Зачастую в крупной коммерческой организации оказывается недостаточно одной беспроводной сети для покрытия комплекса их требований. Например, популярной моделью является создание на территории заказчика свободной для подключения гостей компании к услуге «Интернет» беспроводной сети, а также реализация ряда безопасных зашифрованных сетей доступа, защищенных паролями для внутреннего использования в компании. Установка дополнительных точек доступа является весьма затратным решением. Точки доступа WEP(WOP)-12AC предоставляют возможность организации нескольких беспроводных сетей в одном устройстве. Эти сети называются виртуальными точками доступа.
Для настройки виртуальной точки доступа вам необходимо перейти в меню VAP в WEB интерфейсе устройства. Как вы знаете, точки доступа WEP(WOP)-12AC имеют 2 физических беспроводных интерфейса. Для каждого физического интерфейса можно определить по 16 виртуальных точек доступа. На каждом физическом интерфейсе по умолчанию включены по одной виртуальной точке доступа. Выключить их можно только при помощи выключения самого физического интерфейса. Все остальные виртуальные точки доступа по умолчанию не активны и могут быть отключены независимо от физического интерфейса. Само собой разумеется, что при выключенном физическом интерфейсе все виртуальные точки доступа, привязанные к нему, также неактивны.
Для каждой виртуальной точки доступа можно настроить ее имя (SSID), номер VLAN, режим безопасности, режим аутентификации по MAC адресу, а также некоторые дополнительные опции. Имя виртуальной точки доступа является уникальным и идентифицирует ее в беспроводной сети. Имя представляет из себя строку с максимальным числом символов: 32. Например, можно установить имя для гостевой виртуальной сети: «CompanyName-Guest», а для внутренней рабочей сети «Company Name-Work».
Назначение VLAN для виртуальной точки доступа будет означать, что из вышестоящей сети провайдера в данную беспроводную сеть будет попадать трафик только из этого VLAN, а на трафик, идущий из беспроводной сети в сеть провайдера будет назначаться тег, соответствующий установленному VLAN. Трафик между точкой доступа и беспроводными клиентами всегда идет в нетегированном виде.
В каждой виртуальной точке доступа существует возможность настройки собственного режима безопасности. Есть 3 режима:
- None – открытый режим, при котором любой клиент может подключиться к виртуальной точке доступа не вводя авторизационные данные. Трафик беспроводной сети при этом не шифруется. К примеру, данный режим можно использовать в гостевой сети, для того, чтобы любой гость компании мог беспрепятственно подключиться к услуге «Интернет», не соприкасаясь с внутренней рабочей сетью компании.
- WPA Personal – режимсертификации устройств беспроводной связи, при котором клиент авторизуется на точке доступа. При этом клиент должен ввести ключ доступа для авторизации в сети, а весь клиентский трафик будет зашифрован. При установке этого режима безопасности на выбор предоставляется 2 версии протоколов: WPA-TKIP и усовершенствованная модель WPA2-AES. Логично, что еще одним обязательным полем ввода является непосредственно ключ (пароль), который клиент должен будет указать при авторизации на точке доступа. Ключ представляет из себя строку, включающую от 8 до 63 символов. Настоятельно рекомендуем использовать пароли, состоящие из комбинации букв в различном регистре, а также цифр. Установка простого пароля, формата «1234567890» делает бессмысленным любой режим безопасности.
- WPA Enterprise – режим сертификации устройств беспроводной связи, при котором клиент авторизуется на централизованном RADIUS сервере. Для настройки данного режима безопасности требуется указать параметры RADIUS сервера (возможно использование до 4 RADIUS серверов одновременно, но с указанием одного активного на данный момент). Также, как и в случае с режимом WPA Personalтребуется указать версии протоколов режима безопасности и ключи для каждого RADIUS сервера. Для еще большего обеспечения безопасности существует возможность указывать списки MACадресов клиентов, которые могут подключаться к конкретной точке доступа. При этом списки разрешенных адресов клиентов можно хранить, как на самой точке доступа, выбирая в селекторе «MACAuthType»опцию «Local», так и на RADIUSсервере, соответственно, выбрав опцию «RADIUS».
Результатом настроек является широкий набор виртуальных точек доступа с различными именами, VLAN, режимами безопасности и паролями, реализованных на одном физическом устройстве.