NOWOCZESNE TECHNOLOGIE W SIECIACH WIFI Piotr Szczepanek + Artur Gmaj Pion Systemów Sieciowych
Wszechobecność Sieci WiFi Sieci Enterprise Sieci Operatorskie MESH lub WiMax Pojemność WiMAX WLAN MESH Zasięg WLAN MESH WiMAX Technologia 802.11 (Wi-Fi) 802.16 (WiMAX) Zastosowanie Wewnętrzne - Biura Zewnętrzne - otoczenie Głównie zewnętrzne Pasmo Licencjonowane Zastosowanie Operatorskie Hotspot PrePayed Sieci miejskie WiFi PrePayed lub Umowa Regionalne mobilne sieci szerokopasmowe
Rozwiązania WiFi Nortela Guest Access Lokalizacja i śledzenie Cellular / Wi-Fi Convergence Praca Grupowa Data RF Scanning & WIDPS Voice Multi-media Enterprise Wireless Solutions Development Rozwiązanie Zgodność Program Partnerski Serwis i Usługi WLAN Infrastructure Współpraca Jakość Certyfikacja Produktów Definicja wymagań Convergence Optimized LAN/WAN Ethernet Switch / Ethernet Routing Switch Secure Router Secure Network Access VPN Gateway
Co oznacza Scentralizowany Model WiFi Access Point jest kontrolowany przez … KONTROLER WLAN Management System (WMS) służy konfiguracji, zarządzaniu i planowaniu WMS 2300 WLAN Security Switch (WSS) 23XX Zarządza AP zarówno dołączonymi lokalnie jak i zdalnymi (np. przez WAN) WSS 23XX Control and Provisioning Protocol (CAPP) stanowi bezpieczną platformę komunikacji AP i Kontroler IP Network WSS 23XX PoE Switch WLAN Access Point (WAP) 23XX obsługuję radio A/B/G/N, zasilany jest z PoE i nawiązuje bezpieczne połączenie z kontrolerem. Każdy AP może pracować w architekturze HA WAP 23XX Wi-Fi KLIENT
Linia Produktów Biura Zdalne Średniej Wielkości Duże i Data Center WAP 2332* * Usprawnione RADIO * Local Traffic Forwarding WLE 2340 * Zintegrowany System Lokalizacji WAP 2330 * 802.11a/b/g * 2xFE WSS 2382* 32/64/96/128 APs 2 GE (SFP) No PoE Wydajność/Pojemność WSS 2380 WSS 2360/61 12 APs 8 FE 6 PoE 40/80/120 APs 4 GE (SFP) No PoE WSS 2350 3 APs 2 FE, 1 PoE Biura Zdalne Średniej Wielkości Duże i Data Center
WLAN Access Point 2330A/B Elastyczny Radio 802.11 a/b/g 802.3af PoE Opcjonalne Anteny Zewnętrzne Szeroki Zakres Pasma Niezawodność i Wydajność Automatyczny dobór kanałów i mocy Autostart QoS także po stronie radiowej Dwa porty Ethernet Bezpieczeństwo Szyfrowanie/DeSzyfrowanie Wykrywanie ataków i lokalizacja obcych Uchwyt KensingtonTM lock Brak dostępu do klucza prywatnego Dwa porty Ethernet Obudowa „maskująca” Zintegrowana antena Zewnętrzne Anteny 802.11 a/b/g Kensington lock
WLAN Access Point 2332 Pełna obsługa AP 2330A/B + Zwiększona wydajność Wewnątrz 802.11b/g 802.11a WSS 2382 ERS 2550T-PWR WAP 2332 Budynek Zdalny Zewnątrz Może działać jako bridge Elastyczność, elastyczność Cecha Nortel WAP 2332 Inni Podwójne 802.11a/b/g TAK P-MP Wireless Bridging NIE Dwa porty ethernet AirDefense Sensor Point Location Sensor Point Local traffic forwarding Pełna zgodność z WLAN 2300
AP: Local Traffic Forwarding WAP 2332 może transmitować ruchu z pominięciem Kontrolera WSS Jeśli Kontrole będzie wąskim gardłem Odciążenie Kontrolera Router Applications Markowanie QoS Skrócenie ścieżki WAP 2332 Scentralizowany Model Rozproszony Model Większa wydajność mniejsze opóźnienie
Kontrolery Scentralizowane Bezpieczeństwo 802.1X Odciążenie i akceleracja Generowanie i zarządzanie kluczami Filtry Dostępu Wykrywanie OBCYCH IDS WiFi Scentralizowane zarządzanie i QoS Konfiguracja AP Auto dobór moc/kanał Bezprzerwowy roaming QoS w/ 802.1P/DSCP Scentralizowane monitorowanie Statystyki RF Statystyki użycia 2350 2360 2361 2380 2382 2350 2360 2361 2380 2382 FE 2 8 - PoE 1 6 GigE 4 Max APs 3 12 120 128 Pwr Supp 2 (HS)
WLAN Managment System (WMS) Planowanie i Implementacja Dedykowane narzędzia do projektowania Zarządzanie GUI Konfiguracja i Weryfikacja Szablonów Konfiguracji Ładuje konfigurację do Kontrolera Monitorowanie i Raportowanie Per klient, radio, AP, WSS, VLAN Lokalizacja klienta i trasa (roaming) Grafy, Tabele, Raporty Wykrywanie OBCYCH Access Pointów, Klientów Ad-Hoc Lokalizacja Obcych i Klientów Wireless IDS Identyfikacja i analiza
Wiele Scenariuszy Implementacji Bezproblemowa integracja z istniejącą siecią LAN Łącza kablowe WMS WLAN AP 2330A WSS 2360 AP bezpośrednio dołączony do Kontrolera AP nie bezpośrednio dołączony do Kontrolera Połączenie HA poprzez dwa porty LAN AP nie bezpośrednio dołączony do Kontrolera przez switch z PoE Biuro Zdalne używające lokalnego, małego Kontrolera a c WSS 2360 WSS 2380 b d AAA Servers e Biuro Zdalne WSS 2350
Uwierzytelnienie i Szyfrowanie Implementacja NAJLEPSZYCH dziś standardów 802.11i/WPA/WPA2 Kryptografia implementowana w AP dla zwiększenia wydajności Polityki AAA Per Użytkownik Model Skalowalny Serwer Uwierzytelnienia WLAN Security Switch 2300 WLAN Access Point 2300 Kontroler jest proxy uwierzytelnienia zgodnie z 802.1x Podczas uwierzytelnienia, Kontroler pobiera atrybuty użytkownika z serwera AAA Kontroler tworzy profil użytkownika i dystrybuuje go na inne kontrolery w Systemie Profil użytkownika i polityka „wędruje” zgodnie z jego roamingiem
Identyfikacja Użytkownika Pracownik Znany ID Zarządzany Klient Identyfikacja w RADIUS Uwierzytelnienie 802.1x Indywidualne Uwierzytelnienie dla każdego użytkownika Indywidualna Polityka Bezpieczeństwa Pojedynczy SSID Zaufany Klient Znany ID Dowolny Klient Identyfikacja w RADIUS Web Authentication Gość -Nieznany ID -Dowolny Klient Utworzenie tymczasowego Login Web Authentication
Bezpieczeństwo i Wydajność Akceleracja 802.1x Kontroler jest Proxy AAA Zdejmuje z serwera AAA 90% sekwencji EAP EAP-TLS, PEAP, i EAP-MD5 Użytkownik dostrzega szybkie uwierzytelnienie i roaming Administrator nie musi rekonfigurować AAA dla mobilności A bez akceleracji 802.1X: Serwery AAA są obciążane każdą pełną sesją EAP Wolne uwierzytelnienie i roaming AAA Servers Router WSS 2300 WAP 2300 Bezpieczeństwo i Wydajność
NAC: Secure Network Access Wireless LAN 2300 Security Switches Distributed AP SNAS Farma Serwerów Zielone 192.168.2.205/24 ‘Passed Checks’ Żółte 192.168.2.140/24 ‘Failed Checks’ Czerwone 192.168.2.68/24 ‘Un-Verified’ Serwery Zapasowe Intranet DHCP Scope: 192.168.2.0/24 Czerwone: 192.168.2.65 - 126 Żółte: 192.168.2.129 - 190 ZIelone: 192.168.2.193 - 254 DHCP Relay Nowy użytkownik łączy się przez SNAS by uzyskać dane IP Poprzez PlugIn i TunnelGuard kontrolowana jest spoistość komputera klienta Status klienta i zakres dostępu zależny od jego profilu Passed = Pełny Dostęp Failed = Brak Dostępu Un-verified = Nie Możliwa Weryfikacja ACLs Realizowany przez Kontroler
Obcy AP: Ochrona Klientów WLAN Security Switch 2300 AP skanuje wszystkie kanały spektrum 2,4/5GHz Wykrycie Obcego AP Wykrycie Klasyfikacja Lokalizacja Alarm Zawartość Obcy AP Ad-hoc Obcy AP Uwierzytelniony Laptop Obcy Laptop Nie Uwierzytelniony laptop Obcy AP pozwala wprowadzić login i hasło do sieci WiFi Uwierzytelniony laptop stanowi ryzyko dla innych
! Bezprzewodowy IDS Wbudowana funkcjonalność podstawowego IDS WMS 2300 ! Technologia 802.11i lub VPN zapewnia uwierzytelnienie i bezpieczeństwo transmisji ale nie zapobiega atakom DoS Bezprzewodowy IDS zapobiega atakom na RADIO Wykrywa, loguje zdarzenia i powiadamia administratora Zakłócenia Radia i Interferencje Podszywanie się pod adres MAC Słabość kluczy WEP Przeciążanie/DoS WiFi Spoofing WSS 23XX Threat Employee
Zaawansowany bezprzewodowy IDS Zintegrowany najlepszy na rynku produkt specjalistyczny AP poprzez zmianę oprogramowania może pełnić rolę SONDY WiFi Ciągły Monitoring Informacje wysyłane do Korelatora AirDefense z Kontrolera AirDefense serwer analizuje informacje Wysyła trap SNMP do kontrolera w chwili wystąpienia alarmu Zidentyfikowane ponad 200 różnych alarmów WiFi WMS może pełnić rolę konsoli systemu AirDefense WMS Klient WMS Server AirDefense Server SNMP Traps Alarm Analiza Lokalizacja Śledzenie Intranet Wireless LAN 2300 Security Switches Distributed AP AirDefense Sensor
Pełna Niezawodność Architektury Systemu Zarządzania Architektura Systemu WMS Serwerów AAA Grupowanie RADIUS Load balancing Lokalny AAA jako zapas WLAN Kontroler (Security Switch) Agregacja połączeń Podwójne zasilacze i wentylatory Klaster Kontrolerów Access Point Dwa Porty Ethernet Pokrycie obszaru przez dwa AP Balansowanie klientami Zarządzanie Radiem AAA Servers WMS Servers WSS 2380 Router Router WSS 2360 WSS 2360 AP 2330A AP 2330A
Niezawodność: AP i Obszar Pokrycia WMS 2300 WSS 23XX Niezawodność połączenia kablowego Dynamiczna reakcja na zmianę mocy Radia Spójna sieć IP PoE Switch 1 2 3 4 5 6 WAP 23XX Komputer Laptop PDA Telefon Telefon IP
Niezawodność: Kontroler 1 2 WSS 23XX Kontroler HA w Data center AP Dual-homing zapobiega utracie połączenia w przypadku awarii Kontrolera, połączenia lub portu Spójna sieć IP 1 2 PoE Switch WAP 23XX Komputer Laptop PDA Telefon Telefon IP
Niezawodność: Połączenie do rdzenia sieci Kontroler agreguje połączenie typu UpLink do rdzenia sieci Spójna sieć IP 1 2 Layer 3 Switch WSS 23XX WAP 23XX Komputer Laptop PDA Telefon Telefon IP
Niezawodność: AAA 1 2 AAA Servers Spójna sieć IP Serwery AAA mogą być grupowane i balansowane przez Kontroler Layer 3 Switch Funkcjonalność AAA na Kontrolerze WSS 23XX AAA AAA WAP 23XX Laptop Komputer PDA Telefon Telefon IP
Skalowalność Scentralizowane Zarządzanie i Konfiguracja Monitorowanie użycia i Raporty Zintegrowane narzędzie planowania dla określonych wymagań AP typu Plug-and-Play Do 32 Kontrolerów w domenie (systemie) Kontroler w scentralizowanej architekturze Do 2382 Kontrolerów w Data Center Do 4096 AP AAA WMS WSS 2380 SIEĆ ERS WSS 2360
Rozwiązanie dla Biur Zdalnych Secure Router pozwala na transmisje danych i VoIP Mały i tani model WSS 2350 Pozwala na rozproszenie architektury sieci WiFi Wszystkie kontrolery mają te same właściwości Pełne zarządzanie z WMS Licencja na do 3 AP 1port PoE 1 port FE Uplink „Bezkonfiguracyjny” – wyślij/włącz/zadziała Nie wymaga inżyniera na miejscy by uruchomić usługę WSS 2350 L2 Switch Secure Router WLAN AP 2300 BIURO ZDALNE
QoS – Spectralink Voice Prioritization (SVP) „Producencki” standard realizacji QoS na sieci WiFi ale NAJPOPULARNIEJSZY Np. Z telefonami Nortel 222x Zalecany WLAN Telephony Manager 2245 Kontrola Połączeń Limitowanie połączeń głosowych per AP Optymalizacja Zarządza stanem dla oszczędzania baterii telefonów przenośnych Kolejkowanie Rezerwuje zasoby AP Centrala Telefoniczna CS 1000, Meridian, BCM WLAN Telephony Manager 2245 DiffServ WSS 2300 WLAN AP 2300 SVP WLAN Handset 22xx
QoS – Wi-Fi Multi-Media (WMM) Standard QoS (wprowadzony niedawno) WMM jest tworem Wi-Fi Alliance wykorzystanym do opracowania standardu IEEE 802.11e Kontrola Połączeń (WMM-SA) Aplikacja informuje o oczekiwaniach co do zasobów sieci WiFi (Tspec) np..Pasmo, opóźnienia itp.. Optymalizacja (WMM-PowerSave) AP buforuje dane Packet Prioritization (WMM) Wielopoziomowe kolejkowanie QoS Centrala Telefoniczna CS 1000, Meridian, BCM DiffServ WSS 2300 WLAN AP 2300 WMM Laptop PDA IP Phone 1535
Mobilność Użytkowników Dostępność dowolnych podsieci JAN VLAN = NIEBIESKI KASIA VLAN =CZERWONY Przewodowe sieci nie są mobilne Segmenty sieci są STAŁE Dostęp do Segmentu poprzez wskazane gniazdo Kontrolery tworzą tunele w celu wymiany danych od autoryzowanych użytkowników do aplikacji bez względu na lokalizację w domenie NIEBIESKI SEGMENT CZERWONY SEGMENT AAA JAN KASIA Inter-Switch Tunnel JAN dostaje się po autoryzacji do pożądanego segmentu sieci KASIA odwiedza JANA i chce się dostać do swojego segmentu sieci we własnym Biurze Inter-switch tunnel zapewnia ścieżkę dla KASI do własnej sieci zdalnie
Dostęp dla GOŚCI Bezpieczne i Łatwe wejście do sieci dla użytkowników czasowych Łatwy w obsłudze szablon do generowania BILETÓW DO SIECI Wygasa automatycznie Każdy ID ma dowiązany profile security VLAN/PodSieć Lista Dostępu Czas Dostępu Wskazane lokalizacje Logowanie użycia Tunelowanie Dowiązuje Gości do np. DMZ Zapobiega jakiejkolwiek wewnętrznej komunikacji pomiędzy GOŚĆMI Guest PASS
Lokalizacja na Mapie- Ekahau Usługa Lokalizacji Lokalizacja na Mapie- Ekahau Application (eg. Locating/Tracking) Aplikacja do Śledzenia Położenia Aplikacja śledząca pokrycie obszaru Architektura Klient/Serwer Dowolny WiFi Duża dokładność lokalizacji TAGi Ekahau Klient Ekahau System monitorowania z interfejsem GUI dla Operatora a nie Administratora WMS posiada moduł lokalizacji Obcych dla Administratorów sieci WiFi Co można śledzić Ludzi Dobra Inwentaryzacja Urządzenia WiFi Interfejs API dla innych aplikacji “ “ John is here” Dr J. House X X X X Ekahau RTLS Server Infusion pump WSS 2300 Laptop PDA Asset Tag Asset Tag
IP Clients & VoWLAN Handsets 22xx Rozwój Produktów WiFi Przełączniki LAN wspierające PoE dla AP ERS5520 Nortel VPN Gateway dla dostępu do zdalnych sieci i HOTSPOTów VPN Gateway 3050/3070 Wireless Mesh Network (WMN) rozszerza obszar pokrycia do skali miejskiej Dalszy Zasięg Wireless MESH WLAN 2300 Więcej Aplikacji Klienci IP, Telefony Bezprzewodowe VoWLAN IP Clients & VoWLAN Handsets 22xx Nortel MCS 5100/5200 integruje MULTIMEDIA w sieci WiFi oraz systemy pracy grupowej MCS Client Dual-Model Client 3100 Ten Sam telefon dla sieci VoWiFi i GSM Aplikacje skojarzone jak Ekahau RTLS czy IDS AirDefense
Porównanie IEEE 802.11 A / B / G / N 802.11n (2H08) Zgodność z…. 802.11b,g 802.11a,b,g,n Liczba kanałów 3 niezależne Do 24 niezależnych Analogicznie do 802.11 a/b/g Zasięg wewnątrz 40m – 100m Oczekuje się zwiększenia zasięgu 2*[802.11a/b/g] Zasięg na zewnątrz 150m – 500m 100m – 300m Dalszy niż 802.11a/b/g Prędkość dowiązania 11, 5.5, 2 i 1 Mbps 54, 48, 36, 24, 18, 12, 9, i 6 Mbps 54, 48, 36, 24, 18, 12, 8, i 6 Mbps do 600 Mbps Technologia DSSS, 2.4 GHz OFDM, 2.4 GHz OFDM, 5 GHz OFDM, MIMO in 2.4 and/or 5 GHz
Pełna linia AP MP-620 Zewnętrzny 2 Radio a/b/g Mesh i Bridging MP-371 Wewnętrzny 1 Radio a/b/g MP-372 AP2330 Wewnętrzny 2 Radio a/b/g MP-422 AP2332 Wewnętrzny 2 Radio a/b/g Mesh i Bridging MP-432 Wewnętrzny 2 Radio 3*3 MIMO a/b/g/n Mesh iBridging MP-620 Zewnętrzny 2 Radio a/b/g Mesh i Bridging
Kontakt: net@comp-css.pl Tel: +48-22-5703930 DZIĘKUJEMY Kontakt: net@comp-css.pl Tel: +48-22-5703930