0. Принципы организации контроллеро-управляемой сети
Традиционные беспроводные сети строятся на базе «точек доступа» — устройств, обслуживающих обычно одну Wi-Fi сеть (SSID), обеспечивая некоторый уровень защищенности (авторизация, шифрование), управляемость, и связь с проводным участком сети. Сейчас такие устройства стоят менее 100 долларов, хорошо подходят для домашнего применения, либо задач «раздачи интернета» в офис из 10 сотрудников. Потребность в более масштабных системах с единым центром управления привела к появлению беспроводных контроллеров, обслуживающих «поглупевшие» точки доступа. В такой схеме контроллер управляет централизованной авторизацией, SSID, роумингом абонентов, контролирует «долговременные параметры» эфира: мощность, частоту, осуществляет терминацию беспроводных подключений пользователей в проводную среду. Точка доступа отвечает за прием/передачу пакетов в эфир, занимается шифрованием радиоданных, общается с контроллером и передает ему пользовательский трафик в туннеле. В еще более крупных сетях используются специализированные средства управления пулом контроллеров, поддержки информации о мобильности, расширенные средства диагностики и репортинга.
1. Что предлагает Juniper
Линейка беспроводных систем производства Juniper Networks построена как раз по такой схеме.
- Точки доступа, WLA, представлены набором из пяти устройств, с одним или двумя радио-модулями, разным числом поддерживаемых потоков MIMO, максимальных скоростей, возможностью подключения внешних антенн. Сделаны они в формфакторе «детектора дыма» и предназначены для монтажа на потолок офиса. Питаются через 802.3af PoE, кроме WLA632 (уличный вариант). Возможности подключения консоли, какого-либо интерфейса и кнопок-не имеют.
- Контроллеров WLC пять типов аппаратных и один виртуальный для VMware, отличаются производительностью (количеством обслуживаемых точек доступа), количеством и скоростью сетевых интерфейсов, наличием второго БП. Есть модели со встроенным маленьким коммутатором PoE, предназначенным для непосредственного включения WLA. Имеют консольный порт и настраиваются через командную строчку.
- Для управления набором контроллеров через GUI служит программное обеспечение RingMaster (Java-приложение), которое исполняется либо под Windows, либо на отдельном устройстве WLM1200 (одноюнитовый комп), на котором также можно запустить дополнительное ПО SmartPass обеспечения гостевого доступа.
2. Что мы тестировали
В моём распоряжении оказались:
- контроллер WLA-8 (он же MX-8) с одним БП — две штуки
- точки доступа WLA532-WW — две штуки
- межсетевой экран SRX240H PoE — использовался как источник питания точки доступа
Данного набора вполне достаточно для проведения большинства тестов, в том числе с роумингом данных и отказоустойчивостью.
Беспроводной контроллер представляет из себя одноплатный специализированный компьютер на платформе PowerPC, на котором исполняется операционная система MSS (Mobility System Software) версии 8.0.2.2, которая построена на базе Linux. WLA-8 имеет два аплинка и 6 портов с поддержкой PoE, для непосредственного включения точек доступа.
Точка доступа питается по Ethernet, потребляет в пике порядка 15 ватт. Внутри неё исполняется «ответная часть MSS», загружаемая с контроллера. Само устройство смонтировано на увесистом металлическом основании (которое заодно и радиатор), имеет шесть антенн (по три на b/g/n и a/n) для создания пространственно-разнесенных (spatial) потоков данных.
На основе имеющегося оборудования мы попробуем провести инициализацию системы, разберем по шагам первоначальную настройку, и попробуем решить несколько типичных задач. Настраивать контроллеры будем из командной строки, графического интерфейса у них нет, зато есть Ringmaster. В любом случае, для начала просто необходим подготовительный этап.
3. Подготовительный этап
Не устану повторять. Читайте доки. Читайте их до того, как вы начали что-то делать. Конечно, «по ходу работы» можно тоже многому обучиться, тем не менее вы экономите собственное время, раз прочитав до конца документацию производителя, чтобы не наделать очевидных глупостей и переделывать одно и то же много раз. Документация производителя фактически сводится к одной большой книжке: Mobility System Software Configuration Guide. Пожалуйста, не поленитесь прочитать 1000 страниц несложного текста.
Прежде чем открывать коробки, вы должны подготовить ответы на следующие вопросы:
- Сколько беспроводных контроллеров у вас будет, куда вы их установите, к каким портам ЛВС подключите
- Сколько у вас точек доступа? Вы их будете подключать к портам PoE контроллеров, либо подключать в ЛВС к существующим PoE коммутаторам?
- Каковы параметры TCP/IP контроллеров (адреса, номера VLAN, имена DNS) и точек доступа
- Каковы параметры разворачиваемых беспроводных сетей — имена SSID, методы авторизации, в какой VLAN заворачивается пользовательский трафик и т.п.
- Будет ли у вас в сети авторизация в RADIUS-сервере? Через домен? Через LDAP?
- Каковы радио-параметры сети — диапазоны 2.4 и/или 5ГГц, каналы
- Каковы требования по роумингу клиентов, поддержке голоcа поверх радио, и проч.
3. Инициализация контроллера
При первоначальном включении, либо по команде quickstart контроллер впадает в режим инициализации конфигурации, которой можно управлять через консольный порт (DB9, 9600/8/N/1). Вам предстоит ответь на ряд несложных вопросов:
WLC-1# quickstart
This will erase any existing config. Continue? [n]: y
Answer the following questions. Enter ‘?’ for help. ^C to break out
System Name [MX-8]: WLC-1
Country Code [US]: RU ! выбор кода страны определяет допустимый диапазон рабочих частот точек доступа — обязательный параметр
System IP address []: 172.16.130.30
System IP address netmask []: 255.255.255.0
Default route []: 172.16.130.1
Do you need to use 802.1Q tagged ports for connectivity on the default VLAN? [n]: n
Enable Webview [y]:
Admin username [admin]: anton
Admin password [mandatory]: ****
Enable password [optional]: ****
Do you wish to set the time? [y]:
Enter the date (dd/mm/yy) []: 03/06/13
Enter the time (hh:mm:ss) []: 23:41:00
Enter the timezone []: MSK
Enter the offset (without DST) from GMT for ‘MSK’ in hh:mm [0:0]: 4:0
Do you wish to configure wireless? [y]: y ! вам предлагают сразу же настроить беспроводную сеть
Enter a clear SSID to use: ssid1 ! это первая беспроводная сеть, которая будет открытой для подключения, с авторизацией через веб-форму
Do you want Web Portal authentication? [y]:
Enter a username to be used with Web Portal, to exit: test
Enter a password for test: ***
Enter a username to be used with Web Portal, to exit:
Do you want to do 802.1x and PEAP-MSCHAPv2? [y]:
Enter a crypto SSID to use: ssid2 ! эта вторая сеть, с авторизацией подключения
Enter a username with which to do PEAP-MSCHAPv2, to exit: test2
Enter a password for test2: ***
Enter a username with which to do PEAP-MSCHAPv2, to exit:
Do you wish to configure access points? [y]: ! здесь вам предлагают сразу настроить ваши локальные точки доступа
Enter a port number [1-6] on which an AP resides, to exit: 5 ! к какому порту конторллера подключена точка
Enter AP model on port 5: WLA532-WW
Enter a port number [1-6] on which an AP resides, to exit:
Do you wish to configure distributed access points? [y]: n ! здесь вам предлагают настроить подключенные к ЛВС точки доступа, это сделаем потом
success: created keypair for ssh
success: Type «save config» to save the configuration
success: change accepted.
*WLC-1# save config
success: configuration saved.
WLC-1#
Значок "*" перед именем устройства означает, что в текущей конфигурации имеются несохраненные изменения.
После такой «базовой настройки» контроллер работает, точка доступа тоже, и к ней можно подключаться (по сетям ssid1 и ssid2). Удивительно, что точка доступа, подключенная непосредственно в контроллер, функционирует вообще без присвоения ей IP-адреса (там поднимается собственная IP-адресация).
Контроллер настраивается очень просто. Войдите в режим enable, далее у вас есть три типа команд: set, clear, show. Операция «commit», как в JunOS, отсутствует.
Сразу же по завершении работы мастера начальной настройки рекомендуется установить набор дополнительных параметров: имя вашего домена и адреса DNS серверов, адрес сервера syslog, NTP, включить SNMP и установить community, задать имя домена мобильности (для роуминга, если у вас несколько контроллеров) и адрес начального устройства (seed) группы мобильности.
4. Подключение точек доступа
Отлично, контроллер настроен, зайдите в его CLI по ssh (локальная консоль больше не нужна).
Точки беспроводного доступа подключаются либо локальном режиме (к порту контроллера), либо в distributed режиме (по IP). Во втором случае в вашей сети должен быть настроен DHCP-сервер, который отдает помимо адресов опцию 43 с адресами контроллеров (её формат — не как у Cisco, а свой). Для облегчения задачи настройки точек доступа «из коробки» (напомним, консольного порта и кнопок у них нет), существует команда set ap auto mode enable, которая «подхватывает» запрашивающие подключение устройства. Можно также задать настройки точки вручную, пользуясь ее «отпечатком» (написан на наклейке на корпусе):
set ap 2 serial-id mg0211508096 model WLA532-WW
set ap 2 name WLA-2
set ap 2 blink enable
set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc
set ap 2 radio 1 mode enable
set ap 2 radio 2 mode enable
Автоматически настроенную точку доступа можно впоследствии переименовать и перенумеровать. Можно посмотреть на список подключенных точек доступа:
WLC-1# show ap status
Flags: o = operational[1], c = configure[0], d = download[0], b = boot[0] a = auto AP, m = mesh AP, p/P = mesh portal (ena/actv), r = redundant[0] z = remote AP in outage, i/I = insecure (control/control+data) u = unencrypted, e/E = encrypted (control/control+data) Radio: E = enabled - 20MHz channel, S = sentry, s = spectral-data W/w = enabled - 40MHz wide channel (HTplus/HTminus) D = admin disabled, U = mesh uplink IP Address: * = AP behind NAT AP Flag IP Address Model MAC Address Radio 1 Radio 2 Uptime ---- ---- --------------- ------------ ----------------- ------- ------- ------ 5 o--u Port 5 WLA532-WW 78:19:f7:7c:6a:40 E 11/13 w112/18 02h34m 2 o--e 172.16.130.110 WLA532-WW 78:19:f7:75:5f:80 E 6/13 w136/21 02h30m
5. Настройка сервис-профилей
Радио работает, надо определить нашу беспроводную сеть (SSID). Потребуется указать её имя, параметры шифрования, авторизации:
set service-profile sp-WiFiAccess ssid-name WiFiAccess ! имя вашей сети
set service-profile sp-WiFiAccess auth-fallthru last-resort
set service-profile sp-WiFiAccess psk-phrase 12345678! пароль (ключ) — потом в конфигурационном файле будет зашифрован
set service-profile sp-WiFiAccess wpa-ie auth-dot1x disable! не используем 802.1х (через RADIUS-сервер)
set service-profile sp-WiFiAccess rsn-ie cipher-ccmp enable! AES/CCMP, он же WPA2
set service-profile sp-WiFiAccess rsn-ie auth-psk enable
set service-profile sp-WiFiAccess rsn-ie auth-dot1x disable
set service-profile sp-WiFiAccess rsn-ie enable
set service-profile sp-WiFiAccess attr vlan-name default! в какую сеть (VLAN) помещаем клиентов
Все возможные варианты приведены в документации. Если вы планируете использовать одну и ту же сеть (с одинаковыми настройками, конечно) на нескольких контроллерах, необходимо «размножить» сегменты service-profile и radio-profile.
6. Настройка радио-профилей
Теперь необходимо задать настройки радио — определить частотные каналы, диапазоны. Настроек по умолчанию вполне достаточно для начала, поробнее — в документации.
set radio-profile default auto-tune power-config enable
Теперь необходимо применить сервис-профили к радио-профилю:
set radio-profile default service-profile sp-WiFiAccess
и попробовать выподнить клиентское подключение к нашей беспроводной сети WiFiAccess (WPA2-PSK) с паролем 12345678:
WLC-1# show sessions network
User Name SessID Type Address VLAN AP/Rdo --------------------- ------ ----- -------------------- -------------- ------- LR-WiFiAccess-0 2* open 172.16.130.112 default 5/2
Работает!
set ip route default 172.16.130.1 1 set ip dns domain k18.netams.com set ip dns enable set ip dns server 8.8.8.8 PRIMARY set log server 172.16.130.100 severity error set system name WLC-1 set system ip-address 172.16.130.30 set system countrycode RU set timezone MSK 4 0 set service-profile sp-WiFiAccess ssid-name WiFiAccess set service-profile sp-WiFiAccess auth-fallthru last-resort set service-profile sp-WiFiAccess keep-initial-vlan enable set service-profile sp-WiFiAccess psk-encrypted fffffffffffffffffffffff set service-profile sp-WiFiAccess wpa-ie auth-dot1x disable set service-profile sp-WiFiAccess rsn-ie cipher-ccmp enable set service-profile sp-WiFiAccess rsn-ie cipher-tkip enable set service-profile sp-WiFiAccess rsn-ie auth-psk enable set service-profile sp-WiFiAccess rsn-ie auth-dot1x disable set service-profile sp-WiFiAccess rsn-ie enable set service-profile sp-WiFiAccess attr vlan-name default set enablepass password fffffffffffffffffffffff set radio-profile default auto-tune power-config enable set radio-profile default 11n channel-width-na 20MHz set radio-profile default service-profile sp-WiFiAccess set ap auto mode enable set ap 2 serial-id mg0211508096 model WLA532-WW set ap 2 name WLA-2 set ap 2 blink enable set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc set ap 2 radio 1 mode enable set ap 2 radio 2 mode enable set ap 5 port 5 model WLA532-WW set ap 5 radio 1 mode enable set ap 5 radio 2 mode enable set ip snmp server enable set port poe 5 enable set snmp protocol v1 disable set snmp protocol v2c enable set vlan 1 port 1 set vlan 1 port 2 set vlan 1 port 3 set vlan 1 port 4 set vlan 1 port 6 set vlan 1 port 7 set vlan 1 port 8 set interface 1 ip 172.16.130.30 255.255.255.0 set snmp community name CommunityRO access read-only set mobility-domain mode seed domain-name LocalMobilityDomain set mobility-domain member 172.16.130.31 set security acl name portalacl permit udp 0.0.0.0 255.255.255.255 eq 68 0.0.0.0 255.255.255.255 eq 67 set security acl name portalacl deny 0.0.0.0 255.255.255.255 capture commit security acl portalacl set ntp enable set ntp server 83.143.51.50
7. Авторизация через 802.1x
Для корпоративного применения больше подойдет не защищенная одним всем известным ключом (паролем) WPA2-PSK авторизация, а полноценная, по протоколу 802.1x, при помощи RADIUS-сервера и внешней базы данных. В качестве таковых используем FreeRADIUS, работающий в связке с системой биллинга NETAMS 4.0.
set service-profile Secure-DOT1X ssid-name DOT1X set service-profile Secure-DOT1X 11n short-guard-interval disable set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable set service-profile Secure-DOT1X rsn-ie enable set service-profile Secure-DOT1X attr vlan-name default set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11 set radius server debian64 mac-addr-format colons set radio-profile default service-profile Secure-DOT1X set server group debian64-group members debian64 set accounting dot1x ssid DOT1X ** start-stop debian64-group set authentication dot1x ssid DOT1X ** pass-through debian64-group
Заведенный в биллинге пользователь при действующей подписке на услугу успешно подключается при вводе верного индивидуального логина-пароля.
8. Итоги
Общее впечатление от испытанного оборудования осталось хорошим. За бортом обзора временно остались роуминг и отказоустойчивость. С точки зрения надежности, безглючности — нареканий нет никаких. Удобство настройки и диагностики через CLI сомнительно, хоть и имеет свои плюсы (копи-паст). По функционалу беспроводная система Juniper обеспечивает всё необходимое для построения большой и сложной системы. По сравнению с главным конкурентом, Cisco Unified Wireless, с точностью до мелочей функции и возможности одинаковы. Существенна разница в именовании одних и тех же сущностей (WLA-access point; service profile-WLAN, remote WLA-FlexConnect), но это вопрос привычки. В любом случае, обе системы основаны на одних и тех же стандартах и протоколах, и несут общую логику организации.
Увы, управлять беспроводной системой через командную строку хоть и можно (доступен весь функционал), но не удобно (в наш век вебдваноль не только пользователи, но и админы любят красивый GUI). К счастью, Juniper предлагает графическую систему централизованного управления набором контроллеров, RingMaster, речь о которой пойдет в следующей статье.
P.S. Автор занимается проектированием и интеграцией систем на базе оборудования разных производителей, но не аффилирован с ними.
ссылка на оригинал статьи http://habrahabr.ru/post/181868/
Добавить комментарий