Варианты построения Wi-

Fi сетейВадим Еремеев

08.04.2014

vy@nstel.ru

ведущий:

Содержание

ТД Stand Alone

Системы с централизованным управлением и

даннымиСистемы с централизованным управлением и распределёнными данными

Одноканальные системы Wi-Fi

Системы корпоративного класса

Системы операторского класса

Комбинированные системы (Wi-Fi + частный

протокол)

Системы позиционирования RTLS

Системы wireless IDS/IPS

Практические примеры объектов

ТД Stand Alone - SOHOИспользуются дома или в

малых офисах;

Небольшое количество Wi-Fi клиентов (до 10);

В основном 2.4 ГГц, но в последнее время и 5 ГГц;

В основном совмещают функции маршрутизатора, dhcp, NAT;

Небогатый функционал, но для личных нужд достаточный;

Основное преимущество – низкая цена.

ТД Stand Alone - EnterpriseИспользуются в системах

корпоративного или операторского класса;

Имеют 2 и более радиомодулей, работают в 2.4 и 5 ГГц;

Высокопроизводительный чипсет – 50 и более клиентов на каждое радио;

Работают без контроллера, конфигурируются отдельно;

Часто поддерживают режимы AP, WDS, MESH;

Сервисы выполняются на внешних устройствах;

Работают с системой мониторинга.

ТД Stand Alone – всё в одномПредназначены для использования в

местах большого скопления людей;

Имеют до 16 радиомодулей в одном корпусе (4 - 2.4 +5ГГц и 12 - 5ГГц);

Имеют встроенный контроллер в том - же корпусе;

Могут объединяться в единую Wi-Fi сеть;

Часто поддерживают режимы AP, WDS, MESH;

Удобство в развёртывании;

Работают с системой мониторинга.

ТД Stand Alone – всё в одном

Системы с централизованным

управлением и данными

INTERNET

Кампусная/ корпоративная сеть/ местные IP службы

LDAP/RADIUS/Kerberos/ Windows Domain Authentication Server

`

AP-2

AP-1

AP-3

Проводной гостевой доступ

Проводная LAN

Wi-Fi контроллер

Система управления

Wi-Fi

Достоинства:1. Централизованный мониторинг, управление,

конфигурирование;2. ТД – тонкий клиент, не хранит конфигурацию – высокая

безопасность;3. Невысокие требования к коммутаторам доступа (порты в

режиме access, ТД строит туннель на контроллер);4. Контроллер – полноценный роутер с dhcp, NAT, Firewall.

Недостатки:5. Низкая масштабируемость контроллера, т.к. трафик идёт

через него;6. Архитектура не подходит для современных ТД,

поддерживающих последние стандарты (802.11 n 450 Mbps, 600 Mbps-max, ac 1.7 Gbps, 6.7Gbps - max);

7. Firewall правила применяются на контроллере, нежелательный трафик доходит до контроллера;

8. Переключение на резервный контроллер – значительное время с обрывом всех клиентских сессий.

Системы с централизованным

управлением и данными

Системы с централизованным управлением и распределёнными

данными

AP-1

Коммутатор802.1Q

Маршрутизируемая сеть

МаршрутизаторКонтроллерWi-Fi

AP-2 AP-3

Достоинства:1. Централизованный мониторинг, управление,

конфигурирование;2. ТД – тонкий клиент, не хранит конфигурацию – высокая

безопасность;3. Клиентский трафик может идти разными маршрутами;4. Высокая масштабируемость и низкая стоимость

контроллеров (до нескольких тыс. ТД);5. Возможность виртуализации контроллера;6. Архитектура подходит для последних стандартов

(802.11n/ac);7. FireWall правила применяются на ТД. Нежелательный

трафик блокируется на ТД и не попадает в сеть;8. Переключение на резервный контроллер для клиента –

бесшовно.Недостатки:9. Повышенные требования к сетевой архитектуре (dhcp,

роутинг, 802.1q на коммутаторах);10.Для небольших удалённых офисов нужно более дорогое

сетевое железо (требования – см. п.1).

Системы с централизованным управлением и распределёнными

данными

Одноканальные системы Wi-Fi

Недостатки:1. Часто интерфейс на ТД не eth

(частный) – ограничения по длине кабеля, выносу через существующую инфраструктуру;

2. Низкая масштабируемость контроллера;

3. Вопросы по пропускной способности системы.

На ТД могут быть подняты несколько SSID;Каждая SSID имеет свой bssid – единый для всех ТД. Для клиента вся система видна, как одна большая ТД;Роуминг производится контроллером, а не клиентом (который думает, что работает на одной ТД);

Достоинства:1. Быстрый роуминг;2. Не нужно делать частотное

планирование.

1. Централизованный мониторинг, управление, конфигурирование;

2. Система должна иметь несколько SSID;

3. SSID с высокой защитой (для сотрудников компании), WPA2-Enterprise (EAP-TLS, EAP-PEAP);

4. Интеграция с существующими системами AAA;

5. SSID для гостей, Web-auth. Кастомизированный Web-портал с логотипом компании. Возможность генерации гостевых логинов ;

6. ТД в основном indoor, но иногда и outdoor – для засветки улицы;

7. Высокие требования по IDS/IPS;8. Возможность создания множества

правил управления клиентами (политики, роли, и.т.д);

9. Для компаний финансового сектора – возможность аудита и генерации отчётов PCI-DSS.

Системы корпоративного класса

1. Предназначена для организации последней мили;

2. Централизованный мониторинг ТД;

3. Система должна иметь несколько SSID;

4. SSID для домашних клиентов провайдера, WPA2-PSK/Enterprise;

5. Клиентское устройство строит PPPoE туннель на BRAS провайдера;

6. SSID для гостей, Web-auth;7. SSID для аренды другим

операторам (например, мобильным EAP-SIM/AKA);

8. ТД в основном outdoor со встроенными или внешними антеннами;

9. Высокие требования по пакетной производительности ТД, чувствительности, мощности передачи;

10.Правила управления клиентами, тарифные планы, биллинг – на сетевом оборудовании (не Wi-Fi).

Системы операторского класса

Комбинированные системы беспроводного доступа

1. Состоит из нескольких систем – проприетарных (доступ на подвижный состав, РРЛ) и Wi-Fi (доступ клиентов в Интернет);

2. Требования к сети связи с поездом – быстрый роуминг (стандартные средства Wi-Fi не позволяют);

3. Сеть РРЛ – высокая пропускная способность, полный дуплекс.

Комбинированные системы беспроводного доступа

1. Сеть Wi-Fi высокая надёжность, хорошее покрытие внутри вагона;2. Клиентским устройствам Wi-Fi не нужно делать роуминг.

1. Существуют либо встроенные в Wi-Fi системы, либо отдельные;

2. Предназначены для определения местоположения клиентов с высокой точностью (3 – 5м);

3. Состоит из сервера, обрабатывающего информацию, системы мониторинга и клиентских устройств;

4. Клиент измеряет RSSI от нескольких ТД и передаёт на сервер, который определяет его местоположение;

5. Клиентским устройством может быть либо специализированное устройство, либо программа, либо обычный Wi-Fi клиент (Aruba, Ruckus).

Системы позиционирования (RTLS)

1. Существуют либо встроенные в Wi-Fi системы, либо отдельные;2. Предназначены для определения различных RF-Alarms. Имеют

большое количество сигнатур в БД (Airmagnet более 240), постоянно обновляются;

3. Могут анализировать спектр и Wi-Fi.

Системы wireless IPS/IDS

1. Возможность определения местоположения «чужих» устройств на карте методом триангуляции (точность 5 – 10м);

2. Широкие возможности логирования и создания отчётов.

Системы wireless IPS/IDS

1. Возможность активного подавления чужих ТД и клиентов.

Системы wireless IPS/IDS

Sensor Rogue APBssid 00:00:00:00:00:01

Sensor

Sensor

DeAuthBssid 00:00:00:00:00:01

DeAuthBssid 00:00:00:00:00:01

DeAuthBssid 00:00:00:00:00:01

Rogue client

Connectionlost

Практические примеры объектов

Сбербанк России1. Работает в ГО, филиалах по г.

Москве и в террбанках (Москва, Тула, Калуга, С-Петербург, Иркутск);

2. Общее количество ТД на начало 2014г – более 800;

3. Часть банков – архитектура централизованное управление и данные, часть – центр. управление – распределённые данные;

4. Сеть состоит из ТД и сенсоров для IDS/IPS;

5. Несколько SSID: сотрудники банка, официальные гости, для спец. нужд;

6. Отдельные сети от провайдеров для клиентов банка (Акадо-Телеком – Москва, Ростелеком – Тула).

Практические примеры объектов

Гостиничный Wi-Fi1. На примере гостиницы Меридиан

(Мурманск);2. Архитектура - централизованное

управление и данные (с физическим контроллером);

3. Сеть состоит только из ТД для организации зон покрытия;

4. Несколько SSID: гости, работники гостиницы, возможны – арендованные операторам;

5. Для гостей – Web-auth. Web-страница – с логотипом гостиницы и информацией для посетителей;

6. Возможность генерации гостевых учётных записей секретарём (с помощью специальной программы).

Практические примеры объектов Компания International Flavors &

Fragrances

© NSTel

США, Нью-ЙоркЦентральный офис

Интернет

Россия,Москва

Франция,Грасс

Vwlan контроллер

ТД ТДТД ТД

Трафик управления

Трафик данных

Практические примеры объектов

Сочи: отели Роза-Хутор

1. Архитектура - централизованное управление, распределённые данные;

2. Более 500 ТД для организации зон покрытия внутри отелей и на улице;

3. Для каждого отеля – отдельный SSID со своей страницей авторизации;

4. Открытый Wi-Fi на улице и в зоне ресепшена.

Практические примеры объектов Сочи: Инвестиционный форум, сентябрь

2013г.

1. Назначение – организация Wi-Fi для большого числа участников на массовом мероприятии;

2. Архитектура - централизованное управление, распределённые данные;

3. 70 ТД для организации зон покрытия внутри отелей и на улице;

4. SSID для прессы, участников, VIP-персон с разными условиями;

5. Более 2 тыс. одновременных сессий, 950 – в зоне главного пленарного заседания;

6. Специально разработанные MIMO секторные антенны.

Практические примеры объектов Сочи: LifeSites, февраль 2014г.

1. Назначение – организация Wi-Fi для большого числа участников в специальных зонах;

2. Архитектура - централизованное управление, распределённые данные;

3. 90 ТД для организации зон покрытия на улице. Indoor ТД в защитных кожухах;

4. Часть ТД с внешними MIMO антеннами, часть со встроенными;

5. Сеть была рассчитана на 6 тыс. одновременных сессий;

6. Специально разработанные MIMO секторные и круговые 2-х диапазонные антенны.

Спасибо за внимание!

? ? ? ? ?

Вадим Еремеевvy@nstel.ruyvv2003@rambler.ru