Построение беспроводных сетей

Утко Павел

• Традиционные проводные сети: Данные передаются по витой паре, коаксиальному кабелю, оптоволокну и пр. Требуют затрат на прокладку кабеля

• Беспроводные сети: Данные передаются по воздуху, и сигнал для приема доступен для мобильных пользователей

Что такое беспроводные сети?

• Беспроводные сети обладают гибкостью при конфигурации и расширении. Могут служить как добавлением, так и заменой проводных сетей при построении сетевой инфраструктуры

• Пользователи могут свободно перемещаться, т.к. беспроводные сети обеспечивают доступ к сетевым ресурсам компании из любого места.

• Беспроводные сети не только обеспечивают мобильный доступ, но и сами мобильны, т.к. можно легко переместить сеть в другое место. Быстрая и лёгкая инсталляция.

Сферы применения беспроводных сетей

• Внутриофисные сети

• Домашние сети

• Выставочные комплексы и конференц-залы

• Доступ к Интернет в гостиницах, кафе, библиотеках,

студенческих городках и т.д. – “hot spot”

• Сети провайдеров Интернет: подключение клиентов

там, где нет возможности протянуть кабель

• «Гостевой» доступ к корпоративной сети для клиентов

и партнеров

Семейство стандартов беспроводных сетей IEEE 802.11

Стандарт IEEE 802.11 входит в серию стандартов IEEE 802.X, относящихся к сетям и коммуникациям, сюда также входят такие стандарты, как 802.3 Ethernet, 802.5 Token Ring и т.д. Т.о., стандарт IEEE 802.11 определяет компоненты и характеристики сети на физическом уровне передачи данных и на уровне доступа к середе с учетом беспроводного способа передачи данных и возможности взаимодействия с существующими сетями.

Стандарты беспроводных сетей - IEEE 802.11b

• Текущий наиболее распространенный стандарт, совместим с предыдущим стандартом IEEE 802.11

• Работает на частоте 2,4 ГГц

• Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS)

• Поддерживает скорость соединения 1, 2, 5.5, 11 Мбит/с (реальная скорость передачи данных от 4 до 6 Мбит/с), автоматический или фиксированный выбор скорости

• Защита данных при помощи шифрования WEP (wired equivalent privacy)

Стандарты беспроводных сетей - IEEE 802.11a

• Более сложная передовая технология

• Работает на частоте 5 ГГц

• Используется метод мультиплексирования с ортогональным

делением частот (OFDM)

• Поддерживает скорость соединения до 54 Мбит/с (48, 36, 24,

18, 12, 9 и 6 Мбит/с), реальная скорость передачи данных от

22 до 26 Мбит/с

• 12 одновременно доступных для работы каналов

• Защита данных при помощи шифрования WEP (wired

equivalent privacy)

Стандарты беспроводных сетей - IEEE 802.11g

• Обратная совместимость с устройствами стандарта IEEE 802.11b

• Работает на частоте 2.4 ГГц

• Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS) и метод мультиплексирования с ортогональным делением частот (OFDM)

• Скорость соединения до 54 Мбит/с, автоматический или фиксированный выбор скорости

• Защита данных при помощи WPA (Wi Fi Protected Access), 802.1x

• IEEE 802.11a поддерживает скорости

6, 9, 12, 18, 24, 36, 48, 54 Мбит/с

• IEEE 802.11b поддерживает скорости

1, 2, 5.5, 11 Мбит/с

• IEEE 802.11g поддерживает скорости

1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54 Мбит/с

• Более высокая скорость улучшает пропускную способность

• Более низкая скорость увеличивает дистанцию и

надежность

• Автоматический или фиксированный выбор скорости

Скорость передачи

Страна Диапазон частот, ГГц Число каналов

Беларусь 2.400 – 2.4835 13

Россия 2.412 - 2.4835 13

Европа (за исключением Франции и Испании)

2.412 - 2.472 13

Франция и Испания 2.457 - 2.472 4

FCC (США и Канада) 2.412 - 2.462 11

Япония 2.412 - 2.484 14

Китай, Корея 2.412 - 2.472 13

Чили 2.412 - 2.472 13

Австралия 2.412 - 2.472 13

Южная Африка 2.412 - 2.472 13

Юго-Восточная Азия (включая Сингапур, Малайзию, Таиланд)

2.412 - 2.472 13

Количество каналов для различных стран. 2.4ГГц

Канал Частота

1 2,412 ГГц

2 2,417 ГГц

3 2,422 ГГц

4 2,427 ГГц

5 2,432 ГГц

6 2,437 ГГц

7 2,442 ГГц

8 2,447 ГГц

9 2,452 ГГц

10 2,457 ГГц

11 2,462 ГГц

12 2,467 ГГц

13 2,472 ГГц

Частоты каналов

Каждый канал занимает частотный диапазон в 22 МГц. Например, канал 1 работает в диапазоне от 2,401ГГц до 2,423ГГц, т.е 2,412ГГц ± 11МГц.

Частоты каналов24

00

2410

2420

2430

2440

2450

2460

2470

2480

2405

2415

2425

2435

2445

2455

2465

2475

Ch11Ch6Ch1

2400 2483.5

22MHz 22MHz 22MHz

5 channels5 channels 5 channels5 channels

3 MHz3 MHz 3 MHz3 MHz

Страна Диапазон частот, ГГц Число каналов

Беларусь 5,150-5,350

5,650-5,725

5,470-5,725 (внешн)

8

9

11

Россия 5,150-5,250

5,725-5,825

4

4

Европейский союз 5,150–5,350

5,470–5,725

8

11

Австралия 5,725–5,825 4

Китай 5,725–5,825 4

Япония, Сингапур 5,150–5,350 8

FCC (США и Канада) 5,150-5,350

5,725-5,825

8

4

Корея 5,150–5,350

5,470–5,650

5,725–5,825

8

8

4

Латинская Америка 5,150-5,350

5,470-5,725

8

11

Количество каналов для различных стран. 5ГГц

802.11b 802.11a 802.11g

Стандарт принят Сент. 1999 Сент. 1999 Июль 2003

Полоса пропускания 83.5 МГц 300 МГц 83.5 МГц

Полоса частот (ГГц) 2.40 – 2.4835

5.15 – 5.35, 5.725 – 5.825

2.40 – 2.4835

Кол-во непересекающихся

каналов

3 12 (4*3) 3

Скорость передачи (Мбит/с)

1, 2, 5.5, 11, 22

6,9,12,18,24,36,48,54

1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54

Тип модуляции DSSS OFDM DSSS

Сравнение стандартов беспроводных сетей

В полосе пропускания систем, соответствующих 802.11b и 802.11g, доступны только 3 канала

В полосе пропускания систем, соответствующих 802.11a, доступны 12 каналов

Lower Band Middle Band Upper Band

Измеряется отношением Сигнал/Шум (SNR)

Высокий уровень сигнала при малых шумах предоставляет наилучший канал связи

Качество канала связи

Перевод мощности dBm <-> mW

Перспективы беспроводных cетей

IEEE 802.11h International Telecommunication Union (ITU): использует протоколы Dynamic Frequency Selection (DFS) и Transmit Power Control (TPC) для автоматического выбора другого канала и настройки мощности передачи для минимизации помех от таких систем, как радары, обнаруженные на том же канале.

IEEE 802.11i, Wi-Fi Protected Access 2 (WPA2) или WPA: блокировка несанкционированного доступа за счет аутентификации пользователей перед предоставлением им доступа к сети; обеспечение целостности данных, передаваемых по беспроводной сети, за счет использования устойчивого к ошибкам улучшенного стандарта шифрования Advanced Encryption Standard (AES) или Temporal Key Integrity Protocol (TKIP).

Mi-Mo

802.11n — перспективный стандарт, который, как ожидается, позволит увеличить полосу пропускания и диапазон беспроводных сетей. Этот стандарт пока что находится на стадии обсуждения, но его существующая версия уже обеспечивает скорость передачи данных свыше 250 Мбит/с, что более чем вчетверо превышает возможности продуктов 802.11g. Такое быстродействие обеспечивается благодаря более эффективному сжатию данных и использованию антенн, передающих сразу несколько сигналов (эта технология называется MIMO, Multiple In, Multiple Out — "много на входе, много на выходе").

За счет чего увеличивается производительность:

Features Benefits

Hardware Compression

increased speeds by using compressed frames to send data

Fast Frames Increased speeds by aggregating multiple frames

Packet Bursting Increased speeds by reducing wireless transmission overhead

Multi Channel Increased speeds by using multiple wireless channels

Стандарт IEEE 802.16

Стандарт 802.16 (январь 2003) уровня МАС предназначен для реализации широкополосных каналов последней мили в городских сетях (MAN).Его задачей является обеспечения сетевого уровня между локальными сетями (IEEE 802.11) и региональными сетями (WAN), где планируется применение разрабатываемого стандарта IEEE802.20. Эти стандарты совместно со стандартом IEEE 802.15 (PAN - Personal Area Network - Bluetooth) и 802.17 (мосты уровня МАС) образуют взаимосогласованную иерархию протоколов беспроводной связи.

•Пропускная способность до 135 Мбит/с при полосе несущей 28 МГц.•Модуляция OFDM - 64-QAM•Доступ к среде адаптивный, динамический•Управление сетью централизованное

Название стандарта

802.16 802.16a 802.16e

Дата принятия декабрь 2001 январь 2003 середина 2004

Частотный диапазон

10-66 ГГц 2-11 ГГц 2-6 ГГц

Быстродействие 32-135 Мбит/с для 28МГц-канала

до 75 Мбит/сдля 28МГц-канала

до 15 Мбит/сдля 5МГц-канала

Модуляция QPSK, 16QAM, 64QAM

OFDM 256, QPSK, 16QAM, 64QAM

OFDM 256, QPSK, 16QAM, 64QAM

Ширина канала 20, 25 и 28 МГцРегулируемая

1,5-20МГц

Регулируемая 1,5-20МГц

Радиус действия 2-5 км 7-10 км макс. радиус 50 км

2-5 км

Условия работы Прямая видимость Работа на отражениях Работа на отражениях

Краткие характеристики семейства стандартов 802.16

Беспроводные сетевые

адаптеры

• Ad Hoc

• Инфраструктуры

Режимы работы беспроводных сетей

Точки доступа

• Точка доступа

• Беспроводный мост

«точка-точка»

• Беспроводный мост

«точка-многоточка»

• Беспроводный клиент

• Повторитель

Ad Hoc режим

ПК с беспроводным адаптером,

напр. DWL-G520

Ноутбук с беспроводным адаптером,

напр. DWL-G650

Одноранговое взаимодействие по типу «точка-точка», компьютеры взаимодействуют напрямую без применения точек доступа

Сервер, подключенный к проводному сегменту сети

Проводной сегмент сети

Маршрутизатор

Интернет ПК с проводным адаптером и общим принтером

Точка доступа

Беспроводная сеть

Инфраструктурный режим

ПК с беспроводным адаптером DWL-G520 или

ноутбук с DWL-G650

Точки доступа обеспечивают связь клиентских компьютеров. Точку доступа можно рассматривать как беспроводной концентратор

Беспроводный мост между двумя LAN

С помощью беспроводных мостов можно объединять две и более проводных LAN, находящихся как на небольшом расстоянии в соседних зданиях, так и на расстояниях до нескольких км., что позволяет объединить в сеть филиалы и центральный офис

Данное решение позволяет достичь значительной экономии средств и обеспечивает простоту настройки и гибкость конфигурации при перемещении филиалов

Беспроводный мостPoint-to-PointPoint-to-Point

(PTP)(PTP)

Remote Router/ Bridge,

DWL-2700AP

Central Router/ Bridge,

DWL-2700AP

Интернет

Здание Здание AA ЗданиеЗдание B B

xDSL Модем

Используется для объединения двух или более проводных сегментов LAN, находящихся на расстоянии до нескольких км.

Беспроводный мост

Point to Multi-pointPoint to Multi-pointPTMPPTMP

Интернет

Remote Router/ Bridge,

DWL-2700APCentral Router/

Bridge,DWL-2700AP

Здание Здание AAЗданиеЗдание B B

xDSL Модем

ЗданиеЗдание C C

Remote Router/ Bridge,

DWL-2700AP

Используется для объединения двух и более проводных сегментов LAN, находящихся на расстоянии до нескольких км.

«Последняя миля» в сетях ISP

Access point

Remote Router/ Bridge

Remote Router/ Bridge

Remote Router/ Bridge

Access point

Access point

Inline Power

Injector

Central Router/ Bridge

xDSL модем

Client Bridge

Client Bridge

Wireless ISPWireless ISP

Интернет

Технология WDS (Wireless Distribution System)

Данная технология позволяет,одновременно, подключать беспроводных клиентов, к точкам доступа работающим в режиме “мост”

• WDS : Беспроводный мост «точка-многоточка»• WDS with AP: Беспроводный мост

«точка-многоточка» + AP

•Беспроводный мост «точка-точка»•Беспроводный мост «точка-многоточка»

• WDS : Беспроводный мост «точка-многоточка»

• WDS with AP: Беспроводный мост «точка-многоточка» + AP

WDSWDS(Wireless Distribution System)(Wireless Distribution System)

• Star Configuration • Chain configuration

Дополнительные режимы точек доступа: как правило фирменные, т.е. поддерживаются не всеми поставщиками.

Режим повторителя – Repeater

Сервер

Screen Monitor II

Screen Monitor II

Точка доступа

Точка доступа в режиме репитер

Точка доступа в режиме Клиент

Сервер

Screen Monitor II

Screen Monitor II

Точка доступа Точка доступа в режиме Клиент

Режим можно применять при подключении к беспроводной сети устройств с портом Ethernet, но без возможности установки беспроводного адаптера.

Роуминг в беспроводных сетях

Поскольку клиенты перемещаются в зоне действия от

одной точки доступа к другой, роуминг позволяет не

терять соединение, а передавать его между точками

доступа.

Для этого точки доступа нужно подключить к

проводной сети

Как только пользователь перемещается от одной точки доступа к другой, беспроводной адаптер автоматически переустанавливает соединение и подключается к ближайшей точке для обеспечения лучшего качества сигнала и производительности

Перемещение между точками

Роуминг в беспроводных сетях

•Сигнал-маяк - “Beacon” посылается точкой доступа каждые 100 миллисекунд

•Клиенты используют этот маяк для оценки качества связи

•Клиенты тоже могут посылать маяк, или пробный запрос

•Точка доступа ответит или пошлет маяк

• Основываясь на качестве связи, клиент примет решение, с какой точкой доступа работать.

• Если он перемещается между ТД, то новая ТД информирует старую через проводное соединение о переустановленном соединении клиента в сети.

• Т.о., при правильном размещении точек доступа на территории предприятия пользователи смогут перемещаться по ней без потери доступа к сети

16

11

1

11

1

Точки доступа, зоны охвата которых пересекаются, должны быть настроены на разные каналы. Но можно использовать одинаковые каналы на точках доступа с непересекающимися зонами охвата. Т.о. можно увеличивать общее покрытие сети практически без ограничений!

Роуминг – использование одних и тех же каналов для увеличения зоны охвата

• Протокол роуминга не включен в 802.11, это нужно

учитывать при развертывании беспроводной сети

• Inter Access Point Protocol (IAPP) Across Distribution

Systems - это попытка стандартизовать протокол

роуминга (802.11f)

• Поэтому, роуминг лучше организовывать на

продуктах одного поставщика

• Точки доступа D-Link позволяют организовать надежную

передачу на территории всего предприятия

Обработка коллизий в беспроводных сетях

Беспроводной адаптер не может обнаружить коллизию

в ходе передачи пакета, т.к. метод обнаружения

коллизий CSMA/CD не может работать в беспроводной

сети.

Поэтому для обнаружения коллизий и потери пакета используется метод CSMA/CA (Carrier Sense MultipleAccess / Collision Avoidance) с квитированием – на каждый пакет ожидается подтверждение доставки, если такой пакет не пришел – значит произошла коллизия и пакет передается повторно

A B

Точка доступа

Например: компьютеры A и B видят точку доступа, но не видят друг друга при слабом сигнале. Задача состоит в том, чтобы предотвратить коллизию при одновременной передачи данных точке доступа обоими узлами

Проблема, называемая “скрытый узел”

С

• Перед отправкой пакета с данными узел A посылает точке

доступа пакет Ready-to-send (RTS), который содержит

поле с указанием времени занятия канала

• Если принимающий узел «слышит» этот пакет, он

отвечает пакетом Clear-to-send (CTS) и устанавливает свой

Network Allocation Vector ( NAV )

• После этого начинается передача данных и т.о.

исключается коллизия

• Но компьютер B не слышит этот кадр из-за слабого

сигнала от узла А

• Точка доступа посылает CTS-кадр, содержащий поле

резервирования (занятия канала)

• Компьютер B «слышит» этот кадр и перестраивает свой

NAV

• Итак, коллизий не произошло

A С BRTS?

A С BCTS! CTS!

A С BDATA

A С BACK

RTS/CTS схема построения протокола

RTS Threshold feature increases available bandwidth by eliminating RTS/CTS traffic from the air, thus reducing the cost. By setting RTS length threshold to a maximum value, the transmitter will effectively never use RTS and the option is virtually switched off. One example is shown in figure. If the hidden station is a non-issue, the threshold can be switched off. If a user decides to switch it on by setting some threshold, there is always a trade off between introducing more overhead and reducing retransmission of messages due to the hidden node problem. The situation in which the RTS/CTS is very helpful is the outdoor point-to-multi-point environment in which the hidden node problem can be a larger problem. The following diagram shows how the RTS/CTS mechanism works for A as a transmitter, B as a receiver and the NAV settings for their neighbors.

Параметры настройки беспроводных сетей

Имя сети – ESSID (Extended Service Set ID)

• Каждая Точка Доступа должна быть сконфигурирована с

уникальным ID

• Защищенный доступ позволяет доступ к сети только

клиентам с правильным ID

• Если к одной подсети подключены несколько точек

доступа – им нужно присвоить один и тот же ESSID

Канал работы беспроводного соединения

•При настройке точки доступа необходимо указать канал

для работы беспроводного соединения.

•На клиентских устройствах настройку производить не

нужно, т.к. адаптер подключается к точке доступа на том

канале, который настроен для ее работы.

•Для увеличения пропускной способности, каналы не

должны перекрываться.

Параметры настройки беспроводных сетей

Поиск сети клиентом

Файл-сервер

Проводной сегмент сети

Маршрутизатор

Интернет

Точка доступа

Пассивное сканированиеПассивное сканирование

Кадр Кадр Beacon Beacon посылается посылается как клиентом, так и как клиентом, так и точкой доступаточкой доступа

Клиент сканирует Клиент сканирует доступные точки доступные точки доступа и проверяет, доступа и проверяет, может ли к ним может ли к ним подключитьсяподключиться

Поиск сети клиентом

Файл-сервер

Проводной сегмент сети

Маршрутизатор

Интернет

Точка доступа

Активное сканирование

Клиент посылает пробный запрос

Точка доступа посылает пробный ответ

Управление питанием

Поскольку большинство беспроводных устройств работают на батареях, некоторое управление питанием необходимо.

802.11 устройства имеют 2 режима: Нормальный и Сохранения энергии с пробуждением.

• CAM (continuous aware mode) устройства всегда готовы к работе и принимают пакеты• PSP (power save polling) устройства оповещают Точку Доступа, перед тем, как «заснуть», и затем периодически «просыпаются» для проверки сигнала-маяка, что для них есть пакеты

Для обеспечения безопасности в беспроводных сетях

используется несколько средств:

Контроль за подключением к точке доступа на основе MAC-

адресов и имени сети

• Шифрование на основе протокола WEP (Wired Equivalent

Privacy) (RC4)

• Контроль за доступом к среде передачи на основе протокола

802.1x

• Поддержка нового протокола WPA

• Настройка VPN поверх беспроводного соединения

• Вынос беспроводной сети за межсетевой экран, как сети с

низким доверием

Безопасность в беспроводных сетях

Multiple SSIDMultiple SSID

Multiple SSID может работать с VLAN-ами: каждый SSID соответствует своему VLAN-у.

Multiple SSID может работать без VLAN-ов: в таком случае AP обслуживает разные группы пользователей с различными WLAN/security свойствами.

Подходит для сегментации и классификации подсетей.

DWL-XXXXAP поддерживают до 8 SSID (1 – мастер, 7- гостевые).

Multiple SSID with VLANMultiple SSID with VLAN

DWL-3200APDWL-3200APAccess PointAccess Point

VLAN1SSID: Sales

VLAN2SSID: RDDWEP: 64 bit

VLAN3SSID: FinanceWEP: 128 bit

VLAN1Sales

VLAN2R&D Dept.

VLAN3Financial Dept.

Without Multiple SSID

Multiple SSID without VLANMultiple SSID without VLAN

InternetInternet

SSID: T-MobileWEP: 64 bit

SSID: AT&TWEP: 128 bit

SSID: VodafoneWEP: 128 bit

DWL-3200APDWL-3200APAccess PointAccess Point

InternetInternet

With Multiple SSID

What can Multiple SSID do for you?What can Multiple SSID do for you?

Уменьшение затрат– Одна сеть (для всех групп) вместо нескольких.

Достижение высокой загрузки развернутых AP– Использование различных типов клиентов одной AP

(business, consumers, etc.). Минимизация стоимости обслуживания

– Желание поддерживать различных клиентов без необходимости их перенастройки.

Минимизация конфликтов в канале– В публичных местах м.б. несколько сетей (различных

ISP);– радиопомеха ужу выделена (3 непересекающихся

канала – если каналы заняты, дополнительные APs уменьшат производительность).

По имени сети: можно использовать уникальный ESSID во избежание несанкционированного доступа в Вашу беспроводную сеть

По MAC-адресу: Вы можете задать на точке доступа список MAC–адресов, котором Вы хотите разрешить авторизацию в Вашей группе в сети на Вашей точке доступа.Максимальное число клиентов в MAC filter лист на точках доступа серии DWL-XXXX?DWL-900AP+ =50DWL-1000AP+ =50DWL-2000AP =50DWL-2000AP+ =50DWL-2100AP =256DWL-2700AP =256

Контроль доступа

Фильтрация по MAC-адресу

Введите здесь MAC адрес

Режим Access Control

Можно включить на всех беспроводных устройствах шифрование всего трафика для предотвращения несанкционированного доступа к передаваемой информации.Шифрование использует RC4 алгоритм, принятый в IEEE 802.11 как WEP стандарт.

64 и 128 bit шифрование доступно для клиентов (-24-bit Initialization Vector (IV) увеличивается от 0 на 1 до 2^24=16*10^6 на каждый переданный пакет – в нагруженных сетях реинициализация – каждые 5 часов).

Шифрование при помощи WEP

Как работает WEP

Клиент

Точка доступа

Общий ключ между Клиентом и

Точкой доступа

Изначальные данные : 01000111101001001110010

Зашифрованные данные : 00101001000100010011011

Шифрация при помощи ключа

Зашифрованные данные: 00101001000100010011011

Дешифрация при помощи ключа

Изначальные данные : 01000111101001001110010

Все клиенты используют один и тот же ключ

Настройка WEP

Настройка WEP на стороне точки доступа

Настройка WEP на стороне клиента

Для аутентификации и авторизации пользователей с

последующим предоставлением им доступа к среде

передачи данных, разработан стандарт безопасности IEEE

802.1x, который ориентирован на все виды сетей доступа,

соответствующие стандартам IEEE.

Данная система предназначена для совместной работы

EAP (Extensive Authentication Protocol) и RADIUS.

Прежде чем получить доступ к беспроводной (или

проводной) сети, клиент должен пройти проверку на

сервере RADIUS и только в случае успешной проверки ему

разрешается доступ в есть.

Протокол 802.1x

Протокол EAP

Изначально был создан для протокола Point-to-Point protocol (PPP)

Служит для установки и подтверждения аутентификации

Не зависит от применяемого метода аутентификации Может быть легко использован для инкапсуляции

других методов

Работа 802.1x

Клиент шлет сообщение EAP-start

EAP : Extensible Authentication Protocol

Точка доступа запрашивает подлинность сообщением EAP-request identity

Клиент шлет сообщение EAP-response содержащее подтверждение своей подлинности для сервера аутентификации

Сервер

Аутентификации

Сервер аутентификации проверят подлинность клиента одним из заданных алгоритмов

Сервер шлет сообщение accept или reject на возможность доступа

Точка доступа шлет пакет EAP-success packet (или reject) клиенту

Если сервер аутентифицировал клиента, точка доступа переводит клиента в состояние авторизации и начинает пропускать трафик от клиента

IEEE 802.1x, EAP, RADIUSТочка доступа

(Аутентификатор)

Порт авторизован

Порт не авторизован

EAPOL-Start

EAP-Request/Identity

EAP-Response/Identity RADIUS Access-Request

RADIUS Access-ChallengeEAP-Request/OTP

EAP-Response/OTP RADIUS Access-Request

RADIUS Access-Accept

EAPOL-Logoff

* OTP (One-Time-Password)

RADIUS Account-Stop

RADIUS Ack

Рабочая станция(Клиент)

Сервер RADIUS(Сервер аутентификации)

Для замены протокола WEP Wi-Fi была разработана новая система безопасности – WPA.

Основные достоинства WPA: • Более надежный механизм шифрования, основанный на «временном протоколе целостности ключей» - Temporal Key Integrity Protocol (TKIP)• Аутентификация пользователей при помощи 802.1x и EAP• Возможность работы в сетях класса SOHO без необходимости настройки сервера RADIUS – режим Pre-Shared Key (PSK), позволяющий вручную задавать ключи

Протокол Wi-Fi Protected Access - WPA

WPA2 основан на протоколе безопасности беспроводных сетей 802.11i обеспечивает более сильный механизм шифрования Advanced Encryption Standard (AES).

Клиент предоставляет сертификат

Работа WPA

Клиент

Сетевые ресурсы

Запрос на соединение

Запрос аутентификации

Точка блокирует доступ до аутентификации

AuthenticatorПосле аутентификации сервер предоставляет ключ шифрации TKIP

Сервер аутентификации

WEP WPA

Шифрование Возможность взлома Исправление всех недостатков WEP

Ключ 40-бит Ключ 128-бит

Статический ключ - используется во всей сети

Динамический ключ -для каждого пользователя, сессии и пакета свой ключ.

Ключ вводится вручную в каждое устройство

Автоматическое распределение ключей

Аутентификация

Для аутентификации используется тот же ключ WEP

Надежная аутентификация с использованием 802.1x и EAP

Сравнение протоколов WEP и WPA

Wireless и VPN

Для дополнительной безопасности вы можете

настроить VPN поверх вашей беспроводной сети.

Аутентификация пользователей и шифрование

трафика средствами VPN обеспечивает надежную

защиту.

Средства VPN работают на сетевом уровне,

транспортом может служить как проводная, так и

беспроводная сеть.

Защита при помощи межсетевого экрана (DFL-210/800/1600) или шлюза безопасности

(DSA-3110/5110)

Планирование и развертывание беспроводной сети предприятия

При развертывании беспроводной сети нужно определить плотность размещения точек доступа для обеспечения роуминга и беспрерывной связи при перемещении клиентов

Необходимо разместить точки доступа так, чтобы:

• Увеличить зону покрытия

• Обеспечить качество связи и необходимую пропускную способность

• Не допустить пересечения каналов точек доступа

Пример расположения точек доступа и настройки каналов

При планировании беспроводной сети необходимо

учитывать следующие моменты:

• Расположение Точек Доступа зависит от необходимой

площади охвата и конструкции здания.

• Толстые стены, или стены с металлоконструкциями,

будут блокировать сигнал сильнее, чем

светопропускающие конструкции.

• Количество стен и перегородок желательно свести к

минимуму – каждая стена может сокращать

максимальную дистанцию для передачи данных

на 1 - 30 м.

Распространение сигнала

Прямой путь

Отражение

Препятствие из листвы

Рассеяние

Экранирование зданием

Препятствие из земли

• Располагайте беспроводные устройства по прямой линии: стена толщиной в 0,5 м. При расположении устройств под углом в 45 градусов становится толщиной почти 1м.

стена стена

Прямая линия Угол в 45 градусов

0,5 м

Около 1 м

45 °

• Офисная мебель, кабинеты, могут образовывать “тени”

в зоне охвата.

• Для получения широкой зоны охвата необходима прямая

видимость.

• Удостоверьтесь, что антенна настроена для лучшего

приема

Используя поставляемые с устройствами утилиты для оценки качества связи, необходимо построить карту зоны охвата в заданном помещении. Например: Утилита к Беспроводному адаптеру имеет функцию диагностики, позволяет определить уровень сигнала по каждому каналу. Также можно проверить качество связи между клиентом и точкой доступа.

Отношение сигнал - шум (SNR) хорошее, но производительность данных - относительно низкая:

• Перегруженная сеть – слишком много клиентов пытаются получить доступ к среде передачи

• Электрическое устройство, генерирующее радиосигнал, расположено рядом с беспроводным клиентом

• Качество связи другого клиента недостаточно хорошее и поэтому он возникает много повторной передачи пакетов

• Коллизии, возникающие из-за проблемы «скрытый узел»

Некоторые типичные проблемы при проектировании беспроводной сети

Концентрация пользователей на точку доступа слишком высокая:

• Разместите ближе точки доступа, чтобы распределить нагрузку

• Добавьте дополнительные точки доступа к беспроводной сети

Уровень сигнала низкий:

• Устройства могут быть слишком далеко друг от друга

• Имеется преграда между устройствами

1. Шлюзы безопасности

2. Точки доступа

3. Беспроводные интернет-шлюзы, принтсерверы,

шлюзы VоIP, сетевые накопители, IP камеры.

4. Беспроводные адаптеры

5. Устройства Power over Ethernet (РоЕ)

6. Антенны

Обзор беспроводных продуктов D-Link

• 7 портов 10/100Mбит/с Fast Ethernet, консольный порт RS-232 для управления• 4 независимо конфигурируемых интерфейса•Конфигурация интерфейсов со статическим адресом или DHCP•Поддержка до 50 одновременных подключений VPN PPTP в режиме он-лайн•Размещение до 250 учетных записей пользователей во внутренней базе данных•Аутентификация и авторизация, основанные на ID/Пароле•Поддержка шифрования MPPE•Поддержка протокола RADIUS и внутреннего механизма аутентификации•Экспорт статистики по протоколу NetFlow v.5•Ведение журнала событий (Syslog)•Базовая ОС Linux (Встроенные текстовые редакторы vi и nano для создания и редактирования внутренних конфигурационных файлов)•Интерфейсы управления: WEB, SSH, Telnet, консольное подключение (консоль базовой ОС Linux)

DSA-3110. Основные характеристики

С ростом популярности беспроводных сетей быстро развивается новый вид услуг для доступа в Интернет - создание публичных зон доступа - HOTSPOT.

Точка доступа

Точка доступа

Точка доступа

Клиент

Коммутатор

Database / Filel Server

Интернет

Уязвимость

Беспроводная сеть без шлюза безопасности

Клиент

Database / File Server

LOGIN ID. :

PASSWORD :

Шлюз безопасностиDSA-3110

Интернет1

32

Беспроводная сеть со шлюзом безопасности

Точка доступа

Клиент

Точка доступа

КлиентТочка

доступа

• Нет необходимости установки клиентского ПО

• Клиент может использовать любой браузер для ввода пароля

• Доступ с использованием SSL для обеспечения безопасного соединения

No Need

Функции DSA-3110

• Контроль полосы пропускания для групп пользователей

• Для предотвращения захвата полосы пропускания можно назначить максимальную полосу для групп пользователей

Контроль полосы пропускания

Без настройки полосы пропускания

Клиенты, находящиеся ближе к Точке Доступа

будут захватывать доступную полосу

пропускания

Более удаленные пользователи получат

низкую пропускную способность

Функции DSA-3110

Название Стандарты работы Тип шины Скорость передачи, Мбит/с

Рекомендованная цена, $

DWl-G132 802.11b/g USB 2.0 108 44

DWL-G520 802.11b/g PCI 108 43

DWL-G650 802.11b/g PCMCIA 108 36

DWL-G122 802.11b/g USB 54 25

DWL-G510 802.11b/g PCI 54 23

DWL-G630 802.11b/g PCMCIA 54 24

DWL-G520M 802.11b/g PCI 108 53

DWL-G650M 802.11b/g PCMCIA 108 44

DWL-AG132 802.11a/b/g USB 2.0 108 61

DWL-AG530 802.11a/b/g PCI 108 60

DWL-AG660 802.11a/b/g PCMCIA 108 52

DWL-G550 802.11b/g PCI 108 47

DWL-G680 802.11b/g PCMCIA 108 40

Беспроводные адаптеры D-Link

Название Стандарты работы Тип шиныСкорость передачи,

Мбит/с

Рекомендованная цена, $

DWA-110 802.11g USB 54 21

DWA-120 802.11g+ USB 2.0 108 35

DWA-142 draft 802.11n USB 2.0 300 109

DWA-510 802.11g PCI 54 23

DWA-520 802.11g+ PCI 108 30

DWA-547 draft 802.11n PCI 300 84

DWA-610 802.11b/g Card bus 54 25

DWA-620 802.11b/g Card bus 108 32

DWA-645 802.11a/b/g Card bus 300 76

DWA-643 802.11a/b/g Notebook expresscard 300 76

Беспроводные адаптеры D-Link (NEW)

pre-N family, up to 300 Mbps

Спасибо за внимание!