Сергей Монин, ведущий программист-разработчик ЦПИКС
Доклад на тему: «Современные подходы к управлению WiFi-сетями и интеграция WiFi и SDN-сетей». Презентация отечественного универсального WiFi-контроллера от компании WiMark Systems.
Open Ethernet - открытый подход к построению Ethernet сетей
Similaire à Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Современные подходы к управлению WiFi-сетями и интеграция WiFi и SDN-сетей
Архитектура современной распределенной корпоративной сети IWAN 2.0Cisco Russia
Similaire à Сергей Монин, ведущий программист-разработчик ЦПИКС Доклад на тему: «Современные подходы к управлению WiFi-сетями и интеграция WiFi и SDN-сетей (20)
2. Проблемы Wi-Fi сетей
• Низкое качество соединения или разрывы из-
за внешних помех и интерференций в Wi-Fi
сетях высокой плотности. Нет управления
политиками качества подключенных клиентов.
Помехи и слабый
контроль качества
• Отсутствие бесшовного роуминга при
передвижении пользователей между точками
доступа и с GSM сетями.
Низкая мобильность и
сложные сценарии
доступа
• Аппаратные контроллеры могут работать
только с точками доступа конкретного вендора
Зависимость от
вендора
3. Централизованное управление Wi-Fi сетью
Централизованное
управление
точками доступа
• SDN для Wi-Fi был придуман в 2003 году Бобом О’Харой
• Реализован в виде WiFi контроллера в 2004
• Прекрасно работает в различных вариантах сегодня
Протокол CAPWAP
• Открытый протокол взаимодействия с точками доступа
• Известны реализации этого решения от Cisco, Aruba Networks, Motorola,
Extreme Networks, Juniper, Ubiquiti, Zyxel и т.д.
Проблема
раздражающая
рынок
• Цена точек доступа указанных вендоров (500-5000$)
• Цена контроллеров (750-1М$)
• Невозможность подключать точки одного вендора к контроллерам другого
4. Управление с помощью контроллера
CAPWAP описан в RFC 5415
Имеется открытый код
Имеются модифицируемые прошивки
Open-WRT, DD-WRT
Драйвера MADWiFi/Netlink для
экспериментов
Требуется программный, WLAN CAPWAP контроллер, который
сможет управлять любыми недорогими точками доступа с
соответствующими прошивками
CAPWAP
5. Универсальный Wi-Fi контроллер
Качественный Wi-Fi сигнал, особенно для сетей высокой плотности
Безопасность с подавлением атак и сквозными политиками качества за счет поддержки SDN контролеров/сетей
Мультивендорность позволяет управлять точками доступа различных производителей
Программное обеспечение для централизованного управления
беспроводной сетью высокой плотности
Бесшовный роуминг
Совместная работа с SDN контроллером
позволяет более быстрый роуминг L2/L3.
Радиочастотная оптимизация
Уникальный RRM алгоритм анализирует сеть и
автоматически подстраивает параметры точек
доступа, увеличивая скорость до 30%.
Централизованное управление
Минимальные затраты на логистику и
оборудование. Удаленное конфигурирование и
обновление ПО.
Ключевые особенностиУстановлен
на обычный
сервер
Встроен в
точку
доступа
Развернут
в облаке,
SaaS
6. Проблема «домового» WiFi от Оператора
Динамического контроля
радиочастотного ресурса нет
Только Москве WiFi+GPON FTTH 5 млн квартир
Точки доступа
отконфигурированы одинаково
Вопросы QoS оперативно не
решаются
Безопасность сомнительна
7. Как мы предлагаем это решить
Wi-Fi Controller
Развитие идеи:
Оператор предлагает клиенту не СРЕ оборудование, а
услугу и логин/пароль. Гарантируется, что клиент, где бы
он не предъявил свой логин, попадет в свой домашний
VLAN со всеми телевизорами/умными домами, etc.
Дом
VxLAN обеспечит взаимосвязь L2 через L3 (udp) до 16 млн
(2^24) логических сетей.
SDN
Controller
AAA
Сервер
VXLAN
Парк
capwap
Вариант решения проблемы: внедрение программного контроллера и, как
следствие, уменьшение количества необходимых точек доступа.
10. Как мы решаем эту проблему
Даже не «продвинутый» алгоритм выбора частот дает результат
11. Wi-Fi как услуга для арендаторов БЦ
БЦ устанавливает свои
точки доступа и
сообщает своим
арендаторам об услуге
«Wi-Fi для офисов и
магазинов»
Арендатор получает
web интерфейс для
настройки своих Wi-Fi
сетей и обозначает
желаемое покрытие на
карте БЦ
Бизнес центр получает
абонентскую плату,
арендатор
качественное покрытие
любых площадей
Здесь требуется внутренняя WI-
Fi сеть: “My_private_business”
только для моего персонала
Здесь общий конференц-зал,
Мне требуется создать тут
гостевую сеть для всех желающих
«Welcome_to_my_business»
Арендатор БЦ указывает на плане этажа желаемый сервис
12. Wi-Fi контроллер & SDN
Подход «сделаем AP,
которая поддерживает
OpenFlow» не работает
Определена архитектура
решения
Определен принцип
взаимодействия с SDN
контроллером
Universal
Wireless
Controller
Southbound API
SDN Controller
UWC to Access Points
Interconnections via
CAPWAP,TR-069
protocols
SDN Controller to
Network devices
Interconnections via
OpenFlow protocol
Information
REST API
I-net
13. Wi-Fi контроллер & SDN
Если у клиента включен и проводный и
беспроводный интерфейсы, это дает возможность
балансировки трафика – SDN сеть к этому готова.
Отпадает необходимость сложного
туннелирования трафика Wi-Fi клиента, который
перешел на другую точку доступа L3 (как это
происходит сейчас)
CAPWAP контроллер может определить
деструктивное поведение клиента и снабдить этой
информацией приложение «Firewall» для
последующей блокировки клиента глобально – и в
проводах (например по IP)
Мы всегда будем знать местоположение клиента в
офисе (3-5м.) Это позволит динамически
формировать правила хождения трафика в сети, на
основании географического положения
Пример: Клиент находится за пределами офиса.
Разрешен только Internet трафик, даже если клиент работает
по проводам.
14. Приложение 1: Модульная архитектура
Открытый код – ядро контролера доступно в виде Open-source, что
позволяет заказчикам гибко модифицировать функционал
Open Source Kernel
External API Module
CAPWAP
Module
RRM
Module
Load
Balancer
Module
Clients
Module
SSID
Module
WTP
Module
GUI
15. Приложение 2: Основные характеристики
Название Значение
макс. кол-во точек доступа 300
макс. кол-во клиентов 12 000
макс. кол-во WLAN 16 на радио интерфейс
макс. кол-во VLAN 4096
балансировка нагрузки да
кластеризация 4 на кластер
RRM в ручном и автоматическом режиме да
бесшовный роуминг да
MAC Filtering да
визуальное планирование зоны покрытия да
QoS (WMM), VLANs, DHCP, DTLS да
LocalMAC да
Интеграция с SDN да
16. Приложение 4: Создание собственной точки
доступа
Для заказчиков из госструктур (Министерства, ФСБ, ФСО, РЖД)
Сертифицирована всеми Федеральными службами РФ
Универсальность. Автономная работа, поддержка CAPWAP,
поддержка OpenFlow через VPN
Возможности расширения: память/флэш
Модульный радиоинтерфейс (n,ac, Mesh +1int), USB,
Ethernet POE.
Исполнение офисное, склад/цех, уличное (с UPS)
Требования к такой точке
17. Universal WiFi Controller & SDN Networks
Сделано:
1. Настоящий мультивендорный wifi контроллер
2. Поддержка WPA, WPA2, 802.1x, ACL
3. Динамическое авто/ручное распределение радио параметров и нагрузки, лимиты на АР, WLAN, контроллер,
поддержка HD внедрений.
4. Интеграция с системами ААА – RADIUS, (c-vlans, RID, статистика)
5. Поддержка VLANs и клиентских VLANs (4096)
6. Работа с мешающими объектами («врагами»)
7. Поддержка SNMP, traps, обновление ПО
8. Статистика (Пользователи/Точка доступа/WLAN), отчеты, шаблоны
9. Работа с картами местности и определение места объекта на карте
10. Интеграция с SDN контроллером
11. Интеграция с системами контекстной рекламы – гео рекламный сервис
26. Universal WiFi Controller & SDN Networks
Сделано:
9. Работа с картами местности и определение места объекта на карте
27. Universal WiFi Controller & SDN Networks
10. Интеграция с SDN : контроллер Chandelle и контроллер RUNOS
+
28. Universal WiFi Controller & SDN Networks
Принцип взаимодействия с SDN контроллером
Universal Wireless
Controller
Southbound API
SDN Controller
UWC to Access Points
Interconnections via CAPWAP
protocol
SDN Controller to
Network devices
Interconnections via
OpenFlow protocol
Information
REST API
I-net
29. Universal WiFi Controller & SDN Networks
Принцип взаимодействия с SDN контроллером
Universal
Wireless
Controller
Southbound API
SDN Controller
UWC to Access Points
Interconnections via
CAPWAP
protocol
SDN Controller to
Network devices
Interconnections via
OpenFlow protocol
Information
Преимущества:
-Бесшовный роуминг
-Отсутствие лишних туннелей
-Оптимальный роутинг (нет лишних хопов)
-Интеграция с файерволлами и IDS
-Балансировка нагрузки (проводно/беспроводые)
-Возможность реализации удобных геосервисов
-WiFi контроллер сообщает местоположение
«Иванова», а приложение на SDN контроллере
конфигурирует всю сеть для трафика «Иванова»
30. Universal WiFi Controller & SDN Networks
Принцип взаимодействия с SDN контроллером
Информация передаваемая контроллеру SDN о:
- всех своих АР (МАС) для идентификации портов на switches. Т.о. контроллер SDN
получает информацию о том, к каким портам коммутаторов подключены точки доступа и
где будет возникать пользовательский трафик.
- МАС пользователя и МАС точки доступа на которую он будет переключаться в момент
роуминга. Т.о. контроллер SDN будет информирован о том, что трафик поступающий
пользователю нужно будет переместить на другой порт другого коммутатора.
В результате связка «CAPWAP контроллер+SDN сеть»готова к роумингу клиентов быстрее,
чем обычная сеть и быстрее чем сеть, построенная на SDN АР !
31. Universal WiFi Controller & SDN Networks
Принцип взаимодействия с SDN контроллером
WTP
SDN
Controller
OF
Switch
New
WTP
AC
Discover
Capwap setup
Join & config & control
Session &
WTPs Info
New User
Switch port Info
Add station Add station &
proactive rules
User Roaming
Move client from
Old WTP to New
WTP
(See port List)
Change
pro & re-active
rules on ports
X Y
32. Universal WiFi Controller & SDN Networks
•Преимущества интеграции с SDN БЫЛО:
Packet from client A to
client C on subnetwork 4.4.4.0
after L3 roaming.
NOT optimal path, additional
overhead (EoIP,Mobile IP,etc)
4.4.4.2
3.3.3.3
5.5.5.2
ip 4.4.4.4
Anchor
Controller
Foreign
Controller
A
C The problem in traditional networks :
2 step
33. Universal WiFi Controller & SDN Networks
•Преимущества интеграции с SDN СТАЛО:
The advantage of the integration and SDN
WiFi controllers:
Packet from client A to
client C on subnetwork 4.4.4.0
after L3 roaming & SDN controller.
Optimal path, no additional
overhead !
4.4.4.2
3.3.3.3
5.5.5.2
ip 4.4.4.4
Anchor
Controller
Foreign
Controller
A
C
SDN Controller
34. Universal WiFi Controller & SDN Networks
Дополнительно: Если у клиента включен и проводный и беспроводный интерфейсы, это дает возможность
балансировки трафика – SDN сеть к этому готова.
Дополнительно: Если проводная сеть управляется контроллером SDN, то это дает возможность не разделять
ее на IP подсети по интерфейсам маршрутизаторов. Т.е. правила хождения трафика SDN контроллер пропишет
в память коммутаторов. В этом случае отпадает необходимость сложного туннелирования трафика wifi
клиента, который перешел на другую точку доступа L3 (как это происходит сейчас).
Дополнительно: Если CAPWAP контроллер определит, что поведение wifi клиента деструктивно, то он может
снабдить этой информацией через API приложение «Firewall» для последующей блокировки клиента
глобально – и в проводах (например по IP)
Дополнительно: Если обязать клиентов корпоративной сети всегда держать включенным wifi интерфейс, даже
работая через провода, мы всегда будем знать его местоположение в офисе (3-5м.) Это позволит динамически
формировать правила хождения трафика в сети, на основании географического положения!
Например: платежные документы принимаются от бухгалтерского ноутбука только если он находится в
бухгалтерии. И это настройка всей корпоративной сети.
35. Universal WiFi Controller & SDN Networks
Пример: Клиент находится за пределами офиса : разрешен только Internet трафик.
…даже если клиент работает по проводам.
Сделано:
11. Интеграция с гео-сервисами – все началось с безопасности и пришло к рекламе
36. Universal WiFi Controller & SDN Networks
11. Реализация стенда для выставки с демонстрацией Wifi гостевого доступа, обеспечивающего
гео-рекламный сервис
Chandelle
Router
switch
Advertasing
system
Internet
AP1
AP2
Пользователь подключается к общей сети большого бизнес центра «Beeline_adv». Поскольку он находится рядом с
рестораном McDonald’s, он видит в браузере мерцающую рекламу Мс поверх web страницы. Далее он двигается по
бизнес центру. Wifi контроллер обеспечивает ему роуминг (автоматическое переключение с точки АР1 на точку АР2).
Поскольку пользователь приблизился к офису продаж Билайн, вместо рекламы Мс появится реклама Билайн .
Таким образом обеспечивается рекламирование услуг (выдача скидочных купонов и т.п.), привязанное к гео областям в
торговом центре. Это можно привязать к различным, не только рекламным бизнес-кейсам.
McDonald’s
Beeline_adv
Офис продаж Билайн
37. Universal WiFi Controller & SDN Networks
Перспективы:
1. WiFi Offload – разгрузка перегруженных сотовых операторов, интеграция в пикосоты
3g/LTE.
2. Уличные, стадионные решения с недорогим видеонаблюдением
3. Интеграция с ZigBee умным домом + датчики движения.
4. Создание системы обеспечения безопасности с активным противодействием
(Ad-Hoc и Wi-Smart) и динамической коррекцией правил через приложения
контроллера SDN. (возможно отдельный продукт)
5. Развитие гео-сервисов.
6. По настоящему «свои» точки доступа.
Что сделано :
осознана порочность подхода «сделаем AP, которая поддерживает openFlow»
проверена возможность создания решения на недорогих точках доступа (xx-wrt)
проверены opensource коды для реализации capwap контроллера и софта для АР
определена архитектура решения
определен принцип взаимодействия с SDN контроллером
определен набор алгоритмов для анализа Радиочастотного ресурса
(FP, Heuristic, Exhaustive&Prune, наш ,ручной,…)
создан работающий пред-прототип осуществляющий:
Централизованное управление пользователями
Распределение частотно-мощностного ресурса (свой алгоритм)
Реализацию рабочей схемы CAPWAP-LocalMAC
Что сделано :
осознана порочность подхода «сделаем AP, которая поддерживает openFlow»
Эксперименты показали, что недорогие точки доступа располагают небольшим
объемом памяти/флеша, слабым процессором. Хоть сколь-нибудь значительное
количество правил openflow просто не помещается. «SDN actions» должны
выполнять коммутаторы. Тем более, что точка доступа часто имеет только один
Uplink и один Downlink..
Так же у SDN точки доступа НЕТ механизма, который мог бы предупредить
контроллер о возможном перемещении клиента на другую точку доступа (роуминг)
Такой механизм есть у capwap контроллера!
Информация передаваемая контроллеру SDN о:
- всех своих АР (МАС) для идентификации портов на switches. Т.о. контроллер SDN получает информацию о том, к каким портам коммутаторов подключены точки доступа и где будет возникать пользовательский трафик.
МАС пользователя и МАС точки доступа на которую он будет переключаться в момент роуминга. Т.о. контроллер SDN будет информирован о том, что трафик поступающий пользователю нужно будет переместить на другой порт другого коммутатора.
В результате связка «CAPWAP контроллер+SDN сеть»готова к роумингу клиентов быстрее, чем обычная сеть и быстрее чем сеть, построенная на SDN АР !
(у них нет возможности информировать контроллер SDN о роуминге клиентов см. «Why Nicira abandoned OpenFlow hardware control»
http://searchnetworking.techtarget.com/news/2240174517/Why-Nicira-abandoned-OpenFlow-hardware-control )
Дополнительно: Если у клиента включен и проводный и беспроводный интерфейсы, это дает возможность балансировки трафика – SDN сеть к этому готова.
Дополнительно: Если проводная сеть управляется контроллером SDN, то это дает возможность не разделять ее на IP подсети по интерфейсам маршрутизаторов. Т.е. правила хождения трафика SDN контроллер пропишет в память коммутаторов. В этом случае отпадает необходимость сложного туннелирования трафика wifi клиента, который перешел на другую точку доступа L3 (как это происходит сейчас).
Дополнительно: Если CAPWAP контроллер определит, что поведение wifi клиента деструктивно, то он может снабдить этой информацией через API приложение «Firewall» для последующей блокировки клиента глобально – и в проводах (например по IP)
Дополнительно: Если обязать клиентов корпоративной сети всегда держать включенным wifi интерфейс, даже работая через провода, мы всегда будем знать его местоположение в офисе (3-5м.) Это позволит динамически формировать правила хождения трафика в сети, на основании географического положения!
Например: платежные документы принимаются от бухгалтерского ноутбука только если он находится в бухгалтерии. И это настройка всей корпоративной сети. (Yandex.деньги?)
Дополнительно: Если у клиента включен и проводный и беспроводный интерфейсы, это дает возможность балансировки трафика – SDN сеть к этому готова.
Дополнительно: Если проводная сеть управляется контроллером SDN, то это дает возможность не разделять ее на IP подсети по интерфейсам маршрутизаторов. Т.е. правила хождения трафика SDN контроллер пропишет в память коммутаторов. В этом случае отпадает необходимость сложного туннелирования трафика wifi клиента, который перешел на другую точку доступа L3 (как это происходит сейчас).
Дополнительно: Если CAPWAP контроллер определит, что поведение wifi клиента деструктивно, то он может снабдить этой информацией через API приложение «Firewall» для последующей блокировки клиента глобально – и в проводах (например по IP)
Дополнительно: Если обязать клиентов корпоративной сети всегда держать включенным wifi интерфейс, даже работая через провода, мы всегда будем знать его местоположение в офисе (3-5м.) Это позволит динамически формировать правила хождения трафика в сети, на основании географического положения!
Например: платежные документы принимаются от бухгалтерского ноутбука только если он находится в бухгалтерии. И это настройка всей корпоративной сети. (Yandex.деньги?)