Бесшовный wifi ubiquiti – Бесшовный роуминг (UniFi) — ПКРЕГИОН компьютерный магазин в Екатеринбурге недорогой техники каталог и цены с доставкой

Содержание

Ubiquiti, ZyXEL TP-Link, Cisco, Ruckus

И так, для начала давайте же ответим на вопрос: «А что такое бесшовный WiFi?». Если говорить грубо – то это возможность использования одной сети с помощью нескольких маршрутизаторов или повторителей. Но лучше объяснить на примере. К примеру, у нас есть достаточно крупная по площади корпоративная сеть.

И руководство наказало, чтобы на каждом этаже и даже на улице можно было подключиться к вай-фай сети. Вот как сделать беспроводную сеть на эту громадную территорию. Можно, конечно, везде поставить n-ое количество роутеров, который будут иметь одни и те же настройки сети.

То есть название, логин и пароль у них будет идентичные. Но тогда клиенты сети при переходе с одного этажа на другой будут постоянно переключаться. А что если клиент качает какую-то важную информацию или работает с важными архивами, который могут поломаться в результате таких дисконектов.

Встает второй вариант использования «WDS» или моста между каждой точкой доступа. Данный вариант неплох, но он, к сожалению, имеет много минусов, так как при этом вай-фай сеть остаётся разной, что может привести к курьезным случаям при использовании локальных данных. Также будет сложно организовать распределение локальных данных между разными пользователями. Вот тут к нам на помощь приходит бесшовный Wi-Fi, который сможет организовать глобальную вай-фай сеть по всей территории предприятия, без прерывания, без переподключений.

Как сделать бесшовный Wi-Fi дома: Ubiquiti, ZyXEL, TP-Link и другие

Достоинства бесшовного вай-фай.

Суть и соль этой системы в центральном управлении. То есть, у нас есть n-ое количество передатчиков, но управляются они все с помощью центрального контроллера. Приведу ряд плюсов, использования таких систем:

Клиенты смогут свободно путешествовать в зоне покрытия и использовать ресурсы каждой точки доступа. То есть устройства не будут переподключаться, а будут использовать только одну сеть. По-другому ещё называют как «бесшовный роуминг».
С помощью центрального контроллера можно отслеживать нагрузку сети, делать все более точные настройки, блокировку и фильтр пользователей;
Каждый пользователь должен будет авторизоваться в системе. Также можно распределять права доступа к сетевым ресурсам разным группам.
При сбое одной точки доступа, другие будут компенсировать данную зону покрытия, пока системный администратор не устранит неполадку.
Сами точки доступа могут совместно связываться как по кабелю, так и по тому же Wi-Fi. Так что протягивать кабели – не обязательно.

Далее расскажу, какие варианты чаще используются в крупных компаниях с большой площадью беспроводной сети.

Дополнительный стандарты

Наверное, уже знаете в WiFi используется стандарт передачи данных 802.11. Но в бесшовной технологии применяют помимо классических стандартов: ac, n, b g, и n – так же дополнительные.

802.11k	Данный стандарт передаёт клиенту информацию о соседних точках доступа и их свободные каналы, для ускорения подключения.
802.11r	Ускоряет процедуру подключение к другой точки доступа. Это происходит за счет того, что соседние передатчики хранят полные данные других соседей — и все это передаётся на клиентский приёмник.
802.11v	Соединение аппараты с помощью системы сканирования выявляют лучший вариант для подключения. Например если клиент стоит в диапазоне двух или более передатчиков — он подключается к тому, где сигнал лучше.

Ubiquiti UniFi

Достаточно дешёвая, но при этом мощная система, которая способна связывать сразу несколько зданий и уличное пространство. Центральная контрольная система представляет собой программное обеспечение, которое можно запустить почти на любой современной ОС. Можно отслеживать куда именно заходят клиенты, смотреть за трафиком и нагрузкой на определённые сегменты сети. Компания предоставляет варианты точек, который могут работать как на улицу, так и в здании.

TP-Link Auranet

Это одна из самых крупных компаний, которая занимается выпуском и поддержкой сетевого оборудование. И конечно же они не обошли эту технологию стороной. Самое интересное, что центральный контроллер, может спокойно работать в автономном режиме, распределяя нагрузку на точки доступа.

Кстати, есть специальная система, когда точки доступа могут работать в автономном режиме, если центральное ядро повисло или выключилось. При этом клиент не почувствует каких-то сбоев и соединение будет работать, как и ранее.

MikroTik CAPsMAN

Наверное самый бюджетный вариант. Контроллер представляет из себя системы из RouterOS Level 4 и CAPsMAN. Далее по сети идёт подключение любого оборудование этой фирмы. Этот вариант популярный из-за своей дешевизны. Но в настройках замудрённый и сложный. Конфигурации нужно прописывать вручную и нет готового решения в плане настроек. Говорится про базу стандартной прошивки. Но из-за популярности этого решения, в интернете есть очень много конфигов и инструкций.

Cisco Roaming

Очень дорогая система, но максимально надёжная. Подойдет для самых богатых и крупных фирм. Тут весь сок как раз, в самом контроллере, который при использовании можно устанавливать несколько штук. Они самостоятельно объединяются в сети и используют её ресурсы на максимум. Точки доступа также не из дешёвых. По настройке могу сказать, что прошивка аналогично сложна, как и у Микротик.

Ruckus

В странах СНГ используется достаточно редко, но данная технология имеет место быть. В основном упор идёт на точки доступа, который имеют настраиваемую систему отправки сигнала. То есть радиосигнал отправляется точечно, если клиент находится на месте. Таким образом волны не мешают другим клиентам, не создаются помехи и уменьшается вероятность потери данных.

Как сделать дома?

Для дома я бы советовал просто использовать повторители или репитеры. Их можно приобрести в любой компании: Zyxel, TP-Link, ASUS, D-Link и т.д. Они примерно одинаково работают. Конечно, это будет не совсем бесшовный Wi-Fi, но для домашнего использования пойдет. Вам нет смысла держать дома отдельный контроллер, если у вас – не больше 30 устройств.

Также в плане повторителя можно использовать и роутер, той же фирмы. Ничего сложного в настройке репитера нет – нужно просто его подключить к основной сети. Подключить можно как по вай-фай, так и по кабелю.

wifigid.ru

Как я создавал бесшовный Wi-Fi / Habr

У нас в конторе не так давно назрела задача сделать бесшовное Wi-Fi-покрытие, долго терпели и перетаптывались, но в итоге его сделали. Поделюсь опытом, как это было. Началось с того, что два года назад мы полностью перешли на IP-АТС и почти извели аналоговые телефоны включая, в итоге и DECT. Однако, переносные трубки нужны и помимо настольных SIP-телефонов купили несколько Wi-Fi телефонов Tecom. Я и сам, как ответственный за техническую часть в компании постоянно хожу по офису с различными Wi-Fi-ными девайсами, ну и манагеры тоже. У многих на руках упомянутые Wi-Fi SIP-телефоны, + у складских пару Wi-Fi терминалов, есть просто Андроиды и Яблоки с установленными SIP-клиентами от АТС. Раньше все решалось несколькими Wi-Fi роутерами, в принципе, тоже было приемлемо (офис небольшой), но ровно пока ты сидишь на месте – пошел, все, кончился разговор, а Skype-соединение еще быстрее слетает. Это стало изрядно раздражать руководство и менеджеров и пошли наезды что вай-фай не вай-фай. Попытки просто увеличить количество роутеров ясное дело задачу не решило.

Стал читать и таки вычитал, что все уже давно придумано до нас. Есть Wi-Fi точки, которые могут делать переход клиента между собой без разрыва или почти без разрыва соединения. Причем оборудования такого достаточно много на рынке, осталось только выбрать по бюджету и адекватности. Оказалось, на эту тему очень много публикаций в зарубежном интернете, у нас поменьше. Огромным минусом этих систем, что все они хотят контроллера, который стоит как чугунный мост и у некоторых особо жадных еще и лицензии требуются на подключение каждой точки. Я принес смету на наш офис на одном таком уважаемом оборудовании, у генерального глаза округлились и ответ был виден на его лице еще до того, как он дочитал эту калькуляцию.

В общем, по мере изучения задачи проснулся уже спортивный интерес – можно ли сделать гладкое WiFi-покрытие (прям как на форумах) в нормальные деньги и так чтобы без этих контроллеров? Оказалось, можно.

Правда выбор варианта занял время, но после загугливания выяснилось, что нужны точки доступа, поддерживающие протоколы 802.11r и 802.11k. Эти протоколы отвечают за быстрое, практически мгновенное переключение абонентов от одной точки к другой. Маркет выдает множество вариантов с поддержкой этих протоколов, но либо мимо цены, либо опять на контроллере. В итоге наткнулся на нужный вариант совершенно случайно. Был летом в гостинице Ибис в Казани на выходных с женой и во всех коридорах на потолке стояли «блины» с надписью EDIMAX. Когда долго и пристально ищешь начинаешь уже обращать внимание на то как сделано «у взрослых». Загуглил что это, нашел, – это оказалось не великая проблема. И о чудо! Этот Эдимакс оказалось может работать и без контроллера. Все что нужно – это назначить одну из точек контроллером.

На сайте производителя была вот такая умная картинка, где они хвалятся как у них все «перетекает» от одной точки к другой.

За нее, честно говоря и зацепился. Тоже два этажа нарисованы как у нас, лестница, прям выстрел в голову.

Поглядели поближе спецификации – вроде подходит, цена не шокирующая.
Сначала купили две: 1 потолочную и одну настенную (честно смущало что раньше я с этой маркой не сталкивался, но благо ОЗПП нам дает 14 дней на возврат).
И, как ни странно, оно заработало.

Теперь по порядку.

Сначала немного теории. Кратко об упомянутых протоколах 802.11r/k (выдержки из инета):

802.11k – уменьшает время поиска точек доступа с наилучшими параметрами сигнала. По этому протоколу клиенту передается информация о соседних точках доступа и состоянии их каналов.

То есть, как я понимаю, даже не начав перемещение, абонентское устройство уже заранее знает, в каком месте роуминг возможен, и какая точка доступа его обслужит лучше. А это собственно, то чего нам и надо.

802.11r – использует технологию Fast Basic Service Set Transition, которая позволяет хранить ключи шифрования всех от точек доступа сети. В результате клиент освобожден от процесса полной аутентификации с сервером – достаточно всего 4-х коротких сообщений для перехода на новую точку доступа. Это свойство позволяет затрачивать на переход не более 50 миллисекунд.

Вообще, протоколы эти оказались весьма распространённые, но далеко не все абонентские/клиентские устройства и даже точки доступа на рынке эти протоколы поддерживают. Хотя, вот, например, яблочные девайсы (как бы кто к ним не относился) оказалось поддерживают эти стандарты чуть ли не с 2011 года. Поэтому построение связи, так скажем, на базе бытовых точек доступа сведет попытку организации бесшовного роуминга на нет – без поддержки 802.11k/r переключение может занять до 3 секунд. О бесшовности при таких лагах в переключении речи не идет! На что я и натыкался в своих экспериментах с роутерами.

Теперь перехожу к непосредственному построению WiFi-сети. Как я говорил, мы изначально взяли 2 точки этого Эдимакса и после удачного теста немного расширили парк в рамках бюджета. Я специально взял несколько разных точек доступа (естественно этого же производителя), работающих как в стандарте 802.11ac, так и только в 802.11n, для работы сети в целом это не принципиально. Принципиально, чтобы они поддерживали протоколы 802.11k/r. Почему взял разные? – у них разная диаграмма направленности и некоторые из них подешевле. Например, в там, где абонентов мало я поставил относительно простые точки доступа, а в переговорной, у руководства, а также других местах с где народу побольше монтировал топовые модели. Ну и опять же Wi-Fi AC, модно, быстро и свободный диапазон 5 ГГц. А складским им все равно и N300 пойдет.

Что касается конкретики, то я выбрал из EDIMAX PRO модели: CAP300, CAP1750, WAP1200 и WAP1750. Причем WAP1750 в данном случае выступает в роли контроллера. Вообще у Эдимакса этого достаточно много сетевого оборудования именного бытового типа, но с ним путать не надо, я сейчас говорю об их бизнес-серии и это действительно не плохое оборудование по моим ощущениям.

Про монтаж:

Расставил точки доступа в офисе.

Получил вещание согласно плана, который вы его видите на скриншоте Эдимаксовской системы управления точками. Она есть в каждой точке и в принципе любая могла быть контроллером. В этой системе предусмотрена функция e-map. То есть можно втащить в web-интерфейс схему здания или там территории и на ней указать масштаб и места где стоят точки. В итоге, система покажет примерные зоны покрытия. В общем не прорыв, но удобно.

В моем офисе два этажа и для проведения теста я разместил одну точку доступа в переговорной на первом этаже (на плане справа), а три другие точки доступа были расположены на втором вдоль коридора. Подчеркну, уровень сигнала везде должен быть достаточно хорошим – всё же я делаю бесшовный роуминг и тут недопустимо ходить с ноутбуком и выискивать место наилучшего приема. На скриншоте изображена стадия примерно половины работ, смонтировано всего 4 точки, сейчас их уже 7. Все точки РоЕ-шные, поэтому пришлось завести в хозяйстве еще один РоЕ свич. Имеющиеся порты уже были заняты под телефоны. В итоге, покрыт каждый угол и те же Текомовские телефоны работают в сети лучше ДЕКТов.

Вот кстати, фото реальных точек доступа, участвовавших в решении задачи:

— EDIMAX CAP300

— EDIMAX WAP1200

— EDIMAX CAP1750

Вот это у Эдимаксов самая модная точка. Встроенная MIMO 3×3 антенна, 2 диапазона и все пироги. На картинке она не большая, но в реале она чуть больше собратьев САР300/САР1200 – размером с небольшую блинную сковородку с низкими бортами.

— EDIMAX WAP1750

У потолочных точек диаграмма направленности примерно 190 градусов у настенных 360 и антенны внешние, поэтому более мощные и освещают сферически. Но правды ради, хотелось бы чтобы антенны были бы чуть мощнее. Я ставил WAPы в «одиноких» зонах и сложных местах с толстыми перекрытиями. В принципе, кирпичную стену и потолок пробивает, но были бы рога помощнее было бы еще лучше. Возможно в дальнейшем заменю на другие антенны стороннего производства благо разъем у WAP-точек стандартный RP-SMA. Попутно всплыла проблема, что на рынке почти нет комбинированных антенн 2,4+5 ГГц. Почему не понятно. Плюсом WAPов является наличие 2-х РоЕ портов, РоЕ at на вход (точка сама питается) и РоЕ af на выход, можно подключить к ней что-то еще. В условиях моего дефицита РоЕ портов может в дальнейшем очень сгодиться.

Итак, после монтажа точек переходим собственно к настройке роуминга. Обращаемся к планируемой быть контроллером точке WAP1750 и говорим ей что она теперь вожак в стае. Проверяем связь с остальными точками, открываем панель управления Edimax Pro NMS (Network Management Suite) и видим, что все точки доступа находятся в сети.

Все живет, тупая проверка доступа в интернет в разных местах офиса говорит, что вроде все ОК. Связь не рвется, но надо как-то убедиться, что оно так на чем-то более существенном.

Ну и переходим к самому главному – тестируем сеть в нагрузке (Наступает момент истины. Сейчас проверим кто чего врет на самом деле). Для этого проводим натурные испытания – нагружаем WiFi потоковым видео, скачанным из YouTube и транслируем его в сеть. Можно было бы подключиться напрямую к YouTube, но тогда мы зависели бы от внешнего интернет-канала, где теоретически возможные сбои, которые влияли бы на чистоту эксперимента.

Теперь самое главное – беру планшет, подхватываю видео, транслирую его по Wi-Fi-сети и хожу по офису. Перемещаюсь из одной комнаты в другую, иду по коридору, спускаюсь по лестнице на этаж ниже, прохожу там, поднимаюсь наверх и прихожу в исходную точку. Весь процесс занял несколько минут, зарегистрирован внешней экшн-камерой и находится по ссылке.

<div id="yandex_rtb_1" class="lazy lazy-hidden yandex-adaptive classYandexRTB"></div> <script type="text/javascript">if(rtbW>=960){var rtbBlockID="R-A-744104-3";} else{var rtbBlockID="R-A-744104-5";} window.yaContextCb.push(()=>{Ya.Context.AdvManager.render({renderTo:"yandex_rtb_1",blockId:rtbBlockID,pageNumber:1,onError:(data)=>{var g=document.createElement("ins");g.className="adsbygoogle";g.style.display="inline";if(rtbW>=960){g.style.width="580px";g.style.height="400px";g.setAttribute("data-ad-slot","9935184599");}else{g.style.width="300px";g.style.height="600px";g.setAttribute("data-ad-slot","9935184599");} g.setAttribute("data-ad-client","ca-pub-1812626643144578");g.setAttribute("data-alternate-ad-url",stroke2);document.getElementById("yandex_rtb_1").appendChild(g);(adsbygoogle=window.adsbygoogle||[]).push({});}})});window.addEventListener("load",()=>{var ins=document.getElementById("yandex_rtb_1");if(ins.clientHeight =="0"){ins.innerHTML=stroke3;}},true);</script>

По следующей ссылке можно увидеть это же видео, но с показом процесса подготовки трансляции.

Прошу не судить строго за качество съемки и все-таки посмотреть оба материала, здесь же привожу лишь несколько стоп-кадров.

Собственно, это видео и является главной целью эксперимента. Я специально установил внешнюю камеру так, чтобы одновременно был виден и планшет, и офис, с тем, чтобы подтвердить чистоту испытаний. Обратите внимание, видео с мотоциклистом льется плавно, ни на секунду не прерывается и не подтормаживает. Причем слово секунда в данном случае выглядит слишком большим масштабом – нет сбоев даже на десятые доли секунды. Естественно, если такой тяжелый трафик, как потоковое видео транслируется без сбоев, то существенно более легкий VoIP-трафик передается просто на УРА.

Так что эту функцию можно использовать для организации голосовой связи внутри офисов посредством SIP-телефонов или коммуникаторов как это собственно и сделано у нас. То есть DECT при такой нормально построенной сети вообще не нужен.

В данном случае я не углублялся в детали и не показывал настройки WiFi и сетевой части. Целью эксперимента была демонстрация возможности организации беспроводного доступа с бесшовным покрытием и реальным роумингом, который действительно работает. Сделать это оказалось можно и без контроллера и большую часть времени занял монтаж и протяжка кабелей. Настройка элементарная.

Надеюсь вы повторите эксперимент, убедитесь, что я не вру. Ну, и распространите передовой опыт дальше. А я пойду раскручивать директора на премию. Шутка.

P.S. Хочется, чтобы автор ролика «Мото триал в городе» Михаил Вичкасов не побил меня за использование его личного видео в моих учебных целях.

habr.com

Базовая настройка Ubiquiti Unifi Controller и бесшовного WiFi

Одно из наиболее доступных и простых решений на рынке бесшовного WiFi можно реализовать на базе оборудования и ПО Ubiquiti серии Unifi. Рассмотрим базовый сценарий развертывания бесшовной беспроводной сети.

Установка Ubiquiti Unifi Controller

Ubiquiti Unifi Controller поддерживает сразу 3 платформы: Windows, Linux и Mac OS. Мы будем рассматривать его развертывание под Windows.
Cкачаем свежую версию контроллера с сайта Ubiquiti — https://www.ubnt.com/download/unifi — и запустим установку:

Процесс минималистичен, нельзя даже выбрать каталог для установки контроллера (к слову, он устанавливается в каталог %USERPROFILE%\Ubiquiti UniFi). После завершения установки, жмем Finish:

Настройка Ubiquiti Unifi Controller с помощью мастера UniFi Setup Wizard

В открывшемся окне контроллера жмем Launch a Browser to Manage the Network:

При первом запуске контроллера запускается мастер настройки. Выбираем страну и часовой пояс. При необходимости в этом же диалоговом окне можно запустить восстановление контроллера из резервной копии (см. зеленую стрелку на скриншоте). Жмем Next:

Контроллер сразу же обнаружит доступные точки доступа, подключенные к сети (если точки доступа присоединены к другому контроллеру, то в этом списке они не появятся). Отмечаем нужные нам точки доступа галочками и жмем Next:

На следующем шаге можно настроить первую WiFi сеть. Вводим ее SSID и ключ доступа. При необходимости можно сразу настроить гостевой доступ (см. зеленую стреку на скриншоте). Жмем Next:

Теперь создаем аккаунт администратора: вводим название учетной записи и пароль дважды. Next:

И завершаем работу мастера нажатием Finish:

Присоединение новых точек доступа к Ubiquiti Unifi Controller

После завершения работы мастера настройки, входим в контроллер под ранее созданной учетной записью администратора:

И попадаем в панель управления контроллером:

Доприсоединим точки доступа к контроллеру. Нужная нам точка доступа находится под управлением другого контроллера. Установим над ней контроль: войдем в меню Devices, кликнем по ней, в появившемся справа окне свойств нажмем Advanced Options:

Введем ее логин и пароль (по умолчанию — ubnt/ubnt) и нажмем Adopt:

Спустя полминуты точка доступа присоединится к нашему контроллеру:

Новые точки доступа, подключенные к сети, подключаются аналогичным образом, только для них не нужно вводить логинов и паролей — достаточно просто скомандовать Adopt.

Теперь между точками доступа уже работает роуминг клиентов. WiFi-сеть уже вещается, клиенты могут переходить из зоны покрытия одной точки доступа в зону покрытия другой, при этом не теряя соединение.

Легкий тюнинг

Если у вас есть план помещений/местности, где будет развернута беспроводная сеть, то его можно использовать полезным для обслуживания сети образом. Зайдем в меню Map, кликнем на Sample в правом верхнем углу, затем на Configure Maps:

В появившемся окне нажмем Add a map:

Откроется диалоговое окно проводника Windows, где можно выбрать графический план помещения. После подтверждения выбора мы окажемся в окне Add Map. Вверху вводим название и жмем Done:

Теперь на нашей карте размещен наш план. Раскидаем по нему точки доступа. Жмем по кнопке .. Unplaced Devices и перетягиваем точки доступа из открывшегося окошка на план:

Вверху плана можно включить отображение зоны покрытия точек доступа (кнопка Coverage) и частотный диапазон. Сами точки доступа кликабельны. Жмем на одну из точек доступа, затем на шестеренку. Справа откроются ее свойства. В меню Configuration можно задать Alias (название, которое будет отображаться в списке устройств и на плане местности). Наша первая точка доступа получила имя «1 этаж — офисный блок»:

В свойствах Radios можно выбрать каналы WiFi, частотный спектр и мощность передатчика:

В свойствах WLAN выбираются WLAN-группы, а также назначаются WiFi-сети, которые будут вещать точки доступа (для двухдиапазонных точек доступа наподобие Ubiquiti Unifi AP Pro, будет 2 набора опций для обоих частотных диапазонов). Нажмем Override:

Тут можно отключить вещание сети на точке доступа и задать VLAN:

Вернемся в режим конфигурации точки доступа и заглянем в секцию Network. Тут можно задать способ получения сетевых настроек точки доступа: статические или получаемые по DHCP. Нас вполне устраивает вариант с DHCP:

Обзор настроек Ubiquiti Unifi Controller

Посмотрим, что таится в глубинах конфигурации контроллера. Внизу слева кликнем по Settings:

В появившемся окне настроек есть 9 секций. Начнем с Site. Тут:
1. задается название т.н. «сайта». Параметр носит косметический характер. Для удобства администрирования мы предпочитаем использовать наши внутренние наименования локаций. Свой «сайт» мы назовем «Офис — Одинцово». Понятное название упрощает управление ИТ-ресурсами: не надо вспоминать, какой конкретно контроллер открыт. Видно сразу. Также точки доступа Ubiquiti Unifi могут «передаваться» между контроллерами (функцией Move). Контроллеры в одном широковещательном домене видят друг друга, видят имена друг друга, что позволяет перемещать точки доступа, не ломая себе голову, куда именно осуществляется перемещение;
2. включается/отключается автоматическое обновление прошивок точек доступа и IP-телефонов Ubiquiti;
3. включаются/отключаются светодиодные подсветки точек доступа;
4. включаются/отключаются email-оповещения;
5. включается/отключается монитор соединений точек доступа и Wireless Uplink;
6. настраивается SNMP и логирование событий на выделенный сервер syslog:

В секции Wireless Networks, как ни странно, осуществляется управление беспроводными сетями. Здесь можно создавать новые SSID и управлять уже созданными. Также тут осуществляется настройка шифрования и ключей безопасности сетей, сокрытие SSID, настройка VLAN, выбор групп, на основе которых можно настраивать политики доступа, о чем мы еще вспомним чуть ниже, и настройка расписаний работы беспроводных сетей:

В секции Networks можно настроить IP-сети. Тут же включаются DHCP, настраиваются WINS, настраиваются сетевые диапазоны IP для гостевых сетей, VPN и VLAN’ы. Для базовой настройки достаточно указать используемую подсеть, а также включить/выключить DHCP (в зависимости от того, есть ли он в вашей сети):

Теперь перейдем в секцию User Groups. Тут можно создавать группы пользователей и управлять ими, а также задавать им ограничения полосы пропускания. Хорошей практикой считается выделение полос пропускания для сотрудников (среднюю), гостей (минимально возможную для комфортного использования браузера и электронной почты) и руководства (максимально возможную):

Перейдем в секцию Controller. Тут можно нужно задать ему hostname или IP, включить его обнаружение на уровне L2 (широковещание), настроить параметры SMTP для отправки уведомлений на почту:

В секции Maintenance скрываются возможности сделать/восстановить резервную копию, а также настроить уровень подробности ведения логов.

На этом, пожалуй, наш мини-обзор можно считать оконченным.

Одно из главных преимуществ решений Ubiquiti в области бесшовного WiFi — это простота их реализации. А в сочетании с более чем доступной ценой оборудования, можно смело говорить о том, что конкурентов по соотношению цена/качество у Ubiquiti не так уж и много. Если они вообще есть.

treolink.ru

Корпоративная система WiFi Ubiquiti UniFi

Ubiquiti UniFi.

Работоспособность подобной конфигурации обеспечивает UniFi Controller, — бесплатная программная платформа управления сетью, которая отвечает как за распределение нагрузки на WiFi точки доступа, так и позволяет провести настройку каждого подключенного устройства в едином интуитивно понятном интерфейсе.

UniFi отличается широчайшим разнообразием модельного ряда WiFi точек доступа, в котором можно подобрать решения для развертывания беспроводной сети на любых объектах – от небольших организаций и до покрытия беспроводной сетью целых зданий.

Эталон корпоративного WiFi.

Создание WiFi сети корпоративного уровня является довольно сложной, комплексной задачей. В отличие от небольших домашних сетей, где достаточно приобрести маломощный роутер SOHO класса, при планировании WiFi хот-спота в крупных офисных центрах или учреждениях необходимо учесть множество факторов – просчитать нагрузку на точки доступа в зависимости от их местоположения, правильно сконфигурировать размещение, обеспечить питание и коммутацию трафика между устройствами. Также, совершенно отдельной, важной задачей является организация так называемого «бесшовного» роуминга, схемы в которой все точки доступа объединяются при помощи сервера управления в единую сеть, обеспечивая автоматическую авторизацию пользователей между ними при передвижениях. Все эти тонкости были не понаслышке известны разработчикам Ubiquiti Networks. Создавая свою систему WiFi доступа UniFi, специалисты компании продумали абсолютно все, что может понадобиться при решении задачи развертывания корпоративного WiFi. Важнейшей частью системы является UniFi Controller – универсальная платформа управления всеми устройствами и сетевой сервер одновременно. В его интерфейсе можно посмотреть статистику, настроить политику доступа, задать шифрование и даже выбрать оптимальные места для размещения точек доступа, загрузив план или используя GoogleMaps. Помимо функций контроля сети UniFi Controller позволяет настроить индивидуальные параметры каждого устройства серии UniFi – от свитчей и до точек доступа, выставив необходимые установки.

Здесь же, в разделе настроек развертывается «бесшовный» роуминг, при реализации которого переключение абонента между точками доступа происходит без потери соединения с сетью, позволяя, к примеру, разговаривать по скайпу, переходя из одного помещения в другое. Подобная схема единого программного комплекса управления максимально удобна и значительно сокращает время развертывания сети и затраты усилий на ее настройку. Также доступ к настройкам можно получить через фирменное приложение U Mobile, которое устанавливается на мобильные гаджеты в AppStore и GooglePlay. Здесь, аналогично контроллеру, возможно просматривать статистические данные, настроить группы пользователей, политику доступа и многое другое. Правда, функций сервера управления U Mobile в себе не несет и запущенный UniFi Controller для работы сети все равно необходим.

Глобальный лидер в управляемых WiFi-системахМиллионы продаж каждый год в 180+ странах

Среди точек доступа Ubiquiti Unifi есть модели самого разного типа. В зависимости от нагрузки на сеть и местоположения точек доступа можно выбрать как базовые варианты, так устройства повышенной производительности либо всепогодные варианты UniFi.
Самой простой, классической моделью можно считать точку доступа UniFi AP. Данная модель прекрасно подойдет для обеспечения WiFi хот-спотом миниотелей, небольших учреждений и других мест, где предполагается небольшой или средней уровень нагрузки. Точка доступа работает в частотном диапазоне 2.4 Ггц, с использованием стандартов 802.11/n в конфигурации MIMO 2×2, обеспечивая максимальную пропускную способность до 300 Мбит/Сек. Мощность интегрированного радиомодуля не так высока и составляет 20 dbm, однако, благодаря хорошо просчитанному антенному блоку подобных параметров вполне достаточно для создания уверенной зоны покрытия на расстоянии до 120 метров.

В случае, когда планируется обслуживание большого количества абонентов и повышенная нагрузка следует использовать двухдиапазонные точки доступа UniFi AC. Самой производительной из этой линейки безусловно является UniFi AP AC HD. Благодаря использованной схеме mimo 4×4 точка доступа имеет беспрецедентную производительность, обеспечивая пропускную способность до 800 мбит/сек в диапазоне 2.4 Ггц и до 1733 мбит/сек на частотах 5 ггц, где используется новейший протокол 802.11 AC. Радиомодуль точки доступа выдает мощность до 25 dbm, что необходимо для установки скоростного соединения использующего высокие модуляции, которые значительно требовательнее к качеству сигнала.
Еще одной важной особенностью UniFi AP AC HD является поддержка технологии формирования луча «beamforming» Ее суть заключается в создании так называемой «конструктивной» или проще говоря усиливающей интерференции радиосигнала в точке нахождения абонентского устройства, что позволяет значительно улучшить качество связи. Достигается такой эффект за счет сдвига фазы излучаемого радиосигнала встроенными WiFi антеннами точки доступа.

Кроме того, UniFi AP AC HD поддерживает схему мультиплексирования MU-MIMO, которая позволяет разбивать канал на подканалы, таким образом реализуя схему одновременной работы с множеством абонентов. Особенно заметна разница с традиционной схемой SU-MIMO (однопользовательский режим) при большом количестве подключенных абонентов, где низкоскоростной клиент занимает все ресурсы канала, при этом используя всего несколько процентов его пропускной способности. В схеме MU-MIMO подобные ситуации исключены.
Отдельно следует отметить версию точки доступа Unifi Ap Ac Security HD, которая отличается повышенной безопасностью. Специально для мониторинга радиоэфира и получения статистики появления других WiFi устройств в зоне хот-спота данная модификация получила выделенный радиомодуль позвляя более эффективно осуществлять контроль подключений. В остальном характеристики и возможности устройства идентичны базовой модели UniFi AP AC HD.

UniFi AC In Wall Pro

UniFi AC InWall Pro — новая компактная точка доступа предназначенная для монтажа в стену, вместо штатной Ethernet розетки.


5 ГГц


17 дБм


1700+ Мбит/с

В наличии

24335

В наличии

UniFi AP In-Wall

UniFi AP In-Wall — это уникальное устройство, которое совмещает в себе функции обычной Eternet розетки и полноценной WiFi точки доступа.


2.4 ГГц


17 дБм


150+ Мбит/с

В наличии

24011

В наличии

Ubiquiti UniFi AP AC In-Wall

UniFi AP AC In-Wall — оригинальная и необычная точка доступа выпущенная в корпусе, напоминающем обычную Ethernet –розетку. Если в следствии нехватки места, либо по причине строгого дизайна помещения нет возможности использовать серийные точки доступа UniFi , вам на выручку придет UniFi AP AC In-Wall.


5 ГГц


17 дБм


150+ Мбит/с

В наличии

24251

В наличии

Весьма интересным решением, когда в помещении дефицит свободного пространства является точка доступа UniFi AP AC IN-Wall. Внешне устройство очень напоминает обычную Ethernet розетку с двумя портами, и имеет компактные размеры 139.7 x 86.7 x 25.75 мм, но несмотря на это UniFi AP AC IN-Wall получила полноценную двухдиапазонную радиочасть которая обеспечивает пропускную способность до 1300 мбит/Сек в диапазоне 5 Ггц на частотах 2.4 Ггц – суммарно 1750 мбит/Сек! Мощность радиосигнала достигает 22 dbm (зависит от выбранного региона использования).

При необходимости расширения зоны охвата беспроводной сети на прилегающие территории – парковые зоны, автопарковки и тд прекрасным вариантом будет использование точек доступа UniFi MESH, которые обладают влагозащищенным корпусом и могут работать вне помещений даже в самых суровых погодных условиях – при сильных ветрах, частых атмосферных осадках и значительных суточных и сезонных колебаниях температуры. Основной изюминкой данных точек доступа является поддержка технологию «ячеистой сети» MESH, которая, в том числе, позволяет организовывать эффективную беспроводную ретрансляцию сигнала без обычной для WiFi падения пропускной способности в два раза на каждую ступень, благодаря динамическому использованию ресурсов канала.

UniFi AC Mesh PRO

UniFi ac Mesh pro – новейшая всепогодная точка доступа от Ubiquiti Networks, ориентированная на создание WiFi хот-спот на открытых пространствах. Антенная схема MIMO 3X3 и поддержка новейших стандартов WiFi AC позволили довести пропускную способность точки доступа до 1750 мб/Сек.


5 ГГц


183+m


867 Мбит/с

В наличии

24192

В наличии

Ubiquiti UMA D

Направленная двухдиапазонная антена для UAP-AC-M (UMA-D) – это новейшая двухдиапазонная WiFi антенна, сконструированная специально для использования с универсальной всепогодной точкой доступа UniFi MESH.


5 ГГц


183+m


1300+ Мбит/с

В наличии

47191

В наличии

Ubiquiti UniFi AC Mesh

UniFi ac Mesh универсальная всепогодная точка доступа, предназначенная для развертывания высокоскоростных WiFi сетей как в зданиях так и в условиях открытого пространства. Высокая надежность, поддержка новейших стандартов WiFi 802.11 ac и возможность работать с Mesh сетями делают продукт по настоящему уникальным.


5 ГГц


180+m


867+ Мбит/с

В наличии

24191

В наличии

UniFi на сегодня является примером эталонной реализации системы корпоративного WiFi, предоставляя пользователям широчайший спектр технических решений. При этом проработка, продуманность, как программного обеспечения, так и непосредственно самих точек доступа находится на очень высоком уровне, обеспечивая идеальную бесперебойную работу в режиме 24/7 даже при пиковых уровнях нагрузки.

www.ubnt.su

Бесшовный роуминг Wi-Fi / Habr

Начальник позвал в переговорку, сказал захватить с собой ноутбук. Вроде бы ничего — и там, и на рабочем месте у нас офисная беспроводная сеть. Приходим — а загрузка поставленного на скачивание большого файла оборвалась, SSH-сессии закрылись, заботливо набранная веб-форма при отправке почему-то сбросилась. Знакомо?
Сегодня мы поговорим о бесшовном роуминге устройств в беспроводных сетях Wi-Fi.

Роумингом называется процесс переподключения устройства к беспроводной сети при перемещении его в пространстве. Принимаемая мощность радиосигнала ослабевает с расстоянием до передатчика, в результате чего падает эффективная скорость передачи информации, растут канальные ошибки вплоть до обрыва беспроводного соединения. При наличии в радио-сети с одним именем (SSID) более чем одной точки доступа перемещение мобильного абонента из зоны уверенной работы в пределах первой точки доступа в зону, где сигнал от второй точки доступа качественнее (выше мощность, больше отношение сигнал/шум) может произойти такое переподключение.

Решение об осуществлении переподключения всегда принимает клиентское устройство (драйвер Wi-Fi адаптера). Точка доступа может только «подсказать» устройству о желательности данного действия. Иногда можно указать в настройках драйвера параметр «агрессивности» принятия решения. Однако при первоначальном подключении абонента централизованно управляемая система может «заставить» абонента подключиться к предпочтительной (с точки зрения загрузки) точке, и на желаемом канале/диапазоне.

Бесшовным называют такой механизм роуминга, при котором потери передаваемых данных, возникающие в момент переключения с точки на точку, минимальны либо равны нулю, а стек TCP/IP клиентской операционной системы даже не замечает факт переключения. Такой механизм важен при эксплуатации чувствительных к задержкам и потерям приложений, таких как передача голоса по радио-сети (Voice over Wireless), потокового видео, больших объемов данных и вообще всех случаев, где протокол TCP не в состоянии «переварить» временное пропадание канала передачи данных.

Мы поставим эксперименты и подсмотрим за процессом бесшовного роуминга, реализованного средствами централизованно управляемой беспроводной сети, построенной на оборудовании Juniper Wireless, о котором шла речь во вводной статье. Это система корпоративного класса, специально спроектированная для решения задач обеспечения бесшовного роуминга. Затем мы «сломаем» бесшовность и продемонстрируем, к чему это приводит и какого поведения можно ожидать от устройств «бытового класса».

В нашей сети будет обычный Windows7 ноутбук со встроенной карточкой Intel WifiLink 5100abg, два контроллера беспроводных сетей Juniper MX8 в одном сегменте ЛВС, две точки доступа WLA532, каждая настроена на свой контроллер. Трафик до ноутбука будем создавать с Linux-сервера утилитой ping -f -s 1000 либо ping -s 100 -i 0.05. Тот же ноутбук будет заниматься анализом спектра (Wi-Spy DBx/Channelyzer Pro) и захватом 802.11 кадров (OmniWiFi/OmniPeek).

