Беспроводные технологии / Сценарии проектирования и развертывания сети Wi-Fi (WLAN)

Необходимо сказать, что существует два больших направления разработки и использования архитектур Wi-Fi-решений:
1. автономная архитектура,
2. централизованная/управляемая архитектура.
Именно на основе данных архитектур создается основное количество проектов сетей Wi-Fi.В случае Автономной архитектуры решение представляет собой набор несвязанных точек доступа, каждая из которых конфигурируется и обслуживается независимо. Поэтому сложность обслуживания сети, построенной подобным образом, растет линейно, а порой и экспоненциально, с ростом количества устройств. Отсюда сети с автономной архитектурой, как правило, давно не проектируют большими, обычно это не более 3-5 устройств. Здесь существуют некоторые исключения, которые облегчают создание чуть более масштабных сетей, например, технология кластеризации точек доступа. Но это не полноценно управляемая архитектура в любом случае. Также в случае автономной архитектуры возникают огромные проблемы с реализацией системы безопасности беспроводной сети, т.к. почти невозможно выполнять корелляцию атаки с учетом всех Точек Доступа в зоне покрытия при отсутствии единого центра. Точки Доступа независимы и видят эфир каждая по своему, а для полноценной интерпретации события как атаки важен масштаб восприятия, понимания динамики атаки. Эта же явление наблюдается и при возникновении проблем с интерференцией, когда невозможно организовать совместное динамическое управление радиоресурсами (RRM-Radio Resource Management) в виду отсутствия единого центра сбора информации со всех ТД и соответствующего принятия решений. Стоит отметить, что известны случаи автономных сетей, состоящих из десятков ТД. Но гарантией эффективной работы такой инфраструктуры в нашей практике являлось наличие квалифицированных инженеров по WLAN в ИТ-службе, которые сами писали специальные скрипты для массового управления всеми Точками Доступа, контроля по SNMP и сбора статистики и т.п. В любом случае, это весьма нетривиальный подход, который еще и очень опасен в перспективе из-за проблем с обслуживанием подобного решения в случае ухода инженера-разработчика данного ПО.В случае Централизованной архитектуры полное управление инфраструктурой сети радиодоступа выполняется контроллером WLAN. Например, у Cisco подобная архитектура называется CUWN (Cisco Unified Wireless Network). Контроллер в централизованном решении управляет загрузкой/изменением ПО, изменениями конфигурации, RRM (динамическое управление радиоресурсами), управляет связью сети WLAN с внешними серверами (ААА, DHCP, LDAP и т.п.), управляет аутентификацией пользователей, управляет профилями качества обслуживания QoS, специальными функциями и т.п. Более того, контроллеры могут объединяться в группы для обеспечения бесшовного роуминга клиентов между различными точками доступа в зоне покрытия. Например, в решениях Cisco Systems можно объединить десятки контроллеров в один мобильный домен и, соответственно, до нескольких десятков тысяч точек доступа. Создание подобных мобильных доменов позволяет обеспечить бесшовные хендоверы (в терминах Wi-Fi — это роуминг) между точками доступа управляемых как одним контроллером, так и разными. Существуют эффективно работающие сети, количество точек доступа в которых приближается к 100.000. Подобных масштабов можно добиться только в управляемой архитектуре решения. Справедливости ради необходимо отметить, что централизованную архитектуру в своих решениях уже предлагают различные производители.Полезно знать, что большинство точек доступа у Cisco могут достаточно просто «перешиваться» из автономного режима в управляемый и наоборот (AP/Access PointLAP/Lightweight Access Point). Это может выполнить любой инженер с соответствующей квалификацией.
Естественно для Точек Доступа или маршрутизаторов с Wi-Fi необходимо ориентироваться на поддержку 802.11n.
На базе технологии Wi-Fi развертываются разнообразные решения, приведем несколько примеров по направлениям:
— Wi-Fi-доступ для дома
(с использованием небольших домашних маршрутизаторов с Wi-Fi, например Cisco Linksys, D-Link, Netgear и т.п.).
Чаще всего в квартире устанавливается один домашний маршрутизатор с Wi-Fi (обычно 2.4GHz, но лучше, если 2.4+5GHz), который подключается тем или иным проводным интерфейсом к сети провайдера и предоставляет беспроводный доступ домашним пользователям. Здесь имеет смысл обзавестись хотя бы простейшим программным обеспечением типа Wi-Fi Analizer под Android и проверить, на каких частотных каналах работают подобные устройства соседей. Часто большинство использует идентичные каналы или, что хуже, близкие и перекрывающиеся. Анализ спектра позволит настроить ваше устройство на не занятые каналы, либо каналы с наименьшим уровнем сигнала. И не забывайте включать WPA2 (обычно WPA2-Personal с PSK).
— SOHO/Small Office Home office — Wi-Fi-доступ для небольшого офиса
(используются небольшие роутеры с Wi-Fi, более производительные и многофункциональные, чем домашние роутеры, например, Cisco WAP, WET, AP, Cisco ISR с Wi-Fi модулями и ряд других схожих функционально устройств, а также Точки Доступа в Автономном режиме).
Здесь как раз чаще всего очень оправдано использование одного многофункционального, но производительного устройства. Зона покрытия мала, доступного места мало, но нагрузка уже может быть существенно выше, чем в квартире, и требования к стабильности несоизмеримы. Поэтому лучше всего выбрать специализированное устройство, спроектированное для данных задач.
— Небольшие корпоративные сети доступа Wi-Fi
(часть этажа, этаж, небольшое здание и т.п.).
Здесь очень хорошо могут применяться решения с централизованной архитектурой, но рассчитанные на небольшое количество Точек Доступа, редко данный уровень решения имеет более 10-20 ТД. Поэтому стоит подобрать небольшой современный контроллер (например, Cisco 2500, Aruba 3000) на базе отдельного устройства или как модуль в многофункциональный маршрутизатор (например, модуль SRE в маршутизатор Cisco ISR).
— Большие корпоративные сети доступа Wi-Fi
(университетские кампусы, корпоративные кампусы, офисные кампусы, заводские территории, порты и т.п.).
Для подобных задач централизованная архитектура с мощными и функциональными контроллерами — это единственно правильный подход. Можно использовать современные контроллеры (например Cisco 5508, Aruba A6000, PCM-сервер у HP ), развернутые в Датацентре сети. Если производитель предлагает решение на модулях для коммутаторов или маршрутизаторов (например, Cisco WiSM, WiSM2), то можно их использовать и на Границе сети (вспомним трехуровневую модель). Централизованная архитектура позволит обеспечить практически любой масштаб сети и эффективно управлять ею из единой точки с минимальной нагрузкой на ИТ-персонал.
— Так называемые «бранчи» (Branches) — Wi-Fi-доступ для маленьких удаленных офисов
(объединяет большое количество небольших удаленных офисов под централизованным управлением, например, широко используется в банковской сфере для связи штаб-квартиры с удаленными офисами; здесь чаще всего связь между удаленными офисами и центральной штаб-квартирой организуется по арендованным каналам у операторов связи, а иногда и через спутниковые каналы).
В данном случае ключевой проблемой является то, что в силу обычной практики минимизации затрат в бизнесе, коммуникационные каналы для связи с малыми офисами из штаб-квартиры редко бывают выделенными, широкими и надежными. Чаще всего подключение малых удаленных офисов выполняется путем «подключения к интернету» через ближайшего и дешевого провайдера, а о подписании контракта с SLA (Service Level Agreement) с этим провайдером никто и не задумывается (а провайдер, вероятно, даже не обеспечивает таких услуг). Доступ к корпоративной сети организуется через VPN. При таком подходе очень нередко возникает ситуация, когда канал в удаленном офисе подает или возникают перегрузки на сети провайдера или на стыке его сети с сетью провайдера, к которому подключена штаб-квартира, и связь со штаб-квартирой временно пропадает или становится очень нестабильной. В любом случае подобные проблемы не отменяют желания иметь беспроводную сеть в удаленном офисе, но если таких офисов много (как почти в каждом банке), то обслуживание их становится большой проблемой, так как держать ИТ-персонал в каждом офисе просто не рентабельно, а посылать инженера из центра при малейших проблемах с сетью долго и дорого.
Решение должно обеспечивать:
— централизованное управление всем конгломератом удаленных Wi-Fi сетей (в удаленных офисах) из центрального сайта. Причем это не должно зависеть от разных характеристик каналов « удаленный офис — штаб-квартира»; при этом должны быть возможности централизованного мониторинга, разрешения проблем и конфигурирования удаленных устройств.
— предоставление услуги Wi-Fi в удаленном офисе и при временном падении связи с центральным сайтом (с обязательной поддержкой аутентификации и возможностью входа/выхода Wi-Fi-клиентов),
— возможность как центральной коммутации пользовательского трафика (вывод трафика из удаленного сайта в центральный), так и локальной коммутации (в удаленном офисе).
Для этого необходимо специальное решение и оно есть, например, это специальные облачные контроллеры от Cisco серии 7500.— Внешние городские сети доступа Wi-Fi
(точки доступа располагаются на улице и предоставляют сервис круглогодично вне помещений, например, для городских служб, горожан и гостей города).
В данном случае наибольший интерес вызывают полносвязные сети Wi-Fi (Mesh), где услуга конечным пользователям предоставляется через один радиоинтерфейс Точки Доступа (обычно 2.4GHz), а через другой (обычно 5GHz) формируется транспортный радиоканал с соседними Точками Доступа. В Mesh-сетях обычно присутствуют два типа ТД: тип Mesh (MAP у Cisco) и Root (RAP у Cisco), где RAP соединяется с проводной сетью, а на MAP строится беспроводная часть сети. В сети Mesh формируются деревья с корнем в RAP, а деревья строятся посредством специализированных протоколов (IAPP у Cisco). Ветви деревьев, как правило, не должны превышать 8 хопов, но здесь все упирается в профили трафика на сети и услуги, а также в конструкцию ТД (если в 5GHz присутствует один радиомодуль, то на каждом хопе пропускная способность бекхола падает практически в два раза, а если есть два независимых радиомодуля 5GHz, то пропускная способность снижается минимально). Сама инфраструктура Mesh обычно управляется Контроллером WLAN. Очень хорошо, если программное обеспечение Контроллера WLAN может одновременно управлять и Точками Доступа в обычном режиме и ТД в Mesh-режиме, так как это позволяет гибко подходить к проектированию сети и связывать как внешние домены, так и внутренние для обеспечения бесшовной мобильности на сети.
Необходимо отметить, что подобные решения нередко применяются и для таких «уличных/внешних» проектов, как покрытие карьеров, заводских территорий, линий рельсового транспорта и т.п…
— Различные решения для специальных случаев (тем не менее, довольно широко распространено):
/ ангары, склады,
/ заводские цеха,
/ решения для железнодорожного транспорта (надземного и подземного — здесь подходы различны),
/ решения для авиационного транспорта,
/ решения для больших торговых центров,
/ решения для стадионов и больших демонстрационных или концертных залов (здесь характерна высокая плотность пользователей),
/ решения для больниц и госпиталей
и т.п.
Во всех этих случаях централизованная архитектура наиболее правильный выбор, а решение надо разрабатывать с учетом особенностей задачи.
Необходимо отметить, что для реализации Wi-Fi-решений в различных условиях окружениях разработаны и используются Точки Доступа трех основных типов конструкций:
1. ТД для использования внутри помещений / «офисный» вариант
(часто такие ТД характеризуются привлекательным внешним видом, интегрированными антеннами и относительно узким температурным диапазоном, например, 0- +40 грС),
2. ТД для использования внутри помещений / «ангарно-складской» вариант
(часто такие ТД имеют металлический корпус, возможность использования внешних антенн и более широкий температурный диапазон, например, -20 — +55 грС),
3. ТД для использования вне помещений, на улице / «уличный» вариант
(часто такие ТД характеризуются усиленным внешним корпусом, внешними, иногда интегрированными антеннами, влагозащищенностью корпуса и соединений, широким температурным диапазоном, например, -40 — +55 грС).
Надо также отметить, что существуют модели со специальными корпусами, предназначенными для очень тяжелых окружений, например, для опасной атмосферы, как на химических или нефтеперерабатывающих предприятиях и т.п. Также важно знать, что существует предложение специальных термочехлов, позволяющих использовать внутренние точки доступа вне помещений, а также взрывобезопасных кожухов для особо опасных зон, но здесь надо очень аккуратно и внимательно исследовать вопрос, прежде чем делать выводы.