Беспроводные сети: Контроллер и точки

И так, к вам в руки попал контроллер, попасть к вам он мог в двух видах: либо в «железном» (бывают как просто контроллеры, так и модули для Catalyst6500 или роутеров ISR G2), либо в виде ПО, так называемые Virtual Appliance для систем виртуализации VMware, суть от этого сильно не меняется, при первом включении надо будет произвести начальную настройку.

Есть два варианты первоначальной настройки: веб и CLI (стоит отметить, что почти все на котроллере можно сделать как в веб-браузере, так и в CLI). Для перехода в браузер необходимо подключить свой компьютер к service-порту контроллера, выставить ip-адрес из подсети 192.168.1.0/24, и зайти через браузер на 192.168.1.1, поддерживается HTTPS и HTTP режимы. Далее вас попросят ввести логин и пароль для администратора, данные для SNMP, параметры service-порта.

Тут стоит немного прояснить, у контроллера (если взять к примеру 5508), на передней панели не считая консольного, 10 портов – 1 Service port (SP), 1 – redundancy port (RP) и 8 SFP-портов. Service-порт служит сугубо для управления контроллером, он должен быть из подсети отличной от management-порта. Redundancy-порт – порт для организации кластера, из нескольких контроллеров, для кластера выделяется отдельная подсеть, через которую контроллеры обмениваются информацией о текущем состоянии. И самое главное – management-порт – главный порт контроллера, именно на него приходят запросы про ассоциацию точек. SFP порты так же можно объединить в LAG, и получить до 7Гбит/с, что в случае когда весь трафик проходит через контроллер, очень существенно, но об этом дальше.

И так, service-порт настроили, management-порт настроили, вас попросят ввести ещё много разной информации, назначение которой в первый раз особо не понятно, но дальше мы проясним ситуацию, а пока стоит отметить важный момент, указание страны: в разных странах действуют разные ограничения на допустимую не лицензируемую мощность передатчиков, возможные частоты и т.д., информация о стране в которой будет использоваться точка закладывается на уровне прошивки, в дальнейшем подружить точку из одной страны, с контроллером в котором указана другая страна почти невозможно. Одним из этапов вас попросят создать виртуальный интерфейс и WLAN, тут можно ввести произвольные значения, все равно потом их будем менять. Самые главные данные это service-порт и management-порт, т.к. через них осуществляется удаленный доступ к контроллеру, остальные данные потом без проблем можно поменять. И, коль уж мы разобрались с физическими портами, надо разобраться с виртуальными, в этом поможет следующая схема:

 1

Рис. 1. Отношение физических интерфейсов и WLAN’ов

Как видно из схемы, на каждый порт можно назначить несколько виртуальный интерфейсов, по одному интерфейсу на VLAN, а каждому WLAN назначит свой интерфейс или группу интерфейсов. Как результат на один интерфейс можно назначить несколько WLAN’ов. И каждый WLAN назначается определенному VLAN’у. Service-порт находится отдельно от всех, в своем VLAN’е.

Примечание: есть возможность группировать интерфейсы и назначать группу интерфейсов на WLAN, в таком случае весь трафик пришедший из этого WLAN’а, будем балансироваться между интерфейсами входящими в группу.

В CLI-интерфейсе настройка запускается вводом логина “setup”, а дальше ответом на задаваемые вопросы, их порядок примерно такой же как и в веб-настройке.

На этом первоначальную настройку и ознакомление с контроллером, можно считать законченным, мы настроили с использование мастера основные данные для SNMP, создали учетную запись для администратора, настроили основные порты контроллера, создали тестовый WLAN.

Теперь стоит обозначить цели, что мы хотим получить на выходе:

  1. Организация гостевого доступа в центральном офисе, с аутентификацией по pre-shared key.
  2. Организация корпоративного доступа по доменным учеткам Windows.
  3. Организация беспроводной сети на удаленных офисах.
  4. Организация беспроводной сети на складе.
  5. Управление беспроводной сетью с помощью Prime Infrastructure 1.4

Перед разворачиванием беспроводной сети, стоит убедиться, что наши точки корректно подключаются к контроллеру. Есть несколько вариантов нахождения точкой контроллера, остановимся на двух самых основных: через DNS-имя и через опцию DHCP. Создайте на вашем DNS-сервере запись CISCO-CAPWAP-CONTROLLER с адресом management-интерфейса вашего контроллера. Или на локальном DHCP сервере добавляем опцию 43 с типом hex значения для которой высчитывается в следующем виде: Type + Length + Value. Тип всегда будет hex, а это значение f1, далее добавляется количество адресов контроллеров, который получит точка: если 1 контроллер, то 1*4=04, если 2, то 2*4=08. Теперь надо перевести адрес контроллера в шестнадцатеричную систему, для этого можно воспользоваться калькулятором Windows, ввести первый октет в dec режиме, перевести в hex, и повторить так для всех октетов адреса. Например: адрес контроллера будет 10.136.254.67, вводим в калькулятор первый октет «10» — получаем , второй «136» — 88, третий «254» — FE, четвертый «67» — 43. Собираем все в кучу и получаем строку f1040А88FE43. Если даже после этого точка не находит контроллер, а в разделе Monitor>Statistics>AP Join точки не появляются, то стоит зайти через консоль на точку, включить дебаг и смотреть, на что именно так ругается точка.

Примечание: для полного сброса всех настроек точки на неё имеет кнопка mode или reset, её следует нажать и держать во время загрузки на протяжении 30 секунд. Иногда такой сброс помогает точке прийти в себя и найти контроллер.

                Если точка появилась и её видно в Wireless, значит все хорошо, подключаем все нужные точки и переходим к настройке гостевого доступа.

 2

Рис.2 Пример подключенных точек

1. Создаем интерфейс – Controller > Interfaces > New

Задаем имя и номер VLAN’а. После чего интерфейс появится в списке интерфейсов, заходим в его свойства.

 3

Рис. 3 Пример создания интерфейса

Пусть вас не смутить галочка Guest Lan, она используется для создания проводной гостевой сети. После того как выбрали порт (физический SFP порт), прописали VLAN, указали адрес, маску, шлюз, пробросили через trunk данный vlan к маршрутизатору и создали на нём соответствующий sub-интерфейс. Настраиваем параметры DHCP сервера для чего выбираем из выпадающего списка DHCP Proxy Mode – нас интересует вариант enable, он позволяет пересылать DHCP запрос на указанные адреса серверов, disable – отключает пересылку, global – устанавливает в соответствии с глобальными настройками контроллера. DHCP можно развернуть либо на контроллере, либо на стороннем устройстве. Нас интересует вариант на контроллере, для этого в поле Primary DHCP Server, вписываем адрес management-интерфейса нашего контроллера. Предпоследний пункт ACL name, чуть позже сделаем ACL, для ограничения трафика и добавим его тут.

2. Настраиваем DHCP

Переходим в Controller > Internal DHCP server > DHCP Scope > New

Задаем имя пулу и переходим к его свойствам, вписываем заполняем все поля, особых хитростей нету, главное внизу выбрать enable, иначе пул будет существовать, но не будет выдавать адреса.

 4

Рис.4 Пример настройки DHCP-пула

3. Интерфейс создали, т.к. это гостевой WLAN, надо его ограничить от внутренней сети, для этого создадим ACL. Переходим в Security > Access Control Lists > Access Control Lists > New. Тут задаем имя и выбираем тип. Жмем применить и заходим в сам ACL. Добавляем новые правила. К примеру ограничим весь трафик из гостевой подсети во внутренние подсети, и разрешим только в интернет. Сделать это можно несколькими правилами следующего вида:

 5

Рис. 5 Пример создания списка доступа

Применяем ACL на интерфейс.

4. Создание WLAN.

По умолчанию каждая точка будет вещать все WLAN’ы существующие на контроллере, нас это не совсем устраивает, т.к. в нашем случае будет по сути 3 разных площадки, и вещать корпоративный WLAN на складе будет явно лишним. Для этого есть понятие как AP Group, когда группа точек вещает группу WLAN’ов. Но в начале надо что-то создать, переходим в  WLAN > WLANs > WLANs > Create New > Go. Выбираем тип WLAN, вводим имя профиля и SSID, ID выбираем произвольный, но проще если он совпадает с номером VLAN, к которому будет подключен. Применяем и попадаем в поле настроек. Ставим галочку напротив Status: Enabled, в Interface выбираем наш интерфейс. Далее переходим на вкладку Security. Тут стоит остановиться подробнее, есть возможность организовать безопасность на нескольких уровнях – 2 и 3, для второго это всем привычный 802.1x и PSK, на 3-м это редирект на веб-страницу, где вас попросят ввести логин и пароль или любые другие данные для доступа. Данная веб-страница может быть как на контроллере, так и на стороннем сервере, к примеру на ISE. Нас интересует Layer 2 > WPA + WPA2 > WPA2 Policy > AES, шифрование по PSK, внизу вводим пароль. Жмем Apply и готово, наш WLAN создан. Переходим в WLANs > Advanced > AP Groups  > New вводим имя группы, например Office. Заходим в свойства, вкладка WLANS > Add New выбираем наш WLAN и его интерфейс и жмем add. Осталось добавить точки в эти группы для чего переходим на вкладку Aps > отмечаем нужные точки  > Add Aps.

И так, мы подключили точки к нашему контроллеру, создали виртуальный интерфейс, ограничили его списком доступа, развернули DHCP-сервер на контроллере и сгруппировали точки для вещания определенного SSID’а. В следующей стать рассмотрим создание корпоративной точки доступа с авторизацией по доменным учеткам с помощью сервера доступа ACS.

С ув. Дмитрий Бидзиля


Комментарии:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Hide me
Получать регулярно свежие материалы, лабораторные и вебинары
Email Имя
Show me