Беспроводные контроллеры Wi-Fi от ELTEX: WLC-15, WLC-30, WLC-3200, WLC-3250, WLC-3350 и vWLC .

Контроллеры Wi-Fi – это специализированные программно-аппаратные устройства, с помощью которых осуществляется централизованное управление беспроводными сетями корпоративного уровня. Контроллеры WLC обеспечивают централизованный контроль за работой точек доступа, выполняют функции аутентификацию и авторизацию пользователей Основные функции, которые реализуют контроллеры WLC: аутентификацию и авторизацию, роуминг, и другие функции.

Рассмотрим контроллеры Wi-Fi от ELTEX. Контроллеры WLC/vWLC предназначен для управления беспроводными сетями корпоративного уровня для малого и среднего бизнеса. Устройства позволяют конфигурировать сеть Wi-Fi и добавлять в неё точки доступа производства ELTEX. Контроллеры поддерживают управление различным количеством точек доступа и имеют общий набором функциональных возможностей. Все аппаратные контроллеры построены на аппаратной платформе маршрутизаторов ESR и обладают расширенными функциями маршрутизации. Детально можно познакомиться на сайте производителя https://eltex-co.ru/catalog?group=wireless&sub-group=wi-fi-controllers.

Рассмотрим самые простые и типовые схемы применения контроллеров в небольших корпоративных сетях. В своих тестовых схемах использую виртуальный контроллер vWLC. Из «коробки» контроллер имеет заводскую настройки и позволяет организовать работу беспроводной сети. Все настройки будут справедливы для аппаратных контроллеров WLC. У меня нет лицензии на vWLC поэтому в тестовой среде я использую демо-лицензию. Демо лицензия позволяет использовать ограниченный список доступных функций, но их количества достаточно для знакомства с линейкой устройств WLC. С демо-лицензией доступны следующие характеристики, указанные на сайте производителя:

1. Возможно, подключить 15 ТД к контроллеру;
2. Пропускная способность устройства 1 Мбит/c.

С полным списком ограничения можно познакомиться на сайте производителя.

Рассмотрим простую схему включения контроллера в небольшом офисе:

В представленной схеме, контроллер будет только управлять точками доступа, а весь трафик от пользователей беспроводной сети будет терминироваться на пограничном маршрутизаторе R-1. В данном примере не будем рассматривать схему с GRE, т.к. с демо-лицензией ограничен функционал. Как установить vWLC на ПК или сервер описана на сайте производителя и будем уже настраивать установленный vWLC в виртуальной среде.

Удалим заводскую конфигурацию и создадим собственную.

vwlc# copy system:default-config system:candidate-config
|******************************************| 100% (52B) Configuration loaded successfully.

Настроим контроллер для подключения к коммутатору SW-1.

vwlc# configure
включим разрешение DNS-имен и укажем IP DNS-сервера
vwlc# domain lookup enable
vwlc# domain name-server 8.8.8.8

Настроим интерфейс gigabitethernet 1/0/1

vwlc(config)# interface gigabitethernet 1/0/1
vwlc(config-if-sub)# ip firewall disable
vwlc(config-if-sub)# ip address 10.0.0.1/24
vwlc(config-if-sub)# exit
vwlc(config)#

Настроим DHCP сервер для выдачи адресов точкам доступа и передачи информации по какому адресу находится контроллер, а также адрес синхронизации времени по NTP.

vwlc(config)# ip dhcp-server
vwlc(config)# ip dhcp-server pool AP-POOL
vwlc(config-dhcp-server)# network 10.0.0.0/24
vwlc(config-dhcp-server)# address-range 10.0.0.10-10.0.0.253
vwlc(config-dhcp-server)# default-router 10.0.0.1
vwlc(config-dhcp-server)# dns-server 10.0.0.1

Передадим точке доступа адрес NTP-сервера и укажем точке доступа URL ссылку на контроллер для получения конфигурации и автонастройки:

vwlc(config-dhcp-server)# option 42 ip-address 10.0.0.1
vwlc(config-dhcp-server)# vendor-specific
vwlc(config-dhcp-server-vendor-specific)# suboption 15 ascii-text "https://10.0.0.1:8043"
vwlc(config-dhcp-server-vendor-specific)# exit
vwlc(config-dhcp-server)# exit
vwlc(config)#

Настроим раздел контроллера, отвечающий за функционирования беспроводной сети:

Перейдем в режим настройки беспроводной сети

vwlc(config)# wlc

Укажем IP адрес на котором будем принимать запросы на активацию точек доступа

vwlc(config-wlc)# outside-address 10.0.0.1

Активируем сервис активатор на автоматическое подключение точек доступа и загрузку конфигурации беспроводной сети.

vwlc(config-wlc)# service-activator
vwlc(config-wlc-service-activator)# aps join auto
vwlc(config-wlc-service-activator)# exit

Включим функционал Airtune который отвечает за Radio Recourse Management

vwlc(config-wlc)# airtune
vwlc(config-wlc-airtune)# enable
vwlc(config-wlc-airtune)# exit

Настроим профиль беспроводной SSID сети

Перейдём в режим конфигурирования профиля SSID. Настрои имя сети, к которой будем подключать пользователей.

vwlc(config-wlc)# ssid-profile SSID-PROFILE

Зададим имя беспроводной сети MySSID

vwlc(config-wlc-ssid-profile)# ssid MySSID

Кажем какой режим безопасности будем использовать

vwlc(config-wlc-ssid-profile)# security-mode WPA2

Укажем парольную фразу для подключения к беспроводной сети

vwlc(config-wlc-ssid-profile)# key-wpa ascii-text PA$$WORD
vwlc(config-wlc-ssid-profile)# check-signal-enable
vwlc(config-wlc-ssid-profile)# minimal-signal -80
vwlc(config-wlc-ssid-profile)# roaming-signal -67
vwlc(config-wlc-ssid-profile)# band-steer-mode

Включаем поддержку роуминга

vwlc(config-wlc-ssid-profile)# 802.11r
vwlc(config-wlc-ssid-profile)# 802.11kv

Включаем радиоинтерфейсы 2,4 и 5 ГГЦ

vwlc(config-wlc-ssid-profile)# band 2g
vwlc(config-wlc-ssid-profile)# band 5g
vwlc(config-wlc-ssid-profile)# band 6g

* 6g - если будут использоваться точки доступа с поддержкой Wi-Fi-7

Укажем в каком VLAN будет передаваться пользовательский трафик от точки доступа на коммутатор. Разделив таким образом трафик управления и трафик от пользователей беспроводной сети.

vwlc(config-wlc-ssid-profile)# vlan-id 20
vwlc(config-wlc-ssid-profile)# enable
vwlc(config-wlc-ssid-profile)# exit

Настроим радиопрофили точек доступа. Рекомендуется использовать ширину канала 20 МГц, но на примере радиоинтерфейса 5 ГГц укажем ширину канала 40 МГц. Настроим параметры радиоинтерфейсов точек доступа и укажем какие каналы точка доступа может использовать. Диапазон 2,4 ГГц содержит ограниченное количество не пересекаемых каналов. Рекомендуется использовать 1,6,11 каналы.

vwlc(config-wlc)# radio-2g-profile RADIO-2G
vwlc(config-wlc-radio-2g-profile)# limit-channels 1,6,11
vwlc(config-wlc-radio-2g-profile)# exit

Настроим параметры радиоинтерфейсов точек доступа и укажем какие каналы точка доступа может использовать. Диапазон 5 ГГц содержит больше каналов. Необходимо указать какие каналы поддерживают ваши беспроводные клиенты. В примере указаны все доступные для РФ.

vwlc(config-wlc)# radio-5g-profile RADIO-5G
vwlc(config-wlc-radio-5g-profile)# bandwidth 40
vwlc(config-wlc-radio-5g-profile)# limit-channels 36,40,44,48,52,56,60,64,132,136,140,144,149,153,157,161
vwlc(config-wlc-radio-5g-profile)# exit

Настроим профиль общих настроек точек доступа (пароль для подключения к точке доступа, какие сервисы на точке доступа будут включены: ssh, snmp). Включим возможность подключение к точке доступа по протоколам http(s), ssh, включим SNMP сервер и настроим пароли для на чтение и запись к базе данных с MIB.

vwlc(config-wlc)# ap-profile AP-PROFILE
vwlc(config-wlc-ap-profile)# password ascii-text PASSWORD
vwlc(config-wlc-ap-profile)# services
vwlc(config-wlc-ap-profile-services)# ip ssh server
vwlc(config-wlc-ap-profile-services)# ip http server
vwlc(config-wlc-ap-profile-services)# snmp-server
vwlc(config-wlc-ap-profile-services)# snmp-server community PUBLIC ro
vwlc(config-wlc-ap-profile-services)# exit
vwlc(config-wlc-ap-profile)# exit

Создадим профиль для управления радиоресурсами.

vwlc(config-wlc)# airtune-profile AIRTUNE
vwlc(config-wlc-airtune-profile)# eltex-rrm-scan disable
vwlc(config-wlc-airtune-profile)# optimization time 01:15
wlc(config-wlc-airtune-profile)# optimization mode full
vwlc(config-wlc-airtune-profile)# load-balance sta low 10
vwlc(config-wlc-airtune-profile)# load-balance sta high 25
vwlc(config-wlc-airtune-profile)# exit

Создадим локацию (определим область, в которой точки доступа будут работать по определённым правилам), в которой будут работать наши точки доступа и укажем по правилам (профилям).

vwlc(config-wlc)# ap-location My-LOCATION
vwlc(config-wlc-ap-location)# ap-profile AP-PROFILE
vwlc(config-wlc-ap-location)# airtune-profile AIRTUNE
vwlc(config-wlc-ap-location)# radio-2g-profile RADIO-2G
vwlc(config-wlc-ap-location)# radio-5g-profile RADIO-5G
vwlc(config-wlc-ap-location)# ssid-profile SSID-PROFILE
vwlc(config-wlc-ap-location)# exit

Укажем из какой сети контроллер будет обслуживать точки доступа, «слушать» запросы на подключение к контроллеру и в зависимости из какой сети будут приходить точки доступа к точкам доступа будут применятся сконфигурированные правила.

vwlc(config-wlc)# ip-pool IP-POOL-10-0-0-0
vwlc(config-wlc-ip-pool)# ap-location My-LOCATION
vwlc(config-wlc-ip-pool)# network 10.0.0.0/24
vwlc(config-wlc-ip-pool)# exit

Включим функционал контроллера.

vwlc(config-wlc)# enable
vwlc(config-wlc)# exit
vwlc(config)#

Обязательно нужно настроить на контроллере NTP, чтобы точки доступа смогли получить время от контроллера. Время контроллер будет получать от маршрутизатора R1. Если время не будет синхронизировано точки доступа не будут активированы контроллером!

vwlc(config)# ntp enable

На маршрутизаторе R1 настроен интерфейс с адресом 10.0.0.254. Интерфейс gi-1/0/1 vWLC имеет сетевую связность с R1. На R1 c VLAN=10 настроен адрес 10.0.0.254/24.

vwlc(config)# ntp server 10.0.0.254
vwlc(config-ntp-server)# minpoll 4
wlc(config-ntp-server)# maxpoll 6
vwlc(config-ntp-server)# exit

Далее необходимо применить сконфигурированные параметры.

vwlc(config)# end
wlc-30# commit
wlc-30# confirm

Настроим коммутатор, к которому будет подключены точки доступа и наш vwlc. Рассмотрим простую настрой на коммутаторах серии MES-23xxP. Подключимся к коммутатору и выполним базовые настройки

console#config

Создадим требуемые нам VLAN

console(config)#vlan 10 name MANAGMENT
console(config)#vlan 20 name AP_CLIENTS

В нашем примере контроллере vwlc подключён к первому порту коммутатора, в котором будет передаваться трафик управления точками доступа. Сконфигурируем порт на коммутаторе для приёма тегированного трафика от контроллера.

console(config)#interface GigabitEthernet 1/0/1
console(config-if)#description TO_vWLC
console(config-if)#switchport mode access
console(config-if)#switchport access vlan 10
console(config-if)#switchport forbidden default-vlan
console(config-if)#exit

Настроим порты коммутатора, к которым подключены точки доступа. Трафик управления в VLAN=10, а трафик пользователей в VLAN=20.

console(config)#interface gigabitethernet1/0/2
console(config-if)#switchport mode trunk
console(config-if)#switchport trunk allowed vlan add 20
console(config-if)#switchport trunk native vlan 10
console(config-if)#switchport forbidden default-vlan
console(config-if)#exit

console(config)#interface gigabitethernet1/0/3
console(config-if)#switchport mode trunk
console(config-if)#switchport trunk allowed vlan add 20
console(config-if)#switchport trunk native vlan 10
console(config-if)#switchport forbidden default-vlan
console(config-if)#exit

Настроим интерфейс на коммутаторе до пограничного маршрутизатора. Пользовательский трафик у нас будет уходить сразу на маршрутизатор. На маршрутизаторе настроен NAT и NTP-сервер. В примере трафик будет уходить тегированный в VLAN=10 для синхронизации времени и VLAN=20 трафик пользователей беспроводной сети.

console(config)#interface GigabitEthernet 1/0/10
console(config-if)#description TO_ROUTER
console(config-if)#switchport mode trunk
console(config-if)#switchport trunk allowed vlan add 10,20
console(config-if)#switchport forbidden default-vlan
console(config-if)#exit

Если все настройки выполнены корректно, точки доступа получат IP-адрес от DHCP-сервера, настроенного на контроллере. В примере не рассмотрено конфигурация DHCP-сервера для выдачи IP-адресов пользователям беспроводной сети «MySSID». Пользователи беспроводной сети могут получать IP-адреса либо с контроллера, либо от другого DHCP сервера сконфигурированного в VLAN=20.

Продолжение следует…