办公室随着人员增多, 需要满足移动办公需求;同时, 随着公司来访人员原来越多,为满足访客远程办公及上网体验,在现有的有线网络基础上进行一个无线的延伸的需求越来越强烈。
客户需要保证原有有线网络不变,无线网段由网络控制器单独进行分配, 同时保证办公无 线和访客无线之间相互隔离.创建两个 SSID ,一个是内部办公网络sundray,一个是访客网络sundray_Guest
客户现有有线拓扑如下:
用户属于跨三层的网络环境,NAC 设备需要单臂部署接在三层交换机上,实现对内网的所有无线 AP 进行集中管控和认证,同时,无线网段由控制器进行分配。
安视交换机:
G0/1 口 access 口,属于 vlan1;G0/3 口 access 口,属于 vlan199;G0/2 和 G0/4 口 access 口,属于 vlan200;管理 vlan 使用 vlan200
Vlan1 地址:10.10.10.2/24 ; vlan199地 址 : 172.16.199.1/24 ; vlan200 地 址:192.200.4.254/24
控制器 NAC:
Eth1 口 access 口,属于 vlan200;vlan200 地址: 192.200.4. 124/24 ,作为无线网段出口;
Vlan100 地址:172.16.100. 1/24,并启用 DHCP 服务,用于访客访问
Vlan110 地址:172.16.110. 1/24 ,并启用 DHCP 服务,用于内部办公
AP:
AP 接入到客户原有有线网络中,配置一个可用地址能和 NAC 通信即可, 当前选择核心交换机上的vlan199段
第一步:通过管理口(ETH0)的默认 IP 登录设备。管理口的默认 IP 是 10.252.252.252/24, 在电脑上配置一个相同网段的 IP 地址,通过 https://10.252.252.252 登录设备。
第二步:配置 NAC 接口 IP ,通过『有线配置』→『接口管理』,点击需要设置连接内 网的接口,如本案例为 eth1 ,出现以下页面:
配置 vlan 接口,配置 eth1 为 access 口,并属于 vlan200,配置 vlan200 的接口 IP 地址为:192.200.4.124/24,并勾选允许 vlan 间路由
配置无线访客网段 vlan100,并且划分一个单独的网段:172.16.100.1/24,并启用 DHCP 服务,用于访客访问,并勾选允许 vlan间路由
配置无线办公网段 vlan110,并且划分一个单独的网段:172.16.110. 1/24,并启用 DHCP 服 务,用于办公终端访问,并勾选允许 vlan 间路由
第三步:配置 NAC 网络配置,让 NAC 可以正常上网,到【有线配置】-【网络配置】 处添加 8 个 0 的静态路由,指向核心交换机 192.200.4.254
第四步:启用源地址转换,将 vlan100 和 vlan110 两个网段的地址通过 192.200.4. 124 这 个地址出去上网
第五步:在 NAC 上配置 HOSTS ,并启用 DNS 代理,当 AP 通过 DNS 服务器解析到默 认域名 www.wlanadmin.com 为 NAC 的 IP 地址时,AP 会自动发现 NAC 。在【系统管理】- 【系统配置】-【HOSTS】这里配置 NAC 的 IP 地址 192.200.4. 124 的主机名为:www.wlanadmin.com 。并在【优先配置】-【网络配置】-【DNS】配置 DNS 地址,并且启用DNS代理
采用 DNS 方式激活发现 AP 时,需要保证AP 通过自身配置的 DNS 能解析到NAC的地址才行,比如:AP 默认 IP 地址需要 DHCP 自动获取,当 AP 从核心三层交换机上获取 IP 地址等信息时 ,在核心三层交换机上配置分发的 DNS 服务器为 NAC 的 IP 地址: 192.200.4.124,然后 AP 会去向自己获取的 DNS 服务器即 NAC 解析www.wlanadmin.com对 应的 IP 地址,此时 NAC 会通过 hosts 记录回应 AP 此域名对应的 IP 地址(即 NAC 自己), AP 即可发现 NAC。
第一步:激活安视交换机,安视交换机跟 NAC 在同一二层,安视交换机直接通过二层 广播方式发现 NAC ,这时 NAC 上就可以在交换机管理中心里的【交换机管理】-【交换机】-【发现新交换机】处激活交换机,并且在界面右上角会有提示发现新的交换机,点击即可 跳转到【发现新交换机】界面
激活安视交换机时,选择交换机的所属组为:默认组;发现控制器 IP:本案例指定为 192.200.4.124;网络地址配置为:手动配置,并给交换机设置当前所在网络的 IP 地址信息; 设置管理 vlan 为 vlan200;管理端口选择 port4;再到端口面板里将 port4 口设置为 access vlan 200;最后点击提交即可
第二步,安视交换机上线后,做其他端口和 vlan 的配置
第一步:激活 AP ,AP 通过解析 www.wlanadmin.com域名发现 NAC ,这时 NAC 上就 可以在【接入点配置】-【无线接入点】-【发现新接入点】处激活 AP ,并且在界面右上角 会有提示发现新的接入点,点击即可跳转到【发现新接入点】界面
激活 AP 时,选择 AP 的所属组为:默认组;控制器 IP:本案例指定为 192.200.4. 124; 网络地址配置为:手动配置,并给 AP 设置当前 AP 所在网络的 IP 地址信息。
第二步:当 AP 比较多,想对 AP 进行组织化管理时,可以编辑接入点组,在【接入点 配置】-【无线接入点】,点击“新增分组 ”,即可创建一个接入点组,并且可以对接入点组 进行配置,然后下发给此组下的所有 AP , 比如:工作模式选择为“Normal ”,射频参数同 时启用 2.4G 频段和 5.8G 频段,其余为默认。
第一步:新增无线网络“sundray ”并选择发射此无线网络的 AP ,数据转发模式选择为 “集中转发 ”,设置频段选择“所有 ”。
第二步:认证类型选择为:“开放式+ Web 认证 ”,WEB 认证时有个认证前角色,请选 择下面的“帮我创建认证前角色 ”,或直接选择 SecureWiFi 这个角色。
第三步:设置认证服务器为“本地用户 ”方式,允许登录的用户组为所有
在认证中心页面里的【用户管理】--【本地用户】下可以新建本地用户,设置账号所在组及过期时间
第四步:为连上 sundray 的无线终端分配 vlan ,可以通过添加规则为满足不同条件的终端分配不同的 vlan
第五步:为连上 sundray 的无线终端分配上网权限,可以为满足不同条件的终端分配不 同的上网权限
在【认证授权】--【角色授权】下可以新建访问控制策略,然后再角色里调用访问控制策略
第一步:打开手机 wifi 功能,点击连接 sundray
第二步:打开浏览器弹出重定向认证界面,待轮播时间完成后后点击认证上网
第三步:在认证界面框中输入账号和密码完成认证
