Elektroda.pl
Elektroda.pl
X
Szafy RackSzafy Rack
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

WiFi w szkole, czyli dylematy sprzętowe

08 Lis 2011 13:20 4413 28
  • Poziom 14  
    Witam serdecznie.
    Przekopałem się już przez kilkanaście wątków na tym i innych forach i parę rzeczy jest dla mnie w dalszym ciągu niejasnych.
    Jest sobie budynek szkoły (liceum) - jakieś 100m długości, 40 szerokości, grube mury. Dyrekcja sobie wymyśliła, żeby postawić w szkole hot-spota. Ot, uczniowie na przerwie sprawdzą pocztę, nauczyciele mają laptopa i dostęp do materiałów...
    Pomijam sensowność takiego rozwiązania (przepustowość łącza, routerów, bezpieczeństwo sieci klasycznej), bo skończy się pewnie dostępem na hasło albo po MAC.
    1. Wymyśliłem tak: na każdym piętrze osobny AP, bo po pierwszych pomiarach widzę że będzie masakra, każdy osobno wpięty do istniejącej, kablowej sieci.
    AP jakiś mocniejszy koniecznie z funkcją QoS (gwarantowane pasmo dla stałych klientów sieci), ewentualnie z przydziałem pasma. Jaki sprzet polecacie?
    2. Czeka mnie pewnie wymiana routera podłączonego do DSL'a (w tej chwili stoi tam jakiś tani TP-Link) - jakiegoś linksysa, czy może od razu komputer z routingiem na linuxie na przykład ? Przydział łacza sprawa kluczowa.
    3. AP raczej rozmieszczone w pomieszczeniach w rogu budynku, ale tutaj mam największe wątpliwości, jak i dobór anten, bo na standardowych pewnie z zasięgiem będzie lipa...

    Wiem wiem - najlepiej zlecić komuś, kto się zna :-) Ale fajnie by było się czegoś przy okazji nauczyć.
  • Szafy RackSzafy Rack
  • Poziom 43  
    Ja poleciłbym zakupić Nanostation M2 jako AP-ki - w nich są już antenki kierunkowe połączone skrętka najlepiej ze switchem zarządzanym lub routerem z możliwością tworzenia vlanów i ACL czyli jako router brzegowy lub PC z odpowiednim oprogramowaniem.

    Vlany skutecznie odseparują sieci poszczególnych klas bezpieczeństwa.

    Dobrze by było oprzeć bezpieczeństwo sieci o radiusa i autoryzacje hasłem, loginem nadawanym indywidualnie poprzez https, no i oczywiście logować wszystkie połączenia.
  • Poziom 27  
    Poczytaj sobie o oprogramowaniu MIKROTIK http://www.mikrotik.org.pl/ http://www.mikrotik.com/ oraz o sprzęcie do tego oprogramowania. Może nie jest to rozwiązanie tak tanie jak ap-ki tplinka czy inna masówka ale jakość i niezawodność sieci o rząd wielkości lepsza.
  • Poziom 43  
    Powiedzmy, że już się wypowiadałem na temat hotspotów w szkołach, skupmy się na merytorycznej treści tego przedsięwzięcia.

    Jak na razie, QoS na poziomie radia - oprócz WMM - to rzecz mało realna. Na poziomie warstwy trzeciej już tak.

    Też raczej oparłbym się np o RB411, wydzielić vlany - jak się da - ustawić minimalny sygnał łączącego się urządzenia, być może dobre będzie włączenie 802.11b - ale na piętro to bym ustawiał co najmniej dwa urządzenia.
    Wszystko zależy od tego, czy ma być wykorzystanie tylko na korytarzu, czy w klasach też oczekujesz zasięgu.

    Wszystko da się zrealizować wrzucając najtańsze TP-Linki jak AP i robiąc osobną kablową strukturę, sieć jednak nie będzie bezpieczna, odpadnie praktycznie kontrola dopuszczonych urządzeń do sieci, jedynie pasmo można ciąć.

