Как сконфигурировать встроенный контролер точек доступа WiFi на базе маршрутизаторов Huawei AR G3
Ожидает приглашения
В данной статье речь пойдет о возможностях функционала по предоставлению контроля доступа сети Wi-Fi, который можно реализовать благодаря маршрутизаторам Huawei серии AR и как это можно настроить на конкретном устройстве. С помощью универсальной платформы маршрутизации Versatile Routing Platform (VRP) разработки Huawei, серия AR G3 интегрирует в одном устройстве функции маршрутизации, коммутации, 3G, WLAN, передачи речи и безопасности.
Все мы прекрасно знаем, что в последние несколько лет, значительными темпами, идет повсеместный рост использования мобильных (беспроводных) устройств (смартфонов, планшетов, ноутбуков и т.д.), не только среди частных пользователей, но и в офисах, магазинах и в крупных торговых центрах. И не всегда просто сделать выбор в пользу того или иного оборудования для реализации контроля доступа к беспроводной сети. Практически все производителе сетевого оборудования представленные сегодня на рынке имеют в своих портфелях продукты для беспроводных сетей от Cisco и Aruba до TP-Link и D-Link.
Т.к. речь в статье идет о оборудовании Huawei, то стоит отметить, что и у данного вендора есть весьма неплохой набор устройств для организации беспроводных сетей WiFi корпоративного уровня, это: как сами контролеры точек доступа – AC6005 и AC6605, которые могут управлять до 1024 AP (managing a maximum of 1024 Aps); так и точки доступа внутреннего и внешнего исполнения, порядка двух десятков моделей.
Тем не менее, не всегда есть потребность в большом количестве точек доступа и, как следствие, в использовании дорогостоящего контролера для управления точками. Благодаря маршрутизаторам серии AR G3, организовать контроль доступа к беспроводным сетям (на уровне небольшого офиса или филиала) стало достаточно просто, быстро, эффективно и, что самое главное экономически выгодно.
В таблице ниже, я привожу пример стоимости решений WiFi на отдельном контроллере и встроенном в AR G3 ($, GPL).
При наличии данных лицензий: Value-Added Data Package License Function и AC Express license (Wireless Controler License) – маршрутизатор может управлять беспроводной сетью точек доступа (Fit AP).
AR150 серия: 8 точек доступа (Max 8 APs are supported)
AR1220E: 12 точек доступа (Max 12 APs are supported)
AR220X: от 12 до 16 точек доступа (AR220x support max 12AP, AR2220E and AR2220 support max 16).
Рассмотрим пример, как настроить AC Express (Access controller) на маршрутизаторе Huawei AR151 и точек доступа Huawei AP6010DN-AGN и AP7110DN-AGN.
Версия ПО для маршрутизатора – Product Version: V200R007, актуальная на данный момент. Следует помнить, что нужно внимательно относится к совместимости версий ПО для маршрутизатора и точек доступа. Так, зачастую последние версии ПО для этих устройств, не всегда совместимы между собой. В чем мы можем удостовериться в документации.
Схема организации связи будет выглядеть следующим образом: AC напрямую подключается к точкам доступа через неуправляемый коммутатор (интерфейс Ethernet 2-го уровня). Офис предприятия нуждается в развертывании беспроводной локальной сети для реализации мобильного офиса, так что работники предприятия могут получить доступ к Интернету в любом месте в любое время.
Настройку всех функций будем проводить с использованием ETU license (Easy to Use), т.е. пробной лицензии.
Переходим к настройкам (базовый вариант инсталляции).
На этом настройка маршрутизатора окончена, точки доступа, которые мы прописали для нашего контроллера должны автоматически подключиться к нему по L2 и их дальнейшее управление будет производиться через сам AC.
В общем случае, с точками доступа вообще не требуется производить никаких настроек, кроме того, что проверить (обновить) версию ПО и задать/проверить сетевые адреса.
Все мы прекрасно знаем, что в последние несколько лет, значительными темпами, идет повсеместный рост использования мобильных (беспроводных) устройств (смартфонов, планшетов, ноутбуков и т.д.), не только среди частных пользователей, но и в офисах, магазинах и в крупных торговых центрах. И не всегда просто сделать выбор в пользу того или иного оборудования для реализации контроля доступа к беспроводной сети. Практически все производителе сетевого оборудования представленные сегодня на рынке имеют в своих портфелях продукты для беспроводных сетей от Cisco и Aruba до TP-Link и D-Link.
Т.к. речь в статье идет о оборудовании Huawei, то стоит отметить, что и у данного вендора есть весьма неплохой набор устройств для организации беспроводных сетей WiFi корпоративного уровня, это: как сами контролеры точек доступа – AC6005 и AC6605, которые могут управлять до 1024 AP (managing a maximum of 1024 Aps); так и точки доступа внутреннего и внешнего исполнения, порядка двух десятков моделей.
Тем не менее, не всегда есть потребность в большом количестве точек доступа и, как следствие, в использовании дорогостоящего контролера для управления точками. Благодаря маршрутизаторам серии AR G3, организовать контроль доступа к беспроводным сетям (на уровне небольшого офиса или филиала) стало достаточно просто, быстро, эффективно и, что самое главное экономически выгодно.
В таблице ниже, я привожу пример стоимости решений WiFi на отдельном контроллере и встроенном в AR G3 ($, GPL).
При наличии данных лицензий: Value-Added Data Package License Function и AC Express license (Wireless Controler License) – маршрутизатор может управлять беспроводной сетью точек доступа (Fit AP).
AR150 серия: 8 точек доступа (Max 8 APs are supported)
AR1220E: 12 точек доступа (Max 12 APs are supported)
AR220X: от 12 до 16 точек доступа (AR220x support max 12AP, AR2220E and AR2220 support max 16).
Рассмотрим пример, как настроить AC Express (Access controller) на маршрутизаторе Huawei AR151 и точек доступа Huawei AP6010DN-AGN и AP7110DN-AGN.
Версия ПО для маршрутизатора – Product Version: V200R007, актуальная на данный момент. Следует помнить, что нужно внимательно относится к совместимости версий ПО для маршрутизатора и точек доступа. Так, зачастую последние версии ПО для этих устройств, не всегда совместимы между собой. В чем мы можем удостовериться в документации.
Схема организации связи будет выглядеть следующим образом: AC напрямую подключается к точкам доступа через неуправляемый коммутатор (интерфейс Ethernet 2-го уровня). Офис предприятия нуждается в развертывании беспроводной локальной сети для реализации мобильного офиса, так что работники предприятия могут получить доступ к Интернету в любом месте в любое время.
- имя беспроводной сети – huawei-1
- ip-адресация для устройств сотрудников в подсети 192.168.101.0/24
CLI Procedure
Настройку всех функций будем проводить с использованием ETU license (Easy to Use), т.е. пробной лицензии.
#
<AC-mini>license active accept agreement
Item name : LAR0AC01
Item type : Function
Item state : Disable, -
Item left time : -
Item used time : -
Description : AC Cotroller
Item name : LAR0DATAE01
Item type : Function
Item state : Disable, -
Item left time : -
Item used time : -
Description : Data Package
#
<AC-mini>license function datae
INFO: Succeeded in activating the feature.
<AC-mini>license function ac
INFO: Succeeded in activating the feature.
Переходим к настройкам (базовый вариант инсталляции).
#
sysname AC-mini
#
vlan batch 100 to 101 //Создаем VLAN 100 (VLAN управления) и VLAN 101 (сервисный VLAN).
#
dot1x enable //Включаем аутентификацию 802.1x.
#
wlan ac-global carrier id other ac id 1 //Задаем AC ID и carrier ID.
#
dhcp enable //Включаем DHCP.
#
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
dhcp select interface //Включаем DHCP для VLANIF 100.
#
interface Vlanif101
ip address 191.168.101.1 255.255.255.0
dhcp select interface //Включаем DHCP для VLANIF 101.
#
interface Ethernet 0/0/3
port link-type trunk
port trunk pvid vlan 100 //Задаем интерфейс по умолчанию VLAN для Ethernet 0/0/3 to VLAN 100.
port trunk allow-pass vlan 100 to 101 //Добавляем Ethernet 0/0/3 к VLAN 100 и VLAN 101.
port-isolate enable group 1 //Включаем port isolation.
#
interface Wlan-Ess1 //Добавляем WLAN-ESS interface для сервисного VLAN.
port hybrid pvid vlan 101 //VLAN of the WLAN-ESS interface to VLAN 101.
port hybrid tagged vlan 101 //Добавляем WLAN-ESS interface к VLAN 101 в режиме tagged.
#
capwap source interface vlanif100 //Specify the AC's source interface. The command applies only to V200R6C10 and later versions. In versions earlier than V200R6C10, run the wlan ac source interface vlanif100 command in the WLAN AC view to specify the AC's source interface.
#
wlan ac
ap id 0 type-id 19 mac 60de-4476-e360 sn 210235419610CB002287 //Добавляем APs wmm-profile name wmm id 1 //Создаем WMM profile и используем настройки по умолчанию.
traffic-profile name traffic id 1 //Создаем traffic profile и используем настройки по умолчанию
security-profile name security id 1 //Создаем security profile.
security-policy wpa2 //Задаем security policy для WPA2.
wpa2 authentication-method psk pass-phrase cipher %^%#Q-%d~;.Aj!<@qOUJ=vMG~rie2vkWOOUq>`5f73RU%^%# encryption-method ccmp //Настраиваем PSK authentication и CCMP encryption
service-set name test id 1 //Создаем service set.
wlan-ess 1 //Bind the service set to WLAN-ESS 1.
ssid huawei-1 //Создаем SSID для huawei-1.
traffic-profile id 1 //Bind the traffic profile to the service set.
security-profile id 1 //Bind the security profile to the service set.
service-vlan 101 //Set the service VLAN to VLAN 101.
radio-profile name radio id 1 //Создаем radio profile.
wmm-profile id 1 //Bind the WMM profile to the radio profile.
ap 0 radio 0 //Configure the 2.4 GHz frequency band of AP0.
radio-profile id 1 //Применяем radio profile.
service-set id 1 wlan 1 //Применяем the service set.
На этом настройка маршрутизатора окончена, точки доступа, которые мы прописали для нашего контроллера должны автоматически подключиться к нему по L2 и их дальнейшее управление будет производиться через сам AC.
В общем случае, с точками доступа вообще не требуется производить никаких настроек, кроме того, что проверить (обновить) версию ПО и задать/проверить сетевые адреса.