Беспроводная ЛВС построение
Наш проектный отдел разработал технические решения рабочую документацию беспроводной локальной сети БЛВС.
Назначение БЛВС
Создаваемая БЛВС предназначена для:
- предоставления конвергентной, эффективной, надежной и защищенной информационной среды беспроводного доступа сотрудников и гостей Заказчика к авторизированным ИТ-ресурсам
- предоставления сервиса VoWLAN-телефонии.
Цели создания БЛВС
Основными целями создания БЛВС являются:
- построение надежной, эффективной и высокопроизводительной сети офиса Заказчика
- обеспечение высокой скорости, надежности и безопасности передачи данных в сети
- обеспечение возможности эффективного доступа к общим сетевым информационным ресурсам
- внедрения IP-телефонии VoWLAN
- минимизация расходов на обслуживание информационной инфраструктуры Заказчика и трудоемкости ее обслуживания.
Основные принципы проектирования ниже.
Производительность. Используемое в проекте оборудование было выбрано исходя из возможного увеличения объемов обрабатываемого трафика, а также из требований к выполняемым функциям и используемым протоколам.
Надежность и доступность. БЛВС спроектирована, исходя из того, что она должна функционировать в режиме 24х7 круглосуточно 7 дней в неделю, в случае возникновения отказов сеть имеет возможность автоматической без вмешательства администратора реконфигурации с целью сохранения работоспособности и минимизации времени простоя.
Масштабируемость. Система обеспечивает возможность расширения, т.е. используемое оборудование и топология предусматривают возможность увеличения количества подключаемых узлов сети и увеличение передаваемого трафика. Оборудование выбрано с резервом, как по производительности, так и по возможности установки дополнительных модулей и расширению функциональности.
Эффективность. В процессе проектирования производилась оптимизация с целью более эффективного использования ресурсов. Ресурсы представляют собой ресурсы оборудования как количество памяти, производительность процессора и ресурсы каналов передачи данных это пропускная способность. Эффективное использование ресурсов снижает общую стоимость владения системой.
Управляемость. Для управления БЛВС предусмотрен единый центр управления, который обеспечивает круглосуточный мониторинг, сбор статистики, регистрацию событий, облегчает администрирование и восстановление системы в случае возникновения нештатных ситуаций.
Безопасность. Система учитывает требования к организации безопасности и защиты от НСД в распределенных сетях передачи данных. Устройства, входящие в состав wifi системы, защищаются системой паролей, кроме того, ряд устройств обладают дополнительными функциями по безопасности: списки доступа, межсетевое экранирование и т.д.
Унификация и стандартизация. В качестве активного сетевого оборудования применяется оборудование производства компании Cisco Systems. Оборудование имеет единую операционную систему для всех устройств, представленных в системе, Cisco IOS Internetworking Operating System. Все оборудование имеет сертификаты ССЭ и Минсвязи России.
Выбор технологии построения БЛВС
Выбор технологии, архитектуры и оборудования для БЛВС определялся требованиями документа «Частное техническое задание», далее ЧТЗ и следующими факторами:
- площадь покрываемой территории
- количество клиентских беспроводных устройств
- плотность размещения клиентских беспроводных устройств
- обеспечение сервиса VoWLAN
- поддержка качества предоставления услуг и управления уровнем обслуживания
- соответствие требованиям международных стандартов.
После изучения данных факторов было выбрано решение по построению системы.
Выбор производителя активного сетевого оборудования БЛВС
В качестве активного сетевого оборудования выбрано активное сетевое оборудование производства компании Cisco Systems. Выбор оборудования Cisco Systems обусловлен:
- соответствие корпоративным стандартам Заказчика
- полным спектром сетевых устройств, позволяющим реализовывать проекты любой сложности
- поддержкой всех современных протоколов управления и передачи данных
- наличием широкого спектра платформ управления и мониторинга для устройств фирмы Cisco Systems
- высоким качеством и надежностью выпускаемых устройств
- высоким качеством технической поддержки
- наличием в России центров обучения и сертификации специалистов
- наличием сертификатов на используемое оборудование.
Схема именования устройств
Именование устройств БЛВС, за исключением точек доступа, осуществляется по схеме TypeXX_Function_Room, где:
- Type это тип устройства, может принимать следующие значения:
- WLC обозначает контроллер
- NCS сервер системы управления и мониторинга
- MSE сервер мобильных сервисов
- ACS обозначает сервер контроля доступа
- XX порядковый номер устройства
- Function функция, которую выполняет установленное оборудование.
Принимает следующее значение:
- WLAN устройство
- Room наименование точек доступа осуществляется по схеме: Type-FL-XX, где:
- Type тип устройства, принимает следующее значение AP точек доступа
- FL двухзначный номер этажа размещения точки доступа
- XX порядковый номер точки доступа на этаже.
Наименования оборудования БЛВС приведены в таблице 2.
Определение требуемого количества точек доступа
В связи с тем, что на этапе разработки рабочей документации проекта БЛВС в здании ТГК не закончены строительные работы и большая часть внутренних перекрытий не возведена, производить радиообследование здания не имеет смысла. Определение количества точек доступа, необходимого для покрытия требуемых этажей, выполняется из теоретических соображений. За основу берутся рекомендации производителя оборудования и экспликации этажей.
Из теоретических расчетов для покрытия всей площади этажи необходимо установить не менее 185 точек доступа.
Данное количество точек доступа позволит обеспечить рекомендуемый производителем уровень RSSI для VoWLAN-телефонов мощность принимаемого сигнала на клиентской стороне ≥ -67 дБ или отношение сигнала к шуму ≥ 25 дБ на всей покрываемой территории при уровне шумов -92 дБ, а также обеспечит 20%-е перекрытие зон покрытия соседних точек.
Предварительные места размещения точек доступа представлены в документе раздела ИТ.С1 Схема структурная.
Точное количество точек доступа, места и способы монтирования определяются в ходе радиообследования здания ТГК на этапе пусконаладочных работ. С целью минимизировать влияние погрешностей в расчетах, добавлены дополнительные точки доступа, предназначенные для установки в зоны с недостаточным уровнем сигнала. Данные точки доступа заложены в комплект ЗИП в количестве 10% от расчётного числа точек доступа.
По результатам монтажных и пусконаладочных работ Исполнитель производит итоговое радиообследование покрытия БЛВС и передает схемы с уровнем покрытия Заказчику.
Основные технологические решения
БЛВС выполнена на базе решения Cisco Unified Wireless Network. Функционально данное решение состоит из управляемых точек доступа, контроллера беспроводной сети управляющего данными точками, и системы централизованного управления и мониторинга.
В качестве беспроводных точек доступа Wi-Fi используются устройства Cisco Aironet 3602E, как наиболее современные, производительные и функциональные точки доступа для внутриофисного применения. Точки доступа Cisco Aironet 3602E поддерживают стандарты wifi связи IEEE 802.11a/b/g/n и имеют интегрированный анализатор спектра это технология Cisco CleanAir. В качестве внешних антенн используются дипольные всенаправленные антенны диапазонов 2,4 и 5 ГГц, встроенные в моноблок, предназначенный для монтажа на подвесном потолке.
Подключение точек доступа к системе производится по каналам 1000 Base-TX через коммутаторы уровня доступа. Питание точек доступа осуществляется данными коммутаторами по технологии питания через неэкранированную витую пару IEEE 802.3af PoE.
Управление точками доступа выполняется контроллерами wifi сети Cisco Wireless Service Module 2 WiSM2. Контроллеры выполнены в форм-факторе сервисных модулей и устанавливаются в коммутаторы ядра. Данные контроллеры позволяют осуществлять централизованное управление точками доступа в сети, что особенно эффективно при большом количестве точек доступа. Управление точками доступа осуществляется по открытому протоколу CAPWAP RFC5415. Точкам доступа в такой архитектуре отводятся лишь функции подключения беспроводных клиентских устройств и шифрование передаваемых данных на канальном уровне.
Наряду с неоспоримыми достоинствами, такой подход имеет и недостатки. Так, отказ контроллера приводит к выходу из строя всей беспроводной сети. По этой причине осуществляется резервирование контроллеров по схеме 1:1. Контроллеры объединяются в отказоустойчивый кластер группу мобильности и в случае отказа основного контроллера, точки доступа переходят на резервный. На каждый контроллер установлена лицензия на управление 300 точками доступа, что обеспечивает отказоустойчивое подключение для 300 точек доступа. С ростом сети количество поддерживаемых контроллером точек может быть расширено лицензиями до 1000.
Управление и мониторинг производится с помощью ПО Cisco Prime Network Control System NCS, устанавливаемое на сервер под управлением ОС VMware ESX. Система мониторинга и управления Cisco Prime NCS позволяет эффективно управлять большой сетью из единой точки. Поставляемая с Cisco Prime NCS лицензия обеспечивает одновременное управление 200 точками доступа. С ростом системы количество поддерживаемых точек доступа может быть расширено за счет приобретения дополнительных лицензий. Настройки управления и отчеты предоставляются администраторам через защищенный web-интерфейс.
Для обнаружения и предотвращения вторжений в системе используется система Cisco Adaptive Wireless Intrusion Prevention System wIPS. Система предотвращения вторжений в беспроводную сеть представляет собой программно-аппаратный комплекс, состоящий из аппаратной платформы мобильных сервисов Cisco Mobility Services Engine MSE и программного обеспечения Cisco wIPS. Сканирование радиоэфира производится точками доступа, работающими в режиме enhanced local mode, что позволяет точкам совмещать роли сенсоров системы wIPS и точек доступа, работающих с беспроводными клиентами. Кроме ПО wIPS на аппаратную платформу мобильных сервисов Cisco MSE устанавливается ПО Cisco Context Aware, позволяющее определять местоположение клиентов и хранить историю их перемещений.
Подключение wifi пользовательских устройств и передача данных производится по стандартам IEEE 802.11g/n диапазон рабочих частот 2.412-2.472 ГГц. Максимальная эффективная скорость передачи данных в беспроводных сетях IEEE 802.11g составляет приблизительно 22 Мбит/с для IEEE 802.11n - 100 Мбит/с на одну точку доступа и уменьшается пропорционально количеству клиентских устройств, одновременно передающих информацию, и логарифмически уменьшается с увеличением расстояния между точкой доступа и клиентским оборудованием. Рекомендуется, чтобы число клиентских устройств на одной точке доступа не превышало 20.
Согласно рекомендациям производителя Cisco Systems при использовании VoWLAN телефонии в БЛВС для подключения wifi телефонов Cisco использовать стандарт IEEE 802.11a диапазон рабочих частот 5 ГГц, а для подключения остальных клиентских устройств использовать стандарты IEEE 802.11g/n диапазон рабочих частот 2,4 ГГц. Диапазон 5 ГГц имеет большее количество непересекающихся каналов и является менее зашумленным по сравнению с диапазоном 2,4 ГГц, что дает ряд преимуществ при его использовании.
Аутентификация сотрудников Заказчика при подключении к системе осуществляется на паре серверов аутентификации, авторизации и аккаунтинга Cisco Security Access Control Server CSACS на основании учетных записей MS AD по протоколу PEAP. База пользователей сервера интегрируется с корпоративной каталогом AD по протоколу LDAP. Базы данных и настройки серверов контроля доступа регулярно синхронизируются между собой в одном направлении. В случае недоступности сервера доступа при аутентификации в качестве резервной возможности используется RADIUS-сервер, интегрированный в контроллер.
Гостевой доступ в Интернет предоставляется посетителям офиса Заказчика на базе сервиса гостевого доступа, интегрированного в контроллеры беспроводной сети. Данный сервис позволяет осуществлять web-аутентификацию клиентов по гостевым учетным записям с ограниченным временем действия. Данные учетные записи генерируются централизованной системой гостевого доступа, расположенной в городе. Одновременная работа с одной гостевой учётной записью возможная только одним гостевым пользователем.
Аутентификация беспроводных телефонов при подключении осуществляется на паре серверов аутентификации, авторизации и аккаунтинга Cisco Security Access Control Server CSACS по протоколу EAP-FAST.
Для реализации сервиса DHCP в системе используются два сервера с MS Windows-службой DHCP, которые на этапе реализации будут интегрированы в домен Заказчика. Кластер из этих серверов будет раздавать адреса как wifi клиентским устройствам, так и точкам доступа. Серверы и ПО сервиса DHCP входят в состав системы.
Архитектура БЛВС
Предлагаемое решение по построению БЛВС основано на требованиях к построению беспроводных сетей с четким разграничением уровней иерархии, где каждому уровню иерархии соответствует свой набор оборудования, выполняющий определенные для этого уровня функции. Для создания БЛВС ТГК используется классическая модель построения системы. Основными компонентами этой модели являются:
- точки доступа
- контроллеры
- система управления.
Архитектура представлена на рисунке.
Основные функции точек доступа:
- подключение клиентских устройств по стандартам wifi связи IEEE 802.11bgn
- шифрование пользовательского трафика в беспроводном канале
- CAPWAP-туннелированные пользовательского трафика в проводном сегменте.
Основные функции контроллеров БЛВС:
- обеспечение безопасного бесшовного роуминга L2 и L3
- автоматизированное управление радиоэфиром частоты и мощности передатчиков точек доступа
- устранение дыр в покрытии при выходе из строя точек доступа
- переключение пользователей с загруженных точек на менее загруженные
- обнаружение и устранение интерференции взаимного негативного влияния между своими точками доступа и с посторонними
- обнаружение и устранение негативного влияния помех на работу системы
- обнаружения вторжений в сеть
- обеспечение политик безопасности
- обеспечение политик Wi-Fi Multimedia WMM беспроводной QoS
- предоставление сервиса гостевого доступа web-аутентификации
Основные функции системы управления беспроводной сетью:
- управление сетью из одной точки это удобный web-интерфейс, возможность использования шаблонов настроек
- мониторинг событий
- настройка контроллеров и точек доступа
- планирование развития
- отображение отчетов системы предотвращения вторжений в беспроводную сеть
- поиск и устранение неполадок в работе
- отображение местоположения на карте офиса легитимных и посторонних устройств
- отображение покрытия wifi сети на карте офиса.
Физическая топология БЛВС
Информационное взаимодействие между компонентами системы осуществляться посредством ЛВС.
Точки доступа крепятся на монтажные площадки, размещаемые за подвесным потолком, согласно схеме размещения точек доступа. К месту размещения каждой точки доступа подводится неэкранированная витая пара не ниже категории 5e. Беспроводные точки доступа подключаются к этажным коммутаторам уровня доступа через витую пару по технологии 1000BASE-TX.
Контроллеры, управляющие точками доступа, выполнены в форм-факторе сервисных модулей и устанавливаются в коммутаторы ядра, расположенные в ГКЦ. Контроллер устанавливается в коммутатор ядра, расположенный в ГКЦ, контроллер устанавливается в коммутатор ядра, расположенный в ГКЦ. ПО системы управления wifi сетью и системы контроля доступа устанавливаются на серверы стоечного исполнения, которые размещаются в телекоммуникационных шкафах, расположенных в помещении ЦОД. Серверы системы управления и системы контроля доступа подключается к коммутаторам уровня доступа ЦОД через витую пару по технологии 1000BASE-TX.
Сервер системы предотвращения вторжений имеет стоечное исполнение и размещается в телекоммуникационном шкафу помещения ЦОД. Сервер системы предотвращения вторжения подключается к коммутатору уровня доступа ЦОД через витую пару по технологии 1000BASE-TX.
Физическая топология представлена в документе ПСД Схема функциональной структуры.
Логическая топология БЛВС
Порты коммутаторов уровня доступа, к которым подключаются точки доступа, помещаются в виртуальные сети точек доступа. Данные подсети предназначены для адресации интерфейсов управления точек доступа. На DHCP-сервер развёрнутом на базе MS Windows Server 2008 для сетей точек доступа создаются пулы адресов из подсетей, указанных в таблице VLAN Таблица 5.
Помимо IP-адреса, маски подсети и IP-адреса шлюза через опцию DHCP точкам доступа передаются IP-адреса management-интерфейсов контроллеров. Используя полученную информацию, точки доступа инициируют процесс подключения к контроллеру по протоколу CAPWAP, в ходе которого строят два шифрованных туннеля, один для управления, другой для передачи данных клиентов. После успешной регистрации точек на контроллере, контроллер производит обновление программного обеспечения точек и файлов настроек точек доступа, если в этом есть необходимость.
С целью управления контроллерами БЛВС на них настраивается виртуальный интерфейс управления management interface и виртуальный сервисный интерфейс service interface для взаимодействия с супервизором коммутатора ядра. Настройки коммутатора ядра для интеграции с контроллерами приведены в подразделе 2.15. Для каждой группы пользователей создаются виртуальные интерфейсы dynamic, имеющие ассоциацию с виртуальными подсетями VLAN и идентификаторами беспроводных сетей SSID. Далее для каждого идентификатора wifi сети создаются профили безопасности, параметры настроек которых определяются политиками безопасности для каждой группы пользователей.
Аналогичная процедура настройки повторяется на втором контроллере.
Подключение беспроводных устройств к нужной системе осуществляется по идентификатору SSID. В зависимости от выбранного SSID к wifi клиенту применяются политики безопасности и контроля доступа, соответствующие данной группе. После успешного прохождения аутентификации и авторизации пользователи каждой из групп помещаются в предназначенную для их группы виртуальную сеть VLAN.
Описание групп пользователей wifi и соответствующих им профилей безопасности приведены в подразделе 2.9. Описание процесса подключения клиентов представлено в подразделе 2.12.
Маршрутизация между виртуальными подсетями БЛВС и другими сетями осуществляется на коммутаторе ядра, для этого на коммутаторе ядра создаются соответствующие Interface VLAN. IP-адреса Interface VLAN коммутатора ядра выступают в роли шлюзов по умолчанию для своих подсетей. С целью изоляции трафика между разными сегментами сети на Interface VLAN коммутатора ядра настраиваются списки доступа.
Перечень используемых виртуальных подсетей и идентификаторов приведен в подразделе 2.10.
IP-адресация устройств вайфай представлена в подразделе 2.11.
Логическая топология системы представлена в документе ПСД Схема функциональной структуры.
Организационная структура групп беспроводных пользователей
Перечень легитимных категорий пользователей и типов устройств, имеющих право доступа в системы, описан в таблице 4. Также в таблице 4 описаны права доступа беспроводных пользователей к ресурсам ЛВС и параметры подключения к системе.
Таблица 4. Группы беспроводных пользователей
№ п/п |
Группа |
Параметры |
Значение |
1 |
Группа Корпоративные пользователи |
Тип пользователей |
Сотрудники |
Тип устройств |
Корпоративные мобильные компьютеры сотрудников |
||
Доступ к ресурсам |
КСПД, Интернет |
||
Аутентификация |
PEAP доменные логин и пароль |
||
Шифрование |
AES |
||
2 |
Группа Беспроводные IP-телефоны |
Тип пользователей |
Сотрудники оснащенные корпоративными wifi IP-телефонами |
Тип wifi устройств |
Корпоративные беспроводные IP-телефоны |
||
Доступ к ресурсам |
вайфай |
||
Аутентификация |
EAP-FAST |
||
Шифрование |
AES |
||
3 |
Группа Гости |
Тип пользователей |
Посетители и сотрудники |
Тип беспроводных устройств |
Личные устройства посетителей и сотрудников |
||
Доступ к ресурсам |
Временный доступ к сети Интернет |
||
Аутентификация |
Web-аутентификация |
||
Шифрование |
Не применяется |
Организационная структура идентификаторов беспроводных сетей SSID и виртуальных локальных сетей VLAN.
Идентификаторы SSID-групп пользователей и их ассоциация с виртуальными сетями представлены в таблице
Виртуальные сети групп пользователей и их ассоциация с Распределение IP-адресов
IP-адреса интерфейсов сетевых устройств БЛВС представлены в таблице. IP-адреса интерфейсов устройств.
Организация защищенного доступа к сети
Организация доступа корпоративных пользователей к БЛВС
Современные методы защиты беспроводных сетей базируются на технологиях WPA и WPA2 Wi-Fi Protected Access. Технологии WPA/WPA2 пришли на замену устаревшей технологии WEP и являются совокупностью нескольких технологий, таких как стандарты 802.1x, протокол EAP Extensible Authentication Protocol, расширяемый протокол аутентификации, протокол TKIP Temporal Key Integrity Protocol, протокол целостности временного ключа, контроль целостности данных message integrity check, MIC. WPA2 является более поздней версией WPA и отличается заменой протокола шифрования TKIP на более совершенный протокол CCMP, в котором, в частности, используется алгоритм шифрования AES вместо RC4.
За аутентификацию абонентов wifi сетей в WPA отвечает протокол EAP. Будучи обобщённым протоколом, EAP позволяет использовать разнообразные методы аутентификации. Ряд методов, в том числе MD5, Kerberos, Public Key, One Time Passwords OTP, смарт-карты, решают задачу аутентификации абонента по отношению к AAA-серверу. Наиболее распространенными являются следующие типы EAP: Cisco EAP LEAP, Protected EAP и EAP-TLS.
LEAP использует аутентификацию по имени и паролю пользователя в Active Directory.
PEAP использует аутентификацию сервера по сертификату и аутентификацию клиента по комбинации имени с паролем пользователя в Active Directory.
EAP-TLS использует исключительно сертификаты серверный и клиентские.
Поскольку протокол LEAP является сторонней разработкой, он требует установки дополнительного ПО на операционную систему пользователя. Кроме того, протокол LEAP поддерживает ограниченное число серверов RADIUS.
Использование протокола EAP-TLS предполагает отказ от использования имени и пароля в Active Directory при аутентификации, что противоречит требованиям ТЗ. Кроме того, такой вариант требует ограничения времени жизни клиентских сертификатов и отмены сертификатов для уволившихся сотрудников т.е. всех тех мер, которые уже предпринимаются для защиты паролей пользователей от передачи другим лицам.
Поэтому наиболее оптимальным вариантом для организации защищенного доступа пользователя беспроводной сети в сеть Интернет с аутентификацией по логину/паролю Windows Active Directory является технология PEAP.
Процедура авторизации пользователя по протоколу PEAP выглядит следующим образом:
- Клиент посылает сообщение EAP Start точке доступа.
- Точка доступа отвечает сообщением EAP Request Identity.
- Клиент посылает точке доступа сообщение EAP Response со своим идентификатором доступа к сети network access identifier, NAI, представляющем собой имя пользователя в Windows Active Directory.
- Точка доступа пересылает NAI RADIUS-серверу, инкапсулируя его в сообщение RADIUS Access Request.
- RADIUS-сервер посылает абоненту свой цифровой сертификат.
- Клиент проверяет подлинность сертификата RADIUS-сервера, используя корневой сертификат.
- Клиент и RADIUS-сервер создают защищённый туннель SSL, обеспечивающий конфиденциальность обмена данными для аутентификации абонента.
- Посредством протокола TLS Record Protocol RADIUS-сервер инициирует ещё одну аутентификацию EAP.
- Клиент аутентифицируется на сервере RADIUS по имени пользователя в Windows Active Directory.
- RADIUS-сервер посылает точке радиодоступа сообщение RADIUS Accept и сессионный ключ, тем самым сигнализируя об успешной аутентификации.
- Точка радиодоступа посылает абоненту сообщение EAP Success.
- Точка радиодоступа посылает абоненту широковещательный сессионный ключ и его длину, шифрованные сессионным ключом этого абонента.
Неавторизованный пользователь, находясь в гостевом WLAN, выкачивает и устанавливает в свое хранилище корневой сертификат. Это однократная процедура, выполняемая при начальной настройке беспроводной сети. Далее клиент обращается к RADIUS-серверу сервер контроля доступа Cisco Secure ACS 5 для аутентификации, запрашивает и проверяет его сертификат, после чего устанавливает с RADIUS-сервером защищенное соединение. Через это соединение клиент аутентифицируется на сервере RADIUS по имени и паролю в Windows Active Directory. В случае успешной аутентификации клиент получает от точки доступа сессионный ключ, необходимый для доступа в беспроводную сеть. При необходимости выполнения входа клиента в сеть Windows Active Directory сначала выполняется аутентификация по имени компьютера, получение адреса по DHCP, затем вход в сеть с последующей переаутентификацией по имени пользователя.
Организация гостевого доступа к БЛВС
Процедура аутентификация посетителей при подключении к БЛВС выглядит следующим образом:
Посетитель при наличии необходимости доступа в Интернет на территории офиса получает от сотрудника Заказчика, к которому прибыл, реквизиты необходимые для входа в сеть: логин, пароль и SSID беспроводной сети.
Для начала работы в сети Интернет пользователь подключается к wifi сети Guest с открытым доступом, автоматически получает IP-адрес и запускает браузер. Все обращения пользователя к внешним ресурсам Интернет перенаправляются на web-страницу контроллера беспроводной сети с формой для web-аутентификации. После ввода имени и пароля и прохождения аутентификации пользователь сможет начать работу в сети Интернет.
Такой способ подключения к сети не требует внесения дополнительных настроек в конфигурацию сетевого подключения клиентского компьютера. Все, что требуется для входа в сеть это наличие на устройстве посетителя браузера Интернет.
Данный механизм разграничения доступа реализован на контроллере как функционал третьего уровня, контроллер пропускает от клиента в сеть только DHCP и DNS-пакеты. После получения IP-адреса и выполнения клиентом web-аутентификации контроллер помещает гостевого пользователя в виртуальную подсеть, изолированную от корпоративного сегмента. Дальнейшие ограничения, накладываемые на трафик гостевых пользователей, определяются политиками и реализуются на активном сетевом оборудовании.
Гостевые учетные записи не являются одноразовыми, но имеют ограниченное время действия, определяемое при их генерации. Одновременная работа с одной гостевой учётной записью возможная только одним гостевым пользователем сети. Гостевые учетные записи генерируются на специальных выделенных контроллерах домена. Данные контроллеры домена интегрированы с RADIUS-серверами, к которым обращаются контроллеры при аутентификации и авторизации гостевых пользователей.
Организация обнаружения и предотвращения вторжений в БЛВС
Организация обнаружения и предотвращение вторжений в беспроводную сеть построена на системе Cisco wIPS. Данная система состоит из аппаратной платформы мобильных сервисов Cisco Mobility Services Engine MSE, программного обеспечения Cisco wIPS, типовой инфраструктуры БЛВС контроллеры и система мониторинга и точек доступа, работающих в комбинированном режиме - монитор точка доступа.
Архитектура системы предотвращения вторжений в систему изображена на рисунке.
Архитектура системы предотвращения вторжений в БЛВС
Основные функции системы предотвращения вторжений в систему Cisco wIPS:
- обнаружение злоумышленника и отражение атаки
- подавление нелегитимных беспроводных устройств
- обнаружения попыток разведки, атак типа man-in-the-middle, взлома сети, атак типа отказ в обслуживании фальсификация служебных пакетов deauthentication и disassociation
- превентивный мониторинг уязвимостей
- формирование отчетов о событиях безопасности, включая отчеты о соответствии требованиям PCI
- долговременная архивация и ведение отчетности для событий, связанных с безопасностью
- мониторинг производительности
- классификация и эскалация событий с захватом трафика.
Организация отказоустойчивости сети и мобильности
Контроллеры беспроводной сети настраиваются по отказоустойчивой схеме подключения точек доступа. При настройке точек доступа задается основной контроллер и резервный. Все используемые в отказоустойчивой схеме контроллеры должны входить в одну мобильную группу. При выходе из строя основного контроллера точки доступа производят регистрацию на резервном. Связь точки доступа с контроллером осуществляется с помощью специальных пакетов, потеря одного пакета и семи последующих расценивается как отказ контроллера.
После переключения точка доступа продолжает слать пакеты регистрации на основной контроллер. В случае его восстановление выполняется обратное переключение. Обнаружение отказа контроллера и переключение на резервный происходит примерно за 80 секунд, обратное переключение за 30 секунд.
Настройки группы мобильности для контроллеров БЛВС приведены в таблице.
Организация резервного копирования
На базе системы управления и мониторинга Cisco Prime NCS организовано резервное копирование конфигурационных файлов контроллеров и базы данных системы мониторинга и управления. В таблице 9 приведены объекты резервного копирования, периодичность копирования и места размещения резервных копий.
В системе предусмотрены средства восстановления работоспособности БЛВС после сбоев оборудования за счет:
- резервирования основных компонент, что позволяет автоматически переходить на резервные компоненты при отказе основных
- резервное копирование файлов конфигурации контроллеров и базы данных системы мониторинга и управления системой
- резервирования каналов связи для увеличения пропускной способности и обеспечения связности сети при повреждении части кабельной сети
- наличия набора запасных частей и возможность горячей замены компонент для обеспечения быстрого восстановления работы сети
- применения разработанных обслуживающим персоналом процедур по восстановлению работоспособности.
Подключение устройств
Подключение точек доступа описано в таблице. В данной таблице приведены имена точек доступа, наименования коммутаторов и портов к которым осуществляется подключение точек доступа.
Подключение контроллеров
Контроллеры устанавливаются в слоты коммутаторов ядра согласно таблице 4. Для взаимодействия контроллера с супервизором на коммутаторе ядра создается сервисный VLAN:
После инициализации контроллера супервизор автоматически создаст агрегированный интерфейс port-channel. Далее необходимо разрешить используемые на контроллерах VLAN за исключением сервисного и выполнить следующие настройки.
Размещение оборудования БЛВС на объекте выполнено в соответствии с таблицей по составу и описанию узлов. Полный список оборудования приведен в таблице.
Состав и описание комплекта ЗИП.
Комплект ЗИП состоит из запасных точек доступа, предназначенных для замены вышедших из строя точек, в количестве 10% от общего числа точек доступа и точек доступа, предназначенных для возможного улучшения качества покрытия, в количестве 10% от общего числа точек доступа. Полный список оборудования комплекта ЗИП.