Поделиться через

Планирование развертывания беспроводного доступа

Перед развертыванием беспроводного доступа необходимо спланировать следующие элементы:

  • Установка точек доступа (APS) в сети

  • Конфигурация и доступ к беспроводному клиенту

В следующих разделах приведены подробные сведения об этих шагах планирования.

Планирование установки беспроводных AP

При разработке решения для доступа к беспроводной сети необходимо выполнить следующие действия.

  1. Определение стандартов, которые должны поддерживать беспроводные APS
  2. Определение областей покрытия, в которых требуется предоставить беспроводное обслуживание
  3. Определение расположения беспроводных APS

Кроме того, необходимо запланировать схему IP-адресов для беспроводных клиентов и беспроводных клиентов беспроводной сети. Дополнительные сведения см. в разделе " Планирование конфигурации беспроводных AP" в NPS ниже.

Проверка поддержки беспроводных AP для стандартов

Для обеспечения согласованности и простоты развертывания и управления AP рекомендуется развертывать беспроводные ip-адреса одного и того же бренда и модели.

Развернутые беспроводные APS должны поддерживать следующие компоненты:

  • IEEE 802.1X

  • Проверка подлинности RADIUS

  • Беспроводная проверка подлинности и шифр. Указан в порядке большинства из наименее предпочтительных элементов:

    1. WPA2-Enterprise с AES

    2. WPA2-Enterprise с TKIP

    3. WPA-Enterprise с AES

    4. WPA-Enterprise с TKIP

Примечание.

Для развертывания WPA2 необходимо использовать беспроводные сетевые адаптеры и беспроводные ip-адреса, которые также поддерживают WPA2. В противном случае используйте WPA-Enterprise.

Кроме того, чтобы обеспечить повышенную безопасность сети, беспроводные APS должны поддерживать следующие параметры безопасности:

  • Фильтрация DHCP. Беспроводной AP должен фильтровать по IP-портам, чтобы предотвратить передачу широковещательных сообщений DHCP в тех случаях, когда беспроводной клиент настроен как DHCP-сервер. Беспроводной AP должен блокировать отправку IP-пакетов из порта UDP 68 в сеть.

  • Фильтрация DNS. Беспроводной AP должен фильтроваться по IP-портам, чтобы предотвратить работу клиента в качестве DNS-сервера. Беспроводной AP должен блокировать отправку IP-пакетов из TCP или порта UDP 53 в сеть.

  • Изоляция клиента, если ваша беспроводная точка доступа предоставляет возможности изоляции клиентов, следует включить функцию, чтобы предотвратить возможные спуфинговые эксплойты протокола разрешения адресов (ARP).

Определение областей покрытия для беспроводных пользователей

Используйте архитектурные рисунки каждого этажа для каждого здания, чтобы определить области, в которых требуется обеспечить беспроводное покрытие. Например, определите соответствующие офисы, конференц-залы, лобби, кафетерии или дворы.

На рисунках укажите любые устройства, которые препятствуют беспроводному сигналу, таким как медицинское оборудование, беспроводные видеокамеры, беспроводные телефоны, работающие в диапазоне от 2,4 до 2,5 ГГц Промышленный, Научный и медицинский (ISM) и устройства с поддержкой Bluetooth.

На рисунке пометить аспекты здания, которые могут препятствовать беспроводным сигналам; металлические объекты, используемые в строительстве здания, могут повлиять на беспроводной сигнал. Например, следующие распространенные объекты могут препятствовать распространению сигналов: лифты, нагревательные и кондиционерные трубы, а также бетонная поддержка гирдеров.

Обратитесь к производителю AP для получения сведений о источниках, которые могут привести к снижению частоты беспроводной связи. Большинство APS предоставляют тестируемое программное обеспечение, которое можно использовать для проверки надежности сигнала, частоты ошибок и пропускной способности данных.

Определение места установки беспроводных APS

На архитектурных рисунках найдите беспроводные APS достаточно близко друг к другу, чтобы обеспечить достаточное беспроводное покрытие, но достаточно далеко друг от друга, что они не вмешиваются друг в друга.

Необходимое расстояние между APS зависит от типа антенны AP и AP, аспектов здания, которые блокируют беспроводные сигналы и другие источники помех. Вы можете пометить размещение беспроводных AP, чтобы каждый беспроводной AP не более 300 футов от любого соседнего беспроводного AP. См. документацию производителя беспроводных AP для спецификаций и рекомендаций по размещению.

Временно установите беспроводные APS в расположениях, указанных в архитектурных документах. Затем, используя ноутбук, оснащенный беспроводным адаптером 802.11 и программным обеспечением опроса сайта, которое обычно поставляется с беспроводными адаптерами, определяет силу сигнала в каждой области покрытия.

В зонах покрытия, где сила сигнала низка, позиционирует AP для повышения мощности сигнала для области покрытия, установите дополнительные беспроводные APS для обеспечения необходимого покрытия, перемещения или удаления источников помех сигнала.

Обновите архитектурные рисунки, чтобы указать окончательное размещение всех беспроводных APS. Наличие точной карты размещения AP поможет позже во время операций устранения неполадок или при необходимости обновления или замены APS.

Планирование конфигурации клиента БЕСПРОВОДНОЙ СЕТИ и NPS RADIUS

Вы можете использовать NPS для настройки беспроводных APS по отдельности или в группах.

При развертывании крупной беспроводной сети, которая включает множество APS, гораздо проще настроить APS в группах. Чтобы добавить APS в качестве групп клиентов RADIUS в NPS, необходимо настроить APS с этими свойствами.

  • Беспроводные IP-адреса настраиваются с IP-адресами из одного диапазона IP-адресов.

  • Беспроводные ip-адреса настроены с одинаковым общим секретом.

Планирование использования peAP Fast Reconnect

В инфраструктуре 802.1X точки беспроводного доступа настраиваются как клиенты RADIUS на серверах RADIUS. При развертывании быстрого повторного подключения PEAP беспроводной клиент, перемещающийся между двумя или более точками доступа, не требуется проходить проверку подлинности при каждой новой ассоциации.

Быстрое повторное подключение PEAP сокращает время отклика для проверки подлинности между клиентом и аутентификатором, так как запрос проверки подлинности пересылается из новой точки доступа на NPS, которая первоначально выполнила проверку подлинности и авторизацию для запроса подключения клиента.

Так как клиент PEAP и NPS используют ранее кэшированные свойства подключения tls (коллекция которых называется дескрипторОМ TLS), NPS может быстро определить, что клиент авторизован для повторного подключения.

Внимание

Чтобы быстрое повторное подключение работало правильно, APS должны быть настроены как клиенты RADIUS одного и того же NPS.

Если исходный NPS становится недоступным, или если клиент переходит в точку доступа, настроенную как клиент RADIUS на другой сервер RADIUS, полная проверка подлинности должна происходить между клиентом и новым аутентификатором.

Конфигурация беспроводного AP

В следующем списке перечислены элементы, которые обычно настроены для беспроводных APS с поддержкой 802.1X:

Примечание.

Имена элементов могут отличаться по фирменной символике и модели и могут отличаться от имен в следующем списке. Сведения о конфигурации см. в документации по беспроводной AP.

  • Идентификатор набора служб (SSID). Это имя беспроводной сети (например, ExampleWlan) и имя, которое объявляется беспроводным клиентам. Чтобы уменьшить путаницу, SSID, который вы решили объявить, не должен соответствовать SSID, который передается любыми беспроводными сетями, которые находятся в диапазоне приема беспроводной сети.

    В случаях, когда несколько беспроводных APS развертываются в рамках одной беспроводной сети, настройте каждый беспроводной AP с одинаковым SSID. В случаях, когда несколько беспроводных APS развертываются в рамках одной беспроводной сети, настройте каждый беспроводной AP с одинаковым SSID.

    В случаях, когда необходимо развернуть разные беспроводные сети для удовлетворения конкретных бизнес-потребностей, беспроводной AP в одной сети должен транслировать другой SSID, чем SSID вашей другой сети. Например, если вам нужна отдельная беспроводная сеть для сотрудников и гостей, можно настроить беспроводные APS для бизнес-сети с помощью SSID, установленного для трансляции ExampleWLAN. Для гостевой сети можно настроить SSID каждого беспроводного AP для трансляции Гостевой виртуальной локальной сети. Таким образом, ваши сотрудники и гости могут подключаться к предполагаемой сети без необходимости путаницы.

    Совет

    Некоторые беспроводные AP имеют возможность транслировать несколько SSID для размещения развертываний с несколькими сетями. Беспроводной AP, который может транслировать несколько SSID, может снизить затраты на развертывание и обслуживание операций.

  • Беспроводная проверка подлинности и шифрование.

    Беспроводная проверка подлинности — это проверка подлинности безопасности, используемая при связывании беспроводного клиента с беспроводной точкой доступа.

    Беспроводное шифрование — это шифр шифрования безопасности, используемый с беспроводной проверкой подлинности для защиты связи, отправляемой между беспроводным AP и беспроводным клиентом.

  • IP-адрес беспроводной сети (статический). На каждом беспроводном AP настройте уникальный статический IP-адрес. Если подсеть обслуживается DHCP-сервером, убедитесь, что все IP-адреса AP попадают в диапазон исключений DHCP, чтобы DHCP-сервер не пытался выдавать один и тот же IP-адрес другому компьютеру или устройству. Диапазоны исключений описаны в процедуре "Создание и активация новой области DHCP" в руководстве по основной сети. Если вы планируете настроить APS в качестве клиентов RADIUS по группам в NPS, каждый AP в группе должен иметь IP-адрес из одного диапазона IP-адресов.

  • DNS-имя. Некоторые беспроводные ip-адреса можно настроить с помощью DNS-имени. Настройте каждый беспроводной AP с уникальным именем. Например, если у вас развернутые беспроводные ip-адреса в многоэтажном здании, вы можете назвать первые три беспроводных APS, развернутые на третьем этаже AP3-01, AP3-02 и AP3-03.

  • Маска подсети беспроводной сети AP. Настройте маску, чтобы указать, какая часть IP-адреса является идентификатором сети и какой частью IP-адреса является узел.

  • Служба AP DHCP. Если беспроводной AP имеет встроенную службу DHCP, отключите ее.

  • Общий секрет RADIUS. Используйте уникальный общий секрет RADIUS для каждого беспроводного AP, если вы не планируете настроить клиенты NPS RADIUS в группах , в каких обстоятельствах необходимо настроить все APS в группе с одинаковым общим секретом. Общие секреты должны быть случайной последовательностью по крайней мере 22 символов длиной, с буквами верхнего и нижнего регистра, цифрами и знаками препинания. Чтобы обеспечить случайность, можно использовать программу создания случайных символов для создания общих секретов. Рекомендуется записать общий секрет для каждого беспроводного AP и сохранить его в безопасном расположении, например в офисе. При настройке клиентов RADIUS в консоли NPS вы создадите виртуальную версию каждого AP. Общий секрет, настроенный на каждом виртуальном AP в NPS, должен соответствовать общему секрету фактического физического AP.

  • IP-адрес сервера RADIUS. Введите IP-адрес NPS, который вы хотите использовать для проверки подлинности и авторизации запросов на подключение к этой точке доступа.

  • Порты UDP. По умолчанию NPS использует порты UDP 1812 и 1645 для сообщений проверки подлинности RADIUS и портов UDP 1813 и 1646 для сообщений учета RADIUS. Рекомендуется не изменять параметры портов RADIUS UDP по умолчанию.

  • VSAs. Для некоторых беспроводных APS требуются атрибуты, относящиеся к поставщику (VSAs), чтобы обеспечить полную функциональность беспроводного AP.

  • Фильтрация DHCP. Настройте беспроводные ip-адреса, чтобы заблокировать отправку IP-пакетов из порта UDP 68 в сеть. Сведения о настройке фильтрации DHCP см. в документации по беспроводной СЕТИ.

  • Фильтрация DNS. Настройте беспроводные ip-адреса, чтобы заблокировать отправку IP-пакетов из TCP или порта UDP 53 в сеть. См. документацию по беспроводному AP для настройки фильтрации DNS.

Планирование конфигурации и доступа беспроводного клиента

При планировании развертывания беспроводного доступа с проверкой подлинности 802.1X необходимо учитывать несколько факторов, относящихся к клиенту:

  • Планирование поддержки нескольких стандартов.

    Определите, используют ли ваши беспроводные компьютеры одну и ту же версию Windows или являются ли они смесью компьютеров под управлением разных операционных систем. Если они отличаются, убедитесь, что вы понимаете какие-либо различия в стандартах, поддерживаемых операционными системами.

    Определите, поддерживают ли все беспроводные сетевые адаптеры на всех беспроводных клиентских компьютерах одинаковые беспроводные стандарты или должны ли вы поддерживать различные стандарты. Например, определите, поддерживают ли некоторые драйверы оборудования сетевого адаптера WPA2-Enterprise и AES, а другие поддерживают только WPA-Enterprise и TKIP.

  • Планирование режима проверки подлинности клиента. Режимы проверки подлинности определяют, как клиенты Windows обрабатывают учетные данные домена. В политиках беспроводной сети можно выбрать следующие три режима проверки подлинности сети.

    1. Повторная проверка подлинности пользователя. Этот режим указывает, что проверка подлинности всегда выполняется с помощью учетных данных безопасности на основе текущего состояния компьютера. Если пользователи не вошли на компьютер, проверка подлинности выполняется с помощью учетных данных компьютера. Когда пользователь вошел на компьютер, проверка подлинности всегда выполняется с помощью учетных данных пользователя.

    2. Только компьютер. Только в режиме компьютера указывается, что проверка подлинности всегда выполняется только с использованием учетных данных компьютера.

    3. Аутентификация пользователя. Режим проверки подлинности пользователя указывает, что проверка подлинности выполняется только при входе пользователя на компьютер. Если на компьютере нет пользователей, попытки проверки подлинности не выполняются.

  • Планирование беспроводных ограничений. Определите, нужно ли предоставлять всем вашим беспроводным пользователям одинаковый уровень доступа к беспроводной сети или ограничить доступ для некоторых беспроводных пользователей. Ограничения в NPS можно применять к определенным группам беспроводных пользователей. Например, можно определить определенные дни и часы, которым разрешен доступ к беспроводной сети.

  • Планирование методов добавления новых беспроводных компьютеров. Для компьютеров с поддержкой беспроводной сети, присоединенных к домену перед развертыванием беспроводной сети, если компьютер подключен к сегменту проводной сети, которая не защищена 802.1X, параметры беспроводной конфигурации автоматически применяются после настройки политик беспроводной сети (IEEE 802.11) на контроллере домена и после обновления групповой политики на беспроводном клиенте.

    Однако для компьютеров, которые еще не присоединены к домену, необходимо запланировать применение параметров, необходимых для доступа с проверкой подлинности 802.1X. Например, определите, нужно ли присоединить компьютер к домену с помощью одного из следующих методов.

    1. Подключите компьютер к сегменту проводной сети, которая не защищена 802.1X, а затем присоедините компьютер к домену.

    2. Предоставьте вашим беспроводным пользователям действия и параметры, необходимые для добавления собственного профиля беспроводной начальной загрузки, что позволяет им присоединить компьютер к домену.

    3. Назначьте ИТ-сотрудникам присоединение беспроводных клиентов к домену.

Поддержка планирования нескольких стандартов

Расширение политик беспроводной сети (IEEE 802.11) в групповой политике предоставляет широкий спектр вариантов конфигурации для поддержки различных вариантов развертывания.

Вы можете развернуть беспроводные ip-адреса, настроенные с использованием стандартов, которые требуется поддерживать, а затем настроить несколько беспроводных профилей в политиках беспроводной сети (IEEE 802.11) с каждым профилем, указывающим один набор необходимых стандартов.

Например, если у вашей сети есть беспроводные компьютеры, поддерживающие WPA2-Enterprise и AES, другие компьютеры, поддерживающие WPA-Enterprise и AES, а также другие компьютеры, поддерживающие только WPA-Enterprise и TKIP, необходимо определить, нужно ли:

  • Настройте один профиль для поддержки всех беспроводных компьютеров с помощью самого слабого метода шифрования, поддерживаемого всеми компьютерами, в данном случае WPA-Enterprise и TKIP.
  • Настройте два профиля, чтобы обеспечить оптимальную безопасность, поддерживаемую каждым беспроводным компьютером. В этом экземпляре вы настроите один профиль, указывающий самое надежное шифрование (WPA2-Enterprise и AES), а также один профиль, использующий более слабое шифрование WPA-Enterprise и TKIP. В этом примере важно разместить профиль, использующий WPA2-Enterprise и AES в порядке предпочтения. Компьютеры, которые не могут использовать WPA2-Enterprise и AES, автоматически пропускают следующий профиль в порядке предпочтения и обрабатывают профиль, указывающий WPA-Enterprise и TKIP.

Внимание

Необходимо разместить профиль с самыми безопасными стандартами в упорядоченном списке профилей, так как подключение компьютеров использует первый профиль, который они могут использовать.

Планирование ограниченного доступа к беспроводной сети

Во многих случаях может потребоваться предоставить беспроводным пользователям различные уровни доступа к беспроводной сети. Например, вы можете разрешить некоторым пользователям неограниченный доступ, любой час дня, каждый день недели. Для других пользователей может потребоваться разрешить доступ только в течение основных часов, понедельника по пятницу и запретить доступ в субботу и воскресенье.

В этом руководстве приведены инструкции по созданию среды доступа, которая помещает всех беспроводных пользователей в группу с общим доступом к беспроводным ресурсам. Вы создаете одну группу безопасности беспроводных пользователей в оснастке Пользователи и компьютеры Active Directory, а затем делаете каждого пользователя, для которого требуется предоставить беспроводной доступ участнику этой группы.

При настройке политик сети NPS вы указываете группу безопасности беспроводных пользователей в качестве объекта, который обрабатывает NPS при определении авторизации.

Однако если для развертывания требуется поддержка различных уровней доступа, вам потребуется выполнить следующие действия:

  1. Создайте несколько групп безопасности беспроводных пользователей для создания дополнительных беспроводных групп безопасности в Пользователи и компьютеры Active Directory. Например, можно создать группу, содержащую пользователей с полным доступом, группу для тех, кто имеет доступ только в течение обычных рабочих часов, и других групп, которые соответствуют другим критериям, соответствующим вашим требованиям.

  2. Добавьте пользователей в созданные вами группы безопасности.

  3. Настройте дополнительные политики сети NPS для каждой дополнительной беспроводной группы безопасности и настройте политики для применения условий и ограничений, необходимых для каждой группы.

Планирование методов добавления новых беспроводных компьютеров

Предпочтительный метод присоединения новых беспроводных компьютеров к домену, а затем вход в домен осуществляется с помощью проводного подключения к сегменту локальной сети, которая имеет доступ к контроллерам домена и не защищена коммутатором Ethernet 802.1X.

Однако в некоторых случаях может оказаться нецелесообразным использовать проводное подключение для присоединения компьютеров к домену или для того, чтобы пользователь использовал проводное подключение для первой попытки входа с помощью компьютеров, которые уже присоединены к домену.

Чтобы присоединить компьютер к домену с помощью беспроводного подключения или для пользователей, которые впервые вошли в домен с помощью присоединенного к домену компьютера и беспроводного подключения, беспроводные клиенты должны сначала установить подключение к беспроводной сети в сегменте, который имеет доступ к сетевым контроллерам домена с помощью одного из следующих методов.

  1. Сотрудник ИТ-отдела присоединяется к беспроводному компьютеру в домене, а затем настраивает беспроводной профиль Единый вход начальной загрузки. С помощью этого метода ИТ-администратор подключает беспроводной компьютер к проводной сети Ethernet, а затем присоединяет компьютер к домену. Затем администратор распределяет компьютер пользователю. Когда пользователь запускает компьютер, учетные данные домена, которые они вручную указывают для процесса входа пользователя, используются как для установления подключения к беспроводной сети, так и входа в домен.

  2. Пользователь вручную настраивает беспроводной компьютер с беспроводным профилем начальной загрузки, а затем присоединяется к домену. С помощью этого метода пользователи вручную настраивают свои беспроводные компьютеры с беспроводным профилем начальной загрузки на основе инструкций ИТ-администратора. Профиль беспроводной загрузки позволяет пользователям устанавливать беспроводное подключение, а затем присоединять компьютер к домену. После присоединения компьютера к домену и перезагрузки компьютера пользователь может войти в домен с помощью беспроводного подключения и учетных данных учетной записи домена.

Сведения о развертывании беспроводного доступа см. в статье "Развертывание беспроводного доступа".