Projekt techniczny. System dostępu radiowego WLAN dla kolejowych i drogowych przejść granicznych w Placówkach Straży Granicznej:

Transkrypt

1 Projekt techniczny System dostępu radiowego WLAN dla kolejowych i drogowych przejść granicznych w Placówkach Straży Granicznej: 1. Drogowym PG w Grzechotkach 2. Drogowym PG w Terespolu (część wjazdowa na terytorium RP) 3. Kolejowym PG w Kuźnicy 4. Kolejowym PG w Terespolu Wersja 2.0 / 3.0/ czerwiec 2009 / 15 kwiecień 2011/ 20 wrzesień

2 1.1. Historia zmian Data tej wersji dokumentu: Numer Data wersji Podsumowanie zmian Uwagi wersji r. Zmiany wprowadzono w załączniku nr 1 Zmiany dotyczą ograniczenia dokonywania odprawy granicznej jedynie do terenu odprawy osobowej oraz wprowadzenia nowszych urządzeń AP 3.o 15.04,2011 r. Zmiany wprowadzono w dokumencie Zmiany dotyczą aktualnej struktury Centralnego Węzła Teleinformatycznego Straży Granicznej oraz infrastruktury sieciowej w Oddziałach i Placówkach SG R. Zmiany wprowadzono w dokumencie Ograniczono liczbę placówek do 4, w tym dwa PK i dwa PD 1.2. Dystrybucja Niniejszy Dokument został przekazany następującym osobom: Osoba 1

3 Spis treści 1. Wstęp Podstawa dokumentu Zakres projektu i struktura dokumentu Istniejąca infrastruktura klienta Sieć WAN Infrastruktura sieciowa na przejściu granicznym Architektura rozwiązania QoS Konfiguracja QoS dla 2800/ Telefonia IP Architektura nowego klastra CUCM Mechanizm kontroli pasma Systemy i mechanizmy bezpieczeństwa Wymagania dla sieci radiowej Opis badanych obszarów Nadmiarowość pokrycia obszarów Siła sygnału Projekt granic obszaru Wdrożenie standardu b/g/ Wdrożenie standardu a Pojemność obszaru zasięgu punktu dostępowego Dynamic Transmit Power Control (DTPC) Interferencje Rozmieszczenie anten, rozchodzenie sygnału WLAN Wymagane pasmo zagregowane i per-użytkownik Nadmiarowość zasięgu pracy fal radiowych

4 4. Pomiary propagacji fal radiowych Metodologia pomiarów Urządzenia wykorzystane przy pomiarach Cisco Aironet 1140 Series Access Point Cisco Aironet 1522 Lightweight Outdoor Mesh Access Point Karta Cisco Spectrum Expert Oprogramowanie Airmagnet Site Survey, karta Cisco AIR-CB21AG-E-K Pozostałe elementy zestawu pomiarowego Procedura pomiarowa Kryteria oceny jakości propagacji fal radiowych Projekt warstwy logicznej systemu WLAN System dostępu radiowego WLAN Topologia warstwy logicznej sieci WLAN Redundancja (high availability) Kontrolery Wireless LAN Controller Punkty dostępowe, zasilanie punktów dostępowych Podłączenie do sieci LAN Punkty dostępowe wewnętrzne Punkty dostępowe zewnętrzne Planowana struktura serwerów autentykacji Konfiguracja urządzeń WLAN jako użytkowników (user) Konfiguracja urządzeń typu AAA client Konfiguracja protokołów Autentykacji Replikacja danych pomiędzy serwerami Pozostałe możliwości konfiguracji Adresacja IP Sieci WLAN

5 5.7. Adresacja IP i sieci VLAN Infrastruktura WLAN - VLAN Sieci VoIP, vlan Sieci VoIP, vlany Konfiguracja kontrolerów WLC Konfiguracja radia a/b/g/n Autentykacja lokalna SSID VP, VP1, VP2, VP3, VP QoS Redundancja punktów dostępowych Konfiguracja sieci MESH Bezpieczeństwo sieci WLAN System wykrywania ataków WLAN Model wdrożenia wips w Straży Granicznej Oszacowanie pasma Punkty dostępowe w trybie monitor Zasięg punktu dostępowego w trybie monitor Zaplanowane punkty dostępowe wips Adresacja IP Funkcja Rogue Detector Rozbudowa telefonii IP o telefony bezprzewodowe Wybór modelu telefonu IP Uruchomienie w systemie telefonii IP Mechanizmy kontroli ilości połączeń telefonicznych Mechanizmy QoS dla obsługi ruchu VoWLAN Numeracja telefoniczna Rozbudowa Portala wideo SG

6 8.1. Kamery IP Kamera AXIS 215 PTZ Przykładowe obudowy dla kamer typu AXIS 215 PTZ Integracja obrazu z kamer z Portalem wideo SG Integracja z siecią LAN Aktualny system sieciowy placówki Konfiguracja warstwy L Aktualna topologia sieci LAN Włączenie WLAN do sieci LAN Integracja z systemami bezpieczeństwa Integracja z systemem IPS Integracja z zarządzaniem incydentami Cisco MARS

7 1. Wstęp 1.1. Podstawa dokumentu Niniejszy projekt powstał na podstawie umowy podpisanej pomiędzy Komendą Główną Straży Granicznej a firmą Sygnity SA, w wyniku postępowaniu nr 3/ZP/BŁiI/09, z 13 lutego 2009 roku Rozbudowa i utrzymanie platformy teleinformatycznej Straży Granicznej Zaprojektowanie sieci WLAN w placówkach Straży Granicznej. Zmiany zostały wprowadzone przez Zespoły powołane Decyzjami Dyrektora Biura Łączności i Informatyki Komendy Głównej Straży Granicznej pod przewodnictwem ppłk. SG Janusza Sidorowicza na podstawie przeprowadzonych rekonesansów poszczególnych przejść granicznych, analizy potrzeb w zakresie odprawy granicznej oraz zmian w zakresie infrastruktury sieciowej Straży Granicznej Zakres projektu i struktura dokumentu Dokument zawiera projekt systemu dostępu radiowego WLAN, rozbudowy telefonii IP, uruchomienia PTT oraz systemu zarządzania systemem radiowym na przejściach granicznych. Projekt obejmuje zakres wykonania dokumentacji dla różnych placówek, ale z oczywistych względów zakłada jednorodność środowiska pod kątem sprzętowym i konfiguracji. Powoduje to że znaczna część informacji zawartej w projekcie ma charakter ogólny i odnosi się do wszystkich placówek, dlatego też została wydzielona jako Część ogólna. Informacje, które dotyczą tylko konkretnych placówek zostały przesunięte do odpowiednich Załączników. Projekt podzielony jest na części: a) Cześć ogólna, która zawiera informacje odnoszące się do wszystkich placówek Straży Granicznej objętych projektem a także ich macierzystych Oddziałów SG oraz Centralnego Węzła Telekomunikacyjnego SG. Cześć ogólna zawiera między innymi: opis architektury systemu, ogólny projekt warstwy logicznej systemu WLAN, wraz ze sposobem przyłączenia do istniejącej w placówce sieci LAN i integracji z innymi systemami Zamawiającego, opis rozbudowy telefonii o bezprzewodowe telefony IP, projekt integracji z używanymi w placówce systemami ochrony sieci, 6

8 zestawienie listy wymaganych szkoleń dla kadry inżynierskiej Zamawiającego, która będzie eksploatować system WLAN po implementacji; b) Załączniki nr 1do 4 Pomiary i plan instalacji sprzętu w placówce SG, zawierający informacje odnoszące się tylko do danej konkretnej placówki objętej projektem i zawiera: raport z badań warunków propagacji sygnałów radiowych WLAN w placówce Straży Granicznej, wykonanych w kwietniu i maju 2009 roku wraz z planem pokrycia radiowego terenu przejścia granicznego, który powstał na podstawie przeprowadzonych pomiarów projekt rozbudowy sieci LAN pozwalający na przyłączenie planowanych urządzeń w danej placówce zaprojektowanie kamery IP w palcówkach SG, pozwalające na zdalną obserwację ruchu pojazdów i ludzi na przejściu granicznym. zestawienie urządzeń, materiałów i prac koniecznych do wykonanie w danej placówce 7

9 2. Istniejąca infrastruktura klienta 2.1. Sieć WAN Sieć WAN Straży Granicznej jest oparta o usługę IP VPN dostarczaną przez operatora sieci MPLS. Sieć operatorska IP/MPLS umożliwia połączenie lokalizacji klienta w wydzieloną strukturę logiczną w warstwie trzeciej. Technologia zapewnia odpowiednie bezpieczeństwo, obsługę QoS, skalowalność oraz elastyczne podejście do wymagań klienta w zakresie topologii, na przykład możliwości wzajemnego przenikania informacji z różnych VPN-ów. Dołączenie kolejnych lokalizacji ogranicza się do zapewnienia łącza dostępowego i skonfigurowania połączenia router PE (Provider Edge) router CE (Customer Edge). Usługa operatorska w każdej lokalizacji typu WK jest zakończona routerem CE z portem Ethernet 100Mb/s. W przypadku lokalizacji typu OSG ze względów niezawodnościowych operator zainstalował dwa routery CE, które dołączone są do dwóch różnych routerów PE. Styk CE router Straży Granicznej w lokalizacji OSG jest realizowany przy pomocy elektrycznych portów 10/100/1000Mb/s. Węzeł centralny w CWT, będący krytycznym elementem sieci jest dołączony do dwóch routerów CE z portami optycznymi GigabitEthernet o przepustowości 1Gb/s. Na styku router SG router CE operatora został skonfigurowany dynamiczny protokół routingu, zapewniający wymianę informacji routingowej w sieci. OSG CWT MPLS CE MPLS CE MPLS CE MPLS VPN MPLS CE WK MPLS CE WK Routery SG Routery MPLS CE operatora Dla zapewnienia łączności w ramach systemu telefonii i wideo konferencji IP, dla którego wymagana jest bezpośrednia komunikacja pomiędzy dowolnymi jednostkami WK, OSG i CWT, transmisja pakietów głosowych i wideo odbywa się bezpośrednio poprzez strukturę sieci IP VPN (poza szyfrowanymi tunelami 8

10 WK-CWT i WK-OSG), zapewniającej naturalną komunikację typu każdy z każdym. Sygnalizacja dla systemu telefonii IP (np. Call Manager telefon IP) jest przesyłana poprzez szyfrowane tunele GRE. W przypadku transmisji danych w ramach sieci Intranet SG, której charakter jest scentralizowany a z drugiej strony wymagana jest poufność, zdefiniowano tunele GRE z szyfrowaniem transmisji. Tunele te zapewniają komunikację z WK bezpośrednio do CWT oraz do OSG. Lokalizacje typu OSG są dołączone tunelami do CWT. W przypadku sieci typu Extranet, które powinny zostać logicznie oddzielone od sieci Intranet SG, tunele zostały dodatkowo umieszczone w oddzielnych wirtualnych instancjach (VRF-ach), zapewniających separację na poziomie warstwy IP. W przypadku separowanej sieci dostępu do Internetu zdefiniowano jedynie tunele WK-CWT i OSG-CWT, których drugi koniec został za terminowany na routerze w bloku CPSI, stanowiącym centralny punkt styku z Internetem. Sieć dostępu do Internetu została umieszczona w oddzielnym VRF-ie, co zapewnia separację od sieci Intranet SG Infrastruktura sieciowa na przejściu granicznym Infrastruktura sieciowa na przejściu granicznym może obejmować: router Cisco serii 2800/3800, który jest punktem styku między siecią LAN oraz WAN na placówkach, firewall wyposażone w moduły AIM-IPS, akceleratory aplikacji WAAS, który służy do kompresji danych przesyłanych pomiędzy placówkami, a oddziałami oraz CWT. Dzięki temu możliwe jest przesłanie większej ilości danych bez zwiększania wykorzystania pasma, jeden lub więcej przełączników (). Jako urządzenia core zastosowane zostały urządzenia serii 4500, a na większych placówkach Urządzeniami dostępowymi są przełączniki serii 4500 oraz Sporadycznie, w przypadku małych placówek rolę przełącznika może realizować karta NM-16 w routerze. Sieci IP na placówkach zostały od siebie odseparowane przy użyciu VRF-ów. Nie ma możliwości nawiązania połączenia pomiędzy sieciami Intranet i Internet. Dlatego na firewall-u zostały wydzielone oddzielne konteksty zarządzające ruchem w poszczególnych sieciach. Na urządzeniu ASA jest również wydzielony kontekst pełniący rolę sondy IPS. Rysunek poniżej pokazuje typową, przykładową topologię połączeń fizycznych na przejściu granicznym: 9

11 Router CE (na rysunku Cisco 1841) jest urządzeniem instalowanym i zarządzanym przez providera, którego głównym zadaniem jest udostępnienie styku Ethernet z siecią MPLS, oraz wymiana informacji o trasach IP z routerem w placówce Straży Granicznej (na rysunku Cisco 3845). Router Cisco 3845 jest wyposażony w następujące oprogramowanie i moduły sprzętowe: porty głosowe ISDN BRI (rozmowy z publiczną siecią telefoniczną), linie analogowe FXS do podłączenia analogowych telefonów i faksów, licencje SRST do podtrzymania funkcji telefonii IP w placówce w przypadku awarii, porty ISDN BRI do połączeń zapasowych w przypadku awarii głównego łącza, moduły przełączników Ethernet. Średnie i większe placówki są wyposażone w przełącznik modułowy Ethernet, który jest podłączony do routera przez trunk Ethernet (802.1Q). Sieci VLAN uruchomione na przełączniku LAN posiadają odpowiadający im sub-interfejs po stronie routera tak, aby umożliwić transmisję danych różnego typu (dane, głos, Internet) przez sieć WAN z zachowaniem odpowiedniego poziomu bezpieczeństwa. Placówki wymagające większej ilości portów lub posiadające rozproszone punkty dystrybucyjne posiadają więcej przełączników LAN, podłączanych do przełącznika głównego interfejsem typu trunk L2. Do przełącznika jest podłączony firewall ASA, którego zadaniem jest kontrola polityki bezpieczeństwa związanej z dopuszczonym ruchem sieciowym. Firewall ASA wyposażony jest w moduł IPS, który jest ustawiony w tryb analizy i wykrywania ataków w przepływającym przez urządzenie ruchu sieciowym. 10

12 Do przełącznika dołączony jest również serwer WAAS, poprawiający wydajność aplikacji przesyłających dane przez sieć WAN. Serwer WAAS poprawia ochronę danych, oraz funkcjonowanie kopii zapasowych (backup) i replikacji dla placówek Straży Granicznej w relacjach do centralnego węzła telekomunikacyjnego (CWT) oraz oddziałów Straży Granicznej (OSG). Próbnik głosowy Cisco 1040A raportuje do aplikacji zarządzającej CUOM/CUSM jakość głosu rozmów telefonicznych prowadzonych na placówce, wskazując administratorom sieci miejsca w których pojawią się problemy. Dokładna topologia sieci na danej placówce została pokazana w załącznikach Architektura rozwiązania QoS Architektura rozwiązania QoS w sieci SG określona została poprzez zakupiony kontrakt na poziom usług w sieci operatora usługi IP VPN. Poniższa tabela przedstawia parametry dla poszczególnych klas usług w ramach których zaprojektowany został schemat priorytetyzacji usług. Wdrożone rozwiązanie w zakresie przepustowości sieci, strat, opóźnień czy jitera pozwala kształtować zachowanie sieci w żądanym zakresie dla świadczenia wszelkich usług dla klientów końcowych z rozróżnieniem na klasy usług czy aplikacji do których należy zaliczyć m.in. aplikacje biznesowe (np. ODPRAWA), telefonia IP czy w końcu ruch Internetowy bez priorytetu. Wdrożenie objęło głównie brzeg sieci WAN SG. Sieć WAN SG zbudowana została na bazie usługi IP VPN w sieci MPLS operatora TP. Klasa ruchu Pasmo Nazwa klasy Data 50% D3 Premium Data 20% D2 Multimedia 10% D1 Voice 20% RT-VO Każda klasa usług w sieci Operatora została również określona poprzez odpowiednie markowanie ruchu z podziałem na ruch mieszczący się w zakresie kontraktu i ruch poza kontraktem dla danej klasy. Dla ruchu przekraczającego kontrakt następuje remarkowanie do wartości poza kontraktem i ruch przenoszony jest bez gwarancji dostarczenia a w przypadku przeciążenia w sieci Operatora ruch ten jest dropowany. W tabeli 2 zamieszczone są oczekiwane wartości markowania ruchu w ramach kontraktu i poza kontraktem dla każdej z klas usług. 11

13 Klasa ruch DSCP incontract DSCP out-ofcontract D1 26 (AF31) 28 (AF32) D2 18 (AF21) 20 (AF22) D3 10 (AF11) 12 (AF12) RT-VO 46 - W pewnym zakresie głównie dla VoIP pewne mechanizmy zaufania i priorytetyzacji ruchu przeniosły się również w obszar sieci LAN SG. Wdrożenie rozwiązania QoS w sieci SG bazuje na następujących założeniach: ruch jest klasyfikowany, markowany i poddawany mechanizmom kształtowania pasma na urządzeniach brzegowych sieci WAN, mechanizmy QoS zaimplementowane w routerach brzegowych (IOS based) w lokalizacjach typu PT, w switchach 6500 w lokalizacjach typu OSG oraz na routerach 7600 w lokalizacji głównej CWT w bloku WAN agregującym połączenia z całej sieci WAN SG, klasyfikacja i markowanie ruchu z sieci klienckiej jest zrealizowane w dowolny możliwy sposób m.in poprzez ACL, czy też poprzez akceptację ustawień IPPrec/DSCP w nagłówkach pakietów, przyjmuje się że ruch przychodzący od strony WAN-u jest zaufany (parametry QoS zostały ustawione po stronie nadawczej). 12

14 Schemat poglądowy implementacji QoS Konfiguracja QoS dla 2800/3800 Dla routerów serii 2800/3800 zdefiniowana została wspólna konfiguracja w zmiennymi parametrami ustawień pasma na wyjściu w zależności od zakontraktowanego pasma na łączu operatorskim. Lokalizacje PT posiadają jeden z poziomów pasma: 0,512 / 1 / 2 / 4 Mbps. W celu kontroli ruchu wychodzącego zastosowano mechanizm shapingu ( wygładzania ) poprzez skonfigurowanie polityki shapingu w ramach policy-child polityki QoS na wyjściu Telefonia IP Schemat poniżej przedstawia ogólną architekturę nowego podsystemu telefonii IP: Schemat poglądowy nowego podsystemu telefonii IP 13

15 Architektura nowego klastra CUCM Zgodnie z dokumentacją producenta sprzętu, dla obsługi telefonów IP konieczne jest rozproszenie funkcji obsługi połączeń telefonicznych między kilka serwerów MCS w ramach klastra Cisco Unified Communications Manager v5.1 (CUCM) ( planowany upgrade do CCM 8 ). Jeden z serwerów MCS pełni funkcję Publisher i przechowuje główną kopię bazy informacji CUCM. 4 serwery w funkcji Subscriber przechowują swoje kopie bazy CUCM i obsługują połączenia telefoniczne. Dla zapewnienia niezawodności rozwiązania, zastosowana zostanie redundancja 2:1. W przypadku awarii jednego z serwerów w funkcji Subscriber, jego pracę przejmie serwer zapasowy. Każdy z dwóch serwerów zapasowych może przejąć pracę w przypadku awarii jednego z dwóch serwerów Subscriber. Podczas normalnej pracy, serwery zapasowe będą zapewniać obsługę CTI i IPMA. Do obsługi TFTP przewidziano 3 serwery, w tym 2 już istniejące w SG serwery MCS, po ich przeinstalowaniu i włączeniu do nowego klastra. Architektura przedstawiona jest na schemacie poniżej: Publisher Subscriber 1 Subcriber 2 Subcriber 3 Subcriber4 Backup 12 CTI 1 IPMA 1 Backup 34 CTI 2 IPMA 2 TFTP 1 MOH 1 TFTP 2 ANN 1 MOH 2 TFTP 3 ANN 2 CTI 3 Existing servers after migration 14

16 Mechanizm kontroli pasma Klaster Cisco Unified Communication Manager w Straży Granicznej wykorzystuje mechanizm Call Admission Control w celu ochrony jakości głosu na rozmowach telefonicznych prowadzonych przez sieć MPLS WAN. Telefony oraz voice gateway e są przypisane do określonych lokalizacji, ze zdefiniowanymi wartościami pasma dla głosu, oraz pasma dla rozmów wideo. Przekroczenie dopuszczonych w lokalizacji wartości pasma przez kolejne połączenie telefoniczne powoduje brak możliwości zestawienia połączenia, oraz komunikat brak pasma wyświetlany na telefonie IP Systemy i mechanizmy bezpieczeństwa W sieci Straży Granicznej jest zainstalowana struktura serwerów Cisco Security MARS. Serwer Global Controller jest zainstalowany w Centralnym Węźle Telekomunikacyjnym w Warszawie (CWT). W oddziałach Straży Granicznej są zainstalowane serwery CS MARS Local Controller. Serwery lokalne MARS posiadają skonfigurowaną bazę różnych typów urządzeń, które zasilają je informacjami o zdarzeniach. 15

17 Z serwerem MARS w sieci Straży Granicznej współpracują następujące urządzenia: firewall e Cisco ASA, moduły IPS w zainstalowane w firewall ach Cisco ASA, karty IDSM do Cisco Catalyst 6500, dedykowane sondy Cisco IPS 4200, routery i przełączniki Cisco w podległych PSG oraz w sieci LAN OSG. 16

18 3. Wymagania dla sieci radiowej Telefonia w sieci Wi-Fi (Voice over Wireless LAN VoWLAN) umożliwia wykorzystanie przenośnych telefonów w systemie telekomunikacyjnym Straży Granicznej. Przenośne telefony działają podobnie jak przewodowe telefony stacjonarne, umożliwiając użytkownikom dostęp do wszystkich funkcji telefonów do których są przyzwyczajeni. Zaletą technologii VoWLAN jest obniżenie kosztów komunikacji z użytkownikami mobilnymi poprzez wykorzystanie zbudowanej infrastruktury Wi-Fi, unikając opłat związanych z komunikacją przez publiczne sieci operatorów GSM. Dla użytkowników końcowych sieć VoWLAN może znacząco polepszyć dostępność oraz wykorzystanie czasu pracowników. Uruchomienie funkcji VoWLAN wymaga zaprojektowania sieci bezprzewodowej tak, aby udostępnić najwyższą jakość głosu przez zbudowaną infrastrukturę. Ponieważ aplikacje głosu i danych mają różne atrybuty i wymagania wydajności, niezbędne jest staranne i dokładne zaprojektowanie wdrożenia sieci WLAN. Telefony Wi-Fi wymagają ciągłego, niezawodnego połączenia w trakcie gdy użytkownik przemieszcza się przez obszar pokryty zasięgiem. Aplikacje głosowe mają niską tolerancję na błędy i opóźnienia w sieci. Podczas gdy aplikacje danych akceptują częste opóźnienia pakietów i retransmisje, jakość głosu może znacząco się pogorszyć wraz ze wzrostem opóźnienia o kilka setek milisekund lub małego procenta utraty pakietów. Charakterystyka ruchu aplikacji przesyłających dane typowo zawiera okresy nasilonego ruchu przedzielone okresami przerw, ruch głosowy jest na stałym i relatywnie niskim poziomie pasma. Użycie sieci Wi-Fi dla głosu nie jest złożone, ale obejmuje kilka aspektów które muszą być rozważone. Krytycznym elementem wdrożenia telefonii Wi-Fi jest utrzymanie podobnej jakości głosu, niezawodności i funkcjonalności jaka jest oczekiwana od telefonów przewodowych. Inne kluczowe czynniki wdrożenia telefonii Wi-Fi obejmują obszar pokrycia WLAN, pojemność, jakość głosu (QoS) oraz bezpieczeństwo Opis badanych obszarów Jednym z najbardziej krytycznych elementów wdrożenia telefonów bezprzewodowych jest zapewnienie wystarczającego pokrycia sygnału WLAN. Sieci Wi-Fi są często początkowo uruchamiane do transferu danych i mogą nie dostarczać wystarczającego pokrycia sygnałem dla użytkowników głosowych. Projekt sieci do transferu danych obejmuje typowo obszary występowania urządzeń przesyłających dane, nie obejmuje innych miejsc takich jak klatki schodowe, pomieszczenia socjalne, wejścia do budynków wszystkie miejsca gdzie są typowo prowadzone rozmowy telefoniczne. Jakość sygnału Wi-Fi w obszarach pokrycia jest bardziej istotna dla aplikacji telefonicznych. Zasięg może być wystarczający do aplikacji danych, a nie okazać się wystarczający do wspierania technologii VoWLAN. Większość protokołów komunikacyjnych przesyłających dane ma wbudowane mechanizmy retransmisji utraconych pakietów. Opóźnienia spowodowane retransmisją nie są przeszkodą dla większości aplikacji danych. 17

19 Całkowita jakość pokrycia sygnałem jest bardziej istotna dla aplikacji telefonicznych. Natura dwustronnej, prowadzonej w czasie rzeczywistym rozmowy głosowej wymaga poprawnego odbioru pakietów głosowych w czasie pojedynczych dziesiątek milisekund. Nie ma czasu na retransmisję, utracone lub uszkodzone pakiety muszą być pominięte. W obszarach słabego pokrycia sygnałem WLAN wydajność aplikacji danych może być akceptowalna, ale dla aplikacji w czasie rzeczywistym takich jak głos jakość głosu może być znacząco pogorszona. Kolejnym czynnikiem określającym obszar pokrycia sygnałem jest sposób wykorzystywania urządzeń. Telefony bezprzewodowe są typowo używane w inny sposób niż urządzenia przesyłające dane. Użytkownicy często przemieszczają się w czasie rozmów, podczas gdy użytkownicy terminali danych pozostają w miejscu. Bezprzewodowy głos wymaga pełnej mobilności, podczas gdy do transmisji danych wystarczy zwykła możliwość przeniesienia urządzenia. Telefony bezprzewodowe są typowo noszone w okolicy ciała, wprowadzając dodatkowe tłumienie sygnału radiowego. Urządzenia transmisji danych zwykle są położone, lub trzymane w oddali od ciała. Sposób użycia urządzenia przenośnego wpływa na zmniejszony zasięg telefonii bezprzewodowej WLAN w porównaniu z zasięgiem transmisji danych. Projekt sieci VoWLAN powinien więc zakładać gorsze warunki propagacji sygnału radiowego do urządzeń. Pełny zasięg sygnału radiowego musi mieć miejsce w obszarach budynków używanych przez Straż Graniczną i na ciągach komunikacyjnych używanych przez funkcjonariuszy Straży Granicznej Nadmiarowość pokrycia obszarów Obszary pokrycia sygnałem Wi-Fi muszą na siebie zachodzić, aby spełnić wymagania wdrożenia sieci VoWLAN. Telefony przenośne podejmują decyzję o zmianie punktu dostępowego (roaming) w połowie obszaru pokrytego przez oba punkty dostępowe. Obszar pokrycia musi więc być tak dostosowany, żeby telefon przemieszczającego się użytkownika ma czas na wykrycie następnego punktu dostępowego zanim sygnał z bieżącego stanie się za słaby. Prawidłowo zaprojektowana sieć Wi-Fi rozmieszcza punkty dostępowe z wystarczającym obszarem wspólnego pokrycia tak, aby nie było przerw ani pustych obszarów między nimi. W rezultacie połączenie telefoniczne nie pogarsza się w żaden sposób przy zmianie punktu dostępowego. Wystarczający obszar wspólnego pokrycia to około 15% do 20% zakładając maksymalną moc transmisji dla punktu dostępowego oraz telefonu WLAN. Taki obszar wspólnego pokrycia działa prawidłowo przy założeniu pieszego poruszania się użytkownika. Projekt WLAN musi brać pod uwagę ustawienia transmisji, które są skonfigurowane na punktach dostępowych. Transmisja głosu wymaga relatywnie niskich prędkości danych, oraz małej ilości pasma w porównaniu do innych aplikacji. Standard określa automatyczne zmiany prędkość połączenia, więc terminal użytkownik oddalającego się od punktu dostępowego przyjmuje mniej skomplikowane ustawienia modulacji i niższe prędkości transmisji w celu przesłania danych. 18

20 Aplikacje głosowe w sieci WLAN wymagają takiego skonfigurowania punktu dostępowego, aby niższe prędkości były dopuszczone w celu zwiększenia zasięgu. Jeżeli placówka wymaga konfiguracji punktu dostępowego tak, aby udostępniał wyłącznie wysokie prędkości połączenia, sieć WLAN powinna być tak zaprojektowana aby dostosować się do zmniejszonego obszaru pokrycia przez jeden punkt dostępowy i powinna zawierać dodatkowe punkty dostępowe Siła sygnału Aby dostarczyć niezawodną usługę, sieć bezprzewodowa musi być zaprojektowana aby dostarczać sygnał o dostosowanej sile we wszystkich obszarach używania telefonii IP WLAN. Wymagana siła sygnału dla wszystkich urządzeń bezprzewodowych zależy od pasma w którym urządzenie działa, używanej modulacji, oraz prędkości danych włączonych na punktach dostępowych. Na podstawie tablica poniżej, projekt określa najwyższe prędkości ustawione jako wymagane (mandatory) na punktach dostępowych na 6 Mbps Projekt granic obszaru Generalne zalecenie wdrożenia telefonów VoWLAN a/b/g określa minimalną moc zmierzoną na granicy obszaru na -67 dbm. Ta wartość sygnału została przyjęta w wykonanych pomiarach. Aby uzyskać stopę błędów na poziomie 1% lub mniej, należy również przyjąć wartość współczynnika sygnał/szum (SNR) na poziomie 25 db lub więcej. Określając pożądane obszary pokrycia dla modelu telefonu zarówno poziom sygnału jak i poziom szumu musi być zmierzony. Pomiar granicznej mocy sygnału -67dBm jest używany od lat dla telefonów b pochodzących od różnych producentów. Testy wskazują, że ta sama reguła działa prawidłowo w przypadku telefonów g oraz a. Minimalny poziom sygnału w pomiarach na granicy obszarów został określony na -67 dbm. 19

21 Wdrożenie standardu b/g/ Standard b/g udostępnia trzy nie zakłócające się, nie nakładające się na siebie kanały 1, 6, oraz 11. Punkty dostępowe w swoim zasięgu powinny zawsze być ustawione na nie zakłócające się kanały, aby zmaksymalizować pojemność i wydajność infrastruktury bezprzewodowej. Prawidłowa metoda wdrożenia dla sieci b/g została pokazana na rysunku poniżej: Wdrożenie standardu a Standard a wykorzystuje pasmo 5,8 GHz. Pomimo, że pasmo maksymalne jest takie jak w g (54 Mbps) zwiększony zakres częstotliwości radiowych w paśmie a oferuje wiele kanałów, umożliwiając gęste rozmieszczenie punktów dostępowych i zwiększone pasmo dostępne w placówce. Porównując z zakresem 2,4 GHz, wyższe częstotliwości sygnału RF używane w paśmie a tłumią silniej sygnał oraz gorzej tolerują przeszkody. Typowo oznacza to, że sieci a wymagają więcej punktów dostępowych niż sieci b/g aby dostarczyć ten sam poziom pokrycia sygnałem. 20

22 Powinno być wzięte pod uwagę, że propagacja sygnału może wynikać z mocy i anten użytych w punktach dostępowych. Powinna być wykonana inspekcja obiektu (site survey) w paśmie a biorąca pod uwagę zagadnienia transmisji VoWLAN Pojemność obszaru zasięgu punktu dostępowego Ilość połączeń telefonicznych w paśmie Wi-Fi jest ograniczona przez kilka czynników. Jednym z nich jest charakter medium którego używają punkty dostępowe do komunikacji z klientami VoWLAN, którym jest spektrum radiowe. Spektrum radiowe podlega interferencjom, nie może być chronione przed czynnikami zewnętrznymi jak to jest w przypadku kabla skrętki Cat 5 lub włókna światłowodowego. Otwarte, wspólne medium oznacza możliwość wystąpienia dużej utraty pakietów. Większość z utraconych pakietów jest kompensowana przez retransmisje ramek , co z kolei powoduje jitter. W tym projekcie ilość użytkowników Wi-Fi w placówce jest w przybliżeniu równa ilości telefonów Wi-Fi i jest relatywnie niska (od 5 do 35). Wykonane dotychczas instalacje oraz rodzaj pracy wykonywanej w Placówkach SG gwarantuje, że teraz i w przewidywalnej przyszłości nie będzie więcej niż 4-5 użytkowników Wi-Fi na jednym punkcie dostępowym, więc restrykcje dotyczące pasma nie będą miały miejsca. Jedynym wyjątkiem mogą być sale konferencyjne, ale są one używane sporadycznie i w ich otoczeniu jest zaplanowana większa ilość punktów dostępowych. Usługa dostępu do sieci Internet dla gości świadczona również w tych salach nie jest ważnym elementem pracy placówki. Sieć WLAN spełnia polskie regulacje prawne (Dz. U. 1 Sierpnia 2007 nr 138, poz. 972, zał. nr 3 szerokopasmowe systemy transmisji danych ). Maksymalna moc sygnału E.I.R.P w paśmie ,5 MHz: 100 mw, dla częstotliwości MHz: 200 mw (wewnątrz pomieszczeń), dla częstotliwości MHz: 1 W. 21