Nastavení zabezpečení

* platí pro Avaya AP-3 a AP-4

Přístupové body Avaya podporují několik bezpečnostních prvků, které mají za úkol chránit vaši síť před neautorizovaným přístupem.

Jedním z nich je i VLAN (Virtual Local Area Networks). VLANy jsou logické skupiny uživatelů v síti. Jsou definovány softvarovým nastavením a ostatní členové nebo klienti se jeví, jako by byli na na stejném fyzyckém segmentu.

Přístupový bod používá Security Profiles (bezpečnostní profil): k povolení bezdrátového klienta, k autentizaci, k šifrování a Radius profil k definování Radius serveru. K definování bezpečnostních rysů AP se používá SSID/VLAN/Security záložka. Tato záložka obsahuje následující podzáložky:

• Management VLAN
• MAC Access
• Wireless-A and Wireless-B
• Configuring Security Profiles
• Configuring RADIUS Profiles

Modelový případ

1. Přístupový bod s VLAN
2. Switch s vytvořenými VLANy
3. Administrátor
4. DHCP Server
5. RADIUS Server
6. VLAN 1
7. VLAN 2

Příklad:

Skupiny VLAN a správa přenosu

Přístupové body, které neumí VLANy , typicky přenáší broadcasty a multicasty ke všem uživatelům. AP přiřazuje klienty do VLAN na základě názvu sítě(SSID). Access point Avaya může podporovat až 16 VLAN / SSID párů (záleží na modelu).

Poznámka: Schopnost konfigurovat až 16 VLAN / SSID párů a bezpečnostní profily SSID je možné jen pro 802.11b/g AP a 802.11a s upgrade kitem**. 802.11b nepodporuje vícenásobné VLAN / SSID páry*. AP s 802.11a podporuje vícenásobné VLAN/SSID párování, ale nepodporuje bezpečnostní profil skrz SSID.

* tato poznámka nám původně unikla a tak jsme si mysleli, že děláme nějakou chybu (neděláme). Viz závěr.

** upgrade se týká AP-3, kde lze vymenit PCMCIA karty.

AP přenáší pouze pakety související s VLAN. Provoz přijímaný prostřednictvím VLAN je poslán pouze na bezdrátové rozhraní, jež je spojeno se stejným VLAN. Toto vylučuje zbytečný provoz na bezdrátové LAN, zachovávající šířku pásma a maximalizující výkon.

Kvůli zvyšující se úrovni řízení bezdrátového provozu, je schopen AP s VLAN  podporovat snadné přidělování uživatelů do pracovních skupin. V typickém případě, každý uživatel VLANu reprezentuje pracovní skupinu, např. jeden VLAN může být používán pro uživatele pracovní skupiny a další pro hosta pracovní skupiny.

AP může přidělit každému paketu, který je přijatý VLANem, identifikaci. Každý paket pak je být identifikován jako uživatel nebo host, což závisí na tom, které bezdrátové NIC(Network Interface Cards) bylo obdrženo. AP může vložit VLAN-hlavičku nebo značku s identifikací do paketu přenášeného páteřní sítí do Switche.

Switch může být nastaven na směrování paketů od člena skupiny ke společným zálohám firmy, stejně jako k tiskárnám a serverům. Pakety od hosta skupiny mohou být omezovány bránou, která povoluje přístup pouze např. do internetu.

Typická uživatelská konfigurace VLAN

VLAN rozděluje síťový provoz do skupin, které umožňují limitovat broadcasty a multicasty. Pracovní skupiny umožňují klientům z jiných VLANů přistupovat do různých zdrojů prostřednictvím té samé síťové infrastruktury. Uživatelé používající stejnou fyzickou síť jsou omezeni výběrem zdrojů přístupných k jejich pracovní skupině.

Access point může být rozdělen do maximálně 16 různých pracovních sítí (32 jestli používáte 2 karty v Dual-radio AP) založených na SSID/VLAN párech.

3 základní scénáře pro použití VLANů

• VLAN disabled (zakázán): vaše síť nepoužívá VLAN a nemůžete konfigurovat AP, aby používal vícenásobné SSID
• VLAN enabled (povolen): každý VLAN používá rozdílnou VLAN ID identifikaci (tag)
• VLAN enabled: směs tagovaných a netagovaných pracovních skupin

Nastavení VLAN protokolu

POZOR: Jestliže je nastaveno nenulové označení VLAN ID pak přístup k nastavení AP je omezen buď na UTP nebo bezdrátové připojení, podle toho přes co je uzivatel pripojen. Musíme si být jisti, že jsme členy toho příslušného ovládacího VLANu. Jinak se k ovládání AP dostaneme jedině přes seriový kabel.

1. Pro nastavení VLAN zvolte > SSID/VLAN/Security
2. Nastavení VLAN Management ID na hodnotu mezi 1 a 4094 (hodnota 0 znamená: zakázáno).
3. Prosím zkontrolujte značku na Enable VLAN Protocol box.

Je důležité zajistit, aby ten, kdo chce řídit AP, byl zařazen do VLANu, který je pro tento účel vytvořen.

Poskytnutí přístupu hostů k té samé pracovní skupině

Hlavní rys VLANu je, že může povolit bezdrátovým klientům řídit access point. Pokud VLAN Management ID odpovídá uživatelovu VLAN ID, pak ti bezdrátoví klienti, kteří jsou členy toho VLANU mohou mít řídící přístup k AP.

nastavení:

• Click Configure > SSID/VLAN/Security
• Nastavte VLAN Management ID, aby používalo to samé VLAN ID jako jedno z nastavených SSID/ VLAN párů.
• Umístěte odtržítko na Enable VLAN Protocol box.

Závěr:

Bohužel u Avaya AP typu 802.11b není možná konfigurace vícenásobných VLAN/SSID. V manualu Avaya se o tomto problému vůbec nepíše.

Na jiných typech AP (př. Orinoco Proxim) je konfigurace podstatně vylepšená. Je možné vytvářet více VLAN/SSID. Členství ve VLANech lze řešit přes SSID nebo přes MAC adresy. Pro Avaya AP-3 a AP-4 je tato funkce nedostupná.

Avaya podporuje VLAN/SSID, ale neumožňuje jejich vytváření. Pro jejich vytvoření je potřeba mít switch, který VLAN vytváření podporuje. Spojení AP se switchem by mohlo být rešeno, přes trunk. Problém je, že se v manualu o této variantě vůbec nepíše. A tudíž Avaya tunky zřejmě vůbec nepodporuje.