Исторически беспроводные сети строились на индивидуально настраиваемых точках доступа. Для простых задач («раздать вайфай дома») этот подход оправдан до сих пор, однако с ростом сложности сети администраторов всё больнее жалят следующие проблемы:
Что делать?
Первой ступенью развития стало создание механизмов централизованной авторизации клиента (802.1x) с применением RADIUS-сервера. Каждая индивидуальная точка доступа при попытке подключения клиента «спрашивает разрешение» у некоторого внешнего сервера или службы. Обычно при перемещении (роуминге) успешно авторизовавшегося и работающего клиента от точки к точке процедура авторизации повторяется заново, что чревато пропаданием связи на несколько секунд.
Для устранения этого (и других) недостатка был изобретен механизм WDS, позволяющий нескольким точками доступа работать вместе. Помимо функций трансляции радио-сигнала для увеличения площади покрытия, одна выбранная точка доступа (WDS master) может предоставлять единый центр авторизации для всех клиентов (и точек доступа) WDS домена (используя встроенный, или же внешний RADIUS-сервер). В таком случае роуминг клиентов в пределах домена не приводит к полному циклу авторизации (ибо мастер знает обо всех клиентах сети). Вместе с тем механизм WDS не сертифицирован Wi-Fi Alliance, что зачастую приводит к несовместимости реализации решения на базе оборудования разных поставщиков. К тому же, все точки доступа по-прежнему настраиваются индивидуально.
Следующим шагом эволюции беспроводных сетей стало появление беспроводных контроллеров. Здесь работу с радио-средой (передача и прием пакетов, шифрование) выполняет «глупая» точка доступа, а все остальное (централизованное управление, авторизация, передача пакетов в ЛВС) – «умный» контроллер. Таким образом, успешно решаются задачи масштабируемости, безопасности, управляемости, контроля роуминга и радио-среды. При большом количестве абонентов и с применением дополнительных средств управления (вроде Cisco WCS или Juniper RingMaster) можно строить географически распределенные сети из сотен контроллеров, тысяч точек доступа и сотен тысяч одновременно работающих абонентов.
Рассмотрим типичную сеть предприятия, расположенную в здании или соседних зданиях, построенную на оборудовании производства Cisco Systems. «Легковесная» точка доступа может быть установлена в любом участке сети, подключена к обычному порту доступа ЛВС и при этом предоставлять сервис для нескольких беспроводных сетей (WLAN) одновременно, с разными политиками безопасности: для гостей, для персонала, для технологических устройств. Точка доступа создает туннель (LWAPP, CAPWAP) до контроллера, в котором передает информацию от каждого клиента с меткой идентификатора сети). Контроллер обычно установлен в серверной комнате, подключен к локальной сети через trunk-порт. Каждая WLAN-сеть терминируется в отдельную виртуальную сеть (VLAN), которая также может иметь собственные политики безопасности. В такой концепции точки доступа разбросаны по сети здания, и все беспроводные клиенты имеют одну точку терминации в проводную сеть. В этой точке и установлены межсетевые экраны, сервера приложений и шлюз в Интернет. Без контроллера пришлось бы «тянуть» все VLAN до серверной, а в худшем случае «разбрасывать» межсетевые экраны по всей сети.
Если беспроводной пользователь хочет напечатать документ на принтере, стоящем рядом, данные фактически идут до серверного помещения по виртуальному соединению «точка доступа – контроллер», затем обратно по ЛВС и другому VLAN до принтера. В скоростной среде (Gigabit Ethernet) это не вызывает никаких проблем. Но что, если канал связи узок, или перегружен? Что, если необходимо обеспечить беспроводную связь в удаленном офисе через WAN (MPLS, IPSEC)?
Существуют жесткие требования по качеству канала связи между контроллером и точкой доступа. Для Cisco это порядка 100 миллисекунд допустимой задержки (round-trip), и полоса 128 килобит. При потере связи с контроллером «легковесная» точка доступа, работающая в нормальном («local mode») режиме клиентов обслуживать перестает, перезагружается, и начинает заново искать себе контроллер.
Конечно, можно установить обычную, автономную точку доступа, с локальной коммутацией пакетов. При этом теряются возможности роуминга, централизованного управления, безопасности. Сотрудники, путешествующие по филиалам, хотят иметь одинаково работающую беспроводную сеть везде, без перенастройки.
Можно купить и поставить отдельный маленький беспроводный контроллер в каждый филиал, но это затратный путь.
В качестве альтернативы для беспроводного решения от Cisco был предложен «полуавтономный» режим работы точек доступа. Вообще, подключенная к контроллеру точка доступа может находиться в следующих режимах работы:
H-REAP (Hybrid Remote-Edge Access Point), он же FlexConnect, позволяет точке доступа управляться контроллером, но при пропадании связи с ним продолжать работу. Беспроводные сети связаны с локальной сетью либо по-прежнему (через контроллер), либо локально. Аналогично производится авторизация. Посмотрим, как это настраивается, и как работает (на примере контроллера WLC4402 и точки LAP-1131).
Изменение режима работы ведет к перезагрузке точки доступа, и ее последующем подключении к контроллеру в новом режиме.
Напомним, что при настройке индивидуальной беспроводной сети (WLAN, SSID) вы указываете:
Если точка доступа установлена в удаленном филиале и предоставляет абонентам «корпоративный WLAN», авторизация абонентов происходит на центральном RADIUS-сервере, а весь трафик пересылается на контроллер центрального офиса. Этот режим называется «central authentication, central switching» и является единственным допустимым для точек доступа в локальном режиме.
В настройках беспроводной сети (WLAN, SSID) вы можете указать дополнительные параметры, которые имеют влияние на ее обслуживание от точки, находящейся в режиме H-REAP (они не влияют на работу в локальном режиме).
Первый параметр (H-REAP Local Switching) включает режим коммутации пакетов от данной сети в ЛВС локально, непосредственно точкой доступа, без пересылки в контроллер.
Второй параметр разрешает локальную (на самой точке доступа) авторизацию клиентов (через запомненный ключ PSK, через локальную базу данных пользователей, через настроенный локально RADIUS-сервер).
Третий параметр заставляет точку доступа определять IP-адреса подключенных клиентов (обычно этим занимается сам контроллер).
H-REAP точка доступа может находиться в следующих состояниях: connected (контроллер доступен) и standalone (контроллер недоступен). Каждая из обслуживаемых беспроводных сетей при этом находится в следующих состояниях:
central authentication, central switching – такой же режим, как и для обычной (local) точки в connected состоянии
central authentication, local switching – центральная авторизация, коммутация трафика локально – только в connected состоянии
local authentication, local switching – локальная авторизация и локальная коммутация трафика. Если контроллер доступен (connected), он получает от точки доступа некоторую ограниченную информацию о подключенных к ней клиентах. Если недоступен (standalone), новые клиенты могут подключаться и обслуживаться.
authentication down, switch down – если local switching для данной сети выключен, а контроллер недоступен, авторизация не проходит, пакеты не ходят
authentication down, local switching – если контроллер недоступен, для сети включен local switching и выключен local auth, новые клиенты не подключаются, но старые продолжают работать.
Надеюсь, вы обратили внимание, что при настройке беспроводной сети на контроллере необходимо указать, в какую проводную сеть (VLAN) терминируется трафик. По умолчанию H-REAP точка доступа подключена к порту доступа коммутатора (access port, нет тэгов). При работе нескольких беспроводных сетей весь их трафик такая точка отдает в тот же порт, без тэгов.
Крайне желательно настроить порт коммутатора, к которому подключена H-REAP точка доступа, в trunk порт (включив галочку «VLAN Support»), и создать соответствие между локально коммутируемыми WLAN и локальными VLAN коммутатора. Внимание: такое соответствие может отличаться от того, что прописано на контроллере. Делается это в дополнительной закладке «H-REAP» параметров точки доступа:
При этом вам необходимо прописать соответствующий номер VLAN на коммутаторе в число разрешенных в транке.
Любопытно, что при такой настройке точка доступа получает от контроллера специальный кусок конфигурационного файла (мало ли, ведь контроллер может и «пропасть»), который можно просмотреть:
Наконец, необходимо разобраться с локальной авторизацией пользователей. Для разделяемых ключей все просто – PSK ключ передается точке доступа, и ей для авторизации клиентов больше ничего не нужно. В случае 802.1х для локальной авторизации можно использовать либо встроенный в саму точку доступа мини-RADIUS сервер (+ локальная база пользователей), либо указать внешние RADIUS-сервера (не обязательно установленные в центре сети). Например, вы можете развернуть свой FreeRadius, либо встроенный в Windows IAS/NPS сервер локально в филиале, например для авторизации по EAP/MS-CHAPv2 и локальной копии Active Directory.
Эти функции настраиваются через так называемые Группы H-REAP:
Вы добавляете имеющиеся на контроллере H-REAP точки доступа в группу, устанавливаете общий для группы набор RADIUS-серверов (не забудьте разрешить на RADIUS-сервере доступ точки доступа к нему), можно также включить локальную авторизацию по базе данных самой точки доступа. В таком случае можно задать набор разрешенных пользователей (username/password) и протоколов авторизации (поддерживаются EAP-FAST и LEAP).
Подведем итог: режим работы H-REAP беспроводных точек Cisco позволяет устанавливать их в филиалах компании без локального контроллера (экономия!). Точки пользуются центральным контроллером для получения настроек, управления и мониторинга. Местные беспроводные подключения спокойно переживают пропадание связи между центром и филиалом (падение WAN канала). Можно использовать локальную авторизацию и локальную коммутацию пакетов, роуминг клиентов между точками в пределах филиала. Если вам доведется настраивать режим H-REAP, крайне рекомендую внимательно изучить документацию производителя (к которому автор не имеет никакого отношения).
- масштабируемость (необходимость поддержки большого числа пользователей)
- безопасность (необходимость иметь одинаковые настройки во всей сети)
- управляемость (необходимость централизованно узнать, на какой точке данный абонент)
- роуминг (еще более актуально для голосовых/видео приложений)
- контроль радио-ресурсов (перекрывающиеся частотные диапазоны)
Что делать?
Первой ступенью развития стало создание механизмов централизованной авторизации клиента (802.1x) с применением RADIUS-сервера. Каждая индивидуальная точка доступа при попытке подключения клиента «спрашивает разрешение» у некоторого внешнего сервера или службы. Обычно при перемещении (роуминге) успешно авторизовавшегося и работающего клиента от точки к точке процедура авторизации повторяется заново, что чревато пропаданием связи на несколько секунд.
Для устранения этого (и других) недостатка был изобретен механизм WDS, позволяющий нескольким точками доступа работать вместе. Помимо функций трансляции радио-сигнала для увеличения площади покрытия, одна выбранная точка доступа (WDS master) может предоставлять единый центр авторизации для всех клиентов (и точек доступа) WDS домена (используя встроенный, или же внешний RADIUS-сервер). В таком случае роуминг клиентов в пределах домена не приводит к полному циклу авторизации (ибо мастер знает обо всех клиентах сети). Вместе с тем механизм WDS не сертифицирован Wi-Fi Alliance, что зачастую приводит к несовместимости реализации решения на базе оборудования разных поставщиков. К тому же, все точки доступа по-прежнему настраиваются индивидуально.
Следующим шагом эволюции беспроводных сетей стало появление беспроводных контроллеров. Здесь работу с радио-средой (передача и прием пакетов, шифрование) выполняет «глупая» точка доступа, а все остальное (централизованное управление, авторизация, передача пакетов в ЛВС) – «умный» контроллер. Таким образом, успешно решаются задачи масштабируемости, безопасности, управляемости, контроля роуминга и радио-среды. При большом количестве абонентов и с применением дополнительных средств управления (вроде Cisco WCS или Juniper RingMaster) можно строить географически распределенные сети из сотен контроллеров, тысяч точек доступа и сотен тысяч одновременно работающих абонентов.
Рассмотрим типичную сеть предприятия, расположенную в здании или соседних зданиях, построенную на оборудовании производства Cisco Systems. «Легковесная» точка доступа может быть установлена в любом участке сети, подключена к обычному порту доступа ЛВС и при этом предоставлять сервис для нескольких беспроводных сетей (WLAN) одновременно, с разными политиками безопасности: для гостей, для персонала, для технологических устройств. Точка доступа создает туннель (LWAPP, CAPWAP) до контроллера, в котором передает информацию от каждого клиента с меткой идентификатора сети). Контроллер обычно установлен в серверной комнате, подключен к локальной сети через trunk-порт. Каждая WLAN-сеть терминируется в отдельную виртуальную сеть (VLAN), которая также может иметь собственные политики безопасности. В такой концепции точки доступа разбросаны по сети здания, и все беспроводные клиенты имеют одну точку терминации в проводную сеть. В этой точке и установлены межсетевые экраны, сервера приложений и шлюз в Интернет. Без контроллера пришлось бы «тянуть» все VLAN до серверной, а в худшем случае «разбрасывать» межсетевые экраны по всей сети.
Если беспроводной пользователь хочет напечатать документ на принтере, стоящем рядом, данные фактически идут до серверного помещения по виртуальному соединению «точка доступа – контроллер», затем обратно по ЛВС и другому VLAN до принтера. В скоростной среде (Gigabit Ethernet) это не вызывает никаких проблем. Но что, если канал связи узок, или перегружен? Что, если необходимо обеспечить беспроводную связь в удаленном офисе через WAN (MPLS, IPSEC)?
Существуют жесткие требования по качеству канала связи между контроллером и точкой доступа. Для Cisco это порядка 100 миллисекунд допустимой задержки (round-trip), и полоса 128 килобит. При потере связи с контроллером «легковесная» точка доступа, работающая в нормальном («local mode») режиме клиентов обслуживать перестает, перезагружается, и начинает заново искать себе контроллер.
Конечно, можно установить обычную, автономную точку доступа, с локальной коммутацией пакетов. При этом теряются возможности роуминга, централизованного управления, безопасности. Сотрудники, путешествующие по филиалам, хотят иметь одинаково работающую беспроводную сеть везде, без перенастройки.
Можно купить и поставить отдельный маленький беспроводный контроллер в каждый филиал, но это затратный путь.
В качестве альтернативы для беспроводного решения от Cisco был предложен «полуавтономный» режим работы точек доступа. Вообще, подключенная к контроллеру точка доступа может находиться в следующих режимах работы:
- Local – традиционный режим (по умолчанию), когда точка считается «локально подключенной» к контроллеру, и передает весь трафик через него
- H-REAP – режим «удаленной», или полуавтономной работы, о чем речь ниже
- Monitor – точка не обслуживает клиентов, но сканирует радиосреду. Требуется для более точного определения координат клиентского устройства, что важно в некоторых мобильных задачах
- Rogue detector – точка не обслуживает клиентов и выключает радио. Вместо этого точка рапортует контроллеру о локально определяемых на Ethernet-порту MAC-адресах, что позволяет искать незаконно установленные в вашей сети «вредные» точки доступа
- Sniffer – точка «слушает» пакеты в радиоэфире и передает их для последующего анализа на компьютер с AiroPeek или Wireshark
- Bridge – точка работает в режиме беспроводного моста, для организации MESH-сетей
- SE-Connect – точка позволяет работать в режиме спектроанализатора (с настроенным ПО Cisco Spectrum Expert), только совместимые модели 3500 и 3600)
H-REAP (Hybrid Remote-Edge Access Point), он же FlexConnect, позволяет точке доступа управляться контроллером, но при пропадании связи с ним продолжать работу. Беспроводные сети связаны с локальной сетью либо по-прежнему (через контроллер), либо локально. Аналогично производится авторизация. Посмотрим, как это настраивается, и как работает (на примере контроллера WLC4402 и точки LAP-1131).
Изменение режима работы ведет к перезагрузке точки доступа, и ее последующем подключении к контроллеру в новом режиме.
Напомним, что при настройке индивидуальной беспроводной сети (WLAN, SSID) вы указываете:
- Имя сети
- Параметры безопасности (ключ сети для WPA/WPA2 PSK либо требование к авторизации по 802.1х для WPA/WPA2 Enterprise. Во втором случае у вас должно быть настроено взаимодействие контроллера с RADIUS-сервером
- Имя локального динамического интерфейса контроллера (соответственно номер VLAN), в который контроллер отправляет пакеты для этой беспроводной сети
Если точка доступа установлена в удаленном филиале и предоставляет абонентам «корпоративный WLAN», авторизация абонентов происходит на центральном RADIUS-сервере, а весь трафик пересылается на контроллер центрального офиса. Этот режим называется «central authentication, central switching» и является единственным допустимым для точек доступа в локальном режиме.
В настройках беспроводной сети (WLAN, SSID) вы можете указать дополнительные параметры, которые имеют влияние на ее обслуживание от точки, находящейся в режиме H-REAP (они не влияют на работу в локальном режиме).
Первый параметр (H-REAP Local Switching) включает режим коммутации пакетов от данной сети в ЛВС локально, непосредственно точкой доступа, без пересылки в контроллер.
Второй параметр разрешает локальную (на самой точке доступа) авторизацию клиентов (через запомненный ключ PSK, через локальную базу данных пользователей, через настроенный локально RADIUS-сервер).
Третий параметр заставляет точку доступа определять IP-адреса подключенных клиентов (обычно этим занимается сам контроллер).
H-REAP точка доступа может находиться в следующих состояниях: connected (контроллер доступен) и standalone (контроллер недоступен). Каждая из обслуживаемых беспроводных сетей при этом находится в следующих состояниях:
central authentication, central switching – такой же режим, как и для обычной (local) точки в connected состоянии
central authentication, local switching – центральная авторизация, коммутация трафика локально – только в connected состоянии
local authentication, local switching – локальная авторизация и локальная коммутация трафика. Если контроллер доступен (connected), он получает от точки доступа некоторую ограниченную информацию о подключенных к ней клиентах. Если недоступен (standalone), новые клиенты могут подключаться и обслуживаться.
authentication down, switch down – если local switching для данной сети выключен, а контроллер недоступен, авторизация не проходит, пакеты не ходят
authentication down, local switching – если контроллер недоступен, для сети включен local switching и выключен local auth, новые клиенты не подключаются, но старые продолжают работать.
Надеюсь, вы обратили внимание, что при настройке беспроводной сети на контроллере необходимо указать, в какую проводную сеть (VLAN) терминируется трафик. По умолчанию H-REAP точка доступа подключена к порту доступа коммутатора (access port, нет тэгов). При работе нескольких беспроводных сетей весь их трафик такая точка отдает в тот же порт, без тэгов.
Крайне желательно настроить порт коммутатора, к которому подключена H-REAP точка доступа, в trunk порт (включив галочку «VLAN Support»), и создать соответствие между локально коммутируемыми WLAN и локальными VLAN коммутатора. Внимание: такое соответствие может отличаться от того, что прописано на контроллере. Делается это в дополнительной закладке «H-REAP» параметров точки доступа:
При этом вам необходимо прописать соответствующий номер VLAN на коммутаторе в число разрешенных в транке.
Любопытно, что при такой настройке точка доступа получает от контроллера специальный кусок конфигурационного файла (мало ли, ведь контроллер может и «пропасть»), который можно просмотреть:
ap4.h#sh runn brief ... ! сеть номер 4 заворачивается в VLAN 406 dot11 vlan-name 004 vlan 406 ... interface Dot11Radio0.4 encapsulation dot1Q 4 ! номер 4 ничего не значит no ip route-cache bridge-group 255 ! а номер бридж-группы значит bridge-group 255 subscriber-loop-control bridge-group 255 block-unknown-source no bridge-group 255 source-learning no bridge-group 255 unicast-flooding bridge-group 255 spanning-disabled ! interface Dot11Radio0.17 encapsulation dot1Q 17 native no ip route-cache bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0.1 encapsulation dot1Q 1 native ip address 10.20.1.223 255.255.252.0 no ip route-cache bridge-group 1 ! эта бридж-группа определяет подключение самой точки в native vlan no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.406 encapsulation dot1Q 406 no ip route-cache bridge-group 255 ! эта бридж-группа определяет подключение vlan 406 no bridge-group 255 source-learning bridge-group 255 spanning-disabled ... radius-server local no authentication eapfast no authentication leap no authentication mac nas 10.20.1.223 key 7 …… group hreap ! !
Наконец, необходимо разобраться с локальной авторизацией пользователей. Для разделяемых ключей все просто – PSK ключ передается точке доступа, и ей для авторизации клиентов больше ничего не нужно. В случае 802.1х для локальной авторизации можно использовать либо встроенный в саму точку доступа мини-RADIUS сервер (+ локальная база пользователей), либо указать внешние RADIUS-сервера (не обязательно установленные в центре сети). Например, вы можете развернуть свой FreeRadius, либо встроенный в Windows IAS/NPS сервер локально в филиале, например для авторизации по EAP/MS-CHAPv2 и локальной копии Active Directory.
Эти функции настраиваются через так называемые Группы H-REAP:
Вы добавляете имеющиеся на контроллере H-REAP точки доступа в группу, устанавливаете общий для группы набор RADIUS-серверов (не забудьте разрешить на RADIUS-сервере доступ точки доступа к нему), можно также включить локальную авторизацию по базе данных самой точки доступа. В таком случае можно задать набор разрешенных пользователей (username/password) и протоколов авторизации (поддерживаются EAP-FAST и LEAP).
Подведем итог: режим работы H-REAP беспроводных точек Cisco позволяет устанавливать их в филиалах компании без локального контроллера (экономия!). Точки пользуются центральным контроллером для получения настроек, управления и мониторинга. Местные беспроводные подключения спокойно переживают пропадание связи между центром и филиалом (падение WAN канала). Можно использовать локальную авторизацию и локальную коммутацию пакетов, роуминг клиентов между точками в пределах филиала. Если вам доведется настраивать режим H-REAP, крайне рекомендую внимательно изучить документацию производителя (к которому автор не имеет никакого отношения).