Для авторизации абонентов (правильно, WPA2 Enterprise) по механизму 802.1x поднимем FreeRADIUS-сервер и настроем его на PEAP/MSChapV2. При этом мы сможем наблюдать за потоком трафика «беспроводный контроллер — RADIUS-сервер» при запуске последнего через freeradius -X и отслеживать события полной авторизации и передачи сообщений аккаунтинга. В качестве локальной базы пользователей — текстовый файл с паролями.
Настройки контроллеров для авторизации в нашей сети «DOT1X» идентичны и просты:

set service-profile Secure-DOT1X ssid-name DOT1X
set service-profile Secure-DOT1X 11n short-guard-interval disable
set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable
set service-profile Secure-DOT1X rsn-ie enable
set service-profile Secure-DOT1X attr vlan-name default
set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11
set radius server debian64 mac-addr-format colons
set server group debian64-group members debian64
set accounting dot1x ssid DOT1X ** start-stop debian64-group
set authentication dot1x ssid DOT1X ** pass-through debian64-group
set radio-profile default service-profile Secure-DOT1X

Полный конфиг первого контроллера

# Configuration nvgen’d at 2013-6-28 22:18:27
# Image 8.0.2.2.0
# Model MX-8
# Last change occurred at 2013-6-28 19:56:52
set ip route default 172.16.130.1 1
set ip dns enable
set ip dns server 8.8.8.8 PRIMARY
set log server 172.16.130.100 severity error
set system name WLC-1
set system ip-address 172.16.130.30
set system countrycode RU
set timezone MSK 4 0
set service-profile Secure-DOT1X ssid-name DOT1X
set service-profile Secure-DOT1X 11n short-guard-interval disable
set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable
set service-profile Secure-DOT1X rsn-ie enable
set service-profile Secure-DOT1X attr vlan-name default
set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11
set radius server debian64 mac-addr-format colons
set server group debian64-group members debian64
set enablepass password…
set accounting dot1x ssid DOT1X ** start-stop debian64-group
set authentication dot1x ssid DOT1X ** pass-through debian64-group
set user anton password encrypted…
set radio-profile default 11n channel-width-na 20MHz
set radio-profile default service-profile Secure-DOT1X
set ap auto mode enable
set ap 2 serial-id mg0211508096 model WLA532-WW
set ap 2 name WLA-2
set ap 2 blink enable
set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc
set ap 2 time-out 900
set ap 2 remote-ap wan-outage mode enable
set ap 2 remote-ap wan-outage extended-timeout 10h
set ap 2 radio 1 tx-power 5 mode enable
set ap 2 radio 2 mode disable
set ap 2 local-switching mode enable vlan-profile default
set ap 5 port 5 model WLA532-WW
set ap 5 radio 1 tx-power 5 mode enable
set ap 5 radio 2 mode disable
set ip snmp server enable
set port poe 5 enable
set snmp protocol v1 disable
set snmp protocol v2c enable
set vlan 1 port 1
set vlan 1 port 2
set vlan 1 port 3
set vlan 1 port 4
set vlan 1 port 6
set vlan 1 port 7
set vlan 1 port 8
set interface 1 ip 172.16.130.30 255.255.255.0
set snmp community name CommunityRO access read-only
set mobility-domain mode seed domain-name LocalMobilityDomain
set mobility-domain member 172.16.130.31

Полный конфиг второго контроллера

# Configuration nvgen’d at 2013-6-28 18:05:38
# Image 8.0.2.2.0
# Model MX-8
# Last change occurred at 2013-6-28 17:56:28
set ip route default 172.16.130.1 1
set system name WLC-2
set system ip-address 172.16.130.31
set system idle-timeout 0
set system countrycode RU
set service-profile Secure-DOT1X ssid-name DOT1X
set service-profile Secure-DOT1X 11n short-guard-interval disable
set service-profile Secure-DOT1X rsn-ie cipher-ccmp enable
set service-profile Secure-DOT1X rsn-ie enable
set service-profile Secure-DOT1X attr vlan-name default
set radius server debian64 address 172.16.130.13 timeout 5 retransmit 3 deadtime 5 encrypted-key 0832494d1b1c11
set radius server debian64 mac-addr-format colons
set server group debian64-group members debian64
set enablepass password…
set accounting dot1x ssid DOT1X ** start-stop debian64-group
set authentication dot1x ssid DOT1X ** pass-through debian64-group
set user anton password encrypted…
set radio-profile default wmm-powersave enable
set radio-profile default 11n channel-width-na 20MHz
set radio-profile default service-profile Secure-DOT1X
set ap auto mode disable
set ap auto blink enable
set ap 2 serial-id mg0211508096 model WLA532-WW
set ap 2 name WLA-2
set ap 2 fingerprint 1a:fb:2e:d2:ab:e0:59:87:a7:3c:2a:20:ec:2a:9b:cc
set ap 2 time-out 900
set ap 2 remote-ap wan-outage mode enable
set ap 2 remote-ap wan-outage extended-timeout 10h
set ap 2 radio 1 channel 11 tx-power 5 mode enable
set ap 2 radio 2 mode disable
set ap 2 local-switching mode enable vlan-profile default
set load-balancing mode disable
set port poe 5 enable
set port poe 6 enable
set vlan 1 port 1
set vlan 1 port 2
set vlan 1 port 3
set vlan 1 port 4
set vlan 1 port 5
set vlan 1 port 7
set vlan 1 port 8
set interface 1 ip 172.16.130.31 255.255.255.0
set mobility-domain mode member seed-ip 172.16.130.30
set security acl name portalacl permit udp 0.0.0.0 255.255.255.255 eq 68 0.0.0.0 255.255.255.255 eq 67
set security acl name portalacl deny 0.0.0.0 255.255.255.255 capture
commit security acl portalacl

Расположим ноутбук так, чтобы принимаемый им сигнал от обеих точек доступа (на 6 и 11 каналах диапазона b/g, 2.4 ГГц) был примерно одинаковым, подключимся к сети, запустим пинг, посмотрим на распределение энергии в эфире:

Для проверки работоспособности роуминга необходимо, чтобы ноутбук стал получать от точки доступа, с которой он в настоящий ассоциирован, сигнал существенно худший, чем от другой точки с тем же SSID и настройками шифрования. Можно переносить ноутбук, но мне было так не удобно, поэтому я носил одну из точек доступа (на длинном Ethernet кабеле) поближе либо за бетонный угол, а сигнал второй ослаблял, накрывая её тремя вложенными стальными кастрюлями, как матрешку. Каждая кастрюля давала ослабление в 3-4 dB. В результате в какой-то момент времени клиент «соскакивал» на другую точку доступа:

При этом анализ пакетов в эфире показывает такую картину (для того, чтобы OmniPeek мог видеть весь трафик, мне пришлось повторить все эксперименты с точками, жестко завязанными на 11й канал, иначе при сканировании по {6,11} я бы потерял самое интересное).
Ноутбук пытается найти более предпочтительную точку доступа (probe request, фрейм 79086), и получает ответы от обоих, с уровнем сигнала 23% (текущая) и 63% (кандидат).
Последний полезный кадр 79103 передан до сервера через ap2, после чего кадрами 79122-79136 произведено быстрое переключение на ap1, включая авторизацию, реассоциацию, обмен EAPOL.

В запросе на реассоциацию в кадре 79126 содержится ключ PMKID (Pairwise Master Key), который определяет, грубо говоря, идентификатор данной беспроводной сессии. Если точки доступа работают коллективно (под управлением одного контроллера, либо контроллеры общаются между собой), «новая» точка доступа проверяет полученный идентификатор по своим таблицам и, если таковой найден, пропускает этап авторизации и тут же разрешает обмен данными.

В нашем случае первый полезный кадр 79138 через новую точку доступа, ap1, пошел через 90 миллисекунд после последнего через старую. RADIUS-сервер получил только промежуточное сообщение аккаунтинга от точки, которую оставили в покое:

rad_recv: Accounting-Request packet from host 172.16.130.30 port 20000, id=143, length=264

Подробнее

Acct-Status-Type = Interim-Update
Acct-Multi-Session-Id = «SESS-30-d44e4b-437681-7f4d10»
Acct-Session-Id = «SESS-30-d44e4b-437681-7f4d10»
User-Name = «test»
Event-Timestamp = «Jun 28 2013 20:56:42 MSK»
Trapeze-VLAN-Name = «default»
Calling-Station-Id = «00-21-5D-C8-06-8A»
NAS-Port-Id = «AP5/1»
Called-Station-Id = «78-19-F7-7C-6A-40:DOT1X»
Trapeze-Attr-19 = 0x77696e646f777337
Trapeze-Attr-21 = 0x77696e646f7773
NAS-Port = 33
Framed-IP-Address = 172.16.130.128
Acct-Session-Time = 921
Acct-Output-Octets = 246429867
Acct-Input-Octets = 238261281
Acct-Output-Packets = 232900
Acct-Input-Packets = 247341
NAS-Port-Type = Wireless-802.11
NAS-IP-Address = 172.16.130.30
NAS-Identifier = «Trapeze»
Acct-Delay-Time = 0
# Executing section preacct from file /etc/freeradius/sites-enabled/default
+- entering group preacct {…}
++[preprocess] returns ok
[acct_unique] Hashing ‘NAS-Port = 33,Client-IP-Address = 172.16.130.30,NAS-IP-Address = 172.16.130.30,Acct-Session-Id = «SESS-30-d44e4b-437681-7f4d10»,User-Name = «test»’
[acct_unique] Acct-Unique-Session-ID = «c1a67d40e7b54bea».
++[acct_unique] returns ok
[suffix] No ‘@’ in User-Name = «test», looking up realm NULL
[suffix] No such realm «NULL»
++[suffix] returns noop
++[files] returns noop
# Executing section accounting from file /etc/freeradius/sites-enabled/default
+- entering group accounting {…}
[detail] expand: /var/log/freeradius/radacct/%{Client-IP-Address}/detail-%Y%m%d -> /var/log/freeradius/radacct/172.16.130.30/detail-20130628
[detail] /var/log/freeradius/radacct/%{Client-IP-Address}/detail-%Y%m%d expands to /var/log/freeradius/radacct/172.16.130.30/detail-20130628
[detail] expand: %t -> Fri Jun 28 20:56:16 2013
++[detail] returns ok
++[unix] returns noop
[radutmp] expand: /var/log/freeradius/radutmp -> /var/log/freeradius/radutmp
[radutmp] expand: %{User-Name} -> test
++[radutmp] returns ok
++[exec] returns noop
[attr_filter.accounting_response] expand: %{User-Name} -> test
attr_filter: Matched entry DEFAULT at line 12
++[attr_filter.accounting_response] returns updated
Sending Accounting-Response of id 143 to 172.16.130.30 port 20000
Finished request 269.

Всё это работало так быстро только потому, что обе точки доступа (вернее, обслуживающие их контроллеры) имеют общую базу подключенных активных клиентских устройств. Для этого контроллеры объединены в «группу мобильности». Выбирается имя, задается начальный «кандидат на роль главного»:

WLA-1:

set mobility-domain mode seed domain-name LocalMobilityDomain
set mobility-domain member 172.16.130.31

WLA-2:

set mobility-domain mode member seed-ip 172.16.130.30

Пример функционирующей группы мобильности:

WLC-1# show mobility-domain 
Mobility Domain name:  LocalMobilityDomain
Flags: u = up[2], d/e = down/config error[0], c = cluster enabled[0],
       p = primary seed, s = secondary seed (S = cluster preempt mode enabled),
       a = mobility domain active seed, A = cluster active seed (if different),
       m = member, y = syncing, w = waiting to sync, n = sync completed,
       f = sync failed 
Member: * = switch behind NAT
Member            Flags  Model     Version     NoAPs  APCap
----------------  -----  --------  ----------  -----  -----
172.16.130.30     upa--  MX-8      8.0.2.2         1     12
172.16.130.31     um---  MX-8      8.0.2.2         1     12

При роуминге абонентов между точками доступа контроллеры обмениваются контекстом абонента, включая историю его перемещений:

Roaming history:
  Switch          AP/Radio     Association time  Duration
  --------------- -----------  ----------------- -------------------
 *172.16.130.30   5/1          06/28/13 22:12:22 00:06:34            
  172.16.130.31   2/1          06/28/13 21:57:28 00:14:54            
  172.16.130.30   5/1          06/28/13 22:08:56

Детали полностьюWLC-1# sh sessions network verbose

1 sessions total

Name: test
Session ID: 42
Global ID: SESS-41-d44e4b-442936-c9f222
Login type: dot1x
SSID: DOT1X
IP: 172.16.130.128
MAC: 00:21:5d:c8:06:8a
AP/Radio: 5/1 (Port 5)
State: ACTIVE
Session tag: 1
Host name: Cartman
Vlan name: default (AAA)
Device type: windows7 (AAA)
Device group: windows (AAA)
Up time: 00:09:59

Roaming history:
Switch AP/Radio Association time Duration
— — — — *172.16.130.30 5/1 06/28/13 22:12:22 00:06:34
172.16.130.31 2/1 06/28/13 21:57:28 00:14:54
172.16.130.30 5/1 06/28/13 22:08:56

Session Start: Fri Jun 28 22:08:57 2013 MSK
Last Auth Time: Fri Jun 28 22:08:57 2013 MSK
Last Activity: Fri Jun 28 22:18:56 2013 MSK ( <15s ago)
Session Timeout: 0
Idle Time-To-Live: 179
EAP Method: PASSTHRU, using server 172.16.130.13
Protocol: 802.11 WMM
Session CAC: disabled
Stats age: 0 seconds
Radio type: 802.11g
Last packet rate: 54.0 Mb/s
Last packet RSSI: -52 dBm
Last packet SNR: 43
Power Save: disabled
Voice Queue: IDLE

Packets Bytes
— — Rx Unicast 44824 21023372
Rx Multicast 249 31159
Rx Encrypt Err 0 0
Tx Unicast 22615 7289459
Rx peak A-MSDU 0 0
Rx peak A-MPDU 0 0
Tx peak A-MSDU 0 0
Tx peak A-MPDU 0 0

Queue Tx Packets Tx Dropped Re-Transmit Rx Dropped
— — — — — Background 17015 0 1641 0
BestEffort 5745 0 495 0
Video 0 0 0 0
Voice 11 0 1 0

11n Capabilities:
Max Rx A-MSDU size: 0K
Max Rx A-MPDU size: 0K
Max Channel Width: 20MHz
SM power save: none
TxBeamformer: All
TxBeamformee: NonComp-Unknown, Comp-Unknown

Теперь самое время промоделировать типичный офисный случай, когда точки доступа предоставляют одну сеть, но друг о друге не знают. Ломать-не строить: уберем на одном из контроллеров членство в группе мобильности (clear mobility-domain mode member). Аналогично вызванное событие роуминга приводит к более серьезным последствиям:

Хоть в сообщении реассоциации (27818) клиент и передают верный PMKID, новая точка доступа подтверждает ассоциацию (27820) и тут же запрашивает полную повторную авторизацию по 802.1 (EAP, 27823). Это приводит к длинной цепочке событий, включая отправку сообщений деассоциции «старой» точке доступа (27887) и

Полный цикл авторизации на RADIUS-сервере

rad_recv: Access-Request packet from host 172.16.130.31 port 20000, id=132, length=139
NAS-Port-Id = «AP2/1»
Calling-Station-Id = «00-21-5D-C8-06-8A»
Called-Station-Id = «78-19-F7-75-5F-80:DOT1X»
Service-Type = Framed-User
EAP-Message = 0x020100090174657374
User-Name = «test»
NAS-Port = 19
NAS-Port-Type = Wireless-802.11
NAS-IP-Address = 172.16.130.31
NAS-Identifier = «Trapeze»
Message-Authenticator = 0xaf02c98034a727ae8cc5063bcda80c39
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {…}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No ‘@’ in User-Name = «test», looking up realm NULL
[suffix] No such realm «NULL»
++[suffix] returns noop
[eap] EAP packet type response id 1 length 9
[eap] No EAP Start, assuming it’s an on-going EAP conversation
++[eap] returns updated
[files] users: Matched entry test at line 206
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING: Auth-Type already set. Not setting to PAP
++[pap] returns noop
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {…}
[eap] EAP Identity
[eap] processing type md5
rlm_eap_md5: Issuing Challenge
++[eap] returns handled
Sending Access-Challenge of id 132 to 172.16.130.31 port 20000
и так далее три экрана логов

В результате эффективный перерыв в передаче данных составил 332 миллисекунды. Причем в нашем эксперименте RADIUS-сервер пользовался локальной базой данных, т.е. не обращался к медленному SQL серверу, не спрашивал разрешения в Active Directory и не занимался пересылкой, верификацией и сравнением Х.509 сертификатов.

В данной статье мы не рассмотрели различные имеющиеся стандартные либо вендор-зависимые механизмы «помощи» клиентского роуминга, такие как WPA2 Fast BSS Transition (FT) 802.11r, Neighbor Reports и т.п. Желающие могут изучить эту серию статей.

Подведем итог:

Бытовые точки доступа, работающие автономно друг от друга, заставят клиента произвести полный цикл авторизации при перемещении от одной точки к другой. Это чревато серьезными задержками в передаче полезного трафика, особенно при использовании централизованных баз пользователей (вы же не применяете общий пароль/PSK в корпоративной среде) и как следствие — обрывом коннектов.
Бюджетные, но централизованные системы (Mikrotik, UniFi) возможно и обеспечат бесшовный роуминг, но это зависит от реализации. Например, хоть UniFi и имеет «контроллер», он служит только для общей настройки набора точек доступа одним интерфейсом, и по крайней мере в версии софта 2.х точки доступа далее работают автономно и роумингу не помогают (буду рад предложению протестировать эти устройства аналогичным образом).
Беспроводные системы корпоративного класса (Juniper, Cisco, Aruba и т.д.) изначально проектировались для поддержки бесшовного роуминга; на них в первую очередь и реализуют нововведения вроде 802.11r. Но за это приходится платить, и зачастую немало.

habr.com

теория на практике / TP-Link corporate blog / Habr

Разбираемся с технологиями роуминга (Handover, Band steering, IEEE 802.11k, r, v) и проводим пару наглядных экспериментов, демонстрирующих их работу на практике.

Введение

Беспроводные сети группы стандартов IEEE 802.11 сегодня развиваются чрезвычайно быстро, появляются новые технологии, новые подходы и реализации. Однако с ростом количества стандартов в них все сложнее становится разобраться. Сегодня мы попытаемся описать несколько наиболее часто встречающихся технологий, которые относят к роумингу (процедуре повторного подключения к беспроводной сети), а также посмотреть, как работает бесшовный роуминг на практике.

Handover или «миграция клиента»

Подключившись к беспроводной сети, клиентское устройство (будь то смартфон с Wi-Fi, планшет, ноутбук или ПК, оснащенный беспроводной картой) будет поддерживать беспроводное подключение в случае, если параметры сигнала остаются на приемлемом уровне. Однако при перемещении клиентского устройства сигнал от точки доступа, с которой изначально была установлена связь, может ослабевать, что рано или поздно приведет к полной невозможности осуществлять передачу данных. Потеряв связь с точкой доступа, клиентское оборудование произведет выбор новой точки доступа (конечно же, если она находится в пределах доступности) и осуществит подключение к ней. Такой процесс и называется handover. Формально handover — процедура миграции между точками доступа, инициируемая и выполняемая самим клиентом (hand over — «передавать, отдавать, уступать»). В данном случае SSID старой и новой точек даже не обязаны совпадать. Более того, клиент может попадать в совершенно иную IP-подсеть.

Как в старой, так и в новой сети у клиента будет присутствовать доступ в интернет, однако все установленные подключения будут сброшены. Но проблема ли это? Обычно переключение не вызывает затруднений, так как все современные браузеры, мессенджеры и почтовые клиенты без проблем обрабатывают потерю соединения. Примером такого переключения может служить переход из кинозала в кафе внутри одного крупного торгового центра: только что вы обменялись с друзьями впечатлениями от нашумевшего блокбастера, а теперь готовы поделиться с ними фотографией кулинарного шедевра — нового десерта от шеф-повара.
Увы, в реальности все не так гладко. Все большую популярность набирают голосовые и видеовызовы, передаваемые по беспроводным сетям Wi-Fi, — независимо от того, используете ли вы Skype, Viber, ~~Telegram~~, WhatsApp или какое-либо иное приложение, возможность перемещаться и при этом продолжать разговор без перерыва бесценна. И здесь возникает проблема минимизации времени переключения. Голосовые приложения в процессе работы отправляют данные каждые 10–30 мс в зависимости от используемого кодека. Потеря одного или пары таких пакетов с голосом не вызовет раздражения у абонентов, однако, если трафик прервется на более продолжительное время, это не останется незамеченным. Обычно считается, что прерывание голоса на время до 50 мс остается незамеченным большинством собеседников, тогда как отсутствие голосового потока в течение 150 мс однозначно вызывает дискомфорт.

Для минимизации времени, затрачиваемого на повторное подключение абонента к медиасервисам, необходимо вносить изменения как в опорную проводную инфраструктуру (позаботиться, чтобы у клиента не менялись внешний и внутренний IP-адреса), так и в процедуру handover, описанную ниже.

Handover между точками доступа:

Определить список потенциальных кандидатов (точек доступа) для переключения.
Установить CAC-статус (Call Admission Control — контроль доступности вызовов, то есть, по сути, степень загруженности устройства) новой точки доступа.
Определить момент для переключения.
Переключиться на новую точку доступа:

В беспроводных сетях стандартов IEEE 802.11 все решения о переключении принимаются клиентской стороной.

Источник: frankandernest.com

Band steering

Технология band steering позволяет беспроводной сетевой инфраструктуре пересаживать клиента с одного частотного диапазона на другой, обычно речь идет о принудительном переключении клиента с диапазона 2,4 ГГц в диапазон 5 ГГц. Хотя band steering и не относится непосредственно к роумингу, мы все равно решили упомянуть его здесь, так как он связан с переключением клиентского устройства и поддерживается всеми нашими двухдиапазонными точками доступа.

В каком случае может возникнуть необходимость переключить клиента в другой частотный диапазон? Например, такая необходимость может быть связана с переводом клиента из перегруженного диапазона 2,4 ГГц в более свободный и высокоскоростной 5 ГГц. Но бывают и другие причины.

Стоит отметить, что на данный момент не существует стандарта, жестко регламентирующего работу описываемой технологии, поэтому каждый производитель реализовывает ее по-своему. Однако общая идея остается примерно схожей: точки доступа не анонсируют клиенту, выполняющему активный скан, SSID в диапазоне 2,4 ГГц, если в течение некоторого времени была замечена активность данного клиента на частоте 5 ГГц. То есть точки доступа, по сути, могут просто умолчать о наличии поддержки диапазона 2,4 ГГц, в случае если удалось установить наличие поддержки клиентом частоты 5 ГГц.

Выделяют несколько режимов работы band steering:

Принудительное подключение. В этом режиме клиенту в принципе не сообщается о наличии поддержки диапазона 2,4 ГГц, конечно же, если клиент обладает поддержкой частоты 5 ГГц.
Предпочтительное подключение. Клиент принуждается к подключению в диапазоне 5 ГГц, только если RSSI (Received Signal Strength Indicator) выше определенного порогового значения, в противном случае клиенту позволяется подключиться к диапазону 2,4 ГГц.
Балансировка нагрузки. Часть клиентов, поддерживающих оба частотных диапазона, подключаются к сети 2,4 ГГц, а часть — к сети 5 ГГц. Данный режим не позволит перегрузить диапазон 5 ГГц, если все беспроводные клиенты поддерживают оба частотных диапазона.

Конечно же, клиенты с поддержкой только какого-либо одного частотного диапазона смогут подключиться к нему без проблем.

На схеме ниже мы попытались графически изобразить суть технологии band steering.

Технологии и стандарты

Вернемся теперь к самому процессу переключения между точками доступа. В стандартной ситуации клиент будет максимально долго (насколько это возможно) поддерживать существующую ассоциацию с точкой доступа. Ровно до тех пор, пока уровень сигнала позволяет это делать. Как только возникнет ситуация, что клиент более не может поддерживать старую ассоциацию, запустится процедура переключения, описанная ранее. Однако handover не происходит мгновенно, для его завершения обычно требуется более 100 мс, а это уже заметная величина. Существует несколько стандартов управления радиоресурсами рабочей группы IEEE 802.11, направленных на улучшение времени повторного подключения к беспроводной сети: k, r и v. В нашей линейке Auranet поддержка 802.11k реализована на точке доступа CAP1200, а в линейке Omada на точках доступа EAP225 и EAP225-Outdoor реализованы протоколы 802.11k и 802.11v.

802.11k

Данный стандарт позволяет беспроводной сети сообщать клиентским устройствам список соседних точек доступа и номеров каналов, на которых они работают. Сформированный список соседних точек позволяет ускорить поиск кандидатов для переключения. Если сигнал текущей точки доступа ослабевает (например, клиент удаляется), устройство будет искать соседние точки доступа из этого списка.

802.11r

Версия r стандарта определяет функцию FT — Fast Transition (Fast Basic Service Set Transition — быстрая передача набора базовых служб), позволяющую ускорить процедуру аутентификации клиента. FT может использоваться при переключении беспроводного клиента с одной точки доступа на другую в рамках одной сети. Могут поддерживаться оба метода аутентификации: PSK (Preshared Key — общий ключ) и IEEE 802.1Х. Ускорение осуществляется за счет сохранения ключей шифрования на всех точках доступа, то есть клиенту не требуется при роуминге проходить полную процедуру аутентификации с привлечением удаленного сервера.

802.11v

Данный стандарт (Wireless Network Management) позволяет беспроводным клиентам обмениваться служебными данными для улучшения общей производительности беспроводной сети. Одной из наиболее используемых опций является BTM (BSS Transition Management).
Обычно беспроводной клиент измеряет параметры своего подключения к точке доступа для принятия решения о роуминге. Это означает, что клиент не имеет информации о том, что происходит с самой точкой доступа: количество подключенных клиентов, загрузка устройства, запланированные перезагрузки и т. д. С помощью BTM точка доступа может направить запрос клиенту на переключение к другой точке с лучшими условиями работы, пусть даже с несколько худшим сигналом. Таким образом, стандарт 802.11v не направлен непосредственно на ускорение процесса переключения клиентского беспроводного устройства, однако в сочетании с 802.11k и 802.11r обеспечивает более быструю работу программ и повышает удобство работы с беспроводными сетями Wi-Fi.

IEEE 802.11k в деталях

Стандарт расширяет возможности RRM (Radio Resource Management) и позволяет беспроводным клиентам с поддержкой 11k запрашивать у сети список соседних точек доступа, потенциально являющихся кандидатами для переключения. Точка доступа информирует клиентов о поддержке 802.11k с помощью специального флага в Beacon. Запрос отправляется в виде управляющего (management) фрейма, который называют action frame. Точка доступа отвечает также с помощью action frame, содержащего список соседних точек и номера их беспроводных каналов. Сам список не хранится на контроллере, а генерируется автоматически по запросу. Также стоит отметить, что данный список зависит от местоположения клиента и содержит не все возможные точки доступа беспроводной сети, а лишь соседние. То есть два беспроводных клиента, территориально находящиеся в разных местах, получат различные списки соседних устройств.

Обладая таким списком, клиентскому устройству нет необходимости выполнять скан (активный или пассивный) всех беспроводных каналов в диапазонах 2,4 и 5 ГГц, что позволяет сократить использование беспроводных каналов, то есть высвободить дополнительную полосу пропускания. Таким образом, 802.11k позволяет сократить время, затрачиваемое клиентом на переключение, а также улучшить сам процесс выбора точки доступа для подключения. Кроме этого, отсутствие необходимости в дополнительных сканированиях позволяет продлить срок жизни аккумулятора беспроводного клиента. Стоит отметить, что точки доступа, работающие в двух диапазонах, могут сообщать клиенту информацию о точках из соседнего частотного диапазона.

Мы решили наглядно продемонстрировать работу IEEE 802.11k в нашем беспроводном оборудовании, для чего использовали контроллер AC50 и точки доступа CAP1200. В качестве источника трафика использовался один из популярных мессенджеров с поддержкой голосовых звонков, работающий на смартфоне Apple iPhone 8+, заведомо поддерживающий 802.11k. Профиль голосового трафика представлен ниже.

Как видно из диаграммы, использованный кодек генерирует один голосовой пакет каждые 10 мс. Заметные всплески и провалы на графике объясняются небольшой вариацией задержки (jitter), всегда присутствующей в беспроводных сетях на базе Wi-Fi. Мы настроили зеркалирование трафика на коммутаторе, к которому подключены обе точки доступа, участвующие в эксперименте. Кадры от одной точки доступа попадали в одну сетевую карту системы сбора трафика, фреймы от второй — во вторую. В полученных дампах отбирался только голосовой трафик. Задержкой переключения можно считать интервал времени, прошедший с момента пропадания трафика через один сетевой интерфейс, и до его появления на втором интерфейсе. Конечно же, точность измерения не может превышать 10 мс, что обусловлено структурой самого трафика.

Итак, без включения поддержки стандарта 802.11k переключение беспроводного клиента происходило в среднем в течение 120 мс, тогда как активация 802.11k позволяла сократить эту задержку до 100 мс. Конечно же, мы понимаем, что, хотя задержку переключения удалось сократить на 20 %, она все равно остается высокой. Дальнейшее уменьшение задержки станет возможным при совместном использовании стандартов 11k, 11r и 11v, как это уже реализовано в домашней серии беспроводного оборудования DECO.

Однако у 802.11k есть еще один козырь в рукаве: выбор момента для переключения. Данная возможность не столь очевидна, поэтому мы бы хотели упомянуть о ней отдельно, продемонстрировав ее работу в реальных условиях. Обычно беспроводной клиент ждет до последнего, сохраняя существующую ассоциацию с точкой доступа. И только когда характеристики беспроводного канала становятся совсем плохими, запускается процедура переключения на новую точку доступа. С помощью 802.11k можно помочь клиенту с переключением, то есть предложить произвести его раньше, не дожидаясь значительной деградации сигнала (конечно же, речь идет о мобильном клиенте). Именно моменту переключения посвящен наш следующий эксперимент.

Качественный эксперимент

Переместимся из стерильной лаборатории на реальный объект заказчика. В помещении были установлены две точки доступа с мощностью излучения 10 дБм (10 мВт), беспроводной контроллер и необходимая поддерживающая проводная инфраструктура. Схема помещений и места установки точек доступа представлены ниже.

Беспроводной клиент перемещался по помещению, совершая видеозвонок. Сначала мы отключили поддержку стандарта 802.11k в контроллере и установили места, в которых происходило переключение. Как видно из представленной ниже картинки, это случалось на значительном удалении от «старой» точки доступа, вблизи «новой»; в этих местах сигнал становился очень слабым, а скорости едва хватало для передачи видеоконтента. Наблюдались заметные лаги в голосе и видео при переключении.

Затем мы включили поддержку 802.11k и повторили эксперимент. Теперь переключение происходило раньше, в местах, где сигнал от «старой» точки доступа все еще оставался достаточно сильным. Лагов в голосе и видео зафиксировано не было. Место переключения теперь переместилось примерно на середину между точками доступа.

В этом эксперименте мы не ставили перед собой цели выяснить какие бы то ни было численные характеристики переключения, а лишь качественно продемонстрировать суть наблюдаемых различий.

Заключение

Все описанные стандарты и технологии призваны улучшить опыт использования клиентом беспроводных сетей, сделать его работу более комфортной, уменьшить влияние раздражающих факторов, повысить общую производительность беспроводной инфраструктуры. Надеемся, что мы смогли наглядно продемонстрировать преимущества, которые получат пользователи после внедрения данных опций в беспроводных сетях.

Можно ли в 2018 году прожить в офисе без роуминга? На наш взгляд, такое вполне возможно. Но, попробовав раз перемещаться между кабинетами и этажами без потери соединения, без необходимости повторно устанавливать голосовой или видеовызов, не будучи вынужденным многократно повторять сказанное или переспрашивать, — от этого будет уже нереально отказаться.

P.S. а вот так можно сделать бесшовность не в офисе, а дома, о чем подробнее расскажем в другой статье.

habr.com

UniFi — корпоративный Wi-Fi с контроллером, доступный каждому. Первое впечатление

Здравствуйте, дорогие жители Сети.
Спешу поделиться с вами своими впечатлениями о новом продукте для корпоративного сегмента — UniFi от компании Ubiquiti (Юбиквити). Если кто не в курсе — коротко о Ubiquiti я рассказал в предыдущем посте, поэтому сразу к делу.
Несмотря на всеобщее проникновение Wi-Fi в нашу жизнь, рынок корпоративного Wi-Fi до сих пор контролировали буквально пара-тройка производителей. Их системы стоят многие десятки тысяч долларов, причем значительную часть стоимости составляет именно контроллер — мощный и умный. Ubiquiti со свойственной им бесцеремонностью вломилась на этот рынок, предложив систему с ценой в $199. Это цена точки доступа с контроллером. То есть теперь любая организация может позволить себе нормальный корпоративный Wi-Fi. Прежде чем рассказать о том что это такое — UniFi, сделаю небольшое лирическое отступление и расскажу чем же отличается домашний Wi-Fi от офисного.

В отличие от домашнего, Wi-Fi корпоративный (офисный) при всей внешней схожести совсем иной. Все дело в управлении сетью и обеспечении безопасности. И в количестве точек доступа.

Домашний Wi-Fi	Корпоративный Wi-Fi
Требования к безопасности стандартные, «цена» передаваемых данных обычно очень низкая. То есть даже если злоумышленник сможет взломать защиту (а значит она была плохо настроена) — ничего важного и конфиденциального он не сможет перехватить.	Высокие требования к безопасности — беспроводная сеть должна быть столь же безопасной, что и проводная сеть предприятия. Понятно, пассивной защитой точек доступа система безопасности не ограничивается. Защита должна быть активной и превентивной.
Все управление сводится к настройке одной точки доступа. Какой-то внешней системы не нужно.	Точек доступа десятки или даже сотни. Нужно: обновлять ПО; вносить изменения в настройки нескольких или всех точек; отслеживать — все ли точки «легальные»; иметь возможность визуально планировать радиопокрытие здания; мониторить местоположение пользователей в здании; помимо корпоративного доступа предоставлять гостевой — быстро и удобно; и многое другое… Понятно, что такое возможно только при централизованном управлении всеми точками доступа. Для этого и служит контроллер.
Бесшовного роуминга между точками доступа нет — да и не нужен он — точка-то одна.	Роуминг желателен. Чтобы абонент, перемещаясь внутри офиса, не чувствовал переключения между точками доступа. Хотя часто ли в офисе сотрудники работают на ходу?

Это самые основные отличия, на самом деле их значительно больше. Именно поэтому компании, разворачивающие сеть внутри офиса, понимают, что это должно быть безопасно и удобно — и готовы платить. Но не все. Ведь стоимость сети из 20 точек, например, на Cisco Aironet может легко превысить $10 000. И больше половины составляет цена контроллера — специализованного appliance, сервера, который пропускает через себя весь трафик Wi-Fi сети и управляет всеми точками доступа к нему подключенными. Такие затраты «по зубам» лишь самым крупным и богатым компаниям. А что же делать остальным? И Ubiquiti нашла ответ, выпустив UniFi — первую систему корпоративного Wi-Fi с бесплатным контроллером. Собственно, это просто софт, который вы ставите на любой компьютер сети и получаете возможность:

управлять всеми точками, менять конфигурацию, софт новый заливать;
видеть состояние точек доступа на плане здания;
организовать Guest Access — у секретаря появляется специальная ссылка для генерации временных паролей в сеть для посетителей;
видеть всех ассоциированных пользователей, а также получать полную статистику по работе Wi-Fi сети.

То есть с этой железкой любой офис может себе позволить настоящий корпоративный Wi-Fi со всеми его удобствами и безопасностью. А интеграторам открывается поистине бездонный рынок малых и средних офисов — знай себе ставь.
Когда мы это все увидели и увидели цену (а это точка доступа 802.11g/n) — захотелось поскорее подержвать это счастье в руках. Итак, держим:

Очень симпатично выглядит, пластик матовый, очень приятный, сама точка выполнена в виде компактного плоского «блина» и стильно смотрится на обычном офисном подвесном потолке. Причем если не знать, легко принять UniFi за динамик или датчик пожарной сигнализации. С крепежом тоже все хорошо — для монтажа от вас нужна лишь крестовая отвертка и дрель (хотя три маленьких дырки в панели подвесного потолка можно провертеть и отверткой, но дрелью — правильнее). UniFi можно крепить и на стену, дюбели идут в комплекте. Кроме самой точки и крепежа, в коробке есть шнур и инжектор питания (как и другие устройства Ubiquiti, UniFi питается по витой паре через инжектор. Сразу скажу — инжектор не стандарта 802.3af, а свой собственный). И самое интересное — диск с контроллером.
Как я говорил, вся сеть на UniFi и компьютер с контроллером должны быть в пределах L2 сети (либо ее имитации, например, EoIP. И в этой сети должны быть доступны порты 8080 и 3478). Включаем саму точку UniFi и начинаем устанавливать софт. Мы ставили под Windows, но буквально несколько дней назад Ubiquiti выпустила версию для Linux, что приятно. Установка очень проста, интерфейс выполнен в виде Java-апплета, запускающегося в браузере. После ввода стандартного логина-пароля видим:

Как только мы включили точку, контроллер ее увидел и отразил в графе Pending, а также выдал Alert с вопросом — прописать увиденную точку на контроллере. То есть к контроллеру абы кто не подключится, только UniFi и только по воле администратора сети. Разумно.
При первоначальном подключении контроллер выясняем версию ПО точки и при необходимости ее обновляет. Это, кстати, можно отключить и обновлять ПО только по необходимости согласно «золотому правилу IT-шника». После успешного подключения на точке доступа загорается светодиодное кольцо приятным зеленым светом.
Теперь берем план нашего офиса, например в виде картинки формата jpg и загружаем в UniFi. И расставляем на этом плане, где какая точка находится. Да, плану можно задать масштаб и контроллер нарисует примерный радиус покрытия. И, если какая-либо точка отключится — вы будете видеть на плане офиса, где она. Удобно.

Теперь что же мы можем настроить:
1. В рамках одной физической можно сделать до 4-х независимых Wi-Fi сетей с разными SSID (Multi SSID)
2. Три из этих сетей можно транслировать в отдельные VLAN-ы
3. Гостевую сеть — VLAN только в интернет, например.
4. Шифрование для каждого SSID, поддерживается WEP, WPA-PSK, WPA-TKIP, WPA2 AES, 802.11
5. Приритетность трафика для каждого SSID. Чтобы например ваши гости не тормозили работу сотрудников при использовании одной и той же точки доступа.

Конечно, функциональность не самая богатая. Но в обычной жизни более чем достаточная.

Для примера, настроим гостевую сеть без шифрования

В списке сетей теперь две — корпоративная, с шифрованием, и гостевая (для простоты мы в ней шифрование не включили)

К нам подключился первый клиент, во вкладке «user» мы видим его уровень сигнала, WLAN и точку доступа, к которым он подключился, тип клиента и скорость, с которой он передает данные.

Вкладка statistics показывает общую информацию о UniFi:
Число подключенных клиентов,
передаваемый объем данных,
распределение клиентов по wlan,
слева выводится статистика по наиболее потребляющим клиентам и нагруженным точкам доступа
Очень наглядно.

А есть ли недостатки? Где же «ложка дегтя», спросите вы? Предвосхищая такие вопросы, сразу скажу что UniFi не умеет (пока не умеет):

Делать бесшовный роуминг — при включенном шифровании переассоциация занимает до 0,5 сек. Для данных это не критично, может быть заметным в VoIP. А часто ли сотрудники ходят по офису с ноутбуками (или Wi-Fi телефонами)? Все-таки 95% времени сотрудники работают на каком-то стационарном месте и в движении не работают.
Пока нет поддержки WDS/MESH. Для офиса это не критично — там все точки подключаются к одному коммутатору и все. А вот на складах — да, WDS удобен. И будет в UniFi к лету.

Других недостатков мы не обнаружили.

Общее впечатление у меня от UniFi остались очень позитивные. Конечно, сравнивать ее «в лоб» с такими навороченными решениями как Cisco Aironet было бы глупо — решения разного уровня. Как роллс-ройс и какой-нибудь обычный хороший авто. Малому и среднему бизнесу как раз нужно, чтобы было -просто, удобно и быстро. И дешево. А это как раз и есть — UniFi. Уровня защиты вполне достаточно для передачи коммерческих данных, а статистика и отображение точек на плане здания позволят администратору быстро реагировать на любые ситуации.

Да, увидеть живьем как оно работает, можно будет на конференции БЕСЕДА, куда я всех приглашаю. Целый день мы посвятим демонстрации новинок от Ubiquiti, так что будет интересно, приходите.
А теперь — ваши вопросы, пожалуйста спрашивайте.

habr.com