NETAMS

Проект построения корпоративной локальной беспроводной сети (WiFi)

Заказчик проекта использовал в своей деятельности беспроводную сеть WiFi для подключения пользователей переносных компьютеров к локальной вычислительной сети, доступу к корпоративным ресурсам, и Интернет. В силу особенностей деятельности заказчика, а также конфигурации помещений, было затруднительно обеспечить всех потенциальных пользователей проводным подключением. Развернутая беспроводная сеть (на оборудовании ASUS и D-Link), однако, не вполне удовлетворяла потребностям заказчика в силу:

• Слабости возможностей управления (требовались индивидуальные настройки каждой точки доступа)
• Слабости возможности мониторинга (невозможно определить, где находится клиент, параметры его подключения, статистика соединений)
• Низкой безопасности (использовался метод авторизации по известному всем паролю, WPA-PSK)
• Отсутствии поддержки непрерывной мобильности подключения (роуминга)
• Необходимости вручную заниматься радиочастотным планированием, идентифицировать проблемные места и 'нелегальные' подключения.

В связи этим заказчик обратился в ООО «Нетамс» с задачей построения надежной, современной и безопасной беспроводной инфраструктуры. Она была успешно решена нашими специалистами на основе сочетания унифицированной беспроводной инфраструктуры (CUWN) Cisco, и доменной инфраструктуры Microsoft.

Принципиальная схема построенного решения приведена на рисунке справа.

Сеть распределена на два офиса заказчика, каждый из которых имеет небольшой дата-центр. Офисы объединены защищенным каналом пропускной способностью 10 Гигабит/с и используют оборудование Cisco Catalyst в локальной сети. В одном из офисов установлен контроллер беспроводных точек доступа Cisco WLC4402, поддерживающий до 12 'легких' точек доступа. Эти устройства, моделей LAP-1131 и LAP-1121, распределены по помещениям заказчика и осуществляют непосредственное обслуживание беспроводных клиентов (ноутбуков), которых в сети одновременно присутствует до ста. Для авторизации и контроля доступа пользователей беспроводной сети точки доступа, совместно с контроллером, используют протокол 802.1х. При этом в качестве механизма авторизации применяется EAP-TLS, с авторизацией по доменным сертификатам службы каталога Windows.

Каждый пользователь беспроводной сети имеет учетную запись в службе каталогов имеющегося домена Windows. На базе учетной записи в службе сертификатов домена создается сертификат, который устанавливается на ноутбук пользователя и используется при его авторизации. В качестве серверов авторизации (RADIUS) выступают устройства Cisco ACS 5.2 (2 штуки в разных дата-центрах, для отказоустойчивости).

Для более точного позиционирования работающих беспроводных клиентов на карте-плане помещения в сети установлен дополнительный контроллер, Mobility Services Engine, непрерывно обрабатывающий информацию от беспроводных точек доступа, и контроллера.

Для централизованного управления сетью, просмотра статистики, настройки, визуализации применяется программное обеспечение Cisco Wireless Control System.

Для сокращения издержек по обслуживанию аппаратной инфраструктуры 'устройства' MSE, ACS, WCS, службы каталога и сертификатов домена выполняются в виртуальных машинах VMware.

Таким образом, путем построения современной беспроводной сети были успешно решены следующие задачи заказчика:

• Безопасное и надежное подключение пользователей к беспроводной сети, использующее существующий механизм домена Windows.
• Централизованное управление, мониторинг, обслуживание беспроводных устройств и сопутствующих систем.
• Автоматический контроль над радио-обстановкой, роумингом, определением положения легитимных и несанкционированных клиентов.
• Поддержка нескольких беспроводных сетей на бае единой физической инфраструктуры с разными политиками безопасности (департаменты, гостевой доступ).
• Добавлением контроллеров и точек доступа беспроводная сеть может быть масштабирована в десятки раз, в том числе и на удаленные площадки, без каких-либо изменений в её конфигурации.