Комментарии 27
Бесшовность есть, или там RSSI, только?
Не очень понял, если честно, чего добились… Переложили работу с секретарей на сотрудинков, которые приводят гостей?
А если гость немец? А если Итальянец? Бедный сотрудник ковыряется в его телефоне пытаясь объяснить, что сейчас (может быть, если не потеряется) придет СМС, и надо будет попрыгать на ушах? А если у гостя нет мобильного телефона? — В общем, из этой схемы, сотруднику будет проще всех гостей на себя зарегать. Теперь ваш сотрудник — секретариатом подрабатывать будет, возможно. Плюс ещё и кучу сотрудников надо научить, полагаю…
Ну как-то так. В общем, просто и удобно, это по-прежнему не выглядит. Но это не ваша вина, это, скорее всего черезпопность WiFi как такового.
Я правильно понимаю, что у Вас установлена Windows Server на контроллерах? Все лицензии CAL для точек доступа — приобрели? Это ж тоже деньги… + Виртуализировать лицензионную Windows отличную от DataCenter, очень дорого.
Не очень понял, если честно, чего добились… Переложили работу с секретарей на сотрудинков, которые приводят гостей?
А если гость немец? А если Итальянец? Бедный сотрудник ковыряется в его телефоне пытаясь объяснить, что сейчас (может быть, если не потеряется) придет СМС, и надо будет попрыгать на ушах? А если у гостя нет мобильного телефона? — В общем, из этой схемы, сотруднику будет проще всех гостей на себя зарегать. Теперь ваш сотрудник — секретариатом подрабатывать будет, возможно. Плюс ещё и кучу сотрудников надо научить, полагаю…
Ну как-то так. В общем, просто и удобно, это по-прежнему не выглядит. Но это не ваша вина, это, скорее всего черезпопность WiFi как такового.
Я правильно понимаю, что у Вас установлена Windows Server на контроллерах? Все лицензии CAL для точек доступа — приобрели? Это ж тоже деньги… + Виртуализировать лицензионную Windows отличную от DataCenter, очень дорого.
Про гостей — гость авторизуется обычным Captive Portal. Ему приходит SMS примерно такого вида: «Network: jet.guest login: 12345 password: 6789». Он подключается к открытой сети jet.guest, пытается открыть любой сайт, и ему вылезает форма авторизации, где надо ввести логин и пароль. Мобильники и планшеты обычно сами выдают уведомление, что сеть требует авторизации.
Схема с EAP-TTLS (когда для подключения надо «ковыряться в телефоне») используется для собственных устройств сотрудников, компьютеров внештатных сотрудников и других «долгих» сценариев, которые не на один день.
Бесшовность — имеется в виду 802.11r? Есть, пробовали, но выключили — разницы с точки зрения юзабилити не увидели, но наблюдали проблемы с некоторыми устройствами.
На контроллерах — да, Windows Server 2012, про лицензироание не знаю, не подскажу, но допускаю, что действительно используется вариант DataCenter.
Лицензии CAL, а также лицензию Access Management NBI для работы SOAP API — да, приобрели. Разумеется, договорились о скидках, без скидок оно несколько кусается, да.
Схема с EAP-TTLS (когда для подключения надо «ковыряться в телефоне») используется для собственных устройств сотрудников, компьютеров внештатных сотрудников и других «долгих» сценариев, которые не на один день.
Бесшовность — имеется в виду 802.11r? Есть, пробовали, но выключили — разницы с точки зрения юзабилити не увидели, но наблюдали проблемы с некоторыми устройствами.
На контроллерах — да, Windows Server 2012, про лицензироание не знаю, не подскажу, но допускаю, что действительно используется вариант DataCenter.
Лицензии CAL, а также лицензию Access Management NBI для работы SOAP API — да, приобрели. Разумеется, договорились о скидках, без скидок оно несколько кусается, да.
Про гостей — гость авторизуется обычным Captive Portal. Ему приходит SMS примерно такого вида: «Network: jet.guest login: 12345 password: 6789». Он подключается к открытой сети jet.guest, пытается открыть любой сайт, и ему вылезает форма авторизации, где надо ввести логин и пароль. Мобильники и планшеты обычно сами выдают уведомление, что сеть требует авторизации.
Стоп, стоп, стоп… — Я правильно понимаю, что я сейчас подкачу на своём велосипеде к Вашему зданию, подключусь с левой симки по СМС и расскажу в Интернет, всяких гадостей, а потом вы будете за меня отдуваться?
Лицензии CALЭто ничего не стоит, в сравнении с лицензированием самой Windows по ядрам в кластере виртуализации. — Вы правда это сделали, ради такой задачи? :)
> подключусь с левой симки по СМС и расскажу в Интернет, всяких гадостей, а потом вы будете за меня отдуваться?
Не так. Вы дожны прийти ко мне в гости. Я, под своей учеткой, зайду на внутренний корпоративный портал, введу ваш телефон, и вам на него придет смс. Дальше вы подключитесь к Интернету.
В логах сохраняется, какой сотрудник запросил гостевой доступ для гостя с каким мобильинком. Т. е. в случае чего отдуваться будем вместе.
Не так. Вы дожны прийти ко мне в гости. Я, под своей учеткой, зайду на внутренний корпоративный портал, введу ваш телефон, и вам на него придет смс. Дальше вы подключитесь к Интернету.
В логах сохраняется, какой сотрудник запросил гостевой доступ для гостя с каким мобильинком. Т. е. в случае чего отдуваться будем вместе.
Бесшовность — имеется в виду 802.11r? Есть, пробовали, но выключили — разницы с точки зрения юзабилити не увидели, но наблюдали проблемы с некоторыми устройствами.
Нет, имеется ввиду, костыльная бесшовность, как в Cisco, когда контроллер умный, и перекидывает клиента с точки на точку сам, без посылки каких бы то ни было пакетов клиенту… Как бесшовность покрытия у вас сделана в итоге? Это ведь самое главное в WiFi сети… В этом, не побоюсь этого слова, убогом мире WiFi… — Все деньги лежат именно тут при постройке реально годной сети. А у Вас чего? Каждая точка сама по себе вещает свой SSID, просто? :) Точно эти инвестиции стоили того?
Это вам где про такое рассказали? Похоже, что кто-то заблуждается.
Такая «бесшовность» как вы описали, насколько мне известно, была только у Wi-Fi решений компании Meru Networks (не знаю, продолжил ли эту тему Fortinet, что их купил). Single Channel Architecture, очень специфичная штука.
Во всех остальных случаях решение переключится на другую точку по некому триггеру принимает клиент. Костыли, это «отстрел» слабых клиентов, с RSSI (на точке) ниже порогового + гистерезис. Такие костыли у всех наверно есть. Иногда они помогают, но иногда сильно мешают.
Если же что-то и хотеть от роуминга, то нужна поддержка 11k (список соседних точек, кандидатов) и .11v для большей гибкости. Кто забыл, хорошо описано тут. Причем такая поддержка обязательна со стороны клиента. Иначе чуда не случается. А если есть поддержка на точках/контроллере и клиентах, то тут нужен дизайн сети годный, чтобы в местах, где ходят люди было слышно 2 точки доступа с хорошим уровнем, стремищемся к -65дБм.
Всё остальное, что говорят про «бесшовность» это фантастика. Швы всегда будут, но если вы видите на своём экране что-то такое, то вы на пути к успеху…
Моё инженерное мнение, сеть с быстрым роумингом, можно построить на любом приличном вендоре, но деньги нужно потратить на проектирование, которое подскажет сколько точек нужно в вашем случае, для ваших устройств, которые, конечно же, поддерживают вспомогательные протоколы, k/v/r. А про понятие «бесшовный» роуминг, лучше забыть…
Такая «бесшовность» как вы описали, насколько мне известно, была только у Wi-Fi решений компании Meru Networks (не знаю, продолжил ли эту тему Fortinet, что их купил). Single Channel Architecture, очень специфичная штука.
Во всех остальных случаях решение переключится на другую точку по некому триггеру принимает клиент. Костыли, это «отстрел» слабых клиентов, с RSSI (на точке) ниже порогового + гистерезис. Такие костыли у всех наверно есть. Иногда они помогают, но иногда сильно мешают.
Если же что-то и хотеть от роуминга, то нужна поддержка 11k (список соседних точек, кандидатов) и .11v для большей гибкости. Кто забыл, хорошо описано тут. Причем такая поддержка обязательна со стороны клиента. Иначе чуда не случается. А если есть поддержка на точках/контроллере и клиентах, то тут нужен дизайн сети годный, чтобы в местах, где ходят люди было слышно 2 точки доступа с хорошим уровнем, стремищемся к -65дБм.
Всё остальное, что говорят про «бесшовность» это фантастика. Швы всегда будут, но если вы видите на своём экране что-то такое, то вы на пути к успеху…
Моё инженерное мнение, сеть с быстрым роумингом, можно построить на любом приличном вендоре, но деньги нужно потратить на проектирование, которое подскажет сколько точек нужно в вашем случае, для ваших устройств, которые, конечно же, поддерживают вспомогательные протоколы, k/v/r. А про понятие «бесшовный» роуминг, лучше забыть…
Ну у CISCO ведь издавна были контроллеры, и вот это вот всё для бесшовного роуминга, и там контроллер каким то чудом очень быстро перекидывал клиента с точки на точку, до изобретения k/v/r… Разве не так? RSSI — костыль, конечно.
Была такая проприетарная тема CCX и если клиентские устройства поддерживали алгоритмы, то некий AP-assisted-roaming был теоретически возможен. Практически же он зависил от корректности дизайна Wi-Fi сети. Потом Альянс сделал Voice Enterprise Certification. Если хотите понять, вот тут хорошо представлено. Итак, если вендорское и клиентское оборудование поддерживает Voice Enterprise, инженер прочитал и понял CWDP курс, в дополнении к вендорскому Design Guide, потом сеть была хорошо спроектирована, построена, настроена и протестирована, то да, у вас будет быстрый роуминг. Понимаете, сколько факторов? Можете еще годную статью на тему прочесть, чтобы уложилось в голове: Роуминг в сетях WiFi — 802.11i/r/k/v/OKC, что нам действительно нужно и как это распознать
Например мой Samsung S8 поддерживает сертификацию, что видно на сайте wi-fi.org
Cовременные iPhone давно не заморачиваются с сертификацией Wi-Fi Альянса, но честно поддерживают 802.11k/r/v и способны работать адекватно. А если закачзик требует «бесшовного роуминга» для всего его зоопарка устройств, технически это невозмножно, как бы он не пыжился, начитавшись маркетинговых материалов.
Например мой Samsung S8 поддерживает сертификацию, что видно на сайте wi-fi.org
Cовременные iPhone давно не заморачиваются с сертификацией Wi-Fi Альянса, но честно поддерживают 802.11k/r/v и способны работать адекватно. А если закачзик требует «бесшовного роуминга» для всего его зоопарка устройств, технически это невозмножно, как бы он не пыжился, начитавшись маркетинговых материалов.
А вот интересно. Вы много раз упомянули компанию Huawei, а известно ли вам что-то о наличии или отсутствии в них недокументированных функций для удаленного доступа сотрудников Huawei? Например, делали ли вы анализ трафика для проверки, не "отзваниваются" ли эти устройства производителю, какую информацию передают, с какой периодичностью? Нет ли у них открытых портов или иных средств для удаленного доступа? Тем более, что тут обрабатываются персональные данные.
Ну и не очень понятно, зачем такая сложная схема для доступа. Разве нельзя просто сделать отдельную изолированную подсеть для гостей и периодически менять к ней пароль? Система с СМС выглядит как усложнение, хотя, может, для больших компаний это нормально.
> Например, делали ли вы анализ трафика для проверки, не «отзваниваются» ли эти устройства производителю
Анализ всего передаваемого в Интернет трафика у нас в определенной степени делается, не только для устройств Huawei, но и вообще для всего, что использует наш Интернет-канал. Ничего сверхъестественного пока не нашли.
Анализа на отсутствие недокументированных возможностей (аппаратных закладок) мы не делали, это прерогатива ФСБ.
Ну и по поводу сети для гостей с периодической сменой пароля — обсуждался и такой вариант, решили всё же сделать прилично, чтобы можно было показывать клиентам. Опять же, если дойдет до расследования инцидента — хорошо бы, чтобы в логах оставались следы.
Анализ всего передаваемого в Интернет трафика у нас в определенной степени делается, не только для устройств Huawei, но и вообще для всего, что использует наш Интернет-канал. Ничего сверхъестественного пока не нашли.
Анализа на отсутствие недокументированных возможностей (аппаратных закладок) мы не делали, это прерогатива ФСБ.
Ну и по поводу сети для гостей с периодической сменой пароля — обсуждался и такой вариант, решили всё же сделать прилично, чтобы можно было показывать клиентам. Опять же, если дойдет до расследования инцидента — хорошо бы, чтобы в логах оставались следы.
Внимательно прочёл. Даже два раза. Лично для меня статья — антиреклама решений HUAWEI WiFi.
Я с 2014 года мучаюсь с китайской WiFi. Все решение — « одеяло из лоскутков». Нет системного подхода. Windows, Java, Tomcat, Сертификация из AD. Как со всей этой свалкой управляться?
Ну ладно бы если подобное решение реализовали бы в Европе. Но как я понял, реализовано в России? И это при том, что в России отличные реализации WiFi сетей.
К счастью, у меня на Хозяйстве только публичный WiFi на HUAWEI. И « перестройка» на нормальные системы управления практически закончилась
Я ничего не имею против Access Point и контроллеров от HUAWEI. Но разве не понятно стало в 2019 году, что основа сети — это управляющие системы, нормальные системы сертификации.
Я с 2014 года мучаюсь с китайской WiFi. Все решение — « одеяло из лоскутков». Нет системного подхода. Windows, Java, Tomcat, Сертификация из AD. Как со всей этой свалкой управляться?
Ну ладно бы если подобное решение реализовали бы в Европе. Но как я понял, реализовано в России? И это при том, что в России отличные реализации WiFi сетей.
К счастью, у меня на Хозяйстве только публичный WiFi на HUAWEI. И « перестройка» на нормальные системы управления практически закончилась
Я ничего не имею против Access Point и контроллеров от HUAWEI. Но разве не понятно стало в 2019 году, что основа сети — это управляющие системы, нормальные системы сертификации.
Просто у китайцев другой подход к жизни, видимо.
Знаю несколько случаев, когда неоднократно вызывали китайских инженеров, которые по месту допиливали прошивку контроллера…
Или вот как-то на радиообследовании автономную точку запускали, активное обследование делали, кадры захватывали, retry смотрели и все такое… после перестановки точки на новое место смотрим, а точка на другой канал ушла, сама. Причем в консоли все норм показывает. Такие дела с этим Huawei. Но надежда, что они начнут делать лучше, она еще есть…
Знаю несколько случаев, когда неоднократно вызывали китайских инженеров, которые по месту допиливали прошивку контроллера…
Или вот как-то на радиообследовании автономную точку запускали, активное обследование делали, кадры захватывали, retry смотрели и все такое… после перестановки точки на новое место смотрим, а точка на другой канал ушла, сама. Причем в консоли все норм показывает. Такие дела с этим Huawei. Но надежда, что они начнут делать лучше, она еще есть…
Первый раз о компании Huawei и ее оборудовании я услышал в 2001 году. За прошедшие 18 лет они изменились просто космически, и продолжают меняться. Конкурентам, я считаю, следует сделать определенные выводы.
Согласен. У них есть все шансы, но резкого прорыва я не ожидаю.
Квадратик за 2018 думаю актуален. Ну, может чуток продвинется.
По новому квадратику пока вроде нет публикаций открытых. Но в качестве разработки именно Wi-Fi им еще есть куда стремиться, это моё личное мнение. Надеюсь, что они подтянутся за остальными. Кстати, может кто знает, когда у Huawei появилась первая Wi-Fi линейка?
Квадратик за 2018 думаю актуален. Ну, может чуток продвинется.
По новому квадратику пока вроде нет публикаций открытых. Но в качестве разработки именно Wi-Fi им еще есть куда стремиться, это моё личное мнение. Надеюсь, что они подтянутся за остальными. Кстати, может кто знает, когда у Huawei появилась первая Wi-Fi линейка?
Все ваши вопросы — к продукту Huawei Agile Controller Campus. Да, продукт сложный, архитектура его неидеальна, местами загадочна. Тем не менее, наши задачи он решает.
Справедливости ради — продукт активно развивается. Новые версии уже будут не на Windows/MS SQL.
Справедливости ради — продукт активно развивается. Новые версии уже будут не на Windows/MS SQL.
Традиционно это осуществляется путем обхода всех помещений с ноутбуком, утыканном адаптерами для измерений, и настроенным ПО AirMagnet. В каждом помещении нужно сделать несколько замеров, зафиксировав положение ноутбука.
Думаю, что эту традицию можно смело менять. Понимаю, что динозавр еще жив, и денег было заплачено не мало, но есть более интересные и удобные решения. Sidekick на бок, iPad mini (весом 300гр) в руку и пошел, делать сёрвей… А этим роботом вы конечно хорошо пошутили… Кликал то на карте кто у вас, отмечая места «а вот я сейчас тут»?
Об « активном развитии HUAWEI WiFi « мы услышали много сказок ещё в 2014 году. Когда HUAWEI подписался на спонсорство у FC Schalke 04 и BVB.
Претензий к железу было много, но китайцы достаточно быстро, « на коленке « исправляли прошивки Access Point & Controller.
Проблема совсем в другом. управляющие системы. В 2019 году ничего не изменилось. Все та же сборная солянка, надерганная « с миру по нитке». Жить с таким хозяйством не возможно. И я, и коллеги из BVB — в процессе перестройки.
Мы слишком поздно поняли стратегию Huawei. Вы повторяете наши ошибки. HUAWEI интересует только продажа железа. А вот какой Radius, Datenbank, DHCP вам втопить — им безразлично.
Вот только работать с этим хозяйством вам.
Претензий к железу было много, но китайцы достаточно быстро, « на коленке « исправляли прошивки Access Point & Controller.
Проблема совсем в другом. управляющие системы. В 2019 году ничего не изменилось. Все та же сборная солянка, надерганная « с миру по нитке». Жить с таким хозяйством не возможно. И я, и коллеги из BVB — в процессе перестройки.
Мы слишком поздно поняли стратегию Huawei. Вы повторяете наши ошибки. HUAWEI интересует только продажа железа. А вот какой Radius, Datenbank, DHCP вам втопить — им безразлично.
Вот только работать с этим хозяйством вам.
> Вот только работать с этим хозяйством вам.
Мы и не отказываемся. Мы — интегратор, наша основная работа — помочь заказчику справиться с его зоопарком.
Мое мнение — «хороших» вендоров не бывает. Допускаю правда, что это профдеформация, потому что когда всё хорошо работает (т. е. без напильника и интуитивно понятно), нас не зовут.
Мы и не отказываемся. Мы — интегратор, наша основная работа — помочь заказчику справиться с его зоопарком.
Мое мнение — «хороших» вендоров не бывает. Допускаю правда, что это профдеформация, потому что когда всё хорошо работает (т. е. без напильника и интуитивно понятно), нас не зовут.
Справедливости ради, надо сказать, что и у остальных вендоров продукты не далеко ушли.
Каждый пилит под себя. Универсальных инструментов для удобного управления WiFi сетями практически нет на рынке. Очень сложно эксплуатировать сети без привязки к конкретному вендору.
Вот и приходится нам, " фронтовикам", допиливать, оставленное интеграторами.
У меня к 2016 году в эксплуатации было 7!!!! SSID. И у каждой свой Radius, фронтент и т.д.
Поседеть можно. К счастью " перестройка" практически заканчивается.
У нас «Будущее» уже начинается. Сети 5Г начинают запускаться потихоньку. WiFi будет составной частью. Системы AAA будут перестроены под 5G/4G/WiFi.
Информация к размышлению — большие общественные сети в Германии практически 1 в 1 копируют концепт МТ Hotspot 2.0, великолепно описанный тут же
Меня несколько раз просили переводить блог МТ :)
Каждый пилит под себя. Универсальных инструментов для удобного управления WiFi сетями практически нет на рынке. Очень сложно эксплуатировать сети без привязки к конкретному вендору.
Вот и приходится нам, " фронтовикам", допиливать, оставленное интеграторами.
У меня к 2016 году в эксплуатации было 7!!!! SSID. И у каждой свой Radius, фронтент и т.д.
Поседеть можно. К счастью " перестройка" практически заканчивается.
У нас «Будущее» уже начинается. Сети 5Г начинают запускаться потихоньку. WiFi будет составной частью. Системы AAA будут перестроены под 5G/4G/WiFi.
Информация к размышлению — большие общественные сети в Германии практически 1 в 1 копируют концепт МТ Hotspot 2.0, великолепно описанный тут же
Меня несколько раз просили переводить блог МТ :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как мы строили Wi-Fi на Huawei