Главная » Wi-Fi

Разновидности точек доступа tp-link и особенности их настройки

На чтение: 15 мин Wi-Fi

ДВА! Настраиваем VLAN и подсети

В нашем случае начнём с расстановки виртуальных сетей, VLAN в меню редактирования объекта (site) в разделе Wired Networks. TP-Link Omada позволяет вам настроить VLAN двумя способами: первый — это просто виртуальная сеть сама по себе, данное разделение будет использоваться на коммутаторах. Второй — это настройка сегментов подсетей на шлюзе доступа с собственными диапазонами IP адресов и DHCP серверами, что даёт возможность сразу определять клиента в нужную виртуальную сеть и записывать в заданный IP диапазон.

Мы использовали PoE коммутатор TL-SG3210XHP-M2, который специально предназначен для развёртывания в средах Wi-Fi 6. Он имеет два 10-гигабитных SFP в качестве аплинка, а распределительная часть составляет 8 PoE+ портов RJ45 со скоростью 2.5 Гбит/с. Общий бюджет PoE оценивается в 240 Вт, сам коммутатор потребляет 17 Вт. Охлаждается устройство двумя вентиляторами, из-за чего работает вполне себе громко даже без подключенной PoE нагрузки, так что монтировать TL-SG3210XHP-M2 нужно в отдельном помещении или звукоизолированном шкафу. Коммутационная матрица равняется 80 Гбит/с, что равняется сумме скоростей всех портов в режиме дуплекса.

Интересно, что коммутатор относится к устройствам класса L2+, и может привязывать IP-адрес к порту, но не все функции L3 в данный момент настраиваются через контроллер: например, статическая маршрутизация через контроллер доступна, а VLAN VPN и привязка IP-MAC-Port настраиваются уже в Standalone режиме.

Но арсенал того, что есть сейчас итак достаточен: виртуальных сетей может быть до 4096 штук, и задавая каждый VLAN вместе с описанием, мы можем в дальнейшем оперировать с их названиями, чтобы проще было ориентироваться в профилях, подсетях и VLAN тэгах Когда дело доходит до доступа, то каждому порту можно присваивать отдельный профиль, в котором вы можете указать какой тегированный и нетегированный трафик из каких VLAN-ов будет обслуживаться именно этим портом. Для высокоприоритетного голосового трафика можно задействовать отдельный VLAN и включить LLP-MED, тогда свитч автоматом повысит приоритет по 802.11p всего трафика в этой виртуальной сети, избавив вас от конфигурирования QoS. Порты можно изолировать или отключать, ограничивать пропускную способность как для всех, так и для определённых MAC-адресов. Так же имеется поддержка агрегации каналов. Реально коммутатор мощный, и настройка здесь проще, чем где бы то ни было.

ЧЕТЫРЕ! Настраиваем SD-WAN, отказоустойчивый и сбалансированный интернет

Сегодня ни одна здравомыслящая сетевая компания не обходит стороной технологию SD-WAN, и на страницах нашего ресурса вы найдёте много публикаций по теме программно определяемого доступа в интернет. Самая простая имплементация SD-WAN — это обеспечение отказоустойчивости совместно с балансировкой загрузки каналов по трафику.

Наш тестовый шлюз TP-Link TL-ER7206 имеет аж 4 WAN-порта: выделенные SFP и RJ45 и комбинированные WAN/LAN RJ45. Все порты — гигабитные, с возможностью замены MAC-адреса. При балансировке нагрузки, для каждого из портов можно задавать свой вес, отдавая приоритет наиболее быстрому.

Для того, чтобы приложения и сервисы, использующие несколько подключений, сохраняли работоспособность при одновременной работе двух интернет-каналов, контроллер Omada прописывает маршрутизацию таким образом, чтобы трафик с одних и тех же IP адресов подсети с одних и тех же портов шёл через один и тот же WAN канал.

Однако, можно и просто использовать два интернет-канала в режиме «активный/резервный» с переключением и последующим возвратом при поломке.

Периодически шлюз тестирует скорость интернета, выполняя загрузку с сайта Speedtest.net, так что если у вас в компании используются несколько каналов связи, можно настроить, чтобы шлюз всегда выбирал самый быстрый, самый малозагруженный.

ШЕСТЬ! Настройка VPN

Если в вашем арсенале несколько объектов с установленным оборудованием TP-Link, и все они занесены в Omada Cloud, то для поднятия VPN туннеля между ними достаточно выбрать нужный объект в списке и нажать одну кнопку. Ну а поскольку в реальном мире всё несколько более сложно, то VPN можете настраивать вручную, устанавливая шлюз одновременно и клиентом и сервером. Здесь поддерживаются L2TP, PPTP, IPSec и OpenVPN, позволяющий поднимать туннель на любом порту и через транспорт UDP и TCP.

Имейте ввиду, что VPN всегда жёстко привязан к WAN интерфейсу, и вся магия SD-WAN в данном случае не применяется. Так что если у вас несколько каналов связи, настраивайте туннель для каждого из них.

Настройка TL-WA5210G в режиме AP Bridge

AP Bridge (точка доступа в режиме прозрачного «моста»)  — названия этого режима нет в настройках, но он подразумевается, если вы хотите подключиться к провайдеру «прозрачно». Режим моста позволяет прозрачно пропускать трафик от компьютеров, подключенных к TL-WA5210G по Wi-Fi, до оборудования провайдера. Провайдер видит все подключенные компьютеры и  раздает им сетевые настройки со своего DHCP сервера. Этот режим наиболее часто используют, когда у вас уже подключен  роутер к кабелю провайдера, а точку доступа вы хотите подключить к роутеру для раздачи интернета по Wi-Fi на большое расстояние. 

Переходим в меню Wireless → Basic Settings и настраиваем параметры точки доступа

  • SSID: название точки доступа;
  • Region: выбираем страну;
  • Channel: выбор беспроводного канала, на котором будет работать точка доступа. Этот параметр можно оставить Auto. В будущем лучше просканировать наличие других Wi-Fi сетей, найти свободный канал для своей точки доступа и выставить его вручную.
  • Power: мощность;
  • Mode: в каких стандартах будет работать точка доступа. Оставьте без изменений.

Для сохранения настроек нажимаем кнопку Save внизу страницы.

Настроим параметры безопасности беспроводной точки. Переходим в меню Wireless → Security Settings и выполняем настройки:

  • Выбираем тип шифрования. Для большей безопасности лучше использовать WPA-PSK/WPA2-PSK, но нужно знать, что не все старые устройства могут поддерживать этот тип шифрования;
  • Version: указываем версию шифрования. Самая безопасная — WPA2-PSK;
  • Encryption: алгоритм шифрования. Можно использовать Automatic;
  • PSK Passphrase: вводим пароль (не менее 8 символов) для подключения к беспроводной точке доступа и жмем кнопку Save.

Идем в меню Operation Mode, указываем режим AP и жмем кнопку Save.

Проверяем параметры точки доступа в меню Status. В Operating Mode должен быть режим Access Point, в SSID — имя точки доступа.

Теперь можно подключить точку доступа TP-Link TL-WA5210G к роутеру или коммутатору (если в сети есть DHCP сервер) и подключиться к точке доступа по Wi-Fi.

Новый IP адрес для входа в настройки точки доступа TL-WA5210G необходимо узнать на роутере или DHCP сервере. Для этого откройте список подключенных устройств, найдите свою точку доступа по MAC адресу, и посмотрите, какой ей присвоен IP адрес.

Внимание! Могут возникать ситуации, когда устройства подключаются к точке доступа, но получают не правильные настройки по DHCP. При этом на подключенных компьютерах не работает Интернет

В этой ситуации необходимо на точке доступа TP-Link TL-WA5210G вручную прописать свободный статический IP адрес из подсети, которую обслуживает DHCP сервер, маску подсети и IP адрес интернет шлюза.

