|
集客网关WiFi营销版 全国首创 版本:V1.0 时间:2015年5月26日
更新日志
第一章 名词解释
集客网关:集客网关是武汉集客科技有限公司推出的一款高性能X86_64路由系统,系统架构上采用了模块化设计和前后台分离设计,有良好的人机交互界面,并为智能手机和平板电脑等配置操作提供了支持。且免费提供下载和使用。整个系统不超过30M,可以一键制作USB启动安装盘,全中文安装界面。
集客网关WiFi营销版:集客网关WiFi营销版是指在集客网关的基础上,专门为WiFi营销市场定制的网关型路由器。采用标准的wifidog协议,并在完全兼容wifidog协议的基础上,附加了丰富的参数和用户状态数据汇报。网关可以工作在网关模式,网桥模式和旁路模式,分别适用于不同的场景。
网关模式:网关模式是最常见模式,通常情况下,网关模式配置有外网口和内网口,并替代用户现有的路由器,多数情况下还兼备NAT,DHCP,DNS等多种功能。它工作在网络层(第三层)。
网桥模式:网桥模式也是一种十分常见的模式,甚至直到现在,很多工控机上都带有BYPASS硬件,工作在网桥模式的设备关机或者宕机,网络依然畅通。网桥模式无需修改网络架构,也是一种非常理想的部署方式。但网桥模式不支持多网段和跨三层交换机。
旁路模式:与网关模式不同,旁路模式并不替换用户的路由器,也不提供任何NAT,DHCP或者DNS服务。他通常放在交换机旁边,通过镜像的方式,仅仅提供认证的功能。旁路模式不修改网络结构,甚至不关心网络细节,关机也不掉线。
wifidog: wifidog是一套被广泛使用的强制认证captive portal协议。wifidog与传统portal的最大的区别是需要获得访问者的MAC地址和统一云认证。通过云和MAC,可以把不同时间和空间的同一用户的不同行为联系起来,这就是传说中的大数据之一。 集客科技采用了wifidog协议,但未使用开源程序,所有代码wifidog程序全部重写,并且作为内核模块工作。这是为什么我们的白名单可以通过qq.com匹配所有二级、三级或者N级qq.com的域名以及对应的所有IP地址的原因;也是为什么我们最早开发出网桥模式的wifidog认证,并且再接再厉推出了跨三层、跨VLAN的旁路认证的根本原因。更是专注、专业的体现。
第二章 说明
1.本教程力争让读者学会配置旁路认证模式,并能触类旁通。教程中附加一些描述和测试方法,来验证每一步是否正确,争取做到步步为营。我们建议读者能静下心来阅读,或者遇到问题的时,反复阅读。
3.集客网关WiFi营销版可免费下载和使用,免费200用户认证授权,终身使用。
第三章 旁路模式概述旁路,顾名思义,认证网关放在局域网主干的旁边,而不是串接在主干上。 旁路模式与网关模式在网络拓扑图,以及接线方式十分相似。但逻辑上,网关模式串接入了网络主干中,旁路模式则是旁挂。
3.1 真假旁路识别是不是旁路有一个非常简单的验证方法,将旁路设备关机,整个网络不会中断,而非旁路模式则会断网。
3.2 旁路模式适用场景成熟网络:即用户的网络前期已建设好,现有业务也长期稳定运行,用户又不想对现在网络进行大的调整,防止现有业务受到影响。 高可靠性网络:对于一些对网络可靠性要求十分高的场所,比如提供优质服务的服务机构,大型综合型场馆,政府和机构。场所无法容忍断网几分钟甚至更长,旁路是不二的选择。 特种业务:一些用户的网络中有某些特种功能或者设备,如果替换用户现有路由设备,但又无法满足其特有的功能要求,这时使用旁路模式也是一个非常好的选择。 复杂网络:有些的场所,网络经过多年的扩展,设备林立,结构错综复杂,业务繁杂,网络牵一发而动全身。这种情况下,采用旁路结构,可以忽略网络细节,也不会带来过多的副作用。 前期试用:当用户还没有确定方案和设备之前,一般不愿意调整网络结构配合进行相关测试。如果达不到效果,又要将网络结构复原,而恢复工作又十分繁琐。 新建网络:旁路也是一个十分推荐的选择。原因很简单,主干网上的设备尽量少,这样可以减少故障点。并且主干上仅使用一线国际品牌的交换机、路由和防火墙,稳定性,兼容性,扩展性和故障率更有保障。
3.3 旁路模式与网关模式的比较
| | | | | | | | | | | | | 修改每个VLAN的DHCP服务 在认证网关上设置每个VLAN以及IP和掩码 修改路由上的回程路由 | | | 超级VLAN、ACL、策略路由以及IP/MAC绑定等都会影响到实施 | | | | | | 把每个VLAN的DHCP都改回 在线用户重新获取IP 不能认证 | 旁路认证网关关机 交换机上设置的镜像无需还原 在线用户无需重新获取IP | | 修改了网络结构,兼容性问题大。并且网络中出现异常时,难以自证清白。 | 兼容性问题少。 如果网络中出现异常,通过开关机即可判断是否由旁路认证网关导致 | | 无论是硬件,还是软件以及架构,认证网关还是很难比肩国际一流厂商的交换机和路由。很可能是木桶原理中最短的那块木板 | | | | | | | |
第四章 旁路模式配置举例
4.1 案例描述某品牌连锁快捷酒店,某分店有10层楼,每层楼有30个房间,共300个房间。 网络核心采用H3C S3600三层交换机,每一层楼分一个TRUNK口,级联一个二层的VLAN交换机,每个房间对应一个VLAN和一个子网。拓扑图如下:
4.2 旁路模式网络规则及拓扑图
旁路认证需要在三层交换机上设置一个观察口和一个ACCESS口,都接在集客旁路认证网关上。如下图:
1) 在三层交换机上指定8号为观察口,把11~20号口的数据镜像给8号口。 2) 8号观察口连接集客网关内网口NET1,NET1将作为旁路模式的监听口。 3) 在三层交换机上指定7号口为ACCESS口,并划到三层交换机原有的上联VLAN 100。 4) 7号口接集客网关的外网口NET2,NET2将作为旁路模式的回传口。 5) 给集客网关NET2分配IP地址192.168.100.3/24, 网关为防火墙的IP地址192.168.100.2。
