Best Practice – Wireless

Kablosuz

Aşağıdaki bölüm, şifreleme ve kimlik doğrulama, coğrafi konum, ağ planlama, güç kullanımı, istemci yük dengeleme, yerel köprüleme, SSID’ler ve statik IP’lerin kullanımı ile ilgili kablosuz ağ yapılandırmaları için en iyi uygulamaların bir listesini içerir.

Şifreleme ve kimlik doğrulama

İstemcinizin desteklediği en güçlü kullanıcı kimlik doğrulama ve şifreleme yöntemini her zaman etkinleştirmek en iyi uygulamadır. Fortinet, en güçlüsü ile en zayıf arasında sırasıyla aşağıdaki güvenliği önerir:

l WPA2 – Enterprise 802.1x / EAP – Kişisel önceden paylaşılan anahtar (8-63 karakter) l WPA – Enterprise 802.1x / EAP – Kişisel önceden paylaşılan anahtar (8-63 karakter) l WEP128 – 26 Onaltılı basamak tuşu l WEP64 – 10 Onaltılı basamak tuşu l Yok – Açık sistem

Coğrafi konum

FortiGate kablosuz denetleyicisinin coğrafi konumunuz için yapılandırıldığından emin olun. Bu, mevcut radyo kanallarının ve radyo gücünün bölgenizdeki düzenlemelere uygun olmasını sağlar.

Wi-Fi ağları için izin verilen maksimum verici gücü ve izin verilen radyo kanalları, ağın bulunduğu bölgeye bağlıdır. Varsayılan olarak, WiFi denetleyicisi ABD için yapılandırılmıştır. Başka bir bölgede bulunuyorsanız, kablosuz ağları yapılandırmaya başlamadan önce konumunuzu ayarlamanız gerekir.

Konum ayarı yalnızca CLI’den değiştirilebilir. Örneğin, ülkeyi Fransa olarak değiştirmek için aşağıdakileri girin:

config wireless-controller setting set country FR

end

Ülke kodlarının listesini görmek için ülke kodu yerine bir soru işareti (‘?’) Girin.

Yanlış bir coğrafi konum kullanmak, istemci tarafında öngörülemeyen sonuçlara yol açabilecek yaygın bir hatadır.

Ağ planlama

Kablosuz erişim noktasını konumlandırmadan önce uygun bir saha araştırması yapmanız önerilir. Kapsama alanı ortamını değerlendirmek için aşağıdaki kriterler dikkate alınmalıdır:

Kapsama alanının boyutu l Gereken bant genişliği l İstemci kablosuz özellikleri Kablosuz RF parazitini azaltmak için güç seviyesini düşürme

Bir RF sitesi anketini tamamladıktan sonra, kullanıcılara yeterli kapsama alanı ve performans sağlamak için gereken erişim noktalarının sayısı ve yeri hakkında iyi bir fikriniz olacaktır.

Ancak, erişim noktalarını kurmadan önce, kullanmayı planladığınız RF kanallarını belirlediğinizden emin olun. Bu, kullanıcıların tesis genelinde önemli bir performansla dolaşabilmelerini sağlayacaktır.

Ortak kanal girişimini önlemek için, bitişikteki Kablosuz AP’lerin çakışan olmayan kanalları kullanacak şekilde yapılandırılması gerekir. Aksi takdirde, erişim noktaları arasındaki parazit nedeniyle düşük performansın düşeceğini göreceksiniz.

Her erişim noktasında çakışan olmayan kanalların her AP için bir Özel AP profili (veya AP grubu) kullanarak statik olarak yapılandırılması önerilir. Statik yapılandırma kullanılamıyorsa, FortiOS Wi-Fi Denetleyici Otomatik Radyo Kaynak Hazırlama (ARRP) özelliğini içerir.

RF parazitini azaltmak için güç seviyesini düşürme

İlgili Ürün (ler): FortiAP

Gücü azaltmak, istenmeyen kapsama alanını ve diğer WLAN’lara olası paraziti azaltır. İstenmeyen kapsama alanları potansiyel bir güvenlik riskidir. Mümkünse, kablosuz erişim noktanızın verici gücünü, sinyalin ihtiyaç duyulan alanların ötesinde bulunmaması için azaltın. Otomatik Tx Güç Kontrolü, iletim gücünü otomatik olarak ayarlamak için etkinleştirilebilir.

Müşterilerin bir FortiAP üzerinden yavaş kablosuz trafikten şikayet ettiği durumlarda, RF paraziti olasılığını azaltmaya çalışmak gerekebilir. FortiAP’leri çelik kirişlerin veya diğer müdahale eden malzemelerin yakınına yerleştirmemek en iyi uygulamadır. Kablosuz paketleri toplamak için kablosuz bir algılayıcı aracı kullanmayı deneyebilir ve ardından hava parazitinin boyutunu analiz edebilirsiniz.

Yaygın bir hata, FortiAP’leri 5Ghz radyo frekansına göre aralıklandırmaktır. 2.4Ghz sinyali daha ileri gider.

Bir FortiAP üzerinden yavaş kablosuz trafikle karşılaştığınızda iki seçeneğiniz vardır:

Seçenek # 1: Aktarım gücünü azaltma

Bir hız testi yapın ve sonuçları kaydedin. FortiAP üzerindeki radyolardan birini özel izleme modunda olacak şekilde ayarlayın. Ardından kaç AP tespit edildiğini gözlemleyin. AP sayısı çok yüksekse (yani 20′den fazla), özel AP sayısı önemli ölçüde düşene kadar FortiAP’ler için WTP profilindeki iletim gücünü azaltmayı deneyin.

Hız testini tekrarlayın.

Seçenek # 2: VAP’lerin mevcut kanallar üzerinden dağıtılmasını sağlama

RF parazitini doğrudan ölçmek için yerleşik bir araç yoktur. Bununla birlikte, FortiOS 5.0, RF parazitinin oluşumunu en aza indirecek otomatik güç ayarına izin verir.

Kablosuz istemci yük dengeleme

Kablosuz yük dengeleme, kablosuz ağınızın kablosuz trafiği kablosuz erişim noktaları ve kullanılabilir frekans bantları arasında daha verimli bir şekilde dağıtmasını sağlar. FortiGate kablosuz denetleyicileri aşağıdaki istemci yük dengeleme türlerini destekler:

Erişim Noktası Teslimi – Kablosuz denetleyici, istemciye başka bir erişim noktasına geçmesi gerektiğini bildirir.
Frekans Teslimi – Kablosuz denetleyici 2.4GHz ve 5GHz bantlarının kullanımını izler ve istemcilere daha az kullanılan frekansa geçmeleri için sinyal gönderir.

Local Bridge

Mümkünse, CAPWAP tünelini boşaltmak için yerel köprüleme kullanın. Bu durumda, Wi-Fi istemci cihazlarının, LAN üzerindeki kablolu cihazlarla aynı DHCP sunucusundan IP adresleri aldığını unutmayın. Vlan kimliği yalnızca CLI’den yapılandırılabilir:

config wireless-controller vap
edit “vaplocalbridge”
set vdom “root”
set ssid “testvaplocalbridge”
set local-bridging enable
set vlanid 40 —> only available in CLI
next
end

Reklam SSID’leri

SSID’nin reklamının yapılması önemle tavsiye edilir. Müşteriler ve kablosuz istemciler için kolaylaştırır. Ayrıca, SSID’yi (“ağ gizlemesi” olarak bilinir) “gizlerseniz”, istemciler SSID’yi yine de sızdırıyor olarak bilinen SSID’leri arayan kapsama alanının dışında olduklarında her zaman ararlar. Ayrıca RFC 3370′e bakın. Ayrıca, en yeni Broadcom sürücülerinin çoğu WPA2 için gizli SSID’yi desteklemez.
Güvenlik nedeniyle, kablosuz istemcileriniz arasında doğrudan iletişimi önlemek isteyebilirsiniz. Bu durumda SSID Trafiğini Engelle’yi (SSID yapılandırmasında) etkinleştirin.
Birden çok kablosuz denetleyiciye sahip bir ağda, kafes SSID’sini değiştirmeniz gerekir, böylece her kafes kökünün benzersiz bir SSID’si olur. Aynı ağ kökü SSID’sini kullanan diğer denetleyiciler sahte veya haydut AP’ler olarak algılanabilir. SSID’yi değiştirmek için WiFi ve Anahtar Denetleyicisi> SSID’ye gidin. Fortinet ayrıca, varsayılanı kullanmak yerine yeni bir önceden paylaşılan anahtar oluşturmanızı önerir.

4,121 total views, 3 views today