Первоначальная настройка Huawei AP 4050 DN
Сообщение main » Вт авг 10, 2021 3:44 pm
Инструкция написана под конкретную задачу, ваши настройки могут отличаться.
1. Установите IP на сетевой карте 169.254.0.100/255.255.0.0
2. Подключите питание к точке через разъем питания 12в
3. Воткните сеть в разъем GE
Переключение точку доступа из режима fit в режим fat
1. Запустите putty (https://www.putty.org/) и введите:
download.png (36.64 КБ) 12401 просмотр
1+. Если при соединение выходит ошибка: «Signature from server’s host key is invalid», то выполните соответствующую настройку putty:
121117iw34s00ddp3dw23y.jpg (47.63 КБ) 12400 просмотров
login as: admin
Further authentication required
[email protected]’s password: //For information security, characters you entered are invisible.
Info: Current mode: [b]Fit [/b](managed by the AC). //The current mode is Fit.
Info: You are advised to change the password to ensure security.
Настройка Huawei HG8245
Видим, что режим Fit
system-view
[Huawei] ap-mode-switch fat
Warning: The system will reboot and start in fat mode of V200R019C10SPC300. Continue? (y/n)[n]:y
Info: system is rebooting ,please wait.
Терпеливо ждем несколько минут!
Источник: it-board.ru
Беспроводной контроллер и точки доступа Huawei
Начиная с версии 1.3.1090 WNAM поддерживает взаимодействие с точками доступа и контроллерами Huawei.
Беспроводные системы Wi-Fi компании Huawei представлены в двух пополнениях:
- точки доступа AP2050, AP5030, AP4050, AP6050, AP6010 и так далее, работающие в режиме FAT, то есть локальном режиме с управлением непосредственно на точку доступа
- те же точки доступа в режиме FIT (без возможностей непосредственной настройки) и контроллеры точек доступа AC6005, AC6605
В обоих случаях настройка взаимодействия с WNAM одинакова и сводится к настройке функционала «External Portal Server». При этом вы не обязаны использовать оригинальный продукт компании Huawei, а именно Agile Controller, для целей обеспечения авторизации доступа через внешнюю систему.
Настройка взаимодействия WNAM с контроллером или точкой выполняется таким же образом, как и настройка любого другого сервера доступа. В меню «Конфигурация — Сервер доступа» создайте новую запись, укажите тип сервера — Huawei, укажите IP-адрес контроллера или точки доступа. Логин, пароль, » Определять имена абонентов » и » Принимать детализацию потоков NetFlow » указывать не следует.
Устройства Huawei воспринимают установку ограничения на длительность сессии и скорость трафика одного клиента (среднюю) в обе стороны.
Взаимодействие WNAM и контроллера (точки) осуществляется и по протоколу RADIUS, и по специализированному протоколу «портала», что требует доступа от сервера WNAM до сервера/контроллера по порту UDP:2000 (на удаленной стороне).
Предварительная настройка точек доступа Huawei AP5030 и AP6050
Внимание!
Для работы авторизации требуется возможность беспрепятственно отправлять трафик:
С контроллера на сервер WNAM, на его UDP порты 1812 и 1813
С сервера WNAM на контроллер, на его UDP порт 2000
Если у вас между сервером и контроллером расположен фаерволл или нат, сделайте разрешающие правила и пробросы портов.
Также, в настройках сервера доступа типа Huawei вы обязаны убрать настройку «пароля» в первой вкладке, и убрать какой-либо пароль в настройках контроллера в разделе web-auth-server (при конфигурировании через GUI пароль убрать нельзя). Если вы все же хотите оставить пароль, убедитесь, что они совпадают.
Без выполнения вышеперечисленных требований у вас гарантированно ничего не заработает!
Далее приведен пример настройки для точки доступа типа AP5030DN с программным обеспечением FAT V200R006C10SPCa00.
Настройку точки доступа можно выполнить из командной строки и из графического Web-интерфейса, однако некоторые параметры (RADIUS-взаимодействия) можно настроить только через CLI.
Ниже приведен пример конфигурационного файла точки доступа. Указаны только значащие параметры. В примере IP-адрес сервера WNAM: 172.16.130.5, он же является RADIUS-сервером и доступен абонентам по порту 80.
Внимание.
Если в вашем конфигурационном файле контроллера включена опция:
portal captive-bypass enable
Это означает, что при подключении устройств Apple к беспроводной сети не появится окно мини-браузера с предложением авторизации, и устройство (и абонент) будет считать, что доступ в интернет есть. При этом, на самом деле, его нет. Попытка открыть клиент соцсети, мессенджер или любимый сайт (конечно же, он окажется https-сайтом) приведет к ошибке, и как следствие к недовольству абонента.
Поэтому рекомендуется категорически требуется отключить обход CNA командой:
undo portal captive-bypass enable
Ниже приведены скриншоты графического интерфейса точки доступа:
Настройка площадки и сервера доступа в интерфейсе WNAM производится обычным порядком.
Внимание! Конфигурационный файл контроллера содержит строки:
radius-attribute check Session-Timeout
radius-attribute check HW-Input-Committed-Information-Rate
radius-attribute check HW-Output-Committed-Information-Rate
Они означают, что контроллер в RADIUS-Accept сообщениях от сервера WNAM будет проверять наличие этих трех атрибутов. Следовательно, вы обязаны указать лимиты скорости (rx/tx) и длительности сессии в разделе «Ограничения» общих, или для заданной площадки. В противном случае, если ограничения не выставлены, атрибутов в ответе не будет, и контроллер не пропустит абонента. Если вам совсем не нужны эти ограничения, уберите соответствующие строки из конфигурации контроллера.
При корректной настройке при попытке подключения абонента к Wi-Fi сети в лог-файле WNAM будут отображаться следующие записи:
21:08:11.706 DEBUG [c.n.w.web.cp.CaptivePortalController:544] — CP huawei redirect: mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, ap=d4:c8:b0:15:1d:40 [HUAWEI], server=Huawei, 192.168.0.5
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1661] — processAuthRequest HUAWEI: username=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, site_id=3, dst=’http://www.ru/’
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1804] — processRedirectRequestCi mac=4C:57:CA:XX:XX:XX, method=FORM, formName=58addf80bd045a2fa888c7a6, redirectUrl=http://www.ru/, key=33f0eb37-ee12-4572-ad58-10a1c237de00
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:1530] — RedirectCi login: site_id=3, username=4C:57:CA:2C:0F:4C, dst=’http://www.ru/’, dst_extra=’null’
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:2102] — loginAtNasCi HUAWEI mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, dst=’http://www.ru/’
21:08:13.057 DEBUG [com.netams.wnam.web.cp.Huawei:85] — backToHuawei login len=439, server=’172.16.130.75′, username=4C:57:XX:XX:XX:XX, password=password, dst=’http://www.ru/’
21:08:13.079 INFO [WnamRadius:522] — AUTH for new session request MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, cust_clientid=iSE
21:08:13.112 INFO [WnamRadius:683] — ACCT Start new session MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.124 INFO [WnamRadius:683] — ACCT Interim-Update existing (Huawei000000000000019e7f4f000019-2c0f4c) session MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.652 INFO [WnamRadius:683] — ACCT Stop existing (Huawei000000000000019e7f4f000019-2c0f4c) session MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
- Нет меток
Источник: docs.netams.com
У вас здесь есть Wi-Fi?
«А пароль от Wi-Fi не подскажете?» – пожалуй, самый популярный вопрос в современных увеселительных заведениях: ресторанах, барах, кафе и т.д.
Да что там рестораны и бары – интернет окутал своими беспроводными сетями практически все: метро, театры, офисы, квартиры, аэропорты и вокзалы, промышленные предприятия, салоны красоты, библиотеки, тренажерные залы, магазины… Этот список можно продолжать бесконечно.
Главным же «виновником» происходящего является всем до боли известный протокол передачи данных, в народе именуемый Wi-Fi.
И все бы здорово – наука служит на благо человечества, но и здесь (впрочем, как всегда это бывает) имеются свои нюансы: прогресс диктует свои правила игры, и это отражается на всех сферах нашей деятельности и на рабочем процессе особенно.
Проблематика
По оценкам аналитиков, уже в 2019 году объемы пользовательского трафика, передаваемого через сети Wi-Fi, превысят объемы, приходящиеся на проводные подключения. «Вымирание проводов» влияет и на привычки пользователей, что естественно: например, стационарные рабочие места уступают место мобильности сотрудников, а традиционный рабочий терминал (например, компьютер) практически безболезненно заменяется множественными smart-устройствами.
Происходящая деформация нашего пользовательского опыта выразилась в концепцию All-wireless-office. Появление этого термина говорит о том, что технологии Wi-Fi достигли такого уровня развития, который позволяет безболезненно как решать существующие задачи, так и поддерживать новые типы приложений и сервисов, например, BYOD, видео высокой четкости, виртуальные десктопы, передача голоса через Wi-Fi.
Очевидно, если доступ к корпоративной инфраструктуре посредством Wi-Fi становится приоритетным методом подключения, то на него будут накладываться и более жесткие требования по безопасности, качеству работы, гибкости и масштабированию. Теперь уже недостаточно заветной бумажки с паролем, разномастных автономных точек доступа и оправданий системного администратора вида: «Ну а что вы хотели от Wi-Fi?! Подключайтесь по кабелю».
Все это влечет за собой необходимость модернизации инфраструктуры WLAN и внедрения современных решений уровня Enterprise. Вот тут возникает первый сюрприз: для руководства практически любого предприятия или компании Wi-Fi просто работает чудесным образом с помощью «волшебной коробочки», которая стоит 3 тысячи рублей. И «это уму непостижимо», как точка доступа может стоить 30 и более тысяч рублей! А еще «вам, айтишникам» какой-то беспроводной контроллер подавай!
Есть решение!
Поиск той самой «золотой середины» и является определяющим фактором в разработке наших решений Huawei Enterprise: максимум технологических возможностей при невысокой стоимости. И без ложной скромности можно заявить, что мы преуспеваем в данном вопросе. Однако порой и этого оказывается недостаточно: стоимость решений корпоративного уровня на порядки превышает стоимость потребительских реализаций. При этом на рынке присутствует ряд производителей, предлагающих бюджетные комплекты решений для предприятий сегмента SMB, с которыми трудно соревноваться.
Решение данной проблемы было найдено и воплощено в концепции Huawei Agile Distributed Wi-Fi: помимо существенной оптимизации стоимости оборудования данное решение обладает уникальными технологическими особенностями. С них и начнем.
Немного техники
Архитектура решения незначительно отличается от традиционной controller-based реализации. Решение по-прежнему содержит 2 типа устройств: контроллеры БЛВС (AC) и непосредственно точки доступа (AP). Главное отличие состоит в том, что точки доступа теперь подразделяются на два вида: центральные точки доступа (Central AP) и выносные радиомодули (RRU – Remote Radio Unit):
RRU – упрощенные точки доступа (если хотите, light-lightweight AP или выносные радиомодули), которые не вовлечены в обработку трафика. Их основная задача: процессинг 802.11 фреймов, конвертация в 802.3 (и в обратном направлении из проводного Ethernet в беспроводной 802.11) и передача этого трафика по CAPWAP-туннелю до Central AP (опционально – с шифрованием DTLS). При этом каждый модуль RRU – независимый.
Central AP – корневая точка доступа, которая не имеет встроенных радиомодулей. Она отвечает за управление RRU, процессинг и форвардинг трафика RRU, обработку и обеспечение профилей QoS, фильтрацию и выполнение правил безопасности, ACL, IPS, идентификацию приложений. Плюс ко всему Central AP отвечает за ассоциацию пользовательских устройств и их роуминг между RRU. Взаимодействие с модулями RRU и беспроводным контроллером обеспечивается посредством CAPWAP-туннеля. Немаловажен и тот факт, что корневые точки доступа берут на себя часть функций беспроводного контроллера и тем самым существенно его разгружают.
Решение может быть трехуровневым (контроллер + Central AP + RRU) либо двухуровневым (Central AP + RRU):
В двухуровневой архитектуре (Central AP + RRU) центральная точка доступа будет выступать в качестве автономной (Fat AP), т.е. конфигурация беспроводных и радиочастотных параметров, правил и политик авторизации, DHCP и прочих сетевых сервисов будет происходить непосредственно на Central AP, контроллер БЛВС отсутствует. В автономном режиме работы мы также получаем возможность централизованного управления, поскольку модули RRU не потребуют индивидуальной конфигурации. Очевидно, что подобная архитектура применима в основном для небольших сценариев внедрения (уровень SOHO и SMB, но и здесь существует альтернатива, не требующая покупки дополнительного оборудования, в виде облачного контроллера Huawei).
На физическом уровне выносные радиомодули RRU могут быть подключены как непосредственно в Central AP напрямую по витой паре (расстояние – до 100 метров, питание PoE обеспечивается Central AP), так и через один или несколько коммутаторов. Обязательное условие для взаимодействия: Central AP и RRU должны находиться в едином широковещательном домене, т.е. между ними должна быть Layer-2 связность.
Zero-touch roaming
Еще одна интересная техническая особенность заключается в реализации роуминга в пределах Central AP между RRU. Данный функционал получил наименование Zero-touch roaming (ZTR).
Zero-touch roaming говорит не о том, что роуминга вовсе нет, а о том, что пользовательские терминалы не определяют процесс роуминга, им не требуется производить какие-либо действия.
Как известно, при традиционной архитектуре ESS и переходе пользователя из зоны покрытия одной точки доступа в другую происходит процесс роуминга. Логика и алгоритмы переключения зависят от производителя и конкретной реализации, но, так или иначе, терминал пользователя должен предпринять ряд действий, чтобы роуминг состоялся. В решении Agile Distributed Wi-Fi за каждым терминалом, успешно прошедшим процесс аутентификации и ассоциации, назначается и закрепляется индивидуальный виртуальный AP BSSID (идентификатор точки доступа, эквивалент MAC-адреса): пользователь может переходить из зоны покрытия одного RRU в зону другого, но BSSID будет неизменен. C точки зрения пользовательского терминала он будет неизменно подключен к одной точке доступа.
Как же тогда происходит переключение с одной точки RRU на другую? Традиционно само пользовательское устройство контролировало уровни RSSI каждой досягаемой точки доступа. В решении Agile Distributed Wi-Fi все происходит с точностью до наоборот: центральная точка доступа Central AP собирает информацию о том, как каждый модуль RRU «слышит» терминал пользователя (=RSSI), после чего принимает решение о переключении.
Процесс выглядит следующим образом:
-
Терминал успешно подключился к сети, и для него был выделен и закреплен за ним уникальный идентификатор точки доступа BSSID1 (при этом еще на этапе подключения центральная точка доступа определила, какой модуль RRU обеспечит наилучшее качество для пользователя – например, RRU1).
Состав оборудования
Беспроводной контроллер (AC):
| Поддерживаемое кол-во RRU | 1024 | 256 | 48 | 2048 |
| Поддерживаемое кол-во Central AP | 128 | 32 | 6 | 256 |
То есть любая актуальная модель беспроводных контроллеров Huawei поддерживает Agile Distributed Wi-Fi.
Central AP:
| Модель | AD9430DN-24 | AD9430DN-12 |
| Поддерживаемое кол-во RRU | 24 (48 при подключении через коммутатор с PoE) | 12 (24 при подключении через коммутатор с PoE) |
| Максимальное кол-во пользователей | 4096 | 2048 |
| Интерфейсы | 4 x гигабитных комбо-интерфейсов 24 x downlink-интерфейсов |
2 x гигабитных комбо-интерфейсов 12 x downlink-интерфейсов |
| Выходная мощность PoE поддерживает | 24 x R230D/R240D | 12 x R230D | 6 x R240D |
| Место монтажа | Серверное или кроссовое помещение, шкаф | Любое место внутри помещения |
Модули RRU:
| Модель | R230D / R240D | R250D |
| Поддерживаемые стандарты Wi-Fi | 802.11b/g/n 802.11a/n/ac |
802.11b/g/n 802.11a/n/ac Wave2 |
| MIMO | 2×2 | 2×2 MU-MIMO |
| Пропускная способность (2,4+5 ГГц) | 300 Мбит/с + 867 Мбит/с | 400 Мбит/с + 867 Мбит/с |
| Тип антенн | Интегрированные | Интегрированные |
| Проводные интерфейсы | 1 x FE (R230D) 1 x GE, 4 x FE, 2 x RJ11 (R240D) |
2 x GE |
| Питание | PoE (R230D) DC/PoE (R240D) |
PoE |
| Варианты монтажа | Стена, потолок | Стена, потолок |
Любопытно выглядит сравнение новейших RRU R250D и lightweight точек доступа последнего поколения AP4050DN: они обеспечивают одинаковую пропускную способность – 1,267 Гбит/с в диапазонах 2,4 и 5 ГГц, имеют схожие радиочастотные параметры, единый тип интегрированных антенн, поддерживают до 256 пользователей. Они идентичны и с точки зрения функциональных возможностей: модули RRU в связке с Central AP и контроллером также будут динамически выбирать каналы и мощность, обнаруживать источники интерференции, контролировать радиообстановку в реальном времени, обеспечивать балансировку между частотными диапазонами и соседними точками доступа.
Цена вопроса
Стоимость Agile Distributed Wi-Fi – одно из ключевых преимуществ решения: выносные радиомодули RRU лишены дорогостоящих чипсетов, весь процессинг централизован и перенесен в корневые точки доступа. За счет этого стоимость модулей RRU почти в 3 раза меньше аналогичных традиционных lightweight точек доступа. Конечно, необходимым элементом решения является модуль Central AP, который тоже стоит определенных денег. Но корневая точка доступа поддерживает до 24 или 48 модулей RRU – в этом случае стоимость Central AP распределится между ними, что приведет к удорожанию RRU всего на 7-10%.
Второе, на чем удается сэкономить, – это лицензии на точки доступа для беспроводного контроллера: традиционно на контроллер AC требуется заложить лицензии в количестве, равном общему количеству точек доступа. В описываемом в данной статье решении лицензии требуется заложить лишь на центральные точки доступа, но не модули RRU.
Простой пример: есть офис, для покрытия которого требуется порядка 90 точек доступа. При стандартном подходе мы купим 90 lightweight точек доступа + контроллер + 90 лицензий. Аналогичное решение, построенное с применением Agile Distributed Wi-Fi, потребует те же 90 модулей RRU + контроллер + всего 2 лицензии (на Central AP). Как правило, не менее 8 лицензий уже идут с контроллером бесплатно, т.е. ничего докупать и не придется.
Для системы централизованного управления и мониторинга NMS eSight также будет иметь значение кол-во элементов Central AP, и здесь мы значительно сэкономим на стоимости лицензий.
Область применения
Решение Agile Distributed Wi-Fi имеет много преимуществ, но, конечно, это не панацея для всего и вся: сценарии Wi-Fi с высокой плотностью пользователей, outdoor-развертывание и mesh-связность, узконаправленное секторное покрытие – эти задачи следует реализовывать с помощью специализированных продуктов и решений.
Но для львиной доли кампусных сценариев, в особенности для больниц и отелей с множеством отдельных помещений, офисов и предприятий со сложными внутренними планировками, данное решение отлично подходит. Опять же, мы можем значительно повысить качество покрытия, просто увеличив количество модулей RRU (благодаря их невысокой стоимости и отсутствию необходимости в докупке лицензий мы можем себе это позволить).
Решение Agile Distributed Wi-Fi делает беспроводную инфраструктуру передачи данных уровня Enterprise намного доступнее и позволяет многократно увеличить количество потенциальных потребителей.
Вместо выводов
Поскольку наша основная цель – находить решения для конкретных проблем пользователей, то для нас очень ценен ваш опыт использования продукции Huawei Enterprise. Не поленитесь поделиться с нами этим опытом (как позитивным, так и негативным) в комментариях, если таковой имеется 🙂
Источник: habr.com