Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист

У разі Централізованої архітектури повне управління інфраструктурою мережі радіодоступу виконується контролером WLAN. Наприклад, у Cisco подібна архітектура називається CUWN (Cisco Unified Wireless Network). Контролер у централізованому рішенні управляє завантаженням/зміною ПЗ, змінами конфігурації, RRM (динамічне управління радіоресурсами), управляє зв'язком мережі WLAN із зовнішніми серверами (ААА, DHCP, LDAP і т.п.), управляє аутентифікацією користувачів, управляє профілями якості обслуговування QoS та спеціальними функціями. Більше того, контролери можуть об'єднуватися в групи для забезпечення безшовного роумінгу клієнтів між різними точками доступу в зоні покриття. Наприклад, у рішеннях Cisco Systems можна об'єднати десятки контролерів в один мобільний домен і, відповідно, до декількох десятків тисяч точок доступу. Створення подібних мобільних доменів дозволяє забезпечити безшовні хендоверів (у термінах Wi-Fi - це роумінг) між точками доступу керованих як одним контролером, так і різними. Існують ефективно працюючі мережі, кількість точок доступу в яких наближається до 100.000. Подібних масштабів можна домогтися тільки в керованій архітектурі рішення. Слід зазначити, що централізовану архітектуру в своїх рішеннях вже пропонують різні виробники.

Для точок доступу або маршрутизаторів з Wi-Fi необхідно орієнтуватися на підтримку 802.11n.

На базі технології Wi-Fi розгортаються різноманітні рішення, наведемо кілька прикладів за напрямами:

- Wi-Fi-доступ для дому (з використанням невеликих домашніх маршрутизаторів з Wi-Fi, наприклад CiscoLinksys, D-Link, Netgear і т.д.).

Найчастіше в квартирі встановлюється один домашній маршрутизатор з Wi-Fi (зазвичай 2.4GHz, але краще, якщо 2.4 +5 GHz), який підключається тим чи іншим проводовим інтерфейсом до мережі провайдера і надає безпровідний доступ домашнім користувачам. Тут має сенс обзавестися хоча б найпростішим програмним забезпеченням типу Wi-FiAnalizer під Android і перевірити, на яких частотних каналах працюють подібні пристрої сусідів. Часто більшість використовує ідентичні канали. Аналіз спектра дозволить налаштувати ваш пристрій на незайняті канали, або канали з найменшим рівнем сигналу. І не забувайте включати WPA2 (зазвичай WPA2-Personal з PSK).

- SOHO/SmallOfficeHomeoffice - Wi-Fi-доступ для невеликого офісу (використовуються невеликі роутери з Wi-Fi, більш продуктивні і багатофункціональні, ніж домашні роутери, наприклад, CiscoWAP, WET, AP, Cisco ISR з Wi-Fi модулями і ряд інших схожих функціонально пристроїв, а також Точки Доступу в Автономному режимі). Тут якраз найчастіше дуже виправдано використання одного багатофункціонального, але продуктивного пристрою. Зона покриття невелика, доступного місця мало, але навантаження вже може бути істотно вище, ніж у квартирі, і вимоги до стабільності несумірні. Тому краще всього обрати спеціалізований пристрій, спроектований для даних завдань.

- Невеликі корпоративні мережі доступу Wi-Fi (частина поверху, поверх, невелика будівля тощо). Тут дуже добре можуть застосовуватися рішення з централізованою архітектурою, але розраховані на невелику кількість рідко даний рівень вирішення має бути більше 10-20 точок доступу. Тому варто підібрати невеликий сучасний контролер (наприклад, Cisco 2500, Aruba 3000) на базі окремого пристрою або як модуль в багатофункціональний маршрутизатор (наприклад, модуль SRE в маршутізатор CiscoISR).

- Великі корпоративні мережі доступу Wi-Fi (університетські кампуси, корпоративні кампуси, офісні кампуси, заводські території, порти тощо). Для подібних завдань централізована архітектура з потужними та функціональними контролерами - це єдино правильний підхід. Можна використовувати сучасні контролери (наприклад Cisco 5508, ArubaA6000, PCM-сервер у HP), розгорнуті в Датацентрі мережі. Якщо виробник пропонує рішення на модулях для комутаторів або маршрутизаторів (наприклад, CiscoWiSM, WiSM2), то можна їх використовувати і на Кордоні мережі (згадаймо трирівневу модель). Централізована архітектура дозволить забезпечити практично будь-який масштаб мережі та ефективно управляти нею з єдиної точки з мінімальним навантаженням на ІТ-персонал.

- Так звані «бранчі» (Branches) - Wi-Fi-доступ для маленьких віддалених офісів (об'єднує велику кількість невеликих віддалених офісів під централізованим управлінням, наприклад, широко використовується в банківській сфері для зв'язку штаб-квартири з віддаленими офісами; тут найчастіше зв'язок між віддаленими офісами і центральної штаб-квартирою організовується за орендованим каналом у операторів зв'язку, а іноді і через супутникові канали).

У даному випадку ключовою проблемою є те, що в силу звичайної практики мінімізації витрат у бізнесі, комунікаційні канали для зв'язку з малими офісами із штаб-квартири рідко бувають виділеними, широкими і надійними. Найчастіше підключення малих віддалених офісів виконується шляхом "підключення до інтернету" через найближчого і дешевого провайдера, а про підписання контракту з SLA (ServiceLevelAgreement) з цим провайдером ніхто й не замислюється (а провайдер, ймовірно, навіть не забезпечує такими послугами). Доступ до корпоративної мережі організовується через VPN. При такому підході дуже часто виникає ситуація, коли канал у віддаленому офісі падає або виникають перевантаження на мережі провайдера або на стику його мережі з мережею провайдера, до якого підключена штаб-квартира, і зв'язок зі штаб-квартирою тимчасово пропадає або стає дуже нестабільним. У будь-якому випадку подібні проблеми не скасовують бажання мати бездротову мережу в віддаленому офісі, але якщо таких офісів багато (як майже в кожному банку), то обслуговування їх стає великою проблемою, оскільки тримати ІТ-персонал в кожному офісі просто не рентабельно, а посилати інженера з центру при найменших проблемах з мережею довго і дорого. Рішення має забезпечувати:

- Централізоване управління всім конгломератом віддалених Wi-Fi мереж (у віддалених офісах) з центрального сайту. Причому це не повинно залежати від різних характеристик каналів «віддалений офіс - штаб-квартира»; при цьому повинен бути можливий централізований моніторинг, розв'язання проблем та конфігурування віддалених пристроїв.

- Надання послуги Wi-Fi в віддаленому офісі і при тимчасовому зникненні зв'язку з центральним сайтом (з обов'язковою підтримкою аутентифікації і можливістю входу / виходу Wi-Fi-клієнтів),

- Можливість як центральної комутації користувача трафіку (висновок трафіку з віддаленого сайту в центральний), так і локальної комутації (у віддаленому офісі).

- Зовнішні міські мережі доступу Wi-Fi (точки доступу розташовуються на вулиці і надають сервіс цілий рік поза приміщеннями, наприклад, для міських служб, городян і гостей міста). У даному випадку найбільший інтерес викликають повнозв'язні мережі Wi-Fi (Mesh), де послуга кінцевим користувачам надається через один радіоінтерфейс точки доступу (зазвичай 2.4GHz), а через інший (зазвичай 5GHz) формується транспортний радіоканал з сусідніми точками доступу. У Mesh-мережах зазвичай присутні два типи точок доступу: тип Mesh (MAP у Cisco) і Root (RAP у Cisco), де RAP з'єднується з провідний мережею, а на MAP будується бездротова частина мережі. У мережі Mesh формуються дерева з корінням в RAP, а дерева будуються за допомогою спеціалізованих протоколів (IAPP у Cisco). Гілки дерев, як правило, не повинні перевищувати 8 хопів, але тут все впирається в профілі трафіку на мережі й послуги, а також у конструкцію точок доступу (якщо в 5GHz присутній один радіомодуль, то на кожному хопі пропускна здатність бекхола падає практично в два рази, а якщо є два незалежних радіомодуля 5GHz, то пропускна здатність знижується мінімально). Сама інфраструктура Mesh зазвичай керується Контролером WLAN. Дуже добре, якщо програмне забезпечення контролера WLAN може одночасно керувати і точками доступу в звичайному режимі та в Mesh-режимі, так як це дозволяє гнучко підходити до проектування мережі і пов'язувати як зовнішні домени, так і внутрішні для забезпечення безшовної мобільності на мережі.

Необхідно відзначити, що подібні рішення часто застосовуються і для таких "вуличних/зовнішніх" проектів, як покриття кар'єрів, заводських територій, ліній рейкового транспорту тощо.

Різні рішення для спеціальних випадків (тим не менш, досить широко поширене):

· ангари, склади,

· заводські цехи,

· рішення для залізничного транспорту (надземного і підземного - тут підходи різні),

· рішення для авіаційного транспорту,

· рішення для великих торгових центрів,

· рішення для стадіонів і великих демонстраційних або концертних залів (тут характерна висока щільність користувачів),

· рішення для лікарень і госпіталів і т.п.

У всіх цих випадках централізована архітектура найбільш правильний вибір, а рішення треба розробляти з урахуванням особливостей задачі.

Необхідно відзначити, що для реалізації Wi-Fi-рішень у різних умовах оточеннях розроблені і використовуються Точки Доступу трьох основних типів конструкцій:

1. ТД для використання всередині приміщень/"офісний" варіант

(Часто такі ТД характеризуються привабливим зовнішнім виглядом, інтегрованими антенами і відносно вузьким температурним діапазоном, наприклад, 0 - +40 гр С),

2. ТД для використання всередині приміщень/"ангарного-складський" варіант. (Часто такі точки доступу мають металевий корпус, можливість використання зовнішніх антен і більш широкий температурний діапазон, наприклад, -20 - +55 гр С),

3. Токи доступу для використання поза приміщеннями, на вулиці/"вуличний" варіант (Часто характеризуються посиленим зовнішнім корпусом, зовнішніми, іноді інтегрованими антенами, вологозахищеним корпусом і з'єднаннями, широким температурним діапазоном, наприклад, -40 - +55 грС).

Треба також відзначити, що існують моделі зі спеціальними корпусами, призначеними для дуже важких оточень, наприклад, для небезпечної атмосфери, як на хімічних або нафтопереробних підприємствах і т.п. Також важливо знати, що існує пропозиція спеціальних термочохлів, що дозволяють використовувати внутрішні точки доступу поза приміщеннями, а також вибухобезпечних кожухів для особливо небезпечних зон, але тут треба дуже акуратно й уважно дослідити питання, перш ніж робити висновки.

2.2 Підходи до планування та проектування розвиненої мережі Wi-Fi

Як показує практика, у типовій російській дійсності до Wi-Fi зазвичай ставляться як до простої і невимогливою технології. І найпоширеніший підхід - це прикинути необхідну кількість точок доступу на око, замовити, а потім розбиратися. На жаль, результати подібного підходу плачевні, і навіть з висококласним устаткуванням можна спостерігати вкрай нестабільні і неякісні за рівнем обслуговування в мережі результати.

З іншого боку, вимоги до бездротового доступу ростуть постійно, зростає набір важких послуг, які вже можна якісно передавати по Wi-Fi або надавати з використанням Wi-Fi. Значна частина проектів вже вимагає розробки «по ємності», а не «по покриттю». Необхідно обслуговувати малопотужні термінали, наприклад смартфони або мітки RFID.

Все це веде до одного - необхідно приділяти серйозну увагу такій важливій частині будь-якого бездротового проекту, як польове радіообстеження об'єкта (SiteSurvey). Зазвичай це не викликає питань для мереж 2G, 3G або WiMAX, а от Wi-Fi - "це просто" і "не варто морочитися", а потім - "упс, мережа працює криво".

Почати необхідно з аналізу своїх поточних побажань та обговорення майбутнього розвитку інфраструктури всередині компанії. Краще, якщо це буде «мозковий штурм» керівників IT-департаменту, маркетингу, операцій і т.п. Інакше, якщо рішення будуть приймати лише «технарі», то після запуску часто виявляється, що вже через пару місяців керівництво або «продавці», побачивши десь статтю про можливості Wi-Fi, хочуть це мати і в себе, а мережа спроектована під інші вимоги, і все починається спочатку (включаючи нове обстеження об'єкта, проектування, пошук місць і портів під додаткове обладнання тощо). Приклад питань для обговорення:

- На яких частотах буде працювати рішення?

- В яких умовах передбачається розгортання? (План приміщення, особливості будівельних конструкцій, висота стель і т.п.?)

- Чи передбачається робота в складній радіообстановці? (Багато перешкод, наприклад в машинобудівних цехах тощо), хоча це обов'язково для перевірки в ході радіообстеження об'єкта;

- Яка кількість користувачів (з них активних - одноразово споживають послуги) очікується на мережі?

- Як розподілятимуться користувачі по мережі? (Важливо врахувати можливі зони концентрації і очікувана кількість користувачів в цих зонах)

- Які послуги необхідно надавати користувачам при запуску мережі і як це буде розвиватися в осяжній перспективі, наприклад: доступ до Інтернету тощо. Такий інструмент дозволяє побудувати модель, точну рівно на стільки, наскільки точні вхідні дані. Але, на жаль, абсолютної точності вхідних даних не можна забезпечити за визначенням, як і неможливо закласти стан радиосереди та умови для багатопроменевого поширення, загасання сигналів і т.п. Тому до результатів роботи подібного інструментарію треба ставитися обережно.

Відразу виникає питання - тоді навіщо цей крок потрібен? Використання подібного софта дозволяє робити наступне:

1. Формувати досить якісні оцінки необхідної кількості точок доступу і, нерідко, відповідні хороші пропозиції. Але це саме оцінка, а не фінальні значення!

2. Створювати ідеальну модель розміщення точок доступу прямо на карті майбутньої зони покриття реальної мережі. Ці дані можна дуже ефективно використовувати як основу для проведення польового радіообсеження. Можна розміщувати реальні точки доступу прямо в місця, зазначені в попередньому дизайні на карті, знімати поточні показання та тюнить ідеальну модель до реальної.

Подібний програмний модуль вбудований, наприклад, у відомі системи управління WLAN від Cisco: WCS / Wireless Control System і нову Cisco Prime NCS/Network Control System. До речі, ці системи є в демо-версіях (повноцінна система), доступних на протязі 30 днів. Можна завантажити з сайту Cisco.

Тут вже можна обговорювати питання топології транспортної інфраструктури для підтримки передбачуваної топології Бездротової мережі Wi-Fi, а також наявністі портів мережі передачі даних (краще з підтримкою 803.3af/PoE-PoweroverEthernet) в зоні покриття і розеток 220В, якщо не всюди доступні порти з РоЕ.

Далі, вже достатньо підготовленими, можна переходити до польового радіообстеження. Тут, крім описаної інформації, необхідно використовувати аналізатор спектру для розглянутого частотної ділянки і спеціальний інструментарій (ПЗ + радіоблок з антеною) для виконання радіообстеження. Вкрай важливо виконувати не просто пасивне обстеження (PassiveSiteSurvey) зі збором інформації про рівень сигналу, а робити активне обстеження (ActiveSiteSurvey), при якому постійно передається трафік даних і знімаються свідчення 'сигнал + реально досяжна швидкість передачі даних 'у великій кількості точок зони покриття. Для генерації тестового трафіку часто використовується iPerf. Таким чином виходить реальна картина швидкостей незалежно від рівня сигналу, що дуже добре, тому що далеко не завжди працює лінійна залежність - чим вище рівень сигналу і SNR, тим більше MCS (Modulation&CodingSchema) і тим вище досяжна швидкість передачі для кінцевих користувачів.

Інструментарій для обстеження виробляє багато компаній, наприклад AirMagnet (поглинений FlukeNetworks), Ekahau тощо.

Важливі нюанси:

- При радіообстеженні важливо використовувати саме ті точки доступу і антени (якщо із зовнішніми антенами), які будуть використані на реальній мережі,

- При радіообстеженні важливо виконувати тести з використанням найгіршого користувацького пристрою (по радіо-характеристикам), яке очікується побачити і обслуговувати на даній мережі. Часто це смартфони або мітки RFID. Після завершення радіообстеження виконується:

- Остаточний дизайн Бездротової мережі,

- Остаточний дизайн транспортної інфраструктури,

- Остаточний дизайн (або доробки) центрального сайту всієї мережі,

- Аналіз та дизайн інтеграції розроблюваного рішення з існуючими системами,

- Рекомендації до майбутнього розгортання рішення,

- Уточнюється кількість необхідного обладнання, після цього можна переходити до замовленням. 

2.3 Радіообстеження зони покриття мережі Wi-Fi

Проект бездротової мережі Wi-Fi завжди повинен включати в себе радіообстеження об'єкта на стадії проектних робіт і до початку інсталяції обладнання. Це єдина дійсно реальна можливість, при правильному проведенні, отримати достатньо підстав для створення працездатного рішення бездротової мережі з передбачуваними характеристиками.

У бездротових системах дуже складно передбачити поширення радіохвиль і визначити наявність інтерференції без використання тестового обладнання. Навіть якщо ви використовуєте всенаправлені омні-антени, в дійсності радіохвилі не поширюються на однакову відстань у всіх напрямках. Замість цього різні перешкоди, як, наприклад, стіни, двері, ліфтові шахти, люди саричиняють різний рівень загасання сигналу, що є причиною того, що діаграма спрямованості радіо стає неоднозначною і непередбачуваною. У результаті, часто необхідно виконувати радіообстеження зони покриття Wi-Fi-мережі (SiteSurvey) для повноцінного розуміння поведінки та поширення радіосигналів до початку розгортання точок доступу бездротової мережі.

Основна мета радіообстеження (SiteSurvey) - це отримання достатнього обсягу інформації, щоб визначити кількість і позиції точок доступу для надання необхідного покриття всередині всієї цільової зони. У більшості випадків потрібне покриття визначається забезпеченням мінімальної швидкості передачі даних (datarate). Радіообстеження також визначає присутність інтерференції, яке йде від інших джерел, яка може знизити продуктивність WLAN.

Вимоги та складність радіообстеження об'єкта будуть змінюватись в залежності від самого об'єкта і його характеристик. Наприклад, невеликий офіс, що складається з декількох кімнат відкритого типу, може взагалі не вимагати радіообстеження. Хоча інтерференцію, тим не менш, перевірити варто. Цей сценарій, ймовірно, може бути реалізований шляхом установки однієї точки доступу десь в офісі, і можна очікувати, що покриття для загальних завдань буде адекватним. Якщо ж точка доступу зіткнеться з інтерференцією від ЛОМ сусіднього офісу, то, найімовірніше, перехід на сусідній канал, який не перекривається, може вирішити проблему. Радіообстеження ніколи не треба заміщати кабінетною аналітикою навіть у разі проектування невеликих мереж.

Великі приміщення, такі великі офіси, житлові будинки, лікарні, ангари, цехи зазвичай вимагають детального радіообстеження. Без обстеження користувачі зіткнуться з недостатнім покриттям і будуть відчувати проблеми з продуктивністю мережі (пропускною здатністю) у деяких зонах. Навряд чи захочеться заново міняти місця встановлення кількох десятків точок доступу, а також всі їх підключення, якщо проблема вимагає редизайну радіопідсистеми вже після розгортання.

При проведенні радіообстеження об'єкта для Wi-Fi необхідно зробити наступні кроки:

1. Отримати план приміщення

До початку радіообстеження отримайте план всієї території майбутньої мережі, включаючи поверхові плани всіх приміщень, де передбачається покриття. Якщо немає нічого доступного, то намалюйте свій план з розмірами і вкажіть положення всіх стін, переходів, вікон, ліфтів тощо.

2. Візуально оглянути весь об'єкт

До початку будь-яких тестів пройдіть по всьому об'єкту і перевірте точність планів приміщень. Це також хороший момент для виявлення потенційних перешкод, які можуть впливати на поширення радіосигналів. Наприклад, візуальне обстеження допоможе виявити такі перешкоди для радіосигналу, як металеві шафи та перегородки, яких зазвичай немає на плані приміщення.

3. Визначити місця знаходження майбутніх користувачів WLAN

На плані приміщення відзначте зони знаходження користувачів з провідним і бездротовим з'єднанням. Додатково проілюструйте де може знадобитися роумінг для бездротових / мобільних користувачів, а також куди вони не ходять. Можливо вдасться обійтися меншою кількістю точок доступу, якщо вдасться обмежити зони роумінгу або взагалі перейти до моделі організації «гарячих зон» Wi-Fi, а не суцільного покриття.

4. Визначити тип і модель точок доступу в майбутньої мережі.

Виходячи з первинного повного обстеження об'єкту і зібраної інформації необхідно визначитися з типами точок доступу, антен для майбутньої мережі. Це може залежати від великої кількості факторів, наприклад: необхідність використання інтегрованих антен, коли є вимоги з естетики; високі стелі, відповідно до рішення із зовнішніми антенами; зони високої щільності користувачів, необхідне збільшення ємності шляхом формування вузьких осередків, відповідно точки із зовнішніми антенами з вузькою діаграмою спрямованості.

5. Визначити попередні місця встановлення точок доступу.

Попередньо можна оцінити місце розташування і кількість точок доступу для забезпечення адекватного покриття необхідної зони шляхом аналізу місць положення користувачів WLAN, очікуваної зони покриття і величини осередків, сервісів на мережі і самих елементів радіопідсистеми. Для забезпечення суцільного покриття необхідно планувати деяке перекриття осередків суміжних точок доступу, але треба пам'ятати, що при призначенні каналів для точок доступу (при ручному конфігуруванні або при попередньому плануванні) Крапка з ідентичним частотним каналом повинна бути досить далеко від даної, або була мінімальною інтерференція від випромінювання через сусідню крапку доступу. Пам'ятайте, що в спектрі 2.4GHz у нас доступні лише три частотних каналу 1, 6 і 11, які не перекриваються. Також варто додати, що достатнім рівнем перекриття осередків можна вважати:

- Перекриття порядку 10-15% при наданні сервісу передачі даних, як основної послуги,

- Перекриття порядку 20%, коли на мережі надаються голосові послуги VoIP через Wi-Fi,

Гарною підмогою в справі попереднього і обгрунтованого визначення положення точок доступу може стати спеціальний програмний модуль для планування мережі Wi-Fi. Подібний програмний модуль вбудований, наприклад, у відомі системи управління WLAN від Cisco: WCS/Wireless Control System і нову Cisco Prime NCS/Network Control System. До речі, ці системи є в демо-версіях (повноцінна система з обмеженим терміном дії), доступних на протязі 30 днів. Можна завантажити з сайту Cisco.

Але це тільки полегшує проведення радіообстеження, не заміщаючи його. З оцінкою розташування точок доступу на плані приміщення необхідно проводити обстеження, перевіряти і коригувати рекомендовані положення.

Необхідно виявити відповідні монтажні позиції для інсталяції антен, кабелів передачі даних і кабелів живлення. Також враховуйте необхідність застосування різних типів антен, коли приймаєте рішення щодо позиції точки доступу. Наприклад, якщо передбачається монтувати точку доступу поруч із зовнішньою стіною будівлі, то в цьому випадку можливий і кращий підхід - це використання спрямованої панельної антени з відносно високим посиленням всередині будівлі. Якщо передбачається використовувати точки доступу з інтегрованими антенами, то вони часто мають діаграму спрямованості таку, що найбільш правильно їх розташовувати на стелі (обов'язково виступаючими всередину приміщення). У даному випадку висота стелі повинна бути звичайною для офісів. Для приміщення з високими стелями або в цехах / ангарах використовуйте точки доступу з направленими антенами.

6. Перевірка місць положення точок доступу і реального рівня параметрів мережі.

Це відбувається на початку реальних тестів. Зазвичай розміщується кілька точок доступу в попередньо сплановані позиції на об'єкті і проводяться натурні тести з використанням спеціалізованих інструментів для проведення радіообстеження, наприклад Ekahau, Fluk / AirMagnet і т.п. Дуже важливо використовувати при обстеженні саме ті моделі точок доступу та антен, які згодом будуть на реальній мережі, а також виконувати тести з урахуванням найгірших за радіохарактерістіками користувача пристроїв, які Ви очікуєте побачити на своїй мережі. Також дуже важливо проводити не просто пасивні тести знімаючи характеристики саме радіомережі, а треба робити Активні тести з формуванням реального навантаження від трафіку (зазвичай є вбудовані механізми в інструменти з активним функціоналом радіообстеження), тому що тільки це покаже реальну картину майбутньої поведінки мережі.

Дуже корисно також мати в арсеналі аналізатор спектру для частотних діапазонів 2.4GHz і 5GHz. Це дозволить виявити і точно уявляти собі інтерференційну картину в зоні покриття.

Діаграми спрямованості основних типів антен для Wi-Fi

- Омні-антена (всеспрямована) діаграма спрямованості виглядає як Тор (у західних джерелах часто можна бачити назву Donut, відомий,як пончик), з точкою доступу або її антенами в центрі рис.2.1.

Найбільш часто така діаграма зустрічається у точок доступу з інтегрованими антенами, у точок доступу із зовнішніми антенами типу Диполь, Монополь, із зовнішніми багатоелементними Омні-антенами з рознесенням випромінюючих елементів для підтримки MIMO. Специфіка випромінювання антени такого типу завжди накладає свої умови на розміщення в зоні покриття. Треба бути дуже акуратними з розміщенням поблизу металевих стін і конструкцій (стіна ангара, мет. шафи, ліфтові шахти, силові конструкції будівель тощо), щоб не отримати потужне відбиття і багатопроменеве поширення власних сигналів (multipath), що призведе до інтерференції і деградації продуктивності.

- Спрямована антена діаграма спрямованості виглядає як груша з точок доступу у вузькій частині цієї "груші" рис.2.2.

Найчастіше, як "спрямована", використовується Панельна (Patch), хоча є маса інших типів, наприклад Яги. Якщо точка доступу підтримує 802.11n, то вона повинна підтримувати MIMO. Сучасні точки доступу підтримують MIMO аж до 4х4, що означає наявність чотирьох передавачів і чотирьох приймачів. Для максимальної ефективності системи та використання можливостей рознесення (diversity) краще використовувати рекомендовані виробником антени (це стосується і випадку з Omni).

Антени спрямованого типу широко застосовуються для забезпечення покриття в приміщеннях з високими стеля (при монтажі точок доступу на стелі або в Пленумі), в дизайнах WLAN з високою щільністю користувачів, де необхідно створювати вузькі комірки і підвищувати загальну ємність мережі.



РОЗДІЛ 3. СТВОРЕННЯ БЕЗДРОТОВОЇ КОРПОРАТИВНОЇ МЕРЕЖІ WI-FI ТА ЇЇ ЗАХИСТ

Даний розділ слугує реалізацією теоретичного матеріалу на практиці, а саме створення безпровідної корпоративної мережі на базі технології WiFi. Дане ТОВ «ГРАНТ-ПРОДУКТ» раніше вже використовувало у своїй діяльності бездротову мережу WiFi для підключення користувачів переносних комп'ютерів до локальної обчислювальної мережі, доступпом до корпоративних ресурсів, та Інтернет. У силу особливостей діяльності замовника, а також конфігурації приміщень, було скрутно забезпечити всіх потенційних користувачів проводовим підключенням. Розгорнута бездротова мережа (на обладнанні ASUS і D-Link), однак, не цілком задовольняла потребам замовника а саме:

- Слабкі можливості управління (були потрібні індивідуальні налаштування кожної точки доступу).

- Слабкі можливості моніторингу (неможливо визначити, де знаходиться клієнт, параметри його підключення, статистика з'єднань).

- Низькою безпеки (використовувався метод авторизації за відомим всім паролю, WPA-PSK).

- Відсутність підтримки безперервного мобільного підключення (роумінгу).

- Необхідність вручну займатися радіочастотним плануванням, ідентифікувати проблемні місця та «нелегальні» підключення.

У зв'язку цим виникло завдання побудови надійної, сучасної та безпечної бездротової інфраструктури. Яке було успішно мною вирішене на основі поєднання уніфікованої бездротової інфраструктури (CUWN) Cisco, і доменної інфраструктури Microsoft.

Принципова схема побудованого рішення наведена на рис. 3.1



Рис.3.1 Інфраструктура на основі нового обладнання.

Мережа розподілена на два офіси, кожен з яких має невеликий дата-центр. Об'єднавши офіси захищеним каналом пропускною здатністю 10 Гігабіт/с використовуючи обладнання Cisco Catalyst в локальній мережі. В одному з офісів встановив контролер бездротових точок доступу Cisco WLC4402, що підтримує до 12 «легких» точок доступу. Ці пристрої, моделей LAP-1131 і LAP-1121, розподілив по приміщеннях замовника які здійснюють безпосереднє обслуговування бездротових клієнтів (ноутбуків), яких у мережі одночасно може нараховуватися до ста. Для авторизації і контролю доступу користувачів бездротової мережі точок доступу, разом з контролером, використав протокол 802.1х. При цьому в якості механізму авторизації застосовував EAP-TLS, з авторизацією по доменних сертифікатах служб каталогів Windows. Кожен користувач бездротової мережі має обліковий запис у службі каталогів наявного домену Windows. На базі облікового запису в службі сертифікатів домену створюється сертифікат, який встановлюється на ноутбук користувача і використовується при його авторизації. В якості серверів авторизації (RADIUS) виступають пристрої Cisco ACS 5.2 (2 штуки в різних дата-центрах, для відмовостійкості) робоче вікно пристрою на рис. 3.2..



Рис. 3.2 Моніторинг користувачів

Для більш точного позиціонування працюючих бездротових клієнтів на карті-плані приміщення в мережі встановив додатковий контролер, Mobility Services Engine, безперервно обробляючий інформацію від бездротових точок доступу, та контролера.

Для централізованого управління мережею, перегляду статистики, налаштування, візуалізації застосовував програмне забезпечення Cisco Wireless Control System.

Для скорочення витрат з обслуговування апаратної інфраструктури «пристрою» MSE, ACS, WCS, служби каталогу та сертифікати домену виконуються в віртуальних машинах VMware.

Таким чином, шляхом побудови сучасної бездротової мережі були успішно вирішені наступні завдання замовника:

· Безпечне та надійне підключення користувачів до бездротової мережі, що використовує існуючий механізм домену Windows.

· Централізоване управління, моніторинг, обслуговування безпровідних пристроїв та супутніх систем.

· Автоматичний контроль над радіо-обстановкою, роумінгом, визначенням положення легітимних і несанкціонованих клієнтів.

· Підтримка декількох бездротових мереж на базі єдиної фізичної інфраструктури з різними політиками безпеки (департаменти, гостьовий доступ).

· Додаванням контролерів і точок доступу, бездротова мережа може бути масштабирована в десятки разів, у тому числі і на віддалені майданчики, без будь-яких змін в її конфігурації.

На рис. 3.3 зображене вирівнювання сигналу за допомогою CISCO WCS Home.

Рис. 3.3. WCS Home

3.1 Налаштування Wi-Fi контролера Cisco

Наданий мені контролер wi-fi виробництва Cisco, та ще декілька нових точок доступу, для налаштування, отже, навіщо потрібен контролер? Не сильно вдаючись у подробиці, точки доступу і контролер спільно надають доступ бездротовим клієнтам до решти (дротових) частини мережі. Половину завдань, пов'язаних з доступом до радіо-середовища, генерацією beacon-фреймів, шифрування, виконує сама точка доступу. Іншу половину, в основному асоціацію та авторизацію, обслуговує контролер. Це називається Split-MAC архітектурою рис.3.4.

Рис.3.4 Split-MAC архітектура

До контролера через локальну комутовану мережу підключені точки доступу (звичайно виробництва Cisco, навіть коли протокол взаємодії CAPWAP відкритий). Їх може бути до сотень на контролер, залежно від його продуктивності. Кілька контролерів можна об'єднати в групи, при цьому забезпечується скоординована робота контролерів, і самих точок, згідно загальних налаштувань. Переваги такого підходу очевидні: централізоване управління, гнучкість налаштувань, відмовостійкість, балансування навантаження, інтелектуальні функції безшовного роумінгу, управління частотним ресурсом, потужністю, якістю обслуговування, авторизацією.

На точках доступу, підключених до контролера, так званих «Легковагих» (lightweighted) працює практично такий же образ IOS (AIR-LAP-xxx), що і на звичайних (standalone, AIR-AP-xxx). Різниця у відсутності режиму «conf t», так як точки налаштовуються контролером централізовано. Прошивки між standalone lightweighted можливо змінювати в ручну. «туди і назад».

При старті точка доступу виробляє пошук кращого з доступних контролерів за досить складною схемою, авторизується, викачує прошивку (якщо потрібно), налаштування, і починає обслуговувати клієнтів. Між точкою і контролером організував канал управління (UDP порт 5246), і канал даних (UDP порт 5247). Користувальницькі дані инкапсулюються в UDP пакети незалежно від номера клієнтського WLAN/VLAN, що дозволяє розміщувати точки доступу де завгодно в мережі (на access портах комутаторів), та централізовано керувати безпекою на рівні VLAN на стороні контролера. Для випадку «віддаленого офісу», де немає контролера, передбачений режим з локальним свічингом трафіку клієнтів рис. 3.5.

Рис.3.5 Керування безпекою VLAN на стороні контролера

Контролер архітектурно являє собою спеціалізований комп'ютер (різної апаратної архітектури та розрядністю, залежно від моделі) з досить старою версією MontaVista Linux всередині. До ядра додано декілька модулів, іноді драйвери для «заліза», що займається апаратним прискоренням шифрування або пересилання пакетів. Всі дії, пов'язані з життєдіяльністю контролера, виконує великий монолітний процес, оформлений як user-додаток.

Підключивши контролер до електроживлення, COM-порту (9600/8/N/1) та локальної мережі, провів первинне налаштування. Нижче наведена процедура початкового налаштування контролера NME-AIR-WLC (модуль для маршрутизатора ISR), в моєму випадку успішно віртуалізованого та запущеного у віртуальній машині:

Cryptographic library self-test....passed!

XML config selected

Validating XML configuration

Cisco is a trademark of Cisco Systems, Inc.

Software Copyright Cisco Systems, Inc. All rights reserved.

Cisco AireOS Version 7.0.220.0

Initializing OS Services: ok

Initializing Serial Services: ok

Initializing Network Services: ok

Starting ARP Services: ok

Starting Trap Manager: ok

Starting Network Interface Management Services: ok

Starting System Services: ok

Starting Fastpath Hardware Acceleration: ok

Starting Switching Services: ok

Starting QoS Services: ok

Starting Policy Manager: ok

Starting Data Transport Link Layer: ok

Starting Access Control List Services: ok

Starting System Interfaces: ok

Starting Client Troubleshooting Service: ok

Starting Management Frame Protection: ok

Starting Certificate Database: ok

Starting VPN Services: ok

Starting LWAPP: ok

Starting CAPWAP: ok

Starting LOCP: ok

Starting Security Services: ok

Starting Policy Manager: ok

Starting Authentication Engine: ok

Starting Mobility Management: ok

Starting Virtual AP Services: ok

Starting AireWave Director: ok

Starting Network Time Services: ok

Starting Cisco Discovery Protocol: ok

Starting Broadcast Services: ok

Starting Logging Services: ok

Starting DHCP Server: ok

Starting IDS Signature Manager: ok

Starting RFID Tag Tracking: ok

Starting RBCP: ok

Starting Mesh Services: ok

Starting TSM: ok

Starting CIDS Services: ok

Starting Ethernet-over-IP: ok

Starting DTLS server: enabled in CAPWAP

Starting CleanAir: ok

Starting WIPS: ok

Starting SSHPM LSC PROV LIST: ok

Starting RRC Services: ok

Starting FMC HS: ok

Starting Management Services:

Web Server: ok

CLI: ok

Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfig

Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfigure Virtual Interface.

(Cisco Controller)

Welcome to the Cisco Wizard Configuration Tool

Use the '-' character to backup

Зупинив дію autoinstall. Вона дозволяє контролеру автоматично завантажити по TFTP заздалегідь приготований конфіг-файл. Таким чином, можна розгорнути в мережі дуже багато контролерів, не вдаючись до ручного налаштування кожного. Корисно, якщо працює система управління WCS.

Would you like to terminate autoinstall? [Yes]: yes

AUTO-INSTALL: process terminated - no configuration loaded

Встановив ім'я контролера (пропоноване генеруватись з МАС-адреси), логін і пароль адміністратора:

System Name [Cisco_bb: bb: 40] (31 characters max): wlc4.ххх.ххх.net

Enter Administrative User Name (24 characters max): igor

Enter Administrative Password (3 to 24 characters): *********

Re-enter Administrative Password: *********

Налаштував адресацію інтерфейсу управління. Це логічний інтерфейс, через який контролер «спілкується» із зовнішнім світом (окрім точок доступу).

Звичайна практика така, що всі фізичні интерфейси контролера об'єднуються в EtherChannel групу (можна зробити це пізніше), в такому загальному каналі налаштував скільки потрібно логічних інтерфейсів, кожен у своєму VLAN-і. У даному прикладі між комутатором і контролером створений trunk-порт, а обслуговування ведеться через VLAN 310. Для access-порту, або якщо застосовувати native VLAN, вказав номер 0. Адреса DHCP-сервера потрібна для пересилання тих клієнтських DHCP-запитів, якщо ті налаштовані. Контролер буде DHCP-Релеєм (хоча також може виконувати роль DHCP-сервера).

Management Interface IP Address: xx.xx.145.10

Management Interface Netmask: 255.255.255.128

Management Interface Default Router: xx.xx.145.1

Management Interface VLAN Identifier (0 = untagged): 310

Management Interface Port Num [1]:

Management Interface DHCP Server IP Address: xx.xx.145.9

Усі контролери, окрім моделі 5508, використовують окремий логічний інтерфейс ap-manager для спілкування з точками доступу. Таким чином Я налаштував його адресу з тієї ж мережі:

AP Manager Interface IP Address: xx.xx.145.14

AP-Manager is on Management subnet, using same values

AP Manager Interface DHCP Server (xx.xx.145.9):

Останній логічний інтерфейс - віртуальний. Він використовується для передачі DHCP-запитів клієнтам, веб-авторизації, роумінгу. На нього прописав адресу, яка не використовується ніде в мережі та немаршрутизаторах, зазвичай це 1.1.1.1 : він повинен бути однаковий для декількох контролерів, між якими передбачається роумінг клієнтів.

Virtual Gateway IP Address: 1.1.1.1

Для цілей роумінгу клієнтів контролери об'єднав в групи мобільності (mobility group), ім'я яких і пропонується задати. Також пропонується задати ім'я групи контролерів, сукупно забезпечуючих управління радіорескрсом (частотний план і потужність, rf group). Хоча це можуть бути різні групи з набору пристроїв та імені, тут вказується загальне ім'я (його можна змінити пізніше):

Mobility / RF Group Name: WLAB

Візард пропонує створити одну бездротову мережу (WLAN).

Network Name (SSID): test

також дозволив роботу бездротовим клієнтам, у яких IP-адреса прописана статично. Реально ця опція включає кешування ARP на контролері, що корисно.

Allow Static IP Addresses [YES] [no]:

Для цілей авторизації клієнтів (а також доступу до контролера, і деяких інших специфік) використав зовнішній RADIUS-сервер, який налаштував пізніше через веб-інтерфейс.

Configure a RADIUS Server now? [YES] [no]: no

Warning! The default WLAN security policy requires a RADIUS server.

Please see documentation for more details.

Кожна точка доступу та контролер, мають код країни, в якій вони працюють. Насправді country code визначає дозволений набір частот (каналів) і граничних потужностей, що впливає на роботу алгоритмів автоматичного вибору частоти і т.д. Рекомендую, щоб у всій мережі список кодів країн був налаштований одноманітно.

Enter Country Code list (enter 'help' for a list of countries) [US]: RU

Контролер пропонує включити мережі 2.4 і 5 ГГц (11b/g/n і 11a/n відповідно). Насправді ці парамери передаються на асоційовані з контролером точки доступу, на яких власне і встановлено радіо. Було виявлено що включати радіо через веб-інтерфейс потрібно вже після того, як налаштовані всі інші параметри.

Enable 802.11b Network [YES] [no]: no

Enable 802.11a Network [YES] [no]: no

Запит на включення корисних алгоритмів динамічного управління частотним ресурсом та потужностями, те про що говорив раніше.

Enable Auto-RF [YES] [no]:

Налаштування часу (сервер часу, і статстично заданий час/часовий пояс) важливі не тільки для правильності тегів в лог-файлах, але і для роботи авторизації точок доступу за сертифікатами (вони використовують CAPWAP, заснований на DTLS, заснований на сертифікатах з відомими перевірками термінів валідності).

Configure a NTP server now? [YES] [no]: no

Configure the system time now? [YES] [no]: no

Warning! No AP will come up unless the time is set.

Please see documentation for more details.

Нарешті, коли все готово, контролер зберігає конфігурацію, та перезапускається:

Configuration correct? If yes, system will save it and reset. [Yes] [NO]: yes

Configuration saved!

Resetting system with new configuration...

Тепер налаштував пристрій через веб-інтерфейс управління, який доступний через пару хвилин за адресою: httрs :/ / xx.xx.145.10. Щоб уникнути непотрібних питань про валідності сайту, контролеру виписав сертифікат для роботи SSL рис 3.6.



Рис.3.6 Інформація по контролеру

Потім впровадив за допомогою керівництва налаштування контролера вкрай зручний централізований засіб управління бездротовою мережею NCS/WCS, скриншот якого наведено нижче:

3.2 Підключення точок доступу до контролера Cisco

Користуючись описаним вище методом налаштував та підключив до локальної мережі контролер бездротових точок доступу Cisco WLC. Доступ до нього є, але «Wi-Fi-я кокристувачам» ще немає. Наступним кроком стало - підключити до контролера наявні точки доступу, які і будуть обслуговувати радіо-клієнтів. Незважаючи на відкритість CAPWAP протоколу, контролер буде працювати тільки з точками виробництва Cisco, про що прямо і заявляє виробник.

Далі, точки доступу з «автономного світу» (AIR-AP-xxx), переконвертував в світ контролерів (AIR-LAP-xx). Всі точки доступу підтримують дану операцію. Для проведення була потрібна сама точка доступу, доступна по мережі (з прописаним IP-адресою і відомими правами доступу), та або спеціальна безкоштовна утиліта, або ПЗ керування WCS або NCS, в якому присутній необхідний інструмент. Вся препрошивка, за великим рахунком в мене звилася до наступних операцій:

- переписуванню (TFTP) спеціального recovery-образу на точку доступу

- видаленню старого конфіг-файлу

- видаленню наявного автономного софта

- синхронізації годин

- генерації сертифіката точки доступу

Сертифікат мені потрібен тому, що протокол спілкування точки доступу з контролером, CAPWAP, в основі має протокол Datagram TLS, фактично захищений через сертифікати UDP-транспорт. Конвертована мною точка доступу перезавантажується, та «шукає» свій контролер. Процес пошуку включає в себе отримання IP-адреси пристроєм, і так само отримання списку контролерів, перевірки наявності, доступності та навантаженості кожного з них, і власне реєстрація обраного.

Точка доступу може або отримати IP-адресу у DHCP-сервера (будь-якого виробника: Cisco IOS, Miscosoft, Unix ISC-DHCP), або скористатися статично налаштованою IP-адресою. Залежно від обставин можна скористатися будь-яким методом. У моєму випадку для «ручної» установки точки доступу мені було потрібно підключитися до консолі (9600/8/N/1). При завантаженні точка доступу потрапляє в режим отримання адреси, і пошуку контролера. Типово, логін і пароль "Cisco" (з великої літери), enable пароль такий же. При деякій кількості невдалих спроб точка перезавантажується, і продовжує процес вічно. Для запобігання перезавантажень мені необхідно скасувати їх наступною недокументованою командою:

debug capwap client no-reload

Далі явно встановив точці адресу:

capwap ap ip address <ip_address> <subnet mask> capwap ap ip default-gateway <gw_address>

Далі встановив точці адреси контролерів:

capwap ap primary-base <controller_name> <wlc_mgmt_ip> capwap ap secondary-base <controller_name> <wlc_mgmt_ip>

Далі вказав адресу саме management-інтерфейс контролера. Та подивився на результат налаштування командою show capwap client config:

configMagicMark 0xF1E2D3C4

chkSumV2 47358

chkSumV1 27913

swVer 7.0.220.0

adminState ADMIN_ENABLED (1)

name ap2.wlab

location KorpusXX

group name ApGg1

mwarName wlc2.ххх.ххх.nхх

mwarIPAddress хх.хх.хх.3

mwarName

mwarIPAddress 0.0.0.0

mwarName

mwarIPAddress 0.0.0.0

ssh status Enabled

Telnet status Disabled

...

Для автоматичного налаштування IP-адреси точки доступу по DHCP задав необхідну опцію, номер 43, яка повідомляє точці про доступні їй адреси контролерів. Трюк полягає в тому, щоб передати в параметрах опції 43 адреси моїх контролерів. Значення параметра (в HEX вигляді) має формат TLV, наприклад, f108c0a80a05c0a80a14, де 0xf1 (241) - номер параметра опції, 0x08 (довжина даних, два рази по 4 байти октету IP адреси), 0xc0a80a05 переводиться в 192.168.10.5 і 0xc0a80a14 в 192.168.10.20. Точка доступу може отримати адреси контролерів також через запит по DNS, або від сусідів «по повітрю». Все, що точці доступу потрібно, це IP-зв'язність з контролером. Досить просто підключити її в access-порт (порт доступу) нашої локальної мережі, нарівні з іншими комп'ютерами.

Встановивши точку в локальній мережі спостерігаю, як вона намагаєся підключитися до контролера (Monitor-AP Join) рис.3.7:

Рис. 3.7 Monitor-AP Join

Далі встановлюю політику безпеки, яка налаштував в меню "Security-AAA-AP Policies". Майже всі політики так чи інакше пов'язані з сертифікатами. Як було сказано, через деталі роботи CAPWAP дані між точкою і контролером зашифровані за допомогою сертифікатів. Контролер поставлявся з уже встановленими сертифікатами Cisco Systems (кореневим, та його похідними), може нести додаткові сертифікати для веб-авторизації і локального RADIUS-сервера рис.3.8.



Рис. 3.8 Вікно RADIUS-сервера для перевірки валідності MAC-адреси

Додатково застосував RADIUS-сервер для перевірки валідності MAC-адреси точки доступу рис 3.8. Також явно задав MAC-адресу точки, яка застосовує MIC-сертифікат (auth-list). Однак для SSC сертифікатів був зушений внести кожен з них у список, при цьому вказавши не тільки MAC-адресу Ethernet-інтерфейсу точки доступу, але також хеш (hash) сертифікат, для цього в контролері дозволив налагодження процесу перевірки сертифікатів:

(Cisco Controller)> debug pm pki enable

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: called to evaluate cscoDefaultIdCert

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 0, CA cert bsnOldDefaultCaCert

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 1, CA cert bsnDefaultRootCaCert

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 2, CA cert bsnDefaultCaCert

...

* SpamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: subject L = San Jose, ST = California, C = US, O = Cisco Systems, MAILTO = support@cisco.com, CN = C1100-000f244ed6aa

* SpamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: issuer L = San Jose, ST = California, C = US, O = Cisco Systems, MAILTO = support@cisco.com, CN = C1100-000f244ed6aa

* SpamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Mac Address in subject is 00:0 f: 24:4 e: d6: aa

* SpamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert Name in subject is C1100-000f244ed6aa

* SpamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.

* SpamReceiveTask: Jun 10 21:49:39.741: ssphmSsUserCertVerify: self-signed user cert verfied.

...

* SpamReceiveTask: Jun 10 21:49:39.752: sshpmGetIssuerHandles: SSC Key Hash is d886bcaf0d22398538ccdef3f53d6ec7893463b8

* SpamReceiveTask: Jun 10 21:49:39.755: sshpmFreePublicKeyHandle: called with 0xf2de114

Далі вибрав пункт Add, тип SSC, скопіював MAC-адресу та хеш у відповідні поля, Apply, зачекав перезавантаження точки, вимкнув (debug disable-all), і точка підключена рис.3.9:

Рис.3.9 Додавання точки доступу

Додати хеш сертифіката можна також і вручну:

config auth-list ap-policy ssc enable config auth-list add ssc 00:0 f: 24:4 e: d6: aa d886bcaf0d22398538ccdef3f53d6ec7893463b8

Тепер, коли точки доступу підключені, можна включити радіо-інтерфейси (Wireless - 802.11a/n, 802.11b/g/n), режими-g,-n, та перейти до налаштування бездротових мереж (SSID).

3.3 Налаштування бездротової мережі та реалізація захисту на контролері Cisco

Користуючись керівництвом з первісного налаштування та підключення точок доступу до Wi-Fi контролера Cisco WLC, в мене побудована необхідна інфраструктура бездротової мережі. Тепер потрібно налаштувати самі мережі (WLAN, SSID), для надання послуг зв'язку користувачам.

Рис. 3.10 Меню WLANs

Хоча контролер управляється через командний рядок (консоль, ssh), було виявлено що майже всі операції з налаштування краще (швидше і зручніше) робити через веб-інтерфейс. Контролер доступний через HTTP (за умовчанням; краще перевсти на HTTPS) з логіном-паролем, заданими при установці.

Всі налаштування провів в меню WLANs рис.3.10. Для створення нової мережі вибрав пункт меню «Create new» рис.3.11, та задав базові параметри:

Рис.3.11 Створення нової мережі в пункті Create new



Вибрав тип мережі: WLAN (бездротова), тому що контролер може також працювати як Captive Portal для провідної мережі (Guest LAN).

Створивши нову мережу, я потрапив у вікно з закладками, в якому і вказав всі параметри її роботи рис.3.12:

Рис.3.12 Меню для заданням параметрів нової мережі

- Enable включає/виключає обслуговування мережі точками доступу.

- Security policy оповіщатиме мене про поточний набір політик безпеки мережі, які налаштовуватиму далі.

- Radio policy вибираю всі дозволені діапазони та швидкості в яких працюватиме мережа.

- Interface визначає, на який провідний мережевий (саб-) інтерфейс (VLAN) контролера за замовчуванням буде підключення бездротових клієнтів. Мною створено кілька так званих «динамічних інтерфейсів», кожен зі своїм VLAN ID, що дозволяє розподіляти користувачів в залежності від того, до якої мережі вони підключилися.

- Multicast VLAN визначає, куди у випадку кількох груп інтерфейсів буде йти мультикаст трафік.

Останній параметр Broadcast SSID визначає, чи буде ім'я мережі відображатися в beacon (анонсах) пакетів, що періодично розсилатимуться точкою доступу. Інакше це називається «відкрита/закрита мережа». Наступна закладка, Security, викликала в мене найбільший інтерес, рис.3.13.