Модернизация WiFi сети МФТИ (ГУ)

Report
Модернизация WiFi сети
МФТИ (ГУ)
А.П. Дмитрук, Я.В. Гевличев
Московский физико-технический институт
Email: dmitruk@mipt.ru, yaroslav@mipt.ru
WiFi сеть до модернизации
•Реализована на точках доступа WRT54GL
(стандарт G).
•Каждая WiFi точка настраивается
индивидуально.
•Функционировало более 90 wifi точек
доступа.
Недостатки:
•Отсутствие централизованного мониторинга, управления и
апгрейда ПО.
•Недостаточная пропускная способность.
•Сложность первоначальной настройки, и дальнейшего
обслуживания.
•Сложность установки - необходима эл. розетка в точке
установки.
•Только один канал (SSID).
•Не было реализовано шифрование передаваемых данных
(WPA). Пользователям приходится вводить логии и пароль на
WEB портале при каждом подключении, что неудобно.
Выбранное решение:
UniFi — система WiFi доступа с
бесплатным программируемым контроллером.
Возможности:
•Простота монтажа, PoE.
•Централизованное управление беспроводной сетью.
•Автоматическое обновление ПО на точках доступа.
•Высокая масштабируемость: до 1000 и более точек.
•Множественные беспроводные сети с разграничением прав
доступа.
•Быстрый внутрисетевой роуминг при переключении между
точками доступа.
•Отслеживание трафика пользователей, определение
источников повышенной нагрузки на сеть.
Используемые модели WiFi
точек доступа:
UniFi AP (UAP)
Базовая модель стандарта 802.11n, MIMO UniFi
AP. Поддерживаемая скорость до 300 Mbps.
Встроенная сферическая антенна MIMO 2х2. Легкая
установка точек доступа и питание их через витую
пару (PoE).
Используемые модели WiFi
точек доступа:
UniFi AP Pro (UAP-Pro)
двухдиапазонная точка доступа для построения
беспроводных сетей с большой площадью покрытия. В Ubiquiti
UniFi Pro интегрировано три 2,4 ГГц и две 5 ГГц MIMO-антенны.
Позволяет одновременно
использовать обе частоты,
обеспечивая таким образом
производительность канала на
уровне 750 Мб/с.
Используемые модели WiFi
точек доступа:
UniFi AP Outdoor (UAP-Outdoor)
Точка доступа UniFi AP-Outdoor
предназначена для установки вне
помещений и может работать в
диапазоне температур от −40°C до
+55°C. Поддержка 802.11n. Две
внешние антенны MIMO 2х2.
Упрощенная схема сети:
Принцип работы
используемого алгоритма
WPA-Ent (PEAP)
Внешний вид интерфейса
контроллера UniFi:
Сбор сетевой статистики, выявление наиболее
нагруженных узлов и активных клиентов
Wifi-Free при полосе 5/15/50Мбит
ТОП по приложениям
Wifi-Free при полосе 5/15/50Мбит
Внешний вид интерфейса
контроллера UniFi:
Информация о состоянии каждой точки доступа
Внешний вид интерфейса
контроллера UniFi:
Просмотр подключенных клиентов на
определенной точке доступа:
Пример настройки нескольких SSID
Интеграция контроллера UniFi в
нашу систему управления сетью:
Создание и применение общих
профилей на AP
(например применение профиля на
все AP одновременно и т.р.)
Возможность Вкл./Откл. необходимых
SSID по расписанию и на нужных AP
(конференции, олимпиады и т.д.)
Полученный функционал
-По методу авторизации/шифрования :
•бесплатный доступ без авторизации и шифрования,
•доступ по логину и паролю, не защищенное соединение (для
оборудование не поддерживающего WPA), авторизация на WEBпортале - доступ по логину и паролю,
•защищенное соединение(WPA-Ent в режиме EAP-PEAP) доступ по
логину и паролю.
-Интеграция в существующую систему доступа в сеть. Свой
тариф для каждого пользователя. Только одно активное
подключение для логина. Разделение на зоны.
-Централизованное управление и мониторинг, возможность
работы по расписанию.
-Повышение пропускной способности сети, до 4-х SSID в
каждой точке.
Реализуется в данный момент:
•Система предотвращения вторжений (IPS) на базе Сisco
ASA IPS -внедрена в режиме мониторинга на сегменте дата
центра.
•Организация удаленного доступа в сеть МФТИ для удаленных
сотрудников (Cisco AnyConnect) на базе Сisco ASA5500.
•Разделение локальной сети МФТИ на зоны в зависимости от
требований безопасности на базе Сisco ASA CX
(stateful packet inspection (SPI) фильтрация с учётом контекста ASA CX. Зоны с развернуты, ждем
утвержденной политики безопасности в данной области).
•Внедрение Deep Packet Inspection (DPI) - системы для глубокого
анализа трафика на базе Cisco Service Control Engine 8000.
Развернута с режиме мониторинга.
(для классификации, профилирования и квотирования трафика.)
Изменения за год
-Выбор между однотипными сериями коммутаторами Cisco
SG300/500x или Eltex MES2124/3124
сделан выбор в сторону Eltex – более оперативная тех. поддержка
возможность общения непосредственно с разработчиками ПО на русском языку.
-средний трафик студента:
•18Gb в месяц на сентябрь 2011
•23Gb в месяц (~32Gb c пирингом home-ix) на сентябрь 2012
•36Gb в месяц (~40Gb c пирингом home-ix) на сентябрь 2013
Интересные графики
трафик студентов в течении суток – до внедрения безлимитных тарифов
(безлимит для всех ночью)
трафик студентов в течении суток – после внедрения безлимитных тарифов
активные и прикрытые логины в течении года
Благодарим за внимание
Вопросы?

similar documents