Nastavení Wi-Fi sítě ve firmě

aabb

Nastavení Wi-Fi sítě ve firmě
« kdy: 07. 03. 2018, 12:12:04 »
Vo firme mame na LAN pripojenych cez 200 zariadeni, tiez mame aj Wifi 2.4Ghz, kde je odhadom pripojenych cca 10-20 zariadeni. V celej budove su rozmiestnene cca 5 Wifi AP kvoli pokrytiu (nejaky zyxel za 300eur). Admin wifi siet nastavil tak, ze ma svoj IP rozsah (iny od LAN), ale zaroven cely datovy bordel, kadejake broadcasty z LAN chodia aj na wifi (Bridge mod?). Vseobecne je dlhodoby problem s nestabilitou wifi, odpajanim/pripajanim zariadeni. Niekedy aj konflikty  IP adries, laicky povedane Wifi siet nestiha, no admin uz rezignoval...
Obcas potrebujem na wifi pripojit IoT zariadenie (ESP8266), ale modul niekedy az zamrza (tipujem, ze nestiha obsluhovat wifi prevadzku).
Ak som na LAN pripojil wifi router, vytvoril dalsiu wifi siet pre IoT schovanu za NAT, presmeroval potrebne porty, tak vsetko funguje super. Na IoT modul uz logicky nechodia broadcasty (odfiltrovalo ich NAT), modul uz nezamrza. Takto, to funguje super.

Teraz otazka, aky je spravny prisup k nastaveniu firemnej wifi siete? Tak, ako to je, "bridge", alebo ju oddelit od LAN za NAT a nechat presmerovane potrebne porty pre firemny software...? Resp ako inac sa to riesi?
Dakujem
« Poslední změna: 07. 03. 2018, 12:21:24 od Petr Krčmář »


Tom K

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #1 kdy: 07. 03. 2018, 12:59:17 »
Nejprve bych nahradil stávající AP něčím profesionálním. Předpokládám, že jsou tam nějaké určené pro SOHO, které nejsou stavěné na 20+ klientů. Co tam je?

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #2 kdy: 07. 03. 2018, 13:01:49 »
Správné je mít wifi v bridgi, ideálně autentikaci pomocí IEEE 802.1X.
Popisované řešení je vhodné tak na wifi pro hosty firmy.

CoffeeMan

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #3 kdy: 07. 03. 2018, 13:06:06 »
Nepoužívat hardware, který je určen ženám v domácnosti, na korporátní věci. Stačí?

m

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #4 kdy: 07. 03. 2018, 13:07:43 »
zatím co jsem se setkal tak nejlepší kvalitu antén mají ruckusy... ap za 15-20 (610 třeba..)
gigabit uplinky do switchů z AP

samozřejmě pro místní Radius autentikace, rozdělení na 2 wifiny - ten kdo se autentikuje je v lan, ten kdo ne je v "guest" síti ... odroutovaná jinam, oddělená..



Lol Phirae

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #5 kdy: 07. 03. 2018, 14:46:32 »
VLAN pro přihlášené (RADIUS), VLAN pro hosty bez přístupu kamkoliv mimo internetu a odpovídající HW (ne, ty domácí krabky to fakt nejsou.)

Martin

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #6 kdy: 07. 03. 2018, 16:24:03 »
Já bych doporučil ápéčka Open Mesh, levnější než ruckusy, velmi kvalitní, cloudově řízené, málo poruchové.

rats

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #7 kdy: 07. 03. 2018, 17:06:37 »
WiFi AP je vzdycky z principu fungovani bridge, ktery do L3 nijak nezasahuje, neboli extenduje broadcastovou domenu. Tu naopak deli router. A to je i odpoved na tazatelovu otazku, vse dalsi uz zodpovi bohate i Google

aabb

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #8 kdy: 07. 03. 2018, 17:21:47 »
dakujem za odpovede, su na to vhodne aj AP od Mikrotik, alebo Ubiquty?

linuxexpert

Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #9 kdy: 07. 03. 2018, 17:43:10 »
dakujem za odpovede, su na to vhodne aj AP od Mikrotik, alebo Ubiquty?
Ubiquity urcite.

Jose D

  • *****
  • 901
    • Zobrazit profil
Re:Nastavení Wi-Fi sítě ve firmě
« Odpověď #10 kdy: 10. 03. 2018, 16:03:41 »
Teraz otazka, aky je spravny prisup k nastaveniu firemnej wifi siete?

Zdar, kolegove uz vyse zminovali cosi o vymene hardware.. Jo, zyxel není aruba. Ale před nějakými zběsilými nákupy je třeba se zamyslet co od té sítě chceš, a věnovat nějaký čas architektuře a návrhu konfigu. Jestli je tam má pár lidí pár telefonů se kterejma chtěj na Internety, tak nepotřebuješ rovnou boxy od ciska.

ale zaroven cely datovy bordel, kadejake broadcasty z LAN chodia aj na wifi

To mi nepřijde jako OK. Jestli chceš ten problém začít řešit teď, tak bych bezdrátové sítě rozhodil na:

1) wifi/IP síť /VLAN/ SSID pro firemní zařízení - v ní zpřístupníš VPN koncentrátor u kterého se ti důvěryhodná zařízení autentizují, a ty jim přes VPN zpřístupníš firemní aplikace/shary etc.

2) wifi/IP síť /VLAN/ SSID pro BYOD - jen Internet přes firewall kde si nakonfíš co těmhle zařízením povolíš

3) wifi/IP síť / VLAN/ SSID pro IoT - tam zakážeš všechno kromě tvý IoT gatewaye. Není třeba aby IoT se pokoušelo volat domů někam do Ivanova/Číny atd. Taky tvý IoT asi nemusí mít přístup k účetnictví a emailovému serveru, řekl bych.

Výhodou je, že tenhle setup uděláš skoro s každou krabkou, a postupně až dokoupíš lepší HW, tak můžeš modulárně vylepšovat setup. Pokud ti někdo nějakou krabku kompromituje, pořád musí ještě překonat VPN koncentrátor/elementární sekuritu v IoT gateway, a nemá automaticky přístup k firemním datům.