透過有線路由器無縫無線AP網路

tag-icon tag-icon networking router wifi access-point openwrt
透過有線路由器無縫無線AP網路

我們有 3 個 80 平方米的開放空間樓層,我們希望在大型混凝土建築中透過相同的無線網路進行覆蓋。我們還在所有樓層都設置了乙太網路電纜。

要求是:

  • 我們希望內部(我們稱之為員工)設備(有線筆記型電腦、DVR、伺服器)成為同一網路的一部分並且能夠互相看到;如果可以的話,也可以透過無線,如果沒有,也可以透過電纜
  • 我們希望為訪客提供無線網路接入,並在不同接入點/無線路由器之間無縫漫遊;因此,我們希望為訪客提供可靠的 Wi-Fi 連接,盡可能降低連接中斷率或避免連接中斷
  • 我們想要安裝一個 wi-fi 熱點腳本,該腳本允許無線訪客透過 Facebook 簽入來存取無線網路。腳本是無線區域網路,這需要無線狗若要安裝在路由器上。因此,路由器必須刷新開放WRT韌體.我們也喜歡 OpenWRT 而不是庫存固件,因為它提供了所有擴展的配置選項和可能性(例如廣告攔截器)。 PHP 熱點腳本依賴客戶端 MAC 來管理身份驗證,因此必須將位址原封不動​​地傳輸到託管 Fbwlan PHP 腳本的第 3 方伺服器

我們建議的解決方案是每個樓層使用一個路由器,並且這些路由器應透過電纜連接到第四個主路由器,該路由器將充當 DHCP 伺服器。 3 個「從」路由器將具有相同的設定:停用 DHCP、關聯靜態 IP(當然不同)、相同的 SSID、相同的密碼/金鑰,相同的加密(WPA2-PSK),以及無線網路和有線網路之間的某種橋樑。我在某處讀到,為每個路由器設定不同的、相距較遠的通道(1、6、11)以避免頻寬重疊會更明智。 Wifidog 也將安裝在每台路由器上。據我了解,所有這些設定均受 OpenWRT 支持,因此所有 4 個路由器都將具有最新版本(混亂平靜 15.05)的OpenWRT。

更新: 沒有密碼,也沒有加密,因為 wi-fi 強制門戶需要這樣做。

我本來打算買 4 xTP-Link TL-WR1043ND路由器,相當便宜(每個大約 50 美元)。相同的硬體在配置此設定時會取得更好的成功。雖然這是一台舊路由器,但我家裡已經有一台 TL-WR1043ND,硬體 v2,在其上安裝和設定 OpenWRT 沒有任何問題(突破障礙),具有良好的連接性,沒有 Wifi 訊號丟失,所以這是我的第一個選擇,考慮到預算限制。

我們還沒有網路連接,但它將是快速光纖、1000 Mbps 連接。 ISP 可能會將其自己的光纖路由器納入考慮範圍,但我不打算將其用作主路由器,因為它很可能是華為品牌,配置選項很少,沒有基於 MAC 的 IP 租賃,等等。將主TPLink 路由器連接到其LAN 連接埠之一。

另外,我計劃使用非託管 16 連接埠千兆交換器(TP-Link TL-SG1016) 為有線設備的所有 RJ-45 壁掛式插座接線。

因此,整體設定將是:ISP 路由器 -> 主 TPLink 路由器 -> 非託管交換器(有線,內部用戶端在此處有線) -> 從屬無線路由器 -> wi-fi 用戶端(訪客)。

我聽說過中繼器配置、擴展器、WDS,但對它們了解不多,因為我對網路不太了解。

我的問題是:這是一個滿足我們要求的良好硬體設定嗎?

我需要幫助來決定購買設備 - 不是什麼品牌,而是什麼類型:天氣、接入點、擴展器、路由器等。

答案1

我發現的最大問題是,我認為您不能同時進行強制入口網站和任何形式的連結層加密(WEP、WPA、WPA2)。問題在於,鏈路層加密方案需要先進行鏈路層身份驗證,然後才能使用鏈路,而強制門戶身份驗證是需要工作鏈路的更高層身份驗證。也就是說,除非您已經輸入了WPA2-PSK 密碼,否則您無法載入強制Portal 認證網頁。

除非您不介意訪客必須要求您提供並輸入 WPA2-PSK 網路密碼,然後被強制入口網站強制進行 Facebook 簽入。

如果您不介意讓訪客的流量在連結層不受保護,您可以為員工發布一個帶有 WPA2-PSK 加密的單獨 SSID。但只有當「員工」網路上有 PS3、投影機、DVR 等,而「訪客」網路被防火牆關閉並且僅提供對 Internet 的存取時,這種設定才具有安全意義。

不要使用 WPA-PSK。 802.11n 和 802.11ac 資料速率需要 WPA2/AES-CCMP。因此,請選擇 WPA2-PSK。禁用所有WPA/TKIP;您想要純 WPA2/AES。從 12 年前開始,WPA/TKIP 只對極少數設備真正有用;當 WPA/TKIP 出現時 c. 2002 年,WPA2/AES 已經緊隨其後,很少有設備可以執行 WPA/TKIP,但從未見過升級到能夠執行 WPA2/AES。啟用 TKIP 只會使事情變得複雜,並且會暴露出有缺陷的實現,當多播密碼與單播密碼不同時,這些實現就會出錯。

不要只使用 2.4GHz。選擇同步雙頻和 802.11ac。也許是 93 美元的 TP-Link Archer C7 v2(確保購買 v2,OpenWrt 上的 802.11ac 不支援 v1 的無線電)。還可配備能夠與您的網路連線保持同步的無線網路。另外,雙頻可為您提供更高的容量。

檢查您的強制入口網站驗證方案。快速閱讀您提議的網路和所涉及的強制門戶工具,恐怕您提議的設置將使每個路由器充當自己的強制門戶,而不是使用集中式強制門戶,因此您的用戶可能必須重新訪問 Facebook - 每次在AP 之間漫遊時進行登記。

對於頻道規劃,是的,始終設定不重疊的頻道。在 2.4GHz 頻段,這表示您必須使用 20MHz 寬的頻道 1、6 和 11。20MHz 頻道的限制意味著您的 2.4GHz AP 將無法提供 450Mbps 速率,該速率僅適用於 40MHz廣泛的頻道。相反,它將被限制為 217Mbps(而且大多數客戶端無論如何都只能達到 144 或 72Mbps,因為大多數客戶端沒有 3 流無線電)。

確保網路上只有一台設備執行 NAT 並充當 DHCP 伺服器。確保從屬 AP 設定為僅橋接有線網路和無線用戶端之間的流量。出於安全原因,您可能還需要確保「訪客」SSID 橋接到直接連接到路由器的單獨 VLAN,以將其與包含所有有線設備的「員工」網路隔離。

相關內容