Cisco-WLAN无线测试方案

《Cisco-WLAN无线测试方案》由会员分享，可在线阅读，更多相关《Cisco-WLAN无线测试方案（20页珍藏版）》请在装配图网上搜索。

1、目 录第1章.基本无线功能测试11.1.客户端多种认证方式11.2.AP多种部署方式21.3.客户化web门户认证31.4.单一SSID，动态VLAN接入能力41.5.黑名单功能51.6.AP用户隔离功能61.7.无线IDS功能61.8.无线WLC与有线IDS/IPS联动71.9.管理帧保护（MFP）71.10.无线访客功能（Guest Access）8第2章.AP能力测试102.1.AP流量测试102.2.AP频点测试112.3.胖瘦AP的自动转换12第3章.远程运行管理测试123.1.远程AP混合工作方式（可以实现中心转发和本地转发）12第4章.基本RF管理144.1.动态调整无线网络的功

2、率和频点144.2.非法AP的检测/分类/抑制/定位144.3.基于接入用户数目的负载均衡16第5章.无线网管功能175.1.RF热区图175.2.无线网管功能测试185.3.无线网管配置能力185.4.无线网络的配置管理模式195.5.无线网管的规划工具19第1章. 基本无线功能测试1.1. 客户端多种认证方式测试目的设定不同的用户认证方法，确认无线局域网设备能同时支持WEP,WEB,WPA2的认证。设备需求 一台无线交换机 一台AP 一台笔记本，安装windows XP SP2网络拓扑测试步骤i. 如上图进行网络设置：AP、控制器以及Internet连接起来；用户通过内置的DHCP服务器获

3、取IP地址；ii. 无线网络配置三个SSID：一个WEP认证，一个网页认证，一个WPA2认证方式，三个SSID映射到同一个VLAN，分配同一段IP地址iii. 确认用户可以拿到正确的IP地址，并能访问Internet结果记录客户端可以通过不同的SSID采用不同的认证方式接入网络，并且可以拿到同一网段地址访问Internet1.2. AP多种部署方式测试目的设定不同的网络环境，确认无线局域网AC和AP能够支持2层部署，3层网络部署，AP静态设置地址。设备需求 一台无线交换机 一台AP 一台笔记本，安装windows XP SP2网络拓扑测试步骤i. AP和AC之间为2层网络环境，AP通过AC上的

4、外部DHCP分配地址，查看AP加电后是否正常工作，记录结果ii. AP和AC之间为3层网络环境，AP通过外部DHCP获得地址，可正常启动，并和AC通信，查看AP加电后是否正常工作，记录结果iii. AP和AC之间为3层网络环境，AP通过静态设置地址，可正常启动，并和AC通信，查看AP加电后是否正常工作，记录结果结果记录AP和AC之间可以通过2层网络的工作环境或者3层网络的工作环境自动连接，AP连接入AC以后可以正常工作1.3. 客户化web门户认证测试目的确认AC可以根据客户要求，更改web认证门户的界面，不同SSID，对应不同的web门户界面，并且可以根据客户端接入不同AP，推送不同的Web

5、门户界面设备需求 一台无线交换机 一台AP 一台笔记本，安装windows XP SP2 Radius Server网络拓扑测试步骤i. 分布在AC和AP设置不同的两个SSIDii. 两个SSID对应不同的web认证界面iii. 接入不同的AP，推出不同的web认证界面iv. 这个界面可以根据客户要求，进行随意修改结果记录客户端可以根据不同的SSID和不同的AP MAC地址得到不同的Web认证界面，并且Web界面可以根据客户要求修改1.4. 单一SSID，动态VLAN接入能力测试用例检验无线网络系统能够在同一SSID下，具有动态VLAN接入能力，即根据用户名来为用户分配VLAN设备需求 一台无

6、线交换机 一台AP 多台笔记本电脑网络拓扑测试步骤i. 在Radius上设置不同的两个帐号，并为不同的帐号设置不同的VLAN权限ii. 采用802.1x认证iii. 分别采用不同的用户名接入网络iv. 检测不同用户名上线以后拿到的地址和接入的VLANv. 记录结果结果记录在同一SSID下，客户端可以根据用户名接入不同VLAN 1.5. 黑名单功能测试目的确认无线局域网有黑名单功能设备需求 1台无线交换机 2台AP 一多台笔记本，安装windows XP SP2网络拓扑测试步骤i. 如上图进行网络设置：通过一个三层交换将无线交换机、AP、认证服务器ii. 通过WEB页面进行认证，设置最大失败次数

7、5次iii. 客户端用错误的连接用户名或密码，连接无线网络iv. 当重试到第6次，应该发现该用户无法跟此无线网络作关联v. 检查黑名单组中，是否有该用户MAC地址vi. 确认该用户被自动放入黑名单组中vii. 将连接的那个AP断电viii. 查看是否另外一个AP也无法连接结果记录AC中可以设置黑名单规则，并且可以修改连续几次认证失败列入黑名单1.6. AP用户隔离功能项目：基于SSID的不同AP下的用户隔离功能测试测试类型：必须STA2APSTA1测试配置：测试过程：1)关掉AP隔离功能，检测2台STA是否可以正常上网以及保持相互之间的通信；2)打开AP隔离功能，检测2台STA是否可以正常上网

8、以及保持相互之间的通信；3)所有这些隔离都能基于SSID来完成测试要求：1)情况1中2台STA可以正常上网以及保持相互之间的通信；2)情况2中2台STA可以连接上AP但无法保持相互之间的通信。测试结果：关掉AP隔离功能，2台STA可以正常通讯，打开AP隔离功能，2台STA不能正常通讯并且该功能可以基于SSID来设置1.7. 无线IDS功能项目：无线IDS测试类型：必须测试配置：STAAP交换机AC测试过程：1) STA、AP、AC按照以上配置连接并设置参数2) 使用无线终端进行无线攻击3) 无线网络具有无线IDS功能，可以自动断掉具有攻击的用户，并且报警4) AC可以具有IDS签名的升级能力，

9、定期进行无线攻击特征文件的更新5) AC具有与有线IPS设备的接口，检测7层攻击测试要求：要求网络支持WIDS功能测试结果：AC内置了Wireless IDS功能，当有网络攻击时，AC自动屏蔽攻击客户端，并且该功能完全内置免费，无需任何License支持AC内置与有线IPS内置接口，具有检测7层攻击能力1.8. 无线WLC与有线IDS/IPS联动测试目的：检测无线控制器与有线IDS/IPS系统之间的联动，以实现对L2-L7入侵攻击的防范，弥补无线入侵检测（WIDS）防范L2入侵攻击的不足。测试配置：测试过程：1在IDS上配置攻击检测选项，考虑测试效果，选择阻断发出Ping包的客户端2在WLC上

10、配置IDS的相关信息3无线客户端连入网络4无线客户端Ping服务器5验证客户端是否被阻断，WLC上是否有相关记录。 测试结果：通过和外置IPS配合，发现当PC客户端采用7层攻击时，IPS可以及时通知AC（WLC）对该攻击客户进行阻断，并且在AC（WLC）和网管上留下记录1.9. 管理帧保护（MFP）测试目的：检测无线客户端与无线AP之间的管理帧保护功能（MFP:Management Frame Protection）测试配置：测试过程：1AP1、AP2与WLC 4402通过交换机连接。2PC1配置CB21无线网卡，并安装支持CCXv5（Cisco Compatible Extension Ve

11、rsion 5）的网卡驱动程序，PC2采用普通Intel迅驰芯片无线功能；3在WCS上设置SSIDtestmfp，此SSID下设置管理帧保护（MFP）子项为Optional(即可选)4查看PC1和PC2能否获得IP地址，并能够ping到有线端，并在PC1和PC2上分别启动ping t命令4使用AirMagNet工具抓取PC1、PC2与AP之间的802.11帧，查看PC1与AP之间的802.11管理帧（Beacon、Probe、Association、Re-Association、De-Association、Authentication、De-Authentication等）内含有MIC（Me

12、ssage Integrity Check，一种Signature）内容。查看PC2与AP之间的802.11管理帧内没有MIC（Message Integrity Check，一种Signature）内容。5启动Network Auditor攻击工具，向PC1、PC2发起De-Association攻击，查看PC1的ping不受影响，而PC2的Ping会中断。6将步骤3中SSID=testmfp下的管理帧保护（MFP）子项设置为required（即必选）7让重新PC1和PC2重新与AP关联，检测PC1能够获得IP地址，而PC2不能获得IP地址。测试结果：发起攻击后，PC1仍可以接续ping通有

13、线测，而PC2被攻击中断，掉线不能接入网络。查看抓包结果，PC1的管理帧都进行了加密，而PC2的管理帧完全是明文传输1.10. 无线访客功能（Guest Access）测试目的：检测无线系统的访客功能测试配置：测试过程：1.在controller上设置访客SSIDGuest，在WCS上定制访客用户名密码和有效时间，测试WCS是否把访客信息推送到controller2.使用一个客户接入网络，检验该用户接入用户密码和接入时效测试结果：可以通过WCS的特定用户进行Guest用户的开户，生成访问用户名/密码，访问时长，并立即生效第2章. AP能力测试2.1. AP流量测试项目： AP流量测试测试目的：

14、测试AP的转发能力测试工具：流量软件测试类型：必须测试配置：STAAP交换机AC测试过程：1) STA、AP、AC按照以上配置连接并设置参数2) 使用流量软件chariot测试AP传输速率测试要求：要求b/g Radio转发流量不得小于20Mbps，同时a Radio转发流量也不得小于20Mbps测试结果：采用Chariot专业工具测试，表明AP在b/g Radio上的转发流量为23.738Mbps，如下图（该环境存在一定干扰，实际真实流量大于该测试结果，在25Mbps左右）表明AP在a Radio上的转发流量为23.585Mbps，如下图（该环境存在一定干扰，实际真实流量大于该测试结果，在2

15、5Mbps左右）并且该测试对b/g Radio和a Radio同时开启，表明该AP为双频AP，可以同时工作在b/g和a的工作频点，单AP实际转发能力在50Mbps左右2.2. AP频点测试项目： AP频点测试测试目的：测试AP同时具有双频转发能力测试工具：一般客户端测试类型：必须测试配置：STAAP交换机AC测试过程：1) 配置STA、AP、AC并设置参数2) 同时使用2台STA，一台使用802.11b/g无线网卡接入无线网络，另外一台使用802.11a无线网卡接入无线网络测试要求：要求2台笔记本均能ping通网络，b/g Radio转发流量不得小于20Mbps，同时a Radio转发流量也不

16、得小于20Mbps测试结果：通过2.1的测试表明，该AP为双频AP，可以a/b/g同时工作，且每个Radio的转发能力都在25Mbps左右2.3. 胖瘦AP的自动转换测试目的：检测能否把AP通过软件自动转换成瘦模式或者胖模式测试配置：测试过程：检测能否通过软件自动转换AP工作在胖AP模式下或者瘦AP模式下测试结果：可以通过软件自动转换AP的工作模式为胖AP或者为瘦AP，并且转化过程完全免费第3章. 远程运行管理测试3.1. 远程AP混合工作方式（可以实现中心转发和本地转发）测试目的：检测AP是否支持在跨越广域网时的本地工作模式。在广域网通畅，远端无线控制器可达时，混合AP工作在“中心认证、本地

17、交换”模式，即通过远端控制器进行认证（Central Authentication），数据交换则在本地（Local Switching）；当广域网故障，远端控制器不可达时，混合AP可独立工作在“本地认证、本地交换”方式，即AP可转为本地认证（Local Authentication），数据交换在本地（Local Switching）。测试配置：测试过程：因条件限制，采用三层交换机的不同子网模拟广域网。1. 配置3层交换机，使WLC、WCS连接到某一网段，而远程AP连接到另外远程网段，此网段模拟远程网络，该网段上还有一台PC机。2. 在网管上，检查控制器的AP列表中是否能够看到AP3. 在网管上

18、，配置此AP为远程工作模式4. PC与AP关联，并确保PC获得远程网段的IP地址，启动，查看能否ping通中心网段设备5. 关闭WLC无线控制器电源6. 检查AP是否正常工作，并且PC机仍然与AP1242保持关联查看ping没有中断测试结果：通过设置AP为H-REAP模式，AP可以工作在本地转发状态，即使远程连接中断，AP仍可以正常工作，并且改功能不受License限制，完全免费第4章. 基本RF管理4.1. 动态调整无线网络的功率和频点测试目的确认AC可以根据周围环境，动态调节AP的频点和增益设备需求 一台无线交换机 三台AP 一台三层交换机 一台或多台笔记本，安装windows XP SP

19、2网络拓扑测试步骤1如上图进行网络设置：通过一个三层交换将无线交换机、AP连接起来2.三个AP的频点和功率，确认其会自动分布在1、6、11等三个频点结果记录AP可以根据实际的无线环境，自动分配频点，并且自动优化频点4.2. 非法AP的检测/分类/抑制/定位测试目的检测无线网络对于非法AP以及干扰AP的检测和区分以及抑制功能设备需求 一台无线交换机 3台AP 一台第三方的AP，用于产生干扰 一台三层交换机 一台或多台笔记本，安装windows XP SP2网络拓扑测试步骤1.如上图配置网络：使用一台三层交换机将无线交换机和AP连接起来，所有AP都配置为接入模式，不能设置为Monitor模式或者R

20、ogue AP检测模式2.开启第三方AP，设置加密WEP模式，让客户端连接至该AP，通过客户端ping通网络3.无线网络可以检测到第三方AP，并将其认为是非法AP4.开启非法AP抑制功能，笔记本上进行的FTP业务将会发生中断结果记录在AP为接入模式下，开启非法AP抑制功能，客户端立刻从非法AP上掉线，并且不能ping通网络4.3. 基于接入用户数目的负载均衡测试目的检验无线网络系统能够基于接入用户数作负载均衡设备需求 一台无线交换机 两台AP 一台三层交换机 三台笔记本网络拓扑测试步骤i. 如上图进行网络设置：通过一个三层交换将无线交换机、AP、FTP服务器（或者是其它类型的应用服务器）以及I

21、nternet连接起来，把两个AP放置在适当远的位置之上ii. 多个笔记本平均接入不同的AP结果记录不同的客户端连接上不同的AP，可以实现基于用户的流量均衡第5章. 无线网管功能5.1. RF热区图测试目的确认网管可以根据根据周围环境，显示实时的RF热区图设备需求 一台无线交换机 4台AP网络拓扑测试步骤i. 如图配置AC和APii. 在网管中导入实际的物理地图iii. 能看到实时的RF热区图iv. 并且热区图根据实际情况而分布结果记录可以通过网管WCS配置AC和AP，在网管里导入实际的物理地图（jpg格式或者AutoCAD格式），可以看见AP的RF热区图，并且热区图是根据实际情况进行分布的5

22、.2. 无线网管功能测试项目：无线资源查看能力测试目的：检测网管系统的功能测试类型：必须测试工具：厂商提供AP 配置管理软件测试配置：APSTA交换机无线网管系统测试过程：1) 在网管系统上可以观察到无线AP的无线信号强度分布热图2) 在网管系统上可以观测无线覆盖漏洞情况3) 在网管可以观察实时的接入用户数4) 在网管上可以观察安全侵入威胁5) 在网管上可以检测非法AP的侵入并且排除6) 在网管上可以定位无线客户端7) 在网管上可以管理普通的瘦AP、室内Mesh AP及胖AP测试要求：厂商提供的网管软件可以进行无线网络情况的观察测试结果在网管上可以看到AP的无线信号分布，可以观察到无线覆盖漏洞

23、，可以实时查看接入用户数，有安全侵入告警，非法AP告警并且可对非法AP进行抑制，可以定位无线客户端，并且同一网管可以管理Cisco瘦AP，Mesh及胖AP 5.3. 无线网管配置能力项目：无线配置能力测试目的：检测网管系统对无线设备的批量配置能力测试类型：必须测试工具：厂商提供AP 配置管理软件测试配置：APSTA交换机AP配置软件 服务器测试过程：1) 通过网管系统对无线设备进行批量配置模板测试结果：通过无线网关可以对无线控制器及无线AP进行批量配置，具有批量配置模板 5.4. 无线网络的配置管理模式测试目的：检测无线网关系统的配置管理模式测试配置：测试要求：要求无线网管系统完全基于B-S模

24、式，管理网管的客户端无需安装任何软件，只需要通过IE浏览器进行管理测试结果：可以通过IE浏览器查看、管理、控制、无线网管系统5.5. 无线网管的规划工具测试目的：无线网管的无线网络规划功能测试类型：必须测试工具：厂商提供AP 配置管理软件测试配置：APSTA交换机无线网管系统测试过程：1) 在网管系统上导入无线覆盖区域的平面图2) 通过编辑工具编辑平面图以符合真实的无线覆盖区域环境3) 根据不同的接入需求对无线系统进行规划4) 无线网管系统根据无线接入需求计算出所需AP数量并生成最终报告测试要求：厂商提供的网管软件可以对无线环境进行规划测试结果：可以通过无线网管内置的规划工具（Planning Tools）对无线环境进行预先规划并生成报告