郭建偉

隨著無線技術(shù)的普及，無線網(wǎng)絡(luò)和大家的生活工作越來越緊密。對于很多中小型企業(yè)來說，他們并不會花費大量的資金，購買高性能的無線設(shè)備，組建復(fù)雜的無線網(wǎng)絡(luò)，而是往往希望使用簡單高效的方式來管理無線網(wǎng)絡(luò)。在實際的工作中，這些企業(yè)使用的無線AP數(shù)量并不多（例如少于25個AP），完全可以使用Mobility Express這款迷你控制器產(chǎn)品，來輕松搭建性能不俗的無線網(wǎng)絡(luò)。

Mobility Express的運行機制

在Mobility Express網(wǎng)絡(luò)中，在802.11ac Wave2 AP上運行虛擬控制器來管理整個網(wǎng)絡(luò)中的其他AP，完成企業(yè)無線網(wǎng)絡(luò)的快速部署，這意味著不需要實體的無線控制器，從而降低企業(yè)建立無線網(wǎng)絡(luò)的開銷。不僅將上述AP當(dāng)作控制器來使用，還可以讓其他的AP關(guān)聯(lián)到該迷你控制器上，來對小型的無線網(wǎng)絡(luò)進行統(tǒng)一的管理。因此說，Mobility Express的特點是必須使用支持二代的802.11ac的AP，而且AP的數(shù)量不能超過25個，最多支持500個無線客戶端。當(dāng)然，只能在最新款的（例如Aironet1830/2800/3800等系列）等AP上才可以支持Mobility Express控制器。

從硬件上來說，對于使用支持Mobility Express的AP來說，其可以支持其他的普通的AP（例如Aironet 700i/1700/2600/2700/3600等），即常用的AP都可以關(guān)聯(lián)到這些Mobility Expres的迷你控制器上。當(dāng)然，因為軟件版本的限制，高版本的Mobility Express控制器無法關(guān)聯(lián)低版本的AP，例如最新版的Mobility Express無法支持1600系列的AP等。和普通的AP不同，支持Mobility Express的AP結(jié)構(gòu)比較復(fù)雜，其內(nèi)部相當(dāng)于存在WLC控制器和普通的AP兩個部分，對于WLC部分需要配置對應(yīng)的IP，便于登錄對其進行管理。對于AP部分，也擁有自己的IP。

因為兩者位于同一網(wǎng)段，所以該AP可以注冊到該WLC上。當(dāng)然，其他的外部AP也可以關(guān)聯(lián)到該WLC上。對于一臺全新的支持Mobility Express的AP來說，當(dāng)其開機后會先進入AP系統(tǒng)，如果該AP無法關(guān)聯(lián)到外部的實體的WLC上，其就會迅速加載自己的WLC控制器系統(tǒng)，并進入初始化狀態(tài)。如果一直不對其進行初始化操作，當(dāng)其發(fā)現(xiàn)外部存在可用的WLC后，就會立即重啟，進入瘦AP模式，關(guān)聯(lián)到發(fā)現(xiàn)的外部WLC上。當(dāng)然，如果同時使用了多臺支持Mobility Express的AP，那么只有MAC地址為最低的AP才可以成為主控制器，即其他的AP會自動關(guān)聯(lián)到該AP中的WLC系統(tǒng)中。

對主用AP的基本管理

此外，也可以手工指定主用的AP，在該AP上執(zhí)行“config Apnext-preferred-master xxx”命令，即可在下次啟動時將其作為主用AP。其中的“xxx”為其名稱。例如對于Aironet1830i來說，在對應(yīng)版本的下載頁面中提供了兩個軟件包可以使用，其中的“AIR-AP1830-K9-8-7-102-0.tar”用于從瘦AP升級到Mobility Express，“AIR-AP1830-K9—ME-8-7-102-0.tar”用于升級支持的AP，將該鏡像包解壓后，就可以通過查看其包含的文件，來了解哪些AP可以關(guān)聯(lián)，哪些AP無法關(guān)聯(lián)。

例如其中的“ap1g1”表示支持700系列AP，ap1g2表示支持1600系列AP，ap1g3表示支持1530系列AP，Ap3g表示支持3500/1260系列AP等。將這些升級包存放到指定的TFTP服務(wù)器上，之后在支持Mobility Express的AP上配置對應(yīng)的參數(shù)，指定關(guān)聯(lián)的TFTP連接信息。當(dāng)別的AP關(guān)聯(lián)到該Mobility Express控制器上后，就會指示這些AP到指定的TFTP上下載匹配的文件，對這些AP進行升級操作，升級之后才允許這些AP注冊到Mobility Express控制器上。

對于支持Mobility Express的AP來說，可以執(zhí)行“ap-type capwap”命令，重啟之后就可以將其轉(zhuǎn)變?yōu)槠胀ǖ氖軦P使用，對應(yīng)的執(zhí)行“ap-type mobility-express”命令，則會從瘦AP切換回Molibity Express系統(tǒng)。對于純粹的瘦AP，若是其支持Mobility Express系統(tǒng)的話，還可以執(zhí)行“ap-type mobility-express tftp：//xxx/ AIR-xxx.tar”指令，從指定的TFTP位置下載瘦AP升級到Mobility Express的文件，來執(zhí)行切換操作。執(zhí)行“clear config”“reset system”命令，可以清空Mobility Express控制器配置。執(zhí)行“clear ap config xxx”命令，可以清空AP配置信息，其中的“xxx”為AP的名稱。

搭建網(wǎng)絡(luò)實驗環(huán)境

在本例中，一臺Aironet1832I的AP，其支持Mobility Express，內(nèi)置的WLC地址為192.168.1.109，AP的地址為192.168.1.10，一臺Aironet1600I的AP，作為普通的AP使用，注冊到Aironet1832I上。其IP為192.168.1.20，這兩臺設(shè)備分別連接到SW1交換機的G1/0/11和G1/0/12接口上，該交換機的G1/0/1接口連接到SW2交換的Fa0/接口上，網(wǎng)管主機的IP為192.168.1.1，ISE設(shè)備的IP為192.168.1.12，網(wǎng)管主機和ISE連接到SW2的Fa0/24接口上，SW1作為核心交換機使用。

在該交換機上執(zhí)行“vlan 100”“vlan 200”命令，創(chuàng)建兩個VLAN，Vlan 100主要用于網(wǎng)管。執(zhí)行“ip dhcp pool meclents”“network 172.16.1.0 255.255.255.0”“default-route 172.16.1.254”命令，為無線客戶端配置DHCP地址池，并開啟路由功能。執(zhí)行“ip dhcp pool meadmin”“network 192.168.1.0 255.255.255.0”“default-route 192.168.1.254”命令，為網(wǎng)管設(shè)備配置DHCP地址池，執(zhí)行“interface gigabitEthernet1/0/1”“switchport mode trunk”“spanning tree portfast trunk”命令，為G0/1/1接口開啟Trunk功能。

注意，為Mobility Express進行管理的端口需要配置為Native Vlan，即Mobility Express的網(wǎng)管地址必須位于Native Vlan中。執(zhí)行“interface gigabitEthernet1/0/11”“switchport trunk native vlan 100”“switchport mode trunk”命令，為G1/2/11接口開啟Trunk功能。并通過Native Vlan注冊到Mobility Express控制器上。對于注冊到Mobility Express上的AP來說，其采用的是FlexConnect轉(zhuǎn)發(fā)模式，所以其連接的接口必須開啟Trunk功能，因為Mobility Express并不支持中心轉(zhuǎn)發(fā)功能，只能使用FlexConnect轉(zhuǎn)發(fā)模式。

執(zhí)行“interface gigabitEthernet1/0/12”“switchport trunk native vlan 100”“switchport mode trunk”命令，為G1/2/12接口開啟Trunk功能。執(zhí)行“interface vlan 100”“ip address 192.168.1.254 255.255.255.0”?！癷nterface vlan 200”“ip address 172.16.1.254 255.255.255.0”命令，設(shè)置上述VALN的SVI地址。在SW2上執(zhí)行創(chuàng)建Vlan 100和Vlan 200，執(zhí)行“interface FastEthernet0/1”“switchport trunk encapsulation dot1q”“switchport mode trunk”“interface FastEthernet0/24”“switch access vlan 100”“switchport mode access”“spanning-tree portfast”命令，在對應(yīng)端口執(zhí)行開啟Trunk功能，將管理主機和ISE設(shè)備接入進來。

對Mobility Express進行初始化

對支持Mobility Express的AP進行初始化有兩種方法，其一是通過圖形化界面進行初始化，當(dāng)設(shè)備開機后，就會自動發(fā)送名為“CiscoAirProvision”的SSID，連接密碼為“password”，這樣就可以連接上去，之后打開瀏覽器隨意訪問某個地址，就會自動重定向到初始化向?qū)Ы缑?，在其中輸入WLC控制器的名稱、管理IP、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)，在下一步窗口中輸入網(wǎng)絡(luò)名稱、選擇加密類型、設(shè)置連接密碼等信息。完成初始化配置操作。

其二是通過Console口進行初始化，命令行界面中首先按照提示配置管理員賬號和密碼，之后設(shè)置控制器的名稱，接著輸入國家代碼（例如“CN”），注意，控制器和AP的國家代碼必須一致。然后根據(jù)需要來確定是否配置NTP，接下來按照提示配置網(wǎng)管IP和掩碼以及默認(rèn)網(wǎng)關(guān)，根據(jù)需要決定是否配置DHCP，之后輸入SSID網(wǎng)絡(luò)名稱和預(yù)共享密鑰，根據(jù)需要確定是否使用射頻優(yōu)化（例如使用高密度類型等），最后保存配置信息。

重啟之后輸入管理員名稱和密碼，進入之后執(zhí)行“show interface summary”命令，在接口信息中看到管理端口沒有打上Tag，可以執(zhí)行“config interface vlan management 100”命令，為其打上對應(yīng)的Tag。如果想切換到AP管理界面，可以執(zhí)行“apciscoshell”命令，輸入上述管理員賬戶和密碼后執(zhí)行“enable”命令即可。對應(yīng)的，在“ME-AP>”提示符下執(zhí)行“l(fā)ogout”命令。切換回控制器模式。

使用Mobility Express管理工具

在瀏覽器中訪問“https：//192.168.1.109”地址，在打開頁面中點擊“登錄”按鈕，輸入管理員賬戶和密碼，進入簡化版的Mobility Express管理界面，會顯示網(wǎng)絡(luò)配置的摘要信息（圖1）。點擊右上角的專家模式按鈕，可以顯示更多的配置項目。在左側(cè)選擇“管理”→“接入”項，在右側(cè)可以分別激活HTTP接入、HTTPS訪問、遠程登錄訪問和SSHv2訪問功能。對于SSH登錄來說，在“ME-AP>”提示符下執(zhí)行“enable”命令，輸入管理員賬戶和密碼。

在特權(quán)模式下執(zhí)行“show version”命令，在狀態(tài)信息中的“AP Image type”和“AP Configuration”欄中可以分別查看其鏡像類型和是否具有控制器管理功能。在左側(cè)選擇“無線設(shè)置”→“無線接入點”項，顯示關(guān)聯(lián)的AP設(shè)備。對于主AP來說，在其圖標(biāo)上會顯示“P”字樣。在左側(cè)選擇“管理”→“軟件更新”項，在右側(cè)選擇合適的傳輸方式（例如“TFTP”），以及具體的IP和升級文件存儲目錄，這樣對于關(guān)聯(lián)的AP來說，如果其存在軟件版本不匹配的問題，就會按照上述預(yù)設(shè)的地址來下載升級文件，完成軟件升級操作。

設(shè)置AP的基本屬性

在AP列表中選擇某個AP（例如主AP），點擊最左側(cè)的編輯按鈕，在打開窗口中的“控制器”面板中顯示控制器的名稱和IP地址等信息，在“常規(guī)”面板中“IP配置”列表中選擇“靜態(tài)”項，輸入該AP的管理IP。在“收音機1”和“無線電2”面板中可以針對2.4GH和5GHZ頻段，分別設(shè)置管理模式、信道以及傳輸功率等參數(shù)。對于主AP來說，既可以管理無線控制器和控制從屬AP，也可以作為接入點為客戶端服務(wù)。

在左側(cè)選擇“無線設(shè)置”→“無線局域網(wǎng)”項，在右側(cè)選擇已經(jīng)存在的無線網(wǎng)絡(luò)項目（例如“kehulink”），點擊最左側(cè)的編輯按鈕，在“常規(guī)”面板中激活“本地特征分析”項，開啟DHCP和HTTP設(shè)備識別功能，即可以提取DHCP和HTTP的特征碼，來對客戶進行識別。通過DHCP特征碼，可以識別客戶設(shè)備是否使用了微軟的系統(tǒng)。利用HTTP數(shù)據(jù)包中的“UserAgnet”字段，可以識別客戶使用的瀏覽器類型等。在“無線局域網(wǎng)安全”面板（圖2）中的“安全類型”列表中選擇“WPA2企業(yè)版”項，即使用DOT1X方式認(rèn)證。

點擊“添加RADUIS身份驗證服務(wù)器”按鈕，輸入外部RADIUS服務(wù)器的IP，這里使用ISE設(shè)備作為3A認(rèn)證服務(wù)器，輸入其管理IP和共享密鑰。在“VLAN和防火墻”面板中的“使用VLAN標(biāo)記”列表中如果選擇“是”項，表示需要對管理端口啟用Trunk功能并打上Tag標(biāo)記，在“本地VLAN ID”欄中輸入合適的VLAN號（例如“100”）即可。在“VLAN ID”欄中輸入合適的VLAN ID號（例如“200”），表示將客戶放置到該VLAN中。當(dāng)然，這里沒有考慮授權(quán)訪問問題，只是簡單地進行配置。在“流量整形”面板中的“QoS”列表中選擇所需的級別，如果使用語音流量的話，可以選擇“白金級”項。在“啟用可視化控制”列表中選擇“已啟用”項，點擊應(yīng)用按鈕保存配置信息。

在ISE中配置授權(quán)規(guī)則

為了有效地進行授權(quán)管理，可以在ISE的管理界面中點擊菜單“Policy”→“Policy Elements”→“Results”項，在左側(cè)選擇“Authorization”→“Authorization Profiles”項，在右側(cè)點擊“Add”按鈕，輸入授權(quán)項目的名稱（例如“Author01”），在“Common Tasks”面板中的選擇“VLAN”項（圖3），輸入分配給客戶端的VLAN號（例如“200”）。點擊菜單“Administration” →“NetworkDevices”項，點擊“Add”按鈕，輸入Mobility Express設(shè)備的名稱（例如“MEAP”），設(shè)置其IP地址。選擇“RADIUS Authentication Settings”項，在“*Shared Secret”欄中輸入共享密鑰。

點擊“Submit”按鈕，提交修改操作。點擊菜單“Administration”→“Identities”項，點擊“Add”按鈕，輸入賬戶的名稱（例如“ClientUser1”），設(shè)置其登錄密碼，來創(chuàng)建該賬戶。點擊菜單“Policy”→“Authorization”項，在授權(quán)規(guī)則列表首項右側(cè)點擊“Edit”項，在打開菜單中點擊“Insert New Rule Ablove”項，輸入該規(guī)則的名稱（例如“Rules1”），在“Conditions”列中設(shè)置合適的條件，例如指定“NAS-IP-Address”的值為上述Aironet 1832I的AP中的WLC的IP，在“Permissions”列中選擇VLAN等于200。這樣，只要是來自該AP的用戶，均將其分派到VLAN 200中。

注意，如果在上述AP的屬性窗口中“VLAN ID”欄中輸入合適的VLAN ID號（例如“200”），將客戶放置到該VLAN中的話，那么在ISE中的授權(quán)就會被忽視，解決的方法是在Mobility Express命令行中執(zhí)行“config wlan disable 1”“config wlan aaa-over enable 1”“config wlan enable 1”命令，為該默認(rèn)WLAN激活3A認(rèn)證功能。執(zhí)行“config flexconnect group default-flexgroup vlan add 200”命令，將所有AP都放入默認(rèn)的VLAN中，這里為VLAN 200。這樣，才真正激活了3A認(rèn)證和授權(quán)機制。

在客戶端訪問無線網(wǎng)絡(luò)

在客戶機上運行Cisco AnyConnect Secure Mobility Client工具，在連接列表找到上述“kehulink”無線連接項目，在其屬性窗口中的“Security”列表中選擇“WPA2 Enterprise AES”項，在“802.1X Configuration”欄中選擇“Password”和“EAP-Fast”項。點擊OK按鈕，在登錄窗口中輸入預(yù)設(shè)的賬戶（例如“ClientUser1”）和密碼，就可以連接到該無線網(wǎng)絡(luò)中。執(zhí)行“ipconfig”命令，顯示其獲取的IP地址。

在上述Mobility Express管理界面左側(cè)選擇“網(wǎng)絡(luò)摘要”→“客戶端”項，在右側(cè)顯示連接的所有客戶信息。除了使用普通的PC等設(shè)備來管理Mobility Express設(shè)備外，還可以使用手機等移動設(shè)備對其進行管理，這需要使用到Cisco Wireless App這款工具。在上述Mobility Express管理界面中，在左側(cè)選擇“無線設(shè)置”→“無線局域網(wǎng)”項，在右側(cè)點擊“添加新的無線局域網(wǎng)”按鈕，在打開窗口中的“常規(guī)”面板中輸入配置文件名稱和SSID名稱（例如“MobileGL”）。

在“無線局域網(wǎng)安全”面板中的“安全類型”列表中選擇“WPA2個人”項，輸入預(yù)共享密鑰。在“VLAN和防火墻”面板中的“本地VLAN ID”和“VLAN ID *”欄中均輸入“100”，來創(chuàng)建該連接項目。使用手機連接到該無線接入點，運行上述APP程序，在其主界面（圖4）中點擊“+”按鈕，輸入Mobility Express設(shè)備的管理IP（例如“192.168.1.109”）、管理員名稱和密碼。點擊“Add”按鈕，即可進入該設(shè)備的管理界面，在其中可以對其進行管理了。當(dāng)然，主要是查看運行和配置的信息。