_{Original file}

NETSHe Lab

Оглавление

WebUI NETSHe пункт меню «Сеть→Интерфейсы» выводит информацию обо всех имеющихся в системе интерфейсах: IP-адрес, маска сети, количество принятых и отправленных пакетов и т. п. На странице выводятся графики загрузки интерфейсов, а для радио-интерфейсов и параметры радио, которые обновляются в режиме времени, близком к реальному.

В NETSHe используются некоторые правила по именованию интерфейсов, которые следует знать и соблюдать. В целом именование интерфейсов совпадает с системами, использующими ядро Linux, однако имеются некоторые незначительные отличия. Так:

1. Ethernet интерфейсы имеют имена типа ethX;
2. радио-интерфейсы имеют имена типа wlanX;
3. сетевые мосты – brX;
4. виртуальные (loopback) интерфейсы - loX, где X — номер интерфейса в системе;
   1. cотовые интерфейсы имеют имена двух типов wwanX (для Ethernet подобных) и сellular (для типа PPP);
   2. клиентские интерфейсы для L2TP/PPTP/PPPoE соединений имеют имена l2tp / pptp / pppoe соответственно, другие соединения типа PPP (серверные) имеют имена типа pppX;
   3. VLAN интерфейсы имеют имена типа ethX.Y, ethX.Y.Z или wlanX.Y. Например, eth0.1 относится к VLAN с номером 1 на основе портов (port-based VLAN), а eth0.1.2 относится к VLAN 802.1q с номером 2;
   4. туннельные интерфейсы обязаны иметь в имени часть ‘tun’ и (в ряде случаев) отсылку к типу тоннеля. Например, tungreX (GRE-туннель) или tungretapX (туннель Ethernet поверх GRE);
   5. Политики (туннели) IPSec должны содержать в имени слово ‘ipsec’. Кроме того, мы рекомендуем использовать в имени краткое описание политики. Например, ipsec_main и ipsec_backup;
   6. Алиасы (псевдоинтерфейсы для второго и более IPv4 адресов) для интерфейсов имеют названия по типу ethX:Y. Например, br0:1.

Некоторые интерфейсы могут создаваться и удаляться в процессе работы системы, носить служебный характер. Такие интерфейсы зачастую имеют слово ‘auto’ в своем названии.

WebUI позволяет задавать новые интерфейсы (в том числе VLAN), алиасы, радио-интерфейсы, сетевые мосты, объединения интерфейсов и динамические интерфейсы, а также редактировать настройки существующих интерфейсов.

Поскольку в NETSHe существует много интерфейсов с различным набором настроек, диалоги редактирования свойств интерфейсов тоже выглядят по-разному в зависимости от типа интерфейса:

Редактирование настроек Ethernet интерфейсов и алиасов

Диалог имеет небольшие отличия при редактировании VLAN, виртуальных интерфейсов и сетевых мостов.

Состоит из вкладок:

1. «Настройки IP», где указывается статическое или динамическое назначение адреса, сетевая маска, шлюз по умолчанию, а также указания следует ли использовать сервер разрешения имен провайдера, следует ли считать это соединение резервным, проверять его состояние и пр.;
2. «Дополнительно», где указывается принадлежность интерфейса к мосту или зоне, а также параметры и механизмы сетей Ethernet;
3. «Маршруты через этот интерфейс», где указаны статические маршруты, использующие этот интерфейс;
4. «Настройка зависимых VLAN» (только для физических интерфейсов), где можно указать деление интерфейса на VLAN.

Редактирование настроек динамических интерфейсов (PPP-интерфейсов)

Здесь подразумеваются динамические соединения по протоколам PPP/PPTP/PPPoE/PPPoA, в которых устройство выступает в роли клиента. Среди настроек таких интерфейсов: используемый протокол, устройство или сервер для соединения и т. п.

Диалог состоит из вкладок:

1. «Базовые настройки», где указывается параметры авторизации этого соединения на сервере, а также указания следует ли использовать сервер разрешения имен провайдера, следует ли считать это соединение резервным, проверять его состояние и пр.;
2. «Дополнительно», где указывается принадлежность интерфейса к мосту или зоне, а также параметры соответствующего сервиса подключения;
3. «Полезная информация» в режиме чтения содержит выдержки из системного журнала, касающиеся событий данного интерфейса;
4. «Маршруты через этот интерфейс», где указаны статические маршруты, использующие этот интерфейс.

Редактирование настроек радио-интерфейсов

Помимо вкладок типичных для Ethernet, диалог свойств радио-интерфейсов содержит вкладки:

1. «Беспроводная сеть», на которой размещены основные настройки беспроводного интерфейса (Режим работы, частота и ширина канала, ESSID, протокол передачи и т.п.), а также вхождение интерфейса в мост и зону;
2. «Безопасность беспроводной сети», где размещены параметры безопасности беспроводной сети, типы и параметры шифрования;
3. «Беспроводное мультимедиа QoS», содержащее описание приоритетов беспроводного трафика, настройка которого подробно описана в следующих главах;
4. «Быстрый роуминг, Interworking, Hotspot», которые используются преимущественно в корпоративных сетях для совместной работы нескольких беспроводных устройств;
5. «Дополнительно», в отличие от свойств проводного интерфейса, содержит физические и специфические параметры беспроводной сети, настройки антенн и пр.

Диалог содержит всего две вкладки: уже известную вкладку «Маршруты через этот интерфейс» и специфичную вкладку «Настроить интерфейс», где задается принадлежность интерфейса к зоне, указан тип туннеля и параметры для установки данного туннельного соединения.

Зоны являются базовым свойством для функционирования межсетевого экрана и представляют собой логические сети, к которым устройство присоединено как минимум одним из своих интерфейсов. Типичной конфигурацией является наличие двух зон — внешней WAN и внутренней LAN сети. Дополнительно устройство может быть присоединено к другим зонам, например, демилитаризованной зоне DMZ. Общее количество зон, которыми может оперировать система, ограничено только разумным подходом.

Страница управления зонами меню WebUI «Сеть→Зоны» предоставляет средства управления зонами (создания и удаления зон), а также распределения интерфейсов по зонам. Распределение интерфейсов по зонам производится перетаскиванием интерфейса из бокса нераспределённых интерфейсов в бокс соответствующей зоны.

Страница WebUI «Сеть → Сетевые мосты» предоставляет средства управления сетевыми мостами (создания и удаления), а также распределения интерфейсов по мостам. Напоминаем, что имена мостов должны начинаться с br.

Распределение интерфейсов по мостам производится перетаскиванием интерфейса из бокса нераспределённых интерфейсов в бокс соответствующего моста.

Любой сетевой мост сам является Ethernet-подобным сетевым интерфейсом и управляется соответствующим образом. В мост можно включать интерфейсы eth, wlan, tap, vxlan.

NETSHe поддерживает более одного сетевого моста.

Страница WebUI «Сеть → Объединение интерфейсов» предоставляет средства управления объединением интерфейсов. Объединенные интерфейсы начинаются с bond и (или) teql.

Распределение и объединение интерфейсов производится перетаскиванием интерфейса из бокса нераспределённых интерфейсов в бокс соответствующего объединения.

Любой объединенный интерфейс сам является Ethernet-подобным сетевым интерфейсом и управляется соответствующим образом.

Процесс настройки двойного доступа к Интернету начинается с ответа «Да» на вопрос «Используете ли Вы соединение по типу PPTP/PPPoE/L2TP для подключения к вышестоящему оборудованию/провайдеру» в мастере начальной настройки. Это описано во второй главе данного руководства. Однако то же самое действие можно выполнить и в расширенном режиме WebUI, проделав следующие шаги.

Для настройки динамических интерфейсов важно знать имя интерфейса, который будет использован для установки соединения. Обычно это WAN-интерфейс eth0 или eth0.1.

Для выяснения этого нужно выбрать пункт меню «Сеть → Зоны» и на открывшейся странице посмотреть, какие интерфейсы есть в зоне WAN и имена которых начинаются на ‘eth’. В данном примере это eth0.2.

Далее нужно создать новый интерфейс l2tp, если соединение осуществляется по протоколу L2TP (pptp, если используется PPTP, и pppoe, если используется PPPoE) в пункте меню «Сеть → Интерфейсы». В пустое поле нужно ввести имя интерфейса, нажать кнопку «Новый» как показано на картинке

После этого откроется страница настроек интерфейса, на которой нужно:

1. установить опцию «Разрешить интерфейс»,
2. выбрать тип соединения «L2TP» (иной, соответствующий типу подключения),
3. ввести имя пользователя и пароль, полученные от провайдера,
4. ввести имя сервера, с которым будет осуществляться соединение,
5. указать в поле «Устройство или интерфейс, которые будут использованы для установления соединения» имя такого интерфейса (в данном случае eth0.2),
6. установить опции «Заменить текущий маршрут по умолчанию», «Использовать сервера имен от провайдера», «Перезапустить сервис после сохранения»,
7. нажать кнопку «Сохранить».

Если Вы вводили интерфейс не из мастера начальной настройки, то Вам нужно будет определить его в зону WAN. Для этого нужно зайти в пункт меню «Сеть → Зоны». На открывшейся страничке Вы должны увидеть новый интерфейс с именем l2tp в списке нераспределённых интерфейсов (или в списке зоны LAN). Далее Вам нужно захватить мышью интерфейс и перетащить его в список зоны WAN. Установив опцию «Перезапустить сервис после сохранения», нажмите кнопку «Сохранить».

Первое, что необходимо сделать, это убедиться, что в системе присутствует сотовый модем, а Сим-карта была вставлена до перезагрузки устройства.

Если системе присутствуют интерфейсы с именами wwan0, wwan1 и так далее, следует для дальнейшей настройки использовать такой интерфейс, иначе добавьте новый интерфейс с именем сellular.

Откройте настройки соответствующего интерфейса и выполните следующие действия:

1. выберите тип соединения «CELLULAR» («QMI» или «CDC» для интерфейсов wwanX),
2. введите имя пользователя, пароль и APN, соответствующие оператору сотовой связи (при использовании привязанных к оператору USB-модемов эти данные, как правило, указывать не нужно),
3. введите пин-код для Сим-карты (при необходимости),
4. установите опции «Заменить текущий маршрут по умолчанию», «Использовать сервера имен от провайдера», «Перезапустить сервис после сохранения»,
5. нажмите кнопку «Сохранить».

Аналогично предыдущему разделу нужно убедиться, что интерфейс помещен в зону WAN.

Иногда возникает необходимость изменить MAC-адрес Ethernet интерфейса («произвести клонирование» в терминах некоторых производителей), для этого следует выбрать пункт меню «Сеть → Интерфейсы». В списке интерфейсов выбрать нужный (как правило, это интерфейс, входящий в зону WAN) и на страничке его свойств ввести новый MAC-адрес и нажать кнопку «Сохранить».

NETSHe поддерживает следующие режимы работы для каждого из беспроводных интерфейсов:

1. Клиент. Устройство соединяется с точкой доступа (другим устройством, работающим в режиме точки доступа), имеющей подходящие настройки.
2. Ad-Hoc (сеть равноправных узлов без центра координации). Устройство соединяется с любыми другими устройствами, работающими в таком же режиме и имеющими аналогичные настройки.
3. Точка доступа. Устройство является центром координации беспроводной сети и к нему подключаются устройства в режиме клиент, имеющие подходящие настройки. Для режима точки доступа на некоторых беспроводных адаптерах имеется возможность реализации нескольких, одновременно работающих, точек доступа.
4. Беспроводная распределительная система WDS.

Рассмотрим все режимы работы по порядку. Для начала напомним, что беспроводные интерфейсы в NETSHe имеют названия типа wlanX, где X- порядковый номер беспроводного интерфейса в системе.

Типовое устройство с NETSHe поддерживает до 4х физических радиомодулей. Каждый радиомодуль поддерживает до 4х интерфейсов. Интерфейс wlan0 соответствует первому интерфейсу первого физического радио, wlan1 – первому интерфейсу второго модуля и т.д. Учитывая всего четыре радиомодуля, нумерация интерфейсов одного модуля должна быть через 4, т.е. wlan0,wlan4,wlan8,wlan12 для первого модуля, wlan1,wlan5,wlan9,wlan13 для второго и т.д.

Физическое радио имеет ряд ограничений:

1. На одном радиомодуле не может быть одновременно (WDS) точки доступа и (WDS ) клиента.
2. На одном радиомодуле не может быть более одного AD-Hoc.
3. Все интерфейсы одного радиомодуля должны работать на одной частоте (канале).

Для настройки выберите соответствующий интерфейс (например, wlan0) в списке всех сетевых интерфейсов системы (меню «Сеть → Интерфейсы»).

На странице редактирования настроек интерфейса следует выбрать вкладку «Беспроводная сеть», а на ней в выпадающем списке «Режим работы — Клиент». Далее нужно указать известный Вам ESSID (идентификатор беспроводной сети), к которой будет производиться подключение, и, возможно, потребуется выбрать конкретный протокол работы (802.11a/802.11b/802.11/g/802.11n).

На вкладке «Безопасность беспроводной сети» нужно указать атрибуты авторизации: тип авторизации/шифрования (Без шифрования/WEP/WPA-PSK/WPA-PSK2/WPA-EAP/802.1X), ключ шифрования/секретную фразу и т. п.

Настройка параметров доступа и IP-параметров осуществляется в соответствии со схемой организации связи в сети (должны быть соответствовать настройкам точки доступа, к которой осуществляется подключение).

Пример настройки беспроводного интерфейса в режиме «Клиент» приведен на картинках ниже.

Режим «Ad-Hoc» подразумевает организацию беспроводной сети из равноправных узлов. В соответствии с этим принципом осуществляется и настройка интерфейса. Чаще всего используются статические настройки IP-сети, а для беспроводной части указываются:

1. режим работы «Ad-Hoc»,
2. частота, на которой будет работать беспроводная сеть,
3. протокол работы (все устройства с такой сети должны иметь совместимые настройки частоты и протокола),
4. ESSID (идентификатор сети),
5. параметры авторизации и шифрования.

Пример настройки беспроводного интерфейса в режиме «Ad-Hoc» приведен на изображении ниже. Ad-Hoc так же нуждается в установке пароля для подключения на вкладке «Безопасность беспроводной сети».

К беспроводному интерфейсу, работающему в режиме «Точки доступа» могут подключаться только беспроводные устройства, соответствующим образом настроенные в режиме «Клиент».

Принципиально настройка режима точки доступа не отличается от настройки режима «Ad-Hoc». В выпадающем списке выбирается режим работы «Точка доступа». Как правило, IP-адресацию беспроводной сети обеспечивает DHCP сервер, выдающий IP адреса беспроводным клиентам.

Пример настройки беспроводного интерфейса в режиме «Точка доступа» и c WPA2 шифрованием приведен на изображении ниже.

Следует отметить, что при наличии клиентов, удаленных от точки доступа на значительные расстояния (более 300 метров) имеет смысл указать на вкладке «Дополнительно» расстояние до самого удаленного клиента в метрах.

NETSHe поддерживает возможность настройки нескольких точек доступа на одном беспроводном интерфейсе (при условии поддержки такой возможности производителем беспроводного адаптера).

Для этого сначала нужно настроить основную точку доступа, как описано выше, затем создать новый виртуальный интерфейс в списке сетевых интерфейсов (меню «Сеть → Интерфейсы») с именем wlanX_Y, где wlanX — номер сетевого интерфейса, на котором настроена основная точка доступа, а Y — порядковый номер виртуальной точки доступа. Например, wlan0_0.

После добавления нового интерфейса открывается страница настроек, страница настроек и сами настройки очень похожи на настройку режима «Точка доступа».

Беспроводная распределительная сеть (Wireless Distribution System) представляет собой две или более беспроводные точки доступа, имеющие одинаковые настройки доступа к беспроводной сети (идентификатор сети SSID, тип авторизации, частоту и т. п.) и объединённые между собой беспроводным интерфейсами.

Для чего нужны WDS?

WDS применяется для обеспечения качественного покрытия значительных площадей внутри помещений и снаружи несколькими точками доступа, обеспечения прозрачного и бесшовного роуминга пользователей внутри зоны WDS с едиными настройками доступа и сети. Типичная конфигурация WDS представлена на рисунке ниже.

Следует заметить, что применение WDS позволяет широко применять топологию сетевых мостов для организации доступа, что упрощает настройку и развёртывание беспроводной системы.

Перед настройкой WDS следует выбрать единые настройки для всех точек доступа, которые впоследствии будут объединены в WDS.

Следующим шагом следует нарисовать схему соединений вашей предполагаемой WDS. Механизм WDS предусматривает соединение парами точек доступа и клиентов WDS. Если желаемая топология предполагает участие в цепочках несколько устройств WDS, то клиенты и точки доступа должны чередоваться на каждом шаге каждой цепочки, примерно как показано на следующем рисунке:

Согласно нарисованной схеме, каждая из вершин графа WDS будет соединена с одной или более из соседних вершин. В соответствии со схемой в настройках беспроводного интерфейса соответствующего устройства нужно выбрать режим работы «Клиент/WDS клиент» или «WDS точка доступа / Повторитель». Затем нужно сохранить сделанные изменения и перезагрузить устройство.

Проверить работу WDS можно, подключив беспроводных клиентов (ноутбуки или смартфоны), при этом у нужного беспроводного интерфейса на странице «Сеть → Интерфейсы» можно открыть по ссылке «Обзор станций» список и увидеть в нем подключение ноутбука (смартфона). Дальнейшая проверка работоспособности проводится в соответствии с общей конфигурацией системы.

В NETSHe реализован ряд возможностей, позволяющих оптимизировать работу беспроводных соединений. Ниже рассмотрим некоторые из них.

У каждого беспроводного интерфейса на странице «Сеть → Интерфейсы» можно найти ссылки «Сканировать беспроводную сеть» и «Обзор эфира». Это простые инструменты для выяснения состояния радио окружения устройства, зная которые, Вы можете оптимально выбрать частоту/ширину канала и указать их на вкладке «Беспроводная сеть» свойств интерфейса.

На вкладке «Безопасность беспроводной сети» в свойствах беспроводного интерфейса имеется две полезные опции. Первая выполнена в виде галочки «Изолировать клиентов». Она позволяет разделить трафик различных беспроводных клиентов друг от друга. Это может быть необходимо в публичных сетях или сетях типа hotspot, когда клиенты чужие друг для друга, либо в корпоративных сетях, когда требуется ограничить широковещание между клиентами одной подсети.

Вторая полезная опция – это возможность ведения «белого» и «черного» списка MAC-адресов. Это может быть необходимо, чтобы ограничить доступ неблагонадежным клиентам или дополнительно обеспечить дружественное соединение беспроводных точек доступа WDS.

На вкладке «Дополнительно» в свойствах беспроводного интерфейса можно уточнить ряд физических параметров радио. Безусловно, для задания этих параметров нужно обладать достаточными знаниями, однако и начинающий пользователь может оперировать следующими параметрами:

1. «Максимальная длина канала (в метрах)» позволяет оптимизировать прием/передачу в зависимости от расстояния между устройствами. Это особенно полезно при соединении устройств WDS на значительном расстоянии (беспроводной линк), в этом случае следует вводить расстояние между устройствами по прямой как можно точнее (слишком большое значение так же вредно, как и слишком маленькое).
2. «MAC адрес точки доступа для соединения» позволяет точно определить соседа по радиосвязи, использование этого параметра бывает полезно в случае большой скученности WDS точек в одном эфире.