Администраторы неоднозначно относятся к WLAN на предприятии. Помимо неоспоримых преимуществ остаются оправданные опасения по поводу возможных атак хакеров. Контроллеры WLAN помогают централизовать и упростить процессы управления и конфигурации. Соответственно, все большее количество предприятий стремится воспользоваться преимуществами WLAN, и все чаще среди них встречаются компании малых и средних размеров. Как следствие, на рынке стали появляться контроллеры WLAN, рассчитанные на эту целевую аудиторию. К их числу можно отнести и систему от D-Link.
D-Link предлагает сразу два контроллера WLAN для нижнего корпоративного сегмента: DWS-3024 и DWS-3026. Один коммутатор в состоянии контролировать максимум 48 точек доступа DWL-3500AP или DWL-8500AP. Если этого недостаточно, то четыре коммутатора можно объединить, чем обеспечивается поддержка 192 точек доступа. DWS-3026 представляет собой практически полную копию своего младшего брата, различие заключается лишь в наличии двух слотов расширения на задней панели, куда можно установить модуль 10 Gigabit Ethernet и второй блок питания. Для тестирования была предоставлена модель DWS-3024, но результаты можно отнести и к DWS-3026.
ПОЛНОЕ СНАБЖЕНИЕ
Контроллеры WLAN производ-ства D-Link оснащены как нельзя лучше. На передней панели располагаются 24 порта Gigabit Ethernet, которые могут параллельно снабжать энергией всех потребителей PoE. Это очень удобно, тем более что 24 точки доступа для небольшого предприятия — уже довольно много, а благодаря PoE, для их установки в желаемом месте достаточно лишь сетевого кабеля. Тем не менее, у точек доступа есть дополнительный разъем для поставляемого в комплекте блока питания, поэтому их можно подключить и к коммутатору, не поддерживающему функцию PoE. Дополнительно в контроллер WLAN встроены четыре посадочных места для модулей SFP, с помощью которых можно, например, организовать восходящее соединение по волоконно-оптическому кабелю.
Светодиоды на портах информируют либо о состоянии соединения, либо (при нажатии соответ-ствующей кнопки) о нагрузке PoE. Коммутатор способен предоставлять потребителям до 370 Вт (15,4 Вт на каждый порт) — немалая мощность для устройства толщиной всего лишь в одну единицу высоты. D-Link не хотела рисковать: коммутатор охлаждается четырьмя вентиляторами. Возникающий в результате шумовой фон не позволяет применять устройство в офисных помещениях, поэтому вариант использования коммутатора не только в 19-дюймовой стойке, но и в качестве настольного устройства всерьез воспринимать нельзя.
Внутренняя основа обоих контроллеров WLAN от D-Link — коммутатор уровня 2+. Компромиссное обозначение «+» возникло в связи
с тем, что до настоящего коммутатора третьего уровня ему не хватает пары функций, однако он способен на гораздо большее, чем обычные модели второго уровня. Так, этот контроллер WLAN позволяет создавать надежные туннели в различных подсетях и выполнять базовые задачи по маршрутизации.
Мы тестировали устройство с предварительно настроенным IP-адресом, обычно же админис-тратору приходится назначать адрес через последовательную консоль или устанавливать связь с коммутатором через IP-адрес по умолчанию — 10.90.90.90. Между тем, ПК с последовательным интерфейсом встречаются все реже — производителям пора переходить на USB в качестве порта управления. Как это сейчас принято, настройка и управление осуществляются через браузер Web, но, к сожалению, не по HTTPS, т.е. без шифрования. Для защищенного административного доступа остается воспользоваться SSH: D-Link встроила в коммутатор поддержку SSH1/2. Сеансы Telnet тоже возможны, но они так же незащищены, как и соединение HTTP. А вот взаимодействие с точками доступа осуществляется по защищенному соединению SSL, даже если пользователь не прибегает к таким функциям, как туннелирование третьего уровня.
Тот, кто впервые авторизуется в DWS-3024 в качестве администратора (без пароля), будет удивлен обилием функций. В левом навигационном окне приводится длинный список опций с возможностью выбора, правда, большин-ство из них не связано с функцией контроллера WLAN. D-Link разделила функции локальных сетей (Local Area Network, LAN) и WLAN между двумя индексными картами: по умолчанию пользовательский интерфейс отображает сначала раздел LAN. Помимо нескольких основных настроек, в частности, IP-адреса и базовой информации о SNMP, опции LAN можно пока вообще не трогать. Конечно, администратору придется заняться ими, когда речь пойдет об аутентификации пользователей и о настройках PoE, однако для выполнения функции контроллера WLAN они не нужны.
СНАЧАЛА ПРОВЕРИТЬ, ПОТОМ ВКЛЮЧАТЬ
У нового устройства отключены все функции WLAN. Это правильно, ведь предустановленный профиль «по умолчанию» не предусматривает никаких мер безопасности. В случае его активации сразу же после включения любой беспроводной клиент мог бы получить доступ к сети. Администратору следует вначале настроить один или несколько профилей, задав параметры сети: идентификатор набора услуг (Service Set Identifier, SSID), функции шифрования, качество сервиса (Quality of Service, QoS), а также, при желании, аутентификацию 802.1X через внешний сервер RADIUS. Возможно создание нескольких профилей с их произвольным распределением между точками доступа. На одной точке доступа и даже на одном радиомодуле (802.11a или 802.11g) можно реализовать до восьми SSID.
Параметры конфигурации наглядны и удобны в использовании, они подробно описаны в «подсказке». Если с самого начала не испугаться кажущейся сложности, то наградой станет существенное упрощение процесса администрирования беспроводной сети. К сожалению, наглядное меню WLAN не придерживается четких правил для навигации пользователей: некоторые функции обнаруживаются в совершенно неожиданных местах. Впрочем, этот недостаток нельзя назвать критичным — через некоторое время после знакомства с устройством пользователю становится понятно, где что искать. Но, тем не менее, простора для доработок еще довольно много.
Желательно было бы, например, наличие «эксперта», на подсказку которого администратор может опереться при выполнении повторяющихся задач, таких как создание нового профиля точки доступа. В руководстве приводятся соответствующие директивы, но, к примеру, отсутствует четкое указание, что профиль передается выбранным точкам доступа лишь после завершающего нажатия Push. Поначалу этот момент легко упустить из виду. После нажатия на кнопку Submit контроллер сохраняет изменения, а точки доступа об этом не оповещаются. В результате при введении нового, заранее согласованного ключа (Pre-Shared Key, PSK) и аналогичных настройках безопасности в WPA/WPA2 возможна путаница. Администратор считает, что нажатием Submit он применил новый профиль, однако точки доступа все еще работают со старым паролем. Лишь нажатие Apply в другом меню или перезапуск устройства обеспечат перепрограммирование точек доступа.
Поначалу не сразу попадается на глаза меню «Инструменты». Разработчики расположили его между полосой навигации (слева) и полем операций (справа) в виде раскрывающегося меню у верхнего края окна. В числе прочих здесь находятся команды для записи текущей конфигурации во флэш-память. Те, кто привык объясняться с контроллером с помощью командной строки, не столкнутся с такими трудностями: система предупредит, что изменения еще не записаны во флэш. Правда, кривая обучения для интерфейса командной строки (Command Line Interface, CLI) поначалу довольно крута: команды не очень понятны. Если же изучить их, то с помощью командной строки удастся быстрее достигать желаемого результата, однако затраты на обучение оправданы только для администраторов, которым приходится помногу работать с продуктами от D-Link. Похвально, что D-Link включила в комплект собственное руководство по конфигурации CLI.
ГИБКИЕ ТОЧКИ ДОСТУПА
Обе модели точек доступа, которые D-Link предлагает для взаимодействия с контроллером WLAN, различаются поддерживаемыми стандартами: DWL-3500AP поставляется только с радиомодулем 802.11b/g, в то время как DWL-8500AP работает со стандартами 802.11a/b/g (см. Рисунок 1). Точка доступа для 802.11n планируется, но ее появление ожидается лишь в конце 2008 г. Выбор, безусловно, ограниченный, но обе модели точек доступа достаточно универсальны и пригодны для применения как в офисах, так и в незашумленной промышленной среде. Обе точки доступа имеют соб-ственные вычислительные модули, к которым можно получить доступ посредством Telnet, но в обычных условиях админис-тратору не приходится работать с ними напрямую, по крайней мере, после внесения их MAC-адреса в соответствующую базу данных контроллера. Администратор может ввести MAC-адреса вручную либо настроить на точках доступа IP-адрес контроллера, или с помощью опции 43 снабдить IP-адресом контроллера используемый в сети сервер DHCP (в DWS-3024 имеется свой встроенный). Если точки доступа отправят серверу запрос DHCP, то в ответе в поле опций они получат правильный IP-адрес.
Установив один раз связь с контроллером WLAN, в дальнейшем точки доступа будут работать с ним беспрепятственно. Над устройствами осуществляется полный контроль, даже обновление программно-аппаратных средств можно реализовать централизованно для всех или выбранных точек доступа (см. Рисунок 2). В соответствующем меню оговорено, что процесс может занять 12-15 мин., поэтому следует быть аккуратнее с обновлениями, если WLAN нужна пользователям для работы. Что касается свойств вещания и приема, то точки доступа удивили необычно большим радиусом действия. В ходе тестирования они взаимодействовали с целым рядом разнообразных клиентов: как с адаптерами в современных ноутбуках, так и с более старыми моделями PCMCIA и модулями для USB. Разрывов соединения не было, роуминг между несколькими точками доступа тоже не вызвал нареканий.
В тестовой среде мы использовали лишь «плоскую» сеть с одной виртуальной локальной сетью (Virtual Local Area Network, VLAN) для всех точек доступа, но контроллер WLAN поддерживает еще несколько VLAN в соответствии со стандартом 802.1Q. В этой связи интересна функция туннелирования беспроводных пакетов через различные подсети, относящаяся к третьему (или второму «+») уровню. Точки доступа остаются в выделенной для них подсети, а зашифрованные пакеты отправляются по туннелю третьего уровня на контроллер. В пересекаемой транспортной сети изначальные пакеты не видны, а сама она не чувствительна к атакам, попытки которых могут предприниматься через точки доступа.
Последняя функция — яркий пример слегка двойственного впечатления, которое оставляет DWS-3024. Часть, отвечающая за LAN, отличается обилием функций второго и третьего уровней, в то время как часть WLAN хоть и выполняет свою основную задачу, но имеет серьезные пробелы. Потребность в доработке ощущается во всем, что выходит за пределы простого предоставления доступа к WLAN. С последним контроллер справляется очень хорошо. Кроме того, он поддерживает все важные функции безопасности (WPA, PSK, RADIUS, PE-AP, TKIP и AES), в чем не уступает Cisco 2106, требуя, к тому же, меньших затрат на конфигурацию. Однако портала Web, на который направляются все гости для осуществления принудительной аутентификации (как в контроллере WLAN от Cisco), здесь нет. Правда, D-Link обещает предоставить его в следующей версии.
ОБНАРУЖЕНИЕ НЕАВТОРИЗОВАННЫХ ТОЧЕК ДОСТУПА
Недостаточно внимания уделяется неавторизованным точкам доступа (так называемые Rogue Access Points). Система показывает их MAC-адреса, SSID, каналы и режимы вещания. Благодаря хорошему качеству приема точек доступа от D-Link, во время тестирования в списке отображалось до 40 точек доступа. Однако в этом перечне отсутствуют сведения о том, какое шифрование использует неавторизованная точка доступа (см. Рисунок 3). Между тем, через незащищенные точки доступа с сетью может случайно связаться законный клиент. Менее значимо то, что D-Link отказывается от таких мер, как дисассоциация клиентов или другие активные защитные действия. Многие администраторы относятся с большим подозрением к таким методам в стиле Рэмбо прежде всего по правовым причинам. Они будут оправданы лишь на обширных территориях внутри одного предприятия.
Серьезно мешает и то, что в режиме карты (ее представление очень красиво) точки доступа (как разрешенные, так и незнакомые) не размещаются автоматически. Местоположение известных точек доступа администратор может нанести на карту и вручную —
в конце концов, он же знает, где они установлены. Но неавторизованные точки доступа контроллеру следовало бы помещать на карту самостоятельно, иначе список с MAC-адресами обнаруженных чужих точек доступа на схеме оказывается абсолютно бессмысленным. Это тем более достойно сожаления, потому что администратор может перевести точки доступа даже в режим Scan Оnly, чтобы они занимались исключительно контролем воздушного пространства. Этот вопрос производителю следует проработать детальнее. Такие специалисты в сфере контроллеров WLAN, как Aruba, предлагают гораздо более широкую функциональность, да и Cisco 2106 владеет приемами поинтереснее.
ЗАКЛЮЧЕНИЕ
Для небольших и средних предприятий, желающих без излишних сложностей сконфигурировать защищенную сеть WLAN, устройство D-Link DWS 3024 в комбинации с точками доступа 3500/8500 является весьма привлекательным решением. Этот контроллер WLAN не обладает сложностью Cisco 2106, зато предоставляет надежные базовые функции, с помощью которых администрирование беспроводной сети осуществляется действительно просто и быстро. Дополнительные функции третьего уровня, поддерживаемые коммутатором, — интересное дополнение для масштабных инфраструктур.
К сожалению, функции мониторинга и оповещения слишком ограничены. Рассылка информации о событиях происходит лишь посредством SNMP Trap или Syslog, функция уведомлений по электронной почте отсутствует, а информации о неавторизованных точках доступа предоставляется слишком мало. Контроллеры WLAN от специализированных производителей, к примеру, от Aruba, предлагают весьма обширный объем функций, однако, как правило, такие устройства слишком сложны и дороги.
Стоимость D-Link DWS-3024 составляет 8400 евро, а точки доступа стоят 310 евро (DWL-3500AP) или 453 евро (DWL-8500AP).
Эльмар Торок — независимый журналист, пищущий на тему телекоммуникаций.
© AWi Verlag