对于NMC,每个菜单页面的配置页面右上角,设备页面都自带有帮助文档,该配置文档详细的介绍了NMC各种功能的使用方法以及原理介绍。
图 4‑1 帮助文档按钮
图 4‑2 帮助文档示例
『总览』主要用于查看设备的基本状态信息,包括【系统状态】、【网关状态】、【交换机状态】、【接入点状态】、【安全状态】、【吞吐情况】、【在线用户】及网关、交换机、接入点列表。
总览示意图
通过点击各状态下的数字,可查看对应详情。
质量感知包含了【质量感知向导】、【认证质量感知】、【无线环境质量】、【网络质量感知】、【业务质量感知】。
2.2.1质量感知向导
如下图显示,质量感知功能的向导页面,点击页面上的对应按钮可以跳转到无线环境感知、认证质量感知、网络质量感知、业务质量感知的配置和展示页面。
2.2.2认证质量感知
认证质量感知通过卡片形式呈现各个认证策略的整体认证情况,方便用户一目了然地查看当前所有认证策略的运行质量。支持导出认证质量汇总页面。
2.2.3无线环境质量
无线环境感知中,根据环境信道利用率、自身信道利用率、重传率、误码率、噪声值、同频干扰等参数划定的区间,将无线接入点划入指定的区间。管理员通过分析接入点在各个区间的分布情况,排查接入点的问题,并通过增加接入点、调整接入点位置等方式,提高无线网络的整体服务质量。
接入点画像中,汇总展示无线环境的质量信息,包括接入点离线概况、接入点负载、资源利用率、流量状态、射频接入人数、信道利用率、噪声值等信息。进一步的详细数据可以到接入点状态页面查看。
接入点分析中,可以查询单个接入点的流量、用户、会话数、信道利用率、噪声值等历史数据信息,单个终端的传输速率、信号强度、通信质量等历史数据信息。
2.2.4网络质量感知
网络质量感知是Turbo Sense AP独有的功能,无线网络开启网络质量感知之后会启用自身的AI射频接入自己的无线网络,进行终端接入、DHCP获取地址、网关检测、DNS地址解析、网络地址检测五个阶段的检测,并通过设置的阈值得出该射频当次的检测结果。
2.2.5业务质量感知
业务质量感知通过用户体验监测、AI模拟探测来监控用户业务,将对应业务的网络质量的情况通过图形和打分的形式直观展示。可通过业务卡片快速修改、勾选对应SLA指标对分值进行重新运算,快速按照新阈值生成标准的新图表。
『终端』可以多维度查看终端的基本信息,包括【在线用户】、【终端列表】、【账号列表】、【身份安全】、【终端安全】、【终端网络质量】等信息。
2.3.1在线用户
在【在线用户】界面可以看到用户概况、在线用户及Portal/RADIUS服务用户。
用户概况中统计了如用户上网时长分布、终端类型分布、终端接收及发送速率分布、信号强度分布、射频接入分布、网络接入分布及认证类型分布,可直观查看终端的整体分布情况。
用户概况
在线用户,可以看到当前接入网络的无线用户信息,显示无线网络的用户,以及用户的终端,权限,流速等信息。
无线用户除了以组织结构查看外,还支持以接入点位置分组的方式查看无线用户信息,如下图:
在线用户
按图4-5中红字标记,可选择勾选更多显示列,查看更详细信息;同时也可以点击用户名查看此用户详细信息。
当NMC或NAC作为Portal服务器对外提供Portal服务时,通过Portal认证的用户会显示在Portal/RADIUS服务用户列表处。可对用户进行注销及临时修改权限操作。
Portal/RADIUS用户
2.3.2终端列表
无线终端:展示单个终端的详细运维信息,包括终端活跃状态等。点击MAC地址可进入终端详细信息,可查询终端安全、业务质量、业务安全、安全风险等信息。
无线终端列表
显示不同区域或分组的交换机下面的终端信息。点击MAC地址可进入终端详细信息,可查询业务质量、安全风险等信息。
有线终端列表
2.3.3账号列表
展示单个账号的详细运维信息。包括账号活跃状态、接入非信任网络、安全事件、流量协商速率、DHCP质量、流量趋势、DNS质量、网关质量、信号强度、通信质量、空口状态等(点击账号名称查看详情)。
账号列表
2.3.4身份安全
身份安全
账号安全事件
显示无线欺骗攻击,ARP欺骗,DHCP泛洪攻击,ARP扫描攻击,IP扫描攻击,端口扫描攻击,DDOS攻击,无线泛洪攻击;10分钟检测1次。
账号活跃度
显示闲置账号和活跃账号的分布,超过5天未登录的是闲置账号,5天以内登录的是活跃账号。
活跃日期
显示周一到周日,登录的账号数量。同1个账号,在同一天重复上下线,只统计1次。
活跃时段
显示1天之内,不同时间段登录的账号数量。同一个账号,在15分钟之内,重复上线下线,只统计1次。
终端类型信息
显示不同的账号,使用什么样的终端登录。
终端数量特征
显示同一个账号,在多少个终端登录过。
账号接入行为
显示账号的接入行为。
显示设置
隐藏,移动所有的安全事件,重启设备依旧生效。
2.3.5终端安全
有线终端安全:显示终端状态,可查看终端数量(在线和离线终端)、终端类型分布、闲置终端、终端离线分布、终端离线趋势及终端迁移和安全事件的行为、次数。可以通过类型分布的饼状图,查看不同类型具体的占比,同时可以通过趋势图,查看一段时间内终端的变化情况,包括离线趋势、迁移情况等。另外,还可点击相应的表项查看相对应的模块具体的数据信息,如:点击“闲置终端”中离线时间大于10天的设备,可看到该设备的mac地址、主机名和最近登陆时间。
有线终端安全
终端黑名单:管理员可以手动添加黑名单,以阻止指定的 MAC 地址终端连接有线和无线网络。
当终端进行暴破登录或者其它恶意攻击行为时,系统会将此终端的MAC地址加入黑名单,拒绝一段时间内该终端的连接请求。由终端类型绑定策略触发的非指定类型终端接入,系统也会将此终端MAC地址加入黑名单并拒绝该终端的连接请求,限制时间随策略而定。
终端黑名单
2.3.6终端网络质量
2.3.6.1无线终端网络质量
无线终端网络质量
概述
汇总展示终端画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
名词解释
无线协商速率:展示终端在不同时间段内流量协商速率变化信息。
网关质量:展示终端在不同时间段内网关请求成功率、时延趋势,以及发起的网关请求数量信息。
流速状态:展示终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DNS质量:展示终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DHCP质量:展示终端在不同时间段内DHCP请求成功率、时延趋势,以及发起的DHCP请求数量信息。
信号强度:展示终端信号强度大小趋势信息。
通信质量:展示终端通信过程中,重传报文、误码报文的占比信息。
空口状态:展示终端单播、广播、管理帧报文一段时间内发送、接收的个数信息,展示单播、广播、管理帧的空口速率信息。
2.3.6.2账号网络质量
账号网络质量
概述
汇总展示账号画像信息,包括流量协商速率、网关质量、流速状态、DNS质量、DHCP质量、信号强度、通信质量、空口状态等。
名词解释
无线协商速率:展示使用账号登录的全部终端、具体终端在不同时间段内流量协商速率变化信息。
网关质量:展示使用账号登录的全部终端、具体终端在不同时间段内网关请求成功率、时延趋势,以及发起的网关请求数量信息。
流速状态:展示使用账号登录的全部终端、具体终端发送速率趋势图,展示终端发送、接收速率与平均速率间的关系。
DNS质量:展示使用账号登录的全部终端、具体终端在不同时间段内DNS请求成功率、时延趋势,以及发起的DNS请求数量信息。
DHCP质量:展示使用账号登录的全部终端、具体终端在不同时间段内DHCP请求成功率、时延趋势,以及发起的DHCP请求数量信息。
信号强度:展示使用同一账号登录的全部及具体终端信号强度大小趋势信息。
通信质量:展示使用同一账号登录的全部、具体终端通信过程中,重传报文、误码报文的占比信息。
空口状态:展示使用同一账号登录的全部、具体终端单播、广播、管理帧报文一段时间内发送、接收报文个数信息,展示单播、广播、管理帧的空口速率信息。
2.4.1网关
网关列表:
查看分支的状态,包括在线状态,IP地址,版本号,接入点在线情况等信息。支持按分支名搜索,更多过滤条件见右上角的高级搜索。
网关列表
网关状态:
概述
监控分支设备的状态信息,提供各分支状态图形信息。
名词解释
活跃状态:展示当前网关每日离线次数及活跃时长。(注单机设备及网络管理中心不显示活跃状态)。
整机负载:以趋势图展示每个网关的发送/接受速率,接入用户数;统计信息中显示当日累积。
资源状态:展示当前网关每个时刻的CPU/内存利用率/磁盘利用率/会话空闲率的趋势,统计信息中提供超阈值告警次数。
接口状态:可查看当前网关每个接口的信息;每日详情中提供当前分支当前接口活跃时段趋势,流量负载中可查看协商速率及实际速率的趋势,以及查看drop报文数和error报文数的丢包情况。
网络质量:展示当前网关的DNS质量和DHCP质量的时段趋势图。
会话状态:展示当前网关的集中转发/本地转发/Portal代理会话数量的每个时段产生的趋势图统计。
隧道状态:每日详情中展示当前网关的命令隧道、认证隧道的活跃时段,速率时延趋势及文件隧道同步失败次数趋势。
认证服务器质量:内部服务器,外部服务器(RADIUS服务器,LDAP服务器,短信服务器,MDQ服务器,数据库服务器)的状态展示(注未配置的服务器会隐藏状态趋势图)。
流量状态:可查看当前网关的集中转发/本地转发/Portal页面/审计速率的每个时段的趋势图统计及时长占比。
2.4.1.1状态总览
概述
监控分支设备的状态信息,提供各分支状态图形信息。
名词解释
• 活跃状态:展示当前网关每日离线次数及活跃时长。(注单机设备及网络管理中心不显示活跃状态)。
• 整机负载:以趋势图展示每个网关的发送/接受速率,接入用户数;统计信息中显示当日累积。
• 资源状态:展示当前网关每个时刻的CPU/内存利用率/磁盘利用率/会话空闲率的趋势,统计信息中提供超阈值告警次数。
• 接口状态:可查看当前网关每个接口的信息;每日详情中提供当前分支当前接口活跃时段趋势,流量负载中可查看协商速率及实际速率的趋势,以及查看drop报文数和error报文数的丢包情况。
• 网络质量:展示当前网关的DNS质量和DHCP质量的时段趋势图。
• 会话状态:展示当前网关的集中转发/本地转发/Portal代理会话数量的每个时段产生的趋势图统计。
• 隧道状态:每日详情中展示当前网关的命令隧道、认证隧道的活跃时段,速率时延趋势及文件隧道同步失败次数趋势。
• 认证服务器质量:内部服务器,外部服务器(RADIUS服务器,LDAP服务器,短信服务器,MDQ服务器,数据库服务器)的状态展示(注未配置的服务器会隐藏状态趋势图)。
• 流量状态:可查看当前网关的集中转发/本地转发/Portal页面/审计速率的每个时段的趋势图统计及时长占比。
2.4.1.2广域网可用性感知
概述
汇总展示各个分支广域网链路质量情况,提供各分支链路质量数据
• 分支在线状态:展示不同时间段分支在线情况
• 分支VPN隧道可用性:展示分支VPN隧道链路可用性情况,包括链路正常和异常, 如果分支出现VPN链路异常情况,可以点击异常数量查看具体分支的VPN隧道离线时间
• 带宽利用率:展示分支带宽利用率分布情况,包括高、中、低三种情况,如果分支出现带宽利用率过高的情况,请检查是否需要升级对应分支出口带宽
• 若存在未配置线路带宽的网关:NAC前往线路接口上启用WAN口属性、SFG前往上网设置填写上/下行带宽
• VPN流量排行:VPN流量排行是将各个分支VPN隧道上下行流量使用情况进行排TOP 5,支持设置不同时间段来进行流量排行
• DNS时延:展示分支广域网链路DNS时延分布情况,包括高、中、低三种情况,如果分支出现DNS时延过高情况,请检查DNS服务器并进行优化
• DNS成功率:展示分支广域网链路DNS请求成功率分布情况,包括良好、差两种情况,如果分支出现DNS请求成功率差情况,请检查DNS服务器是否需要更换
2.4.2交换机
交换机列表(支持显示面板模式和列表模式):
显示交换机的运行状态,可查看交换机的在线状态、负载以及端口状态。可以通过交换机面板图看出来,交换机每个口的Link/Act,PoE供电状态。点击具体的某个口,可以看到端口的详情,包括VLAN和PoE的配置信息,以及流量趋势,端口收发包情况;点击具体的某个光口,可以看到光口的光功率上报详情,包括光发送/接收功率及其阈值。
交换机列表
名词解释
交换机状态:交换机在线/修复/离线状态。在线状态是指三层隧道在线,修复状态是二层隧道在线,离线状态是二三层隧道均不在线。
交换容量:交换容量为整机流量/总协商速率。(注:整机流量取整机发送、接收流量的最大值)
端口负载:负载率指交换机端口的流量/协商速率。图表只统计交换机最大负载率端口,最大负载率端口落在某个百分比区间,则交换机计入此百分比区间。(注:端口的流量取端口发送、接收流量的最大值)
供电负载:只统计支持PoE的交换机,计算方式为:交换机已经提供的功率/交换机总功率。
交换机状态:
显示有线网络的整体运行,能够直接通过该页面查看有线网络下所有交换机和端口的总体运行情况。交换机画像页面由主要包括交换机离线概况、供电负载、系统资源、芯片资源、网络质量、流量负载、帧类型分析、报文分析和网络协议报文接收速率等。
交换机状态
名词解释
交换机离线概况:显示交换机数量(在线/离线交换机)、有线网络中的终端数量、有线网络流量使用状况和交换机离线时长、离线次数与离线趋势。
供电负载:该功能只针对POE交换机,显示交换机实际供电功率与总功率的比值,点击不同区间可以查看不同运行时长的交换机统计数据。
系统资源:显示交换机的CPU利用率和内存利用率,点击不同区间可以查看不同运行时长的交换机统计数据。
芯片资源:按照MAC地址表、ARP表、组播表、ACL表和路由表的利用率分别统计交换机的资源使用情况,点击不同区间可以查看不同运行时长的交换机统计数据。
网络质量:主要由发送和接收的阻塞报文丢包率与Error报文速率组成,其中阻塞报文只统计流量速率超过协商速率的报文,点击不同区间可以查看不同运行时长端口的阻塞报文丢包率与Error报文速率统计数据。
流量负载:流量空闲率=1-(实际速率/协商速率),可以根据流量空闲率查看有线网络所有端口的流量使用情况。
帧类型分析:显示巨帧和普通帧的占比,点击不同区间可以查看不同运行时长端口的统计数据。
报文分析:显示发送和接收的单播、组播和广播报文的报文占比;在网络环路时,接收的广播报文占比会大幅度上升,可以据此来判断环路端口。
网络协议报文接收速率:显示端口的DHCP报文、ICMP报文、ARP报文和TCP报文的接收速率,点击不同区间可以查看不同运行时长端口的统计数据。
设备详情:显示单个交换机的运行情况,主要包括活跃状态、系统资源、供电负载率、芯片资源等。
端口列表:显示单个端口的运行情况,主要包括活跃状态、网络质量、流量空闲率、帧类型分析、泛洪报文分析、报文数量分析等。
2.4.3接入点
接入点列表:
显示无线接入点运行状态,可查看接入点的在线状态、负载及射频质量。
接入点列表
名词解释
信道利用率:信道利用率数值代表信道的繁忙程度
噪声值:指无线网络频率范围内的辐射电磁干扰。噪声问题容易引发无线数据帧的丢包及误码,如果一个接入点所处的位置噪声值比较高,严重影响数据传输,应考虑更换部署地点或清除干扰源。
无线协议:无线接入点的无线网络协议,例如无线网络协议,2.4G支持802.11b/g/n,5.8G支持802.11a/n/ac。
重传率:重传率越高,代表无线网络数据的丢包越严重。
误码率:误码率(BER:bit error ratio)是衡量数据在规定时间内数据传输精确性的指标。在无线数据通信中,如果发送的信号是"1",而接收到的信号却是"0",这就是"误码",也就是发生了一个差错。在一定时间内收到的数字信号中发生差错的比特数与同一时间所收到的数字信号的总比特数之比,就叫做"误码率"。噪声、交流电或闪电造成的脉冲、传输设备故障及其他因素都会导致误码。
接入点状态:
汇总展示接入点业务感知信息,包括接入点离线概况、接入点负载、资源利用率、网关质量、DNS质量、DHCP质量、TCP质量、隧道状态、流量状态、射频接入人数、信道利用率、噪声值等信息。
接入点状态
名词解释
接入点离线概况:展示接入点的离线时长、离线次数和离线趋势情况。
接入点负载:展示接入点不同时间点的接入人数、发送和接收速率情况。
资源利用率:展示接入点不同时间点的内存利用率、cpu利用率、会话空闲率趋势。
网关质量:展示接入点不同时间点的网关请求成功率、网关时延情况以及网关请求趋势。
DNS质量:展示不同DNS请求成功率区间的接入点数量和接入点的DNS时延情况。
DHCP质量:展示不同DHCP请求成功率区间的接入点数量和接入点的DHCP时延情况。
TCP质量:展示不同TCP重传率区间的接入点数量、接入点的TCP时延和TCP连接数情况。
隧道状态:展示数据隧道丢包率、控制隧道时延、隧道断开次数情况。
流量状态:展示接入点不同时间点的数据隧道速率、漫入速率、Portal页面速率等情况。
射频接入人数:展示接入点2.4G和5G频段的接入人数。
信道利用率:展示接入点不同时间点的信道利用率情况。
噪声值:展示接入点不同时间点的噪声值变化。
设备详情:
展示单个接入点的详细运维信息,包括活跃状态、整机负载、资源状态、接口状态等信息。
接入点设备详情
名词解释
活跃状态:展示当前接入点每日服务时长和离线次数,点击可查看每日具体每个时刻的详细数据。
整机负载:展示当前接入点每日累计服务人数、接入用户0-10个和大于等于50个所占比例、发送速率和接收速率0~0.2Mbps所占比例。
资源状态:展示当前接入点每日CPU利用率超阈值次数、内存利用率超阈值次数、CPU利用率≥95%、内存利用率≥95%、会话空闲率0~10%所占比例。
接口状态:可查看接入点每个接口的信息,累计活跃时长、累计离线次数、流量空闲率等;每日详情中提供当前接口的活跃时长、离线次数、累计单播报文数量、累计多播报文数量。
2.4.4网络日志中心
1、查看各个区域网络日志中心状态,包括状态、名称、IP地址、关联网关、软件版本号、硬件版本号、最近同步时间和日志查看
2、支持查看每个网络日志中心详情数据,包括CPU、内存、网口状态、吞吐量以及关联网关具体详情
2.5.1智能网络拓扑图
显示信锐设备(交换机和ap)的运行状态,可查看信锐设备的在线状态、负载以及端口状态。可以通过交换机面板图看出来,交换机每个口的Link/Act,PoE供电状态。点击具体的某个口,可以看到端口的详情,包括VLAN和PoE的配置信息,以及流量趋势,端口收发包情况。通过AP面板图看出来AP和交换机以及AP和AP连接状态。点击AP之间或AP和交换机之间的连线,可以看到端口连接情况。
智能网络拓扑图
名词解释
主拓扑:与网关同二层的信锐设备通常显示在主拓扑中。
分支拓扑:与网关跨三层的信锐设备通常显示在分支拓扑中。
无连接离线设备:信锐设备离线以后,且与智能网络拓扑图中的其他设备无连接数据,成为无组织离线设备。
无连接待激活设备:跨三层可发现、未激活的设备,与智能网络拓扑图中的其他设备无连接数据,称为无连接待激活设备。
二层透明网络:我司框式交换机/我司胖模式交换机/我司低版本交换机/我司低版本AP/我司胖AP/非我司设备等在拓扑中均显示为二层透明网络。可根据实际拓扑,将二层透明网络替换成我司设备,进行后续管理。
三层网络:分支拓扑与网关之间经过三层网络相连。
2.5.2流控状态
显示流量控制通道的实时信息。
流控状态
名词解释
线路:该通道属于哪条线路。
瞬时速度:通道的实时速率(上1秒的流量)。
占用比例:通道实时带宽占用率。
用户数:通道中的基于IP统计的用户数(上一秒的统计值)。
保证带宽:通道配置的保证带宽值,如果是限制通道,则保证带宽值为0。
最大带宽:通道配置的最大带宽值。
优先级:通道中配置的优先级。
突破限制:限制通道中开启了空闲带宽突破功能后,该通道的突破状态。
绿色箭头:则表示该通道已经突破自身最大带宽,并且实际速率超过最大带宽。
灰色箭头:则表示该通道已经突破自身最大带宽,但是实际速率并没有超过最大带宽。
-:表示该通道没有开启带宽突破功能。
线路状态:显示当前线路的总的瞬时速率。
排除策略:显示被排除策略排除的流量统计,会统计每条线路每条策略排除的流量。
2.5.3流量排行
应用流量排行:统计集中转发与本地转发的流量,并按应用进行汇总和排行。点击用户数可查看使用此类应用流量最多的前10个用户。
用户流量排行:统计集中转发与本地转发的流量,并按用户进行汇总和排行。点击应用名称可查看此用户使用的应用中流量最大的前10个应用。
流量排行
2.5.4VPN状态
2.5.5无线网络
显示无线网络的实时状态,包括生效的接入点,上线用户线,发送速率和接收速率。
无线网络
2.5.6网络安全
安全状态
显示当前无线网络环境下,网关、接入点的安全状态。
安全状态检测的事件类型包括:钓鱼AP,有干扰的邻居AP,非法AD-Hoc,无线泛洪攻击,DoS攻击,爆破攻击,BSSID冲突检测,私设ip,无线欺骗攻击,ip冲突,ARP欺骗,DHCP泛洪攻击,ARP扫描攻击,ip扫描攻击,端口扫描攻击。
安全状态可以查看时间段分别为今天、某一天、最近7天和最近30天发生的各种安全事件的简要信息。
趋势图 : 攻击者个数的趋势信息。
饼图 : 各种安全事件的比例。
详情 : 此攻击者出现的时间段。
安全状态
安全日志
记录所有的检测到的无线网络安全事件,并记录检测到的结果。
安全日志
2.5.7东西向流量安全
终端流量分析
展示终端流量统计分析状况,包括区域概况、实时守护终端、终端类型分布、区域守护状态、安全/风险服务访问状态、出站/入站服务访问趋势、出站/入站访问拦截、攻击服务分、攻击访问趋势情况等。
终端流量分析
服务访问日志
显示观察区域/保护区域/观察角色/保护角色内的终端的详细访问记录,包括时间、访问终端、被访问终端、服务类型、访问状态、访问次数等。还支持按服务类型或访问状态等多种条件进行过滤,按终端信息进行查询。
服务访问日志
2.5.8地址池状态
展示网关和交换机DHCP地址池的IP分配情况,通过 发生冲突的IP、获取IP失败的终端、地址池利用率等信息,管理员可以直观快速地发现解决网络问题。
支持图标模式和列表模式。
地址池状态
2.6.1告警日志
系统运行过程中,如果检测到较严重的事件,并且需要管理员注意或确认时,将产生告警事件
例如:接口掉线、接口故障检测失败、VRRP 备份组发生主备状态切换、管理员通常需要确认是否确实存在异常,并尝试排除异常。
告警日志
3.1.1接入点管理
对所有无线接入点进行全部集中分组和管理,包括配置无线信号,工作模式,射频工作范围,隧道参数等。
接入点管理
如果有大批量的AP需要集中配置,也可以下载采用下面接入点管理文件的示列文件进行批量的编辑和导入。
3.1.2接入点参数
在接入点参数中,可以统一编辑接入点的相关参数配置。
接入点参数
工作模式:可以分为三种,分别是:Normal,Hybrid和Monitor模式,如下图:
工作模式
Normal模式:表示是正常工作模式,AP在该模式下,AP可以固定工作信道,如果选择为auto,射频和信道参数只会在AP每次加电时自动调整一次,后续都会稳定在该频率范围和信道上工作,不会变化,除非手动去【射频管理】菜单下手动点击调整。
Hybrid模式:混合模式,默认选择该模式,AP在该模式下,射频和信道参数会默认每个10分钟检测一次,如果发现当前信道通讯质量没有其他信道通讯质量好,会自动切换到质量更好的信道进行通讯。Hybrid模式AP也可以用于钓鱼AP反制,但是反制效果不及Monitor模式AP效果好。
Monitor模式:监控模式,在该模式下,无线网络不能正常使用,主要用于钓鱼AP反制。
信道功率:可以在此对每个AP的功率和信道进行手动调整,在网络优化时,才需要手动配置此项功能。不同类型AP支持最大功率不一样,需要正确选择AP可工作的功率范围,配置界面如下:
信道功率
网关接入点:在AP为网关模式本地转发时,在这里配置用于给AP下的终端分配地址的地址池。
网关接入点
射频参数:射频参数主要用于选择AP是工作在2.4G频段还是5.8G频段,以及选择网络协议b/g/n和a/g/n的选择,是否启用功分方案、调整信道、功率、等射频相关的功能。
射频参数
名词解释
1、5G接入探测帧引导
在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。
2、多播优化
一般当单接入点覆盖范围内超过40个终端时,建议开启此功能。
多播优化配置
无线接入点默认以1Mbps速率来发送多播报文,在多播报文较多的情况下会严重降低无线网络的总体吞吐率。目前可通过如下方式来提高无线网络的整体总体吞吐率。
(1)多播报文发送速率:
自动: 系统将持续评估当前的无线网络环境, 自动选择一个更优,且不显著影响广播报文可靠性的速率来发送广播报文,提高了无线网络的总体吞吐率。
固定速率: 无线接入点若以固定速率发送多播报文,可防止低速终端拉低多播报文整体吞吐率。适用于终端与无线热点距离在10米以内非干扰的多播应用场景。
(2)多播通道带宽权重:
在开启用户间平均分配带宽或者流量通道间动态分配带宽时,默认多播通道占用权重比例为90%。若当前环境处于多播应用场景,可根据实际情况调整多播通道占用的权重比例。比如电子书包场景,建议将多播通道占用权重设置为90%。
(3)忽略省电模式的终端:
按照802.11协议规定,如果接入点上有一个无线终端处于省电模式,则系统需要将所有的多播进行缓存,等到beacon帧发送后才能进行发送。这样在实时的多播应用场景下,如果存在睡眠的无线终端,将会导致多播报文无法快速及时发送,影响用户体验。
启用该功能后,接入点发送多播报文时将会忽略处于省电模式的无线终端,直接将报文发送出去。由于该功能实际上打破了802.11协议的定义,会造成处于省电模式的无线客户端无法接收到多播报文,所以仅对特殊场景应用(例如电子书包)可以考虑启用。
3、终端速率限制
该功能是信锐技术产品自研的优势功能,对于距离远的低速终端,拒绝其接入,可以提高其他正常信号范围内用户的上网体验。
通常情况下,离无线接入点越远的地方,终端接入进来的速率会越低。通过限制终端接入的速率,可以限制边缘区域的低速终端接入,这样可以提高无线接入点的吞吐效率,也能防止非目标用户的接入。限制的速率越大,有效的接入范围越小;限制的速率越小,有效的接入范围越大;不限制时,有效接入范围为最大。如果部署无线接入点的密度较大时,接入点的信号覆盖范围会较小,边缘接入的终端速率也相对较大些,如果想限制边缘终端用户接入,可以将限制的速率调大。如果部署无线接入点的密度较小时,接入点的信号覆盖范围会较大,边缘接入的终端速率也相对较小些,如果想限制边缘终端用户接入,可以将限制的速率调小。
终端速率限制
4、数据传输速率下限
通常情况下,离无线接入点越远的地方,数据传输速率会越低。通过限制数据传输速率,可以限制边缘区域的低速终端接入,这样可以提高无线接入点的吞吐效率,也能防止非目标用户的接入。
5、限制beacon帧发送速率
