2017年度信锐课堂初级认证课程二01_无线数据转发

劣势 漫游效果不好，不宜排查问题 功能实现不全 不利于管理和数据分析
针对无线用户 审计 应用类访问控制策略 流控
本地转发 3.3版本及以上支持 不支持 不支持
集中转发 2.4版本及以上支持 支持 支持
vlan配置
WAC接口除了可以配置成三层接口，也可以配置成二层口。 1、配置二层接口access模式 透传vlan或者标记vlan，相当于将接口eth2划进vlan10，那么这个接口接收并转发没有vlan标记 的数据，相当于命令：switchport mode access switchport access vlan 10
USB,调试 或者恢复 密码用
管理口， 管理用 业务数据口
控制器登录
10.252.252.252/24
界面：web控制台 登陆：https方式 MANAGE口默认地址：10.252.252.252 默认用户名密码：admin/admin
10.252.252.1/24
管理PC地址在 10.252.252.0/24 网段即可
信锐课堂初级认证课程 无线数据转发
目录
Contents
1 2 3
入门介绍
无线数据转发 配置案例
目录
Contents
1 2 3
入门介绍
无线数据转发 配置案例
基本概念介绍
NAC：信锐无线网络控制器。在瘦AP架构的WLAN网络中扮演管理AP的角色。
NAP：无线访问接入点。在瘦AP架构的WLAN网络中提供接入服务，通常分布在无线网络 服务区的多个地方，用于覆盖该服务区，提供无线服务 POE交换机：对AP进行供电，以及数据传输 STA：无线访问站点。带有无线网卡的终端。
策略路由配置
策略路由只能基于源IP来做分流，假如有需求是基于接入点做分流的情况，可以在ssid里面根据 接入点定义vlan规则，然后再根据源IP做策略路由实现分流。
目录
Contents
1 2 3
入门介绍
无线数据转发 配置案例
案例介绍
Wan0:pppoe 路由器 Lan1:192.200.4.254/24 二层交换机
AP首次与无线控制器连接，当发现到新AP，控制器会在右上角提示有新AP接入 点击即可跳到“发现新接入点”列表去激活。
接口配置
VLAN配置
DHCP配置
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
AP发现激活
在控制器会在右上角提示有新AP接入，点击即可跳到“发现新接入点”列表。勾选，然后点激活， 选择AP所属组和发现控制器IP，其他默认。系统状态 | 无线状态 选项中可以看到上线AP。
INTERNET
INTERNET INTERNET
控制器
控制器 有线网络 无线网络
AP
AP
PC
AP
AP
策略路由配置
有线配置 | 网络配置 | 网络IP组| 添加源IP组，这里以内部员工和访客组为例。 策略路由 | 选项中新增源地址的策略路由，根据提前规划好的分流需求，设置源IP和对应的出 接口线路或者下一跳IP。设置内部员工和访客上外网的线路。
恢复默认配置：使用回环线，直接接在eth0管理口（MANGER）上，加电启动WAC后， WAC就恢复默认配置了，此时，WAC不会自动重启，也不需要手动重启。 回环线制作方法：普通的一条交叉网线，把一端水 晶头弄掉，把1-3对接，2-6对接起来，然后使用另 外一头连接。
目录
Contents
1 2 3
接口配置
VLAN配置
DHCP配置
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
关于AP发现
部署无线接入点之前，通常不需要对AP进行任何配置。只需在无线控制器统一集中配置，这种方 式简化了部署及配置过程。 因此，AP启动后，需要首先寻找无线控制器的地址，以连接到无线控制器，以接受统一管理，获 取配置，创建数据隧道等。 自动发现WAC有以下三种方式：二层广播、DHCP（带option 43字段 ）、DNS域名解析 另外还可以静态指定控制器IP、webagent方式发现WAC
数据隧道
控制隧道
无线控制器 (DHCP SERVER)
业务数据
业务数据
隧道头
AP
混合转发
在同一个环境下，无线网络可以同时存在集中数据转发与本地 数据转发，该属性可以在配置WLAN的SSID时指定传输类型。 一个的SSID仅可以设置一种数据转发模式，AP支持承载双频各 多个可用的SSID，所以就可以设置双频多种数据转发模式。
DHCP配置
根据个人需求，可以在内网三层设备上配置DHCP或者在WAC上配置DHCP服务器，在WAC上配 置DHCP服务器有两种方式： 1、在三层物理接口下配置，此种方式下，DHCP服务器可以给AP分配IP地址。 本地转发模式下也可以给无线终端分配IP地址，需在SSID里面的vlan设置配置1。集中转发 模式下无法从物理接口DHCP地址池获取IP，需要新增vlan接口启用DHCP。
5
接口配置
VLAN配置
DHCP配置
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
NAT配置
有线配置 | 网络配置 | 地址转换 选项中新建源地址转换，勾选启用框，名称自定义，源地址选择 全部，入接口选择vlan 10（vlan10是业务vlan，需要新增） ，出接口选择上联口eth1，其它参 数默认。
接口配置
VLAN配置
DHCP配置
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
DNS配置及测试网络连通
有线配置 | 网络配置 | DNS 勾选启用DNS代理，配置当地DNS或者电信DNS114.114.114.114。 然后可以通过ping测试控制器是否可以上外网。 系统维护 | 命令行控制台 然后ping www.baidu.com查看是否可以ping通，以确认有线基础网络 有没有配置好。如果看到 0% loss，说明网络正常。
在浏览器里输入https://10.252.252.252进入管理控制台
控制器密码及配置恢复
密码恢复：找一个U盘，在里面建一个.txt的文件，文件名称是叫 reset-password，内容 留空，然后把U盘插到NAC的USB口上，重启一下NAC，重启完了拔下来，U盘里面会自 动新增一个log文件，里面写了新修改的密码就是admin。 （不需要其他任何操作，设备 不会自动重启）U盘要求是FAT32格式的，如果有多个分区，文件放到根分区。
Internet
Tunnel
Fit AP
Fit AP
Fit AP
Wireless network
802.11 Frame
无线接入点介绍
RESET按钮
千兆电口
console口
电源输入
AP恢复默认配置：长按RESET按钮10-15秒（大于4秒，小于30秒），重置完成AP会热 重启。
无线控制器介绍
console口， 调试或者通 讯用(短信猫)
出口路由器
Internet
POE交换机 无线控制器 (DHCP SERVER)
数据走向
控制隧道
业务数据
AP
集中转发
AP和NAC之间起数据隧道和控制隧道协议； 业务数据封装在数据隧道内部传输；
出口路由器
Internet
数据隧道头部采用udp协议，源和目的端口 都是udp：7077
业务数据
POE交换机
现有环境：XX公司使用有线方式上网，结构简单，出口使用 拨号路由器，使用非网管二层交换机，路由器有DHCP功能 为内网电脑分配IP，分配网段为192.200.4.0/24
需求：部署无线网络，认证WPA个人（PSK）方式，无其它 要求，可以上网就行。
改造后无线网络拓扑
Wan0:pppoe 万能功能测试拓扑 Lan1:192.200.4.254 NAC eth2
option43用来给 AP发现控制器
接口配置
VLAN配置
DHCP配置
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
路由配置
有线配置 | 网络配置 | 静态路由 选项中新增静态路由，这里新增一条默认路由，目标地址和网络 掩码都是0.0.0.0 下一跳地址是WAC上联口的网关地址192.200.4.254，其它参数默认。
入门介绍
无线数据转发 配置案例
转发模式
本地转发：管理数据和业务数据分开，所有业务数据直接从AP转发，无隧道封装， NAC 只负责管理AP。
集中转发：无线终端STA所有的上网业务数据到达AP后，由AP进行数据封装，由AP集中 转发给NAC，再由NAC集中转发出去上网。
本地转发
AP和NAC之间只起控制隧道协议； 终端业务数据不封装
ຫໍສະໝຸດ Baidu
vlan配置
2、配置二层接口trunk模式 允许多个VLAN带标签通过，默认只允许native VLAN（PVID）不带标签通过，默认为1。相当 于命令：switchport mode trunk switchport trunk vlan all switchport trunk pvid vlan 10
SSID:OFFICE 本地转发
SSID:GUEST 集中转发
转发模式优劣势
本地转发
优势 减少无线控制器负载和吞吐 故障后保持原有业务连续性 特殊场景必须使用本地转发
集中转发
优势 便于管理，功能实现全面 漫游效果好 网络规划更加灵活 便于扩展新功能 高可用性 劣势 单点故障 无线控制器吞吐、负载高 非单臂、端 口聚合等
接口配置
VLAN配置
DHCP配置
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
关于AP激活
为防止未授权的接入点连接到无线控制器，并获取无线网络配置的风险。AP连接到无线控制器后， 并未进入工作状态，需要管理员在"发现新接入点"列表中，确认接入点的合法性，并手动执行激活 操作，接入点才能正常工作。
DHCP配置
2、在虚拟vlan口下配置，该方式适用于本地转发和集中转发。 本地转发模式下如果要从WAC获取地址，需要将三层物理接口设置成二层口，根据个人需求配置 access或者trunk模式。 当终端网段和AP的网段不同时，需要在SSID里面的vlan设置配置成终端获取地址的vlan ID， 假设是vlan20，配置如下。
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
VLAN配置
有线配置 | 接口管理 | 物理接口选项中可配置eth2接口属性，接口类型设为二层接口，access vlan 1。
接口配置
VLAN配置
DHCP配置
路由配置
NAT配置
DNS配置
AP配置
无线网络配置
VLAN、DHCP配置
有线配置 | 接口管理 | VLAN接口 新增vlan 1，手动设置IP地址，该地址按实际环境配置，本案例 中设为172.16.1.254/24。同时启用DHCP服务，然后配置DHCP地址池。高级选项开启允许vlan 间路由
eth1
lan
AP
无线用户网段vlan1 172.16.1.0/24
无线控制器登录
接口配置
有线配置 | 接口管理 | 物理接口选项中可配置eth1接口属性，接口类型设为三层接口，手动设置 IP地址，该地址按实际环境配置，本案例中设为192.200.4.60/24。
接口配置
VLAN配置
DHCP配置
路由配置
WAC路由表来源 3、默认路由：其实也是静态路由，建议WAC上直接配置一条8个0的默认路由，下一跳地址是控 制器上联口的网关地址，相当于 S* 0.0.0.0/0 [1/10] via 192.200.4.254
策略路由
策略路由一般适用于如下图两种网络环境，WAC可以基于源IP组、目的IP组、协议实现分流，但 是无法实现负载或者冗余备份。 策略路由优先级>静态路由优先级 匹配规则：从上往下
WLAN网络构架
NAC：无线控制器. 在瘦AP架构中扮演对AP进行管理角色，可以实现：对所有AP进行管理/ 认证安全/报文转发/QOS/漫游….
优点： 集中管理： NAC上配置好文件，AP本身零配置，管理简易 增加射频环境监控，基于用户位置安全策略，高安全性 L2、L3漫游，适合大规模组网
Ethernet
路由配置
WAC路由表来源 1、直连路由：启用一个三层接口或者在vlan接口新增一个vlan，那么WAC路由表就会添加一条 直连路由 C 192.200.4.0 is directly connected, eth1
路由配置
WAC路由表来源 2、静态路由：越精确的目的地址，路由优先级越高，接口可以设置自动选择，假设WAC上 vlan10的IP是172.16.1.1。 S 172.16.1.0/24 [1/10] via 172.16.1.254，vlanif10