网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
{{sendMatomoQuery("网络控制器NAC","案例集")}}

案例集

更新时间:2023-12-11

1设备部署配置案例

1.1部署案例

用户网络是复杂跨三层的网络环境,购买NAC设备以单臂部署在3层交换机上,实现对内网的所有无线AP进行集中管控和认证,通常部署WLAN时,部署的AP个数会非常多,下面部署案例中,都只以2-3AP作为范例表示。图中,NAC以单臂模式部署在客户网络3层交换机上,3层交换机是内网PC的网关,如下图所示:

网络环境:三层交换机eth0口:192.168.1.1/24,eth1口:172.16.1.1/24eth2:10.0.0.1/24FWlan10.0.0.2/24NAC172.16.1.254/24

第一步:通过管理口(ETH0)的默认IP登录设备。管理口的默认IP10.252.252.252/24,在电脑上配置一个相同网段的IP地址,通过https://10.252.252.252登录设备。

第二步:配置NAC可以上网,通过『网络管理』『接口管理』,点击需要设置成外网接口的接口,如eth1,出现以下页面:

配置eth1接口IP地址为:172.16.1.254/24

第三步:配置NAC,让NAC可以正常上网,到【网络管理】-【网络配置】处添加80的静态路由

第四步:在NAC上配置HOSTS,并启用DNS代理,当AP获取解析到的默认域名www.wlanadmin.com NACIP地址时,AP会自动发现NAC。在【系统管理】-【系统配置】-HOSTS】这里配置NACIP地址172.16.1.254的主机名为:www.wlanadmin.com。并在【网络管理】-【网络配置】-DNS】配置DNS地址,并且启用DNS代理。

需要在3层交换机启用DHCP,并且对配置分发的DNS服务器为NACLANIP地址:172.16.1.254

第五步:激活AP,当AP第一次部署在网络中时,默认会通过DHCP请求获取IP地址,会生成默认网关,并且获取到DNS。这是AP会默认请求域名www.wlanadmin.com,会向解析到的IP发起连接协议,这里NAC上就可以在【接入点管理】-【接入点】-【发现新接入点】处激活AP。(因环境原因,截图中的IP地址应该为192.168.199.104/24网段的IP地址)

激活AP时,选择AP的所属于组为“默认组”,网络地址配置为:自动获取,填写发现控制器IP

第六步:新增无线网络“sundray_test”并选择该网络匹配的AP组为默认组,以及设置该无线网络的认证方式。数据转发模式选择为“本地转发模式”。设置频段选择“所有”。

认证类型选择为:“WPA-PSK/WPA2-PSK+ Web认证”,并设置接入密钥为“support1”。

终端验证不启用,设置用户认证为“本地用户”方式,允许登录的用户组为所有。

VLAN配置和角色分配这个案例默认就可以了,暂时不需要配置。

第八步:新增本地用户,当无线终端接入WEB认证时,需要输入本地用户名和密码才可以正常上网。