2017年度信锐课堂初级认证课程二03_常见功能配置

配置Client AP
在【接入点配置】-【无线接入点】点开AP-【参数配置】-【中继网桥】配置ClientAP。配置桥 接的频段、SSID、秘钥、桥接距离以及Root AP的MAC，可以选择是否禁用桥接频段的无线网 络。
桥接成功状态
配置成功后，查看系统状态下的无线状态，等到中继接入点显示如下的时候，就表示桥接上了， 就可以拔掉client AP的网线了，拔线之后任然是如下图的状态就表示桥接成功。
连接密码自行设置，目的 是为了避免webagent链接 被他人盗取
AP启用webAgent
首先使用诊断工具发现并配置AP，配置好接口参数，在控制器参数中启用webAgent，并填写 申请好的webAgent，我们在控制器上就可以发现新加入的AP。
webAgent
查看webagent：主webagent或者备webagenr后面带上代码：?devtype=ap&opt=get_ip 举例： webagent.sangfor.net.cn/webagent/wlan/sundray2808.php?devtype=ap&opt=get_ip 最后是通过IP访问到NAC的。
应用场景
1、AP远程部署，NAC做出口拨号 AP远程部署时，AP通过公网连接NAC，当NAC公网出口是拨号方式时，会出现IP地址 变化的情况，可以使用webagent实时获取NAC拨号IP； 2、AP远程部署，NAC内网部署，出口设备拨号 如下图，AP远程部署时，NAC内网部署，出口防火墙拨号上网，可以在防火墙上将NAC内 网地址映射到出口，再结合webagent实时获取防火墙拨号IP；
工作模式
在 WAC 上激活的 AP 的三种工作模式： Ø normal 模式仅转发业务数据，并对工作信道做主动扫描； Ø Hybrid 模式转发业务数据的同时，定期执行跨信道扫描和执行反制任务； Ø monitor模式完全不转发业务数据，一直跨信道扫描， 并执行反制任务； 在执行反制过程中，如果 AP 处在 hybrid 和 monitor模式是都能进行反制，但是 hybrid 工作 模式定期执行反制，同时兼职进行业务数据转发，因而反制和数据转发功能都会相应减弱，默认 只反制1、6、11的hybrid模式，若自定义信道为3、8、13，则会在3、8、13信道发送反制广播 包；而 monitor 工作模式可以专门进行扫描和执行反制任务。 如果有反制需求，建议设置专门 处于 monitor模式的 AP，提升反制效果。 （注：对于支持802.11ac协议的AP，由于ac协议射频口的特性导致5.8G频段只能反制本信道）
FSPL= 32.44+(20lg(f))+(20lg(D)) FSPL=路径损耗（单位为dB） f=频率（单位MHz） D=天线之间的距离（单位为千米）
配置Root AP
在【接入点配置】-【无线接入点】点开AP-【参数配置】-【中继网桥】配置Root AP。配置桥 接的频段、SSID、秘钥、桥接距离以及是否隐藏SSID，注意：记录Root AP的MAC地址。
原有portal认证，启用灾备策策略，并进入灾备后后，原有SSID可以保留，但强制变为本地转 发，强制变为开放式认证，可以选择是否采用新的应急SSID。
原有的PSK、开放式的SSID，启用灾备策策略，并进入灾备后后，原有SSID可以保留，但强制 变为本地转发，可以选择是否采用新的应急SSID。
灾备后恢复
webAgent寻址
webagent服务器根据收到的更新包的源IP获取NAC设备的即时公网IP
2、NAC过来的源地址是x.x.x.x，所以 我知道NAC的公网ip是x.x.x.x了
4、NAC的IP地址 是X.X.X.X
webagent.sangfor.net.cn
1、NAC主动向服务 器更新自己的公网IP
常见功能配置
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无Biblioteka Baidu桥接
流控配置
信锐云助手
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
灾备
灾备是当WAC、隧道、认证服务器出现灾难性故障时，可以保障无线基本业务能正常使用。 用于配置无线网络在接入点无法连接无线控制器、用户认证服务器、短信服务器或微信服务器 进入灾备模式的时候，这个无线网络使用哪个应急无线网络、应急VLAN和角色。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
应用流控
国内最大的应用识别库，可对各种应用进行放行或者拒绝
应用流控
流量管理策略三要素：
限制/保证带宽
一个简单、有效的流控 策略包含三要素
网络应用对象
流控对象
天线选型
500米以内点对多点，root AP使用全向天线，
client AP使用板状定向天线。 1公里以内点对点或者点对多点，root AP使用板状定向天线， client AP使用板状定向天线。2个60 度定向天线桥接，最大距离不能 超过 2km。 1公里以上点对点，root AP使用栅栏天线， client AP 使用栅栏天线。此天线只有1个5G接口。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
无线桥接
无线桥接分为中继与网桥： 中继是为了扩大AP的覆盖范围； 网桥是为了解决部分区域没有宽带上网，通过AP与AP之间建立点对点网桥，实现数据交互。 常见有以下几种回传链路：
portal客户端-配置指导
1、信锐控制器作为portal客户端，对接支持portal2.0协议认证平台。首先【认证授权】【Portal服务器】添加portal服务器，并配置portal客户端地址。然后，添加radius服务器，并 点击测试。
portal客户端-配置指导
2、创建portal认证SSID，在认证类型里调用portal服务器，并在账号认证和高级选项里调用 radius服务器。
灾备条件
接入点离线 认证服务器断开
高级选项
灾备延迟：是指认证服务器与控制器断开连接后，延迟多长时间生效灾备。 检测间隔：检测微信\短信服务器的间隔时间。 故障判断：检测到服务器连续故障多少次，才认为需要生效灾备。
灾备后状态
原有企业级802.1X认证，启用灾备策略，并进入灾备模式后，原有SSID一定会被禁用，强制启 用新的应急SSID。
限制/保证带宽
设置线路带宽值，内网、外网都可以进行流控，只要流量经过NAC。
流控范围
流控的网络应用对象 1、网络应用 信锐无线应用识别采用DPI（数据包深度内容检测）及DFI（动态流状态检测）技术，能 够识别互联网几乎所有的应用，并进行精确的流量管理控制。流控较为常用的应用为： P2P，P2P流媒体，文件下载，MEDIA，HTTP应用，邮件等 2、网站类型（应用里面的访问网站）可基于不同的网站类型做流量管理 流控对象 1、组织结构里面的组或用户 2、单IP或IP段
3、请告诉我 总部的IP地址 5、AP主动去访问NAC 的公网地址：x.x.x.x
NAC启用webagent
webAgent需要单独申请，联系信锐客服人员申请webgaent，得到如下类似链接： 主：webagent.sangfor.net.cn/webagent/wlan/sundray2808.php， 备：webagent.sangfor.net/webagent/wlan/sundray2808.php，填写到控制器中对应的主备 上。
2018/8/8
portal客户端
信锐无线控制器能够对接的Portal服务器有 Portal2.0 深信服portal 华三portal（IMC） 信锐portal
2018/8/8
portal统一认证原理
信锐无线Portal统一运营平台使用Portal2.0协议，其本质就是为了实现统一认证效果。统一认证 实现原理是通过Portal2.0协议实现，其规定了终端与服务器之间交互信息的格式。详细原理参 考：中国移动WLAN业务portal协议规范。认证示意图如下：
注意事项
1、使用webAgent依然需要将控制器的端口映射到公网出口上（NAC内网部署时） 2、因为诊断工具的配置只具有一次有效性，当AP掉电重启之后配置就清空了。故当使 用该工具配置完之后需要在控制器上对AP点位再进行一次配置 3、webAgent不能解决端口映射问题，对于NAC内网部署的依旧需要映射UDP：7077、 7777，TCP：800、7070端口
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
工作原理
反制时，AP伪装成要反制的对象分别向STA和AP发送单播解关联帧，并实行周期性反制，反制 结束后，会清理掉STA与非法AP已经建立的关联关系，实现钓鱼反制的效果。 AP收集环境中的VAP，上传给无线控制器。 无线控制器对信息进行匹配和监测，然后生成策略规则发送给AP。 AP收到策略规则后执行反制任务。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
portal服务器
信锐无线控制器内置Portal服务器，可以实现所有厂商无线的统一认证，包括支持Portal2.0协议 以及不支持Portal2.0协议，有NAC的瘦AP组网或者没有NAC的胖AP。支持做portal服务端也 支持做portal客户端。 信锐无线控制器可以作为portal服务器支持列表： Portal 2.0 Sundray NAC Sangfor AC Ruijie Aruba Cisco Huawei H3C（IMC） 支持的认证方式有： 账号密码 短信 微信 临时访客 用户免认证
灾备后恢复，可以选择强制踢掉用户，要求所有用户重新认证，或者等用户下次接入再自动转 换角色。 强烈建议启用，灾备恢复后，踢掉用户，要求用户重新认证，提高安全性。
目录
Contents
1 1 2 3 4 5 6 7
接入点灾备 Webagent配置 Portal认证对接
无线反制
无线桥接
流控配置
信锐云助手
注意事项
1、配置无线网桥都是需要提前做好规划和提前配置的，特别是室外桥接 2、如果出现client AP 和 root AP 的SSID或者是密钥配置不一致，导致桥接无法正常，需要 重新都连接有线重新配置，配置顺序是：先改client AP的配置，在修改root AP的配置 3、一般桥接AP选取5.8G，因为干扰比较少，能保证链路的稳定 4、已经桥接成功的一组中继AP，如果需要修改连接频段的SSID参数，修改顺序必须是：先 修改clientAP，再修改rootAP 5、一个AP可以既是下一级client AP的root AP ,同时是上一级的clientAP。桥接级数不能超 过3级 6、一般桥接都建议采用定向天线桥接 7、桥接频段的SSID一般都是建议隐藏的
portal服务器-配置指导
1、在【认证授权】-【Portal服务】-【服务器参数】里面启用内置portal服务，参数协议端口 默认50100，服务器通信IP（NAC的IP），认证界面默认80，其他都可以选择默认配置。
portal服务器-配置指导
2、配置web认证策略，以本控制器做为portal服务器，配置web认证策略的时候，策略类型要 选择：第三方设备portal对接策略，Sundray NAC协议。同时，复制对接URL，如果点击 复制按钮没有作用，可以直接crtl +C 复制。其他认证类型就按以往配置即可。
反制配置
【流控与安全】-【无线射频防护】-【防护策略】新增射频防护策略，此处以信号压制的 Monitor模式为例；
反制配置
可以根据反制需求配置受反制参数和受信任接入点等；
反制效果
注意事项
1、开启无线射频防护并不能让非本WAC上的接入点发出的无线关闭，只是不能接入终端。 2、无线网络中，做反制的AP必须是在Monitor模式效果最佳。 3、测试和实施项目之中，建议单独拿AP出来做反制使用。 4、对于支持802.11ac协议的AP，由于ac协议射频口的特性导致5.8G频段只能反制本信道。