网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.10.0-3.12.0
网络控制器NAC 文档 快速开局 跨三层组网配置指导手册 本地转发-AP和用户同VLAN
{{sendMatomoQuery("网络控制器NAC","本地转发-AP和用户同VLAN")}}

本地转发-AP和用户同VLAN

更新时间:2023-12-07

1 拓扑与需求描述 

1.1 拓扑 

1.2 需求描述 

如图,控制器旁挂核心,由核心做DHCP给AP和无线用户分配IP地址,AP和用户网关均在核心,AP和用户同一VLAN,无线网络本地转发上网;AP和控制器跨网段部署。

IP网段规划:

核心和控制器互联地址是172.16.1.1/24  

AP 1 管理vlan、内部员工:vlan 10 192.168.10.0/24

2 配置步骤 

2.1 配置思路 

1、配置控制器地址、静态路由、DNS等,确保控制器能够上外网

2、配置核心交换机的DHCP

3、配置核心交换机、汇聚、接入层交换机的接口属性,确保AP能正常获取到对应管理VLAN的地址,并且和控制器的IP地址能正常通信

4、给AP指定发现控制器地址,让控制器能够发现AP

5、在控制器上激活AP

6、配置无线网络

2.2 控制器配置 

由于核心和控制器互联的地址是172.16.1.1,所以控制器上需要有一个地址是172.16.1.0/24网段的地址作为控制器的IP地址。

此时,由于无线网络要求本地转发,用户数据不经过控制器,所以控制器的eth1口只需要能和核心通信即可,那么控制器的eth1口可以配置成三层接口,或者二层接口access vlan 1,或者trunk口 native vlan 1,只需要保证和核心的接口属性一致即可。

在【系统管理】-【网络管理】-【接口管理】中,以三层接口为示例,IP地址为172.16.1.2/24.

并给控制器配置静态路由,在【系统管理】-【网络管理】-【网络配置】-【静态路由】新增目标地址和网络地址都为0.0.0.0,下一跳地址为控制器的网关地址(核心的IP)172.16.1.1,确保控制器可以和核心上AP网关、用户网关地址通信(必须配置),并配置控制器的DNS。

2.3 核心交换机配置 

核心上配置VLAN 10的DHCP地址池(此处省略DHCP配置)

(1)核心C1口:只需要保证控制器能ping通核心的172.16.1.1的地址即可,以access接口为例。

参考配置

Interface c1

Switchport mode access

Switchport access vlan 10

(2)核心C2:由于无线AP和无线用户的地址是同网段,且无线是本地转发,从核心获取地址,那么核心的C2接口能允许VLAN 10通过即可,所以C2接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface c2

Switchport mode access

Switchport access vlan 10

2.4 汇聚交换机配置 

(1)汇聚F2:接口模式需要和核心的C2接口模式保持一致,F2接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface f2

Switchport mode access

Switchport access vlan 10

(2)汇聚F1:F1接口底下接的是POE交换机,F1接口和F2口模式保持一致,F1接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface f1

Switchport mode access

Switchport access vlan 10

2.5 POE交换机配置 

(1)POE交换机G1、G2、G3:G1、G2、G3接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface g1-3

Switchport mode access

Switchport access vlan 10

2.6 AP配置 

确保交换机和控制器配置完成后,且控制器和核心之间可以正常通信。可以在控制器【系统管理】-【故障排除】-【命令行控制台】测试。

使用troubleshoot工具扫描AP,确保AP获取到了正确的地址。

详细操作参见《AP诊断工具配置手册》

troubleshoot工具扫描AP方法:

1、找一台电脑,电脑网口和AP同时连接在同vlan的交换机上

2、电脑上下载troubleshoot工具

3、双击运行troubleshoot工具,选择电脑的有线网卡扫描AP

点击开始配置(密码默认为admin或者beyondos1,如果不记得密码可以将AP重置,重置后密码为admin),找到【命令行】,测试AP是否可以和控制器通信。只有AP和控制器能正常通信才有可能发现AP。

由于控制器和AP是跨网段部署,控制器不能直接发现AP(同二层环境AP会主动发广播包发现控制器),需要通过发现控制器方式让AP主动去发现控制器,指定发现控制器地址方式有troubleshoot手动指定、Option 43、WebAgent、DNS域名等。

接下来演示使用troubleshoot工具配置AP,让AP主动发现控制器,在troubleshoot中勾选需要设置的AP,点击批量修改,指定无线控制器地址为控制器的IP 172.16.1.2即可。

提交后即可在无线控制器上发现AP。

2.7 激活AP 

确保以上配置没问题,即可在【接入点管理】-【接入点配置】-【接入点】-【发现新接入点】发现AP,选中AP点击激活,选择AP所属组,并填写发现控制器IP地址,点击提交。

此时,等待AP同步版本上线即可。可以在【首页】-【设备】-【接入点】-【接入点列表】查看在线的AP。

注意:等AP全部上线后,由于AP和控制器是跨三层部署,需要重新在控制器上给AP下发“发现控制器”地址,防止AP断电后配置丢失(troubleshoot工具配置是临时生效的,断电会丢失)。

2.8 无线配置 

在【接入点管理】-【无线网络】中新建无线信号sundray,数据模式为本地转发,设置无线密码。

【VLAN设置】需要保持默认的VLAN 1,即表示无线本地转发从AP所在的VLAN 10获取地址。

无线配置完成,提交即可。此时即可连接无线测试上网了。