無線網橋點對點鏈路配置示例

簡介

本文檔介紹如何通過採用Cisco LEAP身份驗證的Cisco Aironet無線網橋建立點對點無線鏈路。

必要條件

需求

嘗試此組態之前，請確認您已瞭解以下主題的基本知識：

• 無線網橋上的基本引數配置

• Aironet 802.11a/b/g無線LAN(WLAN)使用者端配接器的組態

• 可擴展身份驗證協定(EAP)身份驗證方法

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 兩個執行Cisco IOS^®軟體版本12.3(7)JA韌體^的Aironet 1300系列無線網橋

• 兩個運行韌體版本2.5的Aironet 802.11a/b/g客戶端介面卡

註：本文檔使用具有整合天線的無線網橋。如果使用需要外部天線的網橋，請確保天線已連線到網橋。否則，網橋無法連線到無線網路。某些無線網橋型號配備整合天線，而其它型號則需要外部天線才能正常工作。有關帶有內建或外接天線的網橋型號的資訊，請參閱相應裝置的訂購指南/產品指南。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

網路圖表

本檔案會使用以下網路設定：

此設定使用兩個Aironet 1300系列無線網橋。其中一個網橋配置為根網橋模式，另一個網橋配置為非根網橋模式。客戶端A與根網橋關聯，客戶端B與非根網橋關聯。如網路圖所示，所有裝置都使用10.0.0.0/24範圍內的IP地址。此配置在網橋之間建立點對點無線連線。在無線網橋通訊之前，它們必須相互進行身份驗證。網橋使用以下任何一種驗證方法：

• 開放式身份驗證

• 共用金鑰身份驗證

• EAP身份驗證

本檔案使用LEAP進行驗證，並使用根橋上的本地RADIUS伺服器來驗證憑證。

注意：本文檔不解釋如何將客戶端介面卡配置為與無線網橋關聯。本文檔重點介紹根網橋和非根網橋之間的點對點連線配置。有關如何配置無線客戶端介面卡以參與WLAN的資訊，請參閱基本無線LAN連線配置示例。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

背景資訊

無線網橋是通過無線介面連線兩個或多個LAN（通常位於不同建築物中）的第2層裝置。無線網橋為資料密集型和視線應用提供更高的資料速率和卓越的吞吐量。無線網橋之間的高速鏈路提供的吞吐量比E1/T1線路快許多倍，而成本卻只有後者的一小部分。這樣，無線網橋就不再需要昂貴的租用線路和光纜。您可以使用無線網橋連線以下網路：

• 難以連線的站點

• 不連續樓層

• 臨時網路

• 倉庫

• 其他網路

無線網橋連線的LAN可以通過有線LAN或無線介面連線到無線網橋。您可以為點對點和點對多點應用配置無線網橋。本文檔配置用於點對點連線的無線網橋。

配置根橋

GUI配置

本節提供將無線網橋配置為根網橋的資訊。

1. 通過GUI訪問1300無線網橋，並轉到Summary Status視窗。

   請完成以下步驟：

   1. 開啟Web瀏覽器，在地址行中輸入IP地址。

      此示例將IP地址10.0.0.1用於根網橋。有關如何為無線網橋分配IP地址的資訊，請參閱首次配置接入點/網橋文檔的獲取和分配IP地址部分。

   2. 按Tab以繞過「使用者名稱」欄位前進到「密碼」欄位。

      將顯示Enter Network Password視窗。

   3. 輸入區分大小寫的密碼Cisco，然後按Enter。

      此時將顯示「彙總狀態」視窗，如以下示例所示：

      

2. 配置無線電介面。

   1. 啟用無線電介面並將其定義為根網橋。

      此無線電介面充當根網橋的無線介面。

      注意：運行Cisco IOS軟體版本12.3(7)JA的1300無線網橋上預設禁用無線電介面。

      請完成以下步驟：

      1. 選擇Network Interfaces > Radio0-802.11G > Settings。

         網路介面：將顯示Radio0-802.11G設定視窗。可以使用此視窗配置與無線電介面相關的各種引數。這些引數包括：

         • 無線網路中的角色

         • 無線電資料速率

         • 無線電發射功率

         • 無線電通道設定

         • 天線設定

         • 其他引數

      2. 按一下「Enable Radio」底下的「Enable」以啟用無線電介面。

   2. 在無線網橋上啟用根模式。

      1. 在Role in Radio Network下，按一下Root Bridge。

         注意：Role in Radio Network引數允許您以以下方式配置無線網橋：

         • 根網橋

         • 非根網橋

         • 具有無線客戶端的根橋

         • 具有無線客戶端的非根網橋

         • 根接入點(AP)

         • 中繼器AP

         • 工作組網橋

         • 掃描器

         • 安裝模式

         如果要為根網橋/非根網橋模式配置無線網橋，並且有與無線網橋關聯的無線客戶端，則需要為「無線網路中的角色」引數選擇「具有無線客戶端的根網橋」或「具有無線客戶端的非根網橋」。通過這種方式，無線網橋充當根/非根網橋，並且還接受無線客戶端關聯。

         

         註：如果您使用IEEE 802.11b標準網橋，或具有802.11b客戶端和1300無線網橋，請確保不要選擇「要求使用正交分頻多工(OFDM)資料速率」。如果為這些資料速率選擇「需要」，則裝置不會關聯。裝置不關聯，因為802.11b裝置不支援基於IEEE 802.11g標準運行的OFDM速率。在網路介面中：Radio0-802.11G設定視窗示例，OFDM資料速率在速率旁邊顯示一個星號(*)。本示例中的設定還顯示了如何為在802.11g環境中運行的802.11b裝置配置資料速率。

      2. 為「距離(Km)」引數輸入1，將所有其它引數保留為預設值，然後按一下視窗底部的應用。

         

         注意：本文檔介紹具有互相鄰近放置的整合（不可移除）天線的點對點配置。橋樑之間的距離不到1公里。因此，所有其他無線電引數均保留其預設值。但是，可能需要配置其他引數。配置其他引數的必要性取決於部署這些無線網橋的環境以及所使用的天線型別。以下是您可以設定的其他引數：

         • 天線增益

         • 無線電距離

           註：這是網橋之間的距離。

         • 發射和接收天線的定義

         • 用於通訊的功率電平

         • 其他引數

         註：請參閱室外網橋範圍計算實用程式以計算這些引數。在部署網橋之前，始終使用此實用程式以確保良好的吞吐量和效能。有關如何配置無線網橋上無線電介面的其他引數的詳細資訊，請參閱配置無線電設定。

3. 對本地RADIUS伺服器啟用LEAP身份驗證，以對無線網橋進行身份驗證。

   在根網橋上配置LEAP身份驗證，然後將非根網橋配置為LEAP客戶端，以便向根網橋進行身份驗證。請完成以下步驟：

   1. 在左側選單中選擇Security > Server Manager，在Corporate Servers下定義這些引數，然後按一下Apply:

      • RADIUS伺服器的IP地址

        注意：對於本地RADIUS伺服器，請使用AP的IP地址。在示例中，要使用的IP地址是根網橋的IP地址，即10.0.0.1。

      • 驗證和記帳埠

      • RADIUS伺服器的共用金鑰

        注意：在本例中，共用金鑰為Cisco。

      

      注意：本地RADIUS伺服器偵聽埠1812和1813。

   2. 在此視窗的Default Server Priorities區域中，選擇本地RADIUS伺服器IP地址並按一下Apply。

   3. 要啟用WEP加密，請完成以下步驟：

      注意：LEAP身份驗證要求啟用WEP加密。

      1. 選擇Security > Encryption Manager。

      2. 在Encryption Modes區域，為WEP Encryption選擇Mandatory，然後從Cipher旁邊的下拉選單中選擇WEP 128 bit。

      3. 在Encryption Keys區域中，選擇128 bit作為Key Size，然後輸入Encryption Key。

         注意：此加密金鑰必須與在非根網橋上配置的加密金鑰匹配。

         在本例中，加密金鑰為1234567890abcdef1234567890。

         以下是範例：

         

   4. 為要用於通訊的網橋建立新的服務集識別符號(SSID)。

      請完成以下步驟：

      1. 從左側選單中選擇Security > SSID Manager。

         將顯示SSID Manager視窗。

      2. 在SSID欄位中輸入新的SSID。

         本示例使用Cisco作為SSID。

      3. 在Authentication Settings區域中，選中Network EAP覈取方塊，然後按一下Apply。

         這將啟用LEAP身份驗證。

         以下是範例：

         

         註：在Cisco IOS軟體版本12.3(4)JA和更新版本中，可以全域性配置SSID，然後將其應用於特定無線電介面。請參閱配置多個SSID文檔的全域性建立SSID部分以全域性配置SSID。此外，在Cisco IOS軟體版本12.3(7)JA中，沒有預設SSID。

   5. 向下滾動到Global Radio0-802.11G Properties區域並完成以下步驟：

      

      1. 從Set Guest Mode SSID和Set Infrastructure SSID下拉選單中，選擇您配置的SSID。

         在本例中，選擇Cisco。

      2. 選中Force Infrastructure Devices to associate only to this SSID覈取方塊。

         此操作將SSID Cisco配置為基礎設施SSID並啟用此SSID的訪客模式。

   6. 配置本地RADIUS伺服器引數。

      1. 選擇Security > Local Radius Server，然後按一下General Set-Up頁籤。

      2. 在「本地Radius伺服器身份驗證設定」區域中，按一下LEAP。

      3. 在Network Access Server(AAA Client)區域中，定義RADIUS伺服器的IP地址和共用金鑰，然後按一下Apply。

         對於本地RADIUS伺服器，使用AP的IP地址。

         以下是範例：

         

      4. 在Individual Users區域中，定義各個使用者並按一下Apply。

         您配置的使用者名稱和密碼必須與LEAP客戶端的使用者名稱和密碼匹配。在此示例中，這些欄位必須與非根網橋的使用者名稱和密碼匹配。示例使用者名稱為NonRoot，密碼為Cisco123。

         註：組是可選的。組屬性不會傳遞到Active Directory，並且僅在本地相關。確認基本配置工作正常後，可以稍後新增組。

配置根網橋後，就可以與客戶端和非根網橋關聯了。配置非根網橋以完成此設定並建立點對點無線連線。

CLI組態

您可以使用CLI使用telnet設定橋接器。

!--- These commands enable the local radius server on the bridge !--- and ensure that local radius server is used for authentication:

bridge#aaa new-model
bridge#aaa group server radius rad_eap server 10.0.0.1 auth-port 1812 acct-port 1813
bridge#aaa authentication login eap_methods group rad_eap

bridge(config)#station role root
bridge(config)#distance 1


!--- This commands enters the bridge into the local server config mode:

bridge(config)#radius-server local



!--- By default LEAP, EAPFAST, and MAC authentications are !--- supported. Using the no form for other 2 types ensures !--- that LEAP is used for authentication.
 
bridge(config-radsrv)#no authentication eapfast
bridge(config-radsrv)#no authentication mac

bridge(config)#interface dot11radio 0
bridge(config-if)#ssid bridge

!--- This command enables EAP authentication for the SSID.

bridge(config-if-ssid)#authentication network-eap rad_eap


!--- This step is optional. !--- This value seeds the initial key for use with broadcast !--- [255.255.255.255] traffic. If more than one VLAN is !--- used, then keys must be set for each VLAN.

bridge(config-if)#encryption vlan 1 key 1 size 128bit 12345678901234567890123456 transmit-key
 

!--- This defines the policy for the use of Wired !--- Equivalent Privacy (WEP). If more than one VLAN is used, !--- the policy must be set to mandatory for each VLAN.

bridge(config-if)#encryption vlan 1 mode wep mandatory 

bridge(config)#user cisco password cisco123

配置非根網橋

GUI配置

本節提供將無線網橋配置為非根網橋的資訊。非根網橋作為LEAP客戶端向根網橋上的本地RADIUS伺服器進行身份驗證。

1. 通過GUI訪問無線網橋並轉到「Summary Status（摘要狀態）」視窗。

   完成配置根網橋一節的步驟1中的說明以進入「Summary Status」視窗。

   註：非根網橋配置了IP地址10.0.0.2。

   此視窗顯示：

   

2. 配置SSID進行通訊。

   1. 從左側選單中選擇Security > SSID Manager。

      出現「SSID Manager（SSID管理器）」視窗。

   2. 在SSID欄位中輸入在根網橋上配置的相同SSID。

   3. 在Authentication Settings區域中，選中Network EAP覈取方塊。

      

3. 向下滾動到General Settings配置引數，定義EAP客戶端的使用者名稱和密碼，然後按一下Apply。

   RADIUS伺服器上必須存在此使用者名稱和密碼才能成功進行LEAP身份驗證。在本例中，使用者名稱和密碼必須位於根網橋上的本地RADIUS伺服器上。使用使用者名稱NonRoot和密碼Cisco123（已在本地RADIUS伺服器上配置）。

   

4. 向下滾動到該視窗的Global Radio0-802.11G SSID Properties區域並完成以下步驟：

   1. 從Set Guest Mode SSID和Set Infrastructure SSID下拉選單中，選擇您配置的SSID。

      在本例中，選擇Cisco。

   2. 選中Force Infrastructure Devices to associate only to this SSID覈取方塊。

      此操作將SSID Cisco配置為基礎設施SSID並啟用此SSID的訪客模式。

5. 啟用無線電介面並將無線電介面配置為非根模式。

   請完成以下步驟：

   1. 啟用無線電介面並將其定義為非根網橋。

      注意：預設情況下禁用無線電介面。

      請完成以下步驟：

      1. 選擇Network Interfaces > Radio0-802.11G > Settings。

         網路介面：將顯示Radio0-802.11G設定視窗。

      2. 按一下「Enable Radio」底下的「Enable」以啟用無線電介面。

   2. 在無線網橋上啟用非根模式。

      請完成以下步驟：

      1. 對於無線網路中的角色，按一下非根網橋。

         

      2. 為「距離(Km)」引數輸入1，將所有其它引數保留為預設值，然後按一下視窗底部的應用。

         

   3. 將非根網橋配置為LEAP客戶端。

      1. 選擇Security > Encryption Manager。

      2. 在Encryption Modes區域，為WEP Encryption選擇Mandatory，然後從Cipher旁邊的下拉選單中選擇WEP 128 bit。

         

      3. 在Encryption Keys區域中，選擇128 bit作為Key Size，然後輸入Encryption Key。

         您必須使用在根網橋上使用的WEP加密金鑰。在本例中，加密金鑰為1234567890abcdef1234567890。

非根CLI配置

您可以使用CLI使用telnet進行配置。

此示例為SSID橋接器設定LEAP使用者名稱和密碼：

bridge#configure terminal
bridge(config)#configure interface dot11radio 0
bridge(config)#station role non-root
bridge(config-if)#ssid bridge

!--- This command configures the user name and password for Leap authentication:

bridge(config-ssid)#authentication client username cisco password cisco123
bridge(config-ssid)#end

驗證

使用此部分可以確認網橋可以彼此關聯。

為點對點連線配置無線網橋後，在根網橋上配置的本地RADIUS伺服器使用LEAP執行身份驗證。

1. 為了驗證LEAP身份驗證是否成功，請檢查根網橋上的Summary Status報告是否與以下示例類似：

   

2. 檢查Association表是否類似於以下示例：

   

3. 檢驗非根網橋關聯表上的連通性。

   

4. 使用ping測試檢驗點對點連線。

   選擇Association > Ping/Link Test。

   

   ping輸出確認無線網橋之間建立了點對點連線。

   

驗證通過網橋的客戶端連線

現在您已在無線網橋之間建立點對點連線，請檢驗連線到無線網橋的終端客戶端之間的連線。

配置客戶端介面卡後，客戶端與網橋關聯。此示例顯示了與客戶端A關聯的根網橋上的「摘要狀態」視窗：

客戶端A上命令提示符的ping測試輸出可確認與客戶端B的可達性。以下是客戶端A上的ping測試示例：

疑難排解

驗證以下各項，以排除無線網橋之間的連線故障：

• 確保橋接器的角色配置正確。

• 確保兩個網橋上的安全設定相同；兩個網橋上的無線設定（如通道和SSID）應配置相同。

• 確保選擇了最暢通的通道；網橋之間的路徑應該干擾最小。

• 檢查無線電是否使用了適當的天線。

• 確保兩個網橋的天線正確對齊，以接收最大訊號。

• 確保第3層連線。您可以使用ping命令驗證第3層連線。

有關如何排除網橋連線故障的詳細資訊，請參閱排除無線橋接網路的常見問題。

相關資訊

• 室外網橋範圍計算實用程式
• 適用於Cisco Aironet 1300系列室外存取點/橋接器12.3(7)JA的Cisco IOS軟體組態指南
• 無線網橋中的間歇連線問題
• 無線支援頁面
• 技術支援與文件 - Cisco Systems