Привет, Хабр!

Статья будет о Wi-Fi контроллерах точек доступа (КТД) и вообще, действительно он нужен?

Поводом написания статьи было поручение выполнить в 2015 году постановление правительства РФ что «качественный, быстрый беспроводной интернет в высших учебных заведениях должен быть доступен круглые сутки» с соблюдением двух постановлений по авторизации и организовать роуминг Wi-Fi гостей между аудиториями, конференц-залами и вестибюлями. Интернет местных сотовых операторов проседал, у всех гостей было большой проблемой отправить/получить сообщение, посмотреть погоду.

Поручение казалось невыполнимым из-за отсутствия готовых примеров, кейсов с разумной ценой, ограниченного времени на выбор. Бюджет был на 150 тр.

Вот моя предыдущая статья. В конце текста информация обо мне.

Отличным примером реализации проекта была эта статья. Предложил руководству взять этот готовый проект с Cisco как у них и не паримся, но, узнав цену одного контроллера (более 1 млн руб), отказали и предупредили, что выбирай любого Wi-Fi вендора, кроме санкционных американцев (Cisco, HPE/Aruba, Ruckus). 2015 тогда был годом санкций и боссы хотели выяснить, есть ли варианты лучше и дешевле Zyxel ?

Засучиваем рукава, ищем дешевле и лучше. Ранее работал с зоопарком автономных точек доступа (ТД) и КТД Zyxel NXC5200 + 10 шт. управляемых ТД Zyxel NWA5160N. Это позволило узнать все +/- данного оборудования.

Проблемы реализации проекта с данным комплексом (минусы):

• некоторые телефоны не совершали роуминг между разными автономными ТД с единым названием ССИД. Выдавал ошибку при подключении к другой ТД и приходилось сбрасывать настройки Wi-Fi на телефоне или менять имя ССИД на недублируемые на всех ТД;

• необходимо запоминать IP автономных ТД, чтобы по ним в браузере открывать новую вкладку, контролировать избыточное кол-во гостей и отключать их во избежание перегруза;

• напрягает вносить изменения на каждой автономной ТД, если их много. На момент написания статьи работаю с 64-мя шт. ТД Zyxel и 44 шт. ТД отечественного Элтекс. Если они все были бы автономными, какая работа предстоит, если на всех ТД нужно заблокировать мак-адрес, радиоканал поменять или контролировать кол-во гостей?

Плюсы:

• роуминг корректно работал между ТД NWA5160-N, управляемые КТД;

• мониторинг состояния всех ТД и гостей на одной веб-странице;

• КТД сам распределяет избыточное кол-во гостей между ТД во избежание перегруза;

• КТД NXC5200 был с функциями межсетевого экрана и шлюза. В него входили функции DHCP, DNS, файрволл, NAT и т.д. Абсолютно полноценный шлюз. Очень удобно, не нужно было дёргаться, переключаться между раздельными железками как шлюз и КТД;

• мобильность. Возможность конфигурирования/мониторинга КТД на планшете в любом браузере без установки Java.

Итог: Отказ от автономных ТД в пользу управляемых ТД контроллером точек доступа и очень желательно с функцией шлюза у КТД.

Какой КТД выбрать для гостевой сети Wi-Fi в ВУЗе: аппаратный, программный или кластер из ТД?

На первый взгляд ответа не было, лучше поработать с ними в рабочих условиях.

 В своей профессии работал с

• аппаратными КТД Zyxel (NXC5200; UAG5100; VPN300);

• бизнес-класса кластерными ТД D-Link DWL-3600AP; DWL-6600AP; Элтекс WEP-2ac; WEP-12ac;

• программным КТД Элтекс SoftWLC.

С первым и последним пунктом до сих пор работаю. Изучал КТД от Q-Tech, Ubuquiti и TP-Link, благо бесплатно можно скачать. С Mikrotik, Cisco, HPE/Aruba и Ruckus, не получилось поработать, но по ним есть немного русскоязычных обзоров, скриншотов. С Huawei меньше знаком, мало всего в интернете. Перечислить тех.хар-ки, отличия, провести обзор не смогу в силу ограничений на кол-во знаков в статье. Перечислю +/- и отмечу что радует и помогает, а что напрягает и мешает. Итак, никого не критикую, всех уважаю.

Wi-Fi кластер из ТД:

Плюсы:

нет никаких.

Минусы:

• в кластер добавляются только идентичные модели;

Как в мануале пишут про это?:

Соответственно, к имеющимся ТД не успели докупить D-Link DWL-3600AP и DWL-6600AP.

В мануалах Элтекса не удалось найти подобное, но кластер из Элтекс WEP-2ac не находит WEP-12ac. WEP-12ac тоже не находит WEP-2ac. Возникает вопрос, как долго они будут производиться?

С Aruba IAP325 не совсем понятно. В спецификациях пишут:

Почему указали серию? Намекают, что серия 330 и другие могут не подцепиться? Погуглишь и есть пример с IAP205, там ограничения обсуждают. Не всё так просто как кажется. Закупишь разные модели и не объединятся в кластер, деньги потом никто не вернёт.

• риск не расширить сеть в случае исчезновения модели на рынке;

• часть Wi-Fi настроек на главной кластерной ТД применяется без уведомлений всем подчинённым ТД. Если настроить подчинённую, то все остальные ТД и главная ТД копируют с неё настройки. Я не могу понять, применилась эта настройка всем или только текущей ТД? Приходится подключаться к каждой ТД и убеждаться, что новая настройка не применилась. Например, отключил на любой ТД или на главной ТД антенну 2.4 ГГц и весь кластер повторит это. Невозможно отключить антенну только на одной ТД;

• нельзя с одной веб-страницы главной ТД одновременно перезагрузить все ТД или выборочно;

• необходимо выучить IP всех ТД и заходить на каждую ТД, чтобы перезагрузить или внести изменения. А если их 128 шт?

• если изменения вносятся на одной ТД (смена радиоканала, мощности), желательно сохранить настройки и так на каждой постоянно повторять процедуру после внесения изменений;

• одной ТД один ССИД не применяется, он применяется ВСЕМ ТД;

• изменение на главной ТД имени, location, приоритета, пароля на подключение к кластеру возможно только после вывода её из кластера с повторным вводом. Это сложно, потом не получается ей вернуть статус главной. Любая подчинённая ТД после потери главной ТД делает себя главной и не отдаёт никому статус главной. Нужно тщательно поработать с приоритетами;

• у подчинённых ТД то же самое - location и приоритет меняется только после вывода из кластера;

• риск рассыпания кластера. У знакомого сыпется, на форумах это частая тема;

• максимальное кол-во ТД в кластере у DWL-3600AP и DWL-6600AP по 16 шт; у Элтексов 64 шт, у Аруба кол-во не удалось найти на офиц.сайте;

• роуминг на телефонах изредка не работал нормально, либо долго переключался, либо телефон оставался долго на одной и той же ТД, пока на нём не выкл/вкл Wi-Fi;

• нужен ИБП, чтобы уберечь главную ТД от случайных перезагрузок при потере электропитания;

• высокая цена на одну кластерную ТД;

• докупать шлюз и отдельно его конфигурировать/мониторить. Неудобно, две веб-страницы (шлюз и кластер) не помещаются на одном 22' мониторе/планшете;

• Captive Portal применяется только к одной ТД, а не всему кластеру;

• необходим шлюз с встроенным Captive Portal.

Итог: кластер не подходит для гостевой сети Wi-Fi и усложняет работу сетевику.

Программный контроллер:

Плюсы:

• поддержка большого количества моделей ТД (только управляемых);

• в течение 7 лет можно расширять Wi-Fi сеть различными моделями ТД. Нет строгой привязки комплекса только к одной модели ТД или КТД;

• большинство настроек и перезагрузки можно применять всем ТД или выборочно;

• все ТД или выборочно настраиваются в одном приложении;

• мониторинг состояния всех ТД и гостей находится в одном приложении;

• возможно назначить несколько ССИД одной или нескольким выбранным ТД;

• таких понятий как "кластер", "главная" или "подчинённая", "приоритет" - не существует. Ничего не сыпется.

Минусы:

• КТД работают на ОС Ubuntu/Windows, необходим сервер/ПК с ИБП для режима 24/7;

• наличие ИБП критично;

• сервер/ПК с ИБП много места занимают;

• как сервер/ПК с ИБП  влезут в шкаф 6U глубиной 35 см, если там уже установлены PoE-коммутатор, ШКОС и патч-панель?;

• сервер/ПК могут не загрузить ОС, необходимо позаботиться об установке монитора, клавиатуры и мышки для него;

• если сервер/ПК не загрузится в ваше отсутствие (отпуск, командировка), что произойдёт с перезагруженными ТД?;

• риск выхода из строя HDD/SSD;

• готовить ОС перед установкой контроллера;

• синий экран после кривого обновления;

• риск поломки КТД после установки репозитория, обновления для ОС или стороннего софта;

• обновить версию КТД на Убунту рискованно из-за возможной несовместимости репозиториев Убунту с новой версией КТД;

• обновление версии ОС *nix с установленным КТД требует глубокие знания *nix, СУБД, чтобы перенести данные КТД из старой версии в новую;

• как КТД переживёт апгрейд версии ОС Windows? Или всё заново переустановить?

• бэкапить целиком ОС с контроллером;

• покупка шлюза;

• если гости найдут способ подключиться к витой паре гостевой сети в обход Wi-Fi, то таких "зайцев" Captive Portal программного контроллера не ловит. Необходим шлюз с Captive Portal, чтобы ловил всех по витой паре и по Wi-Fi, сам будет авторизовать и выпускать в интернет;

• по роумингу почитаешь отзывы, ощущение, что не работает у большинства. На Элтекс SoftWLC телефоны вроде нормально роумятся;

• нет мобильности. Отсутствует возможность конфигурирования/мониторинга на планшете iPad в любом браузере без установки софта (Java и др.). Значит не смогу оперативно реагировать на заявки, если отойду от рабочего места с iPad.

Итог: подойдёт для построения гостевой сети Wi-Fi, но слишком много возни, неудобств, рутинной работы.

Аппаратный контроллер:

Плюсы:

• такие же как у программного КТД;

• нет строгой привязки к одной модели ТД. КТД новинки всегда поддерживали снятые с производства ТД, которым 7 лет. Меняя только КТД, ранее установленные ТД сохраняются на своих местах, то есть в течение 7 лет можно спокойно расширять Wi-Fi сеть различными моделями ТД (в зависимости от политики вендора);

• КТД ZyWALL и USG долгое время поддерживались вендором и получили поддержку ТД с 802.11ac и 802.11ax;

• при наличии веб-интерфейса не требуется запоминать IP ТД. Все ТД настраиваются на одной веб-странице. Не требуется каждый раз что-то сохранять в конфиг каждой ТД. Конфиг всех ТД хранится у КТД (у Zyxel это так);

• обновление прошивки КТД осуществляется одним файлом. КТД потом сам обновит ТД своей обновлённой прошивкой;

• ИБП не критичен;

• нет *nix и других ОС, которые нужно бэкапить и аккуратно обновлять. Чего только стоил переход с ifconfig на netplan. После таких неожиданностей сомневаешься, стоит ли обновлять версию *nix и много времени это отнимет?

• если вовремя бэкапить конфиг (весит в кбайтах) и, в случае отказа основного КТД, его легко залить на запасной идентичный КТД и всё заработает как было. Либо делаем Device HA;

• шлюзы Zyxel VPN; USG Flex; ATP по расписанию бэкапят конфиг на электронную почту;

• функции шлюза, межсетевого экрана и КТД собраны в одной железке, второй монитор не требуется для мониторинга состояний. В зависимости от вендора, многие датчики удобно расположены на стартовой веб-странице и самообновляются. Вывел эту страницу на монитор 50' и периодически поглядываешь на него на наличие критических событий;

• отпала необходимость покупки и обслуживания сервера/ПК, не паримся с носителями памяти и их битыми секторами;

• сэкономлено место в стойке и ИБП дольше продержится с одной железкой шлюз+КТД (без серверов);

• у Zyxel мониторинга/конфигурирования на веб-странице хватает, не требуется донастройка в CLI. Между прочим, CLI сохранился и там всё можно настроить;

• не нужно доустанавливать Java, которой не существует для iPad, если с ним ходить по территории здания;

• если гости найдут способ подключиться по витой паре к гостевой сети в обход Wi-Fi, то таких "зайцев" шлюз+КТД с встроенным Captive Portal ловит;

• роуминг у Zyxel сразу отлично работает, минимальный сигнал не настраивал и он отключен. Нельзя отключать далеко отдалённых гостей, у которых -80dBm, им хватает 1 мбит/с, этого достаточно для мессенджеров;

• ещё полдня перечислять плюсы, а статья ограничена количеством знаков.

Минусы:

• если подарили автономную + с управлением из Nebula ТД Zyxel, КТД её не найдёт. Например, такая;

• есть риск, что КТД получит статус EOL и лишится поддержки новейших ТД;

• есть риск, что в новых прошивках для КТД уберут поддержку ТД, возрастом свыше 10 лет.

Итог: аппаратный контроллер полностью подходит для построения гостевой Wi-Fi сети и очень удобен в работе. Хлопот не доставляет. Скучаю по ним на выходных. Может себе домой купить?

Вот и разобрались, почему лучше аппаратный контроллер.

Почему выбрал Zyxel?

Шёл 2015 год, санкции. Выделяли 150 т.р. на шлюз с точками доступа (ТД) с 802.11ac. У Cisco, Aruba, Ruckus, несанкционного Huawei тогда не удалось найти разделы с названиями WLAN Controllers или что-нибудь связанное с КТД . У TP-Link, Ubiquiti не было аппаратных контроллеров в 2015 году. У D-Link не было встроенного функционала шлюза и сервиса авторизации по ваучерам.

У Микротик не было встроенного сервиса авторизации по ваучерам и были отрицательные отзывы про CAPsMAN, роуминг и нехватку производительности. Засомневался, нельзя было проваливать проект.

Поэтому в 2015 наилучшим выбором по цене, возможностям оказался КТД с функциями шлюза Zyxel UAG5100 с термопринтером Zyxel SP350E для распечатки ваучеров (не нужен ПК с принтером для распечатки ваучеров) и ТД NWA5123-AC.

Подключил к UAG5100 ранее установленные ТД NWA5160-N, они приняли единый ССИД вместе с ТД NWA5123-AC и роуминг отлично работает на всех телефонах на всех ТД. Отлично! Красота!

В 2020 году UAG5100 заменили на современный шлюз Zyxel VPN300 по причине достижения максимального количества ТД в 32 шт, возросшей нагрузки на CPU, связанной с резким ростом кол-ва гостей и трафика.

VPN300 поддерживает термопринтер SP350E, 264 ТД и снятые с производства NWA5123-AC. Является эволюцией снятых с производства шлюзов и КТД, обрёл русскоязычный интерфейс, поддержку 802.11ax, Гео-IP, больше аппаратной производительности и т.д.

Сегодня КТД NXC5200 с ТД NWA5160N работают в качестве запароленного Wi-Fi для сотрудников-мультимедийщиков и других не Wi-Fi задач (мультимедиа, онлайн презентация, стрим). Вся гостевая сеть вертится сейчас на VPN300 и трёх устаревших, но справляющихся UAG5100. Один из них выполняет федеральную программу «Цифровая доступность общежитий».

Для упрощения работы с большой гостевой Wi-Fi сетью , очень нужно было ПО "ZON" и функционал "Neighbor" и "Location" на коммутаторах Zyxel, поэтому вместе со шлюзом взял коммутаторы Zyxel GS2210-24HP, Zyxel GS2210-8HP. Потом отдельно докупил Zyxel GS1920-8HPv2 и Zyxel XGS1930-28HP с индикацией нагрузки PoE на лицевой панели (не все модели с PoE поддерживают, будьте внимательны).

Все свитчи с PoE очень здорово пригодились запитывать точки взамен зависающих PoE коммутаторов двух других вендоров.

За всё время техподдержка Zyxel осталась русскоязычной и чинит найденные косячки. Спасибо им, что не посылают. В принципе, всё по статье.

Сейчас ещё раз проверил сайты известных вендоров на наличие аппаратных КТД. Гид и навигация у них появились, все нашли аппаратные КТД, подсказали модели, но не у всех есть таблица поддерживаемых ТД для КТД.

Допустим сейчас срочно поручили набросать вариант проекта гостевого Wi-Fi с множеством ТД. Попробую сам у официальных сайтов за минимальное время найти КТД с функцией шлюза с управляемыми ТД и поддержкой встроенного сервиса авторизации (ваучеры). К менеджерам и онлайн чатам не обращаюсь.

Вендор Zyxel:

Вот какой должна быть таблица и перечень поддерживаемых ТД как у Zyxel. Всё понятно с одного раза, с русским родным языком!

Функции шлюза, встроенного сервиса авторизации есть и сравнительная таблица между моделями линейки USG Flex приведена здесь. С Zyxel всё просто и понятно, за 5 минут справился. Налицо экономия рабочего времени.

Вендор Cisco:

Предложился КТД Cisco Catalyst 9800-L, есть чуток упоминание, какие ТД брать.

Полчаса ушло, чтобы найти ЭТУ какую-либо информацию по совместимости. Мне нужны точные названия моделей, а не краткое описание линейки ТД, вдруг некоторые из них не подойдут. Кстати, сейчас доходит, что у него нет упоминаний о функциях шлюза. Сравнительной таблицы нет. Очень дорогой КТД и мало встречается в интернет-магазинах. Не стал искать КТД с функциями шлюза, утомительно.

Вендор Aruba:

Навигация понятная. Сравнительная таблица между КТД есть и вот. Нет ни одного упоминания, какие ТД брать, хотя про SFP не забыли шикарную таблицу совместимостей сделать. Для блоков питания и аксессуаров не поленились коды привести. Если в таблице есть упоминание про файрволл, может он выполняет функции шлюза? Разбираться нужно. Так и не узнал какие ТД нужны для КТД, не говоря уже про ваучеры.

Вендор Huawei:

Навигация понятная. Для КТД Huawei AC6508 здесь описание на 16 листов и ни одного упоминания, какие ТД брать и может ли создавать различные правила межсетевого экрана. Про ваучеры молчу.

Остальные вендоры:

Ссылки на аппаратные КТД остальных вендоров разместил под названиями вендоров: Элтекс (ждём новинку для программы "Импортозамещение"), TP-Link, D-Link и Ubiquiti. У Микротика не нашёл раздел, связанного с КТД, вот я, к примеру, чайник, как мне понять, какой Микротик сможет быть КТД и какие ему ТД нужны и сколько? У Юбиквити нет подробной спецификации про железку "Dream Machine Professional", какие ему ТД нужны, кол-во?

Говорил выше, что поищу только на официальных сайтах. Хорошо, уступаю, поищу на Яндексе, что такое "Dream Machine Professional ". Предложил ссылку и эту. Какие и сколько ТД поддерживает? Ваучеры генерирует? Интересная ссылка предлагается там же про авторизацию и почему там так много про Микротик написано на форуме Юби?

С каким WIFI оборудованием работает Spot4? - С любым. В роли хотспота должны выступать: Роутеры доступа Mikrotik (Любой, Рекомендуется), Keenetic (KeeneticOS, не NDMS), роутеры со сторонними прошивками, поддерживающие Coova-Chilli или совместимое ПО.

А где Юбиквити? Получается, у него нет своего Captive Portal'а ? Разбираться досконально нужно, а это время. КТД у них реально хороший.

Итог:

Если делать с нуля новый проект на закупку КТД, нужно сильно напрячься поиском совместимых ТД, уточнить у официалов (кроме Элтекс и Q-Tech) о возможности доставки в РФ и потом подтвердить найденные совместимости у англоязычной техподдержки . Ещё необходимо уточнить, а есть ли у аппаратного КТД межсетевой экран, функции шлюза, расписание, Гео-IP, Captive Portal, встроенный сервис авторизации, биллинг, патруль приложений, ограничитель скоростей и много чего.

Много времени отнимет. Эти вендоры хорошие, не против поработать с ними для сравнения. Ни в коем случае не отговариваю от них, просто на живом примере показал, как заморачиваться нужно с поиском ТД для КТД с функцией шлюза, чтобы составить ТЗ на закупку гостевой Wi-Fi сети и не провалить проект, если после оплаты за товар и при подключении ТД к КТД выяснится, что КТД не поддерживает закупленные ТД и функции шлюза.

Поэтому Zyxel однозначно всем устраивает, минимум рутинной работы с ТЗ, 100% гарантированное выполнение проекта за минимальное время. Дальнейшая работа с оборудованием Zyxel вызывает одно удовольствие, бережёт время и нервные клетки, сейчас - это самое ценное в рабочем процессе.

Каждый год немного денег выделяли на расширение зоны действия Wi-Fi увеличением числа управляемых ТД. С увеличением зоны действия увеличилось количество гостей и начались проблемы в час пик со скоростью интернета, открытием сайтов, шустростью сёрфинга, отправкой/приёма сообщений в мессенджерах.

Как это лечилось и чем настраивалось, ожидайте продолжение этой статьи.

Вот и всё. Если у вас возникают вопросы – пишите в комментариях, а также общайтесь со мной и другими практикующими специалистами Zyxel в телеграм-канале https://t.me/zyxelru.

Об авторе:

Кто я? Меня зовут Александр. 16 лет профессионально занимаюсь СКС и сетевым оборудованием. Больше времени провожу с СКС (монтаж, обслуживание), чем с настройкой сетевого оборудования, поэтому на настройки времени особо нет, но получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в телеграме - @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.

Другие ссылки:

• Новостной канал в Telegram - https://t.me/zyxel_news

• Телеграм-чат поддержки для специалистов - https://t.me/zyxelru

• Форум для специалистов - https://community.zyxel.com/ru/categories

• Свежие новости в FaceBook - https://www.facebook.com/Zyxel.Russia/

• Полезные и интересные статьи в блоге Zyxel на Хабре - https://habr.com/company/zyxel/

• Наш YouTube - https://www.youtube.com/channel/UCcNN2UCEz1e49PEaAisN5ow

• Реализованные проекты - https://www.zyxel.com/ru/ru/solutions/success_stories_list.shtml

• Виртуальная лаборатория - https://support.zyxel.eu/hc/ru/sections/360001858040

• Удалённый стенд - https://support.zyxel.eu/hc/ru/articles/360014708840