Требования развернуть беспроводную сеть чаще всего исходят не от ИТ-подразделения, а от групп заинтересованных пользователей, которым необходимо участвовать в совещаниях, делать презентации, а также от тех, кому приходится работать вне обычного рабочего места. Если до сих пор ИТ-отделам удавалось успешно противостоять этим требованиям из-за технической сложности, высокой стоимости, низкой эффективности и, главное, уязвимости беспроводных технологий, то за последние год-два ситуация изменилась. Благодаря современному оборудованию развертывать беспроводные сети стало проще, скорость передачи данных увеличилась, а надежность и защищенность от несанкционированного доступа возросли. Теперь развертывание надежной беспроводной сети можно выполнить за семь сравнительно простых шагов.
Шаг 1. Проанализировать бизнес-требования
Даже если администратор уверен, что компания готова к развертыванию беспроводных сетей, все же необходимо взвесить все «за» и «против» и определить, действительно ли планируемая беспроводная сеть будет отвечать требованиям бизнеса. Беспроводная сеть может оказаться менее затратным решением, чем прокладка или модернизация кабельной системы, которая зачастую оказывается неприемлемо дорогой. Заинтересованные пользователи могут указывать на такие достоинства беспроводной сети, как широкие возможности подключения и пропускная способность в переговорных помещениях и офисах. Но следует иметь в виду, что заявленные производителями характеристики необходимо проверять.
Беспроводные сети обладают некоторыми врожденными недостатками — в первую очередь это разделение полосы пропускания между всеми пользователями, а также наличие угрозы для системы безопасности. В зависимости от ожиданий пользователей и опыта работы с проводными сетями, доступная пропускная способность сети может не рассматриваться как решающий фактор. Нужно просто учитывать, что пропускная способность точки доступа является теоретическим максимумом, который разделяется между всеми пользователями, подключенными к данной точке доступа. Более важно, что распространяющийся по воздуху радиосигнал более уязвим для перехвата, чем трафик, передаваемый по проводной офисной сети, но, впрочем, новые разработки делают беспроводные сети более безопасными, чем раньше. Применяемые в беспроводных сетях стандарты безопасности будут рассмотрены ниже.
Шаг 2. Определить зону покрытия
Убедившись, что для бизнеса беспроводная сеть действительно необходима, следует определить, какова должна быть зона покрытия беспроводной сети. Это зависит от требований бизнеса, определенных на первом шаге. Я настоятельно рекомендую построить диаграмму зон покрытия беспроводной сети на чертеже здания или предприятия. При планировании максимальной зоны покрытия можно использовать радиус 100 м как общее правило, но при этом следует учитывать, что с увеличением расстояния от клиента до точки доступа уровень сигнала и скорость передачи данных будут уменьшаться.
Определив зоны доступности беспроводной сети и наметив места расположения точек доступа, необходимо убедиться, что точки доступа действительно можно там разместить. Точки доступа должны быть обеспечены электропитанием и подключением к проводной сети. Если монтаж электропроводки представляет затруднения, можно рассмотреть приобретение точек доступа, использующих технологии передачи электропитания по витой паре PoE (Power over Ethernet), которые мы рассмотрим позже.
Шаг 3. Продумать использование полосы пропускания
Если необходимо предоставить беспроводное подключение слишком большому числу пользователей, предъявляющих высокие требования к полосе пропускания, может потребоваться установить несколько точек доступа для предоставления более широкой полосы пропускания каждому пользователю. Например, если четыре пользователя подключены к одной точке доступа 802.11g и задействуют один и тот же канал, теоретически полоса пропускания делится на четыре части, что составляет 13.5 Мбит/с (на четвертом шаге объясняется взаимосвязь между пропускной способностью и числом каналов). Добавление второй точки доступа позволит каждому подключенному сотруднику использовать до 27 Мбит/с. При этом точки доступа должны иметь средства распределения нагрузки для обеспечения равномерного предоставления полосы пропускания между всеми пользователями.
Шаг 4. Определить требования к оборудованию
Теперь перед реализацией беспроводной сети необходимо решить несколько технических вопросов. Для работы потребуются точки доступа и адаптеры беспроводной связи, а также, возможно, беспроводной мост, специализированные антенны и беспроводной переключатель. Точки доступа представляют собой приемники и передатчики сигнала, которые обмениваются данными с беспроводными устройствами и обеспечивают связь с офисной проводной сетью. Устанавливаемые на клиентских компьютерах беспроводные адаптеры связывают компьютер пользователя с сетью так же, как и обычные сетевые адаптеры в проводных сетях.
Беспроводной мост позволяет обеспечить беспроводное соединение двух сегментов сети — это полезно для связывания сегментов сети, если прокладка кабеля между этими сегментами затруднена, например между отдельными зданиями. Специализированные антенны могут обеспечить более высокую дальность или ограничить область доступа. Например, если требуется установить беспроводной мост между двумя корпусами, следует воспользоваться направленными антеннами типа «волновой канал Яги» (Yagi antenna), сориентировав их друг на друга. Для обеспечения централизованного управления точками доступа может потребоваться беспроводной коммутатор в сочетании с совместимыми точками доступа. Поставщики оборудования предлагают подобные решения, позволяющие обеспечить управление доступом, централизованную настройку параметров безопасности, мониторинг использования, обнаружение посторонних точек доступа, а также обеспечивающие бесшовный роуминг из централизованной точки управления сетью.
Теперь можно обоснованно оценить количество необходимого для реализации проекта оборудования — точек доступа, адаптеров и мостов. Стоит также составить краткий список возможностей, которые должны поддерживаться оборудованием; например, в него можно включить поддержку PoE или распределение нагрузки. Хотя почти все модели беспроводного оборудования для корпоративного сегмента обеспечивают поддержку современных средств обеспечения безопасности, в этот краткий список возможностей следует внести все планируемые функции обеспечения безопасности.
При развертывании беспроводной сети с нуля одним из самых ответственных решений является выбор стандарта беспроводной связи. Стандарты беспроводной связи обеспечивают частичную совместимость, причем сертифицированное оборудование это делает наилучшим образом, однако оптимальной совместимости можно добиться, только если все оборудование будет работать в одном стандарте. Стандарты 802.11a и 802.11g обеспечивают передачу данных со скоростью до 54 Мбит/с, в то время как исходный стандарт 802.11b предусматривает скорость передачи 11 Мбит/с. Хотя маркировка на имеющемся в продаже оборудовании обещает скорость передачи данных до 108 Мбит/с, следует иметь в виду, что для этого используется аппаратное сжатие данных, и итоговая степень сжатия зависит от характера потока передаваемых данных. Если скорость передачи данных не является критичным параметром, то оборудование 802.11b может оказаться оптимальным вариантом с точки зрения затрат. Однако при этом следует иметь в виду, что в устаревшем оборудовании не поддерживаются некоторые современные технологии защиты данных, которые будут рассмотрены ниже. Большинство компаний выбирают более скоростные стандарты 802.11a и 802.11g. Для облегчения выбора в табл. 1 приводятся данные, позволяющие сопоставить характеристики различных беспроводных стандартов.
Хотя маркетинговые данные не акцентируют внимание на количестве каналов, используемых каждым протоколом, все же следует учитывать преимущества использования большего числа каналов. Протокол 802.11a поддерживает более широкую полосу частот, чем 802.11b и 802.11g, и соответственно, позволяет разделить эту полосу пропускания на большее число каналов. Протокол 802.11a поддерживает восемь каналов, в то время как 802.11b и 802.11g могут использовать только по три канала. Каждый канал может использоваться для передачи данных со скоростью, поддерживаемой протоколом. Нетрудно убедиться, что 802.11b на трех каналах со скоростью передачи 11 Мбит/с обеспечивает суммарную пропускную способность 33 Мбит/с; 802.11g на тех же трех каналах по 54 Мбит/с — 162 Мбит/с, а 802.11a с восемью каналами по 54 Мбит/с может обеспечить рекордную скорость 432 Мбит/с. Даже более современный протокол 802.11g с теоретической пропускной способностью 108 Мбит/с дает общую скорость только 324 Мбит/с.Из приведенных цифр видно, что преимущество за стандартом 802.11a. Конечно, учитывая более высокую цену решения, основанного на 802.11a, потребуется провести анализ количества пользователей беспроводной сети и их требования к пропускной способности. Кроме того, следует учитывать, что некоторые варианты аппаратуры поддерживают несколько стандартов, позволяя обеспечить гибкость реализованному решению.
Шаг 5. Провести обследование
После того как оборудование закуплено, требуется выполнить обследование зоны развертывания для обеспечения полноценного покрытия помещений и внести все необходимые исправления, перед тем как допускать пользователей до новой сетевой инфраструктуры. Многие поставщики беспроводного оборудования для корпоративных сетей предоставляют бесплатное программное обеспечение для обследования сайта. Это программное обеспечение позволяет измерить уровень сигнала в областях размещения в зоне покрытия, чтобы убедиться в оптимальном расположении точек доступа и при необходимости установить дополнительные точки доступа для устранения белых и серых пятен.
Обследование сайта можно провести без полного развертывания беспроводной инфраструктуры — достаточно просто разместить точку доступа или антенну в планируемой точке размещения, выполнить измерения, а затем перейти к следующему размещению. В процессе выполнения обследования следует учесть и сценарий наихудшего варианта, как то: закрытые двери, кирпичные, металлические и монолитные препятствия, наиболее удаленные точки планируемой зоны покрытия. Кроме того, в случаях использования нескольких точек доступа для обеспечения большой зоны доступности следует убедиться в достаточном перекрытии зон действия различных точек доступа для обеспечения нормального роуминга без обрыва связи. Необходимо обновить поэтажные планы здания и обозначить на них места окончательного размещения точек доступа с учетом проведенного обследования. После этого можно приступать к развертыванию беспроводного оборудования.
Шаг 6. Обеспечение безопасности
Беспроводная сеть должна быть надежно защищена от неавторизованного доступа посторонних лиц. Не суметь обеспечить построенную беспроводную сеть и вычислительные ресурсы от посторонних подключений — это все равно что опубликовать конфиденциальные данные компании в средствах массовой информации.
Длинный список аббревиатур может сбить с толку, но понимание основных концепций защиты данных должно направить на путь истинный. В табл. 2 приведен список аббревиатур терминов из области обеспечения безопасности, которые часто встречаются при планировании и настройке беспроводной сети. И хотя настройка конкретной аппаратуры требует изучения документации, а реализация таких средств безопасности, как служба удаленной аутентификации доступа по коммутируемым линиям RADIUS (Remote Authentication Dial-In User Service), расширяемый протокол аутентификации EAP (Extensible Authentication Protocol) и виртуальные частные сети VPN, может потребовать дополнительного обучения, эти основные понятия — фундамент для построения защищенной беспроводной сети.
В первую очередь необходимо сменить заводские пароли в сетевом оборудовании. В противном случае любой посторонний, знающий пароль оборудования, сможет захватить управление беспроводной сетью. Затем следует отключить широковещательную трансляцию идентификатора сети SSID и изменить установленный по умолчанию SSID. Идентификатор сети SSID по умолчанию транслируется для облегчения подключения к данной точке доступа. Отключив широковещательную трансляцию SSID, вы перестанете сообщать каждому прохожему, что у вас есть беспроводная сеть. Заводские установки SSID различных производителей легко найти в Internet, так что, изменив SSID, можно защитить свою сеть от простейших попыток ее обнаружения. Авторизованным клиентам придется настроить доступ через новый SSID.
Более высокую степень защиты сети обеспечивает включение фильтрации MAC-адресов. В этом режиме администратор может явно перечислить список MAC-адресов, которые могут использовать данную точку доступа. Эти простые изменения позволяют узнать, видит ли кто-то вашу беспроводную сеть. Таким образом, мы обеспечиваем первый рубеж обороны.
После того как некоторые изъяны, связанные с заводскими настройками оборудования, устранены, можно приступать к защите беспроводного трафика и предотвращению подключения неавторизованных пользователей. Для предотвращения подключения неавторизованных пользователей необходимо добавить аутентификацию EAP и включить наиболее сильный из доступных уровень шифрования. EAP представляет собой протокол двухточечного соединения с надежной аутентификацией без использования сертификатов. Если требуется обеспечить подключение к беспроводной сети только авторизованных пользователей, следует рассмотреть возможности настройки методов аутентификации, предусмотренных протоколом EAP, в том числе TLS, TTLS и EAPLEAP, поддерживаемые имеющимся оборудованием и клиентскими устройствами.
Ахиллесовой пятой всех беспроводных сетей является заложенное в самой их природе свойство — передача сигнала по воздуху. Соответственно, здесь возможность перехвата выше, чем в случае проводных сетей. Цель шифрования заключается в том, чтобы принятый сигнал могли понять только те, кому положено. Производители оборудования Wi-Fi постоянно разрабатывают и стандартизируют все более стойкие методы шифрования. Хотя исходный предложенный стандарт шифрования WEP (Wired Equivalency Privacy) был признан недостаточно надежным, это все же лучше, чем ничего. Но если бюджет компании позволяет, можно выбрать из более развитых средств обеспечения безопасности, в том числе TKIP (Temporal Key Integrity Protocol) и AES (Advanced Encryption Standard). Если даже после того, как будут реализованы наиболее сильные средства обеспечения безопасности, предоставляемые имеющимся оборудованием, все еще останутся сомнения, достаточно ли защищена беспроводная сеть компании, можно развернуть беспроводную сеть в качестве отдельной сети и подключить ее к корпоративной сети через защищенное соединение VPN.
Имеется еще один важный элемент безопасности, который требуется принять во внимание. Широкое распространение беспроводного оборудования позволяет реализовать такой сценарий: один из пользователей может создать собственную беспроводную сеть, просто подключив беспроводной маршрутизатор к локальной сети здания. Тогда в одно мгновение пользователь по незнанию может свести на нет все принятые администратором меры защиты беспроводной сети. Из этого следует, что в компании необходимо принять строгую политику запрета самостоятельного подключения точек доступа, а администратор должен постоянно следить за появлением в сети несанкционированного оборудования и вовремя удалять его.
Шаг 7. Развертывание и обучение
После того как инфраструктура развернута и настроена, остается только выполнить настройку клиентских систем и провести обучение пользователей. Необходимо настроить все клиентские системы на использование выбранного идентификатора SSID, а если применяется фильтрование MAC-адресов — собрать MAC-адреса беспроводных адаптеров и добавить их в списки разрешенных. Что касается обучения пользователей безопасной работе в новой беспроводной сети, то лучше начать с пилотной группы. В любом случае необходимо сообщить пользователям о снижении пропускной способности и поведении компьютера при выходе из зоны действия беспроводной сети. Следует обеспечить обратную связь, которая позволит пользователям сообщать об опыте работы в беспроводной сети. Легкоустранимые проблемы часто остаются нерешенными только из-за того, что пользователи не могут распознать нарушения в работе сети.
Подведем итоги
Беспроводная сеть может оказаться замечательным активом компании, если она правильно сконфигурирована и грамотно эксплуатируется. Выполнив кропотливую подготовительную работу, администратор может развернуть в своей компании беспроводную сеть, которая станет важным средством ведения бизнеса.
Эд Рот. Pедактор Windows IT Pro. С ним можно связаться по адресу: eroth@winnetmag.com
Краткое описание
Проблема
Развертывание надежной и защищеной корпоративной беспроводной сети.
Решение
Выполнить предложенные семь шагов по развертыванию беспроводной сети с нуля.
Что нужно
Точки доступа, беспроводные адаптеры, возможно, беспроводной мост, специализированные антенны и беспроводной коммутатор.
Сложность
3 из 5
Этапы решения
- Оценить потребности бизнеса в развертывании беспроводной сети.
- Определить зону покрытия беспроводной сети в соответствии с потребностями, определенными на первом шаге.
- Определить количество точек доступа для обеспечения достаточной максимальной пропускной способности беспроводной сети.
- Подготовить используемое беспроводное оборудование для развертывания сети.
- Выполнить проверку покрытия в соответствии с разработанным планом, внести соответствующие корректировки.
- Защита беспроводной сети от несанкционированного доступа.
- Развертывание беспроводной сети и обучение пользователей безопасной работе с ней.