轻松管理中小型无线网络

郭建伟

随着无线技术的普及，无线网络和大家的生活工作越来越紧密。对于很多中小型企业来说，他们并不会花费大量的资金，购买高性能的无线设备，组建复杂的无线网络，而是往往希望使用简单高效的方式来管理无线网络。在实际的工作中，这些企业使用的无线AP数量并不多（例如少于25个AP），完全可以使用Mobility Express这款迷你控制器产品，来轻松搭建性能不俗的无线网络。

Mobility Express的运行机制

在Mobility Express网络中，在802.11ac Wave2 AP上运行虚拟控制器来管理整个网络中的其他AP，完成企业无线网络的快速部署，这意味着不需要实体的无线控制器，从而降低企业建立无线网络的开销。不仅将上述AP当作控制器来使用，还可以让其他的AP关联到该迷你控制器上，来对小型的无线网络进行统一的管理。因此说，Mobility Express的特点是必须使用支持二代的802.11ac的AP，而且AP的数量不能超过25个，最多支持500个无线客户端。当然，只能在最新款的（例如Aironet1830/2800/3800等系列）等AP上才可以支持Mobility Express控制器。

从硬件上来说，对于使用支持Mobility Express的AP来说，其可以支持其他的普通的AP（例如Aironet 700i/1700/2600/2700/3600等），即常用的AP都可以关联到这些Mobility Expres的迷你控制器上。当然，因为软件版本的限制，高版本的Mobility Express控制器无法关联低版本的AP，例如最新版的Mobility Express无法支持1600系列的AP等。和普通的AP不同，支持Mobility Express的AP结构比较复杂，其内部相当于存在WLC控制器和普通的AP两个部分，对于WLC部分需要配置对应的IP，便于登录对其进行管理。对于AP部分，也拥有自己的IP。

因为两者位于同一网段，所以该AP可以注册到该WLC上。当然，其他的外部AP也可以关联到该WLC上。对于一台全新的支持Mobility Express的AP来说，当其开机后会先进入AP系统，如果该AP无法关联到外部的实体的WLC上，其就会迅速加载自己的WLC控制器系统，并进入初始化状态。如果一直不对其进行初始化操作，当其发现外部存在可用的WLC后，就会立即重启，进入瘦AP模式，关联到发现的外部WLC上。当然，如果同时使用了多台支持Mobility Express的AP，那么只有MAC地址为最低的AP才可以成为主控制器，即其他的AP会自动关联到该AP中的WLC系统中。

对主用AP的基本管理

此外，也可以手工指定主用的AP，在该AP上执行“config Apnext-preferred-master xxx”命令，即可在下次启动时将其作为主用AP。其中的“xxx”为其名称。例如对于Aironet1830i来说，在对应版本的下载页面中提供了两个软件包可以使用，其中的“AIR-AP1830-K9-8-7-102-0.tar”用于从瘦AP升级到Mobility Express，“AIR-AP1830-K9—ME-8-7-102-0.tar”用于升级支持的AP，将该镜像包解压后，就可以通过查看其包含的文件，来了解哪些AP可以关联，哪些AP无法关联。

例如其中的“ap1g1”表示支持700系列AP，ap1g2表示支持1600系列AP，ap1g3表示支持1530系列AP，Ap3g表示支持3500/1260系列AP等。将这些升级包存放到指定的TFTP服务器上，之后在支持Mobility Express的AP上配置对应的参数，指定关联的TFTP连接信息。当别的AP关联到该Mobility Express控制器上后，就會指示这些AP到指定的TFTP上下载匹配的文件，对这些AP进行升级操作，升级之后才允许这些AP注册到Mobility Express控制器上。

对于支持Mobility Express的AP来说，可以执行“ap-type capwap”命令，重启之后就可以将其转变为普通的瘦AP使用，对应的执行“ap-type mobility-express”命令，则会从瘦AP切换回Molibity Express系统。对于纯粹的瘦AP，若是其支持Mobility Express系统的话，还可以执行“ap-type mobility-express tftp：//xxx/ AIR-xxx.tar”指令，从指定的TFTP位置下载瘦AP升级到Mobility Express的文件，来执行切换操作。执行“clear config”“reset system”命令，可以清空Mobility Express控制器配置。执行“clear ap config xxx”命令，可以清空AP配置信息，其中的“xxx”为AP的名称。

搭建网络实验环境

在本例中，一台Aironet1832I的AP，其支持Mobility Express，内置的WLC地址为192.168.1.109，AP的地址为192.168.1.10，一台Aironet1600I的AP，作为普通的AP使用，注册到Aironet1832I上。其IP为192.168.1.20，这两台设备分别连接到SW1交换机的G1/0/11和G1/0/12接口上，该交换机的G1/0/1接口连接到SW2交换的Fa0/接口上，网管主机的IP为192.168.1.1，ISE设备的IP为192.168.1.12，网管主机和ISE连接到SW2的Fa0/24接口上，SW1作为核心交换机使用。

在该交换机上执行“vlan 100”“vlan 200”命令，创建两个VLAN，Vlan 100主要用于网管。执行“ip dhcp pool meclents”“network 172.16.1.0 255.255.255.0”“default-route 172.16.1.254”命令，为无线客户端配置DHCP地址池，并开启路由功能。执行“ip dhcp pool meadmin”“network 192.168.1.0 255.255.255.0”“default-route 192.168.1.254”命令，为网管设备配置DHCP地址池，执行“interface gigabitEthernet1/0/1”“switchport mode trunk”“spanning tree portfast trunk”命令，为G0/1/1接口开启Trunk功能。

注意，为Mobility Express进行管理的端口需要配置为Native Vlan，即Mobility Express的网管地址必须位于Native Vlan中。执行“interface gigabitEthernet1/0/11”“switchport trunk native vlan 100”“switchport mode trunk”命令，为G1/2/11接口开启Trunk功能。并通过Native Vlan注册到Mobility Express控制器上。对于注册到Mobility Express上的AP来说，其采用的是FlexConnect转发模式，所以其连接的接口必须开启Trunk功能，因为Mobility Express并不支持中心转发功能，只能使用FlexConnect转发模式。

执行“interface gigabitEthernet1/0/12”“switchport trunk native vlan 100”“switchport mode trunk”命令，为G1/2/12接口开启Trunk功能。执行“interface vlan 100”“ip address 192.168.1.254 255.255.255.0”。“interface vlan 200”“ip address 172.16.1.254 255.255.255.0”命令，設置上述VALN的SVI地址。在SW2上执行创建Vlan 100和Vlan 200，执行“interface FastEthernet0/1”“switchport trunk encapsulation dot1q”“switchport mode trunk”“interface FastEthernet0/24”“switch access vlan 100”“switchport mode access”“spanning-tree portfast”命令，在对应端口执行开启Trunk功能，将管理主机和ISE设备接入进来。

对Mobility Express进行初始化

对支持Mobility Express的AP进行初始化有两种方法，其一是通过图形化界面进行初始化，当设备开机后，就会自动发送名为“CiscoAirProvision”的SSID，连接密码为“password”，这样就可以连接上去，之后打开浏览器随意访问某个地址，就会自动重定向到初始化向导界面，在其中输入WLC控制器的名称、管理IP、子网掩码、默认网关，在下一步窗口中输入网络名称、选择加密类型、设置连接密码等信息。完成初始化配置操作。

其二是通过Console口进行初始化，命令行界面中首先按照提示配置管理员账号和密码，之后设置控制器的名称，接着输入国家代码（例如“CN”），注意，控制器和AP的国家代码必须一致。然后根据需要来确定是否配置NTP，接下来按照提示配置网管IP和掩码以及默认网关，根据需要决定是否配置DHCP，之后输入SSID网络名称和预共享密钥，根据需要确定是否使用射频优化（例如使用高密度类型等），最后保存配置信息。

重启之后输入管理员名称和密码，进入之后执行“show interface summary”命令，在接口信息中看到管理端口没有打上Tag，可以执行“config interface vlan management 100”命令，为其打上对应的Tag。如果想切换到AP管理界面，可以执行“apciscoshell”命令，输入上述管理员账户和密码后执行“enable”命令即可。对应的，在“ME-AP>”提示符下执行“logout”命令。切换回控制器模式。

使用Mobility Express管理工具

在浏览器中访问“https：//192.168.1.109”地址，在打开页面中点击“登录”按钮，输入管理员账户和密码，进入简化版的Mobility Express管理界面，会显示网络配置的摘要信息（图1）。点击右上角的专家模式按钮，可以显示更多的配置项目。在左侧选择“管理”→“接入”项，在右侧可以分别激活HTTP接入、HTTPS访问、远程登录访问和SSHv2访问功能。对于SSH登录来说，在“ME-AP>”提示符下执行“enable”命令，输入管理员账户和密码。

在特权模式下执行“show version”命令，在状态信息中的“AP Image type”和“AP Configuration”栏中可以分别查看其镜像类型和是否具有控制器管理功能。在左侧选择“无线设置”→“无线接入点”项，显示关联的AP设备。对于主AP来说，在其图标上会显示“P”字样。在左侧选择“管理”→“软件更新”项，在右侧选择合适的传输方式（例如“TFTP”），以及具体的IP和升级文件存储目录，这样对于关联的AP来说，如果其存在软件版本不匹配的问题，就会按照上述预设的地址来下载升级文件，完成软件升级操作。

设置AP的基本属性

在AP列表中选择某个AP（例如主AP），点击最左侧的编辑按钮，在打开窗口中的“控制器”面板中显示控制器的名称和IP地址等信息，在“常规”面板中“IP配置”列表中选择“静态”项，输入该AP的管理IP。在“收音机1”和“无线电2”面板中可以针对2.4GH和5GHZ频段，分别设置管理模式、信道以及传输功率等参数。对于主AP来说，既可以管理无线控制器和控制从属AP，也可以作为接入点为客户端服务。

在左侧选择“无线设置”→“无线局域网”项，在右侧选择已经存在的无线网络项目（例如“kehulink”），点击最左侧的编辑按钮，在“常规”面板中激活“本地特征分析”项，开启DHCP和HTTP设备识别功能，即可以提取DHCP和HTTP的特征码，来对客户进行识别。通过DHCP特征码，可以识别客户设备是否使用了微软的系统。利用HTTP数据包中的“UserAgnet”字段，可以识别客户使用的浏览器类型等。在“无线局域网安全”面板（图2）中的“安全类型”列表中选择“WPA2企业版”项，即使用DOT1X方式认证。

点击“添加RADUIS身份验证服务器”按钮，输入外部RADIUS服务器的IP，这里使用ISE設备作为3A认证服务器，输入其管理IP和共享密钥。在“VLAN和防火墙”面板中的“使用VLAN标记”列表中如果选择“是”项，表示需要对管理端口启用Trunk功能并打上Tag标记，在“本地VLAN ID”栏中输入合适的VLAN号（例如“100”）即可。在“VLAN ID”栏中输入合适的VLAN ID号（例如“200”），表示将客户放置到该VLAN中。当然，这里没有考虑授权访问问题，只是简单地进行配置。在“流量整形”面板中的“QoS”列表中选择所需的级别，如果使用语音流量的话，可以选择“白金级”项。在“启用可视化控制”列表中选择“已启用”项，点击应用按钮保存配置信息。

在ISE中配置授权规则

为了有效地进行授权管理，可以在ISE的管理界面中点击菜单“Policy”→“Policy Elements”→“Results”项，在左侧选择“Authorization”→“Authorization Profiles”项，在右侧点击“Add”按钮，输入授权项目的名称（例如“Author01”），在“Common Tasks”面板中的选择“VLAN”项（图3），输入分配给客户端的VLAN号（例如“200”）。点击菜单“Administration” →“NetworkDevices”项，点击“Add”按钮，输入Mobility Express设备的名称（例如“MEAP”），设置其IP地址。选择“RADIUS Authentication Settings”项，在“*Shared Secret”栏中输入共享密钥。

点击“Submit”按钮，提交修改操作。点击菜单“Administration”→“Identities”项，点击“Add”按钮，输入账户的名称（例如“ClientUser1”），设置其登录密码，来创建该账户。点击菜单“Policy”→“Authorization”项，在授权规则列表首项右侧点击“Edit”项，在打开菜单中点击“Insert New Rule Ablove”项，输入该规则的名称（例如“Rules1”），在“Conditions”列中设置合适的条件，例如指定“NAS-IP-Address”的值为上述Aironet 1832I的AP中的WLC的IP，在“Permissions”列中选择VLAN等于200。这样，只要是来自该AP的用户，均将其分派到VLAN 200中。

注意，如果在上述AP的属性窗口中“VLAN ID”栏中输入合适的VLAN ID号（例如“200”），将客户放置到该VLAN中的话，那么在ISE中的授权就会被忽视，解决的方法是在Mobility Express命令行中执行“config wlan disable 1”“config wlan aaa-over enable 1”“config wlan enable 1”命令，为该默认WLAN激活3A认证功能。执行“config flexconnect group default-flexgroup vlan add 200”命令，将所有AP都放入默认的VLAN中，这里为VLAN 200。这样，才真正激活了3A认证和授权机制。

在客户端访问无线网络

在客户机上运行Cisco AnyConnect Secure Mobility Client工具，在连接列表找到上述“kehulink”无线连接项目，在其属性窗口中的“Security”列表中选择“WPA2 Enterprise AES”项，在“802.1X Configuration”栏中选择“Password”和“EAP-Fast”项。点击OK按钮，在登录窗口中输入预设的账户（例如“ClientUser1”）和密码，就可以连接到该无线网络中。执行“ipconfig”命令，显示其获取的IP地址。

在上述Mobility Express管理界面左侧选择“网络摘要”→“客户端”项，在右侧显示连接的所有客户信息。除了使用普通的PC等设备来管理Mobility Express设备外，还可以使用手机等移动设备对其进行管理，这需要使用到Cisco Wireless App这款工具。在上述Mobility Express管理界面中，在左侧选择“无线设置”→“无线局域网”项，在右侧点击“添加新的无线局域网”按钮，在打开窗口中的“常规”面板中输入配置文件名称和SSID名称（例如“MobileGL”）。

在“无线局域网安全”面板中的“安全类型”列表中选择“WPA2个人”项，输入预共享密钥。在“VLAN和防火墙”面板中的“本地VLAN ID”和“VLAN ID *”栏中均输入“100”，来创建该连接项目。使用手机连接到该无线接入点，运行上述APP程序，在其主界面（图4）中点击“+”按钮，输入Mobility Express设备的管理IP（例如“192.168.1.109”）、管理员名称和密码。点击“Add”按钮，即可进入该设备的管理界面，在其中可以对其进行管理了。当然，主要是查看运行和配置的信息。