Projekt techniczny · Cisco Aironet 1140 Series Access Point ..... 26 4.2.2. Cisco Aironet 1522...

Projekt techniczny sieci radiowej WLAN (część ogólna) 0

Projekt techniczny

___________________________________________________

System dostępu radiowego WLAN dla kolejowych i drogowych przejść granicznych

w Placówkach Straży Granicznej:

1. Drogowym PG w Grzechotkach

2. Drogowym PG w Terespolu (część wjazdowa na terytorium RP)

3. Kolejowym PG w Kuźnicy

4. Kolejowym PG w Terespolu

Wersja 2.0 / 3.0/ 4.0

10 czerwiec 2009 / 15 kwiecień 2011/ 20 wrzesień 2011


1.1. Historia zmian

Data tej wersji dokumentu: 10.06.2009

Numer

wersji

Data wersji Podsumowanie zmian Uwagi

3.0 31.03.2011 r. Zmiany wprowadzono w

załączniku nr 1

Zmiany dotyczą ograniczenia dokonywania odprawy

granicznej jedynie do terenu odprawy osobowej

oraz wprowadzenia nowszych urządzeń AP

3.o 15.04,2011 r. Zmiany wprowadzono w

dokumencie

Zmiany dotyczą aktualnej struktury Centralnego

Węzła Teleinformatycznego Straży Granicznej oraz

infrastruktury sieciowej w Oddziałach i Placówkach

SG.

4.0 20.09.2011 R. Zmiany wprowadzono w

dokumencie

Ograniczono liczbę placówek do 4, w tym dwa PK i

dwa PD

1.2. Dystrybucja

Niniejszy Dokument został przekazany następującym osobom:

Osoba


Spis treści

1. Wstęp ................................................................................................6

1.1. Podstawa dokumentu ........................................................................6

1.2. Zakres projektu i struktura dokumentu ...................................................6

2. Istniejąca infrastruktura klienta .................................................................8

2.1. Sieć WAN ......................................................................................8

2.2. Infrastruktura sieciowa na przejściu granicznym ........................................9

2.3. Architektura rozwiązania QoS ............................................................ 11

2.3.1. Konfiguracja QoS dla 2800/3800 ................................................... 13

2.4. Telefonia IP ................................................................................. 13

2.4.1. Architektura nowego klastra CUCM ................................................ 14

2.4.2. Mechanizm kontroli pasma ......................................................... 15

2.5. Systemy i mechanizmy bezpieczeństwa ................................................ 15

3. Wymagania dla sieci radiowej .................................................................. 17

3.1. Opis badanych obszarów .................................................................. 17

3.1.1. Nadmiarowość pokrycia obszarów ................................................. 18

3.1.2. Siła sygnału ........................................................................... 19

3.1.3. Projekt granic obszaru .............................................................. 19

3.1.4. Wdrożenie standardu 802.11b/g/ ................................................. 20

3.1.5. Wdrożenie standardu 802.11a ...................................................... 20

3.1.6. Pojemność obszaru zasięgu punktu dostępowego ............................... 21

3.1.7. Dynamic Transmit Power Control (DTPC) ......................................... 22

3.1.8. Interferencje ......................................................................... 23

3.1.9. Rozmieszczenie anten, rozchodzenie sygnału WLAN ............................ 23

3.2. Wymagane pasmo zagregowane i per-użytkownik .................................... 24

3.3. Nadmiarowość zasięgu pracy fal radiowych ............................................ 24


4. Pomiary propagacji fal radiowych ............................................................. 25

4.1. Metodologia pomiarów .................................................................... 25

4.2. Urządzenia wykorzystane przy pomiarach ............................................. 25

4.2.1. Cisco Aironet 1140 Series Access Point ........................................... 26

4.2.2. Cisco Aironet 1522 Lightweight Outdoor Mesh Access Point ................... 27

4.3. Karta Cisco Spectrum Expert ............................................................. 29

4.3.1. Oprogramowanie Airmagnet Site Survey, karta Cisco AIR-CB21AG-E-K9 ..... 30

4.3.2. Pozostałe elementy zestawu pomiarowego ...................................... 31

4.4. Procedura pomiarowa ..................................................................... 31

4.5. Kryteria oceny jakości propagacji fal radiowych ...................................... 33

5. Projekt warstwy logicznej systemu WLAN .................................................... 34

5.1. System dostępu radiowego WLAN ....................................................... 34

5.2. Topologia warstwy logicznej sieci WLAN ............................................... 36

5.2.1. Redundancja (high availability) .................................................... 37

5.3. Kontrolery Wireless LAN Controller ..................................................... 37

5.4. Punkty dostępowe, zasilanie punktów dostępowych ................................. 38

5.4.1. Podłączenie do sieci LAN ............................................................ 38

5.4.2. Punkty dostępowe wewnętrzne .................................................... 39

5.4.3. Punkty dostępowe zewnętrzne ..................................................... 39

5.5. Planowana struktura serwerów autentykacji .......................................... 40

5.5.1. Konfiguracja urządzeń WLAN jako użytkowników (user) ....................... 41

5.5.2. Konfiguracja urządzeń typu AAA client ........................................... 42

5.5.3. Konfiguracja protokołów Autentykacji ............................................ 42

5.5.4. Replikacja danych pomiędzy serwerami .......................................... 42

5.5.5. Pozostałe możliwości konfiguracji ................................................. 42

5.5.6. Adresacja IP ........................................................................... 43

5.6. Sieci WLAN .................................................................................. 43


5.7. Adresacja IP i sieci VLAN .................................................................. 43

5.7.1. Infrastruktura WLAN - VLAN 552 ................................................... 44

5.7.2. Sieci VoIP, vlan 551 .................................................................. 45

5.7.3. Sieci VoIP, vlany 560-563 ........................................................... 45

5.8. Konfiguracja kontrolerów WLC ........................................................... 46

5.8.1. Konfiguracja radia 802.11a/b/g/n ................................................ 46

5.8.2. Autentykacja lokalna ................................................................ 47

5.8.3. SSID VP, VP1, VP2, VP3, VP4 ....................................................... 48

5.8.4. QoS ..................................................................................... 49

5.8.5. Redundancja punktów dostępowych .............................................. 50

5.8.6. Konfiguracja sieci MESH ............................................................. 50

6. Bezpieczeństwo sieci WLAN..................................................................... 51

6.1. System wykrywania ataków WLAN ....................................................... 51

6.2. Model wdrożenia wIPS w Straży Granicznej ............................................ 52

6.2.1. Oszacowanie pasma.................................................................. 52

6.2.2. Punkty dostępowe w trybie monitor .............................................. 52

6.2.3. Zasięg punktu dostępowego w trybie monitor ................................... 53

6.2.4. Zaplanowane punkty dostępowe wIPS ............................................ 53

6.2.5. Adresacja IP ........................................................................... 54

6.3. Funkcja Rogue Detector .................................................................. 54

7. Rozbudowa telefonii IP o telefony bezprzewodowe ......................................... 56

7.1. Wybór modelu telefonu IP ................................................................ 56

7.2. Uruchomienie w systemie telefonii IP .................................................. 57

7.2.1. Mechanizmy kontroli ilości połączeń telefonicznych............................ 58

7.2.2. Mechanizmy QoS dla obsługi ruchu VoWLAN ..................................... 58

7.3. Numeracja telefoniczna................................................................... 59

8. Rozbudowa Portala wideo SG ................................................................... 61


8.1. Kamery IP ................................................................................... 61

8.2. Kamera AXIS 215 PTZ ...................................................................... 62

8.2.1. Przykładowe obudowy dla kamer typu AXIS 215 PTZ ........................... 65

8.3. Integracja obrazu z kamer z Portalem wideo SG ...................................... 65

9. Integracja z siecią LAN .......................................................................... 67

9.1. Aktualny system sieciowy placówki ..................................................... 67

9.1.1. Konfiguracja warstwy L3 ............................................................ 67

9.1.2. Aktualna topologia sieci LAN ....................................................... 67

9.2. Włączenie WLAN do sieci LAN ............................................................ 69

10. Integracja z systemami bezpieczeństwa .................................................. 71

10.1. Integracja z systemem IPS ............................................................. 71

10.2. Integracja z zarządzaniem incydentami Cisco MARS ............................... 72


1. Wstęp

1.1. Podstawa dokumentu

Niniejszy projekt powstał na podstawie umowy podpisanej pomiędzy Komendą Główną Straży Granicznej a firmą Sygnity SA, w wyniku postępowaniu nr 3/ZP/BŁiI/09, z 13 lutego 2009 roku „Rozbudowa i utrzymanie platformy teleinformatycznej Straży Granicznej – Zaprojektowanie sieci WLAN w placówkach Straży Granicznej”. Zmiany zostały wprowadzone przez Zespoły powołane Decyzjami Dyrektora Biura Łączności i Informatyki Komendy Głównej Straży Granicznej pod przewodnictwem ppłk. SG Janusza Sidorowicza na podstawie przeprowadzonych rekonesansów poszczególnych przejść granicznych, analizy potrzeb w zakresie odprawy granicznej oraz zmian w zakresie infrastruktury sieciowej Straży Granicznej.

1.2. Zakres projektu i struktura dokumentu

Dokument zawiera projekt systemu dostępu radiowego WLAN, rozbudowy telefonii IP, uruchomienia PTT oraz systemu zarządzania systemem radiowym na przejściach granicznych.

Projekt obejmuje zakres wykonania dokumentacji dla różnych placówek, ale z oczywistych względów zakłada jednorodność środowiska pod kątem sprzętowym i konfiguracji. Powoduje to że znaczna część informacji zawartej w projekcie ma charakter ogólny i odnosi się do wszystkich placówek, dlatego też została wydzielona jako „Część ogólna”. Informacje, które dotyczą tylko konkretnych placówek zostały przesunięte do odpowiednich Załączników. Projekt podzielony jest na części:

a) „Cześć ogólna”,

która zawiera informacje odnoszące się do wszystkich placówek Straży Granicznej objętych projektem a także ich macierzystych Oddziałów SG oraz Centralnego Węzła Telekomunikacyjnego SG. „Cześć ogólna” zawiera między innymi:

opis architektury systemu,

ogólny projekt warstwy logicznej systemu WLAN, wraz ze sposobem przyłączenia do istniejącej w placówce sieci LAN i integracji z innymi systemami Zamawiającego,

opis rozbudowy telefonii o bezprzewodowe telefony IP,

projekt integracji z używanymi w placówce systemami ochrony sieci,


zestawienie listy wymaganych szkoleń dla kadry inżynierskiej Zamawiającego, która będzie eksploatować system WLAN po implementacji;

b) „Załączniki nr 1do 4 Pomiary i plan instalacji sprzętu w placówce SG”,

zawierający informacje odnoszące się tylko do danej konkretnej placówki objętej projektem i zawiera:

raport z badań warunków propagacji sygnałów radiowych WLAN w placówce Straży Granicznej, wykonanych w kwietniu i maju 2009 roku wraz z planem pokrycia radiowego terenu przejścia granicznego, który powstał na podstawie przeprowadzonych pomiarów

projekt rozbudowy sieci LAN pozwalający na przyłączenie planowanych urządzeń w danej placówce

zaprojektowanie kamery IP w palcówkach SG, pozwalające na zdalną obserwację ruchu pojazdów i ludzi na przejściu granicznym.

zestawienie urządzeń, materiałów i prac koniecznych do wykonanie w danej placówce


2. Istniejąca infrastruktura klienta

2.1. Sieć WAN

Sieć WAN Straży Granicznej jest oparta o usługę IP VPN dostarczaną przez operatora sieci MPLS. Sieć operatorska IP/MPLS umożliwia połączenie lokalizacji klienta w wydzieloną strukturę logiczną w warstwie trzeciej. Technologia zapewnia odpowiednie bezpieczeństwo, obsługę QoS, skalowalność oraz elastyczne podejście do wymagań klienta w zakresie topologii, na przykład możliwości wzajemnego przenikania informacji z różnych VPN-ów. Dołączenie kolejnych lokalizacji ogranicza się do zapewnienia łącza dostępowego i skonfigurowania połączenia router PE (Provider Edge) – router CE (Customer Edge).

Usługa operatorska w każdej lokalizacji typu WK jest zakończona routerem CE z portem Ethernet 100Mb/s. W przypadku lokalizacji typu OSG ze względów niezawodnościowych operator zainstalował dwa routery CE, które dołączone są do dwóch różnych routerów PE. Styk CE – router Straży Granicznej w lokalizacji OSG jest realizowany przy pomocy elektrycznych portów 10/100/1000Mb/s. Węzeł centralny w CWT, będący krytycznym elementem sieci jest dołączony do dwóch routerów CE z portami optycznymi GigabitEthernet o przepustowości 1Gb/s. Na styku router SG – router CE operatora został skonfigurowany dynamiczny protokół routingu, zapewniający wymianę informacji routingowej w sieci.

Dla zapewnienia łączności w ramach systemu telefonii i wideo konferencji IP, dla którego wymagana jest bezpośrednia komunikacja pomiędzy dowolnymi jednostkami WK, OSG i CWT, transmisja pakietów głosowych i wideo odbywa się bezpośrednio poprzez strukturę sieci IP VPN (poza szyfrowanymi tunelami

WKWK

CWT

MPLS CE

MPLS CE

MPLS CE

MPLS CE

MPLS CE

OSG

MPLS VPN

Routery SG

Routery MPLS CE operatora


WK-CWT i WK-OSG), zapewniającej naturalną komunikację typu każdy z każdym. Sygnalizacja dla systemu telefonii IP (np. Call Manager – telefon IP) jest przesyłana poprzez szyfrowane tunele GRE.

W przypadku transmisji danych w ramach sieci Intranet SG, której charakter jest scentralizowany a z drugiej strony wymagana jest poufność, zdefiniowano tunele GRE z szyfrowaniem transmisji. Tunele te zapewniają komunikację z WK bezpośrednio do CWT oraz do OSG. Lokalizacje typu OSG są dołączone tunelami do CWT.

W przypadku sieci typu Extranet, które powinny zostać logicznie oddzielone od sieci Intranet SG, tunele zostały dodatkowo umieszczone w oddzielnych wirtualnych instancjach (VRF-ach), zapewniających separację na poziomie warstwy IP.

W przypadku separowanej sieci dostępu do Internetu zdefiniowano jedynie tunele WK-CWT i OSG-CWT, których drugi koniec został za terminowany na routerze w bloku CPSI, stanowiącym centralny punkt styku z Internetem. Sieć dostępu do Internetu została umieszczona w oddzielnym VRF-ie, co zapewnia separację od sieci Intranet SG.

2.2. Infrastruktura sieciowa na przejściu granicznym

Infrastruktura sieciowa na przejściu granicznym może obejmować:

router Cisco serii 2800/3800, który jest punktem styku między siecią LAN oraz WAN na placówkach,

firewall wyposażone w moduły AIM-IPS,

akceleratory aplikacji – WAAS, który służy do kompresji danych przesyłanych pomiędzy placówkami, a oddziałami oraz CWT. Dzięki temu możliwe jest przesłanie większej ilości danych bez zwiększania wykorzystania pasma,

jeden lub więcej przełączników (). Jako urządzenia core zastosowane zostały urządzenia serii 4500, a na większych placówkach 6500. Urządzeniami dostępowymi są przełączniki serii 4500 oraz 3750. Sporadycznie, w przypadku małych placówek rolę przełącznika może realizować karta NM-16 w routerze.

Sieci IP na placówkach zostały od siebie odseparowane przy użyciu VRF-ów. Nie ma możliwości nawiązania połączenia pomiędzy sieciami Intranet i Internet. Dlatego na firewall-u zostały wydzielone oddzielne konteksty zarządzające ruchem w poszczególnych sieciach. Na urządzeniu ASA jest również wydzielony kontekst pełniący rolę sondy IPS.

Rysunek poniżej pokazuje typową, przykładową topologię połączeń fizycznych na przejściu granicznym:


Router CE (na rysunku Cisco 1841) jest urządzeniem instalowanym i zarządzanym przez providera, którego głównym zadaniem jest udostępnienie styku Ethernet z siecią MPLS, oraz wymiana informacji o trasach IP z routerem w placówce Straży Granicznej (na rysunku Cisco 3845). Router Cisco 3845 jest wyposażony w następujące oprogramowanie i moduły sprzętowe:

porty głosowe ISDN BRI (rozmowy z publiczną siecią telefoniczną), linie analogowe FXS do podłączenia analogowych telefonów i faksów, licencje SRST do podtrzymania funkcji telefonii IP w placówce w przypadku

awarii, porty ISDN BRI do połączeń zapasowych w przypadku awarii głównego łącza, moduły przełączników Ethernet.

Średnie i większe placówki są wyposażone w przełącznik modułowy Ethernet, który jest podłączony do routera przez trunk Ethernet (802.1Q). Sieci VLAN uruchomione na przełączniku LAN posiadają odpowiadający im sub-interfejs po stronie routera tak, aby umożliwić transmisję danych różnego typu (dane, głos, Internet) przez sieć WAN z zachowaniem odpowiedniego poziomu bezpieczeństwa. Placówki wymagające większej ilości portów lub posiadające rozproszone punkty dystrybucyjne posiadają więcej przełączników LAN, podłączanych do przełącznika głównego interfejsem typu trunk L2.

Do przełącznika jest podłączony firewall ASA, którego zadaniem jest kontrola polityki bezpieczeństwa związanej z dopuszczonym ruchem sieciowym. Firewall ASA wyposażony jest w moduł IPS, który jest ustawiony w tryb analizy i wykrywania ataków w przepływającym przez urządzenie ruchu sieciowym.


Do przełącznika dołączony jest również serwer WAAS, poprawiający wydajność aplikacji przesyłających dane przez sieć WAN. Serwer WAAS poprawia ochronę danych, oraz funkcjonowanie kopii zapasowych (backup) i replikacji dla placówek Straży Granicznej w relacjach do centralnego węzła telekomunikacyjnego (CWT) oraz oddziałów Straży Granicznej (OSG).

Próbnik głosowy Cisco 1040A raportuje do aplikacji zarządzającej CUOM/CUSM jakość głosu rozmów telefonicznych prowadzonych na placówce, wskazując administratorom sieci miejsca w których pojawią się problemy.

Dokładna topologia sieci na danej placówce została pokazana w załącznikach.

2.3. Architektura rozwiązania QoS

Architektura rozwiązania QoS w sieci SG określona została poprzez zakupiony kontrakt na poziom usług w sieci operatora usługi IP VPN. Poniższa tabela przedstawia parametry dla poszczególnych klas usług w ramach których zaprojektowany został schemat priorytetyzacji usług.

Wdrożone rozwiązanie w zakresie przepustowości sieci, strat, opóźnień czy jitera pozwala kształtować zachowanie sieci w żądanym zakresie dla świadczenia wszelkich usług dla klientów końcowych z rozróżnieniem na klasy usług czy aplikacji do których należy zaliczyć m.in. aplikacje biznesowe (np. ODPRAWA), telefonia IP czy w końcu ruch Internetowy bez priorytetu.

Wdrożenie objęło głównie brzeg sieci WAN SG. Sieć WAN SG zbudowana została na bazie usługi IP VPN w sieci MPLS operatora TP.

Klasa ruchu

Pasmo Nazwa klasy

Data 50% D3

Premium Data

20% D2

Multimedia 10% D1

Voice 20% RT-VO

Każda klasa usług w sieci Operatora została również określona poprzez odpowiednie markowanie ruchu z podziałem na ruch mieszczący się w zakresie kontraktu i ruch poza kontraktem dla danej klasy. Dla ruchu przekraczającego kontrakt następuje remarkowanie do wartości „poza kontraktem” i ruch przenoszony jest bez gwarancji dostarczenia a w przypadku przeciążenia w sieci Operatora ruch ten jest dropowany. W tabeli 2 zamieszczone są oczekiwane wartości markowania ruchu w ramach kontraktu i poza kontraktem dla każdej z klas usług.


Klasa ruch DSCP in-contract

DSCP out-of-contract

D1 26 (AF31) 28 (AF32)

D2 18 (AF21) 20 (AF22)

D3 10 (AF11) 12 (AF12)

RT-VO 46 -

W pewnym zakresie – głównie dla VoIP pewne mechanizmy zaufania i priorytetyzacji ruchu przeniosły się również w obszar sieci LAN SG.

Wdrożenie rozwiązania QoS w sieci SG bazuje na następujących założeniach:

ruch jest klasyfikowany, markowany i poddawany mechanizmom kształtowania pasma na urządzeniach brzegowych sieci WAN,

mechanizmy QoS zaimplementowane w routerach brzegowych (IOS based) w lokalizacjach typu PT, w switchach 6500 w lokalizacjach typu OSG oraz na routerach 7600 w lokalizacji głównej CWT w bloku WAN agregującym połączenia z całej sieci WAN SG,

klasyfikacja i markowanie ruchu z sieci klienckiej jest zrealizowane w dowolny możliwy sposób m.in poprzez ACL, czy też poprzez akceptację ustawień IPPrec/DSCP w nagłówkach pakietów,

przyjmuje się że ruch przychodzący od strony WAN-u jest zaufany (parametry QoS zostały ustawione po stronie nadawczej).


Schemat poglądowy implementacji QoS

2.3.1. Konfiguracja QoS dla 2800/3800

Dla routerów serii 2800/3800 zdefiniowana została wspólna konfiguracja w zmiennymi parametrami ustawień pasma na wyjściu w zależności od zakontraktowanego pasma na łączu operatorskim. Lokalizacje PT posiadają jeden z poziomów pasma: 0,512 / 1 / 2 / 4 Mbps.

W celu kontroli ruchu wychodzącego zastosowano mechanizm shapingu („wygładzania”) poprzez skonfigurowanie polityki shapingu w ramach policy-child polityki QoS na wyjściu.

2.4. Telefonia IP

Schemat poniżej przedstawia ogólną architekturę nowego podsystemu telefonii IP:

Schemat poglądowy nowego podsystemu telefonii IP


2.4.1. Architektura nowego klastra CUCM

Zgodnie z dokumentacją producenta sprzętu, dla obsługi 12000 telefonów IP konieczne jest rozproszenie funkcji obsługi połączeń telefonicznych między kilka serwerów MCS w ramach klastra Cisco Unified Communications Manager v5.1 (CUCM) ( planowany upgrade do CCM 8 ). Jeden z serwerów MCS pełni funkcję „Publisher” i przechowuje główną kopię bazy informacji CUCM. 4 serwery w funkcji „Subscriber” przechowują swoje kopie bazy CUCM i obsługują połączenia telefoniczne. Dla zapewnienia niezawodności rozwiązania, zastosowana zostanie redundancja 2:1. W przypadku awarii jednego z serwerów w funkcji „Subscriber”, jego pracę przejmie serwer zapasowy. Każdy z dwóch serwerów zapasowych może przejąć pracę w przypadku awarii jednego z dwóch serwerów „Subscriber”.

Podczas normalnej pracy, serwery zapasowe będą zapewniać obsługę CTI i IPMA.

Do obsługi TFTP przewidziano 3 serwery, w tym 2 już istniejące w SG serwery MCS, po ich przeinstalowaniu i włączeniu do nowego klastra.

Architektura przedstawiona jest na schemacie poniżej:

Existing servers after migration

Subscriber 1 Subcriber 2

Backup 12CTI 1IPMA 1

Backup 34CTI 2IPMA 2

TFTP 2ANN 1MOH 2

Subcriber 3

TFTP 3ANN 2CTI 3

Subcriber4

TFTP 1MOH 1

Publisher


2.4.2. Mechanizm kontroli pasma

Klaster Cisco Unified Communication Manager w Straży Granicznej wykorzystuje mechanizm Call Admission Control w celu ochrony jakości głosu na rozmowach telefonicznych prowadzonych przez sieć MPLS WAN. Telefony oraz voice gateway’e są przypisane do określonych lokalizacji, ze zdefiniowanymi wartościami pasma dla głosu, oraz pasma dla rozmów wideo.

Przekroczenie dopuszczonych w lokalizacji wartości pasma przez kolejne połączenie telefoniczne powoduje brak możliwości zestawienia połączenia, oraz komunikat „brak pasma” wyświetlany na telefonie IP.

2.5. Systemy i mechanizmy bezpieczeństwa

W sieci Straży Granicznej jest zainstalowana struktura serwerów Cisco Security MARS. Serwer Global Controller jest zainstalowany w Centralnym Węźle Telekomunikacyjnym w Warszawie (CWT). W oddziałach Straży Granicznej są zainstalowane serwery CS MARS Local Controller.

Serwery lokalne MARS posiadają skonfigurowaną bazę różnych typów urządzeń, które zasilają je informacjami o zdarzeniach.


Z serwerem MARS w sieci Straży Granicznej współpracują następujące urządzenia:

firewall’e Cisco ASA, moduły IPS w zainstalowane w firewall’ach Cisco ASA, karty IDSM do Cisco Catalyst 6500, dedykowane sondy Cisco IPS 4200, routery i przełączniki Cisco w podległych PSG oraz w sieci LAN OSG.


3. Wymagania dla sieci radiowej

Telefonia w sieci Wi-Fi (Voice over Wireless LAN – VoWLAN) umożliwia wykorzystanie przenośnych telefonów w systemie telekomunikacyjnym Straży Granicznej. Przenośne telefony działają podobnie jak przewodowe telefony stacjonarne, umożliwiając użytkownikom dostęp do wszystkich funkcji telefonów do których są przyzwyczajeni. Zaletą technologii VoWLAN jest obniżenie kosztów komunikacji z użytkownikami mobilnymi poprzez wykorzystanie zbudowanej infrastruktury Wi-Fi, unikając opłat związanych z komunikacją przez publiczne sieci operatorów GSM.

Dla użytkowników końcowych sieć VoWLAN może znacząco polepszyć dostępność oraz wykorzystanie czasu pracowników. Uruchomienie funkcji VoWLAN wymaga zaprojektowania sieci bezprzewodowej tak, aby udostępnić najwyższą jakość głosu przez zbudowaną infrastrukturę. Ponieważ aplikacje głosu i danych mają różne atrybuty i wymagania wydajności, niezbędne jest staranne i dokładne zaprojektowanie wdrożenia sieci WLAN. Telefony Wi-Fi wymagają ciągłego, niezawodnego połączenia w trakcie gdy użytkownik przemieszcza się przez obszar pokryty zasięgiem. Aplikacje głosowe mają niską tolerancję na błędy i opóźnienia w sieci. Podczas gdy aplikacje danych akceptują częste opóźnienia pakietów i retransmisje, jakość głosu może znacząco się pogorszyć wraz ze wzrostem opóźnienia o kilka setek milisekund lub małego procenta utraty pakietów. Charakterystyka ruchu aplikacji przesyłających dane typowo zawiera okresy nasilonego ruchu przedzielone okresami przerw, ruch głosowy jest na stałym i relatywnie niskim poziomie pasma. Użycie sieci Wi-Fi dla głosu nie jest złożone, ale obejmuje kilka aspektów które muszą być rozważone. Krytycznym elementem wdrożenia telefonii Wi-Fi jest utrzymanie podobnej jakości głosu, niezawodności i funkcjonalności jaka jest oczekiwana od telefonów przewodowych. Inne kluczowe czynniki wdrożenia telefonii Wi-Fi obejmują obszar pokrycia WLAN, pojemność, jakość głosu (QoS) oraz bezpieczeństwo.

3.1. Opis badanych obszarów

Jednym z najbardziej krytycznych elementów wdrożenia telefonów bezprzewodowych jest zapewnienie wystarczającego pokrycia sygnału WLAN. Sieci Wi-Fi są często początkowo uruchamiane do transferu danych i mogą nie dostarczać wystarczającego pokrycia sygnałem dla użytkowników głosowych. Projekt sieci do transferu danych obejmuje typowo obszary występowania urządzeń przesyłających dane, nie obejmuje innych miejsc takich jak klatki schodowe, pomieszczenia socjalne, wejścia do budynków – wszystkie miejsca gdzie są typowo prowadzone rozmowy telefoniczne.

Jakość sygnału Wi-Fi w obszarach pokrycia jest bardziej istotna dla aplikacji telefonicznych. Zasięg może być wystarczający do aplikacji danych, a nie okazać się wystarczający do wspierania technologii VoWLAN. Większość protokołów komunikacyjnych przesyłających dane ma wbudowane mechanizmy retransmisji utraconych pakietów. Opóźnienia spowodowane retransmisją nie są przeszkodą dla większości aplikacji danych.


Całkowita jakość pokrycia sygnałem jest bardziej istotna dla aplikacji telefonicznych. Natura dwustronnej, prowadzonej w czasie rzeczywistym rozmowy głosowej wymaga poprawnego odbioru pakietów głosowych w czasie pojedynczych dziesiątek milisekund. Nie ma czasu na retransmisję, utracone lub uszkodzone pakiety muszą być pominięte. W obszarach słabego pokrycia sygnałem WLAN wydajność aplikacji danych może być akceptowalna, ale dla aplikacji w czasie rzeczywistym takich jak głos – jakość głosu może być znacząco pogorszona. Kolejnym czynnikiem określającym obszar pokrycia sygnałem jest sposób wykorzystywania urządzeń. Telefony bezprzewodowe są typowo używane w inny sposób niż urządzenia przesyłające dane. Użytkownicy często przemieszczają się w czasie rozmów, podczas gdy użytkownicy terminali danych pozostają w miejscu. Bezprzewodowy głos wymaga pełnej mobilności, podczas gdy do transmisji danych wystarczy zwykła możliwość przeniesienia urządzenia. Telefony bezprzewodowe są typowo noszone w okolicy ciała, wprowadzając dodatkowe tłumienie sygnału radiowego. Urządzenia transmisji danych zwykle są położone, lub trzymane w oddali od ciała. Sposób użycia urządzenia przenośnego wpływa na zmniejszony zasięg telefonii bezprzewodowej WLAN w porównaniu z zasięgiem transmisji danych. Projekt sieci VoWLAN powinien więc zakładać gorsze warunki propagacji sygnału radiowego do urządzeń. Pełny zasięg sygnału radiowego musi mieć miejsce w obszarach budynków używanych przez Straż Graniczną i na ciągach komunikacyjnych używanych przez funkcjonariuszy Straży Granicznej.

3.1.1. Nadmiarowość pokrycia obszarów

Obszary pokrycia sygnałem Wi-Fi muszą na siebie zachodzić, aby spełnić wymagania wdrożenia sieci VoWLAN. Telefony przenośne podejmują decyzję o zmianie punktu dostępowego (roaming) w połowie obszaru pokrytego przez oba punkty dostępowe. Obszar pokrycia musi więc być tak dostosowany, żeby telefon przemieszczającego się użytkownika ma czas na wykrycie następnego punktu dostępowego zanim sygnał z bieżącego stanie się za słaby.

Prawidłowo zaprojektowana sieć Wi-Fi rozmieszcza punkty dostępowe z wystarczającym obszarem wspólnego pokrycia tak, aby nie było przerw ani pustych obszarów między nimi. W rezultacie połączenie telefoniczne nie pogarsza się w żaden sposób przy zmianie punktu dostępowego. Wystarczający obszar wspólnego pokrycia to około 15% do 20% zakładając maksymalną moc transmisji dla punktu dostępowego oraz telefonu WLAN. Taki obszar wspólnego pokrycia działa prawidłowo przy założeniu pieszego poruszania się użytkownika.

Projekt WLAN musi brać pod uwagę ustawienia transmisji, które są skonfigurowane na punktach dostępowych. Transmisja głosu wymaga relatywnie niskich prędkości danych, oraz małej ilości pasma w porównaniu do innych aplikacji. Standard 802.11 określa automatyczne zmiany prędkość połączenia, więc terminal użytkownik oddalającego się od punktu dostępowego przyjmuje mniej skomplikowane ustawienia modulacji i niższe prędkości transmisji w celu przesłania danych.


Aplikacje głosowe w sieci WLAN wymagają takiego skonfigurowania punktu dostępowego, aby niższe prędkości były dopuszczone w celu zwiększenia zasięgu. Jeżeli placówka wymaga konfiguracji punktu dostępowego tak, aby udostępniał wyłącznie wysokie prędkości połączenia, sieć WLAN powinna być tak zaprojektowana aby dostosować się do zmniejszonego obszaru pokrycia przez jeden punkt dostępowy i powinna zawierać dodatkowe punkty dostępowe.

3.1.2. Siła sygnału

Aby dostarczyć niezawodną usługę, sieć bezprzewodowa musi być zaprojektowana aby dostarczać sygnał o dostosowanej sile we wszystkich obszarach używania telefonii IP WLAN. Wymagana siła sygnału dla wszystkich urządzeń bezprzewodowych zależy od pasma 802.11 w którym urządzenie działa, używanej modulacji, oraz prędkości danych włączonych na punktach dostępowych.

Na podstawie tablica poniżej, projekt określa najwyższe prędkości ustawione jako wymagane (mandatory) na punktach dostępowych na 6 Mbps.

3.1.3. Projekt granic obszaru

Generalne zalecenie wdrożenia telefonów VoWLAN 802.11a/b/g określa minimalną moc zmierzoną na granicy obszaru na -67 dBm. Ta wartość sygnału została przyjęta w wykonanych pomiarach. Aby uzyskać stopę błędów na poziomie 1% lub mniej, należy również przyjąć wartość współczynnika sygnał/szum (SNR) na poziomie 25 dB lub więcej.

Określając pożądane obszary pokrycia dla modelu telefonu zarówno poziom sygnału jak i poziom szumu musi być zmierzony.

Pomiar granicznej mocy sygnału -67dBm jest używany od lat dla telefonów 802.11b pochodzących od różnych producentów. Testy wskazują, że ta sama reguła działa prawidłowo w przypadku telefonów 802.11g oraz 802.11a.

Minimalny poziom sygnału w pomiarach na granicy obszarów został określony na -67 dBm.


3.1.4. Wdrożenie standardu 802.11b/g/

Standard 802.11 b/g udostępnia trzy nie zakłócające się, nie nakładające się na siebie kanały – 1, 6, oraz 11. Punkty dostępowe w swoim zasięgu powinny zawsze być ustawione na nie zakłócające się kanały, aby zmaksymalizować pojemność i wydajność infrastruktury bezprzewodowej. Prawidłowa metoda wdrożenia dla sieci 802.11b/g została pokazana na rysunku poniżej:

3.1.5. Wdrożenie standardu 802.11a

Standard 802.11a wykorzystuje pasmo 5,8 GHz. Pomimo, że pasmo maksymalne jest takie jak w 802.11g (54 Mbps) zwiększony zakres częstotliwości radiowych w paśmie 802.11a oferuje wiele kanałów, umożliwiając gęste rozmieszczenie punktów dostępowych i zwiększone pasmo dostępne w placówce. Porównując z zakresem 2,4 GHz, wyższe częstotliwości sygnału RF używane w paśmie 802.11a tłumią silniej sygnał oraz gorzej tolerują przeszkody. Typowo oznacza to, że sieci 802.11a wymagają więcej punktów dostępowych niż sieci 802.11b/g aby dostarczyć ten sam poziom pokrycia sygnałem.


Powinno być wzięte pod uwagę, że propagacja sygnału może wynikać z mocy i anten użytych w punktach dostępowych. Powinna być wykonana inspekcja obiektu (site survey) w paśmie 802.11a biorąca pod uwagę zagadnienia transmisji VoWLAN.

3.1.6. Pojemność obszaru zasięgu punktu dostępowego

Ilość połączeń telefonicznych w paśmie Wi-Fi jest ograniczona przez kilka czynników. Jednym z nich jest charakter medium którego używają punkty dostępowe do komunikacji z klientami VoWLAN, którym jest spektrum radiowe. Spektrum radiowe podlega interferencjom, nie może być chronione przed czynnikami zewnętrznymi jak to jest w przypadku kabla – skrętki Cat 5 lub włókna światłowodowego.

Otwarte, wspólne medium oznacza możliwość wystąpienia dużej utraty pakietów. Większość z utraconych pakietów jest kompensowana przez retransmisje ramek 802.11, co z kolei powoduje jitter. W tym projekcie ilość użytkowników Wi-Fi w placówce jest w przybliżeniu równa ilości telefonów Wi-Fi i jest relatywnie niska (od 5 do 35). Wykonane dotychczas instalacje oraz rodzaj pracy wykonywanej w Placówkach SG gwarantuje, że teraz i w przewidywalnej przyszłości nie będzie więcej niż 4-5 użytkowników Wi-Fi na jednym punkcie dostępowym, więc restrykcje dotyczące pasma nie będą miały miejsca. Jedynym wyjątkiem mogą być sale konferencyjne, ale są one używane sporadycznie i w ich otoczeniu jest zaplanowana większa ilość punktów dostępowych. Usługa dostępu do sieci Internet dla gości świadczona również w tych salach nie jest ważnym elementem pracy placówki.

Sieć WLAN spełnia polskie regulacje prawne (Dz. U. 1 Sierpnia 2007 nr 138, poz. 972, zał. nr 3 “szerokopasmowe systemy transmisji danych ”).

Maksymalna moc sygnału E.I.R.P w paśmie 2400-2483,5 MHz: 100 mW, dla częstotliwości 5150-5350 MHz: 200 mW (wewnątrz pomieszczeń), dla częstotliwości 5470-5725 MHz: 1 W.


Dla punktu dostępowego AP 1142 oznacza to następujące ustawienia: zakres 2,4 GHz, wbudowana antena 4.0dBi, maksymalna moc sygnału14 dBm, zakres 5 GHz, wbudowana antena 3.0 dBi, maksymalna moc sygnału 20 dBm.

Z powodu dostosowania ustawienia mocy na telefonach WLAN zostały przyjęte następujące moce do pomiarów:

zakres 2,4 GHz – 14 dBm (25 mW), zakres 5 GHz – 18 dBm (50 mW).

Zewnętrzny punkt dostępowy AP 1522 posiada następujące parametry:

zakres 2,4 GHz, zewn. antena 5.0dBi, maksymalna moc sygnału14 dBm, zakres 5 GHz, zewn. antena 8.0 dBi, maksymalna moc sygnału 22 dBm.

Z powodu dostosowania ustawienia mocy na telefonach WLAN zostały przyjęte następujące moce do pomiarów:

zakres 2,4 GHz – 14 dBm (25 mW), zakres 5 GHz – 16 dBm (40 mW).

Zasięg punktów dostępowych powinien być dobrany tak, aby dopasować sieć WLAN do wydajności klientów sieci i aplikacji które są na nich uruchomione. Projektowany system jest jedynym systemem WLAN który będzie używany przez Straż Graniczną na terenie obiektów.

Minimalny poziom SNR na podstawie którego zostały obrysowane obszary zasięgu został wyznaczony na 25 dB. Jeżeli wskaźnik SNR osiągał wartość 25 dB przy sile sygnału mniejszej niż -67 dBm, to miejsce było uznawane za granicę zasięgu.

Obszary zasięgu zostały wyznaczone przy założeniu 20% obszaru nakładania się stref zasięgu sąsiadujących Access Point’ów.

W trakcie ustalania miejsc rozlokowania punktów dostępowych WLAN, Access Point 1130AG został ustawiony na moc 14 dBm (25 mW). Test transmisji był wykonywany na prędkości 11 Mbps, która była ustawiona na jako obowiązująca, niższe prędkości były wyłączone. Moc Access Pointa 1520 została ustawiona na 16 dBm (30 mW).

Po wykonaniu pomiarów (przy zainstalowaniu radiowego punktu dostępu we wstępnie proponowanych miejscach instalacji) można określić rzeczywistą, optymalną lokalizację urządzeń dostępowych oraz określić ich potrzebną ilość.

3.1.7. Dynamic Transmit Power Control (DTPC)

Większość producentów punktów dostępowych stosuje mechanizm dynamicznego sterowania mocą sygnału (dynamic transmit power control).

Za pomocą tego mechanizmu punkt dostępowy negocjuje moc wyjściową z klientem sieci WLAN. Zapobiega to wystąpieniu efektu jednostronnego głosu, w przypadku konfiguracji mocy pokazanej jak na rysunku poniżej:


DTPC pozwala telefonowi IP WLAN automatycznie dostosować moc do mocy punktu dostępowego. W przykładzie pokazanym na powyższym rysunku telefon zmieni moc z 5 mW do 100 mW (jak taki zakres mocy jest na nim osiągalny). Maksymalne skonfigurowane moce punktów dostępowych nie będą wyższe niż moc urządzeń klienckich (rekomendowany poziom sygnału to 25 mW).

3.1.8. Interferencje

Interferencje w sieci bezprzewodowej mogą pochodzić z wielu źródeł. Kuchenki mikrofalowe, urządzenia Bluetooth, telefony bezprzewodowe, bezprzewodowe kamery wideo, detektory ruchu, wrogie punkty dostępowe są wśród wielu potencjalnych źródeł zakłóceń spektrum radiowego. Generalnie urządzenia, które używają lub wysyłają sygnały RF w określonym obszarze pokrycia mogą być potencjalnym źródłem niepożądanych interferencji. Urządzenia – analizatory spektrum mogą być wykorzystane do odnajdywania źródeł interferencji. Zlokalizowane źródła jeżeli jest to możliwe należy wynieść poza obszar działania sieci. Możliwa jest też zmiana kanału ustawionego na urządzeniu zakłócającym tak, aby nie kolidował z pobliskimi punktami dostępowymi. Urządzenia wysyłające sygnały radiowe powinny mieć wstępną akceptację działu IT zarządzającego siecią WLAN zanim zostaną zainstalowane na placówce.

3.1.9. Rozmieszczenie anten, rozchodzenie sygnału WLAN

W środowiskach 802.11a/b/g efekt “multipath distortion” jest formą interferencji sygnału RF, która zachodzi w przypadku, gdy sygnał emitowany z punktu dostępowego ma więcej niż jedną ścieżkę pomiędzy nadajnikiem i odbiornikiem, co powoduje odbiór wielu sygnałów na odbiorniku. Zdarza się to, gdy sygnał radiowy jest odbijany od fizycznych barier takich jak ściany metalowe, sufity, inne elementy konstrukcyjne i jest częstym problemem w środowisku fabryk i magazynów.

Aby zapewnić optymalną jakość głosu, jest rekomendowane użycie punktów dostępowych działających w takim środowisku, których konstrukcja tolerujące ten efekt poprzez rozwiązania zastosowane zarówno po stronie odbiornika jak i nadajnika sygnału. Zewnętrzne anteny ułatwiają dodatkowo kompensację tego efektu po ich prawidłowej instalacji. Zewnętrzne anteny powinny być oddzielone od siebie o około 10-15 cm.. Nie powinny być umieszczane w pobliżu dachów metalowych, ścian, innych metalowych elementów konstrukcyjnych, gdyż wzmocni to efekt multipath distortion. Anteny powinny być umieszczone tak, aby większość klientów sieci znajdowała się w ich linii widoczności (line of sight - LOS). Powinny być przestrzegane dodatkowe zalecenia producenta odnośnie wyboru i umieszczenia anten tak, aby uniknąć degradacji sygnału.


3.2. Wymagane pasmo zagregowane i per-użytkownik

Sieci 802.11 stanowią współdzielone medium, w których dostęp klientów działa zgodnie z zasadą CSMA/CA. Istotne jest oszacowanie potrzeb klienta tak, aby rozmieszczenie punktów dostępowych i prędkości dostępu do sieci były zgodne z jego wymaganiami.

Wykorzystanie pasma przez aplikację odprawy granicznej zostało zmierzone na poziomie 100 kbps dla 1 użytkownika. Taka wielkość pozwala na komfortową pracę, aplikacja została dostosowana do przenośnych terminali które posiadają niewielki ekran i nie wyświetlają wielu informacji, dane które są przesyłane do centralnych serwerów są związane z paszportem osoby przekraczającej granicę i nie mają dużych rozmiarów. Urządzenia korzystają również z sieci GSM GPRS, która zaspokaja ich potrzeby. Przy minimalnej prędkości połączenia z siecią WLAN ustawioną na 11 Mbps oznacza to pracę 30 użytkowników aplikacji odprawy granicznej z pasmem ok. 200 kbps. W rzeczywistych warunkach placówki na jednym punkcie dostępowym będzie pracować do 5 terminali, przy czym praca interaktywna spowoduje, że okresy bezczynności i transmisji danych użytkowników będą się rozkładały w czasie wymagając mniejszego pasma niż 5 x 100 kbps. Pozostawia to dość miejsca na inne aplikacje WLAN, w tym transmisję głosu.

Planowana przez klienta ilość telefonów WLAN na placówkę, oraz analiza dotychczasowego wykorzystania telefonów pracujących w systemie Cisco Unified Communication Manager 5.1 ( planowany upgrade do CCM 8 ) (billing telefoniczny) pozwalają na oszacowanie maksymalnej ilości jednoczesnych rozmów telefonicznych prowadzonych z jednego AP na cztery.

Aplikacja PTT wysyła strumień multicastów UDP na najniższej prędkości podstawowej. Istotne jest podniesienie tej prędkości do 11 Mbps, tak, aby nie spowolniła w sposób istotny pracy sieci. Obecnie obserwowane wykorzystanie pasma radiowego wraz z założeniem ok. 100% wzrostu ruchu w związku z zainstalowaniem nowych urządzeń PTT pozwala na oszacowanie średniego zajęcia pasma na 10 kbps, maksymalne wykorzystywane pasmo to 300 kbps. Planowane są dwie grupy milticastowe na placówkę.

3.3. Nadmiarowość zasięgu pracy fal radiowych

Niniejszy projekt zakłada wykonanie instalacji przy wykorzystaniu minimalnej niezbędnej ilości urządzeń dostępowych. Zakłada się maksymalne wykorzystanie topologii obszarów tak, aby problemy z zasięgiem systemu radiowego, w przypadku awarii jednego z punktów dostępu, były minimalne, jeżeli nie żadne. Oczywiście, w przypadku wystąpienia takiej awarii, jakość połączeń bezprzewodowych, na obszarach objętych bezpośrednio niedziałającym punktem dostępu, będzie gorsza – może nastąpić wyraźne zmniejszenie wydajności urządzeń (prędkości transmisji danych). Pracę będzie można jednak kontynuować.

Proponowane rozwiązanie jest kompromisem między całkowitymi kosztami systemu, a ewentualnymi problemami związanymi z awarią pojedynczego punktu dostępu. Przyjęto, że awaria pojedynczego punktu dostępowego nie spowoduje wyraźnych utrudnień w korzystaniu z systemu.


4. Pomiary propagacji fal radiowych

W celu prawidłowego zaplanowania ilości i rozmieszczenia punktów dostępu radiowego, niezbędne jest przeprowadzenie pomiarów propagacji fal radiowych. Site Survey jest procesem pomiarowym pozwalającym na określenie propagacji fal radiowych w danym środowisku produkcyjnym i pozwala na ustalenie obszarów objętych zasięgiem działania systemu radiowego przy wstępnym założeniu umiejscowienia radiowych punktów dostępu.

Wykonanie tych pomiarów jest niezbędne do wyznaczenia optymalnych miejsc instalacji radiowych punktów dostępu i zminimalizowania ilości potrzebnych urządzeń radiowych.

4.1. Metodologia pomiarów

Pomiary propagacji fal radiowych zostały wykonane w trakcie normalnej pracy przejścia granicznego. Na przejściu odbywał się ruch samochodów, autokarów, samochodów ciężarowych, osób pieszych i pociągów. W godzinach pracy funkcjonariuszy Straży Granicznej istnieją pomieszczenia, w których mogą odbywać się spotkania większej ilości osób (ok. 10 – 40). W trakcie pomiarów nie przebywali w nich ludzie, a w części z nich przeprowadzano remont. We wszystkich tych pomieszczeniach lub w ich bezpośredniej bliskości zostały przewidziane do instalacji Access Point’y.

4.2. Urządzenia wykorzystane przy pomiarach

Pomiary wykonano przy pomocy oprogramowania AirMagnet Survey, który jest uznanym narzędziem przeznaczonym do pomiarów i projektowania sieci bezprzewodowych w standardzie Wi-Fi. Jako urządzenia odbiorczego użyto notebook-a z kartą Cisco Aironet AIR-CB21AG-E-K9.

Pomiary zakłóceń nie pochodzących bezpośrednio od sieci WLAN (np. od telefonów bezprzewodowych, kuchenek mikrofalowych, innych czynników) był wykonany za pomocą oprogramowania Cisco Spectrum Expert, karty Cisco Spectrum Expert Sensor WiFi AIR-CSCO-SE-WIFI-C oraz wbudowanej w notebooka karty Dell 1510 Wireless-N.

Do pomiarów wewnętrznych wykorzystano Access Point’a Cisco Aironet 1140 (a/b/g). Pomiary zewnętrzne wykonano przy użyciu Cisco Aironet 1520 z dookólnymi antenami.


4.2.1. Cisco Aironet 1140 Series Access Point

Do pomiarów wewnątrz budynków został wykorzystany AP 1140.

Cisco Aironet 1140 Series Access Point oferuje wydajność standardu 802.11n, może być zasilany z przełączników Cisco stosowanych w SG wyposażonych w funkcję PoE 802.3af.

