В данном разделе приведена информация о способах реализации сети Wi-Fi на базе Enterprise точек доступа и контроллера беспроводной сети Wi-Fi серии WLC (vWLC) производства ELTEX.
Будут рассмотрены разные варианты настройки ключевых компонентов сети под управлением контроллера Wi-Fi.
ТД — Enterprise-точки доступа производства ELTEX.
VAP (виртуальная точка доступа) — виртуальный радиоинтерфейс, вещающий определенный SSID.
SSID (Service Set Identifier) — идентификатор беспроводной сети.
DHCP-server — сетевой сервер, позволяет назначать IP-адреса сетевым устройствам и передавать дополнительные сетевые параметры: адреса серверов, адреса шлюзов сети и т. д. В данном гайде используется также для выдачи подопций для построения soft-gre data туннелей и включения точек доступа в контроллер. Размещение DHCP-сервера на контроллере позволяет получить законченное решение для поддержки локальной сети.
RADIUS-server — сервер AAA (аутентификация, авторизация, аккаунтинг). Отвечает за прием клиентских запросов, идентификацию пользователей и возврат клиенту всех конфигурационных параметров, требуемых для предоставления пользователю соответствующих услуг.
Основные функции протокола:
NAS (Network Access Server) — устройство, которое находится на границе сети и обеспечивает контролируемый доступ к данной сети на основе идентификации (аутентификации) пользователя и политик предоставления доступа (авторизации). Выступая в качестве клиента RADIUS, NAS отвечает за взаимодействие с сервером RADIUS и передачу данных аутентификации о клиенте, получаемых от клиента (wpa-supplicant), а также за предоставление доступа к сети на основании политик доступа, предоставленных сервером RADIUS. В решениях ELTEX NAS-ом является точка доступа.
Проксирование — механизм, при котором запрос от клиента к серверу (в рассматриваемом случае, к внешнему RADIUS-серверу) проходит через промежуточный прокси-сервер. Прокси-сервер действует как посредник, пересылая запросы от клиента к целевому серверу и ответы обратно клиенту. В данном документе проксирование используется для перенаправления запросов от локального к внешнему RADIUS-серверу с целью авторизации клиентов.
RADIUS-proxy — прокси-сервер между NAS и RADIUS-сервером. В данном документе RADIUS-proxy является RADIUS-сервером контроллера WLC. NAS-ом является точка доступа. RADIUS-сервером является стороннее решение, выполняющее функции AAA-сервера (FreeRADIUS, Microsoft NPS, Cisco ISE и т. д.).
SSID (Service Set Identifier) — идентификатор (имя) сети Wi-Fi. Может быть скрытым: тогда вещающая сеть не будет анонсировать свое имя в эфире и, чтобы подключиться к данной сети, необходимо будет произвести настройки на клиентском устройстве вручную.
Enterprise-авторизация — метод управления доступом к беспроводной сети, преимущественно в корпоративной среде, основанный на протоколе 802.1X. Она построена на базе EAPOL-обмена между клиентом (wpa_supplicant), NAS (точкой доступа) и сервером AAA (RADIUS-сервером). В рамках Enterprise-авторизации могут быть использованы разные методы EAP (PEAP, TLS, TEAP, FAST и т. д.).
Портальная авторизация (Captive Portal) — самостоятельная регистрация, аутентификация и авторизация пользователей в открытых WI-FI сетях для получения доступа к глобальной сети Интернет. В рамках данной технологии осуществляется перенаправление новых (неизвестных) пользователей на специально созданный HTTP/HTTPS-портал (Captive Portal) с формой регистрации и последующим подтверждением регистрационных данных:
Код подтверждения может передаваться при помощи SMS-уведомления, входящего/исходящего звонка, e-mail и т. д.
Object-group — позволяет создавать группы объектов, которые впоследствии можно применить в разных модулях конфигурации (например, access-list, правила firewall и т. д) на WLC. Это упрощает настройку политик и правил, позволяя применять их к целым группам, а не к отдельным элементам.
Local switching — схема включения ТД ELTEX, которая позволяет реализовать выпуск клиентов локально в месте подключения ТД, не используя GRE-туннелирование. При этом управление ТД осуществляется через туннель softGRE. Для каждого SSID можно выбрать режим tunnel или local switching.
Central switching — режим работы, при котором пользовательский трафик проходит через контроллер.
Airtune — сервис, основной функцией которого является оптимизация характеристик (TPC/DCA) точек доступа в зависимости от текущих условий, а также обеспечение функционирование бесшовного роуминга (поддержка стандартов 802.11 k/r/v).
Dynamic Channel Assignment (DCA) — алгоритм автоматического распределения частотных каналов каждой точки доступа в сети во избежание интерференции между ними.
Transmit Power Control (TPC) — алгоритм управления мощностью передатчиков с целью обеспечения оптимальной зоны покрытия сети и минимизации «конфликтных» областей, где клиент находится в зоне уверенного приема нескольких соседних точек доступа.
