SANGFOR_ACSG_v3.5_WLAN行业版培训精选.ppt

（4）启用协议剥离 在WLAN环境中，AP和WLAN AC 之间一般都会建立 一条隧道，对数据流进行封装。为了能识别手机号，无线终端类型及无线终端行为，需要启用协议剥离功能。在测试前期 ，我们需要了解AP和AC之间是经过什么隧道协议封装的。在实际环境中，数据包一般都是由VLAN协议和相应的隧道协议封装，因此启用协议剥离时，一般选择VLAN和对应的隧道协议。下面是目前已知的隧道封装协议： H3C AC及AP设备，采用的隧道协议为LWAPP 中兴 AC及AP设备，采用的隧道协议为WLTP MOTO 的AC及AP设备，采用的隧道协议 为WISP 大唐AC及AP设备，采用的隧道协议 为CAPWAP 2、设备配置 对于其它厂商采用的其它隧道协议封装的情况，需要将AP和AC之前的数据流抓包下来分析，通过自定义协议剥离来识别。 （4）启用协议剥离（续） 根据WLAN AC及AP的厂商，开启对应的协议剥离功能，如下图所示，以H3C为例。 2、设备配置 （5）启用WEB单点登录 WLAN环境中，无线终端上网前，需要通过运营商Portal系统认证。在无线终端进行认证的同时，SANGFOR AC/SG通过WEB单点登录获取终端认证的帐号（即手机号）和终端类型。从而做到手机号识别和终端类型识别。 目前，运营商WLAN环境中的portal认证系统分两种，一种是基于http协议的，另一种是基于https协议的。如果是https portal认证系统，目前无法同时做到手机号识别和AP识别，后续可能有定制支持。 2、设备配置 （5）启用WEB单点登录（续） 1）http portal认证 注意这里不要选择。 如果不知道认证成功关键字，可以填冒号 默认可不启用 按照常规方法配置WEB单点登录即可，注意事项如下图所示： 2、设备配置 如果是旁路模式部署，还需要设置镜像网口，如下图所示： （6）建立审计策略和用户组关联 审计策略一般需要开启行为审计和流量审计。流量审计是必须要开启的，开启流量审计才能记录终端类型。根据情况，可选是否设置流控策略，对AP进行流控。 2、设备配置 （7）效果图 2、设备配置 四、数据中心改动 WLAN行业版的数据中心是从3.5版本的数据中心升级上来的，主要增加了WLAN菜单，如下图所示： 这些日志和流量审计有关，需要开启流量审计功能，才能记录终端类型，WLAN流量及用户数等日志。审计终端具体产生的行为日志和之前版本一样的，需要开启审计策略。 1、查询某个用户具体行为日志 查询某个用户具体行为日志可以在日志查询中输入手机号直接查询，如下图： 2、流量查询 通过流量查询可以查询在指定时间内，某个区域，热点或AP下的无线用户产生的流量。下图为营业厅C中的用户在7月份产生的流量。 3、流量排行 流量排行可以统计在指定时间内，某个区域，热点或AP产生的流量大小情况。下图为所有营业厅在7月份的流量排行。 4、用户数排行 用户数排行可以统计在指定时间内，各热点，AP用户分布情况，为分析AP负载及扩容AP提供依据，下图为所有营业厅7月份用户排行。 5、接入终端流量查询 接入终端流量查询可以查询在指定时间范围内某种终端类型产生的流量，下图为7月份samsung手机产生的流量。 6、接入终端流量排行 接入终端流量排行可以在指定时间范围内统计各无线终端流量分布情况。 如下图： 7、接入终端用户数排行 接入终端用户数排行，可以统计在指定时间范围内，用户使用无线终端情况。如下图： 五、WLAN项目测试前期需求确认及环境确认 有关WLAN项目测试前的需求确认及环境确认请参考附件文档“SANGFOR ACSG_v3.5 _WLAN行业版测试实施环境确认说明文档” 六、注意事项 1、WLAN行业版目前支持从AC3.5和SG3.5版本上升级上来，不支持从其它版本升级。 2、SG3.5 WLAN实施前，需要通过多功能序列号关闭上网加速功能 3、WLAN行业版无独立的外置数据中心安装包，提供一个升级包，支持从AC3.5或SG3.5上升级。 4、如果portal认证系统是https形式的，必须给设备配置一个可用的网桥IP地址 5、https portal认证系统，无线终端在在进行认证时，会弹出证书告警框，终端选择“是”或“继续浏览”即可。 6、如果设备当天由低版本升级至WLAN行业版进行测试，则从第二天开始记录终 端类型，当天不能查询到属于正常情况。特殊情况需要当天能够查询到，请联系深信服厂家。 7、https portal认证系统， WLAN行业版无法同时进行手机号识别和AP识别（无隧道协议，单层VLAN除外），后续可能有定制支持。 8、https portal认证系统，设备只能以网桥部署，不能以旁路部署，因为旁路模式下不