TP-Link Omada Cloud OC200 - WiFi pod kontrolą

Punkt dostępowy WiFi w firmie to żadna nowość. Bezprzewodowy dostęp do zasobów sieci firmowej czy internetu w nowoczesnej firmie jest bardzo często głównym medium komunikacyjnym. Jeden punkt dostępowy spotkamy częściej w niewielkim biurze. Rozległe instalacje sieci bezprzewodowych wymagają zupełnie innego podejścia. To zadanie dla kontrolerów WLAN, np. TP-Link Omada Cloud OC200.

Czym właściwie jest kontroler WLAN lub kontroler WiFi? To rozwiązanie, którego głównym zadaniem jest integracja z istniejącymi punktami dostępowymi WiFi. Współpraca ma na celu łatwe zarządzanie, monitorowanie i konfigurowania punktów dostępowych, ale także administrowanie istniejącymi urządzeniami.

Z kolei kontroler może być zarówno urządzeniem fizycznym, jak i instancją programową, wirtualną oraz niekoniecznie musi być zlokalizowany w obrębie sieci LAN, w której znajdują się punkty dostępowe. Warto wspomnieć jeszcze o dwóch typach kontrolera – w chmurze (jako usługa) i punkt dostępowy jako kontroler (jeden z punktów WiFi pełni rolę kontrolera dla reszty urządzeń).

Po co stosować kontrolery? Przede wszystkim jak sama nazwa wskazuje — zapewniają nam kontrolę nad punktami WiFi. Zarządzanie dwoma, a nawet trzema punktami jako autonomicznymi rozwiązaniami nie jest trudne. Jeśli w grę wchodzi kilka, kilkadziesiąt, a nawet kilkaset urządzeń ich odpowiednia konfiguracja i dostosowanie do potrzeb firmy może być już trudne i żmudne, a jednocześnie nie do końca bezpieczne.

Wyposażenie sieci LAN w kontroler niesie za sobą wiele udogodnień, warto wymienić, chociażby:

• ułatwienie zarządzania urządzeniami oraz siecią WiFi
• uproszczenie mechanizmów rozbudowy sieci WiFi do minimum
• kontrola punktów dostępowych (ustawienia, konfiguracja, aktualizacja)
• kontrola podłączonych klientów (autoryzacja, zabezpieczenia, szyfrowanie, równomiernie obciążenie punktów dostępowych)
• optymalizacja transmisji danych, ustawień sieci WiFi (np. kanałów, siły sygnału, roaming)
• kontrola nad przepływem ruchu sieciowego klientów
• centralny system aktualizacji punktów dostępowych
• podniesienie poziomu bezpieczeństwa w porównaniu z punktami dostępowymi zarządzanymi indywidualnie.

A co z wadami? Nie do końca jest to wadą. Infrastruktura WiFi oparta o punkty dostępowe i kontroler to zazwyczaj rozwiązanie jednego producenta. Kupując kontroler powinniśmy zweryfikować ofertę punktów dostępowych kompatybilnych z kontrolerem. Może się na przykład okazać, że mamy do wyboru kontroler i punkty WiFi pracujące wewnątrz budynków a brak jest w ofercie urządzeń do zastosowania na zewnątrz lub też punkty dostępowe obsługują jedynie standard IEEE 802.11bgn.

Co w zakresie rozbudowanych sieci bezprzewodowych oraz kontrolerów WiFi oferuje TP-Link? Użytkownicy śledzący portfolio produktowe producenta doskonale wiedzą, że TP-Link od lat posiada w swojej ofercie rozwiązania do budowy dużych sieci WiFi. System Auranet wraz z dwoma rozwiązaniami kontrolerów AC50 oraz AC500 obsługuje do 500 urządzeń punktów dostępowych CAP300, CAP1200 i CAP1750 oraz CAP300-Outdoor. Kilka lat temu producent zaprezentował także rozwiązania programowe w postaci EAP Controller oraz poszerzył portfolio punktów dostępowych m.in. o EAP120 czy EAP220.

Jednak EAP Controller to nie wszystko. TP-Link postanowił ujednolicać system sieci WiFi i tak narodził się TP-Link Omada OC200 – sprzętowy kontroler WiFi dla rodziny punktów dostępowych EAP. W dalszym ciągu mamy do dyspozycji EAP Controller (Omada Controller) – o którym słowo za chwilę.

Kontroler OC200 to niewielkie (100x98x25 mm) pudełko o metalowej konstrukcji utrzymane w kolorystyce przełączników TP-Link. W odróżnieniu od AC500 nie mamy opcji zamontowania urządzenia do szyn w szafie rack. Pozostaje położenie go gdzieś w jej wnętrzu, podobnie jak kontroler AC50. Opcjonalnie można powiesić go na ścianie – służą do tego specjalne otwory montażowe w spodniej części OC200.

Frontowy panel zawiera 2 złącza Ethernet o szybkości 10/100 Mb/s, port USB 2.0, przycisk reset oraz wskaźniki kontrolne statusu pracy i połączenia z chmurą.  Szybkość połączeń 10/100 może zaskakiwać. Jest jednak wystarczająca do prawidłowej komunikacji kontrolera z punktami dostępowymi, z kolei ruch sieciowy z punktów nie przechodzi przez kontroler. Dodatkowo jeden z portów został wyposażony w PoE, dzięki temu możemy podłączyć kontroler do przełącznika wspierającego standard 802.3at lub 802.3af i zasilać urządzenie bezpośrednio ze switcha.

Jeśli nie posiadamy przełącznika PoE lub PoE+ nie ma problemu – z tyłu OC200 znajdziemy port microUSB do podłączenia zasilania 5V i prądzie minimum 1A. Niestety w zestawie brak jest takiego zasilacza. Jednak ładowarka od smartfona świetnie w tym przypadku zdaje egzamin.

We wnętrzu OC200 znajdziemy dość nieskomplikowany system elementów obliczeniowych: SoC Marvell Armada 88F3720, dwurdzeniowy CPU ARMv8 o taktowaniu 1 GHZ oraz układ Atheros AR8236 obsługujący przełącznik Ethernet, a także około 3 GB pamięci na dane. Dodatkowo wykorzystując port USB, możemy podłączyć do niego nośnik danych. Jego prawidłowe wykrycie wiąże się z koniecznością podłączenia kontrolera poprzez port PoE.

Według producenta rozwiązanie OC200 idealnie sprawdzi się w przypadku wykorzystania do 50 punktów dostępowych. Producent pracuje nad rozwiązaniem pozwalajacym na obsługę do 500 punktów dostępowych w sieci lokalnej. Przy większej liczbie urządzeń warto zastanowić się nad kontrolerem programowym – czyli instalacją na komputerze z systemem Windows lub Linux. Rozwiązanie Omada w porównaniu z niektórymi produktami konkurencji nie jest objęte systemem licencjonowania. Niezależnie od liczby punktów dostępowych ponosimy jedynie wydatki związane z zakupem urządzeń, co znacznie obniża koszty wdrożenia i późniejszej rozbudowy infrastruktury bezprzewodowej.

Sprawdźmy jakie możliwości kryje w sobie kontroler Omada OC200.

Wróćmy jednak do OC200. Po podłączeniu kontrolera do infrastruktury sieci LAN powinniśmy go wstępnie skonfigurować. Ułatwieniem w przypadku Omada jest uzyskiwanie adres IP z serwera DHCP. W przypadku braku serwera DHCP lub problemach z pobraniem adresu kontroler jest dostępny pod domyślnym adresem: 192.168.0.253.

Przykładowa najprostsza infrastruktura sieci LAN wraz z kontrolerem i punktami dostępowymi może wyglądać następująco.

Po uruchomieniu menu konfiguracyjnego kontrolera możemy przystąpić do jego konfiguracji poprzez przeglądarkę WWW lub co ciekawsze przez mobilną aplikację Omada. W tym drugim przypadku do konfiguracji nie jest potrzebny nawet adres IP kontrolera. Wystarczy zeskanować kod QR znajdujący się na spodniej części OC200.

My jednak skorzystamy z wersji webowej i po przejściu kilkuetapowego kreatora konfiguracji, w którym podajemy podstawowe parametry takie jak nazwę i hasło administratora, wstępną sieć WiFi czy ustawienia czasu możemy cieszyć się gotowym do pracy kontrolerem. Pozostaje do ustawienia jeszcze jeden element , którym jest chmura Cloud Access pozwalająca na zdalny dostęp do naszego kontrolera a tym samym stworzonej przez niego sieci.

Po zalogowaniu do panelu w pierwszej kolejności mamy podgląd na „dashboard” ze statystykami sieci. Oczywiście na początku jest tu trochę pusto. Jednak za chwilę skonfigurujemy punkty dostępowe, sieci oraz grupy WLAN by panel nieco ożył.

Kliknij na powyższą grafikę, aby powiększyć

Teraz podłączmy do sieci LAN punkty dostępowe obsługiwane przez OC200. A jakie modele współpracują z Omada? Okazuje się, że wybór jest duży, a producent nie zamknął się tylko na najnowsze modele, ale mamy możliwość podłączenia starszych rozwiązań znanych z rodziny EAP Controller. Możemy wybierać wśród:

• punktów dostępowych montowanych na ścianie lub suficie: EAP110, EAP115, EAP225, EAP245, EAP320,
• punktów dostępowych montowanych na zewnątrz: EAP110-Outdoor, EAP225-Outdoor,
• punktów montowanych w ścianie lub na ścianie: EAP115-Wall, EAP-225-Wall,
• produktów dostępnych w ramach EAP Controller, np. EAP120 czy EAP220.

Po podłączeniu punktów do infrastruktury sieci LAN kontroler OC200 automatycznie wykryje kompatybilne urządzenia i wyświetli je w zakładce Access Points ze statusem Pending. Dodatkowo w Dashboard na górnej belce znajdziemy informacje o punktach dostępowych będących gotowych do adopcji czy też podłączonych do sieci LAN.

A co jeśli kontroler jest w innym VLAN-ie lub całkowicie innej sieci? TP-Link i z takim scenariuszem sobie poradzi. Wystarczy zainstalować narzędzie EAP Discover Utility. W kolejnym kroku łączymy się do sieci, w której znajdują się punkty dostępowe oczekujące na adopcję.

Teraz wystarczy tylko wpisać odpowiednie informacje dotyczące adresu kontrolera i uprawnień do punktu dostępowego i zatwierdzić zmiany.

W naszym przypadku kontroler jest w podsieci 172.16.5.0/24 z kolei dwa punkty dostępowe znajdują się w innym VLAN-ie w podsieci 172.16.7.0/24. Pozostaje zatem określenie danych kontrolera i zatwierdzenie zmian. Punkty dostępowe oczekujące na podłączenie do kontrolera możemy przyłączać pojedynczo lub wsadowo (zaznaczając interesujące nas urządzenia). Po zatwierdzeniu zmian narzędzie kontaktuje się z kontrolerem, a punkt dostępowy po chwili pojawia się w interfejsie OC200 gotowy do adopcji. Po adopcji możemy przystąpić do konfiguracji infrastruktury.

Dodatkowo po podłączeniu punktów dostępowych możemy w pierwszej kolejności dokonać aktualizacji podłączonych i zaadoptowanych punktów dostępowych.

Mamy zatem podłączone, zaadoptowane i zaktualizowane punkty dostępowe. A gdzie jest sieć WiFi? Otóż droga do skonfigurowania sieci WiFi wymaga pewnego zrozumienia filozofii kontrolerów, która niezależenie od producenta jest bardzo podobna.

TP-Link rozwiązał system elastycznie i konfiguracja systemu odbywa się w logiczny sposób. Głównym elementem infrastruktury będą tzw. sites (lokalizacje) – czyli odrębne instancje, które mogą oznaczać np. lokalizacje danego biura czy wyodrębniony obszar, jeśli chodzi o konfigurację sieci. W ramach kontrolera możemy tworzyć wiele site-ów.

W konfiguracji site-ów nie znajdziemy wiele ustawień. Są to raczej struktury logiczne porządkujące konfigurację punktów dostępowych na kontrolerze. Wśród ustawień znalazły się:

• możliwość wyłączenia diod LED,
• zmiana danych uwierzytelniania,
• harmonogram restartów kontrolera,
• możliwość przesyłania danych logów na mail,
• możliwość globalnej aktualizacji punktów dostępowych,
• aktywacja dostępu poprzez SSH do kontrolera,
• określenie VLAN-u zarządzającego.

Dopiero w obrębie site-u tworzymy tzw. WLAN Group (grupy WLAN), które będą zawierać określone ustawienia dla sieci, tzn:

• wybór częstotliwości,
• nazwę sieci i jej rozgłaszanie,
• przynależność do określonego VLAN,
• typ zabezpieczeń wraz z metodami szyfrowania (rozwiązanie wspiera zarówno sieci otwarte, jak i WEP, WPA/WPA2 Personal i Enterprise),
• izolację klientów w ramach grupy, kontrolę dostępu do podsieci oraz kontrolę przepustowości,
• funkcjonowanie grupy WLAN w ramach określonej częstotliwości – czyli 2,4 lub 5 GHz.

W przypadku konfiguracji grupy WLAN należy pamiętać, że standardowo ustawienia są przypisywane do domyślnej grupy. Dlatego przed ich edycją należy przełączyć się na odpowiednią WLAN grupę i dokonać ustawień – wykonuje się je osobno dla pasma 2,4, jak i 5 GHz.

W ramach konfiguracji sieci bezprzewodowych mamy do dyspozycji m.in.:

• Seamless roaming – funkcjonalność oparta o protokół 802.11k oraz 802.11v pozwalająca na szybkie przełączanie się klientów pomiędzy punktaim dostępowymi,
• Beacon interval – przedział czasowy pomiędzy sygnałami identyfikacji,
• Próg fragmentacji, częstotliwość pakietów DTIM, Airtime Fairness,
• Możemy także włączyć Band Steering – pozwala na dynamiczne rozłożenie obciążenia klientów dla danego punktu dostępowego. Jeśli klient obsługuje standard 802.11ac, to kontroler będzie starał się przełączyć na częstotliwość 5 GHz. Dopiero po wystąpieniu określonych warunków sieciowych może zostać przełączony na częstotliwość 2,4 GHz,
• Mesh – kontroler potrafi także obsługiwać sieć typu mesh. Rozwiązanie umożliwiające zbudowanie sieci WiFi opartej o połączenia bezprzewodowe. W przypadku OC200 oraz dostępowych punktów WiFi sieć mesh możliwa jest do stworzenia z wykorzystaniem access pointów EAP225-Outdoor. Więcej na temat technologii mesh i kontrolera można przeczytać w FAQ producenta.

Omówmy teraz kilka funkcji zarządzania punktami dostępowymi. Na początek Access Control – czyli kontrola dostępu urządzeń klienckich do określonych podsieci LAN. Możemy w taki sposób skonfigurować sieć aby określony SSID a co za tym idzie podłączeni do niego klienci nie mieli dostępu do określonych podsieci LAN.

Bardzo rozbudowany mechanizm kontroli dostępu stanowi sekcja Portal. Możemy w niej skonfigurować sposób dostępu do sieci WiFi np. dla gości. Tworząc portal definiujemy jego nazwę, przypisujemy określone sieci SSID a następnie określamy sposób autoryzacji. A do dyspozycji jest wiele mechanizmów:

• brak autoryzacji,
• hasło,
• lokalny użytkownik,
• Voucher,
• SMS,
• Facebook,
• zewnętrzny serwer RADIUS,
• zewnętrzny portal,

Dwoma ciekawymi rozwiązaniami są opcje logowania z użyciem Facebooka oraz Voucherów. To idealne rozwiązanie dla sieci hotelowej lub gościnnej, np. w biurze czy restauracji. W przypadku Facebooka konieczne będzie utworzenie strony, która będzie swego rodzaju przekierowaniem do uwierzytelniania i logowania za pomocą Facebooka. Po uwierzytelnieniu do sieci (o ile będziemy stosować ten mechanizm), zanim otrzymamy dostęp do internetu lub zasobów LAN autoryzujemy się za pomocą konta Facebooka.

W przypadku Voucherów możemy w prosty sposób kontrolować dostęp do internetu dla jego użytkowników. Służy do tego celu Voucher Manager. W nim ustalamy czy voucher będzie wielokrotnego, czy jednokrotnego użytku, jak długo może trwać sesja, czy są limity pobierania i wysyłania danych oraz, czy ustalamy limit paczki megabajtów do pobrania.

Po wykreowaniu voucherów możemy je wydrukować i rozdać dla użytkownikom, klientom lub gościom.

W menadżerze voucherów możemy kontrolować liczbę podłączonych klientów czy tworzyć operatorów menadżera voucherów, którzy na bieżąco mogą administrować portalem.

W przypadku wykorzystania tradycyjnego systemu portalowego, uwierzytelniania SMS czy voucherów TP-Link pozwala na stworzenie strony powitalnej, która umożliwia wpisanie kodów do autoryzacji. Ciekawostką jest możliwość nie tylko edycji grafiki strony powitalnej, ale także konfigurowania grafik, który będzie np. informacją reklamową.

Kolejna funkcja związana z zawężaniem uprawnień dostępu pozwala na zdefiniowanie reguł umożliwiających na podłączenie określonych urządzeń klienckich bez autoryzacji. Służy do tego zakładka Free Authentication Policy. Dla przykładu możemy skonfigurować sieć WiFi bez zabezpieczeń, ale ograniczyć dostęp do określonych adresów URL – np. do strony firmowej lub strony informacyjnej , która wyjaśni zasady dostępu do sieci WiFi.

Na podobnej zasadzie działa filtrowanie adresów MAC. Możemy blokować określonych klientów sieci WiFi – np. użytkowników, którzy zużywają dużo danych. Filtrowanie może być skonfigurowane nie dla wszystkich sieci, ale dla określonych SSID. Na koniec konfigurację sieci WiFi, a także rozgłaszanie określonych SSID możemy oprzeć o harmonogramy. Co ciekawe harmonogram może dotyczyć nie tylko określonego SSID (w ramach wielu punktów dostępowych), ale także w ramach określonego punktu dostępowego.

Mając zdefiniowane polityki zabezpieczeń, kontroli ruchu, uwierzytelniania warto jeszcze zerknąć w zakładkę QoS. Usługa umożliwia priorytetowanie określonego typu ruchu sieciowego. Definiowanie QoS odbywa się osobno dla pasma 2,4 i 5 GHz.

Skonfigurowaliśmy zatem lokalizacje i grupy WLAN. A co z punktami dostępowymi? Tu kolejne elastyczne podejście TP-Link do tematu. Każdy z punktów dostępowych podłączonych do kontrolera możemy dowolnie przenosić pomiędzy lokalizacjami i przypisywać do dowolnych grup WLAN. W tym celu w podglądzie punktów WiFi wybieramy ikonę Move to site, następnie wskazujemy naszą lokalizację. Po chwili punkt dostępowy zostanie przeniesiony do określonego site-u.

Na tym jeszcze nie koniec konfiguracji punktów dostępowych. W praktyce nie mamy skonfigurowanych adresów IP, dystrybucji określonych SSID czy podglądu podłączonych klientów. Pora zatem przejść do określonej lokalizacji, kliknąć określony punkt dostępowy.

W sekcji Configuration kontroler pozwala na ustawienie:

• nazwy punktu dostępowego,
• adresacji IP oraz tzw. Fallback IP (w przypadku problemów z komunikacją z infrastrukturą LAN punkt dostępowy może zastosować odrębną adresację IP),
• układów radiowych w zakresie: obsługi trybów, szerokości kanału, numeru kanału i mocy nadawania,
• określenie maksymalnej; liczby klientów podłączonych do access pointa możemy ustawić w zakładce Load Balance,
• Rogue AP Detection – wykrywanie podejrzanych punktów dostępowych w okolicy działania infrastruktury TP-Link,
• WLANS – to chyba najważniejszy element ustawień punktów dostępowych. To właśnie w tym miejscu przypisujemy dany punkt dostępowy do grupy WLAN w zakresie pasma 2,4 GHz i 5 GHz.

Jeśli w danej WLAN grupie określimy więcej niż jeden SSID z różnymi zabezpieczeniami, to przypisując ją do danego punktu dostępowego będziemy dystrybuowali obydwie sieci SSID. To wygodne rozwiązanie umożliwi np. dystrybucję określonych SSID na wybranych przez nas punktach dostępowych. Zaletą tego typu konfiguracji jest możliwość elastycznego przydzielania określonych grup WLAN do określonych częstotliwości.

Jak może wyglądać taka konfiguracja? Rzućmy okiem na poniższą grafikę. Każdy z punktów WiFi skonfigurowany został z uwzględnieniem innych grup WLAN. Zatem każdy punkt może dystrybuować zupełnie inne SSID i posiadać zupełnie inne zabezpieczenia i metody autoryzacji.

Kliknij powyższą grafikę, aby powiększyć

Na koniec wróćmy do głównego dashboardu kontrolera. Wspomnieliśmy na początku, że podczas pierwszej konfiguracji nic ciekawego nie znajdziemy w tym miejscu. Dopiero podłączenie punktów dostępowych, konfiguracja grup i przyłączenie użytkowników ożywia nieco planszę statystyk. W Statystykach znajdziemy zatem szybki przegląd infrastruktury kontrolera wraz z podziałem na podsieci, ruchu sieciowym na poszczególnych punktach dostępowych, aktywności klientów czy ruchu sieciowego zaprezentowanego na wykresach.

Kliknij powyższą grafikę, aby powiększyć

Sekcja Clients powie nam nieco więcej o danym urządzeniach klienckich podłączonych do punktów dostępowych. Znajdziemy tu informacje o nazwie klienta, jego adresie MAC, adresie IP, połączeniu z AP, częstotliwości czasie połączenia, transferze. Dodatkowo możemy wymusić ponowne połączenie, zablokować klienta, przyznać limity szybkości oraz przejrzeć historię połączeń. Bardziej szczegółowy przegląd podłączonych klientów można także znaleźć w zakładce Insight

Przechodząc do sekcji Map możemy nanieść na plan biura lub firmy lokalizację punktów dostępowych i w graficzny sposób kontrolować pokrycie zasięgiem czy też weryfikować położenie punktów dostępowych.

Wspomnijmy słów kilka na temat usługi chmurowej Cloud Access. To rozwiązanie idealne nie tylko dla administratorów wielu dużych lokalizacji sieci WiFi. Z Cloud Access powinni być zadowoleni użytkownicy, którzy nie posiadają bezpośredniego dostępu do infrastruktury kontrolera i punktów dostępowych. Łącząc Omada z chmurą otrzymujemy dostęp do portalu https://omada.tplinkcloud.com. Po zalogowaniu mamy do dyspozycji przejrzysty panel konfiguracyjny z dostępnymi kontrolerami WiFi.

Po uruchomieniu istniejącego połączenia zostaniemy przeniesieni do interfejsu znanego z lokalnej konfiguracji kontrolera. Plusem rozwiązania chmurowego jest mobilna aplikacja Omada. Dzięki niej możemy w wygodny sposób zarządzać kontrolerem nie tylko w sieci lokalnej, ale także z dowolnego miejsca na świecie posiadając dostęp chmurowy. Poniżej prezentujemy kilka ekranów z aplikacji.

TP-Link prezentując sprzętowe rozwiązanie Omada OC200 i integrując portfolio punktów dostępowych z kontrolerem WiFi udowodnił, że w niedrogi i prosty sposób można zbudować profesjonalną scentralizowaną infrastrukturę sieci WiFi w biurze lub firmie. Plusem rozwiązania jest nie tylko ogromna elastyczność i konfigurowalność, ale także wiele możliwości kontroli zachowania punktów dostępowych w sieci LAN.

Implementacja Cloud Access, która co warto podkreślić, jest usługą bezpłatną, pozwala na dostęp do zarządzania siecią WiFi z dowolnego miejsca na świecie. A jeśli akurat pod ręką nie mamy komputera wystarczy smartfon i aplikacja Omada.

Producentowi udało się wykorzystać potencjał  wielu modeli punktów dostępowych i zastosowanych w nich technologii takich (chociażby wspomnieć MU-MIMO, roaming, sieć mesh czy QoS). Do tego doskonała współpraca kontrolera z punktami AP w różnych segmentach sieci LAN, bardzo rozbudowany system Portalu z wieloma możliwościami autoryzacji i kontroli. A to wszystko w jednym niewielkim urządzeniu Omada OC200.

• Wysoka elastyczność konfiguracji
• Możliwość zarządzania wieloma lokalizacjami
• Obsługa z wykorzystaniem chmury
• Obsługa z wykorzystaniem aplikacji mobilnej

• brak