无线网络部署(瞻博网络接入点)
接入点分段
接入点(接入点)分段是瞻博网络接入点在全面部署和配置之前的初步实际准备工作。此过程从仔细拆箱每个接入点开始,确保所有组件都存在且完好无损。拆箱后,根据详细的无线现场勘察和低位设计,将接入点物理安装到指定位置。将接入点连接到瞻博网络 EX 系列交换机上支持以太网供电 (PoE) 的端口,满足电力需求。这些端口同时提供数据连接和电源,无需单独的电源插座。这种简化的分段可确保接入点已准备好通过 Mist 云进行自动载入和配置。
- 接入点的拆箱和物理安装。
- 通过 EX 交换机的 PoE 供电
瞻博网络提供各种硬件来支持您的无线网络需求。所有瞻博网络接入点均与瞻博网络 Mist 云和 Mist AI 协同工作,提供优质无线接入功能。
要快速比较不同型号的接入点,请参见下表。有关更多详细信息,请参阅 https://www.juniper.net/us/en/products/access-points.html。
| Wi-Fi 6E (802.11ax)、 | Wi-Fi 7 (802.11be) | |||||||
|---|---|---|---|---|---|---|---|---|
| 接入点型号 | AP24 | AP34 | AP45/E 系列 | AP64 | AP36/M | AP37 | AP47/D/E | AP66 |
| 部署 | 室内 | 室内 | 室内 | 户外 | 室内 | 室内 | 室内 | 室内 - 室外 |
| MIMO | 2x2:2 | 2x2:2 | 4x4:4 | 2x2:2 | 4x4:4 | 4x4:4 | 4x4:4 | 2.4 GHz:2x2:2 |
| 天线 | 2.4/6 + 5GHz | 2.4+5+6 GHz | 2.4/5/6+5+6 GHz | 2.4/6 + 5GHz | 2.4+5+6 GHz | 2.4+5+6 GHz | 2.4+5+6 GHz | 2.4/6 + 5GHz |
| 天线 | 内部 | 内部 | 内部/ 外部 |
内部 | 内部/ 方向/ 外部 |
内部 | 内部/ 方向/ 外部 |
内部/ 方向 |
| vBLE | 否 | 否 | 是 | 否 | 否 | 是 | 是 | 是 |
| 性能 | 高达 3.6Gbps | 高达 4.2 Gbps | 高达 9.6 Gbps | 高达 3.6Gbps | 高达 11.53 Gbps | 高达 11.53 Gbps | 高达 28.8 Gbps | 高达 9.38 Gbps |
| PoE | 802.3af PoE | 802.3at PoE | 802.3bt PoE | 802.3at PoE | 802.3bt PoE | 802.3bt PoE | 802.3bt PoE | 802.3at PoE |
选择合适的接入点
从 AP36、AP37 和 AP47 系列中选择合适的瞻博网络 Mist 接入点(接入点),取决于您的具体环境和对性能、天线类型和部署位置的要求。
- AP36: 这是标准室内 Wi-Fi 7 部署的首选。它提供稳定的性能,在 2.4 GHz 频段上提供 2x2 MIMO,在 5 GHz 和 6 GHz 频段上提供 4x4 MIMO,以及用于扫描的专用第四个无线电。这款解决方案完美平衡了 Wi-Fi 7 的基本功能和成本效益,适合办公室、零售和园区等需要高性能可靠连接的环境。AP36 专为提高效率和简化部署而设计。
- AP37:从Wi-Fi 的角度来看,AP37 与 AP36 相似。它还提供采用 vBLE 技术的高级定位服务,可用于数字化转型。
- AP47:AP47 是该系列中性能最高的顶级接入点。这是一款四频 Wi-Fi 7 接入点,在所有三个频段上都支持 4x4 MIMO,还有一个专用的第四类无线信号用于扫描。AP47 系列适用于需要最佳性能、速度和可靠性的最苛刻的关键业务环境。这包括大型企业办公室、体育场馆和高密度部署,在这些环境中,每一毫秒的延迟和千兆位的吞吐量都至关重要。它还具有双 10 Gbps 以太网端口以实现冗余
型号细节(天线和环境)
选择性能层(AP36/37 或 AP47)后,后缀(D、E 或 M)可帮助您为特定的物理空间选择合适的天线配置。
- 标准型号(AP47、AP36、AP37): 这些是带有集成全向天线的通用室内接入点。它们非常适合开放式办公空间、会议室和其他需要广泛、统一覆盖的典型室内环境。这是大多数部署最常见的选择。
- AP47D:“D”代表方向。该型号具有集成定向天线。您应该选择 AP47D 用于需要控制信号并聚焦特定方向容量的高密度环境。在演讲厅、礼堂或大型会议室中使用,在这些场合您希望为集中的用户群体提供服务,而又不想对附近的其他接入点造成信道干扰。
- AP47E:“E”代表外置天线。这是一个灵活的型号,因为它具有用于外部天线的连接器。如果您需要为独特或具有挑战性的环境定制覆盖模式,例如大型公共场所、天花板较高的仓库或需要精确瞄准信号的高货架,请选择 AP47E。
- AP36M:“M”代表多向。该型号是 AP36 系列独有的型号,专为室内环境而设计。它具有内置定向天线,但也可以使用外部天线。AP36M 是一款多功能选型方案,适用于需要将全向覆盖与定向信号相结合的空间,例如天花板高的仓库、高货架或大型开放式园区。
接入点入网
如果您按照前面所述正确激活了订阅,您的接入点就会自动载入您的 Mist 组织。如果您想单独载入接入点,或者想要添加更多接入点作为已声明接入点的扩展,请按照以下步骤作: 使用 Mist AI 移动应用载入一个接入点 ,或 使用 Web 浏览器载入一个或多个接入点。
要执行任一载入流程,您需要在接入点的后面板上找到声明代码标签。要载入多个接入点,可以使用采购订单 (PO) 中列出的激活码。
示例
接入点安装
您可以使用不同的方法将接入点安装在天花板或墙壁上。有关特定于您的接入点型号的说明,请参阅附录中的安装说明。
所有接入点均附带一个通用安装支架,可用于所有安装选项。要将接入点安装在天花板上,您需要根据天花板类型订购额外的适配器。
| 部件号 | 说明 |
|---|---|
| APBR-U | 用于 T 型杆和石膏板安装的通用支架。AP24 随附通用支架 APBR-U。如果您需要其他支架,则必须单独订购 |
| APBR-ADP-T58 | 支架适配器,用于将接入点安装在 5/8 英寸上。螺纹杆 |
| APBR-ADP-M16 | 托架适配器,用于将接入点安装在 16 毫米螺纹杆上 |
| APBR-ADP-T12 | 托架适配器,用于将接入点安装在 1/2 英寸上。螺纹杆 |
| APBR-ADP-CR9 | 托架适配器,用于将接入点安装在凹陷的 9/16 英寸上。T 型杆或通道导轨 |
| APBR-ADP-RT15 | 托架适配器,用于将接入点安装在嵌入式 15/16 英寸上。T 型杆 |
| APBR-ADP-WS15 | 托架适配器,用于将接入点安装在凹陷的 1.5 英寸上。T 型杆 |
接入点全自动部署
瞻博网络 Mist 接入点的全自动部署 (ZTP) 是实现快速高效无线网络部署的关键推动因素。接入点实现物理连接并开机后,它们会自动尝试与瞻博网络 Mist 云建立安全连接。连接成功后,系统会自动识别接入点并将其载入云平台。从那里,IT 管理员可以轻松地将这些接入点分配到特定站点,并将它们叠加到 Mist 仪表板内的数字楼层图上,从而简化库存管理,简化故障排除,并提供基于位置的服务,而无需在每台设备上进行手册配置。
