Централизованное управление беспроводной сетью с помощью контроллеров WLC

Схема централизованного управления корпоративным Wi-Fi с помощью контроллеров WLC и vWLC

Описание

Беспроводные сети – живой элемент ИТ-инфраструктуры, который требует регулярного мониторинга, обновления и масштабирования. По мере расширения компании растёт и число пользователей, устройств, а также требования к оперативной настройке среды передачи данных.

Мы последовательно развиваем линейку Wi-Fi оборудования и предлагаем новые подходы под задачи любой сложности – от локальных сетей до распределённых архитектур с тысячами клиентов. Одно из универсальных решений – построение сети на базе аппаратных контроллеров WLC и программного vWLC. Они предназначены для развёртывания беспроводной инфраструктуры, централизованного управления точками доступа, а также для их мониторинга и обновления. Разберёмся подробнее.

Состав решения

Аппаратные контроллеры WLC

Аппаратные контроллеры WLC – это готовые устройства для построения Wi-Fi инфраструктуры. В линейке представлены модели WLC-15, WLC-30 и WLC-3200. Они совместимы с Wi-Fi 5 и Wi-Fi 6 точками доступа Eltex, также будет поддержан стандарт Wi-Fi 7.

Программный контроллер vWLC

vWLC – виртуальный Wi-Fi контроллер, предназначенный для развёртывания в средах виртуализации и аппаратных серверах с архитектурой х86-64. Он повторяет функциональность аппаратных WLC, но позволяет более гибко масштабировать производительность, выделяя больше аппаратных ресурсов.

Функционал WLC и vWLC

Контроллеры WLC предоставляют гибкие и надёжные инструменты для организации доступа к корпоративной Wi-Fi сеть. Они заметно упрощают работу IT-специалистов: автоматизируют рутинные операции, ускоряют развёртывание сети и снижают риск ошибок на этапе конфигурации.

Одно из ключевых преимуществ контроллеров – централизованное управление. Оно включает:

● массовую настройку точек доступа по шаблонам
● централизованное обновление прошивок и конфигураций
● удалённый мониторинг и диагностику сети
● гибкое разграничение прав и политик для разных сегментов

Аутентификация и авторизация происходят по протоколам RADIUS – через логин/пароль и сертификаты TLS. Поддерживаются современные стандарты шифрования WPA2/WPA3 (Personal и Enterprise).

Модельный ряд оснащён сервисом Airtune. Он обеспечивает интеллектуальную оптимизацию беспроводной сети и упрощает управление точками доступа за счёт автоматического подбора оптимальных каналов передачи, балансировки нагрузки и бесшовного роуминга.

Кроме того, как аппаратные, так и программный контроллеры маршрутизируют и защищают трафик на уровне корпоративной сети. Все модели поддерживают статическую и динамическую маршрутизацию IPv4/IPv6, включая такие протоколы, как OSPF, BGP, IS-IS и RIP. Реализована маршрутизация на основе политик (PBR) и виртуальное разделение маршрутов (VRF). Для фильтрации и обеспечения безопасности предусмотрены встроенные межсетевые экраны, работающие по уровням L2–L4, с поддержкой зон доверия и анализа трафика по приложениям. По лицензии также доступна система обнаружения и предотвращения вторжений IDS/IPS.

Точки доступа Eltex

Контроллеры WLC и vWLC предусмотрены для совместной работы с точками доступа Eltex. Мы производим широкий модельный ряд для внутреннего и уличного размещения:

● WEP – для установки внутри помещений
● WOP – для уличного применения

Точки доступа поддерживают стандарты Wi-Fi 5 и 6; в разработке находятся устройства с поддержкой Wi-Fi 7 – их релиз запланирован на четвёртый квартал 2025 года.

Линейка представлена моделями, которые обеспечивают высокую пропускную способность – до 1,7 Гбит/с, работают в диапазонах 2.4 ГГц, 5 ГГц и 6 ГГц (реализация в Q4-2025) и рассчитаны на одновременное подключение от 40 до 100 реальных (передающих трафик) клиентов. Питание подаётся по технологиям PoE/PoE+. Устройства оснащены актуальными средствами аутентификации и защиты трафика, включая WPA2/WPA3 (Personal и Enterprise), а также OWE.

О точках доступа Eltex можно узнать больше по ссылке.

Система управления ECCM

Для упрощения работы с большим числом сетевых устройств, в том числе контроллеров, мы разработали ECCM (Eltex Cloud Configuration Manager) – централизованную платформу управления инфраструктурой, которая позволяет администраторам видеть всю сеть как на ладони. Это решение экономит время, снижает риски при масштабировании и делает администрирование более предсказуемым и удобным.

Подробнее о ECCM вы можете узнать по ссылке.

Общая схема решения

sxema-1-klassiceskii-variant-postroeniia-wi-fi-seti-s-ispolzovaniem-kontrollerov-wlcvwlc

sxema-2-postroenie-besprovodnoi-seti-s-centralizovannym-upravleniem-dlia-raspredelennoi-infrastruktury

Схема 1. Классический вариант построения Wi-Fi сети с использованием контроллеров WLC/vWLC

В нашей схеме мы описываем простой сценарий построения беспроводной сети с применением одного аппаратного или программного контроллера. Она оптимальна для небольших и средних объектов, где требуется централизованное управление и стабильная работа всей инфраструктуры.

Точки доступа Eltex подключаются к коммутатору MES по технологии PoE, который, в свою очередь, соединяется с аппаратным WLC или виртуальным vWLC. Такая архитектура удобна, например, для организации офисной сети с несколькими сегментами: создаются отдельные SSID для сотрудников, гостей и IoT-оборудования с привязкой к разным VLAN. Персонал проходит аутентификацию по RADIUS и сертификатам TLS, а доступ гостей ограничивается по скорости, фильтруется по типу трафика и полностью изолируется от внутренней сети.

При необходимости можно реализовать отказоустойчивый кластер из двух контроллеров (в разработке находится поддержка схемы с несколькими резервными контроллерами). Устройства работают по схеме Active-Standby (в режиме горячего резервирования) – при выходе одного из строя второе мгновенно берёт на себя его задачи, сохраняя непрерывность работы сети.

Контроллеры поддерживают два варианта обработки трафика:

● Centralized Forwarding – клиентский трафик терминируется на контроллере, при этом можно использовать как автоматическое построение туннелей поверх L3-сети предприятия, так и VLAN.
● Local Switching – Клиентский трафик может коммутироваться и маршрутизироваться без участия контроллера.

В этом сценарии значительно экономятся ресурсы IT-отдела, так как добавление новых точек доступа происходит проще, а система Airtune автоматически распределяет точки доступа по каналам и балансирует нагрузку между ними.

Схема 2. Построение беспроводной сети с централизованным управлением для распределённой инфраструктуры

Вторая архитектура ориентирована на компании с филиальной структурой, где необходимо управлять сетью сразу в нескольких территориально удалённых объектах. Центральный контроллер WLC (или vWLC) и серверы размещаются в головном офисе. За счёт встроенного маршрутизатора WLC способен обслуживать не только локальные, но и удалённые точки доступа, размещённые в филиалах.

Подключение происходит по зашифрованным каналам. Для этого между WLC и точками доступа необходима L3 связность. Реализовать L3 связность можно с помощью защищенного туннеля или собственных каналов связи предприятия.

При использовании виртуального контроллера vWLC развёртывание решения становится гибче в администрировании, так как vWLC может выполнять роль пограничного маршрутизатора для построения защищённых туннелей, между контроллером и маршрутизаторами удалённых локаций.

В практическом сценарии сеть филиалов может быть построена с учётом разных требований: в одном офисе – приоритет VoIP-трафика, в другом – ограничение доступа к локальным ресурсам, в третьем – мониторинг активности IoT-устройств. Управление комплексом устройств в данной архитектуре осуществляется через систему ECCM. Программное обеспечение организует единый центр администрирования: распространяет политики безопасности, отслеживает состояние сети и позволяет быстро реагировать на инциденты. При обнаружении подозрительной активности, например, попыток сканирования сети или подключения неавторизованных клиентов, модули WIDS и WIPS автоматически реагируют: изолируют источник угрозы и уведомляют администратора.

С помощью ECCM также можно, например, обнаружить новую точку доступа в филиале, автоматически применить к ней базовую конфигурацию и включить в заданный сегмент сети. При этом топология сети визуализируется – администратор в головном офисе видит реальное расположение оборудования, связи между устройствами и текущую нагрузку.