26.12.2016, Пн, 18:59, Мск , Текст: Владимир Бахур

D-Link объявил о выпуске программного обеспечения для маршрутизаторов с поддержкой технологии интеллектуального распределения беспроводных клиентов. Как рассказали CNews в компании, эта функциональность улучшает качество обслуживания клиентов беспроводных сетей, построенных на базе маршрутизаторов D-Link, позволяя клиентам автоматически подключаться к маршрутизатору, обеспечивающему наиболее высокое качество беспроводного сигнала. Это особенно востребовано при организации беспроводных сетей в современных квартирах и коттеджах со сложной планировкой, офисных помещениях и мини-отелях в условиях постоянно растущей загруженности эфира.

В обычных беспроводных сетях решение о смене подключения принимается клиентом, действующим в соответствии с заложенными производителем алгоритмами роуминга. Большинство клиентских устройств при перемещении до последнего «цепляются» за первоначально выбранную удаленную точку доступа и не переключаются на другое устройство, даже если оно предлагает более высокий уровень беспроводного сигнала.

В основе нового функционала заложена возможность своевременного переподключения беспроводного устройства до наступления ухудшения качества связи. Сеть маршрутизаторов D-Link, оснащенных технологией интеллектуального распределения беспроводных клиентов, самостоятельно отслеживает и принимает решение об отключении клиентов с пороговым уровнем сигнала, после чего такие клиенты автоматически подключаются к точке доступа с более высоким качеством беспроводного сигнала и соответственно на более высокой скорости соединения. На практике это означает стабильное покрытие Wi-Fi с возможностью управления роумингом клиентов, максимально доступную скорость подключения в любой точке помещения для каждого из них, увеличение общей пропускной способности сети, в том числе за счет отсутствия клиентов с низким уровнем сигнала, что особенно важно для чувствительных к задержкам и потерям приложений реального времени, включая видеоконференции и потоковое видео.

В настоящее время поддержка интеллектуального распределения Wi-Fi клиентов реализована в 16 моделях маршрутизаторов D-Link, таких как DIR-300A: начиная с версии ПО 3.0.0, DIR-615A: начиная с версии ПО 2.5.14, DIR-615/A: начиная с версии ПО 2.5.28, DIR-615S: начиная с версии ПО 2.5.8, DIR-615/GF: начиная с версии ПО 2.5.9 (заводская версия), DIR-620A: начиная с версии ПО 2.5.3, DIR-620/A: начиная с версии ПО 2.5.18, DIR-620/GA: начиная с версии ПО 2.5.9, DIR-651/A/A: начиная с версии ПО 2.5.7, DIR-651/A/B: начиная с версии ПО 2.5.12, DIR-815/AC: начиная с версии ПО 2.5.0 (заводская версия), DIR-815/A: начиная с версии ПО 2.5.25, DIR-822: начиная с версии ПО 2.5.3 (заводская версия), DIR-825/A: начиная с версии ПО 2.5.38, DIR-825/AC/E: начиная с версии ПО 2.5.35 и DIR-825/AC/G: начиная с версии ПО 2.5.2 (заводская версия). Далее перечень будет постоянно расширяться.

Чем российскому бизнесу помогут выделенные LTE/5G-сети

29. 07.2020, Ср, 10:00, Мск

Растущий спрос на цифровизацию и автоматизацию производственных процессов сформировал потребность в закрытых выделенных сетях. Пока что речь идет о стандарте LTE, но и применение 5G тоже не за горами. О том, почему компании решаются на «изоляцию» внутренних сетей от публичных, и что это может принести в перспективе, в своей статье для CNews рассказал Георгий Джабиев, директор департамента продаж цифровых решений МТС.

Появление сетей беспроводной связи private LTE/5G — явление в России новое, поэтому название для них еще не устоялось. Такие сети иногда для простоты называют «приватными» или «частными», что не совсем верно. Есть более точное определение — «выделенная LTE/5G-сеть предприятия». Их архитектура такова, что они создаются в пределах одной организации без присоединения к сетям общего пользования. При этом все элементы экосистемы (от ядра сети и центров управления ИТ-системами до оконечных устройств — всевозможных датчиков и абонентских терминалов) находятся в едином закрытом контуре. В этом — главное отличие private-сетей от обычных сетей общего пользования.

В чем преимущество выделенных, закрытых LTE/5G-сетей? Во-первых, ввиду своей изолированности от публичных сетей, они защищены от внешнего влияния и проникновения. Это гарантирует целостность инфраструктуры предприятия, безопасность всех элементов ИТ-системы, ее стабильность и высокую производительность.

Второй важный момент: private-сети дают возможность полной интеграции с ранее установленными элементами ИТ-инфраструктуры компании. Например, технологической радиосвязи, корпоративной телефонии, систем видеонаблюдения, мониторинга производственных процессов, центров обработки данных, автоматизированных систем управления. Все это дает гибкость и широкие возможности для модернизации и автоматизации производства, повышения его эффективности.

Третье преимущество — передача данных с высокими скоростями и минимальными задержками на всей территории предприятия на основе современных и стандартизированных радио-интерфейсов. В private-сетях уже используется стандарт LTE, а сейчас начинает внедряться еще и 5G. Это значит, что владельцам выделенных сетей будет доступен такой же выбор абонентских терминалов, радио-модулей, приемо-передающих устройств, базовых станций, как и в публичных сетях. Надежная сеть радиодоступа позволит отказаться от проводов, идущих к каждому датчику, исполнительному устройству, станку, а также от более дорогих систем радиосвязи стандартов типа TETRA, DMR или APCO, и проприетарных решений на основе Wi-Fi. Тем более что стандарты LTE/5G превосходят Wi-Fi по радиусу покрытия, скорости передачи данных, быстродействию, надежности, безопасности и защищенности от помех.

Сферы применения и перспективы

Сети private LTE сегодня востребованы в промышленном производстве (для автоматизации технологических процессов), горнодобывающей промышленности и топливно-энергетическом комплексе (в датчиках телеметрии), в сфере ЖКХ (для мониторинга и учета), автоперевозках (для обмена данными), здравоохранении (для связи между пациентами и врачами). С развертыванием сетей 5G, а также дальнейшим развитием технологий интернета вещей, искусственного интеллекта, дополненной и виртуальной реальности, в этих сферах станет возможным полностью перейти на автономное или дистанционное управление в режиме реального времени, реализовать предиктивные модели и концепцию цифрового двойника, использовать интеллектуальное оборудование, облачные роботы, беспилотники, применять роботизированную хирургию и т.д. Тогда сети private 5G станут единой инфраструктурной средой и органической основой для промышленного (IIoT) и критического интернета вещей (CIoT).

По оценкам аналитических агентств и вендоров, мировой рынок закрытых выделенных сетей растет стремительными темпами, его объем к 2023 г. составит от $5,7 млрд до $8,3 млрд. Private сети найдут наиболее эффективное и широкое применение в промышленном производстве, горнодобывающей и нефтегазовой отраслях, оборонно-промышленном комплексе и сфере общественной безопасности, на транспорте и в логистике. Основным стимулом строительства таких сетей будет растущий спрос на цифровизацию и автоматизацию различных производственных процессов, а также необходимость в модернизации инфраструктуры связи.

Естественно, что в разных странах и отраслях степень готовности к внедрению новых технологий различна. Но развертывание технологических сетей с интеграцией в них производственных ИТ-систем в любом случае сулит ощутимое снижение издержек и рост эффективности бизнеса. В мире есть множество примеров успешных кейсов. Так, внедрение постоянного мониторинга транспорта в карьерах и в шахтах позволило горнорудной компании Lihir Goldmine в Гвинее уменьшить количество несчастных случаев почти на треть. На заводе Mercedes-Benz в Дании анализ больших данных в режиме реального времени, а также удаленное управление ИВ-инструментами и транспортом через технологическую сеть 5G, уменьшили простои на 20%. На заводе Ericsson в Эстонии использование нескольких десятков тысяч подключенных к сети устройств, автономного транспорта и технологии дополненной реальности для устранения неисправностей, повысило производительность труда на 20%. И таких примеров — масса.

Проекты в России

Группа МТС уже накопила экспертизу в создании и пилотировании первых в России выделенных LTE/5G-сетей. В июне 2019 г. дочерняя компания МТС — системный интегратор «Энвижн Груп» — совместно с группой «Сибур» протестировали первую в России сеть private LTE для сбора, передачи, обработки данных и автоматизации производства. В этом проекте на базе решений Ericsson была развернута сеть экстренной связи, системы для автоматизации бизнес-задач, управления внешними устройствами и политикой предоставления доступа к различным ресурсам предприятия. На примере этого кейса мы убедились, что закрытая технологическая сеть является универсальной технологией связи для проектов Индустрии 4.0.

В январе этого года мы совместно с Ericsson провели демонстрацию работы первой в России промышленной технологической сети 5G на заводе «КАМАЗ» в Набережных Челнах. На сети с использованием агрегации частот LTE 2100 МГц и 5G 28 ГГц были развернуты системы видеонаблюдения и групповой связи, защищенный доступ к локальным информационным ресурсам и VR/AR-решение для удаленного обучения персонала. Проект показал возможность отказа от фиксированной связи для управления станками и производственными линиями и создания основы для решений промышленной автоматизации в масштабах крупного предприятия.

Наша экспертиза не ограничивается этими кейсами. Мы ведем работу с другими российскими компаниями по развертыванию сетей private LTE/5G. Их запуск позволит роботизировать производственные процессы и значительно повысить производительность труда. Для реализации проектов выделенных сетей у нас есть опыт сотрудничества с вендорами, собственные ИТ-компетенции и готовые бизнес-решения для клиентов. Кроме того, для создания private 5G-сетей снимаются регуляторные ограничения — в марте этого года Государственная комиссия по радиочастотам (ГКРЧ) выделила полосу шириной 400 МГц в диапазоне 24,25-24,65 ГГц для создания сетей общего пользования и закрытых технологических сетей пятого поколения. На днях Роскомнадзор на основании этого решения ГКРЧ предоставил нашей компании первую в России лицензию на оказание услуг мобильной связи стандарта 5G/IMT-2020 в 83 субъектах страны.

Роутер в режиме клиента — настройка режима WiFi Client на D-Link

Всем привет! Сегодня мы будем разбирать вопрос по настройке роутера в режиме клиента. Как можно понять из названия, при этом маршрутизатор будет сам подключаться к другой Wi-Fi. Очень часто это стало требоваться в селах и деревнях – куда Ростелеком совсем недавно начал заводить интернет. При этом в центре поселка ставится большая WiFi вышка, к которой уже может подключиться каждый пользователь.

Проблема в том, что «Режим клиента» по разному называется в роутерах. Но мы в статье более подробно рассмотрим именно D-Link DIR-300, у которого есть только один подобный режим. Да, режим есть один, но на самом деле подключиться к беспроводной сетке можно несколькими способами.

«Режим моста» кстати подключается и настраивается на роутерах D-Link аналогично – поэтому если вы ищите именно его – то эта статья вам поможет. При включении режима повторителя – нужно будет сделать ещё пару настроек, о которых я расскажу в самом конце.

ПРИМЕЧАНИЕ! Статья написана на примере двух основных прошивок. Если у вас DD-WRT прошивка, то вы можете посмотреть основную схему настроек и делать по аналогии.

ПОМОЩЬ СПЕЦИАЛИСТА! Если же у вас будут какие-то вопросы или дополнения – пишите в комментариях.

Подключение к роутеру DIR-300 и вход в Web-интерфейс

Для того чтобы вообще что-то изменить в настройках – нужно зайти в Web-интерфейс. Для этого нужно сначала подключиться к сети аппарата. Я для этого буду использовать прямое подключение по кабелю, просто подключившись к свободному локальному LAN порту. Самое главное не перепутайте LAN порт с «Internet» входом, который обычно один и выделается среди других цветом или надписью.

Но подключиться можно также и с помощью Wi-Fi. Стандартный пароль (PIN) будет находиться на этикетке под корпусом. Если же вы уже ранее его настраивали, то подключитесь – как обычно к своей беспроводной сетки.

После подключения открываем браузер и вписываем один из адресов:

• 192.168.0.1
• dlinkrouter.local
• 192.168.1.1 (редко используется)

Далее нужно будет ввести пароль и логин. Чаще всего достаточно будет ввести в обе строки «admin». Эта информация также находится на бумажке роутера. Если у вас есть сложности со входом в настройки – идём сюда.

Классическая прошивка

1. Слева открываем раздел «Wi-Fi» и далее кликаем по «Клиенту»;
2. Включаем режим, а также вещание беспроводной сети;
3. Чуть ниже уже будут отображаться все вай-фай поблизости. Если нужной сети нет, нажмите на кнопку «Поиск сетей»;
4. Далее просто нажимаем по нужной;
5. Ниже останется ввести только пароль;
6. Нажимаем «Применить»;

7. Теперь переходим в «Сеть» – «WAN». Удалите все лишние подключения. В самом конце нажмите «Добавить»;

8. Тип соединения выставляем как «Динамический IP», а вот «Интерфейс» указываем как «WiFi Client». Нажимаем «Применить»;
9. В конце можно перезагрузить маршрутизатор.

Новая прошивка ДИР-300

1. В «Расширенных настройках» в разделе «Wi-Fi» пролистайте в право, чтобы найти «Клиент» режим и нажать по нему;

2. Далее ничего сложно и всё аналогично, как и в классической прошивке. Включаем режим, чуть ниже выбираем нужную сетку и вводим ключ от неё;

3. Теперь, чтобы использовать этот интернет переходим в «WAN»;

4. Удаляем все подключения и добавляем новое;

5. Устанавливаем «Динамический IP» и интерфейс в режим «WiFiClient»;
6. Сохраняем и применяем настройки.
7. Перезагружаем роутера.

Режим повторителя

Режим репитера у второстепенного маршрутизатора обычно работает так: второй подключается к основному аппарату и просто повторяет туже самую беспроводную сеть. Это достаточно удобно, если у вас большой загородный дом. Тогда, если вы переходя с одного этажа на другой с телефоном, планшетом – то устройство должно автоматом подключиться к второму маршрутизатору.

Так как отдельного режима в настройках нет, то нам нужно для начала настроить режим клиента. Об этом написано в начале этой статьи. А далее достаточно ввести туже самое имя Wi-Fi и пароль – как у основного маршрутизатора.

1. В разделе «Wi-Fi» в «Основных настройках» нужно поменять имя сети и поставить такое же, как на первом интернет-центре;

2. А вот для изменения пароля нужно пройти в соседний раздел «Настройки безопасности». Меняем ключ и сохраняем настройки.

Обязательно потом перезапустите роутер. После этого должна отображаться только одна вай-фай и к ней можно будет без проблем подключаться, переходя от одной точки доступа к другой.

Здравоохранение | Wi-Fi Alliance

Откройте для себя Wi-Fi

Wi-Fi ^® соединяет провайдеров с пациентами в различных средах

Wi-Fi, уже широко применяемый для традиционных сетей в сфере здравоохранения, способствует повышению гибкости и эффективности клинических услуг в сфере здравоохранения. В ближайшие пять лет в отрасли ожидается рост поставок медицинских устройств, связанных с Интернетом вещей, на 15% ¹ .Кроме того, ожидается, что к 2020 году рынок аналитики медицинских данных вырастет до 68 миллиардов долларов ² , а другие ключевые области роста будут определены как искусственный интеллект (AI), носимые устройства и мобильное здравоохранение (mHealth). Все готово для новой эры подключенного здравоохранения как в больницах, так и за их пределами.

Wi-Fi хорошо подходит для этих динамических сред, потому что это одна из самых надежных и повсеместных беспроводных технологий, предлагающих высокопроизводительное соединение, безопасность WPA3 ™ государственного уровня и поддержку устаревших устройств.Помимо больниц и клинических учреждений, Wi-Fi также предлагает решение для растущего рынка личного здоровья и фитнеса.

Wi-Fi помогает ИТ-менеджерам здравоохранения удовлетворить растущие потребности в подключении, предъявляемые как медицинским персоналом, так и пациентами и их семьями. По мере роста числа устройств Wi-Fi, подключаемых к медицинским сетям, использование оборудования Wi-Fi CERTIFIED ™ помогает обеспечить широкую функциональную совместимость и положительный опыт пользователей.

Непрерывный план развития открывает новые возможности для здравоохранения

Последняя версия Wi-Fi, Wi-Fi CERTIFIED 6, предлагает медицинским учреждениям значительное увеличение покрытия, пропускной способности и эффективности без ущерба для основных характеристик, таких как совместимость, безопасность и простота использования.СЕРТИФИЦИРОВАННЫЕ устройства Wi-Fi имеют обратную совместимость, поэтому новые устройства будут без проблем взаимодействовать с существующими устройствами.

Ключевые особенности Wi-Fi CERTIFIED 6 направлены на то, чтобы сети Wi-Fi могли эффективно обрабатывать плотные среды с сотнями или тысячами устройств, требующих одновременного подключения. Сети Wi-Fi CERTIFIED 6 могут эффективно и действенно обслуживать всех типов пользователей — от гостевых устройств в зале ожидания до небольших устройств мониторинга и обработки изображений с высокой пропускной способностью.

¹ ABI Research, 2019
² Frost & Sullivan, 2019

• День без Wi-Fi
• Какие тенденции Wi-Fi ожидаются в 2020 году?

• Что такое мобильность в медицинском учреждении?

  Mobility используется для описания непрерывного сетевого подключения, предоставляя пользователю в любое время и в любом месте доступ к социальным сетям, клиническим данным или данным бизнес-приложений.Когда клиентские устройства Wi-Fi ^® и больничная сеть, к которой они подключаются, должным образом поддерживают мобильность, беспроводное устройство может получить доступ к сети во время движения в любом месте здания, а иногда и за его пределами (например, пешеходные дорожки между зданиями). Чтобы должным образом поддерживать мобильность в больницах, необходимо придерживаться передовых методов проектирования, установки и управления сетью и устройствами Wi-Fi и устройствами.

• Что такое мобильное устройство Wi-Fi и чем оно отличается от немобильного устройства Wi-Fi?

  Под мобильными устройствами понимаются устройства, которые используются конечным пользователем, который перемещается по больнице или медицинскому учреждению и требует постоянного подключения.Примерами являются носимые пациентом телеметрические устройства, которые непрерывно контролируют жизненно важные показатели амбулаторного пациента, или смартфон, который обеспечивает врачу, обслуживающему пациента, мгновенный доступ ко всем клиническим системам, необходимым для оказания помощи.

• Почему клиент Wi-Fi перемещается от одной точки доступа к другой?

  Существует множество причин, по которым клиент будет перемещаться от одной точки доступа к другой, наиболее распространенной из которых является перемещение клиента с границы радиочастоты (RF) одной точки доступа к другой точке доступа.Медицинские учреждения часто очень сложны с точки зрения РЧ-планирования из-за их физической структуры, с длинными коридорами, изолированными палатами для пациентов и экранированными зонами радиологии. Эти физические проблемы могут создавать резкие переходы между зонами покрытия AP и препятствовать быстрому и эффективному роумингу. В связи со строгими требованиями к характеристикам и доступности медицинских устройств большое внимание уделяется созданию устойчивой и надежной сети Wi-Fi.

• Что такое сканирование вне канала для клиентских устройств Wi-Fi?

  Сканирование вне канала — это когда клиентское устройство Wi-Fi настраивает свое радио на другой канал для поиска доступных точек доступа или сканирует точки доступа на канале, к которому оно не подключено (следовательно, «вне канала»).Клиент сканирует точки доступа вне канала в поисках подходящей точки доступа для подключения на случай, если ему потребуется выполнить роуминг со своей текущей точки доступа, подключенной к каналу.

• Что такое сканирование вне канала для точек доступа Wi-Fi (AP)?

  Точка доступа (AP) также может выполнять сканирование вне канала. Этот процесс аналогичен сканированию вне канала для клиентских устройств Wi-Fi и по существу позволяет точке доступа настраивать свое радио на другой канал в течение ограниченного времени. Внеканальное сканирование обычно используется как метод обнаружения источников помех, несанкционированных или несанкционированных одноранговых сетей Wi-Fi.Операция выполнения сканирования вне канала сильно зависит от реализации производителя и конфигурации WLAN.

• Каково влияние на клиентов, когда точки доступа выполняют сканирование вне канала?

  Когда точка доступа выполняет сканирование вне канала, подключенные к ней клиентские устройства не смогут отправлять трафик в сеть. Это может нарушить работу устройств потоковой передачи в реальном времени, которые полагаются на постоянное соединение. Следует соблюдать осторожность при настройке сканирования вне канала.

• Что такое пассивное и активное сканирование?

  Причиной сканирования клиента является определение подходящей точки доступа, к которой клиенту может потребоваться роуминг сейчас или в будущем. Клиент может использовать два метода сканирования: активный и пассивный. Во время активного сканирования клиентское радио передает пробный запрос и ожидает пробного ответа от точки доступа. При пассивном сканировании клиентское радио прослушивает каждый канал на предмет наличия маяков, периодически отправляемых точкой доступа. Пассивное сканирование обычно занимает больше времени, поскольку клиент должен слушать и ждать маяка, а не активно искать точку доступа.Еще одно ограничение пассивного сканирования заключается в том, что если клиент недостаточно долго ждет на канале, он может пропустить маяк AP.

• Что такое динамический выбор частоты (DFS)?

  Во многих странах нормативные требования могут ограничивать количество доступных каналов 5 ГГц или накладывать дополнительные ограничения на их использование, поскольку спектр используется совместно с другими технологиями и услугами. Например, в США и других странах некоторые диапазоны нелицензированной национальной информационной инфраструктуры (U-NII) используются радиолокационными системами.Сети Wi-Fi, работающие в этих диапазонах, должны использовать возможности радарного обнаружения и предотвращения столкновения. Стандарт IEEE 802.11h удовлетворяет это требование, добавляя поддержку DFS и управления мощностью передачи (TPC) на каждом канале DFS.

• Как работает DFS?

  Если точка доступа Wi-Fi обнаруживает радарную систему на канале с включенным DFS, точка доступа должна сообщить связанным клиентским устройствам, что она освобождает канал, на котором обнаружен радар, и новый канал, на который он перемещается.Клиентские устройства должны немедленно освободить канал и должны подключиться к AP на другом канале.

• Как DFS влияет на мобильность?

  Для диапазонов 5 ГГц, которые включают каналы DFS, клиентам запрещено выполнять активное сканирование, и они должны использовать только пассивное сканирование. Это может увеличить время, необходимое для идентификации и выбора потенциальных целей роуминга. Это увеличение времени сканирования может помешать некоторым клиентам поддерживать активное соединение во время роуминга между точками доступа.

  Когда точка доступа обнаруживает радар, ей выделяется период времени для поиска доступных каналов. Этот период времени может превысить порог подключения приложения и привести к тому, что клиент потеряет подключение, даже если правила DFS строго соблюдались.

  В некоторых средах может быть предпочтительнее ограничить использование РЧ каналов, в которых DFS не требуется. Проконсультируйтесь с национальными правилами, чтобы определить, какие каналы поддерживаются DFS.

• Как механизмы безопасности влияют на мобильность?

  Отрасль здравоохранения придерживается еще одного уровня требований безопасности, предусмотренных законами, касающимися конфиденциальности и клинической информации пациента (например,г. HIPAA (Закон о переносимости и подотчетности медицинского страхования, PCI (Индустрия платежных карт)). Защита электронной информации о здоровье — важная бизнес-потребность для администраторов больниц. К счастью, Wi-Fi имеет надежные возможности шифрования и аутентификации в форме WPA2 ^™ , чтобы помочь ИТ-менеджерам в реализации политик безопасности.

  Основной принцип безопасности в IEEE 802.11 заключается в том, что каждый раз, когда клиент подключается к точке доступа, он должен завершить процесс аутентификации.Два основных используемых типа безопасности — это WPA2-Personal и WPA2-Enterprise, и каждый по-разному влияет на поведение в роуминге, поскольку WPA2-Enterprise требует дополнительных шагов в процессе аутентификации. Когда используется корпоративная версия Wi-Fi Protected Access ^® 2, необходимая проверка подлинности при роуминге увеличивает время проверки подлинности или повторной проверки подлинности. Для мобильных устройств это добавленное время может повлиять на производительность клиента потоковой передачи в реальном времени. Для важных клинических приложений, таких как телеметрия, где мобильность является частью клинического использования, используется алгоритм быстрого роуминга, такой как 802.Рекомендуется 11r. Например, когда приложения высокого качества обслуживания (QoS), такие как VoIP, используются в правильно реализованной сети Wi-Fi, сочетание WPA2-Enterprise и методов быстрого роуминга обеспечивает безопасное и надежное соединение. Сертификация Wi-Fi Alliance Voice-Enterprise включает эти важные возможности и является ключевым фактором создания высокопроизводительной корпоративной WLAN.

Руководство по проектированию беспроводной сети с высокой плотностью клиентов

С момента первого выпуска этого документ — в индустрии Wi-Fi произошло много положительных изменений.802.11n повзрослел, а 802.11ac быстро завоевывает рынок. Вместе с достижения в области радиотехники (порядки), созревание смартфоны и планшеты становятся все более предпочтительным методом доступ. Оптимизация приложений и улучшенное оборудование дали результат более быстрое обновление нашей клиентской базы с постоянным улучшением и расширением до дата радио.На начальном этапе написания этого документа мы были очень рады найти только 50% клиентов в данной сети, использующих протокол 802. 11n, мы обычно 98-99%, по крайней мере, 802.11n, а 70% — 802.11ac дееспособные клиенты.

Сейчас проще, чем когда-либо, планировать и выполнять требования высокой плотности клиентов и обеспечивать высокое качество обслуживания (QOE). Ключ к этому — планирование, в зависимости от ваших требований его может быть немного или много.Но делая выбор, который поддерживает на каком-то этапе требуется намеченная цель сети. Нам нужно понять, как сеть будет использоваться для улучшения технологические и ресурсные решения. Но что, если в требовании подробно описывается новая услуга, предлагаемая в сети, на самом деле никто не знает, как и для чего в конечном итоге будет использоваться сеть. К счастью, у нас есть некоторый опыт в этой области, и мы предложим наш опыт ниже в отношении размеров и ожидаемых результатов, а также соображений дизайна. Хотя отрасль добилась больших успехов стремительно продвигает Wi-Fi в целом, призрак флешмоба появляется там, где вы не ожидаете и, что еще хуже, не иметь развернутую инфраструктуру, чтобы некоторые сетевые администраторы не спали по ночам. Сегодня все еще верно, что если вы не строили для этого, вы не можете его предоставить. Но даже здесь — новая надежда. Такие инновации, как AP4800 / 3800/2800, могут избавьтесь от этого беспокойства и максимально увеличьте свои вложения.Гибкая радиоархитектура может определять повышенный спрос и автоматически перенастроить себя, чтобы по запросу удвоить емкость еще одной ячейки 5 ГГц в том же пространстве с тем же Ethernet порт (через FRA-Client Select). Довольно круто. Он также может делать много других интересных вещей, мы подробно обсудим это в варианты использования впереди.

Со времени первого выпуска этого документа накопилось много историй успеха. Кажется почти рутиной иметь мероприятие, на котором пользователи 5K сидят с плотностью 1 пользователь / метр с Wi-Fi, который доставляет мультимедийные приложения с высокой скоростью QOE. Некоторые примеры высокой плотности клиентов включают мероприятия CiscoLive по всему миру (4 раза в год), проводимые в некоторых из самые суровые условия для Wi-Fi и обеспечение высокого качества обслуживания на каждом мероприятии по всему миру. Бесчисленные университеты, стадионы и корпоративные офисы полагаются на нее ежедневно.Полностью беспроводной офис теперь также регулярно доставляется. Текущая технология доказала свою надежность в самых разных условиях, будь то корпоративный учебный зал на 100 мест или 4 м кв. футов / 370 тыс. м² Конференц-центр, куда заезжают на вечеринку 100 тыс. самых близких друзей. Планирование и методы становятся более сложными пропорционально, конечно, по мере роста масштабов задачи.

Хотя эти рекомендации были разработаны на основе накопленного опыта принципы дизайна применимы на нескольких небольших и крупных мероприятиях к любой среде с высокой плотностью клиентов.Некоторые из наиболее распространенных высоких клиентов сценариями плотности являются классы, конференц-залы, лекционные залы и другие места. что пользователи, вероятно, соберутся в большом количестве для совместной работы.

Понимание основных проблем и обучение проектированию и настройке система их управляемого преодоления приведет к успеху. Изготовление Решения на основе данных — вот о чем весь этот документ.Максимальное увеличение полоса пропускания на квадратный фут — это то, что стремление Cisco к совершенству только возможно, но управляемо и масштабируемо.

В этом руководстве мы рассмотрим 3 различных варианта использования с общими сценарии и решения разного масштаба. В то время как каждое место и другая комната могут представлять уникальные проблемы, есть решения, которые можно применить в практически любая вертикаль, содержащаяся ниже.Обсудим, в чем проблема, в чем планировать (мы многому научились на собственном горьком опыте) и как правильно определять Это. Цель этой статьи — предоставить вам, инженеру, информация, необходимая для принятия обоснованных решений относительно дизайна и реализация, которая приведет к воспроизводимым, масштабируемым результатам.

Безопасность Wi-Fi, Защищенный доступ Wi-Fi, Конфиденциальность, эквивалентная проводной сети

Введение

Очевидное различие между проводной сетевой системой и беспроводной сетевой системой состоит в том, что провода физически ограничить доступ к среде передачи, в то время как беспроводная среда доступна для всех, кто может находиться в пределах досягаемости сигнала.По этой причине важно обеспечить достаточную защиту беспроводной среды. чтобы дать уверенность в том, что беспроводная связь достаточно безопасна и конфиденциальна, чтобы ею можно было серьезно пользоваться. Это вызов безопасности Wireless Fidelity.

Как и в случае с любой другой сетевой безопасностью, важно не только зашифровать (скрыть) данные, но и гарантировать, что данные не нарушалась (целостность) и что пользователь был авторизован для получения данных. Ниже приводится описание механизмов, которые были введены для защиты сети Wi-Fi.Через некоторое время эти методы стали более сложными и эффективными.

Для решения проблемы безопасности, т.е. предотвращения несанкционированного доступа к данным, передаваемым с помощью радиоволн, ряд технологии появились, и они подробно описаны в порядке сложности.

Идентификатор набора услуг (SSID)

Первая из этих технологий называется идентификатором набора услуг (SSID) .SSID — это базовый дескриптор именования. и представляет собой сетевое имя, состоящее из 32 символов ASCII, для набора устройств в беспроводной подсистеме. SSID логически сегментирует беспроводную локальную сеть и SSID должен использоваться совместно клиентом и точкой доступа. SSID не должен содержать пробелов или необычных символов. По умолчанию SSID транслируется точкой доступа, но его можно отключить.

Проблема с SSID в том, что он небезопасен, даже если он не транслируется точкой доступа.Это потому что клиент может видеть SSID в заголовке кадра маяка, выданного точкой доступа. К тому же, если у клиента не настроен SSID, т.е. пустая строка, то он будет ассоциироваться с AP независимо от того, какие SSID использует AP.

Другая проблема с методом SSID заключается в том, что аутентификация не является взаимной, то есть клиент не аутентифицируется. AP, чтобы мошенническая точка доступа могла вместо этого передавать тот же SSID, а клиент подключился к мошеннику.

Точка доступа может фильтровать клиентов на основе MAC-адреса клиентского адаптера Wi-Fi. Тогда это ограничивает, каким клиентам разрешено связываться с AP. Однако это обеспечивает только базовый уровень безопасности, поскольку решительный хакер может анализировать трафик Wi-Fi и подделать допустимый MAC-адрес чтобы получить доступ. Кроме того, фильтрация MAC-адресов по-прежнему не обеспечивает взаимной аутентификации.

Wired Equivalent Privacy (WEP)

Определение ключей может происходить одним из двух способов:

• Использование до четырех ключей по умолчанию. Эти ключи по умолчанию изучаются всеми устройствами в подсистеме, и они используют их. ключи, чтобы безопасно разговаривать друг с другом. Проблема здесь в том, что чем больше устройств, тем более известными становятся ключи по умолчанию и, следовательно, сеть становится менее безопасной.
• Использование одноадресного сопоставления ключей, так что ключ используется только двумя любыми станциями.Это более безопасно, но более проблематично в распространении этих одноадресных ключей.

Аутентификация клиента может происходить двумя способами: методом открытого ключа или методом общего ключа . Какой бы метод ни использовался, он должен быть одинаковым для всей подсистемы, то есть устройств и AP.

Открытая аутентификация

Это механизм по умолчанию, который позволяет всему процессу аутентификации происходить открыто. открытым текстом, чтобы любой клиент мог подключиться к точке доступа, даже если ключ не был настроен или клиент предоставляет неверный ключ.Последовательность событий проиллюстрирована ниже:

В ответе на зонд клиент выбирает точку доступа с лучшим сигналом (в среде Cisco учетная запись также снята с нагрузки на АП). Поскольку с помощью ключа шифруется только полезная нагрузка данных, неправильный ключ просто означает, что расшифровка невозможна. Клиент все еще связывается с точкой доступа, однако данные не будут читаться.

Аутентификация общего ключа

AP отправляет клиенту пакет текста запроса.Клиент должен ответить текстом зашифровано правильным ключом WEP. Некоторые системы требуют, чтобы при ответе использовался MAC-адрес, чтобы MAC-адрес клиента должен совпадать с тем, который был ранее введен в таблицу ассоциации AP.

Бойницы безопасности с WEP

Человек посередине

Основная проблема с аутентификацией с общим ключом — это незашифрованный текст запроса.A Человек посередине атака могла наблюдать как незашифрованный текст, так и зашифрованный текст и, таким образом, узнать шифр.

Активная атака может выполняться, когда поток известных пакетов, таких как эхо-запросы или воспроизведение известного потока трафика вводится в сеть к устройству Wi-Fi, где снова производится захват.Такие атаки могут быть IV Атаки с воспроизведением , Атаки по словарю (с активными попытками входа) или Атаки с переворотом битов . См. Атаку ниже топология.

Эта топология может использоваться для выполнения атаки с переворотом битов. Для проверки целостности сообщения Wi-Fi используется значение проверки целостности (ICV) , которое основано на CRC32, 32-битном циклический контроль избыточности, который может быть нарушен переключением битов.Хакер перехватывает WEP-шифрованный пакет, изменяет пакет и затем повторно передает его. Пакет принимается сетью Wi-Fi на уровне 2. но он отклоняется устройством LAN, которое отправляет ответ, который можно предсказать. Ключ может быть получен из комбинации количества этих ответов и измененных пакетов.

Односторонняя аутентификация

Другая проблема заключается в том, что аутентификация является только односторонней, т.е. AP аутентифицирует клиента, клиент не имеет возможности узнать, связан ли он с правильной точкой доступа.

Статические ключи WEP

Нет возможности динамически генерировать ключи что является серьезной проблемой, потому что с базовой аутентификацией WEP с открытым или общим ключом ключи WEP легко взламываются и / или MAC-адрес легко подделать, поскольку ключ привязан к клиентскому устройству, а не к пользователю. Потому как ключ находится на клиентском компьютере, он может находиться в доступной части, такой как приложение или память. Смена ключей WEP вручную неуправляема в большой сети, к тому же отсутствуют функции учета или интеграции. с существующими базами данных аутентификации, такими как LDAP или RADIUS.

Защищенный доступ Wi-Fi (WPA)

Проблема с WEP в том, что ключ статический и является общим. Ключ может не только стать известен ряду пользователей, теперь его также можно относительно легко взломать с помощью «Man-in-the-Middle» и программного обеспечения такой инструмент, как AirSnort . Были внесены улучшения для решения этих проблем. Сначала была Cisco со следующими улучшениями:

• Cisco Temporal Key Integrity Protocol (CKIP) — хеширование ключей для каждого пакета для защиты от Вектор инициализации (IV) атак
• Cisco Message Integrity Check (CMIC) — для защиты от повторных атак или атак типа «человек посередине»
• Ротация широковещательного ключа, чтобы широковещательный ключ изменялся и уменьшал шанс его получения

Затем был представлен WPA для обеспечения некоторой стандартизации, в то время как 802.11 комитет инициировал более постоянный решение вопросов безопасности. WPA был основан на проекте 3 стандарта 802.11i. Дополнительные преимущества WPA заключаются в следующем:

• Парный переходный ключ (PTK) — новый сеансовый ключ выдается пользователю каждый раз, когда пользователь подключается к сети, т.е. за сеанс
• Authenticated Key Management — сначала аутентифицируется пользователь, а затем генерируется парного главного ключа (PMK) на клиенте и сервере.Парный мастер-ключ используется для генерации ключей, используемых для зашифровать сеанс. В качестве PMK
можно использовать либо 802.1X, либо предварительный общий ключ (PSK) .
• Управление ключами одноадресной и широковещательной передачи
• Вектор инициализации (IV) увеличен с 24 до 48 бит, так что вероятность повторного использования вектора (коллизия) сведена к минимуму
• Миграция — сосуществование пользователей WEP разрешено, хотя при использовании WPA механизм общего ключа WEP выключен, используется только открытая аутентификация.
• Temporal Key Integrity Protocol (TKIP) — иерархия ключей и система управления, в которой ключи генерируются для каждого пакета, сеанса и пользователя, плюс есть Проверка целостности сообщения (MIC)

И решение Cisco, и WPA позволяют использовать существующее оборудование, требуя только обновления прошивки или программного обеспечения. Это связано с тем, что существующее шифрование RC4 WEP все еще использовалось, новые функции были разработаны для защиты WEP keys, методы шифрования, использованные для генерации ключей, остались неизменными.

1. Клиент связывается с AP, однако в дополнение к обычным требованиям ассоциации 802.11 и клиент, и точка доступа ДОЛЖНЫ согласовать возможности безопасности. SSID в зонде маяка указывает требуемый тип аутентификации, клиент выбирает SSID и набор шифров, который идет с SSID.
2. Клиент вводит свои учетные данные, например логин и пароль
3. Через 802.1X и метод EAP следующая последовательность шагов включает взаимную аутентификацию клиента и сервера RADIUS. через AP следующим образом:
   • Сервер отправляет запрос клиенту.
   • Клиент выполняет хеширование пароля.
   • Клиент отправляет этот хешированный пароль на RADIUS в своем ответе.
   • Сервер RADIUS выполняет хеширование пароля для этого клиента в своей пользовательской базе данных.
   • Сервер RADIUS сравнивает два хешированных значения и аутентифицирует клиента, если два значения совпадают.
   • Затем процесс повторяется в обратном порядке, чтобы клиент мог аутентифицировать сервер RADIUS, который он должен использовать.
   • После аутентификации через 802.1X сервер отправляет клиенту мастер-ключ (MK)
4. Затем каждый из RADIUS-сервера и клиента независимо создает индивидуальный для клиента 256-битный Парный главный ключ (PMK) от Мастер Ключа.Если 802.1X не используется, то этот PMK вместо этого получается из 64 шестнадцатеричного предварительного общего ключа (PSK). Это , перемещенный через атрибут протокола RADIUS, к AP сервером RADIUS и использует метод Диффи-Хеллмана (см. Шифрование для дополнительной информации).
5. Теперь начинается знаменитое четырехстороннее рукопожатие WPA между клиентом и точкой доступа:
   • AP создает Nonce (номер используется ОДИН РАЗ) или случайное число и отправляет его клиенту
   • Клиент генерирует одноразовый номер или случайное число и Парный переходный ключ (PTK) генерируется из PMK.Случайные числа клиента и точки доступа, а также их MAC-адреса. передаются в псевдослучайную функцию для создания PTK. PTK используется для аутентификации ключа шифрования. и уникальный PTK является одноадресным для каждого клиента. Клиент отправляет свой собственный одноразовый номер, информацию о PTK и MIC на AP
   • Точка доступа снова отправляет одноразовый номер с созданным ею PTK и информацией о ключе MIC. Если это тот же PTK, что и тот производится клиентом, тогда это подтверждает клиента.
   • Клиент отправляет информацию о ключе MIC и PTK на AP для проверки, 4-стороннее рукопожатие завершено, потому что было доказано, что клиент и AP используют одну и ту же ключевую информацию PTK и PMK, и они являются тем, кем они себя называют. Кроме того, клиент и AP согласовали PTK, который может использоваться для дальнейшего генерирования ключей.
6. Все беспроводные устройства, связанные с точкой доступа, должны иметь возможность дешифровать широковещательный и многоадресный трафик.Они делают поэтому с тем же переходным ключом группы (GTK) . Если AP изменяет GTK, например, потому что он был скомпрометирован, AP выдает сменный ключ с использованием двустороннего рукопожатия с KEK, зашифровывающим GTK. Двустороннее рукопожатие группового ключа работает следующим образом:
   • AP использует случайное число или PTK для генерации главного ключа группы (GMK) . Групповое случайное число генерируется и используется вместе с MAC-адресом точки доступа для создания переходного ключа группы (GTK) .Затем GTK шифруется с помощью ключа шифрования EAPOL-Key (KEK) и широковещательно (или многоадресно) вместе с ключом MIC к клиентам
   • Клиент расшифровывает GTK и отправляет сообщение, чтобы сказать, что он это сделал, плюс MIC

PTK WPA2 состоит из трех типов ключей. К этим ключевым типам относятся следующие:

• Ключ подтверждения ключа (KCK) — используется для проверки целостности кадра EAPOL-Key (используется в MIC)
• Key Encryption Key (KEK) — шифрует GTK
• Temporal Keys (TK) — безопасный трафик данных

Все беспроводные устройства, связанные с точкой доступа, должны иметь возможность расшифровывать широковещательный и многоадресный трафик.Они делают так что с тем же групповым ключом или GTK. Если AP изменяет GTK, например, потому что он был скомпрометирован, AP выдает замена ключа с помощью более простого двустороннего рукопожатия с KEK, зашифровывающим GTK.

Поскольку весь этот процесс аутентификации клиента на сервере RADIUS может занять сотни миллисекунд (если не секунд), когда устройство перемещается от одной точки доступа к другой, это неприемлемо для телефонов Wi-Fi или потоковых приложений на ноутбуки.Таким образом, большинство корпоративных беспроводных продуктов имеют функции 802.11i, которые помогают минимизировать задержку в роуминге — предварительная проверка подлинности. и кеширование PMK.

Предварительная аутентификация позволяет мобильному клиенту аутентифицироваться с другими AP поблизости, оставаясь связанными со своим первичный AP. При кэшировании PMK клиенту в роуминге не нужно полностью повторять аутентификацию по 802.1X, когда он возвращается «домой».

Протокол целостности временного ключа (TKIP)

TKIP использует существующее оборудование WEP, которое запускает шифрование RC4 и стремится защитить сгенерированные ключи, которые уязвимы. е.г. от атак Weak-IV. TKIP по сути является оболочкой для WEP и работает для каждого пакета. См. Ниже диаграмму, показывающую микширование TKIP. процесс:

Проверка целостности сообщения (MIC)

Алгоритм хеширования Michael MD5 используется для выполнения проверки целостности сообщения, чтобы уменьшить Атаки «человек посередине». MIC проверяет, что каждый пакет не был скомпрометирован и находится в исходном состоянии.На следующей схеме показано, как работает MIC:

MIC не является сильным алгоритмом, поэтому в WPA были приняты некоторые меры для минимизации любого воздействия что может иметь хакер. MIC имеет уровень безопасности 20 бит, что означает, что хакеру нужно 219 попыток. до того, как был создан поддельный пакет. Точка доступа, обнаружившая два сбоя микрофона в течение 30 секунд, будет отсоединить всех клиентов в течение 60 секунд, и точка доступа не позволяет любому клиенту, использующему TKIP, связать в течение 60 секунд.

802.11i

Комитет 802.11i был создан для решения проблем безопасности, присущих исходному стандарту 802.11. реализации. Стандарт 802.11i был ратифицирован в июне 2004 года. Стандарт 802.11i охватывает следующее:

• Центральное управление
• Использование 802.1X (корпоративный режим) или Pre-shared Key (PSK) (персональный режим) для Wi-Fi
• Использование Extensible Authentication Protocol (EAP)
• Использование CCMP AES вместо RC4 для шифрования, TKIP все еще возможен.AES требует оборудования замена микросхемы в радиосхеме от более старых микросхем RC4
• Более надежные учетные данные для аутентификации на основе пользователя, а не устройства
• Ключи шифрования, используемые для каждого сеанса, что позволяет перейти от статических ключей к динамическим.
• Возможность обновления ключей шифрования путем установки тайм-аута сеанса RADIUS. Это можно использовать ограничить пользователя Wi-Fi определенными временными рамками для доступа
• Взаимная аутентификация клиента и сервера / AP
Точки доступа
• должны рекламировать возможности безопасности в маяке. E.г. поддерживается одноадресная, многоадресная передача и типы аутентификации.

Wi-Fi Alliance взял эти элементы 802.11i и создал WPA версии 2 . WPA2 был создан для обратно совместим с WPA.