Сегодня в продаже появилось множество сравнительно дешевых, легко конфигурируемых устройств для организации беспроводных сетей, и известная ранее лишь немногим технология wireless LAN (WLAN) — и в первую очередь, 802.11b WLAN, — стала доступна всем. На рынке представлены разнообразные устройства — одни из них лучше, другие хуже, — но, если подойти к делу с умом и посвятить какое-то время планированию, всегда можно подобрать компоненты для создания действительно эффективной беспроводной сети, которая будет охватывать весь комплекс зданий и подарит сотрудникам, работающим с ноутбуками, большую свободу передвижения. В предлагаемой статье речь пойдет о новых технологиях беспроводных сетей и о том, как развернуть их в конкретной сети. Я расскажу о технологии узлов доступа (Access Point, AP), о том, как узлы доступа вписываются в схему роуминга и привязок в сети, а также о критериях выбора подобных устройств и их развертывании.
Инфраструктура типичной беспроводной сети состоит из нескольких узлов доступа. Эти узлы соединены с сетью с помощью проводов и образуют скрытый от глаз пользователей мост для беспроводных клиентов. Беспроводные клиенты — это клиентские устройства (скажем, портативные компьютеры, настольные системы или карманные компьютеры). Они оснащаются совместимыми платами для беспроводного доступа и используют для обмена информацией радиопротоколы и заданную частоту. Как правило, узлы доступа обеспечивают автоматическое соединение беспроводного устройства с проводной сетью. Когда беспроводной клиент соединяется с узлом доступа и проходит аутентификацию, он может направить запрос на получение IP-адреса и обращаться к сетевым ресурсам.
Технология узлов доступа
Почти все узлы доступа стандарта 802.11b основаны на технологии передачи информации с расширением спектра радиосигнала по принципу прямой последовательности (Direct Sequence Spread Spectrum, DSSS). Эта технология, разработанная в военном ведомстве США, отличается особой помехоустойчивостью и затрудняет подслушивание. Она реализует расширение спектра радиосигналов, которые передаются в диапазоне частот 2,4 ГГц, выделенном для промышленных, научных и медицинских (Industrial, Scientific and Medical, ISM) применений. ISM-диапазон включает частотные каналы от 11 до 22 МГц (три из них — 1, 6 и 11 — не перекрываются). Технология 802.11b обеспечивает передачу данных в полудуплексном режиме со скоростью 1, 2, 5,5 и 11 Мбит/с. Для сравнения, реализованная в спецификации 802.11a технология Orthogonal Frequency Division Multiplexing (OFDM) использует частотный диапазон 5 ГГц и поддерживает скорость передачи данных до 54 Мбит/с. OFDM предусматривает передачу информации по восьми неперекрывающимся каналам.
Таким образом, по быстродействию технология 802.11b уступает стандарту 802.11a, но она была разработана раньше, а оборудование для нее дешевле и доступней, нежели появившиеся позднее устройства спецификации 802.11a. Надо сказать, что эти стандарты несовместимы, поэтому одновременное использование устройств 802.11a и 802.11b исключается.
Чтобы задействовать узлы доступа, беспроводную сеть надо перевести в режим инфраструктуры (infrastructure mode). Отметим, кстати, что еще существует одноранговый (peer-to-peer, P2P) или произвольный (ad hoc) режим. Так вот, при функционировании в режиме инфраструктуры подключенные к сети клиенты для организации связи обращаются не напрямую к другим беспроводным клиентам, а к узлу доступа. Таким образом, клиент в соответствии со своими характеристиками, определяющими возможности роуминга, может перемещаться от одного узла доступа к другому.
В типичной конфигурации узел доступа обеспечивает соединение с проводной сетью нескольких беспроводных клиентов, как показано на Рисунке 1. Каждый узел доступа напрямую подключен к локальной сети, обычно с помощью кабеля Категории 5. Использование нескольких узлов доступа обеспечивает большее число точек подключения в рамках одной зоны беспроводной сети и позволяет мобильным пользователям перемещаться по зданию или комплексу зданий, при необходимости разрывая соединение с одним узлом доступа и подключаясь к другому. В этой конфигурации пользователи всегда находятся на расстоянии одного перехода (hop) от физической сети.
Рисунок 1. Типичная конфигурация узлов доступа. |
Как показано на Рисунке 2, иногда узлы доступа выполняют функцию беспроводных мостов, обеспечивающих автоматическое соединение двух физических локальных сетей. Некоторые поставщики выпускают специализированные сетевые устройства, предназначенные для выполнения этой задачи. Подобную конфигурацию можно использовать, к примеру, в том случае, когда необходимо объединить два рядом стоящих здания, а прокладка подземных кабелей (скажем, T1 или Ethernet) невозможна или нежелательна. Беспроводные мосты нередко покрывают большие расстояния, поэтому есть смысл оснащать их высокочувствительными направленными антеннами. В некоторых случаях при работе узла доступа в этом режиме беспроводные клиенты не будут иметь возможности установить с ним соединение (это зависит от модели узла). Кроме того, поскольку через мосты проходят большие объемы данных, они часто наделяются фильтрами или другими средствами для того, чтобы с большей эффективностью пересылать сообщения, направляемые из одной физической сети в другую в широковещательном режиме или режиме групповой передачи.
Если узел доступа подключается не к физической сети, а к другому узлу доступа в качестве его первичного узла, такой узел, как показано на Рисунке 3, функционирует в качестве повторителя (репитера). Подобное устройство можно использовать для расширения зоны действия сети. Впрочем, следует иметь в виду, что, поскольку узел доступа должен получать и ретранслировать данные, с каждым включенным в цепочку повторителем скорость передачи данных сокращается в два раза. Повторитель хорошо справляется с задачей увеличения радиуса действия сети, но пропускную способность он не повышает.
Организация Internet Engineering Task Force (IETF) в настоящее время рассматривает предложенный вариант стандарта протокола IP для мобильных пользователей (mobile IP; более подробная информация об этом стандарте содержится в документе Request for Comments-RFC-3344, с которым можно ознакомиться по адресу: ftp://ftp.isi.edu/in-notes/rfc3344.txt). Mobile IP — это модификация стека TCP/IP, в соответствии с которой беспроводному клиенту назначается два IP-адреса: домашний IP-адрес и внешний IP (care-of IP). Операционная система и приложения привязываются к домашнему IP-адресу машины, и этот адрес не изменяется. Внешний IP-адрес ассоциируется с подсетью узла доступа, к которому подключен беспроводной клиент. Данный IP-адрес изменяется динамически в зависимости от того, к какому узлу доступа подключен клиент. Однако приложения, выполняемые на сетевом устройстве, продолжают свою работу по неизменяемому домашнему IP-адресу беспроводного клиента. Возможно, наступит время, когда стандарт mobile IP позволит пользователям, пересекающим территорию города или штата, автоматически переключаться между поставщиками услуг Internet, не разрывая при этом сетевого соединения.
Роуминг и привязка
Когда пользователь запускает сетевого клиента, последний ищет подходящий узел доступа и привязывается к нему. Лучший узел доступа определяется (часто с помощью собственного радиопротокола компании-производителя) по качеству его сигнала. Разные поставщики по-разному определяют качество сигнала, однако обычно в число критериев входит сила сигнала и загрузка узла доступа (но не обязательно расстояние от узла до клиента). При перемещении клиента в сторону от узла доступа качество сигнала между беспроводным клиентом и данным узлом нередко ухудшается, и тогда реализованные в радиопротоколе средства роуминга дают клиенту команду переключиться на другой узел. Роуминг — это функция, позволяющая пользователю перемещаться от одного узла доступа к другому, не разрывая сетевого соединения. Так, можно принести свой портативный компьютер в конференц-зал и делать заметки по ходу совещания. В конференц-зале беспроводной клиент привязывается к ближайшему узлу доступа и периодически подтверждает качество сигнала. Но вот сотрудник отправляется обратно в офис, соответственно, удаляясь от конференц-зала. При этом качество сигнала может снизиться настолько, что беспроводной клиент автоматически переключится на другой узел доступа с более мощным сигналом. Переключение осуществляется на физическом уровне, и подключение к новому узлу доступа должно происходить без потери пакетов и без разрыва сетевого соединения. Если же в сети не реализованы надежные средства обеспечения роуминга, может случиться так, что клиент после установления связи с узлом доступа будет сохранять это соединение вне зависимости от качества сигнала — вплоть до точки разъединения. В таких случаях обычно существует возможность ручного переключения — для этого нужно перезапустить беспроводную сетевую плату. Именно роуминг часто оказывается той сферой, где функциональная совместимость узлов доступа от разных производителей является наименьшей; может оказаться, что в процессе перемещения в зоне действия сети пользователь не сможет переключиться с узла доступа одного поставщика на узел доступа другого, не прибегнув к перезапуску вручную (иными словами, без разрыва текущего соединения). Более подробно о выборе узлов доступа рассказано во врезке «Как выбирать узлы доступа».
Пользователи некоторых продуктов могут для повышения качества роуминга устанавливать так называемый сигнальный период (beacon period), контролирующий время прохождения сигнальных пакетов стандарта 802.11. Сигнальные пакеты применяются для синхронизации работы радиосетей и могут обеспечить более быструю реакцию перемещающихся узлов (например, если пользователь бежит по зданию, а его ноутбук по мере перемещения в пространстве автоматически переключается с одного узла доступа на другой). С другой стороны, использование этого метода может повлечь за собой значительную интенсификацию трафика и отрицательно сказаться на скорости передачи данных.
В описанном выше примере я исхожу из того, что пользователи перемещаются внутри подсети, иными словами, беспроводные клиенты могут переходить от одного узла доступа к другому без изменения IP-адресов. Для достижения подобной конфигурации нужно или настроить клиент таким образом, чтобы он использовал статический IP-адрес, или запрашивать адрес у сервера DHCP локальной сети.
Роуминг с переходом из одной подсети в другую
Роуминг с переходом из одной подсети в другую реализовать намного сложнее, чем роуминг внутри подсети; кроме того, в первом случае требуются дополнительные программные и аппаратные средства. Представим себе, что мы обслуживаем беспроводную сеть, состоящую из нескольких узлов доступа. Сеть размещена в большом комплексе зданий, причем в каждом здании имеется отдельная подсеть. Подключенные к локальной сети серверы DHCP назначают IP-адреса клиентским машинам в каждом здании. Беспроводной клиент пользователя должен запрашивать новый IP-адрес всякий раз, когда пользователь перемещается из одного здания в другое (точнее, переходит от узла доступа одной подсети к узлу доступа другой). Находясь между зданиями, пользователь может иметь IP-адрес, полученный от подсети любого из этих зданий (в зависимости от того, к какому узлу доступа устройство «привязано» в данный момент).
С появлением системы Windows 2000 проблема динамического изменения IP-адресов стала решаться значительно проще, чем раньше, но все же этот процесс пока что не осуществляется автоматически и, скорее всего, потребует от пользователя приложения некоторых усилий. Кроме того, изменение IP-адресов может привести к сбою некоторых открытых приложений или вызвать с их стороны неожиданную реакцию.
Проблемой роуминга с переходом из одной подсети в другую занимаются как поставщики, так и энтузиасты Internet. Так, компания Proxim разработала продукт Harmony AP Controller, предназначенный для централизованного управления данным процессом. На эту систему поступает весь трафик от беспроводных клиентов Proxim на узлах доступа, расположенных в различных подсетях. Узлы доступа всего комплекса зданий регистрируются системой AP Controller. Беспроводные клиенты имеют IP-адрес, принадлежащий той же сети, что и AP Controller; они могут перемещаться по комплексу зданий и подключаться к любому зарегистрированному узлу доступа в любой подсети. Узел доступа инкапсулирует поступающий от беспроводного клиента трафик и направляет его по проводной сети системе AP Controller, которая деинкапсулирует пакет и доставляет его локальной вычислительной сети. Другие подключенные к сети устройства воспринимают все поступившие по беспроводным каналам данные как информацию, получаемую из подсети системы AP Controller, — вне зависимости от того, к какой подсети подключен узел доступа, ассоциированный с беспроводным клиентом.
Выделенные беспроводные подсети
Вместо того чтобы организовывать роуминг с переходом из одной подсети в другую, можно создать специализированную беспроводную подсеть. Это решение проще, и оно тоже обеспечивает защиту данных. Такая подсеть позволяет взаимодействовать со всеми узлами доступа на территории комплекса зданий. Данная конфигурация дает клиентам возможность перемещаться внутри подсети и изолировать беспроводную подсеть от всех остальных подсетей данной сети с помощью брандмауэра или других устройств. Разделив таким образом свою сеть на отдельные фрагменты, можно уменьшить уязвимость корпоративной сети перед лицом «охотников за узлами доступа» (wardrivers) или взломщиков беспроводных сетей. Однако это решение может оказаться неэффективным для организаций, где границы подсетей являются в то же время границами сфер применения тех или иных правил (разработанных для конкретных отделов или зданий). Данное решение требует от администраторов более глубокого понимания топологии сети. Для его реализации может понадобиться организация разработанных специально для беспроводных сетей виртуальных локальных сетей (virtual LAN, VLAN) и брандмауэров для того, чтобы изолировать беспроводных пользователей и защитить проводную сеть.
Размещение узлов доступа
Перед тем как приступить к размещению аппаратных средств, необходимо провести обследование места установки, включающее тщательное изучение предлагаемой среды беспроводной сети. На основании результатов обследования можно, в конце концов, составить карту с обозначением наиболее удобных мест расположения узлов доступа. Прежде всего, необходимо найти поэтажный план или чертеж комплекса зданий или здания. Эта карта ляжет в основу топологии беспроводной сети. При создании топологии рекомендуется придерживаться следующего плана.
- Отметьте все препятствия, включая стены, офисную мебель, перегородки, воздухопроводы для отопительных, вентиляционных систем и кондиционеров, электропроводку, а также все возможные источники помех (например, микроволновые печи, беспроводные телефоны, использующие частотный диапазон 2,4 ГГц). Обозначьте, какие стены сделаны из бетона, а какие - из листов сухой штукатурки.
- Отметьте места, где обычно находятся пользователи беспроводных устройств (рабочие столы, конференц-залы, буфеты, залы, лестничные клетки и любые другие места, где они могут подключать свои машины к беспроводной сети). В пользовательских зонах выделите используемые активно, используемые время от времени и редко используемые участки.
- Определите для узлов доступа максимальную желаемую скорость передачи данных. Исходите из того, что при использовании, к примеру, технологии 802.11b радиус действия узла доступа, передающего данные в закрытом помещении со скоростью 11 Мбит/с, составляет 45 м, а если скорость передачи не превышает 1 Мбит/с - 100 м. То есть чем выше скорость передачи, тем больше узлов доступа нужно расположить на том или ином участке. Конечно, все хотят работать с максимальной скоростью, но часто возникает возможность сэкономить средства за счет размещения меньшего числа узлов доступа с меньшим быстродействием.
- Определите и отметьте на плане места расположения физических портов локальной сети, к которым будут подключены узлы доступа. Отметьте также источники питания узлов. Некоторые поставщики оснащают свои устройства средствами подачи электропитания по каналам Ethernet и предлагают потребителям устройства для питания своих узлов доступа по кабелям Категории 5. Это позволяет сэкономить значительные средства, поскольку отпадает необходимость в установке розеток во всех местах расположения узлов доступа.
- Определите количество независимых сегментов, из которых будет состоять беспроводная сеть. Для каждого сегмента беспроводной сети нужно выделить собственный канал. Каждый сегмент может испытывать помехи со стороны соседних сегментов беспроводной сети. Для снижения интенсивности помех следует использовать не перекрывающиеся каналы или уменьшать мощность радиосигнала узла доступа. Нужно иметь в виду, что регулировку мощности радиосигнала обеспечивают не все служебные программы для узлов доступа.
- Обозначьте периметр комплекса зданий или здания - он будет определять внешние границы беспроводной сети. Старайтесь размещать узлы доступа на достаточном расстоянии от внешних границ здания, это позволит свести к минимуму мощность радиосигнала на участках за этими границами.
- Выясните, нужны ли избыточные узлы доступа. Избыточность на случай выхода из строя одного из узлов обеспечивается путем сокращения расстояний между этими устройствами.
Однако следует иметь в виду, что стандарт 802.11 реализует механизм множественного доступа с контролем несущей (Carrier Sensing Multiple Access, CSMA), поэтому вследствие задержек, связанных с необходимостью ретрансляции, а также из-за конфликтов сигналов пропускная способность узлов может снижаться. Некоторые узлы доступа могут функционировать в режиме активного ожидания (Hot Standby). В данном режиме вспомогательный узел доступа пребывает в состоянии «спячки», пока не выходит из строя главный узел доступа, и в этот момент вспомогательный узел немедленно принимает на себя функции главного узла.
Первоначальное обследование поможет выбрать марку и модель узла доступа, а также инструменты, которые помогут удовлетворить конкретные потребности. Следует проконсультироваться с поставщиком относительно того, как оптимальным образом разместить и настроить узлы доступа. Кроме того, поставщик может дать рекомендации по поводу типа и наилучшего местоположения антенны и изложить свои соображения относительно избыточности узлов доступа беспроводной сети или о применении повторителей, если их использование будет признано необходимым. Более подробные сведения об антеннах для узлов доступа содержатся во врезке «Специальные антенны — запас прочности для беспроводных сетей».
Предварительное тестирование
Далее следует расположить узлы доступа в непосредственной близости друг от друга и настроить их для работы. При таком расположении узлов доступа легче выяснять причины неполадок в их функционировании.
В процессе конфигурирования AP необходимо следовать инструкциям поставщика. Как правило, конфигурирование состоит в установке идентификатора Service Set ID (SSID), в указании информации об IP-адресах, параметров аутентификации и шифрования, а также сведений, касающихся радиообменов. Роуминг будет возможен лишь в том случае, если все параметры (кроме данных об IP-адресах) всех узлов доступа совпадают. Если узлы доступа расположены на большом расстоянии друг от друга, нужно иметь в виду, что некоторые устройства позволяют настраивать временные параметры радиопротокола так, чтобы при этом учитывались задержки в связи с ретрансляцией сигнала.
Развертывание узлов доступа
Важно убедиться, что используемый для тестирования беспроводной клиент может подключаться к любому узлу доступа и взаимодействовать с устройствами проводной сети. Теперь все готово к развертыванию узлов доступа по всей организации в тех точках, которые были определены в ходе обследования места установки. Проверенное практикой правило гласит: наилучший прием обеспечивается в том случае, когда узлы доступа монтируются у потолка (а на открытых участках — на высоте порядка 6 м). Подключите узлы к проводной сети и к источнику питания. Можно сэкономить на оплате услуг электрика, если воспользоваться поставляемым некоторыми изготовителями решением Power over Ethernet (PoE). Оно обеспечивает питание узла доступа по неиспользуемым жилам Ethernet-кабеля Категории 5. Затем этот кабель вставляется в специальный питающий коммутатор, в коммутационную панель или в питающее устройство для сетей Ethernet.
Тест, подстройка, новый тест
После завершения настройки узлов доступа следует взять в руки портативный компьютер, прибор для измерения силы сигнала и проверить все здание или весь комплекс зданий на наличие «мертвых зон» или помех. Эту проверку нужно проводить в рабочее время, когда загрузка сети и соответствующие помехи достигают типичного уровня. Задача — добиться оптимальной работы сети по всей территории здания, и для ее решения, возможно, придется устанавливать новые узлы доступа или оптимизировать расположение существующих. Далее следует пройтись по периметру здания или комплекса зданий и определить, что может стать объектом внимания любителей чужих секретов. Попытайтесь подобрать такое расположение узлов доступа и такую мощность сигнала, чтобы он был доступен в точках, лежащих на периметре здания или комплекса зданий, но не вне его.
Некоторые узлы доступа поставляются со средствами радиодиагностики, позволяющими осуществлять подстройку антенн или определять каналы с наименьшим количеством помех. Возможно, что поставщик предложит клиентскую утилиту, облегчающую выполнение этих предварительных испытаний. Требуется утилита с достаточно высокой скоростью дискретизации (скажем, несколько считываний в секунду), способная измерять силу сигнала (в децибелах), уровень шума (в децибелах) и количество утерянных пакетов. Функция измерения уровня шума очень важна. Если сигнал, даже мощный, передается на фоне значительных шумов в радиочастотном диапазоне, соотношение сигнал/шум может быть весьма низким, и тогда возникают проблемы. Вполне вероятно, что определить тренд в процессе перемещения по проблемной зоне будет проще с помощью гистограммы. Некоторые утилиты предусматривают возможность работы в активном режиме, позволяющем указывать узел доступа, к которому нужно подключиться, размер пакета и число пакетов, которые следует направлять на этот узел. Такое активное тестирование позволяет сосредоточиться на испытании одного узла доступа; возможность непреднамеренного переключения на другой узел доступа при этом исключается. Набор диагностических средств послужит прекрасным подспорьем как в развертывании узлов доступа, так и в предстоящем поиске неполадок в их работе.
Подбор инструментальных средств
Чтобы беспроводная сеть работала эффективно, уже в ходе ее создания необходимо предусмотреть этап планирования. При готовности к практическому развертыванию следует помнить о том, что можно прибегнуть к услугам замечательных помощников — инструментов компании-производителя. На рынке представлено огромное множество недорогих изделий стандарта 802.11b, однако, если нужно создать беспроводную сеть с большим количеством узлов доступа, развитыми средствами роуминга и гибкой конфигурацией, стоит рассмотреть возможность приобретения высококлассных продуктов.
Джеф Феллинг — старший менеджер по информационной безопасности и технологиям в Internet-компании. С ним можно связаться по адресу: jeff@blackstatic.com.
Как выбирать узлы доступа
Если цель — обеспечить максимальную пропускную способность, нужно проследить, чтобы все компоненты беспроводной сети были от одного поставщика. Кроме того, желательно, чтобы все они были одной серии. Ведь компании создают семейства изделий как раз для того, чтобы они работали вместе, и в эти пакеты обычно входит все, что требуется, — беспроводные адаптеры, узлы доступа, служебные программы, а также, при необходимости, антенны и блоки питания. Такой набор взаимодополняющих изделий позволит воспользоваться предлагаемыми поставщиками нестандартными средствами, в числе которых могут оказаться мощные функции диагностики, централизованного управления и усовершенствованные средства защиты данных. Представленные на рынке модели узлов доступа с гибкими средствами конфигурирования позволяют реализовать различные варианты развертывания.
Специальные антенны — запас прочности для беспроводных сетей
Как правило, узлы доступа комплектуются встроенными антеннами, которые по своим эксплуатационным характеристикам вполне подходят для многих сетей. Однако если сеть охватывает большую территорию или в зоне ее действия имеются создающие помехи препятствия, возможно, потребуется внешняя антенна. Внешние антенны могут обеспечивать самые разные характеристики сигнала при различных уровнях его мощности; при выборе антенны, соответствующей заданным потребностям, рекомендуется обращаться за помощью к поставщику. Почти все изготовители узлов доступа поставляют на рынок широкий спектр внешних антенн, в том числе устройства, используемые в помещениях и на открытых участках, высокочувствительные (high-gain), направленные и круговые антенны. Некоторые узлы доступа оснащаются сдвоенными антеннами, что позволяет в каждом конкретном случае использовать антенну, дающую самый мощный сигнал.