Witam
Czy ktoś zna jakie są najpoważniejsze ograniczenia trybu H-REAP w porównaniu do trybu w którym cały ruch przekazywany jest do kontrolera?
Z góry dziękuje za pomoc.
Pozdrawiam
mhuba
H-REAP ograniczenia?
-
peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
A o co dokładnie pytasz? H-REAP ma za zadanie wyniesienie APka do zewnętrznej lokalizacji przy zachowaniu centralnego zarządzania z poziomu kontrolera. Zaletą jest właśnie to, że cały ruch nie leci przez kontroler ale może być lokalnie obsługiwany włącznie z autentykacją gdy połączenie do kontrolera zostanie utracone. Takie rzeczy jak lokalny roaming czy CCKM są obsługiwane. H-REAP ma ograniczenia w działaniu TPC jeżeli mniej niż 4-5 APków w zdalnej lokalizacji jest zainstalowanych (bo po prostu badanie pasma nie jest wysoko skuteczne), także location services chyba na tym nie działają (ale mogę się mylić). Stosując H-REAP trzeba więc pochylić się nad planowaniem, zapewnić łącze o opóźnieniach max 250-300ms.
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Napisz co chcesz osiagnac w kontekscie implementacji sieci wireless jako takiej, a wtedy bedzie mozna latwo odniesc sie do tego co mozna i co nie mozna z Flex connect.
Istotne jest to o jakiej wersji oprogramowania mowimy i na jakim kontrolerze bedzie to dzialac.
Istotne jest to o jakiej wersji oprogramowania mowimy i na jakim kontrolerze bedzie to dzialac.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Witam
Nie mam konkretnego sprzętu, firmware. Cel to uruchomić w kilkunastu oddziałach WLAN.
Kilka rzeczy jest dla mnie zaskoczeniem np. fakt że w trybie H_REAP nie jest wspierane przypisywanie użytkowników do VLANów.
A gdybym chciał mieć jeden SSID i pracowników mobilnych którzy wędrują po oddziałach i w każdym oddziale powinni dostawać się do tego samego VLANu, który zawsze ma te same polityki na fw?
Kolejne ograniczenie że profil dedykowany dla gości nie może być przełączany w oddziale tylko musi być tunelowany do kontrolera.
Czy na różnych platformach, różnych firmware odbywa się to inaczej?
Jeszcze jedno pytanie z trochę innej beczki.
Czy AP Cisco 3600i ew. 3500i są dual czy single-radio?
Nigdzie informacji o tym nie widzę więc domyślam się że single-radio tylko dual-band czyli może pracować z 2,4GHz lub 5GHz.
Pozdrawiam
mhuba
Nie mam konkretnego sprzętu, firmware. Cel to uruchomić w kilkunastu oddziałach WLAN.
Kilka rzeczy jest dla mnie zaskoczeniem np. fakt że w trybie H_REAP nie jest wspierane przypisywanie użytkowników do VLANów.
A gdybym chciał mieć jeden SSID i pracowników mobilnych którzy wędrują po oddziałach i w każdym oddziale powinni dostawać się do tego samego VLANu, który zawsze ma te same polityki na fw?
Kolejne ograniczenie że profil dedykowany dla gości nie może być przełączany w oddziale tylko musi być tunelowany do kontrolera.
Czy na różnych platformach, różnych firmware odbywa się to inaczej?
Jeszcze jedno pytanie z trochę innej beczki.
Czy AP Cisco 3600i ew. 3500i są dual czy single-radio?
Nigdzie informacji o tym nie widzę więc domyślam się że single-radio tylko dual-band czyli może pracować z 2,4GHz lub 5GHz.
Pozdrawiam
mhuba
Było zaskoczeniem. Było.mhuba pisze:Cel to uruchomić w kilkunastu oddziałach WLAN.
Kilka rzeczy jest dla mnie zaskoczeniem np. fakt że w trybie H_REAP nie jest wspierane przypisywanie użytkowników do VLANów.
Od 7.2 już nie powinno zaskakiwać, bo jest.
http://www.cisco.com/en/US/docs/wireles ... l#wp851642
A to dlaczego?mhuba pisze: Kolejne ograniczenie że profil dedykowany dla gości nie może być przełączany w oddziale tylko musi być tunelowany do kontrolera.
Jak dobrze pamiętam, to można używać web-auth z local switching. Oczywiście pierwsza faza ruchu jest tunelowana do kontrolera (auth faktycznie wyłącznie centralny), ale po uwierzytelnieniu ruch może być wypuszczany lokalnie. I (oczywiście) jak się flexik odepnie od kontrolera, to nowe asocjacje do tego SSID nie robią ("For web-authentication WLANs, existing clients are not disassociated, but the FlexConnect access point stops sending beacons when the number of associated clients reaches zero (0). It also sends disassociation messages to new clients associating to web-authentication WLANs.")
Na różnej wersji softu może być różnie - platforma jest wtórna (bardziej determinuje wersję która jest obsługiwana). W sensie - w starych coś może nie działać.mhuba pisze: Czy na różnych platformach, różnych firmware odbywa się to inaczej?
AP Cisco nie występują w wersji single-radio dual-band. Występują albo z jednym radiem (2.4) albo z dwoma (2.4 i 5).mhuba pisze: Jeszcze jedno pytanie z trochę innej beczki.
Czy AP Cisco 3600i ew. 3500i są dual czy single-radio?
Nigdzie informacji o tym nie widzę więc domyślam się że single-radio tylko dual-band czyli może pracować z 2,4GHz lub 5GHz.
W szczególności 3501i - jedno radio, 3502i - dwa radia, 3600 póki co występuje wyłącznie w wersji z dwoma radyjkami.
Poza tym - od 7.2 obowiązuje nazwa FlexConnect zamiast H-REAP (jak Seba był zauważył).
A co do ograniczeń w stosunku do trybu local, to Wujek Guglarz powinien pomóc.
Od biedy wujek Chomicki też może: http://www.cisco.com/en/US/docs/wireles ... #wp1241304
---------- = Chomicki = ------------
- kilka C(C)xx, w tym # 17593 -
---------------------------------------
- kilka C(C)xx, w tym # 17593 -
---------------------------------------
Ok, wielkie dzięki za full services 
O to mi chodziło
Co do odpinania AP od kontrolera i uwierzytelnianiu nowych sesji.
Niestety nie jest to takie oczywiste, rozwiązania konkrecyjne potrafią uwierzytelniać
Przy konfiguracji lokalnej AP mają kopie kont w konfiguracji, przy uwierzytelnianiu przez serwer mogą być klientami RADIUsa.
Pozdrawiam
mhuba
O to mi chodziło Co do odpinania AP od kontrolera i uwierzytelnianiu nowych sesji.
Niestety nie jest to takie oczywiste, rozwiązania konkrecyjne potrafią uwierzytelniać
Przy konfiguracji lokalnej AP mają kopie kont w konfiguracji, przy uwierzytelnianiu przez serwer mogą być klientami RADIUsa.
Pozdrawiam
mhuba
tak
Controller software releases 5.0.148.0 and later contain two new H REAP group features:
Backup RADIUS server—You can configure the controller to allow an H REAP access point in standalone mode to perform full 802.1X authentication to a backup RADIUS server. You can configure a primary RADIUS server or both a primary and secondary RADIUS server.
Local authentication—You can configure the controller to allow a H REAP access point in standalone mode to perform LEAP or EAP FAST authentication up to 20 statically configured users. With Controller software release 5.0 onwards, this has been increased to 100 statically configured users. The controller sends the static list of usernames and passwords to each H REAP access point when it joins the controller. Each access point in the group authenticates only its own associated clients. This feature is ideal for customers who migrate from an autonomous access point network to a CAPWAP H REAP access point network and do not need to maintain a large user database nor add another hardware device to replace the RADIUS server functionality available in the autonomous access point.
Controller software releases 7.0.116.0 and later contain these new H REAP group features:
Local authentication—This feature is now supported even when H REAP access points are in Connected Mode.
http://www.cisco.com/en/US/products/ps1 ... 6123.shtml
Controller software releases 5.0.148.0 and later contain two new H REAP group features:
Backup RADIUS server—You can configure the controller to allow an H REAP access point in standalone mode to perform full 802.1X authentication to a backup RADIUS server. You can configure a primary RADIUS server or both a primary and secondary RADIUS server.
Local authentication—You can configure the controller to allow a H REAP access point in standalone mode to perform LEAP or EAP FAST authentication up to 20 statically configured users. With Controller software release 5.0 onwards, this has been increased to 100 statically configured users. The controller sends the static list of usernames and passwords to each H REAP access point when it joins the controller. Each access point in the group authenticates only its own associated clients. This feature is ideal for customers who migrate from an autonomous access point network to a CAPWAP H REAP access point network and do not need to maintain a large user database nor add another hardware device to replace the RADIUS server functionality available in the autonomous access point.
Controller software releases 7.0.116.0 and later contain these new H REAP group features:
Local authentication—This feature is now supported even when H REAP access points are in Connected Mode.
http://www.cisco.com/en/US/products/ps1 ... 6123.shtml
A właśnie się pojawił taki dokumencik:
http://www.cisco.com/en/US/products/ps1 ... 690b.shtml
Chyba wszystkie kombinacje są ujęte.
http://www.cisco.com/en/US/products/ps1 ... 690b.shtml
Chyba wszystkie kombinacje są ujęte.
Pisałem oczywiście o web-auth. Inne metody z backup-RADIUS'em, lokalną listą użytkowników, pre-shared itp. są obsługiwane w trybie standalone.Co do odpinania AP od kontrolera i uwierzytelnianiu nowych sesji.
Niestety nie jest to takie oczywiste, rozwiązania konkrecyjne potrafią uwierzytelniać
Przy konfiguracji lokalnej AP mają kopie kont w konfiguracji, przy uwierzytelnianiu przez serwer mogą być klientami RADIUsa.
---------- = Chomicki = ------------
- kilka C(C)xx, w tym # 17593 -
---------------------------------------
- kilka C(C)xx, w tym # 17593 -
---------------------------------------
Witaj
Dzięki wielkie za linki, wszystko zebrane w tabelkach, idealnie, o to chodziło.
Przyznam że kilka wdrożeń WLAN w trybie local switching na rozwiązaniach konkurencyjnych mam już za sobą i działa to naprawdę fajnie.
Niestety zawsze jest jakiś knyfik i jakaś funkcjonalność nie działa w tym trybie, choć widać że jest tendencja przenoszenia jak największej logiki w kierunku AP.
Dla zainteresowanych: 4 kwietnia firma Meraki organizuje webinar podczas którego, podobno, można dostać wypasiony AP SR 802.11b/g/n 3x3 MIMO 2SS z 3 letnim wsparciem i zarządzaniem przez kontroler w chmurze Link do rejestracji: http://www.meraki.com/form/webinar?webi ... &family=mr
Przyznam że jeszcze nic nie robiłem na urządzeniach tej firmy, ale chyba przetestować warto?
Macie jakieś większe doświadczenie?
Pozdrawiam
mhuba
Dzięki wielkie za linki, wszystko zebrane w tabelkach, idealnie, o to chodziło.
Przyznam że kilka wdrożeń WLAN w trybie local switching na rozwiązaniach konkurencyjnych mam już za sobą i działa to naprawdę fajnie.
Niestety zawsze jest jakiś knyfik i jakaś funkcjonalność nie działa w tym trybie, choć widać że jest tendencja przenoszenia jak największej logiki w kierunku AP.
Dla zainteresowanych: 4 kwietnia firma Meraki organizuje webinar podczas którego, podobno, można dostać wypasiony AP SR 802.11b/g/n 3x3 MIMO 2SS z 3 letnim wsparciem i zarządzaniem przez kontroler w chmurze
Link do rejestracji: http://www.meraki.com/form/webinar?webi ... &family=mr Przyznam że jeszcze nic nie robiłem na urządzeniach tej firmy, ale chyba przetestować warto?
Macie jakieś większe doświadczenie?
Pozdrawiam
mhuba