Вы находитесь на странице: 1из 23

Беспроводный доступ в корпоративной сети предприятия

Логично рассматривать беспроводную инфраструктуру компании Уралсвязьинформ как


часть корпоративной сети предприятия.

При построении и эксплуатации современных корпоративных сетей большое внимание


уделяется обеспечению мобильности пользователей за счет применения беспроводных
технологий. В данном разделе рассматривается подход к реализации беспроводного
доступа к ресурсам сети по технологии Wi-Fi.

Wi-Fi обеспечивает быстроту подключения пользователей, уменьшение затрат на


инфраструктуру, возможность перемещения конечных устройств в пределах зоны
покрытия, широкую полосу пропускания, стандартизацию и поддержку технологии в
большинстве мобильных терминалов.

В то же время есть ряд особенностей, которые нужно учитывать. Прежде всего, они
связаны с физической основой передачи радиосигналов по воздуху во множественной
среде доступа.

Таким образом, нужно эффективно бороться с помехами, обеспечивать защиту


передаваемых данных, учитывать уязвимость точек доступа и абонентов в конкурентной
среде. Все эти задачи успешно выполняются с помощью решений и оборудования Cisco.

Как правило, рассматриваются два типа применения Wi-Fi: внутри помещений и за их


пределами. Основные принципы работы обоих типов сетей схожи, но архитектура и
используемое оборудование могут отличаться. Основное внимание этого документа
уделено особенностям сетей Wi-Fi внутри зданий.

Базовые сведения по беспроводным технологиям можно получить на сайте Cisco в


разделе www.cisco.com/go/wireless.
Дополнительная информация по тематике Outdoor Wi-Fi сетей может быть найдена по
ссылке: http://www.cisco.com/en/US/partner/netsol/ns621/index.html.

На какие аспекты необходимо обратить внимание при развертывании корпоративной Wi-


Fi сети? Это, прежде всего:

 физическая топология (размещения точек доступа, контроллеров, тяготение


трафика, стыки с проводной инфраструктурой)
 взаимодействие с системами разграничения доступа, учета трафика и управления
организации
 обеспечение безопасности и защиты передаваемой информации
 надежность функционирования и защита от сбоев
 возможность передачи различных типов трафика (данные, голос, видео) с
должным уровнем качества обслуживания.
Структура раздела «Беспроводный доступ»

 1. Решение Cisco по Унифицированным Беспроводным Сетям (Cisco Unified Wireless


Network)
- Wireless LAN
- Применение WLAN
- Требования к WLAN
- Ключевые компоненты Cisco Unified Wireless Network
 2. Технология и архитектура Cisco Unified Wireless
- протокол LWAPP
- компоненты решения
- роуминг
- бродкаст- и мультикаст-трафик в сети WLAN
- расположение WLC
 3. Основные компоненты обеспечения безопасности
- аутентификация и шифрование
- дополнительные возможности обеспечения безопасности
- обнаружение нелегально установленных AP
 4. Качество обслуживания (QoS) в архитектуре Cisco Unified Wireless
 5. Гибридные точки доступа при удаленном подключении (H-REAP)
 6. Рекомендации по дизайну передачи голоса (VoWLAN)
 7. Гостевой доступ в системе Cisco Unified Wireless
1. Решение Cisco по Унифицированным Беспроводным Сетям
(Cisco Unified Wireless Network)

Подход Cisco Unified Wireless для корпоративного применения включает в себя


беспроводные и проводные компоненты, направленные на реализацию внедрения,
защиты, управления и контроля событий в сегменте Wireless LAN (WLAN).

Wireless LAN

Мобильным пользователям требуется тот же уровень удобства, безопасности, качества


обслуживания (QoS) и доступности, обеспечиваемый для проводных подключений. Эти
задачи призвана решать Wireless LAN – беспроводная часть IT инфраструктуры.

Возможность пользоваться электронной почтой, календарем, базами данных,


инструментами системы продаж, поддержки пользователей и т.п. в мобильном режиме
позволяет повысить эффективность производства и увеличить прибыль.

Применение WLAN

Беспроводные сети WLAN предоставляют новые возможности для пользователей и


предприятия в целом:

 мобильность в пределах здания или кампуса


 удобство работы на разделяемых площадках с большим числом сотрудников
 гибкость в организации рабочего места
 простота организации взаимодействия
 легкость организации временных подключений
 оптимальное использование офисного пространства
 низкая стоимость инфраструктуры
 простота проведения изменений и осуществления поддержки
 увеличение времени нахождения сотрудников в режиме online
 повышение доходов за счет увеличения эффективности работы
 облегчение работы партнеров за счет применения системы гостевого доступа.

Требования к WLAN

Система беспроводного доступа WLAN позиционируется как дополнение к имеющейся


проводной инфраструктуре, так и самостоятельное решение для пользовательских
подключений в пределах здания или кампуса.

WLAN должна удовлетворять следующим требованиям:

 обеспечивать пользователям доступ к ресурсам сети в то время, когда они не


подключены по проводам
 защищать корпоративную сеть от неавторизованных, незащищенных или
«мошеннических» (rogue) точек доступа
 предоставлять весть спектр услуг для перемещающихся (nomadic) абонентов
 сегментировать авторизованных пользователей и блокировать неавторизованных
 обеспечивать удобный и безопасный доступ для сотрудников, перемещающихся с
других сайтов компании
 простота управления точками доступа в центральном офисе и на удаленных
площадках
 расширенные сервисы безопасности – WLAN IPS и IDS
 голосовые сервисы
 Location сервисы – мониторинг подключенных устройств различного класса
 гостевой доступ.

Ключевые компоненты Cisco Unified Wireless Network

Основными компонентами унифицированных беспроводных сетей Cisco являются:

 точки доступа (Access Points – AP)


 контроллеры беспроводного доступа LAN (Wireless LAN Controllers – WLC), включая:
- модули Cisco Catalyst 6500 Wireless Services Module (WiSM)
- контроллеры 440X, 2106
- модули WLCM в маршрутизаторах ISR
- интегрированные контроллеры WS-C3750G.
 система управления (Wireless Control System – WCS)

Общий вид беспроводной сетевой инфраструктуры предприятия на базе оборудования


Cisco показан на рисунке 1-1:

Рис.1-1. Элементы архитектуры Cisco Unified Wireless Networks.

Работающие в комплексе основные элементы системы:

 пользовательские устройства
 точки доступа
 компоненты сетевой унификации
 сетевое управление
 сервисы обеспечения мобильности.

Показанные выше компоненты в настоящее время могут устанавливаться в следующих


сочетаниях:

 APs и WLC
 APs, WLCs и WCS
 APs, WLC, WCS и LBS (Location-Based Services).


2. Технология и архитектура Cisco Unified Wireless

В данном разделе коснемся ключевых компонентов дизайна Cisco Unified Wireless и


целесообразности их внедрения в корпоративной сети:

 протокол LWAPP (внести обновления CAPWAP)


 компоненты решения (в соответствии с новыми тенденциями)
 роуминг
 бродкаст- и мультикаст-трафик в сети WLAN
 расположение WLC (типы узлов).

Дополнительная информация с детализацией архитектуры Cisco Unified Wireless


Technology в части внедрения беспроводных контроллеров LAN серии 440X может быть
найдена по ссылке:
http://www.cisco.com/en/US/docs/wireless/technology/controller/deployment/guide/dep.html.

Протокол LWAPP

Lightweight Access Point Protocol (LWAPP) – протокол, лежит в основе централизованной


WLAN архитектуры. Он применяется для конфигурирования и управления WLAN, а также
для туннелирования трафика клиентов WLAN между AP и WLC. Рисунок 2-1 показывает
диаграмму централизованной WLAN архитектуры, где точки доступа взаимодействуют с
WLC посредством протокола LWAPP.

Рис. 2-1. Точки доступа LWAPP, соединенные с WLC.

Split MAC

Наиболее прогрессивным способом подключения локальных AP считается концепция Split


MAC. Ее суть заключается в разделении функций MAC уровня между точками доступа и
контроллером.

Задачи AP в основном направлены на взаимодействие с клиентским устройством:

 согласование обмена кадрами клиента и AP


 передача сигнальных кадров
 буферизация и передача кадров для клиентов в режиме сохранения энергии
 мониторинг радио-подканалов по параметрам шумов, помех, влияния
других WLAN
 мониторинг присутствия других AP
 и т.д.

Функциями же WLC являются:

 802.11 аутентификация
 802.11 ассоциирование
 802.11 трансляция и бриджинг кадров
 802.11 X/EAP/RADIUS обработка
 терминирование трафика 802.11 на проводном интерфейсе.

Рекомендуется применять туннелирование LWAPP внутри UDP пакетов (Layer 3). Важно
отметить, что трафик данных абонента достигает WLC и может быть перенаправлен
(смаппирован) в определенный VLAN интерфейс. Обычно это настраивается статически на
WLC, но данные для VLAN могут быть получены и от AAA сервера в процессе успешной
EAP аутентификации.

Компоненты системы Cisco Unified Wireless

Для эффективного построения беспроводной сети потребуется три основных компонента:

 Lightweight AP («облегченные» AP, работающие с WLC)


 Wireless Controller (WLC)
 Wireless Control System (WCS)
- опциональный компонент
- дополнительная информация по WCS –
http://www.cisco.com/en/US/prod/collateral/wireless/ps5755/ps6301/ps6305/product
_data_sheet0900aecd802570d0.html (см. рис.2-2)

Рис. 2-2. Cisco Wireless Control System.

Контроллеры доступа WLC Представить последние данные

Cisco производит несколько типов контроллеров WLC, различающихся физическим


исполнением и возможностями подключения точек доступа. Рекомендации по
применению – в соответствии с потребностями данной площадки (филиала) по
масштабируемости (см. таблицу 2-1).
2106 – автономный (выполненный в виде законченного аппаратного комплекса)
контроллер WLC с поддержкой до 6 AP и 4 FE интерфейсами на бору. Для малых офисов.

4402 – автономный контроллер WLC с поддержкой 12, 25 или 25 AP, наличие GE SFP
портов и поддержка dot1q trunk. Для малых и средних офисов.

4404 – автономный контроллер WLC с поддержкой 100 AP, наличие GE SFP портов и
поддержка dot1q trunk. Для больших офисов.

WLCM – WLC модуль для серии маршрутизаторов Cisco ISR. Поддержка 6, 8, 12 AP. Для
малых офисов, интегрированное решение.

WS-C3750G – WLC, интегрированный в коммутатор Cisco Catalyst 3750. Поддержка 25 или


50 AP. Для средних офисов.

WiSM – WLC модуль для платформы Cisco Catalyst 6500. Выполнен в виде сервисного
модуля и поддерживает до 300 AP. Для крупных включений.

Taблица 2-1. Обобщенные данные по Cisco WLC.

Product Number of APs Interfaces


2106 6 8 x Fast Ethernet
4402 12, 25 2 x Gigabit Ethernet
4404 50, 100 4 x Gigabit Ethernet
WLCM 6, 8, 12 ISR Backplрane
WS-C3750G 25, 50 3750 Backplane
WiSM 300 6500 Backplane

Точки доступа AP Представить последние данные

Точки доступа для применения внутри помещений можно разделить на две категории –
автономные (standalone) и «облегченные» (lightweight). Первые могут работать без WLC,
вторые для полноценной работы должны взаимодействовать с WLC. При развитии IT сети
Уралсвязьинформ рекомендуется обратить внимание на Lightweight AP: для них наиболее
подходит модель централизованного управления.

Таблица 2-2. Обобщенные данные по точкам доступа AP.

Cisco Series 802.11b/ 802.11a 802.11 Standalon LWAPP # Broadcasted SSIDs


g n e
1000 YES YES NO NO YES 16
1100 YES NO NO YES YES 81
1130AG YES YES NO YES YES 81
Optiona
1200 YES NO YES YES 81
l
1230AG YES YES NO YES YES 81
1240AG YES YES NO YES YES 81
1252AG YES YES YES YES YES 81
1252G YES NO YES YES YES 81
1300 YES NO NO YES YES 81
1500 YES YES NO NO YES 16

Роуминг

При перемещении абонента внутри беспроводной сети Wi-Fi возможен переход его из
зоны действия одной AP к другой. При этом AP могут принадлежать как к одному
контроллеру WLC, так и к разным. Желательно, чтобы трафик данных абонента при таких
перемещениях не прерывался. Для реализации такой задачи и служит роуминг.

Не вдаваясь в подробности, будем разделять роуминг между AP одного WLC и роуминг


между WLC. При этом во втором случае возможна организация несимметричного и
симметричного мобильного туннеля.

Для IT сети Уралсвязьинформ применение нескольких контроллеров для одного офиса


предполагается редким.

Рис. 2-3. L2 роуминг AP-AP


Рис. 2-4. L3 роуминг WLC-WLC с несимметричным мобильным туннелем.

Бродкаст- и мультикаст-трафик в сети WLAN

В связи с тем, что бродкаст- и мультикаст-трафик могут генерировать большой объем


данных в сегменте WLAN, их применение там следует ограничить. Основное правило для
WLC – не генерировать бродкаст- и мультикаст в сегмент WLAN.

Для корректной работы протоколов DHCP и ARP (запросы клиентов) WLC придерживается
следующих подходов. В первом случае он работает как DHCP relay agent, пересылая
клиентский запрос в соответствующий данной WLAN сегмент проводной сети к
конкретному DHCP серверу. При обработке же ARP запросов WLC отрабатывает как ARP
proxy, возвращая IP адреса из своей локальной базы или передавая клиентский запрос к
следующему WLC.

Расположение WLC обсудить

Контроллеры WLAN могут располагаться в каждом отдельном сегменте WLAN, обслуживая


его независимо – это Distributed WLC. В других случаях расположение контроллеров
может быть централизованным, в одной точке сети (например, СO) – Centralizing WLC.

Какой из вариантов предпочтительнее, зависит от многих параметров – географического


расположения площадок, нагрузки на сеть, абонентской базы, принятой системы
обеспечения безопасности и управления, и т.д.

Полагаем, что центральные площадки филиалов Уралсвязьинформ и офисы-сателлиты,


расположенные в одном городе, могут иметь централизованное расположение WLC.
Удаленные небольшие площадки также можно подключать к центру, используя механизм
H-REAP. Если же экономически и технически лучше локализовать обмен данными с WLC,
то можно выносить WLC на удаленные площадки непосредственно.
3. Основные компоненты обеспечения безопасности

Беспроводное решение Cisco для сети предприятия представляет собой


самозащищающуюся сеть Cisco и интегрированных сервисов. Такое сочетание позволяет
обеспечить конфиденциальные коммуникации, управление политиками и надежные
средства защиты беспроводной сети.
Аутентификация и шифрование

Для сетей WLAN обеспечение безопасности базируется, прежде всего, на аутентификации


и шифровании. Общие механизмы обеспечения безопасности WLAN:

 Open Authentication, no encryption


 Wired Equivalent Privacy (WEP)
 Cisco WEP Extensions (Cisco Key Integrity Protocol +Cisco Message Integrity Check)
 Wi-Fi Protected Access (WPA)
 Wi-Fi Protected Access 2 (WPA 2)

Без подробного рассмотрения каждого механизма приведем сводные данные по ним:

Таблица 3.1. Механизмы безопасности WLAN

Feature Static WEP 802.1x WEP WPA WPA2 (Enterprise)


User, machine or
Identity WLAN card User or machine User or machine User or machine
Authentication Shared key EAP EAP or pre-shared keys EAP or pre-shared keys
CRT/CBC-MAC (Counter
mode Cipher Block
32-bit Integrity Check 64-bit Message Chaining Auth Code -
Integrity Value (ICV) 32-bit ICV Integrity Code (MIC) CCM) Part of AES
Per Packet Key rotation
Encryption Static keys Session keys via TKIP CCMP (AES) CCMP (AES)
Segment of Pair-
Key wise Master Key
distribution One time, Manual (PMK) Derived from PMK Derived from PMK
Extended Initialization
Initialization Plain text, 24- Vector (IV)-65-bits with 48-bit Packet Number
vector Plain text, 24-bits bits selection/sequencing (PN)
Algorithm RC4 RC4 RC4 AES
Key strength 64/128-bit 64/128-bit 128-bit 128-bit
Supporting
infrastructure none RADIUS RADIUS RADIUS

Cisco Wireless Security поддерживает WPA и WPA2, включая

 Аутентификацию на основе 802.1X с применением методов EAP


- Cisco LEAP, EAP-Flexible Authentication via Secure Tunneling (EAP-FAST)
- PEAP- Generic Token Card (PEAP-GTC)
- PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAPv2)
- EAP-Transport Layer Security (EAP-TLS)
- EAP-Subscriber Identity Module (EAP-SIM)
 Шифрование
- AES-CCMP encryption (WPA2)
- TKIP encryption enhancements: key hashing (per-packet keying), message
integrity check (MIC) and broadcast key rotation via WPA TKIP Cisco Key Integrity
Protocol (CKIP) and Cisco Message Integrity Check (CMIC)
- Support for static and dynamic IEEE 802.11 WEP keys of 40 bits, 104, and 128
bits.

Рис. 3-1. Топология Secure Wireless.

Таким образом, основные физические компоненты решения Secure Wireless:

 клиент WLAN
 точка доступа AP
 контроллер доступа WLC
 AAA сервер.

Дополнительные возможности обеспечения безопасности Cisco Unified Wireless

 расширенные опции безопасности WLAN (например, поддержка multiple WLAN на


WLC)
 ACL и Firewall функциональность
 защита DHCP и ARP
 блокировка Peer-to-peer трафика
 Wireless IDS
- исключение абонентов
- обнаружение нелегальных AP
 защита кадров управления
 динамическое управление частотой.

Таблица 3-2. Встроенные механизмы защиты унифицированной беспроводной сети Cisco.

Элементы самозащищающейся Функции защиты беспроводной сети


сети Cisco
Конфиденциальные коммуникации ● Развитые средства шифрования (802.11i, AES и TKIP)
● Взаимная аутентификация (802.1X, EAP, EAP - FAST)
● Защита фреймов управления
Управление политиками ● Cisco Secure Services Client для идентификации и
реализации политик для беспроводных устройств
● Поддержка многопрофильных SSID
Защита от атак ● Мониторинг эфира для обнаружения атак на
беспроводные сети и обнаружения устройств
злоумышленника
● Сервисы определения местоположения для
определения местоположения устройств
злоумышленника

Развертывание дополнительных решений в сфере информационной безопасности может


выполняться в формате автономных устройств или с помощью сервисных модулей
коммутаторов Cisco Catalyst® серии 6500. Дополнительные компоненты системы
безопасности перечислены в таблице ниже.

Таблица 3-3. Компоненты защищенного беспроводного решения.


Компоненты системы безопасности Функции и преимущества
Унифицированная беспроводная Реализация защищенной беспроводной сети
сеть Cisco (Контроллер
беспроводной сети Cisco или
сервисный модуль беспроводной
сети для коммутаторов Cisco Catalyst
серии 6500)
Устройство Cisco NAC Appliance Оценка состояния безопасности и устранение
(Clean Access) несоответствий
Cisco ASA серии 5500 или сервисный Реализация политик обработки трафиком
модуль МСЭ для коммутаторов Cisco
Catalyst серии 6500
Cisco Security Agent Хостовая система предотвращения вторжений
Cisco ASA с модулем IPS или Предотвращение атак
сервисный модуль системы
обнаружения вторжений (IDSM-2)
для коммутаторов Cisco Catalyst
серии 6500 с программным
обеспечением сенсора Cisco IPS
версии 5.1
Cisco Secure Access Control Server Аутентификация, авторизация и учет
Cisco Secure Services Client Клиентский модуль 802.1X для реализации
защищенной беспроводной сети
Услуги Cisco по безопасности и Рекомендации, процессы, средства и методики по
услуги Cisco по защите развертыванию защищенной унифицированной
беспроводной сети беспроводной сети

Обнаружение нелегально установленных AP

Решения компании Cisco Systems для обнаружения атак на беспроводные сети, в том
числе для изоляции нелегально установленных точек доступа (Rogue AP), включают в себя
следующие возможности:

 RF обнаружение нелегально установленных точек доступа по перехваченным в


радиосреде широковещательным сообщениям beacon frame и probe response
 обнаружение нелегальных точек доступа путем анализа RF характеристик
обнаруженного радиосигнала.
Для достижения этих целей Lightweight AP (LAP) по определенным циклам входит на 50 мс
в режим поиска нелегальных точек доступа, для чего прослушивает радиосреду, на
предмет посторонних широковещательных радиофреймов, оценки шумов и источников
сигналов интерференции с других радиоканалов. Вся полученная информация передается
на контроллер точек доступа WLC. WLC собирает подобную информацию от всех
известных ему точек доступа, после чего в результате анализа всей информации он
обнаруживает присутствие и радиохарактеристики нелегальных точек доступа.

Данная информация передается с контроллера и отображается на специальном


устройстве WCS (Wireless Control System). При этом, если на WCS настроено отображение
всей собираемой в системе управления радиоинформации обо всех установленных точках
доступа на поэтажных планах здания, то информация о нелегальных точках также
отобразится на этих планах с приемлемой для обнаружения точностью.

Рис.3-2. WSC c обнаруженной нелегальной AP.

В случаях, когда в здании установлено сравнительно небольшое количество AP, или когда
отсутствуют точные поэтажные планы, описанный выше метод радиоперехвата и анализа
радиосреды может быть неэффективным. В данном случае для решения проблемы
можно воспользоваться следующими методами:

 Rogue Detector AP – для этого в точке доступа вызывается режим, в котором AP, не
задействуя свой радиоинтерфейс, слушает только проводную сеть на предмет
присутствия в ней трафика от нелегальных беспроводных клиентов,
подсоединившихся к сети через нелегальную точку доступа. Для этого такая AP
подключается к сети через SPAN порт, сконфигурированный на мониторинг VLANов
в которых вероятно нелегальное подключение. AP слушает ARP сообщения
клиентов, и найденные MAC адреса сигнализирует на контроллер точек доступа.
 Rogue Location Discovery Protocol – данный протокол может помочь обнаружить
нелегальную точку доступа в случаях, когда ARP запросы от нелегальных клиентов
не видны в сети. Данная опция позволяет обнаружить логическое место
подключения нелегальной AP к проводной сети. Протокол работает таким образом,
что LAP точка доступа в случае обнаружения подозрительного соседа пытается
проассоциироваться с ним как клиент и одновременно с этим посылает
специальное тестовое сообщение на контроллер. Данное действие позволяет
подтвердить, что в сети присутствует нелегальная AP и его логическое место
подключение к проводной сети.
 изоляция нелегально установленных точек доступа предотвращающая
установление соединения клиентов с ними.

В случае обнаружения нелегальных клиентов беспроводных Rogue AP их можно


изолировать путем посылки им 802.11 de-authentication пакетов с находящейся рядом LAP
– активацию данной функции производят командами с WCS. Однако, эту возможность
необходимо применять с осторожностью, так как необходимо быть на 100% уверенным,
что это именно нелегальные клиенты, подключенные через Rogue AP. Применение
данного механизма также значительно расходует ресурсы легальной точки доступа, с
которой посылаются такие сообщения. Поэтому на практике применяют данную функцию
довольно редко, вместо этого рекомендуется при обнаружении присутствия в сети Rogue
AP найти и физически отключить ее от сети.

Рис. 3-3 Обнаружение Rogue точек доступа.

Кроме того, решение позволяет предотвращать спуффинг управляющих сообщений между


беспроводными точками доступа и клиентами за счет механизма Management Frame
Protection – наделяющего менеджмент сообщения цифровой подписью.

Беспроводные контроллеры WLC в свою очередь наделены функцией Wireless IDS, то есть
они имеют набор IDS сигнатур позволяющих отслеживать атаки на уровне 802.11 , 802.1x и
некоторых других протоколов. Данные IDS эффективно работают с проводными IDS
решениями Cisco, взаимно дополняя их.

Все упомянутые средства обнаружения нелегальных подключений работают в единой


системе решения Cisco Unified Wireless Solution. В состав решения входят беспроводные
Lightweight (“облегченные”) точки доступа – LAP, беспроводные контроллеры точек
доступа – WLC, и средство управления и мониторинга WCS, предоставляющего
возможность обнаруживать и реагировать на события, происходящие в сети.
4. Качество обслуживания (QoS) в архитектуре Cisco Unified Wireless

Нужны ли подробности?

Поддержка QoS определяет возможность сетевого комплекса предоставлять


дифференцированные сервисы для обслуживания различных данных (дата, голос,
мультимедиа). Проще говоря, работающее QoS означает возможность управления
приоритизацией одного трафика над другим, а также выделение ресурсов для передачи
критичных данных.

Система Cisco Unified Wireless поддерживает Wi-Fi MultiMedia (WMM) – систему QoS,
базирующуюся на стандарте IEEE 802.11e. Последний улучшает MAC подуровень Wi-Fi и
заботится о чувствительных к задержкам приложениях, таких как Voice over Wireless IP и
Streaming Multimedia.

Рис. 4-1. Пример применения QoS.

Как видно из рисунка, WMM обеспечивает сквозной QoS в прямом и обратном


направлении, включая радиоканал. При этом желательна поддержка WMM и на
клиентском оборудовании.

WMM базируется на классификации 802.1P, соответствие между ними показано в таблице


4-1.

Таблица 4-1. Классификация 802.1P и WMM.

802.1P 802.1P Access WMM


Priority Priority Designation Category Designation
Lowest 1 BK
AC_BK Background
2 -
0 BE
AC_BE Best Effort
3 EE
4 CL
AC_VI Video
5 VI
6 VO
AC_VO Voice
Highest 7 NC
WMM распределяет трафик по 4-м отдельным очередям по определенному механизму,
каждая очередь под свою категорию (см. таблицу 4-1). Приоритизация трафика
посредством WMM на уровне AP и клиента осуществляется по сути за счет манипуляции
межкадровыми интервалами на уровне 802.11 MAC.

С прикладной точки зрения система Cisco Unified Wireless позволяет легко настраивать
параметры QoS профилей (рис. 4.2) и WMM политик (рис. 4.3) на контроллере.

Рис. 4.2. WLAN QoS профиль.

Рис.4.3. WMM политика.

Таким образом на оборудовании Cisco позволяет возможно производить настройку QoS в


сквозном режиме – на каждом сетевом элементе, в проводной и беспроводной части
решения. За счет этого можно гарантировать корректную отработку механизмов качества
обслуживания.
5. Гибридные точки доступа при удаленном подключении (H-REAP)

В случае организации удаленных подключений небольших офисов Уралсвязьинформ, где


нет необходимости устанавливать локальный контроллер WLC, возможно применение так
называемых REAP (Remote Edge Access Point) и H-REAP. Данные точки подключаются к
WLC, расположенному в другом офисе, через WAN сеть. При этом второй тип AP позволяет
продолжать работу уже подключенных пользователей (поддерживая локальную
аутентификацию для них) даже при выходе из строя WAN соединения.

Высокоуровневая архитектура REAP подключения показана на рис. 5-1:

Рис. 5-1. Топология REAP.


6. Рекомендации по дизайну передачи голоса (VoWLAN)

Преимуществом комплексного решения Cisco Unified Wireless является возможность


использования «мобильных» Wi-Fi телефонов в сегменте WLAN. Для их качественной
работы важно проработать два момента: соблюдение параметров QoS (см. раздел
Качество обслуживания (QoS) в архитектуре Cisco Unified Wireless) и очень аккуратный
подбор внешних антенн на AP, а также расположение последних для обеспечения
хорошего радио-покрытия.

Рис. 6-1. Подбор параметров уровня сигнала AP и абонента.

Отличительным моментом является то, что Cisco разработала так называемые расширения
совместимости для улучшения работы VoWLAN:

Рис. 6-2. Расширения Cisco для VoWLAN.

Является ли необходимым привязка телефонов к выделенной WLAN? Это зависит от схемы


организации связи, в частности от используемого адресного пространства под данные и
голосовой трафик.

В обоих случаях приоритизация голоса работать будет в соответствии с парадигмой


Wireless QoS. Но, возможно, использования локальных IP адресов для голосовых сервисов
будет удобнее при организации отдельной голосовой WLAN.
7. Гостевой доступ в системе Cisco Unified Wireless

Возможность организации гостевого доступа для мобильных пользователей – партнеров и


клиентов – на базе корпоративной IT Wireless Уралсвязьинформ очень полезна. Это
решение Cisco позволяет безболезненно и безопасно подключать недоверенных
пользователей и ускоряет процесс взаимодействия с ними.

Основные компоненты организации гостевого доступа (см. рис.7-1):

 выделенная гостевая WLAN / SSID


 изоляция трафика гостевых пользователей
 контроль доступа
 управление правами гостевых подключений.

Рис. 7-1. Гостевой доступ с централизованным контроллером.

Для удобства работы пользователей гостевой WLAN для них создается WEB-портал
аутентификации. При первоначальном подключении пользователь должен ввести данные
user login/password и после этого получить легитимный доступ к ресурсам сети (выход в
Internet). Реализация WEB портала выполняется, в частности на контроллерах WLC.

Управление доступом подключающихся гостевых пользователей может быть реализовано


централизованно через систему управления WCS. Существует возможность организации
немедленного подключения, отложенного на конкретную дату, ограниченного по
времени, а также пересылка данных аутентификации на e-mail (см. рис. 7-2).
Рис. 7-2. Создание гостевого аккаунта на WCS.

Решение позволяет безболезненно интегрироваться с уже существующими внешними


системами контроля доступа. В частности, возможно использование Cisco NAC Appliance.
Устройство в этом случае размещается непосредственно на пути к внешнему стыку с
Internet (рис. 7-1).

Приложения

Оборудование

БОМ