1つの簡単な理由から、出版物には筋金入りの技術的詳細がないことをすぐに言わなければなりません。インターネットは「サービスモデル」に従って提供されます。 簡単に言えば、顧客は必要な通信サービスの要件を作成し、請負業者はこれらの通信サービスを競争的に提供します。 現在まで、モスクワのWi-Fi in hostelsプロジェクトの下で、競争力のある手順の結果に基づいて選択されたVimpelComとMGTSの2つの主要なオペレーターがモスクワで通信を提供しています。 ネットワークの品質と可用性を決定するのは、これら2つのオペレーターの仕事です。
ホステルでのインターネットへのワイヤレスアクセスは、市のWi-Fiプロジェクトの一部であり、これには他の公共施設が含まれます:都市公園、文化的な場所、歩行者、自転車道。 大学の寮はプロジェクトの主要部分の1つであり、今日の記事でそれらについて説明します。
この記事の執筆時点では、2つのオペレーターによって合計5561の無線アクセスポイントが設置されており、それらはすべてモスクワ大学の121の寮にあり、約7万7千人の学生が住んでいます。
オペレータの作業には多くの要件があり、その1つは各ポイントで少なくとも10〜15人の加入者の安定した運用です。 同時に、10〜15人が最大加入者数ではありません(上限しきい値はまだ設定されていません)が、安定してサービスを提供する必要がある推定推定数(最大30人の加入者が安定してサービスを受ける場所があります)。
まもなく、Unified Mobile Platformを使用して運用されるCity Wi-Fiプロジェクトのすべての分野でSMS認証が利用可能になります。 そして、これが発生するまで、承認は事業者のネットワークに実装されます。
例として、MGTSオペレーターからのホステルに通信サービスを提供するモデルをさらに詳しく考えてみましょう。
MGTSネットワークは、Hewlett-Packardのソリューションを使用して展開されます。 2.4 GHzおよび5 GHz帯域で動作するWi-Fiアクセスポイントは、集約スイッチング機器を介して、GPONテクノロジーに基づくトランク通信チャネルに接続されます。 集中管理を提供するために、HP iMC Wireless Services Manager管理システムと組み合わせて接続されたHP 870 Unified Wired-WLAN ApplianceハードウェアコントローラーとN + Mで構成される、地理的に分散した2つのクラスターが使用されます。
クライアントアクセスレベルのブロック図
アクセスポイントとして、2つの2.4および5 GHz帯域をサポートする2つの無線インターフェイスを備えたHP4xxシリーズ製品が選択されました。 これにより、2.4 GHz帯域(最も一般的ですが、最も「ノイズの多い」帯域)および5 GHzの各アクセスポイントでサービスを開始できます。 Radio Resource Management(RRM)テクノロジーは、主にこれらの周波数で5 GHz(または両方の帯域)をサポートするユーザーデバイスを接続するのに役立ち、ユーザーの通信品質を向上させます。 また、RRMは絶えず環境を分析し、すべてのアクセスポイントの放射電力を自動的に調整して、最適なカバレッジを実現します。 シームレスなローミングのおかげで、ユーザーは切断せずにホステル内を移動できます。 アクセスポイント間でクライアントを分散すると、接続されているすべてのユーザーに対して高品質の接続が維持され、隣接する空きポイントがある場合に個々のアクセスポイントに過負荷がかかることがなくなります。
ネットワークに接続しようとすると、ユーザーは携帯電話番号による認証のためにWebポータルにリダイレクトされます。 SMSで受信したパスワードを入力すると、ユーザーはインターネットにアクセスできます。 現在、システムは最大15,000の同時ユーザーをサポートしています。 ポータルは、HP iMC管理システムのソフトウェアモジュールUser Access Manager(UAM)に基づいて実装され、同じモジュールがRADIUSサーバーの機能を実行します。 HP iMCシステムのワイヤレスサービスマネージャー(WSM)モジュールにより、単一のソリューション管理インターフェイスが提供されます。 このモジュールを使用すると、オペレーターは、ワイヤレスネットワークのマップ、カバレッジエリア、およびフロアプラン上の機器の位置を確認し、サービスを作成、実行、またはオフにすることができます。 一般に、このような規模(2300以上のアクセスポイントと15000の同時ユーザー)で管理および承認タスクを解決するために、10台のHP第9世代サーバーが使用されます。
ソリューションの詳細な説明
回路は、3つの主要な機能ブロックで構成されています。
-ワイヤレスネットワークのコア
-コアとオブジェクト間のトランスポートネットワーク
-サイト上のLAN
コアは地理的に分散しています。 各サイトは、Wi-Fiコントローラー、HP IMC管理サーバー、SMSゲートウェイを備えたキャプティブポータルサーバー、および認証サーバー(RADIUS)で構成されています。 Wi-Fiコントローラーは、アクセスポイントの集中管理、無線リソース管理、ユーザーセッション管理を提供します。 不正なユーザーデバイストラフィックは、コントローラーを介して分離VLANに流れます。 許可されたユーザーのトラフィックは、インターネットにアクセスできるサイトでローカルVLANに切り替えられます。
すべてのユーザーがインターネットに確実にアクセスできるように、Cisco CRS-3 ASBRにインストールされた高性能CGSE +モジュールに基づいて実装されたCisco Carrier Grade NATオペレータソリューションが使用されます。 CGSE +モジュールの宣言されたパフォーマンスは、最大80ギガビット/秒の半二重および8000万のNAT変換です。
施設のラストマイルはGPONです。 3つのVLANは、ONTのタグ付きインターフェイスの各オブジェクトに接続されます。
アクセスポイント、スイッチ、およびUTM Fortigateと呼ばれる多機能デバイスで構成されます。 L2は、リングで互いに接続されたスイッチの集合です。 Fortigateもリングの一部です。
3つのVLANが含まれます。 VLAN MGMT、VLAN WIFI-HP-CONTROL、VLAN INTERNET、許可されたデバイスが接続されています。
UTM Fortigateには、Wi-FiコアとCG NATへのdhcp-relayが含まれています。 DPI、webfilter、メール検査、SSL検査、デバイス認識などとして使用される可能性があります。 FSTECは低暗号化ライセンスで承認されました。
-ワイヤレスネットワークのコア
-コアとオブジェクト間のトランスポートネットワーク
-サイト上のLAN
ワイヤレスコア
コアは地理的に分散しています。 各サイトは、Wi-Fiコントローラー、HP IMC管理サーバー、SMSゲートウェイを備えたキャプティブポータルサーバー、および認証サーバー(RADIUS)で構成されています。 Wi-Fiコントローラーは、アクセスポイントの集中管理、無線リソース管理、ユーザーセッション管理を提供します。 不正なユーザーデバイストラフィックは、コントローラーを介して分離VLANに流れます。 許可されたユーザーのトラフィックは、インターネットにアクセスできるサイトでローカルVLANに切り替えられます。
すべてのユーザーがインターネットに確実にアクセスできるように、Cisco CRS-3 ASBRにインストールされた高性能CGSE +モジュールに基づいて実装されたCisco Carrier Grade NATオペレータソリューションが使用されます。 CGSE +モジュールの宣言されたパフォーマンスは、最大80ギガビット/秒の半二重および8000万のNAT変換です。
輸送ネットワーク
施設のラストマイルはGPONです。 3つのVLANは、ONTのタグ付きインターフェイスの各オブジェクトに接続されます。
- VLAN WIFI-HP-CONTROLは適切なVRFに接続し、2つの目的を果たします。ワイヤレスネットワークのコアからのデバイス管理(スイッチとゲートウェイ)。 アクセスポイントから、ポイント管理トラフィックおよび無許可のデバイストラフィックをホストするコントローラーへのCAPWAPトンネルをインストールします。
- VLAN WIFI-HP-INET-DPIは対応するVRFに接続され、対応するルール(QoSなど)を使用してインターネットトラフィックを渡します。
- MGMT VLANは対応するVRFに接続され、オペレーターのネットワークからスイッチとゲートウェイを管理します。
サイト上のLAN
アクセスポイント、スイッチ、およびUTM Fortigateと呼ばれる多機能デバイスで構成されます。 L2は、リングで互いに接続されたスイッチの集合です。 Fortigateもリングの一部です。
3つのVLANが含まれます。 VLAN MGMT、VLAN WIFI-HP-CONTROL、VLAN INTERNET、許可されたデバイスが接続されています。
UTM Fortigateには、Wi-FiコアとCG NATへのdhcp-relayが含まれています。 DPI、webfilter、メール検査、SSL検査、デバイス認識などとして使用される可能性があります。 FSTECは低暗号化ライセンスで承認されました。
最高のカバレッジを確保するために、専門家は、内蔵アンテナとリモートアンテナの両方で最適なアクセスポイントが選択された結果に応じて、包括的な無線調査を実施しました。 すべてのアクセスポイントはPoEテクノロジーを使用して接続され、無停電電源装置はアグリゲーションおよびチャネル形成機器の電源を保証します。 このスキームは、電源ネットワークの短期的な停止またはドロップ中にネットワークの正しい動作を保証します。
アクセスが既に許可されている教育機関には、連絡先情報が記載された情報プレートがあります。そのため、都市部の無線アクセスがある大学の寮に住んでいて、突然機能しない場合は、お気軽にこれらの番号に電話してください。 4時間以内でなければなりません。
デバイス認証スキーム:
突然あなたがモスクワ大学のホステルのWi-FIユーザーであるか、このサービスがどのように機能するかについていくつかの質問(またはより良い-提案)がある場合、コメントでそれらを見ることができます。
ビデオ監視に関するいくつかの言葉:)作業はあなたの助けを借りて積極的に続けられています。共同特別プロジェクトでシステムをテストする一環として送信したフィードバックに感謝します。
1つの重要な変更点に注意してください。 テスト中に作成したアカウントの数は限られていましたが、テストに参加したい人の数はすべての予想を超えていました。 したがって、私たちは次のように進むことにしました: State Serviceのモスクワポータルにアカウントがある場合、ポータルログインを使用して特別プロジェクトのページにテストのリクエストを残すことができます。 できるだけ早くアプリケーションを処理し、テストへのアクセスを提供するよう努めます。
そして最後の1つ。 特別なプロジェクトの主な目標は、プロのコミュニティがカメラで遊ぶことだけでなく、サービスをより良くするのを助けることです(将来、カメラで遊ぶのをより便利にすることです)。 そのため、このサービスについて決めた後、サービスを改善するための感想やアイデアを共有してください。 サービスに関するフィードバックは、インターフェースのテキストや組版から、作業中のバグや脆弱性に関する情報まで、役に立ちます。 特別なプロジェクトの間に、多くの有用な願いが送られました(そのうちのいくつかはすでに考慮されています)が、ここでは、冗談のように-欲のために丸薬が欲しいのですが、もっともっと!
あなたの意見は私たちにとって本当に重要です。
ご清聴ありがとうございました!
Habréのブログもご覧ください。
» 13万台の監視カメラ-それらを機能させる方法は?
» モスクワの130,000台のカメラのHabraeffect
» 情報技術はモスクワで75万人以上の人々に供給されています
» ハブラハブルのモスクワ市の情報技術局のブログ