- 接入点会自动连接到 Mist 云。
- 将接入点分配到特定站点和地图。
与 Mist 云的连接
完成初始设置任务后,您就可以验证站点与 Mist 云之间的通信是否正常运行了。确保所有必要的网络路径都畅通无阻,以实现无缝连接。瞻博网络接入点需要在您的互联网网关或防火墙上启用以下目标/端口,如下所示:
| 环境 | 目标 FQDN/端口 |
|---|---|
| 所有云 | ep-terminator.mistsys.net (TCP 443) redirect.mist.com (TCP 443) |
| 全球 01 | portal.mist.com (TCP 443) |
| 全球 02 | ep-terminator.gc1.mist.com (TCP 443) portal.gc1.mist.com (TCP 443) |
| 全球 03 | ep-terminator.ac2.mist.com (TCP 443) portal.ac2.mist.com (TCP 443) |
| 全球 04 | ep-terminator.gc2.mist.com (TCP 443) portal.gc2.mist.com (TCP443) |
| 全球 05 | ep-terminator.gc4.mist.com (TCP 443) portal.gc4.mist.com (TCP443) |
| 欧洲、中东和非洲 01 | ep-terminator.eu.mist.com (TCP 443) portal.eu.mist.com (TCP 443) |
| 欧洲、中东和非洲 02 | terminator.gc3.mist.com (TCP 443) portal.gc3.mist.com (TCP 443) |
| 欧洲、中东和非洲 03 | terminator.ac6.mist.com (TCP 443) portal.ac6.mist.com (TCP |
| 欧洲、中东和非洲 04 | terminator.gc6.mist.com (TCP 443) portal.gc6.mist.com (TCP |
| 亚太地区 01 | ep-terminator.gc7mist.com (TCP 443) portal.gc7.mist.com (TCP 443) |
| 亚太地区 03 | ep-terminator.gc7.mist.com (TCP 443) portal.gc7.mist.com (TCP 443) |
有关全球各种云实例的确切端口详细信息,请参阅以下文档:
打开接入点电源
当您打开接入点电源并将其连接到网络时,该接入点会自动载入瞻博网络 Mist 云。接入点入网流程包括以下步骤:
- 打开接入点电源时,接入点将从未标记 VLAN 上的 DHCP 服务器获取 IP 地址。
- 接入点执行 DNS 查找以解析瞻博网络 Mist 云 URL。有关特定云 URL,请参阅防火墙配置。
- 接入点与瞻博网络 Mist 云建立 HTTPS 会话以进行管理。
- 然后,在将接入点分配到站点后,Mist云通过推送所需的配置来配置接入点。
要打开接入点电源,请将以太网电缆从支持 PoE 的交换机连接到接入点上的 Eth0+PoE 端口。
一个接入点可以通过 802.3af 的功率连接到 Mist 云。但是,大多数接入点至少需要 802.3at 的功率,而部分接入点则需要 802.3bt 才能发挥全部功能。通常,802.3at 是接入点的最小建议 PoE 功率。有关接入点的 PoE 要求,请参见下表:
| 接入点 | 最低 PoE 要求 | 完全运行所需的瓦数 |
|---|---|---|
| AP12 | 802.3af | 12.9W |
| AP24 | 802.3af | 13.0 瓦 |
| AP32 | 802.3at | 19.5W |
| AP33 | 802.3at | 19.5W |
| AP34 | 802.3at | 20.9W |
| AP43 | 802.3at | 25.5W |
| AP45 | 802.3at/bt | 29.3W |
| AP63 | 802.3at | 25.5W |
| AP64 | 802.3af | 13.0 瓦 |
| AP36 | 802.3at | 29.3W |
| AP37 | 802.3at | 29.3W |
| AP47 | 802.3at/bt | 29.3W |
| AP66 | 802.3at | 25.5W |
AP45/47 需要 802.3bt 才能实现全部功能。在 802.3at 上,它具有基于配置内容的动态功能。
- 启用三个数据无线信号时,接入点将在任意两个数据无线×上执行 4×4,在 2.4 GHz 上执行 22,在 5 GHz 上执行 4×4,在 6 GHz 上执行 2×2。例如:
- 如果您的WLAN配置只配置了两个频段,则接入点将在两个数据射频上以 4×4 的方式运行。
- 如果配置配置了三个频段WLAN这意味着所有三个数据无线信号都处于活动状态,则接入点将在 2.4 GHz 上作为 2×2、在 5 GHz 上为 4×4 和在 6 GHz 上作为 2×2 运行。
您可能需要在交换机上启用链路层发现协议 (LLDP),以提供 802.3at 或 802.3bt 功率。如果要将接入点连接到的交换机不支持 PoE,请使用支持 802.3at 或 802.3bt 的 PoE 电源注入器。瞻博网络的产品列表中没有 802.3bt 电源注入器,因此我们将“Phihong POE60U-1BT-5”验证为 802.3bt 电源注入器。
现在,接入点应该在 Mist 门户中显示为绿色(已连接)。您还会注意到,接入点上的状态 LED 变为绿色,表示接入点已连接到 Mist 云。恭喜!您已成功接入点上线。
Mist Edge
瞻博网络® Mist™ Edge 将 AI 原生无线敏捷性和可扩展性扩展到园区边缘,摆脱了对传统无线控制器的依赖。瞻博网络 Mist Edge 支持数据集中化,非常适合受限于传统网络设计的组织,以及希望为访客和远程访问提供无缝无线移动性的企业。
组织使用瞻博网络 Mist Edge 时,瞻博网络 Mist 微服务云和 Marvis AI 引擎会对本地数据进行深入分析,令组织从中获益。这样的独特组合可以为组织带来敏捷性、可靠性和至简运维,同时还能借助动态分段来实现简化、无缝的大型园区漫游和安全 IoT。拥有瞻博网络人工智能原生网络平台,可以以前所未有的自动化和洞察力简化 IT 运维。
有了瞻博网络 Mist Edge,组织就可以在需要时轻松在园区内部署新的微服务及升级。您可以随时随地以一致、无缝和安全的方式部署和管理所需要的网络服务。
要快速比较不同型号的 Mist Edge,请参阅下表,有关更多详细信息,请参阅 https://www.juniper.net/us/en/products/access-points/juniper-edge-datasheet.html。
注意:Mist Edge ME-VM 不是生产环境支持的隧道终止平台。ME-VM 有不同的用例,可作为具有 Access Assurance 的非瞻博网络产品的代理。
| ME-X1-M | ME-X2-M | ME-X6 | |
|---|---|---|---|
| 最大接入点 | 500 | 2000 | 5,000 |
| Mac 客户端 | 5000 | 20,000 | 100,000 |
| 性能 | 4 Gbps | 40 Gbps | 100 Gbps |
| 接口 | 4 个 1000Base-T | 4 个 10GbE | 4 个 25GBase-X |
| 光学/光学器件 | 不适用 | SFP+ | SFP28 |
Wi-Fi Assurance 配置
Wi-Fi Assurance 配置是通过瞻博网络的 AI 驱动型平台优化无线用户体验的基石。此步骤涉及在您的组织内启用 WiFi 管理和保证订阅。启用后,IT 团队可以配置特定的无线服务级别预期 (SLE),以符合组织绩效目标,例如连接成功率、吞吐量和漫游性能。Mist AI 引擎根据这些已定义的 SLE 持续监控无线客户端体验,主动识别和诊断问题,提供可作的洞察,并自动进行故障排除,以确保为所有用户提供可预测、可靠和可衡量的无线网络体验。
- 在 Mist 云中启用 WiFi 管理和保证服务。
- 配置无线 SLE 并监控无线客户端体验
如本文档所示,我们有两种主要的部署方法:分布式和集中式(隧道式)。本节将介绍分布式方法的基本配置。
无线电设置(RF 模板)
RF 模板提供了一种方法,可以制作统一的无线电配置,并由组织中的所有接入点和站点共享。RF 模板在实现这一目的的同时,允许特定于型号的例外,以涵盖特定接入点或单个站点可能出现的不同用例。设置包括启用或禁用无线电频段、管理信道宽度、设置发射功率和配置接入点天线增益。
当每个接入点频段的默认设置菜单处于活动状态时,特定于接入点的默认设置可用于所有接入点型号。您可以从默认设置菜单中选择特定的接入点型号,以在 RF 模板中创建特定于模型的例外。在本文档中,我们假设您为站点内的所有AP执行一个RF模板(默认设置)。
从Mist左侧导航菜单中,选择 组织>RF模板 ,然后从显示的列表中选择现有模板,或单击创建 模板 按钮以创建新模板。
- 模板名称 — 这是显示在 RF 模板页面的模板列表中的名称。
- 国家/地区 — 您在此处的选择决定了哪些无线电信道以及哪些功率级别默认值可用于配置。如果将国家/地区设置保留 为“任何国家/地区”,则功率限制和信道可用性由“组织”>“站点设置”中选择的“国家/地区”(射频监管域)决定。
- 启用/禁用 — 打开或关闭模板中所有接入点的给定无线电频段。
- 自动 — 启用 2.4 GHz 无线电频段后,自动将管理接入点上的 2.4 GHz 无线电频段,以最大限度地提高性能。对于支持双频的接入点,此设置会根据定期发生的无线资源管理 (RRM) 分析,将 2.4 GHz 无线电转换为 5 GHz 或 6 GHz。支持双 5GHz 的接入点包括 AP43、AP45、AP63 和 AP47。支持 6GHz 的 AP 包括 AP24 和 AP47。RRM 可以在不支持自动转换的接入点上关闭 2.4 GHz 无线信号,因此接入点仅提供 5 GHz 频段。如果 RRM 发现这样做了,将会提高网络性能。
- 您可以为 2.4 GHz 频段选择“自动”,或在 RF 模板配置页面中为“双频无线电设置”选择“自动”,如下所示。
- 如果启用双频,请确保在 5GHz 频段上选择较窄的信道宽度(如 20 MHz),或使用定向天线以避免高频谱利用率。
- 下表描述了组合不同频段设置时的接入点无线电作模式。
| 2.4 GHz 模式 | 双频设置 | 作模式 |
|---|---|---|
| 实现 | 自动 | RRM决定双频无线电的频段(自动转换),适用于 - AP43、AP45、AP63 (2.4 GHz/5 GHz) - AP24 (2.4 GHz/6 GHz)。 - AP47(2.4 GHz/5 GHz 或 6 GHz) - AP36(2.4 GHz/5 GHz 或 6 GHz) - AP37(2.4 GHz/5 GHz 或 6 GHz) - AP66(2.4 GHz/5 GHz 或 6 GHz) |
| 实现 | 5GHz | AP36、AP37、AP43、AP45、AP63、AP66 和 AP47 将处于双 5 GHz 模式。两个无线信号均在 5 GHz 频段运行 |
| 实现 | 2.4GHz | 射频将设置为 2.4Ghz。 |
| 实现 | 6 GHz | AP24 将处于 6GHz +5 GHz 运行模式 AP36、AP37、AP47 和 AP66 在双频段 6 GHz + 5 GHz 运行 |
| 自动 | 2.4GHz | 允许 RRM 决定为每个接入点启用或禁用 2.4 GHz(自动取消)。适用于所有接入点型号。 |
- 信道宽度 — 对于 5 GHz 和 6 GHz 无线电频段,您可以为模板中的所有 AP 设置信道宽度。2.4 GHz 无线电频段使用固定的 20 MHz 信道宽度。如果需要,您可以指定无线电可以在每个无线电频段中使用哪些信道。
- 前导码 — 前导码是从接入点发送到客户端的数据包标头中的一组位,用于同步发送方和接收方之间的传输信号。序言的选项如下:
- 未配置 — 这意味着前导码不会从接入点发送到客户端。
- 短 — (默认)这仅适用于 2.4 GHz 无线电频段。这会导致更快的同步,但要求客户端在其关联请求中设置短前导码位。并非所有客户端实现都可以支持此设置。如果您看到关联失败(如“客户端不支持短前导码”),则可以更改接入点发送到客户端的前导码。
- 长 — 这会导致同步速度变慢,但支持更广泛的客户端。
- 自动 — 这会导致同步速度变慢,但支持更广泛的客户端。
- 功率 — 这是每个传输链给定数据速率允许的最大传输功率。请注意,由于总功率输出通常包括任何 MIMO 增益,因此在配置发射功率时,应从总功率输出 (TPO) 中扣除 MIMO 增益。
- 瞻博网络接入点的 TPO 等于每个无线电链的发射功率加上 MIMO 增益。
- 为简单起见,您可以使用 MIMO 增益值的一般经验法则:2 个空间流 (2x2) 产生 3dB 的 MIMO 增益,4 个空间流 (4x4) 产生 6dB 的 MIMO 增益。
-
例如,如果将任何瞻博网络 4x4 接入点配置为每条链 17 dBm,则将 6 dB 添加为 MIMO 增益,因此总传输功率为 23 dBm。
- 信道 — 对于 5 GHz 和 6 GHz 无线电频段,您可以为所有接入点设置允许的信道(适用于所选国家/地区)。当设置为自动时,所选国家/地区中所有允许的频道都可用。对于 6 GHz,首选扫描信道 (PSC) 由 IEEE 定义。例如,欧盟允许使用美国允许的一半 6 GHz 信道。
- 外部天线增益 — Mist 支持 1 dBm 增量(尽管我们建议使用与现场调查预测设计中指示的中值正负 3 dBm 的范围)。例如,一些外置天线经过认证,达到一定的增益水平,这取决于接入点和天线的组合。要防止增益超过特定接入点模型和监管域允许的最大值,可以调整此设置。
除了此处介绍的“RF模板”页面外,您还可以在“组织>设备配置文件”、“站点>无线电管理”>“无线设置”中以及在每个瞻博网络接入点上单独配置RRM变量和其他设置。要了解这些不同级别上的设置之间的关系和交互,请参见下文。
- RF 模板 — 通过将默认设置菜单保留在默认设置中,配置一个或多个站点中的所有接入点。通过从“默认设置”菜单中选择特定的接入点模型,在一个或多个站点中配置特定的接入点模型。
- 站点>无线电管理>无线设置 — 配置站点内的所有接入点或站点内的特定接入点型号。在此页面上进行的设置将覆盖 RF 模板设置。
- 组织>设备配置文件 — 配置映射到设备配置文件的所有接入点,并覆盖RF模板和站点>无线电管理>无线电设置中的设置。
- 接入点设置 — 配置特定接入点并覆盖所有其他设置。
瞻博网络 RF 模板推荐
在 RF 领域,最佳配置取决于影响客户群的许多变量,例如干扰、接入点放置、天线类型、用户数量、使用模式等。瞻博网络建议遵循最佳实践并做出某些假设。因此,在初始配置后,除了 SLE 之外,还请务必查看站点无线电管理站点摘要统计信息(站点>无线管理),以监控网络的运行状况。
- 国家/地区。
- 选择计划部署接入点的国家/地区。
- 2.4GHz 设置配置块:
- 默认设置菜单 — 选择默认设置后,您在设置块中所做的配置设置将应用于组织中的所有接入点。要对特定接入点型号使用不同的配置,请从菜单中选择该型号,然后在配置块中进行更改。您可以使用设备配置文件对一个或多个接入点进行更改。您还可以通过从接入点>名称编辑接入点本身来更改单个接入点接入点。
- 已启用频段:已启用。
- 序言:简短
- 功率:自动,功率范围为 5 – 12 dBm
- 通道:自动
- 外置天线:如果您使用的是外置天线,请添加天线增益值。
- 5 GHz 设置配置块:
- 默认设置选项(如果需要为任何模型类型进行覆盖配置),则可以选择模型(将默认设置更改为特定模型)或使用设备配置文件执行此作。
- 已启用频段:已启用。
- 信道带宽:40 MHz。
注意:
监控 5 GHz 的无线电管理站点汇总统计信息,如下图所示。如果 接入点密度 的值> 0.7 或 AVG. # Co Channel Neighbors > 1,则将信道宽度更改为 20 MHz。建议不要在任何企业部署中使用 80 MHz 作为信道宽度。
-
功率:自动,功率范围在最小 5 dBm 到最大 17 dBm 之间,具体取决于当地监管领域允许的最大功率。
注意:我们强烈建议您将 5 GHz 功率设置保持在比 2.4GHz 最大功率高 3 到 6 dBm 之间,以激励客户端与 5Ghz 关联以获得更好的性能。
- 通道:自动。
- 外置天线:如果您使用的是外置天线,请添加天线增益值。
- 6 GHz 设置:
- 默认设置菜单 — 选择默认设置后,您在设置块中所做的配置设置将应用于组织中的所有接入点。要对特定接入点型号使用不同的配置,请从菜单中选择该型号,然后在配置块中进行更改。您可以使用设备配置文件对一个或多个接入点进行更改。您还可以通过从接入点>名称编辑接入点本身来更改单个接入点接入点
- 已启用频段:已启用
- 信道宽度:80 MHz(在 FCC 域中)和 40 MHz(在 ETSI 域中),具体取决于每个域的信道可用性。监控无线电管理站点摘要统计信息,就像监控 5 GHz 一样。
-
功率:自动,功率范围在最小 5 dBm 到最大 17 dBm 之间,具体取决于当地监管领域允许的最大功率。
注意:我们强烈建议您将 5 GHz 功率设置保持在比 2.4GHz 最大功率高 3 到 6 dBm 之间,以激励客户端与 6Ghz 关联以获得更好的性能。
- 通道:自动。
- 外置天线:如果您使用的是外置天线,请添加天线增益值。
下面是适用于大多数用例的 RF 模板示例。
以下示例说明如何针对不同的用例进行调整:
- 专为高密度 5 GHz 或 6 GHz 而设计的企业部署
以专为高容量 5 GHz 或 6 GHz 设计的典型企业部署为例。如果我们查看 2.4GHz 无线电管理站点摘要(站点>无线电管理)上的同信道和密度指标,我们会发现每个接入点平均有 2.6 个同信道邻居。密度指标为 1.0。该站点将是自动取消或自动转换的绝佳候选者。
要启用自动转换,只需在 RF 模板的双频无线电设置下选择“自动”,然后将 RF 模板分配给站点即可。
- 礼堂部署,专为高密度双频 5 GHz 而设计
最后一个示例是礼堂、会议室或其他客户端密度高于正常人员密度的区域,您可能需要在站点中的所有接入点上配置双 5 GHz。
如果您的环境是一个混合环境,您希望在某些区域启用双 5GHz,但不想在其他区域启用双 5GHz,那么您需要利用设备配置文件。
要启用双 5 GHz 无线电,只需选择“双频无线电设置”块中的 5 GHz 单选按钮,如下所示。
SSID 和安全性策略配置
- 服务集标识符 (SSID) 和安全性策略配置是定义无线网络可访问性和安全态势的基本方面。这涉及创建由瞻博网络接入点广播的各种 SSID。您可以为企业用户、访客访问和专用 IoT 设备配置单独的 SSID。对于每个 SSID,都需要对身份验证方法进行精心配置,从具有安全用户和设备身份验证RADIUS集成的强大 WPA2/3-Enterprise,到用于特定用例的更简单的预共享密钥 (PSK) 身份验证或开放网络,应有尽有。SSID 和安全性策略配置还包括:
- 创建 SSID(例如,企业、访客、IoT)。
- 配置身份验证方法(WPA2/3 企业、PSK、开放)。
- 与 RADIUS/身份管理系统集成。
- 基于用户/设备角色实施动态 VLAN 分配。
WLAN 模板
在瞻博网络Mist您可以直接从“站点> WLAN”页面创建WLAN (SSID),也可以从“组织>WLAN模板”中的“WLAN模板”页面创建 (SSID)。使用 WLAN 模板的主要好处是,可以将模板分配给一个或多个站点或整个组织。这种灵活性允许大规模进行一致、可重复的配置,并支持一次对所有接入点进行快速更改。站点> WLAN 级别的直接WLAN配置仅适用于该单个站点。
模板对于自动化非常有用,但如果只有 1 个站点,则不需要。例如,可以使用 WLAN、隧道策略和 WxLAN 策略创建访客模板,并将其应用于整个组织。应用后,组织中的每个接入点都会广播访客 WLAN。
考虑一个 IoT 模板。同样,这可能包含启用 IoT 的所有内容,并绑定到名为 IoT 的站点组。部署新站点时,该站点上的 IoT 设备成为站点组的一部分,并且 IoT WLAN 立即可用。
配置 WLAN 模板
在瞻博网络 Mist 门户中,无线 LAN (WLAN) 是模块化元素,其中包含服务集标识符 (SSID) 的安全性和其他配置设置。WLAN 模板是 WLAN、访问策略和隧道策略的集合,可用于简化组织级别的 WLAN 配置和管理。
WLAN 模板采用模块化设计,可以附加到不同的站点或设备配置文件。这样,您就可以混合和匹配所需的 WLAN、站点和接入点排列,以涵盖组织中的所有用例。您的无线客户端将只看到您希望它们看到的 SSID。
使用 WLAN 模板时,通常最好在设置站点后(在声明接入点之前或之后)创建它们。为了让 Mist 门户内容清晰可见,最好为 WLAN 模板指定与 WLAN (SSID) 相同的名称,即客户端将看到的名称。所有这一切背后的理念是,一旦创建完所有站点、WLAN、WLAN 模板和设备配置文件,就可以轻松进行关联。
对于每个模板,您可以选择要包含的 AP,即哪些 AP 将广播 SSID。如果每个 WLAN 或 WLAN 模板中的设置与为给定接入点指定的设置冲突,或者与应用到站点其他地方的设置冲突,系统将提示您选择应优先的设置。
要创建 WLAN 模板,请按照以下说明作: 配置 WLAN 模板。
有关 WLAN 和 WLAN 模板中的配置选项的信息,请参阅 WLAN 选项 。
瞻博网络 WLAN 模板推荐
常规准则
WLAN 配置因多种因素而异,例如用户设备兼容性、覆盖范围、干扰、容量和业务需求。在本节中,我们将使用最佳实践提供一些 WLAN 模板和 WLAN 设置示例。请参阅 Wi-Fi 设计基础知识,了解无线频段选择和规划的注意事项和建议。
WLAN 设置准则
以下是 WLAN 的推荐常用配置。
- SSID:使名称与你打算提供的服务相关(例如,访客网络的“访客”或员工服务的“员工”或“员工”)。这并非必需设备,但可以帮助用户连接到正确的 SSID。
- WLAN 状态:已启用 — 允许 AP 广播 SSID
- 隐藏 SSID:未选中 — 某些客户端在连接到隐藏 SSID 时出现问题。
-
无线电频段:如果您的 AP45 或 AP34 具有全部三个可用无线电,请选择(选中)所有三个频段 — 启用所有三个无线电频段以提供更好的网络容量。如果您的某些 AP 不支持 6 GHz,请仅选择 2.4 GHz 和 5 GHz。
注意:启用6 GHz无线电频段会强制您选择WPA3或OWE作为SSID安全性类型,从而消除不太安全的选项。
- 频段控制:已禁用 - 许多客户端设备在频段切换时存在问题。
- 客户端不活动:保留默认值 1800,因为大多数客户端和应用程序使用此设置可以顺利运行。
- 地理围栏:对于大多数部署,请将其保持禁用状态,除非需要启用它。
- 数据传输速率:如果网络中没有使用此 WLAN 的传统用户设备,请选择高密度(禁用所有较低速率)选项。此设置可提高 WLAN (SSID) 利用率,增强客户端漫游体验,并减少“粘性客户端”的发生。
- WiFi 协议:当您创建新的 WLAN 时,无论您是在模板中还是直接在网站上创建 WLAN,Mist 都会同时启用 Wi-Fi 协议(WiFi 6 和 WLAN)。在撰写本文档时,有大量客户端支持 WiFi 6。我们建议您保持启用 WiFi 6。WiFi 7 客户端的支持仍然差异很大,对单个 WiFi 7 功能的支持也是如此。如果您没有任何 WiFi 7 AP,则可以安全地关闭 WiFi 7。
- WLAN 速率限制:(默认禁用)除非您有特殊需求,否则建议将此功能保留为禁用状态。例如,您可以对整个 WLAN 进行速率限制、对每个客户端设备进行速率限制或限制访客网络上的特定应用,以防止访客过度使用服务,这可能会对其他访客用户或整个网络造成影响。
- 适用于接入点:默认情况下,此设置设置为所有接入点。或者,您可以仅将模板应用于标有特定标签(如大厅)的接入点,也可以将模板应用到特定接入点列表。
- 安全性:您在此处选择的设置取决于用例。下面列出了一些用例。
- 对于教职员工和注册学生,如果您的网络使用现有 IDP 或 RADIUS 进行身份验证,强烈建议您配置 WPA3-Enterprise。使用 Mist Access Assurance (如果可用)或配置本地 RADIUS 服务器。
- 若要在小型部署中或没有可用的 IDP/RADIUS 时进行安全访问,请使用 WPA3-Personal (SAE) 或 WPA2-Personal (PSK)。我们强烈建议使用 WPA3-Personal 来增强安全性,前提是所有客户端设备都支持它。
- 对于访客访问,请使用内置访客门户进行登陆和身份验证。将 WLAN 安全性设置为 OWE 或 开放接入。如果访客设备支持,我们建议使用 OWE 来增强安全性。
- 对于 IoT 和 BYOD 部署,请使用 多预共享密钥 (mPSK) 框架。我们同时支持 WPA2 和 WPA3:
- WPA2-mPSK 支持本地接入点级查找、基于云的 PSK 和 RADIUS 集成。
- WPA3-mPSK 目前仅支持基于 RADIUS 的查找。
- 建议使用 WPA3,其中允许设备兼容性,以实现更强大的加密和策略实施。
- 要启用 MAC 身份验证旁路 (MAB),请配置 RADIUS 查找以及 SSID 安全设置,例如开放、OWE、WPA2-Personal 或 WPA3-Personal。
- VLAN:瞻博网络建议为每个 WLAN 分配一个专用 VLAN,以尽量减少第 2 层广播域并提高性能和安全性。您可以将 WLAN 映射到标记的 VLAN、VLAN 池或动态 VLAN。请注意,动态 VLAN 仅受 WPA2 或 WPA3 企业安全性支持。
- 隔离:默认情况下禁用隔离。某些用例需要在同一接入点或同一第 2 层子网上进行客户端隔离。
- 过滤:要优化 WLAN 性能,请启用 ARP 过滤和广播/组播过滤。这些设置可减少管理帧流量并释放无线电联网时间。仅当特定应用用例需要时才禁用过滤。
- 自定义转发:默认情况下,已标记或未标记的客户端流量通过主以太网端口 Eth0 进行转发。对于分布式接入点部署,不需要进行任何更改。对于集中式部署,下一章将介绍替代转发选项。
- QoS 优先级:多媒体扩展 WMM 和 APSD 默认启用,对于大多数部署应保持不变。对于特定用例,您可以覆盖 QoS 设置,以将所有 WLAN 流量映射到定义的优先级级别,例如后台、尽力而为、视频或语音。
- Bonjour 网关:默认情况下,此功能处于禁用状态。启用 Bonjour 网关用于学校中的媒体或打印机共享或酒店房间中的 IPTV 共享等用例。要配置,请选择所需的服务(例如,AirDrop、AirPlay、AirPrint、Amazon 设备、GoogleCast 等),然后将服务范围定义为接入点、站点或平面图。
瞻博网络 WLAN 模板示例
在上一节中,我们提供了有关模板设置、其默认值和一些最佳实践的信息。在本节中,我们提供了模板用例示例,以进一步说明特定场景下的最佳实践。
面向授权用户的基于企业 (802.1x) 的 WLAN
在此示例中,我们将使用瞻博网络最佳实践和建议配置 WLAN。我们使用之前部署的本地 RADIUS 服务。下图说明了网络架构。
首先,我们应用以下列表中所示的最佳实践设置
- 如前所述创建 WLAN 模板,然后将 WLAN 添加到模板。
- 在 WLAN 设置中,将 SSID 名称设置为 Staff。
- 将 WLAN 状态设置为 已启用。
- 启用所有三个无线电频段(2.4、5 和 6 GHz)
- 确保禁用(未选中)所有地理围栏复选框。
- 在“数据速率”块中选择 “高密度(禁用所有较低速率), 以避免使用传统设备并提高网络性能。
- 在 WiFi 协议块中启用 WiFi-6。
- 在隔离块中,启用过滤(无线)中的ARP、广播/组播和允许mDNS复选框,如下所示:
将其余配置块留在左侧以设置为其默认值。
- 在“创建 WLAN”窗口的“ 安全性 块中):
- 选择 WPA3 作为安全性类型
- 选择 企业 (802.1X)
- 在快速漫游部分中,启用 .11r
如果所有客户端设备都支持此设置,则建议使用此设置。如果没有,请启用默认。
- 在 802.1X Web 重定向块中,可以选择在客户端完成 802.1X 身份验证后将客户端重定向到网页,例如 隔离的门户。注意:802.1X Web重定向框仅适用于安全类型为企业(802.1X)的WLAN。您可以使用 Web 重定向功能为客户端提供对网络的全部或部分访问权限。此功能使您能够对安装了代理的客户端执行合规性检查。在客户端身份验证期间,RADIUS 服务器发送一条包含 URL 重定向 AVP 的 Access-Accept 消息,以将客户端指向隔离的门户进行修复。启用此功能后,客户端最初仅限于 DHCP 和 DNS、特定子网和指定的重定向 URL。当客户端在门户中完成请求的作时,将获得完全授权并允许其开始传递流量。
- 如果要使用 Web 重定向功能,请在“802.1X Web 重定向”部分中选择 “已启用” 。然后,指定被重定向的客户端可访问的允许的子网和允许的主机名。
- 在认证服务器块中,选择 RADIUS 作为服务器类型。注意: 仅当您在“安全性类型”下选择了 WPA3 和 企业 (802.1X) 时,“身份验证服务器”配置块才可用。
- 单击 RADIUS 身份验证服务器下的 添加服务器 。
- 在“ 主机名 ”字段中键入 RADIUS 服务器的 IP 地址或 DNS 名称
- 端口号字段默认为 1812。如果需要,请更改它。
- 输入共享密钥,然后单击复选标记 (√) 以保存此RADIUS服务器。
您可以添加多个 RADIUS 服务器以实现冗余。
- 单击 RADIUS 计费服务器下的添加服务器。
- 添加计费服务器的方式与添加身份验证服务器的方式相同。在大多数情况下,计费服务器与身份验证服务器相同。
- 选择(选中)启用临时计费,以便接入点可以在用户会话的生存期内向计费服务器发送定期更新。如果未启用,接入点将仅在用户会话开始和结束时发送更新。
- 或者,您可以配置 NAS 标识符 属性。NAS 标识符是用户可配置的属性值对 (AVP),每个 WLAN 配置可能唯一。配置了此 WLAN 的所有 Mist 接入点都会发送 NAS-Identifier 值。请注意,Mist 云允许动态有效负载配置,例如使用预定义变量发送当前接入点主机名、站点名称、接入点 MAC 地址或接入点模型。有关变量的信息,请参阅 配置站点变量 。在此示例中,我们使用变量将 NAS 标识符设置为 WLAN 的名称和分配的站点名称,如下所示。
- 在 CoA/DM 服务器块中,您可以添加 CoA/DM 服务器。
- 授权变更 (CoA) 允许您在初始身份验证后修改授权的 RADIUS 会话,以满足不断变化的访问要求。例如,启用管理员发起的会话重置等用例。
- 在 VLAN 块中,选择标记(静态)或动态。对于动态,我们支持命名 VLAN (Airespace-Interface-Name) 或 VLAN ID。下图描述了使用每种方法的配置示例。最适合您的网络的方法取决于 RADIUS 服务器的功能。
应用上述配置后,单击“编辑 WLAN”窗口中的 “保存 ”。
客户端接入 WLAN
对于客户端入网,瞻博网络 Mist 利用 BYOD (SSO) 提供的 mPSK(多预共享密钥)功能,使用简单的门户实现自动化并简化安全无线连接流程,使客户端无需 IT 人员参与即可配置访问权限。
客户端入门的优势 – PSK 门户:
- 通过简单的点击即走流程自动引导客户端。
- 没有传统的本地服务器或设备。
- 完全控制已加载的客户端,包括基于角色的有效性以及每个 PSK 的并发设备数。
- 了解每个 PSK 的使用情况。
通过瞻博网络 Mist 客户端载入门户,用户可在 BYOD 门户中使用多个 PSK 自行配置设备,并进行简单的门户重定向。门户会提示用户输入其凭据,然后根据配置的组织策略为该特定用户生成自动 PSK。下图说明了自配置过程的工作流。
- 先决条件
- 如果您计划使用云 PSK,则必须订阅 Mist Access Assurance
- S-客户端-S-Y
- Y 表示订阅 1 年、3 年或 5 年的年数。
- 配置了 mPSK ORG 级别 SSID (WLAN)。
- 使用 SSO 的 SAML 2.0 身份提供程序
- 如果您计划使用云 PSK,则必须订阅 Mist Access Assurance
如前所述创建 WLAN 模板,然后在模板中添加 WLAN,如以下步骤所示。
- 在 SSID 块中:
- 将 SSID 命名为 BYOD。该名称不是强制性的,对于此示例很容易记住。
- 在 WLAN 状态块中:
- 保持 WLAN 处于启用状态。
- 在“无线电频段”部分中选择 2.4 GHz 和 5 GHz 。
- 在地理围栏块中:
- 禁用所有内容(未选中)。
- 在“数据传输速率”块中:
- 启用(选择)高密度(禁用所有较低速率)。这排除了传统设备并提高了网络性能。
- 在 WiFi 协议块中:
- 保持 WiFi-6 和 WiFi-7 处于启用状态。
- 保留 WLAN 速率限制块,并按原样应用于接入点块。
- 在隔离块中,将过滤(无线)设置为:
- 启用 ARP。
- 启用广播/组播。
- 将其余块保留在“编辑 WLAN”窗口左侧的原样(保留默认值)。
- 在“安全性块中):
- 选择 WPA2,这是使用 SSO 载入的 mPSK 支持的加密)。
- 选择 个人 (PSK)。
- 选择 多个密码短语 和 本地。本地或云端 PSK 都可以在这里工作。在本例中,我们使用本地。
- 在快速漫游部分中,保持 默认 值处于选中状态。
- 在 VLAN 块中,选择已标记。
完成这些设置后,您就可以开始载入客户端配置过程了。您必须拥有支持SSO和SAML 2.0的身份提供商之一的用户帐户。要允许用户自行入网,他们必须使用其 SSO 进行身份验证。在此示例中,我们使用 auth0 作为 SSO 提供程序,但您可以使用任何支持 SAML 2.0 的标准 SSO 提供程序。
首先,您必须有一个带有 auth0 的帐户。如果您没有帐户,请在 https://auth0.com/signup?place=header&type=button&text=sign%20up 注册并创建一个帐户。
- 创建帐户后,使用新帐户登录 auth0。
- 从左侧主菜单中选择应用程序>应用程序
- 创建应用程序。
- 将应用命名为 Mist。
- 选择您刚刚创建的应用程序,然后单击“插件”选项卡。
- 启用 SAML2 Web 应用。
- 在“插件”页面的“使用情况”选项卡下,SAML2 Web 应用参数显示“ 颁发者”、“ 身份提供商”和 “身份提供商登录 URL”,所有这些都是 Mist 门户中载入所必需的。
- 下载并保存身份提供程序证书。将其他信息放在手边,以便在后续步骤中使用。
- 选择“设置”选项卡并将下面的文本粘贴到“设置”窗口中以替换(覆盖)窗口中的现有文本。
{ "signResponse": true, "mappings": { "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/userEmail" }, "nameIdentifierProbes": [ "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/userEmail" ] }
结果如下所示:
- 在浏览器中打开一个新选项卡,然后 https://manage.mist.com 登录到您的Mist门户。
- 转到 组织 > 访问 > 客户端载入。
- 单击 添加 PSK 门户。此时将显示“ 编辑 PSK 门户” 窗口。
- 在门户设置选项卡上,输入 PSK 门户的名称。在此示例中,将其命名为 BYOD,然后选择 BYOD (SSO) 作为门户类型。
- 在门户 授权 页签中,填写如下信息。使用从上面的 Auth0 > Mist App > SAML2 Web App Addons > Usage 窗口保存的信息。
- 选择 PSK 参数 选项卡并填写如下图所示的信息。
- 完成此步骤后,保存配置并再次打开配置,您会注意到已生成一个新文件。在下一步中根据需要复制链接,现在从上一步返回浏览器中的 auth0 选项卡。
- 在之前创建的 Auth0 应用程序中,选择“设置”选项卡。在应用程序回调 URL 中,通过您在上一步中复制的 URL 链接(从Mist>客户端载入>编辑 PSK 门户)。
- 在 Auth0 中启用配置。这会将您带回单击“保存”的主屏幕。
现在,我们在 Auth0 中创建一个测试用户。如果 Auth0 中已有用户,则可以跳过此步骤。
- 从左侧菜单中选择用户管理>用户。点击 + 创建用户。
- 输入您选择的 电子邮件 和 密码 。如果需要,请确认密码,然后单击创建。
所需配置至此完成。当您打开 Mist 客户端入网时,客户端列表如下图所示。请注意,所有字段均已填写。
登录后,用户将被引导至 Auth0 SSO 页面进行身份验证。身份验证成功后,系统会将您重定向到 Mist 载入门户,您可以在其中使用移动设备扫描码并配置 SSID。或者,如果您的设备上没有可用的条形码扫描,您可以复制信息。完成后,系统会向用户发送一封电子邮件。
如前所述,我们有两种主要的部署方法:分布式和集中式(隧道式)。我们之前解释过分布式方法的基本配置。在本节中,我们将介绍如何配置集中式部署。
Mist 解决方案利用 Mist Edge 设备来处理需要为园区和分支机构部署保留集中式数据路径架构的情况。这些隧道式部署可提供相同级别的冗余和对公司资源的访问,同时扩展对用户网络体验的可见性,并简化 IT 运维。
瞻博网络接入点可形成 L2TPv3 隧道,从而同时从位于园区、数据中心或停火区的一台或多台 Mist Edge 设备扩展一个或多个 VLAN。接入点可以同时支持本地和集中式数据路径。
工作原理
集中式解决方案利用 Mist Edge 设备将集中式企业、生产或访客 VLAN 扩展到使用 L2TPv3 隧道的接入点。Mist 云编排 Mist 隧道;如果Mist Edge或接入点与Mist云的云连接中断,数据路径将得到维护。
- Mist Edge 基于多服务架构,因此可以根据需要升级单个服务,停机时间为 3 秒,无需重新启动。
- 接入点固件和 Mist Edge 服务版本解耦;升级 Mist Edge 设备的固件不需要同时升级接入点固件。
- 接入点可组成多条隧道,连接至站点、停火区和数据中心内的不同 Mist Edge 群集。您可以根据为 802.1x 经过身份验证的无线 LAN 返回的 RADIUS 属性映射要通过隧道或本地桥接的用户流量。
- 接入点可以同时支持隧道式 WLAN 和本地桥接 WLAN。WLAN 类型并不互斥。
- Mist 的云驱动型AI通过服务级别预期 (SLE) 框架和AI驱动型Marvis引擎(包括用于故障排除和根本原因分析的自然语言处理)以及Marvis作,提供前所未有的用户体验可见性。IT 团队可以利用这些 Marvics 功能远程解决用户问题。
在集中式方法中,我们可以采用两种不同用例中的任何一个,如下所示:
- 企业或园区
- 远程办公人员和远程办公室。
Mist Edge 配置组件
Mist Edge 提供由云编排的简单而强大的配置方案。下面讨论了在您的网络中部署 Mist Edge 所需的配置对象:
- Mist Edge — 硬件或虚拟设备。与瞻博网络接入点一样,Mist Edge 硬件设备也带有一个声明代码,可在 Mist 门户中使用,也可以通过移动应用扫描该代码,将 Mist Edge 设备添加到组织的库存中。在 Mist Edge 配置中,您可以配置隧道 IP,即 IP 地址或主机名,接入点将使用它来形成隧道。
- Mist Edge 群集 — Mist Edge 设备必须是群集的一部分,才能主动终止来自接入点的隧道。一个 Mist Edge 群集可以由一个或多个 Mist Edge 设备组成。在正常作下,群集成员处于主动-主动模式,并对所有接入点隧道进行负载均衡。Mist GUI 仅允许您配置主群集和辅助。但是,使用 API,您可以配置的 Mist Edge 群集数量没有限制。
- Mist 隧道 — Mist 隧道对象包含用于确定隧道协议、端点、隧道 VLAN、故障切换计时器等的属性。隧道配置决定了接入点隧道终止的主群集和辅助群集。接入点将在主群集中的 Mist Edge 之间进行负载均衡。
Mist Edge 入网
在继续配置 Mist Edge 设备之前,请验证您的 Mist Edge 订阅,以避免任何与订阅相关的问题。可以通过选择Mist门户中“组织>订阅”页上的“摘要”选项卡来验证Mist Edge订阅状态。请联系您的瞻博网络 Mist 合作伙伴或代表,他们可以获取添加 Mist Edge 订阅的报价或提出试用订阅请求。Mist Edge 订阅按每个接入点进行授权,每个接入点隧道都需要一个 Mist Edge 订阅。
Mist Edge 的上线作非常简单。无需预先准备。Mist Edge 设备可以直接运送到分支机构或园区,安装并上线。
在 Mist 仪表板上申请
从Mist门户的左侧导航菜单中,转至 Mist Edge > Mist Edge 清单>声明Mist Edge。
输入采购订单上提供的索赔代码,也可以在设备拉出标记中看到。或者,您还可以使用 Android 或 Apple 手机上的 Mist AI 应用扫描二维码来声明单个设备。
声明 Mist Edge 设备后,Mist 门户的 Mist Edge 页面上会显示已断开连接并已注册。
设置 Mist Edge
Mist Edge 设备通常驻留在停火区、数据中心 (DC) 或园区内,一只臂连接到互联网,另一臂连接到可信网络。在继续配置之前,您必须了解 Mist Edge 设备的物理端口连接。
物理端口连接概述
下图显示了 Mist Edge 端口配置要求:
强烈建议您在不同的子网上配置 OOBM 和隧道终止 IP 地址。
配置 OOBM
将 Mist Edge 的带外管理 (OOBM) 端口连接到交换机上的访问模式接口。Mist Edge 设备使用 OOBM 端口与 Mist 云通信,以进行配置、遥测和生命周期管理。下图显示了 Mist Edge X1 设备上的 OOBM 和其他端口。
Mist Edge 设备上的 OOBM 端口标记为 MIST。默认情况下,OOBM 端口配置为 DHCP。根据您的网络,有两种配置静态 IP 的方法。
要配置静态 IP,可以从 Mist 仪表板进行配置。如果您的网络有 DHCP,建议先使用 DHCP 连接到云,然后使用仪表板配置静态 IP:
转至 Mist > OOBM IP 地址的边缘。
若要使 Mist Edge 与 Mist 云通信,必须为 OOBM 接口允许特定的 FQDN 和端口。有关最新信息,请参阅此链接: https://www.juniper.net/documentation/us/en/software/mist/mist-management/topics/ref/firewall-ports-to-open.html。必须使用该页面上列出的特定于区域的 FQDN,因为 IP 地址将发生变化。配置 OOBM 并制定防火墙规则后,Mist Edge 将在 Mist Edge Inventory 页面上显示为 已连接( 带有琥珀色点,如下所示)。
如果 5 分钟后 Mist Edge 仍未显示为已连接,您可以使用 OOBM IP 地址通过 SSH 连接到 Mist Edge 设备。通过 SSH 连接后,您可以使用设备的 CLI 对连接问题进行故障排除。
配置隧道终止服务
隧道终止服务侦听 AP 以请求 L2TPv3 隧道连接。完全配置 Mist Edge 后,该服务将自动安装。
为防止网络中断,在 Mist Edge 设备收到隧道 IP 地址并配置隧道之前,不要启用交换机与 Mist Edge 数据端口的连接。
双臂
Mist Edge 设备具有多个隧道(数据)端口,可将其配置为单臂或双臂连接。当您创建双臂配置时,请在 Mist Edge 设置页面上选择 分离上游和下游流量 。根据需要为上行和下行流量分配接口。在下面的示例中,左侧显示 Mist Edge X5-M 或 X10,右侧显示 Mist Edge X1。Mist Edge 设备的差异体现在可用接口的名称和数量上。
将接口 xe0 和 xe1 从 X5-M(或 X1 的 ge0)连接到 Mist Edge 的下游(接入点、公共或不可信)端。L2TPv3 隧道 VLAN 流量从接入点通过这些连接进入 Mist Edge 设备。接口 xe2 和 xe3(或 ge1)连接到企业(受信任)网络并承载已标记的 VLAN(用户)流量。
上游端口 VLAN ID 是可选的,仅当将上游交换机端口配置为具有单个未标记 VLAN 的接入端口时才应使用。
对于隧道 IP 配置,添加 IP 地址、子网掩码和网关,如下所示。对于园区和分支机构部署,接入点必须能够路由到隧道 IP。
Mist Edge 上的隧道 IP SVI 是受保护的接口。即使未连接到防火墙,也只有 UDP 端口 1701 (L2TPv3)、UDP 500 (isakmp) 和 UDP 4500 (IPsec) 以及 TCP 端口 2083 (RADSEC)。
Mist Edge 仅将 UDP 端口 500 和 4500 以及 TCP 端口 2083 用于远程办公人员用例。对于所有其他园区和分支机构用例,Mist Edge 仅使用 UDP 端口 1701。
如前所述,上游端口连接到网络的可信端。这些端口通常连接到中继端口上的核心(或聚合)交换机,配置为允许所有必要的用户 VLAN。Mist Edge 将带有 L2 标记的流量从隧道传输到这里。
下游端口连接到网络中不受信任的一侧,而这侧通常会连接到防火墙。下游端口必须连接到未标记的接口。
单臂
您还可以将 Mist Edge 设备配置为单臂配置,其中在端口通道中配置一个端口或多个端口,而不是双臂配置。在单臂臂配置中,上游交换机上的相应端口必须配置为中继模式,隧道 IP 位于本机或未标记的 VLAN 上,其余的客户端 VLAN 都是标记的 VLAN。与双臂配置类似,您可以配置一个或多个端口来承载隧道流量。如果使用多个端口,它们将成为端口通道的一部分,如下所示。
端口配置
- 对于双臂部署,瞻博网络 Mist Edge 会自动将每个上游数据端口配置为一个中继端口。瞻博网络 Mist Edge 会将您为瞻博网络 Mist 隧道配置的 VLAN 添加为标记的 VLAN。下游端口未标记,您必须将该端口连接到隧道 IP 网络。
- 对于单臂部署,瞻博网络 Mist Edge 会自动将数据端口配置为一个中继,并将隧道 IP 作为其无标记 VLAN 或本机 VLAN。中继会将您在瞻博网络 Mist 隧道下配置的 VLAN 添加为标记的 VLAN。
创建 Mist Edge 群集
根据您的网络需求,您可能需要使用组织级别的 Mist Edge 或站点级别的 Mist Edge。
- 组织级别: 无论接入点的站点分配如何,如果配置了 SSID 以隧道方式连接到 Mist Edge,则所有接入点都能够对此Mist Edge形成 L2TP 隧道。您必须配置 Mist 群集和 Mist 隧道
- 站点级:只有配置了用于通过隧道连接到站点的 SSID 的接入点才能形成指向同一站点中的 Mist Edge 设备的隧道。您必须在 组织 >站点 配置 > Mist隧道下配置站点Mist隧道。
在本文档中,我们将仅解释组织级别的 Mist Edge 部署。
- 创建 Mist Edge 群集(组织级别)。
所有接口配置都已完成,我们可以创建 Mist Edge 集群,并将 Mist Edge 设备添加到群集中。
- 从左侧导航菜单中,转至Mist Edge,然后点击Mist Edge群集 ( Cluster) 部分中的创建群集 (Create Cluster)。
- 输入群集的名称,然后单击加号 (+) 以从可用设备列表中分配一个或多个 Mist Edge 设备。
如果将多个 Mist Edge 设备添加到单个群集,则会为该群集中的所有设备形成主动-主动配置。Mist 在连接到该群集的接入点之间执行尽力而为的负载平衡。如果群集中的一台 Mist Edge 设备发生故障,接入点将故障切换到该群集中的其他设备。如果您需要主动-备用设置,请为要处于备用状态的 Mist Edge 设备创建第二个群集。如果主群集设备发生故障,接入点将故障转移到辅助群集设备。在 Mist Edge 页面的Mist隧道部分中,将 CA Mist Edge 群集指定为主要或辅助。
- 设置隧道终止服务地址:
- 从左侧导航菜单中,转到 Mist Edges,然后单击 Mist Edge 群集部分上方的创建群集。如果您已经定义了群集,只需单击其名称即可。
- 在群集配置页面上,找到 通道终止服务 配置块。指定主机名或 IP 地址。使用为 Mist Edge 隧道 IP 配置的相同地址或主机名。如果您的群集包含多台 Mist Edge 设备,则必须以逗号分隔的列表形式输入所有群集成员的 IP 地址或主机名。
- 完成后单击 “保存” 。
- 设置通道(组织级别)
- 从左侧导航菜单中,转到 Mist Edges ,然后单击 Mist 隧道部分上方的 创建隧道 。
- 在 Mist 隧道配置页面上,输入要通过 Mist Edge 设备从公司网络扩展到 AP 的所有用户 VLAN ID。您可以输入多个 VLAN ID 以逗号分隔的列表。
- 在群集块中,将隧道分配给您之前创建的 Mist Edge 群集。如果您只配置了一个群集,请将其设置为主群集。否则,请从相应的下拉列表中选择此隧道的 主 集群和 辅助集群 。将此页面上的其余设置保留为默认设置。
- 从左侧导航菜单中,转到 Mist Edges ,然后单击 Mist 隧道部分上方的 创建隧道 。
有关此页面上设置的其他详细信息,请参阅: 故障切换隧道计时器、 自动抢占和 锚点隧道。
- 配置和准备 WLAN
如上一章中关于如何创建 ORG 级 WLAN 所述,我们将遵循所有建议,此外还添加了与隧道相关的设置。
- 前往组织>无线>WLAN模板并创建新WLAN。
- 在“安全性”块中,选择以下设置
- 在 VLAN 块中,选择 已标记。 Mist 接入点仅隧道配置了标记 VLAN 的 WLAN 流量。
- 对于 VLAN ID,指定所需的 VLAN。使用您在 Mist Edge 隧道配置中定义的列表中的 VLAN ID。
- 您在此处配置的 VLAN 由接入点通过 Mist Edge 建立隧道。
- 在自定义转发块中,启用(选中)到 Mist 的自定义转发,然后选择相应的隧道服务。
定位服务和资产可见性(可选)
定位服务和资产可见性部分虽然可选,但可以为利用瞻博网络 Mist 接入点和集成虚拟蓝牙® 低功耗 (vBLE) 技术的企业解锁强大功能。这涉及在 Mist 云内已部署的接入点上启用 vBLE 服务。激活后,IT 管理员可以配置精确的位置区域并上传详细的楼层地图,从而实现高度精确的室内定位。此功能支持各种应用,从为用户提供实时室内导航和寻路功能,到实现关键设备的稳健资产跟踪功能。通过与资产跟踪标签或移动应用程序集成,组织可以获得有关资源移动和位置的宝贵见解,从而优化运营并提高物理空间的效率。
