在WAP351、WAP131和WAP371上配置VAP

目標

虛擬存取點(VAP)將無線LAN分段為多個廣播網域，這些廣播網域與乙太網路VLAN在無線上等效。VAP在一個物理WAP裝置中模擬多個存取點。Cisco WAP131最多支援四個VAP，Cisco WAP351和WAP371最多支援八個VAP。

本文檔的目標是向您展示如何在WAP351、WAP131和WAP371存取點上配置VAP。

適用裝置

· WAP351

· WAP131

· WAP371

軟體版本

· V1.0.0.39 (WAP351)

· V1.0.0.39 (WAP131)

· V1.2.0.2 (WAP371)

增加並配置VAP

注意：每個VAP都由使用者配置的服務集識別符號(SSID)標識。多個VAP不能具有相同的SSID名稱。

注意：要使無線網路正常運行，必須啟用並正確配置與已配置VAP關聯的無線電。有關詳細資訊，請參閱在WAP131和WAP351上配置基本無線電設定或在WAP371上配置基本無線電設定

步驟 1.登入Web配置實用程式，然後導航到Wireless > Networks。螢幕上會顯示網路頁：

步驟 2.在Radio欄位中，選擇您要配置VAP的無線無線電的單選按鈕。

步驟 3.要增加新的VAP，請按一下Add。新的VAP將顯示在表中。

注意：WAP131最多支援4個VAP，而WAP371和WAP351最多支援8個VAP。

步驟 4.要開始編輯VAP，請按一下表條目最左側的核取框，然後按一下Edit。這將允許您修改您選擇的VAP中呈灰色顯示的欄位。

步驟 5.要啟用VAP的使用，請確保Enable覈取方塊處於選中狀態。

步驟 6.在VLAN ID欄位中，指定要與VAP關聯的VLAN ID。如果使用WAP131或WAP371，請輸入VLAN ID。您可以輸入的最大值為4094。

注意：輸入的VLAN ID必須存在於您的網路中，並且必須正確配置。有關詳細資訊，請參閱WAP351存取點上的VLAN配置、在WAP131上管理標籤和未標籤的VLAN ID或在WAP371上管理標籤和未標籤的VLAN ID。

步驟 7.在「SSID名稱」欄位中輸入無線網路的名稱。每個VAP必須具有唯一的SSID名稱。

步驟 8.如果希望將SSID名稱廣播到客戶端，請選中SSID Broadcast覈取方塊。這會向可用網路清單中的客戶端顯示SSID名稱。

設定保全性設定

步驟 1.從Security下拉選單中選擇連線到VAP所需的身份驗證方法。如果選中了None以外的任何選項，則將出現其他欄位。

可用的選項如下：

•無

· 靜態WEP

· 動態WEP

· WPA個人

· WPA企業

注意：「WPA個人」和「WPA企業」是獲得最大安全性的首選身份驗證型別。靜態WEP和動態WEP應僅用於舊裝置，並且要求無線電設定為要使用的802.11a或802.11b/g模式。有關詳細資訊，請參閱在WAP131和WAP351上配置基本無線電設定或在WAP371上配置基本無線電設定。

靜態WEP

靜態WEP是最不安全的驗證方法。它根據靜態金鑰加密無線網路中的資料。非法獲取此靜態金鑰變得非常簡單，因此WEP身份驗證只能在傳統裝置需要時使用。

注意：選擇Static WEP作為您的安全方法時，將顯示提示，告訴您您的安全方法選擇非常不安全。

步驟 1.在「Transfer Key Index」下拉式清單中，從裝置將用來加密資料的金鑰清單中選取WEP金鑰的索引。

步驟 2.從Key Length欄位中選擇一個單選按鈕，指定金鑰的長度為64位還是128位。

步驟 3.在Key Type欄位中，選擇是要以ASCII格式還是十六進位制格式輸入金鑰。ASCII包括鍵盤上的所有字母、數字和符號，而十六進位制只能使用數字或字母A-F。

步驟 4.在「WEP Keys」欄位中，為裝置輸入最多4個不同的WEP金鑰。要連線到此網路的每個客戶端在裝置指定的同一插槽中必須有一個相同的WEP金鑰。

第5步：（可選）如果顯示鍵的字串，請點選將鍵顯示為明文欄位中的覈取方塊。

註：在WAP351、WAP131或WAP371上使用不同的韌體時，可能缺少Show Key as Clear Text欄位。 

步驟 6.在802.1X Authentication欄位中，透過選擇Open System和/或Shared Key選項指定要使用的身份驗證演算法。當靜態WEP是安全模式時，驗證演演算法會定義用來判斷是否允許使用者端站台與WAP裝置關聯的方法。

可用選項定義如下：

· 開放系統—無論使用者端站台是否具有正確的WEP金鑰，認證都可讓任何使用者端站台與WAP裝置產生關聯。此演算法用於純文字檔案、IEEE 802.1X和WPA模式。當身份驗證演算法設定為Open System時，任何客戶端都可以與WAP裝置關聯。

· 共用金鑰-身份驗證要求客戶端工作站具有正確的WEP金鑰，以便與WAP裝置關聯。當身份驗證演算法設定為共用金鑰時，具有錯誤WEP金鑰的工作站無法與WAP裝置關聯。

· 開放系統和共用金鑰—當您同時選取這兩種驗證演演算法時，設定為在共用金鑰模式下使用WEP的使用者端站台必須具有有效的WEP金鑰，才能與WAP裝置產生關聯。此外，配置為將WEP用作開放系統（共用金鑰模式未啟用）的客戶端工作站可以與WAP裝置關聯，即使它們沒有正確的WEP金鑰也是如此。

步驟 7.按一下Save。

動態WEP

動態WEP是指802.1x技術與可延伸驗證通訊協定(EAP)的組合。此模式需要使用外部RADIUS伺服器驗證使用者。WAP裝置需要支援EAP的RADIUS伺服器，例如Microsoft Internet Authentication Server。若要使用Microsoft Windows使用者端，驗證伺服器必須支援Protected EAP (PEAP)和MSCHAP v2。您可以使用IEEE 802.1X模式所支援的各種驗證方法，包括憑證、Kerberos和公開金鑰驗證，但是您必須設定使用者端站台使用WAP裝置所使用的相同驗證方法。

步驟 1.預設情況下，使用全局RADIUS伺服器設定為選中狀態。如果要將VAP配置為使用另一組RADIUS伺服器，請取消選中該覈取方塊。否則，請跳至步驟8。

步驟 2.在Server IP Address Type欄位中，選擇WAP裝置使用的伺服器IP地址型別。選項包括IPv4或IPv6。IPv4使用以點分十進位制記法表示的32位二進位制數。IPv6使用十六進位制數字和冒號來表示128位的二進位制數字。WAP裝置僅聯絡您在此欄位中選擇的地址型別的RADIUS伺服器。如果選擇IPv6，請跳到步驟4。

步驟 3.如果在步驟2中選擇了IPv4，請輸入所有VAP預設使用的RADIUS伺服器的IP地址。然後跳至步驟5。

注意：您最多可以有三個IPv4備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗，將按順序嘗試每台已配置的備份伺服器。

步驟 4.如果在第2步中選擇了IPv6，請輸入主要全局RADIUS伺服器的IPv6地址。

注意：您最多可以有三個IPv6備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗，將按順序嘗試每台已配置的備份伺服器。

步驟 5.在Key-1欄位中，輸入WAP裝置用於認證主RADIUS伺服器的共用金鑰。

步驟 6.在Key-2 到Key-4 欄位中，輸入與已配置的備份RADIUS伺服器關聯的RADIUS金鑰。伺服器IP地址2使用金鑰2，伺服器IP地址3使用金鑰3，伺服器IP地址4使用金鑰4。

第7步：（可選）在啟用RADIUS記帳欄位中，如果要啟用跟蹤和測量特定使用者已使用的資源，請選中覈取方塊。啟用RADIUS記賬將跟蹤系統時間以及傳輸和接收的資料量。資訊將儲存在RADIUS伺服器中。主RADIUS伺服器和所有備份伺服器都將啟用此功能。

注意：如果啟用了RADIUS記帳，則為主RADIUS伺服器和所有備份伺服器啟用該記帳

步驟 8.在Active Server欄位中選擇第一個處於活動狀態的伺服器。這允許手動選擇活動RADIUS伺服器，而不是讓WAP裝置依次嘗試聯絡每個已配置的伺服器並選擇第一個活動伺服器。

步驟 9.在Broadcast Key Refresh Rate欄位中，輸入為與此VAP關聯的客戶端刷新廣播（組）金鑰的間隔。預設值為 300 秒。

步驟 10.在Session Key Refresh Rate欄位中，輸入WAP裝置刷新與VAP關聯的每個客戶端的會話（單播）金鑰的間隔。預設值為 0。

WPA個人

WPA個人」是Wi-Fi聯盟IEEE 802.11i標準，包括AES-CCMP和TKIP加密。WPA使用預共用金鑰(PSK)，而不是在企業WPA安全模式下使用IEEE 802.1X和EAP。PSK僅用於身份證明的初始檢查。WPA也稱為WPA-PSK。此安全模式向後相容支援原始WPA的無線客戶端。

步驟 1.在WPA Versions欄位中，如果要啟用WPA-TKIP，請選中WPA-TKIP覈取方塊。您可以同時啟用WPA-TKIP和WPA2-AES。WAP始終支援WPA2-AES，因此您將無法對其進行配置。

可用選項定義如下：

· WPA-TKIP —網路有一些僅支援原始WPA和TKIP安全性通訊協定的使用者端工作站。根據最新的WiFi聯盟要求，不建議僅選擇WPA-TKIP。

· WPA2-AES -網路上的所有客戶端工作站都支援WPA2和AES-CCMP密碼/安全協定。此WPA版本根據IEEE 802.11i標準提供最佳的安全性。根據最新的WiFi聯盟要求，AP必須始終支援此模式。

· WPA-TKIP和WPA2-AES -如果網路混合使用使用者端，其中有些支援WPA2，有些則只支援原始的WPA，請勾選兩個核取方塊。這個設定可讓WPA和WPA2使用者端工作站進行關聯和驗證，但支援它的使用者端會使用更健全的WPA2。此WPA組態允許更多的互用性來取代部分安全性。

注意：WPA使用者端必須具備其中一個金鑰（有效的TKIP金鑰或有效的AES-CCMP金鑰），才能與WAP裝置產生關聯。

步驟 2.在「Key」欄位中，輸入「WPA Personal security」的共用金鑰。輸入至少8個字元，最多63個字元。

注意：可接受的字元包括大小寫字母、數字和特殊符號(?!/\@#$%^&*)。

第3步：（可選）如果要顯示鍵入的文本，請選中Show Key as Clear Text覈取方塊。依預設，此核取方塊未核取。

註：在WAP351、WAP131或WAP371上使用不同的韌體時，可能缺少Show Key as Clear Text欄位。 

注意：在金鑰強度表欄位中，WAP裝置根據複雜性標準（如使用的字元數不同型別以及金鑰的有效時間）檢查金鑰。如果啟用了WPA-PSK複雜性檢查功能，則除非金鑰滿足最低標準，否則不會接受該金鑰。有關WPA-PSK複雜性的詳細資訊，請參閱為WAP131、WAP351和WAP371配置口令複雜性。

步驟 4.在Broadcast Key Refresh Rate欄位中，輸入刷新與此VAP關聯的客戶端的廣播（組）金鑰的間隔。預設值為 300 秒。

WPA企業

具有RADIUS的WPA企業是Wi-Fi聯盟IEEE 802.11i標準的實作，包括CCMP (AES)和TKIP加密。企業模式需要使用RADIUS伺服器來驗證使用者。安全模式與支援原始WPA的無線客戶端向後相容。

注意：預設情況下，動態VLAN模式處於啟用狀態，允許RADIUS身份驗證伺服器決定用於站點的VLAN。

步驟 1.在WPA Versions欄位中，選中要支援的客戶端工作站型別的覈取方塊。依預設，它們都是啟用的。AP必須始終支援WPA2-AES，因此您將無法對其進行配置。

可用選項定義如下：

· WPA-TKIP -網路有一些僅支援原始WPA和TKIP安全性通訊協定的使用者端工作站。請注意，根據最新的WiFi聯盟要求，不允許只為存取點選擇WPA-TKIP。

· WPA2-AES -網路上的所有客戶端工作站都支援WPA2版本和AES-CCMP密碼/安全協定。此WPA版本根據IEEE 802.11i標準提供最佳的安全性。根據最新的Wi-Fi聯盟要求，WAP必須始終支援此模式。

· 啟用預先驗證—如果您僅選擇WPA2或WPA和WPA2作為WPA版本，則可以對WPA2客戶端啟用預先驗證。如果您希望WPA2無線客戶端傳送預身份驗證資料包，請選中此選項。預先認證資訊從客戶端當前使用的WAP裝置中繼到目標WAP裝置。啟用此功能有助於加快連線到多個WAP的漫遊客戶端的身份驗證速度。如果您為WPA版本選擇了WPA，則此選項不適用，因為原始WPA不支援此功能。

注意：配置為使用WPA與RADIUS的客戶端工作站必須具有以下地址和金鑰之一：有效的TKIP RADIUS或有效的CCMP (AES) IP地址和RADIUS金鑰。

步驟 2.預設情況下，使用全局RADIUS伺服器設定為選中狀態。如果要將VAP配置為使用另一組RADIUS伺服器，請取消選中該覈取方塊。否則，請跳至步驟9。

步驟 3.在Server IP Address Type欄位中，選擇WAP裝置使用的伺服器IP地址型別。選項包括IPv4或IPv6。IPv4使用以點分十進位制記法表示的32位二進位制數。IPv6使用十六進位制數字和冒號來表示128位的二進位制數字。WAP裝置僅聯絡您在此欄位中選擇的地址型別的RADIUS伺服器。

步驟 4.如果在步驟2中選擇了IPv4，請輸入所有VAP預設使用的RADIUS伺服器的IP地址。然後跳至步驟6。

注意：您最多可以有三個IPv4備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗，將按順序嘗試每台已配置的備份伺服器。

步驟 5.如果在步驟2中選擇了IPv6，請輸入主要全局RADIUS伺服器的IPv6地址。

注意：您最多可以有三個IPv6備份RADIUS伺服器地址。如果主伺服器的身份驗證失敗，將按順序嘗試每台已配置的備份伺服器。

步驟 6.在Key-1欄位中，輸入WAP裝置用於認證主RADIUS伺服器的共用金鑰。

步驟 7.在Key-2 到Key-4 欄位中，輸入與已配置的備份RADIUS伺服器關聯的RADIUS金鑰。伺服器IP地址2使用金鑰2，伺服器IP地址3使用金鑰3，伺服器IP地址4使用金鑰4。

第8步：（可選）在啟用RADIUS記帳欄位中，如果要啟用跟蹤和測量特定使用者已使用的資源，請選中覈取方塊。啟用RADIUS記賬將允許您跟蹤特定使用者的系統時間以及傳輸和接收的資料量。

注意：如果啟用了RADIUS記帳，則為主要RADIUS伺服器和所有備份伺服器啟用了該記帳。

步驟 9.在Active Server欄位中選擇第一個處於活動狀態的伺服器。這樣可以手動選擇活動RADIUS伺服器，而不是讓WAP裝置依次嘗試聯絡每個已配置的伺服器。

步驟 10.在Broadcast Key Refresh Rate欄位中，輸入為與此VAP關聯的客戶端刷新廣播（組）金鑰的間隔。預設值為 300 秒。

步驟 11.在Session Key Refresh Rate欄位中，輸入WAP裝置刷新與VAP關聯的每個客戶端的會話（單播）金鑰的間隔。預設值為 0。

MAC過濾器

MAC Filter指定能否訪問此VAP的站點是否被限制在已配置的MAC地址全局清單中。

步驟 1.在MAC Filter 下拉選單中，選擇所需的MAC過濾型別。

可用選項定義如下：

· 已停用—不使用MAC過濾。

· Local —使用您在MAC Filtering部分配置的MAC身份驗證清單，要瞭解有關MAC過濾的詳細資訊，請參閱如何在WAP351和WAP131上配置MAC過濾。

· RADIUS -使用外部RADIUS伺服器上的MAC身份驗證清單。

通道隔離

當通道隔離被停用時，無線客戶端可以透過透過WAP裝置傳送流量來正常相互通訊。啟用時，WAP裝置會阻止同一VAP上的無線客戶端之間的通訊。WAP裝置仍然允許其無線客戶端與網路中的有線裝置之間的資料流量，透過WDS鏈路，以及與不同VAP相關聯的其他無線客戶端之間的資料流量，但無線客戶端之間不允許。

步驟 1.在Channel Isolation欄位中，如果要啟用通道隔離，請選中覈取方塊。

步驟 2.按一下Save。

注意：儲存新設定後，對應的處理作業可能會停止並重新啟動。發生這種情況時，WAP裝置可能會失去連線。當連線中斷對無線客戶端的影響最小時，我們建議您更改WAP裝置設定。

頻帶導引

Band Steel僅適用於WAP371。透過將受雙頻支援的客戶端從2.4-GHz頻帶切換到5-GHz頻帶，頻段引導可有效利用5-GHz頻帶。這釋放了2.4GHz頻帶，供不具有雙無線電支援的舊式裝置使用。

注意：5 GHz和2.4 GHz無線電都需要啟用，才能使用頻帶導引。有關啟用無線電的詳細資訊，請參閱如何在WAP371上配置基本無線電設定。

步驟 1.頻段引導是基於每個VAP配置的，需要在兩個無線電上啟用。如果要啟用Band Steel，請選中Band Steel欄位中的覈取方塊。

注意：在具有對時間敏感的語音或影片流量的VAP上不鼓勵頻帶引導。即使5-GHz無線電恰好使用較少的頻寬，它也會嘗試引導客戶端使用該無線電。

步驟 2.按一下Save。

刪除VAP

步驟 1.選中要刪除的VAP的覈取方塊。

步驟 2.按一下Delete刪除VAP。

步驟 3.按一下Save以永久儲存刪除操作。

修訂記錄

修訂	發佈日期	意見
1.0	11-Dec-2018	初始版本