Jump to content
Калькуляторы

Wi-Fi - суть соль ?

Коллеги, в тему не углублялся ранее. Поэтому не знаток.

Просьба помочь и прояснить несколько вопросов по теме, дабы устранить пробелы...

 

К примеру, имеем следующую сеть: беспроводный маршрутизатор с подключением по WAN/Eth порту к свичу. Обе железки ISP, т.е. имеем схему WISP.

 

1. Возможно ли сегментировать беспроводную сеть с помощью SSID=VLAN (см. http://dlink.ru/ru/products/2/342.html) по пользователям?

Т.е. выплевываем VLANы (получается до 8/16) со свича на wi-fi маршрутизатор, а он нужный VLAN в соответствующий SSID. Получаем : Пользователь N = SSID N = VLAN N.

Дополнительно необходимо :

- обеспечивать пользователям соотвтествующую скорость доступа в Интернет

- ограничивать доступ к WISP посторонним

 

2. Как осуществлять доступ к услуге с авторизацией, учитывая, что ISP используется PPPoE (login, psw) для проводного сегмента сети?

 

Заранее спасибо

Share this post


Link to post
Share on other sites

Я поднимал подобную тему ранее.

В вашем случае ситуация будет простой, если известно заранее, какие юзеры будут висеть на точке и какие вланы им будут соответствовать, естественно, при количестве, не превышающем 8/16. Тогда, если некультурно, то можно и WPA-PSK обойтись: сделать много SSID, привязать каждую к VLAN, поставить свой WPA passphrase. А если по-культурному, то WPA2-Enterprise: одна SSID, username+password, RADIUS, привязка к VLAN по ответу радиуса. Если одна точка доступа будет обслуживать более 8/16 юзеров, надо будет немного подпиливать RADIUS.

Share this post


Link to post
Share on other sites

Спасибо за ответ.

Посмотрел ссылку - так тема та недокурена...

 

Все таки не понятно как увязать регистрацию по username+password беспроводных клиентов с существующей схемой для проводников по PPPoE.

Тут ведь получается как : VLAN = транспорт, труба для трафика конкретного пользователя. И между АР wi-fi и свичом ISP должен быть trunk из 8/16 VLAN (т.е. 8/16 беспроводных абонентов - ноутбуки, РС с карточками wi-fi).

Умеют ли так АР wi-fi в принципе ??..

Причем ведь надо скорость нарезать каждому пользователю свою. Подозреваю, что АР wi-fi на беспроводном интерфейсе не может выставлять потолок по скорости каждому свой.

Даже если в одном физическом девайсе будет 8/16 виртуальных АР wi-fi. В этом вся проблема, скрость ограничить можно только на порту свича ISP, к которому подключена АР wi-fi....

Единственный выход, технический))) я вижу в использовании для каждого абонента связки типа WDS, т.е. порт свича ISP <=> WDS АР <=> WDS АР <=> Eth. adapter PC. И PPPoE, регистрация и проч. сюда же ляжет без изменения.

Ну и если bridge делать для подключения удаленного свича к сети ISP.

 

Поправьте меня если я не прав

Share this post


Link to post
Share on other sites

Я в свое время долбал на наличие данного функционала Cisco 1131. Там возможна привязка SSID-VLAN. Насколько я понял, по этому же пути пошел D-Link. Но корректно ли он съедает ответы радиуса, и насколько они соответствуют цискиным, я не знаю. При данном подходе, как в идеологии VLAN-per-user, PPPoE не надо. NAS в этом случае будет не PPPoE-terminator, а сама точка доступа, при условии, что она правильно будет слать аккаунтинг. Или ISG в роли радиус-прокси, но до этого я не дошел. Если надо, я могу поискать примерный конфиг точки доступа и RADIUS.

А по поводу нарезки скорости я сказать ничего не смогу. Если будет ISG, то все просто, если нет, то надо проверять на самой точке. Полисинг вроде бы она умела.

Edited by troyand

Share this post


Link to post
Share on other sites

Думаю смысла нет. Решить поставленные задачи разделенного беспрводного доступа в Интернет wi-fi не дает. Это факт, любительская технология...

Share this post


Link to post
Share on other sites

Еще пару вопросов.

А если 2-4 АР ставить рядышком для включения 2-4 абонетов по беспроводке, т.е. для каждого WDS ptp делать.

Как отразится работа этих пар мостов друг на друге ? С учетом того что для всех - 2-4 сетей - настроить корректно свой SSID, но частотный канал будет один.

Как блокируется к сеткам со своими SSID доступ посторонним беспроводным устройствам ?

Share this post


Link to post
Share on other sites
Еще пару вопросов.

А если 2-4 АР ставить рядышком для включения 2-4 абонетов по беспроводке, т.е. для каждого WDS ptp делать.

Как отразится работа этих пар мостов друг на друге ? С учетом того что для всех - 2-4 сетей - настроить корректно свой SSID, но частотный канал будет один.

Как блокируется к сеткам со своими SSID доступ посторонним беспроводным устройствам ?

Частоты обязательно должны быть разные, в диапазоне 2.4, только три непересекающихся канала.

Share this post


Link to post
Share on other sites

Скорость то какая будет у 4-го абонента, если я зарезать буду на порту свича :

Абонент 1 (f1) - 512к

Абонент 2 (f3) - 1024к

Абонент 3 (f6) - 2048к

Абонент 4 (f1) - 512к

Share this post


Link to post
Share on other sites

Ау ? есть здесь единомышленники!

Знакомясь со стандартом, обратил внимание на абревиатуру DSSS. Когда то ооочень давно сталкивался с данной технологией разбирая широкополосные модуляции. Вроде как суть была как раз в возможности одновременной передаче на нескольких несущих частотах в выделенном диапазоне, где для каждой fн используя разные PN-последовательности можно было за счет шумомподобности (с расширенным спектром) сигналов передовать всем в одном диапазоне. Именно возможность использования одного частотного диапазона была ключевой особенностью DSSS.

В Wi-Fi же у нас получается жестко фиксированная передача : на неперкрывающихся 1, 6, 11 каналах (с учетом 22 МГц).

Странно и непонятен ход мыслей разработчиков..или я чего то не понимаю..

Share this post


Link to post
Share on other sites

Скорость то какая будет у 4-го абонента, если я зарезать буду на порту свича :

Надо понимать, что rate-limit на порту свича не сделает "меньше трафика", он сделает "меньше полезного трафика", тропая внутри себя то, что вылезет за установленное знечение. Трафика по обе стороны будет столько, сколько пошлют с этой стороны.

Share this post


Link to post
Share on other sites

Не понял. А по русски ?

Этот вай фай мучаю - уже тошнит))) от этих стандартов, статей...

Я так понял, что имея три доступных частоты (канала), можно нстроить три зоны обслуживания беспроводных абонентов. У GT это обзывается тарифные зоны, каждая со своей SSID. Таким образом на каждой такой зоне (из трех) можно выдать определнную скорость доступа, одну на всех. Т.е. к примеру:

- SSID F1, 512к

- SSID F2, 1024к

- SSID F3, 2048к

или

- SSID F1, 1024к

- SSID F2, 1024к

- SSID F3, 1024к

Вторая схема позволит при загруженности какой-либо зоны, уходить на другой канал (другой вопрос как за негарантированные скорости брать деньги..).

Соотвественно - нужно как то разграничивать доступ:

- доступ к той или иной тарифной зоне по регистрации/аутентификации, разрешение выдается оператором (карточный доступ не рассматриваем)

- запрет к тарифным зонам незарегистрированным абонентам (нет договора с оператором)

Ну и конечно остается проблема ЭМС с этими самыми "левыми" wi-fi устройствами

Share this post


Link to post
Share on other sites

а че шейпер уже не решает ?смотрите в сторону ipfw2 + mpd + radius + pfnat

локалку зарежте на 12М на точках

Share this post


Link to post
Share on other sites

У нас организован доступ по WiFi следующем образом. На точке беспроводной интерфейс бриджем коммутируется с vlan и каждая AP беспроводным интерфейсом приходит на циску отдельным виланом. На AP отключена коммутация между абонентскими станциями. На циске с ISG все сабинтерфейсы настроены как ip unnumbered, включено ip subscriber l2-connected, initiator radius-proxy, local proxy arp. CPE (ноутбуки, андроиды) регистрируются при помощи протокола 802.1x (EAP-PEAP-MSCHAP2), циска проксирует запросы в биллинговый радиус, ну и в соответствии с профилями лимитирует трафик. В такой конфигурации работает роуминг (с задержками переключения, конечно). Ну как-то вот так.

Share this post


Link to post
Share on other sites

может кто подскажет.

radius-proxy

 

политика

policy-map type control PUBLIC2_WIFI_POLICY

class type control always event session-start

10 proxy aaa list ISG-AUTH-WIFI2

20 service-policy type service name ALL-SRV

!

!

 

стандартный шаблон access-accept как для обычных и web portal сессий не подходит (сервисы не вешаются, решается разве что ручками в политике) + циска дропает сессию по истечению времени (как я понял считает, что клиент не получил айпишник). dhcp до циски (она не является dhcp relay).

 

собственно вопрос по акаунтингу и по сервисам.. помогите кто бился )

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this