神州數(shù)碼無線控制器及AP配置方法培訓(xùn).ppt

《神州數(shù)碼無線控制器及AP配置方法培訓(xùn).ppt》由會員分享，可在線閱讀，更多相關(guān)《神州數(shù)碼無線控制器及AP配置方法培訓(xùn).ppt（109頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

無線控制器及AP配置方法培訓(xùn) DCN客戶服務(wù)中心 主要內(nèi)容 無線網(wǎng)絡(luò)基本結(jié)構(gòu) 無線控制器基本配置模式及AP常規(guī)配置 無線控制器無線功能開啟與關(guān)閉 無線集群的建立 AP配置管理 客戶端接入認(rèn)證配置 Portal認(rèn)證配置 數(shù)據(jù)轉(zhuǎn)發(fā)功能配置 射頻管理功能配置 無線安全功能配置 主要內(nèi)容 無線控制器基本配置模式 約定 無線控制器 即AC DCWS 6028有線無線智能一體化控制器AP 瘦AP 由AC進(jìn)行控制和管理 無線控制器上標(biāo)識AP及客戶端的依據(jù)是MAC地址 無線控制器基本配置模式 無線全局配置模式APdatabase配置模式APprofile配置模式Radio配置模式 無線控制器基本配置模式 VAP配置模式Network配置模式CaptivePortal配置模式CaptivePortal實(shí)例配置模式 AP常規(guī)配置項(xiàng) AP常規(guī)配置項(xiàng) AP常規(guī)配置項(xiàng) AP上面設(shè)置網(wǎng)關(guān) 查看路由表和ARP表 AP恢復(fù)出廠配置 or 無線控制器無線功能開啟與關(guān)閉 無線功能正常開啟的條件 AC上面有合法的用于無線模塊的IP地址 無線IP地址來源 只能來源于AC上面loopback接口或者UP的三層接口的IP地址 無線IP地址配置方式 靜態(tài)指定 動態(tài)選取 動態(tài)選取的IP優(yōu)先級高于靜態(tài)指定的IP 動態(tài)選取IP的原則 優(yōu)先選擇接口ID小的loopback接口的地址 不存在loopback接口時優(yōu)先選擇接口ID小的三層接口的IP地址 無線控制器無線功能開啟與關(guān)閉 靜態(tài)指定無線IP地址時無線功能的開啟 設(shè)置靜態(tài)的無線IP地址關(guān)閉無線地址的自動選擇功能通過enable使能無線功能 無線控制器無線功能開啟與關(guān)閉 無線控制器無線功能開啟與關(guān)閉 通過showwireless命令來查看無線功能開啟情況 主要查看最前面的幾行信息 無線控制器無線功能開啟與關(guān)閉 動態(tài)選取無線IP時無線功能的開啟 打開自動選擇無線IP的功能 此功能默認(rèn)是打開的 如果之前使用了靜態(tài)配置的方式 則需要重新打開 通過enable使能無線功能 無線控制器無線功能開啟與關(guān)閉 AC上面存在如下的接口 在動態(tài)選取的情況下 接口loopback1的IP地址1 1 1 1會成為無線IP地址 無線控制器無線功能開啟與關(guān)閉 無線控制器無線功能開啟與關(guān)閉 無線功能的關(guān)閉 無線全局配置模式下通過noenable命令關(guān)閉無線功能 如果無線功能開啟失敗 如何檢查呢 可能的原因 AC上面沒有l(wèi)oopback接口或者up的三層接口 Loopback接口或者up的三層接口沒有配置IP地址 靜態(tài)配置的無線地址不是本機(jī)存在的loopback接口或者up的三層接口的IP地址 關(guān)閉了自動選取 但是沒有配置靜態(tài)IP 集群的建立 集群是WLAN運(yùn)行的基礎(chǔ) 多臺無線控制器之間建立TLS連接 各個無線控制器與其所管理的AP建立TLS連接 進(jìn)而構(gòu)成了整個無線的集群 集群會選舉一臺AC為Controller 單臺無線控制器和若干臺AP可以構(gòu)成最簡單的集群 集群建立的過程就是AC AC間 AC AP之間建立TLS連接的過程 TLS連接的建立是通過自動發(fā)現(xiàn)來完成的 自動發(fā)現(xiàn)概述 自動發(fā)現(xiàn)方式 三層IP發(fā)現(xiàn) 二層廣播發(fā)現(xiàn) 兩種方式均通過發(fā)送discovery報文進(jìn)行 整個自動發(fā)現(xiàn)的交互過程要求兩個設(shè)備之間三層可達(dá) 三層發(fā)現(xiàn)的discovery報文可以跨越多個網(wǎng)段 二層廣播發(fā)現(xiàn)discovery報文僅在同一個VLAN內(nèi)轉(zhuǎn)發(fā) 自動發(fā)現(xiàn)包括AP自動發(fā)現(xiàn)和AC自動發(fā)現(xiàn) 方式基本相同 略有區(qū)別 自動發(fā)現(xiàn)概述 三層自動發(fā)現(xiàn)列表ip list max256 二層廣播自動發(fā)現(xiàn)vlan列表 max16 自動發(fā)現(xiàn)概述 打開 關(guān)閉自動發(fā)現(xiàn)功能 默認(rèn)兩種自動發(fā)現(xiàn)是打開的 可以通過no命令關(guān)閉 自動發(fā)現(xiàn)概述 AP自動發(fā)現(xiàn) 通過AP自動發(fā)現(xiàn) 可以使AP被某個AC管理 兩種模式 AC主動發(fā)現(xiàn)AP AP處于被動發(fā)現(xiàn)狀態(tài)AP主動發(fā)現(xiàn)AC 即在AP上面指定AC的IP地址 模式一 AC主動發(fā)現(xiàn)AP 在AC添加AP的database 即AP的mac地址 如果使用三層發(fā)現(xiàn) 則把AP的IP地址添加到ip list 如果使用二層發(fā)現(xiàn) 則把AP所在的vlanid添加到vlan list 模式一 AC主動發(fā)現(xiàn)AP 模式二 AP主動發(fā)現(xiàn)AC AP上面添加靜態(tài)的AC的無線地址 最多4個 AC上面查看AP的管理狀態(tài) AP自動注冊 AC上面可以設(shè)置AP上線時的認(rèn)證模式為none 此時如果AC上面沒有添加AP database 經(jīng)過自動發(fā)現(xiàn) AC會自動添加與之建立TLS連接的AP的database AC自動發(fā)現(xiàn) 如果使用三層發(fā)現(xiàn) 在AC的三層發(fā)現(xiàn)ip list中添加其他AC的無線IP 如果使用二層發(fā)現(xiàn) 將其他AC所屬的vlanid添加到vlan list中 通過showwirelesspeer switch來查看集群中與本機(jī)建立TLS連接的其他AC 如果AP不能成功上線 如何檢查 請嘗試檢查 AC和AP之間是否可以ping通 注意AC在pingAP的時候 要以無線IP作為源地址 如果不能ping通 需要檢查AC的路由以及AP的網(wǎng)關(guān) AC是否正確開啟了自動發(fā)現(xiàn)功能 采用三層發(fā)現(xiàn)時 AP的IP地址是否存在于三層發(fā)現(xiàn)的ip list中 采用二層發(fā)現(xiàn)時 AP所在的vlanid是否存在于二層發(fā)現(xiàn)的vlan list中 AP上面是否正確指定了AC的無線IP地址 登錄AP 通過get managed ap命令 查看mode一項(xiàng)的值是否為up 在AC上面打開自動發(fā)現(xiàn)的debugwirelessdiscoverypacketall來監(jiān)控AC和AP之間的報文交互是否正常 AP配置下發(fā) 瘦AP的配置由管理它的AC通過approfile下發(fā) AP上線后 管理AC會自動下發(fā)一次配置 每次更改了AP的配置 都要下發(fā)一次 所有應(yīng)用這個profile的AP都會更新配置 AP配置下發(fā) 修改approfile對應(yīng)AP的硬件類型 AP軟件版本升級 AP軟件升級包括Uboot升級和image文件升級 Uboot文件需要連接AP的串口 并進(jìn)入AP的uboot模式進(jìn)行升級操作 Image文件通常是在AP處于管理狀態(tài)下 通過其管理AC來對其升級 AC升級AP的image文件兩種方式 手動升級 自動升級 Uboot升級操作 在AP的串口 通過reboot重啟AP 在AP開始重啟的瞬間按住ctrl B 進(jìn)入AP的uboot模式 通過setenv指定AP和tftp Server的IP地址 通過命令tftp從tftpServer下載tar格式的uboot文件 注意 必須大于0 x300000 且文件不能超過0 x2000000 通常我們在命令里面寫300000 通過命令tar bootloader update更新uboot文件 執(zhí)行reset重啟AP Image文件升級操作 手動升級方式下 集群內(nèi)的AP需要在Controller上面手動觸發(fā)升級 Controller上面需要指定AP下載image文件的tftp路徑 DCWS 6028 config wireless wirelessapdownloadimage type1tftp 192 168 1 5 7900R3 0 0 2 7 tarDCWS 6028 wirelessapdownloadstart升級完成后 AP會重啟 Image文件升級操作 自動升級 AC上會存放一個AP的image文件 使能自動升級以后 當(dāng)AP上線時 AC會比較當(dāng)前AP的軟件版本與本地存放的是否一致 如果不一致 就會將本地存放的版本下發(fā)給AP 由AP的直接管理AC進(jìn)行升級 如果AP升級或者配置下發(fā)失敗怎么辦 請嘗試檢查 AP是否成功被AC管理 Showwirelessapstatus查看 Approfile設(shè)置的hwtype是否與AP一致 升級時 AP是否與TFTPServer連通 尤其是AP與Server跨三層的時候是否正確配置了網(wǎng)關(guān) 升級uboot的時候 下載文件的存儲地址是否正確 300000 AP升級image時 AC上面配置的tftp路徑是否正確 AP升級image時 AC上面配置的image type是否正確 type 1 溫馨提示 客戶端的接入認(rèn)證 如果使用Windows自帶的客戶端 涉及到對無線網(wǎng)卡加密認(rèn)證模式的一些配置 詳細(xì)的配置方法可以參考文檔 無線網(wǎng)卡配置方法 docx 張帆 網(wǎng)絡(luò)SSID配置方法 每個network對應(yīng)一個SSID在network模式下通過ssid配置網(wǎng)絡(luò)的SSID配置下發(fā)AP后生效 指定用戶接入的vlan 在network下指定該network所屬的vlan 當(dāng)用戶接入到該network時 就相應(yīng)的屬于network所在的vlan 默認(rèn)所有的network都在vlan1 Network模式下 通過vlan命令指定vlan 并下發(fā)到AP生效 用戶的數(shù)據(jù)將在相應(yīng)vlan內(nèi)轉(zhuǎn)發(fā) 客戶端以open方式接入的配置方法 在network模式下 指定securitymode為none 此為默認(rèn)配置 配置下發(fā)AP生效 可以通過showwirelessnetwork來查看 客戶端以wpa personal方式接入 Network模式下配置 Securitymode設(shè)置為wpa personal Wpaversion可以設(shè)置為wpa wpa2以及wpa wpa2混合模式 默認(rèn)為wpa wpa2混合模式 設(shè)置客戶端認(rèn)證的密碼wpakey 配置下發(fā)AP生效 客戶端以wpa personal方式接入 WPAWPA2WPA WPA2混合模式 默認(rèn)方式 Radius認(rèn)證相關(guān)配置 Wpa enterprise方式需要使用radius認(rèn)證 AC上面radius相關(guān)的配置 配置radius認(rèn)證的服務(wù)器IP地址 配置AC與radius服務(wù)器通信的密鑰 配置radius認(rèn)證的nasip地址 該地址要填寫無線IP 配置AC發(fā)送radius報文使用的源地址 該地址要填寫無線IP 使能AAA 配置AAAgroup并關(guān)聯(lián)之前配置的radius服務(wù)器 Radius認(rèn)證相關(guān)配置 Network下wpa enterprise相關(guān)配置 Network下 securitymode設(shè)置為wpa enterprise Wpaversion設(shè)置為wpa wpa2或者混合模式 配置radius認(rèn)證服務(wù)器名稱 Portal認(rèn)證概述 PORTAL在英語中是入口的意思 PORTAL認(rèn)證通常也稱為Web認(rèn)證 一般將PORTAL認(rèn)證網(wǎng)站稱為門戶網(wǎng)站 未認(rèn)證用戶上網(wǎng)時 設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn) 用戶可以免費(fèi)訪問其中的服務(wù) 當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時 必須在門戶網(wǎng)站進(jìn)行認(rèn)證 只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源 如果用戶試圖通過HTTP訪問其他外網(wǎng) 將被強(qiáng)制訪問PORTAL認(rèn)證網(wǎng)站 從而開始PORTAL認(rèn)證過程 Portal功能DCN實(shí)現(xiàn) Portal配置 重定向 認(rèn)證 計(jì)費(fèi) 全局使能Portal功能 配置Portal服務(wù)器名稱及地址 重定向URL中的IP 配置Portal實(shí)例并使能 Portal實(shí)例下配置認(rèn)證 計(jì)費(fèi)服務(wù)器 Portal實(shí)例下配置Portal服務(wù)器 Portal實(shí)例下配置計(jì)費(fèi)和計(jì)費(fèi)更新功能 將network關(guān)聯(lián)到Portal實(shí)例 DCSM服務(wù)器配置方法請參考相關(guān)的產(chǎn)品培訓(xùn) Portal配置 重定向 認(rèn)證 計(jì)費(fèi) Portal認(rèn)證使用RADIUS服務(wù)器進(jìn)行認(rèn)證和計(jì)費(fèi) RADIUS服務(wù)器的配置在上一章配置方法的基礎(chǔ)上增加計(jì)費(fèi)的相關(guān)配置 紅色標(biāo)識 Portal配置 重定向 認(rèn)證 計(jì)費(fèi) Portal配置 重定向 認(rèn)證 計(jì)費(fèi) Portal出現(xiàn)問題怎么辦 請嘗試檢查 全局及instance是否均使能Portal Portal服務(wù)器是否配置正確 Portal服務(wù)器是否可達(dá) RADIUS服務(wù)器是否可達(dá) 客戶端接入的network是否映射到了某個Portal的instance DCSM服務(wù)器是否配置正確 尤其是添加無線設(shè)備的時候 設(shè)備的IP是否和AC的無線IP一致 數(shù)據(jù)轉(zhuǎn)發(fā)方式 集中式隧道建立 AC和AP或者AC和AC之間建立TLS連接以后 自動會建立集中式隧道 隧道的起點(diǎn)和終點(diǎn)為AC或者AP 此時的隧道并不具有轉(zhuǎn)發(fā)數(shù)據(jù)的功能 Jan0818 49 392006 LINK 3 UPDOWN Interfacecapwaptnl2 changedstatetoadministrativelyUP 集中式隧道配置 向集中式隧道的vlan list中添加vlan口 相應(yīng)vlan的數(shù)據(jù)就會在集中式隧道內(nèi)轉(zhuǎn)發(fā) Vlan list默認(rèn)為空 集中式轉(zhuǎn)發(fā)要求 管理vlan和用戶數(shù)據(jù)vlan分開 管理報文不經(jīng)過隧道轉(zhuǎn)發(fā) 所以管理vlan不能添加到隧道的vlan list中 為了保證管理報文和隧道報文的正常轉(zhuǎn)發(fā) 可以將AC上面連接隧道的端口設(shè)置為trunk口 nativevlan為管理vlan 集中式隧道配置 集中式隧道環(huán)路避免 如果將AC連接AP或者AC連接AC的端口設(shè)置為trunk口 則 該trunk口的allowedvlan不能包含集中式隧道的tunnel vlan 即不能含有vlan list中的vlan 集中式隧道配置 本地轉(zhuǎn)發(fā)配置 本地轉(zhuǎn)發(fā)是默認(rèn)的轉(zhuǎn)發(fā)形式 AC上面沒有配置 遵守二 三層轉(zhuǎn)發(fā)的一般規(guī)則 需要注意的是 本地轉(zhuǎn)發(fā)涉及到AP的untagged vlan與管理vlan的修改 如果沒有特殊需要可以不修改這兩個值 如果需要修改 要保證管理vlan與untagged vlan一致 否則會導(dǎo)致AP掉線 也可以根據(jù)需要關(guān)閉AP的untagged功能 本地轉(zhuǎn)發(fā)配置 什么是分布式轉(zhuǎn)發(fā) 分布式轉(zhuǎn)發(fā)是本地轉(zhuǎn)發(fā)的一種 分布式轉(zhuǎn)發(fā)通過漫游前后的兩個AP之間建立分布式隧道 解決本地轉(zhuǎn)發(fā)的三層漫游問題 三層漫游 漫游前后的兩個AP不在同一網(wǎng)段 客戶端在三層漫游時要求不能重新獲取地址 分布式轉(zhuǎn)發(fā)配置 基于network使能分布式隧道 配置下發(fā)AP生效 Home AP和Assoc AP均要使能 射頻管理功能概述 射頻參數(shù)設(shè)置 國家碼 模式 功率 信道等 兩大功能 自動功率調(diào)整 自動信道調(diào)整 射頻參數(shù)設(shè)置 國家碼設(shè)置Radio的工作模式 射頻參數(shù)設(shè)置 設(shè)置AP的工作信道 需要重啟AP 設(shè)置AP的功率 需要重啟AP 自動功率調(diào)整說明 兩種方式 手動觸發(fā) 周期性觸發(fā) 自動功率調(diào)整可以通過命令開啟或者關(guān)閉 如果為AP配置了固定的功率 則不能進(jìn)行自動功率調(diào)整 自動功率調(diào)整配置 手動觸發(fā) 自動功率調(diào)整 周期性觸發(fā) 設(shè)置功率調(diào)整的模式為周期性觸發(fā) 調(diào)整周期為1小時 自動功率調(diào)整應(yīng)用 黑洞補(bǔ)償 自動功率調(diào)整的應(yīng)用場景如下圖所示 系統(tǒng)中3個AP處于穩(wěn)定運(yùn)行狀態(tài) 這時 中間的AP由于特殊原因 發(fā)生故障 AC和AP之間的TCP連接斷開 這時無線覆蓋范圍出現(xiàn)黑洞 原有覆蓋范圍內(nèi)的client無法工作 自動功率調(diào)整應(yīng)用 黑洞補(bǔ)償 無線控制器探測到該AP失敗后 統(tǒng)一根據(jù)系統(tǒng)中的AP射頻信息 對各個AP的發(fā)射功率進(jìn)行調(diào)整 使之達(dá)到最佳的覆蓋范圍 盡量補(bǔ)償原有AP失敗出現(xiàn)的信號黑洞 盡量保證原有client能正常工作 自動信道調(diào)整介紹 對于無線局域網(wǎng) 信道是非常稀缺的資源 每個AP只能夠工作在非常有限的非重疊信道上 比如對于2 4G網(wǎng)絡(luò) 只有 個非重疊信道 智能地為AP分配信道是無線應(yīng)用的關(guān)鍵 同時 無線局域網(wǎng)工作的頻段存在大量可能的干擾源 如雷達(dá) 微波爐等 它們將干擾AP的正常工作 通過信道調(diào)整功能 可以保證每個AP能夠分配到最優(yōu)的信道 盡可能地減少和避免相鄰信道干擾 而且通過實(shí)時信道檢測 使AP實(shí)時避開雷達(dá) 微波爐等干擾源 動態(tài)信道調(diào)整能夠?qū)崿F(xiàn)通信的持續(xù)進(jìn)行 為網(wǎng)絡(luò)的可靠傳輸提供保證 自動信道調(diào)整介紹 自動信道調(diào)整三種觸發(fā)模式 手動觸發(fā) 周期性觸發(fā)和固定時間觸發(fā) 如果為AP設(shè)置了固定的信道 則不能進(jìn)行信道調(diào)整 如果關(guān)閉了自動信道調(diào)整功能 則不能進(jìn)行自動信道調(diào)整 自動信道調(diào)整配置 手動觸發(fā) 自動信道調(diào)整 周期性觸發(fā) 設(shè)置調(diào)整周期 6 24h 為8小時 按此周期進(jìn)行自動信道調(diào)整 自動信道調(diào)整應(yīng)用 新增AP的場景 如下圖所示 系統(tǒng)原有三個AP 分別采用了信道1 6 11 這時 系統(tǒng)在圖中的左下角新增加了一個AP 新增AP初始信道選擇信道1 自動信道調(diào)整應(yīng)用 新增AP的場景 經(jīng)過信道調(diào)整 使各個AP的信道達(dá)到最佳的狀態(tài) 減小相互的干擾 無線安全簡介 兩大檢測功能 AP威脅檢測 Client威脅檢測 AP威脅檢測包含對11種威脅的檢測 網(wǎng)管設(shè)置的非法AP 非法AP假冒合法的SSID Beacon幀中Vendor字段不合法 Beacon幀中沒有SSID字段 在錯誤信道接收到managedAP的Beacon幀 ManagedAP發(fā)送無效的SSID AP工作在非法信道 合法的胖AP配置錯誤 UnmanagedAP接入有線網(wǎng)絡(luò) AP使用了錯誤的安全認(rèn)證方式 AP工作在WDS模式 無線安全簡介 Client威脅檢測包括對7種威脅的檢測 OUI不合法 KnownClientDatabase判定非法 認(rèn)證請求幀幀泛洪攻擊 探查請求幀泛洪攻擊 解認(rèn)證請求幀泛洪攻擊 認(rèn)證失敗最大次數(shù)超過閾值 合法Client關(guān)聯(lián)未知AP 威脅檢測的運(yùn)行依靠的是射頻掃描 RF Scan 由集群的Controller進(jìn)行決策 配置操作在Controller上面進(jìn)行 并下發(fā)AP生效 AP威脅檢測配置 AP威脅檢測默認(rèn)情況 AP威脅檢測配置 Client威脅檢測配置 Client威脅檢測默認(rèn)情況 Client威脅檢測配置 謝謝