Jump to content
Калькуляторы

Vlan-per-user в Wi-Fi сетях для организации доступа к сервисам

Подразумевается предоставление доступа для мобильных пользователей (условно с нетбуками).

Имеет ли подход право на жизнь? Какие явные альтернативы? Готова ли матчасть у метода и были ли до этого успешные сценарии использования?

Share this post


Link to post
Share on other sites
Подразумевается предоставление доступа для мобильных пользователей (условно с нетбуками).

Имеет ли подход право на жизнь? Какие явные альтернативы? Готова ли матчасть у метода и были ли до этого успешные сценарии использования?

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.

Share this post


Link to post
Share on other sites

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.

В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

Share this post


Link to post
Share on other sites
Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

Share this post


Link to post
Share on other sites
Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания.

Share this post


Link to post
Share on other sites
Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания.

 

ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит

Share this post


Link to post
Share on other sites
ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит

У мну в сабноуте тож риалтэк =) Впринципе научить его работать с WDS не так сложно как кажется, всё упирается в деньги+время. Но вот что в итоге из этого получится я чесслово ХЗ. Вообще вся эта безпроводная болезнь напоминает сифилис =) В общем золотое правило - используйте выйфый и иже с ними если по другому ну совсем никак.

 

P.S. В случае совсем мобильных абонентов, аля движущихся на машине, вый фый точно не помошник.

Edited by sfstudio

Share this post


Link to post
Share on other sites
Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания.

Может стоит прочитать внимательнее?

 

ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит

У мну в сабноуте тож риалтэк =) Впринципе научить его работать с WDS не так сложно как кажется, всё упирается в деньги+время. Но вот что в итоге из этого получится я чесслово ХЗ. Вообще вся эта безпроводная болезнь напоминает сифилис =) В общем золотое правило - используйте выйфый и иже с ними если по другому ну совсем никак.

 

P.S. В случае совсем мобильных абонентов, аля движущихся на машине, вый фый точно не помошник.

Еще можно научить мусор выносить, и кофе варить. :))

Share this post


Link to post
Share on other sites
Может стоит прочитать внимательнее?

3жды перечитал и ? Я ж грю, возможно, автор же не говорил что решения должны быть готовыми. =))))

 

Еще можно научить мусор выносить, и кофе варить. :))

К сожалению механика в них отсутствует полностью, а так да, я не против того чтобы эти карточки мусор выносили =)

Share this post


Link to post
Share on other sites
Может стоит прочитать внимательнее?

3жды перечитал и ? Я ж грю, возможно, автор же не говорил что решения должны быть готовыми. =))))

 

Еще можно научить мусор выносить, и кофе варить. :))

К сожалению механика в них отсутствует полностью, а так да, я не против того чтобы эти карточки мусор выносили =)

Плохо. Читай дальше. :))

 

Каждый понимает в меру своей испорченности. ;)

Share this post


Link to post
Share on other sites
Плохо. Читай дальше. :))

Возможно я что-то упустил но в упор не вижу что, или это прикол такой?

 

Каждый понимает в меру своей испорченности. ;)

Бедный я, наверное испортился совсем =) Не, ну скажите блин мне что я проспал, не въеду ;(

Share this post


Link to post
Share on other sites
Плохо. Читай дальше. :))

Возможно я что-то упустил но в упор не вижу что, или это прикол такой?

 

Каждый понимает в меру своей испорченности. ;)

Бедный я, наверное испортился совсем =) Не, ну скажите блин мне что я проспал, не въеду ;(

Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под все что будет использоваться. :))

 

Share this post


Link to post
Share on other sites
Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под

Нетбуки, мой MSI-Wind U90 какраз устройство из этого класса, драйвера написаны, под WDS работы на сутки.

 

Вот спека на адаптер в нём http://209.85.129.132/search?q=cache:mLFxE...mp;client=opera

 

Под винды смотрю уже в штатном драйвере есть http://www.modem-help.co.uk/RealTek/chipse...7-11g-WLAN.html

Под Linux нуно глянуть, давно я в их код не заглядывал, точнее заглядывал только на предмет расширенной сетки частот.

 

все что будет использоваться. :))

И? Грю вполне реально, но вот проблему роуминга это не решит.

 

Ага, под Linux тоже уже всё есть:

 

http://markmail.org/message/cusu7cvv7w5anred

 

Subject:    [PATCH 8/15] rt2x00: Implement WDS support    Actions...
From:    Ivo van Doorn (ivdo...@gmail.com)
Date:    Dec 20, 2008 1:56:39 am
List:    org.kernel.vger.linux-wireless


WDS support should be very easy to handle, mac80211 handles
everything for us, so all that is needed is to set the
support flags and handle it in the add_interface() callback.

Share this post


Link to post
Share on other sites
Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под

Нетбуки, мой MSI-Wind U90 какраз устройство из этого класса, драйвера написаны, под WDS работы на сутки.

 

Вот спека на адаптер в нём http://209.85.129.132/search?q=cache:mLFxE...mp;client=opera

 

Под винды смотрю уже в штатном драйвере есть http://www.modem-help.co.uk/RealTek/chipse...7-11g-WLAN.html

Под Linux нуно глянуть, давно я в их код не заглядывал, точнее заглядывал только на предмет расширенной сетки частот.

 

все что будет использоваться. :))

И? Грю вполне реально, но вот проблему роуминга это не решит.

 

Ага, под Linux тоже уже всё есть:

 

http://markmail.org/message/cusu7cvv7w5anred

 

Subject:    [PATCH 8/15] rt2x00: Implement WDS support    Actions...
From:    Ivo van Doorn (ivdo...@gmail.com)
Date:    Dec 20, 2008 1:56:39 am
List:    org.kernel.vger.linux-wireless


WDS support should be very easy to handle, mac80211 handles
everything for us, so all that is needed is to set the
support flags and handle it in the add_interface() callback.

Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой.

 

Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;)

 

При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал.

Share this post


Link to post
Share on other sites
Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой.

Ну если человеку хочется.

 

Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;)

В постановке задачи чётко указаны нетбуки, я привёл конкретную связку которая даже должна работать без особого гемора. Собсно какой вопрос - такой ответ.

 

При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал.

Ага, напомнить о совсем недавних глюках связки rtl/atheros, или о ралинках которые в упор не видели ни одной базы кроме своей собственной? =)

Wifi суть есть шаманизм.

 

Так что читал невнимательно не я... ;)

 

Однако как я понял человек таким образом решил решить проблему роуминга, но вот тут-то фигушки однозначно.

 

P.S. В ноут достаточно воткнуть USB брелок всё на том же rtl8187 или pcmci адаптер на rtl8187se (он же бывает и minipci и как там новая мелкая замена pcmci) ?

 

Share this post


Link to post
Share on other sites
Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой.

Ну если человеку хочется.

 

Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;)

В постановке задачи чётко указаны нетбуки, я привёл конкретную связку которая даже должна работать без особого гемора. Собсно какой вопрос - такой ответ.

 

При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал.

Ага, напомнить о совсем недавних глюках связки rtl/atheros, или о ралинках которые в упор не видели ни одной базы кроме своей собственной? =)

Wifi суть есть шаманизм.

 

Так что читал невнимательно не я... ;)

 

Однако как я понял человек таким образом решил решить проблему роуминга, но вот тут-то фигушки однозначно.

 

P.S. В ноут достаточно воткнуть USB брелок всё на том же rtl8187 или pcmci адаптер на rtl8187se (он же бывает и minipci и как там новая мелкая замена pcmci) ?

Вроде обязательного наличия траблов в начальном посте не заметил.

 

Нетбуки указаны не четко, а условно, да и про роуминг речь не шла.

 

На сим закончим, продолжения истории "как поймать риалтек гемморой на ровном месте", думаю не надо. Каждый юзает то, на что горазд. По топику ТСу ответили достаточно.

Share this post


Link to post
Share on other sites
На сим закончим, продолжения истории "как поймать риалтек гемморой на ровном месте", думаю не надо.

Согласен, впрочем думаю закончим и о том как нажить микротик/геморой на свою задницу.

 

Подытожу:

 

Имеет ли подход право на жизнь?

Имеет.

 

Какие явные альтернативы?

Скорее это альтернатива причём весьма экстримальная.

 

Готова ли матчасть у метода

Вся матчасть в этом топике

 

и были ли до этого успешные сценарии использования?

Да, но для неподвижных клиентов в режиме WDS.

 

Edited by sfstudio

Share this post


Link to post
Share on other sites

Большое спасибо за ответы. Я в начале ориентировался на связку Aironet+cat 3560 (3550)+RADIUS с использованием WPA2 Enterprise. При ассоциации клиента радиус выдает свободный влан в соответствии с привилегиями пользователя. От устройства требуется только поддержка WPA2 с AES, она есть сейчас почти на всех платформах в виде полноценной реализации стандарта, возможно кроме только довольно древних устройств. Но, к сожалению, обкатанных примеров использования я не находил, а свой стендик будет только вот-вот запущен и ему еще только предстоят стресс-тесты. Пока неясно как в моем случае будут обстоять дела с роумингом (и, кстати, на цисках WDS подразумевает именно технологию быстрого роуминга без реаутентификации, а не то что все привыкли).

Дополнительные манипуляции со стороны пользователей крайне нежелательны, так как это может создать большие непредвиденные накладные расходы и снизить надежность решения, хотя списывать со счетов подход с WDS пока не стоит.

Share this post


Link to post
Share on other sites

Хочу продолжить тему. Пока из серьёзных ограничений для vlan-per-user на Aironet я вижу максимальное количество бриджей (в 255) между сабинтерфейсами, хотя пока есть сомнения, что точке будет плохо и при меньшем количестве мостов, по-этому опять же неясно как быть с роумингом: создавать ли единый домен вланов между всеми точками доступа, чтобы при миграции клиент оставался с тем же IP и, соответственно, в том же влане.

Из юзер-энэмили моментов пока выделяется этап проверки сертификатов при первой ассоциации: если не задействовать авторитетные источники, пользователям будет вываливаться красные сообщения о том, что контора палёная, хотя это вполне логично и есть неотъемлемой частью оперы EAP-WPA2-802.11i-802.1X.

Share this post


Link to post
Share on other sites

Был на конференции с Длинком говорили что в ДВЛ 2100 в 2.50 прошивке сделали виртуальные акцес поинты от с ними можна делать вланы - тойсь каждый виртуальный акцес поинт это отдельный вилан и АП маркирует пакеты а потом свич понимает куда их слать ...

Только количество виртуальных АП ограничено - думаю в ланной реализации тебе не поможет ...

 

Share this post


Link to post
Share on other sites
Был на конференции с Длинком говорили что в ДВЛ 2100 в 2.50 прошивке сделали виртуальные акцес поинты от с ними можна делать вланы - тойсь каждый виртуальный акцес поинт это отдельный вилан и АП маркирует пакеты а потом свич понимает куда их слать ...

Только количество виртуальных АП ограничено - думаю в ланной реализации тебе не поможет ...

В общем направление правильное, но я сомневаюсь, что 2100 сумеет помещать клиентов в соответствующий влан по ответу радиуса и слать на него аккаунтинг, что есть ключевым моментом для фиксирования времени конца сессии. Поправьте, если не так.

Share this post


Link to post
Share on other sites
Большое спасибо за ответы. Я в начале ориентировался на связку Aironet+cat 3560 (3550)+RADIUS с использованием WPA2 Enterprise. При ассоциации клиента радиус выдает свободный влан в соответствии с привилегиями пользователя. От устройства требуется только поддержка WPA2 с AES, она есть сейчас почти на всех платформах в виде полноценной реализации стандарта, возможно кроме только довольно древних устройств. Но, к сожалению, обкатанных примеров использования я не находил, а свой стендик будет только вот-вот запущен и ему еще только предстоят стресс-тесты. Пока неясно как в моем случае будут обстоять дела с роумингом (и, кстати, на цисках WDS подразумевает именно технологию быстрого роуминга без реаутентификации, а не то что все привыкли).

Дополнительные манипуляции со стороны пользователей крайне нежелательны, так как это может создать большие непредвиденные накладные расходы и снизить надежность решения, хотя списывать со счетов подход с WDS пока не стоит.

Cisco точки доступа поддерживают 16 вланов, контроллеры новых версий - до 512, но не более 16 вланов на точку доступа. Не думаю, что у других производителей больше.

Лучше, мне кажется, конфигурацией запретить обмен между точками доступа, а доступ в разные стороны либо 802.1x определять, или же пускать всех бех разбора, а далее - по типу hotspot.

Share this post


Link to post
Share on other sites
Cisco точки доступа поддерживают 16 вланов, контроллеры новых версий - до 512, но не более 16 вланов на точку доступа. Не думаю, что у других производителей больше.

Лучше, мне кажется, конфигурацией запретить обмен между точками доступа, а доступ в разные стороны либо 802.1x определять, или же пускать всех бех разбора, а далее - по типу hotspot.

А можно уточнить в какой именно момент вылазит это ограничение, при попытке создать 17 бридж или при попытке ассоциации клиента на 17 незанятый влан?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this