Беспроводная корпоративная сеть на базе Extreme Networks состоит из следующих компонентов:
• Identifi Wireless Appliance — контроллер беспроводной сети.
• Wireless AP — беспроводные точки доступа
• Netsight — система управления проводных и беспроводных компонентов сети.
Identifi Wireless Appliance
Контроллеры серии Identifi представляют собой решение Extreme Networks для управления масштабируемой, высокопроизводительной беспроводной сетью WLAN — решение, легкое в использовании и обеспечивающее требуемый уровень безопасности сети.
Контроллеры беспроводной сети поддерживают различные сетевые функции, включая централизованное управление и настройку беспроводных точек доступа, пользовательскую аутентификацию и расширенное радиочастотное управление.
Контроллеры беспроводной сети поддерживают интуитивно понятный интерфейс, позволяющий управлять беспроводной сетью, с любого ноутбука или компьютера находящегося в сети. CLI интерфейс также доступен для управления беспроводной сетью.
Слово «контроллер» относится к обоим типам контроллеров — программным (виртуальным) и аппаратным.
| Аппаратные контроллеры беспроводного доступа |
C25 |
С35 |
C5210 |
| Производительность |
|||
| Количество лицензий для точек доступа, имеющихся на контроллере по умолчанию |
16 |
50 |
100 |
| Суммарная поддержка ТД на устройство |
100 |
250 |
2000 |
| Суммарная поддержка ТД на устройство в режиме standalone |
50 |
125 |
1000 |
| Дополнительная поддержка ТД на устройство в режиме high- availability |
50 |
125 |
1000 |
| Сумма единовременно поддерживаемых пользователей на устройство |
1024 |
4000 |
32000 |
| Сумма единовременно |
512 |
2000 |
16000 |
| поддерживаемых пользователей на устройство в режиме standalone |
|||
| Сумма единовременно поддерживаемых пользователей на устройство в режиме high- availability |
512 |
2000 |
16000 |
C25
C35
C5210
| Программные контроллеры беспроводного доступа |
V2110 (VMWARE) |
V2110(HYPER-V) |
||
| Производительность |
SMALL |
MEDIUM |
LARGE |
|
| Количество лицензий для точек доступа, имеющихся на контроллере по умолчанию |
8 & 2 Radar license |
|||
| Суммарная поддержка ТД на устройство |
64 |
500 |
1050 |
500 |
| Суммарная поддержка ТД на устройство в режиме standalone |
32 |
250 |
525 |
250 |
| Дополнительная поддержка ТД на устройство в режиме high- availability |
32 |
250 |
525 |
250 |
| Сумма единовременно поддерживаемых пользователей на устройство |
512 |
4096 |
8192 |
4096 |
| Сумма единовременно поддерживаемых пользователей на устройство в режиме standalone |
256 |
2048 |
4096 |
2048 |
| Сумма единовременно поддерживаемых пользователей на устройство в режиме high- availability |
256 |
2048 |
4096 |
2048 |
| Технические требования к серверу |
||||
| Требования к количеству CPU |
2 |
4 |
8 |
4 |
| Требования к количеству оперативной памяти (Gb) |
1 |
2 |
4 |
2 |
| Требования к количеству свободного места на жестком диске (Gb) |
25 |
25 |
25 |
25 |
| Требования к количеству физических интерфейсов |
Два порта для передачи данных, один порт для выделенного управления контроллером. |
|||
Более подробное описание параметров беспроводных контроллеров Extreme Networks можно найти на сайте производителя:
learn.extremenetworks.com/rs/extreme/images/Wireless-Controllers-DS.pdf
Виртуализированная сегментация пользователей
Концепция иерархической зависимости, при настройке элементов VNS
Контроллер беспроводной сети позволяет создавать и управлять уникальными виртуальными сетевыми службами — Virtual Network Services (VNS), благодаря которым вы можете предоставить уникальные уровни сервиса (такие как разрешение доступа, шифрование и авторизация устройств) в группах мобильных пользователей, устройств или приложений, на основе базовых политик (ролей).
Роли (так же известные как политики) определяют топологию ТД (сетевой сегмент), фильтрацию (ограничение доступа) и класс обслуживания (Class of Service). Понятие VNS состоит из WLAN Service связанных с одной или двумя ролями, применяемых к станциям по умолчанию. Пока не пройдена ассоциация с ролью, WLAN Service остается не активным.
Когда пользователь ассоциируется с конкретным SSID (WLAN Service), пользователю присваивается определенная роль, которую VNS считает ролью по умолчанию. Пользователь попадает в специальный сегмент, где его доступ в сеть ограничен фильтрами «роли», а его скорость ограничена параметрами, которые указаны в роли.
Тем не менее, при ответе сервера аутентификации (например, RADIUS) или запроса со стороны внешнего API, можно переназначить пользователя к другой политике. Роль может переподключить пользователя к совершенно другому сегменту (VLAN), состоянию доступа (фильтры) и ограничению скорости.
Роль, назначенная на конкретную пользовательскую сессию, остается активной все время, пока пользователь находится и перемещается в мобильном домене.
Контроллер беспроводной сети (Identifi Wireless Appliance), может поддерживать следующее количество VNSs, топологий, ролей и профилей по ограничению скорости:
| Контроллер |
Максимально поддерживаемое количество: |
||||
| Active VNSs |
VNSs |
Topologies |
Roles |
Rate Control Profiles |
|
| C5210 |
128 |
256 |
256 |
1024 |
128 |
| C25 |
16 |
32 |
32 |
128 |
32 |
| C35 |
48 |
16 |
32 |
128 |
32 |
| V2110 |
64 |
128 |
128 |
512 |
128 |
Аутентификация и шифрование
Контроллер беспроводной сети (Identifi Wireless Appliance), и точки доступа работают совместно поддерживая широкие возможности аутентификации, шифрования и обнаружения вторжений.
Механизмы 802.1x в сочетании WPA-2 Enterprise и WPA-2 PSK (аутентификация Pre-Shared Key) позволяют только авторизованным пользователям иметь доступ к сети. Другие функции включают в себя Captive Portal для перенаправления пользователей на веб-аутентификацию.
Radar WIDS-WIPS
Identifi Radar это расширенный набор возможностей Wireless-Intrusion-Detection- Service and Wireless-Intrusion-Prevention-Service (WIDS-WIPS) интегрированных с беспроводным контроллером, точками доступа и соответствующим программным обеспечением. Radar обеспечивает базовое решение для обнаружения несанкционированных устройств в зоне действия беспроводной сети. Radar выполняет базовый анализ радиочастот (RF) сети для выявления неуправляемых точек доступа и персональные ad-hoc сети. Функции, которые включает в себя Radar: поддержку динамического выбора каналов и радиочастот, отображение местоположения (требуется Netsight 4.4 и выше), адаптация к интерференции и ее классификация, а также беспроводное обнаружение вторжений и защиты.
Когда Radar функции включены:
• Точки доступа серии AP39xx, AP38xx и AP37xx осуществляют одновременное сканирование WIPS-WIDS и передачу траффика. Точки доступа проверяют и защищают тот частотный канал, в котором они работают.
• Также точки могут быть настроены в режиме Guardians, в этом режиме точка доступа может проверять нарушения (а так же предотвращает их) на всех активных каналах передачи данных. Точки доступа в режиме Guardians не могут передавать трафик, но их можно переключить в режим Traffic Forwarding, при необходимости. Точки доступа можно настроить на активное противодействие определенным типам угроз, которые они обнаружили. Доступны следующие типы противодействий: отправка де¬аутентифицирующих кадров к устройствам и точкам доступа «нарушителям», автоматическое занесение в черный список (блокировка) устройств выполняющих WIDS-WIPS атаки, а также ограничение скорости передачи беспроводных кадров идентифицированных как часть Denial of Service (DoS) атак.
Функция WIPS/WIDS требуют лицензирования.
Более подробную информацию по настройке Radar WIDS-WIPS вы можете найти в Wireless User Guide.
Автоматическое присвоение IP-адресов устройствам клиентов
Контроллер беспроводной сети (Identifi Wireless Appliance) имеет встроенный DHCP сервер, который может быть использован для присвоения IP адресов клиентам сети в заданной топологии. Контроллер так же способен работать с внешним DHCP сервером, ретранслируя DHCP запросы от рабочих станций к серверам.
Web аутентификация
Контроллер беспроводной сети (Identifi Wireless Appliance) имеет встроенный Captive Portal, который позволяет выполнять Web-аутентификацию. Так же поддерживается работа с внешним captive portal.
Identifi Wireless точки доступа
Точки доступа Extreme Networks являются точками доступа корпоративного уровня, они обеспечивают расширенные возможности радиочастот (RF), безопасность, надежность и масштабируемость.
Точки доступа физически присоединяются к LAN инфраструктуре и устанавливают IP соединение с беспроводным контроллером. Вы можете настраивать и управлять глобальными или индивидуальными функциями точек доступа используя беспроводной контроллер. Вся взаимосвязь между точками доступа и контроллером осуществляется с помощью UDP-based протоколов.
Точки доступа для внутренних помещений:
| Точки доступа |
Производительность |
| AP3935 |
802.11ac Wave 2, up to 2.5 Gbps, dual-radio 4x4:4 |
| AP3825 |
802.11ac AP up to 1.75Gbps capacity, dual-radio, 3x3:3 |
| AP3805 |
802.11ac AP up to 1.17Gbps capacity, dual radio, 2x2:2 |
| AP3801 |
Single radio 802.11n or 802.11ac, Up to 867 mbps |
| AP3705 |
Up to 600Mbps capacity, dual-radio, 2x2:2 |
| AP3715 |
Up to 900Mbps capacity, dual-radio, 3x3:3, redundant data ports and multiple power options |
Внешние точки доступа:
| Точки доступа |
Производительность |
| AP3965 |
802.11ac Wave 2, up to 2.5 Gbps capacity, 4x4:4, 4, IP 67 / NEMA 6, with integrated or external antennas |
| AP3865 |
802.11ac AP, up to 1.75 Gbps capacity, dual-radio, 3x3:3, IP67 / NEMA 6 and supports multiple antenna options |
Более подробное описание параметров беспроводных точек доступа Extreme Networks можно найти на сайте производителя: www.extremenetworks.com
MESH и WDS
Mesh сети или Wireless Distribution System (WDS) позволяют расширить зону покрытия беспроводной сети путем объединения нескольких беспроводных точек доступа в единую сеть без проводного соединения между ними. MESH сеть является самовосстанавливающейся, динамической сетью. Mesh сети и Wireless Distribution System (WDS)
идеально подходят для мест, где прокладка проводных Ethernet сетей является дорогостоящей или трудновыполнимой.
Механизмы обнаружения в беспроводных решениях Extreme Networks
Решение Extreme Networks предполагает автоматическое обнаружение контроллера точками доступа:
Для этого используется один из следующих режимов:
• SLP (Service Location Protocol) — Multicast и Unicast
Протокол обнаружения сервисов позволяет компьютерам и другим устройствам обнаруживать предоставляемый сервис (например, автообнаружение Wi-Fi сетей) без предварительных настроек. SLP это один из режимов, с помощью которых точки доступа обнаруживают беспроводные контроллеры в сети.
• DNS (Domain Name Server)
DNS — сервер, который переводит доменные имена в IP-адреса. Может использоваться точками доступа Extreme Networks в качестве альтернативного механизма автоматического обнаружения контроллера. Беспроводной контроллер может быть зарегистрирован в DNS как «controller». После настройки параметра DNS-имени контроллера, точки доступа смогут получить его IP адрес, через запрос DNS.
В DNS должна быть внесена запись класса A (host) привязывающая IP адрес Physical топологии контроллера к доменному имени «controller». DHCP сервер обслуживающий точки должен раздавать суффикс доменного имени (Option 15, DNS Domain Name). Для проверки можно использовать команду: ping controller (т.е. только префикс) При правильной конфигурации DNS и DHCP контроллер должен откликаться.
• DHCP server (Dynamic Host Configuration Protocol) (RFC2131)
DHCP сервер — назначает динамически IP адрес, шлюз и маску подсети и т.д. Он также используется точками доступа для обнаружения местоположения контроллера при первоначальной регистрации. Использует опцию 43, 60 и опцию 78. Опции 43 и 60 указывают идентификатор класса производителя (vendor class identifier (VCI)) и специальную информацию производителя. Опция 78 определяет местоположение одного или более SLP агентов из каталога. Для SLP, DHCP опция 78 должна быть включена. Используйте опцию 60 для запроса DHCP сервера о адресе контроллера. DHCP сервер ответит точке доступа опцией 43, в которой перечислены доступные контроллеры
Дистрибуция решений Extreme Netwroks в Украине, Беларуси, странах СНГ
Учебные курсы Extreme Networks
МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание