Для чего нужен режим H-REAP/FlexConnect для беспроводных точек доступа Cisco

    Исторически беспроводные сети строились на индивидуально настраиваемых точках доступа. Для простых задач («раздать вайфай дома») этот подход оправдан до сих пор, однако с ростом сложности сети администраторов всё больнее жалят следующие проблемы:

    • масштабируемость (необходимость поддержки большого числа пользователей)
    • безопасность (необходимость иметь одинаковые настройки во всей сети)
    • управляемость (необходимость централизованно узнать, на какой точке данный абонент)
    • роуминг (еще более актуально для голосовых/видео приложений)
    • контроль радио-ресурсов (перекрывающиеся частотные диапазоны)


    Что делать?


    Первой ступенью развития стало создание механизмов централизованной авторизации клиента (802.1x) с применением RADIUS-сервера. Каждая индивидуальная точка доступа при попытке подключения клиента «спрашивает разрешение» у некоторого внешнего сервера или службы. Обычно при перемещении (роуминге) успешно авторизовавшегося и работающего клиента от точки к точке процедура авторизации повторяется заново, что чревато пропаданием связи на несколько секунд.

    Для устранения этого (и других) недостатка был изобретен механизм WDS, позволяющий нескольким точками доступа работать вместе. Помимо функций трансляции радио-сигнала для увеличения площади покрытия, одна выбранная точка доступа (WDS master) может предоставлять единый центр авторизации для всех клиентов (и точек доступа) WDS домена (используя встроенный, или же внешний RADIUS-сервер). В таком случае роуминг клиентов в пределах домена не приводит к полному циклу авторизации (ибо мастер знает обо всех клиентах сети). Вместе с тем механизм WDS не сертифицирован Wi-Fi Alliance, что зачастую приводит к несовместимости реализации решения на базе оборудования разных поставщиков. К тому же, все точки доступа по-прежнему настраиваются индивидуально.

    Следующим шагом эволюции беспроводных сетей стало появление беспроводных контроллеров. Здесь работу с радио-средой (передача и прием пакетов, шифрование) выполняет «глупая» точка доступа, а все остальное (централизованное управление, авторизация, передача пакетов в ЛВС) – «умный» контроллер. Таким образом, успешно решаются задачи масштабируемости, безопасности, управляемости, контроля роуминга и радио-среды. При большом количестве абонентов и с применением дополнительных средств управления (вроде Cisco WCS или Juniper RingMaster) можно строить географически распределенные сети из сотен контроллеров, тысяч точек доступа и сотен тысяч одновременно работающих абонентов.


    Рассмотрим типичную сеть предприятия, расположенную в здании или соседних зданиях, построенную на оборудовании производства Cisco Systems. «Легковесная» точка доступа может быть установлена в любом участке сети, подключена к обычному порту доступа ЛВС и при этом предоставлять сервис для нескольких беспроводных сетей (WLAN) одновременно, с разными политиками безопасности: для гостей, для персонала, для технологических устройств. Точка доступа создает туннель (LWAPP, CAPWAP) до контроллера, в котором передает информацию от каждого клиента с меткой идентификатора сети). Контроллер обычно установлен в серверной комнате, подключен к локальной сети через trunk-порт. Каждая WLAN-сеть терминируется в отдельную виртуальную сеть (VLAN), которая также может иметь собственные политики безопасности. В такой концепции точки доступа разбросаны по сети здания, и все беспроводные клиенты имеют одну точку терминации в проводную сеть. В этой точке и установлены межсетевые экраны, сервера приложений и шлюз в Интернет. Без контроллера пришлось бы «тянуть» все VLAN до серверной, а в худшем случае «разбрасывать» межсетевые экраны по всей сети.

    Если беспроводной пользователь хочет напечатать документ на принтере, стоящем рядом, данные фактически идут до серверного помещения по виртуальному соединению «точка доступа – контроллер», затем обратно по ЛВС и другому VLAN до принтера. В скоростной среде (Gigabit Ethernet) это не вызывает никаких проблем. Но что, если канал связи узок, или перегружен? Что, если необходимо обеспечить беспроводную связь в удаленном офисе через WAN (MPLS, IPSEC)?

    Существуют жесткие требования по качеству канала связи между контроллером и точкой доступа. Для Cisco это порядка 100 миллисекунд допустимой задержки (round-trip), и полоса 128 килобит. При потере связи с контроллером «легковесная» точка доступа, работающая в нормальном («local mode») режиме клиентов обслуживать перестает, перезагружается, и начинает заново искать себе контроллер.

    Конечно, можно установить обычную, автономную точку доступа, с локальной коммутацией пакетов. При этом теряются возможности роуминга, централизованного управления, безопасности. Сотрудники, путешествующие по филиалам, хотят иметь одинаково работающую беспроводную сеть везде, без перенастройки.
    Можно купить и поставить отдельный маленький беспроводный контроллер в каждый филиал, но это затратный путь.

    В качестве альтернативы для беспроводного решения от Cisco был предложен «полуавтономный» режим работы точек доступа. Вообще, подключенная к контроллеру точка доступа может находиться в следующих режимах работы:
    • Local – традиционный режим (по умолчанию), когда точка считается «локально подключенной» к контроллеру, и передает весь трафик через него
    • H-REAP – режим «удаленной», или полуавтономной работы, о чем речь ниже
    • Monitor – точка не обслуживает клиентов, но сканирует радиосреду. Требуется для более точного определения координат клиентского устройства, что важно в некоторых мобильных задачах
    • Rogue detector – точка не обслуживает клиентов и выключает радио. Вместо этого точка рапортует контроллеру о локально определяемых на Ethernet-порту MAC-адресах, что позволяет искать незаконно установленные в вашей сети «вредные» точки доступа
    • Sniffer – точка «слушает» пакеты в радиоэфире и передает их для последующего анализа на компьютер с AiroPeek или Wireshark
    • Bridge – точка работает в режиме беспроводного моста, для организации MESH-сетей
    • SE-Connect – точка позволяет работать в режиме спектроанализатора (с настроенным ПО Cisco Spectrum Expert), только совместимые модели 3500 и 3600)

    H-REAP (Hybrid Remote-Edge Access Point), он же FlexConnect, позволяет точке доступа управляться контроллером, но при пропадании связи с ним продолжать работу. Беспроводные сети связаны с локальной сетью либо по-прежнему (через контроллер), либо локально. Аналогично производится авторизация. Посмотрим, как это настраивается, и как работает (на примере контроллера WLC4402 и точки LAP-1131).
    Изменение режима работы ведет к перезагрузке точки доступа, и ее последующем подключении к контроллеру в новом режиме.



    Напомним, что при настройке индивидуальной беспроводной сети (WLAN, SSID) вы указываете:
    • Имя сети
    • Параметры безопасности (ключ сети для WPA/WPA2 PSK либо требование к авторизации по 802.1х для WPA/WPA2 Enterprise. Во втором случае у вас должно быть настроено взаимодействие контроллера с RADIUS-сервером
    • Имя локального динамического интерфейса контроллера (соответственно номер VLAN), в который контроллер отправляет пакеты для этой беспроводной сети

    Если точка доступа установлена в удаленном филиале и предоставляет абонентам «корпоративный WLAN», авторизация абонентов происходит на центральном RADIUS-сервере, а весь трафик пересылается на контроллер центрального офиса. Этот режим называется «central authentication, central switching» и является единственным допустимым для точек доступа в локальном режиме.

    В настройках беспроводной сети (WLAN, SSID) вы можете указать дополнительные параметры, которые имеют влияние на ее обслуживание от точки, находящейся в режиме H-REAP (они не влияют на работу в локальном режиме).



    Первый параметр (H-REAP Local Switching) включает режим коммутации пакетов от данной сети в ЛВС локально, непосредственно точкой доступа, без пересылки в контроллер.
    Второй параметр разрешает локальную (на самой точке доступа) авторизацию клиентов (через запомненный ключ PSK, через локальную базу данных пользователей, через настроенный локально RADIUS-сервер).
    Третий параметр заставляет точку доступа определять IP-адреса подключенных клиентов (обычно этим занимается сам контроллер).

    H-REAP точка доступа может находиться в следующих состояниях: connected (контроллер доступен) и standalone (контроллер недоступен). Каждая из обслуживаемых беспроводных сетей при этом находится в следующих состояниях:

    central authentication, central switching – такой же режим, как и для обычной (local) точки в connected состоянии
    central authentication, local switching – центральная авторизация, коммутация трафика локально – только в connected состоянии
    local authentication, local switching – локальная авторизация и локальная коммутация трафика. Если контроллер доступен (connected), он получает от точки доступа некоторую ограниченную информацию о подключенных к ней клиентах. Если недоступен (standalone), новые клиенты могут подключаться и обслуживаться.
    authentication down, switch down – если local switching для данной сети выключен, а контроллер недоступен, авторизация не проходит, пакеты не ходят
    authentication down, local switching – если контроллер недоступен, для сети включен local switching и выключен local auth, новые клиенты не подключаются, но старые продолжают работать.

    Надеюсь, вы обратили внимание, что при настройке беспроводной сети на контроллере необходимо указать, в какую проводную сеть (VLAN) терминируется трафик. По умолчанию H-REAP точка доступа подключена к порту доступа коммутатора (access port, нет тэгов). При работе нескольких беспроводных сетей весь их трафик такая точка отдает в тот же порт, без тэгов.



    Крайне желательно настроить порт коммутатора, к которому подключена H-REAP точка доступа, в trunk порт (включив галочку «VLAN Support»), и создать соответствие между локально коммутируемыми WLAN и локальными VLAN коммутатора. Внимание: такое соответствие может отличаться от того, что прописано на контроллере. Делается это в дополнительной закладке «H-REAP» параметров точки доступа:



    При этом вам необходимо прописать соответствующий номер VLAN на коммутаторе в число разрешенных в транке.
    Любопытно, что при такой настройке точка доступа получает от контроллера специальный кусок конфигурационного файла (мало ли, ведь контроллер может и «пропасть»), который можно просмотреть:

    ap4.h#sh runn brief 
    ...
    ! сеть номер 4 заворачивается в VLAN 406
    dot11 vlan-name 004 vlan 406
    ...
    interface Dot11Radio0.4
     encapsulation dot1Q 4 ! номер 4 ничего не значит
     no ip route-cache
     bridge-group 255 ! а номер бридж-группы значит
     bridge-group 255 subscriber-loop-control
     bridge-group 255 block-unknown-source
     no bridge-group 255 source-learning
     no bridge-group 255 unicast-flooding
     bridge-group 255 spanning-disabled
    !
    interface Dot11Radio0.17
     encapsulation dot1Q 17 native
     no ip route-cache
     bridge-group 1
     bridge-group 1 subscriber-loop-control
     bridge-group 1 block-unknown-source
     no bridge-group 1 source-learning
     no bridge-group 1 unicast-flooding
     bridge-group 1 spanning-disabled
    !
    interface FastEthernet0.1
     encapsulation dot1Q 1 native
     ip address 10.20.1.223 255.255.252.0
     no ip route-cache
     bridge-group 1 ! эта бридж-группа определяет подключение самой точки в native vlan
     no bridge-group 1 source-learning
     bridge-group 1 spanning-disabled
    !
    interface FastEthernet0.406
     encapsulation dot1Q 406
     no ip route-cache
     bridge-group 255 ! эта бридж-группа определяет подключение vlan 406
     no bridge-group 255 source-learning
     bridge-group 255 spanning-disabled
    ...
    radius-server local
      no authentication eapfast
      no authentication leap
      no authentication mac
      nas 10.20.1.223 key 7 ……
      group hreap 
      !
    !
    


    Наконец, необходимо разобраться с локальной авторизацией пользователей. Для разделяемых ключей все просто – PSK ключ передается точке доступа, и ей для авторизации клиентов больше ничего не нужно. В случае 802.1х для локальной авторизации можно использовать либо встроенный в саму точку доступа мини-RADIUS сервер (+ локальная база пользователей), либо указать внешние RADIUS-сервера (не обязательно установленные в центре сети). Например, вы можете развернуть свой FreeRadius, либо встроенный в Windows IAS/NPS сервер локально в филиале, например для авторизации по EAP/MS-CHAPv2 и локальной копии Active Directory.
    Эти функции настраиваются через так называемые Группы H-REAP:



    Вы добавляете имеющиеся на контроллере H-REAP точки доступа в группу, устанавливаете общий для группы набор RADIUS-серверов (не забудьте разрешить на RADIUS-сервере доступ точки доступа к нему), можно также включить локальную авторизацию по базе данных самой точки доступа. В таком случае можно задать набор разрешенных пользователей (username/password) и протоколов авторизации (поддерживаются EAP-FAST и LEAP).



    Подведем итог: режим работы H-REAP беспроводных точек Cisco позволяет устанавливать их в филиалах компании без локального контроллера (экономия!). Точки пользуются центральным контроллером для получения настроек, управления и мониторинга. Местные беспроводные подключения спокойно переживают пропадание связи между центром и филиалом (падение WAN канала). Можно использовать локальную авторизацию и локальную коммутацию пакетов, роуминг клиентов между точками в пределах филиала. Если вам доведется настраивать режим H-REAP, крайне рекомендую внимательно изучить документацию производителя (к которому автор не имеет никакого отношения).
    • +5
    • 21.6k
    • 7
    Share post

    Comments 7

      0
      Имеет ли смысл принудительно загонять точку в режим FlexConnect Local Switching, находящуюся в одной сайте с контроллером (например, чтобы не насиловать хост с vWLC) и какие подводные камни у такого решения?
        0
        У vWLC другого режима, кроме FlexConnect, нет.
        Список ограничений хорошо расписан тут.
        Если вас не напрягает, что беспроводные клиенты вываливаются в локальную сеть там же, где точки доступа (т.е. нет требований поместить всех за межсетевой экран), то действительно трафик через виртуалку не гоняется, нагрузка меньше.
        0
        Только недавно хотел вам в личку писать, что бы вы продолжили свой цикл статей.
        Спасибо! Сейчас очень актуально.
          0
          Ну и собственно вдогонку вопрос. Вернее просьба совета как сделать правильнее в моей ситуации.
          Есть два офиса. Один контроллер. Точки раздают один SSID. Авторизация PEAP/MS-CHAPv2 на NPS от MS.
          При авторизации на радиусе последний в качестве параметра отдаёт контроллеру номер VLAN-а в который помещается пользователь в зависимости от того в какой группе он состоит. Контроллер соответственно помещает клиента в определённый проводной VLAN. То есть SSID один, но итоговые VLAN-ы разные, и определяется это AD-группой. В одном офисе (в котором стоит контроллер) всё работает хорошо.
          Во втором офисе точки подключены H-REAP-ом, но вот беда те VLAN-ы в которые должны попадать пользователи во втором офисе имеют другие номера.
          Как здесь корректнее поступить? Ставить локальную авторизацию, разворачивать второй NPS во втором офисе и пусть он вланы отдаёт? Точка в режиме HREAP вообще может принимать подобные параметры от радиуса? Она сможет «переписать» VLAN и запихнуть пользователя куда надо?
            0
            Вряд ли это уже для вас актуально, все-такие три года прошло, но я оставлю это тут как решение для тех, кто будет искать:
            VLAN Name Override, появилась с 8.1

            ===
            The VLAN Name Override feature is useful in deployments that have a single central radius authenticating multiple branches. With hundreds of different branches, it becomes very difficult to standardize VLAN IDs across all sites and requires a configuration that provides a unique VLAN Name mapped locally to a VLAN ID that can be different across different branch locations.

            This design involving different VLAN IDs across different sites is also useful from the sizing and scaling perspective to limit the number of clients per Layer 2 broadcast domain.
            ===
              0
              Уже почти во все локации купили дополнительные контроллеры :))
              Но всё равно, спасибо!
            0
            Вы попали :)
            H-REAP и AAA Override (dynamic VLAN assignment) несовместимы. Т.е. RADIUS может отдать номер влана пользователя, но точка может на него наплевать. Это такая недокументированная багофича, хотя возможно в 7.4.10 ее исправили (надо пробовать). Если работает — то да, ставить второй NPS (с другими номерами вланов), либо привести нумерацию VLAN к единому виду (наверняка это проще).

            Only users with full accounts can post comments. Log in, please.