Беспроводная корпоративная сеть на базе Extreme Networks состоит из следующих компонентов:
• Identifi Wireless Appliance — контроллер беспроводной сети.
• Wireless AP — беспроводные точки доступа
• Netsight — система управления проводных и беспроводных компонентов сети.
Identifi Wireless Appliance
Контроллеры серии Identifi представляют собой решение Extreme Networks для управления масштабируемой, высокопроизводительной беспроводной сетью WLAN — решение, легкое в использовании и обеспечивающее требуемый уровень безопасности сети.
Контроллеры беспроводной сети поддерживают различные сетевые функции, включая централизованное управление и настройку беспроводных точек доступа, пользовательскую аутентификацию и расширенное радиочастотное управление.
Контроллеры беспроводной сети поддерживают интуитивно понятный интерфейс, позволяющий управлять беспроводной сетью, с любого ноутбука или компьютера находящегося в сети. CLI интерфейс также доступен для управления беспроводной сетью.
Заметка
Слово «контроллер» относится к обоим типам контроллеров — программным (виртуальным) и аппаратным.
| Аппаратные контроллеры беспроводного доступа | C25 | С35 | C5210 |
| Производительность | |||
| Количество лицензий для точек доступа, имеющихся на контроллере по умолчанию | 16 | 50 | 100 |
| Суммарная поддержка ТД на устройство | 100 | 250 | 2000 |
| Суммарная поддержка ТД на устройство в режиме standalone | 50 | 125 | 1000 |
| Дополнительная поддержка ТД на устройство в режиме high- availability | 50 | 125 | 1000 |
| Сумма единовременно поддерживаемых пользователей на устройство | 1024 | 4000 | 32000 |
| Сумма единовременно | 512 | 2000 | 16000 |
| поддерживаемых пользователей на устройство в режиме standalone | |||
| Сумма единовременно поддерживаемых пользователей на устройство в режиме high- availability | 512 | 2000 | 16000 |
C25
C35
C5210
| Программные контроллеры беспроводного доступа | V2110 (VMWARE) | V2110(HYPER-V) | ||
| Производительность | SMALL | MEDIUM | LARGE | |
| Количество лицензий для точек доступа, имеющихся на контроллере по умолчанию | 8 & 2 Radar license | |||
| Суммарная поддержка ТД на устройство | 64 | 500 | 1050 | 500 |
| Суммарная поддержка ТД на устройство в режиме standalone | 32 | 250 | 525 | 250 |
| Дополнительная поддержка ТД на устройство в режиме high- availability | 32 | 250 | 525 | 250 |
| Сумма единовременно поддерживаемых пользователей на устройство | 512 | 4096 | 8192 | 4096 |
| Сумма единовременно поддерживаемых пользователей на устройство в режиме standalone | 256 | 2048 | 4096 | 2048 |
| Сумма единовременно поддерживаемых пользователей на устройство в режиме high- availability | 256 | 2048 | 4096 | 2048 |
| Технические требования к серверу | ||||
| Требования к количеству CPU | 2 | 4 | 8 | 4 |
| Требования к количеству оперативной памяти (Gb) | 1 | 2 | 4 | 2 |
| Требования к количеству свободного места на жестком диске (Gb) | 25 | 25 | 25 | 25 |
| Требования к количеству физических интерфейсов | Два порта для передачи данных, один порт для выделенного управления контроллером. | |||
Более подробное описание параметров беспроводных контроллеров Extreme Networks можно найти на сайте производителя:
learn.extremenetworks.com/rs/extreme/images/Wireless-Controllers-DS.pdf
Виртуализированная сегментация пользователей
Концепция иерархической зависимости, при настройке элементов VNS
Контроллер беспроводной сети позволяет создавать и управлять уникальными виртуальными сетевыми службами — Virtual Network Services (VNS), благодаря которым вы можете предоставить уникальные уровни сервиса (такие как разрешение доступа, шифрование и авторизация устройств) в группах мобильных пользователей, устройств или приложений, на основе базовых политик (ролей).
Роли (так же известные как политики) определяют топологию ТД (сетевой сегмент), фильтрацию (ограничение доступа) и класс обслуживания (Class of Service). Понятие VNS состоит из WLAN Service связанных с одной или двумя ролями, применяемых к станциям по умолчанию. Пока не пройдена ассоциация с ролью, WLAN Service остается не активным.
Когда пользователь ассоциируется с конкретным SSID (WLAN Service), пользователю присваивается определенная роль, которую VNS считает ролью по умолчанию. Пользователь попадает в специальный сегмент, где его доступ в сеть ограничен фильтрами «роли», а его скорость ограничена параметрами, которые указаны в роли.
Тем не менее, при ответе сервера аутентификации (например, RADIUS) или запроса со стороны внешнего API, можно переназначить пользователя к другой политике. Роль может переподключить пользователя к совершенно другому сегменту (VLAN), состоянию доступа (фильтры) и ограничению скорости.
Роль, назначенная на конкретную пользовательскую сессию, остается активной все время, пока пользователь находится и перемещается в мобильном домене.
Контроллер беспроводной сети (Identifi Wireless Appliance), может поддерживать следующее количество VNSs, топологий, ролей и профилей по ограничению скорости:
| Контроллер | Максимально поддерживаемое количество: | ||||
| Active VNSs | VNSs | Topologies | Roles | Rate Control Profiles | |
| C5210 | 128 | 256 | 256 | 1024 | 128 |
| C25 | 16 | 32 | 32 | 128 | 32 |
| C35 | 48 | 16 | 32 | 128 | 32 |
| V2110 | 64 | 128 | 128 | 512 | 128 |
Аутентификация и шифрование
Контроллер беспроводной сети (Identifi Wireless Appliance), и точки доступа работают совместно поддерживая широкие возможности аутентификации, шифрования и обнаружения вторжений.
Механизмы 802.1x в сочетании WPA-2 Enterprise и WPA-2 PSK (аутентификация Pre-Shared Key) позволяют только авторизованным пользователям иметь доступ к сети. Другие функции включают в себя Captive Portal для перенаправления пользователей на веб-аутентификацию.
Radar WIDS-WIPS
Identifi Radar это расширенный набор возможностей Wireless-Intrusion-Detection- Service and Wireless-Intrusion-Prevention-Service (WIDS-WIPS) интегрированных с беспроводным контроллером, точками доступа и соответствующим программным обеспечением. Radar обеспечивает базовое решение для обнаружения несанкционированных устройств в зоне действия беспроводной сети. Radar выполняет базовый анализ радиочастот (RF) сети для выявления неуправляемых точек доступа и персональные ad-hoc сети. Функции, которые включает в себя Radar: поддержку динамического выбора каналов и радиочастот, отображение местоположения (требуется Netsight 4.4 и выше), адаптация к интерференции и ее классификация, а также беспроводное обнаружение вторжений и защиты.
Когда Radar функции включены:
• Точки доступа серии AP39xx, AP38xx и AP37xx осуществляют одновременное сканирование WIPS-WIDS и передачу траффика. Точки доступа проверяют и защищают тот частотный канал, в котором они работают.
• Также точки могут быть настроены в режиме Guardians, в этом режиме точка доступа может проверять нарушения (а так же предотвращает их) на всех активных каналах передачи данных. Точки доступа в режиме Guardians не могут передавать трафик, но их можно переключить в режим Traffic Forwarding, при необходимости. Точки доступа можно настроить на активное противодействие определенным типам угроз, которые они обнаружили. Доступны следующие типы противодействий: отправка де¬аутентифицирующих кадров к устройствам и точкам доступа «нарушителям», автоматическое занесение в черный список (блокировка) устройств выполняющих WIDS-WIPS атаки, а также ограничение скорости передачи беспроводных кадров идентифицированных как часть Denial of Service (DoS) атак.
Функция WIPS/WIDS требуют лицензирования.
Более подробную информацию по настройке Radar WIDS-WIPS вы можете найти в Wireless User Guide.
Автоматическое присвоение IP-адресов устройствам клиентов
Контроллер беспроводной сети (Identifi Wireless Appliance) имеет встроенный DHCP сервер, который может быть использован для присвоения IP адресов клиентам сети в заданной топологии. Контроллер так же способен работать с внешним DHCP сервером, ретранслируя DHCP запросы от рабочих станций к серверам.
Web аутентификация
Контроллер беспроводной сети (Identifi Wireless Appliance) имеет встроенный Captive Portal, который позволяет выполнять Web-аутентификацию. Так же поддерживается работа с внешним captive portal.
Identifi Wireless точки доступа
Точки доступа Extreme Networks являются точками доступа корпоративного уровня, они обеспечивают расширенные возможности радиочастот (RF), безопасность, надежность и масштабируемость.
Точки доступа физически присоединяются к LAN инфраструктуре и устанавливают IP соединение с беспроводным контроллером. Вы можете настраивать и управлять глобальными или индивидуальными функциями точек доступа используя беспроводной контроллер. Вся взаимосвязь между точками доступа и контроллером осуществляется с помощью UDP-based протоколов.
Точки доступа для внутренних помещений:
| Точки доступа | Производительность |
| AP3935 | 802.11ac Wave 2, up to 2.5 Gbps, dual-radio 4×4:4 |
| AP3825 | 802.11ac AP up to 1.75Gbps capacity, dual-radio, 3×3:3 |
| AP3805 | 802.11ac AP up to 1.17Gbps capacity, dual radio, 2×2:2 |
| AP3801 | Single radio 802.11n or 802.11ac, Up to 867 mbps |
| AP3705 | Up to 600Mbps capacity, dual-radio, 2×2:2 |
| AP3715 | Up to 900Mbps capacity, dual-radio, 3×3:3, redundant data ports and multiple power options |
Внешние точки доступа:
| Точки доступа | Производительность |
| AP3965 | 802.11ac Wave 2, up to 2.5 Gbps capacity, 4×4:4, 4, IP 67 / NEMA 6, with integrated or external antennas |
| AP3865 | 802.11ac AP, up to 1.75 Gbps capacity, dual-radio, 3×3:3, IP67 / NEMA 6 and supports multiple antenna options |
Заметка
Более подробное описание параметров беспроводных точек доступа Extreme Networks можно найти на сайте производителя: www.extremenetworks.com
MESH и WDS
Mesh сети или Wireless Distribution System (WDS) позволяют расширить зону покрытия беспроводной сети путем объединения нескольких беспроводных точек доступа в единую сеть без проводного соединения между ними. MESH сеть является самовосстанавливающейся, динамической сетью. Mesh сети и Wireless Distribution System (WDS)
идеально подходят для мест, где прокладка проводных Ethernet сетей является дорогостоящей или трудновыполнимой.
Механизмы обнаружения в беспроводных решениях Extreme Networks
Решение Extreme Networks предполагает автоматическое обнаружение контроллера точками доступа:
Для этого используется один из следующих режимов:
• SLP (Service Location Protocol) — Multicast и Unicast
Протокол обнаружения сервисов позволяет компьютерам и другим устройствам обнаруживать предоставляемый сервис (например, автообнаружение Wi-Fi сетей) без предварительных настроек. SLP это один из режимов, с помощью которых точки доступа обнаруживают беспроводные контроллеры в сети.
• DNS (Domain Name Server)
DNS — сервер, который переводит доменные имена в IP-адреса. Может использоваться точками доступа Extreme Networks в качестве альтернативного механизма автоматического обнаружения контроллера. Беспроводной контроллер может быть зарегистрирован в DNS как «controller». После настройки параметра DNS-имени контроллера, точки доступа смогут получить его IP адрес, через запрос DNS.
В DNS должна быть внесена запись класса A (host) привязывающая IP адрес Physical топологии контроллера к доменному имени «controller». DHCP сервер обслуживающий точки должен раздавать суффикс доменного имени (Option 15, DNS Domain Name). Для проверки можно использовать команду: ping controller (т.е. только префикс) При правильной конфигурации DNS и DHCP контроллер должен откликаться.
• DHCP server (Dynamic Host Configuration Protocol) (RFC2131)
DHCP сервер — назначает динамически IP адрес, шлюз и маску подсети и т.д. Он также используется точками доступа для обнаружения местоположения контроллера при первоначальной регистрации. Использует опцию 43, 60 и опцию 78. Опции 43 и 60 указывают идентификатор класса производителя (vendor class identifier (VCI)) и специальную информацию производителя. Опция 78 определяет местоположение одного или более SLP агентов из каталога. Для SLP, DHCP опция 78 должна быть включена. Используйте опцию 60 для запроса DHCP сервера о адресе контроллера. DHCP сервер ответит точке доступа опцией 43, в которой перечислены доступные контроллеры
Дистрибуция решений Extreme Netwroks в Украине, Беларуси, странах СНГ
Учебные курсы Extreme Networks
ссылка на оригинал статьи https://habrahabr.ru/post/276655/
Добавить комментарий