Модернизация WiFi сети МФТИ (ГУ)

download report

Transcript Модернизация WiFi сети МФТИ (ГУ)

Модернизация WiFi сети МФТИ (ГУ)

А.П. Дмитрук, Я.В. Гевличев Московский физико-технический институт Email: [email protected], [email protected]

WiFi сеть до модернизации

• Реализована на точках доступа WRT54GL (стандарт G). • Каждая WiFi точка настраивается индивидуально.

• Функционировало более 90 wifi точек доступа.

Недостатки:

• Отсутствие централизованного мониторинга, управления и апгрейда ПО.

• Недостаточная пропускная способность.

• Сложность первоначальной настройки, и дальнейшего обслуживания.

• Сложность установки - необходима эл. розетка в точке установки.

• Только один канал (SSID).

• Не было реализовано шифрование передаваемых данных (WPA). Пользователям приходится вводить логии и пароль на WEB портале при каждом подключении, что неудобно.

Выбранное решение:

UniFi — система WiFi доступа с бесплатным программируемым контроллером.

Возможности: • Простота монтажа, PoE. • Централизованное управление беспроводной сетью. • Автоматическое обновление ПО на точках доступа. • Высокая масштабируемость: до 1000 и более точек. • Множественные беспроводные сети с разграничением прав доступа. • Быстрый внутрисетевой роуминг при переключении между точками доступа. • Отслеживание трафика пользователей, определение источников повышенной нагрузки на сеть.

Используемые модели WiFi точек доступа:

UniFi AP (UAP)

Базовая модель стандарта 802.11n, MIMO UniFi AP. Поддерживаемая скорость до 300 Mbps. Встроенная сферическая антенна MIMO 2х2. Легкая установка точек доступа и питание их через витую пару (PoE).

Используемые модели WiFi точек доступа:

UniFi AP Pro (UAP-Pro)

двухдиапазонная точка доступа для построения беспроводных сетей с большой площадью покрытия. В Ubiquiti UniFi Pro интегрировано три 2,4 ГГц и две 5 ГГц MIMO-антенны. Позволяет одновременно использовать обе частоты, обеспечивая таким образом производительность канала на уровне 750 Мб/с.

Используемые модели WiFi точек доступа:

UniFi AP Outdoor (UAP-Outdoor) Точка доступа UniFi AP-Outdoor предназначена для установки вне помещений и может работать в диапазоне температур от −40 ° C до +55 ° C. Поддержка 802.11n. Две внешние антенны MIMO 2х2.

Упрощенная схема сети:

Принцип работы используемого алгоритма WPA-Ent (PEAP)

Внешний вид интерфейса контроллера UniFi:

Сбор сетевой статистики, выявление наиболее нагруженных узлов и активных клиентов

Wifi-Free при полосе 5/15/50Мбит

ТОП по приложениям

Wifi-Free при полосе 5/15/50Мбит

Внешний вид интерфейса контроллера UniFi:

Информация о состоянии каждой точки доступа

Внешний вид интерфейса контроллера UniFi:

Просмотр подключенных клиентов на определенной точке доступа: Пример настройки нескольких SSID

Интеграция контроллера UniFi в нашу систему управления сетью:

Создание и применение общих профилей на AP (например применение профиля на все AP одновременно и т.р.) Возможность Вкл./Откл. необходимых SSID по расписанию и на нужных AP (конференции, олимпиады и т.д.)

Полученный функционал

-

По методу авторизации/шифрования :

• бесплатный доступ без авторизации и шифрования, • доступ по логину и паролю, не защищенное соединение (для оборудование не поддерживающего WPA), авторизация на WEB портале - доступ по логину и паролю, • защищенное соединение(WPA-Ent в режиме EAP-PEAP) доступ по логину и паролю.

-

Интеграция в существующую систему доступа в сеть. Свой тариф для каждого пользователя. Только одно активное подключение для логина. Разделение на зоны.

-

Централизованное управление и мониторинг, возможность работы по расписанию.

-

Повышение пропускной способности сети, до 4-х SSID в каждой точке.

Реализуется в данный момент:

• Система предотвращения вторжений (IPS) на базе Сisco ASA IPS -внедрена в режиме мониторинга на сегменте дата центра.

• Организация удаленного доступа в сеть МФТИ для удаленных сотрудников (Cisco AnyConnect) на базе Сisco ASA5500.

• Разделение локальной сети МФТИ на зоны в зависимости от требований безопасности на базе Сisco ASA CX (stateful packet inspection (SPI) фильтрация с учётом контекста ASA CX. Зоны с развернуты, ждем утвержденной политики безопасности в данной области).

• Внедрение Deep Packet Inspection (DPI) - системы для глубокого анализа трафика на базе Cisco Service Control Engine 8000. Развернута с режиме мониторинга.

(для классификации, профилирования и квотирования трафика.)

Изменения за год

Выбор между однотипными сериями коммутаторами Cisco SG300/500x или Eltex MES2124/3124 сделан выбор в сторону Eltex – более оперативная тех. поддержка возможность общения непосредственно с разработчиками ПО на русском языку.

средний трафик студента: • 18Gb в месяц на сентябрь 2011 • 23Gb в месяц (~32Gb c пирингом home-ix) на сентябрь 2012 • 36Gb в месяц (~40Gb c пирингом home-ix) на сентябрь 2013

Интересные графики трафик студентов в течении суток – до внедрения безлимитных тарифов (безлимит для всех ночью) трафик студентов в течении суток – после внедрения безлимитных тарифов

активные и прикрытые логины в течении года

Благодарим за внимание Вопросы?