Bảo mật mạng LAN không dây
Bảo mật mạng LAN không dây
- Giới thiệu
Khi các mạng wireless LAN được triển khai rộng rãi và chúng ta cũng biết nhiều về lợi ích của nó, xong đi kèm với nó là việc bảo mật cũng rất khó khăn. Bài viết này chúng tôi chỉ chỉ đề cập và thảo luận một số kỹ thuật cơ bản để bảo mật hệ thống này và một số giải pháp bảo mật hữu hiệu.
- Tại sao bảo mật lại rất quan trọng
Tại sao chúng ta lại phải quan tâm đến vấn đề bảo mật của mạng wireless LAN? Điều này bắt nguồn từ tính cố hữu của môi trường không dây. Để kết nối tới một mạng LAN hữu tuyến bạn cần phải truy cập theo đường truyền bằng dây cáp, phải kết nối một PC vào một cổng mạng. Với mạng không dây bạn chỉ cần có máy của bạn trong vùng sóng bao phủ của mạng không dây. Điều khiển cho mạng hữu tuyến là đơn giản: đường truyền bằng cáp thông thường được đi trong các tòa nhà cao tầng và các port không sử dụng có thể làm cho nó disable bằng các ứng dụng quản lý. Các mạng không dây (hay vô tuyến) sử dụng sóng vô tuyến xuyên qua vật liệu của các tòa nhà và như vậy sự bao phủ là không giới hạn ở bên trong một tòa nhà. Sóng vô tuyến có thể xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này, và như vật ai đó có thể truy cập nhờ thiết bị thích hợp. Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài tòa nhà công ty của họ. Hình 1 thể hiện một người lạ có thể truy cập đến một LAN không dây từ bên ngoài như thế nào. Giải pháp ở đây là phải làm sao để có được sự bảo mật cho mạng này chống được việc truy cập theo kiểu này.
|
|
|
Ví dụ về một người lạ truy cập vào mạng |
- Các điểm yếu trong bảo mật 802.11
Chuẩn IEEE 802.11 đưa ra một WEP (Wired Equivalent Privacy) để bảo vệ sự truyền phát không dây. WEP được sử dụng một chuỗi số 0 đối xứng để mã hóa các người dùng trong mạng không dây. 802.11 đưa ra các khóa WEP 64 bit nhưng được cung câp thêm lên khóa WEP 128 bit. 802.11 không đưa ra các khóa được xắp xếp như thế nào. Một WEP bao gồm 2 phần: vector khởi tạo (IV) 24 bit và key mật. IV được phát trong plain text ở phần header của các gói 802.11. Tuy nhiên nó rất dễ bị “crack”. Vì vậy giải pháp tiếp theo là phải sử dụng các khóa WEP động mà có thể thay đổi một cách thường xuyên.
Chuẩn 802.11 xác nhận các máy khách sử dụng khóa WEP. Tiếp sau đó chuẩn công nghiệp đã được đưa ra thông qua xác nhận 802.1x (bạn có thể xem phần 7) để bổ sung cho các thiếu xót của chuẩn 802.11 trước nó. Tuy nhiên gần đây, trường đại học Maryland đã minh chứng bằng tài liệu về sự cố của vấn đề bảo mật tiềm ẩn với giao thức 802.1x này. Giải pháp ngày nay là sử dụng sự xác nhận lẫn nhau để ngăn cản “ai đó ở giữa” tấn công và các khóa WEP động, các khóa này được xắp xếp một cách cẩn thận và các kênh mã hóa. Cả hai kỹ thuật này được hỗ trợ bởi giao thức (TLS: Transport Layer Security). Nổi bật hơn cả là việc khóa per-packet và kiểm tra tính toàn vẹn của message. Đây chính là chuẩn bảo mật 802.11i.
- Cấu trúc của một LAN không dây
Một LAN không dây gồm có 3 phần: Wireless Client, Access Points và Access Server. Wireless Client điển hình là một chiếc laptop với NIC (Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây. Access Points (AP) cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó (được biết đến như là các cell (tế bào)) và kết nối đến mạng không dây. Còn Access Server điều khiển việc truy cập. Cả hai chuẩn 802.11b (LAN 11Mbps tại tần số 2,4GHz) và APs Bluetooth được hỗ trợ ở đây. Một Access Server (như là Enterprise Access Server or EAS) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise.
|
|
|
Enterprise Access Server trong Gateway Mode |
Một bộ phận không dây có thể được kết nối đến các mạng không dây tồn tại theo một số cách. Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”. Trong Gateway Mode (xem hình 2 ở trên) EAS được đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một firewall.
Trong Controll Mode (hình dưới), EAS quản lý APs và điều khiển việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liêu người dùng. Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise.
|
|
|
Enterprise Access Server trong Controller Mode. |
- Mô hình bảo mật không dây
Kiến trúc LAN không dây hỗ trợ một mô hình bảo mật mở và toàn diện dựa trên chuẩn công nghiệp như thể hiện trên hình 4. Mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần.
|
|
|
Mô hình bảo mật không cho mạng không dây |
Dievice Authorisation: các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng của họ (ví dụ như địa chỉ MAC). EAS duy trì một cơ sở dữ liệu của các Client không dây được cho phép và các AP riêng biệt khóa hay thông lưu lượng phù hợp.
Encryption: WLAN cũng hổ trợ WEP, 3DES và chuẩn TLS sử dụng mã hóa để tránh người truy cập trộm. Các khóa WEP có thể đươck tạo trên một per-user, per session basic.
Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS) để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy cập vào mạng. EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng các chứng chỉ số. Các chứng chỉ số này có thể đạt được từ quyền chứng nhận bên trong (CA) hay được nhập từ một CA bên ngoài. Điều này đã tăng tối đa sự bảo mật và giảm tối thiểu các thủ tục hành chính.
Firewall: EAS hợp nhất customable packet filtering và port blocking firewall dựa trên các chuỗi Linux IP. Việc cấu hình từ trước cho phép các loại lưu lượng chung được enable hay disable.
VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập các session VPN vững chắc trên mạng.
6. Mã hóa
Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới có thể giải mã được nó. Quá trình mã hóa là kết hợp vài plaintext với một khóa để tạo thành văn bản mật (Ciphertext). Sự giải mã được bằng cách kết hợp Ciphertext với khóa để tái tạo lại plaintext gốc như hình 5. Quá trình xắp xếp và phân bố các khóa gọi là sự quản lý khóa.
|
|
|
Quá trình mã hóa và giải mã |
Nếu cùng một khóa được sử dụng cho cả hai quá trình mã hóa và giải mã thì các khóa này được hiểu như là “symmetric” (đối xứng). Còn nếu các khóa khác nhau được sử dụng thì quá trình này được hiểu như là “asymmetrric”. Các khóa Asymmetric được sử dụng nhiều trong các PKIs (Public Key Infrastructures), nơi mà một khóa là “public” và các cái còn lại là “private”.
Có hai phương pháp mã hóa: Cipher khối và Cipher chuỗi. Các Cipher khối hoạt động trên plaintext trong các nhóm bit gọi là các block, điển hình dài 64 hoặc 128 bit. Các ví dụ điển hình của Cipher khối như là: DES, triple DES (3DES), AES và Blowfish. Các Cipher chuỗi biến đổi một khóa thành một “keystream” ngẫu nhiên (điển hình là 8 bit), sau đó kết hợp với plaintext để mã hóa nó. Các Cipher chuỗi được dùng nhiều hơn so với các Cipher khối. Các ví dụ về Cipher chuỗi như là: RC4 (được sử dụng trong LANs không dây 802.11).
7. Xác nhận không dây
Sự xác nhận là việc cung cấp hay hủy cung cấp một ai đó hay cái gì đó đã được xác nhận. Sự xác nhận thông thường là một quá trình một chiều (one-way), ví dụ như một người log on bằng một máy tính và cung cấp nhận dạng của họ với username và password. Trong mạng không dây, sự xác nhận lẫn nhau nên được sử dụng ở những nơi mà mạng xác nhận Client và các Client xác nhận mạng. Điều này ngăn cản các thiết bị giả có thể giả trang như thiết bị mạng để truy cập đến các dữ liệu quan trọng trên các Client không dây.
Chuẩn LAN không dây 802.11 không có sự xác nhận thông minh, vì vậy chuẩn công nghiệp đã thông qua giao thức 802.1x cho sự xác nhận của nó. 802.1x đưa ra cách thức điều khiển truy cập mạng cơ port-based, cái này sử dụng EAP (Extensible Authentication Protocol) và RADIUS server. 802.1x không đưa ra giao thức xác nhận một cách cụ thể nhưng chỉ rõ EAP trong việc hỗ trợ số lượng các giao thức xác nhận như là CHAP-MD5, TLS và Kerberos. EAP có thể được mở rộng vì vậy các giao thức xác nhận mới có thể được hỗ trợ như trong các phiên bản sau của nó. EAP được đưa ra để hoạt động trên giao thức Point-to-Point (PPP); để nó tương thích với các giao thức của lớp liên kết dữ liệu khác (như là Token Ring 802.5 hay Wireless LANs 802.11) EAP Over LANs (EAPOL) đã được phát triển. Mô hình xác nhận cuối cùng được thể hiện ở hình dưới:
|
|
|
Mô hình xác nhận |
802.1x EAP-TLS được sử dụng trong các mô trường cớ bản và an toàn cao. Sự trao đổi của các message EAP-TLS cung cấp sự xác nhận lẫn nhau, sự bắt tay của giao thức mã hóa và sự trao đổi khóa bảo vệ giữa một Client không dây và mạng. EAP-TLS là một kỹ thuật cung cấp các khóa mã hóa động cho người dùng và session. Điều này cải thiện một cách đáng kể và vượt qua nhiều điểm yếu trong các mạng không dây.
Hình dưới đây chỉ ra một chuỗi các sự kiện xuất hiện khi một Client được xác nhận bằng 802.1x EAP-TLS. Hai chứng chỉ digital được yêu cầu ở đây: một trên RADIUS server (ví dụ EAS) và một trên Client không dây. Chú ý rằng sự truy cập không dây được cung cấp cho tới khi sự xác nhận thành công và các khóa WEP động đã được thiết lập.
|
|
|
Xác nhận 802.1x EAP-TLS |
802.1x EAP-TLS với EAS trong Controller Mode được thể hiện trên hình 8. Client không dây có chứng chỉ digital (được cài đặt từ trước). Client không dây truyền thông với EAS thông qua AP. Tất cả ba thành phần (Wireless client, AP và EAS) hỗ trợ quá trình 802.1x EAP-TLS. Client không dây có thể sử dụng Windows XP (được xây dựng để hỗ trợ cho 802.1x EAP-TLS) hay Windows 98/Me/2000 bằng việc sử dụng Madge Wireless LAN Utility (WLU). Khi xác nhận, dữ liệu người dùng cũng có thể được sử dụng EAS mà đã được cấu hình trong Gateway Mode.
|
|
|
802.1x EAP-TLS trong Controller Mode |
Nâng cấp bảo mật mạng không dây
Bạn có nghĩ rằng mạng không dây (wireless network) mà mình đang sử dụng thật sự an toàn không? Tốt hơn hết bạn nên xem xét lại vấn đề này. Chuẩn bảo mật Wi-Fi mới nhất, có tên là Wireless Protected Access 2 (WPA2), bổ sung khả năng mã hóa dữ liệu ở mức chuyên nghiệp, đã xuất hiện cách đây hơn 1 năm nhưng hầu hết người dùng vẫn không sử dụng chuẩn này.
Thực tế cho thấy WPA2 đáng để cài đặt vì chuẩn bảo mật WPA trước đây có thể dễ dàng bị "bẻ khóa", trừ khi bạn sử dụng một mật khẩu với độ dài hơn 20 kí tự và không được ghép lại từ những từ có thể dễ đoán.
Trong khi người anh của WPA là chuẩn bảo mật Wired Equivalent Privacy (WEP) vẫn còn được sử dụng, dù chỉ an toàn hơn chút ít so với khi không sử dụng một biện pháp bảo mật nào. WEP có thể bị bẻ khóa chỉ trong vòng vài giây bất kể độ phức tạp của khóa (key) mà bạn đặt ra.
Nếu mục tiêu bảo mật của bạn chỉ là ngăn chặn người dùng khác kết nối vào mạng thì WEP đáp ứng được yêu cầu đó. Tuy nhiên, nếu muốn bảo vệ nghiêm ngặt dữ liệu cá nhân của mình, tốt nhất bạn nên áp dụng WPA2.
Trước khi bổ sung khả năng bảo mật WPA2 vào mạng, bạn phải tải về và cài đặt hotfix nâng cấp WPA2 cho Windows XP. Ngoài ra, bạn cũng cần cài đặt phiên bản mới nhất cho trình điều khiển thiết bị (driver) của card mạng không dây từ website của hãng sản xuất. Website Windows Update của Microsoft thường liệt kê những cập nhật trong mục "Hardware, Optional". Lưu ý, bạn chỉ thấy được tùy chọn này khi sử dụng Windows có bản quyền.
Tiếp đến, tải về và cập nhật firmware mới nhất cho bộ định tuyến không dây (router) từ website của hãng sản xuất (tham khảo danh sách sản phẩm hỗ trợ WPA2 tại đây. Nếu router đang sử dụng quá cũ để cập nhật WPA2/WPA thì tốt nhất bạn nên thay mới vì thiết bị mới có giá khá rẻ, khoảng 35 USD.
Sau khi chuẩn bị đầy đủ, bạn hãy sử dụng một trình duyệt để vào trang web quản trị của router (xem tài liệu hướng dẫn đi kèm thiết bị để biết chính xác cách thực hiện) và thay đổi chế độ bảo mật mặc định sang WPA2 Personal: chọn thuật toán WPA là TKIP+AGES và nhập vào mật khẩu ở mục WPA Shared Key (Hình 1). Mật khẩu có thể gồm các kí tự chữ cái và số, với chiều dài tối đa là 63 kí tự. Ở các lần đăng nhập sau, hệ thống sẽ nhắc nhở bạn cần nhập mật khẩu WPA Shared Key.
Hình 1: Thiết lập tính năng bảo mật WPA2 cho router/gateway.
BẢO MẬT TỰ ĐỘNG
Mặc dù Windows 2000 và các phiên bản Windows trước đây không hỗ trợ tính năng bảo mật WPA2 nhưng bạn vẫn có thể bảo vệ an toàn mạng không dây của mình với sự trợ giúp từ một số công cụ hữu ích.
Hình 2: Bảo vệ mạng không dây an toàn với tiện ích Wireless Home Network Security của McAfee.
McAfee Wireless Home Network Security (80 USD) là phần mềm có thể cấu hình bảo mật Wi-Fi cho nhiều gateway không dây và hỗ trợ đến 3 mạng máy (Hình 2). Hãng này liệt kê danh sách thiết bị mà chương trình này hỗ trợ tại địa chỉ www.mcafee.com/router. Dù chưa hỗ trợ WPA2 nhưng phần mềm này có thể khắc phục một số nhược điểm của chuẩn WPA (chẳng hạn sử dụng khóa tĩnh nên dễ bị bẻ khóa hơn). Chương trình tự động tạo ra và xoay vòng qua các khóa mới trên bất kỳ máy tính nào trong mạng và trên chính gateway.
Ngoài ra, một cách khác để kiểm tra tính bảo mật của mạng không dây là sử dụng tiện ích miễn phí Netstumbler của Marius Milner. Netstumbler không chỉ giúp bạn xác định được những "lổ hỗng" bảo mật trên mạng mà còn phát hiện nguồn gốc của hiện tượng nhiễu sóng cũng như nhận biết những khu vực có tín hiệu sóng yếu.
Phương pháp triển khai lắp đặt WIRELESS ACCESS POINT
Trong quá triển khai mạng không dây, việc xác định vị trí và lắp đặt Wireless Access Point (AP) là một trong những yếu tố quan trọng quyết định đến tốc độ và sự ổn định của mạng. Nó không giống như chúng ta triển khai một mạng LAN thông thường vì công nghệ không dây truyền tín hiệu dựa trên sự truyền phát tín hiệu radio. Mặt khác tín hiệu radio là loại tín hiệu có thể bị cản trở, phản hồi, bị chặn hoặc bị nhiễu bởi các vật cản như tường, trần nhà … Việc này làm cho quá trình kết nối bị gián đoạn khi người sử dụng di chuyển trong phạm vị phủ sóng của mạng. Qua bài viết này bạn có thể nắm bắt sơ qua các yếu tố ảnh hưởng đến quá trình truyền thông trong mạng, từ đó tìm ra phương thức triển khai lắp đặt AP một cách tốt nhất.
1. Xem xét trước khi thiết kế
a. Các yêu cầu về AP
Xác định các yêu cầu cần thiết cho các AP trước khi bạn quyết định mua và lắp đặt nó vào hệ thống.
+ 802.1X và RADIUS (Remote Authentication Dial-In User):
Để an toàn cho truyền thông không dây cho các tổ chức và các nhà cung cấp dịch vụ không dây công cộng thì AP cần phải hỗ trợ chuẩn IEEE 802.1X cho chứng thực kết nối không dây và sự chứng thực (Authentication), cấp phép (Authorization) và kế toán (Accounting) sử dụng các RADIUS server.
Đối với các AP sử dụng trong văn phòng nhỏ hoặc gia đình thì có thể không cần hỗ trợ 8020.1X và RADIUS.
+ WPA: (Wi-Fi Protect Access)
Để cung cấp mức bảo mật cao trong việc mã hóa và toàn vẹn dữ liệu và thay thế cho mã hóa WEP (Wired Equivalent Privacy) đã trở lên yếu kém, các AP cần phải hỗ trợ chuẩn WPA mới.
Đối với các văn phòng nhỏ và gia đình, WPA cũng cung cấp một phương pháp chứng thực an toàn hơn mà không yêu cầu một RADIUS server.
+ 802.11a, b, g:
Tùy thuộc vào ngân sách cung cấp cho việc lắp đặt mạng mà bạn có thể sử dụng các AP có tốc độ khác, có thể cần AP hỗ trợ 802.11b (tối đa 11 Mbps) có giá thấp hay các AP hỗ trợ chuẩn 802.11a (tối đa 54) có giá cao hơn, 802.11g (tối đa 54 Mbps) hoặc sử dụng kết hợp các chuẩn trên.
+ Cấu hình trước và cấu hình từ xa các cho các AP:
Việc cấu AP trước khi lắp đặt chúng giúp tăng tốc độ của quá trình triển khai và tiết kiệm sức lao động. Chúng ta có thể cấu hình trước các AP bằng cách sử dụng cổng giao tiếp, Telnet hoặc Web server được tích hợp trong AP.
Nếu bạn không thực hiện cấu hình trước các AP thì chí ít bạn cũng phải chắc chắn rằng chúng có thể cấu hình từ xa bằng công cụ của nhà cung cấp, vì nếu khi lắp đặt xong mà bạn không để truy cập từ xa để cấu hình chúng thì điều đó thực sự là một thảm họa.
+ Các kiểu ăng-ten:
Bạn cần phải tìm hiều xem AP đó có hỗ trợ nhiều loại antena khác nhau hay không?. Ví dụ, trong 1 tòa nhà nhiều tầng, một AP với ăng-ten đẳng hướng truyền phát tín hiệu như nhau theo tất cả các phương hướng trừ phương thẳng đứng có thể làm việc tốt nhất.
Để biết được AP có hỗ trợ những loại antena nào thì cần xem hướng dẫn đi kèm AP.
b. Tách kênh
Nếu bạn cấu hình hoạt động AP ở một kênh cụ thể thìcard mạng không dây sẽ tự động cấu hình chính nó theo kênh của AP với tín hiệu mạnh nhất. Do vậy, để giảm bớt giao thoa giữa các AP chuẩn 802.11b, chúng ta phải cấu hình cho mỗi AP có vùng phủ sóng chồng lên nhau ở một kênh riêng biệt. Trong AP đã cung cấp sẵn cho chúng ta 15 kênh.
Để ngăn tín hiệu từ các AP liền kề xen vào với nhau, phải đặt số kênh của chúng cách nhau ít nhất là 5 kênh. Chúng ta có thể sử dụng 1 trong 3 kênh là 1, 6 hoặc 11. Nếu không dùng đến 3 kênh trên thì bạn phải đảm bảo sao cho khoảng cách giữa các kênh là 5 kênh.
Ví dụ: 1, 6, 1, 6, 11, 6 là các số hiệu kênh
c. Xác đinh các vật cản xung quanh.
Việc lựa chọn vị trí đặt AP phụ thuộc vào cấu trúc của tòa nhà, các vật cản…Việc thay đổi truyền phát tín hiệu làm biến dạng vùng thể tích phạm vi lý tưởng qua việc ngăn chặn, phản hồi & suy giảm tần số radio (giảm cường độ tín hiệu) có thể ảnh hưởng đến cách bạn triển khai AP. Các vật kim loại trong 1 tòa nhà hoặc được dùng trong xây dựng của 1 tòa nhà có thể ảnh hưởng đến tín hiệu không dây. Ví dụ:
· Xà nhà
· Cáp thang máy
· thép trong bê tông
· Các ống thông gió, điều hòa nhiệt độ và điều hòa không khí
· Dây lưới đỡ thạch cao hoặc vữa trên tường
· Tường chứa kim loại, các khối xỉ than, bê tông
· Bàn kim loại, bể cá, hoặc các loại thiết bị kim loại lớn khác
d. Xác định các nguồn giao thoa
Bất cứ thiết bị nào hoạt động trên các tần số giống như các thiết bị mạng không dây của bạn (trong băng S dải tần ISM hoạt động trong dải tần số từ 2.4GHz đến 2.5Ghz, hoặc băng C hoạt động trong dải tần số từ 5.725GHz đến 5.875GHz) đều có thể bị nhiễu tín hiệu. Các nguồn giao thoa cũng làm biến dạng 1 vùng thể tích phạm vi lý tưởng của AP. Vì vậy ta cần lựa chọn vị trí đặt AP cách xa các nguồn giao thoa này.
Các thiết bị hoạt động trong băng C dải tần ISM bao gồm:
· Các thiết bị cho phép dùng bluetooth
· Lò vi sóng
· Phone 2.4GHz
· Camera không dây
· Các thiết bị y học
· Động cơ thang máy
e. Xác định số lượng AP
Để xác định số AP để triển khai, hãy theo các nguyên tắc chỉ dẫn sau
· Phải có đủ AP để đảm bảo những người dùng không dây có đủ cường độ tín hiệu từ bất cứ đâu trong vùng thể tích phạm vi. Các AP điển hình sử dụng ăng-ten đẳng hướng phát ra 1 vùng tín hiệu hình tròn phẳng thẳng đứng lan truyền giữa các tầng của tòa nhà. Điển hình, AP có phạm vi trong nhà trong vòng bán kính 200 foot. Phải có đủ AP để đảm bảo rằng tín hiệu chồng lên nhau giữa các AP.
· Xác định số lượng lớn nhất những người dùng không dây cùng lúc trên 1 vùng fạm vi.
· Đánh giá lưu lượng dữ liệu mà trung bình người dùng không dây thường yêu cầu. Nếu cần thì tăng thêm số AP, điều đó sẽ:
- Cải thiện khả năng băng thông mạng máy khách không dây.
- Tăng số lượng người dùng không dây được hỗ trợ trong vùng phạm vi.
· Dựa trên toàn bộ lưu lượng dữ liệu của tất cả người dùng, xác định số người dùng mà bạn có thể kết nối họ tới 1 AP. Hãy hiểu biết rõ về lưu lượng trước khi triển khai hoặc thay đổi mạng. Vài nhà cung cấp không dây cung cấp 1 công cụ mô phỏng chuẩn 802.11 mà bạn có thể sử dụng để làm mẫu sự lưu chuyển trong mạng và xem mức lưu lượng dưới nhiều điều kiện.
· Hãy đảm bảo sự dư thừa trong trường hợp 1 AP bị lỗi.
2. Triển khai AP
Điều quan trọng trong việc triển khai lắp đặt AP là lắp đặt các AP sao cho phải đủ gần nhau để cung cấp phạm vi rộng nhưng phải đủ xa để các AP không gây nhiễu lần nhau. Khoảng cách thực tế giữa 2 AP bất kỳ phụ thuộc vào sự kết hợp của kiểu AP (kiểu ăng-ten của AP và cấu trúc xây dựng của tòa nhà) cũng như các nguồn làm giảm, chặn và phản hồi tín hiệu.
Bạn nên cố gắng giữ tỉ lệ trung bình tốt nhất giữa các máy trạm tới AP, tức là không để một AP phục vụ quá nhiều máy trạm còn một AP lại phục vụ một vài máy trạm vì lượng trung bình người dùng kết nối tới một AP càng lớn thì hiệu quả truyền dữ liệu càng thấp. Quá nhiều máy khách sử dụng cùng 1 AP sẽ làm giảm lưu lượng mạng, hiệu quả và băng thông cho mỗi máy khách.
Bằng cách tăng thêm số AP giúp tăng thêm lưu lượng và giảm tải cho mạng. Để tăng thêm số AP tỉ lệ với số máy khách thì cần phải tăng số AP trong 1 vùng thể tích phạm vi đã cho.
Để triển khai AP của bạn, hãy làm theo các bước sau:
· Phân tích vị trí các AP dựa trên sơ đồ tòa nhà.
· Lắp đặt tạm thời các AP.
· Phân tích cường độ tín hiệu trên tất cả các vùng.
· Tái định vị các AP.
· Xác định vùng thể tích phạm vi.
· Cập nhật các bản vẽ kiến trúc của mạng để đối chiếu số lượng và vị trí cuối cùng của các AP.
Các bước này được đề cập chi tiết hơn trong các mục sau:
Phân tích các vị trí đặt AP
Vẽ phác thảo kiến trúc cho mỗi tầng của tòa. Trên bản vẽ cho mỗi tầng, xác định các văn phòng, các phòng hội nghị, hành lang hoặc các nơi khác mà bạn muốn cung cấp truy cập không dây.
Trên bản kế hoạch hãy ghi rõ các thiết bị gây nhiễu và đánh dấu các vật liệu xây dựng tòa nhà hoặc các vật có thể làm giảm, phản hồi hoặc chặn các tín hiệu không dây. Sau đó chỉ rõ vị trí các AP mà mỗi AP cách AP liền kề không quá 60m.
Sau khi xác định các vị trí của các AP, bạn phải xác định các kênh của chúng sau đó gán số hiệu kênh cho mỗi AP.
Để chọn kênh cho các AP:
Để chọn kênh cho các AP ta thực hiện các công việc sau:
· Xác định xem có mạng không dây nào ở gần không để xác định số hiệu kênh và nơi đặt AP của họ. Điều đó giúp ta triển khai các AP của mình mà không sợ bị nhiễu do trùng kênh.
· Các AP đặt gần nhau trên các tầng khác nhau phải được gán các sao cho các kênh của chúng không bị chồng lên nhau.
· Sau khi xác định vùng thể tích không gian chồng lên nhau trong và ngoài mạng, hãy gán các số hiệu kênh cho các AP.
Để gán số hiệu kênh cho các AP:
Để gán số hiệu kênh cho các AP ta thực hiện các công việc sau:
· Gán kênh 1 cho AP đầu tiên.
· Gán kênh 6 và 11 cho 2 AP có vùng thể tích phạm vi chồng lên vùng thể tích phạm vi của AP đầu tiên, và phải đảm bảo các AP đó không gây nhiễu lẫn nhau vì cùng kênh.
· Tiếp tục gán số hiệu kênh cho các AP khác sao cho 2 AP bất kỳ với phạm vi chồng lên nhau được gán các số hiệu kênh khác nhau.
Lắp đặt tạm thời các AP:
Lắp đặt dựa vào các vị trí, các cấu hình kênh đã được ghi trong bản kế hoạch và các phân tích cơ bản về vị trí của các AP.
Khảo sát vị trí
Ta có thể thực hiện khảo sát vị trí bằng cách đi quanh tòa nhà và các tầng của nó với một chiếc máy sách tay hỗ trợ không dây 802.11 và phần mềm khảo sát vị trí.
Xác định cường độ tín hiệu và tốc độ truyền của vùng thể tích phạm vi cho mỗi AP được cài đặt.
Tái định vị các AP - các nguồn làm suy giảm hoặc giao thoa:
Tại những vị trí có cường độ tín hiệu yếu, bạn có thể thực hiện những điều chỉnh sau đây để cải thiện tín hiệu:
· Đặt cố định các AP đã được cài đặt tạm để làm tăng cường độ tín hiệu cho vùng thể tích phạm vi đó.
· Đặt lại hoặc loại bỏ các thiết bị gây nhiễu (bluetooth, lò vi sóng)
· Đặt lại hoặc loại bỏ các vật kim loại gẫy nhiễu (tủ hồ sơ, các thiết bị hoặc dụng cụ)
· Thêm nhiều AP hơn để bù cho cường độ tín hiệu yếu. (Nếu thêm AP, có thể bạn phải thay đổi số hiệu kênh của các AP liền kề nhau)
· Mua các ăng-ten phù hợp với các yêu cầu cơ sở hạ tầng của tòa nhà. Ví dụ để loại bỏ giao thoa giữa các AP đặt trên các tầng gần nhau trong tòa nhà, bạn có thể mua các ăng-ten định hướng để tăng phạm vi nằm ngang và giảm phạm vi thẳng đứng.
Xác minh vùng thể tích phạm vi:
Khảo sát các vị trí khác để giúp loại trừ các vị trí có cường độ tín hiệu yếu.
Cập nhật kế hoạch:
Cập nhật các bản vẽ kiến trúc để đối chiếu số lượng và vị trí cuối cùng của các AP. Chỉ rõ ranh giới vùng thể tích phạm vi cho mỗi AP nơi tốc độ truyền dữ liệu thay đổi.
Kết luận
Trước khi triển khai AP, bạn hãy xem xét các yêu cầu về AP,việc tách kênh, các thay đổi truyền phát tín hiệu, các nguồn giao thoa (nguồn gây nhiễu), số lượng AP cần thiết tương ứng với phạm vi không dây, băng thông, và các yêu cầu dự trữ.
Để triển khai AP, hãy ước lượng các vị trí AP dựa trên sơ đồ tòa nhà và các kiến thức về sự thay đổi truyền phát tín hiệu và các nguồn giao thoa (nguồn nhiễu). Cài đặt các AP tại các vị trí tạm và thực hiện khảo sát vị trí (lưu ý các vùng bị thiếu phạm vi). Thay đổi vị trí các AP, các thay đổi truyền phát tín hiệu hoặc các nguồn giao thoa và xác minh phạm vi bằng cách thực hiện khảo sát vị trí bổ sung. Sau khi xác định các vị trí cuối cùng của các AP.
Nối mạng không dây: Dựng hotspot theo nhu cầu
Từ chỗ chỉ có một điểm truy cập Internet không dây Wi-Fi (Wireless Fidelity - công nghệ không dây cự ly ngắn, chuẩn IEEE 802.11, tầm phủ sóng chỉ giới hạn), hotspot đầu tiên được xây dựng vào tháng 6/2004 tại Hà Nội bởi Intel và VDC; đến nay, hotspot đã mọc lên như nấm tại TP.HCM, Hà Nội, Hải Phòng... Thậm chí tại TP.HCM, trên một con đường ngắn ở quận 3, đã có đến vài ba hotspot của các quán cà phê hoặc nhà hàng.
Giờ đây hotspot không chỉ có ở các địa điểm công cộng thu hút nhiều người dùng mà các doanh nghiệp, nhiều gia đình tại các thành phố lớn cũng đã có Internet Wi-Fi. Theo ông Lê Hoàng Hải, giám đốc chi nhánh TP.HCM của Netcom – công ty chuyên cung cấp các giải pháp về mạng không dây, thị trường các thiết bị dùng cho hotspot đã tăng trưởng khá cao, khoảng 25 – 30% hàng năm.
Cạnh tranh bằng Wi-Fi
Tất nhiên, ưu điểm của Wi-Fi thì ai cũng biết, với máy tính được trang bị công nghệ Wi-Fi (tích hợp sẵn hoặc dùng card wireless), khi ở trong vùng phủ sóng của Wi-Fi là có thể kết nối ngay với Internet tốc độ cao mà không cần cáp. Quả là thuận lợi, nhất là với những ai thường xuyên di chuyển. Nhưng "sướng hơn" nữa là hiện Internet Wi-Fi trong các quán cà phê, nhà hàng... tại các thành phố lớn hầu hết được cung cấp miễn phí! Chỉ với trên dưới 10.000 đồng tiền nước, bạn có thể truy cập Internet không dây nhiều giờ. Chính vì ưu điểm này, cộng với việc số lượng người sử dụng máy tính xách tay, thiết bị trợ giúp cá nhân số (PDA) ngày càng nhiều nên Wi-Fi đang là một trong những yếu tố để các quán cà phê, khách sạn, nhà hàng, cửa hàng... thu hút khách. Cách cạnh tranh này được coi là khá tích cực và nhạy bén. Đó cũng là lý do mà vì sao hotspot đang xuất hiện khắp nơi nhất là tại TP.HCM và Hà Nội.
Cũng do lợi thế không dây mà hiện nay Wi-Fi đã được nhiều doanh nghiệp bắt đầu ứng dụng cho hoạt động của họ. Minh chứng là nếu mang máy tính xách tay có tích hợp card mạng Wi-Fi đến "phố máy tính" Bùi Thị Xuân hoặc Tôn Thất Tùng ở TP.HCM, bạn có thể dễ dàng vào Internet "chùa" do nhiều doanh nghiệp ở các phố này đã triển khai hotspot. Vùng phủ sóng "dày đặc" đến mức dù không ở trong văn phòng của công ty nào đó, người dùng vẫn vô tình "dò” được "sóng". Thậm chí thời gian gần đây, nhiều gia đình đã trang bị hotspot tại gia. Wi-Fi đã cho phép người dùng tự do di chuyển khắp nhà mà vẫn truy cập được Internet, không phải kéo lê theo sợi cáp. Tất nhiên cũng phải thừa nhận rằng, khi dùng Wi-Fi chúng ta cũng chỉ có thể "luẩn quẩn" ở phạm vi bán kính phủ sóng của hotspot mà theo thực tế thường chỉ ở mức từ 30 – 50m (lý thuyết là 300m).
Wi-Fi không có gì phức tạp
Vẫn theo ông Lê Hoàng Hải của Netcom, dù là công nghệ khá mới mẻ với thị trường Việt Nam nhưng thực tế Wi-Fi không có gì phức tạp và cao siêu như nhiều người lầm tưởng. Khi tiến hành xây dựng hotspot, người dùng cần phải có một tài khoản (account) ADSL (Internet băng thông rộng, tốc độ tối đa tại Việt Nam hiện nay là 2 Mbps) hiện do khá nhiều ISP cung cấp như: VDC, FPT, Viettel... với nhiều gói cước để người dùng có thể có lựa chọn tối ưu nhất.
Tiếp đó, người dùng phải sắm "trái tim" của hotspot là một bộ thu phát tín hiệu (Access Point- AP). Gắn thiết bị này sau router ADSL sau đó phát "sóng" đến các thiết bị đầu cuối có hỗ trợ Wi-Fi mà cụ thể là máy tính xách tay, PDA hoặc điện thoại di động... Tham khảo thêm thông tin về cách thiết lập trong bài viết "Chia sẻ kết nối Internet qua thiết bị không dây"
Access Point có nhiều loại khác nhau, nhưng đa phần chúng được thiết kế khá gọn gàng, với kích thước khoảng 2 bàn tay, được gắn sẵn 1 hoặc 2 ăng-ten.
Tại Việt Nam, AP được bán với khá nhiều tên tuổi, giới kinh doanh sản phẩm này đánh giá về nhãn hiệu AP bằng câu "thượng vàng hạ cám". Có thể kể đến là Cisco, 3COM, D-Link, IBM, Okeynet, Planet, Micronet, TRENDnet, Linksys, Infosmart... Giá các sản phẩm này thường khoảng từ 60 cho đến vài trăm USD tùy theo nhãn hiệu và tính năng. Các chuyên gia cho rằng, trong các doanh nghiệp, những nơi Internet thực sự ảnh hưởng đến công việc kinh doanh thì nên chọn những sản phẩm có uy tín, vì các sản phẩm này thường đi với các giải pháp trọn gói, tầm phủ sóng rộng, cộng với độ ổn định cao... Các AP cỡ Cisco, 3COM là khá cao, không dưới 100 USD. Trong khi đó, nếu người dùng gia đình thì chỉ cần những sản phẩm thường thường bậc trung là đủ và tiết kiệm được chi phí. Đa số các doanh nghiệp tham gia kinh doanh AP mà chúng tôi có dịp tiếp xúc đều không đánh giá cao sản phẩm do các doanh nghiệp Trung Quốc sản xuất.
Vậy phải đầu tư AP như thế nào cho hợp lý? Tầm phủ sóng và khả năng phục vụ số người truy cập cùng lúc tùy thuộc vào khả năng hỗ trợ của mỗi AP, băng thông đường truyền Internet. Bạn nên tham khảo tài liệu đi kèm sản phẩm hoặc liên hệ nhà cung cấp để có thông tin chính xác. Nếu doanh nghiệp hoặc 1 địa điểm nào đó muốn phục vụ nhiều người dùng và mở rộng tầm phủ sóng thì nên đầu tư từ 2 AP trở lên. Kinh nghiệm cũng cho thấy nên đặt AP ở những vị trí thoáng trong tòa nhà, không bị che chắn bởi các vật dụng khác đồng thời cũng tránh việc sóng của các thiết bị số khác, như điện thoại vô tuyến ảnh hưởng đến việc thu/phát của AP. Cũng nên để ý đến tốc độ của AP, vì tốc độ càng cao thì giá thành càng lớn, vậy trước khi đầu tư, bạn nên căn cứ vào nhu cầu để mua sắm trang thiết bị. Chuẩn IEEE 802.11 hiện có khá nhiều phiên bản khác nhau, nhưng tại Việt Nam, chuẩn phổ biến hiện là IEEE 802.11b, với tốc độ 11Mbps; IEEE 802.11b+ tốc độ 22Mbps đến 44Mbps; IEEE 802.11g, tốc độ 54Mbps; IEEE 802.11g, công nghệ Super G, tốc độ 108Mbps; IEEE 801.11g, công nghệ Afterburner, tốc độ 125Mbps. Các chuyên gia khuyên rằng với nhu cầu như ngày nay thì IEEE 802.11g đang thích hợp nhất với thị trường Việt Nam.
Tất nhiên, về cơ bản chỉ cần kết nối ADSLvà một AP là đủ, thế nhưng người dùng sẽ cần đến các giải pháp khác như bảo mật, chia sẻ đường truyền, cấp phép truy cập, tính cước, in cước v.v... tất cả những vấn đề này đều đã có các giải pháp từ từng phần đến trọn gói bởi các công ty chuyên cung cấp các dịch vụ về truy cập không dây. Bạn có thể tham khảo những bài đánh giá về sản phẩm này trên TGVT A hàng tháng.
|
|
Giá tham khảo* một số sản phẩm Access Point: |
|
|||||||||
|
|
Nhãn hiệu |
|
|
Model |
|
|
Chuẩn |
|
|
Giá (USD) |
|
|
|
Planet |
|
|
WAP-1963 |
|
|
802.11b |
|
|
64 |
|
|
|
|
|
WAP-1966 |
|
|
802.11b+ |
|
|
75 |
|
|
|
|
|
|
WRT-414 |
|
|
802.11g |
|
|
60 |
|
|
|
|
|
|
WAP-4000 |
TIN TỨC KHÁC
Website được xây dựng tự động bởi công cụ Tạo web miễn phí http://www.xim.tv Vui lòng đợi ... | |||||||
