26-RogueAP检测功能典型配置举例.docxVIP

Rogue AP检测功能典型配置举例Copyright ? 2014 杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。目 录1 简介12 配置前提13 配置举例13.1 组网需求13.2 配置注意事项13.3 配置步骤23.3.1 AC的配置23.3.2 Switch的配置43.4 验证配置53.5 配置文件64 相关资料7简介本文介绍了Rogue AP检测及反制特性的典型配置举例。配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解Rogue AP检测及反制特性。配置举例组网需求如图1所示，AP通过交换机与AC相连，AC作为DHCP服务器为AP和Client分配IP地址，开启Rouge AP反制功能，以保证用户能通过合法的AP接入到正确的网络中，具体要求如下：Monitor AP周期性的监听无线射频接口报文；当发现Rogue AP时，Monitor AP发起反制。Rouge AP检测配置举例组网图配置注意事项配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。配置步骤AC的配置配置AC的接口# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。AC system-view[AC] vlan 100[AC-vlan100] quit[AC] interface vlan-interface 100[AC-Vlan-interface100] ip address 10.1.1.1 255.255.0.0[AC-Vlan-interface100] quit# 创建VLAN 200作为ESS接口的缺省VLAN和无线用户接入的VLAN。[AC] vlan 200[AC-vlan200] quit# 进入Vlan-interface200的接口视图，配置IP地址为112.112.1.1/16。[AC] interface vlan-interface 200[AC-Vlan-interface200] ip address 112.112.1.1 255.255.0.0[AC-Vlan-interface200] quit# 将与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk，当前Trunk口的PVID为100，禁止VLAN1通过，允许VLAN 100和CLient使用的VLAN200通过。[AC] interface gigabitethernet 1/0/1[AC-GigabitEthernet1/0/1] port link-type trunk[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200[AC-GigabitEthernet1/0/1] quit配置DHCP服务# 开启DHCP服务。[AC] dhcp enable# 配置DHCP地址池1为AP动态分配的网段为112.0.0.0/16。[AC] dhcp server ip-pool 1[AC-dhcp-pool-1] network 112.0.0.0 mask 255.255.0.0[AC-dhcp-pool-1] quit# 配置DHCP地址池2为Client动态分配的网段为10.1.0.0/16。[AC] dhcp server ip-pool 2[AC-dhcp-pool-2] network 10.1.0.0 mask 255.255.0.0[AC-dhcp-pool-2] quit配置无线服务# 创建编号为1的WLAN-ESS接口。[AC] interface wlan-ess 1# 配置WLAN-ESS1接口类型为Hybrid类型。[AC-WLAN-ESS1] port link-type hybrid# 配置当前Hybrid端口的PVID为VLAN 200，禁止VLAN 1通过并允许VLAN 200不带tag通过。[AC-WLAN-ESS