3 Základní nastavení přístupového bodu 802.11A/G Tento oddíl popisuje základní konfigurační proceduru pro PŘÍSTUPOVÝ BOD 802.11A/G. Uvádí se v něm, jak nastavit PŘÍSTUPOVÝ BOD 802.11A/G pro bezdrátové připojení a jak zkonfigurovat prostředí místní sítě LAN. Veškeré základní konfigurace je možné provést prostřednictvím standardního webového prohlížeče, jako je například Microsoft Internet Explorer. Z počítače, který byl nastaven podle 2. kapitoly, zadejte IP adresu PŘÍSTUPOVÉHO BODU 802.11A/G jako URL v prohlížeči, například http://192.168.1.1. Poznámka:IP adresa vašeho počítače musí být ve stejné IP podsíti jako PŘÍSTUPOVÝ BOD 802.11A/G. Objeví se domovská stránka PŘÍSTUPOVÉHO BODU 802.11A/G. Na pravé straně okna je hlavní nabídka. V ní najdete tyto možnosti: Setup Wizard (Průvodce nastavením), Device Status (Stav zařízení), Advanced Settings (Podrobné nastavení), System Tools (Systémové nástroje) a Help (Nápověda).
Log On Pokud se pokusíte vstoupit do některé z konfiguračních položek v nabídce, objeví se výzva k přihlášení, jak je vidět níže. Pokud se přihlašujete poprvé, měli byste použít tovární nastavení hesla. Heslo je vždy zobrazeno jako řetězec teček. Klikněte na tlačítko LOG ON, čímž zahájíte konfiguraci. 3.1 Průvodce nastavením Průvodce nastavením vás provede několika konfiguračními okny, abyste mohli nastavit základní funkční prvky zařízení. Až tyto okna projdete, na posledním z nich zmáčkněte tlačítko FINISH, čímž všechny vaše změny nabudou účinnosti. Viz kapitolu 3.1.4. 3.1.1 NASTAVENÍ ČASU Po přihlášení se objeví stránka Time Settings (nastavení času). Čas zařízení je automaticky při prvním připojení nastaven na místní čas podle řídícího počítače. Chcete-li čas zařízení upravit, upravte příslušná pole a klikněte na tlačítko NEXT.
3.1.2 NASTAVENÍ IP ZAŘÍZENÍ Okno Device IP Settings (nastavení IP zařízení) vám umožní zkonfigurovat IP adresu a podsíť zařízení. Přestože se můžete spolehnout, že DHCP server přidělí PŘÍSTUPOVÉMU BODU 802.11A/G IP adresu automaticky, doporučuje se nastavit si ve většině aplikací statickou IP adresu manuálně. Pokud se rozhodnete přidělit IP adresu manuálně, zaškrtněte políčko Assign static IP to this device (Přidělit statickou IP tomuto zařízení) a potom vyplňte následující pole. IP Address a IP Subnet Mask: Výchozí hodnoty jsou 192.168.1.1 a 255.255.255.0. Je důležité vědět, že existují podobné adresy, které spadají do pásma standardních privátních IP adres, a že se jedná o důležitý prvek zabezpečení tohoto zařízení. Díky této privátní IP adrese již zařízení není přístupné (není vidět) z Internetu. Gateway IP Address: Vložte IP adresu vaší výchozí brány. DNS Server: Domain Name System (DNS) je server na Internetu, který překládá logická jména jako například www.yahoo.com na IP adresy jako 66.218.71.80. Funguje to tak, že žádající zařízení vyšle DNS serveru dotaz týkající se potřebných informací. Pokud váš systémový administrátor žádá, abyste adresy DNS serveru vkládali manuálně, měli byste je vložit sem. Klikněte na Next a dostanete se na další okno. Pokud se rozhodnete, že pro automatické získání IP adresy pro přístupový bod 802.11A/G budete používat DHCP Server, zaškrtněte políčko, ve kterém je napsáno Use the DHCP client protocol to
automatically get the IP address for this device (Použít protokol klienta DHCP k automatickému získání IP adresy pro toto zařízení). Potom klikněte na Next a dostanete se na další okno. Znovu připomínáme, že je doporučováno, aby váš PŘÍSTUPOVÝ BOD 802.11A/G měl přidělenu statickou IP adresu, což vám později usnadní správu zařízení. 3.1.3 NASTAVENÍ BEZDRÁTOVÉHO PŘIPOJENÍ Network ID (SSID): SSID je síťové jméno, které se používá k identifikaci bezdrátové sítě. SSID musí být totožné pro všechna zařízení v bezdrátové síti (tj. ve stejném BSS). Totožné SSID může mít několik přístupových bodů v síti. Délka SSID je až 32 znaků. Výchozí SSID je wlan. Disable SSID Broadcasting: Přístupový bod periodicky vysílá své SSID a další informace, což klientským stanicím umožňuje dozvědět se o jeho existenci, když hledají přístupové body v bezdrátové síti. Zaškrtněte Disable SSID Broadcasting, pokud nechcete, aby zařízení vysílalo SSID. Regulatory Domain: Ujistěte se prosím, že vaše regulační doména odpovídá vašemu regionu. Výchozí hodnota je FCC. WLAN Mode: Bezdrátový modul spolupracuje se standardy IEEE 802.11g a 802.11b, a pokud si vyberete 11g/b, je možné připojit klientské stanice jak standardu 802.11b, tak 802.11g. Pokud si však vyberete 11g, umožníte sice připojení jen klientským stanicím 802.11g, ale získáte lepší celkový výkon.
802.11a nespolupracuje s 802.11b ani s 802.11g; pokud si vyberete 11a, bude možné připojit pouze klientské stanice 802.11a. Channel: Vyberte kanál z rolovací nabídky. Všechna zařízení v BSS musí používat tentýž kanál. Můžete vybrat Auto a systém pro vás vybere ten nejlepší kanál. Poznámka: Dostupné kanály se v různých zemích liší a závisí také na režimu WLAN. Security Policy: Můžete si vybrat různý způsob zabezpečení, pokud chcete umožnit šifrování autentizace a/nebo dat. WEP WEP vám umožní používat šifrování dat, abyste zlomyslným lidem zabránili dostat se k nim. Umožňuje tři druhy klíčů: 64 (WEP64), 128 (WEP128) a 152 (WEP152) bitů. Můžete si nastavit až čtyři klíče, a to za použití buď formátu ASCII nebo hexadecimálního formátu. Key Settings: Délka klíče WEP64 musí být 5 bajtů, klíč WEP128 je 13 bajtů a klíč WEP152 je 16 bajtů. V případě WEP64 a WEP128 stačí vložit vstupní heslo a kliknout na tlačítko GENERATE, a vygenerují se vám čtyři klíče. Můžete tedy používat snadno zapamatovatelný řetězec znaků jako vstupní heslo, aniž byste si museli pamatovat čtyři klíče. Key Index: Musíte určit, který z těch čtyř klíčů bude aktivní. Jakmile umožníte funkci WEP, ujistěte se prosím, že jak PŘÍSTUPOVÝ BOD 802.11A/G, tak bezdrátové klientské stanice používají tentýž klíč. Poznámka: Některé karty bezdrátových klientů umožňují pouze hexadecimální číslice pro klíče WEP. Při konfiguraci klíče WEP je důležité vědět, že klíč WEP128 ASCII může vypadat takto: Zde jest klíč (13 znaků), zatímco klíč WEP128 Hex vypadá třeba takto: 54-68-69-73-20-69-73-20-61-20-6b-65-79 (13 bajtů).
802.1x 802.1x poskytuje uživatelům možnost zapojit server RADIUS k provádění autentizací. Můžete také použít dynamické klíče WEP (64, 128 a 152-bitové) k šifrování dat. Zde nemusíte vkládat klíč WEP manuálně, protože se bude generovat automaticky a dynamicky. WPA-PSK Poznámka: Až ukončíte průvodce konfigurací, musíte zkonfigurovat Nastavení Radiusu (Radius Settings) v Podrobném nastavení (Advanced Settings), abyste funkci 802.1x spustili. Wi-Fi Protected Access (WPA) s Pre-Shared Key (PSK) poskytují lepší zabezpečení než klíče WEP. K autentizaci není zapotřebí RADIUS server, ale musíte kvůli ní vložit sdílený klíč. Šifrovací klíč je generován automaticky a dynamicky. Pre-shared Key: Jedná se o řetězec ASCII složený z 8 až 63 znaků. Ujistěte se prosím, že jak PŘÍSTUPOVÝ BOD 802.11A/G, tak bezdrátové klientské stanice používají tentýž klíč. Encryption Type: Existují dva šifrovací typy: TKIP a CCMP (AES). CCMP sice poskytuje lepší zabezpečení než TKIP, ale některé bezdrátové klientské stanice nemusí být vybaveny hardwarem, který tento typ podporuje. Můžete vybrat Both, a tak umožníte, aby se k přístupovému bodu mohli připojit klienti s TKIP i s CCMP.
Group Rekey Interval: Skupinový klíč (group key) se používá pro data vysílaná skupinově (multicast) i všesměrově (broadcast) a rekey interval je časové období, během kterého systém pravidelně mění skupinový klíč. Čím je interval kratší, tím lepší je zabezpečení. Rozumná doba je 60 vteřin, což je také výchozí nastavení. WPA Wi-Fi Protected Access (WPA) vyžaduje, aby byl pro autentizaci dostupný RADIUS server, který provede autentizaci (stejně jako u 802.1x), a proto není zapotřebí žádný sdílený klíč. Nastavení Encryption Type a Group Rekey Interval je stejné jako u WPA-PSK. 3.1.4 UKONČENÍ PRŮVODCE A ULOŽENÍ VAŠÍ KONFIGURACE Když projdete všechny stránky Průvodce, můžete kliknout na tlačítko FINISH, čímž vaše změny začnou platit. Vaše nové nastavení se tak rovněž uloží do trvalé paměti vašeho systému. Blahopřejeme! Nyní můžete začít používat PŘÍSTUPOVÝ BOD 802.11A/G. Poznámka: Pokud změníte IP adresu zařízení, po kliknutí na FINISH už nebudete moci komunikovat se svým PŘÍSTUPOVÝM BODEM 802.11A/G. K obnovení komunikace musíte změnit IP adresu a potom restartovat svůj počítač.
3.2 Podrobné nastavení Záložka Advanced Settings na horní řádce okna vám umožňuje provést změny, které se pro běžné operace obvykle nemusí dělat, kromě změny hesla z výchozího nastavení (což velmi doporučujeme kvůli zabezpečení). 3.2.1 NASTAVENÍ HESLA Výchozí nastavení hesla je password. Chcete-li heslo změnit, zmáčkněte tlačítko Password Settings, čímž se dostanete na okno Password Settings. Potom napište současné heslo a po něm dvakrát nové heslo. Vložené znaky se objeví ve formě hvězdiček.
3.2.2 MANAGEMENT SYSTÉMU Kliknete-li na tlačítko System Management, můžete zkonfigurovat systémové parametry, které se týkají PŘÍSTUPOVÉHO BODU 802.11A/G. Management Utility Port Definition: Standardní nastavení portu pro HTTP Web server a pro utilitu Telnetu může být nahrazena tak, že se do těchto polí vloží nová čísla portů. Management Session Time-out: Toto nastavení specifikuje délku trvání nečinnosti před tím, než se webový prohlížeč nebo správa telnetu ukončí. Výchozí hodnota pro ukončení je 10 minut. UPnP: Funkce Universal Plug and Play (UPnP) umožňuje Windows XP/ME PC objevit tento PŘÍSTUPOVÝ BOD 802.11A/G a automaticky ukázat ikonu na obrazovce. Uživatel potom může na ikonu dvakrát kliknout a přímo se k němu dostat (aniž by musel zjišťovat jeho IP adresu). Syslog: Syslog je standard IETF (Internet Engineering Task Force, tedy pracovní skupiny pro internetové standardy) pro zaznamenávání událostí systému (RFC-3164). Když PŘÍSTUPOVÝ BOD 802.11A/G zaznamená chybu nebo varovný stav (např. pokus o zalogování s nesprávným heslem), vytvoří se soubor v systémové log tabulce. Chcete-li mít tyto zaznamenané systémové události dostupné k prohlížení na dálku, musíte zaškrtnout položku Enable Syslog a zkonfigurovat IP adresu Syslog daemona. Když to uděláte, PŘÍSTUPOVÝ BOD 802.11A/G pošle přes síť zaznamenané události daemonovi pro budoucí použití. Syslog server IP address: IP adresa počítače, na kterém běží Syslog daemon.
3.2.3 NASTAVNÍ FILTRACE MAC PŘÍSTUPOVÝ BOD 802.11A/G vám umožňuje definovat seznam MAC adres, kterým je povolen nebo zakázán přístup do bezdrátové sítě. Disable MAC address control list: Pokud je tato položka vybrána, nebude provedena žádná filtrace MAC adres. Enable GRANT address control list: Pokud je tato položka vybrána, bude v síti povolen přenos dat pouze z vybraných zařízení. Enable DENY address control list: Pokud je tato položka vybrána, síť odmítne nebo znehodnotí data od vybraných zařízení. Přidat MAC adresu do tabulky je možné tak, že vložíte Mnemonic Name (zkrácený název) a MAC adresu a potom kliknete na ADD. V tabulce bude přehled všech nastavených položek filtrace MAC. Položky je možné odstranit tak, že je zaškrtnete ve sloupci select a potom smáčknete DELETE SELECTED.
3.2.4 BEZDRÁTOVÉ PŘIPOJENÍ Beacon Interval: PŘÍSTUPOVÝ BOD 802.11A/G pravidelně vysílá signální rámce (beacon frames), aby oznámil svou existenci. Interval takového vysílání ukazuje, jak často jsou rámce přenášeny v časových jednotkách v řádu milisekund. Výchozí nastavení je 100 a platná hodnota by se měla pohybovat mezi 1 a 65 535. RTS Threshold: RTS/CTS rámce se používají k získání kontroly nad mediem přenosu. Všechny jednosměrné (datové nebo ovládací) rámce větší než specifikovaný RTS práh musí být přeneseny po zahajovacím výměnném RTS/CTS mechanismu. RTS práh by měl mít hodnotu mezi 256 a 2347 bajty, přičemž výchozí nastavení je 2347. Pokud parametr změníte, doporučujeme, aby se příliš nelišil od výchozího nastavení. Fragmentation: Jestliže velikost rámce přesáhne práh fragmentace (fragmentation threshold), bude před přenosem fragmentován neboli rozdělen. Tento práh by měl mít hodnotu 256 až 2346 bajtů, přičemž výchozí hodnota je 2346. Pokud máte velkou chybovost paketů, měli byste práh fragmentace mírně snížit. DTIM Interval: PŘÍSTUPOVÝ BOD 802.11A/G zadržuje pakety stanicím, které pracují v úsporném režimu. Delivery Traffic Indication Message (DTIM) informuje takové stanice, že existují pakety, které čekají, až jimi budou přijaty. DTIM interval určuje, jak často by signální rámec měl obsahovat zprávy DTIM. Hodnota by měla být mezi 1 a 255, přičemž výchozí nastavení je 3.
3.2.5 PROVOZNÍ REŽIM Jak již bylo uvedeno v 1. kapitole, PŘÍSTUPOVÝ BOD 802.11A/G je možné nastavit do jednoho ze tří těchto režimů: (1) přístupový bod (2) repeater (3) Wireless Distribution System (WDS) Pokud je nastaven jako WDS, je třeba dále zkonfigurovat jméno a MAC adresu dalších příslušných zařízení WDS.
3.2.6 NASTAVENÍ RADIUSU Radius servery poskytují bezdrátovým klientům centralizované autentizační služby. Je možné nadefinovat dva radius servery: jeden funguje jako hlavní a ten druhý jako záložní. Pro autentizaci uživatele je možné použít dvě metody: jedna je založena na filtraci MAC adres a ta druhá na autentizaci 802.1x EAP. K autentizaci založené na filtrování MAC adres je zapotřebí vytvořit tabulku pro filtraci MAC adres buď v PŘÍSTUPOVÉM BODU 802.11A/G (jako je popsáno v kapitole 3.2.3 Nastavení filtrace MAC), a/nebo v radius serveru. Při autentizační fázi určité bezdrátové stanice se zjišťuje, zda tabulka pro filtraci MAC adres neobsahuje také MAC adresu příslušného bezdrátového klienta, aby bylo možné určit, zda stanici může být povolen nebo zakázán přístup do sítě. Radius server je možné použít i pro autentizaci 802.1x EAP. IEEE 802.1x je standard institutu IEEE a je založen na kostře, ke které patří stanice, u nichž se provádí autentizace (říká se jim Supplicants), autentizační server (radius server), který poskytuje autentizační služby, a autentizátor, který zajišťuje
potřebný překlad a zprostředkování mezi autentizačním serverem a stanicemi. PŘÍSTUPOVÝ BOD 802.11A/G funguje jako autentizátor a přenáší autentizační zprávy mezi RADIUS serverem a klientskými zařízeními, u kterých probíhá autentizace. Autentizaci IEEE 802.1x EAP umožníme tak, že jako Security Policy (Metodu zabezpečení) vybereme 802.1x nebo WPA; tento výběr je možné provést ve Wireless Settings (Nastavení bezdrátového připojení) v Setup Wizard (Průvodce nastavením). Enable MAC Address Access Control: Tuto položku zaškrtněte, pokud chcete umožnit přístupovou kontrolu MAC adres prostřednictvím RADIUS serveru. Enable Primary/Secondary Server: Tuto položku zaškrtněte, pokud chcete používat RADIUS autentizaci s nastaveným hlavním/pomocným radius serverem. Pokud jsou vybrány oba dva servery, bude nejprve vyzkoušen hlavní. Server IP: IP adresa RADIUS serveru. Port Number: číslo portu, který váš RADIUS server používá pro autentizaci. Výchozí nastavení je 1812. Shared Secret: Tento údaj používá váš RADIUS server v poli Shared Secret (doslova sdílené tajemství ) v protokolových zprávách. Shared Secret nakonfigurované v PŘÍSTUPOVÉM BODU 802.11A/G musí odpovídat Shared Secret nastavenému v RADIUS serveru. Shared Secret může obsahovat až 64 alfanumerických znaků. Retry Times: Tento údaj ukazuje, kolikrát se má PŘÍSTUPOVÝ BOD 802.11A/G pokusit kontaktovat hlavní server. Reattempt Period: Když se nepodaří kontaktovat RADIUS server, PŘÍSTUPOVÝ BOD 802.11A/G se znovu pokusí kontaktovat hlavní server pokaždé za uvedený počet minut.