Wifi siet cca 200AP
Napsal: 14 Oct 2015 09:41
Dobry den Pani.
Som tu novy a nejakou stastnou nahodou sa mi podarilo dostat sa k wifi sieti o cca 1000 uzivateloch a cca 200 APckach. Chcel by som Vas poprosit o nazory/napady ako danu siet vylepsit. Samozrejme najprv Vam popisem situaciu.
Siet je v podstate stromovej struktury. S tym ze najdlhsi mozny bod je povedze aj cez cca 6-7 ptp skokov. To znamena ze k hlavnemu routru je pripojenych niekolko wifin ktore strielaju signal bod bod na rozne smery. Tam sa su nasledne pripojene apcka ktore signal posielaju do miesta koncovym zakaznikom a takisto ( ak je vyzadujuce) dalsi bod bod spoj do dalsich miest. Momentalne je vsetko riesenie routovanou sietou. t.z. ze sa to proste vsetko pomaly nabaluje (t.z. ze napriklad z posledneho hopu to prilezie na router cez 8-10 default gw) a konci to v routry kde to cez nat fici von cez jednu ipecku. Toto sa mi velmi nepaci ako riesenie ( ak sa mylim, kludne ma prosim Vas opravte). Ja by som skor mal predstavu taku ze kazdom ap ( mikrotik) by sa zakaznici pripojili tam sa oshejpovali a nasledne VLANou by prisli az na router kde by bud kazde ap,alebo oblast alebo mesto isli von cez svoju verejnu ip. Odhliadnuc samozrejme od zakaznikov ktori si verejnu ip platia a maju staticku. Moja otazka znie je to dobry napad nakolko to bude obnasat vsade spravit VLAN bridge po celej ceste. Ja v tom vidim vyhody --> budem presne vidiet ktorou vlanou ( oblastou,mestom atd) kolko dat prichadza, po celej trase mi to pojde v l2. Bude hlavicka VLAN zbytocne zatazovat wifi siet? Alebo mate ine napady prosim Vas?
Mojou druhou otazkou je ako riesit zabezpecenie. Momentalne sa end usery prihlasuju na ap kde je povolena ich mac. Samozrejme ktokolvek malo zrucnejsi vie toto zneuzit. Napadla ma autentifikacia 802.1x cez radius , pripadne ine myslienky?
Pani vopred Vam velmi pekne dakujem za akekolvek nazory a rady pripadne zaujimavu diskusiu.
V kratkosti o mne. V minulosti som adminoval sam cely internat o cca 1000 ludoch, kde som mal na starosti od vrtania dier pre ethernetove kable az po multicast vsetko. Pisem to preto, ze zo sietovo/technickej oblasti som ok , horsie je to s radiami ako takymi a routeros je pre mna novy aj ked uz si "tykame" .
Tak este raz dakujem.
S pozdravom Stanke
Som tu novy a nejakou stastnou nahodou sa mi podarilo dostat sa k wifi sieti o cca 1000 uzivateloch a cca 200 APckach. Chcel by som Vas poprosit o nazory/napady ako danu siet vylepsit. Samozrejme najprv Vam popisem situaciu.
Siet je v podstate stromovej struktury. S tym ze najdlhsi mozny bod je povedze aj cez cca 6-7 ptp skokov. To znamena ze k hlavnemu routru je pripojenych niekolko wifin ktore strielaju signal bod bod na rozne smery. Tam sa su nasledne pripojene apcka ktore signal posielaju do miesta koncovym zakaznikom a takisto ( ak je vyzadujuce) dalsi bod bod spoj do dalsich miest. Momentalne je vsetko riesenie routovanou sietou. t.z. ze sa to proste vsetko pomaly nabaluje (t.z. ze napriklad z posledneho hopu to prilezie na router cez 8-10 default gw) a konci to v routry kde to cez nat fici von cez jednu ipecku. Toto sa mi velmi nepaci ako riesenie ( ak sa mylim, kludne ma prosim Vas opravte). Ja by som skor mal predstavu taku ze kazdom ap ( mikrotik) by sa zakaznici pripojili tam sa oshejpovali a nasledne VLANou by prisli az na router kde by bud kazde ap,alebo oblast alebo mesto isli von cez svoju verejnu ip. Odhliadnuc samozrejme od zakaznikov ktori si verejnu ip platia a maju staticku. Moja otazka znie je to dobry napad nakolko to bude obnasat vsade spravit VLAN bridge po celej ceste. Ja v tom vidim vyhody --> budem presne vidiet ktorou vlanou ( oblastou,mestom atd) kolko dat prichadza, po celej trase mi to pojde v l2. Bude hlavicka VLAN zbytocne zatazovat wifi siet? Alebo mate ine napady prosim Vas?
Mojou druhou otazkou je ako riesit zabezpecenie. Momentalne sa end usery prihlasuju na ap kde je povolena ich mac. Samozrejme ktokolvek malo zrucnejsi vie toto zneuzit. Napadla ma autentifikacia 802.1x cez radius , pripadne ine myslienky?
Pani vopred Vam velmi pekne dakujem za akekolvek nazory a rady pripadne zaujimavu diskusiu.
V kratkosti o mne. V minulosti som adminoval sam cely internat o cca 1000 ludoch, kde som mal na starosti od vrtania dier pre ethernetove kable az po multicast vsetko. Pisem to preto, ze zo sietovo/technickej oblasti som ok , horsie je to s radiami ako takymi a routeros je pre mna novy aj ked uz si "tykame" .
Tak este raz dakujem.
S pozdravom Stanke
