2017年度信锐课堂初级认证课程二03_常见功能配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
portal服务器
信锐无线控制器内置Portal服务器,可以实现所有厂商无线的统一认证,包括支持Portal2.0协议 以及不支持Portal2.0协议,有NAC的瘦AP组网或者没有NAC的胖AP。支持做portal服务端也 支持做portal客户端。 信锐无线控制器可以作为portal服务器支持列表: Portal 2.0 Sundray NAC Sangfor AC Ruijie Aruba Cisco Huawei H3C(IMC) 支持的认证方式有: 账号密码 短信 微信 临时访客 用户免认证
常见功能配置
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
灾备
灾备是当WAC、隧道、认证服务器出现灾难性故障时,可以保障无线基本业务能正常使用。 用于配置无线网络在接入点无法连接无线控制器、用户认证服务器、短信服务器或微信服务器 进入灾备模式的时候,这个无线网络使用哪个应急无线网络、应急VLAN和角色。
反制配置
【流控与安全】-【无线射频防护】-【防护策略】新增射频防护策略,此处以信号压制的 Monitor模式为例;
反制配置
可以根据反制需求配置受反制参数和受信任接入点等;
反制效果
注意事项
1、开启无线射频防护并不能让非本WAC上的接入点发出的无线关闭,只是不能接入终端。 2、无线网络中,做反制的AP必须是在Monitor模式效果最佳。 3、测试和实施项目之中,建议单独拿AP出来做反制使用。 4、对于支持802.11ac协议的AP,由于ac协议射频口的特性导致5.8G频段只能反制本信道。
限制/保证带宽
设置线路带宽值,内网、外网都可以进行流控,只要流量经过NAC。
流控范围
流控的网络应用对象 1、网络应用 信锐无线应用识别采用DPI(数据包深度内容检测)及DFI(动态流状态检测)技术,能 够识别互联网几乎所有的应用,并进行精确的流量管理控制。流控较为常用的应用为: P2P,P2P流媒体,文件下载,MEDIA,HTTP应用,邮件等 2、网站类型(应用里面的访问网站)可基于不同的网站类型做流量管理 流控对象 1、组织结构里面的组或用户 2、单IP或IP段
灾备后恢复,可以选择强制踢掉用户,要求所有用户重新认证,或者等用户下次接入再自动转 换角色。 强烈建议启用,灾备恢复后,踢掉用户,要求用户重新认证,提高安全性。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
webAgent寻址
webagent服务器根据收到的更新包的源IP获取NAC设备的即时公网IP
2、NAC过来的源地址是x.x.x.x,所以 我知道NAC的公网ip是x.x.x.x了
4、NAC的IP地址 是X.X.X.X
1、NAC主动向服务 器更新自己的公网IP
应用场景
1、AP远程部署,NAC做出口拨号 AP远程部署时,AP通过公网连接NAC,当NAC公网出口是拨号方式时,会出现IP地址 变化的情况,可以使用webagent实时获取NAC拨号IP; 2、AP远程部署,NAC内网部署,出口设备拨号 如下图,AP远程部署时,NAC内网部署,出口防火墙拨号上网,可以在防火墙上将NAC内 网地址映射到出口,再结合webagent实时获取防火墙拨号IP;
注意事项
1、使用webAgent依然需要将控制器的端口映射到公网出口上(NAC内网部署时) 2、因为诊断工具的配置只具有一次有效性,当AP掉电重启之后配置就清空了。故当使 用该工具配置完之后需要在控制器上对AP点位再进行一次配置 3、webAgent不能解决端口映射问题,对于NAC内网部署的依旧需要映射UDP:7077、 7777,TCP:800、7070端口
配置Client AP
在【接入点配置】-【无线接入点】点开AP-【参数配置】-【中继网桥】配置ClientAP。配置桥 接的频段、SSID、秘钥、桥接距离以及Root AP的MAC,可以选择是否禁用桥接频段的无线网 络。
桥接成功状态
配置成功后,查看系统状态下的无线状态,等到中继接入点显示如下的时候,就表示桥接上了, 就可以拔掉client AP的网线了,拔线之后任然是如下图的状态就表示桥接成功。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
工作原理
反制时,AP伪装成要反制的对象分别向STA和AP发送单播解关联帧,并实行周期性反制,反制 结束后,会清理掉STA与非法AP已经建立的关联关系,实现钓鱼反制的效果。 AP收集环境中的VAP,上传给无线控制器。 无线控制器对信息进行匹配和监测,然后生成策略规则发送给AP。 AP收到策略规则后执行反制任务。
工作模式
在 WAC 上激活的 AP 的三种工作模式: Ø normal 模式仅转发业务数据,并对工作信道做主动扫描; Ø Hybrid 模式转发业务数据的同时,定期执行跨信道扫描和执行反制任务; Ø monitor模式完全不转发业务数据,一直跨信道扫描, 并执行反制任务; 在执行反制过程中,如果 AP 处在 hybrid 和 monitor模式是都能进行反制,但是 hybrid 工作 模式定期执行反制,同时兼职进行业务数据转发,因而反制和数据转发功能都会相应减弱,默认 只反制1、6、11的hybrid模式,若自定义信道为3、8、13,则会在3、8、13信道发送反制广播 包;而 monitor 工作模式可以专门进行扫描和执行反制任务。 如果有反制需求,建议设置专门 处于 monitor模式的 AP,提升反制效果。 (注:对于支持802.11ac协议的AP,由于ac协议射频口的特性导致5.8G频段只能反制本信道)
3、请告诉我 总部的IP地址 5、AP主动去访问NAC 的公网地址:x.x.x.x
NAC启用webagent
webAgent需要单独申请,联系信锐客服人员申请webgaent,得到如下类似链接: 主:/webagent/wlan/sundray2808.php, 备:/webagent/wlan/sundray2808.php,填写到控制器中对应的主备 上。
FSPL= 32.44+(20lg(f))+(20lg(D)) FSPL=路径损耗(单位为dB) f=频率(单位MHz) D=天线之间的距离(单位为千米)
配置Root AP
在【接入点配置】-【无线接入点】点开AP-【参数配置】-【中继网桥】配置Root AP。配置桥 接的频段、SSID、秘钥、桥接距离以及是否隐藏SSID,注意:记录Root AP的MAC地址。
2018/8/8
portal客户端
信锐无线控制器能够对接的Portal服务器有 Portal2.0 深信服portal 华三portal(IMC) 信锐portal
2018/8/8
portal统一认证原理
信锐无线Portal统一运营平台使用Portal2.0协议,其本质就是为了实现统一认证效果。统一认证 实现原理是通过Portal2.0协议实现,其规定了终端与服务器之间交互信息的格式。详细原理参 考:中国移动WLAN业务portal协议规范。认证示意图如下:
portal客户端-配置指导
1、信锐控制器作为portal客户端,对接支持portal2.0协议认证平台。首先【认证授权】【Portal服务器】添加portal服务器,并配置portal客户端地址。然后,添加radius服务器,并 点击测试。
portal客户端-配置指导
2、创建portal认证SSID,在认证类型里调用portal服务器,并在账号认证和高级选项里调用 radius服务器。
灾备条件
接入点离线 认证服务器断开
高级选项
灾备延迟:是指认证服务器与控制器断开连接后,延迟多长时间生效灾备。 检测间隔:检测微信\短信服务器的间隔时间。 故障判断:检测到服务器连续故障多少次,才认为需要生效灾备。
灾备后状态
原有企业级802.1X认证,启用灾备策略,并进入灾备模式后,原有SSID一定会被禁用,强制启 用新的应急SSID。
连接密码自行设置,目的 是为了避免webagent链接 被他人盗取
AP启用webAgent
首先使用诊断工具发现并配置AP,配置好接口参数,在控制器参数中启用webAgent,并填写 申请好的webAgent,我们在控制器上就可以发现新加入的AP。
webAgent
查看webagent:主webagent或者备webagenr后面带上代码:?devtype=ap&opt=get_ip 举例: /webagent/wlan/sundray2808.php?devtype=ap&opt=get_ip 最后是通过IP访问到 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
应用流控
国内最大的应用识别库,可对各种应用进行放行或者拒绝
应用流控
流量管理策略三要素:
限制/保证带宽
一个简单、有效的流控 策略包含三要素
网络应用对象
流控对象
注意事项
1、配置无线网桥都是需要提前做好规划和提前配置的,特别是室外桥接 2、如果出现client AP 和 root AP 的SSID或者是密钥配置不一致,导致桥接无法正常,需要 重新都连接有线重新配置,配置顺序是:先改client AP的配置,在修改root AP的配置 3、一般桥接AP选取5.8G,因为干扰比较少,能保证链路的稳定 4、已经桥接成功的一组中继AP,如果需要修改连接频段的SSID参数,修改顺序必须是:先 修改clientAP,再修改rootAP 5、一个AP可以既是下一级client AP的root AP ,同时是上一级的clientAP。桥接级数不能超 过3级 6、一般桥接都建议采用定向天线桥接 7、桥接频段的SSID一般都是建议隐藏的
portal服务器-配置指导
1、在【认证授权】-【Portal服务】-【服务器参数】里面启用内置portal服务,参数协议端口 默认50100,服务器通信IP(NAC的IP),认证界面默认80,其他都可以选择默认配置。
portal服务器-配置指导
2、配置web认证策略,以本控制器做为portal服务器,配置web认证策略的时候,策略类型要 选择:第三方设备portal对接策略,Sundray NAC协议。同时,复制对接URL,如果点击 复制按钮没有作用,可以直接crtl +C 复制。其他认证类型就按以往配置即可。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
无线桥接
无线桥接分为中继与网桥: 中继是为了扩大AP的覆盖范围; 网桥是为了解决部分区域没有宽带上网,通过AP与AP之间建立点对点网桥,实现数据交互。 常见有以下几种回传链路:
天线选型
500米以内点对多点,root AP使用全向天线,
client AP使用板状定向天线。 1公里以内点对点或者点对多点,root AP使用板状定向天线, client AP使用板状定向天线。2个60 度定向天线桥接,最大距离不能 超过 2km。 1公里以上点对点,root AP使用栅栏天线, client AP 使用栅栏天线。此天线只有1个5G接口。
原有portal认证,启用灾备策策略,并进入灾备后后,原有SSID可以保留,但强制变为本地转 发,强制变为开放式认证,可以选择是否采用新的应急SSID。
原有的PSK、开放式的SSID,启用灾备策策略,并进入灾备后后,原有SSID可以保留,但强制 变为本地转发,可以选择是否采用新的应急SSID。
灾备后恢复