Под «коммутаторами WLAN» сегодня понимается новый тип устройств для применения в крупных корпоративных беспроводных локальных сетях. Эти компоненты инфраструктуры концентрируют доступ из беспроводной сети в локальную сеть. При этом они предлагают функции управления и обеспечения безопасности для точек доступа. В статье рассматриваются различные технические подходы и архитектуры коммутации WLAN.

Вплоть до последнего года развитие беспроводных локальных сетей ограничивалось «гонкой вооружений» в разработке точек доступа. На критику относительно безопасности и управления производители реагировали реализацией еще большего количества соответствующих функций, часто вкупе с интеллектуальной управляющей микросхемой для оптимизации производительности беспроводного трафика. С появлением точек доступа, работающих в двух и трех диапазонах (802.11b, a и g), их дальнейшее наращивание происходит еще более драматично. Однако структурные недостатки основанной на точках доступа инфраструктуры не могут быть устранены путем их лучшей оснащенности, поскольку ключевые проблемы, с которыми предприятиям приходится сталкиваться в своих беспроводных инсталляциях, таким образом не решить. Очевидно, что необходимо ввести новый инфраструктурный уровень и объединить такие задачи, как безопасность и управление на центральном узле, предпочтительно — на коммутаторе.

В большинстве решений коммутации в беспроводных локальных сетях интеллект для ресурсоемких методов шифрования и аутентификации (DES, TKIP, AES и, соответственно, EAP/TLS, 802.1x и RADIUS) был в действительности перенесен на этот центральный узел. В предельном случае внешняя точка доступа может быть редуцирована до «голого» радио, а ее базовые функции сокращены до функций моста. В результате могут быть созданы очень дешевые точки доступа. При их использовании проектировщику сети уже не надо учитывать все до последней мелочи, по крайней мере в отношении стоимости, поскольку расширение сети посредством установки дополнительных точек доступа оказывается очень дешевым.

Традиционным игроком на рынке WLAN — Nortel Networks, Proxim и Symbol Technologies — приходится противостоять новичкам, первыми продуктами которых стали как раз коммутаторы для беспроводных сетей. К ним относятся Airflow, Airspace, Aruba Wireless Network, Legra, Trapeze Networks и Vivato. В начале года компания Extreme Networks также представила коммутатор для беспроводных сетей, а Hewlett-Packard заявила о намерении выйти на рынок коммутации WLAN. До сих пор 3Com и Cisco не объявили о каких-либо официальных планах. Эксперты ожидают, что в ближайшем будущем Cisco предложит одному из начинающих производителей перейти под свое крыло, и лидер отрасли не станет удивлять широкие круги специалистов собственным решением. Среди новичков — все как один из США, попытку выйти на европейский рынок предприняла только Trapeze: в июле у компании, многие сотрудники которой ранее работали в Extreme, в Германии появился дистрибьютор и посредник. Aruba перенесла свой выход на немецкий рынок на конец года (изначально он планировался в начале лета), европейский дебют в Англии и Франции ожидается осенью на выставке Networld + Interop в Париже (см. Рисунок 1).

Рисунок 1. Решения для коммутации WLAN от Aruba появятся в Европе лишь в конце года.

Остальных придется ждать до начала следующего года, как и намеревающуюся обосноваться в новом рыночном сегменте Chantry Networks, чей Beacon MasterSwitch с технологической точки зрения представляет собой скорее маршрутизатор IP. Однако его функциональность во многом совпадает с функциональностью коммутаторов WLAN. На рынке представлено еще несколько продуктов, не являющихся «настоящими» коммутирующими решениями: Wireless Gateway 1100/2100 от Bluesocket и Connect System производства Reefedge. Оба концентрируют функции безопасности и управления беспроводной сети на базе сервера. Решение от Reefedge дополнительно оснащено включаемым непосредственно перед точкой доступа «пограничным контроллером», чья роль состоит в применении централизованным образом заданных правил к точкам доступа.

НОВЫЙ ВИД КОММУТАТОРОВ

Коммутаторы беспроводных локальных сетей — это «сетевые устройства, интегрирующие в коммутирующую инфраструктуру Ethernet беспроводные устройства стандарта 802.11 и централизующие такие функции, как управление сетью, безопасность, мобильность и соблюдение правил». Так Габриель Браун из американской аналитической компании Unstrung пытается описать то, для чего до сих пор не существовало общепринятого определения. Рассмотрение функций коммутаторов WLAN дает дифференцированную картину. Если обычный коммутатор Ethernet по существу распределяет пакеты в соответствии с адресами протокола управления доступом к среде (Media Access Control, MAC) соответствующих портов и при этом отвечает за высокую скорость передачи данных, то коммутатор WLAN должен делать несколько больше. Наряду с MAC-адресами он управляет IP-адресами, берет на себя учет пользователей (безопасность и управление) и частично размещает ряд приложений.

Обеспечение безопасности означает для коммутатора выполнение различных функций: шифрование на канальном уровне, поддержку межсетевого экрана и виртуальной частной сети (Virtual Private Network, VPN) на сетевом уровне, интеграцию с корпоративным процессом аутентификации и многое другое. Причем коммутатор WLAN управляет не одним пользователем на порт (обычно число портов Ethernet на 10/100 Мбит/с достигает 20), а столькими, сколько на данный момент зарегистрировано на приписанных к коммутатору точках доступа. Таким образом, при статичной средней загрузке в пять пользователей на каждую точку доступа 20-портовый коммутатор управляет правами доступа сотни пользователей, включая все связанные с ними правила. Подключение к корпоративной сети организуется обычно по Gigabit Ethernet.

Если коммутатор локальной сети гарантирует пользователю определенную пропускную способность посредством выделенного соединения между портами, то коммутатор WLAN решает эту задачу на более высоком уровне. Сделать это было бы едва ли возможно на уровне отдельного порта, поскольку в воздухе нет физически изолированных интерфейсов. В случае коммутаторов WLAN эфир также остается разделяемой средой. Однако в этом случае пропускную способность можно резервировать и гарантировать ее наличие путем администрирования пользователей или на уровне приложений — и это независимо от того, где физически пользователь установил с сетью беспроводное соединение. Максимальная пропускная способность беспроводного соединения (11 Мбит/с для 802.11b и 56 Мбит/с для 802.11a и g) конечно же определяет верхнюю границу. По сути, коммутаторы WLAN скорее являются коммутаторами второго—седьмого уровней (при наличии — приложений) и коммутаторами второго—четвертого уровней при их отсутствии.

Рисунок 2.Внешне коммутаторы WLAN (в данном случае Mobility Exchange с Mobility Point/ Access Point от Trapеze) не слишком отличаются от обычных коммутаторов WLAN. Различий во внутренних свойствах гораздо больше.

Источник: Trapeze

Коммутирующие узлы должны справляться со множеством задач, и потому они оснащаются множеством высокопроизводительных процессоров и специализированных интегральных схем (Applications Specific Integrated Circuit, ASIC). Тем самым становится ясно, что способность коммутации WLAN не достижима простой «модернизацией» обычного коммутатора Ethernet, и речь действительно идет об абсолютно новом классе устройств (см. Рисунок 2). Это главный аргумент, опираясь на который новички на рынке WLAN собираются конкурировать с уже состоявшимися поставщиками коммутаторов.

Почти во всех случаях производители коммутаторов WLAN стремятся к мирному сосуществованию с имеющимися коммутаторами локальной сети. Исключение составляет Proxim. Производитель рассматривает свои Maestro как полноценные коммутаторы локальной сети второго уровня, которые, помимо всего, могут работать с беспроводными сетями. В соответствии с этим компания нацелена на вытеснение имеющихся коммутаторов второго уровня. Какие преимущества или недостатки несет этот подход для «коммутации WLAN», покажут первые тесты. В любом случае Proxim указывает на преимущества интеграции проводной и беспроводной коммутации в одном корпусе.

РАЗЛИЧНЫЕ АРХИТЕКТУРЫ

В соответствии с концепцией большинства производителей коммутаторы WLAN должны располагаться в монтажных шкафах, от которых идет кабель к отдельным точкам доступа (как правило, на каждом этаже). Каждая точка доступа подсоединяется непосредственно к порту коммутатора (см. Рисунок 3). Aruba и Chantry предпочитают другой вариант, когда в вычислительном центре/центре обработки данных размещается что-то вроде магистрального коммутатора WLAN (однако обе компании предлагают и коммутаторы для монтажных шкафов) (см. Рисунок 4). Между точками доступа и специальными портами коммутатора WLAN непосредственное физическое соединение отсутствует. Оно осуществляется через локальную сеть и обычные коммутаторы Ethernet. Кстати, почти все решения коммутации в беспроводных сетях поддерживают энергопитание своих точек доступа по кабелю Ethernet (Power over Ethernet, PoE). В случае непрямого соединения эту стандартизованную функцию подачи питания должен поддерживать промежуточный коммутатор локальной сети.

Централизованную архитектуру предлагается использовать прежде всего на крупных предприятиях с общим отделом информационных технологий и соответствующим вычислительным центром. Централизованный компонент легче контролировать, и он не так дорог, как несколько распределенных устройств. С другой стороны, центральный коммутатор WLAN должен быть гораздо производительнее, чем коммутатор на этаже, и требует бо?льших затрат. При децентрализованной структуре гораздо проще гибко реагировать на изменения требований к пропускной способности. Что же касается таких аспектов, как масштабируемость и готовность, то в централизованной структуре к ним стоит подходить гораздо более критично, чем в распределенной. В последней при отказе одного коммутатора WLAN остальные продолжат работать, в централизованной же структуре подобное происшествие означало бы отключение от сети всех беспроводных пользователей. Aruba предлагает решение с избыточным магистральным коммутатором WLAN, который в случае отказа будет продолжать обрабатывать трафик.

Масштабируемость обеспечена в обоих вариантах архитектуры: если необходимо обслуживать больше пользователей и, соответственно, точек доступа или требуется большая пропускная способность, то на нужном этаже устанавливается еще один коммутатор WLAN. И хотя в центрах данных можно разместить дополнительные коммутаторы, однако таким образом высказанное требование удовлетворить не столь просто. Как в том, так и в другом случае можно реализовать узлы, поддерживающие до 1000 точек доступа.

ПОЛНАЯ СВОБОДА ПЕРЕМЕЩЕНИЙ

Независимо от того, где физически расположены коммутаторы, они служат обеспечению мобильности. Стандарты 802.11 поддерживают мобильность на канальном уровне, поэтому пользователи могут перемещаться между различными точками доступа прозрачным образом. IP, как протокол сетевого уровня, не имеет соответствующего стандартного механизма поддержки мобильности. Это приводило к тому, что реализуемые до сих пор инсталляции WLAN с центром в точке доступа размещались в одной-единственной магистральной подсети, через которую все точки доступа предприятия были соединены друг с другом. С учетом того, что в случае крупных инсталляций и сетевых структур с большим количеством подсетей в аналогичной ситуации эффективность данного подхода падает, а стоимость растет, у спроектированных таким образом беспроводных сетей возникнут проблемы с масштабируемостью (самое позднее после реализации VPN): при прохождении через один брандмауэр трафика из подсети, где находятся все точки доступа, брандмауэр может оказаться «узким местом».

Во всех решениях коммутации WLAN тема мобильности рассматривается сквозь призму функциональности коммутатора второго уровня. Bluesocket, Chantry и Reefedge применяют специальные механизмы сетевого уровня: к примеру, Mobile IP — собственное дополнение от Reefedge.

МНОГО КОММУТАТОРОВ, МАЛО ТОЧЕК ДОСТУПА
Рисунок 5. Symbol представила свои коммутаторы WLAN на рынке уже в прошлом году, тогда еще под названием Mobius. Сегодняшние коммутаторы WLAN серии WS 5000 идентичны с серией Mobius вплоть до названия.

Иллюзия «похудения» точек доступа в различных решениях коммутации WLAN от разных производителей выражается многообразно. Bluesocket и Reefedge не играют в эту игру, поскольку предлагают не только собственные точки доступа. Самого, возможно, радикального подхода к упрощению точек доступа придерживается сегодня ветеран отрасли Symbol. Помимо радиомодуля (802.11b или 802.11a/b в двойном режиме) на точках доступа в системе коммутатора WS 5000 WLAN Switch есть всего лишь одна всенаправленная антенна (см. Рисунок 5). Интеллект полностью заложен в коммутаторах. Цель заключается в минимизации стоимости точек доступа, в том числе и в крупных инсталляциях. Для того чтобы отличать их от обычных точек доступа, Symbol называет их портами доступа к коммутаторам WLAN.

При перегрузке точки доступа коммутатор WLAN пытается найти менее загруженную точку доступа в пределах радиуса действия, на которую немедленно переводится пользователь. Такую балансировку нагрузки поддерживают и другие коммутаторы WLAN, но Symbol рекламирует «опережающую» балансировку нагрузки. Еще до того, как дело дойдет до критической перегрузки точки доступа, коммутатор выявит угрожающую тенденцию и найдет альтернативу доступа. В лице Airbeam компания Symbol предлагает решение по обеспечению безопасности для своих коммутаторов WLAN, оно позволяет организовать соединение VPN между участниками в соответствии с собственными установками. Особенностью этого решения является сквозная реализация — функциональность VPN относится к стандартному предложению всех компаний, кроме Trapeze.

Схожей философии упрощения точек доступа следует Aruba. Ее точки доступа также лишены большинства традиционных функций, за одним исключением: в системе Aruba 5000 они обладают одной особенностью — функцией мониторинга для наблюдения за окружающим пространством и мгновенного выявления «ненадежных» точек доступа (см. врезку «Ненадежные точки доступа»). Если, к примеру, кто-либо попытается воспользоваться неавторизованной точкой доступа в корпоративной сети, то монитор сразу же оповестит коммутатор и администратора. После чего в рамках предопределенных процедур возможны даже автоматическая изоляция неавторизованной точки доступа и пресечение всех попыток доступа для пользователей WLAN. При помощи монитора Aruba в состоянии калибровать радиоизлучение своих точек доступа на территории или в здании в реальном масштабе времени. Более того, при отказе точки доступа соседние точки автоматически конфигурируются заново так, чтобы перекрыть образовавшийся свободный сектор в радиоизлучении.

Trapeze также централизовала в своем коммутаторе функции контроля и управления. Однако — и в этом отличие ее подхода от всех остальных — решение не использует VPN, но предлагает функции поддержки качества и класса предоставляемых услуг (Quality of Service, QoS). Trapeze полагает, что шифруемые туннели слишком сложны в обращении, а их построение отнимает очень много времени, особенно в случае голосовых служб. Необходимые меры безопасности должны обеспечивать различные встроенные в точки доступа технологии шифрования.

WLAN Mobility System от Trapeze отличается программным оснащением. Наряду с коммутатором (Mobility Exchange) и точкой доступа (Mobility Point) решение включает пакет с системным программным обеспечением, а также RingMaster Tool Suite. Под одной оболочкой интегрированы функции, помощь которых пригодится администратору уже при планировании и проектировании сети, так как, по данным производителя, они делают необязательным трудоемкие измерения внутри здания. Планы здания в форматах Autocad, JPG и TIF могут быть считаны и использованы непосредственно в качестве основы для планирования. Расчет емкости производится по большей части автоматически, в том числе и для случая расширения сети. Кроме этого, RingMaster предлагает многочисленные инструменты управления, к которым Trapeze, не в последнюю очередь вследствие своего подхода к безопасности в зависимости от идентификации, относит расширенное администрирование пользователей.

Nortel разрабатывает коммутаторы WLAN не только для предприятий, но и для операторов и провайдеров. WLAN Security Switch 2250 вместе с WLAN Access Point 2220 предлагает поддержку ряда функций для применения в общественных точках доступа (hot spot). К ним относится свойство «двойного образа» (Dual Image), когда точка доступа переходит на стандартный режим работы при потере ее рабочих параметров. Необходимый ремонт, таким образом, может быть отложен до подходящего для этого времени, а не проводиться немедленно. Точка доступа поддерживает IP-роуминг через различные домены, в том числе между сетями 802.11а и 802.11b. Более того, в программе Nortel значится также WLAN Mobile Voice Client i2050 для поддержки беспроводной IP-телефонии через карманные компьютеры.

КОММУТАТОР И ТОЧКА ДОСТУПА — КРЕПКАЯ ПАРА

Итак, в целях привлечения внимания потребителя производители оснащают свои решения рядом специфических функций и возможностей. И при разделении функций между коммутатором и точкой доступа каждый находит собственную меру равновесия. Это ведет к приветствуемому многообразию, однако, с другой стороны, имеет серьезный недостаток. Конкретный коммутатор работает только со специфическими нестандартными точками доступа: относящиеся же к определенному решению компоненты могут осмысленно применяться только со «своими» коммутаторами WLAN, а последние, в свою очередь, воспринимают стандартные точки доступа лишь как устройства «второго сорта». Настоящая интеграция стандартных точек доступа с централизованным управлением также вряд ли возможна, как и автоматическое снабжение конфигурационными параметрами. Symbol, однако, планирует выпуск программного обеспечения, способного решить перечисленные проблемы. По отношению к коммутатору WLAN от Symbol стандартные точки доступа будут вести себя так же, как и ее собственные точки доступа. Миграция от обычных к коммутируемым беспроводным локальным сетям, безусловно, облегчила бы этот процесс.

В случае Trapeze «чужеродные» точки доступа появляются в этажных планах программного обеспечения RingMaster, но лишь тогда, когда их конфигурационные параметры вносятся вручную. Тем не менее, если мобильные точки Trapeze находятся поблизости, их номера каналов и мощность излучения автоматически подстраиваются в соответствии с имеющимися точками доступа. Таким образом, наилучшим вариантом использования стандартных точек доступа в ближайшем будущем представляется интеграция в централизованную систему управления. Однако специфические функции, для обеспечения работы которых коммутатор WLAN и точки доступа должны быть настроены друг на друга, еще долгое время нельзя будет осуществить при помощи стандартных точек доступа.

Отсутствие тесной связи между коммутатором и точкой доступа не относится к решениям на базе серверов от Bluesocket и Reefedge, поскольку они способны управлять абсолютно любыми точками доступа. Такой же философии придерживается и Chantry в своем решении Beacon Master в виде маршрутизатора. По крайней мере в том, что касается клиентов коммутируемой беспроводной сети, производители обещают соответствие стандартам. Каждая карта Wi-Fi в любом конечном устройстве (к примеру, настольный или карманный компьютер) должна без проблем работать с любым сертифицированным Wi-Fi коммутирующим решением WLAN. Осторожность следует соблюдать, если у одного из продуктов отсутствует сертификация Wi-Fi.

ВЫВОДЫ

Коммутация WLAN, без сомнений, находится в самом начале своего пути. Еще много предстоит исследовать, разработать и проверить; на рынке пока сравнительно мало предложений — по крайней мере, за пределами Соединенных Штатов. Но одно уже ясно: с коммутацией WLAN беспроводная связь на предприятии получит новый импульс. Кроме того, коммуникации в реальном времени (голос, видео и т. д.) с появлением коммутаторов выходят за пределы кабеля. В более зрелом состоянии беспроводные сети на базе коммутаторов способны, по крайней мере, частично поставить под вопрос концепцию структурированной проводки. Интересы всех тех, кто предъявляет умеренные требования к пропускной способности, в будущем вполне смогут быть удовлетворены возможностями беспроводной связи.

Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.


? AWi Verlag


Ненадежные точки доступа

В корпоративной среде должны присутствовать исключительно заслуживающие доверия отдела ИТ точки доступа. Однако в реальности в отдельных подразделениях предприятий может находиться множество точек доступа, которые сотрудники установили сами, без ведома администратора. Нередко эти точки обладают полным свободным доступом к корпоративной сети, однако часто не предусматривают даже элементарной конфигурации для обеспечения безопасности, вследствие чего вся политика безопасности компании теряет силу.

В такой ситуации может помочь дополнительная функция коммутатора WLAN: идентификация подобных точек доступа и различение их с интерференцией от «соседей». Однако сегодня не все производители решают столь насущную проблему. А те, кто пытается это сделать, предлагают самые различные варианты. Основные подходы к данному вопросу проиллюстрируем на примере философии Trapeze и Aruba. Помимо них серьезными разработками занимаются Airflow, Airspace и Symbol.

В случае Trapeze менеджер ИТ может подать команду собственным точкам доступа Trapeze (они называются «точками обеспечения мобильности») провести скоординированное сканирование радиочастот. При этом точки мобильности сообщают о каждом принятом радиосигнале в своей зоне покрытия программному обеспечению RingMaster, которое эту информацию о беспроводных передатчиках 802.11 сравнивает с указанными в плане этажа точками доступа. Если в каких-либо случаях обнаруживаются несовпадения, то RingMaster показывает соответствующую точку доступа, включая ее положение на плане. Из чего администратор ИТ может сделать необходимые выводы.

Aruba предоставляет функцию Air-Monitor: по умолчанию она работает постоянно, т. е. администратор не должен ее запускать (причина проста: Aruba использует мониторинг для автоматической калибровки сети). Aruba также сравнивает полученные после сканирования данные с имеющимися MAC- и IP-конфигурациями и таким образом обнаруживает установленные без ведома отдела ИТ точки доступа. В случае Trapeze администратору ИТ придется самому проверить, является ли данная точка доступа опасной, есть ли у нее выход в корпоративную сеть или это всего лишь точка «соседей», между тем как в случае Aruba система сама приступает к дальнейшим действиям. Контролируя как эфир, так и локальную сеть, система в состоянии классифицировать точки доступа и при этом отличать точки с доступом к корпоративной сети (опасные) от тех, что вызывают лишь радиотехнические интерференции. Точки доступа, классифицированные как «опасные», автоматически изолируются, и доступ пользователей к ним будет прекращен.