目录
一、实验所实现的内容 (1)
二、实验网络拓扑图 (1)
三、实验步骤 (2)
3.1 交换机配置 (2)
3.2 MSM 760控制器设置 (2)
3.2.1恢复出厂设置 (2)
3.2.2 控制器MSM 760初始化配置 (3)
3.3受控AP MSM 320 发现设置 (8)
3.4 集中式流量转发VSC设置 (10)
3.4.1创建VLAN (10)
3.4.2创建VSC (11)
3.4.3 设置Internet port (13)
3.4.4 创建认证用户 (13)
3.4.5 VSC binding (14)
3.4.6 测试认证情况 (15)
3.5 分布式流量转发VSC设置 (16)
3.5.1 使用WPA方式认证的设置 (16)
3.5.2 使用WEP方式认证的设置 (21)
3.6 两台多服务控制器冗余设置 (24)
一、实验所实现的内容
通过控制器MSM760来实现本网段和跨网段受控AP 的管理和控制,同
时使用MSM 710多服务控制器进行冗余备份。分别对无线客户端进行集中式流量转发和分布式流量转发,集中式流量转发的SSID 使用内置DHCP 服务器分发相应地址,分布式流量转发的SSID 使用外置的DHCP 服务器分发对应地址。
二、实验网络拓扑图
获取地址
LAN
LAN
MSM 317
MSM 710
INTERNET
三、实验步骤
3.1 交换机配置
在交换机上配置好VLAN 1,VLAN 100,VLAN 200,并配置好相应的IP地址。在VLAN 100中标记端口C1、C2、C3、C4,在VLAN 200中标记端口C2,C3。并在VLAN 200做好DHCP中继,DHCP服务器地址为192.168.1.10。
3.2 MSM 760控制器设置
3.2.1恢复出厂设置
无线控制器MSM 760恢复出厂的方法有两种:通过WEB页面登录到管理界面,在“Maintenance” “Config file management”,然后找到“Reset Configuration”,点击“Reset”,即可恢复出厂设置;在控制器MSM 760启动的过程中,通过console 线恢复出厂设置。
如果不能通过WEB界面恢复出厂设置的话,可以通过console线,连接到MSM 760控制器,然后将MSM 760重新启动(注意在这个过程中,不要按任何键,直到出现 LILO 22.1 boot后),然后再这里输入“linux factory”,即可恢复出厂设置。
如果不想恢复出厂设置,请输入linux,启动MSM 760控制器。
重启完成后,出现“127.0.0.1 login:”标示启动完成,可以通过用户名admin、密码admin进行登录。
3.2.2 控制器MSM 760初始化配置
在浏览器中输入http://192.168.1.1,访问控制器MSM760。默认用户名为admin,默认密码为admin。登陆界面如下:
点击登录后,会弹出下面界面,点击接受协议即可。
然后会显示要求我们注册的界面,如果你已经注册就不会弹出。我们这里选择稍后再注册。
然后选择产品使用的国家,这里选择“CHINA”,点击“Save”保存设置。
接下来,将会提示你,要求你更改控制器的用户名和密码。要更改的话,请输入用户名和密码,点击Save保存;不更改的话,选择Cancel即可。
然后到了MSM 710默认界面,这里显示了系统相关信息。
首先,更改LAN port端口的IP地址,选中左边的“Service Controller”,然后在右边选择“Network”-->“Ports”,显示如下,点击“LAN ports”进行设置。
在Addressing里,设置MSM 710的IP地址,这里设置为192.168.1.5。
接下来,选择为DHCP server,点击“Configure”进行配置。
在Addresses中,设置DHCP起始地址,以及默认网关,还可以设置域的名字,地址释放的时间以及手动设置IP地址绑定等。这里设置地址范围为192.168.1.2—192.168.1.253,默认网关为192.168.1.1。响应来自LAN port和Client data tunnel的DHCP请求。设置完成后,点击“Save”进行保存。这里使用的是控制器自带的DHCP服务,也可以使用其他DHCP服务器。
保存后回到一下页面,也选择保持即可。
然后将已经恢复到受控模式的AP(这里是MSM 317)接入到与控制器在同一个VLAN的端口上,AP将从控制器中,获得IP地址,并且开始与控制器建立连接关系。
开始上传配置文件,上传完毕后就可以使用了,正常的情况下,显示的是绿色的,正常发现的过程中,显示的是黑色的,黄色的标示的是配置不同步。
为了确保MSM 760能够正常发现跨网段的受控AP,必须确保MSM 760能与交换机上其他网段能进行通信,所以必须添加相应的路由。在这里添加一条到192.168.200.0/24网段的静态路由,要点击Add添加。如下图所示。也可以添加动态的路由,请选择RIP,然后选择启用RIP协议的端口(这里要求在交换机上也启用RIP协议)。
添加路由完成后,选择Tools里的ping工具进行测试,看是否设置成功。
3.3受控AP MSM 320 发现设置
由于MSM 320是放在VLAN 200里的,所以在默认情况下,MSM 320是无法与控制器建立连接关系。通过在DHCP服务器上,可以查看MSM 320通过DCHP获取到的地址,然后登陆到MSM 320进行初始化配置。
输入用户名admin、密码admin进行登录。
然后选择“Provision…”进行配置。
在这里请勾选“Discovery”,然后在勾选“Discover using IP address”,这里请添加上控制器的IP地址,我们有两个控制器就添加两个,这里为192.168.1.1和
192.168.1.5。
然后将MSM 320重新启动,然后控制器就可以发现并控制MSM 320了。
3.4 集中式流量转发VSC设置
通过集中式流量转发,可以实施基于WEB认证方式,同时可以自定义登陆界面。所有的数据流量,经过控制器进行处理,通过内置的NAT、每个VSC上单独的DHCP服务分发地址,可保护内部的网络的安全,即可实现访客对上网业务的需求,又可以保证内部网络对访客的透明性。
3.4.1创建VLAN
打开浏览器,输入http://192.168.1.1,登陆到MSM760
1. 在控制界面找到Network Tree 区域并按照以下步骤创建一个VLAN
2. 点击Service Controller>Network>Ports
3. 点击Add New VLAN按钮,按如下添加一个新的VLAN
?Port: LAN port
?VLAN ID: 100
?VLAN name: vlan100
3.4.2创建VSC
1.在控制界面找到Network Tree 区域并按照以下步骤创建一个新的VSC。
2.点击Service Controller 项下的VSC 链接,进入VSC profiles界面。
3.点击ADD New VSC Profile 按钮,创建一个名为SSID100的VSC。请按照
如下参数进行配置VSC profiles。
?Profile name: SSID100
?WLAN Name(SSID): SSID100
?取消– Wireless security filters
?勾选DHCP server并按如下进行配置DNS 192.168.100.1
Start 192.168.100.50
END 192.168.100.100
Gateway 192.168.100.1
Netmask 255.255.255.0
Subnet 192.168.100.0
4.点击Save 按钮保存VSC。
3.4.3 设置Internet port
选择Ports 栏目并配置MSM 760 的Internet端口为DHCP Client,然后点击save保存,连接Internet到MSM 710 的Internet端口。
3.4.4 创建认证用户
1.点击位于Network Tree 中的Service Controller。
2.点击界面顶部的Users栏转到Users Account 界面。
3.点击Add New Account 并按以下参数创建一个新的账户:用户名: student0 密码: Procurve。
4.其他保持默认参数,然后点击Save 来保存更改的配置。
3.4.5 VSC binding
选择相应的VSC文件,然后选择使用“Use egress VLAN”,然后添加我们所需要获得的VLAN的VLAN-ID。
3.4.6 测试认证情况
在客户端连上SSID100即可获得192.168.100.0/24网段的IP地址,输入用户名和密码进行认证。
认证成功后,将显示以下信息,这里的界面可以在控制器中进行修改。
然后即可正常访问外网了。
3.5 分布式流量转发VSC设置
通过设置分布式流量转发,用户的数据流量不需要进过MSM 760进行转发,只有认证的数据流需要通过MSM 760,大大减轻了MSM 760的压力,并且当所有控制器当机后,已经连接上的用户都不会丢失连接,能够正常通信。地址分发需要外置的DHCP服务器,通过外置的RADIUS,还可实现动态VLAN地址下发。
3.5.1 使用WPA方式认证的设置
1. 创建RADIUS文件
如果需要使用远程的RADIUS服务器,使用控制器内置的RADIUS的话,请跳过这一步。请在多服务控制器左侧选中“Service Controller”,然后选择“Authencation” “RADIUS profile”,点击“Add New Profile”添加新的RADIUS 文件。
在“Profile name”填入“Authencation”,然后在右侧的“Primary RADIUS server”中填入RADIUS服务器的地址以及相应的密钥即可。
然后在IAS服务器中添加一条RADIUS客户端的信息,如下图。这里设置默认密钥为“procurve”。
2.创建VSC
创建一个名为802.1X的VSC,这个VSC使用WPA方式进行认证,使用控制器上的本地用户进行认证。认证通过后,通过外置的DHCP服务器分配VLAN 200的地址,不使用访问控制,获取地址后,客户端能正常访问网络。通过这种方式的话,只有认证的数据流通过多服务控制器,数据流不经过控制器进行转发。
首先在左侧的导航栏中选择VSCs,然后在右侧导航栏中选择“Add New VSC Profile”。
然后输入VSC文件的名字:802.1X,取消选择“Access control”,Wireless protection 选择“WPA”,使用TKIP的方式,动态密钥进行认证。下面的802.1X,使用本地的用户认证,如果有外置的RADIUS,请选择Remote,并选择定义好的RADIUS文件即可。
这里只使用本地认证,选择本地即可。
然后在下面添入SSID的名字,其他的保持默认即可。
3.创建认证用户
然后再创建相应的用户,注意在控制器中创建用户时,默认是选中了“Access-controlled account”,由于这个SSID没有使用Access control,所以这里需要取消。否则的话,使用该用户无法进行认证。
4.VSC绑定
然后进行VSC绑定,这里选择AP所在的组,然后在右侧的导航栏中选择VSC bindings,然后再VSC profile里选择需要绑定的VSC,选择使用Use egress VLAN,添加认证后,此VSC需要获得的VLAN的地址。如果通过RADIUS服务器进行动态VLAN下发的话,这里不需要进行VLAN设置,保持默认即可,设置完成后一定要点击Save进行保存(请注意,在这里设定了VLAN,也就是所有通过受控AP的数据将打上TAGGED标记,需要与交换机上的设置一致,该实验是通过MSM 317来完成的,因为MSM 320在VLAN 200上。如果通过MSM 320来完成实验的话,这里将不需要进行VLAN设置,保持默认即可)。