Pomoc s vyberom routerov

Michal Rybárik michal na rybarik.sk
Pondělí Leden 20 02:28:43 CET 2014


Zdravim,

On 01/13/2014 10:54 AM, Zatkovský Dušan wrote:
>
> bol som osloveny, aby som odporucil k zasietovaniu jedneho arealu 
> routery. V tejto teme sa ale bohuzial necitim dostatocne fundovany (*1)
> a tak nez slapim do lajna, tiez prosim o pomoc.
>
> Jedna sa o areal niekolkych budov, s rozne oddelenymi sietami 
> (firemna(e) lan + wifi pre klientov).
>
> Momentalne riesime public Wifi. Ta bude realizovana po 
> poschodiach/kridlach, pocet klientov moze dosiahnut
> dohromady niekolko stoviek. Kazde poschodie je pokryte 4-mi a viac 
> wifi AP-ckami, zvedenymi do rack-u,
> medzi rackami na poschodi je backbone dovedeny do centralneho racku 
> pre cely areal.
>
> Routovanie teda mozeme riesit dvomi sposobmi:
>
> A. na kazdom poschodi/kridle router, za nim 4 wifi ap v bridge. Adresy 
> klientov prideluje kazdy router na kazdom poschodi, kazde poschodie 
> ina siet.
> B. na kazdom poschodi/kridle switch, vsetky switche v stohu, za nimi 
> vsetky wifi ap v bridge, centralny router prideluje adresy pre celu 
> wifi siet
> C. na kazdom poschodi/kridle switch, za nim 4 wifi ap v bridge, 
> centralny viacportovy router, jeden port = jedna siet pre kazde poschodie
>
> Otazka znie:
>
> - riesili by ste ktorukolvek z uvedenych variant pomocou SOHO routerov 
> za par supov?

Nie, urcite nie. Pouzit v takejto instalacii routre je uplna blbost.

> - pokial nie, doporuci niekto nejake rozumne routery

Prepacte, ale memozem odporucit zle riesenie :) Routovanie je totiz na 
takejto sieti (resp topologii) blbost uz z principu, pretoze sa tym 
pripravujete o moznost plynuleho roamingu medzi AP, ktory je doslova 
nutnostou k tomu, aby to chodilo rozumne. Wifi bolo odjakziva vymyslene 
tak, ze s klientskym zariadenim (notebookom) mozete prechadzat medzi 
jednotlyvymi AP uplne plynule a bez straty spojenia. Cas ktory je 
potrebny na roaming z AP na druhe AP je radovo v desiatkach milisekund, 
s pouzitim IAPP (inter access point protocol) sa znizuje takmer k nule, 
co je uz vhodne aj pre plynule telefonovanie atd.
K tomu aby ste mohli prechadzat medzi AP bez straty spojenia, samozrejme 
musite mat stale zachovanu svoju IP adresu, a nie kazdu chvilu inu, 
nebodaj este kazdu chvilu inak NATovanu. To ze si spravite routrovanu 
siet na kazdom poschodi, nezabrani klientom, aby sa kvoli sile signalu v 
niektorych miestach pripajali (roamovali) na APcka umiestnene o 
poschodie nizsie alebo vyssie - a pri routovanej sieti bude stacit 
prejst o par krokov jednym alebo druhym smerom, a spojenie bude 
funkcne/nefunkcne/funkcne/nefunkcne...

Rozumne riesenie je iba jedno jedine:
- pouzit Accesspointy s rovnakym SSID a roznymi kanalmi (hlavne volba 
kanalov je dolezita, v pasme 2,4ghz mate iba 3 nezavisle kanaly - 1,6,13 
- accessponity treba rozmiestnit tak aby sa vam navzajom nerusili)
- vsetky accesspointy prepnut do rezimu bridge (ziadny routing)
- celu takuto siet zviest do jedneho miesta (napr. pouzitim VLAN) a tam 
na jednom velkom routri vsetko spolu odroutovat
- podla moznosti aplikovat na to nejaky centralny manazment AP a spravu 
uzivatelov, aby vam to neprerastlo cez hlavu

Pomerne bezne je uz dnes to, ze na kazde AP moze byt vyvedenych viac 
VLAN, napriklad jedna pre manazment zariadeni, druha pre "guest" traffic 
(hostia) a trietia pre "staff" (zamestnanci). Kazda uzivatelska VLAN sa 
namapuje na samostatne SSID (nazov bezdratovej siete) a prislusne sa 
odroutuje. Guest VLAN mozete odroutovat napriklad iba do internetu, 
Staff VLAN bude preroutovana aj na vnutornu LAN (intranet) a zamestnanci 
sa tak dostanu aj na vnutrofiremne servre. Guest VLAN nemusi mat ziadne 
sifrovanie ani pristupove heslo, ale bude mat obmedzenu rychlost alebo 
objem prenesenych dat za urcity cas. Staff VLAN moze mat sifrovanie a 
autorizaciu heslom a naopak neobmedzenu rychlost.

Na toto zadanie existuju rozne riesenia, od skladania krabiciek a Wifi 
karticiek a instalovania opensource OpenWRT linuxu alebo closedsource 
Mikrotik, cez komernce riesenia (napr Cisco)...

Ako sucasne TOP riesenie mozem odporucit UniFi od Ubiquiti Networks 
(www.ubnt.com), co je velmi elegantny a cenovo pristupny hardware, v nom 
(viacmenej) opensource Linux. K tomu je poskytovany bezplatny centralny 
softwarovy controller (java), na ktorom je mozne spravovat a dohladovat 
vsetky accesspointy aj ich uzivatelov, vratane povolovania guest 
pristupov, previazania na platobnu branu, atd. Uzivatelsky traffic 
controllerom neprechadza, ten sluzi iba na manazment.

V uplynulych par mesiacoch UniFi nasadzovali dvaja moji znami, v oboch 
pripadoch islo o pokrytie arealov viacerych budov, pre niekolko stoviek 
pripojenych klientov.
- v jednom pripade bolo UniFi nasadzovane po predchadzajucich 
skusenostiach s Cisco bezdrotovymi rieseniami. Zistenie bolo pre klienta 
velmi smutne, pretoze uz predtym investoval zhruba milion korun do Cisco 
Wifi, a teraz zistil, ze UniFi ktore je za cenu o 90% nizsiu, funguje 
lepsie ako to Cisco.
- v druhom pripade UniFy nasadzoval inak pomerne dost zaryty priaznivec 
Mikrotiku. UniFi ma jednotnu spravu, vhodnejsi hardware pre taketo 
pouzitie, a celkove financne aj casove naklady su pri UniFy nizsie a 
vysledok je lepsi, takze napriek orientacii na Mikrotik zvitazilo v 
tomto pripade pragmaticke riesenie.

Na zariadenia Ubiquiti Networks mozem dat dobru refereknciu aj ja 
osobne, vo firme ich mame nasadenych okolo tisic kusov a dalsie 
desattisice sme dodali/predali nasim klientom. Priamo modelova UniFi sa 
u nas nepouziva, ale principialne ide o podobne zariadenia.

> Cosi mi vravi, ze by som mal hodit zrak na Mikrotik, ale tato 
> platforma ma bohuzial uplne cela minula a neviem, ci uz na to nie je 
> moc neskoro :D

Tak tak, pre Mikrotik je uz dost neskoro, ten uz je za zenitom... ;o)

M.R.



Další informace o konferenci Linux