Насколько прочна «тонкая» сеть

Идея достаточно тривиальна: нужно разделить беспроводную сеть на два уровня, управления и подключения. Уровень управления, реализуемый на основе специализированных контроллеров доступа AC (Access Controller), включает в себя весь функционал беспроводной сети. Это управление доступом с аутентификацией и авторизацией пользователей, генерация и хранение ключей шифрования, роуминг абонентов, переключение их на менее загруженные точки доступа, оптимизация использования радиоканалов и многое другое.

Уровень подключения организуется с помощью достаточно простых и дешевых точек доступа WTP (Wireless Termination Point), чьи задачи сводятся к поддержке шифрования данных в радиоканале и взаимодействию с контроллером доступа по протоколу CAPWAP. Обычно для подключения «тонких» точек доступа к контроллеру используют проводные линии. Довольно часто применяется решение с поддержкой технологии электропитания точек доступа через локальную сеть Ethernet (PoE).

Вариант построения «тонкой» беспроводной сети имеет ряд неоспоримых преимуществ. Во-первых, снижаются расходы на развертывание сети, покрывающей значительную территорию или включающей в себя большое число точек доступа. Несмотря на достаточно высокую цену контроллера доступа, экономия на стоимости точек доступа оказывается существенной. Во-вторых, уменьшаются эксплуатационные расходы за счет централизации управления всей сетью. Централизация ее «интеллекта» позволяет автоматизировать рутинные процессы обновления программного обеспечения и настроек всех точек доступа. В-третьих, обеспечивается высокий уровень защиты сети. В «тонких» точках доступа не хранится конфиденциальная информация, утрата которой может повлиять на защищенность сети. Кроме того, существенно проще централизованно управлять политиками безопасности разных категорий абонентов и самих точек доступа.

Однако архитектуре «тонких» беспроводных сетей свойственны некоторые недостатки. Наибольшую проблему представляет собой возможный отказ контроллера доступа. Он означает не только выход из строя оборудования, но и потерю связности всех или значительной части точек доступа. В такой сети необходимо резервирование контроллера, что приводит к увеличению стоимости проекта.

Построение сети

Наиболее часто решение с использованием «тонких» точек доступа применяют для создания масштабных беспроводных сетей. Рассмотрим вариант построения корпоративной сети, насчитывающей десятки и сотни хот-спотов. Показанную на рисунке сеть вряд ли можно рекомендовать для практического воплощения, но она позволяет продемонстрировать основные принципы работы «тонкой» архитектуры.

Как видно из рисунка, беспроводная сеть является наложенной, что позволяет заметно сэкономить на развертывании базовой инфраструктуры. Для подключения точек доступа может служить проводная сеть, построенная по любой технологии, ведь «тонкую» точку доступа можно рассматривать как обычное сетевое устройство со своим IP-адресом. В принципе, подключать точки доступа к контроллеру не возбраняется и через публичные каналы Глобальной сети. Этот вариант подключения считается не самым оптимальным, но он бывает полезным при быстром развертывании временного хот-спота.

Ядром беспроводной сети является контроллер, от производительности и характеристик которого зависят показатели работы всей сети. Сервер RADIUS обеспечивает идентификацию и авторизацию пользователей, а также (при необходимости) сопряжение с биллинговой системой.

При установлении абонентом соединения с точкой доступа, в радиусе действия которой он находится, решение о предоставлении услуг принимает контроллер центрального офиса. Для этого по протоколу DHCP оконечному WiFi-устройству присваивается временный IP-адрес, и абонент получает возможность ввести свои учетные данные. Они поступают на RADIUS-сервер, который определяет доступные ресурсы, права и полномочия пользователя. На основании заключения RADIUS-сервера контроллер доступа выделяет установленному соединению необходимые ресурсы и отслеживает его текущее состояние.

Такой алгоритм работы увеличивает объем служебного трафика внутри проводной сети, но при нынешней значительной пропускной способности каналов доступа этот недостаток вряд ли стоит учитывать при планировании сети.

Производители и оборудование

Далеко не все поставщики беспроводных решений выпускают рассматриваемые нами продукты. В определенной мере это связано с необходимостью создания специализированных контроллеров доступа, что под силу не каждому разработчику. Далее мы уделим основное внимание контроллерам, представленным на отечественном рынке.

Одной из наиболее авторитетных компаний, поставляющих решения для корпоративных сетей WiFi, является Aruba Networks. В ее продуктовом портфеле насчитывается семь моделей контроллеров, ориентированных на использование в сетях разного масштаба. Старшая модель Aruba 6000 Multi-Service Controller, относящаяся к оборудованию операторского класса, способна управлять работой более 8 тыс. точек доступа и обслуживать свыше 32 тыс. пользователей одновременно. Она поддерживает функции VPN и firewall; производительность в этих режимах составляет, соответственно, 32 и 80 Гбит/с.

К категории мультисервисных контроллеров относятся продукты серии Aruba 3000. В нее входят три модели, различающиеся числом управляемых точек доступа, обслуживаемых абонентов и производительностью режимов VPN/firewall. Они в большей степени пригодны для создания корпоративных беспроводных сетей, а для совсем небольших сетей, в которых предполагается установка 6—48 точек доступа, можно применять Aruba 2400, Aruba 800 и Aruba 200. Все модели контроллеров данного производителя ориентированы на поддержку мобильной VoIP-связи. Эти сеансы обеспечиваются функциями Call Admission Control, RF management и QoS.

Для подключения точек доступа Aruba рекомендует применять одну из трех моделей специализированного концентратора доступа, разработанного для обеспечения безопасности передачи трафика через IP-сеть с использованием туннельных протоколов. Модели концентраторов различаются значениями пропускной способности.

Для совместной работы с любым из контроллеров производитель предлагает множество точек доступа. Среди них стоит отметить AP-120, AP-121, AP-124 и AP-125, поддерживающие технологию множественных лучей MIMO (Multiply Input Multiply Output) и обеспечивающие, по заверениям поставщика, скорость подключения по радиоканалу до 300 Мбит/с. Эти и другие модели точек доступа Aruba могут работать в диапазонах 2,4 и 5 ГГц. Для построения хот-спотов вне помещений производитель рекомендует использовать AP-85TX, AP-85FX и AP-85LX. Для подключения первой модели предусмотрен интерфейс 10/100Base-T с технологией PoE, а остальные подсоединяются к сети с помощью оптических интерфейсов и могут быть вынесены от ядра сети, соответственно, на расстояние до 2 и 10 км.

Компания BlueSocket, основанная в 1999 году, специализируется на разработке решений для беспроводных сетей и предлагает большой спектр продуктов. Среди них — линейка из шести моделей масштабируемых контроллеров беспроводной сети BlueSecure. Все модели имеют одинаковые возможности управления точками доступа и обеспечения безопасности, а различаются только производительностью.

Младшая модель BlueSecure 600 поддерживает до 8 точек доступа и обеспечивает одновременную работу 64 пользователей. Старшая модель BlueSecure 7200 может служить основой масштабной беспроводной сети, насчитывающей до 300 точек доступа и 8 тыс. одновременно работающих клиентов. Во все модели BlueSecure встроена функциональность firewall и обнаружения атак путем мониторинга активности в сети. Кроме того, производитель отмечает применение в контроллерах фирменной технологии роуминга Secure Mobility, которая позволяет потребителям не прерывать сессии во время перемещения между точками доступа даже в случае временного выхода за пределы радиозоны. Контроллеры поддерживают подключение точек доступа через встроенный маршрутизатор, что упрощает использование Internet как среды доступа.

По заверениям производителя, его контроллеры могут работать с точками доступа большинства сторонних фирм, но для обеспечения всего набора функций контроля и управления сетью рекомендуется применять точки доступа BlueSocket. Сейчас предлагаются три модели этих устройств семейства BlueSecure Access Point, поддерживающие стандарты 802.11 a/b/g. Модели с индексом 1500 и 1540 имеют по две встроенные всенаправленные антенны, причем вторая модель позволяет присоединять внешние антенны. Точка доступа с индексом 1800 выполнена в полном соответствии со спецификациями 802.11n draft 2.0 и поддерживает технологию MIMO. Она оснащена двумя радиоинтерфейсами, разъемом для подключения внешних антенн и портом Gigabit Ethernet с поддержкой PoE. Все точки доступа могут приоритизировать мультимедийный трафик в беспроводной сети.

Brocade, один из ведущих поставщиков решений для дата-центров, в конце прошлого года приобрел весьма известного производителя сетевого оборудования Foundry Networks. Среди продуктов этой компании есть устройства для построения локальных беспроводных сетей, которые на российском рынке будут предлагаться под брэндом Brocade.

В комплект оборудования для создания «тонкой» беспроводной сети входят четыре вида контроллеров, различающихся числом поддерживаемых точек доступа и производительностью. Самая младшая модель, MC500, может обслуживать до пяти точек доступа, а старшая, MC5000, — 1 тыс. (компания предлагает две модели таких устройств, АР208 и АР201). Поддерживается технология автоматической настройки радиозон.

Решение на основе данного оборудования может обслуживать 100 активных пользователей на точку доступа. Благодаря развитым механизмам QoS через каждый хот-спот удается транслировать до 30 одновременных голосовых вызовов. Также контроллеры обеспечивают роуминг голосовых вызовов между радиозонами без задержек и потерь пакетов. Решение способно автоматически определять используемые клиентами протоколы VoIP (SIP, H.323, Cisco SCCP, SpectraLink SVP и Vocera), подстраивая под них механизмы приоритизации. Дополнительно контроллер МС5000 реализует функциональность firewall, поддерживая в данном режиме работу более 10 тыс. одновременных сессий.

Cisco предлагает множество решений для построения беспроводных сетей. В соответствии с выдвинутой этой компанией концепцией Unified Wireless solution беспроводная сеть строится на основе четырех компонентов — точек доступа, сети агрегации, уровня управления и мобильных сервисов. Точки доступа сегментируют, исходя из решаемых задач и варианта исполнения. Корпорация выделяет модели для размещения в отапливаемых помещениях (например, Cisco AP 1140G, 1130G, 521G), неотапливаемых помещениях (Cisco AP 1240G и 1252AG) и в уличном исполнении (Cisco AP 1310 и 1410). Точки доступа Cisco могут работать в режимах как «тонкого», так и «толстого» клиента. Столь универсальный подход удорожает решение, но позволяет существенно повысить надежность беспроводной сети.

Сеть агрегации представлена контроллерами беспроводного доступа, которые поддерживают централизованные политики безопасности, качества обслуживания и предоставляют средства управления радиоресурсами и обеспечения мобильности. Для централизованного управления точками доступа и передачи трафика данных применяется фирменный протокол LWAPP (Lightweight Access Point Protocol). В портфеле Cisco имеется большое число моделей контроллеров, способных обслуживать от 2 до 300 точек доступа.

Для согласования работы контроллеров служит централизованная система управления WCS (Wireless Control System). Предоставление мобильных сервисов осуществляется с помощью продукта MSE (Mobility Services Engine), который позволяет определять местоположение и историю перемещений мобильных абонентов и «неавторизованных» устройств. Он имеет интерфейс взаимодействия с WCS и приложениями сторонних разработчиков ПО.

Линейка оборудования ProCurve компании HP включает в себя беспроводные контроллеры и точки доступа. В отличие от других производителей, эта корпорация предлагает в качестве контроллеров WLAN специализированные модули, устанавливаемые в сетевые коммутаторы ProCurve. Она выпускает по два типа модулей и дополнительных модулей, используемых для резервирования. В качестве точек доступа могут применяться три модели радиопортов.

Модуль Wireless Edge Services zl обеспечивает централизованное управление беспроводной сетью, единую политику безопасности и разнообразие сетевых услуг. Для резервирования его работы применяется Redundant Wireless Services zl, который автоматически принимает на себя управление радиопортами ProCurve в случае неисправности Wireless Edge Services zl.

Модуль Wireless Edge Services xl ориентирован на интеграцию системы управления WLAN и политики обслуживания пользователей на основе ролей для централизованного управления сетью с множеством услуг. Для резервирования работы этого модуля предназначен Redundant Wireless Services xl.

Радиопорты ProCurve 210, 220 и 230 различаются частотными поддиапазонами и конструктивным исполнением.

Компания Netgear предлагает решение для построения беспроводной сети малого и среднего предприятия. Оно включает в себя полнофункциональный контроллер ProSafe Smart WFS709TP, который может управлять до 16 точек доступа и обслуживать до 256 абонентов. Для увеличения размеров сети контроллеры можно объединять по иерархическому принципу, обеспечивая работу 48 точек доступа. Одной из отличительных черт ProSafe Smart является управление беспроводным покрытием с помощью функций автоматического конфигурирования всех параметров радиоканала, в том числе мощности сигнала, балансировки нагрузки и устранения наложений. Контроллер может предоставлять с надлежащим качеством сервисы, чувствительные к задержкам, такие как голосовая связь по протоколу VoIP. В ProSafe Smart встроены функции Call Admission Control, быстрого роуминга с обеспечением непрерывности голосовых соединений и QoS.

Вместе с контроллером производитель предлагает две модели точек доступа — WAGL102 и WGL102. Первая работает в частотных диапазонах 2,4 ГГц и 5 ГГц по протоколам 802.11g и 802.11а. Вторая ориентирована на работу по стандарту 802.11g в диапазоне 2,4 ГГц.

Решение от Ruckus Wireless в большей мере тоже ориентировано на малый и средний бизнес. По мнению Александра Горнака, технического директора компании «Новые Системы Телеком», такими заказчиками востребованы типовые приложения, и им нет особой нужды в сложных и нестандартных настройках беспроводной сети. Для работы с оборудованием Ruckus не надо быть экспертом в области WiFi-технологий.

Основу решения Ruckus Wireless составляет контроллер беспроводной сети ZoneDirector 1000, который управляет 25 точками доступа ZoneFlex и поддерживает одновременную работу до 1250 пользователей. Среди его достоинств производитель отмечает упрощенную систему настройки, основанную на Web-интерфейсе, развитые средства безопасности и управления.

В качестве точки доступа предлагается мультимедийная модель ZoneFlex 7942, отвечающая требованиям 802.11n с поддержкой MIMO. Важнейшей частью устройства является программно-управляемый антенный массив, состоящий из шести вертикально поляризованных и шести горизонтально поляризованных антенных элементов. С его помощью реализуется фирменная технология BeamFlex, которая обеспечивает высокую производительность, расширенное покрытие и поддержку мультимедийного трафика благодаря автоматической адаптации радиолучей. Эта технология позволяет исключить ручной процесс настройки радиозоны, который требует высокой квалификации персонала.

Компания Trapeze Networks считается одним из лидеров выпуска решений для организации беспроводных сетей. Она предлагает платформу Trapeze Smart Mobile, в состав которой входят пять моделей контроллеров WLAN и четыре вида точек доступа. Семейство контроллеров представлено моделями, обслуживающими от четырех (MXR-2) до 512 (MX-2800) точек доступа. Все контроллеры имеют схожую функциональность, включающую в себя поддержку расширенной идентификации пользователей, защиты сети, протоколов VoIP и механизмов QoS. Это оборудование ориентировано и на работу в сетях 802.11n, которые приходят на смену 802.11g. Предусмотрены автоматическая настройка радиозон каждой точки и динамический выбор рабочих частот.

Помимо функций управления беспроводной сетью контроллеры доступа Trapeze обеспечивают развитые сетевые возможности, включая firewall и механизмы обнаружения атак. Производитель особо подчеркивает возможность объединения контроллеров в кластерную и доменную структуры. Кластер может включать в себя до 64 контроллеров и управлять работой до 10 240 абонентов. В свою очередь, кластеры объединяются в так называемый «сетевой домен», емкость которого достигает почти 33 тыс. контроллеров.

Для подключения к контроллерам служат три модели «тонких» точек доступа, предназначенных для установки в помещениях, и одна модель в уличном исполнении. MP-371, МР-422А и МР-620А соответствуют стандартам 802.11a/b/g и работают в диапазонах 2,4/5 ГГц. Интересна точка доступа МР-432, которая разработана в соответствии с требованиями стандарта 802.11n и в полной мере поддерживает технологию MIMO. По заверениям производителя, агрегированная скорость составляет 600 Мбит/с, что равно теоретическому максимуму этого беспроводного стандарта.


Типичная схема построения распределенной сети WiFi

Таблица. Основные характеристики контроллеров WLAN