本指南将介绍如何使用RV345P路由器、CBW140AC接入点和两个CBW142ACM网状扩展器配置无线网状网络。
本文使用Web用户界面(UI)设置网状无线网络。如果您更喜欢使用移动应用(建议使用它来实现轻松的无线设置),请单击跳转到使用移动应用的文章。
您的所有研究都齐聚一堂,并且您已购买思科设备,真令人兴奋!在本场景中,我们使用RV345P路由器。此路由器提供以太网供电(PoE),允许您将CBW140AC插入路由器而非交换机。CBW140AC和CBW142ACM网状扩展器将用于创建无线网状网络。
此高级路由器还提供其他功能的选项。
如果要使用这些功能,您需要购买许可证。路由器和许可证在线注册,本指南将介绍这些内容。
如果您不熟悉本文档中使用的某些术语,或者希望了解有关网状网络的更多详细信息,请查看以下文章:
现在您拥有了思科设备,您需要获得Cisco.com帐户,有时也称为思科连接在线标识(CCO ID)。 帐户不收费。
如果您已经拥有帐户,可以跳至本文的下一部分。
转到Cisco.com。单击person图标,然后单击Create an account。
输入创建帐户所需的详细信息,然后单击Register。按照说明完成注册过程。
如果有任何问题,请点击以跳至Cisco.com帐户注册帮助页面。
路由器在网络中至关重要,因为它路由数据包。它使计算机能够与不在同一网络或子网中的其他计算机通信。路由器访问路由表以确定应发送数据包的位置。路由表列出了目的地址。静态和动态配置都可以在路由表中列出,以便将数据包发送到其特定目的地。
您的RV345P带有针对许多小型企业优化的默认设置。但是,您的网络需求或Internet服务提供商(ISP)可能会要求您修改其中一些设置。在联系您的ISP了解要求后,您可以使用Web用户界面(UI)进行更改。
准备好了吗?我们开始吧!
将以太网电缆从其中一个RV345P LAN(以太网)端口连接到计算机的以太网端口。如果您的计算机没有以太网端口,则需要适配器。终端必须与RV345P位于同一有线子网中才能执行初始配置。
确保使用RV345P随附的电源适配器。使用不同的电源适配器可能会损坏RV345P或导致USB转换器故障。默认情况下,电源开关处于打开状态。
将电源适配器连接到RV345P的12VDC端口,但不要将其插入电源。
确保调制解调器已关闭。
使用以太网电缆将电缆或DSL调制解调器连接到RV345P上的WAN端口。
将RV345P适配器的另一端插入电源插座。这将打开RV345P的电源。重新插入调制解调器,使其也能通电。正确连接电源适配器和RV345P完成启动后,前面板上的电源指示灯呈稳定绿色。
准备工作已经完成,现在需要了解一些配置!要启动Web UI,请执行以下步骤。
如果您的计算机配置为动态主机配置协议(DHCP)客户端,则会为PC分配192.168.1.x范围内的IP地址。DHCP自动将IP地址、子网掩码、默认网关和其他设置分配给计算机。必须将计算机设置为参与DHCP过程才能获取地址。这可以通过在计算机的TCP/IP属性中选择自动获取IP地址来实现。
打开Safari、Internet Explorer或Firefox等Web浏览器。在地址栏中,输入RV345P的默认IP地址192.168.1.1。
浏览器可能会发出警告,指出该网站不受信任。继续浏览网站。如果您未连接,请跳至Internet连接故障排除。
当登录页面显示时,输入默认用户名cisco和默认密码cisco。
单击 Login。
有关详细信息,请单击How to access the web-based setup page of Cisco RV340 series VPN routers。
单击 Login。系统将显示Getting Started页面。如果导航窗格未打开,可以通过单击菜单图标打开它。
确认连接并登录到路由器后,跳至本文的初始配置部分。
见鬼,如果您正在阅读此内容,则可能难以连接到Internet或Web UI。其中一种解决方案应该会有所帮助。
在连接的Windows操作系统上,可以通过打开命令提示符来测试网络连接。输入ping 192.168.1.1(路由器的默认IP地址)。 如果请求超时,您将无法与路由器通信。
如果连接没有发生,您可以查看此故障排除文章。
其他需要尝试的事情:
建议您完成本部分中列出的初始设置向导步骤。您可以随时更改这些设置。
从Getting Started页单击Initial Setup Wizard。
此步骤确认电缆已连接。由于您已经确认了这一点,请单击Next。
此步骤包含确保路由器连接的基本步骤。由于您已经确认了这一点,请单击Next。
下一个屏幕显示您为路由器分配IP地址的选项。您需要在此场景中选择DHCP。单击 Next。
系统将提示您设置路由器时间设置。这一点非常重要,因为它可在查看日志或排除事件故障时确保准确性。选择Time Zone,然后单击Next。
您将选择要分配给设备的MAC地址。通常,您将使用默认地址。单击 Next。
下一页是所选选项的摘要。查看并点击下一步(如果满意)。
在下一步中,您将选择登录路由器时使用的密码。密码的标准是包含至少8个字符(大写和小写)并包含数字。请输入一个符合强度要求的密码。单击 Next。记下密码以便将来登录。
单击save图标。
如果您需要有关这些设置的更多信息,可以阅读在RV34x路由器上配置DHCP WAN设置。
您的RV345P默认启用以太网供电(PoE),但您可以对其进行一些调整。如果您需要自定义设置,请查看RV345P路由器上的配置以太网供电(PoE)设置。
完成初始设置向导后,您可以通过编辑VLAN设置来设置路由器上的静态IP地址。
只有当您的路由器IP地址需要在现有网络中分配特定地址时,才需要执行此过程。如果您不需要编辑IP地址,可以转到本文的下一部分。
在左侧菜单中,单击LAN > VLAN Settings。
选择包含路由设备的VLAN,然后点击编辑图标。
输入所需的静态IP地址,然后单击右上角的Apply。
如果您的路由器不是分配IP地址的DHCP服务器/设备,您可以使用DHCP中继功能将DHCP请求定向到特定IP地址。IP地址可能是连接到WAN/Internet的路由器。
这是很重要的一步,不要跳过!
选择Administration > File Management。
在System Information区域中,以下子区域描述以下内容:
在Manual Upgrade部分下,单击Firmware Image单选按钮,然后选择File Type。
在Manual Upgrade页面上,点击单选按钮选择cisco.com。有几种其他选项,但这是进行升级最简单的方法。此过程直接从思科软件下载网页安装最新的升级文件。
单击Upgrade。
在确认窗口中单击Yes以继续。
升级完成后,将弹出一个通知窗口,通知您路由器将重新启动Restarting,并注明预计完成此过程所需的时间。之后,您将注销。
重新登录到基于Web的实用程序以验证路由器固件是否已升级,然后滚动到系统信息。Current Firmware Version区域现在应显示升级后的固件版本。
由于更新非常重要,而您又很忙,因此从这里向外配置自动更新是很有意义的!
登录基于Web的实用程序,然后选择System Configuration > Automatic Updates。
从Check Every下拉列表中,选择路由器检查更新的频率。
在Notify via区域中,选中Email to复选框以通过邮件接收更新。默认情况下,Admin GUI复选框处于启用状态,且无法禁用。更新可用后,通知将显示在基于Web的配置中。
如果要设置电子邮件服务器设置,请单击此处了解方法。
在Email to address字段中输入电子邮件地址。
在Automatically Update区域下,选中要通知的更新类型的Notify复选框。选项有:
从Automatic Update下拉列表中,选择要完成自动更新的当天时间。有些选项可能会因您选择的更新类型而异。安全签名是进行即时更新的唯一选项。建议您在办公室关闭时设置时间,以免服务在不方便的时间中断。
状态显示当前运行的固件版本或安全签名。
单击 Apply。
要永久保存配置,请转到“复制/保存配置”页或单击该页上方的保存图标。
太好了,您的路由器基本设置已完成!现在,您可以了解一些配置选项。
当然,您希望您的网络是安全的。有一些简单的选项,例如设置复杂的密码,但如果您想采取更安全的网络措施,请查阅本部分的安全信息。
此RV安全许可证功能可保护您的网络免受来自Internet的攻击:
RV安全许可证提供Web过滤。Web过滤功能允许您管理对不当网站的访问。它可以屏蔽客户端的Web访问请求以确定是允许还是拒绝该网站。
另一个安全选项是Cisco Umbrella。如果您想跳至Umbrella部分,请单击此处。
如果您不需要任何安全许可证,请单击以跳转至本文档的VPN部分。
要购买RV安全许可证,您需要一个智能帐户。
授权激活此智能帐户即表示您同意授权您代表您的组织创建帐户、管理产品和服务授权、许可协议以及用户访问帐户。思科合作伙伴不得代表客户授权创建帐户。
新智能帐户的创建是一次性的事件,从那时起,通过工具向前提供管理。
当您使用Cisco.com帐户或CCO ID(您在本文档开头创建的帐户)访问您的常规思科帐户时,可能会收到一条创建智能帐户的消息。
如果尚未看到此弹出窗口,您可以点击以进入智能帐户创建页面。您可能需要使用Cisco.com帐户凭证登录。
有关申请智能帐户所涉及步骤的更多详细信息,请点击此处。
请务必注意您的帐户名称以及其他注册详细信息。
快速提示:如果您需要输入域,但您没有域,则可以以name@domain.com的形式输入电子邮件地址。常见域包括gmail、yahoo等,具体取决于您的公司或提供商。
您必须从您的思科总代理商或思科合作伙伴处购买许可证。要查找思科合作伙伴,请点击此处。
下表显示许可证的部件号。
类型 | Product ID | 描述 |
---|---|---|
RV安全许可证 | LS-RV34X-SEC-1YR= | RV安全:1 年:动态Web过滤器、应用可视性、客户端识别和统计信息、网关防病毒和入侵防御系统IPS。 |
许可证密钥不会直接输入您的路由器,但会在您订购许可证后分配给您的思科智能帐户。许可证显示在您的帐户上所需的时间取决于合作伙伴接受订单的时间以及经销商将许可证链接到您的帐户的时间,通常为24-48小时。
导航到您的智能许可证帐户页面,然后点击智能软件许可证页面>资产>许可证。
访问思科软件并导航到智能软件许可。
输入您的用户名或电邮和密码以登录您的智能帐户。单击Log in。
导航到资产>许可证,并验证您的智能帐户中是否列出了RV系列安全服务许可证。如果您未看到列出的许可证,请与您的思科合作伙伴联系。
导航到资产>常规。在Product Instance Registration Tokens下,单击New Token。
将显示“创建注册令牌”(Create Registration Token)窗口。Virtual Account区域显示将在其下创建注册令牌的虚拟帐户。在创建注册令牌页面上,完成以下操作:
现在,您已成功生成产品实例注册令牌。
单击令牌列中的箭头图标,将令牌复制到剪贴板,请按键盘上的ctrl + c。
单击Actions下拉菜单,选择Copy将令牌复制到剪贴板,或选择Download...下载可从其复制的令牌的文本文件副本。
导航到License并验证Registration Status显示为Unregistered,License Authorization Status显示为Evaluation Mode。
导航到System Configuration > Time,并验证Current Date and Time和Time和Time Zone是否按照您的时区正确反映。
导航到License。通过在键盘上选择ctrl + v,将步骤6中复制的令牌粘贴到License选项卡下的文本框中。单击Register。
注册可能需要几分钟。当路由器尝试联系许可证服务器时,请勿离开该页面。
现在,您应该已经成功注册并授权使用智能许可证的RV345P系列路由器。您将在成功完成注册屏幕上收到通知。此外,您还可以看到Registration Status显示为Registered,License Authorization Status显示为Authorized。
要查看许可证Registration Status的更多详细信息,请将指针悬停在Registered状态上。系统将显示包含下列信息的对话框消息:
在License页面上,验证Security-License状态是否显示Authorized。您还可以点击Choose License按钮以验证Security-License是否已启用。
要刷新许可证状态或从路由器取消注册许可证,请点击智能许可管理器操作下拉菜单并选择操作项。
现在路由器上已经有了您的许可证,您需要完成下一部分中的步骤。
激活后90天,您就可以免费使用Web过滤。免费试用后,如果要继续使用此功能,您需要购买许可证。单击可返回该部分。
登录基于Web的实用程序,然后选择Security > Application Control > Web Filtering。
选择开单选按钮。
单击add图标。
输入Policy Name、Description和Enable 复选框。
选中Web Reputation复选框以启用基于Web信誉索引的过滤。
从Device Type下拉列表中,选择要过滤的数据包的源/目标。一次只能选择一个选项。选项有:
从OS Type下拉列表中,选择策略应适用的操作系统(Operating System, OS)。一次只能选择一个选项。选项有:
向下滚动到Schedule部分,然后选择最符合您需求的选项。
点击编辑图标。
在Filtering Level列中,点击单选按钮快速定义最适合网络策略的过滤范围。选项包括“高”、“中等”、“低”和“自定义”。单击以下任何过滤级别,了解过滤到每个已启用网络内容类别的特定预定义子类别。预定义的过滤器无法再更改,因此呈灰色显示。
输入要过滤的网络内容。如果您想了解某一部分的更多详细信息,请点击加号图标。
要查看所有Web内容子类别和说明,可以单击Expand按钮。
单击Collapse折叠子类别和说明。
要恢复默认类别,请点击恢复默认类别。
单击Apply以保存配置,并返回到Filter页面以继续设置。
其他选项包括URL Lookup和显示请求的页面被阻止时间的消息。
单击 Apply。
要永久保存配置,请转到复制/保存配置页或单击该页上方的保存图标。
要验证网站或URL是否已被过滤或阻止,请启动Web浏览器或在浏览器中打开一个新选项卡。输入已列出阻止或过滤为被阻止或拒绝的域名。
在本例中,我们使用了www.facebook.com。
现在,您应该已经在RV345P路由器上成功配置了Web过滤。由于您使用RV安全许可证进行网络过滤,因此您可能不需要Umbrella。如果您还需要Umbrella,请点击此处。如果您有足够的安全性,请单击跳至下一节。
如果您购买了许可证,但它不会显示在虚拟帐户中,则有两个选项:
理想情况下,您也不必这样做,但是如果您到达这个十字路口,我们乐意为您提供帮助!为了尽可能简化流程,您需要上表中以及下面概述的凭证。
所需信息 | 查找信息 |
---|---|
许可证发票 | 完成许可证购买后,应通过电子邮件发送给您。 |
思科销售订单编号 | 您可能需要返回经销商处才能获得此服务。 |
智能帐户许可证页面的截图 | 截取屏幕截图可捕获您屏幕的内容,以便与我们的团队共享。如果您不熟悉屏幕截图,可以使用以下方法。 |
一旦您拥有了令牌,或者要进行故障排除,建议您截取屏幕截图来捕获屏幕内容。
鉴于捕获屏幕截图所需的步骤不同,请参阅以下内容了解特定于您的操作系统的链接。
Umbrella是思科提供的一个简单但非常有效的云安全平台。
Umbrella在云中运行并执行许多与安全相关的服务。从突发性威胁到事后调查Umbrella可发现并阻止跨所有端口和协议的攻击。
Umbrella使用DNS作为防御的主要媒介。当用户在其浏览器栏中输入URL并按Enter时,Umbrella将参与传输。该URL会传递到Umbrella的DNS解析器,如果安全警告与域关联,则请求会被阻止。此遥测数据传输和分析在微秒内完成,几乎不会增加延迟。遥测数据使用日志和仪器,跟踪全世界数十亿个DNS请求。当这些数据无处不在时,在全球范围内将其关联起来,可以在攻击开始时迅速做出响应。有关详细信息,请参阅思科的隐私政策:完整策略、摘要版本。将遥测数据视为源自工具和日志的数据。
请访问Cisco Umbrella了解详情并创建帐户。如果您遇到任何问题,请在此处查阅文档,并在此处查看Umbrella支持选项。
登录您的Umbrella帐户后,从Dashboard屏幕点击Admin > API Keys。
API密钥屏幕的剖析(使用预先存在的API密钥)
单击右上角的Add API Key按钮,或单击Create API Key按钮。两者功能相同。
选择Umbrella Network Devices,然后单击Create按钮。
打开文本编辑器(如记事本),然后点击API和API Secret Key右侧的copy icon,弹出通知将确认密钥已复制到剪贴板。一次一个将您的密钥和API密钥粘贴到文档中,并标记它们以供将来参考。在本例中,其标签为“Umbrella network devices key”。然后,将文本文件保存到安全位置,以便以后轻松访问。
将密钥和密钥复制到安全位置后,从Umbrella API屏幕单击复选框以确认完成临时查看密钥的确认,然后单击Close按钮。
现在,我们已经在Umbrella内创建了API密钥,您可以将这些密钥安装到您的RV345P上。
登录到RV345P路由器后,单击侧栏菜单中的Security > Umbrella。
Umbrella API屏幕包含一系列选项,通过点击Enable复选框开始启用Umbrella。
默认情况下,选中Block LAN DNS Queries框。此功能可以在您的路由器上自动创建访问控制列表,从而阻止DNS流量流出Internet。此功能强制所有域转换请求通过RV345P,对大多数用户来说是一个好主意。
下一步有两种不同的方式。它们都取决于您的网络设置。如果您使用DynDNS或NoIP等服务,则保留默认命名方案“Network”。您需要登录这些帐户,以确保Umbrella在提供保护时与这些服务进行交互。出于我们的目的,我们依赖于“网络设备”,因此我们点击底部单选按钮。
单击Getting Started。
在文本框中输入API密钥和密钥。
输入API和密钥后,单击Next按钮。
在下一个屏幕中,选择要与路由器关联的组织。单击 Next。
选择要应用于RV345P路由的流量的策略。对于大多数用户,默认策略将提供足够的覆盖范围。
为设备指定名称,以便可以在Umbrella报告中指定该设备。在我们的设置中,我们将其命名为RV345P-Lab。
成功关联后,下一个屏幕将验证所选设置并提供更新。Click OK.
祝贺您,您现在受到Cisco Umbrella的保护。还是你?我们通过一个实时示例进行仔细检查,确保思科已创建一个网站,该网站专用于在加载页面时迅速确定问题。请单击此处,或在浏览器栏中键入https://InternetBadGuys.com。
如果Umbrella配置正确,您会看到类似于此的屏幕。
您是否担心有人从网络设备拔下以太网电缆并连接到该电缆,从而试图未经授权访问网络?在这种情况下,注册一个允许主机列表非常重要,该列表会允许主机使用各自的IP和MAC地址直接连接到路由器。有关说明,请参阅在RV34x系列路由器上配置IP源保护。
虚拟专用网络(VPN)连接允许用户通过公共或共享网络(例如Internet)访问、发送和接收来自专用网络的数据,但仍能确保安全连接到底层网络基础设施,以保护专用网络及其资源。
VPN隧道可建立一个私有网络,使用加密和身份验证安全地发送数据。公司办公室大多使用VPN连接,因为即使员工不在办公室,也有必要允许他们访问其专用网络。
VPN允许远程主机像位于同一本地网络一样运行。路由器最多支持50个隧道。在路由器配置用于Internet连接后,可以在路由器和终端之间建立VPN连接。VPN客户端完全依赖于VPN路由器的设置才能建立连接。
如果您不确定哪个VPN最符合您的需求,请查看思科企业VPN概述和最佳实践。
如果您不打算设置VPN,可以单击跳至下一部分。
通常,当您要支持多个具有相同Internet连接的客户端时,每台路由器都支持网络地址转换(NAT)以节省IP地址。但是,点对点隧道协议(PPTP)和互联网协议安全(IPsec)VPN不支持NAT。这就是VPN穿透功能进入的地方。VPN直通功能允许从连接到此路由器的VPN客户端生成的VPN流量通过此路由器并连接到VPN终端。VPN直通仅允许PPTP和IPsec VPN通过Internet(从VPN客户端发起),然后到达远程VPN网关。此功能常见于支持NAT的家庭路由器上。
默认情况下,启用IPsec、PPTP和L2TP直通。如果要查看或调整这些设置,请选择VPN > VPN直通。根据需要查看或调整。
使用Cisco AnyConnect有几个优点:
访问路由器基于Web的实用程序并选择VPN > SSL VPN。
单击On单选按钮以启用Cisco SSL VPN服务器。
以下配置设置是必需的:
确保IP地址范围不与本地网络中的任何IP地址重叠。
单击 Apply。
以下配置设置是可选的:
单击 Apply。
点击Group Policies选项卡。
点击SSL VPN Group Table下的add图标以添加组策略。
点击单选按钮选择IE Proxy Policy(IE代理策略),以启用Microsoft Internet Explorer(MSIE)代理设置来建立VPN隧道。选项有:
在Split Tunneling Settings区域中,选中Enable Split Tunneling复选框,以允许以未加密方式将发往Internet的流量直接发送到Internet。完全隧道会将所有流量发送到终端设备,然后将其路由到目标资源,从而消除企业网络的Web访问路径。
点击单选按钮以选择应用分割隧道时是包括还是排除流量。
在Split Network Table中,点击add icon以添加拆分网络例外。
在提供的字段中输入网络的IP地址。
在拆分DNS表中,点击add图标以添加拆分DNS例外。
在提供的字段中输入域名,然后单击Apply。
默认情况下,路由器附带2个AnyConnect服务器许可证。这意味着,一旦拥有AnyConnect客户端许可证,您就可以与任何其他RV340系列路由器同时建立2个VPN隧道。
简而言之,RV345P路由器不需要许可证,但所有客户端都需要许可证。AnyConnect客户端许可证允许桌面和移动客户端远程访问VPN网络。
下一部分详细介绍如何获取客户端许可证。
VPN客户端是在要连接到远程网络的计算机上安装并运行的软件。此客户端软件的设置配置必须与VPN服务器的配置相同,例如IP地址和身份验证信息。此身份验证信息包括用于加密数据的用户名和预共享密钥。根据要连接的网络的物理位置,VPN客户端也可以是硬件设备。如果使用VPN连接连接位于不同位置的两个网络,通常会发生这种情况。
Cisco AnyConnect安全移动客户端是一种软件应用程序,用于连接到在各种操作系统和硬件配置下工作的VPN。此软件应用程序使用户可以安全访问另一个网络的远程资源,就像直接连接到其网络一样。
路由器注册并配置了AnyConnect后,客户端可以从您购买的可用许可证池在路由器上安装许可证,下一部分将详细介绍该过程。
您必须从您的思科总代理商或思科合作伙伴处购买许可证。订购许可证时,您必须以name@domain.com的形式提供您的思科智能帐户ID或域ID。
如果您没有思科总代理商或合作伙伴,您可以在此处找到一个。
在撰写本文时,以下产品SKU可用于购买包含25个捆绑包的额外许可证。请注意,Cisco AnyConnect订购指南中概述的AnyConnect客户端许可证还有其他选项,但是,列出的产品ID将是完整功能的最低要求。
请注意,首先列出的AnyConnect客户端许可证产品SKU提供期限为1年的许可证,并且至少需要购买25个许可证。适用于RV340系列路由器的其他产品SKU也具有不同的订用级别,如下所示:
当您的客户端设置以下其中一项时,您应向其发送以下链接:
单击AnyConnect Secure Mobility Client图标。
在AnyConnect Secure Mobility Client窗口中,输入网关IP地址和网关端口号,用冒号(:)分隔,然后单击Connect。
软件现在将显示它正在联系远程网络。
在各自的字段中输入您的服务器用户名和密码,然后单击OK。
一旦建立连接,系统就会显示登录横幅。单击 Accept。
AnyConnect窗口现在应指示与网络的VPN连接是否成功。
如果现在使用AnyConnect VPN,可以跳过其他VPN选项并转到下一节。
IPsec VPN允许您通过建立互联网上的加密隧道来安全地获取远程资源。RV34X系列路由器用作IPsec VPN服务器,支持Shrew Soft VPN客户端。本节将介绍如何配置路由器和智能软客户端,以保护与VPN的连接。
您可以在以下位置下载最新版本的Shrew Soft VPN客户端软件:https://www.shrew.net/download/vpn
首先,我们将在RV345P上配置客户端到站点VPN。
导航到VPN > Client-to-Site。
添加客户端到站点VPN配置文件。
选择Cisco VPN Client选项。
选中Enable框以激活VPN客户端配置文件。我们还将配置Group Name,选择WAN接口,然后输入Pre-shared Key。
暂时将用户组表留空。这是用于路由器上的User Group,但我们尚未对其进行配置。确保Mode设置为Client。输入客户端LAN的池范围。我们将使用172.16.10.1到172.16.10.10。
此处我们配置模式配置设置。以下是我们将使用的设置:
单击Save后,我们可以在IPsec Client-to-Site Groups列表中看到配置文件。
配置User Group以用于对VPN客户端用户进行身份验证。在System Configuration > User Groups下,点击加号图标以添加用户组。
输入组名称。
在Services > EzVPN/third Party下,单击Add将此用户组链接到之前配置的Client-to-Site Profile。
您现在应该会在EzVPN/第3方的列表中看到Client-to-Site Group Name。
在Apply用户组配置后,您将在User Groups列表中看到该用户组,并显示新用户组将与之前创建的客户端到站点配置文件一起使用。
在System Configuration > User Accounts中配置新用户。单击加号图标创建新用户。
输入新的用户名和新密码。验证Group已设置为您刚才配置的新用户组。完成后单击Apply。
新用户将显示在本地用户列表中。
RV345P系列路由器的配置到此结束。接下来,您将配置Shrew Soft VPN客户端。
请执行以下步骤。
打开Shrew Soft VPN Access Manager,然后单击Add以添加配置文件。在出现的VPN Site Configuration窗口中,配置General选项卡:
配置Client选项卡。在本例中,我们保留了默认设置。
在Name Resolution > DNS下,选中Enable DNS框,并选中Obtain Automatically框。
在Name Resolution > WINS选项卡下,选中Enable WINS框,并使Obtain Automatically框保持选中状态。
单击Authentication > Local Identity。
在身份验证>远程身份下。在本例中,我们保留了默认设置。
在Authentication > Credentials下,配置以下内容:
用于Phase 1选项卡。在本示例中,保留了默认设置:
在本例中,Phase 2选项卡的默认值保持不变。
对于Policy选项卡示例,我们使用以下设置:
由于我们在RV345P上配置了Split-Tunneling,因此不需要在此处进行配置。
完成后,单击 Save(保存)。
现在已准备好测试连接。在VPN Access Manager中,突出显示连接配置文件,然后单击Connect按钮。
在出现的VPN Connect窗口中,使用您在RV345P上创建的User Account的凭证输入Username和Password(步骤13和14)。 完成后,单击Connect。
检验隧道是否已连接。您应该看到隧道已启用。
也可选择使用VPN。有关详细信息,请点击以下链接:
利用虚拟局域网 (VLAN),您可以将局域网 (LAN) 逻辑划分为不同的广播域。在敏感数据可能会在网络中广播的情况下,可以创建 VLAN 以通过指定广播到特定 VLAN 来增强安全性。利用 VLAN,还可在一定程度上免于将广播和组播发送到不必要的目标,从而提高性能。您可以创建VLAN,但只有将VLAN手动或动态地连接到至少一个端口后,此操作才有效。端口必须始终属于一个或多个VLAN。
您可能希望参考VLAN最佳实践和安全提示以获取其他指导。
如果您不想创建VLAN,可以跳到下一节。
导航到LAN > VLAN Settings。
单击add图标以创建新的VLAN。
输入您要创建的VLAN ID和名称。VLAN ID的范围为1-4093。
如果需要,请取消选中Inter-VLAN Routing和Device Management的Enabled复选框。VLAN间路由用于将数据包从一个VLAN路由到另一个VLAN。
通常,不建议对访客网络执行此操作,因为您将要隔离访客用户,这会导致VLAN安全性降低。有时VLAN可能需要在彼此之间路由。如果出现这种情况,请在具有目标ACL限制的RV34x路由器上查看VLAN间路由,以配置您允许的VLAN之间的特定流量。
Device Management软件允许您使用浏览器从VLAN登录到RV345P的Web UI并管理RV345P。这也应在访客网络上禁用。
在本例中,我们未启用VLAN间路由或设备管理以确保VLAN更安全。
私有IPv4地址将自动填入IP Address字段。如果您选择,可以调整此值。在本示例中,子网有192.168.2.100-192.168.2.149可用于DHCP的IP地址。192.168.2.1-192.168.2.99和192.168.2.150-192.168.2.254可用于静态IP地址。
Subnet Mask下的子网掩码将自动填充。如果您进行更改,将自动调整该字段。
在本演示中,我们将保留子网掩码为255.255.255.0或/24。
选择动态主机配置协议(DHCP)类型。以下选项是:
Disabled — 禁用VLAN上的DHCP IPv4服务器。建议在测试环境中执行此操作。在这种情况下,需要手动配置所有IP地址,并且所有通信都是内部通信。
服务器 — 这是最常用的选项。
单击Apply以创建新的VLAN。
在RV345P上可以配置16个VLAN,其中一个VLAN用于广域网(WAN)。不在端口上的VLAN应排除Excluded。这会将该端口上的流量专用于用户专门分配的VLAN/VLAN。这被认为是一种最佳做法。
端口可以设置为接入端口或中继端口:
一个VLAN分配了自己的端口:
共享一个端口的两个或多个VLAN:
选择要编辑的VLAN ID。
在本例中,我们选择了VLAN 1和VLAN 200。
单击Edit将VLAN分配给LAN端口,并将每个设置指定为Tagged、Untagged或Excluded。
在本示例中,在LAN1上,我们将VLAN 1分配为Untagged,将VLAN 200分配为Excluded。对于LAN2,我们将VLAN 1分配为Excluded,将VLAN 200分配为Untagged。
单击Apply保存配置。
现在,您应该已经成功创建了一个新的VLAN并为RV345P上的端口配置了VLAN。重复此过程以创建其他VLAN。例如,VLAN300将为Marketing创建,子网为192.168.3.x,VLAN400将为Accounting创建,子网为192.168.4.x。
如果希望某台设备可以访问其他VLAN,您可以为该设备提供静态本地IP地址并创建访问规则使其可访问。这仅在启用VLAN间路由时有效。在其他情况下,静态IP可能很有用。有关设置静态IP地址的详细信息,请查看在思科业务硬件上设置静态IP地址的最佳实践。
如果您不需要添加静态IP地址,您可以转到本文的下一节。
导航到LAN > Static DHCP。点击加号图标。
添加设备的静态DHCP信息。在本示例中,设备是打印机。
数字证书通过证书的指定主题来证明公共密钥的所有权。这允许依赖方依赖于由私钥执行的签名或声明,该私钥对应于经过认证的公钥。路由器可以生成自签名证书,即由网络管理员创建的证书。它还可以向证书颁发机构(CA)发送请求以申请数字身份证书。必须拥有来自第三方应用的合法证书。
证书颁发机构(CA)用于身份验证。可以从任意数量的第三方站点购买证书。这是证明您的站点安全的官方方式。实质上,CA是可信来源,用于验证您是否为合法企业并且可以受到信任。根据您的需要,以最低成本提供证书。CA会签出您的帐户,他们验证您的信息后,会向您颁发证书。此证书可作为文件下载到您的计算机上。然后,您可以进入路由器(或VPN服务器)并将其上传到那里。
登录路由器的基于Web的实用程序,然后选择Administration > Certificate。
点击生成CSR/证书。您将进入“生成CSR/证书”(Generate CSR/Certificate)页面。
用以下内容填写这些框:
您现在应该已经在RV345P路由器上成功创建证书。
在证书表中,选中要导出的证书的复选框,然后点击export图标。
Download按钮下方会显示一条指示下载成功的消息。文件将开始在浏览器中下载。Click OK.
您现在应该已经成功在RV345P系列路由器上导出证书。
单击Import Certificate....
成功后,您将自动进入证书主页。证书表将填充最近导入的证书。
现在,您应该已经成功地在RV345P路由器上导入了证书。
您可能想要使用加密狗和RV345P路由器配置备用移动网络。如果出现这种情况,应阅读使用转换器和RV34x系列路由器配置移动网络。
祝贺您,您已完成RV345P路由器的配置!您现在将配置您的思科企业无线设备。
首先将以太网电缆从CBW140AC上的PoE端口插入RV345P上的PoE端口。RV345P的前4个端口可提供PoE,因此可以使用其中任意一个。
检查指示灯的状态。接入点将需要大约10分钟时间启动。LED将以多个模式呈绿色闪烁,依次经过绿色、红色和琥珀色,然后再次变为绿色。LED的颜色强度和色调在单位之间可能有细微的变化。当LED指示灯呈绿色闪烁时,请继续下一步。
主AP上的PoE以太网上行链路端口只能用于提供到LAN的上行链路,而不能连接到任何其他支持主或网状网扩展器设备。
如果您的接入点不是新的、开箱即用的,请确保将其重置为出厂默认设置,以便CiscoBusiness-Setup SSID显示在您的Wi-Fi选项中。有关此问题的帮助,请查看如何重新启动RV345x路由器并重置为出厂默认设置。
您可以使用移动应用或Web UI设置接入点。本文使用Web UI进行设置,它提供了更多的配置选项,但稍微复杂一些。如果您想在下一节中使用移动应用,请单击访问移动应用说明。
如果无法连接,请参阅本文的无线故障排除提示部分。
在PC上,单击Wi-Fi图标并选择CiscoBusiness-Setup无线网络。单击 Connect。
如果您的接入点不是新的、开箱即用的,请确保将其重置为出厂默认设置,以便CiscoBusiness-Setup SSID显示在您的Wi-Fi选项中。
输入口令cisco123,然后单击Next。
您将看到以下屏幕。由于您一次只能配置一台设备,请单击No。
只能将一个设备连接到CiscoBusiness-Setup SSID。如果另一台设备尝试连接,则无法连接。如果您无法连接到SSID并已验证密码,则可能是某些其他设备建立了连接。重新启动AP并重试。
连接后,Web浏览器应自动重定向至CBW AP设置向导。否则,请打开Web浏览器,例如Internet Explorer、Firefox、Chrome或Safari。在地址栏中,键入http://ciscobusiness.cisco,然后按Enter。在网页上单击Start。
通过输入以下内容创建管理员帐户:
您可以通过选中Show Password旁边的复选框来选择显示密码。单击开始。
请勿在用户名或密码字段中使用cisco或其变体。如果这样做,您将收到如下所示的错误消息。
通过输入以下内容设置您的主AP:
只要计划创建网状网络,才应启用网状。默认情况下,该选项处于禁用状态。
(可选)您可以为CBW140AC启用静态IP以用于管理目的。否则,接口将从DHCP服务器获取IP地址。要配置静态IP,请输入以下命令:
单击 Next。
默认情况下,此选项处于禁用状态。
通过输入以下内容创建您的无线网络:
单击 Next。
Wi-Fi保护访问(WPA)第2版(WPA2)是Wi-Fi安全的当前标准。
确认设置并单击Apply。
单击OK应用设置。
保存配置并重新启动系统时,您将看到以下屏幕。这可能需要10分钟。
在重新启动期间,接入点中的LED将经历多种颜色模式。当LED呈绿色闪烁时,继续下一步。如果LED没有超过红色闪烁模式,则表明您的网络中没有DHCP服务器。确保AP连接到交换机或带DHCP服务器的路由器。
转到PC上的无线选项,然后选择您配置的网络。单击 Connect。
CiscoBusiness-Setup SSID将在重新启动后消失。
打开Web浏览器并键入https://[CBW AP的IP地址]。或者,您可以在地址栏中键入https://ciscobusiness.cisco,然后按Enter。
单击 Login。
使用配置的凭证登录。Click OK.
您将能够访问AP的Web UI页面。
如果您有任何问题,请查看以下提示:
您处于设置此网络的主体阶段,只需添加网状扩展器即可!
将两个网状扩展器插入所选位置的墙中。记下每个网状网扩展器的MAC地址。
等待约10分钟,以便网状扩展器启动。
在Web浏览器上输入主接入点(AP)IP地址。单击Login访问主AP。
输入您的用户名和密码凭证以访问主AP。Click OK.
导航到无线设置>网状。确保Mesh已启用。单击 Apply。
如果网状网络尚未启用,WAP可能需要重新启动。系统将显示一个弹出窗口,用于重新启动。确认。这大约需要10分钟。在重新启动期间,LED将以多个模式呈绿色闪烁,在再次变为绿色之前,会快速交替显示绿色、红色和琥珀色。LED的颜色强度和色调在单位之间可能有细微的变化。
导航到无线设置> WLAN用户>本地MAC地址。单击Add MAC Address。
输入网状网扩展器的MAC地址和说明。选择Type作为Allow列表。从下拉菜单中选择配置文件名称。单击 Apply。
请务必按屏幕右上角窗格上的save图标保存所有配置。
对每个网状扩展器重复上述步骤。
不要跳过这一重要步骤!更新软件的方法有很多,但建议您在使用Web UI时最容易执行下面列出的步骤。
要查看和更新您的主AP的当前软件版本,请执行以下步骤。
单击Web界面右上角的齿轮图标,然后单击主AP信息。
将运行的版本与最新的软件版本进行比较。如果您知道是否需要更新软件,请关闭窗口。
如果您运行的是最新版本的软件,则可以跳至创建WLANs部分。
从菜单中选择管理>软件更新。
将显示Software Update窗口,其中当前软件版本号列在顶部。
您可以更新CBW AP软件,并且不会删除主AP上的当前配置。
从Transfer Mode下拉列表中,选择Cisco.com。
要将主AP设置为自动检查软件更新,请在自动检查更新下拉列表中选择启用。默认情况下启用该接口。
完成软件检查后,如果Cisco.com上提供了更新的最新或推荐的软件更新,则:
Click Save.这将保存您在传输模式和自动检查更新中所做的条目或更改。
Last Software Check字段显示上次自动或手动软件检查的时间戳。您可以点击显示的版本旁的问号图标查看版本注释。
您可以随时单击Check Now手动运行软件检查。
要继续软件更新,请单击Update。
系统将显示软件更新向导。向导会按顺序引导您完成以下三个选项卡:
按照向导中的说明进行操作。在单击Confirm之前,您可以随时返回至任何选项卡。
单击Confirm。
此部分允许您创建无线局域网(WLAN)。
通过导航到无线设置> WLANs可以创建WLAN。然后选择Add new WLAN/RLAN。
在General选项卡下,输入以下信息:
以下字段在本示例中保留为默认值,但会列出说明,以便您以不同方式配置它们。
单击 Apply。
您将进入WLAN安全选项卡。
在本示例中,以下选项保留为默认值:
WPA2 Personal是使用PSK身份验证来保护网络的方法。PSK在主AP、WLAN安全策略下和客户端上分别配置。WPA2 Personal不依赖于网络上的身份验证服务器。
在此场景中输入了以下字段:
单击 Apply。这将自动激活新的WLAN。
请务必通过单击Web UI屏幕右上角面板上的save图标来保存配置。
要查看您创建的WLAN,请选择Wireless Settings > WLANs。您将看到活动WLAN数增加到2,并显示新的WLAN。
对要创建的其他WLAN重复这些步骤。
现在已设置所有基本配置,可以开始滚动了。您有一些选项,因此您可以跳至以下任何部分:
访客WLAN允许访客访问您的思科企业无线网络。
登录到主AP的Web UI。打开Web浏览器并输入www.https://ciscobusiness.cisco。在继续操作之前,您可能会收到警告。输入您的凭证。您也可以通过输入主AP的IP地址来访问它。
通过导航到无线设置> WLAN可以创建无线局域网(WLAN)。然后选择Add new WLAN/RLAN。
在General选项卡下,输入以下信息:
WLAN ID — 为WLAN选择一个数字
类型 — 选择WLAN
配置文件名称 — 当您输入名称时,SSID将自动填充相同的名称。名称必须唯一,且不能超过31个字符。
以下字段在本示例中保留为默认值,但会列出说明,以便您以不同方式配置它们。
SSID — 配置文件名称也用作SSID。如果需要,您可以更改此项。名称必须唯一,且不能超过31个字符。
Enable — 应保持启用状态以使WLAN正常工作。
Radio Policy — 通常,您可能希望将其保留为All,以便2.4GHz和5GHz客户端可以访问网络。
广播SSID — 通常您希望发现SSID,以便将其保留为“启用”。
Local Profiling — 您只希望启用此选项以查看客户端上运行的操作系统或查看用户名。
单击 Apply。
您将进入WLAN安全选项卡。在本示例中,选择了以下选项。
在本示例中,将创建已启用社交登录访问类型的访客WLAN。用户连接到此访客WLAN后,将被重定向到Cisco默认登录页面,在该页面上可以找到Google和Facebook的登录按钮。用户可以使用其Google或Facebook帐户登录以访问Internet。
在此选项卡上,从下拉菜单中选择Access Type。在本示例中,选择了Social Login。这是允许访客使用其Google或Facebook凭证进行身份验证和访问网络的选项。
Access Type的其他选项包括:
本地用户帐户 — 默认选项。选择此选项可使用您在Wireless Settings > WLAN Users下为此WLAN的访客用户指定的用户名和密码对访客进行身份验证。这是默认内部启动页的示例。
您可以通过导航到Wireless Settings > Guest WLANs来自定义此设置。在此处可输入页面标题和页面消息。单击 Apply。单击Preview。
Web Consent — 允许访客在接受显示的条款和条件后访问WLAN。访客用户无需输入用户名和密码即可访问WLAN。
电邮地址 — 访客用户需要输入其电邮地址才能访问网络。
RADIUS -将其用于外部身份验证服务器。
WPA2个人 — 使用预共享密钥(PSK)的Wi-Fi保护访问2
单击 Apply。
请务必通过单击Web UI屏幕右上角面板上的save图标来保存配置。
现在,您已经创建了一个访客网络,该网络在CBW网络上可用。客人将非常享受便利。
分析是启用组织策略功能的子集。它允许您匹配流量类型并确定其优先级。就像规则决定如何排列或丢弃流量一样。Cisco Business Mesh Wireless系统具有客户端和应用分析功能。用户访问网络的行为始于许多信息交换,其中信息是流量的类型。策略会中断流量来指导路径,就像流程图一样。其他类型的策略功能包括 — 访客接入、访问控制列表和QoS。
如果未看到左侧菜单栏,请导航到屏幕左侧的菜单。
默认情况下,登录设备时会加载“监控”(Monitoring)菜单。您需要单击Wireless Settings。
下图与您点击Wireless Settings(无线设置)链接时看到的内容相似。
点击要启用应用的无线局域网左侧的编辑图标。
由于您最近添加了WLAN,您的Edit WLAN页面可能如下所示:
单击导航到流量整形(Traffic Shaping)选项卡。
屏幕可能显示如下:
在页面底部,您可以找到应用可视性控制功能。默认情况下,此选项处于禁用状态。单击下拉列表并选择启用。
单击应用按钮.
必须启用此设置,否则功能将无法运行。
单击取消按钮关闭WLAN子菜单。然后点击左侧菜单栏上的Monitoring菜单。一旦您能够访问,请点击Applications菜单项。
如果您没有流向任何源的流量,您的页面将为空白,如下所示。
此页面将显示以下信息:
您可以点击选项卡,从大到小进行排序,这有助于确定网络资源的最大消费者。
此功能非常强大,可用于在精细级别管理您的WLAN资源。下面是一些比较常见的组和应用程序类型。您的列表可能包括更多内容,包括以下组和示例:
此处显示的是填充页面时的页面外观示例。
每个表标题都可以点击进行排序,这对于数据使用和吞吐量字段尤其有用。
点击要管理的流量类型的行。
单击Action下拉框以选择如何处理该流量类型。
在本例中,我们将在Mark处保留此选项。
要对流量执行的操作
点击DSCP字段中的下拉框以从以下选项中进行选择。
以下是待标记流量的DSCP选项。这些选项从更少的资源演变为更多可用于您正在编辑的流量类型的资源。
根据Web惯例,流量已迁移至SSL浏览,这会阻止您查看数据包从您的网络进入WAN时的内容。因此,大部分网络流量将使用SSL。将SSL流量设置为较低优先级可能会影响您的浏览体验。
现在请选择您希望此策略运行的单个SSID,或者单击Select All。
现在单击Apply开始此策略。
以下两个情况可能适用:
你成功了!应用分析是一个非常强大的工具,也可以通过启用客户端分析来进一步启用,如下一节所述。
连接到网络后,设备会交换客户端分析信息。默认情况下,客户端分析处于禁用状态。这些信息可能包括:
有关这些客户端的统计数据包括使用的数据量和吞吐量。
跟踪客户端配置文件可更好地控制无线局域网。或者您可以将其用作其他功能的功能。例如使用不传输您的业务任务关键型数据的应用限制设备类型。
启用后,可以在Web UI的“Monitoring”(监控)部分找到您网络的客户端详细信息。
单击Wireless Settings。
下面类似于您点击Wireless Settings(无线设置)链接时看到的内容:
确定要用于应用的WLAN,然后点击其左侧的edit图标。
弹出菜单可能如下图所示。此重要消息可能会暂时影响网络上的服务。单击Yes向前移动。
单击Local Profiling(本地分析)切换按钮切换客户端分析。
单击 Apply。
单击左侧的Monitoring部分菜单项。您将看到客户端数据开始显示在Monitoring选项卡的Dashboard中。
现在,您已完成安全网络的设置。多么美好的感受,现在花一分钟庆祝一下,然后开始工作!
我们希望为客户提供最好的服务。如果您对此主题有任何意见或建议,请发送电子邮件至思科内容团队。
如果您想阅读其他文章和文档,请查看您的硬件的支持页面:
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
12-Apr-2021 |
初始版本 |