• Agenda – Histórico -‐ Comissões 2011 e 2013 – Solução Distribuída x Solução Centralizada – O Termo de Referência – Boas PráHca em Projetos WiFi
• Cobertura • Capacidade • Interferências • AutenHcação • Rede de Visitante
– TroubleshooHng • Interferências • CongesHonamento • Problemas de Conexão
2
• Início: 2005 • ObjeHvo Atendido: – Fornecer serviço WiFi – Poucos clientes – Padrões 802.11b, 802.11g em 2,4 GHz – Facilidade, transparência
• Problemas – Aumento de disposiHvos WiFi – Aquisição fácil de Pontos de Acesso – Poluição do espectro
3
• Comissões: (2011 e 2013) – Modelo de Negócio: STI realizando o aporte financeiro – Estratégia de Mobilidade: Administração Centralizada nos Centros
Executores • Obje8vos:
– Trazer taxas próximas a rede cabeada – Projetar transição – ConecHvidade ininterrupta, com controle de handovers, em
deslocamentos dentro dos campi, incluindo prédios e outras edificações;
– Gerenciamento espectral e de potência inteligentes; – Segurança; – Atender demanda reprimida; – Aderência às políHcas de comunicação estabelecidas por esta CTI.
4
• Comissões (2011 e 2013) – Prospecção de Soluções
• Adoção da Solução Centralizada (Cisco, Enterasys, HP) • Apresentação Aerohive (Wifi é rede de Acesso) – Visionária (Gartner) – arquitetura, políHca de aplicação – 2012/2013: 75% do Acesso é WiFi – Comentário Aerohive em 2012: ARUBA com projeto Distribuído
X
5
• Solução Distribuída na USP – 2014
• FM (Faculdade de Medicina) – 15 Aerohives (802.11abgn, AP330 e AP121) – Atendeu os problemas da Unidade
• Lançamento Brasil IAPs ARUBA • Modelamento para o Conselho Universitário
– 2015 • Conselho Universitário – ARUBA, XIRRUS e AEROHIVE – 6 XIRRUS: 802.11abgn_ac e 802.11abgn
• POLI: apoio para Termo de Referência – 37 IAPs
• STI : projeto para as Unidades 6
• Solução Distribuída x Solução Centralizada – Modelo de Negócio
• STI: Autonomia das Unidades – Gerência – Aquisição – Possibilidade de Ofertar Gerência como Serviço
• POLI: Autonomia dos Departamentos – Gerência – Aquisição
• Custo • Licitação no modelo Registro de Preço
– Estratégia de Mobilidade • WiFi como rede de Acesso
7
– Alta Disponibilidade • Não há um ponto único de falha
– Alta Escalabilidade • Posso adicionar Pontos de Acesso sem conhecimento prévio do total final
• Licenças por Access Point
• Solução Distribuída x Solução Centralizada – Alta Disponibilidade
• Com Redundância de Controladora
– Alta Escalabilidade • Limitação do hardware Controladora
• Limitação de Licenças na Controladora
– Evolução dos Aps Autônomos
= Segurança = Gerenciamento Espectral = Balanceamento de Carga de Clientes = Roamming L2 e L3; = Facilidade de Gerenciamento
ǂ Provisionamento de VLANs ǂ Plano Controle ǂ Plano de Dados
8
• EDITAL – Registro de Preço – Mínimo de 3 fabricantes
• XIRRUS, AEROHIVE e ARUBA • 2015 – Ruckus e Cisco lançam modelos descentralizados – limitação: tamanho do cluster (25 APs)
– Solicitação de Interesse da Comunidade USP – Status: RUSP – Tipo 1: Indoor 2x2
• Áreas AdministraHvas, salas de aulas (dependendo da densidade), salas de reuniões
• Modelo mais disseminado • Opção com Power Injector e sem • Antenas EmbuHdas 9
10
• EDITAL – Tipo 1: Indoor 2x2
• Áreas administraHvas: salas de reuniões, postos de trabalho, etc.
– Tipo 2: Indoor 2x2 com antenas externas • Cabos Irradiantes
– Poucos Clientes, Estrutura Predial com Alta Taxa de Atenuação
– Tipo 3: Indoor 3x3 • Auditórios e salas de aula • Locais com Aplicações específicas
– Tipo 4: Outdoor 2x2 • Locais onde o Ponto de Acesso ficará exposto ao tempo • Estacionamentos, CEPEUSP, etc.
– Treinamento
11
• EDITAL: Principais Caracterís8cas – Filtragem de aplicações – Controle do espectro RF – Balanceamento de carga de usuários – Mínimo 200 clientes associados simultaneamente – 802.11i com cerHficação WPA e WPA2 – AutenHcação 802.1X com pelo menos os métodos:
• EAP (EAP-‐TLS) / EAP-‐TTLS/MSCHAPv2 / PEAPv0/EAP-‐MSCHAPv2
– Passagem de Tráfego VPN IPsec – Informações
• UHlização de CPU, Clientes conectados, Throughput, Mapa de Calor, etc.
– Roamming (IEEE 802.11f) – Prevenção a Intrusão – Gestão simplificada
• Cabos Irradiantes – Baixa Densidade de Clientes – Instalações Prediais com Alta Taxa de Atenuação – Exemplos
• CRUSP • Alguns Prédio da Biologia • Alguns Prédios do
– Implementado: IF
12
• Boas Prá8cas em Projetos WLAN – Cobertura – Interferência (TroubleshooHng) – Capacidade
• Aplicação UHlizada • Perfil dos DisposiHvos Clientes • Padrões UHlizados • Qualidade do Ponto de Acesso
– Segurança • AutenHcação • Isolamento da LAN
– Rede de Visitantes 15
• Boas Prá8cas em Projetos WLAN: Cobertura – Quanto maior a frequência menor o alcance
• Survey • EsHmaHva: raio de 30 metros (dependendo do hardware)
16
• Boas Prá8cas em Projetos WLAN: Cobertura – Qual é a melhor largura de banda do canal? – Legados: 20MHz – AP: 20MHz/40MHz – Solicitações Específicas: 40MHz
• Definido os disposiHvos clientes, qtde de APs, 5GHz
18
Banda do Canal (MHz) Ambientes
20 Alta Densidade
40 Média Densidade
80 SOHO
160 Residenciais
• Boas Prá8cas em Projetos WLAN: Cobertura – Roaming: 30% de intersecção – Privilegie 5GHz (75%) -‐ 2,4GHz (25%) – Crie células pequenas – Atenção ao provisionamento a rede cabeada
19 PLANEJADO FINAL C/ REFLEXÕES E ATENUAÇÕES
• Boas Prá8cas em Projetos WLAN: Cobertura – Ganho da Antena
• Capacidade de uma antena em concentrar, na direção de interesse, a potência que seria irradiada em outras direções, caso fosse uma antena isotrópica • Onda EletromagnéHca sofre atenuação con|nua a medida da distância
– Polarização • Formato da onda
20
• Boas Prá8cas em Projetos WLAN: Cobertura – Estruturas que Refletem e/ou Absorvem o sinal RF
21
Estrutura Interferência
Madeira Baixo
Materiais SintéHcos Baixo
Vidro Baixo
Água Médio
Tijolos Médio
Mármore Médio
Gesso Alto
Concreto Alto
Vidro Blindado Alto
Metal Muito Alto
• Boas Prá8cas em Projetos WLAN: Capacidade – Capacidade descrita para um disposiHvo
• Velocidade dos rádios de trocarem símbolos
– Número de Clientes x Tipo de Aplicação
22
• Boas Prá8cas em Projetos WLAN: Capacidade – Aplicação UHlizada
23
Aplicação Consumo Tolerância a Latências
Mensagens em texto < 1 kbps Alta
Correio eletrônico ~ 100 kbps Alta
Navegadores web 50 – 100 kbps Alta
Streaming de áudio 96 – 160 kbps Baixa
VoIP ~ 100 kbps Baixíssima
Streaming de vídeo ~ 200 kbps Baixíssima
Peer-‐to-‐peer 0 -‐ ∞ Al|ssima ***
*** Limitar banda para Peer-‐to-‐peer
• Boas Prá8cas em Projetos WLAN: Capacidade – Perfil do Cliente
• Celulares • Notebooks • Tablets
– Padrões mais UHlizados • 802.11n: 450 Mbps • 802.11ac: 1,3 Gbps • 802.11a: 54 Mbps • 802.11g: 54 Mbps • 802.11b: 11 Mbps
– Qualidade do Ponto de Acesso
24
• Boas Prá8cas em Projetos WLAN: Segurança – Privacidade, Integridade e AutenHcidade – Padrões:
• WEP (fracassou em seu objeHvo) – Chave Pré ComparHlhada (PSK) no Ponto de Acesso – Algoritmo de criptografia: RC4 – Adição de um campo de CRC (p/ garanHr que o conteúdo não tenha sido alterado)
– Vetor de inicialização vai em texto aberto • WPA, WPA2 – Algoritmo de criptografia: RC4 (preservar o hardware existente) – MIC, mais eficiente contra adulteração do quadro – Chaves temporárias – UHlização de servidores de autenHcação (Ex. Radius)
25
• Boas Prá8cas em Projetos WLAN: Segurança – Beacons Frames são quadro enviados periodicamente pelo APs com informações como SSID, método de segurança, etc.
26
• Boas Prá8cas em Projetos WLAN: Segurança – RF DoS
• Intencionalmente ou não (so�wares alterados para ataques, fontes de ruidos, etc.)
– Layer 2 DoS • EAP floods, probe response floods, etc.
– Ataques Peer-‐to-‐Peer – Man in the Middle
27
• Boas Prá8cas em Projetos WLAN: Segurança – Rede Visitantes:
• Nunca aberta • Untrusted -‐ DMZ • Temporária • Sistema de Registro • Método de autenHcação seguro • Configurar a rede de visitantes no Ponto de Acesso • Rádios dedicados (se possível) – Menos SSIDs, mais troughtput
28
• Boas Prá8cas em Projetos WLAN: Segurança – Firmwares atualizados – Controle de acesso �sico – Credenciais admin – Equipamentos com WiFi cerHfied para WPA e WPA2
– Forte esquema de autenHcação: 802.1X/EAP – UHlização de forte algoritmo de criptografia: AES-‐CCMP
– Monitoramente e sistema WIPS – Protocolos fracos (telnet, h�p, SNMPv1) 29
30
• Troubleshoo8ng – Interferência – CongesHonamento – Baixas Taxas de Dados – Problemas de Conexão
• Troubleshoo8ng : Interferências – Tudo que corrompe ou modifica o sinal • Sobreposição de canais • Ruídos – Fontes Elétricas – Telefones sem fio – Transmissores de vídeo – Microfones sem fio – Microondas – Descartas Atmosféricas
• Transmissores Não WiFi – ZigBee
31
32
• Troubleshoo8ng: Interferências ZigBee – Aplicações: Monitoramento e Controle • Sensores de pacientes • Sistemas de Votação • Sistemas de Iluminação
– CaracterísHca • Comunicação confiável • Baixo custo • Baixo consumo
33
• Troubleshoo8ng: Interferências – Achar a fonte de interferência – Alterar o canal dos Aps – Replanejamento dos canais
• Troubleshoo8ng: Conges8onamento – CSMA/CA – Clientes Legados – Soluções:
• Diferentes Canais • Ver perfil dos clientes – 5GHz
• ReHrar serviço b/g de alguns APs
34
• Troubleshoo8ng: Baixas Taxas de Dados – DisposiHvos Legados
• Demandam mais tempo do AP
– Distância do AP – Ruido – Remanejar serviço b/g ou reHrar completamente
35
• Troubleshoo8ng: Problemas de Conexão – Problemas de configuração – Bloqueios de ACL – Serviço sobrecarregado – Erro de roteamento – Problemas com DNS – Problemas de VLANs – Problemas da aplicação
36
pfSense (gw) -‐ DHCP -‐ NAT -‐ Portal CapHvo -‐ etc.
RADIUS -‐ Requisições AAA
1. Configurar TCP/IP para obter IP e DNS automaHcamente
2. Conectar em USPnet 3. Abrir um browser e inserir uma URL.
Redirecionamento para a págna de login do pfSense (gwsp.semfio.usp.br)
4. Login e Senha 5. Acesso à página
2 4
Aceito
Liberação de Acesso
• Agenda
38