神州數(shù)碼無線控制器及ap配置方法培訓(xùn)

1、,,無線控制器及AP配置方法培訓(xùn),DCN客戶服務(wù)中心,主要內(nèi)容,無線網(wǎng)絡(luò)基本結(jié)構(gòu),無線控制器基本配置模式及AP常規(guī)配置,無線控制器無線功能開啟與關(guān)閉,無線集群的建立,AP配置管理,客戶端接入認(rèn)證配置,Portal認(rèn)證配置,數(shù)據(jù)轉(zhuǎn)發(fā)功能配置,射頻管理功能配置,無線安全功能配置,主要內(nèi)容,無線控制器基本配置模式,約定：無線控制器：即AC， DCWS-6028有線無線智能一體化控制器AP：瘦AP，由AC進(jìn)行控制和管理。無線控制器上標(biāo)識A

2、P及客戶端的依據(jù)是MAC地址。,無線控制器基本配置模式,無線全局配置模式AP database配置模式AP profile配置模式Radio配置模式,無線控制器基本配置模式,VAP配置模式Network配置模式Captive Portal配置模式Captive Portal實例配置模式,AP常規(guī)配置項,AP常規(guī)配置項,AP常規(guī)配置項,AP上面設(shè)置網(wǎng)關(guān)，查看路由表和ARP表：AP恢復(fù)出廠配置：

3、 or,無線控制器無線功能開啟與關(guān)閉,無線功能正常開啟的條件：AC上面有合法的用于無線模塊的IP地址。無線IP地址來源：只能來源于AC上面loopback接口或者UP的三層接口的IP地址。無線IP地址配置方式：靜態(tài)指定、動態(tài)選取。動態(tài)選取的IP優(yōu)先級高于靜態(tài)指定的IP。動態(tài)選取IP的原則：優(yōu)先選擇接口ID小的loopback接口的地址

4、；不存在loopback接口時優(yōu)先選擇接口ID小的三層接口的IP地址。,無線控制器無線功能開啟與關(guān)閉,靜態(tài)指定無線IP地址時無線功能的開啟：設(shè)置靜態(tài)的無線IP地址關(guān)閉無線地址的自動選擇功能通過enable使能無線功能,無線控制器無線功能開啟與關(guān)閉,無線控制器無線功能開啟與關(guān)閉,通過show wireless命令來查看無線功能開啟情況，主要查看最前面的幾行信息：,無線控制器無線功能開啟與關(guān)閉,動態(tài)選取無線IP時無線功能的開啟：打開

5、自動選擇無線IP的功能（此功能默認(rèn)是打開的，如果之前使用了靜態(tài)配置的方式，則需要重新打開）通過enable使能無線功能,無線控制器無線功能開啟與關(guān)閉,AC上面存在如下的接口：在動態(tài)選取的情況下，接口loopback 1的IP地址1.1.1.1會成為無線IP地址。,無線控制器無線功能開啟與關(guān)閉,無線控制器無線功能開啟與關(guān)閉,無線功能的關(guān)閉：無線全局配置模式下通過no enable命令關(guān)閉無線功能。,如果無線功能開啟失敗，如何

6、檢查呢？,可能的原因：AC上面沒有l(wèi)oopback接口或者up的三層接口；Loopback接口或者up的三層接口沒有配置IP地址；靜態(tài)配置的無線地址不是本機(jī)存在的loopback接口或者up的三層接口的IP地址；關(guān)閉了自動選取，但是沒有配置靜態(tài)IP。,集群的建立,集群是WLAN運(yùn)行的基礎(chǔ)。多臺無線控制器之間建立TLS連接，各個無線控制器與其所管理的AP建立TLS連接，進(jìn)而構(gòu)成了整個無線的集群。集群會選舉一臺AC為Control

7、ler。單臺無線控制器和若干臺AP可以構(gòu)成最簡單的集群。集群建立的過程就是AC-AC間、AC-AP之間建立TLS連接的過程。TLS連接的建立是通過自動發(fā)現(xiàn)來完成的。,自動發(fā)現(xiàn)概述,自動發(fā)現(xiàn)方式：三層IP發(fā)現(xiàn)、二層廣播發(fā)現(xiàn)。兩種方式均通過發(fā)送discovery報文進(jìn)行，整個自動發(fā)現(xiàn)的交互過程要求兩個設(shè)備之間三層可達(dá)。三層發(fā)現(xiàn)的discovery報文可以跨越多個網(wǎng)段，二層廣播發(fā)現(xiàn)discovery報文僅在同一個VLAN內(nèi)轉(zhuǎn)發(fā)。自

8、動發(fā)現(xiàn)包括AP自動發(fā)現(xiàn)和AC自動發(fā)現(xiàn)，方式基本相同，略有區(qū)別。,自動發(fā)現(xiàn)概述,三層自動發(fā)現(xiàn)列表ip-list（max 256）：二層廣播自動發(fā)現(xiàn)vlan列表（max 16）：,自動發(fā)現(xiàn)概述,打開/關(guān)閉自動發(fā)現(xiàn)功能：默認(rèn)兩種自動發(fā)現(xiàn)是打開的，可以通過no命令關(guān)閉。,自動發(fā)現(xiàn)概述,AP自動發(fā)現(xiàn),通過AP自動發(fā)現(xiàn)，可以使AP被某個AC管理。兩種模式：AC主動發(fā)現(xiàn)AP，AP處于被動發(fā)現(xiàn)狀態(tài)AP主動發(fā)現(xiàn)AC，即在AP上面指定AC的I

9、P地址。,模式一：AC主動發(fā)現(xiàn)AP,在AC添加AP的database，即AP的mac地址。如果使用三層發(fā)現(xiàn)，則把AP的IP地址添加到ip-list。如果使用二層發(fā)現(xiàn)，則把AP所在的vlan id添加到vlan-list。,模式一：AC主動發(fā)現(xiàn)AP,模式二：AP主動發(fā)現(xiàn)AC,AP上面添加靜態(tài)的AC的無線地址，最多4個。,?,AC上面查看AP的管理狀態(tài),,AP自動注冊,AC上面可以設(shè)置AP上線時的認(rèn)證模式為none，此時如果AC上面沒有

10、添加AP-database，經(jīng)過自動發(fā)現(xiàn)，AC會自動添加與之建立TLS連接的AP的database。,AC自動發(fā)現(xiàn),如果使用三層發(fā)現(xiàn)，在AC的三層發(fā)現(xiàn)ip-list中添加其他AC的無線IP。如果使用二層發(fā)現(xiàn)，將其他AC所屬的vlan id添加到vlan-list中。通過show wireless peer-switch來查看集群中與本機(jī)建立TLS連接的其他AC。,如果AP不能成功上線，如何檢查？,請嘗試檢查：AC和AP之間是否可以

11、ping通，注意AC在ping AP的時候，要以無線IP作為源地址，如果不能ping通，需要檢查AC的路由以及AP的網(wǎng)關(guān)；AC是否正確開啟了自動發(fā)現(xiàn)功能；采用三層發(fā)現(xiàn)時，AP的IP地址是否存在于三層發(fā)現(xiàn)的ip-list中；采用二層發(fā)現(xiàn)時，AP所在的vlan id是否存在于二層發(fā)現(xiàn)的vlan-list中；AP上面是否正確指定了AC的無線IP地址；登錄AP，通過get-managed-ap命令，查看mode一項的值是否為up；在

12、AC上面打開自動發(fā)現(xiàn)的debug wireless discovery packet all來監(jiān)控AC和AP之間的報文交互是否正常。,AP配置下發(fā),瘦AP的配置由管理它的AC通過ap profile下發(fā)。AP上線后，管理AC會自動下發(fā)一次配置。每次更改了AP的配置，都要下發(fā)一次。所有應(yīng)用這個profile的AP都會更新配置。,,AP配置下發(fā),修改ap profile對應(yīng)AP的硬件類型：,AP軟件版本升級,AP軟件升級包括Ub

13、oot升級和image文件升級。Uboot文件需要連接AP的串口，并進(jìn)入AP的uboot模式進(jìn)行升級操作。Image文件通常是在AP處于管理狀態(tài)下，通過其管理AC來對其升級。AC升級AP的image文件兩種方式：手動升級、自動升級。,Uboot升級操作,在AP的串口，通過reboot重啟AP，在AP開始重啟的瞬間按住ctrl+B，進(jìn)入AP的uboot模式。通過setenv指定AP和tftp-Server的IP地址。通過命令tf

14、tp 從tftpServer下載tar格式的uboot文件。注意：必須大于0x300000，且文件不能超過0x2000000，通常我們在命令里面寫300000。通過命令tar_bootloader_update更新uboot文件。執(zhí)行reset重啟AP。,Image文件升級操作,手動升級方式下，集群內(nèi)的AP需要在Controller上面手動觸發(fā)升級。Controller上面需要指定AP下載image文件的tftp路徑：DCWS

15、-6028(config-wireless)#wireless ap download image-type 1 tftp://192.168.1.5/7900R3_0.0.2.7.tarDCWS-6028#wireless ap download start升級完成后，AP會重啟。,Image文件升級操作,自動升級：AC上會存放一個AP的image文件。使能自動升級以后，當(dāng)AP上線時，AC會比較當(dāng)前AP的軟件版本與本地存放的是否一

16、致，如果不一致，就會將本地存放的版本下發(fā)給AP。由AP的直接管理AC進(jìn)行升級。,如果AP升級或者配置下發(fā)失敗怎么辦？,請嘗試檢查：AP是否成功被AC管理？Show　wireless　ap status查看；Ap profile設(shè)置的hwtype是否與AP一致；升級時，AP是否與TFTP Server連通，尤其是AP與Server跨三層的時候是否正確配置了網(wǎng)關(guān)；升級uboot的時候，下載文件的存儲地址是否正確（300000）；

17、AP升級image時，AC上面配置的tftp路徑是否正確；AP升級image時，AC上面配置的image-type是否正確（type==1）。,溫馨提示,客戶端的接入認(rèn)證，如果使用Windows自帶的客戶端，涉及到對無線網(wǎng)卡加密認(rèn)證模式的一些配置。詳細(xì)的配置方法可以參考文檔：《無線網(wǎng)卡配置方法.docx 》，張帆,網(wǎng)絡(luò)SSID配置方法,每個network對應(yīng)一個SSID在network模式下通過ssid 配置網(wǎng)絡(luò)的SSID配置下

18、發(fā)AP后生效。,指定用戶接入的vlan,在network下指定該network所屬的vlan，當(dāng)用戶接入到該network時，就相應(yīng)的屬于network所在的vlan。默認(rèn)所有的network都在vlan 1。Network模式下，通過vlan命令指定vlan，并下發(fā)到AP生效。用戶的數(shù)據(jù)將在相應(yīng)vlan內(nèi)轉(zhuǎn)發(fā)。,客戶端以open方式接入的配置方法,在network模式下，指定security mode為none（此為默認(rèn)配置）

19、配置下發(fā)AP生效?？梢酝ㄟ^show wireless network 來查看。,客戶端以wpa-personal方式接入,Network模式下配置。Security mode設(shè)置為wpa-personal。Wpa version可以設(shè)置為wpa、wpa2以及wpa/wpa2混合模式，默認(rèn)為wpa/wpa2混合模式。設(shè)置客戶端認(rèn)證的密碼wpa key。配置下發(fā)AP生效。,客戶端以wpa-personal方式接入,WPAWP

20、A2WPA/WPA2混合模式（默認(rèn)方式）,Radius認(rèn)證相關(guān)配置,Wpa-enterprise方式需要使用radius認(rèn)證。AC上面radius相關(guān)的配置：配置radius認(rèn)證的服務(wù)器IP地址。配置AC與radius服務(wù)器通信的密鑰。配置radius認(rèn)證的nas ip地址，該地址要填寫無線IP。配置AC發(fā)送radius報文使用的源地址，該地址要填寫無線IP。使能AAA，配置AAA group并關(guān)聯(lián)之前配置的radiu

21、s服務(wù)器。,Radius認(rèn)證相關(guān)配置,Network下wpa-enterprise相關(guān)配置,Network下，security mode設(shè)置為wpa-enterprise。Wpa version設(shè)置為wpa、wpa2或者混合模式。配置radius認(rèn)證服務(wù)器名稱。,Portal認(rèn)證概述,PORTAL在英語中是入口的意思。PORTAL認(rèn)證通常也稱為Web認(rèn)證，一般將PORTAL認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。未認(rèn)證用戶上網(wǎng)時，設(shè)備強(qiáng)制用戶登錄到特

22、定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強(qiáng)制訪問PORTAL認(rèn)證網(wǎng)站，從而開始PORTAL認(rèn)證過程。,Portal功能DCN實現(xiàn),Portal配置（重定向、認(rèn)證、計費(fèi)）,全局使能Portal功能；配置Portal服務(wù)器名稱及地址（重定向URL中的IP）；配置Portal實例并使能；Portal實例

23、下配置認(rèn)證、計費(fèi)服務(wù)器；Portal實例下配置Portal服務(wù)器；Portal實例下配置計費(fèi)和計費(fèi)更新功能；將network關(guān)聯(lián)到Portal實例。DCSM服務(wù)器配置方法請參考相關(guān)的產(chǎn)品培訓(xùn),Portal配置（重定向、認(rèn)證、計費(fèi)）,Portal認(rèn)證使用RADIUS服務(wù)器進(jìn)行認(rèn)證和計費(fèi)。RADIUS服務(wù)器的配置在上一章配置方法的基礎(chǔ)上增加計費(fèi)的相關(guān)配置（紅色標(biāo)識）：,,Portal配置（重定向、認(rèn)證、計費(fèi)）,Portal配置（重定

24、向、認(rèn)證、計費(fèi)）,Portal出現(xiàn)問題怎么辦？,請嘗試檢查：全局及instance是否均使能Portal；Portal服務(wù)器是否配置正確？Portal服務(wù)器是否可達(dá)？RADIUS服務(wù)器是否可達(dá)？客戶端接入的network是否映射到了某個Portal的instance？DCSM服務(wù)器是否配置正確？（尤其是添加無線設(shè)備的時候，設(shè)備的IP是否和AC的無線IP一致？）,數(shù)據(jù)轉(zhuǎn)發(fā)方式,集中式隧道建立,AC和AP或者AC和AC之間建立T

25、LS連接以后，自動會建立集中式隧道。隧道的起點(diǎn)和終點(diǎn)為AC或者AP。此時的隧道并不具有轉(zhuǎn)發(fā)數(shù)據(jù)的功能。%Jan 08 18:49:39 2006 %LINK-3-UPDOWN: Interface capwaptnl2, changed state to administratively UP,集中式隧道配置,向集中式隧道的vlan-list中添加vlan口，相應(yīng)vlan的數(shù)據(jù)就會在集中式隧道內(nèi)轉(zhuǎn)發(fā)。Vlan-list默認(rèn)為空。集中

26、式轉(zhuǎn)發(fā)要求：管理vlan和用戶數(shù)據(jù)vlan分開，管理報文不經(jīng)過隧道轉(zhuǎn)發(fā)。所以管理vlan不能添加到隧道的vlan-list中。為了保證管理報文和隧道報文的正常轉(zhuǎn)發(fā)，可以將AC上面連接隧道的端口設(shè)置為trunk口，native vlan為管理vlan。,集中式隧道配置,集中式隧道環(huán)路避免：如果將AC連接AP或者AC連接AC的端口設(shè)置為trunk口，則：該trunk口的allowed vlan不能包含集中式隧道的tunnel-vlan（

27、即不能含有vlan-list中的vlan）。,集中式隧道配置,本地轉(zhuǎn)發(fā)配置,本地轉(zhuǎn)發(fā)是默認(rèn)的轉(zhuǎn)發(fā)形式，AC上面沒有配置。遵守二/三層轉(zhuǎn)發(fā)的一般規(guī)則。需要注意的是，本地轉(zhuǎn)發(fā)涉及到AP的untagged-vlan與管理vlan的修改。如果沒有特殊需要可以不修改這兩個值，如果需要修改，要保證管理vlan與untagged-vlan一致，否則會導(dǎo)致AP掉線。也可以根據(jù)需要關(guān)閉AP的untagged功能。,本地轉(zhuǎn)發(fā)配置,什么是分布式轉(zhuǎn)發(fā)？,分

28、布式轉(zhuǎn)發(fā)是本地轉(zhuǎn)發(fā)的一種。分布式轉(zhuǎn)發(fā)通過漫游前后的兩個AP之間建立分布式隧道，解決本地轉(zhuǎn)發(fā)的三層漫游問題。三層漫游：漫游前后的兩個AP不在同一網(wǎng)段?？蛻舳嗽谌龑勇螘r要求不能重新獲取地址。,分布式轉(zhuǎn)發(fā)配置,基于network使能分布式隧道。配置下發(fā)AP生效。Home-AP和Assoc-AP均要使能。,射頻管理功能概述,射頻參數(shù)設(shè)置：國家碼、模式、功率、信道等。兩大功能：自動功率調(diào)整、自動信道調(diào)整。,射頻參數(shù)設(shè)置,國家碼設(shè)

29、置Radio的工作模式,射頻參數(shù)設(shè)置,設(shè)置AP的工作信道（需要重啟AP）設(shè)置AP的功率（需要重啟AP）,自動功率調(diào)整說明,兩種方式：手動觸發(fā)、周期性觸發(fā)。自動功率調(diào)整可以通過命令開啟或者關(guān)閉。如果為AP配置了固定的功率，則不能進(jìn)行自動功率調(diào)整。,自動功率調(diào)整配置—手動觸發(fā),自動功率調(diào)整—周期性觸發(fā),設(shè)置功率調(diào)整的模式為周期性觸發(fā)，調(diào)整周期為1小時,自動功率調(diào)整應(yīng)用--黑洞補(bǔ)償,自動功率調(diào)整的應(yīng)用場景如下圖所示，系統(tǒng)中3個

30、AP處于穩(wěn)定運(yùn)行狀態(tài)。這時，中間的AP由于特殊原因，發(fā)生故障，AC和AP之間的TCP連接斷開。這時無線覆蓋范圍出現(xiàn)黑洞，原有覆蓋范圍內(nèi)的client無法工作。,,自動功率調(diào)整應(yīng)用--黑洞補(bǔ)償,無線控制器探測到該AP失敗后，統(tǒng)一根據(jù)系統(tǒng)中的AP射頻信息，對各個AP的發(fā)射功率進(jìn)行調(diào)整，使之達(dá)到最佳的覆蓋范圍。盡量補(bǔ)償原有AP失敗出現(xiàn)的信號黑洞，盡量保證原有client能正常工作。,,自動信道調(diào)整介紹,對于無線局域網(wǎng)，信道是非常稀缺的資源，每

31、個AP 只能夠工作在非常有限的非重疊信道上，比如對于2.4G 網(wǎng)絡(luò)，只有３個非重疊信道。智能地為AP分配信道是無線應(yīng)用的關(guān)鍵。同時，無線局域網(wǎng)工作的頻段存在大量可能的干擾源，如雷達(dá)、微波爐等，它們將干擾AP 的正常工作。通過信道調(diào)整功能，可以保證每個AP 能夠分配到最優(yōu)的信道，盡可能地減少和避免相鄰信道干擾，而且通過實時信道檢測，使AP 實時避開雷達(dá)，微波爐等干擾源。動態(tài)信道調(diào)整能夠?qū)崿F(xiàn)通信的持續(xù)進(jìn)行，為網(wǎng)絡(luò)的可靠傳輸提供保證。,自動信

32、道調(diào)整介紹,自動信道調(diào)整三種觸發(fā)模式：手動觸發(fā)、周期性觸發(fā)和固定時間觸發(fā)。如果為AP設(shè)置了固定的信道，則不能進(jìn)行信道調(diào)整。如果關(guān)閉了自動信道調(diào)整功能，則不能進(jìn)行自動信道調(diào)整。,自動信道調(diào)整配置—手動觸發(fā),自動信道調(diào)整—周期性觸發(fā),設(shè)置調(diào)整周期（6~24h）為8小時，按此周期進(jìn)行自動信道調(diào)整：,自動信道調(diào)整應(yīng)用—新增AP的場景,如下圖所示，系統(tǒng)原有三個AP，分別采用了信道1，6，11。這時，系統(tǒng)在圖中的左下角新增加了一個AP，新增AP

33、初始信道選擇信道1。,,自動信道調(diào)整應(yīng)用—新增AP的場景,經(jīng)過信道調(diào)整，使各個AP的信道達(dá)到最佳的狀態(tài)，減小相互的干擾。,,無線安全簡介,兩大檢測功能：AP威脅檢測、Client威脅檢測。AP威脅檢測包含對11種威脅的檢測：網(wǎng)管設(shè)置的非法AP、非法AP假冒合法的SSID、Beacon幀中Vendor字段不合法、Beacon幀中沒有SSID字段、在錯誤信道接收到managed AP的Beacon幀、Managed AP發(fā)送無效的SSID

34、、AP工作在非法信道、合法的胖AP配置錯誤、Unmanaged AP接入有線網(wǎng)絡(luò)、AP使用了錯誤的安全認(rèn)證方式、AP工作在WDS模式。,無線安全簡介,Client威脅檢測包括對7種威脅的檢測： OUI不合法、Known Client Database判定非法、認(rèn)證請求幀幀泛洪攻擊、探查請求幀泛洪攻擊、解認(rèn)證請求幀泛洪攻擊、認(rèn)證失敗最大次數(shù)超過閾值、合法Client關(guān)聯(lián)未知AP 。威脅檢測的運(yùn)行依靠的是射頻掃描（RF-Scan），由集群