En este primer Caso de Estudio, vamos a analizar la implantación de la infraestructura de red para dar acceso Wifi y Internet para un Congreso.
Descripción del proyecto de infraestructura de red
Este proyecto tenia como objetivo dar servició de acceso a Internet y Wifi para las JornadasRDI que se realizaron los días 29 y 30 de setiembre de 2016 en Vic.
Dividiremos los requerimientos de este proyecto en 4 apartados:
- Acceso a Internet
- Servicios Wifi
- Streaming de Vídeo
- Demostraciones
1. Acceso a Internet
En el edificio contaremos con las siguientes conexiones a Internet:
- Conexión por fibra óptica de 100Mb simétricos.
Esta conexión se entrega a través de otra red con bastantes usuarios, con lo que no tenemos el ancho de banda requerido, y por lo consiguiente debemos tener en cuenta que puede haber fluctuaciones puntuales en dicha conexión.
- Conexión por fibra óptica de 300Mb simétricos.
El operador de la zona (Goufone) nos proporciona una línea de fibra dedicada para nosotros de 300Mb simétricos. Este red es dedicada por lo que podemos gestionar el ancho de banda completamente.
2. Servicios Wifi
Las previsiones de afluencia de público són de unos 450 asistentes.
Estos ocuparan el espacio de 4 salas:
- Auditorio de conferencias. (max 250 personas)
- Sala Anexa a conferencias. (capacidad para 100 personas)
- Sala demostraciones. (capacidad para 150 personas)
- Sala de catering y posters. (capacidad para 150-200 personas)
Se ha especificado que solo habrá un SSID (una nombre de acceso a la red wifi) para dar servicio a todos los asistentes.
Esta conexión wifi, tendrá que dar servicio de Internet, a través de los protocolos más usados y evitando descargas tipo P2P o Torrent para evitar el desbordamiento de tráfico.
3. Streaming de Vídeo
Todo el congreso se retransmitirá vía Streaming con lo que se tendrá que reservar un ancho de banda fijo y garantizado para este servicio.
Las especificaciones para el Streaming son:
- Calidad 720p -> Ancho de banda 5Mbps
- Calidad 1080p (HD) -> Ancho de banda 18Mbps
4. Demostraciones para Conferenciantes
Habrá varios dispositivos que tendremos que asegurar un ancho de banda determinado, para poder realizar demostraciones, llamadas de videoconferencia entre otros.
Características de la Infraestructura de Red y Servicio ofrecido
Vamos a entrar en materia, exponiendo la solución que se dio desde Moving-IT para cumplir todos los requerimientos descritos anteriormente.
Material utilizado
- Firewall Fortigate 100D
- Access Points (APs) Ubiquiti Unifi
- Controlador Wifi por Software
- Cableado de red
- PC Gestión
Diagrama de cobertura Wifi y ubicación de los APs
Para dar cobertura a todas las dependencias, se estimo que con 4 APs, seria suficiente.
Se seleccionaron los siguientes modelos:
- 3 Access Points Ubiquiti UAP-AC-LR – Punto de acceso inalámbrico
- 1 Access Point Ubiquiti UAP-AC-PRO – Punto de acceso
Según especificaciones del fabricante, estos Access Points soportan hasta 200+ Usuarios. (Especificaciones Unifi AP)
Para la ubicación de los APs se tuvo en cuenta los siguientes criterios:
- Afluencia de público en cada área
- Radio de cobertura de los APs
- Máximos usuarios por APs.
A continuación tenéis el mapa de cobertura realizado con el Unifi Controller de Ubiquiti para gestionar los Access Points.
En el mapa vemos como todas las zonas quedan cubiertas por la señal emitida por los Access Points.
Diagrama de la infraestructura de red
Se escogió como dispositivo central para la infraestructura de red un Firewall UTM de Fortinet, para dar los servicios de:
- Múltiples conexiones WAN
- Politicas de seguridad
- WAN Load-Balance
- Traffic Shape
- Control de aplicaciones
El modelo escogido fue un Fortigate 100D. (Características Fortigate 100D)
A continuación vamos a detallar el diagrama lógico de red para esta instalación:
En el diagrama vemos como nuestra infraestructura de red esta formada por:
- Red Interna (Xarxa_Interna)
- Red para los dispositivos conectados por cable al firewall.
