Приветствую, друг!
Продолжим о рутинных задачах в интеграторе. На этот раз речь пойдет о злободневной, как оказалось, теме - “проекты” сетей ЛВС и Wi-Fi в школах.
К нам обратился клиент, с просьбой помочь доконфигурить Wi-Fi точки доступа. Специалист от подрядчика, по неизвестным причинам, решил уйти в отпуск за неделю до сдачи объекта.

Планирование

Прежде чем взяться за работу, необходимо посчитать трудозатраты, а для этого необходимо уточнить вводные данные и срочность работ:

  • 4-х этажная Школа;
  • основное сетевое оборудование смонтировано и подключено;
  • по доступам к оборудованию придется выяснять по месту;
  • 16 wifi точек доступа Dlink DAP 2680, питание по PoE;
  • планировалось “бесшовное” покрытие
  • подрядчик настроил 2 точки доступа и работа встала;
  • контроллера нет (выясним по месту);
  • документации на сеть нет (так себе знак для новой системы).

Формулируем основную задачу: Доконфигурировать wifi точки доступа и выяснить возможность реализации быстрого роуминга (802.11r).

Как прикидывать трудозатраты - отдельная тема, да я и сам не особо силен в этом. Формула была следующая: сумма за день работы (8ч.) основываясь на своем текущем окладе * коэффициент за срочность * количество дней и озвучил это начальству. За 3 дня работы договорились на ~45к. Много это или мало - не знаю. Буду рад услышать и ваши мнения.

Три дня я распланировал следующим образом:

1 день - Анализ ситуации, сбор данных и общие вопросы;
2 день - Основные работы по настройке и т.п.;
3 день - доп. день, в него войдет все, что не успею на 2-й + проверка работы точек доступа.

Реальность

По приезду на объект, я оказался будто в плохом кино. Забегая вперед (все это выяснялось по ходу работы), сразу покажу, что досталось от предыдущего подрядчика:

  • установленный контроллер CWM на хосте со СКУДом; !!!
  • неправильно скоммутированные точки доступа;
  • отсутствие банального списка оборудования с логической адресацией;
  • стандартные пароли на сетевом оборудовани;
  • все в 1 vlan;
  • 172.16.0.0/16 на все;
  • access между свичами;
  • отключенный STP;
  • естественно, никакой отказоустойчивости линков и оборудования.

Или просто посмотрите на строчки из проекта по СКС, сразу все станет понятно.

И так сойдет

Больно было все это видеть, но, когда заказчик платит только за то, чтобы покрасить дом краской (при этом, представьте покосившийся дом с гнилым брусом, хлипким фундаментом и развалившейся трубой), вместо капитального ремонта - мы просто делаем :). И лишняя ответственность за чужой проект нам ни к чему.

Все проблемы были представлены заинтересованным лицам (такие нашлись), чтобы хотябы быть в курсе, что все плохо и откуда начинать решать, когда грянет гром

Документацию так же разрабатывать не будем, она будет как побочный продукт работы.

Авгиевы конюшни

Информации никакой, поэтому пойдем от известного. Имеем, как минимум, рабочий ПК с сетью, где мы можем глянуть ipconfig /all
Оттуда узнаем:

  1. Подсеть
  2. Шлюз
  3. DHCP сервер

Узнали подсеть - 172.16.0.0/16. Причем DHCP сервером был 172.16.0.1 в виде Mikrotik-а :) А раздавал он подсеть 172.16.5.0/16.

Узнали диапазон, где, гипотетически, может что-то быть, теперь берем, например, Angry IP сканер (удобно т.к покажет в том числе и открытые порты). Почему не nmap? Ставится шустрее :)
Стучимся пингом на всю 172.16.5.0/24. Выясняем, что это и есть наша сеть-коммуналка. Тут и сетевое оборудовани и точки доступа, и пользовательские ПК, и, до кучи, клиенты Wi-Fi.

Собираем в табличку все сетевые железки, эта информация нам понадобится (да и заказчику будет не лишней). Заполняем следующие столбцы: IP адрес, название (оно же пойдет в hostname), модель и логин/пароль. Для точек доступа дополнительно понадобится MAC-адрес. (его у нас пока нет)

Пока идем по списку доступных IP, пробуем разобраться с доступами. Мне повезло, везде были стандартные пароли и не пришлось ничего сбрасывать/восстанавливать. Чего не сказать про Mikrotik, от него подрядчик наотрез отказался давать пароль (о чем было сообщено заказчику) сославшись на довольно забавную причину “там все настроено, вернусь из отпуска, разберемся”. Тут обстоятельства тоже в мою пользу - задача у нас только на Wi-Fi, поэтому обойдемся без микротика - примем за абстракцию, откуда нам летят IP-адреса.

Если пароли неизвестны, всегда пробуем стандратные, далее тормошим причастных где пароли/явки, вы тут работу пришли работать, а не сеть пентестить :)

Сразу погуляем по свичам, изучим конфиг (если таковой есть) получим еще несколько пазлов от общей картины:

  • VLAN-ы
  • LLDP соседи

Тут мы уже можем собрать физическую/логическую топологию, используя LLDP данные соседей.

На этом этапе у нас уже есть полная схема сети, от которой мы можем отталкиваться в поисках wi-fi точек по этажам. Но перед этим, нам нужно идентифицировать какой коммутатор на каком этаже расположен и выяснить MAC-адреса точек.

Если нет никаких данных, это придется делать ручками. Предварительно запрашиваем следующие данные:

  • где расположены серверные стойки и шкафы на этажах?;
  • проект СКС, в котором ищем планы и структурную схему разводки по патч-панелям (рекомендую распечатать и делать пометки по ходу дела);

Просим человека в помощь для страховки, стремянку в руки (желательно полегче, 4 этажа все же) и вперед.

У нас основная задача - wifi точки, поэтому начнем с них. Определяем расположение точек доступа на плане и методично обходим каждую, делая фотографию задней наклейки с MAC-адресом.

Запланируем условное название для точек доступа - APXX-Y, где X - порядковый номер, Y - этаж.

Помогает не потеряться, если сразу давать имя каждой фотографии, в пылу работы такая простая вещь может вылететь из головы.

Подписываем на плане каждую точку, не забывая добавить в ранее созданную таблицу.

От точек переходим к телеком. шкафам. Чтобы не делать двойную работу, сразу добавим в таблицу с точками доступа столбец “Патч-панель” и внесем туда значения из структурки - поможет в поиске линков точек доступа, которые скоммутированы неверно. В телеком. шкафах мы решаем две задачи:

  1. Идентифицируем коммутаторы по этажам;
  2. Идентифицируем порты точек и сразу коммутируем в PoE свичи или исправляем, если неверно.

Определить нужный коммутатор можно по серийному номеру, но для этого придется выкрутить его из ящика (серийник обычно снизу или сзади), поэтому сначала пробуем привязаться к уникальным параметрам, например к активным портам.

Для коммутаторов так же запланируем условное название, его мы сможем увидиеть в LLDP выводе - SWXX-Y, где X - порядковый номер, Y - этаж.

На этом этапе мы уже знаем сеть, где и какие коммутаторы расположены, все точки доступа получают питание по PoE и верно скоммутированы. Переходим, наконец, к этапу настройки.

Программный контроллер CWM

Что мы точно исправим, это уберем контроллер с хоста СКУДа…они всерьез считали, что: “нужно настроить и выключить, они (точки доступа) ж и без него (контроллера) будут работать. Нужно только подсеть перебить на СКУДе и потом обратно”

Объясняем товарищам важность наличия отдельной машины под контроллер (серверов у заказчика нет, виртуалок, соответственоо, тоже) поэтому используется обычный ПК в виде мини-бокса, висевший свободным на складе. Очищаем СКУД от лишнего функционала и приступаем к настройке.

Видел все это впервые, поэтому небольшая справка: У Dlink есть (был т.к более не поддерживается) программный контроллер CWM-100, который и будем использовать т.к ничего другого у заказчика не было (например железный контроллер DWC).

Нюансы CWM-100:

  • Новых версий не будет т.к он не поддерживается (последняя от 2018г.)
  • Версия прошивки DAP 2680 должа быть v1.00 т.к v2.00 не видит утилита по обнаружению точек (сам контроллер точки не ищет)
  • Функционала роуминга у точек и контроллера нет

Собираем файлики с сайта производителя и раскатываем контроллер. По user-мануалу это делается за 10 минут.

  • CWM v1.3 (последняя, с апрдейтами от 2018 года…)
  • Модуль для точек DAP 2680

Сильно подробно расписывать не буду, вряд ли вам предстоит с этим столкнуться в проде, но, всякое бывает, поэтому немного ключевых моментов по CWM:

  • после создания сайта, сети и настроек SSID,VLAN etc., необходимо экспортировать файл группы .dat и запустить утилиту обнаружения точек доступа. Ее инсталлер качается напрямую с контроллера;
  • Как пользоваться утилитой написано в User-мануале, если коротко, она сканит текущую подсеть хоста и позволяет передать точкам файл настройки группы, т.е рассказать, что есть некий контроллер по определенному ip;
  • Иногда DAP 2680 не получает IP-адрес по тем или иным причинам, программа сканит и в рамках L2, что позволяет увидеть дефолт IP точки - 192.168.0.50 и изменить его на статический, чтобы зайти и выставить DHCP, если совсем ни в какую не хочет получать адрес;
  • Если на точке прошивка версии v2.00, утилита точку не обнаружит. Необходимо пердварительно даунгрейдить точку до v1.00;

Лайфхак: точки v2.00 ищет утилита DNA (D-link Network Assistant)

  • После попадания точки на контроллер, необходимо разлить на нее конфиг. Делается это в неочевидном месте, в том же подменю Конфигурация, есть планировщик по разливке конфига (не будет проблем, если смотреть мануал), оттуда же можно запустить его разово или по расписанию.

Готово. Далее решаем проблемы с точками - неправильная коммутация, проблема с линком (переобжать, найти обрыв и т.п), проблемы с POE, получение DHCP адреса, нужные VLAN и т.п

Вопросы линка до точки смело адресуйте монтажникам, если линк порван, восстановить его - не ваша задача.

Выглядит это примерно так (скрин с сайта dlink):
CWM-100

Поправим по дороге транки между коммутаторами, STP конфигурацию, по умолчанию он на HP коммутаторах выключен. Дадим валидный пароль и отдельного пользователя (отличного от admin), настроим SSH.

Проверяем, что wifi раздается, ход в интернеты есть. О captive портале я тут не говорю…как выяснилось, его изначально не закладывалось, поэтому, допустим, что wifi там для учителей и сотрудников по WPA2Personal. Домена так же нет, поэтому RADIUS и WPAEnterprise так же отпадает.

Зацените подробное описание проекта по wifi: CWM-100

Красивое маркетинговое слово в документации “бесшовное покрытие”, отсутствие проекта на Wi-Fi и, как следствие, отсутствие понимания “для кого проектируем то?” Дает нам в трубу спущеные деньги на DAP 2680, которые даже в 802.11r то и не умеют.

Программный контроллер CWM так же не поддерживает работу с 802.11r. Что говорит о невозможности, в дальнейшем, докупить, например, железный контроллер, вместо программного .Более того, точки DAP работают только с программным контроллером. Для возможности роуминга, если рассматривать в рамках вендора D-link - необходимо было обратить внимание на железные контроллеры с поддержкой быстрого роуминга (802.11r/k/v): DWC-1000 или DWC-2000.

И использовать следующие модели точек доступа: DWL-6620APS, DWL-7620AP, DWL-8620AP, DWL-6720AP, DWL-8720AP, DWL-X8630AP.

Еще один вопрос: А пользователи кто? Если сеть необходима, в том числе, учащимся (имеется ввиду: школьники до 18 лет), то это должна быть открытая сеть, а открытая сеть подпадает под требование закона - Постановление Правительства РФ от 31.07.2014 № 758 о доступе к публичной сети + несовершеннолетние школьники накладывают сложность в виде дополнительного вороха требований об ограничении доступа к контенту.

Как вариант, заключать контракт с провайдером на предоставление подобного сервиса, в одном из проектов уже успел застать подобную реализацию публичной сети.

В сухом остатке, помочь - помогли, задача выполнена за 2.5 дня. Но я не представляю как эту систему будут использовать учителя/школьники и экспулатировать местные IT сотрудники. Грустно, что подобные “проекты” продолжают получать зеленый свет, бездарно просаживая бюджетные деньги (к слову, ты, читатель, туда свои налоги платишь, ага).

Хочешь обсудить тему?

С вопросами, комментариями и/или замечаниями, приходи в чат или подписывайся на канал.