无线测试报告模板

..PAGE-word.zl.ProofofConceptTestforCiscoUnifiedWirelessNetworkingVersion1Time:Feb2-8,2009Attendees:CiscoSystems(China)NetworkingTechnogloyCo.,Ltd..-word.zl.目录TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc219285974"1测试工程简介与总结PAGEREF_Toc219285974\h-3-HYPERLINK\l"_Toc219285975"1.1测试目的PAGEREF_Toc219285975\h-3-HYPERLINK\l"_Toc219285976"1.2测试范围PAGEREF_Toc219285976\h-3-HYPERLINK\l"_Toc219285977"1.3总结PAGEREF_Toc219285977\h-3-HYPERLINK\l"_Toc219285978"2测试环境与配置PAGEREF_Toc219285978\h-4-HYPERLINK\l"_Toc219285979"2.1测试拓扑图PAGEREF_Toc219285979\h-4-HYPERLINK\l"_Toc219285980"2.2所需设备PAGEREF_Toc219285980\h-4-HYPERLINK\l"_Toc219285981"2.3厂家所用测试软件PAGEREF_Toc219285981\h-5-HYPERLINK\l"_Toc219285982"3测试条目PAGEREF_Toc219285982\h-6-HYPERLINK\l"_Toc219285983"3.1条目1根底性能测试PAGEREF_Toc219285983\h-6-HYPERLINK\l"_Toc219285984"3.2条目2三层漫游测试PAGEREF_Toc219285984\h-9-HYPERLINK\l"_Toc219285985"3.3条目3加密与认证PAGEREF_Toc219285985\h-10-HYPERLINK\l"_Toc219285986"3.4条目4平安功能PAGEREF_Toc219285986\h-12-HYPERLINK\l"_Toc219285987"3.5条目5管理维护PAGEREF_Toc219285987\h-14-HYPERLINK\l"_Toc219285988"3.6条目扩展性测试PAGEREF_Toc219285988\h-15-测试工程简介与总结测试目的和要求针对ABC公司新办公大楼部署无线局域网的实际需求对各大无线厂商的企业级无线局域网产品进展测试比照。测试产品包括WLAN设备中涉及的AP，.控制器，.网管及网络局部的软件和硬件。通过测试，.使我公司对各大厂商的无线产品在性能，.平安，.以及和我公司现有网络集成性等局部有更加直观的了解。考虑到无线网络在ABC公司的实际部署环境，.为以后的实际部署打下良好根底，.固本次测试必须在以下条件下完成：ABC公司对无线网络的平安高度重视，.故无线客户端必须以802.1x/PEAP方式实现认证，.并结合后台已有的微软AD和ACS系统完成一次性认证登陆。必须在同一SSID下区分不同的用户并将其分配到不同的VLAN上。无线客户端和无线接入点之间的空口数据必须以WPA2/AES方式加密。同时WLAN系统必须支持非法AP的、定位和压制，.支持无线网络的IDS/IPS功能。ABC公司的实际部署要求对高密度的客户端进展接入，.故测试AP必须支持同时工作在2.4G和5.8G两个频段！测试范围本次测试将涵盖以下：无线控制器功能〔即WLC：WirelessLANController〕、轻量级“瘦〞无线接入点功能〔即LAP：Light-WeightAccessPoint〕、无线与有线集成与互操作、可独立生存的远程AP〔H-REAP〕、无线网络的集中化和简易化管理等。在具体测试内容局部将进展详细描述。总结表 ItemCheckListResult根底性能测试1检测是否有wifi认证2AP最大转发流量〔在WPA2AES加密状态下〕3AP是否同时支持802.11a/b/g4Controller是否支持冗余电源 三层漫游测试1不同AP间数据跨三层漫游 加密认证1与AD认证结合〔PEAP支持，.802.1x，.WPA-2〕做SSO无线访客功能〔GuestAccess〕 平安功能1非法AP检测、定位与压制〔在频谱扫描和数据转发双模工作〕2无线IPS功能3无线评估和平安审计报表 网管系统维护 1网管系统性能测试 扩展性1远程AP混合工作方式H-REAP测试环境与配置测试拓扑图局域网InternetPC1无线控制器AP1AP2AP3WCS/DHCPServer802.11b/g802.11aSwitchPC2MicrosoftADCiscoACS所需设备厂家WLAN接入设备名称数量型号备注Cisco无线控制器〔控制器〕1台WLC4402无线接入点〔AP〕4台LAP1131无线网管系统〔WCS〕1套WCSCiscoACS效劳器一台1台软件+硬件MicrosoftAD1套/台MicrosoftADSecureServiceClient〔SSC〕5套AIR-SC5.0-XP2K-L1名称最少数量用途便携电脑5台能够使用无线网卡，.作为无线客户端效劳器1台用于测试时做WCS效劳器和DHCP效劳器厂家所用测试软件软件名称数量用途Chariot1套用于网络的吞吐量性能测试测试条目条目1根底性能测试3.1.1检测产品是否有通过WiFi组织企业级的认证。由于使用Wifi标准802.11a/b/g传输，.产品本身是否通过Wifi认证直接关系到无线产品是否对协议有可靠稳定的支持。结论：所测试厂商无线产品通过/未通过WIFI组织认证。3.1.2AP工作时最大转发流量测试目的：测试AP与控制器在WPA-2平安框架下，.采用AES加密的转发流量〔加密后的性能最接近真实情况，.WPA-2和AES是目前最平安的，.ABC公司未来部署也要求产品必须支持WPA2/AES加密的特性，.因此要求该测试必须测试采用WPA-2+AES的方式进展〕测试配置：无线控制器AP1Radius/DHCPSever802.11b/g802.11aSwitchPC1PC2测试过程：在AP设备上提供一个AES加密的WLAN效劳，.SSID为“厂商名＋Test〞〔例如CiscoTest〕；设置SSID工作类型为同时支持802.11a/b/g/模式；首先设置PC2的无线网卡工作在802.11g模式，.在PC2上选择“ABCtest〞接入无线网络，.然后设置PC1的无线网卡工作在802.11a模式，.在PC1上选择“ABCtest〞接入无线网络启动Chariot控制效劳，.设置测试时间为2分钟，.设置测试脚本为ChariotThroughput脚本从ChariotConsole启动测试分别向两台无线终端〔PC1和PC2〕打流量测试系统吞吐量，.并记录。测试结果：3.1.3AP是否同时支持802.11a/b/g测试目的：检测AP是否同时支持802.11a/b/g。测试配置：无线控制器AP1Radius/DHCPSever802.11b/g802.11aSwitchPC1PC2测试过程：在AP设备上提供一个AES加密的WLAN效劳，.SSID为“厂商名＋Test〞〔例如CiscoTest、H3CTest或DlinkTest〕；设置SSID工作类型为同时支持802.11a/b/g/模式；将AP1接入到相应交换机端口；设置AP1工作类型为双频工作在PC1和PC2分别启用802.11ba和802.11g无线射频。检测网管上能否看到PC1和PC2的射频信息，.查看PC1是否启动802.11b/g连接，.PC2是否启动802.11a连接。采用ping–t命令，.看两台PC是否可以同时ping到效劳器。测试结果：3.1.4无线控制器系统是否支持模块化冗余电源测试目的：检测无线控制器是否支持两个或两个以上模块化电源，.以确保控制器系统的高可靠性。测试配置：N/A测试过程：查看无线控制器是否支持模块化双电源测试结果：条目2三层漫游测试3.2.1不同AP间数据跨三层漫游测试目的：检测无线客户端在处于不同网段的两个相邻AP之间漫游时的连接性测试配置：测试过程：1．设置AP1、AP2与WLC关联，.将AP1和AP2设置在不同网段；注意使AP1与AP2射频覆盖区域相邻。2．让客户端PC先接入到AP1上，.启动PingIP地址–t命令，.确保能够ping通；再接通AP2。在WCS网管上，.查看PC与AP1关联。3．拔除AP1的网线，.使AP1断电，.查看WCS管理界面，.检查PC是否与AP2关联。4．检测启动Ping–t命令输出结果，.看是否有丢包现象测试结果：条目3加密与认证3.3.1与AD认证结合〔PEAP支持，.802.1x，.WPA-2〕做SSO测试目的：结合客户现有ACS和AD，.在控制器上配置802.1x认证，.通过ACS和AD的配合，.可以使客户终端实现Single-SignOn的认证，.并将不同的用户划分到不同的VLAN内，.本测试可以直接测试出产品对802.1x/PEAP，.WPA-2/AES和用户识别管理的支持能力。测试配置：PC2局域网InternetPC1无线控制器AP1WCS/DHCPServer802.11b/g802.11aSwitchMicrosoftADCiscoACS测试过程：1.在WLC上配置ABC和Guest两个SSID，.其中ABC的SSID采用WPA-2+AES加密，.同时采用802.1x外部效劳器认证。GuestSSID采用open连接，.webportal认证方式，.不加密。2.PC1关联ABC的SSID，.启动后登陆域，.实现802.1x和AD域的一次性登陆认证〔SSO〕，.观察PC1所在的VLAN和访问连接情况。3．PC2关联ABC的SSID，.启动后登陆域，.实现802.1x和AD域的一次性登陆认证〔SSO〕，.观察PC2所在的VLAN和访问连接情况。测试结果：3.3.2控制器支持带WebPortal的Guest无线访客功能测试目的：无线控制器系统是否自带webportal的无线访客认证功能测试配置：PC2局域网InternetPC1无线控制器AP1WCS/DHCPServer802.11b/g802.11aSwitchMicrosoftADCiscoACS测试过程：同上配置。在WLC上申请一个临时的访客账户PC2关联GuestSSID，.访问某公网，.并通过验证。测试结果：条目4平安功能3.4.1非法AP检测、定位与压制测试目的：检测无线系统能否检测到rougeAP，.并定位和实施压制。测试配置：测试过程：在WCS网管上，.设置AP1、AP2、AP3，.AP4与WLC4402的配置。确保四个AP均正常工作〔既可以转发数据，.不能专门配置某个AP做RogueAP的监测〕。这些AP可以为客户端分配192.168.20x.y的地址。在WCS的MAP菜单下，.设置三个AP的位置图。配置某款RogueAP(路由器/FATAP)的地址，.并能够从PC客户端可以获取来自此RogueAP分配的IP地址172.16.1.x。连接此RogueAP到3560交换机上，.并保证此RogueAP的关联客户端可以ping到RogueAP在交换机上的网关地址172.16.1.1..让客户端关联到RogueAP上。获取地址后，.执行一个长ping：ping172.16.1.1，.确保此ping动作能够ping到172.16.1.1.在WCS网管首页，.查看是否有告警产生。在WCS网管中点击告警信息，.进展RougeAP列表中，.查看能否看到RogueAP。在WCS网管的MAP菜单中，.查看位置图中是否显示灰色RogueAP图标。选中RougeAP灰色图标，.验证能否看到此AP的相关信息如：SSID,channel,signalstrength,SNR.在WCS网管上，.选择围堵功能(containment)选择相应的围堵级别如Level1,2,3,or4，.分别对应采用1，.2，.3，.4个AP来围堵此RougeAP,本测试中分别选择1个、2个和3个。启动围堵功能，.查看上面的长Ping是否中断。在围堵功能选项中，.选择“unknown〞，.查看长Ping是否继续能够ping通172.16.1.1。测试结果：3.4.2控制器支持的IPS/IDS功能测试目的：检测无线网络系统是否支持对无线攻击的防御。测试配置：测试过程：1．设置WLC无线IPS根本配置。2．将AP1接入到Catalyst3560交换机上。3．客户端PC1接入访客SSID，.并连续输入错误的认证信息。4．无线系统屏蔽该客户端。5．查看controller网管日志上的相关记录，.检查该客户端是否还可以继续关联AP1。测试结果：Cisco无线系统可以支持对无线侧攻击的主动防御。防御的攻击类型如以下列图：条目5管理维护3.5.1无线管理系统性能监测测试目的：1.检测无线网管系统是否具有无线评估和平安审计报表功能。2.检测无线网管系统是否支持灵活的查看关联AP的MAC,IP,名称，.位置分布等信息。测试结果：3.5.2无线管理系统排障功能测试要求：检测网管系统的客户端远程排障功能测试拓扑：无线控制器AP1WCS802.11b/g802.11aSwitchPC1PC2AP2测试步骤：在网管系统上可以观察到无线终端正常接入无线网络无线终端使用错误的用户名不能正常登录网络在网管上通过客户端的远程排障功能可以判断客户端不能接入网络的原因结果记录：条目扩展性测试3.6.1远程AP混合工作方式H-REAP测试目的：检测远程AP是否支持在跨越广域网时的本地工作模式。在广域网通畅，.远端无线控制器可达时，.混合AP工作在“中心认证、本地交换〞模式，.即通过远端控制器进展认证〔CentralAuthentication〕，.数据交换那么在本地〔LocalSwitching〕；当广域网故障，.远端控制器不可达时，.混合AP可独立工作在“本地认证、本地交换〞方式，.即AP可转为本地认证〔LocalAuthentication〕，.数据交换在本地〔LocalSwitching〕。测试配置：测试过程：因条件限制，.本测试方案采用三层交换机的不同子网模拟广域网。配置3560交换机，.使WLC、WCS连接到192.168.202.0网段，.而H-REAP连接到192.168.200.0网段，.此网段模拟远程网络。在WCS网管上，.检查WLC的AP列表中是否能够看到远程AP在WCS网管上，.配置此AP为H-REAP工作模式PC与AP关联，.并确保PC获得192.168.200.0网段的IP地址，.启动pingWCSIP地址–t，.查看能否ping通关闭WLC无线控制器电源检查远程AP是否正常工作，.PC机仍然与该AP保持关联并查看ping没有中断