Выбираем оборудование для построения сетей wi-fi
DESCRIPTION
Презентация для вебинара от 8.04.2014 -- практикующий специалист в области беспроводных технологий Вадим Еремеев расскажет о том, в каких решениях можно реализовать различные типы Wi-Fi сетей, а также продемонстрирует конкретные кейсы организации Wi-Fi систем на реальных объектах. Запись вебинара на YouTube: http://www.youtube.com/watch?v=5M4mOT4elBcTRANSCRIPT
Содержание
ТД Stand Alone
Системы с централизованным управлением и
даннымиСистемы с централизованным управлением и распределёнными данными
Одноканальные системы Wi-Fi
Системы корпоративного класса
Системы операторского класса
Комбинированные системы (Wi-Fi + частный
протокол)
Системы позиционирования RTLS
Системы wireless IDS/IPS
Практические примеры объектов
ТД Stand Alone - SOHOИспользуются дома или в
малых офисах;
Небольшое количество Wi-Fi клиентов (до 10);
В основном 2.4 ГГц, но в последнее время и 5 ГГц;
В основном совмещают функции маршрутизатора, dhcp, NAT;
Небогатый функционал, но для личных нужд достаточный;
Основное преимущество – низкая цена.
ТД Stand Alone - EnterpriseИспользуются в системах
корпоративного или операторского класса;
Имеют 2 и более радиомодулей, работают в 2.4 и 5 ГГц;
Высокопроизводительный чипсет – 50 и более клиентов на каждое радио;
Работают без контроллера, конфигурируются отдельно;
Часто поддерживают режимы AP, WDS, MESH;
Сервисы выполняются на внешних устройствах;
Работают с системой мониторинга.
ТД Stand Alone – всё в одномПредназначены для использования в
местах большого скопления людей;
Имеют до 16 радиомодулей в одном корпусе (4 - 2.4 +5ГГц и 12 - 5ГГц);
Имеют встроенный контроллер в том - же корпусе;
Могут объединяться в единую Wi-Fi сеть;
Часто поддерживают режимы AP, WDS, MESH;
Удобство в развёртывании;
Работают с системой мониторинга.
ТД Stand Alone – всё в одном
Системы с централизованным
управлением и данными
INTERNET
Кампусная/ корпоративная сеть/ местные IP службы
LDAP/RADIUS/Kerberos/ Windows Domain Authentication Server
`
AP-2
AP-1
AP-3
Проводной гостевой доступ
Проводная LAN
Wi-Fi контроллер
Система управления
Wi-Fi
Достоинства:1. Централизованный мониторинг, управление,
конфигурирование;2. ТД – тонкий клиент, не хранит конфигурацию – высокая
безопасность;3. Невысокие требования к коммутаторам доступа (порты в
режиме access, ТД строит туннель на контроллер);4. Контроллер – полноценный роутер с dhcp, NAT, Firewall.
Недостатки:5. Низкая масштабируемость контроллера, т.к. трафик идёт
через него;6. Архитектура не подходит для современных ТД,
поддерживающих последние стандарты (802.11 n 450 Mbps, 600 Mbps-max, ac 1.7 Gbps, 6.7Gbps - max);
7. Firewall правила применяются на контроллере, нежелательный трафик доходит до контроллера;
8. Переключение на резервный контроллер – значительное время с обрывом всех клиентских сессий.
Системы с централизованным
управлением и данными
Системы с централизованным управлением и распределёнными
данными
AP-1
Коммутатор802.1Q
Маршрутизируемая сеть
МаршрутизаторКонтроллерWi-Fi
AP-2 AP-3
Достоинства:1. Централизованный мониторинг, управление,
конфигурирование;2. ТД – тонкий клиент, не хранит конфигурацию – высокая
безопасность;3. Клиентский трафик может идти разными маршрутами;4. Высокая масштабируемость и низкая стоимость
контроллеров (до нескольких тыс. ТД);5. Возможность виртуализации контроллера;6. Архитектура подходит для последних стандартов
(802.11n/ac);7. FireWall правила применяются на ТД. Нежелательный
трафик блокируется на ТД и не попадает в сеть;8. Переключение на резервный контроллер для клиента –
бесшовно.Недостатки:9. Повышенные требования к сетевой архитектуре (dhcp,
роутинг, 802.1q на коммутаторах);10.Для небольших удалённых офисов нужно более дорогое
сетевое железо (требования – см. п.1).
Системы с централизованным управлением и распределёнными
данными
Одноканальные системы Wi-Fi
Недостатки:1. Часто интерфейс на ТД не eth
(частный) – ограничения по длине кабеля, выносу через существующую инфраструктуру;
2. Низкая масштабируемость контроллера;
3. Вопросы по пропускной способности системы.
На ТД могут быть подняты несколько SSID;Каждая SSID имеет свой bssid – единый для всех ТД. Для клиента вся система видна, как одна большая ТД;Роуминг производится контроллером, а не клиентом (который думает, что работает на одной ТД);
Достоинства:1. Быстрый роуминг;2. Не нужно делать частотное
планирование.
1. Централизованный мониторинг, управление, конфигурирование;
2. Система должна иметь несколько SSID;
3. SSID с высокой защитой (для сотрудников компании), WPA2-Enterprise (EAP-TLS, EAP-PEAP);
4. Интеграция с существующими системами AAA;
5. SSID для гостей, Web-auth. Кастомизированный Web-портал с логотипом компании. Возможность генерации гостевых логинов ;
6. ТД в основном indoor, но иногда и outdoor – для засветки улицы;
7. Высокие требования по IDS/IPS;8. Возможность создания множества
правил управления клиентами (политики, роли, и.т.д);
9. Для компаний финансового сектора – возможность аудита и генерации отчётов PCI-DSS.
Системы корпоративного класса
1. Предназначена для организации последней мили;
2. Централизованный мониторинг ТД;
3. Система должна иметь несколько SSID;
4. SSID для домашних клиентов провайдера, WPA2-PSK/Enterprise;
5. Клиентское устройство строит PPPoE туннель на BRAS провайдера;
6. SSID для гостей, Web-auth;7. SSID для аренды другим
операторам (например, мобильным EAP-SIM/AKA);
8. ТД в основном outdoor со встроенными или внешними антеннами;
9. Высокие требования по пакетной производительности ТД, чувствительности, мощности передачи;
10.Правила управления клиентами, тарифные планы, биллинг – на сетевом оборудовании (не Wi-Fi).
Системы операторского класса
Комбинированные системы беспроводного доступа
1. Состоит из нескольких систем – проприетарных (доступ на подвижный состав, РРЛ) и Wi-Fi (доступ клиентов в Интернет);
2. Требования к сети связи с поездом – быстрый роуминг (стандартные средства Wi-Fi не позволяют);
3. Сеть РРЛ – высокая пропускная способность, полный дуплекс.
Комбинированные системы беспроводного доступа
1. Сеть Wi-Fi высокая надёжность, хорошее покрытие внутри вагона;2. Клиентским устройствам Wi-Fi не нужно делать роуминг.
1. Существуют либо встроенные в Wi-Fi системы, либо отдельные;
2. Предназначены для определения местоположения клиентов с высокой точностью (3 – 5м);
3. Состоит из сервера, обрабатывающего информацию, системы мониторинга и клиентских устройств;
4. Клиент измеряет RSSI от нескольких ТД и передаёт на сервер, который определяет его местоположение;
5. Клиентским устройством может быть либо специализированное устройство, либо программа, либо обычный Wi-Fi клиент (Aruba, Ruckus).
Системы позиционирования (RTLS)
1. Существуют либо встроенные в Wi-Fi системы, либо отдельные;2. Предназначены для определения различных RF-Alarms. Имеют
большое количество сигнатур в БД (Airmagnet более 240), постоянно обновляются;
3. Могут анализировать спектр и Wi-Fi.
Системы wireless IPS/IDS
1. Возможность определения местоположения «чужих» устройств на карте методом триангуляции (точность 5 – 10м);
2. Широкие возможности логирования и создания отчётов.
Системы wireless IPS/IDS
1. Возможность активного подавления чужих ТД и клиентов.
Системы wireless IPS/IDS
Sensor Rogue APBssid 00:00:00:00:00:01
Sensor
Sensor
DeAuthBssid 00:00:00:00:00:01
DeAuthBssid 00:00:00:00:00:01
DeAuthBssid 00:00:00:00:00:01
Rogue client
Connectionlost
Практические примеры объектов
Сбербанк России1. Работает в ГО, филиалах по г.
Москве и в террбанках (Москва, Тула, Калуга, С-Петербург, Иркутск);
2. Общее количество ТД на начало 2014г – более 800;
3. Часть банков – архитектура централизованное управление и данные, часть – центр. управление – распределённые данные;
4. Сеть состоит из ТД и сенсоров для IDS/IPS;
5. Несколько SSID: сотрудники банка, официальные гости, для спец. нужд;
6. Отдельные сети от провайдеров для клиентов банка (Акадо-Телеком – Москва, Ростелеком – Тула).
Практические примеры объектов
Гостиничный Wi-Fi1. На примере гостиницы Меридиан
(Мурманск);2. Архитектура - централизованное
управление и данные (с физическим контроллером);
3. Сеть состоит только из ТД для организации зон покрытия;
4. Несколько SSID: гости, работники гостиницы, возможны – арендованные операторам;
5. Для гостей – Web-auth. Web-страница – с логотипом гостиницы и информацией для посетителей;
6. Возможность генерации гостевых учётных записей секретарём (с помощью специальной программы).
Практические примеры объектов Компания International Flavors &
Fragrances
© NSTel
США, Нью-ЙоркЦентральный офис
Интернет
Россия,Москва
Франция,Грасс
Vwlan контроллер
ТД ТДТД ТД
Трафик управления
Трафик данных
Практические примеры объектов
Сочи: отели Роза-Хутор
1. Архитектура - централизованное управление, распределённые данные;
2. Более 500 ТД для организации зон покрытия внутри отелей и на улице;
3. Для каждого отеля – отдельный SSID со своей страницей авторизации;
4. Открытый Wi-Fi на улице и в зоне ресепшена.
Практические примеры объектов Сочи: Инвестиционный форум, сентябрь
2013г.
1. Назначение – организация Wi-Fi для большого числа участников на массовом мероприятии;
2. Архитектура - централизованное управление, распределённые данные;
3. 70 ТД для организации зон покрытия внутри отелей и на улице;
4. SSID для прессы, участников, VIP-персон с разными условиями;
5. Более 2 тыс. одновременных сессий, 950 – в зоне главного пленарного заседания;
6. Специально разработанные MIMO секторные антенны.
Практические примеры объектов Сочи: LifeSites, февраль 2014г.
1. Назначение – организация Wi-Fi для большого числа участников в специальных зонах;
2. Архитектура - централизованное управление, распределённые данные;
3. 90 ТД для организации зон покрытия на улице. Indoor ТД в защитных кожухах;
4. Часть ТД с внешними MIMO антеннами, часть со встроенными;
5. Сеть была рассчитана на 6 тыс. одновременных сессий;
6. Специально разработанные MIMO секторные и круговые 2-х диапазонные антенны.