Пользователь
0,0
рейтинг
5 июня 2013 в 10:22

Администрирование → Беспроводные системы Juniper — первое знакомство tutorial

У меня на столе появился комплект беспроводного (Wi-Fi) оборудования корпоративного класса производства Juniper Networks. Данное решение позволяет организовывать централизованно управляемые сети глобального масштаба на базе специализированного ПО, широкой линейки контроллеров и точек доступа. Изначально разработанное компанией Trapeze (приобретенной Juniper в 2010 году) оборудование и софт продолжают активно развиваться; скоро выйдут 9я версия ПО, и виртуальный контроллер. С ростом популярности беспроводных технологий, наличием Wi-Fi модуля в каждом мобильном устройстве, тенденции к BYOD потребность в «нормальном» техническом решении возникает у все большего числа средних и крупных предприятий. Если вы стоите перед выбором поставщика оборудования, либо такую систему вам уже купили, мой пост (первый из трех по теме) поможет вам сориентироваться, понять что к чему, быстро внедрить железо в эксплуатацию.

0. Принципы организации контроллеро-управляемой сети


Традиционные беспроводные сети строятся на базе «точек доступа» — устройств, обслуживающих обычно одну Wi-Fi сеть (SSID), обеспечивая некоторый уровень защищенности (авторизация, шифрование), управляемость, и связь с проводным участком сети. Сейчас такие устройства стоят менее 100 долларов, хорошо подходят для домашнего применения, либо задач «раздачи интернета» в офис из 10 сотрудников. Потребность в более масштабных системах с единым центром управления привела к появлению беспроводных контроллеров, обслуживающих «поглупевшие» точки доступа. В такой схеме контроллер управляет централизованной авторизацией, SSID, роумингом абонентов, контролирует «долговременные параметры» эфира: мощность, частоту, осуществляет терминацию беспроводных подключений пользователей в проводную среду. Точка доступа отвечает за прием/передачу пакетов в эфир, занимается шифрованием радиоданных, общается с контроллером и передает ему пользовательский трафик в туннеле. В еще более крупных сетях используются специализированные средства управления пулом контроллеров, поддержки информации о мобильности, расширенные средства диагностики и репортинга.

1. Что предлагает Juniper


Линейка беспроводных систем производства Juniper Networks построена как раз по такой схеме.
  • Точки доступа, WLA, представлены набором из пяти устройств, с одним или двумя радио-модулями, разным числом поддерживаемых потоков MIMO, максимальных скоростей, возможностью подключения внешних антенн. Сделаны они в формфакторе «детектора дыма» и предназначены для монтажа на потолок офиса. Питаются через 802.3af PoE, кроме WLA632 (уличный вариант). Возможности подключения консоли, какого-либо интерфейса и кнопок-не имеют.
  • Контроллеров WLC пять типов аппаратных и один виртуальный для VMware, отличаются производительностью (количеством обслуживаемых точек доступа), количеством и скоростью сетевых интерфейсов, наличием второго БП. Есть модели со встроенным маленьким коммутатором PoE, предназначенным для непосредственного включения WLA. Имеют консольный порт и настраиваются через командную строчку.
  • Для управления набором контроллеров через GUI служит программное обеспечение RingMaster (Java-приложение), которое исполняется либо под Windows, либо на отдельном устройстве WLM1200 (одноюнитовый комп), на котором также можно запустить дополнительное ПО SmartPass обеспечения гостевого доступа.


2. Что мы тестировали



В моём распоряжении оказались:
  • контроллер WLA-8 (он же MX-8) с одним БП — две штуки
  • точки доступа WLA532-WW — две штуки
  • межсетевой экран SRX240H PoE — использовался как источник питания точки доступа


Данного набора вполне достаточно для проведения большинства тестов, в том числе с роумингом данных и отказоустойчивостью.

Беспроводной контроллер представляет из себя одноплатный специализированный компьютер на платформе PowerPC, на котором исполняется операционная система MSS (Mobility System Software) версии 8.0.2.2, которая построена на базе Linux. WLA-8 имеет два аплинка и 6 портов с поддержкой PoE, для непосредственного включения точек доступа.


Точка доступа питается по Ethernet, потребляет в пике порядка 15 ватт. Внутри неё исполняется «ответная часть MSS», загружаемая с контроллера. Само устройство смонтировано на увесистом металлическом основании (которое заодно и радиатор), имеет шесть антенн (по три на b/g/n и a/n) для создания пространственно-разнесенных (spatial) потоков данных.


На основе имеющегося оборудования мы попробуем провести инициализацию системы, разберем по шагам первоначальную настройку, и попробуем решить несколько типичных задач. Настраивать контроллеры будем из командной строки, графического интерфейса у них нет, зато есть Ringmaster. В любом случае, для начала просто необходим подготовительный этап.

3. Подготовительный этап


Не устану повторять. Читайте доки. Читайте их до того, как вы начали что-то делать. Конечно, «по ходу работы» можно тоже многому обучиться, тем не менее вы экономите собственное время, раз прочитав до конца документацию производителя, чтобы не наделать очевидных глупостей и переделывать одно и то же много раз. Документация производителя фактически сводится к одной большой книжке: Mobility System Software Configuration Guide. Пожалуйста, не поленитесь прочитать 1000 страниц несложного текста.

Прежде чем открывать коробки, вы должны подготовить ответы на следующие вопросы:
  • Сколько беспроводных контроллеров у вас будет, куда вы их установите, к каким портам ЛВС подключите
  • Сколько у вас точек доступа? Вы их будете подключать к портам PoE контроллеров, либо подключать в ЛВС к существующим PoE коммутаторам?
  • Каковы параметры TCP/IP контроллеров (адреса, номера VLAN, имена DNS) и точек доступа
  • Каковы параметры разворачиваемых беспроводных сетей — имена SSID, методы авторизации, в какой VLAN заворачивается пользовательский трафик и т.п.
  • Будет ли у вас в сети авторизация в RADIUS-сервере? Через домен? Через LDAP?
  • Каковы радио-параметры сети — диапазоны 2.4 и/или 5ГГц, каналы
  • Каковы требования по роумингу клиентов, поддержке голоcа поверх радио, и проч.


3. Инициализация контроллера


При первоначальном включении, либо по команде quickstart контроллер впадает в режим инициализации конфигурации, которой можно управлять через консольный порт (DB9, 9600/8/N/1). Вам предстоит ответь на ряд несложных вопросов:

WLC-1# quickstart
This will erase any existing config. Continue? [n]: y
Answer the following questions. Enter '?' for help. ^C to break out
System Name [MX-8]: WLC-1
Country Code [US]: RU ! выбор кода страны определяет допустимый диапазон рабочих частот точек доступа — обязательный параметр
System IP address []: 172.16.130.30
System IP address netmask []: 255.255.255.0
Default route []: 172.16.130.1
Do you need to use 802.1Q tagged ports for connectivity on the default VLAN? [n]: n
Enable Webview [y]:
Admin username [admin]: anton
Admin password [mandatory]: ****
Enable password [optional]: ****
Do you wish to set the time? [y]:
Enter the date (dd/mm/yy) []: 03/06/13
Enter the time (hh:mm:ss) []: 23:41:00
Enter the timezone []: MSK
Enter the offset (without DST) from GMT for 'MSK' in hh:mm [0:0]: 4:0
Do you wish to configure wireless? [y]: y ! вам предлагают сразу же настроить беспроводную сеть
Enter a clear SSID to use: ssid1 ! это первая беспроводная сеть, которая будет открытой для подключения, с авторизацией через веб-форму
Do you want Web Portal authentication? [y]:
Enter a username to be used with Web Portal, to exit: test
Enter a password for test: ***
Enter a username to be used with Web Portal, to exit:
Do you want to do 802.1x and PEAP-MSCHAPv2? [y]:
Enter a crypto SSID to use: ssid2 ! эта вторая сеть, с авторизацией подключения
Enter a username with which to do PEAP-MSCHAPv2, to exit: test2
Enter a password for test2: ***
Enter a username with which to do PEAP-MSCHAPv2, to exit:
Do you wish to configure access points? [y]: ! здесь вам предлагают сразу настроить ваши локальные точки доступа
Enter a port number [1-6] on which an AP resides, to exit: 5 ! к какому порту конторллера подключена точка
Enter AP model on port 5: WLA532-WW
Enter a port number [1-6] on which an AP resides, to exit:
Do you wish to configure distributed access points? [y]: n ! здесь вам предлагают настроить подключенные к ЛВС точки доступа, это сделаем потом
success: created keypair for ssh
success: Type «save config» to save the configuration
success: change accepted.
*WLC-1# save config
success: configuration saved.
WLC-1#

Значок "*" перед именем устройства означает, что в текущей конфигурации имеются несохраненные изменения.
После такой «базовой настройки» контроллер работает, точка доступа тоже, и к ней можно подключаться (по сетям ssid1 и ssid2). Удивительно, что точка доступа, подключенная непосредственно в контроллер, функционирует вообще без присвоения ей IP-адреса (там поднимается собственная IP-адресация).

Контроллер настраивается очень просто. Войдите в режим enable, далее у вас есть три типа команд: set, clear, show. Операция «commit», как в JunOS, отсутствует.

Сразу же по завершении работы мастера начальной настройки рекомендуется установить набор дополнительных параметров: имя вашего домена и адреса DNS серверов, адрес сервера syslog, NTP, включить SNMP и установить community, задать имя домена мобильности (для роуминга, если у вас несколько контроллеров) и адрес начального устройства (seed) группы мобильности.

4. Подключение точек доступа


Отлично, контроллер настроен, зайдите в его CLI по ssh (локальная консоль больше не нужна).
Точки беспроводного доступа подключаются либо локальном режиме (к порту контроллера), либо в distributed режиме (по IP). Во втором случае в вашей сети должен быть настроен DHCP-сервер, который отдает помимо адресов опцию 43 с адресами контроллеров (её формат — не как у Cisco, а свой). Для облегчения задачи настройки точек доступа «из коробки» (напомним, консольного порта и кнопок у них нет), существует команда set ap auto mode enable, которая «подхватывает» запрашивающие подключение устройства. Можно также задать настройки точки вручную, пользуясь ее «отпечатком» (написан на наклейке на корпусе):

set ap 2 serial-id mg0211508096 model WLA532-WW
set ap 2 name WLA-2
set ap 2 blink enable
set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc
set ap 2 radio 1 mode enable
set ap 2 radio 2 mode enable

Автоматически настроенную точку доступа можно впоследствии переименовать и перенумеровать. Можно посмотреть на список подключенных точек доступа:

WLC-1# show ap status
Flags: o = operational[1], c = configure[0], d = download[0], b = boot[0]
       a = auto AP, m = mesh AP, p/P = mesh portal (ena/actv), r = redundant[0]
       z = remote AP in outage, i/I = insecure (control/control+data)
       u = unencrypted, e/E = encrypted (control/control+data)
Radio: E = enabled - 20MHz channel, S = sentry, s = spectral-data
       W/w = enabled - 40MHz wide channel (HTplus/HTminus)
       D = admin disabled, U = mesh uplink
IP Address: * = AP behind NAT

AP   Flag IP Address      Model        MAC Address       Radio 1 Radio 2 Uptime
---- ---- --------------- ------------ ----------------- ------- ------- ------
   5 o--u Port 5          WLA532-WW    78:19:f7:7c:6a:40 E 11/13 w112/18 02h34m
   2 o--e 172.16.130.110  WLA532-WW    78:19:f7:75:5f:80 E  6/13 w136/21 02h30m


5. Настройка сервис-профилей


Радио работает, надо определить нашу беспроводную сеть (SSID). Потребуется указать её имя, параметры шифрования, авторизации:
set service-profile sp-WiFiAccess ssid-name WiFiAccess ! имя вашей сети
set service-profile sp-WiFiAccess auth-fallthru last-resort
set service-profile sp-WiFiAccess psk-phrase 12345678! пароль (ключ) — потом в конфигурационном файле будет зашифрован
set service-profile sp-WiFiAccess wpa-ie auth-dot1x disable! не используем 802.1х (через RADIUS-сервер)
set service-profile sp-WiFiAccess rsn-ie cipher-ccmp enable! AES/CCMP, он же WPA2
set service-profile sp-WiFiAccess rsn-ie auth-psk enable
set service-profile sp-WiFiAccess rsn-ie auth-dot1x disable
set service-profile sp-WiFiAccess rsn-ie enable
set service-profile sp-WiFiAccess attr vlan-name default
! в какую сеть (VLAN) помещаем клиентов

Все возможные варианты приведены в документации. Если вы планируете использовать одну и ту же сеть (с одинаковыми настройками, конечно) на нескольких контроллерах, необходимо «размножить» сегменты service-profile и radio-profile.

6. Настройка радио-профилей


Теперь необходимо задать настройки радио — определить частотные каналы, диапазоны. Настроек по умолчанию вполне достаточно для начала, поробнее — в документации.
set radio-profile default auto-tune power-config enable

Теперь необходимо применить сервис-профили к радио-профилю:
set radio-profile default service-profile sp-WiFiAccess
и попробовать выподнить клиентское подключение к нашей беспроводной сети WiFiAccess (WPA2-PSK) с паролем 12345678:

WLC-1# show sessions network
User Name             SessID  Type  Address              VLAN            AP/Rdo
--------------------- ------  ----- -------------------- --------------  -------
LR-WiFiAccess-0            2* open  172.16.130.112       default          5/2


Работает!
Вот полный конфиг контроллера
set ip route default 172.16.130.1 1
set ip dns domain k18.netams.com
set ip dns enable
set ip dns server 8.8.8.8 PRIMARY
set log server 172.16.130.100 severity error
set system name WLC-1
set system ip-address 172.16.130.30
set system countrycode RU
set timezone MSK 4 0
set service-profile sp-WiFiAccess ssid-name WiFiAccess
set service-profile sp-WiFiAccess auth-fallthru last-resort
set service-profile sp-WiFiAccess keep-initial-vlan enable
set service-profile sp-WiFiAccess psk-encrypted fffffffffffffffffffffff
set service-profile sp-WiFiAccess wpa-ie auth-dot1x disable
set service-profile sp-WiFiAccess rsn-ie cipher-ccmp enable
set service-profile sp-WiFiAccess rsn-ie cipher-tkip enable
set service-profile sp-WiFiAccess rsn-ie auth-psk enable
set service-profile sp-WiFiAccess rsn-ie auth-dot1x disable
set service-profile sp-WiFiAccess rsn-ie enable
set service-profile sp-WiFiAccess attr vlan-name default
set enablepass password fffffffffffffffffffffff
set radio-profile default auto-tune power-config enable
set radio-profile default 11n channel-width-na 20MHz
set radio-profile default service-profile sp-WiFiAccess
set ap auto mode enable
set ap 2 serial-id mg0211508096 model WLA532-WW  
set ap 2 name WLA-2
set ap 2 blink enable
set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc
set ap 2 radio 1 mode enable
set ap 2 radio 2 mode enable
set ap 5 port 5 model WLA532-WW  
set ap 5 radio 1 mode enable
set ap 5 radio 2 mode enable
set ip snmp server enable
set port poe 5 enable
set snmp protocol v1 disable
set snmp protocol v2c enable
set vlan 1 port 1
set vlan 1 port 2
set vlan 1 port 3
set vlan 1 port 4
set vlan 1 port 6
set vlan 1 port 7
set vlan 1 port 8
set interface 1 ip 172.16.130.30 255.255.255.0
set snmp community name CommunityRO access read-only
set mobility-domain mode seed domain-name LocalMobilityDomain
set mobility-domain member 172.16.130.31
set security acl name portalacl permit udp 0.0.0.0 255.255.255.255 eq 68 0.0.0.0 255.255.255.255 eq 67
set security acl name portalacl deny 0.0.0.0 255.255.255.255 capture
commit security acl portalacl
set ntp enable
set ntp server 83.143.51.50



7. Авторизация через 802.1x


Для корпоративного применения больше подойдет не защищенная одним всем известным ключом (паролем) WPA2-PSK авторизация, а полноценная, по протоколу 802.1x, при помощи RADIUS-сервера и внешней базы данных. В качестве таковых используем FreeRADIUS, работающий в связке с системой биллинга NETAMS 4.0.

set service-profile Secure-DOT1X ssid-name DOT1X
set service-profile Secure-DOT1X 11n short-guard-interval disable
set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable
set service-profile Secure-DOT1X rsn-ie enable
set service-profile Secure-DOT1X attr vlan-name default
set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11
set radius server debian64 mac-addr-format colons

set radio-profile default service-profile Secure-DOT1X

set server group debian64-group members debian64
set accounting dot1x ssid DOT1X ** start-stop debian64-group
set authentication dot1x ssid DOT1X ** pass-through debian64-group


Заведенный в биллинге пользователь при действующей подписке на услугу успешно подключается при вводе верного индивидуального логина-пароля.

8. Итоги


Общее впечатление от испытанного оборудования осталось хорошим. За бортом обзора временно остались роуминг и отказоустойчивость. С точки зрения надежности, безглючности — нареканий нет никаких. Удобство настройки и диагностики через CLI сомнительно, хоть и имеет свои плюсы (копи-паст). По функционалу беспроводная система Juniper обеспечивает всё необходимое для построения большой и сложной системы. По сравнению с главным конкурентом, Cisco Unified Wireless, с точностью до мелочей функции и возможности одинаковы. Существенна разница в именовании одних и тех же сущностей (WLA-access point; service profile-WLAN, remote WLA-FlexConnect), но это вопрос привычки. В любом случае, обе системы основаны на одних и тех же стандартах и протоколах, и несут общую логику организации.

Увы, управлять беспроводной системой через командную строку хоть и можно (доступен весь функционал), но не удобно (в наш век вебдваноль не только пользователи, но и админы любят красивый GUI). К счастью, Juniper предлагает графическую систему централизованного управления набором контроллеров, RingMaster, речь о которой пойдет в следующей статье.

P.S. Автор занимается проектированием и интеграцией систем на базе оборудования разных производителей, но не аффилирован с ними.
Антон Винокуров @antonvn
карма
44,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (13)

  • –1
    А много ли клиентов вообще пользуются такими системами контроллер+точки? У нас обычно все заканчивается подписанием договора на обслуживание сети wi-fi точек, и никаких доп железок.
    • 0
      Много. Не обязательно покупать циско/джун и т.д. Можно пойти по бюджетному пути и купить Ubiquiti (ну сочтите за рекламу, просто сам недавно выбрал UniFI для небольшой офисной сети).
      • 0
        А можно купить домашний d-link. Статья не о том. Если впм требуется развернуть сеть на 1000 абонентов, с филиалами, и UniFi не поможет, хотя для каких-то задач это неплохое решение. Например, оно не пойдет, если вам требуется бесшовный роуминг клиентов между точками доступа, и хоть мало-мальские инструменты диагностики.
        • 0
          Например, оно не пойдет, если вам требуется бесшовный роуминг клиентов между точками доступа, и хоть мало-мальские инструменты диагностики.

          Да лааааааадно?!) Я ничего не имею против джунов и srx'ов в частности. Очень даже их люблю, но! У ubiquity есть бесшовный роуминг, диагностика (с очень качественным веб-гуём), вот это всё. И 1000 сабскрайберов — не проблема, отнюдь.
          www.ubnt.com/unifi
          • 0
            бесшовный роуминг

            К сожалению на данный момент только в бете. Надо дождаться пока уже 3-ю версию допилят.
            • 0
              ZHR работает, тем не менее. И работает хорошо, насколько я могу судить по работе объекта и отсутствию с него жалоб.
        • 0
          А я что, сказал что cisco/juniper зря выброшенные деньги? Отнюдь, я лишь сказал что если нет огромного бюджета, то можно и бюджетное решение найти с контроллер+точки, которое хоть и уступает именитым брендам, но тем не менее намного лучше чем d-link.
      • 0
        Ага, у меня как раз недавно пара unifi сгорела после перепрошивки
  • 0
    Хм, мне наш продажник Cisco говорил, что WiFi решения Juniper сильно проигрывают. Не вспомню точно, какие именно функции он называл.
    • 0
      Спросите вашего продажника Juniper. Он вам скажет, что решения Cisco сильно проигрывают.
      Надо смотреть на детали. И не забывать, что некоторые фичи, упоминаемые в таких сравнениях, в реальной жизни никому не нужны.
      • 0
        Кстати о продажниках, что там с ценами на Juniper? Мой любимый СostСentral ничего не находит, они не продаются на свободном рынке?
  • 0
    Насколько я помню, то srx-ы могут выступать в качестве контролеров для точек доступа, что довольно актуально при развертывании небольших офисов.
  • 0
    Теперь понятно, почему Trapeze не взлетел… Ожидал большего от продукта корпоративного класса. Надеюсь, на почве интеграции будут интересные решения.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.