Giáo trình Thiết kế mạng không dây

i các chuẩn Wi-Fi trước nó nhờ cường độ tín hiệu mạnh của nó. Thiết bị 802.11n sẽ tương thích với các thiết bị 802.11g. Ưu điểm của 802.11n – tốc độ nhanh và phạm vi tín hiệu tốt nhất; khả năng chịu đựng tốt hơn từ việc xuyên nhiễu từ các nguồn bên ngoài. Nhược điểm của 802.11n – chuẩn vẫn chưa được ban bố, giá thành đắt hơn 802.11g; sử dụng nhiều tín hiệu có thể gây nhiễu với các mạng 802.11b/g ở gần. 3. Giải pháp không dây của Cisco Các thiết bị không dây của Cisco bao gồm các access point, client adapter, brigde workgroup, brigde, ăng-ten, và các phụ kiện. Chủ đề này mô tả các thành phần của một giải pháp không dây Cisco. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 8 a. Access Point Một access point là điểm trung tâm trong một mạng không dây, nó hoạt động như một điểm kết nối giữa mạng có dây và không dây.Bạn có thể đặt nhiều access point trên toàn cơ sở để cung cấp cho người sử dụng với bộ điều hợp khách hàng (client adapter), giúp client có khả năng đi tự do khắp khu vực phủ sóng trong khi vẫn không bị gián đoạn truy cập các tài nguyên mạng. b. Workgroup bridge Workgroup bridge làm việc cung cấp kết nối không dây với một thiết bị kết nối Ethernet. Workgroup bridge kết nối laptop hoặc máy tính khác với một mạng Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 9 WLAN, cung cấp các liên kết từ các thiết bị này đến một điểm truy cập hoặc cầu nối không dây. c. Bridge Bridge cung cấp một phương tiện để kết nối hai hoặc nhiều phân đoạn Ethernet từ xa qua kết nối không dây Wireless bridge thì cũng với chức năng kết nối một hoặc nhiều network segment riêng biệt lại với nhau bằng sóng wireless theo các tiêu chuẩn qui định 802.11 của tổ chức IEEE. Các wireless bridge thường hoạt động theo cặp đôi hoặc nhiều hơn và có thể triển khai dưới hai hình thức liên kết point–to–point hoặc point–to- multipoint. Trong đó, liên kết point-to-point hoạt động theo cặp đôi wireless bridge để kết nối hai network segment lại với nhau, điển hình như kết nối hệ thống mạng LAN của hai toà nhà, văn phòng ở xa nhau. Liên kết point-to-multipoint lại hoạt động kết hợp nhiều hơn ba wireless bridge lại với nhau, trong đó có một wireless bridge đóng vai trò là root bridge, các bridge còn lại sẽ đóng vai trò là non-root bridge và kết nối vào root bridge này. Khi đó, một non-root bridge này muốn chuyển dữ liệu cho một non-root bridge khác thì bắt buộc nó phải chuyển dữ liệu cho root bridge làm điểm trung gian. IV. Thiết kế Wireless LANs cho doanh nghiệp WLAN thường được triển khai trong một khuôn viên doanh nghiệp, văn phòng chi nhánh để tăng hiệu suất và tính linh hoạt. Mạng WLAN đang nổi lên như là một phương pháp hiệu quả để kết nối với một mạng lưới doanh nghiệp. WLAN là một công nghệ truy cập dành cho việc triển khai mạng LAN. Bài học này trình bày các lưu ý về thiết kế cho cơ sở hạ tầng mạng WLAN trong doanh nghiệp. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 10 1. Các vấn đề trong thiết kế mạng WLAN doanh nghiệp a. Thiết kế tần số radio và lập kế hoạch - Tốc độ truyền dữ liệu mạng WLAN  Tốc độ truyền dữ liệu càng thấp thì khả năng mở rộng càng cao hơn.  Tốc độ truyền dữ liệu phụ thuộc vào loại ứng dụng.  Tốc độ truyền dữ liệu cao hơn khoảng 1 Mbps đến 5,5 Mbps nên được sử dụng môi trường WLAN mở rộng của mạng LAN. - Mật độ client và băng thông  Số lượng tối đa được yêu cầu là khoảng từ 10 đến 30 client.  Điều chỉnh mức năng lượng của client để phù hợp với các thiết lập mức năng lượng của điểm truy cập. - Vùng phủ sóng WLAN  Xem xét vùng phủ sóng của các khu vực chung, sàn nhà, cầu thang, và các khu vực đỗ xe. - Môi trường tần số radio (RF):  Sử dụng thiết kế RF để giảm thiểu việc phát sóng ra các khu vực không cần thiết. - Lựa chọn kênh truyền:  Các cell chồng lấn nhau nên sử dụng các kênh khác nhau.  Trong trường hợp kênh truyền được sử dụng nhiều trong các cell thì các cell đó không nên chồng lấn nhau.  Tốc độ truyền dữ liệu mạng WLAN Tốc độ truyền dữ liệu ảnh hưởng đến kích thước cell. Các điểm truy cập có tốc độ truyền dữ liệu thấp hơn (chẳng hạn như 1 Mbps) có thể mở rộng xa hơn nơi có tốc độ truyền dữ liệu cao hơn (chẳng hạn như 11Mbps). Vì vậy, Tốc độ truyền dữ liệu (và mức năng lượng) ảnh hưởng đến vùng phủ sóng của cell và do đó số lượng các điểm truy cập sẽ thay đổi. Tốc độ truyền dữ liệu có tác động trực tiếp vào số lượng các điểm truy cập trong thiết kế. Với 6 điểm truy cập với tốc độ truyền là 2 Mbps có thể phục vụ một khu vực nào đó, thì sẽ tốn gấp đôi các điểm truy cập để hỗ trợ cho tốc độc truyền 5Mpbs, và sẽ tăng như vậy lần nữa để hỗ trợ tốc độ truyền dữ liệu 11 Mbps. Tốc độ truyền dữ liệu được phụ thuộc vào loại ứng dụng sẽ được hỗ trợ. Trong môi trường mạng WLAN mở rộng nên sử dụng tốc độ truyền dữ liệu cao hơn 11 Mbps và 5,5 Mbps. Vì như vậy sẽ tăng tối đa băng thông và giảm thiểu các vấn đề liên quan đến hiệu suất.Trong môi trường mạng WLAN, tốc độ dữ liệu Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 11 được lựa chọn được xác định bởi các ứng dụng. Một số client không hỗ trợ tốc độ truyền cao có thể yêu cầu sử dụng tốc độ dữ liệu thấp hơn. Thông thường ta có thể lựa chọn cấu hình mặc định cho các điểm truy cập và các client, do đó ta chấp nhận tất cả các mức tốc độ dữ liệu. Tuy nhiên, có ba lý do quan trọng để hạn chế tốc độ dữ liệu với tốc độ cao nhất mà vùng phủ sóng nhận được:  Broadcast và Multicast nên được gửi ở tốc độ dữ liệu chậm nhất (để đảm bảo rằng tất cả các client có thể nhìn thấy chúng), điều này sẽ làm giảm băng thông của mạng WLAN bởi vì quá trình này phải chờ cho đến khi các frame được xử lý với tốc độ chậm.  Các client có thể kết nối từ xa hơn, vì vậy truy cập vào mạng với tốc độ dữ liệu thấp hơn.  Nếu một điểm truy cập hỗ trợ tốc độ 11Mbps, và chỉ cho phép kết nối ở tốc độ thấp hơn sẽ tạo ra một vùng phủ sóng lớn hơn so với dự định, vì vậy sẽ gia tăng các mỗi nguy hại về an ninh và có khả năng ảnh hưởng vào các mạng WLAN khác.  Mật độ client và băng thông Các điểm truy cập có băng thông khoảng 6Mbps. Vì vậy, số lượng tối đa các client hoạt động là khoảng 10 đến 30. Bạn có thể điều chỉnh con số này tùy thuộc vào trường hợp cụ thể. Kích thước cell lớn có thể dẫn đến tình trạng quá tải với quá nhiều client truy cập mạng tại cùng một điểm truy cập. Bằng cách làm giảm các năng lượng của điểm truy cập hoặc ăng-ten, bạn có thể làm giảm kích thước cell và chia sẻ nó giữa các client ít hơn. Các điểm truy cập khác sẽ được yêu cầu cho một khu vực phủ sóng nhất định, và client nhận được hiệu suất tốt hơn. Mức năng lượng của client phải được điều chỉnh để phù hợp với mức năng lượng đã thiết lập của điểm truy cập. Duy trì một thiết lập cao trên client không dẫn đến hiệu suất cao hơn, và nó có thể gây nhiễu trong các cell lân cận.  Vùng phủ sóng WLAN Các doanh nghiệp khác nhau sẽ có yêu cầu khác nhau. Một số cần một mạng WLAN phủ sóng tại các khu vực chung cụ thể. Những nơi khác cần mạng WLAN bao phủ mỗi tầng của một toà nhà, toàn bộ cầu thang và thang máy,hoặc phủ sóng toàn bộ khuôn viên bao gồm cả các khu vực đậu xe và đường xá. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 12 Ngoài việc ảnh hưởng đến số lượng các điểm truy cập cần thiết, vùng phủ sóng có thể ảnh hưởng tới các vấn đề khác, chẳng hạn như ăng-ten chuyên dụng, các thùng loa ngoài trời, và thiết bị bảo vệ chống sét.  Môi trường tần số radio (RF): Bạn có thể sử dụng thiết kế RF để giảm thiểu vùng phủ sóng không bắt buộc. Ví dụ, nếu vùng phủ sóng WLAN chỉ là cần thiết trong các tòa nhà, sau đó bạn có thể giảm thiểu số lượng vùng phủ sóng RF bên ngoài tòa nhà thông qua vị trí điểm truy cập và anten định hướng. Hiệu suất của mạng WLAN và thiết bị của nó phụ thuộc vào môi trường RF. Một số ví dụ của các thiết bị có ảnh hưởng tiêu cực đến hiệu suất RF là:  Điện thoại không dây 2,4 GHz  Tường chế tạo từ dây điện lưới và vữa  Tủ lưu trữ và kệ thiết bị bằng kim loại  Máy biến áp  Động cơ điện công suất cao  cửa chống cháy  Bê tông  Tủ lạnh  Đèn lưu huỳnh plasma (hệ thống chiếu sáng Fusion 2.4 GHz )  Máy điều hòa đường ống  Các thiết bị vô tuyến điện  Lò vi sóng  Thiết bị WLAN khác  Lựa chọn kênh truyền Sự lựa chọn kênh phụ thuộc vào tần số và các kênh được cho phép đối với từng khu vực cụ thể. Bắc Mỹ và Viện Tiêu chuẩn Viễn thông châu Âu (ETSI) thiết lập cho ba kênh không chồng lấn là: 1, 6 và 11. Bạn nên phân bổ các kênh tới các cell như sau: Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 13 - Các cell chồng nhau nên sử dụng các kênh không chồng lấn. - Trường hợp một kênh được dùng trong nhiều cell, bạn phải chắc chắn rằng những cell không chồng chéo lên nhau. b. Vấn đề thiết kế Access Point Vị trí đặt và số lượng access point Tốc độ dữ liệu tác động trực tiếp vào số lượng các điểm truy cập cần thiết trong thiết kế. Ví dụ sau sẽ chỉ ra điều này. Trong khi các điểm truy cập với tốc độ dữ liệu là 2 Mbps có thể cung cấp cho một khu vực, nó sẽ phải mất gấp đôi số điểm truy cập để hỗ trợ một tốc độ dữ liệu của 5 Mbps. Khi chọn một điểm truy cập ta sẽ xem xét các vấn đề sau: - Bộ xử lý nguồn - Băng thông yêu cầu. - Thiết bị hỗ trợ đầu vào và đầu ra Chọn điểm truy cập tốt nhất phục vụ nhu cầu ứng dụng và sau đó chọn client card và các phụ kiện thích hợp. c. Vấn đề thiết kế cơ sở hạ tầng Campus để hỗ trợ các mạng WLAN. - Nhu công suất phát bên trong:  Sử dụng trong khuôn viên và văn phòng triển khai, nơi các điểm truy cập không thể được gắn gần các đầu ra. - VLAN  WLAN nên sử dụng một mạng subnet riêng biệt từ lưu lượng truy cập mạng LAN khác. - Địa chỉ IP Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 14  Sử dụng một không gian địa chỉ riêng biệt cho các client mạng WLAN để bảo mật và dễ quản lý hơn. - Vấn đề bảo mật  Sử dụng WLAN mở rộng mạng LAN bằng EAP, IPSec, hoặc WLAN Static WEP.  Công suất bên trong (Inline Power) Inline power đặc biệt hữu ích trong khu vực khuôn viên và các triển khai văn phòng. Inline power loại bỏ tính ngẫu nhiên của địa hình để cung cấp các đầu ra trên trần nhà hoặc tường để hỗ trợ các điểm truy cập. Các tùy chọn của Power bao gồm: - Một switch có Inline power - Một Patch panel Inline power - Thiết bị phát công suất Cisco Aironet (được sử dụng khi Inline power không hoạt động)  VLANs Bất cứ khi nào có thể, WLAN nên trở thành một mạng con riêng biệt từ lưu lượng truy cập mạng LAN khác, đây là lý do: - Để tối ưu hóa hiệu suất mạng chung. Các phương tiện truyền thông WLAN được chia sẻ và do đó bất kỳ broadcast hay multicast không cần thiết có thể làm giảm hiệu suất mạng. - Xác định rõ ràng nguồn gốc của lưu lượng truy cập để dễ dàng quản lý và bảo mật. - Để tăng số lượng client WLAN trên một VLAN duy nhất và tăng khả năng chuyển vùng domain. Khi WLAN là một mạng mở rộng, không thể nói rằng WLAN VLAN giống VLAN có dây.Ví dụ,bạn có thể thực hiện các VLAN riêng biệt cho mỗi tầng của các mạng LAN có dây, nhưng chỉ có một VLAN WLAN duy nhất trong tòa nhà. Các VLAN riêng biệt của WLAN bắt buộc để có thể sử dụng IP Security (IPSec) Mạng riêng ảo (VPN) hoặc static Wired Equivalent (WEP). Lọc giao thức và địa chỉ được áp dụng cho lưu lượng truy cập trên các VLAN, và bộ lọc này cản trở lưu lượng truy cập của người sử dụng. Ngoài ra cần phải có các bộ lọc giữa các mạng không dây và mạng có dây để bảo vệ các client có dây khỏi bị tấn công từ mạng không dây. Một số ứng dụng mạng WLAN, đặc biệt là những ứng dụng sử dụng WEP tĩnh, có thể sẽ đòi hỏi VLAN phải mở rộng trên toàn bộ khuôn viên để hỗ trợ ứng dụng chuyển vùng.  Địa chỉ IP Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 15 Các địa chỉ IP của mạng WLAN không có tác động trực tiếp đến hoạt động của nó, nhưng trong thiết kế, nếu có thể ta nên sử dụng một không gian địa chỉ riêng biệt cho các client hàng mạng WLAN. Việc tách biệt không gian địa chỉ theo cách này có thể dễ dàng bảo mật và quản lý, các bộ lọc và hệ thống phát hiện xâm nhập (IDS) sẽ dễ cấu hình và dễ xác định client hơn. d. Các vấn đề về bảo mật Có ba cách triển khai bảo mật khác nhau: - WLAN LAN mở rộng bằng EAP: bằng cách sử dụng Extensible Authentication Protocol (EAP) để người đảm bảo sự riêng tư, kết hợp với 802.11x để kiếm soát truy cập. - WLAN mở rộng mạng LAN thông qua IPSec: Sử dụng IPSec để đảm bảo sự riêng tư và sử dụng các bộ lọc Access point, bộ lọc router, và VPN để cung cấp kiểm soát truy cập. - WLAN WEP tĩnh: Sử dụng tất cả các cơ chế hiện có thể và sử dụng điểm truy cập lọc, lọc bộ định tuyến, và các máy chủ ứng dụng cứng để cung cấp kiểm soát truy cập. Tùy chọn bảo mật này không nên sử dụng cho khu vực mạng mở (truy cập phải được giới hạn cho các ứng dụng cụ thể). 2. VLANs Bất cứ khi nào có thể, WLAN nên trở thành một mạng con riêng biệt từ lưu lượng truy cập mạng LAN khác, đây là lý do:  Để tối ưu hóa hiệu suất mạng chung. Các phương tiện truyền thông WLAN được chia sẻ và do đó bất kỳ broadcast hay multicast không cần thiết có thể làm giảm hiệu suất mạng.  Xác định rõ ràng nguồn gốc của lưu lượng truy cập để dễ dàng quản lý và bảo mật.  Để tăng số lượng client WLAN trên một VLAN duy nhất và tăng khả năng chuyển vùng domain. Khi WLAN là một mạng mở rộng, không thể nói rằng WLAN VLAN giống VLAN có dây. Ví dụ, bạn có thể thực hiện các VLAN riêng biệt cho mỗi tầng của các mạng LAN có dây, nhưng chỉ có một VLAN WLAN duy nhất trong tòa nhà. Các VLAN riêng biệt của WLAN bắt buộc để có thể sử dụng IP Security (IPSec) Mạng riêng ảo (VPN) hoặc static Wired Equivalent (WEP). Lọc giao thức và địa chỉ được áp dụng cho lưu lượng truy cập trên các VLAN, và bộ lọc này cản trở lưu lượng truy cập của người sử dụng. Ngoài ra cần phải có các bộ lọc giữa các mạng không dây và mạng có dây để bảo vệ các khách hàng có dây khỏi bị tấn công từ mạng không dây. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 16 Một số ứng dụng mạng WLAN, đặc biệt là những ứng dụng sử dụng WEP tĩnh, có thể sẽ đòi hỏi VLAN phải mở rộng trên toàn bộ khuôn viên để hỗ trợ ứng dụng chuyển vùng. 4. Địa chỉ IP Các địa chỉ IP của mạng WLAN không có tác động trực tiếp đến hoạt động của nó, nhưng trong thiết kế, nếu có thể ta nên sử dụng một không gian địa chỉ riêng biệt cho các client hàng mạng WLAN. Việc tách biệt không gian địa chỉ theo cách này có thể dễ dàng bảo mật và quản lý, các bộ lọc và hệ thống phát hiện xâm nhập (IDS) sẽ dễ cấu hình và dễ xác định client hơn. 5. Các vấn đề về bảo mật Có ba cách triển khai bảo mật khác nhau:  WLAN LAN mở rộng bằng EAP: bằng cách sử dụng Extensible Authentication Protocol (EAP) để người đảm bảo sự riêng tư, kết hợp với 802.11x để kiếm soát truy cập.  WLAN mở rộng mạng LAN thông qua IPSec: Sử dụng IPSec để đảm bảo sự riêng tư và sử dụng các bộ lọc Access point, bộ lọc router, và VPN để cung cấp kiểm soát truy cập.  WLAN WEP tĩnh: Sử dụng tất cả các cơ chế hiện có thể và sử dụng điểm truy cập lọc, lọc bộ định tuyến, và các máy chủ ứng dụng cứng để cung cấp kiểm soát truy cập. Tùy chọn bảo mật này không nên sử dụng cho khu vực mạng mở (truy cập phải được giới hạn cho các ứng dụng cụ thể). 6. Vấn đề tính khả dụng của WLAN - Tính sẵn sàng cơ sở hạ tầng  Sử dụng các dịch vụ có tính khả dụng cao - Tính khả dụng cao của hệ thống back-end  Triển khai có tính khả dụng cáo của các hệ thống an ninh, DHCP server, DNS và các máy chủ ứng dụng. - Access-point dự phòng  Cấu hình hai access point để sử dụng cùng một kênh trong một khu vực phủ sóng duy nhất.  Chỉ có một access point hoạt động.  Tính khả dụng của cơ sở hạ tầng Có ba cách để giải quyết tính khả dụng của mạng WLAN:  Như là một mạng bao trùm: mạng LAN có dây trở thành sao lưu của người sử dụng nếu WLAN bị lỗi.  Là một mạng di động: Người dùng có thể di chuyển đến một địa điểm kết nối khả dụng nếu WLAN bị lỗi. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 17  Là một mạng lưới then chốt: dự phòng mạng sẽ đảm bảo rằng một thành phần nào đó bị lỗi sẽ không ảnh hưởng đến người sử dụng mạng WLAN.  Tính khả dụng của hệ thống Back-end Thiết kế được yêu cầu sẵn sàng cao cho các hệ thống back-end để đảm bảo rằng các lỗi thành phần cá thể không có tác động rộng rãi. Các hệ thống back-end khác nhau tùy thuộc vào các tùy chọn triển khai mạng WLAN bảo mật:  WLAN LAN mở rộng sử dụng EAP : hệ thống back-end là các máy chủ giao tiếp không đồng bộ RADIUS (ACSs) được sử dụng để xác thực người dùng.  WLAN LAN mở rộng sử dụng IPSec: các hệ thống back-end là bộ tập trungVPN và các máy chủ kết hợp.  WLAN WEP tĩnh: các hệ thống back-end là các máy chủ ứng dụng cho các ứng dụng di động. Một mạng lưới nhiệm vụ quan trọng đòi hỏi phải sử dụng hệ thống back- end có tính khả dụng cao như Dynamic Host Configuration Protocol (DHCP), và hệ thống tên miền (DNS) và các server ứng dụng. 7. Tính di động (Mobility) - Tính di động Layer 2:  Tính di động Layer 2 được hỗ trợ trong các access point của Cisco. - Tính di động Layer 3:  Sử dụng Mobile IP trên các bộ định tuyến Cisco để cung cấp di động trên VLAN khác nhau. Tính di động Layer 2 của các access point Cisco có thể hỗ trợ các thiết bị ở trong một mạng con duy nhất. Các thiết bị cần phải di chuyển từ mạng con sang mạng con phải có được một địa chỉ mạng IP và có thể bị mất gói tin rằng có thể có được đệm khi chuyển vùng giữa các điểm truy cập trên các mạng con khác nhau. Chuyển vùng liền mạch trên mạng WLAN đòi hỏi rằng các điểm truy cập có liên quan bao gồm trong mộtVLAN duy nhất. Tính di động Layer 3 của các access point Cisco cho phép bạn sử dụng Mobile IP trên các bộ định tuyến Cisco để cung cấp di động trên VLAN khác nhau. Khi một mạng WLAN được sử dụng như một mạng bao phủ, nó có thể để mở rộng mạng WLAN VLAN trên một tầng hoặc nhiều tầng của một tòa nhà. Điều này đáp ứng yêu cầu người sử dụng di động nhất. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 18 8. Vấn đề IP Multicast - WLAN Sercurity extensions: WLAN LAN mở rộng sử dụng giải pháp EAP và WLAN WEP tĩnh vì nó có thể hỗ trợ chuyển multicast trên mạng WLAN. WLAN LAN mở rộng bẳng giải pháp IPSec không thể hỗ trợ vận chuyển multicast. - Bit Rates: tốc độ bit phải được chia sẻ cho tất cả các client tại cùng điểm truy cập. Nếu các điểm truy cập được cấu hình để hoạt động ở nhiều tốc độ bit, thì multicast và broadcast sẽ được gửi ở tốc độ thấp nhất để đảm bảo rằng tất cả các client nhận được chúng. Điều này làm giảm thông lượng có sẵn của mạng. - Snooping:  Client của mạng WLAN có thể tự do di chuyển giữa các điểm truy cập trong cùng một mạng con. Nếu chuyển vùng multicast được hỗ trợ, Cisco Group Management Protocol (CGMP) và/hoặc Internet Group Management Protocol (IGMP) snopping phải được tắt đi, bởi vì mộtngười sử dụng multicast chuyển vùng từ một điểm truy cập để khác là chuyển vùng từ một cổng chuyển đổi khác.  Hiệu suất ứng dụng: multicast và boardcast từ access point được gửi mà không có cần biết lớp liên kết. Mỗi gói tin unicast được ghi nhận và truyền lại nếu không được nhận. Mục đích của việc nhận diện là để loại bỏ tính không đáng tin cây của kết 9. QoS - IP Telephony QoS có sẵn trên một mạng WLAN rất quan trọng cho các ứng dụng nhạy cảm độ trê, đặc biệt là Voice over IP (VoIP). Không tồn tại các tiêu chuẩn cho cơ chế QoS cho chuẩn 802,11. Giải pháp tốt nhất là nỗ lực hoặc dựa vào việc triển khai khách hàng độc quyền. Nhìn chung,vì 802,11 là một giao thức chia sẻ trung bình nên việc cung cấp QoS là một thách thức trên các phương tiện truyền thông chia sẻ, so với các phương tiện truyền thông chuyển mạnh. - Bộ lọc Access-Point Bộ lọc access point cung cấp điểm truy cập ưu tiên cho . Bộ lọc được sử dụng để gán mức ưu tiên trên EtherType, cổng IP, hoặc giao thức. Vì vậy, các giao thức có thể mang các traffic nhạy cảm có thể có một sự ưu tiên cao hơn tại các điểm truy cập. Độc quyền QoS cho các điện thoại chuẩn 802.11 Các khuyến nghị chung là: Số lượng tối đa được đề nghị của điện thoại cho mỗi điểm truy cập làbảy. Sự hạn chế này là do số lượng các gói dữ liệu có thể được chuyển tiếp cho mỗi thứ hai trên và liên kết 802.11 và giảm thiểu sự chậm trễ truyền dẫn, chứ không phải là giới hạn băng thông của liên kết. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 19  Không có cơ chế kiểm soát bổ sung, do đó mật độ điện thoại lên kế hoạch (mỗi điểm truy cập) nên được ít hơn tối đa được đề nghị để giảmxác suất của các thuê bao. Tác động đối với thông lượng dữ liệu khi thực hiện VoIP là không biết.  VoIP cài đặt theo hướng dẫn WLAN WEP tĩnh giải pháp bảo mật, bởi vì 802,11 điện thoại hiện tại chỉ hỗ trợ WEP tĩnh. Xem xét việc thực hiệnmột chính sách gọi khác nhau trên mạng không dây để ngăn chặn gian lận điện thoại nếu một chìa khóa WEP là bị tổn hại. V. Giải pháp mở rộng bảo mật cho WLAN Bạn có thể lựa chọn EAP, IPSec,WEP, là những mô hình bảo mật bổ sung cho việc triển khai WLAN. Việc lựa chọn mô hình bảo mật có ý nghĩa trong việc thiết kế hệ thống mạng. Nếu có thể, EAP cần được triển khai trong một mạng WLAN. Chủ đề này mô tả các mô hình bảo mật mở rộng mạng WLAN có sẵn và sự khác biệt các mô hình. WLAN LAN Extension : EAP  Được đề nghị cho hầu hết các môi trường mạng không dây, trừ khi IPSec được sử dụng. WLAN LAN extension : IPSec  Yêu cầu người dùng phải kết nối mạng qua IPSec -cần thiết phải là VPN client. WLAN Static WEP  Được dùng cho những người dùng (client) đặc biệt, những ứng dụng cụ thể,và chỉ hỗ trợ WEP tĩnh. Mô hình bảo mật chọn cho việc triển khai WLAN có ảnh hưởng lớn đến việc thiết kế tổng thể của mạng WLAN. Ba mô hình bảo mật cần được xem xét là:  WLAN LAN extension: Extensible Authentication Protocol  WLAN LAN extension: IP Security  WLAN static WEP 1. WLAN LAN extension: Extensible Authentication Protocol EAP-Cisco cung cấp các ưu điểm:  Không đòi hỏi sự can thiệp của người sử dụng  Cung cấp khả năng xác thực cho từng user. Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 20  Tự động cung cấp dynamic WEP key, vì thế khắc phục được các trở ngại của việc quản trị các key trên hệ thống WEP  Hỗ trợ các trương mục người dùng.  Không đòi hỏi thêm các hình thức bảo mật bộ lọc, điều khiển truy cập.  EAP là một multi-protocol và có thể dùng nhiều dạng giao thức khác nhau thay vì chỉ có giao thức internet IP  Nhu cầu lọc các gói dữ liệu được thực hiện ở lớp truy cập mạng (network access layer), giống như trong hệ thống mạng LAN thông thường. Trong khi EAP là lựa chọn được đề nghị, nó có thể không phải là thích hợp trong tất cả trường hợp vì những lý do :  EAP đòi hỏi phải biết các EAP truy cập và WLAN client,và một client có thể không có sẵn cho hệ thống,và điều này làm cho các client không thể kết nối vào được. Trong trường hợp này, không có một giải pháp EAP nào cho loại xác thực trên các client này. EAP-Transport Layer Security (TLS) giao thức được hỗ trợ bởi Miscrosoft trên XP clients. Các điểm truy cập Cisco hỗ trợ tất cả các giải pháp EAP phù hợp các chuẩn 802.1x và chuẩn EAP.  Bạn có thể yêu cầu thêm các tính năng bảo mật được cung cấp bởi IPSec, như mã hoá Triple Data Encryption Standard DES (Triple DES), one-time password (OTP),hoặc per-user.  WLAN clients như máy quét hoặc 802.11 phones không hỗ trợ EAP. Khả năng roaming của EAP trong một domain chậm hơn so với static WEP, vì vậy có thể ảnh hưởng đến một vài ứng dụng trên mạng như video, VoIP trên 802.11. 2. WLAN LAN extension: IP Security Như giải pháp WLAN EAP, IPSec cung cấp một dịch vụ WLAN mở rộng mạng LAN.Tuy nhiên,giải pháp này yêu cầu người dùng phải kết nối mạng qua IPSec ,người dùng cần thiết phải là VPN client, ngay cả bên trong một khuôn viên. Đặc điểm tiêu biểu của mạng WLAN sử dụng IPSec VPNs là:  Nó không yêu cầu sử dụng EAP, và cho phép bất kỳ các thiết bị tiếp hợp của client được sử dụng với mã hóa 3DES.  Nó cho phép sử dụng đa hệ thống chứng thực, chẳng hạn như các hệ thống OTP.  Nó đòi hỏi phải thực hiện các bộ lọc mở rộng trên mạng để hạn chế các truy cập vào mạng tới các traffic liên quan đến IPSec vào VPN concentrator . Thiết kế mạng - Thiết kế mạng không dây cho doanh nghiệp 21  Nó đòi hỏi sự can thiệp của người dùng. Người sử dụng phải cài đặt VPN client trước khi họ kết nối vào mạng.  Nó không hỗ trợ các ứng dụng multicast.  Nó yêu cầu traffic phải đi qua VPN concentrator, tăng lưu lượng truy cập trên mạng và làm giảm hiệu suất.  Client như là máy quét hay 802.11 phones có thể không hỗ trợ IPSec. 3. WLAN stati