輕松管理中小型無線網絡

郭建偉

隨著無線技術的普及，無線網絡和大家的生活工作越來越緊密。對于很多中小型企業來說，他們并不會花費大量的資金，購買高性能的無線設備，組建復雜的無線網絡，而是往往希望使用簡單高效的方式來管理無線網絡。在實際的工作中，這些企業使用的無線AP數量并不多（例如少于25個AP），完全可以使用Mobility Express這款迷你控制器產品，來輕松搭建性能不俗的無線網絡。

Mobility Express的運行機制

在Mobility Express網絡中，在802.11ac Wave2 AP上運行虛擬控制器來管理整個網絡中的其他AP，完成企業無線網絡的快速部署，這意味著不需要實體的無線控制器，從而降低企業建立無線網絡的開銷。不僅將上述AP當作控制器來使用，還可以讓其他的AP關聯到該迷你控制器上，來對小型的無線網絡進行統一的管理。因此說，Mobility Express的特點是必須使用支持二代的802.11ac的AP，而且AP的數量不能超過25個，最多支持500個無線客戶端。當然，只能在最新款的（例如Aironet1830/2800/3800等系列）等AP上才可以支持Mobility Express控制器。

從硬件上來說，對于使用支持Mobility Express的AP來說，其可以支持其他的普通的AP（例如Aironet 700i/1700/2600/2700/3600等），即常用的AP都可以關聯到這些Mobility Expres的迷你控制器上。當然，因為軟件版本的限制，高版本的Mobility Express控制器無法關聯低版本的AP，例如最新版的Mobility Express無法支持1600系列的AP等。和普通的AP不同，支持Mobility Express的AP結構比較復雜，其內部相當于存在WLC控制器和普通的AP兩個部分，對于WLC部分需要配置對應的IP，便于登錄對其進行管理。對于AP部分，也擁有自己的IP。

因為兩者位于同一網段，所以該AP可以注冊到該WLC上。當然，其他的外部AP也可以關聯到該WLC上。對于一臺全新的支持Mobility Express的AP來說，當其開機后會先進入AP系統，如果該AP無法關聯到外部的實體的WLC上，其就會迅速加載自己的WLC控制器系統，并進入初始化狀態。如果一直不對其進行初始化操作，當其發現外部存在可用的WLC后，就會立即重啟，進入瘦AP模式，關聯到發現的外部WLC上。當然，如果同時使用了多臺支持Mobility Express的AP，那么只有MAC地址為最低的AP才可以成為主控制器，即其他的AP會自動關聯到該AP中的WLC系統中。

對主用AP的基本管理

此外，也可以手工指定主用的AP，在該AP上執行“config Apnext-preferred-master xxx”命令，即可在下次啟動時將其作為主用AP。其中的“xxx”為其名稱。例如對于Aironet1830i來說，在對應版本的下載頁面中提供了兩個軟件包可以使用，其中的“AIR-AP1830-K9-8-7-102-0.tar”用于從瘦AP升級到Mobility Express，“AIR-AP1830-K9—ME-8-7-102-0.tar”用于升級支持的AP，將該鏡像包解壓后，就可以通過查看其包含的文件，來了解哪些AP可以關聯，哪些AP無法關聯。

例如其中的“ap1g1”表示支持700系列AP，ap1g2表示支持1600系列AP，ap1g3表示支持1530系列AP，Ap3g表示支持3500/1260系列AP等。將這些升級包存放到指定的TFTP服務器上，之后在支持Mobility Express的AP上配置對應的參數，指定關聯的TFTP連接信息。當別的AP關聯到該Mobility Express控制器上后，就會指示這些AP到指定的TFTP上下載匹配的文件，對這些AP進行升級操作，升級之后才允許這些AP注冊到Mobility Express控制器上。

對于支持Mobility Express的AP來說，可以執行“ap-type capwap”命令，重啟之后就可以將其轉變為普通的瘦AP使用，對應的執行“ap-type mobility-express”命令，則會從瘦AP切換回Molibity Express系統。對于純粹的瘦AP，若是其支持Mobility Express系統的話，還可以執行“ap-type mobility-express tftp：//xxx/ AIR-xxx.tar”指令，從指定的TFTP位置下載瘦AP升級到Mobility Express的文件，來執行切換操作。執行“clear config”“reset system”命令，可以清空Mobility Express控制器配置。執行“clear ap config xxx”命令，可以清空AP配置信息，其中的“xxx”為AP的名稱。

搭建網絡實驗環境

在本例中，一臺Aironet1832I的AP，其支持Mobility Express，內置的WLC地址為192.168.1.109，AP的地址為192.168.1.10，一臺Aironet1600I的AP，作為普通的AP使用，注冊到Aironet1832I上。其IP為192.168.1.20，這兩臺設備分別連接到SW1交換機的G1/0/11和G1/0/12接口上，該交換機的G1/0/1接口連接到SW2交換的Fa0/接口上，網管主機的IP為192.168.1.1，ISE設備的IP為192.168.1.12，網管主機和ISE連接到SW2的Fa0/24接口上，SW1作為核心交換機使用。

在該交換機上執行“vlan 100”“vlan 200”命令，創建兩個VLAN，Vlan 100主要用于網管。執行“ip dhcp pool meclents”“network 172.16.1.0 255.255.255.0”“default-route 172.16.1.254”命令，為無線客戶端配置DHCP地址池，并開啟路由功能。執行“ip dhcp pool meadmin”“network 192.168.1.0 255.255.255.0”“default-route 192.168.1.254”命令，為網管設備配置DHCP地址池，執行“interface gigabitEthernet1/0/1”“switchport mode trunk”“spanning tree portfast trunk”命令，為G0/1/1接口開啟Trunk功能。

注意，為Mobility Express進行管理的端口需要配置為Native Vlan，即Mobility Express的網管地址必須位于Native Vlan中。執行“interface gigabitEthernet1/0/11”“switchport trunk native vlan 100”“switchport mode trunk”命令，為G1/2/11接口開啟Trunk功能。并通過Native Vlan注冊到Mobility Express控制器上。對于注冊到Mobility Express上的AP來說，其采用的是FlexConnect轉發模式，所以其連接的接口必須開啟Trunk功能，因為Mobility Express并不支持中心轉發功能，只能使用FlexConnect轉發模式。

執行“interface gigabitEthernet1/0/12”“switchport trunk native vlan 100”“switchport mode trunk”命令，為G1/2/12接口開啟Trunk功能。執行“interface vlan 100”“ip address 192.168.1.254 255.255.255.0”。“interface vlan 200”“ip address 172.16.1.254 255.255.255.0”命令，設置上述VALN的SVI地址。在SW2上執行創建Vlan 100和Vlan 200，執行“interface FastEthernet0/1”“switchport trunk encapsulation dot1q”“switchport mode trunk”“interface FastEthernet0/24”“switch access vlan 100”“switchport mode access”“spanning-tree portfast”命令，在對應端口執行開啟Trunk功能，將管理主機和ISE設備接入進來。

對Mobility Express進行初始化

對支持Mobility Express的AP進行初始化有兩種方法，其一是通過圖形化界面進行初始化，當設備開機后，就會自動發送名為“CiscoAirProvision”的SSID，連接密碼為“password”，這樣就可以連接上去，之后打開瀏覽器隨意訪問某個地址，就會自動重定向到初始化向導界面，在其中輸入WLC控制器的名稱、管理IP、子網掩碼、默認網關，在下一步窗口中輸入網絡名稱、選擇加密類型、設置連接密碼等信息。完成初始化配置操作。

其二是通過Console口進行初始化，命令行界面中首先按照提示配置管理員賬號和密碼，之后設置控制器的名稱，接著輸入國家代碼（例如“CN”），注意，控制器和AP的國家代碼必須一致。然后根據需要來確定是否配置NTP，接下來按照提示配置網管IP和掩碼以及默認網關，根據需要決定是否配置DHCP，之后輸入SSID網絡名稱和預共享密鑰，根據需要確定是否使用射頻優化（例如使用高密度類型等），最后保存配置信息。

重啟之后輸入管理員名稱和密碼，進入之后執行“show interface summary”命令，在接口信息中看到管理端口沒有打上Tag，可以執行“config interface vlan management 100”命令，為其打上對應的Tag。如果想切換到AP管理界面，可以執行“apciscoshell”命令，輸入上述管理員賬戶和密碼后執行“enable”命令即可。對應的，在“ME-AP>”提示符下執行“logout”命令。切換回控制器模式。

使用Mobility Express管理工具

在瀏覽器中訪問“https：//192.168.1.109”地址，在打開頁面中點擊“登錄”按鈕，輸入管理員賬戶和密碼，進入簡化版的Mobility Express管理界面，會顯示網絡配置的摘要信息（圖1）。點擊右上角的專家模式按鈕，可以顯示更多的配置項目。在左側選擇“管理”→“接入”項，在右側可以分別激活HTTP接入、HTTPS訪問、遠程登錄訪問和SSHv2訪問功能。對于SSH登錄來說，在“ME-AP>”提示符下執行“enable”命令，輸入管理員賬戶和密碼。

在特權模式下執行“show version”命令，在狀態信息中的“AP Image type”和“AP Configuration”欄中可以分別查看其鏡像類型和是否具有控制器管理功能。在左側選擇“無線設置”→“無線接入點”項，顯示關聯的AP設備。對于主AP來說，在其圖標上會顯示“P”字樣。在左側選擇“管理”→“軟件更新”項，在右側選擇合適的傳輸方式（例如“TFTP”），以及具體的IP和升級文件存儲目錄，這樣對于關聯的AP來說，如果其存在軟件版本不匹配的問題，就會按照上述預設的地址來下載升級文件，完成軟件升級操作。

設置AP的基本屬性

在AP列表中選擇某個AP（例如主AP），點擊最左側的編輯按鈕，在打開窗口中的“控制器”面板中顯示控制器的名稱和IP地址等信息，在“常規”面板中“IP配置”列表中選擇“靜態”項，輸入該AP的管理IP。在“收音機1”和“無線電2”面板中可以針對2.4GH和5GHZ頻段，分別設置管理模式、信道以及傳輸功率等參數。對于主AP來說，既可以管理無線控制器和控制從屬AP，也可以作為接入點為客戶端服務。

在左側選擇“無線設置”→“無線局域網”項，在右側選擇已經存在的無線網絡項目（例如“kehulink”），點擊最左側的編輯按鈕，在“常規”面板中激活“本地特征分析”項，開啟DHCP和HTTP設備識別功能，即可以提取DHCP和HTTP的特征碼，來對客戶進行識別。通過DHCP特征碼，可以識別客戶設備是否使用了微軟的系統。利用HTTP數據包中的“UserAgnet”字段，可以識別客戶使用的瀏覽器類型等。在“無線局域網安全”面板（圖2）中的“安全類型”列表中選擇“WPA2企業版”項，即使用DOT1X方式認證。

點擊“添加RADUIS身份驗證服務器”按鈕，輸入外部RADIUS服務器的IP，這里使用ISE設備作為3A認證服務器，輸入其管理IP和共享密鑰。在“VLAN和防火墻”面板中的“使用VLAN標記”列表中如果選擇“是”項，表示需要對管理端口啟用Trunk功能并打上Tag標記，在“本地VLAN ID”欄中輸入合適的VLAN號（例如“100”）即可。在“VLAN ID”欄中輸入合適的VLAN ID號（例如“200”），表示將客戶放置到該VLAN中。當然，這里沒有考慮授權訪問問題，只是簡單地進行配置。在“流量整形”面板中的“QoS”列表中選擇所需的級別，如果使用語音流量的話，可以選擇“白金級”項。在“啟用可視化控制”列表中選擇“已啟用”項，點擊應用按鈕保存配置信息。

在ISE中配置授權規則

為了有效地進行授權管理，可以在ISE的管理界面中點擊菜單“Policy”→“Policy Elements”→“Results”項，在左側選擇“Authorization”→“Authorization Profiles”項，在右側點擊“Add”按鈕，輸入授權項目的名稱（例如“Author01”），在“Common Tasks”面板中的選擇“VLAN”項（圖3），輸入分配給客戶端的VLAN號（例如“200”）。點擊菜單“Administration” →“NetworkDevices”項，點擊“Add”按鈕，輸入Mobility Express設備的名稱（例如“MEAP”），設置其IP地址。選擇“RADIUS Authentication Settings”項，在“*Shared Secret”欄中輸入共享密鑰。

點擊“Submit”按鈕，提交修改操作。點擊菜單“Administration”→“Identities”項，點擊“Add”按鈕，輸入賬戶的名稱（例如“ClientUser1”），設置其登錄密碼，來創建該賬戶。點擊菜單“Policy”→“Authorization”項，在授權規則列表首項右側點擊“Edit”項，在打開菜單中點擊“Insert New Rule Ablove”項，輸入該規則的名稱（例如“Rules1”），在“Conditions”列中設置合適的條件，例如指定“NAS-IP-Address”的值為上述Aironet 1832I的AP中的WLC的IP，在“Permissions”列中選擇VLAN等于200。這樣，只要是來自該AP的用戶，均將其分派到VLAN 200中。

注意，如果在上述AP的屬性窗口中“VLAN ID”欄中輸入合適的VLAN ID號（例如“200”），將客戶放置到該VLAN中的話，那么在ISE中的授權就會被忽視，解決的方法是在Mobility Express命令行中執行“config wlan disable 1”“config wlan aaa-over enable 1”“config wlan enable 1”命令，為該默認WLAN激活3A認證功能。執行“config flexconnect group default-flexgroup vlan add 200”命令，將所有AP都放入默認的VLAN中，這里為VLAN 200。這樣，才真正激活了3A認證和授權機制。

在客戶端訪問無線網絡

在客戶機上運行Cisco AnyConnect Secure Mobility Client工具，在連接列表找到上述“kehulink”無線連接項目，在其屬性窗口中的“Security”列表中選擇“WPA2 Enterprise AES”項，在“802.1X Configuration”欄中選擇“Password”和“EAP-Fast”項。點擊OK按鈕，在登錄窗口中輸入預設的賬戶（例如“ClientUser1”）和密碼，就可以連接到該無線網絡中。執行“ipconfig”命令，顯示其獲取的IP地址。

在上述Mobility Express管理界面左側選擇“網絡摘要”→“客戶端”項，在右側顯示連接的所有客戶信息。除了使用普通的PC等設備來管理Mobility Express設備外，還可以使用手機等移動設備對其進行管理，這需要使用到Cisco Wireless App這款工具。在上述Mobility Express管理界面中，在左側選擇“無線設置”→“無線局域網”項，在右側點擊“添加新的無線局域網”按鈕，在打開窗口中的“常規”面板中輸入配置文件名稱和SSID名稱（例如“MobileGL”）。

在“無線局域網安全”面板中的“安全類型”列表中選擇“WPA2個人”項，輸入預共享密鑰。在“VLAN和防火墻”面板中的“本地VLAN ID”和“VLAN ID *”欄中均輸入“100”，來創建該連接項目。使用手機連接到該無線接入點，運行上述APP程序，在其主界面（圖4）中點擊“+”按鈕，輸入Mobility Express設備的管理IP（例如“192.168.1.109”）、管理員名稱和密碼。點擊“Add”按鈕，即可進入該設備的管理界面，在其中可以對其進行管理了。當然，主要是查看運行和配置的信息。