350 likes | 552 Views
NOWOCZESNE TECHNOLOGIE W SIECIACH WIFI. Piotr Szczepanek + Artur Gmaj Pion Systemów Sieciowych. Wszechobecność Sieci WiFi. Sieci Enterprise. Sieci Operatorskie MESH lub WiMax. Pojemność. WiMAX. WLAN. MESH. Zasięg. Rozwiązania WiFi Nortela. Guest Access. Cellular / Wi-Fi Convergence.
E N D
NOWOCZESNE TECHNOLOGIE W SIECIACH WIFI Piotr Szczepanek + Artur Gmaj Pion Systemów Sieciowych
Wszechobecność Sieci WiFi Sieci Enterprise Sieci Operatorskie MESH lub WiMax Pojemność WiMAX WLAN MESH Zasięg
Rozwiązania WiFi Nortela Guest Access Cellular / Wi-Fi Convergence Lokalizacja i śledzenie Praca Grupowa Voice RF Scanning & WIDPS Data Multi-media Enterprise Wireless Solutions Development Rozwiązanie Zgodność Serwis i Usługi Program Partnerski WLAN Infrastructure Definicja wymagań Jakość Certyfikacja Produktów Współpraca Convergence Optimized LAN/WAN Secure Router Ethernet Switch / Ethernet Routing Switch Secure Network Access VPN Gateway
Control and Provisioning Protocol (CAPP) stanowi bezpieczną platformę komunikacji AP i Kontroler Co oznacza Scentralizowany Model WiFi Access Point jest kontrolowany przez … KONTROLER WLAN Management System (WMS) służy konfiguracji, zarządzaniu i planowaniu WMS 2300 WLAN Security Switch (WSS)23XX Zarządza AP zarówno dołączonymi lokalnie jak i zdalnymi (np. przez WAN) WSS 23XX IP Network WSS 23XX PoE Switch WLAN Access Point (WAP)23XXobsługuję radio A/B/G/N, zasilany jest z PoE i nawiązuje bezpieczne połączenie z kontrolerem. Każdy AP może pracować w architekturze HA WAP 23XX Wi-Fi KLIENT
Linia Produktów WAP 2332* * Usprawnione RADIO * Local Traffic Forwarding WLE 2340 * Zintegrowany System Lokalizacji WAP 2330 * 802.11a/b/g * 2xFE • WSS 2382* • 32/64/96/128 APs • 2 GE (SFP) • No PoE Wydajność/Pojemność WSS 2380 • WSS 2360/61 • 12 APs • 8 FE • 6 PoE • 40/80/120 APs • 4 GE (SFP) • No PoE • WSS 2350 • 3 APs • 2 FE, 1 PoE Duże i Data Center Biura Zdalne Średniej Wielkości
WLAN Access Point 2330A/B • Elastyczny • Radio 802.11 a/b/g • 802.3af PoE • Opcjonalne Anteny Zewnętrzne • Szeroki Zakres Pasma • Niezawodność i Wydajność • Automatyczny dobór kanałów i mocy • Autostart • QoS także po stronie radiowej • Dwa porty Ethernet • Bezpieczeństwo • Szyfrowanie/DeSzyfrowanie • Wykrywanie ataków i lokalizacja obcych • Uchwyt KensingtonTM lock • Brak dostępu do klucza prywatnego Dwa porty Ethernet Obudowa „maskująca” Zintegrowana antena Zewnętrzne Anteny 802.11 a/b/g Kensington lock
802.11b/g 802.11a Budynek Zdalny WLAN Access Point 2332 • Pełna obsługa AP 2330A/B + Zwiększona wydajność Wewnątrz WSS 2382 ERS 2550T-PWR WAP 2332 ZewnątrzMoże działać jako bridge Elastyczność, elastyczność
Odciążenie Kontrolera Jeśli Kontrole będzie wąskim gardłem Router Markowanie QoS Skrócenie ścieżki AP: Local Traffic Forwarding • WAP 2332 może transmitować ruchu z pominięciem Kontrolera WSS Applications WAP 2332 Scentralizowany Model Rozproszony Model Większa wydajność mniejsze opóźnienie
Kontrolery • Scentralizowane Bezpieczeństwo • 802.1X Odciążenie i akceleracja • Generowanie i zarządzanie kluczami • Filtry Dostępu • Wykrywanie OBCYCH • IDS WiFi • Scentralizowane zarządzanie i QoS • Konfiguracja AP • Auto dobórmoc/kanał • Bezprzerwowy roaming • QoS w/ 802.1P/DSCP • Scentralizowane monitorowanie • Statystyki RF • Statystyki użycia 2350 2360 2361 2380 2382
