[Potemkin]

Коллеги, в тему не углублялся ранее. Поэтому не знаток.

Просьба помочь и прояснить несколько вопросов по теме, дабы устранить пробелы...

 

К примеру, имеем следующую сеть: беспроводный маршрутизатор с подключением по WAN/Eth порту к свичу. Обе железки ISP, т.е. имеем схему WISP.

 

1. Возможно ли сегментировать беспроводную сеть с помощью SSID=VLAN (см. http://dlink.ru/ru/products/2/342.html) по пользователям?

Т.е. выплевываем VLANы (получается до 8/16) со свича на wi-fi маршрутизатор, а он нужный VLAN в соответствующий SSID. Получаем : Пользователь N = SSID N = VLAN N.

Дополнительно необходимо :

- обеспечивать пользователям соотвтествующую скорость доступа в Интернет

- ограничивать доступ к WISP посторонним

 

2. Как осуществлять доступ к услуге с авторизацией, учитывая, что ISP используется PPPoE (login, psw) для проводного сегмента сети?

 

Заранее спасибо

[troyand]

Я поднимал подобную тему ранее.

В вашем случае ситуация будет простой, если известно заранее, какие юзеры будут висеть на точке и какие вланы им будут соответствовать, естественно, при количестве, не превышающем 8/16. Тогда, если некультурно, то можно и WPA-PSK обойтись: сделать много SSID, привязать каждую к VLAN, поставить свой WPA passphrase. А если по-культурному, то WPA2-Enterprise: одна SSID, username+password, RADIUS, привязка к VLAN по ответу радиуса. Если одна точка доступа будет обслуживать более 8/16 юзеров, надо будет немного подпиливать RADIUS.

[Potemkin]

Спасибо за ответ.

Посмотрел ссылку - так тема та недокурена...

 

Все таки не понятно как увязать регистрацию по username+password беспроводных клиентов с существующей схемой для проводников по PPPoE.

Тут ведь получается как : VLAN = транспорт, труба для трафика конкретного пользователя. И между АР wi-fi и свичом ISP должен быть trunk из 8/16 VLAN (т.е. 8/16 беспроводных абонентов - ноутбуки, РС с карточками wi-fi).

Умеют ли так АР wi-fi в принципе ??..

Причем ведь надо скорость нарезать каждому пользователю свою. Подозреваю, что АР wi-fi на беспроводном интерфейсе не может выставлять потолок по скорости каждому свой.

Даже если в одном физическом девайсе будет 8/16 виртуальных АР wi-fi. В этом вся проблема, скрость ограничить можно только на порту свича ISP, к которому подключена АР wi-fi....

Единственный выход, технический))) я вижу в использовании для каждого абонента связки типа WDS, т.е. порт свича ISP <=> WDS АР <=> WDS АР <=> Eth. adapter PC. И PPPoE, регистрация и проч. сюда же ляжет без изменения.

Ну и если bridge делать для подключения удаленного свича к сети ISP.

 

Поправьте меня если я не прав

[troyand]

Я в свое время долбал на наличие данного функционала Cisco 1131. Там возможна привязка SSID-VLAN. Насколько я понял, по этому же пути пошел D-Link. Но корректно ли он съедает ответы радиуса, и насколько они соответствуют цискиным, я не знаю. При данном подходе, как в идеологии VLAN-per-user, PPPoE не надо. NAS в этом случае будет не PPPoE-terminator, а сама точка доступа, при условии, что она правильно будет слать аккаунтинг. Или ISG в роли радиус-прокси, но до этого я не дошел. Если надо, я могу поискать примерный конфиг точки доступа и RADIUS.

А по поводу нарезки скорости я сказать ничего не смогу. Если будет ISG, то все просто, если нет, то надо проверять на самой точке. Полисинг вроде бы она умела.

Изменено 22 сентября, 2009 пользователем troyand

[Potemkin]

Думаю смысла нет. Решить поставленные задачи разделенного беспрводного доступа в Интернет wi-fi не дает. Это факт, любительская технология...

[Potemkin]

Еще пару вопросов.

А если 2-4 АР ставить рядышком для включения 2-4 абонетов по беспроводке, т.е. для каждого WDS ptp делать.

Как отразится работа этих пар мостов друг на друге ? С учетом того что для всех - 2-4 сетей - настроить корректно свой SSID, но частотный канал будет один.

Как блокируется к сеткам со своими SSID доступ посторонним беспроводным устройствам ?

[SSD]

Еще пару вопросов.

А если 2-4 АР ставить рядышком для включения 2-4 абонетов по беспроводке, т.е. для каждого WDS ptp делать.

Как отразится работа этих пар мостов друг на друге ? С учетом того что для всех - 2-4 сетей - настроить корректно свой SSID, но частотный канал будет один.

Как блокируется к сеткам со своими SSID доступ посторонним беспроводным устройствам ?

Частоты обязательно должны быть разные, в диапазоне 2.4, только три непересекающихся канала.

[Potemkin]

Скорость то какая будет у 4-го абонента, если я зарезать буду на порту свича :

Абонент 1 (f1) - 512к

Абонент 2 (f3) - 1024к

Абонент 3 (f6) - 2048к

Абонент 4 (f1) - 512к

[Potemkin]

Ау ? есть здесь единомышленники!

Знакомясь со стандартом, обратил внимание на абревиатуру DSSS. Когда то ооочень давно сталкивался с данной технологией разбирая широкополосные модуляции. Вроде как суть была как раз в возможности одновременной передаче на нескольких несущих частотах в выделенном диапазоне, где для каждой fн используя разные PN-последовательности можно было за счет шумомподобности (с расширенным спектром) сигналов передовать всем в одном диапазоне. Именно возможность использования одного частотного диапазона была ключевой особенностью DSSS.

В Wi-Fi же у нас получается жестко фиксированная передача : на неперкрывающихся 1, 6, 11 каналах (с учетом 22 МГц).

Странно и непонятен ход мыслей разработчиков..или я чего то не понимаю..

[vIv]

Скорость то какая будет у 4-го абонента, если я зарезать буду на порту свича :

Надо понимать, что rate-limit на порту свича не сделает "меньше трафика", он сделает "меньше полезного трафика", тропая внутри себя то, что вылезет за установленное знечение. Трафика по обе стороны будет столько, сколько пошлют с этой стороны.

[Potemkin]

Не понял. А по русски ?

Этот вай фай мучаю - уже тошнит))) от этих стандартов, статей...

Я так понял, что имея три доступных частоты (канала), можно нстроить три зоны обслуживания беспроводных абонентов. У GT это обзывается тарифные зоны, каждая со своей SSID. Таким образом на каждой такой зоне (из трех) можно выдать определнную скорость доступа, одну на всех. Т.е. к примеру:

- SSID F1, 512к

- SSID F2, 1024к

- SSID F3, 2048к

или

- SSID F1, 1024к

- SSID F2, 1024к

- SSID F3, 1024к

Вторая схема позволит при загруженности какой-либо зоны, уходить на другой канал (другой вопрос как за негарантированные скорости брать деньги..).

Соотвественно - нужно как то разграничивать доступ:

- доступ к той или иной тарифной зоне по регистрации/аутентификации, разрешение выдается оператором (карточный доступ не рассматриваем)

- запрет к тарифным зонам незарегистрированным абонентам (нет договора с оператором)

Ну и конечно остается проблема ЭМС с этими самыми "левыми" wi-fi устройствами

[indexer]

а че шейпер уже не решает ?смотрите в сторону ipfw2 + mpd + radius + pfnat

локалку зарежте на 12М на точках

[Bushi]

У нас организован доступ по WiFi следующем образом. На точке беспроводной интерфейс бриджем коммутируется с vlan и каждая AP беспроводным интерфейсом приходит на циску отдельным виланом. На AP отключена коммутация между абонентскими станциями. На циске с ISG все сабинтерфейсы настроены как ip unnumbered, включено ip subscriber l2-connected, initiator radius-proxy, local proxy arp. CPE (ноутбуки, андроиды) регистрируются при помощи протокола 802.1x (EAP-PEAP-MSCHAP2), циска проксирует запросы в биллинговый радиус, ну и в соответствии с профилями лимитирует трафик. В такой конфигурации работает роуминг (с задержками переключения, конечно). Ну как-то вот так.

[zhenya`]

может кто подскажет.

radius-proxy

 

политика

policy-map type control PUBLIC2_WIFI_POLICY

class type control always event session-start

10 proxy aaa list ISG-AUTH-WIFI2

20 service-policy type service name ALL-SRV

!

!

 

стандартный шаблон access-accept как для обычных и web portal сессий не подходит (сервисы не вешаются, решается разве что ручками в политике) + циска дропает сессию по истечению времени (как я понял считает, что клиент не получил айпишник). dhcp до циски (она не является dhcp relay).

 

собственно вопрос по акаунтингу и по сервисам.. помогите кто бился )