Robot_NagNews Posted October 12, 2017 · Report post Материал: Довольно распространенной ситуацией в офисах крупных компаний с Wi-Fi сетью является отсутствие роуминга или его некорректная настройка. Это приводит к тому, что, несмотря на наличие равномерного радиопокрытия во всем здании, при перемещении абонента по нему обрываются SSH-сессии, прекращается загрузка файлов, не говоря уже о разрывах сеансов связи при использовании WatsApp, Skype и других подобных приложений. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
khoma Posted October 12, 2017 · Report post Что-то слабовато. Куча опечаток.... Кроме самых известных не упомянуто никаких других альтернативных брендов и решений. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey_kha Posted October 12, 2017 · Report post А есть ли какой нибудь бонус в использовании этих контролеров если мы используем wpa2-personal? медленого запроса к радиусу нет кешировать нечево. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted October 13, 2017 · Report post Бонус есть не от использования контроллеров, а от использования FT (FT-PSK к примеру). Время аутентификации на следующей AP сокращается в разы (хотя оно и так тут более чем в 10 раз меньше секунды даже по полной процедуре). Но это не самая большая проблема при миграции (скорее самая малая её часть). Контроллеры нынче эт скорее средство мониторинга, максимум какого-то банального управления. Ну и конечно прекрасный способ развода на бабки. Точки прекрасно всю необходимую для обеспечения роуминга инфу гоняют между собой по IAPP. Вот тут https://forum.nag.ru/index.php?/topic/108990-wive-ng-mt-rouming/ (в процессе реализации в Wive-NG) рассматривал все варианты. Все линки и прочее по тексту сохранены. Нюансы обсосаны и т.д. и т.п. Статья на 3ть состоит из заблуждений. Например, что аутентификация с использованием радиуса == несколько секунд тормозов.. Это ж где радиус-то у аффтора? На луне? Или как то, что для кэширования ключей как по OKC так и FT нужен контроллер (iapp - не не слышал). Ещё две трети маркетинговой шелухи. Ни слова не сказано, что основная проблема находиться в логике выбора кандидата на переключение которая лежит на совести клиента. Не сказано, что совсместимость с 802.11k/r у клиентов встречается весьма и весьма редко (яблоки, топовые самсунги и ещё 1,5 устройства по сути). Видно, что аффтор пыжился, рожал, высасывал, но даже на сайте циски в базе знаний не порылся. Как и на местном форуме поиск заюзать не осилил, а ведь я уже за него проделал всю работу. Осталось только проанализировать тему и родить статью. =) Хоть бы вот сюда заглянул: Исследование роуминга у яблофонов от CISCO http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-0/iPhone_roam/b_iPhone-roaming.html#concept_EA3AF8F14F244478804B2D36C25F44C4 Отличия в поведении разных устройств при миграции, автор тот же http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-0/device_classification_guide.html Что касается обмена инфой для FT в типа революционных Wing 5 (и иже с ними) как раз и юзается по сути IAPP (802.11f) вместо того, чтобы таскать все события через "контроллер". И это правильно, и крайне странно, что как-то долго они к этому шли. При такой схеме нужда в контроллере вообще отпадает, и он становиться банальной мониторилкой+обновлялкой (у ынтырпрайзников нередко совмещён со средствами вытряхивания доп бабла из клиента на всевозможные лицензии=)))). Из всего полезного в статье эт упоминание про MDIE и схемка. Опять ни слова о RRM (ну почти). Все уткнулись в эту бедную аутентификацию буд-то вот он корень зла.... Короче кому интересно - go в тему по первому линку, там всё есть, от и до. =) Аффтору 5 за умение пользоваться аморфной копипастой, 1 с минусом за полезность. Не удержусь... Цитата Поправка 11k позволяет уменьшить время обнаружения точек доступа с лучшими уровнями сигналов. Это реализуется за счет того, что по беспроводной сети начинают "летать" пакеты с информацией о соседних точках доступа и их состоянии. АФФФТООР. Не кури больше этой травы. Лётчик блин. Каждая точка ведёт свою базу AP List соседних, выполняя сканирование + наблюдение за маяками, и может отдать отфильтрованный и отсортированный список AP клиенту по запросу по радио (опять же если клиент умеет спрашивать). Больше нигде там ничего уже не летает на эту тему. Цитата Несмотря на то, что подавляющее большинство современных Wi-Fi устройств поддерживает 802.11r, ЭЭЭЭЭЭЭЭ.... Нука афффтор. Давай-ка расскажи с линками на подавляющее большинство устройств умеющих FT/RRM. Всё строго наоборот. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Denisov.dv Posted October 13, 2017 · Report post 9 часов назад, Sergey_kha сказал: А есть ли какой нибудь бонус в использовании этих контролеров если мы используем wpa2-personal? медленого запроса к радиусу нет кешировать нечево. В этом случае "бонусов" от контроллеров конкретно для шифрования нет, но в корпоративном сегменте обычно используют Radius-сервер с паролями, чтобы у каждого пользователя (группы пользователей) был личный пароль, который в случае какого-то инсайда можно было бы поменять. Считается (но я согласен что теория отличается от практики), что использовать обычный persanal в сети, где работает с десяток точек доступа - это мовитон =) 19 часов назад, khoma сказал: Что-то слабовато. Куча опечаток.... Кроме самых известных не упомянуто никаких других альтернативных брендов и решений. Действительно, можно более глубоко развить эту тему. Что касается альтернативных брендов, то перечисленные - Cisco, Motorola, Juniper и Aruba это наиболее распространенные решения. В качестве альтернативного решения можно было бы выделить еще точки доступа Mikrotik, но их инсталляция - это довольно сложный процесс для компаний с небольшой инфраструктурой, акцент на которые был сделан здесь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Denisov.dv Posted October 13, 2017 (edited) · Report post 2 часа назад, sfstudio сказал: Бонус есть не от использования контроллеров, а от использования FT (FT-PSK к примеру). Время аутентификации на следующей AP сокращается в разы (хотя оно и так тут более чем в 10 раз меньше секунды даже по полной процедуре). Но это не самая большая проблема при миграции (скорее самая малая её часть). Контроллеры нынче эт скорее средство мониторинга, максимум какого-то банального управления. Ну и конечно прекрасный способ развода на бабки. Сейчас интернет превращается в интеллектуальную систему с бесчисленным количеством устройств мониторинга. так что я полагаю, что появление контроллеров в Wi-Fi сетях обусловлено не только тем, чтобы вытащить побольше денег из заказчиков. Цитата АФФФТООР. Не кури больше этой травы. Лётчик блин. Каждая точка ведёт свою базу AP List соседних, выполняя сканирование + ... Откуда точка доступа берет информацию для своих AP-листов если не из пакетов в пакетной радиосети? Цитата Вот тут https://forum.nag.ru/index.php?/topic/108990-wive-ng-mt-rouming/ (в процессе реализации в Wive-NG) рассматривал все варианты. Все линки и прочее по тексту сохранены. Нюансы обсосаны и т.д. и т.п. Не спорю, что реализовать роуминг без контроллеров возможно, здесь же речь шла об удобных для интеграции решениях Цитата Из всего полезного в статье эт упоминание про MDIE и схемка. И на том спасибо =) Edited October 13, 2017 by Denisov.dv Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted October 13, 2017 · Report post 1) От контроллера вообще нет бонусов, ещё раз повторюсь (нормальные AP умеют обмениваться всем чем нужно используя 802.11f специально для этого придуманный). Нет никакого кэширования запросов к радиусу. От слова совсем. Разберитесь как работает FT. 2) Корпоративный сегмент он бывает сильно разный, и чаще всего гораздо выгоднее физически разделить сети оставив в беспроводном сегменте только доступ в интернет. И если уж очень сильно хочется ввернуть каптив портал с полной изоляцией по юзерам. Вариантов миллион. И от 802.1x на доступе часто отказываются, т.к. значительная доля клиентов имеет не то что проблемы с миграцией в WPA Enterprise сетях, но и вообще могут работать с ними не корректно. Проходили неоднократно. А уж FT+WPA Enterprise может вообще чудеса всевозможные на этих клиентах выхывать. И те же рукусы при любых подземных стуках рекомендуют нафиг вырубить FT в такой схеме. 3) Если сеть скомпроментировали, то скорее всего уже не важно был там личный или общий пароль. =))) Из беспроводного сегмента не должно быть доступа к внутренним ресурсам с ценной информацией. Такова специфика построения действительно защищённых сетей с беспроводными сегментами. Обучловлено это какраз таки тем, что это беспровод, и не надо идти с кусачками что бы попробовать скомпроментировать сеть используя какую-то хитрую уязвимость в реализации уровня доступа. Радио есть радио. Особенно wifi. 4) Да и если утекла одна учётка сети, где гарантия, что тем же макаром не утекли все? Ну т.е. менять придётся так и сяк все учётные данные, причём несколько раз в силу того, что надо ещё понять как утекло. 5) FT даже при использовании PSK в разы ускоряет фазу аутентификации на новой AP, т.е. даже с WPA Personal выигрыш именно в этом моменте был и будет, не смотря на отсутствие радиуса. А соль в том, что клиент зацепившись на первую AP при миграцию на следующую в схеме с FT будет использовать режим реассоциации, как буд-то он уже когда-то был на ней и сессийонный ключ "был кэширован". Т.е. из 4х шагов аутентификации останется 2 самых коротких. Я это всё уже разжовывать устал с примерами и ссылками. 2 часа назад, Denisov.dv сказал: Сейчас интернет превращается в интеллектуальную систему с бесчисленным количеством устройств мониторинга. так что я полагаю, что появление контроллеров в Wi-Fi сетях обусловлено не только тем, чтобы вытащить побольше денег из заказчиков. Ещё раз и на пальцах. Слово контроллер тут весьма чревато в силу трактовки. Возможность удалённо крутануть на одной и более АП какой-то параметр это уже контроллер или нет? А радиус сервер без которого не будет работать "контроль доступа" в 802.1x контроллер или нет? И т.д. Мне всё равно во что превращается интернет. Но я вижу тенденцию, что "с появлением" на рынке "бесконтроллерных" решений использующих банальные стандартные вещи вместо изобретения собственных костылей, разом мотороллеры и прочие так же начали перетаскивать всё взаимодействие АП с контроллера на уровень ниже. Ибо оказались в неочень хорошем положении навязывая бессмысленную фигню за N килобаксов. Т.е. те кто больше всего сам орал о нужности контроллера начали переобуваться и кричать о проблемах с отказоустойчивостью в системах с выделенным контроллером (см свои же картинки). Правда у них муркетологи работают хорошо, и им даже тут удалось всё вывернуть наизнанку, придумать красивое название и начать впаривать как супер-пупер достижение. Напомню, тут технари сидят. И эту шелуху надо фильтровать. Ну и ещё раз. Сходите по ссылкам которые давал выше, включая рекурсивно из темы на которую ссылаюсь. Через недельку будем ждать от вас статью с техническим описанием ОСНОВНЫХ проблем миграции в сетях wifi к которым ускорение авторизации имеет ооооооочень отдалённое отношение. Потрудитесь пожалуйста хотя бы материялы циски прочитать на эту тему, раз мои изыскания ломает вычитывать из рабочей темы. За последний год, я перевернул всё от патентов, до реальных реализаций как на АП так и на клиентах всего этого дела. Включая форумы конкурентов, свободные форумы. Пообщался с людьми работающими над wpa_supplicnat/hostapd (ессно перечитав все списки рассылки косвенно касающиеся вопроса). Изучил текущий актуальный код Android (AOSP) на предмет этого дела. И т.д. и т.п. И подобные статьи кроме рвотного рефлекса у меня ничего не вызывают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted October 13, 2017 · Report post Цитата >Это реализуется за счет того, что по беспроводной сети начинают "летать" пакеты с информацией о соседних точках доступа и их состоянии. ... >Откуда точка доступа берет информацию для своих AP-листов если не из пакетов в пакетной радиосети? Вопрос что начинает летать? Маяки которые всегда есть и которые слушаем для составления MacTab для использования в RRM? Они и летали и будут летать независимо от. Или APScan невозможен без RRM? Или что этим сказать хотелось. Именно, что происходит всё строго наоборот. Точка начинает слушать маяки соседей, не отбрасывать их, а выделять нужную информацию и запихивать в MacTab RRM. А вот когда клиент пошлёт RRM neighbour request то она ему ответит списком AP из того самого MacTab RRM. Так же могут проводиться фоновые или полные активные сканирование. Детальнее с примером запроса опять таки в теме форума по линку выше. Цитата Не спорю, что реализовать роуминг без контроллеров возможно, здесь же речь шла об удобных для интеграции решениях Ну хватит ёлозить. Что значит удобное решение для интеграции? Две галки в роже/по ssh/tr-098/автоматом из мониторилки-управлялки это неудобно? Мы вообще можем под проект с завода предконфигурацию хоть миллиона устройств выполнить. Т.е. вся интеграция сведётся к втыканию хвостиков. Не ынтырпрайзно? =))) Или когда отвал контроллера приводит к развалу сети это ынтырпрайзно и удобно? И не можно, а нужно и именно так обмен данными был заложен изначально. Но т.к. в ынтырпрайзе принято переизобретать всё и вся ради возможности выдоить вот ещё чуть-чуть с клиента, то нарожали 100500 вариаций на одну и ту же тему. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted October 13, 2017 · Report post P.S. Да, вот действительно где нужен именно контроллер эт в так называемых "безроминговых сетях". Аля как у Meru и иже с ними. Но это вопрос совсем другой темы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted October 13, 2017 · Report post И кстати да, кто будет контролировать контроллер ? И как ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дегтярев Илья Posted October 13, 2017 (edited) · Report post 7 часов назад, Denisov.dv сказал: В этом случае "бонусов" от контроллеров конкретно для шифрования нет, но в корпоративном сегменте обычно используют Radius-сервер с паролями, чтобы у каждого пользователя (группы пользователей) был личный пароль, который в случае какого-то инсайда можно было бы поменять. Считается (но я согласен что теория отличается от практики), что использовать обычный persanal в сети, где работает с десяток точек доступа - это мовитон =) И что же в PSK плохого? У нас сеть из 600 точек в режиме PSK. Точнее клиент думает что сеть с обычным PSK, а только радиус знает что у каждого устройства ключ PSK свой, привязан к маку. Edited October 13, 2017 by Дегтярев Илья Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted October 13, 2017 · Report post 1 час назад, YuryD сказал: И кстати да, кто будет контролировать контроллер ? И как ? Ну как кто? Как обычно "обезьяна" которая не в состоянии интерпретировать данные, зато у неё есть должность и она значиться в штате как необходимая единица. =))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted March 26, 2018 · Report post Собсно цикл статей по теме, без углубления, но со всеми нюансами. https://wi-cat.ru/category/wi-fi/wi-fi-roaming/ На текущий момент описана только L1 часть. Дальше пойдём выше и дойдём уже до конкретных рекомендаций, хотя парочка воркэранудов уже обозначена. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...