在组织层面部署瞻博网络 Mist Edge
本章提供有关部署瞻博网络 Mist™ Edge 所执行的各种任务的信息。
创建 Mist 群集
在瞻博网络 Mist 门户上创建瞻博网络 Mist Edge 后,必须将设备添加到 Mist 群集。 集群可以包含单个边缘设备,也可以包含多个边缘设备。您可以在主动/主动或主动/被动配置中使用多个群集。
要创建集群:
- 在隧道终止服务页面中,指定用于配置 Mist Edge 群集的主机名或 IP 地址。
如果群集中有多个瞻博网络 Mist Edge,请列出每个设备的 IP 地址(用逗号分隔)。您在此页面中指定的主机名必须与您为每个瞻博网络 Mist Edge 配置的隧道 IP 地址相同。该 Hostnames/IPs 字段将根据您在 Mist Edge 清单页面中输入 Tunnel IP Configuration 的 IP 地址自动填充。每当在集群中添加或删除 Mist Edge 时,请务必验证此部分中的条目。有关更多信息,请参阅 隧道终止服务。
如果将多个瞻博网络 Mist Edge 添加到单个集群,则可以为同一集群中的所有瞻博网络 Mist Edge 创建主动/主动设置。对于主动/备用设置,您必须为要处于备用状态的瞻博网络 Mist Edge 创建第二个集群。如果主集群中的瞻博网络 Mist Edge 关闭,AP 将故障转移到辅助集群中的瞻博网络 Mist Edge。对于远程远程工作人员解决方案,请确保防火墙配置为允许来自远程 AP 的连接。 请考虑以下准则:
-
允许来自远程 AP 的 IPSec 端口 500/4500 和 RadSec 的端口 2083
-
防火墙必须将数据包的目标 IP 从远程 AP 转换为隧道 IP
-
获取远程 AP 连接的 Mist Edge 隧道 IP 的外部 IP(通常是防火墙 IP),将该 IP 附加到隧道终止服务下的主机名。
无需在 Mist Edge 或 AP 上进行其他配置,只需选择隧道类型为 IPSec 和 Radius 以通过 Mist Edge 代理
-
创建 Mist 隧道(组织级别)
创建集群后,您需要配置隧道并将隧道绑定到集群。通常,隧道是您列出要从企业网络扩展到接入点的所有用户 VLAN(客户端 VLAN)的位置。
要在组织级别创建 Mist 隧道,请执行以下操作:
- 在 Custer 窗格中,将隧道分配给您之前创建的主 Mist Edge 集群或辅助 Mist Edge 集群。在“主群集”或“辅助群集”字段中,从下拉列表中选择所需的群集。您可以在页面上的其他字段中保留默认输入或选择。
创建隧道后,将在 Mist Edge 上完成隧道终止服务下载。
配置 WLAN 模板
WLAN 模板是 WLAN 策略、隧道策略和 WxLAN 策略的集合。使用 WLAN 模板,您可以设置一次给定配置,然后将接入点附加到模板以自动继承该设置,而不是跨多个服务集标识符 (SSID) 重复给定配置。AP 和 WLAN 必须属于同一站点。
您必须使用 WLAN 模板来启用公司 SSID。您可以创建 WLAN 模板并将模板分配用于:
-
映射到 的特定站点或单个站点
Site-Group的集合。 -
添加了实际办公地点作为例外的整个组织。
要配置 WLAN 模板:
- 在“新建模板”页上,输入名称并选择或Entire OrgSite and Site Groups以分配模板。
图 1:分配给站点和站点组
的 WLAN 模板
图 2:分配给整个组织的 WLAN 模板,但有一些例外
- 在“WLAN 模板”页中,选择“WLAN”窗格中的“添加 WLAN”。在“创建 WLAN”页面中,可以指定安全设置。
- 在创建 WLAN 页面的 VLAN ID 字段中,指定要通过瞻博网络 Mist Edge 建立隧道的 VLAN 数量。
请注意,瞻博网络®系列高性能接入点不会通过隧道传输配置了未标记 VLAN 的任何 WLAN。您可以根据部署类型选择隧道传输的 AP。 - 对于组织级部署,请选择“自定义转发到”,然后从下拉列表中选择“Mist”。接下来,从隧道下拉列表中选择隧道配置文件。请注意,此 Mist 隧道必须与要通过隧道传输的 VLAN 相同。
