Comments 25
UFO just landed and posted this here
А проект расположения точек и обследование радиообстановки были?
Да. Собрали тестовый стенд из точки доступа, большого упса и макбука. Побродили среди строителей, сделали замеры для типового этажа, покатались на крыше лифта.
Это отдельностоящяя башня, без каких-либо соседних офисов и источников интерференции, с большими открытыми опенспейсами — поэтому результаты измерений практически не отличались от сгененрированных карт и умозрительных предсказаний.
Это отдельностоящяя башня, без каких-либо соседних офисов и источников интерференции, с большими открытыми опенспейсами — поэтому результаты измерений практически не отличались от сгененрированных карт и умозрительных предсказаний.
Простите, не понял вашего ответа относительно проекта и методологии обследования.
В начале работ у нас был только план типового этажа офисного здания, а так же примерная схема расположения рабочих мест. Исходя из этого была спланирована расстановка точек, с учетом количества устройств которые будут приходиться на каждую точку доступа, проницаемости стен в двух диапазонах и межэтажных перекрытий. После чего были сгенерированы heatmap'ы и проведена проверка их достоверности в реальных условиях.
Вспомнилось
Как обеспечиваете мониторинг работы беспроводной сети?
Кластер проще и лучше реализовать на 5508 HA
С одной стороны завидую практически неограниченному бюджету.
А с другой стороны не завидую ответственности в случае падения этого хозяйства)
По теме у меня один вопрос: как подключены гаджеты сотрудников? WPA2-Enterprise многие не поддерживают.
PSK? Гостевой доступ? Киоск для сотрудников с PSK-тикетами?
Гостей можно подключать тикетами на, скажем, неделю.
А заставлять сотрудников каждую неделю вбивать новый пасс негуманно.
Или где почитать?)
А с другой стороны не завидую ответственности в случае падения этого хозяйства)
По теме у меня один вопрос: как подключены гаджеты сотрудников? WPA2-Enterprise многие не поддерживают.
PSK? Гостевой доступ? Киоск для сотрудников с PSK-тикетами?
Гостей можно подключать тикетами на, скажем, неделю.
А заставлять сотрудников каждую неделю вбивать новый пасс негуманно.
Или где почитать?)
Если смотреть на текущий момент — количество таких девайсов незначительно, а для оставшихся есть гостевая (wpa2 personal) сеть.
Во всех остальных случаях — полу-изолированные wlan'ы c psk авторизацией и урезанными доступами.
Как вариант можно рассмотреть mac-radius, но у нас такое решение не прижилось ввиду ещё меньшей безопасности.
Во всех остальных случаях — полу-изолированные wlan'ы c psk авторизацией и урезанными доступами.
Как вариант можно рассмотреть mac-radius, но у нас такое решение не прижилось ввиду ещё меньшей безопасности.
У Ruckus есть штука под названием ZeroIT, когда длиннющий PSK генерится после авторизации пользователя в браузере и привязывается к маку устройства при первом подключении. Сертификаты тоже можно создавать, но из больших ОС и Андроида их несложно вытащить, так что преимущества сомнительные.
Единственное но: при истечении срока действия (можно выставить пару лет) просто перестаёт подключаться, не давая подсказок в чём дело.
Единственное но: при истечении срока действия (можно выставить пару лет) просто перестаёт подключаться, не давая подсказок в чём дело.
Шикарная технологий у rucus-а! Жаль у других такого нет.
А персональные устройства, неподконтрольные администраторам и маркетингово продвигаемый BYOD — это жуткая проблема в безопасности. Сертификаты, как Вы писали — можно вынуть из многих устройств. А в случае PEAP MSchap — легко получить хеш с помощью фейковой точки. Т.к. большинство неподконтрольных администратрам кривых клиентов спросит пользователя: слушай, тут сертификат хреновый, подключаться будем? И конечно же юзер нажмет подключиться)))
А персональные устройства, неподконтрольные администраторам и маркетингово продвигаемый BYOD — это жуткая проблема в безопасности. Сертификаты, как Вы писали — можно вынуть из многих устройств. А в случае PEAP MSchap — легко получить хеш с помощью фейковой точки. Т.к. большинство неподконтрольных администратрам кривых клиентов спросит пользователя: слушай, тут сертификат хреновый, подключаться будем? И конечно же юзер нажмет подключиться)))
Если не ошибаюсь, к WLC и прайму можно ISE прикрутить, как раз для авторизации через AD, LDAP. Для гостей — гостевой портал, пароль через SMS и прочие плюшки/статистику.
Отличная статья. Спасибо. Прямо учебник для Cisco -«внедрятилей»
Практически аналогично я строил сетку для спорт комплекса. На " немного" больше пользователей.
Порекомендую статью коллегам. Пускай переводят.
Практически аналогично я строил сетку для спорт комплекса. На " немного" больше пользователей.
Порекомендую статью коллегам. Пускай переводят.
В режиме «AP SSO» WLC не обязательно ставить рядом, у нас они разнесены по разным зданиям и общаются через выделенный Vlan.
В софте 7.3..4 — медный патчкорд между контроллерами был обязательным требованием.
Теоретически — этот патчкорд можно было засунуть в свич и пробросить куда угодно, но требовалось обеспечить падение физического интерфейса на другой стороне для корректной работы фейловера. Городить ради этого mpls'ный псевдопровод мы не стали.
Теоретически — этот патчкорд можно было засунуть в свич и пробросить куда угодно, но требовалось обеспечить падение физического интерфейса на другой стороне для корректной работы фейловера. Городить ради этого mpls'ный псевдопровод мы не стали.
В пункте 5.1 вы писали про запуск спектроанализатора, в результатах работы которого видны beacon'ны. Подскажите, что за софт использовали?
Спасибо за отличную статью! Описаны очень интересные жизненные вопросы, о которых очень мало написано.
Во второй главе разве не IPSEC должно быть?
Sign up to leave a comment.
Ни единого разрыва: как мы создавали беспроводную сеть для 3000 устройств