Описание
Общие сведения
Архитектура решения, при подключении точек доступа (далее ТД) через сеть L2, предполагает, что будут выделены vlan для подсети управления ТД и vlan для подсети пользователей SSID. Для каждого дополнительного SSID будет выделяться новый отдельный vlan. Все vlan будут терминироваться на ESR. Данная схема включения называется WiFi L2. Рассмотрим схему включения на примере, приведенном на рис. 1. Предполагается, что весь комплекс SoftWLC установлен на одном сервере и имеет один адрес для взаимодействия с остальными компонентами системы.
Рис. 1 Схема организации связи при подключении (далее ТД) через L2 сеть доступа.
На приведенной схеме организации связи используются следующие подсети:
vlan | Подсеть | Назначение | Адрес ESR | Адрес SoftWLC |
---|---|---|---|---|
3 | 10.10.10.0/23 | подсеть управления ТД | 10.10.10.1 | |
10 | 100.64.0.0/22 | подсеть клиентов SSID ТД | 100.64.0.1 | |
1200 | 10.20.20.0/28 | подсеть для взаимодействия с комплексом SoftWLC | 10.20.20.1 | 10.20.20.2 |
3500 | 172.16.0.0/28 | подсеть для выхода в сеть Интернет | 172.16.0.2 |
Ниже, на рис. 2, приведена схема архитектуры конфигурации ESR.
Рис. 2 Архитектура конфигурации ESR, при подключении ТД через L2 сеть доступа оператора.
Описание сети
- Выход в сеть Интернет осуществляется в vlan 3500, используя для маршрута по умолчанию шлюз 172.16.0.1 (router-NAT). Выпуск пользователей осуществляется путем маршрутизации на маршрутизатор router-NAT, который выполняет NAT трансляцию адресов пользователей в сеть Интернет.
- Сеть управления ESR находится в vlan 1200, подсеть 10.20.20.0/28, которая так же используется для взаимодействия с комплексом SoftWLC.
- ТД получают IP адрес адрес управления в vlan 3 c DHCP сервера, развернутого на SoftWLC, из сети 10.10.10.0/23. В опции 43, передается адрес SoftWLC-сервера (см. описание конфигурирования опций v1.16_Как сконфигурировать 43 опцию и другие особенности настройки DHCP). При этом ТД отправляет пакеты с адреса управления без vlan-тега, поэтому на коммутаторе, на порту к которому она подключена нужно нетегированный трафик от ТД пометить тегом vlan ID 3. Потом vlan 3 приходит в ESR, где терминируется на саб-интерфейсе gi1/0/1.3, адрес которого (10.10.10.1) будет являться шлюзом по умолчанию для адреса управления ТД.
- На ТД настраивается SSID, с vlan ID 10. Трафик этого SSID будет выходит с точки с тегом 10, поэтому на порту коммутатора, к которому подключена ТД настраиваем vlan 10 в тегированном режиме и приводим его к ESR. На ESR vlan 10 приходит на саб-интерфейсе gi1/0/1.10, адрес которого 100.64.0.1 будет являться шлюзом по умолчанию для пользователей SSID.
- Весь трафик пользователей будет передаваться c vlan 10 на ESR. DHCP запросы клиента, при помощи DHCP-relay ESR будет перенаправляться на SoftWLC.
Трафик управления ТД отправляется без тега vlan. Поэтому для направления этого трафика в нужный vlan необходимо назначить ему нужный тег на порту коммутатора, к которому подключена ТД. Ниже приведен пример настройки для коммутаторов типа MES:
interface gigabitethernet1/0/1 description AP_1 switchport mode trunk switchport trunk allowed vlan add 10 switchport trunk native vlan 3 switchport forbidden default-vlan !
Настройка ESR
Перед выполнением настроек маршрутизатора требуется выполнить сброс конфигурации на дефолтную (подробнее L2/L3 WiFi - Руководство по установке и быстрому запуску). Пример команд соответствует версии ПО ESR 1.11.0.
Включаем управление по протоколам telnet, SSH:
ip telnet server ip ssh server
Создаем профили объектов tcp/udp портов, подсетей:
object-group service dhcp_server port-range 67 exit object-group service dhcp_client port-range 68 exit object-group network MGMT ip prefix 10.10.10.0/23 ip prefix 10.20.20.0/28 exit
На маршрутизаторах типа ESR10/20/100/200/1000 отключаем spanning-tree, т. к. маршрутизатор будет подключаться через один порт:
no spanning-tree
Создаем зоны безопасности:
security zone trusted exit security zone untrusted exit security zone user exit
Настраиваем параметры SNMP, что бы можно было контролировать состояние маршрутизатора со стороны SoftWLC:
Создаем интерфейсы для взаимодействия с подсетями управления и пользователей SSID ТД, комплекса SoftWLC, интернет:
interface gigabitethernet 1/0/1.3 description "AP_MANAGMENT" security-zone trusted ip address 10.10.10.1/23 ip helper-address 10.20.20.2 exit interface gigabitethernet 1/0/1.10 description "AP_SSID_USERS" security-zone user ip address 100.64.0.1/22 ip helper-address 10.20.20.2 exit interface gigabitethernet 1/0/1.1200 description "MANAGMENT" security-zone trusted ip address 10.20.20.1/28 exit interface gigabitethernet 1/0/1.3500 description "INTERNET" security-zone untrusted ip address 172.16.0.2/28 exit
Включаем глобально пересылку DHCP запросов:
ip dhcp-relay
Добавляем шлюз по умолчанию:
ip route 0.0.0.0/0 172.16.0.1
Настраиваем правила файрвола:
#Разрешаем разрешаем маршрутизатору принимать все пакеты из подсетей MGMT: security zone-pair trusted self rule 1 action permit match source-address MGMT enable exit exit #Разрешаем обмен трафиком между зонами trusted в рамках используемых подсетей: security zone-pair trusted trusted rule 1 action permit match source-address MGMT enable exit exit #Разрешаем прохождение любого трафика из зоны trusted к пользователям ТД: security zone-pair trusted user rule 1 action permit enable exit exi #Разрешаем маршрутизатору принимать от пользователей ТД DHCP, что бы они могли получить адреса: security zone-pair user self rule 1 action permit match protocol udp match source-port dhcp_client match destination-port dhcp_server enable exit exit #Разрешаем пользователям продлять адрес, полученный по DHCP: security zone-pair user trusted rule 1 action permit match protocol udp match source-port dhcp_client match destination-port dhcp_server enable exit exit #Разрешаем весь трафик от пользователей в сеть Интернет: security zone-pair user untrusted rule 1 action permit enable exit exit
Приложения
Полная конфигурация ESR
Конфигурация DHCP сервера
Ниже приведен пример конфигурации DHCP сервера, на основе приведенной выше адресации. В качестве DHCP сервера используется ISC-DHCP-SERVER.
Пример настройки NAT на ESR
Если не предполагается использовать сторонний маршрутизатор для выполнения трансляции адресов клиентов в сеть Интернет - то можно выполнить настройку NAT непосредственно на ESR. Ниже приведён пример такой настройки:
Использование интерфейса типа Bridge
При использовании саб-интерфейсов для терминации vlan SSID, для каждого vlan необходимо выделять и использовать отдельную подсеть. Для того, что бы использовать одно адресное пространство для терминирования различных vlan необходимо использовать интерфейс типа "Bridge". В этом случае подсеть пользователей назначается на интерфейс типа "Bridge", а саб-интерфейсы, терминирующие vlan включаются в него. Далее приведен пример конфигурации, когда требуется терминировать в одно адресное пространство два vlanа 10 и 11: