对于NMC,每个菜单页面的配置页面右上角,设备页面都自带有帮助文档,该配置文档详细的介绍了NMC各种功能的使用方法以及原理介绍。
图 4‑ 1 帮助文档按钮
图 4‑ 2 帮助文档示例
『总览』主要用于查看设备的基本状态信息,包括【系统状态】、【网关状态】、【交换机状态】、【接入点状态】、【安全状态】、【吞吐情况】、【在线用户】及网关、交换机、接入点列表。
图 4‑ 3 总览示意图
通过点击各状态下的数字,可查看对应详情。
『终端』可以多维度查看终端的基本信息,包括【在线用户】、【终端列表】、【账号列表】、【身份安全】、【终端安全】、【终端网络质量】等信息。
2.2.1在线用户
在【在线用户】界面可以看到用户概况、在线用户及Portal/RADIUS服务用户。
用户概况中统计了如用户上网时长分布、终端类型分布、终端接收及发送速率分布、信号强度分布、射频接入分布、网络接入分布及认证类型分布,可直观查看终端的整体分布情况。
图 4‑ 4 用户概况
在线用户,可以看到当前接入网络的无线用户信息,显示无线网络的用户,以及用户的终端,权限,流速等信息。
无线用户除了以组织结构查看外,还支持以接入点位置分组的方式查看无线用户信息,如下图:
图 4‑ 5 在线用户
按图4-5中红字标记,可选择勾选更多显示列,查看更详细信息;同时也可以点击用户名查看此用户详细信息。
当NMC或NAC作为Portal服务器对外提供Portal服务时,通过Portal认证的用户会显示在Portal/RADIUS服务用户列表处。可对用户进行注销及临时修改权限操作。
图 4‑ 6 Portal/RADIUS用户
2.2.2终端列表
无线终端:展示单个终端的详细运维信息,包括终端活跃状态等。点击MAC地址可进入终端详细信息,可查询终端安全、业务质量、业务安全、安全风险等信息。
图 4‑ 7 无线终端列表
显示不同区域或分组的交换机下面的终端信息。点击MAC地址可进入终端详细信息,可查询业务质量、安全风险等信息。
图 4‑ 8 有线终端列表
2.2.3账号列表
展示单个账号的详细运维信息。包括账号活跃状态、接入非信任网络、安全事件、流量协商速率、DHCP质量、流量趋势、DNS质量、网关质量、信号强度、通信质量、空口状态等(点击账号名称查看详情)。
图 4‑ 9 账号列表
2.2.4身份安全
图 4‑ 10 身份安全
账号安全事件
显示无线欺骗攻击,ARP欺骗,DHCP泛洪攻击,ARP扫描攻击,IP扫描攻击,端口扫描攻击,DDOS攻击,无线泛洪攻击;10分钟检测1次。
账号活跃度
显示闲置账号和活跃账号的分布,超过5天未登录的是闲置账号,5天以内登录的是活跃账号。
活跃日期
显示周一到周日,登录的账号数量。同1个账号,在同一天重复上下线,只统计1次。
活跃时段
显示1天之内,不同时间段登录的账号数量。同一个账号,在15分钟之内,重复上线下线,只统计1次。
终端类型信息
显示不同的账号,使用什么样的终端登录。
终端数量特征
显示同一个账号,在多少个终端登录过。
账号接入行为
显示账号的接入行为。
显示设置
隐藏,移动所有的安全事件,重启设备依旧生效。
2.2.5终端安全
有线终端安全:显示终端状态,可查看终端数量(在线和离线终端)、终端类型分布、闲置终端、终端离线分布、终端离线趋势及终端迁移和安全事件的行为、次数。可以通过类型分布的饼状图,查看不同类型具体的占比,同时可以通过趋势图,查看一段时间内终端的变化情况,包括离线趋势、迁移情况等。另外,还可点击相应的表项查看相对应的模块具体的数据信息,如:点击“闲置终端”中离线时间大于10天的设备,可看到该设备的mac地址、主机名和最近登陆时间。
图 4‑ 11 有线终端安全
终端黑名单:管理员可以手动添加黑名单,以阻止指定的 MAC 地址终端连接有线和无线网络。
当终端进行暴破登录或者其它恶意攻击行为时,系统会将此终端的MAC地址加入黑名单,拒绝一段时间内该终端的连接请求。由终端类型绑定策略触发的非指定类型终端接入,系统也会将此终端MAC地址加入黑名单并拒绝该终端的连接请求,限制时间随策略而定。
图 4‑ 12 终端黑名单
2.2.6终端网络质量
2.2.6.1无线终端网络质量
图 4‑ 13 无线终端网络质量
概述
汇总展示终端画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
名词解释
无线协商速率:展示终端在不同时间段内流量协商速率变化信息。
网关质量:展示终端在不同时间段内网关请求成功率、时延趋势,以及发起的网关请求数量信息。
流速状态:展示终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DNS质量:展示终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DHCP质量:展示终端在不同时间段内DHCP请求成功率、时延趋势,以及发起的DHCP请求数量信息。
信号强度:展示终端信号强度大小趋势信息。
通信质量:展示终端通信过程中,重传报文、误码报文的占比信息。
空口状态:展示终端单播、广播、管理帧报文一段时间内发送、接收的个数信息,展示单播、广播、管理帧的空口速率信息。
2.2.6.2账号网络质量
图 4‑ 14 账号网络质量
概述
汇总展示账号画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
名词解释
无线协商速率:展示使用账号登录的全部终端、具体终端在不同时间段内流量协商速率变化信息。
网关质量:展示使用账号登录的全部终端、具体终端在不同时间段内网关请求成功率、时延趋势,以及发起的网关请求数量信息。
流速状态:展示使用账号登录的全部终端、具体终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DNS质量:展示使用账号登录的全部终端、具体终端在不同时间段内DNS请求成功率、时延趋势,以及发起的DNS请求数量信息。
DHCP质量:展示使用账号登录的全部终端、具体终端在不同时间段内DHCP请求成功率、时延趋势,以及发起的DHCP请求数量信息。
信号强度:展示使用同一账号登录的全部及具体终端信号强度大小趋势信息。
通信质量:展示使用同一账号登录的全部、具体终端通信过程中,重传报文、误码报文的占比信息。
空口状态:展示使用同一账号登录的全部、具体终端单播、广播、管理帧报文一段时间内发送、接收报文个数信息,展示单播、广播、管理帧的空口速率信息。
2.3.1网关
网关列表:
查看分支的状态,包括在线状态,IP地址,版本号,接入点在线情况等信息。支持按分支名搜索,更多过滤条件见右上角的高级搜索。
图 4‑ 15 网关列表
网关状态:
概述
监控分支设备的状态信息,提供各分支状态图形信息。
名词解释
活跃状态:展示当前网关每日离线次数及活跃时长。(注单机设备及网络管理中心不显示活跃状态)。
整机负载:以趋势图展示每个网关的发送/接受速率,接入用户数;统计信息中显示当日累积。
资源状态:展示当前网关每个时刻的CPU/内存利用率/磁盘利用率/会话空闲率的趋势,统计信息中提供超阈值告警次数。
接口状态:可查看当前网关每个接口的信息;每日详情中提供当前分支当前接口活跃时段趋势,流量负载中可查看协商速率及实际速率的趋势,以及查看drop报文数和error报文数的丢包情况。
网络质量:展示当前网关的DNS质量和DHCP质量的时段趋势图。
会话状态:展示当前网关的集中转发/本地转发/Portal代理会话数量的每个时段产生的趋势图统计。
隧道状态:每日详情中展示当前网关的命令隧道、认证隧道的活跃时段,速率时延趋势及文件隧道同步失败次数趋势。
认证服务器质量:内部服务器,外部服务器(RADIUS服务器,LDAP服务器,短信服务器,MDQ服务器,数据库服务器)的状态展示(注未配置的服务器会隐藏状态趋势图)。
流量状态:可查看当前网关的集中转发/本地转发/Portal页面/审计速率的每个时段的趋势图统计及时长占比。
2.3.2交换机
交换机列表(支持显示面板模式和列表模式):
显示交换机的运行状态,可查看交换机的在线状态、负载以及端口状态。可以通过交换机面板图看出来,交换机每个口的Link/Act,PoE供电状态。点击具体的某个口,可以看到端口的详情,包括VLAN和PoE的配置信息,以及流量趋势,端口收发包情况;点击具体的某个光口,可以看到光口的光功率上报详情,包括光发送/接收功率及其阈值。
图 4‑ 16 交换机列表
名词解释
交换机状态:交换机在线/修复/离线状态。在线状态是指三层隧道在线,修复状态是二层隧道在线,离线状态是二三层隧道均不在线。
交换容量:交换容量为整机流量/总协商速率。(注:整机流量取整机发送、接收流量的最大值)
端口负载:负载率指交换机端口的流量/协商速率。图表只统计交换机最大负载率端口,最大负载率端口落在某个百分比区间,则交换机计入此百分比区间。(注:端口的流量取端口发送、接收流量的最大值)
供电负载:只统计支持PoE的交换机,计算方式为:交换机已经提供的功率/交换机总功率。
交换机状态:
显示有线网络的整体运行,能够直接通过该页面查看有线网络下所有交换机和端口的总体运行情况。交换机画像页面由主要包括交换机离线概况、供电负载、系统资源、芯片资源、网络质量、流量负载、帧类型分析、报文分析和网络协议报文接收速率等。
图 4‑ 17 交换机状态
名词解释
交换机离线概况:显示交换机数量(在线/离线交换机)、有线网络中的终端数量、有线网络流量使用状况和交换机离线时长、离线次数与离线趋势。
供电负载:该功能只针对POE交换机,显示交换机实际供电功率与总功率的比值,点击不同区间可以查看不同运行时长的交换机统计数据。
系统资源:显示交换机的CPU利用率和内存利用率,点击不同区间可以查看不同运行时长的交换机统计数据。
芯片资源:按照MAC地址表、ARP表、组播表、ACL表和路由表的利用率分别统计交换机的资源使用情况,点击不同区间可以查看不同运行时长的交换机统计数据。
网络质量:主要由发送和接收的阻塞报文丢包率与Error报文速率组成,其中阻塞报文只统计流量速率超过协商速率的报文,点击不同区间可以查看不同运行时长端口的阻塞报文丢包率与Error报文速率统计数据。
流量负载:流量空闲率=1-(实际速率/协商速率),可以根据流量空闲率查看有线网络所有端口的流量使用情况。
帧类型分析:显示巨帧和普通帧的占比,点击不同区间可以查看不同运行时长端口的统计数据。
报文分析:显示发送和接收的单播、组播和广播报文的报文占比;在网络环路时,接收的广播报文占比会大幅度上升,可以据此来判断环路端口。
网络协议报文接收速率:显示端口的DHCP报文、ICMP报文、ARP报文和TCP报文的接收速率,点击不同区间可以查看不同运行时长端口的统计数据。
设备详情:显示单个交换机的运行情况,主要包括活跃状态、系统资源、供电负载率、芯片资源等。
端口列表:显示单个端口的运行情况,主要包括活跃状态、网络质量、流量空闲率、帧类型分析、泛洪报文分析、报文数量分析等。
2.3.3接入点
接入点列表:
显示无线接入点运行状态,可查看接入点的在线状态、负载及射频质量。
图 4‑ 18 接入点列表
名词解释
信道利用率:信道利用率数值代表信道的繁忙程度
噪声值:指无线网络频率范围内的辐射电磁干扰。噪声问题容易引发无线数据帧的丢包及误码,如果一个接入点所处的位置噪声值比较高,严重影响数据传输,应考虑更换部署地点或清除干扰源。
无线协议:无线接入点的无线网络协议,例如无线网络协议,2.4G支持802.11b/g/n,5.8G支持802.11a/n/ac。
重传率:重传率越高,代表无线网络数据的丢包越严重。
误码率:误码率(BER:bit error ratio)是衡量数据在规定时间内数据传输精确性的指标。在无线数据通信中,如果发送的信号是"1",而接收到的信号却是"0",这就是"误码",也就是发生了一个差错。在一定时间内收到的数字信号中发生差错的比特数与同一时间所收到的数字信号的总比特数之比,就叫做"误码率"。噪声、交流电或闪电造成的脉冲、传输设备故障及其他因素都会导致误码。
接入点状态:
汇总展示接入点业务感知信息,包括接入点离线概况、接入点负载、资源利用率、网关质量、DNS质量、DHCP质量、TCP质量、隧道状态、流量状态、射频接入人数、信道利用率、噪声值等信息。
图 4‑ 19 接入点状态
名词解释
接入点离线概况:展示接入点的离线时长、离线次数和离线趋势情况。
接入点负载:展示接入点不同时间点的接入人数、发送和接收速率情况。
资源利用率:展示接入点不同时间点的内存利用率、cpu利用率、会话空闲率趋势。
网关质量:展示接入点不同时间点的网关请求成功率、网关时延情况以及网关请求趋势。
DNS质量:展示不同DNS请求成功率区间的接入点数量和接入点的DNS时延情况。
DHCP质量:展示不同DHCP请求成功率区间的接入点数量和接入点的DHCP时延情况。
TCP质量:展示不同TCP重传率区间的接入点数量、接入点的TCP时延和TCP连接数情况。
隧道状态:展示数据隧道丢包率、控制隧道时延、隧道断开次数情况。
流量状态:展示接入点不同时间点的数据隧道速率、漫入速率、Portal页面速率等情况。
射频接入人数:展示接入点2.4G和5G频段的接入人数。
信道利用率:展示接入点不同时间点的信道利用率情况。
噪声值:展示接入点不同时间点的噪声值变化。
设备详情:
展示单个接入点的详细运维信息,包括活跃状态、整机负载、资源状态、接口状态等信息。
图 4‑ 20 接入点设备详情
名词解释
活跃状态:展示当前接入点每日服务时长和离线次数,点击可查看每日具体每个时刻的详细数据。
整机负载:展示当前接入点每日累计服务人数、接入用户0-10个和大于等于50个所占比例、发送速率和接收速率0~0.2Mbps所占比例。
资源状态:展示当前接入点每日CPU利用率超阈值次数、内存利用率超阈值次数、CPU利用率≥95%、内存利用率≥95%、会话空闲率0~10%所占比例。
接口状态:可查看接入点每个接口的信息,累计活跃时长、累计离线次数、流量空闲率等;每日详情中提供当前接口的活跃时长、离线次数、累计单播报文数量、累计多播报文数量。
接入点分析-全局分析:
热点分析中,根据环境信道利用率、自身信道利用率、重传率、误码率、噪声值、同频干扰等参数划定的区间,将无线接入点划入指定的区间。管理员通过分析接入点在各个区间的分布情况,排查接入点的问题,并通过增加接入点、调整接入点位置等方式,提高无线网络的整体服务质量。
图 4‑ 21 全局分析
名词解释
环境信道利用率:环境信道利用率代表接入点所观测到的当前信道的繁忙程度, 是接入点自身收发包所占用的信道比例和其它无线节点收发包所占用的信道比例之和。
自身信道利用率:自身信道利用率代表接入点自身由于收发包所占用的信道比例。
重传率:重传率越高,代表无线网络数据的丢包越严重。
误码率:在一定时间内收到的数字信号中发生差错的比特数与同一时间所收到的数字信号的总比特数之比。
同频干扰:当前无线接入点周围,与该接入点同信道的无线接入点的个数。
繁忙度:统计接入点当前的用户数、会话数、流量等信息,生成的 TOP N 排行信息。
局部分析:
可以查询单个接入点的流量、用户、会话数、信道利用率、噪声值等历史数据信息,单个终端的传输速率、信号强度、通信质量等历史数据信息。
图 4‑ 22 局部分析
2.4.1智能网络拓扑图
显示信锐设备(交换机和ap)的运行状态,可查看信锐设备的在线状态、负载以及端口状态。可以通过交换机面板图看出来,交换机每个口的Link/Act,PoE供电状态。点击具体的某个口,可以看到端口的详情,包括VLAN和PoE的配置信息,以及流量趋势,端口收发包情况。通过AP面板图看出来AP和交换机以及AP和AP连接状态。点击AP之间或AP和交换机之间的连线,可以看到端口连接情况。
图 4‑ 23 智能网络拓扑图
名词解释
主拓扑:与网关同二层的信锐设备通常显示在主拓扑中。
分支拓扑:与网关跨三层的信锐设备通常显示在分支拓扑中。
无连接离线设备:信锐设备离线以后,且与智能网络拓扑图中的其他设备无连接数据,成为无组织离线设备。
无连接待激活设备:跨三层可发现、未激活的设备,与智能网络拓扑图中的其他设备无连接数据,称为无连接待激活设备。
二层透明网络:我司框式交换机/我司胖模式交换机/我司低版本交换机/我司低版本AP/我司胖AP/非我司设备等在拓扑中均显示为二层透明网络。可根据实际拓扑,将二层透明网络替换成我司设备,进行后续管理。
三层网络:分支拓扑与网关之间经过三层网络相连。
2.4.2网络质量感知
网络质量感知是Turbo Sense AP独有的功能,无线网络开启网络质量感知之后会启用自身的AI射频接入自己的无线网络,进行终端接入、DHCP获取地址、网关检测、DNS地址解析、网络地址检测五个阶段的检测,并通过设置的阈值得出该射频当次的检测结果。
图 4‑ 24 网络质量感知
网络健康度:通过统计检测射频总数、故障个数、波动个数、离线AP个数,对当前网络状态进行评分。
网络健康度趋势:每间隔15分钟统计一次网络健康度,记录在趋势图。
无线网络卡片:根据当前网络状况显示对应卡片颜色,并显示对应正常、波动、故障AP的个数;正常和波动状态显示对应接入人数,故障状态显示对应影响人数。点击无线网络卡片则会跳转至单个网络页面。
全链路检测次数:统计当前环境所有网络下所有接入点的检测总数、故障次数和时长、波动次数和时长。
各阶段检测成功率:对应阶段射频检测结果为正常的个数与对应阶段检测总数的比值。
网络质量时间分布:按一天24小时展示对应网络的情况。蓝色表示检测结果为正常,黄色表示检测结果为波动(存在任一AP的任一射频检测结果为波动,则无线网络该时间段显示波动),红色表示检测结果为故障(存在任一AP的任一射频检测结果为故障,则无线网络该时间段显示故障),对应状态下显示对应的时间点及持续时长。
网络质量区域分布:按区域统计所有射频检测结果的故障、波动、正常次数。
故障类型分布:按五个阶段对应的故障事件类型统计出现的次数和百分比。
故障时长排行:按五个阶段对应的故障事件类型时长大小降序展示前五个故障事件类型和时长。
2.4.3流控状态
显示流量控制通道的实时信息。
图 4‑ 25 流控状态
名词解释
线路:该通道属于哪条线路。
瞬时速度:通道的实时速率(上1秒的流量)。
占用比例:通道实时带宽占用率。
用户数:通道中的基于IP统计的用户数(上一秒的统计值)。
保证带宽:通道配置的保证带宽值,如果是限制通道,则保证带宽值为0。
最大带宽:通道配置的最大带宽值。
优先级:通道中配置的优先级。
突破限制:限制通道中开启了空闲带宽突破功能后,该通道的突破状态。
绿色箭头:则表示该通道已经突破自身最大带宽,并且实际速率超过最大带宽。
灰色箭头:则表示该通道已经突破自身最大带宽,但是实际速率并没有超过最大带宽。
-:表示该通道没有开启带宽突破功能。
线路状态:显示当前线路的总的瞬时速率。
排除策略:显示被排除策略排除的流量统计,会统计每条线路每条策略排除的流量。
2.4.4流量排行
应用流量排行:统计集中转发与本地转发的流量,并按应用进行汇总和排行。点击用户数可查看使用此类应用流量最多的前10个用户。
用户流量排行:统计集中转发与本地转发的流量,并按用户进行汇总和排行。点击应用名称可查看此用户使用的应用中流量最大的前10个应用。
图 4‑ 26 流量排行
2.4.5无线网络
显示无线网络的实时状态,包括生效的接入点,上线用户线,发送速率和接收速率。
图 4‑ 27 无线网络
2.4.6网络安全
安全状态
显示当前无线网络环境下,网关、接入点的安全状态。
安全状态检测的事件类型包括:钓鱼AP,有干扰的邻居AP,非法AD-Hoc,无线泛洪攻击,DoS攻击,爆破攻击,BSSID冲突检测,私设ip,无线欺骗攻击,ip冲突,ARP欺骗,DHCP泛洪攻击,ARP扫描攻击,ip扫描攻击,端口扫描攻击。
安全状态可以查看时间段分别为今天、某一天、最近7天和最近30天发生的各种安全事件的简要信息。
趋势图 : 攻击者个数的趋势信息。
饼图 : 各种安全事件的比例。
详情 : 此攻击者出现的时间段。
图 4‑ 28 安全状态
安全日志
记录所有的检测到的无线网络安全事件,并记录检测到的结果。
图 4‑ 29 安全日志
2.4.7东西向流量安全
终端流量分析
展示终端流量统计分析状况,包括区域概况、实时守护终端、终端类型分布、区域守护状态、安全/风险服务访问状态、出站/入站服务访问趋势、出站/入站访问拦截、攻击服务分、攻击访问趋势情况等。
图 4‑ 30 终端流量分析
服务访问日志
显示观察区域/保护区域/观察角色/保护角色内的终端的详细访问记录,包括时间、访问终端、被访问终端、服务类型、访问状态、访问次数等。还支持按服务类型或访问状态等多种条件进行过滤,按终端信息进行查询。
图 4‑ 31 服务访问日志
2.4.8地址池状态
展示网关和交换机DHCP地址池的IP分配情况,通过 发生冲突的IP、获取IP失败的终端、地址池利用率等信息,管理员可以直观快速地发现解决网络问题。
支持图标模式和列表模式。
图 4‑ 32 地址池状态
2.5.1告警日志
系统运行过程中,如果检测到较严重的事件,并且需要管理员注意或确认时,将产生告警事件
例如:接口掉线、接口故障检测失败、VRRP 备份组发生主备状态切换、管理员通常需要确认是否确实存在异常,并尝试排除异常。
图 4‑ 33 告警日志
2.5.2告警事件
根据用户实际需要配置网关告警事件、接入点告警事件和交换机告警事件的触发条件。
例如:MAC地址表利用率超阈值告警事件的触发条件分为同时满足80%(上限阈值)和满足5次(触发次数)。
图 4‑ 34 告警事件
2.5.3告警配置
根据用户的实际需要配置智能告警的应用对象。
注意事项
1、同一设备的同一事件支持配置多条告警配置,告警配置可以上下移动,位于上方规则优先级高,位于下方的规则优先级低下,一旦匹配中优先级高的规则便不再匹配优先级低的规则;
2、全局选项中可以配置单设备单事件单日最大推送个数,数值范围为1-1440;
3、告警配置支持配置 通知内容,发送间隔,发送时间;
名词解释
告警设备:选择网关、接入点和交换机中需要监控的具体设备。
告警接口:选择需要监控设备的端口。
告警方式:选择通过短信/APP消息的方式将告警消息发送给用户。
图 4‑ 35 告警配置
在集中管理页面可对所有分支进行管理,点击分支名称可进行对网关配置、认证授权、VPN配置、网关集群、系统管理及系统维护进行操作。
点击【操作】按钮可跳转至分支控制器、切换模式(管理模式、监控模式及维护模式)、同步配置及解除绑定。
图 4‑ 36 集中管理
待审核分支:部署分支设备前可以不在SDN上预先创建好分支设备,待分支配置好网络与网络管理中心信息后,SDN可看到需要审核的分支设备,审核通过后分支即可在SDN上线成功。
图 4‑ 37 待审核分支
认证托管组分为2种,1+1托管组,N+1托管组。
1+1托管组:
网络管理中心可任选两个分支组建1+1托管组,任何一个分支出现故障,故障分支的设备会自动托管到正常分支上。
N+1托管组:
网络管理中心可任选一个分支作为网络管理中心,若干个分支作为分支网关,当分支网关出现故障时,该分支的设备会自动托管到网络管理中心。
图 4‑ 38 认证托管组
本页面可以配置网关需要开启、关闭哪些功能,在不需要使用某类功能时可以选择禁用服务,以便最大化的节省系统资源消耗,使系统能够将更多的资源分配给已开启的功能,使其更加流畅的运行。
图 4‑ 39 分支服务配置
数据转发
适用于所有接入点都使用集中转发模式。禁用服务可以释放大量资源,需要重启设备。该服务禁用状态时“集中转发应用识别”服务和集中转发无线网络也将被禁用。
本地转发:适用于所有接入点都使用本地转发模式。禁用服务可以释放大量资源,需要重启设备。该服务禁用状态时“本地转发应用识别”服务和本地转发无线网络也将被禁用。
应用识别
功能开启之后,将会识别本地转发用户的应用。启用功能之后,需要在本地转发应用识别选项中选择,需要开启识别的本地转发的无线网络或是接入点有线认证策略,默认不勾选。功能开启之后,将会消耗接入点2%-5%的上行带宽。本地转发是通过将本地转发用户的报文镜像到网关上来进行识别,这个是配置每个会话的镜像报文数量,数量越多识别越准确,同时消耗的接入点的上行带宽越高。
审计
用户审计:开启功能,需要启用内置日志中心或是配置一个外置的日志中心。
本地转发五元组审计:开启功能,可以审计本地转发用户的五元组信息。
日志中心
内置日志中心:开启和关闭内置日志中心,配置磁盘预警和自动删除数据选项。
外置日志中心:开启和关闭内置日志中心,管理外置日志中心的同步账号。
特色服务
信锐无线安全接入前端:开启、关闭信锐无线安全接入前端服务。服务开启时将采集的终端信息、上网行为信息等上报给第三方设备。
分支设备维护升级:接入点/交换机为零配置设备,通常并不需要关心设备的软件版本。接入点或交换机连接到网关后,会自动从网关中下载并安装系统。如果要升级到最新版本,只需要升级网关,不需要单独升级无线接入点或交换机。该页面的升级功能,主要提供给设备供应商的技术支持人员使用。
图 4‑ 40 分支设备升级
4.1.1交换机管理
对所有交换机进行全部集中分组和管理,包括配置所属组、发现网关 IP、发现网关域名、webAgent、DNS地址、VLAN接口、端口面板、地址表、Loopback地址、认证选项、隧道参数。
图 4‑ 41 交换机管理
所属组:配置交换机所属于的管理组,便于对交换机进行集中管理和配置。
网关 IP:填写交换机用于连接的 网关 IP 地址,如果给交换机填写了网关的地址,交换机下次重启后,会自动以该配置 IP 连接 NAC 并建立隧道。
发现网关域名:用于交换机自动发现网关用,当交换机解析到该域名时,交换机会自动向网关请求连接。网关发现该交换机后,就可以对该交换机进行策略下发配置了。
DNS地址:如果启用了DNS代理,客户端的DNS服务器可以指向交换机。交换机接收到DNS请求后,会转发到这里设置的外部DNS服务器解析。
图 4‑ 42 DNS地址
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
通过配置VLANIF接口、子接口方式可以实现VLAN间的通信。
管理VLAN是指要通过SSH、TELNET访问交换机,需要将使用的交换机端口添加到管理VLAN。
图 4‑ 43 VLAN接口
端口面板是以图形化的方式显示交换机的所有的端口,可以在这设置端口的端口属性。
VLAN端口属性:
Access 只属于一个VLAN,一般用于连接计算机端口。
Trunk 可以允许多个vlan通过,可以接收和发送多个vlan的报文,一般用于交换机之间的端口。
hybrid接口:可以允许多个vlan通过,可以接收和发送多个vlan报文,一般用于交换机之间的端口,比Trunk属性多了untaggedvlan和taggedvlan。
风暴抑制:
风暴控制特性会不断地监控端口的入站流量,最高的频率为每秒进行一次监控,然后再把所获得的数据与配置在设备上的风暴抑制级别进行对比。
风暴控制防止交换机的端口被局域网中的广播、多播或者一个物理端口上的单播风暴所破坏。
流量控制:
如果发送者发送数据过快,接收者来不及接收,那么就会有分组丢失。为了避免分组丢失,控制发送者的发送速度,使得接收者来得及接收,这就是流量控制。流量控制根本目的是防止分组丢失,它是构成TCP可靠性的一方面。
图 4‑ 44 端口面板
配置静态MAC地址
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。
为了避免MAC地址表项爆炸式增长,可以手工配置动态MAC表项的老化时间。老化时间越短,路由器对周边的网络变化越敏感,适合在网络拓扑变化比较频繁的环境;老化时间越长,路由器对周边的网络变化越不敏感,适合在网络拓扑比较稳定的环境。
当需要配置的静态MAC表项较多,并且静态MAC表项中MAC地址与端口在同一二层环境时,可以采用自动扫描与绑定方式批量配置。
配置静态ARP地址
静态ARP表项不会被老化,不会被动态ARP表项覆盖,因此配置静态ARP表项可以增加通信的安全性。
当老化时间超时后,设备会清除动态ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新生成动态ARP表项,如此循环重复。
用户可以通过手工方式或者自动扫描与绑定的方式配置静态ARP表项:当需要配置的静态ARP表项较少时,可以采用手工方式新增或删除;当需要配置的静态ARP表项较多,并且静态ARP表项中IP地址与VLANIF接口的IP地址在同一网段时,可以采用自动扫描与绑定方式批量配置。
图 4‑ 45 地址表
Loopback接口创建后除非手工关闭该接口,否则Loopback接口物理层状态和链路层协议永远处于UP状态,用户可通过配置Loopback接口达到提高网络可靠性的目的。
图 4‑ 46 Loopback地址
交换机支持认证功能,启用认证信息转发,即可通过深信服单点登录协议,实现网关与深信服上网行为管理等其他设备之间的单点登录,无需进行重复认证。交换机可限制认证用户上限数,超出上限以后,新接入的终端会被加入黑名单,无法进行认证也无法上网。
图 4‑ 47 认证选项
交换机可通过二层隧道或三层隧道在网关激活上线,三层隧道在线的交换机功能正常,二层隧道在线的交换机只支持配置下发,不支持状态上报。
图 4‑ 48 隧道参数
4.1.2 发现新交换机
为了让控制器统一管理交换机,当交换机接入内网时,并未进入工作状态,需要管理员 在"发现新交换机"列表中,手动执行激活操作,交换机才能正常工作。
当交换机接入网络中,交换机会自动发现网关,当交换机第一次发现网关时,会在网关上看到新的交换机,需要进行激活后,才能正常使用交换机,并下发配置。
图 4‑ 49 发现新交换机
在 NMC 控制台的右上角,当有出现图标
时,表示还有未激活的交换机,需要到该页面激活。
当 NAC 上发现交换机时,需要激活,激活按钮可用。
激活的时候,交换机只支持配置为普通模式,不支持网关模式。 交换机激活的时候,设备类型分为两种:
1. 射频交换机
射频交换机:激活的时候,交换机端口会默认添加射频交换机,射频交换机插到交换机端口上时,可以即插即用。
2. 普通交换机
普通交换机(除射频交换机外):激活的时候,序列号字段为选填,但只有填写了序列号,才能在无线接入点页面添加射频交换机配置,这样射频交换机才能正常工作。点击激活后,配置界面如下:
图 4‑ 50 激活交换机
可以编辑交换机的名称,地理位置,便于后续交换机的识别分组和管理,默认交换机以 其 MAC 地址为名称。
名称:编辑交换机名称,便于识别交换机。
描述:对交换机进行描述便于是被交换机。
所属组:配置交换机所属于的管理组,便于对交换机进行集中管理和配置。
发现网关IP:填写交换机用于连接网关的 IP 地址,如果给交换机填写了网关的地址,交换机下次重启后,会自动以该配置 IP 连接网关并建立隧道。
发现网关域名:用于交换机自动发现网关用,当交换机解析到该域名时,交换机会自动向网关请求连接。网关发现该交换机后,就可以对该交换机进行策略下发配置了。
硬件型号:交换机的型号。
射频序列号:交换机序列号分为普通交换机序列号和射频交换机序列号。普通交换机序列号。
要添加射频交换机,需要给指定交换机开启序列号;射频交换机序列号给射频交换机专用,激活射频交换机没有超过序列号时,都会为射频交换机自动添加射频交换机,以达到即插即用的目的。
控制隧道保活时间:填写控制隧道保活时间,默认 12 秒,如果网络环境较差,可修改控制器隧道时间,降低交换机频繁上下线次数。
Webagent:发现控制器的一种方式,webagent 地址可联系 400-878-3389 进行申请开通。
网络地址:可以设置自动获取,也可以设置固定 IP 地址。如果设置的固定 IP 地址,与当前交换机获取到的 IP 地址不一致,配置生效下发后,有可能会导致交换机不能在当前网络上网,并使交换机与网关失去联系,所以一般设置交换机的 IP 地址为自动获取。
管理 VLAN 和管理端口:配置交换机的上联口以及管理 VLAN。管理 VLAN 是指要通过 SSH、TELNET 访问交换机,需要将使用的交换机端口添加到管理 VLAN。
4.1.3SNMP配置
SNMP配置
SNMP(Simple Network Management Protocol,简单网络管理协议),用于管理网络中上众多的软硬件平台。开启后可以通过snmp协议查询本设备系统信息,如设备型号,内存使用率,硬盘使用率,CPU消耗等。
SNMP v1/v2:SNMP的第一版本和第二版本。它们都是基于团体名进行报文认证。
SNMP v3:SNMP的第三版本。
此版本提供重要的安全性功能,其中就包括了认证和加密两项。
认证需要提供认证方式(MD5,SHA)和认证密码。
加密需要提供加密方式(DES)和加密密钥。
MIB(Management Information Base,管理信息库),是由网络管理协议访问的管理对象数据库,也可理解为是所有可管理对象的集合。下载本设备MIB后,再导入到相应的管理端后,可以管理或查询的本设备的一些基本信息,如设备型号,内存使用率,硬盘使用率,CPU消耗等。
图 4‑ 51 SNMP
SNMP Trap又称SNMP陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到管理端轮询后再发送。需要配置管理端的IP地址和端口,以及团体名。支持向多个管理端发送信息。
图 4‑ 52 SNMP Traps
包含【证书管理】和【安全网盾】两个模块。
4.2.1端口列表
激活在当前网关(包括集中管理的分支)的交换机的所有端口列表,在此页面可以批量编辑所选端口的基本信息、PoE属性、VLAN属性,以达到方便管理操作的目的。
图 4‑ 53 端口列表
条件过滤:高级搜索可以过滤出指定的交换机或交换机分组,也可以根据端口模式、VLAN ID来过滤端口。
PoE供电重启:重启PoE芯片,使指定的端口停止PoE供电,然后重新供电。非受电设备不受影响。
端口组:端口组实现为多个接口批量配置命令的功能,减少单独配置的输入错误,同时节省人力。
图 4‑ 54 端口组
4.2.2VLAN配置
以全局、统一的视图来管理交换机和网关的VLAN配置。每个VLAN的视图中包括当前网关以及分支的VLAN-设备-端口三者的关系。功能适用于网络开局部署,统一规划VLAN配置,也适用于网络维护时,需要批量修改多台设备之间的VLAN。
初始情况下,设备会默认添加VLAN 1,交换机激活时,所有端口默认为Access VLAN 1。
图 4‑ 55 VLAN 配置
Voice VLAN
网络中经常有数据、语音、视频等多种流量同时传输。因为丢包和时延对通话质量的影响很大,用户对语音的质量比数据或者视频的质量更为敏感,因此在带宽有限的情况下就需要优先保证通话质量。
通过配置Voice VLAN,交换机可识别语音流,对其进行有针对性的QoS保障,当网络发生拥塞时可以优先保证语音流的传输。
在电话通过DHCP获取IP的情况下,当电话开启LLDP功能接入时可以感知端口上voice-vlan变化,能够在voice-vlan发生变化时同步发起DHCP请求,获取新的IP地址;当电话不开启LLDP功能接入时无法感知端口上voice-vlan变化,需要等待IP地址租期到期时才会发送续租请求,进而获取新的IP地址。
图 4‑ 56 VOICE VLAN
MAC-VLAN映射
基于MAC地址划分VLAN不需要关注终端用户的物理位置,提高了终端用户的安全性和接入的灵活性。
MAC-VLAN映射,其主要的功能是将用户报文中的私网VLAN Tag替换为公网的VLAN Tag,使其按照公网的网络规划进行传输。在报文被发送到对端用户私网时,再按照同样的规则将VLAN Tag恢复为原有的用户私网VLAN Tag,使报文正确到达目的地。
图 4‑ 57 MAC映射
4.2.3链路聚合
链路聚合(Link Aggregation)是将多条物理链路捆绑在一起成为一条逻辑链路,从而实现增加带宽、提高可靠性、负载分担的目的。
图 4‑ 58 链路聚合
设备类型
根据设备类型确定链路聚合的应用场景。设备类型选择为交换机时,指的是单个交换机上的普通链路聚合;设备类型选择为M-LAG组时,指的是部署M-LAG的两台设备与用户侧或者是网络侧设备之间的链路聚合。
工作模式
根据是否启用链路聚合控制协议LACP,链路聚合分为手工负载分担模式和LACP模式。
手工负载分担模式下,Eth-Trunk的建立、成员端口的加入由手工配置,没有链路聚合控制协议的参与。该模式下所有活动链路都参与数据的转发,平均分担流量,因此称为手工负载分担模式。
为了提高Eth-Trunk的容错性,并且能提供备份功能,保证成员链路的高可靠性,出现了链路聚合控制协议LACP(Link Aggregation Control Protocol),LACP模式就是采用LACP的一种链路聚合模式。
LACP为交换数据的设备提供一种标准的协商方式,以供设备根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成以后,LACP负责维护链路状态,在聚合条件发生变化时,自动调整或解散链路聚合。
接口类型
支持根据需要聚合的以太网接口类型来配置相应类型的聚合组:当需要聚合的是二层以太网接口时,需选择接口类型为二层接口;当需要聚合的是三层以太网接口时,需选择接口类型为三层接口。聚合链路的两端应配置相同的接口类型。
负载分担方式
二层链路聚合支持的负载分担方式有根据目的MAC地址、源MAC地址、源MAC与目的MAC地址、目的IP地址、源IP地址,源IP地址与目的IP地址六种方式。
三层链路聚合支持的负载分担方式有根据目的IP地址、源IP地址和源IP与目的IP地址三种方式。
系统LACP优先级
系统LACP优先级是为了区分两端设备优先级的高低而配置的参数。LACP模式下,两端设备所选择的活动端口必须保持一致,否则链路聚合组就无法建立。此时可以使其中一端具有更高的优先级,另一端根据高优先级的一端来选择活动端口即可。系统LACP优先级值越小优先级越高。
端口LACP优先级
端口LACP优先级是为了区别同一个Eth-Trunk中不同接口被选为活动端口的优先程度,优先级高的接口将优先被选为活动接口。接口LACP优先级值越小,优先级越高。
LACP报文工作模式
主动模式
聚合组处于主动模式,能够发送和接收LACP协议报文,用于协商聚合组状态。
被动模式
聚合组处于被动模式,只能接收LACP协议报文。
超时时间
超过超时时间,没有收到LACP协议报文,聚合组就无法建立。
缺省情况下,端口的LACP超时时间为长超时(即30秒),可配置端口的LACP超时时间为短超时(即1秒)。
4.2.4防环路配置
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及MAC地址表不稳定等故障现象,从而导致用户通信质量较差,甚至通信中断。为解决交换网络中的环路问题,提出了生成树协议STP(Spanning Tree Protocol)。
与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的IEEE 802.1D中定义的STP到IEEE 802.1W中定义的快速生成树协议RSTP(Rapid Spanning Tree Protocol),再到最新的IEEE 802.1S中定义的多生成树协议MSTP(Multiple Spanning Tree Protocol)。
在生成树协议中,MSTP兼容RSTP、STP,RSTP兼容STP。
简单模式与高级模式
简单模式下,支持一键启用所有交换机的防环路功能,如有部分设备不需要开启防环路,可在排除列表中设置。
高级模式下,可以在策略列表中添加需要开启防环路功能的交换机,更多防环路参数请在策略中配置。
图 4‑ 59 生成树
STP/RSTP简介
STP是一个用于局域网中消除环路的协议。运行该协议的设备通过彼此交互信息而发现网络中的环路,并适当对某些端口进行阻塞以消除环路。由于局域网规模的不断增长,生成树协议已经成为了当前最重要的局域网协议之一。
IEEE于2001年发布的802.1w标准定义了快速生成树协议RSTP(Rapid Spanning Tree Protocol),该协议基于STP协议,对原有的STP协议进行了更加细致的修改和补充。
MSTP基本原理
MSTP协议在计算生成树时使用的算法和原理与STP/RSTP大同小异,只是因为在MSTP中引入了域和内部路径开销等参数,故MSTP中的优先级向量是7维,而STP/RSTP是5维。STP/RSTP中的优先级向量是{根桥标识符,根路径开销,桥标识符, 发送BPDU报文端口标识符, 接收BPDU报文端口标识符},MSTP中的优先级向量是{CIST根桥标识符,CIST外部根路径开销,CIST域根标识符,CIST内部根路径开销,CIST指定桥标识符,CIST指定端口标识符,CIST接收端口标识符},其中STP/RSTP中的桥标识符实际上是发送BPDU的设备的标识符,与MSTP中的CIST指定桥标识符对应。MSTP中的CIST域根标识符有两种情况,一种是总根所在域内,BPDU报文中该字段是参考总根的标识符,另一种情况是不包含总根的域中,BPDU报文该字段是参考主设备的标识符。运行MSTP的实体初始化时认为自己是总根、域根,通过交互配置消息,按照上面介绍的7维向量计算CIST生成树和MSTI。
MST域
MST域即多生成树域,是由交换网络中的多台交换设备以及它们之间的网段所构成。这些交换设备启动MSTP后,具有相同域名、相同VLAN到生成树映射配置和相同MSTP修订级别配置,并且物理上直接相连。一个交换网络可以存在多个MST域,用户可以通过MSTP配置命令把多台交换设备划分在同一个MST域内。
端口参数
边缘端口:用户如果将某个端口指定为边缘端口,那么当该端口由Block状态向Forward状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间。
BPDU过滤:通过使用BPDU过滤功能,将能够防止交换机在启用了边缘端口特性的接口上发送BPDU。对于配置了边缘端口特性的端口,它通常连接到主机 设备,因为主机不需要参与STP,所以它将丢弃所接收到的BPDU。通过使用BPDU过滤功能,将能够防止向主机设备发送不必要的BPDU。
BPDU保护:与用户设备直接相连边缘端口,收到恶意攻击BPDU报文时,边缘端口属性丢失变为非边缘端口,引起整网拓扑重新计算,导致网络振荡。
根保护:避免协议报文恶意攻击导致网络中合法根设备收到优先级更高的BPDU报文,使合法根设备失去根设备地位,从而引起网络拓扑结构的错误变动。
环路保护:在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游的RST BPDU,则向网管发出通知信息(如果是根端口则进入Discarding状态)。而阻塞端口则会一直保持在阻塞状态,不转发报文,从而不会在网络中形成环路。直到根端口收到RST BPDU,端口状态才恢复正常到Forwarding状态。
环路检测机制可发现某个端口下的环路,并通知用户检查网络连接和配置情况,以避免对整个网络造成严重影响。
图 4‑ 60 环路检测
环路处理动作:环路处理动作是指发现二层网络中的环路以后所采取的处理方式,常用方式包括阻塞端口、关闭端口、退出环路vlan。
环路检测间隔:环路检测间隔是环路检测报文的发送时间间隔,通过环路检测报文来确定各端口是否出现环路、以及存在环路的端口上是否已消除环路等。
自动恢复时间:当设备检测到某端口出现环路后,若在一定环路检测时间间隔内仍未收到环路检测报文,就认为该端口上的环路已消除,自动将该端口恢复为正常转发状态。
目的MAC地址:环路检测报文的目的MAC地址默认为广播地址,用户可根据实际需要进行配置。
4.2.5供电配置
供电配置管理功能可以配置PoE交换机的供电属性,也可以配置时间计划给交换机的端口,以实现统一管理、科学省电的需求。
交换机和网关断开一定时间之后(5分钟),所有端口会保持供电状态。
未激活的PoE交换机,所有端口会保持供电状态。
图 4‑ 61 供电配置
4.3.1静态路由
静态路由是一种需要管理员手工配置的特殊路由。
当网络结构比较简单时,只需配置静态路由就可以使网络正常工作;在复杂网络环境中,配置静态路由可以改进网络的性能,并可为重要的应用保证带宽。
IPv4静态路由
在创建静态路由时,可以同时指定目标地址和下一跳地址。
支持创建静态路由时,启用链路检测,包括BFD检测与PING检查,配置链路检测可见高可用性-链路检测。
在创建相同目的地址的多条静态路由时,支持创建静态路由时,启用链路检测并备份配置备份链路,实现路由备份。
在创建静态路由时,如果将目的地址与掩码配置为全零,则表示配置的是IPv4静态缺省路由。缺省情况下,没有创建IPv4静态缺省路由。
IPv6静态路由
在创建IPv6静态路由时,可以同时指定目的地址和下一跳地址。
在创建IPv6静态路由时,如果将目的地址与掩码配置为全零,则表示配置的是IPv6静态缺省路由。缺省情况下,没有创建IPv6静态缺省路由。
图 4‑ 62 静态路由
4.3.2策略路由
策略路由是一种依据用户制定的策略进行路由选择的机制。设备配置策略路由后,若接收的报文(包括二层报文)匹配策略路由的规则,则按照规则转发;若匹配失败,则根据目的地址按照正常转发流程转发。
支持使用ACL作为策略路由的分类规则,配置相应的ACL实现可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
通过配置策略路由与链路检测联动可以为策略路由提供检测机制,配置完以后,当重定向下一跳对应的链路发生故障的时候,重定向下一跳会因为链路检测失败而立即失效,而不需要等待ARP表项老化。这样就可以达到缩短通信中断时间,提高服务质量的目的。
支持通过配置策略路由的优先级实现路由选择的优先顺序。
图 4‑ 63 策略路由
4.3.3RIP配置
RIP配置
RIP路由V1版本是有类别路由协议,它只支持以广播方式发布协议报文,且协议报文中没有携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1无法支持路由聚合,也不支持不连续子网。
RIP路由V2版本是一种无分类路由协议,支持外部路由标记,可以在路由策略中根据Tag对路由进行灵活的控制。支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。
在创建相同目的地址的多条静态路由时,支持创建静态路由时,启用链路检测并备份配置备份链路,实现路由备份。
在创建静态路由时,如果将目的地址与掩码配置为全零,则表示配置的是IPv4静态缺省路由。缺省情况下,没有创建IPv4静态缺省路由。
图 4‑ 64 RIP配置
交换机RIP参数配置
在规模比较大的网络中,可能会结合区域设备的特点,配置不同的路由协议。为了实现RIP区域与其他路由区域之间的同心,需要在设备上配置引入非本协议的路由信息,包括默认路由,直连路由,静态路由,OSPF路由。
接口RIP参数配置
认证方式:RIP路由V2版本提供了报文认证机制来满足网络安全性的要求。支持的认证方式,包含明文认证与MD5认证。明文认证:将配置的密码直接加入报文中,这种加密方式安全性较其他两种方式低。MD5认证:通过将配置的密码进行MD5算法之后再加入报文中,这样提高了密码的安全性。
防止路由环路:支持启用水平分割或毒性反转。水平分割RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗,还可以防止路由环路。毒性逆转RIP从某个接口学到路由后,将该路由的开销设置为16(即指明该路由不可达),并从原接口发回邻居路由器。利用这种方式,可以清除对方路由表中的无用路由。
RIP更新报文:勾选允许发送RIP更新报文后,当路由信息发生变化时,立即向邻居路由器发送触发更新报文,通知变化的路由信息。触发更新可以缩短网络收敛时间,在路由表项变化时立即向其他路由器广播该信息,而不必等待定时更新。
BFD检测:接口RIP的BFD检测可以快速感知链路故障,实现RIP网络的快速收敛,用来提高RIP网络的可靠性,用于对可靠性要求较高的网络。
附加度量值:附加路由度量值是在RIP路由原来度量值的基础上所增加的度量值(跳数)。
4.3.4OSPF配置
OSPF(Open Shortest Path First,开放最短路径优先)是 IETF(Internet Engineering Task Force,互联网工程任务组)组织开发的一个基于链路状态的内部网关协议。目前针对 IPv4 协议使用的是OSPF Version 2。
图 4‑ 65 OSPF
OSPF配置
区域列表
可编辑区域名称,配置区域ID,区域类型,添加接口及配置认证方式;区域有骨干区域、普通区域、Stub区域、Talloy Stub区域、NSSA区域和Totally NSSA区域,其中骨干区域区域ID只能为0,其它区域为非0。
虚连接
虚连接是指在两台 ABR 之间通过一个非骨干区域而建立的一条逻辑上的连接通道。它的两端必须是 ABR,而且必须在两端同时配置方可生效。
认证
建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证。如果区域验证和接口验证都进行了配置,以接口验证的配置为准。认证方式有两种,分别为明文密码认证以及MD5认证,一个区域中所有交换机的验证模式和验证密码或者邻居交换机两端接口必须一致,否则无法认证。
边界交换机
多区域连接时,区域与区域间的边界交换机会在此处显示 ;可对边界交换机配置路由白名单,用户可根据自身情况设置入、出方向的域间路由设置过滤条件;路由聚合是指 ABR 将具有相同前缀的域间路由信息聚合,只发布一条路由到其它区域。
交换机OSPF参数配置
可对已加入OSPF中的交换机进行配置,实现路由引入。
用户可配置所引入路由的类型,度量值和标签,同时也可以配置引入规则,实现对引入路由的过滤。
缺省路由度量值
针对特殊区域的ABR产生的默认路由配置度量值。
端口OSPF参数配置
可配置已加入OSPF的接口参数,如DR选举优先级,接口开销,认证方式。
接口开销
OSPF基于接口带宽计算开销,计算公式为:接口开销=带宽参考值÷带宽。带宽参考值可配置,缺省为100Mbit/s。因此,一个百兆接口的开销为1,一个千兆接口的开销为0.1,取整为1。
BFD(Bidirectional Forwarding Detection,双向转发检测)
为 OSPF 邻居之间的链路提供快速检测功能。当邻居之间的链路出现故障时,加快 OSPF 协议的收敛速度。
高级选项
可开启DD报文检测及OSPF报文抑制;定时器可配置OSPF的时间参数,接口定时器Hello和失效间隔需与对端一致,否则邻居关系将无法建立。
报文抑制
接口开启报文抑制,则抑制接口发送OSPF报文,则会导致邻居建立失败,可避免伪冒设备接入OSPF域中。
Hello间隔
接口向邻居发送 Hello 报文的时间间隔,OSPF 邻居之间的 Hello 定时器的值要保持一致。
失效间隔
在邻居失效时间内,如果接口还没有收到邻居发送的 Hello 报文,路由器就会宣告该邻居无效。
重传间隔
交换机向它的邻居通告一条 LSA 后,需要对方进行确认。若在重传间隔时间内没有收到对方的确认报文,就会向邻居重传这条 LSA。
传输时延
LSA在本设备的链路状态数据库(LSDB)中会随时间老化(每秒钟加1),但在网络的传输过程中却不会,所以有必要在发送之前在LSA的老化时间上增加本命令所设置的一段时间。此配置对低速率的网络尤其重要。
4.3.5路由优先级
对于相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但这些路由并不都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。为了判断最优路由,各路由协议(包括静态路由)都被赋予了一个优先级,当存在多个路由信息源时,具有较高优先级(取值较小)的路由协议发现的路由将成为最优路由,并将最优路由放入本地路由表中。
支持手工为各路由协议配置的优先级包含静态路由优先级,RIP协议优先级和OSPF协议优先级。
图 4‑ 66 路由优先级
IGMP Snooping即组播侦听功能,可以实现组播数据在数据链路层的转发和控制。当主机和上游三层设备之间传递的IGMP协议报文通过二层组播设备时,IGMP Snooping分析报文携带的信息,根据这些信息建立和维护二层组播转发表,从而指导组播数据在数据链路层按需转发,减少二层网络中的广播报文,节约网络带宽,增强组播信息的安全性。
图 4‑ 67 组播管理
版本号
IGMPv1 主要基于查询和响应机制来完成对组播组成员的管理。与IGMPv1 相比,IGMPv2 增加了查询器选举机制和离开组机制。IGMPv3 在兼容和继承IGMPv1 和IGMPv2 的基础上,进一步增强了主机的控制能力,并增强了查询和报告报文的功能。
查询间隔
查询间隔是指查询者发送普遍组查询报文之间的时间间隔。普遍组查询报文用于向与其连接的所有子网进行轮询来发现是否有组员存在。
健壮系数
查询器的健壮系数是为了弥补可能发生的网络丢包而设置的报文重传次数。
源IP地址
用户可根据实际需要配置查询器的源 IP 地址,从而建立数据链路层组播转发表项,进行组播数据转发。
4.5.1端口策略
端口策略能够对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
支持配置应用到单接口或者聚合口的有线访问控制策略。
有线访问控制策略在 “认证授权->角色授权” 中定义。
图 4‑ 68 端口策略
4.5.2QoS配置
QoS(Quality of Service)即服务质量,是指网络通信过程中,允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。
流量管理功能包括重标记、流量监管、重定向等。
重标记:通过设置报文的优先级或标志位,重新定义报文的优先级。
流量监管:通过监控进入网络的流量速率,将输入流量限制在一个合理范围内。当一台设备存在多个芯片时,进入网络的流量速率以每个芯片为单位进行统计,不同芯片之间的流量速率互不影响。
重定向:将符合流分类的报文流重定向到其他端口进行处理。
图 4‑ 69 QoS流量管理
流量整形是一种主动调整流量输出速率的措施,对上游输入的不规整流量进行缓冲,使流量输出趋于平稳,从而解决下游设备的拥塞问题。
图 4‑ 70 QoS流量整形
优先级映射实现从COS优先级到DSCP优先级之间的映射,设备可根据优先级提供有差别的QoS服务。
图 4‑ 71 QoS优先级映射
当时延敏感业务要求得到比非时延敏感业务更高质量的 QoS 服务,且网络中间歇性的出现拥塞,此时需要进行拥塞管理。拥塞管理一般采用排队技术,使用不同的调度算法来发送队列中的报文流。常用调度模式包括严格优先模式、轮询模式、加权轮询模式、严格优先+加权轮询模式和差分加权轮询模式。
常用优先级信任模式包括信任dscp优先级和信任802.1p优先级。信任dscp优先级是指直接根据报文携带的dscp优先级来转发数据,信任802.1p优先级分两种情况:
1.当入口报文不带802.1p优先级,设备将使用端口优先级,根据此优先级查找802.1p优先级到内部优先级映射表,然后为报文标记内部优先级。
2.当入口报文携带802.1p优先级,此时按报文携带的802.1p优先级,查找802.1p优先级到内部优先级映射表,然后为报文标记内部优先级。
图 4‑ 72 QoS拥塞控制
4.5.3报文镜像
网络运行过程中,经常需要对网络设备的端口状况进行监控和分析。如果直接对转发端口进行监控和分析,可能会影响端口的转发效率。用户可以通过配置镜像功能,将网络中某个接口(镜像端口)接收或发送的报文,复制一份到指定接口(观测端口),然后发送到和观测端口直连的报文分析设备上。用户通过分析镜像报文,可进行网络监控和故障排查。
图 4‑ 73 报文镜像
端口镜像:指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。
匹配ACL的流镜像:匹配ACL的流镜像:指将镜像与匹配ACL相结合,只复制满足特定条件的报文,过滤报文分析设备不关心的报文,为报文分析提供更精细的控制,提高报文分析设备的工作效率。
源端口:源端口是镜像端口,即报文流经的端口。
目的端口:目的端口是观察端口,即报文重新发送至的指定端口。
镜像规则数量统计说明
1.源端口包含普通端口时,若镜像方向为单方向,则端口所在板卡镜像规则数量加1;若镜像方向为双方向,则端口所在板卡镜像规则数量加2。
2.源端口包含聚合口时,若镜像方向为单方向,则所有板卡镜像规则数量加1;若镜像方向为双方向,则所有板卡镜像规则数量加2。
3.板卡镜像规则数量不累加。源端口同时包含普通端口与聚合口时,板卡镜像规则数量以聚合口计算为准。
4.6.1链路高可用
备份链路,又叫做灵活链路。一个备份链路由两个端口组成,其中一个端口作为另一个的备份。备份链路常用于双上行组网,提供可靠高效的备份和快速的切换机制。
图 4‑ 74 链路高可用-备份链路
主用链路和备用链路
备份链路组中处于转发状态的链路称为主用链路,处于阻塞状态的链路称为备用链路。
主端口和从端口
备份链路组的主用和备用链路在特定的设备上体现为端口或者聚合组端口,此处统称为端口。为了区分备份链路组中的两个端口,将两个端口分别命名为主端口和从端口。备份链路组中的从接口在备份链路组启动后会被阻塞。
FLUSH报文
端口切换之后,备份链路通过发送FLUSH报文通知其他设备进行地址刷新,且相关设备必须使能Flush报文接收功能。但是,由于该技术为私有技术,目前只限于我司的交换机、华为、华三的设备能够识别该报文。对于不识别FLUSH报文的设备,只能通过流量触发MAC地址的更新。
抢占配置
抢占配置方式选择立即抢占,即备份链路组中主链路出现故障并倒换到从链路后,当原主链路故障恢复后,立刻进行备份链路倒换。抢占配置选择延时抢占,即等待延时时间到达后,根据备份链路组的接口最后获得的Up/Down状态处理备份链路组的状态。抢占配置方式选择不抢占,即为了保持流量稳定,原有的主用链路将维持在阻塞状态,不进行抢占。
图表 4‑ 75 上行链路监控
上行链路监控是一种端口联动方案,它能通过监控设备的上行端口,根据其UP/DOWN状态的变化来触发下行端口UP/DOWN状态的变化,从而触发下游设备上的拓扑协议进行链路的切换。
上行接口
上行接口是上行链路监控组中的被监控的端口,上行链路监控组的上行接口可以是以太网端口(电口或光口)、聚合口或备份链路组。
下行接口
下行接口是上行链路监控组中的监控端口,上行链路监控组的下行接口可以是以太网端口(电口或光口)或聚合口。
图 4‑ 76 Flush报文接受配置
支持独立配置Flush报文接收功能,并配置接口接收Flush报文的加密方式、接收控制VLAN ID和密码。当上游设备收到Flush报文时,判断该Flush报文的发送控制VLAN是否在收到报文的接口配置的接收控制VLAN列表中。如果不在接收控制VLAN列表中,设备对该Flush报文不做处理,直接转发;如果在接收控制VLAN列表中,设备会处理收到Flush报文,进而执行MAC地址转发表项和ARP表项的刷新操作。
4.6.2虚拟化集群
堆叠就是将多台设备通过专用的堆叠口或业务口连接起来,形成一台虚拟的逻辑设备。用户对这台虚拟设备进行管理,来实现对堆叠中所有成员设备的管理。堆叠系统具有高可靠性及易管理等优点。
M-LAG(Multichassis Link Aggregation Group)即跨设备链路聚合组,是一种实现跨设备链路聚合的机制,将一台设备与另外两台设备进行跨设备链路聚合,从而把链路可靠性从单板级提高到了设备级,组成双活系统。
图 4‑ 77 虚拟化集群
堆叠成员
组建堆叠的成员需要同样的软件版本,硬件型号满足组堆叠。最多支持两台交换机组堆叠。
堆叠口
堆叠系统通信链路两端的接口为堆叠口,仅支持光口作为堆叠口。堆叠口的连接可以由多条堆叠物理链路自动聚合而成,多条聚合链路之间可以对流量进行负载分担,有效地提高了带宽及堆叠可靠性。堆叠成员端口必须为统一类型端口,例如10GE与40GE端口不可以组成堆叠聚合链路。普通口切换为堆叠口后,将不再支持切换速率与单双工,GE口速率配置为1000M全双工,10GE口速率配置为10G全双工,40GE口速率配置为40G全双工,堆叠口再切换为普通口后,又会恢复原来的配置。
本地流量优先转发
由于堆叠链路带宽有限,为了提高转发效率,减少跨堆叠成员的流量转发,支持TRUNK口的本地流量优先转发功能。即从本设备进入的流量,优先从本设备上相应的TRUNK成员口转发出去;如果本设备相应的接口故障或流量已经达到了接口线速,那么就从对端堆叠成员设备的接口转发出去。
Hello报文超时时间
堆叠系统中备机超时时间内,未收到主机发送的保活报文,会自动升级为主机。
多主检测
为了减少堆叠分裂对业务的影响,建议用户在堆叠组建完成后进行双主检测的配置。堆叠链路断开或堆叠心跳超时出现多主时,MAD检测机制会检测到网络中存在多个处于主机状态的堆叠系统。MAD冲突检测机制会保持原主机继续工作,将其他的堆叠系统转入recovery状态,并且在recovery状态的堆叠系统的所有成员上,关闭除保留端口以外的其他所有物理端口,以保证该堆叠系统不再转发业务报文。堆叠多主检测支持不检测,直连检测与代理检测,且默认检测方式为直连检测。直连检测选择的检测端口需要覆盖所有的堆叠成员,每个成员只能选择一个端口。代理检测仅支持信锐的交换机的聚合口做代理检测。
Peer-Link口
Peer-Link链路两端直连的接口均为Peer-Link接口,支持配置光口,电口,聚合口。
链路故障配置
Peer-Link链路是一条直连链路,用于交换协商报文及传输部分流量,保证M-LAG的正常工作。
Peer-Link故障但心跳状态正常会导致备设备上除管理网口、Peer-Link接口以及自定义的排除端口以外的物理接口处于 DOWN状态,此时双归场景变为单归场景。一旦配置Peer-Link链路故障恢复,处于 DOWN状态的物理接口默认将在120秒时间自动恢复为Up状态。
LACP协商配置
部署M-LAG的两台设备与用户侧设备之间的链路已经分别配置为聚合链路。为了提高可靠性,建议将链路聚合模式配置为LACP模式。用户需确定协商MAC地址和LACP优先级以方便进行LACP协商配置,用来适用于LACP模式的Eth-Trunk组成的M-LAG。
KeepAlive口
KeepAlive链路是一条三层互通链路,用于M-LAG主备设备间发送双主检测报文。
正常情况下,双主检测链路不会参与M-LAG的任何转发行为,只在故障场景下,用于检查是否出现双主的情况。用于检测对端的选举状态是否正常。
M-LAG口
M-LAG口是M-LAG主备设备上连接上下行设备的Eth-Trunk接口。加入同一M-LAG口的接口,对外表现为同一个聚合接口。
4.6.3VRRP策略
VRRP(Virtual Router Redundancy Protocol)即虚拟冗余备份组协议,通过把几台路由设备联合组成一台虚拟的路由设备,使用一定的机制保证当主机的下一跳路由器发生故障时,及时地将业务切换至备份路由器,从而保证业务的连续性和可靠性。
图 4‑ 78 VRRP策略
组ID
虚拟路由器ID,VRRP备份组标识,同一个实例的VRID值必须一致才可以正常工作。
虚拟IP地址
VRRP备份组的IP地址,一个虚拟路由器可以有一个或多个IP地址。
虚拟MAC地址
VRRP备份组根据虚拟路由器ID自动生成的MAC地址。
通信方式
默认使用组播的通信方式,支持单播的通信方式。
优先级
VRRP备份组中的设备优先级,备份组根据优先级选举出Master和Backup设备。
VRRP绑定接口
VRRP备份组中,虚拟IP地址所在的接口。
超时时间
VRRP备份组中Backup设备因未收到Master设备报文,自动切换为Master所等待的时间。
接口监视
VRRP备份组中,设备监控上联口或上联链路,当上联口或上联链路故障时,降低设备优先级,触发主备切换。
状态恢复延时时间
VRRP备份组中,设备因故障进入fault状态后,在故障恢复正常时,设备从错误状态切换至Backup状态等待的时间。
DHCP服务
VRRP备份组支持提供DHCP服务,且DHCP服务仅对Master设备生效。
抢占功能
开启抢占功能后,Backup设备的优先级高于Master设备优先级时,自动切换为Master设备。
VRRP版本
默认采用VRRPv2版本,支持VRRPv3版本。
通告间隔
VRRP备份组中,Master设备主动发送保活报文的时间间隔。
免费ARP间隔
备份组虚拟IP地址不断发送免费ARP的时间间隔。
VRRP报文认证方式
VRRP备份组中,VRRPv2版本支持不认证,简单认证和MD5认证方式,VRRPv3版本不支持认证。
代管组
多个VRRP备份组实例加入同一个代管组中时,由备份组中当时VRID最小的Master设备代为发送VRRP报文,减少VRRP报文发送数量。
同步组
由同步源负责VRRP保活,成员设备不发送保活报文,实例状态与同步源状态保持一致,减少VRRP报文发送数量。
4.6.4链路检测
链路检测含ping检测及BFD检测。
图 4‑ 79 链路检测
PING检测
当设备出现故障时,可以使用PING检测测试网络连接是否正常工作。
PING检测主要用于检查网络连接及主机是否可达。源主机向目的主机发送ICMP请求报文,目的主机向源主机发送ICMP回应报文。
BFD检测
BFD检测用于快速检测系统之间的通信故障,并在出现故障时通知上层应用。
BFD提供了一个与介质和协议无关的快速故障检测机制。是网络设备间任意类型的双向转发路径提供快速、轻负荷的故障检测。
支持的检测类型有私有二/三层链路检测,外部二/三层链路检测和单臂回声功能。
私有二/三层链路检测
私有二/三层链路检测可以当前网关内的交换机实现通过二层接口或三层接口连通的设备间链路故障的快速检测。
外部二/三层链路检测
外部二/三层链路检测可以实现与第三方或者其它网关的交换机通过二层接口或三层接口连通的设备间链路故障的快速检测。
单臂回声功能
在两台直接相连的设备中,其中一台设备支持BFD功能,另一台设备不支持BFD功能。为了能够快速的检测这两台设备之间的故障,可以在支持BFD功能的设备上创建单臂回声功能的BFD会话。支持BFD功能的设备主动发起回声请求功能,不支持BFD功能的设备接收到该报文后直接将其环回,从而实现转发链路的连通性检测功能。
标识符
静态建立BFD会话是指通过命令行手动配置BFD会话参数,包括配置本地标识符和远端标识符等,然后手工下发BFD会话建立请求。
如果对端设备采用动态BFD,而本端设备既要与之互通,又要能够实现BFD检测静态路由,必须配置静态标识符自协商BFD。
高级选项
报文优先级:支持将BFD报文设置为高优先级报文后,优先保证BFD报文的转发
BFD会话的检测时间由BFD会话的本端检测倍数、本端BFD报文的接收间隔、发送间隔决定,检测时间 = 检测倍数 × max(接收间隔,发送间隔)
发送间隔(毫秒):缺省情况下,BFD报文的发送间隔是1000毫秒。
接收间隔(毫秒):缺省情况下,BFD报文的接收间隔是1000毫秒。
检测倍数:缺省情况下,本地检测倍数为3。
报文生存时间:为使得使用不同版本的设备能够互通,并考虑后续版本升级以及和其他厂商的设备互通,此时可以配置报文生存时间。
DOWN状态发包间隔(毫秒):链路协议Down状态,在该状态下只可以处理BFD报文,支持配置DOWN状态发包间隔,从使是该接口也可以快速感知链路故障。
WTR等待恢复时间(分钟):如果BFD会话发生振荡,则与之关联的应用将会在主备之间频繁切换。为避免这种情况的发生,可以配置BFD会话的等待恢复时间WTR。当BFD会话从状态Down变为状态Up时,BFD等待WTR超时后才将这个变化通知给上层应用。如果使用WTR,用户需要手工在两端配置相同的WTR。否则,当一端会话状态变化时,两端应用程序感知到的BFD会话状态将不一致。
4.7.1智能设备接入
图 4‑ 80 智能设备接入
接入服务
智能设备接入是专门为物联网DTU设备提供的一类端口,DTU设备可以通过交换机快速的和物联网平台建立连接。
端口vlan
将已选择的所有接入端口划分为同一vlan,可以根据需求设置vlan标签,注意设置vlan标签时不要和交换机其他功能已设置的vlan标签重复,同样的其他功能将要设置的vlan标签也不要和智能设备接入的端口vlan重复。
端口DHCP地址池
交换机为接入的DTU设备分配IP的地址池,默认3.3.3.0/24。
物联网平台地址
物联网平台的IP地址,可以通过有效性检测检查该地址是否有效。
端口信息
显示交换机端口下接的DTU设备信息,方便当DTU设备出现故障之后根据端口信息简单判断是什么问题。
5.1.1接入点管理
对所有无线接入点进行全部集中分组和管理,包括配置无线信号,工作模式,射频工作范围,隧道参数等。
图 4‑ 81 接入点管理
如果有大批量的AP需要集中配置,也可以下载采用下面接入点管理文件的示列文件进行批量的编辑和导入。
5.1.2接入点参数
在接入点参数中,可以统一编辑接入点的相关参数配置。
图 4‑ 82 接入点参数
工作模式:可以分为三种,分别是:Normal,Hybrid和Monitor模式,如下图:
图 4‑ 83 工作模式
Normal模式:表示是正常工作模式,AP在该模式下,AP可以固定工作信道,如果选择为auto,射频和信道参数只会在AP每次加电时自动调整一次,后续都会稳定在该频率范围和信道上工作,不会变化,除非手动去【射频管理】菜单下手动点击调整。
Hybrid模式:混合模式,默认选择该模式,AP在该模式下,射频和信道参数会默认每个10分钟检测一次,如果发现当前信道通讯质量没有其他信道通讯质量好,会自动切换到质量更好的信道进行通讯。Hybrid模式AP也可以用于钓鱼AP反制,但是反制效果不及Monitor模式AP效果好。
Monitor模式:监控模式,在该模式下,无线网络不能正常使用,主要用于钓鱼AP反制。
信道功率:可以在此对每个AP的功率和信道进行手动调整,在网络优化时,才需要手动配置此项功能。不同类型AP支持最大功率不一样,需要正确选择AP可工作的功率范围,配置界面如下:
图 4‑ 84 信道功率
网关接入点:在AP为网关模式本地转发时,在这里配置用于给AP下的终端分配地址的地址池。
图 4‑ 85 网关接入点
射频参数:射频参数主要用于选择AP是工作在2.4G频段还是5.8G频段,以及选择网络协议b/g/n和a/g/n的选择,是否启用功分方案、调整信道、功率、等射频相关的功能。
图 4‑ 86 射频参数
名词解释
1、5G接入探测帧引导
在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。
2、多播优化
一般当单接入点覆盖范围内超过40个终端时,建议开启此功能。
图 4‑ 87 多播优化配置
无线接入点默认以1Mbps速率来发送多播报文,在多播报文较多的情况下会严重降低无线网络的总体吞吐率。目前可通过如下方式来提高无线网络的整体总体吞吐率。
(1)多播报文发送速率:
自动: 系统将持续评估当前的无线网络环境, 自动选择一个更优,且不显著影响广播报文可靠性的速率来发送广播报文,提高了无线网络的总体吞吐率。
固定速率: 无线接入点若以固定速率发送多播报文,可防止低速终端拉低多播报文整体吞吐率。适用于终端与无线热点距离在10米以内非干扰的多播应用场景。
(2)多播通道带宽权重:
在开启用户间平均分配带宽或者流量通道间动态分配带宽时,默认多播通道占用权重比例为90%。若当前环境处于多播应用场景,可根据实际情况调整多播通道占用的权重比例。比如电子书包场景,建议将多播通道占用权重设置为90%。
(3)忽略省电模式的终端:
按照802.11协议规定,如果接入点上有一个无线终端处于省电模式,则系统需要将所有的多播进行缓存,等到beacon帧发送后才能进行发送。这样在实时的多播应用场景下,如果存在睡眠的无线终端,将会导致多播报文无法快速及时发送,影响用户体验。
启用该功能后,接入点发送多播报文时将会忽略处于省电模式的无线终端,直接将报文发送出去。由于该功能实际上打破了802.11协议的定义,会造成处于省电模式的无线客户端无法接收到多播报文,所以仅对特殊场景应用(例如电子书包)可以考虑启用。
3、终端速率限制
该功能是信锐技术产品自研的优势功能,对于距离远的低速终端,拒绝其接入,可以提高其他正常信号范围内用户的上网体验。
通常情况下,离无线接入点越远的地方,终端接入进来的速率会越低。通过限制终端接入的速率,可以限制边缘区域的低速终端接入,这样可以提高无线接入点的吞吐效率,也能防止非目标用户的接入。限制的速率越大,有效的接入范围越小;限制的速率越小,有效的接入范围越大;不限制时,有效接入范围为最大。如果部署无线接入点的密度较大时,接入点的信号覆盖范围会较小,边缘接入的终端速率也相对较大些,如果想限制边缘终端用户接入,可以将限制的速率调大。如果部署无线接入点的密度较小时,接入点的信号覆盖范围会较大,边缘接入的终端速率也相对较小些,如果想限制边缘终端用户接入,可以将限制的速率调小。
图 4‑ 88 终端速率限制
4、数据传输速率下限
通常情况下,离无线接入点越远的地方,数据传输速率会越低。通过限制数据传输速率,可以限制边缘区域的低速终端接入,这样可以提高无线接入点的吞吐效率,也能防止非目标用户的接入。
5、限制beacon帧发送速率
Beacon帧发送速率低时,对应睡眠周期拉长,节能省电,但是新连进来的设备就要很久才能显示出来这个wifi热点;Beacon帧发送速率高时,发送beacon较为频繁,适合漫游之类的环境,可以高速切换到功率高,性能好的AP身上,但是会占用信道传输正常数据。
6、天线MIMO
在做室外网桥/中继,或者部署一个狭长区域的时候,往往需要使用抛物面定向天线,但目前很多定向天线,只有1个天线接头,很少有支持 2X2 的,即使支持,很多体积和价格都过高,因此为了节约用户成本,需要将接入点上不用的天线关闭掉。
7、高密优化
在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。
8、高级选项
涉及到无线数据的传输效率问题,默认不建议也不推荐修改。
图 4‑ 89 高级选项
隧道参数:可以设置AP到NAC之间的数据隧道是否启用加密。用于设置AP与NAC之间的控制隧道保活时间,在较差的网络环境中,放大隧道保活时间,可避免因网络抖动造成的AP频繁断线。
图 4‑ 90 隧道参数
有线接口配置:有线口配置是指AP上的物理二层口,可以配置成Trunk口和Access口。当VLAN属性为Trunk时,允许VLAN是可以放通vlan范围,Native VLAN是判断是否添加或剥离vlan头。
图 4‑ 91 有线接口配置
其他配置:
图 4‑ 92 其他配置
名词解释
认证信息转发:将本地转发的用户转发到其他设备,避免再次认证。
AI射频:Turbo Sense AP通过AI射频模拟终端的方式,检测了终端接入、DHCP获取地址、网关检测、DNS解析、网络地址检测五大阶段,全方面的判断无线网络的质量,并对收集到的信息进行分析。仅针对Turbo Sense AP生效。
认证页面缓存:适用于远程部署的接入点,可以节省接入点和控制器之间的流量。该功能将认证页面缓存到内存中,不需要接入点的USB支持。
无线信息采集:配置接入点上是否上报终端发现信息、邻居接入点的信息到控制器。
物联网套件:涉及物联网套件时启用。
USB接口工作模式:对于有USB接口的接入点,USB口的工作模式。需要将应用加速功能缓存到接入点时,请将模式配置为USB缓存功能。
设备灯控制:可针对设备状态灯进行启用、关闭操作;也可设置定时计划开关灯。
上联口链路检查:此功能用于当接入点上联口出现异常时通过重启接入点的方法进行自动恢复。 上联口链路检查默认开启,默认600s。此功能触发需要满足以下四个条件:接入点和控制器断开隧道; 接入点ping不通网关和控制器;接入点上联口up;接入点上联口rx tx都不变。
业务画像信息上报:对业务画像信息上报开启或禁用。
蓝牙模块:此模式仅支持蓝牙的AP(NAP4650)可配置,可结合微信摇一摇.周边使用,其中参数由微信摇一摇周边提供。
2/3/4G线路:此功能通过4G模块解决公交车等不能部署有线场景上网的问题。有线和4G模块都可以做为AP的出口,优先使用哪个页面可配,优先链路网络恢复后,可切换到优先链路。
延迟下电:用于车载AP的场景,如NAP-4100-V,开启此功能后,当车用ACC电源关闭时,AP会延迟指定的时间再关闭系统,用于防止车辆中途短时间熄火导致AP系统不稳定。
认证透传:启用后接入点不处理认证请求,适用于交换机上开启用户认证场景。
5.1.3发现新接入点
部署无线接入点之前,通常不需要对接入点进行任何配置。网络管理员只需要在网关中,集中管理所有的接入点及无线网络,这种方式简化了部署及配置过程。
因此,无线接入点启动后,需要首先寻找网关的地址,以连接到网关,以接受统一管理,获取配置,创建数据隧道等。接入点支持通过多种方式发现网关的 IP 地址,请根据实际部署环境选择。
为防止未授权的接入点连接到NAC,并获取无线网络配置的风险。无线接入点(AP)连接到NAC后,并未进入工作状态,需要管理员在"发现新接入点"列表中,确认接入点的合法性,并手动执行激活操作,接入点才能正常工作。
当AP接入网络中,AP会自动发现NAC,当AP第一次发现NAC时,会在NAC上看到新的接入点,需要进行激活后,才能正常使用无线AP,并下发配置。
图 4‑ 93 发现新接入点
提示:在NAC控制台的右上角,当有出现图标
时,表示还有未激活的接入点,需要到该页面激活。
激活AP:当NAC上发现AP时,需要激活,激活按钮可用。
图 4‑ 94 激活AP
点击激活后,配置界面如下:
图 4‑ 95 激活AP
可以编辑AP的名称,地理位置,便于后续AP的识别分组和管理,默认AP以其MAC地址为名称
所属组:配置AP所属于的管理组,便于对AP进行集中管理和配置。
发现控制器IP:填写AP用于连接的NAC的IP地址,如果给AP填写了NAC的地址,AP下次重启后,会自动以该配置IP连接NAC并建立隧道
发现控制器域名:用于AP自动发现NAC用,当AP解析到该域名时,AP会自动向NAC请求连接。NAC发现该AP后,就可以对该AP进行策略下发配置了
网络地址:可以设置自动获取,也可以设置固定IP地址
替换AP:发现新设备时,可以将要激活的设备替换为已经激活过的设备。替换时,可以选择将旧设备删除或是重新激活。
图 4‑ 96 设备替换
5.2.1无线网络
『无线网络』:可以【新增】、【删除】、【启用】、【禁用】一个无线网络。新增无线网络需要设置无线终端接入的无线信号SSID,认证方式,设置无线接入点范围,数据转发模式等,下面将一一详细讲解。下面为无线网络的配置截图:
图 4‑ 97 无线网络
无线网络号SSID可以设置为“汉语”,对汉语的支持比较好无线终端可以正常显示,多数PC无法正常显示,一般建议设置为英文类型的SSID。
新增一个【无线网络】, 分为通用无线网络、高级无线网络、同频无线网络、智能PSK无线网络、多因子无线网络。可按需选择,我们此处以新增高级无线网络为例(注意如果分支是SFG场景,需要选择普通无线网络)。
图 4‑ 98 新增无线网络
包含【基本配置】、【认证类型】、【终端验证】、【帐号认证】、【访客认证】、【多因子认证】、【vlan设置】、【权限设定】、【网络质量感知】、【应用节流】、【高级选项】,如下图:
图 4‑ 99 无线网络
基本配置
【基本配置】需要设置无线网络名称(SSID),并设置无线网络在哪些接入点AP上启用,以及该无线网络在AP上的数据转发模式,并设置工作频段。
数据转发模式分为集中转发,和本地转发模式,集中转发模式表示无线终端STA所有的上网业务数据到达AP后,由AP进行数据封装,由AP集中转发给NAC,再由NAC集中转发出去上网。本地转发模式表示无线终端STA所有的上网业务数据到达AP后,由AP根据本地路由网关直接转发数据出去,不对数据包进行封装。
设置的频段分为2.4G和5G共2个频段,可以分别设置启用,也可以设置2个频段同时启用。其中高级选项中,可以针对该SSID,每个AP接入人数做限制,隐藏SSID表示该无线网络不主动广播其信号,无线终端不能自动发现该网络,必须在无线终端STA上手动填写SSID,并设置才能接入该无线网络。营销广告推送设置,如果需要使用控制器营销推送功能,需要勾选以下2个设置。
图 4‑ 100 营销功能
认证类型
图 4‑ 101 认证类型
认证类型有以下几种类型可以选择:
[WPA/WPA2(企业)]:选择WPA或WPA2加密方式的企业认证方式
[开放式]:选择开放式的无线接入方式认证
[WPA-PSK/WPA2-PSK(个人)]:选择WPA或WPA2加密方式与预共享密钥的个人认证方式
[WPA2-PSK/WPA3-SAE(个人)]:选择WP2或WPA3加密方式的个人认证方式
[开放式+WEB认证]:选择开放式的无线接入方式与WEB方式认证组合
[WPA-PSK(个人)]:选择WPA加密方式与预共享密钥的个人认证方式
[WPA2-PSK(个人)]:选择WPA2加密方式与预共享密钥的个人认证方式
[WPA3-SAE(个人)]:选择WPA3加密方式与对等实体同时验证的个人认证方式
[WPA3-OWE]:选择WPA3加密方式的开放式认证方式
[WPA3-OWE+Web认证]:选择WPA3加密方式的Web认证方式
[WPA-PSK/WPA2-PSK+WEB认证]:选择WPA或WPA2加密方式与预共享密钥认证方式接入无线网络,再结合WEB方式认证的组合
[WPA2-PSK/WPA3-SAE+WEB认证]:选择WPA2或WPA3加密认证方式接入无线网络,再结合WEB方式认证的组合
[WPA(企业)]:仅选择WPA加密方式的企业认证方式
[WPA2(企业)]:仅选择WPA2加密方式的企业认证方式
[802.1X]:基于802.1X的认证方式
下面我们对这些认证类型做一个简单的分类,以便进行功能区分,所以该分类依据是以功能性差别进行的划分,他们之间有重合的可能,比如开放式认证和WEB认证就可以结合一起使用,划分为如下四类:
第一类:企业方式认证
选择采用“企业”方式的认证还包括WPA(企业)、WPA2(企业)、WAPI(企业)
加密方式:自动选择,包括AES和TKIP,企业类型的认证,在终端验证和用户认证出现的界面与WEB方式认证是有所差别的,这些差别就决定了“企业方式认证”和“WEB方式认证”与“个人方式认证”的差别。
企业方式认证是采用802.1X架构的认证方式,无线终端也需要采用配置802.1X方式认证。
图 4‑ 102 企业级认证
第二类:WEB方式认证
web 认证是指无线终端接入无线网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
web 认证通常与开放式无线网络一起使用,也就是用户连接无线网络时,不需要任何认证。由于无线网络的流量未加密,因此 web 认证的无线网络,通常只用于非关键性的网络中,例如仅用于访客访问互联网,无法访问企业内部网络。
图 4‑ 103 开放式+Web认证
WEB方式认证包括:WPA3-OWE+Web认证、WPA-PSK/WPA2-PSK+WEB认证、WPA2-PSK/WPA3-SAE+WEB认证、开放式+WEB认证。
图 4‑ 104 Web认证方式
认证方式:
1、【帐号认证】、【访客认证】、【账号认证+访客认证】
2、【使用外部Portal服务器认证】可以对接外部Portal服务器实现外部portal认证。
图 4‑ 105 认证方式
认证页面是我们在【认证授权】-【认证页面】设置的自定义页面或者采用系统默认的页面。采用第三方Portal认证时,Portal服务器选择【认证授权】-【认证服务器】中添加的portal服务器。认证前角色是指进行WEB认证成功前,默认可以使用的网络权限对应的角色,重定向端口是指无线终端STA有该端口的数据时,进行认证页面的重定向。
第三类:个人方式认证
选择“个人”方式的认证
图 4‑ 106 个人认证
个人方式认证包括:WPA2-PSK(个人)、WPA-PSK(个人)、WPA/WPA2-PSK(个人)以及WAPI-PSK(个人)。
图 4‑ 107 个人认证
加密方式:自动选择,包括AES和TKIP方式,接入密钥是只设置接入无线网络的预共享密钥。
第四类:开放式认证
开放式认证是指无线终端用户接入无线网络时不需要进行验证即可正常接入无线。
图 4‑ 108 开放式认证
终端验证
终端验证可以显示的内容是由已经选择的认证类型来决定的,选择不同的“认证方式”,会显示不同的页面,也就会有不同的功能性差异。
当选择了包含“开放式认证“和“个人认证”方式时,可以对无线终端的终端类型和MAC地址的合法性进行校验,其中MAC地址校验是通过启用“检测终端MAC黑白名单”来进行的。MAC白名单是在【认证授权】-【MAC白名单】预先设置好的合法MAC地址。
开放式+web认证时,终端验证的配置如下:
图 4‑ 109 终端验证
“终端验证失败后”表示即使MAC与终端类型验证失败后,也继续让该用户进行后续的WEB方式认证。如果不勾选该功能,只要无线终端的MAC验证不在【对象定义】中的【MAC白名单】中,就完全拒绝该用户的进行进一步认证,直接拒绝其上网。
选择“企业”方式认证后,终端验证也可以启用检查终端MAC白名单。可以设置允许终端验证失败(或未加入域)时,继续进行用户认证,并设置认证通过后的角色。认证通过后的vlan。为通过域计算机验证的客户端分配权限以登录到域,需要设置可以使用的角色让PC能正常登录到域,并设置对应的vlan。
帐号认证 :区分两种认证方式。
第一种:Web方式认证
当选择【开放式认证】和【个人认证】时不能选择配置【帐号认证】,只有选择【WEB方式】或【企业】方式时才可以配置
如下是当选择企业或WEB方式认证时,可以配置的用户认证配置:
当选择WEB方式认证时,帐号配置页面如下
图 4‑ 110 Web账号认证
第二种:企业方式
企业方式有以下下几种认证类型:EAP终结与EAP中继2种方式。并可以设置服务器认证配置冗余,以及设置自动绑定最初认证用户名与MAC地址,并可以指定对某一类型的终端进行MAC地址绑定关系检查,比如windows终端。
1、EAP中继
图 4‑ 111 EAP中继
EAP 中继是指无线接入点把无线客户端的 EAP 报文直接转发到 RADIUS 服务器,由 RADIUS 服务器来完成认证过程。因此认证方法由 RADIUS 服务器中配置,与NAC无关。
在WPA/WPA2-企业 无线网络中,通常使用的认证方式为 EAP-TLS 或者 PEAP-MSCHAPv2,因此需要确认 RADIUS 服务器支持所需的认证方式。常见的 RADIUS 认证服务器为微软 Windows Server 系列中提供的 IAS/NPS 服务。
2、EAP终结
图 4‑ 112 EAP终结
图 4‑ 113 终端认证方式
“EAP 终结:EAP-TLS” 是指由NAC来完成 EAP-TLS 认证过程。EAP-TLS 协议是在 EAP 协议框架上,使用 TLS 协议来完成身份认证,密钥交换功能。TLS 协议也是 HTTPS 协议的核心。因此 EAP-TLS 可以视为与 HTTPS 协议具备同等的安全性。
EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份。并使用非对称加密方式,在无线客户端及认证服务器间安全地协商数据加密密钥,保证无线数据传输的机密性及完整性。
由于使用了基于证书的身份验证方法,避免了基于密码认证方法所存在的由于密码泄漏,密码强度低等原因导致的密码被猜测或暴力破解的风险。因此 EAP-TLS 提供了目前无线认证中,最安全的认证方法。缺点是所有客户端都需要安装个人证书,部署比较复杂。
3、服务器证书(向无线用户证明身份)
在 EAP-TLS 身份验证过程中,服务器使用此证书创建 TLS 连接,并向客户端计算机证明身份。客户端可以选择验证此证书的颁发者及主题名称,来保证连接到正确的企业无线网络中,避免连接到由攻击者伪造的同名恶意网络导致的安全风险。
由于系统自带的服务器证书未被客户端信任,在 Windows 系统客户端中,如果无线网络配置选择了"验证服务器证书",将导致客户端无法连接无线网络。因此需要了解关于服务器证书的要求,如果有必要,需要考虑向商业证书颁发机构购买证书。
4、CA 证书
用于检查客户端合法性的 CA 证书。客户端提交的证书将要求由此 CA 颁发,并通过此 CA 配置的有效性检查选项。
5、EAP 终结:PEAP-MSCHAPv2
“EAP 终结:PEAP-MSCHAPv2” 是指由NAC来完成 PEAP-MSCHAPv2 认证过程。
EAP-MSCHAPv2 是基于密码的认证方法,最初是由微软设计用于为拨号及 VPN 连接提供更安全的认证方法。虽然 EAP-MSCHAPv2 提供了更安全的认证方法,但存在的安全弱点是,如果攻击者能监听 EAP 报文,则可以通过离线的字典攻击,分析用户的密码。
把 EAP-MSCHAPv2 跟 PEAP 结合一起使用,得益于 PEAP 内部创建的 TLS 隧道所提供的健壮安全性,EAP-MSCHAPv2 的交互过程可以得到加密保护,从而防止了攻击者通过离线字典攻击方式来分析用户密码的安全弱点。
PEAP-MSCHAPv2 协议,由 2 个阶段组成:
阶段 1,PEAP。首先协商 PEAP 协议,创建一个只使用服务器证书的 TLS 隧道。在这个阶段中,客户端可以选择验证服务器证书,并检查服务器端证书的主题、颁发者等证书信息,完成对服务器证书的认证,避免连接到一个由攻击者创建的,名称相同的无线网络中导致的安全风险。
阶段 2,EAP-MSCHAPv2。在 PEAP 协议的 TLS 隧道内部,协商另外一个 EAP 方法,这里为:EAP-MSCHAPv2。在这一步中,客户端需要提供用户名及密码凭据,以完成对客户端的身份验证。验证完成后,RADIUS服务器,会为每个客户端生成不同的会话密钥,以对接入点与无线客户端之间传输的无线数据包进行加密。
6、服务器证书(向无线用户证明身份)
在 PEAP-MSCHAPv2 协议阶段 1 中,服务器使用此证书创建 TLS 连接,并向客户端计算机证明身份。客户端可以选择验证此证书的颁发者及主题名称,来保证连接到正确的企业无线网络中,避免连接到由攻击者伪造的同名恶意网络导致的安全风险。
由于系统自带的服务器证书未被客户端信任,在 Windows 系统客户端中,如果无线网络配置选择了"验证服务器证书",将导致客户端无法连接无线网络。因此需要了解关于服务器证书的要求,如果有必要,需要考虑向商业证书颁发机构购买证书。
7、允许登录用户
选择允许连接无线网络的组,默认选择根组,也就是所有本地用户都允许通过认证,并连接此无线网络。
8、RADIUS 服务器冗余
使用 RADIUS 中继模式下,允许配置多个 RADIUS 服务器,实现认证服务器的故障冗余备份。
访客认证
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场、交通枢纽、医院、酒店、商场、学校等地方。
图 4‑ 114 访客认证
VLAN设置
VLAN配置是为了更好的实现无线终端的控制和管理,进行无线VLAN的划分;无线VLAN划分与有线网络VLAN的划分是有一些差别的,无线VLAN的划分以及VLAN之间的数据处理,是由AP和NAC针对无线网络用户进行管控和路由的,而AP和NAC之间是由隧道封装的。所以当采用集中转发时,无线VLAN的标签是在AP与NAC中间的隧道内。当本地转发数据时,配置VLAN,无线数据标签由AP打上标签转发出去。
图 4‑ 115 VLAN设置
用户认证成功后,系统将提取出用户此次认证过程的所有属性,主要包括:用户名,所属组,接入的 AP,RADIUS 服务器返回的属性值,用户的 LDAP 属性值,证书中的属性值等。然后从上往下,按优先级方式查找角色以及 VLAN 分配规则表,如果用户的属性匹配上规则的条件,则根据规则中的设定值,为用户分配角色或 VLAN。
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。如果用户未匹配规则表中的任何规则,则使用设定的 "默认角色" 和 "默认 VLAN"。
图 4‑ 116 基于规则的VLAN设置
权限设定
【权限设定】主要用于设定终端通过认证后,具有访问网络资源的权限,角色包括访问控制策略、审计策略、流速限制策略、流量与时长控制策略,可以根据AP组,无线终端用户组等信息详细的配置角色策略,可以根据SSID设置一个默认的角色,配置如下:
图 4‑ 117 权限设定
网络质量感知
Turbo Sense AP通过AI射频模拟终端的方式,检测了终端接入、DHCP获取地址、网关检测、DNS解析、网络地址检测五大阶段,全方面的判断无线网络的质量,并对收集到的信息进行分析。开启网络质量感知功能会占用部分IP地址,请确保地址池有充足的地址可供使用(每个Turbo Sense AP最多占用4个IP地址)。
图 4‑ 118 网络质量感知
应用节流
有利于节省您的网络带宽资源,提升终端浏览/下载体验。如果您使用了APP推广,推荐开启APP下载加速。
图 4‑ 119 应用节流
高级选项
1、认证后跳转
认证后跳转功能是指启用WEB认证后,帐号认证用户与访客认证用户通过认证后调整的页面,默认跳转到认证前浏览的页面,可以设置固定的URL,配置如下:
图 4‑ 120 认证后跳转
还可以根据不同用户所在AP组的位置,以及用户组的方式指定认证跳转的页面,配置如下:
图 4‑ 121 基于规则的认证后跳转页面
用户计费
可针对WEB认证账号认证和访客认证的用户添加计费服务器进行计费。
图 4‑ 122 用户计费
限制账号在多个终端同时登录
限制帐号同时登录的终端数,比如只允许帐号在一台终端上登录,不允许在多台终端上登录,就类似私有帐号与公有帐号的区别。
图 4‑ 123 限制账号
WEB接入MAC免认证
Web接入MAC免认证针对WEB认证的账号认证及访客认证有效,在该列表中排除的终端,连接无线后将不需要进行WEB认证直接分配对应角色。
图 4‑ 124 WEB接入MAC免认证
5.2.2无线网络自动配置
无线网络自动配置,为了快速便捷的部署无线网络,便于管理员维护,可以在此配置无线网络自动配置,具体配置页面如下:
图 4‑ 125 无线网络自动配置
用户证书注册服务:“证书注册服务” 是无线网络自动配置方案的一部分。在部署基于证书认证,且使用内置 CA 颁发用户证书的无线网络时,需要启用 “证书注册服务”,使得 “自动配置工具” 能为用户自动申请并安装个人证书,才能完成无线网络的自动配置。
5.3.1无线负载策略
按接入点分组划分出一个区域,控制该区域的终端接入时是否优先接入5.8g频段、是否开启接入点间负载均衡和动态负载引导,也可以控制该区域的射频是否需要射频信号覆盖补偿。
图 4‑ 126 无线负载策略
优先接入5.8G频段
用来引导双频无线客户端优先接入无线环境中的5.8G网络,勾选后,可以提高5.8G网络的利用率。
接入点间负载均衡
客户端连接无线网络时,如果同时探测到多个接入点的信号,通常会选择连接信号强度最高的接入点。这可能会导致相邻的几个接入点间,负载不平衡,例如某个接入点服务了大量的用户,但临近的另外一个接入点仍然比较空闲。
启用接入点间负载均衡功能后, 在用户接入网络时,如果已连接用户数超过指定值时, 将会执行负载均衡(当无线客户端连接到某个繁忙的接入点后, 此接入点将拒绝该客户端接入, 迫使无线客户端漫游到一个附近较空闲的接入点。 如果拒绝失败,则会使用漫游引导报文, 引导无线客户端漫游到人数较少, 信道利用率较低的接入点),以平衡接入点的负载。 负载均衡操作只会在物理上邻近,且处于相同分组的接入点间进行。
符合较空闲的接入点必须满足两个条件:
检测到无线客户端信号强度大于等于页面上配置的信号强度阈值;
邻居接入点上的接入人数减去该接入点上接入人数的差值大于页面上配置的接入人数差值。比如: 邻居接入点上的接入人数为10,页面上配置的接入人数差值为3,则此时该接入点上的接入人数应该小于等于10-3=7。
动态负载引导(防终端粘滞)
图 4‑ 127 参数配置
动态负载引导功能是指终端距离接入点较远时,接入点主动使终端发生漫游,提高终端上网体验。即接入点检测到的终端的信号强度小于信号强度阈值,并且该终端的无线流量小于阈值流量时,接入点会使终端发生漫游。 仅使用1台AP时不建议启用该功能。
1、负载参数:只有负载参数同时满足时,优先接入5.8G频段和接入点间负载均衡才会被触发。
2、人数阈值:接入点上达到的在线用户数,建议取值为10。
3、人数差值:用来决策可接入的邻居接入点,建议取值范围[1,5]。AP部署密度较大时,取值越大体验越好;AP部署密度较小时,取值越小体验越好。
4、信号强度阈值:用来决策参与负载均衡的邻居接入点, 建议取值范围[-90, -70]。AP部署密度较大时,取较大值效果较好;AP部署密度较小时,取较小值效果较好。
5、总信道利用率:用来决策参与负载均衡的接入点,建议取值范围为[60,90],其中:总信道利用率=环境中的信道利用率+自身信道利用率。
6、弱终端参数:只有弱终端参数同时满足时,动态负载引导才会被触发。
7、智能射频:射频信号覆盖补偿,接入点异常/离线时,由邻居接入点自动放大功率进行信号覆盖。
5.3.2无线优化策略
射频提速功能可以减少无用的广播包转发至无线终端,增加无线的传输的稳定性,并有效的提高无线终端的数据传输效率。包含广播优化,电子书包优化功能。
图 4‑ 128 射频提速
启用用户间平均分配带宽:同一无线接入点上同一频段的所有无线终端用户之间带宽分配权重相同,当无线接入点传输带宽不足时,每个终端占用的无线时间保持基本一致;带宽足够时,用户带宽将不受此限制。建议关闭掉。
ARP转单播:从有线测到无线终端的ARP广播包,在NAC和AP有记录的ARP对应表会转为单播,而不再采用广播数据,提高数据的传送效率
禁止DHCP请求发往无线终端:对于无线测的终端,默认是以上网类的PC、平板、智能手机等终端,默认不包括DHCP服务器的,所以启用该功能可以有效抑制DHCP请求包发往无线终端测,提高传输效率。
禁止mdns发往无线终端:mdns报文用于在没有传统dns服务器的情况下广播发现局域网内的主机。目前苹果系统的产品支持较多,如果要使用类似Bonjour这样的软件,请在使用的vlan不开启禁止功能。
禁止nbns发往无线终端:windows系统的名称解析协议的数据包,在局域网内一般会大量存在,严重时会影响用户的上网数据传输。
启用MAC白名单:允许源MAC地址在白名单内的mdns、nbns包发往无线侧。
电子书包多播优化功能:对于默认的802.11协议中,对于广播数据是有一定速率限制的,为了适应新环境下的网络需求,有效且合理的提升了广播包的发送速率,增加了无线终端发送速率。
5.3.3无线漫游域
1、无线漫游域主要解决的客户问题:
(1)终端跨VLAN漫游时,偶尔会出现终端没有重新获取IP地址的情况,导致无法上网;
(2)终端跨设备跨VLAN漫游时,偶尔会出现终端没有重新获取IP地址的情况,导致无法上网。
2、给客户带来的价值
终端在跨VLAN漫游和跨设备漫游时,可以继续上网。
配置方法
网关漫游域对集中转发生效。漫游域针对组网需要跨VLAN漫游的情况,如组网不涉及跨VLAN漫游,则无需使用网关漫游域。
1、同网关漫游:终端在同一台网关上漫游
(1)存在如下集中转发的组网,为解决终端从接入点1漫游到接入点2能继续上网,漫游域配置如下。
图 4‑ 129 无线漫游域拓扑1
(2)网关漫游域的HA网络是给终端分配的VLAN和IP,将需要漫游的IP和VLAN写到一个漫游域中,终端连接无线网络VLAN31对应的地址段192.168.31.0,VLAN32对应的地址段为192.168.32.0,归属则选择本网关。
图 4‑ 130 网关漫游域配置
2、跨网关漫游
(1)存在集中认证且网点集中转发如图的组网,为解决终端跨网关漫游可以正常上网,漫游域配置如下:
图 4‑ 131 无线漫游域拓扑2
(2)添加漫游控制器的通信地址。
图 4‑ 132 漫游网关
(3)根据设备分配的VLAN配置控制器漫游域,将需要漫游的VLAN和IP地址写到一个漫游域中,终端连接网点1控制器上的接入点分配VLAN31的地址段192.168.31.0/24,终端连接网点2控制器上的接入点分配VLAN32的地址192.168.32.0/24。
图 4‑ 133 网关漫游域
3、控制器HA承载用户数
跨控制器漫游的时候,允许漫游回家乡控制器的最大用户数,如果漫游的用户数超过该阈值,则踢除用户让其重新连接,减轻家乡控制器压力。
图 4‑ 134 漫游选项
4、接入点漫游域配置方法。
接入点漫游域对本地转发生效。漫游域针对组网需要跨VLAN漫游的情况,如组网不涉及跨VLAN漫游,则无需使用漫游域。
(1)同网关漫游
1.存在如下本地转发的组网,为解决终端从接入点1漫游到接入点2能继续上网,漫游域配置如下:
图 4‑ 135 无线漫游域拓扑3
2.根据VLAN分配的地址配置接入点漫游域,将需要漫游的IP和VLAN配置在同一个漫游域中。终端连接一楼区域接入点分配VLAN31的地址段192.168.31.0/24,终端连接二楼接入点分配VLAN32的地址192.168.32.0/24。
图 4‑ 136 接入点漫游域
(2)跨网关漫游。
1.存在集中认证且网点本地转发如图的组网,为解决终端跨控制器漫游可以正常上网,漫游域配置如下:
图 4‑ 137 无线漫游域拓扑4
2.添加漫游控制器的通信地址。
图 4‑ 138 漫游网关
3.根据设备分配的VLAN配置控制器漫游域,将需要漫游的IP和VLAN配置在同一个漫游域中,终端连接网点1控制器上的接入点分配VLAN31的地址段192.168.31.0/24,终端连接网点2控制器上的接入点分配VLAN32的地址192.168.32.0/24。
图 4‑ 139 接入点漫游域
5.3.4无线灾备策略
认证类型包括【IP地址认证】和【web 认证】。IP地址认证,无须认证即可连接到网络。Web 认证,web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。 有线认证配置类似于4.5.1节所提无线网络配置,可参考4.5.1节配置。
5.4.1射频高级配置
射频通用配置
当选择不同的国家码时,AP可以工作的频率范围是不一样的,可以根据当地法律选择不同的国家码。
国家码:国家码用来标识使用射频所在的国家,它规定了射频特性,如功率和可用的信道。在配置设备之前,必须配置正确的国家或区域码。
信道扫描时间:工作在 Hybrid 模式的接入点,信道扫描操作将被限制在设定的扫描时间范围内。
智能射频中的功率及信道自动调整功能,需要依赖于能收集到每一个接入点附近的无线电环境信息,以提供决策依据。为了采集无线电环境信息,接入点有 2 种部署方式选择:
1、部署大量的 Monitor 模式的接入点,以完成对无线电环境的信息收集工作。
2、把接入点工作模式设置为 Hybrid。
Hybrid 模式下,接入点在工作信道上传输无线网络数据,但每隔一段时间,会短暂切换到其它信道上,监听此信道的无线电信息。默认配置情况下,每工作 1 分钟,会选择一个信道,并切换到此信道监听 200 毫秒。
在监听的过程中,由于信道已经切换,接入点将无法发送和接收无线网络数据包,可能会导致短暂的数据包丢失。如果部署的无线网络为关键网络,无法容忍短暂的数据丢失,可以通过修改此选项,限制接入点只允许在空闲时间段,例如非工作时间才执行信道扫描操作。
射频控制策略:射频控制策略中,网络管理员根据时间计划来定时关闭和开启射频,防止用户在无人管理无线网络的情况下非法操作,提高无线网络的安全性。 同时还可以根据实际情况配置例外的无线网络,即配置不需要定时关闭和开启的无线网络。
图 4‑ 140 射频通用配置
整网信道调优
整网调优会根据算法优化AP的信道,通过错开相邻AP之间的信道,减小AP之间的干扰,从而优化用户的上网体验。
整网调优之后,2.4G会调优至1、6、11信道上,5G会调优至对应带宽所在的信道,调优之后AP的带宽保持不变。调优方法分为两种,分别是定时调优和立即调优。
定时调优:定时调优可选择对应区域和生效对象,调优方式可分为两种:每天定时调优和每周定时调优。
立即调优:立即调优可选择对应区域和生效对象,调优效果同定时调优。
图 4‑ 141 整网信道调优
5.4.2同频部署
同频部署是针对医疗查房及工厂车间等对无线连接的稳定性有较高要求的应用场景提供的无线漫游解决方案,为生产终端提供零漫游的无线网络覆盖。终端在零漫游的无线网络中自由移动时,保障业务流量不中断。此功能致力于解决终端在传统蜂窝部署的无线网络中因位置移动产生漫游而导致的业务中断问题,提高行业用户的生产效率。
图 4‑ 142 同频部署
同频服务组是配置零漫游无线网络(同频无线网络)的基本组。新增同频服务组时,需要指定同频频段、选择同频接入点。零漫游无线网络配置时选择相应同频服务组配置即可。
零漫游无线网络(同频无线网络)可以在2.4G和5.8G两个频段建立零漫游的无线网络,分别同时支持WPA/WPA2(企业)、WPA-PSK/WPA2-PSK(个人)等多种认证方式,满足客户不同生产场景下的设备接入要求。
5.4.3定位服务器
开放接口包括定位服务器,目前NAC做定位需要结合第三方定位厂商一起做定位,我们的无线仅提供底层信息数据支持。
图 4‑ 143 定位服务器
针对自己拥有定位算法的客户,我们提供了定位所需的数据。
配置定位服务器,可以获取的信息:AP的MAC地址、STA的MAC地址、射频类型、无线信道、终端类型、是否关联上AP、关联AP的MAC地址、信号强度RSSI、底噪noise floor等。开启此功能需要开启定位服务器序列号。
『证书管理』是用于管理【外部CA】和管理【服务器证书】。配置证书管理后,可以在【接入点配置】-【无线网络】中选择认证方式属于“企业”方式认证的时候,启用证书方式认证。证书方式认证,大大加强了企业无线用户终端的安全接入。
图 4‑ 144 证书管理
证书可以新增【外部CA】、【服务器证书】
外部CA证书
【添加外部CA】主要是通过在线方式去检测证书的有效性,不需要把用户认证证书导入到NAC设备上,当无线终端采用证书方式认证的,NAC主动去与服务器进行交互认证。验证证书用户的有效性。
【证书】:导入外部CA的根证书。
【编码】包括:UTF-8、UCS-2、GBK、GB2312、BIG5,指明该CA所颁发用户证书的编码格式,让NAC能正确提取用户证书的信息,如选择了BIG5,但选择的证书是UTF8,则会显示不正确。
【用户名属性】CN、Email前缀、OID,用户认证成功后用指定的属性值显示为登录用户名。
【检查证书撤销列表】通过CRL文件或在线查询被吊销的证书。
【导入CRL文件】:CRL文件可以简单的理解为一个记录了用户证书序列号的文件,该文件由CA签发发布,记录了的证书序列号表示该证书已经失效。也就是CRL里面记录的证书序列号表示由这个CA签发的证书并且序列号在CRL文件里面的都已经是无效了的证书。
【在线证书状态查询】一般CRL文件并不是每天都发布,而是周期性的发布,而在这个周期内有可能其他证书被吊销了,所以可以配置在线证书状态实时去查询证书的有效性
【检查OCSP服务器回应的消息签名】导入OCSP服务端签名证书的公钥,主要检测OSCP数据在传输过程中是否被篡改。
图 4‑ 145 外部CA证书
服务器证书
配置服务器证书,是为了让无线终端用户反向认证服务器是否合法,可以配置服务器证书,服务器证书可以通过2种方式生成。【导入一张证书】和【创建一个证书请求】,如下图:
【导入一张证书】直接将已有的服务器证书的公钥私钥一起导入到设备里面。如果证书采用了密码,需要使用密码后,才可以正常导入。
【创建证书请求】:填写用户信息,包括国家、省份、城市、公司、部门、颁发给、邮箱、并设置密码长度,就可以创建一张证书请求文件:
证书请求文件需要让CA签名,附上签名数据,有效期后,点击【处理未决的证书请求】再把证书导入到设备中,就可以在设备生成一张完整的服务器证书了。
内置CA颁发证书:由内置颁发证书,填写用户信息,包括国家、省份、城市、公司、部门、颁发给、邮箱,可以设置由NAC内置CA中心颁发的服务器证书。对于不同的SSID认证,可以设置不同的服务器证书。初次使用内置CA颁发证书前,需要对内置CA进行初始化。
图 4‑ 146 服务器证书
6.2.1交换机有线认证
选择认证对象类型:支持基于端口与基于VLAN提供网络接入服务。
认证端口组:只在选择的认证端口组上提供网络接入服务。
认证类型:WEB认证、802.1X认证
图 4‑ 147 交换有线认证
WEB认证
WEB认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
认证方式:提供在当前网关上做Portal认证和对接第三方Portal服务器认证的功能,这两种认证方式均需要用户先登录认证页面,输入用户名和密码进行认证,认证成功后才可以访问网络资源。
图 4‑ 148 WEB认证
802.1X认证
支持802.1x协议作为局域网端口的接入控制机制以解决以太网内认证和安全方面的问题。
图 4‑ 149 802.1X认证
在局域网接入设备的端口或者VLAN这一级,对所接入的用户设备进行认证和控制。连接的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
终端验证:检查终端 MAC 黑名单、检查终端 MAC 白名单、免认证终端
MAC 黑名单对象定义了不允许连接网络的终端 MAC 地址列表。配置认证策略时,可设置为不允许 MAC 黑名单的终端连接网络。
检查终端 MAC 白名单:MAC 白名单对象定义了允许连接网络的终端 MAC 地址列表。配置网络时,可设置为允许 MAC 白名单的终端无需认证,直接接入网络。
免认证终端:配置不需要进行认证的终端MAC, 也可以配置不需要进行有线认证的交换机,并可分配免认证的角色。
两者的区别在于:
在当前网关上做Portal认证采用网关内置的Web服务器,采用内部Portal认证推送页面,用户通过账号和静态密码方式进行认证,部署简单,适合小型无线环境。
对接第三方Portal服务器认证认证采用外部WEB服务器,自定义Portal认证推送页面和认证成功跳转页面,搭配外部认证服务器、短信服务器,可以实现静态密码、短信动态密码等多种认证方式,并可实现广告推送等业务。
角色及 VLAN 设置:角色中定义了用户的网络访问权限,VLAN 定义了用户的子网。不同用户连接到网络后,可以设置不同的角色及 VLAN,从而实现子网划分,以及对网络权限的灵活控制。
系统将为每一个接入网络的用户分配唯一的角色及 VLAN。
角色分配及 VLAN 分配规则:用户认证成功后,系统将提取出用户此次认证过程的所有属性,主要包括:用户名,所属组,接入位置,RADIUS 服务器返回的属性值等;按照规则优先级从上往下,为用户分配角色或 VLAN。
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。如果用户未匹配规则表中的任何规则,则使用设定的 "默认角色" 和 "默认 VLAN"。
规则设定说明:
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。
规则的值中,可以输入或者选择多个值,多个值间以英文逗号隔开。只用满足这些值中的一个,即视为满足此条件。
规则中的条件,可以选择"赋值给"。也就是把用户的属性值中保存了用户的角色及 VLAN。例如 RADIUS 的 Tunnel-Pvt-Group-ID 中,可能保存了用户的 VLAN。
6.2.2接入点有线认证
接入点有线认证,主要指接在AP上的有线用户的认证方式,不包括在NAC上进行有线认证的用户。
图 4‑ 150 接入点有线认证
基本配置:可以配置认证策略的名称,选择接入点(分组),只在选择的接入点(或分组)上提供网络接入服务。
数据转发模式: 集中转发模式中,接入点(AP)与NAC之间建立2层的数据隧道,用户的所有网络流量,通过此隧道传输到NAC,NAC再把流量转发到有线网络中。最简单的方法,可以把此模式理解为:相当于用户直接连接到NAC。
本地转发是指用户的网络流量,由接入点(AP)直接转发到有线网络(不经过NAC)。最简单的方法,可以把此模式理解为:接入点的无线用户直接连接到了接入点(AP)上联网卡所连接的有线网络。
认证类型 :认证类型包括【IP地址认证】和【web 认证】。IP地址认证,无须认证即可连接到网络。Web 认证,web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
6.3.1本地用户
在未部署集中的账号数据库或认证服务器的环境中,无线网络的身份验证方法可以设置为本地用户认证。
图 4‑ 151 本地用户
用户组:本地用户数据库支持多级的组织结构树,可按照企业实际组织结构划分组,并进行分级管理。
用户名:用户名是账号的唯一标识,不同用户间不允许重名。用户身份验证过程中,需要输入此名称。
显示名:用户名由于要求唯一性,因此在部分部署环境中,用户名被设置为诸如员工工号等可读性较低的名称。这种情况下,可以把显示名设置为员工的姓名。系统将在“在线用户列表”等显示用户名的地方,同时显示账号的用户名及显示名,以更直观的对账号进行管理。显示名可以留空,不同用户的显示名允许重名。
描述:对账号的描述,选填。
过期时间:指定账号的过期时间点,过期后将无法通过身份验证。
登录时必须修改初始密码:本地账号是由管理员创建的,为了简化管理,不同账号的初始密码可能相同,这带来了严重的安全问题。选择此选项将要求账号在首次登录时,修改初始密码。
手机账号用户:适用于终端使用手机号码自助激活账号的场景。由用户在终端认证页面选择自助激活,管理员无需配置账号密码,用户在激活时自己设置密码。手机账号用户同时也支持短信二次认证。
邮箱绑定用户:适用于在用户忘记密码时,在终端认证页面上选择找回密码,系统将发送该用户的密码到绑定的邮箱。如果管理员在创建账号的时候未设置绑定邮箱,则由用户在首次登录的时候自己设置一个邮箱地址。
批量导入导出:csv 为通用表格文件格式,几乎所有的电子表格软件都支持此格式,例如 Microsoft Excel。在大量用户的情况下,通过 csv 表格文件管理,并导入到设备中,可以简化用户管理操作。导入的表格文件列顺序及格式等,参考导入界面中的示例文件。
6.3.2访客账号
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
通过访客认证的终端信息护记录在访客账号里。
图 4‑ 152 访客账号
6.3.3人脸信息
用于新增人脸账号并绑定底片。用户名必须在认证服务器中存在。
图 4‑ 153 人脸信息
6.3.4多因子绑定
设置用户与终端绑定信息,相关的验证设置请在认证选项/策略中开启。支持终端绑定功能的有无线网络认证、有线认证和Portal服务认证策略。
图 4‑ 154 多因子绑定
6.4.1Portal服务
控制器可作为Portal服务器为第三方设备提供Portal认证服务。
图 4‑ 155 Portal服务
服务器参数:
NAC内置Portal服务器,Portal服务器运行的必要参数。
协议端口:Portal服务器监听的协议端口。
服务器通信IP:当前控制器的通信IP,双机部署时建议配置为VRRP中的虚拟IP。
认证页面端口:默认是80,配置为非80端口时,客户端配置Portal服务器的URL时需要带上端口号。
在线用户同步时间(分钟):Portal服务器主动向客户端同步用户的时间,针对Aruba和Cisco设备。
在线用户保留时间(小时):超过保留时间,注销所有的在线用户。
Portal页面超时重定向地址:Portal页面超时(在URL参数中设置时间戳参数)后系统自动重定向的地址.
WEB认证策略:
WEB认证策略给当前控制器的有线认证,第三方的Portal客户端(包括信锐控制器)对接时,配置认证页面、认证方式、权限设定方面的信息。
图 4‑ 156 WEB认证策略
策略类型:分为外部Portal服务器认证策略、控制器有线认证策略和交换机有线认证策略。外部Portal服务器认证策略是指给当前设备的无线网络对接第三方(包括信锐控制器)的Portal客户端对接。控制器有线认证策略是指给当前控制器的有线策略提供对接。交换机有线认证策略是指给安视交换机的有线策略提供对接。
协议:当前Portal服务器支持对接的设备厂商类型和协议版本。不在列表里面的请选择Portal2.0标准协议。
身份验证:身份验证方法,包括PAP和CHAP,这里的配置需要和客户端配置的RADIUS服务器的身份验证方法保持一致才能认证成功。
认证URL:需要将这个URL拷贝到Portal客户端的认证URL里面去,客户端配置的和这里的不一致时,将会认证失败。
参数设置:Portal客户端的认证URL里面携带的参数的名称。
开启本地认证(在控制器进行用户认证):Portal2.0协议里面,Portal服务器和认证服务器可以分开配置。当Portal服务器启用了访客认证时,客户端的RADIUS服务器需要配置为当前控制器。
权限匹配:Portal服务器对接有线认证时,权限匹配的结果就是有线认证的角色。提供给第三方设备Portal对接时,匹配到的角色将会通过RADIUS报文中的Class字段,以字符串的形式返回给RADIUS客户端。
6.4.2RADIUS服务
Radius服务器负责接收客户端的连接请求、认证用户,然后返回客户端所有必要的配置和认证信息。
图 4‑ 157 RADIUS服务
Radius客户端
NAC作为Radius服务对客户端进行认证和计费时,需要配置信任的客户端;
NAC作为Radius客户端需要配置认证的服务器时请在外部服务器进行配置。
图 4‑ 158 新增RADIUS客户端
1、Radius客户端—名称:Radius客户端的名称,用于区分不同的Radius客户端。
2、Radius客户端—IP地址:客户端的IP地址,双机部署时建议配置为VRRP中的虚拟IP。
3、Radius客户端—用户名编码:服务器和客户端之前数据传输的编码类型,两端的编码一致才能保证验证的有效性。
4、Radius客户端—共享秘钥:客户端和服务通过该共享密钥建立信任,两端密钥一致才可以建立信任。
5、Radius客户端—其他选项:当勾选了“请求必须包括消息验证程序属性”表示请求的消息必须包含Message-Authenticator属性。
6、高级选项:配置Radius服务器的认证和计费端口,必须与客户端配置的端口一致。
图 4‑ 159 RADIUS高级选项
连接请求策略
认证的的策略配置,连接请求策略有优先级,当优先级高的策略为允许策略时,配置失败则不通过验证,当优先级高的策略为拒绝策略时,配置失败时则跳转至下一策略进行验证。
图 4‑ 160 连接请求策略
1、规则条件:通过传输Radius属性的值进行匹配。
2、策略动作:允许或者拒绝匹配该策略的用户通过认证。
图 4‑ 161 新建策略
认证的协议的选择,为了保证认证的有效性,请确保选择的身份验证方法包含了需要处理的认证协议类型。
图 4‑ 162 用户数据库
1、用户数据库:选择认证数据的数据库(数据库需在在外部数据库进行配置)。
2、删除用户名前/后缀:可以定义用户名的前、后缀,验证的用户名会删除定义的前、后缀再进行验证。
多因子认证
可以启用、禁用新终端需要TrustSpeed审批。启用[新终端需要TrustSpeed审批]功能后用户接入网络需要在TrustSpeed内进行二次生物识别授权验证,以增加账号的安全性。授权方式分为:[直接授权]、[人脸识别]、[faceID/touchID/手势识别]、[人脸识别、faceID/touchID/手势识别]。
直接授权:APP内点击无线网络、审核消息、扫描二维码,无需生物识别验证而直接通过授权。
人脸识别:APP内点击无线网络、审核消息、扫描二维码,需校验人脸识别验证授权。
faceID/touchID/手势识别:APP内点击无线网络、审核消息、扫描二维码,需校验faceID、touchID、手势识别中的1种方式验证授权。
人脸识别、faceID/touchID/手势识别:APP内点击无线网络、审核消息、扫描二维码,需先人脸识别,如果人脸失败则校验faceID、touchID、手势识别中的1种方式验证授权。
图 4‑ 163 多因子认证
返回属性
RADIUS服务器端[返回属性]功能是用于让RADIUS客户端可以根据返回的属性值,做一些角色匹配、VLAN分配等等附加功能。
支持按规则配置返回属性和默认返回属性两种方式。
例如:客户端希望用户[张三]在服务端认证完成后以RADIUS属性Filter-Id返回一个角色[role1],用于分配该用户的上网权限为[role1]。
按规则返回属性中添加如下条件:属性:RADIUS User Name 定义:等于 值:字符串[张三]
满足条件后返回属性:属性:Filter-Id 值:字符串[Role1]
属性标识:用于定义RADIUS客户端返回的哪种属性值用于给RADIUS服务器的在线用户显示角色、VLAN对应字段。
图 4‑ 164 返回属性
单点登录
将此认证策略下的用户认证信息转发到其他设备。
图 4‑ 165 单点登录
6.4.3TrustSpeed服务
用于配置人脸识别认证相关功能。
图 4‑ 166 TrustSpeed服务
6.4.4认证漫游域
认证漫游域主要解决如下问题:
1、客户有多台不同厂商的portal客户端,终端在客户端A上认证成功后,漫游到控制器B后需要重新认证;
2、客户的第三方设备级联到控制器的接口做有线认证后,漫游到控制器的其他ssid上后需要重新认证。
配置认证漫游域后,支持终端在不同类型的portal服务器上漫游;支持不同类型认证方式之间的漫游。
图 4‑ 167 认证漫游域
只有相同的认证服务器的认证策略才能添加到一起,并且只支持账号认证,访客认证本身就支持漫游。
『认证授权』包含【角色授权】、【Web认证】、【微信认证选项】、【外部服务器】、【单点登录】、【本地转发应用策略】。
图 4‑ 168 认证授权
6.5.1角色授权
『角色授权』定义了用户可以访问网络的各种权限设定,包括【角色授权】、【无线访问控制策略】、【用户审计策略】、【流速限制策略】、【流量/时长配额策略】。
图 4‑ 169 角色授权
角色授权设置好后,并没有立刻被使用生效,需要在【SD-WLAN】-【无线网络】-【编辑无线网络】-【权限设定】中调用角色,匹配给无线用户。
图 4‑ 170 权限设定
另外【有线认证】-【交换机/接入点有线认证】-【权限设定】可以定义了经过交换机或AP的有线用户的角色,如下图:
图 4‑ 171 有线认证权限设定
角色授权可以新增角色,然后调用右侧已经建立成功的访问控制策略、用户审计策略、和流速限制策略、以及流量/时长配额策略,也可以在角色授权中调用新增其他策略。
访问控制策略
访问控制策略主要是用来限制无线终端用户可以访问的网络权限,一般网络设备设置网络权限会有LAN区域和WAN区域的划分,WLAN不设置LAN区域和WAN区域的划分,只需要设置【用户发起】和【用户接收】2个方向即可,配置策略还需要调用到对象定义中的【服务】、【应用】、【IP组】以及【时间计划】。
图 4‑ 172 访问控制策略
[编辑访问控制策略]:可以新增多条访问控制策略,并且可以设置不同的优先级,策略会依次从上往下匹配。
图 4‑ 173 编辑访问控制策略
新增规则
图 4‑ 174 新增规则
图 4‑ 175 新增基于应用的规则
选择服务时,会调用【对象定义】中的服务,选择应用时,会调用【对象定义】中的应用。需要调用【应用】前,需要确保设备已经开启应用识别序列号,并且应用识别规则库与URL规则库需要处于最新状态。
图 4‑ 176 应用识别序列号
图 4‑ 177 更新库
URL规则库如果未处于最新状态,会影响基于应用的访问控制策略的正常生效,需要点击立即更新更新到最新版本。
用户审计策略
用户审计策略支持审计HTTP外发内容、访问网站/下载、邮件、FTP、telnet、网络应用、流量与上网时长。
图 4‑ 178 用户审计
HTTP外发内容,包括WebBBS发帖、外发的WebMail邮件、通过网页上传的附件,通过网页上传的文本,微博等方式。HTTP外发内容审计,不包括HTTPS方式的内容审计。
访问网站/下载,包括了URL规则库中所有类型的站点。邮件包括了标准的SMTP/POP3以及IMAP方式的邮件。FTP包括FTP上传文件,也可以被审计,超过50M的文件,只会截取前50M文件大小。对于采用SSL加密的内容无法审计,比如https与SMTPS/POP3S等内容。
流速限制策略
流速限制策略可以针对所有终端用户生效,包括有线与无线用户,但此功能只能限制用户的整体上行和下行的速率,无法根据应用进行流控,应用流控需要到【流控与安全】菜单下配置。该功能策略如下图:
图 4‑ 179 流速限制策略
流速限制策略可以对每一个终端进行流速限制,以避免部分终端的流速过大,影响整体无线用户体验。例如设定为发送最大限制为 512KB/s,则对使用此策略的每一个终端最大发送流速都将被限制为 512KB/s 秒。
流量/时长配额策略
流量/时长配额策略可以限制用户的上网时长和总流量大小,可以设置一个上网时长或者流量的阈值(上网的最大时长或者能使用的最大流量),可以设置当用户上网达到这个阈值后在配额控制周期内不能再次进行认证或者只封锁一段时间后可以重新接入网络。
图 4‑ 180 流量、时长配额策略
6.5.2Web认证
『Web认证』包括【访客认证】、【终端页面】、【应用管理】、【消息栏模版】、【语言管理】、【问卷题库】、【问卷分析】五个模块。
6.5.2.1访客认证
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
图 4‑ 181 访客认证
6.5.2.1.1短信认证
启用短信认证时,需要到【系统管理】-【短信服务】页面配置短信设备,包括采用短信猫,外置短信服务器或外置短信网关。
短信认证是指访问无线网络时,系统需要发送短信验证码到用户的手机上,用户输入验证码后,才能访问无线网络,此方式获取了访客用户的手机号码作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的手机号码,系统将把验证码发送到此手机。
4、认证页面中,输入短信中获取的验证码,通过认证。
短信认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
2、可以获取访客的手机号码用于后续的短信营销。
3、简化了访客连接无线网络的体验。
6.5.2.1.2邮箱认证
邮箱认证是指访问无线网络时,系统需要发送验证码及授权url发送到用户的邮箱上,用户输入验证码或者点击授权url后,才能访问无线网络,此方式获取了访客用户的邮箱地址作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的邮箱地址,系统将把验证码和授权url发送到此邮箱。
4、认证页面中,输入邮箱中获取的验证码或者点击授权url,通过认证。
邮箱认证方式的优点:
1、迎合了国外使用邮箱较多的习惯,提升用户体验。
2、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
3、可以获取访客的邮箱地址用于后续的邮件营销。
4、提供点击链接认证上网的方式,简化了访客连接无线网络的体验。
6.5.2.1.3微信认证
此方式通常用于商场、超市的无线网络认证,可以确保只有关注过指定微信公众账号的访客用户才具备无线网络访问权限。认证选项中,可以设置关注微信后,每次申请上网的有效期。
访客连接无线网络的过程如下:
连接到开放式的访客无线网络,例如无线网络名称为:Example-WeChat。
打开浏览器,访问任意网站,系统将把用户的浏览器重定向到指定的认证页面,点击认证页面上的微信连WiFi按钮跳转到微信完成微信认证。
PS:微信连WiFi相关参数需从微信公众平台后台获取后填入控制器。
6.5.2.1.4二维码认证
此方式通常用于企业的访客无线网络认证,可以确保只有经过二维码审核的访客用户才具备无线网络访问权限。认证选项中,可以设置审核通过后,访客可以访问无线网络的时长。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,显示一个二维码。
4、访客的接待人员,也就是企业的内部员工,使用手机连接到企业无线网络中,并具备审批权限。审批权限由无线网络配置中指定,可以设置哪些角色的用户具备访客审批权限。
5、接待人员,打开手机中的二维码应用,扫描访客的二维码,访客即通过审核。需要说明的是,目前很多流行的互联网应用都提供了二维码扫描功能,例如腾讯微信(用此软件的时候需要审核人角色必须能正常访问互联网,因为此软件二维码扫描的时候要访问互联网才能正常使用)和我查查。
6.5.2.1.5临时访客认证
此方式通常用于企业、酒店的访客无线网络认证,可以在访客登记后,接待人员创建一个临时帐号,并设置帐号的有效期。访客使用此帐号完成无线网络认证。
以酒店的部署场景为例,顾客连接无线网络的过程如下:
1、顾客在酒店前台登记入住。
2、酒店的前台工作人员,在访客管理系统中,为此顾客添加一个临时帐号,以手机号或者身份证号码作为帐号的用户名,密码为手机号码或身份证号码的后6位。帐号的有效时间设置为顾客的离店时间。
3、顾客连接到酒店部署的,开放式的无线网络,例如无线网络名称为:Example-Guest。
4、打开浏览器,访问任意网站,系统将把浏览器重定向到认证页面。
5、在认证页面中,输入此临时帐号及密码,完成无线网络认证。
6、顾客离开酒店后,帐号自动失效。
访客帐号通常并非由网络管理员管理,而是由负责访客接待的人员管理。因此,系统提供了临时帐号管理员,以区别于NAC的管理员。临时帐号管理员只允管理访客帐号,无法修改NAC的其它设置。
临时帐号管理员的登录地址与NAC管理员不同,登录地址为: https://设备地址/guest.php,例如:https://192.168.0.1/guest.php
6.5.2.1.6免用户认证
免用户认证是指访问无线网络时,访客无需认证,在广告页面点击登录按钮即可上网。
访客连接无线网络的过程如下:
1、连接到访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,用户点击登陆,直接上网。
免用户认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
简化了访客连接无线网络的体验。
6.5.2.2终端页面
【终端页面】分为“认证页面”、“移动应用下载页面”、“拒绝访问提示页面”。
图 4‑ 182 终端页面
6.5.2.2.1认证页面
“认证页面”用于设置无线用户接入无线网络后,设置WEB认证跳转的页面,系统内置了 Web 认证页面的模板,系统允许您在默认模版的基础上,自定义认证页面的标题,背景,LOGO 等。如果您熟悉 Web 开发,可以上传自定义的页面。
图 4‑ 183 认证页面
1、默认全屏显示竖向广告模板
图 4‑ 184 默认全屏显示模板
预览电脑认证效果图:
图 4‑ 185 默认PC端预览效果
预览手机认证效果图:
图 4‑ 186 默认手机预览图
2、自拟文字
图 4‑ 187 自拟文字
预览电脑认证效果图:
图 4‑ 188 自拟文字PC预览
预览手机认证效果图:
图 4‑ 189 自拟文字手机预览
3、瀑布流
图 4‑ 190 瀑布流
预览电脑认证效果图:
图 4‑ 191 瀑布流PC预览
预览手机认证效果图:
图 4‑ 192 瀑布流手机预览
4、半屏广告
预览电脑认证效果图:
预览手机认证效果图:
5、二级页面认证
图 4‑ 193 二级页面
预览电脑认证效果图:
图 4‑ 194 二级页面PC预览
预览手机认证效果图:
图 4‑ 195 二级页面手机预览
6、六宫格
图 4‑ 196 六宫格
预览电脑认证效果图:
图 4‑ 197 六宫格PC预览
预览手机认证效果图:
图 4‑ 198 六宫格手机预览
7、默认智能营销模版
智能营销模板支持更加丰富的区域显示规则,帮助营销人员结合天气环境情况,推送与顾客直观感受相吻合的广告内容,能让每个顾客看到与自己相关的"专属"信息,做到千人千面的展示效果。
支持一套模板多个门店使用,且不同门店展示不同广告内容。每个门店(单条显示规则)均支持引用接入点分组并配置多张广告图片,每张广告图片可以设定不同环境属性、用户属性、所在位置、推送时间进行智能展示。
支持每个显示规则引用不同的消息栏,以个性化的展示消息栏信息。消息栏信息可以在消息栏模板页面进行配置。
统一配置:在总部、多个门店场景下,可以启用统一配置,用于在指定生效时间内强制展示总部设定的广告内容,若部分门店不展示总部统一广告可以进行排除。
注:统一配置禁用或生效时间外,各门店恢复显示门店设定的独立广告内容。
页面效果图,参考“默认全屏显示竖向广告”。
8、简约风格模板
图 4‑ 199 简约风格
预览电脑认证效果图:
图 4‑ 200 简约版PC预览
预览手机认证效果图:
图 4‑ 201 简约版手机预览
6.5.2.2.2上传自定义页面
如果系统默认的认证页面还不能满足需求,还可以自定义页面,自定义页面需要下载“自定义模版示例”,按照示例标准进行上传页面
图 4‑ 202 自定义页面
6.5.2.2.3访问拒绝页面
当用户被访问控制策略拒绝时,可以启用页面返回,提示用户访问被拒绝,也可以自定义编辑。
图 4‑ 203 拒绝访问页面
6.5.2.2.4移动应用下载页面
当您需要做手机应用推广时,需要先创建一个移动应用下载页面。在无线网络设置认证后跳转页面,勾选APP推广,再选择此处创建的页面。如果您使用了APP推广,别忘了在无线网络设置中开启应用缓存加速,这将大大节省您的网络带宽资源,提升终端下载体验。当前适配IOS和Android移动终端,移动终端访问时可直接下载,PC端访问时将显示一个二维码图片,提示用户使用移动终端扫码下载。
图 4‑ 204 移动应用页面
6.5.2.3应用管理
应用管理用于配置各种社交软件做认证时所要对接的应用,以让不同社交软件的用户使用自己的社交账号接入wifi。同时支持like功能,实现商超客户的品牌推广,目前支持like的社交软件有Facebook,Twitter和Line。
图 4‑ 205 应用管理
6.5.2.4消息栏模版
消息栏的展示文字在终端页面的顶部,可以根据识别出的终端用户的系统语言,对应展示其相符合的语言文字。消息栏内容支持展示天气、室内外温度、湿度、PM2.5,使终端用户能直观在认证页面看到当前所处场所的环境信息。
通过修改内置消息栏模板文字,或者新增消息栏模板,可以由客户定义想要给终端用户展示的内容。
注意,此处的模板内容和语言管理中的语言模板内容相互独立,以便客户快速编辑。
图 4‑ 206 消息栏模板
6.5.2.5语言模版
有中文(简体)和英文两个默认模板,客户可以根据应用场景,添加语言模板,使终端认证页面显示出更多的语言。
在添加其他国家或者区域的语言前,需要先下载英文模板,然后在英文模板的json中,将对应的英文内容修改为需要展示的语言内容。
图 4‑ 207 语言管理
6.5.2.6问卷题库
图 4‑ 208 问卷题库
问卷推送前需要准备进行问卷的题目。
1、支持一次性把题目导入一个题库的功能。
2、支持一次性把题目复制到多个题库的功能。
3、支持一次性导出一个题库所有题目的功能。
4、支持数据清理功能,删除题库或题目可以清理对应题库或题目的统计数据。
5、支持更新数据功能,修改题目可以仅更新对应题目的统计数据而不清理数据。
6.5.2.7问卷分析
图 4‑ 209 问卷分析
题目分析
针对当前题库每道题目的用户答题情况进行分析,包括选项分布,终端类型,耗时分布。
名词解释:
选项分布:选择当前题目的各个选项的人数分布。多选题情况下,一个用户选了多个选项,被选的选项人数分布都会加1
终端类型:作答当前题目的用户终端类型
耗时分布:作答当前题目的用户耗费的时间
注意事项:
题目选项详情:图表中的驻留时间和WiFi使用时长指的是终端用户当次接入网络后作答某道题目所经过的时间,不是终端用户所累计的时间(举例:A在凌晨0点1分接入了无线网络,当A完成题目A的时候是凌晨0点3分,那么A的驻留时间就是2分钟)。
运营分析
展示单个题库的详细运营信息,包括推送结果分析、终端类型、题目推送次数排行、推送趋势、完成时长分布、对比分析等信息。
名词解释:
推送结果分析:
浏览量:当前问卷被浏览的数量
问卷提交率:问卷提交数/浏览量
问卷有效率:有效问卷份数/问卷提交数
平均完成时长:所有推送的问卷完成总时长/有效问卷份数
终端类型:作答当前题库推送的所有问卷的用户使用的终端类型
题目推送次数排行:当前题库组成的问卷中推送次数最多的题目排行
推送趋势:指定查询时间范围内,当前题库每天浏览量增减趋势
完成时长分布:当前题库推送的问卷中所有题目的完成耗时分布
对比分析:以ap分组为单位,以浏览量,问卷提交率,问卷有效率,平均完成时长为维度作对比
调查对象:在当前题库推送的问卷中作答的用户列表
6.5.3微信认证选项
微信连WiFi认证接口已于2019年8月19日停用,目前仅支持SIMPLE菜单认证方式。
6.5.4 外部服务器
『外部服务器』包括【认证服务器】、【虚拟服务器】
图 4‑ 210 外部服务器
6.5.4.1认证服务器
如果企业已部署集中的用户数据库,或者认证服务器,无线网络可选择使用外部服务器来完成用户身份验证。
使用WAPI企业认证的无线网络,需要在AS服务器上面进行用户身份的验证。
802.1x 认证的企业无线网络,支持使用 RADIUS 中继的方式,把认证请求中继到外部的 RADIUS 服务器,完成用户验证。web 认证的无线网络,支持通过外部的 RADIUS 服务器或 LDAP 服务器,完成用户身份验证。第三方PORTAL认证的无线网络,对接外部的PORTAL服务器完成认证。
图 4‑ 211 认证服务器
6.5.4.1.1Radius服务器
『新增Radius服务器』需要设置“名称”、“IP地址”、“认证端口”、“计费端口”、“超时”、“共享密钥”、“采用协议”、“编码”,可选配置“NAS_ID”、“NAS_IP”、“用户身份属性ID”,如下图:
图 4‑ 212 RADIUS服务器
设置Radius服务器的时候可以另外设置获“取用户属性”,企业级认证时,NAC会去用户数据库中去获取用户的组织结构,来作为无线终端的用户名和组织结构。这里可以选择与radius服务器对应的LDAP服务器。
6.5.4.1.2LDAP服务器
『新增LDAP服务器』:设置LDAP服务器需要设置“名称”、“类型”、“IP地址”、“认证端口”、“超时(秒)”、“Base DN”、“管理员DN”、“管理员密码”,可选填“计算机名”、“NetBIOS”,“用户属性名”、“用户身份属性名”、“过滤条件”和编码,如无特殊需求,保持默认即可。
图 4‑ 213 LDAP服务器
配置完成后,可以点击测试有效性,测试LDAP服务器是否配置正确,如果服务器IP配置以及用户名和密码都配置正确,会提示服务器可用,如下图:
图 4‑ 214 测试有效性
如果服务器IP或端口配置错误,会提示“服务器不可用,IP端口配置错误”。如下图:
图 4‑ 215 测试有效性
6.5.4.1.3Portal服务器
添加外部Portal服务器,可以实现无线用户通过外部Portal服务认证上网。设置Portal服务器需要设置“名称”、“认证URL”、“协议”、“URL参数”、“通信端口”、“身份验证”、“加密密钥”、“报文编码”。
图 4‑ 216 PORTAL服务器
认证URL:
PORTAL服务器的url为终端接入无线网络时,被重定向到的地址。其中urlid可以使用占位符来扩展,占位符为:,占位符的值可以在认证服务器->Portal服务器设置中配置。
认证URL支持配置为IP的形式和域名的形式。
认证IP:
Portal服务器的通信IP,会自动从认证URL中提取
协议:
对接的Portal服务器类型,类型不在里面的,请选择Portal 2.0协议
URL参数:
勾选某个参数类型,参数类型后面的输入框为自定义的参数名称。如勾选SSID,自定义名称为wlanssid,终端接入认证时,认证URL将会是:http://1.1.1.1:8080/portal/?wlanssid=xxx, ‘xxx”为终端接入的SSID名称。
图 4‑ 217 认证URL
远端Portal服务器配置:
图 4‑ 218 远端PORTAL服务器配置
网关通信IP:对接Portal服务器时,当前控制器作为Portal客户端,服务器会主动和当前控制器通信。通信IP是服务器主动访问客户端使用的IP。
双机环境下,建议配置为高可用性中对应VRRP备份组的虚拟IP。
URLID:URLID为对应WEB认证策略中认证URL中的URLID。
Portal协议端口:客户端监听的Portal服务端口。
RADIUS DM端口:RADIUS服务器主动下线一个用户时,使用的端口。
6.5.4.1.4AS服务器
AS服务器适用于WAPI企业认证的无线网络中,作为外部认证服务器。
图 4‑ 219 AS服务器
名称:AS服务器的名称
IP地址:AS服务器的 IP 地址
认证端口:服务器的认证端口,一般默认为3810
6.5.4.1.5口袋助理
口袋助理认证是指将口袋助理移动办公平台作为认证服务器,用户通过使用口袋助理上创建的上网账号完成认证,实现无线上网账号与口袋助理的对接,便于用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
图 4‑ 220 口袋助理认证
6.5.4.1.6阿里钉钉
阿里钉钉认证是指将阿里钉钉移动办公平台作为认证服务器,用户通过使用钉钉上创建的上网账号完成认证,实现无线上网账号与阿里钉钉的对接,便于用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
图 4‑ 221 阿里钉钉认证
6.5.4.1.7微信企业号
微信企业号认证是指将微信企业号移动办公平台作为认证服务器,用户通过使用微信企业号上创建的上网账号完成认证,实现无线上网账号与微信企业号的对接,便于使用微信企业号办公的用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
图 4‑ 222 企业微信认证
6.5.4.1.8数据库
目前NMC直接对接Oracle数据库、Mysql数据库以及Mssql数据库,实现帐号认证和企业级认证。
图 4‑ 223 数据库认证
1、基本配置
基本配置是用于连接数据库的信息。
图 4‑ 224 数据库对接基本配置
(1)名称:数据库认证服务器的名称。
(2)IP地址:数据库的服务器地址。
(3)端口:数据库服务器使用(监听)的端口。
(4)超时(秒):向数据库服务器查询用户信息时的查询超时时间。
(5)数据库名/SID:数据库中保存用户信息的数据库(数据库实例)的名称。
(6)管理员帐号:登录数据库的账号,该账号需要有查询“数据库名”指定的数据库的权限。
(7)管理员密码:登录数据库的账号对应的密码。
2、获取数据
用于配置获取数据库信息的SQL语句,支持6个字段信息的获取;
SQL语句中使用$$USERNAME$$代表用户登录名。
图 4‑ 225 获取数据
(1)密码(必填):用于查询用户的密码,作密码校验。portal认证支持明文、MD4、MD5、SHA1、NT-Password加密类型。企业认证支持明文、NT-Password。
(2)有效期和创建时间(可选):用于校验用户是否有效。如果只配置有效期字段,具体使用方法见[外部数据库获取创建时间和有效期]。
(3)用户组(可选):用于获取用户组做vlan匹配、权限匹配(无线网络配置)。支持中文编码,具体见[外部数据库对中文编码的支持]。
3、外部数据库对中文编码的支持
(1)用户名支持设置中文编码。
(2)用户组、自定义1、自定义2这三个查询字段支持使用中文编码。
(3)支持的中文编码格式如下(UTF-8是最为通用的格式;GBK是常用的简体中文编码格式,BIG5是常用的繁体中文编码格式):
ORACLE:支持UTF-8、GBK、BIG5
MYSQL:支持UTF-8、GBK、BIG5、GB2312
SQLSERVER:支持UTF-8、UCS-2、简体中文、繁体中文
4、外部数据库获取创建时间和有效期
WAC支持%Y、%m、%d、%H、%M、%S几个通配符,使用通配符在自定义格式中填写与数据库中内容同样的格式,WAC就能够识别,其意义分别为:
%Y 年、%m 月、%d 日、%H 时、%M 分、%S 秒
根据数据库中的内容是字符串和内置格式,分别有不同的处理方式(根本目的都是转化为字符串形式)
情况1:字符串格式
数据库中的时间格式的类型是字符串,则使用匹配符按照本地的字符串的样式得到对应的格式;
例如数据库的时间内容是2017-10-20 10:30:50,则自定义格式填%Y-%m-%d %H:%M:%S;
例如数据库的时间内容是10:30:50,2017,10,20,则自定义格式填%H:%M:%S,%Y,%m,%d。
情况2:内置时间格式
数据库中的时间类型是数据库内置的时间格式,则需要将内置时间格式转为指定的字符串格式。不同数据库有不同的转换处理函数;
a、对于oracle,时间字段使用的是时间格式(包括date、timestamp),使用TO_CHAR进行转换;
SELECT TO_CHAR(时间字段名, 'yyyy-mm-dd hh24:mi:ss') FROM EXTDB_USER_TB WHERE USERNAME = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
b、对于mysql,时间字段使用的是时间格式(包括date、datetime、timestamp),直接按照情况1处理即可oracle的timestamp;
因为mysql查询到的内容直接就是2019-10-20 10:30:50或者2019-10-20形式的字符串。
c、对于sqlserver,时间格式是datetime,则使用CONVERT将datetime格式转为字符串(2017-01-01 12:00:00)的格式;
SQL语句:SELECT CONVERT(nvarchar(24), 时间字段名, 20) FROM 表名 WHERE 用户名字段名 = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
d、对于sqlserver,时间格式是datetime之外的格式,则使用CAST将其强制转换为datetime,再使用CONVERT进行转换;
SQL语句:SELECT CONVERT(nvarchar(24), CAST(时间字段名 AS DATETIME) FROM 表名 WHERE 用户名字段名 = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
5、外部数据库其它复杂SQL语句示例(SQLSERVER)
(1)联表查询
用户名和需要查询的内容(例如用户组)在不同的表中,需要使用外键进行关联查询
示例:
用户表usertb的内容如下,
b、用户组表grptb的内容如下,
c、SQL语句:
SELECT grptb.groupname FROM usertb,grptb WHERE usertb.username = $$USERNAME$$ and usertb.grp_fk = grptb.id;
(2)内容以键值对的形式保存(例如一些radius服务器),利用max case做“行转列”处理
示例:
用户表usertb的内容如下,我们需要提取其中的attribute列中,内容为"password"的行所对应的value作为密码
b、SQL语句:
SELECT MAX(CASE WHEN attribute='password' THEN value ELSE ' ' END) AS MY_PASSWORD FROM usertb WHERE username = $$USERNAME$$
(3)截断用户名
因为WAC支持的用户名长度不能超过95,如果数据库中的用户名长度超过95,就需要将过长的用户名作截断。这种情况下可以使用SUBSTRING处理。
示例:
SELECT 密码字段名 FROM 表名 WHERE SUBSTRING(用户名字段名, 1, 95) = $$USERNAME$$
(4)去掉用户名前后缀
数据库中的用户名有一些前后缀,例如XXX@sundray.com、sundray_XXX,我们想要用户使用XXX登陆。这种情况下可以使用SUBSTRING处理。
示例1:
a、用户表usertb中的用户名都是XXX@sundray.com的形式,我们想要用户使用XXX登陆
b、SQL语句1:
SELECT 密码字段名 FROM 表名 WHERE
SUBSTRING(用户名字段名,
1,
(
CASE WHEN CHARINDEX('@sundray.com', USERNAME)=0 THEN
LEN(用户名字段名)
ELSE
CHARINDEX('@sundray.com', USERNAME )-1
END
)
) = $$USERNAME$$
示例2:
用户表usertb中的用户名都是XXX@sundray.com的形式,我们想要用户使用XXX登陆
SQL语句1:
SELECT 密码字段名 FROM 表名 WHERE
SUBSTRING(用户名字段名,
(
CASE WHEN CHARINDEX(REVERSE('sundray_'), REVERSE(用户名字段名))=0 then
1
ELSE
2+len(用户名字段名)-CHARINDEX(REVERSE('sundray_'), REVERSE(用户名字段名))
END
),
)LEN(用户名字段名)
) = $$USERNAME$$
6.5.4.2虚拟服务器
如果企业已部署多台微软AD域控制器且互相之间存在父子域关系,无线网络可选择使用虚拟服务器来完成用户身份验证。
虚拟服务器支持TTLS-PAP认证以及EAP-MSCHAPv2认证。
图 4‑ 226 虚拟服务器
未安装RADIUS验证服务虚拟服务器
适用于WPA/WPA2企业认证及802.1X 无线网络的终结认证,需要用户启用netbios服务以支持对接AD域。
名称:虚拟服务器名称
AD域:选择AD域服务器配置(可为父域或独立域)
AD子域:选择与已添加AD域存在子域关系的AD域服务器配置
已安装RADIUS验证服务的虚拟服务器
若用户不愿启用netbios服务且已安装RADIUS验证服务,用户可选择启用“该服务器上已安装RADIUS验证服务”对接AD域。
名称:虚拟服务器名称
AD域:选择AD域服务器配置(可为父域或独立域)
AD子域:选择与已添加AD域存在子域关系的AD域服务器配置
RADIUS服务器:选择已在配置的AD域中注册RADIUS服务器
6.5.5 单点登录
单点登录,将用户的认证信息发送到深信服上网行为管理设备,避免终端通过控制器认证后,还需要再次认证。
1、本地转发,请在接入点(编辑->参数配置->其他配置)或者接入点分组(编辑->其他配置)中 ,配置认证信息转发。
2、集中转发和有线认证,由控制器转发认证信息,需要在该页进行配置。
图 4‑ 227 单点登录客户端
用户类型
无线用户:无线用户,包括本地转发和集中转发的用户
控制器有线用户:在控制器上完成有线认证的用户
接入点有线用户:完成接入有线认证的用户
交换机有线用户:完成交换机有线认证的用户
所有用户:包括无线用户、控制器有线用户、接入点有线用户以及交换机有线用户。
协议类型
深信服单点登陆协议0.1:深信服上网行为管理设备使用的单点登陆协议(AC11.0之前版本支持),协议默认使用1773端口。
深信服单点登陆协议1.0: 深信服上网行为管理设备使用的单点登陆协议(AC11.0及后续版本支持),协议同时兼容0.1版本。协议默认使用1775端口。
深信服上网行为管理的配置菜单如下:
图 4‑ 228 深信服AC配置案例
6.5.6本地转发应用策略
本地转发控制策略
可选择基于服务控制或基于应用控制,选择基于应用控制,能识别具体应用进行相应的访问控制或是流量控制;
生效区域:选择需要进行本地转发应用控制的接入点或是接入点分组;
排除目标IP地址:应用于本地内网环境中的服务器及终端这类需要额外直通访问的设备,访问这类设备的流量不会被识别和控制。
流量处理策略:关联需要生效的角色,流量处理方式选择应用控制,其他配置保持默认。此处需要注意的是,镜像报文的配置;镜像报文数量配置越大(配置范围为2-15个),应用识别效果会更好,识别率会更高。但是相应的,镜像报文过多时会降低终端访问网络时的响应速度,建议保持默认配置。
图 4‑ 229 本地转发识别控制策略
本地转发流控策略
本地转发的流控策略类似于控制器流控功能,可以实现在总的流速限制条件下再对应用流控子通道进行带宽限制,只能做限制通道,不能做保障通道。
通道匹配的顺序取决于通道所处的位置,是从上往下逐个通道匹配的。
通道属性中的“优先级”,是指带宽分配以及数据包发送的优先级。
流控策略生效必须满足以下条件:
1)用户为本地转发用户。
2)在本地转发识别控制策略中,配置角色流量处理方式为应用控制。
3)在角色中引用流速限制策略,并在流速限制策略中配置每用户接收/发送速率。
图 4‑ 230 本地转发流控策略
6.6.1SFG系列配置策略
图 4‑ 231 SFP系列认证高级策略
名词解释:
注销无流量用户:完成有线认证、接入点有线认证之后,终端在阈值内无流量产生,控制器会主动注销这个用户。
账号认证免弹Portal页面有效期:账号认证非首次认证,断开无线网络后,再次登录的时间间隔在阈值范围内时,不重定向至认证页面,超出阈值时间,终端用户将会重定向至认证页面。
用户名区分大小写:控制器默认会将账号认证的用户名转换成小写,勾选之后将不进行转换。
6.6.2NAC系列配置策略
图 4‑ 232 NAC系列认证高级策略
6.6.2.1 WEB认证 选项
图 4‑ 233 WEB认证选项
认证域名:认证域名默认配置为:auth.wifi.com。Web认证时,会跳转到该域名上来。
注:
域名配置为公网上已经存在的域名时,Web认证的用户访问该公网域名也会跳转到认证或注销页面。
认证域名解析的IP:修改认证域名解析的IP地址之前,请确保要修改的IP地址不会冲突,否则将会出现终端进行web认证时无法打开认证页面。
手机号绑定验证:账号二次认证时,绑定手机号码之后,同一个终端在有效期之内无需再次绑定。
注销无流量用户:完成有线认证、接入点有线认证之后,终端在阈值内无流量产生,控制器会主动注销这个用户。
访客认证免弹Portal页面有效期,该选项值仅对只配置了访客认证的无线网络生效。同时配置访客认证和账号认证,终端用户接入无线网络时,每次都会重定向至认证页面:
弹出Web认证页面:短信认证、二维码认证、微信认证的用户,非首次接入无线网络,跳转到认证页面,不需要输入账号信息,只需要点击登录即可;
不弹出Web认证页面:短信认证、二维码认证、微信认证的用户,非首次接入无线网络,不跳转到认证页面,用户只需接入网络,无需认证即可上网。
账号认证免弹Portal页面有效期:账号认证非首次认证,断开无线网络后,再次登录的时间间隔在阈值范围内时,不重定向至认证页面,超出阈值时间,终端用户将会重定向至认证页面。
账号+访客认证,启用访客认证免弹Portal页面有效期:账号认证+访客认证的网络,访客认证的老用户在免弹portal页面有效期内接入,可以直接上网不显示认证页面。
无线portal用户认证超时时间:配置多长时间停留认证页面没做认证,需要重新触发portal页面的时间
账号自动登录:勾选“每次都到服务器上验证账号密码”,即终端每次连接WiFi时都需要到认证服务器校验用户名和密码
认证前角色:
使用上次的用户角色,账号自动登录时先使用上一次的角色,认证通过后置为新角色,认证不通过置为认证前角色;
重新匹配角色规则,将默认使用认证前角色,再根据认证结果重置角色。
6.6.2.2 访客认证选项
图 4‑ 234 访客认证选项
1、微信认证直通:微信认证唤起微信应用的时候,需要在认证过程中放通微信流量,以及和腾讯的微信服务器进行交互。唤起微信应用失败的时候,可以选择对终端进行免认证处理。
2、手机号登录有效期:手机号登录的认证有效期,通过短信认证之后可以访问无线网络的时长。超过该时间之后,需要重新获取验证认证上网。
3、微信登录有效期:微信认证有效期,通过微信认证之后可以访问无线网络的时长。超过该时间之后,需要重新在微信公众账号菜单中,申请上网。
4、二维码审核有效期:只通过二维码方式,二维码审核后,访客可以访问无线网络的时长。超过设置时间后,如果仍然需要访问无线网络,需要再次审核。
5、短信验证码有效期:短信认证获取到的验证码,使用的有效次数,可选单次有效或多次有效。
6、短信验证码有效时长:短信认证获取到的验证码使用的有效期,在有效期内验证码可重复使用。
7、海外社交应用认证有效期:通过海外社交应用之后可以访问无线网络的时长。有效期内终端无需再次输入登录信息等,只需在页面上点击“我要上网”即可。
8、邮箱登录有效期:通过邮箱认证之后可以访问无线网络的时长。有效期内终端无需再次输入登录信息等,只需在页面上点击“我要上网”即可。
9、邮箱验证码有效期:邮箱认证获取到的验证码,使用的有效次数,可选单次有效或多次有效。
10、邮箱验证码有效时长:邮箱认证获取到的验证码使用的有效期,在有效期内验证码可重复使用。
11、自动登陆优先级:在同一个无线网络中配置多种认证方式的时候,如果一个终端使用过多种认证方式,再次认证时免登陆的优先级。
6.6.2.3生物识别认证选项
图 4‑ 235 生物识别认证选项
生物识别认证有效期:终端非首次认证,断开无线网络后,再次连接的时间间隔在阈值范围内时,不需要TrustSpeed内生物识别授权,超出阈值时间,终端连接需要在TrustSpeed内再次生物识别授权。
6.6.2.4模板内容配置
图 4‑ 236 模板内容配置
短信服务内容(二次认证):二次认证时发送短信的模板。
图 4‑ 237 绑定手机号短信模板
图 4‑ 238 密码服务短信模板
邮箱找回密码:本地用户使用邮箱找回密码时,邮件主题和邮件内容模板。
图 4‑ 239 邮箱找回密码主题
图 4‑ 240 邮箱找回密码模板
6.6.2.5 有线用户认证策略
1、静态IP免认证有效期:有线认证,当网络环境为认证用户和认证接口跨三层网络,给终端配置使用静态IP部署时,终端用户WEB认证二次认证免认证的有效期。
2、DHCP IP免认证时间:有线认证,当网络环境为认证用户和认证接口跨三层网络,给终端配置使用DHCP分配IP部署时,终端用户WEB认证二次认证免认证的有效期。
6.6.2.6 其他配置
图 4‑ 241 认证其他配置
1、终端绑定管理员免审批有效期:启用此功能时,终端绑定管理员免审批为选定日期的23:59。
2、第三方portal用户免认证:适用于portal对接场景,若第三方portal服务器不支持MAC免认证功能,启用此功能,终端用户认证通过后,在时长配额范围内不需要再次认证。
3、终端类型识别:开启精准终端类型识别,将会识别终端的操作系统。
4、剔除获取IP失败的终端:DHCP获取失败,大部分无线终端IP地址会显示为169.254.x.x。
(1)开关开启,超过超时时间,终端还未获取到IP地址,将会被踢下线让终端重新认证,重新获取IP地址。
(2)开关关闭,适用于内网使用169.254.x.x网段的客户,避免获取到这个网段的无线终端,被控制器误判为未获取到IP用户而踢掉。
5、云管家灾备选项:控制器与云服务器断开连接时,终端审批消息无法下发,认证用户不需要经过审批即可上网.
6、单点登录发送终端下线消息:控制器结合深信服AC做单点登录时,可选择是否将终端的下线报文单点登录发给深信服AC。
7、用户名区分大小写:控制器默认会将账号认证的用户名转换成小写,勾选之后将不进行转换。
7.1.1有线终端审批
待审批
终端策略中的终端地址绑定功能与终端位置绑定功能可触发终端进入待审批列表,并阻塞流量;管理员可手动进行审批操作,以放通流量。
图 4‑ 242 待审批列表
已审批
已审批的终端对应关系进入已审批列表,并放通流量。默认老化时间为永不老化,支持配置自定义老化时间。
图 4‑ 243 已审批列表
7.1.2有线终端安全
7.1.2.1终端安全策略
终端安全策略,是帮助用户管理、识别和跟踪其网络环境下的终端而建立的人性化功能,解决用户对网络安全的需求并为其提供了快捷有效的实现方法。
图 4‑ 244 终端安全策略
终端状态跟踪:用于跟踪连接交换机端口的终端状态,包括在线、离线、类型等具体的信息并显示在状态页面。
终端地址绑定:用于绑定终端和ip地址,实现IT管理员对其网络环境下的ip地址的监管;可启用自动审批并设置审批数量来实现批量操作的自动化,也可手动审批;其中,自动审批的个数是包含已审批列表的终端对应关系个数。另有免审批和强制审批功能,免审批地址在更换IP地址时无需审批,强制审批地址在自动审批阶段仍需审批。
终端位置绑定:用于绑定终端和端口,实现监管端口下联设备的功能;可启用自动审批并设置审批数量来实现批量操作的自动化,也可手动审批。
终端类型跟踪:用于跟踪下联终端的类型状态,帮助用户实时获取下联终端的各种信息;可限制接入的设备类型并通知用户。
7.1.2.2PoE终端安全
针对PoE交换机,检测到PoE终端伪造攻击/PoE终端无法通信的情况时,交换机会自动进行处理,并将相应告警通过短信/APP消息发送给用户,帮助用户监控PoE终端。
图 4‑ 245 PoE终端安全
PoE终端伪造攻击检测:通过检测设备的供电特征,以排查仿冒设备接入并执行相应安全措施。
PoE终端自动运维:通过检测设备通信情况,自动复位PoE端口,帮助用户解决无法正常通信的情况。
7.2.1用户隔离
通常情况下,同一VLAN的用户间是可以相互通信的,但在无线接入的环境下,移动终端间相互通信,存在较大安全隐患。例如部署用于公公众上网的无线网络中,多个无线用户之间没有直接通信的需求,在此环境下,启用此选项可以减少无线终端间的报文,提高了无线网络性能,同时提高了安全性。还有避免某些感染了病毒的终端传播病毒的风险。
禁止同一VLAN内的用户之间相互通信后, 只要是通过同一无线接入点接入的,所有VLAN相同的无线用户间将不能相互通信。这样不仅可以降低了安全风险,还可以减少移动终端间的广播报文。不同VLAN间是否能相互通信,由第三方路由设备控制,本设备暂不支持。通常不同VLAN间默认是不能通信的。
图 4‑ 246 用户隔离
7.2.2端口防护
隔离组
采用端口隔离特性,可以实现报文之间的二、三层隔离,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。
单向隔离是指从“源端口”发送的报文不能到达“目的端口”,但从“目的端口”发送的报文可以到达“源端口”。
双向隔离是指隔离组内的任一端口发送的报文不能到达隔离组内的其他端口,但可以到达隔离组外的其他端口。
图 4‑ 247 隔离组
MAC表项限制
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给交换机后,交换机的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
处理动作为丢弃数据包时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址并且不再转发处理新MAC的数据包;处理动作为转发数据报文时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址,但还会转发处理新MAC的数据包。
图 4‑ 248 MAC表项限制
7.2.3流量劫持防御
7.2.3.1ARP防御
1、无线ARP防御
支持网关ARP防御功能,以及无线用户隔离,确保网络安全。网关智能识别:智能识别网关,如果所有终端都是静态IP,此功能不生效。 开启ARP欺骗防御:开启此功能后,手动配置和智能识别的网关会被默认保护起来。开启无线用户隔离:禁止无线终端之前互相通信。
图 4‑ 249 无线ARP防御
2、交换机ARP防御
ARP安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
(1)ARP泛洪防御
ARP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:
1)设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2)攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
图 4‑ 250 交换机ARP防御
报文限速
通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
仅学习本机的ARP请求应答
只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满。
免费ARP报文主动丢弃
设备直接丢弃免费ARP报文,可以防止设备因处理大量免费ARP报文,导致CPU负荷过重而无法处理其他业务。
限制端口可学习的ARP表项数量
设备接口只能学习到设定的最大动态ARP表项数目。这可以防止当一个接口所接入的某一台用户主机发起ARP攻击时整个设备的ARP表资源都被耗尽。
(2)ARP欺骗防御
ARP欺骗攻击是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:
1)会造成网络连接不稳定,引发用户通信中断。
2)利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。
图 4‑ 251 ARP防御欺骗
ARP表项更新检查
ARP表项更新检查:设备在第一次学习到ARP之后,用户更新此ARP表项时通过发送ARP请求报文的方式进行确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。
ARP报文合法性校验
通过检查报文中的IP地址、MAC地址,直接丢弃非法的ARP报文,避免非法用户伪造ARP报文,刻意的进行ARP攻击。
基于DHCP的ARP绑定关系检测(DAI)
当设备收到ARP报文时,将此ARP报文的源IP、源MAC(Media Access Control)、收到ARP报文的接口及VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。本功能仅适用于DHCP Snooping(Dynamic Host Configuration Protocol Snooping)场景。
网关防欺骗
丢弃源IP地址为网关设备IP地址的ARP报文,防止攻击者仿冒网关,建议在网关设备上开启。
3、网关ARP防御
网关欺骗防御
攻击者通过伪造ARP报文,截获原本发向网关的报文,对网络安全构成威胁。网关防御欺骗防御支持将配置网关mac和ip的绑定关系,可以有效遏制这种攻击。适用于集中转发环境。
注意:IP、MAC中其中一个出现在配置中,并不满足对应关系,将被识别为网关欺骗攻击。
图 4‑ 252 网关ARP防御
7.2.3.2DHCP防御
1、无线DHCP防御
系统将持续监听无线客户端的 DHCP 分配过程数据包,并从 DHCP 报文中,获取无线客户端的 MAC 地址以及分配的 IP 地址,据依据此信息构建有效的 IP,MAC 对应关系数据库。
检测无线客户端发出的 ARP 数据包,检查 IP 与 MAC 地址对应关系的合法性,丢弃不合法的 ARP 包。
图 4‑ 253 无线DHCP防御
2、交换机DHCP防御
DHCP防御用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
(1)DHCP泛洪防御
DHCP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在以下几种场景:
1)非法用户在短时间内发送大量DHCP报文,使DHCP Server无法正常处理报文,从而无法为客户端分配IP地址。
2)非法用户通过恶意申请IP地址,使DHCP服务器中的IP地址快速耗尽, 无法为合法用户再分配IP地址。
3)已获取到IP地址的合法用户通过向服务器发送DHCP Request报文用以续租IP地址。非法用户冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,导致到期的IP地址无法正常回收,新的合法用户不能再获得IP地址。
4)已获取到IP地址的合法用户通过向服务器发送DHCP Release报文用以释放IP地址。非法用户仿冒合法用户向DHCP Server发送DHCP Release报文,使合法用户异常下线。
图 4‑ 254 交换机DHCP防御
报文限速:通过DHCP报文限速功能,可以防止设备因处理大量DHCP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
限制端口可申请的IP地址数量:限制用户接入数。当用户数达到指定值时,任何用户将无法通过此接口申请到IP地址。
DHCP续租报文合法性检查:在DHCP Server为客户端分配IP地址过程中,根据DHCP报文生成DHCP Snooping绑定表,该绑定表记录MAC地址、 IP地址、租约时间、 VLAN ID、接口等信息,然后通过DHCP报文与绑定表的合法性检查,丢弃非法报文, 防止DHCP报文仿冒攻击。
(2)DCHP欺骗防御
网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。
DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。
图 4‑ 255 DHCP欺骗防御
报文合法性校验:设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。为用户提供更安全的网络环境,更稳定的网络服务。
DHCP Snooping:DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,防止网络上针对DHCP攻击。
信任端口正常转发接收到的DHCP应答报文,非信任端口在接收到DHCP服务器响应的DHCP Ack、DHCP Nak、DHCP Offer和DHCP Decline报文后,丢弃该报文。
信任IP地址是指当DHCP响应报文的源IP地址与配置项相匹配时,允许报文通过。
信任MAC地址是指当DHCP响应报文的源MAC地址与配置项相匹配时,允许报文通过。
信任IP+MAC地址是指当DHCP响应报文的源MAC地址和源IP地址与配置项完全匹配时,允许报文通过。
3、网关DHCP防御
(1)启用网关受信任的 DHCP 服务器
在绝大部分的无线网络部署中,无线客户端都使用 DHCP 方式获取 IP 地址、网关、DNS等。因此 DHCP 服务也被视为无线网络正常运行的基础。DHCP 服务基于广播方式运作,如果同一个子网内运行了多个 DHCP 服务器,则客户端发起 DHCP 请求后,会收到多个回应,客户端会选择回应最快消息中指定的 IP 地址。因此如果子网内存在非法的 DHCP 服务器,则会干扰正常的 DHCP 过程,客户端可能获取到错误的 IP 地址,导致无法访问网络。
启用“网关受信任的 DHCP 服务器”选项,并配置合法的 DHCP 服务器 IP 地址,NAC及接入点将只转发来自受信任 DHCP 服务器的 DHCP 报文,来自其它 IP 地址的 DHCP 服务报文将被丢弃,从而保证 DHCP 服务能正常运行,不受干扰。
(2)DHCP地址仿冒申请防御
默认开启,防御DHCP泛洪攻击行为,防止DHCP地址池被耗尽。
图 4‑ 256 网关DHCP防御
7.2.3.3无线射频防御
1、射频防护策略
图 4‑ 257 射频防护策略
配置信道保护/信道压制/自定义可以按一个或多个接入点分组划分出一个区域保护这个区域内的射频信号不被其他ap的射频信号干扰。
当防护模式为信道保护时,如果射频是Normal模式,则只反制工作信道;如果射频是Hybrid模式,则可以反制工作信道,以及工作信道±1/±2信道。
内部员工:接入高级选项配置的认证类型的无线网络的员工即为受监控的内部员工。
非信任无线网络:非本控制器无线网络并且不在受信任SSID列表的无线网络。
检测内部员工接入非信任网络行为:监控内部员工接入非法无线网络的行为并产生告警日志。
信道保护/信道压制/自定义+内部员工:只有内部员工受反制影响,无法连接非法无线网络,内部员工连接非法无线网络会产生接入非法无线网络的告警日志。
信道保护/信道压制/自定义+所有用户:所有用户都会受反制影响,无法连接非法无线网络。
2、欺骗检测
图 4‑ 258 欺骗检测
(1)无线欺骗攻击
无线欺骗攻击是指攻击者假冒其他设备/终端的名义发送报文。例如:假冒无线接入点的身份,向无线客户端发送解除认证的报文,导致无线终端断开无线连接。启用欺骗攻击检测可以识别此类攻击,将发起攻击的终端 MAC 地址添加到黑名单,一段时间内禁止接入无线网络。
(2)BSSID冲突检测
BSSID冲突检测是指检测到环境中BSSID地址冲突,可能会造成无线终端接入到有冲突的BSSID的AP,会造成网络掉线,丢包等不可预知的情况。
7.2.4漏洞攻击防御
7.2.4.1扫描防御
该功能可以防御网络中ARP、IP、端口扫描攻击。
防御选项:防御ARP扫描,IP扫描,端口扫描攻击,超过设置阈值的用户行为将被识别为扫描攻击。
防御动作:可以将攻击者加入黑名单,并支持设置冻结的时间。
图 4‑ 259 无线扫描检测
7.2.4.2漏洞利用防御
1、东西向流量防御
图 4‑ 260 东西向流量防御
(1)观察区域/保护区域
可以将指定交换机端口或认证策略配置为观察区域/保护区域,观察区域默认放通所有入站访问流量,保护区域默认拦截所有入站访问流量。若同时配置交换机端口组和交换机,则满足两者的交换机端口才生效;若同时配置无线网络/接入点有线认证策略和接入点,也是只有满足两者的认证策略才生效。
(2)观察角色/保护角色
可以将指定角色配置为观察角色/保护角色,观察角色默认放通所有入站访问流量,保护角色默认拦截所有入站访问流量。若同时满足观察角色/保护角色和观察区域/保护区域,则满足角色策略优先。
(3)访问黑名单
可设置黑名单,拒绝源访问区域的终端访问信任区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
(4)访问白名单
可设置白名单,允许源访问区域的终端访问保护区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
2、攻击源定位
通过对终端的访问行为判断是否是攻击终端。触发的条件有:发起任意一种攻击访问行为和检测间隔内发起多种攻击访问行为;检测的攻击访问类型有:ARP扫描检测、TCP扫描、异常访问检测;检测到攻击后的处理方式有:将攻击源加入黑名单、启用短信告警、启用信锐云助手告警。可通过添加攻击源白名单来排除攻击终端。
图 4‑ 261 攻击源定位
3、服务
可设置白名单,允许源访问区域的终端访问保护区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
图 4‑ 262 服务
7.2.5拒绝服务攻击防御
7.2.5.1无线DoS防御
图 4‑ 263 无线DoS防御
DDoS防御
DDoS 攻击在众多网络攻击技术中,是一种简单有效并且具有很大危害性的攻击方法。它通过各种手段消耗网络带宽和系统资源,使网络陷于瘫痪状态。在无线网络中,大部分 DDoS 攻击行为并不是由用户故意发起的,而是由于计算机感染了病毒或恶意软件造成的。
DDoS 攻击防御模块通过统计无线客户端的数据包速率,连接数等信息,有效识别并阻挡无线客户端发起的 DDoS 攻击行为,降低对无线网络的影响。
无线泛洪攻击(Flooding攻击)
网关在短时间内接收大量同种类型的报文,将导致系统资源被大量占用,可能无法处理无线用户的数据报文。启用泛洪攻击检测可以识别此类攻击,并自动将发起攻击的终端 MAC 地址添加到黑名单,一段时间内禁止接入无线网络。
7.2.5.2网关DoS防御
DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,恶意耗尽了IP资源,使得合法用户无法获得IP资源。
图 4‑ 264 网关DoS防御
启用DHCP泛洪攻击检测
用户启用DHCP泛洪攻击检测后,当控制器每秒收到的DHCP报文数大于阈值时,系统将提供告警信息,帮助管理员及时处理风险问题。
7.3.1安全联动
支持联动深信服安全设备进行用户安全可视化和内网边缘安全管理。
图 4‑ 265 联动设备
『对象定义』用于配置【IP组】、【MAC地址库】、【服务】、【应用】、【时间计划】、【智能PSK终端】、【URL分类库】、【终端类型库】。这里定义的对象,在后续的模块中会使用到,比如IP组和服务会应用到访问控制策略中,MAC地址库将在使用MAC地址认证时黑白名单调用。
此页面可查看和新增IP组,IP组用于后续【角色授权】中的【访问控制策略】,以及后续的【网络配置】中的【地址转换】。
支持输入多个 IP 地址、IP范围、网段,例如:
IP地址:192.168.1.1
IP范围:192.168.1.10-192.168.1.100
网段:192.168.1.0/24
网段:192.168.1.0/255.255.255.0
图 4‑ 266 IP组
将一个、多个 MAC 地址划分为一个 MAC 组,以便在系统的其它功能中调用,例如web免认证。
图 4‑ 267 MAC地址库
默认有默认黑名单和默认白名单两个分组,用户可以自定义分组。
图 4‑ 268 自定义分组
适用范围:PSK终端页面配置的终端只针对智能PSK无线网络有效。
为防止PSK密钥泄漏,杜绝PSK密钥分享带来的网络安全隐患,可通过设置私有密钥实现一人一机一密码,保障网络安全。
图 4‑ 269 PSK终端
『服务』分为【服务】和【服务组】 ,【服务组】是【服务】的组合。用于后续【角色授权】中的【访问控制策略】。
服务:
【服务】包括了TCP,UDP协议中各种常用端口号包含的应用协议,比如BGP,DHCP、DNS、HTTP、FTP、SNMP、SSH等。
同时也支持自定义服务。
图 4‑ 270 服务
服务组 :
【服务组】就是【服务】的组合,便于做复杂的控制策略时方便调用。而且可以节省原本需要多条控制策略的条数。
图 4‑ 271 服务组
对于不同的无线或有线用户,我们需要在不同的时间段设置不同的访问控制策略以及流控策略,比如上班时间或下班时间,就需要配置时间计划,为了便于后续设置【认证授权】-【角色授权】-【访问控制策略】的生效时间,需要提前设置时间计划,『时间计划』分为【单次时间计划】和【循环时间计划】。
图 4‑ 272 时间计划
新增单次时间计划和循环时间计划:
图 4‑ 273 时间计划类型
设置循环时间时,大多数客户可以按照上班时间和下班时间,以及节假日方式设置循环时间,便与管理。
图 4‑ 274 新增单次时间计划
点击新增循环时间计划:
图 4‑ 275 新增循环时间计划
『应用』包括:【NAC/SFG系列应用识别库】、【应用智能识别库】、【自定义应用】三类,网络应用流经网关时,可通过特征,识别其应用类型,识别后,即可对连接进行基于应用策略控制、资源调度及流量审计。
8.6.1 应用识别库
【应用特征识别库】中记录着应用的字节流特征,通过持续不断的收集及更新,保证应用识别的正确性,应用特征识别库升级需要序列号授权,过期后无法更新。
图 4‑ 276 应用识别库
8.6.2 应用智能识别库
某些类型的网络应用没有固定的字节流特征,需要通过智能的方式识别流量间的关联性等来识别出其类型,应用智能识别库目前只支持P2P行为,支持灵敏度、排除端口的设置。
图 4‑ 277 应用智能识别库
8.6.3 自定义应用
内网应用往往由于其私有性,应用特征识别库无法收集其网络流特征,可以将数据包方向、协议类型、IP地址、端口号及域名作为应用的规则特征,自定义某种类型的应用,自定义应用同样适用于外网应用。
图 4‑ 278 自定义应用
『URL分类库』中是由信锐技术自主研发并收集的全国最大、最全、最专业的URL分类库。关于URL规则库的使用,需要在【认证授权】-【角色授权】-【访问控制策略】中新增规则,选择应用的方式来调用。另外对于少部分,客户内网自由的域名系统,如果无法识别到,用户还自定义URL类别,可将URL设置为内置的URL类别或自定义URL类别,也可以设置域名关键字,模糊匹配为某种类别。并设置自定义的URL类别优先级最高来优先调用。
URL分类库的升级需要序列号授权,过期后无法更新。
NMC中区分NAC系列URL分类库,和SFG系列网站分类库,两者不可混用。
图 4‑ 279 URL/网站分类库
终端类型库中记录着终端的指纹特征,通过持续不断的收集及更新,保证终端类型识别的正确性,终端类型特征库支持手动和联网时自动更新。
图 4‑ 280 终端类型库
使用NMC前,必须向设备供应商购买有效的产品或功能序列号。NMC的序列号包括设备管理序列号、身份认证管理序列号、安全策略管理序列号、高级功能管理序列号和软件升级管理序列号。其中设备序列号决定了一个NMC最多可以管理设备的个数;软件升级序列有效,NAC才可以正常升级软件版本,配置界面如下:
图 4‑ 281 序列号
超级管理员:系统内置的超级管理员,默认名称为 admin,具备系统的所有管理权限,而且只有此账号具备创建管理员权限。
为了提高系统的安全性,避免未授权用户登录网关,建议:
1、为超级管理员设置一个高强度的密码
2、修改超级管理员账号名称
普通管理员:可以查看控制台页面和数据分析平台页面,支持按页面配置权限,按分支或接入点分组配置权限,按本地用户组织结构配置权限,热点地图权限,并且可以关联云管家账号。
支持创建公有配置,查看或修改其他管理员的配置。
数据分析管理员:只允许登录数据分析平台页面,支持针对接入点和热点地图分权。
图 4‑ 282 管理员账号
9.3.1系统配置
系统选项
系统选项可以配置关于设备的基本信息,包括设备的中英版本切换,可以在此选择切换。
图 4‑ 283 系统选项
1、设备信息
设备名称:填写设备的名称
默认编码:选择你所在国家/地区的本地编码,例如简体中文选择 GBK,繁体中文选择 BIG5。设备的部分功能需要依赖于正确地选择此编码。例如在 Windows 无线客户端中,PEAP-MSCHAPv2 认证过程中发送的用户名使用本地编码格式,而本地用户数据库中用户名为 utf-8 编码。如果需要支持中文用户名,则系统在认证过程中需要知道原始编码,并转换为 utf-8 编码。
HTTPS端口:控制台登录界面端口
设备证书:给NAC设备设置证书,用于安全登录NAC设备。
控制隧道端口:默认控制隧道端口号7070,手动指定端口号范围:1024-65535。
数据隧道端口:默认数据隧道端口号7077,手动指定端口号范围:1024-65535。
发现控制器端口:发现控制器端口号默认7777。
发现控制器备用端口:手动指定备用端口号范围:1024-65535。修改备用端口号后,默认的端口7777还可以发现控制器。
集中管理端口:默认集中管理端口号5000,手动指定端口号范围:1024-65535。
2、系统安全选项
控制台超时:管理员登录控制台后,如果在设定的超时时间内,未进行任何操作,则系统会注销此次登录。
3、webAgent
webAgent功能用于解决接入点跨广域网/公网远程部署时,由于控制器没有固定IP地址,导致接入点无法与控制器无法进行通信的问题。使用该功能时,请联系客服或技术支持获取webAgent服务。
注:开启webagent功能时,需要开放7777(udp协议)、7070(tcp协议)、7077(udp协议)、800(tcp协议)端口号。
日期时间
设置系统时间,可以通过获取本地PC或通过同步NTP服务器的方式同步时间,如下图,并可以设置设备工作所在的时区。
图 4‑ 284 日期时间
HOSTS
当指定我们设备作为域名解析服务器时,可以通过设置HOSTS对外解析域名已经设置好的域名,而且后续还可以设置DNS代理,真正实现以我们设备的IP地址作为服务器解析所有的域名。当网络中设置以NAC的IP为DNS服务器时,并设置了HOSTS中对于域名wwww.adminwlan.com的IP时,AP会以该域名对应的IP去自动发现NAC,实现NAC对AP的管控。
图 4‑ 285 HOSTS
9.3.2接口管理
管理口:在实际部署中,通常使用一个固定的网口作为设备管理使用,此用途的网口可以设置为管理口。但实际上,管理口与其它接口并没有任何不同。
二层接口:指接口工作在二层转发模式下,是网关中最常用的接口工作模式。此模式下,接口依据 MAC 地址转发表来完成转发工作。二层接口本身没有 IP 地址,如果希望通过二层接口来访问设备,可以为此接口所属 VLAN 创建 VLAN 接口,并指定 IP 地址,添加相应路由。
三层接口:指接口工作在三层转发模式,依据路由表完成数据包转发。接口支持配置IPv4与IPv6地址。
端口聚合:端口聚合也叫做以太网通道,是将多个以太网接口聚合在一起,形成一个逻辑上的聚合接口,以实现流量在聚合接口的各个成员接口间负载分担,并实现链路冗余。
工作模式
主备冗余:只支持选择 2 个网口组成聚合接口。此模式下,默认使用主网口进行数据通信,在主网口故障时,将切换至备用网口。
负载均衡:支持选择最多 8 个端口组成聚合接口。实现在各成员端口间的流量负载分担,同时保障链路的可靠性,只要组内不是所有端口都故障,两个交换机之间仍然可以继续通信。
VLAN 接口
VLAN 接口的作用有:作为无线客户端的网关以及提供 DHCP 服务
在集中转发模式下,无线客户端连接无线网络后,系统将为用户分配一个 VLAN。如果此 VLAN 仅仅在网关内部存在,不需要把 VLAN 扩展到有线网络中,则网关需要作为无线客户端的网关,以及提供 DHCP 服务器。在此环境中,可以为此 VLAN 创建 一个 VLAN 接口,并配置 IP 地址及 DHCP 服务。无线客户端的网关指向此 VLAN 接口 IP。
连接网关的二层接口:二层接口本身没有 IP 地址,如果需要通过二层接口访问设备,则需要为二层接口所属的 VLAN 配置一个 VLAN 接口,并配置 IP 地址,使得二层接口也具备三层属性。
示例 1:
eth0 接口设置为二层模式,VLAN 为 10。由于 eth0 接口自身没有 IP 地址,因此需要创建一个 VLAN 10 的接口,并配置 IP 地址,通过此 IP 连接到网关。
示例 2:
有两个接入点,直接连接到网关的物理接口,连接的接口分别为:eth0,eth1,都为二层接口,接口的 VLAN ID 都为 10。这种情况下,需要创建一个 VLAN 10 的接口,并在 VLAN 接口中启用 DHCP 服务。使得接入点启动后,能获取到 IP 地址,网关等,并连接到网关。
图 4‑ 286 接口管理
9.3.3高可用性
无线网络部署时存在单点故障导致网络中断的风险,通过部署 2 台NMC控制器,可以实现NMC网络的高可用性,避免单台NMC故障时导致无线网络不可用的风险。
图 4‑ 287 高可用性
VRRP组
VRRP(Virtual Router Redundancy Protocol)协议,提供了虚拟 IP 的机制来解决网关 IP 在多个路由器间迁移的问题。在3层部署的环境中,无线客户端的默认网关指向NAC的 VLAN 接口地址,因此在双机部署中,当某台设备故障时,VLAN 接口的 IP 地址需要使用 VRRP 协议迁移到备份设备上,从而保证无线用户仍然能够正常访问网络。
VRRP 的虚拟 IP 迁移通过备份组机制实现,基本原理如下:
图 4‑ 288 VRRP
把两个路由器划分为一个 VRRP 备份组,备份组设置一个虚拟 IP。
备份组内的路由器,使用基于优先级的选举机制,优先级较高的为 Master 路由器,其余为 Backup 路由器。
只有 Master 路由器,才真正持有备份组的虚拟 IP,也就是对于其它主机询问此虚拟 IP 的 ARP 请求,PING 请求等,只有 Master 路由器会回应。
Master 路由器定期发送 VRRP 通告报文,通知备份组内的其他路由器自己工作正常。Backup 路由器则监听通告报文的到来,如果在一定时间内没有收到 Master 路由器的通告报文,则优先级最高的 Backup 路由器将转化为 Master 路由器。
图 4‑ 289 VRRP组
高可用性
图 4‑ 290 高可用性
1、通信网口
双机热备情况下,两台NMC之间,需要同步内部状态信息,例如心跳信号,在线用户信息,漫游信息,无线射频调整决策信息等。因此在控制器上,通常需要分别使用一个专用的网口来完成双机状态同步。此选项选择用于状态同步的物理接口。
2、对端地址
对端控制器的 IP 地址,系统使用所选择的物理接口及对端地址来完成双机状态同步。因此对端地址是指双机心跳线所连接的对端接口 IP 地址。
3、管理 VRRP
选择一个 VRRP 备份组作为管理 VRRP 组,在此备份组中,Master 状态的设备将作为“主管理设备”。只有登录到“主管理设备”,才允许修改系统配置。
4、主备配置
主机选择允许编辑配置,备机选择同步对端配置,双机热备才会搭建成功。
9.3.4网络配置
网络配置主要包括以下模块:【静态路由】、【DNS】2个部分。
图 4‑ 291 网络配置
静态路由
静态路由,填写目的地址,网络掩码,下一跳,并选择自动选择接口,并设置度量值即可。静态路由配置支持IPv4与IPv6。一般为了保障NMC能正常上网,需要配置8个0的默认静态路由,尤其是在【接口管理】处,配置的3层接口都是手动配置时。
图 4‑ 292 静态路由
当3层接口配置了DHCP时,可以勾选设置默认网关自动添加系统路由,也会后台自动添加8个0的默认静态路由,保障NMC可以正常上网,如下图:
图 4‑ 293 自动获取路由
DNS
配置NMC设备的自身上网的DNS服务器,用于NMC自身的上网,NTP服务同步,系统更新以及针对内网启用DNS代理功能。
图 4‑ 294 DNS
当启用DNS代理功能时,内网的终端可以设置设备的接口作为DNS服务器解析服务器来配置,可以保证这些用户能正常解析域名上网。
9.4.1服务管理
云服务主要是为了帮助企业IT管理员更好的服务企业员工, 增加紧急事件远程处理的能力,方便IT管理员管理企业无线,在有无线故障时IT能够及时知晓并作出响应。
要加入云管家,首先需向云服务器注册企业账号,信锐云服务现在支持账号登录和短信登录两种方式。
企业账号注册成功后用该企业账号登录,NMC即可加入到云管家。
如果显示“在线”,表示成功加入云管家,如果显示“离线”,表示控制器与云管家的连接断开。
成功加入云管家之后,用手机扫描页面上的二维码,下载信锐云管家APP,并用注册的账号登录,就可以进入到app管理页面,方便的管理控制器了。
图 4‑ 295 信锐云
9.4.2短信服务
在部署短信认证的无线网络时,需要先启用短信认证服务,并正确配置短信发送参数。
图 4‑ 296 短信服务
系统支持的短信发送方式:通过连接到NMC串口的短信猫发送、通过连接到外部服务器的短信猫发送、通过短信网关发送。
说明:如果NMC部署的机房中,手机网络信号差,导致无法发送短信。则可以选择把短信猫连接到一台服务器,并把服务器部署到此机房以外,且信号良好的环境中,由此服务器来代理发送短信。
9.4.3邮件服务
本地用户数据库中邮箱绑定类型的账号绑定邮箱后,可以通过邮件找回密码,管理员也可以将用户名密码发送到用户绑定的邮箱中。使用之前需要启用并正确配置邮件服务。
图 4‑ 297 邮件服务
发件人邮箱地址:邮件发件人账号,需要在smtp服务器上注册。
SMTP服务器器:邮件发送服务器,可以填写域名或者服务器ip地址,默认端口25。
用户名:邮件服务器校验使用的用户名,建议与发件人邮箱地址保存一致。
密码:邮件服务器校验密码,即用户名对应的密码。
9.4.4平台服务
根据不同的行业定制合适数据分析平台术语。
图 4‑ 298 平台服务
9.4.5SNMP服务
SNMP(Simple Network Management Protocol,简单网络管理协议),用于管理网络中上众多的软硬件平台。开启后可以通过snmp协议查询本设备系统信息,如设备型号,内存使用,硬盘使用率,cpu消耗等。
图 4‑ 299 SNMP
SNMP V1/V2 :SNMP的第一版本和第二版本。它们都是基于团体名进行报文认证。
SNMP V3 :SNMP的第三版本此版本提供重要的安全性功能,其中就包括了认证和加密两项。认证需要提供认证方式(MD5,SHA)和认证密码。加密需要提供加密方式(DES)和加密密钥。
MIB :MIB(Management Information Base,管理信息库),是由网络管理协议访问的管理对象数据库,也可理解为是所有可管理对象的集合。下载本设备MIB后,再导入到相应的管理端后,可以管理或查询的本设备的一些基本信息,如设备信号,内存使用,硬盘使用,CPU消耗等。
SNMP Traps :SNMP trap又称SNMP陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到的管理端轮询后再发送。需要配置管理端的IP地址和端口,以及团体名。支持向多个管理端发送信息。
图 4‑ 300 SNMP Traps
9.5.1备份恢复
备份配置
点击备份配置时,可以从NAC上下载当前系统配置,并可以保存到在PC上,用户可以自行保存。也可以采用方式二:从文件中恢复的方法还原下载的配置,点击备份配置时,可以下载的配置文件如下,是bcf格式的文件。
图 4‑ 301 备份配置
还可以采用备份自动备份到FTP服务器的方法备份。
图 4‑ 302 定时导出
恢复配置
方式一:从每天自动备份的配置中恢复,默认系统会自动备份最近一周的配置
图 4‑ 303 恢复配置
方式二:从之前备份的配置进行恢复。
方式三:直接点击“恢复出厂配置”。
备份服务器
配置还可以采用备份自动备份到FTP服务器的方法备份。备份服务器用于备份系统配置和人流量分析的数据。
图 4‑ 304 备份服务器
网络备份恢复
系统中保存了大量网络配置信息,因此定期对设备网络配置执行备份操作是一个良好的管理习惯。
图 4‑ 305 网络备份恢复
在以下情况下,可以考虑从最近备份的数据中恢复网络配置,以尽快恢复您的网络,并减少损失:
1、设备损坏或丢失,需要更换全新的硬件设备
2、设备误配置,例如误删除了大量的网络配置
3、分支设备性能不够,需要升级新设备
网络备份恢复,只有一种形式:手动备份
管理员从控制台网络备份恢复页面中,下载当前的网络配置备份文件,并保存在管理员的本地计算机中。手动备份的网络配置备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,分支替换新设备,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。
智能运维数据库管理
智能网络拓扑图数据
清空数据:清空智能网络拓扑图中离线交换机数据、自定义成员设备地址以及所有设备的位置信息,重新生成拓扑。
网络质量感知数据
清空数据:清除首页->网络->网络质量感知 页面数据。
业务画像数据库管理
清空数据:清除首页->终端->终端网络质量、首页->设备->各设备状态 页面数据。
图 4‑ 306 智能运维数据库管理
数据分析库管理
清空数据
1、可清空人流量分析和热点地图的人流量数据。
2、清空推广统计数据。
注意:清空数据后将无法恢复。
生成人流量分析原始数据
1、生成前一天的人流量分析的用户数据,格式为.7z。
2、生成所有的人流量分析的用户数据,格式为.7z。
3、可设置每日将前一天的人流量分析数据自动导出到ftp服务器,ftp服务器在“系统维护->备份恢复->备份服务器”处配置。
数据备份与恢复
手动备份:手动备份人流量与推广数据,导出备份数据文件。注:可能需要较长时间,请耐心等待。
从手动备份恢复:使用手动备份的数据进行数据恢复。
图 4‑ 307 数据分析库管理
人脸数据库管理
自动备份
指定每周何时进行人脸数据备份。建议设置为设备空闲时间。
立即备份
立即将当前的人脸数据库导出,用于数据库恢复。用户量较多时,导出时间可能也会相应较长,也可能占用设备较多资源,建议在空闲时段进行操作。
提供两种方式恢复数据库
1、使用立即备份导出的数据库进行数据库恢复。
2、使用每周自动备份的数据库进行数据库恢复。
图 4‑ 308 人脸数据库管理
本地用户数据库管理
系统中保存了大量用户账号信息,因此定期对设备本地用户数据执行备份操作是一个良好的管理习惯。
在以下情况下,可以考虑从最近备份的数据中恢复系统,以尽快恢复您的数据,并减少损失:
1、设备损坏或丢失,需要更换全新的硬件设备
2、设备误配置,例如误删除了大量的用户账号信息
本地用户数据库备份,有以下几种形式:
自动备份
系统每天会自动执行一次本地用户数据库备份操作,并保存在设备内置磁盘中,只保留3天的备份文件。
手动备份
管理员从控制台本地用户数据库管理页面中,下载当前的本地用户数据库备份文件,并保存在管理员的本地计算机中。手动备份的本地用户数据库备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。
定期备份本地用户数据库到外部FTP服务器
系统每天凌晨03:10开始,会自动将设备的本地用户数据库上传到外部ftp服务器。可以避免因本设备故障而导致本地用户数据丢失的问题。
图 4‑ 309 本地用户数据库管理
访客数据库管理
自动清理:提供选项,当访客数据库达到上限时,可以删除超过多少天未接入Wi-Fi的短信和微信访客。
立即备份:立即将当前的访客数据库导出,用于数据库恢复。
提供三种方式恢复数据库:
1、使用立即备份导出的数据库进行数据库恢复。
2、使用每日2点-3点自动备份的数据库进行数据库恢复。
3、将数据库恢复至被全量同步覆盖之前的还原点,只用于搭建过双机的设备。
图 4‑ 310 访客数据库管理
磁盘清理
系统中长时间运行,会产生较多无用数据,比如:网监临时数据,以及过期的运维、安全数据等,需要及时清理删除,为保证系统保持最佳状态稳定运行,建议保持开启状态。
磁盘利用率阈值:开启磁盘清理时,当磁盘利用率超过配置的阀值,自动清理无用、过期数据,如清理过后仍然超过阀值,则在系统日志中进行告警。
图 4‑ 311 磁盘清理
9.5.2系统更新
自动更新
启用自动更新后,系统将在凌晨的空闲时间段内,自动从互联网更新服务器中最新的库或补丁安全更新等。
URL分类库:获取最新的URL分类库,保证URL分类的准确性,防止误判、漏判影响网络访问,建议启用。
应用特征识别库:获取最新的应用特征识别库,保证应用识别的准确性及全面性,防止误判、漏判影响网络访问,建议启用。
注意:URL分类库和应用特征识别库需要序列号授权,过期后即使开启自动升级也无法升级为最新的库。
网关补丁:获取并安装最新的修复补丁及安全更新,以使系统保持在最新状态,提高系统的稳定性及安全性,建议启用。
注意:自动更新只安装修复补丁及安全更新,不包括版本更新。
图 4‑ 312 自动更新
平台升级
正式包升级:支持.ssu包升级,可直接升级到正式版本。
补丁包升级:支持.tgz包升级,可为正式版本修复bug。
升级历史:可查看升级的历史记录。
降到正式版本:从已进行过补丁包升级的版本直接回降到最近一次未进行补丁包升级的正式版本,降到正式版本后,所有升级的补丁包将失效。只支持从补丁版本降到对应的正式版本,不支持跨正式版本降级。
图 4‑ 313 平台升级
设备升级:接入点/交换机为零配置设备,通常并不需要关心设备的软件版本。接入点或交换机连接到网关后,会自动从网关中下载并安装系统。如果要升级到最新版本,只需要升级网关,不需要单独升级无线接入点或交换机。该页面的升级功能,主要提供给设备供应商的技术支持人员使用,请在专业人员指引下操作。
图 4‑ 314 设备升级
9.5.3日志查看
图 4‑ 315 日志查看
设备日志:查看设备产生的日志,协助发现及排除故障。
系统日志:查看系统运行过程中产生的日志,协助发现及排除故障。
管理日志:管理日志中,记录了管理员登录、注销、修改配置的日志。
用户认证日志:用户认证日志中,记录了所有无线客户端的认证日志。
9.5.4调试选项
调试选项
允许用户通过ssh、telnet方式连接到本设备上进行调试。
允许用户通过开启历史日志信息和系统实时状态信息开关,采集设备的相关日志信息(不包含任何用户配置信息)。
图 4‑ 316 调试选项
设备故障分析
使用场景:当设备工作不正常时,可以使用该功能修改查看设备状态,定位故障原因,使设备正常工作。工作不正常是指设备已经连入网络,但是无法连接上NAC甚至无法发现, 这时可以用该故障分析功能进行调试。主要功能为修改网络配置, 查询CLI命令, 恢复默认配置。如果设备工作正常,无需使用此功能。 注意, 如果操作不当可能适得其反。
使用说明:客户端与网页版
故障分析分为两个版本, 网页版和客户端, 客户端需要下载到Windows系统上才可运行。
区别:
网页版只能扫描到与NAC二层相连的设备; 如果设备与NAC三层连接,则需要在设备的二层网络中接入一台PC,在这台PC上运行故障分析工具。
客户端版本需要安装winpcap才可以使用。
网页版默认使用NAC的登录密码去操作设备,如果密码不正确会需要用户重新输入密码;但客户端操作设备时必须输入密码。
网页版使用NAC上所有的三层口进行扫描; 客户端会列举PC上所有有线网卡, 必须选择其中一个网卡进行工作。
排除故障:点击开始扫描按钮, 等待过程结束就会看到所有扫描到的设备。
如果设备网络配置有误, 例如IP, 网关, 掩码不正确导致不能和NMC通讯, 点击开始配置通过设置正确的数据即可解决。
如果设备网络配置正确, 仍然无法正常工作, 则可以通过恢复默认配置或者是查询CLI命令来定位问题。
其他:有颜色标识的设备为备份系统。
图 4‑ 317 设备故障分析
9.5.5重启及格式化
图 4‑ 318 重启及格式化
重启日志中心:重启日志中心。
重启服务:重启该设备上的服务进程。重启过程中会导致接入点处于离线状态
重启设备:重启该设备。
格式化缓存空间:
提供可直接操作nac设备的调试命令,用于排除问题。
图 4‑ 319 命令行控制台
支持命令:
cls[clear][ctrl+l] 清屏
term[ctrl+c] 结束当前执行程序
vrrp 显示VRRP表
udpconnect 测试UDP端口连通性
arp 显示ARP表
sessionnum 显示当前会话个数
fdb 显示MAC地址转发表
dns 查看域名服务器
dhcppoolbind 查看地址池IP分配信息
ping 测试主机地址连通
traceroute 跟踪数据包转发路径
route 显示路由表
tcpconnect 测试TCP端口连通性
vlan 查看网口VLAN信息
dhcppool 查看地址池信息
interface 查看网口信息
『应用中心』包含【云服务】、【日志中心】、【信锐无线安全接入前端】三个功能模块。
图 4‑ 320 应用中心
云服务参考4.9.4.1章节。
日志中心参考4.3.2章节日志中心部分。
信锐无线安全接入前端
图 4‑ 321 安全场所
安全场所
安全场所是将用户上网数据通过网关上报并对接到网监平台的基本配置。一个安全场所代表了一个对接的区域。建立安全场所时,通过配置“接入位置”来选择对接到网监平台的区域,选择“接入配置”来确定用于对接的网监配置。
多网监平台对接
独立网关多个区域多个ap根据需要可以对接到不同网监平台。只需新增多个安全场所,每个场所的接入位置选择不同ap,然后选择ap所在区域对应的网监平台代表的接入配置。
集中环境下,网络管理中心可以统一管理分支对接的网监配置。这时,新增安全场所可以选择的接入位置则扩大到了每个分支分支。同样通过新增多个安全场所使每个区域分支对接不同的网监平台。
集中环境集中对接
集中环境下,在配置选项中选择“使用指定网关”时可以选择集中环境下的某一台网关来专门负责对接网监平台,将资源消耗集中,减小了其它分支的压力。网络管理中心已承载较高的业务压力,这里我们不建议使用网络管理中心作为集中对接的网关。
异常处理
第三方平台有未知网络问题时,会影响网监对接的状态,这时安全场所的状态则会变成“异常”状态。配置选项-高级选项中,选择场所异常时app告警,则在某一安全场所处于异常状态时,会通知信锐云的管理人员,便于及时排查网路异常。选择场所异常时拒绝指定角色接入,异常状态的安全场所,其对应接入点下的在线终端用户会被拒绝上线,防止有未上报网监平台的数据漏洞出现。
图 4‑ 322 接入配置
要确定用哪种方式对接到哪个地区的网监平台,可以通过接入配置来实现。在接入云端以后,新增接入配置时则可以更新并使用云端的标准模板。通过配置模板参数,可以选择对接到网监平台的的方式。
云端配置
未启用或者网络异常时,会显示“未接入云端”。点击配置启用并保存正确的云端地址,则能正常显示接入云端,从而更新云端上的标准模板
配置模板参数
配置正确的模板参数才能正常的对接到网监平台。例如需要配置模板的日志来源-ap基础信息中的apinfo,可以确定哪些ap下接入的用户数据会上报到网监平台,配置日志上传-发送方式中的sendmode以确定是socket、ftp还是sftp方式发送数据到第三方服务器。
常见问题
在使用网监服务前,请先确定将服务配置中的“信锐无线安全接入前端”开关开启,并确保开启相关审计序列号。
配置用于对接到网监平台的模板参数时,可以咨询相关技术支持人员。