До недавних пор производителям и пользователям сетей WLAN приходилось пробираться сквозь дебри буквенных индексов, каждый из которых применялся для обозначения какого-либо определенного базового отличительного признака или функционального аспекта WLAN: IEEE 802.11a (WLAN в частотном диапазоне 5 ГГц со скоростью до 54 Мбит/с), 802.11g (WLAN в диапазоне 2,4 ГГц со скоростью до 54 Мбит/с), 802.11e (управление качеством сервиса — Quality of Service, QoS) или 802.11i (улучшенная безопасность) — вот лишь несколько примеров. В ходе крупномасштабной ревизии базового стандарта 802.11, осуществленной в марте 2007 года, в нем «растворились» все вышеупомянутые и многие другие компоненты, так что в результате ратификации 802.11n два года назад впервые был представлен довольно упорядоченный и однородный стандарт для обоих частотных диапазонов.

Пять лет спустя, в марте 2012-го, ожидается следующая основательная ревизия базового стандарта 802.11, которая, в свою очередь, призвана объединить все вновь появившиеся компоненты (это касается стандартов 802.11k, r, y, w, n, p, z, v, u и, возможно, s).

Здесь следует подробнее остановиться на стандарте 802.11s, роль которого с появлением 802.11n существенно возросла. Этот стандарт определяет протокол для точек доступа (Access Points, AP), формирующих ячеистую беспроводную локальную сеть — без кабельного подключения к магистральной сети. В наиболее традиционных инсталляциях каждая точка доступа соединяется посредством кабеля Ethernet с другими точками доступа и остальной локальной сетью, и часто именно эта кабельная инфраструктура является главным фактором высоких затрат на построение сети беспроводного доступа. Правда, ячеистая сеть WLAN, где между точками доступа существует прямой контакт, до сих пор реализуется только на основе нестандартных протоколов. Комитет IEEE работает над соответствующим стандартом с 2004 года, однако долгое время казалось, что единого решения относительно подходящих технологий и протоколов найти не удастся. В результате такие компании, как Ruckus Wireless, вышли на рынок с решениями для ячеистых сетей и вследствие их несовместимости с продукцией других производителей смогли полностью привязать заказчиков к своим разработкам.

Но в июне 2011 года главные препятствия для 802.11s были наконец-то преодолены, и в октябре была принята окончательная версия этого стандарта. По сравнению с частными решениями стандарт 802.11s призван обеспечить не только недоступную ранее независимость, но и большую эффективность. Так, отныне маршрутизация для ячеистых сетей (Mesh Routing) будет осуществляться не на верхних прикладных уровнях, как раньше, а напрямую на уровне MAC (MAC Relaying). В результате, как ожидается, будут достигнуты более высокие скорости и заметно снизится энергопотребление. Для предприятий маршрутизация между ячейками интересна прежде всего тем, что в плане скорости, дальности действия, стабильности, процессорной производительности точек доступа и многих других аспектов стандарт 802.11n обеспечивает очень хорошие предпосылки для реализации надежной беспроводной инфраструктуры точек доступа. Однако следует учесть важный момент: без кабельных соединений невозможна реализация технологии питания по Ethernet (Power over Ethernet, PoE), то есть для питания точек доступа в ячеистой сети необходимы розетки.

СТАНДАРТЫ IEEE НА БОЛЕЕ ВЫСОКИЕ СКОРОСТИ

В то время как стандарт 802.11n продолжает утверждаться как важная веха на пути развития беспроводных технологий (к настоящему моменту чипсеты компании Atheros, применяемые практически всеми производителями оборудования для WLAN, обеспечивают скорость передачи данных до 450 Мбит/с, причем в строгом соответствии со стандартом и без каких-либо проприетарных приемов), эволюция этого направления продолжается. Пожалуй, к числу наиболее интересных проектов IEEE на данный момент относятся исследования в рамках 802.11ac и 802.11ad, которые нацелены на преодоление в беспроводных сетях «сверхзвукового барьера» в 1 Гбит/с. По оценкам экспертов, без привлечения проприетарных технологий отдельных производителей такой прорыв станет возможен только после ратификации новых стандартов, а не в рамках спецификации 802.11n, как это предполагалось некоторое время назад.

Намеченное на текущий год новое поколение чипсетов Atheros для 11n должно обеспечить поддержку скоростей на уровне 600 Мбит/с, однако, по последним прогнозам, уже в декабре ожидается ратификация стандартов 11ac и 11ad с очень высокой пропускной способностью (Very High Throughput). 802.11ac рассчитан на частотный диапазон 5 ГГц, уже активно используемый в сетях WLAN, и, согласно спецификации, будет поддерживать скорость 1 Гбит/с в радиусе до 100 м. Улучшение производительности достигается благодаря новой системе модуляции сигналов, более широким каналам (80 или даже 160 МГц) и технологии «многопользовательского множественного ввода/вывода» (Multiuser MIMO). А в стандарте 802.11ad институт IEEE намерен использовать для беспроводных локальных сетей частоты из диапазона 60 ГГц и обещает скорости до 7 Гбит/с, правда, на сравнительно небольшом расстоянии — около 10 м (дополнительные антенны позволят увеличить эту дистанцию примерно в два раза). Главная проблема для указанного диапазона частот заключается в том, что, несмотря на возможность достижения очень высокой скорости передачи данных, сигналы глушатся любыми физическими препятствиями, например стенами, даже воздух оказывается существенной преградой.

Но высокая скорость передачи данных обусловлена не только частотным диапазоном, шириной каналов и методами модуляции сигнала. Важную роль играет определенная в стандарте 802.11n технология формирования направленного луча (Chip-Based Beamforming, обозначаемая также как TxBF), когда несколько разных антенн параллельно испускают потоки данных (высокочастотные цепочки) со сдвигом по фазе, а затем указанные потоки комбинируются на приемном устройстве, что обеспечивает усиление входящего сигнала (см. Рисунок 1). При этом используются специальные зондирующие пакеты. С помощью передатчика точки доступа и приемное устройство клиента настраиваются друг на друга.

 

Между вехами
Рисунок 1. При технологии направленного формирования луча осуществляется передача одного или нескольких сигналов со сдвигом по фазе, чтобы обеспечить их синхронизацию в тех точках, где, как определяет передатчик, располагается приемное устройство.

 

В июне 2012-го IEEE планирует еще раз объявить об улучшении качества сервиса в беспроводных локальных сетях: стандарт 802.11ae определяет функции приоритизации для управляющих кадров (Management Frames). Вместе с ратификацией стандарта 802.11aa, которая намечена на тот же месяц, это должно способствовать оптимизации передачи видеопотоков в сетях WLAN.

МОРЕ КОНЕЧНЫХ УСТРОЙСТВ

Тенденции развития технологий WLAN вполне соотносятся с эволюцией мобильных конечных устройств. Сегодня сотрудники предприятий уже настаивают на том, чтобы их личный смартфон или планшетный компьютер поддерживался корпоративной сетью WLAN. Согласно оценкам исследовательской компании Instat, к 2015 году технологией WLAN будут оснащены около 800 млн мобильных телефонов и 200 млн планшетных ПК, не считая ноутбуков и нетбуков, то есть в сети WLAN устремится огромное количество разнообразных конечных устройств. А вот число конечных устройств с поддержкой сверхскоростных сетей беспроводного доступа, использующих диапазон 60 ГГц, по оценкам ABI Research, еще одной известной исследовательской компании, не превысит 2 млн.

Наличие такого великого множества различных конечных устройств заставляет пересмотреть требования к организации систем доступа. В наиболее традиционной и распространенной на данный момент модели для каждой технологии (LAN, WAN, WLAN или мобильная сеть), для каждого профиля доступа (сотрудник, поставщик/партнер, посетитель и т. д.), а иногда даже для каждого типа устройств создается своя инфраструктура доступа. Уже одно только построение столь широкой платформы доступа, предполагающее приобретение специального оборудования, обходится очень дорого, а расходы на ее техническое обслуживание и администрирование оказываются еще выше.

Производители уже осознали эту проблему, а некоторые успели вывести на рынок соответствующие решения, в их числе Cisco со своей архитектурой «без границ» Borderless Networks и Aruba с решением Mobile Virtual Enterprise (MOVE). Последнее способно распознавать идентификационные данные, время и место, тип устройства, а также разрешенные приложения, обеспечивая тем самым контекстный доступ к сети (см. Рисунок 2). Управление доступом осуществляется централизованно посредством соответствующих сетевых правил (Network Policies). В результате пользователь теперь может подключаться к корпоративной сети через LAN, WAN, WLAN или мобильную сеть — логика доступа на базе идентификационных данных теперь формируется не на уровне доступа к сети, а уровнем выше — на централизованном контроллере.

