Potemkin Опубликовано 21 сентября, 2009 · Жалоба Коллеги, в тему не углублялся ранее. Поэтому не знаток. Просьба помочь и прояснить несколько вопросов по теме, дабы устранить пробелы... К примеру, имеем следующую сеть: беспроводный маршрутизатор с подключением по WAN/Eth порту к свичу. Обе железки ISP, т.е. имеем схему WISP. 1. Возможно ли сегментировать беспроводную сеть с помощью SSID=VLAN (см. http://dlink.ru/ru/products/2/342.html) по пользователям? Т.е. выплевываем VLANы (получается до 8/16) со свича на wi-fi маршрутизатор, а он нужный VLAN в соответствующий SSID. Получаем : Пользователь N = SSID N = VLAN N. Дополнительно необходимо : - обеспечивать пользователям соотвтествующую скорость доступа в Интернет - ограничивать доступ к WISP посторонним 2. Как осуществлять доступ к услуге с авторизацией, учитывая, что ISP используется PPPoE (login, psw) для проводного сегмента сети? Заранее спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 21 сентября, 2009 · Жалоба Я поднимал подобную тему ранее. В вашем случае ситуация будет простой, если известно заранее, какие юзеры будут висеть на точке и какие вланы им будут соответствовать, естественно, при количестве, не превышающем 8/16. Тогда, если некультурно, то можно и WPA-PSK обойтись: сделать много SSID, привязать каждую к VLAN, поставить свой WPA passphrase. А если по-культурному, то WPA2-Enterprise: одна SSID, username+password, RADIUS, привязка к VLAN по ответу радиуса. Если одна точка доступа будет обслуживать более 8/16 юзеров, надо будет немного подпиливать RADIUS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Potemkin Опубликовано 22 сентября, 2009 · Жалоба Спасибо за ответ. Посмотрел ссылку - так тема та недокурена... Все таки не понятно как увязать регистрацию по username+password беспроводных клиентов с существующей схемой для проводников по PPPoE. Тут ведь получается как : VLAN = транспорт, труба для трафика конкретного пользователя. И между АР wi-fi и свичом ISP должен быть trunk из 8/16 VLAN (т.е. 8/16 беспроводных абонентов - ноутбуки, РС с карточками wi-fi). Умеют ли так АР wi-fi в принципе ??.. Причем ведь надо скорость нарезать каждому пользователю свою. Подозреваю, что АР wi-fi на беспроводном интерфейсе не может выставлять потолок по скорости каждому свой. Даже если в одном физическом девайсе будет 8/16 виртуальных АР wi-fi. В этом вся проблема, скрость ограничить можно только на порту свича ISP, к которому подключена АР wi-fi.... Единственный выход, технический))) я вижу в использовании для каждого абонента связки типа WDS, т.е. порт свича ISP <=> WDS АР <=> WDS АР <=> Eth. adapter PC. И PPPoE, регистрация и проч. сюда же ляжет без изменения. Ну и если bridge делать для подключения удаленного свича к сети ISP. Поправьте меня если я не прав Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
troyand Опубликовано 22 сентября, 2009 (изменено) · Жалоба Я в свое время долбал на наличие данного функционала Cisco 1131. Там возможна привязка SSID-VLAN. Насколько я понял, по этому же пути пошел D-Link. Но корректно ли он съедает ответы радиуса, и насколько они соответствуют цискиным, я не знаю. При данном подходе, как в идеологии VLAN-per-user, PPPoE не надо. NAS в этом случае будет не PPPoE-terminator, а сама точка доступа, при условии, что она правильно будет слать аккаунтинг. Или ISG в роли радиус-прокси, но до этого я не дошел. Если надо, я могу поискать примерный конфиг точки доступа и RADIUS. А по поводу нарезки скорости я сказать ничего не смогу. Если будет ISG, то все просто, если нет, то надо проверять на самой точке. Полисинг вроде бы она умела. Изменено 22 сентября, 2009 пользователем troyand Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Potemkin Опубликовано 22 сентября, 2009 · Жалоба Думаю смысла нет. Решить поставленные задачи разделенного беспрводного доступа в Интернет wi-fi не дает. Это факт, любительская технология... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Potemkin Опубликовано 22 сентября, 2009 · Жалоба Еще пару вопросов. А если 2-4 АР ставить рядышком для включения 2-4 абонетов по беспроводке, т.е. для каждого WDS ptp делать. Как отразится работа этих пар мостов друг на друге ? С учетом того что для всех - 2-4 сетей - настроить корректно свой SSID, но частотный канал будет один. Как блокируется к сеткам со своими SSID доступ посторонним беспроводным устройствам ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 22 сентября, 2009 · Жалоба Еще пару вопросов.А если 2-4 АР ставить рядышком для включения 2-4 абонетов по беспроводке, т.е. для каждого WDS ptp делать. Как отразится работа этих пар мостов друг на друге ? С учетом того что для всех - 2-4 сетей - настроить корректно свой SSID, но частотный канал будет один. Как блокируется к сеткам со своими SSID доступ посторонним беспроводным устройствам ? Частоты обязательно должны быть разные, в диапазоне 2.4, только три непересекающихся канала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Potemkin Опубликовано 22 сентября, 2009 · Жалоба Скорость то какая будет у 4-го абонента, если я зарезать буду на порту свича : Абонент 1 (f1) - 512к Абонент 2 (f3) - 1024к Абонент 3 (f6) - 2048к Абонент 4 (f1) - 512к Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Potemkin Опубликовано 23 сентября, 2009 · Жалоба Ау ? есть здесь единомышленники! Знакомясь со стандартом, обратил внимание на абревиатуру DSSS. Когда то ооочень давно сталкивался с данной технологией разбирая широкополосные модуляции. Вроде как суть была как раз в возможности одновременной передаче на нескольких несущих частотах в выделенном диапазоне, где для каждой fн используя разные PN-последовательности можно было за счет шумомподобности (с расширенным спектром) сигналов передовать всем в одном диапазоне. Именно возможность использования одного частотного диапазона была ключевой особенностью DSSS. В Wi-Fi же у нас получается жестко фиксированная передача : на неперкрывающихся 1, 6, 11 каналах (с учетом 22 МГц). Странно и непонятен ход мыслей разработчиков..или я чего то не понимаю.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 23 сентября, 2009 · Жалоба Скорость то какая будет у 4-го абонента, если я зарезать буду на порту свича : Надо понимать, что rate-limit на порту свича не сделает "меньше трафика", он сделает "меньше полезного трафика", тропая внутри себя то, что вылезет за установленное знечение. Трафика по обе стороны будет столько, сколько пошлют с этой стороны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Potemkin Опубликовано 23 сентября, 2009 · Жалоба Не понял. А по русски ? Этот вай фай мучаю - уже тошнит))) от этих стандартов, статей... Я так понял, что имея три доступных частоты (канала), можно нстроить три зоны обслуживания беспроводных абонентов. У GT это обзывается тарифные зоны, каждая со своей SSID. Таким образом на каждой такой зоне (из трех) можно выдать определнную скорость доступа, одну на всех. Т.е. к примеру: - SSID F1, 512к - SSID F2, 1024к - SSID F3, 2048к или - SSID F1, 1024к - SSID F2, 1024к - SSID F3, 1024к Вторая схема позволит при загруженности какой-либо зоны, уходить на другой канал (другой вопрос как за негарантированные скорости брать деньги..). Соотвественно - нужно как то разграничивать доступ: - доступ к той или иной тарифной зоне по регистрации/аутентификации, разрешение выдается оператором (карточный доступ не рассматриваем) - запрет к тарифным зонам незарегистрированным абонентам (нет договора с оператором) Ну и конечно остается проблема ЭМС с этими самыми "левыми" wi-fi устройствами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
indexer Опубликовано 23 сентября, 2009 · Жалоба а че шейпер уже не решает ?смотрите в сторону ipfw2 + mpd + radius + pfnat локалку зарежте на 12М на точках Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 3 февраля, 2012 · Жалоба У нас организован доступ по WiFi следующем образом. На точке беспроводной интерфейс бриджем коммутируется с vlan и каждая AP беспроводным интерфейсом приходит на циску отдельным виланом. На AP отключена коммутация между абонентскими станциями. На циске с ISG все сабинтерфейсы настроены как ip unnumbered, включено ip subscriber l2-connected, initiator radius-proxy, local proxy arp. CPE (ноутбуки, андроиды) регистрируются при помощи протокола 802.1x (EAP-PEAP-MSCHAP2), циска проксирует запросы в биллинговый радиус, ну и в соответствии с профилями лимитирует трафик. В такой конфигурации работает роуминг (с задержками переключения, конечно). Ну как-то вот так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 августа, 2013 · Жалоба может кто подскажет. radius-proxy политика policy-map type control PUBLIC2_WIFI_POLICY class type control always event session-start 10 proxy aaa list ISG-AUTH-WIFI2 20 service-policy type service name ALL-SRV ! ! стандартный шаблон access-accept как для обычных и web portal сессий не подходит (сервисы не вешаются, решается разве что ручками в политике) + циска дропает сессию по истечению времени (как я понял считает, что клиент не получил айпишник). dhcp до циски (она не является dhcp relay). собственно вопрос по акаунтингу и по сервисам.. помогите кто бился ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...