Введение
Организация связи всегда являлась для человека важной задачей. В современном мире любая крупная компания сталкивается с необходимостью организации надежной и эффективной сетевой инфраструктуры. Одним из ключевых элементов такой инфраструктуры является организованная Wi-Fi-сеть, обеспечивающая передачу данных и стабильное соединение между различными устройствами для разворачивания беспроводной инфраструктуры.
Примечания и предупреждения
Подсказки содержат небольшие пояснения, помогающие быстрее освоить работу с оборудованием, или дополнительную информацию.
Примечания содержат важную информацию о настройке оборудования.
Предупреждения информируют пользователя о ситуациях, которые могут нанести вред и привести к некорректной работе системы или потере данных.
Глоссарий
ТД — Enterprise-точки доступа производства Eltex.
Интерференция — процесс, при котором сигналы от разных источников накладываются друг на друга, что приводит к искажению и ухудшению радиосигнала.
SNR (Signal-to-Noise Ratio) — показатель, который отражает соотношение уровня сигнала к шуму.
Band steering — режим, при котором точка доступа будет отказывать устройству в подключении к 2.4 ГГц, если оно поддерживает 5 ГГц.
SSID (Service Set Identifier) — идентификатор (имя) сети Wi-Fi. Может быть скрытым: тогда вещающая сеть не будет анонсировать свое имя в эфире и, чтобы подключиться к данной сети, необходимо будет произвести настройки на клиентском устройстве вручную.
Local switching — схема включения ТД Eltex, которая позволяет реализовать выпуск клиентов локально в месте подключения ТД, не используя GRE-туннелирование. Для каждого SSID можно выбрать режим tunnel или local switching.
Central switching — режим работы, при котором пользовательский трафик проходит через контроллер.
Airtune — сервис, основной функцией которого является оптимизация характеристик (TPC/DCA) точек доступа в зависимости от текущих условий, а также обеспечение функционирования бесшовного роуминга (поддержка стандартов 802.11 k/r/v).
Roaming level — уровень сигнала, при котором точка не будет отвечать на probe request клиента.
Minimal-signal — пороговый уровень мощности сигнала, при котором устройство может поддерживать стабильное соединение с точкой доступа.
Timeout — время, через которое точка доступа отключит клиентское устройство при достижении minimal-signal.
IEEE 802.11r — протокол, известный как FT (Fast Transition), который использует предварительное согласование ключей шифрования с несколькими точками доступа. Благодаря этому при переходе к новой точке доступа требуется меньше времени на повторное согласование ключей.
IEEE 802.11k — основной принцип протокола состоит в том, что точка доступа сообщает клиентскому устройству список соседних ТД, параметры их сигнала и частотный канал, на котором они работают. Тем самым клиентское устройство тратит меньшее количество время на сканирование эфира, т. к. НЕ сканирует каналы, на которых не работают соседние ТД. Это, в свою очередь, сокращает время переключения, и эфир не нагружается дополнительными запросами.
Стандарт работает только для шифрованных сетей стандарта WPA2 и новее.
IEEE 802.11v — при работе данного стандарта AirTune рекомендует клиенту перейти на соседнюю, менее загруженную ТД в рамках локации. Клиентское устройство, получив рекомендацию, оценивает удаленность ТД и принимает решение о переключении.
Предлагаемая схема сети
На схеме ниже представлены различные варианты сценария:
- Коммутация пользовательского трафика с помощью VLAN;
- Прохождение пользовательского трафика в SoftGRE-туннеле.
draw.io
/pages/viewpage.action?pageId=588686454
Возможные продуктовые решения
При выборе оборудования для построения сети в отеле следует учитывать:
- Производительность точки доступа: это особенно важно для помещений с высокой нагрузкой, например лобби или конференц-залов, если они присутствуют в отеле.
- Поддержку band steering, если использование 2.4 Гц важно для устройств умного дома (например, камер видеонаблюдения), либо возможность настройки скрытого SSID.
- Для удобства настройки и мониторинга рекомендуется использовать контроллер беспроводного доступа.
Рекомендуемое оборудование
Точки доступа WEP
| Модель | Стандарт | Размещение | Количество реальных пользователей на ТД | Комментарий |
|---|---|---|---|---|
| WEP-3L | Wi-Fi 6 | Indoor | до 40 | ТД оптимальна для гостиничных номер и не избыточна. Поддерживает одновременное подключение до 40 устройств и максимально 120 клиентов на радио. |
| WEP-3ax | Wi-Fi 6 | Indoor | до 100 | ТД подходит для размещения в лобби или конференц-залах отеля в связи с более высокой производительностью. |
Контроллеры беспроводного доступа WLC
Контроллеры стоит выбирать в зависимости от предполагаемого количества точек доступа и планов по масштабированию сети. В остальном функционал устройств аналогичен.
| Модель | Количество поддерживаемых точек доступа | Количество клиентов | Схема включения клиентов |
|---|---|---|---|
| WLC-15 | 50, доступно расширение до 100 по лицензии | 2000 | Сentralized forwarding, local switching |
| WLC-30 | 150, доступно расширение до 500 по лицензии | 5000 | |
| WLC-3200 | 1000, доступно расширение до 3000 по лицензии | 30000 |
Настройка контроллера
Сначала необходимо обеспечить связность между точкой доступа и контроллером.
Заводская конфигурация контроллера WLC преднастроена таким образом, чтобы от пользователя потребовалось минимум действий для настройки первой работоспособной Wi-Fi сети. При подключении к сети точка доступа запрашивает адрес по DHCP и вместе с ним должна получить URL сервиса инициализации точек доступа в 43 (vendor specific) опции DHCP.
Получив данную опцию, точка доступа приходит на контроллер и появляется в базе обслуживаемых точек доступа (команда для мониторинга списка: show wlc ap). Далее контроллер инициализирует ее в соответствии со своей конфигурацией:
- Выполняет обновление, если версия ПО на точке доступа не соответствует версии, которая размещена на контроллере.
- Устанавливает пароль доступа.
- Выполняет конфигурирование в соответствии с настройками для данной локации (ap-location): выбранными профилями конфигурации и SSID.
Точки доступа могут быть подключены к контроллеру WLC через L2- или L3-сеть предприятия.
Настройка сетевой части
Для этого следует определиться, какую схему вы хотите реализовать:
1. Настройка контроллера с использованием softGRE-туннелей.
Этот вариант подходит, если выделение и настройка VLAN при подключении новых точек доступа является трудоемкой задачей, особенно если на сети предприятия между точками доступа и контроллером используется большое количество коммутаторов. Такое решение даже в L2-сети позволяет упростить подключение точек доступа, так как отсутствует необходимость прокидывать VLAN для каждого SSID через все коммутаторы, так как предполагает построение SoftGRE data-туннелей для передачи пользовательского трафика.
Требует обеспечения L3-связности между точкой доступа и контроллером.
Пример настройки туннелей приведен в разделе "Настройка SoftGRE-туннелей" гайда "Построение сети большого офиса".
2. Коммутирование пользовательского трафика с помощью VLAN
Этот вариант подходит, если у вас небольшая сеть и развёртывание VLAN не представляет сложности или если вы планируете весь пользовательский трафик выпускать локально:
3. Использование гибридной схемы, когда трафик с одних SSID будет передаваться в SoftGre-туннеле на контроллер, с других SSID (настроенных в режиме Local Switching) — обрабатываться локально в зависимости от настроек коммутации.
Используется при необходимости повысить отказоустойчивость для критичных SSID без использования резервирования контроллера, так как при его недоступности клиенты будут продолжать работать. При использовании внешних серверов DHCP и RADIUS также сохраняется возможность подключения новых клиентов.
Настройка сервисов
DHCP
Когда схема выбрана, необходимо настроить DHCP-сервер для того, чтобы точка доступа получила необходимые опции и включилась под управление контроллера.
Пример настройки приведен в разделе "Настройка DHCP" гайда "Построение сети большого офиса".
Также возможно использование внешнего DHCP-сервера. В таком случае необходимо:
На внешнем DHCP-сервере настроить 42 опцию для NTP и 43 опцию с подопциями 12 (если требуется построение SoftGRE-туннелей) и 15 (чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера).
RADIUS-server
RADIUS-server — сервер AAA (аутентификация, авторизация, аккаунтинг). Отвечает за прием клиентских запросов, идентификацию пользователей и возврат клиенту всех конфигурационных параметров, требуемых для предоставления пользователю соответствующих услуг. Основные функции протокола:
- Аутентификация — процесс проверки подлинности пользователя;
- Авторизация — процесс предоставления пользователю прав на выполнение действий;
- Учёт (аккаунтинг) — процесс записи информации об использовании ресурсов пользователем.
При построении сети Wi-Fi встречается несколько вариантов использования RADIUS:
- Используется локальный RADIUS-server, настроенный на контроллере: пример настройки приведен в разделе "Настройка RADIUS" гайда "Построение сети большого офиса".
- Настраивается проксирование запросов на внешний Radius-server с контроллера WLC: пример настройки приведен в разделе "Настройка RADIUS" гайда "Построение сети большого офиса".
- Настраивается прямое обращение точки доступа к указанному Radius-server: пример настройки приведен в разделе "Настройка RADIUS" гайда "Построение сети большого офиса".
Выберите вариант, подходящий под требования вашей сети.
SSID
После того как настройки выполнены и точка доступа включилась под управление контроллера, рекомендуется настроить SSID и выбрать необходимый вам тип авторизации.
| Тип авторизации | Статья | Пояснения |
|---|---|---|
| Настройка авторизации PSK | Используется, если для подключения SSID будет использоваться один общий пароль для всех пользователей. | |
| Enterprise-авторизация | Настройка SSID (Настройка Enterprise-авторизации) | Используется, если для подключения к SSID будет использоваться протокол 802.1х. Авторизация построена на базе EAPOL-обмена между клиентом (wpa_supplicant), NAS (точкой доступа) и сервером AAA (RADIUS-сервером). В рамках Enterprise-авторизации могут быть использованы разные методы EAP (PEAP, TLS, TEAP и т. д.) |
| Портальная авторизация при использовании CaptivePortal продукта NAICE | Настройка портальной авторизации | Используется, если требуется самостоятельная регистрация, аутентификация и авторизация пользователей в открытых сетях Wi-Fi для получения доступа к глобальной сети Интернет. В рамках данной технологии осуществляется перенаправление новых (неизвестных) пользователей на специально созданный HTTP/HTTPS-портал (Captive Portal) с формой регистрации и последующим подтверждением регистрационных данных. |
AirTune
Airtune — это сервис, основной функцией которого является оптимизация характеристик (TPC/DCA) точек доступа в зависимости от текущих условий, а также обеспечение функционирование бесшовного роуминга (поддержка стандартов 802.11 k/r/v).
Сервис AirTune не заменяет собой процедуры радиопланирования, но позволяет провести финальный этап оптимизации сети, а также вести постоянный контроль.
Описание параметров и рекомендованная настройка приведены в разделе "Настройка AirTune" гайда "Построение сети большого офиса".
Радиопланирование
Предварительное радиоизмерение и радиопланирование является залогом стабильного и качественного Wi-Fi соединения.
В статье "Общие принципы радиопланирования" приведены рекомендации по планированию Wi-Fi, в том числе по выбору количества точек доступа.
Для расстановки точек доступа в отеле обычно используется два варианта: в коридоре с расчетом на несколько номеров и непосредственно в номерах. Это зависит от особенностей здания, материала стен.
Если здание старое, с толстыми бетонными/кирпичными стенами, то рекомендуется размещать точки доступа в каждом номере:
В современных зданиях более тонкие межкомнатные стены и размещение точек доступа допускается в шахматном порядке, то есть через номер и в коридоре:
В лобби и конференц-залах, в зависимости от площади и количества предполагаемых пользователей, размещается одна точка доступа по центру или две точки доступа по диагонали.
Мониторинг беспроводной сети
После настройки и монтажа необходимо контролировать беспроводную сеть. Это могут быть:
Мониторинг и управление контроллером и точками доступа в ЕССМ — системе, предназначенной для инвентаризации, управления и мониторинга сетевого оборудования Eltex.
Мониторинг параметров контроллера и точек доступа с помощью ZABBIX:
- Мониторинг параметров WLC в ZABBIX;
- Мониторинг точек доступа в ZABBIX.