Wireless
access point Ubiquiti NetworksAccess Point
Přístupový bod (anglicky Access point (AP)) k bezdrátové Wi-Fi síti je zařízení, ke kterému se klienti připojují. Klienti spolu nekomunikují přímo, ale prostřednictvím přístupového bodu, takže mohou být jednodušší a nemusejí být ve vzájemném rádiovém spojení. Centralizovaný způsob komunikace též umožňuje použití směrových antén, které zvyšují dosah rádiového signálu. Tento typ uspořádání nazýváme infrastrukturní síť. Opakem jsou ad-hoc sítě, kde jsou dva nebo více klientů ve vzájemném přímém rádiovém spojení (bez existence prostředníka).
Přístupový bod je obvykle realizován malým jednoúčelovým
zařízením (viz obrázek), ale s potřebnou softwarovou výbavou se jím může stát i
jakýkoliv počítač s bezdrátovým Wi-Fi zařízením. Některá z těchto jednoúčelových
zařízení využívají jako základ operační systém Linux.
Názvy standardů
Zařízení jsou označována názvy standardů, které určují jejich maximální
přenosové rychlosti. Reálně je dosahováno nižší rychlosti (viz tabulka):
Standard Frekvence Max. propustnost Typ. propustnost Dosah
(uvnitř) Dosah (venku)
IEEE 802.11a 5 GHz 54 Mbit/s 23 Mbit/s ~35 m ~120 m
IEEE 802.11b 2,4 GHz 11 Mbit/s 4,3 Mbit/s ~38 m ~140 m
IEEE 802.11g 2,4 GHz 54 Mbit/s 19 Mbit/s ~38 m ~140 m
IEEE 802.11ac 2,4 nebo 5 GHz 270 Mbit/s (duálně) 74 Mbit/s ~70 m ~250 m
IEEE 802.11y 3,7 GHz 54 Mbit/s 23 Mbit/s ~50 m ~5000 m
Wireless
access point Ubiquiti Networks
Wireless access point Planet WAP-4000
Zařízení může poskytovat vlastní DHCP server, možnost NAT (překladač veřejných
ip na soukromé a opačně – maškaráda), předávání portů do vnitřní sítě (port
forwarding), autentizace klientů proti RADIUS serveru, různé úrovně šifrování
(viz níže) a podobně. Některé chybějící vlastnosti lze nahradit vhodně umístěným
doplňujícím počítačem nebo dalším jednoúčelovým zařízením (router).
Role přístupových bodů
Přístupové body vystupují v několika různých rolích, které jsou dány nejen
požadavky na strukturu sítě, ale i schopnostmi těchto zařízení. I když jsou
schopnosti bezdrátových zařízení snadno rozšiřitelné pomocí změny softwarového
vybavení, většina výrobců ji neumožňuje. Naopak hardwarově identická zařízení se
mohou cenově několikanásobně lišit jen díky existenci jednoduchého softwarového
doplňku.
bridge – bezdrátová síť je součástí sítě LAN
bridge odděluje síťový provoz, ale propouští lokální broadcasty
není nutné konfigurovat
router – bezdrátová síť je samostatnou podsítí
router odděluje síťový provoz a nepropouští lokální broadcasty
vyžaduje konfiguraci IP adres zařízení a nastavení směrování
Pokud je v bezdrátovém zařízení (AP) zabudována bezdrátová část dvakrát,
označuje se jako point-to-multipoint, protože dokáže např. bezdrátový signál
dálkově přijímat a zároveň ho distribuovat dalším bezdrátovým klientům v blízkém
okolí. Takto jsou konstruovány bezdrátové přípojné body poskytovatelů
internetového připojení (providerů), kteří však někdy kvůli ceně používají dvě
samostatná bezdrátová zařízení.
Specifickým typem jsou WDS sítě (Wireless Distribution System), kdy všechny přístupové body vysílají na stejném kanálu, navzájem spolu komunikují a jeví se tak klientům jako jedna síť. Výhodou je, že jen jeden AP musí být připojen k mateřské síti a jednotlivé AP nemusejí mít dvě samostatné bezdrátové části jako u point-to-multipoint. Nevýhodou je pak snižování propustnosti sítě v závislosti na počtu skoků, než se signál přes jednotlivé AP dostane do mateřské sítě, protože veškerý provoz se šíří po celé bezdrátové síti na stejném kanálu.
Připojení k přístupovému bodu
Klienti se k přístupovému bodu připojují (ascociují se), přičemž mohou být vůči
nim uplatněna omezení a přístup odepřen. Komunikace mezi klienty probíhá
prostřednictvím přístupového bodu, tj. minimálně dva skoky (nejprve na
přístupový bod a z něj pak na příslušnou protistanici). Klient tak udržuje
spojení jen s přístupovým bodem a nemusí mít cílovou stanici ani v přímém
rádiovém dosahu. Přístupový bod může rozpoznat, zda klient přešel do úsporného
režimu a do jeho probuzení dočasně uchovat přicházející data, což může vést k
úsporám výdrže baterií klienta.
Související informace naleznete také v článku Wi-Fi.
Bezpečnost
Bezdrátové sítě jsou často podceňovány a vznikají tak bezpečnostní rizika pro
zbytek LAN, ve které se nezabezpečený přístupový bod nachází. Nejčastější chybou
je:
podcenění dosahu rádiového signálu
pro dálkový příjem stačí, aby jen jedna strana disponovala kvalitní směrovou
anténou nebo citlivým přijímačem
neznalost možností nastavení šifrování
většina zařízení je prodávána v nastavení, kdy není použito žádné zabezpečení
použití zastaralého šifrování WEP
WEP je snadno prolomitelný, je nutné použít WPA nebo lépe WPA2
vypnutí DHCP serveru nebo filtr MAC adres
nejen, že si stále mnoho lidí myslí, že mít otevřenou síť s filtrem MAC adres je
bezpečné, ale tyto naprosto scestné teze předávají dále bez jakékoliv znalosti
problematiky. Pro domácí užití je nejrychlejší a nejpohodlnější nastavit
šifrování WPA2 s vynuceným AES (TKIP ukázal nedostatky) a dát tam alespoň 14
místné heslo kombinující velká a malá písmena, čísla a alespoň jeden speciální
znak (jako třeba čárka "," – výborný článek v angličtině zde). Nejen MAC adresa
se dá jednoduše podvrhnout, ale i statická adresa (při vypnutém DHCP). Proto
filtr MAC adres a vypnutí DHCP serveru bude pouze obtěžovat majitele a útočníka
prakticky vůbec nezpomalí.
Nevýhody technologie
kvalita spojení výrazně klesá při ztrátě přímé viditelnosti klienta na
přístupový bod
omezený počet nepřekrývajících se kanálů způsobuje rušení komunikace u
sousedních přístupových bodů
připojení klienti se dělí o dostupnou šířku pásma, takže s jejich zvyšujícím se
počtem klesá i datová propustnost
vyšší přenosové rychlosti se dosahuje typicky ve směru ke klientovi – pokud
klient vysílá, snižuje se dosažitelná propustnost kolizemi, které vznikají na
přístupovém bodu, přičemž jejich minimalizaci se snaží zajistit protokol CSMA/CA