本文档主要介绍如何在华赛防火墙上配置无线接入功能,以允许无线工作站(Station)采用加密方式接入无线局域网(WLAN)。整个配置过程包括基本配置、WLAN-BSS接口配置、服务类配置、服务类与WLAN-BSS接口绑定以及在Station上的配置。
1. **基本配置**
- 需要创建VLAN2,并配置Vlanif2接口。通过命令`system-view`进入全局视图,然后使用`vlan 2`创建VLAN2,`quit`返回上一级视图。启用DHCP服务并配置Vlanif2接口IP地址为192.168.1.1,子网掩码为255.255.255.0,选择接口作为DHCP服务器,最后退出接口配置。
```shell
[USG] system-view
[USG] vlan 2
[USG-vlan-2] quit
[USG] dhcp enable
[USG] interface Vlanif 2
[USG-Vlanif2] ip address 192.168.1.1 255.255.255.0
[USG-Vlanif2] dhcp select interface
[USG-Vlanif2] quit
```
2. **配置防火墙策略**
- 接下来,将Vlanif2接口添加到Trust区域,以定义安全策略。然后,配置域间包过滤规则,默认允许所有通信。
```shell
[USG] firewall zone trust
[USG-zone-trust] add interface Vlanif 2
[USG-zone-trust] quit
[USG] firewall packet-filter default permit all
```
3. **配置WLAN-BSS接口**
- 创建WLAN-BSS接口,并将其加入到VLAN2中。
```shell
[USG] interface wlan-bss 2
[USG-Wlan-Bss2] port access vlan 2
[USG-Wlan-Bss2] quit
```
4. **配置服务类**
- 创建一个名为2的服务类,配置SSID为"WLAN100",认证模式为"WPA2-PSK",加密套件为"CCMP",并设置预共享密钥为"abcdefgh"。
```shell
[USG] wlan service-class 2 crypto
[USG-wlan-sc-2] ssid WLAN100
[USG-wlan-sc-2] authentication-method wpa2-psk
[USG-wlan-sc-2] encryption-suite ccmp
[USG-wlan-sc-2] pre-shared-key pass-phrase abcdefgh
[USG-wlan-sc-2] service-class enable
[USG-wlan-sc-2] quit
```
5. **服务类与WLAN-BSS接口绑定**
- 将服务类2绑定到WLAN-BSS接口2。
```shell
[USG] interface wlan-rf 4/0/0
[USG-Wlan-rf4/0/0] bind service-class 2 interface wlan-bss 2
[USG-Wlan-rf4/0/0] quit
```
6. **配置Station**
- 在Station上,需要手动配置与USG设备相同的SSID、加密方式、认证模式和预共享密钥。这通常通过控制面板的网络设置完成,包括选择"无线网络连接"属性,启用Windows配置,添加无线网络,输入SSID、认证方式、加密方式和密钥。
7. **结果验证**
- 成功配置后,Station应能通过DHCP自动获取IP地址,并连接到指定的AP。在Station上执行`ping 192.168.1.1`,如果能成功ping通,则表明配置成功。
这个配置流程确保了无线工作站的安全接入,使用了WPA2-PSK认证和CCMP加密,提供了较高的安全性和数据保护。同时,通过DHCP自动分配IP地址,简化了网络管理。