Перейти к содержимому
Калькуляторы

Vlan-per-user в Wi-Fi сетях для организации доступа к сервисам

Подразумевается предоставление доступа для мобильных пользователей (условно с нетбуками).

Имеет ли подход право на жизнь? Какие явные альтернативы? Готова ли матчасть у метода и были ли до этого успешные сценарии использования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подразумевается предоставление доступа для мобильных пользователей (условно с нетбуками).

Имеет ли подход право на жизнь? Какие явные альтернативы? Готова ли матчасть у метода и были ли до этого успешные сценарии использования?

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.

В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания.

 

ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит

У мну в сабноуте тож риалтэк =) Впринципе научить его работать с WDS не так сложно как кажется, всё упирается в деньги+время. Но вот что в итоге из этого получится я чесслово ХЗ. Вообще вся эта безпроводная болезнь напоминает сифилис =) В общем золотое правило - используйте выйфый и иже с ними если по другому ну совсем никак.

 

P.S. В случае совсем мобильных абонентов, аля движущихся на машине, вый фый точно не помошник.

Изменено пользователем sfstudio

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.
В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться.

ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик.

А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания.

Может стоит прочитать внимательнее?

 

ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит

У мну в сабноуте тож риалтэк =) Впринципе научить его работать с WDS не так сложно как кажется, всё упирается в деньги+время. Но вот что в итоге из этого получится я чесслово ХЗ. Вообще вся эта безпроводная болезнь напоминает сифилис =) В общем золотое правило - используйте выйфый и иже с ними если по другому ну совсем никак.

 

P.S. В случае совсем мобильных абонентов, аля движущихся на машине, вый фый точно не помошник.

Еще можно научить мусор выносить, и кофе варить. :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может стоит прочитать внимательнее?

3жды перечитал и ? Я ж грю, возможно, автор же не говорил что решения должны быть готовыми. =))))

 

Еще можно научить мусор выносить, и кофе варить. :))

К сожалению механика в них отсутствует полностью, а так да, я не против того чтобы эти карточки мусор выносили =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может стоит прочитать внимательнее?

3жды перечитал и ? Я ж грю, возможно, автор же не говорил что решения должны быть готовыми. =))))

 

Еще можно научить мусор выносить, и кофе варить. :))

К сожалению механика в них отсутствует полностью, а так да, я не против того чтобы эти карточки мусор выносили =)

Плохо. Читай дальше. :))

 

Каждый понимает в меру своей испорченности. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Плохо. Читай дальше. :))

Возможно я что-то упустил но в упор не вижу что, или это прикол такой?

 

Каждый понимает в меру своей испорченности. ;)

Бедный я, наверное испортился совсем =) Не, ну скажите блин мне что я проспал, не въеду ;(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Плохо. Читай дальше. :))

Возможно я что-то упустил но в упор не вижу что, или это прикол такой?

 

Каждый понимает в меру своей испорченности. ;)

Бедный я, наверное испортился совсем =) Не, ну скажите блин мне что я проспал, не въеду ;(

Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под все что будет использоваться. :))

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под

Нетбуки, мой MSI-Wind U90 какраз устройство из этого класса, драйвера написаны, под WDS работы на сутки.

 

Вот спека на адаптер в нём http://209.85.129.132/search?q=cache:mLFxE...mp;client=opera

 

Под винды смотрю уже в штатном драйвере есть http://www.modem-help.co.uk/RealTek/chipse...7-11g-WLAN.html

Под Linux нуно глянуть, давно я в их код не заглядывал, точнее заглядывал только на предмет расширенной сетки частот.

 

все что будет использоваться. :))

И? Грю вполне реально, но вот проблему роуминга это не решит.

 

Ага, под Linux тоже уже всё есть:

 

http://markmail.org/message/cusu7cvv7w5anred

 

Subject:    [PATCH 8/15] rt2x00: Implement WDS support    Actions...
From:    Ivo van Doorn (ivdo...@gmail.com)
Date:    Dec 20, 2008 1:56:39 am
List:    org.kernel.vger.linux-wireless


WDS support should be very easy to handle, mac80211 handles
everything for us, so all that is needed is to set the
support flags and handle it in the add_interface() callback.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под

Нетбуки, мой MSI-Wind U90 какраз устройство из этого класса, драйвера написаны, под WDS работы на сутки.

 

Вот спека на адаптер в нём http://209.85.129.132/search?q=cache:mLFxE...mp;client=opera

 

Под винды смотрю уже в штатном драйвере есть http://www.modem-help.co.uk/RealTek/chipse...7-11g-WLAN.html

Под Linux нуно глянуть, давно я в их код не заглядывал, точнее заглядывал только на предмет расширенной сетки частот.

 

все что будет использоваться. :))

И? Грю вполне реально, но вот проблему роуминга это не решит.

 

Ага, под Linux тоже уже всё есть:

 

http://markmail.org/message/cusu7cvv7w5anred

 

Subject:    [PATCH 8/15] rt2x00: Implement WDS support    Actions...
From:    Ivo van Doorn (ivdo...@gmail.com)
Date:    Dec 20, 2008 1:56:39 am
List:    org.kernel.vger.linux-wireless


WDS support should be very easy to handle, mac80211 handles
everything for us, so all that is needed is to set the
support flags and handle it in the add_interface() callback.

Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой.

 

Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;)

 

При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой.

Ну если человеку хочется.

 

Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;)

В постановке задачи чётко указаны нетбуки, я привёл конкретную связку которая даже должна работать без особого гемора. Собсно какой вопрос - такой ответ.

 

При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал.

Ага, напомнить о совсем недавних глюках связки rtl/atheros, или о ралинках которые в упор не видели ни одной базы кроме своей собственной? =)

Wifi суть есть шаманизм.

 

Так что читал невнимательно не я... ;)

 

Однако как я понял человек таким образом решил решить проблему роуминга, но вот тут-то фигушки однозначно.

 

P.S. В ноут достаточно воткнуть USB брелок всё на том же rtl8187 или pcmci адаптер на rtl8187se (он же бывает и minipci и как там новая мелкая замена pcmci) ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой.

Ну если человеку хочется.

 

Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;)

В постановке задачи чётко указаны нетбуки, я привёл конкретную связку которая даже должна работать без особого гемора. Собсно какой вопрос - такой ответ.

 

При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал.

Ага, напомнить о совсем недавних глюках связки rtl/atheros, или о ралинках которые в упор не видели ни одной базы кроме своей собственной? =)

Wifi суть есть шаманизм.

 

Так что читал невнимательно не я... ;)

 

Однако как я понял человек таким образом решил решить проблему роуминга, но вот тут-то фигушки однозначно.

 

P.S. В ноут достаточно воткнуть USB брелок всё на том же rtl8187 или pcmci адаптер на rtl8187se (он же бывает и minipci и как там новая мелкая замена pcmci) ?

Вроде обязательного наличия траблов в начальном посте не заметил.

 

Нетбуки указаны не четко, а условно, да и про роуминг речь не шла.

 

На сим закончим, продолжения истории "как поймать риалтек гемморой на ровном месте", думаю не надо. Каждый юзает то, на что горазд. По топику ТСу ответили достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На сим закончим, продолжения истории "как поймать риалтек гемморой на ровном месте", думаю не надо.

Согласен, впрочем думаю закончим и о том как нажить микротик/геморой на свою задницу.

 

Подытожу:

 

Имеет ли подход право на жизнь?

Имеет.

 

Какие явные альтернативы?

Скорее это альтернатива причём весьма экстримальная.

 

Готова ли матчасть у метода

Вся матчасть в этом топике

 

и были ли до этого успешные сценарии использования?

Да, но для неподвижных клиентов в режиме WDS.

 

Изменено пользователем sfstudio

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Большое спасибо за ответы. Я в начале ориентировался на связку Aironet+cat 3560 (3550)+RADIUS с использованием WPA2 Enterprise. При ассоциации клиента радиус выдает свободный влан в соответствии с привилегиями пользователя. От устройства требуется только поддержка WPA2 с AES, она есть сейчас почти на всех платформах в виде полноценной реализации стандарта, возможно кроме только довольно древних устройств. Но, к сожалению, обкатанных примеров использования я не находил, а свой стендик будет только вот-вот запущен и ему еще только предстоят стресс-тесты. Пока неясно как в моем случае будут обстоять дела с роумингом (и, кстати, на цисках WDS подразумевает именно технологию быстрого роуминга без реаутентификации, а не то что все привыкли).

Дополнительные манипуляции со стороны пользователей крайне нежелательны, так как это может создать большие непредвиденные накладные расходы и снизить надежность решения, хотя списывать со счетов подход с WDS пока не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хочу продолжить тему. Пока из серьёзных ограничений для vlan-per-user на Aironet я вижу максимальное количество бриджей (в 255) между сабинтерфейсами, хотя пока есть сомнения, что точке будет плохо и при меньшем количестве мостов, по-этому опять же неясно как быть с роумингом: создавать ли единый домен вланов между всеми точками доступа, чтобы при миграции клиент оставался с тем же IP и, соответственно, в том же влане.

Из юзер-энэмили моментов пока выделяется этап проверки сертификатов при первой ассоциации: если не задействовать авторитетные источники, пользователям будет вываливаться красные сообщения о том, что контора палёная, хотя это вполне логично и есть неотъемлемой частью оперы EAP-WPA2-802.11i-802.1X.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Был на конференции с Длинком говорили что в ДВЛ 2100 в 2.50 прошивке сделали виртуальные акцес поинты от с ними можна делать вланы - тойсь каждый виртуальный акцес поинт это отдельный вилан и АП маркирует пакеты а потом свич понимает куда их слать ...

Только количество виртуальных АП ограничено - думаю в ланной реализации тебе не поможет ...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Был на конференции с Длинком говорили что в ДВЛ 2100 в 2.50 прошивке сделали виртуальные акцес поинты от с ними можна делать вланы - тойсь каждый виртуальный акцес поинт это отдельный вилан и АП маркирует пакеты а потом свич понимает куда их слать ...

Только количество виртуальных АП ограничено - думаю в ланной реализации тебе не поможет ...

В общем направление правильное, но я сомневаюсь, что 2100 сумеет помещать клиентов в соответствующий влан по ответу радиуса и слать на него аккаунтинг, что есть ключевым моментом для фиксирования времени конца сессии. Поправьте, если не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Большое спасибо за ответы. Я в начале ориентировался на связку Aironet+cat 3560 (3550)+RADIUS с использованием WPA2 Enterprise. При ассоциации клиента радиус выдает свободный влан в соответствии с привилегиями пользователя. От устройства требуется только поддержка WPA2 с AES, она есть сейчас почти на всех платформах в виде полноценной реализации стандарта, возможно кроме только довольно древних устройств. Но, к сожалению, обкатанных примеров использования я не находил, а свой стендик будет только вот-вот запущен и ему еще только предстоят стресс-тесты. Пока неясно как в моем случае будут обстоять дела с роумингом (и, кстати, на цисках WDS подразумевает именно технологию быстрого роуминга без реаутентификации, а не то что все привыкли).

Дополнительные манипуляции со стороны пользователей крайне нежелательны, так как это может создать большие непредвиденные накладные расходы и снизить надежность решения, хотя списывать со счетов подход с WDS пока не стоит.

Cisco точки доступа поддерживают 16 вланов, контроллеры новых версий - до 512, но не более 16 вланов на точку доступа. Не думаю, что у других производителей больше.

Лучше, мне кажется, конфигурацией запретить обмен между точками доступа, а доступ в разные стороны либо 802.1x определять, или же пускать всех бех разбора, а далее - по типу hotspot.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco точки доступа поддерживают 16 вланов, контроллеры новых версий - до 512, но не более 16 вланов на точку доступа. Не думаю, что у других производителей больше.

Лучше, мне кажется, конфигурацией запретить обмен между точками доступа, а доступ в разные стороны либо 802.1x определять, или же пускать всех бех разбора, а далее - по типу hotspot.

А можно уточнить в какой именно момент вылазит это ограничение, при попытке создать 17 бридж или при попытке ассоциации клиента на 17 незанятый влан?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.