В данном разделе приведена информация о способах реализации сети Wi-Fi на базе Enterprise точек доступа и контроллера беспроводной сети Wi-Fi серии WLC (vWLC) производства Eltex.
Будут рассмотрены разные варианты настройки ключевых компонентов сети под управлением контроллера Wi-Fi.
Глоссарий раздела
ТД — Enterprise-точки доступа производства Eltex.
VAP (виртуальная точка доступа) — виртуальный радиоинтерфейс, вещающий определенный SSID.
SSID (Service Set Identifier) — идентификатор беспроводной сети.
DHCP-server — сетевой сервер, позволяет назначать IP-адреса сетевым устройствам и передавать дополнительные сетевые параметры: адреса серверов, адреса шлюзов сети и т. д. В данном гайде используется также для выдачи подопций для построения soft-gre data туннелей и включения точек доступа в контроллер. Размещение DHCP-сервера на контроллере позволяет получить законченное решение для поддержки локальной сети.
RADIUS-server — сервер AAA (аутентификация, авторизация, аккаунтинг). Отвечает за прием клиентских запросов, идентификацию пользователей и возврат клиенту всех конфигурационных параметров, требуемых для предоставления пользователю соответствующих услуг.
Основные функции протокола:
- Аутентификация — процесс проверки подлинности пользователя;
- Авторизация — процесс предоставления пользователю прав на выполнение действий;
- Учёт (аккаунтинг) — процесс записи информации об использовании ресурсов пользователем.
NAS (Network Access Server) — устройство, которое находится на границе сети и обеспечивает контролируемый доступ к данной сети на основе идентификации (аутентификации) пользователя и политик предоставления доступа (авторизации). Выступая в качестве клиента RADIUS, NAS отвечает за взаимодействие с сервером RADIUS и передачу данных аутентификации о клиенте, получаемых от клиента (wpa-supplicant), а также за предоставление доступа к сети на основании политик доступа, предоставленных сервером RADIUS. В решениях ELTEX NAS-ом является точка доступа.
Проксирование — механизм, при котором запрос от клиента к серверу (в рассматриваемом случае, к внешнему RADIUS-серверу) проходит через промежуточный прокси-сервер. Прокси-сервер действует как посредник, пересылая запросы от клиента к целевому серверу и ответы обратно клиенту. В данном документе проксирование используется для перенаправления запросов от локального к внешнему RADIUS-серверу с целью авторизации клиентов.
RADIUS-proxy — прокси-сервер между NAS и RADIUS-сервером. В данном документе RADIUS-proxy является RADIUS-сервером контроллера WLC. NAS-ом является точка доступа. RADIUS-сервером является стороннее решение, выполняющее функции AAA-сервера (FreeRADIUS, Microsoft NPS, Cisco ISE и т. д.).
SSID (Service Set Identifier) — идентификатор (имя) сети Wi-Fi. Может быть скрытым: тогда вещающая сеть не будет анонсировать свое имя в эфире и, чтобы подключиться к данной сети, необходимо будет произвести настройки на клиентском устройстве вручную.
Enterprise-авторизация — метод управления доступом к беспроводной сети, преимущественно в корпоративной среде, основанный на протоколе 802.1X. Она построена на базе EAPOL-обмена между клиентом (wpa_supplicant), NAS (точкой доступа) и сервером AAA (RADIUS-сервером). В рамках Enterprise-авторизации могут быть использованы разные методы EAP (PEAP, TLS, TEAP и т. д.).
Портальная авторизация (Captive Portal) — самостоятельная регистрация, аутентификация и авторизация пользователей в открытых WI-FI сетях для получения доступа к глобальной сети Интернет. В рамках данной технологии осуществляется перенаправление новых (неизвестных) пользователей на специально созданный HTTP/HTTPS-портал (Captive Portal) с формой регистрации и последующим подтверждением регистрационных данных:
- Посредством кода подтверждения;
- Посредством подтверждения через соцсети;
- Через портал Госуслуг и пр.
Код подтверждения может передаваться при помощи SMS-уведомления, входящего/исходящего звонка, e-mail и т. д.
Object-group — позволяет создавать группы объектов, которые впоследствии можно применить в разных модулях конфигурации (например, access-list, правила firewall и т. д) на WLC. Это упрощает настройку политик и правил, позволяя применять их к целым группам, а не к отдельным элементам.
Local switching — схема включения ТД ELTEX, которая позволяет реализовать выпуск клиентов локально в месте подключения ТД, не используя GRE-туннелирование. Для каждого SSID можно выбрать режим tunnel или local switching.
Central switching — режим работы, при котором пользовательский трафик проходит через контроллер.
Airtune — сервис, основной функцией которого является оптимизация характеристик (TPC/DCA) точек доступа в зависимости от текущих условий, а также обеспечение функционирование бесшовного роуминга (поддержка стандартов 802.11 k/r/v).
Probe request — специальный фрейм, который Wi-Fi-клиент отправляет по частотным каналам, чтобы найти доступные беспроводные сети. Это один из механизмов обнаружения сети Wi-Fi. Клиент посылает этот запрос в следующих случаях:
- Клиент включился и ищет доступную сеть для подключения.
- Клиент потерял соединение с текущей ТД и ищет другое устройство для подключения.
- Клиент периодически отправляет запросы, чтобы определить, есть ли поблизости сети с лучшими параметрами для подключения.
Roaming level — уровень сигнала, при котором точка не будет отвечать на probe request клиента.
Minimal-signal — пороговый уровень мощности сигнала, при котором устройство может поддерживать стабильное соединение с точкой доступа.
Timeout — время, через которое точка доступа отключит клиентское устройство при достижении minimal-signal.
IEEE 802.11r — протокол, известный как FT (Fast Transition), который использует предварительное согласование ключей шифрования с несколькими точками доступа. Благодаря этому при переходе к новой точке доступа требуется меньше времени на повторное согласование ключей.
IEEE 802.11k — основной принцип протокола состоит в том, что точка доступа сообщает клиентскому устройству список соседних ТД, параметры их сигнала и частотный канал, на котором они работают. Тем самым клиентское устройство тратит меньшее количество время на сканирование эфира, т.к. НЕ сканирует каналы, на которых не работают соседние ТД. Это, в свою очередь, сокращает время переключения и эфир не нагружается дополнительными запросами.
Dynamic Channel Assignment (DCA) — алгоритм автоматического распределения частотных каналов каждой точки доступа в сети во избежание интерференции между ними.
Transmit Power Control (TPC) — алгоритм управления мощностью передатчиков с целью обеспечения оптимальной зоны покрытия сети и минимизации «конфликтных» областей, где клиент находится в зоне уверенного приема нескольких соседних точек доступа.
Схема сети
