Transcript Модернизация WiFi сети МФТИ (ГУ)
Модернизация WiFi сети МФТИ (ГУ)
А.П. Дмитрук, Я.В. Гевличев Московский физико-технический институт Email: [email protected], [email protected]
WiFi сеть до модернизации
• Реализована на точках доступа WRT54GL (стандарт G). • Каждая WiFi точка настраивается индивидуально.
• Функционировало более 90 wifi точек доступа.
Недостатки:
• Отсутствие централизованного мониторинга, управления и апгрейда ПО.
• Недостаточная пропускная способность.
• Сложность первоначальной настройки, и дальнейшего обслуживания.
• Сложность установки - необходима эл. розетка в точке установки.
• Только один канал (SSID).
• Не было реализовано шифрование передаваемых данных (WPA). Пользователям приходится вводить логии и пароль на WEB портале при каждом подключении, что неудобно.
Выбранное решение:
UniFi — система WiFi доступа с бесплатным программируемым контроллером.
Возможности: • Простота монтажа, PoE. • Централизованное управление беспроводной сетью. • Автоматическое обновление ПО на точках доступа. • Высокая масштабируемость: до 1000 и более точек. • Множественные беспроводные сети с разграничением прав доступа. • Быстрый внутрисетевой роуминг при переключении между точками доступа. • Отслеживание трафика пользователей, определение источников повышенной нагрузки на сеть.
Используемые модели WiFi точек доступа:
UniFi AP (UAP)
Базовая модель стандарта 802.11n, MIMO UniFi AP. Поддерживаемая скорость до 300 Mbps. Встроенная сферическая антенна MIMO 2х2. Легкая установка точек доступа и питание их через витую пару (PoE).
Используемые модели WiFi точек доступа:
UniFi AP Pro (UAP-Pro)
двухдиапазонная точка доступа для построения беспроводных сетей с большой площадью покрытия. В Ubiquiti UniFi Pro интегрировано три 2,4 ГГц и две 5 ГГц MIMO-антенны. Позволяет одновременно использовать обе частоты, обеспечивая таким образом производительность канала на уровне 750 Мб/с.
Используемые модели WiFi точек доступа:
UniFi AP Outdoor (UAP-Outdoor) Точка доступа UniFi AP-Outdoor предназначена для установки вне помещений и может работать в диапазоне температур от −40 ° C до +55 ° C. Поддержка 802.11n. Две внешние антенны MIMO 2х2.
Упрощенная схема сети:
Принцип работы используемого алгоритма WPA-Ent (PEAP)
Внешний вид интерфейса контроллера UniFi:
Сбор сетевой статистики, выявление наиболее нагруженных узлов и активных клиентов
Wifi-Free при полосе 5/15/50Мбит
ТОП по приложениям
Wifi-Free при полосе 5/15/50Мбит
Внешний вид интерфейса контроллера UniFi:
Информация о состоянии каждой точки доступа
Внешний вид интерфейса контроллера UniFi:
Просмотр подключенных клиентов на определенной точке доступа: Пример настройки нескольких SSID
Интеграция контроллера UniFi в нашу систему управления сетью:
Создание и применение общих профилей на AP (например применение профиля на все AP одновременно и т.р.) Возможность Вкл./Откл. необходимых SSID по расписанию и на нужных AP (конференции, олимпиады и т.д.)
Полученный функционал
-
По методу авторизации/шифрования :
• бесплатный доступ без авторизации и шифрования, • доступ по логину и паролю, не защищенное соединение (для оборудование не поддерживающего WPA), авторизация на WEB портале - доступ по логину и паролю, • защищенное соединение(WPA-Ent в режиме EAP-PEAP) доступ по логину и паролю.
-
Интеграция в существующую систему доступа в сеть. Свой тариф для каждого пользователя. Только одно активное подключение для логина. Разделение на зоны.
-
Централизованное управление и мониторинг, возможность работы по расписанию.
-
Повышение пропускной способности сети, до 4-х SSID в каждой точке.
Реализуется в данный момент:
• Система предотвращения вторжений (IPS) на базе Сisco ASA IPS -внедрена в режиме мониторинга на сегменте дата центра.
• Организация удаленного доступа в сеть МФТИ для удаленных сотрудников (Cisco AnyConnect) на базе Сisco ASA5500.
• Разделение локальной сети МФТИ на зоны в зависимости от требований безопасности на базе Сisco ASA CX (stateful packet inspection (SPI) фильтрация с учётом контекста ASA CX. Зоны с развернуты, ждем утвержденной политики безопасности в данной области).
• Внедрение Deep Packet Inspection (DPI) - системы для глубокого анализа трафика на базе Cisco Service Control Engine 8000. Развернута с режиме мониторинга.
(для классификации, профилирования и квотирования трафика.)
Изменения за год
Выбор между однотипными сериями коммутаторами Cisco SG300/500x или Eltex MES2124/3124 сделан выбор в сторону Eltex – более оперативная тех. поддержка возможность общения непосредственно с разработчиками ПО на русском языку.
средний трафик студента: • 18Gb в месяц на сентябрь 2011 • 23Gb в месяц (~32Gb c пирингом home-ix) на сентябрь 2012 • 36Gb в месяц (~40Gb c пирингом home-ix) на сентябрь 2013
Интересные графики трафик студентов в течении суток – до внедрения безлимитных тарифов (безлимит для всех ночью) трафик студентов в течении суток – после внедрения безлимитных тарифов
активные и прикрытые логины в течении года