UniFi AP tapasztalatok

Fórumok

Sziasztok,

A következő feladatra keresek AP-t:
- 20 kliens (20Mbit-es net, file szerver)
- 40m beltér sok fallal
- AP között roaming
- Guest és Corporate hálózat elkülönítés

Ahogy nézem 3db AP-ra lesz szükség, ezt találtam árban és tudásban megfelelőnek:
http://www.wireless-bolt.hu/detailproduct.php?productid=507470

Kérdésem az, mennyire stabilak ezek az AP-k használat közben? (Ismerősöm elbizonytalanított, szerinte nagyon megbízhatatlan!)

Aki használ ilyet régebb óta érdekelne a véleménye, mennyire stabil és mennyire kezeli jól az AP-k közötti roamingot?

Köszönöm a válaszokat!

Hozzászólások

Én pedig megnyugtatlak!

Atomstabil.
érdemes megnézni:
http://www.ubnt.com/downloads/docs/Wifinity_AirMax_Vegas_2011_Unifi.ppt

A központi menedzsmenttel pedig lényegesen leegyszerűsödik a hálózat felügyelete. (bár 3 ap-nál nem igazán lesz szükség ilyesmire :) )

A roaming a kliens feladata. Az ha az SSID azonos, az nagyobb jelerősségű ap-re fog csatlakozni a kliens.

Guest AP lehetőség van. Alapból csak a böngészést engedi, többi portot tiltja.

A QA szerint tud rendes roamingot. sajna nem volt időm kipróbálni, de fogj egy vlc-t és streamelj vagy csinálj egy voip hívást.

A kontroller proginál nézd meg a másik prog alá migrálást, az hasznos lehet.

Az apból van long range verzió is. multi ssidt tud.
Radius proxival nem tudom milyen viszonyban van, ezt fel is írom magamnak.

Ha durvább kell, akkor aruba instant.

abban, hogy a roaming a kliens feladata, csak részben van igazad. egy jó rendszer ugyanis irányítja a klienst, tekintettel arra, hogy az a legtöbb esetben buta, a fennmaradó esetekben pedig rettenetesen buta (chipset-, driver- és beállításfüggő).

roamingra szükség lehet azért, hogy a rendelkezésre álló airtime-ot optimálisan ossza el a kliensek között, ezért a rendszer átmozgatja az egyik AP-ról a másikra, az egyik csatornáról a másikra a klienst. roamingra lehet szükség akkor is, ha ugyan megfelelő jelerősség van egy AP-n/csatornán, de nagy az interferencia. sok más oka is lehet, ez csak néhány példa volt. ilyenkor mindig a rendszernek kell utasítania a klienst a roamingra (vagy más módon kikényszeríteni azt), ráadásul gyakran nem a legnagyobb jelerősségűre (a jelerősség önmagában nem jelent semmit).

(disclaimer: mi képviseljük itthon az Arubát - árakat max privátban írok, de kb stimmel a minimum 3-4x-es ár, ami persze szerintünk nem véletlenül annyi)

nem az én témám, és köszi az ajánlást. csak a szakmai oldalra szeretnék egy kicsit rávilágítani, mert sok az információhiány és félreértés. a wifi nem csak abból áll, hogy van jelerősség, hanem sokkal inkább abból, hogy nem szakadozik, lejön a letöltés, nem szakad a voip meg a video stream. magyarul használni lehet.

Most, hogy előkerült a "szakmai oldal" ezt a kijelentést "a minimum 3-4x-es ár, ami persze szerintünk nem véletlenül annyi" tudnád részletezni szakmai oldalról?
Félreértés elkerülése végett nem flame miatt kérdezem, hanem mert gondolom sokunkat érdekel, hogy miért éri meg, miben jobb, miben nyújt többet, tehát BS generátor off és jöhetnek a tények:)

legalábbis megpróbálom :)

nagyon sok paraméter van, és mindenkinél más fontos. általánosságban a következők szoktak érdekesek lenni:

MENEDZSMENT
- természetesen központi
- AD-integrált (nyilván RADIUS-on keresztül)
- több SSID
- userek szerepkör szerint megfelelő VLAN-ba (SSID-n belül is)
- QoS szintén
- useren belül akár eszköztípusonként külön (nagy hype a BYOD, de nem teljesen alaptalan), magyarul más legyen egy user notebookjának a jogosultsága, mint a telefonjának
- telepítés és üzemeltethetőség egyszerűsége

TELJESÍTMÉNY
- itt a rádiófrekvencia kezelésén múlik majdnem minden. AP load balancing, channel load balancing, stb
- csatornaváltás és adóteljesítmény-állítás alap, viszont nem mindegy, hogy manuális vagy automatikus, percekig-órákig tart vagy akár töredékmásodperc alatt történik
- a lényeg, hogy egy rendszerként működik-e az egész, vagy csak központilag vannak menedzselve az AP-k? magyarul ha az egyik AP-n látok egy rádiós zavart, és elkezdem utánállítani, akkor automatikusan a szomszédos AP-k is állítódnak-e, hiszen a környezetük változott?
- ha egyazon csatornán ad két szomszédos AP, akkor is lehet az interferenciát csökkenteni
- band steering: az 5GHz-képes klienseket 5GHz-re kényszeríti
- airtime elosztás: gagyi kliensek lassan adnak, a jó kliensek gyorsan, elosztja közöttük az airtime-ot a preferenciáknak megfelelően (egyenletesen vagy a gyorsabbakat támogatva), összességében a kumulált teljesítmény megnő
- muticast-unicast átalakítás
- nagyon sok minden egyéb (talán egy technikai doksit még be lehet linkelni, ez csak a funkciók egy kis része: http://www.arubanetworks.com/pdf/technology/whitepapers/wp_ARM_Enterpri…)
- a lényeg, hogy amikor nem 1-2 kliens csatlakozik, hanem 10-20-100-500, akkor az összes különböző, az egyébként is laza szabványoknak úgy-ahogy megfelelő chipset és driver (plusz a beállítások) okozta káoszt valahogy menedzselni tudja. nem elég, ha 1 klienssel lemérek mondjuk 280 megabitet éjjel, nappal is szeretnék hasonló teljesítményt látni a 40 kliensemmel (természetesen összesítve, nem kliensenként). mindegyik gyártónál esni fog az összteljesítmény, de itt nagyságrendi különbségek vannak.

ÜZEMBIZTONSÁG
- ne legyen single point of failure (menedzsment-felület egy gépen vagy elosztott rendszerben? kontroller -ha van- tud-e HA-t, az átállás max néhány sec vagy hosszú percek, automatikus-e?
- az AP-k tudnak-e MESH-t, hogy ha kiesik alóluk az Ethernet, működőképesek maradjanak
- itt is kritikus a rádiófrekvencia kezelése, részben a spektrum analízisen keresztül.
- interferencia észlelése és reagálás
- roaming sebesség (csatornák, AP-k és kontrollerek között)
- stb

SECURITY
- tűzfal, amivel a klienseket elválasztod. a határvédelem más tészta, az itt nem játszik. behoz a user egy fertőzött telefont-notebookot, ne lássa a többit. minden szabály userenként, csoporttagság alapján.
- wireless IPS, ez egy külön több napos téma, a wifi specifikus támadások ellen
- wireless IPS hibrid vagy overlay?
- auth failure esetén automata blacklistelés
- spektrum analízis itt is a rádiós típusú támadások ellen
- eszköztípus (és OS) azonosítás, külön szabályrendszerekkel (tűzfal, stb) őt és a hálózat többi elemét megvédeni

ebből simán lehet kemény flame, de nem baj, mert úgy lehet kifejteni részleteket. ezeken kívül is millió paraméter van. az otthoni kategória olcsó, de semmit nem lehet tőle elvárni. a Mikrotik-Ubiquiti vonal jóval többet tud, sokak számára ésszerű kompromisszum. ha viszont a fenti szempontok fontosak, akkor érdemes lehet megfontolni a vállalati szintű rendszereket, amik persze jóval drágábbak, de közöttük is hatalmas különbségek vannak tudásban (meg persze árban is). nálunk is más árkategória a virtuális kontrolleres (Instant) rendszer, mint a klasszikus kontrolleres, de mindegyiknek megvan a szerepe.

Igazad van, de ez nem az az árkategória. Az Unifi belseje majdnem úgy néz ki mint az Atheros által kiadott referencia nyák, a szoftvert viszont elég lelkesen fejlesztik, a PMK Cachinget támogatást tervezik, de az általam használt eszközön lévő szoftverben még biztosan nem volt. Én úgy tudom hogy az Arubához külön hardveres kontroller is kell, nem egy árkategória, persze nem is full plasztik az egész :) Aruba tud már beamforminget? Mintha olvastam volna, hogy azok is tudni fogják.

persze, más árak, más elvárások. nincs ezzel gond, megfér egymás mellett mindkettő.

a HW design kulcselem az Arubánál, pl az antenna minősége, elhelyezése, a rádió, stb mind fontos a végeredmény szempontjából. mégsem csak ezen múlik a boldogság.

lassan egy éve van virtuális kontrolleres verziónk, ami azt jelenti, hogy az AP-ben fut a kontroller, és ha meghal, akkor a másik átveszi tőle (HA). ugyanez igaz a menedzsment felületre.

beamformingot nem tud, és .n-en nem is nagyon fog tudni. szerintünk ugyanis parasztvakítás. egyrészt sok (5+) kliensnél a körsugárzás és a beamforming között már alig van különbség. másrészt a kommunikáció kétirányú, a gyenge pont pedig a kliens, ami nem tud beamformingot, tehát hiába hallja jól az AP-t, ha nem tud neki visszaadni. a tapasztalatok is ezt igazolják: van egy kisebb gyártó, aki tökélyre fejlesztette a beamformingot, de a gyakorlatban csak 2,4GHz-en és azon belül is downstreamben nyújt érezhető teljesítménynövekedést, 5GHz-en és upstreamben nem. Az ő (nyilván részrehajló) tesztjükben is az Arubát hozzák ki második legjobbnak, pedig a Ciscoban is van valamennyi beamforming, tehát ez semmiképp sem csodaszer.

802.11ac-nél más a helyzet, ott lesz értelme a beamformingnak. de ott a szabvány is tartalmazni fogja, így ha a kliensekben implementálják, akkor segíthet. de a 802.11ac-ig még legalább 2-3 évünk van (a szabvány jövőre meglesz, de a tényleges elterjedést nemigen indokolja semmi, tehát a .n-nél is lassabb lesz).

> Guest és Corporate hálózat elkülönítés

Ezt hamarosan meg tudom neked válaszolni, ugyanis beüzemelésre vár egy "tányér". 802.1x lesz, radius auth-al. Más AP-vel már megy, de nyilván nem tudom a klienseket külön VLAN-ba dobni, mert pici, buta. Procurve switch-ekkel viszont pont a héten teszteltem, elvileg ugyanígy kéne menjen az UniFi AP-n is.

Közben beállítottam.

Egy guest és egy auth-os SSID van (WPA2, server Certificate, Radius auth - ezt nagyjából bármilyen SOHO AP tudja).

A beállítás elég egyszerű, furcsa volt viszont az, hogy az AP "regisztrációja" (a szoftveres controllerhez kötése) és a firmware frissítése sokat tart, és semmiféle visszajelzés nincs közben. De ezzel együtt lehet élni.

VLAN assignment-et nem tud a cucc (a Radius szerver mondaná meg milyen VLAN-ba kerül a kapcsolat). Mondjuk erre jelenleg nincs is szükségem. Egy SSID egy VLAN.

A klienseket csoportosítani lehet, a csoportokra pedig sávszélességkorlátozást lehet alkalmazni. SSID-re lehet alap csoportot aggatni, így pl. a Guest VLAN-t simán lehet korlátozni. Ezt a router is megoldhatta volna, de ha már van miért ne használnánk. A kliensekhez "note"-okat lehet aggatni, illetve akár az SSID-től független csoportba is pakolhatod őket.

A szoftveres kontroller ezért a pénzért teljesen kielégítő.

A továbbiakban, amennyiben felmerül az igény, további AP-k telepítésére ugyanezt fogom venni. Iskolai (Small Office) felhasználásra tökéletesen megfelel.

A hatótávolság átlagos (nem long range az AP).

Egy pecsi cegnel epitettunk halozatot a wifi halozatot ilyen AP-kkel oldottuk meg. A tapasztalatok jok. Mindenki boldog. 3 halozatot hirdetunk, 3 kulonbozo VLAN-ba, 2 ceges halozat, a harmadik guest. Radiusbol authentikalnak a kliensek, mivel nincs valid szerver certificate, ezert a Windowsok nem tudnak alapbol csatlakozni a WPA2 enterprise halozatokhoz (fixme), mi ezt ugy oldottuk meg, hogy kaptak egy pendrive-ot, amin egy batch scriptel lehet konfiguraltatni a halozatot.
A legkisebb Unifi arra kepes, hogy a klienseket terheles alapjan pakolja at a masik AP-ra, "smart" roamingot nem tud (de ezt nem is lehet elvarni 20 rugoert szerintem).

roamingnál engem jól megtúráztatott. Ha nem azonos switch-en voltak (volt köztük egy HP 2510G) az ARP Cache miatt elég döcögős volt.....