Riddick Posted November 22, 2015 · Report post Приветствую. Два года назад обеспечил вайфаем объект на 10 хотспотов. Сделал все на микротиках, головным поставил 751 модель, с хотспотом на две сети и фаерволом на 50 правил он справлялся не напрягаясь. Сейчас для удобства управления решил перевести все точки под его управление через Capsman2. С самой организацией проблем не было, создал конфигурации и через провижн распределил их на соответствующие точки. Однако, как только точки зарегались в capsman, центральный роутер свалился в даун, показав загрузку проца под 100% и нехватку памяти. После тестов выяснилось, что 4 точки подключаются к нему нормально, как только добавляется пятая - все плохо, причем неважно, какая именно точка, любая пятая убивает его, даже если на ней клиентов нет. Вопрос, неужели задача по управлению точками настолько ресурсоемкая? Есть смысл поставить более мощную модель или что-то действительно не так, как должно быть? Ниже приведу кое-какие подробности и размышления: - проц 400 Мгц, памяти 32 Мб, не много, но не ставить же CCR на его место. - Tools -> Profile в основном показывает отжирающие процессы Management, SSL. - При подключении точек ставил request certificate, если поставить none, проблема остается. - На другом объекте всего 2 точки по той же схеме, подключены к 24-портовому CCS (400 Мгц, 64 МБ), загрузка 50%, если увеличить, думаю, тоже свалится. Буду признателен за дельные советы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tonchi Posted December 1, 2015 · Report post АПНУ тему так как самому интересно её решение. Ставить CCR довольно дорого, можно как-то обойтись без этого? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
slv700 Posted December 2, 2015 · Report post АПНУ тему так как самому интересно её решение. Ставить CCR довольно дорого, можно как-то обойтись без этого? Совершенно неудивительно, что контроллер сети на базе какой нибудь мыльницы не справляется с нагрузкой даже при небольшом количестве AP. Контроллер Cisco Wireless LAN Controller 2500, который точно справляется c 75шт. AP , стоит 2.5 тыс usd с лицензией на 15 AP. Вот и думайте какой мощи борд нужен для CapsMAN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tonchi Posted December 2, 2015 · Report post Совершенно неудивительно, что контроллер сети на базе какой нибудь мыльницы не справляется с нагрузкой даже при небольшом количестве AP. Контроллер Cisco Wireless LAN Controller 2500, который точно справляется c 75шт. AP , стоит 2.5 тыс usd с лицензией на 15 AP. Вот и думайте какой мощи борд нужен для CapsMAN. Cisco никогда не был дешевым. :) Давайте лучше подумаем о более доступном решении. Может кто-то уже настраивал CapsMAN на 15+ AP? Хочу приобрести один Cloud Core Router, пока к нему хочу подключить 10-15 точек доступа, но в перспективе их будет намного больше 70-100+ AP Посоветуйте, стоит переплачивать или хватит и более дешевый вариант? как вам Mikrotik CCR1009-8G-1S-1S+PC ? или лучше доплатить и взять 16 ядерный? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
slv700 Posted December 2, 2015 · Report post Хочу приобрести один Cloud Core Router, пока к нему хочу подключить 10-15 точек доступа, но в перспективе их будет намного больше 70-100+ AP Посоветуйте, стоит переплачивать или хватит и более дешевый вариант? как вам Mikrotik CCR1009-8G-1S-1S+PC ? или лучше доплатить и взять 16 ядерный? Если Вам нужно 70-100 AP, забудьте про Микротик. МТ- это решение SOHO, даже на SME не тянет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tonchi Posted December 3, 2015 · Report post Если Вам нужно 70-100 AP, забудьте про Микротик. МТ- это решение SOHO, даже на SME не тянет. Ну почему же Вы так уверенно это говорите? в каждом решении есть свои плюсы и минусы. Если бы не так, то Микротиком бы никто не пользовался. А как показывает практика зачастую именно Микротик и Убикюити у нас используют. Я конечно не уверен на 100% так как нет возможности и финансов опробовать все фирмы по беспроводном оборудовании. На данном этапе есть два десятка Микротик точек доступа к Wi-Fi с работой Хотспота, планируем расширять покрытие и задумались о покупке CCR для того, чтобы связать все точки в один центральный контролер. На чем бы Вы делали все это? (главная цель это Hotspot) И все-же какой лучше CCR брать? стоит переплачивать за более мощный маршрутизатор или нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
slv700 Posted December 3, 2015 · Report post И все-же какой лучше CCR брать? стоит переплачивать за более мощный маршрутизатор или нет? Если то, что у вас есть, не тянет, значит нужно ставить более мощную платформу. Что касается софта , то роутинг у МТ сделан достойно . Но вот контроллер доступа HotSpot у Микротика слабоват и не только потому что жрет много ресурсов, а просто не имеет нужной функциональности. На контролере МТ нельзя построить удовлетворяющие стандартам современные сети публичного вайфай доступа . МТ не поддерживает в режиме HotSpot ( речь не идет о корпоративной сети) большинство из важнейших функций по стандартному , например, EAP WPA2-Enterprise, защищенному AAA, роумингу, балансировки нагрузки и др. МТ сделал свой контроллер только полтора года назад, сейчас вышла вторая версия, несовместимая с первой. В общем сырой он еще по стабильности и функциональности, нужно еще лет 3-5 чтобы довести его до ума. Если вам нужно покрыть сервисом гостиницу -это решение подойдет, но вот 70-100 AP- это не для МТ. А на чем строиться? Посмотрите на Камбиум cnPilot. На нем можно решить вашу задачу. За убнт HotSpot пока ничего не могу сказать. Мы пока изучаем это ( роуминговые сети HotSPot) решение на базе ubnt. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 3, 2015 · Report post Вам не нужен капсман, настройте просто на всех точках единый SSID и ограничение по минимальному сигналу, все будет отлично работать. Сами точки объедините на уровне L2 с фильтрацией и блокировкой трафика. При этом если точек много и они находятся в разных местах, нужно разбить их на локальные L2 группы, ведь переход от одной группы к другой без обрыва все равно физически не возможен, поэтому нет смысла чрезмерно увеличивать размеры L2 сегмента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mr_Archer Posted December 3, 2015 · Report post Вам не нужен капсман, настройте просто на всех точках единый SSID и ограничение по минимальному сигналу, все будет отлично работать. Сами точки объедините на уровне L2 с фильтрацией и блокировкой трафика. При этом если точек много и они находятся в разных местах, нужно разбить их на локальные L2 группы, ведь переход от одной группы к другой без обрыва все равно физически не возможен, поэтому нет смысла чрезмерно увеличивать размеры L2 сегмента. а можно поподробнее тут. как осуществляется фильтрация L2 и блокировка трафика Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tonchi Posted December 3, 2015 · Report post а можно поподробнее тут. как осуществляется фильтрация L2 и блокировка трафика По фильтрации трафика самому стало интересно, не совсем понял. А блокировка трафика, подозреваю что Сааб95 имел введу ограничении по скорости/скачивания/времени силой сигнала, чтобы отсоединяло тех кто далеко от точки доступа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 4, 2015 · Report post Каждая точка упаковывается в уникальный влан, то есть все данные с радиоинтерфейса идут через влан или туннель в центр. В центре все объединяется в бридж и создается в фильтрах бриджа пустое правило с действием дроп. На антеннах блокируется трафик между абонентами, если там все без WDS то достаточно поставить галочку на вкладке Wireless внизу. Тогда получается так, что абоненты не могут передавать друг другу данные в пределах своей точки, не могут передавать данные между точками. Кроме всего можно отключить arp на всех бриджах и беспроводных адаптерах, оставив только на центральном микротике, который интернет предоставляет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mr_Archer Posted December 4, 2015 (edited) · Report post Saab95, а зачем всё в уникальный влан? вот у меня построено так. допустим 10 точек, на всех точках вайфай интерфейс входит в бридж, в котором есть влан10. И так одинаково на всех микротиках. Зачем именно чтобы на каждом микротике были разные вланы для вайфая? и ещё, зачем правило дропа, если за хождение трафика по вайфаю между клиентами существует галочка форвардинга, и достаточно её просто снять? Edited December 4, 2015 by Mr_Archer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 4, 2015 · Report post Saab95, а зачем всё в уникальный влан? вот у меня построено так. допустим 10 точек, на всех точках вайфай интерфейс входит в бридж, в котором есть влан10. И так одинаково на всех микротиках. Зачем именно чтобы на каждом микротике были разные вланы для вайфая? и ещё, зачем правило дропа, если за хождение трафика по вайфаю между клиентами существует галочка форвардинга, и достаточно её просто снять? В вашем случае убрали передачу данных между клиентами одной точки. У вас 10 точек, то есть каждый клиент сети не может передавать данные клиентам своей точки, но может передавать данные клиентам других 9 точек. Ведь данные, пришедшие из влана, попадают в беспроводную сеть, ведь нет способа отличить кто послал эти данные, центральный маршрутизатор, или абонент соседней точки. Когда у вас каждая точка работает на свой влан, она не видит никакой информации о других абонентах других вланов. Самая большая проблема любой беспроводной сети это большое количество мак адресов и не нужного трафика. Допустим у вас на каждой точке по 10 абонентов, следовательно уже 100 мак адресов, которые разлетаются по всем точкам, когда подключится по 20 клиентов или по 30, будет уже 200 или 300 маков, отсюда и всеми описываемые тормоза, глюки и т.п. Так же посчитайте пакеты ARP, которые рассылают все абоненты, они тоже занимают часть ресурса беспроводной сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mr_Archer Posted December 4, 2015 (edited) · Report post Saab95, так у меня форвардинг запрещён на всех точках, но вашу идею понял. однако вот у меня есть объекты от 100 точек и больше, согласитесь, создавать 100 уникальных вланов и потом их на шлюзе собирать это прям-таки велосипед самый настоящий. да и для каждой точки нужно индивидуальные настройки заливать, а так на все одинаковые конфиги и только частоты да мощность подправить. Как вот в таких случаях фильтровать и блокировать левый трафик Edited December 4, 2015 by Mr_Archer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xaker1 Posted December 4, 2015 (edited) · Report post 19 точек, CAPsMAN2, загрузка 0-3%. На данной железке так же хотспот поднят. На текущий момент 9 подключенных клиентов, днем больше но сомневаюсь что загрузка сильно выше. CPU 2809 MHz, Memory 122.8 MiB. ROS 6.30.4 И да, хотспот и капсман подняты на KVM микротика, т.е. по сути виртуальном, отсюда и такой CPU. Edited December 4, 2015 by xaker1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 5, 2015 · Report post Как вот в таких случаях фильтровать и блокировать левый трафик Часть трафика можно заблокировать фильтрами бриджа, например разрешить входящий трафик только с мака = маку сервера, что бы опять не заморачиваться со сменами маков в случае замены оборудования, можно использовать маску и вбить туда все микротиковские маки. Однако АРП таким образом нельзя заблокировать. Настроить кучу вланов не сложно - в центре можно вставить конфиг в текстовом виде, который сделать подстановкой в экселе, на сами точки можно залить измененные данные по SSH, либо вручную пройтись по всем, вставляя команду на изменения влана в терминал. На практике, перевод оборудования на нормальную схему при большом количестве точек, позволяет очень сильно увеличить скорости работы при большой нагрузке. Так же можно разбить точки по группам, между которыми переход без обрывов физически не возможен, таким образом уменьшается размер L2 сегмента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...