troyand Опубликовано 5 марта, 2009 · Жалоба Подразумевается предоставление доступа для мобильных пользователей (условно с нетбуками). Имеет ли подход право на жизнь? Какие явные альтернативы? Готова ли матчасть у метода и были ли до этого успешные сценарии использования? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 5 марта, 2009 · Жалоба Подразумевается предоставление доступа для мобильных пользователей (условно с нетбуками).Имеет ли подход право на жизнь? Какие явные альтернативы? Готова ли матчасть у метода и были ли до этого успешные сценарии использования? Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 5 марта, 2009 · Жалоба Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал. В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 6 марта, 2009 · Жалоба Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться. ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 6 марта, 2009 · Жалоба Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться. ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик. А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kulek74 Опубликовано 6 марта, 2009 · Жалоба Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться. ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик. А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания. ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 6 марта, 2009 (изменено) · Жалоба ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит У мну в сабноуте тож риалтэк =) Впринципе научить его работать с WDS не так сложно как кажется, всё упирается в деньги+время. Но вот что в итоге из этого получится я чесслово ХЗ. Вообще вся эта безпроводная болезнь напоминает сифилис =) В общем золотое правило - используйте выйфый и иже с ними если по другому ну совсем никак. P.S. В случае совсем мобильных абонентов, аля движущихся на машине, вый фый точно не помошник. Изменено 6 марта, 2009 пользователем sfstudio Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 6 марта, 2009 · Жалоба Смысл каждого юзера в отдельный влан? Можно использовать влан-на-группу, использования влан-на-юзера не встречал.В моем понимании это дает возможность ААА в сервисах на основании IP клиента. То есть после того, как пользователь предоставил свои учетные данные при подключении к Wi-Fi, дальше для получения сервисов не надо повторно авторизоваться. ИМХО тут не влан, а 802.1x надо. Если надо именно влан, посмотрите на микротик. А в чём проблема с VLAN per WDS ? Есть успешно работающие решения на wive-ng и никакого ворья аля микротик и компания. Может стоит прочитать внимательнее? ага ... но человек , как я понял, хочет подключать людей с буками ..... вдс получается не подходит У мну в сабноуте тож риалтэк =) Впринципе научить его работать с WDS не так сложно как кажется, всё упирается в деньги+время. Но вот что в итоге из этого получится я чесслово ХЗ. Вообще вся эта безпроводная болезнь напоминает сифилис =) В общем золотое правило - используйте выйфый и иже с ними если по другому ну совсем никак. P.S. В случае совсем мобильных абонентов, аля движущихся на машине, вый фый точно не помошник. Еще можно научить мусор выносить, и кофе варить. :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 6 марта, 2009 · Жалоба Может стоит прочитать внимательнее? 3жды перечитал и ? Я ж грю, возможно, автор же не говорил что решения должны быть готовыми. =)))) Еще можно научить мусор выносить, и кофе варить. :)) К сожалению механика в них отсутствует полностью, а так да, я не против того чтобы эти карточки мусор выносили =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 6 марта, 2009 · Жалоба Может стоит прочитать внимательнее? 3жды перечитал и ? Я ж грю, возможно, автор же не говорил что решения должны быть готовыми. =)))) Еще можно научить мусор выносить, и кофе варить. :)) К сожалению механика в них отсутствует полностью, а так да, я не против того чтобы эти карточки мусор выносили =) Плохо. Читай дальше. :)) Каждый понимает в меру своей испорченности. ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 6 марта, 2009 · Жалоба Плохо. Читай дальше. :)) Возможно я что-то упустил но в упор не вижу что, или это прикол такой? Каждый понимает в меру своей испорченности. ;) Бедный я, наверное испортился совсем =) Не, ну скажите блин мне что я проспал, не въеду ;( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 6 марта, 2009 · Жалоба Плохо. Читай дальше. :)) Возможно я что-то упустил но в упор не вижу что, или это прикол такой? Каждый понимает в меру своей испорченности. ;) Бедный я, наверное испортился совсем =) Не, ну скажите блин мне что я проспал, не въеду ;( Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под все что будет использоваться. :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 6 марта, 2009 · Жалоба Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под Нетбуки, мой MSI-Wind U90 какраз устройство из этого класса, драйвера написаны, под WDS работы на сутки. Вот спека на адаптер в нём http://209.85.129.132/search?q=cache:mLFxE...mp;client=opera Под винды смотрю уже в штатном драйвере есть http://www.modem-help.co.uk/RealTek/chipse...7-11g-WLAN.html Под Linux нуно глянуть, давно я в их код не заглядывал, точнее заглядывал только на предмет расширенной сетки частот. все что будет использоваться. :)) И? Грю вполне реально, но вот проблему роуминга это не решит. Ага, под Linux тоже уже всё есть: http://markmail.org/message/cusu7cvv7w5anred Subject: [PATCH 8/15] rt2x00: Implement WDS support Actions... From: Ivo van Doorn (ivdo...@gmail.com) Date: Dec 20, 2008 1:56:39 am List: org.kernel.vger.linux-wireless WDS support should be very easy to handle, mac80211 handles everything for us, so all that is needed is to set the support flags and handle it in the add_interface() callback. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 6 марта, 2009 · Жалоба Человеку нужен доступ для портативных устройств, в коплектации включил и поехали. Там (в портативных устройствах) WDS нет, и не предвидится, не писать же софт\драйвера, под Нетбуки, мой MSI-Wind U90 какраз устройство из этого класса, драйвера написаны, под WDS работы на сутки. Вот спека на адаптер в нём http://209.85.129.132/search?q=cache:mLFxE...mp;client=opera Под винды смотрю уже в штатном драйвере есть http://www.modem-help.co.uk/RealTek/chipse...7-11g-WLAN.html Под Linux нуно глянуть, давно я в их код не заглядывал, точнее заглядывал только на предмет расширенной сетки частот. все что будет использоваться. :)) И? Грю вполне реально, но вот проблему роуминга это не решит. Ага, под Linux тоже уже всё есть: http://markmail.org/message/cusu7cvv7w5anred Subject: [PATCH 8/15] rt2x00: Implement WDS support Actions... From: Ivo van Doorn (ivdo...@gmail.com) Date: Dec 20, 2008 1:56:39 am List: org.kernel.vger.linux-wireless WDS support should be very easy to handle, mac80211 handles everything for us, so all that is needed is to set the support flags and handle it in the add_interface() callback. Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой. Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;) При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 6 марта, 2009 · Жалоба Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой. Ну если человеку хочется. Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;) В постановке задачи чётко указаны нетбуки, я привёл конкретную связку которая даже должна работать без особого гемора. Собсно какой вопрос - такой ответ. При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал. Ага, напомнить о совсем недавних глюках связки rtl/atheros, или о ралинках которые в упор не видели ни одной базы кроме своей собственной? =) Wifi суть есть шаманизм. Так что читал невнимательно не я... ;) Однако как я понял человек таким образом решил решить проблему роуминга, но вот тут-то фигушки однозначно. P.S. В ноут достаточно воткнуть USB брелок всё на том же rtl8187 или pcmci адаптер на rtl8187se (он же бывает и minipci и как там новая мелкая замена pcmci) ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 6 марта, 2009 · Жалоба Йопт. Я не говорю что это не реально, но это создаст никому не нужный геморой. Ну если человеку хочется. Рассмотрим ситуацию vlan-per-wds на "реальном" примере. У мну два лаптопа (мак и сони), и три телефона (нокия, айфон, и гуглофон). Это получается сначала все надо научить вдсу, а тока потом юзать, и то если научить получится. ;) В постановке задачи чётко указаны нетбуки, я привёл конкретную связку которая даже должна работать без особого гемора. Собсно какой вопрос - такой ответ. При стандартной схеме (АР - клиент) таких траблов нет, ввел логин\пассвод и поехал. Ага, напомнить о совсем недавних глюках связки rtl/atheros, или о ралинках которые в упор не видели ни одной базы кроме своей собственной? =) Wifi суть есть шаманизм. Так что читал невнимательно не я... ;) Однако как я понял человек таким образом решил решить проблему роуминга, но вот тут-то фигушки однозначно. P.S. В ноут достаточно воткнуть USB брелок всё на том же rtl8187 или pcmci адаптер на rtl8187se (он же бывает и minipci и как там новая мелкая замена pcmci) ? Вроде обязательного наличия траблов в начальном посте не заметил. Нетбуки указаны не четко, а условно, да и про роуминг речь не шла. На сим закончим, продолжения истории "как поймать риалтек гемморой на ровном месте", думаю не надо. Каждый юзает то, на что горазд. По топику ТСу ответили достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 6 марта, 2009 (изменено) · Жалоба На сим закончим, продолжения истории "как поймать риалтек гемморой на ровном месте", думаю не надо. Согласен, впрочем думаю закончим и о том как нажить микротик/геморой на свою задницу. Подытожу: Имеет ли подход право на жизнь? Имеет. Какие явные альтернативы? Скорее это альтернатива причём весьма экстримальная. Готова ли матчасть у метода Вся матчасть в этом топике и были ли до этого успешные сценарии использования? Да, но для неподвижных клиентов в режиме WDS. Изменено 6 марта, 2009 пользователем sfstudio Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 6 марта, 2009 · Жалоба Большое спасибо за ответы. Я в начале ориентировался на связку Aironet+cat 3560 (3550)+RADIUS с использованием WPA2 Enterprise. При ассоциации клиента радиус выдает свободный влан в соответствии с привилегиями пользователя. От устройства требуется только поддержка WPA2 с AES, она есть сейчас почти на всех платформах в виде полноценной реализации стандарта, возможно кроме только довольно древних устройств. Но, к сожалению, обкатанных примеров использования я не находил, а свой стендик будет только вот-вот запущен и ему еще только предстоят стресс-тесты. Пока неясно как в моем случае будут обстоять дела с роумингом (и, кстати, на цисках WDS подразумевает именно технологию быстрого роуминга без реаутентификации, а не то что все привыкли). Дополнительные манипуляции со стороны пользователей крайне нежелательны, так как это может создать большие непредвиденные накладные расходы и снизить надежность решения, хотя списывать со счетов подход с WDS пока не стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 9 марта, 2009 · Жалоба Хочу продолжить тему. Пока из серьёзных ограничений для vlan-per-user на Aironet я вижу максимальное количество бриджей (в 255) между сабинтерфейсами, хотя пока есть сомнения, что точке будет плохо и при меньшем количестве мостов, по-этому опять же неясно как быть с роумингом: создавать ли единый домен вланов между всеми точками доступа, чтобы при миграции клиент оставался с тем же IP и, соответственно, в том же влане. Из юзер-энэмили моментов пока выделяется этап проверки сертификатов при первой ассоциации: если не задействовать авторитетные источники, пользователям будет вываливаться красные сообщения о том, что контора палёная, хотя это вполне логично и есть неотъемлемой частью оперы EAP-WPA2-802.11i-802.1X. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sirco Опубликовано 9 марта, 2009 · Жалоба Был на конференции с Длинком говорили что в ДВЛ 2100 в 2.50 прошивке сделали виртуальные акцес поинты от с ними можна делать вланы - тойсь каждый виртуальный акцес поинт это отдельный вилан и АП маркирует пакеты а потом свич понимает куда их слать ... Только количество виртуальных АП ограничено - думаю в ланной реализации тебе не поможет ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 10 марта, 2009 · Жалоба Был на конференции с Длинком говорили что в ДВЛ 2100 в 2.50 прошивке сделали виртуальные акцес поинты от с ними можна делать вланы - тойсь каждый виртуальный акцес поинт это отдельный вилан и АП маркирует пакеты а потом свич понимает куда их слать ...Только количество виртуальных АП ограничено - думаю в ланной реализации тебе не поможет ... В общем направление правильное, но я сомневаюсь, что 2100 сумеет помещать клиентов в соответствующий влан по ответу радиуса и слать на него аккаунтинг, что есть ключевым моментом для фиксирования времени конца сессии. Поправьте, если не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 10 марта, 2009 · Жалоба Большое спасибо за ответы. Я в начале ориентировался на связку Aironet+cat 3560 (3550)+RADIUS с использованием WPA2 Enterprise. При ассоциации клиента радиус выдает свободный влан в соответствии с привилегиями пользователя. От устройства требуется только поддержка WPA2 с AES, она есть сейчас почти на всех платформах в виде полноценной реализации стандарта, возможно кроме только довольно древних устройств. Но, к сожалению, обкатанных примеров использования я не находил, а свой стендик будет только вот-вот запущен и ему еще только предстоят стресс-тесты. Пока неясно как в моем случае будут обстоять дела с роумингом (и, кстати, на цисках WDS подразумевает именно технологию быстрого роуминга без реаутентификации, а не то что все привыкли).Дополнительные манипуляции со стороны пользователей крайне нежелательны, так как это может создать большие непредвиденные накладные расходы и снизить надежность решения, хотя списывать со счетов подход с WDS пока не стоит. Cisco точки доступа поддерживают 16 вланов, контроллеры новых версий - до 512, но не более 16 вланов на точку доступа. Не думаю, что у других производителей больше. Лучше, мне кажется, конфигурацией запретить обмен между точками доступа, а доступ в разные стороны либо 802.1x определять, или же пускать всех бех разбора, а далее - по типу hotspot. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 10 марта, 2009 · Жалоба Cisco точки доступа поддерживают 16 вланов, контроллеры новых версий - до 512, но не более 16 вланов на точку доступа. Не думаю, что у других производителей больше. Лучше, мне кажется, конфигурацией запретить обмен между точками доступа, а доступ в разные стороны либо 802.1x определять, или же пускать всех бех разбора, а далее - по типу hotspot. А можно уточнить в какой именно момент вылазит это ограничение, при попытке создать 17 бридж или при попытке ассоциации клиента на 17 незанятый влан? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...