Курсовая работа / Методичка 2019 (из неё можно копировать текст)
.pdfзапрос, где вместо имени пользователя и пароля указан MAC-адрес устрой- ства. Сервер аутентификации сравнивает полученный от аутентификатора MAC-адрес со своей базой данных и принимает решение.
Следует отметить две фазы установления отношений MAB. Сначала аутентификатор пытается получить от клиента EAPoL фрейм, думая, что он поддерживает клиент 802.1x. После неудачной попытки, от клиента прихо- дит пакет с данными, и, если бы MAB таблица была не настроена на аутен- тификаторе, пакет бы просто отбросили. В нашем случае аутентификатор находит совпадение в MAB таблице и запускает процесс аутентификации, зная, что этот клиент не способен аутентифицироваться через 802.1x.
Рисунок 2. Аутентификация МФУ.
МФУ должен обладать доступом в сеть, указать тип подключения и существующие интерфейсы для подключения. МФУ должен быть офисного типа, т.е. выдерживать нагрузку печати офиса. Указать нагрузку печати, ка- чество печати. Тоже самое для функций сканирования и копирования.
4.10. Аутентификация пользователей
Аутентификация пользователей должна проводиться с использованием стандарта 802.1Х. Основным механизмом аутентификации являются серти- фикаты, подписанные корпоративным удостоверяющим центром на базе Windows Server 2016. Необходимо определить с помощью какого сервера будет реализовываться авторизация и на каких устройствах; как будет реа- лизована интеграция сервера авторизации и Windows Active Directory. Же- лательно – привести пример настроек для авторизации пользователей по 802.1x на применяемом или эквивалентном оборудовании.
802.1X — стандарт, описывающий процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), систе-
21
мами, проверяющими подлинность (коммутаторами, точками беспроводно- го доступа), и серверами проверки подлинности (RADIUS, ISE). Стандарт 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к ком- мутатору или точке беспроводного доступа. Сервер аутентификации прове- ряет каждый компьютер перед тем, как тот сможет воспользоваться серви- сами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL (Extensible Authentication Protocol Over LAN) и только после успешной ау-
тентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE 802.1X.
Состояние порта в этом случае остается помеченным как неавторизо- ванное. Если клиент успешно проходит проверку, то порт переходит в авто- ризованное состояние. Аутентификация начинается, когда на порту уста- навливается физическое соединение или, когда получен кадр EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транс- лировать кадры аутентификации между клиентом и сервером аутентифика- ции. Если клиент успешно аутентифицировался (был принят с сервера спе- циальный кадр — accept frame), порт коммутатора переходит в авторизован- ное состояние. Если нет — порт остаётся в неавторизованном состоянии, но попытка аутентификации может быть повторена. Если сервер недоступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответаот сервера через определённый отрезок времени — аутентификация не проходит. При отключении клиент посылает кадр EAPOL-logoff, что пе- реводит порт в неавторизованное состояние.
4.11. Покрытие сетью Wi– Fi. Пример расчета дизайна беспровод- ной сети
Все здания должны иметь полное покрытие сетью IEEE 802.11ac. Необходимо произвести расчет для трех вариантов трафика, с учетом
Location Based сервисов. Расчет для Multicast провести для точек 3600, а также для любых, выбранных вами точек. Провести экономическую оценку всех предложенных вариантов с учетом стоимости СКС и контроллера. Па- раметр устройств на человека выбрать согласно таблице 1..
На «отлично» необходимо выполнить проверку произведенных расче-
тов в программном обеспечении для планирования беспроводных сетей и сделать выводы о сравнении результатов покрытия.
Стандарт 802.11ас работает на частоте более 5 ГГц, что является проти- воречивым решением, так как, с одной стороны, на частотах более 5 ГГц
22
происходит худшее распространение на большие расстояние и худшее оги- бание препятствий (по сравнению с 2,4 ГГц), а, с другой стороны, основная часть существующих беспроводных сетей (802.11a\b\g\n), Bluetooth, DECT и микроволновые печи работают в диапазоне 2,4 ГГц, в связи с чем данный диапазон перегружен. В новом стандарте используются каналы в 80 МГц, что позволяет в 2 раза увеличить пропускную способность по сравнению с предыдущим стандартом 802.11n (с максимальной шириной канала в 40 МГц). Также увеличилось максимальное количество пространственных по- токов (spatial streams), которые также увеличивают полосу пропускания
(рис. 5).
Рисунок 3. Стандарт 802.11ac
Существует 4 концепции беспроводной сети:
∙DataOnly
∙Data + Voice
∙Data + Voice + Мультикаст
∙Data + Voice + Мультикаст + Location Based сервисы
Общие принципы для передачи данных (DataOnly)
∙465 м2 на ТД (1 ТД каждые 25 м);
∙На 7200 м2 области может потребовать 16 точек доступа;
∙10% перекрытия ячеек покрытия для поддержки роуминга;
∙ТД при 60% мощности для резервирования покрытия в случае отказа одного из ТД;
23
∙Средняя мощность -75 dBm на краю каждой ячейки.
∙Максимальное рекомендуемое количество устройств на 1 ТД – 50.
Общие принципы для передачи голоса и данных (Data + Voice)
∙270 м2 на ТД (1 ТД каждые 18 м);
∙На 7200 м2 области может потребовать 26 точек доступа;
∙15% перекрытия ячеек покрытия для поддержки роуминга;
∙ТД при 60% мощности для резервирования покрытия в случае отказа одного из ТД;
∙Средняя мощность -67dBm на краю каждой ячейки.
Общие принципы для передачи голоса и данных (Data + Voice + Муль- тикаст)
∙Общие рекомендации те же, что и для Data + Voice;
∙Максимум 44 клиентов на 1 ТД (зависит от тактико-технических ха- рактеристик конкретной точки)
∙Поддержка мультикаст трафика.
Общие принципы Data + Voice + Мультикаст + Location ∙ Самое важное – расположение ТД:
o Эффективно располагать по три ТД для обнаружения сигнала; o ТД должны располагаться в шахматном порядке;
oДолжно быть не меньше трех ТД.
∙Для повышения точности необходима калибровка радиосигнала;
∙Высота потолков в помещении не превышает 6 метров при условии использования подвесных точек доступа с всенаправленными антен- нами.
Условия Location based:
1.должно быть развернуто как минимум 4 точки доступа;
2.как минимум 3 точки доступа должны находиться в радиусе 21 м.;
3.должно быть не менее 1 точки доступа в каждом из трех окру- жающих квадрантов (рис. 6).
24
Рисунок 4. Условия Location based.
4.15.1. Пример расчета для одного этажа головного офиса.
Пример расчета приведен для оборудования Cisco 3600 и концепции беспроводной сети Data+Voice.
На одном этаже головного офиса находится 20 кабинетов по 50м2. Сле- довательно, площадь этажа составляет 1000м2. В каждом кабинете по 6 со- трудников. Тогда на этаже 120 сотрудников. На каждого сотрудника прихо- дится 2,8 устройств.
Расчет по площади покрытия ТД:
Площадь покрытия ТД – 270 м2. 1000 м2/270 м2 = 4 точки доступа.
Расчет по количеству сотрудников:
Общее количество устройств на этаже составляет 336. Одна точка дос- тупа расчитана на 50 устройств. Тогда на один этаж потребуется установить 7 точек доступа.
Расчет по рекомендации ILO (International Labour Organization):
На одного человека приходится 10м2, тогда этаж площадью 1000м2 вместит 100 человек. Значит количество устройств на этаже – 280 (на одного человека 2,8 устройств). А, следовательно, точек доступа потребуется 6. (Из расчета 50 устройств на одну точку доступа)
Вывод: Расчет по площади покрытия точки доступа показал, что нам потребуется 4 ТД на 1000 м2, но этого недостаточно на 120 человек. Учиты-
25
вая, что в соответствии с рекомендациями ILO штат сотрудников может быть расширен, и максимальное число устройств может составить 336, для обеспечения работоспособности сети потребуется 7 точек доступа.
Изобразим точки доступа на схеме этажа с их радиусами покрытия
(рис. 7)
Рисунок 5. Расположение точек доступа на этаже
4.12.База данных ActiveDirectory
Вкачестве корпоративной базы данных компании должна использо-
ваться Active Directory, установленная на Windows Server 2016. Все осталь-
ные базы должны синхронизироваться с AD.
Active Directory имеет иерархическую структуру, состоящую из объек- тов. Объекты разделяются на три основные категории: ресурсы (к примеру, принтеры), службы (электронная почта) и учетные записи пользователей и компьютеров. Active Directory предоставляет информацию об объектах, по- зволяет организовывать объекты, управлять доступом к ним, а также уста- навливает правила безопасности.
Верхним уровнем структуры является совокупность всех объектов, ат- рибутов и правил (синтаксис-атрибутов) в Active Directory. Домены иденти- фицируются своими структурами имен DNS – пространствами имен. Серве- ра функционируют на базе технологий VMware, используется платформа VMware vSphere 6.5. Кластер VMware строится из 2-х или больше (минимум 2, максимум — 32) серверов ESXi, которые управляются с помощью VMware vCenter. Для построения кластера понадобится общее хранилище
—система хранения данных.
26
4.13.Site Survey
Вприложении к курсовой необходимо выполнить Site Survey для не-
скольких помещений в СПб в зависимости от расположения точки доступа согласно варианту. Варианты указаны в приложении 2.
На сегодня наиболее распространены несколько способов планирова- ния беспроводных сетей:
Первый способ — предварительное планирование или предваритель- ный расчет, приведенный в предыдущих разделах.
Второй способ — предварительное планирование с использованием виртуальной модели беспроводной сети. В программе создается виртуальная модель помещения, с виртуальными стенами и другими препятствиями.
Основная цель радиообследования (SiteSurvey) это получение доста- точного объема информации, чтобы определить количество и позиции То- чек Доступа WiFi для предоставления требуемого покрытия внутри всей це- левой зоны. В большинстве случаев требуемое покрытие определяется обес- печением минимальной скорости передачи данных (datarate). Радиообследо- вание также определяет присутствие интерференции, идущей от других ис- точников, которая может снизить производительность сети Wi-Fi.
Третий способ — предварительное радио-обследование— «точка дос- тупа на палке» (AP-on-a-stick) – подразумевает размещение одиночной тес- товой точки доступа (как правило на шесте, чтобы высота соответствовала высоте будущей постоянной точки доступа), замер сигнала, перемещение в новую позицию, снова замер, и так далее, пока не наступит полное удовле- творение от уровня сигнала по всей площади и от соответствия плана требо- ваниям по емкости, избыточности и т.д. Замеряют и отмечают на плане сиг- нал обычно с помощью программ для инспектирования сетей (site survey).
Дополнительно по окончании проекта могут проводить фактическое радиообследование построенной сети. В этом случае проверяют — что вы- полняются все условия, которым должна соответствовать беспроводная сеть. В результате радиообследования получают тепловые карты, характери- зующие качество сигнала в различных точках сети.
Требования и сложность радиообследования объекта будут варьиро- ваться в зависимости от самого объекта и его характеристик. Например, не- большой офис, состоящий из нескольких комнат открытого типа, может во- обще не требовать радиообследования. Хотя интерференцию, тем не менее, проверить стоит.
Программное обеспечение для анализа сетей стандарта Wi-Fi:
1.Wi-FiAnalyzer;
2.Fluck (бывший Airmagnet) c Fluck AirCheck;
3.Ekahau Site Survey.
4.Ekahau HeatMapper
27
4.21.1. Пример расчета с помощью EkahauSiteSurvey
Рисунок 6. Процесс установки ПО.
На рисунке 9 представлен план территории, который необходимо вне- сти в ПО для дальнейшего расчета.
Рисунок 7. План территории.
На рисунке 10 представлен скриншот программы с подготовленным для расчета планом территории.
28
Рисунок 8. План территории в программе.
Примеры моделирования сети с использованием ПО Ekahau Site Survey представлен на рисунке 11.
Рисунок 9. Пример моделирования сети с использованием ПО Ekahau Site Survey
Пример фактического радиообследования представлен на рисунке 12.
29
Рисунок 10. Радиообследование с использованием ПО Ekahau Site Survey
На «отлично» — выполнить предварительное планирование с исполь-
зованием виртуальной модели беспроводной сети в соответсвии с вариантом из приложения.
4.14. Присоединение филиалов к корпоративной сети
По условию ТЗ, все филиалы должны быть подключены к корпоратив- ной сети использованием отказоустойчивой топологии «точка-многоточка» (Hub-and spoke) с центром в Санкт-Петербурге, однако трафик между фи- лиалами должен идти напрямую. Также, весь трафик между центральным офисом и филиалами должен шифроваться. Если в данной схеме использо- вать обычную виртуальную частную сеть, соединяющую сети (site-to-site VPN), то на пограничных маршрутизаторах, которые находятся в филиалах,
необходимо будет настроить туннель для связи с центральным офисом в Санкт-Петербурге и туннели для связи с другими филиалами. Для того, что- бы все филиалы могли общаться между собой напрямую, необходимо будет создать полносвязную топологию (full mesh). Как следствие, количество на- строек на маршрутизаторах, как в центральном офисе, так и в филиалах су- щественно увеличивается.
30