Realizace Wi-Fi sítě na bázi Cisco technologií v prostředí malé a

Mendelova univerzita v Brně Provozně ekonomická fakulta

Realizace Wi-Fi sítě na bázi Cisco technologií v prostředí malé a středně velké firmy Bakalářská práce

Vedoucí práce: Ing. Martin Pokorný, Ph.D.

Jiří Maleček

Brno, 2010

Děkuji svému vedoucímu práce, Ing. Martinu Pokornému, Ph.D. za jeho čas věnovaný vedením, konzultacím a za cenné rady při tvorbě této práce. Dále děkuji spolužákovi Bc. Mirkovi Daňkovi, též za cenné rady a za čas strávený v síťové laboratoři ÚI PEF.

Prohlašuji, že jsem tuto bakalářskou práci vyřešil samostatně s použitím literatury, kterou uvádím v seznamu.

V Brně dne 21. května 2010

....................................................

4

Abstract Maleček, J. The implementation of Wi-Fi network based on Cisco technology in an environment of small and medium size companies. Bachelor thesis. Brno 2010 This bachelor thesis deals with a model solution WiFi network with centralized management. The text describes the differences in the used methods, moore specifically, the WLC a WDS implemented using the Cisco technology. Own work is also a financial assessment of both of the solutions. Key words Centralized management, WiFi, WLC, WDS, Cisco

Abstrakt Maleček, J. Realizace Wi-Fi sítě na bázi Cisco technologií v prostředí malé a středně velké firmy. Bakalářská práce. Brno 2010 Tato bakalářská práce se zabývá návrhem modelového řešení WiFi sítě s ohledem na centralizované řízení. Popisuje rozdíly v použitých metodách. Konkrétně mezi WLC a WDS implementované pomocí Cisco technologií. Vlastní prací je též finanční zhodnocení obou použitých řešení. Klíčová slova Centralizované řízení, WiFi, WLC, WDS, Cisco

5

OBSAH

Obsah 1 Úvod a cíl práce 1.1 Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Cíl práce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Popis technologického aparátu 2.1 WiFi . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Původní standard 802.11 . . . . . . . . . . . 2.1.2 Standard 802.11b . . . . . . . . . . . . . . . 2.1.3 Standard 802.11g . . . . . . . . . . . . . . . 2.1.4 Standard 802.11a . . . . . . . . . . . . . . . 2.1.5 Standard 802.11n . . . . . . . . . . . . . . . 2.1.6 Problémy spojené s bezdrátovou sítí . . . . . 2.1.7 Výkon signálu . . . . . . . . . . . . . . . . . 2.2 Roaming . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 L2 roaming . . . . . . . . . . . . . . . . . . 2.2.2 L3 roaming . . . . . . . . . . . . . . . . . . 2.3 Řešení centralizovaného řízení bezdrátové sítě . . . 2.3.1 Řešení s autonomními AP . . . . . . . . . . 2.3.2 Řešení s LWAP . . . . . . . . . . . . . . . . 2.3.3 Terminologie WLC . . . . . . . . . . . . . . 2.3.4 Princip navázaní spojení AP s WLC . . . . 2.4 Bezpečnost . . . . . . . . . . . . . . . . . . . . . . 2.5 Autentizace, autorizace a šifrování . . . . . . . . . . 2.5.1 Bezpečnostní metody WEP, WPA a WPA2 2.5.2 Protokol 802.1x . . . . . . . . . . . . . . . . 2.5.3 RADIUS protokol . . . . . . . . . . . . . . . 2.6 Monitoring a plánování bezdrátové sítě . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . .

7 7 7 8 8 8 9 10 10 10 11 11 11 12 12 12 13 14 16 18 19 19 19 21 21 22

3 Analýza 25 3.1 Požadavky firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3.2 Prostředí firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4 Návrh 4.1 Centralizované řízení s použitím WLC 4.1.1 Rozdělení sítě a adresace . . . . 4.1.2 Analýza topologie . . . . . . . . 4.1.3 Bezpečnost . . . . . . . . . . . 4.1.4 Použitý hardware . . . . . . . . 4.2 Centralizované řízení pomocí WDS . . 4.2.1 Rozdělení sítě a adresace . . . . 4.2.2 Analýza topologie . . . . . . . . 4.2.3 Bezpečnost . . . . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

27 27 27 30 30 31 31 31 32 32

6

OBSAH

4.2.4

Použitý hardware . . . . . . . . . . . . . . . . . . . . . . . . . 33

5 Řešení 5.1 Centralizované zapojení s použití WLC . 5.1.1 Konfigurace síťových prvků . . . 5.1.2 Implementace RADIUS serveru . 5.2 Centralizované zapojení s použitím WDS 5.2.1 Konfigurace . . . . . . . . . . . . 6 Ekonomické zhodnocení

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

34 34 34 37 37 37 39

7 Diskuze a závěr 40 7.1 Diskuze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 7.2 Závěr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 8 Literatura

41

Přílohy

42

A Webová konfigurace WDS

43

B Webová konfigurace WLC

49

1

ÚVOD A CÍL PRÁCE

1 1.1

7

Úvod a cíl práce Úvod

V dnešní době se již snad žádná firma, která využívá ke své práci počítače, neobejde bez bezdrátové sítě WiFi. Výhody s ní spjaté jsou zřejmé. Jako nejvýznamnější se jeví žádná nutnost kabelů, z čeho vyplývá usnadnění přesouvání vybavení z jedné místnosti do druhé, tedy možnost připojit se odkudkoliv, kde má daná síť pokrytí. Toho se dá využít i například při zjišťování polohy zaměstnanců nebo telefonování přes WiFi v areálu firmy. Aby však taková síť mohla fungovat, je potřeba pokrýt danou lokalitu dostatečným signálem. O to se starají access pointy (zkráceně AP). Ty je však nutno nějak spravovat, ať už to každý zvlášť nebo nějakým způsobem centralizovaně. Každý způsob má své pro a proti. Který se však využije v praxi, závisí na mnoha faktorech. O tom a více v téhle práci.

1.2

Cíl práce

Cílem této práce je provést návrh modelového řešení WiFi sítě pro malou nebo středně velkou firmu s důrazem na centralizované řízení a bezpečnost. V práci jsou ověřeny dva způsoby centralizovaného řízení. První pomocí hardwarového řešení s použitím WLC (Wireless LAN Controller), které budeme porovnávat s centralizovaným řízením autonomních access pointů za použití WDS (Wireless Domain Service). U obou typů zapojení budeme hodnotit jejich výhody a nevýhody s cílem zjistit, která z uvedených metod, je při jejich nasazení v námi určených topologiích nejvýhodnější. Dále pak se seznámíme s nástroji, sloužícími k analýze WiFi sítě. Praktické ověření provedeme v síťové laboratoři ÚI PEF za použití výrobků firmy Cisco. Nakonec projekt ekonomicky zhodnotíme.

2

8

POPIS TECHNOLOGICKÉHO APARÁTU

2

Popis technologického aparátu

2.1

WiFi

WiFi (Wireless Fidelity) je bezdrátová síť určená primárně k rozšíření kabelového ethernetu v bezlicenčním pásmu. Samotný název WiFi pojmenovalo združení WECA (Wireless Ethernet Compatibility Alliance) a jedná se v podstatě o bezdrátovou technologii založenou na původním standardu 802.11. Tento standard prošel řadou vylepšení. 2.1.1

Původní standard 802.11

Jak McQuerry(2007) uvádí, tak byl tento protokol na počátku bezdrátových sítí. Z důvodu jeho provozní rychlosti jen 1 a 2 Mbps je takřka raritou najít nyní jeho podporu na nových zařízeních. Standard 802.11 popisuje metody přenosu v rozprostřeném spektru, konkrétně pak frequency hopping spread spectrum (FHSS) a direct sequence spread spectrum (DSSS), které dovolují již zmíněné maximální datové rychlosti 1 a 2 Mbps. Tab. č. 1: Protokol 802.11 Publikován Metoda přenosu v rádiovém spektru Pásmo

1997 FHSS a DSSS 2,4 Ghz

Původní protokol 802.11 pracuje v pásmu 2,4 Ghz, někdy označováno jako ISM (Industry, Scientific, Medical). Tohle pásmo je rozděleno až na 14 kanálů. Jejichž množství je závislé na státu, ve kterém se právě nacházíme. V USA se smí používat pouze 1. až 11. kanál. V Japonsku pak 14 kanálů. Pro vysílání signálu v pásmu 2,4 Ghz přidělil v České republice Český telekomunikační úřad (ČTÚ) 13 kanálů. „Vzhledem k typické šířce DSSS kanálu mohou v přiděleném bezlicenčním pásmu 2400 - 2483 MHz pracovat vedle sebe nezávisle 3 kanály DSSS. Jejich středové kmitočty musí být voleny tak, aby se vzájemně nedotýkaly ani okraji zabraných pásem. Uvažujeme-li označení kmitočtů dle ETSI (1. kanál 2412 MHz, 2. kanál 2417 MHz, dále s odstupem 5 MHz), vidíme, že 2 zařízení DSSS nelze provozovat na sousedních kmitočtových kanálech ETSI, ale je nutné zachovat rozestup min. 5 kanálů (5 x 5 MHz = 25 MHz).ÿ (Řehák, 2003) Prakticky to znamená, že mezi použitými kanály v jedné oblasti by měl být rozdíl takový, aby nedocházelo k jejich překrývání z důvodu interference neboli rušení. V případě České republiky těmto kritériím vyhovují kanály 1-6-11, 2-7-12 a 3-8-13. Situaci ilustruje obrázek č. 1.

2.1

9

WiFi

Obr. 1: Rozprostření kanálů v ISM pásmu 2,4 Ghz. Obrázek převzat ze zdroje http://www.moonblinkwifi.com, 802.11b WiFi Channels

2.1.2

Standard 802.11b

Jedná se a nádstavbu protokolu 802.11. 802.11b nabízí díky novým vývojovým metodám přenosovou rychlost až 11 Mbps - se zpětnou kompatibilitou na 1 a 2 Mbps. Při použití rychlosti 1 a 2 Mbps se používá stejného kódování a modulace jako u 802.11. Při vyšších rychlostech 5,5 Mbps a 11 Mbps se však použije jiná modulace a kódování. 802.11 využívá kódování nazvané Barker 11 a 802.11b využívá pro kódování complementary code keying (CCK). Pro modulaci 802.11 je použito differential binary phase-shift keying (DBPSK), zatímco 802.11b používá differential quadrature phase-shift keying (DQPSK). V důsledku toho, dokáže ve stejné periodě posílat více dat. (Carroll, 2008, s. 100) Tab. č. 2: Protokol 802.11b Publikován Metoda přenosu v rádiovém spektru Pásmo Kódování Modulace Přenosová rychlost

1999 DSSS 2,4 Ghz Barker 11 a CCK DBPSK a DQPSK 1, 2, 5.5, 11 Mbps

2.1

10

WiFi

2.1.3

Standard 802.11g

Oproti standardu 802.11b nabízí 8 nových rychlostí. Maximální přenosová rychlost je 54 Mbps. 802.11g je zpětně kompatibilní se standardem 802.11b a pro přenosové rychlosti 1, 2, 5.5 a 11 Mbps používá stejné kódování a modulaci jako 802.11b. K dosažení vyšší přenosové rychlosti je použito pro modulaci orthogonal frequency division multiplexing (OFDM). (Carroll, 2008, s. 101) Tab. č. 3: Protokol 802.11g Publikován Metoda přenosu v rádiovém spektru Pásmo Kódování Modulace Přenosová rychlost

2.1.4

červen 2003 DSSS a OFDM 2,4 Ghz Barker 11 a CCK DBPSK a DQPSK 1, 2, 5.5, 11 Mbps s DSSS 6, 9, 12, 18, 24, 36, 48, 54 Mbps s OFDM

Standard 802.11a

Standard 802.11a byl vyvinut v roce 1999 a pracuje ve frekvenčním pásmu 5 Ghz, což ho činí nekompatibilní se standardy 802.11, 802.11b a 802.11g. Maximální přenosová rychlost je stejná jako u 802.11g a to 54 Mbps. Používá však odlišné modulační techniky a kódování. (Carroll, 2008, s. 106) Tab. č. 4: Protokol 802.11a Publikován Metoda přenosu v rádiovém spektru Pásmo Kódování Modulace Přenosová rychlost

2.1.5

1999 OFDM 5,0 Ghz Convolution Coding BPSK, QPSK, 16-QAM, 64QAM 6, 9, 12, 18, 24, 36, 48, 54 Mbps

Standard 802.11n

Momentálně nejnovější standard z rodiny 802.11. Je zpětně kompatibilní se standardy 802.11b/g/a. Maximální přenosová rychlost se udává až 600 Mbps, které se dosahuje za použití více antén a pomocí technologie zvané Multiple-Input, MultipleOutput (MIMO). Využitím rozdílných antén na vysílání a příjímání se zvyšuje propustnost a dosahuje se tím více full duplexních operací. (Carroll, 2008, s. 108)

2.2

11

Roaming

2.1.6

Problémy spojené s bezdrátovou sítí

Jelikož frekvenční pásmo, ve kterém WiFi operují je bezlicenční, může ho kdokoliv využívat. V ISM pásmu 2,4 Ghz pracují například mikrovlnné trouby (2450Mhz), bluetooth zařízení nebo různé druhy vysílacích zařízení, jakými jsou baby alarmy, bezdrátové zvonky, PC komponenty např. myši, atp. Všechno toto narušuje spolehlivý provoz WiFi sítě. Může nastat situace, že v okolí, ve kterém chceme vysílat svou vlastní WiFi síť, již nějaká WiFi síť existuje a může s tou naší interferovat. 2.1.7

Výkon signálu

Dosah jakéhokoliv rádiového spojení je založen v podstatě na jediné věci a to na úrovni signálu, která vyjde z výstupu vysílače a může po cestě poklesnout jen natolik, aby byla na vstupu přijímače vyšší, než je jeho citlivost (tedy schopnost ho ještě zpracovat). Hodnoty úrovně signálu se udávají v dB, tj. poměrových jednotkách (podobně jako procenta). Výkon aktivního prvku je udáván v poměru k 1mW (0dB). Změna -3dB odpovídá snížení na polovinu, +3dB zvýšení na dvojnásobek. V České republice je zákonem dán maximální povolený vyzářený výkon (EIRP) celého vysílacího řetězce (vysílač + anténní svod + anténa) a to 100 mW (20 dBm). Tab. č. 5: Převod vysílacího výkonu dBi 3dBm 6dBm 9dBm 12dBm 15dBm 18dBm

mW 2mW 4mW 8mW 16mW 32mW 64mW

Decibel je poměr mezi dvěma čísly a tento poměr se vyjádří jako desetinásobek logaritmického součtu. Převod signálu na dB se provádí následujícím způsobem. Každé číslo větší než 0 může být reprezentováno logaritmem. Pokud řekneme, že síla signálu je 75% původního, v řeči dB to bude znamenat snížení o -1,2dB. Decimální hodnota čísla 75% je 0,75 ⇒ 10 ∗ log0, 75 = −1, 22 Bezdrátové síťové karty jsou schopny diagnostikovat parametry signálu. Mezi ně patří síla signálu přijatá na kartě, zkratka RSSI (Received Signal Strength Indication) a poměr signálu k šumu, zkratka SNR (Signal-to-noise ratio). Čím vyšší hodnota je u těchto dvou parametrů naměřena, tím je signál kvalitnější.

2.2

Roaming

Proces, kdy se klienti přesouvají z jednoho AP na druhý. Je nutné, aby se signály ze sousedících AP překrývaly. U služby VoIP je nutný překryv alespoň 20%. Pro ostatní datovou konektivitu si vystačíme s překrytím 15%. Jakmile se klient nachází

2.3

Řešení centralizovaného řízení bezdrátové sítě

12

v místě se silnějším signálem sousedícího AP, automaticky se s ním asociuje. Roaming funguje pouze za předpokladu, že v síti existuje centralizovaná správa AP. Rozlišujeme dva typy roamingu. 2.2.1

L2 roaming

Klient se asociuje s AP v rámci jedné VLAN a stejné podsíti. Uživatel nic nezpozoruje. Dokonce mu zůstane stejná IP adresa a aktivní spojení. Jediné místo, kde dojde ke změně, bude na WLC, kde uvidíme, že se klient autentizoval k jinému AP. Jak uvádi Carroll (2008), tak tenhle proces trvá méně než 10ms. To platí, zdali máme v síti jedno WLC. Pokud jich však máme ve stejné VLAN více a klient se asociuje s AP, o které se stará jiné WLC než to původní, pošlou si WLC navzájem klientskou databázi. Tento proces se nazývá intercontroller roaming. Prodleva roamingu naroste zhruba na 20ms. 2.2.2

L3 roaming

Jestliže dochází k asociování s AP, které se nachází v jiné VLAN, jedná se o L3 roaming. Rozdíl je v tom, že pracujeme s více WLC na různých podsítích. Když se klient asociuje k AP, o které se stará WLC v jiné podsíti, je provoz tunelován zpět přes původní WLC. Existují dva typy tunelování - asymetrické a symetrické. V asymetrickém tunelování je provoz od klienta směrován k cíli bez ohledu na jeho zdrojovou adresu, ale zpětný provoz je poslán jeho původnímu WLC, který následně tuneluje provoz na nové WLC. V symetrickém tunelování, je veškerá komunikace tunelovaná od klienta na původní WLC, které se stará o odesílání zpráv na místo určení. Zpětný provoz probíhá opět přes původní WLC, které tunelem vrací zprávu zpět klientovi, avšak prostřednictvím druhého WLC.

2.3


Cílem centralizovaného řešení je přenést většinu služeb na centrální prvky a omezit tím činnosti přístupových bodů na minimum. Vzhledem k tomu, že je většina informací související s bezdrátovou sítí centralizována, můžeme využít například funkce plynulého přechodu klientů mezi přístupovými body (roaming). Jedná se o jednu z prioritních služeb, o kterou nám v centralizovaném řešení jde. Dále pak při potřebě správy většího počtu AP, kdy by jejich samostatná konfigurace zabrala spoustu času a byla neefektivní. Nabízí se dva způsoby jak toto řešit. Záleží s jakým typem AP budeme pracovat. Prakticky existují dva typy AP. Buďto autonomní, pracující nezávisle a veškerá centralizovaná správa se provádí pomocí funkce WDS nebo LWAP tzv. ”odlehčené” access pointy, které jsou ve své podstatě degradovány na anténu a všechna data jdou přes LWAP, či CAPWAP tunel k WLC, které se stará o řízení.

2.3


2.3.1

13

Řešení s autonomními AP

Jedná se o prvotní způsob centralizovaného řízení. Existovalo v dobách kdy ještě WLC nebylo. WDS - Wireless Domain Services - jedná se o funkci v IOSu u AP, která umožňuje odesílat agregované RF informace a další (Bouška, 2009).

Obr. 2: Řešení pomocí WDS

Role WDS zařízení: • Šíří své schopnosti a podílí se na nejlepší volbě WDS zařízení pro bezdrátovou síť LAN. Při konfiguraci WDS se na každém AP nastavuje priorita. AP s nejvyšší prioritou zastává funkci WDS. Dále pak přejde-li do stavu offline, zastává funkci WDS, zařízení s druhou největší prioritou. • Ověřuje všechny AP v podsíti a zřizuje zabezpečený komunikační kanál s každým z nich. • Shromažďuje radio data z AP. • Působí jako autentizátor pro všechny autentizace klientských zařízení asociované s AP pomocí 802.1x. • Registruje všechna uživatelská zařízení v podsíti, pro která zavádí session a ukládá si do CACHE jejich bezpečnostní oprávnění. Jakmile pak klient cestuje mezi AP, WDS přeposílá klientovo bezpečnostní oprávnění na nové AP. Role AP používající WDS zařízení: • Nalézá a sleduje aktuální WDS zařízení a přijímá oznámení o přihlášení k WLAN síti. • Autentizuje se s WDS zařízením a vytváří mezi nimi bezpečný komunikační kanál.

2.3


14

• Registruje asociované klientské zařízení se zařízením WDS. • Přeposílá radio data do WDS zařízení. Aby WDS mohlo fungovat je nutná autentizace AP vůči WDS a to vůči RADIUS serveru. Autentizace se provádí kvůli bezpečnosti, aby se cizí AP nemohli přihlásit do WDS systému a prohlašovat se tak za jeho součást. Pro výměnu autorizačních údajů se používá protokol CCKP. Komunikace mezi WDS a AP probíhá však pomocí multikástového protokolu nazývaného WLAN Context Control Protocol (WLCCP). Tyto mulitkástové zprávy nemohou být směrované. Což znamená, že WDS a AP musí být v jedné podsíti a na stejném segmentu sítě. Což nás omezuje v počtu použitých AP a jejich možném fyzickém rozmístění. Zdroj http://cisco.com/, Wireless Domain Services Configuration (2010). 2.3.2

Řešení s LWAP

Aby AP mohlo s WLC komunikovat je nutno, aby bylo v tzv. lightweight režimu, což provedeme změnou firmwaru. Samotná komunikace pak probíhá prostřednictvím LWAPP nebo nověji už CAPWAPP tunelu. Pomocí něj se mezi AP a WLC přenáší zašifrované režijní informace a následně pak samotná data, ta už ovšem šifrovány nejsou. Pracuje s MAC adresami, tudíž funguje na L2 vrstvě. Přenos využívá protokolu UDP, konkrétně pak pro přenos dat port 12222. Důležité je podotknout, že AP, které není v autonomním režimu, nemůže samostatně fungovat.

Obr. 3: Řešení pomocí WLC

Vlasnosti LWAP zařízení: • Koná operace, které je nutno provádět v reálném čase. • Navazuje LWAPP tunel. • Stará se o posílání dat.

2.3


15

• Šifruje a dešifruje data. Vlastnosti WLC: • Přehledná, rychlejší a mnohem jednodušší správa a konfigurace AP při jejich velkém počtu. • Při výpadku některého AP, sousedící AP automaticky zvýší vysílací výkon, podle možností, aby danou lokalitu pokryly signálem. • Automatický a plynulý přechod uživatelských stanic mezi AP, tzv. roaming. • Detailní informace o WLANách v okolí. • Možnost vytvořit několik WLAN. • Autentizace uživatelů založenou na webovém formuláři. Mezi nevýhody jistě patří vyšší pořizovací cena. Dále pak používáme-li na řízení AP v sítí pouze jedno WLC, tak by jeho výpadek znamenal vyřazení celé WiFi sítě z provozu. Řešit se to dá redundancí, zakoupením druhého WLC. V takovém případě, se provoz bezdrátové sítě rozdělí mezi obě WLC. Při výpadku jednoho z nich, přebere veškeré činnosti funkční WLC. Samotná komunikace a zapouzdření dat mezi uživatelem bezdrátové sítě (klient A) a uživatelem, který je do sítě připojen prostřednictvím kabelu (klient B) probíhá podle Carrolla (2008, s. 193) následovně: Klient A posílá zprávu, která jde přes rozhraní 802.11 (bezdrátová wifi karta). Tam je příchozí IP datagram (zdrojová IP adresa a cílová IP adresa) zabalen do 802.11 rámce. Ten obsahuje svou MAC adresu jako zdrojovou a MAC adresu access pointu jako cílovou. Poté je poslán na asociované AP. AP zabalí příchozí rámec 802.11 do ethernetového rámce (přidá se hlavička ethernetu) a ten celý zapouzdří pomocí protokolu LWAPP (přidá se hlavička LWAPP). Následně ho posílá na WLC. Tento rámec obsahuje MAC adresu AP jako zdrojovou a MAC adresu WLC jako cílovou. Na WLC se odstraní hlavička ethernetu a LWAPP a dostaneme originální 802.11 rámec, který WLC zpracuje. WLC rozbalí IP datagram a zabalí ho do ethernetového rámce, do kterého přidá 802.11Q tag a posílá ho po kabelové síti dál. Paket putuje přes přepínač a následně ho směrovač adresuje klientovi B. Klient B odpovídá přesně v opačném pořadí. IP datagram zabalí do ethernetového rámce s cílovou MAC adresou klienta A a posílá ho přes směrovač a přepínač na WLC. Ten zapouzdří příchozí rámec do LWAPP. Ten jako zdrojovou MAC adresu obsahuje MAC adresu WLC a MAC adresu AP jako cílovou. Následně je poslán přes kabelovou síť na příslušné AP. To odstraní hlavičku ethernetu a LWAPP a výsledný IP datagram zapouzdří do 802.11 rámce a pošle vzduchem klientovi A. Ilustruje to situace na obrázku č. 4.

2.3


16

Obr. 4: Pouzdření dat mezi komunikujícími uživateli v síti. Obrázek převzat a upraven od Carrola (2008, s. 193, obr. 11-1)

2.3.3

Terminologie WLC

Základní pojmy spojené s WLC, jak je uvádí Carroll (2008): port - jedná se o fyzické rozhraní na WLC. interface - česky ”rozhraní” - rozhraní na WLC nemůžeme srovnávat s rozhraními na směrovači. Na směrovači může být buďto fyzické a nebo logické (loopback). Zatímco na WLC se dělí na statické a dynamické statické rozhraní - statická rozhraní jsou nedílnou součástí WLC. Nemůžou být odstraněny, neboť plní specifický účel. Mezi ně patří : • Managment interface • AP-Manager • Service port • Virtual dynamické rozhraní - na rozdíl od statického jej vytváří administrátor. Jelikož AP mohou vysílat více SSID souběžně, nabízí se je rozdělit do separátních sítí. Každou sít umístíme do vlastní VLAN a vytvoříme pro ni dynamické rozhraní, přes které bude komunikovat. Můžeme říct, že platí, kolik SSID, tolik dynamických rozhraních. Nemusí to ovšem platit. Můžeme přiřadit všechny SSID na jedno dynamické rozhraní, ale poté by to ztrácelo smysl, protože by nešla aplikovat odlišná firewallová politika. Management interface - slouží k přístupu k webovému managementu WLC. Jedná se o klasické ”klikací” grafické prostředí, do kterého se dostaneme prostřednictvím prohlížeče a standardu HTTPS zadáním adresy management interface. Tohle rozhraní může být ”netagované”, což znamená, že identifikátor VLAN je nastaven na 0. Controller nepřidává do rámce žádný 802.1Q tag. Tím pádem je veškerý provoz směrován do nativní VLAN. V praxi to znamená, pokud je nastavená management VLAN zároveň jako nativní, nestavíme tohle rozhraní jako netagované. AP-Manager - rozhraní sloužící ke komunikaci mezi WLC a AP. Service port - Jedná se o 10/100 ethernetové rozhraní. Může být použito pro obnovu systému a za účely údržby. Je to jediný port, který je aktivní, když je AP v bootovacím módu.

2.3


17

Virtual - stará se o L3 bezpečnost a řídí komunikaci mezi všemi fyzickými porty na WLC. Je-li zapnutá webová autorizace, je webový prohlížeč přesměrován právě na adresu virtual interface, která je obvykle nastavena na 1.1.1.1.

Obr. 5: WLC interface. Převzato a upraveno ze zdroje http://cisco.com, Wireless LAN Controller (WLC) Design and Features FAQ (2010)

2.3


2.3.4

18

Princip navázaní spojení AP s WLC

Postup navázaní spojení probíhá v několika krocích. Ilustruje to obrázek č. 6.

Obr. 6: Postup připojení AP k WLC. Převzato a přeloženo od Carrolla (2008, s. 196, obr. 11-2)

1. AP posílá zprávu CAPWAPP discovery request k WLC. Jedná se o L2 broadcast. 2. Poté zkontroluje zda má přiřazenou IP adresu. Jestliže nemá, zažádá o přiřazení DHCP server. 3. Díky informacím získaných z DHCP (vendor option 43 definuje adresu WLC, konkrétně adresu AP-Management interface) je AP schopno zjistit, kde v síti se WLC nachází. Pokud by tato metoda selhala, existuje ještě další, jak zjistit adresu WLC. AP posílá DNS request a hledá záznam pro CISCO-CAPWAPPCONTROLLER, jestliže záznam existuje, vrátí mu DNS IP adresu WLC APManager interface. 4. WLC přijme CAPWAPP discovery request zprávu a odpoví discovery response. Pokud by však žádné WLC neodpovědělo, začne AP vysílat discovery request znovu. 5. Jestliže proběhlo vše v pořádku, AP posílá join request zprávu, která obsahuje typ a MAC adresu WLC + údaje o sobě (AP hw version, AP sw version, AP name,. . .) 6. V dalším kroku probíhá synchronizace IOSu obou zařízení. Oboje musí mít stejnou verzi. Obecně platí, že AP se přizpůsobuje verzi IOSu, které má WLC. Tudíž, pokud má AP novější verzi, dochází k jeho degradování na starší verzi. 7. Nakonec pošle AP CAPWAPP configure request zprávu, ve které controller žádá o zaslání konfiguračních parametrů, které jsou v současnosti nastavené.

2.4

Bezpečnost

19

Většina z nich je zatím prázdná. Controller odpovídá configure response zprávou, ve které pošle nastavené hodnoty. AP přijme zprávu a aplikuje konfigurační parametry. 8. AP konečně ”běží”. Mezi každým krokem probíhá rebootování AP.

2.4

Bezpečnost

Za nejcennější majetek každé organizace bývají obvykle považovány informace. Ty je nutno chránit, jak před ztrátou, tak zneužitím či poškozením. Ale není to jen otázka dat. Nebezpečím rozumíme odposlech, útok na integritu dat, tedy možnou modifikaci přenášených dat, útok na dostupnost síťových služeb a v neposlední řadě neoprávněným přístupem do lokální sítě. Mezi základní komponenty pro zajištění počítačové sítě proti útokům zvenčí (z Internetu) patří bezpečnostní brány (firewally). Ty mohou být buďto softwarové nebo hardwarové (např. součástí směrovače). Důležitou, a dnes již v podstatě běžnou komponentou počítačových sítí, je antivirová ochrana, která běží na klientských PC. Dalším bezpečnostním prvkem, kteří uživatelé mohou požadovat je bezpečný přístup k důležitým ”citlivým” informacím. Pro tyto účely existuje tzv. VPN, která vytvoří šifrovaný tunel mezi dvěma body a znemožní případné odposlouchávání. Posledním, ale zároveň jedním z nejdůležitějších prvků bezpečnosti, je autentizace a následná autorizace klienta. Musíme vědět, koho si do sítě pouštíme.

2.5

Autentizace, autorizace a šifrování

Autentizace slouží k jednoznačnému prokázání identity uživatele, který přistupuje k systému. Cílem autentizace je zajistit, že systém přesně ví, s jakým uživatelem komunikuje, kdo to je. V našem případě, pokud se uživatel připojuje k WiFi síti, můžeme použít obecně dva způsoby autentizace. Buďto pomocí sdíleného klíče, který je zašifrovaný nějakým šifrovacím algoritmem nebo nejbezpečnějším možným způsobem, a to prostřednictvím certifikátů. Autorizací se rozumí proces ověření přístupových oprávnění uživatele vstupující do sítě. Ve většině případů tento proces navazuje po autentizaci. V praxi to znamená aplikování příslušné firewallové politiky a zpřístupnění např. portu na přepínači, který byl do této doby blokovaný. Šifrováním se rozumí zakódování dat tak, aby je mohl přečíst jen oprávněný příjemce. K interpretaci dat je obvykle vyžadován klíč. 2.5.1

Bezpečnostní metody WEP, WPA a WPA2

WEP - Wired Equivalent Privacy - jedná se o prvotní zabezpečení WiFi sítí, které je součástí standardu 802.11. Obsahuje dva základní typy autentizace - ote-

2.5

20


vřené (open system) a sdílený klíč (shared key). Otevřené - pouze žádost na autentizaci. Sdílený klíč - na výzvu od přístupového vysílacího bodu. WEP používá šifrovací metodu RC4 s tajným klíčem o velikosti 40 nebo 104 bitů kombinovaným s 24 bitovým inicializačním vektorem (IV), pro ověření správnosti metodu RC-32 kontrolního součtu. Někteří výrobci nabízejí velikost klíče dokonce až 256 bitů. Bohužel WEP se dnes považuje za velmi slabé zabezpečení a jak Daněk (2009) uvádí, byl v roce 2000 prolomen. Získat WEP klíč je pomocí speciálního softwaru otázkou několika málo minut. Proto se doporučuje využívat modernějších šifrovacích metod, jakými jsou WPA nebo lépe WPA2. WPA - Wi-Fi Protected Access - Jak Daněk (2009) uvedl, tato metoda zabezpečení vznikla roku 2002 jako náhrada za nedostatky, které mělo WEP. Těmi jsou žádná autentizace a slabé šifrování. WPA používá stejnou šifrovací metodu RC4 jako jeho předchůdce, ale se 128 bitovým klíčem a 48 bitovým inicializačním vektorem (IV). Zásadní vylepšení však spočívá v dynamicky se měnícím klíči - TKIP (Temporal Key Integrity Protocol). Na rozdíl od WEP, používá bezpečnější algoritmus kontrolního součtu zvaný MIC (Message-Integrity Check), který zahrnuje počítadlo rámců, které chrání před útoky snažícími se zopakovat předchozí odposlouchanou komunikaci. WPA existuje ve dvou možnostech WPA-AES a WPA-TKIP a bylo navrženo pro použití s autentizačním serverem 802.1x. Obě tyto varianty nabízejí režim s před sdíleným heslem (PSK), které pro domácí použití naprosto dostačuje. Pro jiné než domácí využití se druhá zmiňovaná varianta nejeví v nynější době jako dostatečně bezpečná. Proto je doporučeno používat variantu WPA-AES s použitím autentizačního serveru 802.1x nebo novější metodu WPA2. WPA2 - k již existujícím algoritmům TKIP a MIC přidává zcela nový algoritmus CCMP - ”Counter Mode with Cipher Block Chaining Message Authentication Code Protocol”. Je považován za zcela bezpečný. Dále pak Daněk (2009) napsal: „Norma IEEE 802.11i již byla plně implementována a je označována jako WPA2. Jedná se o bezpečnostní mechanismy pro sítě typu 802.11a/b/g/n. WAP2 používá pro autentizeci a distribuci klíčú 802.1x a silné šifrování AES volitelně RC4 pro kompatabilitu s WPA.ÿ Tab. č. 6: Přehled šifrovacích mechanismů Metoda Autentizace WEP není WPA (PSK) PSK WPA2 (PSK) PSK WPA (RADIUS) 802.1x WPA2 (RADIUS) 802.1x

Šifrovací metoda WEP TKIP AES, CCMP TKIP AES, CCMP

2.5


2.5.2

21

Protokol 802.1x

Protokol 802.1x je standard zahrnující autentizaci uživatelů, integritu zpráv (šifrováním) a distribuci klíčů. Realizuje se na úrovni portů. Jak uvedla Pužmanová (2004), „802.1x má za cíl blokovat přístup k segmentu lokální sítě pro neoprávněné uživatele.ÿ Po úspěšné autentizaci uživatele, přepne příslušný port z blokovaného stavu do autorizovaného stavu a umožní tak připojení do sítě. Veškerá komunikace sloužící k autentizaci uživatele probíhá prostřednictvím EAP protokolu. Jiné protokoly port blokuje do té doby, dokud není port autorizovaný. Protokol EAP (Extensible Authentication Protocol) je součástí ověřovacího protokolu PPP (Point-to-Point Protocol) a poskytuje všeobecný rámec pro několik různých metod ověřování. Protokol 802.1x nabízí různé metody autentizace. Rozdělení metod podle Daňka (2009): EAP-MD5 - funguje na principu porovnání HASH hesla od klienta a hesla uloženého v centrální DB. Pokud souhlasí, je klient autentizován a vpuštěn do sítě. Není moc vhodné používat, jelikož se jedná o jednostranné prokázání identity pouze ze strany klienta. EAP-TLS - Jedná se o nejbezpečnější metodu. Řeší vzájemnou autentizaci klienta i serveru. Oba však musí mít certifikáty. Klient navíc musí mít importovaný kořenový certifikát autority, kterým se ověří pravost uživatelského certifikátu. Kořenový certifikát autority vlastní firemní RADIUS server (Self signed) nebo jiná autorita. Z principu platí, když ”X” věří ”Y” a ”Z” věří ”Y”, poté si mohou ”X a Z” navzájem taky důvěřovat. Veškerý provoz takhle autentizovaného klienta je šifrovaný pomocí TLS (Transport Layer Security). Největší bezpečnostní riziko nastává při ”transportu” certifikátu ke klientovi. Řešením se nabízí generování certifikátu po přihlášení v informačním systému firmy. EAP-Tunelled TLS - Je nádstavbou metody EAP-TLS. Používá šifrovaného tunelu TLS po celou dobu autentizace. EAP-LEAP - Lightweight EAP. „”ÿProprietární protokol Cisco, používá oboustrannou autentizaci, L3 roaming, pro autentizaci jméno a heslo, sice je lepší než WEP, ale není příliš bezpečný a dnes se nedoporučuje používat. (Bouška, 2009) Protected-EAP - Certifikát vlastní pouze server. Klient má importovaný pouze kořenový certifikát autority. Pro provoz se vytváří šifrovaný TLS tunel. 2.5.3

RADIUS protokol

RADIUS (Remote Authentication Dial-In User Service) je ověřovací systém, který využívá koncepce AAA nebo-li Autentizace, Autorizace a Accounting pro přípojené klienty, využívající síťové služby. Jedná se o protokol klient/server, který běží na

2.6

Monitoring a plánování bezdrátové sítě

22

aplikační vrstvě a pro přenos využívá protokolu UDP. Standardně pak porty 1812 pro autentizaci a 1813 pro accounting. Avšak Cisco využívá porty 1645 a 1646. Pro autentizaci u bezdrátových sítí využívá RADIUS server protokol 802.1x. Klient, který je ověřován a žádá přístup do sítě je nazýván suplicantem. Prostředník mezi suplicantem a RADIUS serverem je nazýván autheticator, RADIUS klient nebo taky NAS (Network Access Server). Jedná se o zařízení připojující klienty do sítě a podporující protokol 802.1x. Ve většině případů se jedná o přepínač nebo AP. „RADIUS klient se stará o odesílání uživatelských informací RADIUS serveru a nese odpovědnost za zpracování odpovědí, které od serveru přijme.ÿ (Daněk, 2009) Jakmile se chce klient připojit do sítě, zašle požadavek na Network Access Server (NAS). Tenhle požadavek je předán pomocí Point-to-Point (PPP) protokolu nebo například v případě DSL pomocí zabezpečeného webového formuláře HTTPS. Následně NAS posílá na RADIUS server Acces request zprávu, ve které žádá o povolení k poskytnutí přístupu přes RADIUS protokol. V tomhle kroku probíhá ověření klienta, typicky ve formě uživatelského jména a hesla nebo uživatelského bezpečnostního certifikátu. Kromě toho může žádost obsahovat další informace, které NAS ví o uživateli, například jeho síťovou adresu nebo port, kterým se připojuje do sítě. Pokud uživatelské informace nesouhlasí s údaji v databázi, pošle RADIUS server zprávu Access-Reject, nebo-li zamítnutí autentizace na NAS. NAS poté zablokuje port, kterým se uživatel hlásil do sítě. Pokud však uživatelské informace souhlasí s údaji v databázi, pošle RADIUS server zprávu Access-Accept, nebo-li schválení autentizace. Uživateli je tedy umožněn přístup. Informace o uživatelích mohou být uloženy lokálně na RADIUS serveru, nebo mohou být uloženy v externí databázi, jako je LDAP nebo SQL.

Obr. 7: Schéma autentizace klienta vůči RADIUS serveru

2.6


Nástrojů, které dokážou analyzovat bezdrátovou síť je spousta. Jejich práce spočívá v detekci a sledování bezdrátových sítí založených na standardu 802.11. Aplikace dokáží zjistit informace o všech dostupných přístupových bodech v reálném čase.

2.6


23

Většinou nás zajímá jejich vysílané SSID, síla signálu, kanály na kterých vysílají, typ zabezpečení, jejich fyzická adresa. Navíc dokáží odhalit například skryté SSID sítě. Zjistit tedy můžeme přítomné sítě v okolí a podle toho postavit svou vlastní síť tak, aby nebyla rušena. Získaná data mohou být zobrazována v různé podobě, pomocí diagnostických přehledů či grafů. Tyto základní informace o bezdrátové síti nabízí mnoho volně dostupných aplikací. Jedna z nejpoužívanějších je software Netstumbler. Pokud ovšem požadujeme více informací, budeme muset použít placené softwary. Ty dokáží například zjistit informace o asociovaných klientech (jejich MAC, IP adresu a sílu signálu), zvládnout různé typy útoků (včetně brutálního útoku na heslo) na zabezpečení sítě, jakými jsou WEP, WPA, LEAP, dokáží zaznamenávat do mapy pokrytí daných sítí, nejmodernější zvládnou dokonce plánování bezdrátové sítě. Jedním z nejlepších typů analyzujících nástrojů patří software Ekahau Site Survey. Existuje ve třech verzích. Dvou placených Standard, Professional a jedné zdarma pro domácí použití s názvem HeatMapper. Hlavní rozdíl, a to co činí software výjimečný, je možnost si naplánovat rozmístění a počet AP pro naši síť, ještě než začneme cokoliv řešit. Jediné co musíme udělat, je nahrát půdorys budovy, kde hodláme bezdrátovou síť realizovat. Doplníme správná měřítka, tloušťku a typ materiálu, z kterých jsou stěny a podlahy vyrobeny. Dále určíme, které služby bude WiFi síť poskytovat. Je to důležité pro dobrou stabilitu poskytovaných služeb. Víme, že VoIP vyžaduje lepší sílu signálu, než je potřeba pro datovou konektivitu. Všechny informace uložíme, software vyhodnotí vstupní údaje a jako výstup nabídne mapu s přesným rozmístěním a počtem použitých AP. Tomuhle se říká pre-deployment. Pokud už však nějakou síť máme a chceme ji zpětně analyzovat, bude nás zajímat tzv. post-deployment. S tímhle si vystačí základní verze softwaru Standard. V podstatě jde o to, že opět nahrajeme půdorys budovy, ve které máme WiFi síť a chceme ji analyzovat. Doplníme správná měřítka a posléze určíme, kde se v budově nacházejí AP, či antény. Následně softwaru zadáme, kde se v budově nacházíme my a spustíme analýzu. Postupně projdeme celou budovu s notebookem, obsahujícím podporovanou wifi kartu. Po určitých vzdálenostech budeme do mapy zanášet polohy, kde se zrovna nacházíme. Poté co se dostaneme zpět do výchozího místa, necháme software vyhodnotit získané údaje. Získáme tím informace o síle signálu, rušení, počtu AP, poměru signálu k šumu, kvalitu konektivity (označovanou jako network health) pro různé služby, jakými jsou Email / Web / Video / VoIP nebo jaká je kde latence a mnohé další. Po téhle analýze se můžeme rozhodnout o jiném lepším rozmístěním AP. Zjistíme, zdali v blízkosti našich AP nevysílá náhodou nějaká cizí síť, a či nedochází k interferenci. V takovém případě zjistíme, na kterém kanálu cizí AP vysílá a podle toho přizpůsobíme naši síť. Taková zjištění nám pomohou zkvalitnit služby nabízené prostřednictvím bezdrátových síti. Software stojí ve verzi profesional 2775 dolarů. Zdroj http://www.sparcotech.com ke dni 20. května 2010.

2.6


24

Obr. 8: Ekahau Site Survey při analýze bezdrátové sítě v síťové laboratoři ÚI PEF: Kvalita signálu

Obr. 9: Ekahau Site Survey při analýze bezdrátové sítě v síťové laboratoři ÚI PEF: Poměr signál k šumu

3

ANALÝZA

3

25

Analýza

Před tvorbou sítě je nutné se seznámit s prostředím a požadavky firmy, ve kterém bude daná síť realizována.

3.1

Požadavky firmy

Požadavky firmy jsou následující: • Zajistit plnohodnotnou konektivitu sítě pro všechna zařízení ve firmě na všech patrech využívající drátovou i bezdrátovou (WiFi) technologii. Požadavky na základní konektivitu: síla signálu -85dBm, signál/šum 5dB, ztrátovost paketů do 10% Požadavky na VoIP konektivitu: síla signálu -70dBm, signál/šum 15dB, ztrátovost paketů pod 5% • Síť bude nabízet služby webový server, DNS, email. • Počítat s budoucím rozšířením o hlasové služby (VoIP). • Zajistit bezpečné připojování do sítě pro zaměstnance a případné hosty. Tzn. autentizace zaměstnanců pro přístup do sítě pomocí certifikátu. Konkrétně se využije EAP-TLS. Pro hosty volný přístup, pouze však na firemní web server. • Zajistit co nejefektivnější (časově méně náročnou) správu aktivních prvků. • Zajistit Roaming po celé budově na všech patrech. Jak pro budoucí VoIP, tak pro datovou konektivitu. • Zajistit vynikající stabilitu (stejnou kvalitu signálu) a odpovídající propustnost linek a použitých rozhraní. (Průměrná míra úspěšného doručení zprávy přes komunikační kanál. Problém nastává, kdy se na zařízení agreguje spousta dat a výstupní linka/rozhraní nedisponuje dostačující šířkou pásma - dochází k zahazování paketů.) • Monitoring sítě proti falešným přístupovým bodům (rogue AP) a rovnoměrnému rozložení provozu mezi všechny AP (monitoring zatížení AP). • Bezpečný management sítě. • Z důvodu bezpečnosti není zaměstnancům povoleno provozovat vlastní ad-hoc sítě. Princip bezpečnosti se řídí pravidlem, co není výslovně povoleno, je zakázáno!

3.2

Prostředí firmy

V našem modelovém případě se jedná o firmu s cca 100 zaměstnanci sídlící v tří až čtyřpatrové budově. Na každém patře se nachází open space kanceláře s průměrně 25 zaměstnanci. Půdorys budovy je ve tvaru písmene L (viz. obr. č. 10). Vnitřní stěny budovy mezi sousedícími místnosti a chodbou jsou postaveny z pálených cihel s tloušťkou 15cm. Výška stropu je 240cm. V blízkosti firmy se nachází cizí WiFi sítě. K ISP je firma připojena 100 Mbit/s připojením.

3.2

Prostředí firmy

Obr. 10: Půdorys budovy s možným rozložením AP

26

4

NÁVRH

4

27

Návrh

Budeme vycházet z výše zmíněné analýzy. Rozložení access pointů se řídí velikostí radiusu vysílaného signálu, tak aby i za rušivým elementem (stěny, atp.) bylo překrytí signálu mezi jednotlivými AP minimálně 20%, z důvodu požadovaného roamingu. (20% pro potřeby VoIP, jinak dostačuje překrytí 15%). Než umístíme AP na jejich trvalá místa, provedeme ověření konektivity na všech místech budovy, tzv. post-deployment. Abychom dosáhli nejlepšího možného výkonu a kvality vysílaného signálu, provedeme průzkum okolí, kde zjistíme na jakých kanálech vysílají cizí WiFi sítě. Podle výsledků průzkumu nastavíme odpovídající kanály, na kterých budou AP vysílat, tak aby nedocházelo k jejich interferenci. Těchto základních zásad se budeme držet při vytváření infrastruktury, jak s použitím WLC, tak i za použití WDS. Na oba návrhy budeme využívat zařízení od společnosti Cisco Systems, které patří mezi špičku na trhu.

4.1

Centralizované řízení s použitím WLC

Pro návrh topologie budeme vycházet z poznatků analýzy. Budova má 3-4 patra. Z výsledků post-deploymentu jsme vykalkulovali, že budou dostačující pro konektivitu WiFi sítě i pro hlasové služby 4 access pointy na každé patro. Na každé patro umístíme přístupový přepínač Cisco Catalyst 2960 s 24 porty (z toho 8 portů PoE), do kterých zapojíme AP a případné stolní PC na daném patře. Budeme mít dostatečnou rezervu portů pro budoucí rozšíření. Všechny patrové přepínače budou svedeny do prvního patra, kde budou zapojeny do L3 přepínače Cisco Catalyst 3560, který bude provádět inter-VLAN routing a bude nám též sloužit jako DHCP server. Do L3 přepínače bude zapojen Cisco WLAN Controller 4402 pro centralizovanou správu AP a RADIUS server sloužící k autentizaci. L3 přepínač bude následně zapojen do směrovače Cisco 2811, na kterém poběží firewall. 4.1.1

Rozdělení sítě a adresace

Infrastrukturu rozdělíme do podsítí za použití VLAN. Přístupové body jsou zařazeny do lokálních VLAN s označením 10, 20 a 30 podle patra. Zamezíme tím šíření broadcastu do ostatních částí sítě. Přístupové bodu vysílají 2 SSID, firemní a pro hosty. Každá je zařazena do vlastní VLAN s označením 100 a 200. O přiřazení IP adresy se stará DHCP server na L3 přepínači. Management sítě je umístěn ve VLAN 90, která je zároveň nativní. U této VLAN si adresy nastavíme staticky. • VLAN 10, jméno: patro1. Adresace AP v prvním patře. Adresa sítě: 10.0.10.0/24, automatické přiřazení IP pomocí DHCP • VLAN 20, jméno: patro2. Adresace AP v druhém patře. Adresa sítě: 10.0.20.0/24, automatické přiřazení IP pomocí DHCP • VLAN 30, jméno: patro3. Adresace zařízení v třetím patře. Adresa sítě: 10.0.40.0/24, automatické přiřazení IP pomocí DHCP

4.1


28

• VLAN 80, jméno: AP Manager. Slouží pro komunikaci AP s WLC. Adresa sítě: 10.0.80.0/24, zadáváno staticky • VLAN 90, jméno: AP Management. Slouží pro management sítě. Adresa sítě: 10.0.90.0/24, zadáváno staticky • VLAN 100, jméno: SSID Guest. WiFi síť pro hosty. Adresa sítě: 10.0.100.0/24, automatické přiřazení IP pomocí DHCP • VLAN 200, jméno: SSID private. Firemní WiFi síť. Adresa sítě: 10.0.200.0/24, automatické přiřazení IP pomocí DHCP Dále pak jsou v topologii použity 2 peer-to-peer spoje. Jeden mezi hraničním směrovačem a L3 přepínačem, s adresou sítě 10.0.1.0/30. Druhý pak mezi L3 přepínačem a RADIUS serverem, s adresou sítě 10.0.2.0/30.

Obr. 11: Topologie centralizovaného zapojení za použití lokálních VLAN

4.1


29

Rozdělení zařízení na každém patře do zvláštních lokálních VLAN, zabraňuje vzniku velké broadcastové domény (obr. č. 11). Ta má za následek větší zatížení L3 prvků v síti, které je musí blokovat. Avšak při nynějším počtu zařízení na každém patře bychom mohli uvažovat použití pouze jedné VLAN (obr č. 12).

Obr. 12: Topologie centralizovaného zapojení za použití end-to-end VLAN

4.1


30

Fyzické umístění zařízení v budově znázorňuje obrázek č. 11.

Obr. 13: Topologie centralizovaného zapojení z pohledu fyzického umístění zařízení

4.1.2

Analýza topologie

Jelikož největší provoz může očekávat mezi L2 a L3 přepínačem (posílání velkých objemů dat mezi zaměstnanci firmy), použijeme gigabitové rozhraní pro dané propojení. Mezi hraničním směrovačem a L3 přepínačem budeme brát v potaz neexistenci gigabitového rozhraní na směrovači. Vystačíme si tedy se 100Mbitovým spojem. Případné budoucí vytížení této linky budeme řešit dokoupením gigabitové rozhraní na směrovač 2811. 4.1.3

Bezpečnost

O bezpečnost se nám v první řadě postará integrovaný firewall na směrovači. Tam si definujeme obecnou bezpečnostní politiku pro celou síť. Všechna spojení zevnitř sítě ven do internetu i opačně, zakážeme. Selektivně poté povolíme spojení pro dané služby (http, https, pop3, smtp, ssh, ftp, dns, icmp) zevnitř sítě ven. Z venku poté povolíme pouze spojení navázané zevnitř. Další bezpečnostní opatření se bude týkat omezení na adresy používající daná síť. Žádná jiná adresa, než jsou definované, se uvnitř sítě nesmí objevit. Tím zabráníme IP spoofingu, čili toho, že by se někdo mohl vydávat za právoplatného klienta naší sítě. Další filtrované adresy, tzv. Marťanské adresy, definuje norma RFC 3704. Jedná se o privátní adresy, které jsou v Internetu nesměrovatelné, loopback a jiné vymezené adresy. Další bezpečnostním krokem bude samotná autentizace klientů. Každé AP bude vysílat dvě SSID, jedno pro zaměstnance firmy a jedno pro hosty. Obě se budou

4.2

Centralizované řízení pomocí WDS

31

vysílat ve standardu 802.11g a 802.11b. Ty budou umístěny v separovaných VLAN, na které se umístí odlišné firewallové politiky. Broadcastované SSID v beaconu bude pouze SSID pro síť hostů, z důvodu bezpečnosti. Firemní SSID bude skryté. O autentizace přístupu se postará protokol 802.1x a RADIUS server, konkrétně pak zaměstnanci budou využívat typ EAP-TLS, který nám zařídí kontrolovaný přístup uživatelů k síti prostřednictví certifikátů. Pro hosty bude volně přístupné připojení, pouze však na stránky informačního systému firmy. Nutno zmínit, že bude potřeba definovat certifikační autoritu (CA), která bude podepisovat vydané klientské certifikáty. Následně bude potřeba vygenerovat kořenový certifikát autority a podepsat, buďto svým vlastním soukromým klíčem CA (Self signed), nebo soukromým klíčem jiné certifikační autority. Distribuce kořenového certifikátu autority a klientského certifikátu bude pomocí informačního systému firmy. 4.1.4

Použitý hardware

Na implementaci této topologie by bylo využito těchto síťových prvků: • 3x Cisco Catalyst Switch 2960 s 24 porty (z toho 8 PoE) • 12x Cisco Air-Lap 1131 • 1x Cisco Catalyst Switch 3560 s 24 PoE porty • 1x Cisco Router 2811 • 1x Cisco Wireless LAN Controller 4402/12LWAP

4.2


Rozdíl v samotné topologii bude nepatrný. Ubude nám z něj WLC a o centralizovanou správu se nám teď bude starat AP, které určíme jako WDS. Ovšem AP už nebudou v LWAP, ale v autonomním režimu. Při návrhu topologie musíme vycházet z poznatku, že WDS a AP musí být v jedné podsíti a na stejném segmentu sítě. Pro přesnost, v nynější době už nejmodernější přepínače od Cisca podporují L3 WDS, ovšem za cenu několika set tisíc korun. Což jsme z hlediska ekonomického z návrhu vypustili. 4.2.1

Rozdělení sítě a adresace

• VLAN 10, jméno: patra1 4. Adresace AP na všech patrech. Adresa sítě: 10.0.10.0/24, automatické přiřazení IP pomocí DHCP • VLAN 90, jméno: Management. Slouží pro management sítě. Adresa sítě: 10.0.90.0/24, zadáváno staticky • VLAN 100, jméno: SSID Guest. WiFi síť pro hosty. Adresa sítě: 10.0.200.0/24, automatické přiřazení IP pomocí DHCP • VLAN 200, jméno: SSID private. Firemní WiFi síť. Adresa sítě: 10.0.200.0/24, automatické přiřazení IP pomocí DHCP

4.2


32

Obr. 14: Topologie centralizovaného zapojení s použitím WDS

4.2.2

Analýza topologie

Z hlediska provozu a objemu posílaných dat se použitý druh linek a rozhraní nebude v ničem lišit od předchozí s použitím WLC. Co je však nutné podotknout, je již výše zmiňovaná broadcastová doména. Tím, že máme všechna zařízení umístěna v jedné VLAN, tak by jejich případné budoucí navýšení počtu, mohlo znamenat zatížení pro směrovač, který bradcasty musí blokovat. AP, které bude zastávat funkci WDS, je umístěno na L3 přepínač z důvodu stejné vzdálenosti v síti k ostatním AP. V naší navržené topologii je však použití WDS značně komplikované na implementaci a v praxi se používá spíše na jednodušší topologie s méně přístupovými body. 4.2.3

Bezpečnost

Bezpečnostní politika definovaná výše je obecná pro oba typy zapojení a tudíž bude implementována i zde. S jediným důležitým rozdílem, že musíme zajistit autentizaci

4.2


33

AP vůči WDS a to vůči RADIUS serveru z důvodu ochrany před cizími (Rogue) AP, které by se mohly snažit přihlásit se do WDS systému jako legitimní přístupové body. 4.2.4 • • • •

Použitý hardware

3x Cisco Catalyst Switch 2960 s 24 porty (z toho 8 PoE) 12x Cisco Air-Lap 1131 1x Cisco Catalyst Switch 3560 s 24 PoE porty 1x Cisco Router 2811

5

ŘEŠENÍ

5

34

Řešení

5.1

Centralizované zapojení s použití WLC

Praktické ověření jsme provedli v síťové laboratoři ÚI PEF implementací topologie, která je uvedena na obr. č. 15. Jedná se o zjednodušený model zapojení, který jsme popsali výše. Díky dvěma AP Cisco Air-Lap 1131 jsme vyzkoušeli L2 roaming a ověřili funkce WLC.

Obr. 15: Topologie centralizovaného zapojení v laboratoři

5.1.1

Konfigurace síťových prvků

Na směrovači s označením R7 je potřeba nastavit adresy pro rozhraní a dns server (záznam pro CISCO-CAPWAPP-CONTROLLER). Konfigurace rozhraní: R7(config)# interface Fa0/0 R7(config-if)# ip address 172.16.1.1 255.255.255.0 R7(config-if)# no shutdown R7(config)# interface Fa0/1

5.1


35

R7(config-if)# ip address 172.16.0.1 255.255.255.0 R7(config-if)# no shutdown Nastavení záznamu v DNS: R7(config)# ip dns server R7(config)# ip host CISCO-CAPWAP-CONTROLLER 172.16.90.2 Na L3 přepínači s označením SW9 je zapotřebí nakonfigurovat rozhraní, VLAN, trunky, virtuální rozhraní pro VLAN a DHCP server. Virtuální rozhraní nám slouží jako výchozí brány pro VLAN. Díky nimž je možný inter-VLAN routing. Vytvoření VLAN a virtuálních rozhraní s adresací: SW9(config)#vlan 10 SW9(config-if)#name patro1 SW9(config)#int vlan10 SW9(config-if)#ip address 172.16.10.1 255.255.255.0 SW9(config-if)#no shutdown Stejným způsobem vytvoříme VLAN 20, 80, 90, 100 a 200 a k nim virtuální rozhraní s příslušnou adresou. Vytvoření DHCP serveru: SW9(config)#ip dhcp excluded-address 172.16.10.1 172.16.10.10 SW9(config)#ip dhcp pool vlan10 SW9(dhcp-config)#network 172.16.10.0 255.255.255.0 SW9(dhcp-config)#default-router 172.16.10.1 SW9(dhcp-config)#option 43 172.16.90.2 SW9(dhcp-config)#dns server 172.16.1.1 Nejdřív si vyloučíme prvních 10 adres z každého poolu pro servisní účely. První IP, které vydá DHCP, bude začínat tedy číslem 11. Pak stejným způsobem vyhradíme adresy a vytvoříme DHCP pooly pro VLAN 20, 100 a 200. Pro VLAN 100 a 200 se option 43 a dns server nedefinuje. Tyto informace slouží pouze pro AP. Konfigurace rozhraní, nastavení trunku: SW9(config)#int fa1/0/1 SW9(config-if)#no switchport SW9(config-if)#ip address 172.16.1.2 255.255.255.0 SW9(config-if)#no shutdown SW9(config)#int fa1/0/3 SW9(config-if)#switchport mode access SW9(config-if)#switchport access vlan 90 SW9(config-if)#no shutdown SW9(config)#int range Gi1/0/1-2,Fa1/0/2 SW9(config-if)#switchport trunk encapsulation dot1q SW9(config-if)#switchport trunk native vlan 90

5.1


36

SW9(config-if)#switchport mode trunk SW9(config-if)#switchport nonegotiate SW9(config-if)#no shutdown Na patrových přepínačích s označením SW8 a SW10 je nutné nakonfigurovat VLAN, trunk, virtuální rozhraní a přiřadit porty k příslušným VLAN. Nastavení trunku: SW8(config)#int Gi1/0/1 SW8(config-if)#switchport trunk encapsulation dot1q SW8(config-if)#switchport trunk native vlan 90 SW8(config-if)#switchport mode trunk SW8(config-if)#switchport nonegotiate SW8(config-if)#no shutdown Vytvoření VLAN a virtuálních rozhraní s adresací: SW8(config)#vlan 10 SW8(config-if)#name patro1 SW8(config)#vlan 90 SW8(config-if)#name management SW8(config)#int vlan90 SW8(config-if)#ip address 172.16.90.5 255.255.255.0 SW8(config-if)#no shutdown Přiřazení portu do VLAN: SW8(config)#int fa0/1 SW8(config-if)#switchport mode access SW8(config-if)#switchport access vlan 10 SW8(config-if)#no shutdown Stejným způsobem nakonfigurujeme druhý patrový přepínač s označením SW10. Nakonec je potřeba nastavit WLC. Přihlášení provedeme pomocí konzole. Postupně zadáváme pomocí expresního nastavení konfigurační údaje. Prvně zadáváme administrativní uživatelské jméno a heslo, pod kterým budeme přistupovat na webový management WLC. Následně pak adresu, masku, výchozí bránu, VLAN identifikator a číslo WLC portu pro Management a AP-Manager interface. Nesmíme zapomenout na to, že v naší topologii se VLAN identifikator pro náš management interface označí 0, jako netagovaný. V jiném případě se na něj nedostaneme. Dále nastavíme virtual gateway s defaultní adresou 1.1.1.1. Síťové jméno pro WiFi a pod kterým protokolem 802.11 budou AP vysílat. Jakmile tuhle konfiguraci úspěšně zadáme a uložíme, získáme přístup na webový management. Na ten přistoupíme pomocí webového prohlížeče a zadání adresy Management interface 172.168.90.2. Zde je nutné vytvořit dynamická rozhraní, pomocí kterých budou komunikovat jednotlivá WLAN (rozhraní VLAN 100 a 200). Následně vytvořit SSID (firemní a pro hosty) s

5.2

Centralizované zapojení s použitím WDS

37

nastavením požadovaného zabezpečení (firemní AEP-TLS, pro hosty volný přístup) a patřičně přiřadit k dynamickému rozhraní. Demonstrativní obrázky konfigurace pomocí webového rozhraní obsaženy v příloze (příloha B). 5.1.2

Implementace RADIUS serveru

Autentizace v bezdrátové síti je řešena prostřednictvím RADIUS protokolu. Ten je implementován pomocí softwaru freeRADIUS. Konfigurační soubory nalezneme v adresáři /usr/local/radius/etc/radb/. Důležité jsou soubory clients.conf (nastavení RADIUS klienta), eap.conf (konfigurace použité EAP metody) a radiusd.conf (hlavní konfigurační soubor). Jaké parametry obsahují a jejich správnou konfiguraci uvádí Daněk (2010) ve své bakalářské práci.

5.2


Implementaci WDS jsme v síťové laboratoři řešili na velmi zjednodušené topologii (obr. č. 16). Cílem bylo vyvarovat se vzniku případných chyb z důvodu časově náročnější konfigurace. Všechny síťové prvky (AP, RADIUS Server, Management PC) jsme umístili do jediné VLAN na L3 přepínači Cisco Catalyst 3750. V praxi se to samozřejmě tímto způsobem nesmí řešit, z důvodu bezpečnosti. O přiřazování IP adres koncovým zařízením se nám stará DHCP server nakonfigurován na L3 přepínači 5.2.1

Konfigurace

Konfigurace L3 přepínače s označením SW9: Vytvoření VLAN a virtuálního rozhraní s adresací: SW9(config)#vlan 100 SW9(config-if)#name AP100 SW9(config)#vlan 99 SW9(config-if)#name Management SW9(config)#int vlan100 SW9(config-if)#ip address 172.16.100.1 255.255.255.0 SW9(config-if)#no shutdown SW9(config)#int vlan99 SW9(config-if)#ip address 172.16.99.1 255.255.255.0 SW9(config-if)#no shutdown Přiřazení portu do VLAN: SW9(config)#int range Gi1/0/1-2 SW9(config-if)#switchport mode access SW9(config-if)#switchport access vlan 100 SW9(config-if)#no shutdown

5.2


38

Vytvoření DHCP serveru: SW9(config)#ip dhcp excluded-address 172.16.100.1 172.16.100.10 SW9(config)#ip dhcp pool vlan10 SW9(dhcp-config)#network 172.16.100.0 255.255.255.0 SW9(dhcp-config)#default-router 172.16.100.1 Nastavení trunku: SW9(config)#int range Fa1/0/1-2 SW9(config-if)#switchport trunk encapsulation dot1q SW9(config-if)#switchport trunk native vlan 99 SW9(config-if)#switchport mode trunk SW9(config-if)#switchport nonegotiate SW9(config-if)#no shutdown Na přístupových přepínačích s označením SW8 a SW10 nakonfigurujeme stejným způsobem TRUNK, vytvoříme virtuální rozhraní a zařadíme příslušný port do VLAN. Jakmile dosáhneme konektivity mezi všemi prvky v síti, přihlásíme se na webový management jednotlivých AP. Zde je nutné určit AP, který bude zaujímat funkci WDS. Dále zaregistrovat druhé AP do WDS systému, za pomocí příslušného bezpečnostního mechanismu. Nastavení demonstrují obrázky v příloze (příloha A).

Obr. 16: Topologie centralizovaného zapojení použitá v síťové laboratoři

6

6

EKONOMICKÉ ZHODNOCENÍ

39

Ekonomické zhodnocení

Cílem této bakalářské práce je i finanční ohodnocení obou použitých metod řízení a práce související s jejich implementací a údržbou. Jelikož jsme v obou návrzích použili produkty firmy Cisco, která patří mezi špičku na trhu, odrazí se to i ve výsledné ceně. Software freeRADIUS, použitý k autentizaci, je zdarma dostupný. Jedná se o open-source produkt. Firma zaplatí tedy pouze za použitý hardware a za práci IT odborníka. Ta obnáší instalaci a konfiguraci daných zařízení. Cena za použitý hardware se bude výrazně lišit podle toho, zda jsme použili na centralizovanou správu WLC či nikoliv. Konkrétně cena Cisco AIR-WLC4402 s podporou správy 12 přístupových bodů se pohybuje v průměru okolo 140 000 Kč. Jedná se o nejdražší prvek topologie. Použitý distribuční přepínač L3 Cisco Catalyst 3560 s 24 PoE porty stojí zhruba 55 000 Kč. Patrový, přístupový přepínač Cisco Catalyst 2960 s 24 porty, z toho 8 PoE, vyjde potom na 25 000 Kč. Nutno počítat s tím, že na stavbu firemní sítě jsou zapotřebí 3 tato zařízení. Hraniční směrovač Cisco 2811 s Advanced Security Image stojí cca 50 000 Kč. Posledním zařízením jsou samotné přístupové body Cisco AIR-LAP1131AG-E-K9, cena 8 000 Kč. Opět musíme počítat, že pro stavbu sítě jich bude zapotřebí 12 ks. Celková cena hardwaru vyjde na 416 000 Kč, když budeme uvažovat použití s WLC. Bez něj na 276 000 Kč. Celková doba implementace se odhaduje na 20 - 30 hodin. Samotná konfigurace mechanismu WDS oproti WLC je minimálně dvakrát tak časově náročnější. Vezmeme-li v úvahu cenové ohodnocení IT pracovníka na 500 Kč/hod. vyjde firmu cena práce na implementaci na 10 - 15 000 Kč nebo kolem 20 000 Kč s použitím topologie WDS. Následná správa s použitím WLC je nenáročná a odhaduje se zhruba na poloviční oproti WDS, a to na cca 2 hodiny týdně. Měsíčně tedy 4000 Kč za správu WLC, oproti 8000 Kč u WDS. Z toho lze snadno dopočítat dobu návratnosti, která vychází na méně než 3 roky. Pokud budeme brát v potaz rozšíření sítě o další přístupové body, dojde i ke změně použitého WLC. Cisco AIR-WLC4402 s podporou správy až 25 přístupových bodů vyjde na 200 000 Kč. Tím doba návratnosti stoupne zhruba na 4 až 5 let. Vzhledem ke střední době poruch u Cisco zařízení, pohybující se v řádově ve statisících hodin, je doba návratnosti uspokojivá. I přes obrovský cenový rozdíl u obou metod činících 140 000 až 200 000 Kč, se investice z hlediska výhod, které WLC nabízí, určitě vyplatí.

7

DISKUZE A ZÁVĚR

7 7.1

40

Diskuze a závěr Diskuze

Každá z použitých metod řešení centralizovaného řízení má své výhody a nevýhody. Jelikož se u WDS jedná o prvotní koncepci centralizovaného řízení v bezdrátových sítích vůbec, odpovídají tomu i možnosti, které nabízí. Kvůli složitosti při autorizování AP a samotných klientů, je zde kladen nárok na vynikající znalost v oblasti bezpečnostních mechanismů autentizace a šifrování. I přes dobrou dokumentaci, kterou Cisco nabízí, je autorizace klienta provázena občasnými problémy, které je nutno vyladit. Velkou nevýhodou je omezení pouze na L2 roaming. Hlavní a zároveň jedinou výhodou je, že není nutná žádná investice do nového hardwaru. WLC je oproti tomu drahou záležitostí, avšak jedná se o nejlepší možné řešení centralizovaného řízení. Nabízí méně náročnější implementaci, přehlednou správu prostřednictvím grafického rozhraní, více možností nastavení a jednu z hlavních výhod a to L3 roaming. Tímto nejsme omezování topologií sítě. Další výbornou vlastností je funkce řízení rozložení zatížení přístupových bodů a pokrytí signálem území přístupového bodu sousedícími AP, při jeho výpadku. WLC je k dispozici jako samostatné zařízení nebo jako modul, který se integruje do L3 zařízení.

7.2

Závěr

Cílem této práce bylo provést návrh modelového řešení WiFi sítě, pro malou nebo středně velkou firmu, s důrazem na centralizované řízení a bezpečnost a následné návrhy finančně zhodnotit. Porovnávali jsme mezi sebou dvě technologie WLC a WDS. Práce vysvětluje u obou metod princip fungování, způsob konfigurace a jejich výhody a nevýhody. Při implementaci řízení prostřednictvím WLC jsme měli k dispozici pouze jeden Wireless Controller, tudíž jsme nemohli vyzkoušet redundanci těchto zařízení, která je u větších sítí takřka nutností. Samotná konfigurace proběhla bez problémů, avšak u WDS jsme se setkali s menším problémem, týkajícím se autorizace klientů. Ten byl způsoben nesprávnou konfigurací bezpečnostních metod u klienta a na přístupovém bodu. Hlavním přínosem této bakalářské práce vidím ve vypracování případové studie, která může být použita při realizování bezdrátové sítě s centralizovaným řízením v reálné firmě. A která je ochotná si za kvalitu, kterou Cisco produkty nabízejí připlatit.

8

8

LITERATURA

41

Literatura

Bouška, P. Cisco WLC 1 - centrální řízení WiFi sítě [online]. [cit. 2010-4-28]. Dostupné na http://www.samuraj-cz.com/clanek/cisco-wlc-1-centralni-rizeni-wifisite/. Bouška, P. Cisco WLC 4 - připojení LWAP AP k WLC [online]. [cit. 20104-28]. Dostupné na http://www.samuraj-cz.com/clanek/cisco-wlc-4-pripojenilwap-ap-k-wlc/. Bouška, P. Cisco WiFi - základní principy a protokoly [online]. [cit. 2010-4-28]. Dostupné na http://www.samuraj-cz.com/clanek/cisco-wifi-zakladni-principya-protokoly/. Carroll, B. CCNA Wireless Official Exam Certification Guide (CCNA IUWNE 640-721). Cisco Press, 2008. 504 s. ISBN 1-58720-211-5. Daněk, M. Integrace autentizačních mechanismů pro bezdrátové sítě v prostředí malé a střední firmy. Bakalářská práce. Brno, 2009. Mcquerry, S. Interconnecting Cisco Network Devices, Part 1 (ICND1): CCNA Exam 640-802 and ICND1 Exam 640-822, 2nd Edition. 2. vyd. USA: Cisco Press, 2007. 528 s. ISBN 1-58705-462-0. Pužmanová, R. WLAN konečně bezpečné [online]. 2002 [cit. 2010-5-2]. Dostupné na http://www.lupa.cz/clanky/wlan-konecne-bezpecne/. Pužmanová, R. Bezpečnost WLAN podle IEEE [online]. 2002 [cit. 2010-5-2]. Dostupné na http://www.lupa.cz/clanky/bezpecnost-wlan-podle-ieee/. Řehák, J. Jak na ochranu a zabezpečení WiFi sítí [online]. [cit. 2010-4-28]. Dostupné na http://hw.cz/ethernet/wifi/wifi ochrana.html. Zandl, P. Bezdrátové sítě WiFi : Praktický průvodce. [s.l.] : Computer Press, 2003. 204 s. ISBN 80-722-6632.

Přílohy

A

A

WEBOVÁ KONFIGURACE WDS

43

Webová konfigurace WDS

Obr. 17: Nastavení komunikace s autentizačním serverem, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

A


44

Obr. 18: Navržení AP jako WDS, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

Obr. 19: Vytvoření skupiny pro infrastrukturní AP, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

A


45

Obr. 20: Definice uživatelského jména a hesla pro autentizační server pro všechna WDS, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

Obr. 21: WDS status, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

A


46

Obr. 22: Definice uživatelského jména a heslo pro autentizační server pro všechna infrastrukturní AP, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

A


47

Obr. 23: Vytvoření skupiny pro klienty, nastavení typu klientské autentizace, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

A


48

Obr. 24: Nastavení šifrovací metody, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

Obr. 25: Nastavení příslušné autentizační metody u příslušného SSID, Převzato ze zdroje http://cisco.com, Wireless Domain Services Configuration (2009)

B

B

WEBOVÁ KONFIGURACE WLC

49

Webová konfigurace WLC

Obr. 26: Vytvoření dynamického rozhraní, Převzato od Carrolla (2008, s. 239, obr. 13-4)

Obr. 27: Konfigurace vytvořeného rozhraní, Převzato od Carrolla (2008, s. 239, obr. 13-5)

B


50

Obr. 28: Souhrn existujících rozhraní, Převzato od Carrolla (2008, s. 240, obr. 13-6)

Obr. 29: Vytvoření WLAN, Převzato od Carrolla (2008, s. 241, obr. 13-7)

Obr. 30: Konfigurace vytvořené WLAN, Převzato od Carrolla (2008, s. 242, obr. 13-8)

B


51

Obr. 31: Souhrn existujících WLAN, Převzato od Carrolla (2008, s. 243, obr. 13-9)

Obr. 32: Souhrn vysílajích AP, Převzato od Carrolla (2008, s. 250, obr. 13-17)

Obr. 33: Konfigurace 802.11 b/g/n u AP, Převzato od Carrolla (2008, s. 250, obr. 13-18)

B


Obr. 34: WLC status monitor, Převzato od Carrolla (2008, s. 251, obr. 13-20)

52

Realizace Wi-Fi sítě na bázi Cisco technologií v prostředí malé a

Recommend Documents