Для чего нужен режим H-REAP/FlexConnect для беспроводных точек доступа Cisco

Исторически беспроводные сети строились на индивидуально настраиваемых точках доступа. Для простых задач («раздать вайфай дома») этот подход оправдан до сих пор, однако с ростом сложности сети администраторов всё больнее жалят следующие проблемы:

• масштабируемость (необходимость поддержки большого числа пользователей)
• безопасность (необходимость иметь одинаковые настройки во всей сети)
• управляемость (необходимость централизованно узнать, на какой точке данный абонент)
• роуминг (еще более актуально для голосовых/видео приложений)
• контроль радио-ресурсов (перекрывающиеся частотные диапазоны)

Что делать?

Первой ступенью развития стало создание механизмов централизованной авторизации клиента (802.1x ^[1]) с применением RADIUS ^[2]-сервера. Каждая индивидуальная точка доступа при попытке подключения клиента «спрашивает разрешение» у некоторого внешнего сервера или службы. Обычно при перемещении (роуминге) успешно авторизовавшегося и работающего клиента от точки к точке процедура авторизации повторяется заново, что чревато пропаданием связи на несколько секунд.

Для устранения этого (и других) недостатка был изобретен механизм WDS ^[3], позволяющий нескольким точками доступа работать вместе. Помимо функций трансляции радио-сигнала для увеличения площади покрытия, одна выбранная точка доступа (WDS master) может предоставлять единый центр авторизации для всех клиентов (и точек доступа) WDS домена (используя встроенный, или же внешний RADIUS-сервер). В таком случае роуминг клиентов в пределах домена не приводит к полному циклу авторизации (ибо мастер знает обо всех клиентах сети). Вместе с тем механизм WDS не сертифицирован Wi-Fi Alliance, что зачастую приводит к несовместимости реализации решения на базе оборудования разных поставщиков. К тому же, все точки доступа по-прежнему настраиваются индивидуально.

Следующим шагом эволюции беспроводных сетей стало появление беспроводных контроллеров ^[4]. Здесь работу с радио-средой (передача и прием пакетов, шифрование) выполняет «глупая» точка доступа, а все остальное (централизованное управление, авторизация, передача пакетов в ЛВС) – «умный» контроллер. Таким образом, успешно решаются задачи масштабируемости, безопасности, управляемости, контроля роуминга и радио-среды. При большом количестве абонентов и с применением дополнительных средств управления (вроде Cisco WCS или Juniper RingMaster) можно строить географически распределенные сети из сотен контроллеров, тысяч точек доступа и сотен тысяч одновременно работающих абонентов.

Рассмотрим типичную сеть предприятия, расположенную в здании или соседних зданиях, построенную на оборудовании производства Cisco Systems. «Легковесная» точка доступа может быть установлена в любом участке сети, подключена к обычному порту доступа ЛВС и при этом предоставлять сервис для нескольких беспроводных сетей (WLAN) одновременно, с разными политиками безопасности: для гостей, для персонала, для технологических устройств. Точка доступа создает туннель (LWAPP, CAPWAP) до контроллера, в котором передает информацию от каждого клиента с меткой идентификатора сети). Контроллер обычно установлен в серверной комнате, подключен к локальной сети через trunk-порт. Каждая WLAN-сеть терминируется в отдельную виртуальную сеть (VLAN), которая также может иметь собственные политики безопасности. В такой концепции точки доступа разбросаны по сети здания, и все беспроводные клиенты имеют одну точку терминации в проводную сеть. В этой точке и установлены межсетевые экраны, сервера приложений и шлюз в Интернет. Без контроллера пришлось бы «тянуть» все VLAN до серверной, а в худшем случае «разбрасывать» межсетевые экраны по всей сети.

Если беспроводной пользователь хочет напечатать документ на принтере, стоящем рядом, данные фактически идут до серверного помещения по виртуальному соединению «точка доступа – контроллер», затем обратно по ЛВС и другому VLAN до принтера. В скоростной среде (Gigabit Ethernet) это не вызывает никаких проблем. Но что, если канал связи узок, или перегружен? Что, если необходимо обеспечить беспроводную связь в удаленном офисе через WAN (MPLS, IPSEC)?

Существуют жесткие требования по качеству канала связи между контроллером и точкой доступа. Для Cisco это порядка 100 миллисекунд допустимой задержки (round-trip), и полоса 128 килобит. При потере связи с контроллером «легковесная» точка доступа, работающая в нормальном («local mode») режиме клиентов обслуживать перестает, перезагружается, и начинает заново искать себе контроллер.

Конечно, можно установить обычную, автономную точку доступа, с локальной коммутацией пакетов. При этом теряются возможности роуминга, централизованного управления, безопасности. Сотрудники, путешествующие по филиалам, хотят иметь одинаково работающую беспроводную сеть везде, без перенастройки.
Можно купить и поставить отдельный маленький беспроводный контроллер в каждый филиал, но это затратный путь.

В качестве альтернативы для беспроводного решения от Cisco был предложен «полуавтономный» режим работы точек доступа. Вообще, подключенная к контроллеру точка доступа может находиться в следующих режимах работы:

• Local – традиционный режим (по умолчанию), когда точка считается «локально подключенной» к контроллеру, и передает весь трафик через него
• H-REAP – режим «удаленной», или полуавтономной работы, о чем речь ниже
• Monitor – точка не обслуживает клиентов, но сканирует радиосреду. Требуется для более точного определения координат клиентского устройства, что важно в некоторых мобильных задачах
• Rogue detector – точка не обслуживает клиентов и выключает радио. Вместо этого точка рапортует контроллеру о локально определяемых на Ethernet-порту MAC-адресах, что позволяет искать незаконно установленные в вашей сети «вредные» точки доступа
• Sniffer – точка «слушает» пакеты в радиоэфире и передает их для последующего анализа на компьютер с AiroPeek или Wireshark
• Bridge – точка работает в режиме беспроводного моста, для организации MESH-сетей
• SE-Connect – точка позволяет работать в режиме спектроанализатора (с настроенным ПО Cisco Spectrum Expert), только совместимые модели 3500 и 3600)

H-REAP (Hybrid Remote-Edge Access Point), он же FlexConnect, позволяет точке доступа управляться контроллером, но при пропадании связи с ним продолжать работу. Беспроводные сети связаны с локальной сетью либо по-прежнему (через контроллер), либо локально. Аналогично производится авторизация. Посмотрим, как это настраивается, и как работает (на примере контроллера WLC4402 и точки LAP-1131).
Изменение режима работы ведет к перезагрузке точки доступа, и ее последующем подключении к контроллеру в новом режиме.

Напомним, что при настройке ^[5] индивидуальной беспроводной сети (WLAN, SSID) вы указываете:

• Имя сети
• Параметры безопасности (ключ сети для WPA/WPA2 PSK либо требование к авторизации по 802.1х для WPA/WPA2 Enterprise ^[6]. Во втором случае у вас должно быть настроено взаимодействие контроллера с RADIUS-сервером
• Имя локального динамического интерфейса контроллера (соответственно номер VLAN), в который контроллер отправляет пакеты для этой беспроводной сети

Если точка доступа установлена в удаленном филиале и предоставляет абонентам «корпоративный WLAN», авторизация абонентов происходит на центральном RADIUS-сервере, а весь трафик пересылается на контроллер центрального офиса. Этот режим называется «central authentication, central switching» и является единственным допустимым для точек доступа в локальном режиме.

В настройках беспроводной сети (WLAN, SSID) вы можете указать дополнительные параметры, которые имеют влияние на ее обслуживание от точки, находящейся в режиме H-REAP (они не влияют на работу в локальном режиме).

Первый параметр (H-REAP Local Switching) включает режим коммутации пакетов от данной сети в ЛВС локально, непосредственно точкой доступа, без пересылки в контроллер.
Второй параметр разрешает локальную (на самой точке доступа) авторизацию клиентов (через запомненный ключ PSK, через локальную базу данных пользователей, через настроенный локально RADIUS-сервер).
Третий параметр заставляет точку доступа определять IP-адреса подключенных клиентов (обычно этим занимается сам контроллер).

H-REAP точка доступа может находиться в следующих состояниях: connected (контроллер доступен) и standalone (контроллер недоступен). Каждая из обслуживаемых беспроводных сетей при этом находится в следующих состояниях:

central authentication, central switching – такой же режим, как и для обычной (local) точки в connected состоянии
central authentication, local switching – центральная авторизация, коммутация трафика локально – только в connected состоянии
local authentication, local switching – локальная авторизация и локальная коммутация трафика. Если контроллер доступен (connected), он получает от точки доступа некоторую ограниченную информацию о подключенных к ней клиентах. Если недоступен (standalone), новые клиенты могут подключаться и обслуживаться.
authentication down, switch down – если local switching для данной сети выключен, а контроллер недоступен, авторизация не проходит, пакеты не ходят
authentication down, local switching – если контроллер недоступен, для сети включен local switching и выключен local auth, новые клиенты не подключаются, но старые продолжают работать.

Надеюсь, вы обратили внимание, что при настройке беспроводной сети на контроллере необходимо указать, в какую проводную сеть (VLAN) терминируется трафик. По умолчанию H-REAP точка доступа подключена к порту доступа коммутатора (access port, нет тэгов). При работе нескольких беспроводных сетей весь их трафик такая точка отдает в тот же порт, без тэгов.

Крайне желательно настроить порт коммутатора, к которому подключена H-REAP точка доступа, в trunk порт (включив галочку «VLAN Support»), и создать соответствие между локально коммутируемыми WLAN и локальными VLAN коммутатора. Внимание: такое соответствие может отличаться от того, что прописано на контроллере. Делается это в дополнительной закладке «H-REAP» параметров точки доступа:

При этом вам необходимо прописать соответствующий номер VLAN на коммутаторе в число разрешенных в транке.
Любопытно, что при такой настройке точка доступа получает от контроллера специальный кусок конфигурационного файла (мало ли, ведь контроллер может и «пропасть»), который можно просмотреть:

ap4.h#sh runn brief 
...
! сеть номер 4 заворачивается в VLAN 406
dot11 vlan-name 004 vlan 406
...
interface Dot11Radio0.4
 encapsulation dot1Q 4 ! номер 4 ничего не значит
 no ip route-cache
 bridge-group 255 ! а номер бридж-группы значит
 bridge-group 255 subscriber-loop-control
 bridge-group 255 block-unknown-source
 no bridge-group 255 source-learning
 no bridge-group 255 unicast-flooding
 bridge-group 255 spanning-disabled
!
interface Dot11Radio0.17
 encapsulation dot1Q 17 native
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0.1
 encapsulation dot1Q 1 native
 ip address 10.20.1.223 255.255.252.0
 no ip route-cache
 bridge-group 1 ! эта бридж-группа определяет подключение самой точки в native vlan
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface FastEthernet0.406
 encapsulation dot1Q 406
 no ip route-cache
 bridge-group 255 ! эта бридж-группа определяет подключение vlan 406
 no bridge-group 255 source-learning
 bridge-group 255 spanning-disabled
...
radius-server local
  no authentication eapfast
  no authentication leap
  no authentication mac
  nas 10.20.1.223 key 7 ……
  group hreap 
  !
!

Наконец, необходимо разобраться с локальной авторизацией пользователей. Для разделяемых ключей все просто – PSK ключ передается точке доступа, и ей для авторизации клиентов больше ничего не нужно. В случае 802.1х для локальной авторизации можно использовать либо встроенный в саму точку доступа мини-RADIUS сервер (+ локальная база пользователей), либо указать внешние RADIUS-сервера (не обязательно установленные в центре сети). Например, вы можете развернуть свой FreeRadius, либо встроенный в Windows IAS/NPS сервер локально в филиале, например для авторизации по EAP/MS-CHAPv2 и локальной копии Active Directory.
Эти функции настраиваются через так называемые Группы H-REAP:

Вы добавляете имеющиеся на контроллере H-REAP точки доступа в группу, устанавливаете общий для группы набор RADIUS-серверов (не забудьте разрешить на RADIUS-сервере доступ точки доступа к нему), можно также включить локальную авторизацию по базе данных самой точки доступа. В таком случае можно задать набор разрешенных пользователей (username/password) и протоколов авторизации (поддерживаются EAP-FAST и LEAP).

Подведем итог: режим работы H-REAP беспроводных точек Cisco позволяет устанавливать их в филиалах компании без локального контроллера (экономия!). Точки пользуются центральным контроллером для получения настроек, управления и мониторинга. Местные беспроводные подключения спокойно переживают пропадание связи между центром и филиалом (падение WAN канала). Можно использовать локальную авторизацию и локальную коммутацию пакетов, роуминг клиентов между точками в пределах филиала. Если вам доведется настраивать режим H-REAP, крайне рекомендую внимательно изучить документацию производителя ^[7] (к которому автор не имеет никакого отношения).

Автор: antonvn

Источник ^[8]