Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: aabb 07. 03. 2018, 12:12:04
-
Vo firme mame na LAN pripojenych cez 200 zariadeni, tiez mame aj Wifi 2.4Ghz, kde je odhadom pripojenych cca 10-20 zariadeni. V celej budove su rozmiestnene cca 5 Wifi AP kvoli pokrytiu (nejaky zyxel za 300eur). Admin wifi siet nastavil tak, ze ma svoj IP rozsah (iny od LAN), ale zaroven cely datovy bordel, kadejake broadcasty z LAN chodia aj na wifi (Bridge mod?). Vseobecne je dlhodoby problem s nestabilitou wifi, odpajanim/pripajanim zariadeni. Niekedy aj konflikty IP adries, laicky povedane Wifi siet nestiha, no admin uz rezignoval...
Obcas potrebujem na wifi pripojit IoT zariadenie (ESP8266), ale modul niekedy az zamrza (tipujem, ze nestiha obsluhovat wifi prevadzku).
Ak som na LAN pripojil wifi router, vytvoril dalsiu wifi siet pre IoT schovanu za NAT, presmeroval potrebne porty, tak vsetko funguje super. Na IoT modul uz logicky nechodia broadcasty (odfiltrovalo ich NAT), modul uz nezamrza. Takto, to funguje super.
Teraz otazka, aky je spravny prisup k nastaveniu firemnej wifi siete? Tak, ako to je, "bridge", alebo ju oddelit od LAN za NAT a nechat presmerovane potrebne porty pre firemny software...? Resp ako inac sa to riesi?
Dakujem
-
Nejprve bych nahradil stávající AP něčím profesionálním. Předpokládám, že jsou tam nějaké určené pro SOHO, které nejsou stavěné na 20+ klientů. Co tam je?
-
Správné je mít wifi v bridgi, ideálně autentikaci pomocí IEEE 802.1X.
Popisované řešení je vhodné tak na wifi pro hosty firmy.
-
Nepoužívat hardware, který je určen ženám v domácnosti, na korporátní věci. Stačí?
-
zatím co jsem se setkal tak nejlepší kvalitu antén mají ruckusy... ap za 15-20 (610 třeba..)
gigabit uplinky do switchů z AP
samozřejmě pro místní Radius autentikace, rozdělení na 2 wifiny - ten kdo se autentikuje je v lan, ten kdo ne je v "guest" síti ... odroutovaná jinam, oddělená..
-
VLAN pro přihlášené (RADIUS), VLAN pro hosty bez přístupu kamkoliv mimo internetu a odpovídající HW (ne, ty domácí krabky to fakt nejsou.)
-
Já bych doporučil ápéčka Open Mesh, levnější než ruckusy, velmi kvalitní, cloudově řízené, málo poruchové.
-
WiFi AP je vzdycky z principu fungovani bridge, ktery do L3 nijak nezasahuje, neboli extenduje broadcastovou domenu. Tu naopak deli router. A to je i odpoved na tazatelovu otazku, vse dalsi uz zodpovi bohate i Google
-
dakujem za odpovede, su na to vhodne aj AP od Mikrotik, alebo Ubiquty?
-
dakujem za odpovede, su na to vhodne aj AP od Mikrotik, alebo Ubiquty?
Ubiquity urcite.
-
Teraz otazka, aky je spravny prisup k nastaveniu firemnej wifi siete?
Zdar, kolegove uz vyse zminovali cosi o vymene hardware.. Jo, zyxel není aruba. Ale před nějakými zběsilými nákupy je třeba se zamyslet co od té sítě chceš, a věnovat nějaký čas architektuře a návrhu konfigu. Jestli je tam má pár lidí pár telefonů se kterejma chtěj na Internety, tak nepotřebuješ rovnou boxy od ciska.
ale zaroven cely datovy bordel, kadejake broadcasty z LAN chodia aj na wifi
To mi nepřijde jako OK. Jestli chceš ten problém začít řešit teď, tak bych bezdrátové sítě rozhodil na:
1) wifi/IP síť /VLAN/ SSID pro firemní zařízení - v ní zpřístupníš VPN koncentrátor u kterého se ti důvěryhodná zařízení autentizují, a ty jim přes VPN zpřístupníš firemní aplikace/shary etc.
2) wifi/IP síť /VLAN/ SSID pro BYOD - jen Internet přes firewall kde si nakonfíš co těmhle zařízením povolíš
3) wifi/IP síť / VLAN/ SSID pro IoT - tam zakážeš všechno kromě tvý IoT gatewaye. Není třeba aby IoT se pokoušelo volat domů někam do Ivanova/Číny atd. Taky tvý IoT asi nemusí mít přístup k účetnictví a emailovému serveru, řekl bych.
Výhodou je, že tenhle setup uděláš skoro s každou krabkou, a postupně až dokoupíš lepší HW, tak můžeš modulárně vylepšovat setup. Pokud ti někdo nějakou krabku kompromituje, pořád musí ještě překonat VPN koncentrátor/elementární sekuritu v IoT gateway, a nemá automaticky přístup k firemním datům.