第15章无线网络的配置.docx

第15章无线网络的配置.docx

《第15章无线网络的配置.docx》由会员分享，可在线阅读，更多相关《第15章无线网络的配置.docx（50页珍藏版）》请在冰豆网上搜索。

第15章无线网络的配置

第15章无线网络的配置

第15章无线网络的配置

无线网络的配置可以分为两种情况。

一是对每个无线AP进行单独的配置，适用于无线AP数量较少的小型无线网络；二是借助无线网络控制设备实现对网络设备的统一配置与管理，适用于拥有无线网络控制器的、较大规模的无线网络。

本章技术要点：

①无线AP的配置；②配置WDS服务器；③点对点和点对多点网络的配置；④无线网络控制器的配置；⑤配置安全策略；⑥配置WLAN。

15.1无线AP的配置

与CiscoCatalyst交换机类似，无线AP也提供了基于Web的远程配置方式。

因此，只需借助Web浏览器，就可以在图形界面下实现对无线AP的基本配置，非常适合于没有经过专业技术培训的网络管理员。

15.1.1无线AP基本配置

Cisco无线AP被广泛应用于大中型无线网络中，除可以使用CLI方式进行配置外，还可以借助Web浏览器直观实现。

下面，以CiscoAironet1130AG为例，介绍一下作为普通接入点的无线AP的设置。

在使用Web方式访问无线AP之前，必须先借助Console端口为其配置IP地址信息。

若欲实现远程管理，还应当设置SNMP参数。

当使用Web浏览器访问无线AP的管理IP地址时，将显示如图15-1所示的Web配置主页面。

单击左侧栏中的ExpressSetup超级链接，显示如图15-2所示ExpressSetup页面，配置无线AP的一些基本参数，如主机名称、IP地址信息、SNMP字符串无线、无线AP接入模式等。

（点击查看大图）图15-1Web配置主页面

（点击查看大图）图15-2ExpressSetup页面

HostName为指定该无线AP的名称，用于与其他无线AP相区别，便于日后的维护和管理。

ConfigurationServerProtocol为指定IP地址获取方式。

其中，DHCP为自动获取方式，StaticIP为静态指定方式。

通常情况下，应当为无线AP指定静态的IP地址。

IPAddress为指定该无线AP的IP地址。

IPSubnetMask为指定该无线AP的子网掩码。

DefaultGateway为指定该无线AP的默认网关。

SNMPCommunity为指定SNMP字符串，便于实现对无线AP和其他设备的远程统一管理。

Read-Only为只读方式，Read-Write为读写方式。

建议读写方式，以实现对无线AP配置的远程修改。

15.1.2AP工作模式配置

如图15-2所示，在Radio0-802.11G和Radio0-802.11A栏，分别设置无线AP的工作模式。

RoleinRadioNetwork为指定无线AP的工作模式。

当该无线AP作为普通无线接入点时，应当设置为AccessPointRoot模式。

AccessPointRoot：

根无线AP模式，适用于充当普通无线接入点，以及点对点和点对多点网络中的根接入点。

RepeaterNon-Root：

中继非根AP模式，适用于点对点和点对多点方案中与根网桥的连接。

如图15-3所示为应当设置为AccessPointRoot模式时的无线网络拓扑结构。

如图15-4所示为应当设置分别为AccessPointRoot和RepeaterNon-Root模式时的无线网络拓扑结构。

（点击查看大图）图15-3AccessPointRoot模式

（点击查看大图）图15-4RepeaterNon-Root模式

如图15-2所示，OptimizeRadioNetworkfor为指定无线AP可用的传输速率。

建议选择Default选项，采用系统默认的传输速率。

Throughput：

指定所允许的最大吞吐量，该值由关键字basic所设置。

Range：

指定无线AP所允许的传输速率范围。

Default：

指定无线AP采用默认速率传输。

Custom：

显示Radio-802.11GSettings页面，指定无线AP的传输速率。

15.1.3SSID和VLAN设置

单击左侧栏中的EXPRESSSECURITY超级链接，显示如图15-5所示ExpressSecurity页面，配置无线AP的安全属性。

SSID：

该无线AP所属无线网络的SSID。

BroadcastSSIDinBeacon：

广播该无线网络的SSID。

如果对网络安全有较高的要求，那么，应当取消对该复选框的选中。

NoVLAN：

不在无线网络中划分VLAN，适用于规模较小、所有客户端都属于同一VLAN的无线网络。

EnableVLANID：

将该SSID指定至VLAN，适用于较大规模、无线客户端被分配于多个VLAN的无线网络。

可以在一个无线AP中设置多个VLAN。

NativeVLAN：

将该VLAN指定为本地VLAN。

如图15-6所示，左侧为不划分VLAN的无线网络；右侧为划分VLAN的无线网络，将不同SSID的无线客户端指定至不同的VLAN。

（点击查看大图）图15-5ExpressSecurity页面

（点击查看大图）图15-6无线VLAN

15.1.4加密和认证设置

如图15-5所示，以下为Security中选项的具体解释。

NoSecurity：

不采用任何无线安全传输手段。

适用于对网络接入和数据传输没有任何安全要求的网络。

StaticWEPKey：

采用静态WEP加密传输方式。

需要在下方列表框中选择使用的密钥，输入密码，并选择加密的位数。

由于该加密方式很容易破解，因此，如果确实想让无线数据得到保护，应该使用更安全的加密方法，如WPA。

EAPAuthentication：

采用EAP方式认证，需要指定RADIUSServer服务器的IP地址或主机名，以及REDIUSServerSecret认证服务器密码。

适用于VPN接入方式的身份认证。

WPA：

采用WPA方式认证。

同样，需要指定RADIUSServer服务器的IP地址或主机名，以及REDIUSServerSecret认证服务器密码。

WPA是用来改善或者替换有漏洞的WEP协议的，因为WPA提供了比WEP更强大的加密功能，解决了WEP存在的许多弱点。

如果网络内安装有认证服务器，建议选择该方式作为安全认证方式。

否则，应当选择WEP加密传输方式。

15.1.5设置无线信道

默认状态下，无线AP将自动设置信道，以避免可能的拥塞。

然而，为了便于对无线信道的有效控制，推荐手动设置无线信道，以确保无线信号相互覆盖的无线AP使用互不相邻的信道。

具体操作步骤如下。

当无线AP的信号相互覆盖时，对于IEEE802.11g端口而言，应当分别设置为互不相邻的1、6、11信道；对于IEEE802.11a则应当分别设置为不相邻的信道。

15.2无线漫游网络的配置

若欲实现无线漫游，必须将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖，各覆盖区域之间无缝连接。

所有AP通过双绞线与有线骨干网络相连，形成以固定有线网络为基础，无线覆盖为延伸的大面积服务区域。

所有无线终端通过就近的AP接入网络，访问整个网络资源。

无线漫游覆盖大大扩展了单个AP的覆盖范围，从而突破了无线网络覆盖半径的限制，用户可以在AP群覆盖的范围内漫游，而不会和网络失去联系，通信不会中断。

15.2.1CiscoWCS

（1）

Cisco无线控制系统（CiscoWirelessControlSystem，WCS）是业界进行无线局域网规划、配置和管理的领先平台。

它提供了一个强大的基础，使IT管理员能从中央地点设计、控制和监控企业无线网络，简化运营并降低总拥有成本。

借助CiscoWCS，网络管理员可拥有单一解决方案，实现RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。

强大的图形化界面使无线局域网的部署和运营简单且经济有效。

详细的趋势和分析报告使CiscoWCS可为持续网络运营提供重要作用。

CiscoWCS运行在服务器上，有一个内嵌数据库，可管理数百个Cisco无线局域网控制器，而这些控制器可管理数千Cisco小型接入点。

无线局域网控制器可位于CiscoWCS所在的局域网中、分布于多个独立路由子网或位于广域连接之上。

CiscoWCS甚至可为最大的企业环境提供理想的无线局域网管理平台。

CiscoWCS的主要功能如下。

（1）无线局域网规划和设计

CiscoWCS提供了集成化RF预测工具，它们可用于创建详细的无线局域网设计，包括轻型接入点的放置、配置、预计性能和覆盖范围。

网络管理员可将实际的地面布局输入CiscoWCS，并确定楼宇中各组件的RF特性，以提高设计准确性。

热点图可帮助网络管理员查看无线局域网的预计行为，以便更方便地进行规划和更快地实施部署（如图15-7所示）。

（2）无线入侵防御

网络管理员可以创建能定制的攻击签名文件，用于迅速检测与RF（RadioFreqency，无线电频率）相关的常见攻击，如拒绝服务（DoS）、Netstumbler和FakeAP。

用户可对CiscoWCS编程，使其在发现攻击时自动报警。

详细的趋势报告可帮助网络管理员在威胁造成重大损失前发现反复出现的安全问题，如图15-8所示。

（点击查看大图）图15-7CiscoWCS

（点击查看大图）图15-8趋势报告

（3）恶意设备检测

WCS平台可以持续监控无线空间，寻找非法接入点和临时网络。

如果在网络中出现未授权设备，可以使用WCS确定其位置，并评估威胁级别。

如认为是恶意设备，网络管理员可利用WCS来正确防御它们。

如图15-9所示骷髅标识的AP就是XX而接入网络的无线设备。

（4）配置策略模板

WCS提供了大量的配置模板，可用于实现创建VLAN、身份认证、QoS、VPN等几乎所有配置，如图15-10所示。

（点击查看大图）图15-9发现恶意设备

（点击查看大图）图15-10配置模板

15.2.1CiscoWCS

（2）

（5）用户拒绝列表

网络管理员可使用WCS来主动拒绝某些特定用户与无线网络建立连接。

此外，如果发现异常活动，受到影响的设备会被标记，如果认为是恶意设备，会拒绝它们接入网络，这些设备就无法获得无线局域网服务，直至拒绝列表中规定的时间到期，或网络管理员决定允许其访问无线网络为止，如图15-11所示。

（6）无线网络监控

WCS提供了日志和事件查看工具，可以对重要的系统和安全事件进行监控，以及时了解无线网络和设备的运行情况，如图15-12所示。

（点击查看大图）图15-11用户拒绝列表

（点击查看大图）图15-12日志和事件查看工具

（7）用户位置跟踪

WCS提供了各种选项，来有效地跟踪无线设备，包括支持Wi-Fi的笔记本式计算机、PDA、手机和配备了IEEE802.11收发器的移动设备。

WCS可以确定一台无线设备与哪个接入点相关联，使网络管理员大致了解无线设备的位置，如图15-13所示。

（点击查看大图）图15-13用户位置跟踪

15.2.2无线AP配置规划

无线漫游中无线AP的配置与普通无线AP的配置基本相同，只是应当注意以下几个方面的问题：

所有无线AP必须使用同一SSID。

所有无线AP必须使用同一网段的IP地址，并且处于同一VLAN中。

信号相互覆盖的无线AP不能使用相同的频道。

由于多个AP信号覆盖区域相互交叉重叠，因此，各个AP覆盖区域所占频道之间必须遵守一定的规范，邻近的相同频道之间不能相互覆盖，也就是说，相互覆盖区域的无线AP不能采用同一频道，否则，会造成AP在信号传输时的相互干扰，从而降低AP的工作效率。

在可用的11个频道中，仅有3个频道是完全不覆盖的，他们分别是频道1、频道6和频道11，利用这些频道作为多蜂窝覆盖是最合适的。

另外，用于实现无线漫游网络的无线AP必须使用同一网络名称（SSID），使用同一网段的IP地址，否则，无线客户端将无法实现漫游功能。

无线漫游网络中，客户端的配置与接入点网络中的配置完全相同。

用户在移动过程中，根本感觉不到无线AP间进行切换。

在搭建无线漫游网络时，需要注意以下几点：

AP信号覆盖区域应当相互交叉重叠，否则，会导致无线网络盲区。

也就是说，无线AP之间的距离，应当小于无线AP的有限传输距离。

相互覆盖的无线AP必须采用不同的、甚至是不相邻频道，否则，将导致严重干扰，降低AP通信效率。

信道就是之频段，IEEE802.11b/g是工作在2400~2483MHz，美国标准信道（channel）可以划分11个，欧洲标准可以划分13个，日本标准可以划分14个，每个channel之间相差11MHz。

如channel1为2412MHz，channel2为2423MHz，依此类推。

事实上，只有1、6、11信道之间是完全没有干扰的。

无线AP必须设置为相同的SSID。

不同的SSID意味着不同的无线网络，而无法实现无线漫游。

需要注意的是，SSID区分大小写。

必须采用相同的WEP或WPA加密。

所有无线AP和客户端必须采用相同的WEP或WPA加密，否则，将无法建立彼此之间的连接。

WEP和WPA也是区分大小写的。

无线AP与无线客户端必须处于同一VLAN、同一IP地址段。

15.2.3配置WDS服务器

快速安全漫游功能允许经过验证的非根无线网桥和工作组无线网桥在根无线网桥之间安全漫游，在重新关联期间不会出现任何可察觉到的延迟。

快速安全漫游功能支持无线VoIP、企业资源规划（ERP）或基于Citrix的解决方案等时延敏感型应用，在漫游期间不会断开连接。

快速安全漫游功能的实施需要无线域服务（WirelessDomainServices，WDS）服务器，可由CiscoAironet1100和Aironet1200系列接入点等其他Cisco设备提供。

WDS综合了CiscoIOS软件的特性，可增强WLAN客户机的移动性并简化WLAN的部署与管理工作。

具体操作步骤如下。

（点击查看大图）图15-14WirelessServicesSummary页面

（点击查看大图）图15-15GENERALSETUP选项卡

（点击查看大图）图15-16SERVERGROUPS选项卡

15.2.4配置WDS设备

作为提供无线漫游设备的无线AP，必须设置为WDS设备。

具体操作步骤如下。

（点击查看大图）图15-3AccessPointRoot模式

15.2.5无线客户端配置

对于迅驰技术的笔记本式计算机而言，如果想更好地置身于无线漫游网络，实现在无线AP间的流畅过渡，建议作如下设置。

打开迅驰无线连接的“高级”选项卡（如图15-18所示），在“属性”列表框中选择“漫游主动性”选项，取消“使用默认值”复选框，并将滑杆向右侧拖动，以获得更高的漫游主动程度。

（点击查看大图）图15-18“高级”选项卡

15.3点对点和点对多点网络的配置

点对点和点对多点网络主要用于实现局域网之间的远程无线连接。

15.3.1点对点网络配置

1.配置根网桥

（点击查看大图）图15-19ExpressSecurity页面

2.配置非根网桥

非根网桥的SSID、加密方式、传输速率、信道、VLAN设置应当与根网桥完全相同，并且其IP地址也应当与根网桥在同一IP网络。

只是其工作模式应当选择为Non-Root单选项。

非根网桥的基本设置如图15-20所示。

（点击查看大图）图15-20非根网桥基本设置图

15.3.2点对多点网络配置

在点对多点无线网络中，必须将其中一个无线网桥设置为Root（根网桥），其他无线网桥设置为Non-Root（非根网桥），一主多从才能实现彼此之间的通信，如图15-21所示。

Root必须采用全向天线，Non-Root则最好采用定向天线，从而保证无线信号的覆盖和接收。

（点击查看大图）图15-21点对多点网络

有关Root和Non-Root网桥的具体配置方式，请参见上述相关内容，此处不再赘述。

15.4无线网络控制器的配置

当网络内拥有多个无线AP时，逐一配置、管理和监控无疑是一件费时、费力且效率低的工作。

同时，由于无法具体判断无线信号强度和接入点数量，或者造成无线网络盲区，或者导致网络传输拥塞，因此，对无线AP的统一管理，就显得尤其重要。

借助无线网络控制器，可以智能高效地管理无线网络。

15.4.1配置前的准备

在配置无线局域网控制器之前，应当准备好以下相关信息资料：

无线局域网控制器的名称。

用户名和密码。

默认管理用户和密码均为admin。

服务端口IP地址配置协议（无或DHCP）。

管理端口（DS端口或网络端口）IP地址。

注意，服务端口和管理端口必须位于不同的子网。

管理端口子网掩码。

管理端口默认路由IP地址。

如果将管理端口指定至VLAN时，应当指定VLANID。

或者未指定VLAN时，应当使用0。

分布系统物理端口号。

默认DHCP服务器的IP地址，用于为客户端提供IP地址。

轻型访问点（LWAPP）传输模式（第2层或第3层）。

虚拟网关IP地址（假想的未指派的IP地址，如1.1.1.1，用于所有Cisco无线局域网控制器第3层安全和移动管理）。

无线局域网控制器移动组名称（如果需要）。

WLAN1的IEEE802.11网络名称（SSID）。

该SSID是当访问点加入至无线局域网控制器时，默认使用的SSID。

是否允许无线客户端使用静态IP地址。

如果是，将更为方便，但是，安全性将随之降低（进程可能会被劫持）

如果否，将不太方便，但是，安全性将会更高，并且WindowsXP设备能够很好地工作。

RADIUS服务器的IP地址、通信端口和机密（如果配置RADIUS服务器）。

国家代码。

中国代码为cn。

IEEE802.11a、802.11b和802.11g网络的状态（启用或禁用）。

无线电通信资源管理（Statusofradioresourcemanagement，RRM）启用或禁用。

15.4.2配置端口

（1）

1.无线网络控制器的端口

无线网络控制器的端口与其他网络设备的端口有所不同。

如图15-22所示为Cisco2000系列WirelessLANControllers端口。

（点击查看大图）图15-22Cisco2000系列端口

如图15-23所示为Cisco2100系列WirelessLANControllers端口。

（点击查看大图）图15-23Cisco2100系列端口

如图15-24所示为Cisco4400系列WirelessLANControllers端口。

（点击查看大图）图15-24Cisco4400系列端口

如图15-25所示为Catalyst3750GIntegratedWirelessLANController交换机端口。

（点击查看大图）图15-25Catalyst3750G端口

无线网络控制器的端口类型与数量见表15-1。

表15-1无线网络控制器端口

控制器

服务端口

分布系统以太网端口

串行Console端口

2000系列

无

4

1

2100系列

无

8（6+2PoE端口）

1

4402

1

2

1

4404

1

4

1

CiscoWiSM

2（端口9和10）

8（端口1-8）

2

Cisco28/37/38xx系列路由器无线控制模块

无

1

11

Catalyst3750GIntegrated

WirelessLANController交换机

1

2（端口27和28）

1

在CiscoWirelessLANController配置主窗口，依次选择CONTROLLER→Interfaces选项，显示如图15-26所示Interfaces配置页面，显示当前端口配置情况。

（点击查看大图）图15-26Interfaces配置页面

15.4.2配置端口

（2）

2.配置端口属性

依次选择CONTROLLER→Ports选项，显示如图15-27所示Ports页面。

（点击查看大图）图15-27Ports页面

单击欲修改的端口号，显示如图15-28所示Port>Configure页面，根据需要配置该端口。

3.配置LAG端口

当无线网络控制器拥有多个控制端口时，可以将这些端口绑定在一起作为聚合链路（LinkAggregation），实现对所有无线AP的统一控制。

依次选择CONTROLLER→General选项，显示如图15-29所示General页面，在LAGModeonnextreboot下拉列表中选择Enabled选项。

（点击查看大图）图15-28Port>Configure页面

（点击查看大图）图15-29General页面

IEEE802.3xFlowControlMode（流量控制）、EthernetMulticastMode（多播模式）、BroadcastForwarding（广播转发）、WebRadiusAuthentication（Web认证）、IEEE802.3Bridging（IEEE802.3修剪）等其他相关参数也在该界面下设置。

依次选择CONTROLLER→Interfaces选项，显示Interfaces配置页面，单击New按钮，显示如图15-30所示Interfaces>New配置页面，在InterfaceName文本框中输入管理端口的名称，并在VLANID中指定其所属VLAN。

（点击查看大图）图15-30Interfaces>New页面

依次选择Interfaces→Edit选项，显示如图15-31所示Interfaces>Edit页面，根据无线网络规划分别设置相关参数，并选中EnableDynamicAPManagement复选框。

（点击查看大图）图15-31Interfaces>Edit页面

配置修改完成后，依次单击Apply和SaveConfiguration按钮保存配置。

15.4.3配置无线网络控制器

无线局域网控制器无需逐个配置、管理和监控每个接入点，而是将所有接入点作为一个完整的无线局域网系统进行管理，提供了全面的无线局域网控制，从而大幅度提高了无线局域网的性能。

接入点间的快速安全漫游，为低延迟应用，如WLAN语音（分支机构内的无绳电话）提供了支持。

此外，集成无线入侵保护可保持无线网络和敏感公司信息的完整性。

1.修改SNMP字符串

依次选择MANAGEMENT→SNMP→Communities选项，显示如图15-32所示SNMPv1/v2cCommunity页面。

系统默认的读/写字符串分别为public和private。

单击右侧的倒三角按钮，