Comments 10
Коллеги, убедительная просьба не разводить, как в прошлый раз, бесполезную дискуссию на тему «ваша циска отстой, вендор ХYZ лучше». Может быть. Докажите. Напишите сами статью.
Спасибо.
Спасибо.
Обсуждение по ссылке интересное.
Мне кажется, вы описали далеко не самый простой способ подключить точку к контроллеру.
Не хочу писать статью, но скажу, как другие контроллеры подключают точки:
* Plug'n'Play на Layer2 — не нужно никаких IP-адресов, нужен только VLAN, который ведет до контроллера. Все остальное доезжает с контроллера.
* Plug'n'Play на Layer3 — через DHCP опцию без муторных hex-конверсий, и меньше геморроя на контроллере. Остальное доезжает с контроллера. Безопасность обеспечивается через автоматически устанавливаемый VPN (конфигурится только на контроллере — точки трогать не надо).
* Разрешение определенного (прошитого) DNS-имени — не нужно никаких DHCP-опций и т.д.
* Список статических адресов или хостнеймов (нужна предварительная настройка точки).
* Контроллера вообще нет — точки находят друг друга (L2/L3), авторизуются и образуют сеть.
* Все вышеперечисленное в заданной последовательности.
Та система, которую вы описываете более подходит для подключения Mesh-точек по воздуху — там действительно важны сертификаты и проверка подлинности, причем контроллера, т.к. прецеденты были :)
Не хочу писать статью, но скажу, как другие контроллеры подключают точки:
* Plug'n'Play на Layer2 — не нужно никаких IP-адресов, нужен только VLAN, который ведет до контроллера. Все остальное доезжает с контроллера.
* Plug'n'Play на Layer3 — через DHCP опцию без муторных hex-конверсий, и меньше геморроя на контроллере. Остальное доезжает с контроллера. Безопасность обеспечивается через автоматически устанавливаемый VPN (конфигурится только на контроллере — точки трогать не надо).
* Разрешение определенного (прошитого) DNS-имени — не нужно никаких DHCP-опций и т.д.
* Список статических адресов или хостнеймов (нужна предварительная настройка точки).
* Контроллера вообще нет — точки находят друг друга (L2/L3), авторизуются и образуют сеть.
* Все вышеперечисленное в заданной последовательности.
Та система, которую вы описываете более подходит для подключения Mesh-точек по воздуху — там действительно важны сертификаты и проверка подлинности, причем контроллера, т.к. прецеденты были :)
Plug'n'Play на Layer2 у циски тоже работает, на броадкаст 255.255.255.255. Я бы не советовал это использовать из-за неудобной диагностики, да и потом класть контроллер в тот же влан, где и точки — плохой дизайн (раньше LWAPP поддерживал L2 режим, его убрали)
Plug'n'Play на Layer3 — каких, простите, опций? список в студию! да и «мутные конверсии» делаются калькулятором влёт.
Разрешение по DNS-имени опять же есть (CISCO-CAPWAP-CONTROLLER.localdomain), но IMHO это хуже (настраивать лишнюю софтину), я и не стал про это писать.
Вообще тема подключения точек, их авторизации — сложная и местами нетривиальная, я и написал статью, чтобы избавить людей от чтения мутной доки, где много лишнего. И это не реклама циски, это «хозяйке на заметку», чтобы если что — время зря не тратить.
Plug'n'Play на Layer3 — каких, простите, опций? список в студию! да и «мутные конверсии» делаются калькулятором влёт.
Разрешение по DNS-имени опять же есть (CISCO-CAPWAP-CONTROLLER.localdomain), но IMHO это хуже (настраивать лишнюю софтину), я и не стал про это писать.
Вообще тема подключения точек, их авторизации — сложная и местами нетривиальная, я и написал статью, чтобы избавить людей от чтения мутной доки, где много лишнего. И это не реклама циски, это «хозяйке на заметку», чтобы если что — время зря не тратить.
Подключения L2 — типичная практика в кампусных сетях, когда точки доступа работают в режиме WLAN<->VLAN bridging (т.н. не роутят). Если они только бриджуют, и управляются с контроллера — зачем им давать IP-адрес вообще?
Подключения L3 P'nP, привожу пример с Motorola (с которой я плотно работаю). Опция 191, формат ASCII, можно указать следующее:
* список IP-адресов и/или хостнеймов контроллеров (две группы: вначале пытаемся связаться с первой, если никто из первой не ответил — со второй, так делается геокластеринг).
* UDP-порт если нужно использовать нестандартный
* параметры линка (макс. задержка heartbeat'ов и макс. количество heartbeat'ов, после которых считаем, что линк потерян)
* нужно ли автоматом поднимать VPN
* локальные твики протокола MiNT (расширение CAPWAP, который, как известно, хоть и открытый, но ни разу в чистом виде никем не использованный)
Все это зашивается в одну понятно читаемую ACSII строку. Точка достается из заводской упаковки, прошивка и тип точки (Dependent / Independent) значения не имеет. Включаем в сеть -> получаем адрес и опцию -> ищем контроллер -> договариваемся -> обновляем прошивку (если админ разрешил автообновление) -> получаем конфиг и применяем -> поднимаем VPN (если админ приказал) -> работаем. Ессно, есть исключения, но это, в основном, старое железо.
Теряем контроллер — работаем автономно (общаясь со всеми соседними точками для координации роуминга, FW, RRM и проч) пока не вернется контроллер (это только на Independent точках).
DNS опять же удобно в сильно сегментированных сетях где не хотят или не могут использовать DHCP Relay (иначе придется в каждый сегмент ставить DHCP сервер, настраивать опции и т.д.). Особенно во всяких силовых / финансовых и очень распределенных структурах. Если у вас 200 отделений (у каждого 1-2 точки) — как прикажете им DHCP настраивать? :)
Согласен, тема сложная и нетривиальная. Способ подключения зависит от выбранного дизайна, дизайн зависит от поставленной задачи и наличествующего окружения. Статья мне ваша понравилась, считаю ее полезной. Разве что, добавил бы в начало, что приведенный способ — не самый простой из доступных. А коммент, скажем так, для расширения кругозора фанбоев :)
Подключения L3 P'nP, привожу пример с Motorola (с которой я плотно работаю). Опция 191, формат ASCII, можно указать следующее:
* список IP-адресов и/или хостнеймов контроллеров (две группы: вначале пытаемся связаться с первой, если никто из первой не ответил — со второй, так делается геокластеринг).
* UDP-порт если нужно использовать нестандартный
* параметры линка (макс. задержка heartbeat'ов и макс. количество heartbeat'ов, после которых считаем, что линк потерян)
* нужно ли автоматом поднимать VPN
* локальные твики протокола MiNT (расширение CAPWAP, который, как известно, хоть и открытый, но ни разу в чистом виде никем не использованный)
Все это зашивается в одну понятно читаемую ACSII строку. Точка достается из заводской упаковки, прошивка и тип точки (Dependent / Independent) значения не имеет. Включаем в сеть -> получаем адрес и опцию -> ищем контроллер -> договариваемся -> обновляем прошивку (если админ разрешил автообновление) -> получаем конфиг и применяем -> поднимаем VPN (если админ приказал) -> работаем. Ессно, есть исключения, но это, в основном, старое железо.
Теряем контроллер — работаем автономно (общаясь со всеми соседними точками для координации роуминга, FW, RRM и проч) пока не вернется контроллер (это только на Independent точках).
DNS опять же удобно в сильно сегментированных сетях где не хотят или не могут использовать DHCP Relay (иначе придется в каждый сегмент ставить DHCP сервер, настраивать опции и т.д.). Особенно во всяких силовых / финансовых и очень распределенных структурах. Если у вас 200 отделений (у каждого 1-2 точки) — как прикажете им DHCP настраивать? :)
Согласен, тема сложная и нетривиальная. Способ подключения зависит от выбранного дизайна, дизайн зависит от поставленной задачи и наличествующего окружения. Статья мне ваша понравилась, считаю ее полезной. Разве что, добавил бы в начало, что приведенный способ — не самый простой из доступных. А коммент, скажем так, для расширения кругозора фанбоев :)
С моторолой познакомился, когда они выпустили своё первое WiMAX решение. Чуть ежа не родил, до чего ужас.
А сейчас читаю ваше описание того, как моторольные точки работают, и хоть убей не нахожу ни одной разницы с циской (в H-REAP режиме). Видимо, все вендоры так или иначе другу у друга идеи слизывают, плюс текучка кадров в пределах одной долины дает знать о себе :)
А сейчас читаю ваше описание того, как моторольные точки работают, и хоть убей не нахожу ни одной разницы с циской (в H-REAP режиме). Видимо, все вендоры так или иначе другу у друга идеи слизывают, плюс текучка кадров в пределах одной долины дает знать о себе :)
WiMAX от Motorola не имеет никакого отношения к Wi-Fi от Motorola. :)
Когда Symbol купил Telxon, часть Telxon'а сбежала и создала Aironet. Когда Symbol выпустил контроллер (патент на контроллерную архитектуру принадлежит Symbol), Airespace довела его до ума (заимев немало патентов на этом). В итоге Symbol куплен Motorola, а Aironet, Airespace, Cognio — Cisco. Так что, корни W-Fi у них одинаковые. Разница в том, что с ним сделали, но мы это уже обсуждали.
H-REAP/FlexConnect от Cisco — это реакция на технологии Aruba (RAP) и Motorola (AAP), да еще и с ограничениями на задержку и полосу пропускания, и не все сервисы доступны при потере контроллера. Aruba и Motorola перешли на распределенную архитектуру, а Cisco все еще выпускает припарки к H-REAP. Буду рад убедиться в обратном. Чтение всего H-REAP Deployment Guide не предлагайте :)
Когда Symbol купил Telxon, часть Telxon'а сбежала и создала Aironet. Когда Symbol выпустил контроллер (патент на контроллерную архитектуру принадлежит Symbol), Airespace довела его до ума (заимев немало патентов на этом). В итоге Symbol куплен Motorola, а Aironet, Airespace, Cognio — Cisco. Так что, корни W-Fi у них одинаковые. Разница в том, что с ним сделали, но мы это уже обсуждали.
H-REAP/FlexConnect от Cisco — это реакция на технологии Aruba (RAP) и Motorola (AAP), да еще и с ограничениями на задержку и полосу пропускания, и не все сервисы доступны при потере контроллера. Aruba и Motorola перешли на распределенную архитектуру, а Cisco все еще выпускает припарки к H-REAP. Буду рад убедиться в обратном. Чтение всего H-REAP Deployment Guide не предлагайте :)
Подскажите, а где возможно найти информацию о максимальном числе клиентов которых может обслужить точка доступа? Сейчас подбираю оборудование в офис, не могу найти информацию.
www.cisco.com/en/US/docs/wireless/controller/7.0/configuration/guide/c70ccfg.html#wp2039836
Грубо говоря, до 200 клиентов на радио (отдельно 2.4 и 5 Ггц). Это очень много, на практике рекомендую планировать до 30-50 клиентов на радио, смотря по типу трафика и параметрам помещения. Они же все общий частотный канал делят.
Грубо говоря, до 200 клиентов на радио (отдельно 2.4 и 5 Ггц). Это очень много, на практике рекомендую планировать до 30-50 клиентов на радио, смотря по типу трафика и параметрам помещения. Они же все общий частотный канал делят.
Sign up to leave a comment.
Подключение точек доступа к контроллеру Cisco Wi-Fi