Разработка и внедрение проекта безопасной сети, малого предприятия на базе технологии Wi-Fi

Как уже написано выше, стандарт 802.11 предусматривал работу на скоростях 1, 2 Мбит/с. Соответственно и вся служебная информация передавалась на этих скоростях. И именно на этих скоростях передающие станции сообщали другим станциям, что с момента времени X до момента времени Y станция занимает радиоэфир и будет передавать свои данные. Другие станции в это время молчат, чтобы не создавать помехи станции, занявшей эфир.

Прежде чем начать подробно рассказывать, оговорюсь, что стандарт 802.11b предусматривал совместную работу со стандартом 802.11 и учитывал, что для того, чтобы рядом работающее устройство стандарта 802.11 поняло его намерение передавать данные с момента времени X до момента времени Y, 802.11b устройство должно дать в эфир служебные данные, которые были бы понятны устройству 802.11 - это значило, что устройство 802.11b вынуждено передавать служебные данные со скоростью 1 или 2 Мбит/с. В противном случае, рядом работающее устройство 802.11 стало бы считать, что рядом нет никакого 802.11b и приняло бы решение о передаче своих данных.

Пример процедуры отправки одного кадра в стандарте 802.11b отображён на рисунке.

На рисунке наглядно отображена передача ряда предварительных служебных пакетов, а также пакетов подтверждения получения информационного пакета

Базовый алгоритм соединения для передачи данных содержит два действия: передачу кадра данных от источника и передачу подтверждения приёма (ACKnowledge, ACK) от получателя источнику сообщения. Для повышения надёжности передачи данных имеется алгоритм с обменом четырьмя кадрами. Здесь AC-источник передаёт кадр запроса передачи (Request to Send, RTS) и тем самым оповещает все АС в зоне радио-видимости о том, что происходит обмен информацией. Все станции, принявшие кадр RTS, воздерживаются от передачи для исключения конфликтов. AC-получатель отвечает AC-источнику кадром готовности к приёму (Clear to Send, CTS). После приёма кадра CTS AC-источник передаёт кадр данных, а AC-получатель после приёма кадра данных передаёт кадр подтверждения приёма (ACK). Для того, чтобы отобразить реальную пропускную способность сети стандарта 802.11b подробно рассмотрим временную диаграмму доступа к среде с использованием режима передачи DCF (Distributed coordination function).

После того, как среда освободилась, станция STA1 ждёт интервал DIFS (DCF inter-frame space) и включает таймер отката. Таймер отсчитывает случайное число, выбранное в пределах окна состязания CW (contention windows) и начинает передачу. Если станция STA2 или STA3 сгенерирует случайное число равное числу STA1 - станции попытаются одновременно начать передачу и создадут коллизию, в результате которой данные всех станций переданы не будут. После того, как значение таймера стало равным нулю, станция STA1 посылает фрейм RTS. Станция STA2, получив пакет от STA1, ждёт интервал SIFS (short interframe space) и посылает фрейм готовности CTS. Приняв CTS, станция STA1 также ждёт интервал SIFS и начинает передачу информации. В итоге STA2 подтверждает приём пакета данных пакетом ACK.

То есть, объяснение попроще:

На картинке, на первой линии, вы видите, что происходит в среде передачи - отображены все данные, которые попали в радиоэфир.
На второй линии видно, то, что передала первая станция STA1
На третьей и четвёртой линии станции STA2 и STA3 соответственно.
В данном случае, станция STA1 пытается передать данные станции STA2. Для этого, она дожидается когда эфир освободится и выждав интервал DIFS (по стандарту все станции обязаны выждать этот интервал) начинает бороться за право передачи (ведь не только STA1 желает передать данные, а передача возможна только по очереди). Получив право передачи STA1 начинает процедуру, отображённую на предидущем рисунке с AC получателем и AC источником: Сперва посылает пакет RTS и сообщает, что готова передать данные. STA2 получатель, получает пакет RTS и отправляет пакет CTS - сообщает о том, что готова принять данные. STA1 передаёт данные и в ответ получает пакет подтверждения от STA2, который говорит, о том, что данные были успешно переданы.

Между всеми кадрами присутствует интервал SIFS - маленькая пауза, для того чтобы один пакет не наложился на другой.

Теперь, когда сложилось представление о передаче данных в сети Wi-Fi, приступаем к чистому математическому расчёту:

Посчитаем, какой объём данных передаётся во время такой процедуры и сколько времени она занимает:

- Пакет готовности передачи RTS. Его длина составляет 20 байт. При битовой скорости 1 Мбит/с длительность пакета готовности передачи, с учётом уровня PHY, равна TRTS=(20*8+192)/1000000=352мкс.

- Пакет готовности приёма CTS. Его длина составляет 14 байт. При битовой скорости 1 Мбит/с длительность пакета готовности приёма, с учётом уровня PHY, равна TCTS=(14*8+192)/1000000=304мкс.

- Пакет подтверждения ACK. Его длина составляет 14 байт. При битовой скорости 1 Мбит/с длительность пакета подтверждения, с учётом уровня PHY, равна TACK=(14*8+192)/1000000=304мкс.

- Пакет данных станции, принимающей видео.

Его длительность составляет 1536 байт. При битовой скорости 11 Мбит/с длительность пакета данных станции с учётом уровня PHY TVID=192/1000000+1536*8/11000000=1309мкс.

- Пакет данных станции, принимающей данные.

Его длина составляет 1024 байт. При битовой скорости 11Мбит/с длительность пакета данных станции с учётом уровня PHY TDATA=192/1000000+1024*8/11000000=937мкс.

Между всеми пакетам существует промежуток SIFS, длительность которого в стандарте 802.11b TSIFS=10мкс.

При расчёте пропускной способности, будем считать, что данные физического уровня передавались со скоростью 2 Мбит/с, кроме режима работы 1 Мбит/с. Результаты расчёта приведены в таблице ниже



Рассмотрим беспроводную локальную сеть (БЛС), состоящую из N (при тестировании N=10 ) статистически однородных станций, работающих в режиме высокой нагрузки, когда ко всем станциям БЛС всегда имеются непустые очереди. Статистическая однородность станций заключается в одинаковом вероятностном распределении длин пакетов, выбираемых каждой станцией из очереди. Расстояния между станциями БЛС малы, поэтому предположим:

1) отсутствие скрытых станций

2) одновременность проявлений помех на всех станциях.

