Zyxel nwa3560 n настройка wifi
Для тех, кому лень читать:
1. Критичных проблем при настройке оборудования обнаружено не было.
2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)
3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
3.1. Небольшое кол-во оборудования
3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов
4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.
5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.
Содержание
Что тестируем?
Коммутатор Zyxel XGS1930-28HP
Общая информация
Комплектация
Поставляется коммутатор в стандартной картонной коробке.
Все запчасти собраны в отдельную коробку меньшего размера.
Комплектация выглядит следующим образом:
1 — коммутатор
2 — руководство пользователя
3 — “Safety Warnings”
4 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)
5 — гарантийный талон
6,7 — стоечные крепления (“уши”)
8 — комплект резиновых “ножек” для desktop-монтажа
9 — комплект болтиков для крепления “ушей” к коммутатору
10 — комплект болтов для монтажа коммутатора в 19” стойку
11 — кабель питания C13/Schuko
Заметки тестировщика:
Предоставленный образец — типичный современный L2+ PoE-коммутатор уровня доступа.
Подходит для подключения конечных устройств в корпоративных сетях (Small Business).
Несмотря на относительно высокую пропускную способность и наличие 10G-портов — не подходит для использования в условиях ЦОД в силу:
— относительно высокой задержки коммутации
— отсутствия резервного блока питания
L2+ функционал типичен для Smart / Small Business линеек других вендоров (статическая маршрутизация, L3-L4 ACL, DCHP Relay).
Нет поддержки DHCP Snooping.
Способы управления ограничены (что, в общем-то типично для smart-коммутаторов)
Нет:
— полноценного управления коммутатором через CLI
— возможности настройки через COM-порт
Точка доступа Zyxel NWA1123-ACv2
Общая информация
Комплектация
1 — точка доступа Zyxel NWA1123-ACv2
2 — внешний блок питания с вилкой UK Plug
3 — сменная вилка Schuko (EU Plug) для внешнего БП
4 — монтажное крепление
5 — 2 набора дюбелей
6 — 2 шурупа
7 — руководство пользователя
8 — гарантийный талон
10 — Safety Warnings
11 — EU Declaration of Conformity (информация о соответствии требованиям регуляторов ЕС)
Тестирование
Конфигурация тестового стенда
Эмулируем достаточно типичную сеть небольшого офиса (Small Business же).
Сегментация сети:
Распределение портов коммутатора:
Беспроводные сети:
Заметки тестировщика:
1. В качестве маршрутизатора тестового стенда используем MikroTik RB750UP.
Он используется для:
— терминирования VLAN’ов и маршрутизации трафика между ними
— терминирования аплинка
— статической маршрутизации интернет-трафика и SNAT на внешнем интерфейсе
Т.к. производительность маршрутизации в рамках этого теста не критично — 100М-портов на маршрутизаторе будет достаточно.
2. В сегменте vlan.MGMT используем DHCP (рекомендация Zyxel относительно оптимальной первичной настройки)
3. Ограничения доступа между сегментами внутренней сети реализуем с помощью ACL коммутатора (ради того, чтобы ознакомиться с процессом настройки ACL).
Стенд в собранном виде:
Настройка в автономном режиме
Коммутатор
1. Качаем мануал, читаем.
2. Ловим коммутатор и точку в DHCP
3. Заходим на веб-интерфейс коммутатора по IP-адресу.
4. Выбираем режим автономной конфигурации, авторизуемся под учетной записью по-умолчанию (admin/1234)
5. Пытаемся настроить VLAN’ы и порты с помощью Wizard’a
Заметки тестировщика:
1.Возможности Wizard’a сильно ограничены, лучше сразу применять настройки по-умолчанию и переходить в полноценный веб-интерфейс.
— настроить можно не более 5 VLAN’ов за раз
— транковый порт при можно привязать только ко всему набору VLAN’ов (но не подмножеству).
— нельзя сменить MGMT VLAN.
— нет поддержки hybrid режима работы портов.
Порт может или нетегированным (access) или пропускать трафик всех тегированных VLAN’ов (trunk)
2. Возможности настройки через CLI, по факту, нет (что, в общем, нормально для этого класса коммутаторов):
6. Cоздаем MGMT VIF через веб-интерфейс (“Basic setting” > “IP Setup” > “IP Configuration”)
7.Добавляем ограничения доступа для гостевой сети.
Процесс не совсем интуитивен, но достаточно прост.
— создать: L2-L4 правила классификации (“Classifier”)
— создать политики доступа, основанные на правилах классификации трафика (“Policy rule”)
7.1. Знакомимся с классификатором. Переходим в “Advanced Application” > “Classifier” > “Classifier configuration”
Создаем несколько правил классификации для гостевой сети:
7.2. Переходим в “Advanced Application” > “Policy Rule” и создаем несколько политик на основе правил классификации.
7.3. Проверяем работу ACL:
Точка доступа
1. Качаем мануал, читаем
2. Заходим на веб-интерфейс точки доступа
3. Авторизуемся с учетными данными по-умолчанию (admin/1234)
4. Меняем пароль (обязательный шаг, без этого дальше пройти не получится)
5. Создаем SSID. Настройки спрятаны довольно глубоко.
5.1. Добавляем профили безопасности для гостевой и корпоративной сетей
“Configuration” > “Object” > “AP Profile” > “SSID” > “Security list”
5.2.Добавляем гостевой и корпоративный SSID
“Configuration” >“Object” > “AP Profile” > “SSID” > “SSID list”
6. Переходим в “AP Management” и выбираем, какой SSID каком диапазоне будет вещать.
Предположим, гостевой SSID должен вещать в 2.4+5 ГГц, а корпоративный — только в 5Ггц.
7. Опционально — изменяем настройки радио-интерфейсов и каналов вещания.
Для нашего кейса:
— изменяем VID Management-VLAN’a
— изменяем IP-адрес
— изменяем режим теггирования
После этого менеджмент-сессия с точкой доступа прервется (из-за потери L2-связности).
8. Изменяем режим работы порта точки доступа на коммутаторе (trunk вместо access)
9. Проверяем доступность точки доступа по менеджмент-интерфейсу и работу обоих SSID
Сброс настроек
На точке доступа:
На коммутаторе:
Настройка с использованием Nebula Control Center
Несколько слов о сервисе
Nebula Control Center (NCC) — SaaS-решение для мониторинга и управления сетевым оборудованием Zyxel.
— коммутаторы
— точки доступа
— шлюзы безопасности
Детально функционал описывается здесь.
Лицензирование NCC
Есть 3 вида лицензий:
1. бесплатная, ограниченная по функционалу
2. платная c ежегодным продлением
3. платная пожизненная
Лицензируется только кол-во устройств, разницы по функционалу между платными лицензиями нет.
Относительно бесплатной версии:
1. кол-во управляемых устройств не ограничено
2. ограничения функционала касаются:
— безопасности (авторизация на портах 802.1X, возможности аудита действий и т.п)
— массового управления конфигурациями
— мониторинга (возможность настройки триггеров, сокращенные сроки хранения исторических данных)
Вывод:
Бесплатная лицензия NCC пригодна к использованию в prod при:
— небольшом кол-ве оборудования (т.е. в случае, когда функционал массового управления конфигурациями не востребован)
— отсутствии требований к длительному хранению исторических данных мониторинга и логов
Коммутатор
QR-код можно найти в веб-интерфейсе («Basic» > «Cloud Management» > «Nebula Switch Registration») или на коробке устройства.
Сканировать QR-код нужно с помощью приложения Nebula Mobile (Apple App Store, Google Play)
Для любопытных: была выполнена попытка повторной регистрации устройства под другой учетной записью.
Не прокатило ;)
После регистрации в NCC:
— настройки коммутатора сбрасываются на заводские
— в коммутатор из облака заливаются актуальные прошивка и конфиг.
— блокируется локальная аутентификация
— коммутатор появляется в веб-интерфейсе NCC
Выглядит это следующим образом:
Информация по порту:
Процесс настройки
Вернемся к исходной задаче и настройке коммутатора
1.Настраиваем VLAN’ы и порты.
Порт точки доступа:
Заметка тестировщика: при настройке через NCC почему-то поддерживаются только hybrid и access режимы работы портов (но не trunk).
Настроить порт без указания native VLAN / PVID нельзя.
Как вариант — можно в качестве PVID указать неиспользуемый в prod VLAN.
2. Меняем MGMT-VLAN (“Switch” > “Switch Configuration” > “VLAN Configuration”)
3. Настраиваем ACL для гостевой сети.
Делается это через “Switch” > “Switch Configuration” > “IP Filtering”.
Редактор правил выглядит следующим образом:
Заметка тестировщика: для сравнения, еще раз приведу скриншоты локального редактора ACL.
Облачный явно проигрывает по кол-ву опций.
Точка доступа
Согласно документации, для новой точки доступа процесс должен проходить по следующей схеме:
1. Авторизация веб-интерфейсе точки доступа
2. Смена пароля по-умолчанию
3. Сканирование QR-кода с помощью мобильного приложения.
QR-код появляется в PopUp после авторизации.
Заметка тестировщика:
Если QR-код не отображается — наиболее вероятной причиной является устаревшая прошивка (как и произошло в моем случае).
Обновляется она следующим образом:
— качаем прошивку с соответствующего раздела сайта производителя
— распаковываем архив с прошивкой
— переходим в “Maintenance” > “File Manager” > “Firmware Package”
— заливаем *.BIN файл с прошивкой
— ждем 3-5 мин. Идет процесс перепрошивки.
— Прогрессбар “Uploading firmware” во время перепрошивки будет заполняться бесконечно, это нормально.
— Признак того, что процесс идет — быстрое мигание красным LED-индикатора на точке.
— Признак того, что процесс окончен и точка нормально работает — медленное мигание LED-индикатора зеленым.
— В веб-интерфейсе при этом ничего не отображается, прогресс-бар продолжит заполняться.
По окончанию перепрошивки обновляем страницу.
Нас встречает окно авторизации и очередной Wizard.
Нажимаем “Cancel” и видим обновленный интерфейс и QR-код:
Сканируем QR-код в Nebula Mobile, ждем 5-10 минут.
— настройки точки сбрасываются на заводские
— из облака заливается актуальная прошивка и конфиг.
Заметка тестировщика: интересный момент — в отличие от коммутатора, локальная авторизация на точке не блокируется.
После автонастройки точки можно зайти на веб-интерфейс и увидеть статус подключения к облаку:
Дешборд для точек доступа:
Профиль точки доступа:
Возможностей фильтрации логов меньше, чем для коммутаторов.
Процесс настройки
1. Переходим в профиль точки доступа, меняем MGMT VLAN.
2. Переходим в “AP” > “Configure” > “SSIDs”, создаем гостевой и корпоративный SSID:
Не забываем включить второй SSID.
3. Переходим в “AP” > “Configure” > “Authentication”.
Создаем профиль безопасности для корпоративного и гостевого SSID.
3. Настраиваем радиочасть:
4. Подключаемся к обеим сетям, проверяем работу.
Мнение тестировщика
1. Критичных проблем при настройке оборудования обнаружено не было.
2. Использование Zyxel NCC значительно упрощает и ускоряет процесс настройки оборудования (по сравнению с автономной настройкой)
3. Бесплатная лицензия NCC пригодна к использованию в prod в следующих случаях:
3.1. Небольшое кол-во оборудования
3.2. Отсутствие требований к длительному хранению исторических данных мониторинга и логов
4. Функционал NCC достаточен для настройки оборудования под типичные кейсы SOHO.
5. По состоянию “на сейчас” — NCC не вполне подходит для кейсов, в которых требуется тонкая настройка ACL напрямую на коммутаторе — “автономный” редактор правил проработан лучше.
Читайте также: