Городской Wi-Fi на примере общежитий ВУЗов Москвы
Привет, Хабр! Сегодня мы немного отклонимся от привычного курса и расскажем вам не о системе видеонаблюдения, а о том, как в Москве работает Wi-Fi.Сразу скажем, что публикация будет без хардкорных технических подробностей, по одной простой причине: интернет предоставляется по «сервисной модели». Говоря проще — заказчик предъявляет требования к необходимым услугам связи, а исполнители на конкурсной основе обеспечивают эти услуги связи. На сегодняшний день обеспечением связи в Москве в рамках проекта «Wi-Fi в общежитиях» занимаются два крупных оператора: Вымпелком и МГТС, выбранных по итогам конкурсных процедур. Именно от работы этих двух операторов зависят качество и работоспособность сети.
Беспроводной доступ к сети Интернет в общежитиях является частью городского проекта «City Wi-Fi», который включает в себя и другие общественные объекты: городские парки, объекты культуры, пешеходные и велосипедные дорожки. Общежития же ВУЗов являются одной из основных частей проекта, и именно о них мы поговорим в сегодняшней статье.
На момент написания статьи суммарно двумя операторами установлена 5561 точка радиодоступа, все они расположены в 121 здании общежитий ВУЗов Москвы, в которых проживает порядка 77 тыс. студентов.
К работе операторов предъявляются много требований, и одно из них — стабильная работа не менее 10–15 абонентов на каждой из точек. При этом 10–15 человек — это не максимальное количество абонентов (верхний порог пока не установлен), а ориентировочное количество человек, которые должны обслуживаться стабильно (есть места, где стабильно обслуживается до 30 абонентов).
В скором времени будет доступна SMS-авторизация для всех зон городского проекта «City Wi-Fi», которая будет функционировать при помощи Единой мобильной платформы. А пока этого не произошло, авторизация реализована на сетях оператора.
Как пример, рассмотрим подробнее модель оказания услуг связи для общежитий от оператора МГТС.
Сеть МГТС развёрнута с использованием решений от компании Hewlett-Packard. Точки доступа Wi-Fi, работающие в диапазонах 2,4 и 5 ГГц, подключены через агрегирующее коммутационное оборудование к магистральному каналу связи на базе технологии GPON. Для обеспечения централизованного управления используются два географически разнесённых кластера, состоящих из аппаратных контроллеров HP 870 Unified Wired-WLAN Appliance и подключённых по схеме N+M в сочетании с системой управления HP iMC Wireless Services Manager.
Структурная схема уровня клиентского доступа
Физическая схема уровня клиентского доступа
В качестве точек доступа выбраны продукты серии HP4xx с двумя радиоинтерфейсами с поддержкой двух диапазонов 2,4 и 5 ГГц. Это позволяет на каждой точке доступа запустить услугу одновременно и в 2,4 ГГц (наиболее популярном, но вместе с тем и самом «зашумленном» диапазоне), и в 5 ГГц. Технология Radio Resource Management (RRM) помогает подключать пользовательские устройства с поддержкой 5 ГГц (или обоих диапазонов) в первую очередь именно в этих частотах, что улучшает качество связи для пользователя. Также RRM постоянно анализирует окружающую среду и автоматически подстраивает мощности излучения всех точек доступа, добиваясь оптимального покрытия. Благодаря бесшовному роумингу пользователь может перемещаться по всему общежитию без обрывов связи. Балансировка клиентов между точками доступа сохраняет качественное соединение для всех подключённых пользователей, не позволяя перегружать отдельные точки доступа при наличии соседних свободных точек.
При попытке подключения в сеть, пользователь, перенаправляется на web-портал для авторизации по номеру мобильного телефона. После ввода пароля, полученного по смс, пользователю открывается доступ в Интернет. На данный момент система поддерживает до 15000 одновременно работающих пользователей. Портал реализован на базе программного модуля User Access Manager (UAM) системы управления HP iMC, этот же модуль выполняет функцию RADIUS-сервера. Единый интерфейс управления решением предоставляется модулем Wireless Service Manager (WSM) системы HP iMC. Этот модуль позволяет операторам видеть карту беспроводной сети, зоны покрытия и расположение оборудования на плане здания, создавать, запускать или выключать услуги. Вообще, для решения задач управления и авторизации в таком масштабе (более 2300 точек доступа и 15000 одновременных пользователей) используется 10 серверов HP 9-го поколения: по 5 под активной системой и 5 под резервной.
Более подробное описание решения Схема состоит из трёх основных функциональных блоков: — Ядро беспроводной сети– Транспортная сеть между ядром и объектами– ЛВС на объекте
Ядро беспроводной сети Ядро географически распредёленное. Каждый сайт состоит из контроллеров Wi-Fi, сервера управления HP IMC, сервера captive портала с SMS-шлюзом и серверов аутентификации (RADIUS). Контроллеры Wi-Fi обеспечивают централизованное управление точками доступа, радио ресурс менеджментом и управлением пользовательскими сессиями. Трафик неавторизованных пользовательских устройств проходит через контроллер в изолированный VLAN. Трафик авторизованных пользователей коммутируется в локальные VLAN на объектах с доступом в интернет.Для обеспечения выхода в сеть Интернет всех пользователей используется операторское решение Cisco Carrier Grade NAT, реализованное на базе высокопроизводительных модулей CGSE+ установленных в ASBR Cisco CRS-3. Заявленная производительность модуля CGSE+ до 80 Гбит/с полу-дуплекс и 80 млн. NAT-трансляций.
Транспортная сеть Последняя миля на объектах — GPON. К каждому объекту подключаются 3 VLAN в тэгированном интерфейсе на ONT.VLAN WIFI-HP-CONTROL подключается в соответствующий VRF и служит для двух целей: управление устройствами (коммутаторами и шлюзами) из ядра беспроводной сети. Установка CAPWAP -туннелей от точек доступа до контроллеров, в которых проходит трафик управления точками и трафик неавторизованных устройств. VLAN WIFI-HP-INET-DPI подключается в соответствующий VRF и служит для пропуска интернет-трафика с соответствующими правилами (QoS и так далее). VLAN RM подключается в соответствующий VRF и служит для управления коммутаторами и шлюзами из сети оператора. ЛВС на объекте Состоит из точек доступа, коммутаторов и многофункционального устройства по имени UTM Fortigate. L2 представляет собой совокупность коммутаторов, связанных между собой в кольцо. Fortigate также является частью кольца.Содержит 3 VLAN. VLAN 11 = VLAN RM, VLAN10 = VLAN WIFI-HP-CONTROL, VLAN30 — vlan, в который подключаются авторизованные устройства.
UTM Fortigate cодержит в себе dhcp-relay до Wi-Fi-ядра и CG NAT. Потенциально может использоваться как DPI, webfilter, mail inspection, ssl inspection, device recognition и т.д. Одобрен ФСТЭК с лицензией low encryption.
Для обеспечения наилучшего покрытия специалистами произведено комплексное радиообследование, по результатам которого были подобраны оптимальные точки доступа как со встроенными, так и с выносными антеннами. Все точки доступа подключены с использованием технологии PoE, а энергоснабжение агрегационного и каналообразующего оборудования гарантируют источники бесперебойного питания. Данная схема гарантирует исправную работоспособность сети при кратковременных отключениях или перепадах в сети энергоснабжения.В тех учебных заведениях, где уже предоставлен доступ, есть информационные таблички с контактной информацией, поэтому если вы живёте в общежитии при ВУЗе с городским беспроводным доступом, и что-то вдруг не работает — смело звоните по указанным телефонам: оператор примет заявку, обработана она должна быть в течение 4 часов.
Схема авторизации устройств:
Если вдруг вы являетесь пользователем Wi-FI в общежитии какого-то московского ВУЗа или у вас просто есть какие-то вопросы (а еще лучше — предложения) по работе данного сервиса, то мы будет рады увидеть их в комментариях.
И всё же пара слов про видеонаблюдение:) Работа активно продолжается с вашей помощью, мы снова хотим сказать спасибо за тот фидбек, который вы присылаете в рамках тестирования нашей системы на совместном спецпроекте.Хотим отметить одно важное изменение. При тестировании у нас было создано ограниченное количество учётных записей, в то время как количество желающих принять участие в тесте превзошло все наши ожидания. Поэтому мы приняли решение поступить следующим образом: если у вас есть учётная запись на Московском портале Госуслуг, вы можете на странице спецпроекта оставить заявку на тестирование, используя логин портала. Мы постараемся максимально оперативно обработать вашу заявку и предоставить доступ для тестов.
И последнее. Основная цель спецпроекта — не просто дать поиграться с камерами профессиональному сообществу, а чтобы вы помогли сделать наш сервис лучше (чтобы в будущем поиграться с камерами можно было удобней). Поэтому после того, как вы составите своё мнение о сервисе, мы просим вас поделиться с нами впечатлениями и идеями по его улучшению. Нам пригодится любой фидбек касаемо сервиса: начиная от текстов интерфейса и вёрстки, заканчивая багами в работе или даже информацией об уязвимостях. За время спецпроекта было прислано много полезных пожеланий (часть из которых уже учтена), но здесь как в анекдоте — хочется таблеток от жадности, да побольше, побольше!
Нам действительно важно ваше мнение.Спасибо за внимание!
Читайте также в нашем блоге на Хабре:» 130 тысяч камер видеонаблюдения — как заставить их работать?» Хабраэффект для 130 000 камер Москвы» Информационные технологии кормят более 750 тысяч человек в Москве» Блог департамента информационных технологий города Москвы на «Хабрахабре»