контроллера сети
В первой части статьи мы рассмотрели линейку точек доступа компании ZyXEL, предназначенных для профессионального применения, например организации защищенных беспроводных сетей в офисах или производственных помещениях. Обычно данный тип сетей требует использования нескольких точек доступа для гарантированного и качественного покрытия территории. В этой ситуации немаловажное значение имеет возможность управления всей объединенной беспроводной сетью с одной консоли и именно как единым целым — для настройки параметров связи, защиты, фильтров, указания пользователей и других. Так что реализованная в рассматриваемой линейке функция контроллера сети безусловно будет востребована в данном сегменте рынка.
Контроллер сети первоначально был встроен только в модификацию NWA-3160, однако с выходом прошивок версии 3.70 он доступен в любой модели линейки, объединяющей сегодня точки доступа NWA-3160, NWA-3500 и NWA3550 . Так что сегодня все устройства реализуют три возможных режима работы: автономная точка доступа, контроллер сети или управляемая контроллером точка доступа.
Точка доступа ZyXEL NWA-3160
Еще одним новшеством является увеличение максимального числа точек в управляемом кластере до 25. При этом есть автоматическая балансировка нагрузки (беспроводных клиентов) между участниками группы для обеспечения более стабильной и равномерной производительности.
В тесте участвовало две точки доступа NWA-3160 и точка доступа NWA3550
Точка доступа NWA3550
Несмотря на отмеченный ранее солидный вид NWA-3160, даже он не идет ни в какое сравнение с другой моделью этой серии — точкой доступа NWA3550, рассчитанной на установку вне помещений.
Точка доступа ZyXEL NWA3550
Конечно наш опыт, методики и критерии мало подходят к данному варианту оборудования. Однако оно участвовало в тестах и стоит его подробно описать.
Разъемы для подключения антенн и сети у NWA3550
Внешне точка доступа представляет собой квадратное устройство размером 25×25×8,5 см. Нижняя (задняя) часть изготовлена из металла, а верхняя (передняя) крышка пластиковая. Сделано это исключительно из соображений снижения веса, поскольку антенн внутри точки доступа нет. Для их подключения используются разъемы N-type, расположенные снизу. Как и NWA-3160, предполагается, что эта модель будет устанавливаться в вертикальном положении. Для этого сзади есть четыре отверстия для болтов, а в комплекте — специальные крепления на мачту или стену.
Комплектный механизм крепления NWA3550
Единственным интерфейсом , связывающим точку доступа с сетью является защищенный разъем RJ45. Он используется как для подключения к локальной сети, так и для подвода питания по стандарту PoE. В комплект поставки входит инжектор на 48 В 0,5 А.
Одно из отличий от NWA-3160 касается беспроводных карт — здесь их две одинаковых, к каждой подключен свой кабель для антенны. Настройка каждого интерфейса проводится независимо.
Учитывая, что устройство не имеет никаких доступных снаружи кнопок сброса, для приведения его в заводское состояние (например для переключения из одной сети в другую) можно использовать специальные программы, которые позволяют осуществить эту операцию по сети. Для их работы требуется знать MAC-адрес устройства.
Кроме упомянутых моделей, также ожидается появление версии с поддержкой 802.11n — NWA-3166, но точной информации о ней пока нет.
Режим контроллера сети
Как мы уже говорили, возможность управления сразу несколькими точками доступа с одной из них является очень полезной функцией. В этом случае система работает как «управляющий — несколько управляемых» и заметно упрощает развертывание и обслуживание больших беспроводных сетей, состоящих из большого числа точек доступа. В рассматриваемой линейке один контроллер может управлять двумя дюжинами точек доступа, так что общее число их в сети достигает 25. В первых прошивках контроллером могла быть только NWA-3160, а максимальное число «управляемых» составляло восемь.
Именно такой вариант работы мы и рассмотрим в этой статье. Сначала опишем необходимые требования для данного режима и его возможности.
Конечно потребуется точка доступа в режиме контроллера сети и несколько управляемых точек доступа. Все эти точки доступа необходимо подключить в один сегмент локальной сети с использованием проводного подключения. Кроме того, для «ведомых» в обязательном порядке требуется DHCP-сервер в сети. После перевода точки доступа в «управляемое» состояние, доступ к ней возможен только с контроллера сети или специальными программами для сервисного обслуживания. При необходимости, можно использовать и несколько сегментов для размещения устройств, но в этом случае придется задать на DHCP-сервере дополнительный параметр с указанием IP-адреса контроллера сети.
В прошивках 3.70 была добавлена возможность организации резервного контроллера сети, который берет на себя все функции основного, если последний будет недоступен. Также стоит отметить и новые функции по балансировке нагрузки и автоматическому выбору частотных каналов.
Отметим, что несмотря на то, что собственно функционалом можно управлять удаленно, некоторые операции (например смена прошивки устройства), осуществляются только в режиме «отдельная AP» или же с использованием консоли.
Для общения между собой, устройства используют специальный протокол CAPWAP, точнее его реализацию от ZyXEL. В частности это означает, что можно использовать в составе сети только точки доступа данного производителя, точные модели которых указаны в документации.
В результате администратор сети получает возможность устанавливать все параметры беспроводных сетей с одной страницы Web-интерфейса контроллера сети. Включая имена сетей, скорости, режимы шифрования, фильтры и многое другое. Причем все это можно осуществлять независимо для каждой участвующей точки доступа.
Посмотрим на примере, как настроить такую конфигурацию. В тестах участвовало следующее оборудование: NWA-3160 как контроллер сети, и NWA-3160 и NWA3550 как управляемые точки доступа, несколько беспроводных клиентских устройств, включая SIP-телефон ZyXEL P-2000W_V2.
Беспроводной SIP-телефон ZyXEL P-2000W_V2
Настройка начинается с NWA-3160. Для удобства мы указали ей фиксированный IP-адрес. Пароль администратора также стоит поменять. После этого на странице «MGNT MODE» выбирается пункт «AP Controller» и устройство перезагружается. На «ведомых» устройствах нужно осуществить только последнюю операцию — перевести их в режим «Managed AP». Все остальные настройки в данном случае несущественны.
После повторного входа на контроллер мы обнаруживаем новую страницу в меню — «CONTROLLER». Именно на ней производится управление составом управляемой группы устройств. Контроллер автоматически находит точки доступа в локальной сети и пользователь может добавить их в группу. Причем возможен и автоматический режим этого действия, однако это менее безопасно.
Из этого же меню вызывается настройка для выбора профиля работы каждой точки доступа. Причем работает это для каждого беспроводного интерфейса независимо (у модели NWA3550 их два).
Именно профиль определяет все параметры работы точек доступа. Всего в NWA-3160 их можно задать до шестнадцати. Так что по-сути рассматриваемый сценарий применения удобен не столько для создания и управления одной большой беспроводной сетью, а скорее для полного управления несколькими точками доступа из одного места. Ведь можно использовать на каждой точке доступа свои настройки беспроводного соединения. Однако ограничения из-за использования одного сегмента проводной сети могут иногда мешать.
Настройка профиля аналогична описанной в первой части статьи странице «WIRELESS» в режиме MBSSID. В параметрах профиля указываются диапазон беспроводной сети, канал, допустимые скорости и набор (до восьми) профилей SSID. Отметим интересную особенность выбора канала работы — если установить «Auto Selection» и использовать этот профиль в нескольких точках доступа, то они будут выбирать номер канала независимо друг от друга, исходя из текущего состояния эфира в месте установки. Так что может так получиться, что клиенты будут видеть в эфире сразу несколько сетей с одинаковым SSID, работающих на разных каналах. Впрочем проблем это этого нет. И даже эти сети-клоны не попадают в разряд «вражеских» у встроенного сканера.
Дальнейшая настройка беспроводной сети полностью совпадает с приведенным в первой части статьи описанием, так что быстро пробежимся по пунктам. Профиль SSID определяет все параметры каждой «виртуальной» беспроводной сети. В нем задается имя (с возможностью скрытия), профиль безопасности, радиус-сервер, QoS, фильтр MAC-адресов (для ограничения клиентов), блокировка трафика между клиентами, Layer 2 фильтр (для ограничение станций в сети, с которыми может общаться беспроводной клиент).
Отметим, что в объемном руководстве к устройствам приводятся несколько сценариев использования с подробными указаниями по настройке. Кроме того, устройство уже на заводе запрограммировано на работу с сетью для VoIP (используется специальная настройка QoS, которую нельзя поменять) и гостевым входом. Последний вариант позволяет легко создать беспроводную сеть для посетителей офиса. В этом случае удобно блокировать трафик между ними и дополнительно ограничить (с использованием фильтра Layer 2) их общение только с роутером для выхода в Интернет или веб-сервером с информацией о компании.
Профиль защиты определяет параметры аутентификации и шифрования трафика. Поддерживаются все современные варианты — от WEP до WPA2. Всего предусмотрено шестнадцать ячеек для указания профилей.
Аналогичным образом осуществляется работа с радиус-серверами — до четырех пар из основного и резервного серверов. Возможна работа со встроенным в точку доступа сервером, что очень удобно в небольших сетях, требующих высокий уровень безопасности.
Также шестнадцать может быть списков для фильтрации Layer 2. Каждый их них может содержать до 32-х MAC-адресов, работа с которыми разрешается беспроводным клиентам. Наиболее частый вариант применения — ограничение работы беспроводных устройств определенной группой локальных. Например серверов, роутеров или принтеров.
Ну, и последний элемент — шестнадцать списков по 128 MAC-адресов в качестве дополнительной меры безопасности. Для каждого из списков можно выбрать режим «Allow» или «Deny».
После введения параметров, данные передаются на ведомую точку доступа и новая конфигурация активируется. В случае, если контроллер становится недоступен, то продолжают работать ранее указанные настройки или, если предусмотрен, резервный контроллер. Если же перезагружается ведомая точка доступа, то она автоматически обнаруживается и программируется контроллером. При повышенных требованиях к надежности схемы рекомендуется использовать именно вариант с двумя контроллерами сети — основным и резервным.
Не менее важным являются и возможности по мониторингу беспроводных сетей. В данном режиме на окне статуса появляются несколько полезных кнопок для вызова страниц с таблицами состояния. На первой из них — «AP List» — администратор может увидеть список участвующих в группе точек доступа с указанием их имен, моделей, MAC-адресов беспроводных интерфейсов, режимов работы, каналов, назначенных SSID и числом подключенных клиентов. «AP Statistics» показывает число переданных и принятых пакетов для каждого радиоинтерфейса, а также информацию об ошибках.
На «Associations List» приводится список подключенных клиентов с указанием их MAC-адресов, использованных точек доступ, SSID, времени подключения и уровня сигнала. «SSID Information» суммирует информацию о клиентах на каждом SSID (также отображается режим шифрования). А «Logs» и «Rogue AP List» используются просто для быстрого вызова одноименных страниц основного Web-интерфейса.
Выводы
Рассмотренный в данной статье специальный режим контроллера сети в линейке профессиональных точек доступа ZyXEL NWA-3100/3500 оказался действительно очень удачным дополнением описанному в первой части функционалу. Он позволяет быстро и эффективно управлять беспроводными сетями, состоящими из большого числа точек доступа, как одним устройством. При этом никаких компромиссов по урезанию возможностей не происходит.
Что касается конкретных моделей, то NWA-3160 хорошо зарекомендовала себя по показателям производительности и качества связи, а NWA5500 произвела неизгладимое впечатление своим внешним видом. Да и два беспроводных модуля в ней явно к месту — в условиях улицы это позволит обеспечить более надежную связь при работе на двух разных частотах.
Рекомендованная стоимость рассмотренных устройств установлена производителем в 8937 рублей для NWA-3160 и 29686 рублей для NWA3550.
Средняя текущая стоимость устройств в Московской рознице составляет:
- NWA-3160: Н/Д(0)
- NWA3550: $804(15)
