Сети WLAN стали полноценным дополнением проводной инфраструктуры, а их архитектура с появлением беспроводных коммутаторов адаптировалась к требованиям корпоративного применения.Однако при выборе этих центральных компонентов Wi-Fi нужно быть чрезвычайно предусмотрительным, поскольку коммутатор WLAN и относящаяся к нему точка доступа образуют взаимозависимую пару.

Два года назад тема коммутации в беспроводных сетях впервые привлекла к себе всеобщее внимание. Если раньше помимо Symbol Technologies — многолетней кузницы WLAN — на новом сегменте рынка доминировали молодые компании — Aruba, Airespace и Trapeze Networks, то сегодня соответствующее оборудование предлагают практически все производители коммутаторов для локальных сетей, среди которых Alcatel, Enterasys, Extreme Networks, Hewlett-Packard и Nortel. Cisco, как лидер беспроводного рынка (см. Рисунок 1), пока еще не представила полноценного коммутатора WLAN, однако миграцию в этом направлении уже можно осуществить при помощи точек доступа с поддержкой IOS и специализированного устройства для управления точками доступа Cisco Works Wireless LAN Solution Engine (WLSE).

Рисунок 1. Важнейшие игроки на рынке беспроводных коммутаторов и их позиционирование.

Достаточно зрелые концепции производителей коммутаторов WLAN значительно различаются между собой, однако обладают общим серьезным недостатком: коммутаторы со специальными точками доступа образуют единый блок. К продуктам большинства производителей могут подключаться и чужие точки, но только если это точки доступа стандарта Wi-Fi, которые как таковые не предназначены для работы с определенным коммутатором. В этом случае оказываются доступны только их базовые функции, а специфические возможности, к примеру мониторинг эфира, остаются не задействованы. Поэтому оценка решения беспроводной коммутации всегда включает в себя оценку двух устройств — коммутатора и точки доступа.

В начале года появилась надежда, что проблема совместимости коммутаторов WLAN вскоре будет решена. Магическая формула называлась облегченным протоколом точек доступа (Lightweight Access Point Protocol, LWAPP). К сожалению, его проект IETF отклонила. С тех пор, с одной стороны, LWAPP продолжает «жить» лишь в продуктах немногих производителей (к ним, прежде всего, относятся Airespace и ее партнеры по ОЕМ) — в частности, в качестве протокола для соединения по глобальной сети удаленных точек доступа в филиале, когда коммутатор расположен в центральном офисе. А с другой — IETF создала рабочую группу по контролю и инициализации беспроводных точек доступа (Control and Provisioning of Wireless Access Points, CAPWAP), в которой свое развитие получили некоторые элементы LWAPP. Результатом деятельности CAPWAP (сроки принятия пока еще не утверждены) должно стать исчерпывающее определение архитектуры беспроводных сетей. Значительная часть усилий направлена на организацию взаимодействия беспроводных коммутаторов.

Рисунок 2. Внешне коммутаторы WLAN (здесь: Mobility Exchange вместе с точкой доступа Mobility Exchange от Trapeze) не слишком отличаются от обычных коммутаторов локальной сети, однако внутренние различия гораздо существеннее.

Главное назначение коммутаторов WLAN состоит в централизации интеллекта управления и обеспечения безопасности. Если обычный коммутатор Ethernet лишь часть своего потенциала тратит на управление определенным количеством МАС-адресов, а в остальном занимается передачей пакетов данных получателям с одинаковой скоростью, по мере их поступления («со скоростью линии»), то коммутатор WLAN должен делать несколько больше: наряду с МАС-адресами он управляет IP-адресами, берет на себя учет пользователей (безопасность и управление) и частично содержит ряд приложений (см. Рисунки 2 и 3).

ПРОСЛУШИВАНИЕ ОКРУЖАЮЩЕГО ЭФИРА

Подход к рассмотрению точек доступа не по отдельности, а в их целостности, привел к заметным улучшениям продукции некоторых производителей в области инсталляции, эксплуатации и безопасности беспроводных сетей. Ключом являются специальные системы прослушивания на точках доступа, которые в состоянии производить радиотехническое зондирование окружающей обстановки в эфире. Таким образом, к примеру, можно установить уровень помех от близлежащих точек доступа и соответственно модифицировать распределение каналов и выходную мощность. Если радиомодуль замечает, что соседняя точка доступа перегружена, а у собственной еще имеется свободная емкость, то коммутатор производит выравнивание нагрузки. Не все продукты обладают подобными датчиками. Весьма различаются как сами мониторы эфира, так и их использование производителями. В большинстве случаев необходим собственный радиомодуль, который через определенные интервалы времени или по команде сканирует окружающую среду и сообщает о результатах на консоль управления.

Рисунок 3. Решение для коммутации в беспроводной сети от Aruba.

Идеальное решение — постоянно работающий датчик эфира, который в реальном времени передает информацию о своих измерениях интеллектуальной системе управления в коммутаторе. В зависимости от выявленных условий точки доступа способны в реальном времени сами себя конфигурировать, оптимизировать и, в случае ошибки, даже «излечить». Таким образом, интенсивность излучения всегда регулируется в соответствии с текущими условиями в целях предотвращения помех и балансировки нагрузки для достижения наилучшей производительности, автоматического выявления и устранения «белых пятен», распределения каналов, выравнивания емкости и многого другого. Кроме того, системы с непрерывно работающими датчиками эфира могут распознавать, блокировать и определять местоположение чужих точек доступа (см. Рисунок 4). В принципе, все это реализуемо и без постоянного прослушивания, однако тогда неизбежны задержки в реагировании на появление помех.

Статичная система WLAN никогда не может быть так же хорошо настроена на реальные условия окружающей среды (открытие/закрытие двери, включение/выключение микроволновой печи, кратковременное включение устройства Bluetooth и др.), даже если она создавалась лучшими в мире специалистами. Интеллектуальные же динамические решения прекрасно функционируют и без упомянутых специалистов. В свете общей итоговой стоимости подобные системы имеют очевидные преимущества, поскольку для их инсталляции и эксплуатации не нужно специально обученных радиоинженеров, а многие рутинные работы, которые обычно приходится проводить в беспроводных сетях, выполняются автоматически и динамично.

Популярной эта технология стала прежде всего благодаря Aruba. После чего Airespace усовершенствовала подход, а Aruba вошла, так сказать, в зону затишья. Airespace до сих пор остается единственной, кто интегрирует функцию прослушивания эфира в обычные точки доступа без ограничения скорости передачи полезных данных (как утверждается, снижение составляет менее 0,2%). Это экономит деньги, а кроме того, место в точке доступа.

ОСНАЩЕНИЕ КОММУТИРУЕМЫХ ТОЧЕК ДОСТУПА

Если для некоммутируемых беспроводных сетей на первом плане часто оказываются дополнительные функции — DSL- и кабельный модем/маршрутизатор, брандмауэр, виртуальные частные сети (Virtual Private Network, VPN), сервер печати и т. д., то точки доступа для коммутируемых сред менее универсальны. Наряду с радиомодулем, упомянутым уже сканером эфира (интегрированным или отдельным) и антенной, они иногда содержат аппаратное обеспечение (микросхемы или процессоры) для реализованных методов шифрования и аутентификации (DES, TKIP, AES или EAP/TLS, 802.1x, Radius). Интеллект управления и интерфейс управления обычно расположены уже не на точке доступа, а на коммутаторе.

Рисунок 4. Система управления Airespace Control System (ACS) способна распознавать неавторизованные точки доступа, локализовывать их с точностью до нескольких метров и блокировать.

Обещание по выпуску очень недорогих коммутируемых точек доступа так и не было выполнено. Мини-точки доступа стоят в лучшем случае лишь немногим меньше, а чаще всего даже больше своих более функциональных «сестер». Причина кроется в сложности реализации монитора эфира. Поэтому руководствоваться исключительно стоимостью приобретения не следует. Гораздо рациональнее рассматривать предложенные за определенную цену функции исходя из баланса общей стоимости. Благодаря радиомодулю коммутируемая точка доступа поддерживает некоторые базовые функции и стандарты, как и обычные точки доступа. К техническим базовым функциям относятся используемый диапазон частот (2,4 или 5 ГГц), радиус действия и максимальная скорость передачи данных. Эти величины определены в стандартах IEEE 802.11a/h (5 ГГц) и 802.11b/g (2,4 ГГц). Если точки доступа для диапазона 2,4 ГГц в идеальном случае (в чистом поле) посредством стандартной антенны могут передавать данные на 100 м, то радиоволны в диапазоне 5 ГГц распространяются лишь на 30—40 м. Что касается скорости передачи, то стандарт 802.11a/h определяет ее в 54 Мбит/с, а 802.11b — максимум в 11 Мбит/с (без учета расходов на протокол). В случае стандарта 802.11g эффективный метод модуляции также обеспечивает скорость 54 Мбит/с. При ухудшении соединения все радиостандарты предусматривают переход на уровень ниже — за несколько итераций (у разных производителей по-разному) скорость передачи становится все меньше. Эта функция «отката» в соответствии с законами радиофизики приводит к очевидному повышению стабильности соединения.

Выбор стандарта стал менее принципиален с появлением многорежимных беспроводных сетей с параллельной поддержкой нескольких радиостандартов. Однако, определяясь с частотным диапазоном, следует учитывать «плотность трафика» в соответствующем спектре. Беспроводные сети диапазона 2,4 ГГц дешевле, но вынуждены делить диапазон частот с многочисленными бытовыми приборами (к примеру, микроволновыми печами) и радиотехнологиями (Bluetooth и проч.). В случае критичных ко времени приложений, к каковым относится передача голоса по WLAN, такие сети более подвержены ошибкам по сравнению с сетями стандартов a/h в диапазоне 5 ГГц. Наряду с радио в точке доступа интегрировано несколько стандартов безопасности, среди которых — WEP и WPA, утвержденный летом прошлого года стандарт 802.11i, а также WPA-2 и сертификация Wi-Fi.

КОММУТИРУЕМЫЕ WLAN И БЕЗОПАСНОСТЬ

В коммутируемой беспроводной среде общая концепция безопасности, несомненно, важнее отдельных функций обеспечения безопасности на точках доступа. Она должна учитывать тот факт, что различные клиенты WLAN предъявляют и разные требования. Кроме того, некоторые клиенты обладают ограниченными возможностями поддержки имеющихся механизмов обеспечения безопасности. Так, к примеру, клиенту VoIP (беспроводной IP-телефон) может требоваться поддержка WEP для доступа к определенным сетевым ресурсам. Настольный компьютер, как правило, нуждается в IPSec и TKIP/WPA. Наконец, КПК, производительность которого гораздо скромнее, чем у персонального компьютера, часто довольствуется лишь клиентом IPSec. Эти различные клиенты должны поддерживаться архитектурой безопасности коммутируемой беспроводной сети. Полезным бывает распределение протоколов и технологий обеспечения безопасности по нескольким уровням ISO. В общем и целом это могло бы выглядеть следующим образом:

  • уровень 1 (радио) активно следит за эфиром в поисках неавторизованных точек доступа и источников помех и принимает соответствующие меры;
  • уровень 2 — WEP, WPA, WPA-2, 802.1x;
  • уровень 3 — VPN/IPSec, DES, 3DES, AES, поддержка аутентификации для 802.1х, RADIUS и TLS/TTLS;
  • управление всеми уровнями осуществляет защищенная система управления посредством SSL, SSH, SNMP и сертификатов Х.509.

В случае внедрения новых стандартов безопасности — WPA-2 или 802.11i — в соответствующие структуры управления, как и прежде, очень высоко ценится креативность производителя. Airespace, к примеру, повышает безопасность WLAN путем технологического партнерства с Infoexpress и Zone Labs. Результатом стали новые функции обеспечения безопасности: контроль доступа на базе приложений (Network Access Control, NAC) и активное кэширование ключей (Proactive Key Caching, PKC). Таким образом, предприятия могут комбинировать преимущества защиты в соответствии со спецификацией 802.11i в реальном времени и беспроводного подключения мобильных устройств. В PKC беспроводные конечные устройства при роуминге в беспроводной сети используют для аутентификации единственный «главный ключ». Полностью совместимое с 802.11i расширение для платформы Airespace Wireless Enterprise Platform было разработано вместе с Funk Software и Atheros Communications. Цель состоит в избежании необходимости повторной аутентификации на сервере RADIUS для конечных устройств при роуминге между точками доступа. Три предприятия разработали схему сети, когда необходимый уровень безопасности и производительности достигается без внесения технических изменений в используемые клиенты и обслуживаемые системы.

КАЧЕСТВО УСЛУГ

Как можно предвидеть, в будущем беспроводные локальные сети составят базис беспроводной телефонии. В Европе, где широкое распространение получили телефоны DECT, этот процесс происходит медленнее, чем в США, где стандарт DECT по сути не смог закрепиться на рынке. Таким образом, интеграция беспроводных голосовых коммуникаций будет приобретать все большее значение при выборе WLAN и коммутаторов WLAN. Вопрос о качестве услуг в коммутируемой беспроводной среде ставится иначе, чем в коммутируемой инфраструктуре локальной сети, где выделенная пропускная способность предоставляется пользователю на базе эксклюзивного межпортового соединения. Коммутатор WLAN управляет не одним пользователем на каждом порту, а всеми, кто взаимодействует с подключенными к коммутатору точками доступа. Ввиду того, что непосредственное распределение полосы пропускания с порта коммутатора в разделяемой среде, каковой является эфир, невозможно, коммутаторы WLAN решают эту задачу в рамках управления пользователями и на уровне приложений. Таким образом, пропускная способность может резервироваться и гарантироваться независимо от того, в каком месте пользователь физически подключен по радио к сети.

Однако в будущем и для точек доступа должны появиться механизмы для лучшей, по сравнению с прежней, поддержки качества услуг. За это отвечает дополнительный стандарт IEEE 802.11е, утверждение которого запланировано на ближайшее будущее. Впрочем, более популярным может стать его эквивалент Wi-Fi; он уже указывается некоторыми производителями в перечне функций продуктов в форме сокращения WME (Wi-Fi Multimedia Extensions — мультимедийные расширения Wi-Fi). Надо сказать, что организация Wi-Fi не так давно изменила номенклатуру своих стандартов качества услуг (Quality of Service, QoS). Теперь WME называется WMM (Wi-Fi Multimedia), но делает то же самое. При этом речь идет о дальнейшем развитии протокола распределенной координационной функции (Distributed Coordination Function, DCF), осуществляющего контроль за правильным распределением полосы пропускания в беспроводной сети. Расширенная DCF (Enhanced DCF, EDCF) одновременно поддерживает как «справедливое», так и взвешенное распределение — в зависимости от приложения. WMM/WME не предлагает, однако, гарантированной полосы пропускания. Клиенты всего лишь сообщают точке доступа о более высоком (из восьми уровней) приоритете, и точка доступа по возможности пытается их перераспределить.

Другой механизм для обеспечения качества услуг на точках доступа называется беспроводной передачей мультимедиа (Wireless Scheduled Multimedia, WSM), переименованной в WMM — Schedule Access. Определенные этим механизмом протоколы должны в будущем дать точке доступа полный контроль над ее «портами» или коммуникационными каналами. Однако программа сертификации со стороны Wi-Fi еще не представлена.

ЦЕНТРАЛИЗОВАННЫЕ И ДЕЦЕНТРАЛИЗОВАННЫЕ КОММУТАТОРЫ

Возможность интеграции беспроводных коммутаторов в существующую инфраструктуру ИТ не в последнюю очередь зависит от гибкости реализации предлагаемого производителем решения. Как и в локальной сети, в WLAN есть нечто вроде коммутаторов подразделения, к которым точки доступа подключаются непосредственно, и «коммутаторов ядра WLAN» для использования в вычислительных центрах. В случае последних прямое физическое соединение между портом коммутатора WLAN и точкой доступа отсутствует. При такой реализации коммутатор WLAN обычно соединен с коммутатором локальной сети второго уровня в монтажном шкафу, и лишь порты последнего — с точками доступа. В этой связи важное значение имеет поддержка электропитания точек доступа по кабелю Ethernet (Power over Ethernet, PoE); лучше всего, если она реализована в соответствии со стандартом 802.3af.

Беспроводные коммутаторы уровня подразделения или этажа для установки в монтажных шкафах предлагают все производители (причем степень оснащения чаще всего различается — например, по количеству портов), а коммутаторы ядра WLAN — лишь некоторые из них. Централизованная архитектура предназначена прежде всего для крупных предприятий, имеющих центральное подразделение ИТ и даже вычислительный центр. Один центральный компонент проще контролировать, и он дешевле, чем несколько распределенных устройств. При децентрализованной структуре, напротив, гораздо проще оперативно реагировать на текущие требования к пропускной способности. Как бы то ни было, централизованные беспроводные коммутаторы должны реализовываться избыточно, поскольку в этом случае тема готовности приобретает особое значение. На практике между тем привычными стали смешанные архитектуры. Решающий фактор — возможность роста сетей вместе с предприятием, а значит, ответственные за информационные технологии должны учитывать и потенциальное расширение сети.

ПРОЧИЕ КРИТЕРИИ

Важным моментом в АР-центрических беспроводных локальных сетях является их неспособность поддерживать беспроводные соединения при переходе через границу между подсетями, поскольку в стандартах определен только роуминг между точками доступа. Большинство решений на базе коммутаторов устраняет эту проблему при помощи таких механизмов, как Mobile IP или 802.1x Fast Handoff. В крупных инсталляциях с ярко выраженными структурами подсетей мобильность просто необходима.

Беспроводные коммутаторы различаются и по оснащению дополнительным программным обеспечением для планирования и построения сети. В качестве примера можно привести набор инструментов Ringmaster от Trapeze — под единым интерфейсом интегрированы функции, которыми администратор может воспользоваться для планирования и создания радиосети, что позволит сэкономить на проведении дорогостоящих измерений в здании. Некоторые производители в качестве вспомогательного средства при планировании и реализации сети задействуют мониторы эфира. Так, сканеры эфира на точках доступа Airespace тесно взаимодействуют с управляющим программным обеспечением (Airespace Control System) и платформой управления (Aireware Director). В других продуктах в качестве базы для планирования иногда предусматривается возможность загрузки планов зданий в форматах Authocad, JPG и TIF.

В 2004 г. коммутация WLAN очень быстро достигла своей зрелости. Если при выборе продукта придерживаться описанных критериев, то ничто не помешает освободиться от излишних кабелей на предприятии и благодаря этому повысить производительность.

Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.


? AWi Verlag