网络管理中心iBrain NMC

信锐iBrain智能网络管理中心(简称iBrain NMC)是网络设备的集中管理与智能运维中心,可以作为网络管理的智慧大脑,平台支持对无线AP、安视交换机、Turbo Fusion极智融合系列网关、NAC网络控制器等设备进行集中管理,可实现全网设备的快速激活、策略配置、故障定位、安全告警、智能运维等,同时支持对全网用户进行统一身份认证与角色授权等,一站式降低网络管理难度。结
NMC3.13.0-3.14.0
网络管理中心iBrain NMC 文档 功能配置 SD-WLAN 跨三层组网配置指导手册
{{sendMatomoQuery("网络管理中心iBrain NMC","跨三层组网配置指导手册")}}

跨三层组网配置指导手册

更新时间:2024-07-02

1文档介绍

1.1文档说明

本文档信锐公司及其许可者版权所有,并保留一切权利。未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式出版传播。

由于产品版本升级或其他原因,本手册内容有可能变更。信锐保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为配置指导,信锐尽全力在本手册中提供准确的信息,但是并不确保手册内容完全没有错误。

1.2使用对象

本配置指导文档主要适用于如下工程师:

网络或应用管理人员

现场技术支持与维护人员

负责网络配置和维护的网络管理员

2组网简介

2.1旁挂组网介绍

控制器内网部署时,内网有核心交换机或接入层交换机,为了后续网络易拓展,一般是将控制器旁挂部署。

此次案例拓扑如下,控制器旁挂在核心,核心下接汇聚和接入层POE交换机,POE交换机接AP。

 

以本地转发示例演示,二层组网配置指导参见《基本二层组网测试指导手册》,本文主要介绍AP和控制器跨三层组网配置步骤。

说明:该文档涉及的IP地址网段均为演示使用,实际部署需要根据实际场景需求设置IP网段。

 

2.2集中转发和本地转发区别

集中转发:无线用户的数据都由AP封装后走AP和控制器间的数据隧道转发到控制器,由控制器解封装后再转发出去,AP到控制器之间的交换机接口属性对集中转发的无线用户都没有影响。(NMC不支持集中转发功能

本地转发:无线用户的数据不会被AP封装,直接走本地交换机,如果控制器旁挂部署,无线用户的网关又不在控制器上,那么用户的流量是不会经过控制器的,直接到网关后,被网关转发出去。

注意:配置前请提前查看各示例的需求描述。

NMC不支持做集中转发,也不再支持DHCP地址池设置,故在网络设计中,不能设计作为网关,给AP以及无线用户下发地址。

 

2.3控制器登录

控制器默认管理口(MANAGE)登录地址:https://10.252.252.252 用户名admin  密码admin。电脑网线直连控制器的管理口(MANAGE),将电脑的有线网卡IPv4手动设置一个IP地址为10.252.252.10,掩码为255.255.255.0的地址,网关和dns不做配置。打开电脑浏览器,输入https://10.252.252.252登录控制器。

3本地转发-AP和用户同VLAN

3.1拓扑与需求描述

3.1.1拓扑

3.1.2需求描述

如图,控制器旁挂核心,由核心做DHCP给AP和无线用户分配IP地址,AP和用户网关均在核心,AP和用户同一VLAN,无线网络本地转发上网;AP和控制器跨网段部署。

IP网段规划:

核心和控制器互联地址是172.16.1.1/24  

AP 1 管理vlan、内部员工:vlan 10 192.168.10.0/24

 

3.2配置步骤

3.2.1配置思路

1、配置控制器地址、静态路由、DNS等,确保控制器能够上外网

2、配置核心交换机的DHCP

3、配置核心交换机、汇聚、接入层交换机的接口属性,确保AP能正常获取到对应管理VLAN的地址,并且和控制器的IP地址能正常通信

4、给AP指定发现控制器地址,让控制器能够发现AP

5、在控制器上激活AP

6、配置无线网络

3.2.2控制器配置

由于核心和控制器互联的地址是172.16.1.1,所以控制器上需要有一个地址是172.16.1.0/24网段的地址作为控制器的IP地址。

此时,由于无线网络要求本地转发,用户数据不经过控制器,所以控制器的eth1口只需要能和核心通信即可,那么控制器的eth1口可以配置成三层接口,或者二层接口access vlan 1,或者trunk口 native vlan 1,只需要保证和核心的接口属性一致即可。

在【平台管理】-【平台配置】-【接口管理】中,以三层接口为示例,IP地址为172.16.1.2/24.

并给控制器配置静态路由,在【平台管理】-【平台配置】-【网络配置】-【静态路由】新增目标地址和网络地址都为0.0.0.0,下一跳地址为控制器的网关地址(核心的IP)172.16.1.1,确保控制器可以和核心上AP网关、用户网关地址通信(必须配置),并配置控制器的DNS。

 

3.2.3核心交换机配置

核心上配置VLAN 10的DHCP地址池(此处省略DHCP配置)

(1)核心C1口:只需要保证控制器能ping通核心的172.16.1.1的地址即可,以access接口为例。

参考配置

Interface c1

Switchport mode access

Switchport access vlan 10

(2)核心C2:由于无线AP和无线用户的地址是同网段,且无线是本地转发,从核心获取地址,那么核心的C2接口能允许VLAN 10通过即可,所以C2接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface c2

Switchport mode access

Switchport access vlan 10

 

3.2.4汇聚交换机配置

(1)汇聚F2:接口模式需要和核心的C2接口模式保持一致,F2接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface f2

Switchport mode access

Switchport access vlan 10

(2)汇聚F1:F1接口底下接的是POE交换机,F1接口和F2口模式保持一致,F1接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface f1

Switchport mode access

Switchport access vlan 10

 

3.2.5POE交换机配置

(1)POE交换机G1、G2、G3:G1、G2、G3接口配置成access模式,允许VLAN10通过即可。

参考命令:

Interface g1-3

Switchport mode access

Switchport access vlan 10

 

3.2.6AP配置

确保交换机和控制器配置完成后,且控制器和核心之间可以正常通信。可以在控制器【平台管理】-【命令行控制台】测试。

使用troubleshoot工具扫描AP,确保AP获取到了正确的地址。

说明:详细操作参见《AP诊断工具配置手册》

troubleshoot工具扫描AP方法:

1、找一台电脑,电脑网口和AP同时连接在同vlan的交换机上

2、电脑上下载troubleshoot工具

3、双击运行troubleshoot工具,选择电脑的有线网卡扫描AP

 

点击开始配置(密码默认为admin或者beyondos1,如果不记得密码可以将AP重置,重置后密码为admin),找到【命令行】,测试AP是否可以和控制器通信。只有AP和控制器能正常通信才有可能发现AP。

由于控制器和AP是跨网段部署,控制器不能直接发现AP(同二层环境AP会主动发广播包发现控制器),需要通过发现控制器方式让AP主动去发现控制器,指定发现控制器地址方式有troubleshoot手动指定、Option 43、WebAgent、DNS域名等。

接下来演示使用troubleshoot工具配置AP,让AP主动发现控制器,在troubleshoot中勾选需要设置的AP,点击批量修改,指定无线控制器地址为控制器的IP 172.16.1.2即可。

提交后即可在无线控制器上发现AP。

 

3.2.7激活AP

确保以上配置没问题,即可在【SD-WLAN】-【接入点】-【发现新接入点】发现AP,选中AP点击激活,选择AP所属组,并填写发现控制器IP地址,点击提交。

此时,等待AP同步版本上线即可。可以在【首页】-【设备】-【接入点】-【接入点列表】查看在线的AP。

注意:等AP全部上线后,由于AP和控制器是跨三层部署,需要重新在控制器上给AP下发“发现控制器”地址,防止AP断电后配置丢失(troubleshoot工具配置是临时生效的,断电会丢失)。

 

3.2.8无线配置

在【SD-WLAN】-【无线网络】中新建无线信号sundray,数据模式为本地转发,设置无线密码。

【VLAN设置】需要保持默认的VLAN 1,即表示无线本地转发从AP所在的VLAN 10获取地址。

无线配置完成,提交即可。此时即可连接无线测试上网了。

 

4本地转发-AP和用户不同VLAN

4.1拓扑和新需求描述

4.1.1拓扑

4.1.2需求描述

控制器旁挂核心,由核心做DHCP给AP和无线用户分配IP地址,AP和用户网关均在核心,AP和无线用户不同VLAN,无线网络本地转发上网;AP和控制器跨网段部署。

IP网段规划:

核心和控制器互联地址是172.16.1.1/24  

AP 1 管理vlan:vlan 10 192.168.10.0/24   AP 2 管理vlan:vlan 20 192.168.20.0/24

内部员工:vlan 30 192.168.30.0/24       

外部访客:vlan 40 192.168.40.0/24

 

4.2配置步骤

4.2.1配置思路

1、配置控制器地址、静态路由、DNS等,确保控制器能够上外网

2、配置核心交换机的DHCP

3、配置核心交换机、汇聚、接入层交换机的接口属性,确保AP能正常获取到对应管理VLAN的地址,并且和控制器的IP地址能正常通信

4、给AP指定发现控制器地址,让控制器能够发现AP

5、在控制器上激活AP

6、配置无线网络

 

4.2.2控制器配置

由于核心和控制器互联的地址是172.16.1.1,所以控制器上需要有一个地址是172.16.1.0/24网段的地址作为控制器的IP地址。

此时,由于无线网络要求本地转发,用户数据不经过控制器,所以控制器的eth1口只需要能和核心通信即可,那么控制器的eth1口可以配置成三层接口,或者二层接口access vlan 1,或者trunk口 native vlan 1,只需要保证和核心的接口属性一致即可。

在【平台管理】-【平台配置】-【接口管理】中,以三层接口为示例,IP地址为172.16.1.2/24.

1.2

并给控制器配置静态路由,在【平台管理】-【平台配置】-【网络配置】-【静态路由】新增目标地址和网络地址都为0.0.0.0,下一跳地址为控制器的网关地址(核心的IP)172.16.1.1,确保控制器可以和核心上AP网关、用户网关地址通信(必须配置),并配置控制器的DNS。

路由

dns

 

4.2.3核心交换机配置

核心上配置VLAN 10 20 30 40 的DHCP地址池(此处省略DHCP配置)

(1)核心C1口:只需要保证控制器能ping通核心的172.16.1.1的地址即可,以access接口为例。

参考配置

Interface c1

Switchport mode access

Switchport access vlan 1

(2)核心C2:由于无线AP和无线用户的地址是不同网段,且无线是本地转发,从核心获取地址,那么核心的C2接口要能允许多个VLAN通过,所以C2接口要配置成Trunk模式,且允许AP的VLAN10、20和用户的VLAN 30、40通过。Pvid(native vlan)默认为1即可。

参考命令:

Interface c2

Switchport mode trunk

Switchport trunk allowed vlan 10,20,30,40

Switchport trunk native vlan 1  //默认是1,可以不设置

 

4.2.4汇聚交换机配置

(1)汇聚F2:接口模式需要和核心的C2接口模式保持一致,F2接口配置成Trunk模式,且允许AP的VLAN10、20和用户的VLAN 30、40通过。Pvid(native vlan)默认为1即可。

参考命令:

Interface f2

Switchport mode trunk

Switchport trunk allowed vlan 10,20,30,40

Switchport trunk native vlan 1  //默认是1,可以不设置

(2)汇聚F1:F1接口底下接的是POE交换机,F1接口和F2口模式保持一致,F1接口配置成Trunk模式,且允许AP的VLAN10、20和用户的VLAN 30、40通过。Pvid(native vlan)默认为1即可。

参考命令:

Interface f1

Switchport mode trunk

Switchport trunk allowed vlan 10,20,30,40

Switchport trunk native vlan 1  //默认是1,可以不设置

 

4.2.5POE交换机配置

(1)POE交换机G3:G3接口需要和汇聚的F1接口模式保持一致,G3接口配置成Trunk模式,且允许AP的VLAN10、20和用户的VLAN 30、40通过。Pvid(native vlan)默认为1即可。

参考命令:

Interface g3

Switchport mode trunk

Switchport trunk allowed vlan 10,20,30,40

Switchport trunk native vlan 1  //默认是1,可以不设置

(2)POE交换机G2:由于AP2接G2口,从VLAN 20获取地址,所以VLAN 20要设置成不带标签的VLAN。

参考命令:

Interface g2

Switchport mode trunk

Switchport trunk allowed vlan 10,20,30,40

Switchport trunk native vlan 20

 

(3)POE交换机G1:由于AP1接G1口,从VLAN 10获取地址,所以VLAN 10要设置成不带标签的VLAN。

参考命令:

Interface g1

Switchport mode trunk

Switchport trunk allowed vlan 10,20,30,40

Switchport trunk native vlan 10

注意:如果交换机是信锐的SW 5024,交换机连接AP的接口需要设置成general模式,命令如下:(以G1接口配置为例)

Interface g1

Switchport mode general

Switchport general allowed vlan 20,30,40 tagged

Switchport general allowed vlan 10 untagged

Switchport pvid 10

 

4.2.6AP配置

确保交换机和控制器配置完成后,且控制器和核心之间可以正常通信。可以在控制器【平台管理】-【命令行控制台】测试。

ping

使用troubleshoot工具扫描AP,确保AP获取到了正确的地址。

说明:详细操作参见《AP诊断工具配置手册》

troubleshoot工具扫描AP方法:

1、找一台电脑,电脑网口和AP同时连接在同vlan的交换机上

2、电脑上下载troubleshoot工具

3、双击运行troubleshoot工具,选择电脑的有线网卡扫描AP

 

点击开始配置(密码默认为admin或者beyondos1,如果不记得密码可以将AP重置,重置后密码为admin),找到【命令行】,测试AP是否可以和控制器通信。只有AP和控制器能正常通信才有可能发现AP。

由于控制器和AP是跨网段部署,控制器不能直接发现AP(同二层环境AP会主动发广播包发现控制器),需要通过发现控制器方式让AP主动去发现控制器,指定发现控制器地址方式有troubleshoot手动指定、Option 43、WebAgent、DNS域名等。

接下来演示使用troubleshoot工具配置AP,让AP主动发现控制器,在troubleshoot中勾选需要设置的AP,点击批量修改,指定无线控制器地址为控制器的IP 172.16.1.2即可。

提交后即可在无线控制器上发现AP。

 

4.2.7激活AP

确保以上配置没问题,即可在【SD-WLAN】-【接入点】-【发现新接入点】发现AP,选中AP点击激活,选择AP所属组,并填写发现控制器IP地址,点击提交。

激活

此时,等待AP同步版本上线即可。可以在【首页】-【设备】-【接入点】-【接入点列表】查看在线的AP。

注意:等AP全部上线后,由于AP和控制器是跨三层部署,需要重新在控制器上给AP下发“发现控制器”地址,防止AP断电后配置丢失(troubleshoot工具配置是临时生效的,断电会丢失)。

控制器地址

 

4.2.8无线配置

在【SD-WLAN】-【无线网络】中新建无线信号sundray,数据模式为本地转发,设置无线密码。

【VLAN设置】需要改成用户要获取地址的VLAN 30、40;

注意:如果这里的VLAN写成1,那么用户获取的地址会和AP是同一个网段的。

无线配置完成,提交即可。此时即可连接无线测试上网了。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

图片包含 游戏机, 画, 灯 描述已自动生成

 

 

 

 

 

 

 

中国广东省深圳市南山区学苑大道1001号南山智园A4栋

Block A4, Nanshan iPark,

No.1001 Xueyuan Road, Nanshan District, Shenzhen,

Guangdong Province, P. R. China (518055)

售前咨询热线:400-878-3313

售后服务热线:400-878-3389

顶底图片网址:www.sundray.com.cn