网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 接入点管理 多场景AP激活配置指导
{{sendMatomoQuery("网络控制器NAC","多场景AP激活配置指导")}}

多场景AP激活配置指导

更新时间:2024-07-01

1功能简介

1.1应用场景

本文介绍AP在不同环境下激活到控制器的方法,用户可以选择符合项目网络环境的方式进行激活AP

1.2适用版本

NAC3.13.0

1.3配置思路

控制器发现AP是其他配置的前提,不同场景的发现AP思路不同,第三章介绍不同场景下的发现AP配置和思路。此处不过多赘述。

2注意事项

2.1业务影响范围

NAC上发现激活AP不会影响当前业务。

2.2配置注意事项

1、激活AP前需要确定AP的型号和当前控制器版本是否兼容,如不兼容会导致AP处于离线状态。

2、低版本控制器可以通过升级纳管更多新硬件型号的AP

3配置步骤

3.1同二层激活

AP与NAC在同二层的情况下,NAC可以直接发现AP

3.1.1网络拓扑

如图所示,核心交换机开启了DHCP服务,网关在核心交换机,NAC旁挂核心交换机,固定IP地址,接入到核心交换机中间都透传了对应VLAN

3.1.2激活操作

1、二层情况下,AP可以在【接入点配置】-【接入点】-【发现新接入点】,即可发现同二层的AP。

企业微信截图_17155978001408

2、勾选AP后点击激活,选择对应的分组,固定发现控制器IP地址,设置上联口IP地址,如图1、2、3为设置时需要注意的配置,其余配置可保持默认,注意:若扫描发现时AP没有获取到地址,可能会导致AP激活后无法获取地址同步控制器版本,因此这个网段若没有DHCP,可以激活时设置图中3处为控制器同网段固定IP。

企业微信截图_17154080507282

3.2跨三层激活-troubshoot指定控制器地址

APNAC跨三层情况下,在NAC发现新接入点中无法发现新接入点,此时需要通过给AP指定发现控制器IP的方式进行激活,使用电脑安装AP诊断工具(troubshoot),即可通过电脑扫描到AP,给AP固定发现控制器地址

3.2.1网络拓扑

如图,AP处于vlan2,控制器属于vlan1,此时可以电脑接入到POE交换机,进行激活操作。

3.2.2激活操作

1、登陆信锐官网https://www.sundray.com.cn/,在图中路径下下载工具到电脑。

企业微信截图_17153340962775

1715334129247

2、电脑安装winpcap 4.1.3版本,电脑解压诊断AP诊断工具到桌面,双击打开AP诊断工具,选择有线网卡,进行扫描

1715334409048

3、扫描到AP后,点击开始配置,输入密码,初始密码是admin,若之前在其他控制器激活过,需要添加之前激活的NAC的web登陆密码,若忘记密码,可以重置AP后进行设置

1715334589070

4、设置接口参数,若此网段有DHCP,可以选择自动获取,若无DHCP分发,需要手动固定地址。

             1715334694282

5、固定发现控制器IP地址,注意此处填写的发现控制器IP应为AP的自身IP能访问的IP地址,可以在命令行ping测试后填写

企业微信截图_17158389962927

企业微信截图_17158388047544

6、完成上述配置后,即可提交保存,然后登陆控制器WEB页面,按照3.1.2小节进行激活操作,注意:使用诊断工具固定的发现控制器地址在断电后配置会丢失,需要在控制器激活上线后才可断电后不丢失配置。

IMG_256

企业微信截图_17155978001408

3.3跨三层激活-DNS代理

DNS代理方式激活主要使用在AP能自动获取地址,并且AP数量比较大,不方便通过诊断工具固定的情况。

3.3.1网络拓扑

如图,核心交换机开启了DHCP,此时AP分布在各个楼层接入交换机,AP从核心获取地址,可以将DHCP分发的DNS地址指向NAC地址。在AP激活上线后,可以将DNS地址修改为正常使用的DNS地址,以保证网段正常上网使用。

3.3.2激活操作

1、控制器开启DNS代理功能,在【系统管理】-【网络管理】-【网络配置】-【DNS】,开启DNS代理

1715335392431

2、填写控制器HOST文件,在【系统管理】-【系统配置】-【HOSTS】,添加主机名与IP地址,将www.sangforwlanac.com, www.wlanadmin.com两个域名设置解析IP为控制器地址

企业微信截图_17153897381807

3、设置DHCP服务器的DNS地址为控制器IP地址,此图中以安视交换机DHCP设置为例

企业微信截图_17154160458411

4、按照以上方法设置后,AP获取地址后,AP默认会向DNS地址请求解析www.wlanadmin.com/www.sangforwlanac.com两个默认域名,AP根据DNS请求返回的值单播一个目的端口为UDP 7777的发现报文给控制器,收到回复的AP此时已经发现了控制器,控制器上也相应发现了这个新的接入点,随后可以按照3.1.2方式进行激活操作。注意:控制器做好DNS代理后,要测试下他的TCP53号口,确保端口是可用的

3.4跨三层激活-option 43字段

此激活方式适用场景与DNS代理方式类似,当AP数量比较大,不方便通过诊断工具固定的情况时,可以通过在DHCP服务器下发option 43字段的方式进行下发控制器发现IP。

3.4.1网络拓扑

如图,核心交换机开启DHCP,分发地址的同时,可以配置option 43字段,来让AP获取发现控制器地址

3.4.2常见option 43字段设置方法

3.4.2.1信锐交换机设置option 43

以胖模式交换机为例,设置DHCP地址池时,设置option 43字段

企业微信截图_17154166003163

3.4.2.2Microsoft DHCP Server设置option 43

1、为使AP能够正常识别Option 43属性的内容,Option 43属性需要按照一定的规则来填写:比如AC的IP地址为192.168.22.1时,需要填写的值为 030C3139322E3136382E32322E31。其中,03为固定值,代表Option 43的子选项类型十六进制数0C(“0C”等于十进制数“12”)代表AC的IP地址192.168.22.1的长度包含小数点“.”;十六进制数31对应字符“1”的ASCII值,32对应字符 “2”的ASCII值,依此类推,十六进制2E对应字符小数点“.”的ASCII值,即值 3139322E3136382E32322E31表示AC的IP地址192.168.22.1。

另外,对于涉及到多个AC,Option 43要填写多个IP地址的情形(比如AC 双链路备 份组网等),IP地址之间以逗号“,”间隔,逗号“,”对应的ASCII值为2C,如主备 AC的IP地址分别为:192.168.100.2,192.168.100.3,那Option 43属性应该填写为:031B3139322E3136382E3130302E322C3139322E3136382E3130302E33 。其中,03为固定值,代表Option 43的子选项类型;十六进制1B(“1B”等于十进制数“27”) 表示两个IP地址字符的个数,包含中间间隔的逗号“,”和小数点“.”,十六进制 数31对应字符“1”的ASCII值,32对应字符“2”的ASCII值,依此类推。十六进制 数2E对应字符小数点“.”的ASCII值,十六进制2C对应字符逗号“,”的ASCII 值,即值3139322E3136382E3130302E322C3139322E3136382E3130302E33表示AC 的IP地址192.168.100.2,192.168.100.3。

2、打开Windows server 2003的DHCP Server选项,右键点击“服务器选项”,打开 “配置选项”。在打开的“服务器选项”窗口中勾选“043 供应商特定信息”,如下图

企业微信截图_17153898939761

3、在打开的“服务器选项”窗口下边“二进制”一栏中填入AC的地址,填写的规则 参考Microsoft DHCP Server中Option 43选项的填写规则。例如,AC的地址为 192.168.22.1,需要填写的值为030C3139322E3136382E32322E31

企业微信截图_17153901851312

3.4.2.3Linux DHCP Server

当内网DHCP服务器是linux 服务器时,可以参照如下设置

1、在Liunx系统的DHCP服务器中配置Option 43,Option 43字段要按照十六进制ASCII来填 写,并且用冒号“:”隔开。

以AC的IP地址为192.168.22.1为例,对应的Option 43字段应该填写为:03:0C: 31:39:32:2E:31:36:38:2E:32:32:2E:31。其中,03为固定值,代表子选项类型;十六进制数0C(“0C”等于十进制数“12”)代表IP地址192.168.22.1的长度包含小数点“.”;十六进制数31对应“1”的ACCII值,32对应“2”的ASCII值,以此类 推,十六进制数2E对应小数点“.”的ASCII值,即值31:39:32:2E:31:36:38:2E: 32:32:2E:31表示AC的IP地址192.168.22.1。

对于涉及到多个AC,Option要填写多个IP地址的情形,IP地址要以逗号“,”间 隔,逗号“,”对应的ASCII值为2C。比如两个AC的IP地址分别为192.168.100.2和 192.168.100.3,则对应的Option 43字段为03:1B:31:39:32:2E:31:36:38:2E:31:30:30:2E:32:2C:31:39:32:2E:31:36:38:2E:31:30:30:2E:33。其中,03为固定值,代表子选项类型;十六进制数1B(“1B”等于十进制数“27”)代表两个IP地址的长度,包含小数点“.”和逗号“,”;十六进制数31对应“1”的ACCII值,32对应 “2”的ASCII值,以此类推,十六进制数2E对应小数点“.”的ASCII值,十六进制 数2C对应逗号“,”的ASCII值,即值31:39:32:2E:31:36:38:2E:31:30:30:2E:32:2C: 31:39:32:2E:31:36:38:2E:31:30:30:2E:33表述AC的IP地址192.168.100.2,192.168.100.3。

2、登录Linux系统并安装DHCP Server。

# 安装DHCP Server。

yast -i dhcp dhcp-server

# 进入/etc/sysconfig目录下打开dhcpd文件,修改配置,设置DHCP Interface为端口 eth0。

DHCP_INTERFACE = "eth0" DHCPD_RUN_CHROOTED = "yes"

3、配置地址池,使其可以为AP分配IP地址,同时配置Option 43,使AP能够获得AC的IP 地址。假定AP的地址为192.168.100.0/24,网关为192.168.100.1,AC的地址为 192.168.22.1。

# 进入/etc目录,打开dhcpd.conf文件,进行如下配置。

option serverip code 43 = string;

subnet 192.168.100.0 netmask 255.255.255.0 {

range  192.168.100.2 192.168.100.254;

option routers 192.168.100.1;

option subnet-mask 255.255.255.0;

option serverip 03:0C:31:39:32:2E:31:36:38:2E:32:32:2E:31;

}

3.4.2.4HuaWei OS DHCP Server

1、当Huawei设备,如交换机、路由器、AC等作为DHCP服务器时,同样需要配置Option 43。在Microsoft DHCP Server上的Option 43字段填写规则同样适用于Huawei设备,参考 Microsoft DHCP Server中Option 43选项的填写规则。另外,在Huawei设备的命令行配置 视图中,还可以采用下面的规则来进行Option 43的配置:同样以AC的IP地址为192.168.22.1为例,

配置命令为option 43 sub-option 3 hex 3139322E3136382E32322E31

或者命令option 43 sub-option 3 ascii 192.168.22.1。

其中,sub-option 3为固定值,代表子选项类型hex 3139322E3136382E32322E31与ascii 192.168.22.1分别是AC址192.168.22.1的HEX格式和ASCII格式

对于涉及到多个AC,Option要填写多个IP地址的情形,IP地址同样要以“,”间 隔,逗号“,”对应的ASCII值为2C。比如两个AC的IP地址分别为192.168.22.1和 192.168.22.2,则DHCP服务器上的配置命令为option 43 sub-option 3 hex 3139322E3136382E3130302E322C3139322E3136382E3130302E33或者option 43 sub-option 3 ascii 192.168.22.1,192.168.22.2。

2、当Huawei设备的DHCP服务器地址池为全局地址池时,执行下列步骤:

连接Huawei设备并进入命令配置视图;使能DHCP Server功能,并配置地址池,使其可以为AP分配IP地址。

<Quidway> systerm-view

[Quidway] dhcp enable

[Quidway] ip pool huawei

[Quidway-ip-pool-huawei] network 192.168.100.0 255.255.255.0

[Quidway-ip-pool-huawei] gateway-list 192.168.100.1

配置Option 43,使AP能够获得AC的IP地址。假设AC的IP地址为10.10.10.1。

[Quidway-ip-pool-huawei] option 43 sub-option 3 hex 31302E31302E31302E31

说明:还可以执行命令option 43 hex 030A31302E31302E31302E31或者option 43 sub-option 3 ascii 10.10.10.1来完成Option 43的配置。

3.4.3激活操作

配置option 43字段后,AP从DHCP服务器获取到IP地址的同时也获取到了Option 43字段的值,AP根据Option 43的值单播一个目的端口为UDP 7777的发现报文给控制器,AP根据Option 43的值单播一个目的端口为UDP 7777的发现报文给控制器

在控制器发现新接入点发现AP后,即可按照3.1.2方式进行激活AP。

3.5webagent激活

webagent适用于如果外网线路是PPPOE拨号或自动获取的,使用WebAgent可以实时获取改变的外网IP。

WebAgent实际上是动态域名解析,是将用户的动态公网IP地址映射到一个固定的域名上,用户每次连接网络的时候,客户端程序就会通过WebAgent信息把该主机侧的公网 IP地址传送给位于服务商主机上的服务器程序,服务程序负责提供DNS服务并实现动态域名解析。终端通过解析指定的域名即可实时获取到主机侧的公网IP地址。

3.5.1WebAgent原理介绍

1、无线控制器上配置开通好的WebAgent域名地址,由控制器主动访问公网WebAgent服务器;

2、公网WebAgent服务器接收到控制器发送的信息,并记录发送信息的源IP地址,即控制器侧公网IP地址;

3、AP或用户端发起请求解析控制器上配置的相同的WebAgent域名以获取控制器侧的公网IP地址;

4、公网WebAgent服务器返回控制器侧的公网IP地址;

5、AP或用户端通过解析到的公网IP地址找到控制器。

3.5.2获取WebAgent

联系信锐售后服务热线400-878-3389,告知详细的使用场景来申请WebAgent(免费),如AP远程部署、控制器公网访问、集中管理、VPN。

3.5.3WebAgent激活操作

使用WebAgent场景主要是远程跨公网部署场景,控制器如果是直接连接外网线设置pppoe拨号,则直接配置WebAgent功能;如控制器不是直接部署在出口,则需要在直接连接外网线的出口设备上对控制器做远程部署时需要的端口映射(TCP 800、7070,UDP 5246、5247、7077、7777,端口映射后不变)

1、控制器上配置WebAgent功能【系统管理】-【系统配置】中点击启用WebAgent,将申请到的WebAgent域名填入,并设置连接密码,该密码自定义,测试连通性返回成功。

企业微信截图_17153904479269

2、端口映射,控制器做出口设备连接外网线时略过此步骤;控制器非出口设备时,需要在出口设备做远程部署时需要的端口映射

3、访问信锐官网https://www.sundray.com.cn/,在图中路径下下载工具到电脑。

企业微信截图_17153340962775

4、电脑安装winpcap 4.1.3版本,电脑解压诊断AP诊断工具到桌面,双击打开AP诊断工具,选择有线网卡,进行扫描

1715334409048

5、扫描到AP后,点击开始配置,输入密码,初始密码是admin,若之前在其他控制器激活过,需要添加之前激活的NAC的web登陆密码,若忘记密码,可以重置AP后进行设置

1715334589070

6、设置接口参数,若此网段有DHCP,可以选择自动获取,若无DHCP分发,需要手动固定地址。注意:使用webaget场景主要是远程部署场景,所以此处给AP分发的地址或手动固定的地址要求能够访问公网地址

                       1715334694282

7、固定AP发现控制器域名

   IMG_256企业微信截图_17153909734976

8、确保AP能访问到配置的dns服务器IP地址并能上外网后,登录控制器,在控制器【接入点管理】-【接入点】-【发现新接入点】中即可发现该AP,勾选AP激活,配置发现控制器域名为WebAgent域名,分配所属组后点击确定即可。

企业微信截图_17155989135316

3.6云发现激活

3.7.9.7版本及之后的版本增加了云发现激活功能

3.6.1云发现激活原理

1、控制器将AP/交换机的SN、MAC地址、控制器IP地址上报给云平台。

2、AP/交换机获取地址,可以访问公网时,就会去云平台查询是否有和自己相关的配置信息,如果有则读取控制器IP地址。

3、AP/交换机通过获取到的控制器IP地址去寻找控制器并上线。

如果给AP/交换机配置了错误的发现控制器IP,只需要在控制器上修改发现控制器IP地址,AP/交换机在访问云服务器时会更新发现控制器IP地址,从而保证AP/交换机实时在线。

3.6.2激活操作

1、平台配置云发现接入点

企业微信截图_1715409549578

2、开启控制器信锐云服务,在【系统管理】-【服务管理】-【信锐云】登陆账号,如无账号可以进行手机号注册。

企业微信截图_17155982546975

3、设置云发现AP参数,其中MAC地址和SN地址为必填项目,设置云发现接入点的名称、分组,上联口配置,要求配置后AP仍然能正常上网

企业微信截图_17154105271517

4、给AP分配能够上网的地址,AP即可自动向公网信锐云上报自身的MAC地址与SN,读取信锐云的配置后即可向控制器发起连接。注意:此时若控制器不是作为公网出口,则需要在直接连接外网线的出口设备上对控制器做远程部署时需要的端口映射(TCP 800、7070,UDP 5246、5247、7077、7777,端口映射后不变)

4效果演示

3章节已展示发现接入点和激活效果。此章不过多赘述。

5常见问题

1、第三章红色字体为配置过程注意事项,此处不过多赘述。

2、只有在APNAC处于同二层环境下,控制器NAC才能自动发现AP,三层跨网段不会自动发现,需要第三章介绍的方法手动干预。

3、如果在激活AP时,AP没有自动获取到IP地址,激活后会呈现离线或待修复状态,可以手动固定AP的地址解决。