UNIWERSYTET KAZIMIERZA WIELKIEGO Wydział Matematyki Fizyki i Techniki Zakład Teleinformatyki 1. Cel ćwiczenia Celem ćwiczenia jest zapoznanie z możliwościami konfiguracji bezprzewodowych sieci Ethernet w konfiguracjach punktu dostępu oraz mostu. Połączenie segmentów sieci odbywać się będzie w warstwie łącza danych. 2. Podstawy teoretyczny Laboratorium Sieci Komputerowych ćwiczenie: 5 Sieci bezprzewodowe WLAN Bydgoszcz 2011r. prowadzący: mgr inż. Piotr Żmudziński zmudzinski@ukw.edu.pl 2.1. Rozwój sieci WLAN Bezprzewodowe sieci lokalne WLAN (Wireless LAN) rozwijane są intensywnie od połowy lat 90-tych. Rozwój standardu wspierała grupa Wi-Fi Alliance (Wireless Fidelity) - skupiająca dostawców sieciowego sprzętu bezprzewodowego. Opublikowanie w 1999 przez IEEE standardu 802.11b spowodowało ogromny wzrost zainteresowania tą technologią, co doprowadziło do znacznego spadku cen urządzeń. Rodzina standardów 802.11 została zaprojektowana jako uzupełnienie sieci przewodowych dla przypadku gdzie nie istnieje możliwość instalacji kablowych lub zadanie to jest nieopłacalne. Na potrzeby łączności radiowej administracje większości państw świata zwolniły z opłat użytkowników pasma ISM (Industrial, Scientific, Medical) wykorzystywanego przez WLAN - pod warunkiem przestrzegania maksymalnych mocy anten nadawczych. W Polsce pasmo to także jest wole od opłat. Zalety omawianej technologii WLAN 802.11 to: łatwość montażu i rozbudowy nie jest wymagane okablowanie strukturalne, prosta rozbudowa np. dodanie nowych stacji, swoboda poruszania się klienta w obrębie zasięgu punktu dostępu, nie wymaga kosztownego okablowania, możliwości łączenia z istniejącą kablową siecią LAN, anteny kierunkowe pozwalają znacznie zwiększyć zasięg sieci, wykorzystywane pasmo jest wolne od opłat koncesyjnych. Technologia WLAN jest szczególnie chętnie wykorzystywana w następujących sytuacjach: w hotelach, gdzie w szybki sposób można wprowadzić usługę dostępu do Internetu bez konieczności konfigurowania każdego klienta, w firmach często zmieniających siedzibę, nie ma konieczności każdorazowego budowania sieci strukturalnej, w budynkach zabytkowych, gdzie nie ma możliwości wykonania potrzebnych wierceń, podczas organizowania imprez masowych takich jak: widowiska, wystawy, targi, budowania hot spotów, czyli punktów publicznego dostępu do usług internetowych, w przypadku łączenia oddalonych od siebie budynków, np. hal produkcyjnych czy wieżowców. P.Żmudziński, 09.2009r., ver 3.0 1
Tab. 1 Popularne standardy transmisji bezprzewodowej Standard IEEE 802.11b IEEE 802.11g IEEE 802.11a Rok standaryzacji 1999 1999 2003 Maksymalna szybkość transmisji Rzeczywisty transfer danych 11 Mbit/s 54 Mbit/s 54 Mbit/s 6 Mbit/s TCP 7 Mbit/s UDP 24,7 Mbit/s 14,7Mbit/s dla b i g 24,7 Mbit/s Pasmo 2400 2483,5 2400 2483,5 a)5150-5350mhz b)5475-5725mhz Maksymalna moc <= 100 mw <= 100 mw <= 1W Modulacja DSSS z CCK OFDM, DSSS z CCK OFDM Ponadto IEEE przygotowała dodatkowe modyfikacje standardu 802.11: IEEE 802.11c - opisuje sposób działania bezprzewodowych mostów pomiędzy sieciami, IEEE 802.11d - opisuje sposób implementacji łączności bezprzewodowej w poszczególnych krajach IEEE 802.11e - wprowadzenie QoS oraz inteligentnego zarządzania pakietami (packet bursting) w transmisji strumieniowej standardów 802.11a, 802.11g i 802.11h IEEE 802.11f - definiuje roaming w sieciach 802.11a, 802.11g i 802.11h przy zastosowaniu protokołu IAPP IEEE 802.11h - Europejski odpowiednik 802.11a w paśmie 5 GHz, z użyciem DCS/DFS oraz TPC IEEE 802.11i (WPA2) - ogłoszony 24 czerwca 2004 rozszerzenie bezpieczeństwa z użyciem szyfrowania i uwierzytelnienia za pomocą EAP, Radius, Kerberos, Rijnadel AES i 802.1x IEEE 802.11j - modyfikacja 802.11a na potrzeby Japonii zawierająca dodatkowe kanały ponad 4,9 GHz IEEE 802.11k - definiuje protokół wymiany informacji pomiędzy punktami dostępowymi a ich klientami zawierający opis ich możliwości 2.2. Konfiguracja sieci WLAN Standard bezprzewodowej sieci LAN IEEE 802.11 definiuje trzy możliwe struktury sieci: IBSS (Independent Basic Service Set) niezależny podstawowy zbiór usług, BSS (Basic Service Set) - podstawowy zbiór usług, ESS (Extended Service Set) rozszerzony zbiór usług. Sieć IBSS, nazywana również siecią tymczasową lub ad-hoc, tworzą stacje sieciowe wyposażone w interfejsy 802.11. Stacje komunikują się bezpośrednio. Do budowy IBSS nie wymagana jest infrastruktura kablowa, stacje mogą się wzajemnie poruszać. Wadą rozwiązanie jest niewielki zasięg, ponieważ każda stacja musi pokryć swoim zasięgiem pozostałe. Struktura BSS zbudowana jest w oparciu o topologię infrastrukturalną wymagającą zastosowanie dedykowanego urządzenia punktu dostępu (Access Point, AP), odpowiednika koncentratora w sieci 802.3. AP jest centralnym punktem komunikacyjnym dla wszystkich stacji należących do sieci BSS. Stacje klienckie nie komunikują się bezpośrednio ze sobą lecz jedynie z AP, ten natomiast przekazuje ramki do odbiorcy. Rozwiązanie to zwiększa średnicę sieci, ponieważ komunikujące stacje nie muszą być w swoim zasięgu radiowym, wystarczy że komunikują się z AP. Punkt dostępu bardzo często wyposażony jest w port uplink umożliwiający dołączenie sieci bezprzewodowej do sieci kablowej, np. Ethernetu. Aby powiększyć obszar pokrycia siecią Wi-Fi można rozbudować sieć o dodatkowe BSSy tworząc większą strukturę ESS złożoną z kilku połączonych ze sobą AP. Dodatkową zaletą systemów rozszerzonych jest możliwość uruchomienia usług roamingowych pozwalającymi na mobilność stacji w obszarze zasięgu ESS bez konieczności zrywania połączenia z siecią. Mechanizm znany w sieciach GSM pod nazwą handover czyli przejmowanie połączenia. W danej przestrzeni teoretycznie może koegzystować liczba ISSS/BSS równa liczbie kanałów radiowych, czyli dla Polski 13. Praktycznie jednak urządzenia posiadają przestrajalne filtry pasmowe dalekie od rozwiązań idealnych. Konsekwencją ich stosowania są zakłócenia, jakie emituje stacja na kanały sąsiednie od swojego kanału roboczego. Planując kilka sieci Wi-Fi na zbliżonym obszarze należy wybierać kanały możliwie oddalone od siebie i innych zajętych kanałów np. 1,6,12. Wielu producentów w celu uatrakcyjnienia swoich produktów wprowadza dodatkowo możliwość budowania bardziej złożonych struktur. Nie są one jednak objęte standardem, co oznacza, że do ich budowy niezbędny jest sprzęt produkowany przez jednego dostawcę. Dodatkowe tryby pracy i struktury opisane są w kolejnym punkcie. 2.3. Identyfikacja sieci bezprzewodowych Aby dowolna stacja była członkiem sieci IBSS/ BSS, czyli była z nią skojarzona konieczne jest uzyskanie kilku istotnych informacji: typu BSS, BSSID, SSID (nazwy sieci), kanału transmisji. Dostępne są dwa mechanizmy skanowania: pasywny i aktywny. Pasywny mechanizm polega na wykorzystaniu mechanizmu oszczędzania energii, który narzuca na AP wysyłanie co określony interwał czasu rozgłoszenia Beacon w którym można otrzymać potrzebne informacje i podjąć próbę skojarzenia z AP wysyłając Association Request. Skanowanie aktywne polega na wysłaniu ramki Probe Request na MAC adres rozgłoszeniowy (same jedynki). AP ma obowiązek odpowiedzenia ramką Probe Response. Na podstawie odebranych odpowiedzi stacja może wybrać AP o najsilniejszym sygnale i podjąć próbę skojarzenia. Warto nadmienić, że ramka 802.11 4 pola MAC, jednak najczęściej ostatnie pole adresowe jest pomijane i przesyła się jedynie: MAC adres odbiorcy, MAC adres nadawcy, BSSID MAC adres AP. P.Żmudziński, 09.2009r., ver 3.0 2
