TCPIP路由交換技術（第二版）課件 項目12 組建安全的無線局域網(wǎng)

項目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術學院學習目標

了解WLAN安全技術了解WLAN認證技術掌握WLAN安全策略

學會WLAN安全加密配置思維導圖了解WLAN安全技術0

1了解WLAN認證技術02學會WLAN安全策略03無線FIT模式多SSID的安全加密04CONTENTS目錄學習任務12.1了解WLAN安全技術12.1.1

WLAN的安全威脅數(shù)據(jù)容易被竊取、攔截、篡改無線信號容易被黑客或惡意用戶竊取、篡改或攔截，從而引發(fā)一系列安全問題。例如，攻擊者可以利用無線信號漏洞來竊取WLAN用戶的賬戶、密碼等個人敏感信息接入網(wǎng)絡，或通過網(wǎng)絡釣魚等手段誘騙用戶輸入個人信息，再利用信息進行詐騙和其他不法行為。地址欺騙由于IEEE802.11系列協(xié)議中網(wǎng)絡對數(shù)據(jù)幀不進行認證操作，所以攻擊者通常會檢測到授權設備(如AP)的MAC地址，并嘗試冒充授權設備建立連接。MAC地址欺騙攻擊主要利用了局域網(wǎng)內(nèi)交換機的轉發(fā)特性和MAC地址學習特性。這種攻擊方式相對隱蔽，攻擊者不會大規(guī)模地發(fā)送數(shù)據(jù)包，而是發(fā)送含有幾個特定源MAC地址的數(shù)據(jù)包。由于交換機MAC地址表都具有一定的空間限制，當MAC地址表被占滿后，就無法學習到新的MAC地址，因此，MAC地址的洪范就破壞了整個局域網(wǎng)的可用性。拒絕服務拒絕服務（Dos）攻擊也是WLAN常見的一種網(wǎng)絡攻擊方式，其主要目的是通過發(fā)送大量無用的請求或數(shù)據(jù)包來占用系統(tǒng)資源，使系統(tǒng)無法處理合法用戶的正常請求或數(shù)據(jù)流，從而導致系統(tǒng)過載、崩潰或拒絕服務。WEP秘鑰攻擊WEP密鑰的攻擊主要是由于其加密存在嚴重缺陷，使得攻擊者可以在一定條件下破解密鑰，從而獲得對無線網(wǎng)絡資源的訪問權限。在WLAN中，當攻擊者截獲到AP區(qū)域內(nèi)的數(shù)據(jù)包，同時獲取到足夠多的弱秘鑰加密包，通過統(tǒng)計分析更多使用相同密鑰流加密的密文，將密鑰流與密文進行XOR操作，一旦其中一個明文已知，很容易就可以恢復所有其他的。Rogue設備入侵WLAN中的Rogue設備入侵是指未經(jīng)授權的設備接入企業(yè)網(wǎng)絡（如圖12-2所示），例如攻擊者將未經(jīng)授權的RogueAP連接到授權網(wǎng)絡上，出現(xiàn)惡意雙胞胎AP，并通過RogueAP繞過企業(yè)網(wǎng)絡的邊界防護，在內(nèi)網(wǎng)中暢行無阻。此外，隔壁鄰居AP也是需要防備的一種Rogue設備，如在公司旁的餐館、咖啡店內(nèi)部署的外部AP，當員工使用企業(yè)授權過的移動客戶端連接到這些咖啡店網(wǎng)絡的鄰居AP時，就能夠繞過公司防火墻設置的邊界安全和安全限制，將威脅不經(jīng)意間帶進企業(yè)內(nèi)網(wǎng)。12.1.2

