Wifi siet cca 200AP

stanke

Dobry den Pani.

Som tu novy a nejakou stastnou nahodou sa mi podarilo dostat sa k wifi sieti o cca 1000 uzivateloch a cca 200 APckach. Chcel by som Vas poprosit o nazory/napady ako danu siet vylepsit. Samozrejme najprv Vam popisem situaciu.

Siet je v podstate stromovej struktury. S tym ze najdlhsi mozny bod je povedze aj cez cca 6-7 ptp skokov. To znamena ze k hlavnemu routru je pripojenych niekolko wifin ktore strielaju signal bod bod na rozne smery. Tam sa su nasledne pripojene apcka ktore signal posielaju do miesta koncovym zakaznikom a takisto ( ak je vyzadujuce) dalsi bod bod spoj do dalsich miest. Momentalne je vsetko riesenie routovanou sietou. t.z. ze sa to proste vsetko pomaly nabaluje (t.z. ze napriklad z posledneho hopu to prilezie na router cez 8-10 default gw) a konci to v routry kde to cez nat fici von cez jednu ipecku. Toto sa mi velmi nepaci ako riesenie ( ak sa mylim, kludne ma prosim Vas opravte). Ja by som skor mal predstavu taku ze kazdom ap ( mikrotik) by sa zakaznici pripojili tam sa oshejpovali a nasledne VLANou by prisli az na router kde by bud kazde ap,alebo oblast alebo mesto isli von cez svoju verejnu ip. Odhliadnuc samozrejme od zakaznikov ktori si verejnu ip platia a maju staticku. Moja otazka znie je to dobry napad nakolko to bude obnasat vsade spravit VLAN bridge po celej ceste. Ja v tom vidim vyhody --> budem presne vidiet ktorou vlanou ( oblastou,mestom atd) kolko dat prichadza, po celej trase mi to pojde v l2. Bude hlavicka VLAN zbytocne zatazovat wifi siet? Alebo mate ine napady prosim Vas?

Mojou druhou otazkou je ako riesit zabezpecenie. Momentalne sa end usery prihlasuju na ap kde je povolena ich mac. Samozrejme ktokolvek malo zrucnejsi vie toto zneuzit. Napadla ma autentifikacia 802.1x cez radius , pripadne ine myslienky?

Pani vopred Vam velmi pekne dakujem za akekolvek nazory a rady pripadne zaujimavu diskusiu.

V kratkosti o mne. V minulosti som adminoval sam cely internat o cca 1000 ludoch, kde som mal na starosti od vrtania dier pre ethernetove kable az po multicast vsetko. Pisem to preto, ze zo sietovo/technickej oblasti som ok , horsie je to s radiami ako takymi a routeros je pre mna novy aj ked uz si "tykame" .

Tak este raz dakujem.

S pozdravom Stanke

ludvik

Změnit routing na switching pomocí softwarových bridge je z bláta do bažiny. Nezískáš vůbec nic, krom podstatně horší přehlednosti ...

Ale jinak to jsou otázky vpravdě filozofického charakteru a co admin, to názor :-)

raven-il

Mame sit vyslovene na L2 s jednim hranicnim routerem, a pravdepodobne velmi blizko modelu, ktery si predstavujes. Je to na delsi diskus, tak se ozvi SZ a probereme to po skype, nebo telefonu. Tez uz jsme par siti z routingu predelavali na L2 infrastrukturu, tak muzu poskytnout i nejake prakticke rady, pomoc, pri tomto reseni.

info_adambalko_cz

Po předchozích zkušenostech také stavím síť pomocí VLAN a jednoho výkonného hraničního routeru se shapingem. Je to dle mého jednodušší na správu a počet nutných prvků na síti. V tomto případě je ovšem velmi vhodné, aby měl každý klient správně nastavený router, ideálně s MK ;)

stanke

Pani dakujem za odpovede, sukromnu spravu som poslal. Moja idea je kedze pouzivame ispadmin nechat shajping na AP a odtial to potom tlacit vlanami na hranicny router.