Существует ли технология, внедрить которую слишком легко? Такая мысль никогда не посещала меня до тех пор, пока мне не пришлось помогать одной организации в планировании перехода от проводной локальной сети к беспроводной при смене офиса. Сначала я думал, что мы справимся с работой за полдня — пойдем в новое офисное здание, чтобы осмотреть помещение, выберем несколько точек для размещения беспроводных узлов доступа (Access Point — AP), наметим, как проложить проводку, выберем поставщика и закончим к обеденному перерыву. Однако углубляясь в проект, я начал осознавать, сколько факторов необходимо учесть, чтобы правильно спланировать беспроводную сеть.

Когда у меня появился некоторый опыт организации узлов доступа Wi-Fi в домашних условиях, я, подобно многим, начал думать, что построить Wi-Fi-сеть с относительно неплохой производительностью нетрудно, независимо от ее назначения. Конечно, созданные мною сети охватывали всего пару сотен квадратных метров и обслуживали лишь трех или четырех пользователей.

Итак, для меня настало время откровений. Планируя сеть Wi-Fi в организации, необходимо учесть полосу пропускания, функциональную совместимость, масштабируемость, радиопомехи и некоторые другие технические детали, а не просто выбрать оборудование с наилучшим соотношением возможностей и цены. Наряду с техническими и физическими характеристиками следует принять во внимание бюджетные и физические ограничения при размещении оборудования. В данной статье речь пойдет о том, как подготовиться к развертыванию сети Wi-Fi и избежать типичных ошибок.

Выбор беспроводного стандарта

У каждого беспроводного стандарта есть свои достоинства и недостатки. Поэтому в первую очередь необходимо решить, следует внедрить беспроводную локальную сеть 802.11a или 802.11b или подождать выпуска оборудования для недавно принятого стандарта 802.11g. При одинаковой цене 802.11g обеспечивает такую же дальность действия, как 802.11b, и скорость передачи данных 802.11a. Более подробно о различных беспроводных протоколах рассказано в статьях, перечисленных во врезке «Литература».

Выбор оборудования

Как отдать предпочтение кому-то из многочисленных поставщиков? Все сертифицированное оборудование Wi-Fi должно быть функционально совместимо, поэтому логично предположить, что все устройства обеспечивают приблизительно одинаковые возможности. Однако это мнение ошибочно. Базовые функции всех устройств одинаковы, но реализация, управление и администрирование этих функций сильно различаются. Так что в конечном итоге выбор поставщика может зависеть от того, какие функции наиболее важны для данного предприятия.

При выборе узла доступа Wi-Fi следует убедиться, что его можно дополнить внешней антенной. Встроенные антенны вполне годятся для дома, но не для предприятия, так как их эффективный диапазон, как правило, невелик. Необходимо также учесть такие физические характеристики, как монтажные средства и совместимость узла доступа с технологией Power over Ethernet (PoE — питание по кабелю Ethernet), которая значительно облегчает подвод электропитания.

На техническом уровне некоторые поставщики дополняют свои продукты функциями, выходящими за рамки стандарта 802.11. Одно из наиболее популярных расширений — возможность увеличить эффективную полосу пропускания при использовании узла доступа и сетевых адаптеров одного поставщика. Например, специалисты фирмы Linksys утверждают, что узел доступа WAP54A 802.11a обеспечивает скорость передачи данных 72 Мбит/с при использовании продукта в «турборежиме» (вместе с адаптерами марки Linksys).

Несколько других важных характеристик относятся к сфере безопасности. Например, я обычно рекомендую своим заказчикам использовать только такие узлы доступа, в которых можно ограничить доступ к заранее определенным адресам MAC. Эти функции предотвращают доступ к сети с неавторизованных сетевых адаптеров. Опытный взломщик может обойти это ограничение, но тем не менее дополнительный барьер не помешает. Я также рекомендую иметь узел доступа, на котором можно отключить маяк (beaconing) — активный по умолчанию режим большинства устройств, в котором через регулярные промежутки времени открыто передается идентификатор SSID (Service Set Identifier). В результате все, кто находятся в зоне приема, знают о существовании доступной беспроводной сети. Как и в случае с ограничением MAC-адресов, совсем отключить маяк нельзя (в определенные моменты времени SSID все же будет открыто передаваться в эфир). Тем не менее возможность отключить этот режим повышает безопасность.

Определение числа устройств

Первый шаг при определении количества приобретаемых устройств — выбор клиентских сетевых адаптеров. Очевидно, что для каждого подключаемого к беспроводной сети настольного или портативного компьютера требуется один адаптер. В зависимости от топологии, возможно, придется расширить инфраструктуру проводной сети, чтобы обеспечить установку узлов доступа по всей организации. Труднее выяснить число узлов доступа. Принимая это решение, необходимо учитывать несколько факторов, в том числе плотность размещения пользователей, физическую топологию и требования к полосе пропускания.

Определить плотность размещения пользователей, как правило, несложно. Один узел доступа обычно обслуживает известное число пользователей. Например, по данным изготовителя, беспроводной узел доступа Linksys WAP54A 802.11a рассчитан на одновременную работу 64 пользователей. Если нужно обеспечить беспроводной доступ в организации с большим количеством сотрудников, то для того, чтобы определить отправную цифру для дальнейших расчетов, следует разделить общую численность работающих на максимальное число пользователей, обслуживаемых одним AP.

В США для работы беспроводных сетевых устройств 802.11b выделено лишь 11 каналов. Смежные каналы немного перекрываются, поэтому нельзя настраивать один узел доступа на использование канала 1, а другой — канала 2, если между ними нет достаточного расстояния, исключающего взаимные помехи. Три канала (1, 6, 11) разнесены достаточно далеко и не перекрываются. Оборудование 802.11a работает в трех отдельных диапазонах на 100 МГц. Два нижних частотных диапазона предназначены для помещений и обеспечивают восемь неперекрывающихся каналов. Верхний частотный диапазон предназначен для использования вне помещений, поэтому обеспечивает лишь четыре неперекрывающихся канала.

При анализе физической топологии следует учитывать, что некоторые физические препятствия в разной степени влияют на распространение радиочастотных сигналов, передаваемых от узла доступа клиентским рабочим станциям. Некоторые препятствия для радиочастотных сигналов вообще непреодолимы, и для охвата всего участка на нем нужно расположить второй AP.

Какую полосу пропускания следует предоставить пользователям? Рассчитывая пропускную способность, необходимо учесть физическое расстояние до узла доступа и механизмы связи 802.11. Современные реализации 802.11a и 802.11b представляют собой разделяемую среду — всем клиентам, связанным с узлом доступа, предоставляется общий частотный пул. Когда один сетевой адаптер находится на связи с узлом доступа, все остальные адаптеры не передают данных, дожидаясь перерыва, и, лишь дождавшись, начинают передачу. Если два адаптера пытаются начать сеанс связи одновременно, то оба они прерывают передачу и затем предпринимают новую попытку. Такой способ устранения конфликтов уменьшает число ошибок в сети, но снижает эффективность канала связи. В проводных сетях используется другой метод: большинство настольных машин располагают проводным коммутируемым (неразделяемым) каналом связи, обеспечивающим скорость передачи данных 100 Мбит/с.

Если 50 пользователей подключаются к узлу доступа 802.11a с максимальной пропускной способностью 54 Мбит/с, то теоретически пользователи делят между собой все 54 Мбит/с. Но в действительности полоса пропускания гораздо меньше 54 Мбит/с, так как на практике скорость передачи данных никогда не достигает максимальной величины, обычно из-за конфликтов. Поэтому в общем случае теоретическую скорость передачи данных следует уменьшить на 30-50%, чтобы учесть издержки. В худшем случае они составляют 50%, и в данном примере эффективная полоса пропускания для 50 пользователей составляет 27 Мбит/с. Если разделить 27 Мбит/с на 50 пользователей, то на каждого из них приходится примерно 500 Кбит/с. Администратору необходимо решить, достаточна ли такая пропускная способность для данной группы пользователей. Анализ сетевого трафика перед внедрением Wi-Fi упростит планирование сети.

Развертывание оборудования

После того как завершена подготовка к развертыванию оборудования Wi-Fi, необходимо помнить лишь об одном: расположение, расположение и еще раз расположение. Специалист, которому приходилось разворачивать Wi-Fi с большим количеством узлов доступа, начинает по-другому смотреть на проблему выбора местоположения передающих узлов в сотовой телефонии.

Целесообразно воспользоваться архитектурной схемой здания, на котором показаны планы этажей, предпочтительно с указанием размеров. С помощью плана легче разместить узлы доступа так, чтобы все пользователи оказались в зоне их действия. Рабочие помещения служащих и офисы — на первом месте, затем следуют конференц-залы и другие общие помещения, даже столовая. Лично я предпочитаю составить визуальный план беспроводной локальной сети, заштриховав все комнаты, офисы и конференц-залы, которые должны быть в зоне связи.

На следующем этапе нужно определить эффективную дальность действия оборудования по техническим характеристикам изготовителя AP. Например, в руководстве для узла доступа Linksys WAP54A 802.11a указана эффективная дальность действия в помещении — 100 м. Однако данные изготовителя обычно соответствуют оптимальным условиям и указывается расстояние до точки, в которой сигнал полностью затухает. Но прежде чем будет достигнуто максимальное расстояние, сигнал будет ослабевать, а скорость передачи — замедляться.

После того как будет определена дальность, необходимо установить минимальную приемлемую для пользователей скорость передачи данных. Предположим, что каждый узел AP должен обеспечить пропускную способность 24 Мбит/с для каждой группы пользователей. Тестируя полосу пропускания, следует включить один узел доступа, чтобы он начал передавать сигнал. Затем можно установить на портативном компьютере инструмент анализа рабочего окружения, чтобы измерить условия распространения сигнала во всем офисе. Лучше всего задействовать для этой цели программу, поставляемую вместе с адаптером, который предполагается использовать во всех компьютерах организации. Если изготовитель сетевого адаптера не предоставляет таких средств, то рекомендую применить измерительные инструменты NetStumbler фирмы Marius Milner и AirMagnet, совместимые с оборудованием многих поставщиков. Обходя офис, можно определить максимальное расстояние от узла доступа, за которым качество приема становится неприемлемым. Измерив это расстояние в нескольких точках, можно определить максимальную эффективную дальность для требуемой скорости передачи. Сделав небольшой допуск на ошибку, следует отметить на плане зону действия конкретного узла AP. В данном примере можно предположить, что максимальное расстояние для выбранной пороговой скорости передачи данных — 30 м от узла доступа.

С помощью плана здания удобно определить область приема и расположить узел доступа так, чтобы максимально увеличить зону охвата. Затем следует подсчитать примерное число стационарных и перемещающихся пользователей в данной области. Если оно равно или превышает максимальное число пользователей, которое может обслужить один узел доступа, то нужно установить второй узел AP. Для примера предположим, что в нашем случае к одному узлу доступа могут подключиться 30 пользователей.

И наконец, следует воспользоваться формулой

[минимальная приемлемая скорость
 передачи данных / 2] /
число пользователей = макс. пропускная
 способность на одного пользователя

чтобы рассчитать максимальную пропускную способность на одного пользователя. Если подставить в эту формулу значения из нашего примера

[24Mbps / 2] / 30 пользователей =
400 Кбит/с

получится, что теоретически каждому пользователю можно обеспечить скорость передачи данных 400 Кбит/с. Эту цифру следует отметить на плане здания.

За исключением случаев, когда сотрудники компании активно работают с потоковыми приложениями, можно смело предположить, что большинство пользователей не будут занимать значительную долю полосы пропускания в течение длительного времени. В результате эффективная полоса пропускания будет в целом выше значения, рассчитанного по приведенной выше формуле. Однако, если есть опасения, что полоса пропускания недостаточна, можно установить в данной зоне второй узел доступа, что примерно вдвое увеличит пропускную способность беспроводной сети для данной области (так как беспроводные клиенты Wi-Fi будут устанавливать связь с AP с более мощным сигналом).

После того как будет определена схема размещения узлов доступа, необходимо выделить для этих узлов каналы, помня об их разделении. Стандарт 802.11a обеспечивает до восьми отдельных, неперекрывающихся каналов внутри помещений, поэтому помехи между каналами не вызывают таких проблем, как в сетях 802.11b. Рассмотрим более сложный вариант — 802.11b. Как уже упоминалось, 802.11b обеспечивает три неперекрывающихся канала (1, 6, 11). Если в одной зоне приема размещены два узла доступа 802.11b, необходимо убедиться, что используются два неперекрывающихся канала и ни один из соседних близлежащих AP не задействует смежных каналов, поскольку каналы перекрываются.

Если сеть Wi-Fi развертывается в многоэтажном здании, то каналы AP необходимо планировать в трех измерениях, так как Wi-Fi-сигналы проникают сквозь полы и потолки. При прохождении сквозь сплошные барьеры сигнал ослабевает, но тем не менее его мощности достаточно, чтобы создать помехи в смежных каналах. Типичная схема размещения узлов доступа в двухэтажном офисе приведена в Таблице. Данная конфигурация не учитывает помех, устранить источник которых невозможно (например, от офиса другой компании, расположенного этажом выше или в соседнем здании, где уже развернута беспроводная сеть).

Борьба с радиопомехами

Прежде чем установить оборудование Wi-Fi, следует определить потенциальные источники радиочастотных помех в данном диапазоне (от 2,4 до 5 ГГц). Радиопомехи могут существенно ухудшить условия распространения сигналов 802.11; они исходят от таких источников, как уже упомянутая Wi-Fi-сеть, развернутая в соседнем здании, сетевое оборудование Bluetooth, беспроводные телефоны и микроволновые печи.

Обнаружить несанкционированные узлы доступа, передающие сигналы в зоне сети, позволяют такие инструменты, как NetStumbler и AirMagnet. Достаточно пройти с одним из них по территории компании, чтобы обнаружить любые сигналы 802.11 и пересылаемые данные, в том числе идентификатор SSID узла доступа (если он есть); выяснить, используется ли шифрование WEP (Wired Equivalent Privacy) и изменяется ли мощность сигнала со временем. Если программа обнаруживает неизвестные администратору узлы доступа, необходимо продолжить расследование. Мне уже случалось находить скрытые AP с помощью индикатора мощности сигнала.

Беспроводные телефоны — еще один типичный источник помех, который легко обнаружить, поскольку о его наличии всегда известно. Другие радиопомехи, кроме сигналов Wi-Fi и беспроводных телефонов, без специальных инструментов обнаружить трудно. Например, дальность действия радиопередатчика Bluetooth класса 1 в диапазоне 2,4 ГГц может превышать 100 м, но если устройство настроено на скрытую передачу, то его нелегко отыскать, не говоря уже о том, что некоторые модули Bluetooth для портативных компьютеров на удивление малы и их трудно заметить. Микроволновые печи также создают помехи в диапазоне 2,4 ГГц, как и любое другое устройство, которое генерирует помехи в широком спектре. Для диагностики таких проблем необходимо арендовать или приобрести профессиональное оборудование, например устройства фирмы Berkeley Varitronics Systems, с помощью которых можно обнаружить радиопомехи и их источник.

Безопасность и аудит

Самый безопасный тип беспроводной сети — это сеть, которая не распространяется за физические стены здания. Но большинство реальных сетей Wi-Fi не относятся к этому типу, и администратору предоставляется выбор: заковать здание в свинец и бетон или принять дополнительные меры защиты, например использовать шифрование WEP.

Первоначально в WEP применялось шифрование средней и высокой надежности (от 64 до 128 разрядов) для данных, передаваемых по беспроводным сетям. К сожалению, хакеры успешно взламывают шифр WEP, и протокол более не обеспечивает надежной защиты. Оправданно ли использование WEP в таких условиях? В настоящее время WEP — обязательное средство защиты беспроводной сети, но нельзя ограничиваться лишь одним шифрованием.

Некоторые администраторы периодически меняют ключи WEP, так как для современных методов взлома ключей шифрования WEP требуется много данных. В зависимости от размера организации и интенсивности трафика в беспроводной сети, сбор данных для взлома ключа WEP занимает от одного дня до нескольких недель.

Однако всякий, кому приходилось диагностировать проблемы с ключом WEP на клиентской рабочей станции, знает, что эти ключи могут доставлять администратору массу хлопот, особенно потому, что каждый поставщик реализует их по-разному. Все ключи WEP преобразуются в те же 64- или 128-разрядные ключи, но параметры их настройки и механизмы зачастую различны. В небольшой организации ключи можно менять часто, но для крупных компаний это практически невозможно.

Типичное решение проблемы безопасности беспроводной сети в большой организации — подключить узел доступа к общему интерфейсу VPN-сервера. VPN изначально предназначались для аутентификации и шифрования трафика в открытой сети, поэтому решение идеально подходит для ликвидации крупных пробелов в системе безопасности. Настройка конфигурации этого типа VPN-соединений требует дополнительного планирования, но в результате устраняется самая серьезная проблема безопасности современных сетей Wi-Fi .

После того как сеть Wi-Fi развернута, администраторам нередко приходится отыскивать несанкционированные узлы доступа. Любой сотрудник организации может купить готовый беспроводной узел AP и подключить его непосредственно к проводной сети. При этом в доверенном сетевом пространстве за брандмауэром возникает зияющая дыра (к тому же могут иметь место межканальные радиопомехи для других узлов доступа, расположенных неподалеку). Единственный способ защититься от таких нарушений — использовать инструменты мониторинга, о которых было рассказано в данной статье, отмечая во время обходов территории организации все найденные узлы доступа. Обнаружив явно несанкционированный AP, следует удалить устройство или отметить место, чтобы владелец не мог спрятать устройство, просто отключив его.

В заключение хочется сказать, что правильно реализованная сеть Wi-Fi значительно расширяет возможности сотрудников компании, но администратора плохо спланированной сети ждут серьезные трудности после ее развертывания. Тщательное планирование — обязательное условие успешного решения задачи.

Дуглас Тумбс — редактор Windows & .NET Magazine, имеет сертификаты NetArchitect Consulting, MCSE, Compaq ASE и Novell CNA. С ним можно связаться по адресу: doug@netarchitect.com.


Литература

  1. Феллинг Дж. Технология беспроводных сетей: свобода передвижения для сотрудников предприятия; Настройка базовых средств безопасности сети 802.11b//Windows & .NET Magazine/RE. 2003. № 1.
  2. Тумбс Д. Беспроводная связь с VPN//Там же.
  3. Рулей Дж. Учебный лагерь для новобранцев 802.11b//Windows & .NET Magazine/RE. 2003. № 3.

Разделение каналов 802.11b в двухэтажном здании

 Восточное крылоЦентрЗападное крыло
Первый этажКанал 6Канал 11Канал 1
Второй этажКанал 1Канал 6Канал 11