Базовая настройка контроллера
Этот раздел документации посвящён основным принципам работы с контроллером и подключёнными к нему устройствами, а также главным принципам организации этой работы. Предполагается, что контроллер на момент начала работы с этим разделом документации уже полностью установлен и прошёл первоначальную настройку согласно разделу "Первоначальный запуск контроллера". Важно помнить, что этот раздел документации раскрывает только базовые вопросы конфигурации беспроводной сети — для получения полного объёма нужной информации по каждому из разделов веб-интерфейса рекомендуем обратиться к соответствующему разделу документации.
Подключение точек доступа к контроллеру
При запуске беспроводной сети следует учесть, что точки доступа из подсети, в которой они получают адрес управления, должны иметь возможность достигнуть контроллера (должна быть связность между подсетью управления точек доступа и интерфейсом управления контроллера) в зависимости от того, какая схема работы была выбрана при первоначальном запуске контроллера (с двумя сетевыми интерфейсами или с одним). Если была выбрана схема работы с одним сетевым интерфейсом, то доступ на контроллер администраторами будет выполняться по тому же адрес, что и доступ точек на контроллер. В случае, если была выбрана схема с двумя сетевыми интерфейсами, администратор и точки доступа получают доступ к контроллеру из разных подсетей, и прямой доступ администратора к точкам доступа не является обязательным условием для правильной работы сети.
Существует три способа, которыми точка доступа пользуются для автоматического обнаружения контроллера в сети:
- Поиск в одном широковещательном домене — если адрес управления контроллера и точки доступа получают IP-адреса из одной подсети, то точки доступа могут автоматически найти контроллер и подключиться к нему. Для включения/выключения этого механизма в веб-интерфейсе в разделе Настройки используется переменная ap_search_mode с возможными значениями 0 (по умолчанию, поиск в одной подсети выключен) или 1 (поиск в одной подсети включен). Мы рекомендуем включать эту опцию только при необходимости и исключительно тогда, когда к контроллеру нужно подключить точки доступа. Для этого механизма используются широковещательные запросы с контроллера, поэтому при включении этого механизма рекомендуется убедиться, что нигде в подсети не используется фильтрация широковещательного трафика.
-
Использование опции 43 и/или опции 60 DHCP — при необходимости можно настроить на DHCP-сервере, с которого точки доступа будут получать свои адреса, опции 60 и 43 для автоматической передачи IP-адреса контроллера. Необходимое значение опции 60
LINKI-AP
. Значение опции 43 формируется следующим образом: используется статический префиксbe
, далее указывается суммарная длина всех возможных адресов контроллеров в байтах (например,04
— один адрес в опции,08
— два адреса, и так далее. Точки доступа поддерживают до четырёх разных адресов контроллеров, порядок подключения соответствует порядку указания в опции), далее указывается IPv4-адрес интерфейса управления контроллера в hex-виде. Таким образом, например, для того, чтобы передать точкам доступа один адрес контроллера 10.10.10.200, значение опции 43 будет равноbe040a0a0ac8
. -
Использование сервера DNS. Точки доступа пытаются отправить DNS-запрос на имя
controller.linki.local
— таким образом, сервер DNS может вернуть точкам доступа IP-адрес интерфейса управления контроллера и обеспечить подключение точек доступа к контроллеру.
В случае, если ни один из этих вариантов не удаётся использовать, для точки доступа возможно указание адреса контроллера вручную. Это можно сделать двумя способами:
-
Если точка доступа в течение некоторого времени не получает адрес контроллера автоматическими методами, на ней запускается веб-сервер "последнего шанса". Администратор может получить доступ к веб-интерфейсу точки доступа, авторизоваться с данными
root\linkilinki
и указать адрес контроллера вручную; -
Точки доступа поддерживают ручной ввод адреса контроллера через CLI. Для этого нужно подключиться к точке доступа по CLI (используя консольный порт или SSH) с теми же данными, что указаны в предыдущем пункте, и ввести команды:
enable
configure terminal
set controller 10.10.10.200
Проверить, что точка доступа приняла адрес контроллера, можно командой get controller
на уровне enable
.
После того, как точка доступа получила адрес контроллера любым из описанных методов, в течение нескольких минут она получит доступ к контроллеру и будет помещена в группу устройств Карантин. Поскольку точка доступа из производства может быть выпущена с достаточно старой версией прошивки, при первоначальном подключении к контроллеру произойдёт обновление прошивки точки доступа.
Логика абстракций контроллера
Контроллер Харза при построении конфигураций оборудования и настройке самого контроллера руководствуется следующей логикой вложения абстракций:
Устройство является уникальным — каждая точка доступа существует на контроллере в единственном экземпляре. По умолчанию при ассоциации точки доступа с контроллером для точки формируется имя вида linki-ffff
, где ffff
— два последних октета MAC-адреса кабельного порта точки доступа. Устройство может входить только в одну группу устройств (или подгруппу внутри группы). При этом устройство обязано являться членом какой-то группы устройств (по умолчанию, до того, как администратор принял решение о переносе точки доступа в конкретную группу, такие точки доступа входят в группу Карантин).
Группа устройств — абстракция, объединяющая отдельные устройства по общему признаку. Например, код страны (country code) задаётся целиком для группы устройств, и если необходимо разделить устройства по территориальному признаку — их следует поместить в разные группы устройств. Управление радиоресурсами (radio resource management, RRM) действует в пределах группы устройств — то есть, только устройства из одной группы и вложенных в неё подгрупп считаются "своими" при определении оптимального канала/мощности. В случае, если какие-то из настроек определённых точек доступа необходимо изменить, однако эти точки доступа по-прежнему глобально относятся к одной группе устройств (например, у нескольких точек доступа другой vlan управления, однако они по-прежнему относятся к тому же объекту, что и остальные устройства этой группы), то выбранные точки можно объединить в подгруппу устройств.
