В разделе "Сети Wi-Fi" представлена информация обо всех сетях, обслуживаемых контроллером.

Для перехода в раздел нажмите на вкладку бокового меню "Конфигурация" и в открывшемся выпадающем списке выберите раздел "Сети Wi-Fi".

Данный раздел веб-интерфейса позволяет просмотреть или изменить конфигурацию каждой сети (SSID), а также создать новую сеть или удалить сеть.

На странице раздела "Сети Wi-Fi" представлены:

  • кнопка для применения фильтрации (расширенный фильтр);
  • строка для быстрого поиска сетей по имени (быстрый фильтр);
  • кнопка для создания новой сети;
  • таблица со списком сетей.

После внесения изменений в конфигурацию контроллера, точек доступа или групп не забывайте выполнить применение внесенных изменений на точках доступа (см. пункт "Применение изменений в конфигурации" в разделе 7 Настройка).

7.3.3.1 Таблица сетей

Список сетей представлен на странице в табличной форме, основными элементами являются:

  • список сетей с базовыми параметрами;
  • кнопки для изменения информации о сети или удаления сети.

В таблице отображаются все сети, настроенные на контроллере, с информацией о них:

  • SSID – имя сети Wi-Fi;
  • тип безопасности и шифрования (например "WPA2-PSK/WPA3-SAE" или "Open"), настроенный для этой сети;
  • диапазоны частот на которых работает SSID (например 2.4 GHz или 5 GHz);
  • вариант терминации трафика беспроводных клиентов (например "Access" или "VLAN");
  • названия групп, куда подключен этот SSID.

Для изменения настроек сети нажмите на кнопку "", расположенную справа от названия сети, после этого откроется страница для внесения изменений в настройки выбранной сети. 

Для удаления сети с контроллера нажмите на кнопку "", расположенную справа от названия сети, и подтвердите операцию удаления в модальном окне удаления.

7.3.3.2 Создание новой сети

Для создания новой сети нажмите на кнопку "Создать новый SSID", расположенную слева под названием открытого раздела "Сети Wi-Fi". Откроется страница для создания новой сети.

Далее заполните необходимые поля и выберите нужные настройки. Для описания настроек обратитесь к следующему пункту "Просмотр и изменение настроек сети" на данной странице, так как настройки при создании новой сети и изменении уже существующей сети аналогичны.

После того как данные будут заполнены, нажмите кнопку "Создать новый SSID". Если при создании сети не все поля будут заполнены, то при нажатии кнопки "Создать новый SSID" веб-интерфейс проинформирует Вас об этом, выделив пустые поля цветом.

7.3.3.3 Просмотр и изменение настроек сети

Для просмотра и изменения настроек сети нажмите на кнопку изменить "", расположенную справа напротив названия сети и её параметров, после этого откроется страница "Редактирование SSID" для внесения изменений в настройки данной сети.

На странице "Редактирование SSID" представлены несколько блоков:

  • блок "Настройки сети";
  • блок "Безопасность";
  • блок "Дополнительно";
  • кнопка "Сохранить изменения".

Блок "Настройка сети"

Информация в блоке "Настройки сети" заполняется следующим образом:

  • введите в поле "SSID" желаемое название беспроводной сети;
  • в поле "ID профиля" выберите любой идентификатор для настраиваемой сети (в списке отображаются только свободные идентификаторы);
  • для выбора диапазона частот, на которых будет вещаться сеть, установите чек-бокс напротив выбранного значения;
  • для включения или отключения вещания сети точками доступа, в группе которых она настроена, переместите ползунок "Включена" в активное положение или неактивное положение соответственно;
  • включите параметр "Скрытая сеть", переместив бегунок, если Вы не хотите, чтобы точки доступа вещали имя данной сети и к ней можно было подключиться только зная её имя;

Блок "Безопасность"

Блок "Безопасность" содержит следующе настройки:

  • Безопасность - определяет используемый стандарт безопасности для данного SSID;
  • PSK Пароль - пароль, используемый для стандартов безопасности PSK/SAE;
  • МАС авторизация - служит для включения авторизации по MAC адресу с использованием RADIUS сервера;
    • при выборе вместе с опцией "Гостевой портал" для SSID будет настроена MAB авторизация (MAC Address Bypass), и при подключении клиентов к нему контроллер будет отправлять запрос авторизации с MAC адресом клиента на выбранный сервер, при помощи которого будет определяться, необходимо ли перенаправлять клиента на гостевой портал или клиент сразу будет авторизован;
  • Аккаунтинг - включает RADIUS-аккаунтинг для данного SSID;
    • аккаунтинг может использоваться без включения MAC авторизации, а также возможно отключить аккаунтинг для типов безопасности ENT;
  • RADIUS-сервер - доступен для настройки только при выборе безопасности типа ENT, включении MAC авторизации или аккаунтинга. Параметр задает используемый для SSID сервер RADIUS или группу RADIUS серверов (подробности по настройке RADIUS серверов см. в разделе 7.3.7 RADIUS);
    • RADIUS-сервер также может использоваться для гостевой авторизации с динамическим получением Redirect URL для клиентов от него;
    • для серверов в списке указана их текущая доступность (исходя из последних запросов к ним или по результатам периодической проверки), а для RADIUS групп - количество серверов в данной группе;
    • при выборе группы RADIUS серверов клиентом всегда будет выступать контроллер, то есть все запросы авторизации будут проксироваться контроллером, либо генерироваться им самим в случае гостевой авторизации;
    • подробнее о работе RADIUS на контроллере и вариантах его настройки можно почитать на странице 8.10 RADIUS протокол раздела 8 База знаний;
  • Разрешить динамическое назначение VLAN - разрешает динамическое назначение VLAN из RADIUS ответов для клиентов. Параметр доступен для настройки только при использовании RADIUS авторизации для SSID в каком-либо виде (MAC авторизация, ENT безопасность);
    • При выключении данной опции клиенты будут терминироваться напрямую в интерфейс, выбранный в настройках терминации ниже, независимо от того, какой VLAN был получен в ответе;
    • При включении данной опции клиенты на основе полученного от RADIUS сервера ответа с динамическим VLAN будут терминироваться в VLAN следующего тегированного интерфейса в зависимости от выбранного типа терминации для сети:
      • При выборе терминации в Access-порт или в локальный VLAN точки доступа - в аплинк-порт точки (WAN):
      • При выборе терминации в VXLAN туннель - в выбранный VXLAN туннель, то есть через туннель будет идти тегированный VLAN трафик. Данный вариант не рекомендуется для настройки, но работоспособен, поэтому при таком варианте настройки проверьте и убедитесь, что на шлюзе туннель терминируется в интерфейс, работающий с VLAN подсетями, которые могут приходит в RADIUS ответах (например, это trunk интерфейс);
      • Если в ответе не был получен динамический VLAN, то клиент будет терминироваться напрямую в интерфейс, выбранный в настройках терминации ниже;
    • Также при включении данной опции будут доступны следующие параметры для настройки:
      • Ограничить набор назначаемых VLAN - служит для ограничения возможных назначаемых клиентам номеров VLAN, получаемых в ответах от RADIUS сервера. Данная опция работает только при работе с RADIUS сервером в режиме прокси, либо при использовании групп RADIUS серверов. При включении опции будут доступны следующие параметры для настройки:
        • Разрешенные VLAN ID - служит для задания возможных номеров и диапазонов номеров VLAN, получаемых в ответах от RADIUS сервера. Возможно задание отдельных номеров, а также диапазонов через дефис, с разделением значений пробелами, запятыми или точками с запятой;
  • Гостевой портал - служит для включения авторизации для SSID с использованием гостевого портала:
    • при выборе заранее настроенного портала (см. раздел 7.3.8 Порталы) с включенной опцией "MAC авторизация" для SSID будет настроена MAB авторизация (MAC Address Bypass), и при подключении клиентов к нему контроллер будет отправлять запрос авторизации с MAC адресом клиента на выбранный сервер, при помощи которого будет определяться, необходимо ли перенаправлять клиента на гостевой портал или клиент сразу будет авторизован;
    • при включении опции "MAC авторизация" и выборе значения "использовать RADIUS сервер" в списке порталов (т.е. без использования предварительно настроенных портальных серверов), для SSID будет настроена MAB авторизация и динамическая передача URL редиректа для клиента, получаемого из атрибутов RADIUS ответа от данного сервера;
      • подробную информацию по работе данного режима можно получить на странице 8.1 Гостевая авторизация с динамическим URL редиректа раздела "База знаний";
      • этот вариант более предпочтителен по сравнению с отдельной сущностью "Портала", так как позволяет настроить балансировку между RADIUS-серверами (и соответственно портальными системами авторизации), расположенными в разных ЦОД, в том числе и в "active-active" режиме.
  • Терминация - выбор типа терминации клиентских подключений:
    • Access-порт - терминация трафика клиентов напрямую в порт WAN точки доступа;
    • В локальный VLAN точки доступа - терминация трафика клиентов в VLAN на порту WAN точки доступа (так называемый local switching или local break-out):
      • VLAN ID - номер VLAN для терминации трафика клиентов данного SSID. 
      • При выборе терминации в VLAN, контроллер автоматически выполняет на каждой точке доступа, которая вещает данный SSID, проверку наличия данного VLAN в сети, куда подключена точка доступа, а также наличия в нем DHCP сервера. При неуспешной проверке наличия VLAN в веб-интерфейсе контроллера будет отображен алерт о неуспешной проверке с указанием SSID и номера VLAN, а также добавлено новое событие в разделе Администрирование - События.
    • в VXLAN туннель - терминация трафика клиентов в VXLAN или Wireguard+VXLAN туннель (так называемый central switching) (подробности по настройке туннелей см. в разделе 7.3.9 VXLAN шлюзы):
      • VXLAN шлюз - туннельный сервер, через который будет проходит трафик клиентов;
      • Туннель - настроенный на этом сервере туннель, в который будет терминироваться трафик клиентов.
      • при настроенной кластерной конфигурации и выборе в качестве шлюза самого контроллера ниже будут отображены параметры "VXLAN шлюз 2" и "Туннель 2" для выбора второго шлюза и туннеля:
        • второй выбираемый шлюз также как и первый должен быть настроен на соседнем узле кластера. Задание двух внешних шлюзов или комбинации внешнего и внутреннего шлюза в данный момент не предусмотрено;
        • при переключении точки между узлами она будет получать в качестве адреса туннеля адрес той ноды, которая для нее является предпочтительной в данный момент (задана в настройках группы точки или если заданная предпочтительная нода недоступа, то предпочтительной будет вторая нода);
        • если вы не зададите второй шлюз и туннель, то при переключении точки на контроллер данный SSID не будет активирован;
        • при настройке шлюзов и выборе туннелей желательно использовать одинаковую конфигурацию сетевых интерфейсов для снижения вероятности проблем терминации клиентов в разные подсети при переключении точек между контроллерами и т.д.;
  • Защита фреймов управления (MFP) - определяет настройку MFP для SSID. MFP (Management Frame Protection) - это стандарт для повышения безопасности Wi-Fi соединения. По умолчанию параметр настраивается в режим "Опционально" для стандартов WPA3, так как этого требует сам стандарт, и для открытых сетей он недоступен для настройки.

Блок "Дополнительно"

По умолчанию в блоке "Дополнительно" выбраны оптимальные для работы параметры, при необходимости настройте их. Для настройки вам будут доступны следующие опции:

  • изоляция WLAN клиентов – служит для защиты клиентского устройства от атак с другого устройства в той же локальной сети. Когда опция включена, устройство изолирует клиентов друг от друга в этой беспроводной сети и в локальной сети (блокируется P2P трафик), у клиента есть доступ только до MAC-адреса шлюза в его сети;
    • на SSID с настроенным гостевым порталом или включенной опцией "Изоляция WLAN клиентов" на точках автоматически настраиваются правила для блокировки сторонних DHCP серверов со стороны беспроводных клиентов, которые работают для всех настроенных на точке SSID. В дальнейшем, если будет потребность со стороны пользователей нашего продукта, эта опция будет сделана настраиваемой из веб-интерфейса.
  • определение IP адреса клиента – функция DHCP snooping, предназначена для защиты от атак с использованием протокола DHCP;
  • вещание имени точки доступа - включить вещание имени точки доступа в бикон-пакетах данного SSID в формате CIsco CCX. В дампах бикон-пакетов в теге типа Cisco CCX будет присутствовать только имя точки, остальная информация в нем (например, количество клиентов) не несет полезной нагрузки;
  • опции "Управление радио-ресурсами 802.11k", "Управление роумингом BSS 802.11v" и "Быстрый роуминг BSS 802.11r" служат для работы так называемого "бесшовного роуминга" – когда клиентское устройство может быстро переключаться между разными точками доступа в зависимости от уровня сигнала;
  • динамическое распределение клиентов Band Steering – механизм динамического распределения беспроводных клиентов по диапазонам, точка доступа будет автоматически определять оптимальный диапазон сети для клиента, и будет работать только если вы выбрали опцию "Оба" в параметре "Диапазон" для настраиваемого SSID. Для работы данной опции необходимо включить опции "Управление радио-ресурсами 802.11k" и "Управление роумингом BSS 802.11v".

Для сохранения изменений, внесённых в конфигурацию SSID, нажмите кнопку "Сохранить изменения".

Если сеть добавлена в какие-то группы, то после сохранения изменений не забудьте применить обновленные настройки на точках доступа групп, нажав кнопку "Применить", которая появится после сохранения изменений внизу страницы в блоке уведомления об изменении конфигурации (см. пункт "Применение изменений в конфигурации" в разделе 7 Настройка).

7.3.3.4 Механизм фильтрации

Механизм фильтрации позволяет просмотреть список сетей, отвечающих заданному фильтру по его критериям.

Для поиска сети из списка используется два вида фильтров:

  • быстрый фильтр;
  • расширенный фильтр.

Для использования быстрого фильтра нажмите на поисковую строку со знаком "", расположенную справа под названием открытого раздела "Сети Wi-Fi", и пропишите в поисковой строке интересующее Вас имя сети или его часть. Веб-интерфейс автоматически найдет совпадения в наименовании имени сети и отобразит найденные варианты в таблице.

Расширенный фильтр дает возможность выполнить фильтрацию сетей по выбранным параметрам. Для открытия расширенного фильтра нажмите кнопку "", расположенную справа напротив названия открытого раздела "Сети Wi-Fi". Откроется модальное окно "Фильтр по SSID" со списком параметров для выполнения фильтрации.

Выберите интересующие Вас параметры и заполните необходимые параметры:

  • в поле "Имя сети" введите имя сети (полное или частичное), которые необходимо отобразить;
  • чек-боксы параметра "По типу" определяют, сети с каким типом безопасности будут отображены в списке;
  • параметр "Включен" определяет, какие сети будут отображены в списке: с включенным вещанием, с выключенным (скрытые), или сети любого типа;
  • параметр "Кол-во элементов в списке" определяет, сколько сетей будет отображено на одной странице в списке сетей.

Для применения выбранных параметров фильтрации и отображения отфильтрованного списка сетей нажмите кнопку "Применить".

  • No labels