Беспроводные локальные сети
Беспроводные технологии – классификация беспроводных сетей
Прежде всего, давайте определимся с названиями и стандартами, дабы мы с вами говорили на одном языке.
Итак, взаимодействие беспроводных устройств регламентируется целым рядом стандартов. В них указывается спектр радиочастотного диапазона, скорость передачи данных, способ передачи данных и прочая информация. Главным разработчиком технических стандартов беспроводной связи является организация IEEE.
Стандарт IEEE 802.11 регламентирует работу беспроводных устройств в сетях WLAN (Wireless LAN). На сегодняшний день действуют следующие поправки — 802.11a, 802.11b, 802.11g и 802.11n. Все эти технологии отнесены к категории Wi-Fi (Wireless Fidelity).
Идентификатор SSID сообщает беспроводным устройствам, к какой беспроводной сети они принадлежат и с какими устройствами они взаимодействуют. Соответственно, если несколько беспроводных устройств (компьютеров) подключаются к одной точке доступа – они образуют локальную беспроводную сеть.
Идентификатор SSID представляет собой алфавитно-цифровую строку, воспринимаемую с учетом регистра, длиной до 32 символов. Этот идентификатор пересылается в заголовке всех пакетов данных, передаваемых по локальной беспроводной сети.
Базовая настройка точки доступа
Давайте попробуем настроить точку доступа. Я приведу пример настройки интегрированного маршрутизатора (именно так называется та коробочка, которая совмещает в себе маршрутизатор, коммутатор и беспроводную точку доступа) D-Link DGL-4500. Поскольку веб-интерфейс взаимодействия с маршрутизатором очень похож у различных моделей различных производителей, вы без труда сможете проделать те же операции со своим устройством.
В моем случае настройки беспроводного соединения выглядят следующим образом:
Обеспечение безопасности беспроводной локальной сети
Одним из главных преимуществ беспроводных сетей является удобство в подключении устройств. Обратной стороной медали является уязвимость сети для перехвата информации и атак со стороны злоумышленников – взломщику не требуется физического подключения к вашему компьютеру или к любому другому устройству для получения доступа в вашу сеть; он может настраиваться на сигналы вашей беспроводной, сети точно так же, как на волну радиостанции.
Взломщик может получить доступ в вашу сеть из любой точки в пределах действия беспроводной связи. Получив доступ к вашей сети, злоумышленники смогут бесплатно воспользоваться вашими интернет-услугами, а также получить доступ к компьютерам в сети и повредить файлы, либо украсть персональную или конфиденциальную информацию. Разумеется, сказанное не относится к кафе, аэропортам и других заведениях, где специально устанавливается точка доступа лишенная какой-либо защиты, для того чтобы ей могли пользоваться все желающие.
Для защиты от упомянутых уязвимостей беспроводной связи необходимы специальные функции обеспечения безопасности и методы защиты от внешних атак. Для этого достаточно выполнить несколько несложных операций в процессе исходной настройки точки доступа.
Как было сказано, один из простейших способов ограничить доступ в беспроводную сеть – отключить рассылку идентификатора SSID.
В качестве дополнительной меры защиты настоятельно рекомендуется изменить настройки, заданные по умолчанию, так как интегрированные маршрутизаторы поставляются с предварительно настроенными SSID, паролями и IP-адресами. Используя настройки по умолчанию, злоумышленник сможет легко идентифицировать сеть и получить доступ.
Даже если рассылка SSID отключена, существует вероятность проникновения в сеть, если злоумышленнику стал известен SSID, заданный по умолчанию. Если не изменить другие настройки по умолчанию, а именно пароли и IP-адреса, то взломщики могут проникнуть в точку доступа и внести изменения в ее конфигурацию. Настройки, заданные по умолчанию, должны быть изменены на более безопасные и уникальные.
Эти изменения сами по себе еще не гарантируют безопасности вашей сети. Например, SSID передаются открытым текстом, без шифрования данных. Но сегодня имеются устройства для перехвата беспроводных сигналов и чтения сообщений, составленных открытым текстом. Даже если функция рассылки SSID отключена и значения по умолчанию изменены, взломщики могут узнать имя беспроводной сети с помощью таких устройств, так как идентификатор пересылается в заголовке всех пакетов данных, передаваемых по локальной беспроводной сети. Используя эту информацию, они смогут подключиться к сети. Для обеспечения безопасности беспроводной локальной сети следует использовать комбинацию из нескольких методов защиты.
Один из способов ограничения доступа в беспроводную сеть – фильтрация по MAC-адресам:
При таком соединении все пользователи, желающие подключиться к сети, будут должны ввести единый пароль, заранее заданный в настройках точки доступа (Pre-Shared Key), а пересылаемые данные будут зашифрованы протоколом WPA.
В условиях масштабной беспроводной сети, возможно, стоит перейти на использование WPA-Enterprise, где контроль доступа к сети будет регулироваться сервером аутентификации RADIUS, а пересылаемые данные будут зашифрованы протоколом WPA.
Настройка клиентов
В случае включенной рассылки SSID, настройка клиентов, укомплектованных современным программным обеспечением, сводится к простому вводу пароля (в случае не открытой аутентификации в сети):
В случае отключенной рассылки SSID, сеть единожды придется определить вручную. В Windows 7 для этого нужно зайти в Network and Sharing Center, выбрать Manage Wireless Networks и нажать кнопку Add. В появившемся окне выбираем Manually create a network profile и в появившемся окне вводим все данные сети:
После сохранения настроек вы сможете подключаться к данной скрытой сети в любое время, выбрав ее в списке доступных.
Тонкости настройки контроллеров БЛВС в крупных учреждениях, которым важна стабильность работы сети
Сетевой инженер ГК «ОТР» Линда Новожилова рассказывает, как настраивает Wi-Fi-контроллеры на крупных проектах. Этот опыт пригодится тем, кто ещё не работал с сетями, но должен настроить контроллеры. Или тем, кто должен вникнуть в их работу, чтобы проверить, как нанятый специалист справился с задачей.
Что стоит учесть перед прочтением
Это решение — не образец. В подобных задачах не существует единственно верных решений. Критерий того, насколько решение верное, — выполнение поставленной задачи.
Здесь описано решение конкретной задачи и разобраны его элементы. Их можно использовать, если они подходят для достижения нужных целей. Принцип «прописать так на всякий случай» в такой ситуации не поможет — скорее навредит.
Мы намеренно не указываем чёткие имена темплейтов и профайлов. Это не инструкция. Подробное описание настроек познакомит вас с возможностями, но решение о целесообразности остаётся только за вами.
Если у вас нет чёткого понимания происходящего — не используйте эти настройки. За последствия отвечаете только вы.
Качество сети зависит не только от настроек. Когда мы приступили к работе, у заказчика уже был полностью разработан проект. Ему рассчитали мощности, добавили дублирующее оборудование и выдали список для закупок. За командой ОТР оставалось физическое воплощение проекта и настройка — не более.
Какая задача стояла перед командой
Мы создавали сеть на несколько учреждений.
Она была нужна одновременно и для внутреннего пользования, и для внешнего. В сети авторизовывались внешние пользователи и использовали её для получения услуг нашего клиента.
Сеть должна быть максимально безопасной — и при этом работать совершенно непрерывно. Каждый разрыв сети Wi-Fi обходился бы заказчику в две тысячи долларов, и подобные потери были бы недопустимы.
Какие настройки выставили и для чего
В этом разделе мы поэтапно разберём настройки. До настроек необходимо подключить к контроллеру консоль и загрузить нужную прошивку и патчи
1. Создаём конфигурационный файл
1.1. Задаём системное имя и включаем http-сервер, чтобы всё работало
[Huawei] http server enable
system-view
[Huawei] clock timezone MoscowSt.PetersburgVolgograd add 03:00:00
Если его не задать, сервера не смогут корректно передавать друг другу логи. Также начнутся проблемы с соединением у пользователей: большинство сервисов проверяет точное время и, если время на устройстве будет отличаться, сервис не позволит пользователю подключиться.
1.3. Заводим vlan’ы для устройств
system-view
[Huawei] vlan batch
Без vlan’ов пользователь не сможет подключиться к сервису.
1.4. Добавляем авторизацию через Radius
system-view
[Huawei] authentication-profile-name
[Huawei] dot1x-access-profile
[Huawei] authentication-scheme radius
[Huawei-authen-profile-radius] radius-server RADIUS_SERVER
[Huawei-authen-profile-radius] authentication-profile name default_authen_profile
[Huawei-authen-profile-radius] authentication-profile name dot1x_authen_profile
[Huawei-authen-profile-radius] authentication-profile name mac_authen_profile
[Huawei-authen-profile-radius] authentication-profile name macportal_authen_profile
[Huawei-authen-profile-radius] authentication-profile name portal_authen_profile
Здесь мы использовали Radius, чтобы централизовать авторизацию — так клиент получает расширенное логирование (и с десяток других мелких фишек), а его подрядчикам становится проще работать с сетью в будущем.
1.5. Настраиваем подключение к серверам DNS
system-view
[Huawei] dns resolve
[Huawei] dns server
[Huawei] dns server
Без серверов ни пользователь, ни администраторы сети не смогут подключиться ни к одному сайту. Сеть вместо доменных имён (типа yandex.ru) использует IP — и без DNS-серверов зайти на сайт можно только по этому самому IP.
1.6. Создаём пул vlan’ов
system-view
[Huawei] vlan pool
[Huawei] vlan
Через каждый vlan пользователи будут подключаться к нашей сети из различных её сегментов.
1.7. Задаём vlan и его имя для устройства, через которое мы будем управлять точками доступа в сеть.
system-view
[Huawei] vlan
[Huawei-vlan] name
system-view
[Huawei] radius-server template default
[Huawei-radius-default] radius-server shared-key cipher
[Huawei-radius-default] radius-server template RADIUS_SERVER
[Huawei-radius-RADIUS_SERVER] radius-server shared-key cipher
[Huawei-radius-RADIUS_SERVER] radius-server authentication weight 80
[Huawei-radius-RADIUS_SERVER] radius-server authentication weight 80
[Huawei-radius-RADIUS_SERVER] undo radius-server user-name domain-included
[Huawei-radius-RADIUS_SERVER] radius-server attribute translate
[Huawei-radius-RADIUS_SERVER] radius-server attribute message-authenticator access-request
[Huawei-radius-RADIUS_SERVER] radius-attribute set Called-Station-Id
system-view
[Huawei] acl name
[Huawei-acl-] rule 5 permit source
[Huawei-acl-] acl name
[Huawei-acl-] rule 5 permit source
[Huawei-acl-] rule 10 permit source
system-view
[Huawei] aaa
[Huawei-aaa] authentication-scheme radius
[Huawei-aaa-authen-radius] authentication-mode radius
[Huawei-aaa-authen-radius] authentication-scheme radius_local
[Huawei-aaa-authen-radius_local] authentication-mode radius local
[Huawei-aaa-authen-radius_local] authorization-scheme default
[Huawei-aaa-authen-default] accounting-scheme default
[Huawei-aaa-author-default] local-aaa-user password policy administrator
[Huawei-aaa-author-default] password expire 0
[Huawei-aaa-author-default] domain default
[Huawei-aaa-domain-default] authentication-scheme radius
[Huawei-aaa-domain-default] radius-server default
[Huawei-aaa-domain-default] domain default_admin
[Huawei-aaa-domain-default_admin] authentication-scheme radius_local
[Huawei-aaa-domain-default_admin] radius-server RADIUS_SERVER
У нас авторизация происходит через Радиус.
Вне этой части обязательно прописывается локальный пользователь, чтобы он мог зайти в сеть без внешних сервисов. У нас это админы с максимальным уровнем привилегий.
1.10.1. Прописываем админов
[Huawei-aaa-domain-default_admin] local-user password irreversible-cipher
[Huawei-aaa-domain-default_admin] local-user privilege level 15
[Huawei-aaa-domain-default_admin] local-user service-type terminal ssh http
//Последняя строчка разрешает пользователю заходить и локально, без использования Радиуса.
system-view
[Huawei] interface
[Huawei-Vlanif] description =AC-Management=
[Huawei-Vlanif] ip address
[Huawei-Vlanif] vrrp vrid 1 virtual-ip
[Huawei-] admin-vrrp vrid 1
[Huawei-] vrrp vrid 1 priority 120
[Huawei-] vrrp vrid 1 preempt-mode timer delay 1800
[Huawei-] vrrp vrid 1 timer advertise 1
[Huawei-] management-interface // на модели 6005 эта команда не нужна
Эта настройка помогает использовать ранее созданные vlan’ы.
1.12. Настраиваем интерфейс для HSB между основными и резервными контроллерами
system-view
[Huawei] interface Vlanif
[Huawei-Vlanif] description =HSB Service=
[Huawei-Vlanif] ip address
Через эту настройку оборудование получает лицензии, нужные для подключения и работы.
1.13. Настраиваем линки между основным и резервным контроллером.
system-view
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan
Также настраиваем отдельный порт для HSB, нужного для передачи лицензий.
1.14. Указываем IP-адреса для работы HSB
system-view
[Huawei] hsb-service 0
[Huawei-hsb-service-0] service-ip-port local-ip peer-ip local-data-port 10241 peer-data-port 10241[Huawei-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
[Huawei-hsb-service-0] hsb-group 0
[Huawei-hsb-group-0] track vrrp vrid 1 interface Vlanif
[Huawei-hsb-group-0] bind-service 0
[Huawei-hsb-group-0] hsb enable
system-view
[Huawei] interface Eth-Trunk1
[Huawei-Eth-Trunk1] port link-type trunk
[Huawei-Eth-Trunk1] undo port trunk allow-pass vlan 1
[Huawei-Eth-Trunk1] port trunk allow-pass vlan to
[Huawei-Eth-Trunk1] mode lacp-static
Этот интерфейс объединяет в себя другие, что повышает отказоустойчивость, скорость и стабильность передачи данных. Провести такие настройки можно не на каждой топологии — на нашей это было возможно.
1.16. Указываем, какие физические интерфейсы будут участвовать в eth-trunk’е
system-view
[Huawei] interface XGigabitEthernet0/0/1
[Huawei-XGigabitEthernet0/0/1] eth-trunk 1
[Huawei-XGigabitEthernet0/0/1] interface XGigabitEthernet0/0/2
[Huawei-XGigabitEthernet0/0/2] eth-trunk 1
system-view
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei-GigabitEthernet0/0/2] interface GigabitEthernet0/0/3
[Huawei-GigabitEthernet0/0/3] port link-type access
[Huawei-GigabitEthernet0/0/3] port default vlan 2
[Huawei-GigabitEthernet0/0/3] interface GigabitEthernet0/0/4
[Huawei-GigabitEthernet0/0/4] port link-type access
[Huawei-GigabitEthernet0/0/4] port default vlan 2
[Huawei-GigabitEthernet0/0/4] interface GigabitEthernet0/0/5
[Huawei-GigabitEthernet0/0/5] port link-type access
[Huawei-GigabitEthernet0/0/5] port default vlan 2
[Huawei-GigabitEthernet0/0/5] interface GigabitEthernet0/0/6
[Huawei-GigabitEthernet0/0/6] port link-type access
[Huawei-GigabitEthernet0/0/6] port default vlan 2
[Huawei-GigabitEthernet0/0/6] interface GigabitEthernet0/0/7
[Huawei-GigabitEthernet0/0/7] port link-type access
[Huawei-GigabitEthernet0/0/7] port default vlan 2
И точно таким же образом настраиваем все неиспользуемые интерфейсы.
[Huawei-GigabitEthernet0/0/8] port link-type access
[Huawei-GigabitEthernet0/0/8] port default vlan 2
По сути отключаем эти порты, а на случай, если их кто-то ненамеренно включит, настраиваем vlan-блэкхолл, в котором ничего нельзя сделать. Так сеть становится безопаснее.
Важно! Эти настройки помогли сделать безопаснее нашу сеть. В вашем случае необходимо учесть модель контроллера и количество портов.
1.18. Настраиваем SNMP на КТД
system-view
[Huawei] snmp-agent community write
[Huawei] snmp-agent community complexity-check disable
[Huawei] snmp-agent sys-info contact Administrator
[Huawei] snmp-agent sys-info location
[Huawei] snmp-agent sys-info version v2c
[Huawei] snmp-agent target-host trap-hostname esight address udp-port
[Huawei] snmp-agent trap enable
[Huawei] snmp-agent
Это протокол для мониторинга, через который мы контролируем подключённые к сети устройства. Мы подключаем его везде, где требуется внимание администратора.
1.19. Настраиваем удалённый доступ через SSH
system-view
[Huawei] ssh client first-time enable
[Huawei] stelnet server enable
[Huawei] undo telnet ipv6 server enable
[Huawei] ssh server secure-algorithms cipher aes256_ctr aes128_ctr
[Huawei] ssh server secure-algorithms hmac sha2_256 md5
[Huawei] ssh server key-exchange dh_group14_sha1
[Huawei] ssh client secure-algorithms cipher aes256_ctr aes128_ctr
[Huawei] ssh client secure-algorithms hmac sha2_256
[Huawei] ssh client key-exchange dh_group14_sha1
system-view
[Huawei] ip route-static 0.0.0.0 0.0.0.0
В нашей топологии у контроллера статический IP-адрес и статический маршрут по умолчанию.
1.22. Настраиваем CAPWAP
system-view
[Huawei] capwap source ip-address
Эта настройка задаёт адрес, на который ТД будут строить capwap-туннели, передающие информацию от контроллера к точкам доступа. Их используют для заливки софта и синхронизации определённых параметров.
1.23. Настраиваем доступ по консоли и терминалу для возможности локально авторизоваться
system-view
[Huawei] user-interface con 0
[Huawei-ui-console0] authentication-mode aaa
[Huawei-ui-console0] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
system-view
[Huawei-wlan] wlan
[Huawei-wlan-view] calibrate enable auto interval 60 start-time 09:34:30
[Huawei-wlan-view] traffic-profile name default
[Huawei-wlan-traffic-prof-default] undo traffic-optimize bcmc unicast-send dhcp
security-profile name default
[Huawei-wlan-traffic-prof-default] security-profile name default-wds
[Huawei-wlan-sec-prof-default-wds] security wpa2 psk pass-phrase
[Huawei-wlan-sec-prof-default-wds] security-profile name
[Huawei-wlan-sec-prof] security wpa2 dot1x aes
[Huawei-wlan-sec-prof] security-profile name default-mesh
[Huawei-wlan-sec-prof-_default-mesh] security wpa2 psk pass-phrase
[Huawei-wlan-sec-prof-_default-mesh] ssid-profile name
[Huawei-wlan-ssid-prof-] ssid
[Huawei-wlan-ssid-prof-] vap-profile name
[Huawei-wlan-vap-prof-] service-vlan vlan-pool
[Huawei-wlan-vap-prof-] ssid-profile
[Huawei-wlan-vap-prof-] security-profile
Huawei-wlan-vap-prof-] authentication-profile
Дальше мы работаем с регионом. Мы используем типичные для РФ настройки, работая только на разрешённых частотах и оборудовании. В других странах другие требования и регламенты — обязательно проверьте их.
[Huawei-wlan-vap-prof-] regulatory-domain-profile name Russia
[Huawei-wlan-regulate-domain-Russia] country-code RU
[Huawei-wlan-regulate-domain-Russia] regulatory-domain-profile name default
[Huawei-wlan-regulate-domain-default] country-code RU
[Huawei-wlan-regulate-domain-default] ap-group name default
[Huawei-wlan-ap-group-default] regulatory-domain-profile Russia
[Huawei-wlan-ap-group-default] radio 0
[Huawei-wlan-ap-group-default-radio0/0] radio-2g-profile without802.11b
[Huawei-wlan-ap-group-default-radio0/0] vap-profile
wlan 1[Huawei-wlan-ap-group-default-radio0/0] radio 1
[Huawei-wlan-ap-group-default-radio0/1] vap-profile
wlan 1[Huawei-wlan-ap-group-default-radio0/1] ap-group name
[Huawei-wlan-ap-group-] regulatory-domain-profile Russia
system-view
[Huawei] wlan
[Huawei-wlan-view] master controller
[Huawei-master-controller] master-redundancy track-vrrp vrid 1 interface Vlanif
[Huawei-master-controller] master-redundancy peer-ip ip-address local-ip ip-address psk
Задаём трекинг и IP для обеспечения стабильности работы. У нас два взаимозаменяемых контроллера, поэтому мы настраиваем их работу следующим образом:
1.26. Задаём прошивку для подключаемых точек доступа
system-view
[Huawei-wlan-view] ap update update-filename ap-type 97
[Huawei-wlan-view] ap update update-filename ap-type 97 ap-group default
С этими настройками они точно будут поддерживать нужные функции и фишки. Мы выбрали FitAP2051DN_V200R010C00SPC800. После активации этой конфигурации прошивка будет загружаться автоматически в любую точку доступа, которую мы подключим в сеть.
