Как крепить cisco к потолку

Обновлено: 18.05.2024

Как обычно, такие мысли приходят когда нечего делать. Так вот, будучи на море я подумал: а почему бы не сделать дома бесшовный быстрый wi-fi… Как назло еще тесть купил себе Netgear Orbi, который работал на удивление неплохо.

Что у меня было на тот момент

Жилой дом на двух хозяев с железобетонной стеной посередине; 5 разных роутеров (накопились), подключенных через гигабитный коммутатор Cisco, один из которых — Asus RT-N66U — также выполнял функции маршрутизатора.

Честно говоря, не сказал бы, что все работало плохо: напрягало то, что клиенты зубами вцеплялись и не отпускали сеть при переходе от точки к точке; немного не устраивала скорость, хотя, на самом деле, даже g стандарта вполне хватало, а n — тем более.

Понятно, что первая задача могла бы решиться ковырянием в настройках (как я понимаю — установлением порога, при котором возможно подключение к сети) + может быть даже разделив точки по каналам и присвоив одинаковые ssid получился бы почти роуминг. Но это же не интересно! Надо было себя чем-то занять + потратить денег.

Постановка задачи

• быстрое переключение между точками доступа (именно бесшовное переключение в задачу не входило)
• уверенный прием во всех точках дома, и, желательно, на улице
• 802.11ac, и желательно с multi mimo — просто чтобы был, на будущее.
• одно из самых главных требований — чтобы все это работало стабильно и без головной боли, т.к. один раз поиграть с этим интересно, но постоянно играть (особенно, когда дома тебя нет, а тебе звонят и говорят — скайп отключился) — не особо хочется

Поиск решения

Вариант mesh (или тот же Orbi Netgear) мне не очень нравился изначально, т.к. была готовая локальная гигабитная сеть, и смысла устанавливать соединение между точками без проводов я не видел.

Больше всего, как мне показалось, для решения моей задачи, рекомендуют в сети Mikrotik и Ubiquiti (оба названия пришлось снова искать в инете, никак не могу запомнить их правильное написание).

Достаточно хорошим вариантом мне показалось оборудование Edimax. Про циску я, честно говоря, не думал, т.к. везде было написано, что стоить она будет космических денег и никому вообще не нужна априори.

Сначала я склонялся к Edimax, тем более что как я понял только у него реализовано большинство протоколов для обеспечение максимальной бесшовности (802.11r/k). Однако чего-то меня напугала не сильная распространенность (как следствие — возможные заморочки с поддержкой) и истинно тайваньское происхождение. Возможно зря и все там работает как часы… Но я начал больше смотреть в сторону Mikrotik/UniFi (Ubiquiti).

Дальше я начал встречать довольно много обсуждений почему не работает то или другое в данных вариантах и как это обойти. Начали закрадываться сомнения.

Решил поговорить с теми, кто это оборудование ставит. Нашел компанию, которая профессионально занимается установкой такого оборудования. У них на сайте, помимо вышеперечисленного, предлагалось оборудование Zyxel.

Инженер компании (кстати, общение с ним мне очень понравилось, и если бы остановился на этих брендах, не исключено что вообще бы отдал всю настройку им) сказал, что больше всего они делают таких сетей на UniFi, которое позиционируется как более надежное, по сравнению с Mikrotik, но и немного более дорогое. Еще был вариант какого-то американского, не менее редкого чем Edimax и жутко дорогого оборудования.

В какой-то момент инженер сказал следующее: Вы, наверное, начитались там про то, что точки виснут. Но этот вопрос решен, т.к. умные коммутаторы пингуют их и перегружают, если те подвисли. В общем, эта мысль сразу заставила меня начать думать в сторону чего-то более серьезного, чтобы не нужно было проверять его на зависание, а которое просто бы не висло…
На вопрос «а нельзя ли сделать то же самое на циске» инженер ответил, что это будет слишком сложно для меня в эксплуатации и с циской они не работают.

Сравнение с оборудованием Cisco

Сложность меня как-то не сильно пугала. Я хоть и чайник и к ай-ти не имею никакого отношения, люблю поковыряться в чем-то непростом. И даже если бы пришлось все настраивать
только через терминал (но один раз) — это было бы нормальным.

Но вот что не нравилось — поверхностное изучение вопроса приводило к тому, что для Cisco надо покупать контроллер беспроводной сети, который будет управлять всеми точками доступа. А цена только на него составляла несколько десятков тысяч рублей. Смысла в этом для 5 точек доступа и 20-30 клиентов я, конечно, не видел.

У вышеперечисленных брендов контроллеры стоили в разы дешевле.

Надо сказать, что цена на сами точки доступа не различалась принципиально: в районе 6 тыс. руб. на UniFi (который был в приоритете на тот момент) и меньше 11 тыс. на начальный вариант циски. Т.е. общая разница на 5 точек доступа была не больше 20 тыс, что не являлось принципиальным вопросом.

Но вот дальнейшее изучение вопроса удивило меня гораздо больше: я понял, что, видимо, точки доступа начального уровня могут одновременно являться и контроллерами Mobility Express.

Если это было правдой, это бы сильно меняло картину: у того же юнифая мне нужно было купить умные свичи, перегружающие точки, еще не понятно куда их засунуть, и купить контроллер. А у циски — только точки доступа. В таком виде циска по цене была даже может немного дешевле (только если не брать родные адаптеры PoE по 5к рублей за штуку — в итоге был взять Dlink по 1к руб за адаптер).

Надо было убедиться, что я все правильно понял. Минусом циско было то, что разобраться в том, что я прав было достаточно сложно. Даже прочитав статьи на Хабре уверенности что все запустится не было совсем.

Плюс продаваемая версия выбранной мною точки — aironet 1815w — поставляется в РФ без Mobility Express (ME).

Я спросил представителя циски на Хабре, на что меня вежливо отправили в службу поддержки циско.

На мое удивление, служба поддержки очень вежливо и быстро отвечала. Так мне удалось выяснить, что а) все будет работать б) точку доступа я смогу сам перепрошить.

Реализация

Все же для начала я решил купить 3 точки доступа на пробу. Также решил поменять маршутизатор на cisco rv320 (надо сказать, что и асус почти никогда не подводил, но подводил несколько раз в очень неподходящий момент — когда в китае пользуешь встроенный в роутер впн для обхода «великого китайского файервола» — кстати говоря, работает в разы лучше платных впн сервисов).

И тут начались трудности

Настал тот момент, когда я начал задумываться чего я вообще натворил. Точки доступа не хотели подключаться ни через ssh ни через telnet (о веб морде не говорю — было сразу понятно, что она есть только в версии ME (Mobility Express). Был вечер пятницы, спросить было не у кого. На выходных почитал кучу всего. Понял, что разобраться в циске сложно именно потому, что некоторые вещи очень плохо описаны. Вернее описаны так, как будто я прошел курсы циски и у меня уже есть ответ на половину вопросов.

Например, как абсолютно очевидная вещь было описано подключение через консоль. Наверное, через час изучения я понял, что консоль — специальный адаптер, который невозможно купить просто так в РФ (а судя по заграничным форумам — и у них тоже).

Также совсем не очевидно при приобретении AP было то, что мне понадобиться контракт на их обслуживание только для того, чтобы иметь доступ к прошивке. Я, собственно, не вижу в этом ничего плохого, но надо как-то заранее предупреждать простым очевидным способом.

Выходные я думал о том как все хорошо работало без циски. Написал письмо в поддержку все тому же доброму человеку, типа как же я прошью их: нет ни прошивки, ни консольного адаптера (AIR-CONSADPT=). На что уже в понедельник утром отзывчивый Виктор предложил решить обе проблемы (напомнив, правда, что неплохо было бы приобрести контракт на обслуживание). Я выдохнул с облегчением.

Прошивка и настройка

С консолью проблем не возникло: подключился через Putty, прошил одну из точек и переключил ее в режим Mobility Express. После чего появилась возможность настраивать все через web интерфейс, что меня, конечно, порадовало.

Остальные 2 точки тоже подключились без проблем: уже через веб интерфейс дал им доступ к прошивке на tftp.

Остался так и не выясненным вопрос: могу ли я подключиться к отдельной точке доступа, если выключить точку, являющуюся контроллером ME, через тот же SSH. Исходя из того, что читал — кажется что также не могу. Потому что управление всеми точками доступа, как я понял, выполняется через ssh подключение к основной точке доступа — контроллеру.

Надо сказать, что настроек в веб интерфейсе, можно сказать, совсем не много. Из значимых — плотность пользователей. Ее я выставил на минимум, т.к. как я понял это позволяет увеличить дальность приема.

Точки были установлены по одной на этаж.

Что получилось в итоге

Про надежность говорить пока рано: пользуюсь только несколько дней. Странно, если бы уже были проблемы.

Переключение между точками доступа

• Быстрое передвижение между точками доступа приводит к потери до 5 пакетов при пинге (иногда теряется меньше или не теряется вообще)
• Один раз оборвался звонок в скайпе. Удалось поговорить по whatsapp без обрыва связи.
• Копирование файла между локальными компьютерами при переходе между точками доступа не прекращается. Правда, видимо, и не должно, т.к. оно не прекращалось даже при переключении между разными сетями.

Скорость

Тут я немного разочаровался. Хотя максимальная скорость в 800 с лишним мбит не стояла в цели, хотелось бы, чтобы хотя бы в теории она была.

На практике ноут с intel ac8260 копирует по локалке файл со скоростью около 60 мбайт/сек если чуть ли не поставить его на AP, а если отойти метра на 3, то скорость падает до где-то 35 мбайт/сек.

Подключение 2 ноута на atheros QCA61x4A на ту же задачу одновременно практически делит скорость пополам! (копирование по проводу того же файла происходит со скоростью 100+ мбайт/сек).

Что еще больше удивило — в веб интерфейсе Mobility Express при этом написано, что канал почти полностью загружен (при теоретической загрузки его примерно на четверть при скорости около 35 мбайт/сек).

В общем, я допускаю, что сетевая карта ноутов просто не тянет (нет mu mimo), и что я что-то не до настроил (что точно) но с чего такая загрузка канала на точке — все равно не понимаю.
В общем, решил проверить какая скорость на станом любимом асусе — оказалось, что она примерно в 2 раза хуже, что немного утешило (хотя, в общем-то, это очевидно — там n стандарт).

Уверенный прием

Вот эта часть вопроса до сих пор до конца мной не понята: ощущение, что сигнал процентов на 30 хуже (просто субъективно), чем у асуса. Понятно, что там внешние антенны и т.п.

Как-то в голове не укладывается, что делают точку доступа, чтобы потом ставить ее через каждые 15 метров. Ну и в общем ощущение, что сигнал как-то «скачет» — то полный на расстоянии 10 метров через стены, то 4 из 5 делений на расстоянии 3-х метров.

Пока списываю это на недонастройку… уже собрался купить контракт на обслуживание (благо он, как оказалось, стоит меньше 2к рублей) и мучить поддержку.

Нерешенный вопрос

Одним нерешенным вопросом осталось то, что не работает встроенный в точку доступа switch с тремя гигабитными портами.

Как я понял из описания, направлять туда траффик с общего подключения точки доступа невозможно без использования более серьезных контроллеров (что уже странно), но он вроде как должен хотя бы работать как switch, что спасло бы меня в некоторых точках — я бы подключил через этот switch саму точку доступа, а два порта остались бы свободны…

Но не работает и так. Долгое ковыряние консоли ничего не дало. Возможно оно как-то и включается. Но а) я чайник б) там очень-очень много настроек относящихся к портам. Какие-то я пробовал включать/выключать. Но вот какую их комбинацию применить для того, чтобы заработал switch — толком нигде не написано… Буду мучить поддержку…

Субъективные выводы

В целом я доволен. Еще бы, признаться себе, потратив прилично денег и времени, что можно было жить и на старой системе — это задача из разряда невозможных.

Однозначно доволен выбором циски — небольшой бюджет + надежда на надежность.

Что в итоге нравится:

• Как происходит переключение между точками доступа
• Скорость работы

Что не нравится совсем:

• Не смог включить встроенный коммутатор
• Сложная настройка, точнее — даже не настройка, а сложное, часто не очевидное описание некоторых вещей, которое, как мне кажется, и отпугивает многих при выборе оборудования. Мне кажется в начальном сегменте вполне можно было бы не создавать видимость сложности, профессиональности оборудования, а сделать все несколько проще и доступнее.

Upd: ложка дегтя (хотя нет, пожалуй, даже стакан дегтя)

Коммутатор я встроенный так и не включил. Но расстраивает не это: я купил поддержку для точки доступа — она оказалась дешевой — в районе 1700 руб. Но вот засада — работает она ужасно :( (имхо, конечно), чего я никак не ожидал. Почему-то я был уверен, что поддержка за деньги должна работать как часы.
Может быть это какая-то «дешевая» поддержка, которая и работает соответственно :), а есть «хорошая», но я в этом разобраться не могу.

Если конкретнее, как только я создал заявку на поддержку, мне тут же ответил инженер, что он будет со мной работать и мне поможет.

Дальше тишина :). Я написал ему 2! письма, типа — ну чего там? Где поддержка то :) Во втором письме поставил в копию еще другие адреса циско, после чего инженер засуетился и начал бурную переписку (которая заключалась в том, что помочь он мне не может — без внешнего контроллера внутренний switch работать не будет). Я ему сказал, что исходя из даташита (как я его понимаю), не работает tunneling траффика от контроллера в switсh, но как отдельный switch он работать должен. После чего инженер сказал, что выяснит обязательно это, чтобы я прислал ему ссылку и ему понадобится несколько дней. Прошло больше недели… я написал ему еще раз — как дела? И еще раз на следующий день — теперь поставил снова в копию другие адреса.

Ну и пока тишина…
В общем, хорошо что все оборудование работает четко и туда я больше не лазил: пользуюсь и радуюсь.
И русская поддержка бесплатная работала просто супер (о чем писал в статье — спасибо ей). Может мне просто не повезло с инженером… А может так она и работает — платная поддержка :))??

Upd2: Happy end

Еще через несколько дней после написания статьи мне все же ответил инженер. Ответ его был радостным — product team выпустила новую прошику, в которой моя проблема решена (и даже больше — внутренние lan порты в мобилити экспресс теперь не просто работают как отдельный свич, но и направляют весь траффик через контроллер.

В общем-то, проблема действительно решилась, только вот настроить я опять же сходу не смог. Написал в поддержку, в течении суток ответа не дождался и разобрался сам.

Каждая модель телефона имеет свой уникальный комплект настенного крепления, который нельзя использовать для других моделей. Чтобы установить телефон на стене, необходимо приобрести комплект настенного крепления для вашего телефона.

Чтобы проверить, какая у вас модель телефона, нажмите Приложения

и выберите Информация о телефоне . В поле Номер модели отображается модель вашего телефона.

Телефон Cisco IP

Комплект настенного крепления Cisco

Телефон Cisco IP 7811

Запасной комплект настенного крепления для телефонов Cisco IP 7811

Телефоны Cisco IP 7821 и 7841

Запасной комплект настенного крепления для телефонов Cisco IP серии 7800

Телефон Cisco IP 7861

Запасной комплект настенного крепления для телефонов Cisco IP 7861

Телефоны Cisco IP 8811 и 8841

Запасной комплект настенного крепления для телефонов Cisco IP серии 8800

Телефоны Cisco IP 8851, 8851NR и 8861

Запасной комплект настенного крепления для телефонов Cisco IP серии 8800

Указанный комплект настенного крепления нельзя использовать с клавишной приставкой.

Запасной комплект настенного крепления для телефонов Cisco IP серии 8800 с одной клавишной приставкой на 28 клавиш (с блокировкой)

Указанный комплект настенного крепления подходит для телефонов Cisco IP 8851, 8851NR и 8861, которые поддерживают работу с клавишной приставкой. Он имеет функцию блокировки.

Телефоны Cisco IP 8845, 8865 и 8865NR

Запасной комплект настенного крепления для телефонов серии Cisco IP 8800 Video

Указанный комплект настенного крепления подходит только для телефонов Cisco IP 8845, 8865 и 8865NR. Он может быть заблокирован, но не может использоваться с клавишной приставкой.

Компоненты настенного крепления

Комплект настенного крепления можно прикрепить к большинству поверхностей, в том числе бетонной, кирпичной и другим твердым поверхностям. Однако элементы вашего комплекта настенного крепления подходят только для гипсокартона. Для крепления телефона к другим поверхностям необходимо взять соответствующие винты и анкеры.

Перед установкой комплекта убедитесь, что в вашем распоряжении находятся правильные компоненты. С помощью таблицы и рисунка проверьте содержимое комплекта настенного крепления для конкретной модели телефона.

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

О переводе

Cisco may provide local language translations of this content in some locations. Please note that translations are provided for informational purposes only and if there is any inconsistency, the English version of the content will prevail.

Book Title

Руководство по установке оборудования коммутаторов Cisco Catalyst серии PON

Установка

View with Adobe Reader on a variety of devices

Results

Chapter: Установка

Предупреждения о соблюдении техники безопасности

В этом разделе приводятся основные предостережения при базовой установке. Рекомендуется ознакомиться с этим разделом перед началом установки.

Перед выполнением работ с оборудованием, подключенным к источнику питания, снимите украшения (включая кольца, шейные цепочки и часы). При соприкосновении с проводом под напряжением и заземлением металлические предметы нагреваются, что может вызвать тяжелые ожоги или приваривание металлического предмета к контактам. Заявление 43.

Не ставьте корпус на какое-либо другое оборудование. При падении корпус может причинить тяжелые травмы и повредить оборудование. Заявление 48.

Перед началом монтажа на стену внимательно ознакомьтесь с инструкциями. Использование ненадлежащих креплений или несоблюдение надлежащих процедур может привести к возникновению угрозы для людей или повреждению системы. Заявление 378.

Запрещается использовать систему, а также подключать или отключать кабели во время грозы. Заявление 1001.

Прочитайте инструкции по установке перед подключением системы к источнику питания. Заявление 1004.

Если это единственное устройство в стойке, его следует установить в самой нижней части стойки.

При установке этого устройства в частично заполненной стойке загружайте стойку снизу вверх, устанавливая самые тяжелые компоненты в нижней части стойки.

Если стойка оснащена приспособлениями для повышения устойчивости, устанавливайте их перед началом монтажа или обслуживания устройства в стойке.

Лазерный продукт класса 1. Заявление 1008.

Данный блок предназначен для установки в зонах с ограниченным доступом. В зону с ограниченным доступом можно попасть только с помощью специального инструмента, замка и ключа или других средств обеспечения охраны. Заявление 1017.

Необходимо обеспечить постоянный доступ к штепсельной вилке и розетке, поскольку они вместе представляют собой главное разъединительное устройство. Заявление 1019.

Это оборудование должно быть заземлено. Никогда не отсоединяйте провод заземления и не эксплуатируйте оборудование без правильно смонтированного провода заземления. При возникновении любых сомнений по поводу заземления обратитесь в ведомство, отвечающее за электротехнический контроль, или к электрику. Заявление 1024.

Установку, замену и обслуживание данного оборудования может выполнять только специально обученный и квалифицированный персонал. Заявление 1030.

Утилизация данного продукта должна проводиться в соответствии со всеми государственными законами и нормами. Заявление 1040.

Для подключений за пределами здания, где установлено оборудование, следующие порты необходимо подсоединить через утвержденный оконечный комплект сети с защитой интегральных схем: 10/100/1000 Ethernet. Заявление 1044.

При установке или замене устройства заземляющее соединение должно всегда выполняться в первую очередь и отключаться в последнюю. Заявление 1046.

Для предотвращения перегрева системы не эксплуатируйте ее в зоне, где температура окружающей среды превышает максимальное рекомендуемое значение, равное 40 °C. Заявление 1047.

Отсоединенные оптоволоконные кабели или разъемы могут быть источниками невидимого лазерного излучения. Не смотрите на лазерный луч и не направляйте на него оптические приборы. Заявление 1051.

Этот символ означает опасность. Пользователь находится в ситуации, когда может быть нанесен вред здоровью. Прежде чем начинать работу с любым оборудованием, пользователь должен узнать об опасностях работы с электрическими цепями, а также ознакомиться со стандартными приемами предотвращения несчастных случаев. По номеру заявления в конце предупреждения можно найти его перевод в документе с переведенными предупреждениями о соблюдении техники безопасности, который входит в комплект поставки данного устройства. Заявление 1071.

Опасные напряжения могут присутствовать в цепях передачи питания по кабелю Еthernet (PoE), если межсоединения выполнены неизолированными металлическими контактами, проводниками или наконечниками. Избегайте использования межсоединений, сделанных таким способом, за исключением случаев, когда открытые металлические детали располагаются в помещении с ограниченным доступом, а пользователи и обслуживающий персонал, имеющие доступ в такую зону, осведомлены об опасности. В помещение с ограниченным доступом можно попасть только с помощью специального инструмента, замка и ключа или других средств обеспечения охраны. Заявление 1072.

Внутри нет деталей, обслуживаемых пользователем. Не открывать. Заявление 1073.

Установка оборудования должна производиться в соответствии с местными и национальными электротехническими правилами и нормами. Заявление 1074.

Для свободного прохождения воздушного потока вблизи вентиляционных отверстий необходимо оставить зазор не менее 7,6 см. Заявление 1076.

Шпаргалки и заметки о сетевых технологиях, серверах, СХД, IT в принципе. И о разном другом) Чтоб самому не забывать, и другим помочь.

среда, 14 августа 2019 г.

Фурнитура и аксессуары для точек доступа Cisco (и не только)

Обычно мы рассматриваем разные железки и их настройки, и это довольно интересно. Но вокруг темы ИТ вообще очень много побочных вещей, которые напрямую не относятся к железкам, но зато тесно связаны с ними. Ведь построение сети никогда не является самоцелью, если вы делаете это не в лабе. Всегда сеть - это только основа, чтобы пустить по ней в путешествие какой-либо трафик, который принадлежит приложениям. А дальше этой сетью и приложениями должны пользоваться те, ради кого это все делается - пользователи.

Для того, чтобы мы установили оборудование и приступили к настройке, придумано множество разных дополнительных вещей, пассивно помогающих сделать инфраструктуру лучше - это кабельные органайзеры, патч-панели, миллионы видов кабелей, мелкие стяжки, стойки, системы охлаждения и так далее - все, что позволяет качественно организовать серверное помещение и провести кучу линий связи до конечных пользователей. В общем, стройка - это тоже красиво, технологично и круто!

Казалось бы, что может быть проще: получили точку доступа, вынули коробки набор для монтажа (mount kit), который представляет собой обычно кусок металла с прорезями под винты и с держалками точки доступа, установили на потолок, подвесили точку. Все, конец. Но, оказывается, есть куча вариантов на самый прихотливый вкус.

Для наглядности возьмем точку Cisco 3802i со спрятанными внутрь корпуса антеннами. Вот она, красавица:

Рядом с ней лежит тот самый комплект для монтажа. Данная пластина монтируется на потолок, после чего точка доступа цепляется за нее специальными цеплялками. Все довольны. Но что делать, если потолок - армстронг с металлическими профилями? Если повесить её непосредственно на потолок, закрыв панелями, то сигналу это явно повредит, рассеивание увеличится. Нужно сделать что-нибудь такое, чтобы точка доступа находилась ниже уровня металлических конструкций потолка.

Вариант первый - прорезаем в потолочной плите отверстие под размеры точки и закрепляем колхозными методами.

Вариант второй - прорезаем в потолочной плитке отверстие под размеры точки и устанавливаем специальное крепление для потолка типа армстронг. Вариантов дополнительных креплений очень много, ниже примеры:

Более подробно о вариантах крепления можно почитать здесь: Документация по монтажным комплектам для точек доступа.

Если вы думаете, что вариантов всего два, то вы ошибаетесь. Вариант три - заказать специальную кастомную плитку-квадрат для установки точки доступа. Выглядеть это будет вот так:

При этом Cisco у себя в документации ссылается на стороннего производителя, мол, заказывайте у них. Примером служит вот такая компания, которая специализируется на подобных потолочных конструкциях для точек доступа. Чего там только нет - крепежи, специальные шкафчики для установки точки доступа, разные угловые крепления. В общем, повесить точку доступа можно любыми способами на любую форму поверхности. Фактически, им для производства требуются только размеры точки и расположение креплений. Странно, что в России никто не делает такого - металла у нас полно, фрезерных станков тоже. Можно и замутить свой бизнес.

Теперь еще одна ситуация, связанная с монтажом и установкой точки в интерьер. Представим, что точку доступа повесили на ровный потолок. В глаза бросается технологическая щель, которая позволяет получить доступ к проводам. На фото эта выемка очень хорошо видна (точка 3802 похудела до 2802, но это не важно для нашего повествования - проблема там одна и та же).

Как закрыть эту технологическую выемку? Первый вариант - бюджетный. Берем белый монтажный скотч и заклеиваем её. Дешево и сердито, но как-то не эстетично.

Но ведь перед нами Cisco! Техногигант! Наверняка есть что-то более технологичное. Оказывается, есть. Но не напрямую у Cisco, а у их подрядчиков. Заходим на страничку вендора, и видим, какой именно скотч рекомендует техногигант. А еще видим там ссылку на ребят, у которых есть 3D-принтер. Они-то и напечатают необходимые закрывашки (cover plates) для точек доступа. Всего 10 долларов (на момент написания статьи) и все технологические отверстия закрыты с помощью специальной штуки из ABS-пластика (я не шарю, поправьте меня).

Если вы серьезно занимаетесь Wi-Fi, то у вас точно есть своё лабораторное оборудование. Без него, на мой взгляд, не обойтись. Если вы собираетесь серьезно заниматься Wi-Fi, то рано или поздно, у вас возникнет необходимость обзавестись лабораторией. В этой статье я расскажу, как сделать это с минимальными затратами и для каких задач лаборатория может быть необходима, на реальных примерах.

Где купить?

У Cisco есть 2 основных типа контроллеров, железный и виртуальный. Виртуальный работает только в режиме FlexConnect и это накладывает ряд ограничений, но во многих случаях его достаточно. У него есть одно неоспоримое преимущество, он условно-бесплатный. Точнее, полнофункциональная демо лицензия на почти 3 месяца активируется сразу после установки. 3 месяца это достаточный срок для испытаний. Если вам его нужно продлить, просто переустановите контроллер (сохранив конфиг) или еще проще, откатитесь на заранее созданный снимок виртуальной машины ;) опять же не забыв сохранить конфиг. Железный контроллер типа 2504 можно купить недорого в тех же местах где и точки. Сейчас их много на рынке.

Для установки виртуального контроллера вам потребуется:

1. Сервер где будет крутиться виртуальная машина. Для задач лабораторного контроллера подойдет любой ноутбук с 64 битным процессором, поддерживающим VT-x. Например, у меня это бывалый Thinkpad X220 на i5. Если у вас на работе в доступе есть могучий блейд с ESXi, конечно же уместно воспользоваться его мощностями. В общем, выбирайте из имеющегося.

2. ПО виртуализации типа VMware Workstation (немножко платный) или VirtualBox (даром отдают). Какой выбрать, решать вам. По моему опыту, OVA шаблон с виртуальным контроллером развернулся и заработал не на всех версиях VirtualBox. Заработал только на более старой, 5.0.16 и то не сразу. На 5.1.8 не заработал. На 5.2.6 не заводится конкретный OVA с 8.5 версией контроллера. На VMware Workstation завелся сразу и работал как часы, так что могу рекомендовать его.

Не буду подробно с картинками рассказывать, как развернуть OVA, делается это как обычно. Открываете .ova, указываете где хранить машину и вперед…

Далее все пройдёт автоматически и скоро вы увидите, что пошла загрузка контроллера.

После загрузки вы увидите привычный диалог первой настройки контроллера, для которой вы конечно же заранее подготовились. На всякий случай в спойлере напомню параметры, которые потребуются. Значения, разумеется, ставить свои, а сервисный порт важно поместить в другую подсеть.

Если веб доступа нет, вероятно, вы не к тому сетевому адаптеру привязали виртуальный.
Edit – Virtual Network Editor решит этот вопрос.

Далее все как обычно с контроллером, за исключением того, что точки доступа, чтобы заработать, должны быть переведены в режим FlexConnect. И не забудьте активировать лицензию, иначе вы будете долго гадать, почему же не устанавливается DTLS туннель!

Несколько примеров, для чего полезна лаборатория

Проверка нестандартных решений

*Mar 1 01:39:34.265: %DOT11-4-UPLINK_DOWN: Interface Dot11Radio1, parent lost: Too many retries
*Mar 1 01:39:34.265: E76D58EB-1 Uplink: Lost AP, Too many retries
*Mar 1 01:39:34.265: E76D597D-1 Uplink: Setting No. of retries in channel scan to 2
*Mar 1 01:39:34.265: E76D5985-1 Uplink: Wait for driver to stop
*Mar 1 01:39:34.265: E76D5FBB-1 Uplink: Enabling active scan
*Mar 1 01:39:34.265: E76D5FCA-1 Uplink: Not busy, scan all channels
*Mar 1 01:39:34.265: E76D5FD2-1 Uplink: Scanning
*Mar 1 01:39:34.313: E76E2161-1 Uplink: Rcvd response from 003a.7db3.c54f channel 161 538
*Mar 1 01:39:34.325: E76E231F-1 Uplink: An AP responded, try to assoc to the best one
*Mar 1 01:39:34.341: E76E82D7-1 Uplink: dot11_uplink_scan_done: rsnie_accept returns 0x0 key_mgmt 0xFAC02 encrypt_type 0x200
*Mar 1 01:39:34.341: E76E82ED-1 Uplink: ssid GMXM-C auth open
*Mar 1 01:39:34.341: E76E82F4-1 Uplink: try 003a.7db3.c54f, enc 200 key 4, priv 1, eap 0
*Mar 1 01:39:34.341: E76E82FE-1 Uplink: Authenticating
*Mar 1 01:39:34.341: E76E855C-1 Uplink: Associating
*Mar 1 01:39:34.341: E76E8DEB-1 Uplink: EAP authenticating
*Mar 1 01:39:34.353: %DOT11-4-UPLINK_ESTABLISHED: Interface Dot11Radio1, Associated To AP GMXM-1702i-1 003a.7db3.c54f [None WPAv2 PSK]
*Mar 1 01:39:34.353: E76EB2C7-1 Uplink: Done

В данном примере 353-265=88мс было потрачено на сканирование, выбор и переключение.
Разные варианты эксперимента показали время до 200мс, что всех устроило.
Может быть, для анализа времени роуминга правильнее бы было воспользоваться перехватчиком пакетов, слушать эфир с двух адаптеров и анализировать потом, но на тот момент это показалось достаточным.

Проверка свежего софта на стабильность

Есть полезное правило: лучшее враг хорошего. Если ваш софт актуальный, рекомендуемый как стабильный и вам достаточно его возможностей, менять его незачем. Если же вам нужны новые фичи, типа AVC на FlexConnect, то вероятно софт придется обновить. Если вы обслуживаете большую сеть, с сотнями или тысячами ТД, то риск того, что на свежем софте что-то пойдет не так, он есть. Для этого полезно иметь лабораторию, где можно на недельку запустить нужный софт и испытать его. Сколько стоит 1 час простоя сети на вашем предприятии? Сколько стоит набор для лабы? Сравните эти цены и решите сами.

Проверка времени простоя при применении некоторых команд

Если вы настраиваете живую сеть, это много интереснее, только нужно быть внимательнее и наперед знать результат ваших действий. Если простой живой сети создает проблемы, то лучше попробовать команды, которые требуют перезагрузки точек, заранее.
Например, есть такая удобная штука как RF Profile, в котором меняются data rate, рабочие MCS, параметры автоматического управления радиоэфиром, а также еще несколько полезных параметров типа RxSOP. Этот профайл вешается на группу точек, настраивая их разом. При этом нужно помнить о том, что если вы меняете существующий профайл, который уже в работе, то результата не последует. Изменения внесены не будут. Нужно прикрутить к группе точек другой профайл, точки перегрузятся, с его настройками, потом прикрутить исходный, который вы меняли, и тогда, повторно перегрузившись, точки заработают на новых настройках. Сколько времени это займет можно узнать, проведя эксперимент в офисе, чтобы потом согласовать с заказчиком небольшой перерыв связи.

Вразумить несговорчивых соседей по Wi-Fi

Допустим, ваша офисная сеть построена на UniFi. Соседние помещения арендует другая компания, а её админ, не зная о том, что в диапазоне 2.4ГГц всего три непересекающихся канала настроил соседнюю с вашей точку на 3й канал, да еще и 40МГц занял! Или даже это не админ сделал, а кривая прошивка сама выбрала 3й канал. При этом люди через этот третий канал торренты качают постоянно. Ваши коллеги стали жаловаться, что Wi-Fi работает хуже. Что делать? В идеале, перевести всё (оборудование) и всех (клиентов) на 5ГГц и забыть об этом страшном времени, когда ваш спектроанализатор показывал вот такие картинки

В реальной жизни пока это не удается. 2,4ГГц в РФ все еще популярен, спасибо производителям бюджетных китайских смартфонов.

Итак, перевести не получится, нужно общаться с соседним офисом. Скорее всего, если вы понятно объясните зачем им менять настройки, вопрос решится быстро. Если же никакие уговоры не помогают, или соседних офисов много и непонятно кто источник ваших беспокойств (хотя его можно обнаружить каким-нибудь бесплатным Wi-Fi Analyzer на вашем смартфоне), тогда можно применить тяжелую артиллерию. В разделе Monitor – Rogues, найти интересующую вас точку и в Update Status выбрать Contain.

При этом контроллер заботливо вас предупредит о том, что это может быть нелегально. По сути, вы инициируете DoS атаку на сеть соседа, посылая со своих точек 802.11 de-authentication кадры от имени точки соседа для его клиентов. И всё, если вы слышите эту точку хотя-бы на уровне -70дБм и нажали кнопку Apply, выбрав при этом максимальное number of APs to contain the rogue, то все его клиенты просто перестают работать.

Люди не понимают, что происходит, так как физически отрубает и подключиться невозможно. Они пытаются менять настройки, это не помогает. Если вы при этом (через пару дней) заметили, что канал поменян, причем удачно, то статус Contain снимается и все довольны. Если нет, то решайте сами. На моём опыте, один раз через пару недель было обнаружено что люди поставили новую точку доступа, SSID остался прежний, но канал опять настроили криво.

Если кто знает, чем это легально может грозить в РФ, буду рад вашим комментариям. Так же любопытно, какие доказательства могли бы быть приняты. Обнаружить, что вас досят можно, но нужно обладать серьезной инфраструктурой, которая увидит, что это происходит и скажет об этом подобным образом: Warning: Our AP with Base Radio MAC f4:ea:67:00:01:08 is under attack (contained) by another AP on radio type 802.11b/g.

Ежели кто-то обладает такой инфраструктурой, крайне маловероятно, что он будет допускать подобные грубые ошибки в настройке. Если у вас есть софт типа Omnipeek для перехвата 802.11 кадров и адаптер, который может работать в promiscuous режиме, то он поможет обнаружить такую проблему. На любимом Kali Linux, вы и так знаете как ловить кадры и что делать. Таким образом, если вдруг в вашей сети люди резко перестали подключаться к Wi-Fi, совсем, ищите софт для перехвата, а перед этим проверьте, не мешаете ли вы соседям.

Если вы сомневались, просить ли у начальства (или у себя) выделить средства на покупку трех точек доступа чтобы собрать весьма полезную Wi-Fi лабораторию, я надеюсь ваши сомнения рассеяны.

Читайте также:

  
• Как снять кнопку унитаза на стене
  
• Установка квадратных светильников в подвесной потолок
  
• Как разобрать замок межкомнатной двери
  
• Входная группа в цокольный этаж частного дома
  
• Фундамент ф5 а объем