Versions Compared

Old Version 19

changes.mady.by.user Галина Горбачева

Saved on

compared with

New Version 20

changes.mady.by.user Галина Горбачева

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Большая часть задач по управлению контроллером и точками доступа ведется через его веб-интерфейс, доступ к которому осуществляется через веб-браузер.

Ключевые функции

Для разработки продукта контроллера все требуемые функции разделены по трём категориям, соответствующим слоям обработки информации.

Функции контроллера, реализованные на данный момент

Ниже приведён список реализованных в настоящий момент функций контроллера, в совокупности каждого из его компонентов (агент управления на точке доступа, коммуникационный агент, ядро контроллера, веб-интерфейс).

Слой передачи данных (data plane):

  1. Терминация трафика в access порт ТД.
  2. Терминация трафика клиента в VLAN интерфейс.
  3. Определение IP адреса клиента через парсинг его трафика, в том числе на bridge-интерфейсах.

Контрольный слой (control plane):

  1. Настройка исходных параметров точки доступа.
  2. Определение адреса контроллера.
  3. Подключение и переподключение к контроллеру, регистрация.
  4. Настройка параметров TCP/IP.
  5. Настройка параметров NTP, Syslog.
  6. LLDP.
  7. Настройка радио-интерфейсов.
  8. Панель управления точкой доступа.
  9. Обновление программного обеспечения точки доступа.
  10. Настройка профиля беспроводной сети SSID.
  11. Настройка параметров безопасности.
  12. Поддержка МАС авторизации.
  13. Поддержка 802.1x.
  14. Поддержка изоляции беспроводных клиентов.
  15. Поддержка определения IP адреса беспроводных клиентов.
  16. Вещание имени точки доступа в Beacon-пакетах.
  17. Управление роумингом 802.11k.
  18. Управление роумингом 802.11v.
  19. Управление роумингом 802.11r.
  20. Динамическое перераспределение клиентов.
  21. Настройка максимального размера радио-кадра.
  22. Настройка интервала времени между отправкой Beacon-кадров.
  23. Формирование списка допустимых радиоканалов.
  24. Установка ширины канала.
  25. Управление мощностью передатчика.
  26. Возможность задать альтернативный RADIUS-сервер.
  27. Формирование групп точек доступа.
  28. Привязка вещания беспроводных сетей в группах.
  29. Поддержка карт (планов помещений) в группе.
  30. Назначение группы «базовой» при подключении к контроллеру новых точек доступа.
  31. Сброс (удаление) подключённого/ых клиента (клиентов) из беспроводной сети, точки доступа, группы.
  32. Получение списка вещающих рядом с точкой доступа беспроводных сетей.
  33. Получение списка занятости радиочастотных каналов.
  34. Оптимизация параметров радио-окружения и перестроение конфигураций радио-интерфейсов в группе точек доступа.
  35. Сервис проксирования RADIUS-запросов.
  36. Захват трафика на беспроводном интерфейсе точки доступа, и передача его на контроллер.

Слой управления (management plane):

Возможности контроллера

  1. Удобный веб-интерфейс для настройки и менеджмента функционала контроллера и точек доступа.
  2. Отображение статистики контроллера, точек доступа, подключенных клиентов и других параметров и метрик на графиках.
  3. Удобный и гибкий фильтр для быстрого и понятного нахождения и отображения требуемой информации в списках клиентов, точек доступа, событиях и т.д.
  4. Панель управления точками доступа с отображением их параметров (модель, версия ПО, IP адрес, группа и т.д.).
  5. Просмотр и настройка параметров для каждой точки доступа индивидуально: административное отключение точки доступа, её имя, описание, настройка адресации, визуальной индикации, логирования, настройка адреса и местоположения точки для дальнейшего отображения ее на карте или плане помещения (при настроенной на контроллере карте или плане помещения), и т.д.
  6. Управление радио-интерфейсами точки: установка частотного канала вещания, ширины канала, мощности передатчика, режима работы для каждой точки для каждого её радио-интерфейса, с возможностью фиксации заданной конфигурации.
  7. Получение актуального списка SSID, вещаемых определенной точкой и информации по ним (диапазон, BSSID, канал, мощность, количество клиентов).
  8. Индивидуальная панель управления точкой доступа с возможность выполнения различных действий (перезагрузка, обновление ПО и конфигурации, сброс WiFi клиентов и т.д.)
  9. Формирование групп точек доступа с возможностью настройки описания и месторасположения для них.
  10. Возможность создания вложенных групп с наследованием параметров родительской группы.
  11. Персонализация списка вещаемых SSID и параметров RRM для группы.
  12. Поддержка карт (планов помещений) в группе.
  13. Назначение группы как «базовой», в которую будут автоматически помещаться подключающиеся к контроллеру новые точки доступа.
  14. Оптимизация параметров радио-окружения и перестроение конфигураций радио-интерфейсов в группе точек доступа.
  15. Настройка профилей беспроводной сети SSID с возможностью установки диапазона вещания, безопасности, гостевого портала, режима терминации, параметров 802.11k/v/r и т.д.
  16. Ведение списка беспроводных клиентов с возможностью просмотра информации об индивидуальном клиенте.
  17. Поддержка изоляции беспроводных клиентов.
  18. Поддержка авторизации 802.1X (WPA2/WPA3-Enterprise).
  19. Поддержка МАС-авторизации через внешний RADIUS сервер.
  20. Настройка параметров DNS, NTP, Syslog серверов, имени домена, часового пояса, LLDP, для передачи на ТД.
  21. Встроенные серверы DHCP, TFTP и NTP с возможностью настройки их параметров в веб-интерфейсе контроллера.
  22. Встроенный в точку доступа хот-спот для перенаправления неавторизованного гостевого клиента на внешний портал с авторизацией по СМС/звонку/Госуслугам/ваучеру, с подтверждением доступа через контроллер по RADIUS-протоколу и поддержкой быстрого роуминга гостевых клиентов между точками доступа.
  23. Возможность задания гостевых порталов на каждый SSID индивидуально.
  24. Возможность настройки безусловно разрешенных для доступа IP адресов неавторизованным гостевым клиентам.
  25. Управление VXLAN шлюзами с возможностью создания и настройки туннелей в веб-интерфейсе; поддерживается терминация туннелей в Access и VLAN порты шлюза. Шлюзом может выступать любой (физический, виртуальный) Linux-сервер, включая сам контроллер.
  26. Сервис управления радио-ресурсами (RRM): статическое определение параметров ТД; динамическое назначение частотного плана по каждому радио-домену в результате обсчета полученных с ТД данных.
  27. Применение настроек радио-окружения для заданной группы точек доступа, и конкретной точки доступа.
  28. Настройка параметров безопасности для контроллера и точек доступа.
  29. Ведение списка локальных пользователей интерфейса контроллера.
  30. Поддержка взаимодействия с RADIUS-сервером с возможностью его проверки и периодического тестирования доступности.
  31. Служба RADIUS Proxy сервиса.
  32. Возможность настройки различных уведомлений от контроллера по заданным событиям и от заданных групп точек доступа.
  33. Отправка уведомлений на внешний Syslog-сервер.
  34. Отправка уведомлений на внешний SNMP-сервер.
  35. Логирование и просмотр различных событий на контроллере с гибкой фильтрацией результатов по заданным критериям.
  36. Отображение системных алертов в дашборде контроллера.
  37. Возможность отправки shell-команды на точку доступа / группу ТД с отображением результата выполнения.
  38. Ведение репозитория ПО для точек доступа и компонентов контроллера с возможность автоматического и ручного обновления.
  39. Автоматическая загрузка в репозиторий контроллера обновлений ПО из репозитория вендора, в том числе и при отсутствии доступа к Интернет с контроллера.
  40. Ведение списка коммуникационных агентов (версия ПО, обновление, перезапуск).
  41. Просмотр версий программного обеспечения всех точек доступа.
  42. Просмотр статуса работы контроллера, его самообновление и перезагрузка.
  43. Автоматическое резервное копирование и восстановление конфигурации БД контроллера.
  44. Управление лицензиями для компонентов контроллера с отображением их параметров.

Поддержка функций 802.11

  1. Поддержка стандартов 802.11a/b/g/n/ac/ax для 2.4 и 5 ГГц радио.
  2. Управление мощностью передачи, шириной канала.
  3. Поддержка установки базовых обязательных и поддерживаемых дата-рейтов.
  4. Поддержка установки плотности зоны покрытия.
  5. Поддержка установки DTIM периода.
  6. Поддержка установки использования короткой преамбулы.
  7. Включение 802.11k и распространения neighbor report по радио и проводу.
  8. Включение 802.11v управления переходом.
  9. Включение 802.11r быстрого роуминга.
  10. Вещание имени точки доступа в Beacon-пакетах.
  11. Получение списка вещающих вокруг «чужих» и «своих» точек доступа, передача его на контроллер для целей RRM.
  12. Получение статистики загруженности частотных каналов, передача его на контроллер для целей RRM.
  13. Передача на контроллер информации о текущих параметрах радио-интерфейсов ТД.
  14. Поддержка установки параметра MFP 802.11w.
  15. Поддержка band steering.

Поддержка абонентского подключения и авторизации

  1. Авторизация подключений к профилям сетей со следующими параметрами безопасности: Open, Open+MAC, WPA2-PSK, WPA3-SAE, WPA2/3 Enterprise.
  2. Возможность задать внешний RADIUS-сервер для MAC и 802.1Х авторизации.
  3. Возможность указания разрешённого частотного диапазона для профиля Wi-Fi сети (2.4 ГГц, 5 ГГц, оба).
  4. Работа с RADIUS-сервером в прямом режиме и с проксированием через контроллер.
  5. Терминация клиентского трафика SSID в access-порт точки доступа.
  6. Терминация клиентского трафика SSID в trunk-порт точки доступа с назначением номера VLAN.
  7. Инкапсуляция пользовательского трафика в VXLAN туннель с терминацией его на специализированном сервере-шлюзе.
  8. Передача на контроллер списка текущих клиентов, с их параметрами и статистикой подключения.
  9. Определение IP адреса и имени устройства клиента с помощью сниффинга DHCP трафика, в том числе на bridge-интерфейсах.
  10. Оптимизация механизмов роуминга клиента между точками доступа.

Управление безопасностью

  1. Централизованное управление паролем, доступом на интерфейс ТД, ssh-ключами ТД с возможностью автоматической и периодической синхронизации
  2. Ведение репозитория программного обеспечения.
  3. Автоматическая проверка доступности новых версий ПО.
  4. Удаление устаревших версий ПО.
  5. Проверка RADIUS-сервера.
  6. Периодическое тестирование доступности RADIUS-сервера.
  7. Информационные дашборды.
  8. Ведение списка беспроводных клиентов.
  9. Просмотр информации о беспроводном клиенте.
  10. Просмотр лог-файлов контроллера и точек доступа.
  11. Ведение списка локальных пользователей интерфейса контроллера.
  12. Ролевая модель доступа.
  13. Авторизация доступа по LDAP.
  14. Авторизация доступа по TACACS+.
  15. Отправка уведомлений на внешний Syslog-сервер.
  16. Отправка уведомлений на внешний SNMP-сервер.
  17. Установка общего пароля пользователя root на все точки доступа.
  18. Ведение базы публичных ssh-ключей для беспарольного доступа.
  19. Включение LuCI и SSH интерфейсов Управление работой веб-интерфейса точек доступа.
  20. Просмотр версий программного обеспечения всех точек доступа.
  21. Управление подключёнными коммуникационными агентами.
  22. Просмотр статуса работы контроллера, его самообновление и перезагрузка.
  23. Формирование распространяемого образа (дистрибутива) контроллера.
  24. Отображение статуса взаимодействия с контроллером в интерфейсе точки доступа.

Дорабатываемые функции контроллера

Слой передачи данных (data plane):

  1. Инкапсуляция пользовательского трафика в VXLAN туннель с терминацией его на специализированном сервере-шлюзе.
  2. Инкапсуляция пользовательского трафика в VXLAN туннель с поддержкой шифрования с терминацией его на специализированном сервере-шлюзе.
  3. Оптимизация механизмов роуминга клиента между точками доступа.

Контрольный слой (control plane):

  1. Ролевая модель доступа для пользователей контроллера.
  2. Настройка политики паролей локальных учётных записей.
  3. Возможность авторизации в интерфейсе контроллера через учетную запись службы каталога (LDAP).
  4. Возможность авторизации в интерфейс контроллера через сервер TACACS+.
  5. Поддержка функции SNMP клиента.

Возможности траблшутинга

  1. Централизованный сбор, хранение и просмотр лог-файлов контроллера и любой точки доступа.
  2. Отображение параметров RRM для контроллера в целом.
  3. Отображение текущих параметров радио-окружения точки доступа: наблюдаемые BSSID, связность с соседними «своими» точками доступа.
  4. Сброс сессии подключённого клиента или всех клиентов с беспроводной сети, точки доступа, группы.
  5. Сбор траблшутинговой информации о беспроводном клиенте со всех точек доступа.
  6. Захват трафика на беспроводном интерфейсе точки доступа, и передача его на контроллер с возможностью выгрузки файла захваченного трафика для последующего анализа.

Роадмап развития контроллера

  1. Улучшение
  2. Управление VXLAN шлюзами.
  3. Управление ключами шифрования и VPN-серверами, работающими на GRE шлюзах.
  4. Развитие алгоритма оптимизации настроек радио-окружения: использование информации о загрузке беспроводных каналов, о соседних точках доступа.
  5. Интеграция взаимодействия с сенсором качества WNAM Quality of Wireless в части дальнейшей оптимизации настроек радио-окружения.
  6. Применение настроек радио-окружения для заданной группы точек доступа, и конкретной точки доступа.
  7. Контроль наличия VLAN, заданного для беспроводной сети, на порту коммутаторкоммутатора, куда подключена точка доступа.
  8. Опция прекращения вещания SSID при пропадании связи точки доступа с контроллером.
  9. Реализация функции определения беспроводных атак (WIDS).
  10. Реализация функции подавления беспроводных атак (WIPS).
  11. Возможность индивидуальной и групповой отправки конфигурационных shell-команд и скриптов на точку доступа, разово и по расписанию.
  12. Реализация встроенного хот-спота для перенаправления неавторизованного клиента на гостевой портал с авторизацией на внешнем сервере по RADIUS-протоколу и поддержкой быстрого роуминга гостевых клиентов между точками доступа.
  13. Детектирование и блокировка DHCP сервера на стороне Wi-Fi сети и «чужого» сервера со стороны ЛВС.
  14. Вставка сведений об имени точки доступа в проходящие DHCP-запросы клиентов (Option 82); работа в режиме DHCP Relay.
  15. Реализация собственного механизма кэширования и распространения PMKSA ключей шифрования канальных данных для ускорения операций роуминга.
  16. Возможность назначение номера VLAN для терминации клиентского трафика через RADIUS-атрибуты.
  17. Поддержка точкой доступа и контроллером функции mDNS gateway.

Слой управления (management plane):

  1. Сбор траблшутинговой информации о беспроводном клиенте со всех точек доступа.
  2. Настройка Поддержка кластерной конфигурации контроллеров.
  3. Автоматические резервирование конфигурации контроллера.
  4. Настройка политики паролей локальных учётных записей.
  5. Аудит конфигурационных действий пользователя и отправка уведомлений по ним.
  6. Система формирования предупреждений при выявлении механизмом самодиагностики контроллера неисправностей в своей работе.
  7. Реализация окна доступа к shell-консоли точки доступа через терминальное окно в веб-браузере административного интерфейса контроллера.
  8. Настройка параметров TCP/IP контроллера в его веб-интерфейсе.
  9. Встроенный DHCP-сервер и настройка его параметров в веб-интерфейсе контроллера.
  10. Встроенный TFTP -сервер и настройка его параметров в веб-интерфейсе контроллера.
  11. Встроенный NTP-сервер и настройка его параметров в веб-интерфейсе контроллера.
  12. Формирование образа контроллера для установки на компактный сервер.

...