Модернизация WiFi сети МФТИ (ГУ) А.П. Дмитрук, Я.В. Гевличев Московский физико-технический институт Email: dmitruk@mipt.ru, yaroslav@mipt.ru. - презентация

1 Модернизация WiFi сети МФТИ (ГУ) А.П. Дмитрук, Я.В. Гевличев Московский физико-технический институт

2 WiFi сеть до модернизации Реализована на точках доступа WRT54GL (стандарт G). Каждая WiFi точка настраивается индивидуально. Функционировало более 90 wifi точек доступа.

3 Недостатки: Отсутствие централизованного мониторинга, управления и апгрейда ПО. Недостаточная пропускная способность. Сложность первоначальной настройки, и дальнейшего обслуживания. Сложность установки - необходима эл. розетка в точке установки. Только один канал (SSID). Не было реализовано шифрование передаваемых данных (WPA). Пользователям приходится вводить логии и пароль на WEB портале при каждом подключении, что неудобно.

4 Выбранное решение: UniFi система WiFi доступа с бесплатным программируемым контроллером. Возможности: Простота монтажа, PoE. Централизованное управление беспроводной сетью. Автоматическое обновление ПО на точках доступа. Высокая масштабируемость: до 1000 и более точек. Множественные беспроводные сети с разграничением прав доступа. Быстрый внутрисетевой роуминг при переключении между точками доступа. Отслеживание трафика пользователей, определение источников повышенной нагрузки на сеть.

5 Используемые модели WiFi точек доступа: UniFi AP (UAP) Базовая модель стандарта n, MIMO UniFi AP. Поддерживаемая скорость до 300 Mbps. Встроенная сферическая антенна MIMO 2 х 2. Легкая установка точек доступа и питание их через витую пару (PoE).

6 Используемые модели WiFi точек доступа: UniFi AP Pro (UAP-Pro) двухдиапазонная точка доступа для построения беспроводных сетей с большой площадью покрытия. В Ubiquiti UniFi Pro интегрировано три 2,4 ГГц и две 5 ГГц MIMO-антенны. Позволяет одновременно использовать обе частоты, обеспечивая таким образом производительность канала на уровне 750 Мб/с.

7 Используемые модели WiFi точек доступа: UniFi AP Outdoor (UAP-Outdoor) Точка доступа UniFi AP-Outdoor предназначена для установки вне помещений и может работать в диапазоне температур от 40°C до +55°C. Поддержка n. Две внешние антенны MIMO 2 х 2.

8 Упрощенная схема сети:

9 Принцип работы используемого алгоритма WPA-Ent (PEAP)

10 Внешний вид интерфейса контроллера UniFi: Сбор сетевой статистики, выявление наиболее нагруженных узлов и активных клиентов

11 Wifi-Free при полосе 5/15/50Мбит

12 ТОП по приложениям

13 Внешний вид интерфейса контроллера UniFi: Информация о состоянии каждой точки доступа

14 Внешний вид интерфейса контроллера UniFi: Пример настройки нескольких SSID Просмотр подключенных клиентов на определенной точке доступа:

15 Интеграция контроллера UniFi в нашу систему управления сетью: Возможность Вкл./Откл. необходимых SSID по расписанию и на нужных AP (конференции, олимпиады и т.д.) Создание и применение общих профилей на AP (например применение профиля на все AP одновременно и т.р.)

16 Полученный функционал - По методу авторизации/шифрования : бесплатный доступ без авторизации и шифрования, доступ по логину и паролю, не защищенное соединение (для оборудование не поддерживающего WPA), авторизация на WEB- портале - доступ по логину и паролю, защищенное соединение(WPA-Ent в режиме EAP-PEAP) доступ по логину и паролю. - Интеграция в существующую систему доступа в сеть. Свой тариф для каждого пользователя. Только одно активное подключение для логина. Разделение на зоны. - Централизованное управление и мониторинг, возможность работы по расписанию. - Повышение пропускной способности сети, до 4-х SSID в каждой точке.

17 Реализуется в данный момент: Система предотвращения вторжений (IPS) на базе Сisco ASA IPS -внедрена в режиме мониторинга на сегменте дата центра. Организация удаленного доступа в сеть МФТИ для удаленных сотрудников (Cisco AnyConnect) на базе Сisco ASA5500. Разделение локальной сети МФТИ на зоны в зависимости от требований безопасности на базе Сisco ASA CX (stateful packet inspection (SPI) фильтрация с учётом контекста ASA CX. Зоны с развернуты, ждем утвержденной политики безопасности в данной области). Внедрение Deep Packet Inspection (DPI) - системы для глубокого анализа трафика на базе Cisco Service Control Engine Развернута с режиме мониторинга. (для классификации, профилирования и квотирования трафика.)

18 Изменения за год - Выбор между однотипными сериями коммутаторами Cisco SG300/500x или Eltex MES2124/3124 сделан выбор в сторону Eltex – более оперативная тех. поддержка возможность общения непосредственно с разработчиками ПО на русском языку. - средний трафик студента: 18Gb в месяц на сентябрь Gb в месяц (~32Gb c пирингом home-ix) на сентябрь Gb в месяц (~40Gb c пирингом home-ix) на сентябрь 2013

19 трафик студентов в течении суток – до внедрения безлимитных тарифов (безлимит для всех ночью) трафик студентов в течении суток – после внедрения безлимитных тарифов Интересные графики

20 активные и прикрытые логины в течении года

21 Благодарим за внимание Вопросы?