    Na serwer - RB450G - najtaniej i najłatwiej, tylko nie ma gdzie logów składować. Nie macie SBSów na serwerach w klasach i nie chodzą one 24h/dobę?
  • Moderator - Sieci, Internet
    Oczywiście każdy ma swoje zdanie na temat, każde rozwiązanie ma swoje wady i zalety. Koledzy opisali pokrótce swój punkt widzenia, ja chciałbym nawiązać do kwestii topologi.
    Kwestia okablowania:
    - skrętka pociągnięta do każdego access pointa, wszystkie urządzenia pracują w trybie AP na różnych kanałąch, oczywiście też dał bym dwa na piętro, wszystko zależy jak wygląda budynek (wymiary)
    - zakończone wszystko w szafie rack-owej na patch panelu, co ułatwi podłączenie i konfigurację,

    Kwestia zasilania access pointów:
    - dociągnięcie 230V do każdego punktu, gniazdo LAN+230V, czyli dodatkowa robota w wykonaniu instalacji elektrycznej z zabezpieczeniami.
    - zasilanie PoE (nanostation posiada) plus switche z PoE.

    Wybór należy do ciebie. Powodzenia.
  • Poziom 14  
    Też się zastanawiam nad POE jako zasilaniem, skrzyneczki z AP na korytarzach. Długość budynku jakieś 100m z zasięgiem oczywiście w klasach, więc AP muszą być gdzieś pośrodku korytarza. Myślałem o OVISLINK AirLive G.Duo.
    Wydzielona podsieć dla radiówki. Czyli: DSL, za nim jakiś porządny routing i rozdzielenie sieci na administrację, 2 pracownie i wi-fi.
    Mam nieużywanego SBS'a 2000, ostatecznie mógłbym jego do routingu zaprząc, ale klamot ogromniasty, a i decybele niezłe generuje. Wolę routing sprzętowy. Myślałem nad jakimś Linksysem, np. RV042-EU, ale te Mikrotiki wcale niegłupie :-). Za nim stałyby sprzętowy Dlink (taki prosty) - oddziela podsiec administracji, SBS 2003 w nowej pracowni, reszta może być wpięta bezpośrednio, przez switcha.
  • Poziom 27  
    wloczykij78 napisał:

    Mam nieużywanego SBS'a 2000, ostatecznie mógłbym jego do routingu zaprząc, ale klamot ogromniasty, a i decybele niezłe generuje. Wolę routing sprzętowy. Myślałem nad jakimś Linksysem, np. RV042-EU, ale te Mikrotiki wcale niegłupie :-). Za nim stałyby sprzętowy Dlink (taki prosty) - oddziela podsiec administracji, SBS 2003 w nowej pracowni, reszta może być wpięta bezpośrednio, przez switcha.


    Serwer jako ruter ?? to zeżre więcej prądu w rok niż kosztuje cytowany wcześniej mikrotik na RB450.
    Jednym urządzeniem na mikrotiku i rb450 załatwisz oddzielenie sieci administracyjnej, od hotspota, czy pracowni komputerowej. Zyskasz zaawansowane zarządzanie pasmem, zaawansowany routing, serwer vpn i wiele innych funkcji. Możesz postawić hotspota otwartego bądź po podaniu loginu z hasłem.
  • Pomocny post
    Moderator - Sieci, Internet
    wloczykij78 napisał:
    Myślałem o OVISLINK AirLive G.Duo.

    Pierwsze co musisz zrobić to wiedzieć jakim budżetem dysponujesz, ile możesz wydać na taki sprzęt. Moim zdaniem lepiej zainwestować w dobry sprzęt "radiowy" przynajmniej po to aby co chwilę coś się nie zawieszało, potem pomyśleć o switch-u z PoE (polecam firma netgear). Dopiero na końcu myśleć o routerze (sprzętowy czy programowy) bo tu możesz coś zaoszczędzić.
  • Szafy RackSzafy Rack
  • Poziom 14  
    Czy ja dobrze rozumiem, że kupując coś takiego: http://www.mikrotik.org.pl/urzadz.php?gr=5&kat=35&idx=1104, muszę dokupić jeszcze obudowę, zasilanie przez POE, albo zasilacz zwykły a soft mam już wgrany? Fajna sprawa ten Mikrotik, i wcale nie wychodzi jakoś drogo w stosunku do możliwości. Przemknął mi przez głowę leciwy pecet z NND, ale mało to profesjonalne rozwiązanie :-)
  • Pomocny post
    Poziom 27  
    W Twoim przypadku wystarczy zwykłe RB450 http://www.mikrotik.org.pl/urzadz.php?gr=5&kat=35&idx=978
    To co podałeś ma porty 1Gbit, nie wykorzystasz tego przy DSL-u.
    Obudowa i zasilacz oczywiście się przydadzą :]
  • Poziom 14  
    Jeszcze jedna wątpliwość: jeżeli urządzenie obsługuje PoE, to spinam je pojedynczą skrętką z drugim ? Oczywiście, jeżeli tez obsługuje PoE ? Jak jedno nie obsługuje, to jakiś pewnie splitter po drodze, tzn na przykład zasilacz do gniazdka, z drugiej strony do przejścióweczki i dalej po skrętce?
  • Poziom 27  
    wloczykij78 napisał:
    Jeszcze jedna wątpliwość: jeżeli urządzenie obsługuje PoE, to spinam je pojedynczą skrętką z drugim ? Oczywiście, jeżeli tez obsługuje PoE ? Jak jedno nie obsługuje, to jakiś pewnie splitter po drodze, tzn na przykład zasilacz do gniazdka, z drugiej strony do przejścióweczki i dalej po skrętce?


    W tym wypadku można tylko zasilić RB poprzez POE za pomocą adaptera poe http://www.mikrotik.org.pl/urzadz.php?gr=5&kat=34&idx=1106 lub zasilacza
    http://www.mikrotik.org.pl/urzadz.php?gr=5&kat=34&idx=1072
  • Poziom 14  
    o, to drugie fajne :-) Dziękuję wszystkim za cenne wskazówki.
  • Moderator - Sieci, Internet
    A co Koledzy powiecie na sprzęt Ubiquiti z rodziny Unifi jako sieć dostępowa ? Z Mikrotikiem na router dostępowy jak najbardziej :)
  • Poziom 43  
    Ostatnio był problem z dostępnością UniFi, teraz niby są - 250zł brutto/szt., antenka w miarę gustowna, MIMO 2x2 - w sumie oferta warta przemyślenia, zwłaszcza, że można to trzasnąć na środku korytarza i nikt się nie będzie buntował.
  • Poziom 27  
    salmon napisał:
    A co Koledzy powiecie na sprzęt Ubiquiti z rodziny Unifi jako sieć dostępowa ? Z Mikrotikiem na router dostępowy jak najbardziej :)


    Z Ubiquiti 2x nanostation 2,4 korzystam jako most radiowy 3km do internetu w domu. Niestety zdarza się zawiesić jednej lub drugiej stacji. Pomaga wówczas jedynie odpięcie zasilania. Zdarzało się to niezależnie od wersji oprogramowania.

    Natomiast mikrotików mam pod kontrolą kilkanaście, większość jako szkielet i punkty dostępowe wifi.
    Nie zdarzył mi się jeszcze zwis mikrotika pracującego na RB.
  • Poziom 14  
    Jeszcze jedno pytanie, związane bardziej z mikrotikiem niż radiową częścią przedsięwzięcia. Czy RB 450 da radę stworzyć np. 4 VLANY, przydzielić każdemu z nich gwarantowane pasmo ? Krótko mówiąc, chciałbym dokonać podziału łącza na sztywno, żeby mi jakiś ludek z dostępem do sieci nie zapchał łącza ściągając jakiś film... Pewnie się da, bo gdzieś nawet wyczytałem ze są priorytety usług, ale wolę się upewnić przed zakupem :-)
  • Poziom 27  
    wloczykij78 napisał:
    Pewnie się da, bo gdzieś nawet wyczytałem ze są priorytety usług, ale wolę się upewnić przed zakupem :-)


    Da się ustawić: na portach, na v-lanach, na poszczególne adresy ip, na poszczególne adresy MAC. etc. etc.
  • Poziom 14  
    Projekt wi-fi na razie upadł z braku środków, ale kablujemy całą szkołę pod e-dziennik. I teraz tak: sprzętowo od strony neta stoi mikrotik rb450 level 5, potem poszczególne stacje są podpinane przez zwykłe switche niezarządzane. Chciałbym wydzielić z tego 3 podsieci w taki sposób, żeby było niemożliwe "dobranie się" z każdej z nich do pozostałych.
    Mozna zrobić tak, że wpinam 3 interfejsy RB do tego samego switcha i ustawiam każdemu z nich inne adresy (podsieci) i każdemu VLANA ? Jeden z tych interfejsów miałby DHCP (ten, z którego szłoby w przyszłości radio), reszta adresy statyczne.
    Wymiana switcha na zarządzalny odpada - więcej kasy na sprzęt sieciowy nie dostanę.
    a może istnieje jakiś inny sposób, o którym nie wiem? IPSec chyba bardziej dotyczy tunelowania ?
  • Moderator - Sieci, Internet
    Bez zarządzalnych przełączników nie zrobisz VLAN-ów - chyba, że zrobisz to sposób ja najbardziej fizyczny - każdy "VLAN" będzie zebrany na osobnej grupie przełączników, a każda taka grupa będzie podłączona do oddzielnego interfejsu na Mikrotiku, na którym z kolei będziesz odpowiedniki regułami blokował komunikację pomiędzy sieciami. Można by zamiast tego pokombinować coś z np. pppoe, tylko czy jest sens..
  • Poziom 14  
    Rozumiem. pppoe raczej nie ma sensu. Kombinowanie ze switchami też odpada, bo sama sieć jest tak pogmatwana (efekty rozbudowy na bieżąco), że połowę kabli musiałbym prowadzić inaczej żeby sprzętowo oddzielać...
    A gdyby wpiąć w switcha 3 interfejsy RB, każdemu adres z innej puli, DHCP tylko na jednym, reszta z klientami statycznie? Zawsze coś, ale przydałoby się coś do tego "dołożyć"...
  • Moderator - Sieci, Internet
    Taki podział zadziała tylko na osobników typu totalne "nic_nie_wiem" w dziedzinie sieci komputerowych. Powiedzmy, że od strony podłączonego sprzętu można kontrolować/blokować dostęp do ustawień sieciowych, ale żaden problem wpiąć do gniazdka cóś swojego i masz wszystkie hosty podane jak na widelcu...
  • Poziom 27  
    wloczykij78 napisał:
    Rozumiem. pppoe raczej nie ma sensu. Kombinowanie ze switchami też odpada, bo sama sieć jest tak pogmatwana (efekty rozbudowy na bieżąco), że połowę kabli musiałbym prowadzić inaczej żeby sprzętowo oddzielać...
    A gdyby wpiąć w switcha 3 interfejsy RB, każdemu adres z innej puli, DHCP tylko na jednym, reszta z klientami statycznie? Zawsze coś, ale przydałoby się coś do tego "dołożyć"...


    Nie trzeba podpinać 3 fizycznych interfejsów z MT, na jednym fizycznym można uruchomić wirtualne interfejsy i każdemu nadać inne adresy i reguły... tylko co to ma dać ??
    Nie odseparujesz takim rozwiązaniem sieci. Pierwszy z brzegu skaner IP wykryje parametry wszystkich sieci.

    Jakimś rozwiązaniem może być sparowanie IP z MAC i filtrowanie wszystkiego co nie jest sparowane. Ale tak można odciąć np internet dla niepożądanych gości, nie wytniemy natomiast ruchu wewnątrz sieci.
  • Moderator - Sieci, Internet
    reaven22 napisał:
    Nie trzeba podpinać 3 fizycznych interfejsów z MT,

    Jeśli ruch pomiędzy sieciami ma być totalnie zablokowany to fakt, można, gdyby jednak coś miało pomiędzy nimi wędrować, to w zależności od woluminu tych danych warto sprawę przemyśleć..
  • Poziom 43  
    Najbardziej bezpieczne będzie stosowanie tuneli PPTP/PPPoE i autoryzacja Login/hasło. Do tego tunel szyfrowany, więc nawet jak ktoś zatruje tablicę ARP przełącznika i zacznie przechwytywać wszystkie pakiety, nic sensownego nie dostanie. Wtedy po DHCP przydzielasz jakiś dowolny adres, stacje robocze konfigurujesz tak, by korzystały wyłącznie z tuneli, a na RBku już sobie zrobisz politykę taką, jaka Ci się podoba.
    Oczywiście to tylko w wypadku, gdy dyrekcja nie będzie chciała zainwestować w 20 nowych przełączników.
  • Poziom 14  
    Hm, od strony sprzętowej wygląda to w tej chwili nieciekawie:
    WiFi w szkole, czyli dylematy sprzętowe

    Jakoś nie widzę sensownej możliwości oddzielenia użytkowników D i U. Jedyne co mi przychodzi do głowy, to dociągnąć dodatkowy kabel do A6, i wpiąć wszystkich A na oddzielnym switchu, do drugiego interfejsu na RB - co akurat dałoby się zrobić. Kiedyś miałem ich na osobnym routerze, ale największe zagrożenie jest od strony U,czyli tam, gdzie po drodze jest SBS albo dodatkowy mini router. Rozbudowa idzie od strony D7 (przez następny switch) i D11 czyli w tym drugim przypadku bezpośrednio. Dojdzie jeszcze radio (i to byłaby podsieć R), na każdej kondygnacji wpinane do switchy, stąd moje rozważania n/t bezpieczeństwa. Radio na pewno z autoryzacją.
  • Poziom 43  
    Radia to najmniejszy problem - wrzucisz RBki 411 z kartami na 2.4 i tam się będziesz autoryzować nawet w przypadku sytuacji wielkiego bridge'a. Ewentualnie unifi, ale nie wiem jak to tu wpasować - generalnie urządzenie jest fajne i ma ponoć bardzo duży zasięg.

    U - uczniowie, D - dziennik, A ? Co to jest A?
    Na III piętrze ten R to musi być?
    Gdzie jest serwer tego dziennika?

    Masz do dorzucenia/wymiany całe trzy switche i dołożenie jednego zwykłego(jeśli ten MT jest blisko punktu S->D12..D14 - dyrekcja chce wdrażać zmiany, musi jeszcze wyciągnąć kasę na takie zabawki. Wtedy już i unifi będzie super śmigać(po wydzielonym vlanie).

    Kabel z SBS przechodzi przez punkt dystrybucji czy nie?

    Można kombinować ze skrętką osobną(po prostu drugi LAN położyć), ale to takie nieeleganckie...
  • Poziom 27  
    Niedawno pojawiła się budżetowa wersja RB
    Mikrotik RouterBoard 751U-2HnD, 5x LAN, 802.11b/g/n, level 4
    W cenie ~180PLN masz zabawkę z wifi i lev 4 na pokładzie. Śmiało można na niej budować szkielet z wydzielonymi vlanami.
    Jesli przepustowość sieci kablowej miała by być >100Mb to jest również wersja z Gb switchem.
  • Poziom 14  
    A to administracja, czyli ci, których muszę odseparować. Dziennik idzie po HTTPS na zewnętrzny serwer, więc tu jakoś bardzo na separacji mi nie zależy. Kabel do sbs'a wychodzi z punktu dystrybucyjnego, czyli tam, gdzie stoi mikrotik i switch. router na trzecim oddziela uczniów od administracyjnej.