Розподілена мережа організації стандарту ІЕЕЕ 802.11

МАХИНЯ, Євгеній

Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/7287

Title:	Розподілена мережа організації стандарту ІЕЕЕ 802.11
Authors:	НЕЧИПОРЕНКО, Ольга МАХИНЯ, Євгеній
Keywords:	КОРПОРАТИВНА МЕРЕЖА;БЕЗДРОТОВА МЕРЕЖА;WI-FI;БЕЗДРОТОВИЙ КОНТРОЛЕР;CAPWAP
Issue Date:	2025
Abstract:	Метою виконання даної кваліфікаційної роботи на здобуття освітнього ступеня «бакалавр» є дослідження, проектування та розробка розподіленої мережі організації стандарту ІЕЕЕ 802.11, що забезпечить ефективну та на-дійну бездротову інфраструктуру. Загальнийобсяг роботи становить 73 сторінки. У роботі 17 рисунків, 3 таблиці. Для виконання роботи використано 21 літературне джерело. Основними завданнями кваліфікаційної роботи є:  Дослідити різні методи побудови розподілених мереж Wi-Fi, такі як вико-ристання кількох точок доступу з єдиним SSID, технології роумінгу та централізоване управління за допомогою контролерів бездротової мережі та провести порівняльний аналіз з урахуванням переваг, недоліків та доці-льності для використання в умовах організації з головним офісом та двома філіалами.  Визначити вимоги до бездротової мережі для кожної локації з урахуван-ням прогнозованої кількості користувачів, необхідної пропускної здатності та зон покриття виходячи із основних проблем проектування розподіленої мережі.  Розробити логічну схему мережі, визначивши взаємозв'язок між різними компонентами та фізичну схему для кожної локації, визначивши розташу-вання точок доступу, маршрутизаторів, комутаторів та іншого обладнан-ня.  Розробити план IP-адресації для головного офісу та філіалів, спланувати розміщення каналів та частот для точок доступу, визначити параметри безпеки мережі, розробити скрипти та послідовності дій з налаштування обладнання на базі Cisco Systems. Результати кваліфікаційної роботи мають практичне значення і можуть бути застосовані до проектування та модернізації бездротових мереж для різ-них організацій, оптимізуючи зв'язок та підвищуючи ефективність роботи.
URI:	https://er.chdtu.edu.ua/handle/ChSTU/7287
Appears in Collections:	123 Комп’ютерна інженерія (Комп'ютерні системи та мережі)

Files in This Item:

File	Description	Size	Format
ПЗ__Махиня_ДРУК-merged.pdf Restricted Access		2.65 MB	Adobe PDF	View/Open Request a copy

Show full item record

Extracted text

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ
КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА КОМП’ЮТЕРНОЇ ІНЖЕНЕРІЇ
ПОЯСНЮВАЛЬНА ЗАПИСКА
до кваліфікаційної роботи бакалавра
на тему: «Розподілена мережа організації стандарту
ІЕЕЕ 802.11»
ЧДТУ.252405.001 ПЗ
Виконав: студент 2 курсу, групи КМС-2105
спеціальності 123 Комп’ютерна інженерія
за освітньою програмою – Комп’ютерні
системи та мережі
Євгеній МАХИНЯ
Керівник
к.т.н., доцент Ольга НЕЧИПОРЕНКО
Рецензент
к.т.н., доцент кафедри КІ та ІТ, ЧДБК
Сергій БУРМІСТРОВ
«ЗАХИСТ ДОЗВОЛЯЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор ______ Віра БАБЕНКО
Черкаси 2025 року
ЗМІСТ
ВСТУП..............................................................................................................................3
1 АНАЛІЗ МЕТОДІВ ПОБУДОВИ МЕРЕЖ WI-FI.....................................................5
1.1 Аналіз сучасних модифікацій ІЕЕЕ 802.11...................................................5
1.2 Технологія безшовного роумінгу ................................................................ 12
1.3 Mesh-мережі IEEE 802.11s............................................................................15
1.4 Керування за допомогою контролерів бездротової мережі......................19
2 ОБҐРУНТУВАННЯ ТЕХНІЧНОГО ЗАВДАННЯ...................................................22
2.1 Основні проблеми проектування розподіленої мережі.............................22
2.2 Розробка технічних вимог............................................................................23
3 МЕТОДИ СТВОРЕННЯ ЛОГІЧНИХ КАНАЛІВ....................................................25
3.1 Протокол обміну CAPWAP..........................................................................25
3.2 Технологія FlexConnect.................................................................................29
3.3 Сегментація мережі на основі технології VLAN.......................................33
3.4 Розробка схеми ІР-адресації.........................................................................35
3.5 Організація глобальних каналів...................................................................38
4 РОЗРОБКА ФІЗИЧНОЇ ТОПОЛОГІЇ.......................................................................42
4.1 Обґрунтування вибору обладнання.............................................................42
4.2 Проектування структурованої кабельної системи.....................................46
4.3 Планування розміщення точок доступу......................................................50
4.4 Моделювання роботи мережі.......................................................................54
ВИСНОВКИ...................................................................................................................59
ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ...........................................61
ДОДАТКИ:
А – ЧДТУ.252405.001 Розподілена мережа організації стандарту ІЕЕЕ 802.11
В – Карти покриття сигналу
Г – 482.ЧДТУ.52405-01 Розподілена мережа організації стандарту ІЕЕЕ 802.11
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ.....................................................................71
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат
Розроб. МахиняЄ.М. а Розподілена мережа Літ. Арк. Акрушів
Перевір. Нечипоренко організації стандарту 2 73
Реценз. ОБу.Врм. істров ІЕЕЕ 802.11
Н. Контр. ГСр.Вес. ько С.О. Пояснювальна записка Кафедра ІБКІ, гр. КМС-
Затверд. Бабенко В.Г. 2105
ВСТУП
На даному етапі розвитку та побудови як корпоративних так і домашніх
мереж невід’ємною складовою буде організація бездротового доступу. І якщо в
дротових мережах стандарт Ethernet (ІЕЕЕ 802.3) вже давно займає лідируючі
позиції, то в бездротових на таке місце виходить Wi-Fi (ІЕЕЕ 802.11) – як один з
найбільш розповсюджених, та як такий, що стрімко розвивається, модифікується
та вдосконалюється[1].
Тому актуальність теми кваліфікаційної роботи щодо проектування
територіально розподіленої мережі організації зумовлена кількома ключовими
факторами: зростання мобільності та дистанційної роботи, на що
вплинулапандемія COVID-19 та інші фактори, прискоривши перехід до
дистанційної роботи, що вимагає від організацій забезпечення надійного та
безпечного доступу до мережевих ресурсів з будь-якої локації; збільшення обсягів
передачі даних, на яке вплинули розвиток хмарних технологій, застосування
відеоконференцій та інших ресурсномістких застосунків, що вимагає від
мережевої інфраструктури високої пропускної здатності та масштабованості;
оптимізація витрат на обладнання, обслуговування та зв'язок.
У контексті цієї роботи розглядається проектування територіально
розподіленої бездротової мережі організації, що складається з головного офісу та
двох філіалів. Головний офіс є центральним вузлом мережі, де зосереджені
основні ресурси та головне апаратне забезпечення мережі. Філіали, розташовані в
інших містах, потребують надійного та швидкого зв'язку з головним офісом для
забезпечення ефективної роботи.
Метою кваліфікаційної роботи є проектування територіально розподіленої
мережі організації з використанням протоколу CAPWAP, що відповідає сучасним
вимогам до продуктивності, безпеки та масштабованості.
Для досягнення цієї мети необхідно вирішити такі задачі:
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 3
а
1. Дослідити різні методи побудови розподілених мереж Wi-Fi, такі як
використання кількох точок доступу з єдиним SSID, технології роумінгу
та централізоване управління за допомогою контролерів бездротової
мережі тапровести порівняльний аналіз з урахуванням переваг, недоліків
та доцільності для використання в умовах організації з головним офісом
та двома філіалами.
2. Визначити вимоги до бездротової мережі для кожної локації з
урахуванням прогнозованої кількості користувачів, необхідної
пропускної здатності та зон покриття виходячи із основних проблем
проектування розподіленої мережі.
3. Розробити логічну схему мережі, визначивши взаємозв'язок між різними
компонентами та фізичну схему для кожної локації, визначивши
розташування точок доступу, маршрутизаторів, комутаторів та іншого
обладнання.
4. Розробити план IP-адресації для головного офісу та філіалів,спланувати
розміщення каналів та частот для точок доступу,визначити параметри
безпеки мережі,розробити скрипти та послідовності дій з налаштування
обладнання на базі Cisco Systems.
Виконання цих завдань дозволить розробити детальний план проектування
територіально розподіленої бездротової мережі організації, який може бути
використаний для практичної реалізації. Звичайно що планування структурованої
кабельної системи буде розроблено для конкретного плану приміщень, але при
необхідно його можна модернізувати для інших.
Ця робота має практичне значення для організацій, які планують
розгортання або модернізують свої територіально розподілені бездротові мережі.
Результати дослідження можуть бути використані для вибору оптимального
обладнання, розробки плану IP-адресації, налаштування обладнання та тестування
мережі.
Робота містить 73 сторінки основного тексту, 3 таблиці та 17 рисунків.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 4
а
1 АНАЛІЗ МЕТОДІВ ПОБУДОВИМЕРЕЖWI-FI
1.1 Аналіз сучасних модифікацій ІЕЕЕ 802.11
Стандарт IEEE 802.11, що керується комітетом зі стандартів LAN/MAN
IEEE 802, визначає протоколи для бездротового зв'язку в локальних мережах
(WLAN). Базовий стандарт був випущений у 1997 році. З того часу до
оригінального стандарту було внесено численні поправки для покращення
продуктивності та додавання нових функцій. Ключові поправки включають
802.11b та 802.11a (ратифіковані в 1999 році), 802.11g (2003), 802.11n (2009),
802.11ac (2013) та новіші 802.11ax (Wi-Fi 6) та 802.11be (Wi-Fi 7). Ці поправки
часто подаються як окремі стандарти через різні можливості, які вони
пропонують.[2, 3]
Стандарт працює переважно в діапазонах частот 2.4 ГГц і 5 ГГц. Деякі
пізніші поправки також використовують інші діапазони, такі як 60 ГГц (802.11ad)
і нижче 1 ГГц (802.11ah). Максимальні швидкості передачі даних значно зросли з
кожною поправкою, від 2 Мбіт/с у оригінальному стандарті до кількох Гбіт/с у
802.11ac і пізніших версіях. Ранні стандарти використовували модуляцію з
прямим розширенням спектру (DSSS) та модуляцію з частотним стрибкоподібним
розширенням спектру (FHSS), тоді як пізніші поправки прийняли ортогональне
частотне мультиплексування (OFDM) та передові методи, такі як MIMO та MU-
MIMO. Безпека була додана спочатку і пізніше покращена завдяки таким
поправкам, як 802.11i. Пізніші стандарти, такі як 802.11n та 802.11ac, запровадили
ширші смуги пропускання каналів (до 160 МГц) для вищої пропускної здатності.
Різні модифікації стандарту 802.11 мають вирішальне значення для
побудови мереж Wi-Fi. Вищі швидкості передачі даних забезпечують кращу
продуктивність через кілька переходів у mesh-мережах. Такі функції, як MIMO та
MU-MIMO, можуть покращити надійність сигналу та ємність. Вибір діапазону
частот буде суттєво впливати на зону покриття (впевнений прийом) та на
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 5
а
протидію перешкодам (радіочастотні та електромагнітні завади). Звісно, що
кожна модифікація стандарту була направлена на покращення функцій безпеки,
що є ключовим аспектом важливими для протидії кіберзагрозам. Різноманітність
поправок до стандарту 802.11 надає набір технологій, які можна вибірково
використовувати для проектування мереж Wi-Fi, адаптованих до конкретних
потреб, таких як зона покриття, щільність користувачів та вимоги до
продуктивності. Різні поправки пропонують компроміси між дальністю,
швидкістю та потенціалом перешкод. Наприклад, 2.4 ГГц забезпечує кращу
дальність, але більш сприйнятливий до перешкод, тоді як 5 ГГц забезпечує вищі
швидкості, але меншу дальність. Розуміння цих компромісів є важливим для
вибору відповідних стандартів для побудови мережі.
Більш детальнодоцільно розглянути лише ті стандарти, що
використовуються на даний момент, тому як завжди в бездротовій мережі
знайдеться ряд пристроїв, які не підтримують найновіші стандарти.
IEEE 802.11n. Поправка 802.11n містить багато вдосконалень, які
покращують радіус дії WLAN, надійність і пропускну здатність. На фізичному
рівні (PHY) були додані передові методи обробки сигналу та модуляції для
використання кількох антен і ширших каналів. На рівні контролю доступу до
медіа (MAC) розширення протоколу дозволяють ефективніше використовувати
доступну пропускну здатність. Разом ці покращення високої пропускної здатності
(HT) можуть підвищити швидкість передачі даних до 600 Мбіт/с, що більш ніж
удесятеро більше, ніж 54 Мбіт/с 802.11a/g.
802.11n працює як на частотах 2,4 ГГц, так і на 5 ГГц. Підтримка діапазонів
5 ГГц не є обов'язковою. IEEE 802.11n базується на попередніх стандартах 802.11,
додаючи багатовхіднібагатовиходові (MIMO) (рисунок 1.1) і 40 МГц канали до
рівня PHY, а також агрегацію кадрів до рівня MAC.
За більшістю удосконалень стандарту 802.11n стоїть можливість
одночасного прийому та/або передачі даних через кілька антен. Стандарт 802.11n
визначає багато конфігурацій антен «M x N», починаючи від «1 x 1» до «4 x 4».
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 6
а
MIMO використовує кілька антен для когерентної роздільної здатності більшої
кількості інформації, ніж це можливо за допомогою однієї антени. Одним із
способів забезпечення цього є мультиплексування просторового поділу, яке
просторово мультиплексує кілька незалежних потоків даних, що передаються
одночасно в межах одного спектрального каналу смуги пропускання. MIMO може
значно збільшити пропускну здатність даних зі збільшенням кількості вирішених
просторових потоків даних. Для кожного просторового потоку потрібна
дискретна антена як на передавачі, так і на приймачі [2, 3].
Рисунок 1.1 – Принцип роботи технології МІМО
Кількість одночасних потоків даних обмежена мінімальною кількістю
використовуваних антен по обидва боки каналу зв'язку. Однак окремі радіостанції
часто ще більше обмежують кількість просторових потоків, які можуть
передавати унікальні дані. Позначення MxN:Z допомагає визначити можливості
даної радіостанції. Перше число М - це максимальна кількість передавальних
антен, які можуть використовуватися радіостанцією. Друге число N - це
максимальна кількість приймальних антен, які можуть використовуватися
радіостанцією. Третє число Z - це максимальна кількість просторових потоків
даних, які може використовувати радіостанція. Наприклад, радіостанція, яка може
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 7
а
передавати на дві антени і приймати на трьох, але може відправляти або приймати
тільки два потоки даних, буде 2х3:2.
Ще одна додаткова функція стандарту 802.11n – канали 40 МГц. У
попередніх продуктах стандарту 802.11 використовуються канали шириною
приблизно 20 МГц. Продукти стандарту 802.11n мають можливість
використовувати широкі канали 20 або 40 МГц, за умови, що точка доступу також
має можливість працювати на частоті 40 МГц. Канали, що працюють із смугою
пропускання 40 МГц, забезпечують вдвічі більшу швидкість передачі даних PHY,
доступну на одному каналі 20 МГц. Ширша пропускна здатність може бути
ввімкнена в режимі 2,4 ГГц або 5 ГГц, але не повинна заважати будь-якій іншій
системі стандарту 802.11 або не 802.11 (наприклад, Bluetooth), яка використовує ті
самі частоти.
IEEE 802.11ac. Ранні стандарти бездротової локальної мережі були
розроблені в першу чергу для підключення портативного ПК вдома або в офісі, а
також для забезпечення підключення «в дорозі». Широке визнання та успіх
WLAN створили потребу в нових моделях використання, які вимагали б більш
високої пропускної здатності, таких як:
 Бездротовий дисплей (SmartTV, проектор).
 Домашнєрозповсюдження HDTV та іншого контенту.
 Швидке завантаження/вивантаження великих файлів на/з серверів.
 Зворотний трафік (сітка, точка-точка тощо).
 Розгортання кампусу та мультимедійної аудиторії.
 Автоматизація виробничого цеху, складу тощо.
IEEE 802.11ac (він же VHT, VeryHighThroughput) – це стандарт, який
забезпечує пропускну здатність у діапазоні 5 ГГц. Стандарт 802.11ac
використовує структуру 802.11n (і 802.11a), де це можливо. Це вигідно для
забезпечення зворотної сумісності зі старим обладнанням та співіснування, а
також дозволяє розробникам 802.11ac зосередитися на нових функціях,
необхідних для досягнення вимог до пропускної здатності.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 8
а
Специфікація 802.11ac передбачає очікувану пропускну здатність багато-
станційного WLAN не менше 1 Гбіт/с і пропускну здатність одного каналу не
менше 500 Мбіт/с. Це досягається шляхом розширення концепцій повітряного
інтерфейсу, прийнятих у стандарті 802.11n:
 Ширша смуга радіочастот (до 160 МГц).
 Більше просторових потоків MIMO (до 8).
 Багатокористувацький MIMO.
 Модуляція високої щільності (до 256-QAM).
Стандарт розроблявся з 2011 по 2013 рік і був затверджений в січні 2014
року.
Усі пристрої стандарту 802.11ac повинні підтримувати канали 20, 40 і 80
МГц і 1 просторовий потік як фазу 1 розгортання. Крім того, у фазі 2 стандарту
802.11ac також визначено кілька особливостей:
 Ширші смуги пропускання каналів (80+80 МГц і 160 МГц).
 Вища підтримка модуляції (опціонально 256QAM).
 Два або більше просторових потоків (до 8).
 Багатокористувацький MIMO (MU-MIMO).
 Короткий інтервал охорони 400 нс.
 Просторово-часове блокове кодування (STBC).
 Перевірка парності низької щільності (LDPC).
Пристрої стандарту 802.11ac, що використовують тільки обов'язкові
параметри (смуга пропускання 80 МГц, 1 просторовий потік і 64-QAM 5/6), здатні
розвивати швидкість передачі даних приблизно 293 Мбіт/с. Пристрої, що
використовують переваги фази 2 (8 просторових потоків, 160 МГц смуги
пропускання і 256-QAM 5/6 з коротким інтервалом охорони), можуть досягати
майже 7 Гбіт/с.
Модель OSI описує, як інформація переміщається від прикладної програми,
що виконується на одному комп'ютері, підключеному до мережі, до прикладної
програми, запущеної на іншому комп'ютері, підключеному до мережі.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 9
а
Еталонна модель взаємодії відкритих систем, або модель OSI, була
розроблена Міжнародною організацією зі стандартизації, в якій використовується
абревіатура ISO. Модель OSI – це багаторівнева модель, яка описує, як
інформація переходить від прикладної програми, запущеної на одному
комп'ютері, підключеному до мережі, до прикладної програми, запущеної на
іншому комп'ютері, підключеному до мережі. По суті, модель OSI прописує
кроки, які повинні використовуватися для передачі даних по середовищу передачі
від одного мережевого пристрою до іншого [3, 5]. Модель OSI визначає процес
мережевого зв'язку на сім окремих рівнів, як показано на рисунку 1.2.
Рисунок 1.2 – Стандарти 802.11 у еталонній моделі OSI.
Практичні бездротові локальні мережі з'явилися зі специфікацією до IEEE
Ethernet, яка є родоначальником IEEE 802.3. Стандарт 802.11 охоплює протоколи
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 10
а
та роботу бездротових мереж. Він має справу лише з двома найнижчими рівнями
еталонної моделі OSI: фізичним рівнем і рівнем каналу передачі даних (або
рівнем контролю доступу до медіа). Мета полягає в тому, щоб усі стандарти серії
802.11 були зворотно сумісні та були сумісні на рівні контролю доступу до
середовища (MAC) або каналу передачі даних. Тому кожен зі стандартів 802.11
повинен відрізнятися лише характеристиками фізичного рівня (PHY).
Рівень MAC забезпечує функціональні та процедурні засоби для передачі
даних між мережевими сутностями, а також для виявлення та, можливо,
виправлення помилок, які можуть виникнути на фізичному рівні. Він надає
доступ до трафіку, заснованого на суперечках і без суперечок, на різних видах
фізичних рівнів. На рівні MAC обов'язки поділяються на підрівень MAC і
підрівень керування MAC. Підрівень MAC визначає механізми доступу та
формати пакетів. Підрівень керування MAC визначає служби керування
живленням, безпекою та роумінгом.
Фізичний рівень визначає електричні та фізичні характеристики пристроїв.
Зокрема, він визначає співвідношення між пристроєм і середовищем передачі.
Основними функціями та послугами, які виконує фізичний рівень, є наступні:
 Встановлення та припинення з'єднання з середовищем зв'язку.
 Участь у процесі, де комунікаційні ресурси ефективно розподіляються між
кількома користувачами. Наприклад, вирішення суперечок і контроль
потоку.
 Модуляція або перетворення між представленням цифрових даних в
обладнанні користувача і відповідними сигналами, що передаються по
каналу зв'язку. Це сигнали, що працюють по фізичному кабелю (наприклад,
міді та оптичному волокну) або по радіоканалу.
Фізичний рівень поділено на три підрівні.
1. Процедура конвергенції фізичного рівня (PLCP) діє як адаптаційний шар.
PLCP відповідає за режим ClearChannelAssessment (CCA) і побудову пакетів для
різних технологій фізичного рівня.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 11
а
2. Шар PhysicalMediumDependent (PMD) визначає методи модуляції та
кодування.
3. Рівень керування PHY займається такими питаннями керування, як
налаштування каналів.
Підрівень керування станціями відповідає за координацію взаємодії між
рівнями MAC і PHY.
1.2 Технологія безшовного роумінгу
Роумінг у бездротових мережах відбувається, коли бездротовий клієнт
автоматично переключається між точками доступу (AP) з слабкого сигналу на
сильніший, забезпечуючи безперервне обслуговування в межах однієї WLAN. Це
критично важливо в мобільних середовищах, але також корисне в статичних для
уникнення перешкод, блокування сигналу або відмови AP. Втрата мережі
трапляється, коли клієнт опиняється поза зоною покриття своєї поточної точки
доступу. Сигнал слабшає зі збільшенням відстані, доки пристрій не
відключається. Після цього клієнт втрачає можливість підключення до WLAN та
її сервісів.
Точки бездротового доступу мають обмежений радіус дії, приблизно до 90
метрів всебічного покриття або близько 90 квадратних метрів, залежно від
середовища та перешкод. Сила сигналу AP вимірюється в децибел-міліватах
(dBm) за шкалою від -30 до -90. Рекомендований поріг для високої пропускної
здатності та плавних переходів становить -67 dBm з перекриттям покриття 15-
20%. Значення -67 dBm вважається мінімальним для сервісів, що вимагають
високої швидкості передачі даних. Важливо розрізняти потужність передачі від
маршрутизатора/AP та індикатор рівня прийнятого сигналу (RSSI) на
клієнтському пристрої. RSSI показує, наскільки добре пристрій приймає сигнал
від AP. Кожна AP має мінімальне значення RSSI для підтримання з'єднання.
Занадто високе значення може призвести до того, що клієнт буде "прилипати" до
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 12
а
поточної AP, ігноруючи інші з кращим сигналом.Для візуалізації сили сигналу,
співвідношення сигнал/шум та перешкод використовуються спеціальні програми
для створення теплових карт Wi-Fi. На таких картах сильніші зони
відображаються теплими кольорами, а слабші - холодними.
Рисунок 1.3 – Процес роумінгу
Повторне підключення, або реасоціація, відбувається, коли клієнт, вже
підключений до мережі з певним SSID, постійно сканує на наявність інших AP з
тим же SSID. При виявленні AP з кращим сигналом, пристрій повинен плавно
підключитися до неї та розірвати попереднє з'єднання, не викликаючи
дискомфорту у користувача. Цей процес відбувається у фоновому режимі.Час
переходу під час роумінгу залежить від методу аутентифікації. Наприклад,
стандарт 802.11r (швидкий роумінг) забезпечує значно швидший перехід
порівняно зі звичайною аутентифікацією.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 13
а
В ідеалі, Wi-Fi роумінг мав би бути безшовним та непомітним. Однак у
реальності це не завжди так. Пристрої можуть втрачати з'єднання, зависати або
давати збої під час роумінгу, що робить промислову Wi-Fi мережу з сотнями
точок доступу практично непридатною. На даний час можна виокремитинайбільш
поширені проблеми з Wi-Fi та способи їх вирішення [6].
1.Неправильна кількість точок доступу (AP). Рекомендується
встановлювати одну AP на кожні 90 квадратних метрів зони покриття. Недостатня
кількість AP призведе до мертвих зон, низької швидкості та обривів з'єднання.
Надмірна кількість AP також проблематична, оскільки близьке розташування
викликає перешкоди, знижуючи швидкість та якість з'єднання. Перешкоди
можуть виникати через перекриття каналів та силу сигналу. Занадто багато WAP
також створює ризики безпеці, полегшуючи зловмисникам перехід між AP.
2. Неправильне розташування AP. Ретельно продумуйте розміщення AP
щодо зони покриття та можливих перешкод, таких як стіни або складські стелажі.
Уникайте розміщення AP біля вікон, дверей або інших об'єктів, що можуть
блокувати, відбивати або поглинати радіосигнали. Всенаправлені AP можуть не
забезпечити повного покриття на великій висоті через діаграму спрямованості
антени. У великих промислових приміщеннях AP часто встановлюються на
стелях на висоті 7-9 метрів і вище, хоча всенаправлені AP розраховані на висоту
до 3-4.5 метрів. Високе стельове кріплення AP також може спричинити сусіднє
канальне втручання. Контролер може намагатися зменшити ці перешкоди,
знижуючи потужність передачі AP, що призведе до слабкого покриття внизу.
3. Залишення налаштувань пристрою за замовчуванням. Багато портативних
пристроїв мають автоматичний режим бездротових налаштувань. Рекомендується
вручну переналаштувати пристрої на частотний діапазон 5 ГГц, який має багато
переваг перед 2.4 ГГц у промислових умовах. Також бажано, щоб пристрої
використовували стандарт 802.11n або новіший для уникнення проблем
багатопроменевого поширення. У складських та промислових приміщеннях
значно більше відбиття сигналу, що призводить до міжсимвольних перешкод та
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 14
а
пошкодження даних. У приміщеннях з високою пропускною здатністю та
інтенсивним багатопроменевим поширенням рекомендуються стандартні
диверсифіковані патч-антени, якщо використовуються застарілі мережі
802.11a/b/g.
4. Занадто висока потужність AP. Часто причиною поганого роумінгу є
занадто висока потужність AP, через що клієнт занадто довго залишається
підключеним до однієї AP або WLAN. До моменту, коли потрібно ініціювати
роумінг, пристрій вже пропустив кілька AP. Відрегулюйте потужність передачі та
поріг роумінгу. Після цього проведіть аналіз карти покриття та налаштуйте
параметри відповідно до отриманих даних.
1.3 Mesh-мережі IEEE 802.11s
Зі швидким поширенням бездротових мереж виникла потреба забезпечити
бездротовий доступ у місцях, де підключення точки доступу до комутатора було
неможливим. Довжина Ethernet-кабелю обмежена 100 метрами (328 футами), що
ускладнює розміщення деяких точок доступу в центрі великих внутрішніх
приміщень, таких як склади. Проблема стає ще серйознішою з необхідністю
забезпечення бездротового покриття на відкритому повітрі. Варіант використання
може бути простим розширенням внутрішньої бездротової мережі на парковку,
кампус або зовнішню промислову зону, або ж охоплювати цілі міста для надання
бездротового доступу широкій громадськості, муніципальним службам або
службам екстреного реагування. Послуги WLAN можуть варіюватися від
відстеження та моніторингу транспортних засобів або бездротових камер
спостереження до звітності комунальних служб (наприклад, моніторинг та
звітність газових лічильників). Варіантів використання багато, і їх кількість
зростає з кожним днем.
Заміна Ethernet-кабелю бездротовим з'єднанням справді має багато переваг.
Першою перевагою, очевидно, є підвищена гнучкість бездротового з'єднання
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 15
а
порівняно з дротовим. Коли всі точки доступу підключаються до комутатора, вам
потрібно стільки портів комутатора, скільки у вас точок доступу, і всі точки
доступу повинні знаходитися в межах 100 метрів від комутатора. З бездротовими
з'єднаннями вам може знадобитися перша точка доступу для підключення до
комутатора та дротової мережі, але потім багато інших AP можуть підключатися
через цю першу точку доступу, навіть якщо вони знаходяться за багато кілометрів
від комутатора і навіть якщо вони встановлені на рухомих об'єктах (поїздах,
кранах тощо). Перевага гнучкості також полягає у шляху (шляхах), яким
проходить бездротове з'єднання. З Ethernet-кабелем існує лише один можливий
шлях від AP до комутатора. З бездротовим з'єднанням будь-яка AP може
знаходитися в зоні дії однієї або кількох інших AP і може вибрати найкращий
радіошлях. Ця можливість для будь-якої AP підключатися до однієї або кількох
інших AP, а також можливість резервного підключення, є самим визначенням
бездротової mesh-мережі. Множинні міжвузлові з'єднання AP утворюють так
звану магістраль, оскільки дані багатьох користувачів передаються через mesh-
мережу до головних точок розподілу до дротової мережі [4, 7].
Рисунок 1.4 – Базова топологія mesh-мережі
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 16
а
Другою перевагою є те, що така бездротова мережа є самоорганізованою.
Якщо в mesh-точку доступу вбудовано алгоритм для визначення найкращого
шляху до дротової мережі, побудова або розширення бездротової mesh-мережі
може бути таким же простим, як додавання нових точок доступу та забезпечення
їх знаходження в зоні дії інших точок доступу.
Третьою перевагою є те, що така мережа є самовідновлюваною. Якщо точка
доступу має кілька можливих шляхів до дротової мережі та здатна автоматично
вибирати найкращий шлях, видалення однієї точки доступу в mesh-мережі просто
змушує інші точки доступу знайти новий найкращий шлях до дротової мережі без
необхідності виїзду інженера бездротових мереж для заміни відсутньої точки
доступу.
Оскільки mesh-мережі відрізняються від традиційних бездротових мереж,
поправка 802.11s змінює назву та функціональність кількох компонентів
бездротової інфраструктури. З боку бездротової клієнтської станції (клієнтський
пристрій не-AP, такий як ноутбук або VoWLAN-телефон) нічого змінювати не
потрібно. Бездротовий клієнт, як і раніше, може нормально асоціюватися з BSS
точки доступу, не потребуючи знання, чи підключається точка доступу до
дротової мережі безпосередньо (стандартна AP), чи через mesh-мережу (mesh AP).
На рисунку 2 клієнтські станції H, I, K, L, N, O, Q та R не потребують жодної
спеціальної функціональності 802.11s для підключення до відповідних точок
доступу.
Поправка 802.11s визначає поняття mesh-станції – станції, що підтримує
mesh-функціонал та здатна брати участь у mesh-мережі (MBSS). Mesh-функціонал
– це набір можливостей та форматів кадрів для роботи mesh. Mesh-станцією
зазвичай є точка доступу, але теоретично не-AP STA (клієнтський пристрій)
також може бути mesh-станцією. На рисунку 1.5, A-G, J та M – mesh-станції,
більшість з яких – точки доступу, але C та D – не-AP станції з mesh-
функціоналом, що рідко зустрічається на практиці.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 17
а
Рисунок 1.5 – Компоненти mesh-архітектури
Mesh Basic ServiceSet (MBSS) – офіційна назва mesh-мережі. MBSS – це
802.11 LAN, що складається з автономних станцій, які встановлюють peer-to-peer
бездротові з'єднання та обмінюються повідомленнями. MBSS ближча до IBSS,
ніж до стандартної BSS. Важливою відмінністю від IBSS є можливість передачі
повідомлень між станціями, які не мають прямого зв'язку, через інші станції
MBSS, використовуючи mesh-магістраль. Усі станції виглядають як одна група
пристроїв Рівня 2. Станції в mesh BSS можуть бути джерелами, приймачами або
ретрансляторами трафіку. Наприклад, станція B може бути джерелом (надсилає
трафік, але не ретранслює інший) або приймачем. A, C, D, E та G можуть лише
пересилати трафік від інших станцій (ретранслятори), не надсилаючи та не
отримуючи власний трафік.
MBSS може взаємодіяти з інфраструктурними BSS через систему
розподілу (DS). Таким чином, mesh-станції можуть спілкуватися з не-mesh
станціями через DS. Для інтеграції MBSS з системою розподілу вводиться
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 18
а
логічний архітектурний компонент — mesh-шлюз. Дані передаються між MBSS та
DS через один або кілька mesh-шлюзів.
1.4 Керування за допомогою контролерів бездротової мережі
Контролери бездротових локальних мереж (WLC) є ключовими пристроями
в сучасних бездротових інфраструктурах, що забезпечують централізоване
керування великою кількістю бездротових АР. Їхнє впровадження суттєво
спрощує адміністрування та експлуатацію складних бездротових мереж,
пропонуючи низку вагомих переваг, які підвищують ефективність, безпеку та
надійність бездротового зв'язку. І якщо ж все таки в мережі потрібно забезпечити
систему ААА, то без використання контролера або ж серверних служб, які
можуть програмно замінити контролер, це зробити буде не можливо [8-10].
Однією з головних переваг використання WLC є значно спрощене
налаштування та централізоване управління великою кількістю точок доступу з
єдиного інтуїтивно зрозумілого інтерфейсу. Замість індивідуальної конфігурації
кожної точки доступу, мережеві адміністратори можуть визначати параметри
бездротової мережі, політики безпеки та інші налаштування централізовано через
контролер. Це не тільки економить значний час та зусилля, особливо при
розгортанні великих мереж, але й мінімізує ризик помилок, пов'язаних з ручною
конфігурацією численних пристроїв.
Крім того, WLC забезпечують послідовне застосування політик безпеки по
всій бездротовій мережі. Централізоване управління політиками безпеки гарантує,
що всі точки доступу підтримують єдиний рівень захисту, що є критично
важливим для запобігання несанкціонованому доступу та забезпечення цілісності
даних. Адміністратори можуть легко впроваджувати та оновлювати протоколи
шифрування, правила автентифікації та інші заходи безпеки одночасно на всіх
керованих точках доступу.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 19
а
Контролери WLC також значно покращують можливості роумінгу в
бездротовій мережі. Вони координують перехід бездротових клієнтів між різними
точками доступу, забезпечуючи плавне та безперервне з'єднання під час
переміщення користувачів у межах зони покриття мережі. WLC оптимізують
процес переходу, мінімізуючи затримки та втрати з'єднання, що особливо
важливо для критично важливих додатків, таких як голосовий зв'язок через Wi-Fi
(VoWi-Fi) або потокове відео.
Продуктивність бездротової мережі також значно підвищується завдяки
можливостям балансування навантаження та управління радіоресурсами, які
надаються контролерами WLC. Контролер може динамічно розподіляти клієнтів
між різними точками доступу для запобігання перевантаженню окремих AP та
оптимізації використання доступної пропускної здатності. Крім того, WLC
можуть автоматично регулювати радіочастотні канали та потужність передачі
точок доступу для мінімізації перешкод та забезпечення оптимального покриття.
Не менш важливими є покращені інструменти для моніторингу та усунення
несправностей, які інтегровані в контролери WLC. Централізована система
моніторингу надає адміністраторам повне уявлення про стан бездротової мережі,
включаючи інформацію про підключених клієнтів, рівень сигналу, завантаження
точок доступу та потенційні проблеми. Це значно полегшує діагностику та
усунення несправностей, скорочуючи час простою мережі та підвищуючи її
надійність.
Контролери WLC відіграють ключову роль у процесі розгортання оновлень
мікропрограмного забезпечення та конфігурацій на керованих точках доступу.
Централізоване управління оновленнями дозволяє адміністраторам ефективно
підтримувати всі точки доступу в актуальному стані з останніми функціями та
виправленнями безпеки, без необхідності ручного оновлення кожного пристрою
окремо.
Майже всі ключові гравці ринку мережних технологій надають у своєму
арсеналі різні моделі контролерів. Не виключенням є і компанія Cisco. Розроблені
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 20
а
нею WLCпризначені для задоволення потреб мереж різного розміру та складності.
Серед них варто відзначити серії Catalyst 9800, які є високопродуктивними
контролерами для великих корпоративних мереж, серію 5500, що забезпечує
надійне управління мережами середнього розміру, а також контролерні модулі,
інтегровані в маршрутизатори серії ISR (IntegratedServicesRouters), що є зручним
рішенням для філій та невеликих офісів. Ці контролери підтримують різні
стандарти бездротового зв'язку IEEE 802.11, включаючи сучасний стандарт
802.11ac (Wi-Fi 5) та новіші, забезпечуючи високу швидкість передачі даних та
ефективність бездротової мережі.
Таким чином, централізоване управління, що забезпечується контролерами
WLC, значно зменшує загальні адміністративні витрати на великих бездротових
мережах. Це дозволяє мережевим адміністраторам ефективно розгортати,
централізовано керувати та надійно захищати велику кількість точок доступу як
єдину інтегровану систему, підвищуючи таким чином ефективність роботи та
знижуючи операційні витрати. В архітектурі з використанням WLC точки доступу
часто функціонують як «легкі» точки доступу (Lightweight Access Points - LWAP),
які передають більшість своїх інтелектуальних функцій, таких як обробка трафіку
та прийняття рішень щодо радіочастот, контролеру WLC. Для зв'язку та
управління легкими точками доступу контролери WLC використовують
спеціалізовані протоколи, такі як CAPWAP (ControlAndProvisioningofWireless
Access Points), що забезпечує ефективний обмін даними та командами між
контролером та керованими точками доступу.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 21
а
2 ОБҐРУНТУВАННЯ ТЕХНІЧНОГО ЗАВДАННЯ
2.1 Основні проблеми проектування розподіленої мережі
Зазвичай, мережева інфраструктура організації стикається з низкою
проблем, які негативно впливають на ефективність роботи та безпеку даних.
Проектування нової територіально розподіленої мережі має на меті вирішити такі
ключові проблеми.
Неефективний обмін даними. Наявна інфраструктура може не
забезпечувати належного рівня ефективності обміну даними між головним офісом
та віддаленими філіями. Це проявляється у повільній передачі файлів, труднощах
з доступом до спільних ресурсів та проблемами з контролем версій документів.
Проблеми з покриттям Wi-Fi. У деяких зонах офісних приміщень можуть
спостерігатися проблеми з покриттям бездротової мережі, що призводить до
появи «мертвих зон» та нестабільного підключення для мобільних користувачів.
Недостатня пропускна здатність. Поточна пропускна здатність мережі не
відповідає зростаючим потребам організації, особливо при використанні
ресурсомістких додатків та збільшенні кількості підключених пристроїв. Це
призводить до сповільнення роботи мережі, буферизації відео та неможливості
ефективно використовувати певні сервіси.
Питання безпеки. Існуюча мережева інфраструктура може мати вразливості,
які можуть бути використані для несанкціонованого доступу до даних та
кібератак, особливо в контексті розподіленої структури та віддалених точок
доступу. Загрози кібербезпеки для розподілених організацій є дедалі
актуальнішими.
Складність керування. Управління поточною мережевою інфраструктурою
є складним і неефективним через відсутність централізованої системи
моніторингу та управління, що ускладнює налаштування, усунення несправностей
та підтримку консистентності конфігурацій на різних об’єктах. Переваги
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 22
а
централізованого управління бездротовими локальними мережами (WLAN) є
добре відомими.
Вирішення вищезазначених проблем є критично важливим для
забезпечення стабільного та ефективного функціонування організації.
Невирішення цих питань може призвести до серйозних негативних наслідків:
зниження продуктивності, втрати даних, збільшення витрат, неможливість
масштабування, вплив на задоволеність клієнтів [11-14].
2.2 Розробка технічних вимог
Технічні вимоги для проектування розподіленої мережі фактично будуть
виокремлені длятаких завдань:
1. Проведення аналізу існуючих методів побудови розподілених мереж Wi-
Fi, включаючи різні топології, архітектури та технології, такі як стандарти IEEE
802.11 та технології безшовного роумінгу та керування на основі контролера.
2. Визначення вимог до мережі для головного офісу та двох філіалів,
враховуючи кількість користувачів, типи пристроїв, потреби в пропускній
здатності для різних додатків та специфічні вимоги до продуктивності.
