960 likes | 1.18k Views
Построение беспроводных сетей на оборудовании D-Link. Михаил Лесников, консультант по проектам, mlesnikov@dlink.ru. СОДЕРЖАНИЕ. Беспроводные сети: преимущества и сферы применения Основные стандарты Режимы работы Безопасность WLAN Планирование и развертывание WLAN
E N D
Построение беспроводных сетей на оборудованииD-Link Михаил Лесников, консультант по проектам, mlesnikov@dlink.ru
СОДЕРЖАНИЕ Беспроводные сети: преимущества и сферы применения Основные стандарты Режимы работы Безопасность WLAN Планирование и развертывание WLAN Беспроводные устройства D-Link
Преимущества беспроводных сетей • Беспроводные сети обладают гибкостьюпри конфигурации и расширении. Могут служить как добавлением, так и заменой проводных сетей при построении сетевой инфраструктуры • Пользователи могут свободно перемещаться, т.к. беспроводные сети обеспечивают доступ к сетевым ресурсам компании из любого места. • Беспроводные сети не только обеспечивают мобильный доступ, но и сами мобильны, т.к. можно легко переместить сеть в другое место. Быстрая и лёгкая инсталляция.
Сферы применения беспроводных сетей • Внутриофисные сети • Домашние сети • Выставочные комплексы и конференц-залы • Доступ к Интернет в гостиницах, кафе, библиотеках, • студенческих городках и т.д. – “hot spot” • Сети провайдеров Интернет: подключение клиентов там, где нет возможности протянуть кабель • «Гостевой» доступ к корпоративной сети для клиентов и партнеров
Семейство стандартов беспроводных сетей IEEE 802.11 Стандарт IEEE 802.11 входит в серию стандартов IEEE 802.X, относящихся к сетям и коммуникациям, сюда также входят такие стандарты, как 802.3 Ethernet, 802.5 Token Ring и т.д. Таким образом, стандарт IEEE 802.11 определяет компоненты и характеристики сети на физическом уровне передачи данных и на уровне доступа к среде с учетом беспроводного способа передачи данных и возможности взаимодействия с существующими сетями.
Стандарты беспроводных сетей - IEEE 802.11b • Обратная совместимость с предыдущим стандартом IEEE 802.11 • Работает на частоте 2,4 ГГц • Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS) • Поддерживаетскорость соединения 1,2,5.5,11 Мбит/с (реальная скорость передачи данных от 4 до 6 Мбит/с), автоматический или фиксированный выбор скорости • Защита данных при помощи шифрования WEP
Стандарты беспроводных сетей - IEEE 802.11a • Более сложная передовая технология, по сравнению с 802.11b • Работает на частоте 5 ГГц • Используется метод мультиплексирования с ортогональным делением частот (OFDM) • Поддерживаетскорость соединения до 54 Мбит/с(48, 36, 24, 18, 12, 9и 6Мбит/с), реальная скорость передачи данных от 22 до 24 Мбит/с • 12одновременно доступных для работы каналов • Защита данных при помощи шифрования WEP • Защита данных при помощи WPA (Wi Fi Protected Access), 802.1x
Стандарты беспроводных сетей - IEEE 802.11g • Обратная совместимость с устройствами стандарта IEEE 802.11b • Работает на частоте 2.4 ГГц • Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS) и метод мультиплексирования с ортогональным делением частот (OFDM) • Скорость соединения до 54 Мбит/с, автоматический или фиксированный выбор скорости • Защита данных при помощи WPA (Wi Fi Protected Access), 802.1x
Сравнение стандартов беспроводных сетей
Скорость передачиданных • IEEE 802.11aподдерживаетскорости:6, 9, 12, 18, 24, 36, 48, 54 Мбит/с, • 108 — Super A • IEEE 802.11bподдерживаетскорости: 1,2,5.5,11 Мбит/с • 22 Мбит\с – 802.11b+ • IEEE 802.11gподдерживаетскорости: 1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54 Мбит/с • 108 — Super G • Более высокая скорость улучшает пропускную способность • Более низкая скорость увеличивает дистанцию и надежность • Автоматический или фиксированный выбор скорости
Стандарты беспроводных сетей - IEEE802.11n Особенности стандарта • Стандарт был утвержден 11 сентября 2009 года. • Скорость передачи данных увеличилась практически в 4 раза по сравнению с устройствами стандарта 802.11g (до 54 Мбит/с). • Возможность использования двух диапазонов – 2,4 Гци (или) 5 ГГц. • Возможность использования каналов с шириной 20 и 40 МГц. • Обратная совместимость с предыдущими стандартами WiFi при работе с модуляциями CCK и OFDM в канале шириной 20МГц. • Поддержка технологии MIMO. • Изменения на канальном уровне: агрегирование кадров и блочные подтверждения.
Технология MIMO С помощью пространственного мультиплексирования Spatial Division Multiplexing (SDM) – передается несколько независимых потоков данных одновременно внутри одной спектральной полосы пропускания канала. Для реализации MIMO необходимо, чтобы для каждого потока данных использовались свои антенны приёма/передачи, отдельные радиочастотные цепи и аналого-цифровые преобразователи (АЦП) для каждой антенны.
Частоты каналов Неперекрывающиеся каналыв диапазоне2,4ГГц 802.11b (DSSS) ширинаканала 22 МГц 802.11g/n (OFDM) ширинаканала 20 МГц 802.11n (OFDM) ширинаканала 40 МГц
Скорость передачи данных 802.11n • Точкам доступа и станциям 802.11n необходимо вести согласование пространственных потоков (Spatial Streams) и ширины канала. В зависимости от количества антенн возникают несколькопространственных потоков. • Стандарт 802.11n определяет Индекс модуляции и схемы кодирования MCS (Modulation and Coding Scheme). • Каждый индекс определяет тип модуляции радиочастоты (Modulation Type), скорость кодирования (Coding Rate), защитный интервал (GI, Guard Interval) и значения скорости передачи данных. Сочетание всех этих факторов определяетскорость передачи данных, начиная от 6,5 Мбит/с до 600 Мбит/с (данная скорость может быть достигнута за счет использования всех возможных опций стандарта 802.11n). • MCS значения от 0 до 31 определяют тип модуляции и схемы кодирования, которые будут использоваться для всех потоков. MCS значения с 32 по 77 описывают смешанные комбинации, которые могут быть использованы для модуляций от двух до четырех потоков.
Обеспечение качества обслуживания в беспроводной сети
Режимы работы беспроводных сетей • Беспроводные • сетевые адаптеры • Ad Hoc • Инфраструктурный • Точки доступа • Точка доступа • WDS • WDS +AP • Беспроводный клиент • Повторитель
Ad Hoc режим ПК с беспроводным адаптером, напр. DWA-525 Ноутбук с беспроводным адаптером, напр. DWA-140 Одноранговое взаимодействие по типу «точка-точка». Компьютеры взаимодействуют напрямую без применения точек доступа
Инфраструктурный режим Интернет ПК с проводным адаптером и общим принтером Сервер, подключенный к проводному сегменту сети Маршрутизатор Проводной сегмент сети Точка доступа Беспроводная сеть ПК с беспроводным адаптером DWA-525или ноутбук сDWA-645 Точки доступа обеспечивают связь клиентских компьютеров. Точку доступа можно рассматривать как беспроводной концентратор
Технология WDS (Wireless Distribution System) • Термин WDS (Wireless Distribution System) расшифровывается как «распределённая беспроводная система». Если говорить упрощённо, то данная технология позволяет точкам доступа устанавливать беспроводное соединение не только с беспроводными клиентами, но и между собой. • Технология WDS может использоваться для реализации двух режимов беспроводных соединений между точками доступа: режима беспроводного моста (радиомоста) и режима беспроводного повторителя. • Режим беспроводного моста (WDS) позволяет точкам доступа работать только с другими точками доступа, но не с клиентскими адаптерами. • Режим беспроводного повторителя (WDS with AP) позволяет точкам доступа работать как с другими точками доступа, так и с клиентскими адаптерами.
Технология WDS (Wireless Distribution System) Данная технология позволяет одновременно подключать беспроводных клиентов к точкам доступа, работающим в режиме “беспроводной мост”
Internet WDS Remote DAP-3220 + ANT24-1801 Central DAP-3220 + ANT24-1801 Firewall Здание A ЗданиеБ Используется для объединения двух или более проводных сегментов LAN, находящихся на расстоянии до нескольких км.
Internet WDS with AP Remote DAP-3220 + ANT24-1202 Main DAP-3220 + ANT24-1202 Firewall Здание A ЗданиеБ Используется для объединения двух или более проводных сегментов LAN+ возможность подключения беспроводных клиентов в радиусе.
Использование режима WDS with AP в условиях офиса. Точка 2 используется как ретранслятор.
Несмотря на кажущиеся преимущества технологии WDS, здесь имеются свои подводные камни, среди которых стоит отметить следующие: • уменьшение скорости соединения в WDS сети; • проблема совместимости оборудования различных производителей. • Уменьшение скорости соединения в беспроводной сети при реализации WDS технологии связано с тем, что все точки доступа используют один и тот же канал связи • Проблема WDS-сетей – это проблема совместимости оборудования различных производителей. Единственной 100% гарантией совместимости оборудования является использование одинаковых точек доступа для развёртывания WDS-сети.
Screen Monitor II Screen Monitor II Дополнительные режимы точек доступа:как правило фирменные, т.е. поддерживаются не всеми поставщиками. Режим повторителя – Repeater Точка доступа Точка доступа в режиме репитер Сервер
Screen Monitor II Screen Monitor II Точка доступа Точка доступа в режиме Клиент Сервер Точка доступа в режиме Клиент Режим можно применять при подключении к беспроводной сети устройств с портом Ethernet, но без возможности установки беспроводного адаптера.
Роуминг в беспроводных сетях Поскольку клиенты перемещаются в зоне действия от одной точки доступа к другой, роуминг позволяет не терять соединение, а передавать его между точками доступа. Для этого точки доступа нужно подключить к проводной сети.
Роуминг в беспроводных сетях Перемещение между точками Как только пользователь перемещается от одной точки доступа к другой, беспроводной адаптер автоматически переустанавливает соединение и подключается к ближайшей точке для обеспечения лучшего качества сигнала и производительности
Роуминг – использование одних и тех же каналов для увеличения зоны охвата 1 1 6 11 11 1 Точки доступа, зоны охвата которых пересекаются, должны быть настроены на разные каналы. Но можно использовать одинаковые каналы на точках доступа с непересекающимися зонами охвата. Таким образом, можно увеличивать общее покрытие сети практически без ограничений!
Сигнал-маяк – “Beacon” посылается точкой доступа каждые 100 миллисекунд • Клиенты используют этот маякдля оценки качества связи • Клиенты тоже могут посылать маяк (Beacon), или пробный запрос (Probe request) • Точка доступа ответит (Probe response) или пошлет маяк (Beacon) • Основываясь на качестве связи, клиент принимает решение, с какой точкой доступа работать • Таким образом, при правильном размещении точек доступа на территории предприятия пользователи смогут перемещаться по ней практически без потери доступа к сети.
Процесс аутентификации В сетях 802.11 используются два вида аутентификации: открытая аутентификация (open authentication) и аутентификацию с совместно используемым ключом (shared-key authentication).
Процесс соединения станций в зону обслуживания
Безопасность в беспроводных сетях • Для обеспечения безопасности в беспроводных сетях используется несколько средств: • Контроль за подключением к точке доступа на основе MAC-адресов и имени сети • Шифрование на основе протокола WEP (RC4) • Контроль за доступом к среде передачи на основе протокола 802.1x • Поддержка протоколов WPA • Настройка VPN поверх беспроводного соединения • Вынос беспроводной сети за межсетевой экран, как сети с низким доверием
Контроль доступа По имени сети: можно использовать уникальный ESSID во избежание несанкционированного доступа в Вашу беспроводную сеть По MAC-адресу: Вы можете задать на точке доступа список MAC–адресов, котором Вы хотите разрешить авторизацию в Вашей группе в сети на Вашей точке доступа.
Шифрованиепри помощи WEP Можно включить на всех беспроводных устройствах шифрование всего трафика для предотвращения несанкционированного подключения к сети и доступа к передаваемой информации. Шифрование используетRC4 алгоритм, принятыйв IEEE 802.11 как WEP стандарт. 64, 128 и 256 bit шифрование доступно для клиентов.
Протокол 802.1x Для аутентификации и авторизации пользователей с последующим предоставлением им доступа к среде передачи данных, разработан стандарт безопасности IEEE 802.1x, который ориентирован на все виды сетей доступа, соответствующие стандартам IEEE. Прежде чем получить доступ к беспроводной (или проводной) сети, клиент должен пройти проверку на сервере RADIUS,и только в случае успешной проверки ему разрешается доступ в есть.
Протокол Wi-Fi Protected Access - WPA • Для замены протокола WEP Wi-Fi была разработана новая система безопасности – WPA. • Основные достоинства WPA: • Усовершенствованный механизм шифрования RC4, основанный на «временном протоколе целостности ключей» - Temporal Key Integrity Protocol. TKIP предусматривает замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. • Механизм проверки целостности сообщений (Message Integrity Check). MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Данные считаются ложными и пакет отбрасывается, если результаты не совпадают. • Аутентификация пользователей при помощи 802.1x и EAP • Возможность работы в сетях класса SOHO без необходимости настройки сервера RADIUS – режим Pre-Shared Key (PSK), позволяющий вручную задавать ключи.
Протокол Wi-Fi Protected Access – WPA 2 WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA. В нём реализован алгоритмшифрования CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol–протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счётчика), использующий алгоритм AES (Advanced Encryption Standard – симметричный алгоритм блочного шифрования), за счет чего WPA2 стал более защищенным, чемпредыдущий тип безопасности. В отличие от TKIP, управление ключами и целостностью сообщений осуществляется одним компонентом, построенным вокруг AES с использованием 128-битного ключа, 128-битного блока. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств.
Wireless и VPN Для дополнительной безопасности вы можете настроить VPN поверх вашей беспроводной сети. Аутентификация пользователей и шифрование трафика средствами VPN обеспечивает надежную защиту. Средства VPN работают на сетевом уровне, транспортом может служить как проводная, так и беспроводная сеть.
Защита при помощи межсетевого экрана(DFL-260/860/1600)
Развертывание ипланирование ибеспроводной сети предприятия • При развертывании беспроводной сети необходимо определить плотность размещения точек доступа для обеспечения роуминга и беспрерывной связи при перемещении клиентов • Необходимо разместить точки доступа так, чтобы: • Увеличить зону покрытия • Обеспечить качество связи и необходимую пропускную способность • Не допустить пересечения каналов точек доступа
Беспроводные сети с максимальной зоной обслуживания
Беспроводные сети с максимальной пропускной способностью
Оценка занятости канала Вид интерфейса утилиты NetStumbler
Оценка занятости канала Вид интерфейса утилиты Inssider 2.0
При планировании беспроводной сети необходимо учитывать следующие моменты: • Расположение точек доступа зависит от необходимой площади охвата и конструкции здания. • Толстые стены, или стены сметаллоконструкциями, будут блокироватьсигнал сильнее, чем светопропускающие конструкции. • Количество стен и перегородок желательно свести к минимуму – каждая стена может сокращать максимальную дистанцию для передачи данных на 1 - 30 м.
Типичные проблемы при проектировании беспроводной сети • Отношение «сигнал - шум (SNR)» - хорошее, но производительность данных - относительно низкая: • Перегруженная сеть – слишком много клиентов пытаются получить доступ к среде передачи • Электрическое устройство, генерирующее радиосигнал, расположено рядом с беспроводным клиентом • Качество связи другого клиента недостаточно хорошее и поэтому возникает много повторной передачи пакетов
Обзор беспроводных продуктов D-Link Точки доступа и беспроводные мосты Беспроводные адаптеры Антенны и кабельные сборки