用户网络是复杂跨三层的网络环境,购买NAC设备以单臂部署在3层交换机上,实现对内网的所有无线AP进行集中管控和认证,通常部署WLAN时,部署的AP个数会非常多,下面部署案例中,都只以2-3个AP作为范例表示。图中,NAC以单臂模式部署在客户网络3层交换机上,3层交换机是内网PC的网关,如下图所示:
网络环境:三层交换机eth0口:192.168.1.1/24,eth1口:172.16.1.1/24,eth2:10.0.0.1/24,FW:lan口10.0.0.2/24,NAC:172.16.1.254/24
第一步:通过管理口(ETH0)的默认IP登录设备。管理口的默认IP是10.252.252.252/24,在电脑上配置一个相同网段的IP地址,通过https://10.252.252.252登录设备。
第二步:配置NAC可以上网,通过『网络管理』→『接口管理』,点击需要设置成外网接口的接口,如eth1,出现以下页面:
配置eth1接口IP地址为:172.16.1.254/24
第三步:配置NAC,让NAC可以正常上网,到【网络管理】-【网络配置】处添加8个0的静态路由
第四步:在NAC上配置HOSTS,并启用DNS代理,当AP获取解析到的默认域名www.wlanadmin.com 为NAC的IP地址时,AP会自动发现NAC。在【系统管理】-【系统配置】-【HOSTS】这里配置NAC的IP地址172.16.1.254的主机名为:www.wlanadmin.com。并在【网络管理】-【网络配置】-【DNS】配置DNS地址,并且启用DNS代理。
需要在3层交换机启用DHCP,并且对配置分发的DNS服务器为NAC的LAN口IP地址:172.16.1.254。
第五步:激活AP,当AP第一次部署在网络中时,默认会通过DHCP请求获取IP地址,会生成默认网关,并且获取到DNS。这是AP会默认请求域名www.wlanadmin.com,会向解析到的IP发起连接协议,这里NAC上就可以在【接入点管理】-【接入点】-【发现新接入点】处激活AP。(因环境原因,截图中的IP地址应该为192.168.199.104/24网段的IP地址)
激活AP时,选择AP的所属于组为“默认组”,网络地址配置为:自动获取,填写发现控制器IP。
第六步:新增无线网络“sundray_test”并选择该网络匹配的AP组为默认组,以及设置该无线网络的认证方式。数据转发模式选择为“本地转发模式”。设置频段选择“所有”。
认证类型选择为:“WPA-PSK/WPA2-PSK+ Web认证”,并设置接入密钥为“support1”。
终端验证不启用,设置用户认证为“本地用户”方式,允许登录的用户组为所有。
VLAN配置和角色分配这个案例默认就可以了,暂时不需要配置。
第八步:新增本地用户,当无线终端接入WEB认证时,需要输入本地用户名和密码才可以正常上网。
