Реализация wifi сети для нескольких видов пользователей

Точка доступа с двумя sid (corp_wifi - vlan1, guest_wifi - vlan2)

zyxel (vlan1 - radius - 30Mb/s, vlan2 - 5Mb/s)

Как вот настроить радиус? Один вопрос. И у зюкселя с вланам какой то интересный момент , я логики не понял его, в общем он добавляется на интерфейс с своим ip/netmask, как оно работает я не понял, куда пойду пакеты если ip/netmask есть и на eth и на vlan? Вопрос вот, уже думал на счет такого.

Я понимаю, что насчет всего оборудования знать вы не можете, но может по опыту больше подскажите. С радиусом тоже много непоняток.

Как я понимаю, раз подразумевается RADIUS, то подразумевается WPA2-Enterprise? Если это так, то:

Что подскажите ?

Пойти раскуривать EAP и способы аутентификации которые он предоставляет. Плюс обратите внимание на способы, при которых вас могут поиметь легко и непринужденно. Потому как неправильно настроенный WPA2-Enterprise, даже хуже по своим последствиям, чем просто открытая точка.

Что посоветует?

Запастись вазелином, если планируете использовать FreeRADIUS, а не виндовый к примеру.

А если делать vlan2, и заставлять аутэнтифицировать точки доступа без радиуса , на точках будут висеть 2 ssid. Это если просто. А вот если сложно, если точки доступа не поймут что они должны разделить пользователей по каналам, можно ли сделать так, что б Freeradius увидев нового пользователя проверял, если его ip/mac есть то пускать в канал 30(выдает ip уже присвоенный из 4.0/24), если его ip/mac нету, то в 5(выдает ip из 7.0/24) ? Можете подсказать, так возможно ?

Есть вариант использовать windows 2012 r2, если вы об этом в плане windows, если да, то можете рассказать по подробней ?

Для того чтобы получить IP, сначала нужно аутентифицироваться на точке. Если разделять по MAC, то вполне допускаю, что это умеет сама AP. RADIUS тут не нужен, т.к. он — просто прослойка для аутентификации через произвольный источник данных.

Так у вас какая задача-то? Зачем вам конкретно RADIUS? В чем вы собираетесь аутентифицироваться через RADIUS? В AD/LDAP/SQL-базе?

Вот об этом я вам и пишу. Я с вами рассуждаю и мне легчи понимать способы решения. Думал на счет Radius + sql, но вот выходит что есть способы по проще. Или может вообще иные способы. Нужно разграничить пользователей по скорости и сделать это по возможности гибко, что б работники могли ходить с своей скоростью беспрепятственно , в каком бы сегменте они не находились. Пока вот мысль только одна разделить на vlan, но остается момент с шейпингом? На зюкселе есть возможность обрезать скорость конкретного порта , но это ж не то, это если б разделять физически wifi, тогда б сработало, а так вот даже не знаю как это организовать,что б одна точка могла принимать запросы и направлять нужных людей в нужный канал

что б одна точка могла принимать запросы и направлять нужных людей в нужный канал

Что значит направлять в нужный канал?

Если у вас 2 точки и вам нужно сделать 2 сети — гостевую (медленную) и не гостевую (быструю), что вам мешает выкинуть точки в разные подсети (VLANы) и далее шейпить трафик на рутере для целой подсети?

В разные каналы , значит направлять либо в 5 либо в 30, я об этом. Как это возможно реализовать ?

Что подразумевается под словом «канал»? Радиочастотный Wi-Fi канал на определенной частоте? Интернет подключение?

Человек не знает чего хочет :) Решал подобную задачу, устал от глюков железа, единственное верное решение, это два роутера, а за ними по точке доступа, гибко, надежно, просто. Остальное все как-то через задницу, особенно с мультисидом в точках доступа.

интернет подключение, о радиочастоте даже не подумал бы.

ну вот ZyXel и выступает в качестве роутера , для точек доступа.

не ковырял зухеля, не скажу, если влан и шейпер нормально реализованы, то в чем вопрос? можно и на подсетях через ACL сделать подобную штуку. Вопрос фантазии

https://zyxel.ru/kb/2803/ VLAN есть , но он как то не понятно настраивается, создается отдельный интерфейс с привязкой, нельзя поместить 2 интерфейса в 1 vlan

https://zyxel.ru/kb/1437/

Спасибо за ссылку, до этого не был на ней , вот строка: «VLAN позволяют группировать порты коммутатора таким образом, чтобы трафик ограничивался только членами той или иной группы. » По идее мне так и надо ограничить трафик гостевой группе или офисной группе

Вопрос еще такой, а возможно сделать на этой железке 2 WAN , что б выход в интернета был на из 2 портов (2 разных ip) и уже 2 WAN порта разделить между 2 LAN сегментами?WAN1=LAN1=гости, WAN2=LAN2=офис. Вот в таком плане? Можно обойтись без VLANов тогда, и запреты на хождения между подсетями формировать на основе firewall. По моим соображениям так можно сделать, но как (Официальный источник говорит что в устройстве поддерживается 7 WAN/LAN/DMZ портов) https://zyxel.ru/kb/2782/ Я так понял настроить можно с помощью Policy Route , но у меня не вышло.

Вопрос навстречу, нафига там 2 ван?

ацл один влан пускает только в ван вырезая лан, второй влан резвится как хочет

2 ван это балансировка, либо бэкап канала, у меня например бэкап работает хреново, железка умеет только потерю линка, приходится внешним скриптом пинать железку, если вдруг пропал трафик извне

Я б хотел бы избежать VLAN , т.к. он какой то не привычный и не понятный. Я думаю можно избежать его с помощью firewall, сделать разрешения и запрет на хождения в определенные подсети.

Да можно и так, я уже писал выше. Только придется подумать про диашсп, со статикой полегче. Хорошо если точка доступа умеет быть изолированной, совсем немного допиливать в правилах

а возможно настроить его с двумя шлюзами ? Что б он смотрел в eth1 - WAN , eth2,3 - dhcp LAN , 4 dhcp static LAN2 ?