神州數(shù)碼無線控制器及AP配置方法培訓.ppt

《神州數(shù)碼無線控制器及AP配置方法培訓.ppt》由會員分享，可在線閱讀，更多相關《神州數(shù)碼無線控制器及AP配置方法培訓.ppt（109頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,,無線控制器及AP配置方法培訓,DCN客戶服務中心,主要內容,無線網(wǎng)絡基本結構,無線控制器基本配置模式及AP常規(guī)配置,無線控制器無線功能開啟與關閉,無線集群的建立,AP配置管理,客戶端接入認證配置,Portal認證配置,數(shù)據(jù)轉發(fā)功能配置,射頻管理功能配置,無線安全功能配置,主要內容,無線控制器基本配置模式,約定： 無線控制器：即AC， DCWS-6028有線無線智能一體化控制器 AP：瘦AP，由AC進行控制和管理。 無線控制器上標識AP及客戶端的依據(jù)是MAC地址。,無線控制器基本配置模式,無線全局配置模式 AP database配置模式 AP profile配置模式 Radio配置模式,無線

2、控制器基本配置模式,VAP配置模式 Network配置模式 Captive Portal配置模式 Captive Portal實例配置模式,AP常規(guī)配置項,AP常規(guī)配置項,AP常規(guī)配置項,AP上面設置網(wǎng)關，查看路由表和ARP表： AP恢復出廠配置： or,無線控制器無線功能開啟與關閉,無線功能正常開啟的條件：AC上面有合法的用于無線模塊的IP地址。 無線IP地址來源：只能來源于AC上面loopback接口或者UP的三層接口的IP地址。 無線IP地址配置方式：靜態(tài)指定、動態(tài)選取。動態(tài)選取的IP優(yōu)先級高于靜態(tài)指定的IP。 動態(tài)選取IP的原則：優(yōu)先選擇接口ID小的loopb

3、ack接口的地址；不存在loopback接口時優(yōu)先選擇接口ID小的三層接口的IP地址。,無線控制器無線功能開啟與關閉,靜態(tài)指定無線IP地址時無線功能的開啟： 設置靜態(tài)的無線IP地址 關閉無線地址的自動選擇功能 通過enable使能無線功能,無線控制器無線功能開啟與關閉,無線控制器無線功能開啟與關閉,通過show wireless命令來查看無線功能開啟情況，主要查看最前面的幾行信息：,無線控制器無線功能開啟與關閉,動態(tài)選取無線IP時無線功能的開啟： 打開自動選擇無線IP的功能（此功能默認是打開的，如果之前使用了靜態(tài)配置的方式，則需要重新打開） 通過enable使能無線功能,無線控制器無線功能開啟

4、與關閉,AC上面存在如下的接口： 在動態(tài)選取的情況下，接口loopback 1的IP地址1.1.1.1會成為無線IP地址。,無線控制器無線功能開啟與關閉,無線控制器無線功能開啟與關閉,無線功能的關閉： 無線全局配置模式下通過no enable命令關閉無線功能。,如果無線功能開啟失敗，如何檢查呢？,可能的原因： AC上面沒有l(wèi)oopback接口或者up的三層接口； Loopback接口或者up的三層接口沒有配置IP地址； 靜態(tài)配置的無線地址不是本機存在的loopback接口或者up的三層接口的IP地址； 關閉了自動選取，但是沒有配置靜態(tài)IP。,集群的建立,集群是WLAN運行的基礎。 多臺無線控

5、制器之間建立TLS連接，各個無線控制器與其所管理的AP建立TLS連接，進而構成了整個無線的集群。集群會選舉一臺AC為Controller。 單臺無線控制器和若干臺AP可以構成最簡單的集群。 集群建立的過程就是AC-AC間、AC-AP之間建立TLS連接的過程。 TLS連接的建立是通過自動發(fā)現(xiàn)來完成的。,自動發(fā)現(xiàn)概述,自動發(fā)現(xiàn)方式：三層IP發(fā)現(xiàn)、二層廣播發(fā)現(xiàn)。 兩種方式均通過發(fā)送discovery報文進行，整個自動發(fā)現(xiàn)的交互過程要求兩個設備之間三層可達。 三層發(fā)現(xiàn)的discovery報文可以跨越多個網(wǎng)段，二層廣播發(fā)現(xiàn)discovery報文僅在同一個VLAN內轉發(fā)。 自動發(fā)現(xiàn)包括AP自動發(fā)現(xiàn)和AC自

6、動發(fā)現(xiàn)，方式基本相同，略有區(qū)別。,自動發(fā)現(xiàn)概述,三層自動發(fā)現(xiàn)列表ip-list（max 256）： 二層廣播自動發(fā)現(xiàn)vlan列表（max 16）：,自動發(fā)現(xiàn)概述,打開/關閉自動發(fā)現(xiàn)功能：默認兩種自動發(fā)現(xiàn)是打開的，可以通過no命令關閉。,自動發(fā)現(xiàn)概述,AP自動發(fā)現(xiàn),通過AP自動發(fā)現(xiàn)，可以使AP被某個AC管理。 兩種模式： AC主動發(fā)現(xiàn)AP，AP處于被動發(fā)現(xiàn)狀態(tài) AP主動發(fā)現(xiàn)AC，即在AP上面指定AC的IP地址。,模式一：AC主動發(fā)現(xiàn)AP,在AC添加AP的database，即AP的mac地址。 如果使用三層發(fā)現(xiàn)，則把AP的IP地址添加到ip-list。 如果使用二層發(fā)現(xiàn)，則把AP所在的vlan i

7、d添加到vlan-list。,模式一：AC主動發(fā)現(xiàn)AP,模式二：AP主動發(fā)現(xiàn)AC,AP上面添加靜態(tài)的AC的無線地址，最多4個。,,AC上面查看AP的管理狀態(tài),,AP自動注冊,AC上面可以設置AP上線時的認證模式為none，此時如果AC上面沒有添加AP-database，經(jīng)過自動發(fā)現(xiàn)，AC會自動添加與之建立TLS連接的AP的database。,AC自動發(fā)現(xiàn),如果使用三層發(fā)現(xiàn)，在AC的三層發(fā)現(xiàn)ip-list中添加其他AC的無線IP。 如果使用二層發(fā)現(xiàn)，將其他AC所屬的vlan id添加到vlan-list中。 通過show wireless peer-switch來查看集群中與本機建立TLS連接的

8、其他AC。,如果AP不能成功上線，如何檢查？,請嘗試檢查： AC和AP之間是否可以ping通，注意AC在ping AP的時候，要以無線IP作為源地址，如果不能ping通，需要檢查AC的路由以及AP的網(wǎng)關； AC是否正確開啟了自動發(fā)現(xiàn)功能； 采用三層發(fā)現(xiàn)時，AP的IP地址是否存在于三層發(fā)現(xiàn)的ip-list中； 采用二層發(fā)現(xiàn)時，AP所在的vlan id是否存在于二層發(fā)現(xiàn)的vlan-list中； AP上面是否正確指定了AC的無線IP地址； 登錄AP，通過get-managed-ap命令，查看mode一項的值是否為up； 在AC上面打開自動發(fā)現(xiàn)的debug wireless discovery pac

9、ket all來監(jiān)控AC和AP之間的報文交互是否正常。,AP配置下發(fā),瘦AP的配置由管理它的AC通過ap profile下發(fā)。 AP上線后，管理AC會自動下發(fā)一次配置。 每次更改了AP的配置，都要下發(fā)一次。所有應用這個profile的AP都會更新配置。,,AP配置下發(fā),修改ap profile對應AP的硬件類型：,AP軟件版本升級,AP軟件升級包括Uboot升級和image文件升級。 Uboot文件需要連接AP的串口，并進入AP的uboot模式進行升級操作。 Image文件通常是在AP處于管理狀態(tài)下，通過其管理AC來對其升級。 AC升級AP的image文件兩種方式：手動升級、自動升級。,Ub

10、oot升級操作,在AP的串口，通過reboot重啟AP，在AP開始重啟的瞬間按住ctrl+B，進入AP的uboot模式。 通過setenv指定AP和tftp-Server的IP地址。 通過命令tftp 從tftpServer下載tar格式的uboot文件。注意：必須大于0 x300000，且文件不能超過0 x2000000，通常我們在命令里面寫300000。 通過命令tar_bootloader_update更新uboot文件。 執(zhí)行reset重啟AP。,Image文件升級操作,手動升級方式下，集群內的AP需要在Controller上面手動觸發(fā)升級。 Controller上面需要指定AP下載i

11、mage文件的tftp路徑： DCWS-6028(config-wireless)#wireless ap download image-type 1 tftp://192.168.1.5/7900R3_0.0.2.7.tar DCWS-6028#wireless ap download start 升級完成后，AP會重啟。,Image文件升級操作,自動升級：AC上會存放一個AP的image文件。使能自動升級以后，當AP上線時，AC會比較當前AP的軟件版本與本地存放的是否一致，如果不一致，就會將本地存放的版本下發(fā)給AP。 由AP的直接管理AC進行升級。,如果AP升級或者配置下發(fā)失敗怎么辦？,請

12、嘗試檢查： AP是否成功被AC管理？Showwirelessap status查看； Ap profile設置的hwtype是否與AP一致； 升級時，AP是否與TFTP Server連通，尤其是AP與Server跨三層的時候是否正確配置了網(wǎng)關； 升級uboot的時候，下載文件的存儲地址是否正確（300000）； AP升級image時，AC上面配置的tftp路徑是否正確； AP升級image時，AC上面配置的image-type是否正確（type==1）。,溫馨提示,客戶端的接入認證，如果使用Windows自帶的客戶端，涉及到對無線網(wǎng)卡加密認證模式的一些配置。詳細的配置方法可以參考文檔： 無線網(wǎng)

13、卡配置方法.docx ，張帆,網(wǎng)絡SSID配置方法,每個network對應一個SSID 在network模式下通過ssid 配置網(wǎng)絡的SSID 配置下發(fā)AP后生效。,指定用戶接入的vlan,在network下指定該network所屬的vlan，當用戶接入到該network時，就相應的屬于network所在的vlan。 默認所有的network都在vlan 1。 Network模式下，通過vlan命令指定vlan，并下發(fā)到AP生效。 用戶的數(shù)據(jù)將在相應vlan內轉發(fā)。,客戶端以open方式接入的配置方法,在network模式下，指定security mode為none（此為默認配置） 配置下發(fā)A

14、P生效。 可以通過show wireless network 來查看。,客戶端以wpa-personal方式接入,Network模式下配置。 Security mode設置為wpa-personal。 Wpa version可以設置為wpa、wpa2以及wpa/wpa2混合模式，默認為wpa/wpa2混合模式。 設置客戶端認證的密碼wpa key。 配置下發(fā)AP生效。,客戶端以wpa-personal方式接入,WPA WPA2 WPA/WPA2混合模式（默認方式）,Radius認證相關配置,Wpa-enterprise方式需要使用radius認證。 AC上面radius相關的配置： 配置rad

15、ius認證的服務器IP地址。 配置AC與radius服務器通信的密鑰。 配置radius認證的nas ip地址，該地址要填寫無線IP。 配置AC發(fā)送radius報文使用的源地址，該地址要填寫無線IP。 使能AAA，配置AAA group并關聯(lián)之前配置的radius服務器。,Radius認證相關配置,Network下wpa-enterprise相關配置,Network下，security mode設置為wpa-enterprise。 Wpa version設置為wpa、wpa2或者混合模式。 配置radius認證服務器名稱。,Portal認證概述,PORTAL在英語中是入口的意思。PORTAL認

16、證通常也稱為Web認證，一般將PORTAL認證網(wǎng)站稱為門戶網(wǎng)站。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。 如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強制訪問PORTAL認證網(wǎng)站，從而開始PORTAL認證過程。,Portal功能DCN實現(xiàn),Portal配置（重定向、認證、計費）,全局使能Portal功能； 配置Portal服務器名稱及地址（重定向URL中的IP）； 配置Portal實例并使能； Portal實例下配置認證、計費服務器； Portal實例下配置Porta

17、l服務器； Portal實例下配置計費和計費更新功能； 將network關聯(lián)到Portal實例。 DCSM服務器配置方法請參考相關的產(chǎn)品培訓,Portal配置（重定向、認證、計費）,Portal認證使用RADIUS服務器進行認證和計費。RADIUS服務器的配置在上一章配置方法的基礎上增加計費的相關配置（紅色標識）：,,Portal配置（重定向、認證、計費）,Portal配置（重定向、認證、計費）,Portal出現(xiàn)問題怎么辦？,請嘗試檢查： 全局及instance是否均使能Portal； Portal服務器是否配置正確？ Portal服務器是否可達？ RADIUS服務器是否可達？ 客戶端接入的n

18、etwork是否映射到了某個Portal的instance？ DCSM服務器是否配置正確？（尤其是添加無線設備的時候，設備的IP是否和AC的無線IP一致？）,數(shù)據(jù)轉發(fā)方式,集中式隧道建立,AC和AP或者AC和AC之間建立TLS連接以后，自動會建立集中式隧道。隧道的起點和終點為AC或者AP。此時的隧道并不具有轉發(fā)數(shù)據(jù)的功能。 %Jan 08 18:49:39 2006 %LINK-3-UPDOWN: Interface capwaptnl2, changed state to administratively UP,集中式隧道配置,向集中式隧道的vlan-list中添加vlan口，相應vlan的

19、數(shù)據(jù)就會在集中式隧道內轉發(fā)。Vlan-list默認為空。 集中式轉發(fā)要求：管理vlan和用戶數(shù)據(jù)vlan分開，管理報文不經(jīng)過隧道轉發(fā)。所以管理vlan不能添加到隧道的vlan-list中。 為了保證管理報文和隧道報文的正常轉發(fā)，可以將AC上面連接隧道的端口設置為trunk口，native vlan為管理vlan。,集中式隧道配置,集中式隧道環(huán)路避免： 如果將AC連接AP或者AC連接AC的端口設置為trunk口，則：該trunk口的allowed vlan不能包含集中式隧道的tunnel-vlan（即不能含有vlan-list中的vlan）。,集中式隧道配置,本地轉發(fā)配置,本地轉發(fā)是默認的轉發(fā)形

20、式，AC上面沒有配置。遵守二/三層轉發(fā)的一般規(guī)則。 需要注意的是，本地轉發(fā)涉及到AP的untagged-vlan與管理vlan的修改。如果沒有特殊需要可以不修改這兩個值，如果需要修改，要保證管理vlan與untagged-vlan一致，否則會導致AP掉線。 也可以根據(jù)需要關閉AP的untagged功能。,本地轉發(fā)配置,什么是分布式轉發(fā)？,分布式轉發(fā)是本地轉發(fā)的一種。 分布式轉發(fā)通過漫游前后的兩個AP之間建立分布式隧道，解決本地轉發(fā)的三層漫游問題。 三層漫游：漫游前后的兩個AP不在同一網(wǎng)段。 客戶端在三層漫游時要求不能重新獲取地址。,分布式轉發(fā)配置,基于network使能分布式隧道。 配置下發(fā)A

21、P生效。Home-AP和Assoc-AP均要使能。,射頻管理功能概述,射頻參數(shù)設置：國家碼、模式、功率、信道等。 兩大功能：自動功率調整、自動信道調整。,射頻參數(shù)設置,國家碼 設置Radio的工作模式,射頻參數(shù)設置,設置AP的工作信道（需要重啟AP） 設置AP的功率（需要重啟AP）,自動功率調整說明,兩種方式：手動觸發(fā)、周期性觸發(fā)。 自動功率調整可以通過命令開啟或者關閉。 如果為AP配置了固定的功率，則不能進行自動功率調整。,自動功率調整配置手動觸發(fā),自動功率調整周期性觸發(fā),設置功率調整的模式為周期性觸發(fā)，調整周期為1小時,自動功率調整應用--黑洞補償,自動功率調整的應用場景如下圖所示，系統(tǒng)

22、中3個AP處于穩(wěn)定運行狀態(tài)。這時，中間的AP由于特殊原因，發(fā)生故障，AC和AP之間的TCP連接斷開。這時無線覆蓋范圍出現(xiàn)黑洞，原有覆蓋范圍內的client無法工作。,,自動功率調整應用--黑洞補償,無線控制器探測到該AP失敗后，統(tǒng)一根據(jù)系統(tǒng)中的AP射頻信息，對各個AP的發(fā)射功率進行調整，使之達到最佳的覆蓋范圍。盡量補償原有AP失敗出現(xiàn)的信號黑洞，盡量保證原有client能正常工作。,,自動信道調整介紹,對于無線局域網(wǎng)，信道是非常稀缺的資源，每個AP 只能夠工作在非常有限的非重疊信道上，比如對于2.4G 網(wǎng)絡，只有個非重疊信道。智能地為AP分配信道是無線應用的關鍵。同時，無線局域網(wǎng)工作的頻段存在

23、大量可能的干擾源，如雷達、微波爐等，它們將干擾AP 的正常工作。通過信道調整功能，可以保證每個AP 能夠分配到最優(yōu)的信道，盡可能地減少和避免相鄰信道干擾，而且通過實時信道檢測，使AP 實時避開雷達，微波爐等干擾源。動態(tài)信道調整能夠實現(xiàn)通信的持續(xù)進行，為網(wǎng)絡的可靠傳輸提供保證。,自動信道調整介紹,自動信道調整三種觸發(fā)模式：手動觸發(fā)、周期性觸發(fā)和固定時間觸發(fā)。 如果為AP設置了固定的信道，則不能進行信道調整。 如果關閉了自動信道調整功能，則不能進行自動信道調整。,自動信道調整配置手動觸發(fā),自動信道調整周期性觸發(fā),設置調整周期（624h）為8小時，按此周期進行自動信道調整：,自動信道調整應用新增AP

24、的場景,如下圖所示，系統(tǒng)原有三個AP，分別采用了信道1，6，11。這時，系統(tǒng)在圖中的左下角新增加了一個AP，新增AP初始信道選擇信道1。,,自動信道調整應用新增AP的場景,經(jīng)過信道調整，使各個AP的信道達到最佳的狀態(tài)，減小相互的干擾。,,無線安全簡介,兩大檢測功能：AP威脅檢測、Client威脅檢測。 AP威脅檢測包含對11種威脅的檢測：網(wǎng)管設置的非法AP、非法AP假冒合法的SSID、Beacon幀中Vendor字段不合法、Beacon幀中沒有SSID字段、在錯誤信道接收到managed AP的Beacon幀、Managed AP發(fā)送無效的SSID、AP工作在非法信道、合法的胖AP配置錯誤、U

25、nmanaged AP接入有線網(wǎng)絡、AP使用了錯誤的安全認證方式、AP工作在WDS模式。,無線安全簡介,Client威脅檢測包括對7種威脅的檢測： OUI不合法、Known Client Database判定非法、認證請求幀幀泛洪攻擊、探查請求幀泛洪攻擊、解認證請求幀泛洪攻擊、認證失敗最大次數(shù)超過閾值、合法Client關聯(lián)未知AP 。 威脅檢測的運行依靠的是射頻掃描（RF-Scan），由集群的Controller進行決策。 配置操作在Controller上面進行，并下發(fā)AP生效。,AP威脅檢測配置,AP威脅檢測默認情況：,AP威脅檢測配置,Client威脅檢測配置,Client威脅檢測默認情況：,Client威脅檢測配置,謝謝！,