第10章 WLAN配置

第10章WLAN配置

本章主要内容：

●WLAN简介

●无线接口参数配置

●虚拟AP参数配置

●无线安全模板配置

●WLAN典型综合配置

10.1WLAN简介

无线局域网（Wireless Local Area Networks）从最早的802.11标准发展到后来的802.11a/b/g/n，使得WLAN的带宽得到了极大的提升，802.11i标准使得WLAN的安全性得到保证，802.11f/r/s等标准使得WLAN的可移动性和可部署性得以发展。

WLAN的组成分为自组基础网络（Independent BSS）、框架基础网络（Infrastructure BSS）、扩展网络（ESS）等几种，本章主要介绍框架基础网络中访问接入点（Access Point）的配置和调试。下文中提到的虚拟AP是指在同一个无线接口上虚拟出来的多个访问接入点，它们具有相同的物理参数，但包括安全策略之内的一些协议参数可以不同。

目前有如下设备支持WLAN模块：

RM1800-31W-AC

RM1800-31W-DC48

RM1800-35W-AC

RM1800-36W-AC

10.2无线接口参数配置

本节主要内容：

●无线接口参数简介

●无线接口参数基本指令描述

●无线接口参数应用实例

●无线接口参数监控和调试

10.2.1简介

无线接口具有一些可配置的参数，包括天线、频道、功率、模式、速率、重试次数、国家代码、前导长短、SLOT长短、信标周期等。所有虚拟AP的这些参数都是相同的。

10.2.2基本指令描述

注：命令描述前带“*”符号的表示该命令有配臵实例详细说明。

?antenna

无线接口有2根天线，可固定选择其中一根，也可选择自动方式。

antenna {rx | tx} {left | right | diversity}

no antenna {rx | tx}

语法描述

rx left接收选择左边的天线。

rx right接收选择右边的天线。

rx diversity 接收根据信号强度自动选择天线。

tx left 发送选择左边的天线。

tx right 发送选择右边的天线。

tx diversity 发送根据信号强度自动选择天线。

【缺省情况】缺省接收和发送均为自动选择天线。

注：在1800系列路由器上接收天线只有设臵自动才生效。

?beacon

可设置信标周期和DTIM周期。

beacon {period | dtim-period}time

no beacon {period | dtim-period}

语法描述

period100-3000设置信标报文发送周期，单位是：1024us。

dtim-period1-30设置缓冲的广播报文发送周期，单位是：信标周期个数。【缺省情况】缺省信标周期300，缓冲报文发送周期6。

?channel

频道可选择固定的，可设置自动搜索空闲频道。

channel number

channel auto

channel auto time

no channel

语法描述

1-14

设置指定的频道，此频道为无线中心频道，实际经过扩频后

可能占用中心频道左2个和右2个频道，因此完全无重叠的中心频道是1、6、11，实际可配置的频道范围跟设置的国家代码有关。

auto 自动探测空闲频道一次。

auto 1-6000

按照配置的分钟数为周期进行定时自动探测空闲频道。由于在自动探测时会影响正常通信，因此不应把周期设置太小。

【缺省情况】缺省自动探测空闲频道一次。 ?

packet

报文重试次数设置命令。 packet {long | short} retry 1-15 no packet {long | short} retry

语法

描述

short retry count 设置长度小于RTS 门限的报文重试次数。 long retry count

设置长度大于RTS 门限的报文重试次数。

【缺省情况】缺省重试次数均为10次。 ?

power

可设置最大无线发射功率的各个百分比。 power {100 | 50 | 25 | 12 | min} no power

语法

描述

100 设置无线发送功率为最大功率的100%。 50 设置无线发送功率为最大功率的50%。 25 设置无线发送功率为最大功率的25%。 12 设置无线发送功率为最大功率的12%。 min

设置无线发送功率为最小功率。

【缺省情况】缺省是最大功率的100%。 ?

preamble

帧前导长短设置命令。

preamble {short | long}

no preamble

语法描述

short设置帧前导为短前导。

long设置帧前导为长前导。

【缺省情况】缺省是短前导。

注：当配臵为短前导时，设备将同时兼容长前导的站点，而当配臵为长前导时，设备不能兼容只支持短前导的站点。

?radioMode

无线模式设置命令。

radioMode {11b | 11g | mixed}

no radioMode

语法描述

11b设置无线模式为802.11b。

11g设置无线模式为802.11g。

mixed设置无线模式为802.11b/g混合。

【缺省情况】缺省无线模式为802.11b/g混合。

注：

1. 设臵无线模式将影响速率的配臵，当设臵为80

2.11b时，速率只能设臵1.0, 2.0, 5.5, 11.0；当设臵为802.11g时，速率只能设臵6.0，9.0，12.0，18.0，24.0，36.0，48.0，54.0；当设臵为mixed 时，可以设臵所有的速率。

?radioSpeed

无线速率可选择多个，同时还需要指明每个速率是否是基础速率（基础速率就是所有关联站点都必

须支持的速率）。

radioSpeed {basic-x.x |x.x}

no radioSpeed

语法描述

basic-x.x …设置无线基础速率。

x.x …设置无线扩展速率。

【缺省情况】802.11b/g的所有速率：basic-1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0。

注：

1. 无线基础速率是指无线接入点与站点之间关联时都必须支持的速率，必须至少设臵一个基础速率。

2. 速率可以设臵多个，比如：radioSpeed basic-1.0 basic-2.0 48.0 54.0

3. 在实际运行时程序会根据信号强弱在速率设臵范围内进行选择。

4. 此命令的no命令会根据当前的无线模式来选择合适的速率配臵。

?rts

RTS门限和重试次数设置命令。

rts {retry | threshold} count

no rts {retry | threshold}

语法描述

threshold 256-2346设置使用RTS/CTS机制的报文大小门限，当单播报文大于此门限时，会使用RTS/CTS进行交互。

retry1-15设置RTS的重试次数。【缺省情况】缺省RTS门限2346字节，RTS重试次数10次。

?shutdown

无线接口关闭命令。

shutdown

no shutdown

【缺省情况】无线接口使能。

?slot

冲突窗口slot长短命令。

slot {short | long}

no slot

语法描述

short设置冲突窗口为短slot，即9us。

long设置冲突窗口为长slot，即20us。

【缺省情况】缺省为短slot。

?worldwide

可设置无线接口所工作的国家代码，每个国家对于无线信号的限制可能不同。worldwide countrycode code

no worldwide countrycode

语法描述

code 2个大写字母表示的ISO国家代码，比如中国是CN，美国是US。

【缺省情况】中国。

注：

1. 国家代码的设臵将影响可用的无线频道和最大发射功率。

2. 可配臵的国家代码：

国家代码国家名称（英文）国家名称（中文）

AR ARGENTINA 阿根廷

AT AUSTRIA 奥地利

AU AUSTRALIA 澳大利亚

BE BELGIUM 比利时

BG BULGARIA 保加利亚

BR BRAZIL 巴西

CA CANADA 加拿大

CH SWITZERLAND 瑞士

CL CHILE 智利

CN CHINA (Default) 中国

CO COLOMBIA 哥伦比亚 CY CYPRUS 塞浦路斯 CZ CZECH REPUBLIC 捷克

DE GERMANY 德国

DK DENMARK 丹麦

EE ESTONIA 爱沙尼亚 ES SPAIN 西班牙

FI FINLAND 芬兰

FR FRANCE 法国

GB UNITED KINGDOM 英国

GR GREECE 希腊

HK HONGKONG 中国香港 HR CROATIA 克罗地亚 HU HUNGARY匈牙利

ID INDONESIA 印度尼西亚 IE IRELAND 爱尔兰

IL ISRAEL 以色列

IN INDIA 印度

IS ICELAND 冰岛

IT ITALY 意大利

JP JAPAN 日本

KR KOREA 韩国

LI LIECHTENSTEIN 列支敦士登 LT LITHUANIA 立陶宛

LU LUXEMBOURG 卢森堡

LV LATVIA 拉脱维亚

MA MOROCCO 摩洛哥

MT MALTA 马耳他

MX MEXICO 墨西哥

MY MALAYSIA 马来西亚

NL NETHERLANDS 荷兰

NO NORWAY 挪威

NZ NEW ZEALAND 新西兰

PE PERU 秘鲁

PH PHILIPPINES 菲律宾

PL POLAND 波兰

PT PORTUGAL葡萄牙

RO ROMANIA 罗马利亚

RU RUSSIAN FEDERATION 俄罗斯

SA SAUDI ARABIA 沙特阿拉伯 SE SWEDEN 瑞典

SG SINGAPORE 新加坡

SI SLOVENIA 斯洛文尼亚 SK SLOVAKIA 斯洛伐克

TH THAILAND 泰国

TR TURKEY 土耳其

TW TAIWAN,PROVINCE OF CHINA 中国台湾

US UNITED STATES 美国

UY URUGUAY 乌拉圭

ZA SOUTH AFRICA 南非

olbc

纯802.11b网络覆盖检测命令。

olbc {enable | disable}

no olbc

语法描述

enable 打开纯802.11b网络覆盖检测开关，打开此功能后，设备将检测是否有其他纯802.11b的AP与之覆盖，如果有就会通告所有站点进行保护（使用CTS-self），以避免更多的冲突。

disable关闭纯802.11b网络覆盖检测开关

【缺省情况】缺省为disable。

注：

1. 此命令不会影响设备对于跟本设备关联的纯80

2.11b站点的检测，一旦本设备关联了纯802.11b的站点，都会通告所有站点进行保护，这是缺省配臵，不可修改。

10.2.3应用实例

10.2.3.1应用实例一

PC

ROUTER

图10-1 WLAN应用网络拓扑图

图解：

一台有WLAN模块的路由器和一台具有无线网卡的PC机互联。

ROUTER的配置:

命令描述router(config)#interface dot11radio0 进入无线接口模式

router(config-if-dot11radio0)#beacon period 100 配置信标周期为100ms

router(config-if-dot11radio0)#channel auto 配置自动选择频道

router(config-if-dot11radio0)#radioSpeed basic-1.0 basic-2.0 54.0 配置基础速率和扩展速率router(config-if-dot11radio0)#worldwide countrycode CN 配置国家代码为CN（中国）router(config-if-dot11radio0)#exit 退出无线接口模式

10.2.4监控和调试

10.2.4.1监控命令

10.2.4.2监控命令实例

router#show dot11radio 0

显示结果：

dot11radio 0:

LinkStatus : Up

Mac Address : 0001.7a12.3456

Current SSIDs : 2 MAX SSIDs : 4

************************************************************************* SSID(network name) LinkStatus VLAN Stations Privilege

maipu Up 1 1 No

CPE Up 2 0 No

*************************************************************************

Country Code : CN RadioMode : 11b/g mixed

Allowed Channels : 1 2 3 4 5 6 7 8 9 10 11 12 13

Auto Channel : Yes Auto ReChannel : Disable

Current Channel : 4 [AUTO] Power : 100%

Recv Antenna : diversity Transmit Antenna : diversity

Allowed Rates : [1] 2 5.5 6 9 11 12 18 24 36 48 54

Broadcast rate : 1 Need Protection : No

Beacon Period : 300 Short Time Slot : Yes

Dtim Period : 6 Short Preamble : No

RTS Threshold : 2346 Packet Short Retry: 10

RTS Retry : 10 Packet Long Retry : 10

OLBC Check : No

Fragment Input : 1026 Fragment Output : 139

Bytes Input : 90704 Bytes Output : 24162

Frame Input : 3104 Frame Output : 139

Multicast Input : 2923 Multicast Output : 136

Duplicates Rcvd : 0 Exceeded Retries : 0

Decrypt Failed : 5 Data Retries : 0

MIC Failed : 0 RTS Retries : 0

FCS Failed : 138

Associate Request : 1 Associate Response: 1 Associate Success : 1 Diassociate : 0

描述与分析：

上述信息主要分为三部分：

1. 当前无线接口的状态，包括无线接口Link状态、无线接口下面的所有虚拟AP的信息等。

2. 当前无线接口的运行参数。

3. 当前无线接口的统计信息。

10.3虚拟AP参数配置

本节主要内容：

●虚拟AP参数简介

●虚拟AP参数基本指令描述

●虚拟AP参数应用实例

●虚拟AP参数监控和调试

10.3.1简介

虚拟AP是指可以在同一个无线接口上虚拟出来的多个逻辑无线接入点（AP），这些虚拟AP的参数可配置不同，其中最主要的就是可以绑定不同的安全策略。

10.3.2基本指令描述

注：命令描述前带“*”符号的表示该命令有配臵实例详细说明。

?ssid

创建新的虚拟AP或者进入已存在的虚拟AP，以ssid为标识。

ssid name

no ssid name

语法描述

ssid name若name所标识的虚拟AP不存在，那么首先创建新的虚拟

AP，然后进入虚拟AP配置模式，即ssid配置模式。

no ssid name删除name所标识的虚拟AP。

【缺省情况】无。

注：

1、最多可以配臵4个虚拟AP。

?clientlimit

限制本虚拟AP的最大站点数。

clientlimit 1-56

no clientlimit

语法描述

1-56本虚拟AP的最大允许接入站点数。

【缺省情况】最大允许接入站点数为14个。

注：

1、虽然每个虚拟AP的最大站点数都可以配臵到最多56个，但整个无线接口的所有虚拟AP的

实际可关联站点数总和不能超过56个，因此当配臵的所有虚拟AP的最大站点数总和超过56个时命令行会打印提示信息。

2、加密策略会影响实际的无线接口最大可关联站点数，若加密策略为TKIP，那么1个站点将

占用2份资源，因此无线接口最大可关联站点数会少于56个，若所有关联站点都使用TKIP，那么无线接口最大可关联站点数将会变成28个。

?encapsulation

设置链路层LLC/SNAP的OUI封装格式。

encapsulation {802.1h | rfc1042}

no encapsulation

语法描述

rfc1042 按照RFC1042封装LLC/SNAP（aa-aa-03-00-00-00）。

802.1h 按照802.1H封装LLC/SNAP（aa-aa-03-00-00-f8）。

【缺省情况】按照rfc1042封装。

注：

1、此命令对于IPX、AppleTalk协议的报文无效，IPX和AppleTalk的报文将固定按照802.1h

来封装报文。

2、此命令不影响各种封装的报文的解封装处理，设备将按照IEEE 802.1H-1997标准中的5.1

章规定进行处理。

?fragment

设置分片门限，超过此门限的报文将进行分片。

fragment 256-2346

no fragment

语法描述

256-2346设置报文分片门限字节数。

【缺省情况】分片门限2346字节。

?idle-timeout

设置站点空闲超时时间。

idle-timeout 0-60

no idle-timeout

语法描述

0-600表示永远不超时，其余表示1-60分钟超时

【缺省情况】超时时间为5分钟。

?maclist

绑定mac访问列表。

maclist 2001-3000

no maclist

语法描述

2001-3000绑定已创建好的mac访问列表，此列表用于802.11的基础

认证。

【缺省情况】无绑定mac访问列表。

?regroup

设置重新计算组播key的周期。

regroup time 1-30

no regroup time

语法描述

1-30设置重新计算组播key的周期，单位：分钟。

【缺省情况】不重新计算组播key。

注：

1、此设臵只在安全策略为WPA1或WPA2时才生效。

?security

绑定已配置好的安全模板。

security name

no security

语法描述

name绑定已配置好的安全模板，在绑定时会对安全模板的内容

进行检查，如果有冲突的项目将报错。

【缺省情况】无绑定安全模板。

?shutdown

关闭虚拟AP。

shutdown

no shutdown

【缺省情况】使能虚拟AP。

?ssidIe

设置是否广播虚拟AP的SSID。

ssidIe {enable | disable}

no ssidIe

语法描述

enable 广播本虚拟AP的SSID。

disable 不广播本虚拟AP的SSID。

【缺省情况】广播本虚拟AP的SSID。

?vlan

设置虚拟AP的vlan号。

vlan 1-4094

no vlan

语法描述

1-4094设置虚拟AP的vlan号，此vlan号将与无线子接口的vlan

号对应，从而可以将虚拟AP的无线报文交给IP协议栈。【缺省情况】无vlan属性。

注：

1、修改此配臵会导致所有站点断开一次。

?station isolate

设置虚拟AP的特权属性。

station isolate {enable | disable}

no station isolate

语法描述

enable 设置虚拟AP隔离其关联的所有站点，所有站点之间不能

通信，它们只能和无线子接口通信。

disable 设置虚拟AP不隔离站点，所有虚拟AP内的站点之间可

以通信，也可以和无线子接口通信。

【缺省情况】不隔离站点。

?interface dot11radio0.x

创建无线子接口或者进入无线子接口配置模式。

interface dot11radio0.x

【缺省情况】无子接口。

注：

1、无线子接口是虚拟AP连接外部网络的通道，可以在无线子接口上配臵IP地址、NAT、ACL、

路由协议、桥组等应用。

2、在无线主接口上只能配臵无线参数、SSID相关参数等，而不能配臵IP地址，也不能运行IP

协议栈，它只作为一个配臵接口。

?encapsulation dot1q

设置无线子接口的vlan号。

encapsulation dot1q 1-4094

语法描述

1-4094设置无线子接口的vlan号，此vlan号将与虚拟AP的vlan号

对应，从而可以将虚拟AP的无线报文交给IP协议栈。

【缺省情况】无vlan属性。

10.3.3应用实例

10.3.3.1应用实例一

图见10-1

router的配置:

命令描述

router(config)#interface dot11radio0 进入无线接口模式

router(config-if-dot11radio0)#ssid test 进入虚拟AP配置模式

router(config-if-dot11radio0-ssid-test)#clientlimit 10 配置虚拟AP的最大客户端限制

router(config-if-dot11radio0-ssid-test)#fragment 2000 配置虚拟AP的分片门限

router(config-if-dot11radio0-ssid-test)#idle-timeout 60 配置虚拟AP的客户端空闲超时时间router(config-if-dot11radio0-ssid-test)#security wpa 绑定虚拟AP的安全模板

router(config-if-dot11radio0-ssid-test)#vlan 1 配置虚拟AP的vlan属性

router(config-if-dot11radio0-ssid-test)#exit 退出虚拟AP配置模式

10.3.4监控和调试

10.3.4.1监控命令

例如：

10.3.4.2监控命令实例

router# show dot11radio 0 ssid maipu

显示结果：

SSID [maipu]:

LinkStatus : Up

Mac Address : 0201.7a12.3456

Current Stations : 1 MAX Stations : 14

***************************************************************************** MAC Address IP Address Authenticated Associated WPA1/2-PSK EAP-802.1X 00b0.8c51.0327 192.168.119.40 Yes Yes - -

*****************************************************************************

Vlan : 1 Security Profile :

Hidden SSID : No RegroupTime : 0

Encapsulation : RFC1042 MacList :

Fragment Threshold : 2346 Privilege : No

Station Isolate : No Idle Timeout : 5 minutes

Fragment Input : 437 Fragment Output : 100

Bytes Input : 60351 Bytes Output : 18539

Frame Input : 437 Frame Output : 100

Multicast Input : 255 Multicast Output : 96

Duplicates Rcvd : 0 Exceeded Retries : 0

Decrypt Failed : 0 Data Retries : 0

MIC Failed : 0 RTS Retries : 0

Associate Request : 1 Associate Response: 1 Associate Success : 1 Diassociate : 0

描述与分析：

上述信息主要分为三部分：

1. 当前虚拟AP的状态，包括虚拟AP的Link状态、虚拟AP所关联的所有站点的信息等。

2. 当前虚拟AP的运行参数。

3. 当前虚拟AP的统计信息。

router#show dot11radio 0 ssid maipu station 00b0.8c51.0327

显示结果：

Station [00b0.8c51.0327]:

MAC Address : 00b0.8c51.0327 IP Address : 192.168.119.40 SSID : maipu Vlan : 1