Пользуясь моими руководствами по первоначальной настройке и подключению точек доступа к Wi-Fi контроллеру Cisco WLC, у вас построена необходимая инфраструктура беспроводной сети. Теперь требуется настроить сами сети (WLAN, SSID), для предоставления услуг связи вашим пользователям. Об этом — завершающая статья вводного курса молодого бойца. Это не перевод и не копипаст доки, а краткая выжимка описаний всех требуемых фич, проверенных на собственной шкуре.
Хоть ваш контроллер и управляется через командную строку (консоль, ssh), почти все операции по настройке лучше (быстрее и удобнее) производить через веб-интерфейс. Контроллер доступен через HTTP (по умолчанию; лучше переключите на HTTPS) с логином-паролем, заданными при установке. В данной статье мы рассмотрим только настройку самих беспроводных сетей. Остальные параметры (радио, безопасность, управление) и так выставлены в более-менее приемлемые значения. Подробно всё расписано в официальной документации,но кто же её читает. Цель данной статьи — максимально доходчиво рассказать о возможных параметрах настройки индивидуальной беспроводной сети.
Каждая ваша беспроводная сеть идентифицируется уникальным именем, или SSID. Каждая сеть может иметь свой, независимый набор параметров авторизации, шифрования, QoS, до��олнительных свойств. Каждая точка доступа может обслуживать (анонсировать) до 16 беспроводных сетей. Контроллер (в зависимости от модели) может обслуживать до 512 сетей и до сотен точек доступа.
Все настройки производятся в меню WLANs (верхняя картинка). Для создания новой сети необходимо выбрать пункт меню «Create new», и задать базовые параметры:
Тип сети: WLAN (беспроводная). Контроллер может также работать как Captive Portal для проводной сети (Guest LAN)
Имя профиля: произвольное слово, обычно соответствует имени сети, применяется при использовании «взрослых» систем управления WCS/NCS.
Имя сети (SSID): то, как ваша сеть будет «видна» клиентским компьютерам
Идентификатор (порядковый номер): по умолчанию ваши точки доступа будут анонсировать сети с номерами <=16
Создав новую сеть, вы попадаете в окно с закладками, в котором и указываются все параметры её работы:
Enable включает/выключает обслуживание сети точками доступа
Security policy оповещает вас о текущем наборе политик безопасности сети, которые настраиваются далее
Radio policy позволяет выбрать, в каком диапазоне частот (2.4, 5 ГГц) и скоростей (до 11, до 54 мбит/с) будет работать сеть. Возможны комбинации вариантов. Высокие скорости (802.11n) — тема отдельной статьи. Естественно, ваши точки должны поддерживать выбранные диапазоны.
Interface определяет, на какой проводной сетевой (саб-)интерфейс (VLAN) контроллера по умолчанию будут терминироваться подключения беспроводных клиентов. Вы можете создать несколько так называемых «динамических интерфейсов», каждый со своим VLAN ID, и распределять ваших пользователей по ним в зависимости от того, к какой сети они подключились (что наиболее часто используется для предоставления гостевого доступа)
Multicast VLAN определяет, куда в случае нескольких групп интерфейсов будет идти мультикаст трафик (тема отдельной статьи)
Последний параметр Broadcast SSID определяет, будет ли имя сети отражаться в beacon (анонсах) пакетов, периодически рассылаемых точкой доступа. Иначе это называется «открытая/закрытая сеть»
Следующая закладка, Security, обычно вызывает больше всего вопросов.
Безопасность беспроводной сети строится из трех компонентов:
Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль через форму.
Доступные параметры безопасности 2го уровня:
Подводя мини-итог по L2 безопасности скажем, что в реальности необходимо делать выбор между:
Внимание! Высокие скорости связи/802.11n доступны только для сетей, которые используют либо Security=None, либо WPA2/AES/PSK, либо WPA2/AES/802.1X.
При любом варианте настройки безопасности/авторизации вы можете включить дополнительно L3 политику, которая заключается в перехвате клиентской веб-сессии:
При этом доступны следующие параметры:
Дополнительно можно указать ACL (список доступа) для пользователей, не прошедших авторизацию (например, для DNS-сервера или внешнего веб-сервера с логотипом).
Можно также выбрать, какую страницу (форму) показывать пользователю при авторизации (стандартную, самостоятельно измененную стандартную, либо находящуюся на внешнем веб-сервере).
При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security — RADIUS — AAA — Authentication:
необходимо указать следующие параметры:
IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft.
Shared secret (ключ радиус-сервера)
Network user — сервер поддерживает авторизацию пользователей Wi-Fi сети
Management — сервер поддерживает авторизацию администраторов самого контроллера
Остальные параметры интереса не представляют.
Полезно также задать тот же сервер для целей учета (Accounting).
В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов:
Вы можете также назначить отдельный сервер для данной беспроводной сети, отключить аккаунтинг, включить встроенный в контроллер мини-сервер RADIUS и т.п.
Закладка QoS отвечает за параметры качества обслуживания в сети, давая приоритеты разными типам трафика и пользователям. Заморачиваться стоит, если у вас в беспроводной сети широко используется голос, видео, много гостевых пользователей при большой нагрузке, и в аналогичных экзотических случаях.
Последняя закладка, Advanced, описывает различные «дополнительные параметры» вашей беспроводной сети, коих достаточно много. Расскажем обо всех.
Итак, настроив параметры сети, нажав на кнопочку Apply и не забыв сохранить конфигурацию контроллера, пробуем подключиться. Удачи!
Хоть ваш контроллер и управляется через командную строку (консоль, ssh), почти все операции по настройке лучше (быстрее и удобнее) производить через веб-интерфейс. Контроллер доступен через HTTP (по умолчанию; лучше переключите на HTTPS) с логином-паролем, заданными при установке. В данной статье мы рассмотрим только настройку самих беспроводных сетей. Остальные параметры (радио, безопасность, управление) и так выставлены в более-менее приемлемые значения. Подробно всё расписано в официальной документации,
Каждая ваша беспроводная сеть идентифицируется уникальным именем, или SSID. Каждая сеть может иметь свой, независимый набор параметров авторизации, шифрования, QoS, до��олнительных свойств. Каждая точка доступа может обслуживать (анонсировать) до 16 беспроводных сетей. Контроллер (в зависимости от модели) может обслуживать до 512 сетей и до сотен точек доступа.
Все настройки производятся в меню WLANs (верхняя картинка). Для создания новой сети необходимо выбрать пункт меню «Create new», и задать базовые параметры:
Тип сети: WLAN (беспроводная). Контроллер может также работать как Captive Portal для проводной сети (Guest LAN)
Имя профиля: произвольное слово, обычно соответствует имени сети, применяется при использовании «взрослых» систем управления WCS/NCS.
Имя сети (SSID): то, как ваша сеть будет «видна» клиентским компьютерам
Идентификатор (порядковый номер): по умолчанию ваши точки доступа будут анонсировать сети с номерами <=16
Создав новую сеть, вы попадаете в окно с закладками, в котором и указываются все параметры её работы:
Enable включает/выключает обслуживание сети точками доступа
Security policy оповещает вас о текущем наборе политик безопасности сети, которые настраиваются далее
Radio policy позволяет выбрать, в каком диапазоне частот (2.4, 5 ГГц) и скоростей (до 11, до 54 мбит/с) будет работать сеть. Возможны комбинации вариантов. Высокие скорости (802.11n) — тема отдельной статьи. Естественно, ваши точки должны поддерживать выбранные диапазоны.
Interface определяет, на какой проводной сетевой (саб-)интерфейс (VLAN) контроллера по умолчанию будут терминироваться подключения беспроводных клиентов. Вы можете создать несколько так называемых «динамических интерфейсов», каждый со своим VLAN ID, и распределять ваших пользователей по ним в зависимости от того, к какой сети они подключились (что наиболее часто используется для предоставления гостевого доступа)
Multicast VLAN определяет, куда в случае нескольких групп интерфейсов будет идти мультикаст трафик (тема отдельной статьи)
Последний параметр Broadcast SSID определяет, будет ли имя сети отражаться в beacon (анонсах) пакетов, периодически рассылаемых точкой доступа. Иначе это называется «открытая/закрытая сеть»
Следующая закладка, Security, обычно вызывает больше всего вопросов.
Безопасность беспроводной сети строится из трех компонентов:
- Авторизация
- Шифрования
- Веб-политика (опционально)
Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль через форму.
Доступные параметры безопасности 2го уровня:
- None — авторизация и шифрование трафика не применяются («небезопасная сеть»). Используется для гостевого доступа, в хотспотах. Зачастую комбинируется с веб-политикой, при которой вы без вопросов подключаетесь к беспроводной сети, но при попытке выйти веб-браузером куда-то сессия перехватывается контроллером, и вас вынуждают ввести логин-пароль, согласиться с условиями и т.п. (см. далее).
- WPA+WPA2 — позволяет выбрать политику WPA либо WPA2 (либо обе), тип шифрования TKIP или AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах. Не все клиентские адаптеры (особенно старые) способны понять современные стандарт. Если все клиенты — новые, наиболее оптимальным будет использование WPA2/AES. Дополнительно предлагается указать, как будет образовываться ключ для шифрования:
- 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Наиболее безопасный вариант, также именуемый WPA(2) Enterprise
- CCKM — используется собственный механизм Cisco генерац��и ключей, подходит только для Cisco Wi-Fi телефонов
- PSK — общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal
- 802.1x+CCKM — гибрид CCKM и RADIUS-ключа (для Cisco-телефонов)
- 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Однако это WEP-ключ, и протокол шифрования радиоканала — WEP, чем в наше время пользоваться уже нельзя.
- Static WEP — статический WEP-ключ
- Static WEP+802.1X — гибрид двух предыдущих
- CKIP — проприетарный аналог WEP для Cisco телефонов
Подводя мини-итог по L2 безопасности скажем, что в реальности необходимо делать выбор между:
- Отсутствием шифрования/авторизации (гостевой доступ)
- WPA2 (AES) PSK aka «WPA2 Personal» для доступа в сеть по общему паролю
- WPA2 (AES) + 802.1X aka «WPA2 Enterprise» для доступа в сеть через авторизацию на RADIUS-сервере (EAP: по доменному аккаунту, сертификату и т.п.)
Внимание! Высокие скорости связи/802.11n доступны только для сетей, которые используют либо Security=None, либо WPA2/AES/PSK, либо WPA2/AES/802.1X.
При любом варианте настройки безопасности/авторизации вы можете включить дополнительно L3 политику, которая заключается в перехвате клиентской веб-сессии:
При этом доступны следующие параметры:
- Authentication — пользователь видит окно ввода логина-пароля, которые затем проверяются на контроллере (в его локальной базе), либо на RADIUS-сервере
- Passthrough — пользователь видит окно приветствия, где у него могут опционально спросить его e-mail адрес (далее нигде не используется и не проверяется)
- Conditional Web Redirect — позволяет редиректить сессию пользователя на указанную в RADIUS-ответе страницу после авторизации. Например, на страницу пополнения баланса. После редиректа пользователь должен авторизоваться снова.
- Splash Page Web Redirect — то же самое, но с доступом в сеть сразу
- On MAC Filter failure — редирект происходит при блокировке пользователя MAC-фильтром
Дополнительно можно указать ACL (список доступа) для пользователей, не прошедших авторизацию (например, для DNS-сервера или внешнего веб-сервера с логотипом).
Можно также выбрать, какую страницу (форму) показывать пользователю при авторизации (стандартную, самостоятельно измененную стандартную, либо находящуюся на внешнем веб-сервере).
При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security — RADIUS — AAA — Authentication:
необходимо указать следующие параметры:
IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft.
Shared secret (ключ радиус-сервера)
Network user — сервер поддерживает авторизацию пользователей Wi-Fi сети
Management — сервер поддерживает авторизацию администраторов самого контроллера
Остальные параметры интереса не представляют.
Полезно также задать тот же сервер для целей учета (Accounting).
В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов:
Вы можете также назначить отдельный сервер для данной беспроводной сети, отключить аккаунтинг, включить встроенный в контроллер мини-сервер RADIUS и т.п.
Закладка QoS отвечает за параметры качества обслуживания в сети, давая приоритеты разными типам трафика и пользователям. Заморачиваться стоит, если у вас в беспроводной сети широко используется голос, видео, много гостевых пользователей при большой нагрузке, и в аналогичных экзотических случаях.
Последняя закладка, Advanced, описывает различные «дополнительные параметры» вашей беспроводной сети, коих достаточно много. Расскажем обо всех.
- Allow AAA Override — позволяет передать дополнительные параметры от RADIUS-сервера в момент успешной авторизации клиента, и применить их к данному клиенту индивидуально. Такими параметрами могут быть номер VLAN, имя локального интерфейса, список доступа (ACL), URL для редиректа, QoS политика и т.п.
- Coverage Hole Detection — управляет механизмом определения и компенсации зоны недостаточного покрытия для клиентов данной беспроводной сети. Рекомендуется отключать для гостевых WLAN
- Enable Session Timeout, Session Timeout (secs) — включает и определяет тайм-аут сессии клиента при веб-авторизации
- Aironet IE — включает специфичные для Cisco расширения параметров beacon кадра. Умные клиентские адаптеры в таком случае работаю лучше (роуминг, энергосбережение), глупые могут вообще не заработать в такой сети.
- Diagnostic Channel — активирует дополнительный логический канал диагностики для CCX5-совместимых клиентских адаптеров
- IPv6 — в реальности только разрешает IPv6 трафик для веб-авторизации
- Override Interface ACL — позволяет задать альтернативный список доступа (ACL) вместо указанного на проводном VLAN (management, dynamic) интерфейсе контроллера.
- P2P Blocking Action — определяет политику пропускания трафика между беспроводными клиентами (в пределах контроллера). Допустимые значения: Disabled (пропускать), Drop (не пропускать), Forward-UpStream (отправлять на роутер, пусть он решает).
- Client Exclusion, Timeout Value (secs) — включает и задает тайм-аут исключения (временной блокировки) клиента, авторизация которого в беспроводной сети окончилась неудачно
- Maximum Allowed Clients — задает максимальное число одновременных ассоциаций с данной сетью
- Static IP Tunneling — разрешает роуминг между контроллерами клиентам со статическим IP-адресом
- Off Channel Scanning Defer, Scan Defer Priority — каждая точка иногда «соскакивает» со своего рабочего канала (частоты) и слушает другие каналы на предмет соседних сетей, чистоты спектра, «плохих» абонентов и т.п. При этом такое «соскакивание» может отрицательно сказаться на голосовом трафике, передаваемом данной точкой. Если точка «видит» пакеты со значением 802.1p поля, отмеченного галочкой (0 1 2 3 4 5 6 7), то соскок с рабочей састоты будет отложен.
- Scan Defer Time(msecs) — на сколько миллисекунд отложен
- H-REAP Local Switching — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети «замыкать» трафик абонентов локально, а не передавать в CAPWAP-туннеле на контроллер
- H-REAP Local Auth — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети проводить авторизацию локально, а не на контроллере
- Learn Client IP Address — в режиме H-REAP точка будет рапортовать IP-адрес клиента на контроллер, если тот доступен
- DHCP Server Override, DHCP Server IP Addr — использовать указанный IP-адрес DHCP-сервера вместо того, который прописан в настройках проводного интерфейса контроллера, на который «замыкается» трафик беспроводных клиентов.
- DHCP Addr. Assignment — требовать использования DHCP-сервера клиентами данной беспроводной сети (статически настроенные клиенты работать не будут)
- MFP Client Protection — включать и требовать защиту клиентских фреймов, варианты Disabled (нет), Optional (при наличии возможности) и Required (обязательно, и все ваши клиенты должны поддерживать CCX5)
- DTIM Period (in beacon intervals) — как часто передавать broadcast/multicast кадры, влияет на энергоэффективность клиентов
- NAC State — выбирает режим работы совместно с устройством NAC
- Client Load Balancing — разрешает балансировку клиентов между точками доступа согласно их загруженности
- Client Band Select — разрешает «выталкивание» клиентов в диапазон 5ГГц, который более предпочтителен в силу меньшей его загруженности
- Passive Client — разрешает работу клиентских устройств, которые «мало говорят» (вроде Wi-Fi весов)
- Media Session Snooping — позвол��ет «подсматривать» в телефонные SIP-сессии
- Re-anchor Roamed Voice Clients — позволяет принудительно переносить между контроллерами голосовых клиентов, которые находятся в роуминге
Итак, настроив параметры сети, нажав на кнопочку Apply и не забыв сохранить конфигурацию контроллера, пробуем подключиться. Удачи!
