Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Wi-fi решение UniFi.

Некоторое время назад появилась задачка, наконец сделать недорогое решение Wi-fi (заменить действующие точки Wi-fi для дома D-Link, TP-Link)  с Головном офисе да и в компании в целом.

В начале рассмотрели решение на Cisco (но слово Cisco и слово недорогое-это при текущем курсе доллара никак не сопоставимые вещи), решение оказалось невоплотимо в жизнь из-за отсутствия бюджета. Еще одним интересным решением, с которое мне довелось видеть, это решение от Aruba. Оно оказалось несколько более дешевым, но аналогично никак не вписывалось в бюджет.

Но нежданно негаданно удалось познакомиться с еще одним решением UniFi, про которое я вообще никогда не слышал (благодарю Александра за возможность познать и познакомиться с решением поближе).

https://www.ubnt.com/unifi/unifi-ap/

Решили остановиться на нем, чем интересно решение для нас в текущей ситуации и при текущем бюджете:

  • Безусловно, это цена вопроса.
  • Не требуется разворачивать отдельный сервер управления точками, он устанавливается за 5 мин на любой комп.
  • Точки достаточно интересны, поддерживают бесшовное переключение.

Для начала купили 3 точки: http://www.ubnt.su/ubiquiti/unifi-ac-pro.htm

Развернули контроллер и приступили к настройке (отдельно хочу поблагодарить Романа, за помощь в настройке и за правильные идеологические наставления по архитектуре о том, как это все правильно должно быть с сетевой точки зрения)

Сами точки при подключении определяются на контроллере, их же можно прикрутить к визуальной карте помещения:

Далее необходимо настроить сами точки доступа, прописать необходимые группы применения политик сервера

В целом настроек на самих точках не много, все остальные настройки задаются на сервере управления.

Как раз здесь можно создать нужные нам политики и обозначить VLANs (нам необходима корпоративная сеть с авторизацией по RADIUS и гостевая)

Для RADIUS необходимо будет создать RADIUS профиль.

Задаем настройки Гостевой сети

Задаем настройки защищенной корпоративной сети

Вот собственно и сам RADIUS профиль

Здесь же можно задать шейпинг на те или иные точки для тех или иных групп

Далее по аналогии настраиваем филиалы и прописываем необходимые политики для каждой точки.

Все остальные настройки касаются непосредственно самого сервера управления, не забываем про бэкап.

По итогам эксплуатации, наверно прошло уже месяца 3 или более, что хотелось бы сказать по итогам внедрения:

  • Отличное недорогое решение полностью решающее текущую задачу.
  • Точки вроде безглючны (не отваливаются).
  • Безшовное соединение отрабатывает без проблем.
  • Отличный дизайн 🙂

Всем хорошей работы!!!

Реклама

29.03.2017 Posted by | Network and Wi-fi cisco, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи Wi-fi решение UniFi. отключены

Маршрутизаторы Tp-link vs D-Link vs ZyXEL.

После обвала рубля в 2 раза, все импортное оборудование приобретаемое за доллары и евро несколько подорожало (ну это мягко сказано, я плакалЪ).

В последние несколько лет вся наша распределенная  корпоративная сеть была построена на оборудовании Cisco, которое порой несколько заморочено в настройке и эксплуатации, но зато стабильно, как отбойный молоток Советского производства, который был у моего дедушки (uptime на многих железках уже более 2-х лет). Но цена на данные устройства, и текущий бюджет, все больше и больше заставляет смотреть в сторону Huawei (как оказалось, устройства от Huawei тоже совсем не дешевые), и менее  именитых собратьев Tp-link, D-Link, ZyXEL.

В филиалах мы используем маршрутизаторы Cisco 881 (но запасы уже почти иссякли), поэтому для небольших филиалов были приобретены три разных железки и поставлены на тестирование в туннель VPN Ipsec.

Первым тестировался  маршрутизатор Tp-link TL-R600VPN (подробно здесь: http://www.tp-linkru.com/products/details/cat-4909_TL-R600VPN.html#specifications)

snap11

Достоинства:

  • Цена (она просто минимальна, дешевле только даром).
  • Простота настройки через Web.
  • На этом достоинства данного девайса заканчиваются.

Недостатки:

  • VPN Ipsec туннель поддерживается, но железка периодически (в данном случае к сожалению достаточно часто) падает и сама не умеет «поднимать туннель» без перезагрузки железки руками (это самый важный недостаток, который автоматически вычеркивает данный девайс из дальнейшего рассмотрения и эксплуатации).

Следующим был поставлен на тестирование  маршрутизатор D-Link DSR-250 (подробно о нем тут: http://www.dlink.ru/ru/products/6/1634_b.html)

snap12

Достоинства:

  • Цену, по сравнению с Cisco, в данном случае можно отнести к достоинствам.
  • Настройка тоже не сложная, достаточно понятный Web интерфейс.
  • По сравнению с тем же Tp-link TL-R600VPN это более стабильный девайс.

Недостатки:

  • VPN Ipsec туннель поддерживается, девайс также отваливается от VPN и не умеет восстанавливать его автоматически (но падает значительно реже, чем Tp-link TL-R600VPN), восстановить туннель можно перезагрузив железку руками.
  • При наличии примерно 10 устройств подключенных через девайс, имеет достаточно большую нагрузку (более 75%), поэтому эксплуатация возможна только в небольших не критикал филиалах (в нашем случае устройство также не подходит для дальнейшей эксплуатации).

Еще одним девайсом, который удалось протестировать (и по сей день он еще тестируется) оказался Zyxel zywall-usg-20 (подробно о нем читаем здесь: https://zyxel.ru/zywall-usg-20/?characteristics).

snap13

Достоинства:

  • Цену, по сравнению с Cisco, также можно отнести к достоинствам, но она на треть выше чем у D-Link DSR-250.
  • Настройка своеобразная  и несколько замысловатая (не сразу удалось понять, как настроить туннель), настраивается через Web интерфейс.
  • По сравнению с D-Link DSR-250-это еще более стабильный девайс.
  • Достаточно хорошо держит нагрузку при прокачивании через туннель больших объемов данных и поточной информации.

Недостатки:

  • VPN Ipsec туннель поддерживается, при падении туннеля присутствует галка реконнект, и железка действительно умеет сама без перезагрузки восстанавливать туннель, а это то, что нам как раз необходимо (девайс применим к дальнейшей эксплуатации в наших условиях).

До устройства Huawei, на сегодняшний день, «руки пока не дошли», но как я писал выше, их цена уже в какой то мере сопоставима с железом от Cisco (не уверен, что получится значительная экономия).

Протестировав  эти три железки еще раз пришел к выводу, что «БЕСПЛАТНЫЙ СЫР БЫВАЕТ ТОЛЬКО В МЫШЕЛОВКЕ», не всегда дешево-это хорошо (имиджевые потери-они ведь порой невосполнимы). По стабильности работы ни одна из трех не идет не в какое сравнение с тем же маршрутизатором Cisco 881 (это не реклама-это только статистика, возможно Huawei сможет занять достойное место в нашей сети, но это покажет только время).

Полагаю, имеет смысл, посмотреть еще на железки Российских производителей (возможно они и не хуже): http://www.osp.ru/lan/2005/12/1339675/

Продолжение следует…

Всем хорошей работы!!!

07.04.2016 Posted by | Network and Wi-fi cisco, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи Маршрутизаторы Tp-link vs D-Link vs ZyXEL. отключены

Установка Cisco anyconnect на Windows 7/8/8.1.

Для организации VPN туннелей и использования внутренних корпоративных ресурсов компании, корпоративной политикой предусмотрено использование Cisco anyconnect.

snap

Для этого пользователям была предоставлена инструкция со скринами по установке и настройке, но в ходе установки, пользователи неоднократно столкнулись с проблемой:

The VPN client agent was unable to create the interprocess communication depot

и соответственно не устанавливается.

Решение проблемы здесь (при том работают оба метода): http://answers.microsoft.com/ru-ru/windows/forum/windows_8-security/the-vpn-client-agent-was-unable-to-create-the/0fa4cfd3-6174-42ee-8408-84e551c9911a

Всем хорошей работы!!!

 

03.04.2014 Posted by | Network and Wi-fi cisco, huawei, tp-link, d-link, zyxel и другое... | Комментарии к записи Установка Cisco anyconnect на Windows 7/8/8.1. отключены