Войдите в меню Network, укажите в поле IP Address: статический IP адрес, в поле Subnet Mask: маску подсети, в поле Gateway — IP адрес интернет шлюза. Новый статический IP адрес будет использоваться для входа в настройки точки доступа. Для сохранения настроек нажмите кнопку Save.


 

ТРИ! Выставляем базовую защиту сети

Настройки безопасности представлены правилами для ACL списков, реализуемых на шлюзе доступа, коммутаторе или точке доступа. Если вы хотите заблокировать устройствам доступ к заданным подсетям, оставив только выход в интернет, то вам сюда. Интересно, что ACL настраивается отдельно для точек доступа, свитчей и шлюзов, но принцип везде один и тот же: вы указываете, какой подсети запрещать или разрешать доступ к какому IP диапазону, ну плюс на коммутаторе эта привязка может делаться к VLAN-ам или портам.

Для защиты от DDoS атак по методу переполнения буферов присутствует антифлуд для TCP, UDP и ICMP.

А вот ограничение доступа к интернет-сайтам сделано чисто для галочки, поскольку каждый такой URL вам придётся заносить вручную. Я думаю , что пользоваться этой функцией едва ли кто-то будет.

Настройка TL-WA5210G в режиме AP Router

AP Router (точка доступа в режиме роутера) — этот режим используют, если необходимо создать беспроводную точку доступа и скрыть компьютеры, которые будут подключаться к ней, в отдельную подсеть. Например, вы можете подключить TL-WA5210G напрямую к кабелю провайдера, и раздавать Интернет другим компьютерам по Wi-Fi. В этом режиме провайдер не видит компьютеры, которые подключены к вашей точке и  TL-WA5210G работает в роли Интернет шлюза. Чтобы изолировать компьютеры в отдельную подсеть, на точке доступа настраивается DHCP сервер, который будет раздавать сетевые настройки по Wi-Fi. 

Переходим в меню Wireless → Basic Settings и настраиваем параметры будущей точки доступа

  • SSID: название точки доступа;
  • Region: выбираем страну;
  • Channel: выбор беспроводного канала, на котором будет работать точка доступа. Этот параметр можно оставить Auto. В будущем лучше просканировать наличие других Wi-Fi сетей, найти свободный канал для своей точки доступа и выставить его вручную.
  • Power: мощность;
  • Mode: в каких стандартах будет работать точка доступа. Оставляем без изменений.

Для сохранения настроек нажимаем кнопку Save внизу страницы.

Настроим параметры безопасности беспроводной точки. Переходим в меню Wireless → Security Settings и выполняем настройки:

  • Выбираем тип шифрования. Для большей безопасности лучше использовать WPA-PSK/WPA2-PSK, но нужно знать, что не все старые устройства могут поддерживать этот тип шифрования.
  • Version: указываем версию шифрования. Самая безопасная — WPA2-PSK.
  • Encryption: алгоритм шифрования. Можно использовать Automatic.
  • PSK Passphrase: вводим пароль (не менее 8 символов) для подключения к беспроводной точке доступа и нажимаем кнопку Save

Идем в меню Operation Mode, указываем режим работы AP Router и жмем кнопку Save.

После применения настроек вы уже не сможете зайти в настройки точки по кабельному соединению. Необходимо подключить точку доступа к кабелю провайдера (роутеру), подключиться к точке по Wi-Fi и ввести адрес 192.168.1.254 для входа в настройки. 

Открываем меню Network — WAN и указываем, как TP-Link TL-WA5210G будет получать сетевые настройки от провайдера (роутера) по кабелю. Наиболее часто настройки присваиваются автоматически по DHCP, поэтому выбираем Dynamic IP и жмем Save.

Если провайдер блокирует доступ по МАС адресу, зайдите в меню Network → MAC Clone и в поле WAN MAC Address: укажите разрешенный МАС адрес.

Войдите в меню DHCP и проверьте, что DHCP Server включен и настроен. В поле DHCP Server должно быть выбрано Enable, в полях Start IP Address и End IP Address указаны IP адреса, которые будут выделяться подключенным компьютерам.

Переходим в меню Status и проверяем, что мы создали беспроводную точку доступа и провайдер (роутер) передал ей сетевые настройки.

В поле SSID должно быть указано имя Wi-Fi точки. В разделе WAN будут указаны сетевые настройки, которые провайдер (роутер) присвоил точке 5210G по DHCP.

Теперь можно подключаться к точке доступа TP-Link TL-WA5210G и у компьютеров, подключенных по Wi-Fi, будет работать выход в Интернет. 

ПЯТЬ! Настройка WLAN и IoT

Следующим этапом мы настроим беспроводную сеть на точке доступа EAP660HD. Мы создадим две сети: одну — общую, с открытым SSID в диапазонах 2.5 и 5 ГГц. Так как наша точка доступа поддерживает Wi-Fi 6 (да не просто поддерживает, а имеет 8 пространственных потоков и 2.5-гигабитное подключение), то для безопасности включим уже стандарт WPA3, оставив совместимость с WPA2. Хочу заметить, что такие параметры как Band Steering, роуминг или поддержка MESH, вообще задаются в настройках площадки и действуют глобально на всё беспроводное пространство.

Вторую сеть мы создадим только в диапазоне 2.4 ГГц, и предназначена она будет для беспроводных IoT устройств. Включив в настройках SSID параметр «Guest Network», мы запретим доступ всех подключённых к этой сетке устройств к частным IP-диапазонам вида 10.10.10.x, 192.168.x.x и т.д., сохранив при этом выход в интернет. Это самый простой способ для безопасного подключения IoT устройств: с одной стороны все эти китайские лампочки, принтеры, метеостанции сохраняют работоспособность через свои облачные сервисы, а с другой стороны даже если они будут взломаны или изначально содержат в себе эксплойты, ваша локальная сеть защищена так же надёжно, как при помощи WLAN или изоляции на уровне L2.

Конечно, можно по аналогии создать отдельный VLAN для IoT устройств и заблокировать ему доступ в локальную сеть на уровне коммутатора, но это уже избыточная защита.

РАЗ! Устанавливаем TP-Link Omada — программный контроллер в локальной сети

Первое поколение систем SDN представляло собой физическое устройство, которое монтировалось в стойку. Затем стали появляться программные средства управления, устанавливаемые в виртуалку в локальной сети (так сделано у Ubiquiti), позже появилось облачное решение (Zyxel Nebula), работающее через интернет, а самый молодой продукт в этом классе, Omada от компании TP-Link, совмещает в себе все вышеназванные типы использования: у компании есть и аппаратные контроллеры (OC200 и OC300), есть программный под Windows и Linux, и вот-вот появится облачный

Кроме аппаратных моделей OC200 и OC300, всё остальное — бесплатно, что очень важно в условиях экономии бюджета

За исключением облачного решения, контроллер Omada располагается в вашей LAN сети, и самый простой способ его установки — это поставить куда-нибудь в виртуалку Windows Server и инсталлировать дистрибутив с сайта TP-Link, так же вам потребуется установить последнюю версию Java.

СЕМЬ! Финальный штрих

Конечно, много мелких, но полезных настроек мы оставим за кадром (как то — NAT, включение PoE по расписанию, выделение ваучеров для Wi-Fi…), ведь полный функционал «Омады» нам за один раз не раскрыть. Но вот что точно надо не забыть сделать, так это подключить облачный доступ через интернет, чтобы можно было управлять нашей сетью даже если она глубоко за NAT или имеет серый IP-адрес

Сейчас для обеспечения такого доступа обычно используется «лёгкое» облако на стороне вендора, и важно понимать, что хоть вам и придётся регистрироваться на сайте TP-Link, он в данном случае просто будет работать как шлюз доступа администратора к панели управления. Никакие персональные данные пользователей или настройки на серверах TP-Link не хранятся — только хэши паролей, но..

это мне так сказали, а в документации или на сайте об этом нигде не сказано, хотя о таких вещах надо писать в шапке сайта 36-м шрифтом, можно даже вместо логотипа.

Ну что же, осталось только скачать на смартфон программу Omada, выбрать соединение с Cloud-центром, ввести логин и пароль — и можно спокойно отправляться отдыхать на курорт: весь функционал Omada будет у вас на ладони.

Без интернет-браузера, который вечно тормозит, со всеми графиками и иконками, со всеми объектами, добавленными в контроллер — у вас полноценная облачная служба, и не важно, что сам контроллер спрятан за NAT

Выводы

Задача современного SDN контроллера ещё и в том, чтобы сохранять простоту работы с сетью по мере её роста, и у TP-Link этот момент отработан идеально. Даже если у вас в компании одна единица оборудования TP-Link, использование Omada даст свои плюсы в удобстве и информативности. Но как и любой современный продукт, у этого решения есть свои плюсы и минусы.

  • Интерфейс на английском языке. Для большинства наших читателей это не проблема, но отсутствие локализации бьёт по заказчикам, реализующим проекты для гос.компаний.
  • Функционал Omada ограничивает какие-то устройства, подключенные к нему. Вот например, не все возможности свитча реализованы в Omada, и тут ничего не поделаешь — либо свитч прописан в контроллер и управляется им, либо стоит отдельно.
  • Нет возможности вручную кликать на клиента и добавлять его к существующему профайлу, во VLAN или вовсе банить. То есть, взаимодействие с клиентом у вас сводится к ограничению скорости и выделению статического IP адреса.
  • Автоматическое обновление прошивки работает только при подключении к облачному аккаунту
  • Нет интеграции с сервисом техподдержки вендора

Всё бесплатно. Omada работает без лицензий, серийных номеров и сервисных пакетов
Очень простое добавление и удаление устройств в сети. Не нужно сканировать QR-коды, как у Zyxel или шаманить с IP-адресами, Omada увидит все доступные устройства в сети и позволит вам их перехватить. Так же легко их можно «забыть», сбросив к заводским настройкам.
Подключение к облаку не обязательно. Даже мобильное приложение может работать с локальным IP-адресом

Фактически вообще не важно, где в топологии вашей сети вы поставите контроллер: да хоть в другом филиале, но он остаётся строго под вашим контролем.
Настраиваемый интерфейс с виджетами и яркими графиками
Возможность бесконечно долго хранить логи, экспортировать их в сторонний сервер и взаимодействовать по SNMP с системами мониторинга
Возможность наблюдать интерференции в диапазоне работы точки доступа

В заключении хотелось бы отметить, что для ознакомления с Omada даже не обязательно покупать устройство TP-Link: вы можете скачать контроллер с сайта компании, произвести базовые настройки и посмотреть, насколько он подходит под ваши проекты.

Михаил Дегтярёв (aka LIKE OFF)

05/08.2021

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
PR-HOST
Вам также может быть интересно
.
Обзор роутера tp-link ec220-g5
Wi-Fi 0
Как создать или расширить wi-fi в офисе на примере точек доступа tp-link eap115
В большинстве случаев наш интерес к сетевому оборудованию заканчивается на «домашних» устройствах для конечных
PR-HOST
Как настроить роутер как репитер за 6 шагов + решение возможных проблем
Wi-Fi 0
Особенности настройки репитера tp-link
Настройка репитера TP-Link: инструкция. Проверка работы режима WDS, подключение оборудования к Wi-Fi-сети с WDS,
PR-HOST
В некоторых моделях роутеров tp-link дефолтный пароль — это 8 последних символов mac-адреса устройства / habr
Wi-Fi 0
Особенности настройки и обзор роутера tp-link tl-wr740n
TP-Link TL-WR740N и его версия ND со съемными антеннами– однодиапазонный бюджетный и надежный маршрутизатор.
PR-HOST
Как поставить или поменять пароль на wi-fi сети роутера
Wi-Fi 0
Особенности настройки роутера netis
Как правильно настраивать роутер Netis? По каким причинам роутер этой модели может не работать?
PR-HOST
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.