09:53
senciny
Phân tích tổng quan hệ thống:
Ruckus Wireless có 4 cộng nghệ vượt trội đó là :
1. BeamFlex
Hình 1
Hình 2
Với công nghệ BeamFlex phát sóng tập trung phủ sóng cho client kết nối cho phép khẳn năng xuyên tường tốt hơn hẳn với công nghệ Omni( Hình 3)
Hình 3
2. SmartCast
Hình 4
3. SmartMesh
Hình 5
Hình 7
Chứng thực user qua External Radius, LDAP & Acitve Directory
Cho phép người quản trị set các policy cho user & group tương ứng với các Wlan, tương ứng các user thuộc Group giáo viên thì chi được phép truy cập vào Wlan của giáo viên, các user thuộc Group sinh viên sẽ được truy cập vào Wlan của sinh viên.
Wireless LAN client isolation
Tách biệt các user tham gia vào mạng có thể trao đổi lẫn nhau, tiện ích này rất có ích nhằm năng cao băng thông để sử dụng đúng mục đích, ngăn cho các sinh viên trong trường co mục đích xấu như giả dạng các dịch vụ DHCP, DNS ..để làm ảnh hưởng tới hệ thống.
Hình 12
Wireless intrusion detection
Ứng dụng này cho phép ngưới quản trị có thể nhận biết được trong WLAN của mình có các AP với mục đích giả mạo SSID trong hệ thống, tiến hành một số mưu đồ không tốt và đành lừa các user trong WLAN
Link layer encryption
Tất cả các đường kết nối giữa AP và ZoneDirector đều được mã hóa
Hình 14
Access Controlles
Quản lý truy cập bằng cách chia Vlan cho từng user truy cập, tạo các ACL (access list) phân quyền truy cập vào các tài nguyên trong hệ thồng server, giới hạn băng thông cho các SSID, đặc biệt là SSID cho Guest
Sơ đồ kết nối hệ thống.
- ZoneDirector: Thiết bị dùng để quản lý cấu hình các Access Point trong hệ thống, triển khai tính năng Smart Mesh, các phương thức bảo mật, update firmware cho access point, kiểm tra theo dõi tình trạng của user truy cập vào hệ thống, kiểm tra tình trạng tải của AP, đơn giản tiện dụng trong việc quản lý hệ thống, và nhiều tính năng khác
- ZoneFlex: Thiết bị thu phát sóng được gọi là Access point ZoneFlex đáp ứng chuẩn kết nối 802.11 b/g/n, thiết bị này được kết nối bằng dây với Switch, nó đảm nhận vai trò cung cấp kết nối bằng sóng tới người dùng
- Switch: Là thiết bị chuyển mạch ở layer 2 cho hệ thống, và Switch có hỗ trợ tính năng PoE để thuận tiện cấp nguồn cho access point.
-Router : Thiết bị chuyển mạch lớp 3, làm chức năng chuyển mạch cho các Vlan trong hệ thống truy cập internet
Mô hình triển khai.
Diễn giải cách thức triển khai & hoạt động của mô hình:
Dựa vào mô hình triển khai như trên, thiết bị ZoneDirector(controler) sẽ được dùng 1 thiết bị controler để quản lý các access point trong hệ thống, và có thể trang bị thêm 1 controller cho việc dự phòng
Tất cả các acess point sẽ được kết nối với thiết bị controller qua switch trung tâm.
Trong mô hình kết nối này, hệ thống sẽ được phân chia làm 3 Wlan(SSID). Tương ứng với mỗi Wlan là 1 VLAN và dãy IP riêng biệt được cấp phát từ dịch vụ DHCP. Thiết bị Router sẽ đảm nhận vai trò chuyển mạch cho các Vlan ra internet và cung cấp dịch vụ DHCP server với các Subnet tương ứng với các Wlan, nhằm tách biết giữa các Wlan với nhau để dàng trong việc quản lý tài nguyên địa chỉ IP cấp phát cũng như ngăn ngừa gói Boastcast trong mạng gây nghẽ đường chuyền.
Trên mỗi Wlan này chùng ta có thể thực thi các phương pháp bảo mật chứng thực người dùng khác nhau, phân chia quyền truy cập của user tương ứng với Wlan, user giao viên truy cập vào Wlan GiaoVien, user sinh viên được phép truy cập vào Wlan SinhVien, khách tới làm việc tại trường truy cập vào Wlan Guest, trên các Wlan chúng ta sẽ sét mức độ ưa tiên nhiều hơn cho Wlan Giaovien tiếp đó Wlan Sinhvien và Wlan Guest.
Khi có nhu cầu xây dựng hệ thống Camera giám sát, với ứng dụng SmartCast của Ruckus chúng ta có thể xây dựng hệ thống Camera Wi-fi trên nền tảng Wi-fi sẵn có, lúc này chúng ta chỉ cần tạo thêm 1 Wlan dành cho Camera Wi-fi, tương tự như vậy chúng ta có thể lắp đặt hệ thống IP-TV trên nên Wi-fi sẵn có.
Cách thức hoạt động hệ thống:
Khi hệ thống Wi-Fi triển khai cơ chế chứng thực trên Radius, Ldap, Active Director, khi đó mỗi sinh viên, học sinh và giáo viên sẽ có 1 acount của mình dùng để truy cập internet. Dựa trên tính năng Role Base User Access thí mỗi user đó chỉ được phép truy cập vào SSID tương ứng của họ, trước khi truy cập interner họ phải được chứng thực username & password qua giao diện web như hình dưới.
Đối với đối tượng truy cập là Guest(khách) thì họ cũng có một SSID riêng biệt giành cho họ và được thiết lập một policy cho họ rất hạn chế như chỉ được phép truy cập internet, băng thông truy cập cũng bị giới hạn. khi user muốn truy cập internet họ sẽ được cấp Guestpass để sử dụng, trước khi truy cập họ cũng phải chứng thực bằng guestpass này( hình dưới) và code này sẽ được thiết lập thới gian hết hạn sử dụng, thời gian có thể tính bằng Giờ, ngày, tuần, tháng.
Với việc đòi hỏi của một hệ thống Wi-Fi chuyên nghiệp cho mảng giáo dục, cần xây dựng một giải pháp tổng thể với các thiết bị chuyên dụng để cung cấp các giải pháp tưng tự với các
Cùng với sự phát triển nhanh chóng của các thiết bị di động như Smartphone, Notebook, Ipad… thì việc trang bị hệ thống wi-fi là một thứ thiết yếu, hệ thống Wi-Fi là hệ thống kết nối không dây dựa trên khả năng truyền sóng trong môi trường không gian. Với tính linh động cộng với sự ra đời của tốc độ kết nối chuẩn N( 300Mbps) thiết Wi-Fi mang lại, cho phép chúng ta phát triển các ừng dụng chạy trên nền Wi-fi với đòi hỏi băng thông cao, chạy nhiều ứng dụng cùng lúc như Voi-IP, IP-TV, Camera-IP….,dễ dàng trong việc truy cập internet băng thông rộng không dây đơn giản.
Với sự phá triển mạnh mẽ của các dịch vụ intertnet thì nhu cầu làm việc học tập giải trì trên mang internet đối với sinh viên là rất lớn, Đối với Wi-fi trong môi trường là trường học thì cần đòi hỏi rất cao, phải đáp ứng nhu cầu kết nối liên tục và cùng lúc của rất nhiều sinh viên, giáo viên, khẳ năng hoạt động liên tục 24/7, dễ dàng nâng cấp mở rộng hệ thống, dễ sử dụng & quản lý triển khai hệ thống, khả năng hỗ trợ truy cập đồng thời tại một thời điểm khoảng trên 3000 sinh viên, học sinh và giáo viên, cũng như không mất quá nhiều thời gian, tiền bạc trong việc quản lý và duy trì hệ thống.
Phân Tích Điểm Mạnh Thiết Bị Cùng Các Ứng DụngĐể triển khai các dịch vụ Wi-fi cho mảng giáo dục có số lượng User truy cập nhiều trong cùng 1 thời điểm (từ 1000 đến 5000), với khả năng hỗ trợ nhiều dạng User truy cập cùng lúc tại một thời điểm, thì thiết bị phải có tính năng những tính năng như phân chia băng thông cho từng phân loại user truy cập, tránh tình trạng nghẽn băng thông đường truyền do một vài lý do khách quan, tách biệt với những dạng user không được quyền truy cập vào tài nguyên nội bộ của trường, phân chia và tạo ra nhiều SSID(Wlan) trong hệ thống, triển khai các cách bảo mật khác nhau trên từ SSID đó tương ứng với đối tượng truy cập, chứng thực khác nhau tương ứng với từng dạng user khi truy cập vào hệ thống, thiết bị phải có controller quản lý tập trung, thiết bị quản có thể quản lý được các access point chạy trên nhiều Subnet khác nhau trong hệ thống.
Ruckus Wireless có 4 cộng nghệ vượt trội đó là :
1. BeamFlex
Là thiết bị sử dụng hệ thống antena thông minh đầu tiên trên thề giới, BeamFlex là các Array Smart antenna “dàn hàng” định hướng nhạy bén, số lượng nó được “Sinh ra / Tạo thành” là 2n -1, với n là số cột antenna định hướng sóng tích hợp, công nghệ BeamFlex được tích hợp trên tất cả các sản phẩm của Ruckus.
Cách thức hoạt độngKhông giống như các loại antena Omni thông thường sóng được phát ra đẳng hướng, BeamFlex truyền năng lượng sóng theo hướng các thiết bị nhận tín hiệu, Tự động cấu hình và tái cấu hình để thu/phát được mọi hướng sóng với công suất phát khác nhau. Công nghệ BeamFlex được xây dựng dựa trên antenna thông minh và quản lý bằng hệ thống phần mềm chuyên dụng tích hợp trong từng access point để điều khiển tập trung cường độ phát sóng cho từng client, nó có thể chọn đường đi tốt nhất tới các client. BeamFlex được phát triển dựa trên nền tảng công nghệ của chuẩn 802.11x tích hợp với các thiết bị , để phát triển kết nối phủ sóng nhanh và mạnh hơn tao ra các kết nối ổn định hơn.
Với Smart antenna được tích hợp trên sản phẩm, hệ thống Wi-fi Ruckus hoạt động vô cùng thông minh trong cùng một hệ thống các access point của ruckus tự động hiểu biết lần nhau, tự động phân chia kênh nhằm tránh gây nhiễu cho nhau, tự động phân chia các kết nối từng client trong vùng phủ sóng, nâng cao tính ổn định , tốc độ kết nối từng cho client trong quá trình kết nối( hình 1)
Trong cùng diện tích phủ sóng, với công nghệ BeamFlex số lượng AP sử dụng sẽ ít hơn so với những sản phẩm AP khác, và cho tốc độ kết nối tốt hơn, thích hợp với nhưng môi trường có nhiều thiết bị gây nhiễu.
Hình 1
Phủ sóng với antena Omni(phủ sóng không thông minh) thì phải cần nhiều hơn số lượng access point hơn trong cùng một diện tích phủ sóng, các access point Omni phát sóng không thông minh( phát sóng với công suất phát nhất định như hình cấu) dẫn tới việc tự gây nhiễu cho nhau, lãng phí năng lượng, hiệu suất không cao, tín hiệu kết nối cho client không ổn định và xuất hiện nhiều điểm chết trong vùng phủ sóng(hình 2)
Hình 2
Với công nghệ BeamFlex phát sóng tập trung phủ sóng cho client kết nối cho phép khẳn năng xuyên tường tốt hơn hẳn với công nghệ Omni( Hình 3)
Hình 3
2. SmartCast
Trên mỗi đường kết nối, Client có nhiều loại ứng dụng data khác nhau. Video, VoIP, Files Server, Http ..Tương ứng với mỗi loại dữ liệu khác nhau sẽ có băng thông truyền khác nhau, đối với loại dữ liệu Video, VoIP thì cần tính chính xác và liên tục.
Cộng nghệ SmartCast tự nhận biết và phân loại các gói dữ liệu trong đường truyền, ưu tiên băng thông cho những loại dữ liệu như Voice, Video. Ngoài hỗ trợ những tính năng QoS, với tính năng Smart antenna thiết bị sẽ phát sóng tập trung liên tục nhiều hơn cho những client có nhu cầu sử dụng Voice, Video, Vì phát triển tính năng Smartcast thí Ruckus là hãng được có chứng nhận hỗ trợ IP-TV over Wi-fi ( Hình 4)
Hình 4
Với tính năng Smartcast của Ruckus hỗ trợ rất tốt các ứng dụng về Voice, Video chúng ta có thể sử dụng cơ sở hạng tầng của Wi-fi có sẵn để phát triển các hệ thống Camera-Wi-fi, IP-TV, IP-Phone trên nên hệ thống wi-fi có sắn mà không cần đầu tư hệ thống cũng như chi phí thi công dây cho các cơ sở hạ tầng này.
3. SmartMesh
Để phủ sóng wi-fi cho một diện tích lớn thì cần rất nhiều số lượng các access point , công nghệ Samrt Mesh của Ruckus cho phép chúng ta kết nối nhiều acess point thành một hệ thống phủ sóng rộng lớn, bằng cách các access point liên kết với nhau qua tín hiệu sóng (không sử dụng dây), giảm chi phí thi công dây mạng tới từng access point trong hệ thống cũng như việc đầu tư hệ thống Switch cho hệ thống wi-fi
Ưu điểm của công nghệ SmartMesh giảm thiểu việc thi công cáp mạng tới các từng các access point, hỗ trợ tính năng Mesh cho thiết bị chuẩn 802.11 a/b/g/n,dễ dàng triển khai và lắp đặt, khắc phục những nơi cáp mạng không tới được hoặc khó triển khai,
Với khả năng tích hợp các tính năng bảo mật như chứng thực ở mạng truy cập, mã hóa dữ liệu đường truyền, công nghệ Mesh có tính năng bảo mật cao
Dựa vào công nghệ BeamFlex, các access point trong Mesh nhanh chóng định hướng tìm các đường kết nối với nhau và client tốt nhất, là hệ thống Mesh đầu tiên có thể tránh nhiễu với nhau giữa các access point trong Mesh (tự học hỏi nhận biết các access point “láng giềng” phân chia các kênh tự động), giảm giá thành, triển khai nhanh chóng, tăng hiệu quả làm việc.
Các access point của Ruckus tích hợp những tính năng tự học hỏi, tự xây dựng, tự nhận biết (self-healing) tạo ra Mesh khả năng hội tụ cao khi có access point bị lỗi và môi trường thay đổi.
 |
| Add caption |
Khi các trong Mesh có một Node Mesh bị lỗi các access point trong Mesh tự động kết nối tới các access point khác trong mạng Mesh
Với những ưa điểm của hệ thống SmartMesh thì hệ thống Wi-fi chúng ta có tình dự phòng rất cao, trong những trương hợp khi hệ thống dây mạng kéo tới Switch bị đứt hay bị lỗi do vần đề khác thì access point lập tức tự động kết nối các access point khác.
4. SmartSecWi-fi là hệ thống mạng với môi trường publish cho nên việc bảo mật là vần đề rất cần thiết. Ngoài tập hợp đầy đủ các tính năng bảo mật của Wi-Fi như mã hoá WEP, WAP-AES,WAP-TKIP, WAP2- AES, WAP2-TKIP, 802.1x , Chứng thực qua Radius, LDAP, Active Director, SmartSec còn có thêm những tính năng mới trong việc xây dựng các chính sách bảo mật mới linh hoạt tích hợp với môi trường là trường học, dễ dàng triển khai cho hệ thống.
Trên hệ thống Wi-fi chúng ta có thể cái đặt nhiều các Wlan(SSID) tương ứng với các Vlan trong hệ thống, trên từng các SSID đó chúng ta có thể phân chia băng thông độ ưa tiên & phương thức bảo mật khác nhau trên từng Wlan tương ứng với nhiều mục người dùng truy cập, ví dụ trong môi trường học chúng ta có thề phân chia 2 Wlan cho hai đối tượng như là giáo viên và sinh viên, chúng ta sẽ sử dụng phương thức bảo mật khác nhau trên 2 Wlan, phân chia ưa tiên băng thông cho Wlan giáo viên hơn Wlan cho học sinh.
Hình 7
Chứng thực user qua External Radius, LDAP & Acitve Directory
Phương pháp chứng thực người dùng thông qua External Radius Server, LDAP, Active Directory hệ thống, trước khi Client tham gia vào mạng thì user phải chứng thực bằng username và password .
Với công cụ này rất thích hợp trong môi trường là trường học, ví dụ như khi sinh viên, giáo viên làm việc trong trường họ sẽ có một tái khoản cá nhân để sử dụng trong suốt quá trình học và làm việc tại trường, chúng ta có thể sử dụng tính năng chứng thực external trên thiết bị controller của Ruckus để đồng bộ một tài khoản cho phép họ có thể sử dụng tài khoản đó để sử dụng nhiều ứng dụng trong trường như để sử dụng cho thẻ thư viên, sử dụng truy cập wi-fi ….
Role-based user accessVới công cụ này rất thích hợp trong môi trường là trường học, ví dụ như khi sinh viên, giáo viên làm việc trong trường họ sẽ có một tái khoản cá nhân để sử dụng trong suốt quá trình học và làm việc tại trường, chúng ta có thể sử dụng tính năng chứng thực external trên thiết bị controller của Ruckus để đồng bộ một tài khoản cho phép họ có thể sử dụng tài khoản đó để sử dụng nhiều ứng dụng trong trường như để sử dụng cho thẻ thư viên, sử dụng truy cập wi-fi ….
Cho phép người quản trị set các policy cho user & group tương ứng với các Wlan, tương ứng các user thuộc Group giáo viên thì chi được phép truy cập vào Wlan của giáo viên, các user thuộc Group sinh viên sẽ được truy cập vào Wlan của sinh viên.
Wireless LAN client isolation
Tách biệt các user tham gia vào mạng có thể trao đổi lẫn nhau, tiện ích này rất có ích nhằm năng cao băng thông để sử dụng đúng mục đích, ngăn cho các sinh viên trong trường co mục đích xấu như giả dạng các dịch vụ DHCP, DNS ..để làm ảnh hưởng tới hệ thống.
Hình 12
Wireless intrusion detection
Ứng dụng này cho phép ngưới quản trị có thể nhận biết được trong WLAN của mình có các AP với mục đích giả mạo SSID trong hệ thống, tiến hành một số mưu đồ không tốt và đành lừa các user trong WLAN
Link layer encryption
Tất cả các đường kết nối giữa AP và ZoneDirector đều được mã hóa
Hình 14
Access Controlles
Quản lý truy cập bằng cách chia Vlan cho từng user truy cập, tạo các ACL (access list) phân quyền truy cập vào các tài nguyên trong hệ thồng server, giới hạn băng thông cho các SSID, đặc biệt là SSID cho Guest
Sơ đồ kết nối hệ thống.
- ZoneDirector: Thiết bị dùng để quản lý cấu hình các Access Point trong hệ thống, triển khai tính năng Smart Mesh, các phương thức bảo mật, update firmware cho access point, kiểm tra theo dõi tình trạng của user truy cập vào hệ thống, kiểm tra tình trạng tải của AP, đơn giản tiện dụng trong việc quản lý hệ thống, và nhiều tính năng khác
- ZoneFlex: Thiết bị thu phát sóng được gọi là Access point ZoneFlex đáp ứng chuẩn kết nối 802.11 b/g/n, thiết bị này được kết nối bằng dây với Switch, nó đảm nhận vai trò cung cấp kết nối bằng sóng tới người dùng
- Switch: Là thiết bị chuyển mạch ở layer 2 cho hệ thống, và Switch có hỗ trợ tính năng PoE để thuận tiện cấp nguồn cho access point.
-Router : Thiết bị chuyển mạch lớp 3, làm chức năng chuyển mạch cho các Vlan trong hệ thống truy cập internet
Mô hình triển khai.
Diễn giải cách thức triển khai & hoạt động của mô hình:
Dựa vào mô hình triển khai như trên, thiết bị ZoneDirector(controler) sẽ được dùng 1 thiết bị controler để quản lý các access point trong hệ thống, và có thể trang bị thêm 1 controller cho việc dự phòng
Tất cả các acess point sẽ được kết nối với thiết bị controller qua switch trung tâm.
Trong mô hình kết nối này, hệ thống sẽ được phân chia làm 3 Wlan(SSID). Tương ứng với mỗi Wlan là 1 VLAN và dãy IP riêng biệt được cấp phát từ dịch vụ DHCP. Thiết bị Router sẽ đảm nhận vai trò chuyển mạch cho các Vlan ra internet và cung cấp dịch vụ DHCP server với các Subnet tương ứng với các Wlan, nhằm tách biết giữa các Wlan với nhau để dàng trong việc quản lý tài nguyên địa chỉ IP cấp phát cũng như ngăn ngừa gói Boastcast trong mạng gây nghẽ đường chuyền.
Trên mỗi Wlan này chùng ta có thể thực thi các phương pháp bảo mật chứng thực người dùng khác nhau, phân chia quyền truy cập của user tương ứng với Wlan, user giao viên truy cập vào Wlan GiaoVien, user sinh viên được phép truy cập vào Wlan SinhVien, khách tới làm việc tại trường truy cập vào Wlan Guest, trên các Wlan chúng ta sẽ sét mức độ ưa tiên nhiều hơn cho Wlan Giaovien tiếp đó Wlan Sinhvien và Wlan Guest.
Khi có nhu cầu xây dựng hệ thống Camera giám sát, với ứng dụng SmartCast của Ruckus chúng ta có thể xây dựng hệ thống Camera Wi-fi trên nền tảng Wi-fi sẵn có, lúc này chúng ta chỉ cần tạo thêm 1 Wlan dành cho Camera Wi-fi, tương tự như vậy chúng ta có thể lắp đặt hệ thống IP-TV trên nên Wi-fi sẵn có.
Cách thức hoạt động hệ thống:
Khi hệ thống Wi-Fi triển khai cơ chế chứng thực trên Radius, Ldap, Active Director, khi đó mỗi sinh viên, học sinh và giáo viên sẽ có 1 acount của mình dùng để truy cập internet. Dựa trên tính năng Role Base User Access thí mỗi user đó chỉ được phép truy cập vào SSID tương ứng của họ, trước khi truy cập interner họ phải được chứng thực username & password qua giao diện web như hình dưới.
Đối với đối tượng truy cập là Guest(khách) thì họ cũng có một SSID riêng biệt giành cho họ và được thiết lập một policy cho họ rất hạn chế như chỉ được phép truy cập internet, băng thông truy cập cũng bị giới hạn. khi user muốn truy cập internet họ sẽ được cấp Guestpass để sử dụng, trước khi truy cập họ cũng phải chứng thực bằng guestpass này( hình dưới) và code này sẽ được thiết lập thới gian hết hạn sử dụng, thời gian có thể tính bằng Giờ, ngày, tuần, tháng.
Posted in: Giải Pháp Wi-fi
