Курсовая работа / Методичка 2019 (из неё можно копировать текст)

запрос, где вместо имени пользователя и пароля указан MAC-адрес устрой- ства. Сервер аутентификации сравнивает полученный от аутентификатора MAC-адрес со своей базой данных и принимает решение.

Следует отметить две фазы установления отношений MAB. Сначала аутентификатор пытается получить от клиента EAPoL фрейм, думая, что он поддерживает клиент 802.1x. После неудачной попытки, от клиента прихо- дит пакет с данными, и, если бы MAB таблица была не настроена на аутен- тификаторе, пакет бы просто отбросили. В нашем случае аутентификатор находит совпадение в MAB таблице и запускает процесс аутентификации, зная, что этот клиент не способен аутентифицироваться через 802.1x.

Рисунок 2. Аутентификация МФУ.

МФУ должен обладать доступом в сеть, указать тип подключения и существующие интерфейсы для подключения. МФУ должен быть офисного типа, т.е. выдерживать нагрузку печати офиса. Указать нагрузку печати, ка- чество печати. Тоже самое для функций сканирования и копирования.

4.10. Аутентификация пользователей

Аутентификация пользователей должна проводиться с использованием стандарта 802.1Х. Основным механизмом аутентификации являются серти- фикаты, подписанные корпоративным удостоверяющим центром на базе Windows Server 2016. Необходимо определить с помощью какого сервера будет реализовываться авторизация и на каких устройствах; как будет реа- лизована интеграция сервера авторизации и Windows Active Directory. Же- лательно – привести пример настроек для авторизации пользователей по 802.1x на применяемом или эквивалентном оборудовании.

802.1X — стандарт, описывающий процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), систе-

21

мами, проверяющими подлинность (коммутаторами, точками беспроводно- го доступа), и серверами проверки подлинности (RADIUS, ISE). Стандарт 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к ком- мутатору или точке беспроводного доступа. Сервер аутентификации прове- ряет каждый компьютер перед тем, как тот сможет воспользоваться серви- сами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL (Extensible Authentication Protocol Over LAN) и только после успешной ау-

тентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE 802.1X.

Состояние порта в этом случае остается помеченным как неавторизо- ванное. Если клиент успешно проходит проверку, то порт переходит в авто- ризованное состояние. Аутентификация начинается, когда на порту уста- навливается физическое соединение или, когда получен кадр EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транс- лировать кадры аутентификации между клиентом и сервером аутентифика- ции. Если клиент успешно аутентифицировался (был принят с сервера спе- циальный кадр — accept frame), порт коммутатора переходит в авторизован- ное состояние. Если нет — порт остаётся в неавторизованном состоянии, но попытка аутентификации может быть повторена. Если сервер недоступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответаот сервера через определённый отрезок времени — аутентификация не проходит. При отключении клиент посылает кадр EAPOL-logoff, что пе- реводит порт в неавторизованное состояние.

4.11. Покрытие сетью Wi– Fi. Пример расчета дизайна беспровод- ной сети

Все здания должны иметь полное покрытие сетью IEEE 802.11ac. Необходимо произвести расчет для трех вариантов трафика, с учетом

Location Based сервисов. Расчет для Multicast провести для точек 3600, а также для любых, выбранных вами точек. Провести экономическую оценку всех предложенных вариантов с учетом стоимости СКС и контроллера. Па- раметр устройств на человека выбрать согласно таблице 1..

На «отлично» необходимо выполнить проверку произведенных расче-

тов в программном обеспечении для планирования беспроводных сетей и сделать выводы о сравнении результатов покрытия.

Стандарт 802.11ас работает на частоте более 5 ГГц, что является проти- воречивым решением, так как, с одной стороны, на частотах более 5 ГГц

22

происходит худшее распространение на большие расстояние и худшее оги- бание препятствий (по сравнению с 2,4 ГГц), а, с другой стороны, основная часть существующих беспроводных сетей (802.11a\b\g\n), Bluetooth, DECT и микроволновые печи работают в диапазоне 2,4 ГГц, в связи с чем данный диапазон перегружен. В новом стандарте используются каналы в 80 МГц, что позволяет в 2 раза увеличить пропускную способность по сравнению с предыдущим стандартом 802.11n (с максимальной шириной канала в 40 МГц). Также увеличилось максимальное количество пространственных по- токов (spatial streams), которые также увеличивают полосу пропускания

(рис. 5).

Рисунок 3. Стандарт 802.11ac

Существует 4 концепции беспроводной сети:

∙DataOnly

∙Data + Voice

∙Data + Voice + Мультикаст

∙Data + Voice + Мультикаст + Location Based сервисы

Общие принципы для передачи данных (DataOnly)

∙465 м2 на ТД (1 ТД каждые 25 м);

∙На 7200 м2 области может потребовать 16 точек доступа;

∙10% перекрытия ячеек покрытия для поддержки роуминга;

∙ТД при 60% мощности для резервирования покрытия в случае отказа одного из ТД;

23

∙Средняя мощность -75 dBm на краю каждой ячейки.

∙Максимальное рекомендуемое количество устройств на 1 ТД – 50.

Общие принципы для передачи голоса и данных (Data + Voice)

∙270 м2 на ТД (1 ТД каждые 18 м);

∙На 7200 м2 области может потребовать 26 точек доступа;

∙15% перекрытия ячеек покрытия для поддержки роуминга;

∙ТД при 60% мощности для резервирования покрытия в случае отказа одного из ТД;

∙Средняя мощность -67dBm на краю каждой ячейки.

Общие принципы для передачи голоса и данных (Data + Voice + Муль- тикаст)

∙Общие рекомендации те же, что и для Data + Voice;

∙Максимум 44 клиентов на 1 ТД (зависит от тактико-технических ха- рактеристик конкретной точки)

∙Поддержка мультикаст трафика.

Общие принципы Data + Voice + Мультикаст + Location ∙ Самое важное – расположение ТД:

o Эффективно располагать по три ТД для обнаружения сигнала; o ТД должны располагаться в шахматном порядке;

oДолжно быть не меньше трех ТД.

∙Для повышения точности необходима калибровка радиосигнала;

∙Высота потолков в помещении не превышает 6 метров при условии использования подвесных точек доступа с всенаправленными антен- нами.

Условия Location based:

1.должно быть развернуто как минимум 4 точки доступа;

2.как минимум 3 точки доступа должны находиться в радиусе 21 м.;

3.должно быть не менее 1 точки доступа в каждом из трех окру- жающих квадрантов (рис. 6).

24

Рисунок 4. Условия Location based.

4.15.1. Пример расчета для одного этажа головного офиса.

Пример расчета приведен для оборудования Cisco 3600 и концепции беспроводной сети Data+Voice.

На одном этаже головного офиса находится 20 кабинетов по 50м2. Сле- довательно, площадь этажа составляет 1000м2. В каждом кабинете по 6 со- трудников. Тогда на этаже 120 сотрудников. На каждого сотрудника прихо- дится 2,8 устройств.

Расчет по площади покрытия ТД:

Площадь покрытия ТД – 270 м2. 1000 м2/270 м2 = 4 точки доступа.

Расчет по количеству сотрудников:

Общее количество устройств на этаже составляет 336. Одна точка дос- тупа расчитана на 50 устройств. Тогда на один этаж потребуется установить 7 точек доступа.

Расчет по рекомендации ILO (International Labour Organization):

На одного человека приходится 10м2, тогда этаж площадью 1000м2 вместит 100 человек. Значит количество устройств на этаже – 280 (на одного человека 2,8 устройств). А, следовательно, точек доступа потребуется 6. (Из расчета 50 устройств на одну точку доступа)

Вывод: Расчет по площади покрытия точки доступа показал, что нам потребуется 4 ТД на 1000 м2, но этого недостаточно на 120 человек. Учиты-

25

вая, что в соответствии с рекомендациями ILO штат сотрудников может быть расширен, и максимальное число устройств может составить 336, для обеспечения работоспособности сети потребуется 7 точек доступа.

Изобразим точки доступа на схеме этажа с их радиусами покрытия

(рис. 7)

Рисунок 5. Расположение точек доступа на этаже

4.12.База данных ActiveDirectory

Вкачестве корпоративной базы данных компании должна использо-

ваться Active Directory, установленная на Windows Server 2016. Все осталь-

ные базы должны синхронизироваться с AD.

Active Directory имеет иерархическую структуру, состоящую из объек- тов. Объекты разделяются на три основные категории: ресурсы (к примеру, принтеры), службы (электронная почта) и учетные записи пользователей и компьютеров. Active Directory предоставляет информацию об объектах, по- зволяет организовывать объекты, управлять доступом к ним, а также уста- навливает правила безопасности.

Верхним уровнем структуры является совокупность всех объектов, ат- рибутов и правил (синтаксис-атрибутов) в Active Directory. Домены иденти- фицируются своими структурами имен DNS – пространствами имен. Серве- ра функционируют на базе технологий VMware, используется платформа VMware vSphere 6.5. Кластер VMware строится из 2-х или больше (минимум 2, максимум — 32) серверов ESXi, которые управляются с помощью VMware vCenter. Для построения кластера понадобится общее хранилище

—система хранения данных.

26

4.13.Site Survey

Вприложении к курсовой необходимо выполнить Site Survey для не-

скольких помещений в СПб в зависимости от расположения точки доступа согласно варианту. Варианты указаны в приложении 2.

На сегодня наиболее распространены несколько способов планирова- ния беспроводных сетей:

Первый способ — предварительное планирование или предваритель- ный расчет, приведенный в предыдущих разделах.

Второй способ — предварительное планирование с использованием виртуальной модели беспроводной сети. В программе создается виртуальная модель помещения, с виртуальными стенами и другими препятствиями.

Основная цель радиообследования (SiteSurvey) это получение доста- точного объема информации, чтобы определить количество и позиции То- чек Доступа WiFi для предоставления требуемого покрытия внутри всей це- левой зоны. В большинстве случаев требуемое покрытие определяется обес- печением минимальной скорости передачи данных (datarate). Радиообследо- вание также определяет присутствие интерференции, идущей от других ис- точников, которая может снизить производительность сети Wi-Fi.

Третий способ — предварительное радио-обследование— «точка дос- тупа на палке» (AP-on-a-stick) – подразумевает размещение одиночной тес- товой точки доступа (как правило на шесте, чтобы высота соответствовала высоте будущей постоянной точки доступа), замер сигнала, перемещение в новую позицию, снова замер, и так далее, пока не наступит полное удовле- творение от уровня сигнала по всей площади и от соответствия плана требо- ваниям по емкости, избыточности и т.д. Замеряют и отмечают на плане сиг- нал обычно с помощью программ для инспектирования сетей (site survey).

Дополнительно по окончании проекта могут проводить фактическое радиообследование построенной сети. В этом случае проверяют — что вы- полняются все условия, которым должна соответствовать беспроводная сеть. В результате радиообследования получают тепловые карты, характери- зующие качество сигнала в различных точках сети.

Требования и сложность радиообследования объекта будут варьиро- ваться в зависимости от самого объекта и его характеристик. Например, не- большой офис, состоящий из нескольких комнат открытого типа, может во- обще не требовать радиообследования. Хотя интерференцию, тем не менее, проверить стоит.

Программное обеспечение для анализа сетей стандарта Wi-Fi:

1.Wi-FiAnalyzer;

2.Fluck (бывший Airmagnet) c Fluck AirCheck;

3.Ekahau Site Survey.

4.Ekahau HeatMapper

27

4.21.1. Пример расчета с помощью EkahauSiteSurvey

Рисунок 6. Процесс установки ПО.

На рисунке 9 представлен план территории, который необходимо вне- сти в ПО для дальнейшего расчета.

Рисунок 7. План территории.

На рисунке 10 представлен скриншот программы с подготовленным для расчета планом территории.

28

Рисунок 8. План территории в программе.

Примеры моделирования сети с использованием ПО Ekahau Site Survey представлен на рисунке 11.

Рисунок 9. Пример моделирования сети с использованием ПО Ekahau Site Survey

Пример фактического радиообследования представлен на рисунке 12.

29

Рисунок 10. Радиообследование с использованием ПО Ekahau Site Survey

На «отлично» — выполнить предварительное планирование с исполь-

зованием виртуальной модели беспроводной сети в соответсвии с вариантом из приложения.

4.14. Присоединение филиалов к корпоративной сети

По условию ТЗ, все филиалы должны быть подключены к корпоратив- ной сети использованием отказоустойчивой топологии «точка-многоточка» (Hub-and spoke) с центром в Санкт-Петербурге, однако трафик между фи- лиалами должен идти напрямую. Также, весь трафик между центральным офисом и филиалами должен шифроваться. Если в данной схеме использо- вать обычную виртуальную частную сеть, соединяющую сети (site-to-site VPN), то на пограничных маршрутизаторах, которые находятся в филиалах,

необходимо будет настроить туннель для связи с центральным офисом в Санкт-Петербурге и туннели для связи с другими филиалами. Для того, что- бы все филиалы могли общаться между собой напрямую, необходимо будет создать полносвязную топологию (full mesh). Как следствие, количество на- строек на маршрутизаторах, как в центральном офисе, так и в филиалах су- щественно увеличивается.

30