Решение задач заказчика с помощью органичного внедрения решений в области ИТ, основанных на совокупности лучших современных технических навыков и средств

Оборудование для беспроводных Wi-Fi сетей 4ipnet

Знакомьтесь, 4ipnet

Компания 4ipnet основанная в 2002 году на Тайване пока мало известная у нас, занимается разработкой продуктовой линейки для построения корпоративных беспроводных сетей, и Wi-Fi сетей общественного пользования. Портфель компании включает в себя функциональные контроллеры управления, широкий ассортимент точек доступа, беспроводные сетевые шлюзы, кассовые терминалы и билетопечатающие принтеры, а также линейку PoE+ коммутаторов.

Из наиболее значимых преимуществ продуктов 4ipnet стоит выделить то, что весь функционал оборудования открыт по умолчанию, и не требует каких-либо дополнительных лицензий. Плюс оптимальное и привлекательное соотношение цена/качество.

Решения компании успешно применяются для образовательных и медицинских учреждений, для корпоративного сектора и операторов связи.

Поддержка современных технологий, таких как бесшовный роуминг (позволяет перемещаться по территории без обрыва соединения), эфирная равнодоступность (Airtime Fairness), балансировка нагрузки (Load Balancing) и многих других, позволяет поддерживать высокую скорость передачи данных, и предотвращает перегрузку сети даже в местах с высокой плотностью пользователей. Кроме того, администратор может назначать различные политики доступа в сеть, разделяя пользователей по группам: сотрудники, гости и т. д., что позволяет управлять пользователями, проводить детальную запись сетевой активности и предоставлять отчетность, отслеживать подозрительную деятельность, что делает Wi-Fi сеть более безопасной и надежной.

 

 

 


 

Рассказ пойдет о двух точках доступа (EAP767, EAP727) и контроллере WHG201.

Для подключения к сети точек доступа использовался неуправляемый гигабитный коммутатор 4ipnet SW1108.

Схема подключения

 

EAP767 (Enterprise Access Points) – двух диапазонная внутренняя точка доступа стандарта 802.11ac корпоративного класса. Имеет два радиопередатчика с функцией 3x3 MIMO (Multiple Input Multiple Output — метод пространственного кодирования сигнала, позволяющий увеличить полосу пропускания канала, в котором передача данных и прием данных осуществляются системами из нескольких антенн). То есть, EAP767 имеет 6 встроенных антенн (3 x 2.4 ГГц, 3 x 5 ГГц), что позволяет по заявлению производителя поддерживать скорость передачи данных до 450 Мбит/с и 1300 Мбит/с в диапазонах частот 2.4 и 5 ГГц. А также может распределять клиентов по отдельным каналам, тем самым уменьшая перегрузки.

Точка имеет собственный брандмауэр 2-го уровня, для блокировки нежелательного трафика и обеспечения дополнительного уровня безопасности.

На точке доступа может быть настроено несколько SSID, каждый из которых может

использовать различные стандарты безопасности (например, WPA2-Enterprise)

и тэги виртуальных сетей VLAN, обеспечивающие сегментацию сети.

Количество одновременных пользователей может доходить до 384 (256 в диапазоне 2.4 ГГц, 128 в диапазоне 5 ГГц)

Основные характеристики:

- Одновременная работа в частотных диапазонах 2.4 и 5 ГГц

- 802.11ac 3x3 MIMO, поддержка скорости передачи данных до 1300 Мбит/с

- Огнезащитный пластиковый корпус категории UL94-5VB с возможностью монтажа на потолок

- Поддержка стандарта 802.3at Power over Ethernet (PoE)

- До 16 ESSID на радиопередатчик с поддержкой 802.1Q VLAN

- Портал аутентификации и гостевой доступ*

- Обнаружение неавторизованных точек доступа и балансировка нагрузки*

- Быстрый роуминг 2-го/3-го уровня*

* При работе в сочетании с контроллером беспроводных точек доступа 4ipnet

 

 

4ipnet EAP767

 

EAP727 (Enterprise Access Points) – так же двух диапазонная внутренняя точка доступа стандарта 802.11ac. Но основное её отличие от EAP767, это два радиопередатчика с функцией 2x2 MIMO – 4 -е встроенные антенны (2 x 2.4 ГГц, 2 x 5 ГГц). Что влечет за собой меньшую скорость передачи данных, до 300 Мбит/сек и 867 Мбит/сек в диапазонах частот 2.4 и 5 ГГц соответственно.

Функционально точки доступа схожи, различий нет так же и в управляющем интерфейсе, зато они имеют разное конструктивное исполнение системы крепления, внешнего вида и расположения портов.

 

4ipnet EAP727

 

WEB интерфейс точек доступа и его функционал одинаковый, имеет пять основных вкладок (System, Wireless, Firewall, Utilities, Staus).

 

В System задается имя точки, расположение, настройки времени, сетевые параметры, параметры управления (VLAN, port и.д), а также настройки протокола CAPWAP для связи с контролером.

В Wireless соответственно все что касается Wi-Fi, настройки режима работы передатчика (частота, протокол, канал, и т.д), безопасности и виртуальных точек доступа (VAP).

 

Firewall второго уровня по умолчанию отключён, после включения настраиваем его сервисы и выбираем интерфейсы с которыми он будет работать (вся точка доступа, определенный радио модуль или виртуальные точки (VAP)).

Utilities – вкладка где собраны инструменты для смены пароля, обновления ПО, перезагрузки, резервного копирования и сброса настроек.

В вкладке Status представлена сводная информация по LAN интерфейсу, системе, радио модулям (RF Card A, RF Card B).

 

Контроллер беспроводных точек доступа WHG201 – это самое младшее устройство в линейке, но его будет вполне достаточно для организаций с небольшим количеством помещений (магазины, офисы, небольшие предприятия и т.д). WHG201 может управлять 10-ю точками доступа, но при этом реализует все основные задачи в современных Wi-Fi сетях.

WHG201 предоставляет все необходимые сетевые сервисы (DHCP, NAT, HTTP прокси-сервер, локальные записи DNS и т.д).

WHG201 имеет два WAN порта (возможно настроить балансировку нагрузки на WAN порты), один из портов можно сконфигурировать при необходимости как LAN.

4 LAN порта (если один из WAN портов сконфигурирован как LAN) и порт USB, для задач обновления/резервации ПО и сохранения/загрузки конфигураций.

Контроллер поддерживает аутентификацию пользователей как на основе стандартов 802.1Х, так и через веб-порталы. Генерация учетных записей по требованию может быть реализована через SMS, E-mail, покупку доступа через PayPal, интеграцию с PMS для отелей и принтер квитанций. Имеется вход через социальные сети (facebook, coogle). Гостевой доступ к Wi-Fi можно ограничить по продолжительности, с настраиваемым временем реактивации. Можно использовать серверы аутентификации (Локальный, по требованию, гостевой, RADIUS, LDAP, NT Domain, SIP, POP3).

Так же контроллер может создавать “сервисные зоны”, которые как бы разделяют WHG201 на несколько виртуальных контроллеров, со своими настройками (политиками пользователей, сетевыми сервисами и параметрами аутентификации и т.д). Отсюда же вытекает возможность применять различные профили трафика, основанные на местоположении пользователя (Service Zone) и времени доступа. Например, профили, применяемые в рабочее время, могут отличаться от профилей, применяемых по окончании рабочего дня. От ограничения пропускной способности до специфических правил маршрутизации, сетевые администраторы получают исчерпывающий контроль над пользователями Wi-Fi.

 

 

WHG201

 

При первом запуске контроллера нас встречает панель инициализации (установка часового пояса, настройка WAN, смена пароля и т.д).

Всевозможных настроек у контролера масса, поэтому здесь мы обозначим лишь некоторые из ник.

SYSTEM

 

Здесь мы видим настройки WAN интерфейса, при желании можно выставить ограничения на входящие и исходящие соединения.

 

Каждому LAN порту можно присвоить свою Service Zone, по умолчанию используется зона (Default). Выше определяем судьбу второго порта как WAN2 или LAN1.

 LAN Port Mode регулирует по какому принципу будет соотносится порт к сервисной зоне. То-есть либо порт будет привязан физически (Port-Based) к сервисной зоне, либо привязка будет на основе тегов (Tag-Based).

Так выглядят таблица зон (всего их 9, вместе с Default).

 

Зоны можно переименовывать, включать для них режим (Router, NAT), задавать подсеть и маску, VLAN, работу DHSP, диапазон ip адресов для клиентов, способ аутентификации и т.д.

 

DEVICES

Контролер может управлять точками доступа как в локальной сети, так и за её приделами (Local Area AP Management, Wide Area AP Management). Функционально оба режима схожи. В Wide Area AP Management добавлена возможность создания групп (с картами расположения), разнятся лишь несколько настроек продиктованных расположением точек во внешней сети, а именно необходимостью задания параметров (сеть, сертификат и т.д) для протокола CAPWAP, отсутствием возможности сопоставления с сервисными зонами, так же для внешних точек есть возможность открытия их WEB интерфейса прямо из интерфейса контролера.

 

В остальном же, имеется возможность создания шаблонов для задания основных параметров работы самих точек доступа.

 

 

Так же, обновление и резерв программного обеспечения точек, обнаружение незарегистрированных точек и балансировка нагрузки между точками в кластере.

Мы протестировали балансировку задав интервал проверки минута и порог по количеству клиентов 1. В кластере было три точки (2-е AP767 и одна AP727), в таблице видны шесть устройств из-за наличия двух радио модулей у каждой точки. Видно, что контролер всех клиентов развел в соответствии с условием, но распределение происходит не сразу, сначала клиенты подключаться могут по несколько к одной точке и лишь потом происходит их распределение.

 

NETWORK

Во вкладке сетевых настроек контролера мы можем сконфигурировать NAT, поддерживаются три типа трансляции сетевых адресов:

  • - DMZ (Demilitarized Zone) - NAT c DMZ предназначен для того чтобы общедоступные серверы (WWW, FTP, MAIL) не могли связаться с сегментами внутренней сети, в случаи если эти сервера несут угрозу (оказались взломанными, или поражены вирусами), внешний злоумышленник получит прямой доступ только к оборудованию в DMZ.
  • - Public Accessible Servers – позволяют администратору организовать виртуальные сервера так, что клиентские устройства за приделами сети управления могут получать к ним доступ.
  • - Port & IP Forwarding – здесь можно задать определенный набор ip адресов/портов, при обращении к которым пользователь будет перенаправлен к соответствующему месту назначения.

 

Walled Garden – функция, позволяющая получить доступ к указанным здесь веб-сайтам, без аутентификации. То есть пользователь не имеющий право доступа к сети, все же может подключиться к определенному набору сайтов, ip адресов. 

VPN – в системе доступны два типа VPN, первый Remote VPN – позволяет создать туннель между удаленным клиентом и системой, через PPTP. Второй Site-to-Site VPN, здесь используется IPSec туннель для подключения к другим совместимым с IPSec устройствами через интернет.

Proxy Server – система предоставляет встроенный прокси-сервер и функцию внешнего прокси-сервера.

 Local DNS Record – здесь администратор может задавать статически доменное имя для отображения на всех клиентах, подключенных к контролеру.

 Dynamic Routing – функция поддерживает три динамических протокола маршрутизации: RIP, OSPF and IS-IS.

Вкладка UTILITIES содержит в себе инструменты резервного копирования и восстановления, настройки административных аккаунтов, управления сертификатами, а также здесь можно обновить ПО контролера и выполнить перезагрузку. В Network Utilities можно выполнить команды Ping, Trace Route и т.д.

 

 

В STATUS соответственно нам доступна информация о состоянии компонентов и параметров контролера. Состояние интерфейсов, монитор подключенных пользователей, отчеты и сообщения, DHSP лист и таблица маршрутизации.

 

 

В USERS собраны все инструменты по организации доступа и аутентификации. Пользователей можно объединять в группы, а группам задавать свои типы аутентификации, политики и зоны. Серверы аутентификации (local, radius, ntdoman, ldap, pop3). Политики объединяют конфигурации брандмауэра, профилей привилегий, специфических профилей маршрутизации и т.д. 

 

Углубленно тестировать данное оборудование не было возможности, но зато мы проверили скорость ввода в эксплуатацию и работоспособность основных функций доступных с контролером WHG201 (бесшовный роуминг, отказоустойчивость и балансировка, в виде распределение клиентов по точкам доступа). Аутентификация проводилась по средствам создания локальных тестовых учетных записей. Каждой учетной записи присваивались разные параметры (время доступа, количество одновременных авторизаций), все ограничения отработали без проблем.

Точкам доступа были изменены ip адреса и включён протокол CAPWAP, все остальное оставалось по умолчанию. Контролер их добавил без проблем, как в виде локальных, так и внешних. На контролере мы настроили WAN интерфейс, включили локальный DHSP, создали учетные записи, установили лимит их авторизации, создали кластер и включили балансировку.

Клиенты подключались к сети, как и полагается без ввода пароля, логин и пароль требовался уже при открытии браузера.

 

Как уже писалось выше балансировщик распределил подключенных клиентов согласно заданным параметрам (по одному на точку, когда количество клиентов превысило количество точек, распределение пошло по кругу).

При отключении контролера, если он один (например, его выход из строя), как следствие пропадет доступ в интернет и набор зависящих от него возможностей, но остаётся локальная сеть и функционал самих точек доступа.

При имитации аварии одной из точек доступа к которой был подключен ноутбук, сеть не пропадала, пере подключения Wi-Fi на ноутбуке не происходило, контролер оперативно переводил клиента, на другую рабочею точку. Для проверки потери соединения мы запускали копирование файлов из сети, загрузку файла из интернета, просмотр видео, параллельно задачам выполнялась команда ping на соответствующий ресурс. Не каких обрывов копирования, загрузки не произошло, видео так же не останавливалось. Понятно, что здесь играет немалую роль буферизация данных, так как команда ping регистрировала всё-таки потерю одного пакета.

 

А так выглядел мониторинг активности двух точек доступа при тестировании.

до отключения одной из точек

 

после отключения

 

Заявленную скорость передачи раскрыть увы не получилось в виду отсутствия подходящего по параметрам Wi-Fi адаптера на клиентских устройствах.

Как следствие нашего небольшого эксперимента, можно заключить что проверенные нами функции выполняются хорошо, думается что и остальное работает не хуже.

4ipnet создал, добротный и конкурентоспособный продукт. Который довольно прост в эксплуатации, обладает весьма широким набором функций, отличных характеристик и показателей.

 

 

 

 

Контакты

г.Ростов-на-Дону,
ул. 1-я Баррикадная, 3
т. (863)209-81-18

г. Краснодар,
пер. Петровский, 39
т. (861)201-83-27
sales@itparadigma.ru