Главная » Wi-Fi

Настройка беспроводной сети

На чтение: 14 мин Wi-Fi

ДВА! Настраиваем VLAN и подсети

В нашем случае начнём с расстановки виртуальных сетей, VLAN в меню редактирования объекта (site) в разделе Wired Networks. TP-Link Omada позволяет вам настроить VLAN двумя способами: первый — это просто виртуальная сеть сама по себе, данное разделение будет использоваться на коммутаторах. Второй — это настройка сегментов подсетей на шлюзе доступа с собственными диапазонами IP адресов и DHCP серверами, что даёт возможность сразу определять клиента в нужную виртуальную сеть и записывать в заданный IP диапазон.

Мы использовали PoE коммутатор TL-SG3210XHP-M2, который специально предназначен для развёртывания в средах Wi-Fi 6. Он имеет два 10-гигабитных SFP в качестве аплинка, а распределительная часть составляет 8 PoE+ портов RJ45 со скоростью 2.5 Гбит/с. Общий бюджет PoE оценивается в 240 Вт, сам коммутатор потребляет 17 Вт. Охлаждается устройство двумя вентиляторами, из-за чего работает вполне себе громко даже без подключенной PoE нагрузки, так что монтировать TL-SG3210XHP-M2 нужно в отдельном помещении или звукоизолированном шкафу. Коммутационная матрица равняется 80 Гбит/с, что равняется сумме скоростей всех портов в режиме дуплекса.

Интересно, что коммутатор относится к устройствам класса L2+, и может привязывать IP-адрес к порту, но не все функции L3 в данный момент настраиваются через контроллер: например, статическая маршрутизация через контроллер доступна, а VLAN VPN и привязка IP-MAC-Port настраиваются уже в Standalone режиме.

Но арсенал того, что есть сейчас итак достаточен: виртуальных сетей может быть до 4096 штук, и задавая каждый VLAN вместе с описанием, мы можем в дальнейшем оперировать с их названиями, чтобы проще было ориентироваться в профилях, подсетях и VLAN тэгах Когда дело доходит до доступа, то каждому порту можно присваивать отдельный профиль, в котором вы можете указать какой тегированный и нетегированный трафик из каких VLAN-ов будет обслуживаться именно этим портом. Для высокоприоритетного голосового трафика можно задействовать отдельный VLAN и включить LLP-MED, тогда свитч автоматом повысит приоритет по 802.11p всего трафика в этой виртуальной сети, избавив вас от конфигурирования QoS. Порты можно изолировать или отключать, ограничивать пропускную способность как для всех, так и для определённых MAC-адресов. Так же имеется поддержка агрегации каналов. Реально коммутатор мощный, и настройка здесь проще, чем где бы то ни было.

Подключение 5210G в режиме AP Client Router

Открываем меню Operation Mode, выбираем режим работы AP Client Router и нажимаем кнопку Save.

Переходим в меню Network → WAN и указываем, каким образом TP-Link 5210G будет получать сетевые настройки от Wi-Fi точки. Обычно настройки присваиваются по DHCP, поэтому выбираем Dynamic IP и жмем Save.

Если провайдер блокирует доступ к Wi-Fi точке по МАС адресу, переходим в меню Network → MAC Clone и в поле WAN MAC Address: указываем разрешенный МАС адрес.

Открываем меню DHCP и проверяем, что включен DHCP Server. Должно быть выбрано Enable и в полях Start IP Address и End IP Address указан диапазон IP адресов, которые будут выделяться компьютерам, подключенным по кабелю со стороны LAN порта 5210G.

Переходим в меню Wireless → Wireless Mode, выбираем режим работы Client и нажимаем кнопку Survey.

В списке находим необходимую Wi-Fi точку и нажимаем Connect.

В поле Client появится имя точки (SSID), к которой будем подключаться и ее MAC адрес (MAC of AP). После этого нажимаем кнопку Save внизу страницы.

Введем пароль доступа к Wi-Fi точке доступа, если он есть. Переходим в меню Wireless → Security Settings и указываем параметры безопасности, как и на Wi-Fi точке:

  • выбираем тип шифрования. На нашей точке используется WPA-PSK/WPA2-PSK
  • Version: выбираем версию шифрования. Мы использовали WPA2-PSK.
  • Encryption: алгоритм шифрования. Мы выбрали Automatic.
  • PSK Passphrase: в этом поле указываем пароль для доступа к точке доступа не менее 8 символов и нажимаем кнопку Save для сохранения настроек

Внимание! Если на Wi-Fi точке, к которой вы подключаетесь, используется WEP шифрование, то в полях Type, WEP Key Format, WEP Key, Key Type должны быть указаны параметры один в один как в настройках этой точки. В противном случае TP-Link 5210G не сможет подключиться к Wi-Fi точке.

После выполненных действий переходим в меню Status и проверяем, что TP-Link 5210G подключился к точке доступа. В поле SSID должно быть имя точки, к которой вы подключились. При нажатии на кнопку Refresh не должны меняться номера каналов в поле Channel. Если номера каналов изменяются, то вы не правильно ввели параметры безопасности (пароль к точке доступа или параметры шифрования). В поле WAN будут указаны сетевые настройки, которые были автоматически присвоены 5210G по DHCP.

Теперь можно подключить TP-Link 5210G в свитч и у компьютеров, подключенных по кабелю, будет работать выход в Интернет.

Настройка сетевой карты на получение автоматических настроек

Не зависимо от того, в каком режиме клиента вы настроили TP-Link 5210G, теперь нам нужно сменить настройки сетевой карты компьютера, чтобы она получала настройки автоматически по DHCP.

Идем в «Пуск» → «Панель управления» → «Центр управления сетями и общим доступом».

«Изменение параметров адаптера»

«Подключение по локальной сети» → «Свойства»

Выбираем «Протокол Интернета версии 4 (TCP/IPv4)» → «Свойства»

В новом окне выбираем «Получить IP-адрес автоматически» и нажимаем на кнопку .

Теперь компьютер получит сетевые настройки по DHCP и на компьютере появится выход в Интернет.

В настройки точки доступа по адресу 192.168.1.254 вы уже не сможете зайти. Чтобы зайти в настройки нужно будет предварительно вручную прописать адрес сетевой карты компьютера 192.168.1.20.

ПЯТЬ! Настройка WLAN и IoT

Следующим этапом мы настроим беспроводную сеть на точке доступа EAP660HD. Мы создадим две сети: одну — общую, с открытым SSID в диапазонах 2.5 и 5 ГГц. Так как наша точка доступа поддерживает Wi-Fi 6 (да не просто поддерживает, а имеет 8 пространственных потоков и 2.5-гигабитное подключение), то для безопасности включим уже стандарт WPA3, оставив совместимость с WPA2. Хочу заметить, что такие параметры как Band Steering, роуминг или поддержка MESH, вообще задаются в настройках площадки и действуют глобально на всё беспроводное пространство.

Вторую сеть мы создадим только в диапазоне 2.4 ГГц, и предназначена она будет для беспроводных IoT устройств. Включив в настройках SSID параметр «Guest Network», мы запретим доступ всех подключённых к этой сетке устройств к частным IP-диапазонам вида 10.10.10.x, 192.168.x.x и т.д., сохранив при этом выход в интернет. Это самый простой способ для безопасного подключения IoT устройств: с одной стороны все эти китайские лампочки, принтеры, метеостанции сохраняют работоспособность через свои облачные сервисы, а с другой стороны даже если они будут взломаны или изначально содержат в себе эксплойты, ваша локальная сеть защищена так же надёжно, как при помощи WLAN или изоляции на уровне L2.

Конечно, можно по аналогии создать отдельный VLAN для IoT устройств и заблокировать ему доступ в локальную сеть на уровне коммутатора, но это уже избыточная защита.

ТРИ! Выставляем базовую защиту сети

Настройки безопасности представлены правилами для ACL списков, реализуемых на шлюзе доступа, коммутаторе или точке доступа. Если вы хотите заблокировать устройствам доступ к заданным подсетям, оставив только выход в интернет, то вам сюда. Интересно, что ACL настраивается отдельно для точек доступа, свитчей и шлюзов, но принцип везде один и тот же: вы указываете, какой подсети запрещать или разрешать доступ к какому IP диапазону, ну плюс на коммутаторе эта привязка может делаться к VLAN-ам или портам.

Для защиты от DDoS атак по методу переполнения буферов присутствует антифлуд для TCP, UDP и ICMP.

А вот ограничение доступа к интернет-сайтам сделано чисто для галочки, поскольку каждый такой URL вам придётся заносить вручную. Я думаю , что пользоваться этой функцией едва ли кто-то будет.

СЕМЬ! Финальный штрих

Конечно, много мелких, но полезных настроек мы оставим за кадром (как то — NAT, включение PoE по расписанию, выделение ваучеров для Wi-Fi…), ведь полный функционал «Омады» нам за один раз не раскрыть. Но вот что точно надо не забыть сделать, так это подключить облачный доступ через интернет, чтобы можно было управлять нашей сетью даже если она глубоко за NAT или имеет серый IP-адрес

Сейчас для обеспечения такого доступа обычно используется «лёгкое» облако на стороне вендора, и важно понимать, что хоть вам и придётся регистрироваться на сайте TP-Link, он в данном случае просто будет работать как шлюз доступа администратора к панели управления. Никакие персональные данные пользователей или настройки на серверах TP-Link не хранятся — только хэши паролей, но..

это мне так сказали, а в документации или на сайте об этом нигде не сказано, хотя о таких вещах надо писать в шапке сайта 36-м шрифтом, можно даже вместо логотипа.

Ну что же, осталось только скачать на смартфон программу Omada, выбрать соединение с Cloud-центром, ввести логин и пароль — и можно спокойно отправляться отдыхать на курорт: весь функционал Omada будет у вас на ладони.

Без интернет-браузера, который вечно тормозит, со всеми графиками и иконками, со всеми объектами, добавленными в контроллер — у вас полноценная облачная служба, и не важно, что сам контроллер спрятан за NAT

ЧЕТЫРЕ! Настраиваем SD-WAN, отказоустойчивый и сбалансированный интернет

Сегодня ни одна здравомыслящая сетевая компания не обходит стороной технологию SD-WAN, и на страницах нашего ресурса вы найдёте много публикаций по теме программно определяемого доступа в интернет. Самая простая имплементация SD-WAN — это обеспечение отказоустойчивости совместно с балансировкой загрузки каналов по трафику.

Наш тестовый шлюз TP-Link TL-ER7206 имеет аж 4 WAN-порта: выделенные SFP и RJ45 и комбинированные WAN/LAN RJ45. Все порты — гигабитные, с возможностью замены MAC-адреса. При балансировке нагрузки, для каждого из портов можно задавать свой вес, отдавая приоритет наиболее быстрому.

Для того, чтобы приложения и сервисы, использующие несколько подключений, сохраняли работоспособность при одновременной работе двух интернет-каналов, контроллер Omada прописывает маршрутизацию таким образом, чтобы трафик с одних и тех же IP адресов подсети с одних и тех же портов шёл через один и тот же WAN канал.

Однако, можно и просто использовать два интернет-канала в режиме «активный/резервный» с переключением и последующим возвратом при поломке.

Периодически шлюз тестирует скорость интернета, выполняя загрузку с сайта Speedtest.net, так что если у вас в компании используются несколько каналов связи, можно настроить, чтобы шлюз всегда выбирал самый быстрый, самый малозагруженный.

Подключение 5210G в режиме AP Client Bridge

Открываем меню Operation Mode и проверяем, чтобы был выбран режим работы AP. Если этот режим не выбран, выбираем AP, нажимаем кнопку Save и ждем, пока точка перезагрузится.

Переходим в меню Wireless → Wireless Mode, выбираем режим работы Client и нажимаем кнопку Survey.

В появившемся окне находим необходимую точку и нажимаем Connect.

В поле Client должно появиться имя точки (SSID), к которой мы будем подключаться и ее MAC адрес (MAC of AP). Далее нажимаем кнопку Save внизу страницы.

Теперь настроим пароль доступа к точке доступа, если он установлен. Для этого переходим в меню Wireless → Security Settings и настраиваем параметры безопасности, как и на точке доступа:

  • выбираем тип шифрования. На нашей точке используется WPA-PSK/WPA2-PSK
  • Version: выбираем версию шифрования. Мы использовали WPA2-PSK.
  • Encryption: алгоритм шифрования. Мы выбрали Automatic.
  • PSK Passphrase: в этом поле указываем пароль для доступа к точке доступа не менее 8 символов и нажимаем кнопку Save для сохранения настроек

Внимание! Если на Wi-Fi точке, к которой вы подключаетесь, используется WEP шифрование, то в полях Type, WEP Key Format, WEP Key, Key Type должны быть указаны параметры один в один как в настройках этой точки. В противном случае TP-Link 5210G не сможет подключиться к Wi-Fi точке.

После выполненных действий переходим в меню Status и проверяем, что TP-Link 5210G подключился к точке доступа. В поле Operating Mode должен быть режим Client, в поле SSID должно быть имя точки, к которой вы подключились, в поле Traffic Statistics должны «пойти» пакеты данных. При нажатии на кнопку Refresh не должны меняться номера каналов в поле Channel. Если номера каналов изменяются, то вы не правильно ввели параметры безопасности (пароль к точке доступа или параметры шифрования).

Внимание! Если Вы подключаетесь к Wi-Fi точке, которая подключена к коммутатору и работает в режиме Bridge, а сетевые настройки раздает DHCP сервер в сети, то Вы уже можете не зайти в меню Status. Поэтому этот пункт пропустите.

Настройка подключения 5210G к Wi-Fi точке доступа

TP-Link TL-WA5210G можно настроить в качестве клиента Wi-Fi точки доступа в двух режимах:

AP Client Router — этот режим используют, когда необходимо подключиться к точке доступа и скрыть подсеть, которая находится за ней. Например, вы можете подключиться к базовой Wi-Fi станции провайдера, включить точку 5210G в свитч и раздавать Интернет другим компьютерам по кабелю. При этом провайдер не будет знать, что за вашей точкой есть еще компьютеры, а 5210G будет работать в роли шлюза для выхода в Интернет. В данном режиме на точке доступа 5210G настраивается DHCP сервер, и он будет раздавать сетевые настройки компьютерам в его подсети.

AP Client Bridge — название этого режима вы не встретите в настройках точки 5210G, но именно он подразумевается, когда вы хотите «прозрачно» подключиться к провайдеру. В этом режиме 5210G прозрачно пропускает трафик от компьютеров, которые находятся за точкой, до оборудования провайдера. Провайдер видит все подключенные компьютеры и раздает им сетевые настройки со своего DHCP сервера. Если провайдер не будет блокировать доступ компьютеров к сети, то предпочтительнее использовать этот режим.

Приступим к подключению TP-Link TL-WA5210G к Wi-Fi точке доступа.

Открываем Internet Explorer (или другой браузер) и вводим адрес 192.168.1.254

В появившемся окне вводим имя пользователя admin, вводим пароль admin и входим в Web-интерфейс.

Внимание! Если Вы не можете зайти в настройки по адресу 192.168.1.254, то у TP-Link изменен IP-адрес, который используется по умолчанию или вы не настроили сетевую карту компьютера на использование IP адреса из одной подсети 192.168.1.21. Чтобы сбросить TP-Link 5210G к заводским настройкам, необходимо на 8-10 секунд нажать и удерживать кнопку .

Выводы

Задача современного SDN контроллера ещё и в том, чтобы сохранять простоту работы с сетью по мере её роста, и у TP-Link этот момент отработан идеально. Даже если у вас в компании одна единица оборудования TP-Link, использование Omada даст свои плюсы в удобстве и информативности. Но как и любой современный продукт, у этого решения есть свои плюсы и минусы.

  • Интерфейс на английском языке. Для большинства наших читателей это не проблема, но отсутствие локализации бьёт по заказчикам, реализующим проекты для гос.компаний.
  • Функционал Omada ограничивает какие-то устройства, подключенные к нему. Вот например, не все возможности свитча реализованы в Omada, и тут ничего не поделаешь — либо свитч прописан в контроллер и управляется им, либо стоит отдельно.
  • Нет возможности вручную кликать на клиента и добавлять его к существующему профайлу, во VLAN или вовсе банить. То есть, взаимодействие с клиентом у вас сводится к ограничению скорости и выделению статического IP адреса.
  • Автоматическое обновление прошивки работает только при подключении к облачному аккаунту
  • Нет интеграции с сервисом техподдержки вендора

Всё бесплатно. Omada работает без лицензий, серийных номеров и сервисных пакетов
Очень простое добавление и удаление устройств в сети. Не нужно сканировать QR-коды, как у Zyxel или шаманить с IP-адресами, Omada увидит все доступные устройства в сети и позволит вам их перехватить. Так же легко их можно «забыть», сбросив к заводским настройкам.
Подключение к облаку не обязательно. Даже мобильное приложение может работать с локальным IP-адресом

Фактически вообще не важно, где в топологии вашей сети вы поставите контроллер: да хоть в другом филиале, но он остаётся строго под вашим контролем.
Настраиваемый интерфейс с виджетами и яркими графиками
Возможность бесконечно долго хранить логи, экспортировать их в сторонний сервер и взаимодействовать по SNMP с системами мониторинга
Возможность наблюдать интерференции в диапазоне работы точки доступа

В заключении хотелось бы отметить, что для ознакомления с Omada даже не обязательно покупать устройство TP-Link: вы можете скачать контроллер с сайта компании, произвести базовые настройки и посмотреть, насколько он подходит под ваши проекты.

Михаил Дегтярёв (aka LIKE OFF)

05/08.2021

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
PR-HOST
Вам также может быть интересно
.
Как настроить роутер tp-link
Wi-Fi 0
Установка и настройка беспроводной сети в windows
Настройка беспроводной Wi-Fi сети на компьютере. Решение проблем при настройке.
PR-HOST
Что такое название ssid сети wifi и как узнать имя на роутере?
Wi-Fi 0
Как изменить имя беспроводной сети?
Как изменить имя беспроводной сети или имя сети wifi
PR-HOST
Wi-Fi 0
Не работает wi-fi: как вернуть доступ к беспроводной сети
Если вы не можете подключиться к сети WIFI, то эти простые рекомендации помогут вам
PR-HOST
Ssid wi-fi сети на роутере
Wi-Fi 0
Как изменить имя беспроводной сети
Когда мы достаем роутер из коробки и включаем его, то в 99% случаев он
PR-HOST
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.