无线接入点
您可以配置支持 Wi-Fi 作为 Wi-Fi 接入点的 Citrix SD-WAN 设备。配置为 Wi-Fi 接入点的 Citrix SD-WAN 设备无需维护额外的接入点设备即可创建 WLAN。局域网上的设备可以通过 Wi-Fi 连接到 Citrix SD-WAN 设备。
注意
确保网络上有 DHCP 服务器可用来为主机分配 IP 地址。如果网络上没有其他 DHCP 服务器可用,则可以将 SD-WAN 设备配置为 DHCP 服务器。有关说明,请参阅 DHCP 服务器。
Citrix SD-WAN 110 平台的以下两个变体支持 Wi-Fi,可以配置为 Wi-Fi 接入点:
- Citrix SD-WAN 110-wifi-SE
- Citrix SD-WAN 110-lte-WiFi
有关这些平台的更多信息,请参阅 Citrix SD-WAN 110 SE。
注意
Citrix SD-WAN 11.3 版本中的 Wi-Fi 功能不支持高可用性 (HA)。
您可以通过 Citrix SD-WAN Orchestrator 服务配置和管理配置为接入点的 Citrix SD-WAN 设备。
要在 Citrix SD-WAN 110 设备上配置 Wi-Fi 功能,请确保在 “配置” > “ 站点配置** ” 页面上选择了相应的设备型号和子型号。
在 Wi-Fi 详细信息页面上选择 “启用Wi -Fi”,让 Citrix SD-WAN 110 设备充当 Wi-Fi 接入点。
配置 Wi-Fi 无线电设置
通过提供以下详细信息来配置 Wi-Fi 无线电设置。
-
国家:部署设备的国家/地区。国家/地区决定该国家/地区允许的无线电设置。
注意:
对于销售到 美国和加拿大的 电器,“ 国家/地区 ” 字段被锁定为美国和加拿大。对于销售到其他国家/地区的电器,默认情况下,“ 国家/地区 ” 字段设置为 “ 全球 ”,允许您选择相应的国家/地区。
- 频段:Citrix SD-WAN 110 设备支持 2.4 GHz 和 5 GHz 频段。5 GHz 频段比 2.4 GHz 频段提供更高的性能,但并非与所有无线设备兼容。根据连接到 Citrix SD-WAN 设备的设备选择频段和协议。Citrix SD-WAN 110 设备不支持双频段,您一次只能选择一个频段。
-
协议: 根据所选频段选择协议。2.4 GHz 频段支持 802.11n 协议,而 5 GHz 频段支持 802.11n 和 802.11ac 协议。
注意
802.11ac 协议向后兼容 802.11n。如果选择了 5 GHz 频段,则建议使用 802.11ac 协议。
-
频道:可用频道取决于所选国家/地区和无线协议。默认情况下,该频道设置为 “ 自动”。Citrix SD-WAN 设备从该频段的可用列表中选择干扰最小的信道。尽管不推荐,但如有必要,您也可以手动选择频道。
- 信道宽度:您可以将信道配置为使用 20 MHz、40 MHz 或 80 MHz 的信道宽度(仅适用于某些 5 GHz 信道)。默认情况下,信道宽度设置为所选频段和信道的最大可用信道宽度。
配置 SSID
服务集标识符 (SSID) 用于识别无线网络配置文件以建立和维护无线连接。您最多可以在 Citrix SD-WAN 设备上配置四个 SSID。SSID 可帮助您使用不同的安全级别配置无线网络,为不同类型的用户提供服务,例如企业用户、家庭用户或访客。
注意
Wi-Fi 无线电设置是所有 SSID 的通用设置。
要配置 SSID,请提供以下详细信息:
- SSID 类型: Citrix SD-WAN Orchestrator 允许您配置两种类型的 SSID 企业 和 家庭。对于企业 SSID,建议创建和使用企业 SSID 配置文件。有关更多详细信息,请参阅 SSID 配置文件。
- SSID 名称:无线网络配置文件的唯一标识符。SSID 名称区分大小写,最多可包含 32 个字母数字字符。请勿在您的 SSID 名称中包含前导或结尾空格。
- SSID 广播:启用 SSID 广播可使您网络中的所有设备都看到 SSID 名称,从而使它们能够轻松识别并连接到 Wi-Fi 网络。禁用 SSID 广播会使其他设备看不见 SSID 名称。但是,它只隐藏名称,而不是网络本身。知道 SSID 名称的用户仍然可以连接到您的 Wi-Fi 网络。
- 客户端隔离: 客户端隔离可防止连接到同一 SSID 的客户端相互通信。对于可能连接不可信客户端的开放式身份验证,建议将 “ 客户端隔离 ” 设置为 “开 ”。
-
安全性:Citrix SD-WAN 支持以下类型的 Wi-Fi 安全协议:
- 开放:Wi-Fi 网络不安全,任何人都可以连接到无线网络。建议将开放的 SSID 隔离到自己的路由域中,以防止不受信任的客户端破坏个人(家庭)或公司网络。
- WPA2 个人:Wi-Fi 保护访问 (WPA) 2 协议,即预共享密钥模式,通常称为 “个人”,用于保护 Wi-Fi 网络。使用此协议,您可以将密码配置为预共享密钥 (PSK)。任何知道 SSID 和密码的人都可以连接到您的 Wi-Fi 网络。这通常用于家庭网络。建议将家庭 SSID 隔离到自己的路由域中,以防止不受信任的客户端破坏公司网络。
-
WPA2 企业版:Wi-Fi 保护接入 (WPA) 2 协议,企业版用于提供企业级身份验证以访问您的 Wi-Fi 网络。需要用户名和密码才能登录。RADIUS 服务器对用户名和密码进行身份验证。您可以选择主 RADIUS 配置文件和辅助 RADIUS 配置文件,它们分别指向主 RADIUS 服务器和辅助 RADIUS 服务器。如果主 RADIUS 服务器关闭,则使用辅助服务器进行身份验证。有关创建 RADIUS 配置文件的更多信息,请参阅 RADIUS 服务器配置文件。
注意
每个站点最多可以在每个 WPA2 企业 SSID 上分配两个 RADIUS 服务器配置文件。
- WPA3 个人:与 WPA2 个人版类似,你使用 PSK 连接到网络。它使用最新版本的 Wi-Fi 保护访问协议。只有支持 WPA3 的设备才能连接到此网络。
- WPA3 过渡:允许支持 WPA3 的设备使用新的 WPA3 安全协议进行连接,不支持的设备继续使用 WPA2 安全协议。使用 WPA3 或 WPA2 个人版的设备可以使用相同的 PSK 连接到此网络。
- VLAN ID:将 SSID 与 VLAN 标识符相关联。将 SSID 分配给虚拟接口时,可以重复使用 VLAN 标识符,将其与外部 VLAN 关联或将其与不同的路由域关联。
您也可以将企业 SSID 配置保存为 SSID 配置文件。它使您可以轻松地在多个站点上重复使用和管理 SSID 配置。有关更多详细信息,请参阅 SSID 配置文件。
配置接口时,配置的 SSID 会反映为虚拟接口。它还允许您在 SD-WAN 配置中使用 SSID 或增强网络安全性。例如,您可以进行配置,将通过特定 SSID 的所有流量标记为属于特定路由域或分配给特定 VLAN。可以进一步配置此路由域,使其能够访问特定的网络和资源。如果配置了企业、家庭和访客无线网络的组合,则必须将它们与不同的路由域关联起来,以确保租户隔离并防止一个网络中的恶意或受感染的客户端危害其他网络。
RADIUS服务器配置文件
WPA2 企业协议为您的无线网络提供企业级身份验证。使用 WPA2 企业协议登录无线网络需要用户名和密码。用户名和密码由 RADIUS 服务器进行身份验证,该服务器使用 RADIUS 配置文件进行配置。在配置 SSID 时,RADIUS 配置文件可以应用于多个站点。有关更多详细信息,请参阅 配置 SSID。
RADIUS 配置文件本质上是动态的。对 RADIUS 配置文件所做的任何更改都将反映在使用 RADIUS 配置文件的所有不同站点上。每个 WPA2 企业 SSID 最多可以分配两个 RADIUS 服务器配置文件。 要管理 RADIUS 配置文件,请在网络级别导航到 配置 > 安全 > RADIUS 配置文件。列出了所有可用的 RADIUS 配置文件的列表,您可以编辑或删除这些配置文件。
要创建 RADIUS 配置文件,请单击 “ 添加 ” 并提供以下详细信息:
- Radius 配置文件名称:用于标识 RADIUS 服务器配置文件的唯一名称。
- 身份@@验证服务器 IP: RADIUS 身份验证服务器的 IP 地址。身份验证服务器可能位于数据中心,可通过管理接口或带内管理进行访问。
- 身份@@验证服务器端口:RADIUS 身份验证服务器的端口号。默认端口号为 1812。
- 身份@@验证服务器密钥:用于连接到身份验证服务器的私有密码。只有知道密钥的授权客户端才能连接到身份验证服务器并发送身份验证请求。
- NAS 标识符:在 RADIUS 服务器和 Citrix SD-WAN 设备上配置相同的网络访问服务器 (NAS) 标识符。它允许 RADIUS 服务器识别正确的 RADIUS 客户端并执行身份验证。它是一个完全合格的域名。使用特殊标签 {SITENAME}。NAS 标识符中的标签替换为每个站点的相应站点名称。
RADIUS 记账服务器可选择收集网络监控和统计数据。当授予对 RADIUS 服务器的访问权限以及 RADIUS Access-Accept 消息中存在 Acct-Interim-Interval AVP 时,计费过程就会开始。在这种情况下,Citrix SD-WAN RADIUS 客户端会报告会话详细信息,例如总时间、总数据和每 Acct-Interim-Interim-Interval 秒传输的数据包。记账服务器可以与身份验证服务器相同,也可以是不同的服务器。要启用可选的 RADIUS 记账功能,请选择 配置 RADIUS 记账 并提供以下详细信息。
- 账户服务器 IP:记账服务器的 IP 地址。
- 账户服务器端口:会计服务器的端口号。默认端口号为 1813。
- 账户服务器密钥: 用于连接会计服务器的私有密码。只有知道密钥的授权客户端才能连接到记账服务器并发送记账请求。
您还可以在配置站点时直接从 Wi-Fi 详细信息 页面创建 RADIUS 配置文件。您还可以执行编辑、克隆和删除等操作。
SSID 配置文件
服务集标识符 (SSID) 用于识别无线网络配置文件以建立和维护无线连接。您最多可以在 Citrix SD-WAN 设备上配置四个 SSID。SSID 可帮助您使用不同的安全级别配置无线网络,为不同类型的用户提供服务,例如企业用户、家庭用户或访客。
在使用企业 SSID 的大型部署中,预计将在多个设备上复制相同的 SSID 设置。常用设置可以存储为 SSID 配置文件。SSID 配置文件本质上是动态的。对 SSID 配置文件所做的任何更改都会反映在使用此 SSID 配置文件的所有不同站点上。
要管理 SSID 配置文件,请在网络级别导航到 配置 > 安全 > SSID 配置文件。列出了所有可用的 SSID 配置文件列表。
要创建新的 SSID 配置文件,请单击 “ 添加”。有关配置 SSID 的更多详细信息,请参阅 配置 SSID。
您还可以执行编辑、克隆和删除等操作。
无线诊断
要捕获 Wi-Fi 流量详细信息,请在网络级别导航到 故障排除 > 诊断 ,然后选中 “ 数据包捕获 ” 复选框。选择合适的 Wi-Fi 接口。
注意
无线客户端之间的流量与 Citrix SD-WAN 110 平台中的数据路径隔离,因此不属于数据包捕获的一部分。
有关数据包捕获的详细信息,请参阅 诊断。