资源描述
第1章. 基本无线功能测试1
1.1. 客户端多种认证方式 1
1.2. AP多种部署方式2
1.3. 客户化 WEB 门户认证3
1.4. 单一 SSID,动态VLAN接入能力 4
1.5. 黑名单功能5
1.6. AP用户隔离功能6
1.7. 无线IDS功能6
1.8. 无线WLC 与有线IDS/IPS联动 7
1.9. 管理帧保护(MFP ) 7
1.10. 无线访客功能( G UEST A CCESS )8.
第2章. AP能力测试10
2.1. AP流量测试10
2.2. AP频点测试11
2.3. 胖瘦AP的自动转换12
第3章.远程运行管理测试 12
3.1. 远程AP混合工作方式(可以实现中心转发和本地转发) 12
第4章.基本RF管理14
4.1. 动态调整无线网络的功率和频点14
4.2. 非法AP的检测/分类/抑制/定位 14
4.3. 基于接入用户数目的负载均衡 16
第5章.无线网管功能 17
5.1. RF热区图17
5.2. 无线网管功能测试18
5.3. 无线网管配置能力18
5.4. 无线网络的配置管理模式19
5.5. 无线网管的规划工具19
1.2. AP多种部署方式
测试目的
设定不同的网络环境,确认无线局域网AC和AP能够支持2层部署,3层网络部署,AP静态设置地址。
设备需求
一台无线交换机
一台AP
一台笔记本,安装windows XP SP2
网络拓扑
Rldll S 1
测试步骤
i. AP和AC之间为2层网络环境,AP通过AC上的外部DHCP 分配地址,查 看AP加电后是古止常工作,记录结果
ii. AP和AC之间为3层网络环境,AP通过外部DHCP获得地址,可止常启动,并和AC通信,查看AP加电后是否正常工作,记录结果
iii. AP和AC之间为3层网络环境,AP通过静态设置地址,可止常启动,并和AC通信,查看AP加电后是古止常工作,记录结果
结果
记录
AP和AC之「侦以通过2层网络的工作环境或者3层网络的工作环境自动连接,AP连接入
AC以后可以正常工作
1.3.客户化web门户认证
测试目
的
设备需
求
确认AC可以根据客户要求,更改web认证门户的界面,不问SSID,对应不问的web门户界
面,并且出以根据客户端接入不同AP,推送不同的Web门户界面
一台无线交换机
一台AP
一台笔记本,安装windows XP SP2
Radius Server
网络拓扑
a
Rldll S w
测试
步骤
i 分布在AC和AP设置不问的两个SSID
ii. 两个SSID对应不同的web认证界面
iii. 接入不同的AP,推出不同的web认证界面
iv. 这个界面可以根据客户要求,进行随意修改
结果
记录
客户端可以根据不同的SSID和不同的AP MAC地址得到不同的Web认证界面,并 且Web界面可以根据客户要求修改
1.4.单一 SSID ,动态VLAN接入能力
测试用例
检验无线网络系统能够在同一 SSID下,具有动态VLAN接入能力,即根据用户名来为用户分配VLAN
设备需求
一台尢线交换机
一台AP
多台笔记本电脑
网络拓扑
测试步骤
i. 在Radius 上设置不问的两个八号,并为不问的帐号设置不问的VLAN 权限
ii. 采用802.1x认证
iii. 分别米用不同的用户名接入网络
iv. 检测不同用户名上线以后拿到的地址和接入的VLAN
v. 记录结果
结果记录
在同一 SSID下,客户端可以根据用户名接入不同VLAN
L5.黑名单功能
测试确认无线局域网有黑名单功能
目的
设备1台无线交换机
需求2台AP
一多台笔记本,安装 windows XP SP2
网络
拓扑
测试 i. 如上图进行网络设置:通过一个三层交换将无线交换机、 AP、
步骤 药.通过WEB页面进行认证,设置最大失败次数 5次
iii. 客户端用错误的连接用户名或密码,连接无线网络
认证服务器
iv. 当重试到第6次,应该发现该用户无法跟此无线网络作关联
v. 检查黑名单组中,是否有该用户MAC地址
vi. 确认该用户被自动放入黑名单组中
vii. 将连接的那个AP断电
viii. 查看是否另外一个AP也无法连接
结果
记录AC中可以设置黑名单规则,并且可以修改连续几次认证失败列入黑名单
项目:基于SSID的不同AP下的用户隔离功能测试 测试类型:必须
测试过程:
1) 关掉AP隔离功能,检测2台STA是否可以正常上网以及保持相互之间的通信;
2) 打开AP隔离功能,检测2台STA是否可以正常上网以及保持相互之间的通信;
3) 所有这些隔离都能基于SSID来完成
测试要求:
1) 情况1中2台STA可以正常上网以及保持相互之间的通信;
2) 情况2中2台STA可以连接上AP但无法保持相互之间的通信。
测试结果:
关掉AP隔离功能,2台STA可以正常通讯,打开AP隔离功能,2台STA不能正常通讯
并且该功能可以基于SSID来设置
1.7. 无线IDS功能
项目:无线IDS测试类型:必须测试配置:
交换机
测试过程:
1) STA、AP、AC按照以上配置连接并设置参数
2) 使用无线终端进行无线攻击
3) 无线网络具有无线IDS功能,可以自动断掉具有攻击的用户,并且报警
4) AC可以具有IDS签名的升级能力,定期进行无线攻击特征文件的更新
5) AC具有与有线IPS设备的接,检测7层攻击
测试要求:要求网络支持WIDS功能
测试结果:
AC内置了 Wireless IDS功能,当有网络攻击时,AC自动屏蔽攻击客户端,并且该功能
完全内置免费,无需任何 License支持
AC内置与有线IPS内置接,具有检测7层攻击能力
1.8. 无线WLC与有线IDS/IPS联动
测试目的:检测无线控制器与有线IDS/IPS系统之间的联动,以实现对L2-L7入侵攻击的防范,弥补 无线入侵检测(WIDS)防范L2入侵攻击的不足。
测试配置:
WCS/DHCP/ACS
PS
测试过程:
1 .在IDS上配置攻击检测选项,考虑测试效果,选择阻断发出Ping包的客户端
2 .在WLC上配置IDS的相关信息
3.无线客户端连入网络
4 .无线客户端Ping服务器
5 .验证客户端是否被阻断,WLC上是否有相关记录。
测试结果:
通过和外置IPS配合,发现当PC客户端采用7层攻击时,IPS可以及时通知AC (WLC)对该攻击客户进行阻断,并且在AC (WLC)和网管上留下记录
1.9. 管理帧保护(MFP)
测试目的:检测无线客户端与无线 AP 之间的管理帧保护功能(MFP:Management Frame Protection )
PC1 W/CB21
WCS/DHCP/ACS
WLC
V V —
无线攻击者
f)
测试过程:
1 . API AP2与WLC 4402 通过交换机连接。
2 . PC1配置CB21无线网卡,并安装支持CCXv5 (Cisco Compatible Extension Version 5的网卡驱动程序,PC2采用普通Inte迅驰芯片无线功能;
3 .在WCS 上设置SSID = testmfp此SSID下设置管理帧保护(MFP)子项为Optional(即可选)
4 .查看PC1和PC2能否获得IP地址,并能够ping到有线端,并在PC1和PC2上分别启动ping命令
4 .使用AirMagNet工具抓取PC1、PC2与AP之间的802.11帧,查看PC1与AP之间的802.11管 理帧(Beacon、 Probe、 Association Re-Association De-Association Authentication De-Authentication等)内含有 MIC (Message Integrity Check, — 种 Signature)内容。查看 PC2 与 AP 之间的 802.11 管理帧内没有 MIC ( Message Integrity Check 一种 Signature)内容。
5 .启动Network Auditor攻击工具,向PC1、PC2发起De-Association攻击,查看PC1的ping不受 影响,而PC2的Ping会中断。
6 .将步骤3中SSID=testmfp下的管理帧保护(MFP)子项设置为required(即必选)
7 .让重新PC1和PC2重新与AP关联,检测PC1能够获得IP地址,而PC2不能获得IP地址。测试结果:
发起攻击后,PC1仍可以接续ping通有线测,而PC2被攻击中断,掉线不能接入网络。
查看抓包结果,PC1的管理帧都进行了加密,而PC2的管理帧完全是明文传输
1.10. 无线访客功能(Guest Access
测试目的:检测无线系统的访客功能
WCS/DHCP/ACS
Switch
测试过程:
1. 在controlle止设置访客SSID = Guest,在WCS 上定制访客用户名密码和有效时间,
测试WCS是否把访客信息推送到controller
2. 使用一个客户接入网络,检验该用户接入用户密码和接入时效
测试结果:
可以通过WCS的特定用户进行Guest用户的开户,生成访问用户名/密码,访问时长,并立即生效
第2章・AP能力测试
2.1. AP流量测试
项目:AP流量测试
测试目的:测试AP的转发能力
测试工具:流量软件
测试类型:必须
测试配置:
测试过程:
1 ) STA、AP、AC按照以上配置连接并设置参数
2 )使用流量软件chariot测试AP传输速率
测试要求:要求b/g Radio转发流量不得小于20Mbps,同时a Radio转发流量也不得小于 20Mbps
测试结果:
采用Chariot专业工具测试,
际真实流量大于该
表明AP在b/g Radio上的转发流量为23.738Mbps,如下图(该环境存在一定干扰,实测试结果,在25Mbps左右)
表明AP在a Radio 上的转发流量为23.585Mbps,如下图(该环境存在一定干扰,实际
真实流量大于该测试结果,在25Mbps左右)
并且该测试对b/g Radio和a Radio同时开启,表明该AP为双频AP,可以同时工作在b/g和a的工作频点,单AP实际转发能力在50Mbps左右
2.2. AP频点测试
:AP
测试目的:测试AP同时具有双频转发能力测试工具:一般客户端
测试类型:必须测试配置:
STA
IP AP
交换机 一<_= AC
测试过程:
1)配置STA、AP、AC并设置参数
2)同时使用2台STA,一台使用802.11b/g无线网卡接入无线网络, 另外一台使用802.11a无线网卡接入无线网络
测试要求:要求2台笔记本均能ping通网络,b/g Radio转发流重不得小于20Mbps,问 时aRadio转发流量也不得小于20Mbps
测试结果:
通过2.1的测试表明,该AP为双频AP,可以a/b/g同时工作,且每个Radio的转发能
力都在25Mbps左右
2.3. 胖瘦AP的自动转换
测试目的:检测能否把AP通过软件自动转换成瘦模式或者胖模式测试配置:
PC1A 5 WCS/DHCP/ACS
测试过程:
检测能否通过软件自动转换AP工作在胖AP模式下或者瘦AP模式下测试结果:
可以通过软件自动转换AP的工作模式为胖AP或者为瘦AP,并且转化过程完全免费
第3章.远程运行管理测试
3.1. 远程AP混合工作方式(可以实现中心、转发和本地转发)
测试目的:检测AP是否支持在跨越广域网时的本地工作模式。在广域网通畅,远端无线控制器可达
时,混合AP工作在 中心认证、本地交换"模式,即通过远端控制器进行认证(Central Authentication ),
数据交换则在本地(Local Switching当广域网故障,远端控制器不可达时,混合AP可独立工作在
本地认证、本地交换"方式,即AP可转为本地认证(Local Authentication数据交换在本地(LocalSwitching )
WCS/DHCP/ACS
WLC
L3 Switch
Headquarter"
AAA
OdCP server
Local VLAN
Hytxid-REAP Access Points
server
LqcoI swdch
192J6a,2.C¥24
PCH-REAP
(AP1242)
测试过程:
因条件限制,采用三层交换机的不同子网模拟广域网。
1. 配置3层交换机,使WLC、WCS连接到某一网段,而远程AP连接到另外远程网段,此网段模拟远程网络,该网段上还有一台 PC机。
2. 在网管上,检查控制器的AP列表中是否能够看到AP
3. 在网管上,配置此AP为远程工作模式
4. PC与AP关联,并确保PC获得远程网段的IP地址,启动,查看能否ping通中心网段设备
5. 关闭WLC无线控制器电源
6. 检查AP是否正常工作,并且PC机仍然与AP1242保持关联查看ping没有中断 测试结果:
通过设置AP为H-REAP模式,AP可以工作在本地转发状态,即使远程连接中断,AP仍可以正常工
作,并且改功能不受License限制,完全免费
第4章.基本RF管理
4. 1.
动态调整无线网络的功率和频点
测试
目的
设备
需求
确认AC可以根据周围环境,动态调节 AP的频点和增益
网络
拓扑
一台无线交换机
三台AP
台三层交换机
台或多台笔记本,安装windows XP SP2
测试
步骤
1如上图进行网络设置:通过一个三层交换将无线交换机、 AP连接起来
2. 三个AP的频点和功率,确认其会自动分布在 1、6、11等三个频点
结果
记录
AP可以根据实际的无线环境,自动分配频点,并且自动优化频点
4.2. 非法AP的检测/分类/抑制/定位
测试 检测无线网络对于非法AP以及干扰AP的检测和区分以及抑制功能
目的
设备 一台无线交换机
需求 3台AP
一台第三方的AP,用于产生干扰
一台三层交换机
台或多台笔记本,安装 windows XP SP2
网络
拓扑
Corporate user APAAM interfering AP
WEP
WLANIL2/L3
controllerswitch
Rogue AP
AP/AM WEP
WLAN L2/L3
controller switch
测试1.如上图配置网络:使用一台三层交换机将无线交换机和AP连接起来,所有AP都
步骤配置为接入模式,不能设置为Monitor模式或者Rogue AP检测模式
2. 开启第三方AP,设置加密WEP模式,让客户端连接至该AP,通过客户端ping
通网络
3. 无线网络可以检测到第三方AP,并将其认为是非法AP
4. 开启非法AP抑制功能,笔记本上进行的FTP业
务将会发生中断
结果在AP为接入模式下,开启非法AP抑制功能,客户端立刻从非法"AP上掉线,并且记录不能ping通网络
4.3. 基丁接入用户数目的负载均衡
的
设备需
求
测试
一台无线交换机
两台AP
一台二层交换机
三台笔记本
网络拓
扑
/ AP1 AP2
V /
WLAN
controller
L2JL3
switch
测试步
骤
结果记
录
―i如上图进行网络设置:通过一个三层交换将尢线交换机、AP、FTP服务器(或
者是其它类型的应用服务器)以及 Interne连接起来,把两个AP放置在适
当远的位置之上
ii. 多个笔记本平均接入不同的 AP
不问的客户端连接上不问的AP,可以实现基于用户的流量均衡
5.
1. RF热区图
测试目
的
设备需
求
一台无线交换机
4台AP
确认网管可以根据根据周围环境,显示实时的RF热区图
网络拓扑
二*护
WIAN wwM>
测试步
骤
i.
ii.
. • •
iii.
iv.
如图配置AC和AP
在网管中导入实际的物理地图
能看到实时的RF热区图
并且热区图根据实际情况而分布
结果记
录
可以通过网管WCS配置AC和AP,在网管里导入实际的物理地图(jpg格式或者AutoCAD格式),可以看见AP的RF热区图,并且热区图是根据实际情况进行分布 的
项目:无线资源查看能力
测试目的:检测网管系统的功能
测试类型:必须
测试工具:厂商提供AP配置管理软件
测试配置:
STA
无线网管系统
AP交换机
测试过程:
1)在网管系统上可以观察到无线 AP的无线信号强度分布热图
2)在网管系统上可以观测无线覆盖漏洞情况
3)在网管可以观察实时的接入用户数
4)在网管上可以观察安全侵入威胁
5)在网管上可以检测非法AP的侵入并且排除
6)在网管上可以定位无线客户端
7)在网管上可以管理普通的瘦AP、室内Mesh AP 及胖AP
测试要求:
厂商提供的网管软件可以进行无线网络情况的观察
测试结果
在网管上可以看到AP的无线信号分布,可以观察到无线覆盖漏洞,可以实时查看接入用户数,有
安全侵入告警,非法AP告警并且可对非法AP进行抑制,可以定位无线客户
端,并且同一网管可以管理 Cisco瘦AP , Mesh及胖AP
5.3. 无线网管配置能力
项目:无线配置能力
测试目的:检测网管系统对无线设备的批量配置能力
测试类型:必须
测试工具:厂商提供AP配置管理软件
测试配置:
STA
测试过程:
1 )通过网管系统对无线设备进行批量配置模板
测试结果:
通过无线网关可以对无线控制器及无线AP进行批量配置,具有批量配置模板
5.4. 无线网络的配置管理模式
测试目的:检测无线网关系统的配置管理模式 测试配置:测试要求:
要求无线网管系统完全基于 B-S模式,管理网管的客户端无需安装任何软件,只需要通过IE浏览器
进行管理测试结果:
可以通过IE浏览器查看、管理、控制、无线网管系统
5.5. 无线网管的规划工具
测试目的:无线网管的无线网络规划功能
测试类型:必须
测试工具:厂商提供AP配置管理软件
测试配置:
STA
无线网管系统
AP交换机
测试过程:
1)在网管系统上导入无线覆盖区域的平面图
2)通过编辑工具编辑平面图以符合真实的无线覆盖区域环境
3)根据不同的接入需求对无线系统进行规划
4)无线网管系统根据无线接入需求计算出所需AP数量并生成最终报告
测试要求:
厂商提供的网管软件可以对无线环境进行规划
测试结果:
可以通过无线网管内置的规划工具( Planning Tools)对无线环境进行预先规划并生成报告
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