3. Розробка логічної та фізичної топології мережі для кожної локації,
відображаючи архітектуру мережі, розміщення обладнання та з’єднання.
4. Вибір необхідного обладнання Cisco (точки доступу, комутатори,
маршрутизатори, контролер WLAN, якщо потрібно), яке відповідає визначеним
вимогам.
5. Розробка плану IP-адресації та VLAN для сегментації мережевого
трафіку, підвищення безпеки та покращення організації мережі.
6. Планування розміщення каналів та частот для мінімізації перешкод та
оптимізації продуктивності бездротової мережі на всіх локаціях.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 23
а
7. Визначення параметрів безпеки мережі, включаючи протоколи
шифрування (наприклад, WPA2/WPA3) та методи автентифікації, з урахуванням
розподіленої архітектури.
8. Розробка сценаріїв налаштування обраного обладнання та моделювання
розробленої мережі [15-].
Технічнезавдання на проектування розподіленої бездротової мережі
організації можна сформулювати таким чином.
1. Фізичнатопологія для головного офісу та двох філіалів включаючи
схему з’єднань портів та інтерфейсів пристроїв.
2. Логічна топологія для головного офісу та двох філіалів.
3. Планована кількість бездротових користувачів: в головному офісі 50, у
філіалі №1 – 15, у філіалі №2 – 10.
4. Планована кількість дротових користувачів: в головному офісі 30, у
філіалі №1 – 10, у філіалі №2 – 5.
5. Детальний план IP-адресації та схема VLAN. Мережа організації має
адресу 172.25.0.0/16.
6. Обґрунтування використання стандарту IEEE 802.11a/b/g/n/ас (Wi-Fi 5) з
шириною каналу зв’язку 20 МГц, 40 МГц, 80 МГц. Зворотна сумісність із
застарілими пристроями.
7. Фізична топологія розташування точок доступу та мапа покриття в
діапазоні 2,4 та 5 ГГц.
8. Використання дротових з’єднань в локальній мережі стандарту
GigabitEthernet.
9. З’єднання головного офісу з глобальною мережею на швидкості не
менше 500 Мб/с, філіалів – не менше 300 Мб/с.
10. Конфігураційні файли для обладнання, протестовані в CiscoPacketTracer.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 24
а
3 МЕТОДИ СТВОРЕННЯ ЛОГІЧНИХКАНАЛІВ
Враховуючи обраний контролерний метод управління, буде розгорнуто
єдину розподілену мережу, що охоплюватиме головний офіс та обидва філіали.
Це рішення забезпечить централізоване управління всіма бездротовими точками
доступу та послідовне застосування політик безпеки по всій організації. Хоча
можна було б розглянути варіант окремих, але взаємопов'язаних мереж для
кожної локації, єдина мережа спрощує адміністрування та забезпечує більш
узгоджений користувацький досвід. Такий підхід також полегшує впровадження
єдиної схеми IP-адресації та маршрутизації.
3.1 Протокол обміну CAPWAP
Детального аналізу потребує робота стандартизованого протоколу
CAPWAP, який є фактично складником IEEE 802.11 та описаний для
використання всіма вендорами у RFC 5416 [10, 14].
CAPWAP (ControlAndProvisioningofWireless Access Points) – це
стандартизований протокол, визначений робочою групою IETF. Це сприяє
оптимізованому та вдосконаленому централізованому керуванню бездротовими
(Wi-Fi) точками доступу в мережі. CAPWAP забезпечує структуру, яка сприяє
безперешкодному розгортанню, конфігурації та контролю точок доступу,
забезпечуючи ефективний зв'язок між бездротовими контролерами та точками
доступу. Стандартизуючи ці взаємодії, CAPWAP забезпечує сумісність між
обладнанням різних постачальників, сприяє масштабованості та підвищує
загальну безпеку та надійність бездротових мереж.
CAPWAP працює шляхом інкапсуляції пакетів даних між бездротовим
контролером і точками доступу, розділяючи площину керування та площину
даних.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 25
а
Рисунок 3.1 – Принципи під’єднання точок доступу до контролера
Цей процес складається з декількох етапів.
Фаза пошуку. Коли точка доступу ввімкнена, вона ініціює фазу виявлення,
надсилаючи повідомлення про запит на виявлення для пошуку контролера.
Отримавши запит на виявлення, контролер відповідає відповіддю на
виявлення.
Встановлення безпечного з'єднання. Точка доступу та контролер
встановлюють безпечне з'єднання за допомогою DatagramTransportLayerSecurity
(DTLS) для обміну повідомленнями CAPWAP, керуванням і даними.
Площини управління та передачі даних. Контрольні повідомлення
містять інформацію та інструкції, пов'язані з керуванням бездротовою локальною
мережею (WLAN).
Повідомлення даних містять переслані бездротові кадри, кожен з яких
надсилається через різні порти протоколу користувацьких дейтаграм (UDP).
Рисунок 3.2 – Розділення трафіку управління і даних
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 26
а
Режими роботи. Централізований MAC-режим. CAPWAP інкапсулює всі
бездротові дані та кадри керування рівня 2, якими потім обмінюються контролер і
точка доступу.
Рисунок 3.3 – Централізований MAC-режим
Локальний MAC-режим.Кадри даних можуть бути локально об'єднані
мостами або тунельними як фрейми Ethernet. В обох режимах точка доступу
обробляє кадри бездротового керування рівня 2 локально, перш ніж переслати їх
на контролер.
Рисунок 3.4 – Локальний MAC-режим
Централізоване управління. Ця архітектура дозволяє централізовано
керувати та контролювати кілька точок доступу, спрощуючи адміністрування
мережі та підвищуючи загальну продуктивність.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 27
а
Впровадження CAPWAP у бездротовій мережі дає перевагу
централізованого керування. Ця централізація дозволяє адміністраторам керувати
всією бездротовою мережею з одного місця, спрощуючи конфігурацію,
моніторинг та усунення несправностей. Зниження операційної складності та
витрат є значним. Крім того, CAPWAP дозволяє ефективно використовувати
ресурси, дозволяючи контролеру інтелектуально розподіляти бездротовий трафік
між точками доступу. Такий розподіл запобігає перевантаженню в конкретних
зонах і забезпечує збалансоване навантаження по всій мережі, підвищуючи
загальну продуктивність і ефективність мережі.
CAPWAP значно підвищує масштабованість бездротової мережі. У міру
зростання мережі нові точки доступу можуть бути легко інтегровані в існуючу
інфраструктуру CAPWAP, не вимагаючи значних змін в загальній архітектурі
системи. Ця безшовна інтеграція підтримує здатність мережі розширюватися та
адаптуватися до зростаючих вимог. Крім того, CAPWAP сприяє сумісності між
пристроями різних постачальників, пропонуючи гнучкість у виборі та розгортанні
обладнання. Ця сумісність дозволяє організаціям вибирати найкращі пристрої для
своїх конкретних потреб, не обмежуючись одним постачальником, тим самим
оптимізуючи свою мережеву інфраструктуру.
Однією з ключових переваг CAPWAP є його здатність підвищувати безпеку
мережі. Централізоване керування забезпечує послідовне застосування політик
безпеки на всіх точках доступу, знижуючи ризик вразливостей і
несанкціонованого доступу. Використання зашифрованих керуючих повідомлень
ще більше зміцнює безпеку мережі. Крім того, CAPWAP підвищує надійність
мережі, сприяючи ефективному усуненню несправностей і діагностиці. Ця
можливість мінімізує час простою та забезпечує постійну доступність мережі,
забезпечуючи стабільне та безпечне бездротове середовище для користувачів.
Підвищуючи як безпеку, так і надійність, CAPWAP підтримує створення надійних
і відмовостійких бездротових мереж.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 28
а
CAPWAP особливо корисний у різних сценаріях, де централізоване
керування бездротовими мережами має вирішальне значення. На великих
підприємствах з кількома офісами або кампусами CAPWAP спрощує розгортання
та керування численними точками доступу в різних місцях. Він також ідеально
підходить для навчальних закладів з великими потребами в покритті Wi-Fi, таких
як університети та школи, де він може ефективно керувати високою щільністю
точок доступу. Крім того, CAPWAP добре підходить для громадських місць,
таких як аеропорти, стадіони та конференц-центри, де надійне та масштабоване
бездротове з'єднання має важливе значення. У сфері гостинності, таких як готелі
та курорти, CAPWAP забезпечує стабільний і безпечний доступ до Wi-Fi для
гостей. В цілому, універсальність CAPWAP робить його оптимальним вибором
для будь-якого сценарію, що вимагає надійних, масштабованих і керованих
бездротових мережевих рішень.
3.2 Технологія FlexConnect
FlexConnect – це бездротове рішення Ciscoдля філій та віддалених офісів,
яке забезпечує централізоване налаштування та керування точками доступу (AP)
через WAN, усуваючи потребу в контролерах у кожному офісі. Точки доступу
FlexConnect можуть локально комутувати клієнтський трафік та здійснювати
локальну автентифікацію клієнтів у разі втрати зв'язку з контролером. У
підключеному режимі вони також можуть передавати трафік на контролер та
виконувати локальну автентифікацію.
Для кожної WLAN точка доступу FlexConnect може або тунелювати
клієнтські дані через CAPWAP до контролера (централізована комутація), або
виводити клієнтський трафік через LAN-порт точки доступу (локальна
комутація), маркуючи його VLAN для ізоляції від інтерфейсу керування.
Для локально комутованих WLAN автентифікація клієнтів може
здійснюватися централізовано (контролером) або локально (точкою доступу).
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 29
а
У разі втрати CAPWAP-з'єднання з контролером точка доступу FlexConnect
переходить у автономний режим. Централізовано комутовані WLAN стають
недоступними, але локально комутовані WLAN залишаються працездатними.
Якщо для локально комутованої WLAN налаштовано централізовану
автентифікацію, підключені клієнти залишаються в мережі, але не зможуть
встановлювати нові з'єднання. Локально комутована WLAN з локальною
автентифікацією залишається працездатною незалежно від режиму роботи точки
доступу. На рисунку 3.5показано типове розгортання FlexConnect.
Рисунок 3.5 – Типова топологія для розгортання FlexConnect
Програмне забезпечення контролера має надійнішу методологію
відмовостійкості для точок доступу FlexConnect. У застарілих версіях, коли точка
доступу FlexConnect втрачала зв'язок з контролером, вона переходила в
автономний режим. Клієнти з централізованою комутацією відключалися, але
локально комутовані клієнти продовжували обслуговуватися. Після відновлення
зв'язку з контролером (або резервним контролером) усі клієнти відключалися та
проходили повторну автентифікацію. На даний час функція з'єднання між
клієнтами та точками доступу FlexConnect залишається безперервною,
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 30
а
забезпечуючи безшовне підключення, якщо конфігурації точки доступу та
контролера ідентичні.
Після встановлення з'єднання контролер не відновлює початкові атрибути
клієнта. Ім'я користувача, поточна та підтримувані швидкості, а також значення
інтервалу прослуховування скидаються до значень за замовчуванням лише після
закінчення таймера сесії.
Кількість точок доступу FlexConnect на одне розташування не обмежена. В
одному розташуванні можна визначити кілька груп FlexConnect.Контролер може
надсилати групові пакети у вигляді одно-адресних або групових до точки
доступу. У режимі FlexConnect точка доступу може отримувати групові пакети
лише у формі одно-адресних.
Точки доступу FlexConnect підтримують конфігурацію NAT 1-1. Вони
також підтримують PAT для всіх функцій, крім справжньоїгрупової розсилки.
Точки доступу FlexConnect також підтримують межу NAT/PAT «багато-до-
одного», за винятком випадків, коли потрібна робота справжньоїгрупової
розсилки для всіх централізовано комутованих WLAN.
Коли точка доступу завантажується, вона шукає контролер. Якщо вона його
знаходить, то приєднується до контролера, завантажує з нього найновіший образ
програмного забезпечення та конфігурацію, а також ініціалізує радіопередачу.
Вона зберігає завантажену конфігурацію в енергонезалежній пам'яті для
використання в автономному режимі.
Точка доступу FlexConnect може дізнатися IP-адресу контролера одним із
цих способів:
1. Якщо точці доступу призначено IP-адресу від сервера DHCP, вона може
виявити контролер за допомогою звичайного процесу виявлення CAPWAP або
LWAPP.
2. Точка доступу зі статичною IP-адресою виявляє контролер будь-яким
методом виявлення, крім DHCP 43. Якщо широкомовне виявлення 3-го рівня не
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 31
а
вдається, рекомендовано DNS. DNS дозволяє будь-якій точці доступу зі
статичною IP-адресою та відомим DNS-сервером знайти контролер.
3. Якщо потрібно, щоб точка доступу виявила контролер у віддаленій
мережі, де механізми виявлення CAPWAP або LWAPP недоступні, можна
використовувати праймінг. Цей метод дає змогу вказати контролер, до якого має
під'єднатися точка доступу.
Коли точка доступу FlexConnect може отримати доступ до контролера (так
званий режим підключення), контролер автентифікує клієнта. Якщо точка
доступу FlexConnect не може отримати доступ до контролера, точка доступу
переходить в автономний режим і автентифікує клієнтів самостійно. Принцип
роботи таких налаштувань показано на рисунку 3.6.
а)
б)
Рисунок 3.6 – Автентифікація за наявності та відсутності зв’язку з центральним
офісом
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 32
а
3.3 Сегментація мережі на основі технології VLAN
Використання технології VLAN (VirtualLocalAreaNetwork) є важливим і
часто необхідним елементом сучасної мережевої інфраструктури. І за якою б
технологією не було реалізовано проект мережі, є кілька основних переваг
використання логічного розділення трафіку за допомогою VLAN.
Покращення продуктивності мережі. VLAN розділяють фізичну мережу на
менші логічні сегменти, або домени широкомовлення. Це означає, що
широкомовний трафік (broadcasttraffic) залишається в межах свого VLAN і не
перевантажує всю мережу. Це зменшує завантаженість мережі та підвищує її
загальну продуктивність. VLAN дозволяють ефективніше використовувати
пропускну здатність, спрямовуючи трафік лише туди, де він потрібен.
Підвищення рівня безпеки. Ізоляція чутливих даних за допомогою VLAN
дає змогу ізолювати певні відділи або типи даних (наприклад, фінансову
інформацію, дані керівництва тощо) в окремі логічні мережі. Це обмежує доступ
неавторизованих користувачів до конфіденційної інформації.Контроль доступу
завдяки VLAN легше впроваджувати, використовуючисписки контролю доступу
(ACL) на маршрутизаторах та комутаторах для регулювання трафіку між різними
сегментами мережі.VLAN є критично важливими для створення безпечних
гостьових мереж, які ізольовані від внутрішніх корпоративних ресурсів,
запобігаючи потенційним загрозам безпеці, що особливо актуально при реалізації
бездротового доступу.
Спрощення адміністрування мережі. Логічне групування за використанням
VLAN дозволяє групувати користувачів та пристрої за функціональною ознакою,
відділом або проектом, незалежно від їхнього фізичного розташування. Це
спрощує керування мережею, моніторинг та усунення несправностей.Зміни в
мережі (додавання, переміщення, видалення користувачів або пристроїв) можуть
бути виконані на рівні програмного забезпечення шляхом зміни призначення
портів до VLAN, без необхідності фізичного перепід’єднання кабелів.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 33
а
Економія коштів. Оптимізація існуючої інфраструктури для VLAN
дозволяють використовувати існуючеапаратне забезпечення для створення
кількох логічних мереж, зменшуючи потребу в додатковому фізичному
обладнанні (комутаторах, маршрутизаторах).Завдяки кращому управлінню
трафіком та пропускною здатністю, VLAN допомагають ефективніше
використовувати наявні мережеві ресурси.У випадкунаявності різних відділів у
головному офісі та філіалах, а також необхідністю гостьової мережі та окремого
VLAN для керування бездротовою інфраструктурою, використання VLAN є не
просто бажаним, а необхідним.
Перед безпосередньою розробкою сегментації на VLANнеобхідно
визначити такі умови:
1. Схема адресації повинна використовувати VLSM для ефективного
використання адресного простору.
2. Для кожної VLAN виділено підмережу, достатню для поточної та
майбутньої кількості користувачів.
3. Визначення IP-адрес шлюзів для кожної VLAN, які потрібно буде
налаштувати на маршрутизаторах або комутаторах 3-го рівня.
4. Для автоматичного налаштування ІР-адрес клієнтам необхідно
застосувати DHCP-сервер для кожної VLAN.
5. Призначення конкретних IP-адрес серверам та іншим мережевим
пристроям у сервісній VLAN має бути статичним.
6. Необхідність налаштування відповідних правил маршрутизації та ACL
на мережевому обладнанні для забезпечення зв'язку між VLAN та контролю
доступу.
Розділення на VLAN доцільно планувати за призначенням трафіку в мережі
та з врахуванням структурної схеми організації [18-19]. Відповідно в таблиці 3.1
показано вихідні дані за назвами відділів та кількості дротових і бездротових
користувачів в кожному сегменті з врахуванням зростання їх кількості на 10-15%.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 34
а
Таблиця 3.3 – Вихідні дані до розрахунку VLAN
VLAN Назва Розташування Дротові Бездротові
клієнти клієнти
10 Керівництво Головний офіс 10 10
20 Відділ продажів Головний офіс 10 20
20 Відділ продажів Філіал 1 10 10
30 Відділ маркетингу Головний офіс 10 15
30 Відділ маркетингу Філіал 2 5 10
40 Фінансовий відділ Головний офіс 15 20
90 Гостьова мережа Головний офіс 0 15
90 Гостьова мережа Філіал 1 0 10
90 Гостьова мережа Філіал 2 0 10
99 Керування мережею Вся мережа 20 5
50 Сервіси Головний офіс, Філіали 10 0
Найбільш поширеною практикою є виділення підмережі для однієї VLANта
організація маршрутизації між ними або всіма, або ж тільки між необхідними
сегментами (наприклад до сервісної VLAN).Згідно із завданням для усіх
VLANбуде виділено адресний простір 172.25.0.0/16, а тому існує необхідність
розділити його на підмережі задля оптимального та економного використання
адрес.
3.4 Розробка схеми ІР-адресації
Звичайне розділення на підмережі, де вся мережа використовує одну й ту
саму маску, не підходить для мереж різних розмірів. Натомість, VLSM (маска
підмережі змінної довжини) дозволяє гнучко ділити мережу на підмережі різного
розміру, використовуючи різні маски підмереж для кожної з них.
Перший крок, який необхідно зробити для початку розрахунку підмереж на
основі використання маски змінної довжини VLSM– це відсортувати підмережі
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 35
а
(VLAN)за порядком спадання, тому як виділення адрес повинно бути із більшої
до меншої.
Сортування VLAN за найбільшою кількістю необхідних адрес у спадному
порядку:
VLAN 20 (Відділ продажів) - 50 адрес.
VLAN 30 (Відділ маркетингу) - 40 адрес.
VLAN 40 (Фінансовий відділ) - 35 адрес.
VLAN 90 (Гостьова мережа) - 35 адрес.
VLAN 99 (Керування мережею) - 25 адрес.
VLAN 10 (Керівництво) - 20 адрес.
VLAN 50 (Сервіси) - 10 адрес.
Префікс підмережі для мережі VLAN 20 визначається,беручи до уваги
кількість вузлів в мережі , наступним чином:
.
Результат операції логарифмування повинен бути округлений до більшого
цілого числа.
Таким чином за даним префіксом в підмережі VLAN 20максимальна
кількість вузлів . Для цієї підмережі буде виділено діапазон ІР-адрес
172.25.0.0 - 172.25.0.63, де перша адреса вузла – 172.25.0.1, остання адреса вузла –
172.25.0.62 та адреса широкомовлення – 172.25.0.63.
Префікс підмережі для мережі VLAN 30 визначається,беручи до уваги
кількість вузлів в мережі , наступним чином:
.
Таким чином за даним префіксом в підмережі VLAN 30максимальна
кількість вузлів . Для цієї підмережі буде виділено діапазон ІР-адрес
172.25.0.64 - 172.25.0.127, де перша адреса вузла – 172.25.0.65, остання адреса
вузла – 172.25.0.126 та адреса широкомовлення – 172.25.0.127.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 36
а
Префікс підмережі для мережі VLAN 40визначається,беручи до
увагикількість вузлів в мережі , наступним чином:
.
Таким чином за даним префіксом в підмережі VLAN 40максимальна
кількість вузлів . Для цієї підмережі буде виділено діапазон ІР-адрес
172.25.0.128– 172.25.0.191, де перша адреса вузла – 172.25.0.129, остання адреса
вузла – 172.25.0.190 та адреса широкомовлення – 172.25.0.191.
Префікс підмережі для мережі VLAN 90 визначається,беручи до уваги
кількість вузлів в мережі , наступним чином:
.
Таким чином за даним префіксом в підмережі VLAN 90максимальна
кількість вузлів . Для цієї підмережі буде виділено діапазон ІР-адрес
172.25.0.192 - 172.25.0.255, де перша адреса вузла – 172.25.0.193, остання адреса
вузла – 172.25.0.254 та адреса широкомовлення – 172.25.0.255.
Префікс підмережі для мережі VLAN 99 визначається,беручи до уваги
кількість вузлів в мережі , наступним чином:
.
Таким чином за даним префіксом в підмережі VLAN 99максимальна
кількість вузлів . Для цієї підмережі буде виділено діапазон ІР-адрес
172.25.1.0 - 172.25.1.31, де перша адреса вузла – 172.25.1.1, остання адреса вузла –
172.25.1.30 та адреса широкомовлення – 172.25.1.31.
Префікс підмережі для мережі VLAN 10 визначається,беручи до уваги
кількість вузлів в мережі , наступним чином:
.
Таким чином за даним префіксом в підмережі VLAN 10максимальна
кількість вузлів . Для цієї підмережі буде виділено діапазон ІР-адрес
172.25.1.32 - 172.25.1.63, де перша адреса вузла – 172.25.1.33, остання адреса
вузла – 172.25.1.62 та адреса широкомовлення – 172.25.1.63.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 37
а
Префікс підмережі для мережі VLAN 50 визначається,беручи до уваги
кількість вузлів в мережі , наступним чином:
.
Таким чином за даним префіксом в підмережі VLAN 50максимальна
кількість вузлів . Для цієї підмережі буде виділено діапазон ІР-адрес
172.25.1.64 - 172.25.1.79, де перша адреса вузла – 172.25.1.65, остання адреса
вузла – 172.25.1.78 та адреса широкомовлення – 172.25.1.79.
В таблиці 3.2 показані діапазони ІР-адрес для всіх підмереж.
Таблиця 3.4 – Діапазони ІР-адрес для всіх підмереж
VLAN Назва Розташування Дротові Бездротові Мережа Маска Діапазон
підмережі вузлів Шлюз
10 Керівництво Головний
офіс 10 10 172.25.1.32/27 255.255.255.224 172.25.1.33
- 62 172.25.1.33
20 Відділ Головний 172.25.0.1 -
продажів офіс, Філіал 1 20 30 172.25.0.0/26 255.255.255.192 62 172.25.0.1
30 Відділ Головний 172.25.0.65
маркетингу офіс, Філіал 2 15 25 172.25.0.64/26 255.255.255.192 - 126 172.25.0.65
40 Фінансовий Головний
відділ офіс 15 20 172.25.0.128/26 255.255.255.192 172.25.0.129
- 190 172.25.0.129
90 Гостьова Головний
мережа офіс, Філіал 0 35 172.25.0.192/26 255.255.255.192 172.25.0.193
- 254 172.25.0.193
1, Філіал 2
99 Керування
мережею Вся мережа 20 5 172.25.1.0/27 255.255.255.224 172.25.1.1 -
30 172.25.1.1
50 Сервіси Головний
офіс, Філіали 10 0 172.25.1.64/28 255.255.255.240 172.25.1.65
- 78 172.25.1.65
Дана схема використання ІР-адрес дає змогу мати в запасі ще досить
великий діапазон ІР-адрес, що дасть змогу в майбутньому розширити мережу як
на фізичному рівні так і на рівні логічних зв’язків.
3.5 Організація глобальних каналів
Золотим стандартом організації обміну інформацією через відкриту мережу
Інтернет є використання VPN-тунелювання.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 38
а
Віртуальна приватна мережа (VPN) – це з'єднання, встановлене між
кількома мережами. Це може бути корпоративна мережа, де кілька офісів
працюють разом, або мережа філій з центральним офісом і кількома філіями.
Міжсайтовий VPN корисний для компаній, які надають пріоритет
приватному, захищеному трафіку, і особливо корисний для організацій з
декількома офісами, розкиданими у віддалених географічних точках. Таким
компаніям часто доводиться отримувати доступ до ресурсів, розміщених в
основній мережі, які можуть включати сервери, що забезпечують роботу
електронної пошти або зберігають дані. У деяких випадках сервер може бути
операційним центром програми, важливої для бізнесу компанії. У такому випадку
міжсайтовий VPN може надати всім сайтам повний доступ до сервісів– так, ніби
вони розміщені на їхньому фізичному об'єкті.
Інтернет-мережа VPN використовує існуючу мережу організації в поєднанні
з загальнодоступним Інтернетом. Щоб налаштувати інтернет-мережу VPN, вам
потрібен VPN-шлюз, який захищає дані, що передаються туди і назад.
Тунелі IPSec VPN використовуються для безпечної передачі даних, голосу і
відео між двома сайтами (наприклад, офісами або філіями). VPN-тунель
створюється через загальнодоступну мережу Інтернет і шифрується за допомогою
ряду передових алгоритмів шифрування, щоб забезпечити конфіденційність
даних, що передаються між двома сайтами.
Рисунок 3.9 – Принципи побудови VPNканалу між двома точками під’єднання
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 39
а
IPSec VPN-тунелі також можна налаштувати за допомогою GRE
(GenericRoutingEncapsulation) тунелів з IPsec. Тунелі GRE значно спрощують
налаштування та адміністрування VPN-тунелів. Нарешті, DMVPN – новий тренд в
VPN, який забезпечує велику гнучкість і майже не вимагає витрат на
адміністрування.
Шифрування IPSec – це програмна функція, яка шифрує дані, щоб
захистити їхній вміст від неавторизованих сторін. Дані шифруються за
допомогою ключа шифрування, а для розшифрування інформації потрібен ключ
дешифрування. IPSec підтримує різні типи шифрування, зокрема AES, Blowfish,
Triple DES, ChaCha і DES-CBC.
IPSec використовує асиметричне і симетричне шифрування, щоб
забезпечити швидкість і захист під час передавання даних. Під час асиметричного
шифрування ключ шифрування стає публічним, а ключ дешифрування
залишається приватним. Симетричне шифрування використовує один і той самий
відкритий ключ для шифрування і розшифрування даних. IPSec встановлює
безпечне з'єднання з асиметричним шифруванням і перемикається на симетричне
шифрування для прискорення передачі даних.
ISAKMP (InternetSecurityAssociationandKeyManagementProtocol) і IPSec
необхідні для побудови і шифрування VPN-тунелю. ISAKMP, також відомий як
IKE (InternetKey Exchange), – це протокол обміну даними, який дозволяє двом
вузлам узгодити те, як створити безпечне з’єднання IPsec. Переговори ISAKMP
складаються з двох фаз: Фаза 1 і Фаза 2.
Фаза 1 створює перший тунель, який захищає подальші повідомлення
переговорів ISAKMP. Фаза 2 створює тунель, який захищає дані. Після цього в
гру вступає IPSec, який шифрує дані за допомогою алгоритмів шифрування і
надає послуги автентифікації, шифрування і захисту від копіювання даних.
Підсумковий результат даного розділу – це логічна топологія мережі, яка
буде використовувати технологію VLANдля логічного розділення локальної
мережі, як дротової так і бездротової, технологію CAPWAPдля організації тунелю
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 40
а
керування точками доступу у віддалених філіалах, який відповідно буде
використовувати шифрований VPNканал на основі IPSec.
Кінцевий вигляд логічна топологія мережі, що розробляється в цій роботі,
матиме такий, як показано на рисунку 3.8.
Рисунок 3.10 – Спрощений вигляд логічної топології бездротової мережі
На топології не показано всі дротові та бездротові клієнти, усі можливі
комутатори та точки доступу, розташування та кількість яких буде розраховано
при плануванні карти покриття сигналу бездротової мережі Wi-Fi на кожній з
локацій. Щодо серверів, то в дата-центрі компанії фізично планується один
сервер, але логічного буде організовано декілька віртуальних серверів на основі
гіпервізора.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 41
а
4 РОЗРОБКА ФІЗИЧНОЇТОПОЛОГІЇ
4.1 Обґрунтування вибору обладнання
Аналіз логічної топології показує, що в кожному філіалі та у головному
офісі буде розташовано по одному граничному маршрутизатору, які і будуть
виконувати роль VPNшлюзів.
Кількість та параметри комутаторів добираються враховуючи щільність
портів, характеристики швидкості комутації та передачі даних, кількості дротових
клієнтів, кількості точок доступу, порти для яких повинні підтримувати
технологію Powerover Ethernet (PoE) версії мінімум IEEE 802.3at-2009.
Кожна логічна топологія окремого офісу буде мати рівень ядра
(маршрутизатор) та рівень розподілу (комутатори 3 рівня) та рівень доступу
(точки доступу бездротових клієнтів). Для пристроїв рівня ядра необхідно обрати
маршрутизатори, які повинні відповідати технічному завданню щодо швидкості
передачі даних інтерфейсів, навантажувальної здатності.
Технічні вимоги до маршрутизатора:
Кількість інтерфейсів Ethernet 2.
Консольний порт 1.
Мережна технологія 10/100/1000Base-T.
Кількість роз’ємівSFP 1.
Висота блоку для стійки19" 1U.
Форм-фактор в стійку19".
Наявність USBA 1.
Об’єм пам'яті 4 Гб.
Об’єм флеш-пам'яті 8Гб.
Функції безпеки IPsec, VPN, ACL, SSH.
Підтримка протоколів IPv4, IPv6, EIGRP, OSPF, BGP, NAT.
Підтримка додаткових модулів Так.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 42
а
Згадані характеристики гарантує маршрутизатор Cisco ISR 4331/K9 з
інтегрованими сервісами третього покоління від провідного виробника
мережевого обладнання – CiscoSystems. Маршрутизатор Cisco ISR4331/K9,
оснащений багатоядерним процесором і програмним забезпеченням Cisco IOS
XE, вирізняється масштабованістю та можливістю інтеграції нових сервісів, що
забезпечить якісне обслуговування локальної мережі для організацій та їхніх
філій. Пристрій підтримує прискорене шифрування, сервіси обробки трафіку з
носіїв, а також різні варіанти підключення, зокрема Serial, T1/E1і порти Gigabit
Ethernet. Операційна система Cisco IOS XE забезпечує безпеку, голосовий зв’язок
та IP-маршрутизацію. Крім того, пристрій включає пакет послуг QualityofService,
IP Mobility, MultiprotocolLabelSwitching, підтримку численних VPN і вбудований
інтерфейс керування.
Кількість користувачів дротового сегменту мережі в головному офісі
складає55, додавши ще під’єднання точок доступу (мінімум 5) та 10 % запас
отримуємо 65 необхідних портів комутатора. Об’єднавши в ієрархії рівень
доступу та рівень розподілу для дротових клієнтів, є сенс застосувати комутатори
третього рівня виходячи з параметрів:
Тип комутатора рівень 3.
Мінімальна кількість портів 48.
Мережна технологія 10/100/1000Base-T.
Технологія Ethernet Gigabit Ethernet.
Підтримка технологій QoS, VLAN, SNMP, DHCP.
Об’єм пам'яті 4 Гб.
Об’єм флеш-пам'яті 2Гб.
Кількість роз’ємів SFP 4.
Підтримка протоколів IPv4, IPv6, IGMP.
Внутрішня пропускна здатність 176Гбіт/с.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 43
а
Доцільно для забезпечення таких параметрів застосувати комутатор
CiscoCatalystWS-C3650-48FS-L.
Серія CiscoCatalyst 3650 - це наступне покоління автономних і стекових
комутаторів рівня доступу корпоративного класу, які забезпечують основу для
повної конвергенції дротових і бездротових мереж на єдиній платформі.
Комутатори серії 3650 побудовані на вдосконаленій платформі CiscoStackWise®-
160 і використовують переваги нової прикладної інтегральної схеми (ASIC)
CiscoUnified Access™ DataPlane (UADP). Цей комутатор забезпечує уніфіковане
застосування дротових і бездротових політик, прозорість додатків, гнучкість,
оптимізацію додатків і чудову відмовостійкість. Комутатори серії 3650
підтримують повну підтримку IEEE 802.3at Powerover Ethernet Plus (PoE+),
CiscoUniversalPowerover Ethernet (Cisco UPOE®) на мультигігабітних
комутаторах CiscoCatalyst серії 3650, а також пропонують модульні резервні
вентилятори і джерела живлення, які можна замінити в польових умовах.
Комутатори серії 3650 також випускаються в 12-дюймовому форм-факторі з
меншою глибиною, що дозволяє розгортати їх в тісних кабельних шафах у
віддалених філіях і офісах, де глибина комутатора є проблемою. Крім того,
мультигігабітні комутатори 3650 підтримують швидкості і стандарти
бездротового зв'язку поточного і наступного поколінь (включаючи 802.11ac Wave
2) в існуючій кабельній інфраструктурі. Комутатори серії 3650 допомагають
підвищити продуктивність бездротової мережі і знизити сукупну вартість.
Необхідну кількість дротових під’єднань у філіалах можна забезпечити
використавши по одному комутатору CiscoCatalystWS-C3650-48FS-L.
Доступ бездротових клієнтів в мережі буде здійснюватися за допомогою
точок доступу. Параметри, яким вони повинні задовольняти повинні бути такі:
Стандарт Wi-Fi 802.11 ас.
Wi-Fi швидкість з'єднання 433Гбіт/с.
Частота 2,4 ГГц/5 ГГц.
Мережний інтерфейс 10/100/1000Base-T.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 44
а
Режим роботи Wi-Fi Точка доступу.
Кількість радіоінтерфейсів 2.
MIMO тип 2х2 MU-MIMO.
Антена 2 інтегровані кругові.
Підтримка PoE 802.3at.
Тип виконання внутрішній.
Клас PoE 30W 802.3at.
Забезпечити такі характеристики зможуть точки доступу
CiscoCatalystCBW140AC-E. Точка доступу CiscoBusiness 140AC забезпечує
найкращу в галузі продуктивність бездротової мережі завдяки підтримці
новітнього стандарту Wi-Fi IEEE 802.11ac Wave 2. Вона також відповідає
зростаючим вимогам гнучкості бездротових мереж за рахунок впровадження
технології mesh, забезпечуючи при цьому простий користувальницький
інтерфейс.Точка доступу 140AC розширює зону покриття і пропускну здатність
для клієнтів Wi-Fi, таких як смартфони, планшети і високопродуктивні ноутбуки,
які мають вбудовану підтримку 802.11ac Wave 1 або Wave 2.
Кількість користувачів бездротового сегменту мережі загалом складає 115,
де вже закладено 10 % запас по зростанню мережі. Вибір контролера бездротової
мережі буде здійснюватися за максимальною кількістю підтримуваних клієнтів,
точок доступу, пропускної здатності. Для розробленої мережі застосуємо
контролер Cisco 2504 з такими параметрами:
Кількість підтримуваних точок доступу (AP) 75
Кількість підтримуваних клієнтів 1000.
Пропускна здатність 1 Гбіт/с.
Кількість WLAN (SSID) 16.
Кількість VLAN 16.
Порти Ethernet 10/100/1000BASE-T.
Powerover Ethernet (PoE) 2.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 45
а
Підтримка стандартів бездротового зв'язку 802.11a/b/g/n/ac.
Протоколи шифрування WEP, TKIP, AES.
Веб-інтерфейс HTTP/HTTPS.
4.2 Проектування структурованої кабельної системи
Структурована кабельна система (СКС) є ієрархічною, стандартизованою
системою кабелів, роз'ємів, комутаційних панелей та іншого пасивного
обладнання, яка забезпечує універсальну телекомунікаційну інфраструктуру
будівлі або групи будівель. Її основна мета – інтегрувати різні інформаційні
сервіси, такі як передача даних, голосу та відео, в єдину систему, що є гнучкою,
надійною та легко керованою. Хоча СКС в першу чергу стосується дротової
інфраструктури, вона також є фундаментом для ефективної роботи бездротової
мережі [20].
Точки бездротового доступу потребують підключення до дротової мережі
для передачі даних. СКС забезпечує це підключення наступним чином.
Горизонтальна кабельна проводка до точок доступу: Від
телекомунікаційних кімнат прокладаються кабелі (зазвичай Cat 5e/6/6A) до місць
встановлення точок доступу.
Підтримка технології Powerover Ethernet (PoE): СКС, особливо з
використанням кабелів відповідної категорії, може підтримувати технологію PoE,
яка дозволяє передавати живлення до точок доступу через той самий кабель
Ethernet, що спрощує їх встановлення та зменшує потребу в окремих розетках
живлення.
Надійне та високошвидкісне з'єднання. Якісно спроектована та інстальована
СКС повинна забезпечувати стабільне та високошвидкісне з'єднання між точками
доступу та основною мережевою інфраструктурою.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 46
а
Гнучкість розміщення. СКС дозволяє гнучко розміщувати точки доступу в
оптимальних місцях для забезпечення максимального покриття та продуктивності
бездротової мережі.
Кабельне термінальне обладнання підключається до ІТС по-різному.
Традиційні пристрої нижнього рівня використовують комбінацію шнура і
розеткового модуля користувацької інформаційної розетки СКС. Для точки
доступу, як обладнання цифрової стелі, застосовуються такі різновиди ліній:
1. MPTL (ModularPlugTerminatedLink) у разі безпосереднього підключення
до комутатора в технічному приміщенні;
2. E2E (End-to-End) при підключенні до комутатора активної
консолідаційної точки
Новітня техніка стандарту IEEE 803.11ax вимагає сумарну пропускну
здатність сполучної лінії понад 5 Гбіт/с. Для реалізації такої продуктивності AP
може забезпечуватися двома 5-гігагерцовими портами. З урахуванням цієї
апаратурної особливості під час планування мережі радіодоступуслід виходити з
доцільності: прокладання до кожної точки доступу двох сполучних
ліній;використання для їх організації елементної бази категорії як мінімум 6А.
Рисунок 4.1 – Структура кабельної системи поверхів та будівлі
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 47
а
В загальному проекті СКС повинна відповідати стандарту TIA/EIA - 568B і
містити телекомунікаційні шафи, патч-панелі, кабелі і розетки.
З кінця сполучного кабелю, найближчого до вузла, встановлюється розетка
структурованої кабельної системи з гніздом RJ-45. З іншої сторони на кабель
встановлюється роз’єм типу RJ-45, який з’єднується з комутаційною патч-
панеллю.
Що ж до вертикальної системи, її в проекті не буде виконано бо будівля має
один поверх.
Для створення кабельної системи обов'язково використовуються
комутаційні панелі (патч-панелі), які слугують для підключення кабелів різних
підсистем СКС та з'єднання окремих мережевих елементів між собою за
допомогою комутаційних кабелів. Патч-панель 19" 24xRJ-45 FTP Cat.6 – це
панель 19-дюймового формату, призначена для встановлення в телекомунікаційну
шафу або стійку. Вона відповідає вимогам категорії 6 та має 24 порти RJ-45 на
висоті 1U. На передній панелі всі порти пронумеровані та мають додаткові поля
для маркування. Для побудови мережі організації потрібно дві такі панелі. Окрім
патч-панелей, для фіксації кабелів застосовуються кабельні органайзери, які
необхідні в телекомунікаційній шафі через велику кількість з'єднань, що
комутуються, а також для забезпечення кращої циркуляції повітря.
Для розміщення обладнання в серверній кімнаті та на поверхах будуть
використані комутаційні шафи. Вони є основним елементом для монтажу
обладнання СКС і являють собою закриті 19-дюймові конструкції різної висоти.
Їхньою основою є каркас та напрямні монтажні рейки, до яких обладнання може
кріпитися безпосередньо або з використанням полиць чи монтажних
кронштейнів.
Комутаційні шафи забезпечують:
– обмеження фізичного доступу сторонніх до встановленого обладнання;
– ефективний захист обладнання від пилу, бруду та навіть вологи;
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 48
а
– екранування від зовнішніх електромагнітних полів та радіочастотних
перешкод;
– естетичний вигляд та організованість.
Простір між монтажними рейками та бічними стінками в проєкті буде
використано для прокладання кабелів.
Комутаційна шафа для серверної повинна вміщувати скільки монтажних
одиниць (1U), стільки займає все необхідне для мережі обладнання. Аналогічно
шафи будуть встановлені у філіалах, щоб забезпечити необхідну кількість
одиниць (1U) для встановлення.
В серверній буде встановлено:
Маршрутизатор Cisco ISR4321/K9 1U.
Комутатор CatalystWS-C3650-48FS-L 1U.
Сервер HP Proliant DL380 G9 3U.
Патч-панель 19" 48xRJ-45 FTP Cat.6 1U.
ДБЖ PowerWalker VI 2000 RLE (2 шт) 2U.
Запас для розширення мережі 4U.
Загальний розмір комутаційної шафи для серверної тоді складе 12U.
Телекомунікаційна шафа 19"12U, (СН-12U 600х450 скло RAL9005) цілком
забезпечить вимоги до монтажу обладнання проекту.
Комутаційні шафи для філіалівбудуть містити один маршрутизатор та к
комутатор. Для цього достатньо буде розміру у 4U, із запасом для встановлення
додаткових пристроїв 2U. Цілком застосовна буде серверна шафа 6U, (СН-6U
600х350 скло RAL9005).
Організація структурованої кабельної системи включає такі етапи:
Проектування. Цей етап є ключовим для забезпечення керованості,
довговічності та продуктивності майбутньої мережі. В результаті проектування
розробляється детальна схема мережі, визначається кошторис необхідного
обладнання та складається перелік робіт для виконання.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 49
а
Проведення монтажу. На цьому етапі здійснюється прокладання кабелів,
встановлення необхідного обладнання та підключення пасивного мережевого
обладнання. Обов'язковим є тестування системи для визначення якості виконаних
робіт та підтвердження відповідності характеристик СКС вимогам.
4.3 Планування розміщення точок доступу
Початок планування розміщення точок доступу майже не можливе без
прогностичного обстеження будівлі, де будуть встановлені точки доступу.
Використання наявного реального плану будівлі дасть також дуже багато
інформації щодо планування бездротової мережі.
На даний час використовується різне програмне забезпечення, що враховує
для прогнозне обстеження території, щоб розробити план розміщення точок
доступу з оцінкою покриття та пропускної здатності. Тому в роботі буде
використано спеціалізоване програмне забезпечення, щоб створити
рекомендований план розміщення точок доступу та план каналів, включно з
покриттям.
Для правильного планування пропускної здатності необхідно надати дані
про такі фактори:
 Типи та кількість клієнтів.
 Додатки і вимоги до потокових мультимедійних даних.
 Дизайн з урахуванням кількості місць.
 Високоякісні плани поверхів.
 Точний масштаб плану поверху.
 Врахування можливих витоків радіочастот між поверхами.
Щоб переконатися, що є точне прогнозне обстеження ділянки, необхідно
виміряйти фактичні значення загасання для перешкод на ділянці розгортання. Для
вимірювання значень загасання потрібно використовувати точку доступу і
смартфон з додатком, наприклад, WiFiAnalyzer.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 50
а
Щоб виконати вимірювання, необхідно перевірити рівень сигналу,
виявлений клієнтом, коли клієнт і точка доступу знаходяться на відстані 5 метрів
один від одного з прямою видимістю (LoS). Потім знову перевірити рівень
сигналу на тій же відстані з перешкодою між точкою доступу і смартфоном.
Рисунок 4.2 – Вимірювання затухання сигналу
Різниця між показаннями LoS (пряма видимість) і другим показанням є
мірою рівня ослаблення сигналу через перешкоду. Отримані значення ослаблення
можуть підвищити точність прогнозованого огляду місцевості.
Навіть якщо канали DFS не використовуються, кількість каналів 5 ГГц
значно перевищує кількість каналів 2,4 ГГц. Це означає, що якщо на всіх точках
доступу в мережі, розрахованій на пропускну здатність, активні як радіостанції 5
ГГц, так і 2,4 ГГц, існує висока ймовірність того, що точки доступу можуть
створювати шкідливі багатоканальні завади в діапазоні 2,4 ГГц. Іншим фактором
є те, що частоти 2,4 ГГц забезпечують більший діапазон покриття, ніж частоти 5
ГГц. Щоб мінімізувати кількість само-індукованих завад в діапазоні 2,4 ГГц, є
рекомендація вимкнути радіостанції 2,4 ГГц на деяких розгорнутих точках
доступу.
Інше важливе питання – це метод кріплення точок доступу. Хоча настінні
точки доступу не такі поширені, як стельові, вони також підходять для більшості
приміщень. Настінні точки доступу також можна знайти у великих приміщеннях,
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 51
а
таких як аудиторії, де стельове кріплення не є практичним через висоту стелі або
доступність. Якщо встановлюється точка доступу за допомогою настінного
кріплення, необхідно врахувати діаграму спрямованості антени, зокрема діаграму
спрямованості задньої пелюстки певної моделі точки доступу. Проте більшість
розгортань бездротових мереж використовують стельові кріплення. Якщо точки
доступу монтуються до стелі, бажано, щоб вони були розташовані під стелею. Не
потрібно ховати точки доступу над підвісною стелею з міркувань естетики або
фізичної безпеки. Стельовий простір може містити металеві конструкції, такі як
труби або повітроводи, які можуть послаблювати радіосигнал.
Рисунок 4.3 – Відступи кріплення точки доступу від інших комунікацій
Щоб забезпечити повне бездротове покриття і переконатися, що всі клієнти
у середовищі отримують потужний бездротовий сигнал, необхідно дотримуватися
таких рекомендацій щодо розташування та розміщення точок доступу:
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 52
а
1. Встановлювати точки доступу потрібно в центральному місці, подалі від
кутів, стін та інших фізичних перешкод, щоб забезпечити максимальне покриття
сигналу.
2. Встановлювати точки доступу на високих місцях, щоб забезпечити
найкращий рівень сигналу та продуктивність бездротової мережі. Загалом, одна
точка доступу може покрити приблизно 2000 квадратних футів, але це залежить
від фізичного середовища та перешкод бездротового зв'язку.
3. Потрібно переконатися, що точка доступу не встановлюється поблизу
електронних пристроїв, які можуть створювати перешкоди для сигналу, таких як
телевізори, мікрохвильові печі, бездротові телефони, кондиціонери, вентилятори
або будь-який інший тип обладнання, що може спричинити перешкоди для
сигналу.
Таблиця 4.2 – Сумарні рекомендації по встановленню точок доступу
Рекомендації Коментар
Прогнозне обстеження ділянки може
Використання додатку для прогнозування автоматизувати процес розміщення точок
місцевості. доступу та планування пропускної
здатності каналів.
Значення SNR повинно бути не менше 25 дБ по
всій зоні покриття.
Мінімальний рівень RSSI повинен становити -62 При проектуванні для 256 QAM-
дБм у всій зоні покриття. швидкостей мінімальний RSSI повинен
бути -52 дБм (з каналами 80 МГц).
Клієнти повинні бачити дві-три точки доступу (на
різних каналах) з RSSI -70 дБм або вище.
Відстань між двома точками доступу має
становити приблизно 9-20 метрів.
Клас:
5 GHz: 8 to 16 dBm
Зменшена потужність передачі точки доступу. 2.4 GHz: 4 to 10 dBm
Аудиторія чи лекційний хол:
5 GHz: 5 to 12 dBm
2.4 GHz: 3 to 10 dBm
Точки доступу можуть бути стельовими або Якщо використовувати настінне кріплення,
настінними. потрібно враховувати випромінювання
задньої пелюстки антени.
Розміщення точок доступу та план каналів повинні
використовувати канали для мінімізації завад
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 53
а
Рекомендації Коментар
Розміщення точок доступу на поверхах у шаховому
порядку.
Регулювання вихідної потужності точки доступу
відповідно до коефіцієнта підсилення антени.
В роботі для розміщення точок доступу та оптимізації покриття сигналу
2,4 ГГц та 5 ГГц було використано Wi-FiPlannerPro, за допомогою якого отримано
карти покриття, сплановано канали на кожній точці доступу для головного офісу
та філіалів.
Результати розрахунків та розміщення АР показано в додатку В та Г.
4.4 Моделювання роботи мережі
Моделювання комп'ютерних мереж являє собою процес створення
абстрактної репрезентації реальної або майбутньої мережі за допомогою
програмного забезпечення або математичних методів. Ця модель імітує поведінку
мережевих компонентів, трафіку даних, протоколів та інших важливих
характеристик. Замість експериментів на реальній, часто дороговартісній та
критично важливій інфраструктурі, моделювання дозволяє досліджувати різні
сценарії, оцінювати продуктивність, виявляти потенційні проблеми та приймати
обґрунтовані рішення.
Основні цілі моделювання комп'ютерних мереж містять:
Проектування та планування. Моделювання допомагає інженерам та
архітекторам мереж розробляти оптимальні топології, визначати необхідну
пропускну здатність, вибирати відповідне обладнання та протоколи ще до етапу
фізичного розгортання мережі. Це дозволяє уникнути дорогоцінних помилок та
оптимізувати витрати.
Аналіз продуктивності. За допомогою моделювання можна оцінити ключові
показники продуктивності мережі, такі як затримка, пропускна здатність, втрата
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 54
а
пакетів, завантаження каналів зв'язку та час відгуку. Це дає змогу виявити вузькі
місця, оптимізувати конфігурацію та забезпечити належний рівень сервісу для
користувачів.
Тестування та валідація. Моделі мереж використовуються для тестування
нових протоколів, алгоритмів управління трафіком, механізмів забезпечення
якості обслуговування (QoS) та рішень з безпеки в контрольованому середовищі.
Це дозволяє переконатися в їх коректній роботі та ефективності перед
впровадженням у реальну мережу.
Виявлення та усунення проблем. Моделювання може допомогти в
діагностиці існуючих мережевих проблем. Шляхом відтворення ситуацій, що
призводять до збоїв або погіршення продуктивності, можна визначити причини
несправностей та розробити стратегії їх усунення.
Прогнозування та масштабування. Зі зростанням потреб бізнесу виникає
необхідність у масштабуванні мережевої інфраструктури. Моделювання дозволяє
прогнозувати вплив збільшення кількості користувачів, нових сервісів або змін у
трафіку на продуктивність мережі та планувати майбутні розширення.
Навчання та підготовка. Моделі комп'ютерних мереж є цінним
інструментом для навчання студентів та фахівців з мережевих технологій. Вони
надають можливість експериментувати з різними сценаріями та конфігураціями
без ризику порушення роботи реальних систем.
Необхідність моделювання комп'ютерних мереж обумовлена кількома
ключовими факторами:
Зростаюча складність мереж. Сучасні мережі стають дедалі складнішими,
включаючи різноманітні технології, протоколи та пристрої. Аналізувати та
оптимізувати такі мережі без використання інструментів моделювання стає
надзвичайно важко, а іноді й неможливо.
Висока вартість інфраструктури. Розгортання та експлуатація комп'ютерних
мереж вимагають значних фінансових вкладень. Помилки, допущені на етапі
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 55
а
проектування або неправильна конфігурація можуть призвести до значних
збитків. Моделювання допомагає мінімізувати ці ризики.
Критична важливість продуктивності. Для багатьох організацій
безперебійна та ефективна робота мережі є критично важливою для бізнесу.
Затримки, збої або недостатня пропускна здатність можуть призвести до втрати
клієнтів, зниження продуктивності та фінансових втрат. Моделювання дозволяє
забезпечити належний рівень продуктивності.
Постійні зміни та інновації. Сфера комп'ютерних мереж постійно
розвивається, з'являються нові технології, протоколи та сервіси. Моделювання є
необхідним інструментом для оцінки їхнього впливу на існуючу інфраструктуру
та прийняття обґрунтованих рішень щодо їх впровадження.
Необхідність оптимізації ресурсів. Моделювання допомагає ефективно
використовувати наявні мережеві ресурси, такі як пропускна здатність каналів
зв'язку, потужність обладнання та енергоспоживання. Це дозволяє знизити
експлуатаційні витрати та підвищити загальну ефективність мережі.
Існують різні підходи та інструменти для моделювання комп'ютерних
мереж:
Дискретне подієве моделювання. Цей підхід моделює мережу як
послідовність дискретних подій, таких як прибуття пакетів, обробка даних та
передача. Він широко використовується для аналізу продуктивності та затримок.
Системна динаміка. Цей підхід використовує диференціальні рівняння для
опису поведінки мережі в часі. Він часто застосовується для моделювання
довгострокових тенденцій та впливу різних факторів на мережеву
інфраструктуру.
Математичне моделювання. Цей підхід використовує аналітичні методи та
математичні формули для опису характеристик мережі. Він може бути корисним
для отримання точних результатів для невеликих та середніх мереж.
Програмні симулятори. Існує велика кількість комерційних та відкритих
програмних пакетів, які надають графічний інтерфейс та потужні інструменти для
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 56
а
моделювання комп'ютерних мереж. Прикладами є NS-3, OMNeT++,
CiscoPacketTracer, GNS3 тощо.
Тож використання моделювання комп'ютерних мереж є незамінним
інструментом для ефективного проектування, аналізу, оптимізації та управління
сучасними мережевими інфраструктурами. Його необхідність зумовлена
зростаючою складністю мереж, високою вартістю їх розгортання та експлуатації,
критичною важливістю продуктивності, постійними технологічними змінами та
потребою в оптимізації ресурсів. Використання методів та інструментів
моделювання дозволяє організаціям приймати обґрунтовані рішення, мінімізувати
ризики, підвищувати ефективність своїх мереж та залишатися
конкурентоздатними в цифровому світі.
І якщо проект не потребує складних рішень і має будуватися наприклад на
продуктах компанії Cisco, то CiscoPacketTracer та дає змогу перевірити основні
рішення для мереж, як дротових так і бездротових, отримати фактично вже готові
конфігурації для мережних пристроїв та перевірити вузькі місця в мережі на
відмовостійкість та пропускну здатність. На рисунку 4.4 показана спрощена
логічна топологія мережі з розподіленою бездротовою інфраструктурою.
Рисунок 4.4 – Схема розподіленої мережі організації
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 57
а
На цій топології не показано всі VLAN.У якості кінцевих пристроїв
бездротових клієнтів у філіалі 1 застосовано смартфон, а у філіалі 2 – планшетний
ПК, а відповідно до головному офісі – ноутбук. Така модель дасть змогу
перевірити роботу загальних каналів зв’язку, правильність роботи контролера та
точок доступу, авторизацію клієнтів, проте в даному емуляторі немає змоги
протестувати навантажувальну здатність бездротового сегменту мережі за
максимального під’єднання та передачі даних по мережі.
На схемі не показано, але в конфігурації передбачається організація
VPNканалу між офісом і філіалами (site-to-siteVPN) з використанням протоколу
IPsec. Це досить легко організовується за допомогою застосованих
маршрутизаторів.
При проектуванні будь-яких систем, в тому числі і комп’ютерних мереж
потрібно передбачати певний рівень відмовостійкості та резервування
компонентів системи. В даній мережі передбачається організація агрегації
логічних каналів типу Etherchanelяк мінімум з двох з’єднань між основними
пристроями мережі. Це маршрутизатори, комутатори 3 рівня (які до речі будуть
виконувати функції маршрутизації між VLAN)та контролер бездротової мережі.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 58
а
ВИСНОВКИ
Результати виконання кваліфікаційної роботи щодо проєктування
розподіленої бездротової мережі організації говорять про доцільність
використання саме такого методу побудови, при якому в разі недоступності
централізованого бездротового контролера авторизацію клієнтів можуть
проводити окремі точки доступу за допомогою технології FlexConnect.
Розроблена бездротова корпоративна мережа враховує всі найкращі
практики сьогодення та відповідає сучасним інженерно-технічним рішенням.
Також при проектуванні було закладено певний запас по розширюваності
мережі та можливість масштабування, якщо в цьому виникне необхідність.
Проєкт пропонує комплексне мережеве рішення – зі структурованою
кабельною системою, обраним обладнанням та готовими конфігураціями. Його
можна масштабувати для проєктування мереж у невеликих організаціях,
враховуючи специфіку їхньої діяльності.
В першому розділі проекту проведено критичний аналіз концепцій та
рішень для корпоративних мереж. Розглянуто основні характеристики,
ієрархічні моделі та засади забезпечення мережної безпеки.
В другому розділі було обґрунтовано постановку технічного завдання,
вибір технології побудови мережі, здійснено розробку технічних вимог до
проекту мережі з рекомендаціями можливих шляхів їх забезпечення. Третій
розділ присвячено розробці логічної топології мережі, застосуванням
технологій підвищення надійності та безпеки, розробці схеми ІР-адресації
сумісно із застосуванням технології NAT.
В четвертому розділі було вирішено задачі по розробці фізичної топології
корпоративної мережі, вибору мережного обладнання, проектуванню
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 59
а
структурованої кабельної системи та моделюванню роботи корпоративної
мережі, що дозволило отримати в цілому надійний та працездатний проект.
В цілому всі поставлені завдання вирішено та оформлено пояснювальну
записку відповідно ЕСКД, ЕСПД та ДСТУ з наведенням лістингів конфігурацій
пристроїв, схем прокладки трас та під’єднання обладнання.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 60
а
ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ
OSI – модель взаємодії відкритих систем.
ТСР/ІР – стек протоколів транспортного та мережного рівня.
IoT– інтернет речей.
WLAN– бездротова локальна мережа.
QAM – квадратурна амплітудна модуляція.
OFDMA – ортогональне частотне розділення каналів.
NAT – перетворення мережних адрес.
АР – точки доступу.
PoE – технологія передачі живлення через Ethernet.
CAPWAP – протокол контролю і розгортання бездротових точок доступу.
СКС – структурована кабельна система.
VPN – віртуальна приватна мережа.
Арк.
ЧДТУ.252405.001 ПЗ
Змн. Арк. № докум. Підпис Дат 61
а
ДОДАТОК А
«ЗАТВЕРДЖУЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор Віра БАБЕНКО
__________________
«___» ____________ 2025 року
Розподілена мережа організації стандарту ІЕЕЕ 802.11
Специфікація
482.ЧДТУ.52405-01
Листів 2
Розробник _____________ Євгеній МАХИНЯ
Керівник _____________ Ольга НЕЧИПОРЕНКО
Черкаси 2025
2
482.ЧДТУ.52405-01
Позначення Найменування Примітка
Документація
482.ЧДТУ.52405-01 12 01 Текст програми
ДОДАТОК Б
Розподілена мережа організації стандарту ІЕЕЕ 802.11
Текст програми
482.ЧДТУ.52405-01 12 01
Листів 3
Розробник _____________ Євгеній МАХИНЯ
Черкаси 2025
2
482.ЧДТУ.52405-01 12 01
Налаштування VPN на маршрутизаторі офісу
cryptoisakmppolicy 1
encr 3des
hash md5
authenticationpre-share
group 2
lifetime 86400
cryptoisakmpkeyfirewallcxaddress 0.0.0.0 0.0.0.0
ipaccess-listextended VPN1-TRAFFIC
permitip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
!
ipaccess-listextended VPN2-TRAFFIC
permitip 10.10.10.0 0.0.0.255 30.30.30.0 0.0.0.255
!
cryptoipsectransform-set TS esp-3des esp-md5-hmac
!
cryptomap VPN 1 ipsec-isakmpdynamichq-vpn
!
cryptodynamic-maphq-vpn 10
setsecurity-associationlifetimeseconds 86400
settransform-set TS
matchaddress VPN1-TRAFFIC
!
cryptodynamic-maphq-vpn 11
setsecurity-associationlifetimeseconds 86400
settransform-set TS
matchaddress VPN2-TRAFFIC
!
Interface GigabitEthernet0/0/1
cryptomap VPN
!ipnatinsidesourcelist 100 interface fastethernet0/1 overload
!
access-list 100 remark -=[Define NAT Service]=-
access-list 100 denyip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
access-list 100 denyip 10.10.10.0 0.0.0.255 30.30.30.0 0.0.0.255
access-list 100 permitip 10.10.10.0 0.0.0.255 any
access-list 100 remark
Налаштування VPN на маршрутизаторі філіалів
cryptoisakmppolicy 1
encr 3des
hash md5
authenticationpre-share
group 2
lifetime 86400
!
cryptoisakmpkeyfirewallcxaddress 74.200.90.5
!
3
482.ЧДТУ.52405-01 12 01
ipaccess-listextended VPN-TRAFFIC
permitip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
!
cryptoipsectransform-set TS esp-3des esp-md5-hmac
!
cryptomapvpn-to-hq 10 ipsec-isakmp
setpeer 74.200.90.5
settransform-set TS
matchaddress VPN-TRAFFIC
!
interface FastEthernet0/1
cryptomapvpn-to-hq
!
ipnatinsidesourcelist 100 interface fastethernet0/1 overload
!
access-list 100 remark -=[Define NAT Service]=-
access-list 100 denyip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 100 permitip 20.20.20.0 0.0.0.255 any
access-list 100 remark
cryptoisakmppolicy 1
encr 3des
hash md5
authenticationpre-share
group 2
lifetime 86400
!
cryptoisakmpkeyfirewallcxaddress 74.200.90.5
!
ipaccess-listextended VPN-TRAFFIC
permitip 30.30.30.0 0.0.0.255 10.10.10.0 0.0.0.255
!
cryptoipsectransform-set TS esp-3des esp-md5-hmac
!
cryptomapvpn-to-hq 10 ipsec-isakmp
setpeer 74.200.90.5
settransform-set TS
matchaddress VPN-TRAFFIC
!
interface FastEthernet0/1
cryptomapvpn-to-hq
!
ipnatinsidesourcelist 100 interface fastethernet0/1 overload
!
access-list 100 remark -=[Define NAT Service]=-
access-list 100 denyip 30.30.30.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 100 permitip 30.30.30.0 0.0.0.255 any
access-list 100 remark
ДОДАТОК В
Карти покриття сигналу
2,4 ГГц
5 ГГц

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Буров Є.В. Комп'ютерні мережі. Підручник. Том 1. / Є.В. Буров, М.М.
Митник. Львів: «Магнолія 2006», 2021. 334 с.
2. IEEE 802.11ax: The Sixth Generationof Wi-Fi. URL:
https://www.cisco.com/c/en/us/products/collateral/wireless/white-paper-c11-
740788.html(дата звернення 30.03.2025).
3. Tektronix. Wi-Fi: Overviewofthe 802.11
PhysicalLayerandTransmitterMeasurements.
URL:https://www.tek.com/en/documents/primer/wi-fi-overview-80211-physical-
layer-and-transmitter-measurements(дата звернення 03.03.2025).
4. AP Placementand Channel Plan Best Practices.
URL:https://www.watchguard.com/help/docs/help-center/en-US/Content/en-
US/Wi-Fi-Cloud/deploy/deployment_best-practices_device-channel.html(дата
звернення 03.03.2025).
5. Буров Є.В. Комп’ютерні мережі. Підручник. Том 2. / Є.В. Буров, М.М.
Митник. Львів: «Магнолія 2006», 2021. 204 с.
6. MatyjasJD., Kumar S., Hu F. Spectrumsharinginwirelessnetworks: Fairness,
efficiency, andsecurity. London: CRC Press, 2016. 749 p.
7. Організація комп’ютерних мереж. Підручник: для студ. спеціальності 121
«Інженерія програмного забезпечення» та 122 «Комп’ютерні науки» / КПІ
ім. Ігоря Сікорського; Ю. А. Тарнавський, І. М. Кузьменко. Київ: КПІ ім.
Ігоря Сікорського, 2018. 259 с.
8. Bruno A, Jordan S. CCNP EnterpriseDesign ENSLD 300-420 OfficialCertGuide:
DesigningCiscoEnterpriseNetworks. Hoboken: CiscoPress, 2021. 574 p.
9. CiscoWirelessControllerConfigurationGuide, Release 8.5. URL:
https://www.cisco.com/c/en/us/td/docs/wireless/controller/8-5/config-
guide/b_cg85/flexconnect.html(дата звернення 25.03.2025).
Арк.
ЧДТУ.240010.002 ПЗ
Змн. Арк. № докум. Підпис Дат 71
а
10.Sheehan J. CAPWAP Protocol: A CompleteGuide. December 8, 2024. URL:
https://synchronet.net/capwap-protocol/(дата звернення 15.03.2025).
11.Основи побудови локальних комп’ютерних мереж Ethernet на базі
керованих комутаторів компанії Cisco: навчальний посібник. / А.А.
Єфіменко. Житомир: Державний університет «Житомирська політехніка»,
2021. 116 с.
12.Тарнавський Ю. А., Кузьменко І. М. Організація комп’ютерних мереж / Ю.
А. Тарнавський, І. М. Кузьменко. Київ: КПІ ім. Ігоря Сікорського, 2018. 259
с.
13.Wendell O. CCNA 200-301 OfficialCertGuide. Volume 1. Hoboken: CiscoPress,
2020. 1095 p.
14.Комп’ютерні мережі. Частина 1-2: навч. посіб. для студ. спеціальності 121
«Інженерія програмного забезпечення» та 126 «Інформаційні системи та
технології»/ Б.Ю. Жураковський, І.О. Зенів. К.: КПІ ім. І. Сікорського, 2020.
336 с.
15.Комп’ютерні мережі [навчальний посібник] / А.І. Блозва, Ю.В. Матус, В.В.
Смолій, Б.С. Гусєв, Д.Ю. Касаткін, Т.Ю. Осипова, Я.А. Савицька // K.:
Компрінт, 2017. 821с.
16.Henry J., Barton R., Hucaby D. CCNP EnterpriseWirelessDesign ENWLSD 300-
425 andImplementation ENWLSI 300-430 OfficialCertGuide:
Designing&ImplementingCiscoEnterpriseWirelessNetworks. Hoboken:
CiscoPress, 2020. 942 p.
17.Технології захисту локальних мереж на основі обладнання CISCO: навч.
посіб. / Т.І. Коробейнікова, С.М. Захарченко; Нац. ун-т "Львів. політехніка".
Львів: Вид-во Львів. політехніки, 2021. 231 с.
18.Бобрікова І.С. Застосування технологій CIDR та VLSM для планування
адресної системи мережі / І.С. Бобрікова, Т.Н. Барабаш // Холодильна
техніка та технологія. 2018. Т. 54, вип. 1. С. 66-71.
Арк.
ЧДТУ.240010.002 ПЗ
Змн. Арк. № докум. Підпис Дат 72
а
19.IP Addressing: DHCP ConfigurationGuide, Cisco IOS XE Everest 16.6. SanJose:
CiscoPress, 2018. 266 p.
20.ДСТУ ISO.IEC TR 24704.2018 Інформаційні технології. Кабельні мережі в
приміщенні користувача для точок безпроводового доступу. Київ: Укр.НДНЦ. 14 с.
21.ДСТУ 3008-2015. Державний стандарт України. Документація. Звіти у сфері
науки і техніки. Структура і правила оформлення. К: УкрНДНЦ, 2016. 26 с.
Арк.
ЧДТУ.240010.002 ПЗ
Змн. Арк. № докум. Підпис Дат 73
а

ChSTU repository

ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets