[clever2v]

Всем доброго времени суток, Контора переезжает в новое помещение ("кишка" длиною 140 метров на 16 метров ширины, потолки метров 10). Стоит задача обеспечить стабильное покрытие WIFI. Возможно в будущем появятся некапитальные перекрытия. Из старого помещения достаются две точки Cisco WAP321 и роутер микротик RB750GL. так же на складе в старом помещении работал простой роутер TP-link TL-WR841N. Он обеспечивал доступ в интернет девайсам кладовщиков, девайсы эти очень древние и корректно работают только с сетью b/g и без шифрования WPA. У меня есть большие сомнения что две циски покроют такую большую территорию. В планах купить три-четыре штуки микротиковских AP, например, MikroTik cAP 2n и подцепить их к роутеру 750GL через CAPsMan. а циски перевести в режим b/g отключить шифрование и использовать на складе, который после переезда в новое помещение увеличится в два раза и ТП линка уже не будет хватать. Планируется невысокая нагрузка на сеть, не более 10 клиентов одновреммено, без большого потребления траффика. В связи с этим есть несколько вопросов к знающим людям:

 

1) Как работает капсман в плане переключения клиента между точками? уменьшится ли время перехода по сравнению с цисками, которые сейчас работают независимо друг от друга, с одинаковыми SSID и паролями доступа к сети?

2) Почитав форум я сделал вывод что капсман может только централизованно управлять настройками AP, добавляя виртуальные интерфейсы в контролирующий роутер и не в состоянии сократить время переключения клиента между AP, например за счет какой-нибудь упрощенной авторизации, и клиент при переключении между точками выполняет ровно те же процедуры авторизации как если он переключался между независимыми AP. Так ли это?

3) Нет возможности подключить точки напрямую к портам микротика, они будут подключены к L3 коммутатору управляющему локальной сетью в которую раздает интернет микротик. Что нужно включить через микротик не проходил траффик клиентов (всем клиентам будет раздаваться IP адрес из одной офисной подсети)?

4) Насколько я понял что реализовать псевдобесшовный роуминг можно лишь за счет настройки, которая пинает клиентов если уровень сигнала от них ниже определенного значения и клиент сканирует эфир и переподключается к другой AP если от нее сигнал сильнее. За счет этого решается проблема непереключения клиентов к AP с более высоким уровнем сигнала в данной точке помещения. Но этот способ никак не уменьшает задержки при переключении связанные с поиском AP и перерегистрацией клиента в новой AP. Так ли это?

[fhntv_smart]

Я с капсманом поигрался, поигрался и выключил. Пользы от него не увидел.

 

Пинать клинетов тоже нельзя просто так. Где-то по уровню -85 можно. По -75 нельзя, глюки будут.

То есть, при плотном размещении точек, если точки видятся на клиенте с уровнями -45 -55 -65, заставить клиента работать с ближайшей не получится.

[777BLOODER777]

Ребята подскажите а капсман работает исключительно в режиме 802.11 ??? или для клиентов на микробах можно как то и на natrime или nv2 его запустить?

[nkusnetsov]

777BLOODER777, цитата из вики:

"MISSING CAPsMAN features

Nstreme AP support

Nv2 AP support

TBA"

[Ocean07]

CAPsMAN это только централизованное управление, мониторинг и обновление AP.

 

Ни какого роуминага там нет, всё делается как и ранее, через access list'ы с ограничением по уровню сигнала...

 

По моему опыту, если AP находятся на разных каналах и клиента принудительно "пнули", то к другой AP он подключается через 3-6 сек. Если AP на одном канале, то быстрей.

[777BLOODER777]

nkusnetsov Спасибо за подсказку!

 

clever2v Знакомый организовал практически аналогичную задачку на "UniFi AP", правда тут уже контроллер их крутится на компе.

[romsan]

CAPsMAN это только централизованное управление, мониторинг и обновление AP.

 

Ни какого роуминага там нет, всё делается как и ранее, через access list'ы с ограничением по уровню сигнала...

 

По моему опыту, если AP находятся на разных каналах и клиента принудительно "пнули", то к другой AP он подключается через 3-6 сек. Если AP на одном канале, то быстрей.

ну не знаю, вот цитирую одного чела - он протестил функционал:

"....установлено контроллером CAPsMASN RB915G-2HnD его точка доступа также введена под контроль капсмана Беспроводной маршрутизатор mAP Lite с одним ethernet портом, которым в принципе и соединяются две точки, чтобы CAPsMAN рулил. Включил ping на ноутбуке и телефону и ходил по конторе туда сюда, в итоге пинг хороший нет ни одной потери пакета, только в контроллере CAPsMAN'а видно, что два подключенных устройства были то на CAP1, то на CAP2 это точки доступа."

Сам планирую на днях прикупить девайсы и попробовать реализовать покрытие wi-fi сетью 3-х этажное здание.

[Ocean07]

ну не знаю, вот цитирую одного чела - он протестил функционал:

"... в итоге пинг хороший нет ни одной потери пакета, только в контроллере CAPsMAN'а видно, что два подключенных устройства были то на CAP1, то на CAP2 это точки доступа."

 

Возможно в выше приведенном примере все CAP'ы находятся на одном канале. В этом случае клиент не сканирует эфир в поисках каналов и переключение происходит быстрей (но не так быстро, всё равно один-два пакета потеряются).

Я же писал про то, что каналы не пересекаются.

[romsan]

Ocean07 т.е. Вы хотите сказать, что всё-равно как таковую бесшовность реализовать на МТ не возможно!? Только минимум кобиумы!?

[Saab95]

По моему опыту, если AP находятся на разных каналах и клиента принудительно "пнули", то к другой AP он подключается через 3-6 сек. Если AP на одном канале, то быстрей.

 

Не имеет значение на каких каналах, переключение, обычно, меньше секунды.

 

Возможно в выше приведенном примере все CAP'ы находятся на одном канале. В этом случае клиент не сканирует эфир в поисках каналов и переключение происходит быстрей (но не так быстро, всё равно один-два пакета потеряются).

Я же писал про то, что каналы не пересекаются.

 

В корне не верно. Если абонента скинули с бс он начинает подключение ко всем доступным БС на всех доступных каналах, та БС, которая его первой примет и пустит по уровням сигналов, к той он и подключиться. Поэтому не важно на каких каналах работает.

 

Ocean07 т.е. Вы хотите сказать, что всё-равно как таковую бесшовность реализовать на МТ не возможно!? Только минимум кобиумы!?

 

Возможно. Для этого надо поставить большое количество точек, что бы они перекрывали друг друга. Указать минимальный сигнал -75, на точках мощность поставить не 18дбм, а 10дбм, при этом для низких канальных скоростей указать меньшую мощность, чем для высоких, тогда они особых помех на другие точки создавать не будут.

 

clever2v Знакомый организовал практически аналогичную задачку на "UniFi AP", правда тут уже контроллер их крутится на компе.

 

Много раз переделывали сети на юнифае на микротик. У юнифая одна проблема - плохое переключение, то есть можно клиенту уйти за 5 стенок, а он все равно будет на дальней точке висеть, хотя рядом с ним другая находится.

 

Капсман никакого особого практического применения не имеет. По факту то же самое что и L2 сегмент с кучей точек, только управление через один интерфейс. Ничего интересного. Так же на всех точках нужно не забыть заблокировать трафик между клиентами радио, и трафик каждой точки упаковать во влан, которые идут на центральный микротик, и там блокируется весь трафик между ними. А на DHCP сервере нужно отключить ARP на интерфейсе, поставив reply-only, и в настройках DHCP указать добавление ARP записей при выдачи адреса, на всех точках, вланах и бриджах тоже отключить ARP. Управление точками осуществлять прямо с порта, на котором поднят влан. Тогда абонентский трафик не попадет в служебную адресацию. А блокировка всего лишнего сильно разгрузит сеть.

[Ocean07]

Если абонента скинули с бс он начинает подключение ко всем доступным БС на всех доступных каналах, та БС, которая его первой примет и пустит по уровням сигналов, к той он и подключиться. Поэтому не важно на каких каналах работает

 

Абстрагируемся от МТ, не учитываем наличие протоколов 802.11k/r и v.

 

Если клиента скинули, и на текущей частоте нет такого-же SSID с такой же политикой безопасности, радио модуль wifi, начинает сканировать эфир на других каналах в поисках нужного SSID. Это занимает время... во время поиска и переключения пакеты всё равно потеряются... может не как у меня 3-6 сек, меньше, но потеряются. Может это сильно зависит от производителя wifi.

 

Только минимум кобиумы!?

 

А что кобиумы? Есть у них 802.11r, а есть ли он в клиентских устройствах? А нормальная ли у них реализация, у этих устройств...

Роуминг в wifi до сих пор боль...

 

У меня есть весьма интересный вебкаст Cisco на эту тему... могу куда нить выложить...

Изменено 18 ноября, 2016 пользователем Ocean07

[mafijs]

Капсман никакого особого практического применения не имеет. По факту то же самое что и L2 сегмент с кучей точек, только управление через один интерфейс. Ничего интересного. Так же на всех точках нужно не забыть заблокировать трафик между клиентами радио, и трафик каждой точки упаковать во влан, которые идут на центральный микротик, и там блокируется весь трафик между ними. А на DHCP сервере нужно отключить ARP на интерфейсе, поставив reply-only, и в настройках DHCP указать добавление ARP записей при выдачи адреса, на всех точках, вланах и бриджах тоже отключить ARP. Управление точками осуществлять прямо с порта, на котором поднят влан. Тогда абонентский трафик не попадет в служебную адресацию.

 

Именно ето и делается в CAPsMAN . Не надо никаких VLAN и допольнительных блокировок. Это делается в одном месте - Datapatchs.

/caps-man datapath

add bridge=bridge-local client-to-client-forwarding=no local-forwarding=no name="NO Forwarding"

 

И трафик уже идёт прямо в бридж CAPsMANа. Не на одном итерфейсе, через которих проходит трафик, с Torch этого трафика не видно. Типа в тунеле.

[romsan]

ну а МТ со своим mesh!? Ведь этим функционалом можно тупо увеличить зону покрытия wi-fi сети, + к этому access list-ы

[slv700]

Давайте забудем про 802.11r.Есть роуминг OKC, работает на всех клиентах включая дешёвых китайцев.

Самое главное что нам следует понять , что роуминг нужен не столько для уменьшения времени переключения с 1 -5 сек (как у микротика- если роуминга нет до менее 100мс для ОКС) а вообще то больше для других целей.

Клиенты при смене точек должны плавно без дерганий и метаний переходить от одной точки к другой.

Если есть защищенная аутентификация 802.1x ( которой у микротика нет) , то смена клиентом точек доступа не должна требовать повторной полной аутентификации.

Капсман это не решает.

[Saab95]

Если клиента скинули, и на текущей частоте нет такого-же SSID с такой же политикой безопасности, радио модуль wifi, начинает сканировать эфир на других каналах в поисках нужного SSID. Это занимает время... во время поиска и переключения пакеты всё равно потеряются... может не как у меня 3-6 сек, меньше, но потеряются. Может это сильно зависит от производителя wifi.

 

Возьмите 3 микротика, настройте как точки доступа и поставьте разные каналы, SSID одинаковый, настройки шифрования одинаковые. Включите логи беспроводки. Скиньте клиента с точки и посмотрите что будет написано в логах двух других точках. Это и будут ответы на все вопросы.

Радио модуль никакой эфир не начинает сканировать, он делает переподключение к сети, это совсем разные вещи.

 

Именно ето и делается в CAPsMAN . Не надо никаких VLAN и допольнительных блокировок. Это делается в одном месте - Datapatchs.

/caps-man datapath

add bridge=bridge-local client-to-client-forwarding=no local-forwarding=no name="NO Forwarding"

 

И трафик уже идёт прямо в бридж CAPsMANа. Не на одном итерфейсе, через которих проходит трафик, с Torch этого трафика не видно. Типа в тунеле.

 

Это не правильная схема. Чем-то напоминает "а зачем сбрасывать начальную конфигурацию, сделаю ка я свои настройки поверх".

[mafijs]

Это не правильная схема. Чем-то напоминает "а зачем сбрасывать начальную конфигурацию, сделаю ка я свои настройки поверх".

Ага.... правильные схемы только Ваши? Остальные "by default" неправильные?

Схема рабочая и даже очень.

[Saab95]

Ага.... правильные схемы только Ваши? Остальные "by default" неправильные?

Схема рабочая и даже очень.

 

Вы в высшей математике никогда доказательства формул не выводили?

 

Допустим у вас при 2 устройствах капсман работает.

Допустим у вас при 20 устройствах капсман работает.

Допустим у вас при 100 устройствах капсман работает.

А будет ли он работать при 1000 устройствах?

 

Ту схему, которую я предлагаю, можно использовать на 1000 устройствах и она будет работать. А работать будет по той причине, что ее можно разбить на группы, т.к. допустим каждый 100 точек установлены в своем здании и роуминг между ними не требуется - просто вланы или EoIP туннели с них сводятся в отдельный бридж и вешается своя адресация. Служебная адресация может быть вообще любой, и подключены все точки могут быть через любые каналы.

 

Схема с капсманом так работать не будет, именно по этой причине она и не рекомендована к использованию, точно так же и как RoMON, который производителем позиционируется для управления устройствами и типа это круто, но представьте что у вас 10000 устройств, сможете ими управлять через RoMON? Или все же, удобнее, обеспечить роутинг до каждого и нанести их на карту системы мониторинга?