Достаточно часто встречается ситуация, когда требуется организовать бесшовное покрытие большой территории и наладить управление беспроводной сетью с большим количеством точек доступа. Поговорим о том, как оптимально реализовать проект: с чего начать, какие параметры учесть, как настроить оборудование и где может ждать подвох. В качестве живого примера возьмем нашу линейку Auranet, куда входят точки доступа корпоративного класса и сетевые контроллеры.
На первом этапе необходимо определиться, какое оборудование и в каком количестве понадобится для построения сети. При этом речь идет не только о контроллерах и точках доступа. Беспроводная сеть не сможет функционировать без поддерживающей ее проводной инфраструктуры. Поэтому на этом этапе стоит принимать в расчет и проводные сегменты, так как, вполне вероятно, их придется модернизировать.
Как определить, подойдет ли существующая проводная инфраструктура для вашей беспроводной сети? Во-первых, на коммутаторах доступа должно быть достаточное количество свободных портов для подключения беспроводного оборудования. Кроме того, современная сеть стандарта IEEE 802.11N/AC предоставляет абонентам вполне высокие скорости доступа, что приводит к ужесточению требований к скоростям проводных интерфейсов, а также производительности проводной части сети в целом. Например, наша потолочная точка доступа CAP300 обладает проводным портом Fast Ethernet (100 Мбит/с), тогда как модель CAP1750 снабжена гигабитным сетевым интерфейсом. Ниже мы покажем, какие скорости могут быть доступны пользователям при подключении к точке доступа CAP1750.
Гигабитная двухдиапазонная потолочная точка доступа Wi‑Fi, поддержка 802.11ac, серия CAP, Auranet
TP-Link CAP1750
Во-вторых, для оптимизации схемы энергоснабжения современные точки доступа могут получать питание не только из внешнего источника, но и через сетевой кабель с помощью технологии PoE (IEEE 802.3af или 802.3at в зависимости от модели) — но для того, чтобы это работало, коммутаторы доступа также должны поддерживать эту технологию.
В-третьих, коммутаторы доступа должны быть управляемыми и поддерживать работу с виртуальными сетями (VLAN), что необходимо в случае, когда беспроводное оборудование использует несколько SSID. К счастью, это умеют практически все коммутаторы, используемые в корпоративном сегменте. Наконец, возможно, придется вносить изменения в СКС — это зависит от итогового количества точек доступа и мест их установки.
Но как понять, сколько точек доступа нужно установить? Как минимум, обратить внимание не только на общий план помещений, но и на места массового скопления пользователей, а также на количество людей, которые могут одновременно пользоваться связью в каждом их них. Об этом мы уже рассказывали раньше — в материале, посвященном построению беспроводной сети в отеле. При этом места массового скопления — это не только конференц-залы или рабочие кабинеты сотрудников, но и торговые центры, образовательные учреждения, холлы гостиниц, лифты, кафе и рестораны, внутренние дворики, а также другие менее очевидные на первый взгляд территории. По факту здесь без грамотной радиочастотной разведки не обойтись. И тут у нас есть возможность помочь нашим клиентам сделать радиопланирование и провести радиочастотное обследование, для чего у нас имеются соответствующие аппаратные и программные средства. Однако грубую оценку количества точек доступа в зависимости от плотности пользователей можно сделать сразу. Программное ограничение для точки доступа CAP1750 составляет 200 беспроводных клиентов (по 100 на каждый радиодиапазон), однако рекомендуемое значение составляет 50 беспроводных клиентов (по 25 на каждый радиодиапазон).
Нужен ли вам контроллер, если у вас всего несколько точек доступа? Ответ на данный вопрос чуть сложнее, чем может показаться на первый взгляд. Архитектура современных беспроводных сетей изменилась, и сейчас пары точек доступа будет достаточно лишь для совсем небольшой сети. Раньше на каждом участке сети покрытие обеспечивала одна точка доступа с передатчиком на максимальной мощности. В современных сетях рекомендуется производить распределенную установку двух или более точек доступа, передатчики которых используются не на полную мощность. Такая архитектура позволяет полноценнее задействовать проводную инфраструктуру, а также добиться более высоких скоростей подключения клиентов за счет использования сложных модуляций, доступных лишь при близком взаимном расположении точки доступа и беспроводного клиента. Контроллер организует централизованное управление — и тут без него не обойтись.
Современная архитектура беспроводной сети также дает дополнительную страховку при поломках оборудования: при выходе из строя одной точки доступа ее функции временно смогут взять на себя соседние беспроводные устройства, что было бы невозможно, если бы за участок отвечала она одна.
Использование диапазона 5 ГГц позволяет разгрузить проблемную частоту 2,4 ГГц, однако, более высокочастотный сигнал сильнее поглощается разнообразными препятствиями, расположенными между приемником и передатчиком, что в некоторых случаях значительно уменьшает область покрытия сети, работающей на частоте 5 ГГц, и опять же приводит нас к необходимости увеличения группировки точек доступа на объекте.
Мы не станем подробно описывать здесь все возможности всех пунктов меню веб-интерфейсов беспроводных контроллеров TP-Link. Вместо этого мы пройдем весь процесс начальной настройки модели AC500 при добавлении контроллера в существующую сеть.
Контроллер беспроводной сети TP-Link AC500 серия CAP, линейка Auranet
Тем, кто хочет подробнее ознакомиться с возможностями, предоставляемыми веб-интерфейсом контроллера, мы рекомендуем воспользоваться эмулятором, доступном на нашем сайте.
Процедура развертывания беспроводной сети достаточно прозрачна и состоит из несколько простых этапов. Начать стоит с подготовки сетевой инфраструктуры к внедрению беспроводного сегмента. Для определенности будем считать, что необходимо обеспечить покрытие беспроводной сетью на объекте, являющемся одним зданием или группой близко расположенных строений, объединенных локальной сетью. Беспроводное оборудование TP-Link обладает возможностью удаленного подключения точек доступа к контроллеру, однако для простоты предположим, что все подключения производятся в рамках одной локальной сети.
Мы решили несколько усложнить задачу пилотного внедрения и использовать существующую проводную инфраструктуру, построенную на базе оборудования другого производителя, а также разместить контроллер и точки доступа в разных подсетях.
Для подключения контроллера AC500 на L3-коммутаторе была создана виртуальная сеть VLAN 101. Подключение контроллера с помощью пятого интерфейса производится к порту Gi0/6 коммутатора, который настроен в режиме транка. Для маршрутизации был создан виртуальный L3-интерфейс (SVI).
switch3560#sho vla bri
VLAN Name Status Ports
— — — — 1 default active Gi0/7
101 AC500 active
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
switch3560#sho run int vla 101
Building configuration…
Current configuration: 108 bytes
!
interface Vlan101
description TP-LINK AC500
ip address 192.168.1.1 255.255.255.0
load-interval 30
end
switch3560#sho run int gi0/6
Building configuration…
Current configuration: 164 bytes
!
interface GigabitEthernet0/6
description AC500
switchport trunk encapsulation dot1q
switchport mode trunk
load-interval 30
spanning-tree portfast trunk
end
Теперь необходимо настроить сам беспроводной контроллер: также создать VLAN 101 и сконфигурировать соответствующий L3-интерфейс. Пятый физический порт контроллера должен работать в режиме транка.
В принципе, порт коммутатора для подключения контроллера может быть настроен и в режиме доступа, однако тогда контроллер сможет лишь маршрутизировать (не коммутировать) пользовательский трафик для тех точек доступа, которые передают его через него в «большую сеть». Но об этом чуть позже.
Для подключения точек доступа мы создаем VLAN 102, в котором будут располагаться их интерфейсы управления. Порты коммутатора также настраиваются в режиме транка.
switch3560#sho vla bri
VLAN Name Status Ports
— — — — 1 default active
101 AC500 active
102 CAP1750 active Gi0/7
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
switch3560#sho run int gi0/7
Building configuration…
Current configuration: 159 bytes
!
interface GigabitEthernet0/7
description TP-Link CAP1750
switchport access vlan 102
switchport trunk encapsulation dot1q
switchport trunk native vlan 102
switchport trunk allowed vlan 1,101-103
switchport mode trunk
load-interval 30
spanning-tree portfast trunk
end
Пожалуй, стоит заострить внимание на том, что в 802.1Q транке между точками доступа и коммутатором в качестве native VLAN был установлен VLAN 102. Такая конфигурация обусловлена тем, что точки доступа отправляют в сеть управляющие фреймы нетегированными. Также необходимо убедиться (и при необходимости отключить), что коммутаторы не тегируют фреймы для native VLAN.
switch3560(config)#no vlan dot1q tag native
switch3560#sho vlan dot1q tag native
dot1q native vlan tagging is disabled
Со стороны точки доступа никакая специальная настройка не требуется, достаточно лишь переключить устройство в режим FIT (активирован по умолчанию) и подключить к соответствующему порту коммутатора.
Настройка L3-интерфейса коммутатора для виртуальной сети, в которую подключаются точки доступа, аналогична той, что уже была произведена для сети контроллера.
switch3560#sho run int vla 102
Building configuration…
Current configuration: 141 bytes
!
interface Vlan102
description TP-LINK CAP1750
ip address 192.168.2.1 255.255.255.0
load-interval 30
end
DHCP-сервер для беспроводного сегмента сети мы решили разместить на L3-коммутаторе. Допускается использование любых сторонних DHCP-серверов, поддерживающих опции 60 и 138.
switch3560#sho run | sec dhcp pool
ip dhcp pool tp-link
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 8.8.8.8 8.8.4.4
option 60 ascii TP-LINK
option 138 ip 192.168.1.2
switch3560#sho ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
— --------------- ---------- ------------- ---- --------------------
50:C7:BF:85:E2:30 192.168.2.2 86105 dhcp-snooping 102 GigabitEthernet0/7
Total number of bindings: 1
При размещении точек доступа и контроллера в одной виртуальной сети можно было бы использовать DHCP-сервер, встроенный в контроллер.
Хорошей практикой является привязка каждого существующего идентификатора беспроводной сети к собственной виртуальной сети, то есть настройка однозначного соответствия между SSID и VLAN. В данном пилотном проекте для простоты мы будем использовать только один SSID, поэтому нам потребуется создать лишь еще один VLAN 103.
switch3560#sho vla bri
VLAN Name Status Ports
— — — — 1 default active
101 AC500 active
102 CAP1750 active
103 client active
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
После того, как виртуальная сеть для клиентского трафика создана, можно переходить непосредственно к созданию новой беспроводной сети и привязке SSID к VLAN.
Основная настройка новой беспроводной сети на этом заканчивается, так как уже в этот момент пользовательские устройства могут успешно подключаться к сети.
Кроме основных параметров администратору доступен для тонкой настройки и ряд вспомогательных опций. Так, например, можно изменить параметры балансировки пользователей между точками доступа и их перераспределение между частотными диапазонами, а также задать параметры работы беспроводных передатчиков.
Беспроводной контроллер совместно с точками доступа может не только запрашивать секретный ключ при подключении к сети, но и производить дополнительную аутентификацию пользователей с использованием RADIUS-сервера.
Кроме того пользователи, подключающиеся ко всем или некоторым SSID и получающие доступ к определенным виртуальным сетям, могут проходить дополнительную аутентификацию на основе MAC-адресов, веб или Onekey.
Пожалуй, одним из самых распространенных способов дополнительной аутентификации является веб-аутентификация, когда пользователь перенаправляется на специальную веб-страничку, где требуется ввести логин и пароль.
Беспроводные контроллеры TP-Link AC50/500 позволяют производить веб-аутентификацию как на основе локального списка пользователей, хранящегося на самом контроллере, так и с использованием удаленного RADIUS-сервера.
Нельзя не отметить, что в последней версии прошивки для беспроводного контроллера AC500 появилась возможность авторизации через Facebook (Facebook Wi-Fi), а также SMS-авторизация с помощью сервиса twilio.
Теперь рассмотрим модели следования трафика беспроводных абонентов в проводной части сети.
В зависимости от взаимного расположения и настроек беспроводного контроллера, точек доступа и проводного сегмента сети возможны несколько типовых моделей движения пользовательского трафика. Их необходимо учитывать при проектировании беспроводной сети, чтобы избежать перегрузки в проводном сегменте. Здесь же стоит отметить, что на данный момент беспроводное оборудование TP-Link не инкапсулирует пользовательские данные в туннель CAPWAP, то есть точки доступа и контроллеры выполняют так называемую локальную коммутацию, что приводит к необходимости либо держать в сети «растянутые» VLAN, либо использовать локальные VLAN с несколькими IP-подсетями.
Данную модель обычно можно встретить в небольших беспроводных сетях, где количество точек доступа относительно невелико. Точки доступа могут подключаться как непосредственно к портам беспроводного контроллера, так и ко вспомогательным коммутаторам с поддержкой PoE или без.
Вне зависимости от того, выполняет ли контроллер коммутацию или маршрутизацию пользовательского трафика, канал между коммутатором и контроллером (Fast Ethernet для модели AC50 и Gigabit Ethernet для модели AC500) может оказаться узким местом.
Данная модель никак не регламентирует взаимное расположение беспроводного контроллера и точек доступа в сети. Принципиальным фактом является такая настройка сетевого оборудования и клиентских устройств, при которой контроллер выполняет функции шлюза по умолчанию для беспроводных клиентов. В этом случае линк между коммутатором и контроллером также окажется перегруженным.
Данная модель наиболее оптимальна с точки зрения производительности, так как беспроводной контроллер полностью исключен из пути передачи пользовательского трафика. Точки доступа по сути выполняют функции моста, связывая беспроводной SSID с VLAN в проводном сегменте. Вся дальнейшая обработка трафика производится проводными коммутаторами и маршрутизаторами.
Применять данную схему оптимально в крупных распределенных сетях с большим количеством точек доступа и беспроводных клиентов. Также стоит отметить, что беспроводные контроллеры TP-Link поддерживают функцию резервирования N+N, работая в отказоустойчивой паре.
Мы решили несколько разбавить описание возможностей контроллера и способов его подключения небольшим тестированием с целью «вживую» показать работу устройства и точек доступа.
Беспроводной контроллер AC500 способен выполнять маршрутизацию трафика для двух портов Gigabit Ethernet на скорости среды в режиме Full Duplex, полностью используя при этом ресурсы обоих ядер процессора. Таким образом с AC500 в роли маршрутизатора пользователи суммарно смогут получить поток 2 Гбит/с большими пакетами.
Нельзя не заметить, что коммутация трафика производится контроллером AC500 практически без использования центрального процессора, что позволяет задействовать в L2-режиме все пять портов Gigabit Ethernet на скорости среды, оставляя при этом ресурсы центрального процессора свободными для выполнения других задач.
Точка доступа CAP1750 предоставляет пользователям максимальную теоретическую скорость 450 Мбит/с в диапазоне 2,4 ГГц и 1,3 Гбит/с в диапазоне 5 ГГц. На практике при использовании модели CAP1750 в диапазоне 2,4 ГГц суммарная скорость одновременной передачи пользовательских данных в обоих направлениях составляет около 260 Мбит/с. Для диапазона 5 ГГц эта величина составляет 620 Мбит/с. Мы решили представить полученные результаты в виде диаграммы.
Ниже перечислены основные характеристики тестового стенда, который использовался для измерений. Все измерения производились для 15 одновременных TCP-соединений. Точка доступа и беспроводной клиент размещались в непосредственной близости друг от друга.
Таким образом, на практике одна точка доступа CAP1750 сможет передавать в проводную сеть около 900 Мбит/с трафика при подключении беспроводных клиентов к обоим частотным диапазонам. Указанные скорости необходимо учитывать при построении или обновлении беспроводной сети, по возможности уменьшая переподписку в проводном сегменте.
Беспроводной контроллер и точки доступа готовы к работе прямо «из коробки», однако мы всегда настоятельно рекомендуем обновить программное обеспечение, предустановленное на устройствах. Новая прошивка не только исправит обнаруженные неточности в коде, но и добавит новые функции. Например, одной из самых интересных новинок для нашего оборудования станет поддержка облачного управления, позволяющая централизованно управлять сразу несколькими беспроводными контроллерами. Такая опция будет востребована в случае очень крупных или распределенных объектов. Также мы занимаемся внедрением поддержки протокола IPv6, что позволит использовать наше беспроводное оборудование в IP-сетях нового поколения. Для сетевых администраторов мы добавили поддержку протокола SNMP, с помощью которого есть возможность централизованного управления устройствами и сбора статистики использования контроллера и точек доступа. А также поддержку командной строки.
Обновление ПО любого из наших беспроводных контроллеров производится с помощью веб-интерфейса. Весь процесс занимает порядка пяти минут и не требует от пользователя никаких специальных знаний.
Способ замены прошивки на точках доступа зависит от режима, в котором они работают: FIT или FAT. В режиме FAT точка доступа выступает в качестве самостоятельного устройства, поэтому смена версии микропрограммного обеспечения производится с помощью веб-интерфейса конкретного аппарата.
При построении беспроводной сети на крупном или сложном объекте для обеспечения непрерывной зоны уверенного покрытия нужно много беспроводных точек доступа. Управление ими (находящимися в режиме FIT) в этом случае производится с помощью беспроводного контроллера. Для обновления их прошивок также необходимо использовать контроллер. Централизованная смена версий микропрограммного обеспечения точек доступа производится с помощью веб-интерфейса контроллера, где необходимо загрузить файл, содержащий новую версию прошивки, а также указать время начала обновления. Также здесь можно просмотреть список точек доступа, которые оно затронет.
Возможность централизованного обновления особенно полезна для беспроводного контроллера AC500, так как данная модель поддерживает одновременно до 500 точек доступа, что делает ручную замену прошивок на сопровождаемом объекте практически невозможной.
Поскольку наш ассортимент оборудования постоянно пополняется, после выхода новой модели (например, CAP1200) необходимо обновить базу данных поддерживаемых устройств на контроллере, чтобы расширить список управляемого оборудования.
Как мы показали выше, установка и настройка оборудования TP-Link предельно проста, а большое количество изменяемых параметров позволяет гибко настроить сеть в соответствии со всеми пожеланиями заказчика. Ниже мы перечислим те ключевые особенности наших продуктов, которые считаем наиболее востребованными и актуальными при построении масштабных сетей:
Выбор оборудования и топологии
На первом этапе необходимо определиться, какое оборудование и в каком количестве понадобится для построения сети. При этом речь идет не только о контроллерах и точках доступа. Беспроводная сеть не сможет функционировать без поддерживающей ее проводной инфраструктуры. Поэтому на этом этапе стоит принимать в расчет и проводные сегменты, так как, вполне вероятно, их придется модернизировать.
Как определить, подойдет ли существующая проводная инфраструктура для вашей беспроводной сети? Во-первых, на коммутаторах доступа должно быть достаточное количество свободных портов для подключения беспроводного оборудования. Кроме того, современная сеть стандарта IEEE 802.11N/AC предоставляет абонентам вполне высокие скорости доступа, что приводит к ужесточению требований к скоростям проводных интерфейсов, а также производительности проводной части сети в целом. Например, наша потолочная точка доступа CAP300 обладает проводным портом Fast Ethernet (100 Мбит/с), тогда как модель CAP1750 снабжена гигабитным сетевым интерфейсом. Ниже мы покажем, какие скорости могут быть доступны пользователям при подключении к точке доступа CAP1750.
Гигабитная двухдиапазонная потолочная точка доступа Wi‑Fi, поддержка 802.11ac, серия CAP, Auranet
TP-Link CAP1750
Во-вторых, для оптимизации схемы энергоснабжения современные точки доступа могут получать питание не только из внешнего источника, но и через сетевой кабель с помощью технологии PoE (IEEE 802.3af или 802.3at в зависимости от модели) — но для того, чтобы это работало, коммутаторы доступа также должны поддерживать эту технологию.
В-третьих, коммутаторы доступа должны быть управляемыми и поддерживать работу с виртуальными сетями (VLAN), что необходимо в случае, когда беспроводное оборудование использует несколько SSID. К счастью, это умеют практически все коммутаторы, используемые в корпоративном сегменте. Наконец, возможно, придется вносить изменения в СКС — это зависит от итогового количества точек доступа и мест их установки.
Но как понять, сколько точек доступа нужно установить? Как минимум, обратить внимание не только на общий план помещений, но и на места массового скопления пользователей, а также на количество людей, которые могут одновременно пользоваться связью в каждом их них. Об этом мы уже рассказывали раньше — в материале, посвященном построению беспроводной сети в отеле. При этом места массового скопления — это не только конференц-залы или рабочие кабинеты сотрудников, но и торговые центры, образовательные учреждения, холлы гостиниц, лифты, кафе и рестораны, внутренние дворики, а также другие менее очевидные на первый взгляд территории. По факту здесь без грамотной радиочастотной разведки не обойтись. И тут у нас есть возможность помочь нашим клиентам сделать радиопланирование и провести радиочастотное обследование, для чего у нас имеются соответствующие аппаратные и программные средства. Однако грубую оценку количества точек доступа в зависимости от плотности пользователей можно сделать сразу. Программное ограничение для точки доступа CAP1750 составляет 200 беспроводных клиентов (по 100 на каждый радиодиапазон), однако рекомендуемое значение составляет 50 беспроводных клиентов (по 25 на каждый радиодиапазон).
Когда нужен контроллер
Нужен ли вам контроллер, если у вас всего несколько точек доступа? Ответ на данный вопрос чуть сложнее, чем может показаться на первый взгляд. Архитектура современных беспроводных сетей изменилась, и сейчас пары точек доступа будет достаточно лишь для совсем небольшой сети. Раньше на каждом участке сети покрытие обеспечивала одна точка доступа с передатчиком на максимальной мощности. В современных сетях рекомендуется производить распределенную установку двух или более точек доступа, передатчики которых используются не на полную мощность. Такая архитектура позволяет полноценнее задействовать проводную инфраструктуру, а также добиться более высоких скоростей подключения клиентов за счет использования сложных модуляций, доступных лишь при близком взаимном расположении точки доступа и беспроводного клиента. Контроллер организует централизованное управление — и тут без него не обойтись.
Современная архитектура беспроводной сети также дает дополнительную страховку при поломках оборудования: при выходе из строя одной точки доступа ее функции временно смогут взять на себя соседние беспроводные устройства, что было бы невозможно, если бы за участок отвечала она одна.
Использование диапазона 5 ГГц позволяет разгрузить проблемную частоту 2,4 ГГц, однако, более высокочастотный сигнал сильнее поглощается разнообразными препятствиями, расположенными между приемником и передатчиком, что в некоторых случаях значительно уменьшает область покрытия сети, работающей на частоте 5 ГГц, и опять же приводит нас к необходимости увеличения группировки точек доступа на объекте.
Настройка контроллера
Мы не станем подробно описывать здесь все возможности всех пунктов меню веб-интерфейсов беспроводных контроллеров TP-Link. Вместо этого мы пройдем весь процесс начальной настройки модели AC500 при добавлении контроллера в существующую сеть.
Контроллер беспроводной сети TP-Link AC500 серия CAP, линейка Auranet
Тем, кто хочет подробнее ознакомиться с возможностями, предоставляемыми веб-интерфейсом контроллера, мы рекомендуем воспользоваться эмулятором, доступном на нашем сайте.
Процедура развертывания беспроводной сети достаточно прозрачна и состоит из несколько простых этапов. Начать стоит с подготовки сетевой инфраструктуры к внедрению беспроводного сегмента. Для определенности будем считать, что необходимо обеспечить покрытие беспроводной сетью на объекте, являющемся одним зданием или группой близко расположенных строений, объединенных локальной сетью. Беспроводное оборудование TP-Link обладает возможностью удаленного подключения точек доступа к контроллеру, однако для простоты предположим, что все подключения производятся в рамках одной локальной сети.
Мы решили несколько усложнить задачу пилотного внедрения и использовать существующую проводную инфраструктуру, построенную на базе оборудования другого производителя, а также разместить контроллер и точки доступа в разных подсетях.
Предварительная настройка проводной части сети (подключение контроллера)
Для подключения контроллера AC500 на L3-коммутаторе была создана виртуальная сеть VLAN 101. Подключение контроллера с помощью пятого интерфейса производится к порту Gi0/6 коммутатора, который настроен в режиме транка. Для маршрутизации был создан виртуальный L3-интерфейс (SVI).
switch3560#sho vla bri
VLAN Name Status Ports
— — — — 1 default active Gi0/7
101 AC500 active
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
switch3560#sho run int vla 101
Building configuration…
Current configuration: 108 bytes
!
interface Vlan101
description TP-LINK AC500
ip address 192.168.1.1 255.255.255.0
load-interval 30
end
switch3560#sho run int gi0/6
Building configuration…
Current configuration: 164 bytes
!
interface GigabitEthernet0/6
description AC500
switchport trunk encapsulation dot1q
switchport mode trunk
load-interval 30
spanning-tree portfast trunk
end
Теперь необходимо настроить сам беспроводной контроллер: также создать VLAN 101 и сконфигурировать соответствующий L3-интерфейс. Пятый физический порт контроллера должен работать в режиме транка.
В принципе, порт коммутатора для подключения контроллера может быть настроен и в режиме доступа, однако тогда контроллер сможет лишь маршрутизировать (не коммутировать) пользовательский трафик для тех точек доступа, которые передают его через него в «большую сеть». Но об этом чуть позже.
Предварительная настройка проводной части сети (подключение точек доступа)
Для подключения точек доступа мы создаем VLAN 102, в котором будут располагаться их интерфейсы управления. Порты коммутатора также настраиваются в режиме транка.
switch3560#sho vla bri
VLAN Name Status Ports
— — — — 1 default active
101 AC500 active
102 CAP1750 active Gi0/7
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
switch3560#sho run int gi0/7
Building configuration…
Current configuration: 159 bytes
!
interface GigabitEthernet0/7
description TP-Link CAP1750
switchport access vlan 102
switchport trunk encapsulation dot1q
switchport trunk native vlan 102
switchport trunk allowed vlan 1,101-103
switchport mode trunk
load-interval 30
spanning-tree portfast trunk
end
Пожалуй, стоит заострить внимание на том, что в 802.1Q транке между точками доступа и коммутатором в качестве native VLAN был установлен VLAN 102. Такая конфигурация обусловлена тем, что точки доступа отправляют в сеть управляющие фреймы нетегированными. Также необходимо убедиться (и при необходимости отключить), что коммутаторы не тегируют фреймы для native VLAN.
switch3560(config)#no vlan dot1q tag native
switch3560#sho vlan dot1q tag native
dot1q native vlan tagging is disabled
Со стороны точки доступа никакая специальная настройка не требуется, достаточно лишь переключить устройство в режим FIT (активирован по умолчанию) и подключить к соответствующему порту коммутатора.
Настройка L3-интерфейса коммутатора для виртуальной сети, в которую подключаются точки доступа, аналогична той, что уже была произведена для сети контроллера.
switch3560#sho run int vla 102
Building configuration…
Current configuration: 141 bytes
!
interface Vlan102
description TP-LINK CAP1750
ip address 192.168.2.1 255.255.255.0
load-interval 30
end
DHCP-сервер для беспроводного сегмента сети мы решили разместить на L3-коммутаторе. Допускается использование любых сторонних DHCP-серверов, поддерживающих опции 60 и 138.
switch3560#sho run | sec dhcp pool
ip dhcp pool tp-link
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 8.8.8.8 8.8.4.4
option 60 ascii TP-LINK
option 138 ip 192.168.1.2
switch3560#sho ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
— --------------- ---------- ------------- ---- --------------------
50:C7:BF:85:E2:30 192.168.2.2 86105 dhcp-snooping 102 GigabitEthernet0/7
Total number of bindings: 1
При размещении точек доступа и контроллера в одной виртуальной сети можно было бы использовать DHCP-сервер, встроенный в контроллер.
Управление идентификаторами беспроводных сетей (SSID)
Хорошей практикой является привязка каждого существующего идентификатора беспроводной сети к собственной виртуальной сети, то есть настройка однозначного соответствия между SSID и VLAN. В данном пилотном проекте для простоты мы будем использовать только один SSID, поэтому нам потребуется создать лишь еще один VLAN 103.
switch3560#sho vla bri
VLAN Name Status Ports
— — — — 1 default active
101 AC500 active
102 CAP1750 active
103 client active
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
После того, как виртуальная сеть для клиентского трафика создана, можно переходить непосредственно к созданию новой беспроводной сети и привязке SSID к VLAN.
Основная настройка новой беспроводной сети на этом заканчивается, так как уже в этот момент пользовательские устройства могут успешно подключаться к сети.
Настройка вспомогательных параметров работы беспроводной сети
Кроме основных параметров администратору доступен для тонкой настройки и ряд вспомогательных опций. Так, например, можно изменить параметры балансировки пользователей между точками доступа и их перераспределение между частотными диапазонами, а также задать параметры работы беспроводных передатчиков.
Аутентификация
Беспроводной контроллер совместно с точками доступа может не только запрашивать секретный ключ при подключении к сети, но и производить дополнительную аутентификацию пользователей с использованием RADIUS-сервера.
Кроме того пользователи, подключающиеся ко всем или некоторым SSID и получающие доступ к определенным виртуальным сетям, могут проходить дополнительную аутентификацию на основе MAC-адресов, веб или Onekey.
Пожалуй, одним из самых распространенных способов дополнительной аутентификации является веб-аутентификация, когда пользователь перенаправляется на специальную веб-страничку, где требуется ввести логин и пароль.
Беспроводные контроллеры TP-Link AC50/500 позволяют производить веб-аутентификацию как на основе локального списка пользователей, хранящегося на самом контроллере, так и с использованием удаленного RADIUS-сервера.
Нельзя не отметить, что в последней версии прошивки для беспроводного контроллера AC500 появилась возможность авторизации через Facebook (Facebook Wi-Fi), а также SMS-авторизация с помощью сервиса twilio.
Теперь рассмотрим модели следования трафика беспроводных абонентов в проводной части сети.
Модели распределения трафика в сети
В зависимости от взаимного расположения и настроек беспроводного контроллера, точек доступа и проводного сегмента сети возможны несколько типовых моделей движения пользовательского трафика. Их необходимо учитывать при проектировании беспроводной сети, чтобы избежать перегрузки в проводном сегменте. Здесь же стоит отметить, что на данный момент беспроводное оборудование TP-Link не инкапсулирует пользовательские данные в туннель CAPWAP, то есть точки доступа и контроллеры выполняют так называемую локальную коммутацию, что приводит к необходимости либо держать в сети «растянутые» VLAN, либо использовать локальные VLAN с несколькими IP-подсетями.
Точки доступа подключаются непосредственно к беспроводному контроллеру
Данную модель обычно можно встретить в небольших беспроводных сетях, где количество точек доступа относительно невелико. Точки доступа могут подключаться как непосредственно к портам беспроводного контроллера, так и ко вспомогательным коммутаторам с поддержкой PoE или без.
Вне зависимости от того, выполняет ли контроллер коммутацию или маршрутизацию пользовательского трафика, канал между коммутатором и контроллером (Fast Ethernet для модели AC50 и Gigabit Ethernet для модели AC500) может оказаться узким местом.
Контроллер выполняет функции шлюза по умолчанию для беспроводных сетей
Данная модель никак не регламентирует взаимное расположение беспроводного контроллера и точек доступа в сети. Принципиальным фактом является такая настройка сетевого оборудования и клиентских устройств, при которой контроллер выполняет функции шлюза по умолчанию для беспроводных клиентов. В этом случае линк между коммутатором и контроллером также окажется перегруженным.
Функции шлюза по умолчанию возложены на маршрутизатор или L3-коммутатор
Данная модель наиболее оптимальна с точки зрения производительности, так как беспроводной контроллер полностью исключен из пути передачи пользовательского трафика. Точки доступа по сути выполняют функции моста, связывая беспроводной SSID с VLAN в проводном сегменте. Вся дальнейшая обработка трафика производится проводными коммутаторами и маршрутизаторами.
Применять данную схему оптимально в крупных распределенных сетях с большим количеством точек доступа и беспроводных клиентов. Также стоит отметить, что беспроводные контроллеры TP-Link поддерживают функцию резервирования N+N, работая в отказоустойчивой паре.
Мы решили несколько разбавить описание возможностей контроллера и способов его подключения небольшим тестированием с целью «вживую» показать работу устройства и точек доступа.
Беспроводной контроллер AC500 способен выполнять маршрутизацию трафика для двух портов Gigabit Ethernet на скорости среды в режиме Full Duplex, полностью используя при этом ресурсы обоих ядер процессора. Таким образом с AC500 в роли маршрутизатора пользователи суммарно смогут получить поток 2 Гбит/с большими пакетами.
Нельзя не заметить, что коммутация трафика производится контроллером AC500 практически без использования центрального процессора, что позволяет задействовать в L2-режиме все пять портов Gigabit Ethernet на скорости среды, оставляя при этом ресурсы центрального процессора свободными для выполнения других задач.
Точка доступа CAP1750 предоставляет пользователям максимальную теоретическую скорость 450 Мбит/с в диапазоне 2,4 ГГц и 1,3 Гбит/с в диапазоне 5 ГГц. На практике при использовании модели CAP1750 в диапазоне 2,4 ГГц суммарная скорость одновременной передачи пользовательских данных в обоих направлениях составляет около 260 Мбит/с. Для диапазона 5 ГГц эта величина составляет 620 Мбит/с. Мы решили представить полученные результаты в виде диаграммы.
Ниже перечислены основные характеристики тестового стенда, который использовался для измерений. Все измерения производились для 15 одновременных TCP-соединений. Точка доступа и беспроводной клиент размещались в непосредственной близости друг от друга.
Компонент |
ПК |
Ноутбук |
Материнская плата |
ASUS Maximus VIII Extreme |
ASUS M60J |
Процессор |
Intel Core i7 7700K 4 ГГц |
Intel Core i7 720QM 1,6 ГГц |
Оперативная память |
DDR4-2133 Samsung 64 Гбайта |
DDR3 PC3-10700 SEC 16 Гбайт |
Сетевая карта |
ASUS PCE-AC88 |
Atheros AR8131 |
Операционная система |
Windows 7 x64 SP1 |
Windows 7 x64 SP1 |
Измерительное ПО |
JPerf 2.0.2 |
JPerf 2.0.2 |
Таким образом, на практике одна точка доступа CAP1750 сможет передавать в проводную сеть около 900 Мбит/с трафика при подключении беспроводных клиентов к обоим частотным диапазонам. Указанные скорости необходимо учитывать при построении или обновлении беспроводной сети, по возможности уменьшая переподписку в проводном сегменте.
Обновление микропрограммного обеспечения
Беспроводной контроллер и точки доступа готовы к работе прямо «из коробки», однако мы всегда настоятельно рекомендуем обновить программное обеспечение, предустановленное на устройствах. Новая прошивка не только исправит обнаруженные неточности в коде, но и добавит новые функции. Например, одной из самых интересных новинок для нашего оборудования станет поддержка облачного управления, позволяющая централизованно управлять сразу несколькими беспроводными контроллерами. Такая опция будет востребована в случае очень крупных или распределенных объектов. Также мы занимаемся внедрением поддержки протокола IPv6, что позволит использовать наше беспроводное оборудование в IP-сетях нового поколения. Для сетевых администраторов мы добавили поддержку протокола SNMP, с помощью которого есть возможность централизованного управления устройствами и сбора статистики использования контроллера и точек доступа. А также поддержку командной строки.
Обновление ПО любого из наших беспроводных контроллеров производится с помощью веб-интерфейса. Весь процесс занимает порядка пяти минут и не требует от пользователя никаких специальных знаний.
Способ замены прошивки на точках доступа зависит от режима, в котором они работают: FIT или FAT. В режиме FAT точка доступа выступает в качестве самостоятельного устройства, поэтому смена версии микропрограммного обеспечения производится с помощью веб-интерфейса конкретного аппарата.
При построении беспроводной сети на крупном или сложном объекте для обеспечения непрерывной зоны уверенного покрытия нужно много беспроводных точек доступа. Управление ими (находящимися в режиме FIT) в этом случае производится с помощью беспроводного контроллера. Для обновления их прошивок также необходимо использовать контроллер. Централизованная смена версий микропрограммного обеспечения точек доступа производится с помощью веб-интерфейса контроллера, где необходимо загрузить файл, содержащий новую версию прошивки, а также указать время начала обновления. Также здесь можно просмотреть список точек доступа, которые оно затронет.
Возможность централизованного обновления особенно полезна для беспроводного контроллера AC500, так как данная модель поддерживает одновременно до 500 точек доступа, что делает ручную замену прошивок на сопровождаемом объекте практически невозможной.
Поскольку наш ассортимент оборудования постоянно пополняется, после выхода новой модели (например, CAP1200) необходимо обновить базу данных поддерживаемых устройств на контроллере, чтобы расширить список управляемого оборудования.
В сухом остатке
Как мы показали выше, установка и настройка оборудования TP-Link предельно проста, а большое количество изменяемых параметров позволяет гибко настроить сеть в соответствии со всеми пожеланиями заказчика. Ниже мы перечислим те ключевые особенности наших продуктов, которые считаем наиболее востребованными и актуальными при построении масштабных сетей:
- автоматическое обнаружение и централизованное управление точками доступа;
- возможность локального и удаленного размещения точек доступа;
- балансировка нагрузки;
- поддержка локальной коммутации пользовательского трафика точками доступа;
- унифицированная настройка;
- возможность горячего резервирования беспроводного контроллера;
- поддержка PoE;
- отсутствие подвижных частей у контроллеров и точек доступа;
- поддержка нескольких SSID;
- различные способы аутентификации пользователей;
- гибкость и масштабируемость решения;
- гарантия 3 года и техническая поддержка на русском языке.