SURFwireless wordt centraal beheerd door SURFnet en werkt via een gedistribueerde architectuur. Dit levert een goed schaalbare wifidienst op, die je als instelling veel werk uit handen neemt. En door de decentrale architectuur blijft het mogelijk per locatie eigen instellingen te kiezen. Lees hoe SURFwireless technisch in elkaar steekt.


Componenten van SURFwireless

SURFwireless bestaat uit de volgende componenten:

  • De wifibeheeromgeving: Hivemanager
  • Wifi-probes t.b.v. prestatiemetingen
  • Netwerkinfrastructuur (onder verantwoordelijkheid van SURFnet)
  • Access points bij de instelling, ingemeten om te voldoen aan de SLS
  • Het SURFnet-netwerk (gerouteerd, SURFlichtpaden en DNS)
  • RADIUS-proxy voor het faciliteren van eduroam voor gasten (eduroam Visitor Access)
  • Hivemanager, de wifibeheeromgeving in het datacenter van SURFnet
  • Netwerkinfrastructuur (onder verantwoordelijkheid van de instelling)
  • Het LAN van de instelling
  • DHCP-server voor uitgifte van IP-adressen
  • RADIUS-server en gebruikersdatabase voor authenticatie van eduroam
  • Het gerouteerde netwerk van de instelling
  • Firewall
  • Beleid en veiligheid (op access points en/of op firewall van instelling)

Opbouw SURFwireless

De wifi-accesspoints worden aangesloten op het LAN van de instelling. Clients die verbinden met het wifinetwerk, maken gebruik van de DHCP-server en de RADIUS-server van de instelling. Wifi-clients worden door een access point op een VLAN gezet van een switch van de instelling. Via dit VLAN vraagt een wifi-client ook een IP-adres aan dat door de instelling wordt toegekend.

 

Centraal beheer

SURFwireless is een door SURFnet beheerde wifidienst. Dat betekent dat SURFnet de omgeving inmeet voor het wifinetwerk en de wifi-omgeving inricht op een manier die is afgestemd op de behoeften van onderwijs- en onderzoeksinstellingen. Tijdens de operationele fase houdt SURFnet de beschikbaarheid van wifi in de gaten en wordt actie ondernomen indien nodig. Verder zorgt SURFnet voor de installatie van software-updates, security patches, nieuwe features enzovoort.

Het beheer van iedere wifi-omgeving wordt verricht vanuit het SURFnet-datacenter en is geografisch redundant uitgevoerd.

De netwerkbeheerder van de instelling heeft een eigen account voor de beheeromgeving waarmee hij of zij de status van het wifinetwerk binnen zijn instelling kan inzien. Deze informatie over het wifinetwerk is alleen toegankelijk voor de instelling zelf, niet voor andere SURFwireless-klanten en derden.

Schaalbaar door gedistribueerde architectuur

Verkeer van wifi-clients (zowel signalering als data) breekt uit bij het access point. Voor signaleringsdoeleinden wordt gebruik gemaakt van een “Cooperative Control-architectuur”: access points delen informatie met elkaar en zorgen hiermee onder andere dat clients snel kunnen roamen tussen access points, voor optimalisatie van RF, voor load balancing en voor beveiliging. Hierdoor is er binnen de wifi-architectuur geen behoefte aan een centrale component voor het routeren van dataverkeer of wifisignalering.

Een gedistribueerde architectuur zonder centraal geplaatste controller heeft onder andere de volgende grote voordelen:

  • Zowel signalerings- als dataverkeer loopt niet het risico dat zo'n centrale controller uitvalt of te weinig capaciteit biedt.
  • Er zijn geen centrale controllers die access points op verschillende geografische locaties binnen 1 onderwijsinstelling moeten bedienen. Dit zorgt voor consistentie van functionaliteiten per locatie zonder in te leveren op mogelijke diversiteit van functionaliteiten per locatie.

Door de gedistribueerde architectuur is SURFwireless schaalbaar tot tienduizenden access points.

Gebruikersgroepen onderscheiden

SURFwireless biedt de mogelijkheid gebruikersprofielen toe te kennen aan verschillende gebruikersgroepen (bijvoorbeeld studenten, medewerkers en gasten). Dit maakt het mogelijk dat de access points aan de wifi-clients in zo’n gebruikersgroep beperkte of juist uitgebreidere rechten toekennen (bijvoorbeeld hoge prioriteit voor spraak/video en blokkeren of juist toestaan van torrents of andere applicaties). Op basis van het gebruikersprofiel kan een wifi-client ook in een geschikt VLAN worden geplaatst waaraan bepaalde gebruiksrechten zijn toegekend (bijvoorbeeld wel/geen toegang tot bepaalde applicaties of data shares).

Performance monitoring

Als onderdeel van SURFwireless worden bij de instelling probes geplaatst die continu de prestaties van het wifinetwerk monitoren vanuit de beleving van een gebruiker. Deze probes gedragen zich als een gebruiker: ze verbinden met access points, authenticeren met eduroam, browsen op het internet, bellen, down- en uploaden bestanden, enzovoort). Terwijl ze dit doen, meten ze de wifi- en netwerkkarakteristieken (beacon rate, associatie success rate, jitter, delay) en kwantificeren ze de gebruikerservaring (bijvoorbeeld de ‘mean opinion score’ van de VoIP-sessies).

  • No labels