Mail.ru Group corporate blog
System administration
IT Infrastructure
Wireless technologies
Comments 25
UFO landed and left these words here
+1
А проект расположения точек и обследование радиообстановки были?
0
Да. Собрали тестовый стенд из точки доступа, большого упса и макбука. Побродили среди строителей, сделали замеры для типового этажа, покатались на крыше лифта.
Это отдельностоящяя башня, без каких-либо соседних офисов и источников интерференции, с большими открытыми опенспейсами — поэтому результаты измерений практически не отличались от сгененрированных карт и умозрительных предсказаний.
0
Простите, не понял вашего ответа относительно проекта и методологии обследования.
0
В начале работ у нас был только план типового этажа офисного здания, а так же примерная схема расположения рабочих мест. Исходя из этого была спланирована расстановка точек, с учетом количества устройств которые будут приходиться на каждую точку доступа, проницаемости стен в двух диапазонах и межэтажных перекрытий. После чего были сгенерированы heatmap'ы и проведена проверка их достоверности в реальных условиях.
+1
Как обеспечиваете мониторинг работы беспроводной сети?
+2
Cisco Prime для логов, heatmap'ов, графиков.
Активные чекеры (загрузка каналов, кол-во клиентов на точках) в nagios.
0
А зачем nagios, Prime умеет показывать загрузку по точкам.
0
Вряд ли проще. Так как настройка 5508 (с 50+ лиензиямиями) и 5508-HA в режиме HA AP SSO идентична.
0
С одной стороны завидую практически неограниченному бюджету.
А с другой стороны не завидую ответственности в случае падения этого хозяйства)

По теме у меня один вопрос: как подключены гаджеты сотрудников? WPA2-Enterprise многие не поддерживают.
PSK? Гостевой доступ? Киоск для сотрудников с PSK-тикетами?
Гостей можно подключать тикетами на, скажем, неделю.
А заставлять сотрудников каждую неделю вбивать новый пасс негуманно.
Или где почитать?)
0
Если смотреть на текущий момент — количество таких девайсов незначительно, а для оставшихся есть гостевая (wpa2 personal) сеть.
Во всех остальных случаях — полу-изолированные wlan'ы c psk авторизацией и урезанными доступами.
Как вариант можно рассмотреть mac-radius, но у нас такое решение не прижилось ввиду ещё меньшей безопасности.
0
У Ruckus есть штука под названием ZeroIT, когда длиннющий PSK генерится после авторизации пользователя в браузере и привязывается к маку устройства при первом подключении. Сертификаты тоже можно создавать, но из больших ОС и Андроида их несложно вытащить, так что преимущества сомнительные.

Единственное но: при истечении срока действия (можно выставить пару лет) просто перестаёт подключаться, не давая подсказок в чём дело.
0
Шикарная технологий у rucus-а! Жаль у других такого нет.

А персональные устройства, неподконтрольные администраторам и маркетингово продвигаемый BYOD — это жуткая проблема в безопасности. Сертификаты, как Вы писали — можно вынуть из многих устройств. А в случае PEAP MSchap — легко получить хеш с помощью фейковой точки. Т.к. большинство неподконтрольных администратрам кривых клиентов спросит пользователя: слушай, тут сертификат хреновый, подключаться будем? И конечно же юзер нажмет подключиться)))
0
Если не ошибаюсь, к WLC и прайму можно ISE прикрутить, как раз для авторизации через AD, LDAP. Для гостей — гостевой портал, пароль через SMS и прочие плюшки/статистику.
0
Отличная статья. Спасибо. Прямо учебник для Cisco -«внедрятилей»

Практически аналогично я строил сетку для спорт комплекса. На " немного" больше пользователей.

Порекомендую статью коллегам. Пускай переводят.
0
В режиме «AP SSO» WLC не обязательно ставить рядом, у нас они разнесены по разным зданиям и общаются через выделенный Vlan.
0
В софте 7.3..4 — медный патчкорд между контроллерами был обязательным требованием.
Теоретически — этот патчкорд можно было засунуть в свич и пробросить куда угодно, но требовалось обеспечить падение физического интерфейса на другой стороне для корректной работы фейловера. Городить ради этого mpls'ный псевдопровод мы не стали.
0
В пункте 5.1 вы писали про запуск спектроанализатора, в результатах работы которого видны beacon'ны. Подскажите, что за софт использовали?
+1
Не совсем так. Использовался cisco spectrum expert для определения загруженности эфира, и ноутбук с wireshark в режиме монитора для разбора трафика.
0
Спасибо за отличную статью! Описаны очень интересные жизненные вопросы, о которых очень мало написано.
0
Nope. IT security — в данном случае сетевая безопасность — списки доступа, идентификация пользователей, логирование активности и т.д.
Only those users with full accounts are able to leave comments.  , please.