Беспроводная компьютерная сеть ЛТФ (WiFi)

Общие сведения

В основном здании ЛТФ развёрнута беспроводная сеть (WiFi) для подключения настольных ПК и портативных устройств к сети Лаборатории. 30 точек доступа (ТД, или AP - Access Point) достаточно равномерно размещены по зданию, что обеспечивает хороший уровень сигнала практически в любом месте ЛТФ. Для уменьшения взаимных помех, близкорасположенные точки доступа работают на разных радиоканалах из набора 1,5,9 и 13. Каждая ТД использует полосу частот в 20 МГц, а все устройства вместе занимают полный диапазон шириной в 80 МГц, отведённый на частоте 2.4 ГГц для работы WiFi. По этой причине во избежание помех работе беспроводной сети ЛТФ, недопустимо использовать на той же территории не согласованные с сетевым администратором точки доступа или иные беспроводные устройства играющие аналогичную роль. Например, недопустима работа смартфонов, планшетов, ноутбуков, принтеров и МФУ в режиме точки доступа WiFi или прямого доступа "Wi-Fi Direct".

Беспроводная сеть ЛТФ поддерживает только стандарт связи 802.11n в диапазоне 2.4 ГГц и, дополнительно в наиболее востребованных местах, например, конференц-зале и аудиториях 2-го и 4-го этажей ещё в диапазоне 5 ГГц по стандартам 802.11n/ac . Расчитывать на скорости более 133-144 Мбит/сек в диапазоне 2.4 ГГц не приходится, так как точки доступа работают в полосе частот 20 МГц вместо максимальных 40 МГц, что связано с необходимостью одновременной работы большого числа ТД. В комнатах скорость соединения ещё меньше и, как правило, не превышает 65-72 Мбит/c, так как при удалении от точки доступа на несколько метров многолучевой приём становится невозможен. Тем не менее, вполне реально при работе через WiFi ЛТФ получить скорости загрузки файлов до 5 МБайт/с. В больших аудиториях (конференц-зал и аудиториях на 2-м и 4-м этажах) в частотном диапазоне 5 ГГц дополнительно доступны те же сети по стандарту 802.11 n/ac со значительно более высокой скоростью. В зависимости от уровня сигнала, в конкретном месте скорость передачи данных может быть значительно ниже максимально возможных для используемого оборудования. Характеристики ВАШЕГО WiFi оборудования, в том числе размер и количество приёмных антенн сетевого адаптера в ноутбуке/планшете/смартфоне и т.п., критически сказываются на качестве связи, поэтому на разных устройствах скорости соединения могут быть очень разными. В любом случае, практическая скорость передачи данных по беспроводной сети, даже в лучших условиях всегда существенно ниже номинальной скорости соединения из-за различных накладных расходов и взаимных помех от разных устройств. При одновременной работе нескольких устройств через одну точку доступа, время для передачи данных будет делиться между всеми активными клиентами (не обязательно поровну!). Поэтому, если вам требуется быстрая передача по сети большого объёма данных, выбирайте подключение к ПРОВОДНОЙ компьютерной сети!

Сеть из точек доступа в ЛТФ обеспечивает в большинстве мест хороший уровень сигнала от более, чем одной ТД. Сигналы ближайших точек доступа передаются на разных частотных каналах (1,5,9 и 13 в диапазоне 2.4 ГГц), но дополнительно на них накладываются более слабые сигналы от дальних, использующих те же самые каналы. Программное обеспечение (драйвер WiFi адаптера) самостоятельно выбирает наиболее качественный канал связи. Каждая точка доступа предлагает подключение к одной из двух сетей с индентификаторами (SSID) "BLTP-Radius" и "BLTP-Cap", отличающихся методом авторизации - с использованием Radius сервера (802.11x) или Captive Portal, соответственно. Выбор, к какой сети подключаться, остаётся за пользователем, а конкретная точка доступа выбирается автоматически драйвером WiFi адаптера. Все точки доступа поддерживают единообразный метод доступа, что даёт возможность мобильным клиентам перемещаться из зоны покрытия одной ТД в зону покрытия другой без существенных перерывов в связи (роуминг).

Доступ в беспроводную сеть регулируется отдельным сервером доступа (NAC-Network Access Controller) на базе бесплатного программного обеспечения "ZeroShell", представляющего собой Linux, специально настроенный на выполнение узкой задачи и обеспечивающий удобные средства настройки. Контроллер доступа работает на виртуальной машине на одном из серверов ЛТФ. Имя сервера доступа (NAC) - bltpzero.jinr.ru.

Получения пароля пользователя сети WiFi ЛТФ

Доступ в беспроводную сеть требует атрибутов доступа - имени и пароля. Имя пользователя используется то же самое, что для всех серверов ЛТФ, но с иным паролем. Автоматическая регистрация с внесением в базу данных пользователей WiFi и генерацией случайного пароля, при наличии действующей на серверах ЛТФ учётной записи, происходит при входе на страницу https://theor.jinr.ru/wifi/. Используйте для доступа к странице регистрации свои основные имя пользoвателя (login) и пароль. При успешном входе вы увидите ваши данные и автоматически сгенерированный WiFi пароль. Пароль прикрыт символами "*", и для того, чтобы увидеть текст наведите курсор мыши на серию этих символов. Вы можете повторно войти на страницу регистрации, например, если забудете пароль. Этот пароль в паре с вашим именем пользователя (login) предназначен ТОЛЬКО для доступа к беспроводным сетям ЛТФ с именами "BLTP-Radius" и "BLTP-Cap".

Портативные компьютеры общего пользования подключаются к сети "BLTP-Radius" с использованием сертификата, установленного сетевым администратором, и не требуют индивидуальных пользовательских атрибутов.

Регистрация оборудования

Все устройства, подключаемые к сети ЛТФ, должны быть зарегистрированы у сетевого администратора Лаборатории. Если вы собираетесь подключать к компьютерной сети ваш ноутбук, планшет, смартфон и др., то обязательно сообщите сетевому (системному) администратору ЛТФ тип устройства и его сетевой адрес MAC. Если вы затрудняетесь самостоятельно определить MAC адрес сетевого адаптера вашего устройства, то, после подключения к беспроводной сети ЛТФ, зайдите на страницу IP/MAC Info.

Подключение к сети "BLTP-Radius"

Основной беспроводной сетью ЛТФ является сеть с идентификатором (SSID) "BLTP-Radius". Эта сеть использует шифрование и, таким образом, осуществляет защиту от перехвата данных, передаваемых по радиоканалу. Сеть предоставляет полный набор сервисов без ограничений так же, как при подключении к проводному Ethernet. Необходимый для подключения пароль сотрудники ЛТФ и визитёры с действительным аккаунтом на серверах ЛТФ могут получить самостоятельно, как написано выше. Визитёры без аккаунта могут получить пароль доступа к WiFi сети обративщись к системному администратору ЛТФ.

ОБЯЗАТЕЛЬНЫМ шагом является установка сертификата локального центра сертификации - ЦС ( or Certificate authority - CA) с именем BLTP ZS WiFi. Этот сертификат доступен для скачивания при подключении к сети "BLTP-Guest" даже до регистрации и находится по ссылке: CA.der . Сохраните файл CA.der. Откройте сохранённый файл двойным щелчком по кнопке мыши и выберите "Установить сертификат". Выберите хранилище "Доверенные корневые центры сертификации". См. иллюстрации процесса.

Windows 7 автоматически настраивает параметры доступа к сетям, использующим авторизацию через Radius сервер (WPA-Enterprise) - достаточно пощёлкать на иконке сети в списке доступных.

Несмотря на предупреждение, следует нажать "Подключиться", так как это сообщение связано с тем, что ваш ПК пока "не знаком" ни с "bltpzero.jinr.ru" ни с нашим локальным центром сертификации (ЦС) "BLTP ZS WiFi". Обычно процедура завершается успехом. Если произошёл отказ, то следует ознакомиться со свойствами автоматически созданного профиля сети "BLTP-Radius". В крайнем случае, если профиль не создан его можно создать вручную. Настройки см. на странице.

Мобильные устройства, например, работающие под ОС "Android", настраиваются, как правило, без затруднений, достаточно ввести "логин" и пароль WiFi.

Подключение к сети "BLTP-Cap"

Сеть "BLTP-Cap" (Captive Portal) предоставляет упрощённый вариант авторизации в тех случаях, когда, по каким-либо причинам, устройство невозможно настроить для работы с "BLTP-Radius". Сеть "BLTP-Cap" не использует шифрование трафика и, потому, не обеспечивает защиту от перехвата информации, передаваемой по радиоканалу. НЕ РЕКОМЕНДУЕТСЯ использовать эту сеть без необходимости. По причине незащищённости в сети заблокировано использование сервисов, передающих пароли открытым текстом, а именно Telnet, FTP, IMAP, POP3 .

Авторизация в сети "BLTP-Cap" происходит после подключения, причём при самом подключении к WiFi сети не требуется ни ключа доступа, ни пароля. Однако до авторизации закрыт доступ в Интернет и в локальную сеть (о специальных исключениях см. ниже) Аутентификация и авторизация пользователя происходят при первой попытке открыть в браузере какую-либо веб-страницу. Сервер доступа (NAC) перехватывает запрос страницы и перенаправляет на страницу авторизации, где нужно ввести ваш стандартный "логин" и пароль для WiFi. Эта технология называется "Captive Portal" - отсюда название сети "BLTP-Cap".

После удачной авторизации браузер автоматически перенаправляется на ту страницу, адрес которой был введён. А дополнительно появляется небольшое окно "Network Access" с информацией о соединении и кнопкой для разъединения. Эту маленькую страничку нельзя закрывать, если вы хотите пользоваться соединением! Через неё с периодом в 15 минут происходит автоматическое подтверждение, что данный компьютер продолжает пользоваться беспроводной связью. До момента успешной авторизации выход с ПК в сеть закрыт для всех сервисов! Исключение сделано для DNS на локальные серверы и HTTPS соединения с THEOR и BLTPZERO, что даёт возможность зайти на страницу регистрации для получения WiFi пароля и сертификата.

Гостевая сеть "BLTP-Guest"

Гостевая беспроводная сеть ЛТФ с именем "BLTP-Guest" работает только в больших аудиториях (конференц-зале, аудиториях 2-го и 4-го этажей, буфете и ДИАС-холле). Трафик в этой сети не защищён и потому сеть "BLTP-Guest" НЕ РЕКОМЕНДУЕТСЯ для работы тем, кто имеет право получить атрибуты доступа к защищённой сети "BLTP-Radius". Соответственно низкому уровню безопасности для сети установлено максимальное количество ограничений. Например, заблокировано использование сервисов, передающих пароли открытым текстом, а именно Telnet, FTP, IMAP, POP3, отсутствует доступ к серверу TFS, а также нельзя отправлять электронную почту через простой протокол SMTP. Возможно отключение этой сети в нерабочее время и в отсутствии мероприятий в аудиториях.

Источники информации

• Просмотр сертификатов и управление ими в Windows
• The set of standards IEEE 802.11
• IEEE 802.11n-2009
• WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети
• THG.RU: Беспроводные маршрутизаторы 802.11n: тест двенадцати моделей
• THG.RU: Почему Wi-Fi плохо работает и как это исправить. Часть 1
• THG.RU: Почему Wi-Fi плохо работает и как это исправить. Часть 2
• Беспроводные маршрутизаторы 802.11n: тест двенадцати моделей
• Set up Secure Wireless With Zeroshell Linux (part 2)
• Используем систему ZeroShell для превращения старого компьютера в многоцелевой сетевой сервер (часть 1)
• Настраиваем безопасную беспроводную сеть с помощью системы Zeroshell Linux (часть 2)
• Channel Deployment Issues for 2.4-GHz 802.11 WLANs
• Spanning Tree Protocol in a Wireless Environment
• PEAP Authentication - Configuration example for Windows XP
• 5 Free RADIUS Testing and Monitoring Tools
• 802.1X Port-Based Authentication HOWTO
• Choosing the clearest channels for WiFi
• Online version of 802.11ac: A Survival Guide - Chapter 1. Introduction to 802.11ac
• Online version of 802.11ac: A Survival Guide - Chapter 2. The PHY
• THE NEED FOR SPEED: Rate My Wi-Fi

Компьютерная группа ЛТФ

12  апреля 2013 г.

Дата обновления: 2022-08-25 17:01:11