Построение управляемых беспроводных сетей на базе оборудования Cisco

Возможность массового использования беспроводных сетей появилась относительно недавно, ключевым моментом стало принятие стандартов 802.11a и 802.11b в 1999г. Беспроводные сети являются альтернативой существующим проводным, и где-то их могут полностью заменить, однако практика показывает, что при создании беспроводных сетей надо уделять большое внимание их предварительному планированию - проектированию. Рассмотрим основные преимущества и недостатки беспроводных сетей в сравнении со своим проводным конкурентом.

  1. Беспроводные сети позволяют сэкономить при прокладке кабельной сетевой инфраструктуры, при невозможности организации проводного доступа они являются практически безальтернативными.
  2. Беспроводные сети обеспечивают высокую степень мобильности пользователей, возможно свободное перемещение в рамках одного домена. Так же преимуществом является возможность быстрого развертывания и перемещения сети.
  3. Скорость подключения достаточно высока и сравнима с проводными решениями, при правильном проектировании возможно предоставление необходимой пропускной способности для пользователей с любыми требованиями – передачи данных, видео, телефонии.
Недостатки:
  • Безопасность беспроводной сети существенно ниже проводной, современные стандарты, такие как WEP, 802.11i и т.п. хоть и повышают ее, но физическая природа беспроводной сети такова, что использование данной технологии для ответственных приложений не рекомендуется.
  • Функционирование беспроводной сети зависит от окружающей среды, любые объекты, находящиеся на пути радиосигнала уменьшают его мощность, возможны помехи в рабочем диапазоне от бытовых приборов, наиболее характерным из которых являются микроволновые печи.
  • Ограниченность диапазона частот. По стандарту и в соответствии с законодательными ограничениями в нашей стране можно использовать 13 радиоканалов. Исторически сложилось, что соседние каналы перекрываются и создают помехи друг для друга, все это приводит к тому, что на одной территории полноценно могут существовать только 3 независимые беспроводные сети (в независимых диапазонах).
Наиболее широко беспроводные сети применяются:
  • Для организации hotspot’ов – точек публичного доступа в Интернет в аэропортах, на вокзалах, библиотеках, кафе и ресторанах. В тех местах, где такая услуга может сделать пребывание человека более комфортабельным и принести дополнительную прибыль владельцу.
  • При организации складского учета, в крупных торговых центрах, когда необходимо иметь доступ к центральным базам данных на всей территории предприятия, создание проводной сети для этой цели неудобно и экономически нецелесообразно. Именно в этом сегменте беспроводные сети первоначально применялись активнее всего. К этому же классу можно отнести беспроводные сети предприятий здравоохранения (больницы, госпитали, поликлиники и т.п.) в нашей стране данный сегмент слабо развит из-за общего слабого проникновения информационных технологий в данную сферу.
  • Для организации дополнительных сегментов сети предприятий. В данном случае беспроводная сеть является дополнением основной сети и предназначена для мобильных сотрудников офиса, партнеров, гостей. При помощи беспроводной сети может обеспечиваться доступ в сеть Интернет всем категориям пользователей, доступ к специализированным ресурсам для партнеров, доступ к внутренней сети компании для мобильных сотрудников. Беспроводная корпоративная сеть позволяет оперативно обеспечить деятельность при совещаниях, переездах, в случаях, когда необходим оперативный доступ неопределенному количеству пользователей. На базе беспроводной сети предприятия можно развернуть сеть беспроводной IP телефонии – альтернативы сети DECT.

В связи с тем, что основной проблемой при внедрении беспроводной сети является обеспечение информационной безопасности, рассмотрим подробнее данный аспект.

Основными угрозами безопасности являются:

  1. Осуществление неавторизированного доступа к беспроводной сети.
  2. Перехват трафика.
  3. Подмена точки доступа беспроводной сети.

Для защиты первоначально предлагалось использовать технологию WEP (wired equivalent privacy) с использованием общего ключа. Передаваемый трафик шифруется при помощи алгоритма RC4. Исследования криптоаналитиков показали слабости данного алгоритма, в результате в настоящее время в сети Интернет можно найти инструменты, позволяющие перехватывать трафик беспроводного доступа и вскрывать общий WEP ключ, время вскрытия, при условии достаточно набранной статистики пакетов, не превышает нескольких минут. При использовании WEP защиты или при организации открытого доступа для защиты можно дополнительно использовать технология IPSEC или другие подобные технологии организации VPN сетей. Это не нашло широкого применения из-за чрезмерной трудоемкости организации подобной схемы.

Дальнейшим шагом в обеспечении безопасности беспроводной сети было создание протоколов WPA (WiFi Protected Access) и WPA2. В качестве основы WPA был использован алгоритм защиты 802.11х и протокол EAP (Extensible Authentication Protocol). Для корпоративного использования данного протокола используется выделенный сервер аутентификации, при этом обеспечивается самый высокий уровень защищенности, для персонального использования может применяться общий ключ, отпадает необходимость в выделенном сервере и уменьшается в общем случае уровень защищенности. В отличие от WEP, общий ключ в WPA используется только для создания разовых ключей. В WPA2 используется более сильный алгоритм шифрования – AES и протокол CCMP, обеспечивающий аутентификацию, целостность и защиту от повторений. WPA2 описан в стандарте 802.11i, в настоящее время он является лучшим решением для обеспечении защиты беспроводных сетей 802.11.

При построении беспроводной сети выбирается одно из двух принципиально различных решений – на базе автономных точек доступа и на базе беспроводных контроллеров (с централизованным управлением). При использовании автономных точек доступа беспроводная сеть состоит из отдельных независимых сетей, которые образуются единичными устройствами – автономными точками доступа:

Ниже, на рисунке представлен фрагмент сети с централизованным управлением – добавляется контроллер беспроводного доступа, в функции которого входит конфигурирование, управление и контроль за точками беспроводного доступа.

Современные беспроводные сети большого масштаба строятся по принципу централизованного управления, так как это обеспечивает ряд преимуществ.

  • Упрощается управление большим количеством беспроводных точек.
  • Автоматизируется покрытие беспроводной сетью определенной территории, контроллер самостоятельно выбирает оптимальный радиоканал, мощность излучения для каждой точки.
  • Появляется возможность реализации функций L2 и L3 роуминга.
  • Возможно динамическое распределение нагрузки – контроллер может автоматически переключать пользователей на менее загруженные точки.
  • Повышается безопасность сети при помощи внедрения дополнительных функций – отслеживания «нелегальных» точек, отслеживания местонахождения пользователей.

Современные корпоративные беспроводные сети обычно строятся по принципу централизованного управления. Необходимо отметить, что полный набор функций, предоставляемый беспроводной сетью, не стандартизован и зависит от конкретного производителя и типа контроллера. Производители обычно предлагают специализированное программное обеспечение, позволяющее в удобной форме управлять беспроводной сетью, отслеживать пользователей, состояние точек доступа, строить актуальные карты покрытия.

Рассмотрим элементы комплексного решения, предлагаемые CISCO Systems для построения управляемых сетей беспроводного доступа.

Ядром любой управляемой беспроводной сети является контроллер.

Для небольших сетей предлагается контроллеры серии 2100, для крупных сетей контроллеры серии 4400 различных модификаций. Современные беспроводные сети интегрируются в сети предприятий, имеющих свою состоявшуюся инфраструктуру, для более полного совмещения сетей возможно применение интегрированных решений и модулей для маршрутизаторов или коммутаторов Cisco Systems.

Для построения гибких высокоскоростных решений возможна установка высокоскоростного коммутатора Catalyst 3750 c интегрированным беспроводным контролем. В ядре сети средних предприятий часто используются объединенные в стек коммутаторы Catalyst 3750, интегрированный с контроллером коммутатор Catalyst 3750 может добавляться в стек для интеграции беспроводной сети в ядро сети предприятия.

Для предприятий, использующих маршрутизаторы серий 2800 или 3800, интересным решением является установка в маршрутизатор модуля беспроводного контроллера для создания беспроводной управляемой сети небольшого размера. Крупные предприятия, использующие в своей инфраструктуре коммутаторы серий Catalyst 6500, могут установить модуль беспроводного коммутатора для создания крупных беспроводных сетей.

Варианты беспроводных контроллеров.

Уровень доступа беспроводной сети обеспечивают специальные «облегченные» точки беспроводного доступа. Часть выпускаемых Cisco Systems точек доступа может использоваться в двух вариантах как автономные или как «облегченные» - совместно с контроллером, перевод точек доступа из одной категории в другую производится путем замены программного обеспечения.

Таблица моделей точек доступа для управляемых сетей беспроводного доступа.

Эксплуатация крупной сети беспроводного доступа требует обеспечения удобного централизованного управления. При использовании одного контроллера операции по управлению можно осуществлять непосредственно с контроллера, однако его интерфейс для этого не предназначен и поддержка беспроводной сети без специализированного приложения может быть трудоемкой задачей. Управление беспроводной сетью на базе оборудования Cisco Systems реализуется при помощи специализированного приложения WCS – Wireless Control System. С его помощью возможно осуществление операций по:

  • планированию беспроводной сети;
  • контролю зоны покрытия беспроводной сети, при этом на плане покрытия будут отображаться зоны с различным уровнем сигнала;
  • отслеживанию событий различных системных событий;
  • отслеживанию легальных клиентов – прошедших аутентификацию, прочих WiFi устройств, не относящихся к сети предприятия – беспроводных точек, клиентских устройств;
  • отображение на плане территории покрытия точек беспроводного доступа, клиентов, RFID меток, прочих WiFi устройств.
  • отображению загрузки точек, радиоканалов, перекрытию каналов, соседних беспроводных сетей.

Для более точного местоположения WiFi устройств, относящихся или не относящихся к своей сети, возможно использование специализированного сервера – Cisco Wireless Location Appliance. Данный сервер хранит базу координат беспроводных устройств и позволяет, благодаря использованию специализированных алгоритмов, повысить точность расчета координат. С 50% процентной вероятностью при использовании данного сервера точность указания местоположения WiFi устройства не превышает 5-ти метров и 90% - 10 метров.

Представленное оборудование CISCO Systems позволяет создавать корпоративные управляемые беспроводные сети любой сложности с использованием самых современных стандартов обеспечения безопасности. Данные сети могут служить основой для внедрения практически любых сервисов информационной инфраструктуры предприятия – передачи данных, голоса, видео, при этом производительность WiFi сети будет сравнима с производительностью проводной сети на базе стандартов Ethernet.


Яндекс.Метрика Рейтинг@Mail.ru