ВВЕДЕНИЕ
В России обязательно идентифицировать пользователей публичных сетей Wi-Fi по номеру телефона, паспорту или через портал госуслуг, согласно Постановлениям Правительства РФ №2606 и №2607 от 2021 года, а также более ранним актам, таким как №758 от 2014 года. Это требование направлено на предотвращение анонимного доступа в сеть и направлено на обеспечение общественной безопасности.
-
Закрытая Wi-Fi сеть с WPA/WPA2/WPA3, предназначенная для ограниченного круга пользователей (например, сотрудников организации, учеников школы и т.п.)
– Такая сеть не считается публичной, так как доступ в неё имеют только заранее определённые лица.
– В этом случае требования по идентификации пользователей как в публичных сетях не применяются. -
Сеть с авторизацией через RADIUS/Active Directory/учётные записи
– Это ещё более строгая форма контроля: пользователь заранее известен и идентифицируется вашей системой.
– Такая сеть также не подпадает под требования о публичном доступе, так как доступ контролируется внутренними средствами.
СБРОС ТОЧКИ
1) Подключаем точку к Trunk-порту с нативным vlan40 (!) либо через poe-адаптер, либо через poe-свитч. Сброс точки осуществляется длительным нажатием кнопки «Default». Точка моргнет желтым цветом несколько раз — после этого можно отпускать кнопку. Дожидаемся загрузки точки, мониторя ее либо сканером в сети, либо по опознавательному SSID «hw_manage_fit_*****»
Проваливаемся в web-морду по ip адресу, полученному точкой по dhcp.
* Иногда бывает глюк, что web-морда не доступна – перезагрузите точку без сброса (вы уже делали сброс ранее) и повторите шаги. Либо подключиться к ssid hw_manage_fit_***** и пройти регистрацию на открывшейся странице.
Если вы попали на страницу и видите окно регистрации – поздравляем, точка сброшена. Придумайте логин и пароль и войдите в веб морду.
НАСТРОЙКА ТОЧКИ В РЕЖИМЕ LEADER-AP
Первоначальная настройка. Настройка статического ip адреса, маршрута сети и перечисление vlan
После входа в web-морду переключаем нашу главную точку в режим FAT и задаем ей временный SSID и пароль. (После можно будет удалить его)
Точка перезагрузится и снова проваливаемся в web-морду точки. Вводим Логин и Пароль, придуманные ранее и попадаем в режим настройки базовой информации о точке.
Задаем имя точки (AP name), настраиваем Страну, Временную зону и синхронизируем время с вашим пк.
Сохраняем информацию, нажав на “Apply”.
Далее начинаются танцы. В консоли, возможно, это все легче и проще, но мы же на DNE. Немного подготовим основные настройки.
Идем в “Maintenance” -> “System” -> вкладка “Service Management” и включаем в разделе “Web Service” галку “All interface”. Применяем нажатием “Apply”
Вас вероятно «выкинет» со страницы. Войдите повторно.
Далее идем в “Maintenance” -> “System” -> вкладка “Management SSID” и отключаем сервисный ssid, переключив переключатель “Prohibit management SSID” в положение “ON” и нажмите “Apply”
После данных процедур можно предварительно сохранить конфигурацию точки. В правом верхнем углу нажмите кнопку “Save”
(!) не включайте Auto-save, если не уверены в его необходимости. В случае неправильной настройки точки – придется повторять процедуру сброса.
Теперь при косяках можно смело перезагружать устройство — конфигурация останется на моменте подготовки точки, выполненной ранее. Совет: далее кнопку нажимать только в случае успешных выполнений действий инструкции. В противном случае придется точку сбрасывать повторно и проходить все круги первоначальной настройки.
Далее добавим VLAN-ы. Нашу точку мы будем размещать в vlan70 (КМС сегмент школы). Переходим в меню “Advanced”-> “VLAN”.
Мы придерживаемся инфры мэша, поэтому задаем следующие виланы: 30, 40, 50, 70. Много – не мало, пригодятся. Указываем по очереди vlan, например 30. Выделяем все интерфейсы и нажимаем кнопку «>»
Задаем тип “Trunk” и “OK”. Подтверждаем еще раз “OK”.
Примерно должно получится вот так. Подтверждаем кнопкой “OK”
Повторяем так же для 40,50,70 вланов. В 70 влане нужно будет включить галку “Create VLANIF” и указать ip адрес из КМС-сегмента сети школы. Данный ip будет являться адресом управления.
В конечном итоге получим такую картину:
Так, вланы запилили. Идем в Маршруты – “Advanced” -> “Route” и задать статический маршрут для нашей кмс подсети.
Опять возвращаемся в “Advanced”-> “VLAN” -> вкладка “VLANIF”, переходим в Vlanif70 и ставим переключатель “Management interface :” в положение ON.
Еще раз проверяем заданный ранее статический ip адрес и нажимаем “OK”.
После требуется настроить физический интерфейс. Идем в “Advanced”-> “ETH Interface”. Интерфейсу GE0 требуется задать режим работы “Trunk”, перечислить разрешенные vlan и указать дефолтный вилан 70 (т.к. точкой мы будем управлять в 70 влане)
Не забудьте переключить нативный vlan в транке на тот, который указали точке.
Соединение с точкой должно закончится по ip адресу из 40 влана (сети 172.*.*.0/23). Перейдите по заданному ранее адресу 10.*.*.*.
(!) Если точка на моменте включение переключателя “Management interface :” отвалилась и вы потеряли доступ к сети – подключите компьютер в тот же диапазон кмс сети и попробуйте перейти на статический адрес, заданный ранее. Если все удачно, то удалите Vlanif1 на вкладке “Advanced”-> “VLAN” -> вкладка “VLANIF”. Так же проверьте еще раз “Advanced” -> “Route”, а то вдруг забыли про маршрут.
Повторите попытку входа на точку по статическому ip адресу из любой подсети комплекса (например из vlan40, сети 172.*.*.0/23) .
Если все получилось, и вы можете попадать на статический адрес точки, можете сохраняться! В правом верхнем углу нажмите кнопку “Save”
(!) не включайте Auto-save, если не уверены в его необходимости. В случае неправильной настройки точки – придется повторять процедуру сброса.
Далее в “Advanced”-> “VLAN” можно удалить интерфейс Vlanif1.
Настройка беспроводных сетей (WLAN)
После настройки точки и постоянного доступа к ней можно приступить к настройке wifi сетей.
Рассмотрим 2 варианта: SSID с wpa2/3 ключом и SSID с Radius – авторизацией.
Вариант 1 – SSID с обычным паролем:
Переходим в “Configuration” -> “WLAN Configuration” и нажмите кнопку “Create”.
Указываем имя сети и задаем ей vlan. Ранее мы создавали 40 и 50 влан – как раз нужные нам вланы. Пусть первая сеть будет для сотрудников, в vlan40. После ввода нажать кнопку “Next”.
Далее задаем вариант защиты сети “Key” (Обычный пароль), указываем метод шифрования (у меня WPA-WPA2, можете указать wpa3 если ваши устройства поддерживают), ввести пароль в поле “Key” и нажать кнопку “Next”
Далее настраивается ограничения по скорости и ограничение по клиентам (STA – клиенты). Мы оставим по умолчанию без ограничений.
На этом всё, беспроводная сеть с WPA2 создана и сразу начнет своё вещание. Так же можно создать сеть для детей, указав vlan50 и задав ограничение скорости ))
Вариант 2 – SSID с RADIUS авторизацией:
В данном варианте будет рассмотрено только подключение к уже существующему у вас radius серверу!
Переходим в “Advanced” -> “AAA” -> вкладка “RADIUS”. В пункте “RADIUS Server Profile” нажимаем “Create” для создания профиля подключения к вашему radius-серверу. В открывшемся окне задаем имя профиля и вводим дефолтный ключ для всех серверов. Я указывал такой же как и на радиус-сервере. Нажимаем “Create Server”
Задаем ip адрес вашего radius сервера, ключ, и порты. После нажмите “OK”
Далее по уже известному маршруту создаем SSID — переходим в “Configuration” -> “WLAN Configuration” и нажмите кнопку “Create”. Указываем имя сети и задаем ей vlan70. Замечание! Обязательно vlan70! При радиус-авторизации пользовательский vlan получается из свойств radius-сервера! После ввода нажать кнопку “Next”.
На следующем этапе задаем защиту, выбрав 802.1X, указываем метод шифрования (я выбрал wpa-wpa2) и следом выбираем наш Radius – сервер, добавленный ранее, нажатием кнопки “…” в поле “ *Server template name :”
На последнем этапе так же задаем ограничения, если нужны! Не забываем сохраняться кнопкой “Save” в правом верхнем углу!
По итогу создания WLAN сетей у вас должна получится такая картина:
Можно подключаться и проверять! ))
Подключение дополнительных точек (FitAP) в качестве подконтрольных.
Теперь наша точка выступает в роли контроллера и умеет управлять остальными точками. Но нужно немного до настроить нашу точку. Перейдите в “Maintenance” -> “FIT AP Account” и задаём Логин и Пароль для доступа на дополнительные точки, а также указываем VAP ключ для беспроводной сервисной сети (оно требуется, без этого никак). У Offline VAP key есть правило на пароль: The value is a string of 8 to 63 characters and contains at least two of the following: uppercase letters (A to Z), lowercase letters (a to z), digits, and special characters.
Не пропустите – там 2 кнопки “Apply” для каждого пароля своя кнопка!
И еще одну настройку сделаем: перейдите в “Configuration” -> “AP Configuration ” -> вкладка “AP Access Security”. Разверните раздел “CAPWAP Tunnel Setup Configuration” и измените “Source interface” на vlanif70, выбрав его из списка. Следом задайте ключ для шифрования между точками в поле “ PSK for DTLS encryption”. Действует правило для пароля: The value cannot be empty, the value is a string of 8 to 32 characters and contains at least two of the following: uppercase letters (A to Z), lowercase letters (a to z), digits, and special characters
Далее берем наши дополнительные точки, сбрасываем их и дожидаемся, когда дополнительные точки (FitAP) «присосутся» к вашей основной точке. Увидеть их можно будет на главном экране “Monitoring”
Вот такое окно мы получим по итогу данной статьи:
- Контролируемые устройства (Leader AP – ваша основная точка контроллер)
- Пользователи, подключенные к данным вайфай сетям
- Вайфай сети, транслируемые в эфир
- Вкладка с вайфай сетями и на каких точках они вещают (для проверки что везде все одинаково)
На этом всё! При отвалах точки будут сами подсасываться к лидеру.
Нюансы в «МЭШе»: Т.к. все точки находятся в нативном 30 влане (кмс сеть управления), то Вам потребуется переключить точки либо на своё оборудования, либо применить хитрый ход: На маршрутизаторе (если у Вас есть доступ к маршрутизатору) удалить строчку
option 148 ascii ascii agilemode=agile-cloud;agilemanage-mode=ip;agilemanage-domain=10.*.*.*;agilemanage-port=10020;
тем самым отключить опцию dhcp, превращающие точки huawei в cloud-точки департамента и повторить всю инструкцию повторно, задав vlan30 в качестве управляющего влана.
Сама лидер-точка при этом не улетает на контроллер мэша, но лучше не рисковать 😉
Сброс мэш-точек «на горячую»
Если Вы настроили контроллер в сегменте vlan30 и хотите пустить «в расход» мэш-точки, то пока протестирован один вариант: При работающей точке зажимаем секунд на 10-15 кнопку «Default», она перезагрузится и в эфире появится сервисный ssid «hw_manage_****» — подключаемся к нему и идем на адрес 169.254.2.1.
Перед собой видим веб-админку как это было в п.1 статьи — придумываем логин и пароли, сохраняемся, далее задаем «Offline VAP key» и на странице ищем раздел «Deployment Configuration» — переключаем «working mode» в режим «Fit AP».
Сохраняемся. Точка перезагружается и если видит вашу мастер-точку — присасывается к ней.
ВНИМАНИЕ! Лицензия на лидер-точке позволяет подключить к ней 32 легковесные (fit) точки. Остальные прошьются, но будут «ждать слот».
Мониторинг
Для контроля доступности мастер-точки, а так же остальных параметров хотелось использовать Zabbix, но, как и следовало ожидать, шаблонов под такой конфиг в интернете нет. Да, есть для конфигурации с AC (нормальным контроллером), а вот для FatAP + FitAP в природе не существует.
Хочется на данном этапе самую малость — знать когда «контроллер» умрет и считать количество онлайн подключений в данный момент.
Пришлось начать выдумывать свой шаблон для Zabbix 6.2, который теперь показывает доступность узла и считает количество подключившихся пользователей на всех ssid’ах.
Но начнем с SNMP. Для включения snmp v2 (v3 сами курите, мне и v2 достаточно) подключитесь к мастер-точке по ssh и введите следующие команды:
system-view // Входим в привилегированный режим snmp-agent // Включаем snmp агент undo snmp-agent sys-info version v3 // Выключаем v3 snmp-agent sys-info version v2c // Включаем v2 snmp-agent community read DnoRO! // Задаем компьюнити на чтение snmp-agent community write DnoRW! // Задаем компьюнити на запись quit // выходим из привилегированного режима save // сохраняемся
Скачать шаблон для Zabbix 6.2 можно вот тут: Huawei_LeaderAP_template_by_DNO-iT.zip
Оригинал статьи: huawei_leader_Ap_Manual
За консультацию, тесты и подготовку статьи скажем спасибо @max_eo
Как скачать прошивку ?
Добрый день! хотелось бы похвалить автора за толковую статью. Статья действительно полезна для понимания процесса развёртывания вай-фай сегмента с единым контроллером. Автор рассказывает как настроить одну из точек в качестве контроллера, за что ему огромное спасибо!
Можно глупый вопрос задать? Какая от этого практическая польза?
Если вы сотрудник школы г. Москвы, то явно в курсе массовых и постоянных проблем с беспроводной сетью и с последними нововведениями. Если вы не видите пользы — значит никакой.