В любом центре обработки данных наметанный глаз сразу распознает коммутаторы компании Extreme – сверкающие лаковым покрытием 19-дюймовые устройства фиолетового цвета привлекают к себе внимание. Этот американский производитель специализируется в области инфраструктурных систем: даже модели начального уровня оснащаются многофункциональными и гибкими операционными системами. Однако Extreme чувствует себя уверенно не только в сфере кабельных подключений: в портфеле компании представлены контроллеры и точки доступа для WLAN. Серия продуктов Summit охватывает несколько моделей: от WM20, которая может контролировать до 32 точек доступа, до WM2000, рассчитанной на 200 беспроводных точек доступа. Дополнительно имеются точки доступа для использования внутри помещений и вне их, причем теперь не только в исполнении IEEE 802.11a/b/g, но также с поддержкой 802.11a/n и b/g/n. Однако ядром системы является контроллер, позволяющий устанавливать и администрировать точки доступа и контролировать их работу.
Уже одним своим внешним видом Extreme WM200 дает понять, что разрабатывался для применения в крупных средах: устройство реализовано в 19-дюймовом корпусе и оснащено избыточными сетевыми блоками питания и модулями для выполнения функций контроллера. В верхней части размещен процессорный блок, под ним — коммутатор на четыре порта, а еще ниже – модуль с управляющим контроллером и собственным сетевым портом. К сожалению, четыре порта коммутатора не поддерживают функцию питания по Ethernet (Power over Ethernet). Правда, Extreme предлагает сетевые блоки питания для своих беспроводных точек доступа (Wireless Access Point, WAP). Переданные на тестирование три точки доступа Altitude 350-2 WAP поддерживают стандарты 802.11a/b/g.
Ранее тестировавшиеся контроллеры WLAN не требовали какой-либо подготовки перед первым запуском: в зависимости от интуитивности пользовательского интерфейса удавалось более-менее быстро разобраться с их функциями. Но в случае с WM200 администратору следует держать под рукой 130-страничное «Руководство для быстрого старта» («Quick Start Guide»). Этот продукт не предлагает никакого мастера настройки (Wizard), который провел бы пользователя через процесс конфигурации, а возможности коммутатора в отношении взаимодействия с различными подсетями просто необозримы.
Как и в случае с Cisco, чьи контроллеры тоже предлагают множество сложных функций для кабельных подключений, локальная сеть является гораздо большим препятствием, нежели WLAN — по крайней мере, если пользователь не знаком с базовой концепцией, лежащей в основе соединений WLAN. Extreme делает ставку на так называемые домены доступа (Access Domain, AD), для которых задаются параметры аутентификации, шифрования и способ перехода между локальной сетью и WLAN. Последний наиболее сильно влияет на всю структуру сети. Существуют три принципиальных возможности: создание мостов (Bridging) данных прямо на беспроводной точке доступа, создание мостов на контроллере WLAN и режим «маршрутизатор».
Принцип действия режима «маршрутизатор» разъяснить проще всего: точки доступа и клиенты работают в собственной зоне IP, контроллер WLAN традиционно функционирует на третьем уровне и переводит данные из WLAN в локальную сеть. Естественно, для этого необходима соответствующая таблица маршрутизации, однако она не обновляется и не дополняется автоматически. Иначе говоря, при настройке системы ввод статичных маршрутов становится обязаннос-тью администратора. Кроме того, коммутатор поддерживает сложные конструкции маршрутизации, в которых можно использовать протокол предпочтения коротких путей (Open Shortest Path First, OSPF). Для управления точками доступа он автоматически устанавливает административную виртуальную локальную сеть (Virtual Local Area Network, VLAN), позволяющую передавать пакеты отдельно от пользовательских данных. Преимущества этого режима: четкое разделение беспроводных сегментов сети и полный доступ ко всем возможностям, предоставляемым контроллером WLAN при манипуляциях с пакетами. К примеру, можно реализовать исчерпывающие функции качества сервиса (Quality of Service, QoS) с множеством градаций и классов сервиса. Задачу предоставления IP-адресов можно переложить на внешний сервер DHCP или на интегрированный модуль DHCP.
Локальное создание мостов на точке доступа имеет смысл, если надо добиться, главным образом, хорошей пропускной способности и простого использования, а не максимальной функциональности. В тестировании применялся преимущественно этот режим. Одновременно точки доступа получают идентификационный номер VLAN (VLAN-ID), а данные WLAN направляются в туннель VLAN уже в пункте физического перехода в локальную сеть, благодаря чему их можно выделить непосредственно на коммутаторе и перенаправить дальше в сеть.
Таким образом, котроллеру WLAN не приходится шлюзовать и обрабатывать все данные. Но в результате некоторые функции WM200 становятся недоступными, поскольку контроллер не видит данные в туннеле: «принудительный портал» (Captive Portal) здесь так же неприемлем, как и применение правил для фильтров или поддержка групповой рассылки (Multicast). Снабжение беспроводных клиентов IP-адресами опять-таки должен взять на себя сервер, расположенный в инфраструктуре локальной сети.
Третий вариант (создание локальных мостов на контроллере) предусматривает выдачу точкам доступа и клиентам WLAN идентификационных номеров VLAN-ID, однако охватывает и контроллер, который получает доступ к данным в туннеле и может применять все функции, как это происходит в случае «принудительного портала» или манипуляций с QoS. IP-адреса предоставляются либо самим WM200, либо сервером в сети.
Каждый идентификатор набора услуг (Service Set Identifier, SSID) WLAN привязан к одному определенному домену доступа. В настройках рекомендуется указать, какие точки доступа и радиомодули будут включены в AD. Каждая точка доступа может быть участником нескольких AD и тем самым предоставлять несколько SSID. Концепция доменов доступа обес-печивает большую гибкость, ведь опции маршрутизации и ретрансляции в них настраиваются в соответствии с потребностями. Широкая функциональность WM200, безусловно, будет оценена по достоинству, однако в плане наглядности и логической последовательности конфигурации пока с заметным отрывом лидирует Cisco.
ПЕРВЫЙ ЗАПУСК
Помимо «Руководства для быстрого старта», существует еще и «Руководство для супербыстрого старта» в виде файла PDF. В нем описывается подключение системы к сети и первое обращение из браузера к контроллеру. После первого запуска необходимо заняться настройкой параметров IP для четырех коммутируемых портов, помня о том, что производитель предусмотрел три режима работы: в режиме «главный порт» (Host-Port) можно подключать дополнительные коммутаторы и беспроводные точки доступа Altitude; «маршрутизация» (Routing) подразумевает подключение к этому порту маршрутизатора для восходящего потока (Upstream Router); «точка доступа третьей стороны» (3rd Party AP) обеспечивает соединение через данный порт с точками доступа других производителей.
Кстати, Extreme допускает предоставление некоторым пользователям прав чтения, однако делегирование различных функций оператора не предусмотрено. Для защиты конфигурации и системных файлов в WM200 интегрирована функция сопровождения (Maintenance), важность которой обусловлена тем, что администратору не приходится рисковать необходимостью повторной установки слишком усложнившейся конфигурации. В то время как резервирование (Backup) осуществляется беспроблемно, пользователям следует быть осторожными при восстановлении (Restore): программное обеспечение не проверяет версию сохраненных файлов. Если между созданием резервной копии и восстановлением проводилось обновление операционной системы контроллера WLAN, следует ожидать сообщений об ошибках.
А вот подключение беспроводных точек доступа реализовано так, что с ним справится даже неквалифицированный персонал. Прямой контакт администратора с точками доступа ограничивается подключением их к питанию и локальной сети. Сразу после включения беспроводные точки доступа ищут любой контроллер WLAN и автоматически на нем регистрируются —это реализуется либо с помощью протокола нахождения услуг (Service Location Protocol, SLP), либо путем указания в опции «78» ответственного сервера DHCP IP-адреса контроллера WLAN.
Однако степень автоматизма можно ограничить. Один из вариантов — позволить точкам доступа регистрироваться полностью автоматически, другой — разрешить регистрацию с последующим подтверждением со стороны администратора. В нашем тестировании здесь возникли трудности: две из трех точек доступа хоть и устанавливали соединение с контроллером, но не предоставляли функции WLAN. Ситуацию разрешил сброс на заводские настройки. После восстановления состояния по умолчанию беспроводные точки доступа правильно соединились с WM200, приняли все нужные IP-адреса и позволили обновить свое микропрограммное обеспечение (Firmware) до актуального уровня.
Как и ожидается от контроллера WLAN, администратор может осуществлять полное администрирование точек доступа через центральный пользовательский интерфейс. Для этого помимо настроек по умолчанию, автоматически распределяемых контроллером по новым точкам доступа, предусмотрен режим «мультиредактирования» (Multi-Edit Mode). Заданный набор параметров отправляется только тем точкам доступа, которые выбираются администратором из списка (некоторые из них можно отметить с помощью нажатия клавиши Ctrl). Данный способ неплохо зарекомендовал себя при работе с малыми и средними сетями, но все же пользователям не хватает возможности создания групп, поскольку при наличии большого количества беспроводных точек доступа избежать путаницы довольно трудно.
А вот функции, которые Extreme интегрировала в свои точки доступа, произвели, напротив, положительное впечатление. К примеру, беспроводную точку доступа можно настроить таким образом, чтобы сеансы с клиентами поддерживались даже в случае утраты соединения с контроллером. Еще одно изящное решение: заданные SSID отображаются в виде отдельной конфигурационной группы, так что администратор сразу может определить, какие беспроводные точки доступа имеют один SSID.
МОЩНЫЕ ВОЗМОЖНОСТИ WLAN
Что касается функций WLAN, то WM200 оснащен ими хорошо, но не превосходно. Естественно, он поддерживает защиту доступа с помощью шифрования WEP и WPA PSK, а также с привлечением одного или нескольких внешних серверов RADIUS. В руководстве для быстрого старта подробно описано, как следует настроить Windows Server 2003 для выполнения этой задачи. В сочетании с серверами RADIUS пользователи авторизуются через «принудительные порталы», указывая свое имя и пароль.
Благодаря привязке URL портал можно настроить на соответствующий логотип и стиль предприятия. Настройки просты (см. Рисунок 1), но только в том случае, если администратор заранее знает, что в режиме «локального создания мостов на беспроводной точке доступа» невозможно использование «принудительного портала», и если он прочитал в руководстве, что серверы RADIUS настраиваются глобально на стартовой странице домена доступа. В процессе тестирования мы поначалу не замечали соответствующий пункт меню, но в конце концов авторизация на 802.1X через центральный лабораторный сервер Windows 2003 стала осуществляться без проблем.
Для контроля WLAN и обеспечения наглядности WM200 предоставляет так называемый Summit Spy —своего рода распределенную минимальную систему обнаружения вторжений (Intrusion Detection System): одна или несколько беспроводных точек доступа сканируют беспроводную сетевую среду и сообщают обо всем, что они обнаруживают. Это делается вполне надежно, а отображаемые данные очень подробны, в частности, в них указывается способ шифрования, MAC-адрес, SSID и (предполагаемый) производитель.
Однако в этой бочке меда обнаруживаются две ложки дегтя: во-первых, сканирование полностью блокирует функции WLAN точки доступа, поэтому модуль невозможно задействовать для обслуживания клиентов, а во-вторых, пользователю не удастся простым способом экспортировать результаты для последующего сравнения. Правда, с последней задачей помогают справиться разнообразные отчеты, которые Extreme интегрировала в пользовательский интерфейс: в них имеются такие пункты, как «клиенты на одну беспроводную точку доступа», а также «доступность точек доступа» и различные характеристики, отсортированные по портам и интерфейсам. К сожалению, производитель сэкономил на возможности графического отображения обнаруженных точек доступа на плане, что имеется, к примеру, в устройствах Cisco, Aruba и Citrix (см. Рисунок 2).
ЗАКЛЮЧЕНИЕ
Контроллер WLAN WM200 от Extreme производит впечатление очень мощной системы, предоставляющей множество возможностей применения — но лишь опытным и прошедшим обучение специалистам по сетевой архитектуре. При сходном объеме функций другие производители, к примеру, D-Link, предоставляют гораздо более последовательные и интуитивно понятные пользовательские интерфейсы. Если исследовать «недра» этого контроллера, то становится понятно, что он разрабатывался как расширение к проводной сети.
Extreme делает акцент на оптимальную интеграцию в масштабные сети IP. Необходимые функции WLAN реализованы хорошо, но особо выдающихся достижений они не демонстрируют. Ясно, что контроллеры WLAN от Extreme лучше всего подходят для уже существующих сред Extreme или для тех пользователей, которые предъявляют весьма специфические требования к маршрутизации IP, QoS и функциям VLAN.
На первый взгляд, цены слишком высоки: стоимость самого маленького контроллера — от 6193 долларов, а протестированное нами решение оценено в 17855 долларов. Но если учесть, что в эту сумму включена поддержка до 100 точек доступа на платформе WM200, а также широкие функции маршрутизации и интеграции, то такая цена представляется оправданной. К тому же, точки доступа Extreme Altitude 350-2 имеют вполне приемлемую цену — 629 долларов.
Эльмар Торок — независимый журналист, пишущий на тему телекоммуникаций.
© AWi Verlag
Рисунок 1. Наглядно: параметры для защиты беспроводной сети.
Рисунок 2. Summit Spy в действии: список всех обнаруженных точек доступа быстро теряет наглядность.