虛擬存取點(VAP)將無線LAN劃分為多個廣播網域,這些廣播網域相當於乙太網路VLAN。VAP在一個物理WAP裝置中模擬多個接入點。Cisco WAP131最多支援四個VAP,Cisco WAP351和WAP371最多支援八個VAP。
本文檔旨在向您展示如何在WAP351、WAP131和WAP371接入點上配置VAP。
· WAP351
· WAP131
· WAP371
· V1.0.0.39(WAP351)
· V1.0.0.39(WAP131)
· V1.2.0.2(WAP371)
附註:每個VAP由使用者配置的服務集識別符號(SSID)標識。 多個VAP不能具有相同的SSID名稱。
附註:為了使您的無線網路正常運作,必須啟用並正確配置與您配置的VAP關聯的無線電。如需詳細資訊,請參閱在WAP131和WAP351上設定基本無線電設定或在WAP371上設定基本無線電設定
步驟1.登入Web組態公用程式,然後導覽至Wireless > Networks。系統將顯示Networks頁面:
步驟2.在Radio欄位中,選擇要在其中配置VAP的無線單選的單選按鈕。
步驟3.要新增新的VAP,請按一下Add。表中將顯示新的VAP。
附註:WAP131最多支援4個VAP,而WAP371和WAP351最多支援8個VAP。
步驟4.要開始編輯VAP,請按一下表條目最左側的覈取方塊,然後按一下編輯。這將允許您修改所選VAP的灰色欄位。
步驟5.要啟用VAP的使用,請確保選中Enable覈取方塊。
步驟6.在VLAN ID欄位中,指定您要與VAP關聯的VLAN ID。如果您使用的是WAP131或WAP371,請輸入VLAN ID。您可以輸入的最大值為4094。
附註:輸入的VLAN ID必須存在於您的網路中,並且必須正確配置。如需詳細資訊,請參閱WAP351存取點上的VLAN組態、管理WAP131上的已標籤和未標籤的VLAN ID或管理WAP371上的已標籤和未標籤的VLAN ID。
步驟7.在SSID名稱欄位中輸入無線網路的名稱。每個VAP必須具有唯一的SSID名稱。
步驟8.如果要將SSID名稱廣播到客戶端,請選中SSID Broadcast復選框。這將向其可用網路清單中的客戶端顯示SSID名稱。
步驟1.從Security下拉選單選擇連線到VAP所需的身份驗證方法。如果選擇了除None之外的任何選項,則會顯示其他欄位。
可用的選項如下:
•無
·靜態WEP
·動態WEP
· WPA個人
· WPA企業版
附註:WPA Personal和WPA Enterprise是實現最高安全性的首選身份驗證型別。靜態WEP和動態WEP應僅用於傳統裝置,並且要求將無線電設定為802.11a或802.11b/g模式才能使用。如需詳細資訊,請參閱在WAP131和WAP351上設定基本無線電設定或在WAP371上設定基本無線電設定。
靜態WEP是最不安全的身份驗證方法。它基於靜態金鑰加密無線網路中的資料。非法獲取此靜態金鑰變得簡單,因此WEP身份驗證僅在必要時用於傳統裝置。
附註:當選擇靜態WEP作為安全方法時,將出現一個提示,告訴您您的安全方法選擇非常不安全。
步驟1。在「Transfer Key Index」下拉式清單中,從裝置將用於加密資料的金鑰清單中選擇WEP金鑰的索引。
步驟2.從Key Length欄位中選擇單選按鈕,指定金鑰的長度為64位還是128位。
步驟3.在「金鑰類型」欄位中,選擇是要以ASCII格式輸入金鑰還是以十六進位制格式輸入金鑰。ASCII包括鍵盤上的所有字母、數字和符號,而十六進位制只能使用數字或字母A-F。
步驟4.在WEP Keys欄位中,為您的裝置輸入最多4個不同的WEP金鑰。要連線到此網路的每個客戶端必須在裝置指定的同一插槽中有一個相同的WEP金鑰。
步驟5.(可選)如果顯示鍵的字串,請按一下將鍵顯示為明文欄位中的覈取方塊。
注意:在WAP351、WAP131或WAP371上使用不同的韌體時,可能缺少「Show Key as Clear Text」欄位。
步驟6.在802.1X Authentication欄位中,通過選擇Open System和/或Shared Key選項指定要使用的身份驗證演算法。身份驗證演算法定義了一種方法,用於在靜態WEP是安全模式時,確定是否允許客戶端站與WAP裝置關聯。
可用選項定義如下:
·開放系統 — 無論客戶端工作站是否具有正確的WEP金鑰,身份驗證都允許任何客戶端工作站與WAP裝置關聯。此演算法用於純文字檔案、IEEE 802.1X和WPA模式。當身份驗證演算法設定為Open System時,任何客戶端都可以與WAP裝置關聯。
·共用金鑰 — 身份驗證要求客戶端工作站具有正確的WEP金鑰,以便與WAP裝置關聯。當身份驗證演算法設定為Shared Key時,WEP金鑰不正確的站無法與WAP裝置關聯。
·開放系統和共用金鑰 — 當您選擇了這兩種身份驗證演算法時,配置為在共用金鑰模式下使用WEP的客戶端工作站必須具有有效的WEP金鑰才能與WAP裝置關聯。此外,配置為將WEP用作開放系統(未啟用共用金鑰模式)的客戶端工作站可以與WAP裝置關聯,即使它們沒有正確的WEP金鑰。
步驟7.按一下「Save」。
動態WEP是指802.1x技術和可擴展身份驗證協定(EAP)的組合。 此模式需要使用外部RADIUS伺服器來驗證使用者身分。WAP裝置需要支援EAP的RADIUS伺服器,例如Microsoft Internet Authentication Server。要與Microsoft Windows客戶端配合使用,身份驗證伺服器必須支援受保護的EAP(PEAP)和MSCHAP v2。可以使用IEEE 802.1X模式支援的各種身份驗證方法,包括證書、Kerberos和公共金鑰身份驗證,但必須將客戶端工作站配置為使用與WAP裝置相同的身份驗證方法。
步驟1。預設情況下,會勾選使用全域RADIUS伺服器設定。如果要將VAP配置為使用另一組RADIUS伺服器,請取消選中此覈取方塊。否則,請跳至步驟8。
步驟2.在Server IP Address Type欄位中,選擇WAP裝置使用的伺服器IP地址型別。選項是IPv4或IPv6。IPv4使用以點分十進位記法表示的32位二進位制數。IPv6使用十六進位制數字和冒號來表示128位的二進位制數字。WAP裝置僅聯絡您在此欄位中選擇的地址型別的RADIUS伺服器。如果您選擇IPv6,請跳至步驟4。
步驟3.如果在步驟2中選擇了IPv4,請輸入所有VAP預設使用的RADIUS伺服器的IP地址。然後跳至步驟5。
附註:最多可以有三個IPv4備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗,則會按順序嘗試每個配置的備份伺服器。
步驟4.如果您在步驟2中選擇了IPv6,請輸入主要全域性RADIUS伺服器的IPv6地址。
附註:最多可以有三個IPv6備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗,則會按順序嘗試每個配置的備份伺服器。
步驟5.在Key-1欄位中,輸入WAP裝置用來對主RADIUS伺服器進行驗證的共用金鑰。
步驟6.在Key-2 to Key-4欄位中,輸入與已設定的備份RADIUS伺服器關聯的RADIUS金鑰。伺服器IP地址2使用金鑰2,伺服器IP地址3使用金鑰3,伺服器IP地址4使用金鑰4。
步驟7.(可選)如果要啟用對特定使用者已消耗資源的跟蹤和測量,請在啟用RADIUS記帳欄位中,選中覈取方塊。啟用RADIUS記賬將跟蹤系統時間以及傳輸和接收的資料量。資訊將儲存在Radius伺服器中。將為主RADIUS伺服器和所有備份伺服器啟用此功能。
附註:如果您已啟用RADIUS記帳,則為主要RADIUS伺服器和所有備份伺服器啟用此功能
步驟8.在Active Server(活動伺服器)欄位中選擇第一個處於活動狀態的伺服器。這允許手動選擇活動的RADIUS伺服器,而不是讓WAP裝置嘗試按順序聯絡每個已配置的伺服器並選擇第一個活動的伺服器。
步驟9.在Broadcast Key Refresh Rate欄位中,輸入為與此VAP關聯的客戶端刷新廣播(組)金鑰的時間間隔。預設值為300秒。
步驟10.在Session Key Refresh Rate欄位中,輸入WAP裝置刷新與VAP關聯的每個客戶端的會話(單播)金鑰的間隔。預設值為0。
WPA Personal是Wi-Fi Alliance IEEE 802.11i標準,包括AES-CCMP和TKIP加密。WPA使用預共用金鑰(PSK),而不是使用企業WPA安全模式中使用的IEEE 802.1X和EAP。PSK僅用於初始憑證檢查。WPA也稱為WPA-PSK。此安全模式向後相容支援原始WPA的無線客戶端。
步驟1。在WPA版本欄位中,如果要啟用WPA-TKIP,請選中WPA-TKIP覈取方塊。您可以同時啟用WPA-TKIP和WPA2-AES。WAP始終支援WPA2-AES,因此您無法對其進行配置。
可用選項定義如下:
· WPA-TKIP — 網路有一些僅支援原始WPA和TKIP安全協定的客戶端工作站。根據最新的WiFi聯盟要求,建議不要僅選擇WPA-TKIP。
· WPA2-AES — 網路上的所有客戶端站都支援WPA2和AES-CCMP密碼/安全協定。此WPA版本提供符合IEEE 802.11i標準的最佳安全性。根據最新的WiFi聯盟要求,AP必須始終支援此模式。
· WPA-TKIP和WPA2-AES — 如果網路包含多個客戶端(其中有些支援WPA2,而另一些僅支援原始WPA),請選中兩個覈取方塊。此設定允許WPA和WPA2客戶端工作站進行關聯和身份驗證,但是對於支援它的客戶端使用更強大的WPA2。此WPA配置允許更多的互操作性來代替某些安全性。
附註:WPA客戶端必須擁有其中一個金鑰(有效的TKIP金鑰或有效的AES-CCMP金鑰)才能與WAP裝置關聯。
步驟2.在金鑰欄位中,輸入WPA個人安全的共用金鑰。輸入至少8個字元,最多63個字元。
附註:可接受的字元包括大寫和小寫字母字母、數字和特殊符號(?!/\@#$%^&*)。
步驟3.(可選)如果要顯示鍵入的文本,請選中Show Key as Clear Text覈取方塊。預設情況下,該覈取方塊處於未選中狀態。
注意:在WAP351、WAP131或WAP371上使用不同的韌體時,可能缺少「Show Key as Clear Text」欄位。
附註:金鑰強度表欄位是WAP裝置根據複雜性標準(例如使用多少不同型別的字元以及金鑰多長)檢查金鑰的地方。如果啟用WPA-PSK複雜性檢查功能,則除非金鑰符合最低標準,否則不會接受該金鑰。有關WPA-PSK複雜性的詳細資訊,請參閱為WAP131、WAP351和WAP371配置密碼複雜性。
步驟4.在「Broadcast Key Refresh Rate」欄位中,輸入為與此VAP關聯的客戶端刷新廣播(組)金鑰的間隔。預設值為300秒。
採用RADIUS的WPA企業是Wi-Fi聯盟IEEE 802.11i標準的實施,包括CCMP(AES)和TKIP加密。企業模式要求使用RADIUS伺服器對使用者進行驗證。安全模式向後相容支援原始WPA的無線客戶端。
附註:動態VLAN模式預設啟用,允許RADIUS身份驗證伺服器決定用於工作站的VLAN。
步驟1.在WPA版本欄位中,選中要支援的客戶端工作站型別的覈取方塊。預設情況下,它們全部啟用。AP必須始終支援WPA2-AES,因此您無法對其進行配置。
可用選項定義如下:
· WPA-TKIP — 網路有一些僅支援原始WPA和TKIP安全協定的客戶端工作站。請注意,根據最新的WiFi Alliance要求,不允許僅選擇接入點的WPA-TKIP。
· WPA2-AES — 網路上的所有客戶端站都支援WPA2版本和AES-CCMP密碼/安全協定。此WPA版本根據IEEE 802.11i標準提供最佳安全性。根據最新的Wi-Fi聯盟要求,WAP必須始終支援此模式。
·啟用預身份驗證 — 如果僅選擇WPA2或WPA和WPA2作為WPA版本,則可以為WPA2客戶端啟用預身份驗證。如果您希望WPA2無線客戶端傳送預身份驗證資料包,請選中此選項。預認證資訊從客戶端當前使用的WAP裝置中繼到目標WAP裝置。啟用此功能有助於加快對連線到多個WAP的漫遊客戶端的身份驗證。如果您為WPA版本選擇了WPA,則此選項不適用,因為原始WPA不支援此功能。
附註:配置為使用WPA和RADIUS的客戶端工作站必須具有以下地址和金鑰之一:有效的TKIP RADIUS或有效的CCMP(AES)IP地址和RADIUS金鑰。
步驟2.預設會選中Use global RADIUS server settings。如果要將VAP配置為使用另一組RADIUS伺服器,請取消選中此覈取方塊。否則,請跳至步驟9。
步驟3.在Server IP Address Type欄位中,選擇WAP裝置使用的伺服器IP地址型別。選項是IPv4或IPv6。IPv4使用以點分十進位記法表示的32位二進位制數。IPv6使用十六進位制數字和冒號來表示128位的二進位制數字。WAP裝置僅聯絡您在此欄位中選擇的地址型別的RADIUS伺服器。
步驟4.如果您在步驟2中選擇了IPv4,請輸入所有VAP預設使用的RADIUS伺服器的IP地址。然後跳至步驟6。
附註:最多可以有三個IPv4備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗,則會按順序嘗試每個配置的備份伺服器。
步驟5.如果在步驟2中選擇了IPv6,請輸入主要全域性RADIUS伺服器的IPv6地址。
附註:最多可以有三個IPv6備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗,則會按順序嘗試每個配置的備份伺服器。
步驟6.在Key-1欄位中,輸入WAP裝置用來對主RADIUS伺服器進行驗證的共用金鑰。
步驟7.在Key-2 to Key-4欄位中,輸入與已設定的備份RADIUS伺服器關聯的RADIUS金鑰。伺服器IP地址2使用金鑰2,伺服器IP地址3使用金鑰3,伺服器IP地址4使用金鑰4。
步驟8.(可選)如果要對特定使用者已使用的資源進行跟蹤和測量,請在啟用RADIUS記帳欄位中,選中覈取方塊。啟用RADIUS記帳將允許您跟蹤特定使用者的系統時間以及傳輸和接收的資料量。
附註:如果啟用RADIUS記帳,則為主要RADIUS伺服器和所有備份伺服器啟用該記帳。
步驟9.在Active Server(活動伺服器)欄位中選擇第一個活動伺服器。這樣可以手動選擇活動的RADIUS伺服器,而不是讓WAP裝置嘗試按順序聯絡每個已配置的伺服器。
步驟10.在Broadcast Key Refresh Rate欄位中,輸入為與此VAP關聯的客戶端刷新廣播(組)金鑰的時間間隔。預設值為300秒。
步驟11.在Session Key Refresh Rate欄位中,輸入WAP裝置刷新與VAP相關聯的每個使用者端的作業階段(單點傳播)金鑰的間隔。預設值為0。
MAC過濾器指定可以訪問此VAP的站點是否被限制到已配置的MAC地址全域性清單。
步驟1。在「MAC Filter」下拉式清單中,選擇所需的MAC過濾型別。
可用選項定義如下:
·已禁用 — 不使用MAC過濾。
·本地 — 使用您在MAC過濾部分配置的MAC身份驗證清單,要瞭解有關MAC過濾的詳細資訊,請參閱如何在WAP351和WAP131上配置MAC過濾。
· RADIUS — 使用外部RADIUS伺服器上的MAC驗證清單。
當禁用通道隔離時,無線客戶端可以通過通過WAP裝置傳送流量來正常相互通訊。啟用時,WAP裝置會阻止同一VAP上的無線客戶端之間的通訊。WAP裝置仍允許其無線客戶端與網路上的有線裝置之間的資料流量,通過WDS鏈路,以及與不同VAP關聯的其他無線客戶端之間的資料流量,但不允許在無線客戶端之間傳輸。
步驟1.在Channel Isolation欄位中,如果要啟用Channel Isolation,請選中覈取方塊。
步驟2.按一下「Save」。
附註:儲存新設定後,相應的進程可能會停止並重新啟動。發生這種情況時,WAP裝置可能會失去連線。建議您在連線中斷對無線客戶端的影響最小時更改WAP裝置設定。
Band Steering僅在WAP371上可用。通過將雙頻段支援的客戶端從2.4 GHz頻段轉向5 GHz頻段,Band Steering可有效利用5 GHz頻段。這釋放了2.4GHz頻段,可供沒有雙無線電支援的舊式裝置使用。
附註:需要啟用5 GHz和2.4 GHz無線電才能使用頻段引導。有關啟用無線電的詳細資訊,請參閱如何在WAP371上配置基本無線電設定。
步驟1.根據每個VAP配置頻段引導,需要在兩個無線電上啟用。如果要啟用Band Steer,請選中Band Steer欄位中的覈取方塊。
附註:對語音或影片流量時間敏感的VAP不鼓勵頻段導向。即使5 GHz無線電恰好使用更少的頻寬,它也會嘗試引導客戶端使用該無線電。
步驟2.按一下「Save」。
步驟1.選中要刪除的VAP的覈取方塊。
步驟2.按一下Delete刪除VAP。
步驟3.按一下Save以永久儲存刪除內容。