close

Вход

Забыли?

вход по аккаунту

?

3G COMMUNICATION

код для вставкиСкачать
Построение беспроводных сетей
Утко Павел
Что такое беспроводные сети?
• Традиционные проводные сети: Данные
передаются по витой паре, коаксиальному кабелю,
оптоволокну и пр. Требуют затрат на прокладку
кабеля
• Беспроводные сети: Данные передаются по
воздуху, и сигнал для приема доступен для
мобильных пользователей
• Беспроводные сети обладают гибкостью при
конфигурации и расширении. Могут служить как
добавлением, так и заменой проводных сетей при
построении сетевой инфраструктуры
• Пользователи могут свободно перемещаться, т.к.
беспроводные сети обеспечивают доступ к сетевым
ресурсам компании из любого места.
• Беспроводные сети не только обеспечивают
мобильный доступ, но и сами мобильны, т.к. можно
легко переместить сеть в другое место. Быстрая и
лёгкая инсталляция.
Сферы применения беспроводных сетей
• Внутриофисные сети
• Домашние сети
• Выставочные комплексы и конференц-залы
• Доступ к Интернет в гостиницах, кафе, библиотеках,
студенческих городках и т.д. – “hot spot”
• Сети провайдеров Интернет: подключение клиентов
там, где нет возможности протянуть кабель
• «Гостевой» доступ к корпоративной сети для клиентов
и партнеров
Семейство стандартов беспроводных сетей
IEEE 802.11
Стандарт IEEE 802.11 входит в серию стандартов
IEEE 802.X, относящихся к сетям и коммуникациям, сюда
также входят такие стандарты, как 802.3 Ethernet, 802.5 Token
Ring и т.д.
Т.о., стандарт IEEE 802.11 определяет компоненты и
характеристики сети на физическом уровне передачи данных
и на уровне доступа к середе с учетом беспроводного способа
передачи данных и возможности взаимодействия с
существующими сетями.
Стандарты беспроводных сетей - IEEE 802.11b
•
Текущий наиболее распространенный стандарт, совместим с
предыдущим стандартом IEEE 802.11
•
Работает на частоте 2,4 ГГц
•
Используется метод прямой последовательности с
разнесением сигнала по широкому диапазону (DSSS)
•
Поддерживает скорость соединения 1, 2, 5.5, 11 Мбит/с
(реальная скорость передачи данных от 4 до 6 Мбит/с),
автоматический или фиксированный выбор скорости
•
Защита данных при помощи шифрования WEP (wired
equivalent privacy)
Стандарты беспроводных сетей - IEEE 802.11a
•
Более сложная передовая технология
•
Работает на частоте 5 ГГц
•
Используется метод мультиплексирования с ортогональным
делением частот (OFDM)
•
Поддерживает скорость соединения до 54 Мбит/с (48, 36, 24,
18, 12, 9 и 6 Мбит/с), реальная скорость передачи данных от
22 до 26 Мбит/с
•
12 одновременно доступных для работы каналов
•
Защита данных при помощи шифрования WEP (wired
equivalent privacy)
Стандарты беспроводных сетей - IEEE 802.11g
•
Обратная совместимость с устройствами стандарта IEEE
802.11b
•
Работает на частоте 2.4 ГГц
•
Используется метод прямой последовательности с
разнесением сигнала по широкому диапазону (DSSS) и метод
мультиплексирования с ортогональным делением частот
(OFDM)
•
Скорость соединения до 54 Мбит/с, автоматический или
фиксированный выбор скорости
•
Защита данных при помощи WPA (Wi Fi Protected Access),
802.1x
Скорость передачи
•
IEEE 802.11a поддерживает скорости
6, 9, 12, 18, 24, 36, 48, 54 Мбит/с
•
IEEE 802.11b поддерживает скорости
1, 2, 5.5, 11 Мбит/с
•
IEEE 802.11g поддерживает скорости
1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54 Мбит/с
•
Более высокая скорость улучшает пропускную способность
•
Более низкая скорость увеличивает дистанцию и
надежность
•
Автоматический или фиксированный выбор скорости
Количество каналов для
различных стран. 2.4ГГц
Страна
Диапазон частот, ГГц
Число каналов
Беларусь
2.400 – 2.4835
13
Россия
2.412 - 2.4835
13
Европа (за исключением
Франции и Испании)
2.412 - 2.472
13
Франция и Испания
2.457 - 2.472
4
FCC (США и Канада)
2.412 - 2.462
11
Япония
2.412 - 2.484
14
Китай, Корея
2.412 - 2.472
13
Чили
2.412 - 2.472
13
Австралия
2.412 - 2.472
13
Южная Африка
2.412 - 2.472
13
Юго-Восточная Азия (включая
Сингапур, Малайзию, Таиланд)
2.412 - 2.472
13
Частоты каналов
Канал
1
2
3
4
5
6
7
8
9
10
11
12
13
Частота
2,412 ГГц
2,417 ГГц
2,422 ГГц
2,427 ГГц
2,432 ГГц
2,437 ГГц
2,442 ГГц
2,447 ГГц
2,452 ГГц
2,457 ГГц
2,462 ГГц
2,467 ГГц
2,472 ГГц
Каждый канал занимает частотный диапазон в 22 МГц.
Например, канал 1 работает в диапазоне от 2,401ГГц до 2,423ГГц,
т.е 2,412ГГц ± 11МГц.
Частоты каналов
3 MHz
Ch6
Ch11
2480
2475
2470
2465
2460
2450
2440
2435
2430
2425
2420
2415
2410
2405
2400
2483.5
5 channels
5 channels
Ch1
22MHz
2445
2400
22MHz
2455
22MHz
3 MHz
Количество каналов для
различных стран. 5ГГц
Страна
Диапазон частот, ГГц
Число каналов
5,150-5,350
5,650-5,725
5,470-5,725 (внешн)
8
9
11
5,150-5,250
5,725-5,825
4
4
5,150–5,350
5,470–5,725
8
11
Австралия
5,725–5,825
4
Китай
5,725–5,825
4
Япония, Сингапур
5,150–5,350
8
FCC (США и Канада)
5,150-5,350
5,725-5,825
8
4
Корея
5,150–5,350
5,470–5,650
5,725–5,825
8
8
4
Латинская Америка
5,150-5,350
5,470-5,725
8
11
Беларусь
Россия
Европейский союз
Сравнение стандартов беспроводных сетей
802.11b
802.11a
802.11g
Стандарт принят
Сент. 1999
Сент. 1999
Июль 2003
Полоса пропускания
83.5 МГц
300 МГц
83.5 МГц
Полоса частот (ГГц)
2.40 – 2.4835
5.15 – 5.35,
5.725 – 5.825
2.40 –
2.4835
Кол-во
непересекающихся
каналов
3
12 (4*3)
3
Скорость передачи
(Мбит/с)
1, 2, 5.5, 11,
22
6,9,12,18,24,3
6,48,54
1, 2, 5.5, 11,
22, 6, 9, 12,
18, 24, 36,
48, 54
Тип модуляции
DSSS
OFDM
DSSS
В полосе пропускания систем, соответствующих 802.11b и
802.11g, доступны только 3 канала
В полосе пропускания систем, соответствующих 802.11a,
доступны 12 каналов
Lower Band
Middle Band
Upper Band
Качество канала связи
Измеряется отношением Сигнал/Шум (SNR)
Высокий уровень сигнала при малых шумах
предоставляет наилучший канал связи
Перевод мощности dBm <-> mW
Перспективы беспроводных cетей
IEEE 802.11h International Telecommunication Union (ITU): использует
протоколы Dynamic Frequency Selection (DFS) и Transmit Power Control (TPC)
для автоматического выбора другого канала и настройки мощности передачи
для минимизации помех от таких систем, как радары, обнаруженные на том же
канале.
IEEE 802.11i, Wi-Fi Protected Access 2 (WPA2) или WPA: блокировка
несанкционированного доступа за счет аутентификации пользователей
перед предоставлением им доступа к сети; обеспечение целостности
данных, передаваемых по беспроводной сети, за счет использования
устойчивого к ошибкам улучшенного стандарта шифрования Advanced
Encryption Standard (AES) или Temporal Key Integrity Protocol (TKIP).
Mi-Mo
802.11n — перспективный стандарт, который, как ожидается, позволит
увеличить полосу пропускания и диапазон беспроводных сетей. Этот
стандарт пока что находится на стадии обсуждения, но его
существующая версия уже обеспечивает скорость передачи данных
свыше 250 Мбит/с, что более чем вчетверо превышает возможности
продуктов 802.11g. Такое быстродействие обеспечивается благодаря
более эффективному сжатию данных и использованию антенн,
передающих сразу несколько сигналов (эта технология называется
MIMO, Multiple In, Multiple Out — "много на входе, много на
выходе").
За счет чего увеличивается
производительность:
Features
Benefits
Hardware
Compression
increased speeds by using compressed frames to
send data
Fast Frames
Increased speeds by aggregating multiple frames
Packet Bursting
Increased speeds by reducing wireless
transmission overhead
Multi Channel
Increased speeds by using multiple wireless
channels
Стандарт IEEE 802.16
Стандарт 802.16 (январь 2003) уровня МАС предназначен для
реализации широкополосных каналов последней мили в городских
сетях (MAN).
Его задачей является обеспечения сетевого уровня между локальными
сетями (IEEE 802.11) и региональными сетями (WAN), где планируется
применение разрабатываемого стандарта IEEE802.20.
Эти стандарты совместно со стандартом IEEE 802.15 (PAN - Personal
Area Network - Bluetooth) и 802.17 (мосты уровня МАС) образуют
взаимосогласованную иерархию протоколов беспроводной связи.
•Пропускная способность до 135 Мбит/с при полосе несущей 28
МГц.
•Модуляция OFDM - 64-QAM
•Доступ к среде адаптивный, динамический
•Управление сетью централизованное
Краткие характеристики семейства
стандартов 802.16
Название
стандарта
802.16
802.16a
802.16e
Дата принятия
декабрь 2001
январь 2003
середина 2004
Частотный
диапазон
10-66 ГГц
2-11 ГГц
2-6 ГГц
Быстродействие
32-135 Мбит/с
для 28МГц-канала
до 75 Мбит/с
для 28МГц-канала
Модуляция
QPSK, 16QAM,
64QAM
OFDM 256, QPSK, 16QAM,
64QAM
Ширина канала
20, 25 и 28 МГц
Радиус действия
2-5 км
7-10 км
макс. радиус 50 км
2-5 км
Условия работы
Прямая видимость
Работа на отражениях
Работа на отражениях
Регулируемая
1,5-20МГц
до 15 Мбит/с
для 5МГц-канала
OFDM 256, QPSK, 16QAM,
64QAM
Регулируемая
1,5-20МГц
Режимы работы беспроводных сетей
Беспроводные сетевые
Точки доступа
адаптеры
• Точка доступа
• Ad Hoc
• Инфраструктуры
• Беспроводный мост
«точка-точка»
• Беспроводный мост
«точка-многоточка»
• Беспроводный клиент
• Повторитель
Ad Hoc режим
ПК с беспроводным
адаптером,
напр. DWL-G520
Ноутбук с беспроводным
адаптером,
напр. DWL-G650
Одноранговое взаимодействие по типу «точка-точка»,
компьютеры взаимодействуют напрямую без применения
точек доступа
Инфраструктурный режим
ПК с проводным
адаптером и общим
принтером
Сервер, подключенный к
проводному сегменту сети
Интернет
Маршрутизатор
Точка
доступа
Беспроводная
сеть
Проводной
сегмент сети
ПК с беспроводным
адаптером DWL-G520 или
ноутбук с DWL-G650
Точки доступа обеспечивают связь клиентских компьютеров.
Точку доступа можно рассматривать как беспроводной концентратор
Беспроводный мост между двумя LAN
С помощью беспроводных мостов можно объединять две и
более проводных LAN, находящихся как на небольшом
расстоянии в соседних зданиях, так и на расстояниях до
нескольких км., что позволяет объединить в сеть филиалы и
центральный офис
Данное решение позволяет достичь значительной экономии
средств и обеспечивает простоту настройки и гибкость
конфигурации при перемещении филиалов
Беспроводный мост
Point-to-Point
(PTP)
Интернет
Central Router/
Bridge,
xDSL
Модем
DWL-2700AP
Здание A
Remote Router/
Bridge,
DWL-2700AP
Здание B
Используется для объединения двух или более проводных
сегментов LAN, находящихся на расстоянии до нескольких км.
Беспроводный
мост Remote Router/
Bridge,
Point to Multi-point
PTMP
Здание C
Интернет
Central Router/
Bridge,
xDSL
Модем
DWL-2700AP
Remote Router/
Bridge,
DWL-2700AP
DWL-2700AP
Здание A
Здание B
Используется для объединения двух и более проводных
сегментов LAN, находящихся на расстоянии до нескольких км.
«Последняя миля» в сетях ISP
Wireless ISP
Access
point
Remote
Router/
Bridge
Client
Bridge
Интернет
Remote
Router/
Bridge
Central
Router/
Bridge
xDSL
модем
Inline
Power
Injector
Remote
Router/
Bridge
Access
point
Access
point
Client
Bridge
Технология WDS (Wireless Distribution System)
Данная технология
позволяет,одновременно,
подключать беспроводных
клиентов, к точкам доступа
работающим в режиме “мост”
• WDS : Беспроводный мост
«точка-многоточка»
• WDS with AP: Беспроводный мост
«точка-многоточка» + AP
•Беспроводный мост
«точка-точка»
•Беспроводный мост
«точка-многоточка»
• WDS : Беспроводный
мост «точка-многоточка»
• WDS with AP:
Беспроводный мост
«точка-многоточка» + AP
WDS
(Wireless Distribution System)
• Star Configuration
• Chain configuration
Дополнительные режимы точек доступа: как правило
фирменные, т.е. поддерживаются не всеми поставщиками.
Режим повторителя – Repeater
Точка доступа
Точка доступа в
режиме репитер
Screen Monitor II
Сервер
Screen Monitor II
Точка доступа в режиме Клиент
Режим можно применять при подключении к беспроводной сети
устройств с портом Ethernet, но без возможности установки
беспроводного адаптера.
Screen Monitor II
Screen Monitor II
Точка доступа
Сервер
Точка доступа в режиме
Клиент
Роуминг в беспроводных сетях
Поскольку клиенты перемещаются в зоне действия от
одной точки доступа к другой, роуминг позволяет не
терять соединение, а передавать его между точками
доступа.
Для этого точки доступа нужно подключить к
проводной сети
Роуминг в беспроводных сетях
Перемещение между точками
Как только пользователь перемещается от одной точки доступа к
другой, беспроводной адаптер автоматически переустанавливает
соединение и подключается к ближайшей точке для обеспечения
лучшего качества сигнала и производительности
•Сигнал-маяк - “Beacon” посылается точкой доступа
каждые 100 миллисекунд
•Клиенты используют этот маяк для оценки качества
связи
•Клиенты тоже могут посылать маяк, или пробный
запрос
•Точка доступа ответит или пошлет маяк
• Основываясь на качестве связи, клиент примет решение,
с какой точкой доступа работать.
• Если он перемещается между ТД, то новая ТД
информирует старую через проводное соединение о
переустановленном соединении клиента в сети.
• Т.о., при правильном размещении точек доступа на
территории предприятия пользователи смогут
перемещаться по ней без потери доступа к сети
Роуминг – использование одних и тех же
каналов для увеличения зоны охвата
1
1
6
11
11
1
Точки доступа, зоны охвата которых пересекаются, должны быть
настроены на разные каналы. Но можно использовать одинаковые
каналы на точках доступа с непересекающимися зонами охвата. Т.о.
можно увеличивать общее покрытие сети практически без ограничений!
• Протокол роуминга не включен в 802.11, это нужно
учитывать при развертывании беспроводной сети
• Inter Access Point Protocol (IAPP) Across Distribution
Systems - это попытка стандартизовать протокол роуминга
(802.11f)
• Поэтому, роуминг лучше организовывать на
продуктах одного поставщика
• Точки доступа D-Link позволяют организовать надежную
передачу на территории всего предприятия
Обработка коллизий в беспроводных сетях
Беспроводной адаптер не может обнаружить коллизию
в ходе передачи пакета, т.к. метод обнаружения
коллизий CSMA/CD не может работать в беспроводной
сети.
Поэтому для обнаружения коллизий и потери пакета
используется метод CSMA/CA (Carrier Sense Multiple
Access / Collision Avoidance) с квитированием – на
каждый пакет ожидается подтверждение доставки,
если такой пакет не пришел – значит произошла
коллизия и пакет передается повторно
Проблема, называемая “скрытый узел”
Например: компьютеры A и B видят точку доступа, но не видят
друг друга при слабом сигнале. Задача состоит в том, чтобы
предотвратить коллизию при одновременной передачи данных
точке доступа обоими узлами
С
A
B
Точка
доступа
• Перед отправкой пакета с данными узел A посылает точке
доступа пакет Ready-to-send (RTS), который содержит поле
с указанием времени занятия канала
• Если принимающий узел «слышит» этот пакет, он отвечает
пакетом Clear-to-send (CTS) и устанавливает свой Network
Allocation Vector ( NAV )
• После этого начинается передача данных и т.о.
исключается коллизия
• Но компьютер B не слышит этот кадр из-за слабого
сигнала от узла А
• Точка доступа посылает CTS-кадр, содержащий поле
резервирования (занятия канала)
• Компьютер B «слышит» этот кадр и перестраивает свой
NAV
• Итак, коллизий не произошло
A
RTS?
С
B
A
CTS!
С
A
DATA
С
B
A
ACK
С
B
CTS!
B
RTS/CTS схема построения протокола
RTS Threshold feature increases available bandwidth by eliminating RTS/CTS traffic from the air, thus reducing the cost.
By setting RTS length threshold to a maximum value, the transmitter will effectively never use RTS and the option is
virtually switched off. One example is shown in figure. If the hidden station is a non-issue, the threshold can be switched
off. If a user decides to switch it on by setting some threshold, there is always a trade off between introducing more
overhead and reducing retransmission of messages due to the hidden node problem. The situation in which the RTS/CTS is
very helpful is the outdoor point-to-multi-point environment in which the hidden node problem can be a larger problem.
The following diagram shows how the RTS/CTS mechanism works for A as a transmitter, B as a receiver and the NAV
settings for their neighbors.
Параметры настройки беспроводных сетей
Имя сети – ESSID (Extended Service Set ID)
• Каждая Точка Доступа должна быть сконфигурирована с
уникальным ID
• Защищенный доступ позволяет доступ к сети только
клиентам с правильным ID
• Если к одной подсети подключены несколько точек
доступа – им нужно присвоить один и тот же ESSID
Параметры настройки беспроводных сетей
Канал работы беспроводного соединения
•При настройке точки доступа необходимо указать канал
для работы беспроводного соединения.
•На клиентских устройствах настройку производить не
нужно, т.к. адаптер подключается к точке доступа на том
канале, который настроен для ее работы.
•Для увеличения пропускной способности, каналы не
должны перекрываться.
Поиск сети клиентом
Файл-сервер
Интернет
Маршрутизатор
Клиент сканирует
доступные точки
доступа и проверяет,
может ли к ним
подключиться
Точка
доступа
Проводной сегмент
сети
Кадр Beacon посылается
как клиентом, так и
точкой доступа
Пассивное сканирование
Поиск сети клиентом
Файл-сервер
Интернет
Маршрутизатор
Проводной сегмент
сети
Точка
доступа
Клиент посылает
пробный запрос
Точка доступа
посылает
пробный ответ
Активное сканирование
Управление питанием
Поскольку большинство беспроводных устройств работают
на батареях, некоторое управление питанием необходимо.
802.11 устройства имеют 2 режима: Нормальный и
Сохранения энергии с пробуждением.
• CAM (continuous aware mode) устройства всегда готовы к
работе и принимают пакеты
• PSP (power save polling) устройства оповещают Точку
Доступа, перед тем, как «заснуть», и затем
периодически «просыпаются» для проверки сигналамаяка, что для них есть пакеты
Безопасность в беспроводных сетях
Для обеспечения безопасности в беспроводных сетях
используется несколько средств:
Контроль за подключением к точке доступа на основе MACадресов и имени сети
• Шифрование на основе протокола WEP (Wired Equivalent
Privacy) (RC4)
• Контроль за доступом к среде передачи на основе протокола
802.1x
• Поддержка нового протокола WPA
• Настройка VPN поверх беспроводного соединения
• Вынос беспроводной сети за межсетевой экран, как сети с
низким доверием
Multiple SSID
Multiple SSID может работать с VLAN-ами: каждый
SSID соответствует своему VLAN-у.
Multiple SSID может работать без VLAN-ов: в
таком случае AP обслуживает разные группы
пользователей с различными WLAN/security
свойствами.
Подходит для сегментации и классификации
подсетей.
DWL-XXXXAP поддерживают до 8 SSID (1 –
мастер, 7- гостевые).
Multiple SSID with VLAN
VLAN1
Sales
VLAN1
SSID: Sales
VLAN2
R&D Dept.
DWL-3200AP
Access Point
VLAN2
SSID: RDD
WEP: 64 bit
VLAN3
Financial Dept.
VLAN3
SSID: Finance
WEP: 128 bit
Multiple SSID without VLAN
With Multiple SSID
Without Multiple SSID
SSID: T-Mobile
WEP: 64 bit
Internet
DWL-3200AP
Access Point
SSID: AT&T
WEP: 128 bit
SSID: Vodafone
WEP: 128 bit
What can Multiple SSID do for you?
Уменьшение затрат
– Одна сеть (для всех групп) вместо нескольких.
Достижение высокой загрузки развернутых AP
– Использование различных типов клиентов одной AP
(business, consumers, etc.).
Минимизация стоимости обслуживания
– Желание поддерживать различных клиентов без
необходимости их перенастройки.
Минимизация конфликтов в канале
– В публичных местах м.б. несколько сетей (различных ISP);
– радиопомеха ужу выделена (3 непересекающихся канала –
если каналы заняты, дополнительные APs уменьшат
производительность).
Контроль доступа
По имени сети: можно использовать уникальный
ESSID во избежание несанкционированного доступа в
Вашу беспроводную сеть
По MAC-адресу: Вы можете задать на точке доступа
список MAC–адресов, котором Вы хотите разрешить
авторизацию в Вашей группе в сети на Вашей точке
доступа.
Максимальное число клиентов в MAC filter лист на точках
доступа серии DWL-XXXX?
DWL-900AP+ =50
DWL-1000AP+ =50
DWL-2000AP =50
DWL-2000AP+ =50
DWL-2100AP =256
DWL-2700AP =256
Фильтрация по MAC-адресу
Режим Access Control
Введите здесь MAC
адрес
Шифрование при помощи WEP
Можно включить на всех беспроводных устройствах
шифрование всего трафика для предотвращения
несанкционированного доступа к передаваемой информации.
Шифрование использует RC4 алгоритм, принятый в IEEE
802.11 как WEP стандарт.
64 и 128 bit шифрование доступно для клиентов (-24-bit
Initialization Vector (IV) увеличивается от 0 на 1 до 2^24=16*10^6 на
каждый переданный пакет – в нагруженных сетях реинициализация
– каждые 5 часов).
Как работает WEP
Клиент
Общий ключ
между Клиентом и
Точкой доступа
Точка доступа
Изначальные данные :
01000111101001001110010
Шифрация при
помощи ключа
Зашифрованные данные :
00101001000100010011011
Зашифрованные данные:
00101001000100010011011
Дешифрация при
помощи ключа
Изначальные данные :
01000111101001001110010
Все клиенты используют один и тот же ключ
Настройка WEP
Настройка WEP на стороне клиента
Настройка WEP на стороне точки доступа
Протокол 802.1x
Для аутентификации и авторизации пользователей с
последующим предоставлением им доступа к среде
передачи данных, разработан стандарт безопасности IEEE
802.1x, который ориентирован на все виды сетей доступа,
соответствующие стандартам IEEE.
Данная система предназначена для совместной работы
EAP (Extensive Authentication Protocol) и RADIUS.
Прежде чем получить доступ к беспроводной (или
проводной) сети, клиент должен пройти проверку на
сервере RADIUS и только в случае успешной проверки ему
разрешается доступ в есть.
Протокол EAP
Изначально был создан для протокола Point-to-Point
protocol (PPP)
Служит для установки и подтверждения
аутентификации
Не зависит от применяемого метода аутентификации
Может быть легко использован для инкапсуляции
других методов
Работа 802.1x
Клиент
шлет
сообщение
EAP-start
шлет
Клиент
сообщение
EAP-response
содержащее
подтверждение
своей подлинности
для сервера
аутентификации
Точка доступа
запрашивает
подлинность
сообщением EAPrequest identity
Точка доступа шлет
пакет EAP-success
packet (или reject)
клиенту
Сервер
Аутентификации
сервер аутентифицировал
Если
клиента, точка доступа
переводит клиента в состояние
авторизации и начинает
пропускать трафик от клиента
EAP : Extensible Authentication Protocol
Сервер
аутентификации
проверят
подлинность
клиента одним из
заданных
алгоритмов
Сервер шлет
сообщение accept
или reject на
возможность
доступа
Рабочая
станция
(Клиент)
IEEE 802.1x, EAP, RADIUS
Точка доступа
Сервер RADIUS
(Сервер аутентификации)
(Аутентификатор)
EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity
RADIUS Access-Request
EAP-Request/OTP
RADIUS Access-Challenge
EAP-Response/OTP
RADIUS Access-Request
RADIUS Access-Accept
Порт авторизован
EAPOL-Logoff
RADIUS Account-Stop
RADIUS Ack
Порт не авторизован
* OTP (One-Time-Password)
Протокол Wi-Fi Protected Access - WPA
Для замены протокола WEP Wi-Fi была разработана новая
система безопасности – WPA.
Основные достоинства WPA:
• Более надежный механизм шифрования, основанный на
«временном протоколе целостности ключей» - Temporal Key
Integrity Protocol (TKIP)
• Аутентификация пользователей при помощи 802.1x и EAP
• Возможность работы в сетях класса SOHO без необходимости
настройки сервера RADIUS – режим Pre-Shared Key (PSK),
позволяющий вручную задавать ключи
WPA2 основан на протоколе безопасности беспроводных сетей
802.11i обеспечивает более сильный механизм шифрования
Advanced Encryption Standard (AES).
Работа WPA
Сетевые ресурсы
Точка блокирует
доступ до
аутентификации
Запрос на соединение
Запрос аутентификации
Клиент
Authenticator
После аутентификации сервер
предоставляет ключ шифрации TKIP
Клиент предоставляет
сертификат
Сервер аутентификации
Сравнение протоколов WEP и WPA
WEP
Шифрование
WPA
Возможность взлома
Исправление всех
недостатков WEP
Ключ 40-бит
Ключ 128-бит
Статический ключ используется во всей
сети
Динамический ключ -для
каждого пользователя,
сессии и пакета свой
ключ.
Ключ вводится вручную Автоматическое
в каждое устройство
распределение ключей
Аутентификация
Для аутентификации
используется тот же
ключ WEP
Надежная
аутентификация с
использованием 802.1x и
EAP
Wireless и VPN
Для дополнительной безопасности вы можете
настроить VPN поверх вашей беспроводной сети.
Аутентификация пользователей и шифрование
трафика средствами VPN обеспечивает надежную
защиту.
Средства VPN работают на сетевом уровне,
транспортом может служить как проводная, так и
беспроводная сеть.
Защита при помощи межсетевого экрана
(DFL-210/800/1600) или шлюза безопасности
(DSA-3110/5110)
Планирование и развертывание беспроводной
сети предприятия
При развертывании беспроводной сети нужно определить
плотность размещения точек доступа для обеспечения
роуминга и беспрерывной связи при перемещении
клиентов
Необходимо разместить точки доступа так, чтобы:
•
Увеличить зону покрытия
•
Обеспечить качество связи и необходимую
пропускную способность
•
Не допустить пересечения каналов точек
доступа
Пример расположения точек доступа и
настройки каналов
При планировании беспроводной сети необходимо
учитывать следующие моменты:
• Расположение Точек Доступа зависит от необходимой
площади охвата и конструкции здания.
• Толстые стены, или стены с металлоконструкциями,
будут блокировать сигнал сильнее, чем
светопропускающие конструкции.
• Количество стен и перегородок желательно свести к
минимуму – каждая стена может сокращать
максимальную дистанцию для передачи данных
на 1 - 30 м.
Распространение сигнала
Препятствие из земли
Прямой путь
Рассеяние
Препятствие из листвы
Отражение
Экранирование зданием
• Располагайте беспроводные устройства по прямой линии:
стена толщиной в 0,5 м. При расположении устройств под
углом в 45 градусов становится толщиной почти 1м.
Прямая линия
Угол в 45 градусов
0,5 м
Около 1 м
стена
45
°
стена
• Офисная мебель, кабинеты, могут образовывать “тени” в
зоне охвата.
• Для получения широкой зоны охвата необходима прямая
видимость.
• Удостоверьтесь, что антенна настроена для лучшего
приема
Используя поставляемые с устройствами утилиты для оценки
качества связи, необходимо построить карту зоны охвата в
заданном помещении.
Например: Утилита к Беспроводному адаптеру имеет
функцию диагностики, позволяет определить уровень сигнала по
каждому каналу. Также можно проверить качество связи между
клиентом и точкой доступа.
Некоторые типичные проблемы при
проектировании беспроводной сети
Отношение сигнал - шум (SNR) хорошее, но
производительность данных - относительно низкая:
• Перегруженная сеть – слишком много клиентов пытаются получить
доступ к среде передачи
• Электрическое устройство, генерирующее радиосигнал,
расположено рядом с беспроводным клиентом
• Качество связи другого клиента недостаточно хорошее и поэтому он
возникает много повторной передачи пакетов
• Коллизии, возникающие из-за проблемы «скрытый узел»
Концентрация пользователей на точку доступа
слишком высокая:
• Разместите ближе точки доступа, чтобы распределить
нагрузку
• Добавьте дополнительные точки доступа к беспроводной
сети
Уровень сигнала низкий:
• Устройства могут быть слишком далеко друг от друга
• Имеется преграда между устройствами
Обзор беспроводных продуктов
D-Link
1. Шлюзы безопасности
2. Точки доступа
3. Беспроводные интернет-шлюзы, принтсерверы,
шлюзы VоIP, сетевые накопители, IP камеры.
4. Беспроводные адаптеры
5. Устройства Power over Ethernet (РоЕ)
6. Антенны
С ростом популярности беспроводных сетей быстро развивается
новый вид услуг для доступа в Интернет - создание публичных
зон доступа - HOTSPOT.
DSA-3110. Основные характеристики
• 7 портов 10/100Mбит/с Fast Ethernet, консольный порт RS-232 для
управления
• 4 независимо конфигурируемых интерфейса
•Конфигурация интерфейсов со статическим адресом или DHCP
•Поддержка до 50 одновременных подключений VPN PPTP в режиме онлайн
•Размещение до 250 учетных записей пользователей во внутренней
базе данных
•Аутентификация и авторизация, основанные на ID/Пароле
•Поддержка шифрования MPPE
•Поддержка протокола RADIUS и внутреннего механизма
аутентификации
•Экспорт статистики по протоколу NetFlow v.5
•Ведение журнала событий (Syslog)
•Базовая ОС Linux (Встроенные текстовые редакторы vi и nano для создания и
редактирования внутренних конфигурационных файлов)
•Интерфейсы управления: WEB, SSH, Telnet, консольное подключение
(консоль базовой ОС Linux)
Беспроводная сеть без шлюза безопасности
Коммутатор
Интернет
Точка
доступа
Клиент
Точка
доступа
Уязвимость
Database / Filel Server
Клиент
Точка
доступа
Беспроводная сеть со шлюзом безопасности
Шлюз безопасности
DSA-3110
LOGIN ID. :
PASSWORD :
2
Точка
доступа
3
Интернет
1
Клиент
Точка
доступа
Клиент
Database / File Server
Точка
доступа
Функции DSA-3110
Нет необходимости установки
клиентского ПО
• Клиент может использовать
любой браузер для ввода пароля
• Доступ с использованием SSL
для обеспечения безопасного
соединения
•
No Need
Функции DSA-3110
Контроль полосы
пропускания для групп
пользователей
• Для предотвращения
захвата полосы
пропускания можно
назначить максимальную
полосу для групп
пользователей
•
Контроль полосы пропускания
Без настройки полосы
пропускания
Клиенты, находящиеся
ближе к Точке Доступа
будут захватывать
доступную полосу
пропускания
Более удаленные
пользователи получат
низкую пропускную
способность
Беспроводные адаптеры D-Link
Название
Стандарты работы
Тип шины
Скорость
передачи, Мбит/с
Рекомендованная
цена, $
DWl-G132
802.11b/g
USB 2.0
108
44
DWL-G520
802.11b/g
PCI
108
43
DWL-G650
802.11b/g
PCMCIA
108
36
DWL-G122
802.11b/g
USB
54
25
DWL-G510
802.11b/g
PCI
54
23
DWL-G630
802.11b/g
PCMCIA
54
24
DWL-G520M
802.11b/g
PCI
108
53
DWL-G650M
802.11b/g
PCMCIA
108
44
DWL-AG132
802.11a/b/g
USB 2.0
108
61
DWL-AG530
802.11a/b/g
PCI
108
60
DWL-AG660
802.11a/b/g
PCMCIA
108
52
DWL-G550
802.11b/g
PCI
108
47
DWL-G680
802.11b/g
PCMCIA
108
40
Беспроводные адаптеры D-Link
(NEW)
pre-N family, up to 300 Mbps
Название
Стандарты работы
Тип шины
Скорость
передачи,
Мбит/с
DWA-110
802.11g
USB
54
21
DWA-120
802.11g+
USB 2.0
108
35
DWA-142
draft 802.11n
USB 2.0
300
109
DWA-510
802.11g
PCI
54
23
DWA-520
802.11g+
PCI
108
30
DWA-547
draft 802.11n
PCI
300
84
DWA-610
802.11b/g
Card bus
54
25
DWA-620
802.11b/g
Card bus
108
32
DWA-645
802.11a/b/g
Card bus
300
76
DWA-643
802.11a/b/g
Notebook
expresscard
300
76
Рекомендованная цена,
$
Спасибо за внимание!
Документ
Категория
Презентации
Просмотров
42
Размер файла
7 770 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа