在前面

如題，前兩天和諧寫過一篇“雙11路由器避坑大作戰”的原創。

然而總有小伙伴說“xx元淘個xx不好嗎”之類的話。比如有說k2p無敵的，有喊k3賽高的。前者在100出頭的時候的確無敵——可是現在價格漲到了200多，對不起，我不覺得200塊錢買個沒保修的東西有什么可真香的。

然而礦難產品挺多的。除去匪訊系，我們還有極路由、小娛、歌華鏈、競斗云、必虎wifi等。當然，上面那些大部分我不熟，而且各有各的缺陷。所以本文中我們就拿出另外一款礦難代表機型——newifi 3來聊聊路由器刷機和組“類mesh”的過程。

PS、newifi3配置為mtk mt7261 880m雙核，搭配512m運行內存，2.4g 300m+5g867m組成1200m雙頻，有個缺點就是部分機器信號很差，但是和諧手上的這臺還算可以，不過就算信號不差，其速度也弱于k2p。

拆機

新路由的前世今生

新路由newifi是由成都諦聽科技推出的家用路由器品牌。它的1代產品有兩種，分別是newifi y1和y1s，前者就是早些年69賣的挺火的那個，和諧前幾天還用編程器救磚了一個；后者則是千兆網口版本，看咸魚上面還有人買“全新”。真假與否咱不去分辨，這不是本文要聊的事情。二代產品為newifi d1，硬件配置上直接在一代產品上翻倍，然而除了外觀比較個性以外，口碑比一代產品差了太多。。。

面對匪訊系0元購以及迅雷系挖礦的雙重壓力，新路由終于“開竅”了。同樣“開竅”的還有另外的一家身在北京的公司——極路由。有所不同的是，新路由只玩挖礦，而后者選擇了雙管齊下。當然，丫鬟命小姐病的極路由自不是匪訊可比的，于是創始人王楚云也就落了個身陷囹圄的結局——這都是后話，我們回來繼續說新路由。

人吶，眼睛一紅，心就黑了。

后來的事情，大家都知道了。巔峰時期炒到3k元/臺的newifi3（包括后期聯想版本的“掘金寶S1”）的發布，讓這個有著聯想控股的小公司賺了個盆滿缽滿。

再后來，看他宴賓客，看他樓塌了。狂歡過后，一地雞毛：

這款路由器a殼為鋁合金材質，入手冰涼。在當時看來，絕對是屬于體積較大的那種。就像諾基亞塞班時代推出的3.5寸屏幕的iphone。但是拿到現在來看，個頭上就不顯眼了。畢竟tp們吃準了人們的口味：大即是好——主板因為成本原因，可以縮到巴掌大，但是外殼塑料四舍五入等于不要錢，必須把這巴掌大的主板放到屁股大的外殼里！

背殼為abs塑料材質，四角腳墊下一共四顆螺絲。由于底扣在頂蓋上，而頂蓋材質并不是我們常見的塑料，而是鋁合金材質，所以要多擰一會兒才能擰下來。

側面有防拆貼。公司都半死不活了，我還能指望你保修？再說，反正也過保了。。。

頂蓋和后殼之間并沒有什么卡扣存在。之所以拆頂蓋的時候會覺得有作用力，完全是這哥仨在作怪——這種不知道什么材質的導熱膠油性極大：

從主板上可以看到，處理器、內存以及2.4g和5g芯片以及它們附近，都已經被導熱膠上分泌出的油脂浸透。

導熱膠vs1角錢硬幣的厚度對比。

這種膠應該不是相變硅脂，因為相變硅脂摸一下不至于把手都染上色，而且也不容易損壞。鑒于被它弄了一手黑的原因，和諧在這里稱它叫做“2b硅脂”。

硬件版本v1.1，據說后期出的v1.2版本在wifi信號上有所改善，是真是假不得而知，但是1.2是晚一點出來的，起碼挖礦時間會短很多。

背面一覽。可以看到油脂已經沁到了主板背面。。。

果斷用酒精+干濕巾將主板上的油脂擦掉，順帶撕掉外殼上的官方貼紙：

不知道這個廠家是不是腦袋有包。這特么是神一樣的貼紙，用酒精、風油精處理都沒有什么顯著效果。若不是和諧之前買過車用去樹膠的去污劑，還真就弄不過它。在此要跟小伙伴們說一句：如果手上沒有強力有機溶劑，千萬不要撕頂蓋上的貼紙。

經過20分鐘的擦拭，終于清理干凈了頂蓋。

對了。需要說一下，散熱并不需要替換成什么鋁片銅片，只要把油脂擦干凈，然后把導熱墊去除就可以了。害怕散熱成問題的話，可以洗凈手后，開機一段時間后直觸之前有導熱墊的cpu、內存和無線芯片，你會發現，除了處理器有些溫熱以外，其余地方并不怎么熱。若是不放心，可以用小刀將導熱墊割開，僅保留cpu部位的一小塊進行導熱。

刷機

其實刷機并不需要拆機的，恩山上做breed的大神給出過刷機方法，和諧來個傻瓜式的step by step：

首先192.168.99.1，進入路由器管理界面。如果之前上家沒重置系統的話，可以開機后長按電源插頭那邊的reset來恢復出廠設置。

設置wifi名稱和密碼，管理密碼和wifi密碼一致即可。

然后完成設置。

到了這個界面后，不要退出瀏覽器，直接在瀏覽器上輸入http://192.168.99.1/newifi/ifiwen_hss.html。

可能是系統版本的原因，大神說出現success（成功），而和諧這里顯示的是congratulations（恭喜），無論出現的是什么，總之是ssh已經成功打開了。

然后打開winscp這個軟件，協議選用scp，主機名192.168.99.1，用戶名root，密碼就是剛才設定的管理密碼（wifi密碼）。

登錄進去之后，把下載到的newifi-d2-jail-break.ko拽到tmp文件夾里。當然也可以隨便拽到哪兒都可以。

之后單擊左上角菜單欄第五個，喚出控制臺。

從這里喚出的控制臺已經自己進入tmp文件夾目錄，在輸入命令那里輸入insmod newifi-d2-jail-break.ko，之后執行即可。

稍等一會兒，會出現這個提示。此時路由器已經重啟，我們已經把breed刷進去了，可以斷電后按住背面兩個小鈕任意一個，通電手不要松開。待全部led燈閃爍一次之后，再松手。

之后輸入192.168.1.1，就可以看到熟悉的breed控制臺了。

然后恢復一下出廠設置，選擇固件更新，勾選固件，刷機即可。

無縫漫游

既然刷機，和諧索性帶大家玩個大的——弄802.11k/v/r無縫漫游。之前和諧寫過tplink wdr7650和h3c b5mini兩部設備的mesh組網的原創，有小伙伴留言說“磊科mg1200ac（也有說k2t的）支持802.11kvr漫游，一對只要xx元真香”。

那么咱就實際測試一下，802.11k/v/r，到底能不能無縫漫游，真的和mesh效果一樣嗎？

所以，和諧干脆直接刷了公認802.11k/v/r效果最好的第三方固件：集客os。

【產品特性】

微AC功能（AP可以管理AP）。

AP支持跨三層、VLAN管理。

中文多SSID、SSID VLAN隔離, 業務和管理IP隔離。

kvr快速漫游、負載均衡。

頻譜導航、5G優先。

AP報警及救援（發明專利），網絡診斷。

遠程管理（微云）。

和諧給newifi3刷的是企業版固件，就是“集客盒子”，這是個ac固件可以管理下級ap。

從breed內直接刷入之后，管理地址為192.168.8.1

默認用戶名和密碼均為admin。

ap管理里面，可以看到刷了集客ap固件的設備。紅色字樣的未注冊只是沒法云端管理，跟咱們的測試并不影響。

因為默認是打開了訪客網絡，所以你會發現，在一個ac+一個ap的設備環境中，家里有了9個wifi的ssid。。。最后那個sos是為了避免ap有問題沒法設置情況下的救援ssid。以此類推，在默認情況下，如果你再加ap，會再多5個。。。

從ap模板里面設置一下，就可以關掉ap中沒用的ssid了。因為我在客廳位置放的ap，在次臥放的ac，戶型較小，所以就直接關閉了2.4g漫游，僅保留5g漫游。保存后自動下發，過一會兒就會顯示綠色“已下發”字樣。

然后基本上沒啥好設置的了。只需要設置兩次wifi就行，沒啥技術含量，也可以算是傻瓜式。

看看效果：

從ac切換到ap和從ap切到ac效果差不多的，速度也還可以。

漫游效果和tplink wdr7650易展系列差不多，貌似比之前測的7650延遲低一些，不知道是不是做ac的雙核起作用了？重要的是，開迅雷家里網不斷啊！開迅雷家里網不斷啊！開迅雷家里網不斷啊！重要的事情說三遍。

用騰訊視頻播放1080p來回走著切換漫游的時候，偶爾等個一秒不到的緩沖應該不算問題，所以我判定不卡（別問我6s怎么看1080p，我也納悶為啥6s也可以選1080p）。

鑒于和諧不會玩手機游戲，一直在肝的“廣告傳說”對聯網的需求并不大。。。實在要網絡游戲穩定性測試的話，斗地主不掉線算不算？

順便說個管理頁面bug：

在關閉ac端ssid的時候，會出現上圖的效果，刷新一下網頁不管用，必須點開別的設置里再點回來才解決。

對了，順嘴說一句，如果你想進ap端的管理界面去看看，和諧找到了三種方法：第一是直接在ac端管理界面，進入ap管理，然后單擊你要進去的ap；第二是有線連接ap端，網絡設置為6.6.6.x，子網掩碼255.0.0.0，網關6.6.6.6，其中x為非6任意數，之后打開瀏覽器進入6.6.6.6；第三種是連接ap端發出的sos開頭的ssid（這個方式可以自己關閉）。

還有一個不知道算不算bug，還是和諧操作有問題，就是在設置弱信號剔除闕值的時候，默認是-80，如果改動之后，ap端漫游到ac端的功能就傻了，信號只剩下一格了，也不切過來。。。再改回默認-80的數值就又好了。

總結

mesh組網的興起，可以說直接給用大功率路由覆蓋全場的方式判了死刑，類似本文的方式還有用openwrt固件組網的，支持的路由器型號更多，但是設置上就比較麻煩了，之前看站內有人發過教程，順手收藏了，然后閑下來自己想弄的時候，仔細看了看帖子，又默默的取關了。。。

說說優點：

1、成本低廉配置高。沒有能刷ac固件的路由的情況下，用ap固件開啟微ac功能也能用；

2、漫游效果不錯，切換起來和便宜的mesh路由差不多，前提是你手機得支持802.11kvr，不過目前主流手機不支持的比較少了；

3、組網靈活方便，設置簡單。做ac的路由器可以用mt7621那一群，也可以用x86軟路由；錢緊可以用一個newifi3當ap，剩下的全用三四十塊錢newifi mini，高通系列的K2T也能往里面加，各種各樣的渣渣路由也能往里面加。附錄：

集客無線AP(MTK子系列)型號說明：
AP230IP MT7620A/N 無PA/無LNA 如聯想Newifi mini Y1, 支持MT7612E, MT7610E的擴展5G芯片
AP230EP MT7620A/N 帶PA/帶LNA 如匪訊K2 支持MT7612E, MT7610E的擴展5G芯片
AP601 MT7620A/N 無PA/無LNA， 不支持5G， 支持擴展VLAN網口，主要用于面板AP
AP602 MT7620A/N 無PA/無LNA， 不支持5G， 支持擴展VLAN網口，主要用于面板AP， 4M flash/32M memory
AP238AN MT7628, 支持MT7612E, MT7610E的擴展5G芯片, 如極路由HC5861B
AP242P MT7621, 無線支持MT7602E+MT7612E，如RE6500
AP243P MT7621, 無線支持MT7603E+MT7612E, 如聯想Newifi 3
AP245P MT7621, 無線支持MT7615E,如匪訊K2P

說缺點：

1、在ac端或者ap端下掛其他固件路由器a的時候，如果不小心將a路由（開啟dhcp服務器）的lan口串在整個網絡中，會導致ac路由的dhcp失效，ip被a路由分配了——這個問題讓和諧百思不得其解。出了這個問題之后特意找了其它型號路由測試，發現有的有問題有的沒問題。

2、不帶功放的ap端（newifi mini）比帶功放的ap端（k2），好像穩定性要好一點。。。不知道是不是錯覺。我猜大約是帶功放的信號太強了導致切換不順暢？

3、這種方式組網，會導致距離遠的話，直接沒信號。比如和諧一直在2層放個路由器中繼4層的信號，在4層用這套弄上之后，2層中繼就掛了。。。

4、不能無線回程。不能無線回程。不能無線回程。重要的事情說三遍。

5、刷ac用的路由器，礦渣有點多，壽命上不大好說，不過好在價格便宜，壞了也不至于哭一場——實在忍不住也是可以嚎兩聲的。

本次和諧實際購機價格為0。。。哎，誰說又是PY交易來著？其實是朋友一直在用這個newifi3的原廠固件，然后發現不穩定，過來找我喝酒順便帶了過來，然后從我這里把舊路由網件wdr3700v4拿走了。。。

別說，那天酒不錯，也不上頭，就是第二天屁股有點痛。

完。

者2014年曾經有幸做為首席網絡工程師全程參與了新加坡國家美術館(Singapore National Arts Gallery)的網絡項目的設計、執行和交付。NAGa的無線網方案使用的是Aruba。筆者是做RS出身的，自己當時接手該項目時對無線網的理解還停留在理論階段，在公司將我派出參加了一個禮拜的培訓加上自己多次動手實驗后，自己終于獨立完成了NAGa項目的無線網絡部分的部署。

下面是自己當年的一些筆記，分為理論和實驗兩個部分，干貨不少，如果你手頭正好有Aruba的活，那我的這篇筆記肯定能從理論和實戰上助你一臂之力。

理論部分：

1. Aruba 225系列的AP可以支持最新的802.11ac, Aruba 105 AP則只能支持到802.11n。

2. Aruba 的每一款AP都分Campus AP和Instant AP兩種類型，前者屬于“瘦AP，所有操作在APC上完成，后者屬于“胖AP”,有自己的OS，可以直接配置無線網。如果要用APC來控制Instant AP，則需要先將Instant AP設置成Campus AP，否則在APC上無法detect到該AP。

3. Aruba Controller的controller IP的概念等同于思科的router-id, 設置Controller IP的命令：Controller-ip vlan xx。

4. 目前市場上所有的AP只能運行在半雙工模式，即可以把AP本身看成一個hub, 為了避免通一VLAN下用戶過多，產生過多的collision，建議每個SSID所在的VLAN的子網掩碼不要低于/24。

5. 一個SSID可以包含數個VLAN， APC將通過基于MAC的hash運算來給處在同一SSID的無線網用戶分配VLAN，Aruba將該技術稱作Vlan Pooling.

6. APC密碼恢復，用戶名:password, 密碼：forgetme!。

7. APC恢復出廠設置：密碼恢復后，輸入write erase all來刪除掉所有配置，然后輸入reboot重啟。

8. Write erase 和 Write erase all的區別在于，前者刪除所有的配置但不包括APC已有的license, 后者將刪除所有的配置，包括已經安裝好的license.

9. Aruba Mobility Controllr添加license: license add, 刪除license: deletelicense. 刪除所有license: write erase all.

10. AP恢復出廠設置：重啟AP，點Enter進入apboot模式，輸入purge命令來刪除配置，之后再分別輸入save和reset來保存和重啟AP。

11. Aruba AP啟動后，將首先通過DHCP得到自己的IP以及APController的IP （DHCP option 43）, 然后通過FTP從Controller下載自己的鏡像文件。ArubaAP與APC之間的交流是通過Aruba專有的PAPI（Process Application Programming Interface）協議實現的，AP與APC之間還將建立GRE隧道。綜上，如果AP與APC之間有防火墻的話，則需要在防火墻為它們之間開啟DHCP,FTP,GRE（TCP/UDP 47）以及PAPI（UDP 8211）等端口。

12. 無線網用戶連上SSID后，無線終端設備發出由802.11封裝的DHCP Request包，該DHCP Request包（802.11）被AP用802.3封裝好，然后通過GRE隧道傳到APC， APC再根據AP所在的AP Group里的設定來決定該無線網用戶所屬的VLAN。在知道用戶所屬的VLAN id后，APC將該DHCP request（802.3）包forward給上層級聯的三層交換機，再由三層交換機forward給DHCP服務器。DHCP服務器根據VLAN id分配好相應的IP地址后，由三層交換機將該DHCPReply包（802.3）傳回給APC，APC拿掉該DHCP Reply的802.3包頭，將其替換為802.11的包頭，再通過GRE隧道（802.3）將其傳回給AP，AP隨后拿掉GRE隧道的802.3包頭，最后將屬于802.11的DHCP Reply包傳回給無線終端。

13. 一個GRE隧道等于一個SSID。

14. Aruba AP通過具有唯一性的BSSID來指定WLAN， 一個AP可以支持多個WLAN。每個WLAN (SSID)又被叫做Virtual AP，一個Virtual AP下面包含SSID Profile（定義SSID名稱）以及AAAProfile（定義encapsulation類型和802.1x等參數）。WLAN=SSID=VAP

15. APC通過創建AP Group來批量管理AP，一個AP只能屬于一個AP Group，一個AP Group可以有多個AP。 AP Group下面包含五大Profiles: VAP, RF Management, AP,QOS, IDS，每個Profile都有屬于自己的default profile，改動AP Group任一Profile的參數將影響到所有屬于該APGroup的AP。

16. AP與APC之間有Tunneled, Decrypt-Tunneled和Bridge三種傳輸模式

a. Tunneled

Data framesencapsulated/sent within GRE tunnel to the controller

PAPI Control Packetstransported via UDP 8211 (NOT tunneled)

b. Decrypt-Tunneled

AP Encrypts/decryptsclient packets

PAPI packetstransported to the controller with IPSec

c. Bridge

Encryption/Decryptionat the AP

All user traffic locallyrouted/switched

17. 用ClearPass做RADIUS服務器，第一步先要配置NAD（Network Access Device），對無線網用戶來講，NAD永遠是APC或者Instant AP。對Wired用戶來說，NAD是Wired用戶接入的設備，比如2/3層交換機，或者是路由器。

18. Aruba APC里針對無線用戶設定好了四種Role: Initial Role(通常是logon, logon只允許身份驗證和Captive Portal的流量通過)， User Derived Role, Server Derived Role (802.1X) 以及default Role。 前兩種Role是在做authentication之前分配給用戶的，后面兩種Role是在做authentication之后分給user的。

19. 每個Role下含一個或數個策略, 每個策略又包含一個或多個Rule.

20. 在APC里，一個用戶只能有一個role,在ClearPass里面，一個用戶有多個role (LAB2.1)。ClearPass里面的role不等于APC的role，即使role的名稱相同。

21. Aruba無線網絡用戶認證方式主要有三種：1 無認證，也就是無需密碼就能連上一個SSID。 2 PSK認證，在APC上為SSID預配好一個密匙（即無線用戶鏈接SSID時所提示的無線網密碼）。 3. 802.1x認證，需要額外配置一臺RADIUS server，Aruba推薦使用ClearPass作為RAIDUS認證服務器。

22. 通過上面的實驗可以總結出ClearPass策略執行的兩個關鍵因素為:Enforcement profile和Enforcement policy， 簡單點來說，Enforcement profile 定義的是“這個策略要做什么?”， 而Enforcement policy定義的是“在什么條件或情況下執行這個策略?”，所以編輯clearpass策略的順序應該是先做Enforcement profile, 隨后再做Enforcement policy，最后再將Enforcement policy 放進Service里執行。

23. 按照OSI layer來分，Aruba的authentication又可分為L2 Authentication和L3 Authentication, 兩者的區別是，L2Authentication是在無線用戶得到IP之前就做認證，L3Authentication則是在無線用戶得到IP之后再做認證。 典型的L2 Authentication包括：SSID (隱蔽SSID名字做為安全手段)， MAC， 802.1X； 而典型的L3Authentication則包括：Captive Portal以及VPN。

24. 所謂Captive Portal，就是機場，醫院，大學校園等等這類大型公共場所提供給用戶注冊無線網絡賬號的一個Portal。 舉個例子： 用戶A用筆記本或者手機連上了某個機場里的SSID（通常這些SSID都不加密，用戶連上SSID后就可以馬上通過DHCP分配到IP，所以CP也叫做L3 Authentication），然后打開瀏覽器希望瀏覽某個網頁，但是看到的卻是http://10.1.1.1/login.php之類的WiFi用戶注冊頁面，原理是因為AP和APC之間建立了GRE隧道，用戶A的802.11流量永遠都是被AP先通過GRE隧道傳到APC，然后APC再重定向用戶的流量到CaptivePortal，所以在完成注冊前，用戶A能看到的只是Captive Portal的頁面。 Aruba APC和Clearpass都能做Captive Portal服務器。

25. CoA是RADIUS里的一個術語，全稱叫Change of Authorization。 RADIUS通常運行在”pulled mode”，即所有的認證過程都是由用戶一方主動發出一個認證請求，然后RADIUS服務器響應該需求。如果不開啟CoA,那么在用戶的身份得到確認后，RADIUS服務器無法在需要的情況下 (比如RADIUS服務器添加了新的策略需要執行) 斷開用戶的認證以強行讓其進行“重認證”，所以一般在使用802.1x作為認證方式的環境下，CoA是建議在RADIUS服務器上開啟的，以備不時之需。

26. 在APC上開啟Captive Portal步驟：

a. Configuration>Security>Authentication>L3Authentication>Captive Portal Authentication Profile, 創建一個新的Captive Portal profile，命名為Guest-cp_prof

b. 點擊Guest-cp_prof進入修改其參數。CP頁面下的登陸方式分為User login和Guest Login兩種，User Login需要用戶在注冊時填寫登陸id和密碼（用戶需要找Helpdesk或者Information Counter的工作人員來得到登陸信息），APC再將用戶填寫的身份信息傳給RAIDUS服務器進行驗證（驗證用戶的User數據庫在RADIUS服務器上）; 如果使用Guest Login的話，用戶只需填寫一個任意的EMAIL地址就能立即登陸，無需驗證，User Login和Guest Login可以同時開啟，但是通常處于安全考慮，建議只開啟User Login。 Default Role對應的是User Login的用戶，Default Guest Role對應的是Guest Login的用戶，默認情況下，Default Role和Default Guest Role都是guest。

c. 修改Login Page的URL（默認是/auth/index.html），匹配Captive Portal服務器的IP地址: 如果使用ClearPass做CP服務器，就要添加ClearPass的IP，比如10.1.1.1

d. Configuration>Security>AccessControl>User Roles, 為使用Guest SSID的用戶創建一個獨立的role,取名為CP-guest-logon, 為該role添加兩個firewall policy: logon-control和captiveportal,其中APC已經預配好的logon-control無需修改，直接調用，而Captiveportal則需要注意：

如果使用APC做CP，無需修改captiveportal這個policy,直接調用即可。如果使用ClearPass做CP，那么需要手動添加兩個rule，具體配置如下：

IP Version Source Destination Service Action Log Mirror Queue

IPv4 any host 10.1.1.1(CP’s IP) svc-http permit Low (手動添加)

IPv4 any host 10.1.1.1(CP’s IP) svc-https permit Low (手動添加)

IPv4 user controller svc-https dst-nat 8081 Low (系統預配)

IPv4 user any svc-http dst-nat 8080 Low (系統預配)

IPv4 user any svc-https dst-nat 8081 Low (系統預配)

IPv4 user any svc-http-proxy1 dst-nat 8088 Low (系統預配)

IPv4 user any svc-http-proxy2 dst-nat 8088 Low (系統預配)

IPv4 user any svc-http-proxy3 dst-nat 8088 Low (系統預配)

e. 做好firewall policy后，將CP-guest-logon的Captive Portal Profile改為步驟a創建好的 Guest-cp_prof. （關鍵步驟！）

f. Configuration>Security>Authentication，進入為AP做provisioning時就已創建好的guest aaa profile（比如Naga_guest-aaa_prof），將它的Initial role 改為步驟d創建的CP-guest-logon，關鍵步驟！如果不修改的話,用戶將得到logon這個默認的Initial Role, 將無法進入Captive Portal，因為logon這個role下沒有captiveportal這個firewall policy！

27. APC的WEB GUI的默認端口為4343，ClearPass的WEB GUI的默認端口為443，而guest這個預配role開了any to any的http和https的firewall rule,這就解釋了為什么guest用戶登陸后能夠打開ClearPass的WEBGUI，卻不能打開APC的WEB GUI的原因。

28. ClearPass雖然可以創建多個Enforcement Policy，但是每個Service一次只能調用一個EnforcementPolicy。

實驗部分：

實驗1：A公司要求使用ClearPass來辨別連入公司SSID的每個無線用戶的終端設備類型，如果用戶使用的是蘋果手機（iOS），將它們的流量路由到Proxy服務器 (192.168.10.1)，如果用戶使用的是Android操作系統的手機，則丟棄它們所有的流量。

思路：

1. Clearpass通過辨別MAC地址里的OUI部分來識別廠商，從而達到識別終端用戶類型目的的，為了使ClearPass得到用戶的MAC地址，有個非常巧妙的方法：在APC上的所有SVI都開啟DHCP relay,把ip helper地址設為ClearPass的IP，這樣無論如何用戶從哪個SSID連入進來，APC都能把用戶的DHCP Request包丟給ClearPass，而ClearPass就可以從DHCP Request包里獲取用戶的MAC地址。 這個方法巧就巧在ClearPass本身是不具備DHCP服務器的功能的，盡管APC的SVI都配了ip helper address，并且這個ip helper指向的是Clearpass, 用戶無法從Clearpass得到IP，但是這并不影響終端用戶從APC（如果開啟了DHCP service的話）或者其他DHCP服務器獲取IP地址，我們的目的只是讓ClearPass得到用戶的MAC地址，從而來識別用戶終端設備類型。

2.在Clearpass上的Wireless 802.1x Service 做Enforcement，讓APC給蘋果和安卓手機的用戶分配不同的role，然后在APC上針對這兩個role做策略，已達到流控的目的。

實現步驟：

1. APC上，Configuration>Network>IP，編輯每個SVI，在DHCP Helper Address這里加上ClearPass的IP地址，然后創建兩個role,分別叫ios和android，把這兩個role的firewall policy參照實驗需求分別配置好(ios用戶流量丟給proxy, Android用戶流量直接丟棄)， 配置步驟略。

2. ClearPass上，首先創建兩個Local Role，分別叫做apple和android, 然后兩個Enforcement Profile分別取名Apple Profile和Android Profile， 在Apple Profile里面，把Value設為ios(匹配APC里的role)，在Android Profile里面，把Value設為android （同樣匹配APC里的role）, 隨后創建一個Enforcement Policy, 規定在Local Role=apple的時候，匹配Apple Profile，在Local Role=android的時候， 匹配Android Profile。然后把這個Enforcement Policy 應用在Secure1-14 Wireless 802.1x Service里。

3. ClearPass上，Configuration>Serivces>Secure1-14Wireless 802.1x Service, 在Service Tab下，把More Options里的Profile Endpoints打上勾后，頁面上會多出Profiler這個tab, 進入Profiler Tab, 在Endpoint Classification下拉菜單里選中”Any Category / OS Family / Name”,然后保存配置。

4. ClearPass上，Configuration>Serivces>Secure1-14Wireless 802.1x Service，在Roles Tab下，”Add new Role Mapping Policy”，在Policy Tab配置如下：

Policy Name: Apple (Ios)

Description: <any description>

Default Role: <any default role>

然后在Mapping Roles Tab下Add Rule,配置如下：

Type: Authorization:[Endpoints Repository]

Name: OS Family

Operator: EQUALS

Value: Apple

隨后做Role Mapping, 把Actions下面的Role Name選為apple(注意這個是步驟2創建的ClearPass的Local Role,和APC上的role無關)，然后保存。

5. 重復步驟4，

Policy Tab:

Policy Name: Samsung(android)

Description: <any description>

Default Role: <any default role>

Mapping Roles Tab:

Type: Authorization:[Endpoints Repository]

Name: OS Family

Operator: EQUALS

Value: Android

Role Name:android

實驗2： 在APC上為Guest 這個SSID開啟和使用Captive Portal的步驟：

a. Configuration>WIRELESS>APConfiguration>AP Group>,編輯已經創建好的NAGA-Guest這個AP Group,然后再進入WirelessLAN>VAP>Guest-vap_prof>SSID Profile,將802.11Securit的認證和Encryption分別選為None和Open.

b. Configuration>Security>Authentication>L3Authentication>Captive Portal Authentication Profile, 創建一個新的Captive Portal profile，命名為Guest-cp_prof

c. 點擊Guest-cp_prof進入修改其參數。CP頁面下的登陸方式分為User login和Guest Login兩種，User Login需要用戶在注冊時填寫登陸id和密碼（用戶需要找Helpdesk或者Information Counter的工作人員來得到登陸信息），APC再將用戶填寫的身份信息傳給RAIDUS服務器進行驗證（驗證用戶的User數據庫在RADIUS服務器上）; 如果使用Guest Login的話，用戶只需填寫一個任意的EMAIL地址就能立即登陸，無需驗證，User Login和Guest Login可以同時開啟，但是通常處于安全考慮，建議只開啟User Login。 Default Role對應的是User Login的用戶，Default Guest Role對應的是Guest Login的用戶，默認情況下，Default Role和Default Guest Role都是guest。

d. 修改Login Page的URL（默認是/auth/index.html），匹配Captive Portal服務器的IP地址: 如果使用ClearPass做CP服務器，就要添加ClearPass的IP，比如10.1.1.1

e. Configuration>Security>AccessControl>User Roles, 為使用Guest SSID的用戶創建一個獨立的role,取名為CP-guest-logon, 為該role添加兩個firewall policy: logon-control和captiveportal,其中APC已經預配好的logon-control無需修改，直接調用，而Captiveportal則需要注意：

如果使用APC做CP，無需修改captiveportal這個policy,直接調用即可。如果使用ClearPass做CP，那么需要手動添加兩個rule，具體配置如下：

IP Version Source Destination Service Action Log Mirror Queue

IPv4 any host 10.1.1.1(CP’s IP) svc-http permit Low (手動添加)

IPv4 any host 10.1.1.1(CP’s IP) svc-https permit Low (手動添加)

IPv4 user controller svc-https dst-nat 8081 Low (系統預配)

IPv4 user any svc-http dst-nat 8080 Low (系統預配)

IPv4 user any svc-https dst-nat 8081 Low (系統預配)

IPv4 user any svc-http-proxy1 dst-nat 8088 Low (系統預配)

IPv4 user any svc-http-proxy2 dst-nat 8088 Low (系統預配)

IPv4 user any svc-http-proxy3 dst-nat 8088 Low (系統預配)

f. 做好firewall policy后，將CP-guest-logon的Captive Portal Profile改為步驟a創建好的 Guest-cp_prof. （關鍵步驟！）

g. Configuration>Security>Authentication，進入為AP做provisioning時就已創建好的guest aaa profile（比如Naga_guest-aaa_prof），將它的Initial role 改為步驟d創建的CP-guest-logon，關鍵步驟！如果不修改的話,用戶將得到logon這個默認的Initial Role, 將無法進入Captive Portal，因為logon這個role下沒有captiveportal這個firewall policy！

實驗3： A公司規定將公司內的無線網用戶分為Employee和Contractor以及Guest三種， AP將廣播三個名稱對應的SSID。要求使用ClearPass做RAIDUS服務器，Employee使用employee做為登陸id, Contractor使用contractor做為登陸id, Guest使用guest做為登陸id, 三種用戶的密碼均為aruba123。 在無線用戶登錄后，給Employee用戶分配名稱為full-access的role, 給Contractor和Guest用戶分配名稱為limited-access的role。

步驟:

APC上的配置

1) 配置RADIUS server (ClearPass), 創建Server group，將RADIUS server加入 Server group, 配置CoA (Change of Authorization)

a. Configuration>Security >Authentication > Servers>Radius Server，創建名為”Clearpass”的Instance, 設置ClearPass的IP后， 將APC和Clearpass之間的驗證密匙設為aruba123。

b. Configuration>Security >Authentication > Servers>Servers Group, 創建三個名為Employee, Guest, Contractor的server group, 每個server group配置一樣：Server 都為步驟a里創建好的”Clearpass”, Server Rule則都設置為,Attribute:Filter-ID, Operation: value-of, Operand:空，Type: String,Action: set role, Value:空，Validated: Yes.

c. Configuration>Security>Authentication>Servers>RFC3576 Server, 創建一個新的RFC 3576 Server, 該Server的IP為Clearpass的IP。

2） 創建AP Group，配置VAP, SSID profile以及AAA Profile。

a. Configuration>Wireless>AP Configuration > AP Group, 創建名為Company A的AP Group，在該AP Group里創建三個VAP，SSID名字分別為Employee, Contractor和Guest，在每個VAP下面的SSIDprofile里，將802.11 Security的Network authentication認證方式改為Mixed: wpa-tkip, wpa2-aes。

b. Configuration>Security>Authentication>Profiles>AAAProfile, 分別配置AP Group (Company A)下VAP正在使用的employee-aaa-profile, contractor-aaa-profile, guest-aaa-profile這三個AAA profiles，將它們的Initial Role和802.1X Autentication Default Role分別設為”logon”和”authenticated”

3） 在AAA Profile里設置802.1x Authentication Profile, 802.1x Authentication Server Group和RADIUS Accounting Server Group（注：實際項目中，Contractor和Guest使用CP登陸，無需配置這一步，他們的802.1x Authentication Profile, 802.1x Authentication Server Group和RADIUS Accounting Server Group均為空！）

a. Configuration>Security>Authentication>Profiles>AAAProfile, 分別選中之前創建好的三個AAA Profile，將它們的802.1X Authentication Server Group以及RADIUS Accounting Server Group下拉菜單分別對應選擇為在步驟1b時創建好的3個server group (Employee, Guest, Contractor)，在802.1x Authentication Profile的下拉菜單里選擇dox1x_prof-vth54（待確認是否是pre-configured的還是manually created的）

4） 自定義Role (full-access和limited-access)， 給AP做provisioning

b. Configuration>Security>AccessControl> User Roles, 創建兩個role, 分別名為full-access和limited-access, 給full-access分配系統已經預配好的名為”allowall”的策略，給limlited-access分配系統已經預配好的名為”logon-control”和”captiveportal”的策略。

c. Configuration>WIRELESS>APInstallation，為AP做好provisioning， 步驟略。

ClearPass上的配置

1） 配置NAD

a. Configuration>Network>Devices>AddDevice

Name: AP Controller of Company A

IP Address: APC的IP

Description: Aruba Controller

RADIUS Shared Secret: aruba123 (須和APC配置步驟1a里配置的shared secret一致)

選中Enable RADIUS CoA

2） 創建ClearPass Role 和Local Users, 給Local Users分配相應的Role

a. Configuration>identity>Roles>AddRoles, 創建三個Role, 分別叫做Company Employee, Company Contractor和Company Guest

b. Configuration>Identity>LocalUsers>Add Users, 創建三個Local Users, 即三個登陸id，給這三個登陸id賦予不同的Role。

User ID=employee

Name=<any name>

Password=aruba123

Enable User

Role=Company Employee

User ID=contractor

Name=<any name>

Password=aruba123

Enable User

Role=Company Contractor

User ID=guest

Name=<any name>

Password=aruba123

Enable User

Role=Company Guest

3) 創建Aruba 802.1X Wireless Service, 即開啟ClearPass針對Aruba無線網絡的802.1x認證服務.

a. Configuration>Start Here>選中”Aruba 802.1X Wireless” （如果是APC和AP其他廠商的，選下面的“802.1X Wireless”）

b. 在Service tab下進行如下配置：

Type:Aruba 802.1X Wireless

Name:Company A Wireless 802.1X Service

Description:<any description>

c. 在Authentication tab下進行如下配置：

Authentication Methods: [EAP PEAP],[EAP TLS], [EAP MSCHAPv2]

Authentication Sources: [Local UserRepository], [Local SQL DB]

d. 保存配置后，在Configuration>Services>ReorderServices頁面下把剛剛創建的 “Company A Wireless 802.1X Service”重新排序，將其排在servicelist里的第一位。

4) 驗證802.1x

a. 開啟筆記本電腦，任意加入Employee, Contractor, Guest這三個SSID中的一個（注意筆記本上的無線網的加密方式要改為WPA2-Enterprise +AES,并要開啟802.1x的認證），這時系統會提示輸入用戶id和密碼，（這體現了802.1x認證方式和只需要輸入共享密匙，而不需要用戶id的PSK認證方式的不同），如果加入的是Employee SSID, 登陸id即為employee, 如果加入的是Contractor SSID的話，登陸id即為contractor,Guest SSID同理，密碼均為aruba123.

b. 成功通過802.1x 認證后，在APC上進入Monitoring>Clients 既可以看見通過身份驗證的用戶信息，注意這時用戶的User Role為authenticated，這是默認的User derived role，要實現需求的employee用戶為full-accesss role, contractor和 guest為limited-access role的話，還需要在ClearPass上做enforcement。

5) 創建Enforcement profile，將其加入Enforcement policy, 再在Company A Wireless 802.1X Service的Enforcement tab下執行Enforcement policy，以達到讓employee用戶得到full-access的role, contractor和guest得到limited-access的role的目的.

a. Configuration>Enforcement>Profiles>AddEnforcement Profile, 在Profile tab下做如下配置：

Template: Aruba RADIUS Enforcement

Name: Company A Employee profile

Description: <any description>

Action: Accept

b. 在Attribute tab下做如下配置：

Type: Radius:Aruba

Name: Aruba-User-Role

Value:=full-access

c. 重復步驟5a,5b,創建另外兩個名字分別為Company A Contractor profile和Company A Guest profile的Enforcement profile，并在Attribute tab下面將它們的value都設為limited-access

d. Configuration>Enforcement>Policies>AddEnforcement Policy, 在Enforcement tab下做如下配置：

Name: Aruba Enforcement Policy

Description: <any description>

Enforcement Type: RADIUS

Default Profle: [Deny Access Profile]

e. 在Rules tab下點擊Add Rule，前后分3次創建3個Rule，配置如下：

Type: Tips (Tips即為Clearpass)

Name: Role

Operator: EQUALS

Value: Company Employee -----> 這個即為步驟2)b創建的Clearpass Role

Enforcement Profiles: [RADIUS] Company A Employee Profile -----> 這個即為步驟5)a創建的employee profile

Type: Tips

Name: Role

Operator: EQUALS

Value: Company Contractor

Enforcement Profiles: [RADIUS]Company A Contractor Profile

Type: Tips

Name: Role

Operator: EQUALS

Value: Company Guest

Enforcement Profiles: [RADIUS]Company A Guest Profile

f. Configuration>Services,選擇在步驟3)創建好的Company A Wireless 802.1x Service, 進入該Service之后，點擊Enforcement Tab并選中步驟5)d和5)e創建好的Aruba Enforcement Policy，然后點擊“Modify”后按Save保存配置。

SKYLAB眾多無線模塊的咨詢中，有業務純熟的物聯網工程師們直接找數據透傳WiFi模塊和數據透傳藍牙模塊，也有問數據透傳是怎么實現的萌新工程師們。本篇SKYLAB小編就以數據透傳無線模塊在物聯網的應用著手，簡單帶各位了解一下數據透傳的重要性。

首先簡單了解一下什么是數據透傳。

數據透傳顧名思義即數據透明傳輸，透明傳輸就是在數據傳輸過程中，發送方和接收方數據的長度和內容完全一致，不需對數據做任何處理，相當于一條數據線或者串口線，保證傳輸的質量即可，而不對傳輸的業務進行處理。

接下來認識一下數據透傳的重要性。

數據透傳采用動態跳頻技術，一般都是用來讀取遠程的串口數據，環境適應性強，能夠有效避免干擾，這也是眾多物聯網工程師們會優先選擇UART接口無線模塊來實現數據透傳的原因。在物物相連的物聯網時代，不丟包且能保證數據傳輸質量的數據透傳已廣泛應用在能源電力、自動抄表、智慧城市、工業自動化、車載交通、環境監測、設備監控、現代農業等諸多行業。

最后，介紹一下咨詢量最多的幾款支持數據透傳的無線模塊。

UART WiFi模塊

支持數據透傳的UART接口WiFi模塊有很多款，其中低功耗且適用于物聯網應用場景的分別是基于國產TR6260方案的小尺寸低功耗低成本串口WiFi模塊LCS6260（http://www.skylab.com.cn/productview-150-TR6260_uartwifi_lcs6260.html），基于國產ESP8266方案的小尺寸低功耗低成本串口WiFi模塊WG219/WG229，基于國產ESP8285方案的小尺寸低功耗低成本串口WiFi模塊WG231。其中，LCS6260支持對接阿里云、涂鴉云，WG219/WG229/WG231支持對接阿里云。

UART 藍牙模塊

支持數據透傳的UART藍牙模塊有兩款，分別是Nordic 52832方案的BLE4.2藍牙模塊SKB369和Nordic 52840方案的BLE5.0藍牙模塊SKB501，并在此基礎上提供了兩種方式（無線控制，遠程控制）來實現APP和設備間的數據透傳，如此一來，客戶/開發者通過無線串口數據透傳模塊接入云端后，可更加便捷的進行數據采集傳輸、遠程控制、報警推送、統計報表等服務。

以上就是本次SKYLAB君要給大家介紹的數據透傳及數據透傳無線模塊，上述無線模塊均已批量出貨，產品性能已經經受住市場考驗，更多模塊參數及特性應用可直接訪問SKYLAB官網或阿里店鋪。