- одну общую сеть WiFi на офис
- доступ в сеть осуществляется по паролю
- пароль меняется 1 раз в 2 недели
- бесшовность позволяет провести разговор по Skype идя по офису
Если в двух словах - уменьшить сложность архитектуры сервиса, избавившись, по возможности, от ненужных дополнительных точек отказа:
-
радиус авторизация пользователей
-
географическая удалённость виртуальной машины контроллера (hetzner) от самих уст-в, работа которых зависит от наличия связянности с ним
Философия «Дзен Питона»:
- Явное лучше, чем неявное.
- Простое лучше, чем сложное.
- Встретив двусмысленность, отбрось искушение угадать.
- При этом практичность важнее безупречности.
- physical-node контроллер размещенный в серверной офиса
- точки доступа имеющие связнность с контроллером на L2 уровне (без VPN over Public Internet)
- авторизация в сети WiFi через сканирование QR-кода
- Все тарелки Ubiquiti расположенные по офису соединяются с контроллером через один широковещательный домен. На изображении L2-свич с портами №2,4,6 в которые подключаются два кабеля от тарелок, третий от контроллера
- контроллер имеет два порта GigabitEthernet один из которых смотрит в сторону домена c тарелками
intranet_iface, а другой в интернетinternet_iface. Хост-система контроллера работает в режиме маршрутизатора пересылая пакеты из домена тарелок (пользователей WiFi) в сеть интернет. - В случае, если
internet_ifaceдля выхода в интернет использует корпоративную сеть, а не выделеный канал - пакеты из сети WiFi в частную сеть не пропускает файрвол - Общий пароль для входа в WiFi сеть выдавать в виде QR-кода с названием сети и паролем достаточной надежности
- монтаж 1U сервера в стойку
DONE - перевод сервера в режим роутера
DONE - установка/настройка Unifi
DONE - настройка широковещательного домена в коммутационном шкафу
DONE - переключение тарелок в созданный VLAN
PENDING - комутация тарелок с контроллером
PENDING
Работа WiFi по предложенной схеме уже организована на 3-ем этаже