Вопрос 6. Развертывание сети на базе Standalone ap. Рекомендации и ограничения решения. Особенности организации иб в домашних и малых корпоративных сетях.

Standalone AP (независимые точки доступа) — AP с локальной конфигурацией, не управляемые централизованным контроллером. Плюсы: простота, низкая стоимость, гибкость для малого офиса/дома. Минусы: сложность централизованного управления при большом количестве AP, отсутствие централизованного RRM/роуминга и ограниченные возможности масштабирования.

Рекомендации/ограничения:

• Количество AP: для до нескольких точек — подходит; при десятках AP управление становится неудобным.

• Безопасность: в малом бизнесе допустим PSK (WPA2/WPA3-Personal) для простоты, однако для административного доступа (ручки/консоль) и сотрудников предпочтительно 802.1X с RADIUS. Обязательно настроить гостевые сети (отдельный SSID + VLAN), изоляцию клиентов (client isolation) для гостевых SSID.

• Обновление прошивки: вручную на каждом AP — следите за обновлениями безопасности.

• Роуминг: при standalone нет централизованного управления ключами и быстрых механизмов роуминга (хотя многие AP поддерживают 802.11r). Для чувствительных к задержкам приложений (VoIP) лучше контроллерная архитектура.

• Логи и мониторинг: обычно скудные — используйте внешние инструменты или облачные сервисы производителя, если доступны.

Для домашней и малой корпоративной ИБ: включить WPA2/WPA3, сложные пароли/PSK если PSK используется, отключить WPS (он уязвим), включить гостевые сети, обновлять прошивку, ограничить доступа к интерфейсу управления по локальной сети или VPN, отключить ненужные службы (телеметрия, UPnP, WPS).

Вопрос 7. Развертывание сети на базе WLC. Преимущества подхода. Схема и элементы типового решения. Основные этапы настройки. Протокол взаимодействия WLC и Т.Д. Особенности организации ИБ средних и крупных в корпоративных сетях.

WLC (Wireless LAN Controller) — централизованное управление AP. Преимущества: единая конфигурация, централизованные политики безопасности и QoS, централизованный RRM/динамический выбор мощности/каналов, упрощённый масштабируемый роуминг, централизованный мониторинг и оповещения, интеграция с RADIUS/AAA, возможность внедрять wIPS и NAC-политику.

Типовая схема: ядро сети (L3), контроллеры (WLC), точечные AP подключены к коммутаторам (PoE), RADIUS/AD для аутентификации, DHCP/DNS, сервер логов/системы мониторинга, шаблоны политик для SSID, guest portal/система биллинга при необходимости.

Основные этапы настройки: подготовка сети (VLAN, PoE, DHCP), подключение и регистрация AP на контроллере (AP находит WLC через DHCP option, DNS записи или статическую настройку), создание SSID и привязка к VLAN/политикам, настройка безопасности (WPA2/WPA3, 802.1X), настройка RRM/каналов и мощности, настройка QoS и приоритетов, тестирование и мониторинг.

Протокол взаимодействия WLC и AP: в большинстве коммерческих решений используется протокол CAPWAP (Control And Provisioning of Wireless Access Points) — туннелирует управление и/или трафик, реализует распределение конфигурации и управление AP.

ИБ в средних/крупных сетях: обязателен 802.1X/EAP для сотрудников (Enterprise), сегментация трафика (VLAN), централизованная учет/логирование (Syslog/SIEM), wIPS/wIDS, гостевые порталы с ограничением доступа, контроль доступа на уровне NAC (Network Access Control), политика обновления и управления уязвимостями. Централизованная архитектура упрощает применение единых политик и инвентаризацию