Difference between revisions of "WiFi"

From NMS
Jump to: navigation, search
(Požadavky na funkce AP + wireless kontroleru)
(Požadavky na funkce AP + wireless kontroleru)
 
(14 intermediate revisions by the same user not shown)
Line 31: Line 31:
 
* podpora privátních VLAN (klienti mohou komunikovat pouze s gateway a ne navzájem mezi sebou)
 
* podpora privátních VLAN (klienti mohou komunikovat pouze s gateway a ne navzájem mezi sebou)
 
* podpora Eduroamu (802.11x) a zařazování klientů do VLAN na základě atributu z RADIUS autentizace
 
* podpora Eduroamu (802.11x) a zařazování klientů do VLAN na základě atributu z RADIUS autentizace
 +
* podpora FreeRADIUS autentizace pro 802.11x
 +
** API umožňující informace o autentizovaném uživateli pushnout do registrace síťových zařízení
 +
* zařazování 802.11x autentizovaných klientů do různých VLAN (obecně a ještě lépe při využití FreeRADIUSu)
 
* podpora vzdálených AP přes VPN (např. pro konference, výjezdní zasedání, "domácí využití", ...) - stačí základní síťová konektivita a naše AP bude jednoduše poskytovat naše sítě kdekoliv
 
* podpora vzdálených AP přes VPN (např. pro konference, výjezdní zasedání, "domácí využití", ...) - stačí základní síťová konektivita a naše AP bude jednoduše poskytovat naše sítě kdekoliv
 
* konfigurace sítě jako celku, možnost vytvářet skupiny AP se dalšími specifickými konfiguracemi (např. další SSID v určité oblasti)
 
* konfigurace sítě jako celku, možnost vytvářet skupiny AP se dalšími specifickými konfiguracemi (např. další SSID v určité oblasti)
Line 37: Line 40:
 
* podpora multicastu (co přesně???)
 
* podpora multicastu (co přesně???)
 
* podpora QOS (co přesně???, např. něco k VoIP a podobným "real-time" službám???)
 
* podpora QOS (co přesně???, např. něco k VoIP a podobným "real-time" službám???)
 +
** omezení rychlosti pro služby (např. youtube, ..., OS update, ...)
 +
** omezení rychlosti pro velké objemná data aby interaktivní práce byla stále snesitelná
 
* PoE napájení AP podle běžných standardů (akceptujeme i PoE+???)
 
* PoE napájení AP podle běžných standardů (akceptujeme i PoE+???)
 
* 802.11ac Wave2
 
* 802.11ac Wave2
Line 43: Line 48:
 
* vztah k 802.11ad (60GHz pásmo pro 10Gb wireless, ale s velmi omezeným dosahem - spíš wireless "na stole" než šireless pro místnost)
 
* vztah k 802.11ad (60GHz pásmo pro 10Gb wireless, ale s velmi omezeným dosahem - spíš wireless "na stole" než šireless pro místnost)
 
* MIMO 4x4 (nebo něco lepšího??? [http://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/802-11ac-solution/q-and-a-c67-734152.html IEEE standard] definuje i MIMO 8x8), Multi User (MU)
 
* MIMO 4x4 (nebo něco lepšího??? [http://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/802-11ac-solution/q-and-a-c67-734152.html IEEE standard] definuje i MIMO 8x8), Multi User (MU)
 +
* ??? jak je to s vyuzitim radio spektra pri pouziti 4x4 MIMO? pocet kanalu?
 
* ??? fungovaní AP / wireless kontroleru bez nutnosti komunikace s výrobcem / třetí stranou (nebo mírněji přesně zdokumentováno, co se posílá "domů" za data)
 
* ??? fungovaní AP / wireless kontroleru bez nutnosti komunikace s výrobcem / třetí stranou (nebo mírněji přesně zdokumentováno, co se posílá "domů" za data)
 
* ??? některá řešení umí fungovat jako "jedno AP" (ale např. u Huawei bylo zmíněno, že do pak celé běží na jednom kanálu => fajn pro migraci klientů mezi AP ale ne příliš vhodné pro celkovou propustnost)
 
* ??? některá řešení umí fungovat jako "jedno AP" (ale např. u Huawei bylo zmíněno, že do pak celé běží na jednom kanálu => fajn pro migraci klientů mezi AP ale ne příliš vhodné pro celkovou propustnost)
 +
* ??? BLE
 
* ??? AP funkční pro všechny kanály v 5GHz pásmů včetně plánovaných ([https://en.wikipedia.org/wiki/List_of_WLAN_channels 5170-5835])
 
* ??? AP funkční pro všechny kanály v 5GHz pásmů včetně plánovaných ([https://en.wikipedia.org/wiki/List_of_WLAN_channels 5170-5835])
 
* ??? odstavení / containement neschválených AP
 
* ??? odstavení / containement neschválených AP
Line 55: Line 62:
 
* ??? detekce interferencí v 2.4/5GHz pásmu (např. bezdrátová sluchátka pracující v 2.4GHz a rušící WiFi signál)
 
* ??? detekce interferencí v 2.4/5GHz pásmu (např. bezdrátová sluchátka pracující v 2.4GHz a rušící WiFi signál)
 
* ??? určení pravděpodobné polohy wireless zařízení (dohledávaní ztracených)
 
* ??? určení pravděpodobné polohy wireless zařízení (dohledávaní ztracených)
 +
* ??? podpora 160MHz pasma [https://www.wi-fi.org/product-finder-results?sort_by=default&sort_order=desc&capabilities=9&certifications=12,59 WiFi Certified?] ([https://www.wi-fi.org/discover-wi-fi/wi-fi-vantage Wi-Fi CERTIFIED Vantage™]?) pro přednáškové místnosti (4x4 MU-MIMO, CISCO umi 2x80MHz, takže těch 160MHz nemusí být v jednom rozsahu)
 +
* ??? samostatné radio pro scanování
 +
* ??? podpora budoucich sifrovani (WPA3) - [https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements Wi-Fi CERTIFIED WPA3™]
 +
* ??? 802.11ax
 +
* monitoring
 +
** detekce cizích AP
 +
** detekce deasociačních fraimů od cizích AP (contaiment)
 +
** ??? lokalizace klientů
 +
** aktuální stav sítě (klienti, performance, ...)
 +
** historie
  
 
??? jsou označeny položky u nichž zatím nejsme rozhodnuti, jestli to bude striktní nebo volitelný požadavek (nebo zatím není zcela jasné jak uvedený požadavek rozumně formulovat)
 
??? jsou označeny položky u nichž zatím nejsme rozhodnuti, jestli to bude striktní nebo volitelný požadavek (nebo zatím není zcela jasné jak uvedený požadavek rozumně formulovat)
 +
 +
Poznámky obecné:
 +
* rozmyslet jeslti chceme pouze datovou / VoIP / lokalizační wireless síť
 +
** liší se počtem, rozmístěním a případně i konfigurací AP
 +
** VoIP vyžaduje kompletní pokrytí bez hluchých míst a jednotlivé wireless oblasti se musí dostatečně překrývat
 +
*** moderní zařízení (hi-end modely smartphonů) preferují WiFi před GSM (např. na FELK je v monitoringu WiFi vidí)
 +
*** běžně komunikují po WiFi s operátorem - budou padat telefonní hovory když půjde někdo s takto připojeným telefonem po chodbě?!?
 +
** lokalizační síť musí mít vhodně (a hustě) rozmístěna AP pro triangulaci klientů, kdy AP nemohou být jednoduše v řadě za sebou (lze použít čistě monitorovací AP, která jen poslouchají a dokážou tak pokrýt vetší prostor)
 +
* pro přednáškové místnosti je vhodné použít více AP
 +
** od boku nastřeleno 3x AP se 40MHz kanály (20MHz je málo a víc zas klienti vetšinou nevyžijí)
 +
** ??? ale 3x 40MHz je dost malé pásmo pro přednáškovou místnost takže mi něco pořád asi není uplně jasné
 +
* AP by měla umožňovat konfiguraci radií na 2.4GHz i 5GHz
 +
** pro plánovanou hustotu pokrytí některá AP nebudou vysílat v 2.4GHz
 +
** než mít jedno vypnuté rádio tak je lepší zapnout obě v 5GHz
 +
*** jedno může obsluhovat blízské klienty a jedno ty vzdálenější
 +
*** rychlost připojení klientů je totiž dána pro celé radio
 +
*** jeden pomalý klient tak může degradovat výkon v celé oblasti pokryté daným radiem
 +
*** je vhodné nastavit minimální rychlost s níž se klienti budou moci připojovat
 +
* omezení překryvu sítí (Břehová)
 +
** lze částečně řešit nastavením minimální přenosové rychlosti, které klienti od naproti nedosáhnout a nebudou tak skákat do naší sítě
 +
 +
Poznámky CISCO:
 +
* Aironet 2600 mají vlastní CISCO wireless chip s lepším monitorováním wireless spektra (všechno nižší a od jiných výrobců jede na Broadcom wireless)
  
 
==Požadavky na související zasíťování==
 
==Požadavky na související zasíťování==

Latest revision as of 07:27, 20 April 2018

Plán upgrade WiFi sítě na FJFI

Na tomto místě budou shromažďovány informace týkající se plánů na vybudování moderní wireless sítě na FJFI (viz. FJFI_IT-51). Hlavní motivací je

  • výměna zastaralých AP za zařízení podporující aktuální standardy 802.11ac Wave 2
  • plné pokrytí všech prostor na FJFI jednotnou wifi sítí (odstranění všech ostatních zařízení)
  • centralizované řízení pomocí wireless kontroleru (sítě Eduroam + WiFiFJFI + "konferenční síť s WPA heslem")
  • stavební úpravy umožňující optimální instalaci a zabraňující "náhodnému" odpojení zařízení od sítě

Hodně hrubý odhad počítá s řádově 60 AP pro Trojanku + wireless kontroler, 60 AP pro Břehovku + wireless kontroler a podobnou hustotu pokrytí chceme dosáhnout i v Tróji a Děčíně, kde se buď půjdeme cestou rozšíření již existující infrastruktury organizací s nimiž budovy sdílíme nebo bychom využili wireless kontrolery z Trojanoky/Břehovky. Předběžný odhad nákladů na AP + wireless kontrolery se pohybuje řádově ~ 1.5MKč (nezahrnuje náklady na stavební úpravy nutné pro instalaci a připojení AP) a FJFI má zdroje na realizaci během přístích 3 let. Jako první pravděpodobně přijde na řadu v roce 2017 budova v Trojanově ulici, protože na přístí rok jsou již stejně plánované velké rekonstrukce půdních prostor.

Plány rozmístění AP

Břehová

Trojanova

Trója

Děčín

Požadavky na funkce AP + wireless kontroleru

Tato sekce zatím slouží jen jako poznámkový blok, který bude potřeba probrat a finalizovat až v průběhu další diskuze.

  • připojení wireless kontroleru 10Gb
  • automatická (a průběžná???) optimalizace využití wireless spektra (volba kanálů, regulace výkonu, ...)
  • podpora instalace s vysokou hustotou (500 klientů na velké přednáškové sály)
  • připojení AP po samostatné VLAN
  • podpora více různých SSID s různými security profily (Open/WPA PSK/WPA Enterprise) a oddělení pomocí VLAN
  • podpora privátních VLAN (klienti mohou komunikovat pouze s gateway a ne navzájem mezi sebou)
  • podpora Eduroamu (802.11x) a zařazování klientů do VLAN na základě atributu z RADIUS autentizace
  • podpora FreeRADIUS autentizace pro 802.11x
    • API umožňující informace o autentizovaném uživateli pushnout do registrace síťových zařízení
  • zařazování 802.11x autentizovaných klientů do různých VLAN (obecně a ještě lépe při využití FreeRADIUSu)
  • podpora vzdálených AP přes VPN (např. pro konference, výjezdní zasedání, "domácí využití", ...) - stačí základní síťová konektivita a naše AP bude jednoduše poskytovat naše sítě kdekoliv
  • konfigurace sítě jako celku, možnost vytvářet skupiny AP se dalšími specifickými konfiguracemi (např. další SSID v určité oblasti)
  • migrace klientů mezi AP bez reautentizace
  • podpora IPv6 (specifikovat do jaké míry???)
  • podpora multicastu (co přesně???)
  • podpora QOS (co přesně???, např. něco k VoIP a podobným "real-time" službám???)
    • omezení rychlosti pro služby (např. youtube, ..., OS update, ...)
    • omezení rychlosti pro velké objemná data aby interaktivní práce byla stále snesitelná
  • PoE napájení AP podle běžných standardů (akceptujeme i PoE+???)
  • 802.11ac Wave2
    • bez Wave2 nelze provozovat širší kanály než 20MHz pokud existuje klient bez podpory širších kanálů
    • s Wave2 umí AP alokovat pro klienty takovou šířku pásma, kterou podporují
  • vztah k 802.11ad (60GHz pásmo pro 10Gb wireless, ale s velmi omezeným dosahem - spíš wireless "na stole" než šireless pro místnost)
  • MIMO 4x4 (nebo něco lepšího??? IEEE standard definuje i MIMO 8x8), Multi User (MU)
  •  ??? jak je to s vyuzitim radio spektra pri pouziti 4x4 MIMO? pocet kanalu?
  •  ??? fungovaní AP / wireless kontroleru bez nutnosti komunikace s výrobcem / třetí stranou (nebo mírněji přesně zdokumentováno, co se posílá "domů" za data)
  •  ??? některá řešení umí fungovat jako "jedno AP" (ale např. u Huawei bylo zmíněno, že do pak celé běží na jednom kanálu => fajn pro migraci klientů mezi AP ale ne příliš vhodné pro celkovou propustnost)
  •  ??? BLE
  •  ??? AP funkční pro všechny kanály v 5GHz pásmů včetně plánovaných (5170-5835)
  •  ??? odstavení / containement neschválených AP
  •  ??? podpora > 1Gb připojení pro AP (802.3bz - 2.5/5Gb ethernet???)
  •  ??? sdílení licencí mezi wireless kontrolery
  •  ??? možnost HA konfigurace wireless kontrolerů
  •  ??? security upgrade software zdarma (minimálně po dobu XX let?)
  •  ??? upgrade sw na kontroleru nebude implikovat výměnu AP
  •  ??? nová AP budou fungovat ("alespoň v kompatibilním režimu") se stavajícím wireless kontrolerem
  •  ??? detekce interferencí v 2.4/5GHz pásmu (např. bezdrátová sluchátka pracující v 2.4GHz a rušící WiFi signál)
  •  ??? určení pravděpodobné polohy wireless zařízení (dohledávaní ztracených)
  •  ??? podpora 160MHz pasma WiFi Certified? (Wi-Fi CERTIFIED Vantage™?) pro přednáškové místnosti (4x4 MU-MIMO, CISCO umi 2x80MHz, takže těch 160MHz nemusí být v jednom rozsahu)
  •  ??? samostatné radio pro scanování
  •  ??? podpora budoucich sifrovani (WPA3) - Wi-Fi CERTIFIED WPA3™
  •  ??? 802.11ax
  • monitoring
    • detekce cizích AP
    • detekce deasociačních fraimů od cizích AP (contaiment)
    •  ??? lokalizace klientů
    • aktuální stav sítě (klienti, performance, ...)
    • historie

??? jsou označeny položky u nichž zatím nejsme rozhodnuti, jestli to bude striktní nebo volitelný požadavek (nebo zatím není zcela jasné jak uvedený požadavek rozumně formulovat)

Poznámky obecné:

  • rozmyslet jeslti chceme pouze datovou / VoIP / lokalizační wireless síť
    • liší se počtem, rozmístěním a případně i konfigurací AP
    • VoIP vyžaduje kompletní pokrytí bez hluchých míst a jednotlivé wireless oblasti se musí dostatečně překrývat
      • moderní zařízení (hi-end modely smartphonů) preferují WiFi před GSM (např. na FELK je v monitoringu WiFi vidí)
      • běžně komunikují po WiFi s operátorem - budou padat telefonní hovory když půjde někdo s takto připojeným telefonem po chodbě?!?
    • lokalizační síť musí mít vhodně (a hustě) rozmístěna AP pro triangulaci klientů, kdy AP nemohou být jednoduše v řadě za sebou (lze použít čistě monitorovací AP, která jen poslouchají a dokážou tak pokrýt vetší prostor)
  • pro přednáškové místnosti je vhodné použít více AP
    • od boku nastřeleno 3x AP se 40MHz kanály (20MHz je málo a víc zas klienti vetšinou nevyžijí)
    •  ??? ale 3x 40MHz je dost malé pásmo pro přednáškovou místnost takže mi něco pořád asi není uplně jasné
  • AP by měla umožňovat konfiguraci radií na 2.4GHz i 5GHz
    • pro plánovanou hustotu pokrytí některá AP nebudou vysílat v 2.4GHz
    • než mít jedno vypnuté rádio tak je lepší zapnout obě v 5GHz
      • jedno může obsluhovat blízské klienty a jedno ty vzdálenější
      • rychlost připojení klientů je totiž dána pro celé radio
      • jeden pomalý klient tak může degradovat výkon v celé oblasti pokryté daným radiem
      • je vhodné nastavit minimální rychlost s níž se klienti budou moci připojovat
  • omezení překryvu sítí (Břehová)
    • lze částečně řešit nastavením minimální přenosové rychlosti, které klienti od naproti nedosáhnout a nebudou tak skákat do naší sítě

Poznámky CISCO:

  • Aironet 2600 mají vlastní CISCO wireless chip s lepším monitorováním wireless spektra (všechno nižší a od jiných výrobců jede na Broadcom wireless)

Požadavky na související zasíťování

Vzhledem k tomu, že při realizaci tohoto projektu bude potřeba zasekat etherentové rozvody pro nová AP prakticky v každé třetí místnosti, tak by tohle mohla být vhodná příležitost i k zasíťování přilehlých míst (např. když se bude AP dávat do chodby před kancelářemi, tak by možná stálo za zvážení jestli zároveň neudělat ethernetovou zásuvku i pro společnou tiskárnu na chodbě). Jedná se pouze o nezávazné návrhy, jejichž proveditelnost bude pouze zvážena při finalizaci plánovaných stavebních úprav:

  • Trojanova, KJ (062/067) - síť v chodbě před kancly pro společnou tiskárnu (dohodnout s P. Kerouš)

Různé

  • Zajímavá zařizení (2015/2016)
    • Aruba Networks rada AP320 (4x4 MU-MIMO, BLE)
    • Ruckus ZoneFlex R710 (4x4 MU-MIMO, BLE)
    • CISCO přídavný modul pro řadu Aironet 3700, řada Aironet 1850 (4x4 MU-MIMO - Wave2)

Wireless na ČVUT (2015/2016)

  • FELK běží na Aruba (50x AP + 2x WLC)
    • Aruba kontroler MC7210
    • použitá APčka stojí 9kKč + 1kKč licence
    • controller pro 512 AP stojí 130kKč - lze sdílet licence mezi controlery
    • může být připojeno lokálně po L2 VLAN, lokálně po L3 nebo i jako remote AP
      • remote AP je zajímavá vlastnost např. pro "výjezdní zasedaní" a podobné akce
      • vytvoří IPSec konektivitu ke kontroléru a lokální síť která se chová jako ta "domácí"
      • existuje jednoduchá krabička za ~2kKc od Aruby, která tohle všechno umí (resp. umí to každé jejich AP)
    • wireless controller
      • komplikovaná první konfigurace (nutné vytvořit hromadu template a z nich poskládat konfiguraci)
      • web interface umožňuje naklikat kde co - velice dobrý přehled o wireless síti
      • další aplikace pro monitoring i obecných AP (včetně např. CISCO), další licence ale na 90 dní free
      • umí i captive portál
  • FD zatím provozuje wireless od HP, ale do budoucna asi přejdou na Arubu
  • FSV používá Extricom (jako switche pak používají Juniper)
  • Zbytek používá CISCO
    • hlavní důvod je ten, že v rámci Dejvického kampusu se sítě překrývají
    • musí mít podporu migrace klientů mezi wireless sítěmi (kontrolery)
    • kontroler je proprietární technologie, takže pro spolupráci je potřeba používat stejnou značku
    • vcelku nepříjemné licencování / upgrady
      • starý wireless kontroler nepodporuje nová AP
      • po upgradu firmware zas nepodporuje stará AP
      • musí se vyměnit všechno

Stav na FJFI začátkem roku 2017

Aktuální stav je následující (chybí detaily ohledně soukromých AP):

  • Břehová
    • hromada lokálních sítí dostupných pouze pro vybrané skupiny uživatelů
      • pokrytí KF siti Physics na AP od ZyXel (standalone 802.11ac, 2.4GHz + 5GHz)
      • řada samostatných AP různě po budově (většinou D-Link 802.11n)
      • žádná koordinace využití wireless spektra
    • pár APček s Eduroamem (WiFiFJFI)
      • CISCO AIRONET (2.4GHz + 5GHz)
      • 6x o generaci starší zařízení (802.11n)
      • 5x o dvě generace starší zařízení (802.11g)
    • překryv sítí s Eduroamem od právníků
  • Trojanová
    • většina APček s Eduroamem (WiFiFJFI)
    • CISCO AIRONET (2.4GHz + 5GHz)
      • 6x o generaci starší zařízení (802.11n)
      • 6x o dvě generace starší zařízení (802.11g)
    • Mikrotik (pouze 2.4GHz pásmo)
      • 5x o generaci starší zařízení (802.11n)
      • bez regulace výkonu zarušuje vekou část budovy
    • Lynksys (pouze 2.4GHz pásmo)
      • 2x o generaci starší zařízení (802.11n)
      • jedno občas umíralo druhé pouze WiFiFJFI (+ lokální) síť
  • Trója
    • většina prostor pokryta Eduroamem CUNI
    • 1x Mikrotik s "FJFI" Eduroamem (WiFiFJFI)
    • pár soukromých AP
    • rozumným řešním by byla domluva s CUNI
      • v opačném připadě budem čelit problemům s překryvem Eduroamu z různých institucí
      • CUNI je ochotné se na způsobu rozvoje sítí domluvit
      • před pár lety jsme se domlouvali, že by bylo možné naše AP dát do jejich VLAN
  • Děčín
    • FJFI AP s Eduroamem (WiFiFJFI)
      • CISCO AIRONET (2.4GHz + 5GHz)
      • 5x o dvě generace starší zařízení (802.11g)
    • Eduroam provozován také FD
      • prý se zatím moc nepřekrývají
      • rozšíření/hustší síť by bylo dobře koordinovat
      • aktuálně postaveno na AP od HP (myslím)
      • v budoucnu plánují vyměnit za Arubu (asi ne dřív jak za 2 roky)
      • ale nejsem si uplně jist budoucností FD v Děčíně

Provoz v FJFI Eduroam + WiFiFJFI

  • ve špičkách je aktivních ~ 300 zařízení (1/2 v sítí Eduroam a 1/2 ve WiFiFJFI)
  • většina zařízení používá 2.4GHz, což je dáno hloupou wireless sítí, která neumí klienty "donutit" používat 5GHz (+ menším dosahem 5GHz)
  • výkon AP není nijak regulován pro optimální pokrytí, v řadě případů je okolí výrazně zarušeno (hladina šumu generována ostatními AP)
  • žádné optimalizace konfigurace kanálu, krom počátečního nastavení vzhledem k ostatním AP (a to pouze vzhledem FJFI Eduroam AP)
  • žádná diagnostika problémů s připojením AP (např. když někdo zapojí AP do switche bez zkonfigurovaných wireless VLAN)

Na ČVUT resp. i mezi ostatními podobnými organizacemi jsme navíc vyjmeční tím, že pro provoz wifi zde nepoužíváme "wireless controler". Tohle zařízení má krom zjednodušení správy rozsáhlé wireless sítě hlavně za úkol automatickou optimalizaci pokrytí a navíc poskytuje nástroje pro monitoring a diagnostiku problémů ... to vše má pomoci vytvoření spolehlivější a rychlejší wireless sítě a při použití 802.11ač si osobně nedokážu představit jak při požadované hustotě AP takovou síť ručně konfigurovat.