Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Оглавление
Введение
Wi-Fi и размер бизнеса
2.1 для малого бизнеса
2.2 для среднего
2.3 для enterprise
Сценарии применения Wi-Fi в сферах бизнеса
3.1 Wi-Fi на заводе
3.2 Умный ритейл. Wi-Fi в магазины и ТРЦ.
-Сеть магазинов
-Маркетинг ТРЦ
3.3 Wi-Fi в отеле, ресторане, кафе.
3.4 Wi-Fiв банках
3.5 Wi-Fi на складе
Заключение
Введение
В прошлой статье рассказ шел о технологиях и инструментах, которые внедряют в Wi-Fi. Часть 2 будет о типовых сценариях внедрения. Если лень читать- проматывай (ссылка на ту же статью в блог) вниз, там будет калькулятор. Калькулятор учитывает вендора, количество точек доступа и дополнительный функционал.
Сразу оговорюсь, статья будет не только о Wi-Fi 6 в вакууме. В каждом кейсе будет примеси других технологий и оборудования. Все статьи я составлял с помощью решений от Cisco и Aruba/Huawei как альтернатива. Но это не значит, что мы не найдем аналогов на Zyxel.
Начнем с решений в зависимости от масштаба бизнеса. Каждый класс предприятий имеет свой подход к построение беспроводной сети.
Wi-Fi и размер бизнеса
Малый бизнес
В малом бизнесе требования к WI-Fi сетям минимальные. В офисе на 20-30 человек хватит 1-2 точек доступа. Контроллер не нужен, либо им может стать точка доступа. Если в офис приходят посетители, стоит позаботиться о гостевом доступе. Возможна интеграция склада и терминалов сбора данных через беспроводное соединение. Кибербезопасность ограничивается антивирусами на конечном устройстве и двухфакторной аутентификацией (Cisco Duo).
Средний бизнес
Схема беспроводной сети в средней компании уже включает в себя контроллер. Контроллер управляет подключенными точками доступа. В компаниях с виртуализацией контроллер может устанавливаться на виртуальную машину.
Еще в среднем бизнесе появляется понятие кибербезопасности. Дополнительно к аутентификации добавляется межсетевой экран для анализа вирусов в трафике. В теории каждый узел может быть защищен. Вопрос: стоит ли объект защиты потраченных средств.
В офисе любого размера есть потребность в мобильных сотрудниках. Удаленка экономит деньги на аренду и содержания офиса. Командировки помогают вести проект и разговаривать с сотрудниками на месте. Выезды к заказчику приближают его к покупке. Чтобы безопасно подключаться к инфраструктуре нужен безопасный канал. Cisco AnyConnect его предоставляет.
Типовой дизайн:
Требуется подключения Wi-Fi и сетевых служб в офисе «под ключ». В офисе должны быть проводная и беспроводная инфраструктура, гостевой доступ, система безопасности, унифицированные коммуникации.
Помещение 1500 м2
Кол-во сотрудников: 150 человек
Решения кейса
На уровень ядра устанавливается коммутатор доступа- Catalyst 9500.
На уровне доступа- Catalyst 9200. Точки доступа- Cisco Aironet 9117 или 9120.
Контроллер Catalyst 9800-L.(может быть виртуальным)
Управление и контроль: Cisco ISE (Опция)
Безопасность периметра: Firepower 1010 + Duo (Опция)
Продукты: Cisco DNA, Firepower+ Duo+ESA/WSA, Cisco ISE, Cisco Aironet 9117.
Enterprise
Организация
WLAN на уровне бранча (офиса компании), не отличается от среднего. На глобальном уровне добавляются коммутаторы ядра и DNA Center. Enterprise отличается от СМБ построением кибербезопасности в компании, интеграцией бизнес-приложений (но о них мы поговорим в другой статье) и повышенной отказоустойчивостью.
В Enterprise сегменте кибербезопасность более актуальна, чем в среднем бизнесе. Точек проникновения злоумышленников больше, чем в среднем бизнесе. Цена ошибки выше. Стоимость простоя региональной сети магазинов может достигать сотен миллионов рублей.
Категории средств безопасности:
Антивирусная защита
Межсетевой экран
Системы предотвращения утечек данных
Фильтрация трафика
Антишпионское ПО
Средства шифрования
Сканеры уязвимости
SIEM-системы
Защита приложений
Web Application Firewall
CDN
Контроль доступа
Каждая категория закрывает потребность Enterprise в безопасности. Но эта статья больше для СМБ, поэтому не будем углубляться в подробности решений для большого бизнеса.
Сценарии применения Wi-Fi в сферах бизнеса
Описание сценариев применения будет по принципу.
Типовой дизайн предприятия сценария
Технологии для решения задач сценария
Решения кейса
(Иногда) Схема исполнения
Все описанные сценарии- общее среднее по сфере бизнеса. Типовые проблемы, которые мы часто встречаем у заказчиков, описаны ниже.
Каждый бизнес особенный, и кейс может отличаться от Вашего.
Wi-Fi на заводе
Wi-fi сеть на заводе строится по подобию складской сети. Разница в производственной линии и более агрессивной среде.
Типовой дизайн: в промзоне размещен арматурный завод. Управление завода намерено внедрить терминалы сбора данных для маркировки конечной продукции. На территории цеха отсутствует беспроводная сеть- ее нужно построить с нуля. Финансовые потери от 1 дня простоя составляют от 10 до 80 млн рублей в зависимости от контракта.
Применимые технологии:
Задача похожа на организацию Wi-Fi на складе, с важным отличием. Есть производственная линия, управляемая промышленными ПК. Терминалы сбора данных, вместе с высоким темпом производства нагружают беспроводную сеть. Высокая цена простоя требует вложений в кибербезопасность.
Основной акцент делается на непрерывности производственного процесса.
Риски прерывания по части IT инфраструктуры:
Прерывание сигналов IOT устройств из-за перекрытий и чугунного оборудования
Физическое повреждение IT-оборудования
Остановка процессов вследствие вредоносного ПО и хакерской атаки
Направленные антенны
Электромагнитные помехи, изоляционные материалы, плотные перекрытия, балки, опоры мешают распространению Wi-Fi сигнала. Без направленной антенны сигнал потеряется. Технология Beam Forming подойдет для агрессивной среды завода.
Кибербезопасность
Атака на производственную цепь- цель для злоумышленников. Основные цели- бизнес-данные, энергоснабжение, АСУ-ТП. Отвязать сеть, возможно, лучшее решение для безопасности производственного цикла. Все управление производством сводится к 1-2 ПК. На них установлены специальное ПО управления.
Атака на производственные процессы может проходить не впрямую на ПК управления. А через офис. Фишинговая рассылка может быть адресована в центральный офис компании, а затем прислана директору завода. Поэтому для защиты сети нужен мониторинг трафика.
Задача безопасности сводится к безопасности этих промышленных ПК и смежных устройств. Фаерволлы, Многофакторная аутентификация и анализ трафика сети обезопасят промышленную сеть.
Пример использования:
Складское помещение нуждается в бесперебойном wi-fi. Работа на территории ведется в 3 смены. Стоимость простоя: 10 млн. руб./сутки.
Одноэтажное здание
Площадь: 20 000 м2
Кол-во ТСД: 20шт.
Кол-во ноутбуков 15 шт.
Решения кейса
На уровень ядра устанавливается коммутатор доступа- Catalyst 9400.
На уровне доступа- Catalyst 9200. Точки доступа- Cisco Aironet 9117 с внешними антенами.
Промышленные коммутаторы: Cisco IE 1000 с защищенными портами TACACS (Опция)
Контроллер в отказоустойчивой конфигурации (может быть виртуальным).
Управление и контроль: Cisco ISE (Опция)
Безопасность периметра: Firepower+ Duo (Опция)
Продукты:
Cisco: Маршрутизатор Cisco ISE (Опция), МСЭ Firepower+ Duo, Контроллер точек доступа WiFi C9800-40-K9, точки доступа Cisco Aironet 9117 Out-Door.
Huawei: USG 6320, Контроллер Huawei AC6508, точки доступа AirEngine 6760X1
Aruba: Контроллер Mobility Conductor Hardware Appliance, точки доступа 518 Series, управление Aruba Central
Умный ритейл. Wi-Fi в магазинах и ТРЦ
Wi-Fi в ритейле использует службы склада, создает гостевой доступ для посетителей и служит для маркетинговых исследований и уведомлений. Wi-Fi маркетинг, наверное, единственное применение технологии, которое может приносить прямую прибыль компании. Фактически Wi-Fi в магазине или в офисе продаж является образующей технологией. Склад магазина использует терминалы сбора данных, они беспроводные.
Сеть магазинов
Кейс: сеть продуктовых магазинов не имеет беспроводной сети в каждой точке продаж. Проблемы недочета товара привели к модернизации системы склада и внедрению терминалов сбора данных (ТСД). Каждый ТСД требует подключения к беспроводной сети, значит в каждой точке продаж должен быть местный Wi-Fi.
Решение: организация беспроводной сети в точке продаж - задача не сложная. Сложности начинаются в организации магазинов в единую сеть и управление беспроводной сетью из центрального офиса. Для построения таких сетей используются виртуальные контроллеры. Контроллеры размещаются на виртуальных машинах и используют мощности, которые ей выделены. Обслуживание виртуального контроллера не требует присутствия администратора в серверной. Администратор может управлять оборудованием хоть у себя дома.
Технологии и средства
Виртуальный контроллер
WLC (Опция)
(Wireless Local Controller) может контролировать разветвленные сети, вроде той, что в кейсе. Основные проблемы в управлении такими сетями:
нехватка информации о магазине (качество покрытия, загруженность устройств, безопасность в сетях, время на устранение ошибок и их кол-во)
Отдельные дорогостоящие специалисты на конечных точках (магазины, офисы и т.п.)
Увеличение человеко-часов на обслуживание инфраструктуры как в магазине, так и в центральном офисе
WLC управляет всеми точками доступа из центра управления. Центр управления — это веб-интерфейсы, или CLI с которого администратор управляет параметрами каждой подключенной точки.
DNA (Опция)
DNA управляет всеми сетевыми устройствами, чего не может сделать WLC. Это виртуальные маршрутизаторы, коммутаторы, межсетевые экраны, контроллеры точек доступа и сами точки доступа.
Обычно DNA внедряется как подспорье раздутому штату инженеров. Однако внедрение DNA- дорогостоящий процесс.
Система по своим характеристиками и цене подходит среднему и Enterprise бизнесу.
Продукты:
Cisco: МСЭ Firepower 2100, контроллер Контроллер WiFi C9800-40-K9 (может быть виртуальным), точки доступа Catalyst 9113, DNA(возможно).
Huawei: МСЭ USG 6320, Контроллер Huawei AC6508, точки доступа AirEngine 8760-X1
Aruba: Контроллер Mobility Conductor Hardware Appliance, точки доступа 515 Series, управление Aruba Central
Маркетинг ТРЦ
Кейс: Маркетинговый отдел торгового центра «Юпитер» сообщил о снижении спроса на продукцию. Маркетологи сошлись во мнении, что посетители хотят более индивидуального подхода. Было принято решение внедрить систему умного Wi-Fi и видеоаналитики.
Решение:
Технологии трекинга на территории магазина появились 4-5 лет назад. Последние 2 года маркетинг активно внедрял эти технологии. И сейчас Вы наблюдаете их у себя в уведомлениях на телефоне.
Эта связка дает информацию:
о поле
возрасте
предпочтениях
семейном положении
покупательской способности
В умелых руках эти инструменты продают посетителю те товары, которые, возможно, хочет купить покупатель.
Пример: В середине зимы вы пришли в торговый центр, в котором уже были раньше. После 10 мин прогулки в таком центре, на телефон приходит push-уведомление магазина N с предложением купить пальто по скидке. Система предложила пальто, по нескольким причинам.
1.Скоро будет весна
2. Вы уже покупали в магазине N одежду
3. Вы даже примеряли пальто в магазинах конкурентов.
Каждая крупица информации- процент к вероятности покупки. Как только количество информации наберет критическую массу произойдет продажа.
Точность предложения, зависит от количества информации о покупателе. Никто не любит, когда "впаривают" ненужный товар. Системы аналитики на базе wi-fi сделают предложение точнее.
Продукты:
Cisco: МСЭ Firepower 2100, контроллер Контроллер WiFi C9800-40-K9 (может быть виртуальным), точки доступа Catalyst 9130, DNA (Опция), Duo (Опция).
Huawei: МСЭ USG 6320, Контроллер Huawei AC6508, точки доступа AirEngine 8760-X1
Aruba: Контроллер Mobility Conductor Hardware Appliance, точки доступа 530 Series, управление Aruba Central
Wi-Fi в отеле, ресторане, кафе (HoReCa)
В гостиничном и ресторанном бизнесе беспроводная связь является правилом хорошего тона. Вы можете работать в командировке, Вы показываете презентации на переговорах в кафе или ресторане.
По факту, внедрение передовых технологий в отель- имиджевый вопрос. Хорошее Wi-Fi соединение воспринимается пользователями как стандарт, а не как дополнительное удобство.
Типовой дизайн (на примере гостиницы):
Для гостиниц характерна разветвленная сеть wi-fi точек. Так как каждый номер должен быть покрыт Wi-Fi сигналом, сеть потребность в большом количестве точек. На территории отеля нет посторонних точек, значит нет конфликта между сигналами, интерференции и пр. Есть только большое количество перекрытий и стен.
Технологии и сферы применения:
Гостевая Wi-Fi сеть отеля
Гостевой беспроводной сети уделяют особое внимание. Гости приезжают на командировку, по работе, или в качестве фрилансеров. Оставлять их без качественной Wi-Fi сети- удар по репутации. Вряд ли они вернутся при следующей поездке или порекомендуют отель друзьям, если сеть будет прерываться и мешать работе.
Beam Forming
Поможет преодолеть стены между номерами. Beam Forming усиливает слабый сигнал, в частности, для преодоления стен. Следовательно, чтобы покрыть всю площадь сигналом, потребуется меньше точек доступа.
BSS Coloring
В зонах, где конечные устройства находятся между точками доступа, антенна конечного устройства может подключаться то к одной, то к другой антенне. Из-за этого сигнал будет прерываться.
IOT и умное управление отелем (Опция)
В отель можно внедрить все то же самое что и в умный дом. Но в отеле есть котельные, электрощитовые, системы управления отелем и пр. IOT устройства и беспроводная сеть поможет управлять всеми основными системами из единого центра.
Управление:
освещением, влажностью, отоплением
датчики движения
сетью, розетками
электронными дверьми и окнами
IOT-техника (умные пылесосы, колонки, телевизоры и т.п.)
Таким образом обслуживание зданием можно управлять из дома. Это ведет к снижению затрат на инфраструктуру.
Авторизация пользователей и гостевой портал
В последнее время стали популярны гостевые порталы. На гостевом портале пользователь может заказать еду в номер, подключить каналы на ТВ и забронировать время на лечебные процедуры. Пользователи заходят на портал по внутренней сети гостиницы, без подключения к интернету.
Пример использования:
Отель 5 Season – 7-х этажное здание. В здание проведен 10-гигабитный интернет, но с самого начала модернизации, постояльцы жаловались на плохой Wi-Fi. В конечном счете, руководство приняло решение модернизировать беспроводную сеть отеля. Тем более, что появились технологии умного управления отелем. Это внедрение повысит статус отеля среди конкурентов.
Кол-во номеров: 110шт.
Кол-во IOT устройств- 2000 единиц
Решения кейса
На уровень доступа устанавливаются 2 коммутатора - Catalyst 9400 в стэке .
На уровне доступа на каждый этаж устанавливается коммутаторы Catalyst 9300. Точки доступа- Cisco Aironet 9120 с функцией CleanAir.
Контроллер 9000 в отказоустойчивой конфигурации (может быть виртуальным).
Управление и контроль: Cisco ISE
Безопасность периметра: Firepower 2100.
Продукты:
Cisco: МСЭ Firepower 2100, контроллер Контроллер WiFi C9800-40-K9, точки доступа Catalyst 9120, DNA (Опция), ISE, Duo (Опция).
Huawei: МСЭ USG 6320, Контроллер Huawei AC6508, точки доступа AirEngine 8760-X1
Aruba: Контроллер Mobility Conductor Hardware Appliance, точки доступа 550 Series, управление Aruba Central
Финансовый сектор
Под эту категорию попадают банки, компании-брокеры, финтех стартапы. По отчету в IV квартале 2020го года совершено 29 преступлений в финансовом секторе. Главные объекты атаки- сетевое оборудование (26 из 29 атак).
Чтобы обезопасить компанию от хакеров, стоимость взлома должен быть высокой. Чем больше времени, денег, человеческих ресурсов потратит хакер, тем вероятнее, что взлом не случится. Без сомнения, это самый эффективным способ защиты.
В 95% банках установлен wi-fi, но только 23% используют дополнительные средства безопасности. Дополнительные средства безопасности это- песочницы, многофакторная аутентификация, анализ поведения пользователей, мониторинг сетевой активности. Каждый из перечисленных пунктов делает дороже цену взлома.
Дизайн сети
Сетевая топология- тоже способ построить безопасность. Не будем заострять внимание на высоте монтажа точек.
Существуют требования к дизайну сети:
Выделение специальных зон для гостевого доступа
Разные права доступа гостевого и офисного доступа
Подавление сигнала за пределами зон
Для безопасности сети на каждом узле должна быть своя защита. На уровне коммутатора- политика управления портами, на уровне контроллера- построение политики подключения, на уровне файрволла- аналитика поведения пользователей и аутентификация.
Более подробно о средствах защиты
Песочницы
Термин не совсем правильный в рамках Wi-Fi, но раскрывающий суть. В сети создается промежуточная зона, с SSL (или другой) сертификацией. Любой вредонос повредит только виртуальную машину, на которой размещены ПО и данные. Оригиналы же будут не тронуты.
(Более подробный ответ есть у Kaspersky)
Шифрование потоков данных/ Мониторинг зашифрованного трафика – злоумышленник может перехватить данные в wi-fi. Это может быть инсайдерская информация или имена доверенных лиц, которые он потом использует. Чтобы не допустить утечки, данные должны шифроваться. Шифрование происходит на уровне точек доступа и контроллера. Никакого дополнительного ПО не нужно.
Многофакторная аутентификация ИЛИ авторизация- распространенный способ защиты сетей. Простой принцип действия- любой, кто заходит в сеть, подтверждает личность генерируемым паролем, письмом или биометрией. Способов идентификации много.
Аналитика поведения пользователей
Системы анализа пользователей в сети, пока что best-practice в мире сетевой безопасности. Сложность обмана такой системы стоит дорого в расчете денег и человеческих ресурсов.
Принцип действия систем поведенческой аналитики-
Создается образ посетителя сети, который наделяется определенными параметрами (их очень много).
Частота (ГГц)
Фреймы
Количество
Используемые приложения
Базовая скорость
Скачки триангуляции
И многое, многое другое (см. документацию)
Стандартный посетитель сети находится в допустимых пределах. Как только пределы нарушены, система ищет паттерны злоумышленника или вредоносного ПО. В случае совпадения – пользователь блокируется.
Продукты:
Cisco: МСЭ Firepower 2100, контроллер Контроллер WiFi C9800-40-K9 (может быть виртуальным), точки доступа Catalyst 9120, DNA, ISE (Опция), Duo, Wireless IPS (Fortigate) или Cyber Threat Defense, Cisco DNA (Опция), Cisco Umbrella (Опция), ESA/WSA (Опция), SecureX (Опция).
Huawei: МСЭ USG 6320, Контроллер Huawei AC6508, точки доступа AirEngine 8760-X1
Aruba: Контроллер Mobility Conductor Hardware Appliance, точки доступа 550 Series, управление Aruba Central
Wi-Fi на складе
Типовой сценарий:
Высокие стеллажи с паллетами товара, высокие потолки, высокое содержание пыли и влажности делают распространения сигнала сложным и неравномерным. Зимой неотапливаемые склады страдают от влажности и низких температур.
К складской Wi-Fi сети подключаются терминалы сбора данных, сканеры штрихкодов и ноутбуки. Каждый терминал или ноутбук обращаются к базам данных и бизнес-приложениям.
Как видно из примера условия беспроводной сети на складе можно считать сложными, если не агрессивными.
Проблема решается комплексно
Защита от помех и высокоскоростные точки доступа.
У вендоров уже появились точки доступа с защитой от помех. Например, у Cisco это Clean Air. Технология находит источник(и) помех и перенастраивает сеть для лучшего сигнала.
Управление политиками доступа.
У ТОП производителей точек доступа есть контроллеры с дополнительным ПО, для управления. Платформы управления могут автоматически управлять и балансировать точки доступа.
Правильное расположение точек доступа.
Даже 6й стандарт не обойдет стеллаж толщиной в 3 метра. Только правильное расположение точек доступа покроет сигналом весь склад.
Чтобы узнать где сигнал ловит хуже, нужен предиктивный анализ. Есть несколько способов исполнения предиктива.
Первый способ- без выхода на местность.
В специальной программе строят план помещения, указывают материалы перекрытия, высоту потолков и другие подробности. На план наносят точки доступа, и программа обсчитывает распространение сигнала. Если покрытие сигналом устраивает- точки устанавливаются в реальности.
Второй способ- с выходом на местность.
На территории предприятия устанавливаются тестовые точки доступа. Далее инженер ходит с Wi-Fi антенной по территории склада и проверяет уровень сигнала. Преимущество метода в высокой точности, так как покрытие проверяется на практике.
Пример использования:
Складское помещение нуждается в бесперебойном wi-fi. Работа на территории ведется в 3 смены. Стоимость простоя: 150k$/сутки.
Одноэтажное здание
Площадь: 25 000 м2
Кол-во ТСД: 25шт.
Кол-во ноутбуков 20 шт.
Решения кейса
На уровень доступа устанавливается коммутатор доступа- Catalyst 9400.
На уровне доступа- Catalyst 9200. Точки доступа- Cisco Aironet 9117 с внешними антеннами.
Контроллер WiFi C9800-40-K9 (может быть виртуальным) в отказоустойчивой конфигурации.
Управление и контроль: Cisco ISE (Опция)
Безопасность периметра: МСЭ Firepower 2100.
Продукты:
Cisco: МСЭ Firepower 1100, контроллер Контроллер WiFi C9800-40-K9, точки доступа Aironet 1560, ISE, Duo, Cisco DNA.
Huawei: МСЭ USG 6320, Контроллер Huawei AC6508, точки доступа AirEngine 6760-X1E
Aruba: Контроллер Mobility Conductor Hardware Appliance, точки доступа 513 Series, управление Aruba Central
Калькулятор есть в статье в блоге
В этом калькуляторе подобраны минимальные позиции по которым, можно примерно понять от какой цены начинается внедрение WI-Fi.
Заключение
В этих двух статьях я постарался широкими мазками описать как и куда внедряется Wi-Fi.
Статья не освещает каждую сферу глубоко и не стоит читать ее как руководство. Чтобы подобрать решения под конкретный случай пишите нам на zakaz@olly.ru