2.4. Dostęp do wspólnego kanału W bezprzewodowej sieci komputerowej nie jest możliwa implementacja mechanizmu CSMA/CD stosowanego w sieciach 802.3 ze względu na brak jednoczesnej możliwości nadawania i nasłuchiwania kanału transmisyjnego. W tej sytuacji konieczne jest stosowanie alternatywnej koncepcji - CSMA/CA, której implementacją w sieci 802.11 jest mechanizm DCF (Distributed Cooridination Function) przedstawiony na Rys.1. Sprawdzanie zajętości medium transmisyjnego składa się z realizacji dwóch funkcji: fizycznego rozpoznawania zajętości kanału radiowego oraz wirtualnego wykrywania zajętości kanału. Realizacja pierwszej funkcji jest oczywista, wykrywana jest obecność sygnału radiowego w wybranym wcześniej kanale radiowym Wirtualne wykrywanie zajętości kanału polega na sprawdzeniu specjalnego rejestru NAV (Network Allocation Vector) przechowywanego i aktualizowanego przez każdą ze stacji. NAV w uproszczeniu oznacza czas rezerwacji kanału transmisyjnego i jest uaktualniany przez stację na podstawie pola Duration w odbieranych ramkach. Wartość NAV jest dekrementowana do osiągnięcia wartości 0 chyba, że wcześniej odebrano ramkę z wartością pola Duration większą od bieżącej wartości NAV. W przypadku spełnienia obu warunków, stacja czeka jeszcze ustalony okres DIFS (DCF InterFrame Space) na rozpoczęcie okna rywalizacji, w którym o dostęp mogą ubiegać się dowolne stacje. Następnie losowana jest liczba CW i z przedziału <0-CW>, gdzie CW jest długością okna rywalizacji (Contention Window). Następnie stacja czeka czas równy iloczynowi CW i i długości szczeliny czasowej. Dalej sprawdzane jest czy NAV=0, jeśli tak sprawdzany jest czy upłynęła już wylosowana liczba szczelin czasowych. Jeśli należy odczekać jedną szczelne i ponownie sprawdzić NAV, oraz licznik szczelin. Po odczekaniu odpowiedniego czasu ramka jest wysyłana. Ponieważ medium radiowe ma wysoką stopę błędów BER (Bit Error Ratio) na poziomie 10-3, niezbędny jest mechanizm potwierdzenia otrzymania każdej poprawnej ramki przez wysłanie specjalnej ramki ACK (Rys.2). Wysłanie potwierdzenia jest specjalnym przypadkiem komunikacji nie podlegającym bezpośrednio mechanizmowi DCF. Zamiast uczestniczyć w typowej rywalizacji i czekać po zwolnieniu medium czas DIFS, stacja czeka jedynie krótszy czas SIFS (Short Inter- Frame Space) przez co zawsze wygrywa i przesyła zwrotnie potwierdzenie. Rys. 2 Rezerwacja zasobów NAV W przypadku środowiska o dużej rywalizacji lub nadmiernego pogorszenia transmisji ze względu na problem stacji ukrytych warto jest aktywować mechanizm rezerwacji kanału RTS/CTS. Przed wysłaniem ramki użytkowej, nadawca wysyła do wspólnego kanału niewielką ramkę RTS (Request To Send) informującą inne stacje o zamiarze wysyłania danych i rezerwacji kanału na czas transmisji. Odbiorca (w BSS) zwraca ramkę CTS (Clear To Send) która dociera także do pozostałych stacji sieci aktualizując przy okazji ich NAV co skutkuje rezerwacją kanału dla nadawcy na żądanych czas. (Rys.2.) Rys.1 Proces dostępu do nośnika DCF [3] P.Żmudziński, 09.2009r., ver 3.0 3 Dodatkową funkcjonalnością AP jest możliwość realizacji funkcji mostu łączącego dwie odległe sieci LAN, co określa się WDS (Wireless Distribution System). Możliwe są 3 konfiguracje mostów: punkt punkt, punkt wielopunkt, wzmacniak (repeter WDS link). 2.5. Aspekt bezpieczeństwa sieci WLAN Karta sieciowa lub interfejs radiowy AP emituje falę EM zgodnie z charakterystyką anteny. Bardzo często jest to charakterystyka dookólna, co sprawia że potencjalni użytkownicy systemu mogą znajdować się na określonym obszarze, który producenci zwykle określają jako 80-100m w pomieszczeniach oraz 300m na wolnej przestrzeni. Bezpieczeństwo sieci WLAN zapewniają dwa mechanizmy:
- mechanizm uwierzytelniania, czyli kontroli, który z klientów może być obsługiwany przez AP, - mechanizm poufności, czyli uniemożliwienia użytkownikowi postronnemu na dostęp do przesyłanych danych w postaci możliwej do interpretacji, czyli niezaszyfrowanej. Oba mechanizmy muszą być stosowanie jednocześnie aby zabezpieczenie miało sens. Rys. 3 Bezpieczeństwo sieci WLAN Standard 802.11 zakłada wiarygodność AP, zatem problem uwierzytelnienia spada na stację sieciową. Jest to słabość sytemu, ponieważ agresor może uruchomić fałszywy AP i podszywając się pod atakowany AP rozsyłać fałszywych ramek Bacon. W dalszej kolejności stacje klienckie starają się skojarzyć z AP agresora, który może analizować zawartość wszystkich ramek przechodzących przez nowy AP. 2.5.1. Uwierzytelnienie typu open-system W tym trybie AP nie wymaga od stacji sieciowych żadnych informacji na temat tożsamości. Pierwsza ramka jest formalnie żądaniem uwierzytelnienia (Authentication Request) zawierającym pole algorytm uwierzytelnienia (Authentication Algorithm Identification), ustawione na wartość 0. Ramka Authentication Response, odsyłana przez punkt dostępowy, zawiera wynik operacji uwierzytelnienia Status Code. W praktyce oznacza to akceptacjię wszystkich klientów. 2.5.2. Uwierzytelnianie typu shared-key Uwierzytelnianie typu shared-key wykorzystuje klucz współdzielony przez oba urządzenia [1]. W pierwszej ramce pole algorytm uwierzytelniania (Ąuthentication Algorithm) ma wartość 1. Odpowiedź od punktu dostępowego zawiera żądanie uwierzytelnienia oraz pole Challenge Text będące 128-bajtowym, losowo wygenerowanym tekstem. Trzecia ramka zostaje zaszyfrowana za pomocą protokołu WEP. Jeśli po odebraniu przez punkt dostępowy uda mu się odszyfrować tekst zawarty w polu Challenge Text i okaże się on identyczny z poprzednio wysłanym, stacja zostaje uwierzytelniona. Potwierdzeniem jest wysłanie czwartej ramki z polem Status Code zawierającym wynik uwierzytelnienia. 2.5.3. Szyfrowanie W specyfikacji 802.11 poufność danych zapewnia algorytm RC4. Ponieważ algorytm ten jest symetryczny, odpowiadające sobie klucze WEP (40 lub 104 bity) zostały statycznie skonfigurowane na AP i urządzeniu klienckim. 2.6. Budowa WAP-4035pro AP posiada odseparowane logiczne interfejsy sieciowe, oznaczone przez producenta jako, LAN1, LAN2, WLAN i WDS. W urządzeniu wbudowany jest 4 portowy przełącznik niezarządzalny mostujący fizyczne porty rutera, oznaczone na obudowie cyframi 2-5 połączony. Logicznie jednak porty te reprezentowane są jako jeden interfejs logiczny LAN1, widoczny w oprogramowaniu zarządzającym APPro. Port 1 logicznie reprezentowany jest w oprogramowaniu jaki LAN2, Tab.2. Tab. 2 Mapowanie portów w AP4035 typ port interfejs logiczny RJ45 (eth) 1 WAN RJ45 (eth) 2 LAN1-4 RJ45 (eth) 3 LAN1-4 RJ45 (eth) 4 LAN1-4 RJ45 (eth) 5 LAN1-4 RP-SMA - WLAN (antena) most (Bridged) Aby poprawnie skonfigurować funkcje sieciowe urządzenia, należy zwrócić uwagę, które fizyczne porty łączone są z innymi urządzeniami lub komputerami. W zależności od wyboru funkcji urządzenia można wybierać tryb współpracy logicznych interfejsów wewnątrz urządzenia. Do wyboru jest przełączanie na poziomie warstwy łącza danych mostowanie lub przełączanie w warstwie sieciowej rutowanie albo połączenie obu funkcjonalności. Jeśli AP pracuje jako ruter dostępowy należy wybrać funkcję rutingu. Nadto dostępnych jest kilka wartościowych mechanizmów wspierających, takich jak: NAT, DHCP, QoS, traffiic management, modyfikacja nagłówka wychodzącego pakietu IP. Na przednim panelu urządzenia widoczne są diody sygnalizujące poprawność działania łączy ethernetowych, zgodnie z oznaczeniami portów 1-5, interfejsu WLAN oraz dioda Power. Zgaszenie diody po włączeniu urządzenia oznacza ładowanie firmare lub inny stan autokonfiguracji. Nie należ w tym czasie wciskać przycisku reset ani wydawać poleceń kofiguracyjnych. 2.7. Podstawy konfiguracji WAP-4035pro Punkt dostępu posiada wbudowane serwery http, telnet i ssh umożliwiające konfigurację jego funkcji. W trakcie zajęć AP konfigurowany będzie z dowolnego komputera połączonego przez port o numerze 1.4. W trakcie zajęć urządzenia AP konfigurowane będą przez połączenie ethernetowe używając dowolnej przeglądarki internetowej. P.Żmudziński, 09.2009r., ver 3.0 4
Po poprawnym połączeniu komputera do AP należy zalogować się za pomocą przeglądarki internetowej wpisać domyślny wartości adresu IP: 192.168.100.252, następnie podać użytkownika/hasło: admin/admin. W lewym panelu widać kolejne grupy opcji, logicznie uporządkowane zgodnie modelem OSI (Rys.4) W zakładce Basic Settings (Rys.6) można skonfigurować nazwę sieci (ESSID) oraz tryb pracy urządzenia. W przypadku wybrania niestandardowego trybu wymagane jest podanie dodatkowych informacji takich jak adresy MAC innych AP. Rys. 4 Strona główna interfejsu APRPo54G W grupie STATUS (Rys.5) często używaną zakładką jest AP Status gdzie można sprawdzić konfiguracje interfejsów urządzenia, MAC adresy oraz stan. Grupa WIRELESS związana jest z konfiguracją warstwy drugiej modelu OSI. Rys. 5 Zakładka AP Status APRPo54G Zakładka Advanced Settings (Rys.7) przeznaczona jest do konfiguracji zaawansowanych opcji związanych z transmisją bezprzewodową takich jak parametry algorytmu CSMA/CA P.Żmudziński, 09.2009r., ver 3.0 5
Zakładka Security związana jest z konfiguracją protokołów WEP/ WPA. Rys. 6 Zakładka Wireless Basic Settings APRPo54G Grupa TCP / IP pozwala konfigurować opcje urządzenia związanie z warstwą 3 i 4 modelu OSI. W Zakładce Basic Settings można aktywować funkcję rutingu, aby urządzenie pracowało jako bezprzewodowy ruter. W tym miejscu można określić adres IP dla urządzenia oraz bramę domyślą do kierowania pakietów. Rys. 7 Zakładka Wireless Advanced Settings APRPo54G W Zakładce Advanced Settings można skonfigurować serwer DHCP oraz funkcję związane z NAT / PAT. P.Żmudziński, 09.2009r., ver 3.0 6
Rys. 8 Zakładka TCP/IP Basic Settings APRPo54G 3. Zagadnienia do przestudiowania 1. Na czym polega problem ukrytego węzła? 2. Na czym polega przewaga mechanizmu WPA nad WEP? 4. Bibliografia [1] R. Pejman, L. Jonathan, Bezprzewodowe sieci LAN 802.11 podstawy, Mikom, Gliwice,2004 [2] K. Krysiak, Sieci komputerowe Kompendium, wyd. II, Helion, Gliwice 2006 [3] Vademecum teleinformatyka I / II / III, Warszawa, IDG 2002-2006 P.Żmudziński, 09.2009r., ver 3.0 7
5. Przebieg ćwiczenia Ćwiczenie 5 wykonywane będą na stanowisku oznaczonym literą B przy wykorzystaniu PC4/6/7 oraz PC18 z kartami WLAN USB oraz ruterów bezprzewodowych AP1, AP2 firmy Planet z oprogramowaniem firmy APPro. Na każdym z komputerów należy skonfigurować protokół IP powiązany z dwoma kartami obsługującymi połączenia: LAB (ethernet): Adres IP: 192.168.100.1x, gdzie x oznacza komputer np. PC4 x=104, PC18 x=118 maska podsieci: 255.255.255.0 brama domyślna i DNS: 192.168.100.254; WLAN (karta bezprzewodowa): Adres IP: 192.168.100.2x, gdzie x oznacza komputer np. PC4 x=204, PC18 x=218 maska podsieci: 255.255.255.0 brama domyślna i DNS: 192.168.100.254; 2. W zakładce SiteSurvey sprawdzić identyfikatory dostępnych sieci SSID. Zanotować, jakie sieci są dostępne w sali 108. Zwrócić uwagę, czy znalezione sieci są typu infrastrukturalnego czy ad-hoc, na którym kanale działają, czy obowiązuje w nich szyfrowanie WEP, jaka jest siła sygnału. Zapisać w sprawozdaniu ( ). Utworzyć dwie niezależne sieci ad-hoc (Rys.13) 3. Zmienić identyfikatory sieci na PC4: HANDEL i PC7: SPRZEDAZ 4. Skojarzyć komputer PC6 do sieci o identyfikatorze HANDEL. W zakładce Site- Survey wskazać SSID i wybrać Connect, zaakceptować parametry domyślne. Po udanym skojarzeniu z nową siecią informacja ta będzie dostępna w zakładce Link info 5. Przyłączyć komputery PC18 do sieci o identyfikatorze SPRZEDAZ ( ). 6. Za pomocą polecenia ping sprawdzić osiągalności w obrębie sieci o tym samym SSID. Login i hasło do punktów dostępu: admin / admin. Proszę nie zmieniać! Konfiguracja protokołu IP w systemie Windows XP: Start > Ustawienia > Połączenia sieciowe > LAB / WLAN > Właściwości > TCP/IP> Właściwości i wpisać odpowiednie wartości. Do konfiguracji warstwy łącza danych sieci bezprzewodowej wykorzystywana będzie aplikacja wspomagająca, dostarczona przez producenta karty sieciowej D-Link AirPlus. Należy program ten uruchomić, w zasobniku pojawi się ikona symbolizująca słupki. Identyczne czynności można wykonać za pomocą oprogramowania obsługi sieci bezprzewodowej dostępnego w systemie Windows. Przed przystąpieniem do realizacji ćwiczenia przywrócić ustawienia domyślne dla wszystkich punktów dostępu. W tym celu włączyć urządzenia. Po około minucie będą one gotowe do pracy, o czym świadczy zielona dioda PWR. Następnie przycisnąć mikroprzełącznik RESET (obok gniazda zasilania). Urządzenie uruchomi się z domyślnymi ustawieniami. 5.1. Struktura IBSS tzw. AD-HOC Skonfigurować 4 oddzielne sieci ad-hoc. Członkiem każdej sieci będzie tylko jeden komputer, nadać nawę zgodnie z oznaczeniem komputera. 1. Dla komputerów PC4/6/7/18 w aplikacja sterownika karty WLAN należy wybrać zakładkę Configuration w której należy wybrać: - tryb sieci bezprzewodowej: Ad-hoc, - identyfikator swojej sieci jako nazwę komputera, np. SSID=PC4 dla PC4, podobnie dla pozostałych komputerów - numer kanału radiowego dla swojej sieci, inny dla każdej z tworzonych sieci, a następnie zatwierdzić Apply Rys. 9 Prosta konfiguracja ad-hoc Przyłączanie do sieci w tym przypadku jest bardzo proste, jednak każdy komputer w zasięgu propagacyjnym sieci może skojarzyć się z tą siecią stając się jej członkiem. Celem ograniczenia tej możliwości należy użyć funkcji uwierzytelnienia protokołu WEP. Przy tworzeniu sieci zdefiniować w zakładce Encryption odpowiedni klucz, którego znajomość stanie się warunkiem przyłączenia do tej sieci. 7. W sieci HANDEL ustanowić 64 bitowy klucz WEP. Czynność jest konieczna dla wszystkich komputerów tej sieci. 8. Podjąć próbę skojarzenia PC7 z SSID HANDEL, zakładając że PC7 nie zna klucza. 5.2. Struktura BSS, tzw. infrastrukturalna - tryb ACCESS POINT. W tym zadaniu należy konfigurować punkt dostępu, aby można zbudować sieć analogiczną do sieci przewodowej. Zagadnienie bezpieczeństwa zostanie pominięte w tym ćwiczeniu. Rutery AP1 AP2 będą działały jako bezprzewodowe przełączniki, funkcje rutingu, DHCP, NAT zostaną wyłączone. P.Żmudziński, 09.2009r., ver 3.0 8
Zadaniem WLAN w trybie AP jest dołączenie komputerów do kablowej infrastruktury LAN, czyli mostowanie ( bridżowanie ) różnych segmentów LAN bez względu na technologie ich realizacji. W tym przypadku będą to 802.3u i 802.11b. 5.3. Struktura ESS, tzw. rozszerzona infrastrukturą - tryb ACCESS POINT. Struktury ESS i BSS są podobne, druga z wymienionych zakłada istnienie w lokalnej sieci innych AP. 192.168.100.251/24 Kanał 5 Porty 2-5 AP1 Hub3 192.168.100.252/24 Porty 2-5 AP2 Kanał 9 SSID: MAGAZYN SSID: KASA Rys. 10 Konfiguracja punkt dostępu 1. Dołączyć PC7 do jednego z portów 2-5 portu AP1 za pomocą kabla UTP 2. Sprawdzić, czy adres interfejsu ethernetowego PC7 skonfigurowano jak na rysunku 3. Zalogować się do panelu administracyjnego AP1 dostępnego pod domyślnym adresem urządzenia http://192.168.100.252, użytkownik: admin, hasło: admin 4. W grupie Wireless > Basic Settings ustawić: - tryb pracy: AP Access Point - nazwę EISSID: MAGAZYN, - kanał 5 5. W grupie Wireless > Advanced Settings odznaczyć: - Block IBSS Traffic aby możliwa była komunikacja PC4-PC6, - NETBIOS Filtering aby PC4 i PC6 mogły używać wskazanego protokołu, używanego przez Windows do obsługi otoczenia sieciowego, 6. W grupie TCP/IP > Basic Settings wybrać w której urządzenie ma dokonać łączenia siec: LAN1-4, WAN, WLAN. Wybrać Bridge, zmienić adres IP urządzenia na 192.168.100.251/24. Będzie on służył jedynie do zarządzania AP. Zatwierdzić zmiany OK. 7. Po dokonaniu wszystkich zmian wskazać przycisk Apply Changes, co spowoduje restart AP z nowymi ustawieniami. 8. Na stacjach PC4 i PC6 sprawdzić dostępność sieci WLAN, zakładka SiteSurvey 9. Skojarzyć PC4 i PC6 z SSID: MAGAZYN, przycisk Connect 10. Sprawdzić osiągalności PC4 PC7 za pomocą ping ( ). 11. Sprawdzić osiągalność AP1 za pomocą polecenia ping. PC7 192.168.100.107/24 PC4 PC6 PC18 192.168.100.204/24192.168.100.206/24 192.168.100.218/24 wireless UTP Rys. 11 Infrastruktura złożona z 2 sieci bezprzewodowych 1. Wykorzystać prawidłowo skonfigurowaną sieć SSID: MAGAZYN 2. Połączyć port (2-5) AP1 z dowolnym portem Hub3 (Rys.15) 3. Połączyć port (2-5) AP2 z dowolnym portem Hub3 4. Przyłączyć PC7 do Hub3 5. Skonfigurować AP2 analogicznie jako opisano dla AP1 wybierając następujące parametry: - wskazać tryb pracy: AP Access Point - nazwę EISSID: KASA, - wybrać kanał 9, - adres IP AP2: 192.168.100.252/24 - wyłączyć blokadę ruchu IBSS Traffic 6. Po dokonaniu wszystkich zmian wskazać przycisk Apply Changes, co powoduje restart rutera z nowymi ustawieniami. 7. Sprawdzić wzajemną osiągalność PC4/6/7/18. Zanotować średni czas odpowiedzi na ping ( ). 8. Sprawdzić osiągalność AP1 i AP2 z dowolnego komputera. 9. Zanotować adresy MAC interfejsów bezprzewodowych PC4/6/7/18 (ipconfig /all) oraz MAC adresy AP1 i AP2 dostępne w zakładce Status ( ). 10. Na komputerach PC4 i PC18 uruchomić analizator WireShark i rozpocząć rejestrację ramek. 11. Sprawdzić osiągalność PC4 - PC18. Zakończyć rejestrację. P.Żmudziński, 09.2009r., ver 3.0 9
12. Analizując zarejestrowane ramki, sprawdzić czy adresy MAC i IP nadawcy ramki zmieniły się po przejściu przez AP1 i AP2, czyli w trakcie przejście między segmentami sieci Ethernet wykonanymi w różnych technologiach ( ). Ponieważ standard 802.11 obejmuje jedynie struktury IBSS, BSS, ESS, dalsze konfiguracje sieci nie są wspierane przez wszystkich producentów. Mimo to, warto zapoznać się z dodatkowymi konfiguracjami, które bywają niezmiernie użyteczne w specyficznych warunkach. Należy podkreślić, że prezentowane tryby często działają poprawnie jedynie w obrębie wskazanej grupy urządzeń jednego producenta. 5.4. Konfiguracja mostu bezprzewodowego - tryb BRIDGE Konfiguracja stosowana jest do łączenia dwóch sieci LAN zlokalizowanych w niewielkiej odległości. Rozwiązanie jest atrakcyjne, gdy koszt instalacji medium miedzianego lub światłowodowego jest wysoki. 1. Dołączyć PC4 do portu 2-5 AP1 2. Dołączyć PC5 do portu 2-5 AP2 3. Sprawdzić adresy IP komputerów PC4 i PC6 zgodnie z Rys.16 4. Na PC4 uruchomić przeglądarkę internetową i przejść do konfiguracji AP1. Zalogować się do panelu administracyjnego na adres 192.168.100.251 5. W grupie Wireless > Basic Settings ustawić: - tryb pracy: P2P Bridge - nazwę EISSID: MOST - wprowadzić MAC adres zakończenia mostu, czyli zdalnego AP. Informacje o MAC adresach znajdują się już sprawozdaniu. Dla AP1 wpisać BSSID AP2. - kanał 7 6. W grupie Wireless > Advanced Settings odznaczyć: - Block IBSS Traffic aby możliwa była komunikacja PC4-PC6, - NETBIOS Filtering aby PC4 i PC6 mogły używać Otoczenia sieciowego, 7. W grupie TCP/IP > Basic Settings - wybrać w której warstwie urządzenia ma dokonać łączenia sieci LAN1, LAN2 i WAN opcja Bridge 8. Z komputera PC6 wykonać analogiczną konfigurację AP2, wpisując BSSI zdalnej strony mostu jako MAC AP1. Adres AP2: 192.168.100.252 9. Przeładować AP z nowymi ustawieniami Apply Changes 192.168.100.251/24 AP1 PC4 192.168.100.104/24 SSID: MOST Kanał 5 wireless UTP 192.168.100.252/24 AP2 PC6 192.168.100.106/24 Rys. 12 Konfiguracja Bezprzewodowego mostu 10. Na PC4 i PC6 uruchomić rejestrację ramek za pomocą WireSharka. 11. Sprawdzić wzajemną osiągalność PC4 i PC6, zanotować średni czas odpowiedzi na ping PC4 <->PC6 ( ). 12. Zakończyć przechwytywanie ramek, przeanalizować otrzymane wyniki. Czy po przejściu ramki przez bezprzewodowy most MAC adres nadawcy uległ zmianie? ( ) 13. Sprawdzić osiągalność AP1 i AP2 z dowolnego komputera, zanotować czasy. 6. Sprawozdanie P.Żmudziński, 09.2009r., ver 3.0 10
UNIWERSYTET KAZIMIERZA WIELKIEGO, WMFiT, ZT Laboratorium Sieci Komputerowych nr ćwiczenia: 5 grupa : zespół: data: ocena : Sprawozdanie z wykonania ćwiczenia Sieci bezprzewodowe WLAN Imię i Nazwisko członków zespołu (drukowanymi literami) 1. 2. 3. 4. 6.1 Struktura IBSS tzw. AD-HOC Przegląd dostępnych w lab sieci bezprzewodowych. IBSSID SSID WEP AP Channel Strenght 6.2 Struktura BSS, tzw. infrastrukturalna - tryb ACCESS POINT. Czy ping PC4-> PC7 działa? TAK / NIE 6.3 Struktura BSS, tzw. rozszerzoną infrastrukturą - tryb ACCESS POINT Średnia wartości czasu odpowiedzi na ping Para komputerów średni czas odpowiedzi PC4-PC6 PC4-PC7 PC4-PC18 PC4-AP1 PC4-AP2 nazwa urządzenia PC4 PC6 PC7 PC18 AP1 AP2 MAC adres interfejsu sieci WLAN Czy w pakiecie z PC4 do PC18 został zmieniony adres IP? TAK / NIE Czy w ramce z PC4 do PC18 został zmieniony adres MAC? TAK / NIE 6.4 Konfiguracja mostu bezprzewodowego - tryb BRIDGE Po skojarzeniu komputerów z nowymi SSID ile sieci widocznych jest w SiteSurvey?............. Dlaczego zniknęły PC6 i PC18?.................................................................................................................. Czas odpowiedzi na ping PC4 -> PC6 Czy po ustanowieniu hasła WEP dla sieci o SSID=HANDEL możliwe jest skojarzenie dodatkowego komputera PC7 bez znajomości klucza? TAK / NIE Przeanalizować zarejestrowany ruch sieciowy wygenerowany przez wydanie polecenia ping między PC4-> PC6. Odszukać MAC adres nadawcy i odbiorcy, zapisać w tabeli. W ostatniej kolumnie wpisać, czy AP1 lub AP2 zmienił MAC adres nadawcy? Zdecydować czy AP są: transparentne w warstwie 2 [T] czy maskują MAC adres nadawcy [M]? kierunek MAC nadawcy MAC odbiorcy RTT[ms] T / M? PC4-> PC6 PC6-> PC4 Średnia wartości czasu odpowiedzi na ping Para komputerów średni czas RTT PC4-PC6 PC4-AP1 PC6-AP1 PC4-AP2 PC6-AP2 Sprawozdanie z ćwiczenia: 5 1