Triển khai mạng Wifi Mesh trên giải pháp của Cisco Meraki MR

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi an.vuong, 22/2/24.

  1. an.vuong

    an.vuong New Member

    - Các Access Point (APs) của Cisco Meraki MR có thể chạy như các 'Mesh Repeater', chúng để mở rộng phạm vi mạng không dây của một số Gateway AP hạn chế. Vì các repeater cũng hỗ trợ các client kết nối dây vào interface của chúng, một repeater có thể được sử dụng làm cầu nối một phân đoạn mạng LAN ở xa trở lại vùng mạng chính.

    - Những bộ Mesh repeater không dây có thể làm việc như một Wireless gateway cho các Access Point và:
    • Sử dụng cùng kênh sóng dành với mạng mesh để phục vụ kết nối cho các thiết bị client không dây.
    • Sử dụng các kênh non-mesh để phát wifi cho client.
    • Sử dụng cổng mạng Uplink để sử dụng trong các trường hợp được đưa ra bên dưới
    - Bài viết này mở rộng cách LAN có thể được mở rộng thông qua một bridge không dây, thêm vào đó là các giới hạn và yêu cầu. Có ba mô hình thiết kế được hỗ trợ để mở rộng mạng LAN thông qua mạng mesh không dây.
    • Mở rộng LAN cho các client kết nối qua dây
    • Mở rộng LAN cho một mạng chung của các Access Point và cả Wired Client.
    • Mở rộng LAN và cấu hình phân đoạn mạng.
    - Sự đồng bộ giữa một Gateway MR và Repeater MR chỉ mất vài phút trong hầu hết các trường hợp. Ngoài ra, thiết bị cũng nên được cập nhật firmware và cho phép các thiết bị để tải về cấu hình trước khi triển khai.

    - Theo quy tắc chung của mạng không dây, mỗi Wireless Hop trong mạng mesh sẽ giảm thông lượng của liên kết này xuống một nửa. Do đó, mạng mesh không dây có thể không phải là giải pháp khả thi nhất cho các môi trường cần hỗ trợ các ứng dụng có băng thông cao hoặc không chịu được độ trễ mạng. Meraki cũng khuyên bạn nên giới hạn số lượng các hop không dây ở mức là một (1) trừ khi thực sự cần nhiều hơn để cung cấp thêm cho các client không dây.

    I. MỞ RỘNG LAN CHO CÁC WIRED CLIENT:
    - Quản trị viên có thể sử dụng các Mesh repeater để phục vụ cho các Wired Client ở xa.

    Cấu hình:
    - Để các AP repeater chia sẻ kết nối không dây của chúng thông qua cổng Ethernet, phải đáp ứng các yêu cầu sau đây:
    • Tối thiểu một SSID ở bridge-mode phải được cấu hình trong Meraki Dashboard (có thể là một SSID sẵn có đang được các client sử dụng, nhưng phải là 'bridge mode').
    • Cả hai bridge AP phải được cấu hình để phát broadcast SSID này.
    • Nếu SSID đang được sử dụng là VLAN ID, thì cấu hình switchport Gateway MR phải được cấu hình để cho phép traffic này. Điều này có thể được thực hiện thông qua cấu hình Allowed VLANs trong cấu hình switchport.
    • Các VLAN phải được cắt bớt để chỉ bao gồm những VLAN cần thiết remote side của bridge.
    - Mặc định, client hoặc thiết bị cắm vào cổng Ethernet của repeater sẽ không có kết nối mạng. Khi bridge-SSID đã được cấu hình, vào trong 'Network-wide > Configure > General > Device configuration', thấy được tùy chọn để cấu hình 'Clients wired directly to Meraki Aps', và chọn nó để các client hoạt động giống như họ được kết nối với bridge-SSID.
    [​IMG]
    • Phương án xác thực của SSID này không quan trọng, các client nối dây sẽ bỏ qua bước xác thực và có kết nối mạng vì qua đó họ đã tham gia qua SSID.
    • Bạn cũng nên sử dụng một SSID ở bridge-mode riêng biệt được cấu hình làm 'device tags' cho mỗi AP đang có qua đó giới hạn SSID chỉ tới một số AP nhất định.
    • Vì lý do nhiễu kênh (RF interference). Kênh sóng thay đổi sẽ ảnh hướng tới việc gián đoạn đường truyền. Nếu môi trường RF nhiễu, bạn có thể tắt các kênh DFS (DFS Channel) và giới hạn lại một số kênh trong mục cấu hình RF profile.

    - Các AP được chọn để tạo thành một wireless link hoặc mesh với nhau phải nằm trong tầm kết nối trực tiếp của nhau.

    - Từ bản firmware 27.X trở xuống các Bridge chỉ hỗ trợ một VLAN. Nếu việc triển khai cần hỗ trợ cho nhiều subnet thì cần phải có một thiết bị có khả năng hoạt động ở lớp 3. Meraki MR repeater sẽ chỉ gửi/nhận traffic không gắn thẻ VLAN trên cổng mạng của nó bất kể cấu hình SSID đang sử dụng.

    - Kể từ bản firmware 28.1, hỗ trợ cho Multi-vlan đã được thêm vào.(*)

    - Khi ra mở rộng, các client kết nối dây mạng qua mesh không hỗ trợ việc sử dụng các VLAN bằng cách áp dụng 'Group Policies'.

    - Cisco Meraki Access Point sẽ cho phép traffic truy cập từ nhiều VLAN thông qua Mesh-link. Tính năng này có thể được kích hoạt gửi hỗ trợ cho support team. Có một số điều kiện cần được đáp ứng trước khi hỗ trợ chức năng này:

    1. Các Client cắm dây mạng trực tiếp vào Meraki AP cần phải cho phép một SSID cụ thể được dùng cho nhiều VLAN. Chọn cài đặt đó tron phần 'Network Wide > General'.
    [​IMG]
    2. Cấu hình SSID phải là dạng 'Bridge Mode'. Vào các mục sau để cấu hình 'Wireless > Access Control > Client IP assignment option'. (*)
    [​IMG]

    Mô hình mạng
    - Mô hình này có thể để mở rộng thêm vùng mạng LAN của bộ repeater, qua đó tạo một mạng 'remote side' lớn hơn. Trong đa số các trường hợp, cần thêm một Switch L2 nữa là đủ. Như sơ đồ bên dưới cho thấy việc mở rộng LAN sử dụng SSID được cấu hình sử dụng VLAN 20.

    - Chỉ có một untagged VLAN được hỗ trợ cho kết nối ở phía repeater. VLAN này sẽ có cùng VLAN với SSID đang chạy ở chế độ bridge-mode.
    [​IMG]

    II. MỞ RỘNG MẠNG LAN VÀ CẤU HÌNH PHÂN CHIA MẠNG:
    - Phương án này có thể để mở rộng LAN và hỗ trợ nhiều subnet ở remote side của bridge. Tuy nhiên, việc này cần thêm một switch L3 do tính chất của các frame 802.11 chặn các VLAN ID từ đường liên kết bride không dây. Thiết bị Switch Layer 3 này sẽ ghi lại frame và đặt nó vào VLAN cần thiết (transit) khi gửi nó tới 'Wireless bridge (repeater MR)'.

    Cấu hình
    • Cấu hình một SSID bridge-mode như đã được nhắc đến ở mô hình ở trên.
    • Cấu hình cổng Layer 3 trên switch đặt ở remote side của bridge.
      • Một transit VLAN (vd: VLAN 20 trong sơ đồ)
      • Tạo thêm các Access VLAN bất kỳ cho các AP và Client.
      • Cấu hình cần các static route cho cả đường upstream và trên remote site của bridge.
    • Cấu hình đường uplink hoặc transit của switch. Chỉ có một untagged VLAN được hỗ trợ cho đường kết nối này. VLAN này cũng được sử dụng cho SSID bridge-mode đang hoạt động.
    • Cấu hình các 'Access Port' cho các client theo các interface trên switch L3 đã được tạo.
      • Các VLAN không cần thiết cũng nên được loại bỏ bớt.
    Mô hình mạng
    [​IMG]

    - Các thiết bị Meraki MR và Client được thêm vào phải nằm trong một broadcast domain khác với đường transit VLAN (vd: VLAN 20 trong sơ đồ), nếu không các thiết bị ở remote side, bao gồm cả switch, có thể mất kết nối đường uplink.

    - Thiết bị Wireless Bridge và MR thêm vào mạng đã được triển khai ở remote side không được sử dụng chung kênh phát sóng nào khác. Việc này có thể đạt được thông qua cấu hình 'Static Channel' hoặc sử dụng 'RF Profile' để ngăn việc tự động chọn kênh.

    - Subnet thêm vào có thể được cấu hình để triển khai các MR bổ sung ở phía xa remote side. Subnet này phải là duy nhất và DHCP phải được cung cấp ở remote side của bridge.

    III. MÔI TRƯỜNG MULTI-HOP MESH :
    - Phương án này khả thi cho mô hình multi-hop mesh dựa vào các bộ repeater sẵn có để chuyển tiếp traffic từ các repeater không thể tham gia vào mạng mesh tới một gateway AP, hoặc gửi dữ liệu thông qua một đường mạng dây. Mô hình kết nối dưới đây mô tả một 'multi-hop mesh', mà trong đó AP xa nhất cách hai hop tính từ gateway.

    Cấu hình
    • Cấu hình triển khai như đã lưu ở phần II.
    • Cấu hình thêm SSID trên các thiết bị Meraki MR sẽ tham gia vào multi-hop mesh.
      • SSID này không thể được phát sóng trên các MR đang đặt trong kết nối bridge không dây.
    • Triển khai thực tế cho các MR.
      • Các MR phải trong tầm kết nối của chúng để thiết lập được 'mesh neighbor'.
      • Các MR làm Repeater/Mesh không nên được kết nối cùng mạng LAN với gateway MR.
    Mô hình mạng
    [​IMG]

    - Do mỗi bước nhảy giảm một nửa băng thông, nên sử dụng một thiết bị L3 để hỗ trợ ít nhất một Gateway MR ở remote side của wireless bridge thay vì sử dụng một trong hai bridge-AP này làm gateway cho multi-hop mesh.

    - Các Access Point nhằm mục đích tạo kết nối qua mesh không nên được kết nối với bất kỳ switch nào khác. Những AP đang tham gia vào một mạng multi-hop mesh không hỗ trợ các client qua dây mạng. Giao tiếp IP ngoài traffic của mesh bị chặn bởi MR repeater, do đó truy cập IP từ xa vào các switch sẽ bị mất. Để kết hợp phần IP và Mesh mở rộng, một thiết bị định tuyến sẽ cần được đưa vào như mô tả ở trên.

    IV. NHỮNG TRƯỜNG HỢP KHÔNG HỖ TRỢ:
    - Bridge không dây và mạng Mesh có khá nhiều điều kiện giới hạn. Dưới đây là các ví dụ điển hình cho các mô hình không được hỗ trợ.

    Thiết bị MR bổ sung thêm vào Remote Side
    - Sử dụng một Switch L2 và kết nối thêm các AP vào switch sẽ ảnh hưởng đến một số tình trạng không thể dự đoán được trong hầu hết các trường hợp. Kết quả là nó không được hỗ trợ. Nếu các AP được yêu cầu thêm vào, hãy xem lại hai phần ở trên và chọn mô hình phù hợp nhất cho môi trường thực tế của bạn.
    [​IMG]

    Các Client được kết nối tới mạng Multi-Hop Mesh
    - Khi Các Access Point Meraki MR ở dạng repeater vượt quá giới hạn nhiều hơn một 'wireless hop' không thể cung cấp kết nối cho các client cắm dây mạng. Mạng Multi-hop Mesh chỉ nên được triển khai để cung cấp kết nối mạng cho các Client qua Wifi.
    [​IMG]
     
    an.vuong, 22/2/24
    #1

trang này