實(shí)例詳析無線AP 工作模式

■ 河南 郭建偉

在企業(yè)網(wǎng)絡(luò)環(huán)境中，無線網(wǎng)絡(luò)所占的比重越來越大。對于無線網(wǎng)絡(luò)來說，AP 占據(jù)著非常重要的作用，客戶一般都是通過AP，才可以接入無線網(wǎng)絡(luò)。例如,對于常用的Cisco AP 來說，就提供了Local、FlexConnect、Monitor、Rogue Detector、Sniffer、Bridge 和Flex+Bridge 等模式。網(wǎng)絡(luò)管理員必須熟悉和了解這些模式的特點(diǎn)和功能，才可以對AP 進(jìn)行靈活的管理和配置，保證無線網(wǎng)絡(luò)順暢運(yùn)行。

AP 各工作模式的特點(diǎn)

在眾多模式中，Local是最常用的數(shù)據(jù)轉(zhuǎn)發(fā)模式，F(xiàn)lexConnext 是 本 地 轉(zhuǎn)發(fā) 模 式，F(xiàn)lex+Bridge 是FlexConnext 的一種特殊工作模式。Local 模式主要用于數(shù)據(jù)服務(wù)，與其相連的交換機(jī)接口處于Access 狀態(tài)，通過DHCP 獲取IP，AP 和WLC之間通過CAPWAP 隧道連接，在其中傳輸控制層面和數(shù)據(jù)層面的流量。

在FlexConnext 模式下，AP 和交換機(jī)以Trunk 方式連接，在CAPWAP 隧道中僅僅傳輸控制和管理層面流量，數(shù)據(jù)流量在AP 本地通過Trunk進(jìn)入指定的VLAN。注意，Local 模式也提供監(jiān)控服務(wù)，可以掃描其他的信道來發(fā)現(xiàn)惡意AP/Client，只是其掃描的效能很低，同時(shí)可以分析和管理幀有關(guān)的攻擊行為。

登錄到無線控制器上，在工具欄上選擇“WIRELESS”項(xiàng)，在左側(cè)選擇“802.11b/g/n”→“RRM”→“General”項(xiàng)，在右側(cè)的“Channel Scan Internal”欄中設(shè)置掃描周期，默認(rèn)為180 s。為了增加掃描的時(shí)間，可以將該值適當(dāng)調(diào)小一些。當(dāng)然，為了提高掃描效能，最好使用單獨(dú)的AP 來進(jìn)行該工作，使其工作在“Monitor”模式，其并不提供數(shù)據(jù)服務(wù)功能，而只會(huì)發(fā)送Beacon 信標(biāo)幀，對WLAN 進(jìn)行全面監(jiān)控，利用特定的策略來發(fā)現(xiàn)和攔截惡意AP 和客戶端。

對于阻斷操作來說，當(dāng)WLC 重啟后是不保存的。對于Rogue Detector 模式來說，主要用來檢測惡意設(shè)備是否進(jìn)入了有線網(wǎng)絡(luò)，當(dāng)發(fā)現(xiàn)一個(gè)惡意的無線設(shè)備接入到本有線網(wǎng)絡(luò)中后，會(huì)產(chǎn)生告警信息，但是不會(huì)進(jìn)行阻斷操作。對于非法AP 來說，會(huì)對無線網(wǎng)絡(luò)安全造成很大威脅，諸如竊取明文通訊數(shù)據(jù)，發(fā)起DoS 或者中間人攻擊，發(fā)送惡意CTS 報(bào)文造成合法用戶無法訪問網(wǎng)絡(luò)資源等。

實(shí)際上，內(nèi)部員工也可以將非授權(quán)的AP 連入有線網(wǎng)絡(luò)，造成其他用戶無需認(rèn)證即可直接接入內(nèi)部網(wǎng)絡(luò)，引發(fā)重大的安全問題。對于Monitor 和Rogue Detector模式來說，其之所以可以發(fā)現(xiàn)非法AP，依靠的是Rogue Location DiscoveryProtoco l（RLDP）協(xié)議，該協(xié)議可以關(guān)聯(lián)不加密的AP，并關(guān)聯(lián)到該惡意AP，發(fā)送De-Authentication 消息給連接到該AP 的所有客戶端并關(guān)閉其信道，并通過該惡意AP向WLC 發(fā)送UDP 包，如果WLC接收到該包的話，就會(huì)表標(biāo)記其為惡意AP 并發(fā)送警告信息給管理員。

當(dāng)然，對于5 GHz 的DFS信道來說，是不支持RLDP 的。對于DFS 來說，在正常情況下，是沒有開放給WiFi 使用的。

注意，如果使用處于Local 或 者FlexConnect 模式 的AP 來 執(zhí) 行RLDP 檢 測話，那么在執(zhí)行檢測的時(shí)候，所有連接的客戶端就會(huì)掉線，直到RLDP 測試完成，客戶端才會(huì)再次上線。如果在WLC 上針對所有的AP 配置了RLDP 功能，WLC 一般只是選擇使用了Monitor 模式的AP來執(zhí)行檢測操作。

搭建簡單實(shí)驗(yàn)網(wǎng)絡(luò)

這里使用簡單的網(wǎng)絡(luò)，來說明如何使用各種AP 工作模式。本例中存在一臺(tái)WLC控制器，其通過G0/1 連接到核心交換機(jī)SW1Fa0/24 接口上，該連接處于Trunk 模式。在SW1 上存在VLAN10，VLAN20 和VLAN30 三個(gè)VLAN，其IP 范圍分別為10.1.1.0/24，20.1.1.0/24 和30.1.1.0/24，對應(yīng)的SVI 地址分別為10.1.1.254，20.1.1.254 和30.1.1.254。其中的VLAN10用于管理，WLC 的管理口IP為10.1.1.100，其余的VLAN為客戶端分配地址。在SW1上分別為AP1 和AP2 配置地址池，指定其默認(rèn)網(wǎng)關(guān)和WLC的地址。

交換機(jī)SW2 的G1/0/1 接口和SW1 的Fa0/1 接口通過Trunk 進(jìn)行連接，在SW2 上存在VLAN 30，AP1 連接到SW2的G1/0/2 接口上，通過DHCP獲取IP 并利用CAPWAP 隧道和控制器連接連接。交換機(jī)SW3 的G1/0/1 接口和SW1 的Fa0/2 接 口通 過Trunk 進(jìn)行連接，在SW3 上存在VLAN20，AP2 連接到SW3 的G1/0/2 接口上，通過DHCP 獲取IP 并利用CAPWAP 隧道和控制器連接連接。有一臺(tái)來歷不明的AP3 胖AP 連 接 到SW1 的Fa0/3 接口上，該接口處于Access 模式。其獲取的IP為20.1.1.20，在該AP 上創(chuàng)建了SSID，處于未加密狀態(tài)，其扮演惡意AP 的角色。

配置和使用Monitor 模式

登錄到WLC 管理界面，點(diǎn)擊工具欄上的“WIRELESS”項(xiàng)，在 左 側(cè) 選 擇“Access Points”項(xiàng)，在右側(cè)顯示已經(jīng)連接的AP，點(diǎn)擊某個(gè)AP（例如AP1），在其屬性窗口的“General”面板中的“AP Mode”列表中顯示所有的工作模式，默認(rèn)為Local 模式。在其中選擇“Monitor”項(xiàng)，將其切換到Monitor 模式。在“Advanced”面板中會(huì)看到“Rogue Detection”項(xiàng)自動(dòng)處于選擇狀態(tài)，說明對于Monitor 模式來說，是默認(rèn)要進(jìn)行RLDP 檢測的。之后該AP 會(huì)重啟，才可以完成模式的切換。

在 工 具 欄 上 點(diǎn) 擊“SECURITY”項(xiàng)，在左 側(cè) 選擇“Wireless Protection Policies”→“Rogue Polici es”→“General”項(xiàng)，在右側(cè)的“Rogue Detection Security Level”欄中選擇安全檢測級(jí)別，包括Low、High、Critical和Custom等。對于Low 級(jí)別來說，只進(jìn)行最基本的檢測。

對于High 級(jí)別來說，不僅進(jìn)行基本的檢測，還可以自動(dòng)進(jìn)行阻塞，對于Critical 級(jí) 別 來 說，在 前兩者的基礎(chǔ)上，還可以利用RLDP 連接惡意AP，來執(zhí)行高級(jí)檢測操作。對于Custom級(jí)別來說，可以進(jìn)行靈活的自定義操作。

