Upload
zuwena
View
59
Download
0
Embed Size (px)
DESCRIPTION
Построение беспроводных сетей. Утко Павел. Что такое беспроводные сети ?. Традиционные проводные сети : Данные передаются по витой паре, коаксиальному кабелю, оптоволокну и пр. Требуют затрат на прокладку кабеля - PowerPoint PPT Presentation
Citation preview
Построение беспроводных сетей
Утко Павел
• Традиционные проводные сети: Данные передаются по витой паре, коаксиальному кабелю, оптоволокну и пр. Требуют затрат на прокладку кабеля
• Беспроводные сети: Данные передаются по воздуху, и сигнал для приема доступен для мобильных пользователей
Что такое беспроводные сети?
• Беспроводные сети обладают гибкостью при конфигурации и расширении. Могут служить как добавлением, так и заменой проводных сетей при построении сетевой инфраструктуры
• Пользователи могут свободно перемещаться, т.к. беспроводные сети обеспечивают доступ к сетевым ресурсам компании из любого места.
• Беспроводные сети не только обеспечивают мобильный доступ, но и сами мобильны, т.к. можно легко переместить сеть в другое место. Быстрая и лёгкая инсталляция.
Сферы применения беспроводных сетей
• Внутриофисные сети
• Домашние сети
• Выставочные комплексы и конференц-залы
• Доступ к Интернет в гостиницах, кафе, библиотеках,
студенческих городках и т.д. – “hot spot”
• Сети провайдеров Интернет: подключение клиентов
там, где нет возможности протянуть кабель
• «Гостевой» доступ к корпоративной сети для клиентов
и партнеров
Семейство стандартов беспроводных сетей IEEE 802.11
Стандарт IEEE 802.11 входит в серию стандартов IEEE 802.X, относящихся к сетям и коммуникациям, сюда также входят такие стандарты, как 802.3 Ethernet, 802.5 Token Ring и т.д. Т.о., стандарт IEEE 802.11 определяет компоненты и характеристики сети на физическом уровне передачи данных и на уровне доступа к середе с учетом беспроводного способа передачи данных и возможности взаимодействия с существующими сетями.
Стандарты беспроводных сетей - IEEE 802.11b
• Текущий наиболее распространенный стандарт, совместим с предыдущим стандартом IEEE 802.11
• Работает на частоте 2,4 ГГц
• Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS)
• Поддерживает скорость соединения 1, 2, 5.5, 11 Мбит/с (реальная скорость передачи данных от 4 до 6 Мбит/с), автоматический или фиксированный выбор скорости
• Защита данных при помощи шифрования WEP (wired equivalent privacy)
Стандарты беспроводных сетей - IEEE 802.11a
• Более сложная передовая технология
• Работает на частоте 5 ГГц
• Используется метод мультиплексирования с ортогональным
делением частот (OFDM)
• Поддерживает скорость соединения до 54 Мбит/с (48, 36, 24,
18, 12, 9 и 6 Мбит/с), реальная скорость передачи данных от
22 до 26 Мбит/с
• 12 одновременно доступных для работы каналов
• Защита данных при помощи шифрования WEP (wired
equivalent privacy)
Стандарты беспроводных сетей - IEEE 802.11g
• Обратная совместимость с устройствами стандарта IEEE 802.11b
• Работает на частоте 2.4 ГГц
• Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS) и метод мультиплексирования с ортогональным делением частот (OFDM)
• Скорость соединения до 54 Мбит/с, автоматический или фиксированный выбор скорости
• Защита данных при помощи WPA (Wi Fi Protected Access), 802.1x
• IEEE 802.11a поддерживает скорости
6, 9, 12, 18, 24, 36, 48, 54 Мбит/с
• IEEE 802.11b поддерживает скорости
1, 2, 5.5, 11 Мбит/с
• IEEE 802.11g поддерживает скорости
1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54 Мбит/с
• Более высокая скорость улучшает пропускную способность
• Более низкая скорость увеличивает дистанцию и
надежность
• Автоматический или фиксированный выбор скорости
Скорость передачи
Страна Диапазон частот, ГГц Число каналов
Беларусь 2.400 – 2.4835 13
Россия 2.412 - 2.4835 13
Европа (за исключением Франции и Испании)
2.412 - 2.472 13
Франция и Испания 2.457 - 2.472 4
FCC (США и Канада) 2.412 - 2.462 11
Япония 2.412 - 2.484 14
Китай, Корея 2.412 - 2.472 13
Чили 2.412 - 2.472 13
Австралия 2.412 - 2.472 13
Южная Африка 2.412 - 2.472 13
Юго-Восточная Азия (включая Сингапур, Малайзию, Таиланд)
2.412 - 2.472 13
Количество каналов для различных стран. 2.4ГГц
Канал Частота
1 2,412 ГГц
2 2,417 ГГц
3 2,422 ГГц
4 2,427 ГГц
5 2,432 ГГц
6 2,437 ГГц
7 2,442 ГГц
8 2,447 ГГц
9 2,452 ГГц
10 2,457 ГГц
11 2,462 ГГц
12 2,467 ГГц
13 2,472 ГГц
Частоты каналов
Каждый канал занимает частотный диапазон в 22 МГц. Например, канал 1 работает в диапазоне от 2,401ГГц до 2,423ГГц, т.е 2,412ГГц ± 11МГц.
Частоты каналов24
00
2410
2420
2430
2440
2450
2460
2470
2480
2405
2415
2425
2435
2445
2455
2465
2475
Ch11Ch6Ch1
2400 2483.5
22MHz 22MHz 22MHz
5 channels5 channels 5 channels5 channels
3 MHz3 MHz 3 MHz3 MHz
Страна Диапазон частот, ГГц Число каналов
Беларусь 5,150-5,350
5,650-5,725
5,470-5,725 (внешн)
8
9
11
Россия 5,150-5,250
5,725-5,825
4
4
Европейский союз 5,150–5,350
5,470–5,725
8
11
Австралия 5,725–5,825 4
Китай 5,725–5,825 4
Япония, Сингапур 5,150–5,350 8
FCC (США и Канада) 5,150-5,350
5,725-5,825
8
4
Корея 5,150–5,350
5,470–5,650
5,725–5,825
8
8
4
Латинская Америка 5,150-5,350
5,470-5,725
8
11
Количество каналов для различных стран. 5ГГц
802.11b 802.11a 802.11g
Стандарт принят Сент. 1999 Сент. 1999 Июль 2003
Полоса пропускания 83.5 МГц 300 МГц 83.5 МГц
Полоса частот (ГГц) 2.40 – 2.4835
5.15 – 5.35, 5.725 – 5.825
2.40 – 2.4835
Кол-во непересекающихся
каналов
3 12 (4*3) 3
Скорость передачи (Мбит/с)
1, 2, 5.5, 11, 22
6,9,12,18,24,36,48,54
1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54
Тип модуляции DSSS OFDM DSSS
Сравнение стандартов беспроводных сетей
В полосе пропускания систем, соответствующих 802.11b и 802.11g, доступны только 3 канала
В полосе пропускания систем, соответствующих 802.11a, доступны 12 каналов
Lower Band Middle Band Upper Band
Измеряется отношением Сигнал/Шум (SNR)
Высокий уровень сигнала при малых шумах предоставляет наилучший канал связи
Качество канала связи
Перевод мощности dBm <-> mW
Перспективы беспроводных cетей
IEEE 802.11h International Telecommunication Union (ITU): использует протоколы Dynamic Frequency Selection (DFS) и Transmit Power Control (TPC) для автоматического выбора другого канала и настройки мощности передачи для минимизации помех от таких систем, как радары, обнаруженные на том же канале.
IEEE 802.11i, Wi-Fi Protected Access 2 (WPA2) или WPA: блокировка несанкционированного доступа за счет аутентификации пользователей перед предоставлением им доступа к сети; обеспечение целостности данных, передаваемых по беспроводной сети, за счет использования устойчивого к ошибкам улучшенного стандарта шифрования Advanced Encryption Standard (AES) или Temporal Key Integrity Protocol (TKIP).
Mi-Mo
802.11n — перспективный стандарт, который, как ожидается, позволит увеличить полосу пропускания и диапазон беспроводных сетей. Этот стандарт пока что находится на стадии обсуждения, но его существующая версия уже обеспечивает скорость передачи данных свыше 250 Мбит/с, что более чем вчетверо превышает возможности продуктов 802.11g. Такое быстродействие обеспечивается благодаря более эффективному сжатию данных и использованию антенн, передающих сразу несколько сигналов (эта технология называется MIMO, Multiple In, Multiple Out — "много на входе, много на выходе").
За счет чего увеличивается производительность:
Features Benefits
Hardware Compression
increased speeds by using compressed frames to send data
Fast Frames Increased speeds by aggregating multiple frames
Packet Bursting Increased speeds by reducing wireless transmission overhead
Multi Channel Increased speeds by using multiple wireless channels
Стандарт IEEE 802.16
Стандарт 802.16 (январь 2003) уровня МАС предназначен для реализации широкополосных каналов последней мили в городских сетях (MAN).Его задачей является обеспечения сетевого уровня между локальными сетями (IEEE 802.11) и региональными сетями (WAN), где планируется применение разрабатываемого стандарта IEEE802.20. Эти стандарты совместно со стандартом IEEE 802.15 (PAN - Personal Area Network - Bluetooth) и 802.17 (мосты уровня МАС) образуют взаимосогласованную иерархию протоколов беспроводной связи.
•Пропускная способность до 135 Мбит/с при полосе несущей 28 МГц.•Модуляция OFDM - 64-QAM•Доступ к среде адаптивный, динамический•Управление сетью централизованное
Название стандарта
802.16 802.16a 802.16e
Дата принятия декабрь 2001 январь 2003 середина 2004
Частотный диапазон
10-66 ГГц 2-11 ГГц 2-6 ГГц
Быстродействие 32-135 Мбит/с для 28МГц-канала
до 75 Мбит/сдля 28МГц-канала
до 15 Мбит/сдля 5МГц-канала
Модуляция QPSK, 16QAM, 64QAM
OFDM 256, QPSK, 16QAM, 64QAM
OFDM 256, QPSK, 16QAM, 64QAM
Ширина канала 20, 25 и 28 МГцРегулируемая
1,5-20МГц
Регулируемая 1,5-20МГц
Радиус действия 2-5 км 7-10 км макс. радиус 50 км
2-5 км
Условия работы Прямая видимость Работа на отражениях Работа на отражениях
Краткие характеристики семейства стандартов 802.16
Беспроводные сетевые
адаптеры
• Ad Hoc
• Инфраструктуры
Режимы работы беспроводных сетей
Точки доступа
• Точка доступа
• Беспроводный мост
«точка-точка»
• Беспроводный мост
«точка-многоточка»
• Беспроводный клиент
• Повторитель
Ad Hoc режим
ПК с беспроводным адаптером,
напр. DWL-G520
Ноутбук с беспроводным адаптером,
напр. DWL-G650
Одноранговое взаимодействие по типу «точка-точка», компьютеры взаимодействуют напрямую без применения точек доступа
Сервер, подключенный к проводному сегменту сети
Проводной сегмент сети
Маршрутизатор
Интернет ПК с проводным адаптером и общим принтером
Точка доступа
Беспроводная сеть
Инфраструктурный режим
ПК с беспроводным адаптером DWL-G520 или
ноутбук с DWL-G650
Точки доступа обеспечивают связь клиентских компьютеров. Точку доступа можно рассматривать как беспроводной концентратор
Беспроводный мост между двумя LAN
С помощью беспроводных мостов можно объединять две и более проводных LAN, находящихся как на небольшом расстоянии в соседних зданиях, так и на расстояниях до нескольких км., что позволяет объединить в сеть филиалы и центральный офис
Данное решение позволяет достичь значительной экономии средств и обеспечивает простоту настройки и гибкость конфигурации при перемещении филиалов
Беспроводный мостPoint-to-PointPoint-to-Point
(PTP)(PTP)
Remote Router/ Bridge,
DWL-2700AP
Central Router/ Bridge,
DWL-2700AP
Интернет
Здание Здание AA ЗданиеЗдание B B
xDSL Модем
Используется для объединения двух или более проводных сегментов LAN, находящихся на расстоянии до нескольких км.
Беспроводный мост
Point to Multi-pointPoint to Multi-pointPTMPPTMP
Интернет
Remote Router/ Bridge,
DWL-2700APCentral Router/
Bridge,DWL-2700AP
Здание Здание AAЗданиеЗдание B B
xDSL Модем
ЗданиеЗдание C C
Remote Router/ Bridge,
DWL-2700AP
Используется для объединения двух и более проводных сегментов LAN, находящихся на расстоянии до нескольких км.
«Последняя миля» в сетях ISP
Access point
Remote Router/ Bridge
Remote Router/ Bridge
Remote Router/ Bridge
Access point
Access point
Inline Power
Injector
Central Router/ Bridge
xDSL модем
Client Bridge
Client Bridge
Wireless ISPWireless ISP
Интернет
Технология WDS (Wireless Distribution System)
Данная технология позволяет,одновременно, подключать беспроводных клиентов, к точкам доступа работающим в режиме “мост”
• WDS : Беспроводный мост «точка-многоточка»• WDS with AP: Беспроводный мост
«точка-многоточка» + AP
•Беспроводный мост «точка-точка»•Беспроводный мост «точка-многоточка»
• WDS : Беспроводный мост «точка-многоточка»
• WDS with AP: Беспроводный мост «точка-многоточка» + AP
WDSWDS(Wireless Distribution System)(Wireless Distribution System)
• Star Configuration • Chain configuration
Дополнительные режимы точек доступа: как правило фирменные, т.е. поддерживаются не всеми поставщиками.
Режим повторителя – Repeater
Сервер
Screen Monitor II
Screen Monitor II
Точка доступа
Точка доступа в режиме репитер
Точка доступа в режиме Клиент
Сервер
Screen Monitor II
Screen Monitor II
Точка доступа Точка доступа в режиме Клиент
Режим можно применять при подключении к беспроводной сети устройств с портом Ethernet, но без возможности установки беспроводного адаптера.
Роуминг в беспроводных сетях
Поскольку клиенты перемещаются в зоне действия от
одной точки доступа к другой, роуминг позволяет не
терять соединение, а передавать его между точками
доступа.
Для этого точки доступа нужно подключить к
проводной сети
Как только пользователь перемещается от одной точки доступа к другой, беспроводной адаптер автоматически переустанавливает соединение и подключается к ближайшей точке для обеспечения лучшего качества сигнала и производительности
Перемещение между точками
Роуминг в беспроводных сетях
•Сигнал-маяк - “Beacon” посылается точкой доступа каждые 100 миллисекунд
•Клиенты используют этот маяк для оценки качества связи
•Клиенты тоже могут посылать маяк, или пробный запрос
•Точка доступа ответит или пошлет маяк
• Основываясь на качестве связи, клиент примет решение, с какой точкой доступа работать.
• Если он перемещается между ТД, то новая ТД информирует старую через проводное соединение о переустановленном соединении клиента в сети.
• Т.о., при правильном размещении точек доступа на территории предприятия пользователи смогут перемещаться по ней без потери доступа к сети
16
11
1
11
1
Точки доступа, зоны охвата которых пересекаются, должны быть настроены на разные каналы. Но можно использовать одинаковые каналы на точках доступа с непересекающимися зонами охвата. Т.о. можно увеличивать общее покрытие сети практически без ограничений!
Роуминг – использование одних и тех же каналов для увеличения зоны охвата
• Протокол роуминга не включен в 802.11, это нужно
учитывать при развертывании беспроводной сети
• Inter Access Point Protocol (IAPP) Across Distribution
Systems - это попытка стандартизовать протокол
роуминга (802.11f)
• Поэтому, роуминг лучше организовывать на
продуктах одного поставщика
• Точки доступа D-Link позволяют организовать надежную
передачу на территории всего предприятия
Обработка коллизий в беспроводных сетях
Беспроводной адаптер не может обнаружить коллизию
в ходе передачи пакета, т.к. метод обнаружения
коллизий CSMA/CD не может работать в беспроводной
сети.
Поэтому для обнаружения коллизий и потери пакета используется метод CSMA/CA (Carrier Sense MultipleAccess / Collision Avoidance) с квитированием – на каждый пакет ожидается подтверждение доставки, если такой пакет не пришел – значит произошла коллизия и пакет передается повторно
A B
Точка доступа
Например: компьютеры A и B видят точку доступа, но не видят друг друга при слабом сигнале. Задача состоит в том, чтобы предотвратить коллизию при одновременной передачи данных точке доступа обоими узлами
Проблема, называемая “скрытый узел”
С
• Перед отправкой пакета с данными узел A посылает точке
доступа пакет Ready-to-send (RTS), который содержит
поле с указанием времени занятия канала
• Если принимающий узел «слышит» этот пакет, он
отвечает пакетом Clear-to-send (CTS) и устанавливает свой
Network Allocation Vector ( NAV )
• После этого начинается передача данных и т.о.
исключается коллизия
• Но компьютер B не слышит этот кадр из-за слабого
сигнала от узла А
• Точка доступа посылает CTS-кадр, содержащий поле
резервирования (занятия канала)
• Компьютер B «слышит» этот кадр и перестраивает свой
NAV
• Итак, коллизий не произошло
A С BRTS?
A С BCTS! CTS!
A С BDATA
A С BACK
RTS/CTS схема построения протокола
RTS Threshold feature increases available bandwidth by eliminating RTS/CTS traffic from the air, thus reducing the cost. By setting RTS length threshold to a maximum value, the transmitter will effectively never use RTS and the option is virtually switched off. One example is shown in figure. If the hidden station is a non-issue, the threshold can be switched off. If a user decides to switch it on by setting some threshold, there is always a trade off between introducing more overhead and reducing retransmission of messages due to the hidden node problem. The situation in which the RTS/CTS is very helpful is the outdoor point-to-multi-point environment in which the hidden node problem can be a larger problem. The following diagram shows how the RTS/CTS mechanism works for A as a transmitter, B as a receiver and the NAV settings for their neighbors.
Параметры настройки беспроводных сетей
Имя сети – ESSID (Extended Service Set ID)
• Каждая Точка Доступа должна быть сконфигурирована с
уникальным ID
• Защищенный доступ позволяет доступ к сети только
клиентам с правильным ID
• Если к одной подсети подключены несколько точек
доступа – им нужно присвоить один и тот же ESSID
Канал работы беспроводного соединения
•При настройке точки доступа необходимо указать канал
для работы беспроводного соединения.
•На клиентских устройствах настройку производить не
нужно, т.к. адаптер подключается к точке доступа на том
канале, который настроен для ее работы.
•Для увеличения пропускной способности, каналы не
должны перекрываться.
Параметры настройки беспроводных сетей
Поиск сети клиентом
Файл-сервер
Проводной сегмент сети
Маршрутизатор
Интернет
Точка доступа
Пассивное сканированиеПассивное сканирование
Кадр Кадр Beacon Beacon посылается посылается как клиентом, так и как клиентом, так и точкой доступаточкой доступа
Клиент сканирует Клиент сканирует доступные точки доступные точки доступа и проверяет, доступа и проверяет, может ли к ним может ли к ним подключитьсяподключиться
Поиск сети клиентом
Файл-сервер
Проводной сегмент сети
Маршрутизатор
Интернет
Точка доступа
Активное сканирование
Клиент посылает пробный запрос
Точка доступа посылает пробный ответ
Управление питанием
Поскольку большинство беспроводных устройств работают на батареях, некоторое управление питанием необходимо.
802.11 устройства имеют 2 режима: Нормальный и Сохранения энергии с пробуждением.
• CAM (continuous aware mode) устройства всегда готовы к работе и принимают пакеты• PSP (power save polling) устройства оповещают Точку Доступа, перед тем, как «заснуть», и затем периодически «просыпаются» для проверки сигнала-маяка, что для них есть пакеты
Для обеспечения безопасности в беспроводных сетях
используется несколько средств:
Контроль за подключением к точке доступа на основе MAC-
адресов и имени сети
• Шифрование на основе протокола WEP (Wired Equivalent
Privacy) (RC4)
• Контроль за доступом к среде передачи на основе протокола
802.1x
• Поддержка нового протокола WPA
• Настройка VPN поверх беспроводного соединения
• Вынос беспроводной сети за межсетевой экран, как сети с
низким доверием
Безопасность в беспроводных сетях
Multiple SSIDMultiple SSID
Multiple SSID может работать с VLAN-ами: каждый SSID соответствует своему VLAN-у.
Multiple SSID может работать без VLAN-ов: в таком случае AP обслуживает разные группы пользователей с различными WLAN/security свойствами.
Подходит для сегментации и классификации подсетей.
DWL-XXXXAP поддерживают до 8 SSID (1 – мастер, 7- гостевые).
Multiple SSID with VLANMultiple SSID with VLAN
DWL-3200APDWL-3200APAccess PointAccess Point
VLAN1SSID: Sales
VLAN2SSID: RDDWEP: 64 bit
VLAN3SSID: FinanceWEP: 128 bit
VLAN1Sales
VLAN2R&D Dept.
VLAN3Financial Dept.
Without Multiple SSID
Multiple SSID without VLANMultiple SSID without VLAN
InternetInternet
SSID: T-MobileWEP: 64 bit
SSID: AT&TWEP: 128 bit
SSID: VodafoneWEP: 128 bit
DWL-3200APDWL-3200APAccess PointAccess Point
InternetInternet
With Multiple SSID
What can Multiple SSID do for you?What can Multiple SSID do for you?
Уменьшение затрат– Одна сеть (для всех групп) вместо нескольких.
Достижение высокой загрузки развернутых AP– Использование различных типов клиентов одной AP
(business, consumers, etc.). Минимизация стоимости обслуживания
– Желание поддерживать различных клиентов без необходимости их перенастройки.
Минимизация конфликтов в канале– В публичных местах м.б. несколько сетей (различных
ISP);– радиопомеха ужу выделена (3 непересекающихся
канала – если каналы заняты, дополнительные APs уменьшат производительность).
По имени сети: можно использовать уникальный ESSID во избежание несанкционированного доступа в Вашу беспроводную сеть
По MAC-адресу: Вы можете задать на точке доступа список MAC–адресов, котором Вы хотите разрешить авторизацию в Вашей группе в сети на Вашей точке доступа.Максимальное число клиентов в MAC filter лист на точках доступа серии DWL-XXXX?DWL-900AP+ =50DWL-1000AP+ =50DWL-2000AP =50DWL-2000AP+ =50DWL-2100AP =256DWL-2700AP =256
Контроль доступа
Фильтрация по MAC-адресу
Введите здесь MAC адрес
Режим Access Control
Можно включить на всех беспроводных устройствах шифрование всего трафика для предотвращения несанкционированного доступа к передаваемой информации.Шифрование использует RC4 алгоритм, принятый в IEEE 802.11 как WEP стандарт.
64 и 128 bit шифрование доступно для клиентов (-24-bit Initialization Vector (IV) увеличивается от 0 на 1 до 2^24=16*10^6 на каждый переданный пакет – в нагруженных сетях реинициализация – каждые 5 часов).
Шифрование при помощи WEP
Как работает WEP
Клиент
Точка доступа
Общий ключ между Клиентом и
Точкой доступа
Изначальные данные : 01000111101001001110010
Зашифрованные данные : 00101001000100010011011
Шифрация при помощи ключа
Зашифрованные данные: 00101001000100010011011
Дешифрация при помощи ключа
Изначальные данные : 01000111101001001110010
Все клиенты используют один и тот же ключ
Настройка WEP
Настройка WEP на стороне точки доступа
Настройка WEP на стороне клиента
Для аутентификации и авторизации пользователей с
последующим предоставлением им доступа к среде
передачи данных, разработан стандарт безопасности IEEE
802.1x, который ориентирован на все виды сетей доступа,
соответствующие стандартам IEEE.
Данная система предназначена для совместной работы
EAP (Extensive Authentication Protocol) и RADIUS.
Прежде чем получить доступ к беспроводной (или
проводной) сети, клиент должен пройти проверку на
сервере RADIUS и только в случае успешной проверки ему
разрешается доступ в есть.
Протокол 802.1x
Протокол EAP
Изначально был создан для протокола Point-to-Point protocol (PPP)
Служит для установки и подтверждения аутентификации
Не зависит от применяемого метода аутентификации Может быть легко использован для инкапсуляции
других методов
Работа 802.1x
Клиент шлет сообщение EAP-start
EAP : Extensible Authentication Protocol
Точка доступа запрашивает подлинность сообщением EAP-request identity
Клиент шлет сообщение EAP-response содержащее подтверждение своей подлинности для сервера аутентификации
Сервер
Аутентификации
Сервер аутентификации проверят подлинность клиента одним из заданных алгоритмов
Сервер шлет сообщение accept или reject на возможность доступа
Точка доступа шлет пакет EAP-success packet (или reject) клиенту
Если сервер аутентифицировал клиента, точка доступа переводит клиента в состояние авторизации и начинает пропускать трафик от клиента
IEEE 802.1x, EAP, RADIUSТочка доступа
(Аутентификатор)
Порт авторизован
Порт не авторизован
EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity RADIUS Access-Request
RADIUS Access-ChallengeEAP-Request/OTP
EAP-Response/OTP RADIUS Access-Request
RADIUS Access-Accept
EAPOL-Logoff
* OTP (One-Time-Password)
RADIUS Account-Stop
RADIUS Ack
Рабочая станция(Клиент)
Сервер RADIUS(Сервер аутентификации)
Для замены протокола WEP Wi-Fi была разработана новая система безопасности – WPA.
Основные достоинства WPA: • Более надежный механизм шифрования, основанный на «временном протоколе целостности ключей» - Temporal Key Integrity Protocol (TKIP)• Аутентификация пользователей при помощи 802.1x и EAP• Возможность работы в сетях класса SOHO без необходимости настройки сервера RADIUS – режим Pre-Shared Key (PSK), позволяющий вручную задавать ключи
Протокол Wi-Fi Protected Access - WPA
WPA2 основан на протоколе безопасности беспроводных сетей 802.11i обеспечивает более сильный механизм шифрования Advanced Encryption Standard (AES).
Клиент предоставляет сертификат
Работа WPA
Клиент
Сетевые ресурсы
Запрос на соединение
Запрос аутентификации
Точка блокирует доступ до аутентификации
AuthenticatorПосле аутентификации сервер предоставляет ключ шифрации TKIP
Сервер аутентификации
WEP WPA
Шифрование Возможность взлома Исправление всех недостатков WEP
Ключ 40-бит Ключ 128-бит
Статический ключ - используется во всей сети
Динамический ключ -для каждого пользователя, сессии и пакета свой ключ.
Ключ вводится вручную в каждое устройство
Автоматическое распределение ключей
Аутентификация
Для аутентификации используется тот же ключ WEP
Надежная аутентификация с использованием 802.1x и EAP
Сравнение протоколов WEP и WPA
Wireless и VPN
Для дополнительной безопасности вы можете
настроить VPN поверх вашей беспроводной сети.
Аутентификация пользователей и шифрование
трафика средствами VPN обеспечивает надежную
защиту.
Средства VPN работают на сетевом уровне,
транспортом может служить как проводная, так и
беспроводная сеть.
Защита при помощи межсетевого экрана (DFL-210/800/1600) или шлюза безопасности
(DSA-3110/5110)
Планирование и развертывание беспроводной сети предприятия
При развертывании беспроводной сети нужно определить плотность размещения точек доступа для обеспечения роуминга и беспрерывной связи при перемещении клиентов
Необходимо разместить точки доступа так, чтобы:
• Увеличить зону покрытия
• Обеспечить качество связи и необходимую пропускную способность
• Не допустить пересечения каналов точек доступа
Пример расположения точек доступа и настройки каналов
При планировании беспроводной сети необходимо
учитывать следующие моменты:
• Расположение Точек Доступа зависит от необходимой
площади охвата и конструкции здания.
• Толстые стены, или стены с металлоконструкциями,
будут блокировать сигнал сильнее, чем
светопропускающие конструкции.
• Количество стен и перегородок желательно свести к
минимуму – каждая стена может сокращать
максимальную дистанцию для передачи данных
на 1 - 30 м.
Распространение сигнала
Прямой путь
Отражение
Препятствие из листвы
Рассеяние
Экранирование зданием
Препятствие из земли
• Располагайте беспроводные устройства по прямой линии: стена толщиной в 0,5 м. При расположении устройств под углом в 45 градусов становится толщиной почти 1м.
стена стена
Прямая линия Угол в 45 градусов
0,5 м
Около 1 м
45 °
• Офисная мебель, кабинеты, могут образовывать “тени”
в зоне охвата.
• Для получения широкой зоны охвата необходима прямая
видимость.
• Удостоверьтесь, что антенна настроена для лучшего
приема
Используя поставляемые с устройствами утилиты для оценки качества связи, необходимо построить карту зоны охвата в заданном помещении. Например: Утилита к Беспроводному адаптеру имеет функцию диагностики, позволяет определить уровень сигнала по каждому каналу. Также можно проверить качество связи между клиентом и точкой доступа.
Отношение сигнал - шум (SNR) хорошее, но производительность данных - относительно низкая:
• Перегруженная сеть – слишком много клиентов пытаются получить доступ к среде передачи
• Электрическое устройство, генерирующее радиосигнал, расположено рядом с беспроводным клиентом
• Качество связи другого клиента недостаточно хорошее и поэтому он возникает много повторной передачи пакетов
• Коллизии, возникающие из-за проблемы «скрытый узел»
Некоторые типичные проблемы при проектировании беспроводной сети
Концентрация пользователей на точку доступа слишком высокая:
• Разместите ближе точки доступа, чтобы распределить нагрузку
• Добавьте дополнительные точки доступа к беспроводной сети
Уровень сигнала низкий:
• Устройства могут быть слишком далеко друг от друга
• Имеется преграда между устройствами
1. Шлюзы безопасности
2. Точки доступа
3. Беспроводные интернет-шлюзы, принтсерверы,
шлюзы VоIP, сетевые накопители, IP камеры.
4. Беспроводные адаптеры
5. Устройства Power over Ethernet (РоЕ)
6. Антенны
Обзор беспроводных продуктов D-Link
• 7 портов 10/100Mбит/с Fast Ethernet, консольный порт RS-232 для управления• 4 независимо конфигурируемых интерфейса•Конфигурация интерфейсов со статическим адресом или DHCP•Поддержка до 50 одновременных подключений VPN PPTP в режиме он-лайн•Размещение до 250 учетных записей пользователей во внутренней базе данных•Аутентификация и авторизация, основанные на ID/Пароле•Поддержка шифрования MPPE•Поддержка протокола RADIUS и внутреннего механизма аутентификации•Экспорт статистики по протоколу NetFlow v.5•Ведение журнала событий (Syslog)•Базовая ОС Linux (Встроенные текстовые редакторы vi и nano для создания и редактирования внутренних конфигурационных файлов)•Интерфейсы управления: WEB, SSH, Telnet, консольное подключение (консоль базовой ОС Linux)
DSA-3110. Основные характеристики
С ростом популярности беспроводных сетей быстро развивается новый вид услуг для доступа в Интернет - создание публичных зон доступа - HOTSPOT.
Точка доступа
Точка доступа
Точка доступа
Клиент
Коммутатор
Database / Filel Server
Интернет
Уязвимость
Беспроводная сеть без шлюза безопасности
Клиент
Database / File Server
LOGIN ID. :
PASSWORD :
Шлюз безопасностиDSA-3110
Интернет1
32
Беспроводная сеть со шлюзом безопасности
Точка доступа
Клиент
Точка доступа
КлиентТочка
доступа
• Нет необходимости установки клиентского ПО
• Клиент может использовать любой браузер для ввода пароля
• Доступ с использованием SSL для обеспечения безопасного соединения
No Need
Функции DSA-3110
• Контроль полосы пропускания для групп пользователей
• Для предотвращения захвата полосы пропускания можно назначить максимальную полосу для групп пользователей
Контроль полосы пропускания
Без настройки полосы пропускания
Клиенты, находящиеся ближе к Точке Доступа
будут захватывать доступную полосу
пропускания
Более удаленные пользователи получат
низкую пропускную способность
Функции DSA-3110
Название Стандарты работы Тип шины Скорость передачи, Мбит/с
Рекомендованная цена, $
DWl-G132 802.11b/g USB 2.0 108 44
DWL-G520 802.11b/g PCI 108 43
DWL-G650 802.11b/g PCMCIA 108 36
DWL-G122 802.11b/g USB 54 25
DWL-G510 802.11b/g PCI 54 23
DWL-G630 802.11b/g PCMCIA 54 24
DWL-G520M 802.11b/g PCI 108 53
DWL-G650M 802.11b/g PCMCIA 108 44
DWL-AG132 802.11a/b/g USB 2.0 108 61
DWL-AG530 802.11a/b/g PCI 108 60
DWL-AG660 802.11a/b/g PCMCIA 108 52
DWL-G550 802.11b/g PCI 108 47
DWL-G680 802.11b/g PCMCIA 108 40
Беспроводные адаптеры D-Link
Название Стандарты работы Тип шиныСкорость передачи,
Мбит/с
Рекомендованная цена, $
DWA-110 802.11g USB 54 21
DWA-120 802.11g+ USB 2.0 108 35
DWA-142 draft 802.11n USB 2.0 300 109
DWA-510 802.11g PCI 54 23
DWA-520 802.11g+ PCI 108 30
DWA-547 draft 802.11n PCI 300 84
DWA-610 802.11b/g Card bus 54 25
DWA-620 802.11b/g Card bus 108 32
DWA-645 802.11a/b/g Card bus 300 76
DWA-643 802.11a/b/g Notebook expresscard 300 76
Беспроводные адаптеры D-Link (NEW)
pre-N family, up to 300 Mbps
Спасибо за внимание!