Comments 25
UFO landed and left these words here
А проект расположения точек и обследование радиообстановки были?
Да. Собрали тестовый стенд из точки доступа, большого упса и макбука. Побродили среди строителей, сделали замеры для типового этажа, покатались на крыше лифта.
Это отдельностоящяя башня, без каких-либо соседних офисов и источников интерференции, с большими открытыми опенспейсами — поэтому результаты измерений практически не отличались от сгененрированных карт и умозрительных предсказаний.
Простите, не понял вашего ответа относительно проекта и методологии обследования.
В начале работ у нас был только план типового этажа офисного здания, а так же примерная схема расположения рабочих мест. Исходя из этого была спланирована расстановка точек, с учетом количества устройств которые будут приходиться на каждую точку доступа, проницаемости стен в двух диапазонах и межэтажных перекрытий. После чего были сгенерированы heatmap'ы и проведена проверка их достоверности в реальных условиях.
Cisco Prime для логов, heatmap'ов, графиков.
Активные чекеры (загрузка каналов, кол-во клиентов на точках) в nagios.
Вряд ли проще. Так как настройка 5508 (с 50+ лиензиямиями) и 5508-HA в режиме HA AP SSO идентична.
С одной стороны завидую практически неограниченному бюджету.
А с другой стороны не завидую ответственности в случае падения этого хозяйства)

По теме у меня один вопрос: как подключены гаджеты сотрудников? WPA2-Enterprise многие не поддерживают.
PSK? Гостевой доступ? Киоск для сотрудников с PSK-тикетами?
Гостей можно подключать тикетами на, скажем, неделю.
А заставлять сотрудников каждую неделю вбивать новый пасс негуманно.
Или где почитать?)
Если смотреть на текущий момент — количество таких девайсов незначительно, а для оставшихся есть гостевая (wpa2 personal) сеть.
Во всех остальных случаях — полу-изолированные wlan'ы c psk авторизацией и урезанными доступами.
Как вариант можно рассмотреть mac-radius, но у нас такое решение не прижилось ввиду ещё меньшей безопасности.
У Ruckus есть штука под названием ZeroIT, когда длиннющий PSK генерится после авторизации пользователя в браузере и привязывается к маку устройства при первом подключении. Сертификаты тоже можно создавать, но из больших ОС и Андроида их несложно вытащить, так что преимущества сомнительные.

Единственное но: при истечении срока действия (можно выставить пару лет) просто перестаёт подключаться, не давая подсказок в чём дело.
Шикарная технологий у rucus-а! Жаль у других такого нет.

А персональные устройства, неподконтрольные администраторам и маркетингово продвигаемый BYOD — это жуткая проблема в безопасности. Сертификаты, как Вы писали — можно вынуть из многих устройств. А в случае PEAP MSchap — легко получить хеш с помощью фейковой точки. Т.к. большинство неподконтрольных администратрам кривых клиентов спросит пользователя: слушай, тут сертификат хреновый, подключаться будем? И конечно же юзер нажмет подключиться)))
Если не ошибаюсь, к WLC и прайму можно ISE прикрутить, как раз для авторизации через AD, LDAP. Для гостей — гостевой портал, пароль через SMS и прочие плюшки/статистику.
Отличная статья. Спасибо. Прямо учебник для Cisco -«внедрятилей»

Практически аналогично я строил сетку для спорт комплекса. На " немного" больше пользователей.

Порекомендую статью коллегам. Пускай переводят.
В режиме «AP SSO» WLC не обязательно ставить рядом, у нас они разнесены по разным зданиям и общаются через выделенный Vlan.
В софте 7.3..4 — медный патчкорд между контроллерами был обязательным требованием.
Теоретически — этот патчкорд можно было засунуть в свич и пробросить куда угодно, но требовалось обеспечить падение физического интерфейса на другой стороне для корректной работы фейловера. Городить ради этого mpls'ный псевдопровод мы не стали.
В пункте 5.1 вы писали про запуск спектроанализатора, в результатах работы которого видны beacon'ны. Подскажите, что за софт использовали?
Не совсем так. Использовался cisco spectrum expert для определения загруженности эфира, и ноутбук с wireshark в режиме монитора для разбора трафика.
Спасибо за отличную статью! Описаны очень интересные жизненные вопросы, о которых очень мало написано.
Nope. IT security — в данном случае сетевая безопасность — списки доступа, идентификация пользователей, логирование активности и т.д.
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

October 15, 1998

Location

Россия

Employees

5001–10000 человек

Registered

9 August 2008