Универсальное программное обеспечение NETSHe для сетевых устройств. Часть 4. Сеть. |
|
NETSHe Lab длительное время занимается разработками программного обеспечения для сетевых устройств, провайдеров услуг и операторов связи. Среди программного обеспечения центральное место занимает операционная система NETSHe, которая может быть использована в широком спектре сетевых устройств и сервисов. | |
Версия 2 Май, 2020 | Станислав Корсаков, ООО «Нетше лаб» (с) 2009-2020 Ярославль |
Оглавление
WebUI NETSHe пункт меню «Сеть→Интерфейсы» выводит информацию обо всех имеющихся в системе интерфейсах: IP-адрес, маска сети, количество принятых и отправленных пакетов и т. п. На странице выводятся графики загрузки интерфейсов, а для радио-интерфейсов и параметры радио, которые обновляются в режиме времени, близком к реальному.
В NETSHe используются некоторые правила по именованию интерфейсов, которые следует знать и соблюдать. В целом именование интерфейсов совпадает с системами, использующими ядро Linux, однако имеются некоторые незначительные отличия. Так:
Некоторые интерфейсы могут создаваться и удаляться в процессе работы системы, носить служебный характер. Такие интерфейсы зачастую имеют слово ‘auto’ в своем названии.
WebUI позволяет задавать новые интерфейсы (в том числе VLAN), алиасы, радио-интерфейсы, сетевые мосты, объединения интерфейсов и динамические интерфейсы, а также редактировать настройки существующих интерфейсов.
Поскольку в NETSHe существует много интерфейсов с различным набором настроек, диалоги редактирования свойств интерфейсов тоже выглядят по-разному в зависимости от типа интерфейса:
Редактирование настроек Ethernet интерфейсов и алиасов
Диалог имеет небольшие отличия при редактировании VLAN, виртуальных интерфейсов и сетевых мостов.
Состоит из вкладок:
Редактирование настроек динамических интерфейсов (PPP-интерфейсов)
Здесь подразумеваются динамические соединения по протоколам PPP/PPTP/PPPoE/PPPoA, в которых устройство выступает в роли клиента. Среди настроек таких интерфейсов: используемый протокол, устройство или сервер для соединения и т. п.
Диалог состоит из вкладок:
Редактирование настроек радио-интерфейсов
Помимо вкладок типичных для Ethernet, диалог свойств радио-интерфейсов содержит вкладки:
Диалог содержит всего две вкладки: уже известную вкладку «Маршруты через этот интерфейс» и специфичную вкладку «Настроить интерфейс», где задается принадлежность интерфейса к зоне, указан тип туннеля и параметры для установки данного туннельного соединения.
Зоны являются базовым свойством для функционирования межсетевого экрана и представляют собой логические сети, к которым устройство присоединено как минимум одним из своих интерфейсов. Типичной конфигурацией является наличие двух зон — внешней WAN и внутренней LAN сети. Дополнительно устройство может быть присоединено к другим зонам, например, демилитаризованной зоне DMZ. Общее количество зон, которыми может оперировать система, ограничено только разумным подходом.
Страница управления зонами меню WebUI «Сеть→Зоны» предоставляет средства управления зонами (создания и удаления зон), а также распределения интерфейсов по зонам. Распределение интерфейсов по зонам производится перетаскиванием интерфейса из бокса нераспределённых интерфейсов в бокс соответствующей зоны.
Страница WebUI «Сеть → Сетевые мосты» предоставляет средства управления сетевыми мостами (создания и удаления), а также распределения интерфейсов по мостам. Напоминаем, что имена мостов должны начинаться с br.
Распределение интерфейсов по мостам производится перетаскиванием интерфейса из бокса нераспределённых интерфейсов в бокс соответствующего моста.
Любой сетевой мост сам является Ethernet-подобным сетевым интерфейсом и управляется соответствующим образом. В мост можно включать интерфейсы eth, wlan, tap, vxlan.
NETSHe поддерживает более одного сетевого моста.
Страница WebUI «Сеть → Объединение интерфейсов» предоставляет средства управления объединением интерфейсов. Объединенные интерфейсы начинаются с bond и (или) teql.
Распределение и объединение интерфейсов производится перетаскиванием интерфейса из бокса нераспределённых интерфейсов в бокс соответствующего объединения.
Любой объединенный интерфейс сам является Ethernet-подобным сетевым интерфейсом и управляется соответствующим образом.
Процесс настройки двойного доступа к Интернету начинается с ответа «Да» на вопрос «Используете ли Вы соединение по типу PPTP/PPPoE/L2TP для подключения к вышестоящему оборудованию/провайдеру» в мастере начальной настройки. Это описано во второй главе данного руководства. Однако то же самое действие можно выполнить и в расширенном режиме WebUI, проделав следующие шаги.
Для настройки динамических интерфейсов важно знать имя интерфейса, который будет использован для установки соединения. Обычно это WAN-интерфейс eth0 или eth0.1.
Для выяснения этого нужно выбрать пункт меню «Сеть → Зоны» и на открывшейся странице посмотреть, какие интерфейсы есть в зоне WAN и имена которых начинаются на ‘eth’. В данном примере это eth0.2.
Далее нужно создать новый интерфейс l2tp, если соединение осуществляется по протоколу L2TP (pptp, если используется PPTP, и pppoe, если используется PPPoE) в пункте меню «Сеть → Интерфейсы». В пустое поле нужно ввести имя интерфейса, нажать кнопку «Новый» как показано на картинке
После этого откроется страница настроек интерфейса, на которой нужно:
Если Вы вводили интерфейс не из мастера начальной настройки, то Вам нужно будет определить его в зону WAN. Для этого нужно зайти в пункт меню «Сеть → Зоны». На открывшейся страничке Вы должны увидеть новый интерфейс с именем l2tp в списке нераспределённых интерфейсов (или в списке зоны LAN). Далее Вам нужно захватить мышью интерфейс и перетащить его в список зоны WAN. Установив опцию «Перезапустить сервис после сохранения», нажмите кнопку «Сохранить».
Первое, что необходимо сделать, это убедиться, что в системе присутствует сотовый модем, а Сим-карта была вставлена до перезагрузки устройства.
Если системе присутствуют интерфейсы с именами wwan0, wwan1 и так далее, следует для дальнейшей настройки использовать такой интерфейс, иначе добавьте новый интерфейс с именем сellular.
Откройте настройки соответствующего интерфейса и выполните следующие действия:
Аналогично предыдущему разделу нужно убедиться, что интерфейс помещен в зону WAN.
Иногда возникает необходимость изменить MAC-адрес Ethernet интерфейса («произвести клонирование» в терминах некоторых производителей), для этого следует выбрать пункт меню «Сеть → Интерфейсы». В списке интерфейсов выбрать нужный (как правило, это интерфейс, входящий в зону WAN) и на страничке его свойств ввести новый MAC-адрес и нажать кнопку «Сохранить».
NETSHe поддерживает следующие режимы работы для каждого из беспроводных интерфейсов:
Рассмотрим все режимы работы по порядку. Для начала напомним, что беспроводные интерфейсы в NETSHe имеют названия типа wlanX, где X- порядковый номер беспроводного интерфейса в системе.
Типовое устройство с NETSHe поддерживает до 4х физических радиомодулей. Каждый радиомодуль поддерживает до 4х интерфейсов. Интерфейс wlan0 соответствует первому интерфейсу первого физического радио, wlan1 – первому интерфейсу второго модуля и т.д. Учитывая всего четыре радиомодуля, нумерация интерфейсов одного модуля должна быть через 4, т.е. wlan0,wlan4,wlan8,wlan12 для первого модуля, wlan1,wlan5,wlan9,wlan13 для второго и т.д.
Физическое радио имеет ряд ограничений:
Для настройки выберите соответствующий интерфейс (например, wlan0) в списке всех сетевых интерфейсов системы (меню «Сеть → Интерфейсы»).
На странице редактирования настроек интерфейса следует выбрать вкладку «Беспроводная сеть», а на ней в выпадающем списке «Режим работы — Клиент». Далее нужно указать известный Вам ESSID (идентификатор беспроводной сети), к которой будет производиться подключение, и, возможно, потребуется выбрать конкретный протокол работы (802.11a/802.11b/802.11/g/802.11n).
На вкладке «Безопасность беспроводной сети» нужно указать атрибуты авторизации: тип авторизации/шифрования (Без шифрования/WEP/WPA-PSK/WPA-PSK2/WPA-EAP/802.1X), ключ шифрования/секретную фразу и т. п.
Настройка параметров доступа и IP-параметров осуществляется в соответствии со схемой организации связи в сети (должны быть соответствовать настройкам точки доступа, к которой осуществляется подключение).
Пример настройки беспроводного интерфейса в режиме «Клиент» приведен на картинках ниже.
Режим «Ad-Hoc» подразумевает организацию беспроводной сети из равноправных узлов. В соответствии с этим принципом осуществляется и настройка интерфейса. Чаще всего используются статические настройки IP-сети, а для беспроводной части указываются:
Пример настройки беспроводного интерфейса в режиме «Ad-Hoc» приведен на изображении ниже. Ad-Hoc так же нуждается в установке пароля для подключения на вкладке «Безопасность беспроводной сети».
К беспроводному интерфейсу, работающему в режиме «Точки доступа» могут подключаться только беспроводные устройства, соответствующим образом настроенные в режиме «Клиент».
Принципиально настройка режима точки доступа не отличается от настройки режима «Ad-Hoc». В выпадающем списке выбирается режим работы «Точка доступа». Как правило, IP-адресацию беспроводной сети обеспечивает DHCP сервер, выдающий IP адреса беспроводным клиентам.
Пример настройки беспроводного интерфейса в режиме «Точка доступа» и c WPA2 шифрованием приведен на изображении ниже.
Следует отметить, что при наличии клиентов, удаленных от точки доступа на значительные расстояния (более 300 метров) имеет смысл указать на вкладке «Дополнительно» расстояние до самого удаленного клиента в метрах.
NETSHe поддерживает возможность настройки нескольких точек доступа на одном беспроводном интерфейсе (при условии поддержки такой возможности производителем беспроводного адаптера).
Для этого сначала нужно настроить основную точку доступа, как описано выше, затем создать новый виртуальный интерфейс в списке сетевых интерфейсов (меню «Сеть → Интерфейсы») с именем wlanX_Y, где wlanX — номер сетевого интерфейса, на котором настроена основная точка доступа, а Y — порядковый номер виртуальной точки доступа. Например, wlan0_0.
После добавления нового интерфейса открывается страница настроек, страница настроек и сами настройки очень похожи на настройку режима «Точка доступа».
Беспроводная распределительная сеть (Wireless Distribution System) представляет собой две или более беспроводные точки доступа, имеющие одинаковые настройки доступа к беспроводной сети (идентификатор сети SSID, тип авторизации, частоту и т. п.) и объединённые между собой беспроводным интерфейсами.
Для чего нужны WDS?
WDS применяется для обеспечения качественного покрытия значительных площадей внутри помещений и снаружи несколькими точками доступа, обеспечения прозрачного и бесшовного роуминга пользователей внутри зоны WDS с едиными настройками доступа и сети. Типичная конфигурация WDS представлена на рисунке ниже.
Следует заметить, что применение WDS позволяет широко применять топологию сетевых мостов для организации доступа, что упрощает настройку и развёртывание беспроводной системы.
Перед настройкой WDS следует выбрать единые настройки для всех точек доступа, которые впоследствии будут объединены в WDS.
Следующим шагом следует нарисовать схему соединений вашей предполагаемой WDS. Механизм WDS предусматривает соединение парами точек доступа и клиентов WDS. Если желаемая топология предполагает участие в цепочках несколько устройств WDS, то клиенты и точки доступа должны чередоваться на каждом шаге каждой цепочки, примерно как показано на следующем рисунке:
Согласно нарисованной схеме, каждая из вершин графа WDS будет соединена с одной или более из соседних вершин. В соответствии со схемой в настройках беспроводного интерфейса соответствующего устройства нужно выбрать режим работы «Клиент/WDS клиент» или «WDS точка доступа / Повторитель». Затем нужно сохранить сделанные изменения и перезагрузить устройство.
Проверить работу WDS можно, подключив беспроводных клиентов (ноутбуки или смартфоны), при этом у нужного беспроводного интерфейса на странице «Сеть → Интерфейсы» можно открыть по ссылке «Обзор станций» список и увидеть в нем подключение ноутбука (смартфона). Дальнейшая проверка работоспособности проводится в соответствии с общей конфигурацией системы.
В NETSHe реализован ряд возможностей, позволяющих оптимизировать работу беспроводных соединений. Ниже рассмотрим некоторые из них.
У каждого беспроводного интерфейса на странице «Сеть → Интерфейсы» можно найти ссылки «Сканировать беспроводную сеть» и «Обзор эфира». Это простые инструменты для выяснения состояния радио окружения устройства, зная которые, Вы можете оптимально выбрать частоту/ширину канала и указать их на вкладке «Беспроводная сеть» свойств интерфейса.
На вкладке «Безопасность беспроводной сети» в свойствах беспроводного интерфейса имеется две полезные опции. Первая выполнена в виде галочки «Изолировать клиентов». Она позволяет разделить трафик различных беспроводных клиентов друг от друга. Это может быть необходимо в публичных сетях или сетях типа hotspot, когда клиенты чужие друг для друга, либо в корпоративных сетях, когда требуется ограничить широковещание между клиентами одной подсети.
Вторая полезная опция – это возможность ведения «белого» и «черного» списка MAC-адресов. Это может быть необходимо, чтобы ограничить доступ неблагонадежным клиентам или дополнительно обеспечить дружественное соединение беспроводных точек доступа WDS.
На вкладке «Дополнительно» в свойствах беспроводного интерфейса можно уточнить ряд физических параметров радио. Безусловно, для задания этих параметров нужно обладать достаточными знаниями, однако и начинающий пользователь может оперировать следующими параметрами: