Эта статья поможет легко настроить базовую сеть Wi-Fi на оборудовании Eltex в короткие сроки, особенно если вы впервые имеете с ним дело и не успели ознакомиться со всем перечнем документации. В данной статье описана пошаговая настройка сети от настройки ESR до настройки SSID на точках доступа.
SoftWLC - программный контроллер Wi-Fi, который обеспечивает целостное решение для создания гостевых и служебных сетей. Программный комплекс SoftWLC объединяет в совместный продукт точки доступа Wi-Fi, коммутаторы доступа и маршрутизаторы производства Eltex. Комплекс позволяет настраивать, обслуживать сети и услуги пользователей в соответствии с разнообразными требованиями заказчика.
Основные модули SoftWLC и их функции
- EMS-сервер
- управление и мониторинг других модулей системы
- прием и обработка SNMP-трапов от компонентов системы
- инициализация и настройка устройств;
- выполнение групповых операций с устройствами
- сигнализация о произошедших авариях
- запуск мониторов по расписанию, контролирующих правильность работы системы
- обеспечение функционирования графического интерфейса пользователя
- мониторинг, с сохранением результатов в кольцевую базу (RRD)
- WEB портал
- Приложение, обеспечивающее работу виртуальных WEB-порталов для авторизации пользователей в Hotspot-сетях
- Конструктор порталов
- Инструмент, позволяющий создавать и настраивать отдельные виртуальные порталы для авторизации в Hotspot-сетях
- Личный кабинет B2B
- предоставления интерфейса по созданию аккаунтов новых абонентов Wi-Fi и базового управления услугой
- Database
- Mysql
- Yandex.ClickHouse (опционально)
- RADIUS-сервер
- обеспечение механизмов ААА
- авторизация WPA-enterprise
- DHCP-сервер
- выдача первичных (внешних) IP-адресов точкам доступа с опцией 43 (11 и 12 подопции) , что позволяет поднимать GRE туннели к ESR
- выдача вторичных (management, туннельных) IP-адресов точкам доступа с опцией 43 (10 и 13 подопции) для управления, обнаружения и автоматической инициализации точек доступа
- выдача IP-адресов для Wi-Fi пользователей, подключающихся к точкам доступа
- классификация DHCP клиентов по 82, 60 опциям и giAddrField
- APB-сервис
- роуминг пользователей, подключившихся при помощи авторизации на WEB-портале
- настройка и передача списков белых адресов при портальной авторизации
- Notification Gateway
- централизованный обмен элементов платформы с внешними системами (SMS-шлюзами, Call-центрами и серверами электронной почты) посредством протоколов SMTP, SMPP, HTTP, WebSocket
- PCRF
- авторизации, аутентификации Wi-Fi пользователей, подключающихся при помощи BRAS (позволяет обслуживать пользователей, используя точки доступа сторонних производителей)
- сбор аккаунтинга для всех механизмов авторизации и передача его в базу данных
- контроль за количеством одновременных сессий Wi-Fi пользователей для всех механизмов авторизации
- деаутентификация Wi-Fi пользователей, авторизующихся в режимах WPA-enterprise и через BRAS
- Airtune
Управление радиоресурсами точек доступа
- NBI
- связь между компонентами SoftWLC по протоколу SOAP
- поддержка работы сервисов
- Личный кабинет
- Конструктор портал
- PCRF
- генерация сертификатов для TLS авторизации
- Назначение ESR
При необходимости добавить на точки доступа новый SSID в отдельном VLAN, придется этот VLAN настроить на все коммутаторах. На большой сети это весьма трудоемкая задача. Для упрощения построения сети используется ESR, с помощью которого между ТД и маршрутизатором строятся туннели, которые скрывают MAC-адреса Wi-Fi клиентов и этими MAC-адресами не забиваются таблицы сетевого оборудования, через которое эти туннели проходят. При такой настройке, коммутаторы не знают какие VLAN используются внутри туннеля, следовательно, настраивать их не придется.
Настройка ESR
Настройка ESR при подключении ТД через L2 сеть доступа (схема WiFi L2)
Архитектура решения, при подключении точек доступа через сеть L2, предполагает, что будут выделены VLAN для подсети управления ТД и VLAN для подсети пользователей SSID. Для каждого дополнительного SSID будет выделяться новый отдельный VLAN. Все VLAN будут терминироваться на ESR. Данная схема включения называется WiFi L2.
Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3)
Выделение и настройка VLAN при подключении новых ТД может оказаться трудоемкой задачей. Так же не всегда возможно обеспечить L2 канал от ТД до ESR. В этом случае необходимо использовать схему подключения ТД через L3 сеть оператора. Архитектура решения предполагает, что в сети доступа оператора обеспечивается L3 связность между ESR, SoftWLC и первичным адресом ТД. В этом случае ТД строит L2 GRE (EoGRE) туннели, что избавляет от необходимости прокладывать VLAN через сеть доступа оператора от ТД к ESR - достаточно терминировать VLAN ТД на любом маршрутизаторе или L3 коммутаторе, поддерживающем DHCP-relay, что бы выдать ТД первичный адрес, в котором в опции 43 будут содержаться адреса ESR для постройки GRE туннелей. Со стороны ESR настраивается функционал автоматического поднятия встречных туннелей, называемый wireless-controller. Данная схема включения называется WiFi L3.
Резервирование ESR
Резервирование ESR осуществляется с помощью протокола VRRP, по схеме "Active-Standby";
для исключения коммутатора, к которому подключен ESR как единой точки отказа, используется включение в стек коммутаторов с использованием агрегирования каналов. Физические линки ESR, использующиеся в агрегированном канале включается в разные коммутаторы стека.
Обработку трафика выполняет ESR VRRP MASTER. В случае его отказа VRRP мастерство захватывает ESR VRRP BACKUP.
Инструкция по настройке резервирования ESR находится здесь.
BRAS/BRAS в vrf. L3 WiFi - руководство по настройке с резервированием
Функционал BRAS в схеме включения L3 поддерживается сервисными маршрутизаторами Элтекс ESR-100/200/1000/1200/1500/1700. Данный функционал позволяет предоставить возможность идентификации пользователей Wi-Fi, подключающихся к точкам доступа производства различных производителей. В общем виде от BRAS требуются следующие функции:
- При приеме пользовательского трафика нужно понять, авторизован этот пользователь WiFi в системе или нет;
- Если пользователь WiFi авторизован, то пустить его в Интернет. Если не авторизован, то перенаправить его на Портал авторизации, где он должен подтвердить свою личность (с помощью SMS, звонка или учетной записи ЕСИА);
- После того, как пользователь WiFi авторизовался на Портале, BRAS должен узнать об этом, применив к трафику пользователя WiFi различные политики доступа;
- В процессе обработки трафика пользователей WiFi BRAS должен считать и пересылать статистику вышестоящей системе для ее последующего анализа и хранения.
BRAS является исполнительным механизмом, применяющим определенные политики к трафику пользователей WiFi в соответствии с директивами, которые передаются ему от вышестоящей системы SoftWLC, в которой как раз принимаются решения на основании данных, передаваемых BRAS. В составе SoftWLC с BRAS взаимодействуют и пересылают ему директивы по работе с пользователями WiFi модуль Eltex-PCRF.
Настройка DHCP-сервера
В качестве DHCP сервера используется свободное решение ISC-DHCP-SERVER (можно использовать любой другой dhcp-сервер). Применительно к проекту Eltex.SoftWLC данное ПО позволяет решать задачи:
- Выдача первичных (внешних) IP-адресов точкам доступа с опцией 43 (11 и 12 подопции) , что позволяет поднимать GRE туннели к ESR.
- Выдача вторичных (management, туннельных) IP-адресов точкам доступа с опцией 43 (10 и 13 подопции) для управления, обнаружения и автоматической инициализации точек доступа.
- Выдача IP-адресов для Wi-Fi пользователей, подключающихся к точкам доступа.
- Классификация DHCP клиентов по 82, 60 опциям и giAddrField.
Инструкция по настройке DHCP-сервера находится по ссылке.
Конфигурация 43 опции
Конфигурирование опции 43 при настройке DHCP-сервера необходимо:
- для того, чтобы точка доступа при своем появлении в сети отправила на сервер SoftWLC SNMP-трап обнаружения (подопция 10);
- для поднятия GRE-туннелей (подпопция 11 и 12);
- для настройки автоконфигурирования ТД (подопция 6);
- для указания принадлежности точки доступа определенному участку сети оператора (подопция 13).
Прежде чем точки доступа станут активными компонентами сети, они должны обнаружить контроллер. Точка доступа поддерживает следующие процессы обнаружения контроллера.
- ТД, при подключении к коммутатору, выполняет широковещательный запрос обнаружения (255.255.255.255) для поиска контроллеров в одной подсети/сети VLAN;
- Обнаружение локально хранящегося IP-адреса контроллера. Если ТД ранее уже присоединялась к контроллеру, IP-адрес контроллера хранятся в энергонезависимой памяти точки доступа;
- Обнаружение протокола DHCP-сервера. Эта функция использует опцию 43 протокола DHCP-сервера для предоставления точкам доступа IP-адреса контроллера.
Ознакомиться с настройкой 43 опции на DHCP-сервере можно по ссылке.
Подготовка к установке
Первым этапом, необходимо установить контроллер SoftWLC на сервер. Подробную инструкцию по установке смотрите здесь.
Для установки SoftWLC в минимальной конфигурации нам понадобится сервер со следующими параметрами:
Оперативная память не менее 8 Гб
CPU >= 2200 MHz
Память жесткого диска >= 35 Gb
Выход в Интернет
Операционная система Ubuntu Server 18.04 LTS
Подробнее о требованиях к серверу смотрите по ссылке.
Резервирование SoftWLC
Резервирование контроллеров SoftWLC необходимо для синхронизации критичных для работы системы файлов (настройки, файлы прошивок, выгрузки данных), баз данных MySQL, а также DHCP серверов. Такая схема обеспечивает доступность услуги и актуальные данные на обоих контроллерах при выходе одного из строя, недоступности сети, проблем с электропитанием.
Настройка резервирования контроллеров SoftWLC состоит из следующих этапов:
- Установка и настройка keepalived;
- Настройка rsync;
- Настройка репликации MySQL;
Документация по настройке резервирования находится здесь.
Инициализация ТД
Чтобы начать работу с ТД с помощью контроллера, следует инициализировать ее в EMS. Для того, чтобы устройство пришло на инициализацию, необходимо следующее:
- Подключите точку доступа к сети в соответствии со схемой. При включении точка доступа получит адрес по DHCP.
- Чтобы точка сообщила контроллеру о своем появлении в сети, необходимо настроить 43 опцию 10 подопцию DHCP, в которой будет передаваться IP SoftWLC.
- Точка доступа автоматически появится в EMS во вкладке "Инициализация ТД Wi-Fi".
Для инициализации ТД Элтекс требуется наличие правила инициализации ТД для соответствующего типа ТД и привязки инициализации ТД, определяющего узел, в который требуется инициализировать ТД.
- "Правило инициализации ТД" - правило, содержащие тип ТД и действия, которые необходимо выполнить при инициализации данной ТД.
- "Привязка инициализации ТД" - правило, которое определяет, в какой домен следует поместить ТД при выполнении инициализации.
- "Ключ" - признак, определяющий, попадает ли ТД под данную привязку инициализации.
- "Инициализация ТД" - процесс добавления ТД в дерево устройств EMS в соответствии с найденной привязкой инициализации (добавление в таблицу RADIUS, назначение признака OTT, SNMP параметров доступа) и выполнения конфигурирования в соответствии с назначенным шаблоном и привязкам SSID назначенного ей домена.
Данный пункт полностью описан в документации Quickstart Инициализация точек доступа.
Создание SSID с Enterprise авторизацией
Для настройки Enterprise авторизации, ключевым моментом является настройка RADIUS. Контроллер SoftWLC работает с реализацией FreeRADIUS. Для обмена данными с сервером RADIUS используется протокол UDP (User Datagram Protocol) по принципу «клиент-сервер». В роли клиента выступает точка доступа, которая обращается к серверу RADIUS с запросами о проверке учётных записей.
Порядок взаимодействия ТД и eltex-radius:
Пользователь подключает устройство (корпоративный ноутбук или любое другое). Для этого он вызывает соответствующий интерфейс для настройки. Появляется окно подключения, где он вводит логин и пароль.
- Точка доступа принимает эти данные и для проверки аутентификации передаёт на сервер RADIUS.
- Сервер RADIUS проверяет в базе данных MySQL данного пользователя и его пароль, и, в зависимости от результата, возвращает одно из значений: «Accepted» (Принято) или «Rejected» (Отклонено).
- При получении «Accepted» (Принято) между клиентом и точкой доступа происходит обмен индивидуальными ключами шифрования, действующими только на время, установленное для данной сессии.
Для настройки SSID с Enterprise авторизацией, воспользуйтесь следующей инструкцией.
В eltex-radius есть возможность проксирования на сторонний сервер.
Когда беспроводной клиент хочет подключиться к сети Wi-Fi, он отправляет запрос на доступ к беспроводной точке доступа. После того, как точка доступа получит учетные данные пользователя, она отправит эту информацию на сервер eltex-radius, который перенаправит запрос на подключение на внешний radius сервер. Внешний radius сервер проанализирует указанный запрос и разрешит или отклонит учетные данные. Если введенные учетные данные верны, мы сможем без проблем подключиться к беспроводной сети, в противном случае будет возвращена ошибка аутентификации.
Также, можно настроить взаимодействие SoftWLC с Microsoft Active Directory (AD) и Certificate Services (CS).
Создание SSID с портальной авторизацией
В состав SoftWLC включен WEB-портал, с помощью которого реализуется модель авторизации hotspot-клиентов. Неизвестный системе пользователь может свободно (без получения заранее логина и пароля) подключиться к точке доступа, но при попытке выйти в интернет через браузер пользователь перенаправляется на страницу WEB-портала, на которой может по выбору пройти процедуру авторизации или получения авторизационных данных (например, с помощью SMS). В процессе выполнения процедур авторизации абонент может наблюдать рекламные сообщения в виде баннеров, кастомизированных в соответствии с требованиями оператора.
Для кастомизации WEB-портала в SoftWLC включен Конструктор Порталов, с помощью которого пользователи могут настраивать сценарии работы и внешний вид порталов, используемых при Hotspot-авторизации. Пользователи Конструктора могут создавать и удалять порталы, выбирать их фон и содержание (текст, изображения), устанавливать различные режимы и сценарии авторизации для каждого из порталов. Сам по себе Конструктор не выполняет никаких действий в цепочке предоставления услуги абонентом. Это инструмент, служащий исключительно для настройки.
Для настройки портальной авторизации понадобится:
- Включить режим «Captive Portal» в настройках точки доступа;
- Создать новый SSID с типом авторизации "Hotspot";
- Добавить SSID привязку к ТД;
- Добавьте тарифный план на RADIUS;
- Активировать тарифный план на портале.
Пошаговую инструкцию настройки можно посмотреть здесь.