33-WiNet
本章节下载 (918.49 KB)
随着网络规模的增加,网络边缘需要使用大量的接入设备,这使对这些设备的管理工作非常繁琐。同时,要为这些设备逐一配置IP地址,在目前IP地址资源日益紧张的情况下无疑也是一种浪费。WiNet(Wisdom NetWork,智能网络)的主要目的就是解决大量分散的网络设备的集中管理问题。
WiNet具有以下优点:
· 节省公网IP地址。
· 内嵌式:WiNet功能内嵌于网络设备上,不需要专门的网管设备。
· 易部署:只需选择一个设备作为管理设备,并对其进行简单的Web配置,则整网管理即可启动。
· 低成本:无需另外购买软件,节省了成本。
· 界面友好:以Web界面的方式和用户交互,操作简单、易学,无需专职的网管人员。
· 即插即用:WiNet基于我司专有技术,利用链路层的天然连通性,只要将设备通过以太网接口接入到网络中,即可在网络拓扑上被显示出来,并可进行相关操作,即插即用。
· 简单快速部署安全认证功能:只需在管理设备上进行简单的Web配置,就可以启动RADIUS服务器功能,并且通过管理设备直接配置成员设备的安全认证端口,操作简单方便。
根据在WiNet中所处的地位和功能的不同,可把WiNet中的设备分为以下三种角色:
· 管理设备(Administrator):在WiNet中对整个WiNet管理发挥接口作用的设备,也是WiNet中唯一配置公网IP地址的设备。每个WiNet必须(且只能)指定一个管理设备。对WiNet中的其它设备进行配置、管理和监控都必须通过WiNet设备来进行,WiNet设备通过收集相关信息来发现和确定候选设备。
· 成员设备(Member):在WiNet中处于被管理状态的设备。
· 候选设备(Candidate):指还没有加入WiNet但具备WiNet能力、能够成为WiNet成员的设备。它与成员设备的区别在于:其拓扑信息已被管理设备收集到但尚未加入WiNet。
图1-1 WiNet典型组网图
只需选择一台候选设备作为管理设备,并在该设备上启动WiNet即可建立WiNet。
在导航栏中选择“WiNet”,在未启动WiNet时,会弹出提示信息“只有WiNet管理设置支持该功能”,单击<确定>按钮即进入“设置”页签的页面,如图1-2所示。页面上半部分可以设置启动/关闭WiNet。
启动WiNet的详细配置如表1-1所示。
表1-1 启动WiNet的详细配置
配置项 |
说明 |
WiNet名 |
设置WiNet的名称 |
管理VLAN |
设置WiNet的管理VLAN,只能设置已经存在的静态VLAN 管理VLAN是指WiNet协议报文通讯所使用的VLAN,它限制了WiNet管理的范围,通过配置管理VLAN,可实现如下功能: · WiNet的管理报文都将限制在管理VLAN内,实现了与其它报文的隔离,增加了安全性 · 管理设备和成员设备、候选设备通过管理VLAN实现了内部通讯 WiNet管理要求管理设备与成员/候选设备相连的端口(包括级联端口)、管理设备连接外部网络的端口都要允许管理VLAN通过 |
地址池 |
设置WiNet的地址池的IP地址和网络掩码,加入该WiNet的成员设备都会分配到该地址池中的一个地址,其中管理设备的地址即为指定的地址池IP地址 |
地址池掩码 |
WiNet启动后,不能再对“设置”页面上的配置项进行配置,且<启动WiNet>按钮变为<关闭WiNet>按钮。单击<关闭WiNet>按钮,即可删除WiNet。
WiNet网络建立后,用户可以在“WiNet管理”页签的页面查看WiNet网络的拓扑图。缺省境况下,拓扑图的背景是白色的。设备支持拓扑图背景定制功能,用户可以上传自己喜欢的图片(JPG或BMP格式,文件大小建议小于0.5MB)作为拓扑图的背景。
在导航栏中选择“WiNet”,单击“设置”页签,进入如图1-2所示的页面。页面下半部分可以设置WiNet网络拓扑图的背景。
· 通过<浏览>按钮选择要上传的背景图片文件,单击<上传背景>按钮,即可完成拓扑图的背景设置。
· 单击<清除背景>按钮,即可清除设置的背景图片文件。
WiNet网络建立后,可以对其中的成员设备进行管理。需要注意的是,管理员与管理设备相连的端口必须允许管理VLAN通过,才能对WiNet网络中的设备进行管理。
在导航栏中选择“WiNet”,默认进入“WiNet管理”页签的页面,如图1-3所示。
在“WiNet管理”页面可以进行如下操作:
(1) 设置刷新周期,可以按照指定的周期自动刷新页面显示的拓扑图;若选择“手动刷新”,则可以单击<手动刷新>按钮来刷新页面显示的拓扑图。
(2) 单击<拓扑收集>按钮,管理设备开始重新进行拓扑收集。需要注意的是,除了手动触发拓扑收集,系统还会每隔1分钟自动进行一次拓扑收集。
(3) 单击<网络快照>按钮,管理设备将当前网络的拓扑保存为基准拓扑,用于对比在不同时间网络拓扑的变化。
(4) 单击<拓扑初始化>按钮,将清除管理设备内存中保存的基准拓扑记录和浏览器记录的Cookie信息。
(5) 单击<启动认证中心>按钮,将在管理设备上启动RADIUS服务器功能,用于客户端用户进行安全认证;同时,管理设备上将自动生成一个来宾用户guest及其密码,并且管理设备会在每天的24:00自动更新来宾用户密码。
(6) 认证中心启动之后,页面上的<启动认证中心>按钮会变为<关闭认证中心>,单击此按钮将在管理设备上关闭RADIUS服务器功能,并自动删除生成的来宾用户guest。
(7) 在拓扑图上可以用鼠标拖动各设备图标,按用户的需要摆放设备图标的位置。如果用户使用的浏览器设置了可以接受Cookie,则在执行快照操作时,拖动后的各设备位置信息也将被保存下来。
(8) 在拓扑图中对某个设备双击鼠标左键,则弹出该设备详细信息的显示框,可以查看该设备的主机名、MAC地址、设备类型、IP地址、版本、跳数、WiNet信息等,如图1-4所示。
(9) 查看WiNet拓扑信息,包括各设备的角色、设备间的连接状态。设备间的连接状态有以下几种:
· 正常连接:基准拓扑中存在,当前拓扑也存在的连接。
· 新增连接:基准拓扑中不存在,当前拓扑中存在的连接。
· 环路阻断:被STP阻塞的连接。需要注意的是,当一个正常连接环路阻断时,显示为黑色虚线;当一个新增连接环路阻断时,显示为蓝色虚线。
· 断路连接:基准拓扑中存在,当前拓扑中不存在的连接。
(10) 在拓扑图中单击选中某个设备,可以查看该设备的面板示意图,并可以对该设备进行管理,包括如下操作:
查看设备面板示意图、设备命名和端口布防功能的支持情况与该设备的具体型号有关,请以设备的实际情况为准。
· 单击<设备命名>按钮,在弹出的页面中可以重新设置设备的系统名称,如图1-5所示。
· 在设备的面板示意图上选择一个或多个二层以太网接口,单击<端口布防>按钮,可以在选中的接口上启动二层Portal认证功能。
管理设备与成员/候选设备相连的端口、管理设备连接外部网络的端口以及管理员接入管理设备的端口上不能进行端口布防。
· 如果选中的设备是成员设备,则单击<管理设备>按钮,可以登录到该成员设备的Web页面,对其进行配置和管理。需要注意的是,如果当前用户与成员设备上存在的用户名、密码一致,则可以直接登录到成员设备的Web页面进行操作;否则,只能进入成员设备的Web登录页面,需要输入正确的用户名和密码才能登录。
· 如果选中的设备是成员设备,单击<初始化>按钮,可以将该成员设备恢复到出厂配置,并重启成员设备。
· 如果选中的设备是成员设备,单击<重启设备>按钮,可以将该成员设备重新启动。
在导航栏中选择“WiNet”,单击“用户管理”页签,进入如图1-6所示的页面。单击<新建>按钮,进入新建用户的配置页面,如图1-7所示。
RADIUS服务器所管理的用户的详细配置如表1-2所示。
表1-2 RADIUS服务器所管理的用户的详细配置
配置项 |
说明 |
用户名 |
设置用户的名称 |
用户密码 |
设置用户的密码和确认密码,用户密码和确认密码必须一致 输入的密码如果以空格开头,则开头的空格将被忽略 |
确认密码 |
|
授权VLAN |
设置用户的授权VLAN ID 如果指定了授权VLAN,但接入设备不支持授权VLAN属性,则会导致用户认证失败 |
授权ACL |
设置用户的授权ACL序号 如果指定了授权ACL,但接入设备不支持授权ACL属性,则会导致用户认证失败 |
过期时间 |
设置用户的有效截止时间,格式为HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日) 当指定了过期时间的用户进行认证时,如果管理设备当前的系统时间超过了过期时间,则用户认证失败 |
备注信息 |
描述用户的相关信息 |
用户类型 |
设置用户的类型,包括:普通用户和来宾管理员 来宾用户管理员可以获取来宾用户guest的密码信息,具体方法请参见“1.2.5 来宾管理员获取来宾用户密码” |
在导航栏中选择“WiNet”,单击“用户管理”页签,进入如图1-6所示的页面。
· 单击<导出>按钮,在弹出的文件下载对话框中单击<保存>按钮,并设置要导出的文件在本地主机上的保存路径和文件名,再单击<保存>按钮,即可将设备上所有的RADIUS服务器所管理的用户信息导出到本地主机保存。
· 单击<导入>按钮,弹出如图1-8所示的对话框。设置要导入的xml文件在本地主机上的保存路径,单击<确定>按钮,即可将文件中的用户信息导入到设备中。
WiNet网络成功建立后,当在管理设备上启动认证中心时,管理设备上将自动生成一个来宾用户guest及其密码。对WiNet中的某个成员设备上的端口进行了端口布防后,来宾管理员可以通过该端口对外部网络进行访问。此时,管理设备将对来宾管理员进行Portal认证,并在认证成功后向来宾管理员显示来宾用户guest的密码,如图1-9所示。来宾用户guest可以使用此密码访问外部网络。
· 管理设备生成的来宾用户密码将在每天的24:00自动更新,更新后来宾管理员需重新获取密码。
· 如果要在成员设备上配置使用自定义的Portal认证页面,则需要在认证成功页面中引用pt_private.js的szPTGuestPWD变量(用于保存来宾用户密码),并设置使用JS的方法进行显示,以。例如:<script type=”text/javascript”>if (szPTGuestPWD !=””) document.write(“来宾用户密码为:” + szPTGuestPWD);</script>。
在网络中用三台设备组成一个WiNet网络,其中一台为管理设备,其余两台为成员设备。网络规划如图1-10所示,网络的具体需求说明如下:
· 管理设备通过端口Ethernet0/1连接外部网络;通过端口Ethernet0/2和Ethernet0/3分别连接两台成员设备。
· WiNet的管理VLAN为VLAN 10。
· 管理设备的网管接口为Vlan-interface10,IP地址为163.172.55.1/24。
图1-10 WiNet网络建立配置组网图
(1) 配置Device A和Device C
# 分别配置两台设备上的端口Ethernet0/1允许VLAN 10通过。(具体配置略)
(2) 配置Device B
# 创建VLAN 10,并创建Vlan-interface10。
· 在导航栏中选择“接口配置 > LAN设置”,默认进入“VLAN设置”页签的页面,进行如下配置,如图1-11所示。
图1-11 创建VLAN 10和Vlan-interface10
· 选中“创建”前的单选按钮。
· 输入VLAN编号为“10”。
· 选中“创建VLAN接口”前的复选框。
· 单击<应用>按钮完成操作。
# 配置Ethernet0/1、Ethernet0/2和Ethernet0/3为VLAN 10的成员。
· 如图1-12所示,在“VLAN设置”页面的下方选择VLAN ID为“10”。
· 在接口列表中选中“Ethernet0/1”、“Ethernet0/2”和“Ethernet0/3”。
· 单击<添加>按钮,弹出配置进度对话框,如图1-13所示。
· 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
# 配置Vlan-interface10的IP地址。
· 单击“VLAN接口设置”页签,进行如下配置,如图1-14所示。
· 选择VLAN ID为“10”。
· 输入IP地址为“163.172.55.1”。
· 输入掩码为“255.255.255.0”。
· 单击<确定>按钮完成操作。
# 启动WiNet。
· 在导航栏中选择“WiNet”,在未启动WiNet时,会弹出提示信息“只有WiNet管理设置支持该功能”,单击<确定>按钮即进入“设置”页签的页面,进行如下配置,如图1-15所示。
· 输入WiNet名为“WiNet”。
· 单击“高级选项”前的扩展按钮。
· 输入管理VLAN为“10”。
· 输入地址池为“192.168.0.1”
· 选择地址池掩码为“255.255.255.0”。
· 单击<启动WiNet>按钮完成操作。
完成上述配置后,网络管理员通过管理设备Device B上的接口Ethernet0/1登录设备,在导航栏中选择“WiNet”,进入“WiNet管理”页签的页面,可以看到页面上显示一个管理设备(Device B)和两个成员设备(Device A、Device C)的WiNet拓扑图,如图1-16所示,可以对管理设备和成员设备进行管理。
图1-16 WiNet拓扑图
如图1-17所示,在由三台设备组成的WiNet网络中,Device B为管理设备,Device A和Device C为成员设备。Client通过接口Ethernet0/2与Device A相连。在WiNet网络中部署安全认证功能,使Client可以通过Device B进行安全认证,认证通过后可以访问外部网络。
图1-17 基于WiNet的RADIUS认证配置组网图
(1) 建立WiNet网络
详细配置请参见“1.3.1 WiNet网络建立典型配置举例”。
(2) 配置基于WiNet的RADIUS认证
# 配置RADIUS服务器所管理的用户。
· 网络管理员通过管理设备Device B上的接口Ethernet0/1登录设备,在导航栏中选择“WiNet”,单击“用户管理”页签,单击<新建>按钮,进行如下配置,如图1-18所示。
图1-18 配置RADIUS服务器所管理的用户
· 输入用户名为“client”。
· 输入用户密码为“client_password”。
· 输入确认密码为“client_password”。
· 选择用户类型为“普通用户”。
· 单击<确定>按钮完成操作。
# 启动认证中心。
· 如图1-19所示,单击“WiNet管理”页签。
· 单击<启动认证中心>按钮。
# 对成员设备Device A进行端口布防。
图1-20 对成员设备Device A进行端口布防
· 如图1-20所示,在拓扑图上单击选中成员设备Device A。
· 在设备面板示意图上单击选中端口Ethernet0/2。
· 单击<端口布防>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!