Курсовая работа / Методичка 2020 (из неё также можно копировать текст)
.pdf
запрос, где вместо имени пользователя и пароля указан MAC-адрес устройства. Сервер аутентификации сравнивает полученный от аутентификатора MAC-адрес со своей базой данных и принимает решение.
Следует отметить две фазы установления отношений MAB. Сначала аутентификатор пытается получить от клиента EAPoL фрейм, думая, что он поддерживает клиент 802.1x. После неудачной попытки, от клиента приходит пакет с данными, и, если бы MAB таблица была не настроена на аутентифи каторе, пакет бы просто отбросили. В нашем случае аутентификатор находит совпадение в MAB таблице и запускает процесс аутентификации, зная, что этот клиент не способен аутентифицироваться через 802.1x.
Рисунок 2. Аутентификация МФУ.
МФУ должен обладать доступом в сеть, указать тип подключения и существующие интерфейсы для подключения. МФУ должен быть офисного типа, т.е. выдерживать нагрузку печати офиса. Указать нагрузку печати, качество печати. Тоже самое для функций сканирования и копирования.
4.10. Аутентификация пользователей
Аутентификация пользователей должна проводиться с использованием стандарта 802.1Х. Основным механизмом аутентификации являются сертификаты, подписанные корпоративным удостоверяющим центром на базе Windows Server 2016. Необходимо определить с помощью какого сервера будет реализовываться авторизация и на каких устройствах; как будет реализована интеграция сервера авторизации и Windows Active Directory. Желательно – привести пример настроек для авторизации пользователей по 802.1x на применяемом или эквивалентном оборудовании.
802.1X — стандарт, описывающий процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), систе-
21
мами, проверяющими подлинность (коммутаторами, точками беспроводного доступа), и серверами проверки подлинности (RADIUS, ISE). Стандарт 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору или точке беспроводного доступа. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL (Extensible Authentication Protocol Over LAN) и только после успешной ау-
тентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE
802.1X.
Состояние порта в этом случае остается помеченным как неавторизованное. Если клиентуспешно проходит проверку, то порт переходит в авторизованное состояние. Аутентификация начинается, когда на порту устанавливается физическое соединение или, когда получен кадр EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транслироватькадры аутентификации между клиентом и сервером аутентификации. Если клиент успешноаутентифицировался (был принят с сервера специальный кадр — accept frame), порткоммутатора переходит в авторизованное состояние. Если нет — порт остаётся в неавторизованном состоянии, но попытка аутентификации может быть повторена. Если сервер недоступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответаот сервера через определённый отрезок времени — аутентификация не проходит. При отключении клиент посылает кадр EAPOL-logoff, что переводит порт в неавторизованное состояние.
4.11. Покрытие сетью Wi– Fi. Пример расчета дизайна беспроводной сети
Все здания должны иметь полное покрытие сетью IEEE 802.11ac. Необходимо произвести расчет для трех вариантов трафика, с учетом
Location Based сервисов. Расчет для Multicast провести для точен 3600, а также для любых, выбранных вами точен. Провести экономическую оценку всех предложенных вариантов с учетом стоимости СКС и контроллера. Параметр устройств на человека выбрать 2,8.
На «отлично» необходимо выполнить проверку произведенных расчетов в программном обеспечении для планирования беспроводных сетей и сделать выводы о сравнении результатов покрытия.
Стандарт 802.11ас работает на частоте более 5 ГГц, что является противоречивым решением, так как, с одной стороны, на частотах более 5 ГГц
22
происходит худшее распространение на большие расстояние и худшее огибание препятствий (по сравнению с 2,4 ГГц), а, с другой стороны, основная часть существующих беспроводных сетей (802.11a\b\g\n), Bluetooth, DECT и микроволновые печи работают в диапазоне 2,4 ГГц, в связи с чем данный диапазон перегружен. В новом стандарте используются каналы в 80 МГц, что позволяет в 2 раза увеличить пропускную способность по сравнению с предыдущим стандартом 802.11n (с максимальной шириной канала в 40 МГц). Также увеличилось максимальное количество пространственных потоков (spatial streams), которые также увеличивают полосу пропускания
(рис. 5).
Рисунок 3. Стандарт 802.11ac
Существует 4 концепции беспроводной сети:
DataOnly
Data + Voice
Data + Voice + Мультикаст
Data + Voice + Мультикаст + Location Based сервисы
Общие принципы для передачи данных (DataOnly)
465 м2 на ТД (1 ТД каждые 25 м);
На 7200 м2 области может потребовать 16 точек доступа;
10% перекрытия ячеек покрытия для поддержки роуминга;
ТД при 60% мощности для резервирования покрытия в случае отказа одного из ТД;
23
Средняя мощность -75 dBm на краю каждой ячейки.
Максимальное рекомендуемое количество устройств на 1 ТД – 50.
Общие принципы для передачи голоса и данных (Data + Voice)
270 м2 на ТД (1 ТД каждые 18 м);
На 7200 м2 области может потребовать 26 точек доступа;
15% перекрытия ячеек покрытия для поддержки роуминга;
ТД при 60% мощности для резервирования покрытия в случае отказа одного из ТД;
Средняя мощность -67dBm на краю каждой ячейки.
Общие принципы для передачи голоса и данных (Data + Voice + Мультикаст)
Общие рекомендации те же, что и для Data + Voice;
Максимум 44 клиентов на 1 ТД (зависит от тактико-технических характеристик конкретной точки)
Поддержка мультикаст трафика.
Общие принципы Data + Voice + Мультикаст + LocationСамое важное – расположение ТД:
o Эффективно располагать по три ТД для обнаружения сигнала; o ТД должны располагаться в шахматном порядке;
oДолжно быть не меньше трех ТД.
Для повышения точности необходима калибровка радиосигнала;
Антены должны быть не меньше 6 метров в высоту.
Условия Location based:
1.должно быть развернуто как минимум 4 точки доступа;
2.как минимум 3 точки доступа должны находиться в радиусе 21 м.;
3.должно быть не менее 1 точки доступа в каждом из трех окружающих квадрантов (рис. 6).
24
Рисунок 4. Условия Location based.
4.15.1. Пример расчета для одного этажа головного офиса.
Пример расчета приведен для оборудования Cisco 3600 и концепции беспроводной сети Data+Voice.
На одном этаже головного офиса находится 20 кабинетов по 50м2. Следовательно, площадь этажа составляет 1000м2. В каждом кабинете по 6 сотрудников. Тогда на этаже 120 сотрудников. На каждого сотрудника приходится 2,8 устройств.
Расчет по площади покрытия ТД:
Площадь покрытия ТД – 270 м2. 1000 м2/270 м2 = 4 точки доступа.
Расчет по количеству сотрудников:
Общее количество устройств на этаже составляет 336. Одна точка доступа расчитана на 50 устройств. Тогда на один этаж потребуется установить 7 точек доступа.
Расчет по рекомендации ILO (International Labour Organization):
На одного человека приходится 10м2, тогда этаж площадью 1000м2 вместит 100 человек. Значит количество устройств на этаже – 280 (на одного человека 2,8 устройств). А, следовательно, точек доступа потребуется 6. (Из расчета 50 устройств на одну точку доступа)
Вывод: Расчет по площади покрытия точки доступа показал, что нам потребуется 4 ТД на 1000 м2, но этого недостаточно на 120 человек. Учиты-
25
вая, что в соответствии с рекомендациями ILO штат сотрудников может быть расширен, и максимальное число устройств может составить 336, для обеспечения работоспособности сети потребуется 7 точек доступа.
Изобразим точки доступа на схеме этажа с их радиусами покрытия (рис. 7)
Рисунок 5. Расположение точек доступа на этаже
4.12. База данных ActiveDirectory
В качестве корпоративной базы данных компании должна использо-
ваться Active Directory, установленная на Windows Server 2016. Все осталь-
ные базы должны синхронизироваться с AD.
Active Directory имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы (к примеру, принтеры), службы (электронная почта) и учетные записи пользователей и компьютеров. Active Directory предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности.
Верхним уровнем структуры является совокупность всех объектов, атрибутов и правил (синтаксис-атрибутов) в Active Directory. Домены идентифицируются своими структурами имен DNS – пространствами имен. Сервера функционируют на базе технологий VMware, используется платформа VMware vSphere 6.5. Кластер VMware строится из 2-х или больше (минимум 2, максимум — 32) серверов ESXi, которые управляются с помощью VMware vCenter. Для построения кластера понадобится общее хранилище
— система хранения данных.
26
4.13.Site Survey
Вприложении к курсовой необходимо выполнить Site Survey для нескольких помещений в СПб в зависимости от расположения точки доступа согласно варианту. Варианты указаны в приложении 2.
На сегодня наиболее распространены несколько способов планирования беспроводных сетей:
Первый способ — предварительное планирование или предварительный рассчет, приведенный в предыдущих разделах.
Второй способ — предварительное планирование с использованием виртуальной модели беспроводной сети. В программе создается виртуальная модель помещения, с виртуальными стенами и другими препятствиями.
Основная цель радиообследования (SiteSurvey) это получение достаточного объема информации, чтобы определить количество и позиции Точек Доступа WiFi для предоставления требуемого покрытия внутри всей целевой зоны. В большинстве случаев требуемое покрытие определяется обеспечением минимальной скорости передачи данных (datarate). Радиообследование также определяет присутствие интерференции, идущей от других источников, которая может снизить производительность сети Wi-Fi.
Третий способ — предварительное радиообследование— «точка доступа на палке» (AP-on-a-stick) – подразумевает размещение одиночной тестовой точки доступа (как правило на шесте, чтобы высота соответствовала высоте будущей постоянной точки доступа), замер сигнала, перемещение в новую позицию, снова замер, и так далее, пока не наступит полное удовлетворение от уровня сигнала по всей площади и от соответствия плана требованиям по емкости, избыточности и т.д. Замеряют и отмечают на плане сигнал обычно с помощью программ для инспектирования сетей (site survey).
Дополнительно по окончании проекта могут проводить фактическое радиообследование построенной сети. В этом случае проверяют — что выполняются все условия, которым должна соответсвовать беспроводная сеть.
Врезультате радиообследования получают тепловые карты, характеризующие качество сигнала в различных точках сети.
Требования и сложность радиообследования объекта будут варьироваться в зависимости от самого объекта и его характеристик. Например, небольшой офис, состоящий из нескольких комнат открытого типа, может вообще не требовать радиообследования. Хотя интерференцию, тем не менее, проверить стоит.
Программное обеспечение для анализа сетей стандарта Wi-Fi:
1.Wi-FiAnalyzer;
2.Fluck (бывший Airmagnet) c Fluck AirCheck;
3.Ekahau Site Survey.
4.Ekahau HeatMapper
27
4.21.1. Пример расчета с помощью EkahauSiteSurvey
Рисунок 6. Процесс установки ПО.
На рисунке 9 представлен план территории, который необходимо внести в ПО для дальнейшего расчета.
Рисунок 7. План территории.
На рисунке 10 представлен скриншот программы с подготовленным для расчета планом территории.
28
Рисунок 8. План территории в программе.
Примеры моделирования сети с использованием ПО Ekahau Site Survey представлен на рисунке 11.
Рисунок 9. Пример моделирования сети с использованием ПО Ekahau Site Survey
Пример фактического радиообследования представлен на рисунке 12.
29
Рисунок 10. Радиообследование с использованием ПО Ekahau Site Survey
На «отлично» — выполнить предварительное планирование с использованием виртуальной модели беспроводной сети в соответсвии с вариантом из приложения.
4.14. Присоединение филиалов к корпоративной сети
По условию ТЗ, все филиалы должны быть подключены к корпоративной сети сиспользованием отказоустойчивой топологии «точка-многоточка» (Hub-and spoke) с центром вСанкт-Петербурге, однако трафик между филиалами должен идти напрямую. Также, весьтрафик между центральным офисом и филиалами должен шифроваться. Если в данной схемеиспользовать обычную виртуальную частную сеть, соединяющую сети (site-to-site VPN), то напограничных маршрутизаторах, которые находятся в филиалах, необходимо будет настроитьтуннель для связи с центральным офисом в Санкт-Петербурге и туннели для связи с другимифилиалами. Для того, чтобы все филиалы могли общаться между собой напрямую, необходимобудет создать полносвязную топологию (full mesh). Как следствие, количество настроек намаршрутизаторах, как в центральном офисе, так и в филиалах существенно увеличивается.
ПРИЛОЖЕНИЕ 1
Планировки зданий
30