网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.10.0-3.12.0
网络控制器NAC 文档 功能配置 高可用 集中管理配置指导手册
{{sendMatomoQuery("网络控制器NAC","集中管理配置指导手册")}}

集中管理配置指导手册

更新时间:2023-12-07

1功能简介

“集结号”一体化无线组网方案,一台中心NMC管理多台分支NAC,再由分支NAC管理各无线AP,中心NMC只管理分支NAC,分支NAC则单独进行各AP的数据处理。完美的解决了单一网关出口数据转发瓶颈以及后期运维和数据分析的问题。集中管理的认证方式有两种:分布式认证和集中认证。典型网络拓扑图如下图所示。

2配置步骤

2.1确认授权

集中管理是需要授权序列号的,在开启集中管理序列号时,如下图所示。

2.2分支NAC加入中心端NMC

2.2.1中心端NMC配置

1、NMC根据需求创建分组,截图如下:

2、添加NAC分支

分支名:给对应分支命名,方便后期维护

选择分支类型:根据具体分支端控制器类型选择,选择NAC;

账号:分支端加入NMC使用的账号

密码:分支端加入NMC使用的密码

型号:对应的设备硬件型号,此处可自动匹配

网关序号:选填

网络管理模式:如果需要由分支管理员自己维护则选择分支管理;如果需要由总部NMC管理员统一维护则选择网络管理中心管理:

2.2.2分支端NAC配置

启用集中管理,网点控制器被中心端控制器控制,中心端控制器能远程监控或管理网点控制器。根据不同的需要,网点控制器可以选择不同的受控模式。分别为集中监控模式、集中管理模式以及维护模式。

监控模式的网点控制器独立配置自身所有的配置,中心端控制器仅监控网点控制器的运行状态。

集中管理模式需要中心端和网点版本一致,由中心端集中配置下发无线网络等集中管理的配置

维护模式下,中心端控制器暂时不将配置下发给网点控制器,网点控制器也不能修改之前集中下发的配置,当中心端和网点版本不一致时自动切换,或由中心端管理员主动切换,批量切换成维护模式

本案例以监控模式为例进行配置:

分支NAC加入成功会显示“已连接”;中心NMC上显示分支NAC“在线”:

2.3分支端SFG配置

2.3.1分支端SFG配置

登录分支SFG,切换成专家模式。接入方式选择“配置中心端地址”,填写分支名称和中心端NMC IP地址提交后,SFG              上显示连接状态为“待激活”状态

2.3.2中心端NMC配置

完成SFG配置后,登录NMC中心端,在【SD-WAN-【集中管理】-【待审核分支】中勾选并审核通过即可。

2.4灾备配置

2.4.11+1灾备

两台分支控制器互为灾备,当任意一台控制器宕机后,由另一台控制器接管AP。1+1灾备模式下,类似于异地双机,两台控制器会同步配置,会将控制器1的配置覆盖到控制器2。在此模式下,两台控制器会同步配置及认证信息。故当AP被另一台控制器接管后,终端用户无需重新认证。

2.4.2N+1灾备

指定1为中心控制器,N为分支端,即当分支设备宕机后,由中心端接管AP(即类似之前版本的集中管理)可以手动指定一台网点控制器为集中认证的中心控制器,N为分支控制器。

3注意事项

3.1端口号

中心端NAC需要映射以下端口:

TCP5000  (控制隧道端口,下发命令)

UDP5000  (数据隧道端口,下发配置)

TCP30000-31000 (从中心端直接跳到分支页面需要的端口)

托管还需要映射远程部署的需要的端口(tcp 800、7070  udp 7077、7777)

3.2分支加入集中管理

分支端NAC之前已经使用,上面的AP已经激活并调整过信道功率,此时加入集中管理清空配置时,会保留AP的相关配置,加入到集中管理后,在中心端控制器【接入点管理】->【分支控制器】->【更多】->“加载配置”中恢复。

3.3AP托管

加入集中管理模式的分支,可以在中心控制器使用AP托管功能,当分支的控制器挂掉时,分支的AP会自动托管到中心控制器上。处于托管状态的AP会被当做中心控制器的AP对待。             

在AP托管过程中要无缝切换的话,需要分支和中心都有用户的vlan且网段一致。这样被托管到中心后用户流量直接接管,否则需要重新连接。因为部分版本是默认不打开托管功能的,所以需要手动开启。

3.4集中认证和分布式认证

集中认证和分布式认证会对功能上产生很多异同点,以下介绍几点常见的:

切换认证模式(集中认证、分布式认证)后,SSID需要重新配置。

集中认证在中心端会显示分支AP的在线情况,在线用户信息,用户认证日志。

分布式认证在中心端不会显示分支AP的在线情况,在线用户信息以及用户认证日志

中心端的内置数据中心不能看到分支的审计数据,需要看分支的数据,需要跳转到分支的内置数据中心。

如需要统一在一个数据中心中查看所有审计数据,需要建立一个单独的外置数据中心,所有分支端均同步到同一个外置数据中心。

3.5灾备情况

1、分支挂了用户如何认证,是否可以漫游?

AP可以被托管,则直接被当做中心端用户认证上线,可以实现漫游。

AP无法被中心端端托管,用户只能通过灾备模式上线。

2、中心挂了如何认证,是否可以跨AC认证漫游?

集中认证的分支控制器,当与中心控制器断开连接时,访客认证会进入灾备模式,并以灾备角色上线。账号认证会继续验证账号,不再进行终端验证(终端绑定)。

中心控制器恢复之后,在分支以灾备角色上线的用户是否下线,控制开关在【SD—WLAN】->【无线策略】->【无线灾备策略】->【灾备策略域】->【全局选项】中配置。

分布式认证不受影响,但是不能跨AC认证漫游。