前言: 學校區域網路,無線AP建置,因為有防火牆,所以有很多問題要考慮。
<天上掉下來的禮物>
一筆經費讓我開始無線網路的建置,幾乎是從零開始(5%覆蓋率),事前仔細規劃(了解學校所有網路的布線來龍去脈),諮詢專家(親訪嘉義市大業國中資訊組長),目的是讓經費的效益衝到最大(納稅人的血汗錢,自然是要好好運用)。
<無線覆蓋率低的校園>
請專家推薦的廠商前來規劃布線,並購買幾台Giga的交換器,目前學校的交換器大多是MEGA速度,老舊且不符合時代需求。需要逐步更換成GIGA速度的,因為網路線是5E以上了。
<想到未來十年預算規劃>
一次採購台穿牆王(ISLINK 6),說到穿牆王,我不得不說他的售後服務電話真的很棒,以下內容會再提到他的服務。
此次經費運用在兩部分
1. 無線網路佈線,從主機房到各樓層交換器,當作目前已有的線路的備用線。
2. 採購20台穿牆王,放在1F到3F,將無線覆蓋率提升到80%。
在規劃時,我是以未來10年或15年的使用趨勢來規劃,思考管理的便利性,同時建立學校第二套線路系統,系統間可互為備用。另外更新目前學校較慢的交換器(有很多,天呀!),要求廠商提供詳細的配線圖,線路標示清楚,讓未來接續我的位子的人也可以很快上手了解學校網路配置,不會像我一樣,有查線的血淚史。
<錯誤的方向>
工程從3月底開始,幾個工作天就做好佈建,接下來開始測試AP的功能,此時問題來了,AP連線不穩定,AP的網路介面常連不上,我的軟體監測常PING不到AP的虛擬位址,我就知道AP出問題,出問題通常不是單個AP,而是同樓層,或全部。
<設定AP,服務一流的穿牆王ISLINK公司>
開始一直朝AP有問題處理,考量頻道重疊問題,又調整頻道,將鄰近的AP頻道盡量錯開,接著又調整AP設定,將閘道模式,改設橋接模式(注意不是無線橋接),很多人誤以為是無線橋接,警告我網路會不穩定,其實我親自打電話給穿牆王的公司,確認應該設定為橋接模式,該工程師還說若在AP設定頁面中的LAN設GATEWAY也不會有效果。
<無止盡的手機測訊>
為了測試訊號是否穩定,我利用空閒時間,拿著手機,在樓層間趴趴走,不斷測試檢視連線狀況及頻道是否重疊,拿著安裝著wifi analyer的手機,在樓層間上網,這是別人看不到資訊組長辛酸的地方,維修維護備份資安是資訊組重要工作,平時就得做好,但總是有其他雜七雜八的事,其實我總是想,每一組都把自己的事做好做完善最重要,無奈分心的事太多,尤其是在想設定問題時,最討厭受到打擾。
<IP可能不夠>
AP本身設定DHCP自動取得(由市網派發),網路線接AP的LAN PORT,不可接WAN PORT,給AP一個虛擬IP當管理IP連入管理。 該工程師很專業,回答得很仔細,而且一定會接電話,所以極度推薦穿牆王ISLINK的AP。
手機測試結果,無線網路一直有問題,請廠商來斷電或重新RESET幾次,覺得是其他問題,尤其是,連線時自動取得IP時間過久,又讓我懷疑是IP不夠。
<無線有線混插出問題>
再來出現無線網路與有線網路在各樓層混插在同一交換器,也出現有線網路一併掛掉的情形,此時強烈懷疑是訊號封包過多,引起樓層交換器當機。
<將近一個月,測試還沒好>
無線AP及網路測試一直不如預期,老師反應連不上,或不穩。我從監測軟體也看到紅色的狀態,就是表示AP無效了,問題解決不了,佈線廠商來幾次都沒用,自己一直查資料,了解可能的問題,到了研習會場,就與其他資訊組長討論,參考他校作法,大業國中資訊林組長,是我常請益的對象,幸好有他,一直回答我的問題,激發我發現問題,解決問題的點。很感謝他的耐心。但測試沒好,就無法結案,只希望市網宗儀能來學校一趟,一次解決此次無線建置問題。
<防火牆切VDOM,有線無線分開走>
於是和市網聯繫,請工程師遠端幫我切防火牆Fortigate Vdom,專門給WIFI用。工程師設定好了之後,以筆電連接防火牆WIFI_LAN PORT就無法連外,於是工程師又多加了一則DNS條例,WIFI連外也需要認證條例,認證條例有勾選NAT,DNS條例沒有勾選。設定DNS條例後,還是無法連外。與市網工程師聯絡,他確認設定都正確,後來決定親自前來學校一趟,但在他來之前,我就與另一好友討論相關情形,好友親自前來學校幫我測試後,我倆討論出把DNS條例內的NAT打勾,連外才正常。
一個勾讓我搞了三個星期
可見防火牆阻擋封包的功力
設定正確後,防火牆用虛擬IP POOL配發172虛擬IP,共可配發2000多個IP,以後再也不怕不夠用了。
於是將主機房無線交換器啟用,在各樓層將無線AP網路線和有線網路分開,各接不同的交換器,正式把有線無線切開。
<無計可施,提前將樓層交換器接上定時器>
此時更慘,原本有一兩台無線AP活著,現在全死了,百思不得其解,於是請實習老師均翰協助我一起到各樓層交換器將無線網路插頭接上定時器,原本打算請廠商處理的說,只好自己在爬梯子上去安裝,還跟實習男老師說:<你知道為什麼不讓你爬,我自己爬嗎?> 他說不知道。我回答 <因為如果我摔下來至少有公傷假,你什麼都沒有,那我怎麼可以讓你爬呢!> 其實我是要快速解決問題,才這樣,做什麼都要廠商來處理,那時間會拖很久,而且也沒那麼多經費,也不想老是佔廠商便宜,要人家做免費的。
<網段不對,其實AP都活著>
於是又打電話給穿牆王的公司工程師,穿牆王有一支客服專線,真的很棒(真心的,非商業文),我向工程師抱怨機子都死當,他說不可能,已賣幾十萬台,沒聽過我的情況,無法連入管理介面,懷疑我的網段不對,我說以前連入過,網段不可能不對。工程師堅持他的說法,並舉例很多中華電信工程師或其他不專業工程師在HUB 或 ROUTER設定有問題,非AP機子問題。我想穿牆王工程師這麼有自信,於是自己再推敲原因,後來想到網段問題,才想起現在AP防火牆WIFI_WAN出去,與自己的辦公室及DUDE主機VDOM以不同,難怪偵測不到。
<無線網路通暢>
解決了DHCP IP不夠的問題,又解決網段DUDE偵測問題,終於無線網路通暢。
<我比人卡認真>
建置過程,自己總是要爬上梯子,處理靠近天花板的交換器機櫃(很像水電工),我只能說,國家有我這種老師,應該覺得很划算。呵呵!
<接下來的工作--又自派工作>
在處理各樓層交換器時,發現交換器內非常髒,插頭也很髒,粉塵很可能引起靜電起火,必須要盡快處理這堆了近8年的灰塵,我好苦!!! 處女座的個性在這裡展現無遺,喜歡自己管理的設備線路非常整齊,設備很乾淨,把學校當成自己家裡一樣來處理維護,是這種態度在工作著!
