Интеллектуальное распределение wi fi клиентов: Интеллектуальное распределение WiFi клиентов | Роутеры (маршрутизаторы) | Блог

Содержание

Интеллектуальное распределение WiFi клиентов | Роутеры (маршрутизаторы) | Блог

В конце прошлого года компания D-Link объявила о новом функционале своих маршрутизаторов — интеллектуальном распределении беспроводных клиентов. Функционал этот призван улучшить работу в беспроводных сетях, состоящих из нескольких точек доступа. В пресс-релизе компании говорится следующее: «В основе нового функционала заложена возможность своевременного переподключения беспроводного устройства до наступления ухудшения качества связи. Сеть маршрутизаторов D-Link, оснащенных технологией интеллектуального распределения беспроводных клиентов, самостоятельно отслеживает и принимает решение об отключении клиентов с пороговым уровнем сигнала, после чего такие клиенты автоматически подключаются к точке доступа с более высоким качеством беспроводного сигнала и соответственно на более высокой скорости соединения».

В настоящее время эта фича поддерживается в целом ряде роутеров Д-Линк, в том числе в DIR-825/AC/G1. Вот на его примере и рассмотрим настройку этой новой разработки.

Настраивать DIR-825 будем через web-интерфейс. Адрес по умолчанию: 192.168.0.1

При первом подключении к устройству необходимо задать пароль. И он не может совпадать с логином admin (в предыдущих версиях прошивки по умолчанию использовалось сочетание логин/пароль admin/admin).

Не будем использовать мастер и перейдем сразу к расширенным настройкам.

Нас интересует раздел «Настройка Wi-Fi».

Основные настройки для частотных диапазонов 2.4 и 5 ГГц оставим пока без изменений.

В разделе «Роуминг» включим интересующую нас функцию «Интеллектуальное распределение WiFi-клиентов».

Если точки доступа в нашей сети будут находиться в разных IP-подсетях, то нужно включить использование мультикаста для обмена служебной информацией. Иначе будет использоваться широковещание, а его могут получать только устройства, находящиеся в одной подсети.

Мы мультикаст использовать в этом тесте не будем.

Но что означают параметры, значения которых – 60, 50, 15 и 7890?

60 (секунд) – это максимальный период времени, в течение которого маршрутизатор (точка доступа) хранит информацию об уровне сигнала беспроводного клиента.

50 (процентов) – минимальный уровень качества соединения. Пороговое значение уровня сигнала, при котором маршрутизатор (точка доступа) начинает опрос других маршрутизаторов (точке доступа).

15 (процентов) – «мёртвая зона». Если уровень сигнала, обеспечиваемый текущей точкой доступа (маршрутизатором), больше суммарного значения полей «минимальный уровень качества соединения» и «мёртвая зона» (50+15=65), то беспроводной клиент отключается от текущей точки доступа (маршрутизатора) и подключается к другой точке доступа.

При значениях по умолчанию мы получим, что при падении уровня качества соединения до 50% точка доступа начнет опрос соседей – кто видит этого клиента и с каким уровнем сигнала. Переподключение клиента произойдет, если другая точка доступа (маршрутизатор) видит этого клиента с уровнем сигнала 65% и выше.

7890 – это номер udp-порта, который точки доступа используют для обмена информацией о клиентах.

На скриншотах приведены значения по умолчанию. Их можно изменять, тем самым производя более тонкую настройку под конкретные условия.

Второй DIR-825 настроим в режим точки доступа.

Этот режим настраивается через мастер настройки.

Меняем IP-адрес интерфейса локальной сети с 192.168.0.1 на другой из той же сети, например – на 192.168.0.5

Далее настраиваем беспроводную сеть. Ее настройки (имя сети SSID и пароль) должны быть такими же, как на первом маршрутизаторе.

Вот и всё – настройки для использования функционала интеллектуального распределения беспроводных клиентов сделаны. Можем расставлять маршрутизатор и точки доступа по офису, дому или квартире и свободно перемещаться, всегда подключаясь к точке доступа с максимальным сигналом. Только не забываем, что наши маршрутизаторы и точки доступа должны быть соединены друг с другом проводной сетью.

Рекомендованное D-Link количество устройств при использовании интеллектуального распределения беспроводных клиентов – до 8 устройств в одной IP-подсети и до 16 устройств, если они находятся в разных IP-подсетях.

D-Link DIR-853

USB-порт

Маршрутизатор оснащен USB-портом для подключения USB-модема, при помощи которого Вы сможете оперативно подключаться к сети Интернет. Кроме того, Вы можете подключить к USB-порту маршрутизатора USB-накопитель, который будет использоваться в качестве сетевого диска, или принтер.

Для эффективного использования многофункционального USB-порта реализована возможность одновременной2 работы с несколькими USB-устройствами. Например, Вы можете получать доступ к мультимедийному контенту с подключенного HDD-накопителя и в то же время совместно использовать USB-принтер3.

Преобразование LAN/WAN2, резервное WAN-соединение

Вы можете использовать любой Ethernet-порт маршрутизатора в качестве LAN- или WAN-порта. Новое поколение ПО поддерживает возможность назначения нескольких WAN-портов, например, для настройки основного и резервного WAN-соединения от разных провайдеров. Кроме того, возможно резервирование доступа к Интернету с использованием 3G/4G-модема.

 

Беспроводной интерфейс

Используя беспроводной маршрутизатор DIR-853, Вы сможете быстро организовать высокоскоростную беспроводную сеть дома и в офисе, предоставив доступ к сети Интернет компьютерам и мобильным устройствам практически в любой точке (в зоне действия беспроводной сети). Одновременная работа в диапазонах 2,4 ГГц и 5 ГГц позволяет использовать беспроводную сеть для широкого круга задач. Маршрутизатор может выполнять функции базовой станции для подключения к беспроводной сети устройств, работающих по стандартам 802. 11a, 802.11b, 802.11g, 802.11n и 802.11ac (со скоростью беспроводного соединения до 1300 Мбит/с)

1 .

 

 

Безопасное беспроводное соединение

В маршрутизаторе реализовано множество функций для беспроводного интерфейса. Устройство поддерживает несколько стандартов безопасности (WEP, WPA/WPA2), фильтрацию подключаемых устройств по MAC-адресу, а также позволяет использовать технологии WPS и WMM.

 

 

Кроме того, устройство оборудовано кнопкой для выключения/включения Wi-Fi-сети. В случае необходимости, например, уезжая из дома, Вы можете выключить беспроводную сеть маршрутизатора одним нажатием на кнопку, при этом устройства, подключенные к LAN-портам маршрутизатора, останутся в сети.

 

Расширенные возможности беспроводной сети

Функция Super MESH2 – реализация Mesh-сетей от D-Link, предназначенная для быстрого объединения большого количества устройств в единую транспортную сеть, например, в случаях когда требуется обеспечить качественное покрытие Wi-Fi без «мертвых зон» в условиях сложных планировок современных квартир, коттеджей или необходимо создать крупную временную Wi-Fi-сеть при организации выездных мероприятий.

Технология Multi-user MIMO позволяет распределить ресурсы маршрутизатора для эффективного использования Wi-Fi-сети несколькими беспроводными клиентами, сохраняя высокую скорость для потоковой передачи мультимедиа в высоком качестве, игр без задержек и быстрой передачи больших файлов.

Использование технологии Transmit Beamforming позволяет динамически менять диаграмму направленности антенн и перераспределять сигнал точно в сторону беспроводных устройств, подключенных к маршрутизатору.

Функция интеллектуального распределения Wi-Fi-клиентов будет полезна для сетей, состоящих из нескольких точек доступа или маршрутизаторов D-Link – настроив работу функции на каждом из них, Вы обеспечите подключение клиента к точке доступа (маршрутизатору) с максимальным уровнем сигнала.

Возможность настройки гостевой Wi-Fi-сети позволит Вам создать отдельную беспроводную сеть с индивидуальными настройками безопасности и ограничением максимальной скорости. Устройства гостевой сети смогут подключиться к Интернету, но будут изолированы от устройств и ресурсов локальной сети маршрутизатора.

Безопасность

Беспроводной маршрутизатор DIR-853 оснащен встроенным межсетевым экраном. Расширенные функции безопасности позволяют минимизировать последствия действий хакеров и предотвращают вторжения в Вашу сеть и доступ к нежелательным сайтам для пользователей Вашей локальной сети.

Поддержка протокола SSH2 повышает безопасность при удаленной настройке маршрутизатора и управлении им за счет шифрования всего передаваемого трафика, включая пароли.

Кроме того, маршрутизатор поддерживает протокол IPsec и позволяет организовывать безопасные VPN-туннели. Поддержка протокола IKEv22 позволяет обеспечить упрощенную схему обмена сообщениями и использовать механизм асимметричной аутентификации при настройке IPsec-туннеля.

Встроенный сервис Яндекс.DNS обеспечивает защиту от вредоносных и мошеннических сайтов, а также позволяет ограничить доступ детей к «взрослым» материалам.

Маршрутизатор также поддерживает работу с сервисом контентной фильтрации SkyDNS, который предлагает больше настроек и возможностей для организации безопасной работы в Интернете как для домашних пользователей всех возрастных категорий, так и для профессиональной деятельности сотрудников офисов и предприятий.

Также в маршрутизаторе реализована функция расписания для применения правил MAC-фильтров и перезагрузки маршрутизатора в указанное время или через заданные интервалы времени

2.

 

Простая настройка и обновление

Для настройки беспроводного маршрутизатора DIR-853 используется простой и удобный встроенный web-интерфейс (доступен на двух языках – русском и английском).

Мастер настройки позволяет быстро перевести DIR-853 в режим маршрутизатора (для подключения к проводному или беспроводному провайдеру), точки доступа, повторителя или клиента и задать все необходимые настройки для работы в выбранном режиме за несколько простых шагов.

Также DIR-853 поддерживает настройку и управление с помощью мобильного приложения для устройств под управлением ОС Android и iOS.

Вы легко можете обновить встроенное ПО – маршрутизатор сам находит проверенную версию ПО на сервере обновлений D-Link и уведомляет пользователя о готовности установить его.

Wi-Fi позиционирование «дешево и сердито». О частоте замеров или возможно ли Wi-Fi позиционирование в реальном времени?

Это третья, пока заключительная статья из серии Wi-Fi позиционирования «дешево и сердито»: когда не используются специализированные клиентские устройства и специализированная инфраструктура, а используются только общедоступные персональные устройства (смартфоны, планшеты, ноутбуки) и обычная инфраструктура Wi-Fi.

В первых двух статьях я делал основной акцент на точности и достоверности позиционирования, не касаясь вопроса частоты замеров. Если Клиент находится в статическом положении, частота замеров не имеет критичного значения, а если Клиент движется, то частота замеров начинает играть существенную роль.

Отправной точкой при расчёте частоты замеров является такая характеристика как характерная скорость движения Клиентов. Для человека это 5км/ч или 1.5 м/с. Для обеспечения позиционирования в реальном времени промежуток времени между двумя замерами не должен превышать удвоенную точность позиционирования, что позволяет строить достаточно точные для практических целей траектории движения.

Точность классического позиционирования по тестам, проведенным в предыдущей статье, составляла порядка пяти метров с достоверностью 90%. В этом случае частота замеров должна быть не менее 6,6с (либо 13,3 секунды для точности 10 метров). Теперь осталось выяснить, какова реальная частота замеров и соответствует ли она заявленной точности позиционирования.

Для тестов используется смартфон на Android 4.4.4 и ноутбук с Windows 7.

Что ж, цель ясна, средства понятны, приступим!

В специализированных системах позиционирования частотой замеров можно управлять на уровне работы драйверов беспроводного адаптера и программного обеспечения, регулируя интервалы передачи информации, тем самым подстраиваясь под характерную скорость клиента и точность позиционирования.

С персональными Wi-Fi устройствами (смартфоны, планшеты, ноутбуки) дело обстоит иначе: мы можем работать только с тем, что определено в стандартах IEEE 802.11-2012, драйверами производителя, настройками операционной системы.

Частота замеров, а что это?


Точки доступа (ТД) используют для позиционирования уровень сигнала (RSSI) Wi-Fi клиента (Клиент). Назову наличие на ТД одного измеренного уровня сигнала Клиента Замером.

Для решения задачи позиционирования необходимо иметь как минимум по одному Замеру с трех точек доступа. Чтобы не было путаницы, буду называть такой набор Сэмплом.

А сложно ли получить Сэмпл?


Точки доступа, Замеры которых формируют Сэмпл в общем случае работают на трех разных каналах, допустим, первый, шестой и 11-й (это связано с работой стандартов IEEE 802.11).

В соответствии со стандартами IEEE 802.11, Wi-Fi адаптер может находиться в одном из трех состояниях:

— передача (Tx)
— приём (Rx)
— мониторинг (CCA — Clear Channel Assessment)

Если ТД не передаёт и не принимает, она находится в режиме мониторинга своего канала (в частности для оценки виртуальной (CCA-CS, Carrier Sense) и физической (CCA-ED, Energy Detect) занятости канала).
Если Клиент находится в зоне уверенного приёма одной точки доступа, то он передаёт и принимает на одном канале. Возвращаясь к тому, из чего формируется Сэмпл, возникает вопрос, каким образом сформируется Сэмпл, если Клиент работает только в одном канале, а Замеры должны быть на трех разных каналах?

Современные точки доступа небольшую часть времени тратят на мониторинг смежных каналов, но так как основной задачей точек доступа остаётся обслуживание клиентов, а мониторинг всех каналов происходит последовательно, то время нахождения на смежном канале очень мало. К примеру, в инфраструктуре Cisco точка доступа обходит все каналы за 16 секунд. В этом случае вероятность «поймать» Замер клиента на смежном канале невелика. Поэтому этот способ мы отметаем.

Для мониторинга смежных каналов производители часто применяют дополнительное радио. К таким технологиям относится Cisco FastLocation. Модуль мониторинга перебирает все возможные каналы, но находится на каждом канале заметно дольше. Но опять же, эта роскошь по условиям задачи нам не доступна. Более детально технологии Cisco FastLocation я собираюсь посвятить отдельную статью.

Откуда все-таки тогда берется Сэмпл?!


В беспроводной среде есть огромное количество процессов, которые протекают незаметно для пользователя. Есть три типа пакетов (Data, Control, Management) и как минимум 39 типов фреймов, и есть всего один фрейм (и один режим работы беспроводного клиента), который позволяет решить поставленную задачу.

Это режим активного сканирования (active scanning), когда Клиент активно (посылая пакеты Probe Request) сканирует все доступные каналы на предмет наличия подходящей беспроводной сети. Probe Request, как фрейм управления (management frame), посылается на максимальной мощности и на самой низкой скорости передачи. Именно этот режим позволяет точкам доступа, работающим на других каналах, получить Замер с Клиента и сформировать Сэмпл.

Зачем Клиент посылает эти запросы?

Есть как минимум два режима работы, когда используется сканирование:

1. При выборе клиентом подходящей точки доступа, для подключения к беспроводной сети
2. При выборе клиентом подходящей точки доступа во время перехода с точки на точку (во время роуминга)

Клиенту доступно два механизма сканирования радиосреды:

— пассивное сканирование (passive scanning)
— активное сканирование (active scanning)

В первом случае беспроводной клиент слушает beacon пакеты (посылаемые каждые 102,4мс. по умолчанию), во втором – посылает probe request и дожидается probe response.

Очевидно, что это вопрос выбора между скоростью сканирования и затрачиваемой на это энергией (самый затратный режим работы беспроводного клиента – это передача).

Пассивное сканирование


Допустим, мы производим сканирование в диапазоне 2.4ГГц в России, где разрешено 13-ть каналов. Приёмник беспроводного клиента должен находиться, очевидно, не менее 102.4мс (стандартный интервал между beacon пакетами) в режиме мониторинга на каждом канале. Полный цикл сканирования занимает в районе 1. 4с.

Активное сканирование


Клиент посылает запрос в канал (Probe Request). Точки доступа, работающие на этом канале и услышавшие запрос, отвечают на него информацией о имеющихся беспроводных сегментах (SSID).

Запрос может быть направленный (содержащий определенный SSID) — directed probe request, в этом случае ТД должна ответить информацией только об этом SSID (если он на ней есть).

Запрос может быть всенаправленный (Null Probe Request), в этом случае ТД, услышавшая данный пакет, должна предоставить информацию о всех настроенных SSID.

Клиент посылает Probe Request на первом канале и запускает ProbeTimer. Величина ProbeTimer не стандартизована и в зависимости от реализации драйверов сетевого адаптера может отличаться, но в общем случае она составляет 10мс. В течении этого времени беспроводной клиент обрабатывает ответы (Probe Response от ТД). Далее переходит на следующий канал и так по всем каналам. После чего решает, к какой ТД подключиться.

Полный цикл сканирования в этом случае занимает порядка 130мс, что примерно на порядок меньше пассивного сканирования.

Каждый производитель самостоятельно выбирает тип сканирования и условия его применения. Так же в самой операционной системе может быть опции, позволяющие выбрать определенный режим.

Какую частоту сканирования по Probe Request можно ожидать?


С моей точки зрения после подключения к SSID и находясь в зоне уверенного приёма одной точки доступа, Клиент не должен посылать Probe Request вообще.

Производитель Cisco говорит, что интервал передачи может быть в пределах от 10 секунд до 5 минут, в зависимости от типа Клиента, ОС, драйверов, батареи, активности клиента (http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-0/CMX_FastLocate_DG/b_CMX-FastLocate-DG.html).

Получается, что теория несколько противоречит практике, поэтому тут необходимы тесты.

Измерение частоты посылки Probe Request


Сначала тестам подвергся ноутбук в статическом положении, подключенный к сети, режим максимального потребления. На одном профиле у меня были отметки «подключаться автоматически» и «подключаться, даже если сеть не ведет вещание своего имени (SSID).

Результат показал, что система примерно раз в минуту посылает на все каналы всенаправленный Probe request независимо ни от чего.


То есть система, находясь в статическом положении, в зоне уверенного приёма одной ТД, всё равно каждую минуту отправляет на все каналы Probe request (на каждый запрос все точки доступа посылают probe response, что формирует немалый траффик). В режиме Maximum Battery Life ноутбук показал тот же результат.
Так же видно, что каждый раз Клиент посылает не один запрос, а сразу несколько, с совсем небольшим временным промежутком.

Есть ли корреляция между частотой посылки Probe Request и частотой замеров Cisco CMX


Количество Probe Request и количество Сэмплов на Cisco CMX совпала. Причем по логам видно, что раз в минуту приходит несколько Замеров (как показывает и анализатор), но CMX, очевидно, объединяет такие запросы (и правильно делает), так как счетчик каждую минуту увеличивался на один. Выглядело это примерно так:
TIMESTAMP :Fri Aug 26 10:43:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:43:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:43:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:43:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:43:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:43:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:44:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:44:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:44:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:44:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:44:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:45:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:45:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:45:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:45:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:45:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:46:14 MSK 2016
TIMESTAMP :Fri Aug 26 10:46:14 MSK 2016
TIMESTAMP :Fri Aug 26 10:46:14 MSK 2016
TIMESTAMP :Fri Aug 26 10:46:14 MSK 2016
TIMESTAMP :Fri Aug 26 10:46:14 MSK 2016
TIMESTAMP :Fri Aug 26 10:47:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:47:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:47:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:47:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:47:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:48:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:48:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:48:12 MSK 2016
TIMESTAMP :Fri Aug 26 10:48:12 MSK 2016

Частота замеров в движении


В движении периодичность изменилась и появилась связь с моментом роуминга. Как показал анализатор, действительно, перед моментом роуминга ноутбук слал Probe Request на все каналы, то есть выполнял процедуру активного сканирования.

Тут возникает интересный эффект: чем быстрее двигается человек, тем чаще происходит роуминг. Но, к сожалению, роуминг происходит несколько реже, чем каждые 10 метров (удвоенная точность). Клиент держится «до последнего» за точку доступа и только в последний момент переключается на новую. В результате роуминг происходил не менее, чем каждые 15-20 метров, что примерно в два раза больше требуемого, в результате мы имеем не очень достоверную траекторию движения (см. предыдущую статью).

Далее я проводил тесты со смартфоном на базе Android 4.4.4. У смартфона есть два режима работы: активный и спящий. В спящем режиме есть несколько вариантов работы. Для тестов я использовал самый шумный режим «Never».

Результаты оказались следующими.

Если смартфон лежал на месте, и я им не пользовался, задержки составляли порядка 500-600 секунд. Даже в период активного серфинга задержки составляли порядка 100 секунд. Более частое обновление получалось за счет просмотра беспроводных сетей (в этот момент посылались запросы.

В движении результаты получились аналогичны ноутбуку, то есть прослеживалась прямая связь между посылкой пакетов и роумингом.

Основные выводы


1. В классическом Wi-Fi позиционировании замеры производятся по пакетам Probe Request

2. На персональных устройствах (ноутбуках, планшетах, смартфонах) частота посылки Probe Request зависит от большого количество факторов: типа устройства, ОС, типа драйверов и их настройки, состоянии батареи, активности клиента и может составлять от 5 секунд до 10 минут. Но!

3. Есть прямая связь между скоростью передвижения клиента (частотой роуминга) и частотой посылки Probe Request. Если клиент находится в статическом положении, то частота замеров небольшая (но она и не нужна большая!). А в случае движения начинают формироваться Probe Request по событию роуминга. Но!

4. Частота посылки Probe Request по событию роуминга недостаточна (больше, чем удвоенная точность позиционирования) и при равномерном движении может составлять 10-15 секунд (а требуется как минимум 5-10 секунд), что приводит к ухудшению точности позиционирования в движении не меньше чем в два раза.

НА что следует обратить внимание


Многие производители стараются оптимизировать работу своих устройств для увеличения времени работы устройства и первым претендентом на оптимизацию является режим «активного сканирования». Это приводит в том числе к тому, что такие устройства как iPhone и Android тоже, стали достаточно редко использовать этот режим работы, но в случае роуминга еще не отошли от использования Probe Request.

На помощь производителям, к сожалению, так же приходит протокол IEEE 802.11k, который вошел в новую версию стандарта 802.11-2012. Этот стандарт берет на себя как раз ту функцию, которую сейчас выполняет активное сканирование при роуминге.

Из-за активной работы производителей в сторону уменьшения энергопотребления и внедрения стандарта 802.11k вряд ли можно ожидать на этом направлении улучшений.

Остаётся вариант использования для замеров пакетов данных (Data frame). В этом случае мы логично приходим к рассмотрению технологии Cisco FastLocaton в следующей статье.

P.S. Ниже небольшое отступление про активные Wi-Fi метки, про которые, если удастся с ними поработать, будет отдельная статья.

В случае применения активных Wi-Fi меток мы можем настроить их работу, как нам необходимо. Программное обеспечение настраивается таким образом, что метка постоянно находится в спящем режиме, просыпается с определенной периодичностью для посылки Probe Request на все каналы, после чего засыпает. С помощью такого режима работы можно добиться необходимой частоты обновления и необходимой продолжительности автономной работы.

Вот пример активной метки, которая просыпается каждые 90 секунд для посылки Probe Request, работает от двух АА-батареек порядка 27 дней.

P.P.S. Небольшое добавление. Поддержка протокола 802.11k может как ухудшить, так и улучшить Wi-Fi позиционирование. Пока ничего более конкретно сказать не могу, так как тема не изучена, постараюсь освятить в дальнейшем.

D-Link представил ПО для маршрутизаторов с интеллектуальным распределением клиентов

, Текст: Владимир Бахур

D-Link объявил о выпуске программного обеспечения для маршрутизаторов с поддержкой технологии интеллектуального распределения беспроводных клиентов. Как рассказали CNews в компании, эта функциональность улучшает качество обслуживания клиентов беспроводных сетей, построенных на базе маршрутизаторов D-Link, позволяя клиентам автоматически подключаться к маршрутизатору, обеспечивающему наиболее высокое качество беспроводного сигнала. Это особенно востребовано при организации беспроводных сетей в современных квартирах и коттеджах со сложной планировкой, офисных помещениях и мини-отелях в условиях постоянно растущей загруженности эфира.

В обычных беспроводных сетях решение о смене подключения принимается клиентом, действующим в соответствии с заложенными производителем алгоритмами роуминга. Большинство клиентских устройств при перемещении до последнего «цепляются» за первоначально выбранную удаленную точку доступа и не переключаются на другое устройство, даже если оно предлагает более высокий уровень беспроводного сигнала.

В основе нового функционала заложена возможность своевременного переподключения беспроводного устройства до наступления ухудшения качества связи. Сеть маршрутизаторов D-Link, оснащенных технологией интеллектуального распределения беспроводных клиентов, самостоятельно отслеживает и принимает решение об отключении клиентов с пороговым уровнем сигнала, после чего такие клиенты автоматически подключаются к точке доступа с более высоким качеством беспроводного сигнала и соответственно на более высокой скорости соединения. На практике это означает стабильное покрытие Wi-Fi с возможностью управления роумингом клиентов, максимально доступную скорость подключения в любой точке помещения для каждого из них, увеличение общей пропускной способности сети, в том числе за счет отсутствия клиентов с низким уровнем сигнала, что особенно важно для чувствительных к задержкам и потерям приложений реального времени, включая видеоконференции и потоковое видео.

В настоящее время поддержка интеллектуального распределения Wi-Fi клиентов реализована в 16 моделях маршрутизаторов D-Link, таких как DIR-300A: начиная с версии ПО 3.0.0, DIR-615A: начиная с версии ПО 2.5.14, DIR-615/A: начиная с версии ПО 2.5.28, DIR-615S: начиная с версии ПО 2.5.8, DIR-615/GF: начиная с версии ПО 2.5.9 (заводская версия), DIR-620A: начиная с версии ПО 2.5.3, DIR-620/A: начиная с версии ПО 2.5.18, DIR-620/GA: начиная с версии ПО 2.5.9, DIR-651/A/A: начиная с версии ПО 2.5.7, DIR-651/A/B: начиная с версии ПО 2.5.12, DIR-815/AC: начиная с версии ПО 2.5.0 (заводская версия), DIR-815/A: начиная с версии ПО 2.5.25, DIR-822: начиная с версии ПО 2.5.3 (заводская версия), DIR-825/A: начиная с версии ПО 2.5.38, DIR-825/AC/E: начиная с версии ПО 2.5.35 и DIR-825/AC/G: начиная с версии ПО 2.5.2 (заводская версия). Далее перечень будет постоянно расширяться.

Чем российскому бизнесу помогут выделенные LTE/5G-сети

Растущий спрос на цифровизацию и автоматизацию производственных процессов сформировал потребность в закрытых выделенных сетях. Пока что речь идет о стандарте LTE, но и применение 5G тоже не за горами. О том, почему компании решаются на «изоляцию» внутренних сетей от публичных, и что это может принести в перспективе, в своей статье для CNews рассказал Георгий Джабиев, директор департамента продаж цифровых решений МТС.

Появление сетей беспроводной связи private LTE/5G — явление в России новое, поэтому название для них еще не устоялось. Такие сети иногда для простоты называют «приватными» или «частными», что не совсем верно. Есть более точное определение — «выделенная LTE/5G-сеть предприятия». Их архитектура такова, что они создаются в пределах одной организации без присоединения к сетям общего пользования. При этом все элементы экосистемы (от ядра сети и центров управления ИТ-системами до оконечных устройств — всевозможных датчиков и абонентских терминалов) находятся в едином закрытом контуре. В этом — главное отличие private-сетей от обычных сетей общего пользования.

В чем преимущество выделенных, закрытых LTE/5G-сетей? Во-первых, ввиду своей изолированности от публичных сетей, они защищены от внешнего влияния и проникновения. Это гарантирует целостность инфраструктуры предприятия, безопасность всех элементов ИТ-системы, ее стабильность и высокую производительность.

Второй важный момент: private-сети дают возможность полной интеграции с ранее установленными элементами ИТ-инфраструктуры компании. Например, технологической радиосвязи, корпоративной телефонии, систем видеонаблюдения, мониторинга производственных процессов, центров обработки данных, автоматизированных систем управления. Все это дает гибкость и широкие возможности для модернизации и автоматизации производства, повышения его эффективности.

Георгий Джабиев: Ввиду своей изолированности от публичных сетей, закрытые LTE/5G-сети защищены от внешнего влияния и проникновения

Третье преимущество — передача данных с высокими скоростями и минимальными задержками на всей территории предприятия на основе современных и стандартизированных радио-интерфейсов. В private-сетях уже используется стандарт LTE, а сейчас начинает внедряться еще и 5G. Это значит, что владельцам выделенных сетей будет доступен такой же выбор абонентских терминалов, радио-модулей, приемо-передающих устройств, базовых станций, как и в публичных сетях. Надежная сеть радиодоступа позволит отказаться от проводов, идущих к каждому датчику, исполнительному устройству, станку, а также от более дорогих систем радиосвязи стандартов типа TETRA, DMR или APCO, и проприетарных решений на основе Wi-Fi. Тем более что стандарты LTE/5G превосходят Wi-Fi по радиусу покрытия, скорости передачи данных, быстродействию, надежности, безопасности и защищенности от помех.

Сферы применения и перспективы

Сети private LTE сегодня востребованы в промышленном производстве (для автоматизации технологических процессов), горнодобывающей промышленности и топливно-энергетическом комплексе (в датчиках телеметрии), в сфере ЖКХ (для мониторинга и учета), автоперевозках (для обмена данными), здравоохранении (для связи между пациентами и врачами). С развертыванием сетей 5G, а также дальнейшим развитием технологий интернета вещей, искусственного интеллекта, дополненной и виртуальной реальности, в этих сферах станет возможным полностью перейти на автономное или дистанционное управление в режиме реального времени, реализовать предиктивные модели и концепцию цифрового двойника, использовать интеллектуальное оборудование, облачные роботы, беспилотники, применять роботизированную хирургию и т.д. Тогда сети private 5G станут единой инфраструктурной средой и органической основой для промышленного (IIoT) и критического интернета вещей (CIoT).

По оценкам аналитических агентств и вендоров, мировой рынок закрытых выделенных сетей растет стремительными темпами, его объем к 2023 г. составит от $5,7 млрд до $8,3 млрд. Private сети найдут наиболее эффективное и широкое применение в промышленном производстве, горнодобывающей и нефтегазовой отраслях, оборонно-промышленном комплексе и сфере общественной безопасности, на транспорте и в логистике. Основным стимулом строительства таких сетей будет растущий спрос на цифровизацию и автоматизацию различных производственных процессов, а также необходимость в модернизации инфраструктуры связи.

Естественно, что в разных странах и отраслях степень готовности к внедрению новых технологий различна. Но развертывание технологических сетей с интеграцией в них производственных ИТ-систем в любом случае сулит ощутимое снижение издержек и рост эффективности бизнеса. В мире есть множество примеров успешных кейсов. Так, внедрение постоянного мониторинга транспорта в карьерах и в шахтах позволило горнорудной компании Lihir Goldmine в Гвинее уменьшить количество несчастных случаев почти на треть. На заводе Mercedes-Benz в Дании анализ больших данных в режиме реального времени, а также удаленное управление ИВ-инструментами и транспортом через технологическую сеть 5G, уменьшили простои на 20%. На заводе Ericsson в Эстонии использование нескольких десятков тысяч подключенных к сети устройств, автономного транспорта и технологии дополненной реальности для устранения неисправностей, повысило производительность труда на 20%. И таких примеров — масса.

Проекты в России

Группа МТС уже накопила экспертизу в создании и пилотировании первых в России выделенных LTE/5G-сетей. В июне 2019 г. дочерняя компания МТС — системный интегратор «Энвижн Груп» — совместно с группой «Сибур» протестировали первую в России сеть private LTE для сбора, передачи, обработки данных и автоматизации производства. В этом проекте на базе решений Ericsson была развернута сеть экстренной связи, системы для автоматизации бизнес-задач, управления внешними устройствами и политикой предоставления доступа к различным ресурсам предприятия. На примере этого кейса мы убедились, что закрытая технологическая сеть является универсальной технологией связи для проектов Индустрии 4.0.

Группа МТС уже накопила экспертизу в создании и пилотировании первых в России выделенных LTE/5G-сетей

В январе этого года мы совместно с Ericsson провели демонстрацию работы первой в России промышленной технологической сети 5G на заводе «КАМАЗ» в Набережных Челнах. На сети с использованием агрегации частот LTE 2100 МГц и 5G 28 ГГц были развернуты системы видеонаблюдения и групповой связи, защищенный доступ к локальным информационным ресурсам и VR/AR-решение для удаленного обучения персонала. Проект показал возможность отказа от фиксированной связи для управления станками и производственными линиями и создания основы для решений промышленной автоматизации в масштабах крупного предприятия.

Наша экспертиза не ограничивается этими кейсами. Мы ведем работу с другими российскими компаниями по развертыванию сетей private LTE/5G. Их запуск позволит роботизировать производственные процессы и значительно повысить производительность труда. Для реализации проектов выделенных сетей у нас есть опыт сотрудничества с вендорами, собственные ИТ-компетенции и готовые бизнес-решения для клиентов. Кроме того, для создания private 5G-сетей снимаются регуляторные ограничения — в марте этого года Государственная комиссия по радиочастотам (ГКРЧ) выделила полосу шириной 400 МГц в диапазоне 24,25-24,65 ГГц для создания сетей общего пользования и закрытых технологических сетей пятого поколения. На днях Роскомнадзор на основании этого решения ГКРЧ предоставил нашей компании первую в России лицензию на оказание услуг мобильной связи стандарта 5G/IMT-2020 в 83 субъектах страны.


Роутер в режиме клиента — настройка режима WiFi Client на D-Link

Всем привет! Сегодня мы будем разбирать вопрос по настройке роутера в режиме клиента. Как можно понять из названия, при этом маршрутизатор будет сам подключаться к другой Wi-Fi. Очень часто это стало требоваться в селах и деревнях – куда Ростелеком совсем недавно начал заводить интернет. При этом в центре поселка ставится большая WiFi вышка, к которой уже может подключиться каждый пользователь.

Проблема в том, что «Режим клиента» по разному называется в роутерах. Но мы в статье более подробно рассмотрим именно D-Link DIR-300, у которого есть только один подобный режим. Да, режим есть один, но на самом деле подключиться к беспроводной сетке можно несколькими способами.

«Режим моста» кстати подключается и настраивается на роутерах D-Link аналогично – поэтому если вы ищите именно его – то эта статья вам поможет. При включении режима повторителя – нужно будет сделать ещё пару настроек, о которых я расскажу в самом конце.

ПРИМЕЧАНИЕ! Статья написана на примере двух основных прошивок. Если у вас DD-WRT прошивка, то вы можете посмотреть основную схему настроек и делать по аналогии.

ПОМОЩЬ СПЕЦИАЛИСТА! Если же у вас будут какие-то вопросы или дополнения – пишите в комментариях.

Подключение к роутеру DIR-300 и вход в Web-интерфейс

Для того чтобы вообще что-то изменить в настройках – нужно зайти в Web-интерфейс. Для этого нужно сначала подключиться к сети аппарата. Я для этого буду использовать прямое подключение по кабелю, просто подключившись к свободному локальному LAN порту. Самое главное не перепутайте LAN порт с «Internet» входом, который обычно один и выделается среди других цветом или надписью.

Но подключиться можно также и с помощью Wi-Fi. Стандартный пароль (PIN) будет находиться на этикетке под корпусом. Если же вы уже ранее его настраивали, то подключитесь – как обычно к своей беспроводной сетки.

После подключения открываем браузер и вписываем один из адресов:

  • 192.168.0.1
  • dlinkrouter.local
  • 192.168.1.1 (редко используется)

Далее нужно будет ввести пароль и логин. Чаще всего достаточно будет ввести в обе строки «admin». Эта информация также находится на бумажке роутера. Если у вас есть сложности со входом в настройки – идём сюда.

Классическая прошивка

  1. Слева открываем раздел «Wi-Fi» и далее кликаем по «Клиенту»;
  2. Включаем режим, а также вещание беспроводной сети;
  3. Чуть ниже уже будут отображаться все вай-фай поблизости. Если нужной сети нет, нажмите на кнопку «Поиск сетей»;
  4. Далее просто нажимаем по нужной;
  5. Ниже останется ввести только пароль;
  6. Нажимаем «Применить»;

  1. Теперь переходим в «Сеть» – «WAN». Удалите все лишние подключения. В самом конце нажмите «Добавить»;

  1. Тип соединения выставляем как «Динамический IP», а вот «Интерфейс» указываем как «WiFi Client». Нажимаем «Применить»;
  2. В конце можно перезагрузить маршрутизатор.

Новая прошивка ДИР-300

  1. В «Расширенных настройках» в разделе «Wi-Fi» пролистайте в право, чтобы найти «Клиент» режим и нажать по нему;

  1. Далее ничего сложно и всё аналогично, как и в классической прошивке. Включаем режим, чуть ниже выбираем нужную сетку и вводим ключ от неё;

  1. Теперь, чтобы использовать этот интернет переходим в «WAN»;

  1. Удаляем все подключения и добавляем новое;

  1. Устанавливаем «Динамический IP» и интерфейс в режим «WiFiClient»;
  2. Сохраняем и применяем настройки.
  3. Перезагружаем роутера.

Режим повторителя

Режим репитера у второстепенного маршрутизатора обычно работает так: второй подключается к основному аппарату и просто повторяет туже самую беспроводную сеть. Это достаточно удобно, если у вас большой загородный дом. Тогда, если вы переходя с одного этажа на другой с телефоном, планшетом – то устройство должно автоматом подключиться к второму маршрутизатору.

Так как отдельного режима в настройках нет, то нам нужно для начала настроить режим клиента. Об этом написано в начале этой статьи. А далее достаточно ввести туже самое имя Wi-Fi и пароль – как у основного маршрутизатора.

  1. В разделе «Wi-Fi» в «Основных настройках» нужно поменять имя сети и поставить такое же, как на первом интернет-центре;

  1. А вот для изменения пароля нужно пройти в соседний раздел «Настройки безопасности». Меняем ключ и сохраняем настройки.

Обязательно потом перезапустите роутер. После этого должна отображаться только одна вай-фай и к ней можно будет без проблем подключаться, переходя от одной точки доступа к другой.

Здравоохранение | Wi-Fi Alliance

Откройте для себя Wi-Fi

Wi-Fi ® соединяет провайдеров с пациентами в различных средах

Wi-Fi, уже широко применяемый для традиционных сетей в сфере здравоохранения, способствует повышению гибкости и эффективности клинических услуг в сфере здравоохранения. В ближайшие пять лет в отрасли ожидается рост поставок медицинских устройств, связанных с Интернетом вещей, на 15% 1 .Кроме того, ожидается, что к 2020 году рынок аналитики медицинских данных вырастет до 68 миллиардов долларов 2 , а другие ключевые области роста будут определены как искусственный интеллект (AI), носимые устройства и мобильное здравоохранение (mHealth). Все готово для новой эры подключенного здравоохранения как в больницах, так и за их пределами.

Wi-Fi хорошо подходит для этих динамических сред, потому что это одна из самых надежных и повсеместных беспроводных технологий, предлагающих высокопроизводительное соединение, безопасность WPA3 ™ государственного уровня и поддержку устаревших устройств.Помимо больниц и клинических учреждений, Wi-Fi также предлагает решение для растущего рынка личного здоровья и фитнеса.

Wi-Fi помогает ИТ-менеджерам здравоохранения удовлетворить растущие потребности в подключении, предъявляемые как медицинским персоналом, так и пациентами и их семьями. По мере роста числа устройств Wi-Fi, подключаемых к медицинским сетям, использование оборудования Wi-Fi CERTIFIED ™ помогает обеспечить широкую функциональную совместимость и положительный опыт пользователей.

Непрерывный план развития открывает новые возможности для здравоохранения

Последняя версия Wi-Fi, Wi-Fi CERTIFIED 6, предлагает медицинским учреждениям значительное увеличение покрытия, пропускной способности и эффективности без ущерба для основных характеристик, таких как совместимость, безопасность и простота использования.СЕРТИФИЦИРОВАННЫЕ устройства Wi-Fi имеют обратную совместимость, поэтому новые устройства будут без проблем взаимодействовать с существующими устройствами.

Ключевые особенности Wi-Fi CERTIFIED 6 направлены на то, чтобы сети Wi-Fi могли эффективно обрабатывать плотные среды с сотнями или тысячами устройств, требующих одновременного подключения. Сети Wi-Fi CERTIFIED 6 могут эффективно и действенно обслуживать всех типов пользователей — от гостевых устройств в зале ожидания до небольших устройств мониторинга и обработки изображений с высокой пропускной способностью.

1 ABI Research, 2019
2 Frost & Sullivan, 2019

  • День без Wi-Fi
  • Какие тенденции Wi-Fi ожидаются в 2020 году?
  • Что такое мобильность в медицинском учреждении?

    Mobility используется для описания непрерывного сетевого подключения, предоставляя пользователю в любое время и в любом месте доступ к социальным сетям, клиническим данным или данным бизнес-приложений.Когда клиентские устройства Wi-Fi ® и больничная сеть, к которой они подключаются, должным образом поддерживают мобильность, беспроводное устройство может получить доступ к сети во время движения в любом месте здания, а иногда и за его пределами (например, пешеходные дорожки между зданиями). Чтобы должным образом поддерживать мобильность в больницах, необходимо придерживаться передовых методов проектирования, установки и управления сетью и устройствами Wi-Fi и устройствами.

  • Что такое мобильное устройство Wi-Fi и чем оно отличается от немобильного устройства Wi-Fi?

    Под мобильными устройствами понимаются устройства, которые используются конечным пользователем, который перемещается по больнице или медицинскому учреждению и требует постоянного подключения.Примерами являются носимые пациентом телеметрические устройства, которые непрерывно контролируют жизненно важные показатели амбулаторного пациента, или смартфон, который обеспечивает врачу, обслуживающему пациента, мгновенный доступ ко всем клиническим системам, необходимым для оказания помощи.

  • Почему клиент Wi-Fi перемещается от одной точки доступа к другой?

    Существует множество причин, по которым клиент будет перемещаться от одной точки доступа к другой, наиболее распространенной из которых является перемещение клиента с границы радиочастоты (RF) одной точки доступа к другой точке доступа.Медицинские учреждения часто очень сложны с точки зрения РЧ-планирования из-за их физической структуры, с длинными коридорами, изолированными палатами для пациентов и экранированными зонами радиологии. Эти физические проблемы могут создавать резкие переходы между зонами покрытия AP и препятствовать быстрому и эффективному роумингу. В связи со строгими требованиями к характеристикам и доступности медицинских устройств большое внимание уделяется созданию устойчивой и надежной сети Wi-Fi.

  • Что такое сканирование вне канала для клиентских устройств Wi-Fi?

    Сканирование вне канала — это когда клиентское устройство Wi-Fi настраивает свое радио на другой канал для поиска доступных точек доступа или сканирует точки доступа на канале, к которому оно не подключено (следовательно, «вне канала»).Клиент сканирует точки доступа вне канала в поисках подходящей точки доступа для подключения на случай, если ему потребуется выполнить роуминг со своей текущей точки доступа, подключенной к каналу.

  • Что такое сканирование вне канала для точек доступа Wi-Fi (AP)?

    Точка доступа (AP) также может выполнять сканирование вне канала. Этот процесс аналогичен сканированию вне канала для клиентских устройств Wi-Fi и по существу позволяет точке доступа настраивать свое радио на другой канал в течение ограниченного времени. Внеканальное сканирование обычно используется как метод обнаружения источников помех, несанкционированных или несанкционированных одноранговых сетей Wi-Fi.Операция выполнения сканирования вне канала сильно зависит от реализации производителя и конфигурации WLAN.

  • Каково влияние на клиентов, когда точки доступа выполняют сканирование вне канала?

    Когда точка доступа выполняет сканирование вне канала, подключенные к ней клиентские устройства не смогут отправлять трафик в сеть. Это может нарушить работу устройств потоковой передачи в реальном времени, которые полагаются на постоянное соединение. Следует соблюдать осторожность при настройке сканирования вне канала.

  • Что такое пассивное и активное сканирование?

    Причиной сканирования клиента является определение подходящей точки доступа, к которой клиенту может потребоваться роуминг сейчас или в будущем. Клиент может использовать два метода сканирования: активный и пассивный. Во время активного сканирования клиентское радио передает пробный запрос и ожидает пробного ответа от точки доступа. При пассивном сканировании клиентское радио прослушивает каждый канал на предмет наличия маяков, периодически отправляемых точкой доступа. Пассивное сканирование обычно занимает больше времени, поскольку клиент должен слушать и ждать маяка, а не активно искать точку доступа.Еще одно ограничение пассивного сканирования заключается в том, что если клиент недостаточно долго ждет на канале, он может пропустить маяк AP.

  • Что такое динамический выбор частоты (DFS)?

    Во многих странах нормативные требования могут ограничивать количество доступных каналов 5 ГГц или накладывать дополнительные ограничения на их использование, поскольку спектр используется совместно с другими технологиями и услугами. Например, в США и других странах некоторые диапазоны нелицензированной национальной информационной инфраструктуры (U-NII) используются радиолокационными системами.Сети Wi-Fi, работающие в этих диапазонах, должны использовать возможности радарного обнаружения и предотвращения столкновения. Стандарт IEEE 802.11h удовлетворяет это требование, добавляя поддержку DFS и управления мощностью передачи (TPC) на каждом канале DFS.

  • Как работает DFS?

    Если точка доступа Wi-Fi обнаруживает радарную систему на канале с включенным DFS, точка доступа должна сообщить связанным клиентским устройствам, что она освобождает канал, на котором обнаружен радар, и новый канал, на который он перемещается.Клиентские устройства должны немедленно освободить канал и должны подключиться к AP на другом канале.

  • Как DFS влияет на мобильность?

    Для диапазонов 5 ГГц, которые включают каналы DFS, клиентам запрещено выполнять активное сканирование, и они должны использовать только пассивное сканирование. Это может увеличить время, необходимое для идентификации и выбора потенциальных целей роуминга. Это увеличение времени сканирования может помешать некоторым клиентам поддерживать активное соединение во время роуминга между точками доступа.

    Когда точка доступа обнаруживает радар, ей выделяется период времени для поиска доступных каналов. Этот период времени может превысить порог подключения приложения и привести к тому, что клиент потеряет подключение, даже если правила DFS строго соблюдались.

    В некоторых средах может быть предпочтительнее ограничить использование РЧ каналов, в которых DFS не требуется. Проконсультируйтесь с национальными правилами, чтобы определить, какие каналы поддерживаются DFS.

  • Как механизмы безопасности влияют на мобильность?

    Отрасль здравоохранения придерживается еще одного уровня требований безопасности, предусмотренных законами, касающимися конфиденциальности и клинической информации пациента (например,г. HIPAA (Закон о переносимости и подотчетности медицинского страхования, PCI (Индустрия платежных карт)). Защита электронной информации о здоровье — важная бизнес-потребность для администраторов больниц. К счастью, Wi-Fi имеет надежные возможности шифрования и аутентификации в форме WPA2 , чтобы помочь ИТ-менеджерам в реализации политик безопасности.

    Основной принцип безопасности в IEEE 802.11 заключается в том, что каждый раз, когда клиент подключается к точке доступа, он должен завершить процесс аутентификации.Два основных используемых типа безопасности — это WPA2-Personal и WPA2-Enterprise, и каждый по-разному влияет на поведение в роуминге, поскольку WPA2-Enterprise требует дополнительных шагов в процессе аутентификации. Когда используется корпоративная версия Wi-Fi Protected Access ® 2, необходимая проверка подлинности при роуминге увеличивает время проверки подлинности или повторной проверки подлинности. Для мобильных устройств это добавленное время может повлиять на производительность клиента потоковой передачи в реальном времени. Для важных клинических приложений, таких как телеметрия, где мобильность является частью клинического использования, используется алгоритм быстрого роуминга, такой как 802.Рекомендуется 11r. Например, когда приложения высокого качества обслуживания (QoS), такие как VoIP, используются в правильно реализованной сети Wi-Fi, сочетание WPA2-Enterprise и методов быстрого роуминга обеспечивает безопасное и надежное соединение. Сертификация Wi-Fi Alliance Voice-Enterprise включает эти важные возможности и является ключевым фактором создания высокопроизводительной корпоративной WLAN.

Руководство по проектированию беспроводной сети с высокой плотностью клиентов

С момента первого выпуска этого документ — в индустрии Wi-Fi произошло много положительных изменений.802.11n повзрослел, а 802.11ac быстро завоевывает рынок. Вместе с достижения в области радиотехники (порядки), созревание смартфоны и планшеты становятся все более предпочтительным методом доступ. Оптимизация приложений и улучшенное оборудование дали результат более быстрое обновление нашей клиентской базы с постоянным улучшением и расширением до дата радио.На начальном этапе написания этого документа мы были очень рады найти только 50% клиентов в данной сети, использующих протокол 802. 11n, мы обычно 98-99%, по крайней мере, 802.11n, а 70% — 802.11ac дееспособные клиенты.

Сейчас проще, чем когда-либо, планировать и выполнять требования высокой плотности клиентов и обеспечивать высокое качество обслуживания (QOE). Ключ к этому — планирование, в зависимости от ваших требований его может быть немного или много.Но делая выбор, который поддерживает на каком-то этапе требуется намеченная цель сети. Нам нужно понять, как сеть будет использоваться для улучшения технологические и ресурсные решения. Но что, если в требовании подробно описывается новая услуга, предлагаемая в сети, на самом деле никто не знает, как и для чего в конечном итоге будет использоваться сеть. К счастью, у нас есть некоторый опыт в этой области, и мы предложим наш опыт ниже в отношении размеров и ожидаемых результатов, а также соображений дизайна. Хотя отрасль добилась больших успехов стремительно продвигает Wi-Fi в целом, призрак флешмоба появляется там, где вы не ожидаете и, что еще хуже, не иметь развернутую инфраструктуру, чтобы некоторые сетевые администраторы не спали по ночам. Сегодня все еще верно, что если вы не строили для этого, вы не можете его предоставить. Но даже здесь — новая надежда. Такие инновации, как AP4800 / 3800/2800, могут избавьтесь от этого беспокойства и максимально увеличьте свои вложения.Гибкая радиоархитектура может определять повышенный спрос и автоматически перенастроить себя, чтобы по запросу удвоить емкость еще одной ячейки 5 ГГц в том же пространстве с тем же Ethernet порт (через FRA-Client Select). Довольно круто. Он также может делать много других интересных вещей, мы подробно обсудим это в варианты использования впереди.

Со времени первого выпуска этого документа накопилось много историй успеха. Кажется почти рутиной иметь мероприятие, на котором пользователи 5K сидят с плотностью 1 пользователь / метр с Wi-Fi, который доставляет мультимедийные приложения с высокой скоростью QOE. Некоторые примеры высокой плотности клиентов включают мероприятия CiscoLive по всему миру (4 раза в год), проводимые в некоторых из самые суровые условия для Wi-Fi и обеспечение высокого качества обслуживания на каждом мероприятии по всему миру. Бесчисленные университеты, стадионы и корпоративные офисы полагаются на нее ежедневно.Полностью беспроводной офис теперь также регулярно доставляется. Текущая технология доказала свою надежность в самых разных условиях, будь то корпоративный учебный зал на 100 мест или 4 м кв. футов / 370 тыс. м² Конференц-центр, куда заезжают на вечеринку 100 тыс. самых близких друзей. Планирование и методы становятся более сложными пропорционально, конечно, по мере роста масштабов задачи.

Хотя эти рекомендации были разработаны на основе накопленного опыта принципы дизайна применимы на нескольких небольших и крупных мероприятиях к любой среде с высокой плотностью клиентов.Некоторые из наиболее распространенных высоких клиентов сценариями плотности являются классы, конференц-залы, лекционные залы и другие места. что пользователи, вероятно, соберутся в большом количестве для совместной работы.

Понимание основных проблем и обучение проектированию и настройке система их управляемого преодоления приведет к успеху. Изготовление Решения на основе данных — вот о чем весь этот документ.Максимальное увеличение полоса пропускания на квадратный фут — это то, что стремление Cisco к совершенству только возможно, но управляемо и масштабируемо.

В этом руководстве мы рассмотрим 3 различных варианта использования с общими сценарии и решения разного масштаба. В то время как каждое место и другая комната могут представлять уникальные проблемы, есть решения, которые можно применить в практически любая вертикаль, содержащаяся ниже.Обсудим, в чем проблема, в чем планировать (мы многому научились на собственном горьком опыте) и как правильно определять Это. Цель этой статьи — предоставить вам, инженеру, информация, необходимая для принятия обоснованных решений относительно дизайна и реализация, которая приведет к воспроизводимым, масштабируемым результатам.

Безопасность Wi-Fi, Защищенный доступ Wi-Fi, Конфиденциальность, эквивалентная проводной сети




Введение

Очевидное различие между проводной сетевой системой и беспроводной сетевой системой состоит в том, что провода физически ограничить доступ к среде передачи, в то время как беспроводная среда доступна для всех, кто может находиться в пределах досягаемости сигнала.По этой причине важно обеспечить достаточную защиту беспроводной среды. чтобы дать уверенность в том, что беспроводная связь достаточно безопасна и конфиденциальна, чтобы ею можно было серьезно пользоваться. Это вызов безопасности Wireless Fidelity.

Как и в случае с любой другой сетевой безопасностью, важно не только зашифровать (скрыть) данные, но и гарантировать, что данные не нарушалась (целостность) и что пользователь был авторизован для получения данных. Ниже приводится описание механизмов, которые были введены для защиты сети Wi-Fi.Через некоторое время эти методы стали более сложными и эффективными.

Для решения проблемы безопасности, т.е. предотвращения несанкционированного доступа к данным, передаваемым с помощью радиоволн, ряд технологии появились, и они подробно описаны в порядке сложности.


Идентификатор набора услуг (SSID)

Первая из этих технологий называется идентификатором набора услуг (SSID) .SSID — это базовый дескриптор именования. и представляет собой сетевое имя, состоящее из 32 символов ASCII, для набора устройств в беспроводной подсистеме. SSID логически сегментирует беспроводную локальную сеть и SSID должен использоваться совместно клиентом и точкой доступа. SSID не должен содержать пробелов или необычных символов. По умолчанию SSID транслируется точкой доступа, но его можно отключить.

Проблема с SSID в том, что он небезопасен, даже если он не транслируется точкой доступа.Это потому что клиент может видеть SSID в заголовке кадра маяка, выданного точкой доступа. К тому же, если у клиента не настроен SSID, т.е. пустая строка, то он будет ассоциироваться с AP независимо от того, какие SSID использует AP.

Другая проблема с методом SSID заключается в том, что аутентификация не является взаимной, то есть клиент не аутентифицируется. AP, чтобы мошенническая точка доступа могла вместо этого передавать тот же SSID, а клиент подключился к мошеннику.

Точка доступа может фильтровать клиентов на основе MAC-адреса клиентского адаптера Wi-Fi. Тогда это ограничивает, каким клиентам разрешено связываться с AP. Однако это обеспечивает только базовый уровень безопасности, поскольку решительный хакер может анализировать трафик Wi-Fi и подделать допустимый MAC-адрес чтобы получить доступ. Кроме того, фильтрация MAC-адресов по-прежнему не обеспечивает взаимной аутентификации.


Wired Equivalent Privacy (WEP)


Следующая из этих технологий — Wired Equivalent Privacy (WEP) , встроенная в 802.11 стандарт. WEP не является обязательным и предназначен для обеспечения уровня целостности соединения, равного уровню целостности кабеля. Шифрование, используемое для WEP, может быть либо 40-битное, либо 104-битное шифрование. Ключ используется в потоковом шифре под названием Rivest Cipher 4 (RC4) . Набор микросхем на основе RSA используется для шифрования и дешифрования. Алгоритм считается симметричным в том смысле, что один и тот же ключ и алгоритм используются как для шифрования, так и для дешифрования. Для объединения Wireless Ethernet Compatibility Alliance (WECA) , чтобы дать системе сертификат Wi-Fi , необходимо было использовать как минимум 40-битный уровень шифрования для WEP, и это было определено в 802.11. WECA теперь стало Wi-Fi Alliance. В RC4 к началу каждого ключа добавляется вектор инициализации (IV) . Этот вектор имеет длину 24 бита, следовательно, вы часто можно увидеть, что длины ключей WEP называются 64-битными и 128-битными. Вектор инициализации — это блок битов, который необходим для запуска потока или блочного шифра. различные режимы потоковой передачи для создания уникального потока, независимого от других потоков, создаваемых тем же ключ шифрования.Это без необходимости повторной смены ключей.

Определение ключей может происходить одним из двух способов:

  • Использование до четырех ключей по умолчанию. Эти ключи по умолчанию изучаются всеми устройствами в подсистеме, и они используют их. ключи, чтобы безопасно разговаривать друг с другом. Проблема здесь в том, что чем больше устройств, тем более известными становятся ключи по умолчанию и, следовательно, сеть становится менее безопасной.
  • Использование одноадресного сопоставления ключей, так что ключ используется только двумя любыми станциями.Это более безопасно, но более проблематично в распространении этих одноадресных ключей.

Аутентификация клиента может происходить двумя способами: методом открытого ключа или методом общего ключа . Какой бы метод ни использовался, он должен быть одинаковым для всей подсистемы, то есть устройств и AP.


Открытая аутентификация

Это механизм по умолчанию, который позволяет всему процессу аутентификации происходить открыто. открытым текстом, чтобы любой клиент мог подключиться к точке доступа, даже если ключ не был настроен или клиент предоставляет неверный ключ.Последовательность событий проиллюстрирована ниже:


В ответе на зонд клиент выбирает точку доступа с лучшим сигналом (в среде Cisco учетная запись также снята с нагрузки на АП). Поскольку с помощью ключа шифруется только полезная нагрузка данных, неправильный ключ просто означает, что расшифровка невозможна. Клиент все еще связывается с точкой доступа, однако данные не будут читаться.


Аутентификация общего ключа

AP отправляет клиенту пакет текста запроса.Клиент должен ответить текстом зашифровано правильным ключом WEP. Некоторые системы требуют, чтобы при ответе использовался MAC-адрес, чтобы MAC-адрес клиента должен совпадать с тем, который был ранее введен в таблицу ассоциации AP.



Бойницы безопасности с WEP


Человек посередине

Основная проблема с аутентификацией с общим ключом — это незашифрованный текст запроса.A Человек посередине атака могла наблюдать как незашифрованный текст, так и зашифрованный текст и, таким образом, узнать шифр.


Одним из примеров такой атаки является Fluhrer, Mantin and Shamir (FMS) Weak IV Attack где, поскольку IV изменяется в каждом пакете с использованием алгоритма планирования ключей (KSA) и поскольку RC4 иногда может генерировать легко взломанный IV (т.е. слабый) из шифра потока RC4, то статический ключ WEP может быть взломан в пределах миллиона пакетов с помощью статистического анализа.Это можно сделать, просто перехватив трафик Wi-Fi. и анализируя его в автономном режиме с помощью такого инструмента, как Aircrack или Airsnort. Такая атака известна как пассивная атака . Атака по словарю также может быть выполнена на пассивный захват с использованием предварительно рассчитанного словаря вероятных слов и ответов и проработки каждого возможность, пока не будет найдено совпадение.

Активная атака может выполняться, когда поток известных пакетов, таких как эхо-запросы или воспроизведение известного потока трафика вводится в сеть к устройству Wi-Fi, где снова производится захват.Такие атаки могут быть IV Атаки с воспроизведением , Атаки по словарю (с активными попытками входа) или Атаки с переворотом битов . См. Атаку ниже топология.


Эта топология может использоваться для выполнения атаки с переворотом битов. Для проверки целостности сообщения Wi-Fi используется значение проверки целостности (ICV) , которое основано на CRC32, 32-битном циклический контроль избыточности, который может быть нарушен переключением битов.Хакер перехватывает WEP-шифрованный пакет, изменяет пакет и затем повторно передает его. Пакет принимается сетью Wi-Fi на уровне 2. но он отклоняется устройством LAN, которое отправляет ответ, который можно предсказать. Ключ может быть получен из комбинации количества этих ответов и измененных пакетов.


Односторонняя аутентификация

Другая проблема заключается в том, что аутентификация является только односторонней, т.е. AP аутентифицирует клиента, клиент не имеет возможности узнать, связан ли он с правильной точкой доступа.


Статические ключи WEP

Нет возможности динамически генерировать ключи что является серьезной проблемой, потому что с базовой аутентификацией WEP с открытым или общим ключом ключи WEP легко взламываются и / или MAC-адрес легко подделать, поскольку ключ привязан к клиентскому устройству, а не к пользователю. Потому как ключ находится на клиентском компьютере, он может находиться в доступной части, такой как приложение или память. Смена ключей WEP вручную неуправляема в большой сети, к тому же отсутствуют функции учета или интеграции. с существующими базами данных аутентификации, такими как LDAP или RADIUS.


Защищенный доступ Wi-Fi (WPA)

Проблема с WEP в том, что ключ статический и является общим. Ключ может не только стать известен ряду пользователей, теперь его также можно относительно легко взломать с помощью «Man-in-the-Middle» и программного обеспечения такой инструмент, как AirSnort . Были внесены улучшения для решения этих проблем. Сначала была Cisco со следующими улучшениями:

  • Cisco Temporal Key Integrity Protocol (CKIP) — хеширование ключей для каждого пакета для защиты от Вектор инициализации (IV) атак
  • Cisco Message Integrity Check (CMIC) — для защиты от повторных атак или атак типа «человек посередине»
  • Ротация широковещательного ключа, чтобы широковещательный ключ изменялся и уменьшал шанс его получения

Затем был представлен WPA для обеспечения некоторой стандартизации, в то время как 802.11 комитет инициировал более постоянный решение вопросов безопасности. WPA был основан на проекте 3 стандарта 802.11i. Дополнительные преимущества WPA заключаются в следующем:

  • Парный переходный ключ (PTK) — новый сеансовый ключ выдается пользователю каждый раз, когда пользователь подключается к сети, т.е. за сеанс
  • Authenticated Key Management — сначала аутентифицируется пользователь, а затем генерируется парного главного ключа (PMK) на клиенте и сервере.Парный мастер-ключ используется для генерации ключей, используемых для зашифровать сеанс. В качестве PMK
  • можно использовать либо 802.1X, либо предварительный общий ключ (PSK) .
  • Управление ключами одноадресной и широковещательной передачи
  • Вектор инициализации (IV) увеличен с 24 до 48 бит, так что вероятность повторного использования вектора (коллизия) сведена к минимуму
  • Миграция — сосуществование пользователей WEP разрешено, хотя при использовании WPA механизм общего ключа WEP выключен, используется только открытая аутентификация.
  • Temporal Key Integrity Protocol (TKIP) — иерархия ключей и система управления, в которой ключи генерируются для каждого пакета, сеанса и пользователя, плюс есть Проверка целостности сообщения (MIC)

И решение Cisco, и WPA позволяют использовать существующее оборудование, требуя только обновления прошивки или программного обеспечения. Это связано с тем, что существующее шифрование RC4 WEP все еще использовалось, новые функции были разработаны для защиты WEP keys, методы шифрования, использованные для генерации ключей, остались неизменными.


Возможно, стоит ознакомиться с 802.1X, перейдя по ссылке на 802.1X. Для WPA с использованием EAP и RADIUS общая последовательность событий выполняется следующим образом для клиента Wi-Fi, получающего доступ. в сеть через точку доступа:
  1. Клиент связывается с AP, однако в дополнение к обычным требованиям ассоциации 802.11 и клиент, и точка доступа ДОЛЖНЫ согласовать возможности безопасности. SSID в зонде маяка указывает требуемый тип аутентификации, клиент выбирает SSID и набор шифров, который идет с SSID.
  2. Клиент вводит свои учетные данные, например логин и пароль
  3. Через 802.1X и метод EAP следующая последовательность шагов включает взаимную аутентификацию клиента и сервера RADIUS. через AP следующим образом:
    • Сервер отправляет запрос клиенту.
    • Клиент выполняет хеширование пароля.
    • Клиент отправляет этот хешированный пароль на RADIUS в своем ответе.
    • Сервер RADIUS выполняет хеширование пароля для этого клиента в своей пользовательской базе данных.
    • Сервер RADIUS сравнивает два хешированных значения и аутентифицирует клиента, если два значения совпадают.
    • Затем процесс повторяется в обратном порядке, чтобы клиент мог аутентифицировать сервер RADIUS, который он должен использовать.
    • После аутентификации через 802.1X сервер отправляет клиенту мастер-ключ (MK)
  4. Затем каждый из RADIUS-сервера и клиента независимо создает индивидуальный для клиента 256-битный Парный главный ключ (PMK) от Мастер Ключа.Если 802.1X не используется, то этот PMK вместо этого получается из 64 шестнадцатеричного предварительного общего ключа (PSK). Это , перемещенный через атрибут протокола RADIUS, к AP сервером RADIUS и использует метод Диффи-Хеллмана (см. Шифрование для дополнительной информации).
  5. Теперь начинается знаменитое четырехстороннее рукопожатие WPA между клиентом и точкой доступа:
    • AP создает Nonce (номер используется ОДИН РАЗ) или случайное число и отправляет его клиенту
    • Клиент генерирует одноразовый номер или случайное число и Парный переходный ключ (PTK) генерируется из PMK.Случайные числа клиента и точки доступа, а также их MAC-адреса. передаются в псевдослучайную функцию для создания PTK. PTK используется для аутентификации ключа шифрования. и уникальный PTK является одноадресным для каждого клиента. Клиент отправляет свой собственный одноразовый номер, информацию о PTK и MIC на AP
    • Точка доступа снова отправляет одноразовый номер с созданным ею PTK и информацией о ключе MIC. Если это тот же PTK, что и тот производится клиентом, тогда это подтверждает клиента.
    • Клиент отправляет информацию о ключе MIC и PTK на AP для проверки, 4-стороннее рукопожатие завершено, потому что было доказано, что клиент и AP используют одну и ту же ключевую информацию PTK и PMK, и они являются тем, кем они себя называют. Кроме того, клиент и AP согласовали PTK, который может использоваться для дальнейшего генерирования ключей.
  6. Все беспроводные устройства, связанные с точкой доступа, должны иметь возможность дешифровать широковещательный и многоадресный трафик.Они делают поэтому с тем же переходным ключом группы (GTK) . Если AP изменяет GTK, например, потому что он был скомпрометирован, AP выдает сменный ключ с использованием двустороннего рукопожатия с KEK, зашифровывающим GTK. Двустороннее рукопожатие группового ключа работает следующим образом:
    • AP использует случайное число или PTK для генерации главного ключа группы (GMK) . Групповое случайное число генерируется и используется вместе с MAC-адресом точки доступа для создания переходного ключа группы (GTK) .Затем GTK шифруется с помощью ключа шифрования EAPOL-Key (KEK) и широковещательно (или многоадресно) вместе с ключом MIC к клиентам
    • Клиент расшифровывает GTK и отправляет сообщение, чтобы сказать, что он это сделал, плюс MIC

PTK WPA2 состоит из трех типов ключей. К этим ключевым типам относятся следующие:

  • Ключ подтверждения ключа (KCK) — используется для проверки целостности кадра EAPOL-Key (используется в MIC)
  • Key Encryption Key (KEK) — шифрует GTK
  • Temporal Keys (TK) — безопасный трафик данных

Все беспроводные устройства, связанные с точкой доступа, должны иметь возможность расшифровывать широковещательный и многоадресный трафик.Они делают так что с тем же групповым ключом или GTK. Если AP изменяет GTK, например, потому что он был скомпрометирован, AP выдает замена ключа с помощью более простого двустороннего рукопожатия с KEK, зашифровывающим GTK.

Поскольку весь этот процесс аутентификации клиента на сервере RADIUS может занять сотни миллисекунд (если не секунд), когда устройство перемещается от одной точки доступа к другой, это неприемлемо для телефонов Wi-Fi или потоковых приложений на ноутбуки.Таким образом, большинство корпоративных беспроводных продуктов имеют функции 802.11i, которые помогают минимизировать задержку в роуминге — предварительная проверка подлинности. и кеширование PMK.

Предварительная аутентификация позволяет мобильному клиенту аутентифицироваться с другими AP поблизости, оставаясь связанными со своим первичный AP. При кэшировании PMK клиенту в роуминге не нужно полностью повторять аутентификацию по 802.1X, когда он возвращается «домой».


Протокол целостности временного ключа (TKIP)

TKIP использует существующее оборудование WEP, которое запускает шифрование RC4 и стремится защитить сгенерированные ключи, которые уязвимы. е.г. от атак Weak-IV. TKIP по сути является оболочкой для WEP и работает для каждого пакета. См. Ниже диаграмму, показывающую микширование TKIP. процесс:



Проверка целостности сообщения (MIC)

Алгоритм хеширования Michael MD5 используется для выполнения проверки целостности сообщения, чтобы уменьшить Атаки «человек посередине». MIC проверяет, что каждый пакет не был скомпрометирован и находится в исходном состоянии.На следующей схеме показано, как работает MIC:


MIC не является сильным алгоритмом, поэтому в WPA были приняты некоторые меры для минимизации любого воздействия что может иметь хакер. MIC имеет уровень безопасности 20 бит, что означает, что хакеру нужно 219 попыток. до того, как был создан поддельный пакет. Точка доступа, обнаружившая два сбоя микрофона в течение 30 секунд, будет отсоединить всех клиентов в течение 60 секунд, и точка доступа не позволяет любому клиенту, использующему TKIP, связать в течение 60 секунд.


802.11i

Комитет 802.11i был создан для решения проблем безопасности, присущих исходному стандарту 802.11. реализации. Стандарт 802.11i был ратифицирован в июне 2004 года. Стандарт 802.11i охватывает следующее:

  • Центральное управление
  • Использование 802.1X (корпоративный режим) или Pre-shared Key (PSK) (персональный режим) для Wi-Fi
  • Использование Extensible Authentication Protocol (EAP)
  • Использование CCMP AES вместо RC4 для шифрования, TKIP все еще возможен.AES требует оборудования замена микросхемы в радиосхеме от более старых микросхем RC4
  • Более надежные учетные данные для аутентификации на основе пользователя, а не устройства
  • Ключи шифрования, используемые для каждого сеанса, что позволяет перейти от статических ключей к динамическим.
  • Возможность обновления ключей шифрования путем установки тайм-аута сеанса RADIUS. Это можно использовать ограничить пользователя Wi-Fi определенными временными рамками для доступа
  • Взаимная аутентификация клиента и сервера / AP
  • Точки доступа
  • должны рекламировать возможности безопасности в маяке. E.г. поддерживается одноадресная, многоадресная передача и типы аутентификации.

Wi-Fi Alliance взял эти элементы 802.11i и создал WPA версии 2 . WPA2 был создан для обратно совместим с WPA.


Вместо использования RC4 (для WEP) для аппаратного шифрования используется форма Advanced Encryption Standard (AES) . Тип используемого AES называется AES Counter Mode with Cipher Block Chaining Message Authentication Code. (CBC-MAC) , иначе известный как AES-CCMP (см. RFC 2610).Между прочим, Национальный институт стандартов и технологий США (NIST) , который хотел известный бесплатный алгоритм, выбрал алгоритм Rijndael для использования в AES. Хотя используются векторы инициализации, IV увеличивается на один бит после того, как каждый блок был зашифрован. так что каждый поток шифрования уникален. Кроме того, каждый пакет проверяется с использованием длины кадра, пункта назначения. адрес, адрес источника и данные для проверки на целостность.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *