Tài liệu " Thiết kế và các giải pháp cho mạng không dây " được biên soạn nhằm mục đích giúp bạn hiểu rõ hơn về công nghệ không dây, cách xây dựng và bảo vệ cũng như các giải pháp cho công nghệ này. Tài liệu còn là nguồn tham khảo rất bổ ích cho mọi đối tượng quan tâm và làm viêc với công nghệ không dây
Trang 1Chương 10 - Mở rộng các mạng không dây và hữu tuyến 169 Sau đây là một số tình huống mà giải pháp tạo cầu nối cho hai LAN là hợp lý:
M Bạn cần tìm một cách để nối kết hai LAN riêng biệt mà không tốn nhiều chỉ phí
M Bạn cần khả năng linh hoạt để nối kết với một vị trí không thuận tiện
hoặc một vị trí hay thay đổi
8 Bạn muốn một cách phụ để nối kết hai LAN nhằm đạt được khả năng
đây và một LAN vốn đã có một mạng không dây thì không khác biệt gì nhiêu so
với việc thêm mạng không dây đầu tiên
Bạn có thể thêm router hoặc access point không dây ở hất cứ nơi nào bạn có
thể nối kết với mạng Với công nghệ không dây đó thật sự là điều khó khăn bởi vì các vị trí mà bạn muốn đặt một tín hiệu không đây là một vị trí mà ban không thể đưa dây đến đó Do đó những lựa chọn bạn có là mở rộng mạng không dây sao cho tâm hoạt động của hai hoặc nhiều mạng không đây có thể phủ chồng hoặc tìm một cách khác để đưa LAN hữu tuyến đến một điểm nơi nó có thể hỗ trợ một nối kết không đây
Mất tin hiệu
Vấn để thiết yếu trong việc thiết lập một cầu nối không đây là khoảng cách và mất tín hiệu Cả hai bị ảnh hưởng bởi bản chất với thiết bị không dây và đường dẫn từ một thiết bị này qua thiết bị khác Bạn có thể làm ảnh hưởng đáng kể đến nối kết bằng cách chọn loại anten thích hợp và định vị các thiết bị một cách chính xác (xem chương 12 để biết thêm chỉ tiếu Nếu bạn nối kết hai phía của cùng một căn nhà lại với nhau, một anten mọi hướng hoặc bán hướng là đủ để tạo một liên kết mạnh Đối với một nhà khách riêng biệt, một anten nhiều hướng hơn có thể hiệu quả với một hoặc cả hai nút mạng không đây, Sau cùng, đối với các khoảng cách rất dài có tầm ngắm trực tiếp, một anten có độ khuếch đại cao chẳng hạn như một anten đạng hộp hoặc anten đường dẫn sóng hoặc anten phần chiếu parabol
sẽ là lựa chọn
Bất kỳ thiết bị nào bạn sử đụng, mục đích là nhằm tính cường độ của tín hiệu trực tiếp Nó phẩi hơn 20đBm trên độ nhạy của access point Nhỏ hơn 20đBm sẽ dẫn đến mất tín hiệu vốn giảm cấp tín hiệu đi quá nhiều Bạn có thể tính công
suất của tín hiệu được nhận bằng công thức chung sau đây:
Tín hiệu nhận = Công suất vào - tổng tổn hao + tổng độ khuếch đại.
Trang 2Chương 10 - Mở rộng các mạng không dây và hữu tuyến 171
2 Thu thập tất cả địa chỉ MAC Ethernet của các thiết bị endpoint Điều này
sẽ có sẵn trong phần mềm quần lý thiết bị mạng không dây
3 Nhập các địa chỉ MAC cho nút 1 vào địa chỉ MÁC của thiết bị nối kết cho thiết bị 2 và ngược lại
sang wirelcss briđgc (tên gọi thay đổ
oat dong sang point-to-point hoặc
tùy theo nhà sản xuat)
chạy một cáp Ethernct CAT5, xem xét một giải pháp PoE (Power over Ethenet) được thảo luận ở phần sau trong chương nay
8 Cẩn thận định vị trí antcn sao cho có thể thu được tín hiệu tốt nhất Đây là một điều mà bạn có thể muốn hai người cùng làm để bạn có thể tiết kiệm được thời gian và công sức Khi bạn có được vị trí rốt nhất, siết chặt anten vào một vị trí chắc chắn và không thể di chuyển
9 Bảo vệ bất kỳ anten ngoài để tránh mưa bão và thời tiết Cáp CAT5 nên
được bao bọc để tránh sự mài mòn của thời tiết; tất cá bộ phận kim loại nên được tiếp đất phòng hờ sét đánh
Cac tôpñ tẩu adi
Các nhà sẵn xuất và tác giả khác nhau tạo nhãn cho những tôpô cầu nối không dây khác nhau bằng các tên gọi khác nhau: chế độ aceess point, chế độ cầu nối
workgroup, point-to-point (điểm nối điểm), redundant point-to-point (điểm nối điểm dư thừa), point-to-multipoint (điểm - nhiều điểm) Chỉ có một vài nguyên
tắc nói rằng bạn cần ghi nhớ về những công nghệ này Hình 10.5 minh họa một số tôpô câu nối đa điểm
Trong tôpô đầu tiên, một access point là một cầu nối gốc và access point kia là cầu nối không gốc Một câu nối gốc truyén t6pé tin hiệu cùng với sự xác thực trong khi các câu nối không gốc thì không làm điều này Một cầu nối gốc được cung cấp số IP cầu nối thấp nhất Các tôpô câu nối gốc hữu dụng trong việc ngăn tình thành các vồng lặp Đối với các mạng lớn, bạn nên đặt câu nối gốc trong một
vi tri trung tâm để giám thiểu chiều dài nối kết Trong một nối kết point-to-point khi một câu nối gốc không thể được định vị, cầu nối không đường truyền mang nhiệm vụ của một cầu nối gốc
Nếu bạn cấu hình một mạng không dây để mở rộng phạm vi hoạt động đến một số phòng hoặc tòa nhà, bạn sẽ muốn xem xét một nối kết cầu nối point-to- multipoint, một điều được tìm thấy trong thiết bị doanh nghiệp Trong nối kết này
Trang 3172 Chương 10 - Mở rộng các mạng không dây và hữu tuyến tín hiệu của một cầu nối được nhận bởi hai hoặc nhiều cẩu nối không dây phục vụ thêm các LAN, Nếu mạng mà bạn nối kết là một mạng phẳng lớn nghĩa là môt mạng chỉ sử dụng các địa chỉ của một mạng loại C có 255 địa chỉ thì lời khuyên là nên sử dụng một router để nối kết với mạng đó Nếu bạn có một nối kết quan trọng, có lẽ trong một hệ thống có nhiệm vụ quan trọng bạn có thể muốn sử dụng các cầu nối không dây dư thừa Ở đây bai hoặc nhiều nối kết pointi ~t0-point được
sử dụng để liên kết các mạng này Các thiết bị tạo cầu nối dư thừa sử dụng Spanning Tree Protocol (ŠTP) giám sát các liên kết mạng không đây của chúng STP phân tích dòng lưu thông và tái cấu hình các đường đẫn khi nó phát hiện các vấn đề Tất cả tôpô này dành cho việc lắp đặt không đây lớn hơn tốn kém và khó khăn thực hiện đối với người bình thường
Trang 4
Chương 10 - Mở rộng các mạng không dây và hữu tuyến 173
Chuyển vìng và thông lữựng
Với một access point không dây, bạn có thể di chuyển xung quanh với một máy laptop và vẫn được nối kết với cùng một mạng Tình huống này trở nên phức tạp hơn khi có nhiễu acecss poinL Khi bạn đi chuyển xung quanh, bạn đang làm những gì được gọi là roaming (chuyển vùng) và khi bạn bị mất nối kết, bạn cân thiết lập lại một nối kết mới Tương tự như với việc tao cầu nối (bridging), roam- ing không luôn luôn được thực thi tốt trong các điểm truy cập đối với thị trường người tiêu dùng Một chuẩn được gọi là Inter Access Point Protocol (IAPP) cho roaming khéng day cho 802.1 1f được xuất bản bởi nhóm đặc nhiệm IEEE nhưng
có thể cần một thời gian nào đó trước khi bạn thấy nh năng này được thực thi Đầu tiên, chúng ta cần thấy các thiết bị 802.11f và sau đó phải có một yêu câu được chứng minh về roaming trong thị trường người tiêu dùng - một điểu mà có
thể không bao giờ xây ra Hầu hết những người dùng gia đình và đoanh nghiệp nhỏ không có nhiều domain và do đó không đồi hồi roaming,
Có một tình huống khác trong đó bạn muốn lắp đặt nhiều access point để tăng
thông lượng (throughput) Hãy xem xét một công ty thiết kế nhỏ nơi mà các file
lớn được chuyển bởi nhiều nhân viên Để phục vụ tốt hơn nhóm này, nhiều access point được lắp đặt để phủ chồng sao cho các client khác nhau có thể nối kết với
những access poim khác nhau và do đó cân bằng tải lưu lượng giữa chúng Cân bằng tải (Load Balancing) không phái là một tính năng mà bạn sẽ tìm thấy trên các thiết bị tiêu dùng và nó khó thực thí bởi vì các thiết bị tiều ding kep chat tín
hiệu mạnh nhất mà chúng tìm thấy Một giải pháp cân bằng tải đòi hồi việc điều khiển phần mềm để chon access point vốn có sẵn băng thông lớn nhất
Power aver Ethernet (PoE)
Nếu tất cả những gì bạn muốn làm là cung cấp một vị trí nơi bạn có thể đặt một access point ti xa, thì tốt nhất bạn nên cắm access poht từ xa vào một hub hoặc
switch gần đó Nếu bạn phải xác lập một access point nơi không có nguồn điện
nhưng bạn có thể chạy một đường dây Ethcrnet đến đó Bạn có thể thực hiện điều này bằng cách tận dụng những gì được gọi là một giải pháp Power over Ethernet hoặc PoE Một access point trên một mái nhà là một điển hình về ứng dụng này.PoE là một chuẩn IEEE mà người ta hy vọng sẽ loại bỏ nhu câu có các đường đây điện gần mọi thiết bị không dây Nó sử đụng các đây không được sử dụng trong cáp Ethernet để mang dòng điện một chiều (DC) Lý do sử dụng PoE là để bạn có thể đặt một acecss point kế bên anten của nó Nối kết giữa hai thành phần này càng đài thì việc truyền tải và nhận tín hiệu sẽ càng yếu đi Một dây cáp đồng trục han 3 feet thi di giẩm cấp nghiêm trọng hiệu suất của một access point Chức năng của PoE là sử dụng một thiết bị được gọi là một injector vốn cung cấp nguồn điện cho các đây CATS thích hợp và một tap hoặc spliter (bộ tách)
vốn có một ổ điện gắn vào nó nơi adapter nguồn của aceess point cắm vào Một tín hiệu Ethernet đi qua cả hai thiết bị này một cách trong suốt Công nghệ cung cấp thêm các injector và lap thụ động và chủ động Sự khác biệt là một thiết bị
Trang 5174 Chương 10 - Mở rộng các mạng không dây và hữu tuyến chủ động bảo vệ ngăn chập mạch dòng điện quá cao và điều tiết điện áp Bạn sẽ nhận thấy rằng các injector sử dụng điện áp của access point gấp 5 đến 10 lần để đụy trì một tín hiệu mạnh trên đường dây Một ta chủ động sẽ có một bộ điều tiết
điện ấp trong đó nó sẽ điều chỉnh điện Ap xudng 5V DC, đây là nhifng gi ma
nhiễu access point sử dụng Với công nghé PoB, dic biét tim ý đến nối kết từ những thiết bị này đến thiết bị không dây Một số phích cắm là độc quyên và
không tương thích với nhau
PoE không chỉ có thể cắt giảm chỉ phí mà còn có thể giầm hóa đơn tiễn điện và giúp bạn kiểm soát các thiết bị Bằng cách sử dụng phần mềm quản lý của các
thiết bị PoE, bạn có thể lập trình khi nào những thiết bị này hoạt động Nếu bạn tắt những thiết bị này khi không còn ai lãng vãng xung quanh, sau giờ làm việc hoặc vào ban đêm, bạn có thể giẩm đi khả năng bị xầm nhập bảo mật
PWerLiBe EtherTiet
Dĩ nhiên lý do chúng ta gọi nó là một "access point từ xa" là có lẽ sẽ không có
sẩn một hub hoặc access point và khó nếu không thể không chạy cáp Ethcrnet đến vị trí đó Một cách để tránh vấn để này là thêm một cầu nối HomePlug PowerLine Ethernet đến mỗi đầu của nối kết mà bạn cần thiết lập,
Các adapter phích cắm dây điện (powerlinc plug) cắm vào router hoặc switch
của mạng và cũng cắm vào lỗ cắm điện chuẩn gắn đó Tín hiệu chạy trên mạch
điện hiện có cúa nhà và giao tiếp với một adapter phích cắm ở đầu từ xa được gắn Vào access point không dây từ xa Công nghệ PowerLine là một chuẩn được hỗ trợ béi HomePlug PowerLine Alliance (www,homeplug.org) vốn xác nhận sự tương thích với chuẩn này
Linksys có adapter PLUSB L0 sử dụng tính năng nối mạ ng USB trên các đường
dây điện Bạn cần hai trong số những thiết bị này để thiết lập nối kết PowerLine,
Linksys có một cầu nối cho PowerLine, Linksys Instance PowerLine Ehernet 10/
100 Bridge vốn có thể nối kết cổng Ethernct véi m6t router, modem cáp hay DSL với một nối kết đường dây điện Sau cùng, bạn sẽ nhận thấy rằng adapter Netgear XE102 Powerline la một lựa chọn khác Công nghệ dễ cài đặt và thường không đòi hỏi các driver, nhưng nó đắt và có một tốc độ truyền dữ liệu chậm không phù hợp cho nhiều ứng dụng, chẳng hạn như video sireaming Powerline có thể truyền
dữ liệu với tốc độ 14 Mbps, hơi nhanh hơn 802.11b Công nghệ này không thật sự
đủ nhanh để khai thác 802.1 lag và những chuẩn không dây khác một cách đầy đủ
và các linh kiện có khuynh hướng đắt tiền Tuy nhiên, không có sự tranh cãi về mức độ tiện lợi của giải pháp này Để truy cập email, chỉ việc đuyệt web hoặc streaming (tạo luỗng) nhạc sang một vị trí từ xa, Powerline sẽ đáp ứng đầy đủ nhu a cầu
Cô lập các mạng với nhau
Cô lập mạng tạo ra một rào cẩn mà những hacker phải vượt qua để đạt được Sự truy cập đến dữ liệu của bạn Ưu điểm của sự cô lập là việc xâm nhập vào một
Trang 6Chương 10 - Mở rộng các mạng không đây và hữu tuyến 175 trong các mạng của bạn không nhất thiết có nghĩa tằng các vùng nhạy cảm hơn khác đã bị tốn hại Thật vậy, một trong những phương pháp ưu tiên để quản lý các hacker là tạo các honeypot, những hệ thống được xác lập đặc biệt để bị xâm nhập và để nhận biết phương pháp xâm nhập như đã được thảo luận ở chương 8 Bạn có thể sử dụng nhiều phương pháp khác để cô lập các mạng không dây với nhau bao gồm: tạo địa chí, các bộ lọc, làm ngừng hoạt động các liên kết sử dụng các cơ chế thách thức và phản hôi khác nhau
Tao dia ch
Bạn có thể muốn xem xét việc tạo một tập hợp địa chỉ IP riêng biệt hoặc một
domain cho LAN không đây và những thứ bổ sung cho từng LAN không đây phụ Điều này cho bạn một biện pháp kiểm soát đồng lưu thông bởi vì lưu lượng phải
tự xác thực khi nó truyễn từ domain này đến domain khác Cũng có một lợi ích về
hiệu suất đối với các domain bổ sưng Có những thiết bị mạng liên tục truyén phát
các gói trên một mạng Ethernet Một thiết bị như vậy có thể là một cluster tìm kiếm "heartbeat" (nhịp tim) của mỗi máy tính Một thiết bị khác có thể là một conso.e quần lý vốn gởi đi các gói "discovery" (phát hiện) và có nhiều thiết bị khác nữa Khi bạn ở trong một tình huống có nhiều lưu lượng này (thường là các phần triển khai rất lớn), bạn có thể thấy rằng các gói truyền đại chúng này đã lấy
đi phần lớn băng thông có sẵn của mạng không dây Bằng cách tạo domain cho
mạng không dây và tách biệt nó với LAN hữu tuyến bằng một router hoặc qua một mạng LAN ảo (VLAN), bạn có thể loại bỏ hao phí mạng này ra khối lưu lượng không đây
Một để nghị thông thường là mỗi mạng không dây nên được đặt trên subnet riêng của nó Một subnet mạng con là một tập hợp địa chỉ IP wong cing một
domain nơi subnet mask (mặt nạ mạng con) được thiết lập nhằm giới hạn day dia
chỉ và kích cỡ vùng chứa có sẵn Bạn sẽ tìm thấy một phần trợ gido vé subnet tai www.ralphb.ne/fPSubneư và tại www.learntosubnet.com/ Với việc tạo mạng
con, bạn có thể giới hạn những thiết bị nào được phép truy cập bằng cách xác định một dãy
Đối với các mạng không dây lớn hơn, các nhà tư vấn thường để nghị rằng từng mạng không đây là một domain khác vốn là một tập hợp máy tính có các dãy địa chỉ IP khác nhau Đối với việc nối mạng không dây, một domain khác có nghĩa là mỗi domain không dây có SSID riêng của nó Khi bạn có một giao diện domain
IP, bạn có thể bổ sung thêm những rào cản cho các hacker Rao cần đầu tiên là sự phức tạp ctia dia chi Viée tim ra cdc địa chỉ riêng trên một card NIC không dễ dang nhu thé khi bạn dò tìm từ một mạng sử dụng một NIC khác Do đó cài đặt một firewall thuộc một loại nào đó hoặc proxy server Nhiều access point và router cung cap tính năng này
Việc tạo nhiều domain mạng theo nghĩa đặc trưng cho thấy rằng bạn có các
đomain server khác nhau trên mỗi phía của mội liên kết Các đomain khác nhau
có các cơ sở dữ liệu bảo mật và thư mục mạng khác nhau của chúng vốn chuyển
Trang 7176 Chương 10 - Mở rộng các mạng không dây và hữu tuyến đổi thành những cơ chế thách thức và phản hồi khác nhau và đồi hồi các password khác nhau Khi bạn bắt đầu giải quyết mức độ phức tạp này, bạn phải xem xét
các mối quan hệ thật sự, trải qua các cuộc xác thực, phần mềm đăng nhập pass- word và những hệ thống khác vốn thật sự không phải là một phân của những tính năng của bất kỳ mạng gia đình hoặc doanh nghiệp nhỏ
Đối với các mạng gia đình và mạng doanh nghiệp nhỏ nơi chỉ một phần của day dia chi IP có sẵn đang được sử dụng bạn nên sử dụng các địa chi IP tĩnh cho những thiết bị và client Việc vô hiệu hóa DHCP có nghĩa rằng một hacker không thể nhầy vào mạng của bạn và nhận được địa chỉ mạng (IP) được cung cấp cho
họ, họ phải biết đấy địa chỉ Với các địa chỉ IP tĩnh, bạn có thể lọc lưu lượng dựa vào địa chỉ IP tại firewall hodc proxy server
Bạn cũng có thể tạo những gì được gọi là protocol isolation (cô lập giao thức) Với công nghệ không dây, điều nà y được hiểu là sử dụng một giao thức cho một phía của nối kết, chẳng hạn như 802 I 1b cho những người bên ngoài và một giao thức khác chẳng hạn như 802.1 Ib cho những người nội bộ Điều này không mang tại nhiều khả năng báo vệ, nhưng bất cứ người nào không có một card g sẽ không vào được để kiểm tra mọi thứ Việc cô lập giao thức mạng có tính truyễển thống hơn có một giao thức vận chuyển như IP trên một phía của một firewall và một giao thức khác như NetBEUI, AppleTalk hoặc IPX trên phía còn lại Với nối mạng IP đang phổ biến, ngày nay nhiều người chỉ việc chạy IP trên cả hai phía của firewall Tuy nhiên bạn có thể sử dụng sự mã hóa và có các khóa khác nhau trên mỗi mạng và điều đó làm phức tạp thêm công việc của một người nào đó đang cố xâm nhập vào mạng của bạn
Một hình thức cô lập tốt hơn được duy trì bằng cách sử đụng tính năng lọc
MAC Nghĩa là bạn nhập số địa chỉ MAC đã biết cho các thiết bị không dây của mạng và chỉ các thiết bị có các địa chỉ MAC thích hợp mới có thể xâm nhập vào mang Tinh nang loc MAC (Media Access Control) không an toàn Một hacker tài giỏi có thể làm giả một dia chi MAC nhưng việc làm như thế sẽ tạo thêm sự phức tạp cho công việc bắt buộc để xâm nhập vào mạng
Một số thiết bị không dây cho phép bạn đặt tên chúng sao cho chúng có thể được phát hiện bằng cách sử dụng những thứ như SNMP (Simple Network Man- agement Protocol) SNMP là bộ máy đằng sau hầu hết phần mềm vốn "phát hiện" các thiết bị | mạng Nếu bạn có thể vô hiệu hóa SNMP thì bạn nên làm như
thế và bạn nên cẩn thận tránh các tên mà người ta có thể đoán được đối với các
mạng không dây của bạn
8iới hạn tầm huạt động cửa tin hiệu
Bất cứ khi nào có thể, bạn nên kiểm tra để bảo đầm tín hiệu không rò rỈ vào các vùng nơi những người bên ngoài tâm kiểm soát của bạn có thể truy cập nó
Đó là một phần của bất kỳ việc khảo sát vị trí không dây Khi bạn có nhiều mạng, điều này thậm chí trở nên quan trọng hơn Bạn cũng có thể giới hạn sự truy cập bằng cách tắt các thông báo truyền đại chúng SSID của thiết bị để chỉ những
Trang 8Chương 10 - Mở rộng các mạng không dây và hữu tuyến 177 người biết tên của mạng không dây mới có thể truy cập nó Cố đỉnh kích cỡ thích hợp cho vòng hoại động bằng cách làm cho tín hiệu kết thúc tại bức tường ngoài của tòa nhà Có một số cách để làm điều này có lẽ cách đễ nhất là khảo sát vị trí
để đánh giá cường độ tín hiệu và điều chính vị trí của các thiết bị không dây nhằm đưa t4m hoạt động ra khỏi bất kỳ khu vực công cộng Bạn cũng có thể mua các
anten định hướng tín hiệu không đây ra khỏi một bức tường hoặc gốc, anten định hướng và anten định hướng cao
Nếu có thể được, bạn có th ám rủi ro bảo mật bằng việc tắt các access point
không dây khi không sử dụng chúng Phần mềm quản lý PoE đã được để cập như
là một giải pháp cho lập trình những thời đi các thiết bị được tắt, những bạn có thể sử dụng các switch được tự động hóa, phần mềm kiểm soát tòa nhà, các thiết bị X10 và những hệ thống khác để thực hiện chức năng này
Anten được để cập ở chương 12, nhưng chỉ cần nói rằng nếu bạn cần nối kết
hai LAN từ xa không dây, bạn muốn mua một anten có độ rộng chùm hẹp chẳng hạn như Yagi hoặc đối với các khoảng cách rất dài có lẽ là một anten phản chiếu đĩa parabol Với một anten định hướng cao chỉ có th gần với trung tâm của chùm tia mới có thể nhận được tín hiệu Việc định vị và các anten chắc chắn đòi hỏi chỉ phí thấp, các giải pháp một phẫn ít gây khó khăn cho vấn để bảo mật,
Mở tính năng mã hóa chẳng hạn như WEP và không chấp nhận những xác lập mặc định chẳng hạn như tên người dùng là "admin"
W_ Sử dụng phần mém virus va cập nhật nó thường xuyên
M Quétbằng phần mềm chống Spam như Spam Sweeper, Ad-Aware hay Spybot hoặc phần mềm mà bạn lựa chon
@ Cap nhật phần mềm các phiên bản hiện hành và đặc biệt chú ý đến
việc áp dung tất cả các patch OS
M Thực hiện các cuộc sao lưu được kiểm tra đều đặn
Sử dụng một fircwall, phần mễm hoặc phân cứng
@ Xem xét đóng nối kết dải rộng vào ban đêm khi không sử dụng; một mạng không có một nối kết Internet thì không hấp dẫn đối với những
người đứng quanh quẩn xung quanh nhà bạn
W Cập nhật firmwarc của các thiết bị không dây; nhiều lúc sự bảo mật cải tiến là một trong những tính năng chính của việc nâng cấp này Không mở các phần đính kèm email bất ngờ
Trang 9178 Chương 10 - Mở rộng các mạng không dây và hữu tuyến Thực hiện từng bước này sẽ đòi hỏi nhiều thời gian - nhưng ban sẽ không cảm thấy hối tiếc khi thực hiện theo những bước này Vào một ngày nào đó bạn phải phục hồi hệ thống hoặc đuổi theo mét người nào đó đã đánh cắp ID của bạn, bạn
sẽ tự khen mình đã làm theo những hướng dẫn trên
Đối với một tập hợp mạng được nối kết lớn hơn, và đối với việc sử dụng của doanh nghiệp bạn có thể muốn xem xét việc lắp đặt một VPN (Virtual Pdivate Network), Một VUAN buộc cdc client không đây tự xác thực để tạo đường hâm qua VPN và sử dụng sự mã hóa Layer 3 để báo vệ sự giao tiếp Bạn sé tim thấy công nghệ VLAN trên một số thiết bị được ã ấn định cho mạng văn phòng nhỏ chẳng hạn như SOHO TZW hoặc Netgear FVM318 tương tự Đối với những giải pháp ít tốn kém hơn, bạn có thể mua phần mêm VPN
Tóm lược
Trong chương này bạn đã thấy cách bạn có thể mổ rộng mạng không day bing việc sử dung các repeater hoặc thiết lập một hệ thống phân phối không đây Những kỹ thuật này duy trì một mạng nhưng mở rộng vùng phủ sóng (vùng hoạt động) Có nhiều trường hợp bạn cần nối kết các hệ thống từ xa bằng cách sử dụng công nghệ không giây, vì bất kỳ lý do nao Cac access point va router không day
có thể tạo những liên kết không dây được gọi là các bridge (câu nối) vốn cho
phép bạn thiết lập nối kết đó
Có nhiều loại cầu nối khác nhau đã được trình bày trong chương này Một số câu nối là point-to-point (điểm nối điểm) và là những câu nối thường được sử dụng nhiều nhất trong nhà và văn phòng nhỏ Cũng có các cầu nối đa điểm và nối kết dư thừa Bởi vì việc tạo cầu nối phần lớn là một tính năng của doanh nghiệp, nhưng nó chỉ mới bắt adn dud dụng trong thị trường mạng nhỏ Bạn sẽ gặp may hơn khi bạn chuẩn hóa thiết bị của một nhà cũng cấp hoặc sử dụng thiết bị dùng chipset của cùng một nhà sản xuất
Bạn cũng đã học một số thủ thuật để cô lập và bảo vệ các mạng không | đây với một hoặc nhiều LAN được nối kết Phần lớn những gì bạn đã tìm hiểu về sự bảo mật cho một thiết lap LAN/access point don giản áp dụng vào nhiều mạng nối kết không đây Tuy nhiên, bạn gặp thêm những điểm yếu với nhiều nối kết và nhiều điểm vào Bạn có thể giúp bảo vệ mạng không dây đa vùng bằng cách chú ý đến các xác lập, cô lập các mạng thông qua việc tạo địa chỉ, lọc, các mạng riêng áo
“Trong chương tiếp theo, bạn sẽ học cách lầm cho nối mạng không dây có sẵn cho những người hàng xóm của bạn, qua các ngõ hẻm và qua sân Đây là một vùng lân cận mạng thành thật Có một số lý do tốt để cung cấp loại dịch vụ này và những điều mà bạn phải biết và cẩn thận để những người láng giểng của bạn không vượt quá giới hạn cho phép
Trang 10Chương 11 - Thiét lap m6t mang Neighborhood 179
16, ban có thể sử đụng một giải phdp "hotspot" trong một hộp để tạo một mạng
neighborhood (ving lan cận) nhưng bởi vì môi mạng neiphborhood không cần
được theo dõi về việc sử dụng hoặc được quảng cáo dựa vào việc không có lợi ích
cụ thể nào đối với việc triển khai một gói hotspot riêng biệt Bạn sẽ nhận thấy rằng bằng cách sử dụng những kỹ thuật mà bạn đã biết, bạn có thể thực hiện việc thiết lập hệ thống này
Tại sao bạn muốn chía sẻ tin hiệu
Một mạng neighborhood sẽ nối kết những nơi mà người ta sống, nơi họ làm việc và nơi họ tụ họp Việc tạo một mạng không dây dựa trên cộng đồng là điều hợp lý khi bạn cung cấp người dùng những công cụ và những, công dụng khác với những gì mà họ sử dụng máy dính cho những điều đó tại nhà Ví dụ, nội dung đặc biệt chẳng hạn như bạn thường im thấy trong một cổng chính cục bộ và khả năng tương tác với những người khác theo những cách mới là những lý do tốt để xem xét loại mạng này Nếu bạn muốn xem một ví dụ về một cổng chính Web dựa vào cộng đồng, hãy kiểm tra DigitalTexas (www.digitaltexas.com/) Site này được
tạo bởi ClearChannel Radio bằng phân mềm DynaPortal (www.dynaportal.com/
y Nó là nội dung cục bộ làm cho những site này đặc biệt có giá trị
Mặc dù một số người nghĩ rằng sự truy cập mạng Wi-Fi miễn phí và có sin toàn cầu nhưng hầu hết người ta tạo các mạng không dây để phục vụ hoặc để thiết lập một cộng đồng trong một khu vực lân cận Một cộng đông có thể là những người hàng xóm của bạn, một khu liên hợp căn hộ, dãy nhà thành phố hoặc toàn bộ thành phố của bạn Mục đích của bạn trong việc tạo một vùng lân cận mạng cho từng nhóm người dùng khác nhau này có thể hoàn toàn khác nhau Một số lý do có thể là:
8 Đối với những người hàng xóm của bạn, bạn có thể muốn chia sẻ nối kết Internet của bạn hoặc cung cấp sự truy cập đến một file share (vị trí chia sẻ file), một máy in được nối mạng hoặc một nguồn tài nguyên
nào đó
m Đối với một công viên RV, nơi xe cộ vào và ra mỗi ngày.
Trang 11180 Chuong 11 - Thiết lập một mạng Neighborhood
8 Đối với một khối nhà thành phố, bạn có thể cung cấp sự truy cập cho
một khu vực nơi những người hàng xóm của bạn không được phục vụ
bằng một ISP hoặc nối kết dải rộng
Ñ Đối với một chung cư, nơi bạn muốn cung cấp sự truy cập mạng chia sẻ
đến một nối kết đái rộng rung tâm hoặc đường dây TI
BW Đến toàn bộ một thị trấn để xúc tiến các dịch vụ công đồng
GHI CHÚ
Nếu bạn thiết lập một mạag mẻ, hãy đặc biệt lưu ƒ đến những quy tấe vĩ yêu chu eda (SP Hau hết cde ISP trong cde hợp đồng của họ đều có ngấn tâm việc chỉa sẻ nỗi kết Internet mang tủa bạn với những người khác, một điều mã họ số thể qại là "ăn cấp băng thông" Hấu hết ede LẬP không nhiệt tinh you cấu bạn loại bổ những khách hàng mối tương lai Đằng sau một firewall hoặc proxý server, Network Address Translation (NAT) che gidu định danh sủa các hệ thống được nổi kết với mạng cổa bạn Tuỷ nhiên, nếu bạn vượt quá băng thông cho phép [được gọi là một bandwich cap) ma ISP sung cấp cho bạn thì bạn nên sẩn thận về những vấn dễ pháp lý cổ liên quan Tuy nhiên, bạn cổ thé aban thay ring ISP
số cất gái chẳng hạn như tắc tài khoẩn kinh deanh vấn tho phép chia s& mang, Các loại tài Khoẩn này tương tự như sác tải khuẩn "eaf6” được sử đụng cho các hotspet công sộng và họ thường tính mật số tiễn œở bắn tậng vấi các phí bổ sung cho thông lượng dữ liệu mỗi thing
Đã qua rồi cái thời mà người ta cung cấp sự truy cập mạng cho những thứ chẳng hạn như BBS hoặc cdc bang thông báo: đ, i v6i hầu hết các ứng dụng cộng tác, có những công cụ Internet phục vụ một chức năng tương tự và dễ nối kết hơn
và ítrắc rối hơn Bạn có thể cung cấp một ứng dụng gởi thông điệp tức thì cho các phiên tán gẫu cộng đồng, nhưng hầu hết người ta chọn sử dụng AOL Instant
Messenger (có sẵn dưới dạng một ứng dụng miễn phí có thể download từ AOL) hoặc Windows Messenger ngày nay Ít người hơn sử dụng các ncwsgroup và đóng góp vào các blog Do đó, nếu bạn không muốn chia sẻ một loạt gr0upWar€ đặc biệt hoặc công cụ cộng tác nào đó, chẳng hạn như Lotus Notes, lý do mà hầu hết người ta cung cấp để tạo các vùng lân cận mạng là chính sự nối kết (sự truy
cập đến các tài nguyên mạng)
Hãy tự hỏi Ảnh hưởng này sẽ như thế nào đối với một cộng đồng vốn có một mạng không dây mở, có sắn rộng rãi và bất cứ người nào cũng có thể truy cập vào
bất kỹ lúc nào Tính khả dụng phổ biến của một mạng cộng đồng sẽ cho phép tất
cả loại hành vi khó điều chính ngày nay Ví dụ:
BE Bạn có thể đi đến công viên vào một ngày nắng đẹp với máy notebook
của mình và thực hiện một công việc nào đó
ø Bạn có thể cho phép truy cập máy tính đến những người sống ở những nơi bất tiện hoặc tốn kém khi nối dây chẳng hạn như các tòa nhà, trường học cũ, lớn có nhiều phòng
8 Bạn có thể dựng lên các bảng hiệu chỉ dẫn thông minh báo cho những người đi lại hàng ngày về các mẫu lưu thông hoặc những vấn để xung
quanh thành phố hoặc trưng bày thông tin về những con chó hoặc trẻ
Trang 12Chương 1I - Thiét lap mot mang Neighborhood 181
em thất lạc và đặt những thứ trưng bày đó thậm chí ở những nơi khó tiếp cân
M Bạn có thể vận hành các thiết bị thu thập di động cho cảnh sát nhân viên bưu điện và những người khác
M Bạn có thể thiết lập các webcam để giám sát những giao điểm hoặc
sân trường
Các loại mạng cộng đồng khác nhau
Phần lớn nội dung thảo luận trong chương này tập trung vào những gì được gọi
là nối mạng không dây trong chế độ infrastrueturc Ví đụ trong chế độ này một access point truyén va nhan các tín hiệu từ những client không dây theo cùng một cách như một hub mạng có thể chấp nhận các cáp Ethernet được cắm vào các cổng trống của nó Các mạng infrastructure buộc người dùng tự xác thực và áp đặt những giới hạn khác nhằm hạn chế ai có thể nối kết với một mạng cũng như cung cấp hướng nhanh cho các gói đi đến một hệ thống này hoặc một hệ thống khác Khi một thiết hị không đây chẳng hạn như một access point bị hỏng các mạng infrastructure cũng mất tầm hoạt động của chúng cho vùng cụ thể đó
Phụ thuộc vào mục đích của bạn, có một số loại mạng cộng đồng khác nhau cần xem xét
— Một mạng ad học cho nối mạng ngang hàng nhanh dựa vao client
N Một WLAN cổng chính với sự xác thực, quản lý và giới hạn đối với nội
khí nào bạn muốn sử dụng mỗi vùng lân cận mạng
Cac mang khong day Ad Hos
Đối với những tình huống có những cộng đồng tạm thời cân nối mạng không
đây, chẳng bạn như một lớp học hoặc phiên thử nghiệm, một phòng hội nghị hoặc một thứ nào đó như vậy, người dùng có thể tạo một mạng không đây trong chế độ
ad học bằng cách sử dụng các card mạng làm các nút trong một mạng tạm thời Nối mạng ad học, đôi khi được gọi là nối mạng ngang hàng (peer-to-peer), chia
sể cùng một băng thông không đây và chỉ đồi hồi một người dùng nối kết với
mạng mở, thường không có bất kỳ sự xác thực nào Khi một người ding stream (tạo luỗng) một file đa phương tiện lớn trên một mạng ad hoc, sự ảnh hưởng xây
ra bởi tất cả người dùng vì băng thông được sử dụng hết Các mạng ad hoc không được chỉ định là những nhà vô địch về hiệu suất; chúng được chỉ định để tạo ra
Trang 13182 Chương 11 - Thiết lập một mạng Neighborhood tính đễ sử dụng đáng kể cho những người dùng
Các mạng ngang hàng là những gì mà Windows for Workgroups đã cung cấp vào đầu những năm 1990 và nó được tạo sẩn đối với những nhà phát triển dành cho Windows dưới dạng một Microsoft SDK (Software Development Kit) M6 hình ngang hàng có lẽ đã được mọi người biết đến qua phần mềm chia sẻ nhạc
không còn được sử dụng ngày nay Napster Bạn có thể tìm thấy rất nhiều ví dụ về
các ứng dụng nối mạng ngang hàng mà bạn có thể sử đụng trên mạng ad hoc riêng của mình bao gồm LANster, Grokster, Blubster, BearShare, Gnutella và những ứng dụng vốn chạy trên một mạng ad hoc và những thứ khác Nếu bạn
muốn thiết lập một mạng ad hoc cung cấp sự truy cập Internet cho người dùng, bạn có thể thiết lập một chế độ cho hầu như tất cả access point được gọi là "ad hoc" và sẽ cho phép nối kết
Bạn có thể sử dụng một mạng ad hoc khi bạn có một nhóm thành viên gia đình đến nhà bạn để trao đổi các album ảnh kỹ thuật số hoặc để tạo một album ảnh từ những bức ảnh của mọi người cho một CD-ROM kỷ niệm ngày cưới lần thứ 50 của ông bà ngoại Với mọi người được nối kết, bạn có thể chia sẻ folder My Pictures của bạn, cho phép mọi người trong nhóm truy cập và chỉnh sửa folder đó, thêm những bức ảnh của họ khi cần thiết Nếu bạn có hàng ngàn bức ảnh, bạn có thể muốn để mọi người xem những bức ảnh mà họ thích và thêm chúng vào folder Anh sau cùng Một mạng không đây ad hoc có hiệu quả đối với tình huống này
Để thiết lập một mạng ad hoc, thực hiện theo các bước sau đây:
1 Kiểm tra để bảo đầm rằng tất cả mọi người cùng sử dụng một chuẩn nối
mạng: 802.1 1a, b hoặc g
2 Yêu câu các client xác lập các adapter mạng sang chế độ ad học và xác lập SSID mạng sang cùng một giá trị
3 Xác lập tất cả adapter client sang cùng một kênh
4 Tất WEP để dễ dàng nối kết hơn
5 Lưu những xác lập này dưới dạng một nối kết mạng cụ thể phòng hờ bạn muốn áp dụng chúng vào một thời điểm nào đó trong tương lai
6 Thiết lập các share mạng
7 Hãy chắc chắn mọi người có firewall cá nhân được tắt hoặc được xác lập
để cho phép các loại chia sẻ mạng nhất định
quan đến phân cứng: nối mạng ad hoc là một phan của chuẩn 802.1 1 nhưng ít nhà
Trang 14Chương 11 - "Thiết lập một mang Neighborhood
183
sản xuất kiểm tra các card của họ để xem có tương thích hay không Thông thường hơn bạn sẽ thấy rằng có một vấn để nào đó với địa chỉ IP Bạn nên sử dụng các dia chi IP tinh cho các mạng ad học nhỏ để chắc chấn rằng các dãy địa chỉ chính xác được gần và không có cập địa chi IP rùng lặp (các xung đột địa chỉ) Nếu bạn
sử dụng DHCP cho một nhà cung cấp địa chỉ, bạn nên kiểm tra địch vụ DHCP
đã
thật sự cung, cẤp một địa chỉ IP hợp lệ hay không
Cac Captive Portal va Hotspot
Có những cấu hình khác nhau để thiết lập một mạng không đây mà những người láng giéng cha ban có thể sử dụng trong ché d6 infrastructure Chế độ
infrastructure cho thấy rằng người dùng sẽ nối kết không dây qua một acC€SS point hoac router trên mạng của bạn hoặc qua mt repeater Néu access point
dé nằm bên trong mạng của bạn, bạn cân áp dụng những biện pháp phòng ngừa
thích hợp, đo đó hầu hết các mạng, neighborhood có khuynh hướng đặt các thiết bị
truy cập không dây bên ngoai firewall cha ching
Yếu tố chính tách biệt một loại phương pháp infrasructure với một phương pháp khác là mức độ quản lý mà bạn áp dụng cho mỗi người dùng
Một mạng neighborhood khéng đã y được quan ly sẽ nhận biết những người dùng quản lý lưu lượng của họ theo một cách nào đó, nhưng không nhất thiết qua một tài khoắn chính thức - có lẽ chỉ bằng password Việc quần lý có thể bao gồm thời gian nối kết lại hoặc những giới hạn bảng thông và những giới hạn về những gì có thể được chuyển tải Chắc chắn nhất việc quản lý bao gồm những giới hạn về các tài nguyên nào có thể được truy cập từ bên ngoài, một điều vốn thật sự bất kể loại mạng bạn thiết lập
Nếu bạn cung cấp một WUAN vốn xác thực riêng lẻ những người dùng và quản lý họ với mục đích cụ thể là cung cấp một nối kết Internet, bạn đang tạo
“captive portal” (cổng chính bị bất giữ) Trong thời dai Internet phức tạp
hơn, từ portal (cổng chính có ý ám chỉ một cửa số trên Internet, một nơi mà bạn có thể nhìn thấy được một phần của võ trụ mà cửa sổ đó cho phép AOL
được xem là một portal, MSN cũng vậy Mặăt khác, Yahoo đã nhanh chóng tạo sự khác
biêt với loại dich vụ thư mục (directtory service) mac dù bây giờ có lẽ nó cũng được
xem
là một portal Một portal ám chỉ sự truy cập đến được kiểm soát và sự giới hạn đối
với nội dung cụ thể Biệt danh captive được đặt cho loại truy cập này bởi vì
bạn bị giới hạn trong nội dung nào mà bạn có thể thấy Bất cứ người nào đăng nhập vào Boingo tại một sân bay đã biết được captivo có ý nghĩa gì; bất kể những
gì bạn thực hiện, bạn được định hướng trở lại sang site Boingo, Tương tự khi làm
việc tại Kinko, mạng lưới copy và in quốc gia bây giờ được sở hữu bởi Federal Express, bạn có thể tự thấy mình được đăng nhập vào một trình duyệt giới hạn vốn cho phép bạn truy cập đến máy tinh và một số dịch vụ có giới hạn Đó cũng là một
captive portal
Cách đây 3 hoặc 4 năm việc tạo phan mềm nhằm cho phép bạn tạo các
portal chuyên dụng chẳng hạn như các trang chủ tùy ý trong Netscape hoặc cdc console trong Lotus Notes 44 trở thành mốt mới nhất, Do đó có thể bạn nhận thấy rằng
Trang 15184 Chương 11 - Thiết lập một mạng, Neighborhood ngân hàng, công ty điện thoại ISP (chấc chấn) của bạn và những thể chế khác có các portal Bất kỳ site cho bạn thy biến nội dụng theo một cách nào đó đang cố trở thành portal của bạn
Tuy nhiên, khí công nghệ trên đà phát triển, bẩn thân sự truy cập đơn giản không đủ để ban cho "quyên portal đây đủ” trên WLAN của bạn Ngày nay, bạn thường phải giới hạn sự truy cập tài nguyên Internet hoặc mạng chỉ trong nội dung theo một cách có ý nghĩa nào đó để có được biệt danh đó Có lẽ nó là ngữ nghĩa để phân biệt giữa một WLAN hoạt động như một portal hoặc một WLAN vốn được phân loại là một hotspot vì cả hai có thể là những giải pháp được quản
lý Chỉ cần nói rằng nếu bạn cung cấp sự truy cập đến nội dung và giới hạn sự truy cập thì có lẽ hạn đã tạo ra một portal không dây
Nếu bạn quan tâm đến việc tao mot captive portal và muốn bắt đầu với môi thiết bị được thiết kế cho điều này, bạn có thể kiểm tra Reliawave Internet Plug and Play Server Gateway (www.demarctech.com) của Demarctech.Thiết bị này
xác thực người dùng bằng cách sử dụng một hệ thống cơ sé di liệu RADIUS
(cùng một chuẩn được sử dụng trong cdc server UY cập từ xa) và tái định hướng
các trình duyệt của hợ sang một trang Web độc quyền đặc biệt Trong số các chức năng phân mềm của nó là:
m NAT
@ Email va tdi dinh huéng trinh duyét
@ Céc dich vy DHCP
M Quản lý tài khoản password/ID thách thức và phần hồi
Đây là những tính năng mà bạn cần thực thi trong bất kỳ giải pháp captive portal Mục đích của Reliawave là nhằm phục vụ một số lớn người dùng và đòi hồi sử dụng một server RADIUS độc lập
Khi bạn lang thang với thiết bị dì động dang tin cậy của mình qua các sân bay, trong khách sạn nhà hàng và nơi khác, bạn sẽ gặp phải những địa điểm không đây thương mại, chẳng hạn như Wayport.com Boingo hoặc T-Mobile Mỗi địa điểm này là một dịch vụ dựa vào việc đăng ký nhằm cho bạn đăng nhập vào Internet bằng một tài khoắn và mỗi dịch vụ được mô tả thích hợp hơn là một mang ciia cdc hotspot Chương 22 được đành riêng để nói về các hotspot, nếu đó
là những gì mà bạn quan tâm bạn nên xem xét,
Cac mang mé rong
Một mạng mở rộng là những gì mà bạn thường có khi bạn cung cấp các đặc quyển domain cho những người láng giêng sử dụng mạng của bạn Điều này ám chỉ rằng bạn đã tạo một tài khoản người dùng cho họ và có lẽ là một tài khoản máy Có thể là nếu bạn cần cù tạo loại mạng này, bạn cũng đã xác định và thì hành một tập hợp chính sách Điều này nghe có về như đòi hỏi bạn phải tốn nhiều
công sức
Bạn thường muốn tạo một mạng mổ rộng trong những tình huống mà số người dùng không quá nhiễu và bạn muốn quần lý một loại ứng dụng nào đó vốn sẽ
Trang 16Chương 11 - Thiết lap m6t mang Neighborhood 185 không chạy trên web Một kết quả chạy trên Web thật sự chỉ đòi hỏi một nối kết Internet cho mỗi người dùng có sự nhận dạng được cung cấp qua trình duyệt của
họ Một ví dụ về loại ứng dụng này là một ứng dụng gỡi thông điệp, chẳng hạn như Exchange hoặc Domino hoặc ứng dụng thông tin cộng tác, chẳng hạn như Microsoft Sharcpoint hoặc Lotus Notes trong đó một tài khoản người dùng được
bắt buộc để truy cập dịch vụ này Trong khi sự thật là bạn nhận được mail từ
Exchange hoãc Domino qua một clicnt trên web, một ứng dụng được truy cập trên một mạng an toàn hơn và ít gặp rấc rối hơn Mail ở đó đành cho các client của
bạn thậm chí khi nối kết Intcnet bị ngất
Sự thật mà nói chúng ta có lẽ không phải là ahỮng người tá n thành cung cấp sự truy cập domain cho những người dùng bên ngoài Nó không thât sư cấn thiết và
có một số rủi ro bảo mật đi cùng với nó Quản lý một số lớn tài khoắn cho một lân cận mạng thật sự không phải là điều bạn muốn làm trừ khí có một giá trị rất riêng biệt Cách tốt hơn là tạo một domain mạng thứ hai cho vùng lân cận của bạn và thiết lập mối quan hệ ủy thác để nếu domain ngoài xác thực người dùng thì sự xác thực đó có thể được chuyển qua đến domain mạng của bạn
Nếu tất cả những điều để cập về các domain, sự xác thực và các tài khoản máy
làm đầu óc bạn quay cuồng, thì có thể bạn không muốn quần lý một ứng dụng doanh nghiệp vốn làm cho một mạng mở rộng trở nên cần thiết Có lẽ bạn nên tập trung vào việc tạo một phiên bản nào đó của một hotspot hoặc một captive
portal Phan mềm cần thiết để tạo và quần lý cả hai loại mạng "mở" này có sẵn
để bạn mua; và toàn bộ các hệ thống chìa khóa trao tay (turnkey system) có thể
được triển khai
Mục đích của các dự án nãy nhằm khuyến khích phát triển kinh doanh và văn hóa trong những khu vực này, tạo ra một tài sản cộng đồng mà những tố chức
khác nhau có thể tận dụng CNT sử dụng những đối tác cộng đồng, trường học,
trung tâm cộng đồng và những tổ chức khác để phát triển mạng này
Điều đặc biệt thứ vị ác dự án CNT là chúng sử dụng những gì mà CNTgọi
là công nghệ "mesh" thay cho tôpô hub và spokc Trong một mạng gia đình, bạn
thường nối kết tất cả thiết bị không dây với một nối kết access point với Internet
và phụ thuộc vào những nối kết với các access point từ xa bổ sung cho hệ số phân
Trang 17
186 Chương 11 - Thiết lập một mạng Neighborhood dau ra (fan out) của mạng, Trái lại mô hình mesh có một access point nhưng thay
vi quan lý các liên kết không dây với những access point hố sung (với tất cả tính phức tạp mà điều đó đòi hỏi) mạng mesh này sứ đụng một tập hợp repeater để
mở rộng vùng hoạt động của WLAN
Đặc biệt chú ý rằng access point chính được đặt trước hai firewall, một firewall
cho các server và một firewall cho người dùng Điều này bảo vệ các dich vụ cốt lõi của mạng trên những server khỏi bị xâm nhập và yêu cầu một firewall xác thực những người dùng cho việc quản lý mạng - đây là hai tính năng quan trọng, nhất của một vùng lân cận mạng an toàn
Những gì mà chúng ta đặc biệt thích về mạng mesh là sự tin cậy vào các repeater để mở rộng tín hiệu không chỉ don gidn hóa việc quản lý mạng và các xác lập mạng mà nó còn cho phép mạng phát triển và mở rộng phạm vi khi số người dùng tăng lên Các repeater không chỉ cung cấp cho bạn vùng phủ sóng địa
lý cần thiết mà những router bổ sung còn có thể được đặt vào cùng một vùng phủ sóng nhằm mang đến khả năng chịu đựng sai sót và băng thông cao hơn Tôpô này có thiết kế tương tự như một mạng điện thoại di động, trong đó một tín hiệu
được lặp lại từ một máy phát này đến một máy phát khác cho đến khi thông báo được nhận trên một nút được nối kết trực tiếp với mạng
Trang 18
Chương 11 - Thiết lập một mạng Neighborhood 187
ven Fepeatet , remem coo ibe
guage a ay - inj bon fone ; 2 Tan Recac Liew 8
Repeater Tag tem
~~ Đường truyền luân phiên
Nối kết người dũng không day
sir it ang niemel không an tần Sym thông mạng erter được bão vệ antoần Nà LLưu lượng mạng người dùng Trung tâm Na Ồ được bảo Vệ un toàn cộng đồng Noa,
Hình 11.1 Tôpô mắt lưới được sử dụng để lắp đặt một mạng cộng déng trong vung Chicago
phụ thuộc vào các repeater để mở rộng phạm vi hoạt động
Thêm các Access Point ngoài trời và anten thương mại
Chương 12 sẽ trình bày chỉ tiết các anten cũng như thảo luận công dụng của chúng trong các mạng không dây đa vùng - và mở rộng.Yêu cầu đặt thiết bị ngoài trời đưa ra một số giới hạn quan trọng về các loại thiết bị mà bạn có thể sử dụng Trên hết, bất kỳ access point, bất kỳ repeater hoặc anten được chỉ định để sử dụng bên ngoài cần được bao bọc hoặc có độ bền Có nhiễu anten trên thị trường ngày nay phù hợp với hạng mục này, bởi vì để bảo trọng là các anten được đặt ở những vị trí nổi bật Các anten định hướng có khuynh hướng thực hiện tốt nhất trong những tình huống đường ngắm trong đó một anten mọi hướng sẽ đạt được
vùng phủ sóng tốt hơn nếu nó không phải đi qua một bức tường để tiến đến máy laptop của những người láng giềng Do đó, nhiều anten được thiết lập để gắn trên trần nhà hoặc gắn cao hơn trên bức tường Các anten định hướng Yagi thường được lắp trên trụ và sử dụng cho các liên kết bên ngoài
Trang 19188 Chương 11 - Thiết lập một mang Neighborhood Một vấn đề cần xem xét khi mua một anten là đầm bảo anten được tiếp đất và được cô lập một cách thích hợp Bất kỳ vật thể kim loại có thể hút chớp và hút các tín hiệu điện là những gì mã một anteh được thiết kế để thực hiện Bạn có thể thấy rằng để định vị một tín hiệu không dây một cách phù hợp, bạn cần lắp đặt các thiết bị trên một tháp và tháp đó không có Do đó, bạn cũng có thể tự nhận
thấy mình phải đi tìm mua một tháp vô tuyến Khi định vị anten, đặc biệt lưu ý đến tiết diện của anten Nhiều anten hoạt động tốt hơn với một vị trí ngang hoặc thẳng đứng và điều đó sẽ ảnh hưởng đến cách bạn lắp đặt chúng
Nhiều anten nối kết với các access point hoặc rcpeater bằng cáp đồng trục Việc mất tín hiệu trong cáp đồng trục là cao và phụ thuộc vào day dé sử dụng tín hiệu có thể giảm đi đáng kể thâm chí trên một khoảng cách ngắn đến 3 hoặc 4
feet (1Ï mét), Nếu trường hợp nay xay ra cde access point và repeater phải được
đặt ở ngt gần với anten phục vụ chúng Nếu vị trí đó nằm bên ngoài thì bạn cũng cần bảo đảm rằng các máy phát đó được che chắn khỏi mưa gió một cách thích hợp Một vị trí bất tiện có thể không cho bạn tiếp cân được các đường dây điện,
do đó bạn có thể muốn xem xét một thiết bị vốn có một nối kết Power over Ethernet (PoE) trong đó cap Ethernet cung cấp nguồn điện, Trong các trường hợp
có sẵn nguôn điện, nhưng bạn không thể chạy một đường dây mạng đến đó, thiết
bị nên có khả năng làm việc trong chế độ độc lập không đòi hỏi nối kết mạng
Thiết bị được chế tạo cho việc sử dụng ngoài trời thường khác với những thiết
bị được thiết kế cho việc sử dụng trong nhà Nhiễu thiết bị Wi-Fi ngoài trời cung cấp lirmware trông đặc biệt, tính năng kiểm tra lỗi khác biệt, những cơ chế kiểm
tra vòng client tốt hơn và những tính năng tránh xung đột gói khác Bạn có thế
thấy rằng thiết bị ngoài trời cung cấp những giao thức Orthogonal Frequency Division Modulation (OFDM) nhằm cải thiện những nối kết vốn không có một đường ngắm thật sự Do đó đừng ngạc nhiên nếu thiết bi ngoài trời mà bạn mua
để thiết lập một vùng lân cận mạng đất hơn đáng kể các thiết bị trong nhà
Bảo mật trên một mạng Neighborhood
Khi bạn bắt đầu cung cấp các dịch vụ mạng cho những người láng giểng của
bạn, nó hơi giống như việc mời họ vào nhà tham quan Bạn có thể để họ và con cái của họ chạy xung quanh nhà suốt cá ngày Bất cứ mạng nào cho phép các nối kết bên ngoài phải cài đặt những tính năng bảo mật nhằm giới hạn client nếu nó
hy vọng duy trì bất kỳ sự bảo mật và báo vệ các tài nguyên của nó
Đôi khi nó không an toần như những gì bạn nghĩ đến Nếu bạn và những thành viên gia đình của bạn ngỗi quanh bàn ăn với một mạng không đây ad hoc và firewall ngăn truyền file thì hdu hết mọi người sẽ tắt firewall cá nhân của mình trong thời gian ngắn họ thực hiện loại công việc đó
Trang 20Chương 11 - Thiết lập một mang Neighborhood 189 Bất kỳ hệ thống nối mạng an toàn phải có một rào cần xâm nhập theo dạng một firewall hoặc server xác thực Nếu bạn thiết lập một vùng lân cận mạng và
có nhiễu thiết bị lựa chọn, đừng đơn giản thiết lập một acccss poin và cho phép
người dùng nối kết Thay vào đó chọn các thiết bị không đây có những tính năng quan lý của một firewall, Những tính năng đó bao gêm nhưng không giới hạn trong những thiết bị sau đây:
8 Xác thực người dùng theo một cách nào đó
M Kiểm soátal nhận được một địa chỉ mạng và trong hao lâu (DHCP)
M Giới hạn loại lưu thông mà một người dùng có thể giao tiếp với: ví dụ HTTP thì có nhưng AIM (AOL Instant Messenger) thì không
8 Kiểm soát thời gian truy cập
8 Giới hạn băng thông đế mạng không bị bão hòa và bạn có thể ngăn việc gởi spam và các cuộc tấn công từ chối địch vụ (DOS-Deniat of Service)
8 Che giấu các định danh của những hệ thống LAN nội bộ không cho bên ngoài thấy Nghĩa là đóng vai trò của một proxy server và cung
cấp NAT hoặc Network Address Translation
Hai điểu quan trọng nhất mà bạn có thể làm xét về việc bảo vệ LAN trong khi cung cấp sự truy cập không đây là bảo đảm rằng LAN được bảo vệ bằng một
firewall và firewall đó được đặt giữa LAN và access point công cộng, bạn sử
dụng một cơ chế chẳng hạn như một fircwall (cùng một fircwali hoặc một firewall
bổ sung) để xác thực và quần lý người dùng Một fircwall có thể phức tạp như
việc thiết lập router/VPN chuyên biệt hoặc đơn giản như máy tính tự định hướng kép có chức năng như một router Theo kinh nghiệm của nhiều người, các firewall phần mềm chưa đủ khả năng bảo vệ Việc tắt firewall (chẳng hạn như khi bạn đang cài đặt một gói phần mễm từ xa nào đó và quên mở nó trở lại thì quá dễ
dàng Một sự kết hợp phần cứng hay phân mém sé tạo ra một rào cần mạnh mẽ hơn, an toàn hơn nhằm ngăn chặn sự xâm nhập
Tóm lược
Chương này đã tiếp tục phần thão luận từ chương trước về mở rộng các mạng không dây để xem xét việc mở rộng chúng nhằm bao hàm những người khác bên ngoài mạng gia đình hoặc mạng nhỏ của bạn Vùng lân cận mạng của bạn có thể
mở và công cộng hoặc khép kín chỉ đối với những người láng giểng mà bạn mong muốn và riêng tư Có các loại mạng không dây khác nhau mà bạn có thể tạo Chương này đã xem xét đến các mạng ngang hàng (pcer-to-peer) mạng không đây ad hoc cũng như việc dựa vào các mạng mở rộng LAN Nhiễu dự án WLAN được đưa ra bởi những tổ chức bao gồm các chính quyên thà nh phố, phòng thương mại và những cơ quan khác sứ dụng một phương pháp captive portal cho sự truy cập không dây Khi bạn nối kết với một captive portal, những gì bạn có thể truy cập được kiểm soát cẩn thận, Các WLAN cộng đồng lớn hơn có thể được xây
Trang 21190 Chương 11 - Thiết lập một mạng Neighborhood dựng tiện lợi hơn bằng cách sử dụng một công nghệ mesh với những repeater không dây phân phối mở rộng tín hiệu
Có nhiễu lý do khiến bạn muốn thực hiện một dư án loại này và nhiễu loại người dùng khác nhau mà bạn có thể phục vụ Chương này đã dé cập đến những người dùng và nhóm đó Bất cứ khi nào bạn tao một vùng lân cân mạng hãy cố mang đến cho những khách hàng của han một giá trị nào đó được thêm vào bằng việc đưa ra nội dung đặc biệt, những công cụ và những công dụng mà người ta không sử dụng máy tính của mình cho những điều đó ở nhà
Một vùng lân cận mạng không dây tốt nhất khi nó là một giải pháp được kiểm soát Chương nà y đã mô tả những cách cô lập sự truy cập mạng bằng việc đặt các
s point bên ngoài các firewall mang va bing xác thực người dùng Sự bảo mật sẽ không được bỏ qua và nên được đưa vào giải pháp của bạn
Trong chương kế tiếp, bạn sẽ tìm hiểu về các loại anten khác nhau được sử
dụng trong các mạng không đây và cách chọn lựa trong số những loại anten này nhằm đáp ứng những nhu cầu riêng biệt của bạn