Tip til hurtigere trådløst netværk på kontoret

Det er sommer og hvis du skal forholde dig frit til din kontorstol kræver det en god forbindelse til trådløst netværk. Her er syv tip til, hvordan du sikrer hurtig forbindelse og fri bevægelighed i heden.

Vi modtager tonsvis af reklamemateriale og tro os, vi skåner læserne for langt det meste. Men ind i mellem hænder det, at der er brugbart materiale imellem. Eksempelvis her, hvor vi bringer følgende tip. Vi synes det er brugbart.

Her er syv simple tips til, hvordan man kan optimere hastigheden på virksomhedens trådløse forbindelse.

Vælg den rette trådløse standard

Kontrollér, hvilken trådløs standard virksomhedens netværk har og overvej, om I bruger den rette router og de rigtige access points. Der er tre forskellige standarder:

  • 11g er den ældste standard, som efter dagens standard er forholdsvis langsom. Hvis virksomheden bruger denne standard i netværket, vil det trække kraftigt ned i ydevnen.

  • 11n er den standard, som mange virksomheder benytter i dag. Der er tre hastigheder: op til 150Mbit/s, op til 300Mbit/s og op til 450Mbit/s. Nogle få routermodeller kan have hastigheder på op til 600Mbit pr. sekund. Nogle vil opleve, at forbindelsen hakker, hvis der er mange på det samme netværk samtidig.

  • 11ac er den nyeste standard, og den kan give hastigheder på op til 1300 Mbit/s på 5 GHz-båndet. Standarden er bagudkompatibel og fungerer derfor også med ældre enheder. De første routere og access points med 11ac kom på markedet i 2012, men det er først nu, at vi ser mobiltelefoner og computere med indbygget 11ac. Hvis virksomhedens laptops ikke har 11ac indbygget, kan der opnås hurtigt netværk ved at indsætte en dongle.

Placér virksomhedens routere og access points klogt

Selv de nyeste og hurtigste trådløse routere og access points har en begrænset rækkevidde. Derfor er det vigtigt at placere enhederne centrale steder på kontoret. Gerne omkring 1½-2 meter oppe på en væg, hvor der er frit udsyn.

Et trådløst netværk sender radiobølger, der skal passere forskellige forhindringer for at nå frem til virksomhedens computere, printere og smartphones mv. Stil derfor aldrig routeren eller access pointet i et skab, i et rum med lukket dør eller nær enheder, som bruger radiosignaler, fx mikrobølgeovne. Jo mere uforstyrret signalet kan sprede sig gennem kontoret – jo bedre trådløst netværk får virksomheden.

Kig efter flaskehalse

Hvis I har en fiberforbindelse på kontoret, skal I sikre jer, at I undgår flaskehalse. Sørg for, at I har en router og gigabit-access points, der som mimimum kan håndtere 11n og N600. Det er nødvendigt for at håndtere den høje fiber-hastighed. Hvis I vælger 11ac med gigabit, øger I hastigheden og fremtidssikrer virksomheden med hensyn til trådløse standarder. Desuden skal I sørge for, at alle virksomhedens enheder har gigabit hastigheder. Netværkskabler skal være af modellen kategori 6 (CAT6).

Hvis virksomheden har ADSL på 24 Mbit/s, findes flaskehalsene i selve bredbåndet. Men det kan stadig være en god idé med hurtigere access points for at maksimere kapaciteten af det interne netværk. De vil oftest være bedre til at prioritere datatrafikken - blandt andet på grund af funktionen QoS (Quality of Service), der sikrer, at video, lyd og Skype-opkald ikke ’hakker’.

Desuden er det en god ide at tjekke, om virksomhedens netværksudstyr, i form af switches, routere, servere, computere og kabler, er udstyret med gigabit- og/eller 802.11ac (alternativt 802.11n Dual Band). For at være fremtidssikret er det vigtigt, at alt udstyr fungerer med gigabit-hastighed, og at netværkskablerne er af typen kategori 6 (forkortet CAT6).

Med hensyn til switchen, kan I fx vælge en såkaldt ’smart switch’. Disse switches har samme netværksfunktioner som de mere avancerede og dyrere switches, men er nemmere at installere og koster mindre. Smart switches giver desuden mindre virksomheder de funktioner, der er nødvendige for at skabe et trådløst netværk med høj ydeevne og pålidelighed. Særlig vigtigt er det at kontrollere, om switchen kan håndtere følgende funktioner, der sørger for at trådløse trafik flyder godt på netværket,: Auto Surveillance VLAN, Auto Voice VLAN og Loop-back detection.

Udvid rækkevidden

Skal virksomhedens netværk dække et stort kontorområde? Er der en etage, som signalet ikke når? Eller skal det trådløse netværk passere en tyk betonvæg? Så har I brug for at opbygge et netværk af access points. Husk at overlappe de forskellige access points dækning med omkring 30 procent for at minimere risikoen for, at de interfererer med hinanden.

Roaming-funktionen mellem trådløse access points gør det muligt for medarbejderne at bevæge sig mellem bygninger og rum med deres tablets eller computere uden at miste adgangen til internettet. En anden vigtig funktion er ‘load balancing’, der optimerer den trådløse datatrafik ved store trafikmængder og skaber redundans mellem virksomhedens access points. Disse kan derefter administreres centralt via D-Links management software.

Har virksomheden flere bygninger og behov for at sende signalet trådløst til en anden bygning? Det kan løses ved at installere adgangspunkter, der er egnet til udendørs brug.

Vælg access points der kan tilgå 5Ghz-båndet

Er der mange trådløse netværk eller enheder som DECT-telefoner og alarmer i området omkring virksomheden, kan det skabe unødig interferens. Det problem kan en router eller et access point med ’DualBand’ løse, da de er i stand til både at transmittere på 2,4 GHz og 5 GHz-båndet. Det giver flere mulighed for valg af kanaler og dermed færre kilder til interferens.

Alle trådløse enheder der sælges i dag understøtter det ’normale’ 2,4 GHz-bånd. De nyeste modeller understøtter også 5 GHz-båndet, som er specielt velegnet til streaming af lyd og video, filoverførsler og backup.

Trim netværket med et analyseprogram

Ved hjælp af programmerne SSIDer eller Tamograph Site Survey til pc, kan I trimme jeres trådløse netværk. Til Mac findes programmerne iStumbler og WiFi Explorer. Programmerne leder efter kilder til interferens og ser, hvilke netværk og kanaler de andre kontorer i nærheden anvender. På denne måde kan I let skifte til en kanal, der ikke bruges af andre for at skabe den optimale trådløse hastighed i virksomheden.

Beskyt virksomhedens netværk

Kryptér altid netværkstrafikken. WPA2 eller WPA2 Enterprise giver den højeste sikkerhed. Vær også sikker på, at I altid bruger hardware-firewallen på virksomhedens router, og at I aktiverer software-beskyttelse på pc’erne for at opnå endnu større sikkerhed. Husk altid at opdatere firmwaren på alle enheder til nyeste version.

Dit kodeord bør bestå af mindst 14 tegn. Bland tal, bogstaver og tegn i adgangskoden og undgå almindelige ord, der findes i en ordbog, så det bliver sværere at ‘knække’ koden.

Alle routere, firewalls, switches og access points bør understøtte VLAN (Virtual LAN) og kunne administrere flere SSID for øget privatliv og sikkerhed. Ved at oprette flere SSID'er, kan I både have et admin-netværk og en gæstenetværk. Det skaber større sikkerhed.

(Tippene stammer fra D-Link)

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#6 Maciej Szeliga

??

De skriver jo noget (i artiklen) om at køre med VLANs og så har man i realiteten mulighed for en DHCP server i hvert VLAN på hver sit segment uden at det generer, det kan f.eks. være en AP med DHCP server på hver sit VLAN. DHCP går jo ikke igennem en router (medmindre man konfigurerer routeren til det) så det er en reel mulighed.

  • 0
  • 0
#7 Christian Nobel

De skriver jo noget (i artiklen) om at køre med VLANs og så har man i realiteten mulighed for en DHCP server i hvert VLAN på hver sit segment uden at det generer, det kan f.eks. være en AP med DHCP server på hver sit VLAN. DHCP går jo ikke igennem en router (medmindre man konfigurerer routeren til det) så det er en reel mulighed.

Det er rigtigt at du kan have særskilte LAN på hver sin side af en router, og derved også en DHCP server på hver sin side (og at dette LAN så også kan have tilsluttet en eller flere APs), men DHCP fungerer altså på MAC niveauet, og og ind til en maskine har fået en IP adresse, er den relativt dum, og ved ikke noget om hvilket VLAN den skal høre til.

Herudover, så mener jeg at "artiklen" (læs mikrofonholderiet for D-Link) er en tynd omgang som måske kunne have været bragt på 'Kåmpjudder for Alle', ikke V2 som hævder at henvende sig til professionelle.

Og artiklen tager som sædvanlig slet ikke fat i de voldsomme problemer der er med æterforurening, som bliver værre for hver dag der går.

WiFi har intet at gøre i et professionelt miljø.

  • 1
  • 2
#9 Baldur Norddahl

men DHCP fungerer altså på MAC niveauet, og og ind til en maskine har fået en IP adresse, er den relativt dum, og ved ikke noget om hvilket VLAN den skal høre til.

Den forstår jeg ikke helt. VLAN er en layer 2 teknologi som ikke umiddelbart kan konfigureres via DHCP.

Computere sider typisk på en accessport, hvor det er switchen der tilføjer og fjerner VLAN information på netværkspakkerne. Computere ved sjældent noget om VLAN - undtagelsen er vise server setups (router, firewall, virtual machine host etc).

Et typisk LAN er ikke sat op på en sikker måde. Enhver tilsluttet computer kan lave ravage ved at starte en uautoriseret DHCP server eller lave man in the middle med diverse ARP-tricks. Mere avancerede switche har funktioner der kan blokkere for en del af den slags, men det er sjældent konfigureret.

En måde at lave et sikkert LAN er at tildele et unikt VLAN til samtlige porte på dine switche. F.eks. så at port 1 er VLAN 1, port to er VLAN 2 etc. Hvert VLAN har et subnet, så f.eks. VLAN x (og dermed port x) har subnet 192.168.x.0/24. Du har en firewall som er på alle VLANs og subnets. Firewallen hedder f.eks. 192.168.x.1/24 - en IP adresse per VLAN.

Man kan ikke kommunikere på tværs af VLANs anden end via routeren, som i dette tilfælde er firewallen. Hvis din computer er tilsluttet port 1 og printeren port 2, så skal trafikken lige ud og vende i firewallen, selvom computer og printer er tilsluttet samme switch.

Dermed kan du styre helt præcist hvad der er tilladt. Printeren skal ikke have lov til at lave udgående forbindelser (ej hellere lokalt på LAN'et) og har kun brug for at acceptere indgående på en bestemt port. Dermed bliver det sværere at hacke printeren, selv hvis du har adgang til en computer på LAN'et. Og hvis det lykkes at hacke printeren, så er det værdiløst når den intet kan foretage sig udadgående.

Man kan ikke stole på de computere der er på nettet. Selvom det er dine egne, så kan de have virus og være kontrolleret af ondsindede personer. En computer med virus vil ofte scanne lokalnettet for at finde flere computere og devices som kan kompromitteres. Sådan noget som en netværksprinter eller et smart-TV indeholder en lille computer, med firmware der aldrig bliver opdateret, og som fint kan være en del af et botnet. Så hvorfor ikke forhindre at disse ting kan kommunikere med andet end det, som er godkendt?

  • 4
  • 0
#10 Christian Nobel

Den forstår jeg ikke helt. VLAN er en layer 2 teknologi som ikke umiddelbart kan konfigureres via DHCP.

Det jeg egentlig ville sige at sålænge maskinen er blank, så aner den selv intet om tilhørsforhold, og den aner ikke hvem der skal give den en IP adresse via DHCP, da alt den kan lave er et broadcast efter DHCP - forvirringen blev ikke bedre af at der pludselig blandes APs ind i sagen i en pærevælling.

Hvis man sætter et AP på hver VLAN på switchen, og i øvrigt lader dette være et helt separat adresseområde/net via en router som du er inde på, så kan vi begynde at tale om at have en DHCP server til hvert - men så begynder vi at komme ret langt væk ad overdrevets sti i forhold til konteksten, og man kan så i øvrigt diskutere om det er vejen at gå, i stedet for at acceptere kabling, der uagtet hvordan man vender og drejer den er WiFi overlegent, og meget mere sikkert.

@Gustav - ok kan godt gå med til alene, men efter modne overvejelser.

  • 0
  • 0
#11 Baldur Norddahl

Det giver mere mening. Hvis det ikke var klart, så er det jeg beskrev for kablede netværk. Det er lidt sværere at gøre det samme på Wifi.

Det kan dog gøres med WPA-Enterprise, hvor du kan tildele hver enkelt bruger et unikt VLAN.

Med det almindelige WPA-PSK vil alle trådløse brugere være på et broadcastdomæne (VLAN). Og dermed vil de ikke være beskyttet imod hinanden.

Om det er overkill ved jeg nu ikke. Faktisk undrer det lidt at det ikke er standard. Avancerede switche kan lave ACL som lugter lidt af fisk. Du kan også få firewalls med indbygget switch, f.eks. Juniper SRX240 der har indbygget 16 port switch.

Det er klart at i hjemmet og i små virksomheder prioriterer man at det bare skal virke højere end sikkerhed.

  • 1
  • 0
#12 Morten Ihlemann Larsen

Installer en proxy (HTTP, Socks, etc) lokalt på det kablede netværk. Den behøver ikke cache noget, bare man får termineret sin TCP forbindelse så hurtigt som muligt efter sit WiFi. Det har jeg haft held med hvor der har været meget dårligt signal i yderkanten af rækkeviden, eller en smule pakketab som følge af støj (mikrobølgeovne etc.) eller mange andre WiFi netværk i f.eks en boligblok. Det var 802.11b den gang jeg brugte det, men jeg gik fra ca. 2KB/sek til 50KB/sek selv om der var en del pakketab.

Til reference må en mikrobølgeovn støje med op til 1W mens WiFi 802.11b/g/n kun må sende med 0.1W. (hvis jeg husker rigtigt)

  • 1
  • 0
#13 Mikkel Planck

Jeg forstår ikke lige hvad du mener med at maskinen er blank, da den ikke behøver at vide hvilket VLAN den er i, men mindre den er tag-aware og du opsætter det på den. Du kobler et SSID på et VLAN, så der korrekte VLAN præsenteres for devicen, som dermed henter fa den DHCP-server der sidder på den pågældende VLAN, så den er på intet tidpunkt klar over hvor den sidder, men modtager blot en IP fra en DCHP-server. Dit AP skal naturligvis være tag-aware for at kunne dette, men det er så godt som alle ( hvis ikke alle ) AP'ere til business brug.

Jeg kan ikke se hvorfor en DHCP-server på hvert VLAN er ude på overdrevet, da det er virkeligheden i 99% af de setups vi laver.

  • 1
  • 0
#14 Mikkel Planck

"Med det almindelige WPA-PSK vil alle trådløse brugere være på et broadcastdomæne (VLAN). Og dermed vil de ikke være beskyttet imod hinanden."

De fleste trådløse units lader dig konfigurere at en device eksempelvis kun må tilgå gateway eller hvad du nu ønsker. Derudover lader de lidt mere funky produkter som Aerohive og Cisco/Meraki tilknytte en brugerprofil, evt. via radius, som så er gældende i hele netværket inkl. det trådløse. I forhold det trådløse vs. det kablede netværk, så vil jeg mene at den eneste umiddelbare forskel er, at du ikke behøver at være fysisk tilstede ved en port, for at få adgang til netværket, ved for eksempel at bryde en kode på et SSID. Kobler du det op imod en radius til validering, så er det vel i sidste en spørgsmål om fysisk adgang.

  • 0
  • 0
#16 Mikkel Planck

Ikke uenig, er bare lidt lunken ved din formulering om, at Radius kan hver bruger sit eget VLAN, da det ikke umiddelbart en måde jeg har set i et moderne setup. Normalt ville vi koble det sammen med profil der indeholder access-rights, og ikke et selvstændigt VLAN. Lad os antage at det er en løsning der spredes ud over en større virksomhed, og det har mere end 4096 brugere, så løber de hurtigt tør for VLAN:-)

Alternativt kan du profile i netværket på SSID og tilhørende VLAN, hvilket umiddelbart ville give mere mening. PÅ mange enterprise-produkter, kan du i dag give lave en profil der er tilknyttet et bestemt login på et givent VLAN, så du har profile allerede på dit WIFI, og altså enforcer det før det når det kablede netværk.

  • 0
  • 0
#17 Christian Nobel

Jeg forstår ikke lige hvad du mener med at maskinen er blank

At en maskine der lige er startet op intet ved om sine omgivelser hvis den er sat til at være DHCP klient - den får først sin IP adresse efter at have sendt et broadcast efter en DHCP server.

Jeg kan ikke se hvorfor en DHCP-server på hvert VLAN er ude på overdrevet, da det er virkeligheden i 99% af de setups vi laver.

Vi taler forbi hinanden, når jeg mente det var overkill, så var det ud fra det oprindelige indlæg, nemlig at hvert AP skulle have sin egen DHCP server.

  • 0
  • 0
#19 Baldur Norddahl

Ikke uenig, er bare lidt lunken ved din formulering om, at Radius kan hver bruger sit eget VLAN,

Det har jeg ikke sagt (ikke mindst fordi det forkert). Jeg har kun sagt at det er muligt at lave noget i stil med det jeg beskriver, hvis man gør brug af WPA-Enterprise. Der er mange andre måder, eksempelvis ACL, SDN etc.

Her er et eksempel på nogle der har valgt at gøre det sådan: https://k-net.dk/technicalsetup/

Access rights er ikke nok. Det jeg siger er at du skal have broadcast separation mellem klienterne, således at de kun kan kommunikere via en firewall. Ingen klient må kunne sende pakker direkte til en anden klient. Det kan implementeres effektivt med VLANs.

Antal VLAN er ikke begrænset til 4095. Q-in-Q er opfundet: http://en.wikipedia.org/wiki/Q-in-Q

  • 0
  • 0
#21 Michael Weber

Den forstår jeg ikke helt. VLAN er en layer 2 teknologi som ikke umiddelbart kan konfigureres via DHCP.

vlan på dhcp-niveau kan nu godt være relevant: På én port i switchen sidder der en ip-telefon og i ip-telefonen sidder et netkabel til en pc. PC´en på et vlan X og VOIP er på ét vlan Y, hvor der sidder en pbx. Porten er trunket til X og Y med X som native og via vendor classes på dhcp-serveren styres så hvilket dhcp-scope/vlan id, ip-telefonen skal være i. Når telefonen booter op første gang, er den på vlan X og herigennem forbinde til dhcp-serveren, hvor den via de implementerede vendor classes vil ryger over i dhcp-scopet for vlan Y. Telefonen vil reboote og være i det rigtige vlan Y og vil kunne kontakte pbx´en. PC-trafikken flyde untagget til porten på switchen via telefonen, som derved er vlan Y.

Sådan cirka.

  • 0
  • 1
#23 Michael Weber

forvirringen blev ikke bedre af at der pludselig blandes APs ind i sagen i en pærevælling.

Skal man ikke bare holde sig for øje, at de fleste AP´ers initielle konfiguration, kan laves ved at tilslutte en pc til ap´et med et netkabel og herefter indtaste en ip-adresse i browseren, så man kommmer til ap´ets konfigurationsside. Så har man jo en ip-adresse, som man har fået fra dét, der sidder i den anden ende af kablet.

  • 0
  • 1
#24 Baldur Norddahl

Show me the AP that can handle more than 4096 VLAN's, and i am gonna buy it :-)

Det burde som minimum være muligt med OpenWRT da det bare er Linux - og Linux har Q-in-Q support. Men ellers kan du overlade det til næste switch at indsætte et ydertag. Det er sådan vi gør det: Vores kundemodems indsætter et almindeligt VLAN tag og access-switchen tilføjer et SLAN tag.

Jeg tilstår at det bliver svært at have mere end 4k brugere med adgang til et givent AP med den metode, medmindre man opfinder noget med dynamisk tildelt VLANs.

  • 0
  • 0
#26 Christian Nobel

Skal man ikke bare holde sig for øje, at de fleste AP´ers initielle konfiguration, kan laves ved at tilslutte en pc til ap´et med et netkabel og herefter indtaste en ip-adresse i browseren, så man kommmer til ap´ets konfigurationsside. Så har man jo en ip-adresse, som man har fået fra dét, der sidder i den anden ende af kablet.

Hvaba - der knækkede filmen lige?

Normalt har et AP ikke nogen DHCP server og er funktionsmæssigt fuldstændig ligeglad med IP - men for at konfigurere det, så har det en egen IP adresse og en indbygget webserver (og ved gud hvor jeg dog savner at man bare kan proppe et seriel kabel i!), som enten kolliderer med noget der er på nettet i forvejen, eller man er nødt til at sætte egen IP adresse op manuelt, for at kunne tale med braset (og ved gud....).

  • 0
  • 0
#27 Mikkel Planck

Umiddelbart er der ikke mange enterprise AP'ere der konfigureres via et login på AP'et, da de fleste styres via controller/hive/manager, hvor der enten er layer 2/3 discovery eller bonjour eller lignende.

Vi har aldrig brugt AP'ere med OpenWRT, men det er da muligt at det indeholder denne funktionalitet, men næppe noget mange enterprise-kunder begiver sig ud i:-)

Må tilstå at jeg ofte støder på alle mulige mærkelige konstruktioner når vi snakker IP-telefoni. Kunne nogen gange ønske sig, at man valgte "den korteste vej til Rom", og trådte tilbage og kiggede på hvad opgaven egentligt gik ud på, og så satte op på en måde der understøttede det.

  • 1
  • 0
#30 Christian Nobel

Lige præcis denne her debat er et rigtig godt eksempel på at debattørerne skaber det gode indhold som modvægt til en tynd artikel.

I hvert fald er debatten gledet langt væk fra den gang ingenting artiklen dækkede over, og dermed kommet omkring nogle problemstillinger der er interessante og lærerige.

Burde være stof til eftertanke for V2's "community builders"!

  • 6
  • 0
#32 Baldur Norddahl

4K brugere til ét AP er vel også opskriften på en katastrofe.

Ikke på samme tid vel. Forestil dig at du arbejder på et universitet med 10.000 studerende og ansatte. I kantinen hænger et AP. Der kan maksimalt være 100 personer i kantinen, men de 100 kan være enhver ansat eller studerende. Hvis vi har tildelt et VLAN statisk til hver person, så bliver det lidt svært medmindre AP har direkte support for Q-in-Q.

Det er muligt at gøre det hvis du kan supportere dynamisk tildeling af VLAN, men det er nok noget mere avanceret at sætte op.

  • 2
  • 0
#33 Christian Nobel
  • 0
  • 0
Log ind eller Opret konto for at kommentere