Беспроводная ЛВС построение

Беспроводная ЛВС построение

Наш проектный отдел разработал технические решения рабочую документацию беспроводной локальной сети БЛВС.

БЛВС проект

Назначение БЛВС

Создаваемая БЛВС предназначена для:

- предоставления конвергентной, эффективной, надежной и защищенной информационной среды беспроводного доступа сотрудников и гостей Заказчика к авторизированным ИТ-ресурсам;

- предоставления сервиса VoWLAN-телефонии.

Цели создания БЛВС

Основными целями создания БЛВС являются:

- построение надежной, эффективной и высокопроизводительной беспроводной сети офиса Заказчика;

- обеспечение высокой скорости, надежности и безопасности передачи данных в беспроводной сети;

- обеспечение возможности эффективного доступа к общим сетевым информационным ресурсам;

- внедрения беспроводной IP-телефонии (VoWLAN);

- минимизация расходов на обслуживание информационной инфраструктуры Заказчика и трудоемкости ее обслуживания. Основные принципы проектирования

Основные принципы проектирования:

1) Производительность. Используемое в проекте оборудование было выбрано исходя из возможного увеличения объемов обрабатываемого трафика, а также из требований к выполняемым функциям и используемым протоколам.

2) Надежность и доступность. БЛВС спроектирована, исходя из того, что она должна функционировать в режиме 24х7 (круглосуточно 7 дней в неделю), в случае возникновения отказов сеть имеет возможность автоматической (без вмешательства администратора) реконфигурации с целью сохранения работоспособности и минимизации времени простоя.

3) Масштабируемость. БЛВС обеспечивает возможность расширения, т.е. используемое оборудование и топология предусматривают возможность увеличения количества подключаемых узлов сети и увеличение передаваемого трафика. Оборудование выбрано с резервом, как по производительности, так и по возможности установки дополнительных модулей и расширению функциональности.

4) Эффективность. В процессе проектирования производилась оптимизация с целью более эффективного использования ресурсов БЛВС. Ресурсы БЛВС представляют собой ресурсы оборудования (количество памяти, производительность процессора) и ресурсы каналов передачи данных (пропускная способность). Эффективное использование ресурсов БЛВС снижает общую стоимость владения системой.

5) Управляемость. Для управления БЛВС предусмотрен единый центр управления, который обеспечивает круглосуточный мониторинг, сбор статистики, регистрацию событий, облегчает администрирование и восстановление системы в случае возникновения нештатных ситуаций.

6) Безопасность. БЛВС учитывает требования к организации безопасности и защиты от НСД в распределенных сетях передачи данных. Устройства, входящие в состав БЛВС, защищаются системой паролей, кроме того, ряд устройств обладают дополнительными функциями по безопасности: списки доступа, межсетевое экранирование и т.д.

7) Унификация и стандартизация. В качестве активного сетевого оборудования БЛВС применяется оборудование производства компании Cisco Systems. Оборудование имеет единую операционную систему для всех устройств, представленных в БЛВС, Cisco IOS (Internetworking Operating System). Все оборудование имеет сертификаты ССЭ и Минсвязи России.

Основные технические решения

Выбор технологии построения БЛВС

Выбор технологии, архитектуры и оборудования для БЛВС определялся требованиями документа «Частное техническое задание» (далее – ЧТЗ) и следующими факторами:

- площадь покрываемой территории;

- количество клиентских беспроводных устройств;

- плотность размещения клиентских беспроводных устройств;

- обеспечение сервиса VoWLAN;

- поддержка качества предоставления услуг и управления уровнем обслуживания;

- соответствие требованиям международных стандартов.

После изучения данных факторов было выбрано решение по построению БЛВС.

Выбор производителя активного сетевого оборудования БЛВС

В качестве активного сетевого оборудования БЛВС выбрано активное сетевое оборудование производства компании Cisco Systems. Выбор оборудования Cisco Systems обусловлен:

- соответствие корпоративным стандартам Заказчика;

- полным спектром сетевых устройств, позволяющим реализовывать проекты любой сложности;

- поддержкой всех современных протоколов управления и передачи данных;

- наличием широкого спектра платформ управления и мониторинга для устройств фирмы Cisco Systems;

- высоким качеством и надежностью выпускаемых устройств;

- высоким качеством технической поддержки;

- наличием в России центров обучения и сертификации специалистов;

- наличием сертификатов на используемое оборудование.

Схема именования устройств

Именование устройств БЛВС, за исключением точек доступа, осуществляется по схеме TypeXX_Function_Room, где:

- Type – тип устройства, может принимать следующие значения:

- WLC – контроллер БЛВС;

- NCS – сервер системы управления и мониторинга БЛВС;

- MSE – сервер мобильных сервисов БЛВС;

- ACS – сервер контроля доступа БЛВС;

- XX – порядковый номер устройства;

- Function – функция, которую выполняет установленное оборудование. Принимает следующее значение:

- WLAN – устройство БЛВС;

- RoomИменование точек доступа БЛВС осуществляется по схеме: Type-FL-XX, где:

- Type – тип устройства, принимает следующее значение:

- AP – точек доступа БЛВС;

- FLдвухзначный номер этажа размещения точки доступа;

- XX – порядковый номер точки доступа на этаже.

Наименования оборудования БЛВС приведены в таблице 2.

Определение требуемого количества точек доступа

В связи с тем, что на этапе разработки рабочей документации проекта БЛВС в здании ТГК не закончены строительные работы и большая часть внутренних перекрытий не возведена, производить радиообследование здания не имеет смысла. Определение количества точек доступа, необходимого для покрытия требуемых этажей, выполняется из теоретических соображений. За основу берутся рекомендации производителя оборудования и экспликации этажей.

Из теоретических расчетов для покрытия всей площади этажи необходимо установить не менее 185 точек доступа.

Данное количество точек доступа позволит обеспечить рекомендуемый производителем уровень RSSI для VoWLAN-телефонов (мощность принимаемого сигнала на клиентской стороне) ≥ -67 дБ или отношение сигнал/шум ≥ 25 дБ на всей покрываемой территории при уровне шумов -92 дБ, а также обеспечит 20%-е перекрытие зон покрытия соседних точек.

Предварительные места размещения точек доступа представлены в документе СС-ИТ-БЛВС.С1 «Схема структурная».

Точное количество точек доступа, места и способы монтирования определяются в ходе радиообследования здания ТГК на этапе пусконаладочных работ. С целью минимизировать влияние погрешностей в расчетах, добавлены дополнительные точки доступа, предназначенные для установки в зоны с недостаточным уровнем сигнала. Данные точки доступа заложены в комплект ЗИП в количестве 10% от расчётного числа точек доступа.

По результатам монтажных и пусконаладочных работ Исполнитель производит итоговое радиообследование покрытия БЛВС и передает схемы с уровнем покрытия Заказчику.

Основные технологические решения

БЛВС выполнена на базе решения Cisco Unified Wireless Network. Функционально данное решение состоит из управляемых точек доступа, контроллера беспроводной сети управляющего данными точками, и системы централизованного управления и мониторинга БЛВС.

В качестве беспроводных точек доступа Wi-Fi используются устройства Cisco Aironet 3602E, как наиболее современные, производительные и функциональные точки доступа для внутриофисного применения. Точки доступа Cisco Aironet 3602E поддерживают стандарты беспроводной связи IEEE 802.11a/b/g/n и имеют интегрированный анализатор спектра (технология Cisco CleanAir). В качестве внешних антенн используются дипольные всенаправленные антенны диапазонов 2,4 и 5 ГГц, встроенные в моноблок, предназначенный для монтажа на подвесном потолке.

Подключение точек доступа к ЛВС производится по каналам 1000 Base-TX через коммутаторы уровня доступа ЛВС. Питание точек доступа осуществляется данными коммутаторами по технологии питания через неэкранированную витую пару IEEE 802.3af (PoE).

Управление точками доступа выполняется контроллерами беспроводной сети Cisco Wireless Service Module 2 (WiSM2). Контроллеры выполнены в форм-факторе сервисных модулей и устанавливаются в коммутаторы ядра ЛВС. Данные контроллеры позволяют осуществлять централизованное управление точками доступа в сети, что особенно эффективно при большом количестве точек доступа. Управление точками доступа осуществляется по открытому протоколу CAPWAP (RFC5415). Точкам доступа в такой архитектуре отводятся лишь функции подключения беспроводных клиентских устройств и шифрование передаваемых данных на канальном уровне.

Наряду с неоспоримыми достоинствами, такой подход имеет и недостатки. Так, отказ контроллера приводит к выходу из строя всей беспроводной сети. По этой причине осуществляется резервирование контроллеров по схеме 1:1. Контроллеры объединяются в отказоустойчивый кластер (группу мобильности) и в случае отказа основного контроллера, точки доступа переходят на резервный. На каждый контроллер установлена лицензия на управление 300 точками доступа, что обеспечивает отказоустойчивое подключение для 300 точек доступа. С ростом беспроводной сети количество поддерживаемых контроллером точек может быть расширено лицензиями до 1000.

Управление и мониторинг беспроводной сети производится с помощью ПО Cisco Prime Network Control System (NCS), устанавливаемое на сервер под управлением ОС VMware ESX. Система мониторинга и управления Cisco Prime NCS позволяет эффективно управлять большой беспроводной сетью из единой точки. Поставляемая с Cisco Prime NCS лицензия обеспечивает одновременное управление 200 точками доступа. С ростом БЛВС количество поддерживаемых точек доступа может быть расширено за счет приобретения дополнительных лицензий. Настройки управления и отчеты предоставляются администраторам через защищенный web-интерфейс.

Для обнаружения и предотвращения вторжений в БЛВС используется система Cisco Adaptive Wireless Intrusion Prevention System (wIPS). Система предотвращения вторжений в беспроводную сеть представляет собой программно-аппаратный комплекс, состоящий из аппаратной платформы мобильных сервисов Cisco Mobility Services Engine (MSE) и программного обеспечения Cisco wIPS. Сканирование радиоэфира производится точками доступа, работающими в режиме enhanced local mode, что позволяет точкам совмещать роли сенсоров системы wIPS и точек доступа, работающих с беспроводными клиентами. Кроме ПО wIPS на аппаратную платформу мобильных сервисов Cisco MSE устанавливается ПО Cisco Context Aware, позволяющее определять местоположение беспроводных клиентов и хранить историю их перемещений.

Подключение беспроводных пользовательских устройств и передача данных производится по стандартам IEEE 802.11g/n (диапазон рабочих частот 2.412-2.472 ГГц). Максимальная эффективная скорость передачи данных в беспроводных сетях IEEE 802.11g составляет приблизительно 22 Мбит/с (для IEEE 802.11n - 100 Мбит/с) на одну точку доступа и уменьшается пропорционально количеству клиентских устройств, одновременно передающих информацию, и логарифмически уменьшается с увеличением расстояния между точкой доступа и клиентским оборудованием. Рекомендуется, чтобы число клиентских устройств на одной точке доступа не превышало 20.

Согласно рекомендациям производителя Cisco Systems при использовании VoWLAN телефонии в БЛВС для подключения беспроводных телефонов Cisco использовать стандарт IEEE 802.11a (диапазон рабочих частот 5 ГГц), а для подключения остальных беспроводных клиентских устройств использовать стандарты IEEE 802.11g/n (диапазон рабочих частот 2,4 ГГц). Диапазон 5 ГГц имеет большее количество непересекающихся каналов и является менее зашумленным по сравнению с диапазоном 2,4 ГГц, что дает ряд преимуществ при его использовании.

Аутентификация сотрудников Заказчика при подключении к БЛВС осуществляется на паре серверов аутентификации, авторизации и аккаунтинга Cisco Security Access Control Server (CSACS) на основании учетных записей MS AD по протоколу PEAP. База пользователей сервера интегрируется с корпоративной каталогом AD по протоколу LDAP. Базы данных и настройки серверов контроля доступа регулярно синхронизируются между собой в одном направлении. В случае недоступности сервера доступа при аутентификации в БЛВС в качестве резервной возможности используется RADIUS-сервер, интегрированный в контроллер БЛВС.

Гостевой доступ в Интернет предоставляется посетителям офиса Заказчика на базе сервиса гостевого доступа, интегрированного в контроллеры беспроводной сети. Данный сервис позволяет осуществлять web-аутентификацию беспроводных клиентов по гостевым учетным записям с ограниченным временем действия. Данные учетные записи генерируются централизованной системой гостевого доступа, расположенной в ЦО в г. Москва. Одновременная работа с одной гостевой учётной записью возможная только одним гостевым пользователем беспроводной сети.

Аутентификация беспроводных телефонов при подключении к БЛВС осуществляется на паре серверов аутентификации, авторизации и аккаунтинга Cisco Security Access Control Server (CSACS) по протоколу EAP-FAST.

Для реализации сервиса DHCP в системе БЛВС используются два сервера с MS Windows-службой DHCP, которые на этапе реализации будут интегрированы в домен Заказчика. Кластер из этих серверов будет раздавать адреса как беспроводным клиентским устройствам, так и точкам доступа. Серверы и ПО сервиса DHCP входят в состав системы ЛВС.

Архитектура БЛВС

Предлагаемое решение по построению БЛВС основано на требованиях к построению беспроводных сетей с четким разграничением уровней иерархии, где каждому уровню иерархии соответствует свой набор оборудования, выполняющий определенные для этого уровня функции. Для создания БЛВС ТГК используется классическая модель построения БЛВС. Основными компонентами этой модели являются:

- точки доступа;

- контроллеры БЛВС;

- система управления БЛВС.

Архитектура БЛВС представлена на рисунке 1.

Основные функции точек доступа:

- подключение клиентских устройств по стандартам беспроводной связи IEEE 802.11b/g/n;

- шифрование пользовательского трафика в беспроводном канале;

- CAPWAP-туннелированные пользовательского трафика в проводном сегменте.

Основные функции контроллеров БЛВС:

- обеспечение безопасного бесшовного роуминга (L2 и L3);

- автоматизированное управление радиоэфиром (частоты и мощности передатчиков точек доступа);

- устранение «дыр» в покрытии при выходе из строя точек доступа;

- переключение пользователей с загруженных точек на менее загруженные;

- обнаружение и устранение интерференции (взаимного негативного влияния) между своими точками доступа и с посторонними;

- обнаружение и устранение негативного влияния помех на работу БЛВС;

- обнаружения вторжений в беспроводную сеть;

- обеспечение политик безопасности;

- обеспечение политик Wi-Fi Multimedia (WMM) (беспроводной QoS);

- предоставление сервиса гостевого доступа (web-аутентификации).

Основные функции системы управления беспроводной сетью:

- управление беспроводной сетью из одной точки (удобный web-интерфейс, возможность использования шаблонов настроек);

- мониторинг событий БЛВС;

- настройка контроллеров и точек доступа;

- планирование развития БЛВС;

- отображение отчетов системы предотвращения вторжений в беспроводную сеть;

- поиск и устранение неполадок в работе БЛВС;

- отображение местоположения на карте офиса легитимных и посторонних беспроводных устройств;

- отображение покрытия беспроводной сети на карте офиса.

Физическая топология БЛВС

Информационное взаимодействие между компонентами БЛВС осуществляться посредством ЛВС.

Точки доступа крепятся на монтажные площадки, размещаемые за подвесным потолком, согласно схеме размещения точек доступа. К месту размещения каждой точки доступа подводится неэкранированная витая пара не ниже категории 5e. Беспроводные точки доступа подключаются к этажным коммутаторам уровня доступа ЛВС через витую пару по технологии 1000BASE-TX.

Контроллеры беспроводной сети, управляющие точками доступа, выполнены в форм-факторе сервисных модулей и устанавливаются в коммутаторы ядра ЛВС, расположенные в ГКЦ. Контроллер устанавливается в коммутатор ядра, расположенный в ГКЦ-2 (15 этаж, ЦОД), контроллер устанавливается в коммутатор ядра, расположенный в ГКЦ. ПО системы управления беспроводной сетью и системы контроля доступа устанавливаются на серверы стоечного исполнения, которые размещаются в телекоммуникационных шкафах, расположенных в помещении ЦОД. Серверы системы управления БЛВС и системы контроля доступа подключается к коммутаторам уровня доступа ЦОД через витую пару по технологии 1000BASE-TX.

Сервер системы предотвращения вторжений в БЛВС имеет стоечное исполнение и размещается в телекоммуникационном шкафу помещения ЦОД. Сервер системы предотвращения вторжения в БЛВС подключается к коммутатору уровня доступа ЦОД через витую пару по технологии 1000BASE-TX.

Физическая топология БЛВС представлена в документе ИОС-СС-ИТ-БЛВС. «Схема функциональной структуры».

Логическая топология БЛВС

Порты коммутаторов уровня доступа, к которым подключаются точки доступа, помещаются в виртуальные сети точек доступа. Данные подсети предназначены для адресации интерфейсов управления точек доступа. На DHCP-сервер развёрнутом на базе MS Windows Server 2008 для сетей точек доступа создаются пулы адресов из подсетей, указанных в таблице VLAN (Таблица 5).

Помимо IP-адреса, маски подсети и IP-адреса шлюза через опцию DHCP точкам доступа передаются IP-адреса management-интерфейсов контроллеров беспроводной сети. Используя полученную информацию, точки доступа инициируют процесс подключения к контроллеру по протоколу CAPWAP, в ходе которого строят два шифрованных туннеля, один для управления, другой – для передачи данных беспроводных клиентов. После успешной регистрации точек на контроллере, контроллер производит обновление программного обеспечения точек и файлов настроек точек доступа, если в этом есть необходимость.

С целью управления контроллерами БЛВС на них настраивается виртуальный интерфейс управления (management interface) и виртуальный сервисный интерфейс (service interface) для взаимодействия с супервизором коммутатора ядра. Настройки коммутатора ядра для интеграции с контроллерами приведены в подразделе 2.15. Для каждой группы беспроводных пользователей создаются виртуальные интерфейсы dynamic, имеющие ассоциацию с виртуальными подсетями (VLAN) и идентификаторами беспроводных сетей (SSID). Далее для каждого идентификатора беспроводной сети создаются профили безопасности, параметры настроек которых определяются политиками безопасности для каждой группы беспроводных пользователей.

Аналогичная процедура настройки повторяется на втором контроллере.

Подключение беспроводных устройств к нужной БЛВС осуществляется по идентификатору SSID. В зависимости от выбранного SSID к беспроводному клиенту применяются политики безопасности и контроля доступа, соответствующие данной группе. После успешного прохождения аутентификации и авторизации пользователи каждой из групп помещаются в предназначенную для их группы виртуальную сеть (VLAN).

Описание групп беспроводных пользователей и соответствующих им профилей безопасности приведены в подразделе 2.9.

Описание процесса подключения беспроводных клиентов к БЛВС представлено в подразделе 2.12.

Маршрутизация между виртуальными подсетями БЛВС и другими сетями осуществляется на коммутаторе ядра ЛВС, для этого на коммутаторе ядра создаются соответствующие Interface VLAN. IP-адреса Interface VLAN коммутатора ядра выступают в роли шлюзов по умолчанию для своих подсетей. С целью изоляции трафика между разными сегментами БЛВС на Interface VLAN коммутатора ядра настраиваются списки доступа.

Перечень используемых в БЛВС виртуальных подсетей и идентификаторов беспроводных сетей приведен в подразделе 2.10.

IP-адресация устройств БЛВС представлена в подразделе 2.11.

Логическая топология БЛВС представлена в документе ИОС-СС-ИТ-БЛВС «Схема функциональной структуры».

Организационная структура групп беспроводных пользователей

Перечень легитимных категорий пользователей и типов беспроводных устройств, имеющих право доступа в БЛВС, описан в таблице 4. Также в таблице 4 описаны права доступа беспроводных пользователей к ресурсам ЛВС и параметры подключения к БЛВС.

Таблица 4 – Группы беспроводных пользователей

№ п/п

Группа

Параметры

Значение

1

Группа «Корпоративные пользователи»

Тип пользователей

Сотрудники

Тип беспроводных устройств

Корпоративные мобильные компьютеры сотрудников

Доступ к ресурсам

ЛВС, КСПД, Интернет

Аутентификация

PEAP (доменные логин/пароль)

Шифрование

AES

2

Группа «Беспроводные IP-телефоны»

Тип пользователей

Сотрудники оснащенные корпоративными беспроводными IP-телефонами

Тип беспроводных устройств

Корпоративные беспроводные IP-телефоны

Доступ к ресурсам

ЛВС

Аутентификация

EAP-FAST

Шифрование

AES

3

Группа «Гости»

Тип пользователей

Посетители и сотрудники

Тип беспроводных устройств

Личные беспроводные устройства посетителей и сотрудников

Доступ к ресурсам

Временный доступ к сети Интернет

Аутентификация

Web-аутентификация

Шифрование

Не применяется

Организационная структура идентификаторов беспроводных сетей (SSID) и виртуальных локальных сетей (VLAN)

Идентификаторы SSID-групп беспроводных пользователей и их ассоциация с виртуальными сетями представлены в таблице/

Виртуальные сети групп беспроводных пользователей и их ассоциация с Распределение IP-адресов

IP-адреса интерфейсов сетевых устройств БЛВС представлены в таблице. IP-адреса интерфейсов устройств БЛВСОрганизация защищенного доступа к беспроводной сети

Организация доступа корпоративных пользователей к БЛВС

Современные методы защиты беспроводных сетей базируются на технологиях WPA и WPA2 (Wi-Fi Protected Access). Технологии WPA/WPA2 пришли на замену устаревшей технологии WEP и являются совокупностью нескольких технологий, таких как стандарты 802.1x, протокол EAP (Extensible Authentication Protocol, расширяемый протокол аутентификации), протокол TKIP (Temporal Key Integrity Protocol, протокол целостности временного ключа), контроль целостности данных (message integrity check, MIC). WPA2 является более поздней версией WPA и отличается заменой протокола шифрования TKIP на более совершенный протокол CCMP, в котором, в частности, используется алгоритм шифрования AES вместо RC4.

За аутентификацию абонентов беспроводных сетей в WPA отвечает протокол EAP. Будучи обобщённым протоколом, EAP позволяет использовать разнообразные методы аутентификации. Ряд методов, в том числе MD5, Kerberos, Public Key, One Time Passwords (OTP), смарт-карты, решают задачу аутентификации абонента по отношению к AAA-серверу. Наиболее распространенными являются следующие типы EAP: Cisco EAP (LEAP), Protected EAP и EAP-TLS.

LEAP использует аутентификацию по имени/паролю пользователя в Active Directory.

PEAP использует аутентификацию сервера по сертификату и аутентификацию клиента по имени/паролю пользователя в Active Directory.

EAP-TLS использует исключительно сертификаты – серверный и клиентские.

Поскольку протокол LEAP является сторонней разработкой, он требует установки дополнительного ПО на операционную систему пользователя. Кроме того, протокол LEAP поддерживает ограниченное число серверов RADIUS.

Использование протокола EAP-TLS предполагает отказ от использования имени и пароля в Active Directory при аутентификации, что противоречит требованиям ТЗ. Кроме того, такой вариант требует ограничения времени жизни клиентских сертификатов и отмены сертификатов для уволившихся сотрудников (т.е. всех тех мер, которые уже предпринимаются для защиты паролей пользователей от передачи другим лицам).

Поэтому наиболее оптимальным вариантом для организации защищенного доступа пользователя беспроводной сети в сеть Интернет с аутентификацией по логину/паролю Windows Active Directory является технология PEAP.

Процедура авторизации пользователя по протоколу PEAP выглядит следующим образом:

1) Клиент посылает сообщение EAP Start точке доступа.

2) Точка доступа отвечает сообщением EAP Request Identity.

3) Клиент посылает точке доступа сообщение EAP Response со своим идентификатором доступа к сети (network access identifier, NAI), представляющем собой имя пользователя в Windows Active Directory.

4) Точка доступа пересылает NAI RADIUS-серверу, инкапсулируя его в сообщение RADIUS Access Request.

5) RADIUS-сервер посылает абоненту свой цифровой сертификат.

6) Клиент проверяет подлинность сертификата RADIUS-сервера, используя корневой сертификат.

7) Клиент и RADIUS-сервер создают защищённый туннель SSL, обеспечивающий конфиденциальность обмена данными для аутентификации абонента.

8) Посредством протокола TLS Record Protocol RADIUS-сервер инициирует ещё одну аутентификацию EAP.

9) Клиент аутентифицируется на сервере RADIUS по имени пользователя в Windows Active Directory.

10) RADIUS-сервер посылает точке радиодоступа сообщение RADIUS Accept и сессионный ключ, тем самым сигнализируя об успешной аутентификации.

11) Точка радиодоступа посылает абоненту сообщение EAP Success.

12) Точка радиодоступа посылает абоненту широковещательный сессионный ключ и его длину, шифрованные сессионным ключом этого абонента.

Неавторизованный пользователь, находясь в гостевом WLAN, выкачивает и устанавливает в свое хранилище корневой сертификат. Это однократная процедура, выполняемая при начальной настройке беспроводной сети. Далее клиент обращается к RADIUS-серверу (сервер контроля доступа Cisco Secure ACS 5) для аутентификации, запрашивает и проверяет его сертификат, после чего устанавливает с RADIUS-сервером защищенное соединение. Через это соединение клиент аутентифицируется на сервере RADIUS по имени и паролю в Windows Active Directory. В случае успешной аутентификации клиент получает от точки доступа сессионный ключ, необходимый для доступа в беспроводную сеть. При необходимости выполнения входа клиента в сеть Windows Active Directory сначала выполняется аутентификация по имени компьютера, получение адреса по DHCP, затем вход в сеть с последующей переаутентификацией по имени пользователя.

Организация гостевого доступа к БЛВС

Процедура аутентификация посетителей при подключении к БЛВС выглядит следующим образом:

Посетитель при наличии необходимости доступа в Интернет на территории офиса получает от сотрудника Заказчика, к которому прибыл, реквизиты необходимые для входа в сеть: логин, пароль и SSID беспроводной сети.

Для начала работы в сети Интерент пользователь подключается к беспроводной сети «Guest» с открытым доступом, автоматически получает IP-адрес и запускает браузер. Все обращения пользователя к внешним ресурсам Интернет перенаправляются на web-страницу контроллера беспроводной сети с формой для web-аутентификации. После ввода имени и пароля и прохождения аутентификации пользователь сможет начать работу в сети Интернет.

Такой способ подключения к сети не требует внесения дополнительных настроек в конфигурацию сетевого подключения клиентского компьютера. Все, что требуется для входа в сеть – это наличие на беспроводном устройстве посетителя браузера Интернет.

Данный механизм разграничения доступа реализован на контроллере как функционал третьего уровня – контроллер пропускает от клиента в сеть только DHCP и DNS-пакеты. После получения IP-адреса и выполнения клиентом web-аутентификации контроллер БЛВС помещает гостевого пользователя в виртуальную подсеть, изолированную от корпоративного сегмента. Дальнейшие ограничения, накладываемые на трафик гостевых пользователей, определяются политиками и реализуются на активном сетевом оборудовании ЛВС.

Гостевые учетные записи не являются одноразовыми, но имеют ограниченное время действия, определяемое при их генерации. Одновременная работа с одной гостевой учётной записью возможная только одним гостевым пользователем беспроводной сети. Гостевые учетные записи генерируются на специальных выделенных контроллерах домена, расположенных в ЦО в г. Москва. Данные контроллеры домена интегрированы с RADIUS-серверами, к которым обращаются контроллеры БЛВС при аутентификации и авторизации гостевых пользователей.

Организация обнаружения и предотвращения вторжений в БЛВС

Организация обнаружения и предотвращение вторжений в беспроводную сеть построена на системе Cisco wIPS. Данная система состоит из аппаратной платформы мобильных сервисов Cisco Mobility Services Engine (MSE), программного обеспечения Cisco wIPS, типовой инфраструктуры БЛВС (контроллеры и система мониторинга) и точек доступа, работающих в комбинированном режиме - монитор/точка доступа.

Архитектура системы предотвращения вторжений в БЛВС изображена на рисунке.

Архитектура системы предотвращения вторжений в БЛВС

Основные функции системы предотвращения вторжений в БЛВС Cisco wIPS:

- обнаружение злоумышленника и отражение атаки;

- подавление нелегитимных беспроводных устройств;

- обнаружения попыток разведки, атак типа man-in-the-middle, взлома сети, атак типа «отказ в обслуживании» (фальсификация служебных пакетов (de)authentication и (dis)association);

- превентивный мониторинг уязвимостей;

- формирование отчетов о событиях безопасности, включая отчеты о соответствии требованиям PCI;

- долговременная архивация и ведение отчетности для событий, связанных с безопасностью;

- мониторинг производительности;

- классификация и эскалация событий с захватом трафика.

Организация отказоустойчивости сети и мобильности

Контроллеры беспроводной сети настраиваются по отказоустойчивой схеме подключения точек доступа. При настройке точек доступа задается основной контроллер и резервный. Все используемые в отказоустойчивой схеме контроллеры должны входить в одну мобильную группу. При выходе из строя основного контроллера точки доступа производят регистрацию на резервном. Связь точки доступа с контроллером осуществляется с помощью специальных пакетов, потеря одного пакета и семи последующих расценивается как отказ контроллера.

После переключения точка доступа продолжает слать пакеты регистрации на основной контроллер. В случае его восстановление выполняется обратное переключение. Обнаружение отказа контроллера и переключение на резервный происходит примерно за 80 секунд, обратное переключение – за 30 секунд.

Настройки группы мобильности для контроллеров БЛВС приведены в таблице.

Организация резервного копирования

На базе системы управления и мониторинга Cisco Prime NCS организовано резервное копирование конфигурационных файлов контроллеров БЛВС и базы данных системы мониторинга и управления. В таблице 9 приведены объекты резервного копирования, периодичность копирования и места размещения резервных копий.

Восстановление функционирования сети после сбоев

В системе предусмотрены средства восстановления работоспособности БЛВС после сбоев оборудования за счет:

- резервирования основных компонент, что позволяет автоматически переходить на резервные компоненты при отказе основных;

- резервное копирование файлов конфигурации контроллеров БЛВС и базы данных системы мониторинга и управления БЛВС;

- резервирования каналов связи для увеличения пропускной способности и обеспечения связности сети при повреждении части кабельной сети;

- наличия набора запасных частей и возможность горячей замены компонент для обеспечения быстрого восстановления работы сети;

- применения разработанных обслуживающим персоналом процедур по восстановлению работоспособности БЛВС/ЛВС.

Подключение устройств БЛВС к ЛВС

Подключение устройств БЛВС к ЛВС

Подключение точек доступа к ЛВС описано в таблице. В данной таблице приведены имена точек доступа, наименования коммутаторов и портов к которым осуществляется подключение точек доступа.

Подключение контроллеров к ЛВС

Контроллеры устанавливаются в слоты коммутаторов ядра согласно таблице 4. Для взаимодействия контроллера с супервизором на коммутаторе ядра создается сервисный VLAN:

После инициализации контроллера супервизор автоматически создаст агрегированный интерфейс port-channel.

Далее необходимо разрешить используемые на контроллерах VLAN (за исключением сервисного) и выполнить следующие настройки:

Размещение оборудования

Размещение оборудования БЛВС на объекте выполнено в соответствии.

Таблица Состав и описание узлов

Полный список оборудования БЛВС приведен в таблице.

Состав и описание комплекта ЗИП

Комплект ЗИП состоит из запасных точек доступа, предназначенных для замены вышедших из строя точек, в количестве 10% от общего числа точек доступа и точек доступа, предназначенных для возможного улучшения качества покрытия, в количестве 10% от общего числа точек доступа. Полный список оборудования комплекта ЗИП БЛВС.