Beacon帧发送速率低时,对应睡眠周期拉长,节能省电,但是新连进来的设备就要很久才能显示出来这个wifi热点;Beacon帧发送速率高时,发送beacon较为频繁,适合漫游之类的环境,可以高速切换到功率高,性能好的AP身上,但是会占用信道传输正常数据。
6、天线MIMO
在做室外网桥/中继,或者部署一个狭长区域的时候,往往需要使用抛物面定向天线,但目前很多定向天线,只有1个天线接头,很少有支持 2X2 的,即使支持,很多体积和价格都过高,因此为了节约用户成本,需要将接入点上不用的天线关闭掉。
7、高密优化
在无线网络环境中,无论终端是否接入到无线网络,都会定期在每一个信道发送广播probe request(探测帧请求)。当在无线用户比较多的网络环境中时,会产生大量以低速率发送的probe reponse(探测帧响应)报文,影响接入点整体的吞吐量。启用高密优化选项后,接入点将不会响应终端广播的probe request(探测请求),降低了由于低速率发送probe response(探测帧响应)消耗的性能空间,提升高密度场景用户的无线上网体验。
8、高级选项
涉及到无线数据的传输效率问题,默认不建议也不推荐修改。
高级选项
隧道参数:可以设置AP到NAC之间的数据隧道是否启用加密。用于设置AP与NAC之间的控制隧道保活时间,在较差的网络环境中,放大隧道保活时间,可避免因网络抖动造成的AP频繁断线。
隧道参数
有线接口配置:有线口配置是指AP上的物理二层口,可以配置成Trunk口和Access口。当VLAN属性为Trunk时,允许VLAN是可以放通vlan范围,Native VLAN是判断是否添加或剥离vlan头。
有线接口配置
其他配置:
其他配置
名词解释
认证信息转发:将本地转发的用户转发到其他设备,避免再次认证。
AI射频:Turbo Sense AP通过AI射频模拟终端的方式,检测了终端接入、DHCP获取地址、网关检测、DNS解析、网络地址检测五大阶段,全方面的判断无线网络的质量,并对收集到的信息进行分析。仅针对Turbo Sense AP生效。
认证页面缓存:适用于远程部署的接入点,可以节省接入点和控制器之间的流量。该功能将认证页面缓存到内存中,不需要接入点的USB支持。
无线信息采集:配置接入点上是否上报终端发现信息、邻居接入点的信息到控制器。
物联网套件:涉及物联网套件时启用。
USB接口工作模式:对于有USB接口的接入点,USB口的工作模式。需要将应用加速功能缓存到接入点时,请将模式配置为USB缓存功能。
设备灯控制:可针对设备状态灯进行启用、关闭操作;也可设置定时计划开关灯。
上联口链路检查:此功能用于当接入点上联口出现异常时通过重启接入点的方法进行自动恢复。 上联口链路检查默认开启,默认600s。此功能触发需要满足以下四个条件:接入点和控制器断开隧道; 接入点ping不通网关和控制器;接入点上联口up;接入点上联口rx tx都不变。
业务画像信息上报:对业务画像信息上报开启或禁用。
蓝牙模块:此模式仅支持蓝牙的AP(NAP4650)可配置,可结合微信摇一摇.周边使用,其中参数由微信摇一摇周边提供。
2/3/4G线路:此功能通过4G模块解决公交车等不能部署有线场景上网的问题。有线和4G模块都可以做为AP的出口,优先使用哪个页面可配,优先链路网络恢复后,可切换到优先链路。
延迟下电:用于车载AP的场景,如NAP-4100-V,开启此功能后,当车用ACC电源关闭时,AP会延迟指定的时间再关闭系统,用于防止车辆中途短时间熄火导致AP系统不稳定。
认证透传:启用后接入点不处理认证请求,适用于交换机上开启用户认证场景。
3.1.3发现新接入点
部署无线接入点之前,通常不需要对接入点进行任何配置。网络管理员只需要在网关中,集中管理所有的接入点及无线网络,这种方式简化了部署及配置过程。
因此,无线接入点启动后,需要首先寻找网关的地址,以连接到网关,以接受统一管理,获取配置,创建数据隧道等。接入点支持通过多种方式发现网关的 IP 地址,请根据实际部署环境选择。
为防止未授权的接入点连接到NAC,并获取无线网络配置的风险。无线接入点(AP)连接到NAC后,并未进入工作状态,需要管理员在"发现新接入点"列表中,确认接入点的合法性,并手动执行激活操作,接入点才能正常工作。
当AP接入网络中,AP会自动发现NAC,当AP第一次发现NAC时,会在NAC上看到新的接入点,需要进行激活后,才能正常使用无线AP,并下发配置。
图 4‑93 发现新接入点
提示:在NAC控制台的右上角,当有出现图标时,表示还有未激活的接入点,需要到该页面激活。
激活AP:当NAC上发现AP时,需要激活,激活按钮可用。
激活AP
点击激活后,配置界面如下:
激活AP
可以编辑AP的名称,地理位置,便于后续AP的识别分组和管理,默认AP以其MAC地址为名称
所属组:配置AP所属于的管理组,便于对AP进行集中管理和配置。
发现控制器IP:填写AP用于连接的NAC的IP地址,如果给AP填写了NAC的地址,AP下次重启后,会自动以该配置IP连接NAC并建立隧道
发现控制器域名:用于AP自动发现NAC用,当AP解析到该域名时,AP会自动向NAC请求连接。NAC发现该AP后,就可以对该AP进行策略下发配置了
网络地址:可以设置自动获取,也可以设置固定IP地址
替换AP:发现新设备时,可以将要激活的设备替换为已经激活过的设备。替换时,可以选择将旧设备删除或是重新激活。
3.2.1无线网络
『无线网络』:可以【新增】、【删除】、【启用】、【禁用】一个无线网络。新增无线网络需要设置无线终端接入的无线信号SSID,认证方式,设置无线接入点范围,数据转发模式等,下面将一一详细讲解。下面为无线网络的配置截图:
无线网络
无线网络号SSID可以设置为“汉语”,对汉语的支持比较好无线终端可以正常显示,多数PC无法正常显示,一般建议设置为英文类型的SSID。
新增一个【无线网络】, 分为通用无线网络、高级无线网络、同频无线网络、智能PSK无线网络、多因子无线网络。可按需选择,我们此处以新增高级无线网络为例(注意如果分支是SFG场景,需要选择普通无线网络)。
新增无线网络
包含【基本配置】、【认证类型】、【终端验证】、【帐号认证】、【访客认证】、【多因子认证】、【vlan设置】、【权限设定】、【应用节流】、【高级选项】,如下图:
无线网络
基本配置
【基本配置】需要设置无线网络名称(SSID),并设置无线网络在哪些接入点AP上启用,以及该无线网络在AP上的数据转发模式,并设置工作频段。
数据转发模式分为集中转发,和本地转发模式,集中转发模式表示无线终端STA所有的上网业务数据到达AP后,由AP进行数据封装,由AP集中转发给NAC,再由NAC集中转发出去上网。本地转发模式表示无线终端STA所有的上网业务数据到达AP后,由AP根据本地路由网关直接转发数据出去,不对数据包进行封装。
设置的频段分为2.4G和5G共2个频段,可以分别设置启用,也可以设置2个频段同时启用。其中高级选项中,可以针对该SSID,每个AP接入人数做限制,隐藏SSID表示该无线网络不主动广播其信号,无线终端不能自动发现该网络,必须在无线终端STA上手动填写SSID,并设置才能接入该无线网络。营销广告推送设置,如果需要使用控制器营销推送功能,需要勾选以下2个设置。
营销功能
认证类型
认证类型
认证类型有以下几种类型可以选择:
[WPA/WPA2(企业)]:选择WPA或WPA2加密方式的企业认证方式
[开放式]:选择开放式的无线接入方式认证
[WPA-PSK/WPA2-PSK(个人)]:选择WPA或WPA2加密方式与预共享密钥的个人认证方式
[WPA2-PSK/WPA3-SAE(个人)]:选择WP2或WPA3加密方式的个人认证方式
[开放式+WEB认证]:选择开放式的无线接入方式与WEB方式认证组合
[WPA-PSK(个人)]:选择WPA加密方式与预共享密钥的个人认证方式
[WPA2-PSK(个人)]:选择WPA2加密方式与预共享密钥的个人认证方式
[WPA3-SAE(个人)]:选择WPA3加密方式与对等实体同时验证的个人认证方式
[WPA3-OWE]:选择WPA3加密方式的开放式认证方式
[WPA3-OWE+Web认证]:选择WPA3加密方式的Web认证方式
[WPA-PSK/WPA2-PSK+WEB认证]:选择WPA或WPA2加密方式与预共享密钥认证方式接入无线网络,再结合WEB方式认证的组合
[WPA2-PSK/WPA3-SAE+WEB认证]:选择WPA2或WPA3加密认证方式接入无线网络,再结合WEB方式认证的组合
[WPA(企业)]:仅选择WPA加密方式的企业认证方式
[WPA2(企业)]:仅选择WPA2加密方式的企业认证方式
[802.1X]:基于802.1X的认证方式
下面我们对这些认证类型做一个简单的分类,以便进行功能区分,所以该分类依据是以功能性差别进行的划分,他们之间有重合的可能,比如开放式认证和WEB认证就可以结合一起使用,划分为如下四类:
第一类:企业方式认证
选择采用“企业”方式的认证还包括WPA(企业)、WPA2(企业)、WAPI(企业)
加密方式:自动选择,包括AES和TKIP,企业类型的认证,在终端验证和用户认证出现的界面与WEB方式认证是有所差别的,这些差别就决定了“企业方式认证”和“WEB方式认证”与“个人方式认证”的差别。
企业方式认证是采用802.1X架构的认证方式,无线终端也需要采用配置802.1X方式认证。
企业级认证
第二类:WEB方式认证
web 认证是指无线终端接入无线网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
web 认证通常与开放式无线网络一起使用,也就是用户连接无线网络时,不需要任何认证。由于无线网络的流量未加密,因此 web 认证的无线网络,通常只用于非关键性的网络中,例如仅用于访客访问互联网,无法访问企业内部网络。
开放式+Web认证
WEB方式认证包括:WPA3-OWE+Web认证、WPA-PSK/WPA2-PSK+WEB认证、WPA2-PSK/WPA3-SAE+WEB认证、开放式+WEB认证。
Web认证方式
认证方式:
1、【帐号认证】、【访客认证】、【账号认证+访客认证】
2、【使用外部Portal服务器认证】可以对接外部Portal服务器实现外部portal认证。
认证方式
认证页面是我们在【认证授权】-【认证页面】设置的自定义页面或者采用系统默认的页面。采用第三方Portal认证时,Portal服务器选择【认证授权】-【认证服务器】中添加的portal服务器。认证前角色是指进行WEB认证成功前,默认可以使用的网络权限对应的角色,重定向端口是指无线终端STA有该端口的数据时,进行认证页面的重定向。
第三类:个人方式认证
选择“个人”方式的认证
个人认证
个人方式认证包括:WPA2-PSK(个人)、WPA-PSK(个人)、WPA/WPA2-PSK(个人)以及WAPI-PSK(个人)。
个人认证
加密方式:自动选择,包括AES和TKIP方式,接入密钥是只设置接入无线网络的预共享密钥。
第四类:开放式认证
开放式认证是指无线终端用户接入无线网络时不需要进行验证即可正常接入无线。
开放式认证
终端验证
终端验证可以显示的内容是由已经选择的认证类型来决定的,选择不同的“认证方式”,会显示不同的页面,也就会有不同的功能性差异。
当选择了包含“开放式认证“和“个人认证”方式时,可以对无线终端的终端类型和MAC地址的合法性进行校验,其中MAC地址校验是通过启用“检测终端MAC黑白名单”来进行的。MAC白名单是在【认证授权】-【MAC白名单】预先设置好的合法MAC地址。
开放式+web认证时,终端验证的配置如下:
终端验证
“终端验证失败后”表示即使MAC与终端类型验证失败后,也继续让该用户进行后续的WEB方式认证。如果不勾选该功能,只要无线终端的MAC验证不在【对象定义】中的【MAC白名单】中,就完全拒绝该用户的进行进一步认证,直接拒绝其上网。
选择“企业”方式认证后,终端验证也可以启用检查终端MAC白名单。可以设置允许终端验证失败(或未加入域)时,继续进行用户认证,并设置认证通过后的角色。认证通过后的vlan。为通过域计算机验证的客户端分配权限以登录到域,需要设置可以使用的角色让PC能正常登录到域,并设置对应的vlan。
帐号认证:区分两种认证方式。
第一种:Web方式认证
当选择【开放式认证】和【个人认证】时不能选择配置【帐号认证】,只有选择【WEB方式】或【企业】方式时才可以配置
如下是当选择企业或WEB方式认证时,可以配置的用户认证配置:
当选择WEB方式认证时,帐号配置页面如下
Web账号认证
第二种:企业方式
企业方式有以下下几种认证类型:EAP终结与EAP中继2种方式。并可以设置服务器认证配置冗余,以及设置自动绑定最初认证用户名与MAC地址,并可以指定对某一类型的终端进行MAC地址绑定关系检查,比如windows终端。
1、EAP中继
EAP中继
EAP 中继是指无线接入点把无线客户端的 EAP 报文直接转发到 RADIUS 服务器,由 RADIUS 服务器来完成认证过程。因此认证方法由 RADIUS 服务器中配置,与NAC无关。
在WPA/WPA2-企业 无线网络中,通常使用的认证方式为 EAP-TLS 或者 PEAP-MSCHAPv2,因此需要确认 RADIUS 服务器支持所需的认证方式。常见的 RADIUS 认证服务器为微软 Windows Server 系列中提供的 IAS/NPS 服务。
2、EAP终结
EAP终结
终端认证方式
“EAP 终结:EAP-TLS” 是指由NAC来完成 EAP-TLS 认证过程。EAP-TLS 协议是在 EAP 协议框架上,使用 TLS 协议来完成身份认证,密钥交换功能。TLS 协议也是 HTTPS 协议的核心。因此 EAP-TLS 可以视为与 HTTPS 协议具备同等的安全性。
EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份。并使用非对称加密方式,在无线客户端及认证服务器间安全地协商数据加密密钥,保证无线数据传输的机密性及完整性。
由于使用了基于证书的身份验证方法,避免了基于密码认证方法所存在的由于密码泄漏,密码强度低等原因导致的密码被猜测或暴力破解的风险。因此 EAP-TLS 提供了目前无线认证中,最安全的认证方法。缺点是所有客户端都需要安装个人证书,部署比较复杂。
3、服务器证书(向无线用户证明身份)
在 EAP-TLS 身份验证过程中,服务器使用此证书创建 TLS 连接,并向客户端计算机证明身份。客户端可以选择验证此证书的颁发者及主题名称,来保证连接到正确的企业无线网络中,避免连接到由攻击者伪造的同名恶意网络导致的安全风险。
由于系统自带的服务器证书未被客户端信任,在 Windows 系统客户端中,如果无线网络配置选择了"验证服务器证书",将导致客户端无法连接无线网络。因此需要了解关于服务器证书的要求,如果有必要,需要考虑向商业证书颁发机构购买证书。
4、CA 证书
用于检查客户端合法性的 CA 证书。客户端提交的证书将要求由此 CA 颁发,并通过此 CA 配置的有效性检查选项。
5、EAP 终结:PEAP-MSCHAPv2
“EAP 终结:PEAP-MSCHAPv2” 是指由NAC来完成 PEAP-MSCHAPv2 认证过程。
EAP-MSCHAPv2 是基于密码的认证方法,最初是由微软设计用于为拨号及 VPN 连接提供更安全的认证方法。虽然 EAP-MSCHAPv2 提供了更安全的认证方法,但存在的安全弱点是,如果攻击者能监听 EAP 报文,则可以通过离线的字典攻击,分析用户的密码。
把 EAP-MSCHAPv2 跟 PEAP 结合一起使用,得益于 PEAP 内部创建的 TLS 隧道所提供的健壮安全性,EAP-MSCHAPv2 的交互过程可以得到加密保护,从而防止了攻击者通过离线字典攻击方式来分析用户密码的安全弱点。
PEAP-MSCHAPv2 协议,由 2 个阶段组成:
阶段 1,PEAP。首先协商 PEAP 协议,创建一个只使用服务器证书的 TLS 隧道。在这个阶段中,客户端可以选择验证服务器证书,并检查服务器端证书的主题、颁发者等证书信息,完成对服务器证书的认证,避免连接到一个由攻击者创建的,名称相同的无线网络中导致的安全风险。
阶段 2,EAP-MSCHAPv2。在 PEAP 协议的 TLS 隧道内部,协商另外一个 EAP 方法,这里为:EAP-MSCHAPv2。在这一步中,客户端需要提供用户名及密码凭据,以完成对客户端的身份验证。验证完成后,RADIUS服务器,会为每个客户端生成不同的会话密钥,以对接入点与无线客户端之间传输的无线数据包进行加密。
6、服务器证书(向无线用户证明身份)
在 PEAP-MSCHAPv2 协议阶段 1 中,服务器使用此证书创建 TLS 连接,并向客户端计算机证明身份。客户端可以选择验证此证书的颁发者及主题名称,来保证连接到正确的企业无线网络中,避免连接到由攻击者伪造的同名恶意网络导致的安全风险。
由于系统自带的服务器证书未被客户端信任,在 Windows 系统客户端中,如果无线网络配置选择了"验证服务器证书",将导致客户端无法连接无线网络。因此需要了解关于服务器证书的要求,如果有必要,需要考虑向商业证书颁发机构购买证书。
7、允许登录用户
选择允许连接无线网络的组,默认选择根组,也就是所有本地用户都允许通过认证,并连接此无线网络。
8、RADIUS 服务器冗余
使用 RADIUS 中继模式下,允许配置多个 RADIUS 服务器,实现认证服务器的故障冗余备份。
访客认证
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场、交通枢纽、医院、酒店、商场、学校等地方。
访客认证
VLAN设置
VLAN配置是为了更好的实现无线终端的控制和管理,进行无线VLAN的划分;无线VLAN划分与有线网络VLAN的划分是有一些差别的,无线VLAN的划分以及VLAN之间的数据处理,是由AP和NAC针对无线网络用户进行管控和路由的,而AP和NAC之间是由隧道封装的。所以当采用集中转发时,无线VLAN的标签是在AP与NAC中间的隧道内。当本地转发数据时,配置VLAN,无线数据标签由AP打上标签转发出去。
VLAN设置
用户认证成功后,系统将提取出用户此次认证过程的所有属性,主要包括:用户名,所属组,接入的 AP,RADIUS 服务器返回的属性值,用户的 LDAP 属性值,证书中的属性值等。然后从上往下,按优先级方式查找角色以及 VLAN 分配规则表,如果用户的属性匹配上规则的条件,则根据规则中的设定值,为用户分配角色或 VLAN。
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。如果用户未匹配规则表中的任何规则,则使用设定的 "默认角色" 和 "默认 VLAN"。
基于规则的VLAN设置
权限设定
【权限设定】主要用于设定终端通过认证后,具有访问网络资源的权限,角色包括访问控制策略、审计策略、流速限制策略、流量与时长控制策略,可以根据AP组,无线终端用户组等信息详细的配置角色策略,可以根据SSID设置一个默认的角色,配置如下:
权限设定
应用节流
有利于节省您的网络带宽资源,提升终端浏览/下载体验。如果您使用了APP推广,推荐开启APP下载加速。
应用节流
高级选项
1、认证后跳转
认证后跳转功能是指启用WEB认证后,帐号认证用户与访客认证用户通过认证后调整的页面,默认跳转到认证前浏览的页面,可以设置固定的URL,配置如下:
认证后跳转
还可以根据不同用户所在AP组的位置,以及用户组的方式指定认证跳转的页面,配置如下:
基于规则的认证后跳转页面
用户计费
可针对WEB认证账号认证和访客认证的用户添加计费服务器进行计费。
用户计费
限制账号在多个终端同时登录
限制帐号同时登录的终端数,比如只允许帐号在一台终端上登录,不允许在多台终端上登录,就类似私有帐号与公有帐号的区别。
限制账号
WEB接入MAC免认证
Web接入MAC免认证针对WEB认证的账号认证及访客认证有效,在该列表中排除的终端,连接无线后将不需要进行WEB认证直接分配对应角色。
WEB接入MAC免认证
3.2.2无线网络自动配置
无线网络自动配置,为了快速便捷的部署无线网络,便于管理员维护,可以在此配置无线网络自动配置,具体配置页面如下:
无线网络自动配置
用户证书注册服务:“证书注册服务” 是无线网络自动配置方案的一部分。在部署基于证书认证,且使用内置 CA 颁发用户证书的无线网络时,需要启用 “证书注册服务”,使得 “自动配置工具” 能为用户自动申请并安装个人证书,才能完成无线网络的自动配置。
3.3.1无线负载策略
按接入点分组划分出一个区域,控制该区域的终端接入时是否优先接入5.8g频段、是否开启接入点间负载均衡和动态负载引导,也可以控制该区域的射频是否需要射频信号覆盖补偿。
无线负载策略
优先接入5.8G频段
用来引导双频无线客户端优先接入无线环境中的5.8G网络,勾选后,可以提高5.8G网络的利用率。
接入点间负载均衡
客户端连接无线网络时,如果同时探测到多个接入点的信号,通常会选择连接信号强度最高的接入点。这可能会导致相邻的几个接入点间,负载不平衡,例如某个接入点服务了大量的用户,但临近的另外一个接入点仍然比较空闲。
启用接入点间负载均衡功能后, 在用户接入网络时,如果已连接用户数超过指定值时, 将会执行负载均衡(当无线客户端连接到某个繁忙的接入点后, 此接入点将拒绝该客户端接入, 迫使无线客户端漫游到一个附近较空闲的接入点。 如果拒绝失败,则会使用漫游引导报文, 引导无线客户端漫游到人数较少, 信道利用率较低的接入点),以平衡接入点的负载。 负载均衡操作只会在物理上邻近,且处于相同分组的接入点间进行。
符合较空闲的接入点必须满足两个条件:
检测到无线客户端信号强度大于等于页面上配置的信号强度阈值;
邻居接入点上的接入人数减去该接入点上接入人数的差值大于页面上配置的接入人数差值。比如: 邻居接入点上的接入人数为10,页面上配置的接入人数差值为3,则此时该接入点上的接入人数应该小于等于10-3=7。
动态负载引导(防终端粘滞)
参数配置
动态负载引导功能是指终端距离接入点较远时,接入点主动使终端发生漫游,提高终端上网体验。即接入点检测到的终端的信号强度小于信号强度阈值,并且该终端的无线流量小于阈值流量时,接入点会使终端发生漫游。 仅使用1台AP时不建议启用该功能。
1、负载参数:只有负载参数同时满足时,优先接入5.8G频段和接入点间负载均衡才会被触发。
2、人数阈值:接入点上达到的在线用户数,建议取值为10。
3、人数差值:用来决策可接入的邻居接入点,建议取值范围[1,5]。AP部署密度较大时,取值越大体验越好;AP部署密度较小时,取值越小体验越好。
4、信号强度阈值:用来决策参与负载均衡的邻居接入点, 建议取值范围[-90, -70]。AP部署密度较大时,取较大值效果较好;AP部署密度较小时,取较小值效果较好。
5、总信道利用率:用来决策参与负载均衡的接入点,建议取值范围为[60,90],其中:总信道利用率=环境中的信道利用率+自身信道利用率。
6、弱终端参数:只有弱终端参数同时满足时,动态负载引导才会被触发。
7、智能射频:射频信号覆盖补偿,接入点异常/离线时,由邻居接入点自动放大功率进行信号覆盖。
3.3.2无线优化策略
射频提速功能可以减少无用的广播包转发至无线终端,增加无线的传输的稳定性,并有效的提高无线终端的数据传输效率。包含广播优化,电子书包优化功能。
射频提速
启用用户间平均分配带宽:同一无线接入点上同一频段的所有无线终端用户之间带宽分配权重相同,当无线接入点传输带宽不足时,每个终端占用的无线时间保持基本一致;带宽足够时,用户带宽将不受此限制。建议关闭掉。
ARP转单播:从有线测到无线终端的ARP广播包,在NAC和AP有记录的ARP对应表会转为单播,而不再采用广播数据,提高数据的传送效率
禁止DHCP请求发往无线终端:对于无线测的终端,默认是以上网类的PC、平板、智能手机等终端,默认不包括DHCP服务器的,所以启用该功能可以有效抑制DHCP请求包发往无线终端测,提高传输效率。
禁止mdns发往无线终端:mdns报文用于在没有传统dns服务器的情况下广播发现局域网内的主机。目前苹果系统的产品支持较多,如果要使用类似Bonjour这样的软件,请在使用的vlan不开启禁止功能。
禁止nbns发往无线终端:windows系统的名称解析协议的数据包,在局域网内一般会大量存在,严重时会影响用户的上网数据传输。
启用MAC白名单:允许源MAC地址在白名单内的mdns、nbns包发往无线侧。
电子书包多播优化功能:对于默认的802.11协议中,对于广播数据是有一定速率限制的,为了适应新环境下的网络需求,有效且合理的提升了广播包的发送速率,增加了无线终端发送速率。
3.3.3无线漫游域
1、无线漫游域主要解决的客户问题:
(1)终端跨VLAN漫游时,偶尔会出现终端没有重新获取IP地址的情况,导致无法上网;
(2)终端跨设备跨VLAN漫游时,偶尔会出现终端没有重新获取IP地址的情况,导致无法上网。
2、给客户带来的价值
终端在跨VLAN漫游和跨设备漫游时,可以继续上网。
配置方法
网关漫游域对集中转发生效。漫游域针对组网需要跨VLAN漫游的情况,如组网不涉及跨VLAN漫游,则无需使用网关漫游域。
1、同网关漫游:终端在同一台网关上漫游
(1)存在如下集中转发的组网,为解决终端从接入点1漫游到接入点2能继续上网,漫游域配置如下。
无线漫游域拓扑1
(2)网关漫游域的HA网络是给终端分配的VLAN和IP,将需要漫游的IP和VLAN写到一个漫游域中,终端连接无线网络VLAN31对应的地址段192.168.31.0,VLAN32对应的地址段为192.168.32.0,归属则选择本网关。
网关漫游域配置
2、跨网关漫游
(1)存在集中认证且网点集中转发如图的组网,为解决终端跨网关漫游可以正常上网,漫游域配置如下:
无线漫游域拓扑2
(2)添加漫游控制器的通信地址。
漫游网关
(3)根据设备分配的VLAN配置控制器漫游域,将需要漫游的VLAN和IP地址写到一个漫游域中,终端连接网点1控制器上的接入点分配VLAN31的地址段192.168.31.0/24,终端连接网点2控制器上的接入点分配VLAN32的地址192.168.32.0/24。
图 4‑133 网关漫游域
3、控制器HA承载用户数
跨控制器漫游的时候,允许漫游回家乡控制器的最大用户数,如果漫游的用户数超过该阈值,则踢除用户让其重新连接,减轻家乡控制器压力。
漫游选项
4、接入点漫游域配置方法。
接入点漫游域对本地转发生效。漫游域针对组网需要跨VLAN漫游的情况,如组网不涉及跨VLAN漫游,则无需使用漫游域。
(1)同网关漫游
1.存在如下本地转发的组网,为解决终端从接入点1漫游到接入点2能继续上网,漫游域配置如下:
无线漫游域拓扑3
2.根据VLAN分配的地址配置接入点漫游域,将需要漫游的IP和VLAN配置在同一个漫游域中。终端连接一楼区域接入点分配VLAN31的地址段192.168.31.0/24,终端连接二楼接入点分配VLAN32的地址192.168.32.0/24。
接入点漫游域
(2)跨网关漫游。
1.存在集中认证且网点本地转发如图的组网,为解决终端跨控制器漫游可以正常上网,漫游域配置如下:
无线漫游域拓扑4
2.添加漫游控制器的通信地址。
漫游网关
3.根据设备分配的VLAN配置控制器漫游域,将需要漫游的IP和VLAN配置在同一个漫游域中,终端连接网点1控制器上的接入点分配VLAN31的地址段192.168.31.0/24,终端连接网点2控制器上的接入点分配VLAN32的地址192.168.32.0/24。
接入点漫游域
3.3.4无线灾备策略
3.3.4.1无线网络灾备
【无线网络灾备】用于配置无线网络在接入点在无法连接网关、用户认证服务器、短信服务器或微信服务器进入灾备模式的时候,这个无线网络使用哪个应急无线网络、应急VLAN和角色。
高级选项
• 灾备延迟:是指认证服务器与网关断开连接后,延迟多长时间生效灾备。
• 检测间隔:检测微信\短信服务器的间隔时间。
• 故障判断:检测到服务器连续故障多少次,才认为需要生效灾备。
3.3.4.2灾备策略域
用于将无线接入点划分为不同的区域,配置这个区域下接入点进入灾备的条件和进入灾备后使用的应急VLAN和应急角色。
注意:
• 应急VLAN环境下必须存在DHCP服务器,否则终端无法获取到IP地址。
• 无线网络根据不同用户信息匹配不同用户vlan,灾备模式下都会使用同一个灾备VLAN。
3.4.1射频高级配置
射频通用配置
当选择不同的国家码时,AP可以工作的频率范围是不一样的,可以根据当地法律选择不同的国家码。
国家码:国家码用来标识使用射频所在的国家,它规定了射频特性,如功率和可用的信道。在配置设备之前,必须配置正确的国家或区域码。
信道扫描时间:工作在 Hybrid 模式的接入点,信道扫描操作将被限制在设定的扫描时间范围内。
智能射频中的功率及信道自动调整功能,需要依赖于能收集到每一个接入点附近的无线电环境信息,以提供决策依据。为了采集无线电环境信息,接入点有 2 种部署方式选择:
1、部署大量的 Monitor 模式的接入点,以完成对无线电环境的信息收集工作。
2、把接入点工作模式设置为 Hybrid。
Hybrid 模式下,接入点在工作信道上传输无线网络数据,但每隔一段时间,会短暂切换到其它信道上,监听此信道的无线电信息。默认配置情况下,每工作 1 分钟,会选择一个信道,并切换到此信道监听 200 毫秒。
在监听的过程中,由于信道已经切换,接入点将无法发送和接收无线网络数据包,可能会导致短暂的数据包丢失。如果部署的无线网络为关键网络,无法容忍短暂的数据丢失,可以通过修改此选项,限制接入点只允许在空闲时间段,例如非工作时间才执行信道扫描操作。
射频控制策略
射频控制策略中,网络管理员根据时间计划来定时关闭和开启射频,防止用户在无人管理无线网络的情况下非法操作,提高无线网络的安全性。 同时还可以根据实际情况配置例外的无线网络,即配置不需要定时关闭和开启的无线网络。射频控制策略支持给不同AP分组配置不同射频控制策略
整网信道调优
整网调优会根据算法优化AP的信道,通过错开相邻AP之间的信道,减小AP之间的干扰,从而优化用户的上网体验。
整网调优之后,2.4G会调优至1、6、11信道上,5G会调优至对应带宽所在的信道,调优之后AP的带宽保持不变。调优方法分为两种,分别是定时调优和立即调优。
定时调优:定时调优可选择对应区域和生效对象,调优方式可分为两种:每天定时调优和每周定时调优。
立即调优:立即调优可选择对应区域和生效对象,调优效果同定时调优。
整网信道调优
3.4.2定位服务器
开放接口包括定位服务器,目前NAC做定位需要结合第三方定位厂商一起做定位,我们的无线仅提供底层信息数据支持。
定位服务器
针对自己拥有定位算法的客户,我们提供了定位所需的数据。
配置定位服务器,可以获取的信息:AP的MAC地址、STA的MAC地址、射频类型、无线信道、终端类型、是否关联上AP、关联AP的MAC地址、信号强度RSSI、底噪noise floor等。开启此功能需要开启定位服务器序列号。
4.1.1交换机管理
对所有交换机进行全部集中分组和管理,包括配置所属组、发现网关 IP、发现网关域名、webAgent、DNS地址、VLAN接口、端口面板、地址表、Loopback地址、认证选项、隧道参数。
交换机管理
所属组:配置交换机所属于的管理组,便于对交换机进行集中管理和配置。
网关 IP:填写交换机用于连接的 网关 IP 地址,如果给交换机填写了网关的地址,交换机下次重启后,会自动以该配置 IP 连接 NAC 并建立隧道。
发现网关域名:用于交换机自动发现网关用,当交换机解析到该域名时,交换机会自动向网关请求连接。网关发现该交换机后,就可以对该交换机进行策略下发配置了。
DNS地址:如果启用了DNS代理,客户端的DNS服务器可以指向交换机。交换机接收到DNS请求后,会转发到这里设置的外部DNS服务器解析。
图 4‑42 DNS地址
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
通过配置VLANIF接口、子接口方式可以实现VLAN间的通信。
管理VLAN是指要通过SSH、TELNET访问交换机,需要将使用的交换机端口添加到管理VLAN。
VLAN接口
端口面板是以图形化的方式显示交换机的所有的端口,可以在这设置端口的端口属性。
VLAN端口属性:
Access 只属于一个VLAN,一般用于连接计算机端口。
Trunk 可以允许多个vlan通过,可以接收和发送多个vlan的报文,一般用于交换机之间的端口。
hybrid接口:可以允许多个vlan通过,可以接收和发送多个vlan报文,一般用于交换机之间的端口,比Trunk属性多了untaggedvlan和taggedvlan。
风暴抑制:
风暴控制特性会不断地监控端口的入站流量,最高的频率为每秒进行一次监控,然后再把所获得的数据与配置在设备上的风暴抑制级别进行对比。
风暴控制防止交换机的端口被局域网中的广播、多播或者一个物理端口上的单播风暴所破坏。
流量控制:
如果发送者发送数据过快,接收者来不及接收,那么就会有分组丢失。为了避免分组丢失,控制发送者的发送速度,使得接收者来得及接收,这就是流量控制。流量控制根本目的是防止分组丢失,它是构成TCP可靠性的一方面。
端口面板
配置静态MAC地址
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。
为了避免MAC地址表项爆炸式增长,可以手工配置动态MAC表项的老化时间。老化时间越短,路由器对周边的网络变化越敏感,适合在网络拓扑变化比较频繁的环境;老化时间越长,路由器对周边的网络变化越不敏感,适合在网络拓扑比较稳定的环境。
当需要配置的静态MAC表项较多,并且静态MAC表项中MAC地址与端口在同一二层环境时,可以采用自动扫描与绑定方式批量配置。
配置静态ARP地址
静态ARP表项不会被老化,不会被动态ARP表项覆盖,因此配置静态ARP表项可以增加通信的安全性。
当老化时间超时后,设备会清除动态ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新生成动态ARP表项,如此循环重复。
用户可以通过手工方式或者自动扫描与绑定的方式配置静态ARP表项:当需要配置的静态ARP表项较少时,可以采用手工方式新增或删除;当需要配置的静态ARP表项较多,并且静态ARP表项中IP地址与VLANIF接口的IP地址在同一网段时,可以采用自动扫描与绑定方式批量配置。
地址表
Loopback接口创建后除非手工关闭该接口,否则Loopback接口物理层状态和链路层协议永远处于UP状态,用户可通过配置Loopback接口达到提高网络可靠性的目的。
Loopback地址
交换机支持认证功能,启用认证信息转发,即可通过深信服单点登录协议,实现网关与深信服上网行为管理等其他设备之间的单点登录,无需进行重复认证。交换机可限制认证用户上限数,超出上限以后,新接入的终端会被加入黑名单,无法进行认证也无法上网。
图 4‑47 认证选项
交换机可通过二层隧道或三层隧道在网关激活上线,三层隧道在线的交换机功能正常,二层隧道在线的交换机只支持配置下发,不支持状态上报。
隧道参数
4.1.2发现新交换机
为了让控制器统一管理交换机,当交换机接入内网时,并未进入工作状态,需要管理员 在"发现新交换机"列表中,手动执行激活操作,交换机才能正常工作。
当交换机接入网络中,交换机会自动发现网关,当交换机第一次发现网关时,会在网关上看到新的交换机,需要进行激活后,才能正常使用交换机,并下发配置。
发现新交换机
在 NMC 控制台的右上角,当有出现图标时,表示还有未激活的交换机,需要到该页面激活。
当 NAC 上发现交换机时,需要激活,激活按钮可用。
激活的时候,交换机只支持配置为普通模式,不支持网关模式。 交换机激活的时候,设备类型分为两种:
1. 射频交换机
射频交换机:激活的时候,交换机端口会默认添加射频交换机,射频交换机插到交换机端口上时,可以即插即用。
2. 普通交换机
普通交换机(除射频交换机外):激活的时候,序列号字段为选填,但只有填写了序列号,才能在无线接入点页面添加射频交换机配置,这样射频交换机才能正常工作。点击激活后,配置界面如下:
激活交换机
可以编辑交换机的名称,地理位置,便于后续交换机的识别分组和管理,默认交换机以 其 MAC 地址为名称。
名称:编辑交换机名称,便于识别交换机。
描述:对交换机进行描述便于是被交换机。
所属组:配置交换机所属于的管理组,便于对交换机进行集中管理和配置。
发现网关IP:填写交换机用于连接网关的 IP 地址,如果给交换机填写了网关的地址,交换机下次重启后,会自动以该配置 IP 连接网关并建立隧道。
发现网关域名:用于交换机自动发现网关用,当交换机解析到该域名时,交换机会自动向网关请求连接。网关发现该交换机后,就可以对该交换机进行策略下发配置了。
硬件型号:交换机的型号。
射频序列号:交换机序列号分为普通交换机序列号和射频交换机序列号。普通交换机序列号。
要添加射频交换机,需要给指定交换机开启序列号;射频交换机序列号给射频交换机专用,激活射频交换机没有超过序列号时,都会为射频交换机自动添加射频交换机,以达到即插即用的目的。
控制隧道保活时间:填写控制隧道保活时间,默认 12 秒,如果网络环境较差,可修改控制器隧道时间,降低交换机频繁上下线次数。
Webagent:发现控制器的一种方式,webagent 地址可联系 400-878-3389 进行申请开通。
网络地址:可以设置自动获取,也可以设置固定 IP 地址。如果设置的固定 IP 地址,与当前交换机获取到的 IP 地址不一致,配置生效下发后,有可能会导致交换机不能在当前网络上网,并使交换机与网关失去联系,所以一般设置交换机的 IP 地址为自动获取。
管理 VLAN 和管理端口:配置交换机的上联口以及管理 VLAN。管理 VLAN 是指要通过 SSH、TELNET 访问交换机,需要将使用的交换机端口添加到管理 VLAN。
4.1.3SNMP配置
SNMP配置
SNMP(Simple Network Management Protocol,简单网络管理协议),用于管理网络中上众多的软硬件平台。开启后可以通过snmp协议查询本设备系统信息,如设备型号,内存使用率,硬盘使用率,CPU消耗等。
SNMP v1/v2:SNMP的第一版本和第二版本。它们都是基于团体名进行报文认证。
SNMP v3:SNMP的第三版本。
此版本提供重要的安全性功能,其中就包括了认证和加密两项。
认证需要提供认证方式(MD5,SHA)和认证密码。
加密需要提供加密方式(DES)和加密密钥。
MIB(Management Information Base,管理信息库),是由网络管理协议访问的管理对象数据库,也可理解为是所有可管理对象的集合。下载本设备MIB后,再导入到相应的管理端后,可以管理或查询的本设备的一些基本信息,如设备型号,内存使用率,硬盘使用率,CPU消耗等。
SNMP
SNMP Trap又称SNMP陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到管理端轮询后再发送。需要配置管理端的IP地址和端口,以及团体名。支持向多个管理端发送信息。
SNMP Traps
包含【证书管理】和【安全网盾】两个模块。
4.2.1端口列表
激活在当前网关(包括集中管理的分支)的交换机的所有端口列表,在此页面可以批量编辑所选端口的基本信息、PoE属性、VLAN属性,以达到方便管理操作的目的。
图 4‑53 端口列表
条件过滤:高级搜索可以过滤出指定的交换机或交换机分组,也可以根据端口模式、VLAN ID来过滤端口。
PoE供电重启:重启PoE芯片,使指定的端口停止PoE供电,然后重新供电。非受电设备不受影响。
端口组:端口组实现为多个接口批量配置命令的功能,减少单独配置的输入错误,同时节省人力。
端口组
4.2.2VLAN配置
以全局、统一的视图来管理交换机和网关的VLAN配置。每个VLAN的视图中包括当前网关以及分支的VLAN-设备-端口三者的关系。功能适用于网络开局部署,统一规划VLAN配置,也适用于网络维护时,需要批量修改多台设备之间的VLAN。
初始情况下,设备会默认添加VLAN 1,交换机激活时,所有端口默认为Access VLAN 1。
VLAN 配置
Voice VLAN
网络中经常有数据、语音、视频等多种流量同时传输。因为丢包和时延对通话质量的影响很大,用户对语音的质量比数据或者视频的质量更为敏感,因此在带宽有限的情况下就需要优先保证通话质量。
通过配置Voice VLAN,交换机可识别语音流,对其进行有针对性的QoS保障,当网络发生拥塞时可以优先保证语音流的传输。
在电话通过DHCP获取IP的情况下,当电话开启LLDP功能接入时可以感知端口上voice-vlan变化,能够在voice-vlan发生变化时同步发起DHCP请求,获取新的IP地址;当电话不开启LLDP功能接入时无法感知端口上voice-vlan变化,需要等待IP地址租期到期时才会发送续租请求,进而获取新的IP地址。
VOICE VLAN
MAC-VLAN映射
基于MAC地址划分VLAN不需要关注终端用户的物理位置,提高了终端用户的安全性和接入的灵活性。
MAC-VLAN映射,其主要的功能是将用户报文中的私网VLAN Tag替换为公网的VLAN Tag,使其按照公网的网络规划进行传输。在报文被发送到对端用户私网时,再按照同样的规则将VLAN Tag恢复为原有的用户私网VLAN Tag,使报文正确到达目的地。
MAC映射
4.2.3链路聚合
链路聚合(Link Aggregation)是将多条物理链路捆绑在一起成为一条逻辑链路,从而实现增加带宽、提高可靠性、负载分担的目的。
链路聚合
设备类型
根据设备类型确定链路聚合的应用场景。设备类型选择为交换机时,指的是单个交换机上的普通链路聚合;设备类型选择为M-LAG组时,指的是部署M-LAG的两台设备与用户侧或者是网络侧设备之间的链路聚合。
工作模式
根据是否启用链路聚合控制协议LACP,链路聚合分为手工负载分担模式和LACP模式。
手工负载分担模式下,Eth-Trunk的建立、成员端口的加入由手工配置,没有链路聚合控制协议的参与。该模式下所有活动链路都参与数据的转发,平均分担流量,因此称为手工负载分担模式。
为了提高Eth-Trunk的容错性,并且能提供备份功能,保证成员链路的高可靠性,出现了链路聚合控制协议LACP(Link Aggregation Control Protocol),LACP模式就是采用LACP的一种链路聚合模式。
LACP为交换数据的设备提供一种标准的协商方式,以供设备根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成以后,LACP负责维护链路状态,在聚合条件发生变化时,自动调整或解散链路聚合。
接口类型
支持根据需要聚合的以太网接口类型来配置相应类型的聚合组:当需要聚合的是二层以太网接口时,需选择接口类型为二层接口;当需要聚合的是三层以太网接口时,需选择接口类型为三层接口。聚合链路的两端应配置相同的接口类型。
负载分担方式
二层链路聚合支持的负载分担方式有根据目的MAC地址、源MAC地址、源MAC与目的MAC地址、目的IP地址、源IP地址,源IP地址与目的IP地址、目的IP地址+端口、源IP地址+端口、源IP地址与目的IP地址+端口九种方式。
三层链路聚合支持的负载分担方式有根据目的MAC地址、源MAC地址、源MAC与目的MAC地址、目的IP地址、源IP地址,源IP地址与目的IP地址、目的IP地址+端口、源IP地址+端口、源IP地址与目的IP地址+端口九种方式。系统LACP优先级
系统LACP优先级是为了区分两端设备优先级的高低而配置的参数。LACP模式下,两端设备所选择的活动端口必须保持一致,否则链路聚合组就无法建立。此时可以使其中一端具有更高的优先级,另一端根据高优先级的一端来选择活动端口即可。系统LACP优先级值越小优先级越高。
端口LACP优先级
端口LACP优先级是为了区别同一个Eth-Trunk中不同接口被选为活动端口的优先程度,优先级高的接口将优先被选为活动接口。接口LACP优先级值越小,优先级越高。
LACP报文工作模式
主动模式
聚合组处于主动模式,能够发送和接收LACP协议报文,用于协商聚合组状态。
被动模式
聚合组处于被动模式,只能接收LACP协议报文。
超时时间
超过超时时间,没有收到LACP协议报文,聚合组就无法建立。
缺省情况下,端口的LACP超时时间为长超时(即30秒),可配置端口的LACP超时时间为短超时(即1秒)。
4.2.4防环路配置
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路。但是使用冗余链路会在交换网络上产生环路,引发广播风暴以及MAC地址表不稳定等故障现象,从而导致用户通信质量较差,甚至通信中断。为解决交换网络中的环路问题,提出了生成树协议STP(Spanning Tree Protocol)。
与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的IEEE 802.1D中定义的STP到IEEE 802.1W中定义的快速生成树协议RSTP(Rapid Spanning Tree Protocol),再到最新的IEEE 802.1S中定义的多生成树协议MSTP(Multiple Spanning Tree Protocol)。
在生成树协议中,MSTP兼容RSTP、STP,RSTP兼容STP。
简单模式与高级模式
简单模式下,支持一键启用所有交换机的防环路功能,如有部分设备不需要开启防环路,可在排除列表中设置。
高级模式下,可以在策略列表中添加需要开启防环路功能的交换机,更多防环路参数请在策略中配置。
生成树
STP/RSTP简介
STP是一个用于局域网中消除环路的协议。运行该协议的设备通过彼此交互信息而发现网络中的环路,并适当对某些端口进行阻塞以消除环路。由于局域网规模的不断增长,生成树协议已经成为了当前最重要的局域网协议之一。
IEEE于2001年发布的802.1w标准定义了快速生成树协议RSTP(Rapid Spanning Tree Protocol),该协议基于STP协议,对原有的STP协议进行了更加细致的修改和补充。
MSTP基本原理
MSTP协议在计算生成树时使用的算法和原理与STP/RSTP大同小异,只是因为在MSTP中引入了域和内部路径开销等参数,故MSTP中的优先级向量是7维,而STP/RSTP是5维。STP/RSTP中的优先级向量是{根桥标识符,根路径开销,桥标识符, 发送BPDU报文端口标识符, 接收BPDU报文端口标识符},MSTP中的优先级向量是{CIST根桥标识符,CIST外部根路径开销,CIST域根标识符,CIST内部根路径开销,CIST指定桥标识符,CIST指定端口标识符,CIST接收端口标识符},其中STP/RSTP中的桥标识符实际上是发送BPDU的设备的标识符,与MSTP中的CIST指定桥标识符对应。MSTP中的CIST域根标识符有两种情况,一种是总根所在域内,BPDU报文中该字段是参考总根的标识符,另一种情况是不包含总根的域中,BPDU报文该字段是参考主设备的标识符。运行MSTP的实体初始化时认为自己是总根、域根,通过交互配置消息,按照上面介绍的7维向量计算CIST生成树和MSTI。
MST域
MST域即多生成树域,是由交换网络中的多台交换设备以及它们之间的网段所构成。这些交换设备启动MSTP后,具有相同域名、相同VLAN到生成树映射配置和相同MSTP修订级别配置,并且物理上直接相连。一个交换网络可以存在多个MST域,用户可以通过MSTP配置命令把多台交换设备划分在同一个MST域内。
端口参数
边缘端口:用户如果将某个端口指定为边缘端口,那么当该端口由Block状态向Forward状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间。
BPDU过滤:通过使用BPDU过滤功能,将能够防止交换机在启用了边缘端口特性的接口上发送BPDU。对于配置了边缘端口特性的端口,它通常连接到主机 设备,因为主机不需要参与STP,所以它将丢弃所接收到的BPDU。通过使用BPDU过滤功能,将能够防止向主机设备发送不必要的BPDU。
BPDU保护:与用户设备直接相连边缘端口,收到恶意攻击BPDU报文时,边缘端口属性丢失变为非边缘端口,引起整网拓扑重新计算,导致网络振荡。
根保护:避免协议报文恶意攻击导致网络中合法根设备收到优先级更高的BPDU报文,使合法根设备失去根设备地位,从而引起网络拓扑结构的错误变动。
环路保护:在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游的RST BPDU,则向网管发出通知信息(如果是根端口则进入Discarding状态)。而阻塞端口则会一直保持在阻塞状态,不转发报文,从而不会在网络中形成环路。直到根端口收到RST BPDU,端口状态才恢复正常到Forwarding状态。
环路检测机制可发现某个端口下的环路,并通知用户检查网络连接和配置情况,以避免对整个网络造成严重影响。
环路检测
环路处理动作:环路处理动作是指发现二层网络中的环路以后所采取的处理方式,常用方式包括阻塞端口、关闭端口、退出环路vlan。
环路检测间隔:环路检测间隔是环路检测报文的发送时间间隔,通过环路检测报文来确定各端口是否出现环路、以及存在环路的端口上是否已消除环路等。
自动恢复时间:当设备检测到某端口出现环路后,若在一定环路检测时间间隔内仍未收到环路检测报文,就认为该端口上的环路已消除,自动将该端口恢复为正常转发状态。
目的MAC地址:环路检测报文的目的MAC地址默认为广播地址,用户可根据实际需要进行配置。
4.2.5供电配置
供电配置管理功能可以配置PoE交换机的供电属性,也可以配置时间计划给交换机的端口,以实现统一管理、科学省电的需求。
交换机和网关断开一定时间之后(5分钟),所有端口会保持供电状态。
未激活的PoE交换机,所有端口会保持供电状态。
供电配置
4.3.1静态路由
静态路由是一种需要管理员手工配置的特殊路由。
当网络结构比较简单时,只需配置静态路由就可以使网络正常工作;在复杂网络环境中,配置静态路由可以改进网络的性能,并可为重要的应用保证带宽。
IPv4静态路由
在创建静态路由时,可以同时指定目标地址和下一跳地址。
支持创建静态路由时,启用链路检测,包括BFD检测与PING检查,配置链路检测可见高可用性-链路检测。
在创建相同目的地址的多条静态路由时,支持创建静态路由时,启用链路检测并备份配置备份链路,实现路由备份。
在创建静态路由时,如果将目的地址与掩码配置为全零,则表示配置的是IPv4静态缺省路由。缺省情况下,没有创建IPv4静态缺省路由。
IPv6静态路由
在创建IPv6静态路由时,可以同时指定目的地址和下一跳地址。
在创建IPv6静态路由时,如果将目的地址与掩码配置为全零,则表示配置的是IPv6静态缺省路由。缺省情况下,没有创建IPv6静态缺省路由。
静态路由
4.3.2策略路由
策略路由是一种依据用户制定的策略进行路由选择的机制。设备配置策略路由后,若接收的报文(包括二层报文)匹配策略路由的规则,则按照规则转发;若匹配失败,则根据目的地址按照正常转发流程转发。
支持使用ACL作为策略路由的分类规则,配置相应的ACL实现可以使不同的数据流通过不同的链路进行发送,提高链路的利用效率。
通过配置策略路由与链路检测联动可以为策略路由提供检测机制,配置完以后,当重定向下一跳对应的链路发生故障的时候,重定向下一跳会因为链路检测失败而立即失效,而不需要等待ARP表项老化。这样就可以达到缩短通信中断时间,提高服务质量的目的。
支持通过配置策略路由的优先级实现路由选择的优先顺序。
策略路由
4.3.3RIP配置
RIP配置
RIP路由V1版本是有类别路由协议,它只支持以广播方式发布协议报文,且协议报文中没有携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1无法支持路由聚合,也不支持不连续子网。
RIP路由V2版本是一种无分类路由协议,支持外部路由标记,可以在路由策略中根据Tag对路由进行灵活的控制。支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。
在创建相同目的地址的多条静态路由时,支持创建静态路由时,启用链路检测并备份配置备份链路,实现路由备份。
在创建静态路由时,如果将目的地址与掩码配置为全零,则表示配置的是IPv4静态缺省路由。缺省情况下,没有创建IPv4静态缺省路由。
RIP配置
交换机RIP参数配置
在规模比较大的网络中,可能会结合区域设备的特点,配置不同的路由协议。为了实现RIP区域与其他路由区域之间的同心,需要在设备上配置引入非本协议的路由信息,包括默认路由,直连路由,静态路由,OSPF路由。
接口RIP参数配置
认证方式:RIP路由V2版本提供了报文认证机制来满足网络安全性的要求。支持的认证方式,包含明文认证与MD5认证。明文认证:将配置的密码直接加入报文中,这种加密方式安全性较其他两种方式低。MD5认证:通过将配置的密码进行MD5算法之后再加入报文中,这样提高了密码的安全性。
防止路由环路:支持启用水平分割或毒性反转。水平分割RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗,还可以防止路由环路。毒性逆转RIP从某个接口学到路由后,将该路由的开销设置为16(即指明该路由不可达),并从原接口发回邻居路由器。利用这种方式,可以清除对方路由表中的无用路由。
RIP更新报文:勾选允许发送RIP更新报文后,当路由信息发生变化时,立即向邻居路由器发送触发更新报文,通知变化的路由信息。触发更新可以缩短网络收敛时间,在路由表项变化时立即向其他路由器广播该信息,而不必等待定时更新。
BFD检测:接口RIP的BFD检测可以快速感知链路故障,实现RIP网络的快速收敛,用来提高RIP网络的可靠性,用于对可靠性要求较高的网络。
附加度量值:附加路由度量值是在RIP路由原来度量值的基础上所增加的度量值(跳数)。
4.3.4OSPF配置
OSPF(Open Shortest Path First,开放最短路径优先)是 IETF(Internet Engineering Task Force,互联网工程任务组)组织开发的一个基于链路状态的内部网关协议。目前针对 IPv4 协议使用的是OSPF Version 2。
OSPF
OSPF配置
区域列表
可编辑区域名称,配置区域ID,区域类型,添加接口及配置认证方式;区域有骨干区域、普通区域、Stub区域、Talloy Stub区域、NSSA区域和Totally NSSA区域,其中骨干区域区域ID只能为0,其它区域为非0。
虚连接
虚连接是指在两台 ABR 之间通过一个非骨干区域而建立的一条逻辑上的连接通道。它的两端必须是 ABR,而且必须在两端同时配置方可生效。
认证
建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证。如果区域验证和接口验证都进行了配置,以接口验证的配置为准。认证方式有两种,分别为明文密码认证以及MD5认证,一个区域中所有交换机的验证模式和验证密码或者邻居交换机两端接口必须一致,否则无法认证。
边界交换机
多区域连接时,区域与区域间的边界交换机会在此处显示 ;可对边界交换机配置路由白名单,用户可根据自身情况设置入、出方向的域间路由设置过滤条件;路由聚合是指 ABR 将具有相同前缀的域间路由信息聚合,只发布一条路由到其它区域。
交换机OSPF参数配置
可对已加入OSPF中的交换机进行配置,实现路由引入。
用户可配置所引入路由的类型,度量值和标签,同时也可以配置引入规则,实现对引入路由的过滤。
缺省路由度量值
针对特殊区域的ABR产生的默认路由配置度量值。
端口OSPF参数配置
可配置已加入OSPF的接口参数,如网络类型,DR选举优先级,接口开销,认证方式。
网络类型
OSPF中常用的网络类型包含点对点网络和广播网络。
接口开销
OSPF基于接口带宽计算开销,计算公式为:接口开销=带宽参考值÷带宽。带宽参考值可配置,缺省为100Mbit/s。因此,一个百兆接口的开销为1,一个千兆接口的开销为0.1,取整为1。
BFD(Bidirectional Forwarding Detection,双向转发检测)
为 OSPF 邻居之间的链路提供快速检测功能。当邻居之间的链路出现故障时,加快 OSPF 协议的收敛速度。
高级选项
可开启DD报文检测及OSPF报文抑制;定时器可配置OSPF的时间参数,接口定时器Hello和失效间隔需与对端一致,否则邻居关系将无法建立。
报文抑制
接口开启报文抑制,则抑制接口发送OSPF报文,则会导致邻居建立失败,可避免伪冒设备接入OSPF域中。
Hello间隔
接口向邻居发送 Hello 报文的时间间隔,OSPF 邻居之间的 Hello 定时器的值要保持一致。
失效间隔
在邻居失效时间内,如果接口还没有收到邻居发送的 Hello 报文,路由器就会宣告该邻居无效。
重传间隔
交换机向它的邻居通告一条 LSA 后,需要对方进行确认。若在重传间隔时间内没有收到对方的确认报文,就会向邻居重传这条 LSA。
传输时延
LSA在本设备的链路状态数据库(LSDB)中会随时间老化(每秒钟加1),但在网络的传输过程中却不会,所以有必要在发送之前在LSA的老化时间上增加本命令所设置的一段时间。此配置对低速率的网络尤其重要。
4.3.5路由优先级
对于相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但这些路由并不都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。为了判断最优路由,各路由协议(包括静态路由)都被赋予了一个优先级,当存在多个路由信息源时,具有较高优先级(取值较小)的路由协议发现的路由将成为最优路由,并将最优路由放入本地路由表中。
支持手工为各路由协议配置的优先级包含静态路由优先级,RIP协议优先级和OSPF协议优先级。
路由优先级
IGMP Snooping即组播侦听功能,可以实现组播数据在数据链路层的转发和控制。当主机和上游三层设备之间传递的IGMP协议报文通过二层组播设备时,IGMP Snooping分析报文携带的信息,根据这些信息建立和维护二层组播转发表,从而指导组播数据在数据链路层按需转发,减少二层网络中的广播报文,节约网络带宽,增强组播信息的安全性。
组播管理
版本号
IGMPv1 主要基于查询和响应机制来完成对组播组成员的管理。与IGMPv1 相比,IGMPv2 增加了查询器选举机制和离开组机制。IGMPv3 在兼容和继承IGMPv1 和IGMPv2 的基础上,进一步增强了主机的控制能力,并增强了查询和报告报文的功能。
查询间隔
查询间隔是指查询者发送普遍组查询报文之间的时间间隔。普遍组查询报文用于向与其连接的所有子网进行轮询来发现是否有组员存在。
健壮系数
查询器的健壮系数是为了弥补可能发生的网络丢包而设置的报文重传次数。
源IP地址
用户可根据实际需要配置查询器的源 IP 地址,从而建立数据链路层组播转发表项,进行组播数据转发。
快速离开:
在配置IGMP快速离开功能之后,当查询器收到来自主机发送的离开某个组播组的IGMP Leave报文时,将其对应的组播组的转发表项直接删除,从而实现快速、高效地离开多播组。这种机制有效地避免了不必要的多播数据传输,提高了网络的资源利用率和性能。
4.5.1端口策略
端口策略能够对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
支持配置应用到单接口或者聚合口的有线访问控制策略。
有线访问控制策略在 “认证授权->角色授权” 中定义。
端口策略
4.5.2QoS配置
QoS(Quality of Service)即服务质量,是指网络通信过程中,允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。
流量管理功能包括重标记、流量监管、重定向等。
重标记:通过设置报文的优先级或标志位,重新定义报文的优先级。
流量监管:通过监控进入网络的流量速率,将输入流量限制在一个合理范围内。当一台设备存在多个芯片时,进入网络的流量速率以每个芯片为单位进行统计,不同芯片之间的流量速率互不影响。
重定向:将符合流分类的报文流重定向到其他端口进行处理。
QoS流量管理
流量整形是一种主动调整流量输出速率的措施,对上游输入的不规整流量进行缓冲,使流量输出趋于平稳,从而解决下游设备的拥塞问题。
QoS流量整形
优先级映射实现从COS优先级到DSCP优先级之间的映射,设备可根据优先级提供有差别的QoS服务。
QoS优先级映射
当时延敏感业务要求得到比非时延敏感业务更高质量的 QoS 服务,且网络中间歇性的出现拥塞,此时需要进行拥塞管理。拥塞管理一般采用排队技术,使用不同的调度算法来发送队列中的报文流。常用调度模式包括严格优先模式、轮询模式、加权轮询模式、严格优先+加权轮询模式和差分加权轮询模式。
常用优先级信任模式包括信任dscp优先级和信任802.1p优先级。信任dscp优先级是指直接根据报文携带的dscp优先级来转发数据,信任802.1p优先级分两种情况:
1.当入口报文不带802.1p优先级,设备将使用端口优先级,根据此优先级查找802.1p优先级到内部优先级映射表,然后为报文标记内部优先级。
2.当入口报文携带802.1p优先级,此时按报文携带的802.1p优先级,查找802.1p优先级到内部优先级映射表,然后为报文标记内部优先级。
QoS拥塞控制
4.5.3报文镜像
网络运行过程中,经常需要对网络设备的端口状况进行监控和分析。如果直接对转发端口进行监控和分析,可能会影响端口的转发效率。用户可以通过配置镜像功能,将网络中某个接口(镜像端口)接收或发送的报文,复制一份到指定接口(观测端口),然后发送到和观测端口直连的报文分析设备上。用户通过分析镜像报文,可进行网络监控和故障排查。
报文镜像
端口镜像:指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。
匹配ACL的流镜像:匹配ACL的流镜像:指将镜像与匹配ACL相结合,只复制满足特定条件的报文,过滤报文分析设备不关心的报文,为报文分析提供更精细的控制,提高报文分析设备的工作效率。
源端口:源端口是镜像端口,即报文流经的端口。
目的端口:目的端口是观察端口,即报文重新发送至的指定端口。
镜像规则数量统计说明
1.源端口包含普通端口时,若镜像方向为单方向,则端口所在板卡镜像规则数量加1;若镜像方向为双方向,则端口所在板卡镜像规则数量加2。
2.源端口包含聚合口时,若镜像方向为单方向,则所有板卡镜像规则数量加1;若镜像方向为双方向,则所有板卡镜像规则数量加2。
3.板卡镜像规则数量不累加。源端口同时包含普通端口与聚合口时,板卡镜像规则数量以聚合口计算为准。
4.6.1链路高可用
备份链路,又叫做灵活链路。一个备份链路由两个端口组成,其中一个端口作为另一个的备份。备份链路常用于双上行组网,提供可靠高效的备份和快速的切换机制。
链路高可用-备份链路
主用链路和备用链路
备份链路组中处于转发状态的链路称为主用链路,处于阻塞状态的链路称为备用链路。
主端口和从端口
备份链路组的主用和备用链路在特定的设备上体现为端口或者聚合组端口,此处统称为端口。为了区分备份链路组中的两个端口,将两个端口分别命名为主端口和从端口。备份链路组中的从接口在备份链路组启动后会被阻塞。
FLUSH报文
端口切换之后,备份链路通过发送FLUSH报文通知其他设备进行地址刷新,且相关设备必须使能Flush报文接收功能。但是,由于该技术为私有技术,目前只限于我司的交换机、华为、华三的设备能够识别该报文。对于不识别FLUSH报文的设备,只能通过流量触发MAC地址的更新。
抢占配置
抢占配置方式选择立即抢占,即备份链路组中主链路出现故障并倒换到从链路后,当原主链路故障恢复后,立刻进行备份链路倒换。抢占配置选择延时抢占,即等待延时时间到达后,根据备份链路组的接口最后获得的Up/Down状态处理备份链路组的状态。抢占配置方式选择不抢占,即为了保持流量稳定,原有的主用链路将维持在阻塞状态,不进行抢占。
上行链路监控
上行链路监控是一种端口联动方案,它能通过监控设备的上行端口,根据其UP/DOWN状态的变化来触发下行端口UP/DOWN状态的变化,从而触发下游设备上的拓扑协议进行链路的切换。
上行接口
上行接口是上行链路监控组中的被监控的端口,上行链路监控组的上行接口可以是以太网端口(电口或光口)、聚合口或备份链路组。
下行接口
下行接口是上行链路监控组中的监控端口,上行链路监控组的下行接口可以是以太网端口(电口或光口)或聚合口。
Flush报文接受配置
支持独立配置Flush报文接收功能,并配置接口接收Flush报文的加密方式、接收控制VLAN ID和密码。当上游设备收到Flush报文时,判断该Flush报文的发送控制VLAN是否在收到报文的接口配置的接收控制VLAN列表中。如果不在接收控制VLAN列表中,设备对该Flush报文不做处理,直接转发;如果在接收控制VLAN列表中,设备会处理收到Flush报文,进而执行MAC地址转发表项和ARP表项的刷新操作。
4.6.2虚拟化集群
堆叠就是将多台设备通过专用的堆叠口或业务口连接起来,形成一台虚拟的逻辑设备。用户对这台虚拟设备进行管理,来实现对堆叠中所有成员设备的管理。堆叠系统具有高可靠性及易管理等优点。
M-LAG(Multichassis Link Aggregation Group)即跨设备链路聚合组,是一种实现跨设备链路聚合的机制,将一台设备与另外两台设备进行跨设备链路聚合,从而把链路可靠性从单板级提高到了设备级,组成双活系统。
虚拟化集群
堆叠成员
组建堆叠的成员需要同样的软件版本,硬件型号满足组堆叠。最多支持两台交换机组堆叠。
堆叠口
堆叠系统通信链路两端的接口为堆叠口,仅支持光口作为堆叠口。堆叠口的连接可以由多条堆叠物理链路自动聚合而成,多条聚合链路之间可以对流量进行负载分担,有效地提高了带宽及堆叠可靠性。堆叠成员端口必须为统一类型端口,例如10GE与40GE端口不可以组成堆叠聚合链路。普通口切换为堆叠口后,将不再支持切换速率与单双工,GE口速率配置为1000M全双工,10GE口速率配置为10G全双工,40GE口速率配置为40G全双工,堆叠口再切换为普通口后,又会恢复原来的配置。
本地流量优先转发
由于堆叠链路带宽有限,为了提高转发效率,减少跨堆叠成员的流量转发,支持TRUNK口的本地流量优先转发功能。即从本设备进入的流量,优先从本设备上相应的TRUNK成员口转发出去;如果本设备相应的接口故障或流量已经达到了接口线速,那么就从对端堆叠成员设备的接口转发出去。
Hello报文超时时间
堆叠系统中备机超时时间内,未收到主机发送的保活报文,会自动升级为主机。
多主检测
为了减少堆叠分裂对业务的影响,建议用户在堆叠组建完成后进行双主检测的配置。堆叠链路断开或堆叠心跳超时出现多主时,MAD检测机制会检测到网络中存在多个处于主机状态的堆叠系统。MAD冲突检测机制会保持原主机继续工作,将其他的堆叠系统转入recovery状态,并且在recovery状态的堆叠系统的所有成员上,关闭除保留端口以外的其他所有物理端口,以保证该堆叠系统不再转发业务报文。堆叠多主检测支持不检测,直连检测与代理检测,且默认检测方式为直连检测。直连检测选择的检测端口需要覆盖所有的堆叠成员,每个成员只能选择一个端口。代理检测仅支持信锐的交换机的聚合口做代理检测。
Peer-Link口
Peer-Link链路两端直连的接口均为Peer-Link接口,支持配置光口,电口,聚合口。
链路故障配置
Peer-Link链路是一条直连链路,用于交换协商报文及传输部分流量,保证M-LAG的正常工作。
Peer-Link故障但心跳状态正常会导致备设备上除管理网口、Peer-Link接口以及自定义的排除端口以外的物理接口处于 DOWN状态,此时双归场景变为单归场景。一旦配置Peer-Link链路故障恢复,处于 DOWN状态的物理接口默认将在120秒时间自动恢复为Up状态。
LACP协商配置
部署M-LAG的两台设备与用户侧设备之间的链路已经分别配置为聚合链路。为了提高可靠性,建议将链路聚合模式配置为LACP模式。用户需确定协商MAC地址和LACP优先级以方便进行LACP协商配置,用来适用于LACP模式的Eth-Trunk组成的M-LAG。
KeepAlive口
KeepAlive链路是一条三层互通链路,用于M-LAG主备设备间发送双主检测报文。
正常情况下,双主检测链路不会参与M-LAG的任何转发行为,只在故障场景下,用于检查是否出现双主的情况。用于检测对端的选举状态是否正常。
M-LAG口
M-LAG口是M-LAG主备设备上连接上下行设备的Eth-Trunk接口。加入同一M-LAG口的接口,对外表现为同一个聚合接口。
4.6.3VRRP策略
VRRP(Virtual Router Redundancy Protocol)即虚拟冗余备份组协议,通过把几台路由设备联合组成一台虚拟的路由设备,使用一定的机制保证当主机的下一跳路由器发生故障时,及时地将业务切换至备份路由器,从而保证业务的连续性和可靠性。
VRRP策略
组ID
虚拟路由器ID,VRRP备份组标识,同一个实例的VRID值必须一致才可以正常工作。
虚拟IP地址
VRRP备份组的IP地址,一个虚拟路由器可以有一个或多个IP地址。
虚拟MAC地址
VRRP备份组根据虚拟路由器ID自动生成的MAC地址。
通信方式
默认使用组播的通信方式,支持单播的通信方式。
优先级
VRRP备份组中的设备优先级,备份组根据优先级选举出Master和Backup设备。
VRRP绑定接口
VRRP备份组中,虚拟IP地址所在的接口。
超时时间
VRRP备份组中Backup设备因未收到Master设备报文,自动切换为Master所等待的时间。
接口监视
VRRP备份组中,设备监控上联口或上联链路,当上联口或上联链路故障时,降低设备优先级,触发主备切换。
状态恢复延时时间
VRRP备份组中,设备因故障进入fault状态后,在故障恢复正常时,设备从错误状态切换至Backup状态等待的时间。
DHCP服务
VRRP备份组支持提供DHCP服务,且DHCP服务仅对Master设备生效。
抢占功能
开启抢占功能后,Backup设备的优先级高于Master设备优先级时,自动切换为Master设备。
VRRP版本
默认采用VRRPv2版本,支持VRRPv3版本。
通告间隔
VRRP备份组中,Master设备主动发送保活报文的时间间隔。
免费ARP间隔
备份组虚拟IP地址不断发送免费ARP的时间间隔。
VRRP报文认证方式
VRRP备份组中,VRRPv2版本支持不认证,简单认证和MD5认证方式,VRRPv3版本不支持认证。
代管组
多个VRRP备份组实例加入同一个代管组中时,由备份组中当时VRID最小的Master设备代为发送VRRP报文,减少VRRP报文发送数量。
同步组
由同步源负责VRRP保活,成员设备不发送保活报文,实例状态与同步源状态保持一致,减少VRRP报文发送数量。
4.6.4链路检测
链路检测含ping检测及BFD检测。
链路检测
PING检测
当设备出现故障时,可以使用PING检测测试网络连接是否正常工作。
PING检测主要用于检查网络连接及主机是否可达。源主机向目的主机发送ICMP请求报文,目的主机向源主机发送ICMP回应报文。
BFD检测
BFD检测用于快速检测系统之间的通信故障,并在出现故障时通知上层应用。
BFD提供了一个与介质和协议无关的快速故障检测机制。是网络设备间任意类型的双向转发路径提供快速、轻负荷的故障检测。
支持的检测类型有私有二/三层链路检测,外部二/三层链路检测和单臂回声功能。
私有二/三层链路检测
私有二/三层链路检测可以当前网关内的交换机实现通过二层接口或三层接口连通的设备间链路故障的快速检测。
外部二/三层链路检测
外部二/三层链路检测可以实现与第三方或者其它网关的交换机通过二层接口或三层接口连通的设备间链路故障的快速检测。
单臂回声功能
在两台直接相连的设备中,其中一台设备支持BFD功能,另一台设备不支持BFD功能。为了能够快速的检测这两台设备之间的故障,可以在支持BFD功能的设备上创建单臂回声功能的BFD会话。支持BFD功能的设备主动发起回声请求功能,不支持BFD功能的设备接收到该报文后直接将其环回,从而实现转发链路的连通性检测功能。
标识符
静态建立BFD会话是指通过命令行手动配置BFD会话参数,包括配置本地标识符和远端标识符等,然后手工下发BFD会话建立请求。
如果对端设备采用动态BFD,而本端设备既要与之互通,又要能够实现BFD检测静态路由,必须配置静态标识符自协商BFD。
高级选项
报文优先级:支持将BFD报文设置为高优先级报文后,优先保证BFD报文的转发
BFD会话的检测时间由BFD会话的本端检测倍数、本端BFD报文的接收间隔、发送间隔决定,检测时间 = 检测倍数 × max(接收间隔,发送间隔)
发送间隔(毫秒):缺省情况下,BFD报文的发送间隔是1000毫秒。
接收间隔(毫秒):缺省情况下,BFD报文的接收间隔是1000毫秒。
检测倍数:缺省情况下,本地检测倍数为3。
报文生存时间:为使得使用不同版本的设备能够互通,并考虑后续版本升级以及和其他厂商的设备互通,此时可以配置报文生存时间。
DOWN状态发包间隔(毫秒):链路协议Down状态,在该状态下只可以处理BFD报文,支持配置DOWN状态发包间隔,从使是该接口也可以快速感知链路故障。
WTR等待恢复时间(分钟):如果BFD会话发生振荡,则与之关联的应用将会在主备之间频繁切换。为避免这种情况的发生,可以配置BFD会话的等待恢复时间WTR。当BFD会话从状态Down变为状态Up时,BFD等待WTR超时后才将这个变化通知给上层应用。如果使用WTR,用户需要手工在两端配置相同的WTR。否则,当一端会话状态变化时,两端应用程序感知到的BFD会话状态将不一致。
4.7.1智能设备接入
图 4‑80 智能设备接入
接入服务
智能设备接入是专门为物联网DTU设备提供的一类端口,DTU设备可以通过交换机快速的和物联网平台建立连接。
端口vlan
将已选择的所有接入端口划分为同一vlan,可以根据需求设置vlan标签,注意设置vlan标签时不要和交换机其他功能已设置的vlan标签重复,同样的其他功能将要设置的vlan标签也不要和智能设备接入的端口vlan重复。
端口DHCP地址池
交换机为接入的DTU设备分配IP的地址池,默认3.3.3.0/24。
物联网平台地址
物联网平台的IP地址,可以通过有效性检测检查该地址是否有效。
端口信息
显示交换机端口下接的DTU设备信息,方便当DTU设备出现故障之后根据端口信息简单判断是什么问题。
在集中管理页面可对所有分支进行管理,点击分支名称可进行对网关配置、认证授权、VPN配置、网关集群、系统管理及系统维护进行操作。
点击【操作】按钮可跳转至分支控制器、切换模式(管理模式、监控模式及维护模式)、同步配置及解除绑定。
集中管理
待审核分支:部署分支设备前可以不在SDN上预先创建好分支设备,待分支配置好网络与网络管理中心信息后,SDN可看到需要审核的分支设备,审核通过后分支即可在SDN上线成功。
待审核分支
认证托管组分为2种,1+1托管组,N+1托管组。
1+1托管组:
网络管理中心可任选两个分支组建1+1托管组,任何一个分支出现故障,故障分支的设备会自动托管到正常分支上。
N+1托管组:
网络管理中心可任选一个分支作为网络管理中心,若干个分支作为分支网关,当分支网关出现故障时,该分支的设备会自动托管到网络管理中心。
认证托管组
接口管理:SFG网关支持LAN/WAN口切换
注意事项:
1、LAN1和WAN1为固定端口,不能进行LAN/WAN切换
2、SFG-2520-PWR & SFG-2500的光口可以支持切换为WAN口,而SFG-2600的光口和WAN1口互为COMBO口,不支持切换为LAN口
3、SFG2200、SFG2600最多支持4个WAN口、SFG2500、SFG2520-PWR最多支持8个WAN口
多WAN口负载均衡:支持选择多个WAN口线路按会话数/按用户数进行负载均衡
概述:上线到NMC的网关需要建立VPN隧道时可在本页面进行VPN策略配置。
1、选择适用的网关,配置完成后VPN策略配置将下发到对应网关
2、支持多线路网关选择线路进行VPN连接,若单线路网关配置了线路二则不会实际生效
3、注意 :配置到一台网关的VPN策略的对端IP不可重复
4、分支/总部网段配置即本端VPN子网与对端VPN子网的网段配置,可以配置多个多对多子网对
5、“保存并继续”能够连续新增多条VPN策略
6、支持对多个VPN策略进行批量编辑,适用于多个分支网关对接同一个总部网段的场景
7、不同型号的网关的子网对有配置上限,当达到配置上限时会进行提示
本页面可以配置网关需要开启、关闭哪些功能,在不需要使用某类功能时可以选择禁用服务,以便最大化的节省系统资源消耗,使系统能够将更多的资源分配给已开启的功能,使其更加流畅的运行。
分支服务配置
数据转发
适用于所有接入点都使用集中转发模式。禁用服务可以释放大量资源,需要重启设备。该服务禁用状态时“集中转发应用识别”服务和集中转发无线网络也将被禁用。
本地转发:适用于所有接入点都使用本地转发模式。禁用服务可以释放大量资源,需要重启设备。该服务禁用状态时“本地转发应用识别”服务和本地转发无线网络也将被禁用。
应用识别
功能开启之后,将会识别本地转发用户的应用。启用功能之后,需要在本地转发应用识别选项中选择,需要开启识别的本地转发的无线网络或是接入点有线认证策略,默认不勾选。功能开启之后,将会消耗接入点2%-5%的上行带宽。本地转发是通过将本地转发用户的报文镜像到网关上来进行识别,这个是配置每个会话的镜像报文数量,数量越多识别越准确,同时消耗的接入点的上行带宽越高。
审计
用户审计:开启功能,需要启用内置日志中心或是配置一个外置的日志中心。
本地转发五元组审计:开启功能,可以审计本地转发用户的五元组信息。
日志中心
内置日志中心:开启和关闭内置日志中心,配置磁盘预警和自动删除数据选项。
外置日志中心:开启和关闭内置日志中心,管理外置日志中心的同步账号。
特色服务
信锐无线安全接入前端:开启、关闭信锐无线安全接入前端服务。服务开启时将采集的终端信息、上网行为信息等上报给第三方设备。
分支设备维护升级:接入点/交换机为零配置设备,通常并不需要关心设备的软件版本。接入点或交换机连接到网关后,会自动从网关中下载并安装系统。如果要升级到最新版本,只需要升级网关,不需要单独升级无线接入点或交换机。该页面的升级功能,主要提供给设备供应商的技术支持人员使用。
分支设备升级
【物联网终端】展示物联网终端的在线状态,根据接入的物联网设备所在的组来分组展示,可以按照通信厂商、通信网关来批量筛选终端
物联网终端
6.2.1M3网关
用户管理M3网关设备
6.2.2接入单元
用户管理接入单元设备
6.2.3发现网关
部署物联网设备之前,通常不需要对设备进行任何配置。网络管理员只需要在网关中,集中管理所有的物联网设备,这种方式简化了部署及配置过程。
因此,物联网设备启动后,需要首先寻找网关的地址,以连接到网关,以接受统一管理,获取配置,创建隧道等。物联网设备支持通过多种方式发现网关的 IP 地址,请根据实际部署环境选择
发现网关
6.3.1接入射频卡
【接入射频卡】主要用于导入信锐自研板卡与合作方板卡,新对接合作的第三方射频卡导入后即可正常使用该射频卡的无线接入功能。
接入射频卡
6.3.2应用服务器
【应用服务器】是用于新增、编辑、删除第三方应用服务器平台,创建好应用服务器后,在物联网设备的卡槽服务器配置上就可以选择该服务器作为转发的业务服务器。
应用服务器
『证书管理』是用于管理【外部CA】和管理【服务器证书】。配置证书管理后,可以在【接入点配置】-【无线网络】中选择认证方式属于“企业”方式认证的时候,启用证书方式认证。证书方式认证,大大加强了企业无线用户终端的安全接入。
图 4‑144 证书管理
证书可以新增【外部CA】、【服务器证书】
外部CA证书
【添加外部CA】主要是通过在线方式去检测证书的有效性,不需要把用户认证证书导入到NAC设备上,当无线终端采用证书方式认证的,NAC主动去与服务器进行交互认证。验证证书用户的有效性。
【证书】:导入外部CA的根证书。
【编码】包括:UTF-8、UCS-2、GBK、GB2312、BIG5,指明该CA所颁发用户证书的编码格式,让NAC能正确提取用户证书的信息,如选择了BIG5,但选择的证书是UTF8,则会显示不正确。
【用户名属性】CN、Email前缀、OID,用户认证成功后用指定的属性值显示为登录用户名。
【检查证书撤销列表】通过CRL文件或在线查询被吊销的证书。
【导入CRL文件】:CRL文件可以简单的理解为一个记录了用户证书序列号的文件,该文件由CA签发发布,记录了的证书序列号表示该证书已经失效。也就是CRL里面记录的证书序列号表示由这个CA签发的证书并且序列号在CRL文件里面的都已经是无效了的证书。
【在线证书状态查询】一般CRL文件并不是每天都发布,而是周期性的发布,而在这个周期内有可能其他证书被吊销了,所以可以配置在线证书状态实时去查询证书的有效性
【检查OCSP服务器回应的消息签名】导入OCSP服务端签名证书的公钥,主要检测OSCP数据在传输过程中是否被篡改。
外部CA证书
服务器证书
配置服务器证书,是为了让无线终端用户反向认证服务器是否合法,可以配置服务器证书,服务器证书可以通过2种方式生成。【导入一张证书】和【创建一个证书请求】,如下图:
【导入一张证书】直接将已有的服务器证书的公钥私钥一起导入到设备里面。如果证书采用了密码,需要使用密码后,才可以正常导入。
【创建证书请求】:填写用户信息,包括国家、省份、城市、公司、部门、颁发给、邮箱、并设置密码长度,就可以创建一张证书请求文件:
证书请求文件需要让CA签名,附上签名数据,有效期后,点击【处理未决的证书请求】再把证书导入到设备中,就可以在设备生成一张完整的服务器证书了。
内置CA颁发证书:由内置颁发证书,填写用户信息,包括国家、省份、城市、公司、部门、颁发给、邮箱,可以设置由NAC内置CA中心颁发的服务器证书。对于不同的SSID认证,可以设置不同的服务器证书。初次使用内置CA颁发证书前,需要对内置CA进行初始化。
服务器证书
7.2.1交换机有线认证
选择认证对象类型:支持基于端口与基于VLAN提供网络接入服务。
认证端口组:只在选择的认证端口组上提供网络接入服务。
认证类型:WEB认证、802.1X认证
交换有线认证
WEB认证
WEB认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
认证方式:提供在当前网关上做Portal认证和对接第三方Portal服务器认证的功能,这两种认证方式均需要用户先登录认证页面,输入用户名和密码进行认证,认证成功后才可以访问网络资源。
WEB认证
802.1X认证
支持802.1x协议作为局域网端口的接入控制机制以解决以太网内认证和安全方面的问题。
802.1X认证
在局域网接入设备的端口或者VLAN这一级,对所接入的用户设备进行认证和控制。连接的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
终端验证:检查终端 MAC 黑名单、检查终端 MAC 白名单、免认证终端
MAC 黑名单对象定义了不允许连接网络的终端 MAC 地址列表。配置认证策略时,可设置为不允许 MAC 黑名单的终端连接网络。
检查终端 MAC 白名单:MAC 白名单对象定义了允许连接网络的终端 MAC 地址列表。配置网络时,可设置为允许 MAC 白名单的终端无需认证,直接接入网络。
免认证终端:配置不需要进行认证的终端MAC, 也可以配置不需要进行有线认证的交换机,并可分配免认证的角色。
两者的区别在于:
在当前网关上做Portal认证采用网关内置的Web服务器,采用内部Portal认证推送页面,用户通过账号和静态密码方式进行认证,部署简单,适合小型无线环境。
对接第三方Portal服务器认证认证采用外部WEB服务器,自定义Portal认证推送页面和认证成功跳转页面,搭配外部认证服务器、短信服务器,可以实现静态密码、短信动态密码等多种认证方式,并可实现广告推送等业务。
角色及 VLAN 设置:角色中定义了用户的网络访问权限,VLAN 定义了用户的子网。不同用户连接到网络后,可以设置不同的角色及 VLAN,从而实现子网划分,以及对网络权限的灵活控制。
系统将为每一个接入网络的用户分配唯一的角色及 VLAN。
角色分配及 VLAN 分配规则:用户认证成功后,系统将提取出用户此次认证过程的所有属性,主要包括:用户名,所属组,接入位置,RADIUS 服务器返回的属性值等;按照规则优先级从上往下,为用户分配角色或 VLAN。
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。如果用户未匹配规则表中的任何规则,则使用设定的 "默认角色" 和 "默认 VLAN"。
规则设定说明:
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。
规则的值中,可以输入或者选择多个值,多个值间以英文逗号隔开。只用满足这些值中的一个,即视为满足此条件。
规则中的条件,可以选择"赋值给"。也就是把用户的属性值中保存了用户的角色及 VLAN。例如 RADIUS 的 Tunnel-Pvt-Group-ID 中,可能保存了用户的 VLAN。
7.2.2接入点有线认证
接入点有线认证,主要指接在AP上的有线用户的认证方式,不包括在NAC上进行有线认证的用户。
接入点有线认证
基本配置:可以配置认证策略的名称,选择接入点(分组),只在选择的接入点(或分组)上提供网络接入服务。
数据转发模式: 集中转发模式中,接入点(AP)与NAC之间建立2层的数据隧道,用户的所有网络流量,通过此隧道传输到NAC,NAC再把流量转发到有线网络中。最简单的方法,可以把此模式理解为:相当于用户直接连接到NAC。
本地转发是指用户的网络流量,由接入点(AP)直接转发到有线网络(不经过NAC)。最简单的方法,可以把此模式理解为:接入点的无线用户直接连接到了接入点(AP)上联网卡所连接的有线网络。
认证类型:认证类型包括【IP地址认证】和【web 认证】。IP地址认证,无须认证即可连接到网络。Web 认证,web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
7.2.3SFG网关有线认证
• 名称
认证策略的名称
• 适用网关
只在选择的SFG网关(或分组)上提供SFG网关有线认证。
• 认证接口
选择数据通过时需要认证的LAN口
注意:如果选择的LAN口多于 实际SFG网关LAN,那么对应多余的LAN口不生效
• 适用范围
选择需要认证的用户范围
认证类型:
(1)IP地址认证
无须认证即可连接到网络。
(2)WEB认证
web 认证是指终端接入网络后,浏览器访问任意网址,都会被重定向到登录页面,用户在网页上输入用户名、密码等方式通过认证后才能访问网络资源。
WEB认证包含三种认证方式:网关本地认证、使用网络管理中心portal认证、使用外部portal服务器认证
网关本地认证:指使用SFG网关本地账号进行认证
使用网络管理中心portal认证:包括账号认证和访客认证
(3)、账号认证支持本地用户、LDAP服务器、RADIUS服务器、MySQL数据库、Oracle数据库、MSSQL数据库
(2)、访客认证支持短信认证、邮箱认证、微信认证、二维码审核认证、临时账号认证、免认证、MDQ认证
• 终端验证
免认证终端
免认证终端指在对象定义了允许连接网络的终端 MAC 地址列表。配置认证策略时,可设置为允许免认证的终端连接网络。
放通IP地址认证
允许直接连接网络的IP地址范围。
• 权限设定
角色中定义了用户的网络访问权限。不同用户连接到网络后,可以设置不同的角色,从而实现对网络权限的灵活控制。
用户认证成功后,系统将提取出用户此次认证过程的所有属性,主要包括:用户名、自定义用户组和终端信息用户名属性值等。然后从上往下,按优先级方式查找角色,如果用户的属性匹配上规则的条件,则根据规则中的设定值,为用户分配角色。
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。如果用户未匹配规则表中的任何规则,则使用设定的 "默认角色" 和 "默认 VLAN"。
规则设定说明:
每一条规则中可以包含 1 个或多个条件,如果包含多个条件,则要求同时满足,才视为匹配此规则。
规则的值中,可以输入或者选择多个值,多个值间以英文逗号隔开。只用满足这些值中的一个,即视为满足此条件。
7.3.1本地用户
在未部署集中的账号数据库或认证服务器的环境中,无线网络的身份验证方法可以设置为本地用户认证。
本地用户
用户组:本地用户数据库支持多级的组织结构树,可按照企业实际组织结构划分组,并进行分级管理。
用户名:用户名是账号的唯一标识,不同用户间不允许重名。用户身份验证过程中,需要输入此名称。
显示名:用户名由于要求唯一性,因此在部分部署环境中,用户名被设置为诸如员工工号等可读性较低的名称。这种情况下,可以把显示名设置为员工的姓名。系统将在“在线用户列表”等显示用户名的地方,同时显示账号的用户名及显示名,以更直观的对账号进行管理。显示名可以留空,不同用户的显示名允许重名。
描述:对账号的描述,选填。
过期时间:指定账号的过期时间点,过期后将无法通过身份验证。
登录时必须修改初始密码:本地账号是由管理员创建的,为了简化管理,不同账号的初始密码可能相同,这带来了严重的安全问题。选择此选项将要求账号在首次登录时,修改初始密码。
手机账号用户:适用于终端使用手机号码自助激活账号的场景。由用户在终端认证页面选择自助激活,管理员无需配置账号密码,用户在激活时自己设置密码。手机账号用户同时也支持短信二次认证。
邮箱绑定用户:适用于在用户忘记密码时,在终端认证页面上选择找回密码,系统将发送该用户的密码到绑定的邮箱。如果管理员在创建账号的时候未设置绑定邮箱,则由用户在首次登录的时候自己设置一个邮箱地址。
批量导入导出:csv 为通用表格文件格式,几乎所有的电子表格软件都支持此格式,例如 Microsoft Excel。在大量用户的情况下,通过 csv 表格文件管理,并导入到设备中,可以简化用户管理操作。导入的表格文件列顺序及格式等,参考导入界面中的示例文件。
7.3.2访客账号
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
通过访客认证的终端信息护记录在访客账号里。
访客账号
7.3.3人脸信息
用于新增人脸账号并绑定底片。用户名必须在认证服务器中存在。
人脸信息
7.3.4多因子绑定
设置用户与终端绑定信息,相关的验证设置请在认证选项/策略中开启。支持终端绑定功能的有无线网络认证、有线认证和Portal服务认证策略。
多因子绑定
7.4.1Portal服务
控制器可作为Portal服务器为第三方设备提供Portal认证服务。
Portal服务
服务器参数:
NAC内置Portal服务器,Portal服务器运行的必要参数。
协议端口:Portal服务器监听的协议端口。
服务器通信IP:当前控制器的通信IP,双机部署时建议配置为VRRP中的虚拟IP。
认证页面端口:默认是80,配置为非80端口时,客户端配置Portal服务器的URL时需要带上端口号。
在线用户同步时间(分钟):Portal服务器主动向客户端同步用户的时间,针对Aruba和Cisco设备。
在线用户保留时间(小时):超过保留时间,注销所有的在线用户。
Portal页面超时重定向地址:Portal页面超时(在URL参数中设置时间戳参数)后系统自动重定向的地址.
WEB认证策略:
WEB认证策略给当前控制器的有线认证,第三方的Portal客户端(包括信锐控制器)对接时,配置认证页面、认证方式、权限设定方面的信息。
WEB认证策略
策略类型:分为外部Portal服务器认证策略、控制器有线认证策略和交换机有线认证策略。外部Portal服务器认证策略是指给当前设备的无线网络对接第三方(包括信锐控制器)的Portal客户端对接。控制器有线认证策略是指给当前控制器的有线策略提供对接。交换机有线认证策略是指给安视交换机的有线策略提供对接。
协议:当前Portal服务器支持对接的设备厂商类型和协议版本。不在列表里面的请选择Portal2.0标准协议。
身份验证:身份验证方法,包括PAP和CHAP,这里的配置需要和客户端配置的RADIUS服务器的身份验证方法保持一致才能认证成功。
认证URL:需要将这个URL拷贝到Portal客户端的认证URL里面去,客户端配置的和这里的不一致时,将会认证失败。
参数设置:Portal客户端的认证URL里面携带的参数的名称。
开启本地认证(在控制器进行用户认证):Portal2.0协议里面,Portal服务器和认证服务器可以分开配置。当Portal服务器启用了访客认证时,客户端的RADIUS服务器需要配置为当前控制器。
权限匹配:Portal服务器对接有线认证时,权限匹配的结果就是有线认证的角色。提供给第三方设备Portal对接时,匹配到的角色将会通过RADIUS报文中的Class字段,以字符串的形式返回给RADIUS客户端。
7.4.2RADIUS服务
Radius服务器负责接收客户端的连接请求、认证用户,然后返回客户端所有必要的配置和认证信息。
RADIUS服务
Radius客户端
NAC作为Radius服务对客户端进行认证和计费时,需要配置信任的客户端;
NAC作为Radius客户端需要配置认证的服务器时请在外部服务器进行配置。
新增RADIUS客户端
1、Radius客户端—名称:Radius客户端的名称,用于区分不同的Radius客户端。
2、Radius客户端—IP地址:客户端的IP地址,双机部署时建议配置为VRRP中的虚拟IP。
3、Radius客户端—用户名编码:服务器和客户端之前数据传输的编码类型,两端的编码一致才能保证验证的有效性。
4、Radius客户端—共享秘钥:客户端和服务通过该共享密钥建立信任,两端密钥一致才可以建立信任。
5、Radius客户端—其他选项:当勾选了“请求必须包括消息验证程序属性”表示请求的消息必须包含Message-Authenticator属性。
6、高级选项:配置Radius服务器的认证和计费端口,必须与客户端配置的端口一致。
RADIUS高级选项
连接请求策略
认证的的策略配置,连接请求策略有优先级,当优先级高的策略为允许策略时,配置失败则不通过验证,当优先级高的策略为拒绝策略时,配置失败时则跳转至下一策略进行验证。
连接请求策略
1、规则条件:通过传输Radius属性的值进行匹配。
2、策略动作:允许或者拒绝匹配该策略的用户通过认证。
新建策略
认证的协议的选择,为了保证认证的有效性,请确保选择的身份验证方法包含了需要处理的认证协议类型。
用户数据库
1、用户数据库:选择认证数据的数据库(数据库需在在外部数据库进行配置)。
2、删除用户名前/后缀:可以定义用户名的前、后缀,验证的用户名会删除定义的前、后缀再进行验证。
多因子认证
可以启用、禁用新终端需要TrustSpeed审批。启用[新终端需要TrustSpeed审批]功能后用户接入网络需要在TrustSpeed内进行二次生物识别授权验证,以增加账号的安全性。授权方式分为:[直接授权]、[人脸识别]、[faceID/touchID/手势识别]、[人脸识别、faceID/touchID/手势识别]。
直接授权:APP内点击无线网络、审核消息、扫描二维码,无需生物识别验证而直接通过授权。
人脸识别:APP内点击无线网络、审核消息、扫描二维码,需校验人脸识别验证授权。
faceID/touchID/手势识别:APP内点击无线网络、审核消息、扫描二维码,需校验faceID、touchID、手势识别中的1种方式验证授权。
人脸识别、faceID/touchID/手势识别:APP内点击无线网络、审核消息、扫描二维码,需先人脸识别,如果人脸失败则校验faceID、touchID、手势识别中的1种方式验证授权。
多因子认证
返回属性
RADIUS服务器端[返回属性]功能是用于让RADIUS客户端可以根据返回的属性值,做一些角色匹配、VLAN分配等等附加功能。
支持按规则配置返回属性和默认返回属性两种方式。
例如:客户端希望用户[张三]在服务端认证完成后以RADIUS属性Filter-Id返回一个角色[role1],用于分配该用户的上网权限为[role1]。
按规则返回属性中添加如下条件:属性:RADIUS User Name 定义:等于 值:字符串[张三]
满足条件后返回属性:属性:Filter-Id 值:字符串[Role1]
属性标识:用于定义RADIUS客户端返回的哪种属性值用于给RADIUS服务器的在线用户显示角色、VLAN对应字段。
返回属性
单点登录
将此认证策略下的用户认证信息转发到其他设备。
单点登录
7.4.3TrustSpeed服务
用于配置人脸识别认证相关功能。
TrustSpeed服务
7.4.4认证漫游域
认证漫游域主要解决如下问题:
1、客户有多台不同厂商的portal客户端,终端在客户端A上认证成功后,漫游到控制器B后需要重新认证;
2、客户的第三方设备级联到控制器的接口做有线认证后,漫游到控制器的其他ssid上后需要重新认证。
配置认证漫游域后,支持终端在不同类型的portal服务器上漫游;支持不同类型认证方式之间的漫游。
认证漫游域
只有相同的认证服务器的认证策略才能添加到一起,并且只支持账号认证,访客认证本身就支持漫游。
『认证授权』包含【角色授权】、【Web认证】、【微信认证选项】、【外部服务器】、【单点登录】、【本地转发应用策略】。
认证授权
7.5.1角色授权
『角色授权』定义了用户可以访问网络的各种权限设定,包括【角色授权】、【无线访问控制策略】、【用户审计策略】、【流速限制策略】、【流量/时长配额策略】。
角色授权
角色授权设置好后,并没有立刻被使用生效,需要在【SD-WLAN】-【无线网络】-【编辑无线网络】-【权限设定】中调用角色,匹配给无线用户。
权限设定
另外【有线认证】-【交换机有线认证】-【权限设定】可以定义了经过交换机或AP的有线用户的角色,如下图:
有线认证权限设定
角色授权可以新增角色,然后调用右侧已经建立成功的访问控制策略、用户审计策略、和流速限制策略、以及流量/时长配额策略,也可以在角色授权中调用新增其他策略。
访问控制策略
访问控制策略主要是用来限制无线终端用户可以访问的网络权限,一般网络设备设置网络权限会有LAN区域和WAN区域的划分,WLAN不设置LAN区域和WAN区域的划分,只需要设置【用户发起】和【用户接收】2个方向即可,配置策略还需要调用到对象定义中的【服务】、【应用】、【IP组】以及【时间计划】。
访问控制策略
[编辑访问控制策略]:可以新增多条访问控制策略,并且可以设置不同的优先级,策略会依次从上往下匹配。
编辑访问控制策略
新增规则
图 4‑174 新增规则
新增基于应用的规则
选择服务时,会调用【对象定义】中的服务,选择应用时,会调用【对象定义】中的应用。需要调用【应用】前,需要确保设备已经开启应用识别序列号,并且应用识别规则库与URL规则库需要处于最新状态。
应用识别序列号
更新库
URL规则库如果未处于最新状态,会影响基于应用的访问控制策略的正常生效,需要点击立即更新更新到最新版本。
用户审计策略
用户审计策略支持审计HTTP外发内容、访问网站/下载、邮件、FTP、telnet、网络应用、流量与上网时长。
用户审计
HTTP外发内容,包括WebBBS发帖、外发的WebMail邮件、通过网页上传的附件,通过网页上传的文本,微博等方式。HTTP外发内容审计,不包括HTTPS方式的内容审计。
访问网站/下载,包括了URL规则库中所有类型的站点。邮件包括了标准的SMTP/POP3以及IMAP方式的邮件。FTP包括FTP上传文件,也可以被审计,超过50M的文件,只会截取前50M文件大小。对于采用SSL加密的内容无法审计,比如https与SMTPS/POP3S等内容。
流速限制策略
流速限制策略可以针对所有终端用户生效,包括有线与无线用户,但此功能只能限制用户的整体上行和下行的速率,无法根据应用进行流控,应用流控需要到【流控与安全】菜单下配置。该功能策略如下图:
流速限制策略
流速限制策略可以对每一个终端进行流速限制,以避免部分终端的流速过大,影响整体无线用户体验。例如设定为发送最大限制为 512KB/s,则对使用此策略的每一个终端最大发送流速都将被限制为 512KB/s 秒。
流量/时长配额策略
流量/时长配额策略可以限制用户的上网时长和总流量大小,可以设置一个上网时长或者流量的阈值(上网的最大时长或者能使用的最大流量),可以设置当用户上网达到这个阈值后在配额控制周期内不能再次进行认证或者只封锁一段时间后可以重新接入网络。
流量、时长配额策略
7.5.2Web认证
『Web认证』包括【访客认证】、【终端页面】、【应用管理】、【消息栏模版】、【语言管理】、【问卷题库】、【问卷分析】五个模块。
7.5.2.1访客认证
在部署用于访客使用的无线网络时,为了简化用户体验,通常设置为开放式的无线网络。但单纯的开放式的无线网络,存在无法验证访客身份的问题,因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中,例如部署在机场,交通枢纽,医院,酒店,商场,学校等地方。
访客认证
7.5.2.1.1短信认证
启用短信认证时,需要到【系统管理】-【短信服务】页面配置短信设备,包括采用短信猫,外置短信服务器或外置短信网关。
短信认证是指访问无线网络时,系统需要发送短信验证码到用户的手机上,用户输入验证码后,才能访问无线网络,此方式获取了访客用户的手机号码作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的手机号码,系统将把验证码发送到此手机。
4、认证页面中,输入短信中获取的验证码,通过认证。
短信认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
2、可以获取访客的手机号码用于后续的短信营销。
3、简化了访客连接无线网络的体验。
7.5.2.1.2邮箱认证
邮箱认证是指访问无线网络时,系统需要发送验证码及授权url发送到用户的邮箱上,用户输入验证码或者点击授权url后,才能访问无线网络,此方式获取了访客用户的邮箱地址作为身份信息。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,输入用户的邮箱地址,系统将把验证码和授权url发送到此邮箱。
4、认证页面中,输入邮箱中获取的验证码或者点击授权url,通过认证。
邮箱认证方式的优点:
1、迎合了国外使用邮箱较多的习惯,提升用户体验。
2、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
3、可以获取访客的邮箱地址用于后续的邮件营销。
4、提供点击链接认证上网的方式,简化了访客连接无线网络的体验。
7.5.2.1.3微信认证
此方式通常用于商场、超市的无线网络认证,可以确保只有关注过指定微信公众账号的访客用户才具备无线网络访问权限。认证选项中,可以设置关注微信后,每次申请上网的有效期。
访客连接无线网络的过程如下:
连接到开放式的访客无线网络,例如无线网络名称为:Example-WeChat。
打开浏览器,访问任意网站,系统将把用户的浏览器重定向到指定的认证页面,点击认证页面上的微信连WiFi按钮跳转到微信完成微信认证。
PS:微信连WiFi相关参数需从微信公众平台后台获取后填入控制器。
7.5.2.1.4二维码认证
此方式通常用于企业的访客无线网络认证,可以确保只有经过二维码审核的访客用户才具备无线网络访问权限。认证选项中,可以设置审核通过后,访客可以访问无线网络的时长。
访客连接无线网络的过程如下:
1、连接到开放式的访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,显示一个二维码。
4、访客的接待人员,也就是企业的内部员工,使用手机连接到企业无线网络中,并具备审批权限。审批权限由无线网络配置中指定,可以设置哪些角色的用户具备访客审批权限。
5、接待人员,打开手机中的二维码应用,扫描访客的二维码,访客即通过审核。需要说明的是,目前很多流行的互联网应用都提供了二维码扫描功能,例如腾讯微信(用此软件的时候需要审核人角色必须能正常访问互联网,因为此软件二维码扫描的时候要访问互联网才能正常使用)和我查查。
7.5.2.1.5临时访客认证
此方式通常用于企业、酒店的访客无线网络认证,可以在访客登记后,接待人员创建一个临时帐号,并设置帐号的有效期。访客使用此帐号完成无线网络认证。
以酒店的部署场景为例,顾客连接无线网络的过程如下:
1、顾客在酒店前台登记入住。
2、酒店的前台工作人员,在访客管理系统中,为此顾客添加一个临时帐号,以手机号或者身份证号码作为帐号的用户名,密码为手机号码或身份证号码的后6位。帐号的有效时间设置为顾客的离店时间。
3、顾客连接到酒店部署的,开放式的无线网络,例如无线网络名称为:Example-Guest。
4、打开浏览器,访问任意网站,系统将把浏览器重定向到认证页面。
5、在认证页面中,输入此临时帐号及密码,完成无线网络认证。
6、顾客离开酒店后,帐号自动失效。
访客帐号通常并非由网络管理员管理,而是由负责访客接待的人员管理。因此,系统提供了临时帐号管理员,以区别于NAC的管理员。临时帐号管理员只允管理访客帐号,无法修改NAC的其它设置。
临时帐号管理员的登录地址与NAC管理员不同,登录地址为: https://设备地址/guest.php,例如:https://192.168.0.1/guest.php
7.5.2.1.6免用户认证
免用户认证是指访问无线网络时,访客无需认证,在广告页面点击登录按钮即可上网。
访客连接无线网络的过程如下:
1、连接到访客无线网络,例如无线网络名称为:Example-Guest。
2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。
3、认证页面中,用户点击登陆,直接上网。
免用户认证方式的优点:
1、认证页面中,可以设置企业的广告等展示信息,提高企业形象。
简化了访客连接无线网络的体验。
7.5.2.2终端页面
【终端页面】分为“认证页面”、“移动应用下载页面”、“拒绝访问提示页面”。
终端页面
7.5.2.2.1认证页面
“认证页面”用于设置无线用户接入无线网络后,设置WEB认证跳转的页面,系统内置了 Web 认证页面的模板,系统允许您在默认模版的基础上,自定义认证页面的标题,背景,LOGO 等。如果您熟悉 Web 开发,可以上传自定义的页面。
认证页面
1、默认全屏显示竖向广告模板
默认全屏显示模板
点击预览查看,电脑认证效果图:
默认PC端预览效果
预览手机认证效果图:
默认手机预览图
2、自拟文字
2、自拟文字至6、六宫格的电脑和手机预览图查看方法同默认全屏显示竖向广告模板。
3、瀑布流
4、半屏广告
5、二级页面认证
6、六宫格
7、默认智能营销模版
智能营销模板支持更加丰富的区域显示规则,帮助营销人员结合天气环境情况,推送与顾客直观感受相吻合的广告内容,能让每个顾客看到与自己相关的"专属"信息,做到千人千面的展示效果。
支持一套模板多个门店使用,且不同门店展示不同广告内容。每个门店(单条显示规则)均支持引用接入点分组并配置多张广告图片,每张广告图片可以设定不同环境属性、用户属性、所在位置、推送时间进行智能展示。
支持每个显示规则引用不同的消息栏,以个性化的展示消息栏信息。消息栏信息可以在消息栏模板页面进行配置。
统一配置:在总部、多个门店场景下,可以启用统一配置,用于在指定生效时间内强制展示总部设定的广告内容,若部分门店不展示总部统一广告可以进行排除。
注:统一配置禁用或生效时间外,各门店恢复显示门店设定的独立广告内容。
页面效果图,参考“默认全屏显示竖向广告”。
8、简约风格模板
7.5.2.2.2上传自定义页面
如果系统默认的认证页面还不能满足需求,还可以自定义页面,自定义页面需要下载“自定义模版示例”,按照示例标准进行上传页面
自定义页面
7.5.2.2.3访问拒绝页面
当用户被访问控制策略拒绝时,可以启用页面返回,提示用户访问被拒绝,也可以自定义编辑。
拒绝访问页面
7.5.2.2.4移动应用下载页面
当您需要做手机应用推广时,需要先创建一个移动应用下载页面。在无线网络设置认证后跳转页面,勾选APP推广,再选择此处创建的页面。如果您使用了APP推广,别忘了在无线网络设置中开启应用缓存加速,这将大大节省您的网络带宽资源,提升终端下载体验。当前适配IOS和Android移动终端,移动终端访问时可直接下载,PC端访问时将显示一个二维码图片,提示用户使用移动终端扫码下载。
移动应用页面
7.5.2.3应用管理
应用管理用于配置各种社交软件做认证时所要对接的应用,以让不同社交软件的用户使用自己的社交账号接入wifi。同时支持like功能,实现商超客户的品牌推广,目前支持like的社交软件有Facebook,Twitter和Line。
应用管理
7.5.2.4消息栏模版
消息栏的展示文字在终端页面的顶部,可以根据识别出的终端用户的系统语言,对应展示其相符合的语言文字。消息栏内容支持展示天气、室内外温度、湿度、PM2.5,使终端用户能直观在认证页面看到当前所处场所的环境信息。
通过修改内置消息栏模板文字,或者新增消息栏模板,可以由客户定义想要给终端用户展示的内容。
注意,此处的模板内容和语言管理中的语言模板内容相互独立,以便客户快速编辑。
消息栏模板
7.5.2.5天气信息配置
7.5.2.5.1区域环境参数
根据不同的区域,配置不同的环境数据。在此页面可以统一管理全区域的关联数据的频率和采样时间。
• 采样时间:关联区域环境数据采集的时间范围。
• 室外环境数据来源:支持第三方天气预报或传感器获取。其中天气仅支持第三方预报。
• 室内环境数据来源:支持传感器获取,分别为温度、湿度、PM2.5。
注:采样频率设置对所有配置生效。
7.5.2.5.2信息服务器配置
信息服务器配置可以配置第三方天气数据和本地传感器数据,给其他模块提供环境数据。
启用第三方预报采集数据,要求先上传一份.wa格式的插件。配置参数的格式为:key=秘钥,如果天气插件的秘钥是aaaaaa,配置参数则填写key=aaaaaa。配置成功后可以获取到第三方预报数据。
注:若需获取第三方预报采集数据插件模板请访问信锐官网或咨询信锐技术服务电话。
启用本地传感器采集数据,要求使用本机或者其它信锐物联网平台。使用非本机的信锐物联网平台,请准确填写服务器的IP地址、API Token。其中API Token可在信锐物联网平台获取。配置成功后可以获取到本地传感器的数据。
7.5.2.6问卷题库
7.5.2.6.1问卷管理
问卷题库
问卷推送前需要准备进行问卷的题目。
1、支持一次性把题目导入一个题库的功能。
2、支持一次性把题目复制到多个题库的功能。
3、支持一次性导出一个题库所有题目的功能。
4、支持数据清理功能,删除题库或题目可以清理对应题库或题目的统计数据。
5、支持更新数据功能,修改题目可以仅更新对应题目的统计数据而不清理数据。
7.5.2.6.2问卷分析
问卷分析
题目分析
针对当前题库每道题目的用户答题情况进行分析,包括选项分布,终端类型,耗时分布。
名词解释:
• 选项分布:选择当前题目的各个选项的人数分布。多选题情况下,一个用户选了多个选项,被选的选项人数分布都会加1
• 终端类型:作答当前题目的用户终端类型
• 耗时分布:作答当前题目的用户耗费的时间
注意事项:
题目选项详情:图表中的驻留时间和WiFi使用时长指的是终端用户当次接入网络后作答某道题目所经过的时间,不是终端用户所累计的时间(举例:A在凌晨0点1分接入了无线网络,当A完成题目A的时候是凌晨0点3分,那么A的驻留时间就是2分钟)。
运营分析
展示单个题库的详细运营信息,包括推送结果分析、终端类型、题目推送次数排行、推送趋势、完成时长分布、对比分析等信息。
名词解释:
推送结果分析:
• 浏览量:当前问卷被浏览的数量
• 问卷提交率:问卷提交数/浏览量
• 问卷有效率:有效问卷份数/问卷提交数
• 平均完成时长:所有推送的问卷完成总时长/有效问卷份数
• 终端类型:作答当前题库推送的所有问卷的用户使用的终端类型
• 题目推送次数排行:当前题库组成的问卷中推送次数最多的题目排行
• 推送趋势:指定查询时间范围内,当前题库每天浏览量增减趋势
• 完成时长分布:当前题库推送的问卷中所有题目的完成耗时分布
• 对比分析:以ap分组为单位,以浏览量,问卷提交率,问卷有效率,平均完成时长为维度作对比
调查对象
在当前题库推送的问卷中作答的用户列表
7.5.2.7语言模版
有中文(简体)和英文两个默认模板,客户可以根据应用场景,添加语言模板,使终端认证页面显示出更多的语言。
在添加其他国家或者区域的语言前,需要先下载英文模板,然后在英文模板的json中,将对应的英文内容修改为需要展示的语言内容。
语言管理
7.5.3微信认证选项
微信连WiFi认证接口已于2019年8月19日停用,目前仅支持SIMPLE菜单认证方式。
7.5.4外部服务器
『外部服务器』包括【认证服务器】、【虚拟服务器】
外部服务器
7.5.4.1认证服务器
如果企业已部署集中的用户数据库,或者认证服务器,无线网络可选择使用外部服务器来完成用户身份验证。
使用WAPI企业认证的无线网络,需要在AS服务器上面进行用户身份的验证。
802.1x 认证的企业无线网络,支持使用 RADIUS 中继的方式,把认证请求中继到外部的 RADIUS 服务器,完成用户验证。web 认证的无线网络,支持通过外部的 RADIUS 服务器或 LDAP 服务器,完成用户身份验证。第三方PORTAL认证的无线网络,对接外部的PORTAL服务器完成认证。
认证服务器
7.5.4.1.1Radius服务器
『新增Radius服务器』需要设置“名称”、“IP地址”、“认证端口”、“计费端口”、“超时”、“共享密钥”、“采用协议”、“编码”,可选配置“NAS_ID”、“NAS_IP”、“用户身份属性ID”,如下图:
RADIUS服务器
设置Radius服务器的时候可以另外设置获“取用户属性”,企业级认证时,NAC会去用户数据库中去获取用户的组织结构,来作为无线终端的用户名和组织结构。这里可以选择与radius服务器对应的LDAP服务器。
7.5.4.1.2LDAP服务器
『新增LDAP服务器』:设置LDAP服务器需要设置“名称”、“类型”、“IP地址”、“认证端口”、“超时(秒)”、“Base DN”、“管理员DN”、“管理员密码”,可选填“计算机名”、“NetBIOS”,“用户属性名”、“用户身份属性名”、“过滤条件”和编码,如无特殊需求,保持默认即可。
LDAP服务器
配置完成后,可以点击测试有效性,测试LDAP服务器是否配置正确,如果服务器IP配置以及用户名和密码都配置正确,会提示服务器可用,如下图:
测试有效性
如果服务器IP或端口配置错误,会提示“服务器不可用,IP端口配置错误”。如下图:
测试有效性
7.5.4.1.3Portal服务器
添加外部Portal服务器,可以实现无线用户通过外部Portal服务认证上网。设置Portal服务器需要设置“名称”、“认证URL”、“协议”、“URL参数”、“通信端口”、“身份验证”、“加密密钥”、“报文编码”。
PORTAL服务器
认证URL:
PORTAL服务器的url为终端接入无线网络时,被重定向到的地址。其中urlid可以使用占位符来扩展,占位符为:,占位符的值可以在认证服务器->Portal服务器设置中配置。
认证URL支持配置为IP的形式和域名的形式。
认证IP:
Portal服务器的通信IP,会自动从认证URL中提取
协议:
对接的Portal服务器类型,类型不在里面的,请选择Portal 2.0协议
URL参数:
勾选某个参数类型,参数类型后面的输入框为自定义的参数名称。如勾选SSID,自定义名称为wlanssid,终端接入认证时,认证URL将会是:http://1.1.1.1:8080/portal/?wlanssid=xxx, ‘xxx”为终端接入的SSID名称。
认证URL
远端Portal服务器配置:
远端PORTAL服务器配置
网关通信IP:对接Portal服务器时,当前控制器作为Portal客户端,服务器会主动和当前控制器通信。通信IP是服务器主动访问客户端使用的IP。
双机环境下,建议配置为高可用性中对应VRRP备份组的虚拟IP。
URLID:URLID为对应WEB认证策略中认证URL中的URLID。
Portal协议端口:客户端监听的Portal服务端口。
RADIUS DM端口:RADIUS服务器主动下线一个用户时,使用的端口。
7.5.4.1.4AS服务器
AS服务器适用于WAPI企业认证的无线网络中,作为外部认证服务器。
AS服务器
名称:AS服务器的名称
IP地址:AS服务器的 IP 地址
认证端口:服务器的认证端口,一般默认为3810
7.5.4.1.5口袋助理
口袋助理认证是指将口袋助理移动办公平台作为认证服务器,用户通过使用口袋助理上创建的上网账号完成认证,实现无线上网账号与口袋助理的对接,便于用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
口袋助理认证
7.5.4.1.6阿里钉钉
阿里钉钉认证是指将阿里钉钉移动办公平台作为认证服务器,用户通过使用钉钉上创建的上网账号完成认证,实现无线上网账号与阿里钉钉的对接,便于用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
阿里钉钉认证
7.5.4.1.7微信企业
微信企业认证是指将微信企业号移动办公平台作为认证服务器,用户通过使用微信企业号上创建的上网账号完成认证,实现无线上网账号与微信企业号的对接,便于使用微信企业号办公的用户对无线上网账号进行实时管理。
适用认证方式:1)WPA/WPA2 企业认证; 2)WEB认证 - 账号认证
企业微信认证
7.5.4.1.8数据库
目前NMC直接对接Oracle数据库、Mysql数据库以及Mssql数据库,实现帐号认证和企业级认证。
数据库认证
1、基本配置
基本配置是用于连接数据库的信息。
数据库对接基本配置
(1)名称:数据库认证服务器的名称。
(2)IP地址:数据库的服务器地址。
(3)端口:数据库服务器使用(监听)的端口。
(4)超时(秒):向数据库服务器查询用户信息时的查询超时时间。
(5)数据库名/SID:数据库中保存用户信息的数据库(数据库实例)的名称。
(6)管理员帐号:登录数据库的账号,该账号需要有查询“数据库名”指定的数据库的权限。
(7)管理员密码:登录数据库的账号对应的密码。
2、获取数据
用于配置获取数据库信息的SQL语句,支持6个字段信息的获取;
SQL语句中使用$$USERNAME$$代表用户登录名。
获取数据
(1)密码(必填):用于查询用户的密码,作密码校验。portal认证支持明文、MD4、MD5、SHA1、NT-Password加密类型。企业认证支持明文、NT-Password。
(2)有效期和创建时间(可选):用于校验用户是否有效。如果只配置有效期字段,具体使用方法见[外部数据库获取创建时间和有效期]。
(3)用户组(可选):用于获取用户组做vlan匹配、权限匹配(无线网络配置)。支持中文编码,具体见[外部数据库对中文编码的支持]。
3、外部数据库对中文编码的支持
(1)用户名支持设置中文编码。
(2)用户组、自定义1、自定义2这三个查询字段支持使用中文编码。
(3)支持的中文编码格式如下(UTF-8是最为通用的格式;GBK是常用的简体中文编码格式,BIG5是常用的繁体中文编码格式):
ORACLE:支持UTF-8、GBK、BIG5
MYSQL:支持UTF-8、GBK、BIG5、GB2312
SQLSERVER:支持UTF-8、UCS-2、简体中文、繁体中文
4、外部数据库获取创建时间和有效期
WAC支持%Y、%m、%d、%H、%M、%S几个通配符,使用通配符在自定义格式中填写与数据库中内容同样的格式,WAC就能够识别,其意义分别为:
%Y 年、%m 月、%d 日、%H 时、%M 分、%S 秒
根据数据库中的内容是字符串和内置格式,分别有不同的处理方式(根本目的都是转化为字符串形式)
情况1:字符串格式
数据库中的时间格式的类型是字符串,则使用匹配符按照本地的字符串的样式得到对应的格式;
例如数据库的时间内容是2017-10-20 10:30:50,则自定义格式填%Y-%m-%d %H:%M:%S;
例如数据库的时间内容是10:30:50,2017,10,20,则自定义格式填%H:%M:%S,%Y,%m,%d。
情况2:内置时间格式
数据库中的时间类型是数据库内置的时间格式,则需要将内置时间格式转为指定的字符串格式。不同数据库有不同的转换处理函数;
a、对于oracle,时间字段使用的是时间格式(包括date、timestamp),使用TO_CHAR进行转换;
SELECT TO_CHAR(时间字段名, 'yyyy-mm-dd hh24:mi:ss') FROM EXTDB_USER_TB WHERE USERNAME = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
b、对于mysql,时间字段使用的是时间格式(包括date、datetime、timestamp),直接按照情况1处理即可oracle的timestamp;
因为mysql查询到的内容直接就是2019-10-20 10:30:50或者2019-10-20形式的字符串。
c、对于sqlserver,时间格式是datetime,则使用CONVERT将datetime格式转为字符串(2017-01-01 12:00:00)的格式;
SQL语句:SELECT CONVERT(nvarchar(24), 时间字段名, 20) FROM 表名 WHERE 用户名字段名 = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
d、对于sqlserver,时间格式是datetime之外的格式,则使用CAST将其强制转换为datetime,再使用CONVERT进行转换;
SQL语句:SELECT CONVERT(nvarchar(24), CAST(时间字段名 AS DATETIME) FROM 表名 WHERE 用户名字段名 = $$USERNAME$$;
格式中填写:%Y-%m-%d %H:%M:%S。
5、外部数据库其它复杂SQL语句示例(SQLSERVER)
(1)联表查询
用户名和需要查询的内容(例如用户组)在不同的表中,需要使用外键进行关联查询
示例:
用户表usertb的内容如下,
b、用户组表grptb的内容如下,
c、SQL语句:
SELECT grptb.groupname FROM usertb,grptb WHERE usertb.username = $$USERNAME$$ and usertb.grp_fk = grptb.id;
(2)内容以键值对的形式保存(例如一些radius服务器),利用max case做“行转列”处理
示例:
用户表usertb的内容如下,我们需要提取其中的attribute列中,内容为"password"的行所对应的value作为密码
b、SQL语句:
SELECT MAX(CASE WHEN attribute='password' THEN value ELSE ' ' END) AS MY_PASSWORD FROM usertb WHERE username = $$USERNAME$$
(3)截断用户名
因为WAC支持的用户名长度不能超过95,如果数据库中的用户名长度超过95,就需要将过长的用户名作截断。这种情况下可以使用SUBSTRING处理。
示例:
SELECT 密码字段名 FROM 表名 WHERE SUBSTRING(用户名字段名, 1, 95) = $$USERNAME$$
(4)去掉用户名前后缀
数据库中的用户名有一些前后缀,例如XXX@sundray.com、sundray_XXX,我们想要用户使用XXX登陆。这种情况下可以使用SUBSTRING处理。
示例1:
a、用户表usertb中的用户名都是XXX@sundray.com的形式,我们想要用户使用XXX登陆
b、SQL语句1:
SELECT 密码字段名 FROM 表名 WHERE
SUBSTRING(用户名字段名,
1,
(
CASE WHEN CHARINDEX('@sundray.com', USERNAME)=0 THEN
LEN(用户名字段名)
ELSE
CHARINDEX('@sundray.com', USERNAME )-1
END
)
) = $$USERNAME$$
示例2:
用户表usertb中的用户名都是XXX@sundray.com的形式,我们想要用户使用XXX登陆
SQL语句1:
SELECT 密码字段名 FROM 表名 WHERE
SUBSTRING(用户名字段名,
(
CASE WHEN CHARINDEX(REVERSE('sundray_'), REVERSE(用户名字段名))=0 then
1
ELSE
2+len(用户名字段名)-CHARINDEX(REVERSE('sundray_'), REVERSE(用户名字段名))
END
),
)LEN(用户名字段名)
) = $$USERNAME$$
7.5.4.2虚拟服务器
如果企业已部署多台微软AD域控制器且互相之间存在父子域关系,无线网络可选择使用虚拟服务器来完成用户身份验证。
虚拟服务器支持TTLS-PAP认证以及EAP-MSCHAPv2认证。
虚拟服务器
未安装RADIUS验证服务虚拟服务器
适用于WPA/WPA2企业认证及802.1X 无线网络的终结认证,需要用户启用netbios服务以支持对接AD域。
名称:虚拟服务器名称
AD域:选择AD域服务器配置(可为父域或独立域)
AD子域:选择与已添加AD域存在子域关系的AD域服务器配置
已安装RADIUS验证服务的虚拟服务器
若用户不愿启用netbios服务且已安装RADIUS验证服务,用户可选择启用“该服务器上已安装RADIUS验证服务”对接AD域。
名称:虚拟服务器名称
AD域:选择AD域服务器配置(可为父域或独立域)
AD子域:选择与已添加AD域存在子域关系的AD域服务器配置
RADIUS服务器:选择已在配置的AD域中注册RADIUS服务器
7.5.5单点登录
单点登录,将用户的认证信息发送到深信服上网行为管理设备,避免终端通过控制器认证后,还需要再次认证。
1、本地转发,请在接入点(编辑->参数配置->其他配置)或者接入点分组(编辑->其他配置)中 ,配置认证信息转发。
2、集中转发和有线认证,由控制器转发认证信息,需要在该页进行配置。
单点登录客户端
用户类型
无线用户:无线用户,包括本地转发和集中转发的用户
控制器有线用户:在控制器上完成有线认证的用户
接入点有线用户:完成接入有线认证的用户
交换机有线用户:完成交换机有线认证的用户
所有用户:包括无线用户、控制器有线用户、接入点有线用户以及交换机有线用户。
协议类型
深信服单点登陆协议0.1:深信服上网行为管理设备使用的单点登陆协议(AC11.0之前版本支持),协议默认使用1773端口。
深信服单点登陆协议1.0: 深信服上网行为管理设备使用的单点登陆协议(AC11.0及后续版本支持),协议同时兼容0.1版本。协议默认使用1775端口。
深信服上网行为管理的配置菜单如下:
深信服AC配置案例
7.5.6本地转发应用策略
本地转发控制策略
可选择基于服务控制或基于应用控制,选择基于应用控制,能识别具体应用进行相应的访问控制或是流量控制;
生效区域:选择需要进行本地转发应用控制的接入点或是接入点分组;
排除目标IP地址:应用于本地内网环境中的服务器及终端这类需要额外直通访问的设备,访问这类设备的流量不会被识别和控制。
流量处理策略:关联需要生效的角色,流量处理方式选择应用控制,其他配置保持默认。此处需要注意的是,镜像报文的配置;镜像报文数量配置越大(配置范围为2-15个),应用识别效果会更好,识别率会更高。但是相应的,镜像报文过多时会降低终端访问网络时的响应速度,建议保持默认配置。
本地转发识别控制策略
本地转发流控策略
本地转发的流控策略类似于控制器流控功能,可以实现在总的流速限制条件下再对应用流控子通道进行带宽限制,只能做限制通道,不能做保障通道。
通道匹配的顺序取决于通道所处的位置,是从上往下逐个通道匹配的。
通道属性中的“优先级”,是指带宽分配以及数据包发送的优先级。
流控策略生效必须满足以下条件:
1)用户为本地转发用户。
2)在本地转发识别控制策略中,配置角色流量处理方式为应用控制。
3)在角色中引用流速限制策略,并在流速限制策略中配置每用户接收/发送速率。
本地转发流控策略
7.6.1WEB认证portal流量智减设置
选中终端访问指定地址(系统内置)时才会重定向至认证页面,未选中的终端访问任意地址均会重定向至认证页面。
自定义地址 填写自定义地址后,除系统内置地址,终端还可以通过访问自定义地址重定向到认证页面进行认证。
7.6.2SFG系列配置策略
图 4‑231 SFP系列认证高级策略
名词解释:
注销无流量用户:完成有线认证、接入点有线认证之后,终端在阈值内无流量产生,控制器会主动注销这个用户。
账号认证免弹Portal页面有效期:账号认证非首次认证,断开无线网络后,再次登录的时间间隔在阈值范围内时,不重定向至认证页面,超出阈值时间,终端用户将会重定向至认证页面。
用户名区分大小写:控制器默认会将账号认证的用户名转换成小写,勾选之后将不进行转换。
7.6.3NAC系列配置策略
NAC系列认证高级策略
7.6.3.1WEB认证选项
WEB认证选项
认证域名:认证域名默认配置为:auth.wifi.com。Web认证时,会跳转到该域名上来。
注:
域名配置为公网上已经存在的域名时,Web认证的用户访问该公网域名也会跳转到认证或注销页面。
认证域名解析的IP:修改认证域名解析的IP地址之前,请确保要修改的IP地址不会冲突,否则将会出现终端进行web认证时无法打开认证页面。
手机号绑定验证:账号二次认证时,绑定手机号码之后,同一个终端在有效期之内无需再次绑定。
注销无流量用户:完成有线认证、接入点有线认证之后,终端在阈值内无流量产生,控制器会主动注销这个用户。
访客认证免弹Portal页面有效期,该选项值仅对只配置了访客认证的无线网络生效。同时配置访客认证和账号认证,终端用户接入无线网络时,每次都会重定向至认证页面:
弹出Web认证页面:短信认证、二维码认证、微信认证的用户,非首次接入无线网络,跳转到认证页面,不需要输入账号信息,只需要点击登录即可;
不弹出Web认证页面:短信认证、二维码认证、微信认证的用户,非首次接入无线网络,不跳转到认证页面,用户只需接入网络,无需认证即可上网。
账号认证免弹Portal页面有效期:账号认证非首次认证,断开无线网络后,再次登录的时间间隔在阈值范围内时,不重定向至认证页面,超出阈值时间,终端用户将会重定向至认证页面。
账号+访客认证,启用访客认证免弹Portal页面有效期:账号认证+访客认证的网络,访客认证的老用户在免弹portal页面有效期内接入,可以直接上网不显示认证页面。
无线portal用户认证超时时间:配置多长时间停留认证页面没做认证,需要重新触发portal页面的时间
账号自动登录:勾选“每次都到服务器上验证账号密码”,即终端每次连接WiFi时都需要到认证服务器校验用户名和密码
认证前角色:
使用上次的用户角色,账号自动登录时先使用上一次的角色,认证通过后置为新角色,认证不通过置为认证前角色;
重新匹配角色规则,将默认使用认证前角色,再根据认证结果重置角色。
7.6.3.2访客认证选项
访客认证选项
1、微信认证直通:微信认证唤起微信应用的时候,需要在认证过程中放通微信流量,以及和腾讯的微信服务器进行交互。唤起微信应用失败的时候,可以选择对终端进行免认证处理。
2、手机号登录有效期:手机号登录的认证有效期,通过短信认证之后可以访问无线网络的时长。超过该时间之后,需要重新获取验证认证上网。
3、微信登录有效期:微信认证有效期,通过微信认证之后可以访问无线网络的时长。超过该时间之后,需要重新在微信公众账号菜单中,申请上网。
4、二维码审核有效期:只通过二维码方式,二维码审核后,访客可以访问无线网络的时长。超过设置时间后,如果仍然需要访问无线网络,需要再次审核。
5、短信验证码有效期:短信认证获取到的验证码,使用的有效次数,可选单次有效或多次有效。
6、短信验证码有效时长:短信认证获取到的验证码使用的有效期,在有效期内验证码可重复使用。
7、海外社交应用认证有效期:通过海外社交应用之后可以访问无线网络的时长。有效期内终端无需再次输入登录信息等,只需在页面上点击“我要上网”即可。
8、邮箱登录有效期:通过邮箱认证之后可以访问无线网络的时长。有效期内终端无需再次输入登录信息等,只需在页面上点击“我要上网”即可。
9、邮箱验证码有效期:邮箱认证获取到的验证码,使用的有效次数,可选单次有效或多次有效。
10、邮箱验证码有效时长:邮箱认证获取到的验证码使用的有效期,在有效期内验证码可重复使用。
11、自动登陆优先级:在同一个无线网络中配置多种认证方式的时候,如果一个终端使用过多种认证方式,再次认证时免登陆的优先级。
7.6.3.3生物识别认证选项
生物识别认证选项
生物识别认证有效期:终端非首次认证,断开无线网络后,再次连接的时间间隔在阈值范围内时,不需要TrustSpeed内生物识别授权,超出阈值时间,终端连接需要在TrustSpeed内再次生物识别授权。
7.6.3.4模板内容配置
模板内容配置
短信服务内容(二次认证):二次认证时发送短信的模板。
绑定手机号短信模板
密码服务短信模板
邮箱找回密码:本地用户使用邮箱找回密码时,邮件主题和邮件内容模板。
邮箱找回密码主题
邮箱找回密码模板
7.6.3.5有线用户认证策略
1、静态IP免认证有效期:有线认证,当网络环境为认证用户和认证接口跨三层网络,给终端配置使用静态IP部署时,终端用户WEB认证二次认证免认证的有效期。
2、DHCP IP免认证时间:有线认证,当网络环境为认证用户和认证接口跨三层网络,给终端配置使用DHCP分配IP部署时,终端用户WEB认证二次认证免认证的有效期。
7.6.3.6其他配置
认证其他配置
1、终端绑定管理员免审批有效期:启用此功能时,终端绑定管理员免审批为选定日期的23:59。
2、第三方portal用户免认证:适用于portal对接场景,若第三方portal服务器不支持MAC免认证功能,启用此功能,终端用户认证通过后,在时长配额范围内不需要再次认证。
3、终端类型识别:开启精准终端类型识别,将会识别终端的操作系统。
4、剔除获取IP失败的终端:DHCP获取失败,大部分无线终端IP地址会显示为169.254.x.x。
(1)开关开启,超过超时时间,终端还未获取到IP地址,将会被踢下线让终端重新认证,重新获取IP地址。
(2)开关关闭,适用于内网使用169.254.x.x网段的客户,避免获取到这个网段的无线终端,被控制器误判为未获取到IP用户而踢掉。
5、云管家灾备选项:控制器与云服务器断开连接时,终端审批消息无法下发,认证用户不需要经过审批即可上网.
6、单点登录发送终端下线消息:控制器结合深信服AC做单点登录时,可选择是否将终端的下线报文单点登录发给深信服AC。
7、用户名区分大小写:控制器默认会将账号认证的用户名转换成小写,勾选之后将不进行转换。
『业务配置』用于配置【用户体验检测】、【AI模拟探测】。这里定义的对象,在后续的模块中会使用到,比如用户体验检测将在业务质量检测业务中调用业务识别库中的业务和自定义业务。
8.1.1业务识别库
系统内置业务,包括有线和无线的业务。支持后续通过上传包的形式拓展业务识别库。
8.1.2自定义业务
允许用户配置自定义,自定义业务支持tcp协议,可以指定业务服务器的地址和端口来添加业务,地址支持ip和域名两种形式。
『感知配置』包括:【用户体验监测】、【AI模拟探测】,网络流量流经控制器时,能够感知无线终端上网过程中的多维度网络质量和访问重要业务的各项指标,通过模拟终端的方式检测业务连通性和预演无线终端入网的五大过程。
8.2.1用户体验监测
通过分析无线用户的上网行为,了解其认证、网络、业务访问质量。实时监测真实用户的流量,统计各类网络指标数据和业务指标数据、并判断用户的网络体验和业务体验如何。在该页面可以开启/关闭用户流量监测。
认证质量:支持开启/关闭认证质量检测,统计用户的认证质量
网络质量:支持开启/关闭网络质量检测,,统计用户的无线终端的网络体验质量。
业务质量:支持开启/关闭业务质量检测,监测业务中可以选择要监测的用户业务,并通过业务健康全局指标配置设定各个业务质量指标的评分标准。
8.2.2AI模拟探测
通过无线AP、交换机智能模拟终端自主持续探测业务,通过SLA指标阈值计算以业务卡片的形式直观展示健康度分值、等级。当网络出现异常时会在对应业务卡片生成异常访问事件(详见业务质量感知页面)。该页面支持对模拟探测策略进行配置,并设置统一的模拟检测间隔。
8.2.2.1无线探测策略
探测内容:默认开启,统计用户的无线终端的网络体验质量。
网络质量探测:检测配置的网络地址的连通性。最多支持配置3个网络地址。
业务连通性:模拟终端接入被测网络,向引用的业务服务器发起连通性检测。检测对应的地址和端口是否能够正常访问。
业务健康指标全局配置:支持编辑对应SLA指标的阈值,根据对应的业务特性配置对应指标阈值。
探测无线网络:支持探测开放式、开放式+web、psk认证、企业认证等认证方式的无线网络,配置页面一样。企业认证的无线网络,则还需配置认证账号跟认证密码。
探测接入点:选择被检测网络下的接入点,注意:部分接入点不支持模拟检测功能,详情请联系信锐技服。
探测时间:管理员可以根据业务的特性来自由配置进行AI探测的时间段。
探测间隔:全局的AI模拟探测策略中的无线AP、交换机智能模拟终端访问业务的间隔,范围是15分钟-24小时。注意:模拟终端过多的情况下,探测间隔周期到了也会继续执行剩余的探测策略,即优先保证所有的模拟终端探测完成再进行下一轮探测。
8.2.2.2有线探测策略
探测内容:仅支持业务连通性,有效的SLA指标包含时延、抖动、丢包率、业务连通性检测成功率。
探测业务:模拟终端向引用的业务服务器发起连通性检测。注意:
1. 探测有线内置业务,需要在探测交换机上的探测VLAN属性的端口对服务端进行重连才能识别到服务器的IP,否则服务器的业务卡片数据一直为空。
2. 如果连续两轮探测有线内置业务连通性均为失败,则需要重新断开重连服务、重新识别服务器的IP,否则模拟终端不会再进行探测,业务质量卡片不会产生新数据。
3. 当一台交换机同时探测监控、SANGFOR aDesk业务时,需将摄像头与监控服务器通讯涉及的上下联口配置为对应VLAN允许tagged通过的端口属性,否则监控服务器的IP无法被识别,业务质量卡片数据会一直为空。
业务健康指标全局配置:支持编辑对应SLA指标的阈值,根据对应的业务特性配置对应指标阈值。
探测VLAN:配置选择交换机生成对应网络配置的智能模拟终端。注意:
1. 模拟终端配置的网关、DNS不能为该探测交换机的接口地址。
2. 模拟终端的DHCP服务器不能配置在该探测交换机上。
3. 探测自定义业务的IP不能为该探测交换机的接口IP。
否则会导致创建模拟终端失败,业务质量卡片无数据或者连通性检测一直为失败状态。
探测时间:管理员可以根据业务的特性来自由配置进行AI探测的时间段。
探测间隔:全局的AI模拟探测策略中的无线AP、交换机智能模拟终端访问业务的间隔,范围是15分钟-24小时。注意:模拟终端过多的情况下,探测间隔周期到了也会继续执行剩余的探测策略,即优先保证所有的模拟终端探测完成再进行下一轮探测。
『排障工具』包括:【路径监测】、【网络检测】、【WEB排障工具】。主要用于管理员排查网络问题、改造/新建网络时验证网络连通性等。
8.3.1路径监测
在用户访问网络服务出现故障时,可以通过路径监测功能绘制出用户终端访问网络经过的网络设备,并可以通过路径绘制的结果定位到是哪一个网络设备出现故障,帮助网络管理人员快速定位问题。路径监测功能可支持用户无线接入和有线接入时进行绘制。路径监测为辅助排障功能,可单独配置使用也可以组合其他业务感知类功能一起使用。
使用说明:
1. 通过配置路径监测任务持续绘制路径。
在路径监测页面新增任务,允许用户自定义需要匹配的终端的IP或MAC地址,服务器的协议类型、端口号、地址信息进行路径绘制。可配置监测时长,在监测时长内设备会持续通过用户的流量查找绘制路径。
路径监测任务允许用户手动停止、重新开启监测,允许修改监测配置。并支持用户通过每个任务的历史记录查看历史的绘制结果。
清理监测结果配置会自动清理超过保存时间的路径绘制结果。
注:
(1)在使用该任务进行路径绘制时,需要用户在持续访问网络才可绘制出结果。
(2)路径监测任务最大允许创建100条,同时最多只有16个路径监测任务可同时绘制,其他任务需排队等待。
2. 通过配置路径监测任务模拟用户进行网络访问绘制路径。
路径监测页面新增的任务需要持续有用户流量才可绘制路径,当用户没有进行网络访问时可以通过接入点与交换机模拟无线和有线用户进行网络访问进行路径绘制。在路径监测任务的结果中可开启模拟流量进行路径绘制,模拟流量绘制仅会绘制一次路径结果,可暂停、重复发起模拟绘制。
模拟无线流量检测,用户需要选择想要探测的无线网络和接入点。
模拟有线流量检测,用户需要选择想要探测的VLAN和交换机,并配置探测设备的地址。
3. 通过网络检测功能进行绘制路径。
无线网络检测、有线网络检测功能在进行探测时可搭配路径绘制一起使用进行网络排障。
在使用网络检测的单终端模拟(适用于排障)时,在进行检测的同时会自动绘制出模拟检测的流量路径辅助排障。
在使用网络检测的多终端模拟(适用于开局)时,在进行检测过程中若出现了检测失败的结果,可手动进行当前失败结果的路径绘制辅助排障。
4. 通过业务质量感知用户体验监测功能进行绘制路径。
业务质量感知开启了用户体验监测时,若接入用户出现了访问异常事件时会自动开启路径绘制,绘制当前用户流量经过的设备辅助排障。该路径绘制仅绘制一次会存在用户停止网络访问后无路径结果的情况。
在用户无流量访问时可通过开启模拟流量检测,使用当前用户接入的设备发起模拟探测绘制访问对应业务服务器的路径帮助进行排障。
可通过接入终端详情快速创建一个路径监测任务持续跟踪绘制该终端访问网络的路径结果。
注:
(1) 仅无线终端接入支持上述种方式绘制路径。
(2) 仅真实终端连接失败 的访问异常事件支持绘制路径。
使用限制:
① 路径监测需要设备开启智能拓扑功能才能使用。
② 路径监测的流量经过NAT设备后,不能绘制出NAT后的路径。
③ 路径监测仅在网络部署均为信锐设备且都在智能拓扑中才绘制准确。
8.3.2网络检测
支持单终端模拟和多终端模拟探测,单终端模拟和多终端模拟分别适用于管理员进行排查网络问题以及改造/新建网络时验证网络连通性。
8.3.2.1无线网络检测
单终端模拟:模拟单个终端对单一网络地址进行连通性检测、路径绘制。
多终端模拟:模拟多个终端至多同时对3个网络地址进行连通性检测,当连通性检测失败时,可以在查看详情中进行模拟流量绘制路径,排查网络故障点。
历史检测记录:管理员使用无线网络探测的记录,默认保留3天。
8.3.2.2有线网络检测
支持单终端模拟和多终端模拟探测,单终端模拟和多终端模拟分别适用于管理员进行排查网络问题以及改造/新建网络时验证网络连通性。一般用于接入层交换机。
单终端模拟:模拟单个终端进行1个网络地址进行连通性检测、路径绘制。
多终端模拟:模拟多个终端并至多同时对3个网络地址进行连通性检测,当连通性检测失败时,可以在最近检测记录中进行绘制路径排查网络故障点。
历史检测记录:管理员使用有线网络探测的记录,默认保留3天。
注意事项:
(1)检测端口只能选择access属性的端口。
(2)DHCP服务不能在选择端口所在的交换机上开启。
(3)无法检测选择端口所在交换机上的接口地址。
(4)模拟终端的网关不能在配置在选择端口所在的交换机上。
(5)DNS无法通过选择端口所在交换机代理转发。
(6)历史记录不支持绘制路径。
8.3.3WEB排障工具
在网络出现故障时,通过ping检测可以检测出交换机与目的地址之间连通性和时延。
8.3.3.1即时ping
交换机通过发送固定数量包到目的地址,统计丢包率与时延。
目的地址:支持IP地址和域名。
源IP地址:支持自动选择和手动选择。
Ping包大小:发送ping包的包长。
历史检测记录:最多保存10条最近的记录,支持自动清理最大超过30天结果记录(默认3天)。
8.3.3.2持续ping
可同时配置多条Ping检测任务,使交换机发送固定时长ping包到目的地址,持续统计丢包计数。测试结果支持下载。
ping时长:发送ping包检测的时长。
自动清理配置:支持自动清理最大超过30天的检测记录(默认7天)。
历史检测记录:最多保存10条最近的记录,测试记录可下载。
备注:持续ping检测累计失败300次后,将自动停止任务。
8.3.4告警设置
8.3.4.1告警事件
根据用户实际需要配置网关告警事件、接入点告警事件和交换机告警事件的触发条件。
例如:MAC地址表利用率超阈值告警事件的触发条件分为同时满足80%(上限阈值)和满足5次(触发次数)。
告警事件
8.3.4.2告警配置
根据用户的实际需要配置智能告警的应用对象。
注意事项
1、同一设备的同一事件支持配置多条告警配置,告警配置可以上下移动,位于上方规则优先级高,位于下方的规则优先级低下,一旦匹配中优先级高的规则便不再匹配优先级低的规则;
2、全局选项中可以配置单设备单事件单日最大推送个数,数值范围为1-1440;
3、告警配置支持配置 通知内容,发送间隔,发送时间;
名词解释
告警设备:选择网关、接入点和交换机中需要监控的具体设备。
告警接口:选择需要监控设备的端口。
告警方式:选择通过短信/APP消息的方式将告警消息发送给用户。
告警配置
9.1.1有线终端审批
待审批
终端策略中的终端地址绑定功能与终端位置绑定功能可触发终端进入待审批列表,并阻塞流量;管理员可手动进行审批操作,以放通流量。
图 4‑242 待审批列表
已审批
已审批的终端对应关系进入已审批列表,并放通流量。默认老化时间为永不老化,支持配置自定义老化时间。
已审批列表
9.1.2有线终端安全
9.1.2.1终端安全策略
终端安全策略,是帮助用户管理、识别和跟踪其网络环境下的终端而建立的人性化功能,解决用户对网络安全的需求并为其提供了快捷有效的实现方法。
终端安全策略
终端状态跟踪:用于跟踪连接交换机端口的终端状态,包括在线、离线、类型等具体的信息并显示在状态页面。
终端地址绑定:用于绑定终端和ip地址,实现IT管理员对其网络环境下的ip地址的监管;可启用自动审批并设置审批数量来实现批量操作的自动化,也可手动审批;其中,自动审批的个数是包含已审批列表的终端对应关系个数。另有免审批和强制审批功能,免审批地址在更换IP地址时无需审批,强制审批地址在自动审批阶段仍需审批。
终端位置绑定:用于绑定终端和端口,实现监管端口下联设备的功能;可启用自动审批并设置审批数量来实现批量操作的自动化,也可手动审批。
终端类型跟踪:用于跟踪下联终端的类型状态,帮助用户实时获取下联终端的各种信息;可限制接入的设备类型并通知用户。
9.1.2.2PoE终端安全
针对PoE交换机,检测到PoE终端伪造攻击/PoE终端无法通信的情况时,交换机会自动进行处理,并将相应告警通过短信/APP消息发送给用户,帮助用户监控PoE终端。
PoE终端安全
PoE终端伪造攻击检测:通过检测设备的供电特征,以排查仿冒设备接入并执行相应安全措施。
PoE终端自动运维:通过检测设备通信情况,自动复位PoE端口,帮助用户解决无法正常通信的情况。
9.1.2.3有线终端白名单
管理员可以手动添加有线终端白名单,以保护可信的重要设备不被交换机安全业务误判拉黑。有线终端白名单只对交换机安全业务生效,管理员手动添加的黑名单优先级高于白名单。
9.2.1用户隔离
通常情况下,同一VLAN的用户间是可以相互通信的,但在无线接入的环境下,移动终端间相互通信,存在较大安全隐患。例如部署用于公公众上网的无线网络中,多个无线用户之间没有直接通信的需求,在此环境下,启用此选项可以减少无线终端间的报文,提高了无线网络性能,同时提高了安全性。还有避免某些感染了病毒的终端传播病毒的风险。
禁止同一VLAN内的用户之间相互通信后, 只要是通过同一无线接入点接入的,所有VLAN相同的无线用户间将不能相互通信。这样不仅可以降低了安全风险,还可以减少移动终端间的广播报文。不同VLAN间是否能相互通信,由第三方路由设备控制,本设备暂不支持。通常不同VLAN间默认是不能通信的。
用户隔离
9.2.2端口防护
隔离组
采用端口隔离特性,可以实现报文之间的二、三层隔离,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的隔离,为用户提供了更安全、更灵活的组网方案。
单向隔离是指从“源端口”发送的报文不能到达“目的端口”,但从“目的端口”发送的报文可以到达“源端口”。
双向隔离是指隔离组内的任一端口发送的报文不能到达隔离组内的其他端口,但可以到达隔离组外的其他端口。
隔离组
MAC表项限制
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给交换机后,交换机的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
处理动作为丢弃数据包时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址并且不再转发处理新MAC的数据包;处理动作为转发数据报文时,如果端口上的MAC地址数量超过限制,交换机不再学习新的MAC地址,但还会转发处理新MAC的数据包。
MAC表项限制
9.2.3流量劫持防御
9.2.3.1ARP防御
1、无线ARP防御
支持网关ARP防御功能,以及无线用户隔离,确保网络安全。网关智能识别:智能识别网关,如果所有终端都是静态IP,此功能不生效。 开启ARP欺骗防御:开启此功能后,手动配置和智能识别的网关会被默认保护起来。开启无线用户隔离:禁止无线终端之前互相通信。
无线ARP防御
2、交换机ARP防御
ARP安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
(1)ARP泛洪防御
ARP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:
1)设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2)攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
交换机ARP防御
报文限速
通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
仅学习本机的ARP请求应答
只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满。
免费ARP报文主动丢弃
设备直接丢弃免费ARP报文,可以防止设备因处理大量免费ARP报文,导致CPU负荷过重而无法处理其他业务。
限制端口可学习的ARP表项数量
设备接口只能学习到设定的最大动态ARP表项数目。这可以防止当一个接口所接入的某一台用户主机发起ARP攻击时整个设备的ARP表资源都被耗尽。
(2)ARP欺骗防御
ARP欺骗攻击是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:
1)会造成网络连接不稳定,引发用户通信中断。
2)利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。
ARP防御欺骗
ARP表项更新检查
ARP表项更新检查:设备在第一次学习到ARP之后,用户更新此ARP表项时通过发送ARP请求报文的方式进行确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。
ARP报文合法性校验
通过检查报文中的IP地址、MAC地址,直接丢弃非法的ARP报文,避免非法用户伪造ARP报文,刻意的进行ARP攻击。
基于DHCP的ARP绑定关系检测(DAI)
当设备收到ARP报文时,将此ARP报文的源IP、源MAC(Media Access Control)、收到ARP报文的接口及VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。本功能仅适用于DHCP Snooping(Dynamic Host Configuration Protocol Snooping)场景。
网关防欺骗
丢弃源IP地址为网关设备IP地址的ARP报文,防止攻击者仿冒网关,建议在网关设备上开启。
3、网关ARP防御
网关欺骗防御
攻击者通过伪造ARP报文,截获原本发向网关的报文,对网络安全构成威胁。网关防御欺骗防御支持将配置网关mac和ip的绑定关系,可以有效遏制这种攻击。适用于集中转发环境。
注意:IP、MAC中其中一个出现在配置中,并不满足对应关系,将被识别为网关欺骗攻击。
网关ARP防御
9.2.3.2DHCP防御
1、无线DHCP防御
系统将持续监听无线客户端的 DHCP 分配过程数据包,并从 DHCP 报文中,获取无线客户端的 MAC 地址以及分配的 IP 地址,据依据此信息构建有效的 IP,MAC 对应关系数据库。
检测无线客户端发出的 ARP 数据包,检查 IP 与 MAC 地址对应关系的合法性,丢弃不合法的 ARP 包。
无线DHCP防御
2、交换机DHCP防御
DHCP防御用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
(1)DHCP泛洪防御
DHCP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在以下几种场景:
1)非法用户在短时间内发送大量DHCP报文,使DHCP Server无法正常处理报文,从而无法为客户端分配IP地址。
2)非法用户通过恶意申请IP地址,使DHCP服务器中的IP地址快速耗尽, 无法为合法用户再分配IP地址。
3)已获取到IP地址的合法用户通过向服务器发送DHCP Request报文用以续租IP地址。非法用户冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,导致到期的IP地址无法正常回收,新的合法用户不能再获得IP地址。
4)已获取到IP地址的合法用户通过向服务器发送DHCP Release报文用以释放IP地址。非法用户仿冒合法用户向DHCP Server发送DHCP Release报文,使合法用户异常下线。
交换机DHCP防御
报文限速:通过DHCP报文限速功能,可以防止设备因处理大量DHCP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
限制端口可申请的IP地址数量:限制用户接入数。当用户数达到指定值时,任何用户将无法通过此接口申请到IP地址。
DHCP续租报文合法性检查:在DHCP Server为客户端分配IP地址过程中,根据DHCP报文生成DHCP Snooping绑定表,该绑定表记录MAC地址、 IP地址、租约时间、 VLAN ID、接口等信息,然后通过DHCP报文与绑定表的合法性检查,丢弃非法报文, 防止DHCP报文仿冒攻击。
(2)DCHP欺骗防御
网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。
DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。
DHCP欺骗防御
报文合法性校验:设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。为用户提供更安全的网络环境,更稳定的网络服务。
DHCP Snooping:DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,防止网络上针对DHCP攻击。
信任端口正常转发接收到的DHCP应答报文,非信任端口在接收到DHCP服务器响应的DHCP Ack、DHCP Nak、DHCP Offer和DHCP Decline报文后,丢弃该报文。
信任IP地址是指当DHCP响应报文的源IP地址与配置项相匹配时,允许报文通过。
信任MAC地址是指当DHCP响应报文的源MAC地址与配置项相匹配时,允许报文通过。
信任IP+MAC地址是指当DHCP响应报文的源MAC地址和源IP地址与配置项完全匹配时,允许报文通过。
3、网关DHCP防御
(1)启用网关受信任的 DHCP 服务器
在绝大部分的无线网络部署中,无线客户端都使用 DHCP 方式获取 IP 地址、网关、DNS等。因此 DHCP 服务也被视为无线网络正常运行的基础。DHCP 服务基于广播方式运作,如果同一个子网内运行了多个 DHCP 服务器,则客户端发起 DHCP 请求后,会收到多个回应,客户端会选择回应最快消息中指定的 IP 地址。因此如果子网内存在非法的 DHCP 服务器,则会干扰正常的 DHCP 过程,客户端可能获取到错误的 IP 地址,导致无法访问网络。
启用“网关受信任的 DHCP 服务器”选项,并配置合法的 DHCP 服务器 IP 地址,NAC及接入点将只转发来自受信任 DHCP 服务器的 DHCP 报文,来自其它 IP 地址的 DHCP 服务报文将被丢弃,从而保证 DHCP 服务能正常运行,不受干扰。
(2)DHCP地址仿冒申请防御
默认开启,防御DHCP泛洪攻击行为,防止DHCP地址池被耗尽。
网关DHCP防御
9.2.3.3无线射频防御
1、射频防护策略
射频防护策略
配置信道保护/信道压制/自定义可以按一个或多个接入点分组划分出一个区域保护这个区域内的射频信号不被其他ap的射频信号干扰。
当防护模式为信道保护时,如果射频是Normal模式,则只反制工作信道;如果射频是Hybrid模式,则可以反制工作信道,以及工作信道±1/±2信道。
内部员工:接入高级选项配置的认证类型的无线网络的员工即为受监控的内部员工。
非信任无线网络:非本控制器无线网络并且不在受信任SSID列表的无线网络。
检测内部员工接入非信任网络行为:监控内部员工接入非法无线网络的行为并产生告警日志。
信道保护/信道压制/自定义+内部员工:只有内部员工受反制影响,无法连接非法无线网络,内部员工连接非法无线网络会产生接入非法无线网络的告警日志。
信道保护/信道压制/自定义+所有用户:所有用户都会受反制影响,无法连接非法无线网络。
2、欺骗检测
欺骗检测
(1)无线欺骗攻击
无线欺骗攻击是指攻击者假冒其他设备/终端的名义发送报文。例如:假冒无线接入点的身份,向无线客户端发送解除认证的报文,导致无线终端断开无线连接。启用欺骗攻击检测可以识别此类攻击,将发起攻击的终端 MAC 地址添加到黑名单,一段时间内禁止接入无线网络。
(2)BSSID冲突检测
BSSID冲突检测是指检测到环境中BSSID地址冲突,可能会造成无线终端接入到有冲突的BSSID的AP,会造成网络掉线,丢包等不可预知的情况。
9.2.4漏洞攻击防御
9.2.4.1扫描防御
该功能可以防御网络中ARP、IP、端口扫描攻击。
防御选项:防御ARP扫描,IP扫描,端口扫描攻击,超过设置阈值的用户行为将被识别为扫描攻击。
防御动作:可以将攻击者加入黑名单,并支持设置冻结的时间。
无线扫描检测
9.2.4.2漏洞利用防御
1、东西向流量防御
东西向流量防御
(1)观察区域/保护区域
可以将指定交换机端口或认证策略配置为观察区域/保护区域,观察区域默认放通所有入站访问流量,保护区域默认拦截所有入站访问流量。若同时配置交换机端口组和交换机,则满足两者的交换机端口才生效;若同时配置无线网络/接入点有线认证策略和接入点,也是只有满足两者的认证策略才生效。
(2)观察角色/保护角色
可以将指定角色配置为观察角色/保护角色,观察角色默认放通所有入站访问流量,保护角色默认拦截所有入站访问流量。若同时满足观察角色/保护角色和观察区域/保护区域,则满足角色策略优先。
(3)访问黑名单
可设置黑名单,拒绝源访问区域的终端访问信任区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
(4)访问白名单
可设置白名单,允许源访问区域的终端访问保护区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
2、攻击源定位
通过对终端的访问行为判断是否是攻击终端。触发的条件有:发起任意一种攻击访问行为和检测间隔内发起多种攻击访问行为;检测的攻击访问类型有:ARP扫描检测、TCP扫描、异常访问检测;检测到攻击后的处理方式有:将攻击源加入黑名单、启用短信告警、启用信锐云助手告警。可通过添加攻击源白名单来排除攻击终端。
攻击源定位
3、服务
可设置白名单,允许源访问区域的终端访问保护区域的指定服务,源访问区域可以是所有区域,也可以是指定区域。
服务
9.2.5拒绝服务攻击防御
9.2.5.1无线DoS防御
无线DoS防御
DDoS防御
DDoS 攻击在众多网络攻击技术中,是一种简单有效并且具有很大危害性的攻击方法。它通过各种手段消耗网络带宽和系统资源,使网络陷于瘫痪状态。在无线网络中,大部分 DDoS 攻击行为并不是由用户故意发起的,而是由于计算机感染了病毒或恶意软件造成的。
DDoS 攻击防御模块通过统计无线客户端的数据包速率,连接数等信息,有效识别并阻挡无线客户端发起的 DDoS 攻击行为,降低对无线网络的影响。
无线泛洪攻击(Flooding攻击)
网关在短时间内接收大量同种类型的报文,将导致系统资源被大量占用,可能无法处理无线用户的数据报文。启用泛洪攻击检测可以识别此类攻击,并自动将发起攻击的终端 MAC 地址添加到黑名单,一段时间内禁止接入无线网络。
9.2.5.2网关DoS防御
DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,恶意耗尽了IP资源,使得合法用户无法获得IP资源。
网关DoS防御
启用DHCP泛洪攻击检测
用户启用DHCP泛洪攻击检测后,当控制器每秒收到的DHCP报文数大于阈值时,系统将提供告警信息,帮助管理员及时处理风险问题。
9.3.1安全联动
支持联动深信服安全设备进行用户安全可视化和内网边缘安全管理。
联动设备
网络日志中心管理主要针对网络日志中心设备进行集中管理,包括以下功能:
1、支持新增、编辑、删除网络日志中心
2、支持导入、导出网络日志中心
3、支持生成解控秘钥
4、支持远程登录到网络日志中心设备控制台上
5、可以通过名称/通信地址搜索对应网络日志中心设备
审计策略
审计策略主要用于配置对应匹配条件的审计策略(可以基于IP规则/域名规则),并下发给对应的分支网关,网关会根据审计策略进行匹配,将匹配到报文镜像给网络日志中心设备进行审计
审计策略支持以下功能:
1、支持新增、删除审计策略
2、支持启用、禁用审计策略
3、支持通过名称搜索审计策略
镜像报文个数:是指将符合审计策略匹配条件的报文镜像到网络日志中心设备上来进行识别,这个是配置每个会话的镜像报文数量,数量越多识别越准确,同时消耗的接入点的上行带宽越高。
『对象定义』用于配置【IP组】、【MAC地址库】、【服务】、【应用】、【时间计划】、【智能PSK终端】、【URL分类库】、【终端类型库】。这里定义的对象,在后续的模块中会使用到,比如IP组和服务会应用到访问控制策略中,MAC地址库将在使用MAC地址认证时黑白名单调用。
此页面可查看和新增IP组,IP组用于后续【角色授权】中的【访问控制策略】,以及后续的【网络配置】中的【地址转换】。
支持输入多个 IP 地址、IP范围、网段,例如:
IP地址:192.168.1.1
IP范围:192.168.1.10-192.168.1.100
网段:192.168.1.0/24
网段:192.168.1.0/255.255.255.0
IP组
将一个、多个 MAC 地址划分为一个 MAC 组,以便在系统的其它功能中调用,例如web免认证。
MAC地址库
默认有默认黑名单和默认白名单两个分组,用户可以自定义分组。
自定义分组
适用范围:PSK终端页面配置的终端只针对智能PSK无线网络有效。
为防止PSK密钥泄漏,杜绝PSK密钥分享带来的网络安全隐患,可通过设置私有密钥实现一人一机一密码,保障网络安全。
PSK终端
『服务』分为【服务】和【服务组】 ,【服务组】是【服务】的组合。用于后续【角色授权】中的【访问控制策略】。
服务:
【服务】包括了TCP,UDP协议中各种常用端口号包含的应用协议,比如BGP,DHCP、DNS、HTTP、FTP、SNMP、SSH等。
同时也支持自定义服务。
服务
服务组:
【服务组】就是【服务】的组合,便于做复杂的控制策略时方便调用。而且可以节省原本需要多条控制策略的条数。
服务组
对于不同的无线或有线用户,我们需要在不同的时间段设置不同的访问控制策略以及流控策略,比如上班时间或下班时间,就需要配置时间计划,为了便于后续设置【认证授权】-【角色授权】-【访问控制策略】的生效时间,需要提前设置时间计划,『时间计划』分为【单次时间计划】和【循环时间计划】。
时间计划
新增单次时间计划和循环时间计划:
时间计划类型
设置循环时间时,大多数客户可以按照上班时间和下班时间,以及节假日方式设置循环时间,便与管理。
新增单次时间计划
点击新增循环时间计划:
新增循环时间计划
『应用识别库』包括:【NAC系列应用识别库】、【SFG系列应用识别库】、【应用智能识别库】、【自定义应用】四类,网络应用流经网关时,可通过特征,识别其应用类型,识别后,即可对连接进行基于应用策略控制、资源调度及流量审计。
10.6.1NAC系列应用识别库
NAC系列应用特征识别库中记录着应用的字节流特征,通过持续不断的收集及更新,保证应用识别的正确性,应用特征识别库升级需要序列号授权,过期后无法更新。
10.6.2SFG系列应用识别库
【SFG系列应用特征识别库】中记录着应用的字节流特征,通过持续不断的收集及更新,保证应用识别的正确性,应用特征识别库升级需要序列号授权,过期后无法更新。
应用识别库
10.6.3应用智能识别库
某些类型的网络应用没有固定的字节流特征,需要通过智能的方式识别流量间的关联性等来识别出其类型,应用智能识别库目前只支持P2P行为,支持灵敏度、排除端口的设置。
应用智能识别库
10.6.4自定义应用
内网应用往往由于其私有性,应用特征识别库无法收集其网络流特征,可以将数据包方向、协议类型、IP地址、端口号及域名作为应用的规则特征,自定义某种类型的应用,自定义应用同样适用于外网应用。
自定义应用
『URL分类库』中是由信锐技术自主研发并收集的全国最大、最全、最专业的URL分类库。关于URL规则库的使用,需要在【认证授权】-【角色授权】-【访问控制策略】中新增规则,选择应用的方式来调用。另外对于少部分,客户内网自由的域名系统,如果无法识别到,用户还自定义URL类别,可将URL设置为内置的URL类别或自定义URL类别,也可以设置域名关键字,模糊匹配为某种类别。并设置自定义的URL类别优先级最高来优先调用。
URL分类库的升级需要序列号授权,过期后无法更新。
NMC中区分NAC系列URL分类库,和SFG系列网站分类库,两者不可混用。
URL/网站分类库
终端类型库中记录着终端的指纹特征,通过持续不断的收集及更新,保证终端类型识别的正确性,终端类型特征库支持手动和联网时自动更新。
终端类型库
使用NMC前,必须向设备供应商购买有效的产品或功能序列号。NMC的序列号包括设备管理序列号、身份认证管理序列号、安全策略管理序列号、高级功能管理序列号和软件升级管理序列号。其中设备序列号决定了一个NMC最多可以管理设备的个数;软件升级序列有效,NAC才可以正常升级软件版本,配置界面如下:
序列号
超级管理员:系统内置的超级管理员,默认名称为 admin,具备系统的所有管理权限,而且只有此账号具备创建管理员权限。
为了提高系统的安全性,避免未授权用户登录网关,建议:
1、为超级管理员设置一个高强度的密码
2、修改超级管理员账号名称
普通管理员:可以查看控制台页面和数据分析平台页面,支持按页面配置权限,按分支或接入点分组配置权限,按本地用户组织结构配置权限,热点地图权限,并且可以关联云管家账号。
支持创建公有配置,查看或修改其他管理员的配置。
数据分析管理员:只允许登录数据分析平台页面,支持针对接入点和热点地图分权。
管理员账号
11.3.1系统配置
系统选项
系统选项可以配置关于设备的基本信息,包括设备的中英版本切换,可以在此选择切换。
系统选项
1、设备信息
设备名称:填写设备的名称
默认编码:选择你所在国家/地区的本地编码,例如简体中文选择 GBK,繁体中文选择 BIG5。设备的部分功能需要依赖于正确地选择此编码。例如在 Windows 无线客户端中,PEAP-MSCHAPv2 认证过程中发送的用户名使用本地编码格式,而本地用户数据库中用户名为 utf-8 编码。如果需要支持中文用户名,则系统在认证过程中需要知道原始编码,并转换为 utf-8 编码。
HTTPS端口:控制台登录界面端口
设备证书:给NAC设备设置证书,用于安全登录NAC设备。
控制隧道端口:默认控制隧道端口号7070,手动指定端口号范围:1024-65535。
数据隧道端口:默认数据隧道端口号7077,手动指定端口号范围:1024-65535。
发现控制器端口:发现控制器端口号默认7777。
发现控制器备用端口:手动指定备用端口号范围:1024-65535。修改备用端口号后,默认的端口7777还可以发现控制器。
集中管理端口:默认集中管理端口号5000,手动指定端口号范围:1024-65535。
2、系统安全选项
控制台超时:管理员登录控制台后,如果在设定的超时时间内,未进行任何操作,则系统会注销此次登录。
3、webAgent
webAgent功能用于解决接入点跨广域网/公网远程部署时,由于控制器没有固定IP地址,导致接入点无法与控制器无法进行通信的问题。使用该功能时,请联系客服或技术支持获取webAgent服务。
注:开启webagent功能时,需要开放7777(udp协议)、7070(tcp协议)、7077(udp协议)、800(tcp协议)端口号。
日期时间
设置系统时间,可以通过获取本地PC或通过同步NTP服务器的方式同步时间,如下图,并可以设置设备工作所在的时区。
日期时间
HOSTS
当指定我们设备作为域名解析服务器时,可以通过设置HOSTS对外解析域名已经设置好的域名,而且后续还可以设置DNS代理,真正实现以我们设备的IP地址作为服务器解析所有的域名。当网络中设置以NAC的IP为DNS服务器时,并设置了HOSTS中对于域名wwww.adminwlan.com的IP时,AP会以该域名对应的IP去自动发现NAC,实现NAC对AP的管控。
HOSTS
11.3.2接口管理
管理口:在实际部署中,通常使用一个固定的网口作为设备管理使用,此用途的网口可以设置为管理口。但实际上,管理口与其它接口并没有任何不同。
二层接口:指接口工作在二层转发模式下,是网关中最常用的接口工作模式。此模式下,接口依据 MAC 地址转发表来完成转发工作。二层接口本身没有 IP 地址,如果希望通过二层接口来访问设备,可以为此接口所属 VLAN 创建 VLAN 接口,并指定 IP 地址,添加相应路由。
三层接口:指接口工作在三层转发模式,依据路由表完成数据包转发。接口支持配置IPv4与IPv6地址。
端口聚合:端口聚合也叫做以太网通道,是将多个以太网接口聚合在一起,形成一个逻辑上的聚合接口,以实现流量在聚合接口的各个成员接口间负载分担,并实现链路冗余。
工作模式
主备冗余:只支持选择 2 个网口组成聚合接口。此模式下,默认使用主网口进行数据通信,在主网口故障时,将切换至备用网口。
负载均衡:支持选择最多 8 个端口组成聚合接口。实现在各成员端口间的流量负载分担,同时保障链路的可靠性,只要组内不是所有端口都故障,两个交换机之间仍然可以继续通信。
VLAN 接口
VLAN 接口的作用有:作为无线客户端的网关以及提供 DHCP 服务
在集中转发模式下,无线客户端连接无线网络后,系统将为用户分配一个 VLAN。如果此 VLAN 仅仅在网关内部存在,不需要把 VLAN 扩展到有线网络中,则网关需要作为无线客户端的网关,以及提供 DHCP 服务器。在此环境中,可以为此 VLAN 创建 一个 VLAN 接口,并配置 IP 地址及 DHCP 服务。无线客户端的网关指向此 VLAN 接口 IP。
连接网关的二层接口:二层接口本身没有 IP 地址,如果需要通过二层接口访问设备,则需要为二层接口所属的 VLAN 配置一个 VLAN 接口,并配置 IP 地址,使得二层接口也具备三层属性。
示例 1:
eth0 接口设置为二层模式,VLAN 为 10。由于 eth0 接口自身没有 IP 地址,因此需要创建一个 VLAN 10 的接口,并配置 IP 地址,通过此 IP 连接到网关。
示例 2:
有两个接入点,直接连接到网关的物理接口,连接的接口分别为:eth0,eth1,都为二层接口,接口的 VLAN ID 都为 10。这种情况下,需要创建一个 VLAN 10 的接口,并在 VLAN 接口中启用 DHCP 服务。使得接入点启动后,能获取到 IP 地址,网关等,并连接到网关。
接口管理
11.3.3高可用性
无线网络部署时存在单点故障导致网络中断的风险,通过部署 2 台NMC控制器,可以实现NMC网络的高可用性,避免单台NMC故障时导致无线网络不可用的风险。
高可用性
VRRP组
VRRP(Virtual Router Redundancy Protocol)协议,提供了虚拟 IP 的机制来解决网关 IP 在多个路由器间迁移的问题。在3层部署的环境中,无线客户端的默认网关指向NAC的 VLAN 接口地址,因此在双机部署中,当某台设备故障时,VLAN 接口的 IP 地址需要使用 VRRP 协议迁移到备份设备上,从而保证无线用户仍然能够正常访问网络。
VRRP 的虚拟 IP 迁移通过备份组机制实现,基本原理如下:
VRRP
把两个路由器划分为一个 VRRP 备份组,备份组设置一个虚拟 IP。
备份组内的路由器,使用基于优先级的选举机制,优先级较高的为 Master 路由器,其余为 Backup 路由器。
只有 Master 路由器,才真正持有备份组的虚拟 IP,也就是对于其它主机询问此虚拟 IP 的 ARP 请求,PING 请求等,只有 Master 路由器会回应。
Master 路由器定期发送 VRRP 通告报文,通知备份组内的其他路由器自己工作正常。Backup 路由器则监听通告报文的到来,如果在一定时间内没有收到 Master 路由器的通告报文,则优先级最高的 Backup 路由器将转化为 Master 路由器。
VRRP组
高可用性
高可用性
1、通信网口
双机热备情况下,两台NMC之间,需要同步内部状态信息,例如心跳信号,在线用户信息,漫游信息,无线射频调整决策信息等。因此在控制器上,通常需要分别使用一个专用的网口来完成双机状态同步。此选项选择用于状态同步的物理接口。
2、对端地址
对端控制器的 IP 地址,系统使用所选择的物理接口及对端地址来完成双机状态同步。因此对端地址是指双机心跳线所连接的对端接口 IP 地址。
3、管理 VRRP
选择一个 VRRP 备份组作为管理 VRRP 组,在此备份组中,Master 状态的设备将作为“主管理设备”。只有登录到“主管理设备”,才允许修改系统配置。
4、主备配置
主机选择允许编辑配置,备机选择同步对端配置,双机热备才会搭建成功。
11.3.4网络配置
网络配置主要包括以下模块:【静态路由】、【DNS】2个部分。
网络配置
静态路由
静态路由,填写目的地址,网络掩码,下一跳,并选择自动选择接口,并设置度量值即可。静态路由配置支持IPv4与IPv6。一般为了保障NMC能正常上网,需要配置8个0的默认静态路由,尤其是在【接口管理】处,配置的3层接口都是手动配置时。
静态路由
当3层接口配置了DHCP时,可以勾选设置默认网关自动添加系统路由,也会后台自动添加8个0的默认静态路由,保障NMC可以正常上网,如下图:
自动获取路由
DNS
配置NMC设备的自身上网的DNS服务器,用于NMC自身的上网,NTP服务同步,系统更新以及针对内网启用DNS代理功能。
DNS
当启用DNS代理功能时,内网的终端可以设置设备的接口作为DNS服务器解析服务器来配置,可以保证这些用户能正常解析域名上网。
11.4.1服务管理
云服务主要是为了帮助企业IT管理员更好的服务企业员工, 增加紧急事件远程处理的能力,方便IT管理员管理企业无线,在有无线故障时IT能够及时知晓并作出响应。
要加入云管家,首先需向云服务器注册企业账号,信锐云服务现在支持账号登录和短信登录两种方式。
企业账号注册成功后用该企业账号登录,NMC即可加入到云管家。
如果显示“在线”,表示成功加入云管家,如果显示“离线”,表示控制器与云管家的连接断开。
成功加入云管家之后,用手机扫描页面上的二维码,下载信锐云管家APP,并用注册的账号登录,就可以进入到app管理页面,方便的管理控制器了。
信锐云
11.4.2短信服务
在部署短信认证的无线网络时,需要先启用短信认证服务,并正确配置短信发送参数。
短信服务
系统支持的短信发送方式:通过连接到NMC串口的短信猫发送、通过连接到外部服务器的短信猫发送、通过短信网关发送。
说明:如果NMC部署的机房中,手机网络信号差,导致无法发送短信。则可以选择把短信猫连接到一台服务器,并把服务器部署到此机房以外,且信号良好的环境中,由此服务器来代理发送短信。
11.4.3邮件服务
本地用户数据库中邮箱绑定类型的账号绑定邮箱后,可以通过邮件找回密码,管理员也可以将用户名密码发送到用户绑定的邮箱中。使用之前需要启用并正确配置邮件服务。
邮件服务
发件人邮箱地址:邮件发件人账号,需要在smtp服务器上注册。
SMTP服务器器:邮件发送服务器,可以填写域名或者服务器ip地址,默认端口25。
用户名:邮件服务器校验使用的用户名,建议与发件人邮箱地址保存一致。
密码:邮件服务器校验密码,即用户名对应的密码。
11.4.4平台服务
根据不同的行业定制合适数据分析平台术语。
平台服务
11.4.5SNMP服务
SNMP(Simple Network Management Protocol,简单网络管理协议),用于管理网络中上众多的软硬件平台。开启后可以通过snmp协议查询本设备系统信息,如设备型号,内存使用,硬盘使用率,cpu消耗等。
SNMP
SNMP V1/V2:SNMP的第一版本和第二版本。它们都是基于团体名进行报文认证。
SNMP V3:SNMP的第三版本此版本提供重要的安全性功能,其中就包括了认证和加密两项。认证需要提供认证方式(MD5,SHA)和认证密码。加密需要提供加密方式(DES)和加密密钥。
MIB:MIB(Management Information Base,管理信息库),是由网络管理协议访问的管理对象数据库,也可理解为是所有可管理对象的集合。下载本设备MIB后,再导入到相应的管理端后,可以管理或查询的本设备的一些基本信息,如设备信号,内存使用,硬盘使用,CPU消耗等。
SNMP Traps:SNMP trap又称SNMP陷阱,启用后可以让本设备主动发送信息到管理端,而不需要等到的管理端轮询后再发送。需要配置管理端的IP地址和端口,以及团体名。支持向多个管理端发送信息。
SNMP Traps
11.5.1备份恢复
备份配置
点击备份配置时,可以从NAC上下载当前系统配置,并可以保存到在PC上,用户可以自行保存。也可以采用方式二:从文件中恢复的方法还原下载的配置,点击备份配置时,可以下载的配置文件如下,是bcf格式的文件。
备份配置
还可以采用备份自动备份到FTP服务器的方法备份。
定时导出
恢复配置
方式一:从每天自动备份的配置中恢复,默认系统会自动备份最近一周的配置
恢复配置
方式二:从之前备份的配置进行恢复。
方式三:直接点击“恢复出厂配置”。
备份服务器
配置还可以采用备份自动备份到FTP服务器的方法备份。备份服务器用于备份系统配置和人流量分析的数据。
备份服务器
网络备份恢复
系统中保存了大量网络配置信息,因此定期对设备网络配置执行备份操作是一个良好的管理习惯。
网络备份恢复
在以下情况下,可以考虑从最近备份的数据中恢复网络配置,以尽快恢复您的网络,并减少损失:
1、设备损坏或丢失,需要更换全新的硬件设备
2、设备误配置,例如误删除了大量的网络配置
3、分支设备性能不够,需要升级新设备
网络备份恢复,只有一种形式:手动备份
管理员从控制台网络备份恢复页面中,下载当前的网络配置备份文件,并保存在管理员的本地计算机中。手动备份的网络配置备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,分支替换新设备,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。
智能运维数据库管理
智能网络拓扑图数据
清空数据:清空智能网络拓扑图中离线交换机数据、自定义成员设备地址以及所有设备的位置信息,重新生成拓扑。
网络质量感知数据
清空数据:清除首页->网络->网络质量感知 页面数据。
业务画像数据库管理
清空数据:清除首页->终端->终端网络质量、首页->设备->各设备状态 页面数据。
智能运维数据库管理
数据分析库管理
清空数据
1、可清空人流量分析和热点地图的人流量数据。
2、清空推广统计数据。
注意:清空数据后将无法恢复。
生成人流量分析原始数据
1、生成前一天的人流量分析的用户数据,格式为.7z。
2、生成所有的人流量分析的用户数据,格式为.7z。
3、可设置每日将前一天的人流量分析数据自动导出到ftp服务器,ftp服务器在“系统维护->备份恢复->备份服务器”处配置。
数据备份与恢复
手动备份:手动备份人流量与推广数据,导出备份数据文件。注:可能需要较长时间,请耐心等待。
从手动备份恢复:使用手动备份的数据进行数据恢复。
数据分析库管理
人脸数据库管理
自动备份
指定每周何时进行人脸数据备份。建议设置为设备空闲时间。
立即备份
立即将当前的人脸数据库导出,用于数据库恢复。用户量较多时,导出时间可能也会相应较长,也可能占用设备较多资源,建议在空闲时段进行操作。
提供两种方式恢复数据库
1、使用立即备份导出的数据库进行数据库恢复。
2、使用每周自动备份的数据库进行数据库恢复。
人脸数据库管理
本地用户数据库管理
系统中保存了大量用户账号信息,因此定期对设备本地用户数据执行备份操作是一个良好的管理习惯。
在以下情况下,可以考虑从最近备份的数据中恢复系统,以尽快恢复您的数据,并减少损失:
1、设备损坏或丢失,需要更换全新的硬件设备
2、设备误配置,例如误删除了大量的用户账号信息
本地用户数据库备份,有以下几种形式:
自动备份
系统每天会自动执行一次本地用户数据库备份操作,并保存在设备内置磁盘中,只保留3天的备份文件。
手动备份
管理员从控制台本地用户数据库管理页面中,下载当前的本地用户数据库备份文件,并保存在管理员的本地计算机中。手动备份的本地用户数据库备份文件由于保存在设备之外,将具备更高的可靠性,即使设备损坏或丢失,购买新的设备后,仍然可以从备份文件中恢复,因此建议定期执行手动备份操作。
定期备份本地用户数据库到外部FTP服务器
系统每天凌晨03:10开始,会自动将设备的本地用户数据库上传到外部ftp服务器。可以避免因本设备故障而导致本地用户数据丢失的问题。
本地用户数据库管理
访客数据库管理
自动清理:提供选项,当访客数据库达到上限时,可以删除超过多少天未接入Wi-Fi的短信和微信访客。
立即备份:立即将当前的访客数据库导出,用于数据库恢复。
提供三种方式恢复数据库:
1、使用立即备份导出的数据库进行数据库恢复。
2、使用每日2点-3点自动备份的数据库进行数据库恢复。
3、将数据库恢复至被全量同步覆盖之前的还原点,只用于搭建过双机的设备。
访客数据库管理
磁盘清理
系统中长时间运行,会产生较多无用数据,比如:网监临时数据,以及过期的运维、安全数据等,需要及时清理删除,为保证系统保持最佳状态稳定运行,建议保持开启状态。
磁盘利用率阈值:开启磁盘清理时,当磁盘利用率超过配置的阀值,自动清理无用、过期数据,如清理过后仍然超过阀值,则在系统日志中进行告警。
磁盘清理
11.5.2系统更新
自动更新
启用自动更新后,系统将在凌晨的空闲时间段内,自动从互联网更新服务器中最新的库或补丁安全更新等。
URL分类库:获取最新的URL分类库,保证URL分类的准确性,防止误判、漏判影响网络访问,建议启用。
应用特征识别库:获取最新的应用特征识别库,保证应用识别的准确性及全面性,防止误判、漏判影响网络访问,建议启用。
注意:URL分类库和应用特征识别库需要序列号授权,过期后即使开启自动升级也无法升级为最新的库。
网关补丁:获取并安装最新的修复补丁及安全更新,以使系统保持在最新状态,提高系统的稳定性及安全性,建议启用。
注意:自动更新只安装修复补丁及安全更新,不包括版本更新。
自动更新
平台升级
正式包升级:支持.ssu包升级,可直接升级到正式版本。
补丁包升级:支持.tgz包升级,可为正式版本修复bug。
升级历史:可查看升级的历史记录。
降到正式版本:从已进行过补丁包升级的版本直接回降到最近一次未进行补丁包升级的正式版本,降到正式版本后,所有升级的补丁包将失效。只支持从补丁版本降到对应的正式版本,不支持跨正式版本降级。
平台升级
设备升级:接入点/交换机/物联网网关为零配置设备,通常并不需要关心设备的软件版本。接入点或交换机或物联网网关连接到网关后,会自动从网关中下载/在线下载并安装系统。如果要升级到最新版本,只需要升级网关,不需要单独升级无线接入点或交换机。该页面的升级功能,主要提供给设备供应商的技术支持人员使用,请在专业人员指引下操作。
设备升级
11.5.3日志查看
日志查看
设备日志:查看设备产生的日志,协助发现及排除故障。
系统日志:查看系统运行过程中产生的日志,协助发现及排除故障。
管理日志:管理日志中,记录了管理员登录、注销、修改配置的日志。
用户认证日志:用户认证日志中,记录了所有无线客户端的认证日志。
11.5.4Syslog配置
用于对接第三方Syslog服务器,按照RFC3164日志格式将网关的管理员日志、系统日志、安全日志、用户认证日志、告警日志、设备日志上报给第三方Syslog服务器。
系统日志优先级顺序为:调试日志 < 信息日志 < 告警日志 < 错误日志。
最小优先级说明:如果选择最小优先级为信息日志,则会上报信息日志、告警日志、错误日志这三种优先级的系统日志。
Syslog功能报文字段详细说明见文末附录2。
11.5.5调试选项
调试选项
允许用户通过ssh、telnet方式连接到本设备上进行调试。
允许用户通过开启历史日志信息和系统实时状态信息开关,采集设备的相关日志信息(不包含任何用户配置信息)。
调试选项
设备故障分析
使用场景:当设备工作不正常时,可以使用该功能修改查看设备状态,定位故障原因,使设备正常工作。工作不正常是指设备已经连入网络,但是无法连接上NAC甚至无法发现, 这时可以用该故障分析功能进行调试。主要功能为修改网络配置, 查询CLI命令, 恢复默认配置。如果设备工作正常,无需使用此功能。 注意, 如果操作不当可能适得其反。
使用说明:客户端与网页版
故障分析分为两个版本, 网页版和客户端, 客户端需要下载到Windows系统上才可运行。
区别:
网页版只能扫描到与NAC二层相连的设备; 如果设备与NAC三层连接,则需要在设备的二层网络中接入一台PC,在这台PC上运行故障分析工具。
客户端版本需要安装winpcap才可以使用。
网页版默认使用NAC的登录密码去操作设备,如果密码不正确会需要用户重新输入密码;但客户端操作设备时必须输入密码。
网页版使用NAC上所有的三层口进行扫描; 客户端会列举PC上所有有线网卡, 必须选择其中一个网卡进行工作。
排除故障:点击开始扫描按钮, 等待过程结束就会看到所有扫描到的设备。
如果设备网络配置有误, 例如IP, 网关, 掩码不正确导致不能和NMC通讯, 点击开始配置通过设置正确的数据即可解决。
如果设备网络配置正确, 仍然无法正常工作, 则可以通过恢复默认配置或者是查询CLI命令来定位问题。
其他:有颜色标识的设备为备份系统。
设备故障分析
11.5.6重启及格式化
重启及格式化
重启日志中心:重启日志中心。
重启服务:重启该设备上的服务进程。重启过程中会导致接入点处于离线状态
重启设备:重启该设备。
格式化缓存空间:
提供可直接操作nac设备的调试命令,用于排除问题。
命令行控制台
支持命令:
cls[clear][ctrl+l] 清屏
term[ctrl+c] 结束当前执行程序
vrrp 显示VRRP表
udpconnect 测试UDP端口连通性
arp 显示ARP表
sessionnum 显示当前会话个数
fdb 显示MAC地址转发表
dns 查看域名服务器
dhcppoolbind 查看地址池IP分配信息
ping 测试主机地址连通
traceroute 跟踪数据包转发路径
route 显示路由表
tcpconnect 测试TCP端口连通性
vlan 查看网口VLAN信息
dhcppool 查看地址池信息
interface 查看网口信息
『应用中心』包含【云服务】、【日志中心】、【信锐无线安全接入前端】三个功能模块。
应用中心
云服务参考4.9.4.1章节。
日志中心参考4.3.2章节日志中心部分。
信锐无线安全接入前端
安全场所
安全场所
安全场所是将用户上网数据通过网关上报并对接到网监平台的基本配置。一个安全场所代表了一个对接的区域。建立安全场所时,通过配置“接入位置”来选择对接到网监平台的区域,选择“接入配置”来确定用于对接的网监配置。
多网监平台对接
独立网关多个区域多个ap根据需要可以对接到不同网监平台。只需新增多个安全场所,每个场所的接入位置选择不同ap,然后选择ap所在区域对应的网监平台代表的接入配置。
集中环境下,网络管理中心可以统一管理分支对接的网监配置。这时,新增安全场所可以选择的接入位置则扩大到了每个分支分支。同样通过新增多个安全场所使每个区域分支对接不同的网监平台。
集中环境集中对接
集中环境下,在配置选项中选择“使用指定网关”时可以选择集中环境下的某一台网关来专门负责对接网监平台,将资源消耗集中,减小了其它分支的压力。网络管理中心已承载较高的业务压力,这里我们不建议使用网络管理中心作为集中对接的网关。
异常处理
第三方平台有未知网络问题时,会影响网监对接的状态,这时安全场所的状态则会变成“异常”状态。配置选项-高级选项中,选择场所异常时app告警,则在某一安全场所处于异常状态时,会通知信锐云的管理人员,便于及时排查网路异常。选择场所异常时拒绝指定角色接入,异常状态的安全场所,其对应接入点下的在线终端用户会被拒绝上线,防止有未上报网监平台的数据漏洞出现。
接入配置
要确定用哪种方式对接到哪个地区的网监平台,可以通过接入配置来实现。在接入云端以后,新增接入配置时则可以更新并使用云端的标准模板。通过配置模板参数,可以选择对接到网监平台的的方式。
云端配置
未启用或者网络异常时,会显示“未接入云端”。点击配置启用并保存正确的云端地址,则能正常显示接入云端,从而更新云端上的标准模板
配置模板参数
配置正确的模板参数才能正常的对接到网监平台。例如需要配置模板的日志来源-ap基础信息中的apinfo,可以确定哪些ap下接入的用户数据会上报到网监平台,配置日志上传-发送方式中的sendmode以确定是socket、ftp还是sftp方式发送数据到第三方服务器。
常见问题
在使用网监服务前,请先确定将服务配置中的“信锐无线安全接入前端”开关开启,并确保开启相关审计序列号。
配置用于对接到网监平台的模板参数时,可以咨询相关技术支持人员。