weedman Posted February 7 Posted February 7 (edited) Здравствуйте. Этот вопрос возник во время обсуждения в теме Еще раз про VLAN на Mikrotik, в Которой @jffulcrum уточнил значение опций frame types при настройке VLAN по рекомендованному производителем методу. эпиграф В настоящий момент, в связи со сменой провайдера (С ростелекома на Дом.ру), системному администратору одной из гостиниц Адтайского края приходится думать о замене точек доступа. Сейчас установлены арендные eltex, которые уйдут весте с текущим провайдером. Для замены планируются Keenetic KN-3911 Challenger SE, сравнивал достумную информацию между ним и Keenetic Sprinter SE KN-3712, существеной разницы не заметил. Информации о параметрах работы радио не нашел. Контроллер уже есть в соседнем здании, а здания соеденены между собой линией связи. Упоминание в вышеуказанной теме DSCP, породило итерес - а нет ли смысла пробовать использовать метки DSCP в ситуации с беспроводной сетью, давать приоритет icmp, и прочему мелкому, но важному трафику, или какой-нибудь буфер на беспроводном интерфейсе сведет на нет все попытки шейпинга? Edited February 7 by weedman Вставить ник Quote
sdy_moscow Posted February 7 Posted February 7 2 часа назад, weedman сказал: одной из гостиниц Адтайского края А там это зачем? Сколько у вас точек и клиентов? Кто этот трафик в сети будет маркировать и зачем? З.Ы. МОЖНО! А ЗАЧЕМ? Вставить ник Quote
jffulcrum Posted February 7 Posted February 7 Я там, конечно, 802.1p имел ввиду, а не DSCP. Но в WiFi актуален WMM, и тут сюрприз - большинство имплементаций автоматом матчат входящий DSCP в соотв. WMM, надо читать доку вендора. Соответственно, проблема в том, что клиенты обычно ничего не маркируют или маркируют так, что лучше бы не маркировали. Соответственно, маркировать должны точки, и варианты зависят от вендора. Где-то можно занести список MAC, например, телефонов, и маркировать от них трафик (иногда даже дают регекспы по OUI завести, сиречь всё железо этого вендора - в приоритет) , везде можно к SSID привязять, хотя это и порочная практика, но позволяющая сразу в проводной сегмент в нужный VLAN отдать, где в свою очередь QoS политика уже натравливается, есть решения и с DPI, у Rukus вроде было, выявлять RSTP и подобное. Вставить ник Quote
weedman Posted February 7 Author Posted February 7 5 часов назад, sdy_moscow сказал: А там это зачем? Сколько у вас точек и клиентов? Кто этот трафик в сети будет маркировать и зачем? З.Ы. МОЖНО! А ЗАЧЕМ? Гостиница в два этажа и + в цоколе служебные помещения и персоонал рабоает. Около 60 номеров, точнее из где-то 30, многие номера размещены на две комнаты, в которых по два места. Часто приезжают спортсмены командами, в такое время людей набито под завязку. Сейчас стоит около 8 точек доступа eltex. размещены в коридорах, на потолке. В планах заменить и на указанные выше кинетики, в даьлнейшем добавить пару штук для мест с плохим покрытием. Инетесует возможность улучшения по сравнению со штатным подходом - вот контроллер. вот точки. Я не ищу безшовный mesh, на сколько понимаю, отрезать каждую AP отдельным VLAN необходимости нет, уверен кинетик должен из коробки гасить широковещательный трафик в сети, блокируя общения между клиентами. Рассматриваю варианты. DSCP как раз показался мне таким вариантом. Метки может вешать mikrotik, который там рулит сетью, в отличие от шейпинга очередями вижу потенциал улучшения по причине того, что и из WLAN инетрфейса AP, пакеты должны улетать в сторону абонента в соответствие с DSCP. От абонента в сторону AP не так инетресно. Если пакет уже пришел. нет смысла его держать. Канал до шлюза с запасом, от шлюза в интернет тоже Вставить ник Quote
sdy_moscow Posted February 7 Posted February 7 1 час назад, weedman сказал: уверен кинетик должен из коробки гасить широковещательный трафик в сети, блокируя общения между клиентами О как! Ну ладно. Уверенность - это хорошо, главное не оказаться в итоге в другой реальности. 1 час назад, weedman сказал: пакеты должны улетать в сторону абонента в соответствие с DSCP И что? Думаете это как-то улучшит интернет в номерах? З.Ы. С Вашими знаниями и опытом, я бы посоветовал - ничего не менять. Вставить ник Quote
alan Posted February 7 Posted February 7 (edited) В настройках Wi-Fi гостевой сети кинетика есть чекбокс "Изоляция клиентов", чтоб никакого траффика между собой и проводным сегментом не было. Также есть IntelliQoS, можно настроить приоритеты по клиентам, сегментам сети и типам трафика. Edited February 7 by alan Вставить ник Quote
weedman Posted February 8 Author Posted February 8 (edited) 9 часов назад, sdy_moscow сказал: О как! Ну ладно. Уверенность - это хорошо, главное не оказаться в итоге в другой реальности. И что? Думаете это как-то улучшит интернет в номерах? З.Ы. С Вашими знаниями и опытом, я бы посоветовал - ничего не менять. если планируете что-то отвечать, отвечайте по теме, если вам нужно раздуть свое эго, идите на пикабу и напишите что у вас 49.5см 2 часа назад, alan сказал: В настройках Wi-Fi гостевой сети кинетика есть чекбокс "Изоляция клиентов", чтоб никакого траффика между собой и проводным сегментом не было. Также есть IntelliQoS, можно настроить приоритеты по клиентам, сегментам сети и типам трафика. Изоляция клиентов только в гостевой сети? Главный вопрос - изолирует ли кинетик клиентов внутри одной AP и между остальными на контроллере? Нужно ли принимать меры для снижения бродкаста? Приоритета на мнгновенное переключение нет. Итересует именно опыт, а маркетинговые заявления. Edited February 8 by weedman Вставить ник Quote
sheft Posted February 8 Posted February 8 12 часов назад, weedman сказал: изолирует ли кинетик клиентов внутри одной AP и между остальными на контроллере? а что за контроллер или что под ним подразумевается? изоляция обычно между клиентами в пределах одной ap... контроллер обычно управляет именно настройками точек (ssid/пароли/каналы) и немного в роуминг, изоляцией или ещё каким управлением трафика (который уже в кабеле) не занимается, это всё делается на коммутаторе(коммутаторах) в которые уже включаются AP 12 часов назад, weedman сказал: если планируете что-то отвечать, отвечайте по теме, если вам нужно раздуть свое эго, идите на пикабу и напишите что у вас 49.5см просто у Вас вопросы из серии куда тут на мою 99ку закись азота прикручивается, поэтому вам и отвечают в таком стиле, что лучше не трогайте если ожог жоппы не хотите получить... Вставить ник Quote
Saab95 Posted February 8 Posted February 8 17 часов назад, weedman сказал: Главный вопрос - изолирует ли кинетик клиентов внутри одной AP и между остальными на контроллере? Нужно ли принимать меры для снижения бродкаста? У вас же микротик в центре - настройте уникальный vlan на каждую точку доступа, на микротике добавьте все вланы от точек в один бридж, в фильтрах бриджа создайте правило, где in.bridge = bridge1 и out.bridge = bridge1 - действие - drop. Тогда трафик от каждой точки будет идти в своем влане, общаться с бриджем смогут все (на нем будет IP адрес общего интерфейса). Если для точек еще гостевые сети в своих вланах потребуются - через QinQ на интерфейсах поднимите еще вланы. Просто так передавать вланы по сети не надо - трафик по пути от точки до роутера сможет попадать на другие точки доступа и множить ARP запросы, другой мусорный трафик. Вставить ник Quote
weedman Posted February 9 Author Posted February 9 15 часов назад, sheft сказал: а что за контроллер или что под ним подразумевается? изоляция обычно между клиентами в пределах одной ap... контроллер обычно управляет именно настройками точек (ssid/пароли/каналы) и немного в роуминг, изоляцией или ещё каким управлением трафика (который уже в кабеле) не занимается, это всё делается на коммутаторе(коммутаторах) в которые уже включаются AP В качестве контроллера - Keenetic Ultra KN-1810 15 часов назад, sheft сказал: просто у Вас вопросы из серии куда тут на мою 99ку закись азота прикручивается, поэтому вам и отвечают в таком стиле, что лучше не трогайте если ожог жоппы не хотите получить... На сколько знаю, DSCP существует давно, соответственно поддержка оборудованием должна быть адекватной. Заинтересовался именно этим, потому что раз весь трафик идет в одном L2 до клиента, то и приоритеты DSCP должны работать и на AP (Предположение). Вставить ник Quote
naves Posted February 9 Posted February 9 (edited) 22 hours ago, Saab95 said: У вас же микротик в центре - настройте уникальный vlan на каждую точку доступа, на микротике добавьте все вланы от точек в один бридж, в фильтрах бриджа создайте правило, где in.bridge = bridge1 и out.bridge = bridge1 - действие - drop. Тогда трафик от каждой точки будет идти в своем влане, общаться с бриджем смогут все (на нем будет IP адрес общего интерфейса). Если для точек еще гостевые сети в своих вланах потребуются - через QinQ на интерфейсах поднимите еще вланы. И зачем это все? Каждая wifi-точка настраивается на isolated AP Все точки подключаются к управляемому свичу, на котором на портах в сторону wifi-точек включается port isolation. Или на микротике нет этой устаревшей технологии port isolation, и приходится делать вот эти все вланы-бриджи-правила drop? Edited February 9 by naves Вставить ник Quote
TheUser Posted February 9 Posted February 9 В 07.02.2026 в 17:17, weedman сказал: Гостиница в два этажа и + в цоколе служебные помещения и персоонал рабоает. Около 60 номеров, точнее из где-то 30, многие номера размещены на две комнаты, в которых по два места. Часто приезжают спортсмены командами, в такое время людей набито под завязку. Сейчас стоит около 8 точек доступа eltex. размещены в коридорах, на потолке. Есть анализ текущей загрузки? Какие уровни по клиентам? Может быть лучше в гостиницу штатных блядей завести? Доп. прибыль всё-таки, а за интернет никто приплачивать не станет... Вставить ник Quote
Saab95 Posted February 9 Posted February 9 4 часа назад, naves сказал: Все точки подключаются к управляемому свичу, на котором на портах в сторону wifi-точек включается port isolation. И дальше что? Трафик каждой точки будет в едином влане (L2 сегменте) идти в центр, где будут светится все точки разом? Еще и влан управления потребуется, что бы на сами точки доступ иметь вне абонентской сети? 4 часа назад, naves сказал: Или на микротике нет этой устаревшей технологии port isolation, и приходится делать вот эти все вланы-бриджи-правила drop? По сути вопроса нет никакой разницы, ограничивать доступ на коммутаторах, вешая метку тега на порт, куда подключена wi-fi точка, либо в настройках самой точки указать метку тега, с которой пойдет трафик wi-fi сети. При этом можно сразу создать 2-3 беспроводных сети, для каждой указав свой номер влана. Вопрос в удобстве. В настройка точки сразу видно какой номер влана используется, можно менять настройки не трогая промежуточное оборудование. В случае же коммутаторов все равно встанет проблема запихивания 2-3-х вланов в один порт. Если в центре используется микротик, то удобно получать трафик в изолированных каналах, тогда появляются инструменты управления трафиком с полными возможностями, в том числе и блокировки. Когда же промежуточные коммутаторы делают изоляцию, пропускают трафик в куче, могут быть некие проблемы, которые сложно диагностировать. К слову сказать - во всех "нормальных" wi-fi с контроллером каждая точка подключается через туннель к контроллеру и передает трафик абонентов по этому туннелю, а не через всякие там вланы. Это сделано что бы роуминг быстро отрабатывал и в момент переключения не летел широковещательный трафик по всем БС разом. Ведь когда мак адрес абонента пропадает в сети - все, что идет в его сторону (а ответы на запросы все равно летят из интернета) - пойдет на все порты сети, пока мак адрес снова не будет изучен. Это порой 1-2-5 секунд. Вставить ник Quote
sheft Posted February 9 Posted February 9 1 час назад, Saab95 сказал: Ведь когда мак адрес абонента пропадает в сети - все, что идет в его сторону (а ответы на запросы все равно летят из интернета) - пойдет на все порты сети, пока мак адрес снова не будет изучен. Это порой 1-2-5 секунд. и как туннелинг/вланинг/прочий костылинг этому помешает? а ещё этот вынужденный "броадкаст" режется правилом на корневом свитче unregistered unicast > null Вставить ник Quote
weedman Posted February 10 Author Posted February 10 16 часов назад, TheUser сказал: Есть анализ текущей загрузки? Какие уровни по клиентам? Может быть лучше в гостиницу штатных блядей завести? Доп. прибыль всё-таки, а за интернет никто приплачивать не станет... Анализа нет, есть проблема что "вайфай плохо грузит" Когда я начал заниматься этим обьектом, там даже телевизоры работали (вернее были подключены) через wifi. Я начал планировать шаги к улучшению, снижению расходов. Те точки, которые есть сейчас, установлены в коридорах, что я считаю ошибкой. На днях пройдусь по обьекту с ноутом и ekahau, но уровень сигналала не решит проблему скрытого узла, которая с точками доступа в коредоре ИМХО гарантирована. Воспрос с DSCP возник как вариант оформления решения. Сейчас вообще думаю забить на бесшовный роумигн и все прочие мантры маркетолоков, разпихать точки по номерам, чтобы основа была на 5Ghz, с расчетом на работу через 1-стену\перекрытие в шахатном порядке (2.4Mhz - приятный бонус), все их запихать в отдельные VLAN и включить изоляцию на ТД. В коридорах если и оставлять, то отдельную сеть. Обсуждение считаю завершенным. PS: Так много маркетинга в этих вещах, слишком ного обещаний, которые не нужны, или не работают Вставить ник Quote
Saab95 Posted February 10 Posted February 10 19 часов назад, sheft сказал: а ещё этот вынужденный "броадкаст" режется правилом на корневом свитче unregistered unicast > null В таком случае каким образом будет изучение мак адресов работать? 8 часов назад, weedman сказал: Сейчас вообще думаю забить на бесшовный роумигн и все прочие мантры маркетолоков, разпихать точки по номерам, чтобы основа была на 5Ghz, с расчетом на работу через 1-стену\перекрытие в шахатном порядке (2.4Mhz - приятный бонус), все их запихать в отдельные VLAN и включить изоляцию на ТД. Мы так много раз делали в гостиницах. В каждый номер протянут 1 кабель витая пара, в технологическом коробе установлен роутер микротик с вайфаем, от него выведены 3 внутренние сетевые розетки под стол - для подключения телевизора, телефона и одна свободная для ноутбука. На роутере настроен гостевой вайфай, уровень на передачу установлен минимальный, каналы на передачу в смежных номерах разные. Таким образом в каждом номере свой вайфай, работает быстро, т.к. подключены только клиенты этого номера. Из-за настроенного низкого уровня сигнала на передачу - 5дбм, сигнал ловится только в номере, через стену даже не пробивает. В коридорах связи нет, вайфай есть в публичных местах - в холлах, в местах ожиданиях, на респешене и т.п. Вставить ник Quote
sheft Posted February 10 Posted February 10 2 часа назад, Saab95 сказал: В таком случае каким образом будет изучение мак адресов работать? через классический броадкаст как раз, когда клиент ищет шлюз. Вставить ник Quote
TheUser Posted February 18 Posted February 18 @Saab95 Подскажите, что неверно настроено в гостичной сети публичного wifi (см. вложение)? Вставить ник Quote
Saab95 Posted February 18 Posted February 18 Вланы не верно настроены, если используются. Вставить ник Quote
TheUser Posted February 19 Posted February 19 13 часов назад, Saab95 сказал: Вланы не верно настроены, если используются. А как настроить верно? Какие признаки верной настройки? Вставить ник Quote
Saab95 Posted February 19 Posted February 19 Если основная проблема в том, что микротики видят друг друга в списке соседей с нулевыми IP адресами - значит обнаружение соседей настроено на всех интерфейсах. Нужно создать Interface List со всеми вланами, либо со списком портов, на которых не нужно обнаружение. В настройках списка соседей выбрать этот список интерфейсов. Либо список вланов, либо с восклицательным знаком не на списке портов. Вставить ник Quote
TheUser Posted February 19 Posted February 19 3 часа назад, Saab95 сказал: Если основная проблема в том, что микротики видят друг друга в списке соседей с нулевыми IP адресами - значит обнаружение соседей настроено на всех интерфейсах. Нужно создать Interface List со всеми вланами, либо со списком портов, на которых не нужно обнаружение. В настройках списка соседей выбрать этот список интерфейсов. Либо список вланов, либо с восклицательным знаком не на списке портов. Давайте еще раз контекст - это гостиничная сеть, я - постоялец. Запустился Winbox и нашел соседей. Какие проблемы в архитектуре Вы видите? Что сделано не так? Вставить ник Quote
mafijs Posted February 19 Posted February 19 контекст - это гостиничная сеть, я - постоялец В этом контексте Вы вообще не должны видеть структуру сети, кроме шлюза. (GW) Вставить ник Quote
TheUser Posted February 19 Posted February 19 27 минут назад, mafijs сказал: В этом контексте Вы вообще не должны видеть структуру сети, кроме шлюза. (GW) Не, пусть маэстро конкретно скажет, где и какие галочки нужно поставить. Вставить ник Quote
Saab95 Posted February 20 Posted February 20 В 19.02.2026 в 20:00, TheUser сказал: Не, пусть маэстро конкретно скажет, где и какие галочки нужно поставить. Нужно отключить мак сервер и список соседей на абонентских портах. В 19.02.2026 в 19:32, mafijs сказал: В этом контексте Вы вообще не должны видеть структуру сети, кроме шлюза. (GW) Тут и видно, что точки передают клиентский трафик в одном и том же влане и находятся в одном L2 сегменте. Я всегда пишу что нужно сводить уникальный канал от каждой точки в общий бридж и блокировать передачу данных между портами бриджа. Тогда абонент одной точки не сможет ничего принять и передавать на другие точки. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.