1.27. Задаём типы подключаемых устройств и их идентификацию
system-view
[Huawei] device-profile profile-name @default_device_profile
[Huawei-device-prof-@default_device_profile] device-type default_type_phone
[Huawei-device-prof-@default_device_profile] enable
[Huawei-device-prof-@default_device_profile] rule 0 user-agent sub-match Android
[Huawei-device-prof-@default_device_profile] rule 1 user-agent sub-match iPhone
[Huawei-device-prof-@default_device_profile] rule 2 user-agent sub-match iPad
[Huawei-device-prof-@default_device_profile] if-match rule 0 or rule 1 or rule 2
Здесь это пока не используется — но при необходимости с этой настройкой можно задавать разные правила для Эппла и Андроида.
1.28. Настраиваем определение способа авторизации пользователей в сети
system-view
[Huawei] dot1x-access-profile name
[Huawei-dit1x-access-profile] dot1x-access-profile name dot1x_access_profile
Эта настройка нужна, если в сети можно авторизоваться с разных профайлов и разными способами.
1.29. Настраиваем NTP-клиент
system-view
[Huawei] ntp-service enable
[Huawei] ntp-service unicast-server
[Huawei] ntp-service unicast-server
Через этот клиент мы будем получать точнейшее время, единое для всех контроллеров. Это поможет правильно работать кластеру, серверам, сервисам и чему угодно, что задаёт проверку по системному времени.
2. Подключаем и настраиваем лицензию
Лицензия привязывается к серийному номеру контроллера и выдаётся на некоторое количество точек доступа. HSB выше настраивается как раз для того, чтобы не покупать лицензии на каждый из контроллеров, а легально их передавать в рамках одного кластера.
2.1. Согласно файлу лицензий на точки доступа заказываем лицензию на контроллер. Данные, которые необходимо предоставить для заказа лицензий: s/n контроллера, сетевое имя контроллера, количество точек доступа в лицензии без учёта дефолтных точек доступа.
2.2. После получения файла лицензии на точки доступа его необходимо загрузить на контроллер master.
2.3. Загружаем прошивку по tftp или ftp.
2.3. Загружаем прошивку по tftp или ftp.
tftp tftp_server_ip get license_file
ftp ftp_server_ip
[ftp] binary
[ftp] get license_file
3. Настраиваем группы
Здесь мы работаем с vlan-ами, их настройкой и распределением.
system-view
[Huawei] vlan pool
[Huawei-vlan-pool-pool] vlan // диапазон вланов для пользователей на конкретном коммутаторе распределения
system-view
[Huawei] wlan
[Huawei-wlan-view] vap-profile name
[Huawei-wlan-vap-prof—vap] service-vlan vlan-pool
[Huawei-wlan-vap-prof—vap] ssid-profile
[Huawei-wlan-vap-prof—vap] security-profile
[Huawei-wlan-vap-prof—vap] authentication-profile
// один vap-profile на один маршрутизатор сегмента сети
system-view
[Huawei] wlan
[Huawei-wlan-view] ap-group name
[Huawei-wlan-ap-group-] regulatory-domain-profile Russia
[Huawei-wlan-ap-group-] radio 0
[Huawei-wlan-ap-group-radio0/0] radio-2g-profile without802.11b
[Huawei-wlan-ap-group-radio0/0] vap-profile
[Huawei-wlan-ap-group-radio0/0] radio 1
[Huawei-wlan-ap-group-radio0/1] vap-profile
// одна группа соответствует одному маршрутизатора, одного сегмента сети
4. Переименовываем точки доступа и добавляем их в группы
Чтобы проект соответствовал топологии и работал корректно, каждой точке доступа нужно присвоить группу. Если этого не сделать, точка доступа не сможет авторизовать пользователей и не будет применять настройки профайлов и групп, сделанных ранее.
system-view
[Huawei] wlan
[Huawei-wlan-view] ap-id
[Huawei-wlan-ap-] ap-name
[Huawei-wlan-ap-] ap-group
На этом настройка контроллеров завершена.
P. S. А что в подобных проектах обычно делаете вы? Какие выбираете сервисы, как настраиваете контроллеры? Есть ли у вас какие-то любимые фишки? Делитесь ими в комментариях — мы будем рады обратной связи и дополнению статьи.