网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.10.0-3.12.0
网络控制器NAC 文档 快速开局 远程部署功能测试指导书
{{sendMatomoQuery("网络控制器NAC","远程部署功能测试指导书")}}

远程部署功能测试指导书

更新时间:2024-01-19

1需求与背景 

远程部署,适用于在各地有多个分支或者门店,由总部对各个分支或门店部署的AP进 行集中管理。

IMG_256

图1-1 场景模拟图

远程部署 AP 时,需要将 NAC 映射到公网,AP 通过寻找 NAC 地址进行在控制器上的 激活过程,AP 发现 NAC 的机制有:手动配置静态 IP 地址三层发现、DHCP Option43 方式 发现、DNS 域名发现。

 

2 具体实现 

2.1 端口映射 

由于公网 IP 匮乏或出于安全因素,企业内网常常都是采用私有 IP 规划自身的网络,而 如果内网有服务器需要让公网用户正常访问,而私有 IP 是不为公网用户访问到的,这时候,就需要在网络出口(有公网 IP)上做端口映射,以达到该需求。当然我们在部署远程 AP 的 时候,也是因为上述原因,配置了 NAC 的 IP 地址是私有 IP,导致我们需要在出口网关配置端口映射。

表2-1 相关端口介绍

协议

端口

表示

UDP

7777

AP 与 WAC 发现协议端口

UDP

7077

5246

5247

AP 与 WAC 通信数据隧道端口

TCP

7070

AP 与 WAC 通信数据隧道端口

TCP

800

AP 下载软件镜像端口

TCP

22345

后台 pshell 登陆使用端口

TCP

443

Web UI 控制台端口

2.2 常见部署场景 

2.2.1常见部署场景

远程部署,分为两种部署场景:

第一种,是没有将 AP 在总部激活过,直接将新 AP 部署到分支端;

第二种,是将 AP 在总部激活(AP 和控制器在同一局域网),上线后再将 AP 放置分支部署。

下面让我们进行相应的配置,文中有关配置截图均基于 NAC 3.11.0版本。

2.2.2分支直接上线

1)AP诊断工具+WinPcap:点击下载 

图2-1 AP诊断工具troubleshoot

2)将笔记本用有线连接 POE 交换机或者核心交换机(保证 AP 和电脑在同一个二层网络且在同一个 VLAN 中即可)。

图2-2 AP诊断工具troubleshoot界面

3)使用工具扫描。

图2-3 AP诊断工具troubleshoot扫描

4)扫描出来后,查看 AP 数量是否准确,如果不准确要检查下是否有 AP 正常供电或者网线脱离等原因导致没有连入网络。

5)点击“开始配置”对 AP 点位进行配置。

图2-4 配置AP

6)此时提示输入密码,请输入当前密码 admin 或者修改后的密码。

图2-5 登录AP

7)根据需求,修改 AP 的接口为“普通模式”或者“网关模式”

图2-6 设置部署模式

当 AP 部署为“网关模式”,需要输入 PPPOE 拨号的账号和密码,LAN 口是 AP 作为网关的内网口,网段是自定义的。AP 到时候是内网的网关,LAN 口是什么网段客户自己划分即可。我们设备上默认是 192.168.100.1/24。

图2-7 “网关模式”界面

8)手动指定控制器的 IP 地址,填写的是控制器映射出去的公网地址。

图2-8 控制器参数界面

9)完成后点击确定,然后提交刷新。

10)在控制器的管理界面,【接入点配置】—>【无线接入点】—>【发现新接入点】, 发现新的 AP,将其激活上线。

图2-9 激活AP

1684460111901

图2-10 激活AP

2.2.3总部先激活后在分支上线

1)在本地将 AP 激活

a、 普通模式

在【接入点配置】—>【无线接入点】—>【发现新接入点】,激活新的接入点,激活的时候在【发现控制器 IP】的位置写控制器映射出去的公网地址。

1684460111901

图2-11 激活AP

b、 网关模式

在【接入点配置】—>【无线接入点】—>【发现新接入点】,激活新的接入点,激活的时候在【发现控制器 IP】的位置写控制器映射出去的公网地址,在【部署模式】选择网关模式,若是 PPPOE 拨号,填写好相应的参数。

图2-12 “网关模式”激活AP

2)分支上线

将本地激活上线后的 AP 带到分支,加电后,保证 AP 能获取地址并且正常访问到网络, AP 会查找控制器,配置上线。

2.3 常见的拓扑 

1)普通模式部署拓扑

图2-13 普通模式部署拓扑

2)网关模式部署拓扑

图2-14 网关模式部署拓扑

 

3 注意事项和简单问题排查 

3.1 注意事项  

1、因为 troubleshoot 工具的配置只具有一次有效性,当 AP 掉电重启之后配置就清空了。 故当使用该工具配置完之后需要在控制器上对 AP 点位再进行一次配置。

2、远程部署建议是在分支直接进行调试配置激活上线。

3、部署的无线网络建议使用本地转发模式,集中转发可能会造成网络延迟较大, 控制器出口带宽使用较大的现象。

3.2 问题排查  

1)AP 发现不了

  1. AP是否供电正常?
  2. AP 是否能够访问公网?将电脑和 AP 放在同一个二层环境且同一VLAN下使用 AP 诊断工具扫描, 确保 AP 有地址并且能正常访问公网。
  3. 控制器是否直接部署到公网上?若不是,是否将相应的端口映射出去。相应的端口 映射在 3.1 节。
  4. AP 填写的发现控制器地址是否是映射出去的公网地址?
  5. AP 到控制器的 udp7777 端口不通,在 troubleshoot 里面的命令行的位置,用 udpconnect x.x.x.x7777 查看端口是否 open。

2)AP 激活后离线

  1. AP 诊断工具判断 AP 是否获取地址,地址是否可以访问到公网。
  2. 控制器的 AP 授权数是否足够,离线的 AP 也算授权数量。【应用中心】->【服 务管理】->“序列号”->“设备序列号”中的 AP 数。
  3. 控制器版本和 AP 的软件版本是否一致,若不一致,AP 需要一定时间同步版本。
  4. 激活 AP 时候所选的默认组里面的主控制器地址是否填写是正确的控制器映射 出去的公网地址。

3)AP 一直同步不了版本

  1. 该 AP 的硬件型号是否支持在该控制器的软件版本上线。对应型号是否支持可以咨询售后客服,售后热线:400-878-3389。
  2. AP 到控制器 tcp800 端口不通,在 troubleshoot 里面的命令行的位置,用 tcpconnect x.x.x.x800 查看端口是否 open。

4)分支获取不到地址

  1. AP 获取不到地址

检查网络配置,是否开启 DHCP,可以将电脑接在 AP 所接的 POE 交换机端口,看 是否能够获取地址。

  1. 终端获取不到地址
  1. 终端的地址从哪里获取?DHCP 服务器在何处开启?
  2. 相应线路上面的端口是否是畅通的,比如若终端是 VLAN 2 的地址,交换机等端口是否允许 VLAN 2 通过?
  3. 新增无线 网络的 VLAN 配置是否是相应的 VLAN ID 号?

若这些排查已经检查并且解决,还是 AP 上线不了,终端无法获取地址上网,请拨打信锐售后电话:400-878-3389 获取相应技术支持。