Как мы строили свою WiFi-сеть. Построение беспроводной сети Wi-Fi с использованием тонких точек доступа

Беспроводные сети с каждым годом получают все большую популярность, однако многие администраторы сталкиваются с трудностями при построении подобных сетей. Действительно, технология Wi-Fi имеет свои особенности, которые следует учитывать еще на стадии планирования. Сегодня мы постараемся дать краткий ликбез, необходимый для успешного планирования и развертывания беспроводной сети.

Давайте прежде всего разберемся, что такое Wi-Fi, какие преимущества и недостатки имеет данная технология. Собственно термин Wi-Fi возник как игра слов и не имеет расшифровки, в настоящий момент он применяется для обозначения беспроводных сетей по стандарту IEEE 802.11, точнее группы стандартов. Наиболее распространены стандарт 802.11g предусматривающий работу на скорости до 54 Мб/с и 802.11n, теоретически допускающий работу на скоростях до 600 Мб/с, наиболее распространенные устройства стандарта n поддерживают скорости до 150 Мб/с.

В России для работы Wi-Fi устройств выделено 13 каналов в диапазоне 2,4 ГГц, без регистрации можно эксплуатировать сети только внутри помещений и производственных территорий, также с 15 июля 2010 года разрешено использование диапазона 5 ГГц, однако переход на него затруднен из-за необходимости обеспечивать совместимость с оборудованием не поддерживающим работу в этом диапазоне частот (а это практически все оборудование ввезенное, как минимум, до июля 2010 года). Поэтому в дальнейшем мы будем рассматривать работу в диапазоне 2,4 ГГц.

Сейчас мы подошли к очень важному моменту, понимание которого необходимо для грамотного планирования и развертывания сетей. Для передачи данных Wi-Fi использует некий частотный канал, шаг сетки каналов составляет 5 МГц, а ширина канала - 20 МГц. Это значит, что работающее на соседних каналах устройства будут оказывать взаимные помехи друг другу. Для лучшего понимания ситуации ниже приведено схематическое изображение распределения каналов в диапазоне 2,4 ГГц.

Как можно заметить, в диапазоне есть только три независимых канала, которые могут работать без взаимных помех, например 1, 6 и 11. В диапазоне 5 ГГц дела обстоят лучше, можно использовать 22 независимых канала, однако, как мы уже говорили, развертыванию сетей в этом диапазоне препятствуют проблемы совместимости. Стандарт 802.11n допускает использование широких каналов (шириной 40 МГц), которые используют полосу двух смежных непересекающихся каналов, например 1+5 или 5+9, таким образом можно организовать работу только двух, условно независимых каналов.

Почему мы уделяем этому так много внимания? Потому что данные факторы напрямую влияют на скорость работы беспроводного канала. Следует помнить, что полоса пропускания канала используется для передачи данных в обоих направлениях, в том числе служебной информации, также скорость сильно зависит от расстояния между точками и наличия помех. Максимально достижимая скорость на практике обычно не превышает половины доступной скорости канала, для 802.11g это значение редко превышает 20-22 Мб/с. Доступная полоса канала делится между использующими ее устройствами, что тоже следует учитывать при планировании сети и расчете ее пропускной способности.

Все это серьезно осложняет построение производительных Wi-Fi сетей, особенно при наличии соседних сетей, поэтому стоит использовать беспроводные сети в основном для доступа в интернет, электронной почте, терминальным службам и т.п. сервисам, не требующих высокой пропускной способности сети. Категорически не рекомендуем использовать беспроводное подключение для требовательных к скорости канала узлов сети.

Перед тем как приступить к планированию не помешает произвести разведку обстановки в эфире. Для этих целей можно использовать бесплатную программу inSSIDer , ниже показана ситуация в диапазоне 2,4 ГГц в обычном многоэтажном жилом доме.

Программа позволяет видеть, что по соседству работает большое количество устройств стандарта 802.11n, использующих широкий канал. В тоже время реальные помехи нашей сети способен создать передатчик стандарта 802.11g, работающий на канале 11. Располагая подобной информацией можно выбрать наименее загруженные участки диапазона для использования в своей сети. Однако не все так радужно, большинство оборудования "из коробки" настроено на автоматический выбор канала, поэтому через некоторое время ситуация может измениться.

Для построения беспроводной сети нам потребуется, как минимум, одна точка доступа. Если вы разворачиваете сеть масштаба предприятия или планируете в дальнейшем расширять область покрытия, то мы рекомендуем применять именно точки доступа, отказавшись от беспроводных маршрутизаторов и прочих комбинированных устройств. Дело в том, что стандарт не описывает взаимодействие между точками доступа и разные производители используют разные технологии, что делает их несовместимыми с оборудованием других производителей или даже собственным оборудованием других типов. Поэтому мы советуем использовать оборудование одного производителя и желательно одной модели, в противном случае необходимо дополнительно уточнять возможность совместной работы в интересующем режиме.

Первая и единственная точка доступа должна работать в одноименном режиме (Acceess Point), в этом случае устройство обслуживает клиентские подключения, но не устанавливает соединений с другими точками доступа. Отличительной чертой любой беспроводной сети является ее идентификатор SSID, уникальный для каждой сети, в пределах одной сети все устройства должны иметь одинаковый идентификатор, в тоже время несколько SSID позволяют разбить сеть на подсети, например с разным уровнем безопасности.

Дома или в малом офисе одной точки доступа обычно достаточно и большинство перечисленных нами проблем вряд ли окажутся актуальными, другое дело сети с относительно большой площадью покрытия, когда мощности одного устройства недостаточно. Здесь можно пойти двумя путями: использовать антенну с более высоким коэффициентом усиления или развертывать инфраструктуру используя несколько точек доступа. Первый путь при всей своей простоте таит ряд опасностей, ваша сеть может оказаться доступной за пределами здания (территории) и может создавать помехи соседним сетям, в этом случае не избежать проблем с контролирующими органами. Также это не всегда приемлемо с точки зрения безопасности.

Что-же делать когда одной точки доступа недостаточно? Поставить вторую. Ниже мы рассмотрим какими способами это можно сделать, их достоинства и недостатки.

Если вам нужна сеть с высокой пропускной способностью и в местах расположения точек доступа есть проводная сеть, то дополнительные точки также стоит включать в режиме "точки доступа" (Acceess Point), в этом режиме каждая точка доступа обеспечивает в зоне своего покрытия полную скорость канала, не разделяя его с другими точками.

Обе точки должны иметь одинаковый SSID и одинаковые параметры шифрования, но должны работать на разных каналах, лучше всего на независимых. Взаимное расположение точек следует подобрать таким образом, чтобы зоны покрытия пересекались без существенного ослабления сигнала. Клиентские устройства принимают решение о подключении к той или иной точке доступа автоматически, на основании уровня сигнала. Таким образом мобильные пользователи могут свободно перемещаться по все зоне покрытия без обрыва связи. Если необходимо использовать более 3 точек, то необходимо чередовать независимые каналы таким образом, чтобы зоны их покрытия не пересекались.

Данная схема оптимальна, когда требуется развернуть беспроводную сеть поверх проводной, например гостевой интернет для клиентов фирмы или в кафе. Однако ее реализация сопряжена с наибольшими сложностями, так как требуется использовать несколько независимых каналов, что может быть не всегда возможно.

Бывают ситуации когда надо расширить зону покрытия на площадь не имеющую проводных коммуникаций, что делает невозможным применение первой схемы, в таком случае дополнительную точку доступа можно сконфигурировать как повторитель (Repeater), которая будет ретранслировать сигнал основной точки доступа.

Обе точки должны иметь одинаковый SSID, одинаковые параметры шифрования и работать на одном канале, в настройках повторителя нужно указать MAC адрес точки доступа или другого повторителя, сигнал которого нужно ретранслировать. При этом повторитель должен находиться в зоне уверенного приема другого устройства, что несколько снижает общую площадь покрытия. Следует также помнить, что канал делится на все устройства в общей зоне покрытия. При использовании повторителей скорость работы каждого следующего звена падает, так как канал делится на передачу одной и той-же информации между участками сети (устройство-повторитель и повторитель-точка доступа). Т.е. если клиентское устройство, работающее через повторитель будет использовать канал на 1 Мб/с, общая загрузка канала составит 2 Мб/с, при использовании двух повторителей 3 Мб/с и т.д.

Существует еще один режим точки доступа - беспроводной мост, он может быть типов Point-to-point или Point-to-Multipoint, в этом случае точки доступа устанавливают соединение между собой. В режиме Point-to-point можно соединить только две точки доступа, в режиме Point-to-Multipoint одна точка может устанавливать соединение с несколькими. Данный режим обычно используют для связи двух участков сети, когда проложить кабель между ними невозможно или нецелесообразно, и не предъявляется особых требований к пропускной способности. Например для подключения тонких клиентов в отдельно стоящем складе на территории фирмы. В этом случае целесообразно использовать направленные антенны, чтобы уменьшить зону покрытия и не создавать помех другим сетям.

Каждая точка должна иметь одинаковый SSID, канал и параметры шифрования, в настройках потребуется указать MAC адрес точки, с которой нужно установить соединение. В этом режиме точки доступа не обслуживают беспроводных клиентов. Использование беспроводного моста имеет свои особенности, так как точки принимают передают пакеты только друг другу, то обнаружить работающий мост клиентским устройством невозможно, inSSIDer также покажет чистый диапазон. В то-же время сети использующие смежные каналы могут испытывать сильные помехи в зоне покрытия моста. Поэтому используйте данную схему только внутри своих помещений или территорий, не допуская пересечения иных зон, где могут быть развернуты другие беспроводные сети, также всегда старайтесь использовать направленные антенны с минимально необходимым коэффициентом усиления.

Ну и напоследок самое вкусное, режим WDS, он сочетает режим точки доступа и моста, в данном режиме точки могут устанавливать соединения друг с другом и одновременно обслуживать клиентов. Данный режим позволяет создавать самые разнообразные конфигурации беспроводных сетей абсолютно прозрачных для клиентских устройств, точка может работать как в режиме мост, так и в режиме мост+точка доступа, что позволяет, в отличии от цепочки повторителей, обеспечить беспроводное покрытие только там, где вам надо. Например вам нужно пробросить гостевой интернет в другой корпус, но вы совсем не хотите, чтобы он был доступен на стоянке, где придется расположить промежуточную точку.

В этом случае также следует использовать один канал, SSID и настройки шифрования для всех точек, а также помнить что с каждым звеном скорость работы будет падать за счет передачи повторяющихся данных в общей полосе. Также стоит избегать кольцевых схем соединения точек, если они не поддерживают Spanning Tree Protocol, так как скорость работы сети резко упадет из за широковещательного шторма. При настройке точек следует указать режим и MAC адреса точек с которыми надо установить соединение.

В заключение хочется дать общие рекомендации: при проектировании и развертывании сетей помните о том, что частотный диапазон выделенный для Wi-Fi весьма тесен, поэтому старайтесь не использовать антенн с коэффициентом усиления больше чем необходимо, а также примите меры для недопущения помех соседним сетям. Помните нарушение правил эксплуатации беспроводных сетей влечет административную ответственность по статьям 13.3 и 13.4 КоАП, предусматривающие штраф с возможной конфискацией оборудования.

• Теги:

В нынешнем обзоре будут представлены продукты, используемые для построения сетей Wi-Fi на базе "тонких" точек доступа . Такой вариант развертывания корпоративных и операторских сетей основан на протоколе CAPWAP (Control And Provisioning of Wireless Access Points Protocol, протокол управления и инициализации беспроводных точек доступа) , разработанный организацией IETF. Идея этого подхода достаточно тривиальна - разделить беспроводную сеть на два уровня, уровень управления и уровень подключения.
Уровень управления, реализуемый на основе специализированных контроллеров доступа AC (Access Controller) , включает в себя весь функционал беспроводной сети. Это управление доступом с аутентификацией и авторизацией пользователей, генерация и хранение ключей шифрования, роуминг абонентов и их переключение на менее загруженные точки доступа, оптимизация использования радиоканалов и многое другое.
Уровень подключения организуется на основе использования достаточно простых и дешевых точек доступа WTP (Wireless Termination Point), чьи задачи сводятся к поддержке шифрования данных в радиоканале и взаимодействию с контроллером доступа по протоколу CAPWAP. Обычно для подключения "тонких" точек доступа используются проводные линии. Довольно распространенным стало решение на основе сетей Ethernet с технологий PoE электропитания точек доступа.
Такой вариант построения беспроводной сети имеет свои неоспоримые преимущества. Во-первых, снижение расходов при развертывании сети, покрывающей большую территорию или имеющей большое число точек доступа. Несмотря на достаточно высокую цену контроллера доступа, экономия на стоимости точек доступа оказывается существенной. Во-вторых, снижение эксплуатационных расходов за счет централизации управления всей сетью. Это позволяет автоматизировать рутинные процессы по обновлению программного обеспечения и настроек всех точек доступа. В-третьих, обеспечивается высокий уровень безопасности сети. На "тонких" точках доступа не хранится конфиденциальная информация, утрата которой могла бы повлиять на безопасность сети в целом. Так же существенно проще организовать управление политиками безопасности для разных категорий абонентов и самих точек доступа.
Однако, беспроводным сетям на основе "тонких" точек доступа свойственны свои недостатки. Наибольшую проблему может представлять отказ контроллера доступа. Причем, это не только выход из строя самого оборудования, но и потеря связанности с ним для всех или части точек доступа. Поэтому в сети необходимо предусматривать резервирование контроллера, что в свою очередь сказывается на стоимости проекта.

Построение беспроводной сети

Как уже отмечалось, наиболее часто решение с использованием "тонких" точек доступа применяется для создания масштабных беспроводных сетей. Рассмотрим вариант построения сети W-Fi, насчитывающей десятки и сотни хот-спотов.

На рисунке показана сеть, которую вряд ли стоит рекомендовать для практического воплощения, но она вполне позволяет описать принципы работы данного подхода.
Как видно из рисунка, беспроводная сеть является наложенной сетью, что позволяет заметно сэкономить на развертывании базовой инфраструктуры. Для подключения точек доступа может быть использована сеть доступа, построенная по любой технологии. Ведь "тонкую" точку доступа можно рассматривать как обычное сетевое устройство со своим IP-адресом. По большому счету, подключение точек доступа может происходить с использованием публичной глобальной сети. Этот вариант подключения не является эффективным, но может оказаться полезным для быстрого развертывания временного хот-спота.
Ядром беспроводной сети является контроллер беспроводного доступа, от производительности и характеристик которого зависит в целом показатели работы сети. Сервер RADIUS обеспечивает решение вопросов идентификации и авторизации пользователей, а так же при необходимости сопряжения с биллинговой системой.
При установлении абонентом связи с точкой доступа, в радиусе действия которой он находится, решение о предоставлении услуг принимается контроллером центрального офиса. Для этого по протоколу DHCP оконечному устройству присваивается временный IP-адрес и абонент получает возможность ввести свои учетные данные. Эти данные поступают на RADIUS-сервер, который определяет доступные ресурсы, права и полномочия этого пользователя. На основании этих данных контроллер доступа выделяет установленному соединению необходимые ресурсы и отслеживает его состояние.
Такой алгоритм работы увеличивает объем служебного сетевого трафика, но в настоящее время, при высокой пропускной способности линий доступа, этот недостаток вряд ли стоит учитывать при планировании сети.

Производители оборудования беспроводных сетей и их продукция

Одной из наиболее авторитетных компаний, представляющих решения для беспроводных сетей, является Aruba Networks . В ее портфеле насчитывается семь моделей контроллеров, ориентированных на использование в сетях различного масштаба. Старшая модель Aruba 6000 Multi-Service Controller относится к оборудованию операторского класса и может управлять работой более 8 тыс. точек доступа, обслуживая при этом свыше 32 тыс. пользователей одновременно. Данная модель включает в себя функции VPN и firewall, обладающие производительностью, соответственно, 32 и 80 Гбит/с. Так же к категории мультисервисных контроллеров относится серия Aruba 3000 , включающая в себя три модели, различающиеся числом управляемых точек доступа, обслуживаемых абонентов и производительностью VPN и firewall. Эти модели в большей степени подходят для создания корпоративных беспроводных сетей. Для совсем небольших сетей, в которых предполагается установка от 6 до 48 точек доступа можно рекомендовать модели Aruba 2400, Aruba 800 и Aruba 200 . Все модели контроллеров Aruba ориентированы на поддержку мобильной VoIP связи. Это обеспечивается функциями Call Admission Control, RF management и QoS.
Для подключения точек доступа компания Aruba рекомендует применять одну из трех моделей специализированного концентратора доступа, который разработан для обеспечения безопасности передачи трафика через IP-сеть с использованием туннельных технологий. Модели концентраторов отличаются производительностью по пропускной способности.
Для работы совместно с любым из контроллеров производитель предлагает широкий выбор точек доступа. Среди этих точек доступа стоит отметь четыре модели AP-120, AP-121, AP-124 и AP-125, поддерживающие технологию MIMO (Multiply Input Multiply Output) и, по заверениям вендора, обеспечивающие скорость подключения по радиоканалу до 300 Мбит/с. Эти и все остальные модели точек доступа Aruba могут работать в диапазонах 2,4 ГГц и 5 ГГц. Для использования вне помещений производитель рекомендует три модели - AP-85TX, AP-85FX и AP-85LX. Для подключения первой модели используется интерфейс 10/100Base-T с технологией PoE. Две остальные модели подключаются к сети с помощью оптических интерфейсов и могут быть отнесены на расстояние до 2 и 10 км, соответственно.

Компания Bluesocket , основанная в 1999 г., специализируется на разработке решений для беспроводных сетей и предлагает широкий спектр продуктов для их построения. В том числе в каталоге продукции компании можно найти линейку из шести моделей масштабируемых контроллеров беспроводной сети BlueSecure (BlueSecureController — BSC) . Все эти модели имеют одинаковые возможности по управлению точками доступа и обеспечению безопасности сети. Модели между собой отличаются только производительностью. Младшая модель BlueSecure 600 поддерживает до 8 точек доступа и способна обеспечить одновременную работу 64 пользователей. Старшая модель BlueSecure 7200 может быть основой для построения масштабной беспроводной сети, насчитывающей порядка 300 точек доступа и 8 тыс. одновременно работающих клиентов. Во все модели BlueSecure встроена функциональность firewall и обнаружение вторжений и вредоносных программ путем мониторинга в режиме реального времени. Так же производитель отмечает наличие в контроллерах фирменной технологии роуминга Secure Mobility, которая позволяет пользователям не прерывать их сессии во время перемещения между точками доступа даже в случае временного выхода из радиозоны. Контроллерами поддерживается подключение точек доступа через уровень маршрутизации, что упрощает использование Интернет в качестве сети доступа.
По заверениям производителя, его контроллеры могут работать с точками доступа большинства из известных вендоров, но для обеспечения доступа к полному набору функций контроля и управления сети рекомендуется применять точки доступа BlueSocket. В настоящее время предлагается три модели точек доступа BlueSecure Access Point , поддерживающие стандарты 802.11 a/b/g. Модели с индексом 1500 и 1540 имеют по две встроенных всенаправленных антенны, вторая модель может так же использовать внешние антенны.
Точка доступа с индексом 1800 выполнена в полном соответствии со стандартом 802.11n draft 2.0 и поддерживает технологию MIMO. Эта точка доступа имеет два радиоинтерфейса со встроенным антенным массивом, возможность подключения внешних антенн и порт Gigabit Ethernet с технологией PoE. Все точки доступа могут работать с технологией 802.11e для приоритезации мультимедийного трафика в беспроводной сети.

Компания Brocade , один из ведущих поставщиков решений для дата-центров, в конце прошлого года приобрела хорошо известного производителя сетевого оборудования Foundry Networks . Среди продуктов этой компании есть устройства для построения беспроводных сетей, которые на российском рынке будут предлагаться уже под брендом Brocade.
В комплект оборудования для создания "тонкой" беспроводной сети входит четыре вида контроллеров, различающихся числом поддерживаемых точек доступа и производительностью. Если самая младшая модель MC500 может обслуживать до пяти точек, то старшая модель этого семейства MC5000 способна работать с 1000 "тонкими" точками доступа. В качестве последних компания предлагает две модели АР208 и АР201, отличающиеся числом поддиапазонов. Оборудование поддерживает технологию автоматической настройки радиозон.
По заверениям вендора, решение на основе данного оборудования способна обслуживать до 100 активных пользователей на точку доступа. Кроме того, данное оборудование ориентировано на поддержку телефонной связи по технологии VoIP. Благодаря развитым механизмам QoS удается поддерживать до 30 одновременных голосовых каналов связи на каждой точке доступа. Так же контроллеры обеспечивают роуминг голосовых вызовов между точками без задержки и потерь пакетов. Решение способно автоматически определять протоколы VoIP (SIP, H.323, Cisco SCCP, SpectraLink SVP и Vocera), подстраивая под них механизмы приоритезации.
Контроллер МС5000 дополнительно обладает функциональностью firewall, обеспечивая в данном режиме работу более 10 тыс. одновременных сессий.

Корпорация Cisco предлагает широкий выбор решений для построения беспроводных сетей. Критериям данного обзора соответствует подход компании, который получил название Unified Wireless solution . В соответствии с этой концепцией сеть строится на основе четырех компонентов: точек доступа, сети агрегации, сети управления и мобильных сервисов.
Точки доступа сегментируются исходя из решаемых задач и варианта исполнения. Компания выделяет модели для размещения внутри отапливаемых, например, Cisco AP 1140G, 1130G, 521G , и неотапливаемых помещений, например, Cisco AP 1240G, 1252AG , а так же уличного исполнения, например, Cisco AP 1310, 1410 . Точки доступа Cisco могут работать как в режиме управления от центрального контроллера, так и самостоятельно в качестве "толстого" клиента. Данный вариант несомненно удорожает решение, но позволяет существенно повысить надежность работы беспроводной сети.
Сеть агрегации представлена контроллерами беспроводного доступа, которые обеспечивают централизованные политики безопасности, качества обслуживания, а так же предоставляют средства для управления радиоресурсами и обеспечения мобильности. Для централизованного управления точками доступа и передачи трафика данных применяется фирменный протокол LWAPP (Lightweight Access Point Protocol). В портфеле Cisco насчитывается большое число моделей контроллеров, которые способны обслуживать от 1-2 до 300 точек доступа. Например, Cisco 2106, поддерживающий от 6 до 25 точек доступа, и Cisco WiSM (модуль для Catalyst 6500 и Cisco 7600), способный управлять до 300 точек.
Для согласования работы контроллеров служит централизованная система управления WCS (Wireless Control System). Это программное обеспечение использует протокол SNMP для получения и передачи данных управления на контроллер. Предоставление мобильных сервисов осуществляется с помощью продукта MSE (Mobility Services Engine), который позволяет определение местоположение и историю перемещений мобильных абонентов и «неавторизованных» устройств. Данный продукт имеет интерфейс для взаимодействия с WCS и приложениями третьих компаний-разработчиков приложений, а также поддерживает протокол SNMP.

Линейка оборудования ProCurve, компании HP , включает в себя контроллеры и точек доступа для создания беспроводной сети. В отличие от других производителей, компания НР в качестве контроллеров WLAN предлагает специализированные модули, устанавливаемые в сетевые коммутаторы ProCurve. Для этого выпускается два типа модулей и два типа дополнительных модулей, используемых для резервирования. В качестве точек доступа могут быть применены три модели радиопортов.
Модуль Wireless Edge Services zl обеспечивает централизованное управление беспроводной сетью, политику безопасности сети и разнообразные сетевых услуг. Для резