Инженерный гайд по развёртыванию сети на контроллере NWS и управляемых точках SNR AP
Назначение документа
Этот документ описывает базовый порядок развёртывания беспроводной сети на базе системы NWS, в которой одна точка доступа работает в роли контроллера, а остальные точки работают в подчинённом режиме и управляются через контроллер.
Гайд ориентирован на системных администраторов, инженеров и технических специалистов. Он описывает первичное развёртывание и покрывает следующие вопросы:
- первоначальный доступ к устройству;
- выбор роли устройства;
- предварительную подготовку контроллера;
- создание обязательных объектов конфигурации;
- настройку профилей и политик;
- принятие точек на контроллер;
- базовую проверку результата.
В этом гайде приведён путь развёртывания через CLI.
Что нужно знать до начала работ
Логика развёртывания
В типовой схеме одна точка переводится в режим контроллера. Остальные точки остаются в режиме Managed by the controller и пытаются обнаружить контроллер. После обнаружения контроллер отображает такие точки в show adoption в состоянии JOIN_REQ.
Принятие точки выполняется командой system adopt <AP ID>. Это немедленная system-операция: она не создаёт строку в running-config, не сохраняется в startup-config и не требует commit. Состояние принятия хранится во внутренней базе контроллера. Точка считается принятой только после того, как контроллер получил её полную identity: AP ID, management IP, MAC address, model, serial number и firmware version.
Конфигурация точки хранится отдельно, в секции device <AP ID>. Если после принятия у точки ещё нет device-секции, она может быть создана автоматически политикой Auto Provision при следующем commit или commit write.
Если точка принята на контроллер, через локальный интерфейс можно получить диагностическую информацию или сбросить точку к заводским настройкам.
Если и контроллер и точки находятся в одном broadcast domain и получают адреса от DHCP, дополнительная настройка обнаружения контроллера обычно не требуется.
Если контроллер и точки находятся в разных сегментах сети и между ними нет L2-доступности, точкам необходимо сообщить адрес контроллера через DHCP option 43 или option 138, либо задать адрес контроллера вручную на точке.
Важные особенности архитектуры
- Устройство всегда должно быть привязано к одному
Site. - Устройство всегда должно использовать один
Profile. - Политики начинают работать только после применения на уровне
ProfileилиDevice. - Настройки уровня
Deviceимеют приоритет над настройками уровняProfile. - L3-функции реализованы только на
VLAN-интерфейсах. - На уровне
Profileнельзя настраивать статические IP-адреса. Статическая адресация допустима только на уровнеDevice. - Состояние
adoptionхранится отдельно отrunning-configиstartup-config. system adoptиno system adoptвыполняются немедленно и не требуютcommit.device <AP ID>описывает конфигурацию AP, но не является фактом принятия AP на контроллер.- В
show adoptionполеCONFIGпоказывает наличие или отсутствиеdevice-секции для AP. Auto Provisionзапускается наcommitилиcommit writeи создаётdevice-секцию только для AP в состоянииADOPTED, если такой секции ещё нет.
Для успешного взаимодействия между точкой и контроллером должны быть открыты следующие порты - 8883 TCP - управление; 4433 TCP - обновление прошивок контроллером на точках; 5353 UDP - обнаружение точками контроллера.
Рекомендации по подготовке
- До принятия подчинённых точек предварительно настройте контроллер.
- Основные массовые настройки точек выполняйте на уровне
Profile. - Индивидуальные параметры для отдельных точек и настройки контроллера задавайте на уровне
Device. - По возможности используйте DHCP reservation/binding вместо статической адресации для подчинённых точек.
- Созданная, но нигде не применённая политика работать не будет.
Первичный доступ к устройству
Подключиться к устройству можно одним из трёх способов.
Через serial-консоль
Используйте порт USB Type-C и терминальный клиент, например PuTTY.
Параметры сессии:
- скорость —
115200; - биты данных —
8; - parity —
none; - stop bits —
1; - flow control —
none.
Через сервисный Wi-Fi
Подключитесь к сервисной сети устройства:
- SSID:
SNR-AP-<MAC XX:XX>; - пароль: указан на наклейке;
- IP-адрес устройства по умолчанию:
172.27.72.1.
Через проводную сеть с DHCP
Подключите устройство в сегмент с работающим DHCP-сервером.
Сетевые порты по умолчанию настроены как DHCP client. После этого определите, какой IP-адрес был выдан устройству.
Доступ для настройки
Для CLI используйте SSH:
- логин:
Admin; - пароль:
Admin.
Количество одновременных подключений ограничено. После 5 минут неактивности CLI-сессия будет разорвана.
Выбор роли устройства
При первом входе на ненастроенное устройство будет предложен выбор режима работы:
Choose device mode
0. Exit
1. Managed by the controller
2. Controller
3. Router mode (standalone)
Print number:
Managed by the controller
Это состояние по умолчанию. Точка уже работает в этом режиме и пытается автоматически обнаружить контроллер в своём broadcast domain.
В этом режиме при необходимости можно:
- задать IP-параметры;
- указать адрес контроллера, если он находится в другой сети;
- проверить доступность с помощью
pingиtracert; - обновить прошивку точки.
Но в большинстве сценариев эти действия не требуются.
Controller
Этот режим переводит устройство в роль контроллера беспроводной сети.
После выбора режима система предложит сменить пароль по умолчанию и, при необходимости, настроить сетевые интерфейсы.
При переключении в режим контроллера сервисная wi-fi сеть будет отключена, не забудьте настроить IP адресацию на проводном интерфейсе
Router mode (standalone)
Устройство продолжит работать как самостоятельное сетевое устройство и сохранит L3-функции, но не сможет управлять подчинёнными точками.
Рекомендуемый порядок развёртывания
Шаг 1. Подготовьте контроллер
Перед началом принятия точек:
- переведите одну выбранную вами точку в режим контроллера;
- выполните базовую настройку сетевых интерфейсов;
- проверьте доступ к CLI;
- убедитесь, что на контроллере есть нужный образ прошивки для подчинённых точек.
Проверьте банки загрузки и банк прошивок:
show boot
show device upgrade firmware
Версия загруженой прошивки на контроллере и прошивки для подчинённой точки должны совпасть. Одинаковая версия прошивок на контроллере и точках является обязательным условием работоспособности системы.
На устройствах используется схема Dual boot с двумя равнозначными банками — slot0 и slot1. При обновлении новая прошивка записывается в неиспользуемый банк, а next-boot переключается автоматически.
Шаг 2. Создайте сайт
Site нужен для логической и физической группировки устройств. Для разных локаций рекомендуется создавать разные сайты.
Пример:
site OFFICE
location EKB-Main
country code RU
time-zone GMT+5
contact name IVAN PETROV
contact phone +7 (343) 344-78-28
contact email admin@admin.ru
contact comment main office
exit
Шаг 3. Создайте WLAN-политики
Создайте отдельные WLAN-объекты для нужных SSID.
Пример корпоративной сети с WPA2-Enterprise:
wlan OFFICE
ssid big-office
broadcast-ssid
client-client-communication
security-type wpa2-enterprise
encryption-settings enterprise server 10.0.0.50 port 1812 secret *****
protected-mgmt-frames optional
vlan 10
exit
Пример сети с WPA2/WPA3-PSK:
wlan WAREHOUS
ssid sklad
broadcast-ssid
client-client-communication
security-type wpa2-wpa3-personal
encryption-settings security-psk-key ********
vlan 20
exit
Шаг 4. При необходимости создайте сервисные политики
DHCP-политика
Если DHCP будет обслуживаться контроллером, создайте DHCP-политику для нужного VLAN.
ip dhcp policy control
address-range 10.0.0.100 10.0.0.150
default-router 10.0.0.1
dns primary 10.0.0.1
lease-time 86400
option 138 ip 10.0.0.1
exit
DHCP option 43 и option 138 актуальны только для сценария, когда точки и контроллер находятся в разных сетях.
Политика управления
Рекомендуется сохранить аварийный доступ к подчинённым точкам по SSH. Параметр enforced-auth синхронизирует настройки управления для контроллера и подчинённых точек
management policy AP
no http
no https
ssh 2222
no telnet
enforced-auth
exit
NAT-политика
В данный момент ip nat работает только в режиме MASQUERADE (overload). В рамках NAT-политики также настраивается port forwarding.
ip nat policy INET
interface inside vlan 10
interface outside vlan 100
redirect port 8443 proto tcp from 203.0.113.10 to 192.168.20.100
exit
Политика маршрутизации
ip route policy TEST
ip route 192.168.30.0/24 192.168.10.254 50
exit
IP firewall policy
Правила обрабатываются по возрастанию номера.
ip firewall policy CLIENT-INET
rule 10 src-ip 192.168.10.0/24 dst-ip any action permit
rule 20 src-ip 192.168.20.0/24 dst-ip any action permit
rule 30 protocol icmp action permit
rule 40 protocol udp dst-port 53 action permit
rule 50 protocol udp dst-port 67-68 action permit
rule 60 protocol udp dst-port 123 action permit
rule 80 src-ip 192.168.10.0/24 dst-ip 10.0.0.0/24 action deny
rule 81 src-ip 192.168.20.0/24 dst-ip 10.0.0.0/24 action deny
rule 90 src-ip 192.168.10.0/24 dst-ip 192.168.20.0/24 action deny
rule 91 src-ip 192.168.20.0/24 dst-ip 192.168.10.0/24 action deny
rule 100 src-ip 192.168.0.0/16 dst-ip any action deny
rule 101 src-ip 10.0.0.0/8 dst-ip any action deny
rule 102 src-ip 172.16.0.0/12 dst-ip any action deny
rule 1000 src-ip any dst-ip any action deny
exit
Шаг 5. Создайте профиль для управляемых точек
Профиль должен включать:
- физические интерфейсы;
VLAN-интерфейсы;- радиоинтерфейсы;
- привязку WLAN;
control vlan;- применяемые политики.
Control VLAN — это VLAN, в котором точки и контроллер обмениваются управляющим трафиком.
Пример:
profile snr-ap622-i office
interface Ge0/0
no shutdown
duplex auto
speed auto
switchport mode trunk
switchport trunk native vlan 4094
switchport trunk native tagged
switchport trunk allowed vlan 10,20,99
exit
interface Ge0/1
shutdown
duplex auto
speed auto
switchport mode access
switchport access vlan 1
exit
interface vlan 99
ip address dhcp
exit
interface radio 1
no shutdown
no airtime-fairness
data-rates ax
channel random
power 10
802.11r
802.11k
802.11v
max-clients 64
use wlan OFFICE bssid 1
exit
interface radio 2
no shutdown
no airtime-fairness
data-rates ax
channel random
power 17
802.11r
802.11k
802.11v
max-clients 64
use wlan OFFICE bssid 1
exit
ntp server 0.ru.pool.ntp.org
use management policy AP
control vlan 99
exit
На уровне Profile не назначайте статические IP-адреса. Если устройству нужен статический адрес, задавайте его только в секции Device.
Шаг 6. Настройте Auto Provision
Создайте или скорректируйте политику Auto Provision, чтобы после принятия и последующего commit точка автоматически получала нужные Profile и Site.
Auto Provision не выполняется в момент ввода system adopt. Он обрабатывает только точки в состоянии ADOPTED и создаёт для них device-секцию, если такой секции ещё нет.
Пример:
auto provision policy DEFAULT
rule 10 serial-number SNR-AP622-I2506000955-SNR-AP622-I2506000960 action profile snr-ap622-i office site OFFICE
rule 20 serial-number SNR-AP622-I2506000970-SNR-AP622-I2506000980 action profile snr-ap622-i WAREHOUSE site WAREHOUSE
rule 950 model snr-ap622-i action profile snr-ap622-i DEFAULT site DEFAULT-SITE
exit
Шаг 7. Настройте устройство-контроллер на уровне Device
На уровне Device задайте:
- сетевые интерфейсы контроллера;
- IP-адреса на
VLAN-интерфейсах; control vlan;- режим
controller adoption; - применяемые DHCP-политики;
- привязку к
Site; - привязку к
Profile; - используемую политику
Auto Provision.
Пример:
device ap622-i-60-43-15
interface Ge0/0
no shutdown
duplex auto
speed auto
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 10,20,99
exit
interface Ge0/1
shutdown
duplex auto
speed auto
switchport mode access
switchport access vlan 1000
exit
interface vlan 10
ip address 192.168.10.1/24
exit
interface vlan 20
ip address 192.168.20.1/24
exit
interface vlan 99
ip address 10.0.0.1/24
exit
use site OFFICE
use management policy DEFAULT
control vlan 99
controller adoption
use ip dhcp policy office vlan 10
use ip dhcp policy warehouse vlan 20
use ip dhcp policy control vlan 99
use profile snr-ap622-i office
use auto provision policy DEFAULT
exit
Шаг 8. Примените и сохраните конфигурацию
После ввода команды:
commit write
commit write валидирует конфигурацию, переносит её в running-config и сохраняет результат в startup-config.
Если нужно применить изменения без сохранения после перезагрузки, используйте:
commit
Если нужно отменить неподтверждённые изменения, используйте:
revert
Шаг 9. Выполните adoption точек
Проверьте список точек, ожидающих принятия:
show adoption
Пример:
| ID | IP | STATUS | VERSION | ONLINE | CONFIG |
| ap622-i-60-25-21 | 10.0.0.100 | JOIN_REQ | 0.2.0-dev | + | |
| ap622-i-60-25-34 | 10.0.0.101 | JOIN_REQ | 0.2.0-dev | + | |
| ap622-i-60-25-47 | 10.0.0.102 | JOIN_REQ | 0.2.0-dev | + | |
Примите точки одной командой или несколькими командами:
system adopt ap622-i-60-25-21
Групповое принятие нескольких точек:
system adopt ap622-i-60-25-21 ap622-i-60-25-34 ap622-i-60-25-47
system adopt выполняется немедленно и меняет только внутреннее состояние adoption. Команда не создаёт device-секцию и не показывает сработавшее правило Auto Provision.
После принятия проверьте состояние:
show adoption
Пример промежуточного состояния:
| ID | IP | STATUS | VERSION | ONLINE | CONFIG |
| ap622-i-60-25-21 | 10.0.0.100 | ADOPTED | 0.2.0-dev | + | |
| ap622-i-60-25-34 | 10.0.0.101 | ADOPTED | 0.2.0-dev | + | |
| ap622-i-60-25-47 | 10.0.0.102 | ADOPTED | 0.2.0-dev | + | |
Пустое поле CONFIG означает, что т�очка уже принята, но для неё ещё нет конфигурационной device-секции.
Чтобы запустить Auto Provision, создать недостающие device-секции и сохранить результат, выполните:
commit write
show adoption
Пример ожидаемого результата после auto-provision:
| ID | IP | STATUS | VERSION | ONLINE | CONFIG |
| ap622-i-60-25-21 | 10.0.0.100 | ADOPTED | 0.2.0-dev | + | + |
| ap622-i-60-25-34 | 10.0.0.101 | ADOPTED | 0.2.0-dev | + | + |
| ap622-i-60-25-47 | 10.0.0.102 | ADOPTED | 0.2.0-dev | + | + |
Если версия прошивки подчинённой точки не совпадает с версией, ожидаемой контроллером, после принятия точке может потребоваться время на автоматическое обновление прошивки. На время обновления состояние может отличаться от ADOPTED.
Минимальная рабочая конфигурация
Ниже приведён упрощённый пример конфигурации для небольшого стенда с одним контроллером, одной WLAN и DHCP на контроллере.
wlan DEFAULT
ssid TEST
broadcast-ssid
client-client-communication
security-type wpa2-personal
encryption-settings security-psk-key *********
vlan 1
exit
!
ip dhcp policy DEFAULT
address-range 172.27.72.100 172.27.72.200
default-router 172.27.72.1
dns primary 8.8.8.8
dns secondary 8.8.4.4
lease-time 86400
exit
!
auto provision policy DEFAULT
rule 950 model snr-ap622-i action profile snr-ap622-i DEFAULT site DEFAULT-SITE
rule 951 model snr-cpe-ax2 action profile snr-cpe-ax2 DEFAULT site DEFAULT-SITE
exit
!
management policy DEFAULT
no http
https
ssh 22
no telnet
enforced-auth
exit
!
site DEFAULT-SITE
location default
country code RU
time-zone GMT+3
contact comment shop.nag.ru
exit
!
profile snr-ap622-i DEFAULT
interface Ge0/0
no shutdown
duplex auto
speed auto
switchport mode access
switchport access vlan 1
exit
interface Ge0/1
no shutdown
duplex auto
speed auto
switchport mode access
switchport access vlan 1
exit
interface vlan 1
no shutdown
ip address dhcp
exit
interface radio 1
no shutdown
airtime-fairness
data-rates ax
channel random
power 17
802.11r
802.11k
802.11v
max-clients 64
use wlan DEFAULT bssid 1
exit
interface radio 2
no shutdown
airtime-fairness
data-rates ax
channel random
power 17
802.11r
802.11k
802.11v
max-clients 64
use wlan DEFAULT bssid 1
exit
use management policy DEFAULT
control vlan 1
exit
!
device ap622-i-63-41-86
interface vlan 1
no shutdown
ip address 172.27.72.1/24
exit
use site DEFAULT-SITE
controller adoption
use ip dhcp policy DEFAULT vlan 1
use profile snr-ap622-i DEFAULT
use auto provision policy DEFAULT
exit
Проверка результата
После завершения развёртывания проверьте следующее:
- контроллер доступен по SSH;
- на контроллере задан корректный
control vlan; - на контроллере присутствует образ прошивки для подчинённых точек;
- точки видны в
show adoption; - после
system adoptточки переходят изJOIN_REQвADOPTED; - после
commit writeу принятых точек вshow adoptionзаполнено полеCONFIG; - WLAN применены к нужным радиоинтерфейсам;
- точки получили
ProfileиSiteсогласно правиламAuto Provision; - при необходимости доступны CLI и аварийный SSH на подчинённых точках.
Служебные команды эксплуатации
Сброс device override
Для удаления локальных переопределений используйте:
clean override
На устройстве, которое работает в роли контроллера, эта команда очищает только радиочасть.
Удаление принятой точки
Для полного удаления управляемой точки сначала удалите её из adoption database, затем удалите конфигурационную device-секцию:
no system adopt <AP ID>
configure
no device <AP ID>
commit write
Не удаляйте device <AP ID> для принятой точки до выполнения no system adopt <AP ID>. Сначала нужно удалить состояние adoption, затем конфигурационную секцию устройства. Если точку нужно принудительно отвязать и сбросить, используйте форму no system adopt <AP ID> force.
Перезагрузка и сброс к заводским настройкам
system reload self
system reload ap <ap-id>
system reload all
system factory default self
system factory default ap <ap-id>
При подтверждении сброса к заводским настройкам система ожидает ввод YES YES через пробел. Учитывайте, что область хранения прошивок для подчинённых точек также будет очищена.
Индикация LED для SNR-AP622-I
Контроллер
- ОС загружается — красный;
- ОС загружена — фиолетовый;
- контроллер полностью запущен — синий;
- есть ассоциированный беспроводной клиент — мигающий синий.
Подчинённая точка
- ОС загружается — красный;
- ОС загружена — фиолетовый;
- стадия
ADOPTED— зелёный; - стадия
DISCOVER— жёлтый; - стадия
JOIN_REQ— жёлтый.
Индикация клиентской активности на подчинённой точке:
- нет клиентов — постоянный цвет;
- от 1 до 4 клиентов — мигание с полупериодом 2 секунды;
- от 5 до 16 клиентов — мигание с полупериодом 1 секунда;
- более 16 клиентов — мигание с полупериодом 0.5 секунды.