Huawei Agile Distributed Wi-Fi Solution: Что это? Часть первая
Наверняка, многие пользователи habrahabr видели статью в блоге компании Huawei — У вас здесь есть Wi-Fi? В которой говорится о не легкой судьбе корпоративного WiFi-доступа, в условиях повсеместного роста числа беспроводных устройств и сетевой инфраструктуры, в целом.
Вот, к примеру, цитаты из нее:
Развязкой этого сложного вопроса явилось решение — Huawei Agile Distributed Wi-Fi, о котором собственно и говорится в статье вендора. Нам же, посчастливилось, насколько я понимаю, одними из первых в России, «пощупать» это решение в живую.
Типичное применение Agile Distributed WLAN — это сценарий с высокой концентрацией помещений, таких как: гостиницы, школы общежития, больницы, т.е объекты, где стены или другие элементы конструкции зданий могут приводить к серьезному затуханию Wi-Fi сигнала. Иначе говоря, где использование традиционной архитектуры WLAN-сетей не эффективно или чрезмерно затратно, в связи с необходимостью установки большего числа точек доступа, для более лучше радио покрытия.
Как мы уже знаем, Agile Distributed WLAN состоит из центральной точки доступа, и удаленных радио модулей (RRU). RRU принимают и отправляют «беспроводные» пакеты и прозрачно передают их к центральной точке доступа для обработки.
CAPWAP туннели используют протокол DTLS (Datagram Transport Layer Security) шифрование и, так называемое, «heartbeat detection» обнаружение (дает возможность проверять и поддерживать активными соединения без постоянного их возобновления), для обеспечения безопасности.
Помимо этого, радио модули (RRU) в процессе своего запуска умеют определять, является ли их версия системного программного обеспечения такой же, как в центральной точке доступа, в соответствии с параметрами в принятом пакете Authentication Response. Если такого соответствия нет, то радио модули переходят в offline режим и не участвуют в работе.
Итак, перейдем непосредственно к первоначальной настройке системы Agile Distributed WLAN.
Так как, по не понятным для нас причинам, в комплекте поставки не было блока питания для центральной точки доступа, мы решили запитать её от старенького PoE коммутатора HP ProCurve, при этом, как уже говорилось, радио модули были запитаны по PoE от самой AP9430DN-12.
Таким образом, схема организации связи выглядит следующим образом:
# Пропишем имя устройства, IP-адреса управления, а также маршрут по умолчанию:
#Настраиваем доступ по SSH к устройству, предвариетльно создав пользователя и сгенерировав ключи rsa:
#Добавим интерфейсы GE 0/0/8…9 в управляющий VLAN100:
#Добавим uplink интерфейс GE 0/0/12 в сервисный VLAN101:
#Настроим центральную точку доступа в качестве сервера DHCP для RRU и STA:
#Создадим AP group:
#Создадим профиль для regulatory domain, код страны и применим профиль для ap-group:
#Назначим управляющий VLAN для RRU:
#Добавляем в конфигурацию радио модули RRU (используем метод без аутентификации):
#Подключаем радио модули и проверяем их состояние:
#Настраиваем параметры WLAN (security, ssid, vap):
#Проверяем конфигурацию:
Для конфигурирования системы, также доступен Web-интерфейс:
Вот, к примеру, цитаты из нее:
По оценкам аналитиков, уже в 2019 году объемы пользовательского трафика, передаваемого через сети Wi-Fi, превысят объемы, приходящиеся на проводные подключения.
Очевидно, если доступ к корпоративной инфраструктуре посредством Wi-Fi становится приоритетным методом подключения, то на него будут накладываться и более жесткие требования по безопасности, качеству работы, гибкости и масштабированию.
Все это влечет за собой необходимость модернизации инфраструктуры WLAN и внедрения современных решений уровня Enterprise. Вот тут возникает первый сюрприз: для руководства практически любого предприятия или компании Wi-Fi просто работает чудесным образом с помощью «волшебной коробочки», которая стоит 3 тысячи рублей. И «это уму непостижимо», как точка доступа может стоить 30 и более тысяч рублей! А еще «вам, айтишникам» какой-то беспроводной контроллер подавай!
Развязкой этого сложного вопроса явилось решение — Huawei Agile Distributed Wi-Fi, о котором собственно и говорится в статье вендора. Нам же, посчастливилось, насколько я понимаю, одними из первых в России, «пощупать» это решение в живую.
Для всестороннего исследования мы получили, так скажем, демо комплект, состоящий из:
- Одной центральной точки доступа (Central AP) — AP9430DN-12
- Двух радио модулей (RRU — Remote Radio Unit) — R230D.
Концепция
Типичное применение Agile Distributed WLAN — это сценарий с высокой концентрацией помещений, таких как: гостиницы, школы общежития, больницы, т.е объекты, где стены или другие элементы конструкции зданий могут приводить к серьезному затуханию Wi-Fi сигнала. Иначе говоря, где использование традиционной архитектуры WLAN-сетей не эффективно или чрезмерно затратно, в связи с необходимостью установки большего числа точек доступа, для более лучше радио покрытия.
Как мы уже знаем, Agile Distributed WLAN состоит из центральной точки доступа, и удаленных радио модулей (RRU). RRU принимают и отправляют «беспроводные» пакеты и прозрачно передают их к центральной точке доступа для обработки.
Центральная точка доступа соединена с RRU через UTP кабель. По сравнению с антенным кабелем, используемым для классических точек доступа, при выносе внешних антенн, «медь» обеспечивает большее расстояние развертывания WLAN, позволяя дальше разносить RRU от центральной точки доступа, тем самым дотягиваясь до «мертвых» зон.
Центральная точка доступа обеспечивает RRU питанием по PoE, при этом сама может быть запитана через UPoE (относится к модели AP9430DN-12). Также RRU могут быть подключены через PoE коммутатор, при условии IP-достижимости (Layer2) с центральной AP.
И еще немного теории по теме.
После того, как радио модули (RRU) подключены и получили IP-адреса от центральной точки доступа, они начинают устанавливать CAPWAP (Control And Provisioning of Wireless Access Points) туннели с центральной точкой доступа.
CAPWAP туннели используют протокол DTLS (Datagram Transport Layer Security) шифрование и, так называемое, «heartbeat detection» обнаружение (дает возможность проверять и поддерживать активными соединения без постоянного их возобновления), для обеспечения безопасности.
Central AP посылает управляющие пакеты и пакеты данных к радио модулям (RRU) в централизованном порядке, через CAPWAP туннели. Для повышения надежности канала связи и для предотвращения потерь, когда объем обслуживаемого трафика возрастает, настраивается высокий приоритет для пакетов управления CAPWAP.
Помимо этого, радио модули (RRU) в процессе своего запуска умеют определять, является ли их версия системного программного обеспечения такой же, как в центральной точке доступа, в соответствии с параметрами в принятом пакете Authentication Response. Если такого соответствия нет, то радио модули переходят в offline режим и не участвуют в работе.
Первоначальная настройка
Итак, перейдем непосредственно к первоначальной настройке системы Agile Distributed WLAN.
Что мы хотим сделать:
- Собрать стенд из AP9430DN-12 и 2хR230D и проверить его работоспособность
- Назначить IP-адреса из нашей LAN сети
- Настроить WLAN сервисы, на примере Small-Scale Network WLAN
- Предоставить STA доступ к сети Интернет
Так как, по не понятным для нас причинам, в комплекте поставки не было блока питания для центральной точки доступа, мы решили запитать её от старенького PoE коммутатора HP ProCurve, при этом, как уже говорилось, радио модули были запитаны по PoE от самой AP9430DN-12.
Таким образом, схема организации связи выглядит следующим образом:
- Центральная точка доступа AP9430DN-12 uplink-интерфейсом GE 0/0/12 смотрит в LAN-сеть (Vlanif1, 172.31.31.120)
- Радио модули R230D подключены на downlink-интерфейсы GE 0/0/8…9 (Vlanif100, выделение адресов динамически через DHCP: 10.23.100.0/24)
- Клиенты, подключаемые к Wi-Fi сети (STA) получают адреса через DHCP: 10.23.101.0/24 (Vlanif101)
- SSID: agile_wlan
Логин/пароль по умолчанию для консоли: admin / admin@huawei
Актуальная версия системного программного обеспечения, на момент написания статьи — V200R007C10SPC300:
display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.160 (AD9430DN-12 FAT V200R007C10SPC300)
Copyright (C) 2011-2016 HUAWEI TECH CO., LTD
Huawei AD9430DN-12 Router uptime is 1 week, 0 day, 1 hour, 8 minutes CLI
# Пропишем имя устройства, IP-адреса управления, а также маршрут по умолчанию:
system-view
[Huawei] sysname Agile_Wlan
[AGILE_WLAN] vlan 1
[AGILE_WLAN-vlan1] quit
[AGILE_WLAN] interface gigabitethernet 0/0/12
[AGILE_WLAN-GigabitEthernet0/0/0] port link-type trunk
[AGILE_WLAN-GigabitEthernet0/0/0] port trunk allow-pass vlan 1
[AGILE_WLAN-GigabitEthernet0/0/0] port trunk pvid vlan 1
[AGILE_WLAN-GigabitEthernet0/0/0] quit
[AGILE_WLAN] interface vlanif 1
[AGILE_WLAN-Vlanif1] ip address 172.31.31.120 255.255.255.0
[AGILE_WLAN-Vlanif1] ip route-static 0.0.0.0 0.0.0.0 172.31.31.120
[AGILE_WLAN-Vlanif1] quit #Настраиваем доступ по SSH к устройству, предвариетльно создав пользователя и сгенерировав ключи rsa:
[AGILE_WLAN]rsa local-key-pair create
The key name will be: Host
RSA keys defined for Host already exist.
Confirm to replace them? (y/n):y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is less than 2048,
It will introduce potential security risks.
Input the bits in the modulus[default = 2048]:
Generating keys...
...........................................................................................................................................+++
....................+++
..............................................++++++++
................++++++++
[AGILE_WLAN]user-interface vty 0 4
[AGILE_WLAN-ui-vty0-4]authentication-mode aaa
[AGILE_WLAN-ui-vty0-4]protocol inbound ssh
[AGILE_WLAN-ui-vty0-4]quit
[AGILE_WLAN]aaa
[AGILE_WLAN-aaa]local-user user1 password irreversible-cipher Pa$$w0rd
[AGILE_WLAN-aaa]local-user user1 privilege level 15
[AGILE_WLAN-aaa]local-user user1 service-type ssh http terminal
[AGILE_WLAN]ssh user user1 authentication-type password#Добавим интерфейсы GE 0/0/8…9 в управляющий VLAN100:
[AGILE_WLAN] vlan batch 100 101
[AGILE_WLAN] interface gigabitethernet 0/0/8
[AGILE_WLAN-GigabitEthernet0/0/1] port link-type trunk
[AGILE_WLAN-GigabitEthernet0/0/1] port trunk pvid vlan 100
[AGILE_WLAN-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[AGILE_WLAN-GigabitEthernet0/0/1] quit#Добавим uplink интерфейс GE 0/0/12 в сервисный VLAN101:
[AGILE_WLAN] interface gigabitethernet 0/0/12
[AGILE_WLAN-GigabitEthernet0/0/12] port link-type trunk
[AGILE_WLAN-GigabitEthernet0/0/12] port trunk allow-pass vlan 101
[AGILE_WLAN-GigabitEthernet0/0/12] quit#Настроим центральную точку доступа в качестве сервера DHCP для RRU и STA:
[AGILE_WLAN] dhcp enable
[AGILE_WLAN] interface vlanif 100
[AGILE_WLAN-Vlanif100] ip address 10.23.100.1 24
[AGILE_WLAN-Vlanif100] dhcp select interface
[AGILE_WLAN-Vlanif100] quit
[AGILE_WLAN] interface vlanif 101
[AGILE_WLAN-Vlanif101] ip address 10.23.101.1 24
[AGILE_WLAN-Vlanif101] dhcp select interface
[AGILE_WLAN-Vlanif101] quit#Создадим AP group:
[AGILE_WLAN] wlan
[AGILE_WLAN-wlan-view] ap-group name ap-group1
[AGILE_WLAN-wlan-ap-group-ap-group1] quit#Создадим профиль для regulatory domain, код страны и применим профиль для ap-group:
[AGILE_WLAN-wlan-view] regulatory-domain-profile name domain1
[AGILE_WLAN-wlan-regulate-domain-domain1] country-code ru
[AGILE_WLAN-wlan-regulate-domain-domain1] quit
[AGILE_WLAN-wlan-view] ap-group name ap-group1
[AGILE_WLAN-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y
[AGILE_WLAN-wlan-ap-group-ap-group1] quit
[AGILE_WLAN-wlan-view] quit
#Назначим управляющий VLAN для RRU:
[AGILE_WLAN] management-vlan 100#Добавляем в конфигурацию радио модули RRU (используем метод без аутентификации):
[AGILE_WLAN] wlan
[AGILE_WLAN-wlan-view] ap auth-mode no-auth
[AGILE_WLAN-wlan-view] ap-id 1
[AGILE_WLAN-wlan-view] ap-id 2
[AGILE_WLAN-wlan-ap-1] ap-name area_1
[AGILE_WLAN-wlan-ap-1] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y
[AGILE_WLAN-wlan-ap-1] quit#Подключаем радио модули и проверяем их состояние:
[Agile_Wlan-wlan-view]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
-------------------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
-------------------------------------------------------------------------------------------------------------
1 9c50-ee25-2240 9c50-ee25-2240 ap-group1 10.23.100.215 R230D nor 0 4D:0H:25M:16S
2 9c50-ee25-1c00 9c50-ee25-1c00 ap-group1 10.23.100.225 R230D nor 0 4D:0H:25M:53S
-------------------------------------------------------------------------------------------------------------
Total: 2#Настраиваем параметры WLAN (security, ssid, vap):
[AGILE_WLAN-wlan-view] security-profile name wlan-security
[AGILE_WLAN-wlan-sec-prof-wlan-security] security wpa2 psk pass-phrase 12345678 aes
[AGILE_WLAN-wlan-sec-prof-wlan-security] quit[AGILE_WLAN-wlan-view] ssid-profile name wlan-ssid
[AGILE_WLAN-wlan-ssid-prof-wlan-ssid] ssid agile_wlan
[AGILE_WLAN-wlan-ssid-prof-wlan-ssid] quit[AGILE_WLAN-wlan-view] vap-profile name wlan-vap
[AGILE_WLAN-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101
[AGILE_WLAN-wlan-vap-prof-wlan-vap] security-profile wlan-security
[AGILE_WLAN-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
[AGILE_WLAN-wlan-vap-prof-wlan-vap] quit[AGILE_WLAN-wlan-view] ap-group name ap-group1
[AGILE_WLAN-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0
[AGILE_WLAN-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1
[AGILE_WLAN-wlan-ap-group-ap-group1] quit#Проверяем конфигурацию:
[Agile_Wlan]display vap ssid agile_wlan
Info: This operation may take a few seconds, please wait.
WID : WLAN ID
-------------------------------------------------------------------------------------
AP ID AP name RfID WID BSSID Status Auth type STA SSID
-------------------------------------------------------------------------------------
1 9c50-ee25-2240 0 1 9C50-EE25-2240 ON Open+Portal 0 agile_wlan
1 9c50-ee25-2240 1 1 9C50-EE25-2250 ON Open+Portal 0 agile_wlan
2 9c50-ee25-1c00 0 1 9C50-EE25-1C00 ON Open+Portal 1 agile_wlan
2 9c50-ee25-1c00 1 1 9C50-EE25-1C10 ON Open+Portal 0 agile_wlan
-------------------------------------------------------------------------------------
Total: 4[Agile_Wlan]display station ssid agile_wlan
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
-------------------------------------------------------------------------------------------------
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP address
-------------------------------------------------------------------------------------------------
a8c8-3a05-e343 2 9c50-ee25-1c00 0/1 2.4G 11n 5/2 -83 101 10.23.101.248
-------------------------------------------------------------------------------------------------
Total: 1 2.4G: 1 5G: 0Для конфигурирования системы, также доступен Web-интерфейс:
Конец первой части.
