目录
一、web页面登录
1、AP默认的管理地址是
192.168.110.1,默认的登录用户名和密码都是admin。
2、电脑和AP接入同一个局域网,电脑 192.168.110.0/24网段的地址,并且确保电脑能够ping通AP的默认地址192.168.110.1.
3、打开电脑的浏览器,在浏览器里面输入192.168.110.1
注意:
1、如果电脑能够Ping通AP的默认管理地址192.168.110.1,但是在浏览器里面打不开web页面,有可能是AP的web页面没有开启,需要到AP的命令行下开启,命令是:
Ruijie#config
Ruijie(config)#enable service
web-server ------------------开启web服务
Ruijie(config)#end
Ruijie#wr-----------------------保存
2、开启web服务之后,再次用浏览器登录。
一、组网需求
某些场景下,需要进展某个用户或者某个网段访问其他地址,可以通过ACL来阻断。
二、组网拓扑
无
三、配置步骤
1、在安全----ACL列表,点击“添加ACL”
2、根据实际情况选择标准ACL或者扩展ACL,并填写ACL列表序号。
3、点击“添加ACE规则”
4、访问控制动作根据需求选择“允许”或者“禁止”,并且填写规则列表
5、在安全---防攻击/ARP表--防火墙,点击“添加防火墙”。
6、选择ACL号,应用于对应的wlansec下面,选择过滤方向,点击完成配置。
四、配置验证
1、如果是禁止某个地址访问某个地址,用ACL之后,这两个地址相互ping不通。
一、组网需求
用户想要实现用户名密码认证又没有radius和portal服务器的时候,可以配置内置web认证,实现用户名密码认证上网。
二、组网拓扑
无
三、配置步骤
1、在网络----上网实名认证---内置web认证,选择“使用默认包”,用户认证方式选择“仅使用本地认证信息”,内置服务器端口默认“8081”,选择开启内置web认证的ssid。
2、点击“本地用户”创建用户名密码。
3、点击“添加用户”,创建用户名密码,点击完成配置。
四、配置验证
1、用户连上无线之后,打开web认证界面,会弹出认证界面,此时在web页面查看是离线状态的。
2、用户输入用户名密码认证成功之后,显示在线。
一、配置案例
1、无线电子书包常规优化
(1)组网需求
在电子书包场景下,有时候分发文件,或者广播视频会卡顿,画面不同步等情况,可以通过以下动作进行优化。
(2)组网拓扑
无
(3)配置步骤
1、在高级---电子书包配置,均衡优化从"OFF"置为"ON",并点击“高级配置:,选择”常规优化“。
注:配置常规优化后生成以下命令:
全局模式:
eth-schd 25
ebag enable
两个射频卡下:
ampdu-retries
2
(4)配置验证
1、配置常规优化后,电子书包效果能够有所改善。
2、无线电子书包组播场景优化
(1)组网需求
在电子书包场景下,有时候分发文件,或者广播视频会卡顿,画面不同步等情况,可以通过以下动作进行优化。
(2)组网拓扑
无
(3)配置步骤
1、在高级---电子书包配置,均衡优化从"OFF"置为"ON",并点击“高级配置:,选择”组播场景优化“,并点击”组播高级优化选项“,选择对应的优化项。(建议,每勾选一个优化项,无线都断开重新连接测试效果,如果效果更差,则去掉该项的优化,继续下一个优化)
注:
1、点击组播场景优化之后默认生成:
eth-schd 25
ebag enable
eweb-ebag
multicast
2、选择各个优化项之后生成的命令:
(1)无线射频优化:
在两个射频卡下面生成: wmm
edca-radio best-effort aifsn 1 cwmin 3 cwmax 5 txop 194
(2)无线用户优化:
无
(3)组播质量调节:
优化级别1级:mcast-rate 11
优化级别2级:mcast-rate 6
优化级别3级:mcast-rate 1
(4)无线传输优化:
优化级别高:在两个射频卡下面生成:ampdu-retries
1
优化级别低:在两个射频卡下面生成:ampdu-retries
2
(5)无线速率优化
在射频卡1上面生成:
rate-set 11b
disable 1 2 5
rate-set 11g
disable 1 2 5 6 9
(6)终端兼容性优化:
在两个射频卡下面生成:
no stbc
no ldpc
(7)调度优化:
全局模式下生成:no
fair-schedule
(8)隐藏节点优化:
在两个射频卡下面开启: ampdu-rts
(4)配置验证
1、配置常规优化后,电子书包效果能够有所改善。
3、无线电子书包单播场景优化
(1)组网需求
在电子书包场景下,有时候分发文件,或者广播视频会卡顿,画面不同步等情况,可以通过以下动作进行优化。
(2)组网拓扑
无
(3)配置步骤
1、在高级---电子书包配置,均衡优化从"OFF"置为"ON",并点击“高级配置:,选择”组播场景优化“,并点击”组播高级优化选项“,选择对应的优化项。(建议,每勾选一个优化项,无线都断开重新连接测试效果,如果效果更差,则去掉该项的优化,继续下一个优化)
注:
1、点击单播场景优化之后默认生成:
eth-schd 25
ebag enable
eweb-ebag unicast
2、选择各个优化项之后生成的命令:
(1)无线射频优化:
在两个射频卡下面生成: wmm
edca-radio best-effort aifsn 1 cwmin 3 cwmax 5 txop 194
(2)无线用户优化:
无
(3)组播质量调节:
优化级别1级:mcast-rate 11
优化级别2级:mcast-rate 6
优化级别3级:mcast-rate 1
(4)无线传输优化:
优化级别高:在两个射频卡下面生成:ampdu-retries
1
优化级别低:在两个射频卡下面生成:ampdu-retries
2
(5)无线速率优化
在射频卡1上面生成:
rate-set 11b
disable 1 2 5
rate-set 11g
disable 1 2 5 6 9
(6)终端兼容性优化:
在两个射频卡下面生成:
no stbc
no ldpc
(7)调度优化:
全局模式下生成:no
fair-schedule
(8)隐藏节点优化:
在两个射频卡下面开启: ampdu-rts
(4)配置验证
1、配置常规优化后,电子书包效果能够有所改善。
一、配置案例
1、多个ssid对应同一个vlan
(1)组网需求
某些场景下,需要配置多个ssid,但是对应同一个dhcp地址池。
(2)组网拓扑
(3)配置步骤
1、常用---添加无线网络,点击“+”图标,新建ssid。
2、配置ssid和密码,点击“保存设置”。
(4)配置验证
1、在无线终端上面可以搜索到多个ssid,并且终端关联不同的ssid,获取的地址都是同一个地址段的。
2、多个ssid对应不同的vlan
(1)组网需求
某些场景下,需要配置多个ssid,每个ssid对应不同的vlan,获取不同网段的地址。
(2)组网拓扑
(3)配置步骤
1、创建vlan,在高级----vlan管理,点击添加vlan。
2、配置vlan号,ip地址,子网掩码,点击完成配置。
3、配置DHCP,在高级---DHCP配置,点击“添加DHCP”。
4、配置DHCP地址池名次,类型,地址分配范围,默认网关,租期,DNS,点击完成配置。
5、常用---添加无线网络,点击“+”图标,新建ssid。
6、配置ssid和密码,并且点击“高级配置”,2.4G和5G选择对应的vlan和dhcp地址池,点击保存设置。
(4)配置验证
1、在无线终端上面可以搜索到多个ssid,并且终端关联不同的ssid,获取不同网段的地址。
一、配置案例
1、AP模式
(1)组网需求
AP做接入点模式,无线用户的地址是由上联的路由器或者三层交换机分配。
(2)组网拓扑
(3)配置步骤
1、登录web界面,点击web页面右上角的“向导”。
2、点击“AP只做接入模式”,配置管理vlan和管理IP地址,配置完之后点击下一步。
3、配置ssid和密码,点击完成配置
注:默认是WPA/WPA2-PSK加密。
(4)配置验证:
1、终端能够连上无线并获取地址。
2、能够Ping通dns,并且能够上网。
2、路由模式
(1)组网需求
某些场景下,上联设备没有开启DHCP,并且要求无线用户不能做NAT转换的时候,AP做路由模式,无线用户的地址由AP分配,无线用户跟上联设备的互通走静态路由,不走NAT。
(2)组网拓扑
(3)配置步骤
1、登录web界面,点击web页面右上角的“向导”。
2、点击“无线路由模式”,联网类型根据实际情况选择,此处不勾选开启NAT功能。
3、配置ssid名称,密码,vlan,dhcp地址池,内网用户的网关,dns,点击完成配置。
4、上联三层设备要做无线用户网段的回指路由。
(4)配置验证
1、终端能够连上无线并获取地址
2、能够ping通DNS,并且能够上网
3、NAT模式
(1)组网需求
某些场景下,上联设备没有开启DHCP,客户只给了一个可用的静态IP地址,AP可以做NAT模式,作为下面的无线用户的出口地址,下面的无线用户网段通过NAT转换成这个静态IP地址来访问外网。
(2)组网拓扑
(3)配置步骤
1、登录web界面,点击web页面右上角的“向导”。
2、点击“无线路由模式”,联网类型根据实际情况选择,并”勾选开启NAT功能“。
3、配置ssid名称,密码,vlan,dhcp地址池,内网用户的网关,dns,点击完成配置。
(4)配置验证
1、能够连上无线,并获取IP地址。
2、能够Ping通DNS,并且能够访问外网。
一、组网需求
建筑物之间的距离较远,往往超过 100 米,一般需要铺设光缆进行连接。对于一些已经建成的楼宇来说,开挖道路或者架设架空线将导致施工难度大、消耗成本高比如在两栋楼的高层之间、两栋楼被河流隔开等等。在这种环境中采用无线网桥来实现网络互联既经济,实施起来也简单、方便。
二、组网拓扑
三、配置步骤
1、根桥配置
(1)创建桥接信号
1)创建桥接vlan为vlan 2,在高级----vlan管理,点击"添加vlan"。
2)配置vlan号,ip地址,子网掩码,点击完成配置。
3)常用---添加无线网络,点击“+”图标,新建ssid。
4)配置ssid,加密类型选择“不加密”,并且点击“高级配置”,5G选择对应的桥接vlan,点击保存设置。
(2)在网络---无线桥接,把5G网络桥接功能,从OFF置为ON.
(3)工作模式选择“中心基站”,并且选择桥接的ssid。
2、配置非跟桥
(1)在网络---无线桥接,把5G桥接功能从OFF置为ON ,并且选择“桥接工作站”,中心基站MAC配置根桥的桥接信号的BSSID mac地址(这个bssid mac在根桥上可以看)
四、配置验证
1、在根桥上show dot
wds-bridge-info 2/0 ,可以看到桥接成功的一些参数
Ruijie#show dot
wds-bridge-info 2/0
WDS-MODE:
ROOT-BRIDGE
BRIDGE-WLAN:
Status:
OK
WlanID
2, SSID Eweb_ceshi, BSSID 0a14.4b70.3586
WBI 2/0
NONROOT
0069.6c1d.24b1
LinkTime
0:08:50
SendRate
144.5M Mbps, RecvRate 144.5M Mbps, RSSI 58
一、组网需求
建筑物之间的距离较远,往往超过 100 米,一般需要铺设光缆进行连接。对于一些已经建成的楼宇来说,开挖道路或者架设架空线将导致施工难度大、消耗成本高比如在两栋楼的高层之间、两栋楼被河流隔开等等。在这种环境中采用无线网桥来实现网络互联既经济,实施起来也简单、方便。
二、组网拓扑
三、配置步骤
1、根桥配置
(1)创建桥接信号
1)创建桥接vlan为vlan 2,在高级----vlan管理,点击"添加vlan"。
2)配置vlan号,ip地址,子网掩码,点击完成配置。
3)常用---添加无线网络,点击“+”图标,新建ssid。
4)配置ssid,加密类型选择“不加密”,并且点击“高级配置”,5G选择对应的桥接vlan,点击保存设置。
(2)在网络---无线桥接,把5G网络桥接功能,从OFF置为ON.
(3)工作模式选择“中心基站”,并且选择桥接的ssid。
2、配置非跟桥
(1)在网络---无线桥接,把5G桥接功能从OFF置为ON ,并且选择“桥接工作站”,中心基站MAC配置根桥的桥接信号的BSSID mac地址(这个bssid mac在根桥上可以看)
四、配置验证
1、在根桥上show dot
wds-bridge-info 2/0 ,可以看到桥接成功的一些参数
Ruijie#show dot
wds-bridge-info 2/0
WDS-MODE:
ROOT-BRIDGE
BRIDGE-WLAN:
Status:
OK
WlanID
2, SSID Eweb_ceshi, BSSID 0a14.4b70.3586
WBI 2/0
NONROOT
0069.6c1d.24b1
LinkTime
0:08:50
SendRate
144.5M Mbps, RecvRate 144.5M Mbps, RSSI 58
一、配置案例
1、反制静态配置的AP
(1)组网需求
利用反制功能,使连接在非法AP上的的终端掉线或者ping延迟大上网体验差。
(2)组网拓扑
无
(3)配置步骤
1、在安全---反制非法AP,点击反制非法AP开关,置为ON状态。
2、反制模式勾选“手动添加需要反制的无线设备MAC”,然后点击“添加无线设备MAC”
3、把需要反制的非法AP的MAC添加进去。
(4)配置验证
1、如果终端有连上私接AP,开启了反制之后,终端连接在私接AP上面有可能会频繁掉线或者连上之后ping延迟大,上网体验差。
2、 反制热点网络(AdHoc)
(1)组网需求
利用反制功能,使连接在热点网络(AdHoc)的终端掉线或者ping延迟大上网体验差。
(2)组网拓扑
无
(3)配置步骤
1、在安全---反制非法AP,点击反制非法AP开关,置为ON状态。
2、反制模式勾选“属于非AP模拟出来的信号”,反制范围可以只对同一信道下的扫描/反制或者对所有信道扫描/反制。
(4)配置验证
1、如果终端有连上热点网路(AdHoc),开启了反制之后,终端连接在热点网络上面有可能会频繁掉线或者连上之后ping延迟大,上网体验差。
3、反制相同ssid的AP
(1)组网需求
当环境中有私接的无线AP(钓鱼AP),放出的ssid和办公网使用的ssid一样的时候,终端有可能连接到私接的无线AP上面,导致信息被窃取或者上不了网,可以通过反制相同ssid的AP来避免终端连接在私接无线AP上面或者使连接在私接无线AP的用户体验差。
(2)组网拓扑
无
(3)配置步骤
1、在安全---反制非法AP,点击反制非法AP开关,置为ON状态。
2、反制模式勾选“发现WIFI名称与本AP相同的就认为非法AP然后对其反制”,反制范围可以只对同一信道下的扫描/反制或者对所有信道扫描/反制
(4)配置验证
1、如果终端有连上私接AP,开启了反制之后,终端连接在私接AP上面有可能会频繁掉线或者连上之后ping延迟大,上网体验差。
一、配置案例
1、用户限速
(1)组网需求
某些场景下需要对无线用户限速,避免个别用户占用过多带宽影响其他用户上网体验。
(2)组网拓扑
无
(3)配置步骤
1、常用---添加无线网络,找到对应的ssid,点击“高级配置”,点击“设置本wifi最大速率”
2、设置上下行速率
(4)配置验证
1、限速之后,用户上传,下载不会超过限速的值。
2、用户接入数限制
(1)组网需求
某些 场景下需要调整接入的用户数。
(2)组网拓扑
无
(3)配置步骤
1、常用---无线信道设置,修改“无线最大用户数”
(4)配置验证
1、超过限制的用户数之后无法接入AP。
3、信道修改
(1)组网需求
当环境中同频干扰比较严重的时候需要调整AP的信道,优化环境。
(2)组网拓扑
无
(3)配置步骤
1、在常用---无线信道设置,里面调整信道。
(4)配置验证
1、用wirelessmon扫描可以看到信道已经调整。
4、功率修改
(1)组网需求
某些环境下需要调整功率。
(2)组网拓扑
无
(3)配置步骤
1、常用--无线信道设置,修改信号强度。
备注: 节能 : 功率值 30
标准 : 功率值 80
穿墙 :
功率值 100
默认值: 功率值100,也就是穿墙,用户移到信号强度
四个选项中任意一个,会对应的具体值提示。
(4)配置验证
1、调整过后,在同一个位置用wirelessmon扫描可以看到信号强度的变化。
一、组网需求
某些场景 下,需要修改ssid和密码。
二、组网拓扑
三、配置步骤
1、常用----添加无线网络,找到对应的ssid,修改完后保存设置。
四、配置验证
1、修改ssid后重新搜索无线可以搜索到修改后的ssid,并且需要使用新密码才能连上。
一、组网需求
某些场景下,需要隐藏ssid,不能被终端搜索到。
二、组网拓扑
三、配置步骤
1、常用---添加无线网络,找到对应的ssid,点击"高级配置",勾选“隐藏”,保存配置。
四、配置验证
1、无线终端搜索不到ssid。
2、用wirelessmon搜索可以搜索到BSSID的MAC地址,但是不会显示ssid名次。
一、配置案例
1、简单组播
(1)组网需求
某些场景下,有些应用是通过广播方式传输的,可以开启简单组播。
(2)组网拓扑
无
(3)配置步骤
1、在高级----单播/组播,选择“简单组播”
注:配置简单组播后生成以下几个命令:
data-plane
wireless-broadcast enable
data-plane
queue-weight 16 4 2 4 1
(4)配置验证
1、开启简单组播之后,某些通过广播方式传输的应用可以正常使用
2、标准组播
(1)组网需求
某些电子书包的应用,是使用组播协议的(例如极域电子书包),需要开启标准组播。
(2)组网拓扑
无
(3)配置步骤
1、在高级---单播/组播,选择“标准组播”,以下空格都建议按照标注上的来填写。
注:配置标准组播之后生成以下几条命令:
ip igmp snooping
querier
ip igmp snooping
querier address 192.168.10.1
ip igmp snooping
vlan 1 querier
no ip igmp
snooping vlan 1
no ip igmp
snooping vlan 20
no ip igmp
snooping vlan 30
ip igmp snooping
host-aging-time 65535
ip igmp snooping
ignore-query-timer
ip igmp snooping
ip multicast wlan
(4)配置验证
1、测试电子书包软件是否能够正常使用
一、配置案例
1、基于全局的黑名单
(1)组网需求
某些场景下,不允许某个MAC地址上网,可以把该MAC地址添加全局黑名单。
(2)组网拓扑
无
(3)配置步骤
1、在安全----黑白名单,选择“禁止以下MAC地址接入WIFI上网(黑名单)”,然后把要添加黑名单的MAC地址添加进去,保存设置。
(4)配置验证
1、MAC地址在黑名单列表里面的新用户连接不上无线;
2、原来在线的用户,MAC地址被添加到黑名单之后不会被踢下线,但是上不了网。
2、基于全局的白名单
(1)组网需求
某些场景下,只允许某些MAC地址连接无线上网,其他都不能连接无线或者不让上网,可以把该MAC地址添加全局白名单。
(2)组网拓扑
无
(3)配置步骤
1、在安全----黑白名单,选择“仅允许以下MAC地址接入WIFI上网(白名单)”,然后把要添加白名单的MAC地址添加进去,保存设置。
(4)配置验证
1、MAC地址不在在白名单列表里面的新用户连接不上无线;
2、原来在线的用户,启用白名单之后MAC地址没在白名单列表里面的不会被踢下线,但是上不了网。
3、基于ssid的黑名单
(1)组网需求
某些场景下,不允许某个MAC地址连接特定的ssid上网,可以把该MAC地址添加基于ssid的黑名单。
(2)组网拓扑
无
(3)配置步骤
1、在安全---黑白名单,点击“基于WIFI控制无线用户上网”。
2、选择对应的ssid,然后选择“禁止以下MAC地址接入WIFI上网(黑名单)”,把要添加黑名单的MAC地址添加进去,保存设置。
(4)配置验证
1、在该ssid黑名单列表里面的用户关联不上该ssid,但是可以关联其他ssid(注:其他的ssid没有配置黑名单或者配置了黑名单但是没有把这个MAC地址添加到它的黑名单列表里面)。
2、原来在线的用户,当该ssid启用了黑名单并且把该用户添加了黑名单之后,该用户不会被踢下线,但是上不了网。
4、基于ssid的白名单
(1)组网需求
某些场景下,某个ssid只允许某些MAC地址连接上网,其他都不能连接这个ssid或者不让上网,可以把该MAC地址添加基于ssid的白名单。
(2)组网拓扑
无
(3)配置步骤
1、在安全---黑白名单,点击“基于WIFI控制无线用户上网”。
2、选择对应的ssid,然后选择“仅允许以下MAC地址接入WIFI上网(白名单)”,把要添加白名单的MAC地址添加进去,保存设置。
(4)配置验证
1、不在该ssid白名单列表里面的用户关联不上该ssid,但是可以关联其他ssid(注:其他的ssid没有配置白名单或者配置了白名单也有把这个MAC地址添加到它的白名单列表里面)。
2、原来在线的用户,该ssid启用了白名单之后,如果该用户没在白名单列表里面,不会被踢下线,但是上不了网。
5、 动态黑名单
(1)组网需求
某些环境下,无线用户可能存在攻击,设备识别攻击后,可以将该用户添加带黑名单里面一段时间。
(2)组网拓扑
无
(3)配置步骤
1、在安全---动态黑名单,勾选攻击检测方式和勾选开启动态黑名单功能,设置被添加黑名单的时间。
(4)配置验证
1、设备检测到攻击之后,会把攻击的用户添加到黑名单,使之不能上网,直到设置的时间到期,才可以继续上网。