Эти предположения означают, что все станции одинаково «слышат» общий беспроводный канал.

Перед описанием модели заметим, что отсчет отложенного времени каждая станция ведет только при свободном канале: значение счетчика уменьшается на единицу только в том случае, если в течение всего предшествующего слота канал был свободен. При достижении счетчиком нулевого значения станция начинает передачу. Отсчет слотов задержки прекращается, когда канал становится занят, и в следующий раз счетчики задержки уменьшатся только тогда, когда канал окажется свободен в течение или , если последняя передача по каналу была соответственно успешной или неудачной. Рассмотрим слот, следующий непосредственно после интервала DIFS, завершающего успешную передачу от некоторой станции А. В начале этого слота значение счетчика отложенного времени станции А равно b, а счетчики остальных станций остаются на тех же значениях, что и до начала передачи станцией А. Таким образом, этот слот является неконкурентным: в течение него может вести передачу только станция А, если ее отложенное время b оказывается равным 0 (эту ситуацию назвали мгновенным повтором передачи). Соответственно, попытки передачи, выполняемые в результате мгновенного повтора, мгновенно повторяемыми попытками, отличая их от остальных, обычных, попыток. Таким образом, станция А может провести целую серию передач, мгновенно повторяя их, причем ни одна из этих мгновенно повторяемых попыток передачи не испытает коллизии ввиду отсутствия конкуренции со стороны остальных станций. Аналогично в начале слота, следующего непосредственно после интервала EIFS, завершающего коллизию нескольких станций, только эти станции могут передавать, мгновенно повторяя свои попытки. В этом заключается Эффект Захвата.

Здесь мы ограничимся учетом мгновенных повторов только после успешной передачи, пренебрегая такими повторами после неудачных попыток. Для этого слегка изменим правило выбора отложенного времени b: после успешной передачи b равновероятно выбирается из множества , а после любой неудачной попытки - из множества, где w (конкурентное окно) зависит от - (число сделанных попыток передачи текущего пакета) и определяется.

(3.1)

Таким образом, после неудачной попытки (включая интервал EIFS) всегда следует «пустой» слот, по окончании которого начинается конкурентный слот, когда любая станция может начать передачу.

3.12 Оценка пропускной способности

Все время работы исследуемой БЛС разобьем на неоднородные виртуальные слоты, так что в начале любого из них каждая станция уменьшает на единицу свой счетчик отложенного времени и может начать передачу, если значение ее счетчика достигает нуля. Такой виртуальный слот может представлять собой:

а) «пустой» слот, в который ни одна из станций не ведет передачу,

б) «успешный» слот, в который одна и только одна станция ведет передачу,

в) «коллизионный» слот, когда передача ведется двумя и более станциями.

Предположим, что вероятность начала передачи данной станцией в данном слоте не зависит ни от предыстории, ни от поведения остальных станций и равна одному и тому же значению для всех станций. Тогда вероятности того, что произвольно выбранный виртуальный слот будет «пустым» () «успешным» () или «коллизионным» (), определяются выражениями:

(3.2)

Таким образом, искомая пропускная способность S находится по формуле

(3.3)

где - средние длительности «успешного» и «коллизионного» слотов, a U - среднее число байт информации, успешно переданных в течение «успешного» слота.

Длительность «коллизионного» слота складывается из времени передачи фрейма максимальной длины из числа фреймов, вовлеченных в коллизию, плюс интервал EIFS, плюс «пустой» слот задержки , который (согласно принятому предположению) всегда завершает неудачную попытку передачи. Пренебрегая вероятностью коллизии трех и более фреймов, получаем следующую формулу для средней длительности «коллизионного» слота:

(3.4)

где - время передачи фрейма DATA, включающего пакет длиной l и заголовок, передаваемый за время Н;

V - скорость канала;

- время передачи фрейма RTS, причем < Н;

- время распространения сигнала, предполагаемое одинаковым для всех пар станций.

Наконец, - вероятность того, что совершаемая обычная попытка передачи связана с пакетом длиной l.

Заметим, что распределение отличается от , так как число попыток, совершаемых для передачи одного и того же пакета, в среднем тем больше, чем длиннее пакет ввиду большей вероятности искажения соответствующего фрейма DATA помехами.

В начале «успешного» слота одна и только одна станция инициирует обычную попытку передачи некоторого пакета длиной l, причем эта попытка завершится успешной передачей пакета с вероятностью , если ни один из фреймов, которыми обмениваются передающая и принимающая станции в течение данного процесса, не искажен помехами, т.е.

где - вероятности искажения помехами фрейма DATA с пакетом длиной l, фрейма RTS и фреймов CTS и АСК имеющих одинаковый формат. Эти вероятности искажения определяются на основе показателя BER (Bit Error Rate) - вероятности искажения одного бита (этот показатель будем называть также интенсивностью помех), т.е. фрейм, состоящий из байт, искажается с вероятностью

Попытка передачи пакета завершается при искажении помехами любого из обмениваемых фреймов. Таким образом, средняя длительность попытки, совершаемой в течение «успешного» слота, зависит от длины l передаваемого пакета и равна

кроме того, времена передачи соответственно фреймов RTS, CTS и АСК

При успешном завершении процесса передачи станция выбирает из очереди следующий пакет и с вероятностью инициирует процесс его передачи (ситуация мгновенного повтора), таким образом продолжая текущий виртуальный слот. Виртуальный слот завершается «пустым» слотом задержки либо при неудачном завершении процесса передачи, либо при выборе отложенного времени b > 0 (с вероятностью ) после успешной передачи. Таким образом, в течение «успешного» слота может произойти как одна, так и несколько попыток передачи пакетов, причем при первой попытке длина передаваемого пакета l определяется вероятностным распределением , а при последующих попытках распределением .

Пусть - значения вероятности и длительности , усредненные в соответствии с распределением , т.е.



- аналогичные значения, но с использованием при усреднении распределения вместо . Тогда средняя длительность «успешного» слота находится по формуле:

(3.5)

причем среднее число байт информации U, успешно переданных в течение «успешного» слота, очевидно, определяется выражением

(3.6)

Итак, определены все необходимые компоненты формулы (4.3), что позволяет найти искомую пропускную способность S при условии, что известны вероятность начала передачи и вероятностное распределение .



4. Реализация проектируемой системы

4.1 Основные компоненты системы

Для настройки беспроводной сети требуется задать следующие параметры:

· Тип беспроводной сети. Если точка доступа поддерживает несколько беспроводных стандартов, необходимо в явном виде указать стандарт беспроводной сети (например, 802.11g).

· Номер канала. Для беспроводного соединения точки доступа с клиентами сети могут использоваться различные частотные каналы. К примеру, в случае протокола 802.11g можно применять каналы с первого по тринадцатый. Можно в явном виде указать, какой именно канал будет использоваться для установления соединения, а можно задать автоматический выбор канала ( Enable auto channel select). Для реализации распределенной беспроводной сети необходимо, чтобы обе точки доступа поддерживали бы один и тот же канал связи, поэтому на обеих точках доступа необходимо выбрать один и тот же канал связи, например, 6.

· SSID. Каждая беспроводная сеть имеет свой уникальный идентификатор SSID, который представляет собой условное название беспроводной сети. В нашем случае мы использовали SSID по званию точки доступа, то есть - (weber-wireless-network),

· Rate. Точка доступа позволяет в явном виде указать скорость устанавливаемого соединения. Впрочем, делать это не рекомендуется и лучше всего задать автоматическое определение скорости соединения (auto/best).

· Hide SSID . Для повышения безопасности беспроводного соединения практически все современные точки доступа поддерживают режим скрытого идентификатора. При активации данной функции пользователь, сканирующий эфир на предмет наличия беспроводных сетей, не будет видеть SSID существующей беспроводной сети.

4.1.1 Установка и настройка беспроводной точки доступа TEW-610APB

Для развертывания беспроводной сети на базе одной точки доступа, прежде всего необходимо настроить беспроводную сеть. Собственно, процесс настройки беспроводной сети заключается в настройке точки доступа.

Мы будем рассматривать процесс настройки точки доступа, 108 Мбит/с 802.11g MIMO TEW-610APB

Для настройки точки доступа первое, что потребуется выяснить, - это IP-адрес точки доступа, логин и пароль, заданный по умолчанию. Любая точка доступа или маршрутизатор, будучи сетевым устройством, имеет собственный сетевой адрес (IP-адрес).

В подавляющем большинстве случаев по умолчанию IP-адрес точки доступа равен 192.168.1.254, или 192.168.1.1, или 192.168.0.254, или 192.168.0.1, что же касается логина и пароля, то, как правило, по умолчанию логин пользователя - это «admin», а пароль либо не задаётся, либо - это всё тот же «admin». В любом случае, IP-адрес и пароль указывается в инструкции пользователя. В нашем случае IP адрес точки доступа по умолчанию: 192.168.0.100 пара «логин-пароль» будет «admin-admin».

Установим, IP-адрес точки доступа равен 192.168.10.1 Далее точку доступа необходимо подключить к компьютеру с использованием традиционного сетевого интерфейса Ethernet

Для настройки точек доступа необходимо, чтобы компьютер, к которому подключается точка доступа, и сама точка доступа имели бы IP-адреса, принадлежащие к одной и той же подсети. Поскольку в нашем случае точка доступа имеет IP-адрес 192.168.10.1, то компьютер, к которому подключается эта точка доступа, необходимо присвоить статические IP-адреса 192.168.10.х (например, 192.168.10.2) с маской подсети 255.255.255.0.

Для присвоения компьютеру статического IP-адреса щелкните на значке (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт (Свойства). В открывшемся окне (Сетевые соединения) выберите значок (Локальная сеть) и, щёлкнув на нём правой кнопкой мыши, снова перейдите к пункту (Свойства). После этого должно открыться диалоговое окно (Свойства сетевого соединения), позволяющее настраивать сетевой адаптер.

На вкладке (Общие) выделите протокол Internet Protocol (TCP/IP) и нажмите на кнопку (Свойства). Перед вами откроется диалоговое окно, позволяющее задавать IP-адрес компьютера и маску подсети. Отметьте в данном диалоговом окне пункт (Использовать следующий IP-адрес): и введите в соответствующие текстовые поля IP-адрес и маску подсети.

После того как задан статический IP-адрес компьютера, можно получить непосредственный доступ к настройкам самой точки доступа. Для этого в поле адреса Web-браузера введите IP-адрес точки доступа (192.168.10.1). Если всё сделано правильно, то перед вами откроется диалоговое окно настроек точки доступа (маршрутизатора) (предварительно потребуется ввести логин и пароль). При настройке точек доступа рекомендуется отключить Firewall, встроенный в операционную систему Windows XP.

Используя диалоговое окно настроек, можно изменить IP-адрес точки доступа, а также настроить беспроводную сеть. В нашем случае для точки доступа мы использовали IP-адрес (192.168.10.1).

4.1.2 Использование режима скрытого идентификатора сети

Как уже отмечалось выше, используя режим скрытого идентификатора беспроводной сети, пользователь, сканирующий эфир на предмет наличия беспроводных сетей, не будет видеть SSID существующей беспроводной сети. Для активации данного режима (режим Hidden SSID) на каждой точке доступа необходимо установить опцию Enable. В некоторых точках доступа данный режим может называться как Broadcast SSID. В этом случае используется опция disable.

Итак, после того как все основные настройки точки доступа сделаны, можно приступать к настройкам беспроводных адаптеров на клиентах сети.

4.1.3 Настройка шифрования и аутентификации пользователей

Любая точка доступа и тем более беспроводной маршрутизатор предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде. Я использовал шифрование WPA-TKIP.

Существует два типа WPA-шифрования: стандартный режим WPA (иногда встречается название WPA -- Enterprise) и WPA Pre-shared key или WPA -- персональный.

Режим WPA -- Enterprise используется в корпоративных сетях, поскольку требует наличия RADIUS-сервера.

А вот режим WPA Pre-shared key предназначен для персонального использования. Этот режим предусматривает использование заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа.

Существует также алгоритм WPA 2 (следующая версия протокола WPA). Если все устройства беспроводной сети поддерживают данный режим, то вполне можно им воспользоваться. Настройки в данном случае осуществляются точно такие же, как и в случае WPA-режима.

В качестве алгоритмов шифрования при использовании стандарта WPA можно выбрать TKIP или AES.

Для настройки WPA-шифрования в главном окне настройки точки доступа выберите тип аутентификации WPA Pre-shared key и установите тип шифрования (WPA Encryption) TKIP или AES. Затем требуется задать ключ шифрования (WPA PSK Passphrase). В качестве ключа может быть любое слово.

Далее необходимо реализовать аналогичные настройки на всех беспроводных адаптерах сетевых компьютеров.

4.2 Настройка беспроводных адаптеров пользователей

4.2.1 Настройка с использованием утилиты Intel PROSet/Wireless

Настройка конкретного беспроводного адаптера, естественно, зависит от версии используемого драйвера и утилиты управления. Однако сами принципы настройки остаются неизменными для всех типов адаптеров. Учитывая популярность ноутбуков на базе мобильной технологии Intel Centrino, неотъемлемой частью которой является наличие модуля беспроводной связи, настройку беспроводного соединения мы произведем в диалоговом окне Intel PROSet/Wireless (значок этого окна находится в системном трее), с помощью которого будет создаваться профиль нового беспроводного соединения (рис. 5.4).

Нажмите на кнопку Добавить, чтобы создать профиль нового беспроводного соединения. В открывшемся диалоговом окне Создать профиль беспроводной сети введите имя профиля (Weber) и имя беспроводной сети (SSID), которое было задано при настройке точки доступа (weber-wireless-network).

Далее настроиваем защиту беспроводной сети. Откроем главное окно утилиты, выберем профиль соединения и нажмите на кнопку Свойств. В открывшемся диалоговом окне перейдем к закладке Настройка защиты и выберем тип сетевой аутентификации WPA-PSK. Далее выберите тип шифрования TKIP, введем ключ шифрования.

4.2.2 Настройка с использованием клиента Microsoft

При использовании для настройки беспроводного адаптера клиента Microsoft (универсальный метод, который подходит для всех беспроводных адаптеров) прежде всего следует убедиться в том, что не используется утилита управления адаптером.

Щелкните на значке My Network Places (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт Properties (Свойства). В открывшемся окне Network Connection (Сетевые соединения) выберите значок Wireless Network Connection (Беспроводные соединения) и, щёлкнув на нём правой кнопкой мыши, снова перейдите к пункту Properties. После этого должно открыться диалоговое окно Wireless Network Connection Properties (Свойства беспроводного сетевого соединения), позволяющее настраивать беспроводной сетевой адаптер.

Перейдя на вкладку «Wireless Networks» (беспроводные сети), нажмите на кнопку «Add…» (добавить) и в открывшемся диалоговом окне «Wireless network properties» (свойства беспроводного соединения) введите имя беспроводной сети (SSID). Остальные поля (настройка защиты) пока оставьте без изменения.

Независимо от того, какой из перечисленных способов используется для создания профиля беспроводного соединения, после его создания беспроводной адаптер должен автоматически установить соединение с точкой доступа.

4.3 Установка и настройка сервера VPN

На рис. показана сеть LAN с серверами Windows 2003. Офис имеет сеть в диапазоне адресов от 10.10.10.1 до 10.10.10.254, а пользователи WI-FI получают IP в диапазоне от 192.168.10.3 до 192.168.10.254. Эти сети соединены через WI-FI, который можно использовать для строительства сети VPN.



Рисунок Использование Server VPN в сетях LAN и WLAN

На сервере из меню Administrative Tools выбираем пункт Routing and Remote Access. Если на систему не установлен RRAS, то необходимо добавить его в конфигурацию сервера. Операционная система Windows 2003 Server не устанавливает или конфигурирует RRAS по умолчанию. Если RRAS предварительно установлен и сконфигурированы какие-либо маршруты или режимы удаленного доступа к системе, то будет необходимо использовать установки VPN.

Нажимаем правую кнопку мыши на имени сервера (SERVER-DIP1 в этом случае) на левой панели окна Microsoft Management Console (MMC), затем выберем Configure and Enable Routing and Remote Access (RRAS). Это действие запускает мастер, который проводит через процесс конфигурации RRAS в системе. Хотя мастера полезны для большинства задач администрирования и конфигурирования, в этом случае мастер не позволяет выполнить все необходимые операции по настройке. Следовательно, выбираем режим Manually Configured Server в первом диалоговом окне мастера.

После того как мы проинструктировали мастера, что хотим конфигурировать систему вручную, он запускает RRAS. После запуска RRAS снова нажимаем правую кнопку мыши на имени сервера на левой панели окна MMC. Выберите пункт Properties и откроете страницу SERVER-DIP1 Properties. На закладке General убедитесь, что активизирован режим маршрутизации между локальной сетью и коммутируемым соединением.

Следующий шаг - это выбор протоколов, которые сервер может маршрутизировать. В VPN данные шифруются и скрываются внутри IP пакетов, поэтому она может маршрутизировать протоколы, которые обычно не используются в Internet, такие как NWLink IPX/SPX. Для выбора протоколов, которые хочется маршрутизировать по сети Internet, отметьте режимы маршрутизации и соединения по запросу, затем щелкните левой кнопкой мыши на кнопке Apply. Проверьте закладки для протоколов, которые не требуется маршрутизировать, и сбросьте у них все установки по маршрутизации и соединению по запросу.

4.3.1 Создание интерфейса соединения по запросу

После того, как мы выбрали протоколы системы удаленного офиса для маршрутизации через сеть Internet, вы должны определить на удаленной системе интерфейс подключения по запросу к главной офисной системе и создать Internet соединение между двумя точками. В окне оснастки Routing and Remote Access нажмите правую кнопку мыши на контейнере Routing Interfaces на сервере SERVER-DIP1 и выберите New Demand-Dial Interface.

Первый шаг мастера - присваивание интерфейсу имени - очень важен. Хотя большинство мастеров Windows 2003 Server используют предлагаемое имя просто как описание, имя интерфейса подключения по запросу в удаленном офисе должно быть точно таким же, как имя в учетных записях в главном офисе. Причина этого проста. Когда сервер главного офиса получает входящий вызов (сигнал, что другой компьютер подсоединяется к серверу через Internet), Windows 2003 Server должна определить, кто подсоединяется - пользователь или маршрутизатор. Чтобы сделать это, система Windows 2000 сравнивает имя вызывающего пользователя со списком интерфейсов подключения по запросу. Если существует точное совпадение, Windows 2003 Server предполагает, что входящий абонент это маршрутизатор и реагирует соответственно. В противном случае, система Windows 2000 просто предполагает, что входящий абонент является обычным пользователем, подключающимся удаленно.

Поскольку присвоение имени есть такой важный шаг, я ещё раз повторю: Вы должны дать интерфейсу подключения по запросу имя, которое даете учетной записи для этого интерфейса на другой системе. Для сервера удаленного офиса в данном примере, требуется обратиться к интерфейсу подключения по запросу SERVER-DIP1, потому что вы будете использовать этот интерфейс для соединения с главным офисом.

После выбора имени для интерфейса подключения по запросу выберите Next. Можно использовать интерфейсы подключения по запросу для маршрутизации трафика по стандартным аналоговым телефонным линиям и ISDN каналам или через Internet (с VPN). Для создания сети VPN выберите второй вариант - соединение с использованием VPN. Щелкните Next.

Компания Microsoft включила в операционную систему Windows 2003 Server два протокола для VPN: PPTP и Layer 2 Tunneling Protocol (L2TP). Компания Microsoft разработала протокол PPTP, который определен в Internet Engineering Task Force (IETF) Request for Comments (RFC) 2637 и запустила его в действие в операционной системе Windows NT в 1996 году. Протокол PPTP использует TCP порт 1723 и IP протокол 47 (Generic Routing Encapsulation - GRE). Почти в тоже время компания Cisco Systems разработала протокол Layer 2 Forwarding (L2F) для VPN и использовала его в своих устройствах. В дальнейшем компании Microsoft и Cisco объединили свои протоколы, сформировав в результате протокол L2TP (RFC 2661), который использует UDP порты 500 и 1701. Лично я предпочитаю протокол L2TP, а не протокол PPTP, потому что первый основывается на IP Security (IPSec) для шифрования рутинных операций, а не на Microsoft Point-to-Point Encryption (MPPE).

Однако в соответствии с информацией из файлов подсказки Microsoft, протокол PPTP проще настраивать, поэтому в данном примере будем использовать PPTP.

Для выбора VPN протокола для дальнейшей работы, щелкните Next. Интерфейсу подключения по запросу необходимо задать номер для <набора>, поэтому введите общедоступный IP адрес системы SERVER-DIP1 (например, 10.0.0.130), как показано на (рис. 4.12) Windows 2003 Server попытается создать VPN соединение по этому адресу, маршрутизируя трафик рабочей станции, размещенной в локальной сети, из удаленного офиса в главный офис.

Следующий шаг в задании интерфейса подключения по запросу - это выбор протоколов для маршрутизации через этот интерфейс. Мы предварительно сконфигурировали протоколы, которые сервер мог маршрутизировать; сейчас определяются протоколы для специфичного интерфейса подключения по запросу. Также можно выбрать режим создания учетной записи для удаленного роутера при его подключении, но я предпочитаю выполнять этот шаг вручную. Щелкните Next.

Когда ваша удаленная офисная система "позвонит" роутеру в главном офисе, система главного офиса должна установить подлинность удаленной системы, перед тем как маршрутизировать трафик удаленной системы в сеть главного офиса. Таким образом, необходимо установить специальный набор Dial Out Credentials для Windows 2000 Server и использовать его, когда сервер подключается по запросу к удаленным системам. Выбираемые имя и пароль важны потому, что необходимо создать учетную запись в системе главного офиса с тем же самым именем и паролем. Интерфейс подключения по запросу главного офиса так же будет использовать это имя.

После присвоения имени своей удаленной системе, интерфейс подключения по запросу из удаленного офиса будет полностью скопирован в главный офис. Следующий шаг - это определить на сервере удаленного офиса статический маршрут в главную офисную сеть.

4.3.2 Создание статического маршрута

Для создания статической маршрутизации откройте окно MMC Routing and Remote Access, контейнер сервера и выберите IP Routing. Нажмите правой кнопкой мыши на узле Static Routes и выберите New Static Route, открыв диалоговое окно. Это диалоговое окно применяется для указания системе Windows 2000 Server использовать интерфейс подключения по запросу для доставки любых пакетов, отправленных в заданную область IP адресов. Для нашей сети, Windows 2000 сервер удаленного офиса должен использовать ранее определенный интерфейс MAIN-OFFICE для маршрутизации в главный офис любых пакетов с адресами пунктов назначения в диапазоне от 172.16.0.1 до 172.16.0.254. Следовательно, для создания надежного и правильного интерфейса подключения по запросу, появившегося в поле Interface, необходимо ввести соответствующий IP адрес и маску подсети, а затем выбрать флажок Use this route to initiate demand-dial connections.

После окончания конфигурации маршрутизации системы удаленного офиса, необходимо добавить пользователя. Когда один сервер соединяется с другим сервером для маршрутизации трафика, он должен иметь комбинацию из имени пользователя и пароля для того, чтобы принимающая система могла установить подлинность вызывающей. На сервере удаленного офиса создайте пользователя с именем MAIN-OFFICE, это имя используется для интерфейса подключения по запросу. Задайте пользователю стандартные установки (сбросьте флажки User must change password at next logon, Password never expires и User cannot change password), затем сконфигурируйте свойства для подключения.

Выберите режим Allow access для предоставления пользователю возможности инициации соединения. Я также рекомендую присваивать фиксированный IP адрес для приема входящего трафика. Хотя я и создал VPN конфигурацию без использования постоянного IP адреса, я всё же предпочитаю задавать IP адрес, который Windows 2000 будет использовать. Щелкните OK для сохранения измененных свойств пользователя.

Последний шаг по настройке удаленного офиса - это сконфигурировать все клиентские рабочие станции, используя адрес 192.168.0.1 в качестве шлюза по умолчанию. Такая установка позволит рабочим станциям передавать серверу Windows 2000 любые пакеты, направляемые в другой сегмент сети (например, пакеты направленные по адресам вне диапазона с 192.168.0.1 по 192.168.0.254). Затем сервер определяет оптимальный путь для доставки пакетов. Для отправки пакетов в главный офис, сервер вызывает интерфейс подключения по запросу и устанавливает VPN соединение.

4.3.3 Конфигурирование системы главного офиса

Если вы уже прошли этот путь, возьмите перерыв на одну минуту - вы находитесь на полпути до конечного пункта. Теперь необходимо повторить на системе главного офиса такую же операцию, которую выполнили на системе удаленного офиса для создания целостной конфигурации. Следуйте теми же шагами, но введите правильное имя в адресную информацию для системы главного офиса. Например, имя интерфейса подключения по запросу на этот раз REMOTEOFFICE. После настройки системы главного офиса (включая определение корректной статической трассы, пользовательские учетные записи и IP адреса), у вас появится функциональная сеть VPN.

Для тестирования полученной конфигурации обратитесь к левой панели окна консоли Routing and Remote Access на системе в удаленном или главном офисе и передвигайтесь по списку интерфейсов маршрутизации в системе. Нажмите правую кнопку мыши на интерфейсе подключения по запросу, который выбрали и отметьте Connect. Если увидите напротив соединения в MMC надпись "Connected", то VPN полностью функциональна. Если соединение не получилось, проверьте шаги и найдите недостатки в конфигурации для исключения любой возможной ошибки перед каким-нибудь дальнейшим действием.

Когда добьётесь надежного соединения, перейдите на рабочую станцию и, используя команду Ping, протестируйте возможности соединения. Проверьте доступность адреса самой рабочей станции, стандартный шлюз Internet (локальный сервер Windows 2000), общедоступный IP адрес VPN сервера в одном офисе и адрес устройства в другом офисе.

Если ping-пакеты перемещаются от одного конца VPN в другой, в последнюю очередь протестируйте функциональные возможности подключения по запросу. В окне консоли Routing and Remote Access отключите VPN соединение, нажав правую кнопку на интерфейсе подключения по запросу, и выберите Disconnect. Когда интерфейс будет отключен, вернитесь на рабочую станцию, на которой ранее запускали ping, и постарайтесь проверить устройство в другом офисе снова. Хотя первые несколько попыток отправки пакетов могут быть неудачны, в конечном счете вы увидите реакцию от удаленной системы, если конечно все работает корректно. Обновив окно консоли Routing and Remote Access на сервере, можно увидеть, что интерфейс подключения по запросу активизирован. Если ping не получает ответа, снова повторите действия; я наблюдал установление VPN соединения от 2 до 12 секунд в зависимости от условий функционирования сети.

В проекте достаточно информации для создания сети VPN. Тем не менее, если требуется получить больше информации, компания Microsoft включила значительное количество документации по VPN в подсказку консоли Routing and Remote Access MMC. Пользуйтесь документацией "L2TP-based router-to-router VPN", "PPTP-based router-to-router VPN", "Tunneling protocols", "Troubleshooting demand-dial routing" и "An on-demand router-to-router VPN". Хотя установка VPN является сложной задачей, но после проведенной работы созданная сеть будет надежным и экономным способом соединения сетей.



4.4 Установка и настройка сервера Citrix Metaframe XP

4.4.1 Введение в сервер приложений Citrix MetaFrame XP

MetaFrame XP - это последняя версия программного обеспечения Citrix Systems Inc, расширяющая функциональные возможности Windows Terminal Services. Citrix первоначально создала MetaFrame для Windows NT Server 4.0 Terminal Server Edition (WTS) - там использование MetaFrame было почти необходимостью. В Windows 2000 службы терминалов были значительно улучшены и для их работы нет необходимости в MetaFrame. Кроме того, MetaFrame обеспечивает некоторые особенности на стороне клиента, которые службы терминала Windows не содержат.

4.4.2 Особенности MetaFrame

Программное обеспечение MetaFrame 1.8 поставлялось в виде базового пакета и отдельных дополнений к нему: вы покупали MetaFrame 1.8, затем добавляли Load Balancing Services (служба распределения нагрузки), Resource Management Service (служба управления ресурсами) и Installation Management Service (служба инсталляции) в виде отдельных компонентов. MetaFrame XP собран по-другому; вместо того, чтобы быть продавать его в виде единого продукта с добавлениями, Citrix предлагает три различных версии MetaFrame XP: XPs, XPa, и XPe.

MetaFrame XPs, базовый продукт, поддерживает публикацию приложений, новый драйвер принтера и способности управления полосой пропускания для печати; доступ на чтение к Active Directory (AD), централизованное управление лицензиями, публикацию приложений на веб-страницах с NFuse, улучшенные теневые сеансы, а также поддерживает часовые пояса клиентов, чтобы часы пользователей зависели от их местоположения, а не от местоположения терминального сервера.

В дополнение ко всем ранее упомянутым особенностям, MetaFrame XPa включает Load Management (прежде Load Balansing). А версия MetaFrame XPe, предназначенная для использования в крупных организациях, поддерживает все ранее упомянутые особенности плюс системный мониторинг, Упаковка и доставка приложений, взаимодействие с инструментами управления сетями Tivoli и HP Open View (и, начиная с Feature Release 1, CA Unicenter TNG)).

Все версии MetaFrame XP работают или с WTS, или с Windows 2000 Terminal Services и не зависят от сервисных пакетов. Однако, Citrix рекомендует, чтобы вы планировали использовать MetaFrame на платформе Win2K Terminal Services или .NET - компания больше не поддерживает WTS. И хотя MetaFrame XP не зависит от специфических особенностей Windows, она может использовать некоторых из них (например, все версии MetaFrame XP могут обращаться к AD для получения настроек из профиля пользователя). Так что полные функциональные возможности сервера MetaFrame зависят от основной платформы.

4.4.3 Установка Citrix Metaframe

Зайдем в директорию, содержащую установочный пакет Citrix Metaframe XP 1.0 или вставим компакт-диск с установочными файлами и запустим файл autorun.exe

Запустится оболочка компакт-диска. Нажмем на кнопку "Install or upgrade Metaframe XP server"

Откроется вторая страничка оболочки. На ней нажмем кнопку "Metaframe XP Feature release 3"

Запустится мастер установки. Для продолжения, как и подсказываем нам "Мастер", нажмем "Next"

Согласимся с лицензионным соглашением и пойдем дальше.

На этом экране предлагается выбрать тип сервера в порядке убывания крутости. Можно оставить предлагаемый по умолчанию, но для этого у вас должна быть соответствующая лицензия.

Здесь также предлагается свериться со своей лицензией и выбрать тот тип установки, который нас интересует. Мы двинемся дальше, оставив установки по умолчанию.

Теперь нам предлагают выбрать компоненты, которые будут устанавливаться, снова оставим все как есть.

И вот мы достигли экрана мастера установки, на котором нам придется что-то делать. Здесь предлагается включить "сквозную" авторизацию для клиентов, подключающихся к серверу. При включении "сквозной" авторизации при попытке соединения на сервер будет передаваться локальная информация о пользователе, то есть то имя и пароль, с которыми пользователь вошел в свою локальную систему. Эти установки можно будет потом изменить, и, поэтому, мы ответим "нет", то есть выключим "сквозную" авторизацию для получения более предсказуемых результатов тестового запуска.

На этом экране нам предлагают либо создать свою ферму, либо подключить наш сервер к уже существующей. Поскольку мы все делаем в первый раз, создадим нашу собственную новую ферму.

Введем имя нашей новой фермы. Я написал "My Farm". Вы можете назвать ферму так, как вам вздумается. Ниже укажем системе использовать локальную базу данных и оставим имя зоны по умолчанию.

Примечание: Как выяснилось в процессе экспериментов, вовсе необязательно устанавливать на сервер какую-либо базу данных. Несмотря на уверения в печати о необходимости установки хотя-бы Access, Citrix великолепно работает и без баз данных.

Зададим начального администратора сервера Metaframe. По умолчанию предлагается имя текущего администратора Windows. В качестве имени домена предлагается имя компьютера, на который устанавливается Citrix.

Примечание: Имя домена в общем не должно совпадать с именем рабочей группы, в которой находится сервер. И при подключении будет запрашиваться именно введенное здесь имя. Это справедливо для сетей с бездоменной структурой.

Оставим настройки теневого подключения по умолчанию и нажмем "Next"

И снова оставим настройки порта TCP/IP по умолчанию и нажмем "Next"

Вот мы и достигли последнего экрана мастера установки. На нем перечислены все выбранные параметры и, после нажатия кнопки "Finish", начнется собственно установка сервера.

После успешного окончания установки можно нажать кнопку "Close", а можно почитать файл "Readme" или запустить мастер распределения клиентов. Кому как больше нравится.

Перезагрузимся. На этом установка Citrix Metaframe, будем считать, успешно завершена.

4.5 Настройка сервера

4.5.1 Подключение консоли

В этом подпункте описана настройка сервера Citrix Metaframe.

Сразу после перезагрузки Citrix нас приветствует системным сообщением, гласящим, что наш вновь установленные продукт не имеет лицензий и работать соответственно не будет. Нажмем "ОК" и попробуем это дело как-нибудь исправить.

Откроем меню "Start" и нажмем "Programs -> Citrix -> Management Console" для запуска консоли управления, в которой мы и будем сейчас работать.

Сразу после начала запуска консоли, Citrix спрашивает, к какому серверу мы будем подключаться, а также предлагает опять включить "сквозную" авторизацию. Мы подключаемся к серверу, установленному на локальной машине, поэтому выставляем все флажки и кнопки как на рисунке и продолжаем.

Появляется окошко подключения. Вводим имя, пароль администратора и жмем "ОК"

Мы попадаем в консоль управления сервером Citrix Metaframe. Для начала надо наш сервер лицензировать. Жмем "Actions -> New -> License..." и переходим к следующему пункту.

Добавляются лицензии следующим образом: После нажатия New License система спрашивает у вас серийный номер лицензии. Вы его вводите, затем следует выдача номера из цифробукв и запрос кода активации. Для получения кода активации необходимо послать выданный номер в Citrix и, после уплаты членских взносов, вам выдадут соответствующий код активации. Процедура проста и, после некоторой тренировки, будет проходить без малейших затруднений. На картинке вверху приведен список лицензий, которые желательно иметь для успешного продолжения работы. Возможно, не все они нужны, но с такой конфигурацией все замечательно работает.

И еще одно замечание по поводу лицензирования. Проследите, чтобы на вкладке "Connection" присутствовала строчка, подобная приведенной на картинке, иначе законнектиться к серверу не получится.

Теперь займемся публикацией приложений. В дереве консоли управления ищем "Applications", жмем правую кнопочку мышки и выбираем "Publish Application"

Первое приложение, которое мы опубликуем будет целый рабочий стол нашего сервера. Пишем имя приложения и его описание.

Сервер будет спрашивать, что мы собираемся публиковать. Говорим ему "Desktop" и продолжаем.

На этом экране можно сменить папочку, добавить публикуемое приложение в меню "Старт" у клиента и сменить иконку.

Тут мы выбираем разрешение экрана и желаемую глубину цвета. Я здесь не помощник, выбирайте по своему вкусу и по возможностям видеокарты на клиенте.

Продолжаем настраивать подключение. Включение звука требует наличия звуковой карты на клиенте. Степень шифрования выбираем в зависимости от уровня желаемой секретности.

Этот экран поможет настроить ограничения на одновременный запуск одного и того-же приложения одним пользователем, а также определить приоритет процессора при выполнении этого приложения. Ничего не меняем и переходим к следующему пункту.

Наконец-то мы подошли к выбору сервера, который и будет выполнять наше опубликованное приложение. Как известно, на ферме обычно бывает множество работников, но, поскольку это наш первый сервер, то он будет присутствовать в списке в гордом одиночестве.

Жмем кнопочку "Add" и выбираем наш сервер для обслуживания клиентов собственным рабочим столом.

Теперь надо определить пользователей, которые имеют разрешение подключаться к серверу и работать на его рабочем столе. В верхнем окне перечислены группы пользоветелей, зарегистрированные на сервере, нажатием кнопки "Add" можно разрешить группе подключаться к серверу. Как видно на рисунке, я разрешил подключаться группе администраторов и группе пользователей.

Все, рабочий стол опубликован. Теперь для закрепления навыков публикации приложений мы сейчас опубликуем конкретное приложение, например, Microsoft Word.

В дереве консоли управления снова ищем "Applications", жмем правую кнопочку мышки и выбираем "Publish Application". Пишем имя приложения: Word и его описание.

Говорим серверу, что мы собираемся публиковать приложение и, воспользовавшись кнопочкой "Browse", указываем, какое именно приложение мы публикуем.

Итак, после всех наших действий в списке "Applications" у нас появилось два опубликованных приложения: рабочий стол и Word.

Ну вот, в общем и целом кофигурирование сервера Citrix Metaframe закончено. Осталось еще сделать пару простых необязательных действий и можно будет переходить к клиенту.

Откроем "Start -> Settings -> Control Panel -> Administrative Tools -> Terminal Services Configuration". Это стандартное средство Windows. Найдем там "Connections -> ICA-tcp", нажмем на нем правой кнопкой и выберем "Свойства".

4.6 Конфигурирование менеджера загрузки

4.6.1 Установка клиента Win32

Для начала надо любым образом переписать установочный пакет клиента на клиентскую машину или дать к нему доступ по сети. Клиент Win32 входит в комплект Citrix Metaframe XP 1.0 FR3, и найти его можно по следующему пути

x:\MetaFrame\w2k\icaWeb\en\ica32\ica32.exe

где x - буква вашего CD-ROM или корневая папка установочного комплекта Citrix. Запускаем ica32.exe.

Вводим имя компьютера.

Выбираем или наоборот отказываемся от использования при соединении с сервером локального имени и пароля.

4.6.2 Настройка клиента Win32

И после успешного завершения установки получаем окошко Citrix ICA Client с пока единственной иконкой Citrix Program Neighborhood.

Жмем на Citrix Program Neighborhood, появляется содержимое программного окружения Citrix. Нас интересует "Поиск нового набора программ" (Find New Application Set).

Запускается очередной "Мастер" и предлагает поискать в локальной сети, с чем мы соглашаемся.

Жмем на стрелочку выпадающего списка и видим название нашей фермы - My Farm. Жмем на него и видим картинку, показанную на рисунке.

Нам предоставляется очередной шанс поменять разрешение экрана и глубину цвета. Выставляем все по вкусу.

Нас поздравляют с успешным завершением поиска и предлагают нажать "Finish".

Возвратясь в Citrix Program Neighborhood мы обнаруживаем иконку нашей фирмы - My Farm.

Вводим имя подключающегося пользователя, пароль и домен. Пользователь должен состоять в одной из групп, которым разрешено подключение к серверу, а домен должен быть тем самым, что указывался при установке сервера.

После того, как имя пользователя и пароль успешно идентифицированы мы попадаем в папку нашей фирмы, в которой содержатся оба наших опубликованных приложения: рабочий стол и Word.



5. Технико-экономическое обоснование проекта внедрения беспроводной локально-вычислительной сети

Смена поколений оборудования беспроводных сетей происходит раз в 2-3 года. Очень важно, построив беспроводную сеть, через некоторое время не оказаться в ситуации, когда нужное оборудование исчезло с рынка, а новое или плохо работает или несовместимо с имеющейся инфраструктурой сети. Декларируемая Wi-Fi совместимость оборудования Wireless LAN стандартов IEEE 802.11 a/b/g реально поддерживается для ограниченного числа реализуемых функций. Например, при решении задач беспроводного доступа в Интернет различное Wi-Fi оборудование на практике или несовместимо или его совместное применение резко ухудшает технические параметры сети. Поэтому очень важным является не только способность оборудования эффективно решать необходимые задачи, но обеспечить минимизацию потерь при его модернизации в будующем. Такое свойство оборудования называется обеспечением защиты инвестиций. Свойством защиты инвестиций может обладать только профессиональное оборудование, предназначенное для построения операторской инфраструктуры.

Невысокая цена оборудования WLAN определило его широкое применение не только для создания внутриофисных сетей, но и для организации доступа в Интернет в беспроводных сетях городского масштаба.

До внедрения разработанной системы пользователи ноутбуков были жестко привязаны к рабочим местам. В связи с ростом количества мобильных пользователей возникла необходимость обеспечить им безопасный доступ в сеть, с минимальными материальными затратами в максимально сжатые сроки.

На основании вышеизложенного экономический эффект достигается за счет простоты и быстроты проектирования и реализации, что критично при жестких требованиях к времени построения и развертывания сети, возможности динамического изменения топологии сети при подключении, передвижении и отключении мобильных пользователей без значительных потерь времени, минимальные вложения в оборудование.

Эти преимущества привлекают внимамние к беспроводной сети, в связи с этим беспроводные сети в настоящее время развиваются большими темпами. Разработка темы актуальна и целесообразна.

В данной части определена трудоемкость разработки дипломного проекта. При определении трудоемкости исходили из того, что работы выполнялись в соответсвии с требованиями ЕСКД.

В группу разработчиков для оптимального выполнения задачи по созданию беспроводной сети вошли два специалиста - начальник IT отдела, и системный администратор.

Их категории и должностные оклады по данным бухгалтерии коммерческой организации представлены в таблице ниже