802.11u hotspoti standard ZD 9.5-s nüüd saadaval

11u standardi mõte on luua wi-fi-st 3G/4G mobiilsidega sarnane kogemus, kus kasutaja ei pea tegelema võrkude otsimise, sisselogimise jt tülikate protseduuridega.  11u (Hotspot 2.0) standard võimaldab eri teenused samasse AP-sse ja ühe SSID alla koondada, seega saate oma  hotspot võrgus  pakkuda näiteks kümnete rahvusvaheliste operaatorite teenuseid.

2013 aastal peaks tulema 11u tehnika kõikidesse telefonididesse ja  tõsisematesse wi-fi süsteemidesse. Ruckus toetab 11u Zonedirector kontrollerilahenduses alates versioonist 9.5.

Standard on kasulik ka ettevõtete avalikes külalisvõrkudes.

Kuidas teha külaliste võrk ilma VLAN toeta, sama DHCP ja ruuteriga

Sama DHCP vahemik ja ruuter on enamasti ohuks, sest külalised võivad ära kasutada kõik DHCP aadressid, panna püsti oma DHCP serveri jne.

Tavaliselt luuakse külaliste võrgud VLAN (Virtual LAN) tehnoloogia baasil, kui aga sellist tehnoloogiat kasutada ei saa, pakub Ruckuse wi-fi süsteem välja mitmeid teisi lahendeid.  Lihtsaim viis on majasisese külalliste võrgu tunneldamine kontrollerisse ja külaliste liikluse krüpteerimine AP-st kontrollerini.  Sellisel juhul väljub liiklus kontrolleri pordist eraldi VLAN märgentiga (dot1.q tag) ja seda on võimalik suunata näiteks eraldi ruuterisse või interneti ühenduse külge.

Teise lahendusena pakub Ruckuse võrk kasutajapõhist kiiruse piiramist ja SSID põhiseid ACL liste, see võimaldab ressursse piirata ja tagada ligipääs ainult internetile. Siiski on olemas juhuseid, kus VLAN arhitektuur, eraldi ruuter ja DHCP puuduvad ning neid pole võimalik luua ei virtuaalsel ega ka füüsilisel kujul.

Seega paiknevad külalised ja sisevõrgu kasutajad samas füüsilises võrgus pärast kontrollerit, liiklus on tunneldatud ja krüpteeritud kuni kontrollerini. Ruckuse avalikus wi-fi võrgus (näiteks ssid avalik) lubame DHCP option 82, siis saab konfigureerida DHCP-d andma külaliskasutajatele aadressid teisest piirkonnast kui sisevõrgukasutajatele. Näiteks sisevõrgus on aadressid 192.168.1.2-192.168.1.100 ja avalikus 192.168.1.200-192.168.1.240.

Lisaks sellele, et SSID-l on piiratud ligipääs teistele sisevõrgu kasutajatele, saab vajadusel ka avaliku võrgu aadresse muudes seadmetes igaks juhuks piirata, sest on ju need aadressid DHCP poolt segmenteeritud teise piirkonda.

Table 24. DHCP Circuit ID sub-option format
Curcuit ID Indicator sub-option Type:
WLAN or Ethernet
Interface Name
VLAN ID
ESSID
AP Model
AP AP Base Friendly MAC
Name Address
WLAN Example:
CIRCUIT ID – WLAN:’wlan0’:123:Wi-Fi Services:ZF7762-S:Coffee-Shop-
AP:04:4F:AA:34:96:50

Võlts DHCP vastu saab kontrollerist peale keerata Configure->Services

Enable Rogue DHCP Server Detection

Virtual LAN (VLAN) ehk virtuaalvõrgud ja Ruckus

Virtuaalvõrke seostatakse tavaliselt 802.1q märgitud (tagged) võrguprotokolliga, mis lubab ühes ja samas arvutivõrgu meedias (100 BASE-T,WLAN jne) kasutada mitut üksteisest lahutatud võrku. Wi-Fi võrkude puhul on tavavõrgu virtuaalsed võrgud enamasti muundatud erinevateks SSID-deks ehk võrgunimedeks või siis Ruckuse puhul on sellele lisatud ka BSSID, s.t. igal SSID-l on ka eraldi MAC aadress.

Mitu BSSID-d on kasutusele võetud peamiselt ühilduvuse tagamiseks, kuna sama MAC aadressi kasutamine tekitab paljudel klientidel stabiilsuse probleeme (teated tulevad samalt MAC aadressilt, kuigi tegelikult kuuluvad erinevatesse võrkudesse).

Ruckuse AP-dele on sisse ehitatud VLAN 802.1q switch, mida saab kasutada nii märgitud kui märkimata pakettide edastamiseks. Näiteks lihtsaima variandi puhul võite ühte porti ühendada firma sisevõrgu ja teise külalistevõrgu kaabli. Kui kasutaksite 1q märkimist, saaksite hakkama ka ühe kaabliga, aga sellisel juhul läheb tarvis ka 1q switchi.

Samas on  switchi vaja läinud ka juhtudel, kus AP-d pole enam kuhugi ühendada ja teise porti paigaldatakse mõni server või lauaarvuti. Pildil on toodud ZF 2925 AP VLAN-i näidiskonfiguratsioon.  Selles lahenduses ei kasutata märgistamist, ZF AP on lihtsalt kahe tavavõrgu vahel ja  ühendab kummagi külge ühe Wi-Fi võrgu. Esimesel real olev võrk on mõeldud seadme halduseks.

VLAN2

Lihtsalt VLAN-ist alati ei piisa, näiteks peate paigaldama kuhugi osakonna võrku ühe Wi-Fi tugijaama, aga seal on vaja pakkuda ka külalistevõrgu teenust, sellist võrku aga pole selles osakonnas või harukontoris teenusena (sisselogimise portaal vms) kusagilt kaablist võtta.  Kui teenus on peakontoris olemas, siis saab kasutada Ruckuse sisseehitatud  L2TP tunnelit. Tunneli otsa saab sarnaselt kaabliga ühendada erinevate SSID-de külge.

l2tp