Для централизации функций управления и обеспечения безопасности стандартно применяются коммутаторы WLAN и специализированные устройства. Однако между отдельными продуктами имеется масса различий — наряду с множеством несущественных деталей они заключаются в поддержке качества услуг (Quality of Service, QoS) и динамической адаптации конфигурации с учетом окружающей радиообстановки.
Беспроводные структуры, в ко-рорых точки доступа занимают центральное место, отслужили свое. Сегодня излюбленный метод обеспечения централизованного управления безопасностью заключается во внедрении специальных коммутаторов WLAN и адаптированных точек доступа (см. Рисунок 1). Решения с применением специализированных устройств для организации наложенной сети поверх имеющейся инфраструктуры стандартных точек доступа распространения не получили. Между тем устройства, которые при помощи системы управления позволяют комбинировать особые (интеллектуальные) точки доступа с обычными коммутаторами для локальной сети или магистрали, продолжают развиваться.
В целом можно отметить, что за несколько лет рынок всех этих решений очень быстро стабилизировался. Многие пионеры отрасли либо ушли с него (в частности, Reefedge, Legra Systems, Moving Planet), либо оказались поглощенными более крупными игроками (к примеру, компанию Airespace приобрела Cisco, а Chantry — Siemens). Некоторое время назад казалось, что те, кто предлагает на рынке только коммутаторы WLAN, будут вытеснены производителями сетевого оборудования. Почти у всех в планах значилась интеграция функций коммутаторов WLAN в коммутаторы для локальных сетей или магистралей. Однако в реальности все оказалось не так, поскольку их реализация оказалась не такой простой, как представлялась. 3Com, Alcatel, Enterasys, Extreme, Foundry, Nortel и некоторые другие отказались от прежних намерений в пользу партнерства с одним из пионеров в области беспроводного коммутирующего оборудования. Первые места по привлекательности в этом списке занимают Aruba и Trapeze, которые в последнее время значительно укрепили свои позиции. Компания Vernier Networks в июне прошлого года объявила о сотрудничестве с Extreme — однако с тех пор о ней ничего не слышно.
Рисунок 1. Семейство беспроводных коммутирующих продуктов от Aruba с коммутаторами, точками доступа и датчиками. . |
Vivato и Bluesocket также удалось выжить в процессе естественного отбора производителей коммутаторов WLAN, причем последняя сумела осуществить смену поколений своей линейки беспроводных продуктов. Только современное специализированное оборудование подходит в действительности для концепции централизованного управления WLAN. То же можно сказать и о Colubris, американском производителе, который несколько лет назад обратил на себя внимание благодаря чрезвычайно оригинальным точкам доступа. Он сумел совершить переход к пригодной для крупных предприятий стратегии WLAN, в основу которой положен специализированные устройства WLAN. Весьма интересное в техническом плане решение предлагает Meru. Компания впервые вводит ячеистую топологию в беспроводные корпоративные сети. У нее уже появился мощный OEM-партнер — Avaya. Особое место занимает Symbol — с точки зрения исторической справедливости и ее можно причислить к пионерам в области коммутаторов WLAN. Однако Symbol традиционно фокусируется на системах сканирования штрих-кода и мобильных устройствах обработки данных. Поэтому коммутаторы WLAN этого производителя хорошо подходят для соответствующих задач в области логистики. Список производителей коммутаторов WLAN завершают ряд компаний, которые не отличаются техническими изысками, адресуя свою продукцию со стандартными базовыми функциями в первую очередь нижнему сегменту рынка.
Таким образом, при выборе системы коммутации для беспроводной сети пользователю приходится иметь дело с обозримым количеством поставщиков. Предлагаемые решения отличаются концепцией, функциями безопасности, управлением и поддержкой трафика реального времени, к примеру голосового. В зависимости от размера инсталляции на первый план все чаще выходят радиотехнические функции автоматизации, где ядром являются чувствительные точки доступа, которые в состоянии динамически конфигурировать сами себя в зависимости от постоянно измеряемых условий окружающей среды, в частности напряженности радиополя и распределения каналов. Таким образом в рабочих условиях можно снизить интерференцию и балансировать нагрузку. Кроме того, ими распознаются и устраняются мертвые зоны, что заметно повышает стабильность системы. Поскольку для таких точек доступа производить какие-либо настройки вручную практически не требуется, они имеют значительное преимущество и в отношении стоимости эксплуатации. Вдобавок становятся ненужными дополнительные меры по планированию и размещению точек перед инсталляцией. Инструменты планирования, предлагаемые, в частности, компанией Trapeze для ее системы, хотя и полезны в принципе, но на практике оказываются очень трудоемкими. В качестве основы для планирования беспроводной сети можно использовать планы здания (в формате DXF), однако при этом приходится иметь дело с большими объемами несущественной для планирования информации, которую необходимо удалять вручную. С другой стороны, некоторые важные сведения отсутствуют, к примеру, неизвестно, из чего сделаны стены и каковы характеристики оборудования. Эти параметры требуется добавлять вручную.
Еще одной очень важной функцией чувствительной точки доступа в комбинации с коммутатором WLAN является распознавание незаконных (чужих) точек доступа. Некоторые решения позволяют не только распознавать, но и «выбрасывать» их из сети. Желательно и как можно более точное определение местоположения чужой точки доступа.
Впервые восприимчивую к окружающей обстановке точку доступа выпустила Airespace, предложив метод интеграции «функции прослушивания» в основной приемопередатчик без заметного падения производительности точки доступа (менее 1%). Другие,
в том числе и теперешний владелец Airespace компания Cisco, используют для таких задач отдельный радиомодуль. В точках доступа последующих поколений коммутаторов WLAN эта важная функция должна быть реализована тем или иным образом.
КАЧЕСТВО УСЛУГ
С учетом тенденции перехода к передаче голоса по IP функции поддержки гарантированного качества услуг для голосового и видеотрафика становятся приоритетными и в беспроводных сетях. Коммутируемым решениям WLAN не известны проблемы с длительным временем задержки и разрывом соединения вследствие роуминга в подсети, как это обычно случается в беспроводных структурах на базе точек доступа (когда клиент перемещается между двумя точками доступа, расположенными в разных сегментах Ethernet). Тем не менее и в коммутируемой инфраструктуре WLAN могут иметь место заметные перерывы в разговоре при переходе от одной точки доступа к другой. Ориентировочно длительность задержки при переключении между двумя точками доступа ни в коем случае не должна превышать 65 мс.
Всякая коммутация происходит только до точки доступа — после нее (по воздуху к клиенту) снова приходится иметь дело с разделяемой средой передачи. В зависимости от числа пользователей, подключенных в данный момент к точке доступа, объема и типа генерируемого ими трафика могут возникнуть непредсказуемые узкие места. Как и в аналогичных случаях, когда пропускная способность сети недостаточна, а выделенный сквозной физический канал отсутствует, для обеспечения качества передачи в беспроводных коммутаторах используются функции назначения приоритетов и резервирования пропускной способности. Первое (в идеальном случае) происходит в соответствии со стандартом Wi-Fi Multimedia (WMM) организации Wi-Fi. Некоторые решения позволяют применять правила назначения приоритетов к определенным пользователям, приложениям и другим параметрам. Для управления очередями (Queuing) на точке доступа должна обеспечиваться максимальная дифференциация — для гарантирования QoS необходима строгая очередность в соответствии с приоритетами. Метод резервирования пропускной способности должен быть динамическим.
БЕЗОПАСНОСТЬ
При обеспечении безопасности в коммутаторах WLAN стандартом является поддержка WPA2/802.11i (Wi-Fi и IEEE, соответственно). Для клиентов, не отвечающих современным требованиям к безопасности, некоторые системы предлагают специальную защиту: они переправляют трафик по туннелю к интегрированной или отдельной системе обнаружения вторжения (Intrusion Detection System, IDS). Для надежной регистрации и аутентификации обязательным минимумом признана поддержка 802.1х и динамических списков контроля доступа (Access Control List, ACL). Некоторые системы разрешают доступ на основе списка «авторизированных МАС-адресов». Однако МАС-адреса несложно подделать, поэтому данный метод не в состоянии гарантировать подлинность. Кроме того, управление списками МАС-адресов и их распределение в крупных сетях представляют собой довольно сложную задачу. В качестве методов рекомендуется использовать однократную регистрацию (Single Sing-On, SSO) совместно с шифрованием по протоколу защищенных сокетов (Secure Sockets Layer, SSL). Таким образом можно надежно защищать доступ на базе Web.
Особое внимание следует уделять управлению безопасностью. Простые беспроводные сети знают только «все» (аутентификация прошла успешно) или «ничего» (аутентификация не удалась). При использовании на предприятиях коммутаторами WLAN должно поддерживаться дифференцированное управление правами. К их числу относятся и создание детализированных профилей, и гибкое назначение прав отдельным пользователям или группам. Большую важность имеет управление контролем доступа в реальном времени. Для укрепления внутренней безопасности администраторам сетей необходимо иметь возможность модифицировать профили и правила безопасности без прерывания работы, чтобы, к примеру, немедленно отобрать все права у пользователя, если он идентифицирован в качестве злоумышленника.
УПРАВЛЕНИЕ
Предпосылкой управления является наличие всех соответствующих консолей управления в виде поставляемого с коммутатором специализированного программного обеспечения. Наряду с созданием учетных записей пользователей и групп, а также конфигурацией аутентификации очень важна как можно более дифференцированная конфигурация правил безопасности и качества услуг. Кроме того, средства управления должны позволять контролировать и опрашивать радиотехнические параметры: в частности, проводить измерение плотности излучения, регулирование мощности излучения и управление каналами. Опрос и контроль таких параметров должен быть возможен централизованным образом в среде, где имеется множество точек доступа. К сожалению, пока все это реализуется нестандартным образом, поскольку базы управляющей информации (Management Information Base, MIB), простого протокола сетевого управления (Simple Network Management Protocol, SNMP) для WLAN до сих пор отсутствуют. IETF разрабатывает в группе управления и предоставления беспроводных точек доступа (Control and Provisioning of Wireless Access Points, CAPWAP) интерфейсы и протоколы, которые соответствующие устройства управления могли бы использовать. Однако до сих пор никакой результат не достигнут, и проблема отсутствия баз управляющей информации WLAN не решена.
Некоторые производители добавляют в свое программное обеспечение для управления дополнительные функции, к примеру создание отчетов и управление жизненным циклом. Другие интегрируют инструменты планирования радиосетей. Все это, безусловно, полезно, однако такие программные инструменты действительно необходимы, лишь когда отсутствует автоматическая конфигурация посредством точек доступа с контролем эфира. Последние стоит предпочесть любому программному обеспечению для планирования, но идеальной была бы их комбинация. Кроме того, при выборе беспроводного решения коммутации следует обратить внимание на масштабируемость и возможность интегрирования с чужими точками доступа.
ПЕРСПЕКТИВНЫЕ РАЗРАБОТКИ
Как и прежде, рынок WLAN остается очень динамичным, и новые технологические разработки появляются постоянно. Планировщики сетей, которым приходится выбирать систему WLAN, сталкиваются с новыми техническими методами, в частности MIMO и Meshing. Технология множественного ввода/вывода (Multiple Input, Multiple Output, MIMO) предполагает наличие нескольких антенн на канал, что позволяет одновременно передавать и принимать сигналы. Для реализации MIMO применяются разные подходы. Самым популярным является подход Мирового консорциума по эффективному использованию диапазона (World Wide Spectrum Efficiency, WWISE) и производителя Airgo. Планировщиков сетей этот подход привлекает своей совместимостью с имеющимися стандартами WLAN (802.11a/b/g/h), благодаря чему он может быть интегрирован в существующую беспроводную инфраструктуру. Наиболее серьезным соперником является TGn Sync, чья концепция MIMO не совместима с имеющимися беспроводными сетями. По этой причине у консорциума WWISE больше шансов, что IEEE примет их предложение в качестве основы для быстрых и стабильных сетей WLAN следующего поколения. Соответствующий стандарт 802.11n должен быть утвержден самое раннее в конце этого года.
Как и MIMO, поддержка ячеистой структуры Meshing служит для стабилизации беспроводных соединений. Но в то время как MIMO повышает и скорость, Meshing не влияет на базовую производительность. Для стабилизации беспроводных соединений здесь применяется ячеистая сетевая топология. Таким образом можно увеличить радиус действия, а при отказе антенны соединения не обрываются все одновременно. Для выбора системы WLAN важно следующее: Meshing опирается на имеющиеся стандарты WLAN, и это, несомненно, хорошая новость с точки зрения защиты инвестиций. Соответствую-щий стандарт IEEE будет разрабатываться под руководством Intel и называться 802.11s. Ратификация ожидается не ранее конца текущего года.
Штефан Мучлер — шеф-корреспондент LANline. С ним можно связаться по адресу: sm@lanline.awi.de.
Контрольный список вопросов при выборе коммутаторов WLAN
Базовые функции
- Какие стандарты WLAN поддерживает коммутатор?
- Могут ли разные радиостандарты задействоваться параллельно?
- Способна ли система автоматически адаптировать скорость передачи?
- Поддерживается ли выравнивание нагрузки на точке доступа?
- Поддерживает ли коммутатор WLAN режимы эксплуатации «мост» и «несколько точек»?
- С какими продуктами других производителей работает система?
- Поддерживает ли коммутатор WLAN питание точек доступа (Power over Ethernet)?
- Поддерживает ли коммутатор WLAN CAPWAP?
- Поддерживает ли коммутатор WLAN наряду с IPv4 и IPv6?
Безопасность
- Какие методы регистрации и манипуляции с ключами поддерживаются?
- Могут ли «ненадежные» клиенты переправляться на систему обнаружения вторжения (IDS)? Интегрирована ли она?
- Поддерживаются ли дифференцированные профили и их гибкое назначение отдельным пользователям и группам?
- Происходит ли управление доступом в реальном времени?
- Имеются ли датчики, посредством которых радиоэфир сканируется на наличие неизвестных пользователей и точек доступа?
- Возможна ли деактивация чужих/неизвестных точек доступа?
- Предлагает ли система механизм «самоизлечения» неисправных точек доступа и соединений?
- Предотвращают ли функции обеспечения безопасности атаки по типу «отказ в обслуживании» (Denial of Service, DoS)?
- Распознает ли система распространенные атаки на стандарт безопасности 802.11 и нарушения установленных правил безопасности?
- Поддерживает ли коммутатор WLAN механизм пересылки IPSec (RFC 2410)?
- Какие методы избыточности предусмотрены для обеспечения высокой готовности?
QoS/VoWLAN
- Какие концепции QoS поддерживает коммутатор WLAN?
- Можно ли для каждого SSID задавать индивидуальные критерии QoS (правила)?
- Какие методы управления очередями реализованы на втором и третьем уровнях?
- Сколько аппаратных очередей поддерживается в каждой очереди QoS?
- Можно ли методами формирования очередей управлять при помощи средств управления пропускной способностью?
- На какие концепции опирается резервирование пропускной способности и ресурсов?
- Могут ли назначенные приоритеты и списки контроля доступа динамически изменяться в процессе работы?
- Обеспечивается ли беспроводной роуминг и для приложений VoIP?
- Реализованы ли меры предосторожности против фарминга (незаконного перевода телефонных разговоров)?
- Какие методы противодействия «затопления» пакетами данных при атаке злоумышленника реализованы в устройстве («отсечение» отрицательно влияет на качество голоса в приложениях VoIP)?
Управление
- Насколько дифференцированно можно задавать права пользователям?
- Какие свойства предлагается привлекать при задании сетевых правил?
- Позволяет ли система управления сетью и правилами автоматически распознавать конфликты между правилами?
- В состоянии ли система адаптировать мощность излучения точек доступа в соответствии с конкретной радиообстановкой?
- Можно ли управлять пропускной способностью и приоритетами через централизованную систему управления?
- Поддерживает ли интерфейс управления сетью язык написания сценариев для индивидуальной настройки сетевых функций и процессов?
- Поддерживает ли система сетевого управления анализ (радио)информации WLAN, мониторинг всех станций и механизм удаленного отслеживания пакетов?
- Какие версии SNMP поддерживаются?
- Передается ли информация SNMP по сети в зашифрованном виде и после аутентификации?
- Поддерживает ли коммутатор WLAN функцию зеркального порта?
- Обладает ли коммутатор WLAN механизмами для мониторинга (RMON, SMON, FMON)?
? AWi Verlag