网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
{{sendMatomoQuery("网络控制器NAC","灾备策略配置指导")}}

灾备策略配置指导

更新时间:2024-07-02

1功能简介

1.1应用场景

现今无线覆盖方案越来越受企业办公采用,企业级无线的灾备方案也被企业重视,无线网络灾备在一定程度上可以避免无线终端断网导致公司业务受影响;因此,当NAC、网络环境、出现灾难性故障时,用户仍可以正常使用无线网络(灾备状态),提高了无线网络的应急方式,满足了客户对于无线网络的稳定性和健壮性要求、从而最大化的提高企业办公的效率。

1.2适用版本

NAC3.13.0

1.3配置思路

1、设置应急SSID

2、设置灾备策略域

3、设置无线网络灾备调用的策略和模式。

2注意事项

2.1业务影响范围

配置灾备功能不会影响当前业务,但是灾备的vlan和角色没有设置正确会导致AP离线后释放的信号无法访问互联网。

2.2配置注意事项

如果是AP远程部署场景,灾备应急VLAN需要分支有相应DHCP服务器且必须保证APDHCP服务所在设备的网络能正常通讯。如果是本地部署的AP,控制器宕机导致AP离线,需要APDHCP服务器所在设备网络通信正常。且无线网络转发模式必须为本地转发。

3配置步骤

3.1灾备场景

1、NAC宕机:场景一般是NAC旁挂核心,没有做双机冗余,当NAC宕机情况发生时,NAC会启用灾备ssid,以保证终端设备仍然能正常接入无线wifi,此时的wifi将变为灾备模式的wifi。

2、NAC与AP隧道断开:场景一般是远程激活AP上线后或内网控制器和AP隧道异常,导致NAC和AP的隧道断开,当NAC与AP隧道断开的情况发生时,NAC会启用灾备ssid,以保证终端设备仍然能正常接入无线wifi,此时的wifi将变为灾备模式的wifi。

    3、认证服务器灾备:场景一般是对接短信认证或微信认证第三方平台,由于第三方平台异常导致无线终端验证异常,当认证服务器异常情况发生时,NAC会启用灾备ssid,以保证终端设备仍然能正常接入无线wifi,此时的wifi将变为灾备模式的wifi。

3.2灾备基本概念

1、灾备策略域

设置AP进入灾备范围和灾备促发条件,此处可选的促发条件为接入点隧道断开。

默认有一条策略,为AP根组范围,不可更改,可以设置所有的AP掉线或单个AP掉线后,进入灾备模式。

匹配策略的规则是优先匹配新增的策略,且每个组只能在一个策略一种,如果没有匹配到新增策略则匹配默认策略。

企业微信截图_17166274886069

2、无线网络灾备

设置哪些SSID能够有灾备模式,以及进入灾备的条件和策略。包括灾备策略、应急SSID、应急VLAN和应急角色。其中应急VLAN和应急角色,可以采用灾备策略域上的默认VLAN和角色,也可以根据原有SSID设置一个与其匹配的VLAN和角色。

企业微信截图_17166849821257

企业微信截图_17166853424880

3、应急SSID

全局选项可以设置应急无线网络,支持PSK个人和开放式认证

企业微信截图_17166855934155

企业微信截图_17166856191646

4、应急vlan和应急角色

当SSID进入灾备模式后,根据SSID认证类型不同有以下应急VLAN、应急角色设置:

PSK认证,可以调用灾备策略上的应急VLAN也可以指定应急VLAN,但是只能以应急角色上线。

开放式认证、企业级认证,可以调用灾备策略域上的应急VLAN和应急角色,也可以指定应急VLAN和应急角色。

注意:应急ssid生效后,会强制变成本地转发,此时本地需要有dhcp服务给无线用户下发地址。

企业微信截图_17166866826888

5、灾备后状态

由于网络故障,NAC与AP隧道断开,AP仍可以提供无线网络(灾备状态)供给,防止隧道断开AP掉线造成业务中断,此时的wifi将变为灾备模式的wifi,AP将独立进行新用户的接入和认证。

在多AP同时部署的同一个地理环境下,单个AP隧道断开是没有必要进入灾备模式的,因此可以选择性的设置策略。单个AP断开隧道进入灾备,或者某个AP组所有的隧道断开才进入灾备模式。

企业微信截图_17166868702956

6、灾备后恢复

灾备后恢复,可以选择强制踢掉用户,要求所有用户重新认证。或者等用户下次接入网络时自动转换角色。建议启用灾备恢复后踢掉用户,要求用户重新认证,提高网络安全性。

企业微信截图_17166873696156

3.3灾备策略配置步骤

1、设置应急SSID

设置对应SSID名称:TEST,密码为12345678

企业微信截图_17166165967856

2、设置灾备策略域

设置默认灾备策略域:设置AP组范围内,只要其中的AP有一个离线,就进入到灾备模式。

          企业微信截图_17166167609292

3、设置无线网络灾备调用的策略和模式

企业微信截图_17166175487886

4效果演示

AP和控制器之间的通信断开时,灾备应急SSID生效

                          企业微信截图_17166881849467

5常见问题

1、灾备应急VLAN需要有相应DHCP服务器且必须保证网络能正常通讯。

2、如果灾备的应急VLAN配置错误或不合理,会导致终端无法正常获取到IP地址。

3、应急VLAN,会强制所有的AP上采用这一个VLAN;如果原有SSID在不同AP组下有不同的VLAN,此时需要特别设置一个应急VLAN,确保应急VLAN能正常使用。

4、控制器的部署应该为旁挂模式,确保控制器宕机或控制器网络出错时,AP本地转发时上网链路正常。

5、灾备延迟时间,需要大于30秒。

企业微信截图_17166886098622

6、当无线灾备启用且为企业认证时,应急无线网络启用不保留原ssid

企业微信截图_17166886892510