《无线整理笔记091219.doc》由会员分享,可在线阅读,更多相关《无线整理笔记091219.doc(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流无线整理笔记091219.精品文档.1.2.2什么是CSMA/CA?有线以太局域网在MAC层的标准协议是CSMA/CD,即载波侦听多点接入/冲突检测。但由于无线产品的适配器不易检测信道是否存在冲突,因此IEEE802.11定义了载波侦听多点接入/冲突避免(CSMA/CA)机制。一方面载波侦听查看介质是否空闲;另一方面通过随机时间等待,使信号冲突发生的概率减到最小,当介质被侦听到空闲时则优先发送。为使系统更稳定,802.11还提供带确认帧ACK的CSMA/CA协议。传输介质不同,CSMA/CD与CSMA/CA的检测方式也不同。CSMA/CD通过
2、电缆中电压的变化来检测,当数据发生碰撞时,电缆中的电压就会随着发生变化;而CSMA/CA采用能量检测(ED)、载波检测(CS)和能量载波混合检测三种检测信道空闲的方式。1.3 传输技术现有的无线网络主要使用3种通信技术:红外线、扩展频谱和窄带微波技术1.红外线通信:频谱无限,可能提供极高数据速率,而且频谱不爱管制,它可以分成定向光束红外线(点对点链路)、全向广播红外线、温反射红外线三种技术。IEEE802.11规定采用PPM技术作为漫反射IR介质的物理层标准,波长为850950mm,数据率分为1Mb/s和2Mb/s两种2.扩展频谱通信:即扩频技术。包括早期的频率跳动扩展频谱(FHSS)和更新的
3、直接序列扩展频谱(DSSS),这两种技术都在WLAN中有应用,它们都工作在ISM频段。3.窄带微波通信:是指使用微波天线电频带(RF)进行数据传输。1.5 无线局域网协议标准传输率最大传输距离(m)调制方式不重叠信道频率802.11b11Mbps100300OFDM13个信道(1/6/11不重叠)2.4Ghz802.11a54Mbps50100DSSS/CCK支持12个不重叠的信道5Ghz802.11g54Mbps50100OFDM三个不重叠的信道2.4Ghz802.11n300-600MMIMO,OFDM123个不重叠信道,兼容abg2.4/5.8Ghz注:因为11g和11b都工作在2.4G
4、HZ频段,所以11g向下兼容11b802.11b,g设备受微波炉,蓝牙,无线电话等设备影响1.6无线客户端认证过程1. 客户端在每个信道上广播探测请求帧(这个过程主要用于发现无线AP)2. 信号范围内的AP回应一个探测响应帧3. 客户端决定采用哪个AP接入,并发送认证请求(这个就是我们通常在pc上点查看无线网络时,有时候会有多个无线AP可供选择,然后我们自己决定连接哪一个AP)4. AP发送认证回应5. 认证成功后,客户端向AP发送一个关联请求6. AP回应一个关联请求7. 开始通信无线数据加密机制1. 不加密2 .WEP 有线对等保密 静态WEP,动态WEP,与802.1x认证方式协同工作支
5、持64位或128位加密,密码输入方式可以选择为ASII(5位或13位)码或16(10位或26位)进制数。注:因为64或128位加密,前面有24位的方向矢量,故实际密钥为40或104位,即(5或13位ASII码,5x8=40,13x8=104.3.TKIP 临时密钥完整性协议 WPA认证 802.1x认证或与共享密钥两种方式4.AES 高级加密标准 WPA2认证 802.1x认证或与共享密钥两种方式认证方式:开放系统认证:用户仅仅通过SSID与AP进行关联匹配,不需要其他任何认证信息,但是数据仍然可以通过WEP进行加密,或者选择不加密。WEP认证:即双方通过预共享密钥进行认证。此方式对应于用户P
6、C上验证方式中的共享式。在此方式中,数据加密方式也是可选的,即可以进行WEP加密或者不加密,加密密钥和认证密钥是同一个。l 概述 wired equivalent privacy 有线等效加密 采用RC4算法对用户数据进行加密l 密钥长度 40bit(5位字符、10位HEX、40位BIN) 104bit (13位字符、26位HEX、104位BIN)l 缺点 密钥容易被破解WPA-PSK认证方式为预共享密钥,加密方式为AES或TKIP。WPAl 概述 Wi-Fi Protected Access 为了提高安全性,IEEE过去曾一直致力于制定IEEE 802.11i标准 WPA是802.11i标准
7、的安全特性的一个子集 加密算法 TKIP AESl 密钥长度 输入863个字符或64个十六进制数天线的三个特性l 增益 功率增加的度量标准,思科规定用dBi来度量增益,这是选择天线的最主要的一个参数,它指的是天线在一定方向上天线辐射电磁波的强度,很直接影响到天线的覆盖范围和发射频率的强度。l 方向 全向天线:360度覆盖辐射RF能量 定向天线:集中在一个方向上l 极化 是实际发射RF能量的天线上分子的物理排列方向 线性极化:包括垂直极化、水平极化 环形极化:包括顺时针极化、反时针极化Poe设备标准:802.3afPoe交换机:3250P-24,5750p-24GT/12SFP单口poe模块Po
8、e-MIDSPANWLAN中使用的主要单位:dB 是功率增益的单位,表示一个相对值,当计算A的功率比B大多少dB时,可以按公10 lg A/B计算。 dBi 也是功率增益的单位,和dB的区别在于它的参考基准为全向天线,实际可理解和dB是一个东西。dBm 是考量功率绝对值的值,计算公式为:10lgP(功率值/1mw)例1 如果发射功率P为1mw,折算为dBm后为0dBm。例2 对于100mw的功率,按dBm单位进行折算后的值应为:10lg(100mw/1mw)=10lg100=10*2=20dBm二无线局域网安全机制2.1 SSID过滤(禁止广播)2.2 MAC地址过滤2.3 协议端口过滤2.4
9、 访问认证机制(开放系统验证,共享密钥验证)2.4.1 开放系统认证使用明文传输,包括两个通信步骤。1.发起认证的STA首先发送一个管理帧表明自己身份并提出认证请求,该管理帧的认证算法码字段值为“0”,表示使用开放系统认证。2. 随后,AP对STA作出响应。 2.4.2 共享密钥认证基于客户端是否具有共享密钥的 “请求/响应”机制。通常使用WEP密钥作为共享密钥,而WEP密钥是人工设定的,所以又称为静态WEP。通常与WEP技术相结合,形成完整的IEEE 802.11无线安全体系。STA和AP之间进行四次交互,使用经WEP加密的密文传输。第一步:发起认证的STA首先发送一个管理帧表明自己身份并提
10、出认证请求。第二步和第三步是个“握手”过程:第二步AP作出响应,同时该帧中还包含一个由WEP算法产生的随机挑战信息(challenge text)。之后的第三步,STA对随机挑战信息用共享密钥进行加密后发回给AP。第四步:AP对STA的加密结果进行解密,并返回认证结果,如果解密后的challenge text与第二步发送的原challenge text相匹配,STA可以通过认证加入无线网络;反之,STA不能加入网络。2.5 数据加密机制(WEP与WPA)WEP加密:WEP支持64位128位加密,对于64位加密,加密密钥为10个十六进制字符(0-9和A-F)或5个 ASCII 字符;对于128位
11、加密,加密密钥为26个十六进制字符或13个ASCII字符。64位加密有时称为40位加密(包含24位初始化向量);128位加密有时称为104位加密。152位加密不是标准WEP技术,没有受到客户端设备的广泛支持。WEP依赖通信双方共享的密钥来保护所传的加密数据帧。其数据的加密过程如下。1、计算校验和(Check Summing)。(1)对输入数据进行完整性校验和计算。(2)把输入数据和计算得到的校验和组合起来得到新的加密数据,也称之为明文,明文作为下一步加密过程的输入。2、加密。在这个过程中,将第一步得到的数据明文采用算法加密。对明文的加密有两层含义:明文数据的加密,保护未经认证的数据。(1)将2
12、4位的初始化向量和40位的密钥连接进行校验和计算,得到64位的数据。(2)将这个64位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验和计算值进行加密计算。(3)经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息,即密文。3、传输。将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上传输。(如图所示) WPA:Wi-Fi保护接入(WPA)WPA 支持通过 802.1X(称作 WPA Enterprise)或结合预共享密钥(称作 WPA Personal)的身份验证、一种称为临时密钥完整性协议 (TKIP) 的新型加密算法、以及一种称为 Mi
13、chael 的新型完整性算法。WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。802.1x是一种基于端口的访问控制标准,用户必须通过了认证并获得授权之后,才能通过端口使用网络资源。TKIP虽然与WEP同样都是基于RC4加密算法,但却引入了4个新算法:扩展的48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules);每包密钥构建机制(per-packet key construction);Michael(Message Integrity Code,MIC)消息完整性代码;密钥重新获取和分发机制。WPA系统在工作的时候,先由AP向外公布自身
14、对WPA的支持,在Beacons、Probe Response等报文中使用新定义的WPA信息元素(Information Element),这些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息)。无线工作站(STA)根据收到的信息选择相应的安全配置,并将所选择的安全配置表示在其发出的Association Request和Re-Association Request报文中。WPA通过这种方式来实现STA与AP之间的加密算法以及密钥管理方式的协商。支持WPA的AP工作需要在开放系统认证方式下,STA以WPA模式与AP建立关联之后,如果网络中有RADIUS服务器作为认证服务器,那么
15、STA就使用802.1x方式进行认证;如果网络中没有RADIUS,STA与AP就会采用预共享密钥(PSK,Pre-Shared Key)的方式。在WPA中,AP支持WPA和WEP无线客户端的混合接入。在STA与AP建立关联时,AP可以根据STA的Association Request中是否带有WPA信息元素来确定哪些客户端支持使用WPA。但是在混合接入的时候,所有WPA客户端所使用的加密算法都得使用WEP,这就降低了无线局域网的整体安全性。WPA2是Wi-Fi联盟发布的第二代WPA标准,与WPA第一代标准兼容。WPA2和802.11i特性基本上是相同的,它们的最重要特性是预验证:在用户对延迟毫
16、无查觉的情况下实现安全快速漫游,以及采用CCMP加密包来替代TKIP。CCMP是一种基于AES的加密机制。AES可以产生某些企业、政府部门和其他机构所需要的高水平数据隐私能力。CCMP支持在802.11i和WPA2中是强制性的,预验证则是可选内容。三. 我司无线产品与功能介绍3.1 我司无线产品一览无线接入点 RG-P-780 双路双频三模室外型无线接入点 RG-P-720 双路双频无线室内型无线接入点 PoE供电适配器 RG-E-120 单端口POE适配器(配合RG-P-720/780产品专用) 天线与馈线 RG-A-811 2.4/5.8GHz双频室外定向板状天线(8.5/10.5dBi,
17、SMA接口) TDJ-2400I1 2.4GHz室外板状定向天线(14dBi,90,N型接口) TDJ-5800SPL4 5.8GHz室外栅状抛物面天线(24dBi,9,N型接口) RG-N-SMA N-SMA转接馈线(1米,用于连接RG-P-780与RG-A-811) RG-TPINC-SMA TPINC-SMA转接馈线(1米,用于连接RG-P-720与RG-A-811) SYV-50-7-150CM-NJ/NJ NJ-NJ转接馈线 (1.5米,用于连接RG-P-780与室外N型接口天线,如TDJ-2400I1和TDJ-5800SPL4) 避雷器 CA-23RP 2.4GHz避雷器l RG-
18、P-720 协议支持: 802.11b/g/a 射频数量:双路 应用场合:室内型l RG-P-780 协议支持: 802.11b/g/a 射频数量:双路 应用场合:室外型l RG-WGP500 协议支持: 802.11b/g 射频数量:单路 应用场合:室外型 其他:大功率当RG-P-720/RG-P-780工作在网桥模式下时,设备支持802.11a Turbo模式,理论传输速率为108Mbps。关于天线:TQJ: 吸顶天线。TQJ-2400AT:室外全向天线。RG-A811:室外吸顶天线。2.4/5.8G SMA接口。TDJ5800:5.8G 抛物面定向天线。TDJ2400A:2.4G抛物面定
19、向天线TDJ2400L1: 2.4G全向天线智能无线交换机产品l MXR-2 2个10/100M快速以太网口,1个支持PoE 支持4个MP产品的控制权l MX-8 8个10/100M快速以太网口,6个支持PoE 支持12个无线接入点l MX-200R 2个千兆SFP口 最大支持192个无线接入点(默认32个授权) 双冗余电源l MP-71 协议支持: 802.11b/g 射频数量:单路 应用场合:室内型 天线:自带柱状全向l MP-422 协议支持: 802.11b/g/a 射频数量:双路 应用场合:室内型 天线:自带吸顶天线 其他:双冗余以太端口l MP-620 射频数量:双路 协议支持:
20、802.11b/g/a 应用场合:室外型 天线:N型天线接口l MP-432 协议支持: 802.11n/b/g/a 射频数量:双路 应用场合:室内型 天线:自带吸顶天线 其他:双冗余以太端口MP与MX的协商过程MP与MX的正常工作条件 MP正确获悉到MX的地址 MP与MX三层可达 MX存在正确的MP序列号MP与MX协商成功后 MP下载IOS MP下载配置 MP与MX进行keepalive MX策略发生改变时,重新下传配置至MP四. 智能无线交换产品FAQ41产品知识1.2 我司无线交换机可管理AP的数量是多少目前无线交换机有以下几个型号: MXR-2:最大支持4 个AP
21、的管理 MX-8:最大支持12 个AP 的管理 MX-200R:初始支持32 个AP 管理,通过license 升级,最大支持192 的AP 管理 3 种型号的MX 无线交换机只有性能和AP 管理数的区别,功能无区别1.5 MP-71、MP-372/422、MP-620各支持多少个SSID?MP-71 支持32 个ESSID,MP-372/422、MP-620 支持64 个ESSID。1.6 MP-71、MP-372/422、MP-620能支持多少用户?MP-71 是单路设备,推荐最大不超过25 个用户。MP-372/422、MP-6
22、20 是双路设备,即每路都能支持25 个用户,所以双路同时开启的话每台设备最大支持50 个用户。1.7 MP-71和MP-372/422的最大功率是多少? 这两款产品的最大工作功率都是100mW。MP-71 可以支持PoE 供电模式和本地供电模式两种。PoE 模式下,可以使用外置的PoE 适配器或PoE 交换机供电,供电电压是标准的48V DC,电流是0.2A;本地供电模式下,MP-71 是具备本地供电口的,需要外接电压5V、电流 2A(不超过3A)的变压器即可,不过,由于我们不提倡本地供电模式,因此MP-71 随机并不提供这种变压器,如果在项目中需要,可以建议客户或集成商自行采购变压器即可;
23、 国家无委会规定,室内设备的工作功率都不得超过100mW.1.8 室外瘦AP产品MP-620为啥比胖AP贵很多,如何解释?MP620 是一款室外型智能无线接入点产品MP-620 采用了双路双频三模架构,可同时支持802.11a 和802.11b/g 同时使用,才同类产品里1.9 MP-71的两根天线是什么用处MP-71 是单路射频的AP(有别于P-720 的双路双天线AP),随机自带2 根天线是因为采用了天线分集技术,能够消除信号多径干扰,提高信号接收和发送质量。由于采用了天线分集技术,所以如果需要外接多个天线来增大覆盖范围的话,只能使用MP-71 上的一个天线接口(靠近电
24、源口那个),再通过功分器分出两路天线来,而不能直接在MP 的两个天线接口上一边接一个。并且需要将MP-71 的天线分集技术取消。取消天线分集的命令参考:set ap 1 radio 1 radio-profile XXX mode enable antenna-location outdoorsantennatype ANT1060 取消天线分集后,只有靠近电源口的那根天线会进行信号的收发。1.13 MP-71/372/422的指示灯分别代表什么意思MP-71 有4 个指示灯,分别是11b/g、100M、link、power 四个灯。当AP 上电或者接入POE 交换机时,P
25、ower 灯亮,然后link 和100M 灯开始闪亮,表示此时AP 已经开始启动;AP 完成启动后,当有无线用户连接的时候,11b/g 的开始闪亮。MP-372/422 有3 个指示灯,分别是左、中、右三灯,左灯表示11a 指示灯,中间灯表示工作灯,右灯表示11b/g 指示灯。当AP 上电时,3 灯均为琥珀色,当AP 开始启动时候,中间灯为绿色与琥珀色交替闪烁。AP 启动完毕后,中间灯为常绿色,左右亮灯熄灭,只有在有11a、11b/g 用户连接的时候,左右两灯才会闪烁绿色。1.14 无线交换机能与SAM进行对接进行统一认证吗?目前无线交换机7.0 的版本可以与SAM3.1 的版本能够实现以下功
26、能: 进行有线无线统一SU 和账号的802.1x 认证。 有线无线同一账号的web-portla 认证。1.15 做一个项目,配置设备的过程是什么?1. 确定AP 的数量及型号:2. 确定controller 的数量及型号:3. 配置Ringmaster:1.16 MX支持的MP数、用户数各是多少?目前无线交换机MX 各型号支持的MP、用户数为:注:配置的MP 数为MX 里可以写入MP 序列号配置的AP 个数。型号激活的MP 配置的MP 用户会话数MXR-2 4 16 75MX-8 12 48 300MX-200R 1 9 2(32个为单位升级) 768
27、 4800Ringmaster支持多少个用户的管理?RingMaster 只有对AP 数的限制,软件支持最大1000 个AP 的管理。Ringmaster是否支持第三方AP的管理?RingMaster 只支持将第三方的胖AP 的管理页面链接地址写入到里面,点击该链接,会跳转到胖AP 的WEB 管理页面。RingMaster是否支持用户登录的历史详细信息日志?不支持,RingMaster 只能查看当前在线用户的详细信息,例如用户的MAC、从哪个AP 进来的、用户的认证方式、用户名等P-780是否支持本地供电?不支持,P780 只能通过PoE 供电。4.2理论基础2.1 无线交换机+瘦AP架构,对
28、比胖AP有什么优势全局的统一管理全局的统一安全全局的统一认证设备自身的安全性。无配置全网漫游2.2 瘦AP的几种启动过程?二层的广播,MSS 7.0 通过UDP 端口5000,5001 Find MX. (6.0 只使用5000 端口)1. 静态配置, AP boot configurge可以配静态的IP 地址网关MX 地址2. 通过DHCP 的Option 43 启动,Option43 里写入MX 的IP 地址,最多5个IP。AP启动看Option43 的IP 时只看到第五个,超过之后AP 不会再往后看。3. 通过DNS启动,AP 找两个前缀字头的 或wlan-2.3 智能无线系统有几种配置
29、方法?三种方法:1. RingMaster 网管软件:可以统一配置所有设备。直观、形象,适合给客户演示。2. CLI(命令行配置)3. Web页面,但是Web页面配置不能把配置统一化,就像胖AP一样,每个无线交换机要单个配置,通过地址单个登陆,这样就容易出错。Web 页面只可以配置一些简单的功能。2.6 什么是移动域(Mobility Domain)一句话来说就是MX 的集群技术。带来的好处是AP 的冗余灾备、用户跨MX 的无缝漫游(见2.9)等。AP 可以优先附属于MX-A 当其故障时可以切换到MX-B 等其他域成员上类似于OSPF 中广播型的拓扑,每个域成员必须知道自己的域名。每个域中必须
30、手动指定类似于DR 的角色我们称之为种子(Seed),还可以选择配置次种子(Second Seed)类似于BDR。但区别于OSPF,一个新成员加入域时他会向种子通报,而后和所有域成员分别独立的交换信息而不是由DR 来做中转。这样带来的好处在于,如果种子MX 故障,域中其他成员彼此间不会发生同步和漫游障碍,只是此域由于缺少种子无法新加入成员2.7 跨MX的三层漫游是如何实现的图示说明:1. AP-1 注册到MX-200-1,AP-2 注册到MX-200-2 上。广播相同SSID 且起用keepinitial-vlan 特性,但映射到不同的用户VLAN2. 两个MX-200 由于隶属于同一Mobi
31、lity Domain 中,从而保证两台MX 会同步彼此的SESSION 表等信息3. 当用户重关联到AP-2 时,MX-200-2 已经知道该用户的SESSION,并且由于起用了keep-initial-vlan 特性,该用户会话始终保持在原有VLAN 中(本例为VLAN401)4. 如果MX-200-2存在VLAN401则用户流量会通过其与核心交换机相连的trunk链路到达有线网络如果MX-200-2 不存在VLAN401,则MX-200-2 会与MX-200-1 自动创建一个VLANTunnel(私有协议,要求两台MX 路由可达即可),用户流量会封装到该隧道再次回送到MX-200-1 上
32、,最终用户流量会通过MX-200-1 与核心交换机的trunk 链路到达有线网络4.3 操作与维护3.1 AP是否能够手动指定IP地址AP 需要在正常工作以后以后才能进行静态地址的配置。这就需要AP 先通过DHCP 方式启动后,再进行静态地址的写入。在配置时,需要写入AP 的IP、掩码、网关、MX的地址,AP 就可以通过静态方式启动了,AP 在通过静态地址无法找到MX 启动时,它要重启,重启将使用DHCP 方式启动。命令参考:set ap 1 boot-configuration ip 192.168.1.200 netmask 255.255.255.0gateway 192.168.1.1
33、 mode enableset ap 1 boot-configuration switch switch-ip 192.168.1.1 mode enable3.5 在无线交换机中,查看AP的状态时,b、d、c、a等状态是什么意思?AP 在启动过程中,通过show ap states 命令,可以查看AP 的状态。O 状态,表示AP 处于正常工作状态,此时,AP 是可操作的。C 状态,表示AP 处于配置状态,即更新AP 的内部信息。此时,AP 不可操作。智能无线交换产品FAQ22 / 43B 状态,表示AP 正在处于正在启动的状态,此时,AP 不可操作。A 状态,表示AP 处于auto 模式,
34、即自动注册模式。I 状态,表示AP 处于非加密模式,AP 到MX 之间的加密没有启用。E 状态,表示AP 处于加密模式,AP 到MX 之间的加密启用。3.6 如何控制同一个VLAN下的无线用户之间的互访控制同一VLAN 下的无线用户之间的互访,可以采用L2-restrict 功能。原理:限制用户VLAN 下的2 层报文,只允许访问网管和无线交换机的报文。(可以手动设定允许访问的MAC 地址)。命令参考:set security l2-restrict vlan user_1 mode enable permit-macaa:bb:cc:dd:ee:ff11:22:33:44:55:66(网关的
35、MAC 地址和MX 的MAC)3.7 AP的标签贴纸上的序列号磨掉,看不清了,还有什么办法找到将AP 配置为Auto mode,AP 就能起来,此时show ap connection 就能看到AP 的序列号。命令参考:set ap auto mode enableshow ap connection3.8 在AP 与无线交换机跨三层,通过DNS 启动时,DNS配置问题DNS 的后缀域名可以是任意,只要是trpz 或wlan-switch 的主机名解析就可以。AP 如果是通过DHCP 启动,需要能得到网关、DNS,所以需要DHCP 服务器设置的作用域选项有option 3(router)、op
36、tion 6(DNS server)、option15(DNS domain)3.9 使用MX的DHCP server 能否做option43给多个AP网段提供分配地址和启动使用不能,不支持option43,并且我司的无线交换机MX 是二层设备。3.10 无线用户使用Web认证,可否做到上校内的网站不需要认证,校外的需要认证可以做到,在web 认证时,用户连接到无线网络,在还没有成功认证时,MX 默认给了一个叫做portalacl 的权限,此acl 在我们配置了web 认证后自动就会有,如下:set security acl name portalacl permit udp 0.0.0.0
37、255.255.255.255 eq 680.0.0.0 255.255.255.255 eq 67set security acl name portalacl deny 0.0.0.0 255.255.255.255 capturecommit security acl portalacl可以看出,portalacl 里,只有UDP67、68 可以过,其他都deny,即只可以DHCP 得地址,其他都不允许。所以,我们只要在portalacl 里再加几条ACL:任何用户到校内网站的IP 都允许就可以了。命令参考:set security acl name permit any 10.10.1
38、0.1 255.255.255.0commit security acl 3.11 定制web portal认证页面的方法?将定制的web 页面文件通过tftp 服务器拷贝到mx 里。然后set service-profile XXX webportal-form XXXX.html。更改Web Portal 示例:开启TFTP 服务器,将ruijie.html 和mylogo.gif 文件上传至无线交换机根目录。copy tftp:/172.16.1.78/ruijie.html ruijie.htmlcopy tftp:/172.16.1.78/mylogo.gif mylogo.gif然
39、后将当前使用的service-profile 的web-portal 页面的路径改为你上传的文件名:set service-profile web-portal-form ruijie.html 注:要弹出web 页面,MX 上必须有用户vlan 的interface 地址,并且无线用户必须有DNS地址。3.12 配置单个AP限制接入用户数的方法在service-profile 里配置cac,例如配置每个AP 的接入用户数为15:set service-profile cac-session 15set service-profile cac-mode session3.1
40、3 测试时,MP-71可以启动,但MP-422无法启动是什么原因MP-422 无法启动,可能的原因有:1. 在配置MP 的序列号和产品型号时,一定要注意看一下型号是MP-422 还是MP-422A。如果是MP-422A,我们写MP-422 是一定起不来的。2. MX 的6.0版本可能会导致MP-422A无法启动,将MX升级到7.0 再使用。3. 国家代码一定要设置为cn,国家代码设置不正确可能会导致MP 异常。使用命令:set system countrycode cn3.14 MX-200R的enable密码忘记,能否恢复密码而不删除配置不能,只能通过恢复出厂设置的方法清除密码,恢复出厂设置
41、后所有配置都将丢失。方法:开机刚启动时,按照提示,按“q”+回车,就进入到boot 模式,在boot 的提示符下输入下列命令:boot OPT+=default3.15 MX的端口可以聚合吗?如何操作可以,先设定一个port group,里面包含这两个端口1,2 然后设定哪个端口属于哪个vlan 时,设置为port group 的名字即可。命令参考:MX# set port-group name server2 15,17 mode onMX# set vlan default port server23.17 使用一个SSID对应多个VLAN时,无线用户可否使用静态地址?不可以,使用同一个S
42、SID,无线用户从某些AP 进来是一个VLAN,从另外AP 进来又是另外一个VLAN。如果用户是静态地址的话,由于AP 是无法根据地址来识别VLAN的,接入过程是先通过认证,再指定到相应的VLAN,而不是先识别你的静态地址,再规定你去哪个VLAN,所以静态地址会有问题。3.18 升级MX到7.0.7.3后,RingMaster上的AP状态不更新由于MX 升级到了7.0 版本,而RingMaster 还是6.0 的低版本,数据同步时存在问题,升级成7.0 问题解决。升级时可以直接覆盖,也可以将原有版本先卸载再安装,注意卸载时要保留原有License 文件,并且安装新版本要和以前的目录路径保持一致
43、。注意:卸载时,第二项不要选。3.19 在日志中发现有AP 出现DOWN的现象,可能是什么问题?AP 重启是因为AP 和它所连接的交换机端口协商不一致或不稳定而重启了。AP 经常重启有以下两种可能:1、AP 所连接的交换机端口起了生成树,建议关掉。2、也有可能是链路质量问题引起。建议换个端口或者换根网线观察。3.20 配置好一个无认证的SSID服务,可以正常接入,但是再接着再将该SSID配置为MAC地址认证后,不起作用在配置不认证的SSID 服务时,配了命令:set service-profile public auth-fallthru last-resort,这条命令就是所有通过此SSID
44、 的用户不需认证。如果你直接要在此SSID 里改变成为MAC 认证,需要将该命令取消:set service-profile public auth-fallthru none。如果没取消的话,就算配置了MAC 认证set authentication mac ssid XXXX * loal,用户也是不需要认证就可以进来的。配置MAC 认证的命令参考:MX-8# set authentication mac ssid * loalMX-8# set mac-user 00:11:22:33:44:553.21 在配置完一条acl之后,show config怎么不显示?acl是否可以和用户或用
45、户组关联在你配置完几条acl 后,还需要一条命令“commit security acl ”来将它提交才可以使用。Acl 可以和用户或用户组关联,命令参考:set user xxx attr filter-id acl-101.inset usergroup xxxx attr filter-id acl-101.inAcl 也可以关联到SSID:set service-profile attr filter-id acl-101.in3.22 启用Local-switching时发生错误?哪些MP支持本地交换使用MX-200R 和MP-71 做本地交换测试,配置时提示如下错误是怎么回事?MX
46、-200# set ap 1 local-switching mode enablewarning: clients connecting to an AP with local-switching are limited to25 ACEs (filter.in + filter.out)error: local switching not supported for AP 1 model答:MP-71 硬件不支持本地转发功能,所以配置时提示错误,目前只有MP-422 和MP-620支持本地转发。3.23 如何隐藏SSID要隐藏SSID,需要使用以下命令:set service-profile beacon disable SSID 隐藏后,需要手动配置无线SSID