大型無線網路管理經驗談

[thx]

我今年做台灣社群 hacker年會 hitcon 2011 , coscup 2011 工作人員
來分享點(超低成本) 建構大型wlan 經驗..

基於去年David 工頭的教訓

https://docs.google.com/a/asources.c...CMPe8IYN&pli=1


剛結束得hitcon 2011 我們使用下面設備

地點:中研院人文館

硬體
1. AP 水星 MW300R 802.11N AP *4台 +雜臺7台
MW300R 分別刷openwrt 跟dd-wrt

2.HP Microserver + 1 1000M 網卡 +ubuntu 做NAT
割 16 個 Classic C 實際上應該只需要用到8個左右, 後來DHCP是發10個
包含全部會場有線跟無線電腦

Tricky:
1.因為wlan client 密度高 ,功率要調最低 ,不要讓每台AP RF 負擔超重.

2. AP 純做Bridge 丟給x86 做NAT 非常有效. OS 用ubtuntu


hitcon 2011 整體狀況:
一. 12 小時總流量:

david@zzzzzz:~$ ifconfig
eth0 Link encap:Ethernet HWaddr d4:85:64:6a:b4:5c
inet addr:140.109.127.234 Bcast:140.109.127.255 Mask:255.255.255.0
inet6 addr: 2001:c08:780:0:d685:64ff:fe6a:b45c/64 Scope:Global
inet6 addr: fe80::d685:64ff:fe6a:b45c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:115785446 errors:0 dropped:0 overruns:0 frame:1
TX packets:97591189 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:109755801355 (109.7 GB) TX bytes:60762448913 (60.7 GB)
Interrupt:18

CPU 用量不到2%

二. 頻譜狀況



很髒很亂...
dd-wrt 比open-wrt 不穩 (不過水星此版dd-wrt 是被修改checksum版本)


思考缺失:
1.未用手持系統測試wlan訊號 ,iphone ,ipad, android .手持裝置rf wlan 會差點

2.人手一隻 smartphone ,所以 mobile hot spot
hitcon 在中午時掃SSID 時 有看過 6x 個
這方面看狀況要宣導盡量少用


Coscup 2011 要改進的

1.會準備更多的802.11N AP +802.11A AP

2. AP wlan 負載能力有必要用SNMP等方式做更多點監控

3.該在各點做好手持裝置測試

4.宣導非必要時請勿開啟個人hotspot .(不過這點也要在現場網路夠好)

5.IP V6 這次應該實作不了

集群管理軟體也是個學問..下回分解

[thx]

先來說說 Wireless Site survey軟體


一 .inssider

http://www.metageek.net/products/inssider/download


老牌 用起來很規矩


二.之前討論 Ekahau 尋找AP軟體
http://phorum.study-area.org/index.php?topic=60793.0

Ekahau HeatMapper - The Free Wi-Fi Coverage Mapping Site Survey Tool
http://www.ekahau.com/downloads/Ekah...pper-Setup.exe

1. 載入一張待測環境的地圖, 若只想針對自用AP 測量屋內各處訊號強弱, 則只需室內設計圖
2. 以滑鼠左鍵開始測量
3. 移動到不同位置, 同時於地圖上以滑鼠左鍵點擊目前位置, 然後停留數秒
4. 測量點愈多愈好, 測量範圍愈大愈好,
5. 以滑鼠右鍵結束測量

舊感想
它沒有指定 AP 位置選項, (也許是簡易版關係) 最後他會把搜集RSSI 和根據位移.
自動判斷AP 位置. 跟顯示RSSI 訊號 這次測試 建築內AP 實際位置確實如他所示.


現在有新版
Download Ekahau Site Survey Evaluation
http://www.ekahau.com/download/essev...INAL-Setup.exe
需要帳號密碼
申請試用就會有

支持的硬體
http://www.ekahau.com/component/cont...ticle/157.html

Trial 15 mins and 30 days .

三.KISMAC MAC專用. 功能多 可直接crack wep. 等
http://kismac-ng.org/

包含監聽模式

不過我用的最新Macbook air 2011 11吋 無線網卡不support
要用usb wlan 網卡. 要修改 vender id and product id .

細部心得晚點再寫..

[popowolf]

這不單是理論聖經，也是實務聖經 膜拜中
大師還在備載中，不知公眾網路的安全性也是在這架構中需備審核條件嗎
持續關注中

[thx]

security 問題

1.WLAN 是否加密
因為本身大會進入場算頗嚴格的,再加上AP 功率都調到超小,因此沒做加密

2.預防 arp spoofing 攻擊的話.就要以pppoe 架構
但是iphone ,ipad 沒JB的怎辦?

3.Web potral +radius server 整合控管方式 也是該考慮.
不過這次主要是要整合database 有點麻煩..除非能跟報名系統整合

今天下午我該進中研院幫忙做場佈 不過偷懶中.
10台最新Apple Extreme 802.11A+802.11N AP 真5壯觀
3台可買 全部20台水星