通過有線路由器實現無縫無線 AP 網路
我們有 3 個 80 平方米的開放空間樓層,我們希望在一棟大型混凝土建築中通過相同的無線網路覆蓋這些樓層。我們還在所有樓層都設置了乙太網電纜。
要求是:
- 我們希望內部(我們稱它們為員工)設備(有線筆記型電腦、DVR、伺服器)成為同一網路的一部分並相互看到;如果可能,通過無線也可以,如果沒有,只是有線
- 我們希望為訪客提供無線網際網路接入,並在不同接入點/無線路由器之間無縫漫遊;因此,我們希望為訪客提供可靠的 Wi-Fi 連接,盡可能減少或沒有連接失去
- 我們想安裝一個 wi-fi 熱點腳本,讓無線訪問者通過 Facebook 簽到來訪問無線網路。腳本為FBWLAN,需要在路由器上安裝Wifidog 。因此,路由器必須刷入OpenWRT韌體。我們也更喜歡 OpenWRT 而不是庫存韌體,因為它提供了所有擴展的配置選項及其提供的可能性(例如,廣告攔截器)。PHP 熱點腳本依賴客戶端 MAC 來管理身份驗證,因此地址必須原封不動地傳輸到託管 Fbwlan PHP 腳本的第 3 方伺服器
我們建議的解決方案是為每個樓層使用一個路由器,這些應該通過電纜連接到第四個主路由器,它將充當 DHCP 伺服器。3 個“從”路由器將具有相同的配置:禁用 DHCP、關聯靜態 IP(當然不同)、相同的 SSID、*相同的密碼/密鑰、相同的加密 (WPA2-PSK)*以及無線網路之間的某種橋接和有線網路。我在某處讀到,為每個路由器設置不同的、相距較遠的通道(1、6、11)以避免頻寬重疊會更明智。Wifidog 也將安裝在這些路由器中的每一個上。據我了解,OpenWRT 支持所有這些設置,因此所有 4 台路由器都將具有最新版本的 OpenWRT(Chaos Calmer 15.05)。
更新: 沒有密碼也沒有加密,因為 wi-fi 強制門戶需要這樣做。
我打算購買 4 個TP-Link TL-WR1043ND路由器,它們相當便宜(每個約 50 美元)。相同的硬體在配置此設置時會產生更好的成功。雖然這是一台舊路由器,但我家裡已經有一台 TL-WR1043ND,硬體 v2,在其上安裝和配置 OpenWRT 沒有問題(Barrier Breaker),連接良好,沒有 Wifi 信號失去,所以這是我的第一次嘗試-選項,給出預算限制。
我們還沒有網際網路連接,但它將是一個快速的光纖,1000 Mbps 連接。ISP 可能會將其自己的光纖路由器納入等式,但我不打算將其用作主路由器,因為它很可能是華為品牌,配置選項很少,沒有基於 MAC 的 IP 租賃,等等。所以我計劃將主 TPLink 路由器連接到其 LAN 埠之一。
此外,我計劃使用非託管 16 埠千兆交換機 ( TP-Link TL-SG1016 ) 為有線設備連接所有 RJ-45 壁掛式插座。
所以整體設置將是:ISP 路由器 -> 主 TPLink 路由器 -> 非託管交換機(有線,此處有線的內部客戶端)-> 從屬無線路由器 -> wi-fi 客戶端(訪問者)。
我聽說過中繼器配置、擴展器、WDS,但對它們了解不多,因為我對網路不太了解。
我的問題是:這是一個符合我們要求的好的硬體設置嗎?
我在決定購買設備時需要幫助 - 不是什麼品牌,而是什麼類型:AP、擴展器、路由器等的天氣情況。
我看到的最大問題是,我認為您不能同時進行強制門戶和任何形式的鏈路層加密(WEP、WPA、WPA2)。問題是鏈路層加密方案需要鏈路層認證才能使用鏈路,而強制門戶認證是需要工作鏈路的更高層認證。也就是說,除非您已經輸入了 WPA2-PSK 密碼,否則您無法載入強制門戶身份驗證網頁。
除非您不介意訪問者必須向您詢問並輸入 WPA2-PSK 網路密碼,然後被強制門戶網站強制執行 Facebook 簽入。
如果您不介意讓訪問者的流量在鏈路層不受保護,您可以為員工發布一個帶有 WPA2-PSK 加密的單獨 SSID。但這種設置只有在“員工”網路是帶有 PS3、投影儀、DVR 等設備的網路,並且“訪客”網路被防火牆關閉且僅提供對 Internet 的訪問時才有意義。
不要使用 WPA-PSK。802.11n 和 802.11ac 數據速率需要 WPA2/AES-CCMP。所以選擇 WPA2-PSK。禁用所有 WPA/TKIP;你想要純 WPA2/AES。從 12 年前開始,WPA/TKIP 僅對少數設備真正有用;到 WPA/TKIP 出來的時候 c.2002 年,WPA2/AES 已經緊隨其後,能夠執行 WPA/TKIP 的設備很少,但從未升級到能夠執行 WPA2/AES。啟用 TKIP 只會使事情複雜化並揭示當多播密碼與單播密碼不同時搞砸的錯誤實現。
不要只使用 2.4GHz。選擇同步雙頻和 802.11ac。也許是 93 美元的 TP-Link Archer C7 v2(確保獲得 v2,OpenWrt 上的 802.11ac 不支持 v1 的無線電)。也可以擁有可以與您的 Internet 連接保持同步的無線網路。此外,雙頻為您提供更高的容量。
查看您的強制門戶身份驗證方案。通過快速閱讀您提議的網路和所涉及的強制門戶工具,我擔心您提議的設置將使每個路由器充當自己的強制門戶,而不是使用集中的強制門戶,因此您的使用者可能不得不重新使用 Facebook - 每次他們在 AP 之間漫遊時簽入。
對於頻道規劃,是的,始終設置不重疊的頻道。在 2.4GHz 頻段中,這意味著您必須使用 20MHz 寬的通道 1、6 和 11。20MHz 通道的限制意味著您的 2.4GHz AP 將無法提供其 450Mbps 速率,它僅適用於 40MHz - 廣泛的渠道。相反,它將被限制為 217Mbps(而且您的大多數客戶端無論如何都只能使用 144 或 72Mbps,因為大多數客戶端沒有 3 流無線電)。
確保您的網路上只有一台設備在執行 NAT 並充當 DHCP 伺服器。確保從 AP 配置為簡單地橋接有線網路和無線客戶端之間的流量。出於安全原因,您可能還需要確保將“訪問者”SSID 橋接到直接連接到路由器的單獨 VLAN,以將其與所有有線設備的“員工”網路隔離開來。