kali píše:Ako riesite manazment a dohlad klientskych wireless CPE (UBNT / MIKROTIK)?
Hlavne ma zaujimaju pripady:
1. Ak im PPPoE davate priamo na wireless interface klientskeho CPE (napr. NanoStation / Mikrotik) a IP su pridelovane z dynamickeho poolu?
Takto mame pripojenych 99% radiovych klientov (ze maju PPPoE priamo vo Wifi zariadeni na jeho WAN=Wifi strane). Mame k tomu napisany nastroj, ktory si z SQL databazy (radacct) vyberie aktualnu IP klienta, a cez SSH sa na neho pripoji, a vytiahne si zo zariadenia udaje o sile a kvalite signalu, aktualnom SSID (kedze to je tiez dynamicke, kedze PPPoE klient sa moze pripojit kdekolvek v sieti), atd.
Zaroven pre tooly ktore nemame moznost takto "priohnut" (typicky priklad je smokeping, ktory chce mat zadane IP adresu alebo hostname napevno), mame DNS cez PowerDNS, ktore je tiez postavene nas SQL, a vytvara sa priamo aj z radacct. Inymi slovami, ked sa mi pripoji klient na radius, vznikne k nemu hned aj DNS nazov jeho_login.nieco.domena.net a smokeping potom pracuje s tymto hostname, ktory vzdy ukazuje priamo na klienta, bez ohladu na jeho IP.
kali píše:2. Ak zakaznik vyzduje PPPoE priamo na WAN routru a CPE nastavite na bridge?
Toto je velmi male mnozstvo pripadov. Riesime to dvoma sposobmi.
1) Ak Wifi CPE zariadenie sluzi iba pre jedneho jedineho klienta, naroutujene na neho cez Radius aj dalsi IP pool (napriklad 4 IP). Na CPE sa vypne NAT. PPPoE sa nastavi do CPE na WAN stranu ako v predchadzajucom pripade, dohladuje sa to tiez presne rovnako ako predchadzajuci pripad. Klient si do svojho routra nastavuje staticku IP adresu z toho 4 IP poolu.
2) Ak Wifi CPE sluzi pre viac klientov pripojenych na LAN strane, v tomto pripade je CPE povazovane za sucast nasej infrastruktury, nie za zariadenie zakaznika. Ma staticku IP adresu, manazuje sa cez manazment VLAN, a na LAN port je pre klientov vytiahnuta nejaka access VLAN, v ktorej to pouzivaju presne tak, ako keby tam ziadny radiovy spoj nebol.
kali píše:3. Dovolujete klientom vstupovat do manazmentu? (snad nie)
Na poziadanie ano. Kazde CPE ma ine, nahodne generovane heslo. Technik nastavuje do CPE pri montazi dohodnute univerzalne heslo, a nasledne v priebehu par minut si to odchyti dohladovaci skript (popisany v bode 1) a okrem vytihanutia sily signalov, CCQ, a dalsich veci, zmeni tiez univerzalne heslo na nahodne vygenerovane, zaloguje ho, a pripadne tiez upgraduje firmware v CPE, ak je tam starsia (deprecated) verzia.
kali píše:Teraz to napr. riesime cez Aircontrol, ale tam maju CPE a AP vzdy staticke IP, co samozrejme pri vytacani cez PPPoE a prideleni adresy z dynamickeho poolu uz nebude platit...
Nam prisiel Aircontrol ako pomaly, vyzraty, s obcasne divnym spravanim, takze isiel prec. Ak Aircontrol dokazde pracovat s DNS nazvami hostov ako primarnym identifikatorom, dal by sa mozno pouzivat tym sposobom, ze by sa podla radacct generoval obsah DNS zony (vid vyssie), a Aircontrol by sa pripajal stale na tie iste hostnames, bez ohladu na to, ako sa menia IPky. My sme ale, ako pisem, Aircontrol dali uplne prec a napisali sme na to samostatny nastroj, ktory sluzi na dohladovanie zariadeni. Dohladuje nam to aj ine typy CPE ktore pouzivame (2,4GHz Wline, HCNA modemy pre koax siet, ...)
kali píše:Zaujima ma, ako sledujete napr. historiu sily signalu na CPE voci AP... Resp. podla coho posudzujete, ci sa klientovi zhorsil signal, alebo ci je problem na celom AP resp. iba u klienta...
Kazdych par hodin cez spominany nastroj, pre kazdeh klienta logujeme do SQL silu signalu, CCQ, SSID, pracovnu frekvenciu, uptime, vzdialenost od AP, a asi desiatku dalsich parametrov. Potom sa da velmi pekne v historii merani vidiet, ze ci sa klientovi zhorsil signal "len tak" bez viditelnej inej zmeny, alebo sa zaroven so signalom zmenila frekvencia (preladenie AP), alebo sa zhorsili vsetci klienti naraz (problem na AP), atd. Samozrejme tych zaznamov je dost vela, radovo sa bliziace k milionu merani za mesiac, takze to vyzaduje nasledy housekeeping, ktory menej dolezite zaznamy po urcitom case likviduje.
kali píše:Taktiez by ma zaujimalo, ci niekto pouzivate framde-ip-address v kombinacii s RIPv2. Planujeme cely routing riesit v OSPF, ale, momentalne mame nasadene RIPv2, tak to zatial testujeme a rozbiehame cez to...
Dakujem
Skratka RIP znamena Rest In Peace (Odpocivaj v pokoji), takto sa k RIPu staviame aj my. Routing riesime v OSPF, kam su injektovane niektore routy aj priamo z PPPoE (ak ma klient zaplatenu staticku IP adresu, tak sa tato adresa s maskou /32 propaguje cez OSPF do siete z toho routra, na ktorom je prave cez PPPoE prihlaseny).