admin / 23.07.2018

Состояние wds выключено

Распределенная сеть под защитой

Большинство современных информационных систем носят распределенный характер и могут функционировать только при наличии высокопроизводительной корпоративной сети передачи данных, без которой сегодня трудно представить работу коммерческих компаний и государственных организаций.

По данным исследования ZK Research, более 75% сотрудников предприятий работают вне головного офиса — на территории филиалов, в командировках или в домашних условиях. Всем им необходим доступ к корпоративным приложениям и данным, в том числе к таким критически важным системам, как Oracle E-Business Suite, NetSuite, Sage ERP или Microsoft Dynamics. Нередко они работают и с облачными приложениями — например, с Salesforce.com, Google Apps и Microsoft Office 365.

Объединяя в единую систему все офисы и подразделения предприятия, подчас находящиеся на значительном расстоянии от штаб-квартиры, корпоративная сеть позволяет предоставить персоналу возможность одновременной работы с распределенными или централизованными приложениями, базами данных и другими сервисами.

При этом территориально распределенные сети должны обеспечивать безопасность передаваемой информации, обладать требуемой производительностью, быть удобными в администрировании и «прозрачными» для пользователей и приложений. Это предполагает объединение удаленных офисов и филиалов в единую инфокоммуникационную структуру и формирование на ее базе защищенной корпоративной рабочей среды. Нередко инфраструктурный уровень включает еще и беспроводные сегменты сети Wi-Fi, обеспечивающие мобильность сотрудников в офисе компании (см. рис. 1).

Рис. 1. Распределенная корпоративная сеть с беспроводными сегментами в филиалах. Централизованное управление дает администратору сети возможность управлять сетями филиалов и диагностировать неисправности из центрального офиса. Более дорогостоящая архитектура с контроллерами WLAN в филиалах позволит еще и унифицировать политику безопасности в проводной и беспроводной сетях, упростить диагностику и устранение неисправностей

Как считает Алексей Андрияшин, консультант компании Fortinet по информационной безопасности, для обеспечения защищенного удаленного доступа к корпоративной сети необходимо, чтобы подключение осуществлялось только с использованием протоколов SSL VPN/IPSec при обязательной двухфакторной аутентификации. Желательно также автоматически обеспечивать удаленным пользователям защищенное рабочее пространство, чтобы при завершении сеанса подключения на рабочем месте не оставалось никаких его следов (временные или скачанные файлы, история посещения страниц и др. должны быть удалены).

IP VPN

В территориально распределенной компании для объединения разрозненных подразделений в единую корпоративную сеть могут задействоваться выделенные каналы связи или общедоступные сети передачи данных. Если для передачи данных, голосового трафика и видео используются выделенные каналы, передаваемая по ним информация защищена от внешних воздействий, но такое решение, во-первых, достаточно дорого, а во-вторых, не всегда и не везде у предприятия есть техническая возможность получить в свое распоряжение выделенный канал.

В таких организациях для создания единой корпоративной сети часто используются соединения VPN через Интернет по IPSec, иногда — через операторские сети MPLS (см. рис. 2). Подобная сетевая инфраструктура защищается при помощи аутентификации и управления доступом, туннелирования между площадками и шифрования.

Рис. 2. Территориально распределенная компания может использовать общие сети передачи данных

Технология виртуальных частных сетей (Virtual Private Network, VPN) обеспечивает множество преимуществ при относительно невысокой стоимости. VPN — логическая частная сеть, организуемая поверх публичной. Подобно выделенным каналам, она позволяет создать защищенное соединение между удаленными площадками или локальными сетями (см. рис. 3).

Рис. 3. Шлюзы безопасности способны обеспечить защищенный доступ с удаленных площадок через Интернет к корпоративным ресурсам организации. IPSec VPN защищает соединения головного офиса с удаленными филиалами и партнерами компании. Мобильные сотрудники могут использовать для безопасной работы с корпоративными ресурсами SSL или L2TP VPN, не применяя программных клиентов VPN

L2 VPN реализуется с привлечением сервисов Ethernet или на основе MPLS. В этом случае коммутаторы «упаковывают» полученные от оборудования клиента кадры Ethernet или IP MPLS и передают их к месту назначения по «виртуальному каналу». По такой технологии строятся городские сети Metro Ethernet или соответственно областные сети IP MPLS.

В случае L3 VPN (IP VPN) виртуальную частную сеть организует провайдер (MPLS VPN) или пользователь (IPSec VPN). Если у предприятия множество филиалов, то с помощью технологии Dynamic Multipoint VPN (DMVPN ) можно обойтись всего двумя концентраторами VPN.

ИНТЕГРАЦИЯ СЕРВИСОВ

При организации VPN корпоративная сеть логически отделена от публичных сетей, то есть трафик защищен от несанкционированного доступа. При этом компания получает полный контроль над ее функционированием. По такой сети можно передавать различные виды трафика с разделением по классам обслуживания.

Наряду с передачей данных виртуальные частные сети можно использовать для сервисов IP-телефонии и видео-конференц-связи, гибко изменять пропускную способность каналов в зависимости от потребностей бизнеса, масштабировать сетевую инфраструктуру, включая в единую защищенную частную сеть новые объекты. Поэтому территориально распределенные сети на основе VPN служат основой для внедрения различных сервисов, таких как VoIP, ВКС, бизнес-приложения.

С помощью виртуальных частных сетей можно объединить распределенные офисы в общую сеть, создав единое адресное пространство локальной сети и единую нумерацию в системе корпоративной телефонии, то есть сформировать общее информационное пространство, доступное из любой точки корпоративной сети.

IPSec VPN — достаточно простой и распространенный способ создания защищенной сетевой инфраструктуры территориально распределенных компаний. Между устройствами создаются виртуальные туннели, и весь трафик шифруется на оборудовании заказчика. Таким образом обеспечивается независимость от оператора связи. Хотя решение и отличается более низкой стоимостью по сравнению с арендой каналов, у него есть свои недостатки: часто требуется дополнительное оборудование (или ПО), не всегда можно гарантировать качество сервиса.

СТРАТЕГИИ ЗАЩИТЫ

Выбор технологии и варианта подключения зависит от вида передаваемого трафика, структуры организации и ее бизнес-процессов, требований к ИБ, тарифов оператора, услугами которого компания собирается воспользоваться, и прочих факторов. Нужно оценить необходимую пропускную способность и объем трафика, требования к параметрам канала связи (включая надежность и степень защиты) для трафика разного типа. Анализ бизнес-процессов помогает выявить, насколько критичны для деятельности предприятия используемые сервисы. Однако информационную безопасность следует прорабатывать не только для каналов связи, но и для компании в целом.

Система безопасности опирается на множество технологий, среди которых — шифрование трафика (см. рис. 4), единая система управления ИБ, средства защиты беспроводной части сети. Выбор технологических, программных и организационных решений для защиты коммуникаций в территориально распределенных системах определяется архитектурой сети, ее масштабом, характером обрабатываемой информации, балансом технических и финансовых возможностей. Конкретная реализация защищенных соединений между площадками выбирается на основе категоризации передаваемых данных с учетом их критичности для бизнес-процессов компании и технологических особенностей, например необходимости поддержки QoS.

Рис. 4. Удаленный доступ к ресурсам сети при помощи IPSec VPN и SSL VPN

К основным направлениям сетевой безопасности относятся управление доступом к ресурсам корпоративной информационной системы, защита ее периметра, аутентификация транзакций, мониторинг событий безопасности и др. Рациональная защита должна включать в себя шифрование данных, передаваемых при подключении территориально разнесенных подразделений через внешние сети, применение средств межсетевого экранирования и обнаружения вторжений для защиты периметра сети, оперативный контроль за событиями ИБ. Она строится с учетом характеристик информации, параметров информационной системы, оценки рисков и уровня различных угроз.

Спектр доступных сегодня решений для межсетевого экранирования и VPN — зарубежных и отечественных — достаточно широк и способен удовлетворить разнообразные требования к функциональности, производительности и цене. Нередко вендоры предлагают интегрированные системы, объединяющие несколько функций безопасности, например функции межсетевого экрана с VPN и IPS. Об их преимуществах и недостатках рассказывается в статье автора «Межсетевые экраны: расширение функционала», опубликованной в июньском номере «Журнала сетевых решений/LAN» за 2013 год.

Как поясняет Олег Глебов, менеджер по сопровождению корпоративных продаж «Лаборатории Касперского», реализация конкретной стратегии защиты зависит от уровня зрелости процессов безопасности в организации. В зависимости от критичности сервиса средства безопасности могут предусматривать контроль доступа, защиту данных, канала и устройств, а также верификацию последних. Обычно (по возрастающей) применяются следующие технологии: многофакторная аутентификация при организации доступа (не обязательно обеспечивается защита канала), шифрование канала (VPN), профилирование устройств, анализ риска каждого соединения, создание/контроль доверенной среды на конечном устройстве.

«Когда целью киберпреступников является крупная организация с большими инвестициями в информационную безопасность, взлом удаленного (и зачастую менее защищенного) сегмента сети становится наиболее простым способом проникновения. Превентивные технологии защиты на стороне удаленных сегментов — вполне преодолимый для них барьер. Они могут повторять попытки атаки снова и снова, пока не достигнут успеха, а получив доступ к удаленному сегменту, будут атаковать уже главный офис / основные процессы с использованием полученных легитимных прав, — рассказывает Олег Глебов. — Поэтому компаниям, обладающим развитой сетью филиалов, нужно быть готовыми не только противодействовать угрозам в удаленном сегменте, но и иметь средства их обнаружения на ранних этапах реализации атак как реактивного (например, ловушек класса honeypot), так и проактивного характера (системы обнаружения вторжений, системы защиты от таргетированных атак)».

Наряду с защищенным удаленным доступом к корпоративной сети все чаще требуется обеспечивать безопасность при работе с облачными сервисами. Когда компания принимает решение использовать такие сервисы, она полагается на компетенцию провайдера. Однако предусмотренные технологии защиты не решают проблем, связанных со своевременным прекращением или правильным обращением с правами доступа к ресурсам, рассказывает Андрей Арефьев, ведущий менеджер по развитию продуктов компании InfoWatch. Если говорить о базовых элементах защиты при использовании облачных сервисов, то ИТ-администратору необходимо выстроить процесс управления доступом (Identity Management), который позволит своевременно блокировать обращение сотрудника к внешним сервисам при изменении его статуса (переход в другой отдел, предстоящее увольнение). Кроме этого, такие процессы должны учитывать и смену ИТ-администратора.

По мнению Алексея Андрияшина, для эффективного противодействия современным угрозам в условиях территориально распределенной корпоративной сети должны быть соблюдены следующие требования:

  • централизованное управление политикой безопасности всех элементов системы защиты;
  • корреляция данных на основе поступающих событий и гибкое изменение правил на устройствах в соответствии с изменяющимися угрозами;
  • непрерывное обновление состояния сервисных модулей на устройствах безопасности, таких как Web-фильтрация, системы обнаружения вторжений, контроль трафика приложений, антиспам, базы IP-репутации и других;
  • обеспечение отказоустойчивости ключевых элементов обеспечения безопасности;
  • реализация политик (Single Sign On и Identity Based Policy) для контроля действий всех пользователей сети.

Несомненно, для организации безопасной работы в корпоративной сети нужен комплексный подход. Различные технические решения — межсетевые экраны, антивирусные и антиспам-системы, VPN и другие — необходимо дополнять организационными мерами, уверен Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». Это особенно актуально, когда предприятие имеет территориально удаленные филиалы или требуется создать условия для безопасной работы мобильных сотрудников, например находящихся в командировках.

В этом случае очень важно не только наличие надежного и защищенного канала связи между сотрудником и корпоративной сетью, но и возможность однозначно идентифицировать пользователя, чтобы предоставить ему надлежащие права доступа к информации. Необходимо отметить важность аутентификации именно пользователей, а не устройств (ноутбуков, смартфонов), подключающихся к корпоративной сети, так как в случае утери или кражи оборудования злоумышленник может получить доступ в сеть предприятия.

Аналогичные задачи возникают и при обеспечении взаимодействия между территориально распределенными филиалами. Очень важно использование надежных механизмов аутентификации как при подключении к корпоративной сети, так и при доступе к различным информационным системам, порталам и сервисам, работающим в ней. Одним из таких механизмов является использование сертификатов открытого ключа, выпущенных корпоративным удостоверяющим центром. Централизованная система управления средствами аутентификации и самим доступом к корпоративным ресурсам и системам позволяет оперативно реагировать на случаи обнаружения угроз или возникновения инцидентов.

Удаленная поддержка и администрирование

В рамках выполнения своих обязанностей системным администраторам часто требуется подключаться к удаленным компьютерам для устранения возникших неполадок или установки нового ПО. Компании, имеющей несколько филиалов, сотрудники которых не всегда обладают нужной квалификацией, подобная возможность крайне необходима. Ее предоставляют специальные утилиты, например программа Radmin компании «Фаматек». Она используется в распределенных корпоративных сетях для поддержки пользователей, позволяя решать технические проблемы сотрудников, даже находящихся в других городах.

Насколько оправдан такой доступ и не создает ли он пробелов в защите? «Наш продукт отличается высоким уровнем безопасности, — говорит Дмитрий Зноско, генеральный директор компании ‘‘Фаматек’’. — Radmin используется для технической поддержки во многих крупных организациях, включая правительственные и финансовые учреждения, военные ведомства. Не секрет, что подобные компании предъявляют повышенные требования к обеспечению безопасности».

Для авторизации пользователей в программе может быть выбрана либо система безопасности Windows с поддержкой Active Directory и протокола Kerberos, либо собственная система c индивидуальными правами доступа для каждого пользователя и защищенной аутентификацией по имени и паролю. В первом случае у администраторов домена имеется возможность применять привычные средства назначения прав. Системный администратор может дать разрешение на подключение в любом из режимов — «Полный контроль», «Просмотр», Telnet, «Обмен файлами» или «Переадресация» — любому пользователю или группе пользователей. ПО Radmin совместимо с другими системами сетевой безопасности. Для работы программы достаточно подключения к одному порту TCP, номер которого можно задать в настройках.

Чтобы никто не мог получить несанкционированного доступа к удаленному компьютеру, в Radmin можно настроить IP-фильтрацию, а также запретить подключение к экрану без явного одобрения его пользователя. Кроме того, в Radmin ведется протокол соединений, все действия записываются в журнал. Эта информация может пригодиться для аудита подключений к удаленному компьютеру и для выявления потенциально опасного поведения, например попыток подобрать пароль или соединений в нерабочее время.

«Radmin надежно защищает все передаваемые данные. За 16-летнюю историю существования продукта в нем не было найдено ни одной уязвимости, в то время как в других подобных решениях число уязвимостей измеряется десятками, — рассказывает Дмитрий Зноско. — Radmin активно используется для работы не только в защищенных корпоративных системах, но и в такой потенциально ненадежной сети, как Интернет. И никаких проблем с безопасностью не выявлено».

ЦЕНТРАЛИЗОВАННЫЙ МОНИТОРИНГ И УПРАВЛЕНИЕ

Насколько важны в этом контексте функции централизованного управления в режиме реального времени? Мониторинг и обнаружение угроз ИТ-безопасности в реальном времени требуют постоянного сбора информации о событиях, происходящих в распределенных сегментах сети. Однако в удаленных подразделениях не всегда имеются специалисты службы поддержки, а тем более сотрудники, отвечающие исключительно за администрирование средств защиты. В таком случае требуется не только централизация, но и возможность иерархического управления, указывает Олег Глебов. Например, распространение глобальных критичных политик, сформированных в головном офисе, при одновременном локальном администрировании уникальных правил для распределенных сегментов.

«Создание единых центров управления, безусловно, необходимо, так как помогает выявлять риски и, соответственно, минимизировать последствия. Однако администрирование таких центров в режиме реального времени требует выделения дополнительного финансирования, — говорит Андрей Арефьев. — Все должно быть соразмерно, и если при оценке рисков устанавливается высокая вероятность того, что предполагаемая атака на предприятие может привести к масштабному ущербу, то системы централизованного управления должны обязательно функционировать в режиме реального времени».

В группе средств мониторинга можно выделить решения для управления событиями и данными безопасности (Security Information & Event Management, SEIM) с корреляцией событий, позволяющие контролировать как сами события безопасности, так и их взаимосвязь. Журналы событий анализируются с применением методов, аналогичных анализу Больших Данных. Быстро развиваются и средства отслеживания внутренних угроз и защиты от утечек информации (DLP). Эволюционируют методы аутентификации и решения PKI. В импортные продукты встраиваются отечественные криптоалгоритмы и движки, например «КриптоПро». А антивирусный движок «Лаборатории Касперского» используется в системах SIEM и DLP, например, компании Blue Coat.

Без централизованного управления невозможно построить эффективную систему защиты в условиях распределенной сети, подчеркивает Алексей Андрияшин. Современные средства управления позволяют координировать решения от разных производителей, соблюдая принципы соответствия общей корпоративной политики безопасности. Примером является технология SDN. Вендоры активно работают в данном направлении: например, компания Fortinet представила новую систему безопасности программно определяемых сетей (Software-Defined Network Security, SDNS).

Эффективные инвестиции в ИБ требуют комплексной оценки рисков и угроз. Нужно принимать во внимание будущее развитие защищенной телекоммуникационной инфраструктуры, иначе неизбежны дополнительные затраты на модернизацию системы.

Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.

Привет Друзья. Недавно запустил сервис для отслеживания авиасообщения онлайн — ADS-B Радар. Но в процессе настройки оборудования столкнулся с проблемой доступа FlightFeeder — устройства для приема сигналов от самолетов в интернет.

Как видно из схемы, FlightFeeder подключается Ethernet кабелем непосредственно к модему или роутеру для передачи данных на сервер QSY.BY. Длина кабеля от антенны до приемника составляет 15 метров (при большей длине, в кабеле начинаются затухания) в свою очередь это сказывается на дальности приема. Так что в моей ситуации приемник оказался непосредственно у окна в дальней комнате.

Интернет в моей квартире подключен по PON технологии и оптического кабеля хватило лишь на установку модема в коридоре. Поэтому все устройства в квартире подключаются к интернету по Wi-Fi. Т.к. FlightFeeder основан на Raspberry PI3 (в третьей ревизии, Raspberry, поддерживает Wi-Fi и Bluetooth из коробки), решил подключить его по Wi-Fi. (Распаковку и обзор FlightFeeder можно посмотреть ). Но к сожалению столкнулся с проблемой. Многие пользователи Raspberry PI3 отмечают, что возможности встроенного модуля Wi-Fi и небольшой антенны, не позволяют использовать ее далеко от точки доступа. В моей же ситуации расстояние было большим и ситуацию усугублял металлический корпус. Поэтому пришлось отказаться от возможности использовать стандартный Wi-Fi от Raspberry. Однако я решил не упускать шанс подключить FlightFeeder к Wi-Fi. Далее было принято решение использовать USB Wi-Fi адаптер TP-Link TL-WN722N. Эта затея так же не увенчалась успехом. После тщательного изучения документации по настройке и переписке с службой поддержки FlightFeeder пришел к следующему выводу:

  • FlightFeeder не возможно подключить к сети Wi-Fi стандартными средствами Raspberry PI3 или через USB Wi-Fi адаптер (Есть исключения. Официально программным обеспечением Pi Aware поддерживаются два USB Wi-Fi адаптера Edimax EW-7811 и TP-link N150 (TL-WN725N )
  • Служба поддержкиFlightFeeder отвечает быстро. Обещают изменить ситуацию в ближайших обновлениях.
  • Придется подключать FlightFeeder по Ethernet или искать другие варианты подключения.

И так предыстория закончена.

Оговорюсь сразу. Вариант тянуть кабель через всю квартиру меня не устраивал, поэтому я стал искать варианты выхода из этой ситуации. Так я пришел к WDS.

Wikipedia о WDS говорит следующее:

Wireless Distribution System (WDS) — технология, позволяющая расширить зону покрытия беспроводной сети путём объединения нескольких WiFi точек доступа в единую сеть без необходимости наличия проводного соединения между ними (что является обязательным при традиционной схеме построения сети). Отличительной чертой технологии по сравнению с другими решениями является сохранение MAC-адресов клиентов сети.

Точка доступа в WDS сети может работать в режиме основной, релейной или удаленной базовой станции.

Основные базовые станции, как правило, подключены к проводной сети, удаленные базовые станции служат для подключения клиентов беспроводной сети, а релейные станции служат для связи основных и удаленных станций, выполняя функцию усилителя и ретранслятора сигнала.

Схема подключения будет выглядеть следующим образом.

Если Вы еще не поняли, что и как я буду настраивать, то из выше приведенной схемы надеюсь все станет понятно.

Шаг 1. Заходим в модем.

Логинимся со своими учетными данными. По стандарту логин\пароль — ADMIN. Настоятельно рекомендую сменить его, т.к это на прямую влияет на безопасность.

В настройках модема необходимо изменить только один параметр. Изменить значение параметра Channel с Auto на определенный номер канала. Я для себя выбрал №1. В последующем необходимо установить такой же номер канала в роутере. Из практики. В многоквартирном доме довольно шумный эфир из-за большого количества устройств оборудованных Wi-Fi (модемы, роутеры, смартфоны, умные розетки, утюги и т.д.), поэтому рекомендую воспользоваться утилитой для оценки используемых каналов другими роутерами\модемами и определить более свободный канал.

Шаг 2. На этом все настройки модема закончены. Переходим к настройкам роутера. Логинемся и первым делом меняем IP адрес, он должен отличаться от IP адреса модема. Далее.

Шаг 3. Заходим Wireless (Беспроводная сеть) -> Wireless Settings (Настройки беспроводного подключения). Отмечаем Enable WDS (Включить WDS). Затем отобразиться страница, аналогичная представленной на рисунке ниже. Изменяем канал на канал корневой точки доступа / модема.

Шаг 4 Нажмите Search ( Поиск ).

В появившемся окне находим SSID нашего модема и нажимаем Connect (Подключиться).

В результате поля SSiD и BSSID автоматически заполнятся, осталось выбрать тип ключа безопасности и ввести пароль от Wi-Fi сети модема. Нажимаем кнопку «Сохранить».

Настройку роутера TP-Link TL WR841 можно считать оконченной. О чем свидетель статус «Состояние WDS: Установлено.»

Теперь осталось отнести роутер в дальнюю комнату и получить расширенную сеть Wi-Fi. Результатом моих трудов стал работающий сервис онлайн — ADS-B Радар для сообщества QSY.BY

В окончании хочу добавить что в данном примере роутер TP-Link TL WR841DN/ TP-Link TL WR841D используются как частный случай, на данный момент многие роутеры поддерживают функцию WDS и с ними можно проделать подобные операции, единственное, что хотел бы добавить, так это то, что желательно для связки в WDS использовать роутеры одного производителя, а в идеале и одинаковой модели. То что это получилось провернуть с модемом от Беларусского провайдера Betelecom чистой воды удача.

Отдельное спасибо моему коллеге EW4C предоставленное оборудование.

Аббревиатуру WDS можно перевести на русский язык как «беспроводная распределённая система». Оригинальное наименование технологии расшифровывается как «Wireless Distribution System».

Она позволяет значительно увеличить площадь покрытия вайфаем при использовании только одной точки, непосредственно подключенной к интернету. Обычно производится настройка в следующих двух режимах WDS: репитера и моста.

Подготовительные мероприятия для организации WDS

До начала настройки рекомендуется выполнить несколько предварительных мероприятий:

  1. Проверить, что все устройства в вайфай-сетях способны обмениваться информацией со своими маршрутизаторами (обычно такой анализ выполняют подключив кабелем роутеры к интернету через порты WAN);
  2. Прописать для каждого роутера статичный IP. Важно, чтобы эти айпи были исключены из диапазона DHCP, так как в противном случае может произойти дублирование, а это вызовет сбой работы сети. Также следует обратить внимание, что на динамическое присвоение «айпи» затрачивается большое количество времени;
  3. Рекомендуется выставить во всех применяемых маршрутизаторах одинаковый канал. При использовании стандартов 802.11b и 11g желательно применять каналы под номерами 1, 6, 11. Главное, чтобы канал не был занят какой-нибудь соседней сетью;
  4. Присвоить разные имена используемым точкам доступа. Они функционируют руководствуясь идентификацией по MAC, и подключение происходит без учета указанных SSID. А для соединения клиентов с точками доступа лучше, чтобы они имели отличающиеся друг от друга имена. Необходимо отметить, что любой подключенный к конкретной беспроводной точке доступа девайс, даже при значительном удалении от нее, будет связан только с ней, несмотря на очень слабую мощность затухающего с расстоянием сигнала, и не подключится к другой без окончательной потери связи с первой. Это, конечно, приводит к потере в скорости передачи данных. В случае, когда предварительно указаны отличающиеся наименования разным точкам, то клиент сам легко может проследить, к какой-точке целесообразно переподключиться.
  5. Обязательно заранее определить оптимальные места для установки точек доступа. На скорость работы в беспроводной сети особенно сильно оказывает влияние мощность сигнала. При этом каждый дополнительный мост уменьшает его силу. Однако клиенты, расположенные на границах охвата точками доступа, тоже потеряют в скорости подключения. Основываясь на опыте использования технологии, рекомендуется располагать повторители в местах, где скорость для стандарта 11b еще не упала ниже 5 — 6 Mbit/c, а для 11a и 11g этот показатель желательно не опускать ниже 23 — 25 Mbit/c. Фактически получается, где-то на полпути до затухания сигнала;
  6. Для максимального устранения возможных неудач и потерь скорости требуется использовать оборудование одной модели и одного производителя. Использование точек доступа различных стандартов в лучшем случае повлечет урезание скорости, а в худшем приведет к полной неработоспособности инфраструктуры.

Настройка

Рассмотрим процедуру на примере оборудования от TP-Link. Точкой доступа может служить автономный прибор либо встроенный в маршрутизатор. Для использования WDS сначала требуется ввести необходимые параметры в настройках всех точек доступа, которые потом будут элементами единой созданной сети.

Алгоритм необходимых шагов следующий:

  1. Требуется из сопроводительной документации роутера выяснить заданные его производителем имя и код доступа, а также определить IP-адрес;
  2. Подключить маршрутизатор к компьютеру патч-кордом. В свойствах TCP/IP указать неизменяемый IP. Прописать маску;
  3. Запустить в ПК меню настроек маршрутизатора через интернет-обозреватель. Иногда для исключения проблем приходится временно отключать файерволл и антивирусную утилиту в компьютере. В браузере напечатать айпи роутера и щелкнуть «Ввод»;
  4. В отобразившемся окошке напечатать имя с кодом доступа;
  5. Кликнуть «Ввод»;
  6. Далее в веб-интерфейса указать вид вайфай-сети. Установить стандарт, соответствующий используемому оборудованию;
  7. Установить номер канала;
  8. Напечатать имя в графе SSID, главное, чтобы оно было узнаваемо клиентами;
  9. В поле «Rate» можно установить автоматический подбор скорости.

Применение WDS

На скорость соединения по «воздуху» влияет удалённость Wi-Fi-устройства от источника сигнала, наличие помех из-за разных предметов, включая стены, поэтому применение сразу нескольких WAP, которые находятся в одной сети, позволяет избежать возможных проблем, поскольку всё помещение будет представлять собой одну зону. Особенно это актуально для больших по площади помещений, квартир, а также домов с толстыми стенами из бетона.

Поскольку режим моста позволяет связать несколько сетей, работающих в разных домах, то таким образом можно использовать мост для связи не просто с соседним домом, но даже с довольно удалёнными складами, а также офисами или, например, организовать наблюдение за домом, или дачей. Разумеется, что чем длиннее будет создаваемый канал (линк), тем он обойдётся дороже, но цель будет оправдывать средства.

WDS режим беспроводного моста Wireless Bridge для больших расстояний

Режим беспроводного моста — это ещё одна функция WAP, которая предполагает более сложную конфигурацию всех элементов сети, но если делать всё внимательно и по порядку, то никаких проблем не возникнет.

Характерной особенностью этого режима WDS является то, что передача данных по «воздуху» устанавливается только между самим оборудованием. К нему всё подсоединяется через кабель. Он позволяет потом с лёгкостью подсоединять всевозможные домашние приборы через Ethernet, затем управлять ими, находясь на приличном расстоянии. Нежелательно, чтобы наиболее возможное количество задействованных аппаратов превышало 30 элементов, иначе скорость соединения значительно снизится. Если требуется подключить большее количество клиентских приборов, то можно подумать о применении нескольких инфраструктур Wireless Distribution System.

WDS режим репитера (повторителя) для расширенных возможностей

Режим репитера позволяет присоединять к WAP не только другую точку, но и самые разные беспроводные приборы (адаптеры).

Включение WDS

Включить Wireless Distribution System не так уж сложно, а чтобы наверняка исключить риск возникновения проблем несовместимости, рекомендуется создавать инфраструктуру на базе устройств, если уж не одной фирмы-изготовителя, то хотя бы аналогичных друг другу. Особенно это касается стандартов IEEE 802.11. Применение адаптеров, работающих с отличающимися между собой стандартами, может привести к потере скорости, поэтому лучше воспользоваться однотипным оборудованием.

Настройка точки доступа

Точка доступа выступает как основной элемент сети Wi-Fi. Она может быть представлена как автономный прибор или быть встроенной в роутер. Разумеется, чтобы включить WDS, логично начать настройку именно с неё, при этом помните, что конфигурировать необходимо каждую, из всех участвующих в создании беспроводной инфраструктуры.

Стоит напомнить, что такой автономный прибор служит базовой станцией (БС), имеющей возможность быть основной, удалённой, а также релейной.

  • Основные базовые станции используются при проводном подключении к Глобальной сети.
  • Удалённые позволяют подключиться различным устройствам по Wi-Fi.
  • Релейные отвечают за усиление, а также ретранслирование связи между основными базовыми станциями и удалёнными.

Сначала следует узнать IP-адрес автономного прибора (роутера, маршрутизатора), а также дефолтные логин с паролем. Все эти данные обычно берутся из инструкции для оборудования, поэтому затруднений возникнуть не должно.

После этого этапа присоединяем к базовой станции ПК через Ethernet. Важно задать ПК статический IP-адрес, используя ту же подсеть, в которой находится адрес налаживаемой WAP (меняются цифры после последней точки), указать маску 255.255.255.0. Установка IP-адреса доступна в свойствах TCP/IP.

Теперь интерфейс панели управления WAP (или роутера) можно открыть при помощи обычного браузера, однако, иногда заранее приходится выключать файерволл на подключенном ПК для осуществления корректного доступа. Вид и функции интерфейса зависят от модели оборудования.

Итак, следующим шагом на ПК, подключенном к БС, надо открыть браузер, там в строку поиска вбить IP-адрес нужной AP. Откроется нужная нам панель, где потребуется ввести запрашиваемые формой авторизации логин с паролем, залогинившись, можно приступать к последующей настройке.

Посредством панели управления можно легко изменить адрес WAP так, чтобы любая из использующихся имела свой IP, но в пределах подсети.

  • выбираем тип беспроводной сети — нужно указать предпочитаемый беспроводной стандарт IEEE, исходя из параметров оборудования;
  • номер частотного канала указывается для всех БС одинаковый или ставится автоматический выбор;
  • задаём особый идентификатор SSID (желательно давать такое название, чтобы можно было потом его легко опознать);
  • параметр Rate отвечает за скорость соединения (лучше его оставить в положении автовыбора).

Настройка клиентских адаптеров для работы в режиме WDS

Для конфигурации беспроводного адаптера (клиента) обычно применяется ПО, разработанное специально для конкретного устройства. При подключении нескольких клиентских приборов, непременно нужно учитывать, что у каждого из них должен быть прописан свой особенный статический адрес в рамках той же самой подсети, которая применялась для наладки базовых станций.

Чтобы подключить беспроводной аппарат, требуется создать профиль нового соединения по «воздуху», куда вводим имя самого профиля и Wi-Fi-инфраструктуры, к которой нужно подключиться. Количество новых созданных профилей должно соответствовать количеству сетей, объединённых в WDS.

Для завершения процесса конфигурации WDS снова открываем настройки WAP, где на необходимой вкладке выбираем подходящую нам конфигурацию. Вполне возможно, что она может быть не указана — это может только означать, что точка по умолчанию будет работать как повторитель.

Находим поля для указания MAC-адресов точек, с которыми разрешается работать налаживаемому устройству. Сюда надо вписать MAC-адреса работающих в WDS базовых станций.

Узнать MAC-адрес точки доступа весьма просто — следует просто открыть свойства подключения нужного профиля.

Безопасность WDS

Чтобы обезопаситься от нежданных гостей, настоятельно рекомендуется применять фильтрацию по MAC-адресам, потом скрыть SSID, затем закодировать данные при помощи WEP (WPA в Wireless Distribution System не поддерживается) сперва в настройках всех точек доступа, а затем в опциях подключаемых устройств.

Команда ipconfig/all, набранная в командной строке, покажет IP и MAC-адреса для клиентских приборов. Открыв интерфейс конфигурации точки wifi, заполняем перечень разрешённых адресов нашими, тем самым установив блокировку подключения всех остальных неизвестных устройств.

Настройка защиты и кодирования также выполняется посредством панели управления автономным прибором. Для бесперебойной работы инфраструктуры необходимо в опциях всех базовых станций указывать одинаковые метод и ключ кодировки.

>Проверка WDS

Если всё было подключено верно, то подключенные устройства смогут работать между собой через сеть.

Wireless Distribution System

Wireless Distribution System (WDS) — технология, позволяющая расширить зону покрытия беспроводной сети путём объединения нескольких WiFi точек доступа в единую сеть без необходимости наличия проводного соединения между ними (что является обязательным при традиционной схеме построения сети). Отличительной чертой технологии по сравнению с другими решениями является сохранение MAC-адресов клиентов сети.

Точка доступа в WDS сети может работать в режиме основной, релейной или удаленной базовой станции.

Основные базовые станции, как правило, подключены к проводной сети, удаленные базовые станции служат для подключения клиентов беспроводной сети, а релейные станции служат для связи основных и удаленных станций, выполняя функцию усилителя и ретранслятора сигнала.

Все базовые станции WDS сети должны быть настроены на использование одной и той же частоты, метода шифрования и ключа шифрования. В то же время допускается использование различных SSID.

WDS может обеспечивать два режима для соединения точек доступа:

  • Режим беспроводного моста, где устройства (WDS AP) сообщаются между собой и не обеспечивают доступа для других беспроводных станций или клиентов.
  • Беспроводной повторитель/репитер.

Отрицательные стороны WDS:

  • пропускная способность сети падает до 50% по сравнению с обычным подключением;
  • уменьшается скорость работы по WiFi так как для связи точек используется один канал;
  • проблема совместимости между разными производителями;
  • номер канала должен быть всегда постоянным;
  • устаревшее оборудование поддерживает шифрование только WEP (большинство современных Wi-Fi роутеров поддерживают работу WDS при использовании шифрования WPA).

Положительные стороны WDS:

  • отсутствие проводного соединения между точками доступа Wi-Fi;
  • сохранение MAC-адресов клиентов сети.

В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена.
Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники.
Эта отметка установлена 4 апреля 2016 года.

Это заготовка статьи о телекоммуникациях. Вы можете помочь проекту, дополнив её.

> Ссылки

  • Настройка WiFi повторителя (репитера) для беспроводной сети с WDS
  • Настройка роутера TP-Link в режиме Wi-Fi повторителя WDS

FILED UNDER : Железо

Submit a Comment

Must be required * marked fields.

:*
:*