2018年湖北省技能大赛高职组计算机网络与信息安全技术公开试题 一、拓扑图二、要求AC 和 AP 通过接口 E1/0/7 与接口 LAN1 互相连接，将互联接口设置为 Trunk 接口；AC 上设置 VLAN 7 为管理 VLAN，地址为 172.16.7.1/24；AC 的 VLAN 2、5、7 网段内用户通过 AC 上的 DHCP 服务获取 IP 地址。DHCP 地址池名字分别为 DHCP2、DHCP5、DHCP7，地址租期均为 7 天，配置默认网关为该网段第一个IP 地址，DNS 为 8.8.8.8、10.10.10.10。每个地址池均排除该网段最后 2 个 IP 地址;AC、AP 作为无线交换机和瘦 AP 来构建无线网络。VLAN 2 和 VLAN 5 作为业务VLAN;AP 通过 option43 方式（AP发现AC）进行正常注册上线;无线 network 24，创建 SSID 为“WIFI2.4G”对应业务（数据） vlan2, 用户接入无线网络时需要采用基于 WPA-personal 加密方式，其口令为“SSID2.4G”;配置该无线接入用户相互隔离；最多接入 10 个用户，并对网络进行流控，上行 1M，下行 2M；无线 network 50，创建 SSID 为“WIFI5.0G”对应业务（数据） vlan5, 用户接入无线网络时不进行认证加密，做相应配置隐藏该SSID;AC 采用 profile 2为 AP 下发配置，且命名为 Wifi。服务集标识码“WIFI2.4G”位于 AP 的 2.4G 频段，服务集标识码“WIFI5.0G”位于 AP 的 5.0G 频段。要求由小到大使用 vap虚接口;配置 AP 在脱离 AC 管理时依然可以正常工作；三、思路AC端口配置——>路由——>无线管理配置——>APprofile文件配置——>映射AP的profile——>下发APprofile配置——>设置RADIUS认证等四、配置1.AC端口配置（AC 上设置 VLAN 7 为管理 VLAN，地址为 172.16.7.1/24；）VLAN配置，其他VLAN配置省略 AC#config AC(config)#VLAN 4 AC(config)#interface VLAN 7 AC(configg-vlan7)#ip add 172.16.7.1 255.255.255.0 AP AC互联端口配置 AC#config AC(config)#interface ethernet 1/0/7 AC(config-if-ethernet1/0/7)#switchport mode trunk AC(config-if-ethernet1/0/7)#switchport mode native vlan 7 //(设置VLAN7 为管理VLAN)2.DHCP2、DHCP5、DHCP7 网段为172.16.2.1/24；172.16.5.1/24；172.16.7.1/24（配置省略）3.AP上线（option43 方式（AP发现AC）进行正常注册上线;）AP上线ip dhcp pool DHCP7 //(AP用地址) network-address 172.16.7.1 255.255.255.0 option 43 hex 0104AC100701 //（AC地址为管理IP的16进制 0104为固定字段） AC100701 ==>172.16.7.1 option 60 ascii udhcp 2.1.2.30 //（AP版本号get system device-type）4.无线管理配置设置静态无线管理 IPAC(config)#wireless AC(config-wireless)#no auto-ip-assign //(关闭无线管理IP的自动选举) AC(config-wireless)#static-ip 172.16.7.1 //(手动指定无线管理IP)AP 认证方式设置：(初始状态下，AP上线认证方式默认以AP的MAC进行认证，需要手动添加AP的数据才能上线， 此处设置为none后，AP可以完成自动上线。)AC(config-wireless)#ap authentication noneAP profile 配置AC#config AC(config)#wireless AC(config-wireless)#ap profile 2 AC(config-ap-profile)#name Wifi AC(config-ap-profile)#hwtype 29/any //(指定AP硬件类型或者为any) AC(config-ap-profile)#ap escape //(设置AP逃生 AP在脱离AC管理时依然可以正常工作)Network 基本配置AC(config-wireless)#network 24 // AC设备初始默认就存在network 1-16，因此新建 network要从17开始;这里按题目要求设置为24 AC(config-network)#ssid WIFI2.4G AC(config-network)#security mode wpa-personal //设置加密模式 AC(config-network)#wpa key SSID2.4G //密码 AC(config-network)#vlan 2 //设置本地转发的用户业务vlan，一个network只能映 射一个业务vlan； AC(config-network)#station-isolation //设置无线接入用户相互隔离，也可以在radio节点下配置 AC(config-network)#max-clients 10 //最大接入用户设备 AC(config-network)#client-qos enable //开启流控 AC(config-network)#client-qos bandwidth-limit down 2048 //下行2Mbps AC(config-network)#client-qos bandwidth-limit up 1024 //上行1Mbps 同时要在wireless模式下增加配置： AC(config-wireless)# ap client-qos 开启流控AC(config-wireless)#network 50 AC(config-network)#ssid WIFI5.0G AC(config-network)#security mode none //不进行加密 AC(config-network)#vlan 5 //设置本地转发的用户业务vlan AC(config-network)#hide-ssid //隐藏SSIDRadio 基本配置 （硬件类型为双频AP的ap profile中会有两个radio，硬件类型为单频AP的ap profile中仅有一个radio）AC(config-wireless)#ap profile 2 AC(config-ap-profile)#radio 1 //2.4G频段 AC(config-ap-profile-radio)#vap 0 AC(config-ap-profile-vap)#network 24 //2.4G频段上修改vap 0默认的对应的network 1为 network 24 AC(config-ap-profile)#exit AC(config-ap-profile)#radio 2 //5G频段，单频AP的ap profile中是没有radio 2的 AC(config-ap-profile-radio)#vap 0 AC(config-ap-profile-vap)#network 50 //5G频段上修改vap 0默认的对应的network 1为 network 505. 映射 AP 的 profile映射 AP 的 profile （这部分的配置相当于针对每个AP进行操作，因此是进入到了ap database 的节点 下，通常需要配置AP的位置信息、信道及信号的发射功率） 查看以管理AP的mac地址AC#show wireless ap stutas映射 AC(config-wireless)#ap database 00-03-0f-11-22-33 AC(config-ap)#profile 2 //设置AP应用的ap profile 下面为讲解配置： AC(config-ap)#location XXXX //配置AP的位置信息方便后期维护 AC(config-ap)#radio 1 channel 1/6/11 //2.4G频段可配置的独立信道有3个 AC(config-ap)#radio 1 power 90 //默认为满功率，数值为AP满功率的百分比 AC(config-ap)#radio 2 channel 149/153/157/161/165 //5G频段可配置的独立信道有5个 AC(config-ap)#radio 2 power 90若修改了AP的profile映射关系，则需要进行AP重启操作生效： AC#wireless ap reset //重启所有AP AC#wireless ap reset 00-03-0f-11-22-33 //重启单个AP 批量映射AP profile的功能操作： AC(config)#wireless AC(config-wireless)#ap address 172.16.7.1 172.16.7.200 profile 2 //以AP的IP地址范围来映 射需要的ap profile6.下发 AP profile 操作下发 AP profile AC#wireless ap profile apply 2 //该数值与 ap profile 的 ID 对应，要是涉及到多个 ap profile 则需要执行多次 注意：在配置或修改了 AP profile 相关配置后均要执行下发的操作，确保配置生效。五、结束

神州数码DCWS-6028(AC-AP)基础理论（二） 神州数码DCWS-6028(AC-AP)基础理论（二）五、AP配置下发1. 配置架构2. 配置架构说明每个AP关联一个profile，默认关联到profile 1上；network 1-1024为全局公共配置。对于AP而言，每个VAP都唯一对应一个network，AC上面默认有16个network（1-16），与vap的0-15对应；radio 1对应AP上2.4Ghz工作频段，radio 2对应AP上5Ghz工作频段；更改全局或profile的配置，都要将profile下发一次，下发命令是：wireless ap profile apply X；X表示profile序号，所有应用这个profile的AP都会更新配置；每次AP注册到AC上时，AC会自动下发profile配置；3. AP与profile对应关系把AP与某个profile绑定： 6028(config-wireless)#ap database 11-22-33-44-55-66 6028(config-ap)#profile 8 6028#wireless ap reset (重启) 设置profile对应的硬件类型： 6028(config-wireless)#ap profile 8 6028(config-ap-profile)#hwtype 29 4. SSID设置设置SSID的步骤为： 6028(config-wireless)#network 1 6028(config-network)#**ssid dcn_wlan** 下发profile配置： 6028#wireless ap profile apply 1 每个network下可设置一个SSID，多SSID情况下需要使用多个network 6028(config-wireless)#network 2 6028(config-network)#ssid guest_wlanradio下需要启用对应的vap： 6028(config-ap-profile)#radio 1 6028(config-ap-profile-radio)#vap 1 6028(config-ap-profile-vap)#enable5. 无线加密设置Open方式（默认）： 6028(config-wireless)#network 1 6028(config-network)#security mode none(设置加密方式为WPA个人版， WPA version可以设置为wpa、wpa2以及wpa/wpa2混合模式，默认为wpa/wpa2混合模式，此处加密密钥为12345678： 6028(config-wireless)#network 1 6028(config-network)#security mode **wpa-personal** 6028(config-network)#wpa key 12345678设置加密方式为WPA企业版，此方式需要使用radius认证： 6028(config-wireless)#network 1 6028(config-network)#security mode wpa-enterprise认证计费设置： 6028(config)#radius-server authentication host 192.168.1.250 6028(config)#radius-server accounting host 192.168.1.250 6028(config)#radius-server key dcn 6028(config)#radius nas-ipv4 192.168.1.254 //与无线IP相同 6028(config)#radius source-ipv4 192.168.1.254 //与无线IP相同 6028(config)#aaa enable 6028(config)#aaa-accounting enable 6028(config)#aaa group server radius wlan 6028(config-sg-radius)#server 192.168.1.250network下关联aaa group： 6028(config-wireless)#network 1 6028(config-network)#radius server-name auth wlan 6028(config-network)#radius server-name acct wlan 6028(config-network)#radius accounting6. VLAN设置在network下指定vlan信息，当用户接入network时，就属于该network所在的vlan，数据将在相应vlan内转发。 6028(config-wireless)#network 1 6028(config-network)#vlan 10 6028(config-network)#exit 6028(config-wireless)#network 2 6028(config-network)#vlan 207. 本地转发与集中转发本地转发：默认的转发方式，AC上不需配置，遵守二/三层转发的一般规则。其转发的主体是AP，AC只是根据需要做一般的路由交换。对于常见的AC旁挂方式，AC几乎不参与用户数据的转发。集中式转发： AC和AP之间建立集中式隧道，所有数据均通过隧道传送至AC进行后续处理和转发。要求AC及AC对端互联的交换机上面必须配置有各个用户的数据vlan，且两者互联端口为trunk，否则隧道报文在解封装后无法转发！注意：隧道是自动建立，但此时的隧道并不具备转发数据的功能。集中式转发配置：把数据vlan加入vlan-list里: DCWS-6028(config-wireless)#l2tunnel vlan-list 10 DCWS-6028(config-wireless)#l2tunnel vlan-list 20 查看当前vlan-list包含的vlan列表： 6028(config)#show wireless l2tunnel vlan-list8. 射频管理调整射频工作模式： 6028(config-wireless)#ap profile 1 6028(config-ap-profile)#radio 1 6028(config-ap-profile-radio)#mode bg-n设置AP的静态功率和信道，调整完需重启AP生效： 6028(config-wireless)#ap database 00-03-0f-19-71-e0 6028(config-ap)#radio 1 channel 11 6028(config-ap)#radio 1 power 502021-07-26 20:15:08 星期一

神州数码DCWS-6028(AC-AP)基础理论（一） 神州数码DCWS-6028(AC-AP)基础理论（一）一、AP基本配置命令AP登陆用户名和密码均为admin。默认IP地址为192.168.1.10默认情况下DHCP开启。静态地址设置：set management static-ip 192.168.10.1开/关DHCP：set management dhcp-status up/down设置默认网关：set static-ip-route gateway 192.168.10.254查看AP基本信息：Get system、get management、get managed-ap、route二、AC上开启无线功能AC上无线功能默认是关闭的，AC能够管理AP的前提是开启AC的无线功能; 开启无线功能的条件：AC上有合法的无线IP地址。无线IP地址的来源：AC上面loopback接口或者UP的三层接口的IP地址。无线IP地址的配置方式：动态选取和静态指定，动态选取的IP优先级高于静态指定的IP优先级（实际项目中建议选用静态指定）动态指定无线IP地址静态指定无线IP地址设置静态的无线IP地址 6028(config-wireless)#static-ip 192.168.1.254 关闭无线IP地址的自动选取功能 6028(config-wireless)#no auto-ip-assign 查看AC选取的无线IP地址 6028#show wireless WS IP Address.................................. 192.168.1.254 WS Auto IP Assign Mode ........................ Disable WS Switch Static IP ........................... 192.168.1.254 建议项目实施时采用静态指定无线IP地址的方式，防止动态选取时IP地址变化导致无线网络中断 三、AP注册方式AP工作在瘦模式时需要注册到AC上，成功注册后才能接受AC的统一管理。有两种注册方式：AC发现AP、AP发现ACAC发现AP有两种模式：二层发现模式、三层发现模式AP发现AC有两种方式：AP上静态指定AC列表、AP通过DHCP方式获取AC列表（利用option 43选项）项目实施时建议采用AC二层发现AP方式（AC、AP二层连通）或者利用DHCP Option 43方式让AP发现AC（AC、AP三层连通）。注意：AP的IP地址和AC的无线地址能够ping通！！！！即三层可达。1. AC二层发现AP概念：AC通过二层广播发现报文方式来发现vlan内的AP。要求：AC和AP在同一个二层网络中。基本原理：AC上面可以指定二层自动发现的vlan列表，向列表中的各个vlan发送自动发现报文。收到广播发现报文的AP会向AC做出响应。2. AC三层发现AP：概念：AC根据AP的IP地址单播发现AP的方式。AC上面配置三层发现IP地址列表，AC根据列表中的地址逐个发现AP。3. AP主动发现AC：AP主动发现AC只能通过AC的无线IP地址进行单播发现。按照AP上面获取AC地址方式的不同，可以分为一下几种发现方式：1.AP通过静态AC地址主动发现AC（必须掌握）2.AP通过DHCP Option43获取AC地址并发现（必须掌握）3.AP通过AC下发的自动部署地址发现AC四、AP注册认证方式主要认证方式：MAC认证：通过检查AP的mac地址来决定AP是否能够注册到AC上。默认的认证方式。AC上面通过ap database来添加AP的mac地址。大规模部署时比较麻烦。None：免认证，即AP自动注册，便于部署。推荐使用这种方式。Pass-Phase认证：密码认证，AC和AP比对密码，密码一致时AP可以注册到AC上。AP需要做配置，使用不便，用的较少。五、AP配置下发神州数码DCWS-6028(AC-AP)基础理论（二）