本文介绍了信锐技术无线控制器对出口公网 IP地址容易发生变化时启用WebAgent功能 的原理介绍及配置案例,以下相关功能配置均基于 NAC3.7.4.2R1 版本。
如果外网线路是 PPPOE 拨号或自动获取的,则外网的地址是会改变的,使用WebAgent 可以实时获取改变的外网 IP。
WebAgent 实际上是动态域名解析,是将用户的动态公网 IP 地址映射到一个固定的 域名上,用户每次连接网络的时候, 客户端程序就会通过 WebAgent 信息把该主机侧的 公网 IP 地址传送给位于服务商主机上的服务器程序,服务程序负责提供 DNS 服务并实现动态域名解析。终端通过解析指定的域名即可实时获取到主机侧的公网 IP 地址。
信锐无线控制器上涉及到 WebAgent 的功能主要有:AP 远程部署、控制器公网访问、集中管理、 VPN。
1、无线控制器上配置开通好的 WebAgent 域名地址, 由控制器主动访问公网 WebAgent服务器;
2 、公网 WebAgent 服务器接收到控制器发送的信息,并记录发送信息的源 IP 地址,即控制器侧公网 IP 地址;
3、AP 或用户端发起请求解析控制器上配置的相同的 WebAgent 域名以获取控制器侧的公网 IP 地址;
4 、公网 WebAgent 服务器返回控制器侧的公网 IP 地址;
5 、AP 或用户端通过解析到的公网 IP 地址找到控制器。
联系信锐售后服务热线 400-878-3389,告知详细的使用场景来申请 WebAgent(免费) ,如 AP 远程部署、控制器公网访问、集中管理、VPN。
可通过页面获取:WebAgent 域名+指定命令 获取公网 IP webagent.sangfor.net.cn/webagent/wlan/sundraytac/sundraytac.php?devtype=ap&opt=get_ip
控制器远程部署场景下,如控制器侧是出口是通过 pppoe 拨号或自动获取地址,为避免 后续控制器侧公网 IP 地址发生改变导致AP 掉线的情况,需在控制器上设置WebAgent 功能,使得分支或远程部署的 AP 可以实时获取控制器侧当前的 IP 地址。
2.1.1部署条件
1 、 控制器如果是直接连接外网线设置 pppoe 拨号,则直接配置 WebAgent 功能;如控制器不是直接部署在出口,则需要在直接连接外网线的出口设备上对控制器做远程部署时需要的端口映射(TCP 800、7070 ,UDP 5246 、5247 、7077 、7777 ,端口映射后不变);
2 、 分支或远程部署的 AP 接入内网后有 IP 地址且需具备能进行地址解析及能访问外网;
3 、使用诊断工具扫描 AP,给 AP 配置或批量配置发现控制器域名。
2.1.2配置步骤
1 、 控制器上配置 WebAgent 功能。
【系统管理】-【系统配置】中点击启用 WebAgent,将申请到的 WebAgent 域名填入,并设置连接密码,该密码自定义,测试连通性返回成功。
2 、 端口映射。
控制器做出口设备连接外网线时略过此步骤;控制器非出口设备时,需要在出口设备做远程部署时需要的端口映射,具体端口见 2.1.1 节。
3 、 给 AP 指定发现控制器域名。
电脑接入分支或远程部署 AP 接入的交换机,使得电脑与 AP 在同一个 vlan 下,使用诊 断工具扫描AP,勾选要远程部署的AP,并点击【工具】菜单栏下批量编辑,启用WebAgent 并配置控制器上配置的 WebAgent 域名,点击确定,输入 AP 的登录密码(默认为admin 或如AP 之前在其他控制器上激活上线过,则是其他控制器admin 的登录密码,密码忘 记则在AP 网口附近都会有一个reset 的小孔,长按到AP 重启即可复位成功,密码变成admin,面板AP 需拆开外壳,在AP 侧面有reset 小孔),点击确定即可。
4 、 确保 AP 能访问到配置的 dns 服务器 IP 地址并能上外网后,登录控制器,在控制器【接 入点配置】 -【无线接入点】- 【发现新接入点】中即可发现该 AP,勾选 AP 激活, 配置
发现控制器域名为 WebAgent 域名,分配所属组后点击确定即可。
因控制器侧出口的公网 IP 地址是 pppoe 自动获取的,有可能会发生变化,需要跨公网访问控制器时,需要先知道控制器具体的公网 IP 地址,此场景下可通过 WebAgent 实现。
1 、 控制器上配置 WebAgent 功能。
【系统管理】-【系统配置】中点击启用 WebAgent,将申请到的 WebAgent 域名填入,并设置连接密码,该密码自定义,测试连通性返回成功。
2 、 通过域名解析到控制器公网 IP 地址。可通过页面获取:WebAgent 域名+指定命令
webagent.sangfor.net.cn/webagent/wlan/sundraytac/sundraytac.php?devtype=ap&opt=get_ip
3 、获取到控制器的公网 IP 地址后,可直接通过控制器侧的公网 IP 地址登录。
注意:
1) 控制器直接做出口设备时默认登录端口是 443 ,部分运营商可能会将该端口封堵,可修改控制器 https 登录端口
控制器集中管理部署场景下,中心端控制器出口侧公网 IP 地址为 pppoe 拨号时,同样需要使用到 WebAgent 域名功能。
1 、 中心端控制器上配置 WebAgent 功能。
【系统管理】-【系统配置】中点击启用 WebAgent,将申请到的 WebAgent 域名填入,并设置连接密码,该密码自定义,测试连通性返回成功。
2、控制器做出口设备连接外网线时略过此步骤;控制器非出口设备时, 需要在出口设备做 集中管理时需要的端口映射, 需要映射的端口有: TCP 、UDP 5000(集群管理端口) ,TCP 30000-31000 端口(中心端跳转登录分支端端口) ,TCP 13333(集群 2.0 时 1+1 灾备功能端口), 以及远程部署 AP 所需端口(用于分支控制器故障后分支 AP 托管到中心端)
3、分支控制器上配置加入集群管理, 中心端控制器地址填写 WebAgent 域名,输入用户名密码加入集群
控制器 VPN 部署场景下,总部 VPN 控制器出口侧公网 IP 地址为 pppoe 拨号时,同样需要使用到 WebAgent 域名功能。
1 、 总部 VPN 控制器上配置 WebAgent 功能。
【VPN 配置】-【基本设置】中填写主 WebAgent 和备 WebAgent,将申请到的 WebAgent域名填入, 密码自行设置即可, 测试连通性返回成功。
注意: 用于 SangFor VPN 的是 WebAgent 链接必须是大硬件 VPN 的, 别开错了哦
2、控制器做出口设备连接外网线时略过此步骤;控制器非出口设备时, 需要在出口设备做VPN 部署时需要的端口映射,需要映射的端口有: TCP 4009 及 UDP 4009 端口
3、分支 VPN 设备上配置总部 VPN 控制器的地址为 WebAgent 域名, 并输入用户名和密码,点击确定即可。
1 、 同一个 WebAgent 域名无法作用于多个控制器,否则 AP 或客户端解析出来的公网 IP 地址可能会有异常;
2 、 因 WebAgent 功能使用的场景需求, 因此,中心端控制器或总部控制器均需要能访问外 网, 以便同公网 WebAgent 服务器通信,实时同步控制器侧公网 IP 地址给服务器; 同时, 分支 AP 或用户或分支控制器需要具备访问外网的权限及地址解析的能力, 才能获取到中心端控制器的公网 IP 地址及访问。
3 、 WebAgent 对应设置的密码需要备份记录,该密码找回困难,因此如在后期需要迁移WebAgent 在其他控制器使用时,仍需要相同的密码, 否则该 WebAgent 域名因域名和密码不匹配会导致无法使用。
