Да действительно на Habr.com, есть ряд статей которые описывают достаточно подробно все и вся, что нужно знать о базовых настройках беспроводной сети на базе Беспроводного контроллера Cisco и точек доступа. А также о правильном подходе с точки на точку при бесшовном роуминге для установки этих точек с точки зрения сканирования радиоэфира. И в мире, когда уже существует Wi‑Fi 6, все‑же хочется вернуться на один шаг назад и описать работу и ошибки на которые попадаются чаще всего начинающие администраторы при настройке и монтаже сети предприятия или корпорации.
Почему актуально сейчас — оборудование стоимостью много миллионов рублей, а иногда и долларов теперь становиться доступным посредством модернизации крупных предприятий новинками от крупнейший вендеров, и как следствие приобретением компаниями, которые не могли себе позволить бюджет 1 млн. руб — 10 млн.руб. в прошлом, а теперь с радостью приобретают уже использованное оборудования в рамках экономии бюджета.
Вот собственно эти статьи на Habr.com которые стоит прочесть:
(Мои личные рекомендации)
На Habr.com довольно много интересного и качественного материала надеюсь, на меня не будут обижаться остальные авторы подобного рода статей, которых я не упомянул, но если перечислять можно упомянуть буквально все статьи всех авторов с памяткой для пользователя читайте комментарии там еще больше полезной информации.
И так с чего начинается любая беспроводная сеть, независимо от задачи маленького кафе с тремя точками или целого университета, где нужно дать доступ к сети исходя из разбросанности корпусов, а может крупного бизнеса, где важна безопасность и отказоустойчивость. Как и любая задача, требующая правильного решения, необходимо начинать с планирования! Так как ни один правильно работающий механизм не будет работать без проработанного плана. И так начнем из списка, что нам нужно чтобы построить работающую беспроводную сеть по пунктам:
1. Планирование и инспектирование
Изучаем территорию, которую Вам вручили для покрытия беспроводной сетью.
Необходимо точно понимать материалы стен, перекрытий и кровли зданий, использование тех или иных мебельных и дизайнерских решений, где может присутствовать Кле́тка Фараде́я (см. Вики).
Важным является согласование примерных мест расположения базовых станций и наличие сторонних датчиков в этом периметре таких как пожарная сигнализация или камера наблюдения. Все устройства требуют свое пространство для работы и могут использовать Ваш частотный спектр к которому Мы подойдем при анализе частот позже.
Старайтесь изучить официальную документацию оборудования, которое Вы будете устанавливать обычно вся информация уже существует у самого производителя и содержит материалы в которых есть рекомендации как по установке так и по остальным техническим регламентам.
Количество абонентов от точного до примерного
Важно понимать количество абонентов находящихся как во всей сети он‑лайн так и в каждом помещении по отдельности. Если Вы работаете в крупном бизнес центре или маленькой кафе, а может у себя на даче так или иначе нужно учитывать максимальное и минимальное количество абонентов, которые могут быть авторизированы на точке доступа. От этого будет зависеть как количество точек доступа используемых внутри помещения или этой зоны, так и количество используемых контроллеров или портов используемых в сети, может и самого подхода к устройству настроек сети такого как FlexConnect (Для чего нужен режим H‑REAP/FlexConnect) или Local. Мощности оборудования и каналов связи будут рассчитываться согласно этих же исходных данных. Важно понимать с самого начала на сколько будет загружен Ваш контроллер (контроллеры) и будет ли проходить трафик клиентов через сам контроллер или непосредственно в обход.
Важна информация: Сравнение контроллеров, Точки доступа сравнение, Новая линейка и Работа различных устройств в сетях Cisco, Часто задаваемые вопросы по функциям и системе WLC , Наружные точки доступа .
Приоритет используемых устройств в сети Android, iOS, Linux и т. п.
Основным вопросом возникающим при работе беспроводной сети это планируемый переход с точки на точку клиентов мобильных устройств будь то мобильные телефоны или планшеты, а может и ноутбуки переход которых не настолько критичен по причине более мощного устройства приема и передачи и малого использования этих устройств для передачи видео‑голосового трафика.
Для многих не является секретом тот факт, что помимо технической начинки устройства Ваш софт немаловажен, а в случае с переходом от точки к точке даже и критичен и требует детального рассмотрения и правильной настройки. В большом количестве рекламных материалов можно обнаружить насколько все просто и здорово работает в сетях Cisco и на сколько качественными являются как сами услуги предоставляемые посредством этого оборудования так и работа в передвижении с мобильных устройств. Но не все так просто как кажется и хочется. И не раз приходиться сталкиваться с ситуацией, когда клиенты Android устройств чувствуют себя замечательно, а клиенты iOS (iPhone или iPad) начинают работать не совсем корректно, ровно также как и наоборот настроив iOS устройства Вы получите проблемы с Android клиентами. Факторов таких проблем огромная масса она может скрываться в обработке протоколов безопасности и авторизации на точках или использовании новых протоколов как пример указанные в лучших практиках самого контроллера отключение Aironet IE. (Не все лучшие практики одинаково полезны!)
Внутренние и внешние сервисы, и устройства к которым нужно будет предоставить доступ пользователям Вашей новой сети. Изучение существующей карты сети и ее работы.
Обязательным в реализации работы любой сети будет построение карты сети с описанием всех устройств и часто используемых сервисов, а также приложений которыми будут пользоваться в сети Ваши пользователи. Самый часто востребованный вопрос это осуществления простого доступа к периферийным устройствам таким как принтеры, сканеры (Чаще лучше задавать статические адреса или присваивать привязку адреса на DHCP сервере к MAC). Наиболее популярным является использование систем видеоконференций требующих не только стабильный и широкий канал связи, но и прописанные порты как на Firewall (межсетевом экране) так и на управляемых коммутаторах не забывая о настройках VLAN. Обязательно проверяйте совместимость тех или иных сетевых стандартов и устройств. Большое количество различных брендов в сети ведет к проблемам в дальнейшего централизованного администрирования, но увы иногда неизбежно.
Анализ радиочастот и спектра в который Вам будет необходимо вмешаться как новым пользователям так и новым базовым станциям новой инфраструктуры.
Самое частая ошибка новичков и продвинутых инсталляторов положиться на собственный опыт и пройти с ноутбуком или телефоном раз два изучив радио спектр так скажем на глазок. На самом деле тут требуется очень детальный подход и работа не одного дня. Причиной долгого срока в изучении спектра является присутствие или отсутствие некоторых сетей или пользователей в течении короткого периода времени. Будет правильным изучение не только Wi‑Fi радио спектра, но и других присутствующих помех. Лично от себя могу дать рекомендации по следующему набору оборудования не заходя в значительные затраты (тут лучше воспользоваться отдельным сервисом профессионалов с качественным оборудованием, но получается увы не всегда). Естественно подходя к вопросу таким образом, что в Наших руках нет уже приобретенной линейки оборудования Cisco которым можно сделать сканирование и изучение спектра хотя это также не выход. Так же не будем забывать о нашумевших технологиях Cisco которые помогут упростить жизнь в радио эфире
Cleanair — это спектральный анализатор, встроенный в точку доступа, а точнее в чипсет разработки Cisco. CleanAir обнаружит беспроводную видеокамеру, чужую точку доступа или любое не Wi‑Fi устройство, работающее в диапазоне Wi‑Fi. В результате системный администратор имеет карту помех на временной шкале, оценку влияния помех на качество эфира и производительность сети, а также при определении пороговых значений этих параметров сеть начнет перенастройку на более чистые каналы, при необходимости адаптировав ширину канала и мощность излучения каждой точки доступа.
Теперь CleanAir работает в каналах шириной 160 МГц. (инф. описание технологии взято с официального сайта Cisco).
Clientlink — запатентованная технология Cisco для формирования диаграммы направленности, которая улучшает производительность клиентских устройств стандарта 802.11ac и предыдущих стандартов. Клиентское устройство по сути сообщает точке доступа как усилить сигнал к нему наилучшим образом.
Теперь технология поддерживает широкие каналы и MU‑MIMO. инф. описание технологии взято с официального сайта Cisco)
Надеюсь в Ваших руках будет Android устройство которое позволит использовать несколько подручных программ (это не реклама).
1. Aruba Utilities — хороший инструмент для анализа беспроводных сетей (ссылка на установку):
2. Arinst — увы тут будет нужен технический портативный анализатор спектра от этого производителя (ссылка на установку):
3. WiFi Heatmap — поможет построить карту сети и отобразить прием:
4. NetAnalizer — есть все нужные инструменты scan lan и ping (ссылка на установку):
5. Speedtest — тестирование скорости (ссылка на установку)
2. Бюджет и оборудование (рекомендации)
Независимо достали Вы средства из собственного кармана или Вам предоставили бюджет предприятия для решения поставленной задачи. Всегда постарайтесь просчитать всё необходимое для решения Вашей задачи в случае возникновения непредвиденных ситуаций. В этой связи старайтесь заложить всё, что нужно и может пригодиться по ходу Вашей работы это будет всегда полезно как минимум вернуться с экономией планируемого бюджета всегда лучше, а иметь полное понимание всех затрат будет объективно понятно то к чему Вы придете в итоге.
Очень Важно включить в бюджет запасное оборудование в виде отдельной точки доступа с блоком двумя — тремя блоками питания или инжекторами. Так же не забыть о использовании носителей информации таких как USB‑Flash с целью хранения и установки необходимых дистрибутивов. Дополнительная точка доступа не будет лишней и пригодиться если Вы просчитались в покрытии или требуется поиграть с настройками в отдельной тестовой зоне.
Обязательно изучите предполагаемое оборудование к приобретению и все нюансы работы с Ним, поддерживаемые стандарты и совместимость если Вы собираетесь отойти от подхода использовать моно бренд тем более. К примеру бывают моменты с использованием коммутаторов с поддержкой PoE (список стандартов), стандарт и мощность которых может совпадать с необходимыми параметрами, а работа все же будет не совсем корректной как пример при полной загруженности коммутатора. Рассмотрите аренду или приобретение специализированного оборудования для тестирования проводных соединений с передачей питания сетевой кабельный PoE тестер всегда придется и будет кстати. Позаботьтесь о качественных кабелях, коннекторах и обжимном инструменте так как речь идет о передаче не только данных с низковольтной нагрузкой, а о питании устройств от 24 до 60 В по средствам того же RG45 — разъема и витой паре внимательней отнеситесь к толщине жил витой пары. Обязательно определив место установки оборудования не упустите стоимость крепежа и дополнительных затрат на устройство этого процесса (аренда стремянки или крана также влияет на бюджет Вашего мероприятия, а помощь коллег всегда должна учитывать стоимость работ в час :) Стоимость лицензий вплоть до архиватора также должна учитываться в планировании бюджета. Использование модельного ряда точек доступа так как мы говорим о настройке сети на базе оборудования Cisco важно выбрать желательно единый модельный ряд точек не забыть о приобретении дополнительных креплений для точек, и их характеристиках до того как они будут установлены, неплохо посмотреть их характеристики на официальном сайте (точки доступа) или на других неофициальных ресурсах (Сравнение 1600 vs 2600 vs 3600 серий). И что важнее не забыть о радиочастотном спектре, который официально регламентирован там где Вы собираетесь настраивать Вашу сеть (Постановление Правительства РФ № 539).
3. Установка и настройка
Контроллер это тот же сервер с оптимизированным железом под поставленную задачу. И для удобства и простоты развертывания беспроводной сети даже масштаба предприятия по сугубо моему мнению и опыту лучше приобрести мощный сервер где может находиться не только виртуальная машина с контроллером, но скажем и сервер RADIUS для авторизации клиентов беспроводной сети. Но все же начало настройки Вашей сети лежит в начальной настройке Вашего роутера (коммутатора). Для контроллера Cisco любой конфигурации очень Важным является настройка VLAN (хороший материал по VLAN) и портов, а также объявлением нескольких параметров сети которые будут объявлять параметры обнаружения контроллера точкам доступа. Подробное описание этих процессов хватит на отдельный цикл статей я же обойдусь основными параметрами для настройки, но если детали будут интересны вы всегда вправе написать мне и я постараюсь подробно изложить и эту сторону настройки.
Определим начальный уровень нашей сети так:
Проводной канал (или несколько) с доступом в Интернет
Несколько проводных компьютеров и принтеров
Маршрутизатор
Коммутатор, который используется для организации локальной сети
Ноутбук или ПК на базе ОС Windows на котором Мы будем производить настройку
Сервер для виртуальной машины и несколько точек доступа серии Cisco 3602 c модулем 802.11ac
Проверяем оборудование путем прогонки тестов памяти и жестких дисков.
Проверяем работоспособность всех устройств через доступность по консолям путем подключения консольных проводов.
Берем техническое задание или пишем его на основании требований.
Очищаем все носители информации для установки нового П.О.
Техническое задание для нас
Произвести настройку сети с беспроводным доступом к сети Интернет посредству виртуального контроллера Cisco и точек доступа Cisco 3602. И перемещением мобильного абонента без потери сигнала.
Организация работы:
Установим на компьютер администратора несколько необходимых программ:
PuTTY — клиент для различных протоколов удалённого доступа (скачать можно тут)
Tftpd32 — ПО для организации соединения и загрузки прошивок (скачать)
Производим сборку точки доступа с модулем 802.11ac
Подключаем точку доступа к консольному кабелю COM и порту ПК.
Для корректной настройки лучше удалить предустановленную прошивку и произвести загрузку той, которая будет соответствовать ОС контроллера, оговоримся изначально, речь идет об использовании AiroOS-совместимых конфигураций (информация о релизах). Более ранние версии лучше не рассматривать, так как они очень плохо работают с обновленными мобильными устройствами и новыми стандартами.
Запустим PuTTY и подключаемся к точке доступа посредствам COM. Определим, что сервер DHCP ещё не настроен для объявления данных о контроллере. После загрузки точки Вы можете увидеть следующее приглашение:
AP: - чаще всего когда точка уже сброшена.
Name_AP :> - Может присутствовать любое наименование.
(Как пример: APbc16.6566.9e99)
В том случае если Ваш доступ к персональной части ресурса Cisco (загрузка прошивок Cisco) ограничен на скачивание. Вы легко можете вбить наименование необходимой прошивки в поисковик где обнаружите легкий способ закачки необходимой прошивки для Вас.
Мы удаляем всю информацию из flash и загружаем новую прошивку:
Определим, что для повышения прав пользователя необходимо ввести стандартные имя пользователя и пароль: username: Cisco password: Cisco перед этим необходимо использовать команду ap> enable или en. В том случае если пароль и точка не дает доступ к системе необходимо нажать кнопку mode при подключении питания примерно на 40 сек.
Используем следующие команды для настройки:
ap#delete /force /recursive flash: — (flash: — место где хранятся прошивки для загрузки при включении точки) удаляем все данные и старые прошивки. Часто на экране появляется большое количество информации не смотря на это просто нажмите Enter для отображения приглашения ввода.
ap# reload — перезагрузить точку
ap: set — отобразит текущие настройки адреса их необходимо перезаписать
Производим инициализацию.
ap: tftp_init
ap: flash_init
ap: ether_init
Установим адрес Нашей сети в ручную:
В нашем случае сеть 192.168.1.0/24, адрес ПК администратора с установленным Tftpd32 - 1 92.168.1.167 в этой связи вводим:
ap: IP_ADDR 192.168.1.206
ap: NETMASK 255.255.255.0
ap: DEFAULT_ROUTER 192.168.1.1
tar -xtract tftp://192.168.1.167/ap3g2-k9w8-tar.153-3.JPJ2.tar flash: - не забываем включить Tftpd32, указав папку с Нашей прошивкой: ap3g2-k9w8-tar.153-3.JPJ2.tar (в Нашем случае). Если все сделано правильно то система отобразит загрузку новой версии прошивки.
ap: boot — произведет загрузку точки с новой прошивкой.
Иногда после загрузки также требуется указать ip-адрес контроллера. Это возможно сделать по средствам команды:
ap#: capwap ap controller IP address 1.1.11.1 - (заменить на Ваш адрес контроллера) .
Если Вы все сделали верно Вы увидите:IOS Bootloader - Starting system.
flash is writable
FLASH CHIP: Macronix Mirrorbit (00C2)...
Произведем данную процедуру столько раз сколько у Вас точек доступа.
Настройка системы:
Немало важным является понять устройство работы контроллера и Вам потребуется в первую очередь настройка маршрутизатора сети будь это не виртуализированный или железный контроллер не имеет значения внутренняя система работает посредством получения данных из нескольких источников VLAN. А в случае с виртуальным контроллером тем более так как зачастую используется один порт контроллера.
Ваш виртуальный (или физический) контроллер всегда использует несколько интерфейсов:
Интерфейс управления
Виртуальный интерфейс
Динамический Интерфейс
Интерфейс диспетчера точек доступа
Порт для консольного соединения
В реальных условиях лучше всего разделить данные на следующие категории:
a) Data
b) Trunk
c) Telnet-SSH
d) Manager
Определим минимальные требования к системе для установки виртуальной среды и контроллера. (Возможно и Radius сервера при небольшом кол-ве пользователей) (см. официальную документацию).
2х ядерный процессор
8ГБ ОЗУ
Не менее 10 Гб На жестком диске.
2 Сетевых интерфейса
Скачиваем дистрибутив с официального сайта VMware ESXi.
Загружаем на USB‑Flash, я использую Rufus для подготовки установочной USB‑Flash, после загрузки образа Мы производим начальную установку системы. Как установить саму систему литературы довольно много для Нашей задачи. Стоит остановиться на главном моменте конфигурирования сетевых настроек. Стрелками выбираем «Configure Management Network» — задание параметров управляющей сети.
Нажимаем клавишу «Enter». «Network Adapters» — отображаемые сетевые адаптеры, будут использоваться для управления системой. И они не являются физическими устройствами. Лучше их использовать парами параллельно, но мы выбираем один. Выбор адаптера из списка осуществляется клавишами вверх‑вниз, а выбор или отмена выбора — пробелом. Так как Наша виртуальная среда организована на единственном физическом сервере, то для управления можно выделить один адаптер с подключенным кабелем Ethernet, а второй использовать для настройки VLAN. А третий для общего доступа. Тут есть основная неочевидная настройка, которую Вы можете упустить и Вам придется искать источник проблемы в работе системы. Если посмотреть в мануал по настройке этот шаг описан, но многие не придают этому значения. В нашем случае я как раз остановлюсь на этом моменте. Настройка VLAN адаптера виртуальной машины потребует ввода номера виртуальной сети VLAN и на одном из адаптеров Мы должны указать 4095. (см STEP 12 официального руководства), что откроет доступ ко всем VLAN и приведет к выполнению требования по работе нашей Data Port коммутации. Второму логическому устройству следует указать VLAN используемый непосредственно для Нашей беспроводной сети. Третий логический адаптер в большинстве случаев настраивается по умолчанию с значением VLAN = 0. Важно не забывать, что рекомендуемое количество точек доступа для каждой сети VLAN от 30 до 60. Это ограничение используется для минимизации проблем с повторным соединением при сбое в работе сети. Но эти настройки можно будет производить уже используя клиентский доступ через клиент или web.
(Оговорюсь о настройке для новичков и масса хейта в этой области может умничать сколько угодно, в том смысле, что можно было пойти и другим путем но Мы пошли именно этим).
Итак мы должны соблюдать следующие правила:
На стороне Виртуальной машины один из логических интерфейсов должен быть открыт посредством указания VLAN 4095.
На стороне Виртуальной машины должен быть прописан сервер telnet для коммутации с виртуальным COM портом и будущем доступом к контроллеру через telnet для отладки. (Можно не зацикливаться если Вы выбрали для себя путь отладки через Интерфейс самой виртуальной машины).
Открытые порты межсетевого экрана (зависит от ваших требований):
UDP 69 для TFTP
TCP 80 и/или 443 для HTTP или HTTPS для доступа GUI
TCP 23 и/или 22 для доступа к интерфейсу командной строки посредством Telnet или защищенной командной оболочки (SSH)
Включите данные порты UDP для трафика LWAPP
данные – 12222;
управляющий трафик – 12223.
Включите данные порты UDP для трафика мобильности:
16666 — 16666
16667 — 16667
Включите порты UDP 5246 и 5247 для трафика CAPWAP.
TCP 161 и 162 для SNMP (для системы управления беспроводной сетью — WCS).·
На стороне маршрутизатора обязательно должны быть прописаны VLAN, а сам свич порт должен быть прописан (сконфигурирован) как транк по IEEE 802.1Q (trunk).
В случае использования сети с большим количеством точек и VLAN рекомендуется настроить роуминг с подсетями третьего уровня.
Cisco позволяет использовать сервисы третьего уровня исходя из существования мобильных групп, обеспечивающих механизм объединения ресурсов для поддержки роуминга. При прохождении клиентами процедур аутентификации с одной точки на другую беспроводные контроллеры выполняют проверку каждого клиента в своей базе данных. Таким образом, если клиент относиться к другой мобильной группе, его MAC‑ и IP‑адреса, ассоциированы с безопасностью и идентификаторами другой WLAN и связанная точка доступа переводят клиента на WLAN его группы.
Настройки DHCP (Параметр 43 DHCP) или DNS Ваш будущий IP адрес контроллера или домен — «cisco‑lwapp‑controller@локальный_домен» посредством DNS или DHCP должен вести напрямую в контроллер, а точнее отправлять Ваши точки смотреть туда где Находиться Ваш контроллер. Хотя эти параметры используется если точки доступа расположены в другой подсети лучше всего заблаговременно позаботиться о настройках. (см руководство по устранению проблем)
IP‑адрес DHCP‑сервера желательно не должен находиться в динамической подсети, принадлежащей контроллеру (Рекомендация см. руководство).
Продолжение следует...
