SIEC CYFROWA_SZKOLA_GOSCIE

000_000_EFUN_BEZPIECZNA_I_WYDAJNA_05_06_2013.indd 56 2013-06-19 09:20:01

W razie potrzeby możemy też wyłączyć w tej sieci dostęp do internetu w zależności od tego, z jakich zasobów będziemy korzystać w ramach zajęć. Na poniższym rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci. Od naszej decyzji będzie zależało, czy chcemy aby do tej sieci mieli dostęp pracownicy administracyjni. Dla nich można wydzielić oddzielną podsieć, co podniesie bezpieczeństwo podczas korzystania z aplikacji dla nich dedykowanych (np. oprogramowania szkolnego sekretariatu). SIEC CYFROWA_SZKOLA_GOSCIE Do tej sieci mogą podłączyć się dowolne urządzenia zarówno szkolne jak i prywatne ponieważ sieć przeznaczona jest dla gości szkoły, np. rodziców uczniów. Sieć nie jest zabezpieczona, jednak korzysta z mechanizmu uwierzytelniania użytkownika za pomocą tzw. Captive Portalu. Oznacza to, że po dołączeniu się do sieci użytkownik nie będzie miał dostępu do internetu, dopóki nie otworzy przeglądarki i nie poda swoich danych uwierzytelniających, czyli nazwy użytkownika i hasła. Sieć ta jest przypisana do konkretnej sieci VLAN, która ma wyjście tylko do internetu, a dodatkowo ma ograniczone pasmo. Na rysunku przedstawiono, w jaki sposób przebiega podłączanie użytkownika do tej sieci. REALIZACJA Na rynku rozwiązań bezprzewodowych znajdziemy zarówno wolno stojące punkty dostępowe (AP), których głównym przeznaczeniem są domy i mniejsze firmy, jak i rozwiązania profesjonalne. Oparte na kontrolerach sieci bezprzewodowych i profesjonalnych punktach dostępowych potrafią obsłużyć nawet kilkudziesięciu użytkowników jednocześnie na jednym urządzeniu AP. Funkcjonalność urządzeń Oba typy rozwiązań zamieniają medium transmisyjne z przewodów (najczęściej tzw. skrętki ethernetowej, czyli kabla typu UTP) na fale radiowe. Nie znaczy to jednak, że oba sprawdzą się w szkole, gdzie potrzebujemy mechanizmów uwierzytelniania, autoryzacji i zapisywania informacji o połączeniach i ruchu w sieci, w ramach której w jednej pracowni może występować nawet 30 bezprzewodowych urządzeń. Nie licząc dodatkowych urządzeń prywatnych, które często uczniowie i nauczyciele chcieliby móc dołączyć do szkolnej sieci. Rozwiązania oparte na kontrolerze sieci bezprzewodowej sterującym punktami dostępowymi mają wiele przewag nad wolnostojącymi punktami dostępowymi. Między innymi: umożliwiają zarządzanie całą siecią bezprzewodową z jednego interfejsu, dzięki czemu w przypadku konieczności rekonfiguracji sieci można ją wykonać w kilka minut, upraszczają znacznie integrację sieci bezprzewodowej z siecią przewodową. Na przykład sieci wirtualne VLAN musimy jedynie doprowadzić łączem typu trunk (patrz artykuł w 24 numerze EFUN) do kontrolera sieci bezprzewodowej, a nie do wszystkich punktów dostępowych. W wielu przypadkach, gdy szkoła nie decyduje się na wymianę całej infrastruktury przewodowej, a ma tylko jeden zarządzany przełącznik i router z sieciami wirtualnymi, doprowadzenie z niego łączy trunk do wszystkich AP może nie być możliwe. Co za tym idzie, nie będziemy mogli wykorzystać funkcji dostępnych w naszej sieci przewodowej mając wolno stojące AP, upraszczają integrację sieci bezprzewodowej z serwerami autoryzacji, ponieważ jako klienta serwera autoryzacji dodaje się tylko jeden kontroler, a nie kilka czy kilkanaście punktów dostępowych, maj/czerwiec 2013 59 59 000_000_EFUN_BEZPIECZNA_I_WYDAJNA_05_06_2013.indd 59 2013-06-19 09:20:05

możemy je umieścić na mapie i zasymulować, jak będzie propagować się wysyłany przez nie sygnał. W wyniku otrzymamy odpowiedź na pytanie: ile punktów dostępowych jest potrzebnych, aby zapewnić pokrycie całej szkoły i gdzie należy je zainstalować. Informacje będą tym dokładniejsze, im więcej danych dostarczymy, np. grubość poszczególnych ścian (przynajmniej w przybliżeniu) oraz z jakiego materiału zostały wykonane. Na rynku jest wiele firm, które profesjonalnie zajmują się projektowaniem sieci bezprzewodowych. Często udaje się wynegocjować wstępne rozplanowanie sieci z określeniem potrzebnej liczby punktów dostępowych bez konieczności ponoszenia kosztów ze strony szkoły (m.in. w tym celu możesz skorzystać z danych kontaktowych zamieszczonych na końcu artykułu). Korzystając od samego początku z usług profesjonalnej firmy, może udać się zredukować koszty wdrożenia dzięki odpowiedniemu dobraniu rodzaju oraz ilości sprzętu, a także przez optymalne wykorzystanie istniejącej już w szkole infrastruktury. Wybór kontrolera sieci bezprzewodowej W przypadku podjęcia decyzji o wyborze rozwiązania z kontrolerem sieci bezprzewodowej, to głównie jego funkcje będą warunkowały funkcjonalność naszej sieci. Dobry kontroler sieci bezprzewodowej powinien: automatycznie wykrywać i przeprowadzać aktualizacje oprogramowania oraz oferować dystrybucję konfiguracji dla podłączających się do niego punktów dostępowych. Dzięki temu wdrożenie i późniejsza administracja rozwiązaniem będzie uproszczona, oferować wybór, w jaki sposób ruch powinien być przekazywany z urządzeń mobilnych czy najpierw powinien być przekazany z punktów dostępowych do kontrolera sieci, a tam po przejściu przez system Firewall kierowany do odpowiednich sieci wirtualnych (VLAN), czy też powinny go bezpośrednio obsługiwać punkty dostępowe. Pierwsza opcja upraszcza wdrożenie i jest wymagana przy niektórych funkcjach, jak np. Captive Portal (udostępnienie strony logowania do sieci dla użytkowników). Konfiguracja za pomocą drugiej opcji może być przydatna, gdy jakiś punkt dostępowy musimy wynieść między budynkami szkoły przez łącza o słabszej przepływności (np. most bezprzewodowy lub internet), umożliwiać stworzenie w obrębie jednego kontrolera wielu różnych profili ESS, czyli wielu różnych sieci bezprzewodowych, z uwzględnieniem różnych rodzajów zabezpieczeń, różnych sieci VLAN wraz z możliwością określenia, na jakich punktach dostępowych dana sieć bezprzewodowa może być dostępna. Ma to szczególne znaczenie w wypadku sieci takich jak Cyfrowa_Szkola_Pracownia_A. Sieć ta, przeznaczona do obsługi urządzeń mobilnych należących do mobilnej pracowni (notebooków, tabletów), mogłaby być rozgłaszana tylko w miejscu, gdzie rzeczywiście znajduje się ta pracownia, wspierać standardowe mechanizmy i protokoły sieciowe, jak chociażby opisywane w poprzednim artykule sieci VLAN w standardzie 802.1q, wspierać standardowe mechanizmy uwierzytelniania, włączając w to WPA/WPA2, włącznie z trybem mieszanym WPA mixed (w ramach którego urządzenia wspierające lepszy mechanizm zabezpieczeń WPA2 będą z niego korzystały, a urządzenia starsze nadal będą w stanie podłączyć się do sieci korzystając z WPA). Jeżeli chcemy korzystać z indywidualnych kont użytkowników, powinno to dotyczyć również trybu Enterprise. Obecność różnorodnych metod uwierzytelniania i szyfrowania w szkolnej sieci jest niezwykle istotna. Mamy wówczas większą pewność, że będziemy mogli skorzystać z sieci niezależnie od wykorzystanego urządzenia klienckiego. Szczególnie, gdy dopuszczamy