我们如何在华为上构建Wi-Fi

在前三篇文章（ 一 ， 二 ， 三 ）中，我们讨论了如何在Jet Infosystems办公室升级有线网络。 现在该讨论升级无线网络了。

旧网络的缺点

我们办公室的无线网络建立在另一家供应商的设备上。 并且该网络的运行在用户和系统管理员之间引起了严重的不满。

用户不喜欢什么？

连接到网络并不容易。 当用户可以将设备独立连接到网络时，我们实现了BYOD（自带设备）的概念。 例如，如果连接到网络的设备是员工的公司笔记本电脑，则他需要提供对公司资源和Internet的访问。 而且，如果用户带来了他的设备（智能手机，平板电脑），那么您只需要允许他访问互联网即可。 尽管有这种可能性，但支持无线网络仍需要大量管理员的努力，因为有许多情况需要单独处理。 当没有标准化的工作时，加上零碎的平台的细微差别。 结果，解决所有方面的资源成本被证明是完全不切实际的。 重建所有内容更合乎逻辑。

管理员对Wi-Fi网络有哪些投诉？

大量的请求来自具有各种连接问题，无法配置设备等的用户。此外，旧网络是在2012-2013年间创建的，此后标准发生了变化，速度也越来越高。
我们计算并意识到，使用华为的架构和设备，升级现有网络要比用新网络完全替换现有网络要昂贵。 他们决定了这一点。

作为解决方案的技术基础，选择了华为AP6050DN和AP6052DN接入点。 这些是支持IEEE 802.11b / g / n / ac标准并在2.4 GHz和5 GHz频段上运行的现代设备。 我们还决定使用华为AC6605无线网络控制器（更确切地说，是将两个控制器组合在一个集群中）以及华为敏捷控制器园区（HACC）软硬件组合，以进行用户授权和访问控制。

无线电调查

由于我们不仅对连接方法而且对无线电覆盖范围的质量都对现有的Wi-Fi网络有所抱怨，因此我们从无线电调查开始。 传统上，这是通过绕过所有房间的便携式计算机完成的，该便携式计算机上装有测量适配器并配置了AirMagnet软件。 在每个房间中，您需要进行几次测量，以固定笔记本电脑的位置。

亚历山大·古利亚耶夫（Alexander Gulyaev） 告诉asha77 ：我们的办公室里有很多长长的走廊，独自携带测量设备很长且乏味。 看起来像这样一两天后，我们很累，并决定将一些技术更先进的产品组合在一起。 谷歌搜索。 在阿维多（Avito），以2500卢布的价格购买了一辆半死摩托车。 从视频墙的轮廓残留物中，扭曲了一个底座的外观，将无情地锯过的陀螺踏板车的所有部件与Raspberry Pi融合在一起。 同事们从github上调整了程序员，并调整了创意的德国人（或者他们是荷兰人？）。该软件被注入到陀螺仪控制器中，并允许您通过Raspberry PI的RS232控制命令。 PI应用程序已上传到Node.js，以通过智能手机控制控制器。 事实证明，有一个机器人（称为Robik），它为操作员携带一台笔记本电脑。 多亏了Robik，对办公室进行详细的无线电调查所花费的时间几乎是普通版本的一半。 尽管事实上没有足够的时间来完成所有工作，但是时间不够。


并非没有Robik的帮助，事实证明信号电平非常好。 因此，将接入点以正常密度放置在正确的位置。 但是其中一些在2.4 GHz频带中会互相干扰。 因此，我们决定在部分点上具有高点密度的地方进行升级后，断开2.4 GHz的连接，仅使用5 GHz。
另外，在高密度的地方，我们安装了AP6052DN系列接入点，而不是AP6050DN。 它们是由供应商专门为具有大量订户的场所定位的。 AP6052DN有两个发射器，其中一个在两个频带中运行并自动切换到最佳状态，而第二个发射器仅在5 GHz下工作。

安全性

无线访问始终意味着一种授权机制，因为无线电是一个开放的环境，任何人都可以收听。 因此，应特别注意安全问题（加密，授权）。 这样，您需要开始设计无线网络。

我们提供三种访问类型：生产访问，访客访问以及员工自己设备的连接。

生产访问

生产访问权限用于企业笔记本电脑。 员工可以访问与通过有线连接相同的公司资源。 该选项的行业很早就开发了标准的WPA2授权方案。

根据个人用户证书进行授权。 在旧网络中，供应商授权解决方案是一个单独的证书颁发机构，并且是独立生成的用户证书。 它的工作原理是“一次安装，一切正常”，但是如果出现问题，我们的技术支持将无法提取生成的证书并将其手动放置在用户的设备上。
因此，我们决定不再拥有专有解决方案，并与现有的Microsoft公司证书颁发机构集成。 有三种方法可以在用户计算机上安装用户证书：通过AD组策略，将便携式计算机带到IT部门，由其员工颁发证书或使用自动配置。

让我们谈谈第三种方法。 如何运作？ 用户正在尝试连接到我们的无线生产网络。 如果他是第一次这样做，他将被自动重定向到我们的内部门户华为，该门户使用Agile Controller Campus产品实现，并提供运行一个小型实用程序的功能。

该实用程序将启动华为敏捷控制器园区到企业证书颁发机构的呼叫，生成单个用户证书，并将其安装在本地计算机的证书存储中。

通常，在所有工作场所都或多或少都标准的公司中，使用Microsoft组策略和Active Directory将证书分发到工作站更加方便。 但是对于我们来说，这对于整个组织都是不可能的，因为许多计算机都在Linux上运行。 因此，那些安装了各种本地Linux版本的开发人员受到的影响最大。 不幸的是，最后出现了各种用于此类OS的现代IT解决方案。

结合以上所有内容，应该始终能够手动配置工作站。

访客访问

我们公司的任何员工都可以邀请客人。 如果他需要Internet访问，则在连接到公司Wi-Fi网络时，系统会自动将其重定向到授权门户（强制门户）。 在这种情况下，来宾会从邀请他的员工那里收到用户名和密码。

但是员工从哪里可以使用密码登录？ 以前，IT专家每两到两个月生成一次登录名和密码集，可在接待处获取。 任何员工都可以去秘书那里，要求数据进入网络。 然后，秘书致函信息和技术支持服务，并向其提供信息给哪些雇员和哪些访客。

可以想象，电路太不方便而且过时了。 因此，在新网络中，我们采用了完全不同的方法。 现在，我们在内部门户网站上有一个部分，足以输入公司名称和来宾的手机。 带有登录数据的SMS将发送到他的电话，并且一名员工通过邮件收到成功操作的确认。 作为过渡期的备用选项，我们将通常的方案留给了秘书。

华为敏捷控制器园区（HACC）产品具有多个用于多种用途的Web界面：访客授权门户，管理界面，自助服务门户和SOAP模块。 SOAP模块具有各种API，可用于从第三方软件控制HACC。 因此，我们为企业门户与华为解决方案的交互编写了一个界面。



对于访客Wi-Fi，我们提供对Internet的访问以及对外部网络开放的公司资源。 我们不允许将被视为僵尸网络的种子和网络流量； 禁止访问成人资源和旨在规避限制的主机。 由于这项政策，到目前为止，我们没有来自来宾Wi-Fi的疯狂流量，而且我们也没有限制带宽。

自己的移动设备

在我们的新网络中，EAP-TTLS协议用于授权我们自己的设备，而不是EAP-TLS，即，在用户端不使用证书，因为在任意设备上自动安装证书非常困难。 我敢建议任何厂商都不能解决它。

同时，EAP-TTLS连接也有其自身的缺点：攻击者可以设置其访问点，并设法以某种方式实时捕获用户的登录名和密码哈希。 因此，使用用于访问公司资源的登录名和密码，您无法连接到访客网络。

我们引入了单独的用户名和密码来连接个人移动设备。 它们是根据与访客相同的原理生成的：任何用户都可以在特殊的自助服务门户上注册其移动设备。 现在，它是通过华为敏捷控制器园区的一种Web形式实现的。 注册的有效期为一定期限，该期限自根据IS公司政策强制更改密码之日起结束。

如果其中一位员工希望携带自己的笔记本电脑，平板电脑或智能手机并不仅可以访问Internet，还可以访问公司资源，则必须与安全服务管理部门协调，然后去信息和技术支持部门。生成并安装单独的证书，类似于公司的便携式计算机连接方案。

自由职业者

除了全职员工外，我们还有自由职业者，他们也需要在线上班，包括通过Wi-Fi。 对于他们，我们使用与连接全职员工的移动设备相同的配置文件。 这消除了为自由职业者创建个人帐户的需要，您无需将其输入到公司的Active Directory系统中，也不需要与安全服务进行复杂的协调-通常，麻烦更少。 但同时，我们可以为他们提供由我们控制的Internet访问。

或者说，某位员工购买了个人笔记本电脑。 他想立即连接它，放置最新更新等等。 在这种情况下，他不需要去信息和技术支持部门来协调笔记本电脑与网络的连接。 他将其独立连接到无线网络，并立即开始工作。 而且尽管他无法访问公司内部资源，但请访问Internet进行更新。

联网

接入点连接到与用户工作站相同的接入交换机。 它们连接在单独的VLAN中，这些VLAN在单独的VRF中设置。 接入点通过CAPWAP协议与华为AC6605 WLAN控制器连接。 控制器组合成一个故障安全群集，一个控制器充当主控制器，第二个控制器充当备用控制器。 华为敏捷控制器园区是他们的授权服务器。

结果，Wi-Fi流量仅通过控制器在接入点之间流动。 性能下降对我们来说微不足道，但是从可控性和各种信息保护功能的实现的角度来看，这种方案更加方便。
控制器将无线流量从移动设备传输到主网络。 来自不同SSID的流量使用不同的VRF进行传输。 我们将它们分为两部分-第一部分用于客人和员工自己的设备，第二个用于工作网络。

用户从公司的DHCP服务器接收IP地址。 以前，对于每个SSID，我们为512个设备提供了一个较大的范围，现在对于来宾访问，我们具有四个IP范围（每个为256个设备），对于工作访问和我们自己的设备，我们具有8个范围（每个也为256个设备） 。 用户最初可能从任何范围接收IP地址，对于办公室周围的任何移动，该IP地址都将由用户保存。

同时，我们选择的网络体系结构也有缺点-需要监视更多的控制点。 特别是，当用户连接时，从我们的网络基础结构中不仅可以看到唯一的默认网关，还可以看到其他IP地址。 对于访客访问，从信息安全的角度来看，这不是很好，因为关于访客可用的关于我们基础架构的信息越少越好。



为了解决来宾网络中的这些问题，我们采取了以下基本安全措施：

• 打开所谓的专用模式，以排除连接的无线设备之间的流量传输；
• 使用普通访问列表阻止访问来宾IP范围内的路由器的所有网络设备。

华为敏捷控制器园区

华为敏捷控制器园区是一个软硬件复合体。 该软件使用Tomcat框架以Java编写，可在运行Windows Server 2012的服务器上运行（它也可以在SUSE Linux下运行）。 Microsoft SQL Server或Oracle都可以用作数据库。

当我们启动办公网络重组项目时，华为仅提供物理版本的HACC，因此我们必须购买三台服务器。 其中之一称为系统管理器-它包含一个数据库和所有Web界面。 其他两台服务器同样互相保留-它们是系统控制器。 连接和授权用户时，WLAN控制器（通过RADIUS协议）与它们进行交互。 也就是说，WLAN控制器每次询问任何可用的系统控制器，是否具有这种凭据的用户可以访问Wi-Fi。

在实施项目时，华为提供了虚拟化服务器的功能。 当然，我们立即利用了这一优势。 现在，我们有两个虚拟机，而不是三个物理服务器。 这立即消除了很多问题，特别是在容错，系统管理器备份和数据库备份方面（因为虚拟机是使用快照复制的，并由虚拟化场进行备份）。

短信通讯

最后，关于SMS分发机制的几句话，包括用于访客访问的登录名和密码。 配备物理HACC服务器的是通过串行端口连接的GSM调制解调器。 不幸的是，您无法将COM端口连接到虚拟机，但是我们找到了解决方案。 原来，我们办公室中用于访问控制的工程师正在购买特殊的网关，以使来自串行端口的流量封装在以太网中。

我们使用了EverFocus EA-LAN1模型。 通常，它们用于连接电子通行证的阅读器，但对于中国的GSM调制解调器，此网关非常适合。 虚拟串行端口驱动程序连接到网关，与HACC配合使用的物理串口驱动程序不比物理驱动程序差。 因此，我们实现了从虚拟机发送SMS的功能，没有任何问题。

马克西姆·克洛奇科夫（Maxim Klochkov）
网络审计和综合项目高级顾问
网络解决方案中心
喷气信息系统

亚历山大·古利亚耶夫
首席系统架构师
网络解决方案中心
喷气信息系统