Организация беспроводных сетей любого масштаба с оборудованием TP-Link

Нередко требуется обеспечить беспрерывное покрытие больших площадей и эффективно контролировать беспроводную сеть, состоящую из множества точек доступа. Рассмотрим наиболее эффективные этапы для реализации подобного проекта: с каких шагов начать, какие факторы следует принимать во внимание, как правильно настроить оборудование и на какие моменты стоит обратить внимание, чтобы избежать возможных проблем. В качестве примера возьмем нашу линейку продуктов Auranet, включающую корпоративные точки доступа и сетевые контроллеры.

Выбор оборудования и топологии сети

В первом этапе необходимо определить, какое оборудование и в каких количествах потребуется для построения сети. В этот список входят не только контроллеры и точки доступа, но также проводная инфраструктура, обеспечивающая поддержку беспроводной сети. Возможно, потребуется обновление существующих проводных сегментов.

Оценка существующей проводной инфраструктуры

1. Доступные порты: Проверьте, что на коммутаторах доступа имеется достаточное количество свободных портов для подключения беспроводного оборудования.
   
2. Скорость проводных интерфейсов: Современные стандарты IEEE 802.11N/AC обеспечивают высокие скорости передачи данных, что увеличивает требования к проводной сети. Например, точка доступа CAP300 оборудована портом Fast Ethernet (100 Мбит/с), тогда как модель CAP1750 имеет гигабитный порт, обеспечивая пользователям значительно более высокие скорости соединения.
   
3. Энергоснабжение: Современные точки доступа могут получать питание через технологию PoE (IEEE 802.3af или 802.3at), что требует поддержки этой технологии на коммутаторах доступа.
   
4. Управляемые коммутаторы и VLAN: Необходимо использовать управляемые коммутаторы, поддерживающие виртуальные сети (VLAN), особенно при использовании нескольких SSID. Это стандартная функция в корпоративных сетях.
   
5. Количество точек доступа: Определяется не только по плану помещений, но и по зонам массового скопления пользователей и количеству одновременно подключенных устройств. Рекомендуется провести радиочастотную разведку для точного планирования. В нашем примере точка доступа CAP1750 поддерживает до 200 беспроводных клиентов (по 100 на каждый диапазон), однако для оптимальной производительности рекомендуется ограничить количество пользователей до 50 (по 25 на каждый диапазон).
   

Необходимость контроллера

На первый взгляд может показаться, что контроллер не требуется при малом числе точек доступа. Однако современная архитектура беспроводных сетей предполагает распределенное размещение точек доступа с пониженной мощностью передачи. Это позволяет более эффективно использовать проводную инфраструктуру и обеспечивать более высокие скорости подключения для пользователей. Для централизованного управления такими точками необходим контроллер.

Преимущества использования контроллера

• Централизованное управление сетью: Облегчает настройку и мониторинг всех точек доступа из одного места.
• Повышенная надежность: Возможность автоматического переключения функций при отказе одной из точек доступа.
• Оптимизация использования частотных диапазонов: Разгрузка 2,4 ГГц за счет эффективного использования 5 ГГц.
• Эффективное распределение нагрузки: Управление распределением клиентов по частотным диапазонам и точкам доступа.

Настройка контроллера

Процесс начальной настройки контроллера TP-Link AC500 включает интеграцию его в существующую сеть. Рассмотрим это на примере подключения контроллера и точек доступа в разных подсетях с использованием проводной инфраструктуры другого производителя.

Этапы настройки

1. Подготовка проводной инфраструктуры: Создание виртуальных сетей (VLAN) для контроллера и точек доступа.
   
2. Настройка контроллера: Создание VLAN 101 и конфигурация L3-интерфейса.
   
3. Подключение точек доступа: Создание VLAN 102 для управления точками доступа и настройка соответствующих портов на коммутаторе.
   
4. Настройка DHCP-сервера: Размещение DHCP-сервера на L3-коммутаторе с поддержкой необходимых опций.
   
5. Управление SSID: Привязка каждого SSID к своей VLAN для упрощения управления и повышения безопасности.
   

Подключение контроллера

Для подключения контроллера AC500 на L3-коммутаторе создается VLAN 101. Контроллер подключается через порт Gi0/6, настроенный в режиме транка. Создается виртуальный L3-интерфейс (SVI) для маршрутизации.

switch3560#sho vla bri

VLAN Name Status Ports

---- -------------------------------- --------- --------------------

1 default active Gi0/7

101 AC500 active

1002 fddi-default act/unsup

1003 trcrf-default act/unsup

1004 fddinet-default act/unsup

1005 trbrf-default act/unsup

switch3560#sho run int vla 101

Building configuration...

Current configuration : 108 bytes

!

interface Vlan101

description TP-LINK AC500

ip address 192.168.1.1 255.255.255.0

load-interval 30

end

switch3560#sho run int gi0/6

Building configuration...

Current configuration : 164 bytes

!

interface GigabitEthernet0/6

description AC500

switchport trunk encapsulation dot1q

switchport mode trunk

load-interval 30

spanning-tree portfast trunk

end

Необходимо настроить сам беспроводной контроллер: создать VLAN 101 и сконфигурировать соответствующий L3-интерфейс. Пятый физический порт контроллера должен работать в режиме транка.

Подключение точек доступа

Для подключения точек доступа создается VLAN 102, в котором будут располагаться их интерфейсы управления. Порты коммутатора также настраиваются в режиме транка.

switch3560#sho vla bri

VLAN Name Status Ports

---- -------------------------------- --------- --------------------

1 default active

101 AC500 active

102 CAP1750 active Gi0/7

1002 fddi-default act/unsup

1003 trcrf-default act/unsup

1004 fddinet-default act/unsup

1005 trbrf-default act/unsup

switch3560#sho run int gi0/7

Building configuration...

Current configuration : 159 bytes

!

interface GigabitEthernet0/7

description TP-Link CAP1750

switchport access vlan 102

switchport trunk encapsulation dot1q

switchport trunk native vlan 102

switchport trunk allowed vlan 1,101-103

switchport mode trunk

load-interval 30

spanning-tree portfast trunk

end

• Важно, чтобы в 802.1Q транке между точками доступа и коммутатором в качестве native VLAN был установлен VLAN 102, поскольку точки доступа отправляют управляющие фреймы нетегированными. Также необходимо убедиться, что коммутаторы не тегируют фреймы для native VLAN.

switch3560(config)#no vlan dot1q tag native

switch3560#sho vlan dot1q tag native

dot1q native vlan tagging is disabled

Со стороны точки доступа специальная настройка не требуется, достаточно переключить устройство в режим FIT (активирован по умолчанию) и подключить к соответствующему порту коммутатора.

Настройка L3-интерфейса коммутатора для виртуальной сети

switch3560#sho run int vla 102

Building configuration...

Current configuration : 141 bytes!

interface Vlan102

description TP-LINK CAP1750

ip address 192.168.2.1 255.255.255.0

load-interval 30

end

Для беспроводного сегмента сети решили разместить DHCP-сервер на L3-коммутаторе. Допускается использование сторонних DHCP-серверов, поддерживающих опции 60 и 138.

switch3560#sho run | sec dhcp pool

ip dhcp pool tp-link

network 192.168.2.0 255.255.255.0

default-router 192.168.2.1

dns-server 8.8.8.8 8.8.4.4

option 60 ascii TP-LINK

option 138 ip 192.168.1.2

switch3560#sho ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

---- --------------- ---------- ------------- ---- --------------------

50:C7:BF:85:E2:30 192.168.2.2 86105 dhcp-snooping 102 GigabitEthernet0/7

Total number of bindings: 1

При размещении точек доступа и контроллера в одной виртуальной сети можно было бы использовать DHCP-сервер, встроенный в контроллер.

Управление идентификаторами беспроводных сетей (SSID)

Хорошей практикой является привязка каждого SSID к своей VLAN, что обеспечивает четкую сегментацию трафика. В нашем пилотном проекте используется один SSID, поэтому создается VLAN 103.

switch3560#sho vla bri

VLAN Name Status Ports

---- -------------------------------- --------- --------------------

1 default active

101 AC500 active

102 CAP1750 active

103 client active

1002 fddi-default act/unsup

1003 trcrf-default act/unsup

1004 fddinet-default act/unsup

1005 trbrf-default act/unsup

После создания VLAN для клиентского трафика переходим к созданию новой беспроводной сети и привязке SSID к VLAN. Основная настройка новой беспроводной сети на этом этапе завершается, и пользовательские устройства могут успешно подключаться к сети.

Настройка дополнительных параметров беспроводной сети

Помимо основных настроек, администраторы могут тонко настраивать различные опции:

• Балансировка нагрузки между точками доступа: Распределение пользователей равномерно по доступным точкам.
• Перераспределение клиентов по частотным диапазонам: Оптимизация использования 2,4 ГГц и 5 ГГц для улучшения производительности.
• Настройка параметров работы беспроводных передатчиков: Оптимизация мощности сигнала и других характеристик для достижения наилучшей производительности сети.

Аутентификация пользователей

Контроллер совместно с точками доступа поддерживает различные методы аутентификации:

WPA/WPA2 ключ: Основной механизм обеспечения безопасности сети.

• RADIUS-сервер: Дополнительный уровень аутентификации пользователей.
• MAC-адреса, веб-аутентификация, Onekey: Разнообразные способы контроля доступа.
• Социальная аутентификация: Возможность авторизации через Facebook и SMS-сервисы, такие как Twilio.

Веб-аутентификация

Одним из наиболее распространенных методов дополнительной аутентификации является веб-аутентификация, при которой пользователь перенаправляется на специализированную веб-страницу для ввода логина и пароля.

Беспроводные контроллеры TP-Link AC50/500 поддерживают веб-аутентификацию как с использованием локального списка пользователей, хранящегося на контроллере, так и через удаленный RADIUS-сервер.

В последних обновлениях прошивки добавлены возможности авторизации через Facebook Wi-Fi и SMS-аутентификации с использованием сервиса Twilio.

Модели распределения трафика в сети

В зависимости от структуры сети существуют различные модели распределения трафика:

1. Точки доступа подключены напрямую к контроллеру

• Описание: Подходит для малых сетей с ограниченным числом точек доступа. Точки доступа подключаются напрямую к контроллеру или через коммутаторы с поддержкой PoE.

Недостатки: Канал связи между коммутатором и контроллером может стать узким местом из-за ограниченной пропускной способности (Fast Ethernet для модели AC50 и Gigabit Ethernet для AC500).

2. Контроллер выполняет роль шлюза по умолчанию

• Описание: Контроллер занимается маршрутизацией всего пользовательского трафика.

Недостатки: Требует тщательного планирования для предотвращения перегрузки каналов. Контроллер может стать узким местом при передаче трафика.

3. Шлюз на маршрутизаторе или L3-коммутаторе

• Описание: Контроллер исключается из пути передачи пользовательского трафика. Точки доступа работают как мосты, соединяя беспроводной SSID с VLAN в проводной сети. Вся дальнейшая обработка трафика осуществляется через проводные коммутаторы и маршрутизаторы.

• Преимущества: Обеспечивает оптимальную производительность и предотвращает перегрузку каналов контроллера.
• Применение: Идеально подходит для крупных распределенных сетей с большим количеством точек доступа и клиентов.
• Дополнительная возможность: Беспроводные контроллеры TP-Link поддерживают резервирование N+N, позволяя работать в отказоустойчивой конфигурации.

Важное замечание

Важно отметить, что беспроводные устройства TP-Link не инкапсулируют пользовательские данные в туннель CAPWAP. Это требует использования либо расширенных VLAN, либо локальных VLAN с несколькими IP-подсетями.

Тестирование и производительность

Контроллер AC500 демонстрирует высокую эффективность, обеспечивая маршрутизацию трафика со скоростью до 2 Гбит/с в режиме Full Duplex, полностью используя ресурсы обоих ядер процессора. Точка доступа CAP1750 достигает теоретической скорости до 450 Мбит/с в диапазоне 2,4 ГГц и 1,3 Гбит/с в диапазоне 5 ГГц. На практике, при использовании модели CAP1750 в диапазоне 2,4 ГГц суммарная скорость передачи пользовательских данных в обоих направлениях составляет около 260 Мбит/с, а в диапазоне 5 ГГц — примерно 620 Мбит/с.

Основные характеристики тестового стенда

Таким образом, одна точка доступа CAP1750 способна передавать в проводную сеть около 900 Мбит/с трафика при подключении беспроводных клиентов к обоим частотным диапазонам. Эти скорости следует учитывать при построении или обновлении беспроводной сети, по возможности уменьшая переподписку в проводном сегменте.

Обновление микропрограммного обеспечения

Беспроводной контроллер и точки доступа готовы к работе прямо «из коробки», однако настоятельно рекомендуется обновить программное обеспечение, предустановленное на устройствах. Новая прошивка исправит ошибки и добавит новые функции, такие как:

• Облачное управление: Централизованное управление несколькими беспроводными контроллерами, что актуально для крупных или распределенных объектов.
• Поддержка IPv6: Позволяет использовать оборудование в IP-сетях нового поколения.
• Поддержка SNMP: Централизованное управление устройствами и сбор статистики.
• Командная строка: Дополнительные возможности управления.

Процесс обновления ПО

• Контроллеры: Обновление производится через веб-интерфейс и занимает около пяти минут, не требуя специальных знаний.
• Точки доступа:
• Режим FAT: Точка доступа выступает как самостоятельное устройство, и прошивка обновляется через её веб-интерфейс.
• Режим FIT: Управление осуществляется через контроллер, который обеспечивает централизованное обновление прошивок для всех подключенных точек. Это особенно удобно для контроллеров AC500, поддерживающих до 500 точек доступа, что делает ручное обновление практически невозможным.

Централизованное обновление

При построении крупной или сложной беспроводной сети требуется множество точек доступа. Управление ими в режиме FIT производится с помощью контроллера, который также обеспечивает централизованное обновление прошивок. Это особенно удобно для контроллеров AC500, поддерживающих до 500 точек доступа, что делает ручное обновление практически невозможным.

После выхода новой модели оборудования необходимо обновить базу данных поддерживаемых устройств на контроллере для расширения списка управляемого оборудования.

Итоги

Установка и настройка оборудования TP-Link проста и гибка, позволяя адаптировать сеть под конкретные потребности заказчика. Основные преимущества наших продуктов:

• Автоматическое обнаружение и централизованное управление точками доступа.
• Возможность локального и удаленного размещения устройств.
• Балансировка нагрузки и поддержка PoE.
• Поддержка нескольких SSID и различных методов аутентификации.
• Масштабируемость и отказоустойчивость решений.
• Гарантия 3 года и техническая поддержка на русском языке.

Эти особенности делают оборудование TP-Link отличным выбором для создания масштабных и надежных беспроводных сетей, способных удовлетворить самые высокие требования современных предприятий.