- Direccionamiento IP Clase C: 192.168.100.0/24 -> Gateway de la red 192.168.100.1
- Dispositivos fijos y controlados: PC Streaming, PC Gestión de presentaciones, PC Gestión de Red.
- Servicio de DHCP.
- Reserva de IP para los dispositivos.
- Red Gestión de Access Points (Gestio_APs):
- Red para los Access Points conectados por cable al firewall.
- Direccionamiento IP Clase C: 192.168.99.0/24 -> Gateway de la red 192.168.99.1
- Access Points aislados, solo se tiene acceso a la configuración desde el PC de Gestión de Red.
- Servicio DHCP para que los APs cojan automáticamente dirección IP.
- Reserva de IP por DHCP.
- Red Wifi (WIFI_JORNADES):
- Red para los dispositivos Wifi
- VLAN 200 con Direccionamiento Clasa B: 172.18.0.0/16 -> Gateway 172.18.0.1
- Servicio de DHCP
- WAN1:
- Conexión física de la conexión a Internet de 300Mbps simétricos
- GOU_INET:
- Vlan de conexión a Internet donde se entrega la IP Pública.
- Autenticación por pppoe
- Dirección IP y Gateway automáticos.
- GOU_Gestio:
- Vlan de gestión de la conexión a Internet donde se da acceso a DNS.
- WAN2:
- Conexión a Internet por fibra 100Mbps simétricos
- IP Fija Reservada: 10.10.140.5/25
- Gateway: 10.10.140.1
Descripción de las políticas de seguridad y balanceo de conexión a Internet en el Firewall
Balanceo de la conexión a Internet:
Para aprovechar al máximo las dos conexiones a Internet de las que disponíamos, se creo en el Firewall Fortigate una interfaz de WAN Load Balanced.
Esto se hizo para redundar la conexiones (en caso del fallo de una conexión a Internet, todo el tráfico se manda por la otra conexión) y también para agregar las dos conexiones como salida a Internet.
Se escogió la política de redundancia basada en Source IP, es decir, cada IP nueva transmitiría por una conexión distinta de Internet.
Se fijo que el PC_Streaming emitía siempre por la GOU_INET, para poder controlar esta conexión y fijar la salida siempre a través de la misma IP. (Si se cambia la salida en medio de la retransmisión, el Streaming se para).
Políticas de red:
A continuación vamos a detallar las políticas de red aplicadas.
Xarxa Interna -> Gestio_AP
- Todo el trafico de el PC_Gestion (192.168.100.110) a la red de gestión de los Access Points permitido
- Todo el tráfico de vuelta tambien permitido
Xarxa_Interna -> WIFI_JORNADES
- Todo el trafico denegado
- Trafico de vuelta también denegado
Xarxa_Interna -> wan-load-balanced
- Todo el trafico permitido
WIFI_Jornades -> wan-load-balanced
- Todo el trafico de los servicios seleccionados permitido
- Servicios permitidos: HTTP, HTTPS, DNS, IMAP, IMAPS, POP, POP3S, SMTP, SMTPS, IKE, AH y RDP.
- Todo el el trafico hacia otras redes denegado.
Traffic Shape: Políticas de restricción de ancho de banda.
Se utilizaron políticas de traffic shape (Moderación del tráfico) para limitar o garantizar el ancho de banda utilizado para los distintos dispositivos de la red.
Basicamente se hizo para garantizar siempre un mismo ancho de banda para el PC de Streaming y para limitar el ancho de banda que podían utilizar los dispositivos conectados a la red Wifi.
A continuación os detallamos las políticas que utilizamos:
- PC_Streaming -> WAN-Load-Balanced
- Tipo: Shared (compartido)
- Prioridad: Alta
- Maximal Bandwith: 50000Kbps
- Guaranteed Bandwith: 25000Kbps
- Recordamos que para el Streaming a 1080p, necesitábamos un ancho de banda teórico de 18 Mbps.
- PC_Gestio y PC_Conferencias -> WAN-Load-Balanced
- Tipo: Shared (compartido)
- Prioridad: Alta
- Maximal Bandwith: 40000Kbps
- Guaranteed Bandwith: 20000Kbps
- Se garantizo un mínimo de 20Mbps para el servicio de Skype y otros.
- WIFI_Jornades -> WAN-Load-Balanced
- Tipo: Shared (compartido)
- Prioridad: Media
- Maximal Bandwith: 100000Kbps
- Guaranteed Bandwith: 40000Kbps
- Se garantizo en todo momento un total de 40Mbps y hasta un máximo de 100Mbps para todos los usuarios Wifi
Si nos fijamos, nunca llegamos a el total del ancho de banda disponible teórico que era de unos 400Mbps, para poder tener margen de cambio.
Resultados obtenidos de la implantación de red para el Congreso
A continuación vamos a ver los resultados obtenidos de nuestra implantación de red para el congreso.
Para ello vamos a dividirlos en varios apartados:
Conexión a Internet
La conexión a Internet se mantuvo estable y no se sufrió ningún corte de servicio durante los 2 días del congreso, en ninguna de las dos líneas de Internet.
A continuación se muestran un par de gráficos del ancho de bando consumido durante una hora, en la que había más afluencia:
En el gráfico, las líneas en verde son trafico de entrada a la interfaz, con lo que indica que es el ancho de banda de bajada, en cambio el rojo, és el de subida.
Primero de todo, observamos que la conexión GOU_INET, tiene un trafico constante de unos 8 Mbps provocados por el Streaming. Aunque las especificaciones nos ponía que para emitir a 1080p necesitábamos una conexión de 18 Mbps, vemos que con solo 8 hubiera sido suficiente.
Otro dato que cabe destacar és que el máximo ancho de banda que se utilizo fue de 60Mbps en la línea WAN2. Esto indico que la limitación de trafico que se aplico estaba bien dimensionada.
Podemos concluir que con las conexiones a Internet que disponíamos fue suficiente para dar servicio a todas las personas.
Alrededor de 7000 sesiones simultaneas en el momento de más trafico.
Servicio Wifi
En las siguientes gráficas se muestra la evolución de los usuarios (en línea discontinua) y el tráfico consumido del día 29/09/2016 en todo el día, para los distintos access points. Esta dividida en intervalos de 1 hora. La primera gráfica en azul, corresponde a la suma de todos los Access Points.
A continuación os muestro las gráficas de evolución con los detalles:
Vemos como a las 10 de la mañana, es cuando hay más trafico, con un total de 13,7 Gb generados durante esa hora.
En cambio el número máximo de usuarios, se alcanzo a las 12:00 de la mañana con un total de 271 dispositivos conectados durante esa hora.
A partir de las 15h-16h vemos como el trafico va descendiendo hasta que se cierra el primer día de congreso.
En el siguiente gráfico se muestra la evolución de la red wifi durante el segundo día del congreso el 30/09/2016:
El segundo día el trafico y el número de usuarios fue menor que el primer día.
En los siguientes gráficos se muestran alguna capturas que se hicieron cuando se estaba a punto de alcanzar el máximo de usuarios:
En el gráfico se puede observar como en el momento de la captura, había un total de 211 dispositivos conectados. A la derecha tenemos los dispositivos conectados para cada Access Point. Vemos que en ese momento el AP02_LR_Auditori tenia 76 dispositivos. En los gráficos superiores, nos muestra la distribución de usuarios por APs así como el tráfico por AP.
Servicio de Streaming
El servicio de Streaming se pudo lanzar a la máxima calidad que permitían las cámaras utilizadas, es decir, a 1080p.
En ningún momento se corto la conexión y todos los vídeos se pueden ver en formato HD.
Conclusiones finales
Todos los usuarios se pudieron conectar al servicio de Wifi e Internet en todo momento de las Jornadas.
El dimensionado de la red Wifi, el número de Access Points y la cobertura fueron correctos.
Se garantizaron en todo momento todos los servicios necesarios.
Datos a destacar
El número máximo de usuarios simultáneos conectados a un Access Point fue de 130 dispositivos.
El número máximo de usuarios simultáneos conectados a la red Wifi fue de 220 dispositivos repartidos entre todos los APs.
Se alcanzaron aproximadamente 7000 sesiones consecutivas.
Se consumieron un total de 250Gb de datos durante los 2 días de congreso.
Todos los vídeos se pueden disfrutar con calidad HD a través de la web jornadesrdi.cat gracias a la reserva de ancho de banda.
Si tenéis cualquier consulta o pregunta sobre la implantación de esta infraestructura de red, no dudéis en preguntar o comentar al post.
Hasta pronto, y recordad…nos vemos por las redes!
Escriu el teu comentari