Проектирование беспроводных сетей

Проектирование беспроводных сетей для доступа мобильных пользователей к корпоративным информационным ресурсам, а также в сеть Интернет, является одним из типовых проектов, реализуемых компанией ООО "ЭнДжи Групп" (NG Group) для своих Заказчиков.

Настоящее предложение содержит концептуальное описание основных технических решений, мер по обеспечению надежности, отказоустойчивости и безопасности системы, а также решений по ее масштабированию и развитию.

Введение

В современном мире, компании стремятся использовать все доступные технические возможности, а также наиболее актуальные технологии для эффективного ведения бизнеса и получения конкурентных преимуществ. К числу таких современных технологий относятся беспроводные и мобильные системы. Применение мобильных устройств и переносных компьютеров оправдывается необходимостью работы вне офисных помещений: в командировках, на переговорах и т.п., что является неотъемлемой частью выполняемых бизнес-функций.

Темпы развития данного сегмента рынка ИТ свидетельствует о высоком уровне потребительского спроса на беспроводные технологии. Уровень развития данных решений достиг высокого уровня и в полной мере удовлетворяет жестким требованиям корпоративных Заказчиков. Благодаря этому беспроводные технологии нашли свое широкое применение не только в публичном секторе (рестораны, гостиницы и т.д.), но и в корпоративном сегменте.

Основное техническое решение

Создание беспроводных сетей является комплексным и индивилуальным проектом. В этой связи, как один из возможных вариантов, начать внедрение беспроводных технологий предлагается с создания пилотного участка Wi-Fi сети, например в переговорных комнатах.

Ключевые решения, используемые специалистами компании ООО "ЭнДжи Групп" (NG Group) при проектировании любых информационных систем, в частности при создании беспроводных сетей, основываются на принципах:

  • конфиденциальность;
  • целостность;
  • доступность.

Пилотный участок, реализованный в переговорных комнатах, позволит сформировать базовую инфраструктуру будущей Wi-Fi сети и, одновременно, обеспечить сотрудников защищенным доступом к корпоративным информационным ресурсам, а клиентов и партнеров - гостевым доступом в сеть Интернет.

В рамках данного участка инсталлируется Контроллер централизованного управления беспроводными точками (Рис. 1), а также ряд самих точек доступа (Рис. 2). В качестве каналообразующего оборудования для построения беспроводных сетей, компания ООО "ЭнДжи Групп" (NG Group) рекомендует использовать решения нашего ключевого партнера - компании Cisco Systems, мирового лидера в области сетевых технологий.

Рис. 1 - Контроллер централизованного управления беспроводными точками доступа
Cisco 5520 Wireless Controller

Рис. 2 - Беспроводная точка доступа Cisco Aironet 2800 Series Access Points

Основные технические характеристики используемого оборудования приведены в таблицах ниже.

Табл. 1 - Основные технические характеристики Cisco 5520 Wireless Controller

Максимальное количество точек доступа

до 1 500 шт.

Максимальное количество пользователей

до 20 000 шт.

Режимы развертывания

Централизованный, Cisco FlexConnect, Mesh

Форм-фактор

1 RU

Интерфейсы ввода/вывода

2 шт. 1Gb/10Gb порта с поддержкой технологии агрегации каналов (Link Aggregation Group)

Питание

AC с возможностью установки резервного блока питания

Гарантия производителя

3 года

Табл. 2 - Основные технические характеристики Cisco Aironet 2800 Series Access Points

Варианты исполнения корпуса

С внутренней антенной или с 4x4 MU-MIMO антеннами

Режимы функционирования

Режим 2.4-GHz и 5-GHz: Один радиомодуль обслуживает клиентов в 2.4-GHz частотном диапазоне, а второй модуль выделяется для 5-GHz.

Режим двойного 5-GHz: Оба радиомодуля обслуживают клиентов на частоте 5-GHz, обеспечивая максимальную производительность 802.11ac Wave 2.

Security Monitoring and 5-GHz mode: Один радиомодуль обслуживают клиентов на частоте 5-GHz, а второй модуль отвечает за сканирование радиочастотного спектра на предмет выявления несанкционированных точек доступа и злономеренной активности третьих лиц.

Интерфейсы ввода/вывода

2 шт. 100/1000 BASE-T autosensing (RJ-45), Консольный порт (RJ-45), USB 2.0

Обеспечение отказоустойчивости

В рамках построения беспроводной сети одним из ключевых факторов является отказоустойчивость и общая надежность.

Данная задача реализуется следующим комплексом технических мер:

  • резервирование ключевых компонент системы, от работоспособности которых зависит работоспособность сети в целом;
  • частичное перекрытие/пересечение зон охвата точек доступа беспроводной сети.

Отказоустойчивость Контроллера управления предполагается обеспечивать на этапах дальнейшего масштабирования системы, за счет установки резервного Контроллера.

С целью обеспечения непрерывности доступа мобильных пользователей вся беспроводная сеть частично перекрывается сигналом от соседних точек доступа (Рис. 3) в пропорции 80/20. При этом, в случае выхода из строя одной из точек доступа, зона ее покрытия на большую часть продолжит быть покрытой сигналом Wi-Fi и пользователи смогут продолжить работу.

Рис. 3

Реализация данных мер позволяет организовать непрерывный доступ пользователей в сеть, а также обеспечить отказоустойчивость и повысить общую надежность.

Обеспечение безопасности

Безопасность беспроводной Wi-Fi сети от несанкционированной сетевой активности, а также попыток несанкционированного доступа обеспечивается комплексом мер на каждой компоненте системы.

Данные меры реализуются штатными функциями операционной системы беспроводных точек доступа и Контроллера управления, включая:

  1. беспроводные точки доступа:
    • поддержка протоколов безопасности беспроводных сетей 802.11i, WPA2, WPA;
    • поддержка протокола 802.1X;
    • поддержка механизмов шифрования передаваемых данных (AES, TKIP);
  2. Контроллер управления точками доступа:
    • поддержка механизмов шифрования передаваемых данных (DES/3DES/AES; SSL и TLS; IPSec);
    • поддержка механизмов аутентификации пользователей (RADIUS, TACACS+);
    • поддержка протоколов безопасности беспроводных сетей (WEP, WPA, WPA2);
    • поддержка механизмов ACL и VLAN.

Решения по масштабированию

Настоящее предложение подготовлено с учетом дальнейшего масштабирования системы посредством количественного и качественного наращивания функциональных компонент, без необходимости их замены и утилизации.

Данные меры достигаются за счет изначального выбора соответствующей аппаратной платформы используемого оборудования, рассчитанной под текущие требования и нагрузки непосредственно на этапе внедрения, но учитывающей дальнейший рост путем добавления новых лицензий.

В рамках пилотного проекта поставляется и настраивается виртуальный Контроллер Cisco 5520 Wireless Controller, штатная лицензия которого функционирует в триальном режиме 90 дней. Расширение количества подконтрольных объектов осуществляется посредством закупки и установки дополнительных лицензий. Наращивание мощностей осуществляется постепенно – по мере расширения системы. Данные меры экономически целесообразны и позволяют снизить финансовые затраты по мере необходимости масштабирования системы.

В частности, одним из типовых компонент, используемых для масштабирования Wi-Fi сети, является Сервер Cisco Secure Access Control System позволяющий реализовать механизм централизованного управления учетными записями пользователей с возможностью использования для аутентификации пользователей при подключении к сети данные из корпоративного домена Microsoft Active Directory.

Рис. 4 - Сервер централизованного управления учетными записями пользователей
Cisco Secure Access Control System на платформе SNS 3415 Appliance

Табл. 3 - Основные технические характеристики Cisco Secure Access Control System на платформе SNS 3415 Appliance

Центральный процессор

2.4-GHz Intel E5-2609, 80 watts (W), 4 cores, 10-MB cache, DDR3 и 1600 MHz

Системная память

16 GB total: 4 x 4-GB DDR3 1600-MHz RDIMMs

Жесткий диск

600-GB 6-Gbps SAS 10,000-rpm HDD

Интерфейсы ввода/вывода

Задняя панель: 1 шт. DB9 Serial порт, 2 шт. USB 2.0 порта, 1 шт. DB15 VGA порт, 4 шт. 1GB NIC порта

Передняя панель: KVM порт (2 шт. USB 2.0 порта, 1 шт. VGA порт и 1 шт. Serial порт)

Функциональная архитектура сети Wi-Fi

Функциональная архитектура сети Wi-Fi, с учетом масштабирования системы, приведена на рисунке ниже (Рис. 5).

Рис. 5 - Функциональная архитектура