23 Мая 2018 г.
Когда требуется построить корпоративную беспроводную сеть, основная задача, стоящая перед системными администраторами — обеспечить необходимый уровень защиты. Популярность концепции BYOD (bring your own device, принеси собственное устройство) требует повышенного внимания к контролю безопасности, анализу траффика и гарантированной производительности сети.
Безопасность
1. Обеспечение необходимого уровня защиты
Корпоративная Wi-Fi сеть должна обеспечивать защищенность передаваемых данных и исключать возможность посторонних внедрений. Оборудование должно поддерживать аутентификацию с использованием SSL сертификата, иметь возможность интеграции с Active Directory, Radius, позволять настраивать, к каким сетям и данным пользователь имеет право обращаться.
2. Анализ траффика и управление потоками данных
Поток данных со всей сети должен в соответствии с заданными настройками единообразно направляться и обрабатываться. Последующий анализ информации при передачи защищенных данных может быть ограничен, в этом случае должна быть возможность анализа характеристик этой информации, типов запросов и т.д.
Например, обращение к корпоративным данным будет проходить через контроллер в центральном офисе, журналироваться, фильтроваться, анализироваться антивирусом и только после этого передаваться на клиентское устройство. При этом обращения во внешнюю сеть и гостевые подключения могут быть сразу маршрутизированы на ближайший шлюз Интернета.
3. Ограничение периметра действия сети
Стандартным функционалом корпоративных точек доступа также предоставляется возможность задания периметра действия сети — например, чтобы к Wi-Fi нельзя было подключиться за пределами офиса, магазина, или другой территории.
Также можно внутри одной SSID сети разграничить зоны на гостевую и служебную в соответствии с назначениями помещений. В случае перемещения клиентского устройства в служебную зону, может отправляться оповещение службе безопасности.
4. Определение местоположения приемника Wi-Fi
По принципу триангуляции при наличии трех точек доступа в зоне подключения возможно определить местоположение клиента, построить карты подключений и т.д. Заявленная производителями точность в 20-30 см. достижима на открытом пространстве, в офисном здании из-за особенностей перекрытий погрешность увеличивается до 2-3 м.
Особенно интересно использовать данный функционал в совокупности с журналированием траффика и интеграцией с системой видеонаблюдения для расследования отдельных инцидентов.
Надежность
1. Наличие контроллера сети
При создании беспроводной сети на базе нескольких точек доступа с единым SSID требуется контроллер сети — устройство, которое централизованно управляет всеми точками доступа, хранит информацию об основных сетевых настройках и проводит аутентификацию.
У ряда производителей в небольших сетях до ~50-80 точек роль контроллера может выполнять обычная точка доступа. В более крупных сетях в любом случае требуется отдельное устройство или виртуальная машина.
2. Отсутствие единой точки отказа
Как и в любом корпоративном оборудовании, важна надежность и доступность сервиса в любой момент времени. Это реализуется наличием резервного контроллера, который в автоматическом режиме мгновенно примет на себя управление сетью в случае отказа основного контроллера.
Производительность
1. Высокая производительность и гарантированная пропускная способность
Самая базовая точка доступа в корпоративном сегменте позволяет одновременно поддерживать подключения до 1000 пользователей, "серфить" в Интернете до 256, при этом одновременно могут загружать видео высокого разрешения не менее 30. Это является нормой по отрасли для базовых моделей. У всех вендоров в продуктовых линейках существуют и в разы более производительные точки доступа, также всегда можно линейно масштабировать производительность путем добавления новых точек.
2. Качество связи
Точки доступа корпоративного уровня имеют мощный сигнал и за счет этого обладают преимуществом тех в местах, где конкурирует большое количество различных Wi-Fi сетей (например, в офисах бизнес-центров). Для отсутствия конкуренции между точками одной SSID, существует возможность распределения их по разным радиочастотным каналам.
Удобство эксплуатации
1. Гибкое управление SSID зонами
Точки доступа корпоративного уровня позволяют создавать единую SSID сеть любого масштаба с единой политикой безопасности, в том числе территориально распределенную по всему миру. Обычно это реализуется посредством VPN соединений. Также возможно создание гостевых зон с заданными ограничениями и настройками.
2. Бесшовный роуминг
При перемещении пользователя, особенно на больших объектах, переключение между точками доступа должно происходить автоматически, без прерывания соединений, незаметно для производительности, с соблюдением всех политик безопасности.
Более того, точки проверяют качество связи и скорость доступа абонента и могут принудительно отключить клиентское устройство с целью его миграции на другую точку.
3. Наличие сервиса самообслуживания
Для публичных сетей (аэропорты, торговые центры) необходим функционал самостоятельной аутентификации пользователей посредством номера телефона и смс. При необходимости, портал самообслуживания можно интегрировать с биллинговой системой (например, в отелях, поездах) и позволить пользователям самостоятельно оплачивать доступ в Интернет.
В целом, в корпоративном сегменте точки доступа у различных производителей (Cisco, HP Aruba, Ruckus, Extreme Networks и др.) удовлетворяют всем вышеперечисленным требованиям и имеют между собой небольшие отличия по функционалу и реализованным подходам к безопасности.
Поэтому выбирать следует исходя именно из этих различий: ведь в случае, если окажется недостаточная производительность или покрытие — всегда можно добавить дополнительные точки доступа, а если сеть не будет обеспечивать необходимый уровень безопасности — придется полностью менять оборудование.