Организация и планирование беспроводных сетей. Как мы строили свою WiFi-сеть

SergeyZh 19 сентября 2013 в 12:25

Как мы строили свою WiFi-сеть

• Блог компании JetBrains

Я хочу рассказать о том, как мы строили свой собственный, хороший WLAN - Wireless LAN.

Эта статья будет полезна тем, кто собирается построить в своей компании WLAN, причем не простой, а хорошо управляемый и такой, чтобы пользователи этого WLAN были довольны, т. е. не замечали бы его после начального подключения.

Как это все начиналось

Шли годы, офис увеличивался, появился стандарт 802.11g. Мы шли по пути постепенного увеличения количества SOHO точек с одинаковым SSID-ом. Задача была в том, чтобы WiFi просто был. Сначала был один этаж с 6 точками LinkSys WAP54G, затем появился второй этаж, куда мы начали ставить точки Cisco (они же LinkSys) стандарта gn. Если где-то не хватало покрытия, мы просто добавляли точку.

Пока клиентских устройств было не очень много, такая схема работала неплохо. Да, были проблемы с роумингом, когда клиент до последнего цеплялся за точку, с которой соединился вначале и не хотел переходить на другую точку, сигнал от которой лучше. Да, такой сетью было неудобно управлять: замена SSID-а или добавление нового, требовало обойти все точки, которых было в максимуме этой сети - 12 штук. Да, понять, что происходит в WLAN сети, было непросто, т. к. все точки работали «сами по себе» без централизованного управления. Даже определить количество одновременно подключенных клиентов было непросто. Отказоустойчивость такой сети также была не на высоте. Достаточно было «зависнуть» одной точке - и сразу появлялась дырка в покрытии. Но все это компенсировалось низкой стоимостью этой сети. Одна точка стоила $130-$150, собственно только из стоимости точек и складывалась стоимость сети.

Одновременно росло количество WiFi-клиентов, которых уже не устраивал «просто WiFi в офисе». Они хотели высокопроизводительный WiFi, с возможностью перемещаться по офису и при этом не терять связь. Также стало понятно, что наша компания будет переезжать в новый офис. Это было начало-середина 2012 года, соответственно, перед нашим отделом встала задача построить качественный WiFi в новом офисе до переезда.

План был такой:
1. Определиться с задачами, которые должен был решать наш WLAN.
2. Выбрать производителя WLAN.
3. Спроектировать расположение точек, т. к. это нужно было сделать до окончания прокладки СКС в здании, чтобы не превращать установку точек в отдельный строительный проект.
4. Составить точный список оборудования для заказа.
5. Смонтировать, настроить и протестировать сеть.

Задачи

Нужна возможность удобного управления WLAN - для быстрого создания новых беспроводных сетей, например для гостей или проводимых в офисе конференций. Возможность централизованного управления сетями в географически разнесенных офисах, т. е. чтобы пользователь, подключившись в одном из офисов и переехав со своими мобильными устройствами в другой офис, подключился к сети уже автоматически.

Разумеется, нужна возможность удаленного управления WLAN сетями в других наших офисах, которые по странному стечению обстоятельств также переезжали в новые помещения примерно в это же время и в которых старая WLAN также нуждалась в замене.

Выбор производителя

Я рассматривал таких производителей: Cisco, Motorola и Aruba. Вначале еще рассматривал HP, т. к. наша проводная сеть построена именно на HP, но после прочтения нескольких тестов производительности, где HP занимал последние места, я исключил его из рассмотрения.

Итак, Cisco - лидер сетевой индустрии. Любое сетевое решение, построенное на Cisco, должно работать хорошо. Обратная сторона - цена решения, которая обычно выше, чем у конкурентов. В обычном WLAN решении от Cisco весь трафик с точек доступа поступает на контроллер, который занимается дальнейшей обработкой пакетов. В этом варианте есть как плюсы (весь трафик проходит через одну точку), так и минусы: жесткая зависимость от работоспособности контроллера и ширина канала, по которому подключен контроллер к проводной сети. По этой же причине в каждом офисе нужно ставить свой собственный контроллер WLAN.

Aruba Networks . Один из основных конкурентов Cisco в сегменте беспроводных сетей. Продвигают свое решение без контроллера, т. е. контроллер находится где-то в облаке, а точки находятся у вас в офисе. Год назад я не был готов ставить свою беспроводную сеть в зависимость от облачного сервиса.

Motorola . WLAN решение от Motorola - WiNG 5 - делает упор на децентрализованность. Каждая точка является достаточно умной, чтобы авторизовать клиента и затем пропускать трафик между беспроводным и проводным сегментами сети в соответствии с настройками, которые точка получает с контроллера. Т. е. в этом случае мы получаем сегмент проводной сети, обычно это VLAN с трафиком от беспроводных клиентов, и затем мы можем управлять этим трафиком с помощью инфраструктуры обычного LAN. Контроллер используется только для управления точками доступа и сбора статистики. Также есть очень полезный для нас режим работы, когда контроллером становится одна из точек доступа, а при ее недоступности производится процедура выбора точки-контроллера из оставшихся точек сети.

Здесь Моторола показывает, как ходят данные в сети WiNG5 по сравнению с другими архитектурами:

Также в процессе выбора производителя на меня повлияли советы товарища , который прислал ссылки на очень хорошие мануалы по развертыванию и настройке WiNG 5. После прочтения этих документов стало ясно, что архитектура WiNG 5 с вариантом подключения NOC (Network Operations Center) подходит нам больше всего.

Схема сети вырисовывалась такая: в самом большом офисе, где нужно поставить больше всего точек, мы устанавливаем контроллер и самые простые, «зависимые» точки, которые без контроллера могут работать только несколько минут. В удаленных офисах мы устанавливаем «независимые» точки, которые могут брать на себя функции контроллера в случае недоступности основного контроллера, но управлять удаленными офисами мы все равно будем с центрального контроллера. Это было особенно удобно, т. к. удаленным офисам уже была нужна новая беспроводная сеть, которую мы уже могли развернуть с помощью независимых точек, а главный офис был еще не готов. После запуска главного офиса, в котором и будет находиться WLAN контроллер, мы переключим удаленные офисы на работу с ним.

Как же расположить WiFi-точки?

Сложность заключалась в следующем: на этажах полностью отсутствовали внутренние перегородки, т. к. их еще предстояло построить. Но WLAN-оборудование надо было уже заказывать, т. к. обычные сроки поставки - от 2 месяцев. Соответственно, мы не могли сделать полноценное радиообследование уже готового помещения, как советуют во всех руководствах, и пришлось положиться только на чертежи будущих перегородок. Небольшое радиообследование мы все-таки провели: выяснили, что можно покрыть практически весь этаж двумя WiFi-точками 2,4 Ггц мощностью 17 dBm и получить уровень сигнала в большинстве мест этажа не менее -70d Bm. Также мы выяснили, что посторонних WLAN-сетей в здании и поблизости нет, а железобетонное перекрытие между этажами экранирует сигнал до уровня -80-90 dBm.

Стало понятно, что с помощью двух, а лучше трех WiFi-точек мы худо-бедно обеспечим покрытие одного этажа в диапазоне 2,4 Ггц при отсутствии перегородок. Однако полной уверенности, что это будет хороший WiFi, не было. Поэтому я решил смоделировать этаж в какой-либо системе для проектирования беспроводных сетей. У Motorola есть такой софт, специально предназначенный для таких задач, - LANPlanner. Наверняка система хорошая, но стоит в районе 300 тыс. руб. и невозможно посмотреть даже демо-версию. После некоторых поисков я нашел программу TamoGraph Site Survey , которая позволяет составлять карту покрытия WLAN, а также проводить моделирование с использованием виртуальных WiFi-точек и виртуальных стен. Цена на эту программу была в 10 раз меньше по сравнению с LANPlanner, и, учитывая, что неправильное расположение WiFi-точек обойдется значительно дороже, я решил воспользоваться именно TamoGraph.

Вооружившись строительными планами будущих перегородок и TamoGraph Site Survey, я нарисовал план одного этажа, используя виртуальные материалы стен с теми же характеристиками, которые будут у наших будущих перегородок. После размещения на плане виртуальных WiFi-точек стало понятно, что программа моделирования - вещь чрезвычайно полезная. Она сразу показала, как будут влиять на распространение сигнала бетонные колонны, которые также были на этаже, но которые учесть «на глаз» было очень сложно. После моделирования стало ясно, что даже для диапазона 2,4 Ггц очень желательно поставить 4 точки на этаж. А если мы хотим использовать диапазон 5 Ггц, то точек нужно больше и ставить их нужно чаще. В итоге мы остановились на схеме с 6 точками на этаж, при этом мощность каждой точки в диапазоне 5 Ггц не превышает 17 dB и основные части этажа покрываются одновременно как минимум 2 точками. Тем самым мы обеспечиваем надежность работы WLAN в случае выхода из строя одной из точек на этаже.

Вот пример того, как выглядит результат моделирования одного из этажей (цветом показан уровень сигнала на 5 Ггц):

Итак, расположение точек известно, схема сети в целом понятна.

Что же нужно купить?

В удаленные офисы нужно покупать полноценные точки AP-6532 «AP-6532-66030-WW». Эта точка по WiFi-характеристикам является копией AP-650. Но эти точки могут работать как сами по себе, так и под управлением контроллера. Если они теряют связь с контроллером, то продолжают обслуживать WiFi-клиентов. Если же контроллера изначально нет, то его функции на себя берет одна из точек (выбирается автоматически). Софт на WiFi-точках и на контроллере - один и тот же. Стоимость точки AP-6532 примерно на 150$ выше, чем AP-650.

Так выглядит эта точка на столе:

А вот так уже установленная на потолке:

Удобно, что на многих типах подвесных потолков эти точки можно закрепить без сверления отверстий: точка крепится к T-профилю потолка на защелках.

В качестве контроллера, а точнее двух контроллеров для работы в кластере, я выбрал RFS6000 . Здесь выбор был довольно прост: более простая версия RFS4000 не поддерживает нужного нам количества точек, а RFS7000 просто дороже. Также на контроллеры нужно купить сервисный контракт, по которому можно получать обновление софта и получить гарантийное обслуживание в течении 3 лет.

Казалось бы, всё купили: точки, контроллеры, гарантию на контроллеры. Но нет: еще нужно купить лицензии для подключения точек к контроллеру. Выгоднее всего покупать лицензии пакетами, в нашем случае это 4 пакета по 16 лицензий, т. е. наши контроллеры смогут обслуживать 64 точки с учетом всех удаленных офисов. Интересная деталь: лицензии и контроллеры покупаются независимо, а потом на сайте Motorola вы связываете лицензии с определенным контроллером или контроллерами. В нашем случае все лицензии привязаны на один контроллер, а второй контроллер объединен с ним в кластер. Так вот в случае выхода из строя первого контроллера (с лицензиями), второй продолжит обслуживание с этими же лицензиями.

Теперь разберемся с гарантией на точки. Гарантия на замену неисправных точек для всех Motorola точек стандарта «N» - пожизненная. Пожизненная - это значит не в течении Вашей жизни, а в течении жизненного цикла этих точек от компании Motorola. Как только они прекратят выпуск этих точек + сколько-то лет, и точку уже не поменяют. Думаю, что у других производителей точно такая же «пожизненная» гарантия, так что это не особенность именно Motorola. Еще можно приобрести дополнительную гарантию на точки, при которой, если у вас точка выходит из строя, вам сначала привозят новую, а затем вы отправляете старую обратно.

Но и это еще не все. Еще нужен сервисный контракт на точки, чтобы можно было обновлять прошивки. В случае точек AP-650 стоимость сервисного контракта на точки уже заложена в сервисном контракте на контроллер и, соответственно, зависит от количества точек, которые подключаются к контроллеру. А вот на точки AP-6532, которые были куплены в других странах для удаленных офисов, нужно было покупать сервисный контракт на эти точки.

Возможно, кому-то будут интересны цены на оборудование в России:

Подключение и настройка

Порты на LAN-свитчах мы настроили в режим trunk, чтобы они принимали тегированные пакеты и распределяли их по соответствующим VLAN-ам. VLAN у нас настроено 2: для внутренних пользователей и для гостей. В каждом VLAN своя IP-адресация, и маршрутизируются они по-разному, но все это уже делается на обычном проводном оборудовании. На контроллере мы также создали 2 WLAN-сети: для сотрудников и для гостей, каждую со своим SSID-ом, которые отобразили на соответствующий VLAN. Т. е. клиент, подключаясь к одному из WLAN, попадает в соответствующий этой сети VLAN. Если говорить просто, то WiFi-точки выступают в виде распределенного WLAN-свитча и передают пакеты между WLAN и LAN сетями.

Настроек на точках в этот момент нужно было сделать немного:
1. Задать страну для rf-domain, чтобы точки работали в разрешенном для этой страны диапазоне.
2. Создать нужное количество WLA-сетей (в нашем случае две) с соответствующими настройками security. При создании WLAN нужно указать VLAN, которым она будет тегироваться.
3. Включить технологию SMART-RF, которая поможет автоматически выбрать каналы и мощность радиомодулей в точках, основываясь на зашумленности эфира и взаимном расположении точек. В дальнейшем SMART-RF может менять канал или мощность точки в случае появления помех или, например, повысить свою мощность при отключении соседней точки, чтобы увеличить покрытие. Технология довольно удобна, хотя наверняка есть случаи, когда она мешает.

В общем-то, это все. Можно еще задать конкретные параметры радиомодулей любой из точек или всех сразу, но для этого надо хорошо представлять, что вы делаете. Для этого очень полезно почитать книгу CWDP Certified Wireless Design Professional Official Study Guide , которую рекомендует TamoSoft вместе со своей программой проектирования сетей. Похоже, что авторы программы разрабатывали ее, основываясь на этой книге, т. к. многие термины совпадают. В нашем случае мы отключили поддержку скоростей ниже 6 Мбит, чтобы медленные WiFi-подключения не мешали.

Хочу сказать пару слов о том, что такое rf-domain (Radio Frequency domain). Это физическая область, которая объединяет в себе группу WiFi-точек. Внутри этой группы может происходить роуминг клиентов. Например: если офис должен быть полностью покрыт WLAN, то все точки этого офиса имеет смысл объединить в один rf-domain. Если же в офисе есть 2 разнесенных между собой конференц-зала и точки установлены только для обслуживания клиентов в этих залах, то надо сделать два rf-domain"а, по одному для каждого зала. В случае использования независимых точек с виртуальным контроллером вы можете создать только один rf-domain.

На этом этапе мы получили несколько совершенно независимых WLAN-сетей в удаленных офисах, каждую из которых нужно было настраивать отдельно. Но зато каждая из этих сетей работала очень хорошо, роуминг между точками работал, статистика собиралась, пользователи были довольны.

Настройка центрального офиса (NOC)

Сначала подключаем контроллеры, их у нас 2 штуки. Чтобы при выходе из строя одного из них сеть продолжала работать, их нужно объединить в кластер. Контроллеры подключаются к сети обычным 1 Gb Ethernet, хотя можно подключить и оптикой через SFP-коннектор. Настраиваем один из контроллеров: IP-адреса, DNS имя, пароли. Затем настраиваем IP-адрес для второго контроллера и прошиваем в него прошивку той же версии, что и у первого контроллера, - это совершенно необходимо для объединения в кластер. Именно поэтому нужно покупать сервисный контракт на контроллеры. Без контракта вы не получите доступа к прошивкам, ни к старым ни к новым, а в моем случае контроллеры пришли с разными версиями прошивок.

Затем на «втором» контроллере выполняете команду «join cluster» с указанием адреса первого контроллера. Второй контроллер перезагружается - и готово, кластер из двух контроллеров работает с идентичными настройками. Кластер бывает двух типов: Active-Active - когда оба контроллера обслуживают точки одновременно, и Active-Passive - когда точки обслуживает только первый контроллер, а второй включается в работу только при выходе из строя первого. В любом случае все точки сети знают IP-адреса обоих контроллеров.

Теперь на контроллере необходимо создать нужные нам rf-domain"ы. В нашем случае мы создаем каждому офису по одному rf-domain: spb-office, munich-office и т.д. У каждого rf-domain"а указана своя страна и своя настройка технологии SMART-RF, что логично: в разных областях нам может понадобиться настраивать радиомодули точек по-разному.

Далее на контроллере создаем WLAN-сети. Любую из созданных WLAN можно будет включить в любом из офисов, что, конечно же, очень удобно и являлось одним из наших первоначальных требований. Составной частью WLAN является настройка ее security, т. е. тип аутентификации, шифрования и QoS. Важно понять, что rf-domain и WLAN являются совершенно независимыми друг от друга сущностями. Также в WLAN задается ее SSID и тег VLAN, которые можно переопределить для каждого rf-domain. Это удобно, т. к. не в каждом офисе у нас совпадает нумерация VLAN-ов, а здесь мы можем задать нужный VLAN определенной WLAN для конкретного rf-domain.

Теперь переходим к настройке точек. Исходим из того, что каждая точка при включении должна подключаться к контроллеру и получать все настройки с него. Для этого на DHCP-сервере нужно прописать определенные vendor specific опции, в которых указываем IP-адреса контроллеров и некоторые настройки таймаутов. Эти опции никак не влияют на других клиентов сети, т. к. DHCP-сервер их отправляет только тем, кто запрашивает именно эти опции. Такая схема позволяет быстро подключать новые точки к сети: взяли новую точку из коробки, подключили к нужному порту на свитче, и всё. Точка получает с контроллера нужную прошивку и все необходимые настройки. При выключении точки она теряет все свои настройки и становится «чистенькой», как с завода (сохраняется только прошивка).

В момент самого первого подключения к контроллеру контроллер запоминает эту точку по MAC-адресу в своем конфиге и уменьшает количество свободных лицензий на 1. Затем контроллер находит подходящий профиль для настройки этой точки и отдает настройки этого профиля точке. Если это не первое подключение точки, то на контроллере могут храниться дополнительные настройки для этой конкретной точки, которые он объединяет с настройками подходящего профиля и отправляет точке.

Что же такое профили (Profiles) в WiNG 5? Профили позволяют выдать одинаковые настройки сразу группе WiFi-точек или контроллеров. Профили хранятся на контроллере и представляют собой полные наборы параметров для точки определенного типа. Например если нам нужно производить автоматическую настройку точек AP-650 и AP-6532 в одной и той же сети, то нам понадобится как минимум 2 профиля: для AP-650 и для AP-6532. Именно в профиле указано, какие WLAN будет обслуживать наша точка, в каких диапазонах будут работать радиомодули и на каких скоростях. Также на настройки профиля накладываются ограничения rf-domain, в котором находится конкретная точка.

Как контроллер определяет, какой профиль нужно выдавать конкретной точке? Для этого у контроллера есть «Automatic Provisioning Policies». Не могу придумать хорошего русского аналога. Этих Policies на контроллере может быть несколько штук, в каждом из них записано определенное условие, по которому эта policy применяется к точке или нет. Условиями могут быть: диапазон IP-адресов, в котором находится точка, диапазон MAC-адресов точек и многие другие. Но мне достаточно различать точки по типу и по IP сети. Также в policy указано, какой профиль применять к точке и в каком rf-domain эта точка находится. В итоге, при подключении точки контроллер идет по списку policies и первая подходящая к этой точке policy применяется.

Теперь собираем все это вместе

При подключении каждой новой точки технология SMART-RF определяет лучший номер канала для радиомодулей этой точки и мощность. Этот выбор производится в зависимости от каналов, на которых работают соседние точки и от расстояния до них. Области радиопокрытия соседних точек перекрываются, поэтому каждая точка «видит» несколько соседних (в нашем случае видно 3-4 соседних точки на этаже).

Как я уже упоминал, для связи WLAN и LAN у нас сделано 2 VLAN: рабочий и гостевой. В рабочий VLAN отображается WLAN для сотрудников, а в гостевой отображается 1 или более гостевых WLAN. Мы поднимаем дополнительные гостевые WLAN в случае каких-либо мероприятий в офисе, чтобы после окончания мероприятия можно было этот дополнительный гостевой WLAN отключить вместе с гостями. :-)

А вот так выглядит этаж в веб-интерфейсе при работе сети:

Итоги

WiNG 5 от Motorola полностью оправдал мои ожидания. Настройка производится быстро и просто, хоть из консоли, хоть из браузера. Работает стабильно, никаких «странностей» в работе нет. WLAN в удаленных офисах можно было запускать без выезда на место. Нужно, чтобы кто-то только подключил точки к LAN, а все остальные настройки можно делать удаленно. В дальнейшем поверх этой сети можно развернуть систему AirDefense - контроль безопасности WLAN и удаленое решение проблем с WLAN. При этом некоторые точки в сети превращаются в сенсоры, которые мониторят радиоэфир.

Я опустил многие детали и возможности WiNG5: например, уже в базовой версии есть система защиты от вторжений (тоже базовая), можно докупить лицензии на систему защиты Advanced. Можно захватывать WiFi-трафик из радиоэфира и смотреть на него с помощью Wireshark. И многое, многое другое, но статья должна быть разумных размеров. Еще хочу заметить, что, по моему мнению, WiNG5 незаслуженно обойден вниманием в России, т. к. практически никаких материалов на русском языке мне найти не удалось, поставщиков и интеграторов также найти непросто.

WiFi является промышленным названием технологии беспроводной передачи данных и относится к группе стандартов IEEE 802.11 . Сейчас реализовано и используется 4 основные стандарты для Wi-Fi сетей , это: 802.11a, 802.11b, 802.11g и 802.11n , который недавно вышел из статуса чернового варианта Draft. Развитием и сертификацией Wi-Fi оборудования занимается международная организация WECA (Wireless Ethernet Compatibility Alliance или сокращенно Wi-Fi Alliance) основанная в 1999 году. Объединяет наиболее крупных производителей компьютерного оборудования и беспроводных устройств Wi-Fi , на сегодняшний день насчитывающее более 320 предприятий, среди которых: Cisco, 3Com, Nokia и т.д. Задачей альянса является тестирование и реализация возможности совместного функционирования внутри одной локальной сети беспроводных сетевых устройств производителей, состоящих в этой организации, а также внедрение и развитие сетей 802.11 как всемирного стандарта для беспроводных сетей.

1 раз в полгода альянс устраивает «анализ совместимости», на этом мероприятии инженеры фирм-производителей удостоверяют, что их сетевые устройства способны на должном уровне взаимодействовать с устройствами других фирм-участников альянса. Сетевое оборудование, несущее на себе логотип Wi-Fi, сертифицировано как отвечающее стандартам и успешно прошедшее тесты на совместимость.

Наиболее распространенными в Украине на данный момент являются стандарты 802.11b и 802.11g, всю большую популярность набирает стандарт 802.11n, как наиболее перспективный, обладающей лучшими скоростными характеристиками передачи данных и увеличенным радиусом действия беспроводной сети. Устройства, построенные на основе этих стандартов, полностью совместимы друг с другом и способны работать в одной беспроводной сети.

Характеристики Wi-Fi стандартов

Тип организации Wi-Fi сетей

Infrastructure

При такой организации сети все устройства подключаются к точке доступа (Access Point). В роли точки доступа может выступать маршрутизатор, компьютер или другое устройство с Wi-Fi адаптером.

Точка доступа выступает своеобразным посредником при обмене данными между хостами. Другими словами, если одно устройство хочет что-то передать другому, то сначала идет передача от первого устройства точке доступа, а потом от точки доступа второму устройству.

Вторая важная функция точки доступа заключается в объединении беспроводной и проводной сети. Кроме этой функции, точка доступа обеспечивает аутентификацию устройств и реализует политики безопасности сети.

Ad-Hoc

Способ организации сети между устройствами напрямую без точки доступа. Такой способ применяется, когда нужно соединить два ноутбука или компьютера между собой.

Сравнение Infrastructure и Ad-Hoc

• В Ad-Hoc-сетях максимальная теоретическая скорость ограничена 11 МБит/сек (802.11b). Для Infrastructure максимальная теоретическая скорость 450 МБит/сек (802.11n), 54 МБит/сек (802.11g) и 11 МБит/сек (802.11b). Реальные скорости в несколько раз меньше.
• Точку доступа можно разместить таким образом, чтобы обеспечивался оптимальный уровень качества покрытия для всех хостов сети. Для увеличения площади покрытия можно разместить несколько точек доступа, объединив их проводной сетью.
• Настраивать Infrastructure сеть значительно проще, чем Ad-Hoc.
• Точки доступа могут предоставлять расширенные возможности вроде DHCP, NAT, маршрутизации и т.д.

По большому счету, Ad-Hoc-сети используются для эпизодической передачи данных с одного устройства на другое, когда нет точки доступа.

Безопасность беспроводных сетей

Безопасности беспроводных сетей стоит уделять особое внимание. Wi-Fi – это беспроводная сеть с большим радиусом действия. Поэтому злоумышленник может перехватывать информацию или же атаковать вашу систему, находясь на безопасном расстоянии. В настоящее время существуют уже множество различных способов защиты, и при условии правильной настройки можно быть уверенным в обеспечении необходимого уровня безопасности.

Протокол шифрования WEP

Протокол шифрования, использующий довольно нестойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть WEP-ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бита) – динамической (вектор инициализации), она меняется в процессе работы сети. Основной уязвимостью протокола WEP является то, что векторы инициализации повторяются через некоторый промежуток времени, и взломщику потребуется лишь обработать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP-шифрованию использовать стандарт 802.1x или VPN.

Протокол шифрования WPA

Более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

TKIP (Temporal Key Integrity Protocol) – протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.

MIC (Message Integrity Check) – протокол проверки целостности пакетов. Защищает от перехвата пакетов и их перенаправления.

Также возможно использование 802.1x и VPN, как и в случае с протоколом WEP. Существует 2 вида WPA:

1. WPA-PSK (Pre-Shared Key) – для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.
2. WPA-802.1x — вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

Протокол WPA2 — усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

Протоколы стандарта безопасности 802.1X

EAP (Extensible Authentication Protocol) — Протокол расширенной аутентификации. Используется совместно с RADIUS – сервером в крупных сетях.

TLS (Transport Layer Security) — Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

RADIUS (Remote Authentication Dial- In User Server) — Сервер аутентификации пользователей по логину и паролю.

VPN (Virtual Private Network) – Виртуальная частная сеть. Этот протокол изначально был создан для безопасного подключения клиентов к сети через общедоступные Интернет-каналы. Принцип работы VPN – создание так называемы безопасных «туннелей» от пользователя до узла доступа или сервера. Хотя VPN изначально был создан не для Wi-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN чаще всего используется протокол IPSec.

Дополнительная защита Wi-Fi сети

Фильтрация по МАС адресу

MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании, возможно, задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

Скрытие SSID

SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом, при сканировании вашей сети видно не будет. Но опять же, это не слишком серьезная преграда, если взломщик использует более продвинутый сканер сетей , чем стандартная утилита в Windows.

Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть

Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит вас от перехвата трафика или от проникновения в вашу сеть.

Несмотря на самые современные технологии, всегда следует помнить о том, что качественная передача данных и надежный уровень безопасности обеспечиваются только правильной настройкой оборудования и программного обеспечения, выполненными опытными профессионалами.

Для построения Wi-Fi сети нужно серьезное планирование, поскольку ошибки в расчетах могут привести к дополнительным тратам средств и времени. Специалисты компании ITcom в Харькове имеют профессиональные навыки работы с Wi-Fi оборудованием всех типов и стандартов. Мы поможем вам настроить Wi-Fi роутер , установить точку доступа Wi-Fi , подключить беспроводной клиент Wi-Fi , настроить повторитель и т.д. для работы в локальной беспроводной сети , организации общего доступа нескольких компьютеров в Интернет, создания домашней беспроводной сети, подключения к беспроводному Интернету и многое другое.

Специалист ITcom в Харькове произведет необходимые расчеты для определения возможной зоны покрытия Wi-Fi сети и достижения максимальной скорости обмена информацией, выберет оптимальное расположение точки доступа и клиентов, настроит беспроводное оборудование и подключит его к сети .

Создание, построение, организация и настройка офисной или домашней беспроводной сети Wi-Fi требует хоть и меньше трудозатрат, чем обычная сеть, но, тем не менее, занимает много сил и времени. Ведь такая простая, казалось бы, процедура, как организация одной точки доступа, выливается в целый комплекс работ:

обследование объекта и проектирование сети

выбор (подбор) оборудования или упор на максимальное использование имеющегося у клиента оборудования

монтаж, подключение и работы по настройке маршрутизации, защите и т.п.

настройка конечных пользовательских устройств сети (ноутбуки, ПК, КПК и т.п.), работы по установке ПО, драйверов

• тестирование работы беспроводной сети (качество передачи сигнала, покрытие, стабильность передачи данных, правильная маршрутизация и корректная работа конечных потребителей)

Аннотация: При планировании беспроводной сети необходимо учитывать множество факторов для обеспечения наилучших параметров соединения. Пожалуй, самым главным принципом являются грамотное расположение точек доступа с учетом множества параметров. Подробно рассказывается организация офисной сети со всеми поясняющими рисунками, схемами и графиками. Рассмотрен вопрос связи с помощью беспроводной сети нескольких офисов. Следует обратить внимание на Приложение Б – эта информация поможет грамотно использовать радиочастотный диапазон, а следовательно и выбрать необходимый стандарт беспроводной передачи данных.

Для организации сети адаптеры переводятся в режим инфраструктуры, а точка доступа - в режим точки доступа. При этом создается одна зона обслуживания, в которой находятся все пользователи сети.

При размещении точки доступа при развертывании малой сети следует обеспечить достаточное качество связи на всех рабочих местах, а также удобство в размещении самой точки. Типовое решение - закрепить точку доступа непосредственно на фальш-потолке, при этом провода электропитания и проводной сети будут проходить над фальш-потолком либо в коробах.

Необходимо иметь в виду, что при расширении сети и увеличении количества пользователей скорость связи будет падать (пропорционально числу пользователей). Наибольшее разумное количество пользователей обычно составляет 16-20. Помимо этого скорость и качество связи зависят и от расстояния между клиентом и точкой. Эти соображения могут потребовать расширения базовой сети.

Никто не думал, что за последние 20 лет в каждом доме (в цивилизованных странах) появится компьютер с доступом в Интернет. Так и стандарты беспроводных сетей 802.11x , считавшиеся раньше чем-то накладным и сложным, теперь можно встретить почти в каждом доме, хоть и «законспирированными», ведь официально использование Wi-Fi (буду называть им весь спектр стандартов 802.11x ) без соответствующего разрешения у нас запрещено.

Вообще-то, Wi-Fi предназначался для беспроводного соединения двух и более компьютеров в пределах одного помещения, максимум - одной квартиры или офиса. Однако это те же самые радиосигналы, которые, как известно, можно направить, усилить или провести по кабелю. Тогда рамки применения технологии можно несколько расширить: друг с другом можно связывать целые здания и даже кварталы. Но перед нами встают две проблемы: техническая и экономическая.

Техническая проблема: диапазон волн, занимаемый большинством стандартов Wi-Fi , находится в диапазоне 2.4 ГГц, а при таких высоких ее значениях «загнать» сигнал в провод становится крайне непросто. Из-за высокой частоты сигнала передатчики должны находиться непременно в зоне прямой видимости, или максимум разделяться слабенькой перегородкой типа листвы дерева, но никак не стеной дома. Да и мощность передатчика для таких расстояний все-таки маловата, а доступных устройств для усиления сигнала в свободной продаже я не видел.

Экономическая же проблема состоит в том, что существующие устройства для усиления и распространения радиосигнала стоят безумно дорого, а ведь беспроводная сеть должна обеспечивать главное условие - быть дешевле проводных технологий. А зачем тогда она иначе вообще нужна, ведь за такие деньги уже можно протянуть «воздушную» линию сетевого кабеля? Приведу пример: стоимость антенны для распространения Wi-Fi-радиоволн - 200$, стоимость 50м кабеля Belden H1000 с фирменными наконечниками - 60$... Хорошо только одно: прямые руки и знание физики позволяют сократить эти расходы больше, чем в 10 раз! То есть на всю сеть можно потратить не более 10$ (не включая Wi-Fi-адаптеры )!

Постановка задачи

Беспроводные сети создали массу возможностей самым доступным (или дешевым) образом объединить компьютеры, проводное соединение которых будет слишком накладным. Вот и перед мной и моим другом встала подобная задача - соединить «несоединимое».

Казалось бы, даже для существующих стандартов Wi-Fi задача очень сложна: нужно соединить компьютеры в квартирах, находящихся по разные стороны пусть и стоящих неподалеку (на расстоянии 100м) друг от друга двух домов. Какая уж тут прямая видимость. Вот примерная схема:

План действий таков:

Антенна

Вообще, любая новая идея немножко авантюрна и всегда натыкается на чье-либо «нельзя», «идиотизм» и так далее, обязательно найдется «статья», где все задуманное перечеркивается категоричным высказыванием крутого «специалиста», а внизу чаще всего мы можем видеть ссылочки на небольшой интернет-магазинчик с такими, знаете ли, «смешными» ценами...
Существует много типов антенн для Wi-Fi сетей: всенаправленные, параболические, баночные, биквады, точечно направленные. Самые доступные и простые - баночные антенны и биквады. Их можно легко направить (то есть сконцентрировать весь сигнал в определенную сторону), легко изготовить (не зря я упоминал про жесть и банки кофе), они не громоздки (а ведь легкость и незаметность немаловажны). Но для нашей сети мы выбрали баночный тип - он компактнее биквада и имеет достаточно узкую диаграмму направленности (для соединения «точка-точка» в самый раз). В конце концов, не зря же на нем весь GSM работает. Можно конечно использовать тарелку с передатчиком в фокусе или строить непревзойденную по эффективности, поделенной на цену, ФА-20 .

Изготовление баночной антенны подразумевает использование определенных законов волновой теории. Вкратце: сигнал в банке максимален на первой четверти синусоиды волны, и именно в этом месте мы должны расположить волновод определенной длины для его считывания или даже усиления.

Мы использовали антенну из-под диетического продукта, а мой друг - из-под банки Nescafe на 125 чашек. Их характеристики оказались близки к идеальным. Поэтому если не можете найти дома подходящей по размеру банки - линейку в руки и вперед в супермаркет.

При изготовлении возникает еще одна забота - грозозащита. Необходимо убедиться, что рядом находится громоотвод и антенна не торчит на самом высоком месте. Не забывайте об этом! Плюс не забывайте про гидроизоляцию, особенно если антенна находится в не очень доступном месте.

Разъем

В западных источниках мы встречаем требование использовать специальный высокочастотный разъем для беспроводных сетей такого типа. Но он дорог и труднодоступен для покупки, поэтому решено было обойтись самым обыкновенным , какие еще остались в радиомагазинах. Вот как выглядит комплект :

K центральному проводнику, который, по идее, должен обжимать провод, мы и припаиваем наш волновод. Самая трудоемкая часть - припаять к ответному (внешнему) концу провод, ведь других путей кроме как залезть внутрь разъема, нет. Проще всего образовать из конца петлю и, капнув немного олова, расплавить припой внутри разъема.

Провод

Провода, в идеале, должны иметь волновое сопротивление 50 Ом и как можно меньшее затухание. Но про цену таких проводов я уже упоминал, а нужно нам было ни много ни мало 50 метров кабеля - треть дистанции от компьютера до компьютера, а дешевый кабель типа RG-58 вносил очень сильное затухание. Поэтому пришлось использовать обходное решение - более дешевый 75-омный кабель. Дело в том, что на высоких частотах потери несогласовки (ссылаюсь на информацию одного из форумов) невелики - около 10%. Главную роль здесь играет затухание на метр. Поэтому кабель был выбран RG-6U . И характеристики как у дорогого 50-омника, и цена божеская - всего 0.2$ за метр.

Wi-Fi адаптер

При покупке Wi-Fi адаптера нужно помнить следующее: в принципе, характеристики из предлагаемого ассортимента чаще всего одинаковы, поэтому не нужно ориентироваться на мысль, что «вот у этого мощность на децибел больше, поэтому беру его».

А вот наличие внешнего разъема и внешней антенны в комплекте поставки обязательно. Нет, конечно, можете купить и адаптер с маленькой антеннкой непосредственно у разъема, но поверьте мне: паять замучаетесь! Исключение может составлять разве что наличие т.н. «пигтейла» - переходника с RP-SMA разъема на разъем для внешней антенны (N-Type ).

Однако цена такого куска провода - от 10$ вкупе со стеклянным взглядом менеджера. Поэтому такой способ годится разве что при наличии этого самого проводка и качественных высокочастотных разъемов.

Самым подходящим, на наш взгляд, мы выбрали адаптер компании Edimax . Модель у фирмы для PCI всего одна - EW-7128G .

Крепление антенны

Немаловажная часть хорошего приема сигнала - качественное крепление. Тут уж каждый выкручивается по-своему, но я приведу свой вариант крепления, хоть и не считаю его самым удачным (по крайней мере, будьте готовы повторно настраивать свою антенну через 2 дня работы сети).

Вдоль банки крепится алюминиевая пластинка от 3.5″ отсека корпуса ATX . Как правило, в нужных нам местах уже на заводе проделаны дырочки, и нам остается только аккуратно просверлить банку по центру. За крайние отверстия крепится банка, а за центральное - саморезом к торцу любой балки (я использовал старый плинтус) само крепление.

Расчет

Здравый расчет - вот немаловажная деталь успеха, оперируя которым, вы сможете противостоять всем «проискам империализма» в виде небольших коммерческих «статеек».

Итак, мы имеем:

Конечно, мои данные очень приблизительны, но и они дают четкую картину того, что и в таких «жутких» условиях работоспособность сети будет обеспечена. Плюс не надо забывать о том, что баночная антенна концентрирует сигнал в одном направлении, а значит и больше полезной мощности дойдет до получателя.

Установка

Следующий этап - прицеливание. Самый луший способ здесь - экспериментирование, но и посчитать размах углов не помешает. Имеем стандартную геометрическую задачу.

Наклон антенны на крыше будет также составлять чуть больше 4 градусов, и нужно обеспечивать хорошую прочность крепления.

Пробный пуск
Перед первым пуском новой сети хочется привести подсчет всех затрат на ее создание.

Остался самый последний шаг, ради которого собственно, все и затевалось - торжественное включение. Производилось оно без подобавющих этому явлению бутылки шампанского, оркестра и народных гуляний. На экране просто возник сухой скриншот, который и дал ответ на все интересующие нас вопросы:

Честно признаться, в успех мы не верили до последнего. Канал спокойно держит скорость соединения 11МБит/сек. , но реальная скорость копирования вдвое меньше - при хороших условиях (т.е. при правильной пристрелке антенны) средняя скорость составляет 600КБайт/сек, до адресата доходит примерно 4/5 пакетов , остальные доходят после повторного запроса (after retry).

Вывод
Думаю, вы все видите сами. Процесс построения Wi-Fi сети на самом деле не так сложен на практике, как кажется. Главное в этом деле - точный расчет и прямые руки. Конечно, еще желательны и качественные комплектующие, но это не так критично.

Построение Wi-Fi сетей http://www.сайт/besprovodnye-seti/postroenie-wi-fi-setei http://www.сайт/@@site-logo/logo.svg?1

Построение Wi-Fi сетей

Разберем наиболее часто встречающиеся в жизни схемы построения Wi-Fi сетей. Мы затронем лишь небольшой сегмент оборудования Wi-Fi и задач, стоящих перед строителями сетей Wi-Fi, и рассмотрим наиболее часто встречающиеся схемы, собрать которые можно из доступного оборудования.

Прежде чем приступить к выбору оборудования, необходимо определить задачи, стоящие перед вами на сегодняшний день, плюс сделать поправку на задачи, которые могут встать перед вами завтра.

Wi-Fi решения чаще всего сводятся к построению соединения типа “точка-точка” или “центр-точки”, у каждой из этих схем при этом имеется множество реализаций. Ad-Hoс соединения здесь рассматривать не будем, т.к. это отдельная большая тема для разговора.

Выбору оборудования для построения WI-Fi сетей:

1. Не экономьте на оборудовании.
   Поверьте, лишние 20$ не стоят тех острых ощущений, которые вы испытаете при неустойчиво работающем соединении. Если вы тратите деньги заказчика - тем боле не экономьте на оборудовании, ибо сэкономив 100$ вы рискуете навсегда испортить с ним отношения, в случае некорректной работы выбранного вами оборудования.
2. Используйте узконаправленные антенны.
   Общий принцип действия точки - получение, усиление и ретрансляция сигнала. Чем больше угол излучения вашей антенны - тем больше рассеивание полезного сигнала, тем больше помех она соберет и создаст. Чем больше помех соберет - тем меньше останется у точки доступа времени на обработку вашего полезного сигнала.
   Помните, чем меньше угол - тем меньше вероятность вашей незапланированной встречи с господами из Связьназдора.
   Угол излучения вы можете посмотреть на диаграмме направленности - она есть для каждой антенны, в вертикальной и горизонтальной плоскости.
   Характеристики антенны в основном описываются ее параметрами по усилению сигнала: dBd, dBi и dBm (dB-децибел). dBd – это усиление на диполь, dBi – усиление к изотропному источнику, dBm- усиление к отношению 1 милливатт.
3. Лучший усилитель - короткий кабель.

Самое слабое звено в оборудовании - это антенный кабель. Чем он длиннее - тем сильнее в нем затухание сигнала, а длиннее 10м кабель делать не рекомендуется.
Ниже приведена таблица затухания достаточно дорогого профессионального кабеля Radiolab 8D-FB PEEG, что уж говорить о ширпотребе…

В этом случае есть смысл установить точку доступа непосредственно на мачте антенны. Такие точки доступа выполняются в Outdoor (наружном) исполнении, переносят любые погодные условия (за исключением морозов <20 градусов), крепятся непосредственно на мачте, питание к ним подается по витой паре (Power over Ethernet).
Усилители стоит применять очень осторожно. Неграмотно установленный усилитель не только не принесет пользы, но и поссорит вас с владельцами соседних радиолинков, найти вас при этом не составит никакого труда.

1. Скорость. Учитывайте, что заявленные производителем 54мБит (а тем более 108) редко работают даже на столе в лабораторных условиях. На практике скорость точки на рабочей линии редко достигает 22Мбит. Зачастую дело ограничивается 11мБ. Все скорости заявлены для Half-Duplex режима.
   Второй важный момент - скорость точки является ее общей пропускной способностью. Если к точке доступа подключены 2 клиента - делите скорость пополам. Если клиентов 10 - делите скорость на 10.
   Сказочные скорости обещает нам стандарт WiMax, но пока он сказочно далек и так же сказочно дорог.
2. Приоритеты. Если кроме интернет-трафика вы собираетесь в будущем продавать IP-телефонию - позаботьтесь, чтобы точка доступа поддерживала стандарт 802.1p.
   Приоретизация же поможет вам в вопросе выделения VIP-клиентов из общей массы клиентов, для обеспечения стабильной ширины канала.
3. Изоляция клиентов друг от друга. В большинстве современных точек есть опция “isolation mode” позволяющая запретить клиентам обмен трафиком.
4. Подсчет трафика - это большой отдельный вопрос, способ подсчета трафика зачастую сильно привязан к маркетинговой модели вашего предприятия.

Cамая простая и распространенная схема: “Точка-точка”

Для построения такого соединения необходимо учесть следующие факторы:

1. Расстояние.
   Один из определяющих факторов при выборе оборудования - антенны и точки доступа. Все наши линки рассчитаны на расстояния до 15км. Но существует возможность построения линков до 50км на вполне доступном оборудовании (BreezNet и BlueBox).
2. Видимость.
   При отсутствии прямой видимости никаких гарантий работоспособности построенного вами линка никто не даст. Тут все решит только эксперимент. Зачастую при отсутствии прямой видимости используют отраженный от стены здания сигнал.
3. Возможности и особенности монтажа.
   Если вы ставите точку доступа в квартире или офисе, из окна которого отлично видно вторую точку подключения - вам просто повезло. В этом случае вы обойдетесь точкой доступа, метровым кабелем и установленной на подоконнике или на стене дома антенной - это будет идеальный вариант.Но так везет не всем, и тогда приходится выходить на крышу здания и ставить антенну на мачте.

Вторая схема: “Центр-точки”

При построении такой схемы большинство неопытных авторов испытывают большой соблазн поставить одну всенаправленную антенну и подключить к ней всех клиентов в радиусе 2-3 км.

Огорчим - это невозможно по нескольким причинам:

Как мы уже писали выше, всенаправленная антенна соберет все помехи в округе.

Ограничение на количество соединений. Одна обычная точка доступа (Linksys WRT54G, DWL-2100), даже при условии хорошей связи не в состоянии обрабатывать более 20 соединений. Исключение - специальные точки доступа, разработанные для организации Hot-Spot’ов, но и их мощности далеко не безграничны.

Так что первое, что следует учитывать при проектировании такой схемы - это ограничение количества клиентов на одну точку доступа.

Реально в жизни широко используются две схемы.

В первом случае сеть сводится к обычным линкам от центра до точки доступа, к которой подключена группа компьютеров. Это может быть районный или микрорайонный узел, или даже просто точка подключения одного дома.

Во втором случае используется принцип сотовой связи: центральный узел делит всех клиентов на территориальные сегменты с помощью секторных антенн. Число антенн - от 2 до 6,

Оборудование для таких сетей выбирать сложнее, но все же приведем перечень рекомендуемого оборудования.

Центральные и клиентские точки доступа:
- Linksys WRT54G в качестве бюджетного решения.
- Z-Com XI 1500IHP для наружного применения
- ORINOCO RG-1000

Антены центрального узла:

- секторные

Клиентские антенны:
- сегментопараболические - от 18 до 27 дБ
- волновые каналы Polaris 9дБ (мини) - для использования внутри помещений, 17дБ - для наружного применения