Проектирование беспроводных сетей
Проектирование беспроводных сетей для доступа мобильных пользователей к корпоративным информационным ресурсам, а также в сеть Интернет, является одним из типовых проектов, реализуемых компанией ООО "ЭнДжи Групп" (NG Group) для своих Заказчиков.
Настоящее предложение содержит концептуальное описание основных технических решений, мер по обеспечению надежности, отказоустойчивости и безопасности системы, а также решений по ее масштабированию и развитию.
Введение
В современном мире, компании стремятся использовать все доступные технические возможности, а также наиболее актуальные технологии для эффективного ведения бизнеса и получения конкурентных преимуществ. К числу таких современных технологий относятся беспроводные и мобильные системы. Применение мобильных устройств и переносных компьютеров оправдывается необходимостью работы вне офисных помещений: в командировках, на переговорах и т.п., что является неотъемлемой частью выполняемых бизнес-функций.
Темпы развития данного сегмента рынка ИТ свидетельствует о высоком уровне потребительского спроса на беспроводные технологии. Уровень развития данных решений достиг высокого уровня и в полной мере удовлетворяет жестким требованиям корпоративных Заказчиков. Благодаря этому беспроводные технологии нашли свое широкое применение не только в публичном секторе (рестораны, гостиницы и т.д.), но и в корпоративном сегменте.
Основное техническое решение
Создание беспроводных сетей является комплексным и индивилуальным проектом. В этой связи, как один из возможных вариантов, начать внедрение беспроводных технологий предлагается с создания пилотного участка Wi-Fi сети, например в переговорных комнатах.
Ключевые решения, используемые специалистами компании ООО "ЭнДжи Групп" (NG Group) при проектировании любых информационных систем, в частности при создании беспроводных сетей, основываются на принципах:
- конфиденциальность;
- целостность;
- доступность.
Пилотный участок, реализованный в переговорных комнатах, позволит сформировать базовую инфраструктуру будущей Wi-Fi сети и, одновременно, обеспечить сотрудников защищенным доступом к корпоративным информационным ресурсам, а клиентов и партнеров - гостевым доступом в сеть Интернет.
В рамках данного участка инсталлируется Контроллер централизованного управления беспроводными точками (Рис. 1), а также ряд самих точек доступа (Рис. 2). В качестве каналообразующего оборудования для построения беспроводных сетей, компания ООО "ЭнДжи Групп" (NG Group) рекомендует использовать решения нашего ключевого партнера - компании Cisco Systems, мирового лидера в области сетевых технологий.
Рис. 1 - Контроллер централизованного управления беспроводными точками доступа
Cisco 5520 Wireless Controller
Рис. 2 - Беспроводная точка доступа Cisco Aironet 2800 Series Access Points
Основные технические характеристики используемого оборудования приведены в таблицах ниже.
Табл. 1 - Основные технические характеристики Cisco 5520 Wireless Controller
|
Максимальное количество точек доступа |
до 1 500 шт. |
|
Максимальное количество пользователей |
до 20 000 шт. |
|
Режимы развертывания |
Централизованный, Cisco FlexConnect, Mesh |
|
Форм-фактор |
1 RU |
|
Интерфейсы ввода/вывода |
2 шт. 1Gb/10Gb порта с поддержкой технологии агрегации каналов (Link Aggregation Group) |
|
Питание |
AC с возможностью установки резервного блока питания |
|
Гарантия производителя |
3 года |
Табл. 2 - Основные технические характеристики Cisco Aironet 2800 Series Access Points
|
Варианты исполнения корпуса |
С внутренней антенной или с 4x4 MU-MIMO антеннами |
|
Режимы функционирования |
Режим 2.4-GHz и 5-GHz: Один радиомодуль обслуживает клиентов в 2.4-GHz частотном диапазоне, а второй модуль выделяется для 5-GHz. Режим двойного 5-GHz: Оба радиомодуля обслуживают клиентов на частоте 5-GHz, обеспечивая максимальную производительность 802.11ac Wave 2. Security Monitoring and 5-GHz mode: Один радиомодуль обслуживают клиентов на частоте 5-GHz, а второй модуль отвечает за сканирование радиочастотного спектра на предмет выявления несанкционированных точек доступа и злономеренной активности третьих лиц. |
|
Интерфейсы ввода/вывода |
2 шт. 100/1000 BASE-T autosensing (RJ-45), Консольный порт (RJ-45), USB 2.0 |
Обеспечение отказоустойчивости
В рамках построения беспроводной сети одним из ключевых факторов является отказоустойчивость и общая надежность.
Данная задача реализуется следующим комплексом технических мер:
- резервирование ключевых компонент системы, от работоспособности которых зависит работоспособность сети в целом;
- частичное перекрытие/пересечение зон охвата точек доступа беспроводной сети.
Отказоустойчивость Контроллера управления предполагается обеспечивать на этапах дальнейшего масштабирования системы, за счет установки резервного Контроллера.
С целью обеспечения непрерывности доступа мобильных пользователей вся беспроводная сеть частично перекрывается сигналом от соседних точек доступа (Рис. 3) в пропорции 80/20. При этом, в случае выхода из строя одной из точек доступа, зона ее покрытия на большую часть продолжит быть покрытой сигналом Wi-Fi и пользователи смогут продолжить работу.
Рис. 3
Реализация данных мер позволяет организовать непрерывный доступ пользователей в сеть, а также обеспечить отказоустойчивость и повысить общую надежность.
Обеспечение безопасности
Безопасность беспроводной Wi-Fi сети от несанкционированной сетевой активности, а также попыток несанкционированного доступа обеспечивается комплексом мер на каждой компоненте системы.
Данные меры реализуются штатными функциями операционной системы беспроводных точек доступа и Контроллера управления, включая:
- беспроводные точки доступа:
- поддержка протоколов безопасности беспроводных сетей 802.11i, WPA2, WPA;
- поддержка протокола 802.1X;
- поддержка механизмов шифрования передаваемых данных (AES, TKIP);
- Контроллер управления точками доступа:
- поддержка механизмов шифрования передаваемых данных (DES/3DES/AES; SSL и TLS; IPSec);
- поддержка механизмов аутентификации пользователей (RADIUS, TACACS+);
- поддержка протоколов безопасности беспроводных сетей (WEP, WPA, WPA2);
- поддержка механизмов ACL и VLAN.
Решения по масштабированию
Настоящее предложение подготовлено с учетом дальнейшего масштабирования системы посредством количественного и качественного наращивания функциональных компонент, без необходимости их замены и утилизации.
Данные меры достигаются за счет изначального выбора соответствующей аппаратной платформы используемого оборудования, рассчитанной под текущие требования и нагрузки непосредственно на этапе внедрения, но учитывающей дальнейший рост путем добавления новых лицензий.
В рамках пилотного проекта поставляется и настраивается виртуальный Контроллер Cisco 5520 Wireless Controller, штатная лицензия которого функционирует в триальном режиме 90 дней. Расширение количества подконтрольных объектов осуществляется посредством закупки и установки дополнительных лицензий. Наращивание мощностей осуществляется постепенно – по мере расширения системы. Данные меры экономически целесообразны и позволяют снизить финансовые затраты по мере необходимости масштабирования системы.
В частности, одним из типовых компонент, используемых для масштабирования Wi-Fi сети, является Сервер Cisco Secure Access Control System позволяющий реализовать механизм централизованного управления учетными записями пользователей с возможностью использования для аутентификации пользователей при подключении к сети данные из корпоративного домена Microsoft Active Directory.
Рис. 4 - Сервер централизованного управления учетными записями пользователей
Cisco Secure Access Control System на платформе SNS 3415 Appliance
Табл. 3 - Основные технические характеристики Cisco Secure Access Control System на платформе SNS 3415 Appliance
|
Центральный процессор |
2.4-GHz Intel E5-2609, 80 watts (W), 4 cores, 10-MB cache, DDR3 и 1600 MHz |
|
Системная память |
16 GB total: 4 x 4-GB DDR3 1600-MHz RDIMMs |
|
Жесткий диск |
600-GB 6-Gbps SAS 10,000-rpm HDD |
|
Интерфейсы ввода/вывода |
Задняя панель: 1 шт. DB9 Serial порт, 2 шт. USB 2.0 порта, 1 шт. DB15 VGA порт, 4 шт. 1GB NIC порта Передняя панель: KVM порт (2 шт. USB 2.0 порта, 1 шт. VGA порт и 1 шт. Serial порт) |
Функциональная архитектура сети Wi-Fi
Функциональная архитектура сети Wi-Fi, с учетом масштабирования системы, приведена на рисунке ниже (Рис. 5).
Рис. 5 - Функциональная архитектура
