Главная Windows XP Принципы построения и организации беспроводной сети wifi. Как создать и настроить домашнюю сеть WiFi

Принципы построения и организации беспроводной сети wifi. Как создать и настроить домашнюю сеть WiFi

Сложно представить жизнь современного человека без интернета. Просмотр почты, ведение деловой и личной переписки, чтение новостей, просмотр фильмов и телепередач, стало возможным с появлением компьютерных сетей. А с появлением мобильных устройств, таких как смартфоны, планшеты, ноутбуки появилась возможность обмена информации практически в любом месте, где бы человек не находился. Это стало возможным с появлением беспроводных LAN и WAN.

История появления и перспективы развития беспроводных сетей

В 80-х годах прошлого века появился стандарт цифровой передачи данных GSM. На котором до сих пор работают почти все операторы мобильной связи. Это можно считать отправной точкой развития беспроводных сетевых технологий. Данный протокол стремительно совершенствовался, и в 1997 году появилась новая технология обмена информацией на расстоянии без необходимости использования проводов. Такая технология получила название IEEE 802.11, который более известный широкому кругу людей как WiFi.

С момента появления первого варианта 802.11а в 90-х годах прошлого века прошло не много времени, появились более совершенные технологии, увеличилась скорость и качество перемещения данных. Беспроводными сетями окутан практически все здания, офисы и промышленные предприятия. Ожидается переход на более новая спецификация 802.16, который получил название WiMax. Эта технология позволяет значительно расширить диапазон подключения с нескольких десятком метров по WiFi, до десятков километров без потери качества и скорости. Конечно эта технология будет по началу дорогостоящей, но со временем все мобильные устройства планируется оснащать радиомодулем WiMax.

Беспроводные компьютерные сети: классификация и принцип работы

В общем случае беспроводная компьютерная система призвана обеспечить взаимодействие пользователей, различных серверов и баз данных посредством обмена цифровыми сигналами через радиоволны. Подключение может осуществляться несколькими способами: Bluetooth, WiFi или WiMax. Классификация проводных и беспроводных сетей осуществляется по одинаковым признакам:

  1. Персональная компьютерная сеть (PAN - Personal Area Network). Соединение осуществляется, например, между мобильными телефонами, находящимися в непосредственной близости друг от друга.
  2. Локальная компьютерная сеть (LAN - Local Area Network). Подключение в пределах одного здания, офиса или квартиры.
  3. Городская компьютерная сеть (MAN - Metropolian Area Network). Работа в пределах одного города.
  4. Глобальная компьютерная сеть (WAN - Wide Area Network). Глобальный выход в интернет.

Спецификация 802.11 это совокупность протоколов, которые в полной мере соответствуют принятым нормативам открытых сетей модели OSI (Open System Interconnection). Эта эталонная модель описывает семь уровней обмена данными, но протокол 802.11 отличается от проводного, только на физическом, и, частично, на канальном уровне. Это уровни непосредственного обмена информацией. Физическим уровнем передачи является радиоволны, а канальный уровень управляет доступом и обеспечивает обмен данными между двумя устройствами.

Вайфай работает на двух диапазонах частот: 2,4 (стандарты 802.11a/b/g/n) или 5 (только 802.11n) ГГц. Радиус действия может достигать 250-300 метров в пределах прямой видимости и до 40-50 метров в закрытых помещениях. Каждое конкретное оборудование обеспечивает различные физические показатели в зависимости от модели и фирмы производителя.

Скорость передачи потока данных отличается в зависимости от используемого стандарта и может составлять от 11 Мбит/с по стандарту 802.11b до 600 Мбит/с в 801.11n.

Организация беспроводной сети

WiFi может использоваться для нескольких целей:

  • организация корпоративной сети предприятия;
  • организация удаленного рабочего места;
  • обеспечение входа в интернет.

Соединение осуществляется двумя основными способами:

  • Работа в режиме инфраструктуры (Infrastructure Mode), когда все компьютеры связываются между собой через точку доступа (Access Point). Роутер работает в режиме коммутатора, и очень часто имеет проводное соединение и доступ в интернет. Чтобы подключиться нужно знать идентификатор (SSID). Это наиболее привычный для обывателя тип подключения. Это актуально для небольших офисов или квартир. В роли точек доступа выступают роутера (Router).
  • Второй вариант подключения используется если необходимо связать два устройства между собой напрямую. Например, два мобильных телефона или ноутбука. Такой режим называется Adhoc, или равный с равным (peer to peer).

Бытовые роутеры дают возможность подключиться не только через вайфай. Практически каждый оборудован несколькими портами Ethernet, что дает возможность вывести в сеть гаджеты, которые не оборудованы WiFi модулем. В этом случае роутер вступает в качестве моста. Позволяющего объединить проводные и беспроводные устройства.

Для увеличения радиуса действия сети или для расширения существующей топологии, точки доступа объединяются в пул в режиме Adhoc, а другие подключаются к сети через маршрутизатор или коммутатор. Есть возможность увеличить зону покрытия путем установки дополнительных точек доступа в качестве репитера (повторителя). Репитер улавливает сигнал с базовой станции и позволяет клиентам подключаться к нему.

Практически в любом общественном месте можно поймать сигнал WiFi и подключиться для выхода в интернет. Такие общественные точки доступа называются Hotspot. Публичные зоны с вайфай покрытием встречаются в кафе, ресторанах, аэропортах, офисах, школах и других местах. Это очень популярное на данный момент направление.

Вопросы безопасности беспроводной сети

Проблемы безопасности касаются не только передачи информации по радиоканалам. Это глобальный вопрос связанный с работоспособностью любой системы и, тем более, открытой. Всегда есть вероятность прослушать эфир, удаленно перехватить сигнал, взломать систему и провести анонимную атаку. Чтобы избежать несанкционированное подключение разработаны и применяются методы шифрования информации, вводятся пароли для получения доступа на подключение, запрещается транслирование имени точки доступа (SSID), ставятся фильтр на подключаемых клиентов и прочие меры.

Основную угрозу представляют собой:

  • «Чужаки» или несанкционированные устройства, которые получили доступ к точке доступа в обход средств защиты.
  • Нехарактерная природа подключения позволяет мобильным устройствам автоматически подключаться к доверенной (а иногда и не очень) сети. Таким образом для доступа к информации злоумышленник имеет возможность переключить пользователя на свою точку доступа с последующей атакой или для поиска тонких мест в защите.
  • Уязвимости, связанные с конфигурацией сетей и подключаемых устройств. Риск возникает при использовании слабых механизмов защиты, простых паролей и пр.
  • Некорректно настроенная точка доступа. Многие пользователи сети оставляют значение паролей, IP-адреса и другие настройки в том виде, в котором они были настроены на заводе. Преступнику не составляет труда проникнуть в защищенную зону, перенастроить сетевое оборудование под себя и пользоваться ресурсами сети.
  • Взлом криптозащиты сети позволяет использовать передаваемую внутри сети информацию. Для взлома шифрования сейчас не нужно иметь специальных знаний или навыков. Можно найти огромное количество программ сканирующих и подбирающих защитные коды.

Следует также отметить, что технологии взлома постоянно совершенствуются, постоянно находятся новые способы и варианты атак. Существует также большой риск утечки информации позволяющий узнать топологию сети и варианты подключения к ней.

Преимущества и недостатки беспроводных сетей

Основное преимущество передачи информации по воздуху, вытекает из самого названия технологии. Нет необходимости в прокладке огромного количества дополнительных проводов. Это существенно снижает время на организацию сети и затраты на монтаж. Для использования вайфай сетей нет необходимости приобретать специальную лицензию, значит можно быть уверенным в том, что устройство, соответствующее стандарту 802.11, приобретенное в одной точке земного шара, будет работать в любой другой.

Беспроводные сети хорошо модернизируются и масштабируются. При необходимости увеличить покрытие сети, всего-навсего устанавливается одно или несколько дополнительных роутеров без необходимости изменить всю систему. В зонах с неравномерным покрытием, устройство-клиент всегда будет переключаться на ту точку, которая имеет наивысшее качество связи.

Среди недостатков стоит отметить проблемы с безопасностью. Все современные роутеры поддерживают несколько протоколов шифрования, есть возможность фильтрации клиентов по MAC-адресам. Таким образом при достаточной внимательности можно организовать систему наименее подверженную рискам. Еще один недостаток это перекрытие зон покрытия от различных роутеров. В большинстве случаев эта проблема решается переключением работы на другом канале.

Я хочу рассказать о том, как мы строили свой собственный, хороший WLAN - Wireless LAN.

Эта статья будет полезна тем, кто собирается построить в своей компании WLAN, причем не простой, а хорошо управляемый и такой, чтобы пользователи этого WLAN были довольны, т. е. не замечали бы его после начального подключения.

Как это все начиналось

WLAN в нашей компании существует очень давно, с 2002 года, когда вся беспроводная сеть в офисе была представлена всего одной SOHO точкой 3COM стандарта 802.11b, которая покрывала весь офис. Нагрузка на нее была невелика, WiFi-устройств было очень мало.

Шли годы, офис увеличивался, появился стандарт 802.11g. Мы шли по пути постепенного увеличения количества SOHO точек с одинаковым SSID-ом. Задача была в том, чтобы WiFi просто был. Сначала был один этаж с 6 точками LinkSys WAP54G, затем появился второй этаж, куда мы начали ставить точки Cisco (они же LinkSys) стандарта gn. Если где-то не хватало покрытия, мы просто добавляли точку.

Пока клиентских устройств было не очень много, такая схема работала неплохо. Да, были проблемы с роумингом, когда клиент до последнего цеплялся за точку, с которой соединился вначале и не хотел переходить на другую точку, сигнал от которой лучше. Да, такой сетью было неудобно управлять: замена SSID-а или добавление нового, требовало обойти все точки, которых было в максимуме этой сети - 12 штук. Да, понять, что происходит в WLAN сети, было непросто, т. к. все точки работали «сами по себе» без централизованного управления. Даже определить количество одновременно подключенных клиентов было непросто. Отказоустойчивость такой сети также была не на высоте. Достаточно было «зависнуть» одной точке - и сразу появлялась дырка в покрытии. Но все это компенсировалось низкой стоимостью этой сети. Одна точка стоила $130-$150, собственно только из стоимости точек и складывалась стоимость сети.

Одновременно росло количество WiFi-клиентов, которых уже не устраивал «просто WiFi в офисе». Они хотели высокопроизводительный WiFi, с возможностью перемещаться по офису и при этом не терять связь. Также стало понятно, что наша компания будет переезжать в новый офис. Это было начало-середина 2012 года, соответственно, перед нашим отделом встала задача построить качественный WiFi в новом офисе до переезда.

План был такой:
1. Определиться с задачами, которые должен был решать наш WLAN.
2. Выбрать производителя WLAN.
3. Спроектировать расположение точек, т. к. это нужно было сделать до окончания прокладки СКС в здании, чтобы не превращать установку точек в отдельный строительный проект.
4. Составить точный список оборудования для заказа.
5. Смонтировать, настроить и протестировать сеть.

Задачи

Нам нужен в первую очередь надежный WLAN, чтобы пользователи не задумывались о решении проблем с подключением к сети. Скорость WLAN должна обеспечивать комфортный software development и доступ в Интернет. Задачу по замене проводной сети на беспроводную мы перед собой не ставили, т. к. никакой WLAN не заменит девелоперу проводное подключение на 1 Gbit, которое мы и так обеспечиваем на каждом рабочем месте.

Нужна возможность удобного управления WLAN - для быстрого создания новых беспроводных сетей, например для гостей или проводимых в офисе конференций. Возможность централизованного управления сетями в географически разнесенных офисах, т. е. чтобы пользователь, подключившись в одном из офисов и переехав со своими мобильными устройствами в другой офис, подключился к сети уже автоматически.

Разумеется, нужна возможность удаленного управления WLAN сетями в других наших офисах, которые по странному стечению обстоятельств также переезжали в новые помещения примерно в это же время и в которых старая WLAN также нуждалась в замене.

Выбор производителя
Это была одна из наиболее сложных задач. Все производители обещают, что именно их решение самое лучшее. Понятно, что для наших задач (централизованное управление сетью, да еще и в нескольких офисах) нужен WLAN с контроллером, т. к. вариант без контроллера мы уже использовали, а новая сеть должна быть в 2-3 раза больше.

Я рассматривал таких производителей: Cisco, Motorola и Aruba. Вначале еще рассматривал HP, т. к. наша проводная сеть построена именно на HP, но после прочтения нескольких тестов производительности, где HP занимал последние места, я исключил его из рассмотрения.

Итак, Cisco - лидер сетевой индустрии. Любое сетевое решение, построенное на Cisco, должно работать хорошо. Обратная сторона - цена решения, которая обычно выше, чем у конкурентов. В обычном WLAN решении от Cisco весь трафик с точек доступа поступает на контроллер, который занимается дальнейшей обработкой пакетов. В этом варианте есть как плюсы (весь трафик проходит через одну точку), так и минусы: жесткая зависимость от работоспособности контроллера и ширина канала, по которому подключен контроллер к проводной сети. По этой же причине в каждом офисе нужно ставить свой собственный контроллер WLAN.

Aruba Networks . Один из основных конкурентов Cisco в сегменте беспроводных сетей. Продвигают свое решение без контроллера, т. е. контроллер находится где-то в облаке, а точки находятся у вас в офисе. Год назад я не был готов ставить свою беспроводную сеть в зависимость от облачного сервиса.

Motorola . WLAN решение от Motorola - WiNG 5 - делает упор на децентрализованность. Каждая точка является достаточно умной, чтобы авторизовать клиента и затем пропускать трафик между беспроводным и проводным сегментами сети в соответствии с настройками, которые точка получает с контроллера. Т. е. в этом случае мы получаем сегмент проводной сети, обычно это VLAN с трафиком от беспроводных клиентов, и затем мы можем управлять этим трафиком с помощью инфраструктуры обычного LAN. Контроллер используется только для управления точками доступа и сбора статистики. Также есть очень полезный для нас режим работы, когда контроллером становится одна из точек доступа, а при ее недоступности производится процедура выбора точки-контроллера из оставшихся точек сети.

Здесь Моторола показывает, как ходят данные в сети WiNG5 по сравнению с другими архитектурами:

Также в процессе выбора производителя на меня повлияли советы товарища apcsb , который прислал ссылки на очень хорошие мануалы по развертыванию и настройке WiNG 5. После прочтения этих документов стало ясно, что архитектура WiNG 5 с вариантом подключения NOC (Network Operations Center) подходит нам больше всего.

Схема сети вырисовывалась такая: в самом большом офисе, где нужно поставить больше всего точек, мы устанавливаем контроллер и самые простые, «зависимые» точки, которые без контроллера могут работать только несколько минут. В удаленных офисах мы устанавливаем «независимые» точки, которые могут брать на себя функции контроллера в случае недоступности основного контроллера, но управлять удаленными офисами мы все равно будем с центрального контроллера. Это было особенно удобно, т. к. удаленным офисам уже была нужна новая беспроводная сеть, которую мы уже могли развернуть с помощью независимых точек, а главный офис был еще не готов. После запуска главного офиса, в котором и будет находиться WLAN контроллер, мы переключим удаленные офисы на работу с ним.

Как же расположить WiFi-точки?

Нам предстояло обеспечить отличное WiFi-покрытие в новом офисе, который представляет собой новое 7-этажное здание. Нужен был WiFi на каждом этаже, а также на крыше здания, которая является эксплуатируемой, т. е. там могут находиться люди. То, что здание новое, в процессе проектирования WiFi-сети, очень полезно знать, т. к. именно в новых зданиях используются хорошие железобетонные перекрытия, которые отлично экранируют WiFi-сигнал. Все этажи имеют одинаковую форму - почти прямоугольник 45x30 метров с железобетонной конструкцией в центре (туалеты, лестницы и лифтовые шахты).

Сложность заключалась в следующем: на этажах полностью отсутствовали внутренние перегородки, т. к. их еще предстояло построить. Но WLAN-оборудование надо было уже заказывать, т. к. обычные сроки поставки - от 2 месяцев. Соответственно, мы не могли сделать полноценное радиообследование уже готового помещения, как советуют во всех руководствах, и пришлось положиться только на чертежи будущих перегородок. Небольшое радиообследование мы все-таки провели: выяснили, что можно покрыть практически весь этаж двумя WiFi-точками 2,4 Ггц мощностью 17 dBm и получить уровень сигнала в большинстве мест этажа не менее -70d Bm. Также мы выяснили, что посторонних WLAN-сетей в здании и поблизости нет, а железобетонное перекрытие между этажами экранирует сигнал до уровня -80-90 dBm.

Стало понятно, что с помощью двух, а лучше трех WiFi-точек мы худо-бедно обеспечим покрытие одного этажа в диапазоне 2,4 Ггц при отсутствии перегородок. Однако полной уверенности, что это будет хороший WiFi, не было. Поэтому я решил смоделировать этаж в какой-либо системе для проектирования беспроводных сетей. У Motorola есть такой софт, специально предназначенный для таких задач, - LANPlanner. Наверняка система хорошая, но стоит в районе 300 тыс. руб. и невозможно посмотреть даже демо-версию. После некоторых поисков я нашел программу TamoGraph Site Survey , которая позволяет составлять карту покрытия WLAN, а также проводить моделирование с использованием виртуальных WiFi-точек и виртуальных стен. Цена на эту программу была в 10 раз меньше по сравнению с LANPlanner, и, учитывая, что неправильное расположение WiFi-точек обойдется значительно дороже, я решил воспользоваться именно TamoGraph.

Вооружившись строительными планами будущих перегородок и TamoGraph Site Survey, я нарисовал план одного этажа, используя виртуальные материалы стен с теми же характеристиками, которые будут у наших будущих перегородок. После размещения на плане виртуальных WiFi-точек стало понятно, что программа моделирования - вещь чрезвычайно полезная. Она сразу показала, как будут влиять на распространение сигнала бетонные колонны, которые также были на этаже, но которые учесть «на глаз» было очень сложно. После моделирования стало ясно, что даже для диапазона 2,4 Ггц очень желательно поставить 4 точки на этаж. А если мы хотим использовать диапазон 5 Ггц, то точек нужно больше и ставить их нужно чаще. В итоге мы остановились на схеме с 6 точками на этаж, при этом мощность каждой точки в диапазоне 5 Ггц не превышает 17 dB и основные части этажа покрываются одновременно как минимум 2 точками. Тем самым мы обеспечиваем надежность работы WLAN в случае выхода из строя одной из точек на этаже.

Вот пример того, как выглядит результат моделирования одного из этажей (цветом показан уровень сигнала на 5 Ггц):

Итак, расположение точек известно, схема сети в целом понятна.

Что же нужно купить?

В главный офис нужно 39 «зависимых» dependent или thin точек, т. к. контроллер будет рядом. Это будут двухдиапазонные точки Motorola AP-650 «AP-0650-66030-WW» со встроенными антеннами. Это оптимальные двухдиапазонные точки от Motorola с поддержкой a/b/g/n стандартов. Они не могут работать без контроллера, и настроить без контроллера их нельзя.

В удаленные офисы нужно покупать полноценные точки AP-6532 «AP-6532-66030-WW». Эта точка по WiFi-характеристикам является копией AP-650. Но эти точки могут работать как сами по себе, так и под управлением контроллера. Если они теряют связь с контроллером, то продолжают обслуживать WiFi-клиентов. Если же контроллера изначально нет, то его функции на себя берет одна из точек (выбирается автоматически). Софт на WiFi-точках и на контроллере - один и тот же. Стоимость точки AP-6532 примерно на 150$ выше, чем AP-650.

Так выглядит эта точка на столе:

А вот так уже установленная на потолке:

Удобно, что на многих типах подвесных потолков эти точки можно закрепить без сверления отверстий: точка крепится к T-профилю потолка на защелках.

В качестве контроллера, а точнее двух контроллеров для работы в кластере, я выбрал RFS6000 . Здесь выбор был довольно прост: более простая версия RFS4000 не поддерживает нужного нам количества точек, а RFS7000 просто дороже. Также на контроллеры нужно купить сервисный контракт, по которому можно получать обновление софта и получить гарантийное обслуживание в течении 3 лет.

Казалось бы, всё купили: точки, контроллеры, гарантию на контроллеры. Но нет: еще нужно купить лицензии для подключения точек к контроллеру. Выгоднее всего покупать лицензии пакетами, в нашем случае это 4 пакета по 16 лицензий, т. е. наши контроллеры смогут обслуживать 64 точки с учетом всех удаленных офисов. Интересная деталь: лицензии и контроллеры покупаются независимо, а потом на сайте Motorola вы связываете лицензии с определенным контроллером или контроллерами. В нашем случае все лицензии привязаны на один контроллер, а второй контроллер объединен с ним в кластер. Так вот в случае выхода из строя первого контроллера (с лицензиями), второй продолжит обслуживание с этими же лицензиями.

Теперь разберемся с гарантией на точки. Гарантия на замену неисправных точек для всех Motorola точек стандарта «N» - пожизненная. Пожизненная - это значит не в течении Вашей жизни, а в течении жизненного цикла этих точек от компании Motorola. Как только они прекратят выпуск этих точек + сколько-то лет, и точку уже не поменяют. Думаю, что у других производителей точно такая же «пожизненная» гарантия, так что это не особенность именно Motorola. Еще можно приобрести дополнительную гарантию на точки, при которой, если у вас точка выходит из строя, вам сначала привозят новую, а затем вы отправляете старую обратно.

Но и это еще не все. Еще нужен сервисный контракт на точки, чтобы можно было обновлять прошивки. В случае точек AP-650 стоимость сервисного контракта на точки уже заложена в сервисном контракте на контроллер и, соответственно, зависит от количества точек, которые подключаются к контроллеру. А вот на точки AP-6532, которые были куплены в других странах для удаленных офисов, нужно было покупать сервисный контракт на эти точки.

Возможно, кому-то будут интересны цены на оборудование в России:

Подключение и настройка

С подключением никаких проблем не было. Сначала нам нужно было запустить WLAN в удаленных офисах, т. к. центральный офис был еще не готов. Для этого мы подключали несколько независимых точек AP-6532 в обычный сегмент сети на PoE-порты. Точки включались, самостоятельно находили друг друга в пределах LAN сегмента и самостоятельно выбирали одну из них как Virtual Controller. Соответственно, все настройки нужно проводить, подключившись именно к точке с функцией контроллера. Для обновления прошивки достаточно обновить ее на точке-контроллере, а она уже перепрошьет остальные точки.

Порты на LAN-свитчах мы настроили в режим trunk, чтобы они принимали тегированные пакеты и распределяли их по соответствующим VLAN-ам. VLAN у нас настроено 2: для внутренних пользователей и для гостей. В каждом VLAN своя IP-адресация, и маршрутизируются они по-разному, но все это уже делается на обычном проводном оборудовании. На контроллере мы также создали 2 WLAN-сети: для сотрудников и для гостей, каждую со своим SSID-ом, которые отобразили на соответствующий VLAN. Т. е. клиент, подключаясь к одному из WLAN, попадает в соответствующий этой сети VLAN. Если говорить просто, то WiFi-точки выступают в виде распределенного WLAN-свитча и передают пакеты между WLAN и LAN сетями.

Настроек на точках в этот момент нужно было сделать немного:
1. Задать страну для rf-domain, чтобы точки работали в разрешенном для этой страны диапазоне.
2. Создать нужное количество WLA-сетей (в нашем случае две) с соответствующими настройками security. При создании WLAN нужно указать VLAN, которым она будет тегироваться.
3. Включить технологию SMART-RF, которая поможет автоматически выбрать каналы и мощность радиомодулей в точках, основываясь на зашумленности эфира и взаимном расположении точек. В дальнейшем SMART-RF может менять канал или мощность точки в случае появления помех или, например, повысить свою мощность при отключении соседней точки, чтобы увеличить покрытие. Технология довольно удобна, хотя наверняка есть случаи, когда она мешает.

В общем-то, это все. Можно еще задать конкретные параметры радиомодулей любой из точек или всех сразу, но для этого надо хорошо представлять, что вы делаете. Для этого очень полезно почитать книгу CWDP Certified Wireless Design Professional Official Study Guide , которую рекомендует TamoSoft вместе со своей программой проектирования сетей. Похоже, что авторы программы разрабатывали ее, основываясь на этой книге, т. к. многие термины совпадают. В нашем случае мы отключили поддержку скоростей ниже 6 Мбит, чтобы медленные WiFi-подключения не мешали.

Хочу сказать пару слов о том, что такое rf-domain (Radio Frequency domain). Это физическая область, которая объединяет в себе группу WiFi-точек. Внутри этой группы может происходить роуминг клиентов. Например: если офис должен быть полностью покрыт WLAN, то все точки этого офиса имеет смысл объединить в один rf-domain. Если же в офисе есть 2 разнесенных между собой конференц-зала и точки установлены только для обслуживания клиентов в этих залах, то надо сделать два rf-domain"а, по одному для каждого зала. В случае использования независимых точек с виртуальным контроллером вы можете создать только один rf-domain.

На этом этапе мы получили несколько совершенно независимых WLAN-сетей в удаленных офисах, каждую из которых нужно было настраивать отдельно. Но зато каждая из этих сетей работала очень хорошо, роуминг между точками работал, статистика собиралась, пользователи были довольны.

Настройка центрального офиса (NOC)

Для запуска всей WLAN-инфраструктуры у Motorola есть отличный документ «WiNG 5.X How-To Guide Centralized Deployments», в котором по шагам расписано, как и что нужно делать. Каждый шаг описан в двух вариантах: для любителей GUI есть картинки, для любителей SSH консоли есть соответствующие команды. Я же опишу процесс настройки общими словами.

Сначала подключаем контроллеры, их у нас 2 штуки. Чтобы при выходе из строя одного из них сеть продолжала работать, их нужно объединить в кластер. Контроллеры подключаются к сети обычным 1 Gb Ethernet, хотя можно подключить и оптикой через SFP-коннектор. Настраиваем один из контроллеров: IP-адреса, DNS имя, пароли. Затем настраиваем IP-адрес для второго контроллера и прошиваем в него прошивку той же версии, что и у первого контроллера, - это совершенно необходимо для объединения в кластер. Именно поэтому нужно покупать сервисный контракт на контроллеры. Без контракта вы не получите доступа к прошивкам, ни к старым ни к новым, а в моем случае контроллеры пришли с разными версиями прошивок.

Затем на «втором» контроллере выполняете команду «join cluster» с указанием адреса первого контроллера. Второй контроллер перезагружается - и готово, кластер из двух контроллеров работает с идентичными настройками. Кластер бывает двух типов: Active-Active - когда оба контроллера обслуживают точки одновременно, и Active-Passive - когда точки обслуживает только первый контроллер, а второй включается в работу только при выходе из строя первого. В любом случае все точки сети знают IP-адреса обоих контроллеров.

Теперь на контроллере необходимо создать нужные нам rf-domain"ы. В нашем случае мы создаем каждому офису по одному rf-domain: spb-office, munich-office и т.д. У каждого rf-domain"а указана своя страна и своя настройка технологии SMART-RF, что логично: в разных областях нам может понадобиться настраивать радиомодули точек по-разному.

Далее на контроллере создаем WLAN-сети. Любую из созданных WLAN можно будет включить в любом из офисов, что, конечно же, очень удобно и являлось одним из наших первоначальных требований. Составной частью WLAN является настройка ее security, т. е. тип аутентификации, шифрования и QoS. Важно понять, что rf-domain и WLAN являются совершенно независимыми друг от друга сущностями. Также в WLAN задается ее SSID и тег VLAN, которые можно переопределить для каждого rf-domain. Это удобно, т. к. не в каждом офисе у нас совпадает нумерация VLAN-ов, а здесь мы можем задать нужный VLAN определенной WLAN для конкретного rf-domain.

Теперь переходим к настройке точек. Исходим из того, что каждая точка при включении должна подключаться к контроллеру и получать все настройки с него. Для этого на DHCP-сервере нужно прописать определенные vendor specific опции, в которых указываем IP-адреса контроллеров и некоторые настройки таймаутов. Эти опции никак не влияют на других клиентов сети, т. к. DHCP-сервер их отправляет только тем, кто запрашивает именно эти опции. Такая схема позволяет быстро подключать новые точки к сети: взяли новую точку из коробки, подключили к нужному порту на свитче, и всё. Точка получает с контроллера нужную прошивку и все необходимые настройки. При выключении точки она теряет все свои настройки и становится «чистенькой», как с завода (сохраняется только прошивка).

В момент самого первого подключения к контроллеру контроллер запоминает эту точку по MAC-адресу в своем конфиге и уменьшает количество свободных лицензий на 1. Затем контроллер находит подходящий профиль для настройки этой точки и отдает настройки этого профиля точке. Если это не первое подключение точки, то на контроллере могут храниться дополнительные настройки для этой конкретной точки, которые он объединяет с настройками подходящего профиля и отправляет точке.

Что же такое профили (Profiles) в WiNG 5? Профили позволяют выдать одинаковые настройки сразу группе WiFi-точек или контроллеров. Профили хранятся на контроллере и представляют собой полные наборы параметров для точки определенного типа. Например если нам нужно производить автоматическую настройку точек AP-650 и AP-6532 в одной и той же сети, то нам понадобится как минимум 2 профиля: для AP-650 и для AP-6532. Именно в профиле указано, какие WLAN будет обслуживать наша точка, в каких диапазонах будут работать радиомодули и на каких скоростях. Также на настройки профиля накладываются ограничения rf-domain, в котором находится конкретная точка.

Как контроллер определяет, какой профиль нужно выдавать конкретной точке? Для этого у контроллера есть «Automatic Provisioning Policies». Не могу придумать хорошего русского аналога. Этих Policies на контроллере может быть несколько штук, в каждом из них записано определенное условие, по которому эта policy применяется к точке или нет. Условиями могут быть: диапазон IP-адресов, в котором находится точка, диапазон MAC-адресов точек и многие другие. Но мне достаточно различать точки по типу и по IP сети. Также в policy указано, какой профиль применять к точке и в каком rf-domain эта точка находится. В итоге, при подключении точки контроллер идет по списку policies и первая подходящая к этой точке policy применяется.

Теперь собираем все это вместе

В центральном офисе у нас 3 типа точек: AP-650, AP-6532 и AP-7161 (уличное исполнение). Значит, нужно создать 3 профиля и 3 Automatic Provisioning Policies. Так как точек в этом офисе у нас относительно много, то мы сделали отдельный VLAN (WiFi Management VLAN), в который подключаем сами точки. В удаленных офисах точки подключены в обычный сегмент сети вместе с пользователями, т. к. там точек обычно немного. Точки получают IP-адрес, подключаются к контроллеру и, в зависимости от типа точки, получают свой профиль для настройки, а также получают указание от контроллера, в каком именно rf-domain они находятся. После этого точка приступает к обслуживанию клиентов тех WLAN, которые определены в ее профиле.

При подключении каждой новой точки технология SMART-RF определяет лучший номер канала для радиомодулей этой точки и мощность. Этот выбор производится в зависимости от каналов, на которых работают соседние точки и от расстояния до них. Области радиопокрытия соседних точек перекрываются, поэтому каждая точка «видит» несколько соседних (в нашем случае видно 3-4 соседних точки на этаже).

Как я уже упоминал, для связи WLAN и LAN у нас сделано 2 VLAN: рабочий и гостевой. В рабочий VLAN отображается WLAN для сотрудников, а в гостевой отображается 1 или более гостевых WLAN. Мы поднимаем дополнительные гостевые WLAN в случае каких-либо мероприятий в офисе, чтобы после окончания мероприятия можно было этот дополнительный гостевой WLAN отключить вместе с гостями. :-)

А вот так выглядит этаж в веб-интерфейсе при работе сети:

Итоги

В результате, к моменту переезда в новый офис мы построили очень хорошую WiFi-сеть. Пользователи, ради которых и строили эту сеть, полностью довольны ее работой. Характерен один из комментариев наших пользователей: «Как это вам удалось построить такой быстрый WiFi?» Мы не старались сделать максимально быстрый WiFi, нам был нужен максимально стабильный WiFi, и я уверен, что эта задача решена. Пользователи перемещаются по всему офису с ноутбуками, планшетами и телефонами и не задумываются о том, будет ли работать WiFi в этой точке. Мы пока не проводили полноценных тестов на скорость, но файлы можно качать со скоростью примерно 15 Мбайт/сек. Не всегда и не на любом клиенте, но такую скорость мы наблюдаем при обычной работе. В данный момент сеть работает уже 5 месяцев, днем в главном офисе к ней подключено до 200 клиентов и никаких нареканий на ее работу нет.

WiNG 5 от Motorola полностью оправдал мои ожидания. Настройка производится быстро и просто, хоть из консоли, хоть из браузера. Работает стабильно, никаких «странностей» в работе нет. WLAN в удаленных офисах можно было запускать без выезда на место. Нужно, чтобы кто-то только подключил точки к LAN, а все остальные настройки можно делать удаленно. В дальнейшем поверх этой сети можно развернуть систему AirDefense - контроль безопасности WLAN и удаленое решение проблем с WLAN. При этом некоторые точки в сети превращаются в сенсоры, которые мониторят радиоэфир.

Я опустил многие детали и возможности WiNG5: например, уже в базовой версии есть система защиты от вторжений (тоже базовая), можно докупить лицензии на систему защиты Advanced. Можно захватывать WiFi-трафик из радиоэфира и смотреть на него с помощью Wireshark. И многое, многое другое, но статья должна быть разумных размеров. Еще хочу заметить, что, по моему мнению, WiNG5 незаслуженно обойден вниманием в России, т. к. практически никаких материалов на русском языке мне найти не удалось, поставщиков и интеграторов также найти непросто.

WiFi является промышленным названием технологии беспроводной передачи данных и относится к группе стандартов IEEE 802.11 . Сейчас реализовано и используется 4 основные стандарты для Wi-Fi сетей , это: 802.11a, 802.11b, 802.11g и 802.11n , который недавно вышел из статуса чернового варианта Draft. Развитием и сертификацией Wi-Fi оборудования занимается международная организация WECA (Wireless Ethernet Compatibility Alliance или сокращенно Wi-Fi Alliance) основанная в 1999 году. Объединяет наиболее крупных производителей компьютерного оборудования и беспроводных устройств Wi-Fi , на сегодняшний день насчитывающее более 320 предприятий, среди которых: Cisco, 3Com, Nokia и т.д. Задачей альянса является тестирование и реализация возможности совместного функционирования внутри одной локальной сети беспроводных сетевых устройств производителей, состоящих в этой организации, а также внедрение и развитие сетей 802.11 как всемирного стандарта для беспроводных сетей.

1 раз в полгода альянс устраивает «анализ совместимости», на этом мероприятии инженеры фирм-производителей удостоверяют, что их сетевые устройства способны на должном уровне взаимодействовать с устройствами других фирм-участников альянса. Сетевое оборудование, несущее на себе логотип Wi-Fi, сертифицировано как отвечающее стандартам и успешно прошедшее тесты на совместимость.

Наиболее распространенными в Украине на данный момент являются стандарты 802.11b и 802.11g, всю большую популярность набирает стандарт 802.11n, как наиболее перспективный, обладающей лучшими скоростными характеристиками передачи данных и увеличенным радиусом действия беспроводной сети. Устройства, построенные на основе этих стандартов, полностью совместимы друг с другом и способны работать в одной беспроводной сети.

Характеристики Wi-Fi стандартов

Стандарт

Частота функционирования

Теоретическая скорость

Реальная скорость

Дальность связи в помещении

Дальность связи на открытом пространстве

54 Мбит/сек

26 Мбит/сек

11 Мбит/сек

5 Мбит/сек

54 Мбит/сек

22 Мбит/сек

2,4 ГГц / 5 ГГц

600 Мбит/сек

90 Мбит/сек

866 Мбит/сек

800 Мбит/сек

неизвестно

Тип организации Wi-Fi сетей

Infrastructure

При такой организации сети все устройства подключаются к точке доступа (Access Point). В роли точки доступа может выступать маршрутизатор, компьютер или другое устройство с Wi-Fi адаптером.

Точка доступа выступает своеобразным посредником при обмене данными между хостами. Другими словами, если одно устройство хочет что-то передать другому, то сначала идет передача от первого устройства точке доступа, а потом от точки доступа второму устройству.

Вторая важная функция точки доступа заключается в объединении беспроводной и проводной сети. Кроме этой функции, точка доступа обеспечивает аутентификацию устройств и реализует политики безопасности сети.

Ad-Hoc

Способ организации сети между устройствами напрямую без точки доступа. Такой способ применяется, когда нужно соединить два ноутбука или компьютера между собой.

Сравнение Infrastructure и Ad-Hoc

  • В Ad-Hoc-сетях максимальная теоретическая скорость ограничена 11 МБит/сек (802.11b). Для Infrastructure максимальная теоретическая скорость 450 МБит/сек (802.11n), 54 МБит/сек (802.11g) и 11 МБит/сек (802.11b). Реальные скорости в несколько раз меньше.
  • Точку доступа можно разместить таким образом, чтобы обеспечивался оптимальный уровень качества покрытия для всех хостов сети. Для увеличения площади покрытия можно разместить несколько точек доступа, объединив их проводной сетью.
  • Настраивать Infrastructure сеть значительно проще, чем Ad-Hoc.
  • Точки доступа могут предоставлять расширенные возможности вроде DHCP, NAT, маршрутизации и т.д.

По большому счету, Ad-Hoc-сети используются для эпизодической передачи данных с одного устройства на другое, когда нет точки доступа.

Безопасность беспроводных сетей

Безопасности беспроводных сетей стоит уделять особое внимание. Wi-Fi – это беспроводная сеть с большим радиусом действия. Поэтому злоумышленник может перехватывать информацию или же атаковать вашу систему, находясь на безопасном расстоянии. В настоящее время существуют уже множество различных способов защиты, и при условии правильной настройки можно быть уверенным в обеспечении необходимого уровня безопасности.

Протокол шифрования WEP

Протокол шифрования, использующий довольно нестойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть WEP-ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бита) – динамической (вектор инициализации), она меняется в процессе работы сети. Основной уязвимостью протокола WEP является то, что векторы инициализации повторяются через некоторый промежуток времени, и взломщику потребуется лишь обработать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP-шифрованию использовать стандарт 802.1x или VPN.

Протокол шифрования WPA

Более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

TKIP (Temporal Key Integrity Protocol) – протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.

MIC (Message Integrity Check) – протокол проверки целостности пакетов. Защищает от перехвата пакетов и их перенаправления.

Также возможно использование 802.1x и VPN, как и в случае с протоколом WEP. Существует 2 вида WPA:

  1. WPA-PSK (Pre-Shared Key) – для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.
  2. WPA-802.1x — вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

Протокол WPA2 — усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

Протоколы стандарта безопасности 802.1X

EAP (Extensible Authentication Protocol) — Протокол расширенной аутентификации. Используется совместно с RADIUS – сервером в крупных сетях.

TLS (Transport Layer Security) — Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

RADIUS (Remote Authentication Dial- In User Server) — Сервер аутентификации пользователей по логину и паролю.

VPN (Virtual Private Network) – Виртуальная частная сеть. Этот протокол изначально был создан для безопасного подключения клиентов к сети через общедоступные Интернет-каналы. Принцип работы VPN – создание так называемы безопасных «туннелей» от пользователя до узла доступа или сервера. Хотя VPN изначально был создан не для Wi-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN чаще всего используется протокол IPSec.

Дополнительная защита Wi-Fi сети

Фильтрация по МАС адресу

MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании, возможно, задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

Скрытие SSID

SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом, при сканировании вашей сети видно не будет. Но опять же, это не слишком серьезная преграда, если взломщик использует более продвинутый сканер сетей , чем стандартная утилита в Windows.

Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть

Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит вас от перехвата трафика или от проникновения в вашу сеть.

Несмотря на самые современные технологии, всегда следует помнить о том, что качественная передача данных и надежный уровень безопасности обеспечиваются только правильной настройкой оборудования и программного обеспечения, выполненными опытными профессионалами.

Для построения Wi-Fi сети нужно серьезное планирование, поскольку ошибки в расчетах могут привести к дополнительным тратам средств и времени. Специалисты компании ITcom в Харькове имеют профессиональные навыки работы с Wi-Fi оборудованием всех типов и стандартов. Мы поможем вам настроить Wi-Fi роутер , установить точку доступа Wi-Fi , подключить беспроводной клиент Wi-Fi , настроить повторитель и т.д. для работы в локальной беспроводной сети , организации общего доступа нескольких компьютеров в Интернет, создания домашней беспроводной сети, подключения к беспроводному Интернету и многое другое.

Специалист ITcom в Харькове произведет необходимые расчеты для определения возможной зоны покрытия Wi-Fi сети и достижения максимальной скорости обмена информацией, выберет оптимальное расположение точки доступа и клиентов, настроит беспроводное оборудование и подключит его к сети .

Создание, построение, организация и настройка офисной или домашней беспроводной сети Wi-Fi требует хоть и меньше трудозатрат, чем обычная сеть, но, тем не менее, занимает много сил и времени. Ведь такая простая, казалось бы, процедура, как организация одной точки доступа, выливается в целый комплекс работ:

    обследование объекта и проектирование сети

    выбор (подбор) оборудования или упор на максимальное использование имеющегося у клиента оборудования

    монтаж, подключение и работы по настройке маршрутизации, защите и т.п.

    настройка конечных пользовательских устройств сети (ноутбуки, ПК, КПК и т.п.), работы по установке ПО, драйверов

  • тестирование работы беспроводной сети (качество передачи сигнала, покрытие, стабильность передачи данных, правильная маршрутизация и корректная работа конечных потребителей)

IP-камеры с WI-Fi — новые возможности видеонаблюдения по ценам «древнего» аналога. Как построить систему правильно

Видеонаблюдение (CCTV) — основа современной системы безопасности. Оно обеспечивает непосредственный мониторинг территории, помогает предотвратить проникновение злоумышленников, выявить подозрительную деятельность, обнаружить ЧП, расследовать происшествие. Анализ видеозаписей поможет обнаружить злоумышленников, в том числе выявить попытки подключения к локальной сети предприятия с целью кражи важной информации.

Мне нужна консультация. Свяжитесь со мной.

Аналоговое прошлое и IP-настоящее

Сегодня при установке системы видеонаблюдения высокого разрешения приходится в основном выбирать из двух вариантов: аналоговое (AHD, HDSDI, HDCVI) или IP.

В аналоговых системах видеонаблюдения видеокамера отправляет видеосигнал на монитор напрямую без сжатия. Это простые в установке, надёжные, но громоздкие системы с ограниченным функционалом. Сегодня такие решения используют в основном лишь в небольших системах с несколькими близкорасположенными камерами или в узкоспециальных отраслях. Мы не будем рассматривать аналоговые системы видеонаблюдения на базе форматов PAL/NTSC, разработанных более 60 лет назад. Они морально устарели, поскольку имеют разрешение 720х480 и не обеспечивают приемлемого качества картинки, например для надежного распознавания лица или номера автомобиля. Сегодня самый популярный аналоговый формат — AHD. Он обеспечивает разрешение 720p (1280x720) и 1080p (1920x1080), благодаря чему аналоговые CCTV еще не окончательно ушли в прошлое и находят применение в простых решениях.

Рис.1. Аналоговые системы построены по простому принципу прямой передачи видеосигнала

HDSDI, HDCVI тоже используют HD-камеры и могут базироваться на старых кабельных сетях, оставшихся от аналоговых систем. Обычно их применяют для узкоспециальных задач, например в системах видеонаблюдения казино, где на первом месте наблюдение в режиме реального времени и защита видеоданных.

Рис. 2. IP-камеры имеют большую гибкость применения

Цифровые системы наблюдения на основе IP-камер используют передачу сжатого видео через сети, в том числе Интернет и беспроводные. Такие системы легко масштабируются, имеют множество настраиваемых параметров и более широкий функционал, например возможность передачи видео высокого разрешения с высокой частотой кадров в секунду для четкой фиксации быстродвижущегося транспорта. Поэтому IP-камеры применяются в самых разных системах наблюдения: от домашних систем с удаленным доступом до крупномасштабных сетей для мониторинга заповедников и городских кварталов.

Возможности

Аналоговые системы имеют ограниченный функционал и, фактически, могут только вести наблюдение в режиме реального времени, а также записывать видео на цифровые накопители (DVR). Расширение функционала потребует расходов на дополнительные устройства и их монтаж. Запись на DVR также имеет ограничения: декодирование видео происходит непосредственно в DVR, а не на видеокамерах. Соответственно, устройство DVR необходимо физически соединить с каждой камерой кабелем.

Достоинством современных IP-камер является больший «интеллект», например, система включения записи по распознаванию движения, автоматическое отслеживание движения, обнаружение оставленных предметов, очередей, цифровой зум и фотофиксация лица, номера машины и другие сложные технологии машинного зрения. Кроме того IP-камеры могут сжимать видео, отправляя картинку с множества камер через один кабель UTP. В частности, популярный кодек H.264 может сжимать видео, сокращая загруженность линии связи до примерно 80 %. В конечном счете все это также уменьшает требования к объемам сетевых накопителей (NVR), которые при размере примерно 20х30 см могут хранить видеозаписи 720p продолжительностью до 50 дней на жестком диске объемом 4 Тб.

Рис. 3. IP-камеры можно подключить к удаленному видеорегистратору через Интернет

Связь с NVR может осуществляться через Интернет, то есть на основе IP-камер можно построить распределенную систему видеонаблюдения, которая будет передавать данные видеозаписи через Всемирную сеть на удаленный NVR. Такую систему можно контролировать удаленно, в том числе и с мобильных устройств, а сетевой накопитель физически недоступен для потенциальных злоумышленников, так как может находиться за сотни километров от контролируемого объекта.

Цифровые IP-камеры являются сетевыми устройствами, поэтому их проще объединить в массив через роутеры. В систему на основе IP-камер легко интегрируются другие сетевые устройства, например датчики дыма, огня, утечки воды и газа, тепловизоры и др. Это позволяет быстро расширить ее функциональность.

Важной особенностью является легкая передача подобной CCTV на аутсорсинг и возможность записи видеоинформации и данных с датчиков в защищенную облачную систему. Таким образом, модернизация существующей аналоговой системы видеонаблюдения в сторону расширения функционала — это неизбежно миграция на IP-технологии.

Следует отметить, что некоторые IP-камеры имеют функцию P2P и могут работать без статического IP, соединяя камеру и монитор (ПК или мобильное устройство) через интернет-сервер производителя камеры. Эта функция позволяет организовать видеонаблюдение в случае, когда провайдер не предоставляет статические IP-адреса. Кроме того, настройка камер P2P очень простая. В настоящее время все больше видеокамер и видеорегистраторов поддерживают P2P-соединение.

Стоимость

Аналоговые камеры AHD 720p в России стоят от 1,5-2 тыс. рублей за простой купольный вариант для помещений до 7-10 тыс. за уличный вариант с ИК-подсветкой для работы ночью. Такие камеры могут использоваться в старых CCTV без тотальной перестройки системы (перекладки кабелей и замены DVR). Обычно такие простые решения используют для небольших систем видеонаблюдения с несколькими камерами, размещенными на малой площади (небольшой офис, дом). Выбор IP-камер огромен, и это одно из ключевых преимуществ IP-видеонаблюдения. В целом IP-камеры на треть дороже дешевых решений AHD и при разрешении в 720p стоят примерно 2,5-3 тыс. рублей. Камеры с разрешением 1080P вдвое дороже. Однако на рынке очень широкий выбор IP-камер для любых требований, что может сэкономить значительные средства при развертывании системы CCTV. Например, для контроля подсобного помещения можно выбрать дешевую «комнатную» IP-камеру за 1 тыс. рублей, а для сложных зон, например гостевой комнаты или парковки, вместо нескольких обычных камер установить одну панорамную камеру за 2 тыс. рублей с обзором 360 градусов. При этом в одной сети можно использовать любые типы камер, соединяя их через один коммутатор.

Рис. 4. Выбор IP-камер очень большой. Часто это помогает сэкономить деньги благодаря выбору оптимального варианта

Видеорегистраторы для аналоговых и IP-систем стоят примерно одинаково: 12-20 тыс. рублей за 16-канальный регистратор. Однако регистраторы для IP-систем часто имеют встроенную функцию PoE, то есть могут обеспечить IP-камеры питанием, что позволяет во многих случаях сэкономить на проводке. К тому же для IP-камер не всегда есть необходимость приобретать видеорегистратор — можно обойтись компьютером или ноутбуком. Также можно выбрать камеру, которая умеет сразу отправлять видео в облачное хранилище.

Аналоговые решения и проводные системы с IP-камерами используют кабели для передачи видеосигнала. IP-камеры — обычно витую пару UTP, а аналоговые —телевизионный кабель RG-6 или RG-59. Особняком стоят такие форматы, как HDTVI и HDCVI, которые могут работать с витой парой, а также более дорогие решения с оптоволокном.

Оба вида провода, UTP и RG, стоят примерно одинаково — около 6 тыс. рублей за 300 м, но для аналоговых CCTV придется делать дополнительную проводку для питания и управления или использовать более дорогой комбинированный провод с дополнительными жилами. Дальность передачи сигнала без снижения качества по аналоговым линиям обычно около 250 м, дальше требуются усилители сигнала.

IP-камеры по витой паре передают видеосигнал на 100 м, дальность можно увеличить только с помощью коммутаторов или применения Wi-Fi. Кроме того, IP-камеры по проводам могут получать питание (POE) и команды на управление фокусом и электроприводами для поворота камеры. При этом IP-системы гораздо проще защитить от сбоев в электропитании: достаточно подключить к PoE коммутатору обычный источник бесперебойного питания. В итоге более дешевые на первый взгляд аналоговые CCTV при организации больших систем наблюдения оказываются намного дороже систем на основе IP-камер.

К тому же IP-системы проще в обслуживании, хотя и требуют привлечения специалистов для развертывания и начальной настройки. Но широкий выбор IP/P2P-камер, в том числе беспроводных, делает их по-настоящему универсальным решением для любых систем видеонаблюдения.

WI-Fi - минимальные затраты при максимальной функциональности

Беспроводные Wi-Fi IP/P2P-камеры могут сэкономить значительные средства на установке видеонаблюдения. Сегодня пропускной способности Wi-Fi достаточно для передачи видео высокого разрешения, например, четырехмегапиксельная видеокамера может обеспечить передачу видео с разрешением 2592x1520 и битрейтом 256-8000 кбит/сек.

Для камер с Wi-Fi не нужны провода — достаточно дешевого двужильного провода питания, причем, при необходимости можно использовать аккумуляторы. Камера 4 Мп потребляет примерно 5 Вт (7 Вт с подсветкой). В случае потери электропитания, встроенного аккумулятора должно хватить на 30 мин автономной работы.

Рис.5. Автономные Wi-Fi-камеры используются в тёплых странах: вышки, сельхозугодья, парковки, заповедники, краны, мосты и т. д.

Камеры с Wi-Fi стоят 5-8 тыс. рублей.

Рис. 6. WI-FI-камеры позволяют организовать видеонаблюдение на большой площади. На рисунке — операторский центр расположен в здании под номером 1. Передатчики Wi-Fi отмечены буквами TX

Радиус действия обычных Wi-Fi-камер составляет примерно 50 м, но может быть расширен с помощью направленных (панельных или секторных) антенн, как и любая другая Wi-Fi-сеть для передачи данных. Например, при использовании панельной антенны с усилением 15 dBi дальность передачи видео 4K составляет порядка 2 км (зависит от рельефа местности, см. статью расчёт дальности радиомостов). Количество камер зависит только от пропускной способности сети, поэтому Wi-Fi-камеры — оптимальное решение для CCTV с большим количеством камер. При использовании интернет-соединения дальность связи не ограничена. Изображение с Wi-Fi-камер может транслироваться на мобильные устройства и умные телевизоры.

Безопасность

Некоторые пользователи беспокоятся по поводу надежности беспроводных сетей. Действительно Wi-Fi канал связи может быть блокирован DDoS-атаками, отправленными через радио-канал. В этом случае прервётся поток видео, который идет от камеры на сетевой видеорегистратор. При этом отключение сети не означает прекращение видеонаблюдения — современные видеокамеры имеют встроенные карты памяти, которые позволяют впоследствии «вручную» просмотреть видеозапись.

Другая возможная угроза CCTV через Wi-Fi - это радиоснифферинг для подсматривания и кражи информации, содержащей коммерческую тайну.

В октябре 2015 г. специалисты команды Incapsula обнаружили глобальный ботнет из 900 взломанных хакерами камер видеонаблюдения. Следует отметить, что злоумышленники воспользовались беспечностью владельцев камер, которые в большинстве случаев даже не сменили заводские пароли, установленные по умолчанию.

Обычно хакеры не используют взломанные камеры для просмотра чужого видео, а осуществляют с их помощью DDoS-атаки для обрушения веб-ресурсов и компьютерных сетей.

Рис. 7. Современные программные платформы позволяют построить на базе WI-FI-камер и датчиков настоящую «цифровую крепость»

Для того, чтобы повысить стойкость Wi-Fi сети видеонаблюдения, произвести защиту периметра и выявить попытки подключения нежелательных пользователей применяется программно-аппаратный комплекс Air Magnet Enterprise от компании Fluke Networks. Эта программная платформа использует систему предотвращения вторжения (WIPS), которая непрерывно сканирует каждый канал Wi-Fi и может автоматически обнаружить около 120 разнотипных угроз, включая распространенные атаки путем перебора паролей, вторжение с помощью утилиты Airpwn, фаззинг и другие. Софт оповещает оператора о попытке вторжения и позволяет на лету обнаруживать источники помех, «глушилки» сигнала и другую подозрительную активность во всем диапазоне частот Wi-Fi, а также сетях мобильной связи 3G, 4G LTE и CDMA.

Таким образом, при верном планировании сети Wi-Fi CCTV, использовании направленных антенн и средств защиты периметра Wi-Fi транспорт обеспечивают гораздо большую безопасность и имеет более широкие возможности для расследования происшествий, чем аналоговые и проводные IP CCTV.

Миграция от аналога к HD Wi-FI

В настоящее время Wi-Fi камеры используются все чаще, поскольку их можно быстро устанавливать и быстро менять конфигурацию, например, добавлять или переносить камеры. Так, в Великобритании, где видеонаблюдение играет ключевую роль в общественной безопасности, беспроводные камеры быстро разворачиваются в районах массовых мероприятий, при этом охранники и полицейские используют даже карманные автономные Wi-Fi-камеры на обычных батарейках. В рамках обычных проводных технологий это невозможно.

По заявлению британской компании Spindlewood, беспроводные CCTV вне конкуренции, когда речь идет о скорости сдачи под ключ и об универсальности применения. Например, на складах транспортной компании R.T Keedwells специалисты Spindlewood установили сотни IP-камер для контроля периметра и территории. При этом над воротами разместили камеры, которые автоматически фиксируют номера всех въезжающих и выезжающих автомобилей.

Рис. 8. Использование WI-FI в качестве основной коммуникации позволяет легко добавлять любые системы наблюдения, включая БПЛА с тепловизорами и уникальными возможностями

Гибкость Wi-Fi CCTV означает, что в будущем можно легко расширить функционал системы за счет самых передовых решений. К примеру, компания FLIR предлагает небольшие беспилотные мультикоптеры, оснащенные тепловизорами и передатчиками Wi-Fi. Такие беспилотники используются для инспекции критической инфраструктуры, например для выявления очагов пожара, утечек воды, химических веществ, обнаружения людей, автомобилей, постороннего оборудования и подозрительной активности в любое время суток. Ни одна проводная система, даже на основе дорогого оптоволокна, не может обеспечить такой простой интеграции.

Можно констатировать, что современные IP-камеры Wi-Fi по уровню безопасности, гибкости, соотношению цена/эффективность и функционалу превзошли все остальные решения CCTV.

SergeyZh 19 сентября 2013 в 12:25

Как мы строили свою WiFi-сеть

  • Блог компании JetBrains

Я хочу рассказать о том, как мы строили свой собственный, хороший WLAN - Wireless LAN.

Эта статья будет полезна тем, кто собирается построить в своей компании WLAN, причем не простой, а хорошо управляемый и такой, чтобы пользователи этого WLAN были довольны, т. е. не замечали бы его после начального подключения.

Как это все начиналось

WLAN в нашей компании существует очень давно, с 2002 года, когда вся беспроводная сеть в офисе была представлена всего одной SOHO точкой 3COM стандарта 802.11b, которая покрывала весь офис. Нагрузка на нее была невелика, WiFi-устройств было очень мало.

Шли годы, офис увеличивался, появился стандарт 802.11g. Мы шли по пути постепенного увеличения количества SOHO точек с одинаковым SSID-ом. Задача была в том, чтобы WiFi просто был. Сначала был один этаж с 6 точками LinkSys WAP54G, затем появился второй этаж, куда мы начали ставить точки Cisco (они же LinkSys) стандарта gn. Если где-то не хватало покрытия, мы просто добавляли точку.

Пока клиентских устройств было не очень много, такая схема работала неплохо. Да, были проблемы с роумингом, когда клиент до последнего цеплялся за точку, с которой соединился вначале и не хотел переходить на другую точку, сигнал от которой лучше. Да, такой сетью было неудобно управлять: замена SSID-а или добавление нового, требовало обойти все точки, которых было в максимуме этой сети - 12 штук. Да, понять, что происходит в WLAN сети, было непросто, т. к. все точки работали «сами по себе» без централизованного управления. Даже определить количество одновременно подключенных клиентов было непросто. Отказоустойчивость такой сети также была не на высоте. Достаточно было «зависнуть» одной точке - и сразу появлялась дырка в покрытии. Но все это компенсировалось низкой стоимостью этой сети. Одна точка стоила $130-$150, собственно только из стоимости точек и складывалась стоимость сети.

Одновременно росло количество WiFi-клиентов, которых уже не устраивал «просто WiFi в офисе». Они хотели высокопроизводительный WiFi, с возможностью перемещаться по офису и при этом не терять связь. Также стало понятно, что наша компания будет переезжать в новый офис. Это было начало-середина 2012 года, соответственно, перед нашим отделом встала задача построить качественный WiFi в новом офисе до переезда.

План был такой:
1. Определиться с задачами, которые должен был решать наш WLAN.
2. Выбрать производителя WLAN.
3. Спроектировать расположение точек, т. к. это нужно было сделать до окончания прокладки СКС в здании, чтобы не превращать установку точек в отдельный строительный проект.
4. Составить точный список оборудования для заказа.
5. Смонтировать, настроить и протестировать сеть.

Задачи

Нам нужен в первую очередь надежный WLAN, чтобы пользователи не задумывались о решении проблем с подключением к сети. Скорость WLAN должна обеспечивать комфортный software development и доступ в Интернет. Задачу по замене проводной сети на беспроводную мы перед собой не ставили, т. к. никакой WLAN не заменит девелоперу проводное подключение на 1 Gbit, которое мы и так обеспечиваем на каждом рабочем месте.

Нужна возможность удобного управления WLAN - для быстрого создания новых беспроводных сетей, например для гостей или проводимых в офисе конференций. Возможность централизованного управления сетями в географически разнесенных офисах, т. е. чтобы пользователь, подключившись в одном из офисов и переехав со своими мобильными устройствами в другой офис, подключился к сети уже автоматически.

Разумеется, нужна возможность удаленного управления WLAN сетями в других наших офисах, которые по странному стечению обстоятельств также переезжали в новые помещения примерно в это же время и в которых старая WLAN также нуждалась в замене.

Выбор производителя
Это была одна из наиболее сложных задач. Все производители обещают, что именно их решение самое лучшее. Понятно, что для наших задач (централизованное управление сетью, да еще и в нескольких офисах) нужен WLAN с контроллером, т. к. вариант без контроллера мы уже использовали, а новая сеть должна быть в 2-3 раза больше.

Я рассматривал таких производителей: Cisco, Motorola и Aruba. Вначале еще рассматривал HP, т. к. наша проводная сеть построена именно на HP, но после прочтения нескольких тестов производительности, где HP занимал последние места, я исключил его из рассмотрения.

Итак, Cisco - лидер сетевой индустрии. Любое сетевое решение, построенное на Cisco, должно работать хорошо. Обратная сторона - цена решения, которая обычно выше, чем у конкурентов. В обычном WLAN решении от Cisco весь трафик с точек доступа поступает на контроллер, который занимается дальнейшей обработкой пакетов. В этом варианте есть как плюсы (весь трафик проходит через одну точку), так и минусы: жесткая зависимость от работоспособности контроллера и ширина канала, по которому подключен контроллер к проводной сети. По этой же причине в каждом офисе нужно ставить свой собственный контроллер WLAN.

Aruba Networks . Один из основных конкурентов Cisco в сегменте беспроводных сетей. Продвигают свое решение без контроллера, т. е. контроллер находится где-то в облаке, а точки находятся у вас в офисе. Год назад я не был готов ставить свою беспроводную сеть в зависимость от облачного сервиса.

Motorola . WLAN решение от Motorola - WiNG 5 - делает упор на децентрализованность. Каждая точка является достаточно умной, чтобы авторизовать клиента и затем пропускать трафик между беспроводным и проводным сегментами сети в соответствии с настройками, которые точка получает с контроллера. Т. е. в этом случае мы получаем сегмент проводной сети, обычно это VLAN с трафиком от беспроводных клиентов, и затем мы можем управлять этим трафиком с помощью инфраструктуры обычного LAN. Контроллер используется только для управления точками доступа и сбора статистики. Также есть очень полезный для нас режим работы, когда контроллером становится одна из точек доступа, а при ее недоступности производится процедура выбора точки-контроллера из оставшихся точек сети.

Здесь Моторола показывает, как ходят данные в сети WiNG5 по сравнению с другими архитектурами:

Также в процессе выбора производителя на меня повлияли советы товарища , который прислал ссылки на очень хорошие мануалы по развертыванию и настройке WiNG 5. После прочтения этих документов стало ясно, что архитектура WiNG 5 с вариантом подключения NOC (Network Operations Center) подходит нам больше всего.

Схема сети вырисовывалась такая: в самом большом офисе, где нужно поставить больше всего точек, мы устанавливаем контроллер и самые простые, «зависимые» точки, которые без контроллера могут работать только несколько минут. В удаленных офисах мы устанавливаем «независимые» точки, которые могут брать на себя функции контроллера в случае недоступности основного контроллера, но управлять удаленными офисами мы все равно будем с центрального контроллера. Это было особенно удобно, т. к. удаленным офисам уже была нужна новая беспроводная сеть, которую мы уже могли развернуть с помощью независимых точек, а главный офис был еще не готов. После запуска главного офиса, в котором и будет находиться WLAN контроллер, мы переключим удаленные офисы на работу с ним.

Как же расположить WiFi-точки?

Нам предстояло обеспечить отличное WiFi-покрытие в новом офисе, который представляет собой новое 7-этажное здание. Нужен был WiFi на каждом этаже, а также на крыше здания, которая является эксплуатируемой, т. е. там могут находиться люди. То, что здание новое, в процессе проектирования WiFi-сети, очень полезно знать, т. к. именно в новых зданиях используются хорошие железобетонные перекрытия, которые отлично экранируют WiFi-сигнал. Все этажи имеют одинаковую форму - почти прямоугольник 45x30 метров с железобетонной конструкцией в центре (туалеты, лестницы и лифтовые шахты).

Сложность заключалась в следующем: на этажах полностью отсутствовали внутренние перегородки, т. к. их еще предстояло построить. Но WLAN-оборудование надо было уже заказывать, т. к. обычные сроки поставки - от 2 месяцев. Соответственно, мы не могли сделать полноценное радиообследование уже готового помещения, как советуют во всех руководствах, и пришлось положиться только на чертежи будущих перегородок. Небольшое радиообследование мы все-таки провели: выяснили, что можно покрыть практически весь этаж двумя WiFi-точками 2,4 Ггц мощностью 17 dBm и получить уровень сигнала в большинстве мест этажа не менее -70d Bm. Также мы выяснили, что посторонних WLAN-сетей в здании и поблизости нет, а железобетонное перекрытие между этажами экранирует сигнал до уровня -80-90 dBm.

Стало понятно, что с помощью двух, а лучше трех WiFi-точек мы худо-бедно обеспечим покрытие одного этажа в диапазоне 2,4 Ггц при отсутствии перегородок. Однако полной уверенности, что это будет хороший WiFi, не было. Поэтому я решил смоделировать этаж в какой-либо системе для проектирования беспроводных сетей. У Motorola есть такой софт, специально предназначенный для таких задач, - LANPlanner. Наверняка система хорошая, но стоит в районе 300 тыс. руб. и невозможно посмотреть даже демо-версию. После некоторых поисков я нашел программу TamoGraph Site Survey , которая позволяет составлять карту покрытия WLAN, а также проводить моделирование с использованием виртуальных WiFi-точек и виртуальных стен. Цена на эту программу была в 10 раз меньше по сравнению с LANPlanner, и, учитывая, что неправильное расположение WiFi-точек обойдется значительно дороже, я решил воспользоваться именно TamoGraph.

Вооружившись строительными планами будущих перегородок и TamoGraph Site Survey, я нарисовал план одного этажа, используя виртуальные материалы стен с теми же характеристиками, которые будут у наших будущих перегородок. После размещения на плане виртуальных WiFi-точек стало понятно, что программа моделирования - вещь чрезвычайно полезная. Она сразу показала, как будут влиять на распространение сигнала бетонные колонны, которые также были на этаже, но которые учесть «на глаз» было очень сложно. После моделирования стало ясно, что даже для диапазона 2,4 Ггц очень желательно поставить 4 точки на этаж. А если мы хотим использовать диапазон 5 Ггц, то точек нужно больше и ставить их нужно чаще. В итоге мы остановились на схеме с 6 точками на этаж, при этом мощность каждой точки в диапазоне 5 Ггц не превышает 17 dB и основные части этажа покрываются одновременно как минимум 2 точками. Тем самым мы обеспечиваем надежность работы WLAN в случае выхода из строя одной из точек на этаже.

Вот пример того, как выглядит результат моделирования одного из этажей (цветом показан уровень сигнала на 5 Ггц):

Итак, расположение точек известно, схема сети в целом понятна.

Что же нужно купить?

В главный офис нужно 39 «зависимых» dependent или thin точек, т. к. контроллер будет рядом. Это будут двухдиапазонные точки Motorola AP-650 «AP-0650-66030-WW» со встроенными антеннами. Это оптимальные двухдиапазонные точки от Motorola с поддержкой a/b/g/n стандартов. Они не могут работать без контроллера, и настроить без контроллера их нельзя.

В удаленные офисы нужно покупать полноценные точки AP-6532 «AP-6532-66030-WW». Эта точка по WiFi-характеристикам является копией AP-650. Но эти точки могут работать как сами по себе, так и под управлением контроллера. Если они теряют связь с контроллером, то продолжают обслуживать WiFi-клиентов. Если же контроллера изначально нет, то его функции на себя берет одна из точек (выбирается автоматически). Софт на WiFi-точках и на контроллере - один и тот же. Стоимость точки AP-6532 примерно на 150$ выше, чем AP-650.

Так выглядит эта точка на столе:

А вот так уже установленная на потолке:

Удобно, что на многих типах подвесных потолков эти точки можно закрепить без сверления отверстий: точка крепится к T-профилю потолка на защелках.

В качестве контроллера, а точнее двух контроллеров для работы в кластере, я выбрал RFS6000 . Здесь выбор был довольно прост: более простая версия RFS4000 не поддерживает нужного нам количества точек, а RFS7000 просто дороже. Также на контроллеры нужно купить сервисный контракт, по которому можно получать обновление софта и получить гарантийное обслуживание в течении 3 лет.

Казалось бы, всё купили: точки, контроллеры, гарантию на контроллеры. Но нет: еще нужно купить лицензии для подключения точек к контроллеру. Выгоднее всего покупать лицензии пакетами, в нашем случае это 4 пакета по 16 лицензий, т. е. наши контроллеры смогут обслуживать 64 точки с учетом всех удаленных офисов. Интересная деталь: лицензии и контроллеры покупаются независимо, а потом на сайте Motorola вы связываете лицензии с определенным контроллером или контроллерами. В нашем случае все лицензии привязаны на один контроллер, а второй контроллер объединен с ним в кластер. Так вот в случае выхода из строя первого контроллера (с лицензиями), второй продолжит обслуживание с этими же лицензиями.

Теперь разберемся с гарантией на точки. Гарантия на замену неисправных точек для всех Motorola точек стандарта «N» - пожизненная. Пожизненная - это значит не в течении Вашей жизни, а в течении жизненного цикла этих точек от компании Motorola. Как только они прекратят выпуск этих точек + сколько-то лет, и точку уже не поменяют. Думаю, что у других производителей точно такая же «пожизненная» гарантия, так что это не особенность именно Motorola. Еще можно приобрести дополнительную гарантию на точки, при которой, если у вас точка выходит из строя, вам сначала привозят новую, а затем вы отправляете старую обратно.

Но и это еще не все. Еще нужен сервисный контракт на точки, чтобы можно было обновлять прошивки. В случае точек AP-650 стоимость сервисного контракта на точки уже заложена в сервисном контракте на контроллер и, соответственно, зависит от количества точек, которые подключаются к контроллеру. А вот на точки AP-6532, которые были куплены в других странах для удаленных офисов, нужно было покупать сервисный контракт на эти точки.

Возможно, кому-то будут интересны цены на оборудование в России:

Подключение и настройка

С подключением никаких проблем не было. Сначала нам нужно было запустить WLAN в удаленных офисах, т. к. центральный офис был еще не готов. Для этого мы подключали несколько независимых точек AP-6532 в обычный сегмент сети на PoE-порты. Точки включались, самостоятельно находили друг друга в пределах LAN сегмента и самостоятельно выбирали одну из них как Virtual Controller. Соответственно, все настройки нужно проводить, подключившись именно к точке с функцией контроллера. Для обновления прошивки достаточно обновить ее на точке-контроллере, а она уже перепрошьет остальные точки.

Порты на LAN-свитчах мы настроили в режим trunk, чтобы они принимали тегированные пакеты и распределяли их по соответствующим VLAN-ам. VLAN у нас настроено 2: для внутренних пользователей и для гостей. В каждом VLAN своя IP-адресация, и маршрутизируются они по-разному, но все это уже делается на обычном проводном оборудовании. На контроллере мы также создали 2 WLAN-сети: для сотрудников и для гостей, каждую со своим SSID-ом, которые отобразили на соответствующий VLAN. Т. е. клиент, подключаясь к одному из WLAN, попадает в соответствующий этой сети VLAN. Если говорить просто, то WiFi-точки выступают в виде распределенного WLAN-свитча и передают пакеты между WLAN и LAN сетями.

Настроек на точках в этот момент нужно было сделать немного:
1. Задать страну для rf-domain, чтобы точки работали в разрешенном для этой страны диапазоне.
2. Создать нужное количество WLA-сетей (в нашем случае две) с соответствующими настройками security. При создании WLAN нужно указать VLAN, которым она будет тегироваться.
3. Включить технологию SMART-RF, которая поможет автоматически выбрать каналы и мощность радиомодулей в точках, основываясь на зашумленности эфира и взаимном расположении точек. В дальнейшем SMART-RF может менять канал или мощность точки в случае появления помех или, например, повысить свою мощность при отключении соседней точки, чтобы увеличить покрытие. Технология довольно удобна, хотя наверняка есть случаи, когда она мешает.

В общем-то, это все. Можно еще задать конкретные параметры радиомодулей любой из точек или всех сразу, но для этого надо хорошо представлять, что вы делаете. Для этого очень полезно почитать книгу CWDP Certified Wireless Design Professional Official Study Guide , которую рекомендует TamoSoft вместе со своей программой проектирования сетей. Похоже, что авторы программы разрабатывали ее, основываясь на этой книге, т. к. многие термины совпадают. В нашем случае мы отключили поддержку скоростей ниже 6 Мбит, чтобы медленные WiFi-подключения не мешали.

Хочу сказать пару слов о том, что такое rf-domain (Radio Frequency domain). Это физическая область, которая объединяет в себе группу WiFi-точек. Внутри этой группы может происходить роуминг клиентов. Например: если офис должен быть полностью покрыт WLAN, то все точки этого офиса имеет смысл объединить в один rf-domain. Если же в офисе есть 2 разнесенных между собой конференц-зала и точки установлены только для обслуживания клиентов в этих залах, то надо сделать два rf-domain"а, по одному для каждого зала. В случае использования независимых точек с виртуальным контроллером вы можете создать только один rf-domain.

На этом этапе мы получили несколько совершенно независимых WLAN-сетей в удаленных офисах, каждую из которых нужно было настраивать отдельно. Но зато каждая из этих сетей работала очень хорошо, роуминг между точками работал, статистика собиралась, пользователи были довольны.

Настройка центрального офиса (NOC)

Для запуска всей WLAN-инфраструктуры у Motorola есть отличный документ «WiNG 5.X How-To Guide Centralized Deployments», в котором по шагам расписано, как и что нужно делать. Каждый шаг описан в двух вариантах: для любителей GUI есть картинки, для любителей SSH консоли есть соответствующие команды. Я же опишу процесс настройки общими словами.

Сначала подключаем контроллеры, их у нас 2 штуки. Чтобы при выходе из строя одного из них сеть продолжала работать, их нужно объединить в кластер. Контроллеры подключаются к сети обычным 1 Gb Ethernet, хотя можно подключить и оптикой через SFP-коннектор. Настраиваем один из контроллеров: IP-адреса, DNS имя, пароли. Затем настраиваем IP-адрес для второго контроллера и прошиваем в него прошивку той же версии, что и у первого контроллера, - это совершенно необходимо для объединения в кластер. Именно поэтому нужно покупать сервисный контракт на контроллеры. Без контракта вы не получите доступа к прошивкам, ни к старым ни к новым, а в моем случае контроллеры пришли с разными версиями прошивок.

Затем на «втором» контроллере выполняете команду «join cluster» с указанием адреса первого контроллера. Второй контроллер перезагружается - и готово, кластер из двух контроллеров работает с идентичными настройками. Кластер бывает двух типов: Active-Active - когда оба контроллера обслуживают точки одновременно, и Active-Passive - когда точки обслуживает только первый контроллер, а второй включается в работу только при выходе из строя первого. В любом случае все точки сети знают IP-адреса обоих контроллеров.

Теперь на контроллере необходимо создать нужные нам rf-domain"ы. В нашем случае мы создаем каждому офису по одному rf-domain: spb-office, munich-office и т.д. У каждого rf-domain"а указана своя страна и своя настройка технологии SMART-RF, что логично: в разных областях нам может понадобиться настраивать радиомодули точек по-разному.

Далее на контроллере создаем WLAN-сети. Любую из созданных WLAN можно будет включить в любом из офисов, что, конечно же, очень удобно и являлось одним из наших первоначальных требований. Составной частью WLAN является настройка ее security, т. е. тип аутентификации, шифрования и QoS. Важно понять, что rf-domain и WLAN являются совершенно независимыми друг от друга сущностями. Также в WLAN задается ее SSID и тег VLAN, которые можно переопределить для каждого rf-domain. Это удобно, т. к. не в каждом офисе у нас совпадает нумерация VLAN-ов, а здесь мы можем задать нужный VLAN определенной WLAN для конкретного rf-domain.

Теперь переходим к настройке точек. Исходим из того, что каждая точка при включении должна подключаться к контроллеру и получать все настройки с него. Для этого на DHCP-сервере нужно прописать определенные vendor specific опции, в которых указываем IP-адреса контроллеров и некоторые настройки таймаутов. Эти опции никак не влияют на других клиентов сети, т. к. DHCP-сервер их отправляет только тем, кто запрашивает именно эти опции. Такая схема позволяет быстро подключать новые точки к сети: взяли новую точку из коробки, подключили к нужному порту на свитче, и всё. Точка получает с контроллера нужную прошивку и все необходимые настройки. При выключении точки она теряет все свои настройки и становится «чистенькой», как с завода (сохраняется только прошивка).

В момент самого первого подключения к контроллеру контроллер запоминает эту точку по MAC-адресу в своем конфиге и уменьшает количество свободных лицензий на 1. Затем контроллер находит подходящий профиль для настройки этой точки и отдает настройки этого профиля точке. Если это не первое подключение точки, то на контроллере могут храниться дополнительные настройки для этой конкретной точки, которые он объединяет с настройками подходящего профиля и отправляет точке.

Что же такое профили (Profiles) в WiNG 5? Профили позволяют выдать одинаковые настройки сразу группе WiFi-точек или контроллеров. Профили хранятся на контроллере и представляют собой полные наборы параметров для точки определенного типа. Например если нам нужно производить автоматическую настройку точек AP-650 и AP-6532 в одной и той же сети, то нам понадобится как минимум 2 профиля: для AP-650 и для AP-6532. Именно в профиле указано, какие WLAN будет обслуживать наша точка, в каких диапазонах будут работать радиомодули и на каких скоростях. Также на настройки профиля накладываются ограничения rf-domain, в котором находится конкретная точка.

Как контроллер определяет, какой профиль нужно выдавать конкретной точке? Для этого у контроллера есть «Automatic Provisioning Policies». Не могу придумать хорошего русского аналога. Этих Policies на контроллере может быть несколько штук, в каждом из них записано определенное условие, по которому эта policy применяется к точке или нет. Условиями могут быть: диапазон IP-адресов, в котором находится точка, диапазон MAC-адресов точек и многие другие. Но мне достаточно различать точки по типу и по IP сети. Также в policy указано, какой профиль применять к точке и в каком rf-domain эта точка находится. В итоге, при подключении точки контроллер идет по списку policies и первая подходящая к этой точке policy применяется.

Теперь собираем все это вместе

В центральном офисе у нас 3 типа точек: AP-650, AP-6532 и AP-7161 (уличное исполнение). Значит, нужно создать 3 профиля и 3 Automatic Provisioning Policies. Так как точек в этом офисе у нас относительно много, то мы сделали отдельный VLAN (WiFi Management VLAN), в который подключаем сами точки. В удаленных офисах точки подключены в обычный сегмент сети вместе с пользователями, т. к. там точек обычно немного. Точки получают IP-адрес, подключаются к контроллеру и, в зависимости от типа точки, получают свой профиль для настройки, а также получают указание от контроллера, в каком именно rf-domain они находятся. После этого точка приступает к обслуживанию клиентов тех WLAN, которые определены в ее профиле.

При подключении каждой новой точки технология SMART-RF определяет лучший номер канала для радиомодулей этой точки и мощность. Этот выбор производится в зависимости от каналов, на которых работают соседние точки и от расстояния до них. Области радиопокрытия соседних точек перекрываются, поэтому каждая точка «видит» несколько соседних (в нашем случае видно 3-4 соседних точки на этаже).

Как я уже упоминал, для связи WLAN и LAN у нас сделано 2 VLAN: рабочий и гостевой. В рабочий VLAN отображается WLAN для сотрудников, а в гостевой отображается 1 или более гостевых WLAN. Мы поднимаем дополнительные гостевые WLAN в случае каких-либо мероприятий в офисе, чтобы после окончания мероприятия можно было этот дополнительный гостевой WLAN отключить вместе с гостями. :-)

А вот так выглядит этаж в веб-интерфейсе при работе сети:

Итоги

В результате, к моменту переезда в новый офис мы построили очень хорошую WiFi-сеть. Пользователи, ради которых и строили эту сеть, полностью довольны ее работой. Характерен один из комментариев наших пользователей: «Как это вам удалось построить такой быстрый WiFi?» Мы не старались сделать максимально быстрый WiFi, нам был нужен максимально стабильный WiFi, и я уверен, что эта задача решена. Пользователи перемещаются по всему офису с ноутбуками, планшетами и телефонами и не задумываются о том, будет ли работать WiFi в этой точке. Мы пока не проводили полноценных тестов на скорость, но файлы можно качать со скоростью примерно 15 Мбайт/сек. Не всегда и не на любом клиенте, но такую скорость мы наблюдаем при обычной работе. В данный момент сеть работает уже 5 месяцев, днем в главном офисе к ней подключено до 200 клиентов и никаких нареканий на ее работу нет.

WiNG 5 от Motorola полностью оправдал мои ожидания. Настройка производится быстро и просто, хоть из консоли, хоть из браузера. Работает стабильно, никаких «странностей» в работе нет. WLAN в удаленных офисах можно было запускать без выезда на место. Нужно, чтобы кто-то только подключил точки к LAN, а все остальные настройки можно делать удаленно. В дальнейшем поверх этой сети можно развернуть систему AirDefense - контроль безопасности WLAN и удаленое решение проблем с WLAN. При этом некоторые точки в сети превращаются в сенсоры, которые мониторят радиоэфир.

Я опустил многие детали и возможности WiNG5: например, уже в базовой версии есть система защиты от вторжений (тоже базовая), можно докупить лицензии на систему защиты Advanced. Можно захватывать WiFi-трафик из радиоэфира и смотреть на него с помощью Wireshark. И многое, многое другое, но статья должна быть разумных размеров. Еще хочу заметить, что, по моему мнению, WiNG5 незаслуженно обойден вниманием в России, т. к. практически никаких материалов на русском языке мне найти не удалось, поставщиков и интеграторов также найти непросто.

Рекомендуем статьи по теме
Мобильные устройства
Разработка и создание мобильных приложений: с чего начать?
Разработка и создание мобильных приложений: с чего начать?
Давайте же разберём что такое мобильное приложение - это один из маркетинговых инструментов. В зависимости от отрасли приложение...
Windows 7
Поведенческие факторы и их влияние на выдачу
Поведенческие факторы и их влияние на выдачу
При написании статьи первым делом все смотрят на количество ключевых слов и ключевым группам, но не стоит забывать еще один очень важный,...