[Techinfo] Iskolai WIFI eszközök

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2016. Sze. 30., P, 12:01:36 CEST


On 2016-09-30 10:03, Szalayné Tahy Zsuzsa wrote:
> Szereténk 1-2 hétre projektszerűen, kölcsön eszközökkel, az
> egész iskolára kiterjedő WIFI hálózatot építeni.

szerintem ez ilyen rovid idore nem annyira eri meg, legalabb egy-ket 
honap kellene. legalabbis ha a celod az, hogy valami tapasztalatot 
megszerezz vagy valami lecket megtanulj belole.

> Azaz egy 800 felhasználót kiszolgáló rendszer kellene, ami 4

[...]

> Szerintetek milyen paramétereket írjak, hogy a kapott eszközök
> együtt, működőképes hálózatot képezzenek?
> 

Elso korben szerintem erdemes lenne hatralepni, leulni es atgondolni.  A 
milyet kerdest szerintem megelozi a mennyi, azert, mert tovabbi 
kerdeseket fog felvetni.

800 embert irtal.  Nalunk most a legnagyobb intezmeny ahol wifi megy, az 
778 darab access point, csucsidoben tizenharomezer egyideju 
felhasznaloval.  Ez a szint mar nem az, amikor bohockodni lehet 
tplinkekkel.  Hogy mast ne mondjak, mondjuk egy tplink bekonfiguralasa 
ures allapotrol legyen mondjuk harom perc, akkor 778 x 3 = 2234 perc = 
38.9 ora.  Azaz ha semmi mast nem csinal egy ember, csak napi nyolc 
oraban tplinket konfigural, akkor hetfo reggel nyolckor elkezdve 
penteken delutan 16:52 -re vegezne.  Es akkor semmi mast nem csinalt.

Az okolszabaly szerint egy access point-nak legfeljebb 15-20 egyideju 
felhsznalot kellene kiszolgalni az optimalis teljesitmenyhez.  800 
felhasznalot irtal, azaz darabra beszelunk olyan 42 - 54 darab access 
pointrol, es akkor meg csak a felhasznalok szamat neztem, azt nem, hogy 
ezek elhelyezkedese milyen.  Szamoljunk mondjuk 50 darabbal, mert valami 
tartalek azert legyen a rendszerben mindket iranyba.

50 darab access point, ha legalabb 5-6 kulonbozo fajta, akkor mondjuk 10 
perc kabe, amig bekonfiguralod oket, atlagosan?  Azaz tobb, mint egy 
napodat el fogja vinni onmagaban az, hogy IP cimet adsz nekik, ssid-t 
allitasz be, titkositast, tavoli elerest, esatobbi esatobbi.  Ebben meg 
az sincs, benne, hogy esetleg openwrt-re kell valamit allitani, esetleg 
mar azzal erkezik par, kulonbozo verziok, esetleg valami dd-wrt lesz, 
ami csak epp annyira mas, hogy tovabb tart mert nem szoktad meg.  Ezek 
miatt en azt mondom, hogy realisan az AP-k konfiguralasa jo ket nap 
onmagaban.

Gondoljuk tovabb, megvan 50 bekonfiguralt AP, lelkes diakok kihelyezik, 
nem kell profi szereles, ugyis csak ideiglenes az egesz.  Felteszem 
vigyaznak is rajuk, ha a sajatjuk.  Elindul az uzem, megindulnak a 
forgalmak.  Nyilvan arra szamitasz, hogy olyan eszkozok is megjelennek a 
halozaton amik eddig nem voltak, hiszen mindenki pilotolni akarja az uj 
rendszert amig van.  Ez ket dolgot jelent.

Egyreszt a mogottes, vezetekes halozat fel van-e keszulve arra, hogy 800 
kliens megjelenik rajta es azon aktivan forgalmaz is?  Nem ismerem a 
topologiadat, neked kell megitelned van-e, ha van, hol van szuk 
keresztmetszet.  Nem csak savszelessegben, de session szamban is.  Ha 
egyedi autentikacio tortenik, a szerver kepes-e 800 klienstol beerkezo 
kereseket kiszolgalni?  A DHCP szerver kepes-e ennyi klienst ellatni, az 
IP tartomany eleg nagy-e ahonnan osztod a cimeket?  A tuzfal elegendo-e? 
  Ha NATolsz, nem futsz-e aki a rendelkezesre allo IP cimekbol?  Gyors 
szamolas: egy sima androidos telefon ha wifire jut, attol fuggoen hany 
alkalmazas fut rajta a hatterben (idojaras, hirek, facebook, twitter, 
whatsapp, viruskereso, oprendszer frissites ellenorzo, playstore 
frissites ellenorzo stbstbsb) minimum 25-30 kapcsolatot indit azonnal.

Sanszos, hogy reggel nyolc korul, valamint az orakozi szunetekben a 
telefonok egyszerre szabadulnak ra halozatra.  Ha legrosszabb esettel 
szamolok, 800 vegpont, egyszerre mondjuk 50 kapcsolatot indit, az 
pontosan negyvenezer NAT bejegyzes.  A legtobben egy darab publikus IP 
cimre forgatnak at mindent, kulonbozo portokra.  A lehetseges maximum 
ugye 65535.  Fel van a tuzfalad keszulve arra, hogy hirtelen negyvenezer 
addicionalis NAT bejegyzes megjelenik?  Nem fog elfogyni a szabad 
portszam?

A kapacitas utan a kovetkezo kerdes a biztonsag.  50 access pont azt 
jelenti, hogy a halozatodban legalabbis a teszt idejen 50 kituntetett 
pontrol fog aramlani a szemet - halozati ertelemben.  Hogy fogod ezeket 
mind lekorlatozni, telepitesz 50 tuzfalat mindegyikhez?  A beepitett 
tuzfalakat nem fogod tudni hasznalni, csak routed modban, bridge modban 
ez nem jatszik.  Ha routed modban hasznalod emiatt, akkor a klienseket 
nem fogod tudni megkulonboztetni egymastol, ha valaki illegalis 
oldalakat latogat, nem tudod ki volt az.  Ha bridge modban hasznalod, 
akkor 50 belepesi ponton kellene szurni a forgalmat, hogy minel kozelebb 
legyen a vegfelhasznalohoz es minel kevesbe terhelje a halozatot.

Vagy, a masik lehetoseg, hogy olyan access pointokat szerzel, amelyek 
ismerik a tunnelezes fogalmat.  Ez pedig atvezet az enterprise access 
pointokhoz.

Ahhoz, hogy a vezetekes halozatot hatekonyan tudd elvalasztani a vezetek 
nelkulitol, utobbi forgalmat kulon tudd szurni, ha kell korlatozni, 
celszeru volna minimalizalni a belepesi pontok szamat a vezetekes 
halozatba.  Mondjuk egyetlen pontra.  Ehhez az kell, hogy minden egyes 
AP kepes legyen arra, hogy egy L2 tunnelt epit ki egy kozponti helyhez - 
peldaul egy kontrollerhez - es a forgalom a vezetekes halozatba ezen a 
kontrolleren at fog belepni - es csak itt.  Hiaba van az AP barhova 
kotve a halozatban, a forgalom nem ott jelenik meg.

Ez jo, mert egy helyen kell tuzfalazni, ellenorizni, szurni, QoS -t 
alkalmazni, nem pedig 50 helyen.  Hatrany, hogy a szappantartok ezt nem 
tamogatjak.  Google keresoszavak peldaul: CAPWAP, LWAPP, DTLS, GRE, 
REAP, H-REAP.  Mind az aruba, mind a tobbi, pl hp, cisco gyaroknak van 
olyan termeke amik ezeket tudjak.

Es ha mar felmerult a kontroller, ne felejtsuk el a kozponti es 
automatikus menedzsment szerepet.  Nincs is szebb annal, mint az uj AP-t 
bedugni a halozatba majd elmenni sorozni amig az letolti a megfelelo 
szoftvert magaban, majd utana a megfelelo beallitasokat a kontrollerbol, 
vegul pedig elkezdi a mukodeset mikozben te semmit nem csinalsz.  50 AP 
bealltiasa igy nagyjabol masfel - ket orara szukul le.

A harmadik szempont a kapacitas es a biztonsag / menedzsment utan a 
hibakereses.  Egy kozponti felulet nelkul sok sikert a vegpontok 
megtalalasahoz, hibaelharitasahoz.  A tu a szenakazalban feludules lesz 
utana.

A fentiek alapjan, hogy valaszoljak a kerdesre is.  Nem irtad, mi a cel. 
  Attol fuggoen, hogy mi a cel, kulonbozo preferenciakat lehet 
felallitani abban, hogy milyen AP-kat kerjunk az onkentesektol.


Ha szappantartokban gondolkodsz, mert barmi aron akarsz 800 vegpontot 
wifin:

1) sok egyformat.  minel kevesebb kulonbozo van, annal gyorsabban 
vegzel, barmi is a feladat (bealltias, hibakereses)

2) azonos szoftverrel es azonos belul is azonos verzioval.  minel 
egysegesebb a kornyezet, annal gyorsabb beallitani, esetleg 
automatizalni favago scriptekkel, valamint cserelni es hibaelharitani

3) Google segit, letezik-e valamilyen ingyenes menedzselo szoftver ilyen 
esetekre - ha igen, nezd meg jo-e neked es ha igen, csak olyan AP-t 
fogadj el, amit az tamogat.  Ha valamelyik gyartonak van ilyenje, 
mondjuk a tplink kihozott esetleg valami szoftvert amivel negyezer 
tplinket lehet adminolni, akkor csak tplinket fogadj el


Ha minosegi termekekben gondolkodsz, mert tapasztalatot akarsz gyujteni 
a kovetkezo munkahelyedhez:

1) kontrollert szerezz elobb es utana csak olyan AP-t kerj, amit a 
kontroller tamogat, barmelyik gyarto legyen is az.

2) ha kontrollert nem tudsz szerezni, akkor gondolkodj el felho alapu 
menedzselesen.  bar 2016-van, a felho szerintem meg mindig leginkabb 
csak kod, de el kell ismerni, hogy vannak hasznos cuccok benne.  a 
meraki sorozat peldaul ilyen, erre talaltak ki es raadasul most az ember 
utan dobjak ingyen.  igaz, csak egy darabot, de hatha tudsz valamilyen 
partnersegre jutni veluk reklamert cserebe es neked adnak harom evre 50 
eszkozt ingyen (a felho alapu uzemelteteshez licensz kell, az a draga, 
nem az eszkoz)

3) ha kontroller nincs is, akkor keress olyan ceg olyan termeket, ami 
tamogat kozponti menedzselest es valamilyen LWAPP-jellegu megoldasa van, 
ha nem is pont az

A fentiek utan a biztonsagra helyeznem a hangsulyt masodikkent, hiszen a 
biztonsag csak masodlagos szempont, ha egy rovid ideju tesztrol 
beszelunk aminek a celja mondjuk a te tapasztalatszerzesed.

Minden eszkoz ma mar tamogat minden korszeru titkositasi protokollt, ez 
lenyegtelen tehat.  Inkabb olyan eszkozokben gondolkodnek, amik 
tamogatnak VLANokat, amik kepesek arra, hogy tunnelt epitsenek akar egy 
kozponti helyre (rovid ideju teszt, nem erdekes a redundancia), esetleg 
amik tamogatjak a felhasznalok egymastol valo szeparalasat mar a wifi 
oldalon is.

Radiofrekvencias kerdesben pedig a legfontosabb, hogy lehessen az ado 
teljesitmenyet allitani.  Nagy felhasznaloszam miatt celszerubb tobb 
kisebb hatosugaru AP telepitese amik egymast nem zavarjak, szemben a 
kevesebb, nagy hatosugarral - ezek nem vezetnek sehova nagy 
mennyisegben.

Nem esett meg szo egy lenyeges kerdesrol: milyen a 2.4 / 5 GHz -t 
tamogato keszulekek aranya?  A jovore tekintettel en eroltetnem az 5 
GHz-t, kevesebb problema van vele, jobb teljesitmeny erheto el, de 
elkepzelheto, hogy ezzel kizarod a kliensek jo reszet.  Ha a sajat 
tapasztalat szerzes a cel, akkor 2.4 GHz legyen a cel, azt mindenki 
tudja hasznalni es meglatod milyen nagy halozatokat uzemeltetni.  Ha 
koztes megoldast szeretnel, akkor csak  dual radios eszkozoket fogadj be 
a tesztbe, amik mindket fekvenciat tamogatjak, igy egy kozeputat 
valaszthatsz.

udv
adam



További információk a(z) Techinfo levelezőlistáról