On 2016-09-30 10:03, Szalayné Tahy Zsuzsa wrote:
Szereténk 1-2 hétre projektszerűen, kölcsön eszközökkel, az egész iskolára kiterjedő WIFI hálózatot építeni.
szerintem ez ilyen rovid idore nem annyira eri meg, legalabb egy-ket honap kellene. legalabbis ha a celod az, hogy valami tapasztalatot megszerezz vagy valami lecket megtanulj belole.
Azaz egy 800 felhasználót kiszolgáló rendszer kellene, ami 4
[...]
Szerintetek milyen paramétereket írjak, hogy a kapott eszközök együtt, működőképes hálózatot képezzenek?
Elso korben szerintem erdemes lenne hatralepni, leulni es atgondolni. A milyet kerdest szerintem megelozi a mennyi, azert, mert tovabbi kerdeseket fog felvetni.
800 embert irtal. Nalunk most a legnagyobb intezmeny ahol wifi megy, az 778 darab access point, csucsidoben tizenharomezer egyideju felhasznaloval. Ez a szint mar nem az, amikor bohockodni lehet tplinkekkel. Hogy mast ne mondjak, mondjuk egy tplink bekonfiguralasa ures allapotrol legyen mondjuk harom perc, akkor 778 x 3 = 2234 perc = 38.9 ora. Azaz ha semmi mast nem csinal egy ember, csak napi nyolc oraban tplinket konfigural, akkor hetfo reggel nyolckor elkezdve penteken delutan 16:52 -re vegezne. Es akkor semmi mast nem csinalt.
Az okolszabaly szerint egy access point-nak legfeljebb 15-20 egyideju felhsznalot kellene kiszolgalni az optimalis teljesitmenyhez. 800 felhasznalot irtal, azaz darabra beszelunk olyan 42 - 54 darab access pointrol, es akkor meg csak a felhasznalok szamat neztem, azt nem, hogy ezek elhelyezkedese milyen. Szamoljunk mondjuk 50 darabbal, mert valami tartalek azert legyen a rendszerben mindket iranyba.
50 darab access point, ha legalabb 5-6 kulonbozo fajta, akkor mondjuk 10 perc kabe, amig bekonfiguralod oket, atlagosan? Azaz tobb, mint egy napodat el fogja vinni onmagaban az, hogy IP cimet adsz nekik, ssid-t allitasz be, titkositast, tavoli elerest, esatobbi esatobbi. Ebben meg az sincs, benne, hogy esetleg openwrt-re kell valamit allitani, esetleg mar azzal erkezik par, kulonbozo verziok, esetleg valami dd-wrt lesz, ami csak epp annyira mas, hogy tovabb tart mert nem szoktad meg. Ezek miatt en azt mondom, hogy realisan az AP-k konfiguralasa jo ket nap onmagaban.
Gondoljuk tovabb, megvan 50 bekonfiguralt AP, lelkes diakok kihelyezik, nem kell profi szereles, ugyis csak ideiglenes az egesz. Felteszem vigyaznak is rajuk, ha a sajatjuk. Elindul az uzem, megindulnak a forgalmak. Nyilvan arra szamitasz, hogy olyan eszkozok is megjelennek a halozaton amik eddig nem voltak, hiszen mindenki pilotolni akarja az uj rendszert amig van. Ez ket dolgot jelent.
Egyreszt a mogottes, vezetekes halozat fel van-e keszulve arra, hogy 800 kliens megjelenik rajta es azon aktivan forgalmaz is? Nem ismerem a topologiadat, neked kell megitelned van-e, ha van, hol van szuk keresztmetszet. Nem csak savszelessegben, de session szamban is. Ha egyedi autentikacio tortenik, a szerver kepes-e 800 klienstol beerkezo kereseket kiszolgalni? A DHCP szerver kepes-e ennyi klienst ellatni, az IP tartomany eleg nagy-e ahonnan osztod a cimeket? A tuzfal elegendo-e? Ha NATolsz, nem futsz-e aki a rendelkezesre allo IP cimekbol? Gyors szamolas: egy sima androidos telefon ha wifire jut, attol fuggoen hany alkalmazas fut rajta a hatterben (idojaras, hirek, facebook, twitter, whatsapp, viruskereso, oprendszer frissites ellenorzo, playstore frissites ellenorzo stbstbsb) minimum 25-30 kapcsolatot indit azonnal.
Sanszos, hogy reggel nyolc korul, valamint az orakozi szunetekben a telefonok egyszerre szabadulnak ra halozatra. Ha legrosszabb esettel szamolok, 800 vegpont, egyszerre mondjuk 50 kapcsolatot indit, az pontosan negyvenezer NAT bejegyzes. A legtobben egy darab publikus IP cimre forgatnak at mindent, kulonbozo portokra. A lehetseges maximum ugye 65535. Fel van a tuzfalad keszulve arra, hogy hirtelen negyvenezer addicionalis NAT bejegyzes megjelenik? Nem fog elfogyni a szabad portszam?
A kapacitas utan a kovetkezo kerdes a biztonsag. 50 access pont azt jelenti, hogy a halozatodban legalabbis a teszt idejen 50 kituntetett pontrol fog aramlani a szemet - halozati ertelemben. Hogy fogod ezeket mind lekorlatozni, telepitesz 50 tuzfalat mindegyikhez? A beepitett tuzfalakat nem fogod tudni hasznalni, csak routed modban, bridge modban ez nem jatszik. Ha routed modban hasznalod emiatt, akkor a klienseket nem fogod tudni megkulonboztetni egymastol, ha valaki illegalis oldalakat latogat, nem tudod ki volt az. Ha bridge modban hasznalod, akkor 50 belepesi ponton kellene szurni a forgalmat, hogy minel kozelebb legyen a vegfelhasznalohoz es minel kevesbe terhelje a halozatot.
Vagy, a masik lehetoseg, hogy olyan access pointokat szerzel, amelyek ismerik a tunnelezes fogalmat. Ez pedig atvezet az enterprise access pointokhoz.
Ahhoz, hogy a vezetekes halozatot hatekonyan tudd elvalasztani a vezetek nelkulitol, utobbi forgalmat kulon tudd szurni, ha kell korlatozni, celszeru volna minimalizalni a belepesi pontok szamat a vezetekes halozatba. Mondjuk egyetlen pontra. Ehhez az kell, hogy minden egyes AP kepes legyen arra, hogy egy L2 tunnelt epit ki egy kozponti helyhez - peldaul egy kontrollerhez - es a forgalom a vezetekes halozatba ezen a kontrolleren at fog belepni - es csak itt. Hiaba van az AP barhova kotve a halozatban, a forgalom nem ott jelenik meg.
Ez jo, mert egy helyen kell tuzfalazni, ellenorizni, szurni, QoS -t alkalmazni, nem pedig 50 helyen. Hatrany, hogy a szappantartok ezt nem tamogatjak. Google keresoszavak peldaul: CAPWAP, LWAPP, DTLS, GRE, REAP, H-REAP. Mind az aruba, mind a tobbi, pl hp, cisco gyaroknak van olyan termeke amik ezeket tudjak.
Es ha mar felmerult a kontroller, ne felejtsuk el a kozponti es automatikus menedzsment szerepet. Nincs is szebb annal, mint az uj AP-t bedugni a halozatba majd elmenni sorozni amig az letolti a megfelelo szoftvert magaban, majd utana a megfelelo beallitasokat a kontrollerbol, vegul pedig elkezdi a mukodeset mikozben te semmit nem csinalsz. 50 AP bealltiasa igy nagyjabol masfel - ket orara szukul le.
A harmadik szempont a kapacitas es a biztonsag / menedzsment utan a hibakereses. Egy kozponti felulet nelkul sok sikert a vegpontok megtalalasahoz, hibaelharitasahoz. A tu a szenakazalban feludules lesz utana.
A fentiek alapjan, hogy valaszoljak a kerdesre is. Nem irtad, mi a cel. Attol fuggoen, hogy mi a cel, kulonbozo preferenciakat lehet felallitani abban, hogy milyen AP-kat kerjunk az onkentesektol.
Ha szappantartokban gondolkodsz, mert barmi aron akarsz 800 vegpontot wifin:
1) sok egyformat. minel kevesebb kulonbozo van, annal gyorsabban vegzel, barmi is a feladat (bealltias, hibakereses)
2) azonos szoftverrel es azonos belul is azonos verzioval. minel egysegesebb a kornyezet, annal gyorsabb beallitani, esetleg automatizalni favago scriptekkel, valamint cserelni es hibaelharitani
3) Google segit, letezik-e valamilyen ingyenes menedzselo szoftver ilyen esetekre - ha igen, nezd meg jo-e neked es ha igen, csak olyan AP-t fogadj el, amit az tamogat. Ha valamelyik gyartonak van ilyenje, mondjuk a tplink kihozott esetleg valami szoftvert amivel negyezer tplinket lehet adminolni, akkor csak tplinket fogadj el
Ha minosegi termekekben gondolkodsz, mert tapasztalatot akarsz gyujteni a kovetkezo munkahelyedhez:
1) kontrollert szerezz elobb es utana csak olyan AP-t kerj, amit a kontroller tamogat, barmelyik gyarto legyen is az.
2) ha kontrollert nem tudsz szerezni, akkor gondolkodj el felho alapu menedzselesen. bar 2016-van, a felho szerintem meg mindig leginkabb csak kod, de el kell ismerni, hogy vannak hasznos cuccok benne. a meraki sorozat peldaul ilyen, erre talaltak ki es raadasul most az ember utan dobjak ingyen. igaz, csak egy darabot, de hatha tudsz valamilyen partnersegre jutni veluk reklamert cserebe es neked adnak harom evre 50 eszkozt ingyen (a felho alapu uzemelteteshez licensz kell, az a draga, nem az eszkoz)
3) ha kontroller nincs is, akkor keress olyan ceg olyan termeket, ami tamogat kozponti menedzselest es valamilyen LWAPP-jellegu megoldasa van, ha nem is pont az
A fentiek utan a biztonsagra helyeznem a hangsulyt masodikkent, hiszen a biztonsag csak masodlagos szempont, ha egy rovid ideju tesztrol beszelunk aminek a celja mondjuk a te tapasztalatszerzesed.
Minden eszkoz ma mar tamogat minden korszeru titkositasi protokollt, ez lenyegtelen tehat. Inkabb olyan eszkozokben gondolkodnek, amik tamogatnak VLANokat, amik kepesek arra, hogy tunnelt epitsenek akar egy kozponti helyre (rovid ideju teszt, nem erdekes a redundancia), esetleg amik tamogatjak a felhasznalok egymastol valo szeparalasat mar a wifi oldalon is.
Radiofrekvencias kerdesben pedig a legfontosabb, hogy lehessen az ado teljesitmenyet allitani. Nagy felhasznaloszam miatt celszerubb tobb kisebb hatosugaru AP telepitese amik egymast nem zavarjak, szemben a kevesebb, nagy hatosugarral - ezek nem vezetnek sehova nagy mennyisegben.
Nem esett meg szo egy lenyeges kerdesrol: milyen a 2.4 / 5 GHz -t tamogato keszulekek aranya? A jovore tekintettel en eroltetnem az 5 GHz-t, kevesebb problema van vele, jobb teljesitmeny erheto el, de elkepzelheto, hogy ezzel kizarod a kliensek jo reszet. Ha a sajat tapasztalat szerzes a cel, akkor 2.4 GHz legyen a cel, azt mindenki tudja hasznalni es meglatod milyen nagy halozatokat uzemeltetni. Ha koztes megoldast szeretnel, akkor csak dual radios eszkozoket fogadj be a tesztbe, amik mindket fekvenciat tamogatjak, igy egy kozeputat valaszthatsz.
udv adam _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