例如，在“Rogue Locatio n Discovery Protocol”列表中選擇執(zhí)行RLDP 協(xié)議的對象，包括開啟Monotor的AP，所 有 的AP 或 者 禁用 該 功 能 等。 在“Auto Containment Level”列表中可以設(shè)置自動(dòng)阻塞的等級(jí)，包括自動(dòng)或者合適的AP 數(shù)量（從1 到4），這樣，最多可以指定4 個(gè)AP 來執(zhí)行阻塞操作。點(diǎn)擊“Apply”按鈕，保存配置信息。

查看惡意無線設(shè)備

當(dāng)該AP 重啟后，就會(huì)執(zhí)行對惡意無線設(shè)備的監(jiān)控操作。在WLC 管理界面工具欄上點(diǎn)擊“MONITOR”項(xiàng)，在“Rogue Summary”欄中顯示活動(dòng)的惡意AP 數(shù)量，惡意客戶端的數(shù)量。在“Active Rogue APs”欄右側(cè)點(diǎn)擊“Detail”鏈接，顯示所有的惡意AP 的信息，包括其MAC地址、SSID、信道和狀態(tài)等內(nèi)容。

例如，在其中就可以看到上述名為AP3 的接入設(shè)備。在“Active Rogue Clients”欄右側(cè)點(diǎn)擊“Detail”鏈接，顯示處于活動(dòng)狀態(tài)的惡意客戶，包括其MAC 地址、關(guān)聯(lián)的AP 的MAC 地 址、使 用 的SSID、上次發(fā)現(xiàn)的時(shí)間以及狀態(tài)等內(nèi)容。

對于發(fā)現(xiàn)的惡意連接，可以基于AP 或者客戶級(jí)別進(jìn)行阻塞。例如，發(fā)現(xiàn)名為“EYClient”的惡意客戶，可以在上述惡意客戶詳細(xì)信息中點(diǎn)擊該客戶項(xiàng)目，在其詳細(xì)信息窗口中的“Update Status” 列 表中 選 擇“Contain”項(xiàng)，在“Maximum number of APs to contain the rogue”列表中選擇“Auto”項(xiàng)，點(diǎn)擊“Apply”按鈕，將其阻塞掉，之后該客戶的無線連接就會(huì)自動(dòng)斷開。之所以可以實(shí)現(xiàn)該效果，其實(shí)就是模擬該客戶連接的AP，向該客戶連續(xù)不斷的發(fā)送要求認(rèn)證的DeAuthentication 包，該 包中的源MAC 為該惡意AP 的MAC 地址，目的MAC 為該客戶機(jī)的MAC 地址，其作用就是要求該客戶進(jìn)行認(rèn)證，直到將其踢下線為止。

無線AP 的分類原則

在左側(cè)選擇“Regous”→“Unclassfied APs”項(xiàng)，在右側(cè)顯示為歸類的所有AP，其中有些是惡意AP 有些則可能不是。但是，所有這些AP的狀態(tài)均處于Alert 告警模式。

為了便于控制惡意AP，可以創(chuàng)建對應(yīng)的規(guī)則，對這些AP 進(jìn)行分類管理。類別 包 括Friendly（友 好）、Malicious（惡意）、Custom（自定義）和Umclassified（未歸類）等。

注意，默認(rèn)沒有任何一個(gè)歸類規(guī)則是激活的，所有位置的AP 都會(huì)被放入未歸類類型。

當(dāng)創(chuàng)建了一個(gè)規(guī)則，為其配置了條件，當(dāng)激活該規(guī)則后，那么未歸類的所有AP 將重新進(jìn)行分類。當(dāng)修改了該規(guī)則，則僅僅會(huì)應(yīng)用到的所有的狀態(tài)了Alert 的AP。對于已經(jīng)歸類的AP 來說，是不會(huì)生效的。

對于分類的行為來說，WLC 會(huì)先在信任的MAC 地址列表中查詢此可疑AP 的MAC地址，如果找到的話將其會(huì)分到Friendly 類別中。

在 工 具 欄 上 點(diǎn) 擊“SECURITY”項(xiàng)，在左 側(cè) 選擇“Wireless Protection Policies”→“Rogue Policies”→“Fridendy Rogue”項(xiàng)，在右側(cè)可以輸入目標(biāo)MAC 地址，即可將其添加到友好類別中。

如果該非法AP 的MAC 地址不再信任列表中，WLC 即可對其進(jìn)行應(yīng)用分類規(guī)則。

如果該誒發(fā)AP 已經(jīng)被分類到了Malicious、Alert，F(xiàn)riendly、Internal、External 等類別之中，WLC就不會(huì)對其進(jìn)行歸類操作。

如果必須進(jìn)行分類，則需要手工進(jìn)行調(diào)整。例如將Malicious 類別中的某個(gè)AP手工劃分到Friendly 類別中等。WLC 會(huì)按照優(yōu)先級(jí)應(yīng)用所有的分類規(guī)則，如果該非法AP 符合規(guī)則，就按照該規(guī)則對其進(jìn)行歸類。

如果其不匹配任何預(yù)設(shè)的規(guī)則，那么其會(huì)被稱為未分類狀態(tài)。

注意，如果RLDP 檢測出非法AP 連接到本地有線網(wǎng)絡(luò)中，WLC 會(huì)認(rèn)為該AP 具有破壞性并將其標(biāo)示為惡意AP。如果該AP 沒有連接在本地有線網(wǎng)絡(luò)中，WLC 會(huì)將其標(biāo)識(shí)為Alert狀態(tài)，每個(gè)WLC 最多支持64 個(gè)規(guī)則，在每個(gè)惡意AP 中只能顯示最多256 個(gè)非法客戶。

創(chuàng)建簡單的分類規(guī)則

在 工 具 欄 上 點(diǎn) 擊“SECURITY”項(xiàng)，選擇“Wirele ss Protection Policies”→“Rogue Rules”項(xiàng)，在右側(cè)點(diǎn)擊“Add Rule”按鈕，添加新的規(guī)則，輸入規(guī)則的名稱（例如“rule1”），在“Rule Type”列表中選擇“Friendly”項(xiàng)，在“Notify”列 表 中 選 擇“All” 項(xiàng)，在“Status” 列表中選擇“ALert”項(xiàng)，點(diǎn)擊“Add”按鈕，創(chuàng)建該規(guī)則。在列表中點(diǎn)擊該規(guī)則，在其屬性 窗 口 中 的“Conditions”列表中選擇選擇各種條件，包括SSID，連接時(shí)長，信號(hào)強(qiáng)度，連接客戶數(shù)量，是否加密等。例如選擇“SSID”項(xiàng)，點(diǎn)擊“Add Condition”按 鈕，輸入合適的SSID 名稱（例如“ssid1”），點(diǎn) 擊“Add SSID”按鈕將其添加進(jìn)來，同理可以添加多個(gè)SSID。這樣，只要是和上述SSID 相關(guān)的AP全部添加到Friendly 類別中。

注意，必須選擇“Enable Rule”項(xiàng)，才可以將該規(guī)則激活。

在WLC 管理界面工具欄上點(diǎn)擊“MONITOR”項(xiàng)，選擇“Rogues”→“Friendly APs”項(xiàng)，顯示所有的友好的AP。

配置復(fù)雜的分類規(guī)則

按照上述方法，創(chuàng)建名為“DetectEY”的 規(guī) 則，在“Rule Type”列表中選擇“Malicious”項(xiàng)，在“Status”列表中選擇“Contain”項(xiàng)。

這樣只要符合該規(guī)則的AP，就將其視為惡意AP 并將其阻斷。

在其屬性窗口中的“Conditions”列 表 選 擇“SSID”項(xiàng)，輸入并添加其SSID 名稱（例如“EYSSID”）。在“Conditions” 列 表 選擇“RSSI”項(xiàng)，輸入合適的最小信號(hào)強(qiáng)制（例如“→20 dbm”，該值越小強(qiáng)度越大）。

在“Conditions”列表選擇“No Encryption”項(xiàng)，選擇“No Encryption”項(xiàng)，表示其沒有加密。

在“Conditions”列表選擇“Client Count”項(xiàng)，輸入連接的客戶數(shù)量。

當(dāng)然，可以根據(jù)需要添加更多的條件。在“Match Operation”欄中選擇“Match All”項(xiàng)，表示必須符合所有的條件。選擇“Match Any”項(xiàng)，表示符合任意條件即可。

點(diǎn)擊“Apply”按鈕應(yīng)用該規(guī)則。這樣，只要符合條件的AP 就被視為惡意AP 并被阻斷。

選擇“Rogues”→“Mali cious APs”項(xiàng)，顯示所有惡意的AP。

Sniffer 模式的工作方式

在 目 標(biāo)AP（例 如“AP2”）的屬性窗口中選擇“Sniffer”項(xiàng)，使其處于Sniffer 模式。

注意，模式切換后必須重啟AP。該AP 只負(fù)載抓取數(shù)據(jù)包，當(dāng)然，需要設(shè)置其針對哪個(gè)信道抓包。

這樣，該信道的所有流量數(shù)據(jù)都會(huì)通過CAPWAP 隧道送到WLC 上，在WLC 上需要設(shè)置用于分析數(shù)據(jù)的主機(jī)的IP，之后將這些數(shù)據(jù)包發(fā)送過去，當(dāng)然，WLC 會(huì)將這些數(shù)據(jù)進(jìn)行封裝，前部為源和目的地址，中間為UDP 頭部，端口號(hào)為5555，后部為抓取的數(shù)據(jù)包。

在客戶機(jī)上必須安裝諸如AiroPeek 之類軟件，便于解碼UDP5555 格式的封裝包。

注意，要實(shí)現(xiàn)Sniffer模式，需要在WLC 的命令行接口中執(zhí)行“config network ip-macbinding disable”命令，取消控制器的IP-MAC 綁定功能。還必 須 激 活1 號(hào)WAN，否 則 該AP 無法發(fā)送數(shù)據(jù)包。

在工具欄上選擇“WIREL ESS”項(xiàng)，在左側(cè)選擇“Access Points”→“Radios”→“80 2.11 b/g/n”項(xiàng)，在右側(cè)選擇目標(biāo)AP，在其配置界面中選擇“Sniff”項(xiàng)，激活其抓包功能。

在“Channel”列 表 中選擇需要監(jiān)控的信道。在“Server IP Address”欄中輸入安裝了分析軟件的主機(jī)IP，在“Assignment Method”列表中選擇“Custom”項(xiàng)，選擇同樣的信道。當(dāng)然，這里這針對的是2.4 Ghz 射頻模式，也可以針對802.11 a/n/ac 模式進(jìn)行設(shè)置。這樣，在指定的主機(jī)上就可以接收和分析數(shù)據(jù)包了。注意，目標(biāo)信道不能處于加密狀態(tài)。

Bridge 模式的功能和特點(diǎn)

在目標(biāo)AP（例如“AP2”）的屬性窗口中選擇“Bridge”項(xiàng)，使其處于Bridge 模式，對于瘦AP 來說，利用該模式可以實(shí)現(xiàn)無線Mash 網(wǎng)絡(luò)。

對于Mash 網(wǎng)絡(luò)來說只有根AP（RAP，即Root Access Point）連接到有線網(wǎng)絡(luò)中，其 余 的AP（MAP，即Mesh Access Point）全部是無線連接的。

這些AP 之間可以建立多跳的無線鏈路，并使用AWPP（Cisco Adaptive Wireless Path Protocol）協(xié)議來相互發(fā)現(xiàn)并建立連接，決定到WLC的最佳傳輸路徑。

無線Mash 網(wǎng)絡(luò)具有高性價(jià)比、可擴(kuò)展性強(qiáng)、應(yīng)用范圍廣和高可靠性等特點(diǎn)。

無線Mesh 網(wǎng)絡(luò)中各AP實(shí)現(xiàn)的是全連接，從某個(gè)MAP 到RAP 之間存在多條鏈路，可以有效避免單點(diǎn)故障。MAP 采 用MAC 認(rèn) 證 或 外 部RADIUS 認(rèn)證兩種方式，接入到無線Mesh 網(wǎng)絡(luò)中。

對于前者來說，將MAP的MAC 地址加入到數(shù)據(jù)庫中便于其關(guān)聯(lián)到指定的WLC。對于后者來說，可以通過外部的RADIUS 認(rèn)證設(shè)備來關(guān)聯(lián)指定的WLC。Mesh AP 支持 Wireless mesh、WLAN backhaul、點(diǎn)對多點(diǎn)無線橋接、點(diǎn)對點(diǎn)無線橋接等模式。

用Bridge 模式構(gòu)建Mesh 網(wǎng)絡(luò)

為了便于說明，這里將上述實(shí)驗(yàn)環(huán)境稍加修改，將SW2和SW1 之間的連接取消，讓AP1 必須通過Bridge 模式通過AP2 連接到WLC。

在AP1 和AP2 的屬性窗口中的“AP Mode”列表中均選擇“Bridge”項(xiàng)，將其切換到Bridge 模式。

注意，如果直接切換會(huì)出現(xiàn)錯(cuò)誤信息，提示需要手工指派信道和發(fā)射功率。

為此可以先在左側(cè)選擇“Access Point”→“Radio s”→“802.11 a/n/ac”項(xiàng)，在目標(biāo)AP 右側(cè)點(diǎn)擊藍(lán)色的按鈕，在彈出菜單中選擇“Configure”項(xiàng)。

在配置界面中的“RF Channel Assignment”中的“Assignment Method”欄中選擇“Custom”項(xiàng)，選擇合適的信道（例如“149”）。

在“Tx Power Level As signment”欄中選擇“Custo m”項(xiàng)，輸入合適的發(fā)射功率（例如“1”）。

注意，需要在所有的AP 上設(shè)置相同的參數(shù)。

在“802.11 a/n/g”射頻模式下也需要進(jìn)行相同的配置。

為了實(shí)現(xiàn)無線流量的透傳，需要在SW2 和AP1 連接交換機(jī)端口上開啟Trunk 模式，在SW3 和AP2 連接的端口上也開啟Trunk 模式。

例如，在SW2 全局配置模式下“default interface GigabitEthernet 1/0/2”，“interface GigabitEthern et 1/0/2”，“switch trunk native vlan 20”，“switch mode trunk”等指令即可。

當(dāng)切換到Bridge 模式后，必須將其MAC 地址添加到WLC 的數(shù)據(jù)庫中，否則其無法順利連接。

在WLC 管理界面工具欄 上 選 擇“SECURITY”項(xiàng)，在左側(cè)選擇“AAA”→“MAC Filtering”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入相關(guān)AP 的MAC 地址，點(diǎn)擊“Apply”按鈕將其添加進(jìn)來。

當(dāng)關(guān)閉了SW2 和SW1 的連接后，在WLC 的AP 列表中就暫時(shí)看不到AP1，在AP2 的屬性窗口中的“Mesh”面板中的“AP Role”列表中選擇“RootAP”項(xiàng)，將其設(shè)置為根AP。

AP1 會(huì)通過無線口進(jìn)行連接，從AP2 得到控制器地址，之后連接到WLC 上。

之后在列表中才會(huì)顯示該AP，而且其獲取的IP 屬于SW3 上的VLAN 20 網(wǎng)段，AP1就成為了MeshAP 的角色。

在工具欄上邊選擇“WIRELESS”的 選項(xiàng)，在左側(cè) 選 擇“WLANs”的 選 項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸 入WLAN 的 名 稱（例 如“WLAN100”），點(diǎn) 擊“Apply”按鈕創(chuàng)建該WLAN。

在 其 屬 性 窗 口 中的“Security”面 板 中 的“Layer2”標(biāo)簽中的“PSK”欄中選擇“Enable”項(xiàng)，輸入預(yù)共享密鑰。

為了便于為客戶端分配IP，可以在SW3 上開啟DHCP功能。

例 如， 執(zhí) 行“dhcp pool dzpool1”，“network 10.1.1.0 255.255.255”，“default →router 10.1.1.254”等指令。

在客戶端上可以搜索并連接到上述WLAN 上，輸入預(yù)共享密碼后，就可以連接到網(wǎng)絡(luò)中。當(dāng)然，兩個(gè)AP 均可以發(fā)送連接信息，但是兩者的信道是不同的，客戶端可能通過其中任意一個(gè)進(jìn)行連接。

如 果 在 左 側(cè) 選 擇“Advanced”→“Mesh”項(xiàng)，在右 側(cè) 的“Backhaul Client Access”欄中選擇“Enabled”項(xiàng)，激活回傳功能，即允許客戶連接使用5Ghz 射頻的RAP，來傳輸數(shù)據(jù)。

在“VLAN Transparent”欄中默認(rèn)選擇“Enabled”項(xiàng)，說明已經(jīng)激活了VLAN 透傳功能。

這 樣，在SW2 和SW3 上都創(chuàng)建新的VLAN 后（例如VLAN200），那么連接到SW2上的有線客戶機(jī)就可以通過Trunk 連接，直接訪問SW3 中相同VLAN 中的設(shè)備。