Обзор облачного контроллера TP-Link Omada OC200
Это наша первая версия аппаратного контроллера для линейки Omada EAP. В нем реализована поддержка доступа через облако, мобильное приложение и сеть. И всё это без платных лицензий и ежемесячных отчислений. Для удаленного управления сетью достаточно лишь подключения к нашему облаку. В общем, все как вы любите.
Под катом обзор интерфейса плюс куча деталей по подключению, настройке и развертыванию.
Аппаратная платформа
При словах «беспроводной контроллер» воображение стандартно рисует громоздкое устройство, монтируемое в стойку. Раньше всё так и было. Раньше — до OC200, контроллера беспроводной сети в компактном металлическом корпусе с размерами 100×98х25 мм. Да, на вид он совсем крошечный. Но это только на вид!
На передней панели расположено два FE порта, два световых индикатора, хост-порт USB и утопленная кнопка Reset. Один из сетевых интерфейсов Fast Ethernet позволяет не только передавать данные, но и обеспечивать устройство питанием при подключении к коммутатору с поддержкой IEEE 802.3af или 802.3at. Режим питания с использованием PoE (Power over Ethernet) является более удобным, так как не требует прокладки дополнительных проводов и организации розеток, кроме того, контроллер при необходимости всегда можно перезагрузить удалённо (разумеется, при использовании управляемого коммутатора). Скорости сетевого интерфейса Fast Ethernet (100Мбит/с) вполне достаточно, так как пользовательский трафик через него не передаётся. Но подробнее об этом мы расскажем в следующем разделе.
Интерфейс USB лицевой панели предназначен для подключения накопителя, на который будет производиться локальный бэкап базы данных и конфигурационных файлов, также он потребуется при подключении большого количества точек доступа и/или беспроводных клиентов.
На задней панели размещён Кенсингтонский замок и разъём microUSB, который нужен для подключения внешнего источника питания (5В/1А), используемого в ситуации, когда отсутствует возможность питания контроллера через PoE.
Беспроводной контроллер TP-Link OC200 предназначен для настольного или настенного размещения, поэтому на его нижней панели присутствуют круглые резиновые ножки и Г-образные технологические отверстия. Компактные размеры, малый вес и отсутствие вентиляторов в корпусе позволяют расположить устройство в любом месте: в стойке или на столе, в серверной комнате или на стене обычного кабинета.
Что внутри? Внутри система на базе SoC-процессора Marvell Armada 88F3720 с двумя ядрами ARMv8, работающими на частоте 1 ГГц, а также коммутатор Atheros AR8236.
Если по какой-то причине программное решение предпочтительнее аппаратного или, например, у вас будет более 100 точек доступа, можно использовать наш программный контроллер беспроводной сети TP-Link Omada Controller, работающий под управлением операционных систем Microsoft Windows и Linux.
Теперь посмотрим на поддерживаемые топологии.
Топологии
В одном из наших предыдущих материалов мы уже описывали разные варианты подключения беспроводного контроллера к сети. Модель OC200 обладает всего двумя сетевыми интерфейсами. Кроме того, это интерфейсы, работающие по технологии Fast Ethernet. Означает ли это, что контроллер будет являться бутылочным горлышком, ограничивая скорость работы всех беспроводных клиентов? Однозначно, нет! Конечно, при условии, что точки доступа подключаются не напрямую к контроллеру.
Современные беспроводные сети одновременно поддерживают несколько SSID. Обычно каждой такой сети (SSID — Service Set Identifier) соответствует определённая виртуальная сеть (VLAN), существующая в опорных проводных сегментах. Это означает, что между коммутатором и точкой доступа должен быть организован транк, то есть подключение, по которому может передаваться одновременно трафик нескольких виртуальных сетей. Обычно для организации транка используются протоколы IEEE 802.1P и 802.1Q. В итоге точка доступа выполнит коммутацию фреймов для всех SSID/VLAN.
Но как же подключается сам контроллер? Способа два. При использовании первого контроллер и точки доступа размещаются в одной IP-подсети (в одной виртуальной сети). Пожалуй, стоит особо отметить, что для связи контроллера и точек доступа лучше выделить отдельную виртуальную сеть. Управляющий трафик в транке между коммутатором и точкой доступа передаётся не тегированным, то есть используется так называемый native vlan. Пользовательский же трафик обычно тегируют. Пример такого подключения представлен на рисунке ниже.
При подключении вторым способом точки доступа и контроллер размещаются в разных IP-подсетях (в разных виртуальных сетях). Пример такого подключения представлен ниже. Частным случаем такого подключения будет установка контроллера на удалённом объекте.
У каждого из перечисленных способов есть свои достоинства и недостатки. Так, например, первый способ требует минимальной настройки, но при этом все точки доступа должны размещаться в одной растянутой виртуальной сети. Второй способ более гибкий, но требует чуть более сложной настройки. Итак, ещё раз отметим, что вне зависимости от способа подключения контроллера OC200 к сети, пользовательский трафик через него не передаётся, поэтому интерфейсы Fast Ethernet, которыми обладает данная модель, никоим образом не будут ограничивать пользователей.
Пожалуй, пару слов стоит ещё сказать о локальной коммутации. Мы решили описать очевидное и представить на схеме пути следования трафика при различных подключениях беспроводных клиентов. За основу возьмём подключение контроллера и точек доступа к одной подсети (речь идёт исключительно об интерфейсах управления).
Два клиента подключились к одной точке доступа и к одной беспроводной сети (SSID). Коммутация трафика осуществляется средствами самой точки доступа.
Два клиента подключились к одной беспроводной сети, но к разным точкам доступа. В этом случае трафик должен быть передан по существующей проводной L2-инфраструктуре.
Если беспроводные клиенты подключились к разным точкам доступа и к разным беспроводным сетям, то в этом случае без привлечения маршрутизатора (устройства третьего уровня модели OSI) не обойтись. Это связано с тем, что в проводной сети трафик таких клиентов попадает в разные виртуальные сети, между которыми может выполняться маршрутизация.
И последний возможный вариант: разные беспроводные сети и одна точка доступа. В этом случае точка доступа не сможет выполнить коммутацию самостоятельно, так как клиенты помещаются в разные виртуальные сети, — вновь потребуется привлечение маршрутизатора.
Также нам хотелось бы познакомить читателей с примерами простейших сетевых топологий, используемых в разных отраслях бизнеса. Наверное, одной из самых простых схем могут похвастаться предприятия общественного питания, рестораны, кафе и так далее.
Немногим сложнее обычно устроены сети в магазинах и отелях.
Локальные сети кампусов, пожалуй, устроены сложнее всего.
Вне зависимости от сложности топологии локального сегмента сети контроллер OC200 может использоваться для поддержки работы удалённой площадки. То есть, например, при открытии второго магазина или кафе не потребуется приобретать дополнительный контроллер, так как точки доступа второго сайта могут управляться уже существующим контроллером.
Надеемся, наше краткое описание поможет администраторам правильно спроектировать сеть с учётом всех возможных маршрутов пользовательского трафика, так чтобы максимально избежать узких мест.
Первоначальная настройка
Облачный контроллер беспроводной сети TP-Link OC200 настроен на автоматическое получение IP-параметров по протоколу DHCP. Это означает, что куда бы он ни был подключен, администратор сразу же сможет получить к нему доступ. Однако если в сети по какой-то причине нет DHCP-сервера, OC200 будет использовать так называемый fallback адрес, по умолчанию равный 192.168.0.253. Естественно, при необходимости администратор может настроить на OC200 статический IP-адрес.
При первом подключении к контроллеру автоматически запускается мастер первоначальной настройки, с помощью которого за шесть простых шагов можно полностью подготовить беспроводную сеть к работе. Так как контроллер OC200 интересен администраторам не сам по себе, а совместно с поддерживаемыми им точками доступа, необходимо также осуществить подключение точек доступа к существующей проводной сети. Точки доступа могут быть размещены с контроллером в одной IP-сети или в разных, подробнее об этом мы писали в разделе, посвящённом рассмотрению возможных топологий. Разумеется, точки доступа можно добавить и позже — уже после завершения первоначальной настройки контроллера.
Кстати, о точках доступа. На данный момент поддерживается десять наших новейших моделей, предназначенных для работы внутри помещений, а также уличные модели: EAP330, EAP320, EAP245 (октябрьская новинка), EAP225, EAP225-Outdoor, EAP115, EAP110, EAP110-Outdoor, EAP115-Wall, EAP225-Wall.
Контроллер автоматически обнаруживает точки доступа, размещенные в ним в одной IP-подсети. Администратору необходимо лишь указать, какие устройства требуется добавить в сеть.
Если контроллер и точки доступа расположены в разных IP-подсетях, то для подключения точек к контроллеру можно воспользоваться одним из следующих способов.
Способ №1
Подключение в подсеть с точками доступа компьютера или ноутбука с предустановленной утилитой Omada Discovery. Эта утилита позволяет обнаружить беспроводные устройства в локальном сегменте и добавить их к контроллеру OC200.
К сожалению, данный подход нельзя назвать масштабируемым, так как администратору потребуется подключаться ко всем сегментам, где могут находиться точки доступа.
Способ №2
Использование опции №138 протокола DHCP. Данная опция позволяет сообщить точкам доступа IP-адрес беспроводного контроллера TP-Link OC200. Получив информацию о размещении контроллера, точки доступа начнут процедуру подключения к последнему, администратору останется лишь разрешить подключение точек доступа к сети.
Опишем всю процедуру настройки опорной сети для подключения точек доступа чуть подробнее. Первое, с чего следует начать, — создать виртуальные сети на коммутаторах. В качестве примера будем рассматривать коммутатор TP-Link T2600G-28MPS. Виртуальные сети 8 и 9 будут использоваться для привязки к SSID, тогда как VLAN10 мы создали для управления точками доступа.
Вторым шагом будет настройка интерфейсов, к которым подключены точки доступа, перевод их в режим транка. Управляющую виртуальную сеть на этих интерфейсах оставим без тега.
Настала пора создания L3-интерфейсов для соответствующих виртуальных сетей.
Для каждой виртуальной сети, в которой могут располагаться беспроводные пользователи, а также для управляющей сети нужно создать соответствующие DHCP-пулы.
Завершающим шагом является указание IP-адреса беспроводного контроллера OC200 в поле опции 138.
Удостовериться в правильности выполненных настроек можно по появлению запросов от точек доступа на регистрацию на контроллере.
Первоначальная настройка опорной сети, контроллера и точек доступа на этом завершается. Единственное, что хотелось бы отметить, что контроллер беспроводной сети OC200 поддерживает точки доступа, расположенные на нескольких сайта (площадках). В случае применения OC200 для построения такой распределённой беспроводной сети необходимо будет позаботиться ещё и о связности между площадками. Тут поддерживаются два способа подключения удалённых точек доступа к контроллеру.
Первый, наиболее очевидный, состоит в организации site-to-site VPN-подключения между площадками. При таком подключении контроллер и точки доступа имеют наиболее простую конфигурацию, так как обеспечивается полная IP-связность между сетями головного офиса и филиалов.
Вторым, чуть менее очевидным способом является использование функции виртуального сервера на граничном маршрутизаторе головного офиса. Данный маршрутизатор выполняет проброс портов (PAT) внутрь сети, предоставляя доступ снаружи к внутренним ресурсам локальной сети. В этом случае в сетях филиалов DHCP-серверы требуется сконфигурировать таким образом, чтобы значение опции №138 равнялось IP-адресу WAN-интерфейса граничного маршрутизатора головного офиса.
Однако, как нам кажется, в большинстве случаев всё-таки будет реализовано туннельное соединение между головным офисом и филиалами, поэтому второй способ является крайне малораспространённым, хотя и вполне возможным.
Обновление прошивки
При выполнении работ по обслуживанию беспроводной инфраструктуры необходимо производить обновление прошивок для используемого оборудования на регулярной основе. Обновление должно производиться как для самого контроллера, так и для управляемых им точек доступа. Вопросы обновления прошивок устройств в проводной опорной сети мы пока оставим за кадром.
Смена микропрограммного обеспечения контроллера производится с помощью пункта меню Maintenance вкладки Controller Settings. Обновление может производиться в ручном или полуавтоматическом режимах (в последнем случае требуется наличие подключения контроллера к глобальной сети). При обновлении контроллера вручную требуется лишь загрузить на него скачанный ранее файл с новой прошивкой. Вся процедура занимает несколько минут и не требует от администратора никаких специализированных знаний.
Также необходимо обновить микропрограммное обеспечения точек доступа. Так как все точки доступа управляются с контроллера, то и для обновления их прошивок необходимо использовать контроллер (меню Batch Upgrade вкладки Site Settings).
Точки доступа одного типа обновляются одновременно. Это также можно сделать в ручном или полуавтоматическом режимах. При автоматическом обновлении контроллер самостоятельно загрузит с нашего сайта нужный файл и произведёт обновление. Администратору останется только дождаться завершения процесса.
Новые прошивки на серверы автоматического обновления мы обычно выкладываем с небольшой задержкой; до этого момента они доступны лишь для ручного скачивания и обновления. Смена версии микропрограммного обеспечения в ручном режиме немногим сложнее, чем в полуавтоматическом: требуется лишь скачать образ с нашего сайта и загрузить его на контроллер.
Даже если в данный момент ваша беспроводная сеть работает без нареканий, мы всё равно рекомендуем периодически производить обновления, так как свежие версии прошивок могут содержать новые функции или оптимизации уже существующих, включать поддержку новых устройств и технологий, обеспечивать повышенную безопасность.
Веб-интерфейс
Одним из способов управления беспроводным контроллером является веб-интерфейс, подключиться к которому можно с помощью любого современного браузера.
Бегло рассмотрим возможности пунктов верхнего меню. Меню Map, пожалуй, предоставляет самую наглядную информацию. С его помощью администратор может указать на плане расположение существующих точек доступа, а контроллер покажет предполагаемую зону покрытия. Хотелось бы особо подчеркнуть, что отображается именно предполагаемая зона покрытия, так как в реальности необходимо учитывать множество дополнительных факторов, таких как материалы препятствий на пути следования радиоволн, наличие источников помех, расположение абонентов и так далее. При разработке сложных и ответственных проектов без полноценной радиоразведки не обойтись.
Контроллер TP-Link OC200 может применяться для управления работой точек доступа в очень больших сетях (всего поддерживается до 100 точек доступа (рекомендовано до 50)), разнесённых географически. Программное решение Omada Controller при использовании рекомендованной конфигурации платформы поддерживает до 500 точек доступа. Для удобства администрирования распределённых площадок рекомендуется использование «сайтов», позволяющих группировать устройства по географическому признаку.
Статистические сведения об управляемых точках доступа, количестве подключённых беспроводных клиентов, потреблённом трафике и так далее можно получить с помощью меню Statistics.
Получить более подробную информацию о какой-либо конкретной точке доступа, а также произвести её индивидуальную настройку можно с помощью меню Access Points. Так, например, можно изменить настройки радиомодуля, включить или отключить перераспределение (балансировку) клиентов между точками доступа и детектирование неуправляемых точек, изменить параметры поддерживаемых точкой беспроводных сетей.
Список подключённых беспроводных клиентов доступен в меню Clients.
Меню Insight также предназначено для отображения статистики, но только в этот раз статистика отображается для беспроводных клиентов и всех «чужих» точек доступа, которые не принадлежат нашему контроллеру.
При необходимости получения доступа к журнальной информации следует обратиться к меню Log.
Вся глобальная настройка производится с помощью пунктов нижнего меню. Так, например, в пункте Wireless Settings собраны основные и расширенные параметры работы беспроводных сетей, опции управления роумингом, а также настройки mesh-сети. Нельзя не отметить поддержку стандартов IEEE 802.11k/v для быстрого роуминга. Поддержка IEEE 802.11r уже на подходе.
Mesh-технологии позволяют несколько изменить стандартные подходы к построению беспроводных сетей. Теперь можно объединить в беспроводной сегмент точки доступа беспроводного подключения к опорной сети. Более подробно познакомиться с нашей реализацией mesh-сетей можно с помощью специальной страницы (https://www.tp-link.com/ru/faq-2283.html), содержащей ответы на часто задаваемые вопросы.
Управление параметрами доступа к беспроводной сети производится с использованием меню Wireless Control. С помощью данного пункта администратор может создать списки доступа, регулирующие потоки трафика между определёнными подсетями; выполнить фильтрацию на основании MAC-адресов клиентских устройств, заставить пользователей проходить дополнительную аутентификацию на captive-портале, настроить параметры обеспечения качества обслуживания.
Пару дополнительных слов нужно сказать и о нашем captive-портале. С его помощью производится аутентификация клиентов с помощью пароля или локальной базы пользователей, удалённого RADIUS-сервера или сервера портала, по SMS или с помощью аккаунта в Facebook, ваучера или даже вообще без дополнительной аутентификации.
Включить или отключить световую индикацию на устройствах можно с помощью меню Site Settings. Также здесь можно изменять параметры доступа к точкам доступа, задавать расписание перезагрузок, управлять параметрами отправки журнальной информации на удалённые серверы, управлять прошивками, включать и отключать доступ к командной строке, изменять номер виртуальной сети для управления.
Для управления самим контроллером OC200 необходимо обратиться к меню Controller Settings.
Это, пожалуй, все основные моменты, касающиеся работы с веб-интерфейсом контроллера.
Мобильное приложение
Также стоит сказать несколько слов и о мобильном приложении TP-Link Omada, которое идеально подходит для удалённого управления беспроводной сетью компании. Администратору больше не требуется постоянно таскать с собой ноутбук, так как все необходимые функции есть и в приложении, разработанном для смартфонов на базе iOS и Android.
Кроме того, TP-Link Omada позволяет управлять беспроводной сетью не только при наличии локального подключения к сети компании, но и с использованием облачного сервиса, к которому стоит присмотреться повнимательнее.
Белогривые лошадки: облачный сервис
OC200 поддерживает работу с нашим облачным сервисом, подключение к которому позволит администратору выполнять удалённую настройку оборудования.
Есть и другие методы удаленного управления. Так, например, можно настроить «проброс портов» на граничном маршрутизаторе компании так, чтобы входящие подключения на определённый порт автоматически транслировались внутрь сети на адрес контроллера. Является ли такой подход безопасным? Однозначно, нет. Конечно, можно настроить дополнительные правила на корпоративном брандмауэре, ограничивающие список IP-адресов, с которых возможно подключение, однако мы не считаем это лучшим решением.
Ещё один способ удалённого управления беспроводной сетью (более безопасный) состоит в использовании VPN-подключения к корпоративной сети. Подключаясь с помощью VPN (например, IPSec, OpenVPN, SSL или даже PPTP с MPPE), администратор устанавливает защищённое соединение, по которому будет передаваться управляющий трафик.
Однако более простым способом безопасного управления является удалённое подключение с использованием нашего облачного сервиса. Рассмотрим процедуру подключения контроллера к облаку.
Существует два способа подключения. Первый состоит в указании учётных данных облачного пользователя непосредственно на контроллере (вкладка Cloud Access).
Если у вас ещё нет требуемой учётной записи, её можно создать за пару минут.
Второй способ состоит в добавлении контроллера непосредственно из личного кабинета облачного пользователя — требуется лишь указать ключ устройства (естественно, поддержка доступа из облака должна быть активирована на вкладке Cloud Access). Ключ устройства размещён на наклейке на нижней панели корпуса контроллера.
Вне зависимости от выбранного способа подключения контроллера OC200 к облачной службе информация об устройстве будет доступна в личном кабинете администратора на нашем сайте.
Теперь для удалённого управления беспроводной сетью требуется лишь подключиться с помощью мобильного приложения или любого современного браузера к нашему сайту, войти в личный кабинет — и можно приступать к управлению.
К аккаунту одного облачного пользователя можно подключить несколько контроллеров, что позволит управлять беспроводными сетями разных подразделений или разных компаний из единого места.
Также стоит отметить наличие возможности удалённого управления контроллером несколькими пользователями с различными правами доступа, требуется лишь добавить их на устройство с указанием роли каждой учётной записи.
Удалённое управление контроллером с использованием облачного сервиса возможно не только с помощью веб-браузера, но и с помощью мобильного приложения TP-Link Omada.
Ассоциация нового беспроводного контроллера OC200 с облачным пользователем с помощью мобильного приложения проходит ещё быстрее и проще: достаточно лишь просканировать QR-код, расположенный на наклейке на корпусе контроллера.
Заключение
Итак, вот что у нас в сухом остатке:
- Централизованное управление беспроводной сетью: 100 точек доступа (рекомендовано до 50), поддержка удалённых площадок, выполнение операций по обслуживанию одним кликом, облачный сервис и мобильное приложение, автоматическое создание резервных копий.
- Расширенные функции беспроводной сети: MU-MIMO, переключение между частотными диапазонами, формирование луча, балансировка нагрузки и возможность ограничения доступной полосы пропускания, беспроводные скорости до 1900 Мбит/с, mesh-сети, роуминг, проверка актуальности ПО и автоматическое обновление.
- Опции обеспечения стабильности и безопасности: captive-портал, списки доступа, поддержка нескольких SSID и VLAN, дополнительная аутентификация, выполнение действий по расписанию, поддержка различных топологий.
- Аппаратная платформа: производительный чипсет, профессиональные антенны, поддержка PoE, напольное/настольное/настенное/внешнее размещение точек доступа, различные режимы работы устройств и приемлемая цена чуть ниже аналогов (~7 тыс. руб.).