1、H3C WX3024無(wú)線控制器開局指導(dǎo)ISSUE 2.1日期：2008-10-22杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播H3C全系列無(wú)線產(chǎn)品無(wú)線應(yīng)用網(wǎng)絡(luò)管理軟件無(wú)線IDS無(wú)線定位無(wú)線客戶端S7500 插卡S7500E插卡S9500插卡無(wú)線控制器系列WX3024WX5002WX61032FIT/FAT APWA 2620E-AGNWA 2610E-AGNWA2220E-AGWA2210X-G WA2220X-AG/AGPWA2220E-AG-TWA2210X-GEWB2320X-AGEWA2110-AG網(wǎng)橋WA2210-AG WA2220-AGWA120

2、8E-G/GPWA1208E-AG/DG/AGPWA2210E-GEWA2220X-AGE 開局前言 按照設(shè)備附帶的安裝指導(dǎo)安裝控制器 按照AP設(shè)備附帶的工作模式切換指導(dǎo)調(diào)試AP 明確項(xiàng)目共安裝AP數(shù)量,確認(rèn)是否需要license 確保控制器和AP版本的對(duì)應(yīng)關(guān)系 在安裝之前要確保AP已經(jīng)在控制器上注冊(cè)成功再上架安裝,避免出現(xiàn)注冊(cè)失敗后,增加工作量目錄n WX3024簡(jiǎn)介n WX3024與AP軟件版本配套關(guān)系n WX3024+Fit AP的連接方式和注冊(cè)流程n WX3024 License功能升級(jí)n WX3024 典型組網(wǎng)與配置n WX3024 Web n WX3024 新特性簡(jiǎn)介n 相關(guān)資料下

3、載途徑WX3024簡(jiǎn)介WX3024無(wú)線控制器默認(rèn)可管理24個(gè)Fit AP，最多可管理48個(gè)Fit AP（需添加License）。Console管理口4個(gè)1000Base-X端口24個(gè)10/100/1000Base-T端口，支持PoE供電注意：默認(rèn)情況下，WX3024 PoE供電沒有使能，需要在接口下通過poe enable使能此接口的PoE供電功能。H3C-GigabitEthernet1/0/1 poe 4WX3024內(nèi)部結(jié)構(gòu)（1）WX3024內(nèi)部分為兩個(gè)控制模塊，分別是無(wú)線控制模塊和交換模塊 無(wú)線控制模塊和交換模塊之間通過內(nèi)部接口連接 無(wú)線控制模塊的內(nèi)部接

4、口為GigabitEthernet1/0/1，交換模塊的內(nèi)部接口為GigabitEthernet1/0/29，如下所示GigabitEthernet1/0/1GigabitEthernet1/0/29無(wú)線控制模塊交換模塊默認(rèn)情況下，WX3024 console口是對(duì)無(wú)線控制模塊進(jìn)行操作，要進(jìn)入交換模塊的操作界面需要通過以下下命令進(jìn)行切換： oap connect slot 0對(duì)交換模塊操作完成后，可以通過快捷鍵 返回到無(wú)線控制模塊的操作界面。5WX3024內(nèi)部結(jié)構(gòu)（2）例如：在WX3024 無(wú)線控制模塊和交換模塊之間通過VLAN 1、2、10、33、60無(wú)線控制模塊Gig

5、abitEthernet1/0/1端口配置：wx6103-GigabitEthernet1/0/1display this #interface GigabitEthernet1/0/1 port link-type trunkport trunk permit vlan 1 to 2 10 33 60 #交換模塊GigabitEthernet1/0/29端口配置：switch-GigabitEthernet1/0/29display this #interface GigabitEthernet1/0/29 port link-type trunkport trunk permit vlan

6、 1 to 2 10 33 60 #無(wú)線控制模塊和交換模塊之間是通過內(nèi)部的GE口相連，這兩個(gè)接口配置為Trunk類型，通過相應(yīng)的VLAN，就可保證無(wú)線控制模塊和交換模塊之間的正常通信。6目錄n WX3024簡(jiǎn)介n WX3024與AP軟件版本配套關(guān)系n WX3024+Fit AP的連接方式和注冊(cè)流程n WX3024 License功能升級(jí)n WX3024 典型組網(wǎng)與配置n WX3024 Web n WX3024 新特性簡(jiǎn)介n 相關(guān)資料下載途徑套 WX3024與Fit AP軟件版本配WX3024和Fit AP間的版本需要配套，具體配套關(guān)系詳見WX3024版本中的AC和AP間版

7、本配套關(guān)系.txt，各Fit AP的配套版本也附帶在WX3024的版本文件中。請(qǐng)將配套的Fit AP版本文件以指定文件名上傳到WX3024 Flash中，各系列Fit AP上傳時(shí)指定的文件名如下：WA2100 系 列 ： wa2100.bin WA2200系列： wa2200_fit.bin WA1208E系列：wa1208_fit.bin WA2600系列： wa2600_fit.bin各版本文件的下載路徑如下：?WX3024 版 本 （ 包 含 配 套 AP 版 本 ) 下 載 路 徑 ： /Service/Software_Download/IP_

8、Network_Product/Wlan/Enterprise_Series/H 3C_WX3000/8目錄n WX3024簡(jiǎn)介n WX3024與AP軟件版本配套關(guān)系n WX3024+Fit AP的連接方式和注冊(cè)流程n WX3024 License功能升級(jí)n WX3024 典型組網(wǎng)與配置n WX3024 Web n WX3024 新特性簡(jiǎn)介n 相關(guān)資料下載途徑WX3024+Fit AP的連接方式L2網(wǎng)絡(luò)L3網(wǎng)絡(luò)WX3024WX3024WX3024Fit APFit APFit APFit APFit APFit AP直連模式二層網(wǎng)絡(luò)連接模式三層網(wǎng)絡(luò)連接模式WX3024支持

9、支持支持10Fit AP在WX3024上的注冊(cè)流程Fit AP為零配置，AP必須在WX3024上成功注冊(cè)后才可以從WX3024上下載軟件版本和配置。Fit AP在WX3024上的注冊(cè)流程分為兩種情況： Fit AP與WX3024直連或通過二層網(wǎng)絡(luò)連接時(shí)的注冊(cè)流程 Fit AP與WX3024通過三層網(wǎng)絡(luò)連接時(shí)的注冊(cè)流程 Option 43方式 DNS方式11AP直連或通過二層網(wǎng)絡(luò)連接時(shí)的注冊(cè)流程121、獲取IP地址2、發(fā)送二層廣播發(fā)現(xiàn)請(qǐng)求3、無(wú)線交換機(jī)發(fā)現(xiàn)響應(yīng)4、版本、配置下載5、用戶數(shù)據(jù)傳遞AP與無(wú)線交換機(jī)直連或通過二層網(wǎng)絡(luò)連接

10、：1. AP通過DHCP server獲取IP地址2. AP發(fā)出二層廣播的發(fā)現(xiàn)請(qǐng)求報(bào)文試圖聯(lián)系一個(gè)無(wú)線交換機(jī)3. 接收到發(fā)現(xiàn)請(qǐng)求報(bào)文的無(wú)線交換機(jī)會(huì)檢查該AP是否有接入本機(jī)的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)4. AP從無(wú)線交換機(jī)下載最新軟件版本、配置5. AP開始正常工作和無(wú)線交換機(jī)交換用戶數(shù)據(jù)報(bào)文APDHCP Server無(wú)線交換機(jī)AP通過三層網(wǎng)絡(luò)連接時(shí)的注冊(cè)流程_option 43方式13AP與無(wú)線交換機(jī)通過三層網(wǎng)絡(luò)連接：AP1、獲取IP地址、option 43屬性2、無(wú)線交換機(jī)發(fā)現(xiàn)請(qǐng)求3、無(wú)線交換機(jī)發(fā)現(xiàn)響應(yīng)4、版本、配置下載5、用戶數(shù)據(jù)傳遞1. AP通過DHCP serve

11、r獲取IP地址、option 43屬性(攜帶無(wú)線交換機(jī)的IP 地址信息)2. AP會(huì)從option 43屬性中獲取無(wú)線交換機(jī)的IP地址，然后向無(wú)線控制器發(fā)送單播發(fā)現(xiàn)請(qǐng)求。3. 接收到發(fā)現(xiàn)請(qǐng)求報(bào)文的無(wú)線交換機(jī)會(huì)檢查該AP是否有接入本機(jī)的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)。4. AP從無(wú)線交換機(jī)下載最新軟件版本、配置5. AP開始正常工作和無(wú)線交換機(jī)交換用戶數(shù)據(jù)報(bào)文DHCPServer無(wú)線交換機(jī) Option 43屬性配置舉 H3C設(shè)備內(nèi)置DHCP Server Option 43選項(xiàng)說明? 80：選項(xiàng)類型，固定為80，1個(gè)字節(jié)。? 0B:選項(xiàng)長(zhǎng)度，表示其后內(nèi)容的長(zhǎng)度（十六進(jìn)制數(shù)的個(gè)數(shù)，這里表示后面有11

12、個(gè)十六進(jìn)制數(shù)），一個(gè)字節(jié)。? 0000: Server type ，固定配為0000兩個(gè)字節(jié)。? 02：后面IP地址的個(gè)數(shù)，一個(gè)字節(jié)。? 12010701,12010702：兩個(gè)AC的IP地址的十六進(jìn)制表示 ，分別是和 ，其中為主AC.例 Microsoft DHCP S14AP通過三層網(wǎng)絡(luò)連接時(shí)的注冊(cè)流程_DNS方式15AP與無(wú)線交換機(jī)通過三層網(wǎng)絡(luò)連接：AP1. AP通過DHCP server獲取IP地址、DNS server地址、域名2. AP發(fā)出二層廣播的發(fā)現(xiàn)請(qǐng)求報(bào)文試圖聯(lián)系一DHCPD

13、NSServerServer1、獲取IP地址、無(wú)線交換機(jī)個(gè)無(wú)線交換機(jī)3. AP在多次嘗試發(fā)現(xiàn)請(qǐng)求無(wú)回應(yīng)的情況下： AP會(huì)從DNS server獲取H3C.xxxx.xxx的IP地址，該IP地址即為無(wú)線交換機(jī)的IP 地址，其中xxxx.xxx是從DHCP server 學(xué)習(xí)到的域名。4. AP向無(wú)線控制器發(fā)送單播發(fā)現(xiàn)請(qǐng)求。5. 接收到發(fā)現(xiàn)請(qǐng)求報(bào)文的無(wú)線交換機(jī)會(huì)檢查該AP 是否有接入本機(jī)的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)。6. AP從無(wú)線交換機(jī)下載最新軟件版本、配置7. AP開始正常工作和無(wú)線交換機(jī)交換用戶數(shù)據(jù)報(bào)文DNS Server地址、域名2、二層廣播發(fā)現(xiàn)請(qǐng)求 長(zhǎng)時(shí)間無(wú)響應(yīng) 3、獲取無(wú)線交換機(jī)的IP

14、地址4、無(wú)線交換機(jī)發(fā)現(xiàn)請(qǐng)求5、無(wú)線交換機(jī)發(fā)現(xiàn)響應(yīng)6、版本、配置下載7、用戶數(shù)據(jù)傳遞目錄n WX3024簡(jiǎn)介n WX3024與AP軟件版本配套關(guān)系n WX3024+Fit AP的連接方式和注冊(cè)流程n WX3024 License功能升級(jí)n WX3024 典型組網(wǎng)與配置n WX3024 Web n WX3024 新特性簡(jiǎn)介n 相關(guān)資料下載途徑級(jí) WX3024 License功能升適用產(chǎn)品：WX3000系列每條License默認(rèn)步長(zhǎng)為12，即在缺省規(guī)格支持24臺(tái)AP的情況下每添加一條License增加12臺(tái)AP，添加兩條License就能達(dá)到最大支持AP數(shù)。產(chǎn)品名稱型號(hào)定義產(chǎn)品描述缺省規(guī)格最大規(guī)格L

15、icen se規(guī)格3000產(chǎn)品系列WX302 4- PoEP- OVSH3C WX3024-PoEP-24端口千兆(4 SFPCombo+Slot插槽+PoE Plus)有線無(wú)線一體化交換機(jī)-海外版2448LIS- WX- 12WX302 4-PoEPH3C WX3024-PoEP-24端口千兆(4 SFPCombo+Slot插槽+PoE Plus)有線無(wú)線一體化交換機(jī)-國(guó)內(nèi)版2448LIS- WX- 1217WX3024 License申請(qǐng)?jiān)鯓由暾?qǐng)License?設(shè)備序列號(hào)查看方法命令行格式:display device manuinfo 申請(qǐng)License2008年Q

16、4單項(xiàng)目購(gòu)買超過1個(gè)License以上的項(xiàng)目，都請(qǐng)?zhí)崆爸獣?huì)二線接口（），以便安排生產(chǎn)環(huán)節(jié)制作，目前發(fā)貨的License軟件授權(quán)函中同時(shí)包含License-key和Activation-key。12月會(huì)進(jìn)行License申請(qǐng)流程的調(diào)整，屆時(shí)用戶購(gòu)買的License軟件授權(quán)函僅包含License-key，Activation-key將由用戶自行注冊(cè)獲得。18WX3024 License功能升級(jí)License 添加命令命令行格式：License append License-key activation-keyLicense 顯示命令每條licens

17、e默認(rèn)步長(zhǎng)為12，即在缺省支持24臺(tái)AP的情況下每添加一License增加12臺(tái)，添加兩條License就能達(dá)到最大支持AP數(shù)。20 注意事項(xiàng) 首先升級(jí)新版本，注意升級(jí)版本后斷電重啟，保證新的CPLD生效。 然后添加新的License，升級(jí)完License需再次重啟設(shè)備才能生效。 如需使用WX3000-CMW520-B3103及向后版本，無(wú)論使用與否，舊版已購(gòu)買License文件將全部用廢，需提前聯(lián)系商務(wù)人員免費(fèi)獲得新的License進(jìn)行注冊(cè)升級(jí)，以便切換版本之后，AC設(shè)備可連接AP數(shù)量 保持不變。目錄n WX3024簡(jiǎn)介n WX3024與AP軟件版本配套關(guān)系n WX30

18、24+Fit AP的連接方式和注冊(cè)流程n WX3024 License功能升級(jí)n WX3024 典型組網(wǎng)與配置n WX3024 Web n WX3024 新特性簡(jiǎn)介n 相關(guān)資料下載途徑WX3024與AP直接連接的典型組網(wǎng)與配置三層交換機(jī)9VLAN 222無(wú)線客戶端VLAN 1 FIT APssid: H3CWX3024 組網(wǎng)說明? FIT AP與WX3024直接連接? WX3024管理地址9/24? AP屬于VLAN 1（/24網(wǎng)段）? 無(wú)線客戶端屬于VLAN 2（/24網(wǎng)段）? 交換

19、機(jī)與WX3024連接的接口地址為54， 為無(wú)線客戶端網(wǎng)關(guān)地址WX3024無(wú)線控制模塊的主要配置 步驟一：添加相應(yīng)的VLAN（vlan 2），并在vlan 1下配置設(shè)備管理ip 9? WX3024 vlan 2? WX3024 interface vlan1? WX3024-Vlan-interface1 ip address 9 24 步驟二：使能DHCP Server功能，配置vlan 1網(wǎng)段的地址池，為AP動(dòng)態(tài)分配地址? WX3024 dhcp enable? WX3024 dhcp server ip-pool pool1

20、? WX3024-dhcp-pool-pool1 network 24 步驟三：將無(wú)線控制模塊的內(nèi)部接口GigabitEthernet1/0/1設(shè)置為Trunk類型? WX3024 interface GigabitEthernet 1/0/1? WX3024-GigabitEthernet1/0/1 port link-type trunk? WX3024-GigabitEthernet1/0/1 port trunk permit vlan all 步驟四：配置無(wú)線接口WLAN-ESS 1，并指定其屬于vlan 2（無(wú)線客戶端屬于vlan 2）? WX3024 in

21、terface WLAN-ESS 1? WX3024-WLAN-ESS1 port access vlan 2? WX3024 wlan service-template 1 clear? WX3024-wlan-st-1 ssid H3C? WX3024-wlan-st-1 authentication-method open-system? WX3024-wlan-st-1 bind WLAN-ESS 1? WX3024-wlan-st-1 service-template 24 步驟五：手動(dòng)添加AP WA2110，并在射頻卡radio 1上綁定已創(chuàng)建的服

22、務(wù)模板service-template 1? WX3024 wlan ap ap1 model WA2100? WX3024-wlan-ap-ap1 serial-id 210235A22W0074000123? WX3024-wlan-ap-ap1 radio 1? WX3024-wlan-ap-ap1-radio-1 service-template 1? WX3024-wlan-ap-ap1-radio-1 radio enable 步驟六：配置靜態(tài)路由? WX3024ip route-static 0 54 步驟七：查看AP運(yùn)行情況? WX3024

23、display wlan ap all? 當(dāng)FIT AP在WX3024上注冊(cè)成功時(shí)，狀態(tài)為”Run”；否則，狀態(tài)為”Idle”WX3024交換模塊的主要配置 步驟一：添加相應(yīng)的VLAN（vlan 2）? WX3024 vlan2 步驟二：將WX3024連接三層交換機(jī)的接口設(shè)置為vlan2? WX3024 interface GigabitEthernet 1/0/24? WX3024-GigabitEthernet1/0/24 port access vlan2 步驟三：將交換模塊的內(nèi)部接口GigabitEthernet1/0/29設(shè)置為Trunk類型? WX3024 interface Gi

24、gabitEthernet 1/0/29? WX3024-GigabitEthernet1/0/29 port link-type trunk? WX3024-GigabitEthernet1/0/29 port trunk permit vlan 25WX3024與AP跨網(wǎng)段連接的典型組網(wǎng)與配置9DHCP Server19VLAN 3trunkVLAN 1、4三層交換機(jī)VLAN 2 FIT APssid: H3C9WX302426無(wú)線客戶端三層交換機(jī)： 組網(wǎng)說明? 各網(wǎng)段網(wǎng)關(guān)都在三層交換機(jī)上? AP屬于

25、VLAN 2（/24網(wǎng)段）? 無(wú)線客戶端屬于VLAN 4（/24網(wǎng)段）? WX3024管理地址9VLAN 1接口地址為54 VLAN 2接口地址為54 VLAN 3接口地址為54 VLAN 4接口地址為54置 三層交換機(jī)的主要配由于Fit AP和無(wú)線客戶端都是動(dòng)態(tài)獲取IP地址，而與DHCP Server（9）之間跨越三層網(wǎng)絡(luò)，所以需要在Fit AP和無(wú)線客戶端的網(wǎng)關(guān)上啟用DHCP relay功能，即在三層交換機(jī)的inte

26、rface vlan 2和interface vlan 4上啟用DHCP relay功能。 以下為H3C S3600三層交換機(jī)為例，啟用DHCP relay功能? H3C dhcp-server 0 ip 9? H3C-Vlan-interface2 dhcp-server 0? H3C-Vlan-interface4 dhcp-server 027DHCP Server的主要配置 Microsoft DHCP Server的主要配置本例中通過Microsoft DHCP Server向Fit AP和無(wú)線客戶端動(dòng)態(tài)下發(fā)IP地址，所以需要建立兩個(gè)IP地

27、址池，分別是Fit AP網(wǎng)段的地址池/24、無(wú)線客戶端網(wǎng)段的地址池/24。其中Fit AP利用DHCP option 43字段獲取WX3024 IP地址，實(shí)現(xiàn)Fit AP跨越三層網(wǎng)絡(luò)在WX3024上的注冊(cè)。Fit AP屬于/24網(wǎng)段，所以在/24網(wǎng)段的地址池中需下發(fā)option 43字段，WX3024 IP地址為9，故根據(jù)option 43的填寫規(guī)則，此字段下發(fā)的信息如下：80 07 00 00 01 c0 a8 01 6328WX3024無(wú)線控制模塊的主要配置

28、步驟一：添加相應(yīng)的VLAN（無(wú)線客戶端屬于vlan 4），并在vlan 1下配置設(shè)備管理ip 9? WX3024 vlan 4? WX3024 interface vlan1? WX3024-Vlan-interface1 ip address 9 24 步驟二：將無(wú)線控制模塊的內(nèi)部接口GigabitEthernet1/0/1設(shè)置為Trunk類型? WX3024 interface GigabitEthernet 1/0/1? WX3024-GigabitEthernet1/0/1 port link-type trunk? WX3024-Gigab

29、itEthernet1/0/1 port trunk permit vlan all 步驟三：配置無(wú)線接口WLAN-ESS 1，并指定其屬于vlan 4（無(wú)線客戶端屬于vlan 4）? WX3024 interface WLAN-ESS 1? WX3024-WLAN-ESS1 port access vlan 4? WX3024 wlan service-template 1 clear? WX3024-wlan-st-1 ssid H3C? WX3024-wlan-st-1 authentication-method open-system? WX3024-wlan-st-1 bind WL

30、AN-ESS 1? WX3024-wlan-st-1 service-template 30 步驟四：手動(dòng)添加AP WA2110，并在射頻卡radio 1上綁定已創(chuàng)建的服務(wù)模板service-template 1? WX3024 wlan ap ap1 model WA2100? WX3024-wlan-ap-ap1 serial-id 210235A22W0074000123? WX3024-wlan-ap-ap1 radio 1? WX3024-wlan-ap-ap1-radio-1 service-template 1? WX3024-wlan-ap-a

31、p1-radio-1 radio enable 步驟五：配置靜態(tài)路由? WX3024ip route-static 0 54WX3024交換模塊的主要配置 步驟一：添加相應(yīng)的VLAN（vlan 4）? WX3024 vlan4 步驟二：將WX3024連接三層交換機(jī)的接口設(shè)置為Trunk類型? WX3024 interface GigabitEthernet 1/0/1? WX3024-GigabitEthernet1/0/1 port link-type trunk? WX3024-GigabitEthernet1/0/1 port trunk permi

32、t vlan all 步驟三：將交換模塊的內(nèi)部接口GigabitEthernet1/0/29設(shè)置為Trunk類型? WX3024 interface GigabitEthernet 1/0/29? WX3024-GigabitEthernet1/0/29 port link-type trunk? WX3024-GigabitEthernet1/0/29 port trunk permit vlan 31目錄n WX3024簡(jiǎn)介n WX3024與AP軟件版本配套關(guān)系n WX3024+Fit AP的連接方式和注冊(cè)流程n WX3024 License功能升級(jí)n WX30

33、24 典型組網(wǎng)與配置n WX3024 Web 功能n WX3024 新特性簡(jiǎn)介n 相關(guān)資料下載途徑簡(jiǎn)介WX3024 Web絡(luò)管理員為了方便網(wǎng)對(duì)無(wú)線網(wǎng)絡(luò)設(shè)備進(jìn)行操作和維護(hù)，我司特推出 了WX3024的Web功能，管理員可以使用Web 界面直觀地管理和維護(hù)網(wǎng)絡(luò)設(shè)備。33功能WX3024 Web 登錄Web 在無(wú)配置的出廠模式下，WX3024默認(rèn)已開啟Web配置功能，缺省IP地址為：00。 在與設(shè)備路由可達(dá)的Web終端（比如PC）上啟動(dòng)瀏覽器，訪問00即可進(jìn)入如下圖所示的Web登錄頁(yè)面。 在Web 登錄頁(yè)面上有切換Web

34、語(yǔ)言的選項(xiàng)。目前Web 支持兩種語(yǔ)言：中文和English。 輸入缺省用戶名admin、admin和正確的驗(yàn)證碼。單擊按鈕即可進(jìn)入Web并進(jìn)行管理操作。37 訪問交換引擎在左側(cè)主菜單中單擊可進(jìn)入”交換引擎“，在”交換引擎“中可對(duì)設(shè)備的交換模塊作配置 Web 用戶級(jí)別Web用戶的級(jí)別由低到高分四級(jí)：Visitor、Monitor、Configure和Management。默認(rèn)缺省用戶admin權(quán)限為Management。 Visitor：只能執(zhí)行Ping和Trace Route網(wǎng)絡(luò)診斷工具。處于該級(jí)別的用戶不能從設(shè)備讀取任何數(shù)據(jù)，也不能對(duì)設(shè)備進(jìn)行任何設(shè)置。 Monitor：

35、只能從設(shè)備讀取數(shù)據(jù)，而不能對(duì)設(shè)備進(jìn)行任何設(shè)置。 Configure：可以從設(shè)備讀取數(shù)據(jù)，并對(duì)設(shè)備進(jìn)行配置，但是不能對(duì)設(shè)備進(jìn)行軟件升級(jí)、添加/刪除/瀏覽用戶、修改其他用戶的 ，不能進(jìn)行備份、恢復(fù)配置文件操作。 Management：可以對(duì)設(shè)備進(jìn)行任何操作。 例：在Visitor權(quán)限下的Web頁(yè)面能 WX3024的WEB配置功修改WEB系統(tǒng)參數(shù)當(dāng)實(shí)際應(yīng)用中需要修改設(shè)備管理地址時(shí)，需要同時(shí)修改無(wú)線模塊管理地址（默認(rèn)為vlan1:00)與交換模塊管理地址（默認(rèn)為vlan1:01),保證兩模塊管理地址在相同VLAN中，并相互配置management-ip。?例

36、如：更改管理地址,無(wú)線模塊地址：/24,交換模塊地址：/24， 管理VLAN為VLAN100無(wú)線模塊配置：交換模塊配置：注意：此時(shí)management-ip地址必須互指且在相同VLAN中,兩模塊local-user配置必須一致。38目錄n WX3024簡(jiǎn)介n WX3024與AP軟件版本配套關(guān)系n WX3024+Fit AP的連接方式和注冊(cè)流程n WX3024 License功能升級(jí)n WX3024 典型組網(wǎng)與配置n WX3024 Web n WX3024 新特性簡(jiǎn)介n 相關(guān)資料下載途徑WX3024 新特性簡(jiǎn)介 用戶本地認(rèn)證特性 特性

37、介紹本特性在WLAN NAS設(shè)備上支持本地對(duì)無(wú)線用戶進(jìn)行認(rèn)證的功能。對(duì)于組網(wǎng)中不支持EAP認(rèn)證的AAA Server，本特性通過實(shí)現(xiàn)EAP OffLoad功能，使NAS設(shè)備作為STA與AAA Server的橋梁，幫助二者順暢的完成認(rèn)證過程。 特性優(yōu)點(diǎn)本特性提供了對(duì)WLAN接入用戶的本地認(rèn)證功能，支持MD5，EAP_TLS， EAP_MSCHAPv2，EAP_PEAP多種認(rèn)證方式，使得用戶可以自如的根據(jù)需要靈活配置各種安全限制，同時(shí)不需要布置AAA服務(wù)器，減小了網(wǎng)絡(luò)拓?fù)鋱D的復(fù)雜度。 應(yīng)用場(chǎng)合希望單臺(tái)WLAN NAS接入設(shè)備就能完成用戶的無(wú)線接入認(rèn)證，而不必布署專門的AAA服務(wù)器。www.h3c.

38、com45 本地Portal Server特性 特性介紹Portal基本功能的實(shí)現(xiàn)需要4個(gè)元素：Portal Server，RADIUS 服務(wù)器，支持Portal協(xié)議的接入設(shè)備，Portal客戶端。其中 Portal Server的作用是，接受Portal客戶端認(rèn)證請(qǐng)求的服務(wù)器端系統(tǒng)，提供基于Web認(rèn)證的界面，與接入設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。設(shè)備內(nèi)嵌Portal-Web Server能夠解析客戶端發(fā)來的http上線認(rèn)證、下線，形成認(rèn)證、下線請(qǐng)求給Portal模塊，然后根據(jù)返回的結(jié)果，推出對(duì)應(yīng)的頁(yè)面給客戶端。這樣設(shè)備就支持Web用戶直接登錄而不需要額外的部署Portal Server。 特性

39、優(yōu)點(diǎn)本特性豐富了Portal特性，簡(jiǎn)化了Portal的部署，不需要額外部署Portal Server，大大加強(qiáng)了Portal模塊的通用性。 應(yīng)用場(chǎng)合當(dāng)部署Portal業(yè)務(wù)而不想使用單獨(dú)的Portal Server（如CAMS）的時(shí)候，可以使用本特性。 內(nèi)嵌Portal Server支持HTTPS功能 特性介紹如果客戶端與設(shè)備交互的HTTP報(bào)文以明文的形式傳送，安全性無(wú)法保證。因此， 無(wú)線控制器提供了一種傳送信息的保護(hù)機(jī)制，為了對(duì)認(rèn)證信息加密傳輸，使用SSL來保證數(shù)據(jù)的安全性，即支持HTTPS功能。SSL提供的安全連接可以實(shí)現(xiàn)： 連接的私密性：在SSL握手階段生成密鑰后，用對(duì)稱加密算法對(duì)傳輸數(shù)據(jù)

40、進(jìn)行加密。 身份認(rèn)證：對(duì)服務(wù)器和客戶端進(jìn)行基于證書的身份認(rèn)證，其中客戶端認(rèn)證是可選的。 連接的可靠性：消息傳輸過程中使用基于密鑰的MAC（Message Authentication Code，消息驗(yàn)證碼）來檢驗(yàn)消息的完整性。HTTPS通過SSL協(xié)議，從以下幾方面提高了設(shè)備的安全性： 通過SSL協(xié)議保證合法客戶端可以安全地訪問設(shè)備，禁止非法的客戶端訪問設(shè)備； 客戶端與設(shè)備之間交互的數(shù)據(jù)需要經(jīng)過加密，保證了數(shù)據(jù)傳輸?shù)陌踩院屯暾?，從而?shí)現(xiàn)了對(duì)設(shè)備的安全管理； 為設(shè)備制定基于證書屬性的訪問控制策略，對(duì)客戶端的訪問權(quán)限進(jìn)行控制，進(jìn)一步避免了非法客戶對(duì)設(shè)備進(jìn)行攻擊。 用戶在線檢測(cè)功能特性 特性介紹用

41、戶在線檢測(cè)功能可以檢測(cè)到異常Client下線。正常情況下，Client下線時(shí)會(huì)發(fā)送離線報(bào)文 AC，AC收到該報(bào)文后會(huì)從自己的用戶列表中刪除該Client。但是， 若Client由于電源故障、系統(tǒng) 等原因離線，Client便無(wú)法 AC，這樣AC的用戶列表中就會(huì)一直保存該僵死用戶。大量的僵死用戶會(huì)占用AC的內(nèi)存，降低AC性能。為了防止這種情況發(fā)生，可以在AC上打開用戶在線檢測(cè)功能，AC周期性的對(duì)用戶列表中的Client進(jìn)行掃描，若AC沒有收到Client的掃描應(yīng)答報(bào)文，AC就認(rèn)為該Client已經(jīng)離線，并從用戶列表中刪除該Client。 應(yīng)用場(chǎng)合用戶在線檢測(cè)功能默認(rèn)是關(guān)閉的，可以在任何情況下打開該

42、功能。由于斷電和系統(tǒng)死機(jī)等都是不可預(yù)知的，推薦打開該功能。 WIDS無(wú)線入侵監(jiān)測(cè)系統(tǒng) 檢測(cè)及 802.11網(wǎng)絡(luò)很容易受到各種網(wǎng)絡(luò)威脅的影響，如未經(jīng)授權(quán)的AP用戶、Ad-hoc網(wǎng)絡(luò)、拒絕服務(wù)型攻擊等。WIPS可以保護(hù)企業(yè)網(wǎng)絡(luò)和用戶不被無(wú)線網(wǎng)絡(luò)上未經(jīng)授權(quán)的設(shè)備訪問。它用于檢測(cè)WLAN網(wǎng)絡(luò)中的Rogue設(shè)備(Rogue AP、Rogue Client和Adhoc網(wǎng)絡(luò))，并對(duì)它們采取 措施，以阻止其工作。及時(shí)發(fā) 檢測(cè)IDS攻擊現(xiàn)WLAN網(wǎng)絡(luò)的惡意或者無(wú)意的攻擊，通過記錄信息或者發(fā)送日志信息的方式 網(wǎng)絡(luò)管理者。目前支持的IDS攻擊檢測(cè)主要包括802.11報(bào)文泛洪攻擊檢測(cè)、AP Spoof檢測(cè)以及Weak

43、 IV檢測(cè)。 幀過濾包括白 列表（列表中的當(dāng)前表項(xiàng)是被許可，并可以通過配置的），靜態(tài)黑列表（列表中的當(dāng)前表項(xiàng)是不被許可，但可以通過配置的）和動(dòng)態(tài)黑 列表（列表中的當(dāng)前表項(xiàng)是不被許可，并只有在無(wú)線入侵檢測(cè)系統(tǒng)檢測(cè)到泛洪攻擊時(shí)才被添加）。過濾行為實(shí)體維持了AP上的MAC地址，并且過濾行為只有在輸入的MAC地址匹配的情況下才執(zhí)行。 動(dòng)態(tài)黑功能泛洪攻擊（Flooding攻擊）是指WLAN設(shè)備會(huì)在短時(shí)間內(nèi)接收了大量的同種類型的報(bào)文。此時(shí)WLAN設(shè)備會(huì)被泛洪的攻擊報(bào)文淹沒而無(wú)法處理真正的無(wú)線終端的報(bào)文。IDS攻擊檢測(cè)通過持續(xù)的監(jiān)控每臺(tái)設(shè)備的流量大小來預(yù)防這種泛洪攻擊。當(dāng)流量超出可容忍的上限時(shí)，該設(shè)備將被認(rèn)為要在網(wǎng)絡(luò)內(nèi)泛洪從而被鎖定，此時(shí)如果使能了動(dòng)態(tài)黑，檢查到的攻擊設(shè)備將被加入動(dòng)態(tài)黑。IDS支持下列報(bào)文的泛洪攻擊檢測(cè)。 認(rèn)證請(qǐng)求/解除認(rèn)證請(qǐng)求（Authentication / De-authentication）； 關(guān)聯(lián)請(qǐng)求/解除關(guān)聯(lián)請(qǐng)求/重新關(guān)聯(lián)請(qǐng)求（Association / Disassociation / Reassociation）； 探查請(qǐng)求（Probe request）； 空數(shù)據(jù)幀； Action幀；當(dāng)一個(gè)AP支持超過一個(gè)BSSID時(shí)，無(wú)線終端會(huì)發(fā)送探查請(qǐng)求報(bào)文到每個(gè)單獨(dú)的BSSID。所以在報(bào)文為探查請(qǐng)求報(bào)文的情況下，需要考慮源端和目的地的共同流量，而對(duì)