Cisco Lightweight AP + WLC. Немного о взаимодействии точек доступа с контроллером.

Когда-то во время изучения писаний о беспроводном доступе, натыкался на проблему того, что сразу слишком много деталей, при том, что общая картина еще не сформировалась. Вот, в частности, читая о том, как lightweight точки доступа работают с контроллером точек доступа (WLC), мне не было до конца ясно через какой VLAN точки вешаются на контроллер, в какие интерфейсы контроллера включаются в LAN, как клиенты, подключающиеся к точкам попадают в нужный им VLAN, предназначенный для беспроводного доступа (через контроллер или сами и если через контроллер, то как?), как они получают IP адреса и пр. Пришел к выводу, что мне тогда помогла бы подобная картинка (click to enlarge):

Взаимодействие беспроводного контроллера с точками доступаНу и краткое описание.

Во первых, контроллер и точки доступа в данном случае включены в сеть всего одним физическим интерфейсом. Тут есть несколько VLANов, но физический интерфейс — один (это не обязательно должно быть так, но здесь так).

У контроллера, на этом одном физическом интерфейсе настроено два VLAN-а:

— VLAN 1 — это основной VLAN корпоративной сети и в нем находится много защищаемых ресурсов, к которым у беспроводных клиентов (тем более — гостей) доступа быть не должно.

— VLAN 2 — это как раз VLAN для беспроводных клиентов, который, через межсетевой экран, имеет доступ в Интернет, равно как и все, кто в этом VLAN-е сидит.

Теперь, последовательно, но достаточно поверхностно, дабы лишними деталями не усложнять понимание.

Точки доступа, которые находятся с контроллером в одном VLAN-е (VLAN 1), после включения в сеть и подачи на них питания (PoE), получают от DHCP сервера в VLAN 1 (на схеме не показан) некий IP адрес, а также, в DHCP опции 43, адрес контроллера, к которому им нужно подключиться. Например, точка А получила IP 10.200.0.33/24, а контроллер имеет IP 10.200.0.10/24. Точка инициирует подключение к контроллеру и после того как они друг с другом пообщались между ними, внутри VLAN 1, устанавливается CAPWAP туннель, через который передается вся информация, касающаясе беспроводного взаимодействия.

Теперь, когда связь между точками LAP и WLC установлена, посмотрим что происходит с трафиком от беспроводных клиентов.

Для простоты считаем, что беспроводным клиентам нужен только доступ в интернет, при этом доступ в локальную сеть предприятия для них должен быть закрыт. Опуская детали того, как клиент ассоциируется с беспроводной сетью (dot1x или иные способы аутентификации и авторизации на контроллере), смотрим как идет трафик от клиента в интернет.

Сначала пакеты по воздуху попадают на точку доступа, которая аккуратно упаковывает их в CAPWAP заголовки и отправляет контроллеру вместе с информацией о том, к какому SSID подключен данный конкретный клиент (т.к. на одной точке может висеть множество SSID). Контроллер получает CAPWAP пакет, извлекает его содержимое (т.е. расшифровывает и снимает CAPWAP заголовки) и по SSID, о котором сообщила ему LAP, делает вывод о том, в какой VLAN нужно его отправить. Т.е. у контроллера есть соответствие, как например: SSID INTERNET = VLAN 2. Так, контроллер отправляет уже чистый IP пакет от беспроводного клиента в VLAN 2, которая у него висит на том же физическом интерфейсе, что и VLAN 1.  Попав в VLAN 2 клиент получает IP адрес из пула для беспроводных клиентов (на схеме показан отдельным сервером), например, 10.200.1.10/24, и имеет доступ в разрешенные для него на МСЭ внешние сети.

Т.е. еще раз, трафик от клиента через CAPWAP туннель между точкой и контроллером попадает на контроллер, который перенаправляет его в нужный VLAN. Клиенты, как и задумано, не имеют возможности напрямую попасть в защищенную VLAN 1, т.к. трафик от них хоть и проходит через этот VLAN, но делает это исключительно внутри CAPWAP туннеля.


Не забывайте оставлять комментарии, если пост был вам полезен!
Опубликовано в Сети Метки: , ,
Заодно посмотрите мои фоты в моем профиле вконтакте. Любые вопросы по существу статей можете задать там же.
Hostenko — лучший WordPress-хостинг