Настройка распределённой беспроводной сети
Для настройки распределённой беспроводной сети необходимо прежде всего узнать MAC-адреса точек доступа. При этом следует соблюдать осторожность, дабы не спутать их с MAC-адресами LAN-портов точек доступа. Сделать это можно с помощью утилиты управления сетевого адаптера беспроводного клиента. В нашем случае это утилита Intel PROSet/Wireless управления беспроводного адаптера ноутбука на базе мобильной технологии Intel Centrino. Подключившись к желаемой точке доступа (для этого необходимо выбрать соответствующий профиль беспроводного соединения), в диалоговом окно Intel PROSet/Wireless выделите нужный профиль беспроводного соединения и нажмите на иконку Подробно. В открывшемся окне Информация подключения найдите строку MAC-адрес точки доступа (ТД) и выпишите МАС-адрес точки доступа (рис. 6). Аналогично, активировав второй профиль беспроводного соединения, необходимо записать MAC-адрес второй точки доступа.
|
Рис. 6. Используя утилиту Intel PROSet/Wireless, узнаём MAC-адрес точки доступа |
МАС-адреса точек доступа удобно записать в виде таблицы, в которую также заносятся идентификаторы беспроводных сетей и IP-адреса точек доступа (см. табл. 1).
Таблица. 1. МАС-адреса точек доступа
Точка доступа | SSID | MAC-адрес | IP-адрес |
GN-B49G (AP #1) | B49G | 00:20:ed:09:3e:a2 | 192.168.1.254 |
GN-BR01G (AP #2) | BR01G | 00:14:85:0a:7d:c8 | 192.168.1.250 |
Для настройки распределённой сети в настройках каждой точки доступа необходимо перейти к вкладке WDS (рис. 7). В окне WDS имеются поля, в которые заносятся MAC-адреса точек доступа, с которыми разрешено взаимодействие данной точки доступа в режиме повторителя или моста. Если нет явного указания на режим работы точки доступа (повторитель или мост), то подразумевается, что точка доступа функционирует в режиме повторителя, то есть может взаимодействовать и с беспроводными клиентами, и с другими точками доступа.
|
Рис. 7. Настройка точки доступа для работы в распределённой беспроводной сети |
В нашем случае для точки доступа B49 G в список разрешённых для взаимодействия MAC-адресов необходимо занести MAC-адрес точки доступа BR01G (00:14:85:0 a:7 d: c8), а для точки доступа BR01G – MAC-адрес точки доступа B49G (00:20: ed:09:3 e: a2).
После того, как обе точки доступа настроены для работы в составе распределённой беспроводной сети, рекомендуется перегрузить все ПК. После этого можно проверить функциональность работы распределённой беспроводной сети. Если всё сделано правильно, то с любого компьютера сети можно получить доступ к любому другому компьютеру данной сети. Это касается как беспроводных клиентов сети, так и стационарных ПК, к которым подключены точки доступа.
Настройка безопасности распределённой беспроводной сети
Если первоначальное тестирование созданной распределённой беспроводной сети прошло успешно, можно переходить ко второму этапу – настройке безопасности сети для предотвращения несанкционированного доступа в свою сеть хотя бы со стороны соседей.
Прежде всего отметим, что созданная нами беспроводная сеть является одноранговой, то есть все компьютеры этой сети равноправны и отсутствует выделенный сервер, регламентирующий работу сети. Поэтому полагаться на политику системной безопасности в такой сети бессмысленно, поскольку подобной политики там просто нет. Поэтому настройку безопасности беспроводной сети необходимо проводить на уровне точек доступа. Безопасность беспроводной сети строится на нескольких «рубежах». На первом рубеже будет использована фильтрация беспроводных клиентов по MAC-адресам, на втором рубеже – использование скрытого идентификатора сети, и на последнем рубеже – шифрование данных.
Фильтрация по MAC-адресам
Итак, на первой «линии обороны» желательно настроить фильтрацию беспроводных клиентов по MAC-адресам, что позволяет реализовать своего рода аутентификацию пользователей беспроводной сети.
Для того чтобы выяснить MAC-адрес установленного на клиенте беспроводного адаптера, достаточно выполнить в командной строке команду ipconfig/all. Это позволит узнать IP-адрес беспроводного адаптера и его MAC-адрес.
После того как будут выяснены MAC-адреса всех беспроводных клиентов сети (в нашем случае такой клиент всего один), необходимо настроить таблицу фильтрации по MAC-адресам на обеих точках доступа. Практически любая точка доступа предоставляет подобную возможность. Настройка этой таблицы (MAC Access Control) сводится, во-первых, к необходимости разрешить фильтрацию по MAC-адресам, а во-вторых, к внесению в таблицу разрешённых MAC-адресов беспроводных адаптеров (рис. 8).
|
Рис. 8. Настройка таблицы фильтрации по MAC-адресам |
После настройки таблицы фильтрации по MAC-адресам любая попытка входа в сеть с использованием беспроводного адаптера, MAC-адрес которого не внесён в таблицу, будет отвергнута точкой доступа.
Использование режима скрытого идентификатора сети
Как уже отмечалось выше, используя режим скрытого идентификатора беспроводной сети, пользователь, сканирующий эфир на предмет наличия беспроводных сетей, не будет видеть SSID существующей беспроводной сети. Для активации данного режима (режим Hidden SSID) на каждой точке доступа необходимо установить опцию Enable (рис. 9). В некоторых точках доступа данный режим может называться как Broadcast SSID. В этом случае используется опция disable.
|
Рис. 9. Активация режима скрытого идентификатора сети |
Настройка шифрования и аутентификации пользователей
Любая точка доступа и тем более беспроводной маршрутизатор предоставляют в распоряжение пользователей возможность настраивать шифрование сетевого трафика при его передаче по открытой среде.
Первым стандартом, который использовался для шифрования данных в беспроводных сетях, был стандарт WEP (Wired Equivalent Privacy). В соответствии с этим стандартом шифрование осуществляется с помощью 40- или 104-битного ключа, а сам ключ представляет собой набор ASCII-символов длиной 5 (для 40-битного) или 13 (для 104-битного ключа) символов. Набор этих символов переводится в последовательность шестнадцатеричных цифр, которые и являются ключом. Допустимо также вместо набора ASCII-символов напрямую использовать шестнадцатеричные значения (той же длины).
Как правило, в утилитах настройки беспроводного оборудования указываются не 40- или 104-битные ключи, а 64- или 128-битные. Дело в том, что 40 или 104 бита – это статическая часть ключа, к которой добавляется 24-битный вектор инициализации, необходимый для рандомизации статической части ключа. Вектор инициализации выбирается случайным образом и динамически меняется во время работы. В результате c учетом вектора инициализации общая длина ключа получается равной 64 (40+24) или 128 (104+24) битам.
Протокол WEP-шифрования, даже со 128-битным ключом, считается не очень стойким, поэтому в устройствах стандарта 802.11g поддерживается улучшенный алгоритм шифрования WPA – Wi-Fi Protected Access. Однако, как мы уже отмечали, при использовании WDS-технологии поддерживается только WEP-шифрование на основе статических ключей. Поэтому в данном случае это единственная реализуемая возможность.
При настройке точек доступа для использования WEP-шифрования (обе точки доступа настраиваются одинаково) необходимо установить тип аутентификации Shared Key (Общая). Далее следует установить размер ключа (рекомендуемое значение 128 бит) и ввести сам ключ (в нашем примере используется ключ в шестнадцатеричном формате). Всего возможно задать до четырёх значений ключа, и, если задано несколько ключей, необходимо указать, какой именно из них используется по умолчанию (рис. 10).
|
Рис. 10. Пример настройки WEP-шифрования в точке доступа |
Далее требуется реализовать аналогичные настройки на беспроводных адаптерах сетевых клиентов. Делается это с помощью утилиты управления Intel PROSet/Wireless. Откройте главное окно утилиты, выберите профиль соединения и нажмите на кнопку Свойства…. В открывшемся диалоговом окне перейдите к закладке Настройка защиты и выберите тип сетевой аутентификации Общая (это соответствует типу Shared Key). Далее выберите тип шифрования WEP, задайте длину ключа 128 бит и введите ключ шифрования.
|
Рис. 11. Задание параметров WEP-шифрования на беспроводном адаптере с помощью утилиты Intel PROSet/Wireless |
Реализация разделяемого доступа в Интернет с использованием аналогового модема
Следующий важный аспект, который мы рассмотрим – это реализация в распределённой беспроводной сети разделяемого доступа в Интернет с использованием аналогового модема. В случае использования DSL-модема и беспроводного маршрутизатора всё достаточно просто, поэтому этот случай мы описывать не будем. А вот при создании разделяемого доступа в Интернет с использованием аналогового модема, да ещё и в распределённой сети, имеются свои маленькие хитрости.
Прежде всего, придётся изменить IP-адрес компьютера, к которому подключён аналоговый модем. Он должен быть равен 192.168.0.1, а маска подсети – 255.255.255.0. Использование другого IP-адреса при создании разделяемого доступа в Интернет не допускается. Кроме того, необходимо поменять и IP-адреса точек доступа так, чтобы они принадлежали той же подсети, что и компьютер с IP-адресом 192.168.0.1. К примеру, можно задать IP-адреса точек доступа 192.168.1.254 и 192.168.1.250 с маской подсети 255.255.255.0.
Все остальные компьютеры нашей распределённой сети, включая и стационарный компьютер, к которому подключается вторая точка доступа, не должны иметь статического IP-адреса. То есть эти компьютеры будут автоматически получать динамические IP-адреса. Для того, чтобы разрешить динамическое присвоение IP-адресов, в диалоговом окне Internet Protocol (TCP/IP) Properties отметьте пункт Obtain an IP address automatically.
Не вникая во все тонкости динамического конфигурирования сети, отметим лишь, что на компьютере с IP-адресом 192.168.0.1 будет запущен специальный сервис DHCP, который и будет заниматься автоматическим распределением IP-адресов в диапазоне подсети 192.168.0.х.
Настройки всех ПК и точек доступа, показаны на рис. 12.
|
Рис. 12. Настройка клиентов распределённой беспроводной сети при реализации разделяемого доступа в Интернет с использованием аналогового модема |
После того как настроены точки доступа и все ПК распределённой сети, на компьютере, к которому подключен аналоговый модем, щёлкните на значке My Network Places (Сетевое окружение) правой кнопкой мыши и в открывшемся списке выберите пункт Properties (Свойства). В открывшемся окне Network Connection (Сетевые соединения) выберите значок с названием соединения с Интернетом (название этого соединения задаётся произвольно при настройке соединения с Интернетом). Щёлкнув на нём правой кнопкой мыши, перейдите к пункту Properties и в открывшемся диалоговом окне Internet Properties (Свойства соединения с Интернетом) перейдите к вкладке Advanced (рис. 13).
|
Рис. 13. Создание разделяемого доступа в Интернет |
В группе Internet Connection Sharing (Разделяемый доступ в Интернет) отметьте пункт Allow other network users to connect through this computer’s Internet connection (Разрешить пользователям локальной сети пользоваться соединением с Интернетом через данный компьютер). Тем самым вы активизируете разделяемый доступ в Интернет для всех компьютеров вашей локальной сети. Автоматически в этом диалоговом окне окажутся отмеченными и два последующих пункта. Первый из них (Establish a dial-up connection whenever a computer on my network attempts to access the Internet) разрешает устанавливать соединение с Интернетом по требованию с любого компьютера вашей сети. Даже при отсутствии в данный момент на сервере непосредственного соединения с Интернетом в случае соответствующего запроса с любого компьютера сети модем начнёт набор номера провайдера и установит соединение с Интернетом.
Второй пункт ( Allow other networks users to control or disable the shared Internet connection) разрешает всем пользователям сети управлять разделяемым доступом в Интернет.
По окончании настройки всех компьютеров сети можно будет пользоваться доступом в Интернет с любого ПК распределённой беспроводной сети.
Тестирование производительности беспроводной распределённой сети
Итак, после того как распределенная сеть настроена и её работоспособность проверена, можно приступать к тестированию её производительности. При тестировании ноутбук с беспроводным адаптером располагался в непосредственной близости от первой точки доступа (AP #1), в качестве которой выступал беспроводной маршрутизатор Gigabyte GN-B49G c версией прошивки Firmware 1.35E. Вторая точка доступа (AP #2), в качестве которой выступал беспроводной маршрутизатор Gigabyte GN-BR01G c версией прошивки Firmware 1.30E, находилась в соседнем помещении за бетонной стеной.
В первом тесте измерялся трафик между ноутбуком и ПК #1, к которому подключалась точка доступа AP #1. Во втором тесте измерялся трафик между ПК #1 и ПК #2, то есть, между компьютерами, к которым подключены точки доступа. В третьем тесте измерялся трафик между ноутбуком и вторым стационарным компьютером (ПК #2), расположенным за бетонной стеной, к которому подключалась вторая точка доступа. Схема тестирования показана на рис. 14.
|
Рис. 14. Схема тестирования распределённой беспроводной сети |
Для генерации трафика использовался тестовый пакет NetIQ Chariot 5.0 с нагрузочными скриптами, имитирующими передачу и приём файлов.
Сводные результаты тестирования представлены в таблице 2.
Таблица 2. Результаты тестирования распределённой беспроводной сети
Тест | Трафик, Мбит/с |
Ноутбук → ПК #1 | 18,3 |
ПК #1 → Ноутбук | 19,3 |
Ноутбук ↔ ПК #1 (дуплекс) | 18,5 |
ПК #2 → ПК #1 | 18,9 |
ПК #1 → ПК #2 | 19,1 |
ПК #2 ↔ ПК #1 (дуплекс) | 19,4 |
Ноутбук → ПК #2 | 5,9 |
ПК #2 → Ноутбук | 9,0 |
Ноутбук ↔ ПК #2 (дуплекс) | 8,5 |
Как видно из представленных результатов, в тесте взаимодействия ноутбука с ПК #1, то есть когда беспроводной клиент находится в непосредственной близости от точки доступа, сетевой трафик вполне соответствует стандарту IEEE 802.11g.
При взаимодействии друг с другом двух точек доступа сетевой трафик также соответствует стандарту 802.11g.
При взаимодействии ноутбука с ПК #2, то есть, когда задействуется распределённая сеть и данные от ноутбука поступают первоначально на первую точку доступа, затем передаются второй точке доступа и только после этого поступают в ПК #2, сетевой трафик несколько ослабевает. Причём в данном случае заметна асимметрия при передаче трафика от ноутбука к ПК #2 и в обратном направлении. Характерно, что при передаче данных от ноутбука к ПК #2 можно выделить два режима передачи: со скоростью 9 и 3 Мбит/с (рис. 15). Причём каждый из режимов длится в течении чуть меньше 2 мин. В результате в среднем скорость передачи составляет порядка 6 Мбит/с.
|
Рис. 15. Два режима работы при передаче данных от ноутбука к ПК #2 |
Однако, в любом случае, те преимущества, которые позволяет получить распределённая беспроводная сеть, с лихвой компенсируют и незначительное снижение скорости передачи.