slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Построение беспроводных сетей PowerPoint Presentation
Download Presentation
Построение беспроводных сетей

Loading in 2 Seconds...

play fullscreen
1 / 93

Построение беспроводных сетей - PowerPoint PPT Presentation


  • 231 Views
  • Uploaded on

Построение беспроводных сетей. Утко Павел. Что такое беспроводные сети ?. Традиционные проводные сети : Данные передаются по витой паре, коаксиальному кабелю, оптоволокну и пр. Требуют затрат на прокладку кабеля

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Построение беспроводных сетей' - zuwena


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2

Что такое беспроводные сети?

  • Традиционные проводные сети:Данные передаются по витой паре, коаксиальному кабелю, оптоволокну и пр. Требуют затрат на прокладку кабеля
  • Беспроводные сети:Данные передаются по воздуху, и сигнал для приема доступен для мобильных пользователей
slide3

Беспроводные сети обладают гибкостьюпри конфигурации и расширении. Могут служить как добавлением, так и заменой проводных сетей при построении сетевой инфраструктуры

  • Пользователи могут свободно перемещаться, т.к. беспроводные сети обеспечивают доступ к сетевым ресурсам компании из любого места.
  • Беспроводные сети не только обеспечивают мобильный доступ, но и сами мобильны, т.к. можно легко переместить сеть в другое место. Быстрая и лёгкая инсталляция.
slide4

Сферы применения беспроводных сетей

  • Внутриофисные сети
  • Домашние сети
  • Выставочные комплексы и конференц-залы
  • Доступ к Интернет в гостиницах, кафе, библиотеках, студенческих городках и т.д. – “hot spot”
  • Сети провайдеров Интернет: подключение клиентов там, где нет возможности протянуть кабель
  • «Гостевой» доступ к корпоративной сети для клиентов и партнеров
slide5

Семейство стандартов беспроводных сетей

IEEE 802.11

Стандарт IEEE 802.11 входит в серию стандартов IEEE 802.X, относящихся к сетям и коммуникациям, сюда также входят такие стандарты, как 802.3 Ethernet, 802.5 Token Ring и т.д. Т.о., стандарт IEEE 802.11 определяет компоненты и характеристики сети на физическом уровне передачи данных и на уровне доступа к середе с учетом беспроводного способа передачи данных и возможности взаимодействия с существующими сетями.

slide6

Стандарты беспроводных сетей - IEEE 802.11b

  • Текущий наиболее распространенный стандарт, совместим с предыдущим стандартом IEEE 802.11
  • Работает на частоте 2,4 ГГц
  • Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS)
  • Поддерживаетскорость соединения 1,2,5.5,11 Мбит/с (реальная скорость передачи данных от 4 до 6 Мбит/с), автоматический или фиксированный выбор скорости
  • Защита данных при помощи шифрования WEP (wired equivalent privacy)
slide7

Стандарты беспроводных сетей - IEEE 802.11a

  • Более сложная передовая технология
  • Работает на частоте 5 ГГц
  • Используется метод мультиплексирования с ортогональным делением частот (OFDM)
  • Поддерживаетскорость соединения до 54 Мбит/с(48, 36, 24, 18, 12, 9и 6Мбит/с), реальная скорость передачи данных от 22 до 26 Мбит/с
  • 12одновременно доступных для работы каналов
  • Защита данных при помощи шифрования WEP (wired equivalent privacy)
slide8

Стандарты беспроводных сетей - IEEE 802.11g

  • Обратная совместимость с устройствами стандарта IEEE 802.11b
  • Работает на частоте 2.4 ГГц
  • Используется метод прямой последовательности с разнесением сигнала по широкому диапазону (DSSS) и метод мультиплексирования с ортогональным делением частот (OFDM)
  • Скорость соединения до 54 Мбит/с, автоматический или фиксированный выбор скорости
  • Защита данных при помощи WPA (Wi Fi Protected Access), 802.1x
slide9

Скорость передачи

  • IEEE 802.11aподдерживаетскорости6, 9, 12, 18, 24, 36, 48, 54 Мбит/с
  • IEEE 802.11bподдерживаетскорости 1,2,5.5,11 Мбит/с
  • IEEE 802.11gподдерживаетскорости 1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54 Мбит/с
  • Более высокая скорость улучшает пропускную способность
  • Более низкая скорость увеличивает дистанцию и надежность
  • Автоматический или фиксированный выбор скорости
slide10

Количество каналов для различных стран. 2.4ГГц

slide11

Канал

Частота

1

2,412 ГГц

2

2,417 ГГц

3

2,422 ГГц

4

2,427 ГГц

5

2,432 ГГц

6

2,437 ГГц

7

2,442 ГГц

8

2,447 ГГц

9

2,452 ГГц

10

2,457 ГГц

11

2,462 ГГц

12

2,467 ГГц

13

2,472 ГГц

Частоты каналов

Каждый канал занимает частотный диапазон в 22 МГц. Например, канал 1 работает в диапазоне от 2,401ГГц до 2,423ГГц, т.е 2,412ГГц ± 11МГц.

slide12

5 channels

5 channels

3 MHz

3 MHz

22MHz

22MHz

22MHz

2400

2483.5

2430

2435

2440

2445

2450

2455

2460

2465

2480

2400

2405

2410

2415

2420

2425

2470

2475

Ch1

Ch6

Ch11

Частоты каналов
slide13

Количество каналов для различных стран. 5ГГц

slide14

Сравнение стандартов беспроводных сетей

slide15

В полосе пропускания систем, соответствующих 802.11b и 802.11g, доступнытолько 3 канала

slide16

В полосе пропускания систем, соответствующих 802.11a, доступны 12 каналов

Middle Band

Upper Band

Lower Band

slide17

Качество канала связи

  • Измеряется отношением Сигнал/Шум (SNR)
  • Высокий уровень сигнала при малых шумах предоставляет наилучший канал связи
slide20

IEEE 802.11h InternationalTelecommunication Union (ITU): используетпротоколыDynamic Frequency Selection (DFS) иTransmit Power Control (TPC) для автоматического выбора другого канала и настройкимощности передачи дляминимизации помех оттаких систем, как радары, обнаруженные натом же канале.

IEEE 802.11i, Wi-FiProtected Access 2 (WPA2) или WPA: блокировканесанкционированного доступа за счетаутентификации пользователей передпредоставлением им доступа к сети; обеспечение целостности данных, передаваемых побеспроводной сети, за счет использованияустойчивого к ошибкам улучшенного стандарташифрования Advanced Encryption Standard (AES)или Temporal Key Integrity Protocol (TKIP).

slide21

Mi-Mo

802.11n — перспективный стандарт, который, как ожидается, позволит увеличить полосу пропускания и диапазон беспроводных сетей. Этот стандарт пока что находится на стадии обсуждения, но его существующая версия уже обеспечивает скорость передачи данных свыше 250 Мбит/с, что более чем вчетверо превышает возможности продуктов 802.11g. Такое быстродействие обеспечивается благодаря более эффективному сжатию данных и использованию антенн, передающих сразу несколько сигналов (эта технология называется MIMO, Multiple In, Multiple Out — "много на входе, много на выходе").

slide22
За счет чего увеличивается производительность:
ieee 802 16
Стандарт IEEE 802.16

Стандарт 802.16 (январь 2003) уровня МАС предназначен для реализации широкополосных каналов последней мили в городских сетях (MAN).

Его задачей является обеспечения сетевого уровня между локальными сетями (IEEE 802.11) и региональными сетями (WAN), где планируется применение разрабатываемого стандарта IEEE802.20.

Эти стандарты совместно со стандартом IEEE 802.15 (PAN - Personal Area Network - Bluetooth) и 802.17 (мосты уровня МАС) образуют взаимосогласованную иерархию протоколов беспроводной связи.

  • Пропускная способность до 135 Мбит/с при полосе несущей 28 МГц.
  • Модуляция OFDM - 64-QAM
  • Доступ к среде адаптивный, динамический
  • Управление сетью централизованное
slide24

Краткие характеристики семейства стандартов 802.16

slide25

Режимы работы беспроводных сетей

  • Беспроводные сетевые адаптеры
  • Ad Hoc
  • Инфраструктуры
  • Точки доступа
  • Точка доступа
  • Беспроводный мост«точка-точка»
  • Беспроводный мост«точка-многоточка»
  • Беспроводный клиент
  • Повторитель
ad hoc
Ad Hoc режим

ПК с беспроводным адаптером, напр. DWL-G520

Ноутбук с беспроводным адаптером, напр. DWL-G650

Одноранговое взаимодействие по типу «точка-точка», компьютеры взаимодействуют напрямую без применения точек доступа

slide27
Инфраструктурный режим

Интернет

ПК с проводным адаптером и общим принтером

Сервер, подключенный к проводному сегменту сети

Маршрутизатор

Проводной сегмент сети

Точка доступа

Беспроводная сеть

ПК с беспроводным адаптером DWL-G520или ноутбук сDWL-G650

Точки доступа обеспечивают связь клиентских компьютеров. Точку доступа можно рассматривать как беспроводной концентратор

slide28

Беспроводный мост между двумя LAN

С помощью беспроводных мостов можно объединять две и более проводных LAN, находящихся как на небольшом расстоянии в соседних зданиях, так и на расстояниях до нескольких км., что позволяет объединить в сеть филиалы и центральный офис

Данное решение позволяет достичь значительной экономии средств и обеспечивает простоту настройки и гибкость конфигурации при перемещении филиалов

slide29

Интернет

Беспроводный мост

Point-to-Point(PTP)

RemoteRouter/ Bridge,

DWL-2700AP

Central Router/ Bridge,

DWL-2700AP

xDSL Модем

Здание A

Здание B

Используется для объединения двух или более проводных сегментов LAN, находящихся на расстоянии до нескольких км.

slide30
Беспроводный мост

RemoteRouter/ Bridge,

DWL-2700AP

Point to Multi-point

PTMP

Здание C

Интернет

RemoteRouter/ Bridge,

DWL-2700AP

Central Router/ Bridge,

DWL-2700AP

xDSL Модем

Здание B

Здание A

Используется для объединения двух и более проводных сегментов LAN, находящихся на расстоянии до нескольких км.

slide31

Интернет

«Последняя миля» в сетях ISP

Wireless ISP

Client Bridge

Access point

RemoteRouter/ Bridge

RemoteRouter/ Bridge

CentralRouter/ Bridge

Access point

RemoteRouter/ Bridge

xDSL модем

Inline Power Injector

Client Bridge

Access point

slide32

Технология WDS (Wireless Distribution System)

Данная технология позволяет,одновременно, подключать беспроводных клиентов, к точкам доступа работающим в режиме “мост”

  • WDS : Беспроводный мост«точка-многоточка»
  • WDS with AP:Беспроводный мост«точка-многоточка» + AP
slide33

Беспроводный мост«точка-точка»

  • Беспроводный мост«точка-многоточка»
  • WDS : Беспроводный мост«точка-многоточка»
  • WDS with AP:Беспроводный мост«точка-многоточка» + AP
wds wireless distribution system
WDS(Wireless Distribution System)
  • Star Configuration
  • Chain configuration
slide35

Screen Monitor II

Screen Monitor II

Дополнительные режимы точек доступа:как правило фирменные, т.е. поддерживаются не всеми поставщиками.

Режим повторителя – Repeater

Точка доступа

Точка доступа в режиме репитер

Сервер

slide36

Screen Monitor II

Screen Monitor II

Точка доступа

Точка доступа в режиме Клиент

Сервер

Точка доступа в режиме Клиент

Режим можно применять при подключении к беспроводной сети устройств с портом Ethernet, но без возможности установки беспроводного адаптера.

slide37

Роуминг в беспроводных сетях

Поскольку клиенты перемещаются в зоне действия от одной точки доступа к другой, роуминг позволяет не терять соединение, а передавать его между точками доступа.

Для этого точки доступа нужно подключить к проводной сети

slide38

Роуминг в беспроводных сетях

Перемещение между точками

Как только пользователь перемещается от одной точки доступа к другой, беспроводной адаптер автоматически переустанавливает соединение и подключается к ближайшей точке для обеспечения лучшего качества сигнала и производительности

slide39

Сигнал-маяк - “Beacon” посылается точкой доступа каждые 100 миллисекунд

  • Клиенты используют этот маякдля оценки качества связи
  • Клиенты тоже могут посылать маяк, или пробный запрос
  • Точка доступа ответит или пошлет маяк
slide40

Основываясь на качестве связи, клиент примет решение, с какой точкой доступа работать.

  • Если он перемещается между ТД, то новая ТД информирует старую через проводное соединение о переустановленном соединении клиента в сети.
  • Т.о., при правильном размещении точек доступа на территории предприятия пользователи смогут перемещаться по ней без потери доступа к сети
slide41
Роуминг – использование одних и тех же каналов для увеличения зоны охвата

1

1

6

11

11

1

Точки доступа, зоны охвата которых пересекаются, должны быть настроены на разные каналы. Но можно использовать одинаковые каналы на точках доступа с непересекающимися зонами охвата. Т.о. можно увеличивать общее покрытие сети практически без ограничений!

slide42

Протокол роумингане включен в 802.11, это нужно учитывать при развертывании беспроводной сети

  • Inter Access Point Protocol(IAPP)Across Distribution Systems -это попытка стандартизовать протокол роуминга (802.11f)
  • Поэтому, роуминг лучше организовывать на продуктах одного поставщика
  • Точки доступа D-Linkпозволяют организовать надежную передачу на территории всего предприятия
slide43

Обработка коллизий в беспроводных сетях

  • Беспроводной адаптер не может обнаружить коллизию в ходе передачи пакета, т.к. метод обнаружения коллизий CSMA/CD не может работать в беспроводной сети.
  • Поэтому для обнаружения коллизий и потери пакета используется метод CSMA/CA (Carrier Sense Multiple
  • Access / Collision Avoidance) с квитированием – на каждый пакет ожидается подтверждение доставки, если такой пакет не пришел – значит произошла коллизия и пакет передается повторно
slide44

A

B

Точка доступа

  • Проблема, называемая “скрытый узел”

Например: компьютеры A и B видят точку доступа, ноне видят друг другапри слабом сигнале. Задача состоит в том, чтобы предотвратить коллизию при одновременной передачи данных точке доступа обоими узлами

С

slide45

Перед отправкой пакета сданными узел A посылает точке доступа пакет Ready-to-send (RTS), который содержит поле с указанием времени занятия канала

  • Если принимающий узел «слышит» этот пакет, он отвечает пакетом Clear-to-send (CTS) и устанавливает свой NetworkAllocation Vector ( NAV )
  • После этого начинается передача данных и т.о. исключается коллизия
slide46

Но компьютер B не слышит этоткадриз-за слабого сигнала от узла А

  • Точка доступа посылает CTS-кадр, содержащий поле резервирования (занятия канала)
  • Компьютер B «слышит»этот кадр и перестраивает свой NAV
  • Итак, коллизий не произошло
slide47

RTS?

A

С

B

С

B

A

С

A

B

С

A

B

CTS!

CTS!

DATA

ACK

slide49

RTS Threshold feature increases available bandwidth by eliminating RTS/CTS traffic from the air, thus reducing the cost. By setting RTS length threshold to a maximum value, the transmitter will effectively never use RTS and the option is virtually switched off. One example is shown in figure. If the hidden station is a non-issue, the threshold can be switched off. If a user decides to switch it on by setting some threshold, there is always a trade off between introducing more overhead and reducing retransmission of messages due to the hidden node problem. The situation in which the RTS/CTS is very helpful is the outdoor point-to-multi-point environment in which the hidden node problem can be a larger problem. The following diagram shows how the RTS/CTS mechanism works for A as a transmitter, B as a receiver and the NAV settings for their neighbors.

slide50

Параметры настройки беспроводных сетей

  • Имя сети – ESSID (Extended Service Set ID)
  • Каждая Точка Доступа должна быть сконфигурирована суникальным ID
  • Защищенный доступ позволяетдоступ к сетитолько клиентам с правильным ID
  • Если к одной подсети подключены несколько точек доступа – им нужно присвоить один и тот же ESSID
slide51

Параметры настройки беспроводных сетей

  • Канал работы беспроводного соединения
  • При настройке точки доступа необходимо указать канал для работы беспроводного соединения.
  • На клиентских устройствах настройку производить не нужно, т.к. адаптер подключается к точке доступа на том канале, который настроен для ее работы.
  • Для увеличения пропускной способности, каналы не должны перекрываться.
slide52
Поиск сети клиентом

Файл-сервер

Интернет

Маршрутизатор

Проводной сегмент сети

Клиент сканирует доступные точки доступа и проверяет, может ли к ним подключиться

Точка доступа

Кадр Beacon посылается как клиентом, так и точкой доступа

Пассивное сканирование

slide53
Поиск сети клиентом

Файл-сервер

Интернет

Маршрутизатор

Проводной сегмент сети

Точка доступа

Точка доступа посылает пробный ответ

Клиент посылает пробный запрос

Активное сканирование

slide54

Управление питанием

  • Поскольку большинство беспроводных устройств работают на батареях, некоторое управление питанием необходимо.
  • 802.11 устройства имеют 2 режима:Нормальный и Сохранения энергии с пробуждением.
    • CAM (continuous aware mode)устройства всегда готовы к работе и принимают пакеты
    • PSP (power save polling)устройства оповещают Точку Доступа, перед тем, как «заснуть», и затем периодически «просыпаются» для проверки сигнала-маяка, что для них есть пакеты
slide55

Безопасность в беспроводных сетях

  • Для обеспечения безопасности в беспроводных сетях используется несколько средств:
  • Контроль за подключением к точке доступа на основе MAC-адресов и имени сети
  • Шифрование на основе протокола WEP (Wired Equivalent Privacy) (RC4)
  • Контроль за доступом к среде передачи на основе протокола 802.1x
  • Поддержка нового протокола WPA
  • Настройка VPN поверх беспроводного соединения
  • Вынос беспроводной сети за межсетевой экран, как сети с низким доверием
multiple ssid
Multiple SSID
  • Multiple SSID можетработать с VLAN-ами:каждый SSID соответствует своему VLAN-у.
  • Multiple SSID можетработать без VLAN-ов: в таком случае AP обслуживает разные группы пользователей с различными WLAN/security свойствами.
  • Подходит для сегментации и классификации подсетей.
  • DWL-XXXXAP поддерживают до 8 SSID (1 – мастер, 7- гостевые).
multiple ssid with vlan
Multiple SSID with VLAN

VLAN1Sales

VLAN1SSID: Sales

VLAN2R&D Dept.

VLAN2SSID: RDDWEP: 64 bit

DWL-3200APAccess Point

VLAN3Financial Dept.

VLAN3SSID: FinanceWEP: 128 bit

multiple ssid without vlan

With Multiple SSID

Without Multiple SSID

Internet

DWL-3200APAccess Point

Multiple SSID without VLAN

SSID: T-MobileWEP: 64 bit

Internet

SSID: AT&TWEP: 128 bit

SSID: VodafoneWEP: 128 bit

what can multiple ssid do for you
What can Multiple SSID do for you?
  • Уменьшение затрат
    • Одна сеть (для всех групп) вместо нескольких.
  • Достижениевысокой загрузкиразвернутых AP
    • Использование различных типов клиентов одной AP (business, consumers, etc.).
  • Минимизация стоимости обслуживания
    • Желание поддерживать различных клиентов без необходимости их перенастройки.
  • Минимизация конфликтов в канале
    • В публичных местах м.б. несколько сетей (различных ISP);
    • радиопомехаужувыделена (3 непересекающихся канала – если каналы заняты, дополнительные APs уменьшат производительность).
slide61

Контроль доступа

По имени сети:можно использовать уникальный ESSID во избежание несанкционированного доступа в Вашу беспроводную сеть

По MAC-адресу:Вы можете задать на точке доступа список MAC–адресов, котором Вы хотите разрешить авторизацию в Вашей группе в сети на Вашей точке доступа.

Максимальное число клиентов в MAC filter лист на точках доступа серии DWL-XXXX?

DWL-900AP+ =50DWL-1000AP+ =50DWL-2000AP =50DWL-2000AP+ =50DWL-2100AP =256DWL-2700AP =256

slide63

Шифрованиепри помощи WEP

Можно включить на всех беспроводных устройствах шифрование всего трафика для предотвращения несанкционированного доступа к передаваемой информации.

Шифрование использует RC4 алгоритм, принятыйв IEEE 802.11 как WEP стандарт.

64 и 128 bit шифрование доступно для клиентов (-24-bit Initialization Vector (IV)увеличивается от 0 на 1 до 2^24=16*10^6 на каждый переданный пакет – в нагруженных сетях реинициализация – каждые 5 часов).

slide64
Как работает WEP

Клиент

Общий ключмежду Клиентом и Точкой доступа

Точка доступа

Изначальные данные : 01000111101001001110010

Зашифрованные данные: 00101001000100010011011

Шифрация при помощи ключа

Дешифрация при помощи ключа

Зашифрованные данные : 00101001000100010011011

Изначальные данные: 01000111101001001110010

Все клиенты используют один и тот же ключ

slide65
Настройка WEP

Настройка WEP на стороне клиента

Настройка WEP на стороне точки доступа

slide66

Протокол 802.1x

Для аутентификации и авторизации пользователей с последующим предоставлением им доступа к среде передачи данных, разработан стандарт безопасности IEEE 802.1x, который ориентирован на все виды сетей доступа, соответствующие стандартам IEEE.

Данная система предназначена для совместной работы EAP (Extensive Authentication Protocol) и RADIUS.

Прежде чем получить доступ к беспроводной (или проводной) сети, клиент должен пройти проверку на сервере RADIUS и только в случае успешной проверки ему разрешается доступ в есть.

slide67
Протокол EAP
  • Изначально был создан для протокола Point-to-Point protocol (PPP)
  • Служит для установки и подтверждения аутентификации
  • Не зависит от применяемого метода аутентификации
  • Может быть легко использован для инкапсуляции других методов
802 1 x
Работа 802.1x

Точка доступа запрашивает подлинность сообщением EAP-request identity

Сервер аутентификации проверят подлинность клиента одним из заданных алгоритмов

Клиент шлет сообщение EAP-start

Сервер Аутентификации

Точка доступа шлет пакет EAP-success packet (или reject) клиенту

Клиент шлет сообщение EAP-response содержащее подтверждение своей подлинности для сервера аутентификации

Сервер шлет сообщение acceptили rejectна возможность доступа

Если сервер аутентифицировал клиента, точка доступа переводит клиента в состояние авторизации и начинает пропускать трафик от клиента

EAP : Extensible Authentication Protocol

slide69

Портавторизован

Портне авторизован

IEEE 802.1x, EAP, RADIUS

Сервер RADIUS(Сервер аутентификации)

Рабочая станция(Клиент)

Точка доступа

(Аутентификатор)

EAPOL-Start

EAP-Request/Identity

EAP-Response/Identity

RADIUS Access-Request

EAP-Request/OTP

RADIUS Access-Challenge

EAP-Response/OTP

RADIUS Access-Request

RADIUS Access-Accept

EAPOL-Logoff

RADIUS Account-Stop

RADIUS Ack

* OTP (One-Time-Password)

slide70

Протокол Wi-Fi Protected Access - WPA

  • Для замены протокола WEP Wi-Fi была разработана новая система безопасности – WPA.
  • Основные достоинства WPA:
  • Более надежный механизм шифрования, основанный на «временном протоколе целостности ключей» - Temporal Key Integrity Protocol (TKIP)
  • Аутентификация пользователей при помощи 802.1x и EAP
  • Возможность работы в сетях класса SOHO без необходимости настройки сервера RADIUS – режим Pre-Shared Key (PSK), позволяющий вручную задавать ключи

WPA2основан на протоколе безопасности беспроводных сетей 802.11i обеспечивает более сильный механизм шифрования Advanced EncryptionStandard (AES).

slide71

Запрос аутентификации

После аутентификации сервер предоставляет ключ шифрации TKIP

Работа WPA

Сетевые ресурсы

Точка блокирует доступ до аутентификации

Запрос на соединение

Authenticator

Клиент

Клиент предоставляет сертификат

Сервер аутентификации

slide73

Wireless и VPN

Для дополнительной безопасности вы можете настроить VPN поверх вашей беспроводной сети.

Аутентификация пользователей и шифрование трафика средствами VPN обеспечивает надежную защиту.

Средства VPN работают на сетевом уровне, транспортом может служить как проводная, так и беспроводная сеть.

slide74

Защита при помощи межсетевого экрана(DFL-210/800/1600) или шлюза безопасности (DSA-3110/5110)

slide75

Планирование и развертываниебеспроводной сети предприятия

  • При развертывании беспроводной сети нужно определить плотность размещения точек доступа для обеспечения роуминга и беспрерывной связи при перемещении клиентов
  • Необходимо разместить точки доступа так, чтобы:
  • Увеличить зону покрытия
  • Обеспечить качество связи и необходимую пропускную способность
  • Не допустить пересечения каналов точек доступа
slide76

Пример расположения точек доступа и настройки каналов

slide77

При планировании беспроводной сети необходимо учитывать следующие моменты:

  • Расположение Точек Доступа зависит от необходимой площади охвата и конструкции здания.
  • Толстые стены, или стены с металлоконструкциями, будут блокировать сигнал сильнее, чем светопропускающие конструкции.
  • Количество стен и перегородок желательно свести к минимуму – каждая стена может сокращать максимальную дистанцию для передачи данныхна 1 - 30 м.
slide78

Распространение сигнала

Препятствие из земли

Прямой путь

Рассеяние

Препятствие из листвы

Отражение

Экранирование зданием

slide79

Располагайте беспроводные устройства по прямой линии: стена толщиной в 0,5 м. При расположении устройств под углом в 45 градусов становится толщиной почти 1м.

Прямая линия

Угол в 45 градусов

0,5 м

Около 1 м

45 °

стена

стена

slide80

Офисная мебель, кабинеты, могут образовывать “тени” в зоне охвата.

  • Для получения широкой зоны охвата необходима прямая видимость.
  • Удостоверьтесь, что антенна настроена для лучшего приема
slide81

Используя поставляемые с устройствами утилиты для оценки качества связи, необходимо построить карту зоны охвата в заданном помещении.

Например:Утилита к Беспроводному адаптеру имеет функцию диагностики, позволяет определить уровень сигнала по каждому каналу. Также можно проверить качество связи между клиентом и точкой доступа.

slide82

Некоторые типичные проблемы при проектировании беспроводной сети

  • Отношение сигнал - шум (SNR) хорошее, но производительность данных - относительно низкая:
  • Перегруженная сеть – слишком много клиентов пытаются получить доступ к среде передачи
  • Электрическое устройство, генерирующее радиосигнал, расположено рядом с беспроводным клиентом
  • Качество связи другого клиента недостаточно хорошее и поэтому он возникает много повторной передачи пакетов
  • Коллизии, возникающие из-за проблемы «скрытый узел»
slide83

Концентрация пользователей на точку доступа слишком высокая:

  • Разместите ближе точки доступа, чтобы распределить нагрузку
  • Добавьте дополнительные точки доступа к беспроводной сети
  • Уровень сигнала низкий:
  • Устройства могут быть слишком далеко друг от друга
  • Имеется преграда между устройствами
slide84

Обзор беспроводных продуктов

D-Link

  • Шлюзы безопасности
  • Точки доступа
  • Беспроводные интернет-шлюзы, принтсерверы, шлюзы VоIP, сетевые накопители, IP камеры.
  • Беспроводные адаптеры
  • Устройства Power over Ethernet (РоЕ)
  • Антенны
slide86

С ростом популярности беспроводных сетей быстро развивается новый вид услуг для доступа в Интернет - создание публичных зон доступа -HOTSPOT.

DSA-3110. Основные характеристики

  • 7 портов 10/100Mбит/с Fast Ethernet, консольный порт RS-232 для управления
  • 4 независимо конфигурируемых интерфейса
  • Конфигурация интерфейсов со статическим адресомили DHCP
  • Поддержка до 50 одновременных подключений VPNPPTP в режиме он-лайн
  • Размещение до 250 учетных записей пользователей вовнутренней базе данных
  • Аутентификация и авторизация, основанные наID/Пароле
  • Поддержка шифрования MPPE
  • Поддержка протокола RADIUS и внутреннего механизма аутентификации
  • Экспорт статистики по протоколу NetFlow v.5
  • Ведение журнала событий (Syslog)
  • Базовая ОС Linux (Встроенные текстовые редакторы vi и nano для создания и редактирования внутренних конфигурационных файлов)
  • Интерфейсы управления: WEB, SSH, Telnet, консольноеподключение (консоль базовой ОС Linux)
slide87

Интернет

Беспроводная сеть без шлюза безопасности

Коммутатор

Точка доступа

Клиент

Точка доступа

Уязвимость

Database / Filel Server

Клиент

Точка доступа

slide88

LOGIN ID. :

PASSWORD :

3

Интернет

2

1

Беспроводная сеть со шлюзом безопасности

Шлюз безопасностиDSA-3110

Точка доступа

Клиент

Точка доступа

Database / File Server

Клиент

Точка доступа

dsa 31 1 0

No Need

Функции DSA-3110
  • Нет необходимости установки клиентского ПО
  • Клиент может использовать любой браузер для ввода пароля
  • Доступ с использованием SSL для обеспечения безопасного соединения
dsa 31 1 01

Контроль полосы пропускания

Без настройки полосы пропускания

Клиенты, находящиеся ближе к Точке Доступа будут захватывать доступную полосу пропускания

Более удаленные пользователи получат низкую пропускную способность

Функции DSA-3110
  • Контроль полосы пропускания для групп пользователей
  • Для предотвращения захвата полосы пропускания можно назначить максимальную полосу для групп пользователей