[Techinfo] Iskolai WIFI eszközök
ka at mayten.sch.bme.hu
ka at mayten.sch.bme.hu
2016. Sze. 30., P, 12:01:36 CEST
On 2016-09-30 10:03, Szalayné Tahy Zsuzsa wrote:
> Szereténk 1-2 hétre projektszerűen, kölcsön eszközökkel, az
> egész iskolára kiterjedő WIFI hálózatot építeni.
szerintem ez ilyen rovid idore nem annyira eri meg, legalabb egy-ket
honap kellene. legalabbis ha a celod az, hogy valami tapasztalatot
megszerezz vagy valami lecket megtanulj belole.
> Azaz egy 800 felhasználót kiszolgáló rendszer kellene, ami 4
[...]
> Szerintetek milyen paramétereket írjak, hogy a kapott eszközök
> együtt, működőképes hálózatot képezzenek?
>
Elso korben szerintem erdemes lenne hatralepni, leulni es atgondolni. A
milyet kerdest szerintem megelozi a mennyi, azert, mert tovabbi
kerdeseket fog felvetni.
800 embert irtal. Nalunk most a legnagyobb intezmeny ahol wifi megy, az
778 darab access point, csucsidoben tizenharomezer egyideju
felhasznaloval. Ez a szint mar nem az, amikor bohockodni lehet
tplinkekkel. Hogy mast ne mondjak, mondjuk egy tplink bekonfiguralasa
ures allapotrol legyen mondjuk harom perc, akkor 778 x 3 = 2234 perc =
38.9 ora. Azaz ha semmi mast nem csinal egy ember, csak napi nyolc
oraban tplinket konfigural, akkor hetfo reggel nyolckor elkezdve
penteken delutan 16:52 -re vegezne. Es akkor semmi mast nem csinalt.
Az okolszabaly szerint egy access point-nak legfeljebb 15-20 egyideju
felhsznalot kellene kiszolgalni az optimalis teljesitmenyhez. 800
felhasznalot irtal, azaz darabra beszelunk olyan 42 - 54 darab access
pointrol, es akkor meg csak a felhasznalok szamat neztem, azt nem, hogy
ezek elhelyezkedese milyen. Szamoljunk mondjuk 50 darabbal, mert valami
tartalek azert legyen a rendszerben mindket iranyba.
50 darab access point, ha legalabb 5-6 kulonbozo fajta, akkor mondjuk 10
perc kabe, amig bekonfiguralod oket, atlagosan? Azaz tobb, mint egy
napodat el fogja vinni onmagaban az, hogy IP cimet adsz nekik, ssid-t
allitasz be, titkositast, tavoli elerest, esatobbi esatobbi. Ebben meg
az sincs, benne, hogy esetleg openwrt-re kell valamit allitani, esetleg
mar azzal erkezik par, kulonbozo verziok, esetleg valami dd-wrt lesz,
ami csak epp annyira mas, hogy tovabb tart mert nem szoktad meg. Ezek
miatt en azt mondom, hogy realisan az AP-k konfiguralasa jo ket nap
onmagaban.
Gondoljuk tovabb, megvan 50 bekonfiguralt AP, lelkes diakok kihelyezik,
nem kell profi szereles, ugyis csak ideiglenes az egesz. Felteszem
vigyaznak is rajuk, ha a sajatjuk. Elindul az uzem, megindulnak a
forgalmak. Nyilvan arra szamitasz, hogy olyan eszkozok is megjelennek a
halozaton amik eddig nem voltak, hiszen mindenki pilotolni akarja az uj
rendszert amig van. Ez ket dolgot jelent.
Egyreszt a mogottes, vezetekes halozat fel van-e keszulve arra, hogy 800
kliens megjelenik rajta es azon aktivan forgalmaz is? Nem ismerem a
topologiadat, neked kell megitelned van-e, ha van, hol van szuk
keresztmetszet. Nem csak savszelessegben, de session szamban is. Ha
egyedi autentikacio tortenik, a szerver kepes-e 800 klienstol beerkezo
kereseket kiszolgalni? A DHCP szerver kepes-e ennyi klienst ellatni, az
IP tartomany eleg nagy-e ahonnan osztod a cimeket? A tuzfal elegendo-e?
Ha NATolsz, nem futsz-e aki a rendelkezesre allo IP cimekbol? Gyors
szamolas: egy sima androidos telefon ha wifire jut, attol fuggoen hany
alkalmazas fut rajta a hatterben (idojaras, hirek, facebook, twitter,
whatsapp, viruskereso, oprendszer frissites ellenorzo, playstore
frissites ellenorzo stbstbsb) minimum 25-30 kapcsolatot indit azonnal.
Sanszos, hogy reggel nyolc korul, valamint az orakozi szunetekben a
telefonok egyszerre szabadulnak ra halozatra. Ha legrosszabb esettel
szamolok, 800 vegpont, egyszerre mondjuk 50 kapcsolatot indit, az
pontosan negyvenezer NAT bejegyzes. A legtobben egy darab publikus IP
cimre forgatnak at mindent, kulonbozo portokra. A lehetseges maximum
ugye 65535. Fel van a tuzfalad keszulve arra, hogy hirtelen negyvenezer
addicionalis NAT bejegyzes megjelenik? Nem fog elfogyni a szabad
portszam?
A kapacitas utan a kovetkezo kerdes a biztonsag. 50 access pont azt
jelenti, hogy a halozatodban legalabbis a teszt idejen 50 kituntetett
pontrol fog aramlani a szemet - halozati ertelemben. Hogy fogod ezeket
mind lekorlatozni, telepitesz 50 tuzfalat mindegyikhez? A beepitett
tuzfalakat nem fogod tudni hasznalni, csak routed modban, bridge modban
ez nem jatszik. Ha routed modban hasznalod emiatt, akkor a klienseket
nem fogod tudni megkulonboztetni egymastol, ha valaki illegalis
oldalakat latogat, nem tudod ki volt az. Ha bridge modban hasznalod,
akkor 50 belepesi ponton kellene szurni a forgalmat, hogy minel kozelebb
legyen a vegfelhasznalohoz es minel kevesbe terhelje a halozatot.
Vagy, a masik lehetoseg, hogy olyan access pointokat szerzel, amelyek
ismerik a tunnelezes fogalmat. Ez pedig atvezet az enterprise access
pointokhoz.
Ahhoz, hogy a vezetekes halozatot hatekonyan tudd elvalasztani a vezetek
nelkulitol, utobbi forgalmat kulon tudd szurni, ha kell korlatozni,
celszeru volna minimalizalni a belepesi pontok szamat a vezetekes
halozatba. Mondjuk egyetlen pontra. Ehhez az kell, hogy minden egyes
AP kepes legyen arra, hogy egy L2 tunnelt epit ki egy kozponti helyhez -
peldaul egy kontrollerhez - es a forgalom a vezetekes halozatba ezen a
kontrolleren at fog belepni - es csak itt. Hiaba van az AP barhova
kotve a halozatban, a forgalom nem ott jelenik meg.
Ez jo, mert egy helyen kell tuzfalazni, ellenorizni, szurni, QoS -t
alkalmazni, nem pedig 50 helyen. Hatrany, hogy a szappantartok ezt nem
tamogatjak. Google keresoszavak peldaul: CAPWAP, LWAPP, DTLS, GRE,
REAP, H-REAP. Mind az aruba, mind a tobbi, pl hp, cisco gyaroknak van
olyan termeke amik ezeket tudjak.
Es ha mar felmerult a kontroller, ne felejtsuk el a kozponti es
automatikus menedzsment szerepet. Nincs is szebb annal, mint az uj AP-t
bedugni a halozatba majd elmenni sorozni amig az letolti a megfelelo
szoftvert magaban, majd utana a megfelelo beallitasokat a kontrollerbol,
vegul pedig elkezdi a mukodeset mikozben te semmit nem csinalsz. 50 AP
bealltiasa igy nagyjabol masfel - ket orara szukul le.
A harmadik szempont a kapacitas es a biztonsag / menedzsment utan a
hibakereses. Egy kozponti felulet nelkul sok sikert a vegpontok
megtalalasahoz, hibaelharitasahoz. A tu a szenakazalban feludules lesz
utana.
A fentiek alapjan, hogy valaszoljak a kerdesre is. Nem irtad, mi a cel.
Attol fuggoen, hogy mi a cel, kulonbozo preferenciakat lehet
felallitani abban, hogy milyen AP-kat kerjunk az onkentesektol.
Ha szappantartokban gondolkodsz, mert barmi aron akarsz 800 vegpontot
wifin:
1) sok egyformat. minel kevesebb kulonbozo van, annal gyorsabban
vegzel, barmi is a feladat (bealltias, hibakereses)
2) azonos szoftverrel es azonos belul is azonos verzioval. minel
egysegesebb a kornyezet, annal gyorsabb beallitani, esetleg
automatizalni favago scriptekkel, valamint cserelni es hibaelharitani
3) Google segit, letezik-e valamilyen ingyenes menedzselo szoftver ilyen
esetekre - ha igen, nezd meg jo-e neked es ha igen, csak olyan AP-t
fogadj el, amit az tamogat. Ha valamelyik gyartonak van ilyenje,
mondjuk a tplink kihozott esetleg valami szoftvert amivel negyezer
tplinket lehet adminolni, akkor csak tplinket fogadj el
Ha minosegi termekekben gondolkodsz, mert tapasztalatot akarsz gyujteni
a kovetkezo munkahelyedhez:
1) kontrollert szerezz elobb es utana csak olyan AP-t kerj, amit a
kontroller tamogat, barmelyik gyarto legyen is az.
2) ha kontrollert nem tudsz szerezni, akkor gondolkodj el felho alapu
menedzselesen. bar 2016-van, a felho szerintem meg mindig leginkabb
csak kod, de el kell ismerni, hogy vannak hasznos cuccok benne. a
meraki sorozat peldaul ilyen, erre talaltak ki es raadasul most az ember
utan dobjak ingyen. igaz, csak egy darabot, de hatha tudsz valamilyen
partnersegre jutni veluk reklamert cserebe es neked adnak harom evre 50
eszkozt ingyen (a felho alapu uzemelteteshez licensz kell, az a draga,
nem az eszkoz)
3) ha kontroller nincs is, akkor keress olyan ceg olyan termeket, ami
tamogat kozponti menedzselest es valamilyen LWAPP-jellegu megoldasa van,
ha nem is pont az
A fentiek utan a biztonsagra helyeznem a hangsulyt masodikkent, hiszen a
biztonsag csak masodlagos szempont, ha egy rovid ideju tesztrol
beszelunk aminek a celja mondjuk a te tapasztalatszerzesed.
Minden eszkoz ma mar tamogat minden korszeru titkositasi protokollt, ez
lenyegtelen tehat. Inkabb olyan eszkozokben gondolkodnek, amik
tamogatnak VLANokat, amik kepesek arra, hogy tunnelt epitsenek akar egy
kozponti helyre (rovid ideju teszt, nem erdekes a redundancia), esetleg
amik tamogatjak a felhasznalok egymastol valo szeparalasat mar a wifi
oldalon is.
Radiofrekvencias kerdesben pedig a legfontosabb, hogy lehessen az ado
teljesitmenyet allitani. Nagy felhasznaloszam miatt celszerubb tobb
kisebb hatosugaru AP telepitese amik egymast nem zavarjak, szemben a
kevesebb, nagy hatosugarral - ezek nem vezetnek sehova nagy
mennyisegben.
Nem esett meg szo egy lenyeges kerdesrol: milyen a 2.4 / 5 GHz -t
tamogato keszulekek aranya? A jovore tekintettel en eroltetnem az 5
GHz-t, kevesebb problema van vele, jobb teljesitmeny erheto el, de
elkepzelheto, hogy ezzel kizarod a kliensek jo reszet. Ha a sajat
tapasztalat szerzes a cel, akkor 2.4 GHz legyen a cel, azt mindenki
tudja hasznalni es meglatod milyen nagy halozatokat uzemeltetni. Ha
koztes megoldast szeretnel, akkor csak dual radios eszkozoket fogadj be
a tesztbe, amik mindket fekvenciat tamogatjak, igy egy kozeputat
valaszthatsz.
udv
adam
További információk a(z) Techinfo levelezőlistáról