close

Вход

Забыли?

вход по аккаунту

?

Buranova Kireeva Karaulova obespechenie bezopasnosti v besprovodnyh setyah na osnove oborudovaniya d-link 2018

код для вставкиСкачать
ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
Федеральное государственное бюджетное образовательное
учреждение высшего образования
«ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ И ИНФОРМАТИКИ»
Кафедра мультисервисных сетей и информационной
безопасности
М.А. Буранова, Н.В. Киреева, О.А. Караулова
Обеспечение безопасности в
беспроводных сетях на основе
оборудования D-Link
Методические указания
по выполнению лабораторных работ
Самара
2018
УДК 004.7 (075.8)
БКК 32.973.202
Б
Рекомендовано к изданию методическим советом ПГУТИ, протокол № 58, от
08.05.2018 г.
Рецензент:
заведующий кафедрой АЭС ФГБОУ ВО ПГУТИ,
д.т.н., проф. Росляков А.В.
Буранова, М.А., Киреева, Н.В., Караулова, О.А.
Б
Обеспечение безопасности в беспроводных сетях на основе оборудования D-
Link: методические указания по выполнению лабораторных работ / М.А. Буранова, Н.В.
Киреева, О.А. Караулова – Самара: ПГУТИ, 2018. – 27 с.
Методические
указания
по
выполнению
лабораторных
работ
«Обеспечение
безопасности в беспроводных сетях на основе оборудования D-Link» содержат описание
основных
возможностей
по
обеспечению
информационной
безопасности
в
беспроводных сетях на основе фильтрации MAC адресов и сегментации сети, приведен
расчет пригодности линии связи. Методические указания предназначены для студентов
факультета ТР направлений подготовки 10.05.02 (ИБТС), 10.03.01 (ИБ), 11.03.02 (ИКТ)
для выполнения лабораторных работ.
ISBN
©, Буранова М.А., Киреева Н.В., Караулова О.А., 2018
2
КОМПЛЕКС ЛАБОРАТОРНЫХ РАБОТ «ОБЕСПЕЧЕНИЕ
БЕЗОПАСНОСТИ В БЕСПРОВОДНЫХ СЕТЯХ НА
ОСНОВЕ ОБОРУДОВАНИЯ D-LINK»
1 Схема организации механизма фильтрации по MAC адресам
Одним из наиболее популярных способов обеспечения безопасности
беспроводных сетей стандарта Wi-Fi является механизм фильтрации по
MAC адресам. Например, для изучения настройки режима WPA/WPA2Personal и принципа работы фильтрации по MAC-адресам необходимо
следующее оборудование: 2 рабочие станции, 2 беспроводных адаптера
DWA-160 или DWA-582, точка доступа DAP-2690, кабель Ethernet, ПО –
анализатор трафика Microsoft Network Monitor 3.4. Схема организации
лабораторной работы представлена на рис. 1.
Рис. 1 – Обеспечение безопасности в беспроводных сетях
За основу при разработке лабораторной работы была взята методика,
представленная в курсе «Основы сетевых технологий. Часть 2: Основы
беспроводных сетей Wi-Fi».
3
Фильтрация по МАС-адресам (MAC Filtering) позволяет разрешать
или запрещать подключение клиентов к сети на основе их МАС-адресов.
Сетевой администратор может настроить на точке доступа список
разрешенных или запрещенных МАС-адресов. Если беспроводной клиент
пытается
подключиться,
точка
доступа
проверяет
заранее
сконфигурированный список и определяет, разрешено ли этому клиенту
подключаться к сети, или нет. Функция фильтрации по МАС-адресам может
использоваться с механизмами аутентификации, например, открытой
аутентификацией или аутентификацией с общим ключом.
1.1 Настройка режима WPA/WPA2-Personal
Сначала один конец Ethernet кабеля был подключен к LAN- порту
точки доступа, а другой к сетевому адаптеру рабочей станции ПК1. Затем
настроили статический IP-адрес на Ethernet-адаптере рабочей станции ПК1
– 192.268.0.1 с маской подсети 255.255.255.0. Зайдя на Web-интерфейс
точки доступа, изменили IP-адрес управления на 192.168.N.50 с маской
подсети 255.255.255.0. Сохранили и активировали настройки. Изменив IPадрес Ethernet-адаптера рабочей станции ПК1 на 192.168. N.1 с маской
подсети 255.255.255.0, уменьшили выходную мощность передатчика точки
доступа до 12,5 %.
Чтобы создать беспроводную сеть с SSID Dlink_N и настроить режим
WPA/WPA2-Personal, были предприняты следующие действия:

выбрать раздел Basic Settings – Wireless;

в списке Mode выбрать Access Point;

в поле Network Name (SSID) ввести DlinkN;

отключив автоматический выбор канала, выбрать в поле Auto
Channel Disable;

в поле Channel выбрать 6;

в меню Authentication выбрать WPA-Personal;
4

в списке WPA Mode выбрать Auto (WPA или WPA2);

в списке Cipher Mode выбрать AES;

в поле Pass Phrase ввести пароль Dlink Password;

в поле Confirm Pass Phrase пароль повторить;

нажав кнопку Save, сохранить настройки.
Рис. 2 – Окно настройки WPA/WPA2-Personal
Выбрать Configuration – Save and Activate. Отключить Ethernetкабель от точки доступа. Настроить на беспроводных интерфейсах
персональный компьютер 1 (ПК1) и ПК2 статические IP-адреса. Запустив на
рабочей станции ПК1 анализатор протоколов Microsoft Network Monitor,
выбрать интерфейс, с которого будет выполняться перехват трафика, и
активировать функцию мониторинга на беспроводном адаптере. Нажав Start
на панели инструментов, запустить захват трафика. На рабочей станции
ПК2 необходимо подключиться к беспроводной сети Dlink_N, затем
выбрать сеть с идентификатором SSID Dlink_N и подключиться. В окне
аутентификации был введен ключ безопасности, установленный при
создании данной беспроводной сети. Нажав на панели инструментов кнопку
Stop, остановить захват трафика. Проанализировать информацию о
5
настройках безопасности, передаваемых между точкой доступа и рабочей
станцией в процессе аутентификации. Выбрав кадр Probe response c SSID
Dlink_N,
установить
фильтр
WiFi.FrameControl.SubType= =5
WiFi.FrameControl.Type=
&&
=0
&&
Property. WiFi SSIDValue= =”
Dlink_N”. Затем отключиться от беспроводной сети и закрыть анализатор
протоколов.
1.2 Контроль доступа к беспроводной сети на основе МАС-адресов
Для того, чтобы посмотреть MAC-адреса беспроводных интерфейсов
ПК1 и ПК2 в командной строке ввести getmac. Затем подключить рабочую
станцию ПК1 к точке доступа Ethernet-кабелем. Зайдя на Web-интерфейс
выбрать Advanced Settings → Filters → Wireless MAC ACL. Включив
фильтрацию подключений к точке доступа по MAC-адресам, в поле Access
Control List выбрать Accept. В поле МАС Address ввести MAC-адрес рабочей
станции ПК2 и нажать кнопки Add и Save. Затем сохранить и активировать
настройки, и отключить Ethernet-кабель от точки доступа. На рабочих
станциях ПК1 и ПК2 подключиться к беспроводной сети Dlink_N. На
рабочей станции ПК1 произвести вход на Web-интерфейс точки доступа.
Выбрать Advanced Settings → Filters → Wireless MAC ACL. Изменить фильтр
на запрещающий (в поле Access Control List выбрать Reject и нажать кнопку
Save). Снова сохранить и активировать настройки, потом подключить на
рабочих станциях ПК1 и ПК2 к беспроводной сети Dlink_N. Для отключения
фильтрации подключений к точке доступа по MAC-адресам выбрать
Advanced Settings → Filters → Wireless MAC ACL. В поле Access Control List
выбрать Disable и нажать кнопку Save. Сохранить и активировать настройки
и подключиться на рабочих станциях ПК1 и ПК2 к беспроводной сети
Dlink_N.
6
1.3 Расчет беспроводной линии связи
Оценка пригодности линии связи имеет большое значение для
выявления возможных проблем в ходе установки, поэтому проектирование
беспроводных связей без нее практически невозможно. Базовое условие для
нормального функционирования линии связи – это наличие хорошего
энергетического потенциала.
Энергетический потенциал (Link budget) беспроводной линии связи
учитывает все усиления и потери уровня сигнала при его распространении
от передатчика к приемнику через беспроводную среду передачи, кабели,
разъемы и различные препятствия (стены, потолки, деревья и т.д.).
Полное уравнение энергетического потенциала линии связи можно
записать следующим образом:
Ptr  Ltr  Gtr  Lbf  Grecv  Lrecv  SOM  Precv ,
(1)
где:
Ptr – мощность передатчика, дБм (dBm);
Ltr – потери сигнала в антенном кабеле и разъемах передающего тракта, дБ
(dB);
Gtr – коэффициент усиления передающей антенны, дБ (dBi);
Lbf – потери передачи в свободном пространстве, дБ (dB);
Grecv – коэффициент усиления приемной антенны, дБ (dBi);
Lrecv – потери сигнала в антенном кабеле и разъемах приемного тракта, дБ
(dB);
SOM – запас на замирание сигнала (SOM, System Operating Margin), дБ
(dB);
Precv – чувствительность приемника при данной скорости передачи, дБм
(dBm).
Потери в свободном пространстве для линии связи с изотропными
антеннами можно рассчитать с помощью следующей формулы:
7
Lbf  20lg F  20lg D  K ,
(2)
где:
Lbf – основные потери передачи в свободном пространстве;
F – центральная частота канала, на котором работает система связи;
D – расстояние между двумя антеннами;
K – константа, которая зависит от единиц измерения частоты и расстояния.
Константа в выражении может меняться в зависимости от того, в
каких единицах выражены частота и расстояние:

для частоты, выраженной в ГГц, и расстояния, измеряемого в
километрах, константа равна 92,45;

для частоты, выраженной в МГц, и расстояния, измеряемого в
километрах, константа равна 32,4;

для частоты, выраженной в МГц, и расстояния, измеряемого в
метрах, константа равна -27,55.
Для других типов антенн следует учитывать коэффициент усиления.
В результате выражение для потерь в свободном пространстве примет
следующий вид:
Lbf  20lg F  20lg D  Gtr  Grecv  K ,
(3)
где:
Ltr – основные потери передачи в свободном пространстве;
F – центральная частота канала, на котором работает система связи;
D – расстояние между двумя антеннами;
Gtr – коэффициент усиления передающей антенны;
Grecv – коэффициент усиления приемной антенны;
K – константа, которая зависит от единиц измерения частоты и расстояния.
Энергетический запас на быстрые и медленные замирания определяет
надежность работы беспроводной линии связи. Поэтому при ее расчете
8
обязательно должен предусматриваться резерв на компенсацию этих
замираний − запас на замирание сигнала (SOM).
SOM определяется как разница между уровнем фактически
принимаемого сигнала и чувствительностью приемника, которая зависит от
выбранного типа модуляции.
SOM  Ptr  Ltr  Gtr  Lbf  Grecv  Lrecv  Precv ,
(4)
где:
SOM – запас на замирание сигнала (SOM, System Operating Margin), дБ
(dB);
Ptr – мощность передатчика, дБм (dBm);
Ltr – потери сигнала в антенном кабеле и разъемах передающего тракта, дБ
(dB);
Gtr – коэффициент усиления передающей антенны, дБ (dBi);
Lbf – потери передачи в свободном пространстве, дБ (dB);
Grecv – коэффициент усиления приемной антенны, дБ (dBi);
Lrecv – потери сигнала в антенном кабеле и разъемах приемного тракта, дБ
(dB);
Precv – чувствительность приемника на данной скорости передачи, дБм
(dBm).
Чем выше SOM, тем надежнее беспроводная линия связи. Считается,
минимальная величина запаса на замирание должна быть не меньше 10 дБ
и этого достаточно для инженерного расчета, но на практике часто
используют значение 20 − 30 дБ.
Для эффективной связи с помощью сантиметровых волн надо
обеспечить
беспрепятственную
линию
прямой
видимости
между
передатчиком и приемником. Однако это не всегда возможно, особенно при
построении беспроводных сетей вне помещений. Для определения того,
сколько пространства должно быть свободно от преград на линии связи
9
между передатчиком и приемником используется такое понятие, как зона
Френеля (Fresnel zone).
Ближайшая к линии, соединяющей передатчик с приемником, зона
называется первой зоной Френеля. Все естественные (земля, холмы,
деревья) и искусственные (здания, столбы) препятствия, попадающие в нее,
оказывают наиболее негативное влияние на уровень сигнала в результате
отражения, преломления, рассеивания или дифракции. При этом, чем
длиннее линия связи, тем важнее становится вычисление радиуса первой
зоны Френеля.
Для любой точки радиолинии радиус первой зоны Френеля можно
найти по формуле:
К  17,32 S  DF  ( S  D) ,
(5)
где:
R – радиус первой зоны Френеля, м;
S – расстояние от антенны передатчика до самой высшей точки
предполагаемого препятствия, км;
D – расстояние от самой высшей точки предполагаемого препятствия до
антенны приемника, км;
F – частота, ГГц.
Учитывая тот факт, что максимальный радиус первая зона Френеля
имеет в точке, равноудаленной от обеих антенн, получим упрощенную
формулу для его вычисления:
R  17,32 D4 F (м) ,
(6)
где:
R – радиус первой зоны Френеля, м;
D – расстояние между антеннами, км;
F – частота, ГГц.
Если в области, радиус которой составляет 60% первой зоны Френеля,
отсутствуют преграды то при расчете радиолинии можно ограничиться
10
учетом потерь сигнала в свободном пространстве. Для достижения этого
высота подвеса антенн приемника и передатчика должна быть такой, чтобы
вдоль радиолинии не было ни одной точки, расстояние от которой до
препятствия было бы меньше, чем 0,6 радиуса первой зоны Френеля.
Следует отметить, что земля также является одним из препятствий.
Для упрощенного вычисления радиуса области, составляющего 60%
радиуса первой зоны Френеля, умножим выражение предыдущей формулы
на коэффициент 0,6:
(60)  10,4 D4 F (м) ,
(7)
Другие источники устанавливают более жесткие требования:
преграды должны отсутствовать в 80% первой зоны Френеля. Для
упрощенного вычисления радиуса области, составляющего 80% радиуса
первой зоны Френеля, нужно умножить выражение для упрощенного
вычисления максимального радиуса первой зоны Френеля на коэффициент
0,8:
(80)  13,86 D4 F (м) ,
(8)
Следует понимать, что радиус первой зоны Френеля не является
высотой установки антенн, но используется для ее вычисления. Определяя
высоту установки антенн, следует учитывать также кривизну земной
поверхности.
Ее можно рассчитать, используя формулу:
H earth  D 268(м) ,
(9)
где H earth − кривизна земной поверхности, м;
D − расстояние между антеннами, км.
Тогда минимальная высота установки антенн над препятствиями, с
учетом того, что 60% первой зоны Френеля свободно от преград, будет
вычисляться по формуле:
H ant  10,4 D4 F  D268(м) ,
11
(10)
где H ant − высота установки антенны, м;
D − расстояние между антеннами, км;
F − частота, ГГц.
Если необходимо рассчитать высоту установки антенны при
отсутствии препятствий в 80% первой зоны Френеля, то коэффициент 10,4
в формуле (10) надо заменить на 13,86.
Необходимо провести оценку пригодности линии связи для
выявления
возможных
проблем
в
ходе
установки
беспроводного
оборудования и оценить возможность работы канала связи длиной L км (по
вариантам согласно таблице 1) между точкой доступа DAP-2690 и
беспроводным клиентом с адаптером DWA-182 на максимальной скорости,
поддерживаемой беспроводной сетью (300 Мбит/с). Устройства работают
на 6 канале (центральная частота 2437 МГц).
Пример решения
Записать технические характеристики DAP-2690 и DWA-182:
•
Мощность передатчика на всех скоростях DAP-2690: 20 dBm;
•
Мощность передатчика DWA-182 на скорости 300 Мбит/с:
15 dBm;
•
Мощность передатчика DWA-182 на скорости 1 Мбит/с:
19 dBm;
•
Чувствительность DAP-2690 на скорости 300 Мбит/с: -69 dBm;
•
Чувствительность DAP-2690 на скорости 1 Мбит/с: -96 dBm;
•
Чувствительность DWA-182 на скорости 300 Мбит/с: -61 dBm;
•
Чувствительность DWA-182 на скорости 1 Мбит/с: -87 dBm;
•
Коэффициент усиления штатной антенны DAP-2690: 10 dBi.
•
Коэффициент усиления штатной антенны DWA-182: 0 dBi;
•
Потерь в антенно-фидерном тракте, т.е. между беспроводными
устройствами и их антеннами, нет (0 дБм).
12
Оценена линия связи в направлении от точки доступа к клиенту.
Найдены потери в свободном пространстве, подставив значения в формулу
(2):
20lg(2437)  20lg(0,5)  32,4  94,1 дБ
Для того, чтобы рассчитать запас на замирание для скорости 300
Мбит/с., необходимо подставить значения в формулу (4):
SOM  20  0  10  94,1  0  0  (61)  3,1 дБ
Оценена линия связи в обратном направлении — от клиента к точке
доступа.
Для расчета запаса на замирание подставлены значения в формулу (4):
SOM  15  0  0  94,1  10  0(69)  0,1 дБ
Вывод: запас на замирание линии связи в обоих направлениях намного
меньше 10 дБм, что говорит о ее недостаточном энергетическом
потенциале.
Разграничить
производительность
доступ
и
к
разным
защищенность
сети
ресурсам,
позволяет
повысить
сегментация
беспроводной сети.
В архитектуре WLAN группа взаимодействующих между собой
точек доступа и клиентских устройств определяется идентификатором
SSID. Для взаимодействия устройств друг с другом в их настройках должны
быть указаны одинаковые параметры (идентификатор SSID, настройки
безопасности). В беспроводной сети можно определить несколько
идентификаторов SSID. Если точка доступа поддерживает функцию
Multiple SSID (Multi-SSID), то на базе любого ее физического
беспроводного интерфейса может быть создано несколько виртуальных
интерфейсов,
которые
поддерживают
разные
SSID
(количество
виртуальных интерфейсов зависит от модели точки доступа). Таким
образом, различные типы клиентов беспроводной сети (например, гости,
13
сотрудники) или трафик отдельных приложений (например, голос или
видео) можно объединить в логические группы на основе разных SSID.
Клиенты, которые подключены к беспроводным интерфейсам с
разными SSID, могут передавать данные друг другу в пределах одной точки
доступа. Для того чтобы трафик разных групп клиентов был полностью
изолирован друг от друга, SSID беспроводных интерфейсов (физических
и/или виртуальных) нужно привязать к разным виртуальным локальным
сетям (VLAN). Таким образом, пара SSID/VLAN позволит разбить
беспроводную сеть на сегменты и для каждого сегмента определить свои
настройки безопасности, контроля широковещательных сообщений и
качества обслуживания (QoS).
Точку доступа можно рассматривать как коммутатор, имеющий
порты: управление (Mgmt), локальная сеть (LAN), MSSID и WDS
(количество портов MSSID и WDS зависит от модели точки доступа).
Любой порт точки доступа может быть настроен как Tag (маркированный),
Untag (немаркированный) или Not member. Функция Untag позволяет
работать с теми сетевыми устройствами виртуальной сети, которые не
понимают тегов в заголовке кадра. Функция Tag позволяет настраивать
VLAN между несколькими точками доступа или между точками доступа и
коммутаторами, поддерживающими стандарт IEEE 802.1Q. Функция Not
member используется для указания портов, которые не включены в VLAN.
Каждый порт точки доступа имеет идентификатор порта VLAN
(PVID). Этот параметр используется для того, чтобы определить, в какую
VLAN точка доступа направит входящий немаркированный кадр с
подключенного к порту сегмента, когда кадр нужно передать на другой
порт. Внутри точки доступа в заголовки всех немаркированных кадров
беспроводных клиентов добавляется идентификатор VID, равный PVID
порта MSSID, на который они были приняты. Этот механизм позволяет
одновременно существовать в одной сети устройствам с поддержкой и без
поддержки стандарта IEEE 802.1Q.
14
Если на точке доступа не настроены VLAN, то все порты по
умолчанию входят в одну VLAN с PVID = 1.
В сетях масштаба предприятия обычно применяются как проводные,
так и беспроводные сегменты сети. В этом случае клиенты беспроводной
сети могут быть выделены в отдельную VLAN или стать членами
соответствующих VLAN проводной части сети.
15
Лабораторная работа № 1
«Настройка сегментации сети»
1. Цель работы
Изучение настроек оборудования D-Link. Осуществление настроек
сегментации сети и коммутатора беспроводной сети (Multi-SSID и VLAN на
точке доступа DAP-2310). Исследование работоспособности сети.
2. Задание к лабораторной работе
1. Изучить схему и компоненты сети.
2. Настроить сегментацию сети.
3. Настроить коммутатор на основе стандарта IEEE 802.1Q.
4. Осуществить проверку работоспособности сети.
3. Порядок выполнения работы
Для настройки Multi-SSID и VLAN требуется использование рабочей
станции, беспроводной адаптер DWA-160 или DWA-582, точка доступа
DAP-2690, коммутатор DES-1100-16 и кабель Ethernet (рис. 3).
Рис. 3 – Общая схема сети. Настройка сегментации сети
16
Для настройки точки доступа рабочую станцию ПК1 необходимо
подключить к LAN-порту точки доступа. Настроить статический IP-адрес
на Ethernet-адаптере рабочей станции ПК1 — 192.168.0.1 с маской подсети
255.255.255.0. Зайти на Web-интерфейс точки доступа, изменив IP-адрес
управления на 192.168.N.50 (по вариантам согласно таблице 2) с маской
подсети 255.255.255.0. Сохранить и активировать настройки. Изменить IPадрес Ethernet-адаптера рабочей станции ПК1 на 192.168.N.1 с маской
подсети 255.255.255.0.
После этого повторно зайти на Web-интерфейс точки доступа и
уменьшить выходную мощность передатчика точки доступа до 12,5%.
Включить поддержку функции Multi-SSID и создать два сегмента
беспроводной сети с SSID guest_N и sales_N.
В первую очередь выбрать Advanced Settings → Multi-SSID,
активизировать функцию Multi-SSID, поставив галочку в Enable Multi-SSID.
В выпадающем списке Index выбрать SSID1, потом в поле SSID ввести
guest_N. На следующем этапе в выпадающем меню Security выбрать WPAPersonal, а в поле PassPhrase ввести пароль DlinkPassword и повторить его
в поле Confirm PassPhrase, затем нажать кнопку Add (рис. 4).
Рис. 4 – Создание сегмента сети с SSID guest_0
17
Аналогичным образом создать SSID2 sales_N.
•
в выпадающем списке Index выбрать SSID2;
•
в поле SSID ввести sales_N;
•
в выпадающем меню Security выбрать WPA-Personal;
•
в поле PassPhrase ввести пароль DlinkQwerty и повторить его в
поле Confirm PassPhrase;
•
нажать кнопку Add.
Сохранить созданные SSID, нажав кнопку Save (рис. 5).
Рис. 5 – Созданные сегменты с SSID guest_0 и SSID sales_0
Настроить привязки SSID и VLAN. Трафик беспроводной сети с SSID
guest_N должен направляться в VLAN guest_N (VID 10), а беспроводной сети
с SSID sales_N — в VLAN sales_N (VID 20). Порты MSSID 1 (S-1) и MSSID
2 (S-2) являются немаркированными портами VLAN guest_N и VLAN
sales_N соответственно. LAN-порт (LAN) является маркированным портом
VLAN guest_N и VLAN sales_N.
Зайти во вкладку Advanced Settings → VLAN и включить поддержку
VLAN, выбрав Enable в поле VLAN Status. Нажать кнопку Save (рис. 6).
Удалить порты из VLAN по умолчанию (default). Во вкладке VLAN
List нажать Edit.
18
Рис. 6 – Редактирование VLAN по умолчанию
В открывшемся окне установить галочки Not Member для портов S-1
и S-2, нажать кнопку Save (рис. 7).
Рис. 7 – Удаление портов из VLAN по умолчанию
Выбрать вкладку Add/Edit VLAN, в поле VLAN ID (VID) ввести 10, в
поле VLAN Name — guest_N. LAN-порт включить в VLAN как
маркированный, MSSID-порт S-1 — как немаркированный. Остальные
MSSID и WDS-порты отметить как Not Member и нажать кнопку Save.
19
Рис. 8 – Создание VLAN guest_0
Таким же образом создать VLAN sales_N c VID 20. Настроили LANпорт как маркированный, MSSID-порт S-2 как немаркированный.
Остальные MSSID и WDS-порты отметили
как Not Member. Затем
посмотрели созданные VLAN, зайдя во вкладку Advanced Settings → VLAN
→ VLAN List.
Рис. 9 – Созданные VLAN
20
После этого назначить PVID немаркированным MSSID-портам S-1 и
S-2. Выбрать вкладку PVID Setting. В поле S-1 ввести 10, в поле S-2 – 20.
Нажать кнопку Save. Сохранить и активировать настройки (рис.10).
Рис. 10 – Настройка PVID для MSSID-портов S-1 и S-2
3.2 Настройка коммутатора на основе стандарта IEEE 802.1Q
Подключить рабочую станцию ПК1 к порту 1 коммутатора. На
рабочей станции ПК1 изменить статический IP-адрес на 10.90.90.92 с
маской подсети 255.0.0.0.
Зайти на Web-интерфейс коммутатора и запустили Web-браузер
(Internet Explorer, Mozilla Firefox), в адресной строке которого указать IPадрес
интерфейса
управления
коммутатора
по
умолчанию:
http://10.90.90.90.
В появившемся окне аутентификации, в поле Password ввести admin и
нажать кнопку Ок. Включить функцию 802.1Q глобально на коммутаторе.
21
Выбрать раздел VLAN → 802.1Q VLAN и установить галочку 802.1Q VLAN
→ Enabled. Нажали кнопку Apply (рис. 11).
Рис. 11 – Включение функции 802.1Q глобально на коммутаторе
Удалить порты из VLAN по умолчанию (default VLAN) и выбрать
раздел VLAN → 802.1Q VLA, нажать ссылку VID 1.
Рис. 12 – Редактирование VLAN по умолчанию
22
В открывшемся окне напротив Not Member установить галочки для
портов 5-8 и 13-16 и нажать кнопку Apply (рис. 13).
Рис. 13 – Удаление портов из VLAN по умолчанию
Создать VLAN с именем sales_N и настроить порты 5-8 как
немаркированные, порт 2 как маркированный. Для этого нажать кнопку Add
VID.
В поле VID ввели 20, в поле VLAN Name – sales_N, установить галочки
напротив Untagged для портов 5-8, напротив Tagged – для порта 2. Нажать
кнопку Apply.
Создать VLAN с именем guest_N и VID 10, добавить порты 13-16 в
VLAN как немаркированные, порт 2 как маркированный.
Затем посмотреть созданные VLAN на коммутаторе. Выбрать VLAN
→ 802.1Q VLAN.
Рис. 14 – Добавление портов в VLAN sales_0
23
3.3 Проверка работоспособности схемы
Для этого настроить на беспроводных интерфейсах ПК3 и ПК4
статические IP-адреса в соответствии с рис. 2 и номером рабочей группы.
Затем настроить на адаптерах Ethernet ПК1 и ПК2 статические IPадреса в соответствии с рис. 2 и номером рабочей группы.
Рабочую станцию ПК1 подключить к порту 6 коммутатора, а рабочую
станцию ПК2 − к порту 16. Рабочую станцию ПК3 подключить к
беспроводной сети sales_N, а рабочую станцию ПК4 − к беспроводной сети
guest_N.
Проверить доступность соединения между рабочими станциями
командой ping.
24
Лабораторная работа № 2
«Настройка сегментации распределенной сети»
1. Цель работы
Изучение компонентов распределенной сети. Настройка измененных
IP-адресов управления точек доступа AP1 и AP2. Исследование
работоспособности распределенной сети.
2. Задание к лабораторной работе
1. Изучить схему и компоненты распределенной сети.
2. Изменить IP-адрес управления точек доступа AP1 и AP2.
3. Настроить точку доступа AP1.
4. Настроить точку доступа AP2.
5. Осуществить проверку работоспособности сети.
3. Порядок выполнения работы
Рис. 1 – Общая схема сети. Настройка сегментации распределенной сети
25
2.1 Изменение IP-адреса управления точек доступа AP1 и AP2
Подключить рабочую станцию ПК1 к LAN-порту точки доступа AP1.
Настроить статический IP-адрес на Ethernet-адаптере рабочей станции
ПК1 — 192.168.0.1 с маской подсети 255.255.255.0.
Произвести вход на Web-интерфейс точки доступа AP1 и изменить IPадрес управления на 192.168.N.50 с маской подсети 255.255.255.0.
Сохранить и активировать настройки.
Подключить рабочую станцию ПК1 к LAN-порту точки доступа AP2.
Зайти на Web-интерфейс точки доступа AP2, изменив IP-адрес
управления на 192.168.N.51 с маской подсети 255.255.255.0. Снова
сохранить и активировать настройки.
Изменить IP-адрес Ethernet-адаптера рабочей станции ПК1 на
192.168.N.1 с маской подсети 255.255.255.0.
2.2 Настройка точки доступа AP1
Подключить ПК1 к LAN-порту точки доступа АP1. Произвести вход
на Web-интерфейс и уменьшить выходную мощность передатчика точки
доступа до 12,5%. Настроить режим WDS with AP, чтобы точки доступа
могли взаимодействовать между собой по типу мостового соединения с
возможностью подключения беспроводных клиентов.
•
выбрать вкладку Basic Settings → Wireless;
•
в поле Mode выбрать WDS with AP;
•
в поле Network Name (SSID) ввести DlinkWDS_N;
•
в поле Channel выбрать 11;
•
в окне Remote AP MAC Address ввести МАС-адрес точки доступа
•
в выпадающем меню Authentication выбрать WPA-Personal;
AP2;
26
•
в поле PassPhrase ввести пароль DlinkPassword, повторить его в
поле ConfirmPassPhrase;
•
сохранить настройки, нажав кнопку Save.
Включить поддержку функции Multi-SSID и создать два сегмента
беспроводной сети с SSID guest_N и sales_N.
•
зайти во вкладку Advanced Settings → Multi-SSID;
•
активизировать функцию Multi-SSID, поставив галочку в Enable
Multi-SSID;
•
в выпадающем списке Index выбрать SSID1;
•
в поле SSID ввести guest_N;
•
в выпадающем меню Security выбрать WPA-Personal;
•
в поле PassPhrase ввести PasswordDlink и повторить его в поле
Confirm PassPhrase;
•
нажать кнопку Add.
Аналогичным образом создать SSID2 sales_N.
•
в выпадающем списке Index выбрать SSID2;
•
в поле SSID ввести sales_N;
•
в выпадающем меню Security выбрать WPA-Personal;
•
в поле PassPhrase ввести DlinkQwerty и повторить его в поле
Confirm PassPhrase;
•
нажать кнопку Add.
•
сохранить созданные Multi-SSID, нажав кнопку Save.
Настроить привязку SSID и VLAN. Трафик беспроводной сети с SSID
guest_N должен направляться в VLAN guest_N (VID 10), а беспроводной сети
с SSID sales_N — в VLAN sales_N (VID 20). Порты MSSID 1 (S-1) и MSSID
2 (S-2) обеих точек доступа являются немаркированными портами VLAN
guest_N и VLAN sales_N соответственно. Порт WDS (W-1) обеих точек
доступа является маркированным портом VLAN guest_N и VLAN sales_N.
•
зати во вкладку Advanced Settings → VLAN и включить
поддержку VLAN, выбрав Enable в поле VLAN Status. Нажать кнопку Save;
27
•
удалить порты из VLAN по умолчанию (default). Во вкладке
VLAN List нажать Edit;
•
в открывшемся окне установить галочки Not Member для портов
S-1, S-2 и W-1. Нажать кнопку Save.
•
выбрать вкладку Add/Edit VLAN. В поле VLAN ID (VID) ввести
10, в поле VLAN Name — guest_N. WDS-порт W-1 включить в VLAN как
маркированный, MSSID-порт S-1 — как немаркированный. Остальные
MSSID и WDS-порты отметить как Not Member и нажать кнопку Save.
Таким же образом создать VLAN sales_N c VID 20. Настроить WDSпорт W-1 как маркированный, MSSID-порт S-2 как немаркированный.
Остальные MSSID и WDS-порты отметить как Not Member.
Посмотреть созданные VLAN, зайдя во вкладку Advanced Settings →
VLAN → VLAN List. Назначить PVID немаркированным MSSID-портам S-1
и S-2. Выбрать вкладку PVID Setting. В поле S-1 ввели 10, в поле S-2 – 20.
Нажать кнопку Save.
Для
последующей
проверки
работоспособности,
установить
ограничение на устройства, которые могут ассоциироваться с точкой
доступа.
Выбрать Advanced Settings → Filters → Wireless MAC ACL и включить
фильтрацию подключений к точке доступа по МАС-адресам — в поле
Access Control List выбрать Accept. В поле МАС Address ввести МАС-адрес
рабочей станции ПК1 и нажать кнопку Add; далее в поле МАС Address
ввести МАС-адрес рабочей станции ПК2 и нажать кнопки Add и Save. Потом
сохранить и активировать настройки. Выбрать Configuration → Save and
Activate.
2.3 Настройка точки доступа AP2
28
Выполнить настройку точки доступа AP2 аналогично настройке точки
доступа AP1. Затем для последующей проверки работоспособности,
установить ограничение на устройства, которые могут ассоциироваться с
точкой доступа.
Выбрать Advanced Settings → Filters → Wireless MAC ACL. Включить
фильтрацию подключений к точке доступа по МАС-адресам — в поле
Access Control List выбрать Accept. В поле МАС Address ввести МАС-адрес
рабочей станции ПК3 и нажать кнопку Add; далее в поле МАС Address
ввести МАС-адрес рабочей станции ПК4 и нажать кнопки Add и Save.
Убедиться, что WDS-соединение установлено. Проверить на точках доступа
AP1 и AP2 информацию во вкладке Status → WDS Information.
2.4 Проверка работоспособности схемы
Настроить статические IP-адреса на беспроводных интерфейсах ПК1,
ПК2, ПК3 и ПК4.
Рабочие станции ПК1 и ПК3 подключить к беспроводной сети
sales_N, рабочие станции ПК2 и ПК4 − к беспроводной сети guest_N.
Удостовериться, что ПК1 и ПК2 подключиться к точке доступа AP1,
ПК3 и ПК4 − к точке доступа AP2. Для этого на точках доступа зайти в
раздел Status → Client Information.
Отключить кабель Ethernet от ПК1. Проверить доступность
соединения между рабочими станциями командой ping.
Контрольные вопросы.
1. Каким образом происходит фильтрация по MAC-адресам.
2. Поясните, как осуществляется настройка режима WPA/WPA2Personal.
3. Что такое беспроводная сеть связи.
29
4. Какой параметр характеризует нормальное функционирование
линии связи.
5. Что определяет надежность работы беспроводной линии связи.
6. Что такое идентификатор SSID.
7. Каким образом происходит проверка работоспособности сети?
8. Поясните метод WPA/WPA2-Personal.
9. Назовите способы обеспечения безопасности беспроводных сетей
стандарта Wi-Fi.
10. Перечислите компоненты распределенной сети.
11. Поясните настройку точки доступа AP1.
12. Поясните настройку точки доступа AP2.
13. Как настроить привязку SSID и VLAN?
Таблица 1
Варианты выбора номера сети
Номер варианта
1
2
3
4
5
6
7
Номер сети
3
4
5
6
7
8
9
Таблица 2
Варианты расстояния между точкой доступа и беспроводным клиентом
Номер варианта
1
2
3
4
5
6
7
Расстояние
0,4
0,5
0,6
0,7
0,8
0,9
1
Список литературы.
1. 1. Синицын Ю. И. Компьютерные сети [Электронный ресурс]/Ю.
И. Синицын— Электрон. текстовые данные.— Оренбург: ОГУ, 2014; Режим
доступа: http://www.iprbookshop.ru/51533.
2.
Компьютерные сети [Текст] : учебник / В. Г. Карташевский [и
др.] ; ПГУТИ. - Самара : ИНУЛ ПГУТИ, 2016. - 265 с. : ил.
30
3.
Компьютерные
сети.
Принципы,
технологии,
протоколы
[Текст]: учебное пособие для вузов / В. Г. Олифер, Н. А. Олифер. - 4-е изд.
- СПб.: Питер, 2014. - 944 с.
4.
Беспроводные
сети
Wi-Fi.
-
М.:
Интернет-университет
информационных технологий, Бином. Лаборатория знаний, 2013. - 216 c.
5. Брэгг, Р. Безопасность сетей: полное руководство / Р. Брэгг, М.
Родс-Оусли, К. Страссберг. - М.: Эком, 2015. - 912 c.
31
Документ
Категория
Без категории
Просмотров
0
Размер файла
1 474 Кб
Теги
oborudovani, buranova, link, osnovy, kireevu, obespechenii, besprovodnoj, karaulova, bezopasnosti, 2018, setyam
1/--страниц
Пожаловаться на содержимое документа