Embed Size (px)
Citation preview
Cyberbajt Sp. z o.o. ul.Górczewska 212/226, 01 – 460 Warszawa tel: 22 312 22 76, fax: 22 312 22 75 e-mail: [email protected]: 522-27-48-931, KRS 0000220381
- RAPORT -
Zastosowania, funkcjonowanie oraz specyfikacja techniczna produktów z serii Cisco Aironet© pracujących w standardach IEEE 802.11a/b/g
Charakterystyka ogólna Urządzenia Cisco Aironet© z serii 1100 oraz 1200 pozwalają na inteligentną obsługę sieciową oraz połączenia end-to-end, także z innymi punktami AP sieci bezprzewodowych. Rozwinięty nieomal do perfekcji w działaniu, system CLI (Command-Line Interface) pozwala szybko i spójnie implementować rozszerzone funkcje oferowane przez oprogramowanie Cisco IOS. Rodzina produktów Access Point Cisco Aironet©©, to w pełni bezpieczne, wydajne i łatwe w konfiguracji rozwiązanie bezprzewodowej sieci WLAN w standardzie IEEE 802.11, łączące w sobie mobilność i elastyczność z zaawansowanymi usługami sieciowymi stosowanymi dotychczas wyłącznie w rozwiązaniach korporacyjnych. Produkty Cisco Aironet© pracują we wszystkich trzech trybach standardu IEEE 802.11:
Standard Pasmo Prędkość transmisji Modulacja 802.11a 5 Ghz 54 Mb/s OFDM 802.11b 2,4 Ghz 11 Mb/s *DSSS 802.11g 2,4 Ghz 54 Mb/s DSSS/ *OFDM
*OFDM - Orthogonal Frequency Division Multiplexing *DSSS - Direct Sequence Spread Spectrum Poniżej tabela przedstawiająca możliwości wykorzystania przykładowych urządzeń Cisco z serii Aironet© w różnorodnych warunkach: Cisco Aironet© Series Biura Sieci zewnętrzne Połączenia szkieletowe
1100 Idealne rozwiązanie Nie polecane Nie polecane 1200 Nie optymalne Idealne rozwiązanie Nie optymalne 1300 Nie polecane Nie polecane Idealne rozwiązanie
Produkty takie jak Cisco Aironet© z serii 1100, 1200 to pierwsze punkty dostępu w pełni obsługujące system operacyjny Cisco IOS©. Wszystkie produkty Cisco Aironet© posiadają certyfikaty Wi-Fi potwierdzające zgodność z normą i możliwość współpracy z innymi urządzeniami zgodnymi z normą IEEE 802.11. Wysoce intuicyjny interfejs WWW do zarządzania urządzeniami poprzez protokół HTTPS z poziomu przeglądarki internetowej doskonale nadaje się do kontrolowania stanu Access Point’ów oraz monitoringu stanu sprzętu wraz ze statystykami ruchu oraz ich charakterystyką. Cisco Aironet© może być także zarządzany z poziomu dobrze wszystkim znanej konsoli tekstowej w systemie Cisco IOS©. Produkty WLAN z serii Cisco Aironet© wyposażone są w pojedyncze / podwójne moduły radiowe z możliwością łatwej rozbudowy. W praktyce, poprzez dodanie karty opartej o moduł PCMCIA możemy łatwo i bezpiecznie rozszerzyć funkcjonalność AP o dodatkowe moduły radiowe, np.: 802.11a (instalując w 1231G moduł 802.11a uzyskujemy funkcjonalność urządzenia 1232AG). Poniżej tabela przedstawiająca cechy poszczególnych modeli:
Cecha / Model 1121G 1131AG 1231G 1232AG
Wygląd urządzenia
Liczba Interfejs 802.11a - 1 - 1 Liczba Interfejs 802.11b/g 1 1 1 1 Liczba złącz RP-TNC - - 2 2 Liczba złącz PCMCIA - - 1 1* Możliwość rozbudowy NIE NIE TAK TAK Typ obudowy** wewnętrzna wewnętrzna wewnętrzna zewnętrzna
* wykorzystane przez moduł radiowy IEEE 802.11a 5Ghz. ** urządzenia wyposażone w obudowę wewnętrzną można zastosować w warunkach zewnętrznych po umieszczeniu w obudowie zabezpieczającej przed wpływem czynników atmosferycznych, na odpowiedzialność użytkownika. Produkty z serii Cisco Aironet© - w zależności od modelu - posiadają zintegrowaną antenę dipolową oraz złącza RP-TNC w celu podłączenia anten zewnętrznych. Wiele nowatorskich rozwiązań w dziedzinie sieci bezprzewodowych pozwala nam uważać, że produkty z rodziny Aironet© nadają się do pracy w bardzo zróżnicowanych warunkach zarówno wewnątrz budynków jak i na zewnątrz. Posiadają nowoczesny system montażu umożliwiający łatwą instalację w dowolnej nieomal orientacji.
Strona 2 z 9
Technologia Przykładem kilku najważniejszych technologii zaimplementowanych w produktach Cisco Aironet© niech będzie standard 802.q czyli obsługa Wirtualnych Sieci i ich segmentacja poprzez tworzenie VLAN (do 16 VLAN-ów na jeden interfejsie radiowym). Dzięki obsłudze QoS wg standardu IEEE 802.1p, urządzenia serii Cisco Aironet© pozwalają zróżnicować priorytety ruchu dla pakietów przemieszczających się w sieci Ethernet do i od punktu dostępowego. Ruch wrażliwy na opóźnienia, taki jak glos i video, może posiadać priorytet wyższy niż ruch danych, co zapewnia większą satysfakcję użytkowników z korzystania z sieci oraz lepsze wykorzystanie jej zasobów. Możliwość aktualizowania oprogramowania zarządzającego oraz firmware urządzeń radiowych pozwala na wdrażanie przyszłych standardów QoS, takich jak IEEE 802.11e. Obsługa schematów priorytetów dla ruchu głosowego telefonów mobilnych w standardzie 802.11b/g pozwala na tworzenie wysokiej jakości rozwiązań transmisji głosu przez sieć LAN (VoIP / Phone IP, Phone over Ethernet). Produkty Cisco Aironet© pozwalają także na wykorzystywanie mobilnych funkcji protokołu IP. Urządzenia z serii Cisco Aironet© stanowią jeden z ważniejszych składników systemu Cisco SWAN – innowacyjnego i kompleksowego fundamentu do budowy oraz eksploatacji wraz z zarządzaniem setkami punktów dostępowych Cisco Aironet© wykorzystujących infrastrukturę sieciową Cisco Systems. Dodając do swojej infrastruktury logiczną strukturę budowaną w oparciu o SWAN, dajemy Naszej sieci dodatkową funkcjonalność, jak chociażby agregację protokołu WDS oraz bardziej elastyczne zarządzanie infrastrukturą Wi-Fi w firmie.:
Źródło: http://www.cisco.com/ - Copyright, Cisco Systems Inc.
Agregacja zarządzania WDS w strukturze SWAN opiera się o usługi realizowane za pomocą transmisji radiowej (Radio Frequency - RF), takie jak np.: wykrywanie punktów dostępowych, wykrywanie interferencji a także pomoc w badaniu danej lokalizacji. Produkty z serii Aironet© wspierają ponadto budowanie lokalnych punktów dostępowych, mających na celu uwierzytelnienie klientów – mam tu na myśli serwery RADIUS oraz uwierzytelnienie IEEE 802.1X - bardzo skutecznie wykorzystywane w budowaniu bezpiecznych sieci bezprzewodowych opartych na urządzeniach firmy Cisco Systems. Odrobina teorii dot. bezpieczeństwa sieci WLAN Wracając na chwilę do teorii, chciałbym podkreślić, że Cisco Systems znane jest z nacisku kładzionego na bezpieczeństwo sieci nie tylko WLAN ale i LAN. Jak wiemy kwestią w zasadzie bezsporną i o zasadniczym znaczeniu zarówno dla ludzi ją budujących jak i dla późniejszych użytkowników jest bezpieczeństwo transmisji w sieci oraz elastyczność urządzeń ją realizujących. Dlatego też inżynierowie Cisco Systems w oparciu o standardy bezpieczeństwa oraz techniki kryptograficzne opracowali szereg nowatorskich metod autentyfikacji oraz autoryzacji bazujących na schemacie połączeń radiowych 802.11. Wszystko to wyłączenie po to, aby produkty sieciowe tej firmy były w stanie przenosić komunikację niezależnie od rodzaju danych oraz ich pochodzenia w sposób najlepiej z możliwych zabezpieczonym. Opracowany został zatem specjalny system o nazwie Cisco Wireless Security Suite (Cisco WSS), oparty o standard 802.1x który w swojej istocie jest wykorzystaniem mechanizmu EAP (Extensible Authentication Protocol) w celu weryfikacji poprawności sesji oraz jej zabezpieczeń. Cisco Wireless Security Suite współpracuje z szeroką gamą produktów Wi-Fi wykorzystując dostępne w sieci typy uwierzytelnień zawarte w normie 802.1X, np.: EAP Cisco Wireless (LEAP), Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), protokoły pracujące na bazie EAP-TLS - Protected Extensible Authentication Protocol (PEAP), EAP-Tunneled TLS (EAP-TTLS) oraz EAP-Subscriber Identity Module (EAP-SIM). Ponadto integralną częścią Cisco WSS są rozszerzenia standardu 802.1x takie jak:
Strona 3 z 9
- Temporal Key Integrity Protocol (TKIP), - per-packet key hashing, - message integrity check (MIC) - broadcast key rotation.
Przykłady zastosowań Do kompletnego i scentralizowanego zarządzania polityką bezpieczeństwa a także dostępem użytkowników do zasobów sieciowych, może być wykorzystanych wiele alternatywnych tzw „metod scentralizowanych”. Przykładem niech będzie powszechnie stosowane i najbardziej rozbudowane zarazem rozwiązanie. Serwer sieciowy RADIUS, obsługujący dokładnie te same mechanizmy uwierzytelniania użytkowników Cisco WSS a współpracujący ponadto nieomal z każdym urządzeniem sieciowym dostępnym na rynku. Poniżej rysunek, przedstawiający topologię sieci wraz z metodami autentykacji klientów.:
Źródło: http://www.cisco.com/ - Copyright, Cisco Systems Inc.
Ważnym elementem całości rozwiązań opartych o sieć WLAN a bazujących na sprzęcie Cisco Aironet© są połączenia typu APC do punktów dostępowych Cisco. Access Point z serii 1200 jest w stanie obsłużyć do APC bez autoryzacji WDS. A czym jest WDS w wydaniu Cisco? Czym różni się od WDS’a np.: stosowanego w serii produktów Proxim? Otóż, sytuacja wygląda następująco.: Wireless Domain Services (WDS) jest składnikiem Cisco SWAN stanowiącym zbiór funkcji oprogramowania Cisco IOS, zwiększającego mobilność klientów WLAN i upraszczającego instalowanie i zarządzanie sieciami WLAN. WDS obejmuje agregację zarządzania radiowego, szybki, bezpieczny roaming oraz obsługę oddalonych os siebie lokalizacji przez sieć WAN.
Strona 4 z 9
Źródło: http://www.cisco.com/ - Copyright, Cisco Systems Inc.
Dla przypomnienia dodam, że technologia „WDS - Wireless Distribution Services” znana z urządzeń np.: Proxim, umożliwia połączenie drogą radiową urządzeń pracujących w trybie AP. Oznacza to, że punkt dostępowy może jednocześnie obsługiwać klientów radiowych i łączyć się z innym punktem dostępowym. Charakterystyka techniczna urządzeń z serii Cisco Aironet© oraz cechy punktów dostępowych pracujących w standardach IEEE 802.11a/b/g :
1. Zintegrowana antena Dipolowa 2,4/5 GHz o mocy do 20dBm (100mW) 2. Obsługa Anten zewnętrznych 2,4 GHz i 5 GHz poprzez złącza RP-TNC 3. Oprogramowanie Cisco IOS© w wersjach „Z” i „BEZ” wsparcia dla technologii „Bridge”, 4. Obsługa wirtualnych sieci LAN – do 16 VLAN’ów na jeden interface radiowy 5. Obsługa QoS dla strumieni danych LAN/WLAN/WAN (opcjonalnie z szyfrowaniem IPSec VPN) 6. Funkcja Proxy Mobile IP, wsparcie dla „Phone IP over Ethernet” 7. Cisco SWAN, integracja z WDS oraz konsolidacja zarządzania infrastrukturą rozproszoną WAN 8. Wireless Domain Services (WDS) – system konsolidacji klientów, zarówno AP jak i APC w obrębie jednej sieci. 9. Szybki, bezpieczny roaming w ramach jednej struktury sieciowej 10. Funkcje ochrony odległego systemu w sytuacji awarii łącza WAN poprzez technologię typu „FailOver” w systemie
zarządzania WSS 11. Caching ARP klienta, 12. Serwer RADIUS dla każdego SSID, możliwość kreowania systemu autoryzacji klientów na każdym z broadcast’ów w
sieci WLAN
Strona 5 z 9
Krótki opis podstawowych trybów pracy urządzeń Cisco Aironet© Access Point:
Rola AP w realizacji transmisji radiowej Opis trybu pracy
Access Point Root (Fallback to Radio Island)
Domyślne ustawienie – włącza standardową komunikację poprzez interfejs radiowy dla klientów, którzy nie mają w obecnej chwili dostępu do sieci LAN. W sytuacji kiedy link FastEthernet zostanie przerwany, radio AP nadal działa, ale klienci nie mają dostępu do sieci zewnętrznej
Access Point Root (Fallback to Radio Shutdown)
Kiedy połączenie LAN zostanie przerwane, interface radiowy zostaje wyłączony. To ustawienie powoduje, że klient WLAN zostaje automatycznie przełączony do innego dostępnego punktu dostępowego – jeżeli jest on dostępny.
Access Point Root (Fallback to Repeater)
Kiedy połączenie LAN zostaje przerwane, punkt dostępowy przełącza się automatycznie w pracę w tryb REPEATER. Główny AP w danej sieci, powinien być zatem tak skonfigurowany, aby umożliwić temu urządzeniu pracę w trybie REPEATER i pozwolić mu na transmisję w sieci Wi-FI.
Repeater Non-Root
Należy wybrać tę funkcję, jeśli Nasz AP nie jest podłączony do żadnej sieci LAN poprzez port FastEthernet a jedynie pełni rolę „przedłużenia” sieci WLAN w naszej infrastrukturze. Powtarza on jedynie „jak papuga” ten sam broadcast SSID co jego „parent” czyli nadrzędny Access Point. Klienci podłączeni do tego urządzenia będą słać pakiety bezpośrednio do nadrzędnego urządzenia AP w danym segmencie rozgłoszeniowym SSID
Strona 6 z 9
Tabela: Porównanie funkcjonalne urządzeń AP: Cisco Aironet© z serii 1200 i Proxim Orinoco AP 4000
Cecha
Cisco Aironet© 1232AG
Orinoco AP-4000
Typ obudowy Zewnętrzna, hermetyczna wewnętrzna Złącza do anten zewnętrznych TAK (RP-TNC) TAK (AP-600) Obsługa Power over Ethernet IEEE 802.3af (nowe modele) lub
Inline Power from Catalyst Series IEEE 802.3af
Blokada komunikacji między klientami radiowymi
TAK (Public Secure Packet Forwarding)
TAK (IntraBSS Blocking)
„Forwardowanie” pakietów TAK TAK Jednoczesna praca w a/b/g TAK TAK 802.1x TAK TAK Zarządzanie pasmem TAK NIE Mechanizmy zabezpieczeń 802.11 (WPA, gotowość do 802.1i)
TAK (WEP, WPA, TKIP, EAP, LEAP, CEAP, WPA2, EAP+TLS, PEAP,
TAK (WEP, WPA, TKIP, EAP, LEAP, WPA2, EAP+TLS, PEAP,
Wsparcie dla VLANów TAK (16 na int. radiowy) TAK (16 na int. radiowy) Metody filtrowania pakietów SPI, MAC filtering, Local MAC AUTH, Filtrowanie MAC, protokołów
(warstwa 3), portów TCP/UDP, broadcastów, multicastów
WDS (konsolidacja klientów) SWAN / Wireless Domain Services Wireless Distribution Services Zarządzanie HTTPS, CLI, SNMP, SSH, telnet TAK TAK Metody zarządzania skonsolidowanego WSS, WLS, Oprogramowanie firm trzecich, np.:
Wavelink Moc urządzenia w trybie 802.11a 17 dBm (50 mW) OFDM 18 dBm Moc urządzenia w trybie 802.11bg 100 mW (20 dBm) CCK
30 mW (15 dBm) OFDM 20 dBm – „b” 18 dBm – „g”
Czułość w trybie 802.11b 11Mb/s 11 Mbps: -83 dBm 11 Mb/s -82 dBm Autoryzacja po MAC RADIUS TAK TAK Autoryzacja po MAC RADIUS Admin. TAK TAK Obsługa Spinning Tree TAK TAK Wsparcie dla topologii MESH NIE TAK
W urządzeniach Cisco Aironet© Access Point, wszystkie pozostałe funkcje, jak np.: autoryzacja 802.1i czy moduły rozszerzeń 802.11a (5Ghz.) są dodatkowo płatne. W urządzeniach Proxim, opcje podane powyżej są standardowo dostępne.
Strona 7 z 9
Opis trybów pracy urządzenia radiowego i ich kategoryzacja dot. „Data rate” czyli prędkości transmisji, w panelu administracyjnym (możliwe jest również ustawianie tych parametrów z poziomu lini poleceń -CLI-IOS):
Rys. przedstawia ustawienia, będące przykładem pracy w trybie „Data Rates - Default”.
Mb/sec Modulacja Najlepszy zasięg
Najlepsza przepustowość
Ustawienia Domyślne
1 DSSS Require Require Require 2 DSSS Enable Require Require
5,5 DSSS Enable Require Require 6 ODFM Enable Require Enable 9 ODFM Enable Require Enable 11 DSSS Enable Require Require 12 ODFM Enable Require Enable 18 ODFM Enable Require Enable 24 ODFM Enable Require Enable 36 ODFM Enable Require Enable 48 ODFM Enable Require Enable 54 ODFM Enable Require Enable
Powyższa tabela, przedstawia parametry potrzebne do ustawienia odpowiedniego trybu pracy urządzenia radiowego i prędkości transmisji na interfejsach 802.11a/b/g. A co oznaczają poszczególne kolumny? Oto wytłumaczenie: Opcja REQUIRE – włącza transmisję na wybranej prędkości dla wszystkich pakietów, zarówno Unicast jak i Multicast, lecz co najmniej jedna z opcji musi zostać wybrana jako REQUIRE. Klienci radiowi muszą ponadto wpierać daną prędkość połączenia zanim zostaną „sparowani” poprzez broadcast SSID (tzw. Association); Opcja ENABLE - włącza transmisję na wybranej prędkości jedynie dla pakietów Unicast (dane!) Opcja DISABLE – wyłącza transmisję na wybranym poziomie prędkości UWAGA! Jak wynika z moich praktycznych doświadczeń, urządzenia z serii AP1230, dla podłączenia klientów radiowych oraz urządzeń w trybie APC w standardzie 802.11b, potrzebują następujących ustawień dot. prędkości transmisji: 1,2,5.5,11 Mb/sec – Require & 6,9,12,18,24,36,48,54 Mb/sec – Enable/Disable (zależnie od tego, czy mamy jeszcze w sieci urządzenia pracujące w standardzie 802.11g!) Powyższe zjawisko wynika to z faktu, że urządzenia z serii Cisco Aironet© 1230 pracują nominalnie w trybach 802.11g, posiadając jedynie tzw. tolerancję i kompatybilność dla trybu oraz prędkości transmisji w standardzie 802.11b. Jeśli zatem chcemy uzyskać pełną kompatybilność ww. urządzeń z klientami radiowymi lub urządzeniami pracującymi w trybie APC w standardzie „B” – musimy tak ustawić nasz AP1230, aby jedynymi prędkościami w trybie REQUIRE były tryby modulacji DSSS a nie OFDM.
Strona 8 z 9
Przykładowe ekrany z działającego produkcyjnie systemu Cisco Aironet©: 1. Główny panel administracyjny.
3. Status połączeń radiowych – strona monitoringu interfejsu sieci bezprzewodowej:
Więcej materiałów dot. produktów Cisco Aironet© oraz dokładne opisy techniczne sprzętu, znajdziecie Państwo na stronach producenta: http://www.cisco.com/en/US/products/hw/wireless/ W razie jakichkolwiek pytań dot. ww. technologii oraz problemów z produktami Cisco Aironet©, jako Cyberbajt Wireles służymy fachową radą i pomocą w konfiguracji oraz strojeniu urządzeń.
Strona 9 z 9
