- PVSM.RU - https://www.pvsm.ru -
Исторически беспроводные сети строились на индивидуально настраиваемых точках доступа. Для простых задач («раздать вайфай дома») этот подход оправдан до сих пор, однако с ростом сложности сети администраторов всё больнее жалят следующие проблемы:
Что делать?
Первой ступенью развития стало создание механизмов централизованной авторизации клиента (802.1x [1]) с применением RADIUS [2]-сервера. Каждая индивидуальная точка доступа при попытке подключения клиента «спрашивает разрешение» у некоторого внешнего сервера или службы. Обычно при перемещении (роуминге) успешно авторизовавшегося и работающего клиента от точки к точке процедура авторизации повторяется заново, что чревато пропаданием связи на несколько секунд.
Для устранения этого (и других) недостатка был изобретен механизм WDS [3], позволяющий нескольким точками доступа работать вместе. Помимо функций трансляции радио-сигнала для увеличения площади покрытия, одна выбранная точка доступа (WDS master) может предоставлять единый центр авторизации для всех клиентов (и точек доступа) WDS домена (используя встроенный, или же внешний RADIUS-сервер). В таком случае роуминг клиентов в пределах домена не приводит к полному циклу авторизации (ибо мастер знает обо всех клиентах сети). Вместе с тем механизм WDS не сертифицирован Wi-Fi Alliance, что зачастую приводит к несовместимости реализации решения на базе оборудования разных поставщиков. К тому же, все точки доступа по-прежнему настраиваются индивидуально.
Следующим шагом эволюции беспроводных сетей стало появление беспроводных контроллеров [4]. Здесь работу с радио-средой (передача и прием пакетов, шифрование) выполняет «глупая» точка доступа, а все остальное (централизованное управление, авторизация, передача пакетов в ЛВС) – «умный» контроллер. Таким образом, успешно решаются задачи масштабируемости, безопасности, управляемости, контроля роуминга и радио-среды. При большом количестве абонентов и с применением дополнительных средств управления (вроде Cisco WCS или Juniper RingMaster) можно строить географически распределенные сети из сотен контроллеров, тысяч точек доступа и сотен тысяч одновременно работающих абонентов.
Рассмотрим типичную сеть предприятия, расположенную в здании или соседних зданиях, построенную на оборудовании производства Cisco Systems. «Легковесная» точка доступа может быть установлена в любом участке сети, подключена к обычному порту доступа ЛВС и при этом предоставлять сервис для нескольких беспроводных сетей (WLAN) одновременно, с разными политиками безопасности: для гостей, для персонала, для технологических устройств. Точка доступа создает туннель (LWAPP, CAPWAP) до контроллера, в котором передает информацию от каждого клиента с меткой идентификатора сети). Контроллер обычно установлен в серверной комнате, подключен к локальной сети через trunk-порт. Каждая WLAN-сеть терминируется в отдельную виртуальную сеть (VLAN), которая также может иметь собственные политики безопасности. В такой концепции точки доступа разбросаны по сети здания, и все беспроводные клиенты имеют одну точку терминации в проводную сеть. В этой точке и установлены межсетевые экраны, сервера приложений и шлюз в Интернет. Без контроллера пришлось бы «тянуть» все VLAN до серверной, а в худшем случае «разбрасывать» межсетевые экраны по всей сети.
Если беспроводной пользователь хочет напечатать документ на принтере, стоящем рядом, данные фактически идут до серверного помещения по виртуальному соединению «точка доступа – контроллер», затем обратно по ЛВС и другому VLAN до принтера. В скоростной среде (Gigabit Ethernet) это не вызывает никаких проблем. Но что, если канал связи узок, или перегружен? Что, если необходимо обеспечить беспроводную связь в удаленном офисе через WAN (MPLS, IPSEC)?
Существуют жесткие требования по качеству канала связи между контроллером и точкой доступа. Для Cisco это порядка 100 миллисекунд допустимой задержки (round-trip), и полоса 128 килобит. При потере связи с контроллером «легковесная» точка доступа, работающая в нормальном («local mode») режиме клиентов обслуживать перестает, перезагружается, и начинает заново искать себе контроллер.
Конечно, можно установить обычную, автономную точку доступа, с локальной коммутацией пакетов. При этом теряются возможности роуминга, централизованного управления, безопасности. Сотрудники, путешествующие по филиалам, хотят иметь одинаково работающую беспроводную сеть везде, без перенастройки.
Можно купить и поставить отдельный маленький беспроводный контроллер в каждый филиал, но это затратный путь.
В качестве альтернативы для беспроводного решения от Cisco был предложен «полуавтономный» режим работы точек доступа. Вообще, подключенная к контроллеру точка доступа может находиться в следующих режимах работы:
H-REAP (Hybrid Remote-Edge Access Point), он же FlexConnect, позволяет точке доступа управляться контроллером, но при пропадании связи с ним продолжать работу. Беспроводные сети связаны с локальной сетью либо по-прежнему (через контроллер), либо локально. Аналогично производится авторизация. Посмотрим, как это настраивается, и как работает (на примере контроллера WLC4402 и точки LAP-1131).
Изменение режима работы ведет к перезагрузке точки доступа, и ее последующем подключении к контроллеру в новом режиме.
Напомним, что при настройке [5] индивидуальной беспроводной сети (WLAN, SSID) вы указываете:
Если точка доступа установлена в удаленном филиале и предоставляет абонентам «корпоративный WLAN», авторизация абонентов происходит на центральном RADIUS-сервере, а весь трафик пересылается на контроллер центрального офиса. Этот режим называется «central authentication, central switching» и является единственным допустимым для точек доступа в локальном режиме.
В настройках беспроводной сети (WLAN, SSID) вы можете указать дополнительные параметры, которые имеют влияние на ее обслуживание от точки, находящейся в режиме H-REAP (они не влияют на работу в локальном режиме).
Первый параметр (H-REAP Local Switching) включает режим коммутации пакетов от данной сети в ЛВС локально, непосредственно точкой доступа, без пересылки в контроллер.
Второй параметр разрешает локальную (на самой точке доступа) авторизацию клиентов (через запомненный ключ PSK, через локальную базу данных пользователей, через настроенный локально RADIUS-сервер).
Третий параметр заставляет точку доступа определять IP-адреса подключенных клиентов (обычно этим занимается сам контроллер).
H-REAP точка доступа может находиться в следующих состояниях: connected (контроллер доступен) и standalone (контроллер недоступен). Каждая из обслуживаемых беспроводных сетей при этом находится в следующих состояниях:
central authentication, central switching – такой же режим, как и для обычной (local) точки в connected состоянии
central authentication, local switching – центральная авторизация, коммутация трафика локально – только в connected состоянии
local authentication, local switching – локальная авторизация и локальная коммутация трафика. Если контроллер доступен (connected), он получает от точки доступа некоторую ограниченную информацию о подключенных к ней клиентах. Если недоступен (standalone), новые клиенты могут подключаться и обслуживаться.
authentication down, switch down – если local switching для данной сети выключен, а контроллер недоступен, авторизация не проходит, пакеты не ходят
authentication down, local switching – если контроллер недоступен, для сети включен local switching и выключен local auth, новые клиенты не подключаются, но старые продолжают работать.
Надеюсь, вы обратили внимание, что при настройке беспроводной сети на контроллере необходимо указать, в какую проводную сеть (VLAN) терминируется трафик. По умолчанию H-REAP точка доступа подключена к порту доступа коммутатора (access port, нет тэгов). При работе нескольких беспроводных сетей весь их трафик такая точка отдает в тот же порт, без тэгов.
Крайне желательно настроить порт коммутатора, к которому подключена H-REAP точка доступа, в trunk порт (включив галочку «VLAN Support»), и создать соответствие между локально коммутируемыми WLAN и локальными VLAN коммутатора. Внимание: такое соответствие может отличаться от того, что прописано на контроллере. Делается это в дополнительной закладке «H-REAP» параметров точки доступа:
При этом вам необходимо прописать соответствующий номер VLAN на коммутаторе в число разрешенных в транке.
Любопытно, что при такой настройке точка доступа получает от контроллера специальный кусок конфигурационного файла (мало ли, ведь контроллер может и «пропасть»), который можно просмотреть:
ap4.h#sh runn brief ... ! сеть номер 4 заворачивается в VLAN 406 dot11 vlan-name 004 vlan 406 ... interface Dot11Radio0.4 encapsulation dot1Q 4 ! номер 4 ничего не значит no ip route-cache bridge-group 255 ! а номер бридж-группы значит bridge-group 255 subscriber-loop-control bridge-group 255 block-unknown-source no bridge-group 255 source-learning no bridge-group 255 unicast-flooding bridge-group 255 spanning-disabled ! interface Dot11Radio0.17 encapsulation dot1Q 17 native no ip route-cache bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0.1 encapsulation dot1Q 1 native ip address 10.20.1.223 255.255.252.0 no ip route-cache bridge-group 1 ! эта бридж-группа определяет подключение самой точки в native vlan no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.406 encapsulation dot1Q 406 no ip route-cache bridge-group 255 ! эта бридж-группа определяет подключение vlan 406 no bridge-group 255 source-learning bridge-group 255 spanning-disabled ... radius-server local no authentication eapfast no authentication leap no authentication mac nas 10.20.1.223 key 7 …… group hreap ! !
Наконец, необходимо разобраться с локальной авторизацией пользователей. Для разделяемых ключей все просто – PSK ключ передается точке доступа, и ей для авторизации клиентов больше ничего не нужно. В случае 802.1х для локальной авторизации можно использовать либо встроенный в саму точку доступа мини-RADIUS сервер (+ локальная база пользователей), либо указать внешние RADIUS-сервера (не обязательно установленные в центре сети). Например, вы можете развернуть свой FreeRadius, либо встроенный в Windows IAS/NPS сервер локально в филиале, например для авторизации по EAP/MS-CHAPv2 и локальной копии Active Directory.
Эти функции настраиваются через так называемые Группы H-REAP:
Вы добавляете имеющиеся на контроллере H-REAP точки доступа в группу, устанавливаете общий для группы набор RADIUS-серверов (не забудьте разрешить на RADIUS-сервере доступ точки доступа к нему), можно также включить локальную авторизацию по базе данных самой точки доступа. В таком случае можно задать набор разрешенных пользователей (username/password) и протоколов авторизации (поддерживаются EAP-FAST и LEAP).
Подведем итог: режим работы H-REAP беспроводных точек Cisco позволяет устанавливать их в филиалах компании без локального контроллера (экономия!). Точки пользуются центральным контроллером для получения настроек, управления и мониторинга. Местные беспроводные подключения спокойно переживают пропадание связи между центром и филиалом (падение WAN канала). Можно использовать локальную авторизацию и локальную коммутацию пакетов, роуминг клиентов между точками в пределах филиала. Если вам доведется настраивать режим H-REAP, крайне рекомендую внимательно изучить документацию производителя [7] (к которому автор не имеет никакого отношения).
Автор: antonvn
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/wi-fi/27195
Ссылки в тексте:
[1] 802.1x: http://en.wikipedia.org/wiki/IEEE_802.1X
[2] RADIUS: http://en.wikipedia.org/wiki/RADIUS
[3] WDS: http://en.wikipedia.org/wiki/Wireless_distribution_system
[4] контроллеров: http://habrahabr.ru/post/145082/
[5] настройке: http://habrahabr.ru/post/148903/
[6] WPA/WPA2 Enterprise: http://habrahabr.ru/post/150179/
[7] изучить документацию производителя: http://www.cisco.com/en/US/docs/wireless/controller/7.0/configuration/guide/c70hreap.html
[8] Источник: http://habrahabr.ru/post/169511/
Нажмите здесь для печати.