Pada bab ini akan membahas
beberapa konsep kunci yang ditemukan pada 802.11 arsitektur jaringan.
Kebanyakan topiknya didefinisikan secara langsung pada standar 802.11,
dan diperlukan untuk implementasi dari 802.11-compliant hardware. Pada
bab ini, kita akan memeriksa proses dimana klien tersambung ke sebuah
access point, syarat-syarat untuk mengatur wireless Lan, dan bagaimana
manajemen power disempurnakan dalam peralatan wireless LAN untuk klien.
Tanpa suatu pemahaman yang jelas dari prinsip yang dibahas pada bab ini,
akan menjadi sangat sulit sekali untuk mendesain,mengadminister,atau
memperbaiki suatu wireless LAN. Bab ini membahas beberapa
langkah-langkah dasar yang terpenting dari desain dan administrasi
wireless LAN. Saat anda mengadministrasi wireless LAN, pemahaman dari
konsep-konsep ini akan memenuhi anda untuk secara cerdik memanage kerja
secara hari perhari.
1. Menempatkan Sebuah Wireless LAN
Saat anda meng-install,mengkonfigurasi, dan akhirnya memulai suatu
peralatan wireless LAN klien sebagai suatu USB klien atau kartu PCMCIA,
klien secara otomatis “mendengar” untuk melihat apakah ada suatu
wireless LAN didalam range. Klien juga menemukan jika dapat berhubungan
dengan wireless LAN tersebut. Proses “mendengar” disebut juga dengan
scanning. Scanning terjadi sebelum proses lainnya, dikarenakan scanning
adalah bagaimana klien menemukan network. Ada dua tipe scanning : pasif
scanning dan aktif scanning. Di dalam menemukan sebuah access point,
pemancar klien mengikuti sebuah jejak breadcumbs kiri oleh access point.
Breadcrumbs ini disebut juga Service Set Identifiers (SSID) dan
ramburambu. Tool ini melayani sebagai sebuah titik tengah untuk sebuah
pemancar klien untuk mencari suatu dan semua access point.
1.1 Service Set Identifier
Service set identifier (SSID) adalah sebuah nilai unique, case
sensitive, alphanumeric dari 2-31 panjang karakter yang digunakan oleh
wireless LAN sebagai sebuah nama network. Penanganan nama ini digunakan
untuk mensegmentasi jaringan, sebagai ukuran security yang bersifat
sementara, dan di dalam proses penggabungan sebuah network.
Administrator mengkonfigurasi SSID (kadang disebut dengan ESSID) di
dalam setiap access point. Beberapa klien mempunyai kemampuan untuk
menggunakan nilai SSID apapun bahkan hanya satu yang secara manual
ditetapkan oleh administrator. Jika klien menjelajahi secara berlapis
diantara suatu grup dari access point, maka kliennya dan seluruh access
point harus dikonfigurasi dengan memasangkan SSIDnya. Hal yang
terpenting dari sebuah SSID adalah SSID harus sesuai secara tepat antara
access
point dan klien. Jangan membingungkan SSID (ESSID) dengan BSSID. Basic
Service Set Idenfier (BSSID) adalah suatu 6-byte heksa desimal
mengidentifikasi access point dimana susunan mula-mula atau telah
di-relay, mengingat SSID dan ESSID adalah hal-hal yang dapat ditukarkan
yang
menunjukkan nama jaringan atau identifier.
1.2 Beacons
Beacons (kependekan untuk beacon management frame) adalah frame pendek
yang dikirim dari access point ke pemancar (Mode Infrastruktur) atau
pemancar ke pemancar (Mode ad Hoc) yang digunakan mengorganisir dan
mensinkronkan wireless pada LAN wireless itu. Beacon mempunyai beberapa
fungsi, mencakup berikut
1.2.1 Time Synchronization
Beacon mensinkronkan klien melalui suatu time-stamp di saat transmisi
yang tepat. Ketika klien menerima beacon, merubah clock sendiri untuk
merefleksikan clock dari access point. Sekali ketika perubahan ini
terbentuk, dua clock disinkronkan. Sinkronisasi clock unit komunikasi
akan memastikan bahwa semua fungsi time-sensitive, seperti hopping dalam
sistem FHSS, dilakukan tanpa kesalahan. Beacon juga berisi interval
beacon, yang menginformasikan stasiun bagaimana sering untuk harapkan
beacon.
1.2.2 FH atau Ds Parameter Sets
Beacon berisi informasi yang secara rinci menghubungkan teknologi
spread spectrum sistem yang sedang digunakan. Sebagai contoh, di dalam
sistem FHSS, hop dan dwell parameter waktu dan ihop squencetercakup di
dalam. Di dalam sistem DSSS, beacon berisi informasi saluran
1.3 SSID Information
Stasiun singgah beacon untuk SSID dari jaringan gabungan. Ketika
informasi ini ditemukan, stasiun meneliti alamat MAC di mana
autentifikasi memulai dan mengirimkan beacon meminta menghubungkan
access point. Jika suatu stasiun mulai menerima apapun SSID, kemudian
setasiun akan mencoba untuk bergabung dengan jaringan melalui access
point yang pertama yang mengirimkan beacon atau dengan kekuatan sinyal
yang paling kuat jika ada berbagai multipel access point.
1.4 Traffic Indication Map(TIM)
TIM digunakan sebagai indikator yang mana stasiun yang tidak bekerja
mempunyai paket yang dientrikan Access point. Informasi ini dilewati
pada setiap beacon ke semua stasiun yang berhubungkan. Selagi tidak
bekerja, Sinkronisasi stasiun menggerakkan receivernya, membaca untuk
beacon, memeriksa TIM untuk melihat jika terdaftarkan, kemudian, jika
tidak terdaftarkan, meghentikan penerimanya.
- Supported Rates
Dengan jaringan wireless, ada banyak kecepatan didukung tergantung pada
standard dari perangkat keras yang digunakan. Sebagai contoh, suatu
802.11b kecepatan 11, 5.5, 2,& 1 Mbps. kemampuan informasi ini
dilewatkan beacon untuk menginformasikan stasiun kecepatan berapa yang
didukung pada access point. Ada
informasi
yang banyak yang dilewatkan dalam beacon, tetapi daftar meliputi
segalanya ini bisa menjadi pertimbangan yang penting dari suatu
pandangan poin adiministrasi.
- Passive scanning
Passive scanning adalah proses melacak beacon pada masing-masing
saluran untuk suatu periode waktu yang spesifik setelah stasiun
diinisialisasi beacon ini dikirim oleh access point ( model
infrastruktur) atau stasiun klien ( moded ad hoc), dan karakteristik
katalok scanning station tentang stasiun atau access point berdasar pada
beacon ini. Stasiun mencari suatu jaringan yang melacak beacon sampai
dilacak oleh beacon yang terdaftarkan pada SSID dari jaringan untuk
bergabung. Stasiun kemudian mencoba untuk bergabung dengan jaringan
melalui access point yang mengirim beacon. Passive scanning digambarkan
dalam gambar
Gambar Passive Scanning
Di dalam konfigurasinya di mana ada berbagai access point, SSID dari
jaringan stasiun yang bergabung kemungkinan broadcast dengan lebih dari
satu access point ini. Dalam situasi ini, stasiun akan mencoba untuk
bergabung dengan jaringan melalui access point dengan kekuatan sinyal
yang paling kuat dan rata-rata bit yang paling rendah. Stasiun melanjut
passive scanning bahkan setelah menghubungkan access point. Passive
scanning menyinpan waktu yang menghubungkan kembali ke jaringan jika
klien diputus (disassociated) dari access point yang mana klien sekarang
ini dihubungkan. Dengan pengonrolan daftar access point yang tersedia
dan karakteristiknya( saluran, kekuatan sinyal, SSID, dll), stasiun
dapat dengan cepat menempatkan access point yang terbaik yang koneksinya
diputus untuk alasan tertentu. Stasiun akan menjelajahi dari satu
access point ke yang lain setelah sinyal radio dari access point di mana
stasiun dihubungkan sampai kepada suatu kekuatan sinyal tingkat rendah
tertentu. Penjelajahan diterapkan sedemikian sehingga stasiun dapat
tinggal
bertahan dihubungkan ke jaringan. Stasiun menggunakan informasi yang
diperoleh lewat pasive scanning untuk menempatkan access point terbaik
yang berikutnya ( atau jaringan ad hoc) untuk menggunakan konektifitas
kembali ke jaringan itu. Karena alasan ini, tumpang-tindih antara sel
access point pada umumnya ditetapkan kira-kira 20-30%. Tumpang-tindih
ini membiarkan stasiun untuk secara tanpa lapisan menjelajahi antara
access point selagi pemutusan dan penggubungan kembali tanpa pengetahuan
pemakai. Sebab kepekaan threshold pada beberapa radio tidak bekerja
dengan baik, kadangkadang administrator akan lihat suatu radio berkait
dengan suatu access point sampai sinyal diputus dalam kaitan dengan
kekuatan sinyal yang rendah sebagai ganti penjelajahan bagi access point
yang mempunyai sinyal lebih baik. Situasi seperti ini adalah masalah
yang dikenal dengan beberapa hardware dan harus dilaporkan ke pembuat
jika anda mengalami masalah ini.
- Active Scanning
Gambar Active Scanning
Active scanning melibatkan pengiriman dari suatu request pemeriksaan
(probe) frame dari suatu pemancar wireless. Pemancar mengirim probe
frame jika mereka secara aktif mencari suatu jaringan untuk digabungkan.
Probe frame akan berisi baik SSID dari jaringan yang mereka ingin
gabungkan atau suatu SSID broadcast. Jika suatu request probe di kirim
dengan menspasifikasi suatu SSID, maka hanya access point yang melayani
SSID tersebut akan merespon dengan suatu frame respon probe. Jika suatu
frame request probe dikirim dengan suatu SSID broadcast, maka semua
access point didalam jangkauan akan merespon dengan suatu frame respon
probe, dimana dapat dilihat pada gambar 7.2 Hal yang pokok dari probing
dalam penggunaan ini adalah untuk menempatkan access point melalui
pemancar yang dapat menempel ke suatu jaringan. Sekali sebuah access
point dengan access point yang benar dapat ditemukan, pemancar
meng-inisiasi langkah autentifikasi dan hubungan dari penggabungan
jaringan melalui access point tersebut. Informasinya dilewatkan dari
access point ke pemancar dalam frame respon probe hamper sama dengan
beacons tersebut. Frame respon probe berbeda dari beacons hanya dalam
dimana mereka tidak time-stamped dan keduanya tidak meliputi sebuah
Traffic Indication Map (TIM). Kekuatan sinyal dari frame respon probe
dimana PC Card menerima bantuan kembali menentukan access point dengan
dimana PC Card akan berusaha untuk berhubungan. Pemancar secara umum
memilih access point dengan sinyal terkuat dan bit error rate (BER) yang
terendah. BER adalah rasio dari paket-aket yang rusak ke paket yang
bagus secara khusus ditetapkan oleh rasio Sinyal-ke-Noise dari sinyal.
Jika puncak dari sebuah RF sinyal adalah di suatu tempat yang dekat
dengan dasar noise, penerima akan membingungkan data sinyal dengan noise
- Autentifikasi & Penggabungan
Proses dari menghubungkan ke wireless LAN terdiri dari dua dub proses
yang terpisah. Sub-proses ini selalu terjadi dalam permintaan yang sama,
dan disebut dengan autentifikasi dan penggabungan(assosiasi). Untuk
contoh, jika kita berbicara tentang sebuah wireless PC card dihubungkan
ke wireless LAN, kita umpamakan bahwa PC card telah di-autentifikasi
oleh dan telah di-assosiasikan dengan access point tertentu. Ingatlah
bahwa saat kita berbicara tentang assosiasi, kita berbicara tentang
konektivitas Layer 2, dan autentifikasi menyinggung secara umum ke PC
card radio, tidak kepada user. Pemahaman langkah yang terhubung dalam
mendapatkan sebuah klien terhubung ke sebuah access point adalah penting
untuk keamanan, troubleshooting, dan manajemen dari sebuah wireless
LAN.
- Autentifikasi
Langkah pertama dalam hubungan ke wireless LAN adalah autentifikasi.
Autentifikasi adlah proses melalui dimana sebuah wireless node (PC Card,
USB Client, dsb) mempunyai identitas tersendiri yang diperiksa oleh
jaringan (biasanya access point) ke node yang berusaha untuk terhubung.
Pemeriksaan ini terjadi saat access point yang ke klien terhubung
memeriksa apakah klien tersebut memang klien yang disebut. Untuk
menempatkan di tempat yang lain, access point merespon ke sebuah klien
merequest untuk terhubung dengan memeriksa identitas klien sebelum ada
hubungan yang terjadi. Kadang-kadang proses autentifikasi adalah null,
yang berarti bahwa meskipun keduanya klien dan access pointharus
memproses melalui proses ini agar dapat berasosiasi, disana tidak ada
identitas khusus untuk berasosiasi. Ini adalah kasus saat access point
baru dan PC Card dipasang di dalam konfigurasi default. Kita akan
mendiskusikan dua tipe
autentifikasi
proses pada setelah bab ini. Klien memulai proses autentifikasi dengan
mengirim sebuah frame request autentifikasi ke access point (dalam Mode
Infrastruktur). Access point akan melakukan keduanya baik menerima atau
menolak request ini, sesudah itu memberitahukan pemancar dari keputusan
ini dengan frame respon autentifikasi. Proses autentifikasi dapat
diselesaikan pada access point, atau access point mungkin terlewati
sepanjang responsibilitas ini ke sebuah hulu server autentifikasi
seperti RADIUS. RADIUS server akan melakukan autentifikasi berdasarkan
sebuah daftar dari criteria, dan kemudian mengembalikan hasilnya ke
access point jadi access point tersebut dapat mengembalikan hasilnya ke
pemancar klien.
- Penggabungan (Assosiasi)
Sekali sebuah klien wireless telah terautentifikasi, klien tersebut
kemudian berasosiasi dengan access point. Terasosiasi adalah sebuah
kondisi pada saat sebuah klien diijinkan untuk melewatkan data melalui
sebuah access point. Jika PC Card anda terasosiasi ke sebuah access
point, anda berarti terhubung ke access point, dan juga jaringan. Proses
untuk menjadi terasosiasi adalah sebagai berikut. Saat suatu klien
ingin terhubung, klien mengirimkan sebuah request autentifikasi ke
access point dan menerima kembali sebuah authentification response.
Setelah autentifikasi telah selesai, pemancar mengirim sebuah
association request frame ke access point yang menjawab ke klien dfengan
sebuah association response frame baik membolehkan atau tidak
mengijinkan berasosiasi.
- Status Pengesahan& Asosiasi
Proses asosiasi dan pengesahan yang lengkap mempunyai tiga status beda:
1. Unauthenticated and unassociated
2. Authenticated and unassociated
3. Authenticated and associated
- Unauthenticated and Unassociated
Di dalam awal menyatakan,wireless node dengan komplet diputus dari
jaringan dan tidak mampu untuk lewat frame melalui access point. Access
point menyimpan tabel status koneksi klien dikenal sebagai tabel
asosiasi. Adalah penting untuk mencatat vendor yang berbeda mengacu pada
status yang unauthenticated dan unassociated dalam access pointnya
tabel asosiasi dengan cara yang berbeda. Tabe ini akan secara khas
menunjukkan "unauthenticated" untuk klien manapun yang belum
menyelesaikan proses pengesahan atau telah
mencoba pengesahan dan gagal.
- Authenticated and Unassociated
Di dalam status detik ini, klien wireless telah lewat proses
pengesahan, tetapi waktu itu belum dihubungkan dengan access point.
Klien waktu itu belum diijinkan untuk mengirimkan atau menerima data
melalui access point. Tabel asosiasi access point akan secara khas
menunjukkan "authenticated." Sebab klien lewat langkah pengesahan dan
dengan seketika berproses ke dalam langkah asosiasi dengan cepat (
seperseribu detik), jarang ditemui "authenticated" melangkah pada access
point. Adalah jauh lebih mungkin akan ditemui "unauthenticated" atau
"associated"- yang mana dibawa sampai akhir langkah.
- Authenticated and Associated
Di dalam status akhir ini, wireless node dengan komplet dihubungkan ke
jaringan dan mampu mengirimkan dan menerima data melalui access point
yang mana nodet dihubungkan. Gambar 7.3 menggambarkan suatu klien yang
terhubung dengan suatu access point. Kita mungkin akan meihat
"associated" di dalam tabel asosiasi access point yang menandakan bahwa
klien ini secara penuh dihubungkan dan diberi hak untuk lewat lalu
lintas melalui access point. Sepertinya anda dapat menyimpulkan dari
uraian dari tiap tiga status ini, mengedepan ukuran keamanan jaringan
wireless akan diterapkan di titik di mana klien sedang mencoba untuk
membuktikan keaslian.
- Authentication Methods
Gambar Association
Standard IEEE 802.1 1 menetapkan dua metoda pengesahan: Open System
authentication dan Share Key authentication. Yang lebih sederhana dan
juga semakin menjamin kedua metode adalah Open System authentication.
Untuk suatu klien untuk menjadi authenticated, klien harus melewati
rangkaian dengan access point. Rangkaian ini bervariasi tergantung pada
proses pengesahan yang digunakan. Di bawah ini, kita akan mendiskusikan
masing-masing proses pengesahan yang ditetapkan oleh standar 802.1 1,
bagaimana bekerja, dan mengapa digunakan.
- Open System Authentication
Open system authentication adalah suatu metoda pengesahan null dan
ditetapkan oleh IEEE 802.1 1 seperti default yang ditentukan di dalam
peralatan LAN Wireless. Penggunaan metoda pengesahan ini, suatu stasiun
dapat berhubungan dengan access point manapun yang menggunakan Open
system authentication berdasarkan hanya pada SSID. SSID harus sesuai
pada kedua klien dan access point sebelum suatu klien diijinkan untuk
melengkapi proses pengesahan. Penggunaan SSID yang berkenaan dengan
keamanan akan dibahas di Bab 10 ( Keamanan). Proses Open Sysytem
authentication digunakan secara efektif dalam keduanya
menjamin/mengamankan dan lingkungan yang tidak
menjamin.
- Open System Authentication Process
Proses Open System Authentication terjadi sebagai berikut:
• Wireless klien membuat suatu permintaan untuk berhubungan kepada access point
• Access point membuktikan keaslian klien dan mengirimkan suatu hal
tanggapan positif klien menjadi terhubung .Langkah-Langkah ini dapat dilihat
Gambar Sistem Autentikasi Open
Autentifikasi Open System adalah suatu proses yang sangat sederhana.
Sebagai wireless LAN administrator, anda mempunyai pilihan untuk
menggunakan WEP (wired equivalent privacy) enkripsi dengan autentifikasi
Open System. Jika WEP digunakan dengan proses autentifikasi Open
System, maka masih tidak ada verifikasi dari kunci WEP dalam setiap sisi
dari koneksi selama autentifikasi. Lebih baik, WEP key digunakan hanya
untuk pen-enkripsian data sekali saat klien terautentifikasi dan
terasosiasi. Autentifikasi Open System digunakan dalam beberapa
skenario, tetapi ada dua alasan utama untuk menggunakannya. Pertama,
Autentifikasi Open System dipertimbangkan lebih amanam dari dua metode
autentifikasi yang tersedia untuk alasan sebagai berikut. Dua,
Autentifikasi Open System mudah untuk dikonfigurasi karena tidak
membutuhkan konfigurasi sama sekali. Semua 802.11-compliant wireless LAN
hardware dikonfigurasi untuk menggunakan autentifikasi Open System
secara default, membuatnya mudah untuk memulai membangun dan
menghubungkan jaringan wireless LAN anda dengan benar.
- Shared Key Authentication
Pengesahan shared key adalah suatu metoda authentification yang
memerlukan penggunaan WEP. WEP encryption menggunakan kunci yang
dimasukkan ( pada umumnya oleh administrator) ke dalam kedua-duanya
klien dan access point. Kunci ini harus [tanding/ temu] timbal balik
untuk WEP untuk bekerja dengan baik. Kunci Yang bersama Pengesahan
menggunakan WEP menyetem di (dalam) dua pertunjukan, ketika kita akan
menguraikan di sini.
- Shared Key Authentication Process
Proses pengesahan yang menggunakan Shared Key authentication terjadi sebagai berikut:
1. Suatu klien meminta asosiasi kepada suatu access point- langkah ini menjadi sama halnya itu sistem terbuka Pengesahan.
2.
Akses Titik mengeluarkan suatu tantangan kepada klien- tantangan ini
secara acak dihasilkan text datar, yang mana adalah dikirim dari access
point klien bebas dari bahaya/kecurigaan
3.
Klien bereaksi terhadap tantangan- klien menjawab dengan mengenkripsi
tantangan teks menggunakan WEP klien menyetem dan mengirimkannya kembali
ke access point
4. Access point
bereaksi terhadap tanggapan klien- Access point de-enkripsi tanggapan
yang di-enkripsi klien untuk memverifikasi yang tantangan teks adalah
penggunaan di-enkripsi adalah mempertemukan suatu kunci WEP menyetel.
Melalui proses ini , access point menentukan ya atau tidaknya klien
mempunyai WEP kunci yang benar. Jika WEP kunci klien benar, access point
akan menjawab secara positif dan membuktikan keaslian klien itu. Jika
WEP kunci klien tidak benar, access point akan menjawab secara negatif,
dan tidak
membuktikan keaslian klien, meninggalkan klien yang tidak dibuktikan keasliannya dan tidak dihubungkan.
Gambar Proses Shared Key
Itu akan nampak bahwa Proses Shared Key authentication jadi lebih
menjamin dibandingkan dengan Open System Authentication, tetapi seperti
anda akan segera lihat, ini bukan. Melainkan, Bagi Shared Key
authentication membuka pintu untuk calon hackers. Adalah penting untuk
memahami kedua kemungkinan bahwa WEP digunakan. WEP key dapat digunakan
sepanjang Proses Shared Key authentication untuk memverifikasi suatu
identitas klien, tetapi dapat juga digunakan untuk enkripsi dari data
payload mengirimkan dengan klien melalui access point. WEP penggunaan
jenis ini adalah dibahas lebih lanjut di dalam Bab
10 ( Keamanan).
- Authentication Security
Shared Key authentication tidaklah dipertimbangkan menjamin sebab
access point memancarkan tantangan teks bebas dari bahaya/kecurigaan dan
menerima teks tantangan yang sama yang encrypted dengan WEP kunci.
Skenario ini mengijinkan suatu hacker menggunakan suatu sniffer untuk
lihat kedua-duanya plaintext menghadapi tantangan dan tantangan yang
dienkripsi.Setelah keduaduanya nilai-nilai ini, suatu hacker bisa
menggunakan suatu program cracking sederhana untuk memperoleh WEP kunci.
Sekali ketika WEP kunci diperoleh, hacker bisa men-dekripsi lalu lintas
yang terenkripsi. Adalah untuk alasan ini bahwa Open System
Authentication dipertimbangkan lebih menjamin dibanding Shared Key
authentication. Adalah penting bagi administrator wireless jaringan
untuk memahami bahwa bukan Open System maupun Share Key authentication
tipe keamanan, dan untuk alasan ini suatu solusi keamanan LAN wireless
solusi, di atas dan di luar standard 802.11 yang ditetapkan, adalah
perlu dan penting.
- Shared Secrets & Certificates
Shared Secrets adalah teks atau angka-angka yang biasanya dikenal
sebagai kunci WEP. Sertifikat adalah metoda identifikasi pemakai yang
lain menggunakan dengan wireless. Sama halnya dengan kunci WEP,
sertifikat ( yang mana dokumen telah disahkan) ditempatkan pada mesin
klien sebelum waktu yang ditetapkan. Penempatan ini juga dikerjakan
ketika berbagai keinginan pemakai untuk membuktikan keaslian ke jaringan
wireless, mekanisme pengesahan telah pada tempatnya pada stasiun klien.
Kedua metoda ini sudah menurut sejarah diterapkan di dalam suatu
pertunjukan manual, tetapi ada aplikasi yang tersedia hari ini itu
mengijinkan otomasi dari proses ini.
- Emerging Wireless Security Solutions
Ada banyak protokol dan solusi keamanan pengesahan baru pada pasaran
hari ini, mencakup VPN dan 802.Ix yang menggunakan Extensible
Authentication Protocol (EAP). Banyak dari solusi keamanan ini
melibatkan pengesahan melalui server pengesahan ke hulu dari accesssa
point selagi memelihara klien yang menunggu sepanjang tahap pengesahan.
Windows XP mempunyai pendukungan asli untuk 802.11, 802.Ix, dan EAP.
Manufaktur Cisco dan LAN wireless juga mendukung standard ini. Karena
alasan ini,untuk melihat bahwa 802.Ix dan solusi pengesahan EAP adalah
suatu solusi umum dalam keamanan pasar LAN wireless.
7.8.1
802.1x and EAP 802.Ix (kontrol akses jaringan port-based) standard
secara relatif baru, dan alat yang mendukungnya mempunyai kemampuan
untuk mengijinkan sekedar koneksi ke dalam jaringan pada layer 2 hanya
jika pengesahan pemakai sukses. Protokol ini bekerja baik untuk access
point yang membutuhkan kemampuan untuk memelihara para pemakai yang
memutuskan jaringan jika mereka tidak mendukung pada jaringan. EAP
adalah, suatu protokol layer 2 yang menggantikan PAP atau CHAP dibawah
PPP yang bekerja area jaringan lokal. EAP mengijinkan plug-ins manapun
akhir dari suatu link dengan banyak metoda pengesahan dapat digunakan.
Di masa lalu, PAP dan CHAP telah digunakan untuk pengesahan pemakaian,
dan keduanya menggunakan password. Kebutuhan akan suatu yang lebih kuat.
Alternatif yang lebih fleksibel harus jelas dengan jaringan wireless
karena implementasi yang lebih bervariasi penuh dengan wireless
dibanding dengan jaringan kawat. Secara khas, pengesahan pemakaian
terpenuhi menggunakan Remote Authentication Dial-In user Service
(RADIUS) server dan beberapa bentuk database pemakai ( Native RADIUS.
NDS, Direktori Aktif, LDAP, dll.). Proses dalam autentifikasi
menggunakan EAP ditunjukkan di dalam Gambar 7.6. Standar 802.11i yang
baru meliputi mendukun untuk 802.Ix, EAP, AAA, pengesahan timbal balik,
dan key generation, tidak satupun tercakup pada yang asli standard
802.11. " AAA" adalah singkatan dari authentication( mengidentifikasi
siapa kita), authorization( menghubungkan dengan mengijinkan kita untuk
melaksanakan tugas tertentu pada jaringan), dan accounting ( menunjukkan
apa yang telah dilakukan dan mana yang dipunya pada jaringan). Di dalam
model standard 802. Ix, autentifikasi jaringan terdiri dari tiga
potongan: pemohon, authenticator, dan server autentifikasi.
Gambar 802.1x and EAP
Sebab keamanan LAN wireless penting dan tipe autentifikasi EAP
menyediakan rata-rata pengamanan koneksi LAN wirelesst-vendor dengan
cepat mengembangkan dan menambahkan tipe autentifikasi EAP kepada access
point LAN wireless. Mengetahui jenis EAP yang sedang digunakan adalah
penting di dalam pemahaman karakteristik dari metoda autentifikasi
seperti kata sandi, key generation, mutusl authentication, dan protokol.
Sebagian dari tipe autentifikasi EAP meliputi:
- EAP-MD-5 Challenge.
Yang apaling jenis autentifikasi EAPl, ini sangat utama menyalin
perlindungan password CHAP pada suatu LAN wireless. EAP-MD5 menghadirkan
semacam tingkat dasar EAP mendukung antar 802.Ix.
- EAP-CISCO Wireless.
Disebut LEAP ( Lightweight Extensible Authentication Protokol), Jenis
autentifikasi EAP ini digunakan terutama semata dalam Cisco LAN wireless
access point. LEAP menyediakan keamanan, enkripsi transmisi data
menggunakan dinamis WEP keys yang dihasilkan, dan mendukung mutual
authentication.
- EAP-TLS (Transport Layer Security).
EAP-TLS menyediakan certificate-based,mutual autentifikasi klien dan
jaringan. EAP-TLS bersandar pada sertifikat client-side dan server-side
untuk melaksanakan autentifikasi, penggunaan yang dinamis menghasilkan
pemakai dan WEP keys session-based membagikan untuk mengamankan
jaringan. Windows XP meliputi suatu klien EAP-TLS, dan EAP-TLS juga
mendukung Windows 2000.
- EAP-TTLS.
Funk Software dan Certicom sudah bersama-sama mengembangkan EAP-TTLS
(Tunneled Transport Layer Security). EAP-TTLS adalah suatu perluasan
EAP-TLS, yang menyediakan certificate-based, mutual autentifikasi
jaringan dan klien. Tidak sama dengan EAP-TLS, bagaimanapun, EAP-TTLS
memerlukan hanya sertifikat server-side, menghapuskan kebutuhan untuk
mengatur sertifikat untuk masing-masing klien LAN wireless. Sebagai
tambahan, EAP-TTLS mendukung password protokol, maka kita dapat
menyebarkannya melawan sistem autentifikasimu (seperti Aktive Directory
atau NDS). EAP-TTLS dengan aman menerobos klien autentifikasi di dalam
arsip TLS, memastikan bahwa sisa pemakai tanpa nama ke eavesdroppers
pada the wireless link. Pemakai dihasilkan secara dinamis dan WEP kunci
session-based dibagi-bagikan untuk menjamin koneksi. EAP-SRP (Secure
Remote Password), SRP adalah suatu autentikasiberbasis password dan
protokol key-exchange. Ini memecahkan permasalahan dalam klien yang
membuktikan keaslian ke server dengan aman dalam keadaan dimana pemakai
dari perangkat lunak klien harus menghafal suatu rahasia kecil ( seperti
suatu kata sandi) dan tidak membawa informasi rahasia lain. Server
membawa suatu pemeriksa untuk masing-masing pemakai, yang mana
mengijinkan server untuk membuktikan keaslian klien. Bagaimanapun, jika
pemeriksa disepakati, penyerang tidak akan diijinkan untuk menyamar
klien. Sebagai tambahan, SRP menukar suatu rahasia yang kuat sebagai
byproduct dari autentikasi yang sukses, yang mana memungkinkan kedua
pihak untuk komunikasi dengan aman. EAP-SIM ( GSM). EAP-SIM adalah suatu
mekanisme untuk mobile IP jaringan mengakses pendaftaran dan
autentikasi pembangkitan key menggunakan GSM Subscriber Identity
Module(SIM). Dasar pemikiran untuk . yang menggunakan GSM SIM dengan
mobile IP akan pengungkitan GSM otorisasi infrastruktur yang ada dengan
user yang ada mendasarkan dan SIM kartu saluran distribusi yang ada.
Dengan penggunaan SIM kunci pertukaran, tidak ada asosiasi keamanan yang
lain yang dikonfigurasi terlebih dahulu di samping SIM kartu diperlukan
pada mobile node. Gagasannya bukanlah untuk menggunakan teknologi GSM
radio akses, tetapi untuk menggunakan GSM SIM otorisasi dengan mobile IP
pada layer manapun, sebagai contoh pada akses jaringan wireless LAN.
Ada kemungkinan bahwa daftar autentikasi jenis EAP akan tumbuh ketika
semakin banyak penjual masuk wireless LAN keamanan pasar, dan sampai
pasar memilih suatu standard. Jenis EAP pengesahan yang berbeda tidaklah
tercakup pada ujian CWNA, tetapi pemahaman apa EAP adalah dan bagaimana
digunakan di dalam umum adalah suatu unsur kunci di (dalam) menjadi
efektif sebagai wireless network administrator
Teknologi VPN menyediakan rata-rata untuk dengan aman memancarkan data
antar network-devices (di) atas suatu data pinjaman mengangkut medium.
Biasanya digunakan untuk menghubungkan remote jaringan atau komputer
bagi suatu server perusahaan via Internet. Bagaimanapun, VPN adalah juga
suatu solusi untuk melindungi data pada suatu jaringan wireless. VPN
bekerja dengan pedoman menciptakan suatu tunnel di atas sekali suatu
protokol seperti IP. Lalu lintas di dalam tunnel terenkripsi, dan secara
total terisolasi seperti dapat dilihat di gambar 7.7 dan gambar 7.8.
VPN teknologi menyediakan tiga tingkatan keamanan: pengesahan pemakai,
encryption, dan pengesahan data.
•
Autentikasi pemakai memastikan bahwa hanya memberi hak para pemakai (
pada atas suatu alat yang spesifik) bisa menghubungkan, mengirimkan, dan
menerima data melalui jaringan wireless.
•
Enkripsi menawarkan perlindungan tambahan ketika memastikan bahwa
sekalipun transmisi diinterupsi, mereka tidak bisa dikodekan tanpa usaha
dan waktu penting.
• Data
Pengesahan memastikan integritas data pada jaringan wireless, menjamin
bahwa semua lalu lintas adalah dari alat dibuktikan keasliannya saja.
Gambar Accesss Point Terintegrasi dengan VPN Server
Gambar Access Point dengan external VPN Server
Menerapkan VPN teknologi untuk menjamin suatu jaringan wireless
memerlukan suatu pendekatan berbeda dibanding ketika digunakan pada
jaringan wired untuk pertimbangan berikut
•
Yang tidak bisa dipisahkan fungsi repeater dari wireless access points
secara otomatis ke depan lalu lintas antar pemancar wireless LAN yang
berkomunikasi bersama-sama dan itu nampak pada jaringan wireless yang
sama.
• Cakupan dari jaringan
wireless akan mungkin meluas di luar secara fisik batasan-batasan dari
suatu rumah atau kantor, memberi pengganggu rata-rata untuk berkompromi
jaringan.
Kesenangan
dan scalabilas dengan mana solusi wireless LAN dapat menyebar membuat
mereka solusi ideal untuk banyak lingkungan berbeda. Sebagai hasilnya,
implementasi VPN keamanan akan bertukar-tukar berdasar pada kebutuhan
dari tiap jenis lingkungan. Sebagai contoh, suatu hacker dengan suatu
wireless sniffer, jika ia memperoleh WEP kunci, bisa memecahkan kode
paket di dalam waktu riil. Dengan suatu VPN solusi, paket tidak akan
hanya dienkripsi, tetapi juga dilewatkan pada tempat tertentu. Lapisan
tambahan keamanan menyediakan banyak manfaat di tingkatan akses. Suatu
catatan penting di sini adalah bahwa tidak semua VPN membiarkan para
pemakai wireless menjelajahi antar subnets atau jaringan tanpa "
mematahkan" jalan amannya, dan tidak semua VPN akan mengijinkan koneksi
aplikasi dan pengangkutan untuk tinggal dibentuk selama penjelajahan.
Blok tumbang yang lain menjadi sistem operasi- apa yang sistem operasi
atau sistem lakukan klien yang mobile harus menjalankan dalam rangka
mendapatkan perlindungan suatu wireless VPN.
- Service Sets
Service Sets adalah suatu istilah yang digunakan untuk menguraikan
komponen dasar suatu operasional LAN wireless. Dengan kata lain, ada
tiga cara untuk mengatur suatu LAN wireless, dan masing-masing cara
memerlukan suatu perangkat keras yang berbeda . Ketiga cara konfigurasi
LAN wireless adalah:
• Basic service set
• Extended service set
• Independent basic service set
- Basic Service Set (BSS)
Ketika access point dihubungkan suatu jaringan kabel dan satu set
stasiun wireless, konfigurasi jaringan dikenal sebagai basic service set
( BSS). BSS terdiri dari hanya satu access point dan satu atau lebih
klien wireless, seperti ditunjukkan di dalam Gambar 7.9. BSS menggunkan
model infrastruktur- suatu model yang memerlukan penggunaan dari suatu
access point dan di mana semua lalu lintas wireless menyilang. Transmisi
yang diijinkan tidak secara langsung client-toclient.
Gambar Basic Service Set
Masing-Masing klien wireless harus menggunakan access point untuk
berkomunikasi dengan klien wireless lainnya atau manapun host pada
jaringan itu. BSS meliput singel cell, atau RF area, di sekitar access
point dengan data yang bermacam-macam nilai zone ( lingkaran-lingkaran
konsentris) tentang kecepatan data berbeda. yang diukur di dalam Mbps.
Kecepatan data dalam lingkaranlingkaran konsentris ini akan tergantung
pada teknologi yang sedang digunakan. Jika BSS terdiri dari peralatan
802.1 Ib, kemudian lingkaran-lingkaran konsentris akan membuat kecepatan
data 11, 5.5, 2, dan 1 Mbps. Suatu BSS mempunyai satu SSID unik.
- Extended Service Set (ESS)
Extended Service Set (ESS) digambarkan sebagai dua atau lebih layanan
dasar menetapkan hubungan oleh suatu sistem distribusi secara umum,
seperti ditunjukkan dalam Gambar 7.10. System distribusi dapat dimanapun
Kabel, Wireless, LAN, WAN, atau metoda konektivitas jaringan yang lain.
ESS harus punya sedikitnya 2 access point yang beroperasi dalam model
infrastruktur. Sama suatu BSS, semua paket di dalam ESS harus pergi
melalui salah satu dari access point.
Gambar 7.10 Extended Service Set
Karakteristik yang lain dari ESS, sesuai standar 802.11, adalah bahwa
ESS meliputi berbagai sel, mengijinkan-tetapi tidak memerlukan-kemampuan
menjelajah dan tidak memerlukan SSID yang sama di dalam kedua layanan
dasar.
- Independent Basic Service Set (IBSS).
Independent Basic Service Set juga dikenal sebagai suatu jaringan ad
hoc Suatu IBSS tidak punya access point atau akses lain untuk suatu
sistem distribusi, tetapi menutupi singel cell dan mempunyai satu SSID. Klien di dalam suatu IBSS
mengubah tanggung jawab pengiriman beacon karena tidak ada access point
untuk melaksanakan tugas ini.
Gambar Independent Basic Service Set
Dalam rangka memancarkan data yang ada di luar suatu IBSS, salah satu
klien di dalam IBSS harus bertindak sebagai suatu pintu gerbang, atau
penerus, menggunakan suatu perangkat lunak solusi untuk tujuan ini. Di
dalam suatu IBSS, buatan klien mengarahkan koneksi untuk satu sama lain
ketika pemancaran data, dan untuk alasan ini, suatu IBSS adalah sering
dikenal sebagai suatu jaringan peerto- peer. Roaming adalah kemampuan
atau proses dari suatu klien wireless untuk pindah secara tanpa kelim
dari satu sel ( atau BSS) ke yang lain tanpa jaringan kehilangan
connectivas. Access points menyampaikan klien mulai dari satu ke yang
lain dengan cara yang adalah tak kelihatan kepada klien, memastikan
hubungan tak putus-putus. Gambar 7.12 menggambarkan suatu klien yang
menjelajahi dari satu BSS ke BSS lain. Ketika area manapun di dalam
bangunan adalah di dalam cakupan resepsi lebih dari satu access point
pemenuhan sel tumpang-tindih. Overlap coverage areas adalah suatu
atribut penting menyangkut susunan wireless LAN, sebab itu memungkinkan
roaming tanpa kelim antar sel yang overlap. Roaming mengijinkan para
pemakai mobile dengan pemancar portabel untuk pindah dengan bebas antara
sel yang overlap,secara konstan memelihara koneksi jaringan mereka.
Gambar Roaming di ESS
Ketika roaming tanpa kelim, suatu sesi pekerjaan dapat dimaintain saat bergerak dari satu sel ke yang lain. Berbagai access point dapat menyediakan pemenuhan wireless roaming untuk suatu keseluruhan bangunan atau kampus Ketika coverage area dua atau lebih access point tumpang-tindih, pemancar di dalam area overlap dapat menetapkan kemungkinan terbaik koneksi dengan satu dari access point saat berlangsung secara terus-menerus mencari-cari access point yang terbaik. Dalam rangka memperkecil kerugian paket selama peralihan, yang yang "tua" dan " baru" access point-access point komunikasi untuk mengkoordinir proses roaming. Fungsi ini adalah serupa kepada suatu handover telepon selular , dengan dua perbedaan utama:
• Pada sistem suatu packet-based LAN , transisi dari sel ke sel mungkin dilakukan antar transmisi paket, sebagai lawan teleponi jika transisi boleh terjadi selama suatu percakapan telepon.
• Pada suatu sistem suara, suatu pemutusan hubungan temporer tidak boleh mempengaruhi percakapan, saat di suatu lingkungan packet-based itu dengan mantap mengurangi performa dikarenakan lapisan atas protokol
kemudian memancarkan kembali data itu.
untuk bersikap toleran terhadap koneksi yang sedang mati dan berhubungan kembali. Usaha standard untuk memastikan gangguan minimum ke penyerahan data, dan menyediakan beberapa macam untuk caching dan menyampaikan pesan antar BSS. Implementasi tertentu beberapa yang lebih tinggi lapisan protokol seperti TCP/IP mungkin lebih sedikit bersikap toleran. Sebagai contoh, di dalam suatu jaringan di mana DHCP digunakan untuk menugaskan IP alamat, suatu roaming node boleh hilang koneksi nya ketika pindah ke seberang batasan-batasan sel. Node kemudian harus reestablish koneksi ketika masuk BSS atau sel yang berikutnya. Solusi perangkat lunak tersedia untuk masalah masalah tertentu ini. Salah satu solusi adalah mobile IP. Mobile IP adalah suatu Internet Engineering Task Force ( IETF) Request for Comment ( RFC) (# 2002) itu didokumentasikan untuk kepentingan menjelaskan bagaimana cara terbaik mempunyai para pemakai korset mobile menghubungkan kepada Internet saat bergerak antar poin-poin koneksi. Ini terpenuhi dengan menggunakan agen rumah dan agen asing. Dua pekerjaan ini bersama-sama untuk meyakinkan bahwa lalu lintas yang diperuntukkan ke mobile node menjangkau dimanapun juga dihubungkan. Suatu agen rumah atau agen asing bisa merupakan suatu komputer, suatu penerus, atau alat serupa lain yang adalah mampu untuk menjalankan mobile IP protokol. Ada beberapa surat protes penegakan hukum di (dalam) banyak solusi mobile IP yang harus dengan singkat ditujukan di dalam teks ini sedemikian hingga pemakai memahami apa yang harus dicari di (dalam) suatu solusi mobile IP. IP Pertama, mobile tidak mengijinkan agen kemampuan dan alat mobile pada [atas] jaringan untuk_ berbagi informasi status tentang masing-masing sesi yang suatu alat mobile telah menetapkan. Alat-Alat ini bahwa aplikasi tidak bisa tetap berlaku selama periode ketika alat yang mobile tidak bisa dicapai. Ketika alat yang mobile menyertakan kembali kepada jaringan, mungkin ada suatu kebutuhan untuk menyapu bersih sesi aplikasi rusak, batang kayu di dalam lagi, re-authenticate, start kembali aplikasi, dan masuk kembalinya hilang data ( lagi suatu kerugian produktivitas, belum lagi suatu usabilas kegagalan). Ke dua, " ketekunan sesi" berarti lebih dari menyampaikan paket [bagi/kepada] suatu penempatan baru pemakai. Jika kita tidak mempunyai ketekunan sesi aplikasi dan pengangkutan, solusi pecah;roboh. Mengapa? Ketika suatu protokol pengangkutan tidak bisa komunikasi ke panutan nya, dasar protokol,sepertiTCP, berasumsi bahwa gangguan layanan adalah dalam kaitan dengan jaringan buntu. Ketika ini terjadi, protokol ini mengundurkan diri, mengurangi capaian dan secepatnya mengakhiri koneksi .Satu-Satunya cara untuk memecahkan masalah ini akan mempunyai node mobile menyebar dengan suatu perangkat lunak solusi yang berlaku atas nama alat yang mobile ketika itu tak dapat dicapai. Batasan-batasan. Proses ini adalah tanpa kelim kepada lapisan 3. Bagaimanapun, jika suatu terowongan dibangun ke access point atau memusatkan VPN server dan suatu lapisan 3 batas silang, suatu mekanisme beberapa sesama harus disediakan untuk mempertahankan jalur hidup ketika batas silang.
Ketika roaming tanpa kelim, suatu sesi pekerjaan dapat dimaintain saat bergerak dari satu sel ke yang lain. Berbagai access point dapat menyediakan pemenuhan wireless roaming untuk suatu keseluruhan bangunan atau kampus Ketika coverage area dua atau lebih access point tumpang-tindih, pemancar di dalam area overlap dapat menetapkan kemungkinan terbaik koneksi dengan satu dari access point saat berlangsung secara terus-menerus mencari-cari access point yang terbaik. Dalam rangka memperkecil kerugian paket selama peralihan, yang yang "tua" dan " baru" access point-access point komunikasi untuk mengkoordinir proses roaming. Fungsi ini adalah serupa kepada suatu handover telepon selular , dengan dua perbedaan utama:
• Pada sistem suatu packet-based LAN , transisi dari sel ke sel mungkin dilakukan antar transmisi paket, sebagai lawan teleponi jika transisi boleh terjadi selama suatu percakapan telepon.
• Pada suatu sistem suara, suatu pemutusan hubungan temporer tidak boleh mempengaruhi percakapan, saat di suatu lingkungan packet-based itu dengan mantap mengurangi performa dikarenakan lapisan atas protokol
kemudian memancarkan kembali data itu.
- Standar
untuk bersikap toleran terhadap koneksi yang sedang mati dan berhubungan kembali. Usaha standard untuk memastikan gangguan minimum ke penyerahan data, dan menyediakan beberapa macam untuk caching dan menyampaikan pesan antar BSS. Implementasi tertentu beberapa yang lebih tinggi lapisan protokol seperti TCP/IP mungkin lebih sedikit bersikap toleran. Sebagai contoh, di dalam suatu jaringan di mana DHCP digunakan untuk menugaskan IP alamat, suatu roaming node boleh hilang koneksi nya ketika pindah ke seberang batasan-batasan sel. Node kemudian harus reestablish koneksi ketika masuk BSS atau sel yang berikutnya. Solusi perangkat lunak tersedia untuk masalah masalah tertentu ini. Salah satu solusi adalah mobile IP. Mobile IP adalah suatu Internet Engineering Task Force ( IETF) Request for Comment ( RFC) (# 2002) itu didokumentasikan untuk kepentingan menjelaskan bagaimana cara terbaik mempunyai para pemakai korset mobile menghubungkan kepada Internet saat bergerak antar poin-poin koneksi. Ini terpenuhi dengan menggunakan agen rumah dan agen asing. Dua pekerjaan ini bersama-sama untuk meyakinkan bahwa lalu lintas yang diperuntukkan ke mobile node menjangkau dimanapun juga dihubungkan. Suatu agen rumah atau agen asing bisa merupakan suatu komputer, suatu penerus, atau alat serupa lain yang adalah mampu untuk menjalankan mobile IP protokol. Ada beberapa surat protes penegakan hukum di (dalam) banyak solusi mobile IP yang harus dengan singkat ditujukan di dalam teks ini sedemikian hingga pemakai memahami apa yang harus dicari di (dalam) suatu solusi mobile IP. IP Pertama, mobile tidak mengijinkan agen kemampuan dan alat mobile pada [atas] jaringan untuk_ berbagi informasi status tentang masing-masing sesi yang suatu alat mobile telah menetapkan. Alat-Alat ini bahwa aplikasi tidak bisa tetap berlaku selama periode ketika alat yang mobile tidak bisa dicapai. Ketika alat yang mobile menyertakan kembali kepada jaringan, mungkin ada suatu kebutuhan untuk menyapu bersih sesi aplikasi rusak, batang kayu di dalam lagi, re-authenticate, start kembali aplikasi, dan masuk kembalinya hilang data ( lagi suatu kerugian produktivitas, belum lagi suatu usabilas kegagalan). Ke dua, " ketekunan sesi" berarti lebih dari menyampaikan paket [bagi/kepada] suatu penempatan baru pemakai. Jika kita tidak mempunyai ketekunan sesi aplikasi dan pengangkutan, solusi pecah;roboh. Mengapa? Ketika suatu protokol pengangkutan tidak bisa komunikasi ke panutan nya, dasar protokol,sepertiTCP, berasumsi bahwa gangguan layanan adalah dalam kaitan dengan jaringan buntu. Ketika ini terjadi, protokol ini mengundurkan diri, mengurangi capaian dan secepatnya mengakhiri koneksi .Satu-Satunya cara untuk memecahkan masalah ini akan mempunyai node mobile menyebar dengan suatu perangkat lunak solusi yang berlaku atas nama alat yang mobile ketika itu tak dapat dicapai. Batasan-batasan. Proses ini adalah tanpa kelim kepada lapisan 3. Bagaimanapun, jika suatu terowongan dibangun ke access point atau memusatkan VPN server dan suatu lapisan 3 batas silang, suatu mekanisme beberapa sesama harus disediakan untuk mempertahankan jalur hidup ketika batas silang.
Gambar Roaming dengan VPN Tunnels
Layer 2 & 3 Boundaries
Suatu batasan teknologi yang ada adalah jaringan wired itu adalah sering terbagipagi untuk cara penanganannya. Perusahaan dengan berbagai bangunan, seperti rumah sakit atau bisnis besar, sering menerapkan suatu LAN pada setiap bangunan dan kemudian menghubungkan LAN ini dengan router atau switch-routers. Lapisan 3 segmentasi mempunyai dua keuntungan utama. Pertama, berisi siaran yang secara efektif, dan detik/second itu mengijinkan akses mengendalikan antar segmen pada jaringan itu. Segmentasi jenis ini dapat juga dilaksanakan pada lapisan 2 penggunaan VLAN pada tombol. VLAN yang sering dilihat floor-by-floor diterapkan di dalam multi-floor bangunan kantor atau untuk masing-masing bangunan yang remote di dalam suatu kampus untuk pertimbangan yang sama itu. Segmen pada lapisan 2 di dalam segmen performa ini jaringan dengan sepenuhnya seolah-olah berbagai jaringan sedang diterapkan. Ketika penggunaan router,para 17 1 pemakai harus mempunyai suatu metoda penjelajahan(roaming) ke seberang batasanbatasan penerus tanpa kehilangan koneksi lapisan 3 mereka. Koneksi Lapisan 2 masih di-maintain oleh access point-access point, tetapi sejak IP subnet telah berubah saat penjelajahan, koneksi ke server, sebagai contoh, akan jadi rusak. Tanpa subnet-roaming kemampuan ( seperti dengan penggunaan suatu IP solusi mobile atau menggunakan DHCP), wireless LAN access point-access point harus semua dihubungkan ke subnet tunggal ( alias. " suatu jaringan flat/kempes"). Work-Around ini bisa dilakukan putus bicara fleksibilitas manajemen jaringan, tetapi pelanggan mungkin berkeinginan membuat biaya ini jika mereka merasa bahwa nilai dari sistem akhir cukup tinggi.
Layer 2 & 3 Boundaries
Suatu batasan teknologi yang ada adalah jaringan wired itu adalah sering terbagipagi untuk cara penanganannya. Perusahaan dengan berbagai bangunan, seperti rumah sakit atau bisnis besar, sering menerapkan suatu LAN pada setiap bangunan dan kemudian menghubungkan LAN ini dengan router atau switch-routers. Lapisan 3 segmentasi mempunyai dua keuntungan utama. Pertama, berisi siaran yang secara efektif, dan detik/second itu mengijinkan akses mengendalikan antar segmen pada jaringan itu. Segmentasi jenis ini dapat juga dilaksanakan pada lapisan 2 penggunaan VLAN pada tombol. VLAN yang sering dilihat floor-by-floor diterapkan di dalam multi-floor bangunan kantor atau untuk masing-masing bangunan yang remote di dalam suatu kampus untuk pertimbangan yang sama itu. Segmen pada lapisan 2 di dalam segmen performa ini jaringan dengan sepenuhnya seolah-olah berbagai jaringan sedang diterapkan. Ketika penggunaan router,para 17 1 pemakai harus mempunyai suatu metoda penjelajahan(roaming) ke seberang batasanbatasan penerus tanpa kehilangan koneksi lapisan 3 mereka. Koneksi Lapisan 2 masih di-maintain oleh access point-access point, tetapi sejak IP subnet telah berubah saat penjelajahan, koneksi ke server, sebagai contoh, akan jadi rusak. Tanpa subnet-roaming kemampuan ( seperti dengan penggunaan suatu IP solusi mobile atau menggunakan DHCP), wireless LAN access point-access point harus semua dihubungkan ke subnet tunggal ( alias. " suatu jaringan flat/kempes"). Work-Around ini bisa dilakukan putus bicara fleksibilitas manajemen jaringan, tetapi pelanggan mungkin berkeinginan membuat biaya ini jika mereka merasa bahwa nilai dari sistem akhir cukup tinggi.
Gambar Roaming across Layer 3 boundaries
Banyak lingkungan jaringan (e.g., multi-building campus, multi-floored high rises, atau older atau historical building) tidak bisa mengambil solusi single subnet sebagai pilihan praktis. Arsitektur Kabel berselisih dengan teknologi LAN wireless baru-baru ini. Access point tidak bisa menyampaikan suatu sesi ketika suatu alat remote pindah melewati batasan router sebab persimpangan rute merubah alamat IP klien. Sysytem Wired tidak lagi mengetahui di mana untuk mengirimkan pesan itu. Ketika suatu pergerakan alat menyertakan kembali ke jaringan, semua aplikasi hilang dan para pemakai wajib login lagi, re-authenticate, menampung diri mereka di dalam aplikasi, dan membangun ulang data hilang. Jenis masalah yang sama terjadi ketika menggunakan VLAN. Tombol lihat para pemakai sebagai penjelajah melewati batasanbatasan VLAN.
Banyak lingkungan jaringan (e.g., multi-building campus, multi-floored high rises, atau older atau historical building) tidak bisa mengambil solusi single subnet sebagai pilihan praktis. Arsitektur Kabel berselisih dengan teknologi LAN wireless baru-baru ini. Access point tidak bisa menyampaikan suatu sesi ketika suatu alat remote pindah melewati batasan router sebab persimpangan rute merubah alamat IP klien. Sysytem Wired tidak lagi mengetahui di mana untuk mengirimkan pesan itu. Ketika suatu pergerakan alat menyertakan kembali ke jaringan, semua aplikasi hilang dan para pemakai wajib login lagi, re-authenticate, menampung diri mereka di dalam aplikasi, dan membangun ulang data hilang. Jenis masalah yang sama terjadi ketika menggunakan VLAN. Tombol lihat para pemakai sebagai penjelajah melewati batasanbatasan VLAN.
Gambar Roaming Across VLan
Suatu solusi hardware pada masalah ini akan menyebar semua access point pada Single VLAN yang menggunakan suatu flat subnet IP untuk semua access point sehingga tidak ada perubahan alamat IP untuk penjelajahan para pemakai dan suatu solusi mobile IP yang diperlukan. Para pemakai kemudian yang ditetapkan sebagai kelompok kembali ke jaringan menggunakan suatu firewall, suatu router, suatu gateway, dan lain lain. Solusi Ini sulit untuk menerapkan di dalam banyak kejadian, tetapi berlaku umum seperti " standard" metodologi. Ada banyak lagi kejadian lainnya di mana suatu perusahaan harus membatalkan penggunaan suatu LAN wireless semuanya sebab solusi seperti itu tidak praktis. Sama dengan semua access point pada subnet tunggal, para mobile user masih menghadapi permasalahan pemenuhan. Jika seorang pemakai pindah dari batasaa, ke dalam suatu lubang pemenuhan, atau sederhananya memenjarakan alat untuk
memperpanjang hidup baterei, semua aplikasi hilang dan para pemakai di dalam situasi ini lagi juga dipaksa untuk membukukan lagi dan menemukan jalan kembali di mana mereka berhenti. Ada beberapa solusi layer 3 pada pasar mulai dari ini penulisan. Satu solusi seperti itu adalah suatu access point telah dibangun di dalam server VPN dan melaksanakan routing penuh, termasuk yang merouting protokol seperti RIP. Solusi yang lain diterapkan pada satu rangkaian server menggunakan Mobile IP standard (RFC 2002). Banyak dari solusi perangkat lunak diterapkan di alam sedikitnya cara yang sama.
Efisiensi dimaksimalkan
Suatu solusi hardware pada masalah ini akan menyebar semua access point pada Single VLAN yang menggunakan suatu flat subnet IP untuk semua access point sehingga tidak ada perubahan alamat IP untuk penjelajahan para pemakai dan suatu solusi mobile IP yang diperlukan. Para pemakai kemudian yang ditetapkan sebagai kelompok kembali ke jaringan menggunakan suatu firewall, suatu router, suatu gateway, dan lain lain. Solusi Ini sulit untuk menerapkan di dalam banyak kejadian, tetapi berlaku umum seperti " standard" metodologi. Ada banyak lagi kejadian lainnya di mana suatu perusahaan harus membatalkan penggunaan suatu LAN wireless semuanya sebab solusi seperti itu tidak praktis. Sama dengan semua access point pada subnet tunggal, para mobile user masih menghadapi permasalahan pemenuhan. Jika seorang pemakai pindah dari batasaa, ke dalam suatu lubang pemenuhan, atau sederhananya memenjarakan alat untuk
memperpanjang hidup baterei, semua aplikasi hilang dan para pemakai di dalam situasi ini lagi juga dipaksa untuk membukukan lagi dan menemukan jalan kembali di mana mereka berhenti. Ada beberapa solusi layer 3 pada pasar mulai dari ini penulisan. Satu solusi seperti itu adalah suatu access point telah dibangun di dalam server VPN dan melaksanakan routing penuh, termasuk yang merouting protokol seperti RIP. Solusi yang lain diterapkan pada satu rangkaian server menggunakan Mobile IP standard (RFC 2002). Banyak dari solusi perangkat lunak diterapkan di alam sedikitnya cara yang sama.
- Load Balancing
Efisiensi dimaksimalkan
Gambar Load Balancing
sendiri kepada semua stasiun yang lain di dalam Jaringan Ad Hoc. Stasiun mengubah pengiriman beacon pada suatu jaringan IBSS dengan menggunakan metoda bervariasi, masing-masing tergantung pada pabrik. Kapan stasiun menggunakan power saving mode, ada masa waktu menghubungi] suatu jendela ATIM , selama masing-masing stasiun secara penuh terjaga dan siap untuk menerima frame data. Ad hoc traffic indication message(ATIM) adalah frame unicast yang digunakan oleh stasiun untuk emberitahu stasiun lain yang ada datanya diperuntukkan kepada stasion itu dan stasion itu tinggal bertahan terjaga cukup panjang untuk menerima itu. ATIM dan beacon kedua-duanya dikirim sepanjang jendela ATIM. Proses yang diikuti oleh
stasiun dalam rangka melewati lalu lintas adalah: Stasiun disinkronkan melalui beacon sehingga bekerja sebelum jendela ATIM mulai. Jendela ATIM mulai, stasiun mengirimkan beacon dan kemudian stasiun mengirimkan frame ATIM yang memberitahu stasiun yang tentang lalu lintas buffer. Stasiun yang menerima frame ATIM sepanjang jendela ATIM menerima frame data. Jika tidak ada frame ATIM, stasiun kembali untuk istirahat. Jendela ATIM menutup, dan stasiun mulai mentransmisikan frame data. Setelah frame data yang menerima, stasiun kembali untuk istirahat menunggu jendela ATIM yang berikutnya. Proses PSP Ini untuk suatu IBSS digambarkan di dalam Gambar 7.17.
- Fitur Manajemen Power
- Continuous aware mode
- Power Save Polling
- PSP in an Independent Basic Service Set
sendiri kepada semua stasiun yang lain di dalam Jaringan Ad Hoc. Stasiun mengubah pengiriman beacon pada suatu jaringan IBSS dengan menggunakan metoda bervariasi, masing-masing tergantung pada pabrik. Kapan stasiun menggunakan power saving mode, ada masa waktu menghubungi] suatu jendela ATIM , selama masing-masing stasiun secara penuh terjaga dan siap untuk menerima frame data. Ad hoc traffic indication message(ATIM) adalah frame unicast yang digunakan oleh stasiun untuk emberitahu stasiun lain yang ada datanya diperuntukkan kepada stasion itu dan stasion itu tinggal bertahan terjaga cukup panjang untuk menerima itu. ATIM dan beacon kedua-duanya dikirim sepanjang jendela ATIM. Proses yang diikuti oleh
stasiun dalam rangka melewati lalu lintas adalah: Stasiun disinkronkan melalui beacon sehingga bekerja sebelum jendela ATIM mulai. Jendela ATIM mulai, stasiun mengirimkan beacon dan kemudian stasiun mengirimkan frame ATIM yang memberitahu stasiun yang tentang lalu lintas buffer. Stasiun yang menerima frame ATIM sepanjang jendela ATIM menerima frame data. Jika tidak ada frame ATIM, stasiun kembali untuk istirahat. Jendela ATIM menutup, dan stasiun mulai mentransmisikan frame data. Setelah frame data yang menerima, stasiun kembali untuk istirahat menunggu jendela ATIM yang berikutnya. Proses PSP Ini untuk suatu IBSS digambarkan di dalam Gambar 7.17.
Gambar PSP Mode in an IBSS
Sebagai administrator LAN wireless, kita harus mengetahui apa yang mempengaruhi fitur manajemen power yang berakibat pada performance, hidup baterei, lalu lintas bradcast LAN, dan lain lain Di contohkan di atas, efek bisa menjadi penting
Sebagai administrator LAN wireless, kita harus mengetahui apa yang mempengaruhi fitur manajemen power yang berakibat pada performance, hidup baterei, lalu lintas bradcast LAN, dan lain lain Di contohkan di atas, efek bisa menjadi penting
- Kesimpulan
Tidak ada komentar:
Posting Komentar