轉(zhuǎn)載自微信公眾號：網(wǎng)絡(luò)之路博客 

簡介

對于安全認(rèn)證來說，也是無線比較重要的一塊，在SOHO級別以及小型環(huán)境中，比較傾向于預(yù)共享的方式進行認(rèn)證，也就是配置一個大家知道的密碼，輸入后就能連接到無線網(wǎng)絡(luò)，常用的有WEP、WPA、WPA2，WEP已經(jīng)漸漸的淘汰了，非常容易被破解，推薦的是WPA2的AES，對應(yīng)小型環(huán)境或者SOHO級別的來說還是比較容易部署的。當(dāng)然認(rèn)證還有很多，比如基于MAC地址認(rèn)證、dot1x方式 或者portal網(wǎng)頁認(rèn)證等，這些方式會在后續(xù)陸續(xù)演示。

掌握目標(biāo)

1、AC的基本業(yè)務(wù)配置
2、認(rèn)證方式的配置

拓撲寫了對應(yīng)的IP網(wǎng)段，以及各自的VLAN信息，可以對應(yīng)配置看

路由器配置

interface GigabitEthernet0/0/0
ip address 10.1.200.1 255.255.255.0
#

interface LoopBack100
ip address 100.100.100.100 255.255.255.255
#
ospf 1 router-id 1.1.1.1
default-route-advertise always
area 0.0.0.0
network 10.1.200.1 0.0.0.0

AC的配置

#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif103
ip address 192.168.103.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
#
interface Vlanif200
ip address 10.1.200.2 255.255.255.0

說明：該VLAN接口地址一個是用于與AR路由器相連，其余的是作為無線客戶端的網(wǎng)關(guān)

interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 102
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 102
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 200

說明：這里由于AP是雙頻的，也可以每個AP發(fā)送多個SSID，所以要允許對應(yīng)的VLAN流量。

interface Wlan-Ess0
port hybrid untagged vlan 101
#
interface Wlan-Ess1
port hybrid untagged vlan 102
#
interface Wlan-Ess2
port hybrid untagged vlan 103

ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 10.1.200.2 0.0.0.0
area 0.0.0.1
network 10.1.100.1 0.0.0.0
network 10.1.101.1 0.0.0.0
network 10.1.102.1 0.0.0.0
network 192.168.103.1 0.0.0.0

wlan
wlan ac source interface vlanif100
ap id 0 type-id 19 mac 00e0-fc03-7820 sn 210235448310F3277942
ap id 1 type-id 19 mac 00e0-fc03-9730 sn 2102354483100A13F850
wmm-profile name wmm1 id 0

traffic-profile name tra1 id 0  

security-profile name open id 0 （定義一個安全模板，不配置默認(rèn)為open認(rèn)證）

security-profile name wep40 id 1   （定義為WEP方式）
wep authentication-method share-key
wep key wep-40 pass-phrase 0 simple 12345

security-profile name wpapsk id 2      （定義為WPA方式）
security-policy wpa
wpa authentication-method psk pass-phrase simple huaweipsk encryption-method ccmp

定義了3種不同的認(rèn)證方式，分別為open、WEP與WPA

service-set name vlan101 id 0
wlan-ess 0
ssid vlan101
traffic-profile id 0
security-profile id 1
service-vlan 101
service-set name vlan102 id 1
wlan-ess 1
ssid vlan102
traffic-profile id 0
security-profile id 2
service-vlan 102
service-set name guest103 id 2
wlan-ess 2
ssid guest103
user-isolate
traffic-profile id 0
security-profile id 0
service-vlan 103
radio-profile name 2g id 0
wmm-profile id 0
ap 0 radio 0
radio-profile id 0
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3
ap 1 radio 0
radio-profile id 0
channel 20MHz 6
service-set id 0 wlan 1
service-set id 1 wlan 2
service-set id 2 wlan 3 #

最后記得comm下發(fā)業(yè)務(wù)給AP即可。

 ！ 提問與分享（想提高自己，從獨立思考與分享開始）          

 提問：實際運用中，可能大部分都會選擇直接轉(zhuǎn)發(fā)，那么什么情況下會選擇隧道轉(zhuǎn)發(fā)呢？分享：實驗可以通過模擬器直接完成，記得老版本選用分享的考試版本即可，最新版本是采用的V2R7命令行有差別。

網(wǎng)絡(luò)之路博客公眾號提供Cisco、華為、H3C、防火墻、VPN、無線等網(wǎng)絡(luò)知識點分享與應(yīng)用，想了解更多企業(yè)技術(shù)應(yīng)用與組網(wǎng)案例，關(guān)注我們（公眾號菜單欄陸續(xù)在更新排列，不管你是青銅入坑的小白沒有學(xué)習(xí)方向感到迷茫，還是想提升段位充實自己來升職加薪，都有您需要的哦）