WLAN Managment System (WMS) • Planowanie i Implementacja • Dedykowane narzędzia do projektowania • Zarządzanie GUI • Konfiguracja i Weryfikacja • Szablonów Konfiguracji • Ładuje konfigurację do Kontrolera • Monitorowanie i Raportowanie • Per klient, radio, AP, WSS, VLAN • Lokalizacja klienta i trasa (roaming) • Grafy, Tabele, Raporty • Wykrywanie OBCYCH • Access Pointów, Klientów Ad-Hoc • Lokalizacja • Obcych i Klientów • Wireless IDS • Identyfikacja i analiza
Wiele Scenariuszy Implementacji Bezproblemowa integracja z istniejącą siecią LAN Łącza kablowe WMS WLAN AP 2330A WSS 2360 AP bezpośrednio dołączony do Kontrolera AP nie bezpośrednio dołączony do Kontrolera Połączenie HA poprzez dwa porty LAN AP nie bezpośrednio dołączony do Kontrolera przez switch z PoE Biuro Zdalne używające lokalnego, małego Kontrolera a c WSS 2360 WSS 2380 b d AAA Servers Biuro Zdalne e WSS 2350
Uwierzytelnienie i Szyfrowanie • Implementacja NAJLEPSZYCH dziś standardów • 802.11i/WPA/WPA2 • Kryptografia implementowana w AP dla zwiększenia wydajności • Polityki AAA Per Użytkownik • Model Skalowalny Serwer Uwierzytelnienia WLAN Security Switch 2300 WLAN Access Point 2300 Kontroler jest proxy uwierzytelnienia zgodnie z 802.1x Podczas uwierzytelnienia, Kontroler pobiera atrybuty użytkownika z serwera AAA Kontroler tworzy profil użytkownika i dystrybuuje go na inne kontrolery w Systemie Profil użytkownika i polityka „wędruje” zgodnie z jego roamingiem
Identyfikacja Użytkownika • Pracownik • Znany ID • Zarządzany Klient • Identyfikacja w RADIUS • Uwierzytelnienie 802.1x • Indywidualne Uwierzytelnienie dla każdego użytkownika • Indywidualna Polityka Bezpieczeństwa • Pojedynczy SSID • Zaufany Klient • Znany ID • Dowolny Klient • Identyfikacja w RADIUS • Web Authentication Gość -Nieznany ID -Dowolny Klient • Utworzenie tymczasowego Login • Web Authentication
Router Akceleracja 802.1x • Kontroler jest Proxy AAA • Zdejmuje z serwera AAA 90% sekwencji EAP • EAP-TLS, PEAP, i EAP-MD5 • Użytkownik dostrzega szybkie uwierzytelnienie i roaming • Administrator nie musi rekonfigurować AAA dla mobilności • A bez akceleracji 802.1X: • Serwery AAA są obciążane każdą pełną sesją EAP • Wolne uwierzytelnienie i roaming AAA Servers WSS 2300 WAP 2300 Bezpieczeństwo i Wydajność
Serwery Zapasowe Farma Serwerów DHCP Relay SNAS Intranet Wireless LAN 2300 Security Switches DHCP Scope: 192.168.2.0/24 Czerwone: 192.168.2.65 - 126 Żółte: 192.168.2.129 - 190 ZIelone: 192.168.2.193 - 254 Distributed AP Zielone 192.168.2.205/24 ‘Passed Checks’ Żółte 192.168.2.140/24 ‘Failed Checks’ Czerwone 192.168.2.68/24 ‘Un-Verified’ NAC: Secure Network Access • Nowy użytkownik łączy się przez SNAS by uzyskać dane IP • Poprzez PlugIn i TunnelGuard kontrolowana jest spoistość komputera klienta • Status klienta i zakres dostępu zależny od jego profilu • Passed = Pełny Dostęp • Failed = Brak Dostępu • Un-verified = Nie Możliwa Weryfikacja • ACLs Realizowany przez Kontroler
WLAN Security Switch 2300 Obcy AP Nie Uwierzytelniony laptop Uwierzytelniony Laptop Obcy Laptop Obcy AP: Ochrona Klientów • AP skanuje wszystkie kanały spektrum 2,4/5GHz • Wykrycie Obcego AP • Wykrycie • Klasyfikacja • Lokalizacja • Alarm • Zawartość • Obcy AP • Ad-hoc Obcy APpozwala wprowadzić login i hasło do sieci WiFi Uwierzytelniony laptop stanowi ryzyko dla innych
Bezprzewodowy IDS Wbudowana funkcjonalność podstawowego IDS WMS 2300 ! • Technologia 802.11i lub VPN zapewnia uwierzytelnieniei bezpieczeństwo transmisji ale nie zapobiega atakom DoS • Bezprzewodowy IDS zapobiega atakom na RADIO • Wykrywa, loguje zdarzenia i powiadamia administratora • Zakłócenia Radia i Interferencje • Podszywanie się pod adres MAC • Słabość kluczy WEP • Przeciążanie/DoS WiFi • Spoofing WSS 23XX Threat Employee
Zaawansowany bezprzewodowy IDS • Zintegrowany najlepszy na rynku produkt specjalistyczny • AP poprzez zmianę oprogramowania może pełnić rolę SONDY WiFi • Ciągły Monitoring • Informacje wysyłane do Korelatora AirDefense z Kontrolera • AirDefense serwer analizuje informacje • Wysyła trap SNMP do kontrolera w chwili wystąpienia alarmu • Zidentyfikowane ponad 200 różnych alarmów WiFi • WMS może pełnić rolę konsoli systemu AirDefense WMS Klient WMS Server AirDefense Server SNMP Traps Alarm Analiza Lokalizacja Śledzenie Intranet Wireless LAN 2300 Security Switches Distributed AP AirDefense Sensor
Router Router Pełna Niezawodność Architektury • Systemu Zarządzania • Architektura Systemu WMS • Serwerów AAA • Grupowanie RADIUS • Load balancing • Lokalny AAA jako zapas • WLAN Kontroler (Security Switch) • Agregacja połączeń • Podwójne zasilacze i wentylatory • Klaster Kontrolerów • Access Point • Dwa Porty Ethernet • Pokrycie obszaru przez dwa AP • Balansowanie klientami • Zarządzanie Radiem AAA Servers WMS Servers WSS 2380 WSS 2360 WSS 2360 AP 2330A AP 2330A
PDA Telefon Laptop Telefon IP Komputer Niezawodność: AP i Obszar Pokrycia WMS 2300 WSS 23XX Niezawodność połączenia kablowego Dynamiczna reakcja na zmianę mocy Radia Spójna sieć IP PoE Switch 1 2 6 3 4 5 WAP 23XX
PDA Telefon Laptop Telefon IP Komputer Niezawodność: Kontroler 2 1 Kontroler HA w Data center WSS 23XX AP Dual-homing zapobiega utracie połączenia w przypadku awarii Kontrolera, połączenia lub portu Spójna sieć IP 2 1 PoE Switch WAP 23XX
PDA Telefon Laptop Telefon IP Komputer Niezawodność: Połączenie do rdzenia sieci Kontroler agreguje połączenie typu UpLink do rdzenia sieci Spójna sieć IP 1 2 Layer 3 Switch WSS 23XX WAP 23XX
AAA AAA PDA Telefon Laptop Telefon IP Komputer Niezawodność: AAA 1 2 AAA Servers Serwery AAA mogą być grupowane i balansowane przez Kontroler Spójna sieć IP Layer 3 Switch Funkcjonalność AAA na Kontrolerze WSS 23XX WAP 23XX
ERS WSS 2360 Skalowalność • Scentralizowane Zarządzanie i Konfiguracja • Monitorowanie użycia i Raporty • Zintegrowane narzędzie planowania dla określonych wymagań • AP typu Plug-and-Play • Do 32 Kontrolerów w domenie (systemie) • Kontroler w scentralizowanej architekturze • Do 2382 Kontrolerów w Data Center • Do 4096 AP AAA WMS WSS 2380 SIEĆ
Rozwiązanie dla Biur Zdalnych • Secure Router pozwala na transmisje danych i VoIP • Mały i tani model WSS 2350 Pozwala na rozproszenie architektury sieci WiFi • Wszystkie kontrolery mają te same właściwości • Pełne zarządzanie z WMS • Licencja na do 3 AP • 1port PoE • 1 port FE Uplink • „Bezkonfiguracyjny” – wyślij/włącz/zadziała • Nie wymaga inżyniera na miejscy by uruchomić usługę WSS 2350 L2 Switch Secure Router WLAN AP 2300 BIURO ZDALNE
WLAN Handset 22xx QoS – Spectralink Voice Prioritization (SVP) • „Producencki” standard realizacji QoS na sieci WiFi ale NAJPOPULARNIEJSZY • Np. Z telefonami Nortel 222x • Zalecany WLAN Telephony Manager 2245 • Kontrola Połączeń • Limitowanie połączeń głosowych per AP • Optymalizacja • Zarządza stanem dla oszczędzania baterii telefonów przenośnych • Kolejkowanie • Rezerwuje zasoby AP Centrala Telefoniczna CS 1000, Meridian, BCM WLAN Telephony Manager 2245 DiffServ WSS 2300 WLAN AP 2300 SVP
IP Phone 1535 PDA Laptop QoS – Wi-Fi Multi-Media (WMM) • Standard QoS (wprowadzony niedawno) • WMM jest tworem Wi-Fi Alliance wykorzystanym do opracowaniastandardu IEEE 802.11e • Kontrola Połączeń (WMM-SA) • Aplikacja informuje o oczekiwaniach co do zasobów sieci WiFi (Tspec) np..Pasmo, opóźnienia itp.. • Optymalizacja (WMM-PowerSave) • AP buforuje dane • Packet Prioritization (WMM) • Wielopoziomowe kolejkowanie • QoS Centrala Telefoniczna CS 1000, Meridian, BCM DiffServ WSS 2300 WLAN AP 2300 WMM
JAN KASIA Mobilność Użytkowników Dostępność dowolnych podsieci JAN VLAN = NIEBIESKI KASIA VLAN =CZERWONY • Przewodowe sieci nie są mobilne • Segmenty sieci są STAŁE • Dostęp do Segmentu poprzez wskazane gniazdo • Kontrolery tworzą tunele w celu wymiany danych od autoryzowanych użytkowników do aplikacji bez względu na lokalizację w domenie NIEBIESKI SEGMENT CZERWONY SEGMENT AAA Inter-Switch Tunnel JAN dostaje się po autoryzacji do pożądanego segmentu sieci KASIA odwiedza JANA i chce się dostać do swojego segmentu sieci we własnym Biurze Inter-switch tunnel zapewnia ścieżkę dla KASI do własnej sieci zdalnie
Dostęp dla GOŚCI • Bezpieczne i Łatwe wejście do sieci dla użytkowników czasowych • Łatwy w obsłudze szablon do generowania BILETÓW DO SIECI • Wygasa automatycznie • Każdy ID ma dowiązany profile security • VLAN/PodSieć • Lista Dostępu • Czas Dostępu • Wskazane lokalizacje • Logowanie użycia • Tunelowanie • Dowiązuje Gości do np. DMZ • Zapobiega jakiejkolwiek wewnętrznej komunikacji pomiędzy GOŚĆMI Guest PASS
PDA Laptop Usługa Lokalizacji Lokalizacja na Mapie- Ekahau Aplikacja do Śledzenia Położenia Application (eg. Locating/Tracking) • Aplikacja śledząca pokrycie obszaru • Architektura Klient/Serwer • Dowolny WiFi • Duża dokładność lokalizacji • TAGi Ekahau • Klient Ekahau • System monitorowania z interfejsem GUI dla Operatora a nie Administratora • WMS posiada moduł lokalizacji Obcych dla Administratorów sieci WiFi • Co można śledzić • Ludzi • Dobra • Inwentaryzacja • Urządzenia WiFi • Interfejs API dla innych aplikacji “ “ John is here” Dr J. House X X X X Ekahau RTLS Server Infusion pump WSS 2300 Asset Tag Asset Tag
Rozwój Produktów WiFi Przełączniki LAN wspierające PoE dla AP ERS5520 Nortel VPN Gateway dla dostępu do zdalnych sieci i HOTSPOTów VPN Gateway 3050/3070 Wireless Mesh Network (WMN) rozszerza obszar pokrycia do skali miejskiej Dalszy Zasięg Wireless MESH WLAN 2300 Klienci IP, Telefony Bezprzewodowe VoWLAN Więcej Aplikacji IP Clients & VoWLAN Handsets 22xx Nortel MCS 5100/5200 integruje MULTIMEDIA w sieci WiFi oraz systemy pracy grupowej MCS Client Dual-Model Client 3100 Ten Sam telefon dla sieci VoWiFi i GSM Aplikacje skojarzone jak Ekahau RTLS czy IDS AirDefense
Pełna linia AP MP-371 Wewnętrzny 1 Radio a/b/g MP-372 AP2330 Wewnętrzny 2 Radio a/b/g MP-422 AP2332 Wewnętrzny 2 Radio a/b/g Mesh i Bridging MP-432 Wewnętrzny 2 Radio 3*3 MIMO a/b/g/n Mesh iBridging MP-620 Zewnętrzny 2 Radio a/b/g Mesh i Bridging
DZIĘKUJEMY Kontakt: net@comp-css.pl Tel: +48-22-5703930