基础设施与数据管理
责任编辑:季莹 投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t . & D a t a Mgm t .CSV 文件中每列之间需以逗号进行分隔。 在Hbase 控制台中执行“scan 'WEB_STAT'”命令,可以查看该表的数据。
在Phoenix 客户端控制台下执行“select * from web_stat;”命令可以查看该表的所有内容。
执行“select count(*) from web_stat;”命令,显示该表中的记录数。
盖茂森
执
行“s e l e c t
domain,count(*) as num from web_stat group by d o m a i n o r d e r b y n u m desc;”命令,针对“domain”列进行分组,使用特定的列进行排序。
执行“select avg(core) from web_stat;”命令,来查询指定列的平均值。
执
行“s e l e c t
d o m a i n ,c o u n t (*) a s n u m ,a v g (c o r
e ) a s core,avg(db) as db from
web_stat group by domain order by num desc;”命令,可以执行多字段分组功能。
执
行“s e l e c t
host,domain,date from w e b _s t a t w h e r e T O _CHAR(date)='2018-10-15 15:30:01.000'”命
令,
来查询指定日期的字段。
执
行“select TO_
DATE('20181030','yyyyMMd d') from web_stat”命令,转换字符串和日期类型。N
【上接第83页】管理FlexConnect 无线转发模式 ■ 河南 刘景云
编者按: 对于思科的无线解决方案来说,包括多种不同的类型,其中的Flex Connect 是比较常用的技术,即无线控制器位于中心站点,分支站点存在很多AP,分支和中心之间通过WLAN 连接,通过Flex Connect 技术,中心可以控制分支机构的AP,这些AP 可以实现本地转发,而无需经过WLAN 由中心WLC 进行转发。因此说,Flex Connect 是分支机构和远程办公室部署的无线解决方案。
FlexConnct 转发的特点
Flex Connect 可通过WAN 链路,在中心配置和控制分支机构的AP,在分支机构本地转发数据,并执行本地身份验证操作。当然,还可
设定AP 中某些SSID 的VLAN 的流量由本地转发,某些SSID 的VLAN 流量进行中心转发。这样,如果和中心的无线控制器失去联系,可以
将这些流量进行本地转发,当恢复联系时,依然可以将相关的流量进行中心转发。
Flex Connect 包含两种运行模式,包括连接模式
基础设施与数据管理责任编辑:季莹 投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t . & D a t a M gm t .
傅里叶红外光谱仪(Connected Mode)和独立模式(Standalone Mode),分别对应可以连接到WLC 和无法连接到WLC 的情形。
注意:对于独立模式来说,AP 是可以独立连接3A 服务器进行身份验证的。值得说明的是,中心转发指的是数据流量
通过WAPCAP 隧道传到WLC 进行转发,本地转发指的是数据流量经过本地有线接口直接进入本地交换网络。
搭建简单实验环境
在本例中通过简单的实验网络,来说明Flex Connect 的实现方法。
在中心存在SW 1交换机,在其G0/1端口连接思科某款无线控制器,在交换机上执行“ip routing”命令,开启路由功能。执行“interface FastEthernet 0/2”,“switchport trunk encapsulation dot1q”,“s w i t c h p o r t m o d e trunk”,“spanning-tree portfast trunk”命令,配置FastEthernet 0/2端口,该接口通过
模拟网络和分支机构中的交换机连接。执行“interface GigabitEthernet 0/1”,“s w i t c h p o r t t r u n k encapsulation dot1q”,“switchport mode trunk”,“spanning-tree portfast trunk”命
令,配
置
GigabitEthernet 0/1接口,其和WLC 进行连接。
执
行“i n t e r f a c e
F a s t E t h e r n e t 0/20”,“switchport access vlan 10”,“switchport mode a c c e s s ”,“s p a n n i n g -tree portfast”命令,配置FastEthernet0/20接口,该端口和中心站点的客户机连接。执行“vlan 10”,“name Management”,“vlan 100”,“name linkclient”,“i p d h c p p o o l v l a n 10”,“network 10.1.1.0 255.255.255.0 default-r o u t e 10.1.1.254”,“interface vlan 10”,“ip address 10.1.1.254 255.255.255.0”,“interface vlan 100”,“ip address 100.1.1.254 255.255.255.0”命令,配置VLAN 10/100的属性以及地址池信息。执行“ip route 200.1.1.0 255.255.255.0 100.1.1.253”命令,配置路由信息,让分支站点的AP 可
以顺利访问WLC。在中心存在ISE 服务器和网管主机,用来进行管理和授权。
在分支机构中存在AP1,其G0端口连接到SW2交换机上的G1/0/3端口上,两台交换机跨WAN 进行连接。在模拟环境中使用其G1/0/2端口和SW 1的F0/10端口连接。在该交换机上开启路由功能,创建VLAN 10/100/200/300,其中的VLAN 10用于网管,VLAN 100用于管理AP,VLAN 200用于管理客户,VLAN 300用来管理相关的服务器。执行“interface GigabitEthernet 1/0/2”,“s w i t c h p o r t m o d e t r u n k ”,“i n t e r f a c e GigabitEthernet 1/0/3”,“switchport trunk native vlan 100”,“switchport mode trunk”命
令,配
置相应的端口。执行“interface vlan 100”,
基础设施与数据管理
责任编辑:季莹 投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t . & D a t a Mgm t .“ip address 100.1.1.253 255.255.255.0”,“i p route 0.0.0.0 0.0.0.0 10.1.1.254”命令,配置VLAN100的SVI 以
及
路
由信息。使用类似的命令,来配置VLAN 200/300的SVI 信息。执行“ip
d h c p p o o l c r a c h a p ”,“n
e t w o r k 100.1.1.0 255.255.255.0 default-r o u t e 100.1.1.254”,“a d d r e s s 100.1.1.1 xx.xxxx”,“option 43 xxx”
命令,为分支站点的AP 配置地址池,并指明中心站点WLC 的位置。执行“ip dhcp pool forclient”,“n e t w o r k 200.1.1.0 255.255.255.0 default-route 200.1.1.254”命令,配置客户端地址池。
对分支站点AP 进行管理
经过底层配置后,让AP 关联到WLC 上。打开WLC 管理界面,选择上述AP,在其编辑界面的“General”面板中的“AP Mode”列表中选择“FlexConnect”
项,让其既可以进行中心转发,也可以支持本地转发。在WLC 管理界面工具栏上点击“WLAN”按钮,
在“Create New”栏右侧点击“Go”按钮,创建新的WLAN,输入其名称(例如“FlexConnect1”)和SSID 信息等内容。点击“Apply”按钮,在其属性窗口中的“General”面板中的“Status”栏中选择“Enabled”项将其激活。对于AP 来说,如果其开启了很多个SSID,并且不同的SSID 对应不同的VLAN,那么当其开启了Flex Connect 之
后,与其连接的交换机的端口必然需要开启Trunk,这样不同VLAN 的流量就会经由该Trunk 通道接入有线网络。在顶部工具栏上点击“CONTROLLER”项,在左侧选择“Interfaces”项,在右侧点击“New”按钮,创建名为“vlan100”的接口,使其和VLAN100绑定,并为其配置合适的IP(例如“100.1.1.252”),网关(例如“100.1.1.253”),DHCP 服务器等信息。
创建名为“denynet”的
接口,使其和VLAN 500绑定,其地址随意设置,主要用于防止用户随意接入。注意,AP 通过DHCP 获取IP 的VLAN 只能是Native VLAN,便于其得到地址和WLC 进行通讯。在上述
SW 2交换机上执行“sh run inter g1/0/3”命令,可以看到其通过VLAN 10得到地址并注册到WLC 上。在WLC 管理界面打开AP 属性窗口,在“FlexConnect”面板(如图1)中选择“VLAN Support”项,开启AP 的Trunk 功能。在“Native VLAN”栏中输入本地VLAN 编号(例如“100”),点击“VLAN Mapping”按钮,查看该AP 的所有的SSID 在中心站点映射的VLAN 信息,可以根据需要进行调整。点击“Apply”
按钮保存信息。
图1 AP 属性编辑窗口
基础设施与数据管理
责任编辑:季莹投稿信箱:netadmin@365master I n f r a s t r uc t ur e M gm t.&D a t a M gm t.
管理和配置FlexConnect组
当然,如果使用
FlexConnect技术的
AP比较多,就需要使用
FlexConnect Group方式
进行集中配置。建议为
每个分支机构创建一个
FlexConnect Group,把相
关的AP都放进去,之后在该FlexConnect Group中执行注册激活Trunk/设置Native VLAN/执行VLAN映射/设置Radius服务器等操作。如果AP无法联系WLC 以及3A服务器等设备,也可以在AP中设置认证策略。
在WLC管理界面顶部点击“WIRELESS”项,在左侧选择“FlexConnect Groups”项,在右侧点击“New”按钮,输入新的FlexConnect Group的组名(例如“FCG1”)。
注意:所有的AP都会默认放入名为“default-flex-group”的组中。
在该组中点击“FlexConnect AP”链接,选择所需的AP,在打开窗口中
的“New Group Name”列表
中选择上述“FCG1”组名,点
击“Move”按钮,可以将这些
AP移动到新建的组中。这里
为了简单起见,使用默认组。
在该组的编辑界面的
“WAN VLAN mapping”面
板(如图2)中选择“VLAN
Support”项,激活该组中的
所有AP的Trunk功能。在
“Native VLAN ID”栏中输
入“100”,设置所有AP的
本地VLAN编号。在上述名
为“FlexConnect1”的WLAN
的属性窗口中的“General”
面板中的“Interface/
Interface Group”列表
中选择“vlan100”接口。
在“Security”面板中的
“Layer2”标签中的“PSK”栏
中选择“Enable”项,输入
预共享密钥。
在“Advanced”面
板中的“FlexConnect
Local Switch”栏中选择
“Enabled”项,表示该WLAN
的流量是本地转发的。当
分支站点客户端进行连接
时,就会进入VLAN100网络。
注意:如果AP本地不存在
这个VLAN(例如VLAN 500)的
话,就会进入交换机所配置的
Native VLAN。
如果在“Interface/
Interface Group”列表中
选择“denynet”接口,那么
在客户端连接时,因为分
支AP中根本没有与之关联
的VLAN,那么客户端就无法
获取可用的IP。也就是说,
在WLC上配置的VLAN,在分
支站点AP上也必须存在同
样的VLAN,在分支交换机上
还必须存在相应的VLAN/
Trunk/Native VLAN/SVI等
信息,客户端才可以顺利接
入网络。
图2 默认组属性窗口
使用认证实现客户安全接入
为了实现更好的安全控制,可以使用3A服务器来实现。在WLC管理界面顶
部点击“SECURITY”项,在
左侧选择“AAA”-“RADUIS”-
“Authentication”项,在
基础设施与数据管理责任编辑:季莹投稿信箱:netadmin@365master
I n f r a s t r uc t ur e M gm t.&D a t a Mgm t.
右侧点击“New”按钮,在
“Server IP Address”栏
中输入ISE服务器的地
址(例如10.1.1.30),在
“Shared Secret”栏中输
入认证密码。在“Support
for CoA”列表中选择
“Enabled”项。在左侧选择“Accounting”项,点击“New”按钮,输入相同的ISE服务器地址和密码(如图3)。
再按照上述方法,在WLC 中创建名为“Flexconnect2”的WLAN,使其和名为“SSID2”的SSID绑定。然后将其激活,在其属性界面中的“Interface/ Interface Group”列表中选择“denynet”接口,在“Security”面板中看到其默认采用的就是DOT1X 方式,在“AAA Server”标签中的的“Server1”栏中选择上述3A服务器地址。在“Advanced”面板中的“Allow AAA Override”栏中选择“Enabled”项,在“FlexConnect Local Auth”栏中选择“Enabled”项。
打开上述“default-flex-group”的组编辑界面,在“WLAN VLAN mapping”面板中如果选择“Override VLAN on AP”项,表示禁止
在分支站点的AP配置VLAN
等信息,只允许在WLC上进
行配置,之后将配置信息推
送给AP。如果不选择该项,
那么既可以在WLAN上配置
也可以在AP上配置,而且
AP优先级为高。在“WLAN
VLAN Mapping”栏中输入上
述WLAN的ID,在“VLAN ID”
栏中输入“200”,点击“Add”
按钮,表示在WLC上创建了
VLAN 200,并将两者进行映
射,之后将其推送到分支站
电报码点的AP上,使其也拥有该
VLAN。
进入分支站点AP管理
国家安全生产监督管理总局化学品登记中心
界面,执行“sh ip inter
brie”命令,可以看到已经创
建了该VLAN。如果没有授权
或者授权了不存在的VLAN,
在默认情况下,当客户连接
到该WLAN后,都会自动进入
VLAN 200中。
注意:关于配置的优先
级是存在顺序的,即从3A
Override授权/Override
VLAN on AP/AP/FlexConnect
Group/WLAN下映射接口为
序,其优先级依次降低。
登录到ISE管理
界面,在工具栏上点
击“Administration”-
“Network Devices”项,点击
“Add”按钮,分别添加AP以
及WLC设备。
点击菜单“Policy”-
“Results”项,在左侧
richtextbox选择“Authorization”-
“Authorization Profiles”
项,在右侧点击“Add”按
钮,添加所需的授权规
则。点击菜单“Policy”-
“Authorization”项,在列表
中添加合适的规则,例如针
东北亚煤炭交易中心对指定名称的SSID授予其
可以连接到VLAN 200等。
这样,当分支站点的用户连
接到“SSID2”后,就可以进
入VLAN 200中了。
值得说明的是,不管采用
何种方法,要想顺利连接,必
须分支站点的AP上创建相
应的VLAN方可。
当然,为了解决授权
了不存在的VLAN,客户也
可以连接的问题,可以换
一种方法来解决,只需打
开“ACL Mapping”面板,
在图3 设置3A服务器地址
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议