Настройка беспроводных сетей на контроллере Cisco

    Пользуясь моими руководствами по первоначальной настройке и подключению точек доступа к Wi-Fi контроллеру Cisco WLC, у вас построена необходимая инфраструктура беспроводной сети. Теперь требуется настроить сами сети (WLAN, SSID), для предоставления услуг связи вашим пользователям. Об этом — завершающая статья вводного курса молодого бойца. Это не перевод и не копипаст доки, а краткая выжимка описаний всех требуемых фич, проверенных на собственной шкуре.




    Хоть ваш контроллер и управляется через командную строку (консоль, ssh), почти все операции по настройке лучше (быстрее и удобнее) производить через веб-интерфейс. Контроллер доступен через HTTP (по умолчанию; лучше переключите на HTTPS) с логином-паролем, заданными при установке. В данной статье мы рассмотрим только настройку самих беспроводных сетей. Остальные параметры (радио, безопасность, управление) и так выставлены в более-менее приемлемые значения. Подробно всё расписано в официальной документации, но кто же её читает. Цель данной статьи — максимально доходчиво рассказать о возможных параметрах настройки индивидуальной беспроводной сети.

    Каждая ваша беспроводная сеть идентифицируется уникальным именем, или SSID. Каждая сеть может иметь свой, независимый набор параметров авторизации, шифрования, QoS, дополнительных свойств. Каждая точка доступа может обслуживать (анонсировать) до 16 беспроводных сетей. Контроллер (в зависимости от модели) может обслуживать до 512 сетей и до сотен точек доступа.

    Все настройки производятся в меню WLANs (верхняя картинка). Для создания новой сети необходимо выбрать пункт меню «Create new», и задать базовые параметры:


    Тип сети: WLAN (беспроводная). Контроллер может также работать как Captive Portal для проводной сети (Guest LAN)
    Имя профиля: произвольное слово, обычно соответствует имени сети, применяется при использовании «взрослых» систем управления WCS/NCS.
    Имя сети (SSID): то, как ваша сеть будет «видна» клиентским компьютерам
    Идентификатор (порядковый номер): по умолчанию ваши точки доступа будут анонсировать сети с номерами <=16

    Создав новую сеть, вы попадаете в окно с закладками, в котором и указываются все параметры её работы:



    Enable включает/выключает обслуживание сети точками доступа
    Security policy оповещает вас о текущем наборе политик безопасности сети, которые настраиваются далее
    Radio policy позволяет выбрать, в каком диапазоне частот (2.4, 5 ГГц) и скоростей (до 11, до 54 мбит/с) будет работать сеть. Возможны комбинации вариантов. Высокие скорости (802.11n) — тема отдельной статьи. Естественно, ваши точки должны поддерживать выбранные диапазоны.
    Interface определяет, на какой проводной сетевой (саб-)интерфейс (VLAN) контроллера по умолчанию будут терминироваться подключения беспроводных клиентов. Вы можете создать несколько так называемых «динамических интерфейсов», каждый со своим VLAN ID, и распределять ваших пользователей по ним в зависимости от того, к какой сети они подключились (что наиболее часто используется для предоставления гостевого доступа)
    Multicast VLAN определяет, куда в случае нескольких групп интерфейсов будет идти мультикаст трафик (тема отдельной статьи)
    Последний параметр Broadcast SSID определяет, будет ли имя сети отражаться в beacon (анонсах) пакетов, периодически рассылаемых точкой доступа. Иначе это называется «открытая/закрытая сеть»

    Следующая закладка, Security, обычно вызывает больше всего вопросов.



    Безопасность беспроводной сети строится из трех компонентов:
    • Авторизация
    • Шифрования
    • Веб-политика (опционально)


    Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль через форму.

    Доступные параметры безопасности 2го уровня:
    • None — авторизация и шифрование трафика не применяются («небезопасная сеть»). Используется для гостевого доступа, в хотспотах. Зачастую комбинируется с веб-политикой, при которой вы без вопросов подключаетесь к беспроводной сети, но при попытке выйти веб-браузером куда-то сессия перехватывается контроллером, и вас вынуждают ввести логин-пароль, согласиться с условиями и т.п. (см. далее).
    • WPA+WPA2 — позволяет выбрать политику WPA либо WPA2 (либо обе), тип шифрования TKIP или AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах. Не все клиентские адаптеры (особенно старые) способны понять современные стандарт. Если все клиенты — новые, наиболее оптимальным будет использование WPA2/AES. Дополнительно предлагается указать, как будет образовываться ключ для шифрования:
      • 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Наиболее безопасный вариант, также именуемый WPA(2) Enterprise
      • CCKM — используется собственный механизм Cisco генерации ключей, подходит только для Cisco Wi-Fi телефонов
      • PSK — общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal
      • 802.1x+CCKM — гибрид CCKM и RADIUS-ключа (для Cisco-телефонов)
    • 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Однако это WEP-ключ, и протокол шифрования радиоканала — WEP, чем в наше время пользоваться уже нельзя.
    • Static WEP — статический WEP-ключ
    • Static WEP+802.1X — гибрид двух предыдущих
    • CKIP — проприетарный аналог WEP для Cisco телефонов



    Подводя мини-итог по L2 безопасности скажем, что в реальности необходимо делать выбор между:
    • Отсутствием шифрования/авторизации (гостевой доступ)
    • WPA2 (AES) PSK aka «WPA2 Personal» для доступа в сеть по общему паролю
    • WPA2 (AES) + 802.1X aka «WPA2 Enterprise» для доступа в сеть через авторизацию на RADIUS-сервере (EAP: по доменному аккаунту, сертификату и т.п.)

    Внимание! Высокие скорости связи/802.11n доступны только для сетей, которые используют либо Security=None, либо WPA2/AES/PSK, либо WPA2/AES/802.1X.

    При любом варианте настройки безопасности/авторизации вы можете включить дополнительно L3 политику, которая заключается в перехвате клиентской веб-сессии:

    При этом доступны следующие параметры:

    • Authentication — пользователь видит окно ввода логина-пароля, которые затем проверяются на контроллере (в его локальной базе), либо на RADIUS-сервере
    • Passthrough — пользователь видит окно приветствия, где у него могут опционально спросить его e-mail адрес (далее нигде не используется и не проверяется)
    • Conditional Web Redirect — позволяет редиректить сессию пользователя на указанную в RADIUS-ответе страницу после авторизации. Например, на страницу пополнения баланса. После редиректа пользователь должен авторизоваться снова.
    • Splash Page Web Redirect — то же самое, но с доступом в сеть сразу
    • On MAC Filter failure — редирект происходит при блокировке пользователя MAC-фильтром

    Дополнительно можно указать ACL (список доступа) для пользователей, не прошедших авторизацию (например, для DNS-сервера или внешнего веб-сервера с логотипом).
    Можно также выбрать, какую страницу (форму) показывать пользователю при авторизации (стандартную, самостоятельно измененную стандартную, либо находящуюся на внешнем веб-сервере).

    При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security — RADIUS — AAA — Authentication:

    необходимо указать следующие параметры:
    IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft.
    Shared secret (ключ радиус-сервера)
    Network user — сервер поддерживает авторизацию пользователей Wi-Fi сети
    Management — сервер поддерживает авторизацию администраторов самого контроллера
    Остальные параметры интереса не представляют.
    Полезно также задать тот же сервер для целей учета (Accounting).

    В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов:

    Вы можете также назначить отдельный сервер для данной беспроводной сети, отключить аккаунтинг, включить встроенный в контроллер мини-сервер RADIUS и т.п.

    Закладка QoS отвечает за параметры качества обслуживания в сети, давая приоритеты разными типам трафика и пользователям. Заморачиваться стоит, если у вас в беспроводной сети широко используется голос, видео, много гостевых пользователей при большой нагрузке, и в аналогичных экзотических случаях.


    Последняя закладка, Advanced, описывает различные «дополнительные параметры» вашей беспроводной сети, коих достаточно много. Расскажем обо всех.


    • Allow AAA Override — позволяет передать дополнительные параметры от RADIUS-сервера в момент успешной авторизации клиента, и применить их к данному клиенту индивидуально. Такими параметрами могут быть номер VLAN, имя локального интерфейса, список доступа (ACL), URL для редиректа, QoS политика и т.п.
    • Coverage Hole Detection — управляет механизмом определения и компенсации зоны недостаточного покрытия для клиентов данной беспроводной сети. Рекомендуется отключать для гостевых WLAN
    • Enable Session Timeout, Session Timeout (secs) — включает и определяет тайм-аут сессии клиента при веб-авторизации
    • Aironet IE — включает специфичные для Cisco расширения параметров beacon кадра. Умные клиентские адаптеры в таком случае работаю лучше (роуминг, энергосбережение), глупые могут вообще не заработать в такой сети.
    • Diagnostic Channel — активирует дополнительный логический канал диагностики для CCX5-совместимых клиентских адаптеров
    • IPv6 — в реальности только разрешает IPv6 трафик для веб-авторизации
    • Override Interface ACL — позволяет задать альтернативный список доступа (ACL) вместо указанного на проводном VLAN (management, dynamic) интерфейсе контроллера.
    • P2P Blocking Action — определяет политику пропускания трафика между беспроводными клиентами (в пределах контроллера). Допустимые значения: Disabled (пропускать), Drop (не пропускать), Forward-UpStream (отправлять на роутер, пусть он решает).
    • Client Exclusion, Timeout Value (secs) — включает и задает тайм-аут исключения (временной блокировки) клиента, авторизация которого в беспроводной сети окончилась неудачно
    • Maximum Allowed Clients — задает максимальное число одновременных ассоциаций с данной сетью
    • Static IP Tunneling — разрешает роуминг между контроллерами клиентам со статическим IP-адресом
    • Off Channel Scanning Defer, Scan Defer Priority — каждая точка иногда «соскакивает» со своего рабочего канала (частоты) и слушает другие каналы на предмет соседних сетей, чистоты спектра, «плохих» абонентов и т.п. При этом такое «соскакивание» может отрицательно сказаться на голосовом трафике, передаваемом данной точкой. Если точка «видит» пакеты со значением 802.1p поля, отмеченного галочкой (0 1 2 3 4 5 6 7), то соскок с рабочей састоты будет отложен.
    • Scan Defer Time(msecs) — на сколько миллисекунд отложен
    • H-REAP Local Switching — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети «замыкать» трафик абонентов локально, а не передавать в CAPWAP-туннеле на контроллер
    • H-REAP Local Auth — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети проводить авторизацию локально, а не на контроллере
    • Learn Client IP Address — в режиме H-REAP точка будет рапортовать IP-адрес клиента на контроллер, если тот доступен
    • DHCP Server Override, DHCP Server IP Addr — использовать указанный IP-адрес DHCP-сервера вместо того, который прописан в настройках проводного интерфейса контроллера, на который «замыкается» трафик беспроводных клиентов.
    • DHCP Addr. Assignment — требовать использования DHCP-сервера клиентами данной беспроводной сети (статически настроенные клиенты работать не будут)
    • MFP Client Protection — включать и требовать защиту клиентских фреймов, варианты Disabled (нет), Optional (при наличии возможности) и Required (обязательно, и все ваши клиенты должны поддерживать CCX5)
    • DTIM Period (in beacon intervals) — как часто передавать broadcast/multicast кадры, влияет на энергоэффективность клиентов
    • NAC State — выбирает режим работы совместно с устройством NAC
    • Client Load Balancing — разрешает балансировку клиентов между точками доступа согласно их загруженности
    • Client Band Select — разрешает «выталкивание» клиентов в диапазон 5ГГц, который более предпочтителен в силу меньшей его загруженности
    • Passive Client — разрешает работу клиентских устройств, которые «мало говорят» (вроде Wi-Fi весов)
    • Media Session Snooping — позволяет «подсматривать» в телефонные SIP-сессии
    • Re-anchor Roamed Voice Clients — позволяет принудительно переносить между контроллерами голосовых клиентов, которые находятся в роуминге


    Итак, настроив параметры сети, нажав на кнопочку Apply и не забыв сохранить конфигурацию контроллера, пробуем подключиться. Удачи!
    Метки:
    Поделиться публикацией
    Похожие публикации
    Комментарии 16
    • 0
      Циско вайфай контроллеры достаточно хорошая вещь. Держим 2 контроллера 4400 в «кластере» со 100 точками. Но не все так гладко, как хотелось бы. Вручную прихдилось пилить карту точек для наглядности и более качественного тюнинга. Переодически приходится вручную управлять мощностью сигнала отдельных точек для распределения клиентов по точкам, тк бывает на точку оседает до 30 клиентов разом.
      А вообще развивайте цикл статей, если есть желание, тема обширная и необузданная.
      • 0
        А у вас WCS/NCS есть? Штука полезная.
        Сейчас рейтинг этой статьи — 0, так что развивать цикл статей дальше желания особо нет :)
        • 0
          Антон, не обращайте внимания на рейтинг статьи. Гораздо более важно, сколько человек добавило ее в favs, а сколько с удовольствием прочитали, но не смогли ни поставить плюс, ни добавить в избарнное, т.к. не имеют аккаунта на харе.

          Пожалуйста, продолжайте, таких тем очень не хватает на хабре, и они всегда найдут своего читателя скорее даже через поиск, нежели от постоянных читателей хабра. Такие материалы несут как раз бОльшую пользу, т.к. помогают разобраться в предмете, нежели просто несут информативно-развлекающую составляющую.
          • 0
            Спасибо. Да уж, последнее время на Хабре слишком много стало обзоров китайских андроидфонов.
            Следующую статью попробую написать на тему концепции WPA2-Enterprise.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Действительно, софт и железо контроллеров в партнамбере содержат магические буквы K9, что подразумевает наличие шифрования (протокол обмена данными между контроллером и точками доступа, CAPWAP, использует в качестве транспорта DTLS, а он в свою очередь — AES256). Для кое-кого это красная тряпка. Формально ввезти и продать конечному пользователю оборудование с шифрованием дистрибутор может, но это сопряжено с определенным бумажным геморроем, и дополнительным временем (лицензия, запрос разрешения). Более детально я не в теме. Для контроллеров 5508 есть специальная опция LDPE (они сделали специально для нашего рынка), без шифрования канала данных (подробнее здесь).
            • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            С контроллеров так же здорово собирать статистику по клиентам, как раз недавно писал аналитику:
            image

            image
            • 0
              Спасибо за статью! Сейчас используем 2504 и несколько точек, испытываем проблемы, и ваша статья очень в тему по некоторым пунктам настройки пришлась. Пишите еще и больше, накидаю в карму и куда нужно плюсов, сколько смогу)

              P.S. Совсем не понял этого пункта если честно.
              Off Channel Scanning Defer, Scan Defer Priority — каждая точка иногда «соскакивает» со своего рабочего канала (частоты) и слушает другие каналы на предмет соседних сетей, чистоты спектра, «плохих» абонентов и т.п. При этом такое «соскакивание» может отрицательно сказаться на голосовом трафике, передаваемом данной точкой. Если точка «видит» пакеты со значением 802.1p поля, отмеченного галочкой (0 1 2 3 4 5 6 7), то соскок с рабочей састоты будет отложен.
              • 0
                а что именно тут непонятного? уточните вопрос, попробую подсказать )
              • 0
                Извиняюсь за вопрос немного не в тему. Здесь было упоминание про per user ACL с радиуса. А без контролера его можно получать и применять на точке?
                • 0
                  Хотел задать такой вопрос. В настройках WLAN (Advanced) есть параметр FlexConnect (H-REAP) Local switching. Если все точки и контроллер находятся в одной сети на одном сайте (не удаленный), включение этого режима может дать какие-то преимущества, кроме локальной коммутации пакетов? И есть ли смысл в таком случае (один сайт) включать этот режим. Смотрел Feature Compatibility Matrix, так вот там функционал centralized/local switching практически не отличается, даже работают WEB Auth.
                  • 0
                    FlexConnect не позволит сделать вам guest tunneling, multicast и некоторые другие не вполне важные фичи (например, virtual wlc умеет только такой режим, см. разницу с «нормальным» контроллером). В случае единого сайта при надежной связи контроллера и точек большого смысла менять нет.
                  • 0
                    Кстати, используем точки 2600 и контроллер 2504. Согласно спецификации точки поддерживают ClientLink (для a,g,n), но в GUI интерфейсе такой настройки нет (находил упоминания о том, что ее от туда убрали). В консоли могу ввести команды
                    config 802.11a beamforming global enable
                    config 802.11b beamforming global enable

                    а как тогда быть с G и N?
                  • 0
                    Спасибо за ваш цикл статей. Очень помог начать работать

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.