✅ Правильно. Пока что всё верно, но неполно из-за отсутствия определения термина “session”. Простое подключение к новой точке доступа часто начинает новую “session”. Следующая точка доступа не имеет 802.1x учетных данных устройства и часто нуждается в консультации с RADIUS. Когда прозвенит звонок на перемену или к следующему уроку, всё будет кончено, если RADIUS будет недоступен в это время. Есть "хитрости", такие как 802.11r, когда предыдущая точка доступа может "ручаться" за клиента перед следующей. Но это требует явной поддержки от обеих точек доступа и клиента. Есть кэширование PMKID, с помощью которого можно вернуться к ранее аутентифицированной точке доступа без RADIUS. Но это не поможет, если вы направляетесь в следующий класс.

На практике ваша сеть WiFi WPA2/3 Enterprise начнет разваливаться через несколько минут без RADIUS. Она умрёт в течение часа.

Так что вам действительно нужен локальный RADIUS-сервер! И с резервной копией, если возможно!

Если ученики уже входят в Google Classroom, ситуация меняется немного. Локальный RADIUS-сервер должен иметь вторую копию паролей учеников, или связать RADIUS с Google как-то иначе, или перейти к беспарольной аутентификации через управление мобильными устройствами (MDM).

Вам придется выбрать это до того, как вы будете строить какие-либо планы.

Ах, наивные юнцы! На протяжении всей жизни вас будут соблазнять "начинать с нуля". Это не решение, которое следует принимать легкомысленно. В старой, громоздкой, но работающей системе может быть запрятана "полевая мудрость". Люди склонны придавать значение нулю тому, чего не понимают и не любят.

Иногда это правильный выбор, часто нет. Лучший способ заменить старую систему – создать новую, дать людям её использовать, а затем переключиться, когда она будет доказана.

К тому же, вы не будете учиться там вечно. Кто будет отслеживать и обслуживать это после вас? Пойдите к своему ментору с ответами на эти вопросы, чтобы избежать быстрого отказа.

Еще один секрет: практикуйтесь заменять "я" и "себя" на "мы" и "нас". Это звучит глупо, но со временем это заставит людей захотеть слушать ваши идеи и переключит вас на командное мышление.

Так же, как школьная спортивная команда не соревнуется без тренировок, вы не упомянули, как бы вы провели репетицию для развертывания.

У вас должна быть прототипная сеть, и тогда вы сможете экспериментировать с ней в первую очередь. Докажите своему ментору, что вы можете справиться с этим.

Затем попросите своего ментора сломать вашу систему, а затем соберите её обратно перед его глазами. В конце двух недель худшее, что может случиться, – это ничего не произойдет. Вы не хотите сломанную сеть, когда вся школа вернется.

Я постарался максимально точно перечислить все наши устройства. У нас примерно 20 камер и один UVR, плюс около 30 точек доступа и несколько In-Wall модулей. Все устройства, которым требуется PoE, будут подключены к USW Pro 24-портовым PoE-коммутаторам — у нас их три или четыре.  Еще у нас есть несколько не-PoE коммутаторов, которые будут использоваться для подключения ПК. Коммутаторы соединены между собой по оптоволокну. Цель — обеспечить аутентификацию через RADIUS для 150-200 человек. Сейчас у нас есть скрытая Wi-Fi сеть для студентов. Когда они входят в систему со своими школьными аккаунтами, они автоматически подключаются к нужной сети (кажется, это настроено через Google Accounts). Мы хотим предотвратить возможность студентам узнавать и распространять пароль от Wi-Fi. Какое бы вы предложили надежное решение? Примерно 800 студентам нужен доступ, хотя не все они будут онлайн одновременно. Исходя из перечисленных ресурсов, возможно ли настроить безопасную систему аутентификации без использования стороннего RADIUS-сервера или подобных внешних сервисов? Если да, то какой подход будет наилучшим?

Мои ответы верны? Иногда мне все еще сложно полностью понять, как все это работает. У нас есть 5 VLAN, несколько Wi-Fi сетей (включая одну, которая использует ваучеры для аутентификации), несколько VPN соединений, и теперь я хочу добавить RADIUS сервер на 150-200 пользователей. Школа, где я прохожу стажировку, будет почти полностью закрыта на неделю из-за праздников. Я хотел бы предложить своему ментору начать с нуля и самостоятельно заняться всей настройкой и мониторингом — без облачного контроллера. У нас были проблемы с системой ваучеров, например, ваучеры просто пропадали, и я подозреваю, что облачный контроллер может быть причиной. Что думаете? Стоит ли сохранять текущую конфигурацию и просто попытаться реализовать RADIUS сервер, или лучше перестроить все с нуля, пока школа закрыта?

Всё, что может нарушить работу вашей сети при потере интернет-соединения, должно быть локальным.

А раз уж вы студент, вот вам небольшой тест: что произойдет с локальной сетью, если RADIUS находится в облаке и у вас пропала связь с облаком? Что произойдет с локальной сетью, если контроллер Unifi находится в облаке и у вас пропала связь с облаком?

Внутри Unifi используется FreeRADIUS (freeradius.org). Можете почитать их документацию об ограничениях.

Для справки, Unifi использует самую простую форму, где RADIUS DB — это огромный текстовый файл, который загружается в оперативную память. Есть более продвинутые конфигурации, использующие LDAP и SQL для большого количества пользователей.

Я изменил свое сообщение — не знал, что это вообще возможно. Спасибо за подсказку!

Прошу прощения, если были какие-то недочеты, я старался объяснить все как можно лучше. Поскольку английский — не мой родной язык, я использовал его, чтобы убедиться в правильном написании. Очень хотел написать на правильном английском. Наш физический контроллер — UDM SE, а не UDM SE pro (извините за это). Прилагаю картинку с топологией, а также еще одно изображение, показывающее топологию нашего сайта, которым управляет CloudUni.fi. Кстати, я всего лишь студент-стажер, еще учусь работать с UniFi и сетями. Мне было довольно сложно понять, как работают физический и облачный контроллеры вместе.