你好赵伟

这个屌丝很懒，什么也没留下！

热门标签

无线11.x胖AP加密方式桥接配置_11ax支持aes加密么

作者：你好赵伟 | 2024-03-28 20:49:50

踩

11ax支持aes加密么

一、组网需求

要求桥接两端的两台AP处于同一个网段，并且AP必须是同款型号的AP，推荐使用官网最新版本，只有AP630系列支持。

二、组网拓扑

Root AP Non-root AP Root AP

192.168.1.254 255.255.255.0 192.168.1.253 255.255.255.0 192.168.1.252 255.255.255.0

AP-1 ）））） AP-2（gi 0/1）------（gi 0/1）AP-3

三、配置要点

1）配置根桥的桥接网段和射频口；

2）配置非根桥的桥接网段和射频口；

3）配置覆盖的WLAN信号（此处略去，请参见胖AP配置章节）。

4）配置根桥加密方式

5）配置非根桥密钥

四、配置步骤

根桥配置（Root-AP）：

1、配置开启wds-mode命令（设备重启完成后执行步骤2）

AP-1(config)#wds-mode enable ----->切换为桥接模式，切换后设备会自动重启（需先切ap-mode fat，再配置桥接模式）

2、创建桥接VLAN

AP-1(config)#vlan 10

AP-1(config-vlan)#exit

3、配置桥接WLAN-ID并隐藏

AP-1(config)#dot11 wlan 1

AP-1(dot11-wlan-config)#ssid ruijie-test

AP-1(dot11-wlan-config)#no broadcast-ssid

AP-1(dot11-wlan-config)#exit

4、射频卡配置

AP-1(config)#interface dot11radio 2/0

AP-1(config-if-Dot11radio 2/0)#encapsulation dot1Q 10 ----->封装vlan

AP-1(config-if-Dot11radio 2/0)#channel 149 ----->将信道调整为149，如果信道配置165则无法将频宽配置为40HMz，根桥和非根桥需保持一致，选择干扰最小的信道

AP-1(config-if-Dot11radio 2/0)#chan-width 40 ----->频宽配置为40HMz，根桥和非根桥保持一致，默认为20，可以按需设置为20、40和80

AP-1(config-if-Dot11radio 2/0)#station-role root-bridge bridge-wlan 1 ----->射频卡模式切换为根桥，绑定步骤3创建的wlanid

AP-1(config-if-Dot11radio 2/0)#wlan-id 1 ----->映射SSID

AP-1(config-if-Dot11radio 2/0)#exit

5、确认根桥发出的BSSID

AP-1#show dot11 mbssid

6、配置加密方式

AP-1(config)# wlansec 1 -----> 1是桥接绑定的 wlanid，加密方式和普通AP的加密配置一模一样

AP-1 (config-wlansec)#security rsn enable

AP-1 (config-wlansec)#security rsn ciphers aes enable

AP-1 (config-wlansec)#security rsn akm psk enable

AP-1 (config-wlansec)#security rsn akm psk set-key ascii 12345678

7、AP三层接口配置设备管理地址

AP-1(config)#interface bvI 10

AP-1(config-if-BVI 10)#ip address 192.168.1.254 255.255.255.0

AP-1(config-if-BVI 10)#end

8、show dot1 wds-bridge-info 2/0检查桥接配置

AP-1#show dot1 wds-bridge-info 2/0

WDS-MODE: ROOT-BRIDGE

BRIDGE-WLAN:

Status: OK ----->OK表示配置正确，warning表示配置异常

WlanID 1, SSID ruijie-test， BSSID 061a.a97f.1114

9、有线物理接口封装vlan

AP-1(config)#interface gigabitEthernet 0/1

AP-1(config-if-GigabitEthernet 0/1)#encapsulation dot1Q 10 ----->根据实际情况封装相关vlan

AP-1(config-if-GigabitEthernet 0/1)#exit

10、保存配置

AP-1(config)#end

AP-1#write

非根桥配置（Non-Root）：

1、配置开启wds-mode命令（设备重启完成后执行步骤2）

AP-2(config)#wds-mode enable ----->切换为桥接模式，切换后设备会自动重启（需先切ap-mode fat，再配置桥接模式）

2、创建桥接VLAN

AP-2(config)#vlan 10

AP-2(config-vlan)#exit

3、射频卡配置

AP-2(config)#interface dot11radio 2/0

AP-2(config-if-Dot11radio 2/0)#encapsulation dot1Q 10 ----->封装vlan

AP-2(config-if-Dot11radio 2/0)#channel 149 ----->将信道调整为149，如果信道配置165则无法将频宽配置为40HMz，根桥和非根桥需保持一致，选择干扰最小的信道

AP-3(config-if-Dot11radio 2/0)#chan-width 40 ----->频宽配置为40HMz，根桥和非根桥保持一致，默认为20，可以按需设置为20、40和80

AP-2(config-if-Dot11radio 2/0)#station-role non-root-bridge ----->射频卡模式切换为非根桥

AP-2(config-if-Dot11radio 2/0)#parent mac-address 061a.a97f.1114 ----->绑定根桥BSSID（061a.a97f.1114 为 AP-1的第5个步骤的bssid）

或者

AP-2(config-if-Dot11radio 2/0)#parent ssid ruijie-test -----> 绑定根桥(ruijie-test为AP-1的第5个步骤的ssid)

AP-2(config-if-Dot11radio 2/0)# bridge security rsn ciphers aes akm psk key ascii 12345678-----> 配置非根桥密钥及加密方式，security、ciphers、akm、key必须和根桥上配置的一致。

AP-2(config-if-Dot11radio 2/0)#exit

4、AP三层接口配置

AP-2(config)#interface bvI 10

AP-2(config-if-BVI 10)#ip address 192.168.1.253 255.255.255.0

AP-2(config-if-BVI 10)#exit

5、有线物理接口封装vlan

AP-2(config)#interface gigabitEthernet 0/1

AP-2(config-if-GigabitEthernet 0/1)#encapsulation dot1Q 10

6、保存配置

AP-2(config-if-GigabitEthernet 0/1)#end

AP-2#write

五、功能验证

Root端查看桥接状态

AP-1#show dot11 wds-bridge-info 2/0

WDS-MODE: ROOT-BRIDGE

BRIDGE-WLAN:

Status: OK

WlanID 1,SSID ruijie-test, BSSID 061a.a97f.1114 ----->AP-1的BSSID

WBI 2/0

NONROOT 0014.4b6f.b836 ----->AP-2的MAC地址

LinkTime 0:00:47

SendRate 130.5M Mbps,RecvRate 133.5M Mbps, RSSI 60

Non-Root端查看桥接状态：

Ruijie#sh dot wds-bridge-info 2/0

WDS-MODE: NONROOT-BRIDGE

MAC: 0014.4b6f.b836 ----->AP-2的MAC地址

CONFIG-MAC:

CONFIG-SSID:wds-test-root

WBI 2/0

ROOT 061a.a97f.1114 ----->AP-1的BSSID

LinkTime 0:00:47

SendRate 58.5M Mbps, RecvRate 195.0M Mbps, RSSI 54

PING 测试

AP-1#ping 192.168.1.253 -----> 非跟桥AP-2的BVI口

Sending 5, 100-byte ICMP Echoes to 192.168.1.10, timeout is 2 seconds:

< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/11/28 ms.

AP-2#ping 192.168.1.254 -----> 跟桥AP-1的BVI口

Sending 5, 100-byte ICMP Echoes to 192.168.1.254, timeout is 2 seconds:

< press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/7/31 ms.

六、注意事项

1、目前只有AP630使用B8及以后版本，才支持Wds桥接的加密，并且当前只支持RSN和WPA的Aes加密方式，不支持Tkip加密，建议使用最新软件版本；

2、胖AP的桥接，可以支持SSID桥接和BSSID桥接两种；

3、非根桥security、ciphers、akm、key必须和根桥上配置的一致，特别需要注意key中不能有空格，不然从show run是看不出来的。

4、因为wpa安全方式性能比较低，因此不建议用wpa方式加密，建议使用rsn方式。

5、在超过1000米的远距离桥接部署中，根桥与非根桥都需要增加一条命令

interface Dot11radio 2/0

peer-distance 4000 èpeer-distance后的数值配置的为实际桥接距离的1-2倍，比如现在环境中桥接距离为2000米，配置peer-distance 4000!

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/你好赵伟/article/detail/331298