У нас есть 3 этажа открытого пространства по 80 квадратных метров каждый, которые мы хотим покрыть одной и той же беспроводной сетью в большом бетонном здании. У нас также есть кабели Ethernet, проложенные по всем этажам.
Требования следующие:
- мы хотим, чтобы внутренние (назовем их служебными) устройства (ноутбуки с кабельным подключением, DVR, сервер) были частью одной сети и видели друг друга; если возможно, то и через беспроводную связь, если нет, то только через кабель
- мы хотим предложить посетителям беспроводной доступ в Интернет и возможность беспрепятственного переключения между различными точками доступа/беспроводными маршрутизаторами; поэтому мы хотим обеспечить нашим посетителям надежное соединение Wi-Fi с минимальным количеством обрывов соединения или без них
- мы хотим установить скрипт точки доступа Wi-Fi, который обуславливает беспроводных посетителей для доступа к беспроводной сети с помощью регистрации в Facebook. СкриптFBWLAN, который нуждаетсяWifidogдля установки на маршрутизатор. Из-за этого маршрутизаторы должны быть прошиты с помощьюOpenWRTПрошивка. Мы также предпочли бы OpenWRT стандартной прошивке из-за всех расширенных опций конфигурации и возможностей, которые она предлагает (например, блокировщик рекламы). Скрипт точки доступа PHP использует клиентские MAC-адреса для управления аутентификацией, поэтому адреса должны передаваться без изменений на сторонний сервер, на котором размещен скрипт PHP Fbwlan
Наше предлагаемое решение — использовать один маршрутизатор для каждого этажа, и они должны быть подключены кабелем к 4-му, главному маршрутизатору, который будет выступать в качестве DHCP-сервера. 3 «ведомых» маршрутизатора будут иметь одинаковую конфигурацию: DHCP отключен, статические IP-адреса связаны (разные, конечно), тот же SSID,тот же пароль/ключ, то же шифрование (WPA2-PSK), и некий мост между беспроводной и проводной сетями. Я где-то читал, что было бы разумнее установить разные, далеко разнесенные каналы (1, 6, 11) для каждого маршрутизатора, чтобы избежать перекрытия полосы пропускания. Wifidog также будет установлен на каждом из этих маршрутизаторов. Все эти настройки поддерживаются OpenWRT, насколько я понимаю, поэтому все 4 маршрутизатора будут иметь последнюю версию (Хаос Спокойнее 15.05) OpenWRT.
ОБНОВЛЯТЬ: без пароля и шифрования, поскольку это требуется для портала аутентификации Wi-Fi.
Я планировал купить 4 xTP-Link TL-WR1043NDмаршрутизаторы, которые достаточно дешевы (около 50 долларов за штуку). То же самое оборудование дает лучший успех в настройке этой установки. Хотя это старый маршрутизатор, у меня уже есть дома TL-WR1043ND, hardware v2, не было проблем с установкой и настройкой OpenWRT на нем(Прерыватель барьеров), имеет хорошее соединение, не теряется сигнал Wi-Fi, поэтому это был мой первый вариант, учитывая бюджетные ограничения.
У нас пока нет подключения к Интернету, но это будет быстрое оптоволоконное соединение на скорости 1000 Мбит/с. Провайдер, вероятно, внесет в уравнение свой собственный маршрутизатор с поддержкой оптоволокна, но я не планирую использовать его в качестве основного маршрутизатора, поскольку это, скорее всего, будет бренд Huawei с небольшим количеством опций конфигурации, без аренды IP на основе MAC-адресов и т. д. Поэтому я планирую подключить основной маршрутизатор TPLink к одному из его портов LAN.
Также я планирую использовать неуправляемый 16-портовый гигабитный коммутатор (TP-Link TL-SG1016) для подключения всех настенных розеток RJ-45 для кабельных устройств.
Таким образом, общая настройка будет выглядеть следующим образом: маршрутизатор интернет-провайдера -> основной маршрутизатор TPLink -> неуправляемый коммутатор (кабельный, внутренние клиенты подключены здесь) -> подчиненные беспроводные маршрутизаторы -> клиенты Wi-Fi (посетители).
Я слышал о конфигурациях репитеров, расширителях, WDS, но мало что о них знаю, так как не особо разбираюсь в сетях.
У меня вопрос: является ли эта конфигурация оборудования хорошей и соответствует ли она нашим требованиям?
Мне нужна помощь в принятии решения о покупке оборудования — не марки, а типа: точки доступа, ретрансляторы, маршрутизаторы и т. д.
решение1
Самая большая проблема, которую я вижу, заключается в том, что я не думаю, что вы можете использовать Captive Portal и любую форму шифрования на уровне канала (WEP, WPA, WPA2) одновременно. Проблема в том, что схемы шифрования на уровне канала требуют аутентификации на уровне канала, прежде чем вы сможете использовать ссылку, а аутентификация Captive Portal — это аутентификация более высокого уровня, которая требует работающей ссылки. То есть вы не можете загрузить веб-страницу аутентификации Captive Portal, если вы еще не ввели пароль WPA2-PSK.
Если только вы не против того, чтобы посетители запрашивали у вас и вводили сетевой пароль WPA2-PSK, а ПОТОМ портал авторизации заставлял их регистрироваться на Facebook.
Если вы не против оставить трафик посетителей незащищенным на уровне канала, вы, вероятно, могли бы опубликовать отдельный SSID с шифрованием WPA2-PSK для сотрудников. Но эта настройка будет иметь смысл с точки зрения безопасности только в том случае, если сеть «сотрудника» — это сеть с PS3, проектором, DVR и т. д., а сеть «гостя» защищена брандмауэром и обеспечивает только доступ в Интернет.
Не используйте WPA-PSK. Для скоростей передачи данных 802.11n и 802.11ac требуется WPA2/AES-CCMP. Так что используйте WPA2-PSK. Отключите все WPA/TKIP; вам нужен чистый WPA2/AES. WPA/TKIP был действительно полезен только для небольшого числа устройств 12 лет назад; к тому времени, когда WPA/TKIP появился около 2002 года, WPA2/AES уже наступал ему на пятки, и было очень мало устройств, которые могли использовать WPA/TKIP, но никогда не видели обновления, чтобы иметь возможность использовать WPA2/AES. Если оставить TKIP включенным, это только усложнит ситуацию и раскроет ошибочные реализации, которые портят ситуацию, когда шифр многоадресной рассылки отличается от шифра одноадресной рассылки.
Не выбирайте только 2,4 ГГц. Выбирайте одновременный двухдиапазонный и 802.11ac. Возможно, TP-Link Archer C7 v2 за 93 доллара (обязательно купите v2, радио v1 не будет поддерживать 802.11ac на OpenWrt). Также может быть беспроводная связь, которая может идти в ногу с вашим интернет-соединением. Плюс двухдиапазонный режим обеспечивает гораздо большую емкость.
Пересмотрите схему аутентификации вашего портала капитуляции. Из быстрого прочтения вашей предлагаемой сети и задействованных инструментов портала капитуляции, я боюсь, что ваша предлагаемая настройка будет иметь каждый маршрутизатор, работающий как свой собственный портал капитуляции вместо использования централизованного портала капитуляции, так что вашим пользователям, возможно, придется снова регистрироваться в Facebook каждый раз, когда они перемещаются между точками доступа.
Для планирования каналов, да, всегда устанавливайте неперекрывающиеся каналы. В диапазоне 2,4 ГГц это означает, что вам придется использовать каналы 1, 6 и 11 шириной 20 МГц. Это ограничение каналов 20 МГц означает, что ваша точка доступа 2,4 ГГц не сможет предложить свою скорость 450 Мбит/с, которая работает только с каналами шириной 40 МГц. Вместо этого она будет ограничена 217 Мбит/с (и большинство ваших клиентов в любом случае смогут сделать только 144 или 72 Мбит/с с ней, потому что у большинства клиентов нет 3-потоковых радио).
Убедитесь, что в вашей сети есть только одно устройство, выполняющее NAT и действующее как DHCP-сервер. Убедитесь, что подчиненные точки доступа настроены на простое мостовое соединение трафика между проводной сетью и беспроводными клиентами. Вам, вероятно, также понадобится убедиться, что SSID «гостя» подключен к отдельной VLAN, которая идет прямо к маршрутизатору, чтобы отделить ее от вашей сети «сотрудника» со всеми проводными устройствами в ней, по соображениям безопасности.