Что такое корпоративный Wi-Fi и каковы его плюсы уже освещалось в одной из статей на Хабрахабре, где сеть строилась на базе относительно недорогого оборудования UniFi. Там же несколько раз упоминалось и про решения Cisco. Недавно ко мне в руки попали беспроводной контроллер Cisco AIR-WLC4402 и несколько lightweight точек доступа AIR-LAP1131G, в связи с чем, хочу рассказать о том, как с ними работать.
Первое, что нам понадобится для организации беспроводной сети, это, конечно же, сами беспроводные точки. Точки компании Cisco бывают двух видов: автономные и, так называемые, lightweight – «легковесные». Отличие, как вы уже наверное и сами поняли, состоит в том, что автономные могут работать сами по себе, а вот для настройки и управления легковесными понадобится контроллер. Для связи точек с контроллером и приема от него необходимых настроек используется Cisco’вский LWAPP протокол. При желании также можно некоторые автономные точки сделать легковесными, прошив ей особый IOS.
У меня в распоряжении оказалось 10 точек AIR-LAP1131G, где LAP как раз и означает Lightweigth Access Point. Спецификацию приводить не буду, ее найти достаточно просто. Скажу лишь, что точка поддерживает режим H-REAP, то есть в удаленных офисах вам не понадобится дополнительных контроллеров. Крепить можно как на стену, так и на потолок – в комплекте идут все необходимые крепления. В комплекте обычный блок питания, инжектор для PoE придется докупать отдельно.
К сожалению, не успел сфотографировать все вблизи, к моменту написания статьи все точки уже были установлены на потолок, но отмечу, что устройство достаточно красиво, качественно сделано. Особенно всех порадовал мигающий круглый status led вокруг логотипа Cisco, который переливается всевозможными цветами, особенно, когда на точке какие-то проблемы.
На многих форумах приходилось встречать темы с сообщениями типа «вручили мне эту штуку и сказали настроить, но вот я даже не знаю с какой стороны к ней подойти». И если честно меня, знакомого только с коммутаторами и маршрутизаторами Cisco, контроллер тоже несколько удивил.
Во-первых, консольный порт не RJ-45, а DB-9, благо необходимый кабель идет в комплекте. Кроме консольного имеются: service port, utility port и, в зависимости от модели, 2 или 4 distribution порта — слоты под SFP модули. Многие пишут, что подключают контроллер к коммутаторам, используя service или utility port, и у них ничего не работает. Отмечу сразу очень важный момент – контроллер нельзя подключить к вашей сети по витой паре, только используя SFP-трансиверы и оптические патч-корды! Service port нужен для внеполосной настройки контроллера через веб-интерфейс. Назначение utility порту компания Cisco еще не придумала, возможно что-то появится в новых версиях IOS.
Итак, помимо контроллера и точек, у меня в наличии коммутатор 3750G, два Cisco GE SFP трансивера, и LC-LC патч-корд. Вы можете использовать и более дешевый коммутатор 2960G.
Один SFP-трансивер вставляем в Port 1 контроллера, другой в 3750, соединяем их LC-LC кабелем. Соединяем все точки доступа с коммутатором.
Для того чтобы точки и клиенты получали адреса нам понадобится DHCP-сервер. Я использую DHCP-сервер, настроенный на 3750. Естественно, подойдет любой правильно настроенный DHCP-сервер. Помимо этого, возможно вам понадобится настроить на коммутаторе необходимые VLAN’ы, если вы хотите вынести точки в отдельную виртуальную локальную сеть. Я пропущу этап настройки 3750, т. к. на Хабрахабре уже было несколько статей о том, как все это сделать.
Затем подсоединяемся консольным кабелем к контроллеру и приступаем к настройке. После включения и загрузки запустится диалог начальной конфигурации.
Дадим имя контроллеру.
Заведем пользователя для управления, указав логин и пароль.
Настроим сервисный порт, необходимый для внеполосного управления.
Включать аггрегацию я не буду, т. к. у меня все равно используется только один порт.
Далее идет настройка management интерфейса, где задается адрес, маска, шлюз, VLAN и порт, на котором будет создан этот интерфейс. Точки доступа используют этот интерфейс для обнаружения контроллера.
Далее можно выбрать уровень, на котором будет осуществляться связь между точками и контроллером. Грубо говоря, обмен между ними будет происходить с помощью фреймов или IP-пакетов. Более предпочтительным считается второй режим.
Так как мы выбрали режим Layer3, то теперь необходимо настроить интерфейс AP Manager. LWAPP протокол будет создавать своеобразный туннель между этим интерфейсом и точкой доступа.
Последний интерфейс, который надо настроить – это virtual интерфейс. Нужно задать «фиктивный» IP-адрес – тот адрес, на который будут заворачиваться все клиенты, если будет использоваться авторизация по web на контроллере. У меня уже имелся сервер с Wi-Fi-порталом от BGBilling, который отвечает за авторизацию, поэтому в настройке на контроллере не было необходимости. Но так или иначе адрес virtual интерфейса указать придется. В нашем случае все запросы пользователя будут перенаправлены на 1.1.1.1.
Создаем новую группу.
Указываем SSID нашей Wi-Fi сети.
Запрещаем использование статических IP-шников.
Radius-сервера у нас нет, поэтому далее говорим no.
Укажем страну, чтобы правильно отображались каналы.
Напоследок укажем, какие стандарты Wi-Fi использовать. Замечу, что если нужен g, то b тоже нужно указать.
Включим управление ресурсами.
На этом основная настройка окончена. Если вас что-то не устроило, то введите команду reset system и после перезагрузки начните заново. Ту же самую базовую настройку можно было выполнить и через web-интерфейс, подключившись к сервисному порту, указав адрес на сетевой карте 192.168.1.2/24, и открыв в браузере 192.168.1.1, используя https.
Если вы все сделали правильно, то через некоторое время ваши точки перестанут мигать красным, а перейдут на бледно зеленый – значит они готовы принимать клиентов.
Подключимся к service порту, откроем в браузере уже 10.0.0.1 (https) и убедимся, что все точки обнаружились.
Далее я предпочитаю задать всем беспроводным точкам имена и расположение, используя web-интерфейс. Для этого зайдем в Wireless и тыкая в каждую точку заполним Name, Location и если необходимо – статический IP-адрес (не забудьте исключить их из DHCP-пула).
Теперь, дав команду show ap summary в CLI их будет не так сложно отличить:
Командой config advanced 802.11b channel add добавим используемые нами каналы, которые автоматически будут распределяться между точками. Включим использование WPA2 командой config wlan security wpa wpa2 enable. С помощью config wlan security wpa akm psk set-key задаим psk-ключ.
Все, клиенты могут подключаться. Посмотреть на них можно по команде show client summary.
На этом настройку я завершаю, так как всех возможностей в рамках данной статьи не описать. Порывшись в настройках даже подключившись по web, вы сможете найти кучу всего интересного, настроить роуминг (который уже будет работать у вас по-умолчанию), настроить несколько WLAN и разнести по ним разные точки, сделать web-авторизацию для пользователей и много чего другого. Как вы уже наверное поняли, команды в CLI несколько отличаются от тех, что в IOS’ах коммутаторов и маршрутизаторов. Поэтому возможно удобнее вам будет выполнять настройку по web. Да и нагляднее становится наблюдать за беспроводными точками.
Надеюсь теперь вы сможете сориентироваться, если такие железки появятся у вас завтра. Хотя конечно стоимость данного решения достаточно высока и имеет смысл только, если вы будете использовать полный функционал данного оборудования.
Wireless LAN Controller (WLC) FAQ
Апгрейд автономной точки доступа в lightweight режим
Установка и крепеж точки доступа
Много полезной информации о беспроводных сетях, возможностях и настройке беспроводных решений Cisco я почерпнул в книге CCNA Wireless Official Exam Certification Guide, автор Brandon James Carroll.
Беспроводные точки доступа
Первое, что нам понадобится для организации беспроводной сети, это, конечно же, сами беспроводные точки. Точки компании Cisco бывают двух видов: автономные и, так называемые, lightweight – «легковесные». Отличие, как вы уже наверное и сами поняли, состоит в том, что автономные могут работать сами по себе, а вот для настройки и управления легковесными понадобится контроллер. Для связи точек с контроллером и приема от него необходимых настроек используется Cisco’вский LWAPP протокол. При желании также можно некоторые автономные точки сделать легковесными, прошив ей особый IOS.
У меня в распоряжении оказалось 10 точек AIR-LAP1131G, где LAP как раз и означает Lightweigth Access Point. Спецификацию приводить не буду, ее найти достаточно просто. Скажу лишь, что точка поддерживает режим H-REAP, то есть в удаленных офисах вам не понадобится дополнительных контроллеров. Крепить можно как на стену, так и на потолок – в комплекте идут все необходимые крепления. В комплекте обычный блок питания, инжектор для PoE придется докупать отдельно.
К сожалению, не успел сфотографировать все вблизи, к моменту написания статьи все точки уже были установлены на потолок, но отмечу, что устройство достаточно красиво, качественно сделано. Особенно всех порадовал мигающий круглый status led вокруг логотипа Cisco, который переливается всевозможными цветами, особенно, когда на точке какие-то проблемы.
Контроллер
На многих форумах приходилось встречать темы с сообщениями типа «вручили мне эту штуку и сказали настроить, но вот я даже не знаю с какой стороны к ней подойти». И если честно меня, знакомого только с коммутаторами и маршрутизаторами Cisco, контроллер тоже несколько удивил.
Во-первых, консольный порт не RJ-45, а DB-9, благо необходимый кабель идет в комплекте. Кроме консольного имеются: service port, utility port и, в зависимости от модели, 2 или 4 distribution порта — слоты под SFP модули. Многие пишут, что подключают контроллер к коммутаторам, используя service или utility port, и у них ничего не работает. Отмечу сразу очень важный момент – контроллер нельзя подключить к вашей сети по витой паре, только используя SFP-трансиверы и оптические патч-корды! Service port нужен для внеполосной настройки контроллера через веб-интерфейс. Назначение utility порту компания Cisco еще не придумала, возможно что-то появится в новых версиях IOS.
Настройка
Итак, помимо контроллера и точек, у меня в наличии коммутатор 3750G, два Cisco GE SFP трансивера, и LC-LC патч-корд. Вы можете использовать и более дешевый коммутатор 2960G.
Один SFP-трансивер вставляем в Port 1 контроллера, другой в 3750, соединяем их LC-LC кабелем. Соединяем все точки доступа с коммутатором.
Для того чтобы точки и клиенты получали адреса нам понадобится DHCP-сервер. Я использую DHCP-сервер, настроенный на 3750. Естественно, подойдет любой правильно настроенный DHCP-сервер. Помимо этого, возможно вам понадобится настроить на коммутаторе необходимые VLAN’ы, если вы хотите вынести точки в отдельную виртуальную локальную сеть. Я пропущу этап настройки 3750, т. к. на Хабрахабре уже было несколько статей о том, как все это сделать.
Затем подсоединяемся консольным кабелем к контроллеру и приступаем к настройке. После включения и загрузки запустится диалог начальной конфигурации.
Дадим имя контроллеру.
System Name [Cisco_--:--:--]: WLC_1
Заведем пользователя для управления, указав логин и пароль.
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): ********
Настроим сервисный порт, необходимый для внеполосного управления.
Service Interface IP Address Configuration [none][DHCP]: none
Service Interface IP Address: 10.0.0.1
Service Interface Netmask: 255.255.255.0
Включать аггрегацию я не буду, т. к. у меня все равно используется только один порт.
Enable Link Aggregation (LAG) [yes][NO]: no
Далее идет настройка management интерфейса, где задается адрес, маска, шлюз, VLAN и порт, на котором будет создан этот интерфейс. Точки доступа используют этот интерфейс для обнаружения контроллера.
Management Interface IP Address: 10.10.1.2
Management Interface Netmask: 255.255.0.0
Management Interface Default Router: 10.10.1.1
Management Interface VLAN Identifier (0 = untagged): 10
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 10.10.1.1
Далее можно выбрать уровень, на котором будет осуществляться связь между точками и контроллером. Грубо говоря, обмен между ними будет происходить с помощью фреймов или IP-пакетов. Более предпочтительным считается второй режим.
AP Transport Mode [layer2][LAYER3]: Layer3
Так как мы выбрали режим Layer3, то теперь необходимо настроить интерфейс AP Manager. LWAPP протокол будет создавать своеобразный туннель между этим интерфейсом и точкой доступа.
AP Manager Interface IP Address: 10.10.1.3
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (10.10.1.1): 10.10.1.1
Последний интерфейс, который надо настроить – это virtual интерфейс. Нужно задать «фиктивный» IP-адрес – тот адрес, на который будут заворачиваться все клиенты, если будет использоваться авторизация по web на контроллере. У меня уже имелся сервер с Wi-Fi-порталом от BGBilling, который отвечает за авторизацию, поэтому в настройке на контроллере не было необходимости. Но так или иначе адрес virtual интерфейса указать придется. В нашем случае все запросы пользователя будут перенаправлены на 1.1.1.1.
Virtual Gateway IP Address: 1.1.1.1
Создаем новую группу.
Mobility/RF Group Name: Group_1
Указываем SSID нашей Wi-Fi сети.
Network Name (SSID): CorpNet
Запрещаем использование статических IP-шников.
Allow Static IP Addresses [YES][no]: no
Radius-сервера у нас нет, поэтому далее говорим no.
Configure a RADIUS Server now? [YES][no]: no
Укажем страну, чтобы правильно отображались каналы.
Enter Country Code (enter 'help' for a list of countries) [US]: RU
Напоследок укажем, какие стандарты Wi-Fi использовать. Замечу, что если нужен g, то b тоже нужно указать.
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: no
Enable 802.11g Network [YES][no]: yes
Включим управление ресурсами.
Enable Auto-RF [YES][no]: yes
На этом основная настройка окончена. Если вас что-то не устроило, то введите команду reset system и после перезагрузки начните заново. Ту же самую базовую настройку можно было выполнить и через web-интерфейс, подключившись к сервисному порту, указав адрес на сетевой карте 192.168.1.2/24, и открыв в браузере 192.168.1.1, используя https.
Если вы все сделали правильно, то через некоторое время ваши точки перестанут мигать красным, а перейдут на бледно зеленый – значит они готовы принимать клиентов.
Подключимся к service порту, откроем в браузере уже 10.0.0.1 (https) и убедимся, что все точки обнаружились.
Далее я предпочитаю задать всем беспроводным точкам имена и расположение, используя web-интерфейс. Для этого зайдем в Wireless и тыкая в каждую точку заполним Name, Location и если необходимо – статический IP-адрес (не забудьте исключить их из DHCP-пула).
Теперь, дав команду show ap summary в CLI их будет не так сложно отличить:
Number of APs.................................... 10
AP Name Slots AP Model Ethernet MAC Location Port Country
------- ----- -------- ------------ -------- ---- -------
F1_Conf 2 AIR-LAP1131G-E-K9 - BDM, 1st floor 1 RU
…
F9_Hall 2 AIR-LAP1131G-E-K9 - BDM, 1st floor 1 RU
Командой config advanced 802.11b channel add добавим используемые нами каналы, которые автоматически будут распределяться между точками. Включим использование WPA2 командой config wlan security wpa wpa2 enable. С помощью config wlan security wpa akm psk set-key задаим psk-ключ.
Все, клиенты могут подключаться. Посмотреть на них можно по команде show client summary.
На этом настройку я завершаю, так как всех возможностей в рамках данной статьи не описать. Порывшись в настройках даже подключившись по web, вы сможете найти кучу всего интересного, настроить роуминг (который уже будет работать у вас по-умолчанию), настроить несколько WLAN и разнести по ним разные точки, сделать web-авторизацию для пользователей и много чего другого. Как вы уже наверное поняли, команды в CLI несколько отличаются от тех, что в IOS’ах коммутаторов и маршрутизаторов. Поэтому возможно удобнее вам будет выполнять настройку по web. Да и нагляднее становится наблюдать за беспроводными точками.
Надеюсь теперь вы сможете сориентироваться, если такие железки появятся у вас завтра. Хотя конечно стоимость данного решения достаточно высока и имеет смысл только, если вы будете использовать полный функционал данного оборудования.
Дополнительная информация и используемые материалы
Wireless LAN Controller (WLC) FAQ
Апгрейд автономной точки доступа в lightweight режим
Установка и крепеж точки доступа
Много полезной информации о беспроводных сетях, возможностях и настройке беспроводных решений Cisco я почерпнул в книге CCNA Wireless Official Exam Certification Guide, автор Brandon James Carroll.