Вы читаете, что я пишу? Если я, прочитав вашу статью, вкручу себе статический 12 канал, никакие перезагрузки не помогут. Вот если ничего трогать не буду — то да, поможет, ибо при перезагрузке канал будет выбран автоматически.
Про мощность ТД. По умолчанию, оно светит 100mW (20dBm). Заметили, что у многих точек антенны либо встроены, либо их нельзя открутить? Так вот — 20dBm — это с учётом усиления антенн. В реальности если мобильные клиенты начнут светить 100mW, то батарейки им хватит минут на 20 и возникшая интерференция сделает невозможной какую-либо передачу данных вообще. Поэтому, клиенты, обычно не излучают больше 25-50mW (14-17dBm). Смысла делать точку громче нету вообще никакого. Но авторы статьи призывают нас не вести переговоры с соседями.
Исправить положение в диапазоне 2.4 призван документ ETSI EN 300 328 V1.8.1, призывающий соседей «сделать потише» и обязательный к применению в Евросоюзе с 01 января этого года. Но, полагаю, что тамошние провайдеры заморочатся его исполнить, а местные (включая авторов материала) о нём не слышали.
ИМХО необразованность провайдеров играет против них при работе с вендорами оборудования. Вот что стоило МГТС попросить Huawei сделать радио, например 2dB, если за 24 часа не было ни одной ассоциации. Хозяин приедет из командировки — подойдёт поближе к роутеру. А бабушка — никогда не подойдёт. Но об этом надо думать при составлении ТЗ. И вообще думать. А с этим — плохо.
Вот представьте себе такую ситуацию. У вас есть рариоприёмник диапазона FM. И в вашей местности каждому разрешили иметь свою радиостанцию. При этом, некоторые радиостанции вещают всё время, а некоторые — по собственному расписанию. То, что вы меня спрашиваете, звучит примерно так: «Я могу выбрать один из 14 каналов, но столкнулся с тем, что на каждом из них слышу несколько передач одновременно. Это сильно мешает мне слушать ту передачу, которую я хочу. Иногда я даже вообще не понимаю, о чём идёт речь. Так какой же мне выбрать канал?». Это — неразрешимая задача с применением домашнего оборудования и ручной настройки. Оборудование enterprise может производить измерения и динамически переключаться на каналы, уровень интерференции на которых в данный момент минимален. Минимален — не означает, что его нет, т.е. пользователи продолжат испытывать проблемы, но — в меньшей степени. Домашние роутеры обычно могут исполнять это один раз при включении. Поэтому, совет перезапустить роутер — не лишён смысла в ситуации, если его владелец не полез туда руками, начитавшись статей, подобных этой…
А так — переключаться в диапазон средних или длинных волн…
Статья — просто позорная, с учётом того, что пишет это представитель провайдера. Объясню, почему:
Третий шаг. Предполагать, что соседи всяко взломают роутер, будут пользоваться твоей сетью и пытаться устроить им сложности уже при использовании сети могут только не очень дальновидные люди. По концепции это близко к «я не буду закрывать дверь, когда ухожу, но спрячу ценности получше». Поэтому устраивать сложности с масками и прочие выкрутасы бессмысленны — не зная пароля к вашей сети соседи в неё не попадут. Соответственно, не получат адрес по DHCP. Рекомендация задавать роутер в центре сети вообще радует. Ничего, что мы его адрес по DHCP получаем? Вместе с маской и DNS.
Как предоставить пользоваться своей сетью гостям помещения?
1. Многие роутеры поддерживают режим гостевой сети. То есть это отдельный SSID со своими паролями. Исключает необходимость сообщать постороним пароль для своей боевой сети.
2. Наклейте для гостей метку NFC (для продвинутых) или QR-код с профайлом сети. Исключает необходимост вбивать ваш мегасложный пароль ручками и слегка его маскирует.
3. При наличии домашнего NAS, в нём можно завести RADIUS и использовать аутентификацию. Слегка усложнит подключение телевизоров и прочей домашней утвари
4. Полноценный Captive Portal с аутентификацией или без. Не для слабонервных, но вполне реализуемо.
Поскольку SSID присутствует в каждом пакете данных, метод его скрытия в beacon был признан малоэффективным ещё в доисторическую эпоху. Пионера с aircrack, которому лень делать уроки он не остановит.
Рекомендация устанавливать шифрование WPA2 не является исчерпывающей. Важно устанавливать шифрование AES и убедиться, что включен WMM. Без этих двух условий роутер будет обязан снизить скорость до 54Mbps. И если большинство роутеров при выборе TKIP честно предупреждают, что скорость будет снижена, то при попытке выключить WMM этого обычно не происходит. Пример — сеть DIR-300NRU на картинке. Умельцы догадались зафиксировать ширину канала в 40MHz, однако при шифровании TKIP имеют максимальную скорость 150 вместо 300, гордо заявленных аж в SSID.
Четвётый шаг. Здесь — вообще полная профанация.
Пользовательские устройства обнаруживают беспроводную инфраструктуру методом посылки специальных служебных пакетов (Probe Requests). Поскольку в диапазоне 2.4GHz имеется всего 3 (условно) не пересекающихся канала, то подавляющее большинство эффективно работающих сетей используют именно эти каналы. Производителям клиентского обурудования это также известно (в отличае от авторов статьи). Поэтому, поиск сети клиентские устройства производят не тупым перебором каналов, начиная с первого, а в порядке 6,1,11. При этом, клиентскими устройствами преследуется несколько задач: (1) скорее найти точку (2) съэкономить батарейку и (3) создать соседям меньше помех. Очевидно, что располагая свои точки на «нестандартных» каналах вы усложняете клиентским устройствам вход в сеть и жизнь соседям.
Диапазон, в котором устройства могут вести передачу, имеет границы, чётко обозначенные местным законодательством. Поскольку полоса излучения (20 или 40Mhz) ограничена по некоторому уровню и за её пределами реально присутствует некоторое излучение, производители микросхем искусственно занижают уровень передачи на каналах с «крайними», номерами, а производители точек доступа выставляют номер канала в середине допустимого диапазона, т.е 6. Пример — на картинке с точками MGTS.
Центральные частоты каналов отстоят друг от друга на 5MGz, что при ширине канала 20MHz (даже не 40) даёт нам перекрытие в 75% (что видно на картинке). При таком перекрытии клиенты уверенно принимают служебные пакеты минимум с двух соседних каналов.
Обобщая сказанное — идея располагать точку на нестандартном канале — тупая, а на соседнем со сравнимым по мощности — мегатупая.
Глядя на картинку также можно заметить наличие широких (40MHz) каналов. Поскольку 100% роутеров умеют и должны сужать канал до 20MHz при наличии интерференции, наличие таких соседей какбэ намекает, что владельцы обородования принудительно зафиксировали полосу. Здесь поможет только работа с соседями. Или использование диапазона 5GHz — он шире и там больше затухание — меньше интерференция.
Эффективный выбор канала и мощности в условиях изменяющейся радиочастотной обстановки является непростой задачей, решение которой в автоматическом режиме обычно возможно только с использованием оборудования класса enterprise.
Однако, в моём случае, самым эффективным средством за скорость и стабильность интернета стал отказ от падучего и тормозного L2TP, То есть — смена провайдера.
ну, это такая маленькая програмка, которая позволяет загрузить основной софт, протестировать оборудование и выполнить базовые манипуляции. Сама по себе она редко меняется. Обычно, изменения связаны с необходимостью по-другому распределять ресурсы при загрузке в связи с изменившимся размером оновной программы, изменением ключей в подписи…
и да… у меня в лаборатории есть AP650. Ещё engineering unit. У неё в EEPROM вообще никакого product number не записано. Поэтому после 5.2.1 она тупо не заводится. Может, всё дело в том, что у меня TTL консоли тупо нету? ;)
well… к сожалению, с некоторой версии rom monitor не все значения можно поменять :)
а она (версия) так просто не даунгрейдится… к тому же консоль нужна TTL, которую ещё спаять надо.
ха! про прошивку продолжаю утверждать — прошить НЕЛЬЗЯ. Вы описываете совершенно иной случай — у вас имеется нормальная точка WW и вы за каким-то надом или по ошибке включили её в домен с европейской страной. После чего она стала думать, что она в европе и при возврате в country code ru выключила радио. Такую точку сложно, но можно реанимировать. Способов реально два, (без плясок с downgrade до 4.x) но in the field оба — не реализуемы. Требуется доставить точку в сервис.
я же обратил внимание читателей на то, что завести точку с EU в партномере с country code ru так же нереально, как и точку US. Нет такой страны в списке допустимых стран для этого партномера. А он (партномер) написан на этикетке точки и внутри в ROM. Поэтому — бойтесь покупать точки EU прибывающие левым ходом со складов европейских дистрибьютеров — им точки WW стали ни к чему ;)
… или — берите в руки паяльник. но это нарушит гарантию. почти пожизненную.
про сервисные контракты — поддерживаю двумя руками. Если есть возможность купить контракт на всё железо — надо это делать.
Статья, в целом, шикарная. Однако, есть несколько неточностей.
Виртуальный контроллер (Virtual Controller). Чисто маркетинговая фича, которая позволяет обходиться без контроллера в случае, если точек не очень много (сейчас — 24, будет — больше). Точки должны быть одинаковые (одной модели) и находиться в одном rf-domain. Тонкость с виртуальным контроллером одна — он никогда не выбирается автоматически, а должен быть назначен вручную (с помощью галочки в GUI), При этом иметь его на сайте «про запас» — не получится, ибо становясь виртуальным контроллером, точка прекращает попытки найти контроллер для себя и, наоборот, норовит выступить таковым для местных точек. Таким образом, при наличии нормального централизованного контроллера, мы на нём теряем эту точку из управления. Вывод — при наличии центрального контроллера, его упрощённым аналогом — виртуальным контроллером не следует пользоваться никогда.
Что действительно выбирается автоматически — это RF domain manager. Он выбирается для каждого домена в отдельности. При выборе кандидата на эту должность учитываются возможности оборудования. Если в домен входит контроллер — он всяко становится в нём менеджером, если же домен состоит только из точек — для начала сравнивают модели. AP7161 (она — круче) предпочтут AP650. Если точки одинаковые — в ход идут MAC-адреса и приоритеты. Хотите назначить менеджером самую малонагруженную точку в углу помещения — поправьте её приоритет командой «rf-damain-manager priority». Не хотите, чтобы точка вообще участвоваля в выборах — «no rf-domain manager capable». понять, кто сейчас в домене менеджер можно командой «sh rf-domain-manager»
Поскольку rf-domain manager общается напрямую с каждой точкой домена и занимается координацией роуминга, рассылкой ключей, софта, сбором статистики, переносом сессий stateful firewall при роуминге и прочая и прочая, следует опасаться включать центральный контроллер в расположенный за тридевять земель домен — весь этот трафик поедет по wan
При использовании vendor specific options в DHCP, он, понятно, выдаёт их всем, кому ни попадя. Другое дело, что интересны они только точкам (и врагам). Чтобы выдавать нужные опции только точкам (а, заодно, организовать их в компактный пул адресов) следует воспользоваться поддержкой классов в сервере DHCP. Каждая модель точки включает имя vendor class identifier в запрос DHCP. Например, для AP650 имя класса — MotorolaAP.AP650. Примеры как это сделать — в уже упомянутом документе «WiNG 5.X How-To Guide Centralized Deployments» На худой конец, если влом крутить DHCP и у вас не тысячи удалённых точек, можно обойтись выдачей по DHCP стандартного набора опций. Если в нём присутствует имя домена, то, не найдя в ответе DHCP сервера нужных опций, точка попытается найти контроллер по адресу motorola-wlc.имя.домена. Таким образом, вы намекаете всем желающим, где у вас контроллер ;)
Сервисный контракт можно заключить на год и на три (на три — только на новое оборудование). По окончании трёхлетнего контракта, его можно продлить минимум на два года. ПО всех зависимых точек уже входит в ПО контроллера, ПО автономных точек (обычно) доступно отдельно. Поскольку версия ПО на точках и контроллере (в идеале) должна совпадать — следует озаботиться покупкой хотя бы одного сервисного контракта на точку каждого типа. Сами по себе они ломаются редко ;)
При включении в кластер, перезагрузка контроллера не требуется.
При выключении точки она становится новенькой как с завода только если её не инструктировали сохранять конфигурацию (" configuration-persistence "). Обычно это актуально для зависимых точек и для заказчиков, страдающих параноей на тему «украдут точку — вскроют ей мозг». Для удалённых автономных точек важно иметь конфигурацию на борту для варианта «свет уже включили, а контроллера пока не видно». Вас также попросят включить сохранение конфигурации при попытке включить mesh — точка опасается остаться на мачте освещения без линка на ethernet и без идей, как правильно включить радио в этой дикой стране, чтобы не нарушить законодательство. При желании, можно написать «configuration-persistent secure» — из читабельной версии уберут упоминания про пароли.
Непонятно, что за цены. По каталогу AP-0650-66030-WW стоит $685. Если покупаете самое дешевое — убедитесь, что у вас есть силы всё самим настроить (как у авторов статьи). Обратите особое внимание на последние две буквы парт-номера — они должны быть WW или WR. В последнее время к нам через неразборчивых завозчиков попадает большое количество точек с буквами EU. Они предназначены для продажи в европе и не будут работать в rf-domain с country code ru. Сразу оговорюсь — НИКАК перепошить нельзя. Поэтому вам придётся включать в домене европейский код страны (например fi) и каждая точка будет посылать его 10 раз в секунду (с каждым beacon) с неоднозначными последствиями для клиентов и для вас, потому что это — хорошее начало для общения с регулирующими инстанциями.
Исправить положение в диапазоне 2.4 призван документ ETSI EN 300 328 V1.8.1, призывающий соседей «сделать потише» и обязательный к применению в Евросоюзе с 01 января этого года. Но, полагаю, что тамошние провайдеры заморочатся его исполнить, а местные (включая авторов материала) о нём не слышали.
ИМХО необразованность провайдеров играет против них при работе с вендорами оборудования. Вот что стоило МГТС попросить Huawei сделать радио, например 2dB, если за 24 часа не было ни одной ассоциации. Хозяин приедет из командировки — подойдёт поближе к роутеру. А бабушка — никогда не подойдёт. Но об этом надо думать при составлении ТЗ. И вообще думать. А с этим — плохо.
А так — переключаться в диапазон средних или длинных волн…
Третий шаг. Предполагать, что соседи всяко взломают роутер, будут пользоваться твоей сетью и пытаться устроить им сложности уже при использовании сети могут только не очень дальновидные люди. По концепции это близко к «я не буду закрывать дверь, когда ухожу, но спрячу ценности получше». Поэтому устраивать сложности с масками и прочие выкрутасы бессмысленны — не зная пароля к вашей сети соседи в неё не попадут. Соответственно, не получат адрес по DHCP. Рекомендация задавать роутер в центре сети вообще радует. Ничего, что мы его адрес по DHCP получаем? Вместе с маской и DNS.
Как предоставить пользоваться своей сетью гостям помещения?
1. Многие роутеры поддерживают режим гостевой сети. То есть это отдельный SSID со своими паролями. Исключает необходимость сообщать постороним пароль для своей боевой сети.
2. Наклейте для гостей метку NFC (для продвинутых) или QR-код с профайлом сети. Исключает необходимост вбивать ваш мегасложный пароль ручками и слегка его маскирует.
3. При наличии домашнего NAS, в нём можно завести RADIUS и использовать аутентификацию. Слегка усложнит подключение телевизоров и прочей домашней утвари
4. Полноценный Captive Portal с аутентификацией или без. Не для слабонервных, но вполне реализуемо.
Поскольку SSID присутствует в каждом пакете данных, метод его скрытия в beacon был признан малоэффективным ещё в доисторическую эпоху. Пионера с aircrack, которому лень делать уроки он не остановит.
Рекомендация устанавливать шифрование WPA2 не является исчерпывающей. Важно устанавливать шифрование AES и убедиться, что включен WMM. Без этих двух условий роутер будет обязан снизить скорость до 54Mbps. И если большинство роутеров при выборе TKIP честно предупреждают, что скорость будет снижена, то при попытке выключить WMM этого обычно не происходит. Пример — сеть DIR-300NRU на картинке. Умельцы догадались зафиксировать ширину канала в 40MHz, однако при шифровании TKIP имеют максимальную скорость 150 вместо 300, гордо заявленных аж в SSID.
Четвётый шаг. Здесь — вообще полная профанация.
Пользовательские устройства обнаруживают беспроводную инфраструктуру методом посылки специальных служебных пакетов (Probe Requests). Поскольку в диапазоне 2.4GHz имеется всего 3 (условно) не пересекающихся канала, то подавляющее большинство эффективно работающих сетей используют именно эти каналы. Производителям клиентского обурудования это также известно (в отличае от авторов статьи). Поэтому, поиск сети клиентские устройства производят не тупым перебором каналов, начиная с первого, а в порядке 6,1,11. При этом, клиентскими устройствами преследуется несколько задач: (1) скорее найти точку (2) съэкономить батарейку и (3) создать соседям меньше помех. Очевидно, что располагая свои точки на «нестандартных» каналах вы усложняете клиентским устройствам вход в сеть и жизнь соседям.
Диапазон, в котором устройства могут вести передачу, имеет границы, чётко обозначенные местным законодательством. Поскольку полоса излучения (20 или 40Mhz) ограничена по некоторому уровню и за её пределами реально присутствует некоторое излучение, производители микросхем искусственно занижают уровень передачи на каналах с «крайними», номерами, а производители точек доступа выставляют номер канала в середине допустимого диапазона, т.е 6. Пример — на картинке с точками MGTS.
Центральные частоты каналов отстоят друг от друга на 5MGz, что при ширине канала 20MHz (даже не 40) даёт нам перекрытие в 75% (что видно на картинке). При таком перекрытии клиенты уверенно принимают служебные пакеты минимум с двух соседних каналов.
Обобщая сказанное — идея располагать точку на нестандартном канале — тупая, а на соседнем со сравнимым по мощности — мегатупая.
Глядя на картинку также можно заметить наличие широких (40MHz) каналов. Поскольку 100% роутеров умеют и должны сужать канал до 20MHz при наличии интерференции, наличие таких соседей какбэ намекает, что владельцы обородования принудительно зафиксировали полосу. Здесь поможет только работа с соседями. Или использование диапазона 5GHz — он шире и там больше затухание — меньше интерференция.
Эффективный выбор канала и мощности в условиях изменяющейся радиочастотной обстановки является непростой задачей, решение которой в автоматическом режиме обычно возможно только с использованием оборудования класса enterprise.
Однако, в моём случае, самым эффективным средством за скорость и стабильность интернета стал отказ от падучего и тормозного L2TP, То есть — смена провайдера.
а она (версия) так просто не даунгрейдится… к тому же консоль нужна TTL, которую ещё спаять надо.
я же обратил внимание читателей на то, что завести точку с EU в партномере с country code ru так же нереально, как и точку US. Нет такой страны в списке допустимых стран для этого партномера. А он (партномер) написан на этикетке точки и внутри в ROM. Поэтому — бойтесь покупать точки EU прибывающие левым ходом со складов европейских дистрибьютеров — им точки WW стали ни к чему ;)
… или — берите в руки паяльник. но это нарушит гарантию. почти пожизненную.
про сервисные контракты — поддерживаю двумя руками. Если есть возможность купить контракт на всё железо — надо это делать.
Виртуальный контроллер (Virtual Controller). Чисто маркетинговая фича, которая позволяет обходиться без контроллера в случае, если точек не очень много (сейчас — 24, будет — больше). Точки должны быть одинаковые (одной модели) и находиться в одном rf-domain. Тонкость с виртуальным контроллером одна — он никогда не выбирается автоматически, а должен быть назначен вручную (с помощью галочки в GUI), При этом иметь его на сайте «про запас» — не получится, ибо становясь виртуальным контроллером, точка прекращает попытки найти контроллер для себя и, наоборот, норовит выступить таковым для местных точек. Таким образом, при наличии нормального централизованного контроллера, мы на нём теряем эту точку из управления. Вывод — при наличии центрального контроллера, его упрощённым аналогом — виртуальным контроллером не следует пользоваться никогда.
Что действительно выбирается автоматически — это RF domain manager. Он выбирается для каждого домена в отдельности. При выборе кандидата на эту должность учитываются возможности оборудования. Если в домен входит контроллер — он всяко становится в нём менеджером, если же домен состоит только из точек — для начала сравнивают модели. AP7161 (она — круче) предпочтут AP650. Если точки одинаковые — в ход идут MAC-адреса и приоритеты. Хотите назначить менеджером самую малонагруженную точку в углу помещения — поправьте её приоритет командой «rf-damain-manager priority». Не хотите, чтобы точка вообще участвоваля в выборах — «no rf-domain manager capable». понять, кто сейчас в домене менеджер можно командой «sh rf-domain-manager»
Поскольку rf-domain manager общается напрямую с каждой точкой домена и занимается координацией роуминга, рассылкой ключей, софта, сбором статистики, переносом сессий stateful firewall при роуминге и прочая и прочая, следует опасаться включать центральный контроллер в расположенный за тридевять земель домен — весь этот трафик поедет по wan
При использовании vendor specific options в DHCP, он, понятно, выдаёт их всем, кому ни попадя. Другое дело, что интересны они только точкам (и врагам). Чтобы выдавать нужные опции только точкам (а, заодно, организовать их в компактный пул адресов) следует воспользоваться поддержкой классов в сервере DHCP. Каждая модель точки включает имя vendor class identifier в запрос DHCP. Например, для AP650 имя класса — MotorolaAP.AP650. Примеры как это сделать — в уже упомянутом документе «WiNG 5.X How-To Guide Centralized Deployments» На худой конец, если влом крутить DHCP и у вас не тысячи удалённых точек, можно обойтись выдачей по DHCP стандартного набора опций. Если в нём присутствует имя домена, то, не найдя в ответе DHCP сервера нужных опций, точка попытается найти контроллер по адресу motorola-wlc.имя.домена. Таким образом, вы намекаете всем желающим, где у вас контроллер ;)
Сервисный контракт можно заключить на год и на три (на три — только на новое оборудование). По окончании трёхлетнего контракта, его можно продлить минимум на два года. ПО всех зависимых точек уже входит в ПО контроллера, ПО автономных точек (обычно) доступно отдельно. Поскольку версия ПО на точках и контроллере (в идеале) должна совпадать — следует озаботиться покупкой хотя бы одного сервисного контракта на точку каждого типа. Сами по себе они ломаются редко ;)
При включении в кластер, перезагрузка контроллера не требуется.
При выключении точки она становится новенькой как с завода только если её не инструктировали сохранять конфигурацию (" configuration-persistence "). Обычно это актуально для зависимых точек и для заказчиков, страдающих параноей на тему «украдут точку — вскроют ей мозг». Для удалённых автономных точек важно иметь конфигурацию на борту для варианта «свет уже включили, а контроллера пока не видно». Вас также попросят включить сохранение конфигурации при попытке включить mesh — точка опасается остаться на мачте освещения без линка на ethernet и без идей, как правильно включить радио в этой дикой стране, чтобы не нарушить законодательство. При желании, можно написать «configuration-persistent secure» — из читабельной версии уберут упоминания про пароли.
Непонятно, что за цены. По каталогу AP-0650-66030-WW стоит $685. Если покупаете самое дешевое — убедитесь, что у вас есть силы всё самим настроить (как у авторов статьи). Обратите особое внимание на последние две буквы парт-номера — они должны быть WW или WR. В последнее время к нам через неразборчивых завозчиков попадает большое количество точек с буквами EU. Они предназначены для продажи в европе и не будут работать в rf-domain с country code ru. Сразу оговорюсь — НИКАК перепошить нельзя. Поэтому вам придётся включать в домене европейский код страны (например fi) и каждая точка будет посылать его 10 раз в секунду (с каждым beacon) с неоднозначными последствиями для клиентов и для вас, потому что это — хорошее начало для общения с регулирующими инстанциями.