对于NAC,每个菜单页面的配置页面右上角,设备页面都自带有帮助文档,该配置文档详细的介绍了NAC各种功能的使用方法以及原理介绍。
『系统状态』主要用于查看设备的基本状态信息,包括【运行状态】、【流控状态】、【无线状态】、【交换机状态】、【流量排行】、【告警事件】、【黑名单】、【地址池状态】。
『运行状态』可以查看设备运行的基本信息,包括CPU/内存利用率、在线用户、当前会话数、接口信息、接入点状态、无线流量、接口吞吐率、应用流量、用户流量等信息。
2.1.1CPU和内存使用率
在【运行状态】界面上面可以直接看到CPU和内存的使用率以及接口的状态等信息。
在【运行状态】界面下面可以直接看到无线吞吐率的趋势图,以及在线用户的趋势图,还有当前的应用流量与用户流量。
2.1.2应用流量
在【运行状态】界面下方可以点击“展开”
,详细的查看无线用户的详细应用流量和用户流量
点击应用流量下面的应用名称,还可以查看该应用流量的趋势图,可以选择5分钟,1小时,最近1天,最近一周的该流量趋势图,便于掌握流量趋势情况,规划流控策略使用。选择方法如下图所示:
点击用户数,还可以看到当前应用流量的用户组成情况,如下图:
2.1.3用户流量
在【运行状态】页面底下还可以看到用户流量状况,当前哪些用户占用流量较多,默认依次按流量百分比从上到下进行排列,界面如下图:
流控状态包含了【通道状态】、【线路状态】、【排除策略】,如下图显示,其中通道状态显示了流控通道配置后,每条通道的实时运行状态与当前配置。
线路状态显示了每条线路的当前流量瞬时速率、线路占用比率,和线路带宽。线路状态是需要在【有线配置】-【线路带宽】根据实际线路情况提前配置并调用,才能在此处正常显示。
排除策略显示了在流控功能中,不受流控策略限制的流量状态,需要在【流量控制】-【流量控制通道】中添加排除策略,才可在此查看到。
在线用户,可以看到当前接入网络的无线用户信息,显示无线网络的用户,以及用户的终端,权限,流速等信息。
无线用户除了以组织结构查看外,还支持以接入点分组的方式查看无线用户信息,如下图:
2.4.1接入点状态
在【接入点状态】中可以看到各个接入点的名称,在线状态,IP地址,无线网络个数,用户数,流量接收、发送等基本信息
点击【射频】还可以看到每个AP的工作频段、工作信道、AP承载的无线网络数量、信道利用率、噪声值、无线协议、重传率、误码率等信息。
点击【发送】或【接收】下面的数据,可以看到当前AP详细的上下行流量,还可以选择【最近5分钟】、【最近1小时】、【最近一天】、【最近一周】的流量图。
信道利用率:信道利用率数值代表信道的繁忙程度,信道利用率越低体验越稳定。
噪声值:指无线网络频率范围内的辐射电磁干扰。噪声问题容易引发无线数据帧的丢包及误码,如果一个接入点所处的位置噪声值比较高,严重影响数据传输,应考虑更换部署地点或清除干扰源。
无线协议:无线接入点的无线网络协议,例如无线网络协议,2.4G支持802.11b/g/n,5.8G支持802.11a/n/ac。
重传率:重传率越高,代表无线网络数据的丢包越严重。
误码率:误码率(BER:bit error ratio)是衡量数据在规定时间内数据传输精确性的指标。在无线数据通信中,如果发送的信号是"1",而接收到的信号却是"0",这就是"误码",也就是发生了一个差错。在一定时间内收到的数字信号中发生差错的比特数与同一时间所收到的数字信号的总比特数之比,就叫做"误码率"。噪声、交流电或闪电造成的脉冲、传输设备故障及其他因素都会导致误码。
2.4.2无线网络状态
在【无线网络状态】中可以看到所有的无线网络情况,包括每个网络包含的接入点AP数量,当前网络的接入用户数,当前网络的发送和接收流量统计。
点击接入点,用户数,以及发送或接收可以看到相应的数据,比如点击接入点,就可以跳入到该网络所有接入点列表。
点击【用户数】时,就可以看到当前接入的用户的用户名,所属组,IP地址信息。
点击【接收】或【发送】就可以看到当前网络【最近5分钟】、【最近1小时】、【最近1天】、【最近1周】的流量情况:
显示交换机的运行状态,可查看交换机的在线状态、负载以及端口状态。可以通过交换机面板图看出来,交换机每个口的Link/Act,PoE供电状态。点击具体的某个口,可以看到端口的详情,包括VLAN和PoE的配置信息,以及流量趋势,端口收发包情况。
单独点击交换机名称可以查看交换机配置信息。
【普通模式】可以查看交换机的所属组、MAC地址、管理IP、描述、控制器、序列号、射频天线数、软件版本、硬件版本、管理VLAN、交换机日志、整机吞吐。
【应用流量】排行可以查看所有用户的应用流量情况,依次按百分比从大到下排行,并显示该应用的用户数,与上下行流速,情况如下图,此功能的分析可以用于优化【流量控制】中的流量控制策略。
点击应用流量下面的应用名称,还可以查看该应用流量的趋势图,可以选择5分钟,1小时,最近1天,最近一周的该流量趋势图,便于掌握流量趋势情况,规划流控策略使用。选择方法如下图所示:
【用户流量排行】可以看到用户流量状况,当前哪些用户占用流量较多,默认依次按流量百分比从上到下进行排列,界面如下图,此功能的分析可以用于优化【流控与安全】中的流量控制策略。
当设备运行时,会自动产生有告警事件、比如网口断开与连接情况,双机切换,AP断开,钓鱼AP等告警信息会在这里显示,显示日志是为了让管理员知道最近设备运行状况,是否有异常信息,可以到这里查询告警事件列表。
可以手动添加黑名单,以阻止指定的 MAC 地址终端连接有线和无线网络。
当终端进行暴破登录或者其它恶意攻击行为时,系统会将此终端的 MAC 地址加入黑名单,拒绝一段时间内该终端的连接请求。由终端类型绑定策略触发的非指定类型终端接入,系统也会将此终端MAC地址加入黑名单并拒绝该终端的连接请求,限制时间随策略而定。
点击添加,添加MAC地址:
展示控制器和交换机DHCP地址池的IP分配情况,通过 发生冲突的IP、获取IP失败的终端、地址池利用率等信息,管理员可以直观快速地发现解决网络问题。
智能网络拓扑图显示信锐设备(交换机和ap)的运行状态,可查看信锐设备的在线状态、负载以及端口状态。可以通过交换机面板图看出来,交换机每个口的Link/Act,PoE供电状态。点击具体的某个口,可以看到端口的详情,包括VLAN和PoE的配置信息,以及流量趋势,端口收发包情况。通过AP面板图看出来AP和交换机以及AP和AP连接状态。点击AP之间或AP和交换机之间的连线,可以看到端口连接情况。
主拓扑:与控制器同二层的信锐设备通常显示在主拓扑中。
分支拓扑:与控制器跨三层的信锐设备通常显示在分支拓扑中。
无连接离线设备:信锐设备离线以后,且与智能网络拓扑图中的其他设备无连接数据,成为无组织离线设备。
无连接待激活设备:跨三层可发现、未激活的设备,与智能网络拓扑图中的其他设备无连接数据,称为无连接待激活设备。
二层透明网络:我司框式交换机/我司胖模式交换机/我司低版本交换机/我司低版本AP/我司胖AP/非我司设备等在拓扑中均显示为二层透明网络。可根据实际拓扑,将二层透明网络替换成我司设备,进行后续管理。
三层网络:分支拓扑与控制器之间经过三层网络相连。
左键点击拓扑中的设备,可查看设备状态。
右键点击拓扑中的设备,可编辑设备或删除设备。
网络质量感知是Turbo Sense AP独有的功能,无线网络开启网络质量感知之后会启用自身的AI射频接入自己的无线网络,进行终端接入、DHCP获取地址、网关检测、DNS地址解析、网络地址检测五个阶段的检测,并通过设置的阈值得出该射频当次的检测结果。
网络质量感知功能需要Turbo Sense AP支持。
网络健康度:通过统计检测射频总数、故障个数、波动个数、离线AP个数,对当前网络状态进行评分。
网络健康度趋势:每间隔15分钟统计一次网络健康度,记录在趋势图。
无线网络卡片:根据当前网络状况显示对应卡片颜色,并显示对应正常、波动、故障AP的个数;正常和波动状态显示对应接入人数,故障状态显示对应影响人数。点击无线网络卡片则会跳转至单个网络页面。
全链路检测次数:统计当前环境所有网络下所有接入点的检测总数、故障次数和时长、波动次数和时长。
各阶段检测成功率:对应阶段射频检测结果为正常的个数与对应阶段检测总数的比值。
网络质量时间分布:按一天24小时展示对应网络的情况。蓝色表示检测结果为正常,黄色表示检测结果为波动(存在任一AP的任一射频检测结果为波动,则无线网络该时间段显示波动),红色表示检测结果为故障(存在任一AP的任一射频检测结果为故障,则无线网络该时间段显示故障),对应状态下显示对应的时间点及持续时长。
网络质量区域分布:按区域统计所有射频检测结果的故障、波动、正常次数。
故障类型分布:按五个阶段对应的故障事件类型统计出现的次数和百分比。
故障时长排行:按五个阶段对应的故障事件类型时长大小降序展示前五个故障事件类型和时长。
3.3.1用户业务画像
无线终端网络质量汇总展示终端画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
无线协商速率:展示终端在不同时间段内流量协商速率变化信息。
网关质量:展示终端在不同时间段内网关请求成功率、时延趋势,以及发起的网关请求数量信息。
流速状态:展示终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DNS质量:展示终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DHCP质量:展示终端在不同时间段内DHCP请求成功率、时延趋势,以及发起的DHCP请求数量信息。
信号强度:终端信号强度大小趋势信息。
通信质量:示终端通信过程中,重传报文、误码报文的占比信息。
空口状态:示终端单播、广播、管理帧报文一段时间内发送、接收的个数信息,展示单播、广播、管理帧的空口速率信息。
账号网络质量汇总展示账号画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
无线协商速率:示使用账号登录的全部终端、具体终端在不同时间段内流量协商速率变化信息。
网关质量:示使用账号登录的全部终端、具体终端在不同时间段内网关请求成功率、时延趋势,以及发起的网关请求数量信息。
流速状态:示使用账号登录的全部终端、具体终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DNS质量:示使用账号登录的全部终端、具体终端在不同时间段内DNS请求成功率、时延趋势,以及发起的DNS请求数量信息。
DHCP质量:示使用账号登录的全部终端、具体终端在不同时间段内DHCP请求成功率、时延趋势,以及发起的DHCP请求数量信息。
信号强度:示使用同一账号登录的全部及具体终端信号强度大小趋势信息。
通信质量:示使用同一账号登录的全部、具体终端通信过程中,重传报文、误码报文的占比信息。
空口状态:使用同一账号登录的全部、具体终端单播、广播、管理帧报文一段时间内发送、接收报文个数信息,展示单播、广播、管理帧的空口速率信息。
3.3.2接入点业务画像
接入点画像汇总展示接入点业务画像信息,包括接入点离线概况、接入点负载、资源利用率、网关质量、DNS质量、DHCP质量、TCP质量、隧道状态、流量状态、射频接入人数、信道利用率、噪声值等信息。
接入点离线概况:展示接入点的离线时长、离线次数和离线趋势情况。
接入点负载:展示接入点不同时间点的接入人数、发送和接收速率情况。
资源利用率:展示接入点不同时间点的内存利用率、cpu利用率、会话空闲率趋势。
网关质量:展示接入点不同时间点的网关请求成功率、网关时延情况以及网关请求趋势。
DNS质量:展示不同DNS请求成功率区间的接入点数量和接入点的DNS时延情况。
DHCP质量:展示不同DHCP请求成功率区间的接入点数量和接入点的DHCP时延情况。
TCP质量:展示不同TCP重传率区间的接入点数量、接入点的TCP时延和TCP连接数情况。
隧道状态:展示数据隧道丢包率、控制隧道时延、隧道断开次数情况。
流量状态:展示接入点不同时间点的数据隧道速率、漫入速率、Portal页面速率等情况。
射频接入人数:展示接入点2.4G和5G频段的接入人数。
信道利用率:展示接入点不同时间点的信道利用率情况。
噪声值:展示接入点不同时间点的噪声值变化。
接入点列表展示单个接入点的详细运维信息,包括活跃状态、整机负载、资源状态、接口状态等信息。
活跃状态:展示当前接入点每日服务时长和离线次数,点击可查看每日具体每个时刻的详细数据。
整机负载:展示当前接入点每日累计服务人数、接入用户0-10个和大于等于50个所占比例、发送速率和接收速率0~0.2Mbps所占比例。
资源状态:展示当前接入点每日CPU利用率超阈值次数、内存利用率超阈值次数、CPU利用率≥95%、内存利用率≥95%、会话空闲率0~10%所占比例。
接口状态:可查看接入点每个接口的信息,累计活跃时长、累计离线次数、流量空闲率等;每日详情中提供当前接口的活跃时长、离线次数、累计单播报文数量、累计多播报文数量。
全局热点分析,热点分析中,根据环境信道利用率、自身信道利用率、重传率、误码率、噪声值、同频干扰等参数划定的区间,将无线接入点划入指定的区间。管理员通过分析接入点在各个区间的分布情况,排查接入点的问题,并通过增加接入点、调整接入点位置等方式,提高无线网络的整体服务质量。
环境信道利用率:环境信道利用率代表接入点所观测到的当前信道的繁忙程度, 是接入点自身收发包所占用的信道比例和其它无线节点收发包所占用的信道比例之和。
自身信道利用率:自身信道利用率代表接入点自身由于收发包所占用的信道比例。
重传率:重传率越高,代表无线网络数据的丢包越严重。
误码率:在一定时间内收到的数字信号中发生差错的比特数与同一时间所收到的数字信号的总比特数之比。
同频干扰:当前无线接入点周围,与该接入点同信道的无线接入点的个数。
繁忙度:统计接入点当前的用户数、会话数、流量等信息,生成的 TOP N 排行信息。
局部热点分析可以查询单个接入点的流量、用户、会话数、信道利用率、噪声值等历史数据信息,单个终端的传输速率、信号强度、通信质量等历史数据信息。
3.3.3交换机业务画像
交换机业务画像显示有线网络的整体运行,能够直接通过该页面查看有线网络下所有交换机和端口的总体运行情况。交换机画像页面由主要包括交换机离线概况、供电负载、系统资源、芯片资源、网络质量、流量负载、帧类型分析、报文分析和网络协议报文接收速率等。
交换机离线概况:显示交换机数量(在线/离线交换机)、有线网络中的终端数量、有线网络流量使用状况和交换机离线时长、离线次数与离线趋势。
供电负载:该功能只针对POE交换机,显示交换机实际供电功率与总功率的比值,点击不同区间可以查看不同运行时长的交换机统计数据。
系统资源:显示交换机的CPU利用率和内存利用率,点击不同区间可以查看不同运行时长的交换机统计数据。
芯片资源:按照MAC地址表、ARP表、组播表、ACL表和路由表的利用率分别统计交换机的资源使用情况,点击不同区间可以查看不同运行时长的交换机统计数据。
网络质量:主要由发送和接收的阻塞报文丢包率与Error报文速率组成,其中阻塞报文只统计流量速率超过协商速率的报文,点击不同区间可以查看不同运行时长端口的阻塞报文丢包率与Error报文速率统计数据。
流量负载:流量空闲率=1-(实际速率/协商速率),可以根据流量空闲率查看有线网络所有端口的流量使用情况。
帧类型分析:显示巨帧和普通帧的占比,点击不同区间可以查看不同运行时长端口的统计数据。
报文分析:显示发送和接收的单播、组播和广播报文的报文占比;在网络环路时,接收的广播报文占比会大幅度上升,可以据此来判断环路端口。
网络协议报文接收速率:显示端口的DHCP报文、ICMP报文、ARP报文和TCP报文的接收速率,点击不同区间可以查看不同运行时长端口的统计数据。
交换机列表显示单个交换机的运行情况,主要包括活跃状态、系统资源、供电负载率、芯片资源等。
3.3.4控制器业务画像
监控分支设备的状态信息,提供各分支状态图形信息。
活跃状态:展示当前控制器每日离线次数及活跃时长。(注单机设备及中心端不显示活跃状态)。
整机负载:以趋势图展示每个控制器的发送/接受速率,接入用户数;统计信息中显示当日累积。
资源状态:展示当前控制器每个时刻的CPU/内存利用率/磁盘利用率/会话空闲率的趋势,统计信息中提供超阈值告警次数。
接口状态:可查看当前控制器每个接口的信息;每日详情中提供当前分支当前接口活跃时段趋势,流量负载中可查看协商速率及实际速率的趋势,以及查看drop报文数和error报文数的丢包情况。
网络质量:展示当前控制器的DNS质量和DHCP质量的时段趋势图。
会话状态:展示当前控制器的集中转发/本地转发/Portal代理会话数量的每个时段产生的趋势图统计。
隧道状态:每日详情中展示当前控制器的命令隧道、认证隧道的活跃时段,速率时延趋势及文件隧道同步失败次数趋势。
认证服务器质量:内部服务器,外部服务器(RADIUS服务器,LDAP服务器,短信服务器,MDQ服务器,数据库服务器)的状态展示(注未配置的服务器会隐藏状态趋势图)。
流量状态:可查看当前控制器的集中转发/本地转发/Portal页面/审计速率的每个时段的趋势图统计及时长占比。
『对象定义』用于配置【IP组】、【MAC地址库】、【服务】、【应用】、【时间计划】、【智能PSK终端】、【URL分类库】、【终端类型库】。这里定义的对象,在后续的模块中会使用到,比如IP组和服务会应用到访问控制策略中,MAC地址库将在使用MAC地址认证时黑白名单调用。
此页面可查看和新增IP组,IP组用于后续【角色授权】中的【访问控制策略】,以及后续的【网络配置】中的【地址转换】。
将一个、多个 MAC 地址划分为一个 MAC 组,以便在系统的其它功能中调用,例如web免认证。默认有默认黑名单和默认白名单两个分组,用户可以自定义分组。
『服务』分为【预定义服务】、【自定义服务】和【服务组】 ,【服务组】是【预定义服务】或【自定义服务】或2者的组合。用于后续【角色授权】中的【访问控制策略】。
4.3.1预定定义服务
【预定义服务】包括了TCP,UDP协议中各种常用端口号包含的应用协议,比如BGP,DHCP、DNS、HTTP、FTP、SNMP、SSH等。
4.3.2自定义服务
【自定义服务】可以让客户自定义所有需的不在预定义范围内的服务,比如客户自己的一些C/S架构的OA系统所使用的特殊端口号,都可以在这里自定义配置,配置界面如下:
4.3.3服务组
【服务组】就是【预定义服务】和【自定义服务】的组合,便于做复杂的控制策略时方便调用。而且可以节省原本需要多条控制策略的条数。
『应用』包括:【应用特征识别库】、【应用智能识别库】、【自定义应用】三类,网络应用流经NAC时,可通过特征,识别其应用类型,识别后,即可对连接进行基于应用策略控制、资源调度及流量审计。
4.4.1应用特征识别库
【应用特征识别库】中记录着应用的字节流特征,通过持续不断的收集及更新,保证应用识别的正确性,应用特征识别库升级需要序列号授权,过期后无法更新。
4.4.2应用智能识别库
某些类型的网络应用没有固定的字节流特征,需要通过智能的方式识别流量间的关联性等来识别出其类型,应用智能识别库目前只支持P2P行为,支持灵敏度、排除端口的设置。
4.4.3自定义应用
内网应用往往由于其私有性,应用特征识别库无法收集其网络流特征,可以将数据包方向、协议类型、IP地址、端口号及域名作为应用的规则特征,自定义某种类型的应用,自定义应用同样适用于外网应用。
对于不同的无线或有线用户,我们需要在不同的时间段设置不同的访问控制策略以及流控策略,比如上班时间或下班时间,就需要配置时间计划,为了便于后续设置【认证授权】-【角色授权】-【访问控制策略】的生效时间,需要提前设置时间计划,『时间计划』分为【单次时间计划】和【循环时间计划】。
新增单次时间计划和循环时间计划:
设置循环时间时,大多数客户可以按照上班时间和下班时间,以及节假日方式设置循环时间,便与管理。
点击新增循环时间计划:
1、适用范围:
智能PSK终端页面配置的终端只针对智能PSK无线网络有效。
2、使用场景:
为防止PSK密钥泄漏,杜绝PSK密钥分享带来的网络安全隐患,可通过设置私有密钥实现一人一机一密码,保障网络安全。
3、问题排查:
信锐智能终端如果连接过其他NAC,请删除该终端的记录,重新添加。
『URL分类库』中是由信锐技术自主研发并收集的全国最大、最全、最专业的URL分类库。关于URL规则库的使用,需要在【认证授权】-【角色授权】-【访问控制策略】中新增规则,选择应用的方式来调用。另外对于少部分,客户内网自由的域名系统,如果无法识别到,用户还自定义URL类别,可将URL设置为内置的URL类别或自定义URL类别,也可以设置域名关键字,模糊匹配为某种类别。并设置自定义的URL类别优先级最高来优先调用。
URL分类库的升级需要序列号授权,过期后无法更新。
终端类型库中记录着终端的指纹特征,通过持续不断的收集及更新,保证终端类型识别的正确性,终端类型特征库支持手动和联网时自动更新。
『认证授权』包含【角色授权】、【证书管理】、【Web认证】、【外部服务器】、【单点登录】、【认证高级选项】。
『角色授权』定义了用户可以访问网络的各种权限设定,包括【角色授权】、【有线访问控制策略】、【无线访问控制策略】、【用户审计策略】、【流速限制策略】、【流量/时长配额策略】。
角色授权设置好后,并没有立刻被使用生效,需要在【接入点配置】-【无线网络】-【编辑无线网络】-【权限设定】中调用角色,匹配给无线用户。
另外【接入点配置】-【接入点有线认证】-【权限设定】可以定义了经过AP的有线用户的角色,如下图:
在【有线配置】-【有线认证】定义了直接经过NAC的有线用户的角色,如下图:
5.1.1角色授权
角色授权可以新增角色,然后调用左侧已经建立成功的有线、无线访问控制策略、用户审计策略、和流速限制策略、以及流量/时长配额策略,也可以在角色授权中调用新增其他策略。
5.1.2有线访问控制策略
有线访问控制策略中,包含一条或多条网络访问权限规则,是一个有序的规则的集合,通过匹配报文中信息与规则中参数来对数据包进行分类,并执行规则对应的动作。未匹配任何有线访问控制规则的流量,动作为放行。
参数包含源/目的IP地址、源/目的MAC地址、VLAN ID、二层/三层协议、时间计划。
源/目的IP地址:支持使用以太网帧的源IP地址(地址段)或目的IP地址(地址段)来定义ACL规则。
源/目的MAC地址:支持使用以太网帧的源MAC地址或目的MAC地址来定义ACL规则。
VLAN ID:支持使用以太网帧的VLAN ID来定义ACL规则。
二层/三层协议:支持使用二层/三层网络协议来定义ACL规则,包括ARP、RARP、ICMP、TCP、UDP、IGMP、IP、OSPF等协议。
时间计划:时间计划是指ACL规则生效的时间段,表示仅在指定时间段内按该规则过滤。
5.1.3无线访问控制策略
访问控制策略主要是用来限制无线终端用户可以访问的网络权限,一般网络设备设置网络权限会有LAN区域和WAN区域的划分,WLAN不设置LAN区域和WAN区域的划分,只需要设置【用户发起】和【用户接收】2个方向即可,配置策略还需要调用到对象定义中的【服务】、【应用】、【IP组】以及【时间计划】。
[编辑访问控制策略]:可以新增多条访问控制策略,并且可以设置不同的优先级,策略会依次从上往下匹配。
新增规则
选择服务时,会调用【对象定义】中的服务,选择应用时,会调用【对象定义】中的应用。需要调用【应用】前,需要确保设备已经开启应用识别序列号,并且应用识别规则库与URL规则库需要处于最新状态。
URL规则库如果未处于最新状态,会影响基于应用的访问控制策略的正常生效,需要点击立即更新更新到最新版本。
全局排除地址
添加到全局排查地址的IP或域名不受访客控制策略的限制
5.1.4用户审计策略
用户审计策略支持审计HTTP外发内容、访问网站/下载、邮件、FTP、telnet、网络应用、流量与上网时长。
HTTP外发内容,包括WebBBS发帖、外发的WebMail邮件、通过网页上传的附件,通过网页上传的文本,微博等方式。HTTP外发内容审计,不包括HTTPS方式的内容审计。
访问网站/下载,包括了URL规则库中所有类型的站点。邮件包括了标准的SMTP/POP3以及IMAP方式的邮件。FTP包括FTP上传文件,也可以被审计,超过50M的文件,只会截取前50M文件大小。对于采用SSL加密的内容无法审计,比如https与SMTPS/POP3S等内容。
5.1.5流速限制策略
流速限制策略可以针对所有终端用户生效,包括有线与无线用户,但此功能只能限制用户的整体上行和下行的速率,无法根据应用进行流控,应用流控需要到【流控与安全】菜单下配置。该功能策略如下图:
流速限制策略可以对每一个终端进行流速限制,以避免部分终端的流速过大,影响整体无线用户体验。例如设定为发送最大限制为 512KB/s,则对使用此策略的每一个终端最大发送流速都将被限制为 512KB/s 秒。
5.1.6流量/时长配额策略
流量/时长配额策略可以限制用户的上网时长和总流量大小,可以设置一个上网时长或者流量的阈值(上网的最大时长或者能使用的最大流量),可以设置当用户上网达到这个阈值后在配额控制周期内不能再次进行认证或者只封锁一段时间后可以重新接入网络
『证书管理』是用于管理【外部CA】和管理【服务器证书】。配置证书管理后,可以在【接入点配置】-【无线网络】中选择认证方式属于“企业”方式认证的时候,启用证书方式认证。证书方式认证,大大加强了企业无线用户终端的安全接入。
证书可以新增【外部CA】、【服务器证书】
5.2.1外部CA证书
【添加外部CA】主要是通过在线方式去检测证书的有效性,不需要把用户认证证书导入到NAC设备上,当无线终端采用证书方式认证的,NAC主动去与服务器进行交互认证。验证证书用户的有效性。
【证书】:导入外部CA的根证书。
【编码】包括:UTF-8、UCS-2、GBK、GB2312、BIG5,指明该CA所颁发用户证书的编码格式,让NAC能正确提取用户证书的信息,如选择了BIG5,但选择的证书是UTF8,则会显示不正确。
【用户名属性】CN、Email前缀、OID,用户认证成功后用指定的属性值显示为登录用户名。
【检查证书撤销列表】通过CRL文件或在线查询被吊销的证书。
【导入CRL文件】:CRL文件可以简单的理解为一个记录了用户证书序列号的文件,该文件由CA签发发布,记录了的证书序列号表示该证书已经失效。也就是CRL里面记录的证书序列号表示由这个CA签发的证书并且序列号在CRL文件里面的都已经是无效了的证书。
【在线证书状态查询】一般CRL文件并不是每天都发布,而是周期性的发布,而在这个周期内有可能其他证书被吊销了,所以可以配置在线证书状态实时去查询证书的有效性
【检查OCSP服务器回应的消息签名】导入OCSP服务端签名证书的公钥,主要检测OSCP数据在传输过程中是否被篡改。
5.2.2服务器证书
配置服务器证书,是为了让无线终端用户反向认证服务器是否合法,可以配置服务器证书,服务器证书可以通过2种方式生成。【导入一张证书】和【创建一个证书请求】,如下图:
【导入一张证书】直接将已有的服务器证书的公钥私钥一起导入到设备里面。如果证书采用了密码,需要使用密码后,才可以正常导入。
【创建证书请求】:填写用户信息,包括国家、省份、城市、公司、部门、颁发给、邮箱、并设置密码长度,就可以创建一张证书请求文件:
证书请求文件需要让CA签名,附上签名数据,有效期后,点击【处理未决的证书请求】再把证书导入到设备中,就可以在设备生成一张完整的服务器证书了。
内置CA颁发证书:由内置颁发证书,填写用户信息,包括国家、省份、城市、公司、部门、颁发给、邮箱,可以设置由NAC内置CA中心颁发的服务器证书。对于不同的SSID认证,可以设置不同的服务器证书。初次使用内置CA颁发证书前,需要对内置CA进行初始化。
『Web认证』包括【访客认证】、【终端页面】、【应用管理】、【消息栏模版】、【语言管理】、【问卷题库】、【问卷分析】七个模块
5.3.1访客认证
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
5.3.1.1短信认证
启用短信认证时,需要到【系统管理】-【短信服务】页面配置短信设备,包括采用短信猫,外置短信服务器或外置短信网关。
短信认证是指访问无线网络时,系统需要发送短信验证码到用户的手机上,用户输入验证码后,才能访问无线网络,此方式获取了访客用户的手机号码作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的手机号码,系统将把验证码发送到此手机。
4、认证页面中,输入短信中获取的验证码,通过认证。
短信认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
2、可以获取访客的手机号码用于后续的短信营销。
3、简化了访客连接无线网络的体验。
5.3.1.2邮箱认证
邮箱认证是指访问无线网络时,系统需要发送验证码及授权url发送到用户的邮箱上,用户输入验证码或者点击授权url后,才能访问无线网络,此方式获取了访客用户的邮箱地址作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的邮箱地址,系统将把验证码和授权url发送到此邮箱。
4、认证页面中,输入邮箱中获取的验证码或者点击授权url,通过认证。
邮箱认证方式的优点:
1、迎合了国外使用邮箱较多的习惯,提升用户体验。
2、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
3、可以获取访客的邮箱地址用于后续的邮件营销。
4、提供点击链接认证上网的方式,简化了访客连接无线网络的体验。
5.3.1.3微信认证
此方式通常用于商场、超市的无线网络认证,可以确保只有关注过指定微信公众账号的访客用户才具备无线网络访问权限。认证选项中,可以设置关注微信后,每次申请上网的有效期。
访客连接无线网络的过程如下:
连接到开放式的访客无线网络,例如无线网络名称为:Example-WeChat。
打开浏览器,访问任意网站,系统将把用户的浏览器重定向到指定的认证页面,点击认证页面上的微信连WiFi按钮跳转到微信完成微信认证。
PS:微信连WiFi相关参数需从微信公众平台后台获取后填入控制器。
5.3.1.4二维码认证
此方式通常用于企业的访客无线网络认证,可以确保只有经过二维码审核的访客用户才具备无线网络访问权限。认证选项中,可以设置审核通过后,访客可以访问无线网络的时长。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,显示一个二维码。
4、访客的接待人员,也就是企业的内部员工,使用手机连接到企业无线网络中,并具备审批权限。审批权限由无线网络配置中指定,可以设置哪些角色的用户具备访客审批权限。
5、接待人员,打开手机中的二维码应用,扫描访客的二维码,访客即通过审核。需要说明的是,目前很多流行的互联网应用都提供了二维码扫描功能,例如腾讯微信(用此软件的时候需要审核人角色必须能正常访问互联网,因为此软件二维码扫描的时候要访问互联网才能正常使用)和我查查。
5.3.1.5临时访客认证
此方式通常用于企业、酒店的访客无线网络认证,可以在访客登记后,接待人员创建一个临时帐号,并设置帐号的有效期。访客使用此帐号完成无线网络认证。
以酒店的部署场景为例,顾客连接无线网络的过程如下:
1、顾客在酒店前台登记入住。
2、酒店的前台工作人员,在访客管理系统中,为此顾客添加一个临时帐号,以手机号或者身份证号码作为帐号的用户名,密码为手机号码或身份证号码的后6位。帐号的有效时间设置为顾客的离店时间。
3、顾客连接到酒店部署的,开放式的无线网络,例如无线网络名称为:Example-Guest。
4、打开浏览器,访问任意网站,系统将把浏览器重定向到认证页面。
5、在认证页面中,输入此临时帐号及密码,完成无线网络认证。
6、顾客离开酒店后,帐号自动失效。
访客帐号通常并非由网络管理员管理,而是由负责访客接待的人员管理。因此,系统提供了临时帐号管理员,以区别于NAC的管理员。临时帐号管理员只允管理访客帐号,无法修改NAC的其它设置。
临时帐号管理员的登录地址与NAC管理员不同,登录地址为: https://设备地址/guest.php,例如:https://192.168.0.1/guest.php
5.3.1.6免用户认证
免用户认证是指访问无线网络时,访客无需认证,在广告页面点击登录按钮即可上网。
访客连接无线网络的过程如下:
1、连接到访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,用户点击登陆,直接上网。
免用户认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
2、简化了访客连接无线网络的体验。
5.3.1.7社交应用认证
此方式通常用于海外或港澳台等地区,终端用户可以使用Facebook,Twitter,Line,Live,Instagram账号进行授权,授权后关注商家账号即可通过认证。
通常,通过认证的用户,控制器可以获取到用户的用户ID、用户名、终端MAC地址、邮箱地址、性别、年龄段等。但上述字段在用户没有配置的时候,是获取不到的。
配置社交应用认证时,认证前需要放通对应流量,推荐使用内置角色进行认证。
5.3.2终端页面
【终端页面】分为“认证页面”、“移动应用下载页面”、“拒绝访问提示页面”。
5.3.2.1认证页面
“认证页面”用于设置无线用户接入无线网络后,设置WEB认证跳转的页面,系统内置了 Web 认证页面的模板,系统允许您在默认模版的基础上,自定义认证页面的标题,背景,LOGO 等。如果您熟悉 Web 开发,可以上传自定义的页面。
1、默认全屏显示竖向广告模板
预览电脑认证效果图:
预览手机认证效果图:
2、自拟文字
预览电脑认证效果图:
预览手机认证效果图:
3、瀑布流
预览电脑认证效果图:
预览手机认证效果图:
4、半屏广告
预览电脑认证效果图:
预览手机认证效果图:
5、二级页面认证
预览电脑认证效果图:
预览手机认证效果图:
6、六宫格
预览电脑认证效果图:
预览手机认证效果图:
7、默认智能营销模版
智能营销模板支持更加丰富的区域显示规则,帮助营销人员结合天气环境情况,推送与顾客直观感受相吻合的广告内容,能让每个顾客看到与自己相关的"专属"信息,做到千人千面的展示效果。
支持一套模板多个门店使用,且不同门店展示不同广告内容。每个门店(单条显示规则)均支持引用接入点分组并配置多张广告图片,每张广告图片可以设定不同环境属性、用户属性、所在位置、推送时间进行智能展示。
支持每个显示规则引用不同的消息栏,以个性化的展示消息栏信息。消息栏信息可以在消息栏模板页面进行配置。
统一配置:在总部、多个门店场景下,可以启用统一配置,用于在指定生效时间内强制展示总部设定的广告内容,若部分门店不展示总部统一广告可以进行排除。
注:统一配置禁用或生效时间外,各门店恢复显示门店设定的独立广告内容。
页面效果图,参考“默认全屏显示竖向广告”。
5.3.2.2上传自定义页面
如果系统默认的认证页面还不能满足需求,还可以自定义页面,自定义页面需要下载“自定义模版示例”,按照示例标准进行上传页面
5.3.2.3访问拒绝页面
当用户被访问控制策略拒绝时,可以启用页面返回,提示用户访问被拒绝,也可以自定义编辑。
5.3.2.4移动应用下载页面
当您需要做手机应用推广时,需要先创建一个移动应用下载页面。在无线网络设置认证后跳转页面,勾选APP推广,再选择此处创建的页面。如果您使用了APP推广,别忘了在无线网络设置中开启应用缓存加速,这将大大节省您的网络带宽资源,提升终端下载体验。当前适配IOS和Android移动终端,移动终端访问时可直接下载,PC端访问时将显示一个二维码图片,提示用户使用移动终端扫码下载。
5.3.3应用管理
应用管理用于配置各种社交软件做认证时所要对接的应用,以让不同社交软件的用户使用自己的社交账号接入wifi。同时支持like功能,实现商超客户的品牌推广,目前支持like的社交软件有Facebook,Twitter和Line。
5.3.4消息栏模版
消息栏的展示文字在终端页面的顶部,可以根据识别出的终端用户的系统语言,对应展示其相符合的语言文字。消息栏内容支持展示天气、室内外温度、湿度、PM2.5,使终端用户能直观在认证页面看到当前所处场所的环境信息。
通过修改内置消息栏模板文字,或者新增消息栏模板,可以由客户定义想要给终端用户展示的内容。
注意,此处的模板内容和语言管理中的语言模板内容相互独立,以便客户快速编辑。
5.3.5语言模版
有中文(简体)和英文两个默认模板,客户可以根据应用场景,添加语言模板,使终端认证页面显示出更多的语言。
在添加其他国家或者区域的语言前,需要先下载英文模板,然后在英文模板的json中,将对应的英文内容修改为需要展示的语言内容。
5.3.6问卷题库
问卷推送前需要准备进行问卷的题目,支持一次性把题目导入一个题库的功能、一次性把题目复制到多个题库的功能、一次性导出一个题库所有题目的功能,支持数据清理功能,删除题库或题目可以清理对应题库或题目的统计数据,支持更新数据功能,修改题目可以仅更新对应题目的统计数据而不清理数据。
5.3.7问卷分析
题目分析针对当前题库每道题目的用户答题情况进行分析,包括选项分布,终端类型,耗时分布。
选项分布:选择当前题目的各个选项的人数分布。多选题情况下,一个用户选了多个选项,被选的选项人数分布都会加1
终端类型:作答当前题目的用户终端类型
耗时分布:作答当前题目的用户耗费的时间
运营分析展示单个题库的详细运营信息,包括推送结果分析、终端类型、题目推送次数排行、推送趋势、完成时长分布、对比分析等信息。
推送结果分析:
• 浏览量:当前问卷被浏览的数量
• 问卷提交率:问卷提交数/浏览量
• 问卷有效率:有效问卷份数/问卷提交数
• 平均完成时长:所有推送的问卷完成总时长/有效问卷份数
终端类型:作答当前题库推送的所有问卷的用户使用的终端类型
题目推送次数排行:当前题库组成的问卷中推送次数最多的题目排行
推送趋势:指定查询时间范围内,当前题库每天浏览量增减趋势
完成时长分布:当前题库推送的问卷中所有题目的完成耗时分布
对比分析:以ap分组为单位,以浏览量,问卷提交率,问卷有效率,平均完成时长为维度作对比
调查对象,在当前题库推送的问卷中作答的用户列表
『外部服务器』包括【认证服务器】、【虚拟服务器】
5.4.1认证服务器
如果企业已部署集中的用户数据库,或者认证服务器,无线网络可选择使用外部服务器来完成用户身份验证。
使用WAPI企业认证的无线网络,需要在AS服务器上面进行用户身份的验证。
802.1x 认证的企业无线网络,支持使用 RADIUS 中继的方式,把认证请求中继到外部的 RADIUS 服务器,完成用户验证。web 认证的无线网络,支持通过外部的 RADIUS 服务器或 LDAP 服务器,完成用户身份验证。第三方PORTAL认证的无线网络,对接外部的PORTAL服务器完成认证。
5.4.1.1Radius服务器
『新增Radius服务器』需要设置“名称”、“IP地址”、“认证端口”、“计费端口”、“超时”、“共享密钥”、“采用协议”、“编码”,可选配置“NAS_ID”、“NAS_IP”、“用户身份属性ID”,如下图:
设置Radius服务器的时候可以另外设置获“取用户属性”,企业级认证时,NAC会去用户数据库中去获取用户的组织结构,来作为无线终端的用户名和组织结构。这里可以选择与radius服务器对应的LDAP服务器。
5.4.1.2LDAP服务器
『新增LDAP服务器』:设置LDAP服务器需要设置“名称”、“类型”、“IP地址”、“认证端口”、“超时(秒)”、“Base DN”、“管理员DN”、“管理员密码”,可选填“计算机名”、“NetBIOS”,“用户属性名”、“用户身份属性名”、“过滤条件”和编码,如无特殊需求,保持默认即可。
配置完成后,可以点击测试有效性,测试LDAP服务器是否配置正确,如果服务器IP配置以及用户名和密码都配置正确,会提示服务器可用,如下图:
如果服务器IP配置都正确,用户名和密码配置格式不对或用户名和密码错误,会提示“服务器可用,但管理员账号或密码配置错误”。如下图:
5.4.1.3Portal服务器
添加外部Portal服务器,可以实现无线用户通过外部Portal服务认证上网。设置Portal服务器需要设置“名称”、“认证URL”、“协议”、“URL参数”、“通信端口”、“身份验证”、“加密密钥”、“报文编码”。
认证URL:
PORTAL服务器的url为终端接入无线网络时,被重定向到的地址。其中urlid可以使用占位符来扩展,占位符为:,占位符的值可以在认证服务器->Portal服务器设置中配置。
认证URL支持配置为IP的形式和域名的形式。
认证IP:
Portal服务器的通信IP,会自动从认证URL中提取
协议:
对接的Portal服务器类型,类型不在里面的,请选择Portal 2.0协议
URL参数:
勾选某个参数类型,参数类型后面的输入框为自定义的参数名称。如勾选SSID,自定义名称为wlanssid,终端接入认证时,认证URL将会是:http://1.1.1.1:8080/portal/?wlanssid=xxx, ‘xxx”为终端接入的SSID名称。
远端Portal服务器配置:
控制器通信IP:对接Portal服务器时,当前控制器作为Portal客户端,服务器会主动和当前控制器通信。通信IP是服务器主动访问客户端使用的IP。
双机环境下,建议配置为高可用性中对应VRRP备份组的虚拟IP。
URLID:URLID为对应WEB认证策略中认证URL中的URLID。
Portal协议端口:客户端监听的Portal服务端口。
RADIUS DM端口:RADIUS服务器主动下线一个用户时,使用的端口。
5.4.1.4AS服务器
AS服务器适用于WAPI企业认证的无线网络中,作为外部认证服务器。
名称:AS服务器的名称
IP地址:AS服务器的 IP 地址
认证端口:服务器的认证端口,一般默认为3810
5.4.1.5口袋助理
口袋助理认证是指将口袋助理移动办公平台作为认证服务器,用户通过使用口袋助理上创建的上网账号完成认证,实现无线上网账号与口袋助理的对接,便于用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
5.4.1.6阿里钉钉
阿里钉钉认证是指将阿里钉钉移动办公平台作为认证服务器,用户通过使用钉钉上创建的上网账号完成认证,实现无线上网账号与阿里钉钉的对接,便于用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
5.4.1.7微信企业号
微信企业号认证是指将微信企业号移动办公平台作为认证服务器,用户通过使用微信企业号上创建的上网账号完成认证,实现无线上网账号与微信企业号的对接,便于使用微信企业号办公的用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
5.4.1.8数据库
目前NAC直接对接Oracle数据库、Mysql数据库以及Mssql数据库,实现帐号认证和企业级认证
1、基本配置
基本配置是用于连接数据库的信息。
(1)名称:数据库认证服务器的名称。
(2)IP地址:数据库的服务器地址。
(3)端口:数据库服务器使用(监听)的端口。
(4)超时(秒):向数据库服务器查询用户信息时的查询超时时间。
(5)数据库名/SID:数据库中保存用户信息的数据库(数据库实例)的名称。
(6)管理员帐号:登录数据库的账号,该账号需要有查询“数据库名”指定的数据库的权限。
(7)管理员密码:登录数据库的账号对应的密码。
2、获取数据
用于配置获取数据库信息的SQL语句,支持6个字段信息的获取;
SQL语句中使用$$USERNAME$$代表用户登录名。
(1)密码(必填):用于查询用户的密码,作密码校验。portal认证支持明文、MD4、MD5、SHA1、NT-Password加密类型。企业认证支持明文、NT-Password。
(2)有效期和创建时间(可选):用于校验用户是否有效。如果只配置有效期字段,具体使用方法见[外部数据库获取创建时间和有效期]。
(3)用户组(可选):用于获取用户组做vlan匹配、权限匹配(无线网络配置)。支持中文编码,具体见[外部数据库对中文编码的支持]。
3、外部数据库对中文编码的支持
(1)用户名支持设置中文编码。
(2)用户组、自定义1、自定义2这三个查询字段支持使用中文编码。
(3)支持的中文编码格式如下(UTF-8是最为通用的格式;GBK是常用的简体中文编码格式,BIG5是常用的繁体中文编码格式):
ORACLE:支持UTF-8、GBK、BIG5
MYSQL:支持UTF-8、GBK、BIG5、GB2312
SQLSERVER:支持UTF-8、UCS-2、简体中文、繁体中文
4、外部数据库获取创建时间和有效期
WAC支持%Y、%m、%d、%H、%M、%S几个通配符,使用通配符在自定义格式中填写与数据库中内容同样的格式,WAC就能够识别,其意义分别为:
%Y 年、%m 月、%d 日、%H 时、%M 分、%S 秒
根据数据库中的内容是字符串和内置格式,分别有不同的处理方式(根本目的都是转化为字符串形式)
情况1:字符串格式
数据库中的时间格式的类型是字符串,则使用匹配符按照本地的字符串的样式得到对应的格式;
例如数据库的时间内容是2017-10-20 10:30:50,则自定义格式填%Y-%m-%d %H:%M:%S;
例如数据库的时间内容是10:30:50,2017,10,20,则自定义格式填%H:%M:%S,%Y,%m,%d。
情况2:内置时间格式
数据库中的时间类型是数据库内置的时间格式,则需要将内置时间格式转为指定的字符串格式。不同数据库有不同的转换处理函数;
a、对于oracle,时间字段使用的是时间格式(包括date、timestamp),使用TO_CHAR进行转换;
SELECT TO_CHAR(时间字段名, 'yyyy-mm-dd hh24:mi:ss') FROM EXTDB_USER_TB WHERE USERNAME = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
b、对于mysql,时间字段使用的是时间格式(包括date、datetime、timestamp),直接按照情况1处理即可oracle的timestamp;
因为mysql查询到的内容直接就是2019-10-20 10:30:50或者2019-10-20形式的字符串。
c、对于sqlserver,时间格式是datetime,则使用CONVERT将datetime格式转为字符串(2017-01-01 12:00:00)的格式;
SQL语句:SELECT CONVERT(nvarchar(24), 时间字段名, 20) FROM 表名 WHERE 用户名字段名 = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
d、对于sqlserver,时间格式是datetime之外的格式,则使用CAST将其强制转换为datetime,再使用CONVERT进行转换;
SQL语句:SELECT CONVERT(nvarchar(24), CAST(时间字段名 AS DATETIME) FROM 表名 WHERE 用户名字段名 = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
5、外部数据库其它复杂SQL语句示例(SQLSERVER)
(1)联表查询
用户名和需要查询的内容(例如用户组)在不同的表中,需要使用外键进行关联查询
示例:
a、用户表usertb的内容如下,
b、用户组表grptb的内容如下,
c、SQL语句:
SELECT grptb.groupname FROM usertb,grptb WHERE usertb.username = $$USERNAME$$ and usertb.grp_fk = grptb.id;
(2)内容以键值对的形式保存(例如一些radius服务器),利用max case做“行转列”处理
示例:
a、用户表usertb的内容如下,我们需要提取其中的attribute列中,内容为"password"的行所对应的value作为密码
b、SQL语句:
SELECT MAX(CASE WHEN attribute='password' THEN value ELSE ' ' END) AS MY_PASSWORD FROM usertb WHERE username = $$USERNAME$$
(3)截断用户名
因为WAC支持的用户名长度不能超过95,如果数据库中的用户名长度超过95,就需要将过长的用户名作截断。这种情况下可以使用SUBSTRING处理。
示例:
SELECT 密码字段名 FROM 表名 WHERE SUBSTRING(用户名字段名, 1, 95) = $$USERNAME$$
(4)去掉用户名前后缀
数据库中的用户名有一些前后缀,例如XXX@sundray.com、sundray_XXX,我们想要用户使用XXX登陆。这种情况下可以使用SUBSTRING处理。
示例1:
a、用户表usertb中的用户名都是XXX@sundray.com的形式,我们想要用户使用XXX登陆
b、SQL语句1:
SELECT 密码字段名 FROM 表名 WHERE
SUBSTRING(用户名字段名,
1,
(
CASE WHEN CHARINDEX('@sundray.com', USERNAME)=0 THEN
LEN(用户名字段名)
ELSE
CHARINDEX('@sundray.com', USERNAME )-1
END
)
) = $$USERNAME$$
示例2:
用户表usertb中的用户名都是XXX@sundray.com的形式,我们想要用户使用XXX登陆
SQL语句1:
SELECT 密码字段名 FROM 表名 WHERE
SUBSTRING(用户名字段名,
(
CASE WHEN CHARINDEX(REVERSE('sundray_'), REVERSE(用户名字段名))=0 then
1
ELSE
2+len(用户名字段名)-CHARINDEX(REVERSE('sundray_'), REVERSE(用户名字段名))
END
),
)LEN(用户名字段名)
) = $$USERNAME$$
5.4.2虚拟服务器
如果企业已部署多台微软AD域控制器且互相之间存在父子域关系,无线网络可选择使用虚拟服务器来完成用户身份验证。
虚拟服务器支持TTLS-PAP认证以及EAP-MSCHAPv2认证。
5.4.2.1未安装RADIUS验证服务虚拟服务器
适用于WPA/WPA2企业认证及802.1X 无线网络的终结认证,需要用户启用netbios服务以支持对接AD域。
名称:虚拟服务器名称
AD域:选择AD域服务器配置(可为父域或独立域)
AD子域:选择与已添加AD域存在子域关系的AD域服务器配置
5.4.2.2已安装RADIUS验证服务的虚拟服务器
若用户不愿启用netbios服务且已安装RADIUS验证服务,用户可选择启用“该服务器上已安装RADIUS验证服务”对接AD域。
名称:虚拟服务器名称
AD域:选择AD域服务器配置(可为父域或独立域)
AD子域:选择与已添加AD域存在子域关系的AD域服务器配置
RADIUS服务器:选择已在配置的AD域中注册RADIUS服务器
单点登录,将用户的认证信息发送到深信服上网行为管理设备,避免终端通过控制器认证后,还需要再次认证。
1、本地转发,请在接入点(编辑->参数配置->其他配置)或者接入点分组(编辑->其他配置)中 ,配置认证信息转发。
2、集中转发和有线认证,由控制器转发认证信息,需要在该页进行配置。
5.5.1用户类型
无线用户:无线用户,包括本地转发和集中转发的用户
控制器有线用户:在控制器上完成有线认证的用户
接入点有线用户:完成接入有线认证的用户
交换机有线用户:完成交换机有线认证的用户
所有用户:包括无线用户、控制器有线用户、接入点有线用户以及交换机有线用户。
5.5.2协议类型
深信服单点登陆协议0.1:深信服上网行为管理设备使用的单点登陆协议(AC11.0之前版本支持),协议默认使用1773端口。
深信服单点登陆协议1.0: 深信服上网行为管理设备使用的单点登陆协议(AC11.0及后续版本支持),协议同时兼容0.1版本。协议默认使用1775端口。
深信服上网行为管理的配置菜单如下:
5.6.1WEB认证通用配置
1、认证域名:认证域名默认配置为:auth.wifi.com。Web认证时,会跳转到该域名上来。
注:域名配置为公网上已经存在的域名时,Web认证的用户访问该公网域名也会跳转到认证或注销页面。
2、认证域名解析的IP:修改认证域名解析的IP地址之前,请确保要修改的IP地址不会冲突,否则将会出现终端进行web认证时无法打开认证页面。
3、手机号绑定验证:账号二次认证时,绑定手机号码之后,同一个终端在有效期之内无需再次绑定。
4、注销无流量用户:完成有线认证、接入点有线认证之后,终端在阈值内无流量产生,控制器会主动注销这个用户。
5、访客认证免弹Portal页面有效期,该选项值仅对只配置了访客认证的无线网络生效。同时配置访客认证和账号认证,终端用户接入无线网络时,每次都会重定向至认证页面:
5.1 弹出Web认证页面:短信认证、二维码认证、微信认证的用户,非首次接入无线网络,跳转到认证页面,不需要输入账号信息,只需要点击登录即可;
5.2 不弹出Web认证页面:短信认证、二维码认证、微信认证的用户,非首次接入无线网络,不跳转到认证页面,用户只需接入网络,无需认证即可上网。
6、账号认证免弹Portal页面有效期:账号认证非首次认证,断开无线网络后,再次登录的时间间隔在阈值范围内时,不重定向至认证页面,超出阈值时间,终端用户将会重定向至认证页面。
7、账号+访客认证,启用访客认证免弹Portal页面有效期:账号认证+访客认证的网络,访客认证的老用户在免弹portal页面有效期内接入,可以直接上网不显示认证页面。
8、无线portal用户认证超时时间:配置多长时间停留认证页面没做认证,需要重新触发portal页面的时间
9、账号自动登录:勾选“每次都到服务器上验证账号密码”,即终端每次连接WiFi时都需要到认证服务器校验用户名和密码
10、认证前角色:
10.1 使用上次的用户角色,账号自动登录时先使用上一次的角色,认证通过后置为新角色,认证不通过置为认证前角色;
10.2 重新匹配角色规则,将默认使用认证前角色,再根据认证结果重置角色。
5.6.2访客认证选项
1、微信认证直通:微信认证唤起微信应用的时候,需要在认证过程中放通微信流量,以及和腾讯的微信服务器进行交互。唤起微信应用失败的时候,可以选择对终端进行免认证处理。
2、手机号登录有效期:手机号登录的认证有效期,通过短信认证之后可以访问无线网络的时长。超过该时间之后,需要重新获取验证认证上网。
3、微信登录有效期:微信认证有效期,通过微信认证之后可以访问无线网络的时长。超过该时间之后,需要重新在微信公众账号菜单中,申请上网。
4、二维码审核有效期:只通过二维码方式,二维码审核后,访客可以访问无线网络的时长。超过设置时间后,如果仍然需要访问无线网络,需要再次审核。
5、短信验证码有效期:短信认证获取到的验证码,使用的有效次数,可选单次有效或多次有效。
6、短信验证码有效时长:短信认证获取到的验证码使用的有效期,在有效期内验证码可重复使用。
7、海外社交应用认证有效期:通过海外社交应用之后可以访问无线网络的时长。有效期内终端无需再次输入登录信息等,只需在页面上点击“我要上网”即可。
8、邮箱登录有效期:通过邮箱认证之后可以访问无线网络的时长。有效期内终端无需再次输入登录信息等,只需在页面上点击“我要上网”即可。
9、邮箱验证码有效期:邮箱认证获取到的验证码,使用的有效次数,可选单次有效或多次有效。
10、邮箱验证码有效时长:邮箱认证获取到的验证码使用的有效期,在有效期内验证码可重复使用。
11、自动登陆优先级:在同一个无线网络中配置多种认证方式的时候,如果一个终端使用过多种认证方式,再次认证时免登陆的优先级。
5.6.3生物识别认证选项
生物识别认证有效期:终端非首次认证,断开无线网络后,再次连接的时间间隔在阈值范围内时,不需要TrustSpeed内生物识别授权,超出阈值时间,终端连接需要在TrustSpeed内再次生物识别授权。
5.6.4模板内容配置
短信服务内容(二次认证):二次认证时发送短信的模板。
邮箱找回密码:本地用户使用邮箱找回密码时,邮件主题和邮件内容模板。
5.6.5有线用户认证策略
1、静态IP免认证有效期:有线认证,当网络环境为认证用户和认证接口跨三层网络,给终端配置使用静态IP部署时,终端用户WEB认证二次认证免认证的有效期。
2、DHCP IP免认证时间:有线认证,当网络环境为认证用户和认证接口跨三层网络,给终端配置使用DHCP分配IP部署时,终端用户WEB认证二次认证免认证的有效期。
5.6.6其他配置
1、终端绑定管理员免审批有效期:启用此功能时,终端绑定管理员免审批为选定日期的23:59。
2、第三方portal用户免认证:适用于portal对接场景,若第三方portal服务器不支持MAC免认证功能,启用此功能,终端用户认证通过后,在时长配额范围内不需要再次认证。
3、终端类型识别:开启精准终端类型识别,将会识别终端的操作系统。
4、剔除获取IP失败的终端:DHCP获取失败,大部分无线终端IP地址会显示为169.254.x.x。
(1)开关开启,超过超时时间,终端还未获取到IP地址,将会被踢下线让终端重新认证,重新获取IP地址。
(2)开关关闭,适用于内网使用169.254.x.x网段的客户,避免获取到这个网段的无线终端,被控制器误判为未获取到IP用户而踢掉。
5、云管家灾备选项:控制器与云服务器断开连接时,终端审批消息无法下发,认证用户不需要经过审批即可上网.
6、单点登录发送终端下线消息:控制器结合深信服AC做单点登录时,可选择是否将终端的下线报文单点登录发给深信服AC。
7、用户名区分大小写:控制器默认会将账号认证的用户名转换成小写,勾选之后将不进行转换。
『接入点配置』包括【无线网络】、【本地转发应用控制】、【接入点有线认证】、【无线接入点】、【虚拟接入点】、【灾备策略】、【无线负载域】、【无线漫游域】、【部署管理图】、【定位服务器】、【射频高级配置】
『无线网络』:可以【新增】、【删除】、【启用】、【禁用】一个无线网络。新增无线网络需要设置无线终端接入的无线信号SSID,认证方式,设置无线接入点范围,数据转发模式等,下面将一一详细讲解。下面的无线网络的配置截图:
无线网络号SSID可以设置为“汉语”,对汉语的支持比较好无线终端可以正常显示,多数PC无法正常显示,一般建议设置为英文类型的SSID。
新增一个【无线网络】,包含【基本配置】、【认证类型】、【终端验证】、【帐号认证】、【访客认证】、【vlan设置】、【权限设定】、【应用节流】、【高级选项】,如下图:
6.1.1基本配置
【基本配置】需要设置无线网络名称(SSID),并设置无线网络在哪些接入点AP上启用,以及该无线网络在AP上的数据转发模式,并设置工作频段。
数据转发模式分为集中转发,和本地转发模式,集中转发模式表示无线终端STA所有的上网业务数据到达AP后,由AP进行数据分装,由AP集中转发给NAC,在由NAC集中转发出去上网。本地转发模式表示无线终端STA所有的上网业务数据到达AP后,由AP根据本地路由网关直接转发数据出去,不对数据包进行分装。
设置的频段分为2.4G和5G共2个频段,可以分别设置启用,也可以设置2个频段同时启用。其中高级选项中,可以针对该SSID,每个AP接入人数做限制,隐藏SSID表示该无线网络不主动广播其信号,无线终端不能自动发现该网络,必须在无线终端STA上手动填写SSID,并设置才能接入该无线网络。营销广告推送设置,如果需要使用控制器营销推送功能,需要勾选以下2个设置。
6.1.2认证类型
认证类型有以下几种类型可以选择:
[WPA/WPA2(企业)]:选择WPA或WPA2加密方式的企业认证方式
[WPA(企业)]:仅选择WPA加密方式的企业认证方式
[WPA2(企业)]:仅选择WPA2加密方式的企业认证方式
[WPA-PSK(个人)]:选择WPA加密方式与预共享密钥的个人认证方式
[WPA2-PSK(个人)]:选择WPA2加密方式与预共享密钥的个人认证方式
[WPA/WPA2-PSK(个人)]:选择WPA或WPA2加密方式与预共享密钥的个人认证方式
[开放式]:选择开放式的无线接入方式认证
[开放式+WEB认证]:选择开放式的无线接入方式与WEB方式认证组合
[WPA-PSK/WPA2-PSK+WEB认证]:选择WPA或WPA2加密方式与预共享密钥认证方式接入无线网络,再结合WEB方式认证的组合。
下面我们对这些认证类型做一个简单的分类,以便进行功能区分,所以该分类依据是以功能性差别进行的划分,他们之间有重合的可能,比如开放式认证和WEB认证就可以结合一起使用,划分为如下四类:
6.1.2.1企业方式认证
选择采用“企业”方式的认证还包括WPA(企业)、WPA2(企业)、WAPI(企业)
加密方式:自动选择,包括AES和TKIP,企业类型的认证,在终端验证和用户认证出现的界面与WEB方式认证是有所差别的,这些差别就决定了“企业方式认证”和“WEB方式认证”与“个人方式认证”的差别。
企业方式认证是采用802.1X架构的认证方式,无线终端也需要采用配置802.1X方式认证。
6.1.2.2WEB方式认证
web 认证是指无线终端接入无线网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
web 认证通常与开放式无线网络一起使用,也就是用户连接无线网络时,不需要任何认证。由于无线网络的流量未加密,因此 web 认证的无线网络,通常只用于非关键性的网络中,例如仅用于访客访问互联网,无法访问企业内部网络。
WEB方式认证包括:WPA-PSK/WPA2-PSK+WEB认证、开放式+WEB认证;
认证方式:
1、【帐号认证】、【访客认证】、【账号认证+访客认证】
2、【使用外部Portal服务器认证】可以对接外部Portal服务器实现外部portal认证。
认证页面是我们在【认证授权】-【认证页面】设置的自定义页面或者采用系统默认的页面。采用第三方Portal认证时,Portal服务器选择【认证授权】-【认证服务器】中添加的portal服务器。认证前角色是指进行WEB认证成功前,默认可以使用的网络权限对应的角色,重定向端口是指无线终端STA有该端口的数据时,进行认证页面的重定向。
6.1.2.3个人方式认证
选择“个人”方式的认证
个人方式认证包括:WPA2-PSK(个人)、WPA-PSK(个人)、WPA/WPA2-PSK(个人)以及WAPI-PSK(个人)。
加密方式:自动选择,包括AES和TKIP方式,接入密钥是只设置接入无线网络的预共享密钥。
6.1.2.4开放式认证
开放式认证是指无线终端用户接入无线网络时不需要进行验证即可正常接入无线。
6.1.3终端验证
终端验证可以显示的内容是由已经选择的认证类型来决定的,选择不同的“认证方式”,会显示不同的页面,也就会有不同的功能性差异。
当选择了包含“开放式认证“和“个人认证”方式时,可以对无线终端的终端类型和MAC地址的合法性进行校验,其中MAC地址校验是通过启用“检测终端MAC黑白名单”来进行的。MAC白名单是在【认证授权】-【MAC白名单】预先设置好的合法MAC地址。
开放式+web认证时,终端验证的配置如下:
“终端验证失败后”表示即使MAC与终端类型验证失败后,也继续让该用户进行后续的WEB方式认证。如果不勾选该功能,只要无线终端的MAC验证不在【对象定义】中的【MAC白名单】中,就完全拒绝该用户的进行进一步认证,直接拒绝其上网。
选择“企业”方式认证后,终端验证也可以启用检查终端MAC白名单。可以设置允许终端验证失败(或未加入域)时,继续进行用户认证,并设置认证通过后的角色。认证通过后的vlan。为通过域计算机验证的客户端分配权限以登录到域,需要设置可以使用的角色让PC能正常登录到域,并设置对应的vlan。
6.1.4访客认证
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
访客认证方式参考4.14.4.2章节的“访客认证”。
6.1.5帐号认证
6.1.5.1Web方式认证
当选择【开放式认证】和【个人认证】时不能选择配置【帐号认证】,只有选择【WEB方式】或【企业】方式时才可以配置
如下是当选择企业或WEB方式认证时,可以配置的用户认证配置:
当选择WEB方式认证时,帐号配置页面如下
6.1.5.2企业方式
企业方式有以下下几种认证类型:EAP终结与EAP中继2种方式。并可以设置服务器认证配置冗余,以及设置自动绑定最初认证用户名与MAC地址,并可以指定对某一类型的终端进行MAC地址绑定关系检查,比如windows终端。
1、EAP中继
EAP 中继是指无线接入点把无线客户端的 EAP 报文直接转发到 RADIUS 服务器,由 RADIUS 服务器来完成认证过程。因此认证方法由 RADIUS 服务器中配置,与NAC无关。
在WPA/WPA2-企业 无线网络中,通常使用的认证方式为 EAP-TLS 或者 PEAP-MSCHAPv2,因此需要确认 RADIUS 服务器支持所需的认证方式。常见的 RADIUS 认证服务器为微软 Windows Server 系列中提供的 IAS/NPS 服务。
2、EAP终结
“EAP 终结:EAP-TLS” 是指由NAC来完成 EAP-TLS 认证过程。EAP-TLS 协议是在 EAP 协议框架上,使用 TLS 协议来完成身份认证,密钥交换功能。TLS 协议也是 HTTPS 协议的核心。因此 EAP-TLS 可以视为与 HTTPS 协议具备同等的安全性。
EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份。并使用非对称加密方式,在无线客户端及认证服务器间安全地协商数据加密密钥,保证无线数据传输的机密性及完整性。
由于使用了基于证书的身份验证方法,避免了基于密码认证方法所存在的由于密码泄漏,密码强度低等原因导致的密码被猜测或暴力破解的风险。因此 EAP-TLS 提供了目前无线认证中,最安全的认证方法。缺点是所有客户端都需要安装个人证书,部署比较复杂。
3、服务器证书(向无线用户证明身份)
在 EAP-TLS 身份验证过程中,服务器使用此证书创建 TLS 连接,并向客户端计算机证明身份。客户端可以选择验证此证书的颁发者及主题名称,来保证连接到正确的企业无线网络中,避免连接到由攻击者伪造的同名恶意网络导致的安全风险。
由于系统自带的服务器证书未被客户端信任,在 Windows 系统客户端中,如果无线网络配置选择了"验证服务器证书",将导致客户端无法连接无线网络。因此需要了解关于服务器证书的要求,如果有必要,需要考虑向商业证书颁发机构购买证书。
4、CA 证书
用于检查客户端合法性的 CA 证书。客户端提交的证书将要求由此 CA 颁发,并通过此 CA 配置的有效性检查选项。
5、EAP 终结:PEAP-MSCHAPv2
“EAP 终结:PEAP-MSCHAPv2” 是指由NAC来完成 PEAP-MSCHAPv2 认证过程。
EAP-MSCHAPv2 是基于密码的认证方法,最初是由微软设计用于为拨号及 VPN 连接提供更安全的认证方法。虽然 EAP-MSCHAPv2 提供了更安全的认证方法,但存在的安全弱点是,如果攻击者能监听 EAP 报文,则可以通过离线的字典攻击,分析用户的密码。
把 EAP-MSCHAPv2 跟 PEAP 结合一起使用,得益于 PEAP 内部创建的 TLS 隧道所提供的健壮安全性,EAP-MSCHAPv2 的交互过程可以得到加密保护,从而防止了攻击者通过离线字典攻击方式来分析用户密码的安全弱点。
PEAP-MSCHAPv2 协议,由 2 个阶段组成:
阶段 1,PEAP。首先协商 PEAP 协议,创建一个只使用服务器证书的 TLS 隧道。在这个阶段中,客户端可以选择验证服务器证书,并检查服务器端证书的主题、颁发者等证书信息,完成对服务器证书的认证,避免连接到一个由攻击者创建的,名称相同的无线网络中导致的安全风险。
阶段 2,EAP-MSCHAPv2。在 PEAP 协议的 TLS 隧道内部,协商另外一个 EAP 方法,这里为:EAP-MSCHAPv2。在这一步中,客户端需要提供用户名及密码凭据,以完成对客户端的身份验证。验证完成后,RADIUS服务器,会为每个客户端生成不同的会话密钥,以对接入点与无线客户端之间传输的无线数据包进行加密。
6、服务器证书(向无线用户证明身份)
在 PEAP-MSCHAPv2 协议阶段 1 中,服务器使用此证书创建 TLS 连接,并向客户端计算机证明身份。客户端可以选择验证此证书的颁发者及主题名称,来保证连接到正确的企业无线网络中,避免连接到由攻击者伪造的同名恶意网络导致的安全风险。
由于系统自带的服务器证书未被客户端信任,在 Windows 系统客户端中,如果无线网络配置选择了"验证服务器证书",将导致客户端无法连接无线网络。因此需要了解关于服务器证书的要求,如果有必要,需要考虑向商业证书颁发机构购买证书。
7、允许登录用户
选择允许连接无线网络的组,默认选择根组,也就是所有本地用户都允许通过认证,并连接此无线网络。
8、RADIUS 服务器冗余
使用 RADIUS 中继模式下,允许配置多个 RADIUS 服务器,实现认证服务器的故障冗余备份。
6.1.6VLAN设置
VLAN配置是为了更好的实现无线终端的控制和管理,进行无线VLAN的划分;无线VLAN划分与有线网络VLAN的划分是有一些差别的,无线VLAN的划分以及VLAN之间的数据处理,是由AP和NAC针对无线网络用户进行管控和路由的,而AP和NAC之间是由隧道封装的。所以当采用集中转发时,无线VLAN的标签是在AP与NAC中间的隧道内。当本地转发数据时,配置VLAN,无线数据标签由AP打上标签转发出去。
用户认证成功后,系统将提取出用户此次认证过程的所有属性,主要包括:用户名,所属组,接入的 AP,RADIUS 服务器返回的属性值,用户的 LDAP 属性值,证书中的属性值等。然后从上往下,按优先级方式查找角色以及 VLAN 分配规则表,如果用户的属性匹配上规则的条件,则根据规则中的设定值,为用户分配角色或 VLAN。
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。如果用户未匹配规则表中的任何规则,则使用设定的 "默认角色" 和 "默认 VLAN"。
6.1.7权限设定
【权限设定】主要用于设定终端通过认证后,具有访问网络资源的权限,角色包括访问控制策略、审计策略、流速限制策略、流量与时长控制策略,可以根据AP组,无线终端用户组等信息详细的配置角色策略,可以根据SSID设置一个默认的角色,配置如下:
6.1.8应用节流
有利于节省您的网络带宽资源,提升终端浏览/下载体验。如果您使用了APP推广,推荐开启APP下载加速。
6.1.9高级选项
6.1.9.1认证后跳转
认证后跳转功能是指启用WEB认证后,帐号认证用户与访客认证用户通过认证后调整的页面,默认跳转到认证前浏览的页面,可以设置固定的URL,配置如下:
还可以根据不同用户所在AP组的位置,以及用户组的方式指定认证跳转的页面,配置如下:
6.1.9.2用户计费
可针对WEB认证账号认证和访客认证的用户添加计费服务器进行计费。
6.1.9.3限制账号在多个终端同时登录
限制帐号同时登录的终端数,比如只允许帐号在一台终端上登录,不允许在多台终端上登录,就类似私有帐号与公有帐号的区别。
6.1.9.4WEB接入MAC免认证
Web接入MAC免认证针对WEB认证的账号认证及访客认证有效,在该列表中排除的终端,连接无线后将不需要进行WEB认证直接分配对应角色。
6.1.10无线网络自动配置
无线网络自动配置,为了快速便捷的部署无线网络,便于管理员维护,可以在此配置无线网络自动配置,具体配置页面如下:
用户证书注册服务:“证书注册服务” 是无线网络自动配置方案的一部分。在部署基于证书认证,且使用内置 CA 颁发用户证书的无线网络时,需要启用 “证书注册服务”,使得 “自动配置工具” 能为用户自动申请并安装个人证书,才能完成无线网络的自动配置。
该功能可实现本地转发下基于应用的访问控制策略以及基于应用的流控,需确保有应用识别序列号。
6.2.1本地转发应用识别控制策略
控制策略模式:可选择基于服务控制或基于应用控制,选择基于应用控制,能识别具体应用进行相应的访问控制或是流量控制;
生效区域:选择需要进行本地转发应用控制的 接入点或是接入点分组;
排除目标IP地址:应用于本地内网环境中的服务器及终端这类需要额外直通访问的设备,访问这类设备的流量不会被识别和控制。
流量处理策略:关联需要生效的角色,流量处理方式选择应用控制,其他配置保持默认。此处需要注意的是,镜像报文的配置;镜像报文数量配置越大(配置范围为2-15个),应用识别效果会更好,识别率会更高。但是相应的,镜像报文过多时会降低终端访问网络时的响应速度,建议保持默认配置。
6.2.2本地转发流控策略
本地转发的流控策略类似于控制器流控功能,可以实现在总的流速限制条件下再对应用流控子通道进行带宽限制,只能做限制通道,不能做保障通道。
通道匹配的顺序取决于通道所处的位置,是从上往下逐个通道匹配的。
通道属性中的“优先级”,是指带宽分配以及数据包发送的优先级。
流控策略生效必须满足以下条件:
1)用户为本地转发用户。
2)在本地转发识别控制策略中,配置角色流量处理方式为应用控制。
3)在角色中引用流速限制策略,并在流速限制策略中配置每用户接收/发送速率。
接入点有线认证,主要指接在AP上的有线用户的认证方式,不包括在NAC上进行有线认证的用户。
6.3.1基本配置
基本配置,可以配置认证策略的名称,选择接入点(分组),只在选择的接入点(或分组)上提供网络接入服务。
数据转发模式: 集中转发模式中,接入点(AP)与NAC之间建立2层的数据隧道,用户的所有网络流量,通过此隧道传输到NAC,NAC再把流量转发到有线网络中。最简单的方法,可以把此模式理解为:相当于用户直接连接到NAC。
本地转发是指用户的网络流量,由接入点(AP)直接转发到有线网络(不经过NAC)。最简单的方法,可以把此模式理解为:接入点的无线用户直接连接到了接入点(AP)上联网卡所连接的有线网络。
6.3.2认证类型
认证类型包括【IP地址认证】和【web 认证】。IP地址认证,无须认证即可连接到网络。Web 认证,web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。 有线认证配置类似于4.5.1节所提无线网络配置,可参考4.5.1节配置。
无线接入点包括AP的发现与对AP的配置管理。
6.4.1发现新接入点
为防止未授权的接入点连接到NAC,并获取无线网络配置的风险。无线接入点(AP)连接到NAC后,并未进入工作状态,需要管理员在"发现新接入点"列表中,确认接入点的合法性,并手动执行激活操作,接入点才能正常工作。
当AP接入网络中,AP会自动发现NAC,当AP第一次发现NAC时,会在NAC上看到新的接入点,需要进行激活后,才能正常使用无线AP,并下发配置。
提示:在NAC控制台的右上角,当有出现图标 
时,表示还有未激活的接入点,需要到该页面激活。
6.4.1.1激活AP
当NAC上发现AP时,需要激活,激活按钮可用
点击激活后,配置界面如下:
可以编辑AP的名称,地理位置,便于后续AP的识别分组和管理,默认AP以其MAC地址为名称
所属组:配置AP所属于的管理组,便于对AP进行集中管理和配置。
发现控制器IP:填写AP用于连接的NAC的IP地址,如果给AP填写了NAC的地址,AP下次重启后,会自动以该配置IP连接NAC并建立隧道
发现控制器域名:用于AP自动发现NAC用,当AP解析到该域名时,AP会自动向NAC请求连接。NAC发现该AP后,就可以对该AP进行策略下发配置了
网络地址:可以设置自动获取,也可以设置固定IP地址
6.4.1.2替换
接入点和交换机均支持设备替换功能,设备替换分为两种操作:
交换机激活的时候,设备类型分为两种:
发现新设备时,可以将要激活的设备替换为已经激活过的设备。替换时,可以选择将旧设备删除或是重新激活。
接入点管理或交换机管理页面,可以选择将两个设备的配置互相替换。
6.4.2接入点管理
对所有无线接入点进行全部集中分组和管理,包括配置无线信号,工作模式,射频工作范围,隧道参数等。
如果有大批量的AP需要集中配置,也可以下载采用下面接入点管理文件的示列文件进行批量的编辑和导入。
6.4.2.1工作模式
可以分为三种,分别是:Normal,Hybrid和Monitor模式,如下图:
Normal模式:表示是正常工作模式,AP在该模式下,AP可以固定工作信道,如果选择为auto,射频和信道参数只会在AP每次加电时自动调整一次,后续都会稳定在该频率范围和信道上工作,不会变化,除非手动去【射频管理】菜单下手动点击调整。
Hybrid模式:混合模式,默认选择该模式,AP在该模式下,射频和信道参数会默认每个10分钟检测一次,如果发现当前信道通讯质量没有其他信道通讯质量好,会自动切换到质量更好的信道进行通讯。Hybrid模式AP也可以用于钓鱼AP反制,但是反制效果不及Monitor模式AP效果好。
Monitor模式:监控模式,在该模式下,无线网络不能正常使用,主要用于钓鱼AP反制。
6.4.2.2信道功率
可以在此对每个AP的功率和信道进行手动调整,在网络优化时,才需要手动配置此项功能。不同类型AP支持最大功率不一样,需要正确选择AP可工作的功率范围,配置界面如下:
6.4.2.3网关接入点
在AP为网关模式本地转发时,在这里配置用于给AP下的终端分配地址的地址池。
6.4.2.4射频参数
射频参数主要用于选择AP是工作在2.4G频段还是5.8G频段,以及选择网络协议b/g/n和a/g/n的选择,是否启用功分方案、调整信道、功率、等射频相关的功能。
1、5G接入探测帧引导
在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。
2、多播优化
一般当单接入点覆盖范围内超过40个终端时,建议开启此功能。
无线接入点默认以1Mbps速率来发送多播报文,在多播报文较多的情况下会严重降低无线网络的总体吞吐率。目前可通过如下方式来提高无线网络的整体总体吞吐率。
(1)多播报文发送速率:
自动: 系统将持续评估当前的无线网络环境, 自动选择一个更优,且不显著影响广播报文可靠性的速率来发送广播报文,提高了无线网络的总体吞吐率。
固定速率: 无线接入点若以固定速率发送多播报文,可防止低速终端拉低多播报文整体吞吐率。适用于终端与无线热点距离在10米以内非干扰的多播应用场景。
(2)多播通道带宽权重:
在开启用户间平均分配带宽或者流量通道间动态分配带宽时,默认多播通道占用权重比例为90%。若当前环境处于多播应用场景,可根据实际情况调整多播通道占用的权重比例。比如电子书包场景,建议将多播通道占用权重设置为90%。
(3)忽略省电模式的终端:
按照802.11协议规定,如果接入点上有一个无线终端处于省电模式,则系统需要将所有的多播进行缓存,等到beacon帧发送后才能进行发送。这样在实时的多播应用场景下,如果存在睡眠的无线终端,将会导致多播报文无法快速及时发送,影响用户体验。
启用该功能后,接入点发送多播报文时将会忽略处于省电模式的无线终端,直接将报文发送出去。由于该功能实际上打破了802.11协议的定义,会造成处于省电模式的无线客户端无法接收到多播报文,所以仅对特殊场景应用(例如电子书包)可以考虑启用。
3、终端速率限制
该功能是信锐技术产品自研的优势功能,对于距离远的低速终端,拒绝其接入,可以提高其他正常信号范围内用户的上网体验。
通常情况下,离无线接入点越远的地方,终端接入进来的速率会越低。通过限制终端接入的速率,可以限制边缘区域的低速终端接入,这样可以提高无线接入点的吞吐效率,也能防止非目标用户的接入。限制的速率越大,有效的接入范围越小;限制的速率越小,有效的接入范围越大;不限制时,有效接入范围为最大。如果部署无线接入点的密度较大时,接入点的信号覆盖范围会较小,边缘接入的终端速率也相对较大些,如果想限制边缘终端用户接入,可以将限制的速率调大。如果部署无线接入点的密度较小时,接入点的信号覆盖范围会较大,边缘接入的终端速率也相对较小些,如果想限制边缘终端用户接入,可以将限制的速率调小。
4、数据传输速率下限
通常情况下,离无线接入点越远的地方,数据传输速率会越低。通过限制数据传输速率,可以限制边缘区域的低速终端接入,这样可以提高无线接入点的吞吐效率,也能防止非目标用户的接入。
5、限制beacon帧发送速率
Beacon帧发送速率低时,对应睡眠周期拉长,节能省电,但是新连进来的设备就要很久才能显示出来这个wifi热点;Beacon帧发送速率高时,发送beacon较为频繁,适合漫游之类的环境,可以高速切换到功率高,性能好的AP身上,但是会占用信道传输正常数据。
6、天线MIMO
在做室外网桥/中继,或者部署一个狭长区域的时候,往往需要使用抛物面定向天线,但目前很多定向天线,只有1个天线接头,很少有支持 2X2 的,即使支持,很多体积和价格都过高,因此为了节约用户成本,需要将接入点上不用的天线关闭掉。
7、高密优化
在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。
8、高级选项
涉及到无线数据的传输效率问题,默认不建议也不推荐修改。
6.4.2.5隧道参数
隧道参数:可以设置AP到NAC之间的数据隧道是否启用加密。用于设置AP与NAC之间的控制隧道保活时间,在较差的网络环境中,放大隧道保活时间,可避免因网络抖动造成的AP频繁断线。
6.4.2.6有线口配置
有线口配置是指AP上的物理二层口,可以配置成Trunk口和Access口。当VLAN属性为Trunk时,允许VLAN是可以放通vlan范围,Native VLAN是判断是否添加或剥离vlan头。
6.4.2.7中继网桥
单个AP的参数配置里,还包含“中继网桥”的配置。中继网桥即无线中继与无线网桥,也就是WDS(Wiresless Distribution System,无线分布系统),通过桥接方式,无线连接不同的局域网以及扩展无线局域网的覆盖范围。
一般用于有线部署不方便或者虽然有有线网络,但是网络拓扑配置不方便的场景。
传统的wds实现方式存在如下问题:
(1)client ap仅仅充当无线天线的功能,所有业务都集中在root ap上处理,从无线覆盖的角度来看,root ap和client ap的业务负载是对等的,导致root ap和client ap上的数据处理负载不均衡,即client ap过于空闲,root ap过于繁忙。另外root ap可能会连接多个client ap,更加重了这种不平衡,使得root ap成为了系统局部的一个业务瓶颈。
(2)AP一旦作为client ap的角色,都是不支持企业级认证的,仅仅支持到wep和wpa psk。
(3)配置client ap时,必须手动配置指定root ap,一旦网络拓扑发生变化,需要让client ap连接到别的root ap时,需要通过无线连接告知root ap,在操作上比较复杂
而本功能完美地解决了上述存在的不足和缺陷,即:
(1)通过对client ap上的业务数据使用不同于传统wds机制的处理和转发方式,client ap可以支持现有7种认证方式,即WPA/WAP2(企业)、开放式、WPA-PSK/WPA2-PSK(个人)、WPA、WPA2、WPA-PSK/WPA2-PSK(个人)+ Web认证、开放式+Web认证。
(2)在本功能的实现中,root ap仅仅只充当交换机的角色,即root ap仅负责转发数据,client ap上的业务有client ap自己处理。
(3)client ap通过自动发现机制发现和连接root ap,实现了root ap的动态主备冗余,当一台root ap出现故障的时候,client ap会自动连接到其他的root ap上,避免了root ap的单点故障。client AP动态选路连接root ap存在限制条件:client ap和root ap必须属于同一个AP分组。
(4)client ap无法支持控制器灾备。
(5)root ap上提供给client ap建立WDS连接的SSID和接入密钥以及连接频段可配置。client ap上支持配置要连接的root ap的连接SSID以及接入密钥。
注:1)组建WDS网络之间的接入点所选择的无线频段必须是相同的。
2)Root 网关模式和client 普通模式:client的wan口IP不可以配成与Root的wan口IP相同网段;client的wan口IP要从Root的子网上获取, Root为网关模式时,桥接口为trunk, native vlan是子网的默认vlan。因为client的桥接口是trunk native1, wan口vlan需要默认与eth0相同是vlan1;client上的用户如果是本地转发, 那么策略vlan只能配成Root上的子网的vlan, 在Root上的子网内转发。因为Root是网关模式, eth0口是access1,client通过桥接发上来的本地转发的带vlan的用户报文不能从Root的eth0转发出去;client上的用户如果是集中转发, 那么策略vlan可以随意配。
3)Root 普通模式和client 普通模式:client的wan口IP应该与Root的wan口IP相同网段;client上的用户本地转发/集中转发都可以
4)慢速移动桥接:慢速移动桥接主要解决传统无线网卡单链路漫游效果差的问题,提供双链路(client)保证慢速移动过程中的网络连通性,仅支持NAP3620/AP362和NAP3620(R3)/AP 533(R3)。
6.4.2.8其他配置
虚拟接入点包含【移动桥接】、【轨道列车】、【同频部署】这几个功能。
6.5.1移动桥接
移动桥接配置轨道WIFI功能,该功能是专门针对轨道交通行业用户使用场景设计的,可以满足乘客从进入站台、站台候车、列车运行、到站下车、离开站台,整个过程中都能正常使用免费WIFI,可以有效解决运营商的网络在轨道交通行业在一些位置和列车运行过程中网络不稳定和无信号覆盖,从而导致乘客上网体验差的问题,同时结合信锐完善的用户画像、定位和商业推广功能,增加了轨道交通运营商的广告与营收的机会。
1、车头接入点
车头接入点是指列车头、列车尾用于和轨旁进行数据转发的AP,此AP不能配置业务wlan,车内乘客也无法接入该AP的wlan上网,车头接入点可以配置Trunk vlan的Native VLAN和允许VLAN,不能配置信道(自动匹配轨旁路线AP的信道)。
2、轨旁路线
轨旁路线是指列车运行过程中,轨道旁边的所有AP组成的网络,列车运行过程中车头接入点要实时与轨旁路线里面对应的AP建立车地链接,把列车内上网需求通过无线的方式转接到轨旁路线AP,轨旁路线AP再接入有线轨道交通系统,保证网络连通性,根据轨道部署实际方案,可以在不同的方向建立不同的轨旁线路,来满足列车在不同的行驶方向分别建立车地通信,轨旁路线中的AP不支持配置业务wlan,轨旁路线可以配置Trunk vlan的Native VLAN和允许VLAN,能配置桥接信道。
3、桥接参数
SSID和接入秘钥是车头接入点与轨旁路线建立车地通信关键参数,车地通信的桥接频段限定为5.8G(该频段可以更好的保证车地通信的效果),网络协议和信道带宽根据实际需要配置,业务无线网络在桥接频段上不生效。
4、射频参数
只能配置5.8G频段,发射功率是给车头接入点、轨旁路线的AP统一配置发射功率大小,高级选项请确保在具备专业知识的情况下对下列参数进行操作,以免造成业务故障。
6.5.2同频部署
同频部署是针对医疗查房及工厂车间等对无线连接的稳定性有较高要求的应用场景提供的无线漫游解决方案,为生产终端提供零漫游的无线网络覆盖。终端在零漫游的无线网络中自由移动时,保障业务流量不中断。此功能致力于解决终端在传统蜂窝部署的无线网络中因位置移动产生漫游而导致的业务中断问题,提高行业用户的生产效率。
同频服务组是配置零漫游无线网络(同频无线网络)的基本组。新增同频服务组时,需要指定同频频段、选择同频接入点。零漫游无线网络配置时选择相应同频服务组配置即可。
零漫游无线网络(同频无线网络)可以在2.4G和5.8G两个频段建立零漫游的无线网络,分别同时支持WPA/WPA2(企业)、WPA-PSK/WPA2-PSK(个人)等多种认证方式,满足客户不同生产场景下的设备接入要求。
6.6.1无线网络灾备
用于配置无线网络在接入点在无法连接NAC、用户认证服务器、短信服务器或微信服务器进入灾备模式的时候,这个无线网络使用哪个应急无线网络、应急VLAN和角色。
高级选项
灾备延迟:是指认证服务器与控制器断开连接后,延迟多长时间生效灾备。
检测间隔:检测微信\短信服务器的间隔时间。
故障判断:检测到服务器连续故障多少次,才认为需要生效灾备。
6.6.2灾备策略域
用于将无线接入点划分为不同的区域,配置这个区域下接入点进入灾备的条件和进入灾备后使用的应急VLAN和应急角色。
注意:
应急VLAN环境下必须存在DHCP服务器,否则终端无法获取到IP地址。
无线网络根据不同用户信息匹配不同用户vlan,灾备模式下都会使用同一个灾备VLAN。
按接入点分组划分出一个区域,控制该区域的终端接入时是否优先接入5.8g频段、是否开启接入点间负载均衡和动态负载引导,也可以控制该区域的射频是否需要射频信号覆盖补偿。
6.7.1优先接入5.8G频段
用来引导双频无线客户端优先接入无线环境中的5.8G网络,勾选后,可以提高5.8G网络的利用率。
6.7.2接入点间负载均衡
客户端连接无线网络时,如果同时探测到多个接入点的信号,通常会选择连接信号强度最高的接入点。这可能会导致相邻的几个接入点间,负载不平衡,例如某个接入点服务了大量的用户,但临近的另外一个接入点仍然比较空闲。
启用接入点间负载均衡功能后, 在用户接入网络时,如果已连接用户数超过指定值时, 将会执行负载均衡(当无线客户端连接到某个繁忙的接入点后, 此接入点将拒绝该客户端接入, 迫使无线客户端漫游到一个附近较空闲的接入点。 如果拒绝失败,则会使用漫游引导报文, 引导无线客户端漫游到人数较少, 信道利用率较低的接入点),以平衡接入点的负载。 负载均衡操作只会在物理上邻近,且处于相同分组的接入点间进行。
符合较空闲的接入点必须满足两个条件:
检测到无线客户端信号强度大于等于页面上配置的信号强度阈值;
邻居接入点上的接入人数减去该接入点上接入人数的差值大于页面上配置的接入人数差值。比如: 邻居接入点上的接入人数为10,页面上配置的接入人数差值为3,则此时该接入点上的接入人数应该小于等于10-3=7。
6.7.3动态负载引导(防终端粘滞)
动态负载引导功能是指终端距离接入点较远时,接入点主动使终端发生漫游,提高终端上网体验。即接入点检测到的终端的信号强度小于信号强度阈值,并且该终端的无线流量小于阈值流量时,接入点会使终端发生漫游。 仅使用1台AP时不建议启用该功能。
1、负载参数:只有负载参数同时满足时,优先接入5.8G频段和接入点间负载均衡才会被触发。
2、人数阈值:接入点上达到的在线用户数,建议取值为10。
3、人数差值:用来决策可接入的邻居接入点,建议取值范围[1,5]。AP部署密度较大时,取值越大体验越好;AP部署密度较小时,取值越小体验越好。
4、信号强度阈值:用来决策参与负载均衡的邻居接入点, 建议取值范围[-90, -70]。AP部署密度较大时,取较大值效果较好;AP部署密度较小时,取较小值效果较好。
5、总信道利用率:用来决策参与负载均衡的接入点,建议取值范围为[60,90],其中:总信道利用率=环境中的信道利用率+自身信道利用率。
6、弱终端参数:只有弱终端参数同时满足时,动态负载引导才会被触发。
7、智能射频:射频信号覆盖补偿,接入点异常/离线时,由邻居接入点自动放大功率进行信号覆盖
6.8.1功能概述
1、主要解决的客户问题
(1)终端跨VLAN漫游时,偶尔会出现终端没有重新获取IP地址的情况,导致无法上网;
(2)终端跨设备跨VLAN漫游时,偶尔会出现终端没有重新获取IP地址的情况,导致无法上网。
2、给客户带来的价值
终端在跨VLAN漫游和跨设备漫游时,可以继续上网。
6.8.2配置方法
控制器漫游域对集中转发生效。漫游域针对组网需要跨VLAN漫游的情况,如组网不涉及跨VLAN漫游,则无需使用控制器漫游域。
1、同控制器漫游:终端在同一台控制器上漫游
(1)存在如下集中转发的组网,为解决终端从接入点1漫游到接入点2能继续上网,漫游域配置如下。
(2)控制器漫游域的HA网络是给终端分配的VLAN和IP,将需要漫游的IP和VLAN写到一个漫游域中,终端连接无线网络VLAN31对应的地址段192.168.31.0,VLAN32对应的地址段为192.168.32.0,归属则选择本控制器。
接入点漫游域配置方法。
接入点漫游域对本地转发生效。漫游域针对组网需要跨VLAN漫游的情况,如组网不涉及跨VLAN漫游,则无需使用漫游域。
同控制器漫游
1.存在如下本地转发的组网,为解决终端从接入点1漫游到接入点2能继续上网,漫游域配置如下:
2.根据VLAN分配的地址配置接入点漫游域,将需要漫游的IP和VLAN配置在同一个漫游域中。终端连接一楼区域接入点分配VLAN31的地址段192.168.31.0/24,终端连接二楼接入点分配VLAN32的地址192.168.32.0/24。
部署管理图可以用于建模工勘,评估AP使用个数,以及展示信号覆盖情况。
6.9.1建筑物列表页面
用于管理建筑物。基于建筑物创建的楼层会继承建筑物的尺寸数据、单位及接入点型号。
6.9.2楼层列表页面
固定接入点个数。 要求用户指定AP的个数。该选项用于用户知道AP数量但不知道如何部署的场景,系统可以给出参考性的部署建议。
帮我确定接入点个数。要求用户输入编辑楼层大概有多少数量的用户接入到无线网络。该选项用于用户不知道AP的数量,也不知道如何部署的场景。系统可以给出参考性的AP数量和部署建议。
6.9.3部署页面
障碍物。所有对无线射频信号产生衰减作用的物体的统称。比如砖墙,混凝土墙,木门,玻璃窗等等。
不需要覆盖WLAN的区域。在该区域标识的范围内,系统不会部署任何AP。
WLAN覆盖区域。该区域可以用于因接入人数不同而有特殊要求的场景,例如食堂等大部分时间没有人的地方可能不需要部署太多的AP,但又要求有信号覆盖的时候,可以用该区域;或者在会议室这种接入人数比较密集的地方也可以使用该区域。
信号视图。该视图将显示AP的信号覆盖状态。
布局视图。该视图将隐藏AP的信号覆盖状态,用户只能看到AP的布放位置。
开放接口包括定位服务器,目前NAC做定位需要结合第三方定位厂商一起做定位,我们的无线仅提供底层信息数据支持。
针对自己拥有定位算法的客户,我们提供了定位所需的数据。
配置定位服务器,可以获取的信息:AP的MAC地址、STA的MAC地址、射频类型、无线信道、终端类型、是否关联上AP、关联AP的MAC地址、信号强度RSSI、底噪noise floor等。开启此功能需要开启定位服务器序列号。
当选择不同的国家码时,AP可以工作的频率范围是不一样的,可以根据当地法律选择不同的国家码。
射频控制策略,可以选择AP信号发射信号时间,比如下班时间自动关闭WIFI射频信号,一定程度上可以提升安全性以及省电。
整网调优会根据算法优化AP的信道,通过错开相邻AP之间的信道,减小AP之间的干扰,从而优化用户的上网体验。
整网调优之后,2.4G会调优至1、6、11信道上,5G会调优至对应带宽所在的信道,调优之后AP的带宽保持不变。调优方法分为两种,分别是定时调优和立即调优。
定时调优可选择对应区域和生效对象,调优方式可分为两种:每天定时调优和每周定时调优。
立即调优可选择对应区域和生效对象,调优效果同定时调优。
接口管理主要用于设置接口的IP地址以及工作模式,接口的工作模式是由部署需求决定的,需要根据网络环境设置合理的接口地址与工作模式,NAC才能正常工作。
7.1.1物理接口
物理接口中,eth0默认是管理口,属性是3层路由口,默认IP地址是10.252.252.252,掩码:255.255.255.0。
7.1.1.1二层接口
接口可以设置为2层接口,2层接口包括access模式和trunk模式两种,截图如下:
7.1.1.2三层接口
三层接口支持自动获取IP,配置固定IP、PPPOE拨号,当配置固定IP时,可以启用配置DHCP服务器。
7.1.2端口聚合
当有需要使用多个网口聚合的环境时,可以配置端口聚合功能,控制器使用的聚合协议为手动聚合模式,如下图:
聚合接口包括主备模式的,主接口先跑流量,当主接口故障时,备份网口启用,如果启用抢占模式,当主接口从故障中恢复过来时,会抢占优先跑数据。
聚合接口还可以有负载均衡的方式,负载均衡时,可以选择多个网口,以3层Hash方式或2层Hash方式进行负载,如下图:
7.1.3VLAN接口
VLAN接口在需要配置3层虚拟接口的时候可以配置,配置界面如下:
编辑VLAN接口界面如下,也可以启用DHCP服务,方法与界面同物理接口的3层口配置:
网络配置主要包括以下模块:【静态路由】、【网络IP组】、【策略路由】、【SNAT地址池】、【地址转换】、【DNS】六个部分。
7.2.1静态路由
静态路由:静态路由,填写目的地址,网络掩码,下一跳,并选择自动选择接口,并设置度量值即可。静态路由配置支持IPv4与IPv6。一般为了保障NAC能正常上网,需要配置8个0的默认静态路由,尤其是在【接口管理】处,配置的3层接口都是手动配置时。
当3层接口配置了DHCP时,可以勾选设置默认网关自动添加系统路由,也会后台自动添加8个0的默认静态路由,保障NAC可以正常上网,如下图:
7.2.2网络IP组
7.2.3策略路由
策略路由可以根据不同的源IP和目的IP,以及协议,自动选择下一跳进行数据包发送选路,更好的适应的复杂网络环境的适应能力,如下图:
7.2.4SNAT地址池
7.2.5地址转换
地址转换包括【源地址转换】、【目的地址转换】、【双向地址转换】三种类型,下面将一一介绍
7.2.5.1源地址转换
源地址转换也称为SNAT,主要用与给无线终端设置代理上网规则的,当无线终端采用集中转发模式,并给无线终端分配了私有IP地址时,一般都需要在NAC上配置源地址转换的代理上网规则。
7.2.5.2目的地址转换
目的地址转换也叫做DNAT,常用于内网有服务器需要发布,NAC以网关模式部署时,对内网进行端口映射,配置方法如上图。该功能针对无线终端用户用得很少。
7.2.5.3DNS
配置NAC设备的自身上网的DNS服务器,用于NAC自身的上网,NTP服务同步,系统更新以及针对内网启用DNS代理功能。
当启用DNS代理功能时,内网的PC和无线终端,可以设置设备的接口作为DNS服务器解析服务器来配置,可以保证这些用户能正常解析域名上网。
线路带宽配置是为了,在流控与安全中,调用时使用。线路带宽基于接口配置,且NAC没有明显区分外网口与内网口,从某个接口进,则这条流对于这个接口属于下行,从某个接口出,则这条流对这个接口属于上行。有需要时,可以针对内网和外网设置不同接口对应线路来进行流控。
设备在正常转发数据的时候,数据会从一个接口进,从另外一个接口出,在这个接口上配置了线路,经过这个线路的数据才能被流控,最多支持16条线路(设备型号不同支持最大线路数不同)。 在配置线路的时候,接口类型可以有多种选择:物理口、三层vlanif口、二层聚合口,可以根据不同的组网需要选择不同类型的接口。在选择接口的实时候需要遵循以下几个原则:
第一:如果已经配置了一条vlanif口,同时某个二层口在这个vlan内(access的vlanid为该vlanifid,或者trunk vlan列表中有该vlan),那么这个二层口就不允许再配置成一条新的线路。 第二:如果一个二层口和一个vlanif接口都配置成线路,修改这个二层接口的vlan属性时,不能修改为线路中vlanif接口的vlan值。 第三:配置线路时,不能选择聚合口下面的物理接口。
经过NAC控制器的有线用户,可以选择对有线用户进行认证,认证策略在【有线配置】-【有线认证】下配置策略。
7.4.1接口区域
控制器认证配置,可以对认证做出一些特殊配置,比如通过定义非信任接口直接拒绝掉某个接口的所有流量,不再采取认证。
7.4.2认证策略
认证策略的名称,只在选择数据通过时需要认证的接口。支持物理接口、聚合接口和VLAN接口,选择TRUNK模式的接口时可指定需要认证的VLAN。只在选择需要认证的用户范围,支持IP地址及MAC地址
7.4.3认证类型
IP地址认证,web 认证。IP地址认证,无须认证即可连接到网络。web 认证:web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
Web认证支持在本控制器上进行Portal认证,此时选择【认证授权】-【portal服务】-【web认证策略】中添加的认证策略。也支持对接外部portal服务器进行portal认证。
DHCP服务可以为自动获取IP地址的终端分配IP地址,支持所有三层接口(物理口、聚合口、vlan接口、vrrp接口)且支持在一个接口上分配不同网段IP。三层接口通过引用DHCP策略可以生效DHCP服务。
DHCP策略,配置如何为终端分配IP地址的策略,支持根据DHCP终端的信息、用户属性、Option82等为其分配不同网段的IP,或将其DHCP请求转发至外部不同的DHCP服务器。
地址池管理,配置DHCP地址池,多个地址池可以被同一个策略引用。
流量管理系统可以对不同用户及应用的网络流量进行管理,划分。提供了带宽保证和带宽限制功能,通过带宽保证功能可以保证重要应用的带宽,带宽限制功能可以做到根据本地用户、服务器认证用户、用户接入方式、用户角色、源IP、位置、终端类型限制上下行总带宽、各种应用的带宽等。
流量管理系统同时提供流量子通道的功能,可以根据需求建立流量子通道,对通道流量做更为细化的分配。
一级通道是指处在最顶层的一级带宽通道。子通道是指在某个通道下面再创建的带宽通道。子通道用于满足多层次划分带宽的需求。子通道的通道条件从属于上一级通道。
例如:高校,线路带宽100Mbps,需要把50Mbps划分A校区,50Mbps划分给B校区,各校区再把带宽划分到各学院。这时候,就需要单独为校区A,校区B创建一个一级带宽通道。然后在校区A/B通道下面再创建子通道。
流量通道:在网络没有进行流量管理前,线路中所传输的网络流量不分优先级,自由竞争线路的带宽。而流量通道是指在一条线路内,可以人为再细分成多个虚拟的带宽通道,流量管理系统正是基于通道的方式对线路的带宽进行管理。
通道可以设定最小保证带宽,最大限制带宽,每IP带宽上限,带宽优先级。
通道属性中的优先级,是指带宽分配的优先级,并不是通道匹配的优先级。通道匹配的顺序取决于通道所处的位置,是从上往下逐个通道匹配的。
通过流量管理,可以实现的主要功能有:1、动态保证重要网络应用的带宽2、通道内,不同IP间,带宽平均分配3、限制网络应用的带宽4、控制每IP的最大带宽
8.1.1通道条件
可以依据用户,源IP/IP范围,应用,时间,目的地址来设定带宽通道的条件,设备接收到数据包时,会依次从上往下匹配带宽通道,找到第一个匹配的通道,从而为这个数据包找到正确的带宽通道。
选择应用
选择通道适用范围,包括用户组、用户、用户角色、接入位置等条件
8.1.2限制通道
限制通道设定通道的最大带宽,该类型的通道不能设定最小保证带宽(或者说保证带宽数值为0)。抑制P2P下行丢包:有效的增强p2p应用的流控,增加流控通道的有效性。限制通道可以设置,线路空闲时允许突破带宽限制。
8.1.3保障通道
保障通道是指可以设定最小保证带宽的通道,用于保证重要的网络应用的带宽。如果某个时刻所生效的通道中,所配置的保证带宽总和已经超过线路的带宽,则会按比例压缩,使得保证带宽总和不会超过线路设定带宽。保证通道也可以设定最大限制带宽。通过“系统状态->流控状态”页面可以查看到当前生效的通道的实际保证带宽,以及通道的实时速率等信息。
8.1.4高级配置
线路空闲阀值:带宽值低于此值,视为线路空闲,此时限制通道才支持突破带宽限制。线路繁忙保护:不让带宽值跑满,否则一些对带宽敏感的应用很容易丢包,比如视频流量
8.1.5复制通道到所有线路
由于流控策略是基于线路出口的,如果有多条线路出口,必要时可以在所有线路按照相同流控策略复制到所有线路。
8.2.1射频提速
射频提速功能可以减少无用的广播包转发至无线终端,增加无线的传输的稳定性,并有效的提高无线终端的数据传输效率。包含广播优化,电子书包优化功能。
启用用户间平均分配带宽:同一无线接入点上同一频段的所有无线终端用户之间带宽分配权重相同,当无线接入点传输带宽不足时,每个终端占用的无线时间保持基本一致;带宽足够时,用户带宽将不受此限制。建议关闭掉。
ARP转单播:从有线测到无线终端的ARP广播包,在NAC和AP有记录的ARP对应表会转为单播,而不再采用广播数据,提高数据的传送效率
禁止DHCP请求发往无线终端:对于无线测的终端,默认是以上网类的PC、平板、智能手机等终端,默认不包括DHCP服务器的,所以启用该功能可以有效抑制DHCP请求包发往无线终端测,提高传输效率。
禁止ipv6报文发往无线终端:目前绝大多数情况不使用ipv6协议,开启此开关可以减少空中的ipv6报文,优化无线网络环境。
禁止mdns发往无线终端:mdns报文用于在没有传统dns服务器的情况下广播发现局域网内的主机。目前苹果系统的产品支持较多,如果要使用类似Bonjour这样的软件,请在使用的vlan不开启禁止功能。
禁止nbns发往无线终端:windows系统的名称解析协议的数据包,在局域网内一般会大量存在,严重时会影响用户的上网数据传输。
电子书包多播优化功能:对于默认的802.11协议中,对于广播数据是有一定速率限制的,为了适应新环境下的网络需求,有效且合理的提升了广播包的发送速率,增加了无线终端发送速率。
NAC集成了SangforVPN,标准IpsecVPN,接入点VPN三种VPN。
『VPN配置』包含了【DLAN运行状态】、【基本配置】、【用户管理】、【连接管理】、【第三方对接】、【接入点VPN】、【高级设置】。
此页面可以查看当前的VPN连接和网络流量信息。页面如下
点击开启可开启VPN服务。
点击停止可暂时停止VPN服务。
点击刷新,则显示实时的vpn连接信息以及流量信息。
在【输入用户名】输入框中输入用户名,可以快速找到当前用户的连接情况。可以进行模糊搜索。
注意:需要开启VPN服务,VPN配置才会生效。
【基本设置】用于配置Sangfor VPN的服务端。页面如下
主、备WebAgent:指动态IP寻址文件在WEB服务器中的地址,包括主WebAgent和备份WebAgent地址。
如果是“动态寻址(总部非固定IP)”请填写“WebAgnet网页地址”(一般为.php结尾的网页地址),填写完Webagent后可以点击测试按钮查看是否能够连通,如果总部是“固定IP”,请按照“IP地址:端口”的格式填写,如202.96.134.133:4009。点击修改密码可以设置Webagent密码,以防止非法用户盗用Webagent更新虚假IP地址,只对网页地址有效。点击加密密钥可以设置共享密钥,防止非法设备接入。
注意:如果设置了【WebAgent密码】,一旦遗失该密码则无法恢复,只能联系深信服科技客户服务中心重新生成一个不包含Webagent密码的文件并替换原有文件。如果设置了【共享密钥】,则所有VPN网点都必须设置相同的【共享密钥】才能相互连接通信。如果是多线路且都是固定IP的情况下,可以采用“IP1#IP2:port”的方式来填写Webagent。
MTU值:用于设置VPN数据的最大MTU值,默认为1500。
最小压缩值:用于设置对VPN数据启用压缩的最小数据包大小,默认为99。
VPN监听端口:用于设置VPN服务的监听端口,缺省为4009,可根据需要设置。
修改MSS:用于设置UDP传输模式下VPN数据的最大分片。
注意:MTU值、最小压缩值、修改MSS一般情况下请保留默认值,如需设置,请在深信服技术支持工程师的指导下修改。
直连、非直连:用于设置网关与Internet的连接方式,如果能直接获得Internet IP或者能通过端口映射等方式让Internet用户可以访问到网关设备的VPN端口,则可设置为“直连”,不能获得Internet IP的连接方式则需设置为“非直连”。
点击高级设置可以进行VPN性能设置,线程数设置,如下图所示:
本地子网:配置走Sangfor VPN的网段,此网段会同步给其他建立sangfor VPN连接的设备。
VPN时间计划:配置VPN独立的时间计划。
隧道间路由:通过配置源网络号和源子网掩码,以及目的网络号和目的子网掩码以及建立VPN连接的目的路由用户,实现隧道间路由的目的。
为实现隧道间路由,需完成以下两个步骤:
1、在VPN客户端的基本设置->本地子网处,创建本地子网的相关配置(子网网段与子网掩码);
2、在VPN客户端的基本设置->隧道间路由处,新增隧道间路由配置。源网络号与子网掩码与本地子网配置一致。目的网络号和目的子网掩码的配置则随着用户的需要有所不同:
(1)设置成VPN服务端的本地子网配置,则允许访问VPN服务端内网资源;
(2)勾选“启用”通过目的路由用户上网,则目的网络号和目的子网掩码都自动填充为0.0.0.0和0.0.0.0代表所有流量均通过隧道间路由进行访问。
【用户管理】用于管理VPN接入账号信息,设置允许接入VPN的用户名、初始密码,设置账号使用的加密算法、账号有效时间。页面如下:
【新增用户】:可依次设置接入账号的用户名、初始密码、确认密码、算法、描述、等信息,如下图:
使用组属性:用于对用户进行分组,如勾选使用组属性,则可激活选择用户组设置,选择将该用户加入到某一个用户组并应用这个组的公共属性。
设置【使用组属性】前请先新增用户组。用户加入用户组后,该用户的加密算法、权限设置、高级将无法再单独设置。
有效时间和启用过期时间:用于设置“接入账号”的有效时间及过期时间。
启用压缩:用于设置对网关设备与该用户之间传输的数据使用压缩算法进行压缩。
该设置是SANGFOR VPN的独特技术,在低带宽的环境下能有效利用有限带宽,加速数据传输,但并不适用于所有网络环境,实际应用中可根据情况进行设置。
启用多用户登录:用于设置是否允许多个用户同时共用该账号登录VPN。
点击高级页面,可以设置【VPN隧道超时时间】,页面如下
点击删除 确认删除可对勾选的用户进行删除操作。页面如下
为了实现多个网络节点的互联(组成“网状”网络),VPN硬件网关提供了对网络节点互联的自主管理和设置功能。可在【连接管理】中进行相关的设置。页面如下:
注意:连接管理只有此设备当分支使用需要连接其他Sangfor VPN设备时才需要启用,否则本端是VPN总部设备的不需要启用连接管理。
新增:可以添加到一个到其他VPN总部的连接。页面如下:
总部名称:用于标记连接名称,可以任意填写。
描述:可自行定义描述信息。
主/备份Webagent:用于填写需要连接的总部的对应Webagent,点测试按钮可以测试Webagent是否工作正常。
传输类型:可选“TCP”或“UDP”,用于决定传输VPN数据包的类型,默认为UDP模式。
用户名和密码:请根据总部提供的接入账号信息来填写。
跨运营商:适用于总部分支采用了不同运营商线路互联且经常丢包的情况下。可以选择“低丢包率”、“高丢包率”和“手动设置”。
注意:跨运营商功能需要额外激活,否则该功能无效。只要总部激活跨运营商功能,则所有连接到该总部的移动用户均可启用跨运营商功能。如果是设备和设备之间互连,则需要双方都开启跨运营商序列号,否则该功能无效。
SUNDRAY IPSEC VPN系列硬件设备提供了与第三方IPSEC VPN设备互联的功能,能与第三方的IPSEC VPN设备建立标准IPSec VPN连接。
【第一阶段】用于设置需要与SUNDRAY IPSEC VPN硬件网关建立标准IPSec连接的对端IPSEC VPN设备的相关信息,也就是标准IPSec协议协商的第一阶段。页面如下:
点击新增,页面如下:
设备名称:可自行定义。
描述:可自行定义。
设备地址类型:包括对端是固定IP、对端是动态IP、对端是固定域名三种。请根据实际情况选择。选择固定IP,就填写上对端的IP地址;选择动态域名,就填写上对端外网绑定的域名。
注意:标准IPSEC不允许连接的双方都是动态IP,只能允许其中一方为动态IP。
预共享密钥及确认密钥:填入正确的预共享密钥,并确保连接双方采用的都是相同的预共享密钥。
点击高级,显示【高级选项】对话框,可进行其它高级设置,如下图:
ISAKMP存活时间:标准IPSEC协商的第一阶段存活时间,只支持按秒计时方式。
重试次数:当VPN故障断开后,重试连接的次数,超过次数还未能连上,则不再主动发起连接,除非有VPN流量触发才能再次主动发起连接。
协商模式:包括主模式和野蛮模式两种类型。主模式适用于双方均为固定IP或者一方固定IP一方动态域名方式,并且不支持NAT穿透;野蛮模式适用于其中一方为拨号的情况,并且支持NAT穿透。
DH群:设置Diffie-Hellman密钥交换的群类型,包括1、2、5三种,请与对端设备配置保持一致。
认证算法:选择数据认证的Hash算法,包括MD5。
加密算法:选择数据加密的算法,包括DES、3DES、AES。
野蛮模式的身份ID有3种表达方式,一种为IP地址;一种为域名字符串(FQDN)格式,可以为任意的网址或者一串字符串;另一种为用户字符串(USER_FQDN),需要是“xxx@xxx.xxx”这种格式。
第二阶段:
【入站策略】用于设置由对端发到本端的数据包规则,策略较多时自动分页显示。可以在右上角搜索策略名称、源IP、对端设备名称等;其中对于源IP是“子网+掩码”的策略,仅搜索的是子网,不搜索掩码。
策略名称及描述:可自行定义。
源IP类型:包括单个IP、子网+掩码两种类型。分别指定对端VPN数据的源IP是单个IP还是整个网段,并正确填入对端VPN数据的源地址。
对端设备:该出站策略跟对端哪个设备相关联。
入站服务:定义对端哪些类型的服务允许进入VPN隧道传输至本端内网。
有效时间及过期时间:在什么时间范围内,该入站策略有效。其中有【效时间】可选【生效时间内允许】,【生效时间内拒绝】。
出站策略:用于设置从本端发往对端的数据包规则,点击新增,显示【策略设置】对话框,页面如下:
策略名称及描述:可自行定义。
源IP类型:包括单个IP、子网+掩码两种类型。分别指定VPN数据的源IP是单个IP还是整个网段,并正确填入VPN数据的源地址。
对端设备:该出站策略跟对端哪个设备相关联。
安全选项:该出站策略跟哪个安全选项相关联。
SA生存时间:标准IPSEC第二阶段协商的存活时间,同样只支持按秒计时。
出站服务:定义哪些类型的服务允许进入VPN隧道传输至对端内网。
有效时间及过期时间:在什么时间范围内,该出站策略有效。其中有【效时间】可选【生效时间内允许】,【生效时间内拒绝】。
注意:【有效时间】模块,只在连接双方都是SUNDRAY设备情况下生效,与其他厂商设备互联时无效。
启用密钥完美向前保护:根据对端设备情况而定,如果对端启用了PFS,则本端也需要勾上此选项,否则不用勾选。
注意:【出站规则】和【入站规则】中的【出站服务】、【入站服务】和【有效时间】均为SUNDRAY扩展的规则,此类规则仅在本端设备生效,在与第三方设备建立VPN连接的过程中不会协商此类规则。【出站策略】和【入站策略】中策略所对应的源IP地址是指【源IP类型】和【本/对端服务】中所设置的源IP的交集。
【安全选项】用于与对端建立标准IPSec连接时所使用的参数,页面如下:
在建立与第三方设备的IPSec连接前,请先确定对端设备采用何种连接策略,包括:使用的【协议】(AH或ESP)、【认证算法】(MD5或SHA-1)、【加密算法】(DES、3DES、AES)。点击新增,添加新的选项,页面如下:
SUNSRAY IPSEC VPN系列硬件设备会使用设置好的连接策略与对端协商建立IPSec连接。
【安全选项】中的【加密算法】用于设置标准IPSec连接的第二阶段所使用的数据加密算法,如果要与多个采用不同连接策略的设备互联,需要分别将各个设备使用的连接策略添加到【安全选项】中。
接入点VPN主要用于远程部署场景,分部要通过分部的VPN访问总部资源、或者总部分部互访。由AP和控制器之间建立VPN隧道,传输总分部之间的流量。
虚拟IP池:由接入点VPN系列硬件设备指定设备内网中空闲的一段IP作为移动用户接入时的虚拟IP。当移动用户接入后,分配一个虚拟IP给移动用户,移动用户对总部的任何操作都是以分配的IP作为源IP、就完全和在总部局域网内一样。例如使用虚拟IP的移动接入后,无论总部局域网的计算机是否把网关指向总部接入点VPN系列硬件设备,移动用户均可以访问,还可以为接入的移动用户指定DNS等网络属性。
创建移动虚拟IP池。虚拟IP池中的IP相当于是直连在总部控制器网关设备的网段。
在【虚拟IP池】对话框,设置“IP池”的起止IP即可。页面如下:
分支网络部分走本地转发,部分走集中转发。
满足分支远程AP本地转发下的用户即想访问公网,又想访问总部资源的需求。
分两种场景:
场景1:只允许分支访问总部。
配置方法:在虚拟IP池中设置足够多的虚拟IP。将总部资源的IP填写到目的子网中,即可。
场景2:允许分支总部互访。
配置方法:需要划分每个AP的子网网段,保证子网网段不冲突。将总部资源的IP填写到目的子网中。
接入点单向VPN,只允许分支访问总部:
接入点双向VPN:允许总分部互访。
在接入点双向VPN(配置允许分支总部互访的接入点或分组)选项下,接入点或分组里选择需要双向互访的AP或者AP组。
在AP端,需要开启【AP双向VPN】的支持,具体在【接入点配置】【无线接入点】,点开对应的接入点,AP选择网关模式,点参数配置,选中【网关接入点】,点添加,勾选【双向VPN支持】。
【目的子网】配置分支走集中转发的网段。配置远程AP下的用户访问哪些IP时走集中转发。
VPN接口:
支持自动分配和手动配置,可在此接口上做地址转换。
动态路由设置:
动态将VPN的路由表通告给接在控制器内网的路由器。
允许通告接入点VPN的IP地址:将AP VPN目的子网路由下发给内网路由器。
集中管理用于多控制器情况下,选一台主控制器,管理别的控制器。集中管理中NAC控制器分三种角色:独立控制器,网点控制器,中心端控制器。以下逐一说明。
独立控制器:未开启集中管理功能。
分支控制器:分支分三种状态(管理,监控,维护)。管理状态:需要中心端和网点版本一致,由中心端集中配置下发无线网络等集中管理的配置;监控状态:网点自己管理配置;维护状态:当中心端和网点版本不一致时自动切换,或由中心端管理员主动切换,维护状态下暂时不下发配置,网点也不可以修改集中管理的配置。
中心控制器:增加、删除、编辑网点账号。批量切换网点的状态(管理,监控,维护)。导入导出网点账号。生成网点的解控密码。远程登陆到网点的控制器。
点击启用集中管理并设置控制器角色
可以选择该控制器的角色,如果是主控端,就选择中心控制器,如果是受控端,就选择分支控制器。
假如是中心端控制器角色,填写解控密码。解控密码用于加入到该中心端的网点控制来退出集中管理。
点确定点提交后,该控制器就配置成了中心控制器角色。
新增分支控制器,分支名标识分支用,可以自定义;所属组可将分支放到某个分组目录里面;帐号密码是用于分支控制器加入中心控制器的时候定义的帐号密码。网络管理模式可以选择分支管理或中心端管理,分支管理下分支可自行管理自己的【接口管理】和【网络配置】,中心端管理下由中心端统一管理分支的【接口管理】和【网络配置】。
在网点控制器,点击启用集中管理并设置控制器角色,开启集中管理功能。控制器角色选择分支控制器。分支端设置:输入中心端主地址和在中心控制器定义好的帐号密码。管理模式可选监控模式和管理模式。最后点提交即可加入管理。
如果选择管理模式,部分配置将被中心端覆盖,且会删除营销中心的数据请先备份当前配置,请先备份相应数据。
在中心控制器端根据状态,如果是在线,就表示网点控制器已经加入成功。该界面包含了网点、操作、IP地址、版本号、状态、接口点、在线用户、安全事件、工作模式、主备机、最近更新时间、日志。其中操作可以切换该网点控制器的控制模式。接入点显示了网点控制器上的AP状态,分别有未激活,激活,离线三个状态,点击未激活的那项可以激活网点AP。日志可以看到中心端对网点控制器的操作是否下发等日志。
认证托管组分为“1+1灾备”和“N+1灾备”。
“1+1灾备”下两台分支控制器互为灾备,当任意一台控制器宕机后,由另一台控制器接管AP。类似于异地双机,两台控制器会同步配置,会将控制器1的配置覆盖到控制器2。在此模式下,两台控制器会同步配置及认证信息。故当AP被另一台控制器接管后,终端用户无需重新认证。信息同步使用TCP13333端口,需要保证两台控制器通信IP可以互相通信。
“N+1灾备”下指定1为中心控制器,N为分支端,即当分支设备宕机后,由中心端接管AP(即类似之前版本的集中管理)可以手动指定一台网点控制器为集中认证的中心控制器,N为分支控制器。分为集中认证与分布式认证。
集中认证:所有用户在指定的中心控制器上统一认证。
分布式认证:用户在各自接入的分支控制器认证,不能实现跨NAC免认证漫游。
无线网络部署为集中转发模式时,所有无线用户的流量都将经过控制器集中转发,因此存在单点故障导致网络中断的风险。通过部署 2 台控制器,可以实现NAC间的负载均衡,以及网络的高可用性,避免单台NAC故障时导致无线网络不可用的风险。
10.2.1VRRP组
VRRP(Virtual Router Redundancy Protocol)协议,提供了虚拟 IP 的机制来解决网关 IP 在多个路由器间迁移的问题。在3层部署的环境中,无线客户端的默认网关指向NAC的 VLAN 接口地址,因此在双机部署中,当某台设备故障时,VLAN 接口的 IP 地址需要使用 VRRP 协议迁移到备份设备上,从而保证无线用户仍然能够正常访问网络。
VRRP 的虚拟 IP 迁移通过备份组机制实现,基本原理如下:
把两个路由器划分为一个 VRRP 备份组,备份组设置一个虚拟 IP。
备份组内的路由器,使用基于优先级的选举机制,优先级较高的为 Master 路由器,其余为 Backup 路由器。
只有 Master 路由器,才真正持有备份组的虚拟 IP,也就是对于其它主机询问此虚拟 IP 的 ARP 请求,PING 请求等,只有 Master 路由器会回应。
Master 路由器定期发送 VRRP 通告报文,通知备份组内的其他路由器自己工作正常。Backup 路由器则监听通告报文的到来,如果在一定时间内没有收到 Master 路由器的通告报文,则优先级最高的 Backup 路由器将转化为 Master 路由器。
10.2.2高可用性
1、通信网口
双机热备情况下,两台NAC之间,需要同步内部状态信息,例如心跳信号,在线用户信息,漫游信息,无线射频调整决策信息等。因此在控制器上,通常需要分别使用一个专用的网口来完成双机状态同步。此选项选择用于状态同步的物理接口。
2、对端地址
对端控制器的 IP 地址,系统使用所选择的物理接口及对端地址来完成双机状态同步。因此对端地址是指双机心跳线所连接的对端接口 IP 地址。
3、管理 VRRP
选择一个 VRRP 备份组作为管理 VRRP 组,在此备份组中,Master 状态的设备将作为“主管理设备”。只有登录到“主管理设备”,才允许修改系统配置。
4、主备配置
主机选择允许编辑配置,备机选择同步对端配置,双机热备才会搭建成功。
物联网设备页面是为了满足NAC统一运维管理AP与物联网接入单元链路设备,链路状态查看、维护管理,可以在NAC的物联网设备页面进行管理,方便用户的使用以及排查问题。
物联网设备页面具有下列功能:
1、查看物联网接入单元、板卡、服务器详情信息与状态展示。
2、过滤筛选功能,可以通过物联网接入单元、板卡、服务器的状态进行筛选过滤。
3、搜索功能: 可通过物联网接入单元、板卡等属性进行搜索。
4、设备维护:可通过设备维护查看物联网接入单元链路的整体状态信息、并可对其链路下的设备进行维护(板卡重启、定时重启、链路设备重启、串联设备重启)。
『应用中心』包含【序列号】、【服务配置】、【信锐云】三个功能模块。
使用NAC前,必须向设备供应商购买有效的产品或功能序列号。NAC的版本序列号包括设备序列号和软件升级序列号,设备序列号决定了一个NAC最多可以管理AP的个数。软件升级序列有效,NAC才可以正常升级软件版本,配置界面如下:
本页面可以配置控制器需要开启、关闭哪些功能,在不需要使用某类功能时可以选择禁用服务,以便最大化的节省系统资源消耗,使系统能够将更多的资源分配给已开启的功能,使其更加流畅的运行。
12.2.1数据转发
集中转发:适用于所有接入点都使用集中转发模式。禁用服务可以释放大量资源,需要重启设备。该服务禁用状态时“集中转发应用识别”服务和集中转发无线网络也将被禁用。
本地转发:适用于所有接入点都使用本地转发模式。禁用服务可以释放大量资源,需要重启设备。该服务禁用状态时“本地转发应用识别”服务和本地转发无线网络也将被禁用。
12.2.2应用识别
集中转发应用识别:功能开启之后,将会识别集中转发用户的应用。关闭后可以释放部分资源,无需重启设备。禁用服务可以释放大量资源,需要重启设备。
开启本地转发应用识别:功能开启之后,将会识别本地转发用户的应用。启用功能之后,需要在本地转发应用识别选项中选择,需要开启识别的本地转发的无线网络或是接入点有线认证策略,默认不勾选。功能开启之后,将会消耗接入点2%-5%的上行带宽。
12.2.3审计
用户审计:开启功能,需要启用内置日志中心或是配置一个外置的日志中心。
本地转发五元组审计:开启功能,可以审计本地转发用户的五元组信息。
12.2.4日志中心
内置日志中心:开启和关闭内置日志中心,配置磁盘预警和自动删除数据选项。
外置日志中心:开启和关闭内置日志中心,管理外置日志中心的同步账号。
12.2.5特色服务
信锐无线安全接入前端:开启、关闭信锐无线安全接入前端服务。服务开启时将采集的终端信息、上网行为信息等上报给第三方设备。
物联网服务:开启、关闭物联网功能。服务开启时才能进行物联网设备的部署和管理
VPN服务:开启、关闭VPN服务。服务开启时才能在VPN配置页面进行配置。
数据分析平台:开启、关闭数据分析平台服务。服务开启时才允许进行数据分析平台配置项配置。
云服务主要是为了帮助企业IT管理员更好的服务企业员工, 增加紧急事件远程处理的能力,方便IT管理员管理企业无线,在有无线故障时IT能够及时知晓并作出响应。
要加入云管家,首先需向云服务器注册企业账号,信锐云服务现在支持账号登录和短信登录两种方式。
企业账号注册成功后用该企业账号登录,控制器即可加入到云管家。
如果显示“在线”,表示成功加入云管家,如果显示“离线”,表示控制器与云管家的连接断开。
成功加入云管家之后,用手机扫描页面上的二维码,下载信锐云管家APP,并用注册的账号登录,就可以进入到app管理页面,方便的管理控制器了。
『系统管理』包括以下几个模块【系统配置】、【短信服务】、【邮件服务】、【管理员账号】、【SNMP配置】,下面我们将一一介绍上述功能
13.1.1系统选项
系统选项可以配置关于设备的基本信息,包括设备的中英版本切换,可以在此选择切换。
1、设备信息
设备名称:填写设备的名称
默认编码:选择你所在国家/地区的本地编码,例如简体中文选择 GBK,繁体中文选择 BIG5。设备的部分功能需要依赖于正确地选择此编码。例如在 Windows 无线客户端中,PEAP-MSCHAPv2 认证过程中发送的用户名使用本地编码格式,而本地用户数据库中用户名为 utf-8 编码。如果需要支持中文用户名,则系统在认证过程中需要知道原始编码,并转换为 utf-8 编码。
HTTPS端口:控制台登录界面端口
设备证书:给NAC设备设置证书,用于安全登录NAC设备。
控制隧道端口:默认控制隧道端口号7070,手动指定端口号范围:1024-65535。
数据隧道端口:默认数据隧道端口号7077,手动指定端口号范围:1024-65535。
发现控制器端口:发现控制器端口号默认7777。
发现控制器备用端口:手动指定备用端口号范围:1024-65535。修改备用端口号后,默认的端口7777还可以发现控制器。
集中管理端口:默认集中管理端口号5000,手动指定端口号范围:1024-65535。
2、系统安全选项
控制台超时:管理员登录控制台后,如果在设定的超时时间内,未进行任何操作,则系统会注销此次登录。
3、webAgent
webAgent功能用于解决接入点跨广域网/公网远程部署时,由于控制器没有固定IP地址,导致接入点无法与控制器无法进行通信的问题。使用该功能时,请联系客服或技术支持获取webAgent服务。
注:开启webagent功能时,需要开放7777(udp协议)、7070(tcp协议)、7077(udp协议)、800(tcp协议)端口号。
13.1.2日期时间
设置系统时间,可以通过获取本地PC或通过同步NTP服务器的方式同步时间,如下图,并可以设置设备工作所在的时区。
13.1.3HOSTS
当指定我们设备作为域名解析服务器时,可以通过设置HOSTS对外解析域名已经设置好的域名,而且后续还可以设置DNS代理,真正实现以我们设备的IP地址作为服务器解析所有的域名。当网络中设置以NAC的IP为DNS服务器时,并设置了HOSTS中对于域名wwww.adminwlan.com的IP时,AP会以该域名对应的IP去自动发现NAC,实现NAC对AP的管控。
在部署短信认证的无线网络时,需要先启用短信认证服务,并正确配置短信发送参数。
系统支持的短信发送方式:通过连接到NAC串口的短信猫发送、通过连接到外部服务器的短信猫发送、通过短信网关发送。
说明:如果NAC部署的机房中,手机网络信号差,导致无法发送短信。则可以选择把短信猫连接到一台服务器,并把服务器部署到此机房以外,且信号良好的环境中,由此服务器来代理发送短信。
本地用户数据库中邮箱绑定类型的账号绑定邮箱后,可以通过邮件找回密码,管理员也可以将用户名密码发送到用户绑定的邮箱中。使用之前需要启用并正确配置邮件服务。
发件人邮箱地址:邮件发件人账号,需要在smtp服务器上注册。
SMTP服务器器:邮件发送服务器,可以填写域名或者服务器ip地址,默认端口25。
用户名:邮件服务器校验使用的用户名,建议与发件人邮箱地址保存一致。
密码:邮件服务器校验密码,即用户名对应的密码。
默认系统内置了admin超级管理员,用于登录设备。
超级管理员账号:默认admin/admin是webui的超级管理员,只能修改自身密码,可以新增和删除和修改其他用户的用户名和密码。
新建分为新建普通管理员和新建数据分析管理员。
13.4.1普通管理员
可以查看控制台页面和营销中心页面,支持按页面配置权限,按分支或接入点分组配置权限,按本地用户组织结构配置权限,热点地图权限,并且可以关联云管家账号。
支持创建公有配置,查看或修改其他管理员的配置。
13.4.2营销管理员
只允许登陆营销中心页面,支持针对接入点和热点地图分权。
SNMP(Simple Network Management Protocol,简单网络管理协议),用于管理网络中上众多的软硬件平台。开启后可以通过snmp协议查询本设备系统信息,如设备型号,内存使用,硬盘使用率,cpu消耗等。
13.5.1SNMP V1/V2
SNMP的第一版本和第二版本。它们都是基于团体名进行报文认证。
13.5.2SNMP V3
SNMP的第三版本此版本提供重要的安全性功能,其中就包括了认证和加密两项。认证需要提供认证方式(MD5,SHA)和认证密码。加密需要提供加密方式(DES)和加密密钥。
13.5.3MIB
MIB(Management Information Base,管理信息库),是由网络管理协议访问的管理对象数据库,也可理解为是所有可管理对象的集合。下载本设备MIB后,再导入到相应的管理端后,可以管理或查询的本设备的一些基本信息,如设备信号,内存使用,硬盘使用,CPU消耗等。
13.5.4SNMP Traps
SNMP trap又称SNMP陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到的管理端轮询后再发送。需要配置管理端的IP地址和端口,以及团体名。支持向多个管理端发送信息。
『系统维护』包括如下几个功能模块【系统更新】、【日志查看】、【备份恢复】、【故障排除】、【调试选项】、【重启及格式化】、【命令行控制台】、【导出系统记录】。
14.1.1自动更新
启用自动更新:NAC可以自动更新系统补丁,实现NAC功能的优化。更新服务器可以选择“自动更新服务器”,也可以手动选择“深圳服务器”、“上海服务器”或“备用”服务器。
当勾选“加入用户体验改善计划”时,表示允许发送系统质量报告给信锐技术,帮助我们改进NAC系统,该报告不会涉及您组织的任何信息。
14.1.2设备升级
设备升级包括正式包升级与补丁包升级,设备升级功能可以替代原有信锐系列升级客户端给设备升级的方法,并且可以支持升级补丁包与补丁包回滚操作。
提示:为了保障升级顺畅、稳定,建议正式包升级时,采用专业的客户端升级,详细方法参考第六章。
14.1.3设备升级
接入点/交换机为零配置设备,通常并不需要关心设备的软件版本。接入点或交换机连接到NAC后,会自动从NAC中下载并安装系统。如果要升级到最新版本,只需要升级NAC,不需要单独升级无线接入点或交换机。该页面的升级功能,主要提供给设备供应商的技术支持人员使用。
新增升级任务还可以设置高级选项:设置最长升级等待时间,当AP并没有立刻接入NAC时,可以设置比较长的升级等待时间,当AP接入NAC时,NAC就会自动给AP升级,设置界面如下图:
提示:当AP接入NAC控制器时,AP版本与NAC版本不匹配,AP会自动升降到与NAC相同版本,只有当AP不能顺利升级到NAC版本时,或者AP版本是比NAC版本低但兼容的β版本时,才需要在控制台上主动加载包给AP升级。
14.2.1设备日志
查看接入点日志产生的日志,协助发现及排除故障。
14.2.2系统日志
系统日志主要用于分析设备是否工作异常,系统日志有【信息日志】,【告警日志】、【调试日志】、和【错误日志】四种类型,并且可以根据需要选择某一个功能模块,专门查看该功能模块的日志,便于分析NAC是否有故障和异常,日志过滤选项界面如下
14.2.3管理日志
管理日志主要用于记录管理员登陆系统,注销系统,和修改系统配置的记录,便于进管理员操作的记录和审计。且日志可以通过记录“成功”和“失败”的方式进行记录和过滤,还可以进行操作对象的过滤,配置界面如下图
日志过滤配置界面如下图:
14.2.4用户认证日志
用户认证日志主要用于记录用户接入无线和退出无线的认证日志,用户分析用户认证情况,可以在设置的时间范围内,根据在IP地址,和用户名查询:
14.3.1备份配置
点击备份配置时,可以从NAC上下载当前系统配置,并可以保存到在PC上,用户可以自行保存。也可以采用方式二:从文件中恢复的方法还原下载的配置,点击备份配置时,可以下载的配置文件如下,是bcf格式的文件。
还可以采用备份自动备份到FTP服务器的方法备份
恢复配置
方式一:从每天自动备份的配置中恢复,默认系统会自动备份最近一周的配置
方式二:从之前备份的配置进行恢复
方式三:直接点击“恢复出厂配置”。
14.3.2业务感知数据库管理
清除边缘安全 -> 账号、终端、接入点、交换机、控制器的业务感知数据。
14.3.3数据分析管理
清空数据:点击该选系,就会清空客流分析和热点地图的客流数据,还会清空推广统计的数据。注:清空后无法恢复。
生成客流原始数据:可以生成前一天的客流分析用户数据,也可以生成所有的客流分析的用户数据。
自动导出:如果配置了FTP服务器,可以每天自动将前一天的客流分析的用户数据导出到FTP服务器上。
数据备份与恢复:手工备份客流分析和推广统计数据。
手动备份:手动备份客流与推广数据,导出备份数据文件。注:可能需要较长时间,请耐心等待。
从手动备份恢复:使用手动备份的数据进行数据恢复。
14.3.4网络备份恢复
系统中保存了大量网络配置信息,因此定期对设备网络配置执行备份操作是一个良好的管理习惯。
在以下情况下,可以考虑从最近备份的数据中恢复网络配置,以尽快恢复您的网络,并减少损失:
1、设备损坏或丢失,需要更换全新的硬件设备
2、设备误配置,例如误删除了大量的网络配置
3、分支设备性能不够,需要升级新设备
网络备份恢复,只有一种形式:手动备份
管理员从控制台网络备份恢复页面中,下载当前的网络配置备份文件,并保存在管理员的本地计算机中。手动备份的网络配置备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,分支替换新设备,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。
14.3.5备份服务器
配置还可以采用备份自动备份到FTP服务器的方法备份。备份服务器用于备份系统配置和人流量分析的数据。
14.3.6人脸数据库管理
提供两种方式恢复数据库:
1、使用立即备份导出的数据库进行数据库恢复。
2、使用每周自动备份的数据库进行数据库恢复。
自动备份
指定每周何时进行人脸数据备份。建议设置为设备空闲时间。
立即备份
立即将当前的人脸数据库导出,用于数据库恢复。用户量较多时,导出时间可能也会相应较长,也可能占用设备较多资源,建议在空闲时段进行操作。
故障排除,主要用于网络故障时,用于排查问题原因,当无线终端可能由于配置问题导致用户无法正常上网时,进行故障排除和数据直通,使用方法与深信服AC设备类似,先是开启故障日志,也可以同时开启数据直通。提供了以下功能:
显示被系统拦截的数据包日志,以及拦截原因。当用户无法访问网络时,可以开启数据包拦截日志,并输入 IP 地址过滤,以查看数据包被拦截的原因。
开启直通,数据包将完全不受策略的控制,直接转发。此功能在遇到策略配置错误所导致的网络访问故障时,能快速地恢复网络。直通开启后,为了方便定位原因,系统将仍然输出数据包拦截日志,但实际上并未拦截数据包。
设置开启条件界面如下图:
14.5.1调试选项
允许用户通过sshd,telentd方式连接到本设备上进行调试。允许用户通过开启历史日志信息和系统实时状态信息开关,采集设备的相关日志信息(不包含任何用户配置信息)。
14.5.2设备故障分析
当设备工作不正常时,可以使用该功能修改查看设备状态,定位故障原因,使设备正常工作。工作不正常是指设备已经连入网络,但是无法连接上wac甚至无法发现,这时可以用该故障分析功能进行调试。主要功能为修改网络配置,查询CLI命令,恢复默认配置。如果设备工作正常,无需使用此功能。注意,如果操作不当可能适得其反。
网页版工具只能扫描到与NAC二层相连的AP和安视交换机;如果AP、安视交换机与NAC三层连接,则需要在AP和安视交换机的二层网络中接入一台PC,下载设备诊断工具,在这台PC上运行工具调试AP和安视交换机。网页版工具默认使用NAC的登陆密码去操作AP和安视交换机,如果密码输入不正确会提示用户重新输入密码。
如果AP和安视交换机网络配置有误,例如IP、网关、掩码不正确 导致不能和NAC通讯,点击开始配置通过设置正确的数据即可解决。
14.5.3设备诊断工具
设备诊断工具客户端版本可以下载到Windows系统上运行,并且需要在PC上安装winpcap后才能可以使用。常用于AP和安视交换机无法自动发现NAC的场景,比如无DHCP环境,远程AP、安视交换机配置,AP和安视交换机掉线故障排查,拨号AP配置Webagent等环境。目前该工具配置功能只能临时保存在AP和安视交换机上,如果AP、安视交换机重启会失效,需要AP、安视交换机在NAC上线后,从NAC上下发配置保存到AP、安视交换机上,AP、安视交换机重启配置才不会失效。
选择本地网卡后扫描AP、安视交换机,页面如下:
登录AP或安视交换机。
配置AP和安视交换机接口参数:修改AP的部署模式,IP地址 ,网关信息等。
控制器参数:修改NACIP地址,webagent地址。
命令行:在命令行下可以执行一些简单的调试命令
高级配置:恢复AP和安视交换机的默认配置,重启AP和安视交换机。
在WEB页面上重启数据中心、重启服务、重启设备、格式化缓存空间
提供可直接操作nac设备的调试命令,用于排除问题。
支持命令:
cls[clear][ctrl+l] 清屏
term[ctrl+c] 结束当前执行程序
vrrp 显示VRRP表
udpconnect 测试UDP端口连通性
arp 显示ARP表
sessionnum 显示当前会话个数
fdb 显示MAC地址转发表
dns 查看域名服务器
dhcppoolbind 查看地址池IP分配信息
ping 测试主机地址连通
traceroute 跟踪数据包转发路径
route 显示路由表
tcpconnect 测试TCP端口连通性
vlan 查看网口VLAN信息
dhcppool 查看地址池信息
interface 查看网口信息
导出系统记录,用于研发技术支持人员排查故障时使用。其中导出无线设备相关记录包含系统日志、服务日志、bugreport、blackbox、core(mininac不导出)、APpinit启动日志。接入点相关记录包含接入点日志、bugreport、blackbox。
要导出关于AP的系统记录日志,需要在调试选项菜单下,开启允许AP上报调试信息,如下图:
营销中心功能,包含了【数据分析】、【数据分析管理】、【终端监视】三个大的功能菜单,其中【数据分析】包含了【行业画像】、【热点地图】、【全屏列表】、【人流量统计】、【搜索分析】、【推广统计】、【对比分析】、【天气画像】、【访客画像】、【访客信息】、【广播状态】共11个子菜单;【数据分析管理】 包含了【区域管理】、【身份管理】、【认证页面】、【问卷管理】、【推广任务】、【推广模板】、【推广规则】、【无线广播】、【标签与关键字】、【工作日历】、【天气信息配置】共11个子菜单;【终端监视】包含了【监视策略】、【终端数据库】、【自动签到】共三个子菜单。
通过【应用中心】->【数据分析平台】进入。
15.1.1行业画像
15.1.1.1行业画像
行业画像是对账号认证的用户所产生的上网数据进行分析与展示,并可以导出数据分析的结果报表,点击图表可以查看详细的图表数据。根区域及子区域在 数据分析管理->区域管理->分支区域 配置。
支持导出子区域的数据分析报表。
名词解释:
子区域
点击子区域可以查看子区域的上网数据分析情况,支持导出子区域的数据分析报表。点击考勤日历中的某一天,可以查看当天人员的到岗情况。
图1
场景说明:
领导想要知道员工到岗在岗,工作时的投入程度,方便对员工评优升职;并且希望可以知道各分支,各部门的在职数据(如图1)。
图2
图3
配置步骤:
展会模式:
具体部署效果可进入展会模式查看
15.1.1.2用户信息
展示用户信息列表,点击用户名,可以查看该用户的个人画像信息。如该用户是考勤身份,则个人画像中有考勤日历,点击考勤日历可查看该用户当天的上网情况。
考勤身份在 数据分析管理->工作日历 配置。
支持导出用户信息,以及导出用户信息的考勤数据。
15.1.1.3问题关注
展示用户触发的行为信息列表,并支持列表导出。
用户行为在 数据分析管理->区域管理->用户行为 配置。
15.1.2热点地图
热点地图功能是为了解决接入点多或者是部署后分支结构过多而带来的设备管理复杂的问题。该功能以地图式的展现方式,分层管理设备,以掌握设备的实时运行状态。
人流密度序列号不开,热点地图位置会显示在系统状态中。
热点地图支持四种对象实体
区域、建筑物、接入点、楼层,区域或楼层能够增加接入点,集中管理可以绑定分支
当前流速
当前地图(当前所在楼层或是区域、建筑视图)里的所有接入点的实时流速,包括上传、下载流量。点击数字可以查看趋势。
在线用户
当前地图所有接入点的在线用户数。点击数字可以查看趋势。
接入点状态
当前地图内的接入点数量以及状态。点击数字可以查看在线、离线的接入点详情。
无线流量
当前地图(当前所在楼层或是区域、建筑视图)里的所有接入点的累计流量,包括上、下行流量之和。点击数字可以查看趋势。
搜索
该操作支持搜索用户和接入点。用户名支持用户名、IP地址、MAC地址的模糊搜索。接入点支持名称、MAC地址的模糊搜索。
设置
禁止告警选项,图标上面不会显示安全告警的标记。
选择摘要信息中所要显示的内容,该配置为实体图标旁悬浮显示的摘要信息的内容。
锁定
锁定操作防止误操作而挪动实体图标的位置,该配置项只对当前浏览器登陆的用户生效。
小地图
大地图的缩略图,可以预览整个地图。以及支持拖动来快速切换。小地图上面的下拉框显示的是当前位置,点击可以弹出“快速定位”窗口。
15.1.2.1人流密度
人流密度功能需要开启序列号,并手动开启该功能,设置合适的比列尺,信号强度检测值与驻留时间,才能正常查看。新版本支持动态播放,便于查看人流的动态变化情况。动态播放时间维度:24小时、7天、自定义。
人流密度功能需要开启序列号。
要使用人流密度功能,需要配置WLAN,且接入点启用2.4G的射频。
人流密度功能显示的是当前地图(当前区域、楼层)在指定时间内的人群分布情况。在单位面积(单位面积根据蓝图的像素和比例尺决定)内,同一终端同一天仅计算一次。 要查看人流密度,当前地图需要满足以下几个条件:
部署背景蓝图
编辑区域、楼层实体,蓝图选择从本地导入一张。楼层实体还可以复用之前楼层配置好的蓝图。
比例尺配置
打开“人流密度分析功能配置”窗口,在配置好蓝图的前提下,编辑对应区域、楼层的比例尺,输入蓝图上100个像素对应的物理距离,或者是点击“测距”,选取两个像素点,然后输入两个像素点对应的物理距离。
对该楼层或区域启用人流密度分析功能。该功能默认不启用
打开“人流密度分析功能配置”窗口,在配置好蓝图、比例尺的前提下,启用对应区域、楼层的的人流密度分析功能。
15.1.3全屏列表
管理员需要将系统部署成果展示给上级或来访宾客,丰富的图表可直观展示出系统关键数据,便于进行数据分析并针对分析结果作出决策。为满足上述需求,现支持对系统关键信息进行投屏,且投屏数据可配,帮助客户定制独一无二的大屏展示。
配置步骤:
1、大屏展示支持四种模式,建筑图,区域图,全国地图,百度地图,用户可根据所在组织的行业及规模大小,选择合适的模式进行投屏。
2、用户可按需对投屏数据进行选择组合,投屏数据来源于客流统计,推广统计,访客画像,账号安全画像,行业画像,运维数据(共25幅统计图)。
3、用户可设置大屏标题,修改天气,上传背景图(全国地图无需上传,使用百度地图需要在控制器->应用中心配置),数据绑定(绑定区域管理后,可显示对应区域数据)。
展会模式:
具体部署效果可进入展会模式查看
在数据分析平台的URL后添加?showdemo,如:https://192.168.1.1/WLAN/market.php?showdemo
进入 数据分析->全屏列表,打开任意大屏查看投屏效果。
15.1.4人流量统计
统计到访的用户,从首次到店用户、新登记用户,接入用户,非首次到店用户等角度对用户进行精细化的分类统计,然后进行累积到店,返店率,平均驻留时间和驻留时间分布等多维度的统计和分析,统计和分析数据还支持导出,以便根据客户需求进行更多更深入的分析处理。
环比:当前所选时间范围与上一期对应时间范围的数据变化对比的趋势(上升/下降),若上一期无数据时则显示为“-”。
1、集中管理可以查看分支的客流分析
2、查询客流分析数据只能通过AP组和区域,不能通过热点地图的区域建筑
统计和分析的数据主要作用有:
可以从多个维度具体、直观地了解店铺、超市或商场的到访客户信息;
可以通过不同区域数据、不同AP组数据的横向对比,了解访客的整体分布情况;
可以通过数据随日期变化的趋势,了解到访客户的变化,同时还能反映出同期经营活动的效果;
可以反映本期人流量较上一期的变化趋势及速度,调整营销战略;
可以提取一段时间内人流量数据的共性,了解客户的来访偏好,便于做针对性营销。
人流量分析功能在使用时除了要开启本模块的开关,还依赖于客流分析序列号和无线接入点(或接入点分组)射频参数中的功能开关。可以设置根据AP分组或者区域建筑进行数据统计,还可以根据到店客户驻留时间阈值和信号强度阈值来设置到店客户和驻留时间的记录灵敏度,统计数据可以按时间进行对比。
15.1.5搜索分析
点击【搜索分析】页面如下图所示,如果开启此功能,会统计到用户通过各大搜索引擎搜索的关键字。
统计区域:可以选择AP,了解用户通过具体AP点位搜索的关键字。
统计时间段:可以通过选择时间范围,来查看不同时间范围的关键字统计情况。默认有【最近7天】和【最近30天】两个按钮。
【搜索分析】界面列出了搜索关键字、关键字分组、搜索来源。
搜索关键字显示了用户通过搜索引擎搜索到的关键字及搜索次数。
关键字分组,对用户搜索的关键字做了归类。界面可以看到不同类别的关键字搜索次数。
搜索来源,显示了用户使用的搜索引擎的种类及使用这些引擎搜索的次数。
15.1.6推广统计
15.1.6.1智能营销
智能营销模板支持更加丰富的区域显示规则,帮助营销人员结合天气环境情况,推送与顾客直观感受相吻合的广告内容,能让每个顾客看到与自己相关的"专属"信息,做到千人千面的展示效果。
支持一套模板多个门店使用,且不同门店展示不同广告内容。每个门店(单条显示规则)均支持引用接入点分组并配置多张广告图片,每张广告图片可以设定不同环境属性、用户属性、所在位置、推送时间进行智能展示。
支持每个显示规则引用不同的消息栏,以个性化的展示消息栏信息。消息栏信息可以在消息栏模板页面进行配置。
统一配置:在总部、多个门店场景下,可以启用统一配置,用于在指定生效时间内强制展示总部设定的广告内容,若部分门店不展示总部统一广告可以进行排除。
注:统一配置禁用或生效时间外,各门店恢复显示门店设定的独立广告内容。
15.1.6.2推广统计
统计不同的推广类型、推广方式所推广出去的信息数量,可以根据推广类型、微信公众平台和推广时间等条件进行统计。
统计数据的主要作用是分析推广力度,同时也可以结合推广的具体内容进一步分析不同推广内容的推广效果。
推广任务可以创建和管理微信或者短信群发消息的任务,并查看各推广任务的详细完成情况。
15.1.7对比分析
15.1.7.1人流量数据分析
选择分支或者AP组等条件进行人流量分析,对比人流量数据。
15.1.7.2时间对比分析
选择分支或者AP组等条件进行时间对比分析。
15.1.8天气画像
商超、景区等具备经营性质的场所的决策人员需要天气、温度、湿度等环境数据,利用这些数据关联天气对访客的数量、偏好的影响,做针对性的分析。
关联环境数据对访客的数量、偏好的影响进行统计,让运营人员可以结合天气情况直观的查看不同区域访客数量、未到店人数、首次入店人数、老用户人数、地域等数据可视化的展现。
15.1.8.1天气画像
环境条件查询:可以设置天气条件组合,在对应的天气条件下,可以查询最近7天/30天/90天的不同维度的人流量统计数据。对于环境组合条件,可以设置显示/隐藏,以及上下移动。 统计区域:默认显示全部,过滤统计区域后,在对应的环境条件查询下,可以看到不同的AP组下面的人流量数据。
15.1.8.2天气预览
根据[区域环境参数]页面配置的采样地点展示当天及未来一周的天气信息。 注:天气预览数据来源于第三方预报。采集频率为:[数据分析管理->区域信息配置->区域环境参数->采样频率设置]中设定的值。
15.1.9访客画像
访客画像功能是对所有接入的短信/微信用户进行用户画像,分析大量用户的WIFI使用情况所形成的画像内容,具体画像内容包括:
时间画像:分析用户的来访时间偏好,包括用户偏好于在星期几来访,每天来访的高峰时间段,每天的WIFI使用时长分布。
人物画像:可以分析用户的性别、地域分布,访客的性别(通过微信获取),地域(通过手机号码归属地或者是微信获取),终端类型分布。
应用画像:分析用户的应用使用偏好,即用户是购物达人、影视达人、理财达人等应用分析。
自定义画像:控制器会收集的访客信息里面,可以通过筛选条件过滤出一批访客用户,再给这批选定的用户手动打上一个自定义的标签,如:VIP用户、白金用户等标记。
使用访客画像功能需要开启功能序列号的访客画像序列号,并且,需要在开启客流分析功能。请在系统管理->营销中心配置->功能设置->启用客流分析功能。
立即归档:用户画像每天凌晨将一天统计的信息,进行分析归档,生成各类画像数据。立即归档是立即对当天的数据进行归档,在数据流较大的情况下,立即归档可能会需要2-3分钟时间。
15.1.10访客信息
可以记录下短信认证和微信认证的用户的行为轨迹,包括活跃度、来访偏好、Wi-Fi使用时长、出现时段等,并可以给根据访客的行为给访客添加不同的标签,更好地来实现后期的营销推广。
15.1.11广播状态
显示正在播放的音频任务,包含广播计划、音频广播、营销推广、APP音频。
显示正在播放音频任务的音频接入点以及接入点的基本信息。
15.2.1区域管理
15.2.1.1分支区域
支持四种实体,分支、区域、建筑物、分组,四种实体都可以增加接入点,集中管理可以绑定分支。
可以为实体配置标签,有内置标签的实体为行业画像的子区域。
15.2.1.2位置标签
有一个内置标签,绑定了内置标签的实体为行业画像的子区域。
可根据实际需要配置其他的位置标签。
15.2.2身份管理
15.2.2.1用户身份
根据行业切换,有不同的内置身份,可以为用户身份配置身份归属地。归属地要绑定为有内置标签的实体,并为该实体的用户配置相应的角色。
15.2.2.2用户行为
为用户配置离线规则或应用规则,并设置触发规则后的短信告知人。离线规则触发后10分钟内推送短信,应用规则触发后第二天7点推送短信。
15.2.3认证页面
与【认证授权】→【终端页面】内容相同。
15.2.4推广任务
推广任务可以创建和管理微信或者短信群发消息的任务,并查看各推广任务的详细完成情况。
15.2.5推广模版
15.2.5.1微信推广模版
创建或删除微信推广模板,支持文本和图文两种类型,并可以预览模板实现的效果。
文本模板内容简洁,配置简单。
图文模板内容丰富,直观生动。“标题+描述+图片”的预览界面更直观的呈现推广内容,从而能更好的吸引用户关注。
15.2.5.2短信推广模版
创建或删除短信推广模板,仅支持文本,并可以预览模板实现的效果。
15.2.5.3全屏网页模版
创建或删除网页推广模板,支持本地模板和外部URL两种类型,支持本地模板的可以预览模板实现的效果。
如果您计划把广告内容制作成图片,则推荐使用本地模板方式推送图片广告。
如果您已经拥有公司主页,可以使用外部URL的方式推送公司主页。
15.2.5.4内嵌网页模板
创建或删除内嵌网页推广模板,您可以配置网页内嵌方式显示的图片,以及点击图片后跳转的URL。
图片支持本地上传和外部URL两种类型,其中本地上传支持预览模板实现的效果。
不论本地上传还是外部URL链接图片,尺寸建议为400*60像素,大小不宜超过100K,否则可能会影响展示效果。
15.2.6推广规则
推广规则包括终端出现、首次接入、在线时长、搜索分析和应用访问五种方式的推送规则。
15.2.6.1终端出现
创建或删除终端出现推广规则,根据此规则针对已经认证过短信或微信的用户进行相应的推广。
规则支持启用禁用和优先级调整,由高到低匹配规则列表,只有匹配中的第一条规则生效。
15.2.6.2首次接入
创建或删除首次接入推广规则,根据此规则针对首次认证短信或微信的用户进行相应的推广。
规则支持启用禁用和优先级调整,由高到低匹配规则列表,只有匹配中的第一条规则生效。
15.2.6.3在线时长
创建或删除在线时长推广规则,根据此规则针对当前在线用户进行短信、微信或网页推广。
规则支持启用禁用和优先级调整,由高到低匹配规则列表,只有匹配中的第一条规则生效。
15.2.6.4搜索行为
创建或删除搜索行为推广规则,根据此规则针对当前在线用户进行短信、微信或网页内嵌广告推广。
规则支持启用禁用和优先级调整,由高到低匹配规则列表,只有匹配中的第一条规则生效。
15.2.6.5应用访问
创建或删除应用访问推广规则,根据此规则针对用户使用应用或访问网站进行广告推送。
短信和微信推送仅支持访客用户。
规则支持启用禁用和优先级调整,由高到低匹配规则列表,只有匹配中的第一条规则生效。
应用访问推送的短信和微信广告模板支持占位符。
15.2.7无线广播
15.2.7.1广播计划
管理定时广播任务。
功能介绍:
1、管理广播计划
支持添加、删除、启用、禁用广播计划。
2、搜索
通过右上角的搜索框可以按名称搜索指定广播计划。 支持模糊搜索。
3、创建广播计划
支持选择在指定AP上播放,选择要播放的播单、播放方式、播放时间、是否使用AP上的音量、任务触发的优先级。
4、高级选项
优先级:不同类型的音频广播在同一时段发生时,将优先保证高优先级的播放;相同优先级的广播,相互之间无法中断。
中断后操作:可以选择取消任务,也支持断点续播。
15.2.7.2播单列表
音频文件的集合,方便音频广播计划的引用。
功能介绍:
1、创建播单
支持添加、删除播单内的音频文件,及调整音频顺序。
2、搜索
通过右上角的搜索框可以按名称和描述搜索指定播单。 支持模糊搜索。
15.2.7.3音频管理
管理控制器上的音频文件。
功能介绍:
1、音频上传
可以上传本地音频文件到控制器,支持高低音质的选择。建议使用低音质,对带宽资源消耗小。
2、搜索和过滤
通过右上角的搜索框可以按名称和描述搜索指定音频。支持模糊搜索。
3、音频分组
添加、删除音频分组。
4、立即播放指定音频
选择某个音频,点击广播操作,可以选择在指定AP上播放,并支持使用此任务的音量或使用AP的音量。
15.2.8标签与关键字
15.2.8.1应用标签
应用标签内建了常用的安全风险、发送电子邮件、高带宽消耗、降低工作效率、论坛与微博发帖、外发文件泄密风险,也可以自定义标签,将关心的应用的放到标签内,方便系统其他模块引用,提供给应用访问推广规则使用。
15.2.8.2关键字组
关键字组可以管理关键字,将关键字分类存放。
15.3.1主要解决的客户问题
1.无法实时对贵重物品、易燃易爆等物品定位监管;
2.贵重资产容易出现丢失的情况,想用的时候又很难找到。
15.3.2给客户带来的价值
1.对没有无线模块的重要物品进行监控、跟踪;
2.快速查找物资的位置,减少人工成本,提高效率;
3.设置监控策略,可以防止设备被盗窃。
15.3.3配置方法
1、蓝牙终端监控接入点配置
(1)NAC上激活支持USB接口的接入点,将蓝牙适配器接在接入点的USB接口。
(2)接入点分组-》编辑-》其他配置-》USB接口工作模式,选择USB蓝牙,监控接入点蓝牙覆盖范围内的蓝牙标签。
2、无线终端监控接入点配置
(1)NAC上激活任意型号的接入点。
(2)NAC上配置无线网络,接入点配置-》无线网络页面,新增无线网络,接入点选择能覆盖这个区域的所有接入点,以达到监控范围内无线终端的目的。
说明:
(1)蓝牙监控功能需要开启蓝牙序列号。
(2)蓝牙终端监控和无线终端监控可以共用同一个接入点。
3、添加监控终端
【数据分析平台】-【终端监视】-【终端数据库】页面,新增终端,终端类型选择【蓝牙标签】,MAC地址填写标签上的MAC地址,将标签贴到需要监控的资产上,如果是无线终端,新增监控终端时,终端类型就选择无线终端。
(1)终端类型:分蓝牙标签和无线终端,无线终端又分为MAC地址和用户名类型。
(2)分组:将不同类别的MAC地址或用户名保存在多个分组中,以便系统其它功能调用,如:终端监视。
(3)移动:终端数据记录可以通过“移动到”功能,调整到不同的分组中。
(4)导入导出:通过导入导出功能,可以快速的获取和添加终端数据,通过下载并按照示例模板填写,以保证导入模板的正确性。
(5)高级选项
1)蓝牙标签电量告警阈值:设置蓝牙标签最低电量告警阈值,当蓝牙标签电量达到配置的阈值,就会在指定的告警时间定时推送低电量告警消息给管理员。
2)电量告警推送时间:默认时间为上午10:00,可以根据实际需求修改推送时间。
4 、配置终端监控策略。
【营销中心】-【终端监视】-【监视策略】页面,新增监控策略,通知配置有以下三种,短信通知,信锐云助手(手机APP)通知和音频通知。
该策略用于配置在不同时间、不同区域,监视多种终端行为。目前支持的监控行为分为三种。
1)用户接入:
当终端数据库分组中的无线终端(MAC地址或用户名)接入无线网络时,NAC会通过APP或音频消息告知管理员监视终端接入。当需要监控特定的设备是否接入监视区域内的Wi-Fi时,可在策略中勾选这一监控行为。
2)终端出现:
当终端数据库分组中的终端(MAC地址)出现在监视区域时,NAC会通过APP或音频消息告知管理员监视终端出现。当需要在Wi-Fi覆盖区域内监控指定设备时,可在策略中勾选这一监控行为。
3)终端离开:
当终端数据库分组中的终端(MAC地址)离开监视区域时,NAC会通过APP或音频消息告知管理员监视终端离开。
此外,系统对蓝牙标签有两种默认监控行为:
1)蓝牙标签拆除告警:
此告警不需要在页面配置,当NAC加入云管家,蓝牙标签被拆除感光后,就会触发拆除告警,系统将发送告警信息到管理员的信锐云助手APP。
2)蓝牙标签低电量告警:
此告警不需要在页面配置,当NAC加入云管家,蓝牙标签的电量到达设置的低电量阈值时,就会触发低电量告警,系统将发送告警信息到管理员的信锐云助手APP。
通知配置
1)短信通知:
启用短信通知,需要在NAC【系统配置】-【短信服务】页面配置可用的短信服务器,监控策略里面配置上需要通知的管理员手机号。
2)云助手APP通知:
在【系统管理】-【应用中心】-【信锐云】页面,有终端监视的总开关,是终端监控消息能推送到APP的必要条件,此开关默认开启,若禁用则所有关于终端监控的消息均不会推送到APP。而每一条监控策略中,有启用信锐云助手通知这一必要条件,默认开启,用于选择具体的监控行为是否推送到APP上。
3)音频通知:
启用音频通知方式,可以选择NAC上支持音频的接入点,匹配上监控策略接入点播放对应的告警通知。
注意事项
部分被监控的无线终端进入休眠模式,可能会被判定为终端离开。
5、部署热点地图
【营销中心】-【数据分析】-【热点地图】页面,添加区域、建筑及楼层,楼层里面添加接入点,配置好人流密度比例尺,并启用人流密度功能。
6、查看监控终端的实时位置和活动轨迹
【营销中心】-【终端监视】-【终端数据库】页面,点击被监控终端的实时位置或活动轨迹。
(1)实时位置
点击实时位置列的“查看”按钮,则能关联到热点地图,显示终端当前在地图中定位到的位置。此功能需开启【系统管理】-【应用中心】-【营销中心】页面的“启用客流分析”,即可以开启热点地图的定位功能。
(2)活动轨迹
点击活动轨迹列的“查看”按钮,可看到终端在监控范围内的活动轨迹记录。点击坐标值,则可跳转到热点地图,查看接入点在地图中的历史位置。此功能也需要开启【系统管理】-【应用中心】-【营销中心】页面的“启用客流分析”。
(3)注意事项
终端数据库支持从模板中导入,以及从微信访客和短信访客中导入这三种方式,可快速的将已使用微信和短信认证过的终端记录加入到终端数据库中。
『认证中心』包括【系统状态】、【用户管理】、【认证服务】、【用户认证】、【对象定义】、【系统服务】、【系统维护】这7个菜单选项。
通过【应用中心】->【认证中心】进入。
16.1.1在线用户
显示控制器作为认证服务器方式上线的用户,以及用户的角色,认证类型,接入设备,接入分组等信息。
16.1.2告警事件
系统运行过程中,如果检测到较严重的事件,并且需要管理员注意或确认时,将产生告警事件,例如:接口掉线、接口故障检测失败、VRRP 备份组发生主备状态切换等。
管理员通常需要确认是否确实存在异常,并尝试排除异常。
16.2.1本地用户
在未部署集中的账号数据库或认证服务器的环境中,无线网络的身份验证方法可以设置为本地用户认证。
用户组
本地用户数据库支持多级的组织结构树,可按照企业实际组织结构划分组,并进行分级管理。
用户名
用户名是账号的唯一标识,不同用户间不允许重名。用户身份验证过程中,需要输入此名称。
显示名
用户名由于要求唯一性,因此在部分部署环境中,用户名被设置为诸如员工工号等可读性较低的名称。这种情况下,可以把显示名设置为员工的姓名。系统将在“在线用户列表”等显示用户名的地方,同时显示账号的用户名及显示名,以更直观的对账号进行管理。显示名可以留空,不同用户的显示名允许重名。
描述
对账号的描述,选填。
过期时间
指定账号的过期时间点,过期后将无法通过身份验证。
登录时必须修改初始密码
本地账号是由管理员创建的,为了简化管理,不同账号的初始密码可能相同,这带来了严重的安全问题。选择此选项将要求账号在首次登录时,修改初始密码。
手机账号用户
适用于终端使用手机号码自助激活账号的场景。由用户在终端认证页面选择自助激活,管理员无需配置账号密码,用户在激活时自己设置密码。手机账号用户同时也支持短信二次认证。
邮箱绑定用户
适用于在用户忘记密码时,在终端认证页面上选择找回密码,系统将发送该用户的密码到绑定的邮箱。如果管理员在创建账号的时候未设置绑定邮箱,则由用户在首次登录的时候自己设置一个邮箱地址。
批量导入导出
csv 为通用表格文件格式,几乎所有的电子表格软件都支持此格式,例如 Microsoft Excel。在大量用户的情况下,通过 csv 表格文件管理,并导入到设备中,可以简化用户管理操作。
导入的表格文件列顺序及格式等,参考导入界面中的示例文件。
16.2.2访客账号
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
通过访客认证的终端信息护记录在访客账号里。
16.2.3人脸信息
用于新增人脸账号并绑定底片。用户名必须在认证服务器中存在。
16.2.4多因子绑定
设置用户与终端绑定信息,相关的验证设置请在认证选项/策略中开启。支持终端绑定功能的有无线网络认证、有线认证和Portal服务认证策略。
16.3.1Portal服务
控制器可作为Portal服务器为第三方设备提供Portal认证服务。
16.3.1.1服务器参数
NAC内置Portal服务器,Portal服务器运行的必要参数。
协议端口:Portal服务器监听的协议端口。
服务器通信IP:当前控制器的通信IP,双机部署时建议配置为VRRP中的虚拟IP。
认证页面端口:默认是80,配置为非80端口时,客户端配置Portal服务器的URL时需要带上端口号。
在线用户同步时间(分钟):Portal服务器主动向客户端同步用户的时间,针对Aruba和Cisco设备。
在线用户保留时间(小时):超过保留时间,注销所有的在线用户。
Portal页面超时重定向地址:Portal页面超时(在URL参数中设置时间戳参数)后系统自动重定向的地址.
16.3.1.2WEB认证策略
WEB认证策略给当前控制器的有线认证,第三方的Portal客户端(包括信锐控制器)对接时,配置认证页面、认证方式、权限设定方面的信息。
策略类型:分为外部Portal服务器认证策略、控制器有线认证策略和交换机有线认证策略。外部Portal服务器认证策略是指给当前设备的无线网络对接第三方(包括信锐控制器)的Portal客户端对接。控制器有线认证策略是指给当前控制器的有线策略提供对接。交换机有线认证策略是指给安视交换机的有线策略提供对接。
协议:当前Portal服务器支持对接的设备厂商类型和协议版本。不在列表里面的请选择Portal2.0标准协议。
身份验证:身份验证方法,包括PAP和CHAP,这里的配置需要和客户端配置的RADIUS服务器的身份验证方法保持一致才能认证成功。
认证URL:需要将这个URL拷贝到Portal客户端的认证URL里面去,客户端配置的和这里的不一致时,将会认证失败。
参数设置:Portal客户端的认证URL里面携带的参数的名称。
开启本地认证(在控制器进行用户认证):Portal2.0协议里面,Portal服务器和认证服务器可以分开配置。当Portal服务器启用了访客认证时,客户端的RADIUS服务器需要配置为当前控制器。
权限匹配:Portal服务器对接有线认证时,权限匹配的结果就是有线认证的角色。提供给第三方设备Portal对接时,匹配到的角色将会通过RADIUS报文中的Class字段,以字符串的形式返回给RADIUS客户端。
16.3.2Radius服务
Radius服务器负责接收客户端的连接请求、认证用户,然后返回客户端所有必要的配置和认证信息。
16.3.2.1Radius客户端
NAC作为Radius服务对客户端进行认证和计费时,需要配置信任的客户端;
NAC作为Radius客户端需要配置认证的服务器时请在外部服务器进行配置。
1、Radius客户端—名称
Radius客户端的名称,用于区分不同的Radius客户端。
2、Radius客户端—IP地址
客户端的IP地址,双机部署时建议配置为VRRP中的虚拟IP。
3、Radius客户端—用户名编码
服务器和客户端之前数据传输的编码类型,两端的编码一致才能保证验证的有效性。
4、Radius客户端—共享秘钥
客户端和服务通过该共享密钥建立信任,两端密钥一致才可以建立信任。
5、Radius客户端—其他选项
当勾选了“请求必须包括消息验证程序属性”表示请求的消息必须包含Message-Authenticator属性。
6、高级选项
配置Radius服务器的认证和计费端口,必须与客户端配置的端口一致。
16.3.2.2连接请求策略
认证的的策略配置,连接请求策略有优先级,当优先级高的策略为允许策略时,配置失败则不通过验证,当优先级高的策略为拒绝策略时,配置失败时则跳转至下一策略进行验证。
1、规则条件
通过传输Radius属性的值进行匹配。
2、策略动作
允许或者拒绝匹配该策略的用户通过认证。
1、身份验证方法
认证的协议的选择,为了保证认证的有效性,请确保选择的身份验证方法包含了需要处理的认证协议类型。
1、用户数据库
选择认证数据的数据库(数据库需在在外部数据库进行配置)。
2、删除用户名前后缀
可以定义用户名的前、后缀,验证的用户名会删除定义的前、后缀再进行验证。
16.3.3TrustSpeed服务
用于配置人脸识别认证相关功能。
16.3.4认证漫游域
认证漫游域主要解决如下问题:
1、客户有多台不同厂商的portal客户端,终端在客户端A上认证成功后,漫游到控制器B后需要重新认证;
2、客户的第三方设备级联到控制器的接口做有线认证后,漫游到控制器的其他ssid上后需要重新认证。
配置认证漫游域后,支持终端在不同类型的portal服务器上漫游;支持不同类型认证方式之间的漫游。
注意:只有相同的认证服务器的认证策略才能添加到一起,并且只支持账号认证,访客认证本身就支持漫游。
16.4.1外部服务器
同4.4.4章节。
16.4.2访客认证
16.4.2.1访客认证
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
短信认证
启用短信认证时,需要到【系统管理】-【短信服务】页面配置短信设备,包括采用短信猫,外置短信服务器或外置短信网关。
短信认证是指访问无线网络时,系统需要发送短信验证码到用户的手机上,用户输入验证码后,才能访问无线网络,此方式获取了访客用户的手机号码作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的手机号码,系统将把验证码发送到此手机。
4、认证页面中,输入短信中获取的验证码,通过认证。
短信认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
2、可以获取访客的手机号码用于后续的短信营销。
3、简化了访客连接无线网络的体验。
邮箱认证
邮箱认证是指访问无线网络时,系统需要发送验证码及授权url发送到用户的邮箱上,用户输入验证码或者点击授权url后,才能访问无线网络,此方式获取了访客用户的邮箱地址作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的邮箱地址,系统将把验证码和授权url发送到此邮箱。
4、认证页面中,输入邮箱中获取的验证码或者点击授权url,通过认证。
邮箱认证方式的优点:
1、迎合了国外使用邮箱较多的习惯,提升用户体验。
2、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
3、可以获取访客的邮箱地址用于后续的邮件营销。
4、提供点击链接认证上网的方式,简化了访客连接无线网络的体验。
微信认证
此方式通常用于商场、超市的无线网络认证,可以确保只有关注过指定微信公众账号的访客用户才具备无线网络访问权限。认证选项中,可以设置关注微信后,每次申请上网的有效期。
二维码认证
此方式通常用于企业的访客无线网络认证,可以确保只有经过二维码审核的访客用户才具备无线网络访问权限。认证选项中,可以设置审核通过后,访客可以访问无线网络的时长。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,显示一个二维码。
4、访客的接待人员,也就是企业的内部员工,使用手机连接到企业无线网络中,并具备审批权限。审批权限由无线网络配置中指定,可以设置哪些角色的用户具备访客审批权限。
5、接待人员,打开手机中的二维码应用,扫描访客的二维码,访客即通过审核。需要说明的是,目前很多流行的互联网应用都提供了二维码扫描功能,例如腾讯微信(用此软件的时候需要审核人角色必须能正常访问互联网,因为此软件二维码扫描的时候要访问互联网才能正常使用)和我查查。
临时访客认证
此方式通常用于企业、酒店的访客无线网络认证,可以在访客登记后,接待人员创建一个临时帐号,并设置帐号的有效期。访客使用此帐号完成无线网络认证。
以酒店的部署场景为例,顾客连接无线网络的过程如下:
1、顾客在酒店前台登记入住。
2、酒店的前台工作人员,在访客管理系统中,为此顾客添加一个临时帐号,以手机号或者身份证号码作为帐号的用户名,密码为手机号码或身份证号码的后6位。帐号的有效时间设置为顾客的离店时间。
3、顾客连接到酒店部署的,开放式的无线网络,例如无线网络名称为:Example-Guest。
4、打开浏览器,访问任意网站,系统将把浏览器重定向到认证页面。
5、在认证页面中,输入此临时帐号及密码,完成无线网络认证。
6、顾客离开酒店后,帐号自动失效。
访客帐号通常并非由网络管理员管理,而是由负责访客接待的人员管理。因此,系统提供了临时帐号管理员,以区别于NAC的管理员。临时帐号管理员只允管理访客帐号,无法修改NAC的其它设置。
临时帐号管理员的登录地址与NAC管理员不同,登录地址为: https://设备地址/guest.php,例如:https://192.168.0.1/guest.php
免用户认证
免用户认证是指访问无线网络时,访客无需认证,在广告页面点击登录按钮即可上网。
访客连接无线网络的过程如下:
1、连接到访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,用户点击登陆,直接上网。
免用户认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
2、简化了访客连接无线网络的体验。
社交应用认证
此方式通常用于海外或港澳台等地区,终端用户可以使用Facebook,Twitter,Line,Live,Instagram账号进行授权,授权后关注商家账号即可通过认证。
通常,通过认证的用户,控制器可以获取到用户的用户ID、用户名、终端MAC地址、邮箱地址、性别、年龄段等。但上述字段在用户没有配置的时候,是获取不到的。
配置社交应用认证时,认证前需要放通对应流量,推荐使用内置角色进行认证。
16.4.2.2应用管理
应用管理用于配置各种社交软件做认证时所要对接的应用,以让不同社交软件的用户使用自己的社交账号接入wifi。同时支持like功能,实现商超客户的品牌推广,目前支持like的社交软件有Facebook,Twitter和Line。
16.4.2.3微信公众号
配置微信认证、微信推广功能,需要先配置好微信公众平台。
微信兼容性开关
第三方公众平台如果没有升级到2.0及其以上版本,需要开启此开关(默认为启用状态),否则微信认证方式将不能正常使用。
16.4.3终端页面
参考4.4.3.2章节。
16.4.4证书管理
参考4.4.2章节。
16.4.5认证高级选项
参考4.4.6章节。
参考4.3章节。
16.6.1信锐云
参考4.10.3章节。
16.6.2短信服务
参考4.11.2章节。
16.6.3邮件服务
参考4.11.3章节。
16.7.1系统更新
用于自动更新Oauth认证插件和Oauth流量放通。
16.7.2日志查看
16.7.2.1系统日志
查看系统运行过程中产生的日志,协助发现及排除故障。
16.7.2.2管理日志
管理日志中,记录了管理员登录、注销、修改配置的日志。
16.7.2.3用户认证日志
用户认证日志中,记录了所有无线客户端的认证日志。
16.7.2.4网络诊断日志
网络诊断日志收集了TrustSpeed中进行网络检测后发送的检测报告,用于辅助排查用户在使用TrustSpeed过程中遇到的网络问题。
16.7.3备份恢复
16.7.3.1本地数据库管理
系统中保存了大量用户账号信息,因此定期对设备本地用户数据执行备份操作是一个良好的管理习惯。
在以下情况下,可以考虑从最近备份的数据中恢复系统,以尽快恢复您的数据,并减少损失:
(1)设备损坏或丢失,需要更换全新的硬件设备
(2)设备误配置,例如误删除了大量的用户账号信息
本地用户数据库备份,有以下几种形式:
自动备份:系统每天会自动执行一次本地用户数据库备份操作,并保存在设备内置磁盘中,只保留3天的备份文件。
手动备份:管理员从控制台本地用户数据库管理页面中,下载当前的本地用户数据库备份文件,并保存在管理员的本地计算机中。手动备份的本地用户数据库备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。
定期备份本地用户数据库到外部FTP服务器:系统每天凌晨03:10开始,会自动将设备的本地用户数据库上传到外部ftp服务器。可以避免因本设备故障而导致本地用户数据丢失的问题。
16.7.3.2访客数据库管理
数据管理包括清空数据、生成客流分析原始数据、数据备份与恢复
提供三种方式恢复数据库
1、使用立即备份导出的数据库进行数据库恢复。
2、使用每日2点-3点自动备份的数据库进行数据库恢复。
3、将数据库恢复至被全量同步覆盖之前的还原点,只用于搭建过双机的设备。
16.7.4调试选项
参考4.12.5章节。
16.7.5重启及格式化
参考4.12.6章节。
16.7.6命令行控制台
参考4.12.7章节。
『边缘安全』包含了【安全可视】、【业务感知】、【用户列表】、【终端安全】、【流量安全】、【联动响应】、【智能告警】气个大的功能菜单。
通过点击应用中心->边缘安全进入边缘安全页面。
17.1.1网络安全
17.1.1.1安全状态
显示当前无线网络环境下,NAC、接入点的安全状态。
安全状态检测的事件类型包括:钓鱼AP,有干扰的邻居AP,非法AD-Hoc,无线泛洪攻击,DDOS攻击,爆破攻击,BSSID冲突检测,私设ip,无线欺骗攻击,ip冲突,ARP欺骗,DHCP泛洪攻击,ARP扫描攻击,ip扫描攻击,端口扫描攻击。
安全状态可以查看时间段分别为今天、某一天、最近7天和最近30天发生的各种安全事件的简要信息。
趋势图 : 攻击者个数的趋势信息。
饼图 : 各种安全事件的比例。
详情 : 此攻击者出现的时间段。
17.1.1.2烟感告警
显示当前烟感探测器探测到浓烟时,发生告警的事件。
烟感告警查看时间段分别为今天,某一天,最近7天和最近30天
柱状图:显示烟感告警的次数
详情:烟感告警发生的时间段
当前烟感AP已停产。
17.1.1.3安全日志
记录所有的检测到的无线网络安全事件,并记录检测到的结果。
17.1.2身份安全
17.1.2.1账号安全
账号安全事件
显示无线欺骗攻击,ARP欺骗,DHCP泛洪攻击,ARP扫描攻击,IP扫描攻击,端口扫描攻击,DDOS攻击,无线泛洪攻击;10分钟检测1次。
账号状态
显示闲置账号和活跃账号的分布,超过5天未登录的是闲置账号,5天以内登录的是活跃账号。
活跃日期
显示周一到周日,登录的账号数量。同1个账号,在同一天重复上下线,只统计1次。
活跃时段
显示1天之内,不同时间段登录的账号数量。同一个账号,在15分钟之内,重复上线下线,只统计1次。
终端类型信息
显示不同的账号,使用什么样的终端登录。
终端数量特征
显示同一个账号,在多少个终端登录过。
账号接入行为
显示账号的接入行为。
显示设置
隐藏,移动所有的安全事件,重启设备依旧生效。
17.1.3终端安全
17.1.3.1有线终端安全
显示终端状态,可查看终端数量(在线和离线终端)、终端类型分布、闲置终端、终端离线分布、终端离线趋势及终端迁移和安全事件的行为、次数。可以通过类型分布的饼状图,查看不同类型具体的占比,同时可以通过趋势图,查看一段时间内终端的变化情况,包括离线趋势、迁移情况等。另外,还可点击相应的表项查看相对应的模块具体的数据信息,如:点击“闲置终端”中离线时间大于10天的设备,可看到该设备的mac地址、主机名和最近登陆时间。
17.1.3.2终端黑名单
管理员可以手动添加黑名单,以阻止指定的 MAC 地址终端连接有线和无线网络。
当终端进行暴破登录或者其它恶意攻击行为时,系统会将此终端的MAC地址加入黑名单,拒绝一段时间内该终端的连接请求。由终端类型绑定策略触发的非指定类型终端接入,系统也会将此终端MAC地址加入黑名单并拒绝该终端的连接请求,限制时间随策略而定。
17.1.4东西向流量安全
17.1.4.1终端流量分析
展示终端流量统计分析状况,包括区域概况、实时守护终端、终端类型分布、区域守护状态、安全/风险服务访问状态、出站/入站服务访问趋势、出站/入站访问拦截情况等。
17.1.4.2服务访问日志
显示信任区域/保护区域内的终端的详细访问记录,包括时间、访问终端、被访问终端、服务类型、访问状态、访问次数等。还支持按服务类型或访问状态等多种条件进行过滤,按终端信息进行查询。
17.2.1用户业务感知
17.2.1.1账号业务感知
汇总展示终端画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
17.2.1.2账号网络质量
汇总展示账号画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
17.2.2接入点业务感知
17.2.2.1接入点画像
汇总展示接入点业务感知信息,包括接入点离线概况、接入点负载、资源利用率、网关质量、DNS质量、DHCP质量、TCP质量、隧道状态、流量状态、射频接入人数、信道利用率、噪声值等信息。
17.2.2.2接入点列表
展示单个接入点的详细运维信息,包括活跃状态、整机负载、资源状态、接口状态等信息。
17.2.2.3全局热点分析
热点分析中,根据环境信道利用率、自身信道利用率、重传率、误码率、噪声值、同频干扰等参数划定的区间,将无线接入点划入指定的区间。管理员通过分析接入点在各个区间的分布情况,排查接入点的问题,并通过增加接入点、调整接入点位置等方式,提高无线网络的整体服务质量。
17.2.2.4局部热点分析
可以查询单个接入点的流量、用户、会话数、信道利用率、噪声值等历史数据信息,单个终端的传输速率、信号强度、通信质量等历史数据信息。
17.2.3交换机业务感知
17.2.3.1交换机画像
显示有线网络的整体运行,能够直接通过该页面查看有线网络下所有交换机和端口的总体运行情况。交换机画像页面由主要包括交换机离线概况、供电负载、系统资源、芯片资源、网络质量、流量负载、帧类型分析、报文分析和网络协议报文接收速率等。
17.2.3.2交换机列表
显示单个交换机的运行情况,主要包括活跃状态、系统资源、供电负载率、芯片资源等。
17.2.3.3端口列表
显示单个端口的运行情况,主要包括活跃状态、网络质量、流量空闲率、帧类型分析、泛洪报文分析、报文数量分析等。
17.2.4控制器业务感知
监控控制器的状态信息,提供控制器状态图形信息。
17.3.1终端列表
17.3.1.1无线终端
展示单个终端的详细运维信息。包括终端活跃状态等。
17.3.1.2有线终端
显示不同区域或分组的交换机下面的终端信息。
17.3.2账号列表
展示单个账号的详细运维信息。包括账号活跃状态、接入非信任网络、安全事件、流量协商速率、DHCP质量、流量趋势、DNS质量、网关质量、信号强度、通信质量、空口状态等。
17.4.1有线终端审批
17.4.1.1待审批
终端策略中的终端地址绑定功能与终端位置绑定功能可触发终端进入待审批列表,并阻塞流量;管理员可手动进行审批操作,以放通流量。
17.4.1.2已审批
已审批的终端对应关系进入已审批列表,并放通流量。默认老化时间为永不老化,支持配置自定义老化时间。
17.4.2有线终端安全
17.4.2.1终端安全策略
终端安全策略,是帮助用户管理、识别和跟踪其网络环境下的终端而建立的人性化功能,解决用户对网络安全的需求并为其提供了快捷有效的实现方法。
终端状态跟踪
用于跟踪连接交换机端口的终端状态,包括在线、离线、类型等具体的信息并显示在状态页面。
终端地址绑定
用于绑定终端和ip地址,实现IT管理员对其网络环境下的ip地址的监管;可启用自动审批并设置审批数量来实现批量操作的自动化,也可手动审批;其中,自动审批的个数是包含已审批列表的终端对应关系个数。另有免审批和强制审批功能,免审批地址在更换IP地址时无需审批,强制审批地址在自动审批阶段仍需审批。
终端位置绑定
用于绑定终端和端口,实现监管端口下联设备的功能;可启用自动审批并设置审批数量来实现批量操作的自动化,也可手动审批。
终端类型跟踪
用于跟踪下联终端的类型状态,帮助用户实时获取下联终端的各种信息;可限制接入的设备类型并通知用户。
17.4.2.2PoE终端安全
针对PoE交换机,检测到PoE终端伪造攻击/PoE终端无法通信的情况时,交换机会自动进行处理,并将相应告警通过短信/APP消息发送给用户,帮助用户监控PoE终端。
PoE终端伪造攻击检测
通过检测设备的供电特征,以排查仿冒设备接入并执行相应安全措施。
PoE终端自动运维
通过检测设备通信情况,自动复位PoE端口,帮助用户解决无法正常通信的情况。
17.5.1用户隔离
通常情况下,同一VLAN的用户间是可以相互通信的,但在无线接入的环境下,移动终端间相互通信,存在较大安全隐患。例如部署用于公公众上网的无线网络中,多个无线用户之间没有直接通信的需求,在此环境下,启用此选项可以减少无线终端间的报文,提高了无线网络性能,同时提高了安全性。还有避免某些感染了病毒的终端传播病毒的风险。
禁止同一VLAN内的用户之间相互通信后, 只要是通过同一无线接入点接入的,所有VLAN相同的无线用户间将不能相互通信。这样不仅可以降低了安全风险,还可以减少移动终端间的广播报文。不同VLAN间是否能相互通信,由第三方路由设备控制,本设备暂不支持。通常不同VLAN间默认是不能通信的。
17.5.2端口防护
17.5.2.1MAC表项限制
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给交换机后,交换机的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
处理动作为丢弃数据包时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址并且不再转发处理新MAC的数据包;处理动作为转发数据报文时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址,但还会转发处理新MAC的数据包。
17.5.3流量劫持防御
17.5.3.1ARP防御
1、无线ARP防御
支持网关ARP防御功能,以及无线用户隔离,确保网络安全。网关智能识别:智能识别网关,如果所有终端都是静态IP,此功能不生效。 开启ARP欺骗防御:开启此功能后,手动配置和智能识别的网关会被默认保护起来。开启无线用户隔离:禁止无线终端之前互相通信。
2、交换机ARP防御
ARP安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
(1)ARP泛洪防御
ARP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:
1)设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2)攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
报文限速
通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
仅学习本机的ARP请求应答
只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满。
免费ARP报文主动丢弃
设备直接丢弃免费ARP报文,可以防止设备因处理大量免费ARP报文,导致CPU负荷过重而无法处理其他业务。
限制端口可学习的ARP表项数量
设备接口只能学习到设定的最大动态ARP表项数目。这可以防止当一个接口所接入的某一台用户主机发起ARP攻击时整个设备的ARP表资源都被耗尽。
(2)ARP欺骗防御
ARP欺骗攻击是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:
1)会造成网络连接不稳定,引发用户通信中断。
2)利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。
ARP表项更新检查
ARP表项更新检查:设备在第一次学习到ARP之后,用户更新此ARP表项时通过发送ARP请求报文的方式进行确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。
ARP报文合法性校验
通过检查报文中的IP地址、MAC地址,直接丢弃非法的ARP报文,避免非法用户伪造ARP报文,刻意的进行ARP攻击。
基于DHCP的ARP绑定关系检测(DAI)
当设备收到ARP报文时,将此ARP报文的源IP、源MAC(Media Access Control)、收到ARP报文的接口及VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。本功能仅适用于DHCP Snooping(Dynamic Host Configuration Protocol Snooping)场景。
网关防欺骗
丢弃源IP地址为网关设备IP地址的ARP报文,防止攻击者仿冒网关,建议在网关设备上开启。
3、控制器ARP防御
网关欺骗防御
攻击者通过伪造ARP报文,截获原本发向网关的报文,对网络安全构成威胁。网关防御欺骗防御支持将配置网关mac和ip的绑定关系,可以有效遏制这种攻击。适用于集中转发环境。
注意:IP、MAC中其中一个出现在配置中,并不满足对应关系,将被识别为网关欺骗攻击。
17.5.3.2DHCP防御
1、无线DHCP防御
系统将持续监听无线客户端的 DHCP 分配过程数据包,并从 DHCP 报文中,获取无线客户端的 MAC 地址以及分配的 IP 地址,据依据此信息构建有效的 IP,MAC 对应关系数据库。
检测无线客户端发出的 ARP 数据包,检查 IP 与 MAC 地址对应关系的合法性,丢弃不合法的 ARP 包。
2、交换机DHCP防御
DHCP防御用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
(1)DHCP泛洪防御
DHCP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在以下几种场景:
1)非法用户在短时间内发送大量DHCP报文,使DHCP Server无法正常处理报文,从而无法为客户端分配IP地址。
2)非法用户通过恶意申请IP地址,使DHCP服务器中的IP地址快速耗尽, 无法为合法用户再分配IP地址。
3)已获取到IP地址的合法用户通过向服务器发送DHCP Request报文用以续租IP地址。非法用户冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,导致到期的IP地址无法正常回收,新的合法用户不能再获得IP地址。
4)已获取到IP地址的合法用户通过向服务器发送DHCP Release报文用以释放IP地址。非法用户仿冒合法用户向DHCP Server发送DHCP Release报文,使合法用户异常下线。
报文限速
通过DHCP报文限速功能,可以防止设备因处理大量DHCP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
限制端口可申请的IP地址数量
限制用户接入数。当用户数达到指定值时,任何用户将无法通过此接口申请到IP地址。
DHCP续租报文合法性检查
在DHCP Server为客户端分配IP地址过程中,根据DHCP报文生成DHCP Snooping绑定表,该绑定表记录MAC地址、 IP地址、租约时间、 VLAN ID、接口等信息,然后通过DHCP报文与绑定表的合法性检查,丢弃非法报文, 防止DHCP报文仿冒攻击。
(2)DCHP欺骗防御
网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。
DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。
报文合法性校验
设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。为用户提供更安全的网络环境,更稳定的网络服务。
DHCP Snooping
DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,防止网络上针对DHCP攻击。
信任端口正常转发接收到的DHCP应答报文,非信任端口在接收到DHCP服务器响应的DHCP Ack、DHCP Nak、DHCP Offer和DHCP Decline报文后,丢弃该报文。
信任IP地址是指当DHCP响应报文的源IP地址与配置项相匹配时,允许报文通过。
信任MAC地址是指当DHCP响应报文的源MAC地址与配置项相匹配时,允许报文通过。
信任IP+MAC地址是指当DHCP响应报文的源MAC地址和源IP地址与配置项完全匹配时,允许报文通过。
3、控制器DHCP防御
(1)启用控制器受信任的 DHCP 服务器
在绝大部分的无线网络部署中,无线客户端都使用 DHCP 方式获取 IP 地址、网关、DNS等。因此 DHCP 服务也被视为无线网络正常运行的基础。DHCP 服务基于广播方式运作,如果同一个子网内运行了多个 DHCP 服务器,则客户端发起 DHCP 请求后,会收到多个回应,客户端会选择回应最快消息中指定的 IP 地址。因此如果子网内存在非法的 DHCP 服务器,则会干扰正常的 DHCP 过程,客户端可能获取到错误的 IP 地址,导致无法访问网络。
启用“控制器受信任的 DHCP 服务器”选项,并配置合法的 DHCP 服务器 IP 地址,NAC及接入点将只转发来自受信任 DHCP 服务器的 DHCP 报文,来自其它 IP 地址的 DHCP 服务报文将被丢弃,从而保证 DHCP 服务能正常运行,不受干扰。
(2)DHCP地址仿冒申请防御
默认开启,防御DHCP泛洪攻击行为,防止DHCP地址池被耗尽。
17.5.3.3无线射频防御
1、射频防护策略
配置信道保护/信道压制/自定义可以按一个或多个接入点分组划分出一个区域保护这个区域内的射频信号不被其他ap的射频信号干扰。
当防护模式为信道保护时,如果射频是Normal模式,则只反制工作信道;如果射频是Hybrid模式,则可以反制工作信道,以及工作信道±1/±2信道。
内部员工:接入高级选项配置的认证类型的无线网络的员工即为受监控的内部员工。
非信任无线网络:非本控制器无线网络并且不在受信任SSID列表的无线网络。
检测内部员工接入非信任网络行为:监控内部员工接入非法无线网络的行为并产生告警日志。
信道保护/信道压制/自定义+内部员工:只有内部员工受反制影响,无法连接非法无线网络,内部员工连接非法无线网络会产生接入非法无线网络的告警日志。
信道保护/信道压制/自定义+所有用户:所有用户都会受反制影响,无法连接非法无线网络。
2、欺骗检测
(1)无线欺骗攻击
无线欺骗攻击是指攻击者假冒其他设备/终端的名义发送报文。例如:假冒无线接入点的身份,向无线客户端发送解除认证的报文,导致无线终端断开无线连接。启用欺骗攻击检测可以识别此类攻击,将发起攻击的终端 MAC 地址添加到黑名单,一段时间内禁止接入无线网络。
(2)BSSID冲突检测
BSSID冲突检测是指检测到环境中BSSID地址冲突,可能会造成无线终端接入到有冲突的BSSID的AP,会造成网络掉线,丢包等不可预知的情况。
17.5.4漏洞攻击防御
17.5.4.1扫描防御
该功能可以防御网络中ARP、IP、端口扫描攻击。
防御选项:防御ARP扫描,IP扫描,端口扫描攻击,超过设置阈值的用户行为将被识别为扫描攻击。
防御动作:可以将攻击者加入黑名单,并支持设置冻结的时间。
17.5.4.2漏洞利用防御
1、东西向流量防御
(1)观察区域/保护区域
可以将指定交换机端口或认证策略配置为观察区域/保护区域,观察区域默认放通所有入站访问流量,保护区域默认拦截所有入站访问流量。若同时配置交换机端口组和交换机,则满足两者的交换机端口才生效;若同时配置无线网络/接入点有线认证策略和接入点,也是只有满足两者的认证策略才生效。
(2)观察角色/保护角色
可以将指定角色配置为观察角色/保护角色,观察角色默认放通所有入站访问流量,保护角色默认拦截所有入站访问流量。若同时满足观察角色/保护角色和观察区域/保护区域,则满足角色策略优先。
(2)访问黑名单
可设置黑名单,拒绝源访问区域的终端访问信任区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
(3)访问白名单
可设置白名单,允许源访问区域的终端访问保护区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
2、攻击源定位
通过对终端的访问行为判断是否是攻击终端。触发的条件有:发起任意一种攻击访问行为和检测间隔内发起多种攻击访问行为;检测的攻击访问类型有:ARP扫描检测、TCP扫描、异常访问检测;检测到攻击后的处理方式有:将攻击源加入黑名单、启用短信告警、启用信锐云助手告警。可通过添加攻击源白名单来排除攻击终端。
3、服务
可设置白名单,允许源访问区域的终端访问保护区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
17.5.5拒绝服务攻击防御
17.5.5.1无线DDOS防御
DDoS防御
DDoS 攻击在众多网络攻击技术中,是一种简单有效并且具有很大危害性的攻击方法。它通过各种手段消耗网络带宽和系统资源,使网络陷于瘫痪状态。在无线网络中,大部分 DDoS 攻击行为并不是由用户故意发起的,而是由于计算机感染了病毒或恶意软件造成的。
DDoS 攻击防御模块通过统计无线客户端的数据包速率,连接数等信息,有效识别并阻挡无线客户端发起的 DDoS 攻击行为,降低对无线网络的影响。
无线泛洪攻击(Flooding攻击)
NAC在短时间内接收大量同种类型的报文,将导致系统资源被大量占用,可能无法处理无线用户的数据报文。启用泛洪攻击检测可以识别此类攻击,并自动将发起攻击的终端 MAC 地址添加到黑名单,一段时间内禁止接入无线网络。
17.5.5.2控制器DDOS防御
DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,恶意耗尽了IP资源,使得合法用户无法获得IP资源。
启用DHCP泛洪攻击检测
用户启用DHCP泛洪攻击检测后,当控制器每秒收到的DHCP报文数大于阈值时,系统将提供告警信息,帮助管理员及时处理风险问题。
17.6.1安全联动
支持联动深信服安全设备进行用户安全可视化和内网边缘安全管理。
17.7.1智能告警
17.7.1.1告警事件
根据用户实际需要配置控制器告警事件、接入点告警事件和交换机告警事件的触发条件。
例如:MAC地址表利用率超阈值告警事件的触发条件分为同时满足80%(上限阈值)和满足2次(触发次数)。
17.7.1.2告警规则
根据用户的实际需要配置智能告警的应用对象。
告警设备
选择控制器、接入点和交换机中需要监控的具体设备。
告警接口
选择需要监控设备的端口。
告警方式
选择通过短信/APP消息的方式将告警消息发送给用户。
请查看《安视交换机瘦模式用户手册_v3.9.0H1》。
请查看物联网平台手册。