company_banner

Как мы строили свою WiFi-сеть

    Я хочу рассказать о том, как мы строили свой собственный, хороший WLAN — Wireless LAN.

    Эта статья будет полезна тем, кто собирается построить в своей компании WLAN, причем не простой, а хорошо управляемый и такой, чтобы пользователи этого WLAN были довольны, т. е. не замечали бы его после начального подключения.


    Как это все начиналось


    WLAN в нашей компании существует очень давно, с 2002 года, когда вся беспроводная сеть в офисе была представлена всего одной SOHO точкой 3COM стандарта 802.11b, которая покрывала весь офис. Нагрузка на нее была невелика, WiFi-устройств было очень мало.

    Шли годы, офис увеличивался, появился стандарт 802.11g. Мы шли по пути постепенного увеличения количества SOHO точек с одинаковым SSID-ом. Задача была в том, чтобы WiFi просто был. Сначала был один этаж с 6 точками LinkSys WAP54G, затем появился второй этаж, куда мы начали ставить точки Cisco (они же LinkSys) стандарта gn. Если где-то не хватало покрытия, мы просто добавляли точку.

    Пока клиентских устройств было не очень много, такая схема работала неплохо. Да, были проблемы с роумингом, когда клиент до последнего цеплялся за точку, с которой соединился вначале и не хотел переходить на другую точку, сигнал от которой лучше. Да, такой сетью было неудобно управлять: замена SSID-а или добавление нового, требовало обойти все точки, которых было в максимуме этой сети — 12 штук. Да, понять, что происходит в WLAN сети, было непросто, т. к. все точки работали «сами по себе» без централизованного управления. Даже определить количество одновременно подключенных клиентов было непросто. Отказоустойчивость такой сети также была не на высоте. Достаточно было «зависнуть» одной точке — и сразу появлялась дырка в покрытии. Но все это компенсировалось низкой стоимостью этой сети. Одна точка стоила $130-$150, собственно только из стоимости точек и складывалась стоимость сети.

    Одновременно росло количество WiFi-клиентов, которых уже не устраивал «просто WiFi в офисе». Они хотели высокопроизводительный WiFi, с возможностью перемещаться по офису и при этом не терять связь. Также стало понятно, что наша компания будет переезжать в новый офис. Это было начало-середина 2012 года, соответственно, перед нашим отделом встала задача построить качественный WiFi в новом офисе до переезда.

    План был такой:
    1. Определиться с задачами, которые должен был решать наш WLAN.
    2. Выбрать производителя WLAN.
    3. Спроектировать расположение точек, т. к. это нужно было сделать до окончания прокладки СКС в здании, чтобы не превращать установку точек в отдельный строительный проект.
    4. Составить точный список оборудования для заказа.
    5. Смонтировать, настроить и протестировать сеть.

    Задачи


    Нам нужен в первую очередь надежный WLAN, чтобы пользователи не задумывались о решении проблем с подключением к сети. Скорость WLAN должна обеспечивать комфортный software development и доступ в Интернет. Задачу по замене проводной сети на беспроводную мы перед собой не ставили, т. к. никакой WLAN не заменит девелоперу проводное подключение на 1 Gbit, которое мы и так обеспечиваем на каждом рабочем месте.

    Нужна возможность удобного управления WLAN — для быстрого создания новых беспроводных сетей, например для гостей или проводимых в офисе конференций. Возможность централизованного управления сетями в географически разнесенных офисах, т. е. чтобы пользователь, подключившись в одном из офисов и переехав со своими мобильными устройствами в другой офис, подключился к сети уже автоматически.

    Разумеется, нужна возможность удаленного управления WLAN сетями в других наших офисах, которые по странному стечению обстоятельств также переезжали в новые помещения примерно в это же время и в которых старая WLAN также нуждалась в замене.

    Выбор производителя

    Это была одна из наиболее сложных задач. Все производители обещают, что именно их решение самое лучшее. Понятно, что для наших задач (централизованное управление сетью, да еще и в нескольких офисах) нужен WLAN с контроллером, т. к. вариант без контроллера мы уже использовали, а новая сеть должна быть в 2-3 раза больше.

    Я рассматривал таких производителей: Cisco, Motorola и Aruba. Вначале еще рассматривал HP, т. к. наша проводная сеть построена именно на HP, но после прочтения нескольких тестов производительности, где HP занимал последние места, я исключил его из рассмотрения.

    Итак, Cisco — лидер сетевой индустрии. Любое сетевое решение, построенное на Cisco, должно работать хорошо. Обратная сторона — цена решения, которая обычно выше, чем у конкурентов. В обычном WLAN решении от Cisco весь трафик с точек доступа поступает на контроллер, который занимается дальнейшей обработкой пакетов. В этом варианте есть как плюсы (весь трафик проходит через одну точку), так и минусы: жесткая зависимость от работоспособности контроллера и ширина канала, по которому подключен контроллер к проводной сети. По этой же причине в каждом офисе нужно ставить свой собственный контроллер WLAN.

    Aruba Networks. Один из основных конкурентов Cisco в сегменте беспроводных сетей. Продвигают свое решение без контроллера, т. е. контроллер находится где-то в облаке, а точки находятся у вас в офисе. Год назад я не был готов ставить свою беспроводную сеть в зависимость от облачного сервиса.

    Motorola. WLAN решение от Motorola — WiNG 5 — делает упор на децентрализованность. Каждая точка является достаточно умной, чтобы авторизовать клиента и затем пропускать трафик между беспроводным и проводным сегментами сети в соответствии с настройками, которые точка получает с контроллера. Т. е. в этом случае мы получаем сегмент проводной сети, обычно это VLAN с трафиком от беспроводных клиентов, и затем мы можем управлять этим трафиком с помощью инфраструктуры обычного LAN. Контроллер используется только для управления точками доступа и сбора статистики. Также есть очень полезный для нас режим работы, когда контроллером становится одна из точек доступа, а при ее недоступности производится процедура выбора точки-контроллера из оставшихся точек сети.

    Здесь Моторола показывает, как ходят данные в сети WiNG5 по сравнению с другими архитектурами:


    Также в процессе выбора производителя на меня повлияли советы товарища apcsb, который прислал ссылки на очень хорошие мануалы по развертыванию и настройке WiNG 5. После прочтения этих документов стало ясно, что архитектура WiNG 5 с вариантом подключения NOC (Network Operations Center) подходит нам больше всего.



    Схема сети вырисовывалась такая: в самом большом офисе, где нужно поставить больше всего точек, мы устанавливаем контроллер и самые простые, «зависимые» точки, которые без контроллера могут работать только несколько минут. В удаленных офисах мы устанавливаем «независимые» точки, которые могут брать на себя функции контроллера в случае недоступности основного контроллера, но управлять удаленными офисами мы все равно будем с центрального контроллера. Это было особенно удобно, т. к. удаленным офисам уже была нужна новая беспроводная сеть, которую мы уже могли развернуть с помощью независимых точек, а главный офис был еще не готов. После запуска главного офиса, в котором и будет находиться WLAN контроллер, мы переключим удаленные офисы на работу с ним.

    Как же расположить WiFi-точки?


    Нам предстояло обеспечить отличное WiFi-покрытие в новом офисе, который представляет собой новое 7-этажное здание. Нужен был WiFi на каждом этаже, а также на крыше здания, которая является эксплуатируемой, т. е. там могут находиться люди. То, что здание новое, в процессе проектирования WiFi-сети, очень полезно знать, т. к. именно в новых зданиях используются хорошие железобетонные перекрытия, которые отлично экранируют WiFi-сигнал. Все этажи имеют одинаковую форму — почти прямоугольник 45x30 метров с железобетонной конструкцией в центре (туалеты, лестницы и лифтовые шахты).

    Сложность заключалась в следующем: на этажах полностью отсутствовали внутренние перегородки, т. к. их еще предстояло построить. Но WLAN-оборудование надо было уже заказывать, т. к. обычные сроки поставки — от 2 месяцев. Соответственно, мы не могли сделать полноценное радиообследование уже готового помещения, как советуют во всех руководствах, и пришлось положиться только на чертежи будущих перегородок. Небольшое радиообследование мы все-таки провели: выяснили, что можно покрыть практически весь этаж двумя WiFi-точками 2,4 Ггц мощностью 17 dBm и получить уровень сигнала в большинстве мест этажа не менее -70d Bm. Также мы выяснили, что посторонних WLAN-сетей в здании и поблизости нет, а железобетонное перекрытие между этажами экранирует сигнал до уровня -80-90 dBm.

    Стало понятно, что с помощью двух, а лучше трех WiFi-точек мы худо-бедно обеспечим покрытие одного этажа в диапазоне 2,4 Ггц при отсутствии перегородок. Однако полной уверенности, что это будет хороший WiFi, не было. Поэтому я решил смоделировать этаж в какой-либо системе для проектирования беспроводных сетей. У Motorola есть такой софт, специально предназначенный для таких задач, — LANPlanner. Наверняка система хорошая, но стоит в районе 300 тыс. руб. и невозможно посмотреть даже демо-версию. После некоторых поисков я нашел программу TamoGraph Site Survey, которая позволяет составлять карту покрытия WLAN, а также проводить моделирование с использованием виртуальных WiFi-точек и виртуальных стен. Цена на эту программу была в 10 раз меньше по сравнению с LANPlanner, и, учитывая, что неправильное расположение WiFi-точек обойдется значительно дороже, я решил воспользоваться именно TamoGraph.

    Вооружившись строительными планами будущих перегородок и TamoGraph Site Survey, я нарисовал план одного этажа, используя виртуальные материалы стен с теми же характеристиками, которые будут у наших будущих перегородок. После размещения на плане виртуальных WiFi-точек стало понятно, что программа моделирования — вещь чрезвычайно полезная. Она сразу показала, как будут влиять на распространение сигнала бетонные колонны, которые также были на этаже, но которые учесть «на глаз» было очень сложно. После моделирования стало ясно, что даже для диапазона 2,4 Ггц очень желательно поставить 4 точки на этаж. А если мы хотим использовать диапазон 5 Ггц, то точек нужно больше и ставить их нужно чаще. В итоге мы остановились на схеме с 6 точками на этаж, при этом мощность каждой точки в диапазоне 5 Ггц не превышает 17 dB и основные части этажа покрываются одновременно как минимум 2 точками. Тем самым мы обеспечиваем надежность работы WLAN в случае выхода из строя одной из точек на этаже.

    Вот пример того, как выглядит результат моделирования одного из этажей (цветом показан уровень сигнала на 5 Ггц):


    Итак, расположение точек известно, схема сети в целом понятна.

    Что же нужно купить?


    В главный офис нужно 39 «зависимых» dependent или thin точек, т. к. контроллер будет рядом. Это будут двухдиапазонные точки Motorola AP-650 «AP-0650-66030-WW» со встроенными антеннами. Это оптимальные двухдиапазонные точки от Motorola с поддержкой a/b/g/n стандартов. Они не могут работать без контроллера, и настроить без контроллера их нельзя.

    В удаленные офисы нужно покупать полноценные точки AP-6532 «AP-6532-66030-WW». Эта точка по WiFi-характеристикам является копией AP-650. Но эти точки могут работать как сами по себе, так и под управлением контроллера. Если они теряют связь с контроллером, то продолжают обслуживать WiFi-клиентов. Если же контроллера изначально нет, то его функции на себя берет одна из точек (выбирается автоматически). Софт на WiFi-точках и на контроллере — один и тот же. Стоимость точки AP-6532 примерно на 150$ выше, чем AP-650.

    Так выглядит эта точка на столе:


    А вот так уже установленная на потолке:


    Удобно, что на многих типах подвесных потолков эти точки можно закрепить без сверления отверстий: точка крепится к T-профилю потолка на защелках.

    В качестве контроллера, а точнее двух контроллеров для работы в кластере, я выбрал RFS6000. Здесь выбор был довольно прост: более простая версия RFS4000 не поддерживает нужного нам количества точек, а RFS7000 просто дороже. Также на контроллеры нужно купить сервисный контракт, по которому можно получать обновление софта и получить гарантийное обслуживание в течении 3 лет.

    Казалось бы, всё купили: точки, контроллеры, гарантию на контроллеры. Но нет: еще нужно купить лицензии для подключения точек к контроллеру. Выгоднее всего покупать лицензии пакетами, в нашем случае это 4 пакета по 16 лицензий, т. е. наши контроллеры смогут обслуживать 64 точки с учетом всех удаленных офисов. Интересная деталь: лицензии и контроллеры покупаются независимо, а потом на сайте Motorola вы связываете лицензии с определенным контроллером или контроллерами. В нашем случае все лицензии привязаны на один контроллер, а второй контроллер объединен с ним в кластер. Так вот в случае выхода из строя первого контроллера (с лицензиями), второй продолжит обслуживание с этими же лицензиями.

    Теперь разберемся с гарантией на точки. Гарантия на замену неисправных точек для всех Motorola точек стандарта «N» — пожизненная. Пожизненная — это значит не в течении Вашей жизни, а в течении жизненного цикла этих точек от компании Motorola. Как только они прекратят выпуск этих точек + сколько-то лет, и точку уже не поменяют. Думаю, что у других производителей точно такая же «пожизненная» гарантия, так что это не особенность именно Motorola. Еще можно приобрести дополнительную гарантию на точки, при которой, если у вас точка выходит из строя, вам сначала привозят новую, а затем вы отправляете старую обратно.

    Но и это еще не все. Еще нужен сервисный контракт на точки, чтобы можно было обновлять прошивки. В случае точек AP-650 стоимость сервисного контракта на точки уже заложена в сервисном контракте на контроллер и, соответственно, зависит от количества точек, которые подключаются к контроллеру. А вот на точки AP-6532, которые были куплены в других странах для удаленных офисов, нужно было покупать сервисный контракт на эти точки.

    Возможно, кому-то будут интересны цены на оборудование в России:
    Оборудование Цена
    Точка AP-650 $570
    Точка AP-6532 $720
    Контроллер RFS-6010 без лицензий $1870
    Гарантия для RFS-6010 на 3 года $850
    64 адаптивные лицензии $2835
    Точка AP-7161 (уличная) $2170
    Антенны для AP-7161 (нужно 6 штук) $125 за 1 шт


    Подключение и настройка


    С подключением никаких проблем не было. Сначала нам нужно было запустить WLAN в удаленных офисах, т. к. центральный офис был еще не готов. Для этого мы подключали несколько независимых точек AP-6532 в обычный сегмент сети на PoE-порты. Точки включались, самостоятельно находили друг друга в пределах LAN сегмента и самостоятельно выбирали одну из них как Virtual Controller. Соответственно, все настройки нужно проводить, подключившись именно к точке с функцией контроллера. Для обновления прошивки достаточно обновить ее на точке-контроллере, а она уже перепрошьет остальные точки.

    Порты на LAN-свитчах мы настроили в режим trunk, чтобы они принимали тегированные пакеты и распределяли их по соответствующим VLAN-ам. VLAN у нас настроено 2: для внутренних пользователей и для гостей. В каждом VLAN своя IP-адресация, и маршрутизируются они по-разному, но все это уже делается на обычном проводном оборудовании. На контроллере мы также создали 2 WLAN-сети: для сотрудников и для гостей, каждую со своим SSID-ом, которые отобразили на соответствующий VLAN. Т. е. клиент, подключаясь к одному из WLAN, попадает в соответствующий этой сети VLAN. Если говорить просто, то WiFi-точки выступают в виде распределенного WLAN-свитча и передают пакеты между WLAN и LAN сетями.

    Настроек на точках в этот момент нужно было сделать немного:
    1. Задать страну для rf-domain, чтобы точки работали в разрешенном для этой страны диапазоне.
    2. Создать нужное количество WLA-сетей (в нашем случае две) с соответствующими настройками security. При создании WLAN нужно указать VLAN, которым она будет тегироваться.
    3. Включить технологию SMART-RF, которая поможет автоматически выбрать каналы и мощность радиомодулей в точках, основываясь на зашумленности эфира и взаимном расположении точек. В дальнейшем SMART-RF может менять канал или мощность точки в случае появления помех или, например, повысить свою мощность при отключении соседней точки, чтобы увеличить покрытие. Технология довольно удобна, хотя наверняка есть случаи, когда она мешает.

    В общем-то, это все. Можно еще задать конкретные параметры радиомодулей любой из точек или всех сразу, но для этого надо хорошо представлять, что вы делаете. Для этого очень полезно почитать книгу CWDP Certified Wireless Design Professional Official Study Guide, которую рекомендует TamoSoft вместе со своей программой проектирования сетей. Похоже, что авторы программы разрабатывали ее, основываясь на этой книге, т. к. многие термины совпадают. В нашем случае мы отключили поддержку скоростей ниже 6 Мбит, чтобы медленные WiFi-подключения не мешали.

    Хочу сказать пару слов о том, что такое rf-domain (Radio Frequency domain). Это физическая область, которая объединяет в себе группу WiFi-точек. Внутри этой группы может происходить роуминг клиентов. Например: если офис должен быть полностью покрыт WLAN, то все точки этого офиса имеет смысл объединить в один rf-domain. Если же в офисе есть 2 разнесенных между собой конференц-зала и точки установлены только для обслуживания клиентов в этих залах, то надо сделать два rf-domain'а, по одному для каждого зала. В случае использования независимых точек с виртуальным контроллером вы можете создать только один rf-domain.

    На этом этапе мы получили несколько совершенно независимых WLAN-сетей в удаленных офисах, каждую из которых нужно было настраивать отдельно. Но зато каждая из этих сетей работала очень хорошо, роуминг между точками работал, статистика собиралась, пользователи были довольны.

    Настройка центрального офиса (NOC)


    Для запуска всей WLAN-инфраструктуры у Motorola есть отличный документ «WiNG 5.X How-To Guide Centralized Deployments», в котором по шагам расписано, как и что нужно делать. Каждый шаг описан в двух вариантах: для любителей GUI есть картинки, для любителей SSH консоли есть соответствующие команды. Я же опишу процесс настройки общими словами.

    Сначала подключаем контроллеры, их у нас 2 штуки. Чтобы при выходе из строя одного из них сеть продолжала работать, их нужно объединить в кластер. Контроллеры подключаются к сети обычным 1 Gb Ethernet, хотя можно подключить и оптикой через SFP-коннектор. Настраиваем один из контроллеров: IP-адреса, DNS имя, пароли. Затем настраиваем IP-адрес для второго контроллера и прошиваем в него прошивку той же версии, что и у первого контроллера, — это совершенно необходимо для объединения в кластер. Именно поэтому нужно покупать сервисный контракт на контроллеры. Без контракта вы не получите доступа к прошивкам, ни к старым ни к новым, а в моем случае контроллеры пришли с разными версиями прошивок.

    Затем на «втором» контроллере выполняете команду «join cluster» с указанием адреса первого контроллера. Второй контроллер перезагружается — и готово, кластер из двух контроллеров работает с идентичными настройками. Кластер бывает двух типов: Active-Active — когда оба контроллера обслуживают точки одновременно, и Active-Passive — когда точки обслуживает только первый контроллер, а второй включается в работу только при выходе из строя первого. В любом случае все точки сети знают IP-адреса обоих контроллеров.

    Теперь на контроллере необходимо создать нужные нам rf-domain'ы. В нашем случае мы создаем каждому офису по одному rf-domain: spb-office, munich-office и т.д. У каждого rf-domain'а указана своя страна и своя настройка технологии SMART-RF, что логично: в разных областях нам может понадобиться настраивать радиомодули точек по-разному.

    Далее на контроллере создаем WLAN-сети. Любую из созданных WLAN можно будет включить в любом из офисов, что, конечно же, очень удобно и являлось одним из наших первоначальных требований. Составной частью WLAN является настройка ее security, т. е. тип аутентификации, шифрования и QoS. Важно понять, что rf-domain и WLAN являются совершенно независимыми друг от друга сущностями. Также в WLAN задается ее SSID и тег VLAN, которые можно переопределить для каждого rf-domain. Это удобно, т. к. не в каждом офисе у нас совпадает нумерация VLAN-ов, а здесь мы можем задать нужный VLAN определенной WLAN для конкретного rf-domain.

    Теперь переходим к настройке точек. Исходим из того, что каждая точка при включении должна подключаться к контроллеру и получать все настройки с него. Для этого на DHCP-сервере нужно прописать определенные vendor specific опции, в которых указываем IP-адреса контроллеров и некоторые настройки таймаутов. Эти опции никак не влияют на других клиентов сети, т. к. DHCP-сервер их отправляет только тем, кто запрашивает именно эти опции. Такая схема позволяет быстро подключать новые точки к сети: взяли новую точку из коробки, подключили к нужному порту на свитче, и всё. Точка получает с контроллера нужную прошивку и все необходимые настройки. При выключении точки она теряет все свои настройки и становится «чистенькой», как с завода (сохраняется только прошивка).

    В момент самого первого подключения к контроллеру контроллер запоминает эту точку по MAC-адресу в своем конфиге и уменьшает количество свободных лицензий на 1. Затем контроллер находит подходящий профиль для настройки этой точки и отдает настройки этого профиля точке. Если это не первое подключение точки, то на контроллере могут храниться дополнительные настройки для этой конкретной точки, которые он объединяет с настройками подходящего профиля и отправляет точке.

    Что же такое профили (Profiles) в WiNG 5? Профили позволяют выдать одинаковые настройки сразу группе WiFi-точек или контроллеров. Профили хранятся на контроллере и представляют собой полные наборы параметров для точки определенного типа. Например если нам нужно производить автоматическую настройку точек AP-650 и AP-6532 в одной и той же сети, то нам понадобится как минимум 2 профиля: для AP-650 и для AP-6532. Именно в профиле указано, какие WLAN будет обслуживать наша точка, в каких диапазонах будут работать радиомодули и на каких скоростях. Также на настройки профиля накладываются ограничения rf-domain, в котором находится конкретная точка.

    Как контроллер определяет, какой профиль нужно выдавать конкретной точке? Для этого у контроллера есть «Automatic Provisioning Policies». Не могу придумать хорошего русского аналога. Этих Policies на контроллере может быть несколько штук, в каждом из них записано определенное условие, по которому эта policy применяется к точке или нет. Условиями могут быть: диапазон IP-адресов, в котором находится точка, диапазон MAC-адресов точек и многие другие. Но мне достаточно различать точки по типу и по IP сети. Также в policy указано, какой профиль применять к точке и в каком rf-domain эта точка находится. В итоге, при подключении точки контроллер идет по списку policies и первая подходящая к этой точке policy применяется.

    Теперь собираем все это вместе


    В центральном офисе у нас 3 типа точек: AP-650, AP-6532 и AP-7161 (уличное исполнение). Значит, нужно создать 3 профиля и 3 Automatic Provisioning Policies. Так как точек в этом офисе у нас относительно много, то мы сделали отдельный VLAN (WiFi Management VLAN), в который подключаем сами точки. В удаленных офисах точки подключены в обычный сегмент сети вместе с пользователями, т. к. там точек обычно немного. Точки получают IP-адрес, подключаются к контроллеру и, в зависимости от типа точки, получают свой профиль для настройки, а также получают указание от контроллера, в каком именно rf-domain они находятся. После этого точка приступает к обслуживанию клиентов тех WLAN, которые определены в ее профиле.

    При подключении каждой новой точки технология SMART-RF определяет лучший номер канала для радиомодулей этой точки и мощность. Этот выбор производится в зависимости от каналов, на которых работают соседние точки и от расстояния до них. Области радиопокрытия соседних точек перекрываются, поэтому каждая точка «видит» несколько соседних (в нашем случае видно 3-4 соседних точки на этаже).

    Как я уже упоминал, для связи WLAN и LAN у нас сделано 2 VLAN: рабочий и гостевой. В рабочий VLAN отображается WLAN для сотрудников, а в гостевой отображается 1 или более гостевых WLAN. Мы поднимаем дополнительные гостевые WLAN в случае каких-либо мероприятий в офисе, чтобы после окончания мероприятия можно было этот дополнительный гостевой WLAN отключить вместе с гостями. :-)

    А вот так выглядит этаж в веб-интерфейсе при работе сети:


    Итоги


    В результате, к моменту переезда в новый офис мы построили очень хорошую WiFi-сеть. Пользователи, ради которых и строили эту сеть, полностью довольны ее работой. Характерен один из комментариев наших пользователей: «Как это вам удалось построить такой быстрый WiFi?» Мы не старались сделать максимально быстрый WiFi, нам был нужен максимально стабильный WiFi, и я уверен, что эта задача решена. Пользователи перемещаются по всему офису с ноутбуками, планшетами и телефонами и не задумываются о том, будет ли работать WiFi в этой точке. Мы пока не проводили полноценных тестов на скорость, но файлы можно качать со скоростью примерно 15 Мбайт/сек. Не всегда и не на любом клиенте, но такую скорость мы наблюдаем при обычной работе. В данный момент сеть работает уже 5 месяцев, днем в главном офисе к ней подключено до 200 клиентов и никаких нареканий на ее работу нет.

    WiNG 5 от Motorola полностью оправдал мои ожидания. Настройка производится быстро и просто, хоть из консоли, хоть из браузера. Работает стабильно, никаких «странностей» в работе нет. WLAN в удаленных офисах можно было запускать без выезда на место. Нужно, чтобы кто-то только подключил точки к LAN, а все остальные настройки можно делать удаленно. В дальнейшем поверх этой сети можно развернуть систему AirDefense — контроль безопасности WLAN и удаленое решение проблем с WLAN. При этом некоторые точки в сети превращаются в сенсоры, которые мониторят радиоэфир.

    Я опустил многие детали и возможности WiNG5: например, уже в базовой версии есть система защиты от вторжений (тоже базовая), можно докупить лицензии на систему защиты Advanced. Можно захватывать WiFi-трафик из радиоэфира и смотреть на него с помощью Wireshark. И многое, многое другое, но статья должна быть разумных размеров. Еще хочу заметить, что, по моему мнению, WiNG5 незаслуженно обойден вниманием в России, т. к. практически никаких материалов на русском языке мне найти не удалось, поставщиков и интеграторов также найти непросто.
    JetBrains
    204,00
    Делаем эффективные инструменты для разработчиков
    Поделиться публикацией

    Комментарии 35

      +2
      крайне основательно, огромное спасибо :)
        +2
        Вашу бы статью да полгода назад.
          +6
          Мне тоже такой статьи очень не хватало год назад. Потому и написал. :-)
          +1
          Очень познавательно! Список вакансий справа актуальный?
            +1
            Да, конечно.
            +4
            Я так понимаю Ubiquiti UniFi не рассматривали? Было бы интересно сравнить.
              +3
              Да Ubiquiti мы практически не рассматривали. В 2012 году они только набирали популярность. А нам нельзя было ошибаться. Нужно было 100% работающее решение, и времени на эксперименты не было. Ubiquity – это был относительно новый игрок на рынке, а у Cisco и Motorola есть работающие сети из сотен и тысяч точек.

              Например Моторола рекомендует (и имеет достаточно инсталляций) свой WiFi для организации беспроводных сетей на производстве, а это как раз то что нам было нужно: WiFi без проблем.

              Собственно отделение Motorola, которое занимается WiFi — это приобретенная ими компания Symbol, оборудование которой (сканнеры штрих-кодов, терминалы оплаты) стоит во многих супермаркетах Америки, да и в наших я замечал. Присмотритесь в супермаркете к аппарату где можно проверить цену на товар: с большой вероятностью на нем будет написано Symbol или Motorola. А там где речь идет о производстве, глючные решения не ставят. WiNG5 — это составная часть решения, например для супермаркетов или для складов с автоматизированной обработкой товаров.

              Конечно было бы интересно посмотреть на предложения от специалистов по Ubiquiti в сравнении с WiNG5.
                0
                У unifi я считаю следующие минусы:
                -PoE, почти во всех используется так называемое пассивное, что ограничивает использование коммутаторов с раздачей питания, но недавно выпустили ПРО вариант, который поддерживает 802.3at (PoE+) 802.3af (PoE)
                -использование Java в софте контроллера, уж очень он много памяти хочет и запускаемые основным контроллером потоки имеют параметр -Xmx1024M, я его поднимал на старом ПК у которого всего 512 )
                -ну и пока нету бесшовности, хотя обещают.
                Летом в среднем было около 180 клиентов, сейчас 80.
                Но из плюсов:
                -это цена точки не такие дорогие, идут в комплекте с ПоЕ блоком питания.
                -контроллер не ограничен какими-то лимитами
                -на точках стоит линукс и можно спокойно зайти на них по ssh.
                -в новых версиях добавляются плюшки, что радует и говорит о том, что продукт развивается.
                  0
                  Пассивное PoE — да, конечно не очень здорово. Когда есть нормальные 802.3af PoE свитчи, жаль этим не пользоваться.
                  А вот отсутствие бесшовности — это правда? Не может быть, чтобы Ubiquiti были настолько плохи.
                    0
                    В этом момент я опираюсь на статью
                    Делать бесшовный роуминг — при включенном шифровании переассоциация занимает до 0,5 сек. Для данных это не критично, может быть заметным в VoIP. А часто ли сотрудники ходят по офису с ноутбуками (или Wi-Fi телефонами)? Все-таки 95% времени сотрудники работают на каком-то стационарном месте и в движении не работают.
                    +1
                    — вы серьезно?? 512 М? О каком продакшене идет речь? Сейчас в телефонах памяти больше. Установите контроллер наконец на нормальное железо. Сэкономленное кол-во денег на стоимости точек позволяют это сделать.
                    — что по вашему бесшовно? 0.5 сек позволяет мне говорить по скайпу без проблем.

                    Да в unifi есть свои проблемы, но цена позволяет на многие проблемы закрыть глаза. Тем более они неплохо развиваются.
                      0
                      К сожалению с покупкой нового оборудования очень сложно, по этому поднимал на том, что было.
                      Активно звонилками не пользуюсь, по этому не могу сказать, мало это или много.
                      0
                      Категорически с вами не согласен.

                      1) Статья которую вы приводите написана в марте 2011 года.

                      2) Я связывался с автором этой статьи где-то год назад, он лично подтвердил мне, что роуминг работает без проблем.

                      3) Я в сети находил несколько человек, описывающих реально работающие сети, где Wi-Fi IP-фоны живут под оборудованием UniFi, с бесшовным роумингом, разумеется.

                      4) Если глубоко покурить форумы UniFi то можно понять что роуминг у них работает и они его активно развивают.

                      5) Мы делали модернизацию беспроводной сети и основная причина была как раз в том, что нам нужно было обеспечить работу Wi-Fi IP-фонов как раз в бесшовном режиме, а они как вы понимаете весьма критичны к задержкам. У нас всё отлично работает уже год как, Переход между этажами (т.е. с точки на точку) при активном разговоре проходит без проблем, так что могу сам лично с уверенностью подтвердить, что бесшовный роуминг на UniFi — это факт.

                        +1
                        Я в сети находил несколько человек…
                        Если глубоко покурить форумы...

                        Есть ситуации, когда можно купить железа, возиться с ним, курить форумы, искать единомышленников и получать от этого радость. Есть ситуации, когда нужно, купить, поставить и забыть — чтобы само работало.
                        чтобы пользователи не задумывались о решении проблем с подключением к сети
                        С подключением никаких проблем не было.
                        В результате, к моменту переезда в новый офис мы построили очень хорошую WiFi сеть. Пользователи, ради которых и строили эту сеть — полностью довольны ее работой.

                        Собственно, в этом и разница между дешевыми решениями и дорогими — в дешевых зачастую приходится доплачивать своим временем. Если свое время дешево, или в радость — пожалуйста, хоть свой hostapd компилируйте :) Дорогие решения продаются обычно под лозунгом «Больше CapEx, меньше OpEx» — шишки уже набил кто-то другой, и, теоретически, все заводится с полпинка. Естественно, в обоих случаях бывают исключения: можно собрать стабильно работающее дешевое «типовое» решение и реплицировать его; а вендоры дорогих решений не стесняются время от времени проводить платные бета-тесты своего софта на юзерах :) Причем грешат все: и Cisco, и Motorola, и HP и Aruba и т.д. Плюс, вопрос суппорта. Какой суппорт у UniFi?
                          0
                          В целом я с Вами полностью согласен, но это не про UniFi.

                          Я потратил много времени на курение форумов различных вендоров для того, что бы понять, какое железо 100% сможет решить мои задачи. Т.е. это была аналитическая работа по выбору оборудования. Это и был мой капекс. С тех пор я просто знаю, что нужно ставить заказчикам, если им нужен хороший Wi-Fi не тратя времени на аналитику.

                          Первый купленный UniFi был настроен за 20 минут и с тех пор к конфигу больше никто не прикасался, даже при добавлении новых точек. Ubiquiti предлагает бесплатный софтовый контроллер для своих точек, фактически нужно конфигурить только его. Дальше достаточно воткнуть новую точку в нужный Vlan и она сама автоматически конфигурится контроллером. Всё работает полностью автоматически, а контроллер на котором поднято три SSID и HotSpot как я уже сказал конфигурится за 20 минут.

                          Так что с опексом всё отлично!
                          Более того, та же Cisco конфигурится гораздо дольше, но и умеет конечно тоже на порядок больше. При этом капекс у неё какой-то запредельный и для SOHO\SMB зачастую просто неподъёмный.
                            0
                            Интересно, а, по вашему мнению, что именно Cisco умеет больше?
                              0
                              Ой, много чего. Даже сравнивать их бессмысленно.

                              Почитайте про технологию Cisco CleanAir. Это конечно чисто маркетинговое название, но за ним тем не менее скрывается много реальных фич.
                  0
                  Отличная статья! Рад, что кому-то помог! :)
                    +1
                    Кстати, по поводу LAN Planner.
                    Он действительно стоит немалых денег, т.к. позиционируется как профессиональный инструмент для организаций, зарабатывающих деньги на подобных услугах.

                    Но есть в бесплатная версия «в облаке» (модно так сейчас): wlanplanner.motorolasolutions.com/
                    Нужно кликнуть на ссылку «Create Free Account» и можно пользоваться.
                      0
                      Очень интересно, спасибо! Жаль год назад бесплатной версии не было.
                        0
                        А сейчас ни у кого нет бесплатной или онлайн версии? Нужно буквально пару часов, а старая ссылка уже не работает.
                      –1
                      Жаль автор не дочитал до cisco flexconnect, может и не пришлось бы на мотороле сеть строить.
                        +1
                        Про FlexConnect я читал. Возможно недостаточно хорошо, но у меня о нем сложилось такое впечатление:
                        1. Его нужно приобретать дополнительно.
                        2. Чтобы начать им пользоваться нужно уже иметь где-то рабочую WLAN на основе Cisco.

                        А у нас была такая ситуация, что сначала нужно было запустить WiFi в паре удаленных офисов, на 2-4 WiFi точки, где контроллер был явно избыточен. И только через несколько месяцев у нас был бы центральный офис с контроллером.

                        Motorola мне понравилась своей понятностью. Можно было купить полноценные точки, которые подходили для любой страны и затем, хоть обычную WLAN делать, хоть с виртуальным контроллером, хоть с реальным контроллером докупив его.

                        А с Cisco совсем другое дело. Куча вариантов одних и тех же точек, для разных стран разные, с лицензиями и без лицензий, для работы с контроллером и без контроллера… Наверняка интеграторы прекрасно в этом разбираются, но мне нужно было купить 4 точки, сделать WLAN и потом иметь возможность интегрировать его с центральным офисом.
                          –1
                          1. Насколько я знаю нет, это просто фича AP которую она либо поддерживает, либо нет.
                          2. Нет. Пока у вас нет WLC вы можете перевести AP в режим standalone и пользоваться ей как обыкновенной точкой доступа.

                          Чтобы запустить сеть без контроллера можно перевести AP в режим standalone и пользоваться ими без контроллера.

                          Вам видимо попался хороший менеджер в мотороле и плохой в циске :)
                            +1
                            То есть, вы предлагаете человеку, у которого несколько сайтов и N точек на каждом сайте:
                            • НЕ покупать точки Motorola, работающие вместе, обеспечивающие централизованное управление, согласованное покрытие, бесшовный роуминг, миграцию потоков файрволла и т.д. (и всё это, заметьте, без контроллера), потому, что они не ЦИСКА
                            • а вместо этого, купить ЦИСКИ, и настраивать каждую точку по-отдельности, руками, и трахаться с ними потом по-отдельности? И это на каждом сайте?

                            Браво! Желаю вам много точек Cisco в режиме standalone! :)
                            Вам, видимо попался плохой менеджер по Cisco, если вы верите, что это работает. Или очень хороший, который вначале вам продал кучу standalone точек, а потом «спас» впарив еще контроллеров, WCS/NCS/Prime, и еще с десяток сверхполезных коробок. Метод «купи козу» :)

                            Что касается FlexConnect — вы его сами внедряли, или только «дочитали»? Это подкрашенный и переименованный H-REAP. H-REAP был и остается костылем для создания видимости управления точками на удаленных сайтах. У Motorola свой был костыль — Adaptive AP, у Aruba был свой — RemoteAP. Только и Motorola, и вслед за ней Aruba, сменили архитектуры на по-настоящему распределенные (WING5 и MOVE, соотвественно), а Cisco… переименовала и подмарафетила свой костыль и выпустила контроллер на 40G, который по ходу требует замены проводных свичей для полной работоспособности.

                            У Cisco хорошее железо, есть интересные фичи, отличная информационная поддержка и маркетинг, но в архитектурном плане она пасет задних в Wi-Fi.
                        +4
                        Статья, в целом, шикарная. Однако, есть несколько неточностей.
                        Виртуальный контроллер (Virtual Controller). Чисто маркетинговая фича, которая позволяет обходиться без контроллера в случае, если точек не очень много (сейчас — 24, будет — больше). Точки должны быть одинаковые (одной модели) и находиться в одном rf-domain. Тонкость с виртуальным контроллером одна — он никогда не выбирается автоматически, а должен быть назначен вручную (с помощью галочки в GUI), При этом иметь его на сайте «про запас» — не получится, ибо становясь виртуальным контроллером, точка прекращает попытки найти контроллер для себя и, наоборот, норовит выступить таковым для местных точек. Таким образом, при наличии нормального централизованного контроллера, мы на нём теряем эту точку из управления. Вывод — при наличии центрального контроллера, его упрощённым аналогом — виртуальным контроллером не следует пользоваться никогда.
                        Что действительно выбирается автоматически — это RF domain manager. Он выбирается для каждого домена в отдельности. При выборе кандидата на эту должность учитываются возможности оборудования. Если в домен входит контроллер — он всяко становится в нём менеджером, если же домен состоит только из точек — для начала сравнивают модели. AP7161 (она — круче) предпочтут AP650. Если точки одинаковые — в ход идут MAC-адреса и приоритеты. Хотите назначить менеджером самую малонагруженную точку в углу помещения — поправьте её приоритет командой «rf-damain-manager priority». Не хотите, чтобы точка вообще участвоваля в выборах — «no rf-domain manager capable». понять, кто сейчас в домене менеджер можно командой «sh rf-domain-manager»
                        Поскольку rf-domain manager общается напрямую с каждой точкой домена и занимается координацией роуминга, рассылкой ключей, софта, сбором статистики, переносом сессий stateful firewall при роуминге и прочая и прочая, следует опасаться включать центральный контроллер в расположенный за тридевять земель домен — весь этот трафик поедет по wan

                        При использовании vendor specific options в DHCP, он, понятно, выдаёт их всем, кому ни попадя. Другое дело, что интересны они только точкам (и врагам). Чтобы выдавать нужные опции только точкам (а, заодно, организовать их в компактный пул адресов) следует воспользоваться поддержкой классов в сервере DHCP. Каждая модель точки включает имя vendor class identifier в запрос DHCP. Например, для AP650 имя класса — MotorolaAP.AP650. Примеры как это сделать — в уже упомянутом документе «WiNG 5.X How-To Guide Centralized Deployments» На худой конец, если влом крутить DHCP и у вас не тысячи удалённых точек, можно обойтись выдачей по DHCP стандартного набора опций. Если в нём присутствует имя домена, то, не найдя в ответе DHCP сервера нужных опций, точка попытается найти контроллер по адресу motorola-wlc.имя.домена. Таким образом, вы намекаете всем желающим, где у вас контроллер ;)

                        Сервисный контракт можно заключить на год и на три (на три — только на новое оборудование). По окончании трёхлетнего контракта, его можно продлить минимум на два года. ПО всех зависимых точек уже входит в ПО контроллера, ПО автономных точек (обычно) доступно отдельно. Поскольку версия ПО на точках и контроллере (в идеале) должна совпадать — следует озаботиться покупкой хотя бы одного сервисного контракта на точку каждого типа. Сами по себе они ломаются редко ;)

                        При включении в кластер, перезагрузка контроллера не требуется.

                        При выключении точки она становится новенькой как с завода только если её не инструктировали сохранять конфигурацию (" configuration-persistence "). Обычно это актуально для зависимых точек и для заказчиков, страдающих параноей на тему «украдут точку — вскроют ей мозг». Для удалённых автономных точек важно иметь конфигурацию на борту для варианта «свет уже включили, а контроллера пока не видно». Вас также попросят включить сохранение конфигурации при попытке включить mesh — точка опасается остаться на мачте освещения без линка на ethernet и без идей, как правильно включить радио в этой дикой стране, чтобы не нарушить законодательство. При желании, можно написать «configuration-persistent secure» — из читабельной версии уберут упоминания про пароли.

                        Непонятно, что за цены. По каталогу AP-0650-66030-WW стоит $685. Если покупаете самое дешевое — убедитесь, что у вас есть силы всё самим настроить (как у авторов статьи). Обратите особое внимание на последние две буквы парт-номера — они должны быть WW или WR. В последнее время к нам через неразборчивых завозчиков попадает большое количество точек с буквами EU. Они предназначены для продажи в европе и не будут работать в rf-domain с country code ru. Сразу оговорюсь — НИКАК перепошить нельзя. Поэтому вам придётся включать в домене европейский код страны (например fi) и каждая точка будет посылать его 10 раз в секунду (с каждым beacon) с неоднозначными последствиями для клиентов и для вас, потому что это — хорошее начало для общения с регулирующими инстанциями.
                          0
                          Отличный и полезный комент — спасибо!

                          Про виртуальный контроллер — полезная инфа, мне казалось, что он будет выбран автоматически при выключении по аналогии с rf domain manager, но я не проверял. А теперь уже нет необходимости, т.к. удаленные офисы подключены к центральному контроллеру.

                          При использовании vendor specific options в DHCP, он, понятно, выдаёт их всем, кому ни попадя.

                          Я имел ввиду, что эти параметры получит только тот, кто их запросит целенаправленно. Т.е. если я правильно помню стандарт, в DHCP запросе перечисляются опции, которые сервер должен отдать и других сервер не отдаст. Конечно это не защита от «врагов», но и ненужные опции другим клиентам не приедут.

                          следует озаботиться покупкой хотя бы одного сервисного контракта на точку каждого типа

                          Это будет нарушением, т.к. я не имею права ставить новую прошивку на точку, если контракт не куплен именно на нее. Теоретически это может вызвать проблемы при гарантийной замене точки, если на ней будет новая прошивка.

                          Сразу оговорюсь — НИКАК перепошить нельзя.

                          Вот тут самый интересный момент: прошить можно. :-) Мне сама перепрошивка была не нужна, но я знаю как это сделать. На эту тему я очень хочу написать отдельную статью насчет общения с сервисом Моторолы и глубоким исследованием этих точек, к которому мне пришлось прибегнуть. Для интересующихся вопросом: forums.networkinfrastructure.info/motorola-wireless-lan-switches/error-setting-country-of-operation/
                          Но там нет деталей как проблему решать, т.к. никто не заинтересовался.

                            0
                            ха! про прошивку продолжаю утверждать — прошить НЕЛЬЗЯ. Вы описываете совершенно иной случай — у вас имеется нормальная точка WW и вы за каким-то надом или по ошибке включили её в домен с европейской страной. После чего она стала думать, что она в европе и при возврате в country code ru выключила радио. Такую точку сложно, но можно реанимировать. Способов реально два, (без плясок с downgrade до 4.x) но in the field оба — не реализуемы. Требуется доставить точку в сервис.

                            я же обратил внимание читателей на то, что завести точку с EU в партномере с country code ru так же нереально, как и точку US. Нет такой страны в списке допустимых стран для этого партномера. А он (партномер) написан на этикетке точки и внутри в ROM. Поэтому — бойтесь покупать точки EU прибывающие левым ходом со складов европейских дистрибьютеров — им точки WW стали ни к чему ;)

                            … или — берите в руки паяльник. но это нарушит гарантию. почти пожизненную.

                            про сервисные контракты — поддерживаю двумя руками. Если есть возможность купить контракт на всё железо — надо это делать.
                              +1
                              Ох, Вы меня прямо вынуждаете на срочное написание статьи о том как я лечил проблему указанную по ссылке выше, причем именно in the field. :-)

                              Во время своих изысканий я нашел способ как поменять у точки AP-650 все: MAC-адрес, serial number и самое интересное — product number, в котором как раз записаны -EU или -WW или -US. По крайней мере я один раз стер все эти данные и точка загрузилась с дефолтными значениями, типа MAC=00:00:00:00:00:00. И один раз я записал эти данные значениями из соседней точки, т.е. получил 2 абсолютно идентичные точки. Ну и разумеется потом я вернул все обратно.

                              Я действительно не пытался целенаправленно менять эту информацию, т.к. в тот момент у меня не было точек -EU, но я уверен что это сделать можно, чисто из академического интереса. Также как и превратить AP-650 в AP-6532, что уже гораздо интереснее с практической точки зрения.
                                0
                                well… к сожалению, с некоторой версии rom monitor не все значения можно поменять :)
                                а она (версия) так просто не даунгрейдится… к тому же консоль нужна TTL, которую ещё спаять надо.
                                  0
                                  и да… у меня в лаборатории есть AP650. Ещё engineering unit. У неё в EEPROM вообще никакого product number не записано. Поэтому после 5.2.1 она тупо не заводится. Может, всё дело в том, что у меня TTL консоли тупо нету? ;)
                                    0
                                    Я большинство экспериментов проводил из под 4.4.x, т.к. оттуда было в разы легче ставить эксперименты с прошивками. Потому не знаю загрузилась бы она в 5.x или нет. Но Вам верю. И да, конечно я все делал через serial-консоль, т.к. другого способа подключиться к точке с прошивкой 4.4.x я не нашел.

                                    А rom monitor — это простите что? :-) Мне в целях повышения образованности. :-)
                                      0
                                      ну, это такая маленькая програмка, которая позволяет загрузить основной софт, протестировать оборудование и выполнить базовые манипуляции. Сама по себе она редко меняется. Обычно, изменения связаны с необходимостью по-другому распределять ресурсы при загрузке в связи с изменившимся размером оновной программы, изменением ключей в подписи…
                                        0
                                        Ага, если пользоваться терминологией мобильных телефонов, это boot. Я специально обращал внимание: при даунгрейде прошиквки с 5.4.x на 4.4.2, rom monitor также даунгрейдится. Становится меньше команд и изчезает запрос пароля для некоторых команд.
                                  0

                                  К сожалению я так и не собрался написать статью об исследовании WiFi точек от Motorola, да и Хабр удалил черновик моей статьи.
                                  Напишу здесь для истории:


                                  Я проверил идею с превращением точки AP-650 в AP-6532 — это работает, также как и превращение точек EU в US или WW и обратно. Мы как раз превращаем наши AP-650 в 6532, чтобы отправить их в удаленные офисы без контроллеров, а в центральном поставить 7532.


                                  Чтобы сделать такое превращение, надо заменить mfg_hardware_model=AP-0650-66030-WW на желаемый и перезагрузить точку.


                                  Сделать это можно удаленно, даже не снимая точки. Есть 2 варианта замены:


                                  1. Прошить в точку прошивку WiNG 4. Вместе с ней идет загрузчик в котором можно менять конфиг точки. Для этого нужен TTL шнурок.
                                    Если кто-то умеет пользоваться WiNG4 по сети (я не умею), то в прошивке есть утилита fw_setenv, которой можно сделать то же самое. Тогда не нужен шнурок.


                                  2. Взять из прошивки WiNG4 утилиту fw_setenv, скопировать ее на точку WiNG 5 и пользоваться — она работает. Но для этого вам нужно знать пароль для команды service start-shell. Это самый простой способ и я пользуюсь именно им.

                                  Надеюсь это будет кому-то полезно.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое