Блвс что это такое расшифровка
Безопасность внутриофисных сетей Wi-Fi
Безопасность внутриофисных сетей Wi-Fi
Безопасность внутриофисных сетей Wi-Fi
Методические рекомендации
Яков Совлук,
эксперт
Одной из основных областей применения стандарта IEEE 802.11 (сети Wi-Fi) являются внутриофисные (indoor) корпоративные беспроводные сети. Корпоративная ЛВС может быть целиком построена на базе технологии WLAN (Wireless LAN), другим вариантом является наличие беспроводного сегмента корпоративной сети (см. рисунок). Использование БЛВС (беспроводных ЛВС) в том или ином варианте в качестве корпоративных решений может быть обусловлено:
Характер обрабатываемой в корпоративных сетях информации требует обеспечения соответствующего уровня защищенности. Особенности технологии WLAN, связанные с передачей беспроводного трафика по радиоканалу, являются источником угроз информационной безопасности (ИБ), несвойственных проводным технологиям. Поэтому при реализации корпоративных БЛВС традиционные методы защиты, используемые в проводных сетях, должны дополняться мероприятиями по нейтрализации «беспроводных» угроз.
Анализ существующих на сегодняшний день средств защиты БЛВС позволяет сделать следующие выводы:
Рассмотрим возможные угрозы ИБ внутриофисных корпоративных БЛВС и комплекс мероприятий по их нейтрализации.
Угрозы ИБ внутриофисных корпоративных БЛВС
Перечислим основные угрозы, которым подвержены внутри-офисные корпоративные БЛВС.
Мероприятия по обеспечению ИБ БЛВС
Обеспечение ИБ БЛВС, как и любой другой информационной системы (ИС), предполагает выполнение следующих требований: обеспечение ИБ на всех этапах жизненного цикла БЛВС; комплексный подход к обеспечению И Б на каждом этапе жизненного цикла БЛВС.
Жизненный цикл ИС в общем случае начинается в момент принятия решения о ее создании и заканчивается в момент выведения ее из эксплуатации. Основные этапы жизненного цикла:
1) предпроектный анализ;
3) реализация и внедрение;
4) эксплуатация и сопровождение;
5) выведение из эксплуатации.
Комплексный подход к обеспечению ИБ БЛВС подразумевает наличие системы правовых, организационных и программно-технических мероприятий по защите информации. Рассмотрим особенности обеспечения ИБ БЛВС на каждом из вышеперечисленных этапов.
1. Предпроектный анализ
На данном этапе устанавливаются основные требования к БЛВС, определяются ее характеристики, функции и режимы работы.
Важным моментом является выбор качественного и функционального беспроводного оборудования с учетом необходимости получения разрешений на использование данного оборудования и соответствующего частотного диапазона, а также регистрации БЛВС в порядке, установленном в РФ. Регистрация БЛВС и получение необходимых разрешений делают сеть «легитимной», что является необходимым элементом для обращения в суд в случае инцидентов ИБ и привлечения нарушителя к ответственности.
Одним из решающих факторов при выборе оборудования БЛВС является поддержка шифрования и контрольного суммирования данных, передаваемых по сети, на базе стандарта безопасности 802.11 i. Немаловажным фактором при выборе беспроводного оборудования является наличие отметки «Wi-Fi Certified», являющейся гарантией совместимости и показателем надежности беспроводного оборудования.
2. Этап проектирования
На данном этапе определяется состав, структура и размещение БЛВС, формируется основа обеспечения ИБ БЛВС.
2.1. Подготовка к развертыванию БЛВС
При проектировании БЛВС должны учитываться следующие моменты:
Во второй части статьи в рамках описания этапа проектирования будут рассмотрены требования к разработке политики безопасности БЛВС, выбору систем аутентификации и обнаружения вторжений. Также будет дана характеристика оставшимся этапам жизненного цикла БЛВС.
Что такое беспроводная локальная сеть(WLAN)?
Сеть WLAN — вид локальной вычислительной сети (LAN), использующий для связи и передачи данных между узлами высокочастотные радиоволны, а не кабельные соединения. Это гибкая система передачи данных, которая применяется как расширение — или альтернатива — кабельной локальной сети внутри одного здания или в пределах определенной территории.
Каковы преимущества использования WLAN вместо проводной локальной сети?
Повышение производительности. Сеть WLAN обеспечивает не привязанную к отдельным помещениям сеть и доступ в Интернет. Сеть WLAN дает пользователям возможность перемещаться по территории предприятия или организации, оставаясь подключенными к сети.
Простое и быстрое построение локальной сети. Не нужно тянуть и укреплять кабели.
Гибкость установки. Беспроводную сеть можно построить там, где нельзя протянуть кабели; технология WLAN облегчает временную установку сети и ее перемещение.
Снижение стоимости эксплуатации. Беспроводные сети снижают стоимость установки, поскольку не требуются кабельные соединения. В результате достигается экономия, тем более значительная, чем чаще меняется окружение.
Масштабируемость. Расширение и реконфигурация сети для WLAN не является сложной задачей: пользовательские устройства можно интегрировать в сеть, установив на них беспроводные сетевые адаптеры.
Совместимость. Различные марки совместимых клиентских и сетевых устройств будут взаимодействовать между собой. Трудна ли установка и администрирование сети WLAN? Нет. Беспроводную локальную сеть строить проще, чем кабельную, администрирование же обоих типов сетей почти не отличается друг от друга. Клиентское решение сети WLAN построено на принципе PlugandPlay, который предполагает, что компьютеры просто подключаются к одноранговой сети (peertopeer).
Какова дальность связи устройств WLAN?
Дальность действия радиочастот, особенно в помещениях, зависит от характеристик изделия (в том числе от мощности передатчика), конструкции приемника, помехозащищенности и пути прохождения сигнала. Взаимодействие радиоволн с обычными объектами здания, например со стенами, металлическими конструкциями и даже людьми, может повлиять на дальность распространения сигнала, и таким образом, изменить зону действия конкретной системы. Беспроводные сети используют радиочастоты, поскольку радиоволны внутри помещения проникают через стены и перекрытия. Диапазон или область охвата большинства систем WLAN достигает 160 м, в зависимости от количества и вида встреченных препятствий. С помощью дополнительных точек доступа можно расширить зону действия, и тем самым обеспечить свободу передвижения.
Надежны ли сети WLAN?
Да, сети WLAN исключительно надежны. Поскольку беспроводная технология уходит корнями в оборонную промышленность, обеспечение безопасности беспроводных устройств предусматривалось с самого начала. Вот почему беспроводные сети обычно более надежны, чем кабельные. В сетях WLAN используется технология Direct Sequence Spread Spectrum (DSSS), которая отличается высокой устойчивостью к искажению данных, помехам, в том числе преднамеренным, и обнаружению. Кроме того, все пользователи беспроводной сети проходят аутентификацию по системному идентификатору, что предотвращает несанкционированный доступ к данным.
Для передачи особо уязвимых данных пользователи могут использовать режим Wired Equivalent Privacy (WEP), при котором сигнал шифруется дополнительным алгоритмом, а данные контролируются с помощью электронного ключа. Вообще говоря, в отдельных узлах перед включением в сетевой трафик должны приниматься свои меры безопасности. В сетях WLAN, работающих по спецификации 802.11b, для обеспечения более высокой надежности сети вместе с аутентификацией пользователя могут применять 40битные и 128битные алгоритмы шифрования. Перехват трафика, как умышленный, так и неумышленный, практически невозможен.
Что такое IEEE 802.11b?
IEEE 802.11b — выпущенная институтом Institute of Electrical and Electronic Engineers (IEEE) техническая спецификация, которая определяет функционирование беспроводных локальных вычислительных сетей, работающих в диапазоне 2,4 ГГц со скоростью 11 Мбит/с по протоколу Direct Sequence Spread Spectrum.
Какова пропускная способность сети WLAN 802.11b?
Сети WLAN 802.11b работают со скоростью до 11 Мбит в секунду. Для пользователей скорость работы сравнима со скоростью кабельной сети. Точно так же, как и в обычной сети, пропускная способность сети WLAN зависит от ее топологии, загрузки, расстояния до точки доступа и т.д. Как правило, заметной разницы в производительности беспроводной и кабельной сети нет.
Что такое точка доступа?
Точка доступа соединяет кабельную и беспроводную сеть и позволяет клиентам последней получить доступ к ресурсам кабельной сети. Каждая точка доступа расширяет общую вычислительную мощность системы. Пользователи могут перемещаться между точками доступа, не теряя соединения с сетью, — как и при подключении к сети с помощью сотового телефона. Другими словами, точка доступа — это программно аппаратное устройство, которое выполняет роль концентратора для клиента беспроводной сети и обеспечивает подключение к кабельной сети. Сколько пользователей может поддерживать одна система WLAN? Количество пользователей практически неограниченно. Его можно увеличивать, просто устанавливая новые точки доступа. С помощью перекрывающихся точек доступа, настроенных на разные частоты (каналы), беспроводную сеть можно расширить за счет увеличения числа пользователей в одной зоне. Перекрывающихся каналов, которые не будут создавать взаимные помехи, одновременно может быть установлено не более трех; эти каналы втрое увеличат количество пользователей сети. Подобным образом можно расширять беспроводную сеть, устанавливая точки доступа в различных частях здания. Это увеличивает общее число пользователей и дает им возможность перемещаться по зданию или территории организации.
Сколько пользователей одновременно поддерживает одна точка доступа?
Количество пользователей в этом случае зависит, в первую очередь, от загруженности трафика. В сети WLAN полоса пропускания делится между пользователями так же, как в кабельной сети. Исходя из числа пользователей производительность сети зависит также от рода выполняемых пользователями задач.до активировать доступ в Интернет. В большинстве случаев для этого достаточно просто запустить браузер и набрать в нем адрес какого нибудь вебсайта.
Тонкости настройки контроллеров БЛВС в крупных учреждениях, которым важна стабильность работы сети
Сетевой инженер ГК «ОТР» Линда Новожилова рассказывает, как настраивает Wi-Fi-контроллеры на крупных проектах. Этот опыт пригодится тем, кто ещё не работал с сетями, но должен настроить контроллеры. Или тем, кто должен вникнуть в их работу, чтобы проверить, как нанятый специалист справился с задачей.
Что стоит учесть перед прочтением
Это решение — не образец. В подобных задачах не существует единственно верных решений. Критерий того, насколько решение верное, — выполнение поставленной задачи.
Здесь описано решение конкретной задачи и разобраны его элементы. Их можно использовать, если они подходят для достижения нужных целей. Принцип «прописать так на всякий случай» в такой ситуации не поможет — скорее навредит.
Мы намеренно не указываем чёткие имена темплейтов и профайлов. Это не инструкция. Подробное описание настроек познакомит вас с возможностями, но решение о целесообразности остаётся только за вами.
Если у вас нет чёткого понимания происходящего — не используйте эти настройки. За последствия отвечаете только вы.
Качество сети зависит не только от настроек. Когда мы приступили к работе, у заказчика уже был полностью разработан проект. Ему рассчитали мощности, добавили дублирующее оборудование и выдали список для закупок. За командой ОТР оставалось физическое воплощение проекта и настройка — не более.
Какая задача стояла перед командой
Мы создавали сеть на несколько учреждений.
Она была нужна одновременно и для внутреннего пользования, и для внешнего. В сети авторизовывались внешние пользователи и использовали её для получения услуг нашего клиента.
Сеть должна быть максимально безопасной — и при этом работать совершенно непрерывно. Каждый разрыв сети Wi-Fi обходился бы заказчику в две тысячи долларов, и подобные потери были бы недопустимы.
Какие настройки выставили и для чего
В этом разделе мы поэтапно разберём настройки. До настроек необходимо подключить к контроллеру консоль и загрузить нужную прошивку и патчи
1. Создаём конфигурационный файл
1.1. Задаём системное имя и включаем http-сервер, чтобы всё работало
[Huawei] http server enable
system-view
[Huawei] clock timezone MoscowSt.PetersburgVolgograd add 03:00:00
Если его не задать, сервера не смогут корректно передавать друг другу логи. Также начнутся проблемы с соединением у пользователей: большинство сервисов проверяет точное время и, если время на устройстве будет отличаться, сервис не позволит пользователю подключиться.
1.3. Заводим vlan’ы для устройств
system-view
[Huawei] vlan batch
Без vlan’ов пользователь не сможет подключиться к сервису.
1.4. Добавляем авторизацию через Radius
system-view
[Huawei] authentication-profile-name
[Huawei] dot1x-access-profile
[Huawei] authentication-scheme radius
[Huawei-authen-profile-radius] radius-server RADIUS_SERVER
[Huawei-authen-profile-radius] authentication-profile name default_authen_profile
[Huawei-authen-profile-radius] authentication-profile name dot1x_authen_profile
[Huawei-authen-profile-radius] authentication-profile name mac_authen_profile
[Huawei-authen-profile-radius] authentication-profile name macportal_authen_profile
[Huawei-authen-profile-radius] authentication-profile name portal_authen_profile
Здесь мы использовали Radius, чтобы централизовать авторизацию — так клиент получает расширенное логирование (и с десяток других мелких фишек), а его подрядчикам становится проще работать с сетью в будущем.
1.5. Настраиваем подключение к серверам DNS
system-view
[Huawei] dns resolve
[Huawei] dns server
[Huawei] dns server
Без серверов ни пользователь, ни администраторы сети не смогут подключиться ни к одному сайту. Сеть вместо доменных имён (типа yandex.ru) использует IP — и без DNS-серверов зайти на сайт можно только по этому самому IP.
1.6. Создаём пул vlan’ов
system-view
[Huawei] vlan pool
[Huawei] vlan
Через каждый vlan пользователи будут подключаться к нашей сети из различных её сегментов.
1.7. Задаём vlan и его имя для устройства, через которое мы будем управлять точками доступа в сеть.
system-view
[Huawei] vlan
[Huawei-vlan] name
system-view
[Huawei] radius-server template default
[Huawei-radius-default] radius-server shared-key cipher
[Huawei-radius-default] radius-server template RADIUS_SERVER
[Huawei-radius-RADIUS_SERVER] radius-server shared-key cipher
[Huawei-radius-RADIUS_SERVER] radius-server authentication weight 80
[Huawei-radius-RADIUS_SERVER] radius-server authentication weight 80
[Huawei-radius-RADIUS_SERVER] undo radius-server user-name domain-included
[Huawei-radius-RADIUS_SERVER] radius-server attribute translate
[Huawei-radius-RADIUS_SERVER] radius-server attribute message-authenticator access-request
[Huawei-radius-RADIUS_SERVER] radius-attribute set Called-Station-Id
system-view
[Huawei] acl name
[Huawei-acl-] rule 5 permit source
[Huawei-acl-] acl name
[Huawei-acl-] rule 5 permit source
[Huawei-acl-] rule 10 permit source
system-view
[Huawei] aaa
[Huawei-aaa] authentication-scheme radius
[Huawei-aaa-authen-radius] authentication-mode radius
[Huawei-aaa-authen-radius] authentication-scheme radius_local
[Huawei-aaa-authen-radius_local] authentication-mode radius local
[Huawei-aaa-authen-radius_local] authorization-scheme default
[Huawei-aaa-authen-default] accounting-scheme default
[Huawei-aaa-author-default] local-aaa-user password policy administrator
[Huawei-aaa-author-default] password expire 0
[Huawei-aaa-author-default] domain default
[Huawei-aaa-domain-default] authentication-scheme radius
[Huawei-aaa-domain-default] radius-server default
[Huawei-aaa-domain-default] domain default_admin
[Huawei-aaa-domain-default_admin] authentication-scheme radius_local
[Huawei-aaa-domain-default_admin] radius-server RADIUS_SERVER
У нас авторизация происходит через Радиус.
Вне этой части обязательно прописывается локальный пользователь, чтобы он мог зайти в сеть без внешних сервисов. У нас это админы с максимальным уровнем привилегий.
1.10.1. Прописываем админов
[Huawei-aaa-domain-default_admin] local-user password irreversible-cipher
[Huawei-aaa-domain-default_admin] local-user privilege level 15
[Huawei-aaa-domain-default_admin] local-user service-type terminal ssh http
//Последняя строчка разрешает пользователю заходить и локально, без использования Радиуса.
system-view
[Huawei] interface
[Huawei-Vlanif] description =AC-Management=
[Huawei-Vlanif] ip address
[Huawei-Vlanif] vrrp vrid 1 virtual-ip
[Huawei-] admin-vrrp vrid 1
[Huawei-] vrrp vrid 1 priority 120
[Huawei-] vrrp vrid 1 preempt-mode timer delay 1800
[Huawei-] vrrp vrid 1 timer advertise 1
[Huawei-] management-interface // на модели 6005 эта команда не нужна
Эта настройка помогает использовать ранее созданные vlan’ы.
1.12. Настраиваем интерфейс для HSB между основными и резервными контроллерами
system-view
[Huawei] interface Vlanif
[Huawei-Vlanif] description =HSB Service=
[Huawei-Vlanif] ip address
Через эту настройку оборудование получает лицензии, нужные для подключения и работы.
1.13. Настраиваем линки между основным и резервным контроллером.
system-view
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan
Также настраиваем отдельный порт для HSB, нужного для передачи лицензий.
1.14. Указываем IP-адреса для работы HSB
system-view
[Huawei] hsb-service 0
[Huawei-hsb-service-0] service-ip-port local-ip peer-ip local-data-port 10241 peer-data-port 10241[Huawei-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
[Huawei-hsb-service-0] hsb-group 0
[Huawei-hsb-group-0] track vrrp vrid 1 interface Vlanif
[Huawei-hsb-group-0] bind-service 0
[Huawei-hsb-group-0] hsb enable
system-view
[Huawei] interface Eth-Trunk1
[Huawei-Eth-Trunk1] port link-type trunk
[Huawei-Eth-Trunk1] undo port trunk allow-pass vlan 1
[Huawei-Eth-Trunk1] port trunk allow-pass vlan to
[Huawei-Eth-Trunk1] mode lacp-static
Этот интерфейс объединяет в себя другие, что повышает отказоустойчивость, скорость и стабильность передачи данных. Провести такие настройки можно не на каждой топологии — на нашей это было возможно.
1.16. Указываем, какие физические интерфейсы будут участвовать в eth-trunk’е
system-view
[Huawei] interface XGigabitEthernet0/0/1
[Huawei-XGigabitEthernet0/0/1] eth-trunk 1
[Huawei-XGigabitEthernet0/0/1] interface XGigabitEthernet0/0/2
[Huawei-XGigabitEthernet0/0/2] eth-trunk 1
system-view
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei-GigabitEthernet0/0/2] interface GigabitEthernet0/0/3
[Huawei-GigabitEthernet0/0/3] port link-type access
[Huawei-GigabitEthernet0/0/3] port default vlan 2
[Huawei-GigabitEthernet0/0/3] interface GigabitEthernet0/0/4
[Huawei-GigabitEthernet0/0/4] port link-type access
[Huawei-GigabitEthernet0/0/4] port default vlan 2
[Huawei-GigabitEthernet0/0/4] interface GigabitEthernet0/0/5
[Huawei-GigabitEthernet0/0/5] port link-type access
[Huawei-GigabitEthernet0/0/5] port default vlan 2
[Huawei-GigabitEthernet0/0/5] interface GigabitEthernet0/0/6
[Huawei-GigabitEthernet0/0/6] port link-type access
[Huawei-GigabitEthernet0/0/6] port default vlan 2
[Huawei-GigabitEthernet0/0/6] interface GigabitEthernet0/0/7
[Huawei-GigabitEthernet0/0/7] port link-type access
[Huawei-GigabitEthernet0/0/7] port default vlan 2
И точно таким же образом настраиваем все неиспользуемые интерфейсы.
[Huawei-GigabitEthernet0/0/8] port link-type access
[Huawei-GigabitEthernet0/0/8] port default vlan 2
По сути отключаем эти порты, а на случай, если их кто-то ненамеренно включит, настраиваем vlan-блэкхолл, в котором ничего нельзя сделать. Так сеть становится безопаснее.
Важно! Эти настройки помогли сделать безопаснее нашу сеть. В вашем случае необходимо учесть модель контроллера и количество портов.
1.18. Настраиваем SNMP на КТД
system-view
[Huawei] snmp-agent community write
[Huawei] snmp-agent community complexity-check disable
[Huawei] snmp-agent sys-info contact Administrator
[Huawei] snmp-agent sys-info location
[Huawei] snmp-agent sys-info version v2c
[Huawei] snmp-agent target-host trap-hostname esight address udp-port
[Huawei] snmp-agent trap enable
[Huawei] snmp-agent
Это протокол для мониторинга, через который мы контролируем подключённые к сети устройства. Мы подключаем его везде, где требуется внимание администратора.
1.19. Настраиваем удалённый доступ через SSH
system-view
[Huawei] ssh client first-time enable
[Huawei] stelnet server enable
[Huawei] undo telnet ipv6 server enable
[Huawei] ssh server secure-algorithms cipher aes256_ctr aes128_ctr
[Huawei] ssh server secure-algorithms hmac sha2_256 md5
[Huawei] ssh server key-exchange dh_group14_sha1
[Huawei] ssh client secure-algorithms cipher aes256_ctr aes128_ctr
[Huawei] ssh client secure-algorithms hmac sha2_256
[Huawei] ssh client key-exchange dh_group14_sha1
system-view
[Huawei] ip route-static 0.0.0.0 0.0.0.0
В нашей топологии у контроллера статический IP-адрес и статический маршрут по умолчанию.
1.22. Настраиваем CAPWAP
system-view
[Huawei] capwap source ip-address
Эта настройка задаёт адрес, на который ТД будут строить capwap-туннели, передающие информацию от контроллера к точкам доступа. Их используют для заливки софта и синхронизации определённых параметров.
1.23. Настраиваем доступ по консоли и терминалу для возможности локально авторизоваться
system-view
[Huawei] user-interface con 0
[Huawei-ui-console0] authentication-mode aaa
[Huawei-ui-console0] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
system-view
[Huawei-wlan] wlan
[Huawei-wlan-view] calibrate enable auto interval 60 start-time 09:34:30
[Huawei-wlan-view] traffic-profile name default
[Huawei-wlan-traffic-prof-default] undo traffic-optimize bcmc unicast-send dhcp
security-profile name default
[Huawei-wlan-traffic-prof-default] security-profile name default-wds
[Huawei-wlan-sec-prof-default-wds] security wpa2 psk pass-phrase
[Huawei-wlan-sec-prof-default-wds] security-profile name
[Huawei-wlan-sec-prof] security wpa2 dot1x aes
[Huawei-wlan-sec-prof] security-profile name default-mesh
[Huawei-wlan-sec-prof-_default-mesh] security wpa2 psk pass-phrase
[Huawei-wlan-sec-prof-_default-mesh] ssid-profile name
[Huawei-wlan-ssid-prof-] ssid
[Huawei-wlan-ssid-prof-] vap-profile name
[Huawei-wlan-vap-prof-] service-vlan vlan-pool
[Huawei-wlan-vap-prof-] ssid-profile
[Huawei-wlan-vap-prof-] security-profile
Huawei-wlan-vap-prof-] authentication-profile
Дальше мы работаем с регионом. Мы используем типичные для РФ настройки, работая только на разрешённых частотах и оборудовании. В других странах другие требования и регламенты — обязательно проверьте их.
[Huawei-wlan-vap-prof-] regulatory-domain-profile name Russia
[Huawei-wlan-regulate-domain-Russia] country-code RU
[Huawei-wlan-regulate-domain-Russia] regulatory-domain-profile name default
[Huawei-wlan-regulate-domain-default] country-code RU
[Huawei-wlan-regulate-domain-default] ap-group name default
[Huawei-wlan-ap-group-default] regulatory-domain-profile Russia
[Huawei-wlan-ap-group-default] radio 0
[Huawei-wlan-ap-group-default-radio0/0] radio-2g-profile without802.11b
[Huawei-wlan-ap-group-default-radio0/0] vap-profile
wlan 1[Huawei-wlan-ap-group-default-radio0/0] radio 1
[Huawei-wlan-ap-group-default-radio0/1] vap-profile
wlan 1[Huawei-wlan-ap-group-default-radio0/1] ap-group name
[Huawei-wlan-ap-group-] regulatory-domain-profile Russia
system-view
[Huawei] wlan
[Huawei-wlan-view] master controller
[Huawei-master-controller] master-redundancy track-vrrp vrid 1 interface Vlanif
[Huawei-master-controller] master-redundancy peer-ip ip-address local-ip ip-address psk
Задаём трекинг и IP для обеспечения стабильности работы. У нас два взаимозаменяемых контроллера, поэтому мы настраиваем их работу следующим образом:
1.26. Задаём прошивку для подключаемых точек доступа
system-view
[Huawei-wlan-view] ap update update-filename ap-type 97
[Huawei-wlan-view] ap update update-filename ap-type 97 ap-group default
С этими настройками они точно будут поддерживать нужные функции и фишки. Мы выбрали FitAP2051DN_V200R010C00SPC800. После активации этой конфигурации прошивка будет загружаться автоматически в любую точку доступа, которую мы подключим в сеть.
1.27. Задаём типы подключаемых устройств и их идентификацию
system-view
[Huawei] device-profile profile-name @default_device_profile
[Huawei-device-prof-@default_device_profile] device-type default_type_phone
[Huawei-device-prof-@default_device_profile] enable
[Huawei-device-prof-@default_device_profile] rule 0 user-agent sub-match Android
[Huawei-device-prof-@default_device_profile] rule 1 user-agent sub-match iPhone
[Huawei-device-prof-@default_device_profile] rule 2 user-agent sub-match iPad
[Huawei-device-prof-@default_device_profile] if-match rule 0 or rule 1 or rule 2
Здесь это пока не используется — но при необходимости с этой настройкой можно задавать разные правила для Эппла и Андроида.
1.28. Настраиваем определение способа авторизации пользователей в сети
system-view
[Huawei] dot1x-access-profile name
[Huawei-dit1x-access-profile] dot1x-access-profile name dot1x_access_profile
Эта настройка нужна, если в сети можно авторизоваться с разных профайлов и разными способами.
1.29. Настраиваем NTP-клиент
system-view
[Huawei] ntp-service enable
[Huawei] ntp-service unicast-server
[Huawei] ntp-service unicast-server
Через этот клиент мы будем получать точнейшее время, единое для всех контроллеров. Это поможет правильно работать кластеру, серверам, сервисам и чему угодно, что задаёт проверку по системному времени.
2. Подключаем и настраиваем лицензию
Лицензия привязывается к серийному номеру контроллера и выдаётся на некоторое количество точек доступа. HSB выше настраивается как раз для того, чтобы не покупать лицензии на каждый из контроллеров, а легально их передавать в рамках одного кластера.
2.1. Согласно файлу лицензий на точки доступа заказываем лицензию на контроллер. Данные, которые необходимо предоставить для заказа лицензий: s/n контроллера, сетевое имя контроллера, количество точек доступа в лицензии без учёта дефолтных точек доступа.
2.2. После получения файла лицензии на точки доступа его необходимо загрузить на контроллер master.
2.3. Загружаем прошивку по tftp или ftp.
2.3. Загружаем прошивку по tftp или ftp.
tftp tftp_server_ip get license_file
ftp ftp_server_ip
[ftp] binary
[ftp] get license_file
3. Настраиваем группы
Здесь мы работаем с vlan-ами, их настройкой и распределением.
system-view
[Huawei] vlan pool
[Huawei-vlan-pool-pool] vlan // диапазон вланов для пользователей на конкретном коммутаторе распределения
system-view
[Huawei] wlan
[Huawei-wlan-view] vap-profile name
[Huawei-wlan-vap-prof—vap] service-vlan vlan-pool
[Huawei-wlan-vap-prof—vap] ssid-profile
[Huawei-wlan-vap-prof—vap] security-profile
[Huawei-wlan-vap-prof—vap] authentication-profile
// один vap-profile на один маршрутизатор сегмента сети
system-view
[Huawei] wlan
[Huawei-wlan-view] ap-group name
[Huawei-wlan-ap-group-] regulatory-domain-profile Russia
[Huawei-wlan-ap-group-] radio 0
[Huawei-wlan-ap-group-radio0/0] radio-2g-profile without802.11b
[Huawei-wlan-ap-group-radio0/0] vap-profile
[Huawei-wlan-ap-group-radio0/0] radio 1
[Huawei-wlan-ap-group-radio0/1] vap-profile
// одна группа соответствует одному маршрутизатора, одного сегмента сети
4. Переименовываем точки доступа и добавляем их в группы
Чтобы проект соответствовал топологии и работал корректно, каждой точке доступа нужно присвоить группу. Если этого не сделать, точка доступа не сможет авторизовать пользователей и не будет применять настройки профайлов и групп, сделанных ранее.
system-view
[Huawei] wlan
[Huawei-wlan-view] ap-id
[Huawei-wlan-ap-] ap-name
[Huawei-wlan-ap-] ap-group
На этом настройка контроллеров завершена.
P. S. А что в подобных проектах обычно делаете вы? Какие выбираете сервисы, как настраиваете контроллеры? Есть ли у вас какие-то любимые фишки? Делитесь ими в комментариях — мы будем рады обратной связи и дополнению статьи.