podłączanie prywatnych urządzeń, co do których nie możemy przewidzieć, jakie funkcje uwierzytelniania będą na nich dostępne, pozwalać tworzyć listę adresów urządzeń (MAC) zaufanych (np. szkolnych) lub niezaufanych (np. prywatnych). Następnie na jej podstawie decydować, czy dane urządzenie ma prawo skorzystać z danej sieci bezprzewodowej jeszcze zanim użytkownik w ogóle się zaloguje. mieć wbudowany Captive Portal, w celu zapewnienia uwierzytelniania użytkowników w sieciach dla gości. Strona do logowania powinna jednocześnie mieć możliwość modyfikacji, tak aby uwzględnić na niej informacje dotyczące samej szkoły, warunków korzystania z sieci przed zalogowaniem czy nawet szkolnego logotypu. Oprócz tego kontroler powinien mieć możliwość wykorzystania do autoryzacji przez stronę zarówno danych użytkowników umieszczonym w centralnym, zewnętrznym katalogu (z użyciem usługi RADIUS, ang. maj/czerwiec 2013 61 61 000_000_EFUN_BEZPIECZNA_I_WYDAJNA_05_06_2013.indd 61 2013-06-19 09:20:07

Meru Networks Promocja do dyspozycji w paśmie 2,4 GHz mamy łącznie 13 kanałów. Planując rozbudowaną tradycyjną sieć bezprzewodową korzysta się najczęściej ze schematu 1, 6, 11, który pozwala rozmieścić obok siebie do trzech urządzeń na nienakładających się kanałach. Planowanie kanałów na jednej płaszczyźnie to nie wszystko, ponieważ sygnał bezprzewodowy rozchodzi się w każdym kierunku także przez podłogi czy sufity. Z taką sytuacją mamy do czynienia bardzo często. Prowadzi to do konieczności ograniczania mocy na poszczególnych punktach dostępowych, aby nie dochodziło do zakłócania miedzy poszczególnymi AP. Jednak ograniczanie mocy wpływa na siłę sygnału, a co się z tym wiąże na zasięg danego punktu dostępowego. To z kolei wymusza nierzadko zastosowanie większej liczby punktów dostępowych niż wstępnie planowano. W przypadku gdy punkty dostępowe są zarządzane indywidualnie, takie rozplanowanie mogło być koszmarem dla projektanta i administratora. Na szczęście dynamiczny rozwój sieci bezprzewodowych wymógł na producentach konieczność poszukiwania rozwiązania tego problemu. Większość firm skupiło się na opracowywaniu dynamicznych algorytmów, których zadaniem jest automatyczny dobór kanałów w obrębie infrastruktury złożonej z wielu AP i automatyczne dobranie ich mocy. Zadanie to powierzono kontrolerom sieci bezprzewodowej. Pomimo tego, że algorytmy upraszczają sam proces planowania, nie są niestety pozbawione wad. Jedna z nich wynika z samego podejścia do wstępnego planowania sieci. Przymierzając się do zainstalowania punktów dostępowych w danym środowisku, pomiary najczęściej prowadzone są poprzez zastosowanie jednego czy dwóch punktów dostępowych i sprawdzenie zasięgów. W przypadku korzystania z dynamicznych algorytmów zarządzania mocą, po wdrożeniu całego systemu może się okazać, że system zdecyduje o zmniejszeniu mocy na AP, ze względu na zakłócenia z sąsiednich punktów, których nie braliśmy pod uwagę na etapie planowania. Zmniejszenie mocy może z kolei spowodować powstanie białych plam w zasięgu lub sytuacji, gdy podłączenie się do sieci będzie możliwe, ale z bardzo niską przepływnością. Dynamiczne rozplanowanie kanałów na AP jest również narażone na tzw. efekt domina, to znaczy sytuację, w której zakłócenia z zewnętrznego źródła spowodują, że algorytm musi zmienić kanał na danym punkcie dostępowym. Zmiana kanału na jednym punkcie wywołuje konieczność zmiany na wszystkich pozostałych urządzeniach (i rozłączenie na ten czas wszystkich klientów). W związku z opisanymi niedogodnościami poszukiwane są nowe rozwiązania. Skuteczne i odmienne podejście zastosowano w urządzeniach firmy Meru Networks. W tym wypadku wszystkie punkty dostępowe pracują na jednym kanale radiowym. Dzięki synchronizacji punktów dostępowych na bardzo wysokim poziomie udało się stworzyć system WLAN, w którym niezależnie od tego czy mamy do czynienia z pasmem 2,4 GHz, czy 5 GHz, punkty mogą pracować na tym samym kanale radiowym i nie zakłócają się nawzajem. Rozpatrywany przez nas na rysunku przypadek, w którym sygnał z AP rozchodzi się równomiernie, odnosi się do sytuacji idealnej, gdy na przeszkodzie sygnału radiowego nie stoją ściany, szafki czy ludzie. Rzeczywistość jest jednak dużo bardziej brutalna. Oprócz przeszkód, z którymi sygnał bezprzewodowy musi sobie poradzić wpływ na nierównomierne jego rozchodzenie mają również nowoczesne technologie, m.in. 802.11n i stosowane w niej systemy anten MIMO, czyli systemy, w których sygnał może być nadawany i odbierany przez kilka różnych anten, tak aby zwiększyć zasięg oraz przepływność. Charakterystyka pokrycia w 802.11n bardziej przypomina jeża niż kółka i bardzo trudno jest przewidzieć, jak sygnał będzie się rozchodził, aby dobrze dobrać kanały radiowe. W tym wypadku najwyraźniej widać przewagę rozwiązania Meru Networks, gdzie problem nie występuje. Ponieważ wszystkie AP mogą pracować na jednym kanale, w sytuacji gdy w jakimś miejscu brakuje zasięgu wystarczy dołożyć kolejny punkt dostępowy. Podsumowując: architektura tradycyjna, pomimo że stosowana przez wielu producentów, ma swoje wady. Oprócz konieczności maj/czerwiec 2013 63 000_000_EFUN_BEZPIECZNA_I_WYDAJNA_05_06_2013.indd 63 2013-06-19 09:20:08

Promocja kanał 1 ponieważ korzystamy z jednokanałowej architektury. Cały czar wirtualnej komórki musi opierać się więc na BSSID, które w trybie Shared BSSID dla każdego klienta niezależnie od AP również będzie takie samo. wrażenie, jakby jego punkt dostępowy był zawsze w zasięgu. Brak tradycyjnego przełączenia wpływa znacząco na skrócenie czasu przekazania klienta w sieci Meru, które wynosi tu typowo od 3 do 10 ms. Ponadto, sieci Meru Networks wykorzystujące technologie wirtualnego portu są z definicji bezpieczniejsze niż sieci tradycyjne. Dlatego klient nie ma po czym odróżnić, do którego AP został przez system przypisany. W tym przypadku nie mamy do czynienia z przełączeniem klienta między AP, a z jego przekazaniem (ang. soft hand off ). Ponieważ klient sam nie może zdecydować, kiedy się przełączyć, bo wszędzie widzi to samo, sieć Meru wygląda dla niego jak jeden ogromny punkt dostępowy pokrywający zasięgiem całe piętro czy budynek szkoły. To system decyduje, gdzie przypisać klienta, a nie klient. Sieć opracowana przez Meru Networks zachowuje się tak, jakby zawsze ten sam wirtualny AP znajdował się w zasięgu klienta i towarzyszył mu od momentu podłączenia się do sieci aż do zakończenia połączenia. Rozwinięciem opisanej koncepcji jest drugi ze wspomnianych trybów pracy wirtualnej komórki Virtual Port. W tym trybie w momencie podłączania się do sieci dla każdego klienta bezprzewodowego tworzony jest unikatowy dla niego wirtualny AP. Mając swoje BSSID i swojego wirtualnego AP, klient nie czuje się już w sieci bezprzewodowej jakby był podłączony do huba, w którym wiele urządzeń współdzieli łącze (jak w tradycyjnych rozwiązaniach), a raczej jakby został podłączony do indywidualnego portu na przełączniku sieciowym. Technologia wirtualnego portu pozwala sterować transmisją w sieci radiowej z dokładnością do jednego klienta bezprzewodowego. Unikatowe BSSID klienta podąża za nim w obrębie całej sieci, dzięki czemu klient nadal ma Air Time Fairness, czyli sprawiedliwy (a nie równy) podział czasu Trzecią poprawiającą wydajność sieci technologią opracowaną przez Meru Networks jest Air Time Fairness. Wyobraźmy sobie przypadek, w którym do naszego punktu dostępowego podłączonych jest dwóch klientów. Jeden znajduje się w dość dużej odległości i ma słaby zasięg, a co za tym idzie transmisję na poziomie 1 Mbps. Drugi klient znajduje się blisko AP, ma dobrą siłę sygnału i transmisję na poziomie 300 Mbps. Większość systemów tradycyjnych została zaprojektowana tak, aby równomiernie obsługiwać klientów pod kątem liczby przesłanych danych. To jednak wpływa destruktywnie na efektywne wykorzystanie najcenniejszego zasobu w sieciach bezprzewodowych jakim jest czas transmisji. Mając dwóch takich klientów i zakładając ze obaj mają tę samą liczbę danych do wysłania, oczywistym jest, że czas, jakiego będzie potrzebował klient wolniejszy będzie około 300 razy dłuższy niż czas, który na wysłanie swoich danych wykorzysta klient szybki. W związku z tym w tradycyjnym systemie często pojedynczy wolniejszy klient jest w stanie spowolnić całą sieć bezprzewodową. W rozwiązaniu Meru to właśnie czas radiowy jest podstawową jednostką, którą system bierze pod uwagę przy podziale zasobów pomiędzy klientów. Dzięki technologii Air Time Fairness, każdy klient niezależnie od tego, z jaką prędkością działa otrzymuje tyle samo czasu radiowego na swoją transmisję. maj/czerwiec 2013 65 000_000_EFUN_BEZPIECZNA_I_WYDAJNA_05_06_2013.indd 65 2013-06-19 09:20:09

Kontroler sieci bezprzewodowej Meru Networks MC1550 Jak wybrać sprzęt Wybór dobrego rozwiązania bezprzewodowego, kiedy wiemy co chcemy uzyskać i jakie mechanizmy wykorzystać w naszej sieci, wcale nie musi być trudny. Poniżej kilka uwag, jak krok po kroku podejść do stworzenia bezpiecznej, wydajnej i niezawodnej sieci bezprzewodowej w szkole: Zacznij od określenia, czego oczekujesz od swojej sieci bezprzewodowej (jakie grupy użytkowników możesz wydzielić, czy dysponujesz siecią przewodową, która pozwoli ci skorzystać z sieci wirtualnych (VLAN) lub serwerem autoryzacji, dzięki któremu będziesz mógł każdego użytkownika indywidualnie rozpoznać. Być może posiadasz serwer, na którym można zainstalować środowisko wirtualne i wykorzystać go do dodatkowych celów, np. uruchomienia na nim kontrolera wirtualnego). Określ, gdzie na terenie szkoły powinien być dostępny zasięg sieci bezprzewodowej. Najlepiej zaznaczyć go na planach budynku. Jeżeli nie dysponujesz planami profesjonalnymi (np. w formacie DWG), czasami wystarczający może okazać się zwykły plan ewakuacyjny. Skontaktuj się z firmą profesjonalnie zajmującą się budową sieci bezprzewodowych. Planowanie sieci z wykorzystaniem odpowiednich narzędzi jest po pierwsze prostsze, a po drugie pozwala zaoszczędzić realne środki poprzez redukcję ilości potrzebnego sprzętu. W tym celu możesz skorzystać z danych kontaktowych zamieszczonych na początku artykułu. Pamiętaj, że korzystniej jest wybierać rozwiązania oparte na kontrolerze sieci bezprzewodowej i dedykowanych AP. Korzyści zauważysz nie tylko na początku, ale również w trakcie codziennej pracy i ewentualnej rekonfiguracji lub rozbudowy sieci. Upewnij się, że wybierane rozwiązanie będzie zgodne z protokołami i mechanizmami, z którymi będziesz chciał je zintegrować w swojej sieci przewodowej. Decydując się na rozwiązania profesjonalne możemy z jednej strony skorzystać z dodatkowej przewagi technologicznej, a z drugiej zapewnić sobie bezpieczną, wydajną i niezawodną sieć na długie lata. Przykładami rozwiązań, które świetnie sprawdzą się, aby zapewnić dostęp bezprzewodowy w nowoczesnej szkole są produkty Meru Networks. Firma ta, dzięki skupieniu swojej uwagi jedynie na rozwiązaniach bezprzewodowych, oferuje unikatowe technologicznie rozwiązania, które znalazły zastosowanie już w ponad 200 polskich szkołach i prawie 20 ośrodkach akademickich na terenie całego kraju. obsługa do 50 punktów dostępowych Meru Networks i 1000 użytkowników, elastyczne opcje licencjonowania już od 5 punktów dostępowych na kontroler, opcje rozbudowy z krokiem licencyjnym per 1 AP, wsparcie unikatowych technologii: Jednokanałowa Architektura, Virtual Cell (wirtualna komórka), Air Traffic Control, Air Time Fairness, obsługa nawet 64 profili ESSID, wsparcie vlanów 802.1q, wraz z przypisaniem dynamicznym na podstawie parametrów zwracanych przez serwer RADIUS, zaawansowany QoS ze statycznym lub dynamicznym przypisaniem reguł na podstawie parametrów zwracanych przez serwer RADIUS, wbudowana funkcjonalność Captive Portalu, wsparcie szerokiej gamy mechanizmów szyfrowania: WEP, WPA, WPA2, WPA mixed, możliwość integracji z kilkoma serwerami autoryzacji oraz wbudowana baza użytkowników dla Captive Portalu, nawet do 300 kont, automatyczne wykrywanie i konfiguracja punktów dostępowych Meru w sieci. Więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ ds-wireless-lan-controller-small-enterprise-mc1550.pdf Odpowiednikiem kontrolera sprzętowego MC1550 jest platforma wirtualna MC1550-VE, realizująca te same funkcje, którą można zainstalować na istniejącym serwerze, więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ ds-virtual-mobility-wireless-lan-controllers-mc1550-mc3200-mc4200.pdf Punkty dostępowe Meru Networks serii AP1000 jedno- lub dwuradiowe punkty dostępowe 802.11 a/b/g/n, wyposażone w moduły radiowe MIMO 2x2, 2 strumienie przestrzenne(do 300 Mb/s per moduł radiowy), zewnętrzne anteny(4) lub wewnętrzne anteny, obsługa technologii wirtualizacji Virtual Cell i Virtual Port, możliwość pracy w trybie Mesh (modele dwuradiowe, bezprzewodowe połączenia między AP), przeznaczone do wdrożeń w logistyce, biurach, szkołach, rekomendowana liczba użytkowników per radio: do 50, maksymalna 128, rekomendowana liczba użytkowników per ap dwuradiowy: do 100, maksymalna 256, zasilanie za pomocą skrętki Ethernet 802.3af/at. Więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ ds-wireless-lan-access-points-ap1010_ap1020.pdf Punkty dostępowe serii AP332 dwuradiowe punkty dostępowe 802.11 a/b/g/n, wyposażone w moduły radiowe MIMO 3x3, 3 strumienie przestrzenne(do 450 Mb/s per moduł radiowy), zewnętrzne anteny(6) lub wewnętrzne anteny, obsługa technologii wirtualizacji Virtual Cell i Virtual Port, możliwość pracy w trybie Mesh (bezprzewodowe połączenia między AP), przeznaczone do wdrożeń w biurach, szkołach, salach konferencyjnych, rekomendowana liczba użytkowników per radio: do 80, maksymalna 128, rekomendowana liczba użytkowników per ap dwuradiowy: do 160, maksymalna 256, zasilanie za pomocą skrętki Ethernet 802.3at. Więcej na stronie: http://www.merunetworks.com/collateral/data-sheets/ 2012-ds-wireless-access-points-for-high-density-environments-ap332.pdf maj/czerwiec 2013 69 000_000_EFUN_BEZPIECZNA_I_WYDAJNA_05_06_2013.indd 69 2013-06-19 09:20:12