标签归档:信锐

深信服、信锐设备与联通一信通短信平台对接的注意事项

现有一台信锐无线控制器3.7.9.7要做短信认证,短信平台是联通的一信通。

做完配置发送测试短信,接收不到,深信服设备会有日志显示短信平台的返回值报错信息,但是信锐设备的日志中暂时没有这些日志信息。在信锐设备后台抓包,根据抓包结果result=1得知是提交参数不能为空的报错。

查询一信通的接口文档,得知是用户名和密码不正确,获取到正确密码后,提交,仍然报错,返回result=5,这是IP没有在一信通后台加入白名单导致,让一信通客服把IP加入到白名单后,再次提交,仍然报错,返回值28,这是发送内容与模板不符的报错,仔细核对模板,发现模板中写的是“登陆”,提交的URL中填写的是“登录”,修改后,可以正常收到测试短信。

以下是信锐无线控制器上的一些配置:

并且这里的短信内容要与一信通模板保持一致:

目前已经对接成功,可以正常收到认证短信。

对于与一信通对接,除了要将设备的固定公网IP加入白名单,PPPOE这种不是固定的IP没有办法加到白名单,还要让短信模板与一信通的模板保持一致,并且在提交密码时,如果密码中含有特殊字符,需要写转义字符,比如#写成%23,%写成%25。

附URL中的转义方式:

特殊字符URL中用途转义方式
+表示空格%2B
(空格)应换用加号 + 或%20 表示%20
/分隔目录和子目录%2F
?分隔实际的 URL 和参数%3F
%指定特殊字符%25
#表示书签%23
&URL中指定的参数间的分隔符%26
=URL中指定参数的值%3D
!URL中指定参数的值%21

另外深信服不仅支持HTTP协议也支持HTTPS协议的短信平台对接,信锐截止3.7.9.7版本只支持与HTTP协议对接。

信锐无线常用优化步骤

信锐无线常用的优化办法一般是开启高密优化和调整终端速率限制参数。
高密优化可以提高AP的转发速度,提高用户的体验效果,高密报文发包速率建议配置12Mbps,开的太高可能会导致终端连接不上无线网络。

调整终端速率限制参数可以提高AP和终端交互时的发包速率,保证终端的体验效果,2.4G频段终端速率限制建议为5.5Mbps,5.8G频段终端速率限制建议为6Mbps。开的高可能会导致终端连接不上无线网络。

信锐无线AP网关模式配置说明

一般受控制器管控的AP都是普通模式,但是有时也会做成网关模式,比如AP远程部署且放在出口,或者内网需要AP做DHCP服务。

对于AP网关模式的配置,一般拓扑还是比较简单,出口路由器,下接核心交换机,信锐NAC单臂部署,AP接在交换机下,AP与NAC可在一个网段,也可不同网段,不同网段DNS激活上线。假设拓扑如下:

配置过程主要是:
1、设置接入点配置中的AP,让AP正常上线,在接入点设置——无线接入点——选中AP

2、开启AP的DHCP功能,在参数配置——网关接入点——新增子网——启用DHCP服务——DHCP配置

3、设置SSID,选择本地转发,新增无线网络——本地转发:

主要配置完成。

信锐无线反制功能配置方法

首先,在过去的版本中,对于支持802.11ac协议的AP,由于ac协议射频口的特性只能用于5.8G频段的反制本性到,但是在3.7.9.7版本之后,支持全信道反制。

对于无线反制的配置方法,也非常简单,主要有以下几步:
1、新增防护策略,在流控与安全——无线射频防护——防护策略下,新增射频防护策略
2、设置monitor模式,接入点选择用来反制的AP,防护模式选择信号压制,防护配置的射频1、射频2、射频3都选择monitor,保护信道2.4G和5.8G都选择全信道
3、设置防护特定SSID和MAC,如果想反制其他所有无线信号,则勾选非法接入点加测下的所有项,包括勾选钓鱼接入点及随身WI-FI检测,勾选将未在本NAC上激活的接入点视为非法接入点,勾选将隐藏SSID的接入点视为非法接入点,勾选AD-Hoc检测,勾选邻居接入点干扰检测,如下图:

4、如果只反制指定的钓鱼接入点,则不勾选将未在本NAC上激活的接入点视为非法接入点,在BSSID反制参数里,填写钓鱼接入点MAC,如下图:

5、如果只反制指定的钓鱼接入点SSID,则不勾选将未在本NAC上激活的接入点视为非法接入点,在SSID反制参数里,填写钓鱼接入点SSID,如下图:

6、设置防护参数,在高级选项中,反制参数保持默认即可,反制型号强度阀值-100dBm,反制周期50ms
7、受信任接入点,受信任的BSSID和信任的SSID,都可以勾选“将未在本NAC上激活的接入点视为非法接入点”,设置不反制的BSSID和SSID,如果受信任的SSID是个隐藏SSID,则不能勾选“将隐藏SSID的接入点视为非法接入点”。

在系统状态——告警事件及系统维护——日志查看都可看到相关反制信息。

EAP中继和EAP终结的区别

EAP中继:EAP协议报文由接入设备进行中继,设备将EAP报文使用EAPOR(EAPoverRadius)封装格式承载于Radius协议报文中,发送给radius服务器进行认证。
该认证方式的优点:设备处理简单,可支持多种类型的EAP认证方法,比如MD5-Challenge、EAP-TLS、PEAP等,但是Radius服务器也需要支持相应的认证方法。

EAP终结:EAP协议报文由接入设备进行处理,设备将客户端认证信息封装在标准Radius报文中,与服务器之间采用密码验证协议MSCHAPv2、TLS、PAP、CHAP、协议方式进行认证。
该认证方式的优点:现有的Radius服务器基本均可支持PAP和CHAP认证。

对于信锐无线控制器的企业级认证,EAP终结是指 由无线控制器来完成整个无线认证过程,由控制器直接处理EAP报文并进行认证。 EAP中继是指 无线接入点把无线客户端认证过程的EAP报文直接转发到RADIUS服务器中,由RADIUS服务器来完成整个认证过程。

信锐无线控制器中,配置企业级认证时,接入点配置——无线网络——新增无线网络,账号认证——EAP方法,默认也是EAP终结,在选择虚拟服务器进行802.1X认证时,只能选择EAP终结模式。

信锐无线企业级认证中文账号认证失败的解决办法

信锐无线控制器配置有企业级认证,在windows上认证失败,但是在安卓和苹果手机上都可以认证成功。

这是因为windows系统默认采用的GBK编码,信锐无线控制器默认是UTF-8编码,编码不一致会导致认证失败。

只需要在信锐无线控制器上,将系统配置——系统选项,默认编码改成GBK即可。

操作方法如下图:

信锐无线网络故障处理说明

网络拓扑大致为出口防火墙,下接上网行为管理,下接核心交换机,交换机上单臂部署信锐无线控制器和AP等。

现有部分用户反应,接入某无线信号后获取不到IP地址,无法上网。

查询无线用户认证日志得知,该终端接入时从vlan 90上获取IP,但是获取不到地址,查看无线控制器配置,得知终端用户获取IP的vlan配置在无线控制器上,但是未配置vlan 90,所以获取不到IP,修改该无线信号的配置,将vlan 90改成其他vlan号。

但是用户仍旧反应不能上网,再次查看无线信号的配置,发现该无线信号还启用了mac白名单的设置,但是未勾选相关的mac白名单,将mac白名单配置好后,用户看正常接入无线信号,正常上网。



信锐胖AP用作无线交换机时的配置方法

信锐胖AP可以和tplink一样作为无线二层交换机用。
需要将AP的网口接入到配置DHCP功能的二层交换机上,或无线路由器。
配置方法:
1、首先配置WAN口地址,比如12.12.12.1
2、笔记本配置12.12.12.2
3、打开12.12.12.1,配置LAN口地址,LAN口地址需要与当前内网网段相同
4、关闭DHCP
5、配置一个无线wifi即可
此时通过无线连上胖AP配置的无线后,即从当前网络中的DHCP服务器上获取地址。
LAN口配置时,有禁用虚拟的有线LAN口,
当启用DHCP的时候,如果有线设备和无线设备出现地址冲突,则勾选禁用虚拟的有线LAN口,默认不勾选。

信锐设备与深信服设备做认证信息转发的方法

拓扑比较经典,深信服AC路由模式,下接三层交换机,三层交换机连接信锐NAC、AP。
现在无线用户都通过信锐NAC集中转发上网,但是NAC未做SNAT,地址转换都在AC做,无线信号有两个,一个是微信认证,一个是ldap认证(AD域认证)。
信锐NAC做认证,深信服AC做管控流控及审计。

信锐NAC上需要配置深信服认证信息转发,深信服AC只需要配置单点登录 深信服设备转发即可。
AC在针对无线用户网段的认证策略中,可以配置单点登录,也可以配置不需要认证。二者都可。