WDS(?) Hálózat létrehozása

Wireless

Sziasztok. A segítségeteket szeretném kérni WIFI témakörben. Próbáltam utánaolvasni, de nekem elég nagy katyvasz ez az egész témakör, pláne, hogy még a gyártók által használt kifejezések sem pont ugyanazt takarják ez egyes eszközöknél.
A cél: Adott egy nagyon nagy kiterjedésű épület,  8(!) nagy csarnokkal, és irodákkal. Ebben az épületben kellene az "okos eszközöknek" (90% android) kiépíteni WIFI hozzáférést.
A hálózat: Bérelt vonali WAN, 1 publikus külső IP, és a szolgáltató által(!) beállított belső hálózat (192.168.x.x).
Az eszközöknek 3 különböző SSID alatt, az alábbi elérhetőséget kellene tudni biztosítani:
1. SSID: full internet elérés, és belső hálózat, az internet sebességkorlátozott módon(iroda)
2. SSID: csak belső hálózat (raktár)
3, SSID: csak internet, sebességkörlátozott módban (vendég hálózat)

Az első fő probléma, hogy milyen eszközökkel tudom megvalósítani az egy router + tetszőleges számú, vezetékes kiépítettségű repeater WIFI hálózatot?
A változó szám azért lényeges, mert a egy-egy csarnok teljes lefedettsége biztos, hogy nem valósítható meg egy eszközzel, de még a kettő is kérdéses...
Itt konkrét típust várnék, ha van valakinek hasonló tapasztalata.

A második kérdésem, hogy a különböző csoportokat hogy tudnám egy eszközről/helyről karbantartani.
Külön-külön bármelyik csoport beállítható lenne szinte bármelyik egyszerű wifi-s routerrel is, de egyben....?
Az első és a második csoport sima wifi csatlakozás, (wpa2/password, MAC szűréssel, viszont a vendég hálózatra nincs tippem. Ide elvileg csak jelszó kellene, de KI KELL ZÁRNI az első két csoport eszközeit, ami ugye megint csak MAC filterrel lehet, de ugye emiatt olyan eszköz kellene routernak, ami több vendéghálózatot is kezel ilyen módon.

Ez ugye így elvileg 3 külön WIFI hálózat, de létezhet olyan megoldás esetleg, hogy egy SSID- belül a MAC filterrel egyedileg beállítható legyen a hozzáférés?
Szóval, akinek van tapasztalata, ötlete, ne tartsa magában, köszönettel veszek minden javaslatot!

  • 334 megtekintés

apropos, ha ez nagyon "gyerekjáték" jellegű vagy nagyon soho kategória akkor lehet az Omada-t is válaztani:

https://www.tp-link.com/hu/business-networking/omada-eap/

 

Persze én sohasem ajánlanék ilyesmit hanem megoldanám Mikrtotikkel! :-)

( de lássuk be, ezek a TP-Link cuccok illetve Deco, Omada rendszerek tényleg frappánsak, összekikkelhetők, szinte laikusok számára is működtethető rendszert alkotnak.

Tisztában vagyok a saját képességeimmel, ( :-)   ) írtam is néhány TP-Link márkaképviseletnek, hogy milyen eszközt javasolnak a leírtakra, de nem érte el az ingerküszöbüket, hogy reagáljanak is a megkeresésre :-( Mindenesetre, köszi a javasolt eszközöket, átnézem, hogy mi hozható össze ezekből. Köszi még 1x!

Ilyenre nem a kereskedő fog javasolni - sajnos ők annyira nem értenek az eszközeik valós képességeihez.

Amúgy eléggé jön fel a TP-Link-is ebben a témában, de 8 csarnoknyi rendszerhez azért meggondolnám.

Ha valóban úgy érzed, hogy te kevésbé értesz hozzá, akkor egy telepítő céget kell megbízni, ő hozza a megfelelő eszközöket és a kiépítést is elvégzi. (maga a fizikai része sem egyszerű meló egy ilyen rendszer kiépítésének)

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( junior013 | 2021. 10. 08., p – 09:40 )

Először is, ez két külön történet.

1., Ilyen méretű és bonyolultságú hálózat kezelését a saját kezedbe kell venni: A szolgáltató adjon publikus külső IP-t (bridge mode) és te tegyél a végére egy komolyabb router-t, ami a hálózatod központja. Ezen tudod kialakítani a különböző, egymástól független belső VLAN-okat, IP tartományokat, ezek jogosultságait. Erre én személy szerint egy megfelelően választott Mikrotik-et használnék.

2., Nagy kiterjedésű, központilag managelt WiFi hálózat. WDS-t (repeater-eket) felejtsd el! Esetleg Mesh, de a legtutibb a normális vezetékes uplink-ekre ültetett AP-k. Erre a minimális javaslatom a Unifi rendszere, vagy onnan felfelé (Cambium, Aruba, Cisco). Ezek mind tudják, amiket szeretnél: Több SSID külön VLAN-ban, vagy akár eszközönkénti authentikáció alapján külön VLAN, kapacitás-management, stb.

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Ez nem ilyen egyszerű. A bejövő bérelt vonalon VOIP, és VPN van a telephelyek között, így a végpontot biztosító Cisco routerhez semmilyen hozzáférésünk nincs. Ez nagyon sok mindent nagyon megbonyolít, de ez van, ezzel kell főzni... A Microtik-ra én is gondoltam, de a teljes tervezés, kialakítás költsége valószínűleg több lenne, mint amit a vezetőség erre szán.... :-(

Nem ismerem az Unifi-t, de legalább ez már egy konkrétum, aminek utána tudok nézni. Köszi a segítségedet!

Ha ennyire képben van az árérzékenység akkor sajnos mindenképp nehéz ügy lesz. 8 csarnoknyi jól működő wifi rendszer kiépítése alsó hangon millió fölötti tétel. Ennek a központjába egy ~70e Ft-os router már nem lehetne tétel.

DE, tulajdonképpen a saját routing akár ki is hagyható a játékból. A Cisco-ról kapott subnet így is, úgy is az irodai hálózat, ez mehet ki a wifi-re, elég csak kliensenként korlátozni, ki mehet ki a publikus netre, ki nem. A vendéghálózatot viszont ez esetben egyáltalán nem engedném erre rá, az külön vlan-on kimenne egy másik "gagyi" (2-3000 Ft-os) előfizetésen.

Ez így Unifi-vel összerakható (nem kell sem USG, sem Mikrotik), jól átlátható webUI-ról központilag managelhető.

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( uid_6201 v | 2021. 10. 08., p – 10:07 )

Szerkesztve: 2021. 10. 08., p – 10:08

Gondolom nem akkumulátorról mennek a WiFi AP-k, megy oda 230V. Ennyi erővel az UTP kábel is odamehet a WiFi AP-khoz és ezzel sok-sok évre NORMÁLISAN meg van oldva a hálózat kérdése is.
Sőt ekkor még 230V sem kell oda, hiszen a POE fel van találva.

( gabrielakos v | 2021. 10. 08., p – 10:11 )

Unifi eszközöket javaslom.

- kell néhány access point (AP) (mondjuk AC6lite vagy AC6LR)
- kell switch - célszerűen az is unifi
- kell egy USG (Unifi Secure Gateway)
- és kell egy controller - ami a szoftvere, ez lehet egy gépen installálva vagy akár egy konténer is, kell neki 4GB RAM, 2 vCPU ekkora setupra legalább

1-1 AP elvisz akár 200 klienst is szépen
Eddig sima.
Az authentikációt, mac filteringet RADIUS serverrel tudod megoldani, erre egy FreeIPA jó, az még egy konténer.

Ez egy szép feladat, lehet belőle tanulni sokat. 
A szolgáltatói belső hálót kihagynám, vagy engedjenek rá direktben a public IP-re, vagy legföljebb kétszer lesz NATolva, de a DHCP is legyen a tiéd.
Az már ízlés kérdése hogy a DHCP-t dnsmasq-val csinálod vagy az USG-vel.

 

zászló, zászló, szív

Azért az a "néhány" AP 8 nagy csarnokra min. 25db, de inkább több. Feleslegesnek tartom a WiFi6 erőétetését, sima AC bőven jó. (bár, most sajnos egyébként is hiány van a legtöbb Unifi eszközből :( )

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Ezek szerint nincs konkrét tapasztalatod az AC6 eszközzel.
Az AC6-ban sokkal erősebb hardver van, ezért visz el sokkal több klienst.
Unifi EU shopból 3 nap alatt megjött, problémamentesen.

Egy csarnokban ha nincs több mint 200 eszköz akkor 1 AC6 elég. Itt ha jól értettem nem nulla forint kiépíteni egy AP-nak a helyet, végeredményben azt gondolom olcsóbb is lesz.

zászló, zászló, szív

Igen, valami ilyesmire gondoltam, de mivel még nem csináltam ilyet, azt se tudtam, pontosan milyen eszközökre van szükség.

A dupla NATolást nem tudom kikerülni, mert a szolgáltatói végpontban valamennyi C hálózat (192.168.x.x) fel van konfigolva a VPN-ek miatt, és minden 192.168.x.1 címet a CISCO foglal.

Elindulok ezen az úton, aztán meglátjuk... :-)

Köszönöm a segítséget!

( quash | 2021. 10. 08., p – 18:36 )

Szerkesztve: 2021. 10. 08., p – 18:37

Ha nem akartok vele problémát, inkább keressetek egy céget aki ezzel foglalkozik.
Felméri (szó szerint méri), majd ez alapján ajánl eszközöket.
Hidd el, jobban jársz, ha tapasztalat nélkül nem te találod ki! AP-kat nem elég felrakni, csatornák, elhelyezés, nagyon sok mindenre oda kell figyelni. Rosszul elhelyezett, beállított AP-k simán elnyomják egymást, és nem fogjátok érteni miért is vannak gondok.

A WiFi eszközökön kívül szükségetek lesz még VLAN képest hálózati eszközökre, router-re.
Cisco, Cambium, esetleg Unifi (bár ezzel nekünk vannak negatív tapasztalataink, nagy kliens sűrűség esetén).
Mindenképpen olyan eszközök kellenek akik tudnak egymásról, és megfelelően roamingoltatják a klienseket egymás között.

Mi Cisco és Cambium eszközökkel építettünk több hasonló hálózatot, jól működnek.

Esetleg NAC,  Packetfence + megfelelő AP-k, ebben az esetben egyetlen SSID elegendő, de minden kliensnél kötelező auth van az első csatlakozáskor. Auth után pedig a kliens a megfelelő VLAN-ba kerül.