Беспроводная локальная сеть (Wireless LAN - WLAN) обеспечивает выполнение всех функций и сохранение всех преимуществ традиционных технологий локальных сетей LAN, таких, как Ethernet, без ограничений на длину провода или кабеля. Типичными устройствами беспроводной локальной сети являются беспроводные сетевые адаптеры NIC, беспроводные точки доступа и беспроводные мосты.

В данном примере мы используем соединения устройств, как с помощью Ethernet технологий, так и группу стандартов IEEE 802.11, - базовый стандарт для WLAN, известен пользователям более по названию Wi-Fi.

Точка доступа (Access Point - AP) , называемая также базовой станцией, представляет собой беспроводной приемопередатчик локальной сети LAN, который выполняет функции концентратора, т.е. центральной точки отдельной беспроводной сети, или функции моста - точки соединения проводной и беспроводной сетей. Использование нескольких точек AP позволяет обеспечить выполнение функций роуминга (roaming), что предоставляет пользователям беспроводного доступа свободный доступ в пределах некоторой области,
поддерживая при этом непрерывную связь с сетью.

Беспроводной мост, - обеспечивает высокоскоростные (11 Мбит/с) беспроводные соединения большой дальности в пределах видимости (до 25 миль), подразумевается видимость в радиотехническом понимании, - зона покрытия антенны, между сетями Ethernet. В беспроводных сетя любая точка доступа может быть использована в качестве повторителя (точки расширения).

Преимущества от выделенной ЛВС:

Материалы и инструменты: Важным условием качественной работы Wi-Fi сети является правильный выбор антенны, соединительного кабеля,а так же правильной подборки активного сетевого беспроводного оборудования. Опыт установки и использования Wi-Fi оборудования показывает, что на качество связи влияют все компоненты сети: выходная мощность и чувствительность передатчика, качество антенн, соединительных кабелей и разъёмов. В реальных условиях, качество любого приемного устройства определяется способностью определять полезный сигнал на фоне помех от соседних точек доступа, атмосферных и промышленных шумов.

Последовательность при монтаже безпроводной ЛВС.

Прокладываем витую пару. Какой кабель выбрать. Витая пара подразделяется на категории в зависимости от диапазона рабочих частот и, соответственно, пропускной способности. Большинство организующихся на сегодняшний день локальных сетей в качестве канала передачи используют UTP категории 5е. Этот кабель вполне обеспечивает достаточную для дома и офиса пропускную способность до 100 Мбит/с. Однако для офиса с серьезным внутренним информационным трафиком больше подойдет витая пара категории 6 или 6а, на которой строятся сети Fast Ethernet и Gigabit Ethernet.

Какая должна быть жила у кабеля витая пара, достоинства и недостатки.

* Основное различие категорий витой пары – это частота передаваемого сигнала, что, в свою очередь, определяет качество и скорость передачи данных. Категории 5 и 5е работают в полосе частот до 100 МГц. С использованием кабеля категории 5е скорость передачи данных, при этом, может составлять до 1 ГБит/с, поэтому Кабель этой категории, в данный момент, является наиболее распространенным для прокладки компьютерных сетей.

Роутер , - мозг всей сети! Основной узел управления локальной сети. Так же, на нем совершаются настройки по распределению доступа к тем или иным ресурсам сети. Плюс ко всему прочему, за стабильную работу канала отвечает только он, - маршрутизатор (ну иногда ещё провайдер). Первым делом настраиваем роутер , исходя из настроек выданных Вам Вашим провайдером. Сложность настройки зависит от типа подключения к интернет. Если подключаемых физически устройств к сети более трёх, то обязательно потребуется сетевой коммутатор.

В хабе имеется определенное количество разъемов (портов), к которым подключаются все устройства сети. Обычно для этого используется кабель витая пара, концы которых обжаты разьёмами в соответствие по схеме "А" или "В" образом. На рисунке изображен 8-и портовый сетевой концентратор (switch).

Сетевое оборудование обеспечивает передачу данных между всеми частями вашей сети. Каждый роутер имеет WAN-порт (если не имеет, то это свитч), два и более имеют профессиональные маршрутизаторы. Обычно порты подписаны, так что не ошибётесь!

С помощью портов USB пользователи смогут организовать совместный доступ к принтерам, файлам и медиа через локальную сеть для нескольких компьютеров дома или за его пределами с помощью функции FTP-сервера, поэтому ваши файлы будут доступны для вас в любой момент.

Настройка роутера выполняется с компьютера или ноутбука. Последний, в свою очередь, надо подсоединить к роутеру, используя патч-корд, в порт LAN. В комплекте с роутером, обычно, прилагается один сетевой кабель RJ-45 (патч-корд). Сетевую карту ноутбука (в настройкахa

Wi-Fi - марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11. Под аббревиатурой Wi-Fi в настоящее время развивается целое семейство стандартов передачи цифровых потоков данных по радиоканалам.

Обычно схема Wi-Fi сети содержит не менее одной точки доступа и не менее одного клиента. Также возможно подключение двух клиентов в режиме точка-точка (Ad-hoc), когда точка доступа не используется, а клиенты соединяются посредством сетевых адаптеров «напрямую».

Стандарт Wi-Fi не описывает всех аспектов построения беспроводных локальных сетей. Поэтому каждый производитель оборудования решает эту задачу по-своему, применяя те подходы, которые он считает наилучшими с той или иной точки зрения.

По способу объединения точек доступа в единую систему можно выделить:

Автономные точки доступа (называются также самостоятельные, децентрализованные, умные)

Точки доступа, работающие под управлением контроллера (называются также «легковесные», централизованные)

Бесконтроллерные, но не автономные (управляемые без контроллера)

По способу организации и управления радиоканалами можно выделить беспроводные локальные сети:

Со статическими настройками радиоканалов

С динамическими (адаптивными) настройками радиоканалов

Со «слоистой» или многослойной структурой радиоканалов

Преимущества Wi-Fi:

Беспроводной Интернет позволяет развернуть сеть без прокладки кабеля. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями.

Позволяет иметь доступ к сети мобильным устройствам так как совместима с оборудования благодаря обязательной сертификации с логотипом Wi-Fi.

Мобильность так как нет привязанностим к одному месту и можно пользоваться Интернетом в любой обстановке.

В пределах Wi-Fi зоны в сеть Интернет могут выходить несколько пользователей с компьютеров, ноутбуков, телефонов и т. д.

Излучение от Wi-Fi устройств в момент передачи данных на порядок (в 10 раз) меньше, чем у сотового телефона.

Недостатки Wi-Fi:

В диапазоне 2,4 GHz работает множество устройств, таких как устройства, поддерживающие Bluetooth, и др, и даже микроволновые печи, что ухудшает электромагнитную совместимость.

В Wi-Fi весьма высоки служебные «накладные расходы». Получается, что скорость передачи данных в Wi-Fi сети всегда ниже заявленной скорости. Реальная скорость зависит от доли служебного трафика, которая зависит уже от наличия между устройствами физических преград (мебель, стены), наличия помех от других беспроводных устройств или электронной аппаратуры, расположения устройств относительно друг друга и т. п.

Частотный диапазон и эксплуатационные ограничения в различных странах не одинаковы . К примеру - в России точки беспроводного доступа, а также адаптеры Wi-Fi с ЭИИМ, превышающей 100 мВт (20 дБм), подлежат обязательной регистрации.

Стандарт шифрования WEP может быть взломан даже при правильной конфигурации (из-за слабой стойкости алгоритма). Новые устройства поддерживают более совершенные протоколы шифрования данных WPA и WPA2. Принятие стандарта IEEE 802.11i (WPA2) в июне 2004 года сделало возможным применение более безопасной схемы связи, которая доступна в новом оборудовании.

В режиме точка-точка (Ad-hoc) стандарт предписывает реализовать скорость 11 Мбит/сек (802.11b). Шифрование WPA(2) недоступно, только легковзламываемый WEP.

Для использования в промышленности технологии Wi-Fi предлагаются пока ограниченным числом поставщиков.

Использование Wi-Fi устройств на предприятиях обусловлено высокой помехоустойчивостью, что делает их применимыми на предприятиях с множеством металлических конструкций. В настоящее время технология находит широкое применение на удаленном или опасном производстве, там где нахождение оперативного персонала связано с повышенной опасностью или вовсе затруднительно. К примеру, для задач телеметрии на нефтегазодобывающих предприятиях, а также для контроля за перемещением персонала и транспортных средств в шахтах и рудниках, для определения нахождения персонала в аварийных ситуациях.

В нынешнем обзоре будут представлены продукты, используемые для построения сетей Wi-Fi на базе "тонких" точек доступа . Такой вариант развертывания корпоративных и операторских сетей основан на протоколе CAPWAP (Control And Provisioning of Wireless Access Points Protocol, протокол управления и инициализации беспроводных точек доступа) , разработанный организацией IETF. Идея этого подхода достаточно тривиальна - разделить беспроводную сеть на два уровня, уровень управления и уровень подключения.
Уровень управления, реализуемый на основе специализированных контроллеров доступа AC (Access Controller) , включает в себя весь функционал беспроводной сети. Это управление доступом с аутентификацией и авторизацией пользователей, генерация и хранение ключей шифрования, роуминг абонентов и их переключение на менее загруженные точки доступа, оптимизация использования радиоканалов и многое другое.
Уровень подключения организуется на основе использования достаточно простых и дешевых точек доступа WTP (Wireless Termination Point), чьи задачи сводятся к поддержке шифрования данных в радиоканале и взаимодействию с контроллером доступа по протоколу CAPWAP. Обычно для подключения "тонких" точек доступа используются проводные линии. Довольно распространенным стало решение на основе сетей Ethernet с технологий PoE электропитания точек доступа.
Такой вариант построения беспроводной сети имеет свои неоспоримые преимущества. Во-первых, снижение расходов при развертывании сети, покрывающей большую территорию или имеющей большое число точек доступа. Несмотря на достаточно высокую цену контроллера доступа, экономия на стоимости точек доступа оказывается существенной. Во-вторых, снижение эксплуатационных расходов за счет централизации управления всей сетью. Это позволяет автоматизировать рутинные процессы по обновлению программного обеспечения и настроек всех точек доступа. В-третьих, обеспечивается высокий уровень безопасности сети. На "тонких" точках доступа не хранится конфиденциальная информация, утрата которой могла бы повлиять на безопасность сети в целом. Так же существенно проще организовать управление политиками безопасности для разных категорий абонентов и самих точек доступа.
Однако, беспроводным сетям на основе "тонких" точек доступа свойственны свои недостатки. Наибольшую проблему может представлять отказ контроллера доступа. Причем, это не только выход из строя самого оборудования, но и потеря связанности с ним для всех или части точек доступа. Поэтому в сети необходимо предусматривать резервирование контроллера, что в свою очередь сказывается на стоимости проекта.

Построение беспроводной сети

Как уже отмечалось, наиболее часто решение с использованием "тонких" точек доступа применяется для создания масштабных беспроводных сетей. Рассмотрим вариант построения сети W-Fi, насчитывающей десятки и сотни хот-спотов.

На рисунке показана сеть, которую вряд ли стоит рекомендовать для практического воплощения, но она вполне позволяет описать принципы работы данного подхода.
Как видно из рисунка, беспроводная сеть является наложенной сетью, что позволяет заметно сэкономить на развертывании базовой инфраструктуры. Для подключения точек доступа может быть использована сеть доступа, построенная по любой технологии. Ведь "тонкую" точку доступа можно рассматривать как обычное сетевое устройство со своим IP-адресом. По большому счету, подключение точек доступа может происходить с использованием публичной глобальной сети. Этот вариант подключения не является эффективным, но может оказаться полезным для быстрого развертывания временного хот-спота.
Ядром беспроводной сети является контроллер беспроводного доступа, от производительности и характеристик которого зависит в целом показатели работы сети. Сервер RADIUS обеспечивает решение вопросов идентификации и авторизации пользователей, а так же при необходимости сопряжения с биллинговой системой.
При установлении абонентом связи с точкой доступа, в радиусе действия которой он находится, решение о предоставлении услуг принимается контроллером центрального офиса. Для этого по протоколу DHCP оконечному устройству присваивается временный IP-адрес и абонент получает возможность ввести свои учетные данные. Эти данные поступают на RADIUS-сервер, который определяет доступные ресурсы, права и полномочия этого пользователя. На основании этих данных контроллер доступа выделяет установленному соединению необходимые ресурсы и отслеживает его состояние.
Такой алгоритм работы увеличивает объем служебного сетевого трафика, но в настоящее время, при высокой пропускной способности линий доступа, этот недостаток вряд ли стоит учитывать при планировании сети.

Производители оборудования беспроводных сетей и их продукция

Далеко не все поставщики беспроводных решений имеют в своем каталоге продукты, относящиеся к тематике настоящего обзора. В определенной мере это связано с необходимостью создания специализированных контроллеров доступа, что под силу не каждому производителю. Поэтому в обзоре основное внимание будет уделено контроллерам, которые представлены на отечественном рынке.

Одной из наиболее авторитетных компаний, представляющих решения для беспроводных сетей, является Aruba Networks . В ее портфеле насчитывается семь моделей контроллеров, ориентированных на использование в сетях различного масштаба. Старшая модель Aruba 6000 Multi-Service Controller относится к оборудованию операторского класса и может управлять работой более 8 тыс. точек доступа, обслуживая при этом свыше 32 тыс. пользователей одновременно. Данная модель включает в себя функции VPN и firewall, обладающие производительностью, соответственно, 32 и 80 Гбит/с. Так же к категории мультисервисных контроллеров относится серия Aruba 3000 , включающая в себя три модели, различающиеся числом управляемых точек доступа, обслуживаемых абонентов и производительностью VPN и firewall. Эти модели в большей степени подходят для создания корпоративных беспроводных сетей. Для совсем небольших сетей, в которых предполагается установка от 6 до 48 точек доступа можно рекомендовать модели Aruba 2400, Aruba 800 и Aruba 200 . Все модели контроллеров Aruba ориентированы на поддержку мобильной VoIP связи. Это обеспечивается функциями Call Admission Control, RF management и QoS.
Для подключения точек доступа компания Aruba рекомендует применять одну из трех моделей специализированного концентратора доступа, который разработан для обеспечения безопасности передачи трафика через IP-сеть с использованием туннельных технологий. Модели концентраторов отличаются производительностью по пропускной способности.
Для работы совместно с любым из контроллеров производитель предлагает широкий выбор точек доступа. Среди этих точек доступа стоит отметь четыре модели AP-120, AP-121, AP-124 и AP-125, поддерживающие технологию MIMO (Multiply Input Multiply Output) и, по заверениям вендора, обеспечивающие скорость подключения по радиоканалу до 300 Мбит/с. Эти и все остальные модели точек доступа Aruba могут работать в диапазонах 2,4 ГГц и 5 ГГц. Для использования вне помещений производитель рекомендует три модели - AP-85TX, AP-85FX и AP-85LX. Для подключения первой модели используется интерфейс 10/100Base-T с технологией PoE. Две остальные модели подключаются к сети с помощью оптических интерфейсов и могут быть отнесены на расстояние до 2 и 10 км, соответственно.

Компания Bluesocket , основанная в 1999 г., специализируется на разработке решений для беспроводных сетей и предлагает широкий спектр продуктов для их построения. В том числе в каталоге продукции компании можно найти линейку из шести моделей масштабируемых контроллеров беспроводной сети BlueSecure (BlueSecureController — BSC) . Все эти модели имеют одинаковые возможности по управлению точками доступа и обеспечению безопасности сети. Модели между собой отличаются только производительностью. Младшая модель BlueSecure 600 поддерживает до 8 точек доступа и способна обеспечить одновременную работу 64 пользователей. Старшая модель BlueSecure 7200 может быть основой для построения масштабной беспроводной сети, насчитывающей порядка 300 точек доступа и 8 тыс. одновременно работающих клиентов. Во все модели BlueSecure встроена функциональность firewall и обнаружение вторжений и вредоносных программ путем мониторинга в режиме реального времени. Так же производитель отмечает наличие в контроллерах фирменной технологии роуминга Secure Mobility, которая позволяет пользователям не прерывать их сессии во время перемещения между точками доступа даже в случае временного выхода из радиозоны. Контроллерами поддерживается подключение точек доступа через уровень маршрутизации, что упрощает использование Интернет в качестве сети доступа.
По заверениям производителя, его контроллеры могут работать с точками доступа большинства из известных вендоров, но для обеспечения доступа к полному набору функций контроля и управления сети рекомендуется применять точки доступа BlueSocket. В настоящее время предлагается три модели точек доступа BlueSecure Access Point , поддерживающие стандарты 802.11 a/b/g. Модели с индексом 1500 и 1540 имеют по две встроенных всенаправленных антенны, вторая модель может так же использовать внешние антенны.
Точка доступа с индексом 1800 выполнена в полном соответствии со стандартом 802.11n draft 2.0 и поддерживает технологию MIMO. Эта точка доступа имеет два радиоинтерфейса со встроенным антенным массивом, возможность подключения внешних антенн и порт Gigabit Ethernet с технологией PoE. Все точки доступа могут работать с технологией 802.11e для приоритезации мультимедийного трафика в беспроводной сети.

Компания Brocade , один из ведущих поставщиков решений для дата-центров, в конце прошлого года приобрела хорошо известного производителя сетевого оборудования Foundry Networks . Среди продуктов этой компании есть устройства для построения беспроводных сетей, которые на российском рынке будут предлагаться уже под брендом Brocade.
В комплект оборудования для создания "тонкой" беспроводной сети входит четыре вида контроллеров, различающихся числом поддерживаемых точек доступа и производительностью. Если самая младшая модель MC500 может обслуживать до пяти точек, то старшая модель этого семейства MC5000 способна работать с 1000 "тонкими" точками доступа. В качестве последних компания предлагает две модели АР208 и АР201, отличающиеся числом поддиапазонов. Оборудование поддерживает технологию автоматической настройки радиозон.
По заверениям вендора, решение на основе данного оборудования способна обслуживать до 100 активных пользователей на точку доступа. Кроме того, данное оборудование ориентировано на поддержку телефонной связи по технологии VoIP. Благодаря развитым механизмам QoS удается поддерживать до 30 одновременных голосовых каналов связи на каждой точке доступа. Так же контроллеры обеспечивают роуминг голосовых вызовов между точками без задержки и потерь пакетов. Решение способно автоматически определять протоколы VoIP (SIP, H.323, Cisco SCCP, SpectraLink SVP и Vocera), подстраивая под них механизмы приоритезации.
Контроллер МС5000 дополнительно обладает функциональностью firewall, обеспечивая в данном режиме работу более 10 тыс. одновременных сессий.

Корпорация Cisco предлагает широкий выбор решений для построения беспроводных сетей. Критериям данного обзора соответствует подход компании, который получил название Unified Wireless solution . В соответствии с этой концепцией сеть строится на основе четырех компонентов: точек доступа, сети агрегации, сети управления и мобильных сервисов.
Точки доступа сегментируются исходя из решаемых задач и варианта исполнения. Компания выделяет модели для размещения внутри отапливаемых, например, Cisco AP 1140G, 1130G, 521G , и неотапливаемых помещений, например, Cisco AP 1240G, 1252AG , а так же уличного исполнения, например, Cisco AP 1310, 1410 . Точки доступа Cisco могут работать как в режиме управления от центрального контроллера, так и самостоятельно в качестве "толстого" клиента. Данный вариант несомненно удорожает решение, но позволяет существенно повысить надежность работы беспроводной сети.
Сеть агрегации представлена контроллерами беспроводного доступа, которые обеспечивают централизованные политики безопасности, качества обслуживания, а так же предоставляют средства для управления радиоресурсами и обеспечения мобильности. Для централизованного управления точками доступа и передачи трафика данных применяется фирменный протокол LWAPP (Lightweight Access Point Protocol). В портфеле Cisco насчитывается большое число моделей контроллеров, которые способны обслуживать от 1-2 до 300 точек доступа. Например, Cisco 2106, поддерживающий от 6 до 25 точек доступа, и Cisco WiSM (модуль для Catalyst 6500 и Cisco 7600), способный управлять до 300 точек.
Для согласования работы контроллеров служит централизованная система управления WCS (Wireless Control System). Это программное обеспечение использует протокол SNMP для получения и передачи данных управления на контроллер. Предоставление мобильных сервисов осуществляется с помощью продукта MSE (Mobility Services Engine), который позволяет определение местоположение и историю перемещений мобильных абонентов и «неавторизованных» устройств. Данный продукт имеет интерфейс для взаимодействия с WCS и приложениями третьих компаний-разработчиков приложений, а также поддерживает протокол SNMP.

Линейка оборудования ProCurve, компании HP , включает в себя контроллеры и точек доступа для создания беспроводной сети. В отличие от других производителей, компания НР в качестве контроллеров WLAN предлагает специализированные модули, устанавливаемые в сетевые коммутаторы ProCurve. Для этого выпускается два типа модулей и два типа дополнительных модулей, используемых для резервирования. В качестве точек доступа могут быть применены три модели радиопортов.
Модуль Wireless Edge Services zl обеспечивает централизованное управление беспроводной сетью, политику безопасности сети и разнообразные сетевых услуг. Для резервирования работы этого модуля применяется Redundant Wireless Services zl , который автоматически принимает управление радиопортами ProCurve в случае недоступности или неисправности Wireless Edge Services zl.
Модуль Wireless Edge Services xl ориентирован на интеграцию систем управления WLAN и политики обслуживания пользователей на основе ролей для развертывания и централизованного управления сетью с множеством услуг. Для резервирования работы этого модуля применяется Redundant Wireless Services xl .
Радиопорты ProCurve 210, 220 и 230 отличаются поддиапазонами работы и конструктивным исполнением.

Компания NETGEAR предлагает решение для построения беспроводной сети для малого и среднего предприятия. Это решение включает полнофункциональный контроллер ProSafe Smart WFS709TP , который может управлять до 16 точек доступа и обслуживать до 256 абонентов. Для увеличения числа точек контроллеры могут объединяться по иерархическому принципу, обеспечивая работу максимально 48 точек доступа. Одной из отличительных черт контроллера ProSafe Smart является управление беспроводным покрытием с помощью функций автоматического конфигурированием всех параметров радиоканала, включая мощность сигнала, балансировка нагрузки и устранение наложения.
Так же данный контроллер способен предоставлять с надлежащим качеством сервис, чувствительный к задержкам. В первую очередь это голосовая связь с использованием протоколов VoIP. Для ProSafe Smart имеет функции Call Admission Control, быстрого роуминга с поддержкой голоса и управления QoS.
Для работы с контроллером производитель предлагает две модели точек доступа - WAGL102 и WGL102 . Первая из них способна работать в частотных диапазонах 2,4 ГГц и 5 ГГц по протоколам 802.11g и 802.11а. Другая модель ориентирована на работу по стандарту 802.11g в диапазоне 2,4 ГГц.

Решение компании Ruckus Wireless в большей степени ориентировано на малый и средний бизнес, в котором востребованы типовые сетевые приложения и нет особой нужды в сложных и нестандартных настройках работы беспроводной сети. Для работы с оборудованием этого производителя не надо быть экспертом в области WiFi и информационных технологий.
Основу решения Ruckus Wireless составляет контроллер беспроводной сети ZoneDirector 1000 , который способен управлять 25 точками доступа ZoneFlex и поддерживать одновременную работу до 1250 пользователей. Среди достоинств контроллера производитель отмечает упрощенную систему настройки, основанную на веб-интерфейсе, а так же развитые средства безопасности и управления.
В качестве точки доступа вендор предлагает мультимедийную модель ZoneFlex 7942 , которая основана на стандарте 802.11n с поддержкой технологии MIMO. Важнейшей частью этой точки доступа является программно-управляемый антенный массив состоящий из шести вертикально поляризованных и шести горизонтально поляризованных антенных элементов с высоким коэффициентом усиления. С его помощью реализуется фирменная технология BeamFlex, которая обеспечивает высокую производительность, расширенное покрытие и поддержку передачи мультимедийного трафика благодаря автоматической адаптации радиолучей. Эта технология позволяет исключить процесс настройки радиозоны точки доступа, который требует высокой квалификации.

Компания Trapeze Networks считается одним из лидеров в части решений для организации беспроводных сетей. Для этого компания предлагает платформу, получившую название Trapeze Smart Mobile . В состав данной платформы входит пять моделей контроллеров WLAN и четыре вида точек доступа.
Семейство контроллеров представлено моделями, обслуживающими от четырех (контроллер беспроводной сети MXR-2 ) до 512 точек доступа (контроллер беспроводной сети MX-2800 ). Все контроллеры обладают схожей функциональностью, включающей поддержку расширенных возможностей по идентификации пользователей, безопасности сети, поддержку протоколов VoIP и механизмов QoS. В контроллеры встроена возможность работы с протоколом IEEE 802.11n, который идет на смену 802.11g и обладает заметно лучшими характеристиками по скорости передачи и дальности действия. Предусмотрена автоматическая настройка радиозон каждой точки и динамический выбор рабочих частот.
Помимо управления беспроводной сетью контроллеры компании Trapeze имеют развитые сетевые возможности, включая firewall и систему обнаружение вторжений и вредоносных программ. Производитель особо подчеркивает возможность объединения контроллеров WLAN в кластерную и доменную структуры. Кластер может включать до 64 контроллеров и управлять до 10240 абонентов. Так же кластеры могут объединяться в так называемый сетевой домен, который способен поддерживать работы почти 33 тыс. контроллеров.
Для работы совместно с контроллерами вендор предлагает три модели "тонких" точек доступа для размещения в помещениях и одну модель для улицы. Модели MP-371, МР-422А и МР-620А представляют собой варианты точек доступа стандартов 802.11 a/b/g, работающих в диапазонах 2,4 ГГц и 5 ГГц. Больший интерес представляет точка доступа МР-432 , которая разработана в соответствии с требованиями стандарта 802.11 n и в полной мере поддерживает технологию MIMO. По заверениям производителя агрегированная скорость составляет 600 Мбит/с, что соответствует теоретическому максимуму для данного стандарта.

Как видно из данного обзора, решение для построения беспроводной сети с использованием "тонких" точек доступа становится весьма популярным. Все ведущие производители предлагают свои варианты построения сетей различного масштаба.

Контроллеры WLAN

Модель	Число WTP	Число пользователей	Сетевые интерфейсы	Дополнительные возможности
Aruba 6000 / Aruba Networks	8192	32768	до 72 FE, до 40 GE, до 8 10GE	Firewall, VPN, VoIP
BlueSecure 7200 / Bluesocket	300	8000	4 GE	Firewall, IPS
MC5000 / Brocade	1000	до 100 на WTP	до 4 GE	Firewall, VoIP
Cisco WiSM / Cisco	300	10000		Зависят от конфигурации Catalyst 6500 или Cisco 7600
ProCurve Edge Services zl / HP	156	нет данных		Зависят от конфигурации коммутатора ProCurve
ProSafe Smart WFS709TP / NETGEAR	16	256	8 FE, 1 GE	VoIP
ZoneDirector 1000 / Ruckus Wireless	25	1250	2 FE	Встроенный портал аутентификации
MX-2800 / Trapeze Networks	512	нет данных	8 GE, 2 10GE	VoIP

SergeyZh 19 сентября 2013 в 12:25

Как мы строили свою WiFi-сеть

• Блог компании JetBrains

Я хочу рассказать о том, как мы строили свой собственный, хороший WLAN - Wireless LAN.

Эта статья будет полезна тем, кто собирается построить в своей компании WLAN, причем не простой, а хорошо управляемый и такой, чтобы пользователи этого WLAN были довольны, т. е. не замечали бы его после начального подключения.

Как это все начиналось

WLAN в нашей компании существует очень давно, с 2002 года, когда вся беспроводная сеть в офисе была представлена всего одной SOHO точкой 3COM стандарта 802.11b, которая покрывала весь офис. Нагрузка на нее была невелика, WiFi-устройств было очень мало.

Шли годы, офис увеличивался, появился стандарт 802.11g. Мы шли по пути постепенного увеличения количества SOHO точек с одинаковым SSID-ом. Задача была в том, чтобы WiFi просто был. Сначала был один этаж с 6 точками LinkSys WAP54G, затем появился второй этаж, куда мы начали ставить точки Cisco (они же LinkSys) стандарта gn. Если где-то не хватало покрытия, мы просто добавляли точку.

Пока клиентских устройств было не очень много, такая схема работала неплохо. Да, были проблемы с роумингом, когда клиент до последнего цеплялся за точку, с которой соединился вначале и не хотел переходить на другую точку, сигнал от которой лучше. Да, такой сетью было неудобно управлять: замена SSID-а или добавление нового, требовало обойти все точки, которых было в максимуме этой сети - 12 штук. Да, понять, что происходит в WLAN сети, было непросто, т. к. все точки работали «сами по себе» без централизованного управления. Даже определить количество одновременно подключенных клиентов было непросто. Отказоустойчивость такой сети также была не на высоте. Достаточно было «зависнуть» одной точке - и сразу появлялась дырка в покрытии. Но все это компенсировалось низкой стоимостью этой сети. Одна точка стоила $130-$150, собственно только из стоимости точек и складывалась стоимость сети.

Одновременно росло количество WiFi-клиентов, которых уже не устраивал «просто WiFi в офисе». Они хотели высокопроизводительный WiFi, с возможностью перемещаться по офису и при этом не терять связь. Также стало понятно, что наша компания будет переезжать в новый офис. Это было начало-середина 2012 года, соответственно, перед нашим отделом встала задача построить качественный WiFi в новом офисе до переезда.

План был такой:
1. Определиться с задачами, которые должен был решать наш WLAN.
2. Выбрать производителя WLAN.
3. Спроектировать расположение точек, т. к. это нужно было сделать до окончания прокладки СКС в здании, чтобы не превращать установку точек в отдельный строительный проект.
4. Составить точный список оборудования для заказа.
5. Смонтировать, настроить и протестировать сеть.

Задачи

Нам нужен в первую очередь надежный WLAN, чтобы пользователи не задумывались о решении проблем с подключением к сети. Скорость WLAN должна обеспечивать комфортный software development и доступ в Интернет. Задачу по замене проводной сети на беспроводную мы перед собой не ставили, т. к. никакой WLAN не заменит девелоперу проводное подключение на 1 Gbit, которое мы и так обеспечиваем на каждом рабочем месте.

Нужна возможность удобного управления WLAN - для быстрого создания новых беспроводных сетей, например для гостей или проводимых в офисе конференций. Возможность централизованного управления сетями в географически разнесенных офисах, т. е. чтобы пользователь, подключившись в одном из офисов и переехав со своими мобильными устройствами в другой офис, подключился к сети уже автоматически.

Разумеется, нужна возможность удаленного управления WLAN сетями в других наших офисах, которые по странному стечению обстоятельств также переезжали в новые помещения примерно в это же время и в которых старая WLAN также нуждалась в замене.

Выбор производителя

Это была одна из наиболее сложных задач. Все производители обещают, что именно их решение самое лучшее. Понятно, что для наших задач (централизованное управление сетью, да еще и в нескольких офисах) нужен WLAN с контроллером, т. к. вариант без контроллера мы уже использовали, а новая сеть должна быть в 2-3 раза больше.

Я рассматривал таких производителей: Cisco, Motorola и Aruba. Вначале еще рассматривал HP, т. к. наша проводная сеть построена именно на HP, но после прочтения нескольких тестов производительности, где HP занимал последние места, я исключил его из рассмотрения.

Итак, Cisco - лидер сетевой индустрии. Любое сетевое решение, построенное на Cisco, должно работать хорошо. Обратная сторона - цена решения, которая обычно выше, чем у конкурентов. В обычном WLAN решении от Cisco весь трафик с точек доступа поступает на контроллер, который занимается дальнейшей обработкой пакетов. В этом варианте есть как плюсы (весь трафик проходит через одну точку), так и минусы: жесткая зависимость от работоспособности контроллера и ширина канала, по которому подключен контроллер к проводной сети. По этой же причине в каждом офисе нужно ставить свой собственный контроллер WLAN.

Aruba Networks . Один из основных конкурентов Cisco в сегменте беспроводных сетей. Продвигают свое решение без контроллера, т. е. контроллер находится где-то в облаке, а точки находятся у вас в офисе. Год назад я не был готов ставить свою беспроводную сеть в зависимость от облачного сервиса.

Motorola . WLAN решение от Motorola - WiNG 5 - делает упор на децентрализованность. Каждая точка является достаточно умной, чтобы авторизовать клиента и затем пропускать трафик между беспроводным и проводным сегментами сети в соответствии с настройками, которые точка получает с контроллера. Т. е. в этом случае мы получаем сегмент проводной сети, обычно это VLAN с трафиком от беспроводных клиентов, и затем мы можем управлять этим трафиком с помощью инфраструктуры обычного LAN. Контроллер используется только для управления точками доступа и сбора статистики. Также есть очень полезный для нас режим работы, когда контроллером становится одна из точек доступа, а при ее недоступности производится процедура выбора точки-контроллера из оставшихся точек сети.

Здесь Моторола показывает, как ходят данные в сети WiNG5 по сравнению с другими архитектурами:

Также в процессе выбора производителя на меня повлияли советы товарища , который прислал ссылки на очень хорошие мануалы по развертыванию и настройке WiNG 5. После прочтения этих документов стало ясно, что архитектура WiNG 5 с вариантом подключения NOC (Network Operations Center) подходит нам больше всего.

Схема сети вырисовывалась такая: в самом большом офисе, где нужно поставить больше всего точек, мы устанавливаем контроллер и самые простые, «зависимые» точки, которые без контроллера могут работать только несколько минут. В удаленных офисах мы устанавливаем «независимые» точки, которые могут брать на себя функции контроллера в случае недоступности основного контроллера, но управлять удаленными офисами мы все равно будем с центрального контроллера. Это было особенно удобно, т. к. удаленным офисам уже была нужна новая беспроводная сеть, которую мы уже могли развернуть с помощью независимых точек, а главный офис был еще не готов. После запуска главного офиса, в котором и будет находиться WLAN контроллер, мы переключим удаленные офисы на работу с ним.

Как же расположить WiFi-точки?

Нам предстояло обеспечить отличное WiFi-покрытие в новом офисе, который представляет собой новое 7-этажное здание. Нужен был WiFi на каждом этаже, а также на крыше здания, которая является эксплуатируемой, т. е. там могут находиться люди. То, что здание новое, в процессе проектирования WiFi-сети, очень полезно знать, т. к. именно в новых зданиях используются хорошие железобетонные перекрытия, которые отлично экранируют WiFi-сигнал. Все этажи имеют одинаковую форму - почти прямоугольник 45x30 метров с железобетонной конструкцией в центре (туалеты, лестницы и лифтовые шахты).

Сложность заключалась в следующем: на этажах полностью отсутствовали внутренние перегородки, т. к. их еще предстояло построить. Но WLAN-оборудование надо было уже заказывать, т. к. обычные сроки поставки - от 2 месяцев. Соответственно, мы не могли сделать полноценное радиообследование уже готового помещения, как советуют во всех руководствах, и пришлось положиться только на чертежи будущих перегородок. Небольшое радиообследование мы все-таки провели: выяснили, что можно покрыть практически весь этаж двумя WiFi-точками 2,4 Ггц мощностью 17 dBm и получить уровень сигнала в большинстве мест этажа не менее -70d Bm. Также мы выяснили, что посторонних WLAN-сетей в здании и поблизости нет, а железобетонное перекрытие между этажами экранирует сигнал до уровня -80-90 dBm.

Стало понятно, что с помощью двух, а лучше трех WiFi-точек мы худо-бедно обеспечим покрытие одного этажа в диапазоне 2,4 Ггц при отсутствии перегородок. Однако полной уверенности, что это будет хороший WiFi, не было. Поэтому я решил смоделировать этаж в какой-либо системе для проектирования беспроводных сетей. У Motorola есть такой софт, специально предназначенный для таких задач, - LANPlanner. Наверняка система хорошая, но стоит в районе 300 тыс. руб. и невозможно посмотреть даже демо-версию. После некоторых поисков я нашел программу TamoGraph Site Survey , которая позволяет составлять карту покрытия WLAN, а также проводить моделирование с использованием виртуальных WiFi-точек и виртуальных стен. Цена на эту программу была в 10 раз меньше по сравнению с LANPlanner, и, учитывая, что неправильное расположение WiFi-точек обойдется значительно дороже, я решил воспользоваться именно TamoGraph.

Вооружившись строительными планами будущих перегородок и TamoGraph Site Survey, я нарисовал план одного этажа, используя виртуальные материалы стен с теми же характеристиками, которые будут у наших будущих перегородок. После размещения на плане виртуальных WiFi-точек стало понятно, что программа моделирования - вещь чрезвычайно полезная. Она сразу показала, как будут влиять на распространение сигнала бетонные колонны, которые также были на этаже, но которые учесть «на глаз» было очень сложно. После моделирования стало ясно, что даже для диапазона 2,4 Ггц очень желательно поставить 4 точки на этаж. А если мы хотим использовать диапазон 5 Ггц, то точек нужно больше и ставить их нужно чаще. В итоге мы остановились на схеме с 6 точками на этаж, при этом мощность каждой точки в диапазоне 5 Ггц не превышает 17 dB и основные части этажа покрываются одновременно как минимум 2 точками. Тем самым мы обеспечиваем надежность работы WLAN в случае выхода из строя одной из точек на этаже.

Вот пример того, как выглядит результат моделирования одного из этажей (цветом показан уровень сигнала на 5 Ггц):

Итак, расположение точек известно, схема сети в целом понятна.

Что же нужно купить?

В главный офис нужно 39 «зависимых» dependent или thin точек, т. к. контроллер будет рядом. Это будут двухдиапазонные точки Motorola AP-650 «AP-0650-66030-WW» со встроенными антеннами. Это оптимальные двухдиапазонные точки от Motorola с поддержкой a/b/g/n стандартов. Они не могут работать без контроллера, и настроить без контроллера их нельзя.

В удаленные офисы нужно покупать полноценные точки AP-6532 «AP-6532-66030-WW». Эта точка по WiFi-характеристикам является копией AP-650. Но эти точки могут работать как сами по себе, так и под управлением контроллера. Если они теряют связь с контроллером, то продолжают обслуживать WiFi-клиентов. Если же контроллера изначально нет, то его функции на себя берет одна из точек (выбирается автоматически). Софт на WiFi-точках и на контроллере - один и тот же. Стоимость точки AP-6532 примерно на 150$ выше, чем AP-650.

Так выглядит эта точка на столе:

А вот так уже установленная на потолке:

Удобно, что на многих типах подвесных потолков эти точки можно закрепить без сверления отверстий: точка крепится к T-профилю потолка на защелках.

В качестве контроллера, а точнее двух контроллеров для работы в кластере, я выбрал RFS6000 . Здесь выбор был довольно прост: более простая версия RFS4000 не поддерживает нужного нам количества точек, а RFS7000 просто дороже. Также на контроллеры нужно купить сервисный контракт, по которому можно получать обновление софта и получить гарантийное обслуживание в течении 3 лет.

Казалось бы, всё купили: точки, контроллеры, гарантию на контроллеры. Но нет: еще нужно купить лицензии для подключения точек к контроллеру. Выгоднее всего покупать лицензии пакетами, в нашем случае это 4 пакета по 16 лицензий, т. е. наши контроллеры смогут обслуживать 64 точки с учетом всех удаленных офисов. Интересная деталь: лицензии и контроллеры покупаются независимо, а потом на сайте Motorola вы связываете лицензии с определенным контроллером или контроллерами. В нашем случае все лицензии привязаны на один контроллер, а второй контроллер объединен с ним в кластер. Так вот в случае выхода из строя первого контроллера (с лицензиями), второй продолжит обслуживание с этими же лицензиями.

Теперь разберемся с гарантией на точки. Гарантия на замену неисправных точек для всех Motorola точек стандарта «N» - пожизненная. Пожизненная - это значит не в течении Вашей жизни, а в течении жизненного цикла этих точек от компании Motorola. Как только они прекратят выпуск этих точек + сколько-то лет, и точку уже не поменяют. Думаю, что у других производителей точно такая же «пожизненная» гарантия, так что это не особенность именно Motorola. Еще можно приобрести дополнительную гарантию на точки, при которой, если у вас точка выходит из строя, вам сначала привозят новую, а затем вы отправляете старую обратно.

Но и это еще не все. Еще нужен сервисный контракт на точки, чтобы можно было обновлять прошивки. В случае точек AP-650 стоимость сервисного контракта на точки уже заложена в сервисном контракте на контроллер и, соответственно, зависит от количества точек, которые подключаются к контроллеру. А вот на точки AP-6532, которые были куплены в других странах для удаленных офисов, нужно было покупать сервисный контракт на эти точки.

Возможно, кому-то будут интересны цены на оборудование в России:

Подключение и настройка

С подключением никаких проблем не было. Сначала нам нужно было запустить WLAN в удаленных офисах, т. к. центральный офис был еще не готов. Для этого мы подключали несколько независимых точек AP-6532 в обычный сегмент сети на PoE-порты. Точки включались, самостоятельно находили друг друга в пределах LAN сегмента и самостоятельно выбирали одну из них как Virtual Controller. Соответственно, все настройки нужно проводить, подключившись именно к точке с функцией контроллера. Для обновления прошивки достаточно обновить ее на точке-контроллере, а она уже перепрошьет остальные точки.

Порты на LAN-свитчах мы настроили в режим trunk, чтобы они принимали тегированные пакеты и распределяли их по соответствующим VLAN-ам. VLAN у нас настроено 2: для внутренних пользователей и для гостей. В каждом VLAN своя IP-адресация, и маршрутизируются они по-разному, но все это уже делается на обычном проводном оборудовании. На контроллере мы также создали 2 WLAN-сети: для сотрудников и для гостей, каждую со своим SSID-ом, которые отобразили на соответствующий VLAN. Т. е. клиент, подключаясь к одному из WLAN, попадает в соответствующий этой сети VLAN. Если говорить просто, то WiFi-точки выступают в виде распределенного WLAN-свитча и передают пакеты между WLAN и LAN сетями.

Настроек на точках в этот момент нужно было сделать немного:
1. Задать страну для rf-domain, чтобы точки работали в разрешенном для этой страны диапазоне.
2. Создать нужное количество WLA-сетей (в нашем случае две) с соответствующими настройками security. При создании WLAN нужно указать VLAN, которым она будет тегироваться.
3. Включить технологию SMART-RF, которая поможет автоматически выбрать каналы и мощность радиомодулей в точках, основываясь на зашумленности эфира и взаимном расположении точек. В дальнейшем SMART-RF может менять канал или мощность точки в случае появления помех или, например, повысить свою мощность при отключении соседней точки, чтобы увеличить покрытие. Технология довольно удобна, хотя наверняка есть случаи, когда она мешает.

В общем-то, это все. Можно еще задать конкретные параметры радиомодулей любой из точек или всех сразу, но для этого надо хорошо представлять, что вы делаете. Для этого очень полезно почитать книгу CWDP Certified Wireless Design Professional Official Study Guide , которую рекомендует TamoSoft вместе со своей программой проектирования сетей. Похоже, что авторы программы разрабатывали ее, основываясь на этой книге, т. к. многие термины совпадают. В нашем случае мы отключили поддержку скоростей ниже 6 Мбит, чтобы медленные WiFi-подключения не мешали.

Хочу сказать пару слов о том, что такое rf-domain (Radio Frequency domain). Это физическая область, которая объединяет в себе группу WiFi-точек. Внутри этой группы может происходить роуминг клиентов. Например: если офис должен быть полностью покрыт WLAN, то все точки этого офиса имеет смысл объединить в один rf-domain. Если же в офисе есть 2 разнесенных между собой конференц-зала и точки установлены только для обслуживания клиентов в этих залах, то надо сделать два rf-domain"а, по одному для каждого зала. В случае использования независимых точек с виртуальным контроллером вы можете создать только один rf-domain.

На этом этапе мы получили несколько совершенно независимых WLAN-сетей в удаленных офисах, каждую из которых нужно было настраивать отдельно. Но зато каждая из этих сетей работала очень хорошо, роуминг между точками работал, статистика собиралась, пользователи были довольны.

Настройка центрального офиса (NOC)

Для запуска всей WLAN-инфраструктуры у Motorola есть отличный документ «WiNG 5.X How-To Guide Centralized Deployments», в котором по шагам расписано, как и что нужно делать. Каждый шаг описан в двух вариантах: для любителей GUI есть картинки, для любителей SSH консоли есть соответствующие команды. Я же опишу процесс настройки общими словами.

Сначала подключаем контроллеры, их у нас 2 штуки. Чтобы при выходе из строя одного из них сеть продолжала работать, их нужно объединить в кластер. Контроллеры подключаются к сети обычным 1 Gb Ethernet, хотя можно подключить и оптикой через SFP-коннектор. Настраиваем один из контроллеров: IP-адреса, DNS имя, пароли. Затем настраиваем IP-адрес для второго контроллера и прошиваем в него прошивку той же версии, что и у первого контроллера, - это совершенно необходимо для объединения в кластер. Именно поэтому нужно покупать сервисный контракт на контроллеры. Без контракта вы не получите доступа к прошивкам, ни к старым ни к новым, а в моем случае контроллеры пришли с разными версиями прошивок.

Затем на «втором» контроллере выполняете команду «join cluster» с указанием адреса первого контроллера. Второй контроллер перезагружается - и готово, кластер из двух контроллеров работает с идентичными настройками. Кластер бывает двух типов: Active-Active - когда оба контроллера обслуживают точки одновременно, и Active-Passive - когда точки обслуживает только первый контроллер, а второй включается в работу только при выходе из строя первого. В любом случае все точки сети знают IP-адреса обоих контроллеров.

Теперь на контроллере необходимо создать нужные нам rf-domain"ы. В нашем случае мы создаем каждому офису по одному rf-domain: spb-office, munich-office и т.д. У каждого rf-domain"а указана своя страна и своя настройка технологии SMART-RF, что логично: в разных областях нам может понадобиться настраивать радиомодули точек по-разному.

Далее на контроллере создаем WLAN-сети. Любую из созданных WLAN можно будет включить в любом из офисов, что, конечно же, очень удобно и являлось одним из наших первоначальных требований. Составной частью WLAN является настройка ее security, т. е. тип аутентификации, шифрования и QoS. Важно понять, что rf-domain и WLAN являются совершенно независимыми друг от друга сущностями. Также в WLAN задается ее SSID и тег VLAN, которые можно переопределить для каждого rf-domain. Это удобно, т. к. не в каждом офисе у нас совпадает нумерация VLAN-ов, а здесь мы можем задать нужный VLAN определенной WLAN для конкретного rf-domain.

Теперь переходим к настройке точек. Исходим из того, что каждая точка при включении должна подключаться к контроллеру и получать все настройки с него. Для этого на DHCP-сервере нужно прописать определенные vendor specific опции, в которых указываем IP-адреса контроллеров и некоторые настройки таймаутов. Эти опции никак не влияют на других клиентов сети, т. к. DHCP-сервер их отправляет только тем, кто запрашивает именно эти опции. Такая схема позволяет быстро подключать новые точки к сети: взяли новую точку из коробки, подключили к нужному порту на свитче, и всё. Точка получает с контроллера нужную прошивку и все необходимые настройки. При выключении точки она теряет все свои настройки и становится «чистенькой», как с завода (сохраняется только прошивка).

В момент самого первого подключения к контроллеру контроллер запоминает эту точку по MAC-адресу в своем конфиге и уменьшает количество свободных лицензий на 1. Затем контроллер находит подходящий профиль для настройки этой точки и отдает настройки этого профиля точке. Если это не первое подключение точки, то на контроллере могут храниться дополнительные настройки для этой конкретной точки, которые он объединяет с настройками подходящего профиля и отправляет точке.

Что же такое профили (Profiles) в WiNG 5? Профили позволяют выдать одинаковые настройки сразу группе WiFi-точек или контроллеров. Профили хранятся на контроллере и представляют собой полные наборы параметров для точки определенного типа. Например если нам нужно производить автоматическую настройку точек AP-650 и AP-6532 в одной и той же сети, то нам понадобится как минимум 2 профиля: для AP-650 и для AP-6532. Именно в профиле указано, какие WLAN будет обслуживать наша точка, в каких диапазонах будут работать радиомодули и на каких скоростях. Также на настройки профиля накладываются ограничения rf-domain, в котором находится конкретная точка.

Как контроллер определяет, какой профиль нужно выдавать конкретной точке? Для этого у контроллера есть «Automatic Provisioning Policies». Не могу придумать хорошего русского аналога. Этих Policies на контроллере может быть несколько штук, в каждом из них записано определенное условие, по которому эта policy применяется к точке или нет. Условиями могут быть: диапазон IP-адресов, в котором находится точка, диапазон MAC-адресов точек и многие другие. Но мне достаточно различать точки по типу и по IP сети. Также в policy указано, какой профиль применять к точке и в каком rf-domain эта точка находится. В итоге, при подключении точки контроллер идет по списку policies и первая подходящая к этой точке policy применяется.

Теперь собираем все это вместе

В центральном офисе у нас 3 типа точек: AP-650, AP-6532 и AP-7161 (уличное исполнение). Значит, нужно создать 3 профиля и 3 Automatic Provisioning Policies. Так как точек в этом офисе у нас относительно много, то мы сделали отдельный VLAN (WiFi Management VLAN), в который подключаем сами точки. В удаленных офисах точки подключены в обычный сегмент сети вместе с пользователями, т. к. там точек обычно немного. Точки получают IP-адрес, подключаются к контроллеру и, в зависимости от типа точки, получают свой профиль для настройки, а также получают указание от контроллера, в каком именно rf-domain они находятся. После этого точка приступает к обслуживанию клиентов тех WLAN, которые определены в ее профиле.

При подключении каждой новой точки технология SMART-RF определяет лучший номер канала для радиомодулей этой точки и мощность. Этот выбор производится в зависимости от каналов, на которых работают соседние точки и от расстояния до них. Области радиопокрытия соседних точек перекрываются, поэтому каждая точка «видит» несколько соседних (в нашем случае видно 3-4 соседних точки на этаже).

Как я уже упоминал, для связи WLAN и LAN у нас сделано 2 VLAN: рабочий и гостевой. В рабочий VLAN отображается WLAN для сотрудников, а в гостевой отображается 1 или более гостевых WLAN. Мы поднимаем дополнительные гостевые WLAN в случае каких-либо мероприятий в офисе, чтобы после окончания мероприятия можно было этот дополнительный гостевой WLAN отключить вместе с гостями. :-)

А вот так выглядит этаж в веб-интерфейсе при работе сети:

Итоги

В результате, к моменту переезда в новый офис мы построили очень хорошую WiFi-сеть. Пользователи, ради которых и строили эту сеть, полностью довольны ее работой. Характерен один из комментариев наших пользователей: «Как это вам удалось построить такой быстрый WiFi?» Мы не старались сделать максимально быстрый WiFi, нам был нужен максимально стабильный WiFi, и я уверен, что эта задача решена. Пользователи перемещаются по всему офису с ноутбуками, планшетами и телефонами и не задумываются о том, будет ли работать WiFi в этой точке. Мы пока не проводили полноценных тестов на скорость, но файлы можно качать со скоростью примерно 15 Мбайт/сек. Не всегда и не на любом клиенте, но такую скорость мы наблюдаем при обычной работе. В данный момент сеть работает уже 5 месяцев, днем в главном офисе к ней подключено до 200 клиентов и никаких нареканий на ее работу нет.

WiNG 5 от Motorola полностью оправдал мои ожидания. Настройка производится быстро и просто, хоть из консоли, хоть из браузера. Работает стабильно, никаких «странностей» в работе нет. WLAN в удаленных офисах можно было запускать без выезда на место. Нужно, чтобы кто-то только подключил точки к LAN, а все остальные настройки можно делать удаленно. В дальнейшем поверх этой сети можно развернуть систему AirDefense - контроль безопасности WLAN и удаленое решение проблем с WLAN. При этом некоторые точки в сети превращаются в сенсоры, которые мониторят радиоэфир.

Я опустил многие детали и возможности WiNG5: например, уже в базовой версии есть система защиты от вторжений (тоже базовая), можно докупить лицензии на систему защиты Advanced. Можно захватывать WiFi-трафик из радиоэфира и смотреть на него с помощью Wireshark. И многое, многое другое, но статья должна быть разумных размеров. Еще хочу заметить, что, по моему мнению, WiNG5 незаслуженно обойден вниманием в России, т. к. практически никаких материалов на русском языке мне найти не удалось, поставщиков и интеграторов также найти непросто.

Сердцем любой беспроводной локальной сети является точка доступа, через которую конечные устройства по радио связываются с корпоративной сетью. Она определяет не только радиус действия и скорость передачи данных, но и решает элементарные задачи управления и обеспечения безопасности. Однако все чаще в крупных сетях с большим количеством точек доступа вышеназванные функции передаются центральным сетевым устройствам. Поэтому роль точки доступа очень зависит от среды ее применения.

Cети беспроводной связи между компьютерами существовали уже в 70-х гг., но только в 1999 г., с утверждением технического стандарта 802.11a/b, IEEE заложил базу для развития этой технологии, что и послужило толчком для бума. По данным IDC, к концу 2004 г. число пользователей беспроводных сетей во всем мире должно достигнуть 25 млн. Аналитики компании Frost&Sullivan считают, что в 2006 г. годовой оборот от продажи оборудования для беспроводных сетей в Европе превысит 1 млрд долларов. В Германии в 2003 г. объем рынка вырос на 74% и достиг 199 млн евро. В 2004 г. ожидается прирост на 24%, в результате объем рынка увеличится до 247 млн евро. Все большее значение беспроводные сети приобретают в качестве общественных точек доступа в Internet («горячие» точки). Так, по данным недавно опубликованного исследования компании Gartner Group, количество «горячих» точек (почти все соответствуют стандарту 802.11b) в Европе возросло с 829 в 2002 г. до 15308 в 2003 г. В 2005 г., по прогнозам специалистов, их количество должно достичь 39 тыс. Лидером в этом направлении станет Скандинавия, за ней последуют Германия и Великобритания, причем аналитики утверждают, что к 2006 г. Германия займет в Европе первое место.

Так же взрывоподобно будет расти количество производителей. Если большую часть рынка еще несколько лет назад делили между собой 3Com, Avaya (Lucent), Cisco, Enterasys и Proxim, то сегодня мировой рынок оборудования для беспроводных сетей насчитывает несколько сотен игроков, бьющихся за свой кусок пирога. На нем, как и прежде, доминируют компании из США, однако значительный прирост поставщиков отмечается и в азиатском «беспроводном раю». На рынке смогли утвердиться и некоторые немецкие производители, например Artem.

ОСНОВНЫЕ ВОПРОСЫ

Перед выбором конкретного продукта для беспроводной сети (см. основные критерии выбора во врезке «Обзор важнейших критериев выбора») прежде всего необходимо прояснить несколько моментов, а именно: где будет установлено оборудование - в небольшом офисе, в котором вполне можно обойтись одной точкой доступа; на предприятии с умеренным числом точек доступа или в крупномасштабной корпоративной среде с 50, 100 или даже 1000 точек доступа? Малые офисы являются типичными областями применения «толстых» точек доступа, в качестве устройства «все в одном» они часто обладают дополнительными функциями: ISDN-, DSL- или кабельным маршрутизатором, брандмауэром, сервером печати и т. д. - и используются для беспроводного доступа к Internet. В крупных компаниях рациональнее использовать «тонкие» точки доступа, поскольку такие важные функции, как управление и обеспечение безопасности, выполняются центральными компонентами, а различные дополнительные функции - доступ в Internet и службы печати - осуществляются другими средствами. Еще одна основная область применения - беспроводная связь между зданиями и филиалами, где точки доступа функционируют как мосты или повторители.

Другой вопрос, на который необходимо ответить, касается скорости передачи данных. На выбор предлагаются две (стандартизированные) скорости: 11 и 54 Мбит/с, причем некоторые производители разработали собственные способы для удвоения и даже еще большего увеличения скорости передачи. В ряде случаев обещается полная совместимость с соответствующим базовым стандартом. В качестве примеров можно привести устройства от D-Link (см. Рисунок 1) и Proxim со скоростью передачи 22 и 108 Мбит/с, соответственно. При планировании необходимо учесть, что реальная скорость передачи данных в беспроводной сети составляет от 45 до 60% от номинальной, а при увеличении расстояния и наличии препятствий и помех между пунктами ее значения автоматически, ступенчато снижаются до уровня, на котором еще может быть обеспечено стабильное соединение. Эта автоматическая функция снижения скорости (с различным шагом) интегрирована в каждую точку доступа. Небольшие офисы, где пользователи хотят совместно использовать подключение по DSL со скоростью 784 Кбит/с или 1,5 Мбит/с, как правило, лучшим образом обслуживаются беспроводной сетью со скоростью передачи 11 Мбит/с (802.11b). Если же планируются более сложные беспроводные инфраструктуры с высокими требованиями к пропускной способности или чувствительными ко времени задержки приложениями, то следует задуматься о сети с пропускной способностью 54 Мбит/с.

Выбор максимальной скорости передачи обычно предполагает ответ на третий вопрос: какой частотный диапазон планируется использовать? Выбор возможен между двумя диапазонами для научных, медицинских и промышленных целей. Первый - в окрестности 2,4 ГГц, второй - 5 ГГц. Для обоих диапазонов есть стандартизированные методы передачи данных со скоростью до 54 Мбит/с. Широкополосные приложения одинаково хорошо обслуживаются и в том, и в другом. Если же по сети должны передаваться чувствительные к временным задержкам приложения, например речь, лучше выбрать полосу 5 ГГц. Причина в том, что полоса 2,4 ГГц уже «перенаселена», причем не только беспроводными локальными сетями. В этой частотной полосе работает Bluetooth - метод передачи данных, встроенный практически во все новые сотовые телефоны, карманные компьютеры и ноутбуки. В том же диапазоне достаточно сильные сигналы излучают такие устройства, как микроволновые печи. Все это порождает помехи, влияние которых особенно негативно сказывается на приложениях реального времени.

Однако техника, работающая в диапазоне 5 ГГц, имеет и свои недостатки: во-первых, из-за своей сложности она дороже оборудования для 2,4 ГГц (примерно на 30-50%), а, во-вторых, по физическим причинам радиус ее действия заметно меньше. Если дальность передачи для точки доступа, работающей в диапазоне 2,4 ГГц, достигает в идеальных условиях («в чистом поле») 150 м, то волны с частотами 5 ГГц распространяются всего лишь на 40-50 м. Европейцам разработанная в США технология беспроводных сетей для диапазона 5 ГГц (802.11а) до сих пор казалась чрезмерно агрессивной. Им требовалась функция для динамичного выбора частот (Dynamic Frequency Selection, DFS) на случай, если какой-либо канал уже занят, а также функция для автоматической регулировки мощности передачи (Transmission Power Control, TPC) в зависимости от условий в целях контроля уровня передачи, дабы не возникало помех для других радиосетей. Оба механизма интегрированы в Hiperlan II - европейский конкурент стандарта 802.11а, который сегодня уже потерял свое значение. В новом стандарте 802.11h для диапазона 5 ГГц эти функции реализованы, и соответствующие продукты уже не подвергаются драконовским ограничениям, ранее налагавшимся регулирующими органами на пользователей сетей стандарта 802.11а в Европе. Быстрому утверждению нового стандарта во многом поспособствовал тот факт, что этот подход понравился американским военным.

Если применение широкополосных и чувствительных к временным задержкам приложений не планируется, то в этом случае стоит предпочесть стандартизированный в середине прошлого года вариант со скоростью 54 Мбит/с на базе технологии 2,4 ГГц (802.11g). Он не только заметно дешевле систем для диапазона 5 ГГц, но и совместим с широко распространенными беспроводными сетями на 11 Мбит/с. Однако больший радиус действия не обязательно является реальным преимуществом. Если предприятие, например, собирается создать множество небольших беспроводных сот, которые не должны мешать друг другу, то лучше обратиться к технологии на 54 Мбит/с с небольшим радиусом действия. Количество пользователей на единицу площади в случае 5 ГГц также заметно выше, поскольку каждая точка доступа предоставляет до 19 неперекрывающихся каналов (в случае 2,4 ГГц лишь три неперекрывающихся канала). Тем, кто не хочет ограничиваться определенным диапазоном, предлагаются точки доступа с поддержкой нескольких диапазонов и стандартов, например 802.11a, b и g. Для европейских пользователей идеальной комбинацией была бы поддержка стандартов 802.11b, g и h.

ТЕЛЕФОНИЯ ПО БЕСПРОВОДНОЙ СЕТИ

Беспроводные сети стали применяться для поддержки чувствительных к задержкам приложений не так давно, поскольку радиоэфир является разделяемой средой передачи и традиционно реализованные в точках доступа технологии WLAN нацелены на равномерное разделение пропускной способности, независимо от типа услуг. Несмотря на то что отрасль и комитеты по стандартизации вот уже несколько лет работают над механизмами резервирования пропускной способности и управления приоритетами трафика, утверждение объявленного уже стандарта 802.11e постоянно откладывается. Пока очередной датой вероятного опубликования стандарта называют конец 2004 г. Однако решения организации Wi-Fi пользователям так долго ждать не придется. Уже в конце 2003 г. должен появиться промежуточный стандарт взаимодействий в реальном времени для беспроводных сетей Wi-Fi Multimedia Extensions (WME). Ядро спецификации WME составит дальнейшее развитие протокола распределенной координационной функции (Distributed Coordination Function, DCF), которая в беспроводных сетях отвечает за равномерное разделение пропускной способности. Если такое разделение нежелательно, как при передаче речи, которой необходимо предоставить приоритет, то до сих пор для этого существовала только одна возможность - переключение в режим точечной координационной функции (Point Coordination Function, PCF). Однако оба режима можно было использовать лишь альтернативно. Расширенная функция DCF (Enhanced DCF, EDCF), наоборот, должна поддерживать как равномерное, так и взвешенное разделение - в зависимости от приложения. Поэтому покупателям стоит обращать внимание на сертификацию WME и удостоверяться в том, что точку доступа можно будет модернизировать до стандарта 802.11е после его утверждения.

БЕЗОПАСНОСТЬ И ЕЩЕ РАЗ БЕЗОПАСНОСТЬ

С защитой беспроводных сетей складывается такая же ситуация, как и с качеством услуг (Quality of Service, QoS). Это очень важный момент, поскольку ненадежно сконфигурированные точки доступа ставят под угрозу безопасность всей корпоративной сети. Ранние сети стандарта 802.11b не предлагали практически никакой аутентификации и предусматривали лишь очень слабый 64-разрядный механизм шифрования данных (WEP). Новые точки доступа в качестве важной меры предлагают списки контроля доступа (Access Control List, ACL) на базе МАС-адресов. Несколько более мощный механизм шифрования WEP 128 не относится к стандартным и, кроме того, достаточно легко взламывается.

Как и в случае с качеством услуг, IEEE постоянно откладывает публикацию всеобъемлющего стандарта (802.11i). В последнем прогнозе упоминается середина 2004 г. Альянс Wi-Fi не оставил ситуацию без внимания и в конце 2002 г. выпустил промежуточный стандарт защищенного доступа Wi-Fi (Wi-Fi Protected Access, WPA). Среди прочего он включает два знаменательных компонента, которые должны присутствовать и в будущем стандарте 802.11i: аутентификация посредством 802.1x (вместе с сервером RADIUS) и сравнительно мощная технология шифрования TKIP. 802.1х предлагался некоторыми производителями еще до утверждения стандарта WPA - однако лишь в собственной реализации. Поэтому при выборе стоит обращать внимание на сертификацию WPA.

Предприятия с высокими требованиями к конфиденциальности помещают весь трафик WLAN, как и трафик Internet, в туннели виртуальной частной сети (Virtual Private Network, VPN). Это по-прежнему самый надежный метод для защиты трафика от шпионажа, однако, с другой стороны, такое решение оказывается весьма сложным и дорогим. Программное обеспечение VPN страдает от проблем с взаимодействием; во многих случаях сервер VPN совместим лишь с одним клиентом VPN. Кроме того, оно часто имеется не для всех беспроводных клиентов, в особенности это относится к портативным устройствам. Как бы то ни было, если технология VPN применяется в беспроводных сетях, то точка доступа должна поддерживать транзитную пересылку VPN IPSec.

АППАРАТНОЕ ОБЕСПЕЧЕНИЕ

На предприятиях точки доступа размещаются в комнатах и коридорах на самом верху стены или на потолке, что вполне разумно, поэтому они должны достаточно просто монтироваться. Важно, чтобы питание не требовалось подводить отдельно. Многие точки доступа сегодня поддерживают электропитание через кабель, посредством которого они связаны с компьютерной сетью. В малых офисах часто их размещают на стеллажах, шкафах или столах. Вполне вероятно, в этом случае элегантный дизайн важнее возможности крепления под потолком или подачи питания по кабелю Ethernet.

Однако всегда следует помнить о качестве и количестве антенн. Хорошие точки доступа оснащаются двумя антеннами, причем в каждый момент времени работает антенна с лучшим качеством приема. Переключение антенн уже на удалении в несколько метров дает повышение качества и, соответственно, скорости передачи по сравнению с «однорукими» точками доступа. Обычно используемые ненаправленные антенны жестко крепятся к корпусу. Радиохарактеристики точки доступа во многом определяются тем, какие антенны используются. Так, одну и ту же точку доступа с разными антеннами можно использовать для решения разных задач. Если, к примеру, точка доступа применяется в качестве радиомоста между зданиями, удаленными на 2 км или более (до 25 км), то предпочтительнее установить направленную антенну. Специально для такого случая точка доступа должна поддерживать режим моста и обладать двумя радиомодулями (многие точки имеют свободный слот, в который при желании устанавливается второй радиомодуль). В больших залах или длинных коридорах часто наиболее эффективны отнюдь не те антенны, которые поставляются в стандартном комплекте. В любом случае возможность подключения внешних антенн дает выигрыш за счет гибкости.

УПРАВЛЕНИЕ

Управление отдельными точками доступа в большинстве случаев происходит быстро и просто: последовательный интерфейс или USB позволяет непосредственно подключать их к консоли управления, поддержка НТТР и telnet обеспечивают удобное администрирование через Internet и интерфейс браузера; защита удаленного управления осуществляется при помощи протоколов SSL и SSH. Нередко точки доступа поставляются вместе со вспомогательными программными инструментами для измерения мощности излучения или скорости передачи данных. Сервер DHCP выполняет автоматическую раздачу IP-адресов всем клиентам, что, прежде всего, важно для решений с одной точкой доступа. Если точка доступа соединена с компьютерной сетью, то необходимо правильное взаимодействие с имеющимся в ней сервером DHCP. Для него точка доступа должна быть клиентом и получать свой IP-адрес от сервера, а ее собственные клиенты - обращаться к ней посредством функции ретрансляции сервера имен доменов (Domain Name Server, DNS).

Если количество точек доступа превышает определенный порог, то обе устоявшиеся концепции управления обнаруживают серьезные недостатки. Особенно это затрагивает управление безопасностью. Причина в том, что точки доступа рассматривают себя как «центр мира» и принципиально требуют администрирования «один на один». В небольших инсталляциях этот подход, в общем-то, себя оправдывает, однако крупным предприятиям необходима вышестоящая инстанция для простого и комфортного управления точками доступа из центра. Классические точки доступа на это не рассчитаны, даже если реализация управления на базе SNMP позволяет включать его в применяемую на предприятии систему управления. Хотя поддержка SNMP и относится к основным условиям при выборе точки доступа, для эффективного администрирования ее недостаточно. Так, определение правил безопасности и их применение ко всем точкам доступа после нескольких нажатий на клавиши - пример простой и часто встречающейся задачи - невозможны. По этой причине производители Bluesocket и Reefedge разработали решения, с помощью которых можно управлять всеми точками доступа предприятия с одного сервера. Коммутаторы WLAN, выпускаемые, например, Nortel, Symbol и Trapeze (см. Рисунок 2), служат аналогичной цели: в них функции управления и обеспечения безопасности отняты у точки доступа и целиком переданы вышестоящей инстанции - в данном случае коммутатору. Однако коммутатор и точки доступа в этих решениях образуют жесткую связку, интегрировать в нее «чужеродную» точку доступа очень сложно. Значительное преимущество решений на базе сервера заключается в полной независимости от производителей точек доступа и даже от определенных беспроводных стандартов. Большим плюсом решений на базе коммутаторов являются недорогие точки доступа, а также различные дополнительные функции, например для планирования сложной беспроводной инфраструктуры.

Штефан Мучлер - шеф-корреспондент LANline. С ним можно связаться по адресу: [email protected] .

? AWi Verlag

Обзор важнейших критериев выбора

Аппаратное обеспечение

• Соответствие стандарту (специальные функции/высокая скорость доступны только в среде, где применяются продукты одного производителя)
• Мощный процессор/криптографический процессор
• Простое крепление к стене/потолку
• Электропитание по витой паре (Power over Ethernet)
• Две антенны (с возможностью переключения)
• Возможность подключения внешних антенн
• Возможность модернизации до новых стандартов безопасности/качества услуг

Функции безопасности

• Шифрование WEP/динамический WEP (WEP Plus)
• Безопасность WPA (аутентификация 802.1х/RADIUS и шифрование TKIP/AES)
• Трансляция сетевых адресов (Network Address Translation, NAT)
• Списки контроля доступа на базе МАС-адресов
• Транзитная пересылка VPN IPSec
• Брандмауэр с контекстной проверкой пакетов (если точка доступа используется как маршрутизатор доступа)

Управление

• Интерфейс Web (сервер HTTP)
• Поддержка SNMP
• Сервер DHCP/ретранслятор DNS
• Инструментарий для планирования и конфигурирования

Дополнительные функции (точка доступа как маршрутизатор доступа)

• Встроенный ISDN/DSL/кабельный маршрутизатор
• Интегрированный коммутатор
• Интегрированный сервер печати

Прочее

• Сертификация Wi-Fi
• Режим моста
• Поддержка качества услуг (WME)