注: * 本案例中,11~20号口都为TRUNK模式,下面级联VLAN交换机。 * 楼层交换机也可以采用楼道端口隔离交换机,11~20号口则为ACCESS模式,本案例同样适用。 * 本案例中,服务器与办公电脑等不需要认证,不镜像数据即可。
4.3 三层交换配置
4.3.1 配置镜像口本案例中,需要配置11~20号口做数据镜像,镜像方式是上下行都镜像。在华三S3600三层交换机上设置镜像11号口的命令如下: --------------------- <H3C>system-view [H3C]interface Ethernet 1/0/11 [H3C-Ethernet1/0/11]mirroring-port both
--------------------- 注:有的交换机需要配置镜像组,请查相关手册
其中命令mirroring-port both,表示同时镜像上行和下行的数据。配置完成以后,执行dis this可以看到11号口的配置大致如下: ---------------------- [H3C-Ethernet1/0/11]dis this # interfaceEthernet1/0/11 portlink-typetrunk undoporttrunk permitvlan 1 porttrunk permitvlan 1601to 1630 mirroring-portboth # return ---------------------
注:dis this命令仅仅是察看当前的配置信息。
重复在12~20号口上做mirroring-port both操作,即完成了镜像口配置。
4.3.2 配置观察口如上图,我们选择8号口做观察口,同样的华三S3600三层交换机上配置如下: ---------------------
<H3C>system-view [H3C]interface Ethernet 1/0/8 [H3C-Ethernet1/0/8]monitor-port ---------------------
命令monitor-port设置了8号口为观察口,同样通过dis this命令可以看到本口的配置信息和状态 ---------------------- [H3C-Ethernet1/0/8]dis this # interface Ethernet1/0/8 monitor-port # return ----------------------
4.3.3 设置回传口案例中用户原网络分了一个编号为100的VLAN用作上联口,配置了IP地址192.168.100.1/255.255.255.0,并将1号口划给了这个VLAN 100。 我们将使用7号口作为通讯回传口,在这里,我们仅需要把这个口设置为ACCESS模式,并加入VLAN 100即可,命令如下: ----------------------
<H3C>system-view [H3C]interface Ethernet 1/0/7 [H3C-Ethernet1/0/7]port access vlan 100 ---------------------- 注: * 请根据实际情况配置7号口的VLAN号。 * 也可以再创建一个VLAN,并指定IP地址和掩码,并将7号口加入到这个VLAN口,要求是集客网关接这个口可以同时访问内网和因特网。
同样使用dis this命令可以查看本接口的状态,如下: ----------------------- [H3C-Ethernet1/0/7]display this # interface Ethernet1/0/7 port access vlan 100 # return -----------------------
4.4 集客网关设置
4.4.1 登录集客网关将集客网关的NET1口与PC电脑连接,设置PC电脑的IP地址为192.168.8.2,子网掩码为255.255.255.0。打开浏览器,输入http://192.168.8.1,登录集客网关,如下图: 4.4.2 设置外网口进入网口管理::网口绑定,设置NET2为外网(固定IP),其它网口保持不变,然后点保存设置,如下图:
保存以后,系统上部有红色的警告导航,告之DNS和NET2的配置需要进一步完善,如下图:
进入网口管理:: DNS参数,在获取方式中选【手动设置】,并点【进入编辑模式】,输入DNS服务器地址并保存设置,如下图:
进入网口管理:: NET2外网固定IP,输入前面规则的IP地址192.168.100.3,掩码选24(255.255.255.0),网关填防火墙的地址192.168.100.2,运营商和带宽可以随意设置,不影响旁路模式,然后点保存,如下图:
保存完后,页头上面的红色警告提示消失,如下图: 4.4.3 设置内网口NET1监听口的缺省IP地址如果与内网的网段没有冲突或者重叠,则可以不管。否则,请修改NET1的IP地址为一个不冲突的IP地址,比如1.2.3.4/255.255.255.0。 进入应用服务:: DHCP服务,选中的NET1口上的DHCP服务,点删除按钮关闭DHCP服务,如下图: 4.4.4 联网测试上面的步骤完成以后,将集客网关的NET2口连接三层交换机的7号口,然后进入系统工具:: PING测试,应该可以ping通www.baidu.com,192.168.100.2和192.168.100.1,如下图:
4.4.5 连接观察口现在不需要通过NET1进行管理了,用网线连接NET1与交换机的观察口8。
4.4.6 设置热点运营进入应用服务::热点运营,开启热点运营服务,并启用旁路设置,如下图:
* 监听网口选内网口NET1。 * 回传网口选外网口NET2。 * 三层交换机的MAC如实填写,也可以用旁边的小工具探测。 * 认证子网里将所有客房的网段都加到列表里,本文本采用172.16.0.0/255.240.0.0包含这300个小子网。 * 其它采用默认配置即可。
然后点保存,热点运营的状态变为绿色的运行中,如下图:
第五章 测试
拿出手机,连接内网AP,上网测试如下图:
| 
发表于 2015-5-27 16:49
IP卡
狗仔卡
