Versions Compared

Old Version 44

changes.mady.by.user Никита Фартуков

Saved on

compared with

New Version Current

changes.mady.by.user Никита Фартуков

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • кнопка для применения фильтрации (расширенный фильтр);
  • строка для быстрого поиска сетей по имени (быстрый фильтр);
  • кнопка для создания новой сети;
  • таблица со списком сетей.

Image Modified


Tip

После внесения изменений в конфигурацию контроллера, точек доступа или групп не забывайте выполнить применение внесенных изменений на точках доступа (см. пункт "Применение изменений в конфигурации" в разделе 7 Настройка).

7.3.3.1 Таблица сетей

Список сетей представлен на странице в табличной форме, основными элементами являются:

...

Для изменения настроек сети нажмите на кнопку "". Откроется страница для внесения изменений в настройки выбранной сети (см. раздел "Просмотр и изменение настроек сети"). 

Для удаления сети с контроллера нажмите на кнопку "", откроется модальное окно для подтверждения операции удаления. Для выполнения операции нажмите кнопку "Удалить", для отмены операции и закрытия модального окна нажмите кнопку "Отмена" или "".

...

  1. Нажмите на кнопку изменить "", расположенную справа напротив названия сети и её параметров.
  2. Откроется страница "Редактирование SSID" для внесения изменений в настройки данной сети.

Image Removed

На странице "Редактирование SSID" представлены несколько блоков:

  • блок "Настройки сети";
  • блок "Безопасность";
  • блок "Дополнительно";
  • кнопка "Сохранить изменения".

Блок "Настройка сети"

Image Added

Информация в блоке "Настройки сети" заполняется следующим образом:

  • введите в поле "SSID" желаемое название беспроводной сети;
  • в поле "ID профиля" выберите любой идентификатор для настраиваемой сети (в списке отображаются только свободные идентификаторы);
  • для выбора диапазона частот, на которых будет вещаться сеть, установите чек-бокс "Image Modified" напротив выбранного значения;
  • для включения вещания сети переместите ползунок "Включена" в активное положение, для выключения вещания сети точками доступа переместите ползунок в неактивное положение;
  • включите параметр "Скрытая сеть", переместив бегунок, если Вы не хотите, чтобы точки доступа вещали имя данной сети и к ней можно было подключиться только зная её имя;

...

Блок "Безопасность"

...

Image Added

Блок "Безопасность" содержит следующе настройки:

  • Безопасность - определяет используемый стандарт безопасности для данного SSID;
  • PSK Пароль - пароль, используемый для стандартов безопасности PSK/SAE;
  • МАС авторизация - служит для включения авторизации по MAC адресу с использованием RADIUS сервера:
    • При выборе вместе с опцией "Гостевой портал" для SSID будет настроена MAB авторизация (MAC Address Bypass), и при подключении клиентов к нему контроллер будет отправлять запрос авторизации с MAC адресом клиента на выбранный сервер, при помощи которого будет определяться, необходимо ли перенаправлять клиента на гостевой портал или клиент сразу будет авторизован;
  • Аккаунтинг - включает RADIUS-аккаунтинг для данного SSID, может использоваться без включения MAC авторизации, либо возможно отключить аккаунтинг для типов безопасности ENT;
  • RADIUS-сервер - доступен для настройки только при выборе безопасности типа ENT, включении MAC авторизации или аккаунтинга. Параметр задает используемый для SSID сервер RADIUS или группу RADIUS серверов (подробности по настройке RADIUS серверов
  1. Выберите тип желаемого стандарта безопасности и настройте его параметры.
    При выборе любого стандарта безопасности кроме "Open", будет доступен выпадающий список "Защита фреймов управления (MFP)" с несколькими вариантами настройки. MFP (Management Frame Protection) - это стандарт для повышения безопасности Wi-Fi соединения. По умолчанию опция настраивается в режим "Опционально" для стандартов WPA3, так как этого требует сам стандарт.
  2. Настройте желаемую терминацию трафика (куда будет уходить трафик клиентов из точки доступа):
  • если вам нужно прямое подключение, то выберите Access-порт;
  • если вам нужно отправлять трафик в VLAN сеть, то выберите опцию "В локальный VLAN точки доступа" и введите VLAN ID, настроенный в вашей сети;
  • если вам нужно терминировать трафик в VXLAN туннель, то перед этим настройте его в разделе "Конфигурация => VXLAN шлюзы", а после выберите здесь настроенный VXLAN шлюз и туннель (подробности по настройке см. в разделе 7.3.9 VXLAN шлюзы);
    • если вы хотите использовать алгоритм безопасности с авторизацией через RADIUS-сервер (WPA2-ENT, WPA3-ENT) или использовать авторизацию по MAC-адресу, то перед этим добавьте RADIUS-сервер в разделе "Конфигурация => RADIUS", затем выберите его в выпадающем списке здесь (подробности по настройке
  • см. в разделе 7.3.7 RADIUS).
    • Для серверов в списке указана их текущая доступность (исходя из последних запросов к ним или по результатам периодической проверки)
    • ;
    • , а для RADIUS групп - количество серверов в данной группе;
    • При выборе группы RADIUS серверов клиентом будет контроллер, то есть все запросы авторизации будут проксироваться контроллером, либо генерироваться им самим.
  • Разрешить динамическое назначение VLAN - доступен для настройки только при использовании RADIUS авторизации для SSID в каком-либо виде (MAC авторизация, ENT безопасность). Ползунок разрешает динамическое назначение VLAN из RADIUS ответов для клиентов. При включении опции будут доступны следующие параметры для настройки:
    • Ограничить набор назначаемых VLAN - служит для ограничения возможных назначаемых клиентам номеров VLAN, получаемых в ответах от RADIUS сервера. При включении опции будут доступны следующие параметры для настройки:
      • Разрешенные VLAN ID - служит для задания возможных номеров и диапазонов номеров VLAN, получаемых в ответах от RADIUS сервера. Возможно задание отдельных номеров, а также диапазонов через дефис, с разделением значений пробелами, запятыми или точками с запятой;
Note

Опция "Ограничить набор назначаемых VLAN" работает только при работе с RADIUS сервером в режиме прокси, либо при использовании групп RADIUS серверов.

    если вы хотите настроить гостевой портал, то перед этим добавьте его в разделе "Конфигурация => Портал", затем выберите его в выпадающем списке здесь (подробности по настройке см. в разделе 
  • Гостевой портал - служит для включения гостевой авторизации для SSID с использованием выбранного гостевого портала (см. раздел
  • 7.3.8 Портал)
    • .
  • :
    • При выборе портала с включенной опцией "MAC авторизация" для SSID будет настроена MAB авторизация (MAC Address Bypass), и при подключении клиентов к нему контроллер будет отправлять запрос авторизации с MAC адресом клиента на выбранный сервер, при помощи которого будет определяться, необходимо ли перенаправлять клиента на гостевой портал или клиент сразу будет авторизован;
    • При включении опции "MAC авторизация" и выборе значения "использовать RADIUS сервер" в списке порталов, для SSID будет настроена MAB авторизация и динамическая передача URL редиректа для клиента, получаемого из атрибутов RADIUS запроса к данному серверу. Данный режим работы реализован подобно режиму Cisco CWA:
      • Для каждого подключаемого клиента контроллер будет генерировать и направлять MAB запрос на RADIUS сервер (одиночный или текущий активный из группы серверов) и ожидать от него ответа Access-Accept с атрибутами URL редиректа и разрешенными адресами для клиента;
      • Контроллер ожидает в ответе следующие атрибуты:

        • Fplus-Redirect-URL - URL для редиректа;

        • Fplus-Whitelist-Resource - разрешенный IP адрес, к которому клиент будет иметь доступ. Возможно назначение нескольких атрибутов такого типа в запросе. Для корректной работы гостевой авторизации сервер должен передавать как минимум один атрибут с IP адресом гостевого портала.

      • После получения ответа с необходимыми атрибутами контроллер передает их точке доступа для последуюшего перенаправления данного клиента на гостевой портал;
      • При получении ответа Access-Accept без атрибутов контроллер направляет на точку доступа команду авторизации клиента в сети.
  • Терминация - выбор типа терминации клиентских подключений:
    • Access-порт - терминация трафика клиентов напрямую в порт WAN точки доступа;
    • В локальный VLAN точки доступа - терминация трафика клиентов в VLAN на порту WAN точки доступа:
      • VLAN ID - номер VLAN для терминации трафика клиентов данного SSID. 
Tip

При выборе терминации в VLAN, контроллер автоматически выполняет на каждой точке доступа, которая вещает данный SSID, проверку наличия данного VLAN в сети, куда подключена точка доступа, а также наличия в нем DHCP сервера. При неуспешной проверке наличия VLAN в веб-интерфейсе контроллера будет отображен алерт о неуспешной проверке с указанием SSID и номера VLAN, а также добавлено новое событие в разделе Администрирование - События.

    • в VXLAN туннель - терминация трафика клиентов в VXLAN туннель (подробности по настройке туннелей см. в разделе 7.3.9 VXLAN шлюзы):
      • VXLAN шлюз - туннельный сервер, через который будет проходит трафик клиентов;
      • Туннель - настроенный на шлюзе туннель, в который будет терминироваться трафик клиентов. 
  • Защита фреймов управления (MFP) - определяет настройку MFP для SSID. MFP (Management Frame Protection) - это стандарт для повышения безопасности Wi-Fi соединения. По умолчанию опция настраивается в режим "Опционально" для стандартов WPA3, так как этого требует сам стандарт, а также недоступна для настройки для открытых сетей.


Если вы настраиваете сети с использование RADIUS (сеть с MAC-авторизацией, WPA2-ENT, WPA3-ENT) и ваш RADIUS-сервер назначает динамические VLAN клиентам, то при добавлении сетей в группы проверьте, что диапазон выдаваемых клиентам VLAN не пересекается с VLAN, настроенными для терминации каких-либо SSID в данной группе. Если они пересекаются (например RADIUS-сервер может выдать клиенту VLAN100, и в группе имеется SSID с терминацией во VLAN100), то это может привести к проблемам в работе сети на точке доступа из-за особенностей работы сервиса hostapd при динамическом назначении VLAN клиентам.

В случае если такая конфигурация необходима, то после изменения настроек одного из таких пересекающихся SSID или добавления его в группу выполните ручное обновление конфигурации на точках доступа группы при помощи кнопки "Обновить конфигурацию" расположенной во вкладке "Панель управления" группы (см. 7.3.2.1 Параметры группы). После этого проверьте корректность работы настроенных сетей на точках в группе (может ли клиент подключиться к данным сетям, получает ли он IP-адрес и VLAN от RADIUS-сервера, имеет ли доступ в интернет и т.д.).
Tip
Note

Подробнее о работе RADIUS на контроллере и вариантах его настройки можно почитать на странице странице 8.10 RADIUS протокол раздела "8 База знаний".

Блок "Дополнительно"

Image Added

По умолчанию в блоке "Дополнительно" выбраны оптимальные для работы параметры, при необходимости настройте их. Для настройки вам будут доступны следующие опции:

...