 

Между вехами
Рисунок 2. Современные платформы доступа, к примеру MOVE компании Aruba, упрощают администрирование доступа на уровне контроллеров — и это справедливо не только для таких беспроводных соединений, как WLAN или мобильная связь, но и для устройств, находящихся в сетях LAN и WAN и подключенных при помощи проводов.

 

ГОСТЕПРИИМНЫЕ СЕТИ WLAN

Гостевой доступ часто создает проблемы в больших и сложных инфраструктурах WLAN. Это вызвано тем, что в крупных корпоративных сетях WLAN недостаточно создать одну общую гостевую учетную запись для выхода в Web, пароль к которой предоставляется посетителям по запросу. Предприятиям требуются значительно различающиеся по объему полномочий гостевые профили для партнеров, поставщиков, разработчиков на договорной основе, компаний по сбыту и т. д. Даже такие решения для контроля доступа, как Cisco Borderless и Aruba MOVE, лишь частично пригодны для выполнения этой задачи, поскольку работают исключительно с уже знакомыми идентификационными данными. Именно по этой причине компания Cisco оснастила свою систему контроля беспроводного доступа (Wireless Control System, WCS) функцией под названием Lobby Ambassador, позволяющей администратору создать для каждого пользователя WLAN чтото вроде стандартного гостевого профиля, который тот при необходимости может предоставлять другим людям.

Во многих компаниях вопрос о том, кто уполномочен создавать гостевые учетные записи, регулируется соответствующими директивами по безопасности. В большинстве используемых сейчас решений для обеспечения гостевого доступа предусмотрено, что полномочия по созданию гостевых учетных записей делегируются определенным сотрудникам из отдела технической поддержки (Helpdesk), специалистам по ИТ-безопасности или секретарю в приемной.

Специализированные решения, такие как Guest Manager компании Identity Networks, предоставляют настраиваемый «спонсорский» интерфейс, с помощью которого пользователи могут пройти аутентификацию в корпоративной системе авторизации (Active Directory, LDAP, RADIUS и т. д.), а затем ввести новую учетную запись в соответствии с директивами безопасности, заданными администратором. В качестве «спонсора» может выступать любой сотрудник, что позволяет подключить посетителя в реальном времени и без помощи специалистов.

По сравнению с решением Cisco этот метод более гибкий, однако предоставляемая им свобода создания гостевых учетных записей заставляет задуматься об укреплении защиты данных предприятия. Такие решения должны гарантировать администратору возможность полного контроля за соблюдением критериев ИТ-безопасности и реализацией корпоративных директив.

 

Облачные контроллеры WLAN на практике

По результатам тестирования большинство сервисов по предоставлению облачных контроллеров WLAN получают положительные отклики, о чем сообщается на тематических сетевых форумах.

Чаще всего особых похвал заслуживают простота их внедрения и свободная, гибкая и практически неограниченная масштабируемость. Некоторые поставщики таких решений, к примеру Meraki, предлагают функции формирования трафика (Traffic Shaping) на уровне приложений. С их помощью администратор может ограничить выделяемые ресурсы для выполнения таких задач, как загрузка файла с Youtube или обновление систем Windows/Apple, и установить высокий приоритет для приложений, имеющих критическую важность для деятельности предприятия.

Иногда облачные контроллеры WLAN наделяются функционалом до подробного анализа сетевого трафика и инструментами для диагностики в реальном времени, при помощи которых администраторы получают оперативные предупреждения обо всех происшествиях.

Некоторые решения позволяют запрещать пересылку конфиденциальных данных на облачный контроллер WLAN, хотя в большинстве случаев важные сведения в принципе не проходят через облачный контроллер WLAN — через него пересылаются только управляющие данные, ведь помимо вопросов конфиденциальности, требующих индивидуального подхода, большие объемы информации в сети WLAN быстро привели бы к возникновению узкого места на отрезке глобальной сети (WAN) между пользователем и провайдером облачных сервисов. Таков печальный опыт многих владельцев WLAN, которые для управления беспроводными сетями в филиалах устанавливают контроллер в головном офисе, — причем в используемом решении весь трафик направляется через центральный контроллер. Лишняя нагрузка на широкополосные соединения WAN является причиной того, что в современных контроллерах WAN присутствует (по крайней мере в качестве опции) возможность настройки, позволяющей им осуществлять только централизованный контроль и координацию управляющих данных.

В случае с облачными контроллерами WLAN этот аспект тоже оказывается очень важным с точки зрения обеспечения отказоустойчивости сети: в ЦОД провайдеров облачных сервисов функции контроллера, как правило, защищены от отказов и возникновения неполадок благодаря обеспечению избыточности и наличию механизмов преодоления сбоев (Fail-over), однако само соединение WAN чаще всего лишено такой защиты. При его отказе может быть парализована работа всей беспроводной сети. Если же через облако проходят только управляющие данные, то при возникновении сбоев нарушаются все централизованные функции администрирования, но сеть WLAN по-прежнему функционирует. Кроме того, гораздо легче обеспечить резервное соединение с провайдером (к примеру, через UMTS или LTE) для передачи таких вполне обозримых объемов данных, нежели тех, для которых требуется широкополосный канал.

 

КОНТРОЛЛЕРЫ В ОБЛАКАХ

Центральным компонентом практически любой сети WLAN, состоящей из нескольких точек доступа, является контроллер WLAN, с помощью которого администратор определяет принадлежность беспроводных точек доступа к сети и задает их параметры. Конфигурация производится на контроллере лишь единожды, а затем все точки доступа централизованно получают от него свои настройки и соответствующие директивы. Контроллер служит в качестве интерфейса управления для всей беспроводной сети, а кроме того, отвечает за мониторинг и контроль важных централизованных задач, таких как аутентификация пользователей, включая предоставление сервисных профилей на основе идентификационных данных, быстрый и надежный роуминг, распознавание несанкционированных точек доступа, распределение нагрузки на сеть (Load Balancing), оптимизация сигналов и многое другое.

Для выполнения многочисленных задач, которые контроллеру WLAN приходится решать для нескольких десятков или даже сотен точек доступа (иногда совместно с другими контроллерами), требуется высокопроизводительное аппаратное и программное оснащение, что, как правило, приводит к очень высоким затратам. На рынке решений для WLAN выработаны два подхода, как обойти проблему дороговизны и сложности контроллеров. Первый был предложен несколько лет назад компанией Aerohive: это предприятие представило архитектуру WLAN, которая позволила отказаться от установки отдельного контроллера, так как его функции были переданы самоорганизующимся группам точек доступа. В итоге компании, занимающейся исключительно разработкой решений для сетей WLAN, удалось достичь неплохих результатов, несмотря на то что при такой технологии отдельные точки доступа обходятся несколько дороже обычных. До сих пор этой концепцией так никто и не воспользовался, что и понятно, по крайней мере в случае с именитыми производителями. Зачем лишать себя неплохого дохода от продажи контроллеров, если с новой технологией, которую нужно еще и разработать, доходы будут ниже?

Второй подход заключается в том, чтобы полностью убрать контроллер из локальной сети пользователя, а его функции предложить в виде облачного сервиса. В обоих случаях доступ к контроллеру — как аппаратному, так и облачному — осуществляется через интерфейс Web. И здесь главную роль в продвижении данной концепции играют не очень крупные специализированные поставщики (за исключением тяжеловеса в сегменте технологий WLAN компании Aruba): компания Black Box с недавно представленной системой SmartРath Enterprise Wireless, Meraki с Cloud Controller, D-Link с решением CloudСommand и Aerohive с системой HiveМanager Online.

Около двух лет назад, практически синхронно с Aerohive, компания Aruba выпустила на рынок решение AirWave on Demand (AoD) — облачный сервис для администрирования и мониторинга, однако он рассчитан преимущественно на разнородные сети крупных предприятий. Ведущие игроки рынка сетевых технологий, такие как Cisco, HP (решение Colubris) и Juniper (система Trapeze), ведут себя пока довольно сдержанно, хотя, по крайней мере в вертикальных сегментах рынка, они представили свои первые модели облачных контроллеров.

Все решения для технологии WLAN компании Alcatel-Lucent появились в результате кооперации с Aruba в области OEM и разработок, благодаря которой она может дополнить свои сетевые решения для локальных сетей еще и предложением для «облачного» администрирования сетей WLAN. По мнению многих экспертов и аналитиков, облака представляют собой модель управления будущего — и это касается не только беспроводных сетей, но и всей сетевой инфраструктуры в целом.

Штефан Мучлер — независимый журналист, пишущий на темы ИТ и телекоммуникаций.