✋ 👩‍🚒 🤦 सिस्को वायरलेस एक्सेस पॉइंट्स के लिए H-REAP / FlexConnect क्या है? 🗓️ 😅 🧖🏾

ऐतिहासिक रूप से, वायरलेस नेटवर्क व्यक्तिगत रूप से कॉन्फ़िगर किए गए एक्सेस पॉइंट्स पर बनाए गए हैं। सरल कार्यों के लिए ("घर पर वाईफाई देना"), यह दृष्टिकोण अभी भी उचित है, हालांकि, प्रशासकों के नेटवर्क की बढ़ती जटिलता के साथ, निम्नलिखित समस्याएं अधिक से अधिक दर्द से भरी हैं:

स्केलेबिलिटी (बड़ी संख्या में उपयोगकर्ताओं का समर्थन करने की आवश्यकता)
सुरक्षा (पूरे नेटवर्क में समान सेटिंग्स की आवश्यकता)
नियंत्रणीयता (दिए गए ग्राहक को किस बिंदु पर केन्द्रित करना है)
रोमिंग (आवाज / वीडियो अनुप्रयोगों के लिए और भी महत्वपूर्ण)
रेडियो संसाधन नियंत्रण (आवृत्ति रेंज अतिव्यापी)

क्या करें?

विकास का पहला चरण एक RADIUS सर्वर का उपयोग करके केंद्रीकृत ग्राहक प्राधिकरण तंत्र ( 802.1x ) का निर्माण था। क्लाइंट को कनेक्ट करने का प्रयास करते समय, प्रत्येक व्यक्ति का एक्सेस पॉइंट कुछ बाहरी सर्वर या सेवा से "अनुमति मांगता है"। आमतौर पर, जब बिंदु से बिंदु तक एक सफलतापूर्वक अधिकृत और काम करने वाले क्लाइंट को स्थानांतरित (घूमना) किया जाता है, तो प्राधिकरण प्रक्रिया को नए सिरे से दोहराया जाता है, जो कई सेकंड के लिए संचार विफलता से भरा होता है।

इस (और अन्य) दोष को संबोधित करने के लिए, WDS इंजन का आविष्कार किया गया था, जिससे कई एक्सेस पॉइंट्स एक साथ काम कर सकते हैं। कवरेज क्षेत्र को बढ़ाने के लिए एक रेडियो सिग्नल प्रसारित करने के कार्यों के अलावा, एक चयनित एक्सेस प्वाइंट (WDS मास्टर) WDS डोमेन के सभी क्लाइंट (और एक्सेस पॉइंट) के लिए एक एकल प्राधिकरण केंद्र (अंतर्निहित या बाहरी RADI सर्वर का उपयोग करके) प्रदान कर सकता है। इस मामले में, डोमेन के भीतर ग्राहकों को घूमने से एक पूर्ण प्राधिकरण चक्र नहीं होता है (क्योंकि विज़ार्ड सभी नेटवर्क क्लाइंट के बारे में जानता है)। हालांकि, WDS तंत्र वाई-फाई एलायंस द्वारा प्रमाणित नहीं है, जो अक्सर विभिन्न आपूर्तिकर्ताओं से उपकरणों के आधार पर समाधान के कार्यान्वयन की असंगति की ओर जाता है। इसके अलावा, सभी एक्सेस पॉइंट अभी भी व्यक्तिगत रूप से कॉन्फ़िगर किए गए हैं।

वायरलेस नेटवर्क के विकास में अगला कदम वायरलेस नियंत्रकों का उदय है। यहां, रेडियो वातावरण (पैकेट ट्रांसमिशन और रिसेप्शन, एन्क्रिप्शन) के साथ काम एक "बेवकूफ" एक्सेस पॉइंट द्वारा किया जाता है, और बाकी सब (केंद्रीकृत प्रबंधन, प्राधिकरण, लैन को पैकेट ट्रांसमिशन) "स्मार्ट" नियंत्रक द्वारा किया जाता है। इस प्रकार, स्केलेबिलिटी, सुरक्षा, प्रबंधन, घूमने पर नियंत्रण और रेडियो पर्यावरण के कार्यों को सफलतापूर्वक हल किया जाता है। बड़ी संख्या में ग्राहकों के साथ और अतिरिक्त प्रबंधन उपकरणों (जैसे सिस्को डब्ल्यूसीएस या जुनिपर रिंगमास्टर) के उपयोग के साथ, आप सैकड़ों नियंत्रकों, हजारों एक्सेस बिंदुओं और एक साथ काम करने वाले हजारों ग्राहकों के भौगोलिक रूप से वितरित नेटवर्क का निर्माण कर सकते हैं।

सिस्को सिस्टम्स द्वारा निर्मित उपकरणों पर निर्मित एक इमारत या पड़ोसी इमारतों में स्थित एक विशिष्ट उद्यम नेटवर्क पर विचार करें। एक "लाइटवेट" एक्सेस पॉइंट नेटवर्क के किसी भी हिस्से में स्थापित किया जा सकता है, एक नियमित लैन एक्सेस पोर्ट से जुड़ा हुआ है और एक ही समय में कई वायरलेस नेटवर्क (डब्ल्यूएलएएन) के लिए अलग-अलग सुरक्षा नीतियों के साथ एक सेवा प्रदान करता है: मेहमानों के लिए, कर्मचारियों के लिए, तकनीकी उपकरणों के लिए। एक्सेस प्वाइंट कंट्रोलर के लिए एक सुरंग (LWAPP, CAPWAP) बनाता है, जिसमें यह प्रत्येक क्लाइंट से नेटवर्क पहचानकर्ता लेबल के साथ सूचना प्रसारित करता है)। नियंत्रक आमतौर पर सर्वर रूम में स्थापित होता है, ट्रंक पोर्ट के माध्यम से स्थानीय नेटवर्क से जुड़ा होता है। प्रत्येक WLAN नेटवर्क को एक अलग वर्चुअल नेटवर्क (VLAN) में समाप्त किया जाता है, जिसकी अपनी सुरक्षा नीतियां भी हो सकती हैं। इस अवधारणा में, भवन नेटवर्क में पहुंच बिंदु बिखरे हुए हैं, और सभी वायरलेस क्लाइंट के पास वायर्ड नेटवर्क में एक समाप्ति बिंदु है। इस बिंदु पर, फ़ायरवॉल, एप्लिकेशन सर्वर और एक इंटरनेट गेटवे स्थापित हैं। एक नियंत्रक के बिना, आपको सर्वर वीएलएएन के लिए सभी वीएलएएन को "खींचना" होगा, और सबसे खराब स्थिति में, पूरे नेटवर्क में "बिखराव" फायरवॉल होगा।

यदि वायरलेस उपयोगकर्ता पास के प्रिंटर पर एक दस्तावेज़ प्रिंट करना चाहता है, तो डेटा वास्तव में एक वर्चुअल एक्सेस पॉइंट-कंट्रोलर कनेक्शन के माध्यम से सर्वर रूम में जाता है, फिर लैन और एक अन्य वीएलएएन के माध्यम से प्रिंटर पर वापस जाता है। एक उच्च गति वाले वातावरण (गीगाबिट ईथरनेट) में यह कोई समस्या नहीं है। लेकिन क्या होगा अगर संचार चैनल संकीर्ण या भीड़भाड़ वाला हो? क्या होगा यदि WAN (MPLS, IPSEC) के माध्यम से एक दूरस्थ कार्यालय में वायरलेस संचार प्रदान करना आवश्यक है?

नियंत्रक और पहुंच बिंदु के बीच संचार चैनल की गुणवत्ता के लिए सख्त आवश्यकताएं हैं। सिस्को के लिए, यह स्वीकार्य देरी (गोल-यात्रा) के 100 मिलीसेकंड के क्रम का है, और 128 किलोबिट्स का एक बैंड है। जब नियंत्रक के साथ संचार खो जाता है, तो सामान्य (स्थानीय मोड) मोड में संचालित "लाइटवेट" एक्सेस प्वाइंट ग्राहकों की सर्विसिंग बंद कर देता है, रिबूट करता है, और फिर से नियंत्रक की खोज करना शुरू कर देता है।

बेशक, आप स्थानीय पैकेट स्विचिंग के साथ एक नियमित, स्टैंड-अलोन एक्सेस प्वाइंट स्थापित कर सकते हैं। इसी समय, रोमिंग के अवसर, केंद्रीकृत प्रबंधन और सुरक्षा खो जाते हैं। शाखा कार्यालय के कर्मचारी हर जगह एक ही वायरलेस नेटवर्क रखना चाहते हैं, बिना पुनर्संरचना के।
आप प्रत्येक शाखा में एक अलग छोटे वायरलेस नियंत्रक को खरीद और रख सकते हैं, लेकिन यह एक महंगा तरीका है।

सिस्को के वायरलेस समाधान के विकल्प के रूप में, पहुंच बिंदुओं के संचालन का एक "अर्ध-स्वायत्त" मोड प्रस्तावित किया गया था। सामान्य तौर पर, नियंत्रक से जुड़ा एक पहुंच बिंदु निम्न ऑपरेटिंग मोड में हो सकता है:

स्थानीय - पारंपरिक मोड (डिफ़ॉल्ट), जब बिंदु को नियंत्रक से "स्थानीय रूप से जुड़ा हुआ" माना जाता है, और इसके माध्यम से सभी ट्रैफ़िक गुजरता है
एच-आरएपीपी - "रिमोट", या अर्ध-स्वायत्त संचालन की विधि, जैसा कि नीचे चर्चा की गई है
मॉनिटर - बिंदु ग्राहकों की सेवा नहीं करता है, लेकिन रेडियो वातावरण को स्कैन करता है। क्लाइंट डिवाइस के निर्देशांक को अधिक सटीक रूप से निर्धारित करने के लिए आवश्यक है, जो कुछ मोबाइल कार्यों में महत्वपूर्ण है
दुष्ट डिटेक्टर - बिंदु ग्राहकों की सेवा नहीं करता है और रेडियो बंद कर देता है। इसके बजाय, ईथरनेट पोर्ट पर स्थानीय रूप से परिभाषित मैक पतों के बारे में नियंत्रक को बिंदु रिपोर्ट, जो आपको "हानिकारक" पहुंच बिंदुओं की खोज करने की अनुमति देता है जो आपके नेटवर्क में अवैध रूप से स्थापित हैं
स्निफर - बिंदु हवा पर पैकेट को "सुनता है" और उन्हें AiroPeek या Wireshark के साथ कंप्यूटर के लिए बाद के विश्लेषण के लिए प्रसारित करता है
ब्रिज - बिंदु MESH नेटवर्क के आयोजन के लिए एक वायरलेस ब्रिज मोड में काम करता है
एसई-कनेक्ट - बिंदु आपको स्पेक्ट्रम विश्लेषक मोड (कॉन्फ़िगर सिस्को स्पेक्ट्रम विशेषज्ञ सॉफ्टवेयर के साथ) में काम करने की अनुमति देता है, केवल संगत मॉडल 3500 और 3600)

H-REAP (हाइब्रिड रिमोट-एज एक्सेस प्वाइंट), उर्फ फ्लेक्सकनेक्ट , एक्सेस प्वाइंट को कंट्रोलर द्वारा नियंत्रित करने की अनुमति देता है, लेकिन अगर इसके साथ संचार खो जाता है , तो काम करना जारी रखें। वायरलेस नेटवर्क स्थानीय नेटवर्क से पहले (नियंत्रक के माध्यम से) या स्थानीय रूप से जुड़े हुए हैं। इसी तरह, प्राधिकरण किया जाता है। आइए देखें कि यह कैसे कॉन्फ़िगर किया गया है और यह कैसे काम करता है (उदाहरण के लिए WLC4402 नियंत्रक और LAP-1131 बिंदु का उपयोग करके)।
ऑपरेटिंग मोड को बदलने से एक्सेस बिंदु का एक रिबूट होता है, और नए मोड में नियंत्रक से इसका बाद का कनेक्शन होता है।

याद रखें कि एक व्यक्तिगत वायरलेस नेटवर्क (WLAN, SSID) स्थापित करते समय, आप निर्दिष्ट करें:

नेटवर्क का नाम
सुरक्षा सेटिंग्स (WPA / WPA2 PSK के लिए नेटवर्क कुंजी या WPA / WPA2 एंटरप्राइज़ के लिए 802.1x के लिए प्रमाणीकरण की आवश्यकता। दूसरे मामले में, आपको RADIUS सर्वर के साथ बातचीत करने के लिए नियंत्रक को कॉन्फ़िगर करना होगा।
नियंत्रक के स्थानीय गतिशील इंटरफ़ेस का नाम (तदनुसार, वीएलएएन नंबर), जिसके लिए नियंत्रक इस वायरलेस नेटवर्क के लिए पैकेट भेजता है

यदि पहुंच बिंदु एक दूरस्थ शाखा में स्थापित है और ग्राहकों को "कॉर्पोरेट WLAN" प्रदान करता है, तो ग्राहकों को केंद्रीय RADIUS सर्वर पर अधिकृत किया जाता है, और सभी ट्रैफ़िक को केंद्रीय कार्यालय नियंत्रक को भेजा जाता है। इस मोड को "केंद्रीय प्रमाणीकरण, केंद्रीय स्विचिंग" कहा जाता है और यह स्थानीय मोड में पहुंच बिंदुओं के लिए एकमात्र मान्य है।

वायरलेस नेटवर्क (WLAN, SSID) की सेटिंग में, आप अतिरिक्त मापदंडों को निर्दिष्ट कर सकते हैं जो इसकी सेवा पर एच-आरएपी मोड में हैं (वे स्थानीय मोड में संचालन को प्रभावित नहीं करते हैं) से प्रभाव पड़ता है।

पहला पैरामीटर (H-REAP लोकल स्विचिंग) पैकेट नेटवर्क को दिए गए नेटवर्क से LAN तक, सीधे एक्सेस प्वाइंट द्वारा, बिना कंट्रोलर को फॉरवर्ड किए, सक्षम करता है।
दूसरा पैरामीटर स्थानीय (एक्सेस बिंदु पर) ग्राहकों के प्राधिकरण (संग्रहीत PSK कुंजी के माध्यम से, स्थानीय उपयोगकर्ता डेटाबेस के माध्यम से, स्थानीय रूप से कॉन्फ़िगर RADIUS सर्वर के माध्यम से) की अनुमति देता है।
तीसरा पैरामीटर कनेक्ट किए गए क्लाइंट के आईपी पते (आमतौर पर नियंत्रक खुद ऐसा करता है) निर्धारित करने के लिए पहुंच बिंदु को मजबूर करता है।

H-REAP पहुंच बिंदु निम्नलिखित राज्यों में हो सकता है: जुड़ा हुआ (नियंत्रक उपलब्ध है) और स्टैंडअलोन (नियंत्रक उपलब्ध नहीं है)। प्रत्येक सेवारत वायरलेस नेटवर्क निम्नलिखित राज्यों में है:

केंद्रीय प्रमाणीकरण, केंद्रीय स्विचिंग - जुड़े राज्य में एक नियमित (स्थानीय) बिंदु के लिए समान मोड
केंद्रीय प्रमाणीकरण, स्थानीय स्विचिंग - केंद्रीय प्रमाणीकरण, स्थानीय रूप से यातायात स्विचिंग - केवल जुड़े राज्य में
स्थानीय प्रमाणीकरण, स्थानीय स्विचिंग - स्थानीय प्रमाणीकरण और स्थानीय यातायात स्विचिंग। यदि नियंत्रक जुड़ा हुआ है, तो यह एक्सेस प्वाइंट से प्राप्त होता है, जिससे जुड़े ग्राहकों के बारे में कुछ सीमित जानकारी मिलती है। यदि अनुपलब्ध (स्टैंडअलोन) है, तो नए क्लाइंट कनेक्ट और सेवा कर सकते हैं।
प्रमाणीकरण नीचे, स्विच डाउन करें - यदि इस नेटवर्क के लिए स्थानीय स्विचिंग बंद है और नियंत्रक अनुपलब्ध है, तो प्राधिकरण पारित नहीं होता है, पैकेट नहीं जाते हैं
प्रमाणीकरण नीचे, स्थानीय स्विचिंग - यदि नियंत्रक अनुपलब्ध है, तो स्थानीय स्विचिंग चालू है और नेटवर्क के लिए स्थानीय स्थिति बंद है, नए क्लाइंट कनेक्ट नहीं होते हैं, लेकिन पुराने काम करना जारी रखते हैं।

मुझे आशा है कि आपने देखा कि नियंत्रक पर वायरलेस नेटवर्क स्थापित करते समय, आपको यह निर्दिष्ट करना होगा कि कौन सा वायर्ड नेटवर्क (वीएलएएन) यातायात समाप्त हो गया है। डिफ़ॉल्ट रूप से, H-REAP पहुंच बिंदु स्विच एक्सेस पोर्ट (एक्सेस पोर्ट, नो टैग्स) से जुड़ा होता है। जब कई वायरलेस नेटवर्क काम करते हैं, तो उनके सभी ट्रैफ़िक को बिना टैग के, इस बिंदु द्वारा एक ही पोर्ट पर भेज दिया जाता है।

स्विच पोर्ट को कॉन्फ़िगर करने की अत्यधिक सलाह दी जाती है, जिसमें H-REAP पहुंच बिंदु ट्रंक पोर्ट ("वीएलएएन सपोर्ट" चेकबॉक्स की जांच करके) से जुड़ा हुआ है और स्थानीय रूप से स्विच किए गए डब्ल्यूएलएएन और स्विच के स्थानीय वीएल के बीच एक पत्राचार बनाता है। ध्यान दें: यह पत्राचार नियंत्रक पर लिखे गए से भिन्न हो सकता है। यह एक्सेस पॉइंट मापदंडों के अतिरिक्त टैब "H-REAP" में किया जाता है:

इस मामले में, आपको ट्रंक में अनुमत संख्या में स्विच पर संबंधित वीएलएएन नंबर दर्ज करने की आवश्यकता है।
यह उत्सुक है कि इस सेटिंग के साथ, एक्सेस प्वाइंट को नियंत्रक से कॉन्फ़िगरेशन फ़ाइल का एक विशेष टुकड़ा प्राप्त होता है (आप कभी नहीं जानते, क्योंकि नियंत्रक "गायब" भी हो सकता है), जिसे देखा जा सकता है:

 ap4.h # sh runn संक्षिप्त 
 ...
 !  नेटवर्क नंबर 4 को VLAN 406 में लपेटा गया है
 डॉट 11 वलान-नाम 004 वलान 406
 ...
 इंटरफ़ेस Dot11Radio0.4
  एनकैप्सुलेशन डॉट १ क्यू ४!  नंबर 4 का मतलब कुछ भी नहीं है
  कोई आईपी मार्ग-कैश नहीं
  पुल-समूह 255!  और पुल समूह संख्या का मतलब है
  पुल-समूह 255 ग्राहक-पाश-नियंत्रण
  पुल-समूह 255 ब्लॉक-अज्ञात-स्रोत
  कोई ब्रिज-ग्रुप 255 सोर्स-लर्निंग नहीं
  कोई पुल-समूह 255 यूनिकास्ट-बाढ़ नहीं
  पुल-समूह 255 फैले-अक्षम
 !
 इंटरफ़ेस Dot11Radio0.17
  एनकैप्सुलेशन डॉट 1 क्यू 17 देशी
  कोई आईपी मार्ग-कैश नहीं
  पुल-समूह १
  पुल-समूह 1 ग्राहक-पाश-नियंत्रण
  पुल-समूह 1 ब्लॉक-अज्ञात-स्रोत
  कोई पुल-समूह 1 स्रोत-शिक्षा नहीं
  कोई पुल-समूह 1 यूनिकास्ट-बाढ़ नहीं
  पुल-समूह 1 फैले-अक्षम
 !
 इंटरफ़ेस FastE ईथरनेट0.1
  एनकैप्सुलेशन डॉट 1 क्यू 1 देशी
  आईपी एड्रेस 10.20.1.223 255.255.252.0
  कोई आईपी मार्ग-कैश नहीं
  पुल-समूह 1!  यह पुल समूह देशी वलान में बिंदु के कनेक्शन को परिभाषित करता है
  कोई पुल-समूह 1 स्रोत-शिक्षा नहीं
  पुल-समूह 1 फैले-अक्षम
 !
 इंटरफ़ेस FastE ईथरनेट0.406
  एनकैप्सुलेशन डॉट १ क्यू ४०६
  कोई आईपी मार्ग-कैश नहीं
  पुल-समूह 255!  यह पुल समूह 406 कनेक्शन को परिभाषित करता है
  कोई ब्रिज-ग्रुप 255 सोर्स-लर्निंग नहीं
  पुल-समूह 255 फैले-अक्षम
 ...
 त्रिज्या-सर्वर स्थानीय
   कोई प्रमाणीकरण नहीं
   कोई प्रमाणीकरण छलांग नहीं
   कोई प्रमाणीकरण मैक नहीं
   nas 10.20.1.223 कुंजी 7 ……।
   समूह hreap 
   !
 !

अंत में, आपको स्थानीय उपयोगकर्ता प्राधिकरण से निपटने की आवश्यकता है। साझा कुंजियों के लिए, सब कुछ सरल है - PSK कुंजी को एक्सेस प्वाइंट तक पहुंचाया गया है, और इसे क्लाइंट्स को अधिकृत करने के लिए और कुछ की आवश्यकता नहीं है। 802.1x के मामले में, स्थानीय प्राधिकरण के लिए, आप या तो एक्सेस प्वाइंट (+ एक स्थानीय उपयोगकर्ता आधार) में निर्मित मिनी-RADIUS सर्वर का उपयोग कर सकते हैं, या बाह्य RADIUS सर्वर निर्दिष्ट कर सकते हैं (आवश्यक रूप से नेटवर्क के केंद्र में स्थापित नहीं)। उदाहरण के लिए, आप अपने FreeRadius, या अंतर्निहित Windows IAS / NPS सर्वर को स्थानीय रूप से शाखा में तैनात कर सकते हैं, उदाहरण के लिए, EAP / MS-CHAPv2 के माध्यम से प्राधिकरण और सक्रिय निर्देशिका की एक स्थानीय प्रतिलिपि के लिए।
ये फ़ंक्शन तथाकथित एच-आरएपी समूहों के माध्यम से कॉन्फ़िगर किए गए हैं:

आप समूह के लिए H-REAP नियंत्रक पर उपलब्ध एक्सेस पॉइंट्स को जोड़ते हैं, समूह के लिए RADIUS सर्वरों के सेट को सामान्य सेट करते हैं (इसके लिए RADIUS सर्वर के एक्सेस पॉइंट्स को अनुमति देना न भूलें), आप एक्सेस प्वाइंट के डेटाबेस पर स्थानीय प्राधिकरण को भी सक्षम कर सकते हैं। इस स्थिति में, आप अनुमत उपयोगकर्ताओं (उपयोगकर्ता नाम / पासवर्ड) और प्राधिकरण प्रोटोकॉल (ईएपी-फास्ट और एलएएपी समर्थित हैं) के सेट को सेट कर सकते हैं।

संक्षेप में: वायरलेस बिंदुओं के सिस्को एच-आरएपी मोड आपको स्थानीय नियंत्रक (बचत!) के बिना उन्हें कंपनी शाखाओं में स्थापित करने की अनुमति देता है। अंक सेटिंग्स, नियंत्रण और निगरानी प्राप्त करने के लिए केंद्रीय नियंत्रक का उपयोग करते हैं। स्थानीय वायरलेस कनेक्शन शांति से केंद्र और शाखा (WAN चैनल ड्रॉप) के बीच संचार के नुकसान का अनुभव करते हैं। आप शाखा के भीतर बिंदुओं के बीच घूमते हुए स्थानीय प्राधिकरण और स्थानीय पैकेट स्विचिंग का उपयोग कर सकते हैं। यदि आप एच-आरईएपी मोड को कॉन्फ़िगर करने के लिए होते हैं, तो मैं अत्यधिक अनुशंसा करता हूं कि आप निर्माता के दस्तावेज का सावधानीपूर्वक अध्ययन करें (जिसके लिए लेखक के पास कुछ भी नहीं है)।

सिस्को वायरलेस एक्सेस पॉइंट्स के लिए H-REAP / FlexConnect क्या है?

More articles: