Академический Документы
Профессиональный Документы
Культура Документы
Беспроводный Доступ v2.1
Беспроводный Доступ v2.1
В то же время есть ряд особенностей, которые нужно учитывать. Прежде всего, они
связаны с физической основой передачи радиосигналов по воздуху во множественной
среде доступа.
Wireless LAN
Применение WLAN
Требования к WLAN
пользовательские устройства
точки доступа
компоненты сетевой унификации
сетевое управление
сервисы обеспечения мобильности.
APs и WLC
APs, WLCs и WCS
APs, WLC, WCS и LBS (Location-Based Services).
2. Технология и архитектура Cisco Unified Wireless
Протокол LWAPP
Split MAC
802.11 аутентификация
802.11 ассоциирование
802.11 трансляция и бриджинг кадров
802.11 X/EAP/RADIUS обработка
терминирование трафика 802.11 на проводном интерфейсе.
Рекомендуется применять туннелирование LWAPP внутри UDP пакетов (Layer 3). Важно
отметить, что трафик данных абонента достигает WLC и может быть перенаправлен
(смаппирован) в определенный VLAN интерфейс. Обычно это настраивается статически на
WLC, но данные для VLAN могут быть получены и от AAA сервера в процессе успешной
EAP аутентификации.
4402 – автономный контроллер WLC с поддержкой 12, 25 или 25 AP, наличие GE SFP
портов и поддержка dot1q trunk. Для малых и средних офисов.
4404 – автономный контроллер WLC с поддержкой 100 AP, наличие GE SFP портов и
поддержка dot1q trunk. Для больших офисов.
WLCM – WLC модуль для серии маршрутизаторов Cisco ISR. Поддержка 6, 8, 12 AP. Для
малых офисов, интегрированное решение.
WiSM – WLC модуль для платформы Cisco Catalyst 6500. Выполнен в виде сервисного
модуля и поддерживает до 300 AP. Для крупных включений.
Точки доступа для применения внутри помещений можно разделить на две категории –
автономные (standalone) и «облегченные» (lightweight). Первые могут работать без WLC,
вторые для полноценной работы должны взаимодействовать с WLC. При развитии IT сети
Уралсвязьинформ рекомендуется обратить внимание на Lightweight AP: для них наиболее
подходит модель централизованного управления.
Роуминг
При перемещении абонента внутри беспроводной сети Wi-Fi возможен переход его из
зоны действия одной AP к другой. При этом AP могут принадлежать как к одному
контроллеру WLC, так и к разным. Желательно, чтобы трафик данных абонента при таких
перемещениях не прерывался. Для реализации такой задачи и служит роуминг.
Для корректной работы протоколов DHCP и ARP (запросы клиентов) WLC придерживается
следующих подходов. В первом случае он работает как DHCP relay agent, пересылая
клиентский запрос в соответствующий данной WLAN сегмент проводной сети к
конкретному DHCP серверу. При обработке же ARP запросов WLC отрабатывает как ARP
proxy, возвращая IP адреса из своей локальной базы или передавая клиентский запрос к
следующему WLC.
клиент WLAN
точка доступа AP
контроллер доступа WLC
AAA сервер.
Решения компании Cisco Systems для обнаружения атак на беспроводные сети, в том
числе для изоляции нелегально установленных точек доступа (Rogue AP), включают в себя
следующие возможности:
В случаях, когда в здании установлено сравнительно небольшое количество AP, или когда
отсутствуют точные поэтажные планы, описанный выше метод радиоперехвата и анализа
радиосреды может быть неэффективным. В данном случае для решения проблемы
можно воспользоваться следующими методами:
Rogue Detector AP – для этого в точке доступа вызывается режим, в котором AP, не
задействуя свой радиоинтерфейс, слушает только проводную сеть на предмет
присутствия в ней трафика от нелегальных беспроводных клиентов,
подсоединившихся к сети через нелегальную точку доступа. Для этого такая AP
подключается к сети через SPAN порт, сконфигурированный на мониторинг VLANов
в которых вероятно нелегальное подключение. AP слушает ARP сообщения
клиентов, и найденные MAC адреса сигнализирует на контроллер точек доступа.
Rogue Location Discovery Protocol – данный протокол может помочь обнаружить
нелегальную точку доступа в случаях, когда ARP запросы от нелегальных клиентов
не видны в сети. Данная опция позволяет обнаружить логическое место
подключения нелегальной AP к проводной сети. Протокол работает таким образом,
что LAP точка доступа в случае обнаружения подозрительного соседа пытается
проассоциироваться с ним как клиент и одновременно с этим посылает
специальное тестовое сообщение на контроллер. Данное действие позволяет
подтвердить, что в сети присутствует нелегальная AP и его логическое место
подключение к проводной сети.
изоляция нелегально установленных точек доступа предотвращающая
установление соединения клиентов с ними.
Беспроводные контроллеры WLC в свою очередь наделены функцией Wireless IDS, то есть
они имеют набор IDS сигнатур позволяющих отслеживать атаки на уровне 802.11 , 802.1x и
некоторых других протоколов. Данные IDS эффективно работают с проводными IDS
решениями Cisco, взаимно дополняя их.
Нужны ли подробности?
Система Cisco Unified Wireless поддерживает Wi-Fi MultiMedia (WMM) – систему QoS,
базирующуюся на стандарте IEEE 802.11e. Последний улучшает MAC подуровень Wi-Fi и
заботится о чувствительных к задержкам приложениях, таких как Voice over Wireless IP и
Streaming Multimedia.
С прикладной точки зрения система Cisco Unified Wireless позволяет легко настраивать
параметры QoS профилей (рис. 4.2) и WMM политик (рис. 4.3) на контроллере.
Отличительным моментом является то, что Cisco разработала так называемые расширения
совместимости для улучшения работы VoWLAN:
Для удобства работы пользователей гостевой WLAN для них создается WEB-портал
аутентификации. При первоначальном подключении пользователь должен ввести данные
user login/password и после этого получить легитимный доступ к ресурсам сети (выход в
Internet). Реализация WEB портала выполняется, в частности на контроллерах WLC.
Приложения
Оборудование
БОМ