How-To Guide: настройка WLAN

Введение

Цель

Этот документ описывает процесс настройки WLAN на оборудовании SNR Wi-Fi AP.

Аудитория

Документ предназначен для сетевых администраторов, инженеров и технических специалистов, ответственных за настройку беспроводной сети.

Термины и определения

WLAN (Wireless Local Area Network) — беспроводная локальная сеть.

SSID (Service Set Identifier) — идентификатор беспроводной сети, транслируемый точкой доступа.

VLAN (Virtual Local Area Network) — виртуальная локальная сеть.

BSS (Basic Service Set) — логический интерфейс радиомодуля, через который точка доступа транслирует отдельный SSID.

PSK (Pre-Shared Key) — предварительно заданный ключ безопасности для персональных режимов WPA/WPA2/WPA3.

RADIUS (Remote Authentication Dial-In User Service) — протокол централизованной аутентификации пользователей в корпоративных режимах WPA/WPA2/WPA3 Enterprise.

PMF (Protected Management Frames) — механизм защиты управляющих кадров IEEE 802.11w.

802.11k, 802.11r, 802.11v — механизмы, которые помогают клиентским устройствам быстрее выбирать подходящую точку доступа и выполнять роуминг между точками.

Airtime Fairness — механизм распределения эфирного времени между клиентами беспроводной сети.

Обзор и важные замечания

Интерфейс системы позволяет создать до 128 беспроводных сетей WLAN.
Каждый радиоинтерфейс на точке доступа может одновременно транслировать до 8 разных SSID.
Не путайте имя WLAN с идентификатором сети SSID. SSID транслируется в радиосети и виден клиентским устройствам.
Сокрытие SSID из эфира не повышает безопасность беспроводной сети.
Для гостевых сетей рекомендуется отключать обмен трафиком между беспроводными клиентами одной WLAN.
Для персональных режимов безопасности необходимо задать PSK-ключ. Для корпоративных режимов Enterprise необходимо указать параметры RADIUS-сервера.
Для режимов WPA3 рекомендуется включать PMF. В зависимости от политики безопасности PMF можно сделать обязательным или опциональным.
ОС NWS, установленная на оборудовании SNR Wi-Fi AP, поддерживает профили оборудования. Это позволяет настраивать группы устройств с одинаковыми параметрами.
Чтобы настроить одинаковую WLAN для нескольких точек доступа, создайте новый профиль или выберите существующий профиль в режиме глобальной конфигурации.

Подготовка

Убедитесь, что точки доступа подключены к сети.
Убедитесь, что все устройства работают на рекомендованной версии прошивки.
Подготовьте основные параметры WLAN: имя сети, SSID, состояние вещания SSID и номер VLAN.
Подготовьте параметры безопасности: тип безопасности, PSK-ключ или адрес, порт и секрет RADIUS-сервера.
Определите, нужно ли включать PMF и изоляцию клиентов.
Подготовьте параметры радиоинтерфейса: номер радиоинтерфейса, режим 802.11, канал, ширину канала, мощность передатчика, базовые скорости и ограничение количества клиентов.
Определите радиоинтерфейс и номер BSS, через который будет транслироваться SSID.

Настройка WLAN

Настройка через интерфейс командной строки

Создание WLAN

Перейдите в режим глобальной конфигурации:

configure terminal

Создайте или прейдите в существую политику WLAN указав её имя:

wlan (имя)

Включите WLAN:

no shutdown

Для отключения WLAN используйте:

shutdown

Задайте SSID:

ssid (имя)

При необходимости скройте SSID из эфира:

no broadcast-ssid

Для отмены сокрытия SSID используйте:

broadcast-ssid

При необходимости отключите обмен трафиком между беспроводными клиентами одной WLAN:

no client-client-communication

Для разрешения обмена трафиком между клиентами используйте:

client-client-communication

Задайте тип безопасности:

security-type (тип)

Доступные типы безопасности:

Тип	Описание
`open`	открытая сеть без защиты
`wpa-wpa2-personal`	WPA/WPA2 Personal, TKIP + AES-CCM/CCMP
`wpa2-personal`	WPA2 Personal, AES-CCM/CCMP-PSK
`wpa3-personal`	WPA3 Personal, SAE
`wpa2-wpa3-personal`	смешанный режим WPA2/WPA3 Personal, AES-CCM/CCMP + SAE
`wpa2-enterprise`	WPA2 Enterprise, AES-CCM + RADIUS
`wpa3-enterprise`	WPA3 Enterprise, RADIUS
`wpa2-wpa3-enterprise`	смешанный режим WPA2/WPA3 Enterprise, AES-CCM + RADIUS

Для персональных режимов безопасности задайте PSK-ключ:

encryption-settings security-psk-key (PSK-ключ)

Для корпоративных режимов безопасности задайте параметры RADIUS-сервера:

encryption-settings enterprise server (IP-адрес) port (порт) secret (секрет)

При необходимости настройте PMF:

protected-mgmt-frames optional
protected-mgmt-frames mandatory

optional объявляет поддержку PMF, но требует её только от клиентов, которые также поддерживают PMF. mandatory принудительно требует PMF для подключения к WLAN.

Укажите номер VLAN, который будет использоваться в этой сети.

vlan (номер VLAN 1-4096)

Примените настройки и сохраните их в память:

commit write

При необходимости удалите WLAN с помощью аргумента отрицания no:

no wlan (имя)

Пример настройки WLAN:

configure terminal

wlan Office
 no shutdown
 ssid Office
 no broadcast-ssid
 no client-client-communication
 security-type wpa2-personal
 encryption-settings security-psk-key your-psk-key
 vlan 1
 commit write

Пример настройки WLAN с WPA2 Enterprise:

configure terminal

wlan Corporate
 no shutdown
 ssid Corporate
 broadcast-ssid
 security-type wpa2-enterprise
 encryption-settings enterprise server 192.168.88.88 port 1812 secret radius-secret
 protected-mgmt-frames optional
 vlan 10
 commit write

Привязка WLAN к радиоинтерфейсу

Перейдите в режим профиля, устройства или локального устройства.

Для настройки профиля используйте:

profile (тип) (имя)

Для настройки конкретной точки доступа используйте:

device (MAC-адрес)

Для настройки локального устройства используйте:

self

Выберите радиоинтерфейс:

interface radio (номер)

Включите радиоинтерфейс:

no shutdown

Для отключения радиоинтерфейса используйте:

shutdown

Укажите режим работы радиоинтерфейса:

mode (ac | ax | bgn | gn)

Выберите номер и ширину канала:

channel (номер ширина)

Номера доступных каналов определяются местными нормативными требованиями. Вместо фиксированного номера можно указать значение random. В этом случае будет выбран случайный номер канала.

Ширина канала задаётся дополнительными символами после номера канала. Например: 36 — 20 MHz, 36w — 40 MHz, 36ww — 80 MHz.

При необходимости задайте мощность передатчика:

power (значение 1-26)

Значение указывается в dBm. Доступный диапазон зависит от модели точки доступа и нормативных ограничений выбранной страны.

Задайте базовые скорости передачи данных:

basic-rates default
basic-rates custom (скорость)

basic-rates custom необходимо указывать со значением скорости. Команда без значения не применяется.

При необходимости включите механизмы, которые помогают клиентам при роуминге:

11k
11r
11v

При необходимости включите Airtime Fairness:

airtime-fairness

При необходимости задайте максимальное количество ассоциированных клиентов:

max-clients (число 1-64)

Количество ассоциированных устройств не равно количеству клиентов, которые одновременно получают сервис передачи данных от точки доступа. Реальное количество обслуживаемых клиентов зависит от состояния радиосреды, типа клиентских устройств и других факторов.

Привяжите WLAN к радиоинтерфейсу и укажите BSSID. На каждом радиоинтерфейсе возможна трансляция до 8 BSSID

use wlan <name> bssid <1-8>

При необходимости удалите WLAN с радиоинтерфейса с помощью аргумента отрицания no указав номер BSSID.

no use wlan bssid <1-8>

Пример настройки радиоинтерфейса:

configure terminal

profile (тип) (имя)
 interface radio (номер)
  no shutdown
  mode (ac | ax | bgn | gn)
  channel (номер ширина)
  power (значение 1-26)
  basic-rates default
  max-clients (число)
  use wlan <name> bssid <1-8>
  commit write