Как стать автором
Обновить
79
0
Антон Винокуров @antonvn

Пользователь

Отправить сообщение
Красиво получилось!
Скажите, а зачем у вас несколько проходных розеток на кабеле установлено (видно слева)?
Вы попали :)
H-REAP и AAA Override (dynamic VLAN assignment) несовместимы. Т.е. RADIUS может отдать номер влана пользователя, но точка может на него наплевать. Это такая недокументированная багофича, хотя возможно в 7.4.10 ее исправили (надо пробовать). Если работает — то да, ставить второй NPS (с другими номерами вланов), либо привести нумерацию VLAN к единому виду (наверняка это проще).
У vWLC другого режима, кроме FlexConnect, нет.
Список ограничений хорошо расписан тут.
Если вас не напрягает, что беспроводные клиенты вываливаются в локальную сеть там же, где точки доступа (т.е. нет требований поместить всех за межсетевой экран), то действительно трафик через виртуалку не гоняется, нагрузка меньше.
Мне как раз довелось работать в Монреале, на факультете компьютерных наук. Правда в другом универе. Я не удивлен. Старперы. Боюсь что половина из них не отличат сканера от сниффера.
Соглашусь, но все же терморектальный криптоанализ будет попроще всех этих способов.
Про взаимодействие контроллера с точками можно почитать в моих предыдущих статьях про это:
Первоначальная настройка Wi-Fi контроллера Cisco
Подключение точек доступа к контроллеру Cisco Wi-Fi
Настройка беспроводных сетей на контроллере Cisco
Конечно же LWAPP уже нет, но с CAPWAP суть ровно та же. Увы, Cisco уже какой год не может обновить Enterprise Mobility Design Guide 4.1, откуда картинки и взяты.
списать можно. но выбросить нет. необходимо привлекать специальную утилизационную контору, которая выпишет все бумаги, и попросит за это немало денег. а деньги бюджетные, их на это казначейство не даст.
в том-то и дело, что даже с нулевой стоимостью электронику согласно действующим нормам госконтор списать нельзя (а вдруг там драгметаллы)?
обычно на бакалавра стипендию не дают. 4 года люди учатся «за свои кровные». причем именно учатся, стараются заниматься научной работой, к примеру, чтобы потом проще было идти на мастера или PhD
а вот затем на мастере либо PhD стоимость обучения почти всегда покрывается профессором, в лаборатории (группе) которого вы работаете (и делаете диплом). т.е. реально вы или ничего не платите, или самую малость, на жилье/еду.
автору-удачи!
ненене.
я работал в макгилле два года. в монреале 4 универа, два франкофонных и два английских. макгилл английский.
вот если бы вы на арабском или на китайском написали, «что за фигня», вам бы еще скидку дали :)
Вот подскажите. В моем учебном заведении (МГУ), в котором я что-то немного админю, есть старые компы, есть и совсем древние типа пентиум-133, есть и относительное новье типа целерон-д. В сумме машин 30, почти все-рабочие. Сейчас это неиспользованное барахло занимает целый склад. Но в какой-то школе, сельской, вполне бы пригодилось бы. Казалось — подарить. Нет, нельзя. На балансе. Списывать невозможно. Политика такая (гос. универ) — ничего списать нельзя, продать нельзя. Вывезти выкинуть нельзя. Так и лежит три центнера добра.
Как быть? Может есть у кого опыт?
Да, но это не клиентский PSK а тот, который точки доступа пользуют между собой при WDS-обмене.
И ещё это не корпоративное решение (как этим управлять, когда абонентов тысячи?)
Точка будет считать клиента не до конца подключившимся (внутренний стэйт: DHCP_REQD), и никакого трафика для него пропускать не будет. Для H-REAP, на сколько я знаю, тоже.
Сама циска рекомендует отключать эту фичу при использовании встроенного DHCP сервера (который отстоен); пользуйте внешний сервер (на сервере либо роутере). При роуминге проблемы были со старыми версиями прошивок контроллеров и WLAN телефонов, сейчас их починили.
Эта проблема так же актуальна и для проводных сетей. Кто-то (случайно, специально) может поднять второй DHCP сервер в вашей ЛВС. Вируса может и не закинут, но перебои со связью у отдельных клиентов наверняка будут (а что, если под раздачу попадет шеф?). Лечение: DHCP snooping.

По теме: у беспроводных контроллеров циско есть опция DHCP Address Assignment required. Она разрешает клиентский трафик только если клиент получил IP-адрес легитимно (у самого контроллера, либо через него). При получении адреса от «левого сервера» доступа просто не будет. Такая опция является рекомендованной именно для гостевых WLAN.
Спасибо. Да уж, последнее время на Хабре слишком много стало обзоров китайских андроидфонов.
Следующую статью попробую написать на тему концепции WPA2-Enterprise.
Большим игрокам это очень надо, но решения будут проприетарными. Джунипер делает JunOS Space, циска Cisco One, наверняка за этим последуют и другие. Направление централизации управления и выноса части мозгов в control plane где-то в сети (чтобы как минимум руками не конфигурить правила для mpls te) — вполне здравое.

Но вот во что я не верю, так в абстрактный university research, который придумал нечто феерическое и пытается впарить это VMware, Inc.
В прошлой жизни я сам поработал некоторое время в классическом западном computer science и мужики вроде основателей Nicria были моими коллегами. Да, они знали Кнута наизусть и могли в ночи разбуженные воспроизвести алгоритм Дейкстры на Алголе. Но такие люди страшно далеко оторваны от реалий. Маршрутизатор они в глаза не видели, а BGP для них — набор RFC, а не двести строчек конфига. Они, наверное, могут придумать что-то интересное, но посмотрите сами — 95% научных статей по компьютерной тематике (не в журнале Хакер, а в тех что издает IEEE) — не применимая в жизни туфта. Неприменимая потому, что у университетских исследователей, и у больших корпораций очень, очень разные задачи, проблемы, финансирование, образ мыслей. Редко когда какие-то наработки находят применение в реальном продукте, и еще реже, когда получается надвендорный продукт.
Очень интересно, как большие вендоры вроде Cisco и Juniper отнесутся к тому, что какая-то стороняя софтина, разработанная индусскими студентами (это же пока университетский ресерч, не так ли) будет управлять потоками трафика на их железе. Пока такого рода управление (вынесенное в отдельный control plane, либо по-старинке в ядре операционки) делается проприетарным софтом, существуют понятия «ответственность», «саппорт», «SLA» и т.п. А если этим занимается нечто, к которому вендор (кроме API) имеет мало отношения, кому конечный пользователь станет предъявлять претензии?

Мне кажется, до реальных продуктов с SDN еще очень далеко. Это тема — для диссертаций, симуляций в OpNET Modeler, как это случилось в свое время c G-MPLS.

Можно понять VMware, она железа не делает, и опыт с Nexus 1000v оказался вполне успешным. Но другим большим игрокам IMHO это нафиг не надо.
Это всё здорово, при наличии а) грамотного админа и б) вменяемого беспроводного оборудования. Однако, увы, до сих пор подавляющее большинство беспроводных сетей строится пионерами и на д-линках. По бедности, конечно же…
EAP-TLS требует клиентских сертификатов, распространение которых юзерам в не-только-виндовс среде вызывает определенный геморрой. PEAP — вполне себе нормальный выход.

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность