[Ocean07]

Клиенту сообщается информация о состоянии AP только при 802.11r/k ( та часть где 11/к). OKC ничего не сообщает.

...

Сканирование эфира и поиск новой точки клиент при handover проводит до переключения на новую точку. Без handover клиент это делает после дисконекта от старой точки.

 

Это я и хотел выяснить... Т.е. если нет 802.11r/k то ни какой OKC не поможет... эфир будет сканироваться в поисках канала... сколько это займет времени зависит только от клиента...

[slv700]

Т.е. если нет 802.11r/k то ни какой OKC не поможет... эфир будет сканироваться в поисках канала... сколько это займет времени зависит только от клиента...

Сказано же совершенно определенно и понятно, что при ОКС и вообще при любом handover сканирование канала происходит до разрыва соединения клиента со старой точкой. Сколько бы это сканирование не длилось по времени на время перерыва связи клиента при его переключении между точками доступа это не влияет. Время сканирования -поиска новой точки ( клиент вообще , будучи подключенным к точке доступа, тем не менее всегда постоянно ищет новую точку) не имеет при handover никакого значения.

[Ocean07]

Нужно на досуге провести эксперимент. Отключить шифрование (что бы не нужен был OKC), включить снифер и посмотреть сколько потребуется время на переключение на другую AP на другом канале.

[slv700]

Нужно на досуге провести эксперимент. Отключить шифрование (что бы не нужен был OKC), включить снифер и посмотреть сколько потребуется время на переключение на другую AP на другом канале.

Поставьте на Android смартфон утилиту Aruba Utilities. Она показывает обмен сообщениями и смену состояний клиента при handover -переключении между AP, и там будет также видно время переключения.

Без шифрования ( открытом доступе) время переключения меньше 10 мс.

[Ocean07]

Поставьте на Android смартфон утилиту Aruba Utilities.

 

Спасибо! Посмотрю.

[Saab95]

У меня без всякого капсмана - просто все точки соединены по L3, с каждой точки EoIP туннель в центр, там все туннели в бридже (с блокировкой трафика между портами бриджа), ограничение по минимальному сигналу - переключение всегда в пределах 1 секунды, обычно даже меньше, шифрование WPA-PSK.

Все точки на разных каналах, если одна точка скидывает клиента, он сразу делает запрос на все точки, которые он ловит, на них в логах есть соответствующие записи, подключается к той которая его пускает, на все остальные посылает закрытие соединение с параметром (клиент подключился к другой точке).

 

Второй вариант работы это авторизация через радиус, то есть при подключение к радио на радиус сервер приходит запрос, где указан IP точки и мак клиента, который хочет к ней подключиться, далее сами по алгоритму указываете как и что делать в каждом конкретном случае.

[Ocean07]

Чем замеряли время необходимое на переключение?

[slv700]

- переключение всегда в пределах 1 секунды, обычно даже меньше

Видимо это в 2.4 Ггц, где меньше каналов и меньше время на поиск частотного канала новой точки.

[slv700]

У меня без всякого капсмана - просто все точки соединены по L3, с каждой точки EoIP туннель в центр, там все туннели в бридже (с блокировкой трафика между портами бриджа), ограничение по минимальному сигналу - переключение всегда в пределах 1 секунды, обычно даже меньше, шифрование WPA-PSK.

Все точки на разных каналах, если одна точка скидывает клиента, он сразу делает запрос на все точки, которые он ловит, на них в логах есть соответствующие записи, подключается к той которая его пускает, на все остальные посылает закрытие соединение с параметром (клиент подключился к другой точке).

 

Второй вариант работы это авторизация через радиус, то есть при подключение к радио на радиус сервер приходит запрос, где указан IP точки и мак клиента, который хочет к ней подключиться, далее сами по алгоритму указываете как и что делать в каждом конкретном случае.

Это ручная ( сделай сам) реализация firewall, который запоминает MAC клиента , которого, если он уже был ранее в сети, свободно пропускают в сеть. Любой злоумышленник, подменив свой МАС, может войти в такую сеть без аутентификации, то есть нет никакого защищенного доступа. Ну и с точки зрения роуминга- его как не было, так и нет при данной и любой другой схеме ручной реализации аутентификации.

[fhntv_smart]

У меня без всякого капсмана - просто все точки соединены по L3, с каждой точки EoIP туннель в центр, там все туннели в бридже (с блокировкой трафика между портами бриджа), ограничение по минимальному сигналу - переключение всегда в пределах 1 секунды, обычно даже меньше, шифрование WPA-PSK.

Хрень идея, напоролся уже. Я описывавался выше почему это плохо.

[Saab95]

Чем замеряли время необходимое на переключение?

 

Микротиком, запускался пинг на IP ноута с интервалом в 100мс, ноут переключался к другой точке, далее считали количество потерянных пакетов и умножали на 100мс.

 

Хрень идея, напоролся уже. Я описывавался выше почему это плохо.

 

У меня работает, просто точки ставим с заведомо большим покрытием, мощность на минимум. То есть в каждой комнате или помещении установлена как минимум одна точка, даже если клиента скинет из-за появления какой-то преграды, то он куда-то да подключится.

Проблемы бывают когда таким способом пытаются обеспечить большое покрытие с преградами в виде нескольких стен, тогда да - будут обрывы. Так же нужно разнести устройства по разным ограничениям, если это ноутбук или смартфон.

[fhntv_smart]

У меня работает, просто точки ставим с заведомо большим покрытием, мощность на минимум. То есть в каждой комнате или помещении установлена как минимум одна точка, даже если клиента скинет из-за появления какой-то преграды, то он куда-то да подключится.

В теории, может и да. Если точки в дальних комнатах видятся с уровнем хуже чем -85.

Сейчас почти все современные девайсы понижают мощность. По этому, выкидывать по уровню -75 нельзя. А по -85 девайс може подключатся фиг знает куда, даже через этаж.

А если три точки видятся с уровнем -50, -60, и -70. Причем та что -70 работает через три стены и уже с ней связь плохая. Что делать?

[mafijs]

А если три точки видятся с уровнем -50, -60, и -70. Причем та что -70 работает через три стены и уже с ней связь плохая. Что делать?

Понижай выходнoую мoщность точки. Ну примерно 12-16. А не жарить тарaкaнов на чердаке нa полную. :)

А выкидывать по уровню -87.

Изменено 12 июля, 2016 пользователем mafijs

[fhntv_smart]

Понижай выходнoую мoщность точки. Ну примерно 12-16. А не жарить тарaкaнов на чердаке нa полную. :)

А выкидывать по уровню -87.

Не помогает. Мощность 13 везьде.

[mafijs]

Уменшай ешё. До тех пор, пока в конкретном месте сильная будет только ближайшая точка, а остальние слабые.

У меня даже 6-8-9-12 поставлено.

 

Дома вобще - 2 поставил. хватает в комате выше голавы. (951G-2HnD)

 

Rx Signal в CAPsMAN - это с каким уровнем CAPsMAN видит клиента.

Уровен с точки я смотррю с http://lizardsystems.com/wi-fi-scanner/index.php

Изменено 12 июля, 2016 пользователем mafijs

[Saab95]

А если три точки видятся с уровнем -50, -60, и -70. Причем та что -70 работает через три стены и уже с ней связь плохая. Что делать?

 

Включать мозг. Не зря же в описании указывают чувствительность приемника, то есть на скорости 6М достаточно сигнала -88 для работы, а для скорости 54М нужен уже -70. Поэтому в настройках БС мощность у скорости 6М должна быть низкой, например 4дбм, а у скорости 54М выше, например 10дбм, тогда радиус работы точки будет иметь ровный круг с четко ограниченным краем, стоит перейти за него и коннекта не будет, т.к. сигнал на скорости 6М будет уже хуже -88, а на 54М будет хуже -70 и все, клиент подключается к ближайшей БС.

 

Когда вы просто понижаете мощность для всех скоростей до 10 дбм, то на определенном расстоянии клиент сможет работать на низких канальных, отсюда и проблемы.

[mafijs]

Saab95 - в CAPsMAN нет воможности выставить мощность для каждой скорости отдельно.

Изменено 19 июля, 2016 пользователем mafijs

[Saab95]

Saab95 - в CAPsMAN нет воможности выставить мощность для каждой скорости отдельно.

 

Так не используйте его, в схемах где под 50 и более беспроводных точек, объединенных вместе, все отлично работает на L2/L3, главное правильно все настроить. Т.к. тот же капсман на 50 и более точках ведет себя порой не совсем адекватно и приходится сеть разбивать на сегменты, тогда теряется весь смысл его использования.

[mafijs]

38 точек CAPsMAN. Полёт нормальный. По точке в каждом помещении, где надо Wifi.

Кроме общаги, где на 52 метров коридора поставлены 4 точки - на 4 кмнаты одна точка.

Изменено 19 июля, 2016 пользователем mafijs

[fhntv_smart]

Вопрос не в тему немножко. Но, всё-же.

Как работает WPA-Enterprice? Есть домен, есть радуиус.

 

Девайс цепляется к точке? что дальше? он вводит один пароль? или пароль учетки в домене?

Пароль вводится один раз, или при каждом подключнии, или на сессию?

[fhntv_smart]

Уменшай ешё. До тех пор, пока в конкретном месте сильная будет только ближайшая точка, а остальние слабые.

У меня даже 6-8-9-12 поставлено.

Походил, потестировал, поставил 0...

Лесенкой не получается.

винбокс 3.4, прошивки везьде последние. Мануал кард рейтс как-то неадекватно работает. Ставлю везьде 0, в куррент TX повер везьде нули, а в двух модуляциях 17.

 

Короче, везьде 6 дбм поставил, а там где рядом точки, 3 и 0.

 

Посмотрим завтра как работать будет.

Изменено 19 июля, 2016 пользователем fhntv_smart

[slv700]

WPA-Enterprise - это семейство протоколов защищенного доступа по стандарту 802.11i. К нему относится самый простой доступ WPA2-PSK и доступ с аутентификацией login/ password через Radius сервер - по стандарту 802.11x/ EAP ( PEAP, TTLS, TLS и др.).Защищенный доступ означает, что трафик обмена сообщениями при аутентификации шифруется алгоритмом TKIP или более современным методом AES.

Все точки доступа вайфай класса Enterprise поддерживают WPA-Enterprise. К таковым относятся ubnt, cambium и др. Микротик, что удивительно, не поддерживает всю линейку EAP - только EAP-TLS,что требует наличия сертификата на стороне клиента,что неприменимо для публичного доступа и неудобно для корпоративного доступа. Обычно при доступе EAP применяется EAP-PEAP и EAP- TTLS. Драйверами EAP-enterprise оснащены все клиентские устройства под андроид и apple.

На практике при подключении клиента к точке доступа С EAP на клиентском устройстве высвечивается окно с полями для ввода login и password. Введенная информация запоминается в привязке к SSID и при повторном заходе на AP с таким же SSiD повторный ввод логина и password не требуется. Если сеть с этим SSID "забыть", то ввод логина при смене точки доступа с тем же SSID- потребуется заново.

Очень часто логин и пароль при EAP доступе вводятся со страницы приглашения Splash page точки доступа или внешнего сервера. В этом случае информация о логине и пароле на клиенте ( ключи доступа) не запоминается и тогда при каждом подключении к точке доступа логин и пароль нужно указывать заново. Если точка доступа или контроллер поддерживает роуминг, то ключи доступа запоминаются на точке доступа/контроллере и при каждом выходе клиента из зоны действия точки доступа и его последующем входе ( например просто включить и выключить вайфай) повторный ввод логина и пароля при EAP доступе не требуется. Также не требуется повторная ЕАР аутентификация при смене точек доступа, поддерживающих роуминг(handover).

[fhntv_smart]

Спасибо.

Вот блин, микотик...

Авторизация доменная с логин/пассворд для нас была-бы идеальной.

Сертификаты на устройства пихать - не вариант, сложно сильно.

 

Начитался некоторых советчиков и стал тулить микротик куда не попадя.

Не, ну железка очень сильная... Как шлюз цены ему нет. .

Но, иногда он меня вымораживает. В последнее время жалобы на работу вай-фай от всех подряд. Даже там, где пустая конфигурация.

а тут оказывается EAP-PEAP не поддерживает.

[mafijs]

Only-G (или only-N) поставил ? Oставил b/g/n ?

Изменено 20 июля, 2016 пользователем mafijs

[slv700]

Надо понимать, что вайфай у Микротика - референсный от Atheros, он в принципе рабочий (на уровне многих дешевых китайцев - у них тот же самый драйвер, стоит около $5 за 1 AP - я это определенно знаю- занимался вопросом ), и его надо дорабатывать и многие вещи типа WPA-Enterprise, handover стоят денег или это опять самим надо делать , что еще дороже и на что видимо Микротику или не хватает на все ресурсов или неинтересно.

Микротик- это прежде всего хороший лоу кост роутер- в пику Циске, и они очень удачно здесь нашли свою нишу- честь им и хвала за это, поскольку платить циске их сумасшедшие цены было многим юзерам очень напряжно. Удачно также микротик вошел в рынок ШБД сделав Nstreme, это в свое время ( кризис 2008+ ) сыграло свою , я бы сказал, выдающуюся роль.

Сейчас, выбирая решение на Микротик, в том числе вайфай, надо четко понимать его возможности конкретно для своей задачи. Продукт Микротик хорош, но для конкретных задач , то есть хорош не всегда и не везде.