Создание подгруппы устройств не является обязательным — точки доступа должны являться членами какой-то группы, но при этом не обязаны входить в какую-либо подгруппу. Абстракция подгруппы введена исключительно для сохранения гибкости настроек при сохранении прежней логики объединения устройств по общему признаку.
Беспроводная сеть на контроллере Харза называется SSID и обозначает набор имени сети и настроек этой беспроводной сети, которые будут вещаться с точек доступа. По аналогии с устройствами, беспроводные сети должны являться членами групп SSID, однако для беспроводных сетей нет требования уникальности — одна и та же беспроводная сеть может входить в любое количество групп SSID. Группа SSID объединяет в себя несколько беспроводных сетей с целью создать набор сетей, которые будут вещаться в эфир с всех устройств выбранной группы.
Соответствие между группой устройств и группой SSID выполняется по диапазону: к одной и той же группе устройств в разных диапазонах могут быть привязаны разные группы SSID. Это связано с тем, что набор беспроводных сетей, который нужно вещать с устройств определённой группы, может различаться в зависимости от диапазона (2,4 или 5 ГГц). Важно помнить, что к группе устройств может быть привязана только группа SSID — для того, чтобы точки доступа вещали только одну беспроводную сеть, необходимо создать группу SSID с одной беспроводной сетью.
Пример №1
Допустим, в сети имеется 100 точек доступа, с каждой из которых во всех диапазонах радио нужно раздать открытую беспроводную сеть TEST. В таком случае порядок действий будет следующим:
- На вкладке Wi-Fi сети (SSID) веб-интерфейса контроллера администратор создаёт новую беспроводную сеть с SSID TEST и отсутствием шифрования (так называется Открытая сеть):
- На вкладке Группы SSID администратор создаёт новую группу SSID с подходящим и понимаемым названием (в примере main), после чего добавляет в группу SSID main беспроводную сеть TEST:
- На вкладке Группы устройств администратор создаёт новую группу, вносит требуемые настройки, включая код страны, после чего переносит в эту группу устройств все точки доступа, которые должны ей принадлежать:
Обратите внимание, что только точки доступа, принадлежащие группе Карантин, помечаются как Свободные. В то же время, точку доступа из любой группы можно перенести в другую группу, при этом важно помнить, что настройки точки доступа будут полностью изменены!
- На той же странице редактирования точки доступа в разделе Настройки радио администрат ор настраивает соответствие между диапазоном группы устройств и группой SSID. В приведённом ниже примере все точки доступа, принадлежащие группе, в диапазонах 2,4 и 5 ГГц будут вещать SSID TEST:
- После нажатия кнопки Сохранить контроллер подготовит конфигурацию, готовую к применению на точке. Администратор переходит в раздел Применение, где видит все внесённые с последнего применения настроек изменения, и может применить их нажатием кнопки Далее, после чего все точки доступа получат обновлённую конфигурацию:
Пример №2
Для той же группы устройств из ста точек нужно добавить беспроводную сеть STAFF только в диапазоне 5 ГГц с шифрованием WPA2-PSK.
- На вкладке Wi-Fi сети (SSID) веб-инте рфейса контроллера администратор создаёт новую беспроводную сеть с SSID STAFF, шифрованием WPA2-AES Personal и указанием ключа для подключения:
- На вкладке Группы SSID администратор создаёт новую группу SSID с подходящим и понимаемым названием (в примере staff), после чего добавляет в группу SSID stuff беспроводную сеть STAFF:
- На вкладке Группы устройств администратор редактирует группу main group, выставляя в диапазоне 5 ГГц для этой группы группу SSID staff:
- После применения настроек на контроллере точки доступа из группы устройств main в диапазоне 2,4 ГГц будут вещать SSID TEST, а в диапазоне 5 ГГц — SSID STAFF.
По аналогии с приведёнными примерами можно заметить, что формировать группы SSID можно в любых доступных комбинациях для обоих диапазонов независимо. Для того, чтобы добавить SSID в оба диапазона, достаточно добавить новый SSID в нужные группы или создать новую группу SSID, включающую все необходимые для вещания беспроводные сети. Поскольку к подгруппе устройств может быть прикреплён набор групп SSID, отличный от группы устройств, такая иерархия абстракций позволяет группировать точки доступа и беспроводные сети с какой угодно сложностью взаимных зависимостей. В случае, если к диапазону группы устройств привязана пустая группа SSID, никакие беспроводные сети с устройств, входящих в эту группу устройств, в этом диапазоне вещаться не будут.
Применение настроек
Контроллер Харза требует ручного применения настроек адмнинистратором после дополнительного аудита внесённых изменений. После нажатия кнопки Сохранить в любом месте веб-интерфейса контроллера изменения конфигураций записываются на контроллер, но не отправляются на точки. Такое ограничение призвано максимально снизить возможность "случайного" изменения настроек подключенных устройств. Все внесённые изменения могут быть применены только через раздел Применение веб-интерфейса контроллера.
При переходе в этот раздел контроллер отображает все различия между последними успешно применёнными к точкам доступа конфигурационными действиями и сохранёнными изменениями на контроллере. Администратор может принять решение отказаться от всех внесённых изменений сразу либо вручную дополнить изменения, если отображаемая разница не является кор ректной с его точки зрения и может привести к потере сервиса для клиентов беспроводных сетей. В случае, если какая-то точка доступа не была на связи с контроллером в момент применения администратором изменений, эта точка доступа получит новые конфигурации сразу после того, как связь между контроллером и точкой доступа восстановится.