[vadim555]

Добрый день!

Есть задача настроить Wi-Fi сеть на заводе.

Планируется 1500-2000 пользователей Wi-Fi. Подозреваю, что не стоит создавать один VLAN и сеть с маской /21, а лучше разбить на несколько VLAN'ов и подсетей, например /23 или /24.

Посоветуйте, как можно подключить несколько VLAN'ов на один SSID? В контроллере Cisco WLC5508 можно привязать SSID на Interface Group(G), можно сделать через эти группы?

Или 2000 пользователей в одной сети не помешают друг другу и это обычная практика?

Спасибо!

[alibek]

Если межклиентского трафика нет и можно использовать изоляцию клиентов, то 2000 пользователей в одном сегменте работать будут нормально.

[vadim555]

Да, межклиентский трафик отсутствует. Спасибо!

А вообще есть какие-то рекомендации из практики, какое количество беспроводных клиентов оптимально в одной подсети? Нигде не встречал этой информации.

[alibek]

То что отсутствует — это одно.

А есть ли реализация этого ограничения в железе?

На точках доступа, предположу, что изоляция клиентов имеется.

Но эти точки включены в какой-то коммутатор — есть ли изоляция портов на нем?

 

Сегментировать нужно беспроводных клиентов, в зависимости от возможностей железа.

Но после того, как клиент попал в ядро сети — я бы просто сделал одну подсеть /21.

Если есть какая-то естественная территориальная группировка (цеха, здания) — то подсети поменьше на каждую такую группу.

[vadim555]

alibek, я не совсем точно выразился. Хотел сказать, что общение клиентов между собой не требуется. В Cisco WLC есть галочка "Peer-to-Peer Blocking". Включу ее.

Сами точки доступа подключены к коммутатору, и к точкам подведен только management VLAN. Клиентский же траффик внутри CAPWAP-туннеля, выходит из контроллера и терминируется на Cisco ASA.

 

Цитата

 

Но после того, как клиент попал в ядро сети — я бы просто сделал одну подсеть /21.

Если есть какая-то естественная территориальная группировка (цеха, здания) — то подсети поменьше на каждую такую группу.

 

Тут не совсем понятно. Не могли бы чуть подробнее описать?

Есть один SSID на весь завод. К этому SSID "примонтирован" один VLAN, в этом VLAN'е имеется одна подсеть. Предположим /21, чтобы всех уместить.

Не понятно, как сделать так, чтобы определенный цех получал свою маленькую подсеть, например с маской /24, но при этом находился в том же SSID ?

[alibek]

Я с Cisco WLC не знаком, поэтому не знаю.

Но на Ubiquiti или Eltex можно создать несколько сайтов (=цеха), к которым и будут привязываться точки доступа. Ну а сеть на всех точках доступа в разных сайтах будет одинаковая.

Скорее всего в Cisco тоже так можно.

 

SSID это просто беспроводной транспорт, обеспечивающий обмен трафиком.

IP-адресов в нем нет, IP-адреса назначаются DHCP-сервером (который обычно роутер и контроллер).

Если DHCP-сервер может различать клиентов с разных сайтов (по VLAN или по 82 опции), то сможет и разные настройки отдавать.

[vadim555]

Теперь понятно. Благодарю Вас! ))

[Saab95]

В 10.12.2024 в 10:30, vadim555 сказал:

Планируется 1500-2000 пользователей Wi-Fi. Подозреваю, что не стоит создавать один VLAN и сеть с маской /21, а лучше разбить на несколько VLAN'ов и подсетей, например /23 или /24.

Вообще это больше похоже на студенческую работу, т.к. 1500-2000 пользователей Wi-Fi не было даже на публичных сетях масштаба города, когда на остановках, в автобусах и прочих "людных" местах были бесплатные открытые сети.

 

Даже на крупных складах, 200-400 устройств Wi-Fi (всякие там сканеры штрих кодов и смартфоны), куда уж больше=)

 

В 10.12.2024 в 12:21, vadim555 сказал:

Есть один SSID на весь завод. К этому SSID "примонтирован" один VLAN, в этом VLAN'е имеется одна подсеть. Предположим /21, чтобы всех уместить.

Не понятно, как сделать так, чтобы определенный цех получал свою маленькую подсеть, например с маской /24, но при этом находился в том же SSID ?

Большие сети в одном VLAN или вообще во VLAN не строятся. Если реально нужно много клиентов, то каждая беспроводная точка работает в режиме контроллера и передает по некому туннелю данные на центральный контроллер. Он уже управляет трафиком - кому какой IP адрес выдать на основе мак адреса или wi-fi точки (ее места расположения), либо по странице регистрации.

 

Тут все точки изолированы, подключать их можно вообще куда угодно и как угодно (хоть через публичный интернет), клиенты могут между собой передавать данные только через центральный контроллер.

 

Без этого сеть будет работать очень и очень не стабильно, т.к. руками или даже средствами автоматизации копаться в 2000 клиентах очень сложно, почему кто-то адрес не получает, или скорость низкая, или дубликат маков и т.п.

[fractal]

18 часов назад, Saab95 сказал:

Вообще это больше похоже на студенческую работу, т.к. 1500-2000 пользователей Wi-Fi не было даже на публичных сетях масштаба города, когда на остановках, в автобусах и прочих "людных" местах были бесплатные открытые сети.

 

Даже на крупных складах, 200-400 устройств Wi-Fi (всякие там сканеры штрих кодов и смартфоны), куда уж больше=)

 

Большие сети в одном VLAN или вообще во VLAN не строятся. Если реально нужно много клиентов, то каждая беспроводная точка работает в режиме контроллера и передает по некому туннелю данные на центральный контроллер. Он уже управляет трафиком - кому какой IP адрес выдать на основе мак адреса или wi-fi точки (ее места расположения), либо по странице регистрации.

 

Тут все точки изолированы, подключать их можно вообще куда угодно и как угодно (хоть через публичный интернет), клиенты могут между собой передавать данные только через центральный контроллер.

 

Без этого сеть будет работать очень и очень не стабильно, т.к. руками или даже средствами автоматизации копаться в 2000 клиентах очень сложно, почему кто-то адрес не получает, или скорость низкая, или дубликат маков и т.п.

Так у него cisco, там на контроллере все это решается и мониторится

[Saab95]

7 часов назад, fractal сказал:

Так у него cisco, там на контроллере все это решается и мониторится

Не совсем, контроллер это контроллер, он управляет сетью. А что бы данные с каждой точки шли по некому туннелю это нужен шлюз для роуминга. Это отдельная железка должна быть.

 

Ранее, например, у planet было решение MESH беспроводной сети, где сами точки доступа подключались друг к другу (по отдельным беспроводным интерфейсам), а так же могли подключаться и по кабелю. Шлюз для роуминга позволял прозрачно переходить пользователям с одной точки на точку, без разницы какими связями точки подключались к центру.

[fractal]

2 часа назад, Saab95 сказал:

Не совсем, контроллер это контроллер, он управляет сетью. А что бы данные с каждой точки шли по некому туннелю это нужен шлюз для роуминга. Это отдельная железка должна быть.

 

Ранее, например, у planet было решение MESH беспроводной сети, где сами точки доступа подключались друг к другу (по отдельным беспроводным интерфейсам), а так же могли подключаться и по кабелю. Шлюз для роуминга позволял прозрачно переходить пользователям с одной точки на точку, без разницы какими связями точки подключались к центру.

Уважаемый, Вы с cisco wifi то работали?  в cisco это в дефолте в двух вариациях, первое это когда роуминг выполняется через контроллер (режим Central switching) , второе это когда роуминг выполняется напрямую между точками (режим flex connect на удалённых филиалах). Некий туннель у Cisco это capwap, все данные ходят в нем

[jffulcrum]

Я бы заметил только, что при плоской сети 2К MAC адресов + адреса самих точек может оказаться многовато для свитчей, в которые воткнуты точки, например если это "мыльницы" с POE под потолком. Так что сегментирование по sites весьма уместно, тем более что нет нужды в P2P

[alibek]

Подсеть /21 не обязательно означает общий широковещательный домен.

Но даже если так, то при включенной изоляции портов на конечные PoE-коммутаторы все две тысячи MAC-адресов не придут.

[TheUser]

Что за завод? Сварочное производство или иные источники искровых помех есть?

[Saab95]

18 часов назад, fractal сказал:

первое это когда роуминг выполняется через контроллер (режим Central switching)

Вот это совсем не то, даже название - свитчинг, если бы был роутинг хотя бы.

 

Если вы знакомы с документацией, посмотрите, каким образом возможно к контроллеру удаленные точки подключать? Есть ли там подключение через интернет?

[fractal]

7 часов назад, Saab95 сказал:

Вот это совсем не то, даже название - свитчинг, если бы был роутинг хотя бы.

 

Если вы знакомы с документацией, посмотрите, каким образом возможно к контроллеру удаленные точки подключать? Есть ли там подключение через интернет?

Есть конечно, но какой идиот в наше время это делает и зачем? Для этого есть специальные точки доступа которые умеют строить ipsec туннель до офиса и растягивать l2 или маршрутизировать сеть клиента в офис. 

Вы видимо от незнания ничего кроме микротик высказались и сейчас на абревиатуры наскакиеваете хотите изучить, откройте документацию а не делайте глупые заяаления

[Saab95]

16 часов назад, fractal сказал:

откройте документацию а не делайте глупые заяаления

Сколько микротиков можно купить за стоимость одной точки циски?

[fractal]

11 часов назад, Saab95 сказал:

Сколько микротиков можно купить за стоимость одной точки циски?

Вы адекватный? при чем тут цена точки доступа? тут человек явно пишет, есть точки cisco, есть контроллер cisco, зачем ему микротики? 

Что покупать всецело зависит от компании, есть средства и возможность покупать cisco / juniper / huawei берет эти вендоры, нет средств но хочется дешевого wifi, берут микротик / длинк / zyxel не все в мире на микротик завязано. У меня компания берет исключительно cisco, потому что есть на это бюджет, причем всегда через тендерные процедуры и все новое и даже не смотрит на других вендоров.

[Urs_ak]

В 10.12.2024 в 12:58, alibek сказал:

Eltex можно создать несколько сайтов (=цеха), к которым и будут привязываться точки доступа.

Как вам Eltex, кстати ? Покупаете ещё их решения ?

Имеет смысл в гостишке делать на Eltex  или ну его ?

[alibek]

Если речь про контроллерный Wi-Fi, то использовать не стали. Их WLC довольно сложноват оказался в развертывании, и я просто решил с ним не связываться. По работе самого WiFi нареканий не было, но его и не тестировали как следует (с большой нагрузкой).

Лично я бы сейчас для небольшой гостиницы скорее Кинетики бы рассматривал. Есть пара инсталляций (на три точки и на десяток точек) - работает отлично.

[alibek]

Нашел тикет по тестированию, брали в тест две точки WEP-3ax в 2021 году.

Если коротко, то список недостатков или недочетов:

• Не реализованы k/v/r (по крайней мере на момент тестирования).
• Нет готового образа SoftWLC, который можно просто развернуть и начать работать. Пришлось переустанавливать MySQL вручную, ставить какие-то патчи, доустанавливать какие-то компоненты, корректировать конфигурацию (как минимум для eltex-polly). Ну и всякие другие мелочи (например сетевой интерфейс в инсталляционном скрипте прописан как eth0, а в современных линуксах он обычно eno или enp).
• Поддерживаемое оборудование в контроллере добавляется медленно. Поддержки WEP-3ac не было, для тестов указывал тип устройства WEP-2ac, как наиболее близкое.
• Настройку WLC интуитивной и простой не назовешь. Например, чтобы контроллер увидел точку и смог ее инициализировать, DHCP-сервер должен отдавать на точку опцию 43.10 со специальным значением. И подобных мелочей немало — не узнаешь пока не прочтешь тщательно документацию.
• Нет поддержки динамического VLAN (по RADIUS).
• QoS (по RADIUS) не протестировал. Поддержка вроде бы есть, но с рядом ограничений.

Понятно, что многое из перечисленного — это проблемы роста, возможно все эти проблемы на текущий момент уже устранены. Но, как говорится, "осадочек остался".

[Urs_ak]

Спасибо. Буду иметь в виду.

 

Тут к нам приставала одна гостиница, пафосная. C обновлением оборудования WiFi. 102 точки.

Думали может на Eltex'е сделать, но потом сплавили интегратору, т.к. не наш всё таки уровень. Ну нафиг.

 

Знаю что интегратор им предложил таких вендоров:

Цитата

- ZRJ (они же DCN) – знаем их давно, есть свои инсталляции, можем рекомендовать.

- Maipu – знакомы с ними недавно, наш поставщик их тоже хорошо рекомендует.

 Чуть позже будет предложение на HPE (Aruba) и Huawei.

На Huawei (AirEngine5761-11) у них был самый дешёвый по цене, почему-то...

Интересно, что на HPE могли сделать тоже, хотя вроде же санкции

 

Вот

[Saab95]

В 16.12.2024 в 11:04, Urs_ak сказал:

Тут к нам приставала одна гостиница, пафосная. C обновлением оборудования WiFi. 102 точки.

Подобные вещи на точках от микротика делали без всяких контроллеров.

 

1. Каждая точка подключена по L3 к центру.

2. На каждой точке установлена одна и та же сеть с большой маской.

3. Выдача IP адресов через DHCP с привязкой по маку. Сам DHCP привязывает IP адрес к нужной точке.

 

Все работает отлично без каких-либо проблем. Переключение от точки к точке занимает по времени 0.2-0.4 секунды.

[alibek]

Цитата

Все работает

херово.

По сравнению с нормальной сетью, где точки доступа и устройства поддерживают k/v/r.

[fractal]

22 часа назад, alibek сказал:

херово.

По сравнению с нормальной сетью, где точки доступа и устройства поддерживают k/v/r.

Логично же, это устарело все давно