Projektová dokumentace „Bezdrátová škola - Jihomoravský kraj“ Gymnázium T.G. Masaryka, U školy 39, Zastávka
Obsah OBSAH.................................................................................................................................................................................................................................................................................... 2 1 POPIS PROJEKTU BEZDRÁTOVÁ ŠKOLA - JIHOMORAVSKÝ KRAJ.............................................................................................................................................................................. 3 2 GYMNÁZIUM T.G. MASARYKA, U ŠKOLY 39, ZASTÁVKA................................................................................................................................................................................................ 5 2.1 STAV LAN SÍTĚ ŠKOLY................................................................................................................................................................................................................................................................6 2.2 ROZMÍSTĚNÍ PŘÍSTUPOVÝCH BODŮ (AP), HW A KABELÁŽE POTŘEBNÉ PRO PŘIPOJENÍ DO LAN SÍTĚ ŠKOLY.....................................................................................................................................................7 2.3 KONFIGURACE BEZDRÁTOVÉ INFRASTRUKTURY..................................................................................................................................................................................................................................12 2.4 ŠKOLENÍ................................................................................................................................................................................................................................................................................. 13 3 POPIS TECHNICKÉHO ŘEŠENÍ......................................................................................................................................................................................................................................... 14 3.1 CENTRALIZOVANÉ ŘEŠENÍ............................................................................................................................................................................................................................................................15 3.2 TECHNICKÝ POPIS NAINSTALOVANÉHO HARDWARE ZAŘÍZENÍ..................................................................................................................................................................................................................17
Přístupový bod (AP) Cisco AIR-LAP1131AG-E-K9:......................................................................................................17 Kontrolér Cisco AIR-WLC4402-25-K9:..........................................................................................................................21 Přepínač Cisco Catalyst 3560.........................................................................................................................................23 4 SEZNAM HW....................................................................................................................................................................................................................................................................... 25
2
1 Popis projektu Bezdrátová škola - Jihomoravský kraj Výsledkem projektu „Bezdrátová škola - Jihomoravský kraj“ je vybudování bezpečné bezdrátové (WiFi) infrastruktury na 28 školských zařízeních Jihomoravského kraje a Středisku služeb školám Brno. Zadavatel - Středisko služeb školám, Brno - předpokládá, že prostřednictvím dodané infrastruktury budou realizovány v rámci jednotlivých školských zařízení následující aktivity: •
přístup k on-line aplikacím školy,
•
komunikace školy s rodiči o prospěchu studenta, stavu chování, výjimečných aktivitách školy,
•
výměny obsahu výuky mezi jednotlivými školami,
•
přístup rodičů k výsledkům dítěte (studijní výsledky),
•
přístup rodičů k aplikacím školy,
•
přístup rodičů k pedagogům.
Vybudování bezdrátové infrastruktury na jednotlivém školském zařízení proběhlo ve čtyřech fázích: 1. Průzkum místa instalace bezdrátové infrastruktury Vzhledem k tomu, že zadavatel zakázky dodal podklady potřebné pro realizaci této fáze (tj. počet přístupových bodů a jejich umístění včetně potřebného hardwaru), byla tato fáze realizována během jednoho dne, kdy došlo k prohlédnutí místa instalace bezdrátové infrastruktury, převzetí potřebných plánů školských zařízení se zakreslenými přístupovými body a byla ujasněna instalace UTP kabeláže potřebné k zapojení přístupových bodů do stávající pevné infrastruktury. 2. Instalace strukturované kabeláže, montáž HW zařízení včetně přístupových bodů Tato fáze zahrnovala: 3
•
instalaci potřebné strukturované kabeláže pro připojení jednotlivých přístupových bodů k novým a stávajícím přepínačům,
•
instalaci a propojení jednotlivých nových a stávajících racků,
•
montáž Access pointů na místa určená zadavatelem.
3. Konfigurace nainstalované bezdrátové infrastruktury Tato fáze zahrnovala: •
konfiguraci všech nainstalovaných síťových prvků (tj. přístupových bodů, přepínačů, a kontroléru),
•
úpravy konfigurací stávajících síťových aktivních prvků zákazníka v těch školách, kde to bylo potřeba
•
implementaci nově nainstalované WiFi sítě do stávající LAN sítě každé školy a do stávajících síťových služeb.
•
nastavení dvou VLAN - jedna pro učitele a druhá pro žáky školy.
4. Školení pracovníků školy Zadavatelem vybraní dva pracovníci z každé školy, kteří budou obsluhovat či používat dodaná zařízení nebo jejich služby, byli seznámeni se základní obsluhou a funkcionalitou dodaného řešení a s postupem přihlášení se do systému.
4
2 Gymnázium T.G. Masaryka, U školy 39, Zastávka Dle požadavků zadavatele byla v budově Gymnázia vybudována bezdrátová infrastruktura pokrývající WiFi signálem dle standardu 802.11a/b/g hlavní budovu školy a přístavbu. Před začátkem instalace bezdrátové infrastruktury byla zmapována stávající infrastruktura školy - LAN síť školy, aby byla dle požadavků zadavatele maximálně využita. Stávající infrastruktura školy byla doplněna o novou UTP kabeláž potřebnou k zapojení přístupových bodů do sítě školy. Nainstalovaná HW zařízení (přístupové body, řídící jednotka pro bezdrátové přístupové body a síťový přepínač) byla nakonfigurována tak, aby bezdrátový signál pokrýval požadované části školy a byly nadefinovány dvě virtuální sítě, tzv. VLANy, umožňující oddělený přístup do sítě žákům a učitelům. Autentizace do jednotlivých VLAN je řešena pomocí EAP-PEAP. Součástí projektu bylo také zaškolení dvou pracovníků školy, kteří budou obsluhovat nebo používat dodaná zařízení. Toto školení bylo zaměřeno na osvojení schopnosti kvalifikované obsluhy dodaných zařízení a možnosti využití jejich služeb.
5
2.1 Stav LAN sítě školy Školní LAN síť není segmentována (L2 síť). Hlavní datový rozvaděč se nachází ve 3NP školní školy, odkud jsou vedeny kabelové trasy po celé budově. Konektivita do sítě Internet je realizována 2Mb/s, bezpečnost zajišťuje server OS Linux. Ostatní serverové služby zajišťuji servery s OS Windows 2003 Počet studentu je cca 500, zaměstnanců školy 50.
6
2.2 Rozmístění přístupových bodů (AP), HW a kabeláže potřebné pro připojení do LAN sítě školy Zadání uvádělo přesný počet požadovaných přístupových bodů a z poskytnutých plánů vyplývalo umístění přístupových bodů po budově školy tak, aby WiFi signál pokrýval požadované části budovy. Rozmístění přístupových bodů znázorňuje obrázek č. 1-4. Školní infrastruktura umožnila stáhnout veškeré AP do hlavního rozvaděče budovy, proto je všech 9 AP staženo do hlavního rozvaděče, kde jsou zapojeny do Cat3560 s porty podporujícími PoE. AP jsou instalovány na chodbách školní budovy. Rozmístění WiFi přístupových bodů: AP 1 2 3 4 5 6 7 8 9
Umístění Jídelna 2NP 2NP 3NP 3NP 3NP 3NP 3NP 3NP
Switch a wlan controller je umístěn v hlavní serverovně na 3NP školní budovy.
7
Obrázek 1. 8
Obrázek 2. 9
Obrázek 3. 10
Obrázek 4. 11
2.3 Konfigurace bezdrátové infrastruktury WLC i switch i AP jsou ve stávající školní VLANě 192.168.1.0/24. WLC má adresu 192.168.1.7, switch 192.168.1.6. DNS běží na adrese 192.168.1.1 a na adrese 192.168.1.5. SSID je jedno s WPA-PSK s názvem GZASTAVKA a heslem "Xca97sD3".
12
2.4 Školení Osnova pro vyškolení vybraných správců:
-
Způsoby zabezpečení WiFi, jejich výhody a nevýhody. Statistiky v kontrolérech Konfigurace nejběžnějších klientů (Windows XP, Windows Vista, Intel ProWireless)
13
3 Popis technického řešení Ze zadání vyplýval jasný požadavek na použití řešení umožňující centralizovanou správu nainstalovaných přístupových bodů a ověřování uživatelů vůči úložišti uživatelských účtů. Toto řešení je schematicky znázorněné na obrázku č. 5.
Obrázek č. 5
Vzhledem k požadavkům zadavatele na technické parametry nainstalovaného řešení byla zvolena technologie od společnosti Cisco Systems. Pomocí této technologie nainstalované řešení splňuje požadované technické parametry zadavatele.
14
3.1 Centralizované řešení Centralizované řešení je postaveno na tzv. “lightweight access pointech”, které jsou řízeny a administrovány z centrálního kontroléru (obr. 6).
Obrázek 6.
Toto řešení má jedinečnou výhodu ve zjednodušeném managementu jednotlivých AP, jelikož veškeré access pointy jsou řízeny z jednoho místa. Pokud to stávající infrastruktura umožňuje, je možné jednotlivé AP napájet ze switchů pomocí PoE (power over ethernet), takže v místě instalace AP je potřeba mít doveden pouze kabel FastEthernet 100Mbit UTP Cat5. V případě, že toto možné není, lze AP napájet pomocí tzv. “Power Injectorů” (802.1af), který je umístěn na vhodném místě infrastruktury. Jelikož RADIUS není v současné době korektně zkonfigurován, přístup do WiFi sítě je řešen pomocí WPA-PSK. Až bude připraven, bude možné přejít na jakoukoliv metodu 802.1x PEAP (obr. 7). 15
Obrázek 7.
16
3.2 Technický popis nainstalovaného hardware zařízení Přístupový bod (AP) Cisco AIR-LAP1131AG-E-K9: Řada Access Pointů Aironet 11XX je určena do vnitřních prostor – kanceláří, škol apod. Tyto AP mají antény integrovány v chassis. Aironet 1130AG má dvě rádia – jak pro standard 802.11b/g, tak i pro 802.11a. Teoretická agregovaná rychlost může být 108 Mbps. Antény jsou všesměrové, se ziskem 3 dBi pro 2,4 GHz (802.11b/g), respektive 4,5 dBi pro 5 GHz (802.11a).
Antény
podporují
diverzitu
pro
eliminaci
násobných
odrazů
(multipath
interference). Jako uplink do pevné infrastruktury slouží 1 rozhraní Fast Ethernet. K napájení AP je možné využít Power-over-Ethernet (IEEE 802.3af). Toto zařízení může fungovat jako Standalone Access Point – tedy samostatně pracující jednotka nebo jako Lightweight Access Point pro Unified Wireless Network architekturu. V režimu Standalone je možné využít WLSE k centrální správě a dohledu nad AP. Mezi oběma režimy práce je možné konvertovat – není třeba pořizovat nové AP. Hlavní výhody •
Elegantní design hodící se do vnitřních prostor
•
Integrované antény (s podporou diverzity)
•
Podpora bezpečnostních standardů 802.11i, WPA, WPA 2, WEP, 802.1x (LEAP, PEAP, EAP-TLS atd.)
Základní technická specifikace Aironet 1130AG podporuje bezpečnostní standard 802.11i. Je implementováno jak WPA, tak WPA 2 (šifrování pomocí standardu AES, který je hardwarově akcelerovaný, takže nedochází k degradaci výkonu) a řada 802.1x autentizačních algoritmů na bázi protokolu EAP (Cisco LEAP, PEAP, EAP-TLS, EAP-TTLS, EAP-FAST, EAP-GTC a další). Podporován je i WEP (40 bitů i 128 bitů). 17
Technické parametry AP jsou popsány v následující tabulce:
Funkce Duální 802.11a a 802.11g radia
Popis Poskytují kapacitu až 108 Mbps v jednom zařízení a kompatibilitu se staršími 802.11b klienty
Možnost nastavení vysílacího výkonu
umožňuje vyladění velikosti prostoru pro pokrytí signálem, nízké vysílací výkony umožňují umístění AP ve velkých hustotách
Integrované antény
speciálně určeno pro pokrytí kancelářských prostor všesměrovými integrovanými anténami
Hardwarové AES šifrování
Poskytuje vysokou bezpečnost bez snížení výkonnosti AP
IEEE 802.11i-compliant, WPA2-certified, Splňuje standardy pro interoperabilitu s Wireless WPA certified LAN klienty od jiných výrobců
18
Cisco Unified IDS/IPS
Tato funkcionalita je součástí Cisco SelfDefending Network, pokud se důvěryhodný klient začne chovat podezřele, wired IDS detekuje atak a pošle shun request k Cisco WLAN kontroleru, který tohoto klienta deasociuje
Víceúčelový a zamknutelný držák
Ochrana proti krádeži
Ochrana pro management frame
Tato funkcionalita poskytuje autentizaci pro management 802.11 frame pomocí wireless infrastruktury. To umožnuje detekci spoofed frames od Access pointů nebo záludně nainstalovaných AP. Pokud AP detekuje takový útok, vygeneruje incident a reporty jsou posílány a sbírány wireless LAN controller, Cisco WCS nebo CiscoWorks WLSE Authentication Security Standards · WPA · WPA2 (802.11i) · Cisco TKIP · Cisco message integrity check (MIC) · IEEE 802.11 WEP keys of 40 bits and 128 bits 802.1X EAP types:
Bezpečnost/Security
· EAP-Flexible Authentication via Secure Tunneling (EAP-FAST) · Protected EAP-Generic Token Card (PEAPGTC) · PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP) · EAP-Transport Layer Security (EAP-TLS) · EAP-Tunneled TLS (EAP-TTLS) · EAP-Subscriber Identity Module (EAP-SIM) · Cisco LEAP Encryption: · AES-CCMP encryption (WPA2) · TKIP (WPA) · Cisco TKIP · WPA TKIP · IEEE 802.11 WEP keys of 40 bits and 128 bits
Současná podpora až 12-ti Nižší míra interference se sousedními AP nepřekrývajících se kanálů, potenciálně až usnadňuje nasazení. Menší počet chyb při 23 kanálů přenosu dat poskytuje větší propustnost.
19
Podpora lokálního napájení i Inline Power, podpora 802.1af PoE
Napájení může být provedeno pomocí Ethernet kabelů, což snižuje náklady na instalaci, AP mohou být napájeny pomocí 802.3af PoE, Cisco inline switchů, single port power injectory nebo lokálně.
20
Kontrolér Cisco AIR-WLC4402-25-K9:
Cisco wireless LAN kontroléry jsou ideální pro malé, středně velké i enterprise a service provider nasazení a poskytují pro bezdrátovou síť funkce jako security, policy, intrusion prevention, RF management, QoS (quality of services) a mobilitu. Kontroléry komunikují s Cisco lightweight access pointy přes L2 (Ethernet) nebo L3 (IP) síť pomocí Lighweight Access Point protokolu (LWAPP). Tento IETF standard umožňuje, že komunikace mezi AP a wireless LAN kontrolérem je bezpečná a dovoluje úplnou automatizaci a časově nenáročnou konfiguraci a management bezdrátové sítě. Model kontroléru AIR-WLC4402-25-K9 má dva gigabit Ethernet porty a podporuje až 25 lightweight AP. Intelligent RF management: Cisco WLAN kontroléry používají Radio Resource Management (RRM), patentovaný společností Cisco Systems, který real-time detekuje a reaguje na změny v zarušení přenosového media (vzduchu). Tyto úpravy vytvářejí ideální topologii pro wireless networking, stejně jako routovací protokoly počítají nejlepší cestu pro IP sítě. •
Dynamické přidělování kanálů
•
Detekce interference a její predikce
•
Load balancing
•
Detekce “děr” v pokrytí 21
•
Dynamická kontrola vysílacího výkonu
Security (bezpečnost): •
802.11i Wi-Fi Protected Access 2 (WPA2), WPA, a Wired Equivalent Privacy (WEP)
•
802.1X s multiple Extensible Authentication Protocol (EAP) types-Protected EAP (PEAP), EAP sTransport Layer Security (EAP-TLS), EAP s Tunneled TLS (EAPTTLS), EAP-FAST, EAP-SIM a Cisco LEAP
•
VPN termination-volitelný modul pro ukončení IP Security (IPSec) VPN tunelů
•
Management Frame Protection
•
Federal Information Processing Standards (FIPS) 140-2 Level 2 Validation
•
Wireless LAN intrusion prevention (IPS)
•
Identity-based networking
22
Přepínač Cisco Catalyst 3560 Řada nemodulárních, gigabitových přepínačů s podporou IP směrování (L3 přepínače). Podporují napájení přes Ethernet (standard 802.3af). Řada Catalyst 3560E (Enhanced) obsahuje proti řadě 3560 navíc některé funkce v oblasti redundance a IP směrování. Obě řady jsou dodávány s dvěma verzemi operačního systému – IP Base (obsahuje základní funkce) a IP Services (rozšířená funkčnost). Tyto přepínače jsou vhodné jako access switche do velkých podnikových LAN sítí, v nichž umožňují souběžný provoz datově náročných a sofistikovaných aplikací (IP telefonie, přenos videa, informační systémy, ERP systémy apod.). Základní technická specifikace Catalysty 3560 jsou nabízeny ve variantách s 8, 24 a 48 10/100 porty, s 24 nebo 48 10/100/1000 porty a 1, 2 a 4 uplink porty. Modely s označením PS nabízí PoE. Vnitřní sběrnice 32/128 (3560E)Gbps, propustnost až 38,7/101,2 (3560E) Mpps, až 4 000 VLAN, až 12 000 MAC adres, jumbo frames (9 216 bytů), možnost připojení na záložní zdroj.
Hlavní výhody •
Intelligent Power Management – nastavování
•
napájecího výkonu per port
•
Směrování multicastů (PIM*, IGMPv3)
•
Směrovací protokol RIP, OSPF*, IGRP*, EIGRP*, BGPv4*
•
Policy-based routing (PBR)* 23
•
Inter-VLAN routing
•
IPv6 routing (RIPng a OSPFv3)*
•
Redundance – HSRP, Equal Cost Routing (ECR)
Způsoby nasazení Přepínače Cisco Catalyst 3560 jsou vhodné pro: •
Použití jako access switche ve velkých podnikových sítích
•
Sítě, kde jsou požadovány pokročilé bezpečnostní funkce
•
Sítě, kde jsou požadovány funkce QoS
•
Použití v menších a středních sítích jako distribuční přepínače s možností směrování provozu
24
4 Seznam HW Popis: AIR-LAP1131AG-E-K9 802.11ag LWAPP AP Integrated Antennas ETSI Cnfg MAC. FCZ1302Q1E0 002333BD129C FCZ1302Q1E1 002333BD17D0 FCZ1302Q1DZ 002304B7EFDA FCZ1302Q1E2 002304B7EA44 FCZ1302Q1CU 002304B7EC74 FCZ1302Q1CL 002304B7EF22 FCZ1302Q1CZ 002333BCD3D2 FCZ1302Q1CS 002304B7EEE6 FCZ1302Q1DQ 002333BD17CA
pol. SN. 1. 2. 3. 4. 5. 6. 7. 8. 9.
Popis: Power injektor for 1100, 1130, 1200, 1230AG Series - 18x pol. SN. 1. 2. 3. 4. 5. 6.
FOC1249M4DU FOC1249M4B5 FOC1249M4BG FOC1249M4E0 FOC1248M241 FOC1249M4B8
Popis: 4400 Series WLAN Controler foe up to 12 Lightweight Aps 1x MAC. Pol. SN. SFOC1248F0B3 0021A037AE40 1.
Popis: Catalyst 3560 24 10/100 PoE + 2 SFP + IPB Image 1x Pol. SN. SFDO1250X27H 1.
Popis: 1000BASE-T SFP 2x Pol. SN. 1. 2.
SMTC123902NV SMTC124001M5
25