Как стать автором
Обновить

Делаем гостевую Wi-Fi сеть в ВУЗе, часть 1. Выбираем Wi-Fi контроллер: аппаратный, программный или кластер Wi-Fi

Блог компании ZYXEL в России Системное администрирование *Сетевые технологии *Беспроводные технологии *Сетевое оборудование
Всего голосов 7: ↑6 и ↓1 +5
Просмотры 3.7K
Комментарии 16

Комментарии 16

Интересно увидеть отзыв/сравнение с решением на продуктах Mikrotik (рассматривал для домашнего wifi роуминга). Есть люди с таким опытом?

Насколько мне известно, вроде бы, микротик-ос в будущем году должен научиться 802.11r/k/v

Программный контроллер:

Минусы:

80% минусов сводятся к "нужен сервер". А теперь "сюрприз": как минимум контроллер Unifi не нужно держать включённым. Раскатал, подружил точки, настроил SSID, погасил на пару лет до апдейтов. Забэкапил контейнер, где был софтовый контроллер. Пропало питание? Точки после перезагрузки так же обратятся к роутеру для обновления DHCP leases и продолжат работать. Кстати, не пытайтесь держать dhcpd средствами контроллера, настройте как relay.

если гости найдут способ подключиться к витой паре гостевой сети в обход Wi-Fi, то таких "зайцев" Captive Portal программного контроллера не ловит. Необходим шлюз с Captive Portal

Контроллер здесь, конечно, может помочь, но, посмотрев статьи по настройке аутентификации гостей в блоге компании - я против передачи функций безопасности своей сети стороннему подрядчику. Может, у контроллера есть свой RADIUS, это лучше, но к нему ещё много чего нужно - не отправлять же телефон посетителей в другую компанию для реализации Captive Portal. Если же реализовывать защиту сети своими силами, то контроллер не так и нужен.

Вообще, ещё вопрос, что с ним будет через 10-15 лет, когда его снимут с поддержки. Неизбежные дыры в софте, работа только под старыми браузерами, а начальство говорит "Контроллер есть - вопрос исчерпан, денег на новый нет, и так работает". Можно сравнить с софтовым, где в худшем случае ПО контроллера будет старым, а хост контейнера - сколько угодно новым.

нет мобильности. Отсутствует возможность конфигурирования/мониторинга на планшете iPad в любом браузере без установки софта (Java и др.)

Полагаю, это сильно зависит от контроллера. С моей стороны проблем не было лет семь. Было дело, и с планшетом ходил, только "дебажить" там нечего на месте, разве что клиент случайно попал в blacklist.

80% минусов сводятся к "нужен сервер". А теперь "сюрприз": как минимум контроллер Unifi не нужно держать включённым. Раскатал, подружил точки, настроил SSID, погасил на пару лет до апдейтов. Забэкапил контейнер, где был софтовый контроллер. Пропало питание? Точки после перезагрузки так же обратятся к роутеру для обновления DHCP leases и продолжат работать.

К сожалению не смогу так из-за отсутствия обратной связи о состоянии точек доступа и гостей. Как "диспетчер", наблюдаю за состоянием комплекса, должен оперативно реагировать на инциденты, действую на опережение, среди гостей есть преподаватели, ведущие дистанционно лекцию в аудиториях и нежелательно, если "диспетчер" бездействует, а лекция никак не уходит в интернет или обрыв онлайн вебинара, который не приостанавливается, пока ищу виртуалку с софтовым контроллером на ПК.

Такое часто было, когда самые активные точки доступа (свыше 10 чел) переходили в аварийный режим. Как заменил этот коммутатор на GS2210-24HP и проблема исчезла, но всё равно лучше присматривать, мало ли что. Хотя 1.5 года прошло, пока всё отлично. У знакомых по видеонаблюдению на совсем других объектах (не наши) видеокамеры до сих пор отваливаются на абсолютно новых DES-1210-28P и других. Ходит выдёргивает и вставляет обратно патч-корды как я на 3028P, если лень было на веб-интерфейс заходить. Почему одну и ту же проблему годами не устраняют.

Ещё несколько реальных примеров, когда контроллер прямо сейчас срочно нужен:

  • в вестибюлях и спортзалах часто проводят выставки, мероприятия, выступления и просят руководство на пару суток создать отдельный запароленный SSID с пониженными ограничениями скоростей для организаторов, медиажурналистов, видеооператоров, которые активно отправляют фото и видео проводимого мероприятия в соцсети или вообще отключить все антенны, кроме холла и спортзалов (из-за боязни нехватки интернет-канала по тарифу). 

  • позавчера гость притащил ноут и как начал флудить в гостевую сеть, не авторизуясь. Ещё раз появится, заблокирую его немедленно на контроллере, чтобы все точки доступа не принимали этот ноут.

  • на прошлой неделе в пятницу вечером собираюсь домой и СРОЧНО звонят, что осталась пара часов до начала трансляции в спортзале, а интернета нет на Wi-Fi. Точка доступа была автономная (не выделяют денег на оснащение спорткомплекса управляемыми точками доступа) и я ничего про неё не знал, тк никак не отслеживалась. Пингую её, уже не отвечает.

    Пришлось бросать домашние дела и идти далеко в спортзал разбираться, кто сдох, точка доступа, витая пара или порт на коммутаторе? 

    Выяснил. LAN порт сдох на точке доступа, хотя по PoE включается нормально и SSID вещает, но не ходит трафик с LAN порта. Вот если она была бы управляемой, всё по-другому было бы, раньше узнал бы о дисконнекте точки доступа и спокойно в рабочее время проверил бы её, а не когда рабочий день закончился и опаздываешь на электричку.

  • в общежитии для коммутационного узла Wi-Fi места не нашлось для стойки 18U, только 6U шкаф можно было повесить на стену в небольшом кабинете коменданта и заведующего. Поэтому в нём поместятся только провайдерский ШКОС; патч-панель; блок розеток; органайзер; PoE-коммутатор для 10 точек доступа; шлюз.

    Нет места ни для гудящего сервера, ни для ПК для установки софтового (программного) контроллера.

    Остаётся ноут таскать туда, разворачивать Wi-Fi и уходить с ноутом. Снова без обратной связи от точек доступа останусь, а ведь мониторить их нужно. Вдруг LAN порты отвалятся или флуд от вредителей.

    Увы, не подходит программный контроллер, даже бесплатный. Всё равно траты лягут на покупку ноутбука и лишние поездки до общежития по ложным заявкам.

    Поэтому там сейчас всё под управлением 1U шлюза Zyxel с встроенным КТД и заблаговременно сигнализирует о всех неполадках. На следующей неделе выйдет статья с наглядным примером оповещений от таких шлюзов Zyxel.

Контроллер здесь, конечно, может помочь, но, посмотрев статьи по настройке аутентификации гостей в блоге компании - я против передачи функций безопасности своей сети стороннему подрядчику. Может, у контроллера есть свой RADIUS, это лучше, но к нему ещё много чего нужно - не отправлять же телефон посетителей в другую компанию для реализации Captive Portal. Если же реализовывать защиту сети своими силами, то контроллер не так и нужен.

Не наша прихоть. Мы поднимали свой сервис авторизации в том числе для авторизации по ЕСИА, но Минкомсвязи не разрешило по причине отсутствия нескольких лицензий у нашего учреждения. Такие лицензии выдают провайдерам, они (оператор универсального обслуживания) при наличии соответствующих лицензий имеют право авторизовывать и хранить информацию об авторизованных. Учебному учреждению оставалось только постановления соблюдать постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).

Поэтому всю эту авторизацию по закону настроили, а не потому что лень или так удобно.

Кстати, да, соглашусь с вами. Не все операторы внушают доверие, особенно из-за Wi-Fi радара, но это уже совсем другой разговор.

Но КубТел нормальный провайдер и оператор сервиса, доверяем.

Полагаю, это сильно зависит от контроллера. С моей стороны проблем не было лет семь. Было дело, и с планшетом ходил, только "дебажить" там нечего на месте, разве что клиент случайно попал в blacklist.

Дебажить всегда приходится, гости в основном простые люди, которые не разбираются в ИТ и всегда одно и то же сообщают: "почему нет интернета? Почему Инстаграмчик ничего не открывает? Почему сигнал такой хороший, а сайт грузится 5 минут?" и т.д.

Идёшь к ним, узнаёшь мак-адрес и на месте в планшете проверяем состояние авторизации; выданный IP;  качество Wi-Fi сигнала по шлюзу, а не по гостевому устройству; установленные скорости соединения; логи и тд.

В основном причина была в случайно установленном статическом IP; в случайно выключенном значке Wi-Fi; гость попал в блок лист; в неисправной сетевой карте; в паршивом или утопленном телефоне; в алюминиевом чехле, глушащий радиосигнал на 50% и т.д. Причин всяких уйма. Без этого никак, всегда что-нибудь новое появляется.

роуминг на телефонах не работал, телефон оставался долго на одной и той же ТД, пока на нём не выкл/вкл Wi-Fi;

хм, а почему?
я встречал утверждение, что роуминг зависит в основном от клиента (именно он принимает решение о миграции).

Может он просто не видел других точек. Недавно столкнулся с ситуацией: wi-fi 5 GHz, компьютер упорно целляется к ТД, которая находится этажом выше, игнорируя ТД, которая висит в прямой видимости в пяти метрах от него. Мой телефон видит уровень сигнала 100%, рабочий ноут видит уровень сигнала 100%. Проблемный комп видит уровень сигнала ~20%. Установил на комп сканер вайфая и узнал, что wi-fi карты TP-Link не видят каналы выше 64. Пришлось перенастраивать все ТД так, чтобы они все были на каналах 40-64 и чтобы каналы не слишком пересекались по зданию.

ну это региональные настройки, насколько я понимаю, с наличием/отсутствием контроллера не связано.

Да, это связано только с особенностью USB WiFi карт от тплинк. У них заявлена поддержка только диапазона 5150–5350 МГц, а другое наше оборудование видит и 5650-6425 МГц.

Да нет, я на телефоне выключил и включил значок Wi-Fi и телефон подключился к ближайшей точке доступа, но почему он сам не переподключился. Вот в этом проблема была.

Кстати, про 5 ГГц, некоторые устройства Apple не находят 5 ГГц, если радиоканал 52 и дальше. Поэтому при тестировании стараюсь ставить радиоканалы 36-48.

Предполагаю, что телефон не получил достаточно убедительную информацию от соседней точки доступа, чтобы к ней переключиться, а первая ничего не делает, чтобы отключить от себя телефон или не получает информацию от соседней ТД, что нужно от себя отключить телефон. Функционал "Минимальный сигнал" не могу применять по той причине, что у гостей бывают косячные телефоны, у которых сигнал в прямой видимости до точки доступа -75 дБм или хуже.

ИМХО это больше похоже на проблемы конкретного сетапа, чем бесконтроллерной сети в принципе.


тем более, что выше написали:


А теперь "сюрприз": как минимум контроллер Unifi не нужно держать включённым. Раскатал, подружил точки, настроил SSID, погасил на пару лет до апдейтов.

то есть контроллер для работы роуминга не нужен (ну или не очень нужен).


Функционал "Минимальный сигнал" не могу применять по той причине, что у гостей бывают косячные телефоны, у которых сигнал в прямой видимости до точки доступа -75 дБм или хуже.

а оно всё равно не всегда работает, некоторые телефоны после насильственного отключения обратно цепляются к той же точке, с которой были отключены (несмотря на то, что сигнал от другой точки гораздо лучше). вплоть до того, что нескольких попыток подключения переключаются на мобильную сеть.

то есть контроллер для работы роуминга не нужен (ну или не очень нужен).

Смотря какой контроллер не нужен для роуминга.

В любом случае оставлю для роуминга контроллеры (встроены в шлюзы) Zyxel, с ними не было таких проблем как "зависший" телефон или его упорство не подключаться к ближайшей точке доступа. Честно, 6 лет работаю с ними и совсем не парюсь на эту тему и никто не жалуется. Или не публиковал бы эту статью ). Не реклама, реально всё норм, когда все ТД под контролем шлюза Zyxel.

В статье не стал расписывать плюсы аппаратных контроллеров (много букв), допишу один плюс, чем ещё помогает шлюз. Это балансировка нагрузки между ТД. В конференц-залах стоят по 2 ТД; в актовом зале стоит 4 ТД. И когда там проводятся мероприятия, шлюз гостей поровну распределяет между ТД (всегда по ~15 гостей на одной, на второй по ~16 гостей), не бывает такого, что все гости сидят на одной ТД, а рядом стоящая другая ТД пустая (к примеру, 28 гостей там, а у этой 2 гостя). Откуда телефон знает, что вторая ТД свободная? Думаю, что сам шлюз отключает гостя на перегруженной ТД и с наименьшими задержками и высокими приоритетами приглашает гостя на другую ТД, и телефон охотно соглашается на его приглашение, раз первая ТД перестала ему отвечать по команде шлюза. Кстати, шлюз такие события пишет в логи с меткой "Роуминг". Пишет что такой то клиент с ТД перешёл на эту ТД.

Вот пример лога:

Sep 30 15:40:02 UAG5100 src="0.0.0.0:0" dst="0.0.0.0:0" msg="STA Roaming. MAC:xx:xx:xx:C1:AB:xx, From:TD-03,To:TD-06" note="" user="unknown" devID="cc5dxxxxxxxx" cat="Wlan Station Info"

Есть же функционал у многих ТД, как "сканирование соседних ТД"  или "Auto Healing". Предполагаю, что по такому принципу контроллер рассчитывает, какие конкретно ТД с наилучшим сигналом ближе размещены друг к другу и "помогает" телефону быстрее принимать решение на переподключение.

Сравнивал ради интереса переключение (роуминг) на других тестовых стендах, где нет контроллера:

  1. Пара автономных Zyxel NWA1123-ACv2;

  2. Автономные Zyxel NWA1123-ACv2 и домашний роутер Zyxel Keenetic 4G.

  3. Кластер

У всех пунктов Signal Threshold был отключен.

  • 1-й пункт: телефоны держатся за ТД и переключаются через 8-9 сек, даже если сигнал уже -85dBm или хуже.

  • 2-й пункт: тоже самое как в пункте 1, но часть трафика теряется при переходе к Кинетику.

  • 3-й пункт: шустрее переключается, но не всегда. Через раз. Бывает зависает, при этом мак-адрес телефона отображается на обоих ТД, интернет работает, но коммутаторы эту штуку считают кольцом и сыпят в логи (((((


Таких проблемных переключений нет на шлюзах Zyxel. Отходишь от ТД и если приближаешься к другой, телефон уже подключился к ней, даже если значок Wi-Fi показывал 2 палочки из 3. Классно. Все довольны.

Если вырубить SoftWLC, всё работает дальше самостоятельно как кластер (там минимальный сигнал настроен, помогает телефонам быстрее переключаться).

Если выдернуть витую пару ТД от шлюза Zyxel или его самого вырубить, все ТД разом замигают красным и выключают вещание SSID. И похрен, если нет шлюза - значит не будет вещания Wi-Fi, никто не будет спрашивать: "а почему нет интернета, если значок Wi-Fi есть?".

Очевидно становится, что со шлюзом что-то случилось или "до шлюза" обрыв. Экономит время на разборы.

Пэтому никогда не откажусь от нынешних контроллеров точек доступа, встроенных в шлюзы Zyxel, несмотря на цену. Пусть будут, лишь бы никакого геморроя не было ни с гостями, ни с заявками. Наелся с автономными ТД в своё время, когда невозможно было заставить телефон подключиться к ТД в прямой видимости или выдавал ошибку SSID, если соглашался переключиться. Хочется нормальной работы комплекса, спокойствия и комфорта при мониторинге/конфигурировании.

Откуда телефон знает, что вторая ТД свободная?

802.11k, 802.11v

Нынешние смартфоны многому научились, не исключено, что сегодня они по 802.11k/v сами переключаются на автономных ТД, но когда были разные модели автономных ТД с единым SSID, мои телефоны Samsung GT-S5300; HTC Desire 600 dual sim, ноутбук MSI CX500 с Windows XP и другие Андроиды коллег не всегда могли переключиться на ТД с лучшим сигналом согласно 802.11k/v, значит его у них не было.

После установки шлюза UAG5100 с его ТД, все проблемы исчезли, в мануале и в настройках ничего нет про 802.11k/v. Его внедрили в поздние модели.

Возможность включения 802.11k/v.
Возможность включения 802.11k/v.

Ради интереса 802.11k/v не включал на VPN300. Хуже не стало, телефоны Самсунг GT-S5300, iPhone 4s и 7, ноут так же корректно роумятся.

Самсунг GT-S5300 и iPhone 7 быстрее переключаются в сети с UAG5100 с ТД NWA5123-AC, чем на автономных NWA1123-ACv2, которые начинкой не сильно отличаются от управляемых NWA5123-AC.

Поэтому остаётся ощущение, что у шлюзов Zyxel UAG5100; VPN300 всё-таки есть свой проприетарный функционал или просто качественно реализовали вспомогательный механизм переключения Wi-Fi устройств.

Честно, 6 лет работаю с ними и совсем не парюсь на эту тему и никто не жалуется. Или не публиковал бы эту статью

извините, это технический ресурс, тут «не парюсь» не работает.


Думаю, что сам шлюз отключает гостя на перегруженной ТД и с наименьшими задержками и высокими приоритетами приглашает гостя на другую ТД, и телефон охотно соглашается на его приглашение

и как оно устроено?
AFAIK многие андроиды вообще не умеют 802.11k/v

Взято из официальной документации тут. Стр.118

и оттуда.

Критерии отключения гостевых станций.
Критерии отключения гостевых станций.

При отсутствии 802.11k/v у UAG5100, его управляемые точки доступа всё-таки каким-то образом узнают, что по соседству стоит такая же ТД и запрещают новые соединения.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.