Многие до сих пор думают, что Wi-Fi от Eltex — это исключительно программные контроллеры SoftWLC (которые, к тому же, имеют довольно спорную репутацию). Между тем уже год, как они выпустили довольно годную линейку новых аппаратных контроллеров и новый виртуальный контроллер с отличным современным web-интерфейсом и кучей полезных фич. Которых, кстати, за последние полгода заметно прибавилось. Мы протестировали решение в нашей техлаборатории и проверили заявленный функционал. В этой статье хочу разобрать, насколько удачными получились новые контроллеры, что они умеют и можно ли их рекомендовать для крупного энтерпрайза.
Модельный ряд
Прежде чем рассказывать о возможностях новых контроллеров и особенностях реализации, давайте посмотрим на модельный ряд точек и контроллеров.
Линейка новых беспроводных контроллеров Eltex состоит из трех аппаратных моделей
(WLC-15, WLC-30 и WLC-3200), а также виртуального контроллера vWLC. Контроллеры работают на одном софте и функционально не отличаются. Модели отличаются только по производительности и, как следствие, по количеству поддерживаемых точек доступа и беспроводных клиентов.
Модель контроллера | WLC-15 | WLC-30 | WLC-3200 |
Кол-во подключаемых ТД по умолчанию | 50 | 150 | 1 000 |
Максимальное кол-во ТД (расширяется лицензиями) | 100 | 500 | 3 000 |
Максимальное кол-во активных клиентов | 2 000 | 5 000 | 30 000 |
Интерфейсы | 4х1G RJ-45, 2x1G SFP | 4х1G RJ-45, 2x10G SFP+ | 12x25G SFP28 |
Питание | AC, 1 встроенный БП | AC, 1 встроенный БП | AC/DC, 2 сменных БП |
Модельный ряд аппаратных контроллеров WLC
Все точки доступа доступа Eltex стандарта Wi-Fi 6 представлены исключительно моделями с двумя радио (2,4 и 5 ГГц) и схемой MU-MIMO 2x2:2. Точек с тремя радио или MIMO 4x4:4 нет. Зато почти все точки оснащены интерфейсами mGig 2.5G. Есть точка (WEP-30L-Z) со встроенным интерфейсом Z-Wave для IoT. Возможность подключения внешних антенн есть только в уличных точках. Имеется и точка (WOP-30LS) со встроенными направленными антеннами 55х40°.
Eltex уже готовит к выходу две точки доступа нового стандарта Wi-Fi 7 с поддержкой диапазона 6 ГГц. Будут две модели: флагманская с MU-MIMO 4х4 и более бюджетная с MU-MIMO 2х2. Обе будут иметь по 2 порта для подключения к сети. К концу этого года ожидается выход флагманской модели линейки. Выпуск бюджетной модели ожидается в начале следующего года. Как только Wi-Fi 7 точка попадет в нашу лабораторию, обязательно протестирую и расскажу про фичи, которые дает 802.11be, и особенности работы в 6 ГГц.
Точки доступа стандарта Wi-Fi 5 (n + ac) еще доступны к заказу, но в рамках статьи их рассматривать не буду.
Модель точки доступа | WEP-3L | WEP-30L | WEP-30L-Z | WEP-3ax | WOP-30L | WOP-30LS | WOP-30LI |
Исполнение | Indoor | Indoor | Indoor | Indoor | Outdoor, IP55 | Outdoor, IP65 | Outdoor IP67 |
Диапазоны частот | 2,4 + 5 ГГц | 2,4 + 5 ГГц | 2,4 + 5 ГГц | 2,4 + 5 ГГц | 2,4 + 5 ГГц | 2,4 + 5 ГГц | 2,4 + 5 ГГц |
Стандарт Wi-Fi | Wi-Fi 6 | Wi-Fi 6 | Wi-Fi 6 | Wi-Fi 6 | Wi-Fi 6 | Wi-Fi 6 | Wi-Fi 6 |
Схема MIMO | 2x2:2 | 2x2:2 | 2x2:2 | 2x2:2 | 2x2:2 | 2x2:2 | 2x2:2 |
Антенны | Встроенные омни (5/5 dBi) | Встроенные омни (3/3 dBi) | Встроенные омни (3/3 dBi) | Встроенные омни (3/3 dBi) | Внешние (SMA) омни/направленные | Встроенные направленные (55х40, 9/12dBi) | Внешние (N) омни/направленные |
Максимальная канальная скорость в 5 ГГц | 867 Мбит/с | 1201 Мбит/с | 1201 Мбит/с | 1201 Мбит/с | 1201 Мбит/с | 1201 Мбит/с | 1201 Мбит/с |
Роуминг | 802.11r/k/v | 802.11r/k/v | 802.11r/k/v | 802.11r/k/v | 802.11r/k/v | 802.11r/k/v | 802.11r/k/v |
Безопасность | WPA/WPA2/WPA3 | WPA/WPA2/WPA3 | WPA/WPA2/WPA3 | WPA/WPA2/WPA3 | WPA/WPA2/WPA3 | WPA/WPA2/WPA3 | WPA/WPA2/WPA3 |
Интерфейсы | 1G RJ-45 | 2.5G RJ-45 | 2.5G RJ-45 | 2.5G RJ-45 | 2.5G RJ-45 | 2.5G RJ-45 | 2x1G RJ-45, 1G SFP |
Питание | PoE/PoE+ (10.5 Вт) | PoE/PoE+ (13 Вт) | PoE/PoE+ (13 Вт) | PoE/PoE+ (13 Вт) | PoE/PoE+ (15 Вт) | PoE/PoE+ (13 Вт) | PoE+, DC (17.5 Вт) |
Модельный ряд актуальных ТД
Для всех точек доступа на сайте Eltex можно скачать диаграммы направленности антенн для быстрого добавления в Ekahau AI Pro. Это сильно упрощает задачу моделирования радиопокрытия и проектирования БЛВС на Eltex.
Все точки доступа и контроллеры Eltex включены в единый реестр российской радиоэлектронной продукции (Реестр РЭП). На российском рынке корпоративных Wi-Fi решений это большая редкость. Поэтому компании, которым важно, чтобы телеком оборудование имело статус РЭП/ТОРП, часто выбирают Wi-Fi решение именно от Eltex.
Графический интерфейс и первые впечатления
Графический интерфейс новых контроллеров выглядит современно и лаконично. Работа через GUI интуитивно понятна и не вызывает трудностей. Надо отметить, что компания Eltex проделала большую работу над графическим интерфейсом, если сравнивать с их программным контроллером прошлого поколения SoftWLC.
К сожалению, в текущей реализации (v1.30.2) графический интерфейс пока далек от идеала полнофункционального интерфейса управления. Многие настройки в нем отсутствуют. Часто приходится переходить в CLI. Это касается как некоторых рутинных операций (о них я расскажу ниже), так и отладки. Особенно в сетевой части. Приведу пример. Чтобы добавить новый SSID с централизованной коммутацией трафика, нам недостаточно создать SSID через GUI и указать, в какой VLAN нужно поместить трафик — еще нужно зайти в CLI и вручную создать нужный VLAN, а затем там же в CLI добавить этот VLAN в SoftGRE-туннель между точками и контроллером.
Стоит отметить, что фичи в web-интерфейс добавляются практически с каждой новой версией ПО. Можно надеяться, что со временем они будут представлены полностью.
Дефолтный конфиг и наследие ESR
Новые беспроводные контроллеры Eltex построены на базе сервисных маршрутизаторов серии ESR. Поэтому контроллеры, помимо Wi-Fi функций, унаследовали весь функционал, характерный для маршрутизаторов: протоколы динамической маршрутизации, NAT, Stateful Zone-based Firewall, VPN-туннели и многое другое. Зачастую эти функции избыточны для классического Wi-Fi контроллера в парадигме корпоративных БЛВС. Но для определенных сценариев вполне могут пригодиться. Например, когда нужно организовать Wi-Fi сеть в небольшом офисе. Можно поставить один контроллер в роли «сервис гейтвея», который и интернет канал примет, и NAT сделает, и точками будет управлять.
Именно под такой сценарий использования контроллеры настроены из коробки. В дефолтном конфиге преднастроены:
SSID с аутентификацией по логину/паролю на встроенном RADIUS сервере;
VLAN и BVI интерфейсы для Wi-Fi пользователей, управления точками и аплинка;
DHCP пулы для клиентов и точек доступа;
NAT через аплинк;
Firewall с зонами безопасности.
Для типичного энтерпрайза дефолтный конфиг потребует существенной переработки:
Вынести маршрутизацию и фильтрацию трафика между подсетями на ядро сети или межсетевой экран.
Вынести NAT на граничный маршрутизатор или межсетевой экран.
Вынести аутентификацию и авторизацию на внешний RADIUS сервер.
Вынести DHCP-пулы на внешний DHCP сервер.
Поэтому почти каждая инсталляция новых WLC начинается с удаления ненужных настроек или полного сброса конфига и заливки своего. Было бы здорово, если бы Eltex добавил возможность выбора сценария внедрения WLC при первом запуске контроллера и загрузки соответствующего предконфига от вендора.
Лицензирование
Лицензирование контроллеров осуществляется по количеству точек доступа. При этом у аппаратных контроллеров в стоимость уже включена поддержка определенного количества точек доступа. Для WLC-15 это 50 точек, для WLC-30 — 150 точек, для WLC-3200 — 1000 точек. За счет приобретения дополнительных лицензий можно расширить поддерживаемое контроллерами количество точек доступа: WLC-15 до 100 точек, WLC-30 до 500 точек, WLC-3200 до 3000 точек.
В отличие от SoftWLC, в линейке WLC лицензии Airtune уже включены в базовые лицензии и отдельно их приобретать не нужно. Airtune лицензии нужны для RRM - автоматического управления радиопараметрами точек, т.е. подстройки мощности и каналов для минимизации интерференции как между своими точками, так и с посторонними. А вот для активации функции wIDS/wIPS — обнаружения и предотвращения вторжений в беспроводную сеть, придется приобрести дополнительную лицензию — по 1 штуке на контроллер. Для работы с внешними порталами в зависимости от метода интеграции может потребоваться BRAS лицензия.
Подключаем и обновляем точки
Для того чтобы точки доступа смогли найти контроллер и подключиться к нему, точкам нужно сообщить IP-адрес контроллера через DHCP опцию 43 (подопции 12 и 15). Альтернативных вариантов нет. Через широковещательные запросы (broadcast) или через DNS-имя точки доступа Eltex искать не умеют. Подробно на настройке DHCP опции 43 останавливаться не буду. На сайте производителя есть инструкция. Помимо IP-адреса контроллера точкам обязательно нужно сообщить NTP сервер через DHCP опцию 42. Если на точках и контроллере не будет совпадать время, точки не смогут выполнить валидацию сертификатов и не подключатся к контроллеру.
Обновлять прошивки точек, начиная с версии 1.30.0, можно прямо через GUI. Загрузка новых образов делается простым drag-and-drop в браузере, без использования TFTP или SCP. Мелочь, а приятно. Из особенностей — если точка доступа уже находится под управлением WLC, то она обновится на актуальную прошивку сразу после загрузки прошивки на контроллер. Чтобы этого не произошло, нужно включить планировщик обновления ПО ТД и настроить безопасное время, в которое можно выполнять обновления.
Аутентификация и авторизация
Актуальные точки доступа (Wi-Fi 6) и контроллеры Eltex поддерживают все современные протоколы безопасности беспроводных сетей, включая WPA3-Enterprise, WAP3-SAE и OWE. В том числе в Transition Mode. Правда в WPA3-Enterprise нет поддержки 192-битного режима.
На новых контроллерах Eltex работа с dot1x реализована таким образом, что точки выступают в роли NAS и сами отправляют запросы на RADIUS сервер. По умолчанию это встроенный RADIUS сервер на контроллере. Точкам доступа можно указать другой внешний RADIUS сервер, но только один. Это плохо с точки зрения отказоустойчивости и неудобно с точки зрения добавления всех точек доступа на стороне RADIUS сервера.
Выйти из ситуации можно, настроив RADIUS Proxy на контроллере. Точки будут посылать RADIUS запросы на контроллер, а уже он будет перенаправлять их на внешние RADIUS серверы. В таком сценарии внешних (upstream) серверов может уже быть несколько. Настроить RADIUS Proxy можно только через CLI.
Если внешнего RADIUS сервера нет, можно использовать встроенный RADIUS сервер в контроллер. Его можно интегрировать с внешним каталогом LDAP и аутентифицировать пользователей по доменным логинам/паролям через протокол PEAP. Еще на контроллере можно сгенерировать сертификат с помощью встроенного OpenSSL и подписывать им клиентские сертификаты для EAP-TLS аутентификации.
Если перед вами стоит задача выбора новой NAC системы (RADIUS/TACACS сервера) или поиск замены Cisco ISE, то рекомендую ознакомиться с моей предыдущей статьей, где я делал сравнение доступных сегодня NAC систем. Кстати Eltex тоже недавно вышел на рынок NAC решений и выпустил свой продукт NAICE.
Гостевая аутентификация на контроллерах поддерживается, но только через внешние captive порталы. Встроенных порталов на контроллерах нет. Протестирована совместимость с порталами Ростелеком, Global Hotspot, SoftWLC, Cisco ISE и Netams WNAM. Можно использовать как схему с терминацией трафика и аутентификацией клиентов на WLC/BRAS (порталы: SoftWLC, WNAM), так и схему с локальной коммутацией трафика и аутентификацией клиентов на точках доступа (порталы: «Ростелеком», Cisco ISE, Global Hotspot). В первом случае потребуется дополнительная лицензия BRAS.
Аутентификация по MAC адресу поддерживается как локальная на контроллере (кроме точек WEP-3ax), так и через RADIUS сервер (кроме точек WEP-3L).
Отказоустойчивость
Для обеспечения отказоустойчивости контроллеры можно собрать в кластер. Кластеризация у Eltex реализована через VRRP, поэтому разнести контроллеры в разные L3 сегменты не получится. Между нодами кластера потребуется поднять sync link — делается это через создание кластерных интерфейсов, которые подключаются друг к другу.
После объединения двух контролеров в кластер настройка кластера должна выполняться через Active ноду. Все изменения, внесенные на Active ноде, автоматически синхронизируются на Standby. Между нодами синхронизируются состояние точек, SoftGRE туннели и сертификаты.
Лицензии между нодами не шарятся, для каждой ноды придется покупать свой комплект лицензий. Настройка кластеризации делается только через CLI. Инструкция на сайте прилагается. Из позитивного — лицензии для расширения количества точек на второй ноде обойдутся в 2 раза дешевле, чем для первой.
Работа с радио и роуминг
Одна из основных задач контроллера БЛВС — это автоматическое управление радиопараметрами точек доступа. И эту задачу контроллеры от Eltex решают достойно. Особенно понравилась возможность детального тюнинга настроек радио и параметров RRM, причем прямо из GUI.
На контроллерах поддерживается как индивидуальная настройка радиопараметров точек доступа, так и групповая через радиопрофили. Радиопрофили применяются к локациям — аналогу AP Group в Cisco и Huawei. В радиопрофилях можно назначить группе точек список разрешенных каналов, ширину каналов и мощность. Отключить низкие Data Rates тоже можно, начиная с версии 1.30.0, но пока только через CLI.
На всех точках доступа и контроллерах Eltex реализована поддержка протоколов 802.11r/k/v, так что проблем с быстрым роумингом беспроводных клиентов быть не должно.
Возможности встроенного wIPS/wIDS
В отличие от большинства отечественных конкурентов, у контроллеров Eltex есть встроенная система обнаружения и предотвращения вторжения в беспроводную сеть. Контроллеры поддерживают:
Обнаружение DoS атак (по 13 параметрам).
Отслеживание и блокировка попыток перебора паролей.
Обнаружение точек доступа с подменой своих SSID или MAC адресов.
Отключение клиентов от посторонних точек доступа.
Для обнаружения вредоносных точек нужно настроить точки доступа на сканирование эфира. Поддерживается активное и пассивное сканирование. При активном сканировании точка становится «сенсором», постоянно сканирует список каналов и не может работать с клиентами. При пассивном режиме сканирования точка сохраняет работу с клиентами без значительной деградации качества обслуживания, но обнаружение происходит значительно дольше. Из своего опыта мы рекомендуем закладывать дополнительные точки в пропорции 1 к 5 и использовать их в качестве выделенных сенсоров.
Для активации wIPS/wIDS потребуется приобрести дополнительную лицензию на контроллер. Настроить и мониторить сервис wIPS/wIDS пока можно только через CLI.
Подведем итоги
Wi-Fi решения Eltex с появлением новых контроллеров получили мощный импульс развития. На текущем этапе еще многие фичи требуют доработки или даже переосмысления. Но уже сейчас видно, что вендор активно развивает продукт и делает это в правильном направлении. Анонсированы точки новых стандартов, регулярно добавляются новые фичи, оперативно исправляются баги. И, что важно, продукты вендора включены в РЭП. Беспроводное решение от Eltex становится надежнее, комфортнее и безопаснее. Это именно то, что ожидают получить от отечественных Wi-Fi решений при внедрении в крупном энтерпрайзе.
