内容发布更新时间 : 2024/12/26 13:03:21星期一 下面是文章的全部内容请认真阅读。
cisco ap配置手册
2010年9月3日星期五
Cisco 胖AP 的基本设定 (Autonomous AP Basic Config)
虽然Cisco的胖AP比市售的胖AP贵的许多,但市场上还是可以看见很多将Cisco的Thin AP更改为胖AP单用的状况,原因是因为:
不想常去\重开就会好\
特别是需要一直放着提供无线服务的环境,不得不佩服它的技术。
下面针对胖AP的CLI基本设定做介绍(第一次有GUI的速度慢到让我想学CLI), 帮助大家快速设定这个胖子...(笑)
Part 1. 快速让胖AP可用:
Step.1 设定802.11的无线SSID: ap#config t
ap(config)#dot11 ssid MySSID ap(config-ssid)#authentication open ap(config-ssid)#guest-mode
设定的同时,也必需指令验证方式,我们先用开放验证(open)方式让它通就好。而guest-mode是让SSID进行广播,可以方便初始化的联机,为了安全可以不用设定(Client端需要指定好SSID才能联机)
Step.2 指定无线讯号的SSID与开启无线通信:
下面是一颗1131AG的AP,所以有两个协议802.11a与802.11g,分别在dot11Radio 0与dot11Radio 1,预设是关闭的,需要进去接口打开: ap(config)#int dot11Radio 0 ap(config-if)#ssid MySSID ap(config-if)#no shutdown ap(config)#int dot11Radio 1 ap(config-if)#ssid MySSID ap(config-if)#no shutdown Step.3 设定BVI:
如果是DHCP的环境是可以略过这个步骤,因为预设会自已抓好,Fat AP是靠BVI(Bridge Virtual Interface)来让实体网络与无线网络通讯,所以必需设定一个实体环境的IP给它: ap(config-if)#int bvi 1 ap(config-if)#ip addr dhcp 或是以手动指定IP: ap(config-if)#int bvi 1
ap(config-if)#ip addr 192.168.1.3 255.255.255.0
1
搞定!!把自已的计算机利用无线连看看!!
Part 2. 常用基本设定:
ARP Cache:
AP的运作就像Hub一样,广播是它们必做的事,开启Arp-Cache,可以加快效能(虽然感受不到), 当AP收到一个ARP封包,会比对Cache里的数据,如果不在Cache就不广播把封包丢掉,以减少广播封包。 ap(config)#dot11 arp-cache Time:
可能希望与NTP Server同步时间
ap(config)#sntp server 220.130.158.82 或是直接设定时间
ap#clock set 12:21:00 3 Sep 2010 再show一下时间状况 ap#show clock DNS:
环境没有DHCP Server的话,可以手动帮AP设定DNS Server ap(config)#ip name-server 168.95.1.1 SNMP:
可能需要开SNMP给网管软件看 -
最后面可以选择ro(Read Only)或是rw(Read and Write) ap(config)#snmp-server community public ro
Part 3. 基本加密验证:
通常胖AP较常用的是WEP或是WPA-PSK这两种验证方式,说明如下 WEP:
首先我们先看一下Web的验证方式,可以更了解为何这么设定, WEP验证基本上是不看人的,只看那把Key,如下:
Client --------------------------------------------- AP Authentication Request--> -->
<--<--Authentication Response + Challenge Clear-text Use text to Encrypt (Association Request) -->-->
<--<--Compare static WEP keys & Association Confirmation
2
从上面的验证流程可以知道AP在第二个步验会请Client输入Cler-text,这就是我们在联机AP时, 会跳出一个画面(或在联机的设定里)要我们输入一个passphase,输入后就可以把数据加密送给AP, AP收到后就用我们现在要设定的Key来解密码看,可以解开就送Association Confirmation给Client。
了解流程后,在设定Cisco AP时要记住: 1.设定验证放式是在SSID下
2.设定加密方式要在无线讯号(Radio)下
而设定顺序一定要先设定加密方式,再设定验证方式,因为要先有key,才可以在验证方式里选用key麻~下面就先到无线讯号下设定加密,设定WEP加密方式要先设定一个key1~4, size可以选择40或128,设定40就需要设定十位的文字(联机的密码),设定128的话,需要设定26个字的密码,如下的1234567890就是很Client联机要输入的key.然后再指定模式为WEP ap(config)#inter dot11Radio 0
ap(config-if)#encryption key 1 size 40 1234567890 ap(config-if)#encryption mode wep mandatory key-hash 然后再进到ssid里面,指定验证模式为开放 ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open 如此就完成WEP的设定啦^^
冻一下~~~不是设定WEP吗?怎么验证是用开放咧!!?? 嘿~这就要从什么是开放说起,下面是开放验证流程: Client ------------------------------------ AP Authentication Request-->-->
<--<--Authentication Response Association Request -->--> <--<--Association Confirmation
再往上与WEP的流程比较一下,会发觉整个流程都一样,说穿了WEP只是在开放验证里多了一个 passphase的确认机制,所以Cisco认为WEP还是一个开放的认证(真是严格呀~)
Ps. 上面OPEN流程也可以说明为什么在PartI时,我们只设authenticaion open,就可以不用输入密码使用AP了 WPA-PSK:
因为FAT AP通常不会结合到RADIUS等的认证平台,反而在导Thin AP时都需要与验证平台做验证,在没有验证平台的情况下,我们可以透过设定PreShareKey(PSK)来取代验证平台,方法如下:
一样,要先在无线频道下指定加密方式,因为是WPA,会用TKIP来动态更改key加强安全
3
ap(config)#inter dot11Radio 0
ap(config-if)#encryption mode ciphers tkip
再进到ssid下面设定验证方式,由于只是wpa-psk,所以不用设定EAP验证,我们以开放式(open)验证即可,而key-managemnet就是用WPA,最后再设定WPA的PreShareKey(即Client联机的密码)就搞定啦! ap(config)#dot11 ssid abc
ap(config-ssid)#authentication open
ap(config-ssid)#authentication key-management wpa ap(config-ssid)#wpa-psk ascii 12345678
设完后你就会发觉,原来WPS-PSK的验证流程,还是OPEN的四个方式,但比WEP还强的是,有TKIP的自动变更key机制,所以较为安全^^(我说的是…\\
4
Cisco AP的配置方法主要有控制台端口登录、远程登录(如Telnet/SSH等)、Web浏览器等,后两种方式均需要获取或设置一个IP方可登录。一般情况下,AP设置IP地址的方法有按默认方式获取,配置DHCP方式获取,使用IPSU(IP Setup Utility),使用控制台端口等。
实际上对Cisco AP来讲,配置的最简单的方法就是使用Web浏览器方式即GUI方式。Cisco AP有两种基本GUI界面,一种是支持IOS GUI,如Arionet 1100系列;一种是VxWorks GUI,如Arionet 350的AP和网桥;而Arionet 1200系列可以支持这两种GUI界面。
如下图Cisco Aironet 1100系列AP GUI配置界面:
除了GUI和远程登录方式外,CLI(命令行)也是Cisco AP经常使用的配置方式。GUI的配置方法比较简单,因篇幅所限,不再作介绍。下面我们在CLI(命令行)模式下对Cisco AP进行配置。
Cisco AP的IOS的CLI(命令行)的配置模式有:用户模式、特权模式、全局模式、接口模式、线路模式等等,它的命令提示符、基本配置命令与基于Cisco IOS系统的路由器和交换机CLI的模式也基本相同,如果您对各种模式还不熟悉,请您参照路由器和交换机的基本模式配置章节。 1、配置主机名 步骤 配置命令 解释 1 ap#configure terminal 进入全局配置模式 2 ap(config)#hostname name 配置主机名 3 ap(config)#end 返回到特权EXEC模式 4 ap#show running-config 查看配置信息 5 ap#copy running-config starup-config 保存配置信息 注意:hostname name命令中的name名称必须符合ARPANET主机名的规则,最多为63个字符,并且必须以一个字母开头,结尾必须是一个字母或数字,中间只能是字母、数字或连接符。 2、配置IP地址
为了实现对设备的远程管理,我们通常需要对设备配置管理地址,对于AP来说,我们可以通过配置AP的BVI地址来实现。
BVI即网桥虚拟接口,它是由AP自动创建的,当AP连接到有线网络时,AP使用BVI将所有接口都聚合到一个IP地址下,然后通过AP的以太网口和无线端口并使用该BVI的地址对AP进行管理。 步配置命令 解释 骤 1 ap#configure terminal 进入全局配置模式 2 ap(config)#interface bvi1 配置BVI接口 ap(config-if)#ip address address mask 配置BVI接口的地址和子网3 submask 掩码 4 ap(config-if)#end 或者Ctrl+Z 返回到特权EXEC模式
5