Pomoc s vyberom routerov
Michal Rybárik
michal na rybarik.sk
Pondělí Leden 20 02:28:43 CET 2014
Zdravim,
On 01/13/2014 10:54 AM, Zatkovský Dušan wrote:
>
> bol som osloveny, aby som odporucil k zasietovaniu jedneho arealu
> routery. V tejto teme sa ale bohuzial necitim dostatocne fundovany (*1)
> a tak nez slapim do lajna, tiez prosim o pomoc.
>
> Jedna sa o areal niekolkych budov, s rozne oddelenymi sietami
> (firemna(e) lan + wifi pre klientov).
>
> Momentalne riesime public Wifi. Ta bude realizovana po
> poschodiach/kridlach, pocet klientov moze dosiahnut
> dohromady niekolko stoviek. Kazde poschodie je pokryte 4-mi a viac
> wifi AP-ckami, zvedenymi do rack-u,
> medzi rackami na poschodi je backbone dovedeny do centralneho racku
> pre cely areal.
>
> Routovanie teda mozeme riesit dvomi sposobmi:
>
> A. na kazdom poschodi/kridle router, za nim 4 wifi ap v bridge. Adresy
> klientov prideluje kazdy router na kazdom poschodi, kazde poschodie
> ina siet.
> B. na kazdom poschodi/kridle switch, vsetky switche v stohu, za nimi
> vsetky wifi ap v bridge, centralny router prideluje adresy pre celu
> wifi siet
> C. na kazdom poschodi/kridle switch, za nim 4 wifi ap v bridge,
> centralny viacportovy router, jeden port = jedna siet pre kazde poschodie
>
> Otazka znie:
>
> - riesili by ste ktorukolvek z uvedenych variant pomocou SOHO routerov
> za par supov?
Nie, urcite nie. Pouzit v takejto instalacii routre je uplna blbost.
> - pokial nie, doporuci niekto nejake rozumne routery
Prepacte, ale memozem odporucit zle riesenie :) Routovanie je totiz na
takejto sieti (resp topologii) blbost uz z principu, pretoze sa tym
pripravujete o moznost plynuleho roamingu medzi AP, ktory je doslova
nutnostou k tomu, aby to chodilo rozumne. Wifi bolo odjakziva vymyslene
tak, ze s klientskym zariadenim (notebookom) mozete prechadzat medzi
jednotlyvymi AP uplne plynule a bez straty spojenia. Cas ktory je
potrebny na roaming z AP na druhe AP je radovo v desiatkach milisekund,
s pouzitim IAPP (inter access point protocol) sa znizuje takmer k nule,
co je uz vhodne aj pre plynule telefonovanie atd.
K tomu aby ste mohli prechadzat medzi AP bez straty spojenia, samozrejme
musite mat stale zachovanu svoju IP adresu, a nie kazdu chvilu inu,
nebodaj este kazdu chvilu inak NATovanu. To ze si spravite routrovanu
siet na kazdom poschodi, nezabrani klientom, aby sa kvoli sile signalu v
niektorych miestach pripajali (roamovali) na APcka umiestnene o
poschodie nizsie alebo vyssie - a pri routovanej sieti bude stacit
prejst o par krokov jednym alebo druhym smerom, a spojenie bude
funkcne/nefunkcne/funkcne/nefunkcne...
Rozumne riesenie je iba jedno jedine:
- pouzit Accesspointy s rovnakym SSID a roznymi kanalmi (hlavne volba
kanalov je dolezita, v pasme 2,4ghz mate iba 3 nezavisle kanaly - 1,6,13
- accessponity treba rozmiestnit tak aby sa vam navzajom nerusili)
- vsetky accesspointy prepnut do rezimu bridge (ziadny routing)
- celu takuto siet zviest do jedneho miesta (napr. pouzitim VLAN) a tam
na jednom velkom routri vsetko spolu odroutovat
- podla moznosti aplikovat na to nejaky centralny manazment AP a spravu
uzivatelov, aby vam to neprerastlo cez hlavu
Pomerne bezne je uz dnes to, ze na kazde AP moze byt vyvedenych viac
VLAN, napriklad jedna pre manazment zariadeni, druha pre "guest" traffic
(hostia) a trietia pre "staff" (zamestnanci). Kazda uzivatelska VLAN sa
namapuje na samostatne SSID (nazov bezdratovej siete) a prislusne sa
odroutuje. Guest VLAN mozete odroutovat napriklad iba do internetu,
Staff VLAN bude preroutovana aj na vnutornu LAN (intranet) a zamestnanci
sa tak dostanu aj na vnutrofiremne servre. Guest VLAN nemusi mat ziadne
sifrovanie ani pristupove heslo, ale bude mat obmedzenu rychlost alebo
objem prenesenych dat za urcity cas. Staff VLAN moze mat sifrovanie a
autorizaciu heslom a naopak neobmedzenu rychlost.
Na toto zadanie existuju rozne riesenia, od skladania krabiciek a Wifi
karticiek a instalovania opensource OpenWRT linuxu alebo closedsource
Mikrotik, cez komernce riesenia (napr Cisco)...
Ako sucasne TOP riesenie mozem odporucit UniFi od Ubiquiti Networks
(www.ubnt.com), co je velmi elegantny a cenovo pristupny hardware, v nom
(viacmenej) opensource Linux. K tomu je poskytovany bezplatny centralny
softwarovy controller (java), na ktorom je mozne spravovat a dohladovat
vsetky accesspointy aj ich uzivatelov, vratane povolovania guest
pristupov, previazania na platobnu branu, atd. Uzivatelsky traffic
controllerom neprechadza, ten sluzi iba na manazment.
V uplynulych par mesiacoch UniFi nasadzovali dvaja moji znami, v oboch
pripadoch islo o pokrytie arealov viacerych budov, pre niekolko stoviek
pripojenych klientov.
- v jednom pripade bolo UniFi nasadzovane po predchadzajucich
skusenostiach s Cisco bezdrotovymi rieseniami. Zistenie bolo pre klienta
velmi smutne, pretoze uz predtym investoval zhruba milion korun do Cisco
Wifi, a teraz zistil, ze UniFi ktore je za cenu o 90% nizsiu, funguje
lepsie ako to Cisco.
- v druhom pripade UniFy nasadzoval inak pomerne dost zaryty priaznivec
Mikrotiku. UniFi ma jednotnu spravu, vhodnejsi hardware pre taketo
pouzitie, a celkove financne aj casove naklady su pri UniFy nizsie a
vysledok je lepsi, takze napriek orientacii na Mikrotik zvitazilo v
tomto pripade pragmaticke riesenie.
Na zariadenia Ubiquiti Networks mozem dat dobru refereknciu aj ja
osobne, vo firme ich mame nasadenych okolo tisic kusov a dalsie
desattisice sme dodali/predali nasim klientom. Priamo modelova UniFi sa
u nas nepouziva, ale principialne ide o podobne zariadenia.
> Cosi mi vravi, ze by som mal hodit zrak na Mikrotik, ale tato
> platforma ma bohuzial uplne cela minula a neviem, ci uz na to nie je
> moc neskoro :D
Tak tak, pre Mikrotik je uz dost neskoro, ten uz je za zenitom... ;o)
M.R.
Další informace o konferenci Linux