WLAN的安全措施WLAN的安全措施213加密技術加密技術是保障無線網(wǎng)絡WIAN安全性的基礎。通過對傳輸?shù)臄?shù)據(jù)進行加密，可以有效地防止數(shù)據(jù)被竊聽或篡改。WEP加密WPA/WPA2加密認證機制為了防止未經(jīng)授權的用戶接入無線局域網(wǎng)，可以采用認證方法。常見的認證方法包括基于密碼的認證基于MAC地址的認證基于證書的認證系統(tǒng)防護為為了防止惡意攻擊，無線網(wǎng)絡WIAN可采用防護措施無線入侵檢測系統(tǒng)WIDS無線入侵防御系統(tǒng)WIPS加密技術——WEP加密WEP（WiredEquivalentPrivacy）是有線等效保密協(xié)議的簡稱，是一種無線網(wǎng)絡加密技術，它是IEEE802.11標準的一部分，旨在為無線網(wǎng)絡提供數(shù)據(jù)加密和基本的安全性。WEP使用RC4流式密碼算法對數(shù)據(jù)進行加密，并采用CRC-32校驗和來檢測數(shù)據(jù)完整性。加密過程中，WEP使用一個共享密鑰和一個初始化向量（IV）作為輸入，通過密鑰生成函數(shù)生成一個密鑰流，然后與明文數(shù)據(jù)進行XOR運算，生成密文數(shù)據(jù)，接收端則使用相同的算法和密鑰對密文數(shù)據(jù)進行解密，恢復出原始數(shù)據(jù)。加密技術——WPA/WPA2加密WPA/WPA2（Wi-FiProtectedAccess）是一種Wi-Fi安全訪問保護協(xié)議，通過使用預設共享密鑰（Pre-SharedKey，簡稱PSK）來保護無線局域網(wǎng)的通信安全，同時，通過使用AES（AdvancedEncryptionStandard，高級加密標準）算法對數(shù)據(jù)進行加密，確保數(shù)據(jù)的機密性。認證機制123基于密碼的認證需要用戶提供正確的用戶名和密碼，才能接入無線局域網(wǎng)，在密碼策略上包括密碼復雜度要求、密碼過期機制和登錄失敗鎖定等戰(zhàn)。基于MAC地址的認證是將用戶的MAC地址添加到無線局域網(wǎng)的訪問控制列表中，只有在列表中的MAC地址才能訪問無線局域網(wǎng)?；谧C書的認證則是使用數(shù)字證書來驗證用戶的身份。系統(tǒng)防護——WIDS無線入侵檢測系統(tǒng)WIDS01無線入侵檢測系統(tǒng)WIDS工作的主要特點：無線網(wǎng)絡的實時監(jiān)測：無線入侵檢測系統(tǒng)WIDS可以按照預設的安全規(guī)則和策略，對網(wǎng)絡系統(tǒng)的運行狀況進行監(jiān)測；入侵檢測與威脅識別：當監(jiān)聽到與預設規(guī)則相匹配的非法AP、網(wǎng)橋、STA和信道重合的干擾AP，或者非法的網(wǎng)絡時，WIDS就會觸發(fā)警報，并將相關信息發(fā)送給網(wǎng)絡管理員，幫助管理員及時發(fā)現(xiàn)潛在的威脅，并采取相應的措施進行應對。系統(tǒng)防護——WIPS無線入侵防御系統(tǒng)WIPS02無線入侵防御系統(tǒng)WIPS的主要特點：無線網(wǎng)絡的實時監(jiān)測：通過監(jiān)聽無線信號，對無線網(wǎng)絡進行實時的監(jiān)控和檢測。這種監(jiān)測包括了對網(wǎng)絡流量、設備行為以及異常事件的觀察和分析。入侵檢測與威脅識別：具有強大的入侵檢測功能，能夠通過分析收集到的數(shù)據(jù)包，識別出各種潛在的威脅和入侵行為。這些威脅包括惡意攻擊、未經(jīng)授權的訪問、病毒傳播等。自動防御與阻斷：一旦檢測到威脅或入侵行為，WIPS將立即啟動自動防御機制。包括阻止惡意流量、隔離可疑設備、向管理員發(fā)送警報等措施，以防止威脅進一步擴大。動態(tài)安全策略：能夠根據(jù)威脅的類型和嚴重程度，動態(tài)調整安全策略。例如，對于某些已知的惡意IP地址，WIPS可以自動將其加入黑名單，禁止其訪問無線網(wǎng)絡。持續(xù)學習與更新：WIPS具備學習能力，能夠根據(jù)網(wǎng)絡環(huán)境和威脅的變化進行自我調整和更新，這有助于應對不斷變化的網(wǎng)絡威脅，提高系統(tǒng)的防御能力。下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術學院CLASSOVER,THANKYOU!項目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術學院學習任務12.2了解WLAN認證技術開放系統(tǒng)認證這種認證方式相當于不進行認證，當STA向AP發(fā)送認證請求幀時，AP對所有用戶立即回應認證成功的響應報文。比如在生活中，我們的手機搜索到某個無線網(wǎng)絡，如果此無線網(wǎng)絡采用的是開放性系統(tǒng)認證，那么你就不需要輸入任何有關密鑰等認證憑證，系統(tǒng)就會提示你已經(jīng)關聯(lián)上了此無線網(wǎng)絡。如果使用開放認證，任何知道無線SSID的用戶都可以訪問網(wǎng)絡，顯然，開放系統(tǒng)認證無法檢驗客戶端是否是一黑客共享密鑰認證配置共享密鑰認證，需要在無線網(wǎng)絡中使用WEP（WiredEquivalentPrivacy）加密技術，要求STA（客戶端）和AP（接入點）使用相同的共享密鑰，該密鑰通常被稱為WEP密鑰。MAC認證在無線網(wǎng)絡WLAN中，MAC認證是一種基于物理地址的認證方法。預先在設備（認證服務器或無線控制器）上配置允許訪問的MAC地址列表（MAC白名單列表），如果客戶端的MAC地址不在這個MAC地址表（MAC黑名單）中，那么將被拒絕接入網(wǎng)絡。IEEE802.1X認證IEEE802.1X認證是一種基于端口的網(wǎng)絡接入控制協(xié)議，是IEEE指定的關于用戶接入無線局域網(wǎng)WLAN的認證標準，用于在局域網(wǎng)接入設備的端口這一級，對所接入的用戶設備通過認證來控制其對網(wǎng)絡資源的訪問。Portal認證Portal認證是一種基于Web的認證方式，也稱為Web認證。它是一種通過用戶主動訪問特定的Web頁面，進行身份驗證的方法。在無線網(wǎng)絡中，Portal認證通常用于控制用戶訪問網(wǎng)絡資源，確保只有經(jīng)過認證的用戶才能接入網(wǎng)絡。

Portal認證典型組網(wǎng)方式下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術學院CLASSOVER,THANKYOU!項目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術學院學習任務12.3掌握WLAN安全策略12.3.1

WEP安全策略WEP安全特點WEP是由802.11標準定義的一種無線網(wǎng)絡加密標準，旨在為無線網(wǎng)絡提供與有線網(wǎng)絡相當?shù)陌踩浴EP使用RC4流密碼算法，采用24位的初始向量和64位或128位的密鑰長度。其安全性主要依賴于RC4流密碼算法和IV（初始化向量）的隨機性。要提高WEP加密的安全性，可以采取以下措施：強密碼是保護無線網(wǎng)絡的第一道防線。應選擇包含大小寫字母、數(shù)字和特殊字符的強密碼，以防止暴力破解攻擊使用更強的密碼定期更換密碼可以防止被不法分子長期攻擊。建議至少每3個月更換一次密碼。定期更換密碼使用多組WEP密鑰可以增加安全性使用多組WEP密鑰隱藏無線網(wǎng)絡標識符可以防止未授權用戶發(fā)現(xiàn)和接入您的無線網(wǎng)絡。禁用SSID廣播WEP安全配置實例

WEP安全配置實例拓撲圖序號設備數(shù)據(jù)規(guī)劃1交換機3560Gi0/1IP地址：54/24在交換機上啟用DHCP服務動態(tài)地址池：/24DNS：2無線AP-PT-NSSID：AP-5305Channel：11時啟用WEP安全策略，秘鑰：ABCD5305AA3無線工作站STA1時啟用WEP安全策略，動態(tài)獲取IP4無線工作站STA2時啟用WEP安全策略，動態(tài)獲取IPWEP安全配置數(shù)據(jù)規(guī)劃實施步驟1.配置三層交換機SWconfig)#interfacegigabitEthernet1/1SW(config-if)#ipaddress54SW(config-if)#noshSW(config)#ipdhcppoolAPSW(dhcp-config)#networkSW(dhcp-config)#default-router54SW(dhcp-config)#dns-server.12.AP的配置實施步驟3.無線工作站STA和STB的配置實施步驟實施步驟4.測試12.3.2

WPA/WPA2安全策略WPA協(xié)議是一種保護無線網(wǎng)絡(WiFi)安全的系統(tǒng)，它是在前一代有線等效加密(WEP)的基礎上產(chǎn)生的，解決了前任WEP的缺陷問題，它使用TKIP(臨時密鑰完整性)協(xié)議，是IEEE802.11i標準中的過渡方案.WPA采用有效的密鑰分發(fā)機制，可以跨越不同廠商的無線網(wǎng)卡實現(xiàn)應用。它作為WEP的升級版，在安全的防護上比WEP更為周密，主要體現(xiàn)在身份認證、加密機制和數(shù)據(jù)包檢查等方面，而且它還提升了無線網(wǎng)絡的管理能力。WPAWPA2是WiFi聯(lián)盟驗證過的IEEE802.11i標準的認證形式，WPA2實現(xiàn)了802.11i的強制性元素，特別是Michael算法被公認徹底安全的CCMP(計數(shù)器模式密碼塊鏈消息完整碼協(xié)議)訊息認證碼所取代、而RC4加密算法也被AES所取代。而且除了加密和認證機制，WPA/WPA2還提供了其他一些安全功能，例如防止暴力破解攻擊和MAC地址過濾等。這些功能可以幫助保護無線網(wǎng)絡免受未經(jīng)授權的訪問和攻擊WPA2WPA2的配置命令AC(config)#wlansec1進入無線安全配置模式AC(config-wlansec)#securityrsnenable使能WPA2加密AC(config-wlansec)#securityrsnciphersaesenable配置AES加密AC(config-wlansec)#securityrsnakmpskenable配置PSK加密AC(config-wlansec)#securityrsnakmpskset-keyascii

12345678配置加密密碼為12345678AC(config-wlansec)#end退出銳捷無線控制器的WPA2的配置命令思政小課堂轉型過程中的能力提升工匠型人才在轉型過程中需要提升智能化技術應用能力、數(shù)據(jù)分析能力、創(chuàng)新思維能力等。轉型后的角色轉變智匠型人才不僅需要具備傳統(tǒng)工匠的技能，還需要具備技術創(chuàng)新、團隊協(xié)作、終身學習和網(wǎng)絡安全防范等能力。智能化技術推動轉型隨著人工智能、大數(shù)據(jù)等技術的不斷發(fā)展，傳統(tǒng)工匠型人才已無法滿足時代需求，需要向智匠型人才轉型。工匠型人才向智匠型人才轉型趨勢技術創(chuàng)新引領者智匠型人才應具備創(chuàng)新思維和技術研發(fā)能力，能夠推動網(wǎng)絡安全技術的不斷創(chuàng)新和發(fā)展。網(wǎng)絡安全守護者智匠型人才應具備網(wǎng)絡安全意識，能夠利用智能化技術防范和應對網(wǎng)絡攻擊，保障網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行。團隊協(xié)作核心成員智匠型人才應具備良好的團隊協(xié)作精神和溝通能力，能夠與團隊成員緊密合作，共同應對網(wǎng)絡安全挑戰(zhàn)。智匠型人才在網(wǎng)絡安全領域的角色定位持續(xù)更新知識體系智匠型人才需要樹立終身學習理念，不斷關注新技術、新動態(tài)，持續(xù)更新自身知識體系。多元化學習方式智匠型人才應通過參加培訓、研討會、在線課程等多元化學習方式，不斷提升自身專業(yè)技能和綜合素質。實踐與反思相結合智匠型人才應注重將理論知識與實踐經(jīng)驗相結合，通過反思和總結不斷提升自身能力水平。終身學習理念貫穿智匠型人才成長全過程下課，謝謝！授課教師：管秀君吉林交通職業(yè)技術學院CLASSOVER,THANKYOU!項目12組建安全的無線局域網(wǎng)授課教師：管秀君吉林交通職業(yè)技術學院項目實戰(zhàn)任務12.4無線FIT模式多SSID的安全加密你是某公司的網(wǎng)管，由于無線信號沒有進行加密，任何人都可以隨意接入，對網(wǎng)絡帶寬和安全造成很大影響，針對此現(xiàn)象，你決定對無線網(wǎng)絡進行加密，而且對財務部和銷售部采用WPA2安全策略，只有知道這兩個部門無線密碼的人才能加入該部門的網(wǎng)絡。具體任務就是將網(wǎng)絡設備按照拓撲圖結構進行連接、完成相關IP地址規(guī)劃、基礎配置及無線加密配置、驗證無線用戶接入需要密碼確認

項目背景12.4.1

實施條件采用銳捷AP作為無線接入點，AC作為無線控制器集中控制AP和數(shù)據(jù)轉發(fā)，交換機SW和POE供電模塊為AP進行供電。實施條件SWSTASTBG0/1Gi0/1Gi0/24G0/112.4.2

數(shù)據(jù)規(guī)劃相關IP數(shù)據(jù)及信息規(guī)劃如下：1．Lo0:/32--AC和AP建立CAPWAP隧道接口；2．SVI10:/24--AP管理地址網(wǎng)關；3．SVI20:/24--SW管理地址；4．SVI30:/24一財務部用戶網(wǎng)關地址；5．SVI40:/24一銷售部用戶網(wǎng)關地址；SVI4000:/30--SW和AC互聯(lián)地址段AP、SW和用戶的網(wǎng)關均放置于SW上數(shù)據(jù)規(guī)劃12.4.3

實施步驟（1）在Poe交換機上配置基本遠程管理功能，并創(chuàng)建AP管理VLAN10、Poe交換機管理VLAN20、無線用戶VLAN30、40和Poe交換機與AC互聯(lián)VLAN4000。交換機基礎配置SW(config)#VLAN10創(chuàng)建VLAN10SW(config-vlan)#nameAP-Guanli命名VLAN10為AP-GuanliSW(config)#VLAN20創(chuàng)建VLAN20SW(config-vlan)#nameSW-Guanli命名VLAN20為SW-GuanliSW(config)#VLAN30創(chuàng)建VLAN30SW(config-vlan)#namecaiwu-Wifi命名VLAN30為caiwu-WifiSW(config)#VLAN40創(chuàng)建VLAN40SW(config-vlan)#namexiaoshou-Wifi命名VLAN40為xiaoshou-WifiSW(config)#

VLAN4000創(chuàng)建VLAN4000SW(config-vlan)#nameLink--AC-VLAN4000命名VLAN4000為Link--AC-VLAN4000SW(config-vlan)#exit退出（2）將交換機端口Gi0/1設置為access接口屬于VLAN10，Gi0/24配置為Trunk接口，并對Trunk接口進行VLAN修剪優(yōu)化。交換機基礎配置SW(config)#interfacegigabitEthernet0/1進入端口配置模式配置端口Gi0/1SW(config-if)#poeenable開啟poe供電功能SW(config-if)#switchportaccessvlan10把該端口配置為access接口SW(config-if)#exit退出SW(config)#interfacegigabitEthernet0/24進入端口配置模式配置端口Gi0/24SW(config-if)#switchportmodetrunk把該端口配置為Trunk接口SW(config-if)#switchporttrunkallowedvlanremove1-29,31-3999,4001-4094將Trunk接口不必要的VLAN修剪掉，防止VLAN廣播泛洪SW(config-if)#descriptionLINK—AC-G0/1--接口描述SW(config-if)#exit退出SW(config)#showinterfacesgigabitEthernet0/24switchport查看端口Gi0/24的信息，同時也可以用于查看Gi0/1信息（3）在Poe交換機上創(chuàng)建無線用戶VLAN、AP管理VLAN、Poe交換機管理VLAN和Poe交換機與AC互聯(lián)VLAN的SVI地址，并且配置指向AC的loopback接口明細路由。

交換機基礎配置SW(config)#interfaceVLAN10進入VLAN10的SVI接口SW(config-if-VLAN10)#description對AP的網(wǎng)關SVI接口描述為AP-GuanliSW(config-if-VLAN10)#ipaddress配置AP管理地址的網(wǎng)關SVI地址SW(config)#interfaceVLAN20進入VLAN20的SVI接口SW(config-if-VLAN20)#descriptionSW-Guanli命名VLAN20為SW-GuanliSW(config-if-VLAN20)#ipaddress配置Poe交換機的管理IP地址SW(config)#interfaceVLAN30進入VLAN30的SVI接口SW(config-if-VLAN30)#descriptioncaiwu-Wifi描述VLAN30為caiwu-WifiSW(config-if-VLAN30)#ipaddress配置財務部無線用戶的網(wǎng)關SVI地址SW(config)#interfaceVLAN40進入VLAN40的SVI接口SW(config-if-VLAN30)#descriptionxiaoshou-Wifi描述VLAN40為xiaoshou-WifiSW(config-if-VLAN30)#ipaddress配置銷售部無線用戶的網(wǎng)關SVI地址SW(config)#interfaceVLAN4000進入VLAN4000的SVI接口SW(config-if-VLAN4000)#descriptionLink--AC-VLAN4000--對SVI接口描述為Link--AC-VLAN4000SW(config-if-VLAN4000)#ipaddress52配置與AC互聯(lián)VLAN的IP地址SW(config)#iproute55添加指向AC的LO0明細路由SW(config)#showipinterfacebrief查看接口IP地址配置（4）在交換機上創(chuàng)建無線用戶和AP管理的DHCP地址池。交換機基礎配置SW(config)#servicedhcp開啟DHCP功能，默認DHCP功能關閉SW(config)#ipdhcppoolAP-Guanli創(chuàng)建AP的DHCP地址池SW(dhcp-config)#option138ip配置APoption138字段指向AC的Lo0SW(dhcp-config)#network指定APDHCP分發(fā)地址段SW(dhcp-config)#default-router指定AP的網(wǎng)關地址SW(dhcp-config)#exit退出SW(config)#ipdhcppoolcaiwu-Wifi創(chuàng)建財務部無線用戶的DHCP地址池SW(dhcp-config)#network指定財務部無線用戶DHCP分發(fā)地址段SW(dhcp-config)#default-router指定財務部無線用戶的網(wǎng)關地址SW(config)#ipdhcppoolxiaoshou-Wifi創(chuàng)建銷售部無線用戶的DHCP地址池SW(dhcp-config)#network指定銷售部無線用戶DHCP分發(fā)地址段SW(dhcp-config)#default-router指定銷售部無線用戶的網(wǎng)關地址（1）在AC上配置基本遠程管理功能，添加無線用戶VLAN和與核心互聯(lián)的VLAN，并創(chuàng)建核心互聯(lián)VLAN的SVI接口地址和loopback0的接口IP，將AC的G0/1接口配置為Trunk接口，進行VLAN修剪；添加默認路由指向Poe交換機。無線控制器基礎配置Ruijie#configureterminal從特權模式進入到全局模式Ruijie(config)#hostnameAC對AC進行命名AC(config)#usernameadminpasswordruijie創(chuàng)建用戶名和密碼AC(config)#linevty04進入虛線路AC(config-line)#loginlocal采用本地用戶認證AC(config)#VLAN30創(chuàng)建VLAN30AC(config-vlan)#namecaiwu-Wifi命名VLAN30為caiwu-WifiAC(config)#VLAN40創(chuàng)建VLAN40AC(config-vlan)#namexiaoshou-Wifi命名VLAN40為xiaoshou-WifiAC(config)#VLAN4000創(chuàng)建VLAN4000AC(config-vlan)#nameLink--SW-VLAN4000命名VLAN4000為Link--SW-VLAN4000AC(config)#interfacevlan4000進入VLAN4000的SVI接口AC(config-if-VLAN4000)#descriptionLink--SW-VLAN4000對VLAN4000的SVI接口進行描述AC(config-if-VLAN4000)#ipaddress52配置VLAN4000的SVI接口地址AC(config)#interfacegi0/1進入G0/1接口AC(config-if)#switchportmodetrunk配置G0/1接口為Trunk接口AC(config-if)#switchporttrunkallvlanremove1-29,31-3999,4001-4094將不必要VLAN在Trunk口進行修剪AC(config-if)#descriptionLink--SW-Gi0/24對G0/1口對端連接情況進行描述AC(config)#interfaceloopback0進入loopback0接口AC(config-if)#ipaddress55配置loopback0接口IP地址AC(config-if)#descriptionCAPWAP對loopback0接口進行描述AC(config)#iproute添加默認路由，保證loopback0能夠和AP管理網(wǎng)段路由互通（2）AP和AC的版本同步，AP和AC的版本必須一致，否則可能導致CAPWAP隧道異常發(fā)生。（注：可以先查看AP和AC的版本，如果AC和AP的版本一致，則不需要此版本同步過程）無線控制器基礎配置AC#copytftp://x.x.x.x/xxx.binflash:AP720I.bin將AP的主程序TFTP導入無線控制器AC(config)#ac-controller進入AC控制模式AC(config-ac)#active-bin-fileAP720I.bin激活AP主程序AC(config-ac)#ap-serialAP720AP720-Ihw-verx.x創(chuàng)建AP系列，注：試驗中根據(jù)具體實驗設備進行選擇AC(config-ac)#ap-imageAP720I.binAP720將AP系列和AP主程序進行關聯(lián)（3）在AC上創(chuàng)建無線相關配置，包括WLAN-ID、SSID和ap-group。無線控制器基礎配置AC(config)#wlan-config1caiwubu創(chuàng)建WLAN1的SSID為caiwuAC(config)#wlan-config2xiaoshou創(chuàng)建WLAN1的SSID為xiaoshouAC(config)#ap-groupdefault進入ap-g