Professional Documents
Culture Documents
MẠNG KHÔNG DÂY - THANH HẬU
MẠNG KHÔNG DÂY - THANH HẬU
WWAN
< 15 km
GSM , CDMA , 3 G UMTS
WMAN
< 5 km
WiMAX
WLAN
< 150 m
Wifi , HiperLAN
WPAN
< 10 m
Bluetooth , RFID , Zigbee
1.3. Những công nghệ và giao thức sử dụng trong mạng không dây
1.3.1. Những công nghệ sử dụng trong mạng không dây
Công nghệ Bluetooth: Bluetooth là chuẩn 802.15.1 mạng WPAN, chuẩn kết
nối không dây tầm ngắn, thiết kế cho các kết nối thiết bị cá nhân hay mạng cục bộ
nhỏ, trong phạm vi băng tần chung ISM (Industrial, Scientific, Medical) 2.4 - 2.485
GHz.
Năm 1994, hãng Ericsson đề xuất việc nghiên cứu và phát triển giao diện vô
tuyến công suất nhỏ, chi phí thấp, sử dụng sóng vô tuyến để kết nối không dây giữa
các thiết bị di động với nhau và các thiết bị điện tử khác, tổ chức SIG (Special
Interest Group) đã chính thức giới thiệu phiên bản 1.0 của Bluetooth vào tháng 7
năm 1999.
Bluetooth hỗ trợ tốc độ truyền tải dữ liệu lên tới 720Kbps trong phạm vi 10m
đến 100m và có thể đạt được tốc độ truyền dữ liệu 1Mbps. Bluetooth sử dụng
phương pháp trải phổ nhảy tần FHSS (Frequency Hopping Spread Spectrum), được
thiết kế hoạt động trên 79 tần số khác nhau, nó thường thực hiện 1600 bước nhảy
trong một giây, khi AFH (Adaptive Frequency Hopping) được kích hoạt. Một thiết bị
Bluetooth tổng thể có thể giao tiếp với tối đa là 7 thiết bị trong một Piconet (một
mạng Ad-hoc sử dụng công nghệ Bluetooth).
Về tầm phủ sóng, bluetooth có 3 lớp (class): class 1 có công suất 100mW với
tầm phủ sóng gần 100m; class 2 có công suất 2,5mW, tầm phủ sóng khoảng 10m; và
class 3 là 1mW với tầm phủ sóng khoảng 5m. Bluetooth có nhiều giao thức hoạt
động khác nhau. A2DP (Advanced Audio Distribution Profile) là cơ chế truyền dẫn
âm thanh stereo qua sóng bluetooth tới các tai nghe, loa;
FTP (File Transfer Protocol) là cơ chế chuyển đổi dữ liệu qua kết nối
bluetooth giữa các thiết bị FTS (File Transfer Services); hay OBEX (OBject
EXchange), được phát triển bởi chính nhà mạng Verizon, cho phép xóa dữ liệu thông
qua bluetooth.
Bluetooth đã trải qua khoảng 7 phiên bản chính. Ngoài phiên bản 2.1 là phiên
bản đầu tiên hỗ trợ kết nối nhiều thiết bị cùng lúc, hiện nay trên thị trường chủ yếu
tồn tại các biến thể của hai phiên bản mới nhất là 3.0 và 4.0.
Bluetooth 3.1 hay Bluetooth 3.0 + HS (High Speed) được giới thiệu vào năm
2009 cho phép truyền tải dữ liệu với tốc độ lên tới 24Mbps. Ngày 30/6/2010,
Bluetooth SIG đã đưa ra Bluetooth phiên bản 4.0 là sự kết hợp của “classic
Bluetooth” (Bluetooth 2.1 và 3.0), “Bluetooth high speed” (Bluetooth 3.0 +HS) và
“Bluetooth low energy” (Bluetooth Smart Ready/Bluetooth Smart).
Th i ế t b ị
Th ẻ RFID H ạ t ầ ng Tích h ợ p
đ ọ c th ẻ
Máy ch ủ
Adapter Card: Dùng cho máy tính để bàn sử dụng khe cắm PCI, ISA, EISA.
Hình 2.5: Adapter Card TP-Link
Card lắp rời bên ngoài, thông thường loại này kết nối với máy tính thông qua
cổng USB, COM, Parallel…
Mục ATM PVC Configuration ta điền thông số VPI và VCI đúng với nhà
cung cấp dịch vụ dựa vào bảng 3.2, sau đó nhấn Next để tiếp tục.
Ở phần Connection Type ta chọn kiểu kết nối là PPP over Ethernet(PPPoE)
xem bảng 3.2 để biết kiểu kết nối của các nhà mạng. Nhấn Next để tiếp tục.
Phần PPP Username và PPP Password ta điền thông tin tài khoản và mật khẩu
do nhà cung cấp dịch vụ cung cấp. Nhấn Next để tiếp tục.
Bước tiếp theo ta tích vào ô Enable WAN Service sau đó nhấn Next để tiếp
tục.
Cuối cùng sẽ hiện ra bảng có hiển thị kết nối các thông số thiết lập của router,
ta kiểm tra lại sau đó nhấn Save và khởi động lại router theo mặc định địa chỉ IP
mạng LAN sẽ được cấp từ 192.168.1.2 đến 192.168.1.254.
Cài đặt hoàn tất.
Quản lý và bảo mật router
Chặn các URL không mong muốn thông qua router với chức năng Url Filter.
Với chức năng này giúp quản lý và tránh sự truy cập đến các trang web có nội
dung không lành mạnh, cũng như các trang web có chứa mã độc có thể gây mất an
toàn cho hệ thống mạng nội bộ. Để sử dụng chức năng này ta làm như sau:
Từ menu chính ta chọn Advanced Setup à Security à Parental Control à Url
Filter.
Ta có thể lựa chọn một trong hai kiểu lọc URL, một là chỉ cho phép truy cập
đến các URL nằm trong danh sách, hai là chặn các URL nào nằm trong danh sách. Ở
đây ta chọn Exclude để chặn các URL không muốn khách hàng truy cập đến. Sau đó
chọn Add để bắt đầu thêm các danh sách URL vào bộ lọc sau đó nhấn Save/Apply.
Ở đây Router chỉ cho phép lọc tối đa 100 URL, tuỳ theo từng loại Router mà số
lượng cần lọc sẽ khác nhau.
Mặc định của router sẽ chọn cổng web là 80, ta có thể chặn thêm cổng 443 đối
với các trang web sử dụng cách duyệt web an toàn.
Hình minh hoạ khi ta thêm các danh sách URL vào bộ lọc. Sau khi hoàn tất
quá trình ta tiếp tục nhấn save/Reboot để chức năng bộ lọc URL được hoạt động.
Để tránh sự truy cập trái phép cũng như sự tò mò của người sử dụng đến
router ta cần phải thay đổi thông tin của router để tránh mất an toàn hệ thống. Từ
màn hình giao diện ta làm theo các bước sau: Chọn menu Management à Access
Control à Passwords sau đó lần lượt chọn các Username là: admin, support, user
nhập lại mật khẩu cũ ở mục Old Password đối với mật khẩu thiết lập ban đầu thường
được đặt theo tên của các Username, tiếp theo ta nhập mật khẩu mới và xác nhận lại
mật khẩu mới ở New Password và Confirm Password sau đó chọn Save/Apply.
1.
2.
3.
3.1.
3.2.
3.3.
3.4.
3.4.1.
3.4.2. Cài đặt Access Point TP-Link TL-WR740N
Lắp đặt AP
Việc thực hiện lắp đặt thiết bị AP tương tự như router, để lắp đặt AP ta thực
hiện các bước sau: Dùng 1 sợi cáp mạng cắm từ máy tính đến AP ở cổng LAN và
cắm 1 sợi cáp mạng từ cổng LAN của router đến cổng WAN của AP sau đó cắm
nguồn và khởi động AP bắt đầu thiết lập.
Thiết lập AP : Từ trình duyệt web gõ: http://192.168.0.1
Để thiết lập kết nối từ AP đến Router ta chọn Menu Network à WAN.
Tại mục WAN Connection Type chọn Static
IP ở đây có 2 cách để cài đặt:
Một là: dùng chế độ tự động phát hiện ip và thiết lập thông số của AP, để sử
dụng chế độ này ta vào nút Detect lúc này AP sẽ tự động dò để cập nhật cấu hình từ
Router cấp.
Hai là: cài đặt bằng tay bằng cách nhập các thông số như bên dưới.
IP Address: 192.168.1.2
Subnet Mask: 255.255.255.0
Default gateway: 192.168.1.1 MTU Size: 1500 Primary DNS: 8.8.8.8 Secondary
DNS: 8.8.4.4
Sau đó nhấn Save để lưu các thông số đã cài đặt.
Cài đặt địa chỉ IP trong mạng LAN: Ta làm theo các bước từ Menu. Đầu tiên
chọn Network LAN sau đó đặt địa chỉ IP truy cập AP là 192.168.0.1.
Đặt Wireless
Ta làm theo các bước sau từ menu Wrireless à Wrireless Settings.
Ở mục Wrireless Network Name ta đặt tên là: cafe_vuon
Region: Viet Nam
Chanel: 4
Tích vào hai ô Enable Wireless Router Radio và Enable SSID Broadcast
sau đó lưu lại và khởi động AP sau khi khởi động xong các thiết bị không dây sẽ thấy
tên Wireless.
Đặt mật khẩu cho thiết bị Wireless
Tại menu DHCP ta chọn DHCP Settings ở mục DHCP Server chọn Enable.
Start IP Address và End IP Address ta chọn địa chỉ ip muốn bắt đầu là
192.168.0.10 và kết thúc 192.168.0.254 địa chỉ ip từ 192.168.0.2 đến 192.168.0.9 sẽ
dùng để mở rộng mạng WLAN khi cần thiết.
Ở mục Default Gateway: ta nhập 192.168.0.1.
Mục DNS và Secondary DNS ta lần lượt nhập là 8.8.8.8 và 8.8.4.4.
Sau đó lưu và khởi động lại AP.
Đặt WDS cho các AP còn lại
Đầu tiên ta thực hiện các thiết lập cơ bản gồm nối cáp từ cổng LAN của AP 2
sang cổng LAN của máy tính. Sau đó thực hiện các cài đặt đổi địa chỉ IP cho AP từ
192.168.0.2 đến 192.168.0.5 cho từng AP 2 3 4 5. Lúc này các AP trong trạng thái
độc lập và không liên kết gì với nhau, từ trình duyêt web ta gõ 192.168.0.1 để truy
cập vào AP 2.
Tại menu Network ta chọn LAN đến cài đặt địa chỉ IP truy cập AP 2 là
192.168.0.2 sau đó lưu và khởi động lại AP 2 (đối với các AP còn lại tương tự).
Sau khi đã khởi động xong ta gõ địa chỉ IP của AP 2 vừa đặt lại là 192.168.0.2
để tiếp tục cài đặt WDS.
Từ menu Wireless ta chọn Wireless Settings, mục Wireless Network Name: ta
đặt tên là cafe_vuon để trùng với AP ban đầu tác dụng của phần này tương tự việc
roaming. Khi người dùng di chuyển xa khỏi vị trí AP gốc thì thiết bị sẽ tự động chuyển
sang AP gần nhất để giúp cho việc kết nối không bị ngắt quãng.
Region chọn Viet Nam
Phần Channel ta đặt số 4 dựa trên AP ban đầu, tác dụng phần này giúp cho các
thiết bị kết nối nối sẽ không bị đổi kênh gây ra việc mất roaming giữa thiết bị với AP.
Các mục còn lại giữ nguyên.
Tiếp theo ta tích chọn vào Enable WDS Bridging để bắt đầu thực hiện kết nối
WDS với AP gốc.
Phần này có 2 cách cài đặt một là: nhập các thông số bằng tay vào các ô SSID
BSSID Password trong đó SSID là tên của AP gốc cafe_vuon và BSSID là địa chỉ
LAN MAC của AP gốc mục password đặt trùng với password của AP gốc, phần này
có tác dụng xác nhận kết nối WDS.
Cách hai là sử dụng chế độ tự phát hiện AP
Bằng cách nhấn vào nút Survey và đợi trong vài giây để AP tìm và trả về các kết
quả, ta xác định AP gốc bằng tên của AP đó và địa chỉ LAN MAC sau đó nhấn
connect để đưa vào ô cài đặt
0
Sau khi nhấn connect các thông số sẽ được tự động điền vào mục SSID và
BSSID ở mục key type: ta chọn kiểu WPA – PSK/WPA2 – PSK
Phần Password ta điền là cafevuon để giúp cho việc WDS đến AP gốc được xác
nhận.
Tiếp theo ta tắt chế độ cấp DHCP cho AP này vì AP gốc đã bật DHCP nên ta
phải tắt để tránh tình trạng cấp trùng IP giữa các AP gây ra rớt mạng.
Từ menu của AP 2 ta chọn DHCP đến DHCP Settings ở phần này ta chọn
Disable sau đó tiếp tục đặt lại mật khẩu truy cập cho AP hiện tại là cafevuon và thay
đổi thông tin user đăng nhập (tương tự việc thay đổi mật khẩu của AP gốc). Sau đó lưu
và khởi động lại AP 2 lúc này ta sẽ thấy được trạng thái thông báo WDS của AP ở
menu Static là Run.
1
Cài đặt thành công.
* Ghi chú: Việc cài đặt WDS cho các AP còn lại sẽ diễn ra giống AP 2.
Quản lý truy cập thông qua MAC: Hiện nay hầu hết các thiết bị AP đều hỗ trợ
truy cập thông qua địa chỉ MAC của thiết bị truy cập, việc này giúp tránh được các
truy cập trái phép hoặc tấn công hệ thống mạng nội bộ. Các thiết bị AP luôn được
update software thường xuyển để tránh các vấn đề trên.
Để sử dụng chức năng này, từ trình duyệt web ta gõ 192.168.0.1 để truy cập AP
gốc ta chọn menu Wireless đến Wireless MAC Filtering và Chọn Enabled để khởi
động chức năng quản lý này, ở đây sản phẩm TP-Link có hỗ trợ kiểu lọc địa chỉ MAC
cho phép hai kiểu truy cập khác nhau:
Một là: Các user có tên trong danh sách sẽ được chấp nhận cho truy cập các user
khác không được truy cập
Hai là: Các user có trong danh sách sẽ bị cấm truy cập, các user không nằm
trong danh sách sẽ được truy cập.
2
Thêm một bảng ghi vào danh sách lọc MAC ta chọn Add New…
Sau đó nhập địa chỉ MAC cần quản lý vào ô MAC Address mục Descripton ta
nhập thông tin mô tả chẳng hạn như người này dùng “trái phép” và lưu lại. Để gỡ bỏ
hay chặn địa chỉ MAC cho 1 thiết bị đã có sẵn ở mục Status ta chọn Enabled hoặc
Disabled.
Để xác định được thiết bị nào đang kết nối đến AP ta có thể xem phần Wireless
Statistics để biết được địa chỉ MAC và tên thiết bị. Việc quản lý địa chỉ MAC cần
được thực hiện trùng khớp nhau trên các AP còn lại.
Quản lý băng thông: Việc quản lý băng thông giúp cho hệ thống tránh được vấn
đề ngẽn mạng internet, giúp hệ thống hoạt động ổn định tránh quá tải.
Từ mục quản lý AP gốc ta bắt đầu chọn mục Bandwidth Control à Control
Settings tích vào Enable Bandwidth Control để khởi động chức năng này và nhập
các thông số hiện tại của gói cước internet đăng ký với nhà mạng.
3
Để quản lý toàn bộ băng thông ta tích vào ô Enable sau đó chọn dãy IP cần
quản lý băng thông từ 192.168.0.6 đến 192.168.0.254. Port Range đặc theo chế độ mặc
định là 1 đến 65535 để quản lý tất cả cổng.
Protocol chọn ALL.
Cài đặt tốc độ tối thiểu và tối đa cho dãy IP thông số ở đây là: Tốc độ tải lên tối
thiểu và tối đa là là 512Kbps/1Mbps. Tốc độ tải xuống tối thiểu và tối đa là
1Mbps/3.6Mbps
Việc quản lý hoàn tất khởi động lại AP gốc và tất cả các AP còn lại.
4
Thay đổi thông tin login AP
Từ trang quản lý của các AP ta tìm đến menu System Tools à Password.
Tại phần này ta nhập tên user hiện tại là “admin” và mật khẩu là “admin” sau đó
nhập lại tên đăng nhập mới, nên đặt là “admin” cho dễ nhớ và mật khẩu đăng nhập
mới có độ dài tối đa là 14 ký tự, không gồm ký tự trắng. Cuối cùng Save và khởi động
lại AP.
3.4.2. Đánh giá về khả năng ứng dụng
Hệ thống mạng được triển khai nhanh ít tốn kém với chi phí thấp nhất mà vẫn
đảm bảo được chất lượng tốt nhất giá thành mỗi thiết bị.
Với khả năng xuyên tường tốt cũng như hạn chế được độ nhiễu sóng từ các thiết
bị khác nên người sử dụng có thể truy cập internet ở bất kỳ nơi nào trong phạm vi
quán cafe. Mô hình mạng được thiết kế dưới dạng hình sao đảm bảo khả năng mở rộng
cao, có tính ổn định cao ít gặp sự cố ngẽn mạng. Ngoài ra, hệ thống có thể kết hợp với
mạng LAN.
Với các thiết bị được sử dụng sản phẩm của TP-Link, một trong những nhà
cung cấp thiết bị WLAN số 1 thế giới nên chất lượng dịch vụ trong các sản phẩm cao,
thiết bị có nhiều tính năng quản lý tốt như công nghệ bảo mật WPA/WPA2 các bảng
update software được cập nhật thường xuyên trên trang chủ nhằm mang lại sự an toàn
cho doanh nghiệp. Giá cả thiết bị phù hợp với túi tiền người dùng, độ bền cao đi kèm
với đó là tốc độ được cải thiện hơn.
5
PHẦN IV: CÁC ĐIỂM TRUY CẬP
4.1. Các điểm truy cập
4.1.1. Các chế độ của điểm truy cập
4.1.2. Chế độ gốc (Root Mode)
Các chế độ hoạt động của AP: AP có ba chế độ hoạt động chính.
Chế độ gốc (root mode): Root mode được sử dụng khi AP kết nối với mạng
backbone có dây thông qua giao diện có dây (thường là Ethernet) của nó. Hầu hết các
AP đều hoạt động ở chế độ mặc định là root mode.
6
4.1.4. Chế độ cầu nối (Brigde Mode)
Chế độ cầu nối(bridge mode): Trong bridge mode, AP hoạt động hoàn toàn như
cầu mối không dây. Với chế độ này, máy khách (client) sẽ không kết nối trực tiếp với
AP, nhưng thay vào đó, AP dùng để nối hai hay nhiều đoạn mạng có dây lại với nhau.
Hiện nay, hầu hết các thiết bị AP đều hỗ trợ chế độ bridge.
7
Nhóm giải pháp về quy hoạch, thiết kế: Thiết kế, quy hoạch một hệ thống
mạng lớn không đơn thuần là phát triển thêm các thiết bị hỗ trợ người dùng mà phải
dựa trên mô hình chuẩn đã và đang áp dụng cho các hệ thống mạng tiên tiến tại các cơ
quan, doanh nghiệp phát triển trên thế giới, đó chính là mô hình định hướng kiến trúc
dịch vụ SOA (Service Oriented Architecture – Kiến trúc hướng dịch vụ). Thiết kế cơ
sở hạ tầng theo mô hình SOA. Kiến trúc SOA gồm 3 lớp:
Lớp cơ sở hạ tầng mạng – Networked infrasstructure layer: Là lớp mạng liên
kết các khối chức năng theo kiến trúc phân tầng, có trật tự.
Lớp dịch vụ tương tác – Interactive services layer: Bao gồm sự kết hợp một số
kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng có
thể sử dụng trên mạng internet.
Lớp ứng dụng – Application layer: Bao gồm các loại ứng dụng cộng tác và
nghiệp vụ. Các ứng dụng này kết hơhp với các dịch vụ tương tác cung cấp ở lớp dưới
sẽ giúp triển khai nhanh và hiệu quả.
Hình 4.5: Sơ đồ thiết kế hệ thống mạng SOA theo các khu vực tầng
Phương thức thiết kế phân lớp Thứ bậc – Hierarchical: Là một mạng
gogofm nhiều mạng LAN trong một hoặc nhiều toà nhà, tất cả các kết nối thường nằm
trong một khu vực vật lý. Thông thường các Campus gồm có Ethernet, Wireless LAN,
Gigabit Ethernet, FDD. Được thiết kế theo các tầng, khu vực khác nhau, trên mỗi tầng,
mỗi khu vực được triển khai các thiết bị, các chích sách mạng tương ứng.
8
Mô hình triển khai dịch vụ và quản lý người dùng: Mô hình này được triển
khai trên cơ sở hạ tầng đã thiết kế là yếu tố quyết định đến hiệu năng hoạt động và
cách thức quản lý hệ thống.
Phần quyền truy cập vào các tài nguyên dùng chung trên mạng.
Triển khai cấu hình các phần mềm, dịch vụ tự động cho các máy khách, người
dùng nhanh chóng.
Triển khai một chích sách bảo mật cho toàn đơn vị một cách dễ dàng, thống
nhất, tập trung.
Dễ dàng giám sát an ninh, bảo mật, logging,…
Phân hoạch VLAN (LAN ảo): Thực trạng hệ thống mạng ở một số doanh
nghiệp nay được phân chia thành các khu vực, chưa kiểm soát được lưu lượng
dowload và upload cũng như băng thông truy xuất Internet của người dùng. Mô hình
mạng như vậy là một miền quảng bá, mỗi gói tin kiểu quảng bá thì ở bất kỳ máy nào
cũng có thể tới được tất cả các máy tính khác trong mạng nên có những vấn đề sau;
Về băng thông: Toàn doanh nghiệp là một vùng quảng bá rất lớn, số máy tính,
số người dùng sẽ tăng lên khi đơn vị phát triển thêm các khu vực khác. Do vậy băng
thông, hiệu năng của toàn mạng sẽ giảm, thậm chí thường gây tắc nghẽn.
Về bảo mật: Việc kiểm soát bảo mật gặp rất nhiều khó khăn khi hệ thống trải
rộng khắp toàn cơ quan, doanh nghiệp.
Để giải quyết vấn đè trên ta cần đưa ra giải pháp chia mạng thành nhiều mạng
LAN ảo. VLAN được định nghĩa là một nhsom logic các thiết bị msjng và được thiết
lập dựa trên các yếu tố chức năng, bộ phận ứng dụng của tổ chức. Việc chia VLAN
thành các phần khác nhau giúp khả năng bảo mật, quản lý và hiệu năng đạt kết quả cao
nhất.
Hình 4.6: Minh hoạ về nhiều VLAN khác nhau ở một trường học
Ví dụ: Tất cả các máy tính thuộc các phòng thực hành, thí nghiệm trong toàn
trường thì thuộc vlan01; các phòng ban thuộc vlan02, các wireless thuộc vlan03 v.v.
Các VLAN đó mặc định sẽ không liên lạc được với nhau. Khi muốn có sự liên lạc giữa
9
các VLAN với nhau ta tiến hành cấu hình trên thiết bị định tuyến router và kiểm soát
băng thông giữa các Vlan (như hình 4.6).
Nhóm giải pháp về hệ thống ngăn chặn, phát hiện tấn công: Hệ thống tường
lửa đa tầng: Hệ thống tường lửa là hệ thống kiểm soát truy nhập giữa mjang Internet
và mạng nội bộ. Tường lửa có 2 loại: Phần cứng và phần mềm. Phần cứng có hiệu
năng ổn định, không phụ thuộc vào hệ điều hành, virus, mã đọc, ngăn chặn tốt giao
thức ở tầng mạng trong mô hình tham chiếu TCP/IP. Phầm mềm rất linh hoạt trong
những cấu hình ở giao thức tầng ứng dụng trong mô hình TCP/IP.
11
xuất hiện trên đường phố, từ các trạm phát từ các mạng LAN này và như vật ai đó có
thể truy cập nhờ thiết bị thích hợp.
Do đó mạng không dây của một công ty cũng có thể bị truy cập từ bên ngoài
tòa nhà công ty của họ. Giải pháp ở đây là phải làm sao để có được bảo mật cho mạng
này chống được việc truy cập theo kiểu này.Chọn một giải pháp bảo mật mà thích hợp
với nhu cầu và ngân sách của công ty, cả cho hiện tại và mai sau. WLAN phổ biến có
ích đến mức là một phần chắc chắn vì chúng có thể bổ sung thoải mái. Điều đó có
nghĩa là WLAN đã bắt đầu bằng một AP và 5 máy khách rồi phát triển tới 15 AP và
300 máy khách. Những kỹ thuật bảo mật giống nhau làm việc chỉ tốt cho một AP sẽ
không thể chấp nhận được, hoặc khi bảo mật, cho 300 người dùng. Một tổ chức có thể
sẽ tổn nhiều tiền cho các giải pháp bảo mật khi mà chúng phát triển nhanh chóng như
là WLAN. Trong nhiều trường hợp, những tổ chức đã thật sự có sự bảo mật như là
kiểm tra sự xâm nhập hệ thống, tường lửa và máy chủ RADIUS.
4.2.3. Sử dụng thêm các công cụ bảo mật
Nắm được sự thuận lợi của các công nghệ, như là VPN, tưởng lửa, IDS
(Intrustion Detection Systems - Hệ thống phát hiện xâm nhập), những chuẩn và giao
thức như là 802.1x và chứng thức máy khách với radius (bán kính) có thể giúp tạo nên
các giải pháp bảo vệ cao và xa hơn chuẩn 802.11 yêu cầu.
WPA (Wifi Protected Access - Truy cập Wifi được bảo vệ) là phương thức
được Liên minh Wifi đưa ra để thay thế WEP trước những nhược điểm không thể khắc
phục của chuẩn cũ WPA được áp dụng chính thức vào năm 2003, một năm trước khi
WEP bị loại bỏ. Phiên bản phổ biến nhất của WPA là WPA-PSK (Pre-Shared Key).
Các ký tự được sử dụng bởi WPA là loại 256 bit, tân tiến hơn rất nhiều so với ký tự 64
bit và 128 bit có trong hệ thống WEP.
Một trong những thay đổi lớn lao được tích hợp vào WPA bao gồm khả năng
kiểm tra tính toàn vẹn của gói tin (message integrity check) để xem liệu hacker có thu
thập hay thay đổi gói tin truyền qua lại giữa điểm truy cập và thiết bị dùng Wifi hay
không. Ngoài ra còn có giao thức khóa toàn vẹn thời gian (Temporal Key Integrity
Protocol – TKIP). TKIP sử dụng hệ thống ký tự cho từng gói, an toàn hơn rất nhiều so
với ký tự tĩnh của WEP. Sau này, TRIP bị thay thế bởi Advanced Encyption Standard
(AES).
Cập nhật, nâng cấp Firmware: Khi chọn dùng Modem, Router thì các chúng
ta tuyệt đổi không nên bỏ qua bước này. Đó là kiểm tra và cập nhật Firmware - phần
mềm điều khiển lên phiên bản ổn định mới nhất. Cách tốt nhất là kiểm tra trực tiếp
trên trang chủ của những nhà cung cấp thiết bị lớn, có danh tiếng trên thế giới.
12
Chọn tên Wifi linh hoạt: Khi thiết lập, cấu hình Wifi, chắc chắn các chúng ta
phải đối tên Wifi - SSID (đầy đủ là Service Set Identifier) mặc định rồi. Nếu chúng ta
lười, vẫn giữ nguyên cãi tên mặc định (thường có dạng như tplink-wireless, linksys-
Wifi,...) và đặt thêm mặt khẩu thi sẽ dễ dàng hơn cho hacker trong việc bẻ khóa Pre-
Shared Key (PSK).
Vì sao lại nói dễ dàng ở đây? Là vi thông tin SSID dùng trong quá trình hash để
tạo ra key - mật khẩu và bảng dữ liệu rainbow được tối ưu hóa trong việc Brute Force
Cracking được chủ yếu áp dụng với các SSID mặc định. Một vấn đề khác với SSID
mặc định, đó là các thiết bị thu phát Wifi hầu như không thể phân biệt nổi sự khác
nhau giữa những hệ thống Wifi có cùng SSID. Điều này sẽ dẫn đến việc máy tính, điện
thoại di động sẽ tự động kết nối vào các SSID đó và dẫn đến việc không ổn định.
Thêm 1 lý do tế nhị nữa, đó là các vị khác quen thuộc. Nếu cứ giữ nguyên I SSID từ
năm này qua năm khác, thì rất nhiều người sẽ vô tình kết nối vào hệ thống Wifi, cho
dù họ chỉ đi ngang qua văn phòng, quán cafe,... Việc đổi SSID định kỳ sẽ giúp hạn chế
vấn đề này.
Đổi mật khẩu quản trị và hạn chế truy cập: Tương tự như với SSID, việc
đổi mật khẩu Wifi thường xuyên được các nhà cung cấp giải pháp bảo mật... khuyên
dùng. Thời gian là 1 tuần 1 lần hoặc 3 lần trong 1 tháng. Vì việc đổi mật khẩu Wifi
cũng khá đơn giản, không mất nhiều thời gian mà sao ít người làm quá. Cách đặt mật
khẩu thì cũng dễ nhớ và chỉ cần tuân theo quy luật: Tránh những thông tin nhạy cảm,
dễ nhớ như tên chủ quán, số điện thoại, ngày sinh nhật, tên email... Thay vào đó là
những thông tin khó dự đoán, bao gồm chữ số và ký tự đặc biệt. Ví dụ: phuchauptit@,
phuchau2022&&,... Một số nhà cung cấp thiết bị có trang bị thêm tinh nặng hạn chế
truy cập - Control Access trong sản phẩm của họ.
Chúng ta có thể thiết lập tính năng hạn chế qua tường lửa, hoặc tắt chế độ truy
cập vào quyền admin qua giao thức LAN, WLAN, hoặc trực tiếp từ Wifi. Tắt tính
năng Wifi Protected Setup (WPS): Chức năng này được thiết kế để làm quá trình mã
hóa tín hiệu Wifi nhanh chóng hơn, dễ dàng hơn. Người dùng chỉ việc chọn, hoặc nhập
mã PIN là xong. Tuy nhiên, cách làm này lại chứa khá nhiều lỗ hổng bảo mật, cho
phép hacker lợi dụng để bẻ khóa PIN, qua đó chiếm quyền truy cập và điều khiển toàn
bộ thiết bị thu phát Wifi.
4.2.4. Theo dõi việc lừa đảo phần cứng
Phát hiện ra các AP lừa đảo, sự phát hiện ra các phiên của AP nên lập biểu
nhưng không loan báo. Khám phá sự hoạt động và xóa các AP lừa đảo, sẽ giống như là
loại bỏ hacker và cho phép người quản trị điều khiển duy trì mạng và bảo mật. Các
13
kiểm định bảo mật nên được thực hiện cho các cấu hình không đúng của các AP mà
các cấu hình này có thể gây nên sự nguy hiểm cho việc bảo mật.
Tác vụ này có thể kết thúc trong khi theo dõi các AP lừa đảo như là một phần
của một sự bảo mật bình thường. Các cấu hình hiện tại nên được so sánh đến các cấu
hình trong quá khứ để có thể biết nếu người dùng hoặc hacker cấu hình lại AP. Việc
ghi lại các truy cập nên là phương tiện và theo dõi cho mục đích của sự tìm ra bất cứ
sự truy cập không chính đáng nào trên các đoạn mạng không dây. Kiểu theo dõi này có
thể giúp tìm ra sự những thiết bị máy khách không dây đã mất hoặc bị lấy trộm.
4.2.5. Switch không phải Hub
Một sự chỉ dẫn đơn giản khác là luôn luôn kết nối các AP với các Swicth thay
vì các Hub Các Hub là các thiết bị phát rộng, mỗi gói tin được nhận bởi một Hub sẽ
được gửi cho tất cả các Hub khác. Nếu những AF đã kết nối đến Huh, thì mỗi gói tin
đi qua đoạn mạng hữu tuyến sẽ bị phát tán. Chức năng này cho đem lại cho các hacker
có được các thông tin như là một mà và những địa chỉ IP. Với Huh, một khung dữ liệu
được truyền đi hoặc được phát tới tất cả các cổng của thiết bị mà không phân biệt các
công với nhau. Việc chuyển khung dữ liệu tới tất cả các cổng của hub để chắc rằng dữ
liệu sẽ được chuyển tới đích cần đến.
Tuy nhiên, khả năng này lại tiêu tốn rất nhiều lưu lượng mạng và có thể khiến
cho mạng bị chậm đi (đối với các mạng công suất kem). Ngoài ra, một hub
10/100Mbps phải chia sẻ băng thông với tất cả các công của nó. Do vậy khi chỉ có một
PC phát đi dữ liệu (broadcast) thị hình vẫn sử dụng băng thông tối đa của mình. Tuy
nhiên, nếu nhiều PC cùng phát đi dữ liệu, thì vẫn một lượng bảng thông này được sử
dụng và sẽ phải chia nhỏ ra khiến hiệu suất giảm đi. Trong khi đó switch lưu lại bản
ghi nhờ địa chỉ MAC của tất cả các thiết bị mà nó kết nối tới. Với thông tin này.
switch có thể xác định hệ thống nào đang chờ ở công nào.
Khi nhận được khung dữ liệu, switch sẽ biết đích xác công nào cần gửi tới, giúp
tăng tối đa thời gian phản ứng của màng. Và không giống như hub, một switch
10/100Mbps sẽ phân phối đầy đủ tỉ lệ 10/100Mbps cho mỗi công thiết bị. Do vậy với
switch, không quan tâm số lượng PC phát dữ liệu là bao nhiêu người dùng vẫn luôn
nhận được băng thông tối đa. Đó là lý do tại sao switch được coi là lựa chọn tốt hơn so
với huh.
4.2.6. DMZ không dây
DMZ (Demilitarized Zone - Khu phi quân sự) là 1 vùng nằm giữa LAN (Local
Area OpenLDA Network) và internet. DMZ là nơi chứa các server và cung cấp các
service cho các host trong Web, Mal LAN cũng như các host từ các LAN bên ngoài.
Là bước cuối cùng các packet qua trước khi truyền vào internet, và cũng là nơi đầu
14
tiên packet đến trước khi vào mạng LAN. Một ý tưởng khác trong công cụ bảo mật
cho các đoạn mạng WLAN là một tạo vùng phi quân sự không dây WDMZ (Wireless
Demilitarized zone - Khu phi quân sự không đây). Tạo những WDMZ si dụng tưởng la
hoặc những bộ định tuyến (Router) có thể phụ thuộc vào chi phi của các công cụ
Những WDMZ là các công cụ thông thường trong sự triển khai sắp xếp trung bình và
lớn của WLAN. Bởi vì các AP về cơ bản không có bảo mật và những thiết bị không
đáng tin cậy. những AP này tách rời với các đoạn mạng khách bởi một thiết bị tưởng
lửa.
Giữa DMZ và mang external chúng ta có thể đặt một firewall để cho phép các
kết nối từ external chi đến được DM7 mà thôi. Còn giữa mạng internal và DMZ chúng
ta có thể đặt thêm một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào
internal. Như vậy, cũng giống với vùng DMZ trong quân sự, DMZ ở đây đã tạo ra sự
phân tách giữa hai bên đổi nghịch nhau mạng internal và mang external. Và có thể nói
rằng DMZ đã bổ sung thêm một lớp bảo vệ cách ly cho mạng intemal khi mà hacker tử
mạng ngoài chỉ có thể tiếp cận tới các máy nằm trong DMZ mà thôi.
Nếu nghĩ mạng external như là “untrusted network" và mạng internal như la
trusted network" thì có thể coi DMZ như là mạng “nửa tin cậy, nửa không tin cậy”
(semi-trusted). Nó không được an toàn như LAN nhưng do nó nằm sau một firewall
nên nó an toàn hơn Internet Hoặc chúng ta cũng có thể nghĩ về DMZ như là một
"haison network” (mạng có quan hệ bắt chính) vì nó có thể liên lạc với cả hai mạng
Internet và LAN trong khi nằm giữa hai mạng này như được thể hiện trong hình trên.
Nhưng không giống như sự yên ả, không có giao tranh mà chúng ta có thể tìm
thấy ở vùng DMZ ngoài đời thực, mạng DMZ ở đây thực sự ẩn chứa rất nhiều rủi ro
do các mối đe da từ phía ngoài mang lại. Điển hình như việc hacker có thể sử dụng
hình thức tấn công tử chối dịch vụ (DoS/DDoS) nhắm vào các server trong DMZ để
làm gián đoạn hoặc dập tắt khá năng đáp ứng yêu cầu dịch vụ của các server này cho
những người dùng hợp pháp thông thưởng. Và cũng không giống như sự vô chủ, trung
lập của các vùng DMZ ở đời thực, khi tạo ra một DMZ cho tổ chức thì thực sự nó là
một phần của cả hệ thống mạng nội bộ mà chúng ta phải kiểm soát chúng thật tốt.
“Screened subnet” hoặc “Perimeter network" là những tên gọi khác của DMZ.
Địa chỉ IP dùng trong DMZ. Tùy vào kiến trúc của DMZ và cấu hình trên
firewall mà một DMZ có thể sử dụng public IP hoặc private IP cho các server trong
DMZ.
Nếu chúng ta sử dụng public IP cho DMZ, thường chúng ta sẽ cầu chia mạng
con (subnetting) khối địa chỉ IP mà ISP cấp cho chúng ta để chúng ta có được hai
network ID tách biệt. Một trong hai network ID này sẽ được dùng cho external
15
interface (card mạng nối trực tiếp tới ISP) của firewall và network ID còn lại được
dùng cho mạng DMZ. Lưu ý khi chia subnet khối public IP này, chúng ta phải cấu
hình cho router của chúng ta để các gói tin từ ngoài Internet đi vào sẽ tới được DMZ.
Chúng ta cũng có thể tạo một DMZ có network ID giống với mạng internal
nhưng vẫn đảm bảo có sự cách ly giữa DMZ và mạng internal bằng cách sử dụng
VLAN Chủng tagging (IEEE 802.14). Lúc này các server trong DMZ và các máy trạm
trong mạng internal đều được cầm chung vào một switch (hoặc khác switch nhưng các
switch này được nối với nhau) nhưng được gắn vào các VLAN khác nhau.
Còn nếu sử dụng private IP cho DMZ, chúng ta sẽ cần đến NAT (một số
firewall hỗ trợ sẵn tính năng này) để chuyển các private II này sang một public IP (mà
được gán cho external mterface của firewall nằm giữa Internet và DMZ). Vì một số
ứng dụng không làm việc tốt với NAT (ví dụ, Java RMI) nên chúng ta cần nhắc việc
chọn cấu hình NAT hay định tuyến giữa Internet và DMZ. Các Firewall: Có nhiều
cách khi thiết kế một hệ thống mạng có sử dụng DMZ. Hai mô hình cơ bản và thường
gặp nhất là: Single firewall (hay three legged firewall) và dual firewall.
Với dual firewall: Chúng ta sẽ cần tới hai thiết bị firewall, mỗi firewall có hai
NIC và được bố trí như sau:
Firewall thứ nhất (được gọi là front-end firewall) có một NIC nối với mạng
external exteral interface) và NIC còn lại nối với DMZ (internal interface). Frontend
firewall này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới mạng internal.
Firewall thứ hai (được gọi là back-end firewall): có một NIC nối với DMZ và
NIC còn lại nối với mạng internal. Backend firewall này có nhiệm vụ kiểm soát traffic
từ DMZ và Internet tới mạng internal.
Rõ ràng, so với single firewall thì giải pháp này tuy tốn kém hơn về chi phi
triển khai khi phải đầu tư tới hai thiết bị firewall tách biệt nhưng về mặt hiệu suất và
độ an toàn cho hệ thống mạng của chúng ta sẽ được cải thiện. Vậy nên, tùy vào hoàn
cảnh của tổ chức và môi trường của từng hệ thống mạng mà chúng ta nên xem xét lựa
chọn giữa single firewall hay dual firewall cho thích hợp.
Một số khuyến cáo cho rằng nên chọn hai firewall tù hai nhà cung cấp (vender)
khác nhau với lời giải thích rằng nếu hacker có thể bẻ gãy firewall đầu tiên thì cũng
hắn cũng khó khăn hơn trong việc phá vỡ firewall thứ hai bởi chúng được tạo nên theo
những cách khác nhau.
4.2.7. Phần mềm hệ thống và nâng cấp phần mềm
Nâng cấp phần mềm hệ thống và các bộ phận điều khiển (driver) trong các AP
và các card không dây. Điều này luôn luôn đúng để sử dụng phần mềm hệ thống mới
nhất và các bộ phận điều khiển trong các AP và các card không dây. Những nhà sản
16
xuất thường thường đưa là những sữa chữa, bảo mật các lỗ hổng mạng và bật những
tính năng mới với những nâng cấp này.
18
Như là một chiếc máy quay phim, theo dõi tất cả các hoạt động trong ngày, theo
dõi nhận dạng những kẻ xâm nhập WLAN, dò tìm những kẻ xâm phạm và những mối
đe dọa sắp đến và gắn các chính sách bảo mật cho WLAN (Enforce policies - Thi hành
chính sách). Một ví dụ cho việc cần thiết phải theo dõi: AP được nâng cấp bởi WPA,
AP phải được theo dõi để chắc rằng AP đó vẫn có cấu hình đúng.
Theo dõi WLAN của các doanh nghiệp cần phải rõ ràng rành mạch. Vài giải
pháp đã được thực hiện cho các tổ chức nhỏ nhưng không đủ quy trổ cho các doanh
nghiệp lớn hơn với hàng tả hoặc hàng trăm công ty trên khắp thế giới. Những doanh
nghiệp lớn yêu cầu những bộ pháp có hiệu quả, có sự quản lý trung tâm và không đòi
hỏi nhiều tài nguyên con người
Windows 7 là hệ điều hành desktop thứ ba của Microsoft hỗ trợ việc kết nối
mạng không đây. Nếu chúng ta đã từng sử dụng Windows XP và Windows Vista để
thực hiện các kết nối mạng không dây trước đây thì chúng ta sẽ thấy được những ưu
điểm mới trong kết nối mạng không dây của Windows 7 (chúng ta sẽ thấy sự dễ dàng
trong thiết lập và duy trì hơn rất nhiều so với hai phiên bản trước). Sự khác biệt trong
sự hỗ trợ các mạng không dây của Windows 7 bắt đầu ngay khi Windows 7 phát hiện
một mạng không dây nào đó.
Khám phá các mạng không dây: Windows 7 đã cải thiện rất nhiều về khả năng
như hiện mạng không dây tự động có trong Windows XP và Windows Vista.
Chú ý rằng: Windows 7 sử dụng dịch vụ WLAN Autoconfig (được giới thiệu
đầu tiên trong Windows Vista) để quản lý các mạng không dây thay cho dịch vụ
Wireless Zero Configuration duge su dung boi Windows XP.
Kết nối đến một mạng không dây không an toàn: Nếu chúng ta thường
xuyên phải lưu động trong quá trình làm việc, chắc chắn chúng ta sẽ bắt gặp rất nhiều
các mạng không dây không an toàn. Đây là cách kết nối với các mạng không an toàn
và lưu các kết nối này để sử dụng lại lần sau.
Để kết nối một mạng không dây không an toàn:
Mở danh sách các mạng không dây.
Kích vào kết nối không an toàn .
Để lưu kết nối nhằm sử dụng lại sau này, kích vào hộp kiểm Connect
Automatically trống. Kích Connect để tạo kết nối.
Sau khi kết nối đến một mạng không an toàn, chọn kiểu mạng Public Network.
Chọn Public Network, khi đó chúng ta sẽ cấu hình Windows Firewall để đóng các chia
sẻ mạng trên máy tính của mình và ngăn chặn truy cập không xác thực.
Nếu chúng ta lưu kết nối, Windows 7 sẽ tự động tạo kết nối bất cứ khi nào hệ
thống của chúng ta phát hiện ra mạng này lần sau.
19
Để kết nối một mạng không dây an toàn:
Mở danh sách các mạng không dây.
Kích vào kết nối an toàn (các mạng này không bị đánh dấu bằng một biểu tượng
khiên màu vàng).
Để lưu kết nối để sử dụng sau này, kích vào hộp kiểm Connect Automatically. -
Kích Connect để bắt đầu quá trình kết nối.
Nhập khóa bảo mật của mạng (WPA, WPA2 hoặc WEP) khi được nhắc nhở.
Mặc định, chúng ta có thể thấy các chữ cái khi đánh .Kích vào hộp kiểm Hide
Characters để ẩn các chữ cái để giữ bảo mật tốt hơn.
Sau khi kết nối đến một mạng bảo mật, chọn mạng Home hoặc Work để cấu
hình Windows Firewall thích hợp cho kiểu mạng. Nếu chúng ta muốn thiết lập hoặc
gia nhập một homegroup, hãy sử dụng kiểu mạng Home Network.
Tự động kết nối lại với các mạng không dây Windows 7 sẽ tự động kết nối trở
lại với một mạng không dây được lưu khi máy tính của chúng ta nằm trong phạm vi và
nếu mạng quảng bá SSID của nó. Để xác định xem Windows đã kết nối vào một mạng
không dây nào đó hay chưa, chúng ta chỉ cần quan sát biểu tượng mạng không dây
trong vùng thông báo.
Số các vạch chỉ thị trong chi thị cường độ tín hiệu của kết nối không dây. Khi
chúng ta đưa chuột qua biểu tượng kết nối không dây, tên của kết nối mạng không dây
hiện hành sẽ xuất hiện.
Kết nối với mạng không dây có SSID ẩn: Windows 7 sẽ phát hiện các mạng
không dây không quảng bá SSID là “Other Network”. Để kết nối với một mạng không
dây quảng bá, nhập vào SSID của mạng cũng như khoá mã hoá khi được nhắc.
Mở một website để hoàn tất kết nối: Một số kết nối không dây yêu cầu chúng ta
phải đồng ý với thỏa thuận của dịch vụ hoặc phải truy cập chứng chỉ an toàn trước khi
chúng ta có thể sử dụng chúng. Windows 7 sẽ nhắc nhở chúng ta sự kiện cần thiết
bằng cách hiển thị thông báo "Additional Log On Information May Be Required" .
Kích thông bảo để mở trình duyệt của chúng ta và hoàn tất quá trình.
Quản lý các kết nối không dây: Như những gì giới thiệu ở trên, Windows 7 sẽ
nhắc nhở chúng ta lưu kết nối không dây ngay khi chúng ta bắt đầu quá trình kết nối.
Để quản lý các kết nối không dây, mở Network and Sharing Center (chúng ta có thể
mở nó từ hộp thoại kết nối mạng trong vùng thông báo hoặc từ Control Panel). Kích
liên kết Manage Wireless Networks trong panel trái để bắt đầu việc quản lý.
Hộp thoại Manage Wireless Connections từ Network and Sharing Center hoặc
sắp xếp lại các kết nối mạng không dây. Chúng ta cũng có thể hiển thị các thuộc tính
20
của Hộp thoại quản lý các kết nối mạng không dây được sử dụng để thêm, bớt adapter
không dây, chọn kiểu thuộc tính hoặc mở Network and Sharing Center.
Kết nối mạng không dây Kết nối mạng không dây ở vị trí trên cùng của danh
sách là mạng được ưu tiên. Để chuyển một kết nối khác lên phía trên của danh sách,
hãy chọn nó và kích Move Up cho tới khi kết nối đó nằm phía trên danh sách. Để bỏ
một kết nối mà chúng ta không muốn sử dụng, hãy chọn kết nối đó và kích Remove.
Để bổ sung một kết nối, kích Add và cung cấp các thông tin cần thiết, chẳng hạn như
SSID, kiểu mã hóa, khóa mã hóa.
Xem thuộc tính và thiết lập kết nối Internet chia sẻ: Để xem các thuộc tính cho
adapter không dây, kích các thuộc tỉnh Adapter từ hộp thoại quản lý mạng không dây
được hiển thị.
Tab Sharing được sử dụng để cấu hình hệ thống như một máy chủ ICS (Internet
Connection Sharing - Chia sẻ kết nối internet) (hình 4.41). Một ICS host sẽ cung cấp
truy cập internet đến các máy tính trong mạng thông qua kết nối internet của chính nó.
Chúng ta có thể sử dụng ICS cùng với một điểm truy cập không dây như một cách
khác để sử dụng router.
4.3.2. Yêu cầu cho quản trị WLAN
Bảo mật WLAN cũng giống như sự bảo mật của mạng hữu tuyến, dẫn đến sự
quản lý đúng đắn cho việc quản lý WLAN. Những nhà quản lý mạng nên thật sự biết
rõ những yêu cầu cơ bản của việc quản lý WLAN nhưng phải có những giải pháp chủ
chốt trong việc chẩn đoán lỗi, cấu hình quản lý, tạo trương mục sử dụng mạng, thực
hiện việc theo dõi và gán các chính sách (policy).
Quản lý một mạng không dây nhỏ có khoảng 5 hoặc 10 AP có thể dễ dàng hoàn
thành với việc xây dựng chức năng trong những AP. Tuy nhiên, quản lý một mạng
không dây lớn hơn khoảng từ 12 đến hàng trăm AP trong phạm vi trường sở hoặc
trong phạm vi nhiều khu vực của cả nước yêu cầu cần phải có thêm những giải pháp
để có thể hỗ trợ, phân bổ một cách tự nhiên trong mạng.
Quản lý những mạng không dây sẽ cảm thấy hài lòng với sự kết hợp của các
giải pháp cung cấp cơ sở hạ tầng cho mạng không dây, như là Cisco System và
Symbol Technologies, nhiều công ty đã bắt đầu, như là Aruba Networks và Trapeze
Networks. Tuy nhiên, hệ thống quản lý mạng không dây tốt nhất là tính đến sự giới
hạn bởi những khả năng để chỉ quản lý AP sản xuất bởi đại lý cung cấp của hệ thống
WLAN.
4.3.3. Quản lý cấu hình
Quản lý các cấu hình của mạng không dây thông qua tất cả các AP và các trạm
thường đưa ra những thách thức lớn cho việc quản lý mạng. Trong mức độ khó nhất,
21
mỗi thiết bị phải có quan hệ chắc chắn đến các thiết lập thích hợp cho việc bảo mật, sự
thực thi và những chính sách đúng đắn. Có nhiều sự đề nghị để quản lý mạng WLAN,
như là Cisco’s Wireless LAN Solution Engine (WLSE) hoặc Symbol’s Wireless
Switch System, có thể quản lý từ xa các cấu hình AP và áp dụng nhiều các cấu hình
tạm thời đến các đoạn mạng khác nhau của một mạng không dây.
Quản lý các cấu hình người dùng gặp phải những thách thức lớn hơn bởi vì
những người quản lý mạng có thể không hướng dẫn truy cập người dùng tới tất cả các
trạm và một số ít trạn có thể là những dự án tốn nhiều thời gian.
Cài đặt Router không dây: Một router không dây hỗ trợ cho một mạng
WLAN. Sử dụng router không dây cho mạng trên nếu:
Chúng ta đang xây dựng mạng gia đình đầu tiên hoặc muốn xây dựng lại mạng
gia đình cầu để không dây hoàn toàn.
Để thiết lập WLAN ở mức đơn giản nhất có thể. Cố gắn lắp đặt router không
dây ở vị trí trung tâm nhất trong không gian nhà chúng ta. Trong mạng Wifi, máy tính
đặt gần với router sẽ có tốc độ cao hơn máy tính đặt xa. Kết nối router không dây đều
hỗ trợ modem băng thông anh rộng và một số hỗ trợ kết nối điện thoại qua dịch vụ
Internet quay số. Cuối cùng cho các router không dây tích hợp sẵn một điểm truy cập
nên chúng ta có quyền kết nối với một router đi dây, switch hoặc hub,...
Tiếp theo nên chọn một tên mạng. Trong mạng Wifi, tên mạng thường được gọi
là SSID. Router và tất cả máy tính trong WLAN phải chia sẻ cùng SSID. Mặc dù mỗi
router được gắn một tên mặc định do nhà sản xuất đặt, nhưng tốt nhất là chúng ta nên
thay đổi nó vì lí do an toàn. Tham khảo tài liệu hướng dẫn đi kèm của nhà sản xuất để
biết tên mạng cho từng router không dây cụ thể.
Cuối cùng thực hiện theo hướng dẫn trong tài liệu đi kèm khi mua router của
nhà sản xuất để sử dụng chức năng bảo mật WEP, bật chức năng tường lửa và các
tham số yêu cầu.
Cài đặt điểm truy cập không dây: Mỗi điểm truy nhập không dây hỗ trợ một
mạng WLAN. Sử dụng điểm truy nhập không dây trên mạng gia đình của chúng ta
nếu: Không cần các thành phần mở rộng do router không dây cung cấp.
Đang mở rộng một mạng Ethernet đi dây.
Có (hoặc sẽ có) từ 4 máy tính không dây trở lên nằm rải rác khắp nhà. Cố gắng
cài đặt điểm truy cập ở vị trí trung tâm nếu có thể. Kết nối nguồn và kết nối Internet số
nếu muốn. Cũng cần nối cáp điểm truy cập với router LAN, switch hoặc hub.
Cấu hình bộ điều hợp không dây: Cấu hình bộ điều hợp sau khi lắp đặt router
không dây hoặc điểm truy cập (nếu có). Đưa bộ điều hợp vào các máy tính theo giải
thích của tài liệu hướng dẫn sản phẩm. Bộ điều hợp Wifi đòi hỏi giao thức TCP/IP
22
phải được cài đặt trên máy trạm. Mỗi nhà sản xuất đều cung cấp một tiện ích cấu hình
cho bộ điều hợp của họ.
Cấu hình mạng WLAN gia đình đặc biệt: Tất cả bộ điều hợp Wifi đều đòi hỏi
chúng ta phải chọn giữa mô hình cơ sở hạ tầng và mô hình đặc biệt. Khi sử dụng điểm
truy cập không dây hay router, chúng ta cần cài đặt tất cả các bộ điều hợp không dây ở
cơ sở hạ tầng.
Cấu hình phần mềm chia sẻ kết nối Internet: Chúng ta chỉ có thể chia sẻ kết
nối Internet qua mạng không dây ad-học. Để thực hiện điều này, đặt một trong các
máy tính của chúng ta là máy trạm. Máy tính này sẽ giữ kết nối modem và rõ rang là
phải được cung cấp nguồn bất cử khi não mạng được sử dụng. Microsoft Windows
cung cấp một thành phần có tên Internet Sharing(ISC), hỗ trợ trong mạng WLAN.
4.3.4. Chuẩn đoán lỗi
Các nhân viên và những người dùng có thể có lợi ích từ mạng không dây chỉ
khi nó hoạt động. Đáp ứng các cuộc gọi hỗ trợ có thể là một thao tác làm át hẳn phạm
vi hoạt động của IT (Information Technology) để đáp ứng sự hỗ trợ mạng không dây
trong các vị trí điều khiển.
Những thiết bị quản lý mạng không dây, được cung cấp bởi Cisco và Symbol,
có thể thăm dò những thiết bị mạng từ mạng hữu tuyến để quan sát những nét đặc
trưng và thuộc tính của các thiết bị đó, rồi báo cho các nhân viên các kết quả thu được.
Trong một mức cao hơn của việc chẩn đoán lỗi: Việc theo dõi tốc độ xử lý của máy,
khảo sát những thiết bị WLAN, phân tích những kiểu dáng lưu lượng và báo cáo
những thiết bị lỗi và những tạp nhiễu quá mức trong không khí dẫn đến làm tê liệt
mạng không dây.
23
mạng từ những nền tảng giống của Cisco và Symbol kết nối các trạm của WLAN tới
những ứng dụng khác nhau trên mạng cho mục đích tiến hành tạo trương mục.
Kiểm tra lưu lượng mạng WLAN thông qua sóng không khí cho phép những
người quản lý mạng kiểm tra việc sử dụng mạng cơ bản trên công suất cao nhất của
mỗi AP và băng thông cao nhất – những trạm chi phối và những AP. Điều này cho
phép những người quản lý mạng có sơ đồ cho việc tăng công suất khi cần thiết và đối
phó với những người dùng riêng lẻ lạm dụng WLAN để tải xuống những tập tin không
kiên quan đến công việc của công ty như là MP3,..
24
25