Podstawowe informacje o modelu 1140”:

Cecha Parametry

Cechy związane z 802.11n Version 2.0 • 2x3 multiple-input multiple-output (MIMO), 2

strumienie “spatial”

• Maximal ratio combining (MRC)

• kanały 20- i 40-MHz

• prędkości PHY do 300 Mbps

• agregacja pakietów: A-MPDU (Tx/Rx), A-MSDU (Tx/Rx)

• 802.11 dynamic frequency selection (DFS) (Bin 5)

• wsparcie dla Cyclic shift diversity (CSD)

Dostępne ustawienia mocy nadajnika

2.4GHz 20 dBm (100 mW) 17 dBm (50 mW) 14 dBm (25 mW) 11 dBm (12.5 mW) 8 dBm (6.25 mW) 5 dBm (3.13 mW) 2 dBm (1.56 mW) -1 dBm (0.78 mW)

5GHz 20 dBm (100 mW) 17 dBm (50 mW) 14 dBm (25 mW) 11 dBm (12.5 mW) 8 dBm (6.25 mW) 5 dBm (3.13 mW) 2 dBm (1.56 mW) -1 dBm (0.78 mW)


Zintegrowana antena • 2.4 GHz, wzm. 4.0 dBi, pozioma wiązka 360°

• 5 GHz, wzm. 3 dBi, pozioma wiązka 360°

Wymiary (sz. x dł. x wys.) • Access point (bez mocowań): 22.1 x 22.1 x 4.7 cm

Waga • 1.04 kg

Warunki pracy • przechowywanie, temperatura: -30 to 85°C

• praca, temperatura: 0 to 40°C

• praca, wilgotność: 10 to 90% procent (bez zj. kondensacji)

Opcje zasilania • 802.3af Przełącznik Ethernet

• Cisco AP1140 Power Injectors (AIR-PWRINJ4=)

• Cisco AP1140 Local Power Supply (AIR-PWR-A=)

Pobierana moc • AP1140: 12.95 W

4.2.2. Cisco Aironet 1522 Lightweight Outdoor Mesh Access Point

Do pomiaru na zewnątrz został wykorzystany AP 1522.

Cisco Aironet 1522 posiada dwu-pasmowe radio zgodne z IEEE 802.11a i 802.11b/g.

Są dostępne dla tego AP różne możliwości podłączenia do sieci Ethernet – wbudowany port Gigabit Ethernet (1000BaseT), wkładki SFP dla podłączeń światłowodowych, lub interfejs dla modemu kablowego.


AP 1522 wspiera następujące wkładki SFP:

GLC-FE-100BX-URGD= 1310 nm TX / 1550 nm RX, 10 km. pojedyncze włókno jednomodowe (SMF)

Zgodnie z dokumentem “Cisco 100-Megabit Ethernet SFP Modules Compatibility Matrix” http://www.cisco.com/en/US/docs/interfaces_modules/transceiver_modules/compatibility/matrix/OL632702.html mogą być stosowane w Cat 6500 WS-X6148-FE-SFP, lub w Cat 4500 WS-X4248-FE-SFP

GLC-LX-SM-RGD= 1300 nm, odl. od 550 m na kablu MMF do 10 km (wymaga specjalnych patchcordów conditioning) na kablu SMF

1000BASE-LX/LH SFP transceiver module for MMF and SMF, 1300-nm wavelength, industrial Ethernet

GLC-SX-MM-RGD= 850nm, odl. od 220 do 550 m. zależnie od typu kabla MMF

1000BASE-SX SFP transceiver module for MMF, 850-nm wavelength, industrial Ethernet

Opcje zasilania to 48 VAC, 12 VDC, kabel zasilający 230V, zasilanie PoE oraz wewnętrzna bateria o pojemności 6Ah w celu podtrzymania pracy w przypadku chwilowej awarii zasilania.

Anteny dla serii Cisco Aironet 1520:

Anteny 2.4-GHz

AIR-ANT2450V-N = 2.4-GHz, 5-dBi Omnidirectional Antenna with N Connector

AIR-ANT2480V-N = 2.4-GHz, 8.0-dBi Omnidirectional Antenna with N Connector

Anteny 4.9 / 5-GHz

AIR-ANT5180V-N = 4.9 to 5.8-GHz, 8.0-dBi Omnidirectional Antenna with N Connector

AIR-ANT5114P-N = 4.9 to 5.8-GHz, 14.0-dBi Patch with N Connector

AIR-ANT5117S-N = 4.9 to 5.8-GHz, 17.0-dBi 90 degree sector with N Connector

AIR-ANT58G10SSA-N =

5.8-GHz, 9.5-dBi Sector Antenna with N Connector


Kluczowe cechy dla których został wybrany model AP 1522:

podwójne pasmo radiowe (802.11a, 802.11b/g), poprawione czułość i zasięg radia 802.11b/g, funkcja Maximal Ratio

Combining (MRC), 3 anteny odbierające sygnał, podłączenie do sieci LAN 1000BaseT lub światłowodowe, różne opcje zasilania, port wychodzący 802.3af, który może być wykorzystany np. do kamery IP z

taką opcją zasilania, obudowa certyfikowana NEMA 4X (trudne środowiska zewnętrzne), szeroki zakres temperatur pracy: -40 to 55°C, odporność na wiatr stały 160 km/h, porywy wiatru do 260 km/h.

W wersji na rynek europejski AP obsługuje następujące zakresy częstotliwości:

5.470-5.725 GHz 11 kanałów,

2.412-2.472 GHz 13 kanałów.

4.3. Karta Cisco Spectrum Expert

Sprawna praca urządzeń w sieci WLAN wymaga nie tylko silnego sygnału pochodzącego z zainstalowanych urządzeń AP. Niezbędne jest zaprojektowanie odpowiedniego współczynnika SNR, na poziomie 25 dB. Jeżeli poziom zakłóceń pochodzi od obecnie wykorzystywanych urządzeń w SG konieczna jest identyfikacja tych urządzeń. Wykryte urządzenia zakłócające pasma 802.11a/b/g powinny zostać wyłączone lub ustawione w taki sposób, żeby ich wpływ na sieć radiową był zminimalizowany. Jeżeli nie jest to możliwe, projekt ma uwzględnić ograniczoną dostępność pasma radiowego zwiększając ilość planowanych AP w celu podniesienia wartości współczynnika SNR, lub założyć wykorzystanie transmisji na innych kanałach, jeżeli są one dostępne. Niezbędny jest więc pomiar obecnego środowiska radiowego na placówkach, który został wykonany za pomocą karty i oprogramowania Cisco Spectrum Expert.

Oprogramowanie CSE posiada wzorce sygnałów klasyfikujące zakłócenia:


802.11 a/b/g/n z wykorzystaniem wbudowanego lub zewnętrznego chipsetu Wi-Fi,

Bluetooth SCO, ACL, telefony bezprzewodowe DECT, telefony bezprzewodowe TDD, analogowe telefony bezprzewodowe, analogowe sygnały video (NTSC, PAL, SECAM), kuchenki mikrofalowe, radary.

4.3.1. Oprogramowanie Airmagnet Site Survey, karta Cisco AIR-CB21AG-E-K9

Oprogramowanie AirMagnet Survey jest jednym z najbardziej odpowiednich narzędzi do zaprojektowania i wdrożenia sieci WLAN. AirMagnet Survey pozwala gromadzić informacje o aktualnej sile sygnału, wykorzystana w czasie pomiarów funkcja active survey podłącza urządzenie pomiarowe do AP oraz wymienia dane z AP w celu emulacji zachowania przyszłych użytkowników sieci WLAN. Pozwala to dokładnie zobrazować jakość połączenia rzeczywistych klientów w różnych miejscach, biorąc pod uwagę efekty rozchodzenia się sygnału po wielu ścieżkach z odbić (multipath), prędkości połączenia, ilości retransmisji oraz utraty pakietów.

AirMagnet Survey posiada listę kart zgodnych oraz preferowanych. Do pomiarów została wybrana karta AIR-CB21AG-E-K9 będąca na liście kart preferowanych przez to oprogramowanie.


4.3.2. Pozostałe elementy zestawu pomiarowego

AP 1522 i 1140 wymagają środowiska Cisco Unified Wireless, którego elementem jest kontroler WLC sterujący pracą AP. Do pomiarów został wykorzystany kontroler Cisco 2106.

Utworzone zostało przenośne stanowisko pomiarowe, składające się z wózka, akumulatora, przetwornicy 12V/230VAC, zasilacza PoE do AP 1522, wysięgnika i masztu do umocowania AP. Pomiary AP 1522 zostały przeprowadzone na wysokości uniesienia anten 4 m. Pomiary AP 1140 były wykonywane z uniesieniem AP na wysokość sufitu podwieszanego lub zwykłego.

4.4. Procedura pomiarowa

Pomiar wykonywano przy pomocy funkcji Active Survey programu AirMagnet Survey. Pozwoliło to na dokładne odwzorowanie rzeczywistych warunków pomiaru, ponieważ oba urządzenia pomiarowe w trakcie pomiaru pozostawały w stanie połączenia.

W każdym punkcie pomiarowym wykonano po przynajmniej jednym pomiarze w zakresie pasma 802.11bg oraz przynajmniej jednym w zakresie pasma a.

Minimalny poziom sygnału na podstawie którego zostały obrysowane obszary zasięgu dla pasma 802.11bg wyznaczono na -67 dBm.

Dla pomiarów w zakresie 802.11a promień zasięgu został ustalony na -72 dBm, różnica siły sygnałów pomiędzy tymi samymi kanałami została ustalona na 19 dBm.

Założenia pomiarów w paśmie 802.11b/g/n są zgodne z zaleceniami producenta (Cisco Systems) podanymi dla telefonów CP 7921 oraz CP 7925 dla sieci WLAN wspierającej poprawną pracę i roaming tych urządzeń.

Założenia pomiarów w paśmie 802.11a/n zostały ustalone z klientem dla pozostałych, innych urządzeń pracujących w sieci WLAN. Klient dopuszcza również uruchomienie telefonów CP 7925 w tym zakresie, akceptując informację, że obszary 802.11a/n nie spełniają kryteriów zasięgu sieci WLAN podanych przez producenta.


Zaprojektowana sieć WLAN stosuje się do obowiązujących w Polsce regulacji dotyczących (Dz. U. z dnia 1 sierpnia 2007 r. nr 138, poz. 972, Aneks nr 3 „szerokopasmowe systemy transmisji danych”) maksymalna moc sygnału E.I.R.P. w paśmie 2400-2483,5 MHz wynosi 100 mW, dla częstotliwości 5150-5350 MHz 200 mW (zakres do użycia wewnątrz pomieszczeń), dla częstotliwości 5470-5725 MHz 1 W.

Dla AP 1142 oznacza to:

Zakres 2,4 GHz, antena wbudowana 4.0dBi, maks. poziom sygnału 14 dBm,

zakres 5 GHz, antena wbudowana 3.0 dBi, maks. poziom sygnału 20 dBm.

Ze względu na dopasowanie mocy do telefonów WLAN zostały przyjęte następujące wartości mocy wysyłanej:

zakres 2,4 GHz – 14 dBm (25 mW),

zakresy 5 GHz – 17 dBm (50 mW).

Zewnętrzny AP 1522 posiada następujące cechy radiowe:

zakres 2,4 GHz, antena zewnętrzna 5 dBi, maks. poziom sygnału 14 dBm,

zakres 5 GHz, antena zewnętrzna 8 dBi, maks. poziom sygnału 22 dBm.

Ze względu na dopasowanie mocy do telefonów WLAN zostały przyjęte następujące wartości mocy wysyłanej:

zakres 2,4 GHz – 14 dBm (25 mW)

zakresy 5 GHz – 16 dBm (40 mW)

Zasięg punktów dostępowych powinien być dobrany tak, aby dopasować sieć WLAN do wydajności klientów sieci i aplikacji które są na nich uruchomione. Placówka SG przekazała informację, że projektowany system jest jedynym systemem WLAN który będzie przez nią używany.

Minimalny poziom SNR na podstawie którego zostały obrysowane obszary zasięgu został wyznaczony na 25 dB. Jeżeli wskaźnik SNR osiągał wartość 25 dB przy sile sygnału mniejszej niż -67 dBm, to miejsce było uznawane za granicę zasięgu.

Obszary zasięgu zostały wyznaczone przy założeniu 20% obszaru nakładania się stref zasięgu sąsiadujących Access Point’ów.

W trakcie ustalania miejsc rozlokowania punktów dostępowych WLAN, Access Point 1140 został ustawiony na moc 14 dBm (25 mW). Test transmisji był wykonywany na prędkości 11 Mbps, która była ustawiona na jako obowiązująca, niższe prędkości były wyłączone. Moc Access Pointa 1520 została ustawiona na 16 dBm (30 mW).

Po wykonaniu pomiarów (przy zainstalowaniu radiowego punktu dostępu we wstępnie proponowanych miejscach instalacji) można określić rzeczywistą, optymalną lokalizację urządzeń dostępowych oraz określić ich potrzebną ilość.


4.5. Kryteria oceny jakości propagacji fal radiowych

Standard IEEE802.11b ma wbudowany mechanizm obniżający prędkość transmisji w przypadku pogorszenia się jakości sygnału radiowego. Modyfikacja prędkości transmisji przebiega automatycznie. Na podstawie ilości powtórzeń pakietów, urządzenie samodzielnie zmienia parametry transmisji.

Pokrycie zasięgiem radiowym można uznać za bardzo dobre, jeżeli transmisja przebiega bez błędów, urządzenie nie gubi pakietów kontrolnych wysyłanych przez punkt dostępowy oraz urządzenie klienckie pracuje stabilnie, na poziomie 11Mbit/s prędkości transmisji.

Pokrycie nadmiarowe (czyli zasięg radiowy w przypadku awarii jednego z punktów dostępu), dopuszcza pracę urządzeń na poziomie 5.5Mbit/s prędkości transmisji.

Sam standard uwzględnia również pracę systemu na poziomie 2Mbit/s i 1Mbit/s prędkości transmisji. Zapas ten gwarantuje poprawną pracę systemu na obszarze działania urządzeń radiowych, założonym w trakcie projektowania infrastruktury.

Ze względu na zakładaną instalację telefonii IP należy podnieść wymagania. Proponowaną dolną prędkością połączenia z urządzeniami Access Point jest 11 Mbps, ze względu na ograniczenia spowodowane możliwym rozmieszczeniem Access Point dla obszarów otwartych, należy rozważyć zmniejszenie minimalnej prędkości dla wybranych zewnętrznych Access Point’ów do prędkości 5,5 lub 2 Mbps, przy założeniu że będą na tych prędkościach pracowały przenośne terminale nie przesyłające dużej ilości danych.


5. Projekt warstwy logicznej systemu WLAN

Możemy wyróżnić dwa ogólne rodzaje systemów budowy sieci radiowych. Pierwszym rodzajem jest sieć zbudowana ze zbioru Access Point’ów pracujących w pod tym samym SSID (w tej samej sieci), ale posiadających autonomiczną konfigurację. Drugim rodzajem sieci jest system oparty o kontrolery sieci radiowej oraz “lekkie” Access Pointy. W tym przypadku konfiguracja, oraz zarządzanie uprawnieniami i autoryzacją użytkowników realizowane jest centralnie a punkty dostępowe służą jako media transmisyjne nie ingerujące w elementy zarządzania.

Zastosowanie drugiego rozwiązania znacznie ułatwia i obniża koszty zarządzania siecią oraz zwiększa możliwości całego systemu pod kątem niezawodności i bezpieczeństwa. Dzięki centralnej autoryzacji klientów możliwy jest szybki roaming klienta pomiędzy poszczególnymi AP bez konieczności ponownej autoryzacji w każdym z punktów dostępowych. Centralne składowanie konfiguracji oraz oprogramowania pozwala na dokonywanie zmian bez konieczności powielania tych samych czynności, co ułatwia kontrolę i zmniejsza prawdopodobieństwo powstania luk w zabezpieczeniach. System pozwala ponadto na centralne zarządzanie pasmem radiowym i optymalizację działania do zmieniających się warunków propagacji sygnału czy zakłóceń. W związku z opisanymi wyżej zaletami i wymaganiami SIWZ projekt zakłada że projekt sieci WLAN w placówkach SG będzie realizowany w architekturze z centralnym zarządzaniem i „lekkimi” AP.

Na system WLAN składa się kilka podsystemów, które zostaną omówione w następnych punkach rozdziału:

system dostępu radiowego WLAN,

system zarządzania siecią radiową,

system bezpieczeństwa sieci radiowej.

5.1. System dostępu radiowego WLAN

Zaprojektowany systemu WLAN zgodnie z założeniami powinien spełniać następujące zadania:

umożliwiać podłączenie bezprzewodowych urządzeń klienckich pracujących w zakresach 802.11b/g/n oraz 802.11a,

umożliwiać podłączenie bezprzewodowych telefonów IP pracujących w zakresach 802.11b/g oraz 802.11a, sieć WLAN ma obsługiwać standard 802.11e (WiFi Multimedia), instalacja ma obsługiwać inne mechanizmy QoS (802.1p, Call Admission Control) tworząc sieć gotową do przesyłania głosu (VoWLAN),

punkty dostępowe muszą obsługiwać Dynamic Frequency Selection (DFS), oraz Transmit Power Control (TPC),


punkty dostępowe wewnętrzne i zewnętrzne muszą obsługiwać jeden z mechanizmów umożliwiających poprawny odbiór sygnału o niskiej mocy pochodzącego od przenośnych urządzeń (MISO, MIMO),

sieć WLAN zainstalowana w obszarze placówki SG ma obsługiwać szybki roaming telefonów IP pomiędzy punktami dostępowymi, w którego trybie nie zachodzi ponowna pełna autentykacja z systemem uwierzytelniania (serwer AAA),

system ma obsługiwać mechanizmy bezpieczeństwa zgodne z WPA/WPA2, oraz 802.11i,

system ma obsługiwać mechanizmy uwierzytelniania 802.1x z EAP (PEAP, EAP-TLS, EAP-FAST, EAP-TTLS),

obejmować zasięgiem miejsca gdzie ww. urządzenia są wykorzystywane, wraz z obszarami gdzie przemieszczają się wyposażeni w nie funkcjonariusze Straży Granicznej wykonujący obowiązki służbowe,

system ma działać w architekturze zcentralizowanej, punkty dostępowe mają być zarządzane przez centralny kontroler WLAN w danej placówce, z zaprojektowaną redundancją N+1. System ma obsługiwać tunelowanie ruchu klientów pomiędzy punktem dostępowym a kontrolerem, oraz centralne terminowanie ruchu do sieci LAN,

system WLAN ma umożliwiać obsługę do 16 identyfikatorów SSID, każda z sieci WLAN SSID ma posiadać możliwość ustawienia odrębnej polityki bezpieczeństwa,

system umożliwi profilowanie użytkowników w zakresie umieszczenia ruchu w odpowiedniej sieci VLAN i przydzielenia listy kontroli dostępu (ACL),

punkty dostępowe ustawione w trybie obsługi ruchu od klientów WLAN muszą mieć możliwość monitorowania pasma radiowego,

punkty dostępowe dołączone do sieci LAN i zasilone, będą automatycznie wykrywane i konfigurowane z poziomu kontrolera lub oprogramowania zarządzającego,

punkty dostępowe będą sterowane w sposób, który umożliwi:

o dynamiczną zmianę kanałów radiowych w przypadku zakłóceń,

o kontrolę i optymalizację mocy w celu uzyskania optymalnego pokrycia radiowego: wykrywanie i eliminacja obszarów bez pokrycia, automatyczny dobór kanałów, równoważenie obciążenia.

punkty dostępowe wewnętrzne będą podłączone siecią strukturalną do sieci LAN placówki, zasilane z PoE (802.3af) z posiadanych przez Straż Graniczną przełączników firmy Cisco Systems,

system ma współpracować z obecnie zainstalowanymi w Straży Granicznej systemami IPS/IDS (Cisco MARS, moduły AIP-SSM-XX, moduły serwisowe IDSM),

punkty dostępowe zewnętrzne będą mogły pracować w zwykłym trybie pracy (podłączone do sieci LAN za pomocą medium światłowodowego lub skrętki), lub


trybie w którym ruch od klientów bezprzewodowych 802.11 b/g jest przesyłany do sieci LAN przez „backhaul” pracujący w standardzie 802.11a (tryb MESH). W tym trybie będzie działać funkcjonalność automatycznego formowania optymalnej topologii sieci logicznej (z punktu widzenia interferencji, przepływności, liczby węzłów), oraz przełączania na inny kanał radiowy w przypadku wystąpienia zakłóceń z zewnątrz uniemożliwiających transmisję na aktualnie używanym kanale,

punkty dostępowe zewnętrzne będą posiadać następujące parametry minimalne:

o bateria podtrzymująca pracę w przypadku zaników zasilania,

o zakres pracy od -40 OC do 55 OC,

o zgodność z normami IP66, oraz NEMA4X,

o odporność na wiatr stały 130 km/h, porywy wiatru do 225 km/h.

system ma obsługiwać ruch multicastowy optymalizując wykorzystanie pasma,

ma być możliwość współpracy z urządzeniami i oprogramowaniem służącym do usług lokalizacji

ma być możliwa obsługa dostępu gościnnego w trybie autentykacji „Web” (przekierowanie przeglądarki użytkowników do strony logowania którą można spersonalizować, możliwość kreowania kont gości, określenie czasu ważności konta, możliwość tunelowania ruchu gości do centralnego kontrolera znajdującego się w wydzielonej strefie DMZ w węźle centralnym),

system dostępu radiowego będzie zgodny z dyrektywą UE 1999/EC/05.

5.2. Topologia warstwy logicznej sieci WLAN

Ze względu na planowane uruchomienie szybkiego roamingu, zalecane jest, aby wszystkie punkty dostępowe w danej lokalizacji były obsługiwane przez jeden kontroler. Redundancja polega na wykorzystaniu mechanizmu active-standby. Zapasowy kontroler powinien być wyposażony w odpowiednią liczbę licencji do obsługi wszystkich punktów dostępowych w przypadku awarii głównego kontrolera. Instalacja w placówce składa się z pary redundantnych kontrolerów WLC, oraz z punktów dostępowych. Urządzenia podłączone są do sieci LAN.


5.2.1. Redundancja (high availability)

Zcentralizowane sieci WLAN są projektowane tak, aby działały niezawodnie jako system w którym kontrolery komunikują się między sobą, punkty dostępowe komunikują się z kontrolerami, oraz między sobą. Projekt sieci WLAN bierze pod uwagę koszty wdrożenia, używając architektury redundancji typu N+N lub N+1. Planując sieci VoWLAN tak, aby zminimalizować problemy z roamingiem. należy wyposażyć wszystkie placówki w architekturę redundacji kontrolerów WLC typu 1+1, gdzie wszystkie punkty dostępowe są podłączone do aktywnego kontrolera. W przypadku jego awarii, punkty dostępowe automatycznie odszukują kontroler zapasowy tak, aby utrzymać usługę aktywną. W przypadku awarii punktu dostępowego kontrolery WLAN automatycznie dostosowują moc przyległych punktów dostępowych tak, aby pokryć sygnałem obszar awarii przy zachowaniu ograniczonej mocy radia (zbyt duża moc powodowałaby problemy jednostronnego głosu w telefonach VoIP). W przypadku awarii punktu dostępowego powinien on zostać wymieniony jak najszybciej.

5.3. Kontrolery Wireless LAN Controller

Instalacja sieci stosuje kontrolery Wireless LAN Controller, których głównym zadaniem jest konfigurowanie punktów dostępowych pracujących w trybie LWAPP/CAPWAP, oraz obsługa transmisji danych klientów WLAN na styku z siecią przewodową. Taki model eliminuje rozproszenie (złożoność) sieci i umożliwia administratorowi łatwy nadzór i konfigurację sieci WLAN. Projekt przewiduje zastosowanie najnowszych urządzeń zaprojektowanych do wydajności sieci 802.11n. Urządzenia powinny być wyposażone w redundantny zasilacz, mieć możliwość obsługi do 200 punktów dostępowych. Ze względów bezpieczeństwa urządzenia muszą szyfrować dane przesyłane protokołem CAPWAP. Kontroler pracujący z maksymalną (200) ilością punktów dostępowych musi mieć możliwość wyposażenia w 8 portów 1 Gbps lub 1 port 10 Gbps do połączenia z siecią LAN. Tabelka poniżej podaje proponowane przepływności styku z siecią LAN:


ilość AP do 25 od 26 do 50 od 51 do 200

minimalna przepływność

2 x 1 Gbps 4 x 1 Gbps 8 x 1 Gbps

Kontrolery muszą być przystosowane do montażu w szafie teleinformatycznej 19”. Na zdjęciu powyżej został pokazany przykładowy kontroler WLAN. Kontroler powinien zostać wyposażony w licencje umożliwiające obsługę zaplanowanej na placówce ilości punktów dostępu radiowego, oraz dodatkowe parametry wyszczególnione jako założenia projektu (np. szyfrowanie danych przesyłanych protokołem CAPWAP).

5.4. Punkty dostępowe, zasilanie punktów dostępowych

5.4.1. Podłączenie do sieci LAN

Sieć kablowa jest ważnym elementem każdego systemu Ethernet. Elementy systemu WLAN muszą być podłączane okablowaniem Cat5 lub Cat6. Rekomendowany czas przesłania pakietu (round trip time - RTT) pomiędzy kontrolerami WLAN w jednej domenie mobilnej (roaming) powinien być mniejszy lub równy 10 msec. Czas RTT w komunikacji pomiędzy punktem dostępowym i kontrolerem być mniejszy lub równy 100 msec. W przeciwnym przypadku mogą być zaobserwowane duże opóźnienia i problemy z działaniem klientów sieci WLAN podłączających się do sieci, przemieszczających się i przesyłających dane. Ponieważ wszystkie punkty dostępowe w placówce PSG podłączają się do aktywnego kontrolera WLC, potrzeba zachowania krótkiego czasu (<10 msec) nie jest krytyczna. Wszystkie punkty dostępowe i kontrolery WLC są umieszczone w tej samej sieci LAN. Wszystkie sieci LAN w placówkach Straży Granicznej gwarantują czas RTT mniejszy niż 1 msec (wyższy czas oznacza najczęściej awarię w sieci).

Wartości DSCP pakietów CAPWAP są ustawiane polityką QoS na kontrolerze WLC, wartości DSCP ustawiane na ruchu od klientów WLAN enkapsulowanego w tunelu CAPWAP są zachowane. Parametr CoS ramek opuszczających kontroler WLAN są ustawiane zgodnie z polityką QoS kontrolera WLC, niezależnie od kierunku ruchu, oraz czy następuje jego enkapsulacja, czy dekapsulacja. Poniższy przykład pokazuje ustawienia portu w przełączniku Cisco w PSG tak, aby zachował wartości CoS pochodzące od ruchu z kontrolera WLAN. Taka konfiguracja pozwala na centralne zarządzanie WLAN QoS:

interface GigabitEthernet1/0/13 switchport trunk encapsulation dot1q


switchport trunk allowed vlan 11-13,60,61 switchport mode trunk mls qos trust cos

5.4.2. Punkty dostępowe wewnętrzne

Ze względu na planowane wykorzystanie sieci WLAN do transmisji głosu, projekt przewiduje użycie punktu dostępowego wewnętrznego przystosowanego do montażu na suficie pełnym, oraz podwieszanym. Straż Graniczna wykorzystuje w sieci LAN standard zasilania telefonów Cisco IP zgodny z 802.3af.

Wewnętrzne punkty dostępowe powinny również korzystać z tego standardu zasilania, co zminimalizuje koszty doprowadzenia obwodów zasilających (zasilanie doprowadzane kablem sygnałowym), umożliwi łatwe zagwarantowanie zasilania (systemy podtrzymujące napięcie generatory, UPS – zasilają obwody urządzeń w punktach dystrybucyjnych). Powinny mieć wbudowany analizator spektrum częstotliwości standardów 802.11 a/b/g/n do którego można się podłączyć zewnętrzną stacja roboczą.

Punkt dostępowy wewnętrzny może posiadać wbudowane lub zewnętrzne anteny, powinien być przystosowany do zakresu temperatur w budynkach (typowo 17-25 ºC, w skrajnych wypadkach 0-40 ºC). Punkt dostępowy powinien pracować w standardach 802.11a/b/g/n.

5.4.3. Punkty dostępowe zewnętrzne

Punkty dostępowe zewnętrzne powinny spełniać podane w rozdziale 5.1 wymagania dotyczące warunków środowiskowych: temperatura, odporność na zalanie, siłę wiatru, inne. Wyposażenie w wewnętrzną baterię, oraz korzystanie przez urządzenie z maksymalnych mocy dopuszczonych prawem (100 mW E.I.R.P. w 802.11b/g, oraz 1 W w 802.11a) w praktyce uniemożliwia zasilanie punktów dostępowych przez PoE 802.3af. Projekt przewiduje doprowadzenie zasilania 230V AC z pobliskich obwodów zasilających. Zamontowana w punkcie dostępowym bateria powinna wystarczyć na okres pracy punktu dostępowego pozwalający na usunięcie awarii prądu na danym obwodzie elektrycznym, z tego powodu projekt nie przewiduje doprowadzenia do nich zasilania gwarantowanego.

Punkty dostępowe powinny mieć wbudowany analizator spektrum częstotliwości standardów 802.11 a/b/g/n do którego można się podłączyć zewnętrzną stacja roboczą.

Zewnętrzny punkt dostępowy powinien posiadać możliwość podłączenia do sieci LAN za pomocą kabla miedzianego 100BaseT lub 1000BaseT, oraz za pomocą medium światłowodowego (światłowód wielo- lub jednomodowy) z prędkościami 100 lub 1000 Mbps. Podłączenie kablem miedzianym należy stosować tylko na ograniczonej odległości ze względu na fizyczne ograniczenia standardu 100BaseT (do 90m), oraz na zagrożenie uszkodzenia sprzętu przez indukujące się napięcie w czasie burz z piorunami. W praktyce projekt zaleca wykonanie podłączenie kablem miedzianym przystosowanym do instalacji zewnętrznych na odległościach zewnętrznego odcinka


do 20 metrów. Odległość może być zwiększona gdy kabel jest ułożony w osłonie metalowych elementów konstrukcyjnych (pod wiatami).

W przypadku większych odległości lub zagrożenia uszkodzenia sprzętu z powodu przepięć, zewnętrzne punkty dostępowe powinny mieć możliwość podłączenia poprzez światłowód wielodomowy (gdy odległość nie przekracza 500m) lub światłowód jednomodowy (przy większych odległościach).

W placówkach o większej ilości AP dla których wymagane jest połączenie światłowodowe, istotnym czynnikiem jest liczba wymaganych portów światłowodowych w przełącznikach. Projekt zakłada, że w takim przypadku dla ograniczenia kosztów, przełączniki należy rozbudować o karty światłowodowe o dużej koncentracji (48 portów) i podłączyć do niej AP poprzez pojedyncze włókno światłowodu jednomodowego (transmisja w każdym z dwóch kierunków realizowana na różnych długościach fali).

W celu wykonania projektu zasięg sygnału był sprawdzany za pomocą punktu dostępowego dysponującego układami poprawiającymi czułość i zasięg radia (3 anteny i 3 odbiorniki sygnału 802.11b/g, sygnał przetwarzany przez DSP). Wdrożenie sieci WLAN należy wykonać punktami dostępowymi posiadającymi tą samą lub podobną funkcję.

Zewnętrzny punkt dostępowy musi być przystosowany do montażu na słupie, oraz do montażu na ścianie.

5.5. Planowana struktura serwerów autentykacji

Baza użytkowników udostępniona protokołem LDAP z której korzysta m.in. funkcjonujący obecnie system telefonii IP Cisco jest listą pracowników Straży Granicznej. Nie jest możliwe wykorzystanie tej bazy do autentykacji, ponieważ protokół MS Chap v.2 wykorzystywany przez kontrolery WLAN w autentykacjach PEAP, EAP-FAST nie działa z zewnętrzną bazą przez protokół LDAP.

W sieci SG istnieje już system autentykacji użytkowników oparty na redundantnych serwerach ACS znajdujących się w CWT. Baza użytkowników służy do autentykacji, autoryzacji i accountingu administratorów logujących się na urządzenia sieciowe Cisco Systems. Serwery ACS w CWT realizują inne funkcje (logowanie sesji i komend użytkowników, ograniczanie dostępnych zestawów komend dla operatorów sieci, ograniczanie możliwości logowania się administratorów poszczególnych OSG do własnej grupy urządzeń, zbieranie VoIP accounting z bram H.323. Wszystkie te funkcje obciążają w znacznym stopniu ww. serwery, są całkowicie niepotrzebne dla autentykacji przenośnych telefonów IP.

Autentykacja urządzeń bezprzewodowych telefonii IP ma odmienne wymagania. Zmuszenie użytkownika do wpisywania na klawiaturze telefonu długiego hasła zawierającego znaki specjalne, cyfry, małe i duże litery jest możliwe, ale nie wpłynie w znaczącym stopniu na podwyższenie bezpieczeństwa. Proponowanym rozwiązaniem jest utworzenie kont dla urządzeń bezprzewodowych i zapisanie haseł na stałe w ich pamięci. Zgubienie lub kradzież przenośnego telefonu WLAN i (teoretyczna) możliwość odzyskania wpisanego hasła stanowią w tym przypadku mniejsze zagrożenie, kompromitując dostęp tylko do segmentu sieci


bezprzewodowej telefonii IP, który podlega regułom filtrowania ruchu ograniczając go jedynie do możliwości wykonywania połączeń w sieci telefonicznej.

W takim przypadku utraty urządzenia administrator powinien zablokować niezwłocznie konto przypisane do niego. Utrata takiego urządzenia z wpisanym loginem użytkownika i hasłem pozwalającym na zalogowanie się również do innych systemów informatycznych mogłaby nieść gorsze konsekwencje.

Z powyższych powodów zostanie utworzona osobna hierarchia serwerów autentykacji z osobną bazą użytkowników. Projekt przewiduje wykorzystanie serwerów Cisco ACS, które obsługują wymagane przez zamawiającego mechanizmy uwierzytelniania (802.1x z EAP: PEAP, EAP-TLS, EAP-FAST, EAP-TTLS), pozwalają na zbudowanie struktury w której baza danych podlega replikacji między serwerami. Produkt Cisco ACS jest dobrze znany w Straży Granicznej, co uprości wdrożenie systemu autentykacji i zmniejszy koszty uruchomienia systemu.

Projekt przewiduje zastosowanie pary redundantnych urządzeń typu ACS appliance w OSG. Projekt opisuje poniżej podstawową konfigurację tych urządzeń, oraz replikację danych pomiędzy nimi. Zaawansowana konfiguracja regulująca szczegółowo uprawnienia dostępu, powinna zostać określona przez Straż Graniczną.

5.5.1. Konfiguracja urządzeń WLAN jako użytkowników (user)

Wpisane dane służące do autentykacji telefonów w sieci WLAN są weryfikowane z informacjami, które posiada serwer ACS. Niezbędne jest wpisanie loginów i haseł ustawionych na urządzeniach bezprzewodowych logujących się do sieci WLAN w których ustawiona jest autentykacja z serwerem ACS:


5.5.2. Konfiguracja urządzeń typu AAA client

Kontrolery WLAN pełnią funkcję klientów dla serwerów ACS, należy dopisać je w konfiguracji „Network Configuration” jako Radius (Cisco Airespace), podać adresy IP, oraz wspólny klucz Radius.

5.5.3. Konfiguracja protokołów Autentykacji

Wykorzystywane protokoły autentykacji, oraz sposoby uwierzytelniania haseł (EAP-FAST, PEAP, MS-CHAP v2) powinny być skonfigurowane na serwerze ACS (System Configuration->Global authentication setup).

Dla części z tych protokołów (PEAP) niezbędne jest wygenerowanie certyfikatu dla serwera ACS i zainstalowanie go (System Configuration->ACS Certificate setup).

5.5.4. Replikacja danych pomiędzy serwerami

Założony schemat replikacji danych pomiędzy serwerami ACS należy skonfigurować w System Configuration -> Database Replication Setup:

Należy ustawić elementy podlegające replikacji, oraz czas pomiędzy replikacjami.

5.5.5. Pozostałe możliwości konfiguracji

Serwer ACS może zostać wykorzystany również do innych funkcji w sieci WLAN (np. autentykacja użytkowników serwera zarządzającego WLAN, jak na ekranie poniżej):

Możliwe jest również wprowadzenie restrykcji dla urządzeń, przypisanie możliwości logowania się do sieci na określonych klientach AAA (kontrolerach WLC), co


ograniczy w konsekwencji możliwość przenoszenia urządzeń pomiędzy placówkami. Decyzja o dodatkowej konfiguracji serwerów ACS powinna zostać podjęta przez Straż Graniczną.

5.5.6. Adresacja IP

Serwery autentykacji zostaną uruchomione w Oddziałach Straży Granicznej, zostaną umieszczone w sieci VLAN przeznaczonej do zarządzania.

5.6. Sieci WLAN

Na kontrolerach zostaną uruchomione następujące sieci WLAN:

vp, vp1, vp2, vp3 i vp4 - przeznaczone dla telefonów bezprzewodowych WLAN, o4a - do podłączania terminali mobilnej odprawy.

5.7. Adresacja IP i sieci VLAN

Placówki WK posiadają przydzielone zakresy adresów IP, oraz skonfigurowane na przełącznikach sieci VLAN. Na przykładzie PT-079 (Bartoszyce) są to następujące sieci:


Istniejąca adresacja IP w placówkach przewidzianych projektem:

intranet maska /24

zarządzanie maska /27

telefonia IP maska /24

PT-234 Grzechotki

PT-017 Kuźnica Kolej

PT-022A Terespol Droga

PT-022 Terespol kolej

Projekt przewiduje utworzenie opisanych poniżej nowych podsieci IP oraz identyfikatorów VLAN.

5.7.1. Infrastruktura WLAN - VLAN 552

Rekomendowane jest maksymalnie 60 punktów dostępowych w jednej sieci VLAN. Ograniczy to ilość pakietów broadcastowych z punktów dostępowych podczas ponownego podłączania się do kontrolera WLC.

W sieci VLAN 552 będą zaadresowane punkty dostępowe, interfejs AP manager kontrolera WLC, adresy IP do zarządzania kontrolerami WLC. Sieć ma maskę 255.255.255.192 /26, ale cały zakres sieci /24 jest zarezerwowany do wykorzystania w przypadku konieczności uruchamiania kolejnych interfejsów AP manager w celu podłączania większej ilości punktów dostępowych niż 50. W tym przypadku będą przydzielane kolejne bloki adresowe z maską /26 bitów.

W celu przydzielenia adresów dla punktów dostępowych zostanie uruchomiona usługa DHCP na routerze. Z puli zostaną wyłączone adresy przewidziane w tabelce poniżej, dodatkowo będą wykluczone zarezerwowane adresy IP od .248 do .251. Zostaną na nich uruchomione kolejne interfejsy AP Manager w placówkach, gdzie ilość punktów dostępowych przekracza obsługiwaną przez jeden interfejs AP manager.

Przykład konfiguracji: interface GigabitEthernet0/0.552 description WLAN - AP - WLC encapsulation dot1Q 552 ip address x.x.x.x. x.x.x.x ip dhcp excluded-address x.x.x.x x.x.x.x ip dhcp pool WLC_AP_pool network x.x.x.x x.x.x.x option 43 hex x default-router x.x.x.x

WLC 1 WLC2 AP Man. WLC1 AP Man. WLC2 Gateway


5.7.2. Sieci VoIP, vlan 551

Sieć telefonii IP z maską /25. Przykładowa konfiguracja sieci: interface GigabitEthernet0/0.551 description WLAN - VoIP encapsulation dot1Q 551 ip address x.x.x.x x.x.x.x

Adresy IP w tej sieci będą przydzielane z serwera DHCP, który zostanie uruchomiony na routerze, serwer będzie przekazywał opcję 150 (jeżeli telefony IP WLAN będą tego wymagać) w której zostanie ustawiony adres IP serwera TFTP do którego będą się łączyć telefony IP po pobraniu adresu. Przykładowa konfiguracja:

ip dhcp pool WLAN-VoIP-Pool network x.x.x.x x.x.x.x default-router x.x.x.x option 150 ip x.x.x.x

Uruchomienie sieci wymaga konfiguracji kontrolera WLC, konfiguracjina routerze i przełącznikach, oraz dołączenia do protokołu routingu EIGRP.

WLC1 WLC2 gateway

PT-234 Grzechotki

PT-017 Kużnica


PT-022 Terespol Kolej

5.7.3. Sieci VoIP, vlany 560-563

Sieci telefonii IP z maską /29, związane z nagrywaniem połączeń w systemie NICE. Adresacja sieci jest pochodną adresacji w VLAN 551, będzie utworzona według następujących reguł (przykład poniżej):

vlan 551 /25 vlan 560 /29 { .124 + .8 }

vlan561 /29 { .124 + .16 }

vlan562 /29 { .124 + .24 }

PT-234 Grzechotki

PT-017 Kuźnica Kolej


PT-022 Terespol kolej


PT-148 WLC 1

PT-148 WLC 2

PT-148 gateway

Konfiguracja po stronie routera i przełącznika (przykładowa konfiguracja sieci): interface GigabitEthernet0/0.560 description WLAN - VoIP encapsulation dot1Q 560 ip address x.x.x.x x.x.x.x

Adresy IP w tej sieci będą przydzielane z serwera DHCP, który zostanie uruchomiony na routerze, serwer będzie przekazywał opcję 150 w której zostanie ustawiony adres IP serwera TFTP do którego będą się łączyć telefony IP po pobraniu adresu. Przykładowa konfiguracja:

ip dhcp pool WLAN-VoIP-Pool-560 network x.x.x.x default-router x.x.x.x option 150 ip x.x.x.x

Uruchomienie sieci wymaga konfiguracji kontrolera WLC, konfiguracji na routerze i przełącznikach, oraz dołączenia do protokołu routingu EIGRP. Należy skonfigurować sumaryzację z sieciami z vlan 551 tak, aby wysyłać informację o sieci z maską /24.

5.8. Konfiguracja kontrolerów WLC

Rozdział opisuje przykładową konfigurację kontrolera jednego z producentów sprzętu WLAN, sposób konfiguracji, ekrany konfiguracyjne mogą się różnić.

Zostanie wykonana podstawowa konfiguracja umożliwiająca uruchomienie punktów dostępowych WLAN, adresacja IP interfejsów AP Manager oraz interfejsów przenoszących ruch zostanie przypisana zgodnie z tabelą z p. 5.7.

Adresy virtual zostaną ustawione te same na obu kontrolerach, proponowane są następujące IP: 1.1.1.(numerPT), co jest zaleceniem przy redundantnej konfiguracji kontrolerów. Tam gdzie numer PT przekroczy wartość 255, zostaną wykorzystane adresy postaci 1.1.2.(PT-255).

Interfejs serwisowy pozostanie nie zaadresowany (klient może rozważyć przypisanie adresu z zakresu sieci VLAN służącej do zarządzania urządzeniami w PSG).

5.8.1. Konfiguracja radia 802.11a/b/g/n

Ze względu na planowane uruchomienie aplikacji wymagających pasma WLAN, oraz zainstalowane telefony WLAN została ograniczona możliwość łączenia się klientów WLAN z niższymi prędkościami modulacji. Dla radia 802.11a zostaną dopuszczone prędkości od 12 Mbps i wyższe.Klienci używający 802.11b/g/n mogą się łączyć na prędkości 11 Mbps, na 18 Mbps, oraz na wyższych prędkościach.


Pozostawiono włączone funkcje Radio Resource Management (RRM), m.in. funkcję TPC (dynamiczne przypisywanie mocy na radiach AP), DCA (dynamiczne przypisywanie kanału). Jeżeli punkty zewnętrzne będą wyposażone w różne inne rodzaje anten, ilość wzorców trzeba dopasować do ilości kombinacji wyposażenia w anteny. W zewnętrznych Access Point’ach powinny zostać skonfigurowane typy anten zgodne z dostarczonymi, co pozwala na automatyczne dobranie przez nie mocy zgodnej z dopuszczoną przez prawo na terenie RP.

Aby ograniczyć czas przeszukiwania kanałów w zakresie radia 802.11a i ułatwić działanie algorytmu DCA (dynamic channel assignement), zostaną wyłączone z puli DCA kanały o których wiadomo, że wystąpi na nich duża interferencja. Decyzja o tym, które kanały zostaną pozostawione będzie zależeć od wykonawcy instalacji, podejmie ją na podstawie zastanych na miejscu warunków.

5.8.2. Autentykacja lokalna

Ostatni krok procesu autentykacji (w przypadku braku odpowiedzi od serwerów AAA) jest sprawdzeniem danych użytkownika w lokalnej bazie na kontrolerze WLC. W tym celu telefony IP WLAN, które w przypadku braku dostępu przez sieć MPLS/WAN nie byłyby w stanie zalogować się do sieci bezprzewodowej – zostaną dopisane jako użytkownicy lokalni na obu kontrolerach WLC. Przykład konfiguracji został pokazany na rysunku poniżej.

Konieczne jest również skonfigurowanie lokalnego profilu autentykacji EAP na kontrolerze WLC (jak na rysunku poniżej), oraz umieszczenie tej metody autentykacji jako ostatniej dostępnej w konfiguracji sieci WLAN do której logują się telefony IP. Na obu kontrolerach zostanie ustawiony profil EAP, który służy do autentykacji w przypadku braku dostępnych serwerów ACS:


Warunkiem działania telefonów IP WLAN pozostaje dostępność serwera Cisco Unified Communication Manager, lub prawidłowo skonfigurowana usługa Cisco SRST na routerze w PSG (usługa Cisco SRST musi również wspierać model telefonu IP).

5.8.3. SSID VP, VP1, VP2, VP3, VP4

Sieć vp przeznaczona do korzystania z telefonii WLAN działa wyłącznie na radiu 802.11b/g, z uwagi na brak funkcji fast secure roaming pomiędzy radiami 802.11a i 802.11b/g. Pokrycie terenu dla sieci 802.11a nie było przedmiotem projektu, brak jest zewnętrznych anten pracujących na częstotliwościach 802.11a. Adresy DHCP dla klientów są przydzielane przez router.

Utworzenie sieci VP1, VP2, VP3 i VP4 jest związane ze sposobem nagrywania rozmów na specjalne numery telefonów. Te sieci WLAN posiadają analogiczne ustawienia jak sieć VP, różnica polega na użyciu innych podsieci IP i wymuszeniu w ten sposób przepływu ruchu przez przełącznik Catalyst 6500 podłączony do systemu nagrywania rozmów NICE.

Sieć VP ma ustawione następujące zabezpieczenia:

Layer 2 Security: WPA+WPA2,

WPA Policy/Encryption: TKIP,

Auth Key Management: CCKM.

Poprawnie zaimplementowany w PSG protokół autentykacji (CCKM lub równoważny) dla telefonów IP uruchomi funkcję szybkiego roamingu przy zmianie punktu dostępowego.

Ruch w sieci vp, vp1, vp2, vp3 i vp4 powinien być filtrowany na interfejsie kontrolerów WLC według następującej ACL (wydruk z przykładowego kontrolera WLC):

(Controller) >show acl detailed ACL-VoIP 1 In 10.213.6.0/255.255.255.0 10.192.1.0/255.255.255.0 1024-65535 69-69 2 In 10.213.6.0/255.255.255.0 10.192.1.0/255.255.255.0 1024-65535 2000-2002 3 In 10.213.6.0/255.255.255.0 0.0.0.0/0.0.0.0 1024-65535 1024-65535 4 Out 10.192.1.0/255.255.255.0 10.213.6.0/255.255.255.0 69-69 1024-65535 5 Out 10.192.1.0/255.255.255.0 10.213.6.0/255.255.255.0 2000-2002 1024-65535 6 Out 0.0.0.0/0.0.0.0 10.213.6.0/255.255.255.0 1024-65535 1024-65535 7 Out 10.160.66.1/255.255.255.255 10.213.6.0/255.255.255.0 80-80 1024-65535 8 In 10.213.6.0/255.255.255.0 10.160.66.1/255.255.255.255 0-65535 80-80


9 Out 10.180.0.80/255.255.255.255 10.213.6.0/255.255.255.0 0-65535 443-443 10 In 10.213.6.0/255.255.255.0 10.180.0.80/255.255.255.255 443-443 0-65535 11 In 10.213.6.0/255.255.255.0 10.213.6.126/255.255.255.255 024-65535 2000-2002 12 Out 10.213.6.126/255.255.255.255 10.213.6.0/255.255.255.0 2000-2002 1024-65535 13 In 10.213.6.0/255.255.255.0 10.213.6.126/255.255.255.255 1024-65535 69-69 14 Out 10.213.6.126/255.255.255.255 10.213.6.0/255.255.255.0 69-69 1024-65535

Miejsce przypisania ACL dla sieci vp:

5.8.4. QoS

Aby poprawić niezawodność transmisji głosu jest rekomendowane użycie telefonów wspierających przemysłowy standard IEEE 802.11e oraz certyfikowanych Wi-Fi Multimedia (WMM). WMM bazuje na funkcji 802.11e Enhanced Distributed Coordination Access (EDCA). Sieci Wi-Fi które implementują WMM optymalizują przydział wspólnych zasobów sieciowych pomiędzy ubiegające się o nie aplikacje poprzez priorytetyzowanie dostępu do medium w zależności od rodzaju ruchu. Takie rozwiązanie tworzy sieć gotową na wspólnie działające w niej aplikacje wymagające różnego opóźnienia oraz pasma. Projekt mocno rekomenduje wdrożenie telefonów VoWLAN które wspierają WMM tak, aby w pełni wykorzystać QoS w spektrum radiowym.

Pole DSCP w nagłówku pakietu IP jest używane do potrzeb klasyfikacji. DSP wskazuje przydzielony poziom priorytetu dla określonego pakietu, który będzie używane przez całą sieć. Dla ruchu pochodzącego od telefonów do serwera CallManager, dostęp WMM przydziela priorytet w sieci WLAN, a DSCP przydziela priorytet w sieci przewodowej. Należy ustawić wartości DSCP na wychodzącego ruchu głosowego, kontrolnego dla połączeń telefonicznych, oraz pozostałego. Domyślne wartości to: Voice – 46 oraz (call control) – 26

Dla ruchu w kierunku telefonu VoWLAN DSCP określa priorytet w sieci przewodowej, ale również jest on używany przez większość punktów dostępowych wspierających WMM tak, aby określić do jakiej kategorii WMM należy pakiet i w jaki sposób go przesłać przez radio. Wartości DSCP powinny być ustawione jednakowo dla określonych typów ruchu na wszystkich urządzeniach, również na telefonach IP.

Na kontrolerach WLC został ustawiony QoS. Ustawienia priorytetów przy korzystaniu z radia, są również mapowane na interfejs trunk do przełącznika LAN, poprzez ustawienie pola 802.1p w nagłówku 802.1Q. Poniżej została pokazana przykładowa konfiguracja profilu QoS Platinum, który jest ustawiony dla sieci bezprzewodowej vp (głos).

Sieci bezprzewodowe int i symbol mają QoS ustawiony według profilu QoS Silver (best effort).


5.8.5. Redundancja punktów dostępowych

Wszystkie punkty dostępowe powinny być podłączone do jednego kontrolera WLC, w przypadku awarii, powinny przełączać się na zapasowy. Ustawienia redundacji należy wykonać w menu Wireless -> Access Points.

5.8.6. Konfiguracja sieci MESH

Konfiguracja po uruchomieniu punktów dostępowych na kontrolerze wymaga podania roli, którą pełnią. Punkt dostępowy podłączony do sieci LAN znajdujący się w centralnym punkcie, powinien mieć ustawioną rolę „Root AP”. Punkty dostępowe dostępne przez interfejs radiowy należy ustawić w trybie „MeshAP”.

W miejscach, gdzie występują punkty dostępowe pracujące w trybie Mesh obsługujące klientów w paśmie 802.11a należy zaznaczyć opcję „backhaul client access”:


6. Bezpieczeństwo sieci WLAN

6.1. System wykrywania ataków WLAN

Bezprzewodowy system IPS wykrywa ataki skanując fale elekromagnetyczne. Zainstalowane w sieci LAN/WAN urządzenia IPS są jego uzupełnieniem, jako że WLAN IPS zwykle nie analizuje warstwy 3 i wyższych, zajmując się jedynie medium radiowym.

Na rynku są dostępne wszystkie elementy niezbędne do bezpiecznego uruchomienia i korzystania z infrastruktury sieci bezprzewodowej. Przykładowy system Wireless IPS składa się z następujących składników (pokazanych na rysunku poniżej):

System składa się z następujących elementów:

punktów dostępowych pracujących w trybie wIPS monitor: ciągłe monitorowanie kanałów. wykrywanie ataków, zbieranie pakietów dla potrzeb procesowych,

serwera zarządzającego SwIPS: centralny punkt agregujący alarmy ze wszystkich kontrolerów i z podległych im punktów dostępowych pracujących w trybie wIPS monitor. Informacje o alarmach i pliki potrzebne do czynności procesów sądowych są przechowywane na serwerze wIPS i gotowe do archiwizacji,

Wireless LAN Controller (WLC): przekazuje informacje o ataku z punktu dostępowego wIPS monitor do SwIPS, zarządza konfiguracją punktów dostępowych,

systemu zarządzania siecią WLAN: udostępnia administratorowi sieci WLAN możliwość konfiguracji usługi wIPS na SwIPS, przesyła konfigurację wIPS na kontrolery WLC, ustawia punkty dostępowe w tryb wIPS monitor. Jest również używany do przeglądania alarmów wIPS, raportowania i dostępu do katalogu ataków sieciowych WLAN,


6.2. Model wdrożenia wIPS w Straży Granicznej

Instalacja systemu wIPS będzie wykonana w modelu zintegrowanym, tzn. punkty dostępowe pracujące w trybie lokalnym i wIPS monitor będą podłączone do tych samych kontrolerów, które będą zarządzane przez ten sam system zarządzania. Pojemności systemów zarządzania to typowo ok. 3000-5000 punktów dostępowych, nie zostaną przekroczone, jednocześnie taki model umożliwia najściślejszą integrację pomiędzy infrastrukturą obsługującą klientów i monitorującą.

Rysunek powyżej pokazuje, że miejsce położenia SwIPS z włączoną usługą wIPS w sieci powinno znajdować się pomiędzy kontrolerami WLC i systemem zarządzania. Projekt przewiduje instalację SwIPS w OSG, w pobliżu serwera zarządzania.

6.2.1. Oszacowanie pasma

Statystyki udostępnione przez producenta pokazują, że pojedynczy kontroler WLC z jednym punktem dostępowym w trybie wIPS monitor generują ruch na poziomie 1,8 kbps. We wszystkich planowanych instalacjach w PSG, gdzie będą wykorzystane punkty dostępowe w tym trybie i jeden aktywny kontroler WLC do którego będą podłączone, można założyć że poziom ruchu nie będzie wymagał zwiększenia pasma WAN dla placówki.

6.2.2. Punkty dostępowe w trybie monitor

Punkty dostępowe które są ustawione w tryb ciągłego monitorowania 24 x 7, dostarczają informacje do centralnego systemu analizy i przetwarzania informacji uruchomionego na platformie SwIPS. W ten sposób następuje efektywne gromadzenie i korelacja informacji o ruchu w sieci bezprzewodowej i stanie bezpieczeństwa z każdego punktu sieci tak, aby dostarczyć administratorowi prosty, spójny widok występujących zagrożeń.


Punkt dostępowy w trybie monitor dla usługi wIPS spędza cały czas skanując kanały i poszukując wrogich urządzeń oraz ataków radiowych. Może być równocześnie używany dla usług lokalizacyjnych (jeżeli będą wdrożone w przyszłości). Zaletą używania tego trybu jest skrócenie czasu potrzebnego na wykrycie zagrożenia, oraz większa ilość wykrywalnych ataków radiowych. System wIPS wymaga ustawienia punktu dostępowego w tryb monitor z uwagi na złożoność ataków, które może wykrywać. Punkt dostępowy w zwykłym trybie obsługi klientów nie ma możliwości wykrycia takich ataków, dzieli swój cykl pracy na zwykły ruch WLAN i skanowanie kanałów. Przeskanowanie kanałów zabiera mu więc więcej czasu, mniej czasu przeznacza na zbieranie danych na określonym kanale tak, aby obsługa klientów nie była zakłócona. Skutkiem tego czas wykrycia ataku jest długi (od 3 do 60 minut).

6.2.3. Zasięg punktu dostępowego w trybie monitor

Podstawą rozmieszczenia elementów wIPS jest zdolność odbioru przez nie ramek zarządzania i sterowania 802.11, które są obiektem większości ataków sieciowych. Rozmieszczenie nie pokrywa się więc z punktami dostępowymi do transmisji danych, których celem jest uzyskanie odpowiedniej przepływności i szybkiego roamingu. Nie ma prostej reguły rozmieszczenia punktów dostępowych wIPS, można jednak przyjąć założenie, że pojedynczy punkt dostępowy pokrywa obszar około 5-7 razy większy od obszaru który obsługuje punkt dostępowy służący do transmisji danych.

6.2.4. Zaplanowane punkty dostępowe wIPS

Należy dobrać modele punktów dostępowych wspierane (współpracujące) z systemem wIPS w trybie monitorowania. Zalecany projektem model punktu dostępowego powinien obsługiwać 802.11n, który wprowadza nową specyfikację warstwy fizycznej WLAN. Ataki związane z 802.11n pozostałyby nie wykryte na punktach dostępowych 802.11a/b/g ponieważ schemat modulacji sygnału fundamentalnie się różni. Sieć WLAN bez obsługi wIPS 802.11n pozostałaby bezbronna w przypadku gdyby atakujący korzystał z modulacji 802.11n.


W celu pokrycia zasięgiem wIPS krytycznych obszarów wskazanych przez klienta wystarczający jest model punktu dostępowego pracujący wyłącznie wewnątrz pomieszczeń.

6.2.5. Adresacja IP

Adresacja IP dla urządzeń związanych z zarządzaniem systemem wIPS, które będą zainstalowane w OSG została zaplanowana w tabelce poniżej w postaci zakresów adresów IP. Zalecane jest stosowanie tych samych końcówek adresów IP w każdym z OSG dla tych samych typów urządzeń sieciowych. Projekt będzie odwoływał się do podanych w tabelce zakresów w przypadku adresacji innych urządzeń instalowanych na poziomie OSG.

miasto region adres IP

Kętrzyn Warm-Maz

Białystok Podlaski

Chełm Nadbużański

Adresacja IP dla punktów dostępowych wIPS w PSG będzie identyczna z adresami punktów dostępowych pracujących w normalnym trybie.

6.3. Funkcja Rogue Detector

Sieć bezprzewodowa jest rozszerzeniem istniejącej sieci, zwiększa produktywność i ułatwia dostęp do informacji. Nieautoryzowane urządzenia w sieci bezprzewodowej mogą stanowić zagrożenie. Osoby podłączające własne punkty dostępowe do dobrze chronionej sieci przewodowej i bezprzewodowej, które umożliwiają nieautoryzowany dostęp do sieci mogą naruszyć jej bezpieczeństwo. „Rogue Detection” pozwala administratorom sieci monitorować i eliminować te zagrożenia bezpieczeństwa. Architektura Cisco Unified Network obsługuje dwa sposoby wykrywania wrogich urządzeń. Jeden ze sposobów funkcjonuje po stronie radia, został zaplanowany i opisany w rozdziałach powyżej. Drugim sposobem jest nasłuchiwanie od strony sieci przewodowej, jeden z punktów dostępowych można uruchomić w tym celu w trybie Rogue Detector.

Punkt dostępowy „Rogue Detector” jest umieszczany na porcie typu trunk tak, żeby mógł odbierać całą transmisję w podłączonych sieciach VLAN. Nasłuchuje pakietów Address Resolution Protocol (ARP) w celu określenia adresów warstwy 2 zidentyfikowanego wrogiego klienta lub wrogiego punktu dostępowego, informację o tych urządzeniach otrzymuje z kontrolera WLC. Jeżeli odszuka w sieci adres MAC, raportuje do kontrolera WLC, który generuje alarm identyfikujący wrogie urządzenie jako zagrożenie, które ma połączenie z siecią przewodową.


Specjalny mechanizm wykrywania jest używany gdy wrogi punkt dostępowy rozgłasza nie zabezpieczoną sieć WLAN (Open Authentication). Punkt dostępowy nawiązuje połączenie do wrogiego punktu dostępowego jako klient, próbując uzyskać adres IP, a następnie przesłać protokołem IP niezbędne informacje o incydencie do kontrolera WLC. Kontroler po odebraniu pakietu podnosi alarm powiadamiając administratora o wykryciu wrogiego punktu dostępowego podłączonego do sieci LAN.

Konfiguracja portu w przełączniku w celu podłączenia punktu dostępowego w trybie „Rogue Detector”:

interface gigabitethernet x/x

switchport trunk

switchport trunk encapsulation dot1q switchport trunk native vlan xxx

switchport mode trunk

spanning-tree portfast


7. Rozbudowa telefonii IP o telefony bezprzewodowe

7.1. Wybór modelu telefonu IP

Na potrzeby wykonania projektu niezbędny był wstępny wybór telefonu IP WLAN współpracującego z istniejącą infrastrukturą Straży Granicznej (cluster Cisco Unified Communication Manager) i spełniającego podane przez zamawiającego wymagania.

Wybór modelu aparatu został podyktowany według kluczowych cech:

- zgodność z systemem telefonii IP zamawiającego, - funkcjonalność w sieci WLAN (roaming, QoS, parametry radiowe), - obudowa przystosowana do używania telefonu w trudnym otoczeniu, - długi czas rozmów i czuwania na baterii.

Z uwagi na powyższe, został wybrany model telefonu Cisco 7925:

Testowany telefon Cisco 7925 posiada następujące kluczowe cechy:

praca w dwóch standardach, 802.11b/g oraz 802.11a,

do 240 godzin czasu czuwania, lub 13 godzin rozmowy),

obudowa klasy IP-54 (tolerowane bryzgi wody), standard amerykański MIL-STD-810F na wstrząsy, upadki,

gwarantowana przez producenta prawidłowa współpraca z posiadaną przez zamawiającego infrastrukturą telefonii IP opartą o rozwiązanie Cisco Unified Communication Manager w następujących zakresach:

o możliwość współdzielenia linii telefonicznej (numerów telefonicznych) pomiędzy telefonem stacjonarnym i bezprzewodowym

o wsparcie dla protokołu sygnalizacyjnego SCCP,


o obsługa kodeków G.711, G.722, G.729, iLBC, o oddzwonienie (call back), o przekazywanie połączeń (call forward), o historia rozmów, o parkowanie połączeń (call park), o przejmowanie połączeń (call pickup), o identyfikacja dzwoniącego, o dostęp do firmowej książki telefonicznej, o zawieszanie połączeń (hold), o zestawianie połączeń konferencyjnych, o obsługa połączeń telefonicznych szyfrowanych.

prawidłowa współpraca z testowanym na potrzeby wykonania projektu systemem dostępu bezprzewodowego WLAN w zakresie:

o mobilności (roaming z zachowaniem połączenia telefonicznego, bez konieczności ponownego pełnego uwierzytelnienia urządzenia,

o obsługa uwierzytelnień 802.1x, WPA, WPA2, o obsługa standardów: 802.11e, WMM (WiFi Multimedia, QBSS – QoS

Basic Service Set, DFS – Dynamic frequency selection, TPC – transmit power control, PS-Poll – Power Save Poll.

została przetestowana i sprawdzona łączność pomiędzy telefonami bezprzewodowymi WLAN w trybie PTT,

zostało sprawdzone poprawne funkcjonowanie systemu nagrywania łączności głosowej pomiędzy telefonami bezprzewodowymi oraz telefonami stacjonarnymi IP w oparciu o posiadany przez Zamawiającego system Nice; nie stwierdzono odstępstw w działaniu systemu rejestracji rozmów telefonicznych (SRRT) Nice.

7.2. Uruchomienie w systemie telefonii IP

Telefony Cisco 7925 korzystają z protokołu SCCP i są konfigurowanie w systemie Cisco Unified Communiation Manager 5.1( planowany upgrade do CCM 8 ) jako zwykłe telefony IP SCCP. Szczegóły konfiguracji telefonu znajdują się menu Device>Phone. Niezbędne jest ustawienie parametrów takich jak Location określające ilość dostępnego pasma na łączu WAN, device pool określające poprzez przypisane regiony zasady stosowania kodeka przy połączeniach telefonicznych (kodek G.711 jest stosowany w połączeniach lokalnych, kodek G.729 przy połączeniach WAN), oraz Calling Search Space, które determinuje wybór urządzenia VoIP gateway dla połączeń wychodzących poza telefonię IP Straży Granicznej.

Ustawienia Calling Search Space dla linii telefonicznej regulują uprawnienia danego telefonu do określonych prefiksów w Route Pattern.


Telefon jest identyfikowany przez adres MAC. Telefony podłączone do SSID „vp” pobierają jako opcja 150 IP adres serwera TFTP x.x.x.x. Funkcje serwera DHCP pełni router ISR. Proces uruchomienia telefonu IP, szczegóły interakcji z serwerami Cisco Communication Manager są zgodne ze standardami dla telefonów IP Cisco w Straży Granicznej.

7.2.1. Mechanizmy kontroli ilości połączeń telefonicznych

Telefony bezprzewodowe używane w danej PSG będą ustawione w jednej lokalizacji (location) wraz z używanymi tam telefonami stacjonarnymi. W ten sposób zostanie wykorzystany już istniejący mechanizm Call Admission Control w celu ochrony zagwarantowanego pasma w sieci WAN. Mechanizm Call Admission Control funkcjonuje również w sieci WLAN chroniąc trwające rozmowy telefoniczne prowadzone z telefonów podłączonych do pojedynczego punktu dostępowego przed pogorszeniem jakości z powodu kolejnego zestawianego połączenia. Należy ustawić ten mechanizm na urządzeniach sieci WLAN. Wymagane jest wsparcie po stronie klientów sieci WLAN. Rysunek poniżej pokazuje przykładowy ekran ustawień Call Admission Control na kontrolerze WLAN.

7.2.2. Mechanizmy QoS dla obsługi ruchu VoWLAN

Transmisja głosu z telefonów IP WLAN w sieci kablowej LAN/WAN powinna podlegać tym samym ustawieniom QoS co transmisja głosu z telefonów stacjonarnych IP Cisco. Z tego powodu nie ma potrzeby zmiany ustawień QoS w sieci LAN/WAN. Konieczne jest ustawienie identycznych wartości DSCP dla urządzeń warstwy 3, oraz CoS dla przełączników LAN.

Głosowe sieci VoWLAN powinny mieć ustawiony profil QoS przystosowany do transmisji głosu. Profil QoS VoWLAN nie może być stosowany dla innych sieci WLAN niż sieci VoIP.


Projekt wymaga możliwości dostosowania wartości nagłówka 802.1p na urządzeniach WLAN dla sieci VoWLAN - do obecnie ustawionych w sieci LAN Straży Granicznej.

7.3. Numeracja telefoniczna

Zainstalowane aparaty telefoniczne otrzymają numerację zgodną ze standardem używanym na danej placówce SG. Dopuszczalne jest uruchomienie telefonów w trybie „shared line”, lub nadanie nowych numerów telefonicznych. Decyzja powinna zostać podjęta przez placówkę SG po rozdysponowaniu telefonów dla funkcjonariuszy.

Poniżej znajduje się zestawienie numeracji telefonicznej, oraz informacja o dostępnych do wykorzystania numerach telefonicznych z używanych pul. Ilość nie obsadzonych numerów została oszacowana na podstawie analizy informacji z klastra CallManager: Call Routing->Route Plan Report.

Numer PT

Nazwa

ilość zaplanowanych

telefonów OSG numery

wewętrzne

wykorzystanie

zakresu [%]

ilość wolnych numerów

PT-234 Grzechotki 20 Warm-Maz


PT-017 PSG w Kuźnicy 5 Podlaski

PT-022A Terespol Janowska 28 Nadbuż.

PT-022A Terespol 3 Maja 5 Nadbuż.


8. Rozbudowa Portala wideo SG

Projekt obejmuje rozbudowę Portala wideo SG o możliwość przekazywania obrazu on-line z kamer widokowych rozmieszonych w placówkach SG. Obraz z kamer będzie umożliwiał obserwację ruchu pojazdów i pieszych na przejściu granicznym, co ma służyć podniesieniu bezpieczeństwa placówki i dodatkowo zapewnić zdalną kontrolę pracy funkcjonariuszy. Obraz z kamer umieszczonych na przejściach granicznych będzie osiągalny poprzez Portal Straży Granicznej z dowolnego miejsca sieci. „Cześć ogólna” projektu określa parametry kamer i sposób rozbudowy Portala wideo. Informacje na temat miejsca montażu kamery w placówkach SG zostały umieszczone w odpowiednich Załącznikach.

8.1. Kamery IP

System wideo monitoringu oparty na kamerach IP pozwala na monitorowanie rozproszonych obiektów i użycia dużej liczby kamer. Jego zalety to między innymi:

łatwość rozbudowy i zmian konfiguracji w zależności od zmieniających się potrzeb,

wysoka mega pikselowa rozdzielczość,

łatwość transmisji obrazu poprzez istniejące sieci teletransmisyjne,

oprogramowanie umożliwiające cyfrową obróbkę i wdrażanie nowych funkcji,

wysoka skalowalność sytemu.

rejestracja sygnału może być zrobiona na dwojaki sposób:

lokalny (DVR),

zdalnie ( na rejestratorach sygnału strumieniowego).

Sygnał w kamerach IP koduje odebrany sygnał na MPEG-4, który jest transmitowany i odbierany w całej sieci. Powoduje to możliwość odebrania obrazu w każdym miejscu. Kamery IP mogą pracować w różnej rozdzielczości. Obecnie są to następujące rozdzielczości:

QCIF 176x144px,

CIF 352x288px,

VGA 640x480px,

Full D1 720x576px.


Zalety systemów cyfrowych:

możliwości jednoczesnego nagrywania, podglądu na żywo i odtwarzania obrazów wcześniej zarejestrowanych,

dużo większa ilość klatek na sekundę przypadająca na kamerę,

możliwość bardzo długiego czasu rejestracji,

możliwość prawie całkowitej bezobsługowości,

możliwość bardzo prostego i szybkiego wyszukiwania, przeglądania materiałów archiwalnych oraz wydruku,

możliwości pracy w sieci,

wysokiej i niezmiennej jakości materiału rejestrowanego,

możliwości współpracy z innymi systemami,

brak dodatkowych kosztów związanych z eksploatacją sprzętu.

Poniżej zaprezentowano charakterystykę kamery, która może być wykorzystana na przejściach granicznych.

8.2. Kamera AXIS 215 PTZ

Kamera sieciowa typu Axis 215 PTZ to kamera obrotowa z możliwością obracania o 360, i 48-krotnym zoom, sterowaniem poprzez sieć IP. Obudowa kamery zapewnia odporność na warunki atmosferyczne panujące na przejściu (zmiana temperatury, słonce, deszcz). Kamera umożliwia obrót o 360. Posiada serwer sieci WEB która umożliwia przeglądanie oraz zarządzanie przez Internet.

Dodatkowe funkcje to:

Auto-Flip:

Natychmiastowy obrót o 180o co pozwala na kontynuacje obserwowanego obiektu bądź osoby.

E-Flip:

Osoba przechodząca pod kamerą zostanie zarejestrowana obrócona do góry nogami. E-Flip automatycznie obraca obraz o 180o , kontynuując obserwacji obiektu bądź osoby. Obraz jest przekazywany bez opóźnień.


Parametr Wartość

Zasilanie: 12 V DC +-5%, max 14.5 W

Matryca: 1/4” Sony interlaced CCD

Obiektyw:

F1.6 - F2.7, f = 3.8 - 46 mm

automatyczny tryb dzień/noc, automatyczna ostrość

zakres ostrości: od 300 mm (wide) lub od 1000 mm (tele)

Rozdzielczość (max.):

704x480 (NTSC)

704x576 (PAL)

Liczba klatek na sekundę (max.):

30/25 niezależnie od rozdzielczości (Motion JPEG)

30/25 w rozdzielczości 2CIF/CIF/QCIF (MPEG-4)

26/22 w rozdzielczości 4CIF/2CIFExp (MPEG-4)

Oświetlenie [lux]:

w trybie kolorowym: 1 przy 30 IRE, F1.6

w trybie czrno-białym: 0.3 przy 30 IRE, F1.6

Migawka [s]:

NTSC: 4/3 - 1/50000

PAL: 8/5 - 1/50000

Kąt widzenia [stopnie]: 4.4° - 51.6° w poziomie

Pan / Tilt / Zoom:

± 170° pan

180° tilt

zoom: optyczny 12x, cyfrowy 4x

szybkość: 180°/s (pan), 140°/s (tilt)

Powiększenie:

optyczne 12x

cyfrowe 4x

Kompresja video: Motion JPEG

Tabela 1 Specyfikacja techniczna dla AXIS 215 PTZ


MPEG-4 Part 2 (ISO/IEC 14496-2)

WiFi: NIE

Złącza:

Ethernet 10BaseT/100BaseTX (RJ-45)

listwa zaciskowa: 1 wejście alarmowe, 1 wyjście, wyjście zasilające dla I/O

audio line/mic In

audio line out

Obudowa: Do zastosowań wewnątrz budynków.

Warunki pracy:

0-45 °C (32-113 °F)

Wilgotność 20 - 80% RH

Wymiary:

128 x 153 x 131 mm (5.0” x 6.0” x 5.2”) bez osłony

132 x 162 x 149 mm (5.2” x 6.4” x 5.9”) z osłoną na sufit

Waga:

730 g z osłoną na sufit

1260 g z osłoną i uchwytem mocującym


8.2.1. Przykładowe obudowy dla kamer typu AXIS 215 PTZ

Obudowa typu DBH24K

Przeznaczona jest dla takich typów jak AXIS 213 PTZ, AXIS 214 PTZ, AXIS 215 PTZ, AXIS 231 D+, AXIS 232D+ i AXIS 233D+. Stosuje się je na zewnątrz, jest również możliwość stosowania ich w pomieszczeniach wilgotnych, zimnych jak również zakurzonych. Obudowa jest zarówno wyposażona w grzejnik która umożliwia pracę kamery w temperaturze od +50oC do -20oC.

Obudowa typu Meduza

Przeznaczona dla kamer AXIS 213 PTZ, AXIS 231D+, AXIS 214 PTZ, AXIS 232D+, AXIS 215PTZ. Obudowa umożliwia zapewnienie klasy IP65 ochronę przed wilgocią (wodą) jak i różnego rodzaju pyłu. Główne funkcje:

obudowa otwierana od góry, zainstalowane fabrycznie: grzałka, wiatrak i zasilacz do kamery, podwyższona jakość pokrywy o zwiększonej przepuszczalności światła, klasa szczelności IP66, inteligentny system grzałki, wykonana w całości z aluminium.

8.3. Integracja obrazu z kamer z Portalem wideo SG

Portal Wewnętrzny SG ma możliwość publikowania multimedialnych treści audio/video udostępnianych przez serwer strumieniowy. Został do tego użyty działający w Portalu Wewnętrznym produkt „Web Content Management”.

Konieczna jest rozszerzenie miejsca w portalu wewnętrznym, w którym publikowane są obrazy on-line z już zainstalowanych kamer widokowych o nowo zainstalowane kamery przewidziane w projekcie. Niezbędne jest wykorzystanie mechanizmu kontrolek w celu zdalnego sterowania kamerami IP.

Umieszczenie zawartości video w portalu polega na umieszczeniu odpowiedniego fragmentu kodu HTML / Java Script w elementach treści. Odpowiednie fragmenty kodu, tak zwane wrapery, są rozpoznawane przez przeglądarkę klienta z zainstalowanym odpowiednią wtyczką – ShockwaveFlash. W przypadku, gdy klient nie posiada zainstalowanej odpowiedniej wtyczki, użytkownik zostanie zapytany czy odpowiednie oprogramowanie ma być zainstalowanie.

Obecnie wszystkie dane prezentowane przez portal zewnętrzny znajdują się w komponencie WCM. Dotyczy to zarówno tekstów jak i prezentowanych zdjęć na poszczególnych stronach jak i bibliotekach. W celu udostępnienia prezentacji

Rys. Wymiar kamery AXIS 215 PTZ


plików video na stronach portalu zostały wykonane prace mające na celu dostosowanie komponentu WCM do nowych funkcji.

Szablony zostały przygotowane tak, aby redaktor wypełnił jedynie niezbędne pola danych takie jak:

nazwa / identyfikator pliku video pliku video, obraz statyczny materiału wideo do prezentacji podczas wyszukiwania itp., wyświetlany tytuł filmu, krótki opis materiału wideo, kategoria filmu.

Szablon prezentacji zostały skonstruowane tak, aby zbudować odpowiedni wraper bazując na danych wprowadzonych przez redaktora.

Strony zawierające materiały video zawierają elementy aktywne Adobe Flex Player. Element aktywny uruchomiony w środowisku przeglądarki nawiązuje bezpośrednie połączenie z serwerem udostępniającym materiał video. Wysoka dostępność i wysoka wydajność usług jest gwarantowana przez zastosowanie urządzenia dystrybuującego ruch pomiędzy wiele serwerów strumieniowych.


9. Integracja z siecią LAN

9.1. Aktualny system sieciowy placówki

Urządzenia znajdujące się obecnie w placówce to routery, przełączniki sieciowe, firewall, akcelerator treści oraz telefony IP.

Rozdział omawia sposób podłączenia i integrację z działającym obecnie na placówce systemem sieciowym.

9.1.1. Konfiguracja warstwy L3

W poszczególnych lokalizacjach PT przełączniki podłączone do routerów nie posiadają funkcji routujacych. Jako default-gateway skonfigurowany został adres IP z VLANu 2, znajdujący się na routerze danej lokalizacji. Umożliwia on komunikację przełącznika po warstwie L3 z siecią LAN dla celów zarządzania tym przełącznikiem. Adres IP routera dla VLANu zarządzającego zakończony jest wartością .1.

9.1.2. Aktualna topologia sieci LAN

Konfiguracja w/w przełączników i modułów opiera się na ogólno przyjętej architekturze sieci w Straży Granicznej. W każdej placówce PT SG istnieją skonfigurowane następujące wirtualne segmenty sieci VLAN:

Lp. VLAN

ID Nazwa

1

2

3

4

5

6

7

8


9

10

11

13

14

15

16


9.2. Włączenie WLAN do sieci LAN

Kontrolery WLC zostaną dołączone do centralnego przełącznika LAN. Porty każdego kontrolera są ustawione w trybie LACP – link aggregation, który sumuje przepływność do 2 Gbps jednocześnie ustawiając tryb redundancji. Aby nie ograniczyć przepływności i zapewnić duży stopień redundancji należy wybrać porty przełącznika znajdujące się na dwóch różnych modułach liniowych.

Konfiguracja portów w przełączniku zostanie ustawiona jak niżej (przykład 1 portu i 1 interfejsu Port-Channel):

interface GigabitEthernet x/x description do WLC 1 etherchannel 1 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan x,x,x switchport mode trunk no ip address channel-group 1 mode on interface Port-channel1 description do WLC 1 porty switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan x,x,x switchport mode trunk no ip address

Kontrolery WLC wymagają agregacji łączy według algorytmów ip-src lub ip-src ip-dst, zostanie to zweryfikowane i ustawione na przełączniku LAN.

Na głównym przełączniku zostaną utworzone następujące sieci VLAN:

VLAN Name Status ---- -------------------------------- ------- [...] xxx Intranet_WLAN active xxx WLAN-VoIP active xxx WLC_AP_Korczowa active

Vlan 552 zostanie również uruchomiony na innych przełącznikach, do których będą podłączone punkty dostępowe tak, aby była komunikacja w obrębie tej sieci VLAN pomiędzy kontrolerami WLC i punktami dostępowymi. Wszystkie punkty dostępowe wewnętrzne zostaną dołączone do interfejsów z 802.3af PoE.

Projekt przewiduje uruchomienie dwóch kategorii sieci WLAN: telefonia IP, odprawa graniczna. Sieć telefonii IP, vlan telefoniczny z kontrolerów WLC będzie


terminowany na routerze brzegowym MPLS, ta podsieć wchodzi w zakres adresów IP włączonych w proces routingu EIGRP xxx, który wymienia informacje bezpośrednio z siecią operatora MPLS. Ruch pomiędzy placówkami jest przesyłany bezpośrednio przez sieć operatora, nie jest tunelowany ani szyfrowany na urządzeniach SG.


10. Integracja z systemami bezpieczeństwa

Sieć odprawy granicznej jest włączona w proces EIGRP xxx. Ten ruch jest przesyłany tunelami GRE i szyfrowany. Vlan odprawy granicznej zostanie włączony do nowo utworzonego kontekstu na zainstalowanym firewall’u ASA w placówce.

Rysunek poniżej pokazuje schemat logiczny włączenia sieci WLAN do sieci PSG

10.1. Integracja z systemem IPS

Straż Graniczna posiada urządzenia typu IPS (intrusion protection system), służące do wykrywania ataków sieciowych i ochrony sieci Straży Granicznej. Ruch sieciowy jest analizowany pod względem zgodności z uaktualnianymi sygnaturami. System WLAN wdrożony zaprojektowany w Straży Granicznej powinien współpracować z urządzeniami IPS tworząc automatyczne narzędzie neutralizacji zagrożeń sieciowych o następujących funkcjach:

wymiana informacji pomiędzy kontrolerem WLAN i Cisco IPS za pomocą bezpiecznego, szyfrowanego protokołu

podjęcie decyzji o zablokowaniu hosta przez system IPS ma skutkować zablokowaniem go na urządzeniach sieci WLAN

decyzja administratora o usunięciu blokady hosta z IPS (lub timeout blokady hosta na IPS) musi skutkować anulowaniem blokady po stronie urządzeń sieci WLAN


Zasady wymaganego projektem poziomu współpracy pomiędzy systemami WLAN i IPS zostały pokazane na rysunkach powyżej. Wymagana jest współpraca urządzeń WLAN z więcej niż jednym urządzeniem IPS.

10.2. Integracja z zarządzaniem incydentami Cisco MARS

Serwer Cisco MARS jest centralnym elementem zarządzania incydentami związanymi z bezpieczeństwem sieci (rozdział 2.5). Zainstalowane elementy systemu WLAN powinny współpracować z serwerem Cisco MARS. CS MARS może być uzupełnieniem wykrywania i korelacji typowych ataków w sieci WLAN które funkcjonuje na kontrolerach i systemach zarządzania WLAN, pozwalając administratorom systemów bezpieczeństwa w Straży Granicznej na całościowy widok stanu zagrożeń sieci.

Wsparcie systemu CS MARS dla sieci WLAN powinno uwzględniać następujące zdarzenia:

ataki DoS WLAN wrogie punkty dostępowe sondowanie sieci 802.11 uruchomione sieci Ad Hoc wykluczeni klienci WLAN stan działania sieci WLAN


Kontrolery sieci WLAN powinny przesyłać do serwera MARS powiadomienia SNMP (trap).

Ze względu na centralizację CS MARS i ograniczone pasmo w sieci MPLS WAN wymagana jest możliwość szczegółowego ustawienia które komunikaty powinny być przesyłane do serwera. Ustawienia po fazie uruchomienia sieci WLAN powinny być przejrzane i w razie potrzeby zmodyfikowane przez administratorów sieci w Straży Granicznej.

Przykładowy widok alarmu na konsoli CS MARS:

Projekt techniczny · Cisco Aironet 1140 Series Access Point ..... 26 4.2.2. Cisco Aironet 1522...

Documents

Transcript of Projekt techniczny · Cisco Aironet 1140 Series Access Point ..... 26 4.2.2. Cisco Aironet 1522...