通过有线路由器实现无缝无线AP网络

通过有线路由器实现无缝无线AP网络

我们有 3 个开放空间楼层,每个楼层面积为 80 平方米,我们希望用同一个无线网络覆盖这栋大型混凝土建筑。我们还在所有楼层都架设了以太网电缆。

要求如下:

  • 我们希望内部(我们称之为员工)设备(有线笔记本电脑、DVR、服务器)成为同一网络的一部分并互相看到;如果可能的话,也可以通过无线方式,如果不行,就只通过有线方式
  • 我们希望为访客提供无线互联网接入,并让他们能够在不同的接入点/无线路由器之间无缝漫游;因此,我们希望为访客提供可靠的 Wi-Fi 连接,尽可能减少或杜绝连接中断
  • 我们希望安装一个 Wi-Fi 热点脚本,该脚本会限制无线访客通过 Facebook 签到来访问无线网络。该脚本是宽带无线局域网,需要无线狗安装在路由器上。因此,路由器必须刷入OpenWRT固件。我们还更喜欢 OpenWRT,而不是普通固件,因为它提供了所有扩展的配置选项和可能性(例如广告拦截器)。PHP 热点脚本依赖客户端 MAC 来管理身份验证,因此地址必须不加改变地传输到托管 Fbwlan PHP 脚本的第三方服务器

我们提出的解决方案是每层楼使用一个路由器,这些路由器应通过电缆连接到第 4 个主路由器,该路由器将充当 DHCP 服务器。3 个“从属”路由器将具有相同的配置:DHCP 已禁用、关联的静态 IP(当然不同)、相同的 SSID,相同的密码/密钥,相同的加密(WPA2-PSK)以及无线网络和有线网络之间的某种桥梁。我读到过,为每个路由器设置不同的、相距较远的通道(1、6、11)以避免带宽重叠会更明智。Wifidog 也将安装在这些路由器上。据我所知,所有这些设置都受 OpenWRT 支持,因此所有 4 个路由器都将具有最新版本(混沌平静者 15.05) 的 OpenWRT。

更新: 没有密码,没有加密,因为 Wi-Fi 强制门户需要这些。

我原本打算买 4 辆TP-Link TL-WR1043ND路由器,价格相当便宜(每个约 50 美元)。同样的硬件配置此设置时成功率更高。虽然这是一台旧路由器,但我家里已经有一台 TL-WR1043ND,硬件 v2,安装和配置 OpenWRT 没有任何问题(突破屏障),具有良好的连接性,没有Wifi信号丢失,所以在预算限制的情况下,这是我的首选。

我们还没有互联网连接,但会是一条快速光纤、1000 Mbps 连接。ISP 可能会将自己的光纤路由器纳入考虑范围,但我不打算将其用作主路由器,因为它很可能是华为品牌,配置选项很少,没有基于 MAC 的 IP 租赁等。所以我计划将主 TPLink 路由器连接到其一个 LAN 端口。

另外,我计划使用非托管 16 端口千兆交换机(TP-Link TL-SG1016) 连接所有用于连接有线设备的 RJ-45 壁挂式插座。

因此整体设置将是:ISP 路由器 -> 主 TPLink 路由器 -> 非管理型交换机(有线,内部客户端在此处有线)-> 从属无线路由器 -> Wi-Fi 客户端(访客)。

我听说过中继器配置、扩展器、WDS,但对它们了解不多,因为我对网络不太了解。

我的问题是:这是一个符合我们要求的良好的硬件设置吗?

我需要帮助来决定购买什么设备 - 不是品牌,而是类型:AP、扩展器、路由器等。

答案1

我看到的最大问题是,我认为您不能同时使用强制门户和任何形式的链路层加密(WEP、WPA、WPA2)。问题是链路层加密方案要求先进行链路层身份验证,然后才能使用链接,而强制门户身份验证是需要有效链接的更高层身份验证。也就是说,除非您已经输入了 WPA2-PSK 密码,否则您无法加载强制门户身份验证网页。

除非您不介意访问者向您询问并输入 WPA2-PSK 网络密码,然后被强制门户强制进行 Facebook 签到。

如果您不介意让访客的流量在链路层不受保护,那么您可以为员工发布一个单独的 SSID,并使用 WPA2-PSK 加密。但只有当“员工”网络是装有 PS3、投影仪、DVR 等设备的网络,并且“访客”网络被防火墙隔离且仅提供对互联网的访问时,这种设置才具有安全性意义。

不要使用 WPA-PSK。802.11n 和 802.11ac 数据速率需要 WPA2/AES-CCMP。因此请使用 WPA2-PSK。禁用所有 WPA/TKIP;您需要纯 WPA2/AES。12 年前,WPA/TKIP 仅对极少数设备真正有用;到 2002 年 WPA/TKIP 问世时,WPA2/AES 已经紧随其后,并且只有极少数设备可以执行 WPA/TKIP,但从未看到能够执行 WPA2/AES 的升级。保持 TKIP 启用只会使事情复杂化,并暴露出当多播密码与单播密码不同时会出现错误的实现。

不要只使用 2.4GHz。同时使用双频和 802.11ac。也许可以购买 93 美元的 TP-Link Archer C7 v2(一定要购买 v2,v1 的无线电不支持 OpenWrt 上的 802.11ac)。也可以使用可以跟上互联网连接的无线连接。此外,双频可以为您提供更高的容量。

检查您的强制门户身份验证方案。通过快速阅读您提议的网络和所涉及的强制门户工具,我担心您提议的设置将使每个路由器充当自己的强制门户,而不是使用集中式强制门户,因此您的用户每次在 AP 之间漫游时可能都必须重新登录 Facebook。

对于信道规划,是的,始终设置非重叠信道。在 2.4GHz 频段,这意味着您必须使用 20MHz 宽的信道 1、6 和 11。20MHz 信道的限制意味着您的 2.4GHz AP 将无法提供其 450Mbps 速率,该速率仅适用于 40MHz 宽的信道。相反,它将被限制为 217Mbps(而且您的大多数客户端无论如何都只能用它实现 144 或 72Mbps,因为大多数客户端没有 3 流无线电)。

确保网络上只有一个设备执行 NAT 并充当 DHCP 服务器。确保从属 AP 配置为仅在有线网络和无线客户端之间桥接流量。出于安全原因,您可能还需要确保“访客”SSID 桥接到直接通向路由器的单独 VLAN,以将其与包含所有有线设备的“员工”网络隔离。

相关内容