在前面

如题，前两天和谐写过一篇“双11路由器避坑大作战”的原创。

然而总有小伙伴说“xx元淘个xx不好吗”之类的话。比如有说k2p无敌的，有喊k3赛高的。前者在100出头的时候的确无敌——可是现在价格涨到了200多，对不起，我不觉得200块钱买个没保修的东西有什么可真香的。

然而矿难产品挺多的。除去匪讯系，我们还有极路由、小娱、歌华链、竞斗云、必虎wifi等。当然，上面那些大部分我不熟，而且各有各的缺陷。所以本文中我们就拿出另外一款矿难代表机型——newifi 3来聊聊路由器刷机和组“类mesh”的过程。

PS、newifi3配置为mtk mt7261 880m双核，搭配512m运行内存，2.4g 300m+5g867m组成1200m双频，有个缺点就是部分机器信号很差，但是和谐手上的这台还算可以，不过就算信号不差，其速度也弱于k2p。

拆机

新路由的前世今生

新路由newifi是由成都谛听科技推出的家用路由器品牌。它的1代产品有两种，分别是newifi y1和y1s，前者就是早些年69卖的挺火的那个，和谐前几天还用编程器救砖了一个；后者则是千兆网口版本，看咸鱼上面还有人买“全新”。真假与否咱不去分辨，这不是本文要聊的事情。二代产品为newifi d1，硬件配置上直接在一代产品上翻倍，然而除了外观比较个性以外，口碑比一代产品差了太多。。。

面对匪讯系0元购以及迅雷系挖矿的双重压力，新路由终于“开窍”了。同样“开窍”的还有另外的一家身在北京的公司——极路由。有所不同的是，新路由只玩挖矿，而后者选择了双管齐下。当然，丫鬟命小姐病的极路由自不是匪讯可比的，于是创始人王楚云也就落了个身陷囹圄的结局——这都是后话，我们回来继续说新路由。

人呐，眼睛一红，心就黑了。

后来的事情，大家都知道了。巅峰时期炒到3k元/台的newifi3（包括后期联想版本的“掘金宝S1”）的发布，让这个有着联想控股的小公司赚了个盆满钵满。

再后来，看他宴宾客，看他楼塌了。狂欢过后，一地鸡毛：

这款路由器a壳为铝合金材质，入手冰凉。在当时看来，绝对是属于体积较大的那种。就像诺基亚塞班时代推出的3.5寸屏幕的iphone。但是拿到现在来看，个头上就不显眼了。毕竟tp们吃准了人们的口味：大即是好——主板因为成本原因，可以缩到巴掌大，但是外壳塑料四舍五入等于不要钱，必须把这巴掌大的主板放到屁股大的外壳里！

背壳为abs塑料材质，四角脚垫下一共四颗螺丝。由于底扣在顶盖上，而顶盖材质并不是我们常见的塑料，而是铝合金材质，所以要多拧一会儿才能拧下来。

侧面有防拆贴。公司都半死不活了，我还能指望你保修？再说，反正也过保了。。。

顶盖和后壳之间并没有什么卡扣存在。之所以拆顶盖的时候会觉得有作用力，完全是这哥仨在作怪——这种不知道什么材质的导热胶油性极大：

从主板上可以看到，处理器、内存以及2.4g和5g芯片以及它们附近，都已经被导热胶上分泌出的油脂浸透。

导热胶vs1角钱硬币的厚度对比。

这种胶应该不是相变硅脂，因为相变硅脂摸一下不至于把手都染上色，而且也不容易损坏。鉴于被它弄了一手黑的原因，和谐在这里称它叫做“2b硅脂”。

硬件版本v1.1，据说后期出的v1.2版本在wifi信号上有所改善，是真是假不得而知，但是1.2是晚一点出来的，起码挖矿时间会短很多。

背面一览。可以看到油脂已经沁到了主板背面。。。

果断用酒精+干湿巾将主板上的油脂擦掉，顺带撕掉外壳上的官方贴纸：

不知道这个厂家是不是脑袋有包。这特么是神一样的贴纸，用酒精、风油精处理都没有什么显著效果。若不是和谐之前买过车用去树胶的去污剂，还真就弄不过它。在此要跟小伙伴们说一句：如果手上没有强力有机溶剂，千万不要撕顶盖上的贴纸。

经过20分钟的擦拭，终于清理干净了顶盖。

对了。需要说一下，散热并不需要替换成什么铝片铜片，只要把油脂擦干净，然后把导热垫去除就可以了。害怕散热成问题的话，可以洗净手后，开机一段时间后直触之前有导热垫的cpu、内存和无线芯片，你会发现，除了处理器有些温热以外，其余地方并不怎么热。若是不放心，可以用小刀将导热垫割开，仅保留cpu部位的一小块进行导热。

刷机

其实刷机并不需要拆机的，恩山上做breed的大神给出过刷机方法，和谐来个傻瓜式的step by step：

首先192.168.99.1，进入路由器管理界面。如果之前上家没重置系统的话，可以开机后长按电源插头那边的reset来恢复出厂设置。

设置wifi名称和密码，管理密码和wifi密码一致即可。

然后完成设置。

到了这个界面后，不要退出浏览器，直接在浏览器上输入http://192.168.99.1/newifi/ifiwen_hss.html。

可能是系统版本的原因，大神说出现success（成功），而和谐这里显示的是congratulations（恭喜），无论出现的是什么，总之是ssh已经成功打开了。

然后打开winscp这个软件，协议选用scp，主机名192.168.99.1，用户名root，密码就是刚才设定的管理密码（wifi密码）。

登录进去之后，把下载到的newifi-d2-jail-break.ko拽到tmp文件夹里。当然也可以随便拽到哪儿都可以。

之后单击左上角菜单栏第五个，唤出控制台。

从这里唤出的控制台已经自己进入tmp文件夹目录，在输入命令那里输入insmod newifi-d2-jail-break.ko，之后执行即可。

稍等一会儿，会出现这个提示。此时路由器已经重启，我们已经把breed刷进去了，可以断电后按住背面两个小钮任意一个，通电手不要松开。待全部led灯闪烁一次之后，再松手。

之后输入192.168.1.1，就可以看到熟悉的breed控制台了。

然后恢复一下出厂设置，选择固件更新，勾选固件，刷机即可。

无缝漫游

既然刷机，和谐索性带大家玩个大的——弄802.11k/v/r无缝漫游。之前和谐写过tplink wdr7650和h3c b5mini两部设备的mesh组网的原创，有小伙伴留言说“磊科mg1200ac（也有说k2t的）支持802.11kvr漫游，一对只要xx元真香”。

那么咱就实际测试一下，802.11k/v/r，到底能不能无缝漫游，真的和mesh效果一样吗？

所以，和谐干脆直接刷了公认802.11k/v/r效果最好的第三方固件：集客os。

【产品特性】

微AC功能（AP可以管理AP）。

AP支持跨三层、VLAN管理。

中文多SSID、SSID VLAN隔离, 业务和管理IP隔离。

kvr快速漫游、负载均衡。

频谱导航、5G优先。

AP报警及救援（发明专利），网络诊断。

远程管理（微云）。

和谐给newifi3刷的是企业版固件，就是“集客盒子”，这是个ac固件可以管理下级ap。

从breed内直接刷入之后，管理地址为192.168.8.1

默认用户名和密码均为admin。

ap管理里面，可以看到刷了集客ap固件的设备。红色字样的未注册只是没法云端管理，跟咱们的测试并不影响。

因为默认是打开了访客网络，所以你会发现，在一个ac+一个ap的设备环境中，家里有了9个wifi的ssid。。。最后那个sos是为了避免ap有问题没法设置情况下的救援ssid。以此类推，在默认情况下，如果你再加ap，会再多5个。。。

从ap模板里面设置一下，就可以关掉ap中没用的ssid了。因为我在客厅位置放的ap，在次卧放的ac，户型较小，所以就直接关闭了2.4g漫游，仅保留5g漫游。保存后自动下发，过一会儿就会显示绿色“已下发”字样。

然后基本上没啥好设置的了。只需要设置两次wifi就行，没啥技术含量，也可以算是傻瓜式。

看看效果：

从ac切换到ap和从ap切到ac效果差不多的，速度也还可以。

漫游效果和tplink wdr7650易展系列差不多，貌似比之前测的7650延迟低一些，不知道是不是做ac的双核起作用了？重要的是，开迅雷家里网不断啊！开迅雷家里网不断啊！开迅雷家里网不断啊！重要的事情说三遍。

用腾讯视频播放1080p来回走着切换漫游的时候，偶尔等个一秒不到的缓冲应该不算问题，所以我判定不卡（别问我6s怎么看1080p，我也纳闷为啥6s也可以选1080p）。

鉴于和谐不会玩手机游戏，一直在肝的“广告传说”对联网的需求并不大。。。实在要网络游戏稳定性测试的话，斗地主不掉线算不算？

顺便说个管理页面bug：

在关闭ac端ssid的时候，会出现上图的效果，刷新一下网页不管用，必须点开别的设置里再点回来才解决。

对了，顺嘴说一句，如果你想进ap端的管理界面去看看，和谐找到了三种方法：第一是直接在ac端管理界面，进入ap管理，然后单击你要进去的ap；第二是有线连接ap端，网络设置为6.6.6.x，子网掩码255.0.0.0，网关6.6.6.6，其中x为非6任意数，之后打开浏览器进入6.6.6.6；第三种是连接ap端发出的sos开头的ssid（这个方式可以自己关闭）。

还有一个不知道算不算bug，还是和谐操作有问题，就是在设置弱信号剔除阙值的时候，默认是-80，如果改动之后，ap端漫游到ac端的功能就傻了，信号只剩下一格了，也不切过来。。。再改回默认-80的数值就又好了。

总结

mesh组网的兴起，可以说直接给用大功率路由覆盖全场的方式判了死刑，类似本文的方式还有用openwrt固件组网的，支持的路由器型号更多，但是设置上就比较麻烦了，之前看站内有人发过教程，顺手收藏了，然后闲下来自己想弄的时候，仔细看了看帖子，又默默的取关了。。。

说说优点：

1、成本低廉配置高。没有能刷ac固件的路由的情况下，用ap固件开启微ac功能也能用；

2、漫游效果不错，切换起来和便宜的mesh路由差不多，前提是你手机得支持802.11kvr，不过目前主流手机不支持的比较少了；

3、组网灵活方便，设置简单。做ac的路由器可以用mt7621那一群，也可以用x86软路由；钱紧可以用一个newifi3当ap，剩下的全用三四十块钱newifi mini，高通系列的K2T也能往里面加，各种各样的渣渣路由也能往里面加。附录：

集客无线AP(MTK子系列)型号说明：
AP230IP MT7620A/N 无PA/无LNA 如联想Newifi mini Y1, 支持MT7612E, MT7610E的扩展5G芯片
AP230EP MT7620A/N 带PA/带LNA 如匪讯K2 支持MT7612E, MT7610E的扩展5G芯片
AP601 MT7620A/N 无PA/无LNA， 不支持5G， 支持扩展VLAN网口，主要用于面板AP
AP602 MT7620A/N 无PA/无LNA， 不支持5G， 支持扩展VLAN网口，主要用于面板AP， 4M flash/32M memory
AP238AN MT7628, 支持MT7612E, MT7610E的扩展5G芯片, 如极路由HC5861B
AP242P MT7621, 无线支持MT7602E+MT7612E，如RE6500
AP243P MT7621, 无线支持MT7603E+MT7612E, 如联想Newifi 3
AP245P MT7621, 无线支持MT7615E,如匪讯K2P

说缺点：

1、在ac端或者ap端下挂其他固件路由器a的时候，如果不小心将a路由（开启dhcp服务器）的lan口串在整个网络中，会导致ac路由的dhcp失效，ip被a路由分配了——这个问题让和谐百思不得其解。出了这个问题之后特意找了其它型号路由测试，发现有的有问题有的没问题。

2、不带功放的ap端（newifi mini）比带功放的ap端（k2），好像稳定性要好一点。。。不知道是不是错觉。我猜大约是带功放的信号太强了导致切换不顺畅？

3、这种方式组网，会导致距离远的话，直接没信号。比如和谐一直在2层放个路由器中继4层的信号，在4层用这套弄上之后，2层中继就挂了。。。

4、不能无线回程。不能无线回程。不能无线回程。重要的事情说三遍。

5、刷ac用的路由器，矿渣有点多，寿命上不大好说，不过好在价格便宜，坏了也不至于哭一场——实在忍不住也是可以嚎两声的。

本次和谐实际购机价格为0。。。哎，谁说又是PY交易来着？其实是朋友一直在用这个newifi3的原厂固件，然后发现不稳定，过来找我喝酒顺便带了过来，然后从我这里把旧路由网件wdr3700v4拿走了。。。

别说，那天酒不错，也不上头，就是第二天屁股有点痛。

完。

者2014年曾经有幸做为首席网络工程师全程参与了新加坡国家美术馆(Singapore National Arts Gallery)的网络项目的设计、执行和交付。NAGa的无线网方案使用的是Aruba。笔者是做RS出身的，自己当时接手该项目时对无线网的理解还停留在理论阶段，在公司将我派出参加了一个礼拜的培训加上自己多次动手实验后，自己终于独立完成了NAGa项目的无线网络部分的部署。

下面是自己当年的一些笔记，分为理论和实验两个部分，干货不少，如果你手头正好有Aruba的活，那我的这篇笔记肯定能从理论和实战上助你一臂之力。

理论部分：

1. Aruba 225系列的AP可以支持最新的802.11ac, Aruba 105 AP则只能支持到802.11n。

2. Aruba 的每一款AP都分Campus AP和Instant AP两种类型，前者属于“瘦AP，所有操作在APC上完成，后者属于“胖AP”,有自己的OS，可以直接配置无线网。如果要用APC来控制Instant AP，则需要先将Instant AP设置成Campus AP，否则在APC上无法detect到该AP。

3. Aruba Controller的controller IP的概念等同于思科的router-id, 设置Controller IP的命令：Controller-ip vlan xx。

4. 目前市场上所有的AP只能运行在半双工模式，即可以把AP本身看成一个hub, 为了避免通一VLAN下用户过多，产生过多的collision，建议每个SSID所在的VLAN的子网掩码不要低于/24。

5. 一个SSID可以包含数个VLAN， APC将通过基于MAC的hash运算来给处在同一SSID的无线网用户分配VLAN，Aruba将该技术称作Vlan Pooling.

6. APC密码恢复，用户名:password, 密码：forgetme!。

7. APC恢复出厂设置：密码恢复后，输入write erase all来删除掉所有配置，然后输入reboot重启。

8. Write erase 和 Write erase all的区别在于，前者删除所有的配置但不包括APC已有的license, 后者将删除所有的配置，包括已经安装好的license.

9. Aruba Mobility Controllr添加license: license add, 删除license: deletelicense. 删除所有license: write erase all.

10. AP恢复出厂设置：重启AP，点Enter进入apboot模式，输入purge命令来删除配置，之后再分别输入save和reset来保存和重启AP。

11. Aruba AP启动后，将首先通过DHCP得到自己的IP以及APController的IP （DHCP option 43）, 然后通过FTP从Controller下载自己的镜像文件。ArubaAP与APC之间的交流是通过Aruba专有的PAPI（Process Application Programming Interface）协议实现的，AP与APC之间还将建立GRE隧道。综上，如果AP与APC之间有防火墙的话，则需要在防火墙为它们之间开启DHCP,FTP,GRE（TCP/UDP 47）以及PAPI（UDP 8211）等端口。

12. 无线网用户连上SSID后，无线终端设备发出由802.11封装的DHCP Request包，该DHCP Request包（802.11）被AP用802.3封装好，然后通过GRE隧道传到APC， APC再根据AP所在的AP Group里的设定来决定该无线网用户所属的VLAN。在知道用户所属的VLAN id后，APC将该DHCP request（802.3）包forward给上层级联的三层交换机，再由三层交换机forward给DHCP服务器。DHCP服务器根据VLAN id分配好相应的IP地址后，由三层交换机将该DHCPReply包（802.3）传回给APC，APC拿掉该DHCP Reply的802.3包头，将其替换为802.11的包头，再通过GRE隧道（802.3）将其传回给AP，AP随后拿掉GRE隧道的802.3包头，最后将属于802.11的DHCP Reply包传回给无线终端。

13. 一个GRE隧道等于一个SSID。

14. Aruba AP通过具有唯一性的BSSID来指定WLAN， 一个AP可以支持多个WLAN。每个WLAN (SSID)又被叫做Virtual AP，一个Virtual AP下面包含SSID Profile（定义SSID名称）以及AAAProfile（定义encapsulation类型和802.1x等参数）。WLAN=SSID=VAP

15. APC通过创建AP Group来批量管理AP，一个AP只能属于一个AP Group，一个AP Group可以有多个AP。 AP Group下面包含五大Profiles: VAP, RF Management, AP,QOS, IDS，每个Profile都有属于自己的default profile，改动AP Group任一Profile的参数将影响到所有属于该APGroup的AP。

16. AP与APC之间有Tunneled, Decrypt-Tunneled和Bridge三种传输模式

a. Tunneled

Data framesencapsulated/sent within GRE tunnel to the controller

PAPI Control Packetstransported via UDP 8211 (NOT tunneled)

b. Decrypt-Tunneled

AP Encrypts/decryptsclient packets

PAPI packetstransported to the controller with IPSec

c. Bridge

Encryption/Decryptionat the AP

All user traffic locallyrouted/switched

17. 用ClearPass做RADIUS服务器，第一步先要配置NAD（Network Access Device），对无线网用户来讲，NAD永远是APC或者Instant AP。对Wired用户来说，NAD是Wired用户接入的设备，比如2/3层交换机，或者是路由器。

18. Aruba APC里针对无线用户设定好了四种Role: Initial Role(通常是logon, logon只允许身份验证和Captive Portal的流量通过)， User Derived Role, Server Derived Role (802.1X) 以及default Role。 前两种Role是在做authentication之前分配给用户的，后面两种Role是在做authentication之后分给user的。

19. 每个Role下含一个或数个策略, 每个策略又包含一个或多个Rule.

20. 在APC里，一个用户只能有一个role,在ClearPass里面，一个用户有多个role (LAB2.1)。ClearPass里面的role不等于APC的role，即使role的名称相同。

21. Aruba无线网络用户认证方式主要有三种：1 无认证，也就是无需密码就能连上一个SSID。 2 PSK认证，在APC上为SSID预配好一个密匙（即无线用户链接SSID时所提示的无线网密码）。 3. 802.1x认证，需要额外配置一台RADIUS server，Aruba推荐使用ClearPass作为RAIDUS认证服务器。

22. 通过上面的实验可以总结出ClearPass策略执行的两个关键因素为:Enforcement profile和Enforcement policy， 简单点来说，Enforcement profile 定义的是“这个策略要做什么?”， 而Enforcement policy定义的是“在什么条件或情况下执行这个策略?”，所以编辑clearpass策略的顺序应该是先做Enforcement profile, 随后再做Enforcement policy，最后再将Enforcement policy 放进Service里执行。

23. 按照OSI layer来分，Aruba的authentication又可分为L2 Authentication和L3 Authentication, 两者的区别是，L2Authentication是在无线用户得到IP之前就做认证，L3Authentication则是在无线用户得到IP之后再做认证。 典型的L2 Authentication包括：SSID (隐蔽SSID名字做为安全手段)， MAC， 802.1X； 而典型的L3Authentication则包括：Captive Portal以及VPN。

24. 所谓Captive Portal，就是机场，医院，大学校园等等这类大型公共场所提供给用户注册无线网络账号的一个Portal。 举个例子： 用户A用笔记本或者手机连上了某个机场里的SSID（通常这些SSID都不加密，用户连上SSID后就可以马上通过DHCP分配到IP，所以CP也叫做L3 Authentication），然后打开浏览器希望浏览某个网页，但是看到的却是http://10.1.1.1/login.php之类的WiFi用户注册页面，原理是因为AP和APC之间建立了GRE隧道，用户A的802.11流量永远都是被AP先通过GRE隧道传到APC，然后APC再重定向用户的流量到CaptivePortal，所以在完成注册前，用户A能看到的只是Captive Portal的页面。 Aruba APC和Clearpass都能做Captive Portal服务器。

25. CoA是RADIUS里的一个术语，全称叫Change of Authorization。 RADIUS通常运行在”pulled mode”，即所有的认证过程都是由用户一方主动发出一个认证请求，然后RADIUS服务器响应该需求。如果不开启CoA,那么在用户的身份得到确认后，RADIUS服务器无法在需要的情况下 (比如RADIUS服务器添加了新的策略需要执行) 断开用户的认证以强行让其进行“重认证”，所以一般在使用802.1x作为认证方式的环境下，CoA是建议在RADIUS服务器上开启的，以备不时之需。

26. 在APC上开启Captive Portal步骤：

a. Configuration>Security>Authentication>L3Authentication>Captive Portal Authentication Profile, 创建一个新的Captive Portal profile，命名为Guest-cp_prof

b. 点击Guest-cp_prof进入修改其参数。CP页面下的登陆方式分为User login和Guest Login两种，User Login需要用户在注册时填写登陆id和密码（用户需要找Helpdesk或者Information Counter的工作人员来得到登陆信息），APC再将用户填写的身份信息传给RAIDUS服务器进行验证（验证用户的User数据库在RADIUS服务器上）; 如果使用Guest Login的话，用户只需填写一个任意的EMAIL地址就能立即登陆，无需验证，User Login和Guest Login可以同时开启，但是通常处于安全考虑，建议只开启User Login。 Default Role对应的是User Login的用户，Default Guest Role对应的是Guest Login的用户，默认情况下，Default Role和Default Guest Role都是guest。

c. 修改Login Page的URL（默认是/auth/index.html），匹配Captive Portal服务器的IP地址: 如果使用ClearPass做CP服务器，就要添加ClearPass的IP，比如10.1.1.1

d. Configuration>Security>AccessControl>User Roles, 为使用Guest SSID的用户创建一个独立的role,取名为CP-guest-logon, 为该role添加两个firewall policy: logon-control和captiveportal,其中APC已经预配好的logon-control无需修改，直接调用，而Captiveportal则需要注意：

如果使用APC做CP，无需修改captiveportal这个policy,直接调用即可。如果使用ClearPass做CP，那么需要手动添加两个rule，具体配置如下：

IP Version Source Destination Service Action Log Mirror Queue

IPv4 any host 10.1.1.1(CP’s IP) svc-http permit Low (手动添加)

IPv4 any host 10.1.1.1(CP’s IP) svc-https permit Low (手动添加)

IPv4 user controller svc-https dst-nat 8081 Low (系统预配)

IPv4 user any svc-http dst-nat 8080 Low (系统预配)

IPv4 user any svc-https dst-nat 8081 Low (系统预配)

IPv4 user any svc-http-proxy1 dst-nat 8088 Low (系统预配)

IPv4 user any svc-http-proxy2 dst-nat 8088 Low (系统预配)

IPv4 user any svc-http-proxy3 dst-nat 8088 Low (系统预配)

e. 做好firewall policy后，将CP-guest-logon的Captive Portal Profile改为步骤a创建好的 Guest-cp_prof. （关键步骤！）

f. Configuration>Security>Authentication，进入为AP做provisioning时就已创建好的guest aaa profile（比如Naga_guest-aaa_prof），将它的Initial role 改为步骤d创建的CP-guest-logon，关键步骤！如果不修改的话,用户将得到logon这个默认的Initial Role, 将无法进入Captive Portal，因为logon这个role下没有captiveportal这个firewall policy！

27. APC的WEB GUI的默认端口为4343，ClearPass的WEB GUI的默认端口为443，而guest这个预配role开了any to any的http和https的firewall rule,这就解释了为什么guest用户登陆后能够打开ClearPass的WEBGUI，却不能打开APC的WEB GUI的原因。

28. ClearPass虽然可以创建多个Enforcement Policy，但是每个Service一次只能调用一个EnforcementPolicy。

实验部分：

实验1：A公司要求使用ClearPass来辨别连入公司SSID的每个无线用户的终端设备类型，如果用户使用的是苹果手机（iOS），将它们的流量路由到Proxy服务器 (192.168.10.1)，如果用户使用的是Android操作系统的手机，则丢弃它们所有的流量。

思路：

1. Clearpass通过辨别MAC地址里的OUI部分来识别厂商，从而达到识别终端用户类型目的的，为了使ClearPass得到用户的MAC地址，有个非常巧妙的方法：在APC上的所有SVI都开启DHCP relay,把ip helper地址设为ClearPass的IP，这样无论如何用户从哪个SSID连入进来，APC都能把用户的DHCP Request包丢给ClearPass，而ClearPass就可以从DHCP Request包里获取用户的MAC地址。 这个方法巧就巧在ClearPass本身是不具备DHCP服务器的功能的，尽管APC的SVI都配了ip helper address，并且这个ip helper指向的是Clearpass, 用户无法从Clearpass得到IP，但是这并不影响终端用户从APC（如果开启了DHCP service的话）或者其他DHCP服务器获取IP地址，我们的目的只是让ClearPass得到用户的MAC地址，从而来识别用户终端设备类型。

2.在Clearpass上的Wireless 802.1x Service 做Enforcement，让APC给苹果和安卓手机的用户分配不同的role，然后在APC上针对这两个role做策略，已达到流控的目的。

实现步骤：

1. APC上，Configuration>Network>IP，编辑每个SVI，在DHCP Helper Address这里加上ClearPass的IP地址，然后创建两个role,分别叫ios和android，把这两个role的firewall policy参照实验需求分别配置好(ios用户流量丢给proxy, Android用户流量直接丢弃)， 配置步骤略。

2. ClearPass上，首先创建两个Local Role，分别叫做apple和android, 然后两个Enforcement Profile分别取名Apple Profile和Android Profile， 在Apple Profile里面，把Value设为ios(匹配APC里的role)，在Android Profile里面，把Value设为android （同样匹配APC里的role）, 随后创建一个Enforcement Policy, 规定在Local Role=apple的时候，匹配Apple Profile，在Local Role=android的时候， 匹配Android Profile。然后把这个Enforcement Policy 应用在Secure1-14 Wireless 802.1x Service里。

3. ClearPass上，Configuration>Serivces>Secure1-14Wireless 802.1x Service, 在Service Tab下，把More Options里的Profile Endpoints打上勾后，页面上会多出Profiler这个tab, 进入Profiler Tab, 在Endpoint Classification下拉菜单里选中”Any Category / OS Family / Name”,然后保存配置。

4. ClearPass上，Configuration>Serivces>Secure1-14Wireless 802.1x Service，在Roles Tab下，”Add new Role Mapping Policy”，在Policy Tab配置如下：

Policy Name: Apple (Ios)

Description: <any description>

Default Role: <any default role>

然后在Mapping Roles Tab下Add Rule,配置如下：

Type: Authorization:[Endpoints Repository]

Name: OS Family

Operator: EQUALS

Value: Apple

随后做Role Mapping, 把Actions下面的Role Name选为apple(注意这个是步骤2创建的ClearPass的Local Role,和APC上的role无关)，然后保存。

5. 重复步骤4，

Policy Tab:

Policy Name: Samsung(android)

Description: <any description>

Default Role: <any default role>

Mapping Roles Tab:

Type: Authorization:[Endpoints Repository]

Name: OS Family

Operator: EQUALS

Value: Android

Role Name:android

实验2： 在APC上为Guest 这个SSID开启和使用Captive Portal的步骤：

a. Configuration>WIRELESS>APConfiguration>AP Group>,编辑已经创建好的NAGA-Guest这个AP Group,然后再进入WirelessLAN>VAP>Guest-vap_prof>SSID Profile,将802.11Securit的认证和Encryption分别选为None和Open.

b. Configuration>Security>Authentication>L3Authentication>Captive Portal Authentication Profile, 创建一个新的Captive Portal profile，命名为Guest-cp_prof

c. 点击Guest-cp_prof进入修改其参数。CP页面下的登陆方式分为User login和Guest Login两种，User Login需要用户在注册时填写登陆id和密码（用户需要找Helpdesk或者Information Counter的工作人员来得到登陆信息），APC再将用户填写的身份信息传给RAIDUS服务器进行验证（验证用户的User数据库在RADIUS服务器上）; 如果使用Guest Login的话，用户只需填写一个任意的EMAIL地址就能立即登陆，无需验证，User Login和Guest Login可以同时开启，但是通常处于安全考虑，建议只开启User Login。 Default Role对应的是User Login的用户，Default Guest Role对应的是Guest Login的用户，默认情况下，Default Role和Default Guest Role都是guest。

d. 修改Login Page的URL（默认是/auth/index.html），匹配Captive Portal服务器的IP地址: 如果使用ClearPass做CP服务器，就要添加ClearPass的IP，比如10.1.1.1

e. Configuration>Security>AccessControl>User Roles, 为使用Guest SSID的用户创建一个独立的role,取名为CP-guest-logon, 为该role添加两个firewall policy: logon-control和captiveportal,其中APC已经预配好的logon-control无需修改，直接调用，而Captiveportal则需要注意：

如果使用APC做CP，无需修改captiveportal这个policy,直接调用即可。如果使用ClearPass做CP，那么需要手动添加两个rule，具体配置如下：

IP Version Source Destination Service Action Log Mirror Queue

IPv4 any host 10.1.1.1(CP’s IP) svc-http permit Low (手动添加)

IPv4 any host 10.1.1.1(CP’s IP) svc-https permit Low (手动添加)

IPv4 user controller svc-https dst-nat 8081 Low (系统预配)

IPv4 user any svc-http dst-nat 8080 Low (系统预配)

IPv4 user any svc-https dst-nat 8081 Low (系统预配)

IPv4 user any svc-http-proxy1 dst-nat 8088 Low (系统预配)

IPv4 user any svc-http-proxy2 dst-nat 8088 Low (系统预配)

IPv4 user any svc-http-proxy3 dst-nat 8088 Low (系统预配)

f. 做好firewall policy后，将CP-guest-logon的Captive Portal Profile改为步骤a创建好的 Guest-cp_prof. （关键步骤！）

g. Configuration>Security>Authentication，进入为AP做provisioning时就已创建好的guest aaa profile（比如Naga_guest-aaa_prof），将它的Initial role 改为步骤d创建的CP-guest-logon，关键步骤！如果不修改的话,用户将得到logon这个默认的Initial Role, 将无法进入Captive Portal，因为logon这个role下没有captiveportal这个firewall policy！

实验3： A公司规定将公司内的无线网用户分为Employee和Contractor以及Guest三种， AP将广播三个名称对应的SSID。要求使用ClearPass做RAIDUS服务器，Employee使用employee做为登陆id, Contractor使用contractor做为登陆id, Guest使用guest做为登陆id, 三种用户的密码均为aruba123。 在无线用户登录后，给Employee用户分配名称为full-access的role, 给Contractor和Guest用户分配名称为limited-access的role。

步骤:

APC上的配置

1) 配置RADIUS server (ClearPass), 创建Server group，将RADIUS server加入 Server group, 配置CoA (Change of Authorization)

a. Configuration>Security >Authentication > Servers>Radius Server，创建名为”Clearpass”的Instance, 设置ClearPass的IP后， 将APC和Clearpass之间的验证密匙设为aruba123。

b. Configuration>Security >Authentication > Servers>Servers Group, 创建三个名为Employee, Guest, Contractor的server group, 每个server group配置一样：Server 都为步骤a里创建好的”Clearpass”, Server Rule则都设置为,Attribute:Filter-ID, Operation: value-of, Operand:空，Type: String,Action: set role, Value:空，Validated: Yes.

c. Configuration>Security>Authentication>Servers>RFC3576 Server, 创建一个新的RFC 3576 Server, 该Server的IP为Clearpass的IP。

2） 创建AP Group，配置VAP, SSID profile以及AAA Profile。

a. Configuration>Wireless>AP Configuration > AP Group, 创建名为Company A的AP Group，在该AP Group里创建三个VAP，SSID名字分别为Employee, Contractor和Guest，在每个VAP下面的SSIDprofile里，将802.11 Security的Network authentication认证方式改为Mixed: wpa-tkip, wpa2-aes。

b. Configuration>Security>Authentication>Profiles>AAAProfile, 分别配置AP Group (Company A)下VAP正在使用的employee-aaa-profile, contractor-aaa-profile, guest-aaa-profile这三个AAA profiles，将它们的Initial Role和802.1X Autentication Default Role分别设为”logon”和”authenticated”

3） 在AAA Profile里设置802.1x Authentication Profile, 802.1x Authentication Server Group和RADIUS Accounting Server Group（注：实际项目中，Contractor和Guest使用CP登陆，无需配置这一步，他们的802.1x Authentication Profile, 802.1x Authentication Server Group和RADIUS Accounting Server Group均为空！）

a. Configuration>Security>Authentication>Profiles>AAAProfile, 分别选中之前创建好的三个AAA Profile，将它们的802.1X Authentication Server Group以及RADIUS Accounting Server Group下拉菜单分别对应选择为在步骤1b时创建好的3个server group (Employee, Guest, Contractor)，在802.1x Authentication Profile的下拉菜单里选择dox1x_prof-vth54（待确认是否是pre-configured的还是manually created的）

4） 自定义Role (full-access和limited-access)， 给AP做provisioning

b. Configuration>Security>AccessControl> User Roles, 创建两个role, 分别名为full-access和limited-access, 给full-access分配系统已经预配好的名为”allowall”的策略，给limlited-access分配系统已经预配好的名为”logon-control”和”captiveportal”的策略。

c. Configuration>WIRELESS>APInstallation，为AP做好provisioning， 步骤略。

ClearPass上的配置

1） 配置NAD

a. Configuration>Network>Devices>AddDevice

Name: AP Controller of Company A

IP Address: APC的IP

Description: Aruba Controller

RADIUS Shared Secret: aruba123 (须和APC配置步骤1a里配置的shared secret一致)

选中Enable RADIUS CoA

2） 创建ClearPass Role 和Local Users, 给Local Users分配相应的Role

a. Configuration>identity>Roles>AddRoles, 创建三个Role, 分别叫做Company Employee, Company Contractor和Company Guest

b. Configuration>Identity>LocalUsers>Add Users, 创建三个Local Users, 即三个登陆id，给这三个登陆id赋予不同的Role。

User ID=employee

Name=<any name>

Password=aruba123

Enable User

Role=Company Employee

User ID=contractor

Name=<any name>

Password=aruba123

Enable User

Role=Company Contractor

User ID=guest

Name=<any name>

Password=aruba123

Enable User

Role=Company Guest

3) 创建Aruba 802.1X Wireless Service, 即开启ClearPass针对Aruba无线网络的802.1x认证服务.

a. Configuration>Start Here>选中”Aruba 802.1X Wireless” （如果是APC和AP其他厂商的，选下面的“802.1X Wireless”）

b. 在Service tab下进行如下配置：

Type:Aruba 802.1X Wireless

Name:Company A Wireless 802.1X Service

Description:<any description>

c. 在Authentication tab下进行如下配置：

Authentication Methods: [EAP PEAP],[EAP TLS], [EAP MSCHAPv2]

Authentication Sources: [Local UserRepository], [Local SQL DB]

d. 保存配置后，在Configuration>Services>ReorderServices页面下把刚刚创建的 “Company A Wireless 802.1X Service”重新排序，将其排在servicelist里的第一位。

4) 验证802.1x

a. 开启笔记本电脑，任意加入Employee, Contractor, Guest这三个SSID中的一个（注意笔记本上的无线网的加密方式要改为WPA2-Enterprise +AES,并要开启802.1x的认证），这时系统会提示输入用户id和密码，（这体现了802.1x认证方式和只需要输入共享密匙，而不需要用户id的PSK认证方式的不同），如果加入的是Employee SSID, 登陆id即为employee, 如果加入的是Contractor SSID的话，登陆id即为contractor,Guest SSID同理，密码均为aruba123.

b. 成功通过802.1x 认证后，在APC上进入Monitoring>Clients 既可以看见通过身份验证的用户信息，注意这时用户的User Role为authenticated，这是默认的User derived role，要实现需求的employee用户为full-accesss role, contractor和 guest为limited-access role的话，还需要在ClearPass上做enforcement。

5) 创建Enforcement profile，将其加入Enforcement policy, 再在Company A Wireless 802.1X Service的Enforcement tab下执行Enforcement policy，以达到让employee用户得到full-access的role, contractor和guest得到limited-access的role的目的.

a. Configuration>Enforcement>Profiles>AddEnforcement Profile, 在Profile tab下做如下配置：

Template: Aruba RADIUS Enforcement

Name: Company A Employee profile

Description: <any description>

Action: Accept

b. 在Attribute tab下做如下配置：

Type: Radius:Aruba

Name: Aruba-User-Role

Value:=full-access

c. 重复步骤5a,5b,创建另外两个名字分别为Company A Contractor profile和Company A Guest profile的Enforcement profile，并在Attribute tab下面将它们的value都设为limited-access

d. Configuration>Enforcement>Policies>AddEnforcement Policy, 在Enforcement tab下做如下配置：

Name: Aruba Enforcement Policy

Description: <any description>

Enforcement Type: RADIUS

Default Profle: [Deny Access Profile]

e. 在Rules tab下点击Add Rule，前后分3次创建3个Rule，配置如下：

Type: Tips (Tips即为Clearpass)

Name: Role

Operator: EQUALS

Value: Company Employee -----> 这个即为步骤2)b创建的Clearpass Role

Enforcement Profiles: [RADIUS] Company A Employee Profile -----> 这个即为步骤5)a创建的employee profile

Type: Tips

Name: Role

Operator: EQUALS

Value: Company Contractor

Enforcement Profiles: [RADIUS]Company A Contractor Profile

Type: Tips

Name: Role

Operator: EQUALS

Value: Company Guest

Enforcement Profiles: [RADIUS]Company A Guest Profile

f. Configuration>Services,选择在步骤3)创建好的Company A Wireless 802.1x Service, 进入该Service之后，点击Enforcement Tab并选中步骤5)d和5)e创建好的Aruba Enforcement Policy，然后点击“Modify”后按Save保存配置。

SKYLAB众多无线模块的咨询中，有业务纯熟的物联网工程师们直接找数据透传WiFi模块和数据透传蓝牙模块，也有问数据透传是怎么实现的萌新工程师们。本篇SKYLAB小编就以数据透传无线模块在物联网的应用着手，简单带各位了解一下数据透传的重要性。

首先简单了解一下什么是数据透传。

数据透传顾名思义即数据透明传输，透明传输就是在数据传输过程中，发送方和接收方数据的长度和内容完全一致，不需对数据做任何处理，相当于一条数据线或者串口线，保证传输的质量即可，而不对传输的业务进行处理。

接下来认识一下数据透传的重要性。

数据透传采用动态跳频技术，一般都是用来读取远程的串口数据，环境适应性强，能够有效避免干扰，这也是众多物联网工程师们会优先选择UART接口无线模块来实现数据透传的原因。在物物相连的物联网时代，不丢包且能保证数据传输质量的数据透传已广泛应用在能源电力、自动抄表、智慧城市、工业自动化、车载交通、环境监测、设备监控、现代农业等诸多行业。

最后，介绍一下咨询量最多的几款支持数据透传的无线模块。

UART WiFi模块

支持数据透传的UART接口WiFi模块有很多款，其中低功耗且适用于物联网应用场景的分别是基于国产TR6260方案的小尺寸低功耗低成本串口WiFi模块LCS6260（http://www.skylab.com.cn/productview-150-TR6260_uartwifi_lcs6260.html），基于国产ESP8266方案的小尺寸低功耗低成本串口WiFi模块WG219/WG229，基于国产ESP8285方案的小尺寸低功耗低成本串口WiFi模块WG231。其中，LCS6260支持对接阿里云、涂鸦云，WG219/WG229/WG231支持对接阿里云。

UART 蓝牙模块

支持数据透传的UART蓝牙模块有两款，分别是Nordic 52832方案的BLE4.2蓝牙模块SKB369和Nordic 52840方案的BLE5.0蓝牙模块SKB501，并在此基础上提供了两种方式（无线控制，远程控制）来实现APP和设备间的数据透传，如此一来，客户/开发者通过无线串口数据透传模块接入云端后，可更加便捷的进行数据采集传输、远程控制、报警推送、统计报表等服务。

以上就是本次SKYLAB君要给大家介绍的数据透传及数据透传无线模块，上述无线模块均已批量出货，产品性能已经经受住市场考验，更多模块参数及特性应用可直接访问SKYLAB官网或阿里店铺。