В последнее время всё большей популярностью начинают
реклама
В последнее время всё большей популярностью начинают пользоваться беспроводные сети доступа в
интернет. Также возрастают и потребности к качеству обслуживания клиентов, безопасности доступа и
стабильности работы hot spot-систем.
Клиент поставил задачи:
Стабильное радиопокрытие площадей.
Гарантированную скорость работы в сети (полосу пропускания).
Минимальное время переключения мобильных устройств в режиме роуминга.
«Прозрачный» режим роуминга и сквозные механизмы авторизации и аутентификации.
Непрерывный мониторинг состояния радиосети и качества радиопокрытия.
Блокирование работы несанкционированных радиоустройств.
Обеспечение режима QoS (качества обслуживания) для передачи голоса (в том числе VoIPтелефонии) и критичных ко времени данных.
Обеспечение автоматического резервирования сегментов радиопокрытия и каналов передачи
данных.
Стандартное решение, которое представляет собой набор точек доступа stand alone, клиенту не
подошло. Что же делать?
На помощь пришло решение от компании D-link - коммутаторы серии DWS-30XX. Гигабитные
беспроводные коммутаторы уровня 2+, предназначенные для развертывания беспроводной сети в
сетях крупных предприятий. Благодаря этим устройствам можно создавать унифицированные
масштабируемые, высокопроизводительные, безопасные и управляемые проводные/беспроводные
коммутируемые локальные сети. Располагая гигабитными портами, слотами для установки
дополнительных модулей 10GE (DWS-3026), поддержкой технологии Power over Ethernet и
возможностью подключения резервных источников питания, коммутаторы обеспечивают предприятиям
простой переход к беспроводным сетям стандарта 802.11n, быстрое подключение беспроводных
устройств, несмотря на их физическое расположение и централизованное управление политиками
безопасности.
Комплект состоит из:
Коммутатора DWS-3024 или DWS-3026
Точки доступа DWL-3500AP
Точки доступа DWL-8500AP
Спецификация
Интерфейсы
20 портов 10/100/1000BASE-T Gigabit Ethernet c поддержкой 802.3af PoE
4 комбо-порта SFP/1000Base-T PoE
Консольный порт RS-232
Поддержка резервного источника питания
Разъем для подключения резервного источника питания DPS-600
Power over Ethernet
Стандарт: 802.3af
Выходная мощность на каждом порту: 15.4 Вт
Общая выходная мощность: 370 Вт
Автоотключение порта при значении тока выше 350мА
Производительность
Коммутационная фабрика: 48 Гбит/с
Скорость передачи пакетов: 35.71 Mpps
Метод коммутации: Store and Forward
Размер буфера пактов: 750 Кб
Управление потоком
Управление потоком 802.3x в режиме полного дуплекса
Метод «обратного давления» в полудуплексном режиме
Функции управления WLAN
До 48 точек доступа (непосредственное подключение или через коммутатор LAN)
До 512 беспроводных пользователей
Роуминг
Быстрый роуминг
Роуминг в пределах коммутатора
Межсетевой роуминг
Управление доступом и полосой пропускания
До 16 SSID на точку доступа (8 SSID на радиочастотный канал)
Балансировка нагрузки между точками доступа
Управление точками доступа
Автоматическое обнаружение точек доступа
Удаленная перезагрузка точек доступа
Мониторинг точек доступа: список управляемых точек доступа, несанкционированных и не
прошедших аутентификацию точек доступа
Мониторинг клиентов: список клиентов, ассоциированных с каждой управляемой точкой
доступа
Мониторинг клиентов Ad-hoc
Аутентификация точек доступа в локальной базе данных или на внешнем сервере RADIUS
Централизованное управление каналами/политиками безопасности
Функции безопасности WLAN
WPA Personal/Enterprise
WPA2 Personal/Enterprise
64/128/152-бит WEP-шифрование
Классификация беспроводных станций и точек доступа на основе канала, МАС-адреса, SSID,
времени
Классификация несанкционированных и действительных точек доступа на основе МАС-адреса
Типы шифрования: WEP, WPA, Dynamic WEP, TKIP, AES-CCMP, EAP-TLS, TTLS, PEAP-GTC, PEAPMS-CHAPv2, EAP-FAST
Функции 2 уровня
Размер таблицы MAC-адресов: 8K записей
IGMP Snooping: 1K многоадресных групп
Spanning Tree:
8021.D Spanning Tree
802.1w Rapid Spanning Tree
802.1s Multiple Spanning Tree
Агрегирование каналов 802.3ad:
до 32 групп
до 8 портов в группе
Зеркалирование портов:
One-to-One
Many to One
Размер Jumbo-фреймов: до 9Kб
VLAN
802.1Q VLAN
До 3965 групп VLAN
GVRP
Функции 3 уровня
Статическая маршрутизация IPv4
Размер таблицы маршрутизации: до 128 статических маршрутов
Плавающие статические маршруты
VRRP
QoS (Качество обслуживания)
Очереди приоритетов 802.1p (до 8 очередей на порт)
CoS на основе: порта коммутатора, VLAN, DSCP, номера порта TCP/UDP, TOS, MAC-адреса
источника/приемника, IP-адреса источника/приемника
Управление полосой пропускания: шаг 1% от скорости канала
Списки управления доступом (ACL)
ACL на основе: порта коммутатора, MAC-адреса, очередей приоритетов 802.1p, VLAN,
Ethertype, DSCP, IP-адреса, типа протокола, номера порта TCP/UDP
Функции безопасности LAN
Аутентификация RADIUS при административном доступе
Аутентификация TACACS+ при административном доступе
SSH v1, v2
SSL v3
Функция Port Security:
20 MAC-адресов на порт
Уведомления в случае срабатывания функции
Управление доступом 802.1x на основе портов
Защита от атак DoS
Управление широковещательным штормом: шаг 1% от скорости канала
Методы управления
Web-интерфейс
CLI
Сервер Telnet: до 5 сессий
Клиент Telnet
Клиент TFTP
SNMP v1, v2c, v3
Несколько файлов конфигурации
RMON v1: 4 Groups (Statistics, History, Alarms, Events)
Клиент BOOTP/DHCP
Сервер DHCP
SNTP
SYSLOG
Поддержка двух копий ПО (Dual Images)
Физические параметры и условия эксплуатации:
Индикаторы
На устройство: Power, Console, RPS
Для порта 10/100/1000BASE-T: Link / Activity / Speed, PoE
Для слота SFP: Link/Activity
Питание
Питание: внутренний универсальный источник питания от 100 до 240 В переменного тока,
50/60 Гц
Потребляемая мощность:: 450 Вт (макс., при функционировании всех портов PoE)
Тепловыделение
Тепловыделение: 1535.49 BTU/час
Вентиляция: 4 вентилятора 40 x 40 мм
Размер
440 (Ш) x 389 (Г) x 44 (В) мм
Установка в 19” стойку, высота 1U
Вес
6.0 кг
Рабочая температура
От 0o до 40o C
Температура хранения
От -10o до 70o C
Рабочая влажность
От 10% до 90% без образования конденсата
Влажность хранения
От 5% до 90% без образования конденсата
Электромагнитная совместимость
FCC Class A
ICES-003
VCCI
CE
C-Tick
Безопасность
UL/cUL
CB
Коммутаторы поддерживают широкий набор возможностей управления, такие как:
• Web-интерфейс
• Командная строка (CLI)
• Simple Network Management Protocol (SNMP) v1, v2, v3
В данном обзоре мы рассмотрим конфигурирование этих устройств через Web-интерфейс.
WEB-интерфейс по сравнению с ранними моделями других линеек коммутаторов D-link выглядит более
приятней и понятней. В дополнение к коммутации уровня 2+, DWS-3024/ DWS-3026 также
поддерживают расширенный функционал уровней 3/4 и возможности идентификации пользователей,
что делает эти решения серьёзным инструментом для построения масштабных сетей. Слева страницы
интерфейса имеется поле дерева конфигурации с двумя закладками Lan и Wlan, где соответственно
настраивается проводная и беспроводная часть сети.
Роуминг
Основной особенностью данных свитчей является мониторинг пользователей и управление их
аутентификацией во время роуминга. Эти свитчи могут задавать и управлять всеми параметрами
беспроводных точек доступа, включая радиочастотные каналы, управление питанием, сегментацией
беспроводного трафика, балансировкой нагрузки, обнаружением несанкционированных точек доступа
и параметрами безопасности.
На примере рассмотрим, как же осуществляется роуминг беспроводных клиентов в этих устройствах.
Данный пример предлагает построение большой Wireless-сети, которая состоит из нескольких
беспроводных коммутаторов (в этом случае их два), подключенных через опорную сеть уровня L3.
Кроме того, в данном сценарии, рассматривается развёртывание L3 - туннелей для WPA2
аутентификации (fast autheticated roaming) и WPA Enterprise безопасности с использованием
RADIUS-сервера.
В следующей таблице показаны настройки интерфейсов устройств, вместе с их IP-адресами, портами, а
также VLAN'ами и DHCP-пулами.
Interface/Device
IP Address
Port
WS1 Management Interface
VLAN
ID/Name
NA
10.90.90.90/8
Any unused L2
port
WS1 Loopback Interface
NA
192.168.10.250/32
Logical only
WS1 L3 Tunnel Interface
2 - RD
192.168.2.254/24
Logical only
WS1 L3 Tunnel Interface
3 - Sales
192.168.3.254/24
Logical only
WS1 L3 Tunnel Interface
100 - Guest
192.168.100.254/24
Logical only
WS1 Interface to L3 Device
10 - Core
172.17.5.253/24
0/24
L3 Device Interface to WS1
NA
172.17.5.254/24
L3 device port
WS2 Management Interface
NA
10.90.90.91/24
Any unused
WS2 Loopback Interface
NA
192.168.20.250/32
Logical only
WS2 L3 Tunnel Interface
2 - RD
192.168.2.253/24
Logical only
WS2 L3 Tunnel Interface
3 - Sales
192.168.3.253/24
Logical only
WS2 L3 Tunnel Interface
100 - Guest
192.168.100.253/24
Logical only
WS2 Interface to L3 Device
10 - Core
172.17.6.253/24
0/24
L3 Device Interface to WS2
NA
172.17.6.254/24
L3 device port
FTP or other Server on WS1
5 - Server
192.168.5.254/24 192.168.5.x/24 for
server
0/13
RADIUS Server on WS2
4 - Server
192.168.4.254/24 192.168.4.x/24 for
server
0/13
AP1 on WS1
101 – AP1
192.168.101.254/24 192.168.101.x/24 0/1
for AP
AP2 on WS2
102 – AP2
192.168.102.254/24 192.168.102.x/24 0/1
for AP
DHCP for Clients on Guest SSID
NA
192.168.100.x/24
Wireless
DHCP for Clients on D-LINK-NET1 NA
SSID
192.168.2.x/24
Wireless
DHCP Clients on D-LINK-NET2
SSID
192.168.3.x/24
Wireless
NA
Конфигурация WS1 и WS2.
В данном разделе рассматривается настройка беспроводных коммутаторов WS1 и WS2, а также всех
возможностей настройки в закладке «LAN» навигационной панели. Настройте параметры DHCPсервера, а также диапазоны адресов в WS1 для предоставления адресов AP1, гостевым клиентам,
использующих туннели, а также для АР2 на WS2.
Настройка маршрутов на WS1, WS2 и L3 устройствах.
Для IP-соединения между беспроводными свитчами, аксесс-поинтами и серверами вам необходимо
настроить маршруты на беспроводных свитчах и устройстве ядра L3. Вы можете настроить статичные
маршруты для каждой подсети, к которой необходимо иметь доступ на беспроводном свитче, либо
настроить маршрут по умолчанию. Для того чтобы иметь прямую связь, беспроводному свитчу
необходимо как минимум иметь IP-доступ к другому беспроводному свитчу, а аксесс-поинту
необходимо иметь IP-доступ к RADIUS-серверу для WPA2 аутентификации. Другие маршруты (или
маршрут по умолчанию) предоставляют доступ клиентам к другим подсетям.
Ниже приведена таблица конфигурирования статических маршрутов и маршрутов по умолчанию:
Deviceb> Network Address Mask
Next Hop IP Address
WS1
0.0.0.0
0.0.0.0
172.17.5.254
WS2
0.0.0.0
0.0.0.0
172.17.6.254
L3 Device 192.168.101.0
255.255.255.0 172.17.5.253
L3 Device 192.168.102.0
255.255.255.0 172.17.6.253
L3 Device 192.168.4.0
255.255.255.0 172.17.6.253
L3 Device 192.168.10.0
255.255.255.0 172.17.5.253
L3 Device 192.168.20.0
255.255.255.0 172.17.6.253
L3 Device 192.168.5.0
255.255.255.0 172.17.5.253
Примечание: Статические маршруты между АР1, АР2 и RADIUS-сервером необходимы только для
использования WPA2-EAP аутентификации.
Примечание: Маршрут по умолчанию в первую очередь направит весь неизвестный IP-трафик от
беспроводного свитча к пользовательскому L3 свитчу, и настроенный на L3 свитче маршрут направит
трафик к беспроводному свитчу, чтобы иметь доступ к подсети АР2. Это вызовет зацикливание
трафика в случае перебоя напряжения на АР, подключенному к беспроводному свитчу. Так происходит
потому, что при перебое напряжения у АР соединение с беспроводным свитчем теряется, и если это
было единственное соединение к подсети АР1, то локальные маршруты также перестанут работать.
Беспроводной свитч все же будет пытаться установить соединение с АР в течение минуты, после чего
он определит, что АР недоступна. С этого момента у беспроводного свитча больше не будет IPмаршрутов до АР, но тем не менее он будет направлять весь трафик к гейтвею по умолчанию, которым
является один из пользовательских L3, который в свою очередь может иметь маршрут, направляющий
трафик назад к беспроводному свитчу, что и вызывает зацикливание. Зацикливание приведет к
насыщению соединения между беспроводным свитчем и устройством L3, что может привести к потере
соединения между беспроводным свитчем и «удаленным» АР, вызывающим падение беспроводной
демо-сети. Эта ошибка устранится сама собой, как только беспроводной свитч решит, что АР1
недоступен. На практике АР практически никогда не придет в такое состояние, и обмен трафиком
будет происходить даже при движении клиента. Но если АР станет недоступным и маршруты настроены
по схеме, описанной выше, то будет наблюдаться короткий перебой связи.
Настройка размера MTU
Настройте подходящий размер MTU на интерфейсе для поддержки больших фреймов, возможных в L3туннелинге.
Настройка WLAN
Настройте параметры WLAN для поддержки 3 туннельных SSID-сетей на обоих беспроводных свитчах.
Настройте «Гостевой» SSID без защиты, “D-LINK-NET1” с использованием WPA2 (см. ниже) и «D-LINKNET2” с использованием статичного WEP. Проставьте подсетевые L3-туннельные адреса в настройках.
Настройка WPA2
Чтобы сделать WPA2 доступной, включите опцию безопасности “wpa-enterprise”, настройте WPACiphers для использования TKIP и CCMP и включите WPA2-версию WPA. Кроме того, настройте IPадреса и соответствующий «secret» для RADIUS-сервера в профайле АР (192.168.4.1). Вам также
потребуется соответствующим образом настроить клиент для поддержки WPA2, что может потребовать
обновления операционной системы.
Настройка обнаружения
Настройте параметры обнаружения WLAN на обоих беспроводных свитчах. Используйте IP/L3-обнаружение на
беспроводном свитче 1 и/или беспроводной свитч 2 для обнаружения других конечных точек через подсети (другими
словами, добавьте обратный адрес беспроводного свитча 2 в лист обнаружения беспроводного свитч а 1).
Используйте L2/VLAN-обнаружение на беспроводном свитче 1 и 2 для обнаружения точек доступа на VLAN 101 и
102 соответственно (другими словами, добавьте VLAN 101 в лист обнаружения L2 на беспроводном свитче 1 и
VLAN 102 в листе обнаружения беспроводного свитча 2).
Соединения
Установите соединение между устройствами и убедитесь, что точки доступа перешли в управляемое
состояние. Вам будет необходимо добавить MAC-адреса АР в локальную базу точек доступа.
Настройка RADIUS-сервера
Поскольку WPA Enterprise (WPA2) требуется RADIUS-сервер для аутентификации клиентов, вам
необходимо настроить записи для АР, которые делают запрос на сервер от имени клиентов, а также
записи для всех пользователей. В этом примере вы добавляете только одну запись в базу данных
сервера.
Эта настройка применима только лишь к FreeRadius RADIUS-серверу. Настройка в данном разделе
касается только 2 файлов:
1.
2.
3.
• C:\Program Files\FreeRADIUS.net-1.1.1-r0.0.1\etc\radd\client.conf
• C:\Program Files\FreeRADIUS.net-1.1.1-r0.0.1\etc\radd\users
Добавьте клиентскую запись для АР1 в файл clients.conf:
client 192.168.101.0/24 {
secret = secret
shortname = my-ap1
}
Замечание: «secret» - тот же самый, который был добавлен в соответствующее поле RADIUS-сервера в разделе по
настройке D-LINK-NET1 Wireless Network Configuration.
То же самое для клиентской записи для АР2
1.
Добавьте пользователя с именем “dlink” и паролем «admin» в файл «users”:
dlink Auth-Type := EAP, User-Password == "admin
1.
Перезагрузите RADIUS-сервер (вы должны перезапускать сервер после внесения любых
изменений, вносимых в конфигурационные файлы).
Проверка настроек
На беспроводном свитче 2 нажмите «Monitoring» - “Access Points” – “Failed Access Points” и добавьте АР2 в базу
валидных АР на беспроводном свитч е 2.
Подсоединитесь к АР1 от клиента и убедитесь что вы сможете видеть SSID:
Guest Network
D-LINK NET1
D-LINK NET2
Подсоединитесь к сети D-LINK-NET1 от клиента, чтобы убедиться что WPA2-аутентификация требуется.
После соединения проверьте IP-адрес, который был выдан по DHCP.
Запустите «roaming”-тест.
Проверка функции L3 Authenticated Roaming
Имитация роуминга посредством выключения АР.
Данная процедура описывает как осуществить L3 туннель роуминг-тест.
1.
2.
3.
4.
5.
Используйте ноутбук для проверки соединения путем ассоциирования SSID “D-LINK-NET1”, и
проверьте правильность получения IP-адреса от DHCP беспроводного свитча после
аутентификации через подсеть, используя WPA2.
Как только соединение будет установлено, вы можете посмотреть, к какому именно АР
присоединился ноутбук.
Начните пинговать один из сетевых интерфейсов (172.17.5.253 или 254) или лупбекинтерфейс 192.168.10.254.
Разорвите соединение с текущим АР и посмотрите, через какой промежуток времени ваш
ноутбук присоединится к любому другому АР. Потеря одного пинга во время роуминга –
нормальная ситуация. Вы также можете заметить, что клиент не будет аутентифицироваться на
РАДИУС сервере по причине уменьшения задержек соединения.
Вы можете повторить шаги 2-4 без изменения IP-адреса или потери пакетов.
Имитация роуминга посредством отключения RADIUS-сервера
Данная процедура показывает как имитировать роуминг? отключая радио, с которым ассоциирован в
данный момент клиент. При использовании данного метода связь между беспроводным свитчем и АР не
будет разорвана, маршруты не пропадут, и не произойдет зацикливание.
1.
2.
3.
4.
5.
6.
Используйте ноутбук для проверки беспроводного соединения с SSID “D-LINK-NET1” и
убедитесь, что вы получаете IP-адрес от DHCP-сервера беспроводного свитча в туннельной
сети после успешной аутентификации с WPA2.
Когда соединение будет установлено – можно посмотреть, к какому именно АР вы
присоединены.
Начните пинговать один из интерфейсов (172.17.5.253 или 254) или лупбек интерфейс
192.168.10.254
Включите опцию “debug” для получения доступа к клиентскому командному интерфейсу через
телнет.
Откройте telnet-сессию с IP-адресом точки доступа, к которому вы присоединены, и
залогинтесь.
Отключите радиоприёмники командой “set radio all status down”. Вы пронаблюдаете роуминг
клиента к другой точке с минимальной потерей пакетов.
Реальный роуминг
Реальный роуминг заключается в физическом перемещении клиента от точки к точке с более
качественным и сильным сигналом автоматически. Это хорошо наблюдается, когда точки доступа
хорошо удалены, чтобы наблюдать уменьшение силы сигнала от одной точки при перемещении и
усилении сигнала к другой. Беспроводные VoIP телефоны – лучшие клиенты в данном случае, так как
они настроены на автоматическое переключение к точке с более сильным сигналом. Обычные клиенты
не настроены на быстрое переключение между точками доступа и часто не успевают переключиться к
точке с более сильным сигналом, что приводит к потере трафика.
Радиоприемники на каждой точки доступа могут периодически сканировать радиочастоты для сбора
информации о других точках доступа и беспроводных клиентах, находящихся в радиусе досягаемости.
В нормальном рабочем режиме точки всегда сканируют по всем каналам Wi-Fi. Также в этих
беспроводных коммутаторах реализована очень интересная функция, которая позволяет визуально
оценить состояние вашей беспроводной сети, это функция называется VLAN Visualization.
WLAN Visualization позволяет графически увидеть состояние вашей беспроводной сети, здесь
применяется технология Java для отображения свитчей, точек доступа, чужих точек доступа и
ассоциированных беспроводных клиентов. Данный WLAN-инструмент поможет вам увидеть
расположение точек доступа на карте, которую вы загружаете в виде фона (используются файлы
графических форматов - jpg и gif). Затем вы расставляете компоненты на карте, перетаскивая мышкой
из левой колонки MAC- или IP-устройства на карту, которые автоматически преобразуются в
соответствующий графический элемент. Мониторинг происходит в режиме реального времени, вы
можете проверить состояние каждого элемента, щелкнув по нему правой кнопкой мышки. Также можно
настроить цветную маркировку канала, которая поможет определить, где физически расположены
точки доступа и задать охват покрытия WLAN.
