1、#創建手工AP,名稱為ap1#創建手HAP,名稱為ap1，并配置序列號。1.1.1共享密鑰認證配置舉例絹網需求如圖1-10所示,AC旁掛在Switch 上, Switch同時作為DHCP server為AP和Client 分配IP地址。通過配置客戶端在鏈路層使用WEP密鑰12345接入無線網絡。絹網圖圖1-1共享密鑰認證配置絹網圖3.配置步驟創建無線服務模板#創建無線服務模板service1。 system-viAC wlan service-template servicel#配置無線服務的SSID為serviceoAC-wilan-st-service1_ssid_servi 配置WEP并

2、使能無線服務模板#配置使用WEP40加密套件，配置密鑰索引為2,使用明文的字符串12345作為共 享密鑰。AC-wlan-st-service1_cipher-suite iwep4 0AC-wlan-st-service1 wep key 2 wep40 pass-phrase simple 12345AC-wlan-st-servicel wep key-id 2#使能無線服務模板。AC-wlan-st-servicel_service-template enableAC-wlan-st-servicel quit(3)將無線服務模板綁定到radio1上AC wlan ap apl mod

3、el WA4320i-ACNAC-wlan-ap-apl serial-id 2l980lA0CNCl380ll454#進入Radio 1視圖。AC-wlan-ap-apl radio#將無線服務模板綁定到Radio 1上，并開啟射頻。AC-wlan-ap-apl-radio-l service-template servicelAC-wlan-ap-ap1-radio-1 radio enableAC-wlan-ap-ap1-radio-1 return4.驗證配詈#配置完成后，在AC上執行display wlan service-template命令，可以看到無線 服務模板下安全信息的配置

4、情況如下： display wlan_service-template_servicelService template nameSSIDSSID-hideUser-isolation:service1:service:Disabled:DisabledService template status:EnabledMaximum clients per BSS:64Frame format:Dot3Seamless roam status:DisabledSeamless roam RSSI threshold:50Seamless roam RSSI gap:20VLAN ID:1AKM m

5、ode:Not configuredSecurity IE:Not configuredCipher suite:WEP40WEP key ID:2TKIP countermeasure time:0PTK lifetime:43200 secGTK rekey:EnabledGTK rekey method:Time-basedGTK rekey time:86400 secGTK rekey client-offline:EnabledUser authentication mode:BypassIntrusion protection:DisabledIntrusion protecti

6、on mode:Temporary-blockTemporary block time:180 secTemporary service stop time:20 secFail VLAN ID:Not configured802.1X handshake:Disabled802.1X handshake secure:Disabled802.1X domain:Not configuredMAC-auth domain:Not configuredMax 802.1X users:4096Max MAC-auth users:4096802.1X re-authenticate:Disabl

7、edAuthorization fail mode:OnlineAccounting fail mode:OnlineAuthorization:PermittedKey derivation:N/APMF status:DisabledHotspot policy number:Not configuredForwarding policy status:DisabledForwarding policy name:Not configuredFT status:DisabledQoS trust:PortQoS priority:01.1.2 PSK身份認證與密鑰管理模式和Bypass認證

8、配置舉例組網需求如圖1-11所示，AC旁掛在Switch上，Switch同時作為DHCP server為AP 和Client分配IP地址。通過配置客戶端PSK密鑰12345678接入無線網絡。客戶端客路層認證使用開放式系統認證，用戶接入認證使用Bypass認證的方 式實現客戶端可以不需要認證直接接入WLAN網絡的目的。通過配置客戶端和AP之間的數據報文采用PSK身份認證與密鑰管理模式來確 保用戶數據的傳輸安全。組網圖圖1-2 PSK+Bypass認證配置組網圖3一配置步援3.配置步驟(1)創建無線服務模板#創建無線無線服務模板serviced_system-viewAC wlan servic

9、e-template servicel#配置無線服務的SSID為serviceoAC-wlan-st-service1_ssid service配置身份認證與密鑰管理模式為PSK模式、加密套件為CCMP、安全信息元素 為WPA并使能無線服務模板#配置AKM為PSK，配置PSK密鑰，使用明文的字符串12345678作為共享密鑰。AC-wlan-st-service1_akm mode pskAC-wlan-st-servicel preshared-key pass-phrase simple 12345678#配置CCMP為加密套件，配置WPA為安全信息元素。AC-wlan-st-servic

10、e1_cipher-suite ccmpAC-wlan-st-service1 security-ie wpa#使能無線服務模板。AC-wlan-st-service1service-templatenableAC-wlan-st-service1 quit(3)進入AP視圖并將無線服務模板綁定到radiol上#創建手工AP，名稱為ap1，并配置序列號。AC wlan ap ap1 model WA4320i-ACNAC-wlan-ap-ap1 serial-id 219801A0CNC138011454#進入Radio 1視圖。AC-wlan-ap-ap1 radio 1#將無線服務模板綁定

11、到Radio 1上，并開啟射頻。AC-wlan-ap-ap1-radio-1 service-template service1AC-wlan-ap-ap1-radio-1 radio enableAC-wlan-ap-ap1-radio-1 return4.驗證配置#配置完成后，在AC上執行display wlan service-template命令，可以看到無線 服務模板的配置情況如下。 display wlan service-template service1Service template name:service1SSID:serviceSSID-hide:DisabledUse

12、r-isolation:DisabledService template status:EnabledMaximum clients per BSS:64Frame format:Dot3Seamless roam status:DisabledSeamless roam RSSI threshold:50Seamless roam RSSI gap:20VLAN ID:1AKM mode:PSKSecurity IE:WPACipher suite:CCMPWEP key ID:2TKIP countermeasure time:0PTK lifetime:43200 secGTK reke

13、y:EnabledGTK rekey method:Time-basedGTK rekey time:86400 secGTK rekey client-offline:EnabledUser authentication mode:BypassIntrusion protection:DisabledIntrusion protection mode:Temporary-blockTemporary block time:180 secTemporary service stop time:20 secFail VLAN ID:Not configured802.1X handshake:D

14、isabled802.1X handshake secure:Disabled802.1X domain:Not configuredMAC-auth domain:Not configuredMax 802.1X users:4096Max MAC-auth users:4096802.1X re-authenticate:DisabledAuthorization fail mode:OnlineAccounting fail mode:OnlineAuthorization:PermittedKey derivation:N/APMF status:DisabledHotspot pol

15、icy number:Not configuredForwarding policy status:DisabledForwarding policy name:Not configuredFT status:DisabledQoS trust:PortQoS priority:01.1.3 PSK身份認證與密鑰管理模式和MAC地址認證配置舉例1.絹網需求如圖1-12所示，AC旁掛在Switch上，Switch同時作為DHCP server為AP 和Client分配IP地址。通過配置客戶端PSK密鑰12345678接入無線網絡。客戶端鏈路層認證使用開放式系統認證，客戶端通過RADIUS服務器進

16、行MAC 地址認證的方式，實現客戶端可使用固定用戶名abc和密碼123接入WLAN 網絡的目的。通過配詈客戶端和AP之間的數據報文采用PSK認證密鑰管理模式來確保用戶 數據的傳輸安全。2.絹網圖圖1-3 PSK密鑰管理模式和MAC認證配置組網圖3.配置步驟. 下述配置中包含了若干AAA/RADIUS協議的配置命令，關于這些命令的詳 細介紹，請參見“安全命令參考”中的“ AAA”。.確保RADIUS服務器與AC路由可達，并成功添加了用戶賬戶，用戶名為 abc，密碼為123。創建無線服務模板#創建無線無線服務模板serviced_system-viewAC wlan service-templat

17、e servicel#配置無線服務的SSID為serviceoAC-wlan-st-service1_ssid service配置身份認證與密鑰管理為PSK模式、加密套件為CCMP、安全信息元素為WPA#配置AKM為PSK,配置PSK密鑰，使用明文的字符串12345678作為共享密鑰。AC-wlan-st-service1_akm mode pskAC-wlan-st-service1 preshared-key pass-phrase simple 12345678#配置CCMP為加密套件，配置WPA為安全信息元素。AC-wlan-st-service1cipher-suite ccmpAC

18、-wlan-st-servicel security-ie wpa配置用戶接入認證模式并使能無線服務模板#配置用戶接入方式為MAC地址認證。AC-wlan-st-servicel_client-security authentication-mode mac#配置使能無線服務模板。AC-wlan-st-service1_service-template enableAC-wlan-st-service1 quit創建RADIUS方案#創建RADIUS方案radiusl并進入其視圖。ACradius scheme radiusl#配置主認證/計費RADIUS服務器的IP地址為10.1.1.3，服

19、務器的UDP端口號為 1812 和 1813。AC-radius-radius1_primary authentication_10.1.1.3_1812AC-radius-radiusl primary accounting 10.1.1.3 1813#配置AC與認證/計費RADIUS服務器交互報文時的共享密鑰為12345678。AC-radius-radius1_key authentication_simple_1234 5678AC-radius-radius1 key accounting simple 12345678#配置發送給RADIUS服務器的用戶名不攜帶域名。AC-radi

20、us-radius1iser-name-fcrmat without-domainAC-radius-radius1 quit發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名、 以及服務器端的配置有關：若服務器端不接受攜帶域名的用戶名，或者服務器上配置的用戶認證所使 用的服務不攜帶域名后綴，則Device上指定不攜帶用戶名(without-domain)；若服務器端可接受攜帶域名的用戶名，且服務器上配置的用戶認證所使用 的服務攜帶域名后綴，則Device上指定攜帶用戶名(with-domain)。配置使用RADIUS方案進行認證、授權、計費#創建認證域(ISP域)dom1并進

21、入其視圖。AC_domain dom1#配置MAC用戶使用RADIUS方案radius1進行認證、授權、計費。AC-isp-dom1_authentication lan-accessradius-scheme radius1AC-isp-dom1 authorization lan-access radius-scheme radius1AC-isp-dom1 accounting lan-access radius-scheme radius1AC-isp-dom1 quit配置MAC地址認證域及用戶名和密碼#配置認證域為doml,用戶名為abc,密碼為明文字符串123。AC_mac-authentication domain domlAC mac-authentication user-name-format fixed account abc password simple 123(7)將無線服務模板綁定到radiol上#創建手工AP，名稱為ap1，并配置序列號。AC wlan ap ap1 model WA4320i-ACNAC-wlan-ap-ap1 serial-id 219801A0CNC138011454#進入Radio 1視圖。AC-wlan-ap-ap1 radio 1#將無線服務模板綁定到Radio 1上，并開啟射頻。AC-wlan-ap-a