AC]interfacewlan-ess1[AC-WLAN-ESS1]quit#[AC]wlanservice-template1clear [AC-wlan-st-1]bindwlan-ess[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]service-templateenable[AC-wlan-st-1][AC]wlanradio-policy[AC-wlan-rp-radiopolicy1]beacon-interval[AC-wlan-rp-radiopolicy1]dtim[AC-wlan-rp-radiopolicy1]rts-threshold[AC-wlan-rp-radiopolicy1]fragment-threshold2200[AC-wlan-rp-radiopolicy1]short-retrythreshold6[AC-wlan-rp-radiopolicy1]long-retrythreshold5[AC-wlan-rp-radiopolicy1]max-rx-duration500[AC-wlan-rp-radiopolicy1]quit[AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]descriptionL3Office[AC-wlan-ap-ap1]radio1type[AC-wlan-ap-ap1-radio-1]channel[AC-wlan-ap-ap1-radio-1]max-power[AC-wlan-ap-ap1-radio-1]radio-policyradiopolicy1[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]quit[AC-wlan-ap-ap1]quit[AC]wlanapap2model[AC-wlan-ap-ap2]serial-id210235A29G007C000021[AC-wlan-ap-ap2]descriptionL4Office[AC-wlan-ap-ap2]radio1typedot11a[AC-wlan-ap-ap2-radio-1]channel[AC-wlan-ap-ap2-radio-1]max-power[AC-wlan-ap-ap2-radio-1]radio-policyradiopolicy1[AC-wlan-ap-ap2-radio-1]service-template1[AC-wlan-ap-ap2-radio-1]quit[AC-wlan-ap-ap2]quit[AC]wlanradioenableWLANAP自動(dòng)發(fā)現(xiàn)配置舉例（AC應(yīng)用AC與二層交換機(jī)相連，AP1AP2AC相連。AP1、AP2AC在同一個(gè)網(wǎng)絡(luò)。AP1和AP2DHCPServerIP地址。ACIP10.18.1.1/24。要求啟用自動(dòng)AP發(fā)現(xiàn)功能，使AP就能夠自動(dòng)連接到AC上。圖1-18WLAN自動(dòng)發(fā)現(xiàn)組網(wǎng)<AC>system-[AC]interfacewlan-ess1[AC-WLAN-ESS1]quit#[AC]wlanservice-template1clear [AC-wlan-st-1]bindwlan-ess[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]service-templateenable[AC-wlan-st-1][AC]wlanradio-policy[AC-wlan-rp-radpolicy1]beacon-interval[AC-wlan-rp-radpolicy1]dtim[AC-wlan-rp-radpolicy1]rts-threshold[AC-wlan-rp-radpolicy1]fragment-threshold2200[AC-wlan-rp-radpolicy1]short-retrythreshold6[AC-wlan-rp-radpolicy1]long-retrythreshold5[AC-wlan-rp-radpolicy1]max-rx-duration500[AC-wlan-rp-radpolicy1]quit[AC]wlanauto-ap[AC]wlanapap1modelWA2100[AC-wlan-ap-ap1]serial-idauto[AC-wlan-ap-ap1]radio1typedot11a[AC-wlan-ap-ap1-radio-1]max-power10[AC-wlan-ap-ap1-radio-1]radio-policyradiopolicy1[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]radioCAPWAP雙鏈路配置舉例（AC應(yīng)用用AC2作為主用無(wú)線控制器。圖1-19CAPWAP雙鏈路配置組網(wǎng)L2<AC1>system-[AC1]interfacewlan-ess1[AC1-WLAN-ESS1]quit#[AC1]wlanservice-template1clear [AC1-wlan-st-1]bindwlan-ess[AC1-wlan-st-1]authentication-methodopen-system[AC1-wlan-st-1]service-templateenable[AC1-wlan-st-1]IP[AC1]wlanbackup-acipAC1AP[AC1]wlanapap1model[AC1-wlan-ap-ap1]serial-id[AC1-wlan-ap-ap1]radio1type[AC1-wlan-ap-ap1-radio-1]service-template1[AC1-wlan-ap-ap1-radio-1]radioenable<AC2>system-[AC2]interfacewlan-ess1[AC2-WLAN-ESS1]quit#[AC2]wlanservice-template1clear [AC2-wlan-st-1]bindwlan-ess[AC2-wlan-st-1]authentication-methodopen-system[AC2-wlan-st-1]service-templateenable[AC2-wlan-st-1]IP[AC2]wlanbackup-acipAC2AP[AC2]wlanapap1model[AC2-wlan-ap-ap1]serial-id[AC2-wlan-ap-ap1]radio1type[AC2-wlan-ap-ap1-radio-1]service-template1[AC2-wlan-ap-ap1-radio-1]radioenable802.11n配置配置使802.11n客戶端接入無(wú)線網(wǎng)絡(luò)。圖1-20WLAN服務(wù)組網(wǎng) L2 <AC>system-[AC]interfacewlan-ess1[AC-WLAN-ESS1]quit#[AC]wlanservice-template1clear [AC-wlan-st-1]bindWLAN-ESS[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]service-templateenable[AC-wlan-st-1][AC]wlanapap1modelWA2610E-[AC-wlan-ap-ap1]serial-id[AC-wlan-ap-ap1]radio1type[AC-wlan-ap-ap1-radio-1]channelband-width40[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]radioenableWLAN服務(wù)典型配置舉例（FATAP應(yīng)用圖1-21WLAN服務(wù)組網(wǎng)<Sysname>system-view[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]#[Sysname]wlanservice-template1clear [Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable[Sysname-wlan-st-1][Sysname]interfacewlan-radio1/0/1[Sysname-WLAN-Radio1/0/1]radio-typedot11a[Sysname-WLAN-Radio1/0/1]channel149[Sysname-WLAN-Radio1/0/1]service-template1interfacewlan-bss<AC>system-[AC]port-security[AC]dot1xauthentication-method[AC]radiusschemewlan-user-[AC-radius-wlan-user-policy]server-type[AC-radius-wlan-user-policy]primaryauthentication10.100.100.100[AC-radius-wlan-user-policy]primaryaccounting10.100.100.100[AC-radius-wlan-user-policy]keyauthenticationwlan[AC-radius-wlan-user-policy]keyaccounting[AC-radius-wlan-user-policy]nas-ip10.100.100.200[AC-radius-wlan-user-policy]quit [AC-isp-universal]authenticationdefaultradius-schemewlan-user-policy[AC-isp-universal]authorizationdefaultradius-schemewlan-user-policy[AC-isp-universal]accountingdefaultradius-schemewlan-user-policy[AC-isp-universal]quit defaultenable#WLAN[AC]interfacewlan-ess[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC-WLAN-ESS1]port-securitytx-key-type11key[AC-WLAN-ESS1]undodot1xmulticast-trigger[AC-WLAN-ESS1]undodot1xhandshake[AC-WLAN-ESS1]WLAN[AC]wlanservice-template1crypto [AC-wlan-st-1]bindwlan-ess[AC-wlan-st-1]authentication-methodopen-system[AC-wlan-st-1]cipher-suiteccmp[AC-wlan-st-1]security-ie[AC-wlan-st-1]service-templateenable[AC-wlan-st-1]quit[AC]wlanapap1model[AC-wlan-ap-ap1]radio1type[AC-wlan-ap-ap1-radio1]service-template1[AC-wlan-ap-ap1-radio1]radioenable[AC-wlan-ap-ap1-radio1]<AC>system-[AC]wlanap-group11[AC-ap-group11]apap1[AC-ap-group11]quit[AC]user-profile[AC-user-profile-management]wlanpermit-ap-group11[AC-user-profile-management]quit[AC]user-profilemanagement圖1-24User兩個(gè)無(wú)線控制AC1AC2通過一個(gè)二層交換機(jī)連接AC處于同一個(gè)漫游組，客戶端先通過AP1獲取無(wú)線服務(wù)，然AC2相連的AP2上。要求客戶端通過允許接入AP接入RADIUS服務(wù)器上的配置和1.10.1相似，此AP1<AC1>system-[AC1]port-security[AC1]dot1xauthentication-methodeap[AC1]interfacewlan-ess1[AC1-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC1-WLAN-ESS1]port-securitytx-key-type11key[AC1-WLAN-ESS1]undodot1xmulticast-trigger[AC1-WLAN-ESS1]undodot1xhandshake[AC1-WLAN-ESS1][AC1]wlanservice-template1crypto [AC1-wlan-st-1]bindwlan-ess[AC1-wlan-st-1]authentication-methodopen-system[AC1-wlan-st-1]cipher-suiteccmp[AC1-wlan-st-1]security-ie[AC1-wlan-st-1]service-templateenable[AC1-wlan-st-1]quit[AC1]wlanapap1model[AC1-wlan-ap-ap1]serial-id210235A045B05B[AC1-wlan-ap-ap1]radio1typedot11g[AC1-wlan-ap-ap1-radio-1]service-template1[AC1-wlan-ap-ap1-radio-1]radioenable[AC1-wlan-ap-ap1-radio-1]quit[AC1-wlan-ap-ap1]quit[AC1]wlanmobility-group[AC1-wlan-mg-abc]sourceip10.18.1.1[AC1-wlan-mg-abc]memberip10.18.1.2[AC1-wlan-mg-abc]mobility-groupenable[AC1-wlan-mg-abc]return<AC1>system-view[AC1]wlanap-group1[AC1-ap-group1]apap1ap2[AC1-ap-group1]quit[AC1]user-profile[AC1-user-profile-management]wlanpermit-ap-group1[AC1-user-profile-management]quit[AC1]user-profilemanagementAP2<AC2>system-[AC2]port-security[AC2]dot1xauthentication-methodeap[AC2]interfacewlan-ess1[AC2-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC2-WLAN-ESS1]port-securitytx-key-type11key[AC2-WLAN-ESS1]undodot1xmulticast-trigger[AC2-WLAN-ESS1]undodot1xhandshake[AC2-WLAN-ESS1][AC2]wlanservice-template1crypto [AC2-wlan-st-1]bindwlan-ess[AC2-wlan-st-1]authentication-methodopen-system[AC2-wlan-st-1]cipher-suiteccmp[AC2-wlan-st-1]security-ie[AC2-wlan-st-1]service-templateenable[AC2-wlan-st-1]quit[AC2]wlanapap1model[AC2-wlan-ap-ap1]serial-id210235A22W[AC2-wlan-ap-ap1]radio1typedot11g[AC2-wlan-ap-ap1-radio-1]service-template1[AC2-wlan-ap-ap1-radio-1]radioenable[AC2-wlan-ap-ap1-radio-1]quit[AC2-wlan-ap-ap1]quit[AC2]wlanmobility-group[AC2-wlan-mg-abc]sourceip10.18.1.2[AC2-wlan-mg-abc]memberip10.18.1.1[AC2-wlan-mg-abc]mobility-groupenable[AC2-wlan-mg-abc]quit[AC2]wlanap-group1[AC2-ap-group1]apap1ap2[AC2-ap-group1]quit[AC2]user-profile[AC2-user-profile-management]wlanpermit-ap-group1[AC2-user-profile-management]quit[AC2]user-profilemanagement 1 1 1 2 3 3 3 4 4 4 5 6 8配置 WLAN安全顯示和................................................................................................................1- iH3CMSR系列路由器對(duì)相關(guān)命令參數(shù)支持情況、缺省值及取值范圍的差異內(nèi)容請(qǐng)參見本模塊的WLAN安全配網(wǎng)絡(luò)，從而無(wú)法充分保護(hù)包含敏感數(shù)據(jù)的網(wǎng)絡(luò)。為了更好的防止未用戶接入網(wǎng)絡(luò)，需要實(shí)施一種性能高于802.11的高級(jí)安全機(jī)制。鏈路認(rèn)證方開放系統(tǒng)認(rèn)證（Opensystem認(rèn)證，第二步是返回認(rèn)證結(jié)果。如果認(rèn)證結(jié)果為“成功”，那么客戶端和AP就通過雙向認(rèn)證。圖1-1開放系統(tǒng)認(rèn)證過 AuthenticationAuthenticationAuthentication共享密鑰認(rèn)證（SharedkeySharedKey認(rèn)證；否則SharedKey認(rèn)證失敗。圖1-2共享密鑰認(rèn)證過 AuthenticationRequestAuthenticationAuthenticationRequestAuthenticationResponse（Challenge）Authentication（EncryptedAuthenticationWLAN服務(wù)的數(shù)據(jù)相對(duì)于有線網(wǎng)絡(luò)，WLANWLAN設(shè)備共802.11WLAN的安全問題，主要的方法為對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密，保證只有特的密鑰，無(wú)法對(duì)數(shù)據(jù)報(bào)文，從而實(shí)現(xiàn)了WLAN數(shù)據(jù)的安全性保護(hù)。目前支持四種安全服務(wù)。的性，防止這些數(shù)據(jù)被隨機(jī)。在實(shí)際實(shí)現(xiàn)中，已經(jīng)廣泛使用104位密鑰的WEP來(lái)代替40位密WEP，104位密鑰WEPWEP-104。雖WEP104在一定程度上提高WEP加TKIPpre-RSNWEP協(xié)議的加密的安全性，其加密的安全性WEP。WEPIV（InitialVector，初始向量）改變但在所有的幀中CCMPCCM結(jié)合CTR（Countermode，計(jì)數(shù)器模式）進(jìn)行性校驗(yàn)，同時(shí)結(jié)合CBC-MAC（區(qū)塊CCM中每個(gè)會(huì)話都需要一個(gè)新的臨時(shí)密鑰。對(duì)于每個(gè)通過給定的臨時(shí)密鑰加密的幀來(lái)說，CCM同對(duì)于同一個(gè)臨時(shí)密鑰，重復(fù)使用PN會(huì)使所有的安全保證無(wú)效。用戶接入認(rèn)成功；如果密鑰不同，PSK接入認(rèn)證失敗。802.1x認(rèn)802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（portbasednetworkaccesscontrolprotocol）。WLAN接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和無(wú)法WLAN中的資源。MAC地址認(rèn)證是一種基于端口和MAC地址對(duì)用戶的網(wǎng)絡(luò)權(quán)限進(jìn)行控制的認(rèn)證方法，它不需要協(xié)議和標(biāo)IEEEStandardforInformationtechnology— municationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements-2004WI-FIProtectedAccess–EnhancedSecurityImplementationBasedOnIEEEP802.11iStandard-Aug2004 systems—Localandmetropolitanareanetworks—Specificrequirements—802.11,1999IEEEStandardforLocalandmetropolitanareanetworks”Port-BasedNetworkAccessControl”802.1X?-2004802.11iIEEEStandardforInformationtechnology— municationsandinformationexchangebetweensystems—Localandmetropolitanareanetworks—Specificrequirements配置WLANWLANWLAN射頻，并在服務(wù)模板中配置表1-1WLAN安全屬性配配置GTK密鑰更使能認(rèn)證方表1-2使能認(rèn)證方-進(jìn)入WLAN服務(wù)模板視service-template-number-{open-system|shared-key只有在使用WEP加密時(shí)才可選對(duì)于RSN和，開放系統(tǒng)認(rèn)證配置PTK生存AP隨機(jī)值（ANonce），站點(diǎn)隨機(jī)值（SNonce），AP的MACMAC地址。表1-3PTK生存時(shí)-進(jìn)入WLAN服務(wù)模板視-ptk-lifetime43200配置GTK密鑰更新方GTK由AC生成，在AP和客戶端認(rèn)證處理的過程中通過組密鑰握手和4次握手的方式發(fā)送到客戶端?？蛻舳耸褂肎TK來(lái)組播和廣播報(bào)文。RSN可以通過四次握手或者組密鑰握手方式來(lái)協(xié)商GTK，而只使用組密鑰握手方式來(lái)協(xié)商GTK。GTKGTK，只有執(zhí)行了gtk-rekeyenable命令，此功能才有效。表1-4配置基于時(shí)間的更新方-進(jìn)入WLAN服務(wù)模板視wlanservice-template-使能GTK更新功缺省情況下，啟動(dòng)GTK配置基于時(shí)間的GTK密鑰更86400新GTK表1-5配置基于數(shù)據(jù)包的密鑰更新方-進(jìn)入WLAN服務(wù)模板視-使能GTK更新功缺省情況下，啟動(dòng)GTK配置基于數(shù)據(jù)包的GTK[packet個(gè)數(shù)據(jù)包后更新GTK密缺省情況下，GTK更新采用基于時(shí)間的更新方法，時(shí)間間隔為86400下。PSK（PresharedKey，預(yù)共享密鑰）模式下使用預(yù)共享密鑰或者口令進(jìn)行認(rèn)證，而企業(yè)模式802.1xRADIUSEAP（ExtensibleAuthenticationProtocol，可擴(kuò)展認(rèn)證協(xié)議）進(jìn)行表1-6配置信息元-進(jìn)入WLAN服務(wù)模板視-RSN是一種僅允許建立RSNA（RobustSecurityNetworkAssociation，健壯安全網(wǎng)絡(luò)連接）的安全網(wǎng)絡(luò)，提供比WEP和 表1-7RSN信息元-進(jìn)入WLAN服務(wù)模板視-security-ie配置加密套crypto類型的服務(wù)模WEP、TKIPCCMPWEPWLANWLAN網(wǎng)絡(luò)的客戶端配置相同的密鑰。WEP加密機(jī)制采用RC4算法（一種流加密算法），支持WEP40WEP104兩種密鑰長(zhǎng)度。表1-8配置-進(jìn)入WLAN服務(wù)模板視-cipher-suite{wep40|wep104配置WEP缺省密wepdefault-key{1|2|3|4{wep40|wep104}{pass-|raw-key}wepkey-id{1|2|3|4表1-9配置-進(jìn)入WLAN服務(wù)模板視-配置TKIP策略時(shí)60到。此時(shí)，TKIP會(huì)啟動(dòng)策略時(shí)間（缺省情況下，暫停活動(dòng)60秒），來(lái)的。表1-10-進(jìn)入WLAN服務(wù)模板視-配置端口安表1-11PSK認(rèn)-進(jìn)入WLAN接進(jìn)入WLAN-接口視圖-進(jìn)入WLAN-port-securitytx-key-type{pass-phrase|raw-key}802.1x認(rèn)表1-12802.1X認(rèn)-WLAN-ESS-WLAN-BSS配置802.1X表1-13MAC認(rèn)-WLAN-ESS-WLAN-BSS802.11i的相關(guān)配置不支持MAC表1-14PSK和MAC認(rèn)-WLAN-ESS進(jìn)入WLAN接-WLAN-BSSport-securitytx-key-typePSK和MAC端口安全模{pass-phrase|raw-key}應(yīng)為64（由數(shù)字9，字母a～f組成）十六進(jìn)制PSK802.1X表1-15PSK802.1X認(rèn)-進(jìn)入WLAN進(jìn)入WLAN-接口視圖-進(jìn)入WLAN-port-securitytx-key-type缺省情況下，沒有使能11key使能PSK802.1Xport-securityport-mode{pass-phrase|raw-key}63個(gè)字符；如果密鑰類型為十六進(jìn)制母a～f組成）十六進(jìn)制數(shù)WAPIRSNA（RobustSecurityNetworkAssociation，健壯安全網(wǎng)絡(luò)連接）的安（normao信息元素）中的指示來(lái)標(biāo)識(shí)。WAPIWAPI-PSKWAPI-CERT模式。PSK模式使用預(yù)共享密鑰或者口令進(jìn)行認(rèn)證，而企業(yè)模式則使用AS服務(wù)器進(jìn)行認(rèn)證。WAPI默認(rèn)支持WPISMS4加密機(jī)制。表1-16配置-進(jìn)入WLAN服務(wù)模板視service-template-number-WLAN安全顯示和完成上述配置后，在任意視圖下執(zhí)行display命令可以顯示配置后WLAN安全的運(yùn)行情況，通過查看表1-17配置WLAN安全顯示displaywlanservice-interface-typeinterface-number][vlanvlan-id][countdisplayport-securitypreshared-keyuser[displayport-security[interfaceinterface-listdisplaydot1x[sessions|statistics][WLANWLAN安全狀態(tài)，具體命令請(qǐng)參考“安全分冊(cè)”中的“端口安全命令”、“802.1x命令”和“MAC地址認(rèn)WLAN安全PSK典型配置PSKAC端相同，為。圖1-3PSK配置組網(wǎng)<AC>system-[AC]port-securityenable[AC]interfacewlan-ess10[AC-WLAN-ESS10]port-securityport-mode[AC-WLAN-ESS10]port-securitypreshared-keypass-phrase[AC-WLAN-ESS10]port-securitytx-key-type11key[AC-WLAN-ESS10][AC]wlanservice-template10crypto [AC-wlan-st-10]bindWLAN-ESS10[AC-wlan-st-10]security-iersn[AC-wlan-st-10]cipher-suiteccmp[AC-wlan-st-10]authentication-methodopen-system[AC-wlan-st-10]service-templateenable[AC-wlan-st-10][AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]radio1typedot11g[AC-wlan-ap-ap1-radio-1]service-template10[AC-wlan-ap-ap2-radio-1]radioenableWLAN安全MAC器的IP地址為10.18.1.88。要求使用MAC認(rèn)證方式對(duì)客戶端進(jìn)行認(rèn)證圖1-4MAC認(rèn)證配置組網(wǎng)RADIUS L2 <AC>system-[AC]port-securityMAC[AC]interfacewlan-ess[AC-WLAN-ESS2]port-securityport-modemac-and-psk[AC-WLAN-ESS2]port-securitytx-key-type11key[AC-WLAN-ESS2]port-securitypreshared-keypass-phrase[AC-WLAN-ESS2]quit[AC]wlanservice-template2crypto [AC-wlan-st-2]bindwlan-ess[AC-wlan-st-2]authentication-methodopen-system[AC-wlan-st-2]cipher-suitetkip[AC-wlan-st-2]security-ie[AC-wlan-st-2]service-templateenable[AC-wlan-st-2]quit[AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]radio1typedot11g[AC-wlan-ap-ap1-radio-1]service-template2[AC-wlan-ap-ap1-radio-1]radioenable[AC-wlan-ap-ap1-radio-1]quit[AC-wlan-ap-ap1]quit[AC]radiusscheme[AC-radius-rad]primaryauthentication10.1.1.88[AC-radius-rad]primaryaccounting10.1.1.88[AC-radius-rad]keyauthentication[AC-radius-rad]key[AC-radius-rad]server-typeextended[AC-radius-rad]user-name-formatwith-[AC-radius-rad]quit [AC-isp-cams]authenticationlan-accessradius-schemerad[AC-isp-cams]authorizationlan-accessradius-schemerad[AC-isp-cams]accountinglan-accessradius-schemerad[AC-isp-cams]quit[AC]mac- [AC]mac-authenticationuser-name-formatmac-addresswithout-#增加接入設(shè)備。 選擇協(xié)議類型為L(zhǎng)AN接入業(yè)務(wù)設(shè)置驗(yàn)證及計(jì)費(fèi)的端分別為1812和圖1-5接入設(shè)備配置頁(yè)圖1-6服務(wù)配置頁(yè)圖1-7用戶配置頁(yè)WLAN安全802.1x典型配置AC相連的RADIUS服務(wù)器的IP地址為10.18.1.88。要求使用802.1X方式進(jìn)行用戶認(rèn)證圖1-8802.1x典型配置組網(wǎng)RADIUS L2 <AC>system-[AC]port-security[AC]dot1xauthentication-method[AC]radiusscheme[AC-radius-rad]primaryauthentication10.18.1.88[AC-radius-rad]primaryaccounting10.18.1.88[AC-radius-rad]keyauthentication[AC-radius-rad]key[AC-radius-rad]server-type[AC-radius-rad]user-name-formatwithout-[AC-radius-rad]quit [AC-isp-cams]authenticationlan-accessradius-schemerad[AC-isp-cams]authorizationlan-accessradius-schemerad[AC-isp-cams]accountinglan-accessradius-schemerad[AC-isp-cams]quit defaultenable[AC]interfaceWLAN-ESS[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext[AC-WLAN-ESS1]port-securitytx-key-type11key[AC-WLAN-ESS1]undodot1xmulticast-trigger[AC-WLAN-ESS1]undodot1xhandshake[AC-WLAN-ESS1][AC]wlanservice-template1crypto [AC-wlan-st-1]bindWLAN-ESS[AC-wlan-st-1]authentication-methodopen-[AC-wlan-st-1]cipher-suitetkip[AC-wlan-st-1]cipher-suiteccmp[AC-wlan-st-1]security-iersn[AC-wlan-st-1]service-templateenable[AC-wlan-st-1]quit[AC]wlanapap1model[AC-wlan-ap-ap1]serial-id210235A29G007C000020[AC-wlan-ap-ap1]radio1typedot11g[AC-wlan-ap-ap1-radio-1]service-template1[AC-wlan-ap-ap1-radio-1]radioenable#增加接入設(shè)備。 選擇協(xié)議類型為L(zhǎng)AN接入業(yè)務(wù)設(shè)置驗(yàn)證及計(jì)費(fèi)的端分別為1812和圖1-9接入設(shè)備配置頁(yè)動(dòng)動(dòng)圖1-10服務(wù)配置頁(yè)圖1-11用戶配置頁(yè)選擇無(wú)線網(wǎng)卡，在驗(yàn)證框中，選擇EAP類型為PEAP，點(diǎn)擊“屬性”，去掉驗(yàn)證服務(wù)器選圖1-12無(wú)線網(wǎng)卡配置過圖1-13無(wú)線網(wǎng)卡配置過圖1-14無(wú)線網(wǎng)卡配置過客戶端通過802.1x認(rèn)證成功關(guān)聯(lián)AP，并且可以無(wú)線網(wǎng)絡(luò)WLAN安全PSK典型配置FATAP與二層交換機(jī)建立連接。客戶端的PSK密鑰是 。FATAP配置的密鑰與客戶端圖1-15PSK配置組網(wǎng)<Sysname>system-view[Sysname]port-securityenable[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-mode[Sysname-WLAN-BSS1]port-securitypreshared-keypass-phrase[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1]quit[Sysname]wlanservice-template1crypto [Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenableWLAN-BSS[Sysname]interfacewlan-radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bssWLAN安全MACFATAPRADIUS服務(wù)器通過二層交換機(jī)建立連接。FATAPIP10.18.1.1，RADIUS服務(wù)器的IP地址為10.18.1.88。要求使用MAC認(rèn)證方式對(duì)客戶端進(jìn)行認(rèn)證圖1-16MAC認(rèn)證配置組網(wǎng)<Sysname>system-view[Sysname]port-securityenable[Sysname]interfacewlan-bss1[Sysname-WLAN-BSS1]port-securityport-modemac-and-psk[Sysname-WLAN-BSS1]port-securitypreshared-keypass-phrase[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1]quit[Sysname]wlanservice-template1crypto [Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]service-templateenable[Sysname]radiusscheme[Sysname-radius-rad]primaryauthentication10.1.1.88[Sysname-radius-rad]primaryaccounting10.1.1.88[Sysname-radius-rad]keyauthentication[Sysname-radius-rad]keyaccounting[Sysname-radius-rad]server-typeextended[Sysname-radius-rad]user-name-formatwith-[Sysname-radius-rad] [Sysname-isp-cams]authenticationlan-accessradius-schemerad[Sysname-isp-cams]authorizationlan-accessradius-schemerad[Sysname-isp-cams]accountinglan-accessradius-schemerad[Sysname-isp-cams]quit[Sysname]mac- [Sysname]mac-authenticationuser-name-formatmac-addresswithout-WLAN-BSS[Sysname]interfacewlan-radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bss請(qǐng)參考“1.3.232)配置RADIUSserverWLAN安全802.1x典型配置FATAPRADIUS服務(wù)器通過二層交換機(jī)建立連接。FATAPIP10.18.1.1，RADIUS服務(wù)器的IP地址為10.18.1.88。要求使用802.1x認(rèn)證方式對(duì)客戶端進(jìn)行認(rèn)證圖1-17802.1x典型配置組網(wǎng)<Sysname>system-[Sysname]port-security[Sysname]dot1xauthentication-method[Sysname]radiusscheme[Sysname-radius-rad]primaryauthentication10.18.1.88[Sysname-radius-rad]primaryaccounting10.18.1.88[Sysname-radius-rad]keyauthentication[Sysname-radius-rad]key[Sysname-radius-rad]user-name-formatwithout-[Sysname-radius-rad]quit [Sysname-isp-cams]authenticationlan-accessradius-schemerad[Sysname-isp-cams]authorizationlan-accessradius-schemerad[Sysname-isp-cams]accountinglan-accessradius-schemerad[Sysname-isp-cams]quit defaultenable[Sysname]interfacewlan-bss[Sysname-WLAN-BSS1]port-securityport-modeuserlogin-secure-ext[Sysname-WLAN-BSS1]port-securitytx-key-type11key[Sysname-WLAN-BSS1][Sysname]wlanservice-template1crypto [Sysname-wlan-st-1]authentication-methodopen-system[Sysname-wlan-st-1]cipher-suiteccmp[Sysname-wlan-st-1]security-iersn[Sysname-wlan-st-1]service-templateenable[Sysname-wlan-st-1]quitWLAN-BSS[Sysname]interfacewlan-radio1/0/2[Sysname-WLAN-Radio1/0/2]radio-typedot11g[Sysname-WLAN-Radio1/0/2]service-template1interfacewlan-bss請(qǐng)參考“1.3.332)配置RADIUSserver請(qǐng)參考“1.3.333)客戶端通過802.1x認(rèn)證，并且可以無(wú)線網(wǎng)絡(luò)安全支持的RSN的加密套件組合方式（WEP40和WEP104不能同時(shí)存在）。 的加密套件組合方式（WEP40和WEP104不能同時(shí)存在）。表1-19WLAN-WSEC支持的的加密套件組合方PreOpennoSecOpennoSecSharednoSecSharednoSecWLANIDS配 1HYPERLINK\l