NOWOCZESNE TECHNOLOGIE W SIECIACH WIFI

Prezentacja na temat: "NOWOCZESNE TECHNOLOGIE W SIECIACH WIFI"— Zapis prezentacji:

1

2 NOWOCZESNE TECHNOLOGIE W SIECIACH WIFI
Piotr Szczepanek + Artur Gmaj Pion Systemów Sieciowych

3 Wszechobecność Sieci WiFi
Sieci Enterprise Sieci Operatorskie MESH lub WiMax Pojemność WiMAX WLAN MESH Zasięg WLAN MESH WiMAX Technologia (Wi-Fi) (WiMAX) Zastosowanie Wewnętrzne - Biura Zewnętrzne - otoczenie Głównie zewnętrzne Pasmo Licencjonowane Zastosowanie Operatorskie Hotspot PrePayed Sieci miejskie WiFi PrePayed lub Umowa Regionalne mobilne sieci szerokopasmowe

4 Rozwiązania WiFi Nortela
Guest Access Lokalizacja i śledzenie Cellular / Wi-Fi Convergence Praca Grupowa Data RF Scanning & WIDPS Voice Multi-media Enterprise Wireless Solutions Development Rozwiązanie Zgodność Program Partnerski Serwis i Usługi WLAN Infrastructure Współpraca Jakość Certyfikacja Produktów Definicja wymagań Convergence Optimized LAN/WAN Ethernet Switch / Ethernet Routing Switch Secure Router Secure Network Access VPN Gateway

5 Co oznacza Scentralizowany Model WiFi
Access Point jest kontrolowany przez … KONTROLER WLAN Management System (WMS) służy konfiguracji, zarządzaniu i planowaniu WMS 2300 WLAN Security Switch (WSS) 23XX Zarządza AP zarówno dołączonymi lokalnie jak i zdalnymi (np. przez WAN) WSS 23XX Control and Provisioning Protocol (CAPP) stanowi bezpieczną platformę komunikacji AP i Kontroler IP Network WSS 23XX PoE Switch WLAN Access Point (WAP) 23XX obsługuję radio A/B/G/N, zasilany jest z PoE i nawiązuje bezpieczne połączenie z kontrolerem. Każdy AP może pracować w architekturze HA WAP 23XX Wi-Fi KLIENT

6 Linia Produktów Biura Zdalne Średniej Wielkości Duże i Data Center
WAP 2332* * Usprawnione RADIO * Local Traffic Forwarding WLE 2340 * Zintegrowany System Lokalizacji WAP 2330 * a/b/g * 2xFE WSS 2382* 32/64/96/128 APs 2 GE (SFP) No PoE Wydajność/Pojemność WSS 2380 WSS 2360/61 12 APs 8 FE 6 PoE 40/80/120 APs 4 GE (SFP) No PoE WSS 2350 3 APs 2 FE, 1 PoE Biura Zdalne Średniej Wielkości Duże i Data Center

7 WLAN Access Point 2330A/B Elastyczny Radio 802.11 a/b/g 802.3af PoE
Opcjonalne Anteny Zewnętrzne Szeroki Zakres Pasma Niezawodność i Wydajność Automatyczny dobór kanałów i mocy Autostart QoS także po stronie radiowej Dwa porty Ethernet Bezpieczeństwo Szyfrowanie/DeSzyfrowanie Wykrywanie ataków i lokalizacja obcych Uchwyt KensingtonTM lock Brak dostępu do klucza prywatnego Dwa porty Ethernet Obudowa „maskująca” Zintegrowana antena Zewnętrzne Anteny a/b/g Kensington lock

8 WLAN Access Point 2332 Pełna obsługa AP 2330A/B + Zwiększona wydajność
Wewnątrz 802.11b/g 802.11a WSS 2382 ERS 2550T-PWR WAP 2332 Budynek Zdalny Zewnątrz Może działać jako bridge Elastyczność, elastyczność Cecha Nortel WAP 2332 Inni Podwójne a/b/g TAK P-MP Wireless Bridging NIE Dwa porty ethernet AirDefense Sensor Point Location Sensor Point Local traffic forwarding Pełna zgodność z WLAN 2300

9 AP: Local Traffic Forwarding
WAP 2332 może transmitować ruchu z pominięciem Kontrolera WSS Jeśli Kontrole będzie wąskim gardłem Odciążenie Kontrolera Router Applications Markowanie QoS Skrócenie ścieżki WAP 2332 Scentralizowany Model Rozproszony Model Większa wydajność mniejsze opóźnienie

10 Kontrolery Scentralizowane Bezpieczeństwo
802.1X Odciążenie i akceleracja Generowanie i zarządzanie kluczami Filtry Dostępu Wykrywanie OBCYCH IDS WiFi Scentralizowane zarządzanie i QoS Konfiguracja AP Auto dobór moc/kanał Bezprzerwowy roaming QoS w/ 802.1P/DSCP Scentralizowane monitorowanie Statystyki RF Statystyki użycia 2350 2360 2361 2380 2382 2350 2360 2361 2380 2382 FE 2 8 - PoE 1 6 GigE 4 Max APs 3 12 120 128 Pwr Supp 2 (HS)

11 WLAN Managment System (WMS)
Planowanie i Implementacja Dedykowane narzędzia do projektowania Zarządzanie GUI Konfiguracja i Weryfikacja Szablonów Konfiguracji Ładuje konfigurację do Kontrolera Monitorowanie i Raportowanie Per klient, radio, AP, WSS, VLAN Lokalizacja klienta i trasa (roaming) Grafy, Tabele, Raporty Wykrywanie OBCYCH Access Pointów, Klientów Ad-Hoc Lokalizacja Obcych i Klientów Wireless IDS Identyfikacja i analiza

12 Wiele Scenariuszy Implementacji
Bezproblemowa integracja z istniejącą siecią LAN Łącza kablowe WMS WLAN AP 2330A WSS 2360 AP bezpośrednio dołączony do Kontrolera AP nie bezpośrednio dołączony do Kontrolera Połączenie HA poprzez dwa porty LAN AP nie bezpośrednio dołączony do Kontrolera przez switch z PoE Biuro Zdalne używające lokalnego, małego Kontrolera a c WSS 2360 WSS 2380 b d AAA Servers e Biuro Zdalne WSS 2350

13 Uwierzytelnienie i Szyfrowanie
Implementacja NAJLEPSZYCH dziś standardów 802.11i/WPA/WPA2 Kryptografia implementowana w AP dla zwiększenia wydajności Polityki AAA Per Użytkownik Model Skalowalny Serwer Uwierzytelnienia WLAN Security Switch 2300 WLAN Access Point 2300 Kontroler jest proxy uwierzytelnienia zgodnie z 802.1x Podczas uwierzytelnienia, Kontroler pobiera atrybuty użytkownika z serwera AAA Kontroler tworzy profil użytkownika i dystrybuuje go na inne kontrolery w Systemie Profil użytkownika i polityka „wędruje” zgodnie z jego roamingiem

14 Identyfikacja Użytkownika
Pracownik Znany ID Zarządzany Klient Identyfikacja w RADIUS Uwierzytelnienie 802.1x Indywidualne Uwierzytelnienie dla każdego użytkownika Indywidualna Polityka Bezpieczeństwa Pojedynczy SSID Zaufany Klient Znany ID Dowolny Klient Identyfikacja w RADIUS Web Authentication Gość -Nieznany ID -Dowolny Klient Utworzenie tymczasowego Login Web Authentication

15 Bezpieczeństwo i Wydajność
Akceleracja 802.1x Kontroler jest Proxy AAA Zdejmuje z serwera AAA 90% sekwencji EAP EAP-TLS, PEAP, i EAP-MD5 Użytkownik dostrzega szybkie uwierzytelnienie i roaming Administrator nie musi rekonfigurować AAA dla mobilności A bez akceleracji X: Serwery AAA są obciążane każdą pełną sesją EAP Wolne uwierzytelnienie i roaming AAA Servers Router WSS 2300 WAP 2300 Bezpieczeństwo i Wydajność

16 NAC: Secure Network Access
Wireless LAN 2300 Security Switches Distributed AP SNAS Farma Serwerów Zielone /24 ‘Passed Checks’ Żółte /24 ‘Failed Checks’ Czerwone /24 ‘Un-Verified’ Serwery Zapasowe Intranet DHCP Scope: /24 Czerwone: Żółte: ZIelone: DHCP Relay Nowy użytkownik łączy się przez SNAS by uzyskać dane IP Poprzez PlugIn i TunnelGuard kontrolowana jest spoistość komputera klienta Status klienta i zakres dostępu zależny od jego profilu Passed = Pełny Dostęp Failed = Brak Dostępu Un-verified = Nie Możliwa Weryfikacja ACLs Realizowany przez Kontroler

17 Obcy AP: Ochrona Klientów
WLAN Security Switch 2300 AP skanuje wszystkie kanały spektrum 2,4/5GHz Wykrycie Obcego AP Wykrycie Klasyfikacja Lokalizacja Alarm Zawartość Obcy AP Ad-hoc Obcy AP Uwierzytelniony Laptop Obcy Laptop Nie Uwierzytelniony laptop Obcy AP pozwala wprowadzić login i hasło do sieci WiFi Uwierzytelniony laptop stanowi ryzyko dla innych

18 ! Bezprzewodowy IDS Wbudowana funkcjonalność podstawowego IDS
WMS 2300 ! Technologia i lub VPN zapewnia uwierzytelnienie i bezpieczeństwo transmisji ale nie zapobiega atakom DoS Bezprzewodowy IDS zapobiega atakom na RADIO Wykrywa, loguje zdarzenia i powiadamia administratora Zakłócenia Radia i Interferencje Podszywanie się pod adres MAC Słabość kluczy WEP Przeciążanie/DoS WiFi Spoofing WSS 23XX Threat Employee

19 Zaawansowany bezprzewodowy IDS
Zintegrowany najlepszy na rynku produkt specjalistyczny AP poprzez zmianę oprogramowania może pełnić rolę SONDY WiFi Ciągły Monitoring Informacje wysyłane do Korelatora AirDefense z Kontrolera AirDefense serwer analizuje informacje Wysyła trap SNMP do kontrolera w chwili wystąpienia alarmu Zidentyfikowane ponad 200 różnych alarmów WiFi WMS może pełnić rolę konsoli systemu AirDefense WMS Klient WMS Server AirDefense Server SNMP Traps Alarm Analiza Lokalizacja Śledzenie Intranet Wireless LAN 2300 Security Switches Distributed AP AirDefense Sensor

20 Pełna Niezawodność Architektury
Systemu Zarządzania Architektura Systemu WMS Serwerów AAA Grupowanie RADIUS Load balancing Lokalny AAA jako zapas WLAN Kontroler (Security Switch) Agregacja połączeń Podwójne zasilacze i wentylatory Klaster Kontrolerów Access Point Dwa Porty Ethernet Pokrycie obszaru przez dwa AP Balansowanie klientami Zarządzanie Radiem AAA Servers WMS Servers WSS 2380 Router Router WSS 2360 WSS 2360 AP 2330A AP 2330A

21 Niezawodność: AP i Obszar Pokrycia
WMS 2300 WSS 23XX Niezawodność połączenia kablowego Dynamiczna reakcja na zmianę mocy Radia Spójna sieć IP PoE Switch 1 2 3 4 5 6 WAP 23XX Komputer Laptop PDA Telefon Telefon IP

22 Niezawodność: Kontroler
1 2 WSS 23XX Kontroler HA w Data center AP Dual-homing zapobiega utracie połączenia w przypadku awarii Kontrolera, połączenia lub portu Spójna sieć IP 1 2 PoE Switch WAP 23XX Komputer Laptop PDA Telefon Telefon IP

23 Niezawodność: Połączenie do rdzenia sieci
Kontroler agreguje połączenie typu UpLink do rdzenia sieci Spójna sieć IP 1 2 Layer 3 Switch WSS 23XX WAP 23XX Komputer Laptop PDA Telefon Telefon IP

24 Niezawodność: AAA 1 2 AAA Servers Spójna sieć IP Serwery AAA mogą być grupowane i balansowane przez Kontroler Layer 3 Switch Funkcjonalność AAA na Kontrolerze WSS 23XX AAA AAA WAP 23XX Laptop Komputer PDA Telefon Telefon IP

25 Skalowalność Scentralizowane Zarządzanie i Konfiguracja
Monitorowanie użycia i Raporty Zintegrowane narzędzie planowania dla określonych wymagań AP typu Plug-and-Play Do 32 Kontrolerów w domenie (systemie) Kontroler w scentralizowanej architekturze Do 2382 Kontrolerów w Data Center Do 4096 AP AAA WMS WSS 2380 SIEĆ ERS WSS 2360

26 Rozwiązanie dla Biur Zdalnych
Secure Router pozwala na transmisje danych i VoIP Mały i tani model WSS 2350 Pozwala na rozproszenie architektury sieci WiFi Wszystkie kontrolery mają te same właściwości Pełne zarządzanie z WMS Licencja na do 3 AP 1port PoE 1 port FE Uplink „Bezkonfiguracyjny” – wyślij/włącz/zadziała Nie wymaga inżyniera na miejscy by uruchomić usługę WSS 2350 L2 Switch Secure Router WLAN AP 2300 BIURO ZDALNE

27 QoS – Spectralink Voice Prioritization (SVP)
„Producencki” standard realizacji QoS na sieci WiFi ale NAJPOPULARNIEJSZY Np. Z telefonami Nortel 222x Zalecany WLAN Telephony Manager 2245 Kontrola Połączeń Limitowanie połączeń głosowych per AP Optymalizacja Zarządza stanem dla oszczędzania baterii telefonów przenośnych Kolejkowanie Rezerwuje zasoby AP Centrala Telefoniczna CS 1000, Meridian, BCM WLAN Telephony Manager 2245 DiffServ WSS 2300 WLAN AP 2300 SVP WLAN Handset 22xx

28 QoS – Wi-Fi Multi-Media (WMM)
Standard QoS (wprowadzony niedawno) WMM jest tworem Wi-Fi Alliance wykorzystanym do opracowania standardu IEEE e Kontrola Połączeń (WMM-SA) Aplikacja informuje o oczekiwaniach co do zasobów sieci WiFi (Tspec) np..Pasmo, opóźnienia itp.. Optymalizacja (WMM-PowerSave) AP buforuje dane Packet Prioritization (WMM) Wielopoziomowe kolejkowanie QoS Centrala Telefoniczna CS 1000, Meridian, BCM DiffServ WSS 2300 WLAN AP 2300 WMM Laptop PDA IP Phone 1535

29 Mobilność Użytkowników
Dostępność dowolnych podsieci JAN VLAN = NIEBIESKI KASIA VLAN =CZERWONY Przewodowe sieci nie są mobilne Segmenty sieci są STAŁE Dostęp do Segmentu poprzez wskazane gniazdo Kontrolery tworzą tunele w celu wymiany danych od autoryzowanych użytkowników do aplikacji bez względu na lokalizację w domenie NIEBIESKI SEGMENT CZERWONY SEGMENT AAA JAN KASIA Inter-Switch Tunnel JAN dostaje się po autoryzacji do pożądanego segmentu sieci KASIA odwiedza JANA i chce się dostać do swojego segmentu sieci we własnym Biurze Inter-switch tunnel zapewnia ścieżkę dla KASI do własnej sieci zdalnie

30 Dostęp dla GOŚCI Bezpieczne i Łatwe wejście do sieci dla użytkowników czasowych Łatwy w obsłudze szablon do generowania BILETÓW DO SIECI Wygasa automatycznie Każdy ID ma dowiązany profile security VLAN/PodSieć Lista Dostępu Czas Dostępu Wskazane lokalizacje Logowanie użycia Tunelowanie Dowiązuje Gości do np. DMZ Zapobiega jakiejkolwiek wewnętrznej komunikacji pomiędzy GOŚĆMI Guest PASS

31 Lokalizacja na Mapie- Ekahau
Usługa Lokalizacji Lokalizacja na Mapie- Ekahau Application (eg. Locating/Tracking) Aplikacja do Śledzenia Położenia Aplikacja śledząca pokrycie obszaru Architektura Klient/Serwer Dowolny WiFi Duża dokładność lokalizacji TAGi Ekahau Klient Ekahau System monitorowania z interfejsem GUI dla Operatora a nie Administratora WMS posiada moduł lokalizacji Obcych dla Administratorów sieci WiFi Co można śledzić Ludzi Dobra Inwentaryzacja Urządzenia WiFi Interfejs API dla innych aplikacji “ “ John is here” Dr J. House X X X X Ekahau RTLS Server Infusion pump WSS 2300 Laptop PDA Asset Tag Asset Tag

32 IP Clients & VoWLAN Handsets 22xx
Rozwój Produktów WiFi Przełączniki LAN wspierające PoE dla AP ERS5520 Nortel VPN Gateway dla dostępu do zdalnych sieci i HOTSPOTów VPN Gateway 3050/3070 Wireless Mesh Network (WMN) rozszerza obszar pokrycia do skali miejskiej Dalszy Zasięg Wireless MESH WLAN 2300 Więcej Aplikacji Klienci IP, Telefony Bezprzewodowe VoWLAN IP Clients & VoWLAN Handsets 22xx Nortel MCS 5100/5200 integruje MULTIMEDIA w sieci WiFi oraz systemy pracy grupowej MCS Client Dual-Model Client 3100 Ten Sam telefon dla sieci VoWiFi i GSM Aplikacje skojarzone jak Ekahau RTLS czy IDS AirDefense

33 Porównanie IEEE 802.11 A / B / G / N
802.11n (2H08) Zgodność z…. 802.11b,g 802.11a,b,g,n Liczba kanałów 3 niezależne Do 24 niezależnych Analogicznie do a/b/g Zasięg wewnątrz 40m – 100m Oczekuje się zwiększenia zasięgu 2*[802.11a/b/g] Zasięg na zewnątrz 150m – 500m 100m – 300m Dalszy niż a/b/g Prędkość dowiązania 11, 5.5, 2 i 1 Mbps 54, 48, 36, 24, 18, 12, 9, i 6 Mbps 54, 48, 36, 24, 18, 12, 8, i 6 Mbps do 600 Mbps Technologia DSSS, 2.4 GHz OFDM, 2.4 GHz OFDM, 5 GHz OFDM, MIMO in 2.4 and/or 5 GHz

34 Pełna linia AP MP-620 Zewnętrzny 2 Radio a/b/g Mesh i Bridging MP-371
Wewnętrzny 1 Radio a/b/g MP-372 AP2330 Wewnętrzny 2 Radio a/b/g MP-422 AP2332 Wewnętrzny 2 Radio a/b/g Mesh i Bridging MP-432 Wewnętrzny 2 Radio 3*3 MIMO a/b/g/n Mesh iBridging MP-620 Zewnętrzny 2 Radio a/b/g Mesh i Bridging

35 Kontakt: net@comp-css.pl Tel: +48-22-5703930
DZIĘKUJEMY Kontakt: Tel: