Беспроводные компьютерные сети Wi-Fi

Как было обещано, в этом выпуске описание небольшого проекта по организации бесплатного Wi-Fi доступа к интернет для посетителей одного из московских ресторанов.

Исходные данные

Площадь зала ресторана, в котором требуется обеспечить доступ в интернет по Wi-Fi около 100 кв. м.
Помещение прямоугольное без внутренних перегородок.
Планируемое количество беспроводных устройств в сети: до 10.
Информационная безопасность:

• доступ в интернет через беспроводное подключение должен быть разрешен только для посетителей ресторана;
• необходимо обеспечить запрет на доступ во внутреннюю сеть ресторана для посетителей, использующих беспроводное подключение.

Подключение к внешним сетям: имеется подключение к интернет через ADSL-модем, на выходе модема – один порт Ethernet.
Имеется Ethernet-коммутатор, к которому подключены компьютеры сотрудников ресторана.

Построение сети

Для модернизации сети использовано оборудование D-Link – точка доступа DWL-2100AP и межсетевой экран DFL-200. Схема подключения оборудования показана на рисунке.

D-Link DWL-2100AP – беспроводная точка доступа стандарта 802.11g, устройство поддерживает скорость беспроводного соединения до 108 Мбит/с. Настройка точки доступа заключалась в изменении имени сети (SSID) и пароля доступа к интерфейсу администрирования, а также был включен встроенный сервер DHCP. Шифрование WEP или WPA оставлено выключенным для совместимости с любым типом устройств, которые могут оказаться у посетителей ресторана. Разграничение доступа пользователей выполняется средствами DFL-200.

D-Link DFL-200 – компактное устройство, выполняет функции аппаратного межсетевого экрана (firewall) и интернет-шлюза с поддержкой VPN. Устройство имеет выделенный порт DMZ, который в данном проекте использован для подключения беспроводного сегмента.

Правила межсетевого экрана DFL-200 настроены следующим образом:

• разрешен полный доступ из LAN в WAN (интернет) и в DMZ (в частности, для администрирования точки доступа);
• разрешен доступ авторизованных пользователей из DMZ в WAN (интернет), с ограничениями по типам трафика (разрешен доступ только к WWW и почтовым серверам);
• запрещен доступ из DMZ в LAN (внутреннюю сеть ресторана);
• запрещен доступ из WAN в LAN и в DMZ;
• доступ к интерфейсу администрирования DFL-200 разрешен только из LAN (внутренней сети).

Авторизация пользователей производится по встроенной базе DFL-200. Устройство также поддерживает авторизацию на сервере RADIUS, но в данном случае это было бы излишним. Для получения доступа в интернет пользователь должен подключиться к беспроводной сети, зайти на страницу авторизации (http://192.168.1.1) и указать там свои реквизиты доступа (логин и пароль), полученные у сотрудника ресторана.

В базу пользователей DFL-200 внесены 10 учетных записей для посетителей ресторана. При необходимости можно добавить дополнительные учетные записи. Сотрудникам ресторана остается регулярно менять пароли этих учетных записей для предотвращения повторного использования. Например, чтобы исключить ситуацию, когда один из жителей дома, в котором располагается ресторан, или сотрудник соседней организации, однажды получил реквизиты доступа и стал пользоваться беспроводным интернетом бесплатно неограниченное время.

Итоги

С небольшими затратами – стоимость оборудования 10800 рублей – построен hot-spot Wi-Fi с бесплатным доступом. При этом обеспечены требуемые меры безопасности.