close

Вход

Забыли?

вход по аккаунту

?

Диплом бакалавра. Пояснительная записка - 2010

код для вставки
Реферат
Поясн. записка 115 с., 47 рис., 8 табл., 21 источник, 2 прил.
БЕСПРОВОДНЫЕ СЕТИ, ТОЧКИ ДОСТУПА, АКТИВНОЕ ОБОРУДОВАНИЕ, ПРОГРАММНО-АППАРТАНЫЙ КОМПЛЕКС, ИЗМЕРЕНИЕ, СИГНАЛ, ЗОНА ПОКРЫТИЯ.
Объектом исследования являются беспроводные технологии, обеспечивающие доступ к ресурсам информационно-вычислительной сети и сети Интернет.
Цель работы - разработка и внедрение беспроводной сети в структурированную кабельную систему здания для полноценного доступа к сетевым ресурсам.
В процессе работы проводились экспериментальные измерения зависимости уровня сигнала от местоположения оборудования.
В результате внедрения была создана и смонтирована беспроводная сеть работающая в диапазоне частот 2,4-2,5 Ггц, с реальной скоростью передачи данных до 35 Мбит/с.
Основные конструктивные и технико-эксплуатационные показатели: высокая скорость обмена данными с информационно-вычислительной сетью.
Степень внедрения - беспроводная сеть используется в здании Семнадцатого арбитражного апелляционного суда, заменяя проводную сеть в отдельных помещениях.
Эффективность беспроводной сети определяется качеством радиосигнала. Данная беспроводная сеть может быть использована для частичной замены проводной сети, организации гостевого доступа и быстрого установления временных рабочих мест.
Список используемых сокращений
CHAP - Challenge Handshake Authentication Protocol
CCK - Complementary Code Keying
DSL - Digital subscriber line
DSSS - Direct Sequence Spread Spectrum
EAP-TLS - Extensible Authentication Protocol Transport Layer Security
EAP-TTLS- Extensible Authentication Protocol Tunneled Transport Layer Security
ESS - Ekahau Site Survely
FSF - Free Software Foundation
GSM - Global System for Mobile Communications
HASP - Hardware Against Software Piracy
IEEE- Institute of Electrical and Electronics Engineers
LAN - Local Area Network
LEAP - Lightweight Extensible Authentication Protocol
MAC ID - Mandatory Access Control Identifier
MIC - Message Integrity Check
MS-CHAP - Microsoft Challenge Handshake Authentication Protocol
OFDM - Orthogonal frequency-division multiplexing
PAP - Password Authentication Protocol
PCMCIA - Personal Computer Memory Card International Association
PEAP - Protected Extensible Authentication Protocol
PoE - Power over Ethernet
RC4 - Rivest Cipher 4
SOFDMA - Super Orthogonal frequency-division multiplexing access
SSID- Service Set Identifier
TKIP - Temporal Key Integrity Protocol
VLAN - Virtual Local Area Network
VTP - VLAN Trunk Protocol
WEP - Wired Equivalent Privacy
Wi-Fi - Wireless Fidelity
WiMAX - Worldwide Interoperability for Microwave Access
WLAN - Wireless Local Area Network
WMAN - Wireless Metropolitan Area Networks
WPA - Wi-Fi Protected Access
WPA PSK - Wi-Fi Protected Access Pre-Shared Key
WPAN - Wireless Personal Area Network
ВКТ - Вещательные коммуникационные технологии
ГКРЧ - Государственная комиссия по радиочастотам
ЛВС - Локальная Вычислительная Сеть
ПК САД - Программный Комплекс "Судебно-Арбитражное Делопроизводство"
РЭС - Радиоэлектронное средство
СКС - Структурированная Кабельная Система
ТС ИВС - Телекоммуникационная Информационно-Вычислительная Сеть
УАТС - Управляемая АТС
ЦКЦ - Центральный коммуникационный Центр
ЭРЦ - Этажный коммуникационный Центр
Содержание
Введение11
1 Беспроводных сети и оборудование СКС12
1.1 Обзор существующих беспроводных технологий12
1.2 Технология Wi-Fi13
1.2.1 Преимущества и недостатки технологии Wi-Fi14
1.2.2 Взаимодействие Wi-Fi и ПО15
1.2.3 Технология Wi-Fi и законодательство16
1.3 Технология WiMAX17
1.3.1 Область использования17
1.3.2 Использование WiMAX как технологии доступа18
1.3.3 Фиксированный и мобильный вариант WiMAX18
1.3.4 Режим работы19
1.3.5 Архитектура20
1.4 Беспроводные компьютерные сети21
1.4.1 Общие сведения21
1.4.2 Сравнение проводной и беспроводной технологии передачи23
1.4.3 Безопасность в беспроводных сетях23
1.4.3.1 Базовые меры обеспечения безопасности24
1.4.3.2 Шифрование WEP26
1.4.3.3 Безопасность взаимодействия27
1.4.3.4 Radio Ethernet29
1.5 Структурированная кабельная система30
1.5.1 Преимущества СКС31
1.5.2 Подсистемы СКС32
1.5.3 Коммутационные центры СКС - узлы локальной сети33
1.5.4 Система электропитания35
1.6 Вывод по главе 136
2 Проект внедрения беспроводной сети38
2.1 Сбор данных и формирование технических требований38
2.1.1 Обзор СКС здания38
2.1.2 Программное обеспечение ИВС39
2.1.3 Организация информационно-вычислительной сети39
2.1.3.1 Общие сведения40
2.1.3.3 Определение режимов работы40
2.1.3.4 Анализ схемы ip-адресации41
2.1.4 Требования к беспроводной сети.42
2.2 Выбор оборудования44
2.2.1 Обзор оборудования, представленного на рынке44
2.2.2 Сравнительный анализ характеристик оборудования45
2.2.3 Обоснование выбора оборудования47
2.2.4 Описание выбранного оборудования48
2.2.5 Анализ основных преимуществ48
2.3 Эскизное проектирование48
2.3.1 Расчет зоны покрытия48
2.3.2 Расчет зон уверенного сигнала49
2.3.2.1 Выбор метода расчета49
2.3.2.2 Предварительный анализ типового этажа.51
2.3.2.3 Расчет зон покрытия и выбор местоположения51
2.3.3 Расчет зон задержек56
2.4 Рабочее проектирование56
2.4.1 Расчет теоретической полезной пропускной способности56
2.4.2 Расчет нагрузки на единичную точку доступа58
2.4.2.1 Расчет трафика по протоколам POP3, SMTP58
2.4.2.2 Расчет трафика по протоколам HTTP, HTTPS58
2.4.2.3 Расчет трафика по обращению к СУБД "ПК САД"59
2.4.3 Расчет нагрузки на информационно-вычислительную сеть60
2.4.4 Расчет электрического питания точек доступа60
2.4.5 Предварительная настройка точек доступа61
2.4.6 Окончательная настройка точек доступа и оборудования СКС.66
2.4.6.1 Настройка конфигурации точек доступа67
2.4.6.2 Настройка шифрования и аутентификации пользователей72
2.4.6.3 Настройка VLAN.77
2.4.6.3 Тестирование настроек84
2.5 Выводы по главе 287
3 Монтирование оборудования88
3.1 Особенности точек доступа Cisco Aironet 1130AG90
3.2 Спецификация точек доступа Cisco Aironet 1130AG91
3.3 Описание комплекта оборудования Cisco Aironet 1130AG.92
3.4 Последовательность действий при монтаже97
3.5 Регистрация оборудования РЭС99
3.6 Вывод по главе 3100
Заключение101
Список использованных источников102
Приложение А.104
Приложение Б.106
Введение
В данной дипломной работе рассматривается внедрение беспроводной сети в структурированную кабельную систему здания Семнадцатого арбитражного апелляционного суда на базе оборудования Cisco Aironet 1130AG.
Предполагается, что реализация предложенного проекта позволит сократить бумажный документооборот внутри суда, повысить производительность труда, сократить время на получение и обработку информации, выполнять точный и полный анализ данных, обеспечивать получение любых форм отчетов по итогам работы. Как следствие, образуются дополнительные временные ресурсы для разработки и реализации новых проектов. Беспроводная сеть должна обладать достаточной защищенностью данных, чтобы удовлетворить требованиям по защите данных в государственном учреждении.
Целью дипломного проекта является организация беспроводной сети, позволяющей так же свободно работать в информационно-вычислительной сети, как и в проводной.
Для решения поставленной цели в работе решаются следующие задачи:
Выбор беспроводной технологии и оборудования
Расчет энергопотребления, нагрузки, зон покрытия и монтажа оборудования
Выбор метода внедрения
Управление сетевыми ресурсами и пользователями беспроводной сети
Рассмотрение вопросов безопасности сети
Необходимо разработать рациональную, гибкую структурную схему сети предприятия, выбрать аппаратную и программную конфигурацию для решения задачи, а так же проработать вопросы обеспечения необходимого уровня защиты данных.
Необходимость внедрения беспроводных сетей связана с ростом количества устройств использующих стандарты беспроводных сетей для доступа к рабочим ресурсам и сети Интернет. Поэтому, для обеспечения комфортного доступа к сети.
Актуальность данного проекта заключается в том, что опираясь на исследование и анализ новейших технологий беспроводного доступа, будет построена сеть, отвечающую всем требованиям защищенности и производительности, а также совместимую с большинством оборудования использующего технологию беспроводного доступа.
1 Беспроводные сети и оборудования СКС
В первую очередь, необходимо определиться с технологией. На основе которой будет постороена беспроводная сеть.
1.1 Обзор существующих беспроводных технологий
Беспроводные технологии - подкласс информационных технологий, служат для передачи информации на расстояние между двумя и более точками, не требуя связи их проводами. Для передачи информации может использоваться инфракрасное излучение, радиоволны, оптическое или лазерное излучение[1].
В настоящее время существует множество беспроводных технологий, наиболее часто известных пользователям по их маркетинговым названиям, таким как Wi-Fi, WiMAX, Bluetooth. Каждая технология обладает определёнными характеристиками, которые определяют её область применения[2].
Существуют различные подходы к классификации беспроводных технологий.
По дальности действия можно выделить[2]:
Беспроводные персональные сети (WPAN - Wireless Personal Area Networks). Примеры технологий - Bluetooth.
Беспроводные локальные сети (WLAN - Wireless Local Area Networks). Примеры технологий - Wi-Fi.
Беспроводные сети масштаба города (WMAN - Wireless Metropolitan Area Networks). Примеры технологий - WiMAX.
На рисунке 1 представлена классификация сетей по дальности действия
Рисунок 1 - Классификация сетей по дальности действия
По топологии:
"Точка-точка"
"Точка-многоточка"
По области применения можно выделить:
Корпоративные (ведомственные) беспроводные сети - создаваемые компаниями для собственных нужд.
Операторские беспроводные сети - создаваемые операторами связи для возмездного оказания услуг.
Кратким, но ёмким способом классификации может служить одновременное отображение двух наиболее существенных характеристик беспроводных технологий на двух осях: максимальная скорость передачи информации и максимальное расстояние, которое представлено на рисунке 2[3].
Как видно из рисунка 2, наибольший интерес для проекта внедрения беспроводной сети представляют технологии Wi-Fi и WiMAX.
1.2 Технология Wi-Fi
В первую очередь, рассмотрим технологию Wi-Fi как более распространенную.
Рисунок 2 - Классификация беспроводных сетей в осях максимальной скорости передачи и максимальной дальности передачи сигнала
Wi-Fi - стандарт на оборудование Wireless LAN[1].
Установка Wireless LAN рекомендуется там, где развёртывание кабельной системы было невозможно или экономически нецелесообразно. В нынешнее время во многих организациях используется Wi-Fi, так как при определённых условиях скорость работы сети уже превышает 100 Мбит/сек. Пользователи могут перемещаться между точками доступа по территории покрытия сети Wi-Fi[4].
Мобильные устройства (КПК, смартфоны, PSP и ноутбуки), оснащённые клиентскими Wi-Fi приёмо-передающими устройствами, могут подключаться к локальной сети и получать доступ в Интернет через точки доступа или хот-споты. Обычно схема Wi-Fi сети содержит не менее одной точки доступа и не менее одного клиента. Также возможно подключение двух клиентов в режиме точка-точка, когда точка доступа не используется, а клиенты соединяются посредством сетевых адаптеров "напрямую". Точка доступа передаёт свой идентификатор сети (SSID) с помощью специальных сигнальных пакетов на скорости 0.1 Мбит/с каждые 100 мс. Поэтому 0.1 Мбит/с - наименьшая скорость передачи данных для Wi-Fi[5]. Зная SSID сети, клиент может выяснить, возможно ли подключение к данной точке доступа. При попадании в зону действия двух точек доступа с идентичными SSID, приёмник может выбирать между ними на основании данных об уровне сигнала. Стандарт Wi-Fi даёт клиенту полную свободу при выборе критериев для соединения. Более подробно принцип работы описан в официальном тексте стандарта[3].
1.2.1 Преимущества и недостатки технологии Wi-Fi
Преимущества технологии Wi-Fi[3]:
Позволяет развернуть сеть без прокладки кабеля, что может уменьшить стоимость развёртывания и/или расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями.
Позволяет иметь доступ к сети мобильным устройствам.
Wi-Fi-устройства широко распространены на рынке. А устройства разных производителей могут взаимодействовать на базовом уровне сервисов.
Wi-Fi - это набор глобальных стандартов. В отличие от сотовых телефонов, Wi-Fi оборудование может работать в разных странах по всему миру.
К недостаткам беспроводной технологии Wi-Fi относят[5]:
Частотный диапазон и эксплуатационные ограничения в различных странах неодинаковы. Во многих европейских странах разрешены два дополнительных канала, которые запрещены в США; В Японии есть ещё один канал в верхней части диапазона, а другие страны, например Испания, запрещают использование низкочастотных каналов. Более того, некоторые страны, например Россия и Италия, требуют регистрации всех сетей Wi-Fi, работающих вне помещений, или требуют регистрации Wi-Fi-оператора.
Высокое по сравнению с другими стандартами потребление энергии, что уменьшает время жизни батарей и повышает температуру устройства.
Наложение сигналов закрытой или использующей шифрование точки доступа и открытой точки доступа, работающих на одном или соседних каналах может помешать доступу к открытой точке доступа. Эта проблема может возникнуть при большой плотности точек доступа, например, в больших многоквартирных домах, где многие жильцы ставят свои точки доступа Wi-Fi[1].
Неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости.
Уменьшение производительности сети во время дождя.
Перегрузка оборудования при передаче небольших пакетов данных из-за присоединения большого количества служебной информации[5].
1.2.2 Взаимодействие Wi-Fi и ПО
Взаимодействие различных операционных систем с технологией Wi-Fi:
Mac OS X. С 2006 года все настольные компьютеры и ноутбуки Apple Inc. (а также появившиеся позднее телефоны iPhone и плееры iPod Touch) штатно оснащаются адаптерами Wi-Fi, сеть Wi-Fi в настоящее время является основным решением Apple для передачи данных, и полностью поддерживается Mac OS X. Возможен режим работы адаптера компьютера в качестве точки доступа, что позволяет при необходимости связывать компьютеры Macintosh в беспроводные сети в отсутствии инфраструктуры[3].
FreeBSD, NetBSD, OpenBSD. Данные ОС могут работать с большинством адаптеров, начиная с 1998 года. Драйверы для чипов Atheros, Prism, Harris/Intersil и Aironet (от соответствующих производителей Wi-Fi устройств) обычно входят в ОС BSD начиная с версии 3. В OpenBSD 3.7, было включено больше драйверов для беспроводных чипов, включая RealTek RTL8180L, Ralink RT25x0, Atmel AT76C50x, и Intel 2100 и 2200BG/2225BG/ 2915ABG. Благодаря этому частично удалось решить проблему нехватки открытых драйверов беспроводных чипов для OpenBSD. Возможно некоторые драйверы, реализованные для других BSD-систем, могут быть перенесены, если они ещё не были созданы. NDISwrapper также доступен для FreeBSD[3].
Linux. Начиная с версии 2.6, поддержка некоторых Wi-Fi устройств появилась непосредственно в ядре Linux. Поддержка для чипов Orinoco, Prism, Aironet, Atmel, Ralink включена в основную ветвь ядра, чипы ADMtek и Realtek RTL8180L поддерживаются как закрытыми драйверами производителей, так и открытыми, написанными сообществом. Intel Calexico поддерживаются открытыми драйверами, доступными на SourceForge.net. Atheros поддерживается через открытые проекты. Поддержка других беспроводных устройств доступна при использовании открытого драйвера NDISwrapper, который позволяет Linux-системам, работающим на компьютерах с архитектурой Intel x86, "оборачивать" драйвера производителя для Microsoft Windows для прямого использования. Известна, по крайней мере, одна коммерческая реализация этой идеи. FSF создало список рекомендуемых адаптеров, более подробную информацию можно найти на сайте Linux wireless[6].
В ОС семейства Microsoft Windows поддержка Wi-Fi обеспечивается, в зависимости от версии, либо посредством драйверов, качество которых зависит от поставщика, либо средствами самой Windows. Microsoft Windows XP поддерживает настройку беспроводных устройств. И хотя первоначальная версия включала довольно слабую поддержку, она значительно улучшилась с выходом Service Pack 2, а с выходом Service Pack 3 была добавлена поддержка WPA2[5].
Microsoft Windows Vista содержит улучшенную по сравнению с Windows XP поддержку Wi-Fi[7].
Microsoft Windows 7 поддерживает все современные на момент её выхода беспроводные устройства и протоколы шифрования. Помимо прочего в Windows 7 создана возможность создавать виртуальные адаптеры Wi-Fi, что теоретически позволило бы подключаться не к одной Wi-Fi-сети, а к нескольким сразу. На практике в Windows 7 поддерживается создание только одного виртуального адаптера, при условии написания специальных драйверов. Это может быть полезно при использовании компьютера в локальной Wi-Fi-сети и, одновременно, в Wi-Fi-сети подключённой к Интернет.
1.2.3 Технология Wi-Fi и законодательство
В России использование Wi-Fi без разрешения на использование частот от Государственной комиссии по радиочастотам (ГКРЧ) возможно для организации сети внутри зданий, закрытых складских помещений и производственных территорий. Для легального использования внеофисной беспроводной сети Wi-Fi (например, радиоканала между двумя соседними домами) необходимо получение разрешения на использование частот. Действует упрощённый порядок выдачи разрешений на использование радиочастот в полосе 2400-2483,5 МГц (стандарты 802.11b и 802.11g), для получения такого разрешения не требуется частное решение ГКРЧ. Для использования радиочастот в других диапазонах, в частности 5 ГГц (стандарт 802.11a), необходимо предварительно получить частное решение ГКРЧ. В 2007 году ситуация изменилась с выходом документа: "Постановление от 25 июля 2007 г. № 476 О внесении изменений в постановление Правительства Российской Федерации от 12 октября 2004 г. № 539 "О порядке регистрации радиоэлектронных средств и высокочастотных устройств"". Шестнадцатым пунктом постановления из списка оборудования, подлежащего регистрации было исключено следующее:
Пользовательское (оконечное) оборудование радиодоступа (беспроводного доступа) в полосе радиочастот 2400-2483,5 МГц с мощностью излучения передающих устройств до 100 мВт включительно.
За нарушение порядка использования радиоэлектронных средств предусматривается ответственность по статьям 13.3 и 13.4 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ)[8].
1.3 Технология WiMAX
WiMAX (англ. Worldwide Interoperability for Microwave Access) - телекоммуникационная технология, разработанная с целью предоставления универсальной беспроводной связи на больших расстояниях для широкого спектра устройств (от рабочих станций и портативных компьютеров до мобильных телефонов). Основана на стандарте IEEE 802.16, который также называют Wireless MAN. Название "WiMAX" было создано WiMAX Forum - организацией, которая была основана в июне 2001 года с целью продвижения и развития технологии WiMAX. Форум описывает WiMAX, как основанную на стандарте технологию, предоставляющую высокоскоростной беспроводной доступ к сети, альтернативный выделенным линиям и DSL.
Цель технологии WiMAX заключается в том, чтобы предоставить универсальный беспроводный доступ для широкого спектра устройств (рабочих станций, бытовой техники "умного дома", портативных устройств и мобильных телефонов) и их логического объединения - локальных сетей. Надо отметить, что технология имеет ряд преимуществ.
1.3.1 Область использования
WiMAX подходит для решения следующих задач:
Соединения точек доступа Wi-Fi друг с другом и другими сегментами Интернета.
Обеспечения беспроводного широкополосного доступа как альтернативы выделенным линиям и DSL.
Предоставления высокоскоростных сервисов передачи данных и телекоммуникационных услуг.
Создания точек доступа, не привязанных к географическому положению[9].
WiMAX позволяет осуществлять доступ в Интернет на высоких скоростях, с гораздо большим покрытием, чем у Wi-Fi сетей. Это позволяет использовать технологию в качестве "магистральных каналов", продолжением которых выступают традиционные DSL- и выделенные линии, а также локальные сети. В результате подобный подход позволяет создавать масштабируемые высокоскоростные сети в рамках целых городов[9].
1.3.2 Использование WiMAX как технологии доступа
Проблема последней мили всегда была актуальной задачей для связистов. К настоящему времени появилось множество технологий последней мили, и перед любым оператором связи стоит задача выбора технологии, оптимально решающей задачу доставки любого вида трафика своим абонентам. Универсального решения этой задачи не существует, у каждой технологии есть своя область применения, свои преимущества и недостатки. На выбор того или иного технологического решения влияет ряд факторов, в том числе:
Стратегия оператора, целевая аудитория, предлагаемые в настоящее время и планируемые к предоставлению услуги
Размер инвестиций в развитие сети и срок их окупаемости, уже имеющаяся сетевая инфраструктура, ресурсы для её поддержания в работоспособном состоянии
Время, необходимое для запуска сети и начала оказания услуг
Прочие факторы
У каждого из этих факторов есть свой вес, и выбор той или иной технологии принимается с учётом всех их в совокупности[10]. Рассмотрим два варианта данной технологии: фиксированный и мобильный вариант.
1.3.3 Фиксированный и мобильный вариант WiMAX
Набор преимуществ присущ всему семейству WiMAX, однако его версии существенно отличаются друг от друга. Разработчики стандарта искали оптимальные решения как для фиксированного, так и для мобильного применения, но совместить все требования в рамках одного стандарта не удалось. Хотя ряд базовых требований совпадает, нацеленность технологий на разные рыночные ниши привела к созданию двух отдельных версий стандарта (вернее, их можно считать двумя разными стандартами). Каждая из спецификаций WiMAX определяет свои рабочие диапазоны частот, ширину полосы пропускания, мощность излучения, методы передачи и доступа, способы кодирования и модуляции сигнала, принципы повторного использования радиочастот и прочие показатели. А потому WiMAX-системы, основанные на версиях стандарта IEEE 802.16 e и d, практически несовместимы[9].
802.16-2004 (известен также как 802.16d и фиксированный WiMAX). Спецификация утверждена в 2004 году. Используется ортогональное частотное мультиплексирование (OFDM), поддерживается фиксированный доступ в зонах с наличием либо отсутствием прямой видимости. Пользовательские устройства представляют собой стационарные модемы для установки вне и внутри помещений, а также PCMCIA-карты для ноутбуков. В большинстве стран под эту технологию отведены диапазоны 3,5 и 5 ГГц. По сведениям WiMAX Forum, насчитывается уже порядка 175 внедрений фиксированной версии. Многие аналитики видят в ней конкурирующую или взаимодополняющую технологию проводного широкополосного доступа DSL[10].
802.16-2005 (известен также как 802.16e и мобильный WiMAX). Спецификация утверждена в 2005 году. Это - новый виток развития технологии фиксированного доступа (802.16d). Оптимизированная для поддержки мобильных пользователей версия поддерживает ряд специфических функций, таких как хэндовер(англ.), idle mode и роуминг. Применяется масштабируемый OFDM-доступ (SOFDMA), возможна работа при наличии либо отсутствии прямой видимости. Планируемые частотные диапазоны для сетей Mobile WiMAX таковы: 2,3-2,5; 2,5-2,7; 3,4-3,8 ГГц. В мире реализованы несколько пилотных проектов, в том числе первым в России свою сеть развернул "Скартел". Конкурентами 802.16e являются все мобильные технологии третьего поколения (например, EV-DO, HSDPA)[9].
Основное различие двух технологий состоит в том, что фиксированный WiMAX позволяет обслуживать только "статичных" абонентов, а мобильный ориентирован на работу с пользователями, передвигающимися со скоростью до 120 км/ч. Мобильность означает наличие функций роуминга и "бесшовного" переключения между базовыми станциями при передвижении абонента (как происходит в сетях сотовой связи). В частном случае мобильный WiMAX может применяться и для обслуживания фиксированных пользователей[9].
1.3.4 Режим работы
В общем виде WiMAX сети состоят из следующих основных частей: точек доступа и абонентских станций, а также оборудования, связывающего точки доступа между собой, с поставщиком сервисов и с Интернетом.
Для соединения точки доступа с абонентской станцией используется высокочастотный диапазон радиоволн от 1,5 до 11 ГГц. В идеальных условиях скорость обмена данными может достигать 70 Мбит/с, при этом не требуется обеспечения прямой видимости между базовой станцией и приемником.
Как уже говорилось выше, WiMAX применяется как для решения проблемы "последней мили", так и для предоставления доступа в сеть офисным и районным сетям.
Между точками доступа устанавливаются соединения (в прямой видимости), использующие диапазон частот от 10 до 66 ГГЦ, скорость обмена данными может достигать 120 Мбит/c. При этом, по крайней мере одна, точка доступа подключается к сети провайдера с использованием классических проводных соединений. Однако чем большее число точек доступа подключено к сетям провайдера, тем выше скорость передачи данных и надёжность сети в целом[11].
Структура сетей семейства стандартов IEEE 802.16 схожа с традиционными GSM сетями (точки доступа действуют на расстояниях до десятков километров, для их установки не обязательно строить вышки - допускается установка на крышах домов при соблюдении условия прямой видимости между станциями)[8].
В Wi-Fi сетях все пользовательские станции, которые хотят передать информацию через точку доступа, соревнуются за "внимание" последней. Такой подход может вызвать ситуацию, при которой связь для более удалённых станций будет постоянно обрываться в пользу более близких станций. Подобное положение вещей делает затруднительным использование таких сервисов как Voice over IP (VoIP), которые очень сильно зависят от непрерывного соединения[10].
Что же касается сетей 802.16, в них MAC использует алгоритм планирования. Любой пользовательской станции стоит лишь подключиться к точке доступа, для неё будет создан выделенный слот на точке доступа, и другие пользователи уже не смогут повлиять на это.
1.3.5 Архитектура
WiMAX Forum разработал архитектуру, которая определяет множество аспектов работы WiMAX сетей: взаимодействия с другими сетями, распределение сетевых адресов, аутентификация и многое другое. Рисунок 3 даёт нам некоторое представление об архитектуре сетей WiMAX[11].
Обозначения в рисунке 3:
SS/MS: (the Subscriber Station/Mobile Station)
ASN: (the Access Service Network)
BS: (Base station), базовая станция, часть ASN
ASN-GW: (the ASN Gateway), шлюз, часть ASN
CSN: (the Connectivity Service Network)
HA: (Home Agent, часть CSN)
NAP:(a Network Access Provider)
NSP: (a Network Service Provider)
Следует заметить, что архитектура сетей WiMax не привязана к какой-либо определённой конфигурации, обладает высокой гибкостью и масштабируемостью[11]. При всех преимуществах технология WiMAX на данный момент обладает существенным недостатками:
Дороговизна оборудования
Небольшой спектр устройств, использующих технологию
Рисунок 3 - WiMAX Форум WiMAX Архитектура
Эти два недостатка очень существенны в разработке проекта внедрения беспроводной сети.
Рассмотрев основные существующие типы сетей, перейдем к частному рассмотрению беспроводных сетей, основанных на технологии Wi-Fi.
1.4 Беспроводные компьютерные сети
Рассмотрим ключевые моменты, связанные с построением беспроводной компьютерной сети.
1.4.1 Общие сведения
Беспроводные компьютерные сети - это технология, позволяющая создавать вычислительные сети, полностью соответствующие стандартам для обычных проводных сетей (например, Ethernet), без использования кабельной проводки. В качестве носителя информации в таких сетях выступают радиоволны СВЧ-диапазона[2].
Существует два основных направления применения беспроводных компьютерных сетей:
Работа в замкнутом объеме (офис, выставочный зал и т. п.);
Соединение удаленных локальных сетей (или удаленных сегментов локальной сети)[1].
Для организации беспроводной сети в замкнутом пространстве применяются передатчики со всенаправленными антеннами. Стандарт IEEE 802.11 определяет два режима работы сети - Ad-hoc и клиент-сервер. Режим Ad-hoc ("точка-точка") - это простая сеть, в которой связь между станциями (клиентами) устанавливается напрямую, без использования специальной точки доступа. В режиме клиент-сервер беспроводная сеть состоит, как минимум, из одной точки доступа, подключенной к проводной сети, и некоторого набора беспроводных клиентских станций. Поскольку в большинстве сетей необходимо обеспечить доступ к файловым серверам, принтерам и другим устройствам, подключенным к проводной локальной сети, чаще всего используется режим клиент-сервер. Без подключения дополнительной антенны устойчивая связь для оборудования IEEE 802.11b достигается в среднем на следующих расстояниях: Открытое пространство - 500 м Комната, разделенная перегородками из неметаллического материала - 100 м
Офис из нескольких комнат - 30 м[4]
Следует иметь в виду, что через стены с большим содержанием металлической арматуры (в железобетонных зданиях таковыми являются несущие стены) радиоволны диапазона 2,4 ГГц иногда могут вообще не проходить, поэтому в комнатах, разделенных подобной стеной, придется ставить свои точки доступа[12].
Для соединения удаленных локальных сетей (или удаленных сегментов локальной сети) используется оборудование с направленными антеннами, что позволяет увеличить дальность связи до 20 км (а при использовании специальных усилителей и большой высоте размещения антенн - до 50 км). Причем в качестве подобного оборудования могут выступать и устройства Wi-Fi, нужно лишь добавить к ним специальные антенны (если это допускается конструкцией). Комплексы для объединения локальных сетей по топологии делятся на "точку-точку" и "звезду". При топологии "точка-точка" (режим Ad-hoc в IEEE 802.11) организуется радиомост между двумя удаленными сегментами сети[1]. При топологии "звезда" одна из станций является центральной и взаимодействует с другими удаленными станциями. При этом центральная станция имеет всенаправленную антенну, а другие удаленные станции - однонаправленные антенны. Мощность, излучаемая передатчиком точки доступа или же клиентской станции, работающей по стандарту IEEE 802.11, не превышает 0,1 Вт. Для сравнения - мощность, излучаемая мобильным телефоном, на порядок больше. Поскольку, в отличие от мобильного телефона, элементы сети расположены далеко от головы, в целом можно считать, что беспроводные компьютерные сети более безопасны с точки зрения здоровья, чем мобильные телефоны[12].
Если беспроводная сеть используется для объединения сегментов локальной сети, удаленных на большие расстояния, антенны, как правило, размещаются за пределами помещения и на большой высоте[13].
Продукты для беспроводных сетей, соответствующие стандарту IEEE 802.11, предлагают четыре уровня средств безопасности: физический, идентификатор набора служб (SSID - Service Set Identifier), идентификатор управления доступом к среде (MAC ID - Media Access Control ID) и шифрование.
1.4.2 Сравнение проводной и беспроводной технологии передачи
Современное рабочее пространство уже трудно представить без компьютеров, серверов, принтеров и другой техники объединяемой в сеть. В технической инфраструктуре государственного учреждения обязательно должны присутствовать и выделенное соединение с Интернетом по оптоволокну, и многоканальная телефонная связь.
Согласно результатам исследования рынка оборудования для беспроводных сетей, проведенного компанией Dell'Oro в конце 2009 г., годовой темп роста рынка оборудования Wi-Fi составил 80%[4].
Во многих организациях используются ноутбуки и портативные карманные компьютеры со встроенными беспроводными адаптерами, мобильные телефоны с поддержкой функций Wi-Fi. Организация беспроводного канала намного проще в сравнении с проводными решениями - не нужно договариваться с операторами связи об аренде медных пар, не нужно решать проблемы с разрешениями на прокладку оптоволоконного кабеля в траншеях[14].
В настоящее время беспроводная связь не может полностью заменить проводную, но в некоторых областях она может создать ей серьезную конкуренцию. Несомненно, использовать беспроводные технологии для создания ядра сети или сети хранения данных не стоит, но на уровне доступа ее используют все чаще. Серьезными минусами беспроводной связи являются плохое прохождение сигнала через стены, возможность перехвата данных или незарегистрированного входа, если не использовать дополнительные механизмы обеспечения безопасности. Наиболее важные характеристики, приведены в таблице 1[4].
1.4.3 Безопасность в беспроводных сетях
Основным вопросом при построении беспроводных сетей, безусловно, является вопрос обеспечения требуемого уровня безопасности информации, циркулирующей в сети. В первую очередь, причина остроты вопроса в используемой среде передачи данных - радиоэфире. В отличие от обычных сетей, в которых информация передается по проводам, осуществить перехват информации в радиоэфире намного проще - достаточно иметь комплект оборудования, аналогичный комплекту оборудования абонента беспроводной сети. Поэтому в спецификации стандартов 802.11 особое внимание уделено вопросам безопасности - определен протокол обеспечения безопасности беспроводных сетей WEP. 1.4.3.1 Базовые меры обеспечения безопасности
Для решения вопроса мер безопасности необходимо определить доступные меры и средства, позволяющие сделать беспроводную сеть как можно более безопасной.
Уменьшить зону радиопокрытия (разумеется, до минимально приемлемой). В идеале, зона радиопокрытия сети не должна выходить за пределы контролируемой территории;
изменить пароль администратора, установленный по умолчанию
Активизировать фильтрацию по MAC-адресам
запретить широковещательную рассылку идентификатора сети (SSID)
Изменить идентификатор сети (SSID), установленный по умолчанию
Периодически изменять идентификатор сети (SSID)
Активизировать функции WEP
Периодически изменять WEP-ключи
Выполнить соответствующие настройки фильтрации трафика на телекоммуникационном оборудовании и межсетевых экранах
Обеспечить резервирование оборудования, входящего в состав беспроводной сети
Обеспечить резервное копирование ПО и конфигураций оборудования
Осуществлять периодический мониторинг состояния защищенности беспроводной сети с помощью специализированных средств анализа защищенности для беспроводных сетей[14].
Все эти методы защиты сегодня можно реализовать на оборудовании практически любого производителя, представленного на рынке беспроводных сетей стандарта 802.11 и имеющего логотип Wi-Fi. Комплекс, вышеперечисленных мер защиты, принято считать "начальным" уровнем, ниже которого опускаться категорически нельзя при проектировании корпоративной беспроводной сети[15]. Чтобы улучшить ситуацию, некоторые производители (например, Agere Systems, D-Link, US Robotics,), с целью поднятия базового уровня защищенности, предлагают использовать более длинные ключи шифрования протокола WEP - 128, 152 или даже 256 бит. Но это часто приводит к отсутствию совместимости с оборудованием стандарта 802.11 других производителей. Кроме того, с точки зрения злоумышленника, трафик протокола WEP представляет собой набор исходных данных для решения задачи криптоанализа типа "вскрытие с использованием выбранного ключа". А учитывая то, что злоумышленнику известен алгоритм смены ключей, определенный протоколом WEP, на решение этой задачи он затратит несколько часов. Мало того, заменить MAC-адрес своей карты доступа на MAC-адрес карты доступа легального пользователя, для злоумышленника не составит особого труда, фактически подобный взлом обнаружить не возможно. Таблица 1 - Основные характеристики проводной и беспроводной сети
ХарактеристикиПроводная сетьБеспроводная сетьСреда передачиКабельРадиоволнаМаксимальное расстояние передачиДо 100 м (кабель на основе медной витой пары) До 500 м (коаксиальный кабель) До 100 км (оптический кабель)До 100 м (внутри помещения)Скорость передачи данныхОт 10 Мбит/с (Ethernet) до 10 Гбит/с( 10 GЕ)До 11 Мбит/с (стандарт 802,11Ь) До 54 Мбит/с (стандарты 802.11а/д) До 108 Мбит/с (турборежим, стандарты 802.11а/д)Качество связиЗависит от качества каналообразующего оборудованияЗависит от условий функционирования сети Соединительные устройстваСетевые адаптеры, кабельСетевые адаптерыЦентральные сетевые узлыКоммутаторыТочки доступаНастройка сетевого оборудованияОт простой до сложнойПростаяНастройка безопасностиСредней сложности или не требуетсяОт средней сложности до высокойСтоимость создания кабельной
ИнфраструктурыВысокаяНе учитываетсяСтоимость каналообразующего оборудованияУмереннаяУмереннаяСтоимость эксплуатацииСредняяОт низкой до средней. ПодвижностьНизкаяВысокая Увеличение длинны ключа даже до 256 бит, лишь увеличивает количество пакетов, которые должен прослушать злоумышленник (например, используя анализаторы пакетов AirMagnet или AiroPeek), и время, необходимое злоумышленнику для криптоанализа[15]. Поточный шифр RC4, лежащий в основе WEP-шифрования и разработанный американцем Рональдом Райвестом в 1987 году, получил широкое распространение благодаря удачному сочетанию криптографической стойкости и высокого быстродействия. Уязвимости реализации протокола RC-4 в WEP изучаются криптографами достаточно давно. По мнению многих экспертов необходимо заменить криптографический инструментарий протокола WEP на более прочный шифр. 1.4.3.2 Шифрование WEP
Механизм Wired Equivalency Privacy, определенный в стандарте IEEE 802.11, обеспечивает еще один уровень безопасности. Он опирается на алгоритм шифрования RC4 компании RSA Data Security с 40- или 128-разрядными ключами. Несмотря на то, что использование WEP несколько снижает пропускную способность, эта технология заслуживает более пристального внимания. Дополнительные функции WEP затрагивают процессы сетевой аутентификации и шифрования данных. Процесс аутентификации с разделяемым ключом для получения доступа к беспроводной сети использует 64-разрядный ключ - 40-разрядный ключ WEP выступает как секретный, а 24-разрядный вектор инициализации (Initialization Vector) - как разделяемый. Если конфигурация точки доступа позволяет принимать только обращения с разделяемым ключом, она будет направлять клиенту случайную строку вызова длиной 128 октетов. Клиент должен зашифровать строку вызова и вернуть зашифрованное значение точке доступа. Далее точка доступа расшифровывает полученную от клиента строку и сравнивает ее с исходной строкой вызова. Наконец, право клиента на доступ к сети определяется в зависимости от того, прошел ли он проверку шифрованием. Процесс расшифровки данных, закодированных с помощью WEP, заключается в выполнении логической операции "исключающее ИЛИ" (XOR) над ключевым потоком и принятой информацией. Процесс аутентификации с разделяемым ключом не допускает передачи реального 40-разрядного ключа WEP, поэтому этот ключ практически нельзя получить путем контроля за сетевым трафиком. Ключ WEP рекомендуется периодически менять, чтобы гарантировать целостность системы безопасности.
Еще одно преимущество беспроводной сети связано с тем, что физические характеристики сети делают ее локализованной. В результате дальность действия сети ограничивается лишь определенной зоной покрытия. Для подслушивания потенциальный злоумышленник должен будет находиться в непосредственной физической близости, а значит, привлекать к себе внимание. В этом преимущество беспроводных сетей с точки зрения безопасности. Беспроводные сети имеют также уникальную особенность: их можно отключить или модифицировать их параметры, если безопасность зоны вызывает сомнения.
Для вторжения в сеть необходимо к ней подключиться. В случае проводной сети требуется электрическое соединение, беспроводной - достаточно оказаться в зоне радиовидимости сети с оборудованием того же типа, на котором построена сеть.
В проводных сетях основное средство защиты на физическом и MAC-уровнях - административный контроль доступа к оборудованию, недопущение злоумышленника к кабельной сети. В сетях, построенных на управляемых коммутаторах, доступ может дополнительно ограничиваться по MAC-адресам сетевых устройств.
В беспроводных сетях для снижения вероятности несанкционированного доступа предусмотрен контроль доступа по MAC-адресам устройств и тот же самый WEP. Поскольку контроль доступа реализуется с помощью точки доступа, он возможен только при инфраструктурной топологии сети. Механизм контроля подразумевает заблаговременное составление таблицы MAC-адресов разрешенных пользователей в точке доступа и обеспечивает передачу только между зарегистрированными беспроводными адаптерами. При топологии "ad-hoc" (каждый с каждым) контроль доступа на уровне радиосети не предусмотрен.
Проблемы протокола WEP известны давно и поэтому сегодня на рынке есть решения, позволяющие сделать использование протокола WEP более безопасным[1]. Например:
Использование некоторых протоколов стандарта 802., позволяет решить проблему динамической смены ключей шифрования для беспроводных устройств Протокол MIC (Message Integrity Check) позволяет защитить WEP-пакеты от их изменения и подделки, в процессе передачи
Протокол TKIP (Temporal Key Integrity Protocol), также разработаный с целью улучшения ситуации с безопасностью протокола WEP, предполагает использование уникальной ключевой последовательности для каждого устройства, а также обеспечивает динамическую схему ключа каждые 10 000 пакетов. Однако, также как и WEP, протокол TKIP использует для шифрования криптографический алгоритм RC4. Отметим, что для использования протокола TKIP нет необходимости отказываться от имеющегося оборудования 802.11, достаточно лишь обновить программное обеспечение[17]. 1.4.3.3 Безопасность взаимодействия
Теперь обратим внимание к вопросам обеспечения безопасного информационного взаимодействия пользователей беспроводной сети с ресурсами корпоративной сети. Для решения этой задачи, нам потребуются реализовать авторизацию пользователей беспроводной сети (в протоколе WEP проверка аутентичности пользователя не реализована совсем), а также использовать более сильные методы защиты, способные обеспечить требуемый уровень конфиденциальности и целостности информации. Один из таких методов - установка сервера контроля доступа, использующего протоколы стандарта EAP/802.1х6 (LEAP; PEAP; EAP-TLS; EAP-TTLS), с целью усиленной аутентификации абонентов беспроводной сети.
Стандарт 802.1х определяет взаимодействие клиента беспроводной сети с сервером доступа на этапе авторизации абонента в системе. Схема авторизации пользователя в беспроводной сети показана на рисунке 4.
После аутентификации абонента беспроводной сети ему будет необходимо присвоить соответствующую его категории политику безопасности.
Реализация данных протоколов требует соблюдения следующих моментов:
Установка на стороне клиента специализированного программного обеспечения - так называемого "сапликанта". По умолчанию поддержка механизма аутентификации по протоколу 802.1х встроена в операционную систему Windows XP и доступна для установки в виде отдельного пакета для операционной системы Windows 2000. Сапликант также может поставляться вместе с драйверами оборудования доступа к беспроводной сети;
Ряд протоколов стандарта 802.1х используют в своей работе цифровые сертификаты формата Х.509. Так, протокол PEAP для проверки пользователем сервера доступа использует сертификат сервера доступа, а протоколы EAP-TLS и EAP-TTLS для взаимной авторизации используют сертификаты X.509 как сервера доступа, так и клиента. Отметим, что существует возможность взаимодействия сервера доступа и внешнего хранилища цифровых сертификатов, например, по протоколу LDAP[4]. Для проникновения в беспроводную сеть злоумышленник должен:
Иметь оборудование для беспроводных сетей, совместимое с используемым в сети (применительно к стандартному оборудованию - соответствующей технологии беспроводных сетей - DSSS или FHSS)
При использовании в оборудовании FHSS нестандартных последовательностей скачков частоты узнать их
Знать идентификатор сети, закрывающий инфраструктуру и единый для всей логической сети (SSID)
Знать (в случае с DSSS), на какой из 14 возможных частот работает сеть, или включить режим автосканирования
Быть занесенным в таблицу разрешенных MAC-адресов в точке доступа при инфраструктурной топологии сети
Знать 40-разрядный ключ шифра WEP в случае, если в беспроводной сети ведется шифрованная передача
Решить все это практически невозможно, поэтому вероятность несанкционированного вхождения в беспроводную сеть, в которой приняты предусмотренные стандартом меры безопасности, можно считать очень низкой[17].
1.4.3.4 Radio Ethernet
Беспроводная связь, или связь по радиоканалу, сегодня используется и для построения магистралей (радиорелейные линии), и для создания локальных сетей, и для подключения удаленных абонентов к сетям и магистралям разного типа. Весьма динамично развивается в последние годы стандарт беспроводной связи Radio Ethernet. Изначально он предназначался для построения локальных беспроводных сетей, но сегодня все активнее используется для подключения удаленных абонентов к магистралям. С его помощью решается проблема "последней мили" (правда, в отдельных случаях эта "миля" может составлять от 100 м до 25 км). Radio Ethernet сейчас обеспечивает пропускную способность до 54 Мбит/с и позволяет создавать защищенные беспроводные каналы для передачи мультимедийной информации[4].
Рисунок 4 - Схема авторизации пользователя
Данная технология соответствует стандарту 802.11, разработанному Международным институтом инженеров по электротехнике и радиоэлектронике (IEEE) в 1997 году и описывающему протоколы, которые позволяют организовать локальные беспроводные сети (Wireless Local Area Network, WLAN).
Один из главных конкурентов 802.11 - стандарт HiperLAN2 (High Performance Radio LAN), разрабатываемый при поддержке компаний Nokia и Ericsson. Следует заметить, что разработка HiperLAN2 ведется с учетом обеспечения совместимости данного оборудования с системами, построенными на базе 802.11а. И этот факт наглядно демонстрирует популярность средств беспроводного доступа на основе Radio Ethernet, растущую по мере увеличения числа пользователей ноутбуков и прочих портативных вычислительных средств[6].
Рассмотрев ключевые вопросы, связанные с беспроводными технологиями перейдем к изучению среды, внедрение в которую будет осуществлено в данной работе.
1.5 Структурированная кабельная система
Структурированная кабельная система (СКС) - основа информационной инфраструктуры предприятия, позволяющая свести в единую систему множество информационных сервисов разного назначения: локальные вычислительные и телефонные сети, системы безопасности, видеонаблюдения[13].
СКС представляет собой иерархическую кабельную систему здания или группы зданий, разделенную на структурные подсистемы. Она состоит из набора медных и оптических кабелей, кросс-панелей, соединительных шнуров, кабельных разъемов, модульных гнезд, информационных розеток и вспомогательного оборудования. Все перечисленные элементы интегрируются в единую систему и эксплуатируются согласно определенным правилам[16]. Кабельная инфраструктура должна отвечать требованиям стандартов ANSI ТIА/ЕIА-568-B и ANSI ТIА/ЕIА-569.
На этапе проектирования СКС подбирается оборудование от одного производителя[18].
Типовые работы по монтажу СКС включают:
Установку кабельных каналов (коробах, лотках, гофротрубе, трубах и т.п.);
Пробивку отверстий в стенах;
Прокладку кабеля в кабельных каналах;
Установку розеток и заделку кабеля модули розетки;
Сборку и установку монтажного шкафа;
Установку и набивку патч-панелей и органайзеров.
1.5.1 Преимущества СКС Структурированные кабельные системы обеспечивают длительный срок службы, сочетая удобство эксплуатации, качество передачи данных, надежность. Внедрение СКС создает основу повышения эффективности организации, снижения эксплуатационных расходов, улучшения взаимодействия внутри компании, обеспечения качества обслуживания клиентов.
Структурированная кабельная система строится таким образом, чтобы каждый интерфейс обеспечивал доступ ко всем ресурсам сети. При этом на рабочем месте достаточно двух линий. Одна линия является компьютерной, вторая - телефонной. Линии взаимозаменяемы. Кабели соединяют точки подключения рабочих мест с портами распределительных пунктов. Распределительные пункты объединяют магистральными линиями по топологии "иерархическая звезда".
СКС является интегрированной системой. Сравним СКС с устаревшей моделью компьютерная плюс телефонная сеть. Ряд преимуществ является очевидным:
Интегрированная локальная сеть позволяет передавать разнотипные сигналы
СКС обеспечивает работу нескольких поколений компьютерных сетей
Интерфейсы СКС позволяют подключать любое оборудование локальных сетей и речевых приложений
СКС реализует большой диапазон скорости передачи данных: от 100 Кбит/сек речевых приложений и до 10 Гбит/сек информационных приложений;
Администрирование СКС сокращает трудозатраты обслуживания локальной сети благодаря простоте эксплуатации
Стандартизация плюс конкуренция рынка СКС обеспечивают снижение цен комплектующих
Локальная сеть позволяет реализовать свободу перемещения пользователей без изменения персональных данных (адресов, телефонных номеров, паролей, прав доступа, классов обслуживания)
Администрирование СКС обеспечивает прозрачность компьютерной и телефонной сети - все интерфейсы СКС промаркированы и документированы. Работа организация не зависит от сотрудника-монополиста соединений телефонной сети
Долговечная СКС является фундаментом локальной сети. Однако всякое достоинство имеет обратную сторону. Стандарты СКС рекомендуют избыточность количественных параметров системы, что влечет существенные единовременные затраты. Зато можно забыть о кошмаре перманентного ремонта действующего офиса для наращивания компьютерной сети под текущие потребности.
1.5.2 Подсистемы СКС
Стандарт ISO/IEC 11801 подразделяет структурированную кабельную систему на три подсистемы[16]:
Магистральную подсистему комплекса зданий;
Магистральную подсистему здания;
Горизонтальную подсистему.
Рассмотрим подсистемы подробнее
Магистральная подсистема комплекса зданий соединяет кабельные системы зданий. Магистральная подсистема здания соединяет распределительные пункты этажей. Магистральная подсистема включает информационную и речевую подсистемы СКС. Основная среда передачи информационной подсистемы - оптоволокно (одномодовое или многомодовое), дополняемое симметричными четырехпарными кабелями. Если длина магистральной линии не превышает 90 метров, применяют симметричные кабели категории 5 и выше. При большей длине для информационных приложений, то есть компьютерной сети, требуется прокладывать оптоволоконный кабель.
Речевые приложения магистрали здания работают по многопарным кабелям. Речевые приложения, создающие телефонную сеть, относятся к низшим классам СКС. Это позволяет увеличивать длину линий магистральной подсистемы, создаваемых многопарными кабелями, до двух-трех километров.
Горизонтальная подсистема СКС включает распределительные панели, коммутационные кабели распределительных пунктов этажа, горизонтальные кабели, точки консолидации, телекоммуникационные разъемы. Горизонтальная подсистема обеспечивает локальную сеть для абонентов, предоставляет доступ к магистральным ресурсам. Среда передачи горизонтальной подсистемы - симметричные кабели не ниже категории 5. Стандарты СКС 2007 года предусматривают для центров обработки данных выбор СКС не ниже категории 6. Для информационных технологий (компьютерная плюс телефонная сеть) частных домов новые стандарты рекомендуют использовать категорию 6 / 7. Среда передачи вещательных коммуникационных технологий (сокращенно ВКТ: телевидение, радио) частных домов / квартир - симметричные защищенные кабели с полосой частот 1 ГГц, плюс коаксиальные кабели до 3 ГГц. Допускается также применение оптоволокна[13].
В горизонтальной подсистеме СКС преобладает компьютерная сеть. Отсюда вытекает ограничение максимальной длины канала - 100 метров независимо от типа среды. Чтобы продлить срок службы без модификаций, горизонтальная подсистема СКС должна обеспечить избыточность, резерв параметров[16].
Рабочая область СКС - помещения (часть помещений), где пользователи работают с терминальным (телекоммуникационным, информационным, речевым) оборудованием.
Рабочая область не относится к горизонтальной подсистеме СКС. Функциональным элементом горизонтальной подсистемы СКС является телекоммуникационный разъем.
Рабочие места оснащаются розетками, включающими два или более телекоммуникационных разъема. Подключение оборудования рабочей области выполняют абонентскими кабелями. Абонентские / сетевые кабели находятся за рамками СКС, однако они позволяют создавать каналы, параметры которых определяются стандартами СКС. К СКС относят коммутационные кабели / перемычки, используемые для соединений между портами панелей / контактами кроссов.
Более 90% кабелей СКС приходится на горизонтальную подсистему. Кабели горизонтальной подсистемы максимально интегрированы в инфраструктуру здания. Любые изменения в горизонтальной подсистеме влияют на работу организации. Поэтому так важна избыточность горизонтальной подсистемы, обеспечивающая длительную эксплуатацию локальной сети.
Существует два метода прокладки кабелей - скрытый и открытый. Для скрытой прокладки используют конструкцию стен, полов, потолков. Однако, это не всегда возможно. Наиболее распространенный вариант кабель каналов - пластиковые короба.
На рисунке 5 приведен фрагмент прокладки информационных кабелей под фальшполом.
Прокладка кабелей под фальшполом осуществляется в жгутах. Жгуты проложены параллельно без перехлестов и фиксированы стяжками. Каждый жгут включает три связки по восемь кабелей. Кабели в связке имеют цветовую маркировку. Связки кабелей покрыты двойной оболочкой, выполненной из прозрачной ленты[18].
На рисунке 6 рабочая область СКС организована с помощью коробов, проходящих по периметру помещения и миниколонн в открытом пространстве.
Проволочный лоток обеспечивает прокладку большого числа кабелей СКС (рисунок 7).
Лоток крепится к несущим конструкциям крыши. Чтобы не ослаблять конструкцию, крепление выполнено на зажимных струбцинах без сверления металлических балок.
1.5.3 Коммутационные центры СКС - узлы локальной сети
Коммутационные центры СКС представляют собой окончания горизонтальных и магистральных линий, которые для удобства использования фиксируют на панелях или кроссах. Для установки панелей, кроссов, сетевого оборудования служат напольные / настенные шкафы, телекоммуникационные стойки. Коммутационный центр может занимать часть шкафа, несколько шкафов. На каждом этаже здания рекомендуется устанавливать один Коммутационный центр этажа. Если офисная площадь этажа превышает 1000 квадратных метров, предусматривают дополнительный Коммутационный центр, соединяемый магистральными каналами[18].
Коммутационные центры СКС создают узлы локальной сети, где компактно размещается сетевое и серверное оборудование.
Напольные шкафы позволяют размещать окончания сотен линий, оборудование, блоки УАТС.
Рисунок 5 - Прокладка кабелей с использованием фальшпола
Телекоммуникационные стойки обеспечивают вместимость шкафов, но имеют меньшую стоимость. Их используют, когда не требуется дополнительной защиты оборудования локальной сети или особых условий эксплуатации. Настенные шкафы рекомендуется выбирать при небольшом числе линий, отсутствии телекоммуникационного помещения. Оборудование шкафов охлаждают вентиляторами[16].
На рисунке 8, специальное помещение для коммутационного центра СКС этажа не предусмотрено. Напольный телекоммуникационный шкаф установлен в рабочей области.
Подвод кабелей выполнен сверху. Кабельканал образован тремя коробами.
На рисунке 9, в помещении смонтированы настенный шкаф, настенный кросс для плинтов и УАТС. В шкафу размещены три 24-портовые панели, одна 48-портовая панель и три панели организации кабелей.
Кросс в настенной коробке находится рядом со шкафом и блоком УАТС.
1.5.4 Система электропитания
В большинстве случаев для работы компьютерной сети требуется обеспечить электропитание устройств, подключаемых к телекоммуникационным разъемам. На каждом рабочем месте устанавливают силовые розетки. Одни розетки служат для подключения компьютеров и оргтехники, другие - бытовых электроприборов. Такое разделение систем позволяет организовать централизованное гарантированное электропитание.
Рисунок 6 - Организация СКС с помощью коробов и миниколонн
Рисунок 7 - Проволочный лоток
Известно, что прокладка силовых кабелей параллельно информационным ухудшает качество передачи данных по слаботочным линиям, что может вызвать сбои локальных сетей.
Для уменьшения этого влияния требуется выдержать минимально допустимые расстояния параллельной прокладки, зависящие от напряжения, мощности нагрузки.
Рисунок 8 - Напольный телекоммуникационный шкаф в рабочей области
Монтаж силовых и слаботочных сетей одним подрядчиком позволяет решить проблему электромагнитной совместимости, уменьшить инвестиционные затраты[19].
1.6 Вывод по главе 1
В первой главе мной был проведен анализ и сбор актуальных данных о существующих типах беспроводных сетей, их преимущества и недостатки. Основываясь на этом анализе можно приступать к выбору типа беспроводной сети, на основе которой будет основан проект. Было принято решение использовать технологию Wi-Fi как наиболее распространенную и более удобную для применения в здании. Были рассмотрены основные существующие стандарты технологии, изучены и проанализированы их характеристики. Стоит отметить, что современное здание, имеющее сложную информационно-вычислительную сеть тяжело представить без использования в ней беспроводных технологий.
Были определены ключевые моменты принципов безопасности данной технологии и шаги к реализации высокого уровня защиты, что позволило наметить стратегию в проектировании сети.
Помимо рассмотрения вопросов беспроводных сетей был произведен детальный анализ среды, в которую предстоит совершить внедрение, а именно структурированной кабельной системы. Рисунок 9 - СКС TX-5e компании Panduit, Класс СКС - D (категория 5е)
Был проработан вопрос об определении стандартной системы и ее преимуществ перед более распространенными локально-вычислительными сетями. Были рассмотрены основные моменты расположения оборудования, выбора крепежных элементов и связь слаботочных элементов электрической сети здания и силовых элементов. Были рассмотрены и проанализированы подсистемы СКС, узловые и периферийные элементы.
Проделанная работа позволяет нам приступить к следующей части - к проектированию и внедрению беспроводной сети в СКС здания. Анализ произведенный в главе 1 позволит решить задачу наилучшим способом.
Проект внедрения беспроводной сети
При внедрении или развертывании любой беспроводной сети существуют типовые этапы выполнения сетевых проектов:
Сбор данных и формирование технических требований
Подбор оборудования
Эскизное проектирование
Рабочее проектирование
Монтаж, инсталляция, пуско-наладка сети
Ввод в эксплуатацию (регистрация сети в местном радиочастотном центре)
2.1 Сбор данных и формирование технических требований
В данной работе рассматривается внедрение беспроводной сети в СКС здания Семнадцатого арбитражного апелляционного суда. Беспроводная сеть должна обеспечить передачу всех видов информации (данные, голос, видео и т.д.) с учетом перспектив развития современных информационных технологий. В общем, на базе беспроводной сети, будет развернута сеть доступа к ИВС суда, к системе видеонаблюдения, аудио- и видео- конференцсвязи. В рамках дипломной работы планируется рассмотреть только внедрение беспроводной сети и доступ к ИВС.
2.1.1 Обзор СКС здания СКС рассматриваемого здания была спроектирована в 2006 году, внедрена в эксплуатацию июле 2007 года ЗАО "КРОК". СКС объединяет в себе информационно-вычислительную сеть, телефонию, системы видео-, аудио- конференцсвязи, охранную и пожарную сигнализации, системы оповещения, видеонаблюдения, контроля доступа, бесперебойного питания и резервного копирования. Система соответствует требованиям ISO/IEC 11801 на кабельные системы, а также имеет возможности для расширения.
Особенности здания суда в целом:
количество этажей - 11
общее количество активных сетевых подключений (активных пользователей ИВС с учетом моделей коммутаторов) - 408
Кроссовое и активное сетевое оборудование размещается в этажных распределительных центрах одиннадцатого, четвертого и первого этажей здания Семнадцатого арбитражного суда (ЭКЦ11, ЭКЦ4 и ЭКЦ1 соответственно). Магистральное оборудование здания расположено в ЭКЦ11. К ЭКЦ11 также применим термин - центральный распределительный центр (ЦКЦ).
При построении ИВС здания Семнадцатого арбитражного апелляционного суда используется классическая модель, согласно которой, существуют два уровня сетевой иерархии - уровень ядра и уровень доступа (рисунок 10).
2.1.2 Программное обеспечение ИВС
В организации используются операционные системы семейства MS Windows. Пользователями используется MS Windows XP Service Pack 3, MS Windows Vista Professional, на серверах установлены следующие операционные системы: MS Windows 2003 x32 Enterprise , MS Windows 2003 x64 Enterprise, MS Windows 2003 x64 Datacenter, MS Windows 2008 x64 Enterprise, используются КПК на базе Windows Mobile версий 6.1 и 6.5.
Структурная схема СКС показана на рисунке 11. Рисунок 10 - Классическая двухуровневая модель
2.1.3 Организация информационно-вычислительной сети
Для организации обмена информации о создаваемых, изменяемых и удаляемых VLAN необходимо настроить протокол VTP (VLAN Trunking Protocol) на всех коммутаторах. Имя домена VTP - AAS-PERM. Режимы работы коммутаторов в VTP-домене представлены в следующей таблице 2.
2.1.3.1 Общие сведения
VLAN - виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения[10]. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям, группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств[16].
На устройствах Cisco, протокол VTP (VLAN Trunking Protocol) предусматривает VLAN-домены для упрощения администрирования. VTP также выполняет "чистку" трафика, направляя VLAN трафик только на те коммутаторы, которые имеют целевые VLAN-порты.
Коммутаторы Cisco в основном используют протокол ISL (Inter-Switch Link) для обеспечения совместимости информации. По умолчанию на каждом порте коммутатора имеется сеть VLAN1 или VLAN управления. Сеть управления не может быть удалена, однако могут быть созданы дополнительные сети VLAN и этим альтернативным VLAN могут быть дополнительно назначены порты[16].
2.1.3.3 Определение режимов работы Использование распределенных VLAN позволяет взять за основу, существующую в Арбитражном суде организационную структуру подразделений. При таком подходе, в ТС ИВС получается определенное количество пользовательских VLAN, соответствующих структурным подразделениям Арбитражного Суда, а также 3 - 10 ресурсных VLAN, объединяющих сетевые ресурсы определенного типа (принтеры, сканеры, серверы).
Именование устройств ТС ИВС Семнадцатого арбитражного апелляционного суда осуществляется по следующей схеме FXX-FLOOR-ROOM, где:
F - роль устройства, может принимать следующие значения:
SW - коммутатор;
RT - маршрутизатор;
FW - межсетевой экран;
XX - порядковый номер устройства на этаже;
FLOOR - номер этажа здания;
ROOM - номер комнаты на этаже, где располагается оборудование (CORR-коридор).
Рисунок 11 - Рисунок 11 - Структурная схема СКС здания
2.1.3.4 Анализ схемы ip-адресации
Для активного сетевого оборудования выделяется IP-сеть 10.0.10.0/24 (за исключением межсетевых экранов, для которых адресами управления являются адреса внешних интерфейсов). Для пользовательского оборудования выделяется IP-сеть 10.1.19.0/24, в которую включены персональные компьютеры, принтеры, копировально-множительная техника и прочее. Распределение IP-адресов сети управления приведено в таблице 3, в которой отображены основные характеристики активного оборудования.
2.1.4 Требования к беспроводной сети.
Беспроводная сеть в здании суда должна отвечать высоким требованиям безопасности государственного учреждения:
Беспроводное подключение должно стремиться предоставлять тот же набор услуг, что и проводное подключение.
Беспроводное подключение должно иметь широкий спектр подключаемых устройств. Это могут быть карманные компьютеры, смартфоны, ноутбуки, персональные компьютеры с беспроводным адаптером.
Таблица 2 - Режимы работы коммутаторов
КоммутаторРежим VTPВозможностиУровень ядра. VTP-домен - AAS-PERMSW06-11-3СерверСоздание, изменение и удаление VLAN для всего VTP-доменаУровень распределения ресурсов и уровень доступа, VTP-домен - AAS-PERMRT01-11-3СерверСоздание, изменение и удаление VLAN для всего VTP-доменаRT02-11-3СерверСоздание, изменение и удаление VLAN для всего VTP-доменаSW01-11-3КлиентПолучение VTP-информации от VTP-серверовSW02-11-3КлиентПолучение VTP-информации от VTP-серверовSW03-11-3КлиентПолучение VTP-информации от VTP-серверовSW04-11-3КлиентПолучение VTP-информации от VTP-серверовSW05-11-3КлиентПолучение VTP-информации от VTP-серверовSW01-4-CORRКлиентПолучение VTP-информации от VTP-серверовSW02-4-CORRКлиентПолучение VTP-информации от VTP-серверовSW03-4-CORRКлиентПолучение VTP-информации от VTP-серверовSW04-4-CORRКлиентПолучение VTP-информации от VTP-серверовSW01-1-CORRКлиентПолучение VTP-информации от VTP-серверов Требуется наличие резервного оборудования на случай отказа основного.
Беспроводное подключение должно удовлетворять промышленным стандартам 802.11b и 802.11g.
Обязательно наличие беспроводного подключения стандарта 802.11b для гостевого доступа.
Таблица 3 - Распределение IP-адресов сети управления
УстройствоIP-адресIP-маскаИнтерфейсRT01-11-310.0.10.1255.255.255.255Loopback 0RT02-11-310.0.10.2255.255.255.255Loopback 0SW01-11-310.0.10.100255.255.255.0VLAN 10SW02-11-310.0.10.101255.255.255.0VLAN 10SW03-11-310.0.10.102255.255.255.0VLAN 10SW04-11-310.0.10.103255.255.255.0VLAN 10SW05-11-310.0.10.104255.255.255.0VLAN 10SW01-4-CORR10.0.10.105255.255.255.0VLAN 10SW02-4-CORR10.0.10.106255.255.255.0VLAN 10SW03-4-CORR10.0.10.107255.255.255.0VLAN 10SW04-4-CORR10.0.10.108255.255.255.0VLAN 10FW01-11-310.0.11.10255.255.255.0Ethernet1FW01-11-310.0.12.10255.255.255.0Ethernet2FW01-11-310.0.13.10255.255.255.0Ethernet3RT03-11-310.0.13.11255.255.255.0Ethernet1SW01-1-CORR10.0.10.109255.255.255.0VLAN 10 Точки доступа и система аутентификация в беспроводной сети должны контролироваться с использованием стандартных средств мониторинга, когда это возможно.
Аутентификация пользователя домена должна осуществляться с помощью учетных данных из Active Directory.
В сети должны присутствовать различные категории пользователей, которым будут присвоены различные права по доступу к тем или иным ресурсам. Простейший пример представлен в таблице 4.
Таблица 4 - Разграничение прав доступа в беспроводной сети
Абоненты беспроводной сетиДоступ к конфиденциальной информацииДоступ к публичной информации (в т.ч. Internet)Сотрудник++Гость--Злоумышленник-- 2.2 Выбор оборудования
2.2.1 Обзор оборудования, представленного на рынке
На сегодняшний день наиболее популярными производителями сетевого оборудования, имеющие широкое распространение в России, являются три компании: D-Link, Netgear, Cisco. В связи с этим в рамках данного проекта рассмотрим беспроводные точки доступа, произведенные этими компаниями. Были выбраны следующие беспроводные точки: D-Link DWL-7100AP, Netgear WAG102 и Cisco Aironet 1130AG, все точки имеют стандарт IEEE 802.11a/b/g и работают в двух диапазонах 2,4 ГГц , 5 ГГц. Двухдиапазонные беспроводные точки выбраны в связи с тем, что диапазон 2,4 ГГц уже имеет достаточно большое количество помех, созданные другими устройствами (например технология Bluetooth). Основные характеристики приведены в таблице 5.
D-Link AirPremier AG DWL-7100AP - трехрежимная, двухдиапазонная беспроводная точка доступа, обеспечивающая самую широкую из возможных в точках доступа полосу пропускания для пользователей. Беспроводные клиенты могут подключаться к этой точке доступа, используя любой из 11 неперекрывающихся каналов для передачи данных на скорости никогда ранее не достижимой для беспроводных устройств. Двухдиапазонная беспроводная точка доступ ProSafe WAG102 от NETGEAR обеспечивает построение безопасной, надежной высокоскоростной беспроводной локальной сети (WLAN), необходимой для современного мобильного офиса. Точка доступ ProSafe WAG102 использует частотные диапазоны как 5 GHz, так и 2.4 GHz 54 Mbps с возможностью увеличения скорости до 108 Mbps в режиме turbo как для 802.11g, так и для 802.11а.
Двухдиапазонная точка доступа Cisco Aironet серии 1130AG поддерживает стандарт питания устройств по витой паре IEEE 802.3af (PoE). В комплект поставки продукта входят все компоненты, необходимые для надежной установки устройства с повышенной степенью защиты. Продукты компании Cisco надежны в работе, имеют достаточно широкий диапазон настроек, но ценовая политика компании оставляет желать лучшего. Из предложенного количества моделей точек доступа, в данном проекте использовано оборудование компании Cisco, как наиболее полно отвечающее всем вышеперечисленным требованиям для поддержки качественной связи.
Данная модель обладает необходимой пропускной способностью, согласно условию проекта и обеспечивает необходимые условия безопасности. Поддерживает промышленные стандарты безопасности для шифрования данных в беспроводных сетях и авторизации пользователей. Благодаря поддержке WPA2 и 802.1x обеспечивается строгая взаимная аутентификация, предотвращающая неавторизованный доступ к сети. Поддержка 802.11i и WPA2 Enterprise обеспечивает усовершенствованную безопасность работы в беспроводных сетях. Поддерживает аутентификацию MAC-адресов со списком контроля доступа (ACL) на 256 пользователей и VPN pass-through.
Небольшие затраты на установку и использование. Точка доступа сертифицирована для Wi-Fi и может устанавливаться над фальш-потолком и под фальш-полом. Устройство можно устанавливать там, где поблизости нет электрической розетки - благодаря встроенному порту Power over Ethernet (PoE) питание на него может подаваться по Ethernet.
2.2.2 Сравнительный анализ характеристик оборудования
Проведем сравнительный анализ исходя из характеристик, укязанных таблице 5 рассматриваемого оборудования.
Как видно, наиболее полно требованиям удовлетворяет точка доступа Cisco Aironet 1130AG
Точка доступа производства компании D-Link имеет низкую стоимость, что является ее основным преимуществом. Также преимуществом является то, что беспроводные клиенты могут подключаться к этой точке доступа, используя любой из 11 неперекрывающихся каналов для передачи данных на скорости никогда ранее не достижимой для беспроводных устройств В то же время данное оборудование имеет очень слабую элементную базу и, как следствие, ожидаемы частые поломки. Двухдиапазонная беспроводная точка доступ ProSafe WAG102 от NETGEAR обеспечивает построение безопасной, надежной высокоскоростной беспроводной локальной сети, необходимой для современного мобильного офиса. Точка доступ ProSafe WAG102 использует частотные диапазоны как 5 GHz, так и 2.4 GHz 54 Mbps с возможностью увеличения скорости до 108 Mbps в режиме turbo как для 802.11g, так и для 802.11а. Она одновременно поддерживает в одной зоне до 128 клиентских устройств разных типов. Основной недостаток - вероятны проблемы с совместимостью оборудования.
Cisco Aironet 1130AG специально разработаны для сложных радиочастотных сред, к которым относятся, например, производственные предприятия, склады или крупные центры розничной торговли, которые предъявляют особые требования к универсальности антенных устройств. Точка доступа Cisco Aironet серии 1130AG поставляется либо в "облегченном" (lightweight), либо в автономном варианте. Во втором случае ее впоследствии можно будет модернизировать до "облегченного" варианта на месте. Из предложенного количества моделей точек доступа, в данном проекте использовано оборудование компании Cisco, как наиболее полно отвечающее всем вышеперечисленным требованиям для поддержки качественной связи.
Таблица 5 - Сравнительный анализ характеристик точек доступа различных производителей
Наименование точкиD-Link DWL-7100APNetgear WAG102Cisco Aironet 1130AGСтандартыIEEE 802.11a/b/gIEEE 802.11a/b/gIEEE 802.11a/b/gСкорость передачи данных2.4 ГГц - 5 ГГц2.4 ГГц - 5 ГГц2.4 ГГц - 5 ГГцЭлектропитание/энергопотребление PoE2А, 5В / 10Вт19мА, 220\В / 4,3Вт-Коммутаторы 802.3 AFРазмеры (ДхШхВ), мм192 x 118 x 3132 x 190.5 x 12216.76 x 21.59 x 2.79Скорость передачи данных54Мбит/с, 48Мбит/с, 36Мбит/с, 24Мбит/с, 18Мбит/с, 12Мбит/с, 11Мбит/с, 9Мбит/с, 6Мбит/с, 5.5Мбит/с, 2Мбит/с, 1Мбит/54Мбит/с, 48Мбит/с, 36Мбит/с, 24Мбит/с, 18Мбит/с, 12Мбит/с, 11Мбит/с, 9Мбит/с, 6Мбит/с, 5.5Мбит/с, 2Мбит/с, 1Мбит/54Мбит/с, 48Мбит/с, 36Мбит/с, 24Мбит/с, 18Мбит/с, 12Мбит/с, 11Мбит/с, 9Мбит/с, 6Мбит/с, 5.5Мбит/с, 2Мбит/с, 1Мбит/Продолжение табл.5 Безопасность-802.1x
-WPA - Wi-Fi Protected Access (64/128/152- бит WEP с TKIP, MIC, IV Expansion, аутентификация с общим ключом)
-Поддержка Advanced Encryption Standard (AES)
-40/64-, 128-, and 152-bit WEP encryption
-Block SSID Broadcast
-Поддержка VPN pass-through
MAC address filtering with access control lists - up to 256 users
-802.1x Поддержка RADIUS with EAP TLS, TTLS, PEAP
-Wi-Fi Protected Access (WPA2)
-Secure Socket Layer (SSL) remote management login
-WPA
-WPA2 (802.11i)
-Cisco TKIP
-Cisco message integrity check (MIC)
-IEEE 802.11 WEP ключи из 40 и 128 бит
-EAP-Flexible аутентификация через тоннель безопасности (EAP-FAST)
-PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP)
-EAP-Transport Layer Security (EAP-TLS)
-EAP-Tunneled TLS
-Cisco LEAP
-Шифрование AES-CCMP (WPA2)
-TKIP (WPA)
-Cisco TKIP
-WPA TKIP
-IEEE 802.11 WEP ключи из 40 и 128 бит 2.2.3 Обоснование выбора оборудования
Проведя анализ эксплуатируемого оборудования, прияв во внимание рекомендации своего руководителя, а также рекомендации отдела информатизации и связи Высшего арбитражного суда - в качестве лучшего оборудования для выполнения данного проекта были выбраны точки доступа фирмы Cisco Systems - Cisco AiroNet 1130AG.
2.2.4 Описание выбранного оборудования
Точки доступа Cisco Aironet 1130AG Series предлагают комплекс функций, в число которых входят:
Двухдиапазонная радиосвязь, обеспечивающая поддержку множества вариантов беспроводных сетей и работающая полосах как 2,4, так и 5 ГГц, что гарантирует максимальную гибкость, зону покрытия и поддержку клиентских устройств
Возможность реализовывать зону покрытия даже при наличии препятствий и потенциальных взаимных помех
Легкая установка на подвесных потолках
Интеграция с программным обеспечением Cisco, предназначенным для администрирования и контроля беспроводных сетей
Защищенная, запирающаяся установочная система с легким пластиковым корпусом.
2.2.5 Анализ основных преимуществ
Рассмотрим основные преимущества точек доступа Cisco:
Дополнительное питание через Ethernet для упрощения установки
Обеспечивает пропускную способность до 108 Мбит/с
Предназначена для гибкой настройки возможностей покрытия
Ослабляет помехи
Работает с унифицированной беспроводной сетью Cisco
Плоский дизайн без выступов для офисов
Встроенные антенны
Поддерживает множество стандартов безопасности для проверки подлинности и защиты
Неограниченное количество точек доступа
2.3 Эскизное проектирование
В данной работе эскизное проектирование состоит из следующих этапов:
Расчет зоны покрытия
Расчет зон уверенного сигнала
Расчет зон задержек
2.3.1 Расчет зоны покрытия
Зоны покрытия точек должны полностью покрывать площадь офисного помещения, при этом в целях безопасности за пределами здания сигнал практически не должен улавливаться. Поэтому точки доступа должны быть размещены в строго определенных местах.
Типовой план этажа представлен на рисунке 12. На типовом плане этажа видно, что стены, граничащие с улицей, выполнены из монолит-кирпича, шириной 1 метр и отделочных материалов с утеплителем шириной в 1 метр, а межкомнатные перегородки представляют собой стеклянные и гипсокартонные конструкции. Максимальная длина здания - 27 метров, максимальная ширина - 27, высота перекрытий - 9 метров.
Принимая во внимание, что среднестатистическая беспроводная сеть, работающая по стандарту 802.11 b/g, обеспечивает зону уверенного сигнала в радиусе 100 метров (в помещении), возможно размещение в левом и правом крыле каждого этажа, тем самым покрыв всю площадь, в том числе площадь залов заседания.
Также следует учесть, что приоритетной целью внедрения беспроводной сети в данном проекте считается обеспечение залов судебных заседаний отказоустойчивым и высокоскоростным доступом к ресурсам ИВС.
Принимая во внимание перечисленное выше, можно сделать первые предположения о местоположении точек доступа:
Точки доступа должны быть расположены на тех же этажах, что и залы заседаний.
Точки доступа должны располагаться в непосредственной близости от залов судебных заседаний.
Опираясь на специфику работы Семнадцатого арбитражного апелляционного суда можно сделать вывод о том, что точки доступа будут располагаться под фальш-потолком и оборудованы запирающими устройствами.
2.3.2 Расчет зон уверенного сигнала
2.3.2.1 Выбор метода расчета
Прежде всего, законы распространения радиоволн интересующих нас участков радиоспектра (частотные диапазоны 2400-2483,5 для 802.11b и 11g, 5150-5350 МHz для устройств по 11a) имеют ряд оригинальных особенностей и требуют наличия у проектировщика определенных знаний и опыта. Причем в отличие от оптического диапазона не следует прогнозировать работу, опираясь лишь на законы прямолинейного распространения. Не сильно поможет и житейский опыт приема радиостанций FM-вещания, волны которого достаточно легко огибают препятствия, а интерференционные процессы (связанные со сложением и вычитанием прямых и отраженных волн от предметов, находящихся в помещении) создают сравнительно мало сложностей при работе. Правила и характер возникающих проблем у WLAN-систем свой.
В данной работе для прогнозирования местоположения точек доступа было принято решение воспользоваться программным комплексом Ekahau Site Survey.
Рисунок 12 - Типовой план этажа
Пакет программ Ekahau Site Survey для сетей 802.11a/b/g существенно упрощает решение задач на всех этапах: планирования, развертывания, дальнейшей оптимизации/настройки WLAN. Причем делать это можно с учетом реальных результатов мониторинга производительности и других характеристик сети. Из аппаратного обеспечения для этого потребуется лишь ноутбук с адаптером Wi-Fi и желательно - внешняя антенна, позволяющая повысить точность проводимых измерений.
Стоит отметить, что, несмотря на всю "софтверность" выбранного пакета, он остается частью программно-аппаратного комплекса.
На этапе планирования с помощью программного комплекса Ekahau Site Survey можно, используя имеющийся в наличии план помещений, спрогнозировать место инсталляции оборудования[21].
На рисунке 13 приведен пример отображения зоны уверенного сигнала в замкнутом помещении.
Рисунок 13 - Пример отображения уровня сигнала в Ekahau Site Survely
2.3.2.2 Предварительный анализ типового этажа.
С использованием программного комплекса Ekahau Site Survey проанализируем типовой этаж здания Семнадцатого арбитражного апелляционного суда.
Для этого загрузим чертеж плана этажа в программу Ekahau heatmapper и предположим, что точка доступа будет расположена в центре этажа. Как видно на рисунке 14 уже в первой итерации можно заметь, ухудшение сигнала проходящего сквозь стены. Основываясь на этом, делаем вывод о том, что дальнейшее разработка данной позиции точки доступа является бесперспективной и не удовлетворяет требованиям проекта.
Также следует учесть специфичность СКС и расположение ИМ.
2.3.2.3 Расчет зон покрытия и выбор местоположения
Проанализировав первую итерацию, отметим, что для достаточно надежного сигнала необходимо минимум две точки доступа на этаже.
Произведем вторую итерацию, которая позволит определить оптимальное расположение точек доступа исходя из плана этажа.
На этом этапе нам предлагается несколько вариантов расположения точек доступа.
На рисунке 15 можно увидеть, что программный комплекс Ekahau предлагает размещение двух точек довольно близко друг от друга, на случай резервирования.
Рисунок 14 - Ekahau HeatMap первая итерация
Подобное размещение не отвечает требованиям высокой скорости передачи данных в области залов судебных заседаний.
Вариант 2, представленный на рисунке 16 предполагает размещение точек доступа в разных крыльях, что обеспечивает высокую скорость в судейских кабинетах и залах судебных заседаниях.
Стоит отметить, что в данном размещении сигнал излишне распространяется за пределы здания, что не очень удачно.
Третий вариант представляет собой комбинацию первых двух. Можно сразу отметить отличный прием в залах судебных заседаний, уверенный прием в кабинетах судей и в зоне ожидания
Рисунок 15 - HeatMap. Вторая итерация. Вариант 1
Зоны неуверенного приема сигнала приходятся на лифт и санитарные помещения, что является удовлетворительным.
Рисунок 16 HeatMap. Вторая итерация. Вариант 2
Рисунок 17 - HeatMap. Вторая итерация. Вариант 3
Принимая во внимание специфику СКС, проведенный с помощью программно-аппаратного метода анализ плана типового этажа примем следующее решение:
Установить на этажах с залами судебного заседания две точки доступа
Установить точку доступа непосредственно в зале судебного заседания
Установить точку доступа в левом крыле здания
Таким образом, также было выяснено, что предложенный программно-аппаратный метод определения оптимального расположения оборудования значительно сокращает время поиска точек монтажа, в отличие от экспериментального метода. Программно-аппаратный метод позволяет определить местоположение точек догступа с точностью до метра.
2.3.3 Расчет зон задержек
Расчет зон задержек также произведем с помощью программно-аппаратного комплекса Ekahau Site Survely.
Основываясь на данных полученных путем двух итераций типового плана здания и выбранной схемы расположения точек доступа (рисунок 17) отметим зоны задержек:
Кабины лифта и коридор
Санитарное помещение
Архив
Необходимости в обеспечении беспроводной сетью данных помещений нет, поэтому в данном проекте будем считать, что эскизное проектирование окончено, и мы можем перейти к рабочему проектированию.
2.4 Рабочее проектирование
Для решения поставленной задачи определим, что рабочее проектирование состоит из следующих этапов:
Расчет теоретической полезной пропускной способности
Расчет нагрузки на единичную точку доступа
Расчет энергопотребления точек доступа
Предварительная настройка точки доступа
Окончательная настройка точка доступа
Настройка оборудования СКС
2.4.1 Расчет теоретической полезной пропускной способности
Следует различать полезную и полную пропускную способность. Под полезной пропускной способностью понимается скорость передачи полезной информации, объем которой всегда несколько меньше полной передаваемой информации, так как каждый передаваемый кадр содержит служебную информацию, гарантирующую его правильную доставку адресату.
Рассчитаем теоретическую полезную пропускную способность в сети стандарта 802.11g без учета коллизий и задержек сигнала в сетевом оборудовании. Отличие полезной пропускной способности от полной пропускной способности зависит от длины кадра. Так как доля служебной информации всегда одна и та же, то, чем меньше общий размер кадра, тем выше "накладные расходы". Служебная информация в кадрах cоставляет 18 байт (без преамбулы и стартового байта), а размер поля данных кадра меняется от 46 до 1500 байт. Сам размер кадра меняется от 46 + 18 = 64 байт до 1500 + 18 = 1518 байт. Поэтому для кадра минимальной длины полезная информация составляет всего лишь 46 / 64 ≈ 0,72 от общей передаваемой информации, а для кадра максимальной длины 1500 / 1518 ≈ 0,99 от общей информации. Чтобы рассчитать полезную пропускную способность сети для кадров максимального и минимального размера, необходимо учесть различную частоту следования кадров. Естественно, что, чем меньше размер кадров, тем больше таких кадров будет проходить по сети за единицу времени, перенося с собой большее количество служебной информации[16].
Так, для передачи кадра минимального размера, который вместе с преамбулой имеет длину 72 байта, или 576 бит, потребуется время, равное 576 bt, а если учесть межкадровый интервал в 96 bt то получим, что период следования кадров составит 672 bt. При скорости передачи в 108 Мбит/с это соответствует времени 6,72 мкс. Тогда частота следования кадров, то есть количество кадров, проходящих по сети за 1 секунду, составит
1/6,72 мкс ≈ 148810 кадр/с.
При передаче кадра максимального размера, который вместе с преамбулой имеет длину 1526 байт или 12208 бит, период следования составляет 12 208 bt + 96 bt = 12 304 bt, а частота кадров при скорости передачи 100 Мбит/с составит 1 / 123,04 мкс = 8127 кадр/с.
Зная частоту следования кадров f и размер полезной информации Vп в байтах, переносимой каждым кадром, нетрудно рассчитать полезную пропускную способность сети:
Пп = Vп · 8 · f бит/сек(1)
Для кадра минимальной длины (46 байт) теоретическая полезная пропускная способность равна, равна согласно формуле (1):
Ппт1 = 37 402 кадр/с = 12,8 Мбит/с, что составляет лишь немногим больше половины от общей максимальной пропускной способности сети. Для кадра максимального размера (1500 байт) полезная пропускная способность сети равна согласно формуле (1):
Ппт2 = 2032 кадр/с = 25,2 Мбит/с.
Таким образом, в сети стандарта 802.11g полезная пропускная способность может меняться в зависимости от размера передаваемых кадров от 12,8 до 25,2 Мбит/с. 2.4.2 Расчет нагрузки на единичную точку доступа
2.4.2.1 Расчет трафика по протоколам POP3, SMTP
В качестве почтового агента используется MS Оutlook 2007.
П_почта= ((a+b)×k_1)/(8×k_2 )×c, где (2)
Ппочта - поток информации при открытии почты, кбит/с;
a - размер передаваемого файла по сети, МБайт;
b - размер служебной информации сети, Мбайт;
k1 - коэффициент для перевода MБайт в кБит, k1 = 8192
k2 - коэффициент для перевода часов в секунды, k1 = 3600
с - периодичность проверки почты в 8-ми часовой рабочий день
8 - продолжительность рабочего дня, час
При проверке почты при помощи MS Оutlook 2007 в сеть отправляется 0,5 mb служебной информации. Максимальный размер письма равен 10 mb, с периодичность проверке почты 8 раз в день (рабочий), примерно 1 раз в час.
Согласно формуле (2) средний поток при проверке почты будет равен:
П_почта= ((10+0.5)×8192)/(8×3600)×10=30 Кб/сек Суммарный почтовый трафик для всех пользователей:
∑▒П_почта = П_почта×N, где (3)
Ппочта- средний поток информации при проверке почты от одного пользователя, кБит/сек;
N - количество пользователей, человек
Проведем расчет по формуле (3):
∑▒П_почта = 29,9×36=1080 Кб/сек 2.4.2.2 Расчет трафика по протоколам HTTP, HTTPS
В качестве интернет браузера используется MS Internet Explorer 8.0. П_интернет= ((a+b)×k_1)/(8×k_2 ), где (4)
Пинтернет - поток информации при работе в интернете, кбит/с;
a - размер интернет трафика, МБайт;
b - размер служебной информации сети, Мбайт;
k1 - коэффициент для перевода MБайт в кБит, k1 = 8192
k2 - коэффициент для перевода часов в секунды, k1 = 3600
8 - продолжительность рабочего дня, час
Лимит интернет трафика для одного пользователя 500 mb, при работе в интернете при помощи MS Internet Explorer 8.0. В качестве служебной в сеть отправляется 1 mb информации. Лимит выдается на месяц и пользователь в праве истратить его единовременно или постепенно, расчет приведен при единовременном израсходовании лимита. По формуле (4):
П_интернет= ((500+1)×8192)/(8×3600)= 142 Кбит/сек
Суммарный интернет трафик для всех пользователей:
∑▒П_интернет = П_интернет×N, где (5)
Пинтернет- поток информации при работе в интернете, кбит/с;
N - количество пользователей, человек
Исходя из формулы (5):
∑▒П_интернет = 142×36=5112 Кб/сек 2.4.2.3 Расчет трафика по обращению к СУБД "ПК САД"
В качестве СУБД используется Oracle10g с разнесенным сервером приложений и сервером БД, т.е. база хранится на сервере, а пользователи при помощи "толстого" клиента или web-интерфейса подключаются к серверу приложений. Нормальная работа обеспечивается при скорости 150 кб/с, с учетом работы в толстом клиенте - 200 кб/с.
П_(ПК САД)=500 кб/сек
Суммарный трафик для всех пользователей, работающих на сервере ПК САД:
∑▒П_(ПК САД) = П_(ПК САД)×N, где (6)
ППК САД - поток информации при работе на сервере ПК САД, кбит/с;
N - количество пользователей, человек
Проведем расчет по формуле (6):
∑▒П_(ПК САД) =500×36=18000 кб/сек
2.4.2.4 Расчет трафика по обращению к справочно-правовым системам Гарант и Консультант плюс версии Проф.
В качестве информационно-правовых справочных систем используется система Гарант. Данные системы устанавливается на сервере и пользователи по мере необходимости подключаются к ней при помощи клиентов, установленных на рабочих станциях. Т.к. они установлены на одном сервере и их требования довольно схожи, посчитаем только для системы Гарант и увеличим вдвое.
При простом обмене страница текста будет занимать в среднем от 30 до 1000 кбайт в зависимости от сложности текста и формата передаваемой информации. П_Гарант= (a×b×k_1)/(8×k_2 ), где (7)
ПГарант - поток информации при справочно-правовой системы, кбит/с;
a - количество страниц, шт;
b - размер страницы, кБайт;
k1 - коэффициент для перевода кБайт в кБит, k1 = 8
k2 - коэффициент для перевода часов в секунды, k1 = 3600
8 - продолжительность рабочего дня, час
По формуле (7):
П_Гарант= (300×1000×8)/(8×3600)=84 Кб/сек
Общий средний поток информации от простого обмена страницами между пользователями:
∑▒П_СПС = П_СПС×N×2, где (8)
ПСПС - поток информации при работе одного пользователя в справочно-правовых системах, кбит/с;
N - Количество пользователей, человек;
2 - количество используемых справочно-правовых систем
По формуле (8):
∑▒П_СПС = 84×36×2=6048 Кб/сек
2.4.3 Расчет нагрузки на информационно-вычислительную сеть
Суммарный средний информационный поток сети будет равен: ∑▒〖C= ∑▒П_СПС + ∑▒П_интернет 〗+∑▒П_почта +∑▒П_(ПК САД) (9)
Рассчитав по формуле (9):
∑▒〖C= 6048+5112+1080+18000=30240 Кб/сек〗
Итого:
∑▒〖C=30,2 Мб/сек〗
2.4.4 Расчет электрического питания точек доступа
Точку доступа Cisco AP 1130AG можно устанавливать там, где поблизости нет электрической розетки - благодаря встроенному порту Power over Ethernet (PoE) питание на него может подаваться по Ethernet.
Для того, чтобы придать существующим сетям дополнительное качество, а их администраторов избавить от ряда проблем, был разработан новый стандарт использования витой пары CAT5 - IEEE802.3u, получивший название PoE (Power-over-Ethernet). Его идея основана на резерве, заложенном в сетевом кабеле изначально. И именно такое решение позволяет IP телефонам, WAP, другим аппаратам получать питание по существующей сетевой инфраструктуре, без необходимости прибегать к ее модификации.
Рисунок 18 - Кабель категории 5e
Кабель категории пять состоит из четырех витых пар проводов, из которых только две задействовано в сетях 10BASE-T или 100BASE-T. Разработанная спецификация регламентирует два способа использования кабеля для передачи напряжения, они изображены на схемах. Первая предлагает использовать соединенные провода 7,8 для передачи отрицательного напряжения, а 4 и 5 для позитивного. Фактически, позднее введенное дополнение позволяет в практической реализации изменить полярность. Тут задействованы свободные пары кабеля. Потребляемая электрическая мощность одной БС Cisco AP 1130AG по стандарту Power over Ethernet оставляет 4,3 Вт. Суммарная мощность точек доступа определяется по формуле:
∑▒〖Р_ТД= 〗 Р_(ТД p0W)×N, где (10)
∑PТД - суммарная мощность ТД, Вт
PТД PoW - мощность одной ТД по PoW, Вт; PТД PoW = 4,3 Вт
N - количество БС.
По формуле 9:
∑▒〖Р_ТД= 〗 4,3×12=51,6 Вт 2.4.5 Предварительная настройка точек доступа
По умолчанию точка доступа имеет следующие настройки:
Идентификатор набора служб (Service Set Identifier - SSID): CISCO123
Базовая аутентификация: Открытая аутентификация с шифрованием WEP Точку доступа можно настроить при помощи одного из следующих средств:
Графический интерфейс пользователя
Интерфейс командной строки (после установления сеанса Telnet)
Консольный порт
Чтобы подключиться к точке доступа через консольный порт, последовательный порт RS-232 точки доступа необходимо соединить с COM-портом ПК посредством 9-штырькового прямого последовательного кабеля DB-9. Для установления соединения с точкой доступа необходимо настроить эмулятор терминала. Для настройки соединения через эмулятор терминала необходимо использовать следующие настройки:
9600 baud (9600 бод)
8 data bits (8 бит данных)
No parity (Четность не проверяется)
1 stop bit (1 стоповый бит)
No flow control (Управление потоком отключено)
Приведенные выше настройки являются настройками по умолчанию. Если после настройки терминала с использованием приведенных выше установок невозможно подключиться к устройству, то это может означать, что устройство не использует настройки по умолчанию. Следует изменить настройки, начав со скорости передачи данных. После настройки IP-адреса к точке доступа можно подключиться через браузер, чтобы настроить ее на прием клиентских запросов на ассоциирование, поступающих от клиентского адаптера.
Выполним следующие действия:
Чтобы посредством GUI получить доступ к точке доступа и чтобы вывести окно Summary Status, необходимо выполнить следующие действия:
Откроем веб-браузер, и в адресной строке введем 10.0.0.1.
Чтобы пропустить поле Username и перейти к полю Password нажмем клавишу Tab. Появится окно "Enter Network Password".
Введите пароль Cisco с учетом регистра и затем нажмите Enter.
В окне "Summary Status" будет отображена информация, представленная на рисунке 19.
Появится окно "Express Setup". Воспользуемся данным окном, чтобы настроить часть базовых параметров, которые необходимы для установления беспроводного подключения. Используйте окно "Express Setup" при работе с точкой доступа AP 1130 для того, чтобы настроить получение ассоциаций от беспроводных клиентов. Пример настройки приведен на рисунке 20.
В окне "Express Setup" в соответствующих полях укажем необходимые значения.
В меню слева нужно щелкнуть опцию Express Setup.
К настраиваемым параметрам относятся следующие:
Имя точки доступа
Настройка IP-адреса точки доступа (при использовании статического IP-адреса)
Шлюз по умолчанию
Строка сообщества протокола Simple Network Management Protocol (SNMP) Роль, выполняемая в беспроводной сети SSID
В нашем примере настраиваются следующие параметры:
Рисунок 19 - Статус точки доступа в web-окне
Идентификаторы SSID являются уникальными идентификаторами сети WLAN. Беспроводные устройства используют идентификаторы SSID для установления и поддержания беспроводных соединений. Идентификаторы SSID различают регистр ввода и могут содержать до 32 буквенно-цифровых символов. Нельзя использовать пробелы или специальные символы в SSID.
Все другие параметры сохраняют значения, заданные по умолчанию.
Чтобы сохранить изменения, нажмем Apply.
Рисунок 20 - Пример настройки параметров точки доступа
Для настройки параметров радиосвязи, необходимо выполнить следующие действия:
Чтобы перейти к странице "Network Interfaces Summary", в меню слева щелкните Network Interfaces.
Выберите необходимый радио-интерфейс.
В данном примере используется интерфейс Radio0-802.11B. После выбора интерфейса Radio0-802.11B станет доступной страница "Radio Status".
Чтобы перейти к странице "Settings" для настройки радио-интерфейса, щелкем вкладку Settings.
Чтобы включить радио-интерфейс, выберем Enable.
Все остальные настройки, имеющиеся на данной странице, сохраняют значения, заданные по умолчанию.
Чтобы сохранить внесенные изменения, в нижней части страницы нажмем Apply (рисунок 21).
Для настройки идентификатора SSID и открытой аутентификации с шифрованием WEP выполим следующие действия:
В меню слева последовательно выберем Security > SSID Manager.
Появится страница "SSID Manager".
В списке Current SSID выберите идентификатор SSID, который был создан при выполнении шага 3. В этом примере в качестве идентификатора SSID используется идентификатор "CISCO123".
Рисунок 21 - Настройка профиля радио-интерфейса
В разделе "Authentication Settings" ("Параметры аутентификации") выберите Open Authentication (Открытая аутентификация).
Для всех остальных параметров сохраняются значения, заданные по умолчанию.
Внизу страницы нажмем Apply.
Чтобы настроить ключи WEP, выполним следующие действия (рисунок 21):
Выберем последовательно Security > Encryption Manager.
В разделе "Encryption Modes" ("Режимы шифрования") щелкнем WEP Encryption (шифрование WEP) и в раскрывающемся списке выберите Mandatory ("Обазательное").Как на рисунке 22
В области "Encryption Keys" ("Ключи шифрования") введем ключ для WEP-шифрования (рисунок 22).
Рисунок 22 - Настройка аутентификации
Ключи шифрования WEP могут иметь 40- или 128-битную длину. В нашем примере используется 128-битный ключ WEP-шифрования - 1234567890abcdef1234567890.
Чтобы сохранить изменения, нажмем Apply(рисунок 23).
Таким образом, нами были сконфигурированы общие параметры. Далее, используя, соединение через консольный порт точки доступа, посредством программы PUTTY произведем настройку, удовлетворяющую требованиям безопасности.
2.4.6 Окончательная настройка точек доступа и оборудования СКС.
Для проведения окончательной настройки требуется осуществить конфигурацию активного оборудования и точек доступа.
Так как параметры структура сети основывается на VLAN необходимо создать новый элемент данной структуры - vlan 16. Технология VTP позволит распространить эту информацию с одного VTP-сервера на все оборудование сети. Это значительно упрощает этап конфигурации.
Произведем конфигурацию точки доступа, используя программу PuTTy.
2.4.6.1 Настройка конфигурации точек доступа
Для внедрения в информационно-вычислительную сеть суда произведем тонкую настройку точек доступа. Подробная конфигурация точки доступа представлена в Приложении А.
Используя ноутбук, имеющий в наличии порт RS-232, подключим точку доступа через консольный провод. Запустим на ноутбуке программу PUTTY и выберем тип подключения Serial
Рисунок 23 - Настройка WEP-шифрования
Откроется консоль точки доступа(рисунок 24).
Используя связку логин\пароль настроенную ранее войдем в расширенный режим и режим конфигурирования терминала
Произведем следующие настройки для интерфейса Radio0:
no ip address
no ip route-cache
encryption mode ciphers tkip ssid VAS-SUD109
station-role root
bridge-group 1
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
Произведем следующие настройки для интерфейса Radio0(рисунок 25):
no ip address
no ip route-cache
Рисунок 24 - Консоль точки доступа
shutdown
encryption mode ciphers tkip dfs band 3 block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
Произведем следующие настройки для интерфейса FastEthernet0:
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
Рисунок 25 - Настройка интерфейсов
Произведем следующие настройки для интерфейса BVI1:
ip address 172.17.109.5 255.255.255.0
no ip route-cache
Настроим общие параметры:
hostname VAS-SUD109
enable secret 5 ********
no aaa new-model
no ip dhcp use vrf connected
ip dhcp excluded-address 172.17.109.1 172.17.109.25
ip dhcp pool Wi-Fi
network 172.17.109.0 255.255.255.0
default-router 172.17.109.254 dot11 ssid VAS-SUD109
authentication open authentication key-management wpa
wpa-psk ascii 7 ********************
power inline negotiation prestandard source
username Admin password 7 ********
bridge irb
Настроим опции домена и dns-сервера:
enable
configure terminal
ip domain-lookup
ip dhcp pool Wi-Fi
dns-server 10.1.19.1
domain-name aas-perm.local
Таким образом, после настройки получилось следующее:
SSID: VAS-SUD 109
ip-адрес сети: 172.17.109.x
маска подсети: 255.255.255.0
ip-адрес точки доступа: 172.17.109.5
аутентификация: wpa-psk
пул статических ip-адресов: 172.17.109.1-172.17.109.25
Аналогичным образом настраиваем остальные точки доступа. Их ip-адреса будут находиться в диапазоне 172.17.109.1-172.17.109.25, также как и ip-адреса принт-серверов. Клиентскому оборудованию же будут присваиваться адреса по протоколу DHCP.
Важным моментом является то, что при такой настройке не возникает спорных моментов между DHCP кабельной сети и DHCP сети Wi-Fi.
Рисунок 26 - Настройка интерфейса FastEthernet
2.4.6.2 Настройка шифрования и аутентификации пользователей
Любая точка доступа, предоставляет в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Я использовал шифрование WPA-TKIP.
Существует два типа WPA-шифрования: стандартный режим WPA (иногда встречается название WPA - Enterprise) и WPA Pre-shared key или WPA - персональный.
Режим WPA - Enterprise используется в корпоративных сетях, поскольку требует наличия RADIUS-сервера.
Режим WPA Pre-shared key предназначен для персонального использования. Этот режим предусматривает использование заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа. Режимы оборудования перечислены в таблице 6. Существует также алгоритм WPA 2 (следующая версия протокола WPA). Если все устройства беспроводной сети поддерживают данный режим, то вполне можно им воспользоваться. Настройки в данном случае осуществляются точно такие же, как и в случае WPA-режима. В качестве алгоритмов шифрования при использовании стандарта WPA можно выбрать TKIP или AES. Для настройки WPA-шифрования в главном окне настройки точки доступа выберите тип аутентификации WPA Pre-shared key и установите тип шифрования (WPA Encryption) TKIP или AES. Затем требуется задать ключ шифрования (WPA PSK Passphrase). В качестве ключа может быть любое слово.
Далее необходимо реализовать аналогичные настройки на всех беспроводных адаптерах сетевых компьютеров. Пример настройки беспроводного адаптера при помощи утилиты управления Intel PROSet / Wireless
Настройка конкретного беспроводного адаптера, естественно, зависит от версии используемого драйвера и утилиты управления. Однако сами принципы настройки остаются неизменными для всех типов адаптеров. Учитывая популярность ноутбуков на базе мобильной технологии Intel Centrino, неотъемлемой частью которой является наличие модуля беспроводной связи, настройку беспроводного соединения произведем в диалоговом окне Intel PROSet/Wireless (описание значков в таблице 7), с помощью которого будет создаваться профиль нового беспроводного соединения, рисунок 27.
Нажать на кнопку Добавить, чтобы создать профиль нового беспроводного соединения. В открывшемся диалоговом окне Создать профиль беспроводной сети, рисунок 28, введите имя профиля (Weber) и имя беспроводной сети (SSID), которое было задано при настройке точки доступа (weber-wireless-network).
При использовании для настройки беспроводного адаптера клиента Microsoft (универсальный метод, который подходит для всех беспроводных адаптеров) прежде всего, следует убедиться в том, что не используется утилита управления адаптером.
Далее настраиваем защиту беспроводной сети. Откроем главное окно утилиты, выберем профиль соединения и нажмите на кнопку Свойств. В открывшемся диалоговом окне перейдем к закладке Настройка защиты и выберем тип сетевой аутентификации WPA-PSK. Далее выберите тип шифрования TKIP, введем ключ шифрования, рисунок 28. Щелкем на значке My Network Places (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт Properties (Свойства). В открывшемся окне Network Connection (Сетевые соединения) выберите значок Wireless Network Connection (Беспроводные соединения) и, щёлкнув на нём правой кнопкой мыши, снова перейдите к пункту Properties. После этого должно открыться диалоговое окно Wireless Network Connection Properties (Свойства беспроводного сетевого соединения), позволяющее настраивать беспроводной сетевой адаптер, рисунок 29.
Перейдя на вкладку "Wireless Networks" (беспроводные сети), нажмите на кнопку "Add..." (добавить) и в открывшемся диалоговом окне "Wireless network properties" (свойства беспроводного соединения) введите имя беспроводной сети (SSID), рисунок 30. Остальные поля (настройка защиты) пока оставьте без изменения.
Независимо от того, какой из перечисленных способов используется для создания профиля беспроводного соединения, после его создания беспроводной адаптер должен автоматически установить соединение с точкой доступа. Таблица 6 Описание значков в Intel PRO/Wireless
ЗначокОписаниеБеспров. сеть выключена. Радиообмен не связан с сетью. Щелкните кнопку Включить беспроводную сеть для включения радиообмена.Показывает ошибки подключения, включая проблемы аутентификации.Поиск беспроводных сетей. Беспроводный адаптер сканирует любые беспроводные сети.
Анимированные значки.
Беспроводные сети не найдены. Адаптер не нашел доступные беспроводные сети.Обнаружены беспроводные сети. Найдены доступные беспроводные сети. Вы можете выбрать и подключиться к доступным сетям, отображенным в списке Беспроводные сети. Подключение к беспроводной сети. Вы подключаетесь к беспроводной сети. Символ полумесяца меняет цвет между зеленым и белым, пока происходит получение IP-адреса или возникла ошибка подключения.Подключено к беспроводной сети. Вы подключены к беспроводной сети. Имя сети, скорость и качество сигнала и IP-адрес отображают текущее состояние подключения. Щелкните кнопку Информация для отображения сведений о текущем сетевом подключении.Имя сетиИмя сети (SSID). Имя сети, к которой подключен адаптер. Имя сети (SSID) должно быть таким же, что и имя SSID точки доступа.Качество сигнала
Значок индикатора качества сигнала Настройки защиты транспортного уровня (Transport Layer Security (TLS)) и туннелированной защиты транспортного уровня (TTLS) определяют протокол и учетные данные, используемые для аутентификации пользователя. TLS - тип метода аутентификации, использующий протокол EAP и протокол безопасности, именуемый протоколом защиты транспортного уровня (Transport Layer Security). EAP-TLS использует сертификаты на основе паролей. Аутентификация EAP-TLS поддерживает динамическое управление WEP-ключом. Протокол TLS необходим для защиты и аутентификации связи в сетях общего пользования путем шифрования данных. Протокол квитирования TLS позволяет клиенту и серверу до посылки данных провести взаимную аутентификацию и выработать алгоритм и ключи шифрования. TTLS предполагает использование клиентом EAP-TLS для проверки подлинности сервера и создания канала между сервером и клиентом, шифрованного с помощью TLS. Клиент может использовать другой аутентификационный протокол, обычно на основе пароля, например, MD5 Challenge, через шифрованный канал для проверки подлинности сервера. Пакеты запросов и ответов отправляются через защищенный, TLS-шифрованный канал. В настоящее время TTLS поддерживает все методы, применяемые в ЕАР, а также некоторые более старые методы (PAP, CHAP, MS-CHAP и MS-CHAPv2). TTLS легко расширяется для работы с новыми протоколами посредством установки новых атрибутов для описания новых протоколов.
Рисунок 29 - Диалоговое окно настройки беспроводного сетевого адаптера
Рисунок 30 - Настройка профиля беспроводного соединения
2.4.6.3 Настройка VLAN.
Настройка VLAN необходима для того, чтобы трафик локальной сети не перегружался трафиком от беспроводных устройств и точек доступа и, соответственно, наоборот. Также настройка VLAN необходима для того, чтобы DHCP-настройки точек доступа не распространялись на локальную сеть здания.
Как уже было сказано выше, существует несколько способов настройки VLAN. В данном проекте используется способ привязки VLAN к номеру порта. Выберем для точек доступа VLAN с номером 16 и произведем настройку вручную. Вход в консоль и первоначальная настройка на рисунке 31. Подробная конфигурация свитча cisco catalyst 4506 приведена в приложении Б.
Создадим VLAN 16 на rt01-11-3:
###
После подключения к оборудованию видим командную строку:
###
rt01-11-3> ###
вводим по очереди команды: ###
Enable
configure terminal
!
vlan 16
exit
!
interface vlan 16
description -=WI-FI network=-
standby 16 ip 172.17.19.254
standby 16 priority 110
standby 16 preempt !
End
###
Далее таким же образом вводим остальные конфигурации для каждого перечисленного оборудования.
###
Осуществим конфигурацию rt02-11-3:
###
командная строка -
###
rt02-11-3>
###
вводим команды по очереди:
###
Enable
configure terminal
!
vlan 16
exit
interface vlan 16
description -=WI-FI network=-
standby 16 ip 172.17.19.254
!
End
Конфигурация sw02-11-3
К этому коммутатору подключаются точки доступа, рисунок 32, рисунок 33. Enable
configure terminal
!
vlan 16
exit
!
interface vlan 16
description -=WI-FI network=-
!
###
На интерфейсах, где будут подключены точки доступа, делаем следующие настройки, рисунок 34, рисунок 35.
###
!
interface FastEthernet X/0/Z
description -=Access_point=-
switchport access vlan 16
switchport mode access
!
###
где X - номер платы
0 - константа
Z - номер порта, в который подключается точка доступа.
###
Конфигурация sw01-11-3
Enable
configure terminal
!
Рисунок 31 - консоль входа для настройки Cisco Catalyst 4506
vlan 16
exit
!
interface vlan 16
description -=WI-FI network=-
!
End
Рисунок 32 - Настройка VLAN на портах оборудования
Конфигурация sw02-4-corr
Enable
configure terminal
Рисунок 33 - Настройка VLAN на портах оборудования
Рисунок 34 - Настройка портов для точек доступа
!
vlan 16
exit
!
Рисунок 35 - Настройка портов для точек доступа
interface vlan 16
description -=WI-FI network=-
!
End
Конфигурация sw01-4-corr
Enable
configure terminal
!
vlan 16
exit
!
interface vlan 16
description -=WI-FI network=-
!
End
Конфигурация sw01-1-3
Enable
configure terminal
!
vlan 16
exit
!
interface vlan 16
description -=WI-FI network=-
!
End После ввода конфигурации для всего оборудования, проверяем связь между клиентами в 19 vlan и клиентами, подключенными к точкам доступа (16 vlan).
2.4.6.3 Тестирование настроек
Проверим, осуществляется ли связь между точкой доступа и пользовательским оборудованием, и корректно ли взаимодействуют VLAN'ы.
Используя команды ping и tracet, проверим отклики сервера в различных помещениях.
На рисунке 36 представлен отклик от оборудования расположенного в зале судебных заседаний.
Далее, производя осмотр остальных помещений, было выяснено, что в данных помещениях самое короткое время пинга.
Пинг из коридора отображен на рисунке 38.
Пинг из помещения архива (рисунок 39) является наиболее длительным по времени, но вполне удовлетворяет потребностям пользователя.
Исходя из проведенных тестов, можно сказать, что настройка оборудования прошла успешно, конфигурация VLAN выполнена корректно и оборудование работает без коллизий.
Рисунок 36 - Результат трассировки и обмена пакетами из помещения зала судебных заседаний
Рисунок 37 отображает результат трассировки и обмена пакетами из кабинета судьи
Рисунок 37 - Результат трассировки и обмена пакетами из помещения кабинет судьи
Точкам доступа выдаются ip-адреса в диапазоне 172.17.109.50-172.17.109.249, причем конфликта между DHCP проводной сети и DHCP беспроводной сети нет.
Рисунок 38 - Результат трассировки и обмена пакетами из коридора
Рисунок 39 - Результат трассировки и обмена пакетами из помещения архива
2.5 Выводы по главе 2
В данной главе в полном объеме представлены действия произведенные для реализации проекта внедрения беспроводной сети в структурированную кабельную систему здания суда.Произведенный в главе 1 сбор данных значительно упростил работы по внедрению и позволил более детально разобраться в существующей системе и значительно расширить ее возможности.
Был проведен анализ рынка оборудования для беспроводных сетей и на основе этого анализа, по согласованию с руководителем, выбрано оборудование компании Cisco Systems.
При помощи программно-аппаратного комплекса, предоставляемого компанией Ekahau, были проведены работы по эскизному проектированию, что позволило сократить экспериментальную часть проекта до минимума.
Проведенные расчеты подтвердили эскизный проект и были одобрены руководителем.
Были внесены соответствующие изменения в структуру информационно-вычислительной сети и в структуру домена для перераспределения прав доступа.
Были детально изучены инструкции и спецификации оборудования для внедрения. Также было произведено тестирование оборудования на типовом этаже.
Подведя итог, можно сказать, что оборудование прошло тест успешно, все характеристики лежат в рамках поставленной задачи и полностью удовлетворяют требованиям данной работы, поэтому можно приступать к следующему шагу - монтажу точек доступа на выбранных позициях.
3 Монтирование оборудования
Точки доступа Cisco Aironet серии 1130AG IEEE 802.11a/b/g обеспечивает высокую емкость, безопасность и функции корпоративного класса в простом дизайне офисного типа, доступ WLAN с минимальной совокупной стоимостью владения. Радиоприемники с высокой эффективностью Dual IEEE 802.11a и 802.11g, Cisco Aironet серии 1130AG обеспечивают суммарную пропускную способность до 108 Мбит/с для удовлетворения потребностей растущего WLAN. Аппаратная поддержка Advanced Encryption Standard (AES) или Temporal Key integrity protocol (TKIP) шифрования обеспечивает бескомпромиссную поддержку совместимости IEEE 802.11i, Wi-Fi Protected Access 2 (WPA2) или WPA. Cisco Aironet 1130AG серии использует радио-и сетевых функций управления для упрощенного развертывания, а также встроенные всенаправленные антенны, которые предоставляют надежную и предсказуемую зону охвата WLAN для офисов.
Точки доступа серии Cisco Aironet 1130AG выпускаются в двух версиях: унифицированная или автономная. Унифицированные варианты работают с Lightweight Access Point Protocol (LWAPP) и в сочетании с контроллерами Cisco Wireless LAN и Cisco Wireless Control System (WCS). После настройки LWAPP, Cisco Aironet 1100 может автоматически находить контроллер Cisco Wireless LAN и скачать соответствующую политику и информацию о конфигурации без ручного вмешательства. Автономные точки доступа на основе системы Cisco IOS (r) и могут по желанию работать с CiscoWorks Wireless LAN (WLSE). Автономные точки доступа, наряду с CiscoWorks WLSE, предоставят базовый набор функций, который может быть увеличен, чтобы воспользоваться всеми преимуществами Cisco Unified Wireless Network(рисунок 40).
Встроенная всенаправленная антенна призвана обеспечить охват, специально расчитанный для современных открытых рабочих пространств. Многоцелевой монтажный кронштейн легко обеспечивает Cisco Aironet серии 1130AG крепление на потолках и стенах. Ненавязчивый дизайн, точек доступа Cisco Aironet серии 1130AG, эстетическое и приятное сочетание в офисной среде. Для максимального сокрытия, точки доступа могут быть поставлены над подвесными потолками. Предлагаемая по конкурентоспособной цене, и оптимизированная для легкой установки и эксплуатации, Серия Cisco Aironet 1130AG помогает организации достичь более низкой общей стоимости владения.
Cisco Aironet серии 1130AG поддерживает 802.11i, Wi-Fi Protected Access 2 (WPA2), WPA и Extensible Authentication Protocol (EAP). WPA и WPA2 Wi-Fi Alliance Сертификаты совместимости, основаны на стандартах безопасности WLAN. Эти сертификаты созданы для проверки подлинности IEEE 802.1x пользователей для на основе Temporal Key Integrity протокола (TKIP) для шифрования WPA и Advanced Encryption Standard (AES), а так же для шифрования WPA2. Эти сертификаты помогают обеспечить совместимость Wi-Fi-сертифицированных устройств WLAN от разных производителей.
Идеальная для офисов и аналогичных открытых сред, точка доступа Cisco Aironet серии 1130AG может быть установлена на потолке, чтобы предоставить пользователям непрерывный охват при перемещении по объекту. В школьных зданий и аналогичных объектах, точки доступа могут быть установлены на потолке в каждой комнате и холле, чтобы предоставить пользователям полный охват и высокую доступность сети. В районах, где потолочная установка не будет практичной, например розничная торговля, точки доступа могут быть смонтированы просто и надежно на стенах для полного охвата при минимальной стоимости установки.
Точки дочтупа серии Cisco Aironet 1130AG поддерфивают аппаратное ускорение шифрования AES корпоративного класса, предоставляют безопасное шифрование по WLAN без ущерба производительности. Проверка подлинности IEEE 802.1X помогает гарантировать, что только авторизованные пользователи могут попасть в сеть. Обратная совместимость: для клиентов с устройствами под управлением WPA TKIP поддерживается алгоритм шифрования RC4.
Cisco Aironet 1130AG с поддержкой LWAPP Cisco Unified Intrusion Detection System / система предотвращения вторжений (IDS / IPS), программное обеспечение особенность, которая входит в состав Cisco Self-Defending Network и является первым в отрасли комплексным решения безопасности для проводных и беспроводных сетей. Cisco Unified IDS / IPS принимает всеобъемлющий подход к безопасности в беспроводных и проводных сетях, среде WAN, а также через центр обработки данных. Когда клиент посылает вредоносный трафик через Cisco Unified Wireless Network, Cisco IDS проводное устройство обнаруживает атаки и отсылает Shun запрос контроллерам Cisco Wireless LAN, которые затем будут дистанцироваться от подобных клиентских устройств. Автономные или унифицированные точки доступа серии Cisco Aironet 1130AG поддерживают защиту подлинности управление кадрами 802,11 кадры управления инфраструктурой беспроводной сети. Эта сеть позволяет обнаруживать поддельные кадры из точек доступа или подложные точки доступа пытающиес получить доступ к инфраструктуре. Если точка доступа обнаруживает вредоносные атаки, инцидент будет генерироваться в точке доступа и доклады будут собраны на контроллера Cisco Wireless LAN, Cisco WCS, или CiscoWorks WLSE.
3.1 Особенности точек доступа Cisco Aironet 1130AG
Рассмотрим особенности точки доступа Cisco Aironet 1130AG, приведенные в таблице 7.
Таблица 7 - Особенности точки доступа Cisco Aironet 1130AG
ФункцияОписаниеПоддержка стандартов 802.11a и 802.11gПредоставляет скорость до 108 Mbps и поддержку предыдущих версий стандарта (802.11b).Поддерживает до 15 непересекающихся каналовПонижает риск потенциальных конфликтов с соседними точками доступа упрощает развертывание. Меньше ошибок передачи, большая пропускная способностьЛидирующий радио-дизайнОбеспечивает надежную передачу сигналов на большие расстояния. Смягчает эффект многолучевого распространения сигнала для более последовательного охватаИзменяемая мощность передачиПозволяет настроить охват точек доступа для различных требований. Низкая-dBm позволяет установливать точки с более тесными промежутками между точками доступа с высокой плотностью развертыванийАппаратная поддержка шифрования AESПредоставляет высокий уровень безопасности без снижения производительности
Продолжение табл. 7 Cisco Unified IDS/IPSЯвляется чатью Self-Defending Network и решением по обеспечению безопасности для проводных и беспроводных сетей. Когда доверенный клиент действует злонамеренно, проводной IDS обнаруживает атаку и высылает shun запрос контроллеру Cisco WLAN, который впоследствии дисассоциирует устройство.Управление Frame защитойЭта функция служит для авторизации по 802.11. Позволяет сети обнаруживать поддельные пакеты от точек доступа или or точки доступа выдающие себя за часть инфраструктуры. Если точка доступа обнаруживает атаку, инцедент будет записан в журнал и передан контроллеру Cisco WLAN, Cisco WCS, или CiscoWorks WLSE.IEEE 802.11i-совместимы; WPA2 и WPA-сертифицированныПомогает обеспечить совместимость безопасности в беспроводной локальной сети с клиентскими устройствами от других производителейНизкопрофильный дизайнСдержанный дизайн сочетается с окружающей средой. "Тихие" светодиоды, не обращающие на себя внимание при работе в обычном режиме до тех пор, пока не требуются какие-либо действияМногоцелевой блокируемый Монтажный кронштейнПростота установки на стены, потолок и над подвесным потолком. Крепление для замкаПоддержка питания по сети Support (IEEE 802.3af and Cisco Inline Power)Обеспечивает альтернативу источнику переменного тока. Упрощается установка за счёт подачи питания по кабелю Ethernet (PoE). Совместимость с источниками питания 802.3afCisco Зелёный комплектДля уменьшения упаковки продукта и сохранения окружающей среды, Cisco Aironet 1130 могут быть заказаны набором из 10ти точек. 3.2 Спецификация точек доступа Cisco Aironet 1130AG
Спецификация - термин, обозначающий набор требований и параметров, которым удовлетворяет некоторая сущность. В данном случае - требованиям к параметрам точки доступа. Анализ этой спецификации позволяет анализировать множество параметров (таблица 8).
3.3 Описание комплекта оборудования Cisco Aironet 1130AG.
Каждый комплект точки доступа состоит из:
Cisco Aironet серии 1130AG или точка доступа Cisco Aironet серии 1130AG в облегченной версии
Блок питания Cisco Aironet 1130AG Series( доп. опция)
Монтажный комплект
Одну монтажную пластину
Таблица 8 - Спецификация точек доступа Cisco Aironet 1130
Наим.СпецификацияНомер продукта в зелёной упаковкеAIR-AP1131-E-K9-10 (Cisco IOS Software)ПОCisco IOS Software Release 12.3(8)JA or later (autonomous).
Cisco IOS Software Release 12.3(11)JX or later (Lightweight Mode).
Cisco Unified Wireless Network Software Release 4.0 or later.Поддерживаемые скорости802.11a: 6, 9, 12, 18, 24, 36, 48, and 54 Mbps
802.11g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, and 54 MbpsСетевые стандартыIEEE 802.11a, 802.11b, and 802.11gUplink портAutosensing 802.3 10/100BASE-T EthernetЧастоты и каналыETSI
• 2.412 to 2.472 GHz; 13 channels
• 5.15 to 5.725 GHz; 19 channels
Непересекающиеся каналы802.11a: до 19802.11b/g: 3Чувствительность приемника (номинальная)802.11a:
6 Mbps: -87 dBm
9 Mbps: -86 dBm
12 Mbps: -85 dBm
18 Mbps: -84 dBm
24 Mbps: -80 dBm
36 Mbps: -78 dBm
48 Mbps: -73 dBm
54 Mbps: -71 dBm802.11g:
1 Mbps: -93 dBm
2 Mbps: -91 dBm
5.5 Mbps: -88 dBm
6 Mbps: -86 dBm
9 Mbps: -85 dBm
11 Mbps: -85 dBm
12 Mbps: -84 dBm
18 Mbps: -83 dBm
24 Mbps: -79 dBm
36 Mbps: -77 dBm
48 Mbps: -72 dBm
54 Mbps: -70 dBmПродолжение табл. 8 Доступные настройки мощности передатчика (Максимальная мощность установки будет варьироваться от канала и в соответствии с индивидуальными законами стран)802.11a:802.11b:802.11g:OFDM:
17 dBm (50 mW)
15 dBm (30 mW)
14 dBm (25 mW)
11 dBm (12 mW)
8 dBm (6 mW)
5 dBm (3 mW)
2 mW (2 dBm)
-1 dBm (1 mW)CCK:
20 dBm (100 mW)
17 dBm (50 mW)
14 dBm (25 mW)
11 dBm (12 mW)
8 dBm (6 mW)
5 dBm (3 mW)
2 dBm (2 mW)
-1 dBm (1 mW)OFDM:
17 dBm (50 mW)
14 dBm (25 mW)
11 dBm (12 mW)
8 dBm (6 mW)
5 dBm (3 mW)
2 dBm (2 mW)
-1 dBm (1 mW)Зона покрытияВ помещении (расстояние в открытом офисе)Вне помещений802.11a:802.11g:802.11a:802.11g:24 /54 Mbps
45 /48 Mbps
60 /36 Mbps
69 /24 Mbps
76 /18 Mbps
84 /12 Mbps
91 /9 Mbps
100 /6 Mbps30 / 54 Mbps
53 / 48 Mbps
76 / 36 Mbps
84 / 24 Mbps
100 /18 Mbps
107 /12 Mbps
110 /11 Mbps
114 /9 Mbps
122 /6 Mbps
128 /5.5 Mbps
134 /2 Mbps
137 /1 Mbps30 /54 Mbps
91 /48 Mbps
130 /36 Mbps
152 /24 Mbps
168 /18 Mbps
183 /12 Mbps
190 /9 Mbps
198 /6 Mbps37 /54 Mbps
107 /48 Mbps
168 /36 Mbps
198 /24 Mbps
229 /18 Mbps
244 /12 Mbps
250 /11 Mbps
267 /9 Mbps
274 /6 Mbps
277 /5.5 Mbps
287 /2 Mbps
290 /1 MbpsНоминальные и фактические значения пропускной способности зависят от целого ряда экологических факторов и могут сильно отличаться. Два раздвижных T-образных крепления (рекомендовано для монтажа на направляющих)
HASP-адаптер
Четыре 6 х 32 х 1/4 дюйма плоских винта Phillips
Крепежный винт 8 х 32 х 3 / 16 дюйма с цилиндрической головкой Phillips
8x1 дюймовых крепежных винтов 8 х 32 х 1 дюйм с цилиндрической головкой
Краткое руководство пользователя
Виды и элементы точки доступа приведены на рисунках 41-44.
Элементы общего вида точки доступа:
1Порт питания 48-VDC 2Порт Ethernet (RJ-45)3Отверстие защелки4Консольный порт (RJ-45)5Замочная скважина замка6Кнопка выбора режима7Индикаторы LEDs для Ethernet (E) радиосигнала(R) 8Светоиндикатор статуса
Рисунок 41 - Общий вид точки доступа с открытой защитной крышкой
Элементы монтажной пластины
1Отверстия для защелок2Отверстия для болтов (A, B, C)3Отверстие для болта (X)4Место заведения кабеля к точке доступа5Защелка крепления Т-образной стойки6Отверстие для защитного болта7Отверстие для механического замка
Рисунок 42 - Монтажная пластина. Вид сзади
Элементы Т-обазного крепления
1Запирающие болты Т-образного крепления2Отверстия для соединительных болтов с монтажной пластиной3Фиксатор Т-образного поручня (A, B или C)
Рисунок 43 - Т-образные крепления
Т-образное крепление позволяет устанавливать точку доступа скрытно внутри стен или под фальш-потолком, так как имеет возможность универсального крепления на направляющих. Принимая во внимание вышесказанное, в данном проекте Т-образное крепление не используется, но в случае расширения сетевой структуры не учитывать эту особенность нельзя.
Описание действий для установки Т-образного крепления
1Нажать для открытия2Нажать для защелкивания Рисунок 44 - Прикрепление Т-образных фиксаторов к направляющим
3.4 Последовательность действий при монтаже
В первую очередь необходимо соединить точку доступа с монтажной пластиной. Для этого требуется открыть защитную крышку точки доступа (рисунок 45). Рисунок 45 - Снятие защитной крышки точки доступа
После открытия необходимо завести кабель в отверстие для кабеля точки доступа и коммутировать его в порт RJ-45(рисунок 46).
Описание элементов защитного механизма точки доступа
1Замочная скважина точки доступа2Монтажная пластина3Зажим замочной скважины монтажной платы4Отверстие защитного винта5Отверстие защитного замка Рисунок 46 - Расположение отверстий для кабелей и пэдлока в точке доступа
Для закрепления точки доступа и монтажной пластины необходимо легким нажатием соединить эти элементы до щелчка. Описание элементов дано в таблице 15.
Двигая влево и вправо точку доступа найти и соединить вторую защелку с отверстием, легким нажатием соединить оба элемента, до щелчка.
Элементы механической защиты от взлома
1Крышка точки доступа в открытом виде2Защитный HASP-адаптер3Механический замок
Рисунок 47 - Установка замка и hasp-адаптера
На рисунке 47 показаны элементы механической защиты точки доступа.
Последовательность действий против механического взлома точки доступа:
Установить механический замок. Надавить на HASP-адаптер для открытия защелок пэдлока.
Вставить пэдлок в защелки и запереть до щелчка
Убедится в надежности запертого замка
Закрыть точку доступа.
3.5 Регистрация оборудования РЭС
Были поданы документы на регистрацию, и оборудование прошло сертификацию в управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Пермскому краю. Были получены свидетельства на все РЭС внутриофисного использования сроком действия на 10 лет.
Были успешно проведены монтажные и пуско-наладочные работы качественно и в срок, что подтвердило достоинство беспроводных технологий в целом и технологии Wi-Fi в частности.
Были утверждены графики мониторинга и осмотра оборудования, проведен курс лекций по общему разъяснению принципа работ, мер предосторожности и технике безопасности, разработанный отделом информатизации и связи Высшего арбитражного суда.
На данный момент оборудование успешно эксплуатируется и обслуживается вовремя и в срок.
3.6 Вывод по главе 3
Был произведен монтаж 12 точек доступа в соответствии с эскизным макетом, полученным в ходе расчетов. Точки доступа были установлены на 6 этажах в соответствии со схемой - основная точка доступа установлена в зале судебных заседаний, дополнительная - в комнате отдыха судей.
Оборудование было настроено в соответствии требованиям безопасности и защищено от механических вмешательств.
Были проведены работы по настройке мобильных рабочих мест, для корректной работы внутри доменной структуры суда.
Были выполнены следующие рекомендации к установке:
Каждая точка доступа была смонтирована на стену и защищена от механического взлома.
Т-образные крепления использованы не были, но были их возможности учтены на случай монтирования дополнительных точек доступа под фальш-потолком.
Каждая точка доступа использует технологию PoE
Заключение
В рамках дипломной работы был составлен проект внедрения беспроводной сети в структурированную кабельную систему здания Семнадцатого арбитражного апелляционного суда.
Настоящей работой предусматривается следующее:
В здании суда функционирует беспроводная сеть, по функциям доступа к данным ИВС не уступающая проводной сети, построенной на базе СКС
Существующая сеть не претерпит существенных изменений
Беспроводная сеть имеет возможности расширения своих функций Оборудование будет установлено, развернуто и настроено согласно поставленной задаче.
Для внедрения беспроводной сети использовалась технология Wi-Fi. Реализовано шифрование данной сети по стандарту WPA-PSK. Для получения наибольшей гибкости использования точки доступа расположены так, чтобы охватить максимально полезную площадь. В проекте предоставлены необходимые расчеты и чертежи, спецификация оборудования и материалов, необходимых для внедрения беспроводной сети. Кроме того, даны требования по монтажу, рекомендации по безопасности и эксплуатации системы.
Список использованных источников
1 Рошан П., Основы построения беспроводных локальных сетей стандарта 802.11: учеб. пособие / Рошан П., Д. Лиери. - М.: Вильямс, 2004. - 302 с.
2 Росс Д. Wi-Fi. Беспроводные сети. Установка. Настройка. Конфигурирование. Использование: учеб. пособие / Росс Джон. - М.: НТ-пресс, 2006. - 312 с.
3 Пролетарский В.А. Беспроводные сети Wi-Fi: учеб. пособие для вузов/ Пролетарский В.А., Баскаков И.В., Федотов Р.А. [и др.] - http://www.intuit.ru/department/network/wifi/
4 Баранов А.Д. Беспроводные сети - как это работает - http://www.cyberguru.ru/networks/wlan/wireless-lan-page1.html
5 Джамалипур А. Беспроводной мобильный Интернет. Архитектура, протоколы и сервисы / Джамалипур А. - М.:Техносфера, 2009. - 496 с.
6 Miller S. Wi-Fi Security / Miller S. - http: //http://www.nbcindia.com/ books/IT/net/wifisecurity.pdf
7 Нортрап Т. Официальный учебный курс Microsoft. Проектирование безопасности для сети Microsoft Windows Server 2003 (70-298): учеб. пособие для вузов. / Нотрап Т. - М.: ЭКОМ Паблишерз, 2008. - 616 с.
8 Иванова Т.И. Корпоративные сети связи / Т.И. Иванова. - М.: Эко-Трендз, 2001. - 282 с.
9 Вишневский В. Энциклопедия WiMAX. Путь к 4G: монография / Вишневский В., Портной С., Шахнович И. - М.: Техносфера, 2009. - 473 с.
10 Васильев В. Г Технология широкополосного беспроводного доступа WiMAX стандарта IEEE 802.16 / Васильев В. Г// "UNIDATA", 2007. - №6, С. 3-9
11 Болотов А. Архитектура WiMAX / Болотов А. - http://www.testskorosti.ru /wimax_architecture.html
12 Дансмор Б. Справочник по телекоммуникационным технологиям / Дансмор Б., Скандьер Т. - М: Вильямс, 2004. - 640 с.
13 Парк Д. Передача данных в системах контроля и управления / Парк Д., Маккей С., Райт Э. - М.: Группа ИДТ, 2007. - 480 с.
14 Пакет К. Создание масштабируемых сетей Cisco: учеб. пособие для вузов / Пакет К., Тир Д. - М.: Вильямс, 2004. - 792 с.
15 Корнюшин П.Н. Информационная безопасность -http://window.edu.ru/window_catalog/redir?id=40959&file=dvgu080.pdf
16 Хилл Б. Полный справочник по Cisco / Хилл Б. - М.: Вильямс, 2007. - 1088 с.
17 Мерритт М. Безопасность беспроводных сетей: учеб. пособие для вузов / Мерритт М., Поллино. Д - Екатеринбург: Компания АйТи, 2004 - 288 с.
18 Бадаев М. С. Моделирование кабельной системы / Бадаев М. // CAD-Master, 2007. - №38, С. 25 - 29
19 Сухмамбетов Г.В. Проектирование и монтаж ЛВС/СКС. Чистое питание - http://www.itconto.ru/services/network/sks_powersupply.shtml
20 Пыленков В.С. Краткое описание технологии создания виртуальных локальных сетей - http://www.tekoc.ru/text/vlan/vlans.html
21 Tierry G., ESS Training - http://www.ubitel.ru/files/ ess_2.1_user_trainig.pdf
Приложение А.
Текущая конфигурация Cisco Aironet 1130AG
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
hostname VAS-SUD109
enable secret 5 *********************************
no aaa new-model
no ip dhcp use vrf connected
ip dhcp excluded-address 172.17.109.1 172.17.109.20
ip dhcp excluded-address 172.17.109.1 172.17.109.25
ip dhcp excluded-address 172.17.109.1
ip dhcp pool wifi
network 172.17.109.0 255.255.255.0
default-router 172.17.109.254 dot11 ssid VAS-SUD109
authentication open authentication key-management wpa
wpa-psk ascii 7 ********************
!
dot11 ssid VAS-SUD20
authentication open authentication key-management wpa
wpa-psk ascii 7 ********************
power inline negotiation prestandard source
username 17aas password 7 ***********
bridge irb
interface Dot11Radio0
no ip address
no ip route-cache
encryption mode ciphers tkip ssid VAS-SUD109
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
encryption mode ciphers tkip dfs band 3 block
channel dfs
station-role root
bridge-group 1
Продолжение прил. А bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
interface BVI1
ip address 172.17.109.3 255.255.255.0
no ip route-cache
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
line con 0
line vty 0 4
login local
End
Приложение Б.
Текущая конфигурация Cisco Catalyst 4506
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
hostname RT01-11-3
logging buffered 50000 debugging
aaa new-model
aaa authentication login default local
aaa authorization console
aaa authorization exec default local username croc privilege 15 secret 5 ********************************
username 17aas privilege 15 secret 5 ********************************
ip subnet-zero
no ip domain-lookup
ip domain-name aas=perm.local
no file verify auto
spanning-tree mode rapid-pvst
spanning-tree extend system-id
spanning-tree vlan 19 priority 24576
power redundancy-mode redundant
vlan internal allocation policy ascending
interface Port-channel1
description -= Etherchannel to Core2 =-
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet1/1
description -= Etherchannel to core2 =-
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
interface GigabitEthernet1/2
description -= Etherchannel to core2 =-
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
interface GigabitEthernet2/1
description -= Active link to Right Stack 4 floor =-
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet2/2
description -= Active link to Left Stack 4 floor =-
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet2/3
interface GigabitEthernet2/4
Продолжение прил Б
interface GigabitEthernet2/5
interface GigabitEthernet2/6
interface GigabitEthernet3/1
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/2
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/3
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/4
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/5
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/6
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/7
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/8
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
Продолжение прил. Б
spanning-tree bpduguard enable
interface GigabitEthernet3/9
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/10
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/11
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/12
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/13
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/14
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/15
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface GigabitEthernet3/16
description -= Servers vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
Продолжение прил. Б
interface GigabitEthernet3/17
description -= Cisco Devices =-
interface GigabitEthernet3/18
description -= Cisco Devices =-
interface GigabitEthernet3/19
description -= Cisco Devices =-
interface GigabitEthernet3/20
description -= Cisco Devices =-
interface GigabitEthernet3/21
description -= Cisco Devices =-
interface GigabitEthernet3/22
description -= Active link to Left Stack 11 floor =-
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet3/23
description -= Active link to Right Stack 11 floor =-
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet3/24
description -= to PIX Unrestrictable Inside interface =-
switchport access vlan 11
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/1
description -= Emergency Trunk between 11 and 4 floor =-
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet4/2
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/3
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/4
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/5
description -= Users Printers Vlan 19 =-
switchport access vlan 19
Продолжение прил. Б
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/6
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/7
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/8
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/9
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/10
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/11
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/12
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/13
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
Продолжение прил. Б
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/14
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/15
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/16
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/17
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/18
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/19
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/20
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/21
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
Продолжение прил. Б
spanning-tree bpduguard enable
interface FastEthernet4/22
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/23
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/24
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/25
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/26
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/27
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/28
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/29
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
Продолжение прил. Б interface FastEthernet4/30
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/31
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/32
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/33
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/34
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/35
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/36
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/37
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/38
Продолжение прил Б
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/39
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/40
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/41
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/42
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/43
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/44
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/45
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/46
description -= Users Printers Vlan 19 =-
Продолжение прил. Б
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/47
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface FastEthernet4/48
description -= Users Printers Vlan 19 =-
switchport access vlan 19
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface Vlan1
no ip address
description -= Mgmt interface =-
ip address 10.0.10.1 255.255.255.0
interface Vlan11
description -= GW to PIX =-
ip address 10.0.11.2 255.255.255.0
standby 11 ip 10.0.11.1
standby 11 priority 110
standby 11 preempt
interface Vlan16
description -=WIFI network=-
ip address 172.17.109.250 255.255.255.0
standby 16 ip 172.17.109.254
standby 16 priority 110
standby 16 preempt
interface Vlan19
ip address 10.1.19.49 255.255.0.0
standby 19 ip 10.1.19.31
standby 19 priority 110
standby 19 preempt
no ip http server
line con 0
stopbits 1
line vty 0 4
end
5
Автор
perm.volk
Документ
Категория
Информационные технологии
Просмотров
9 149
Размер файла
2 855 Кб
Теги
диплом
1/--страниц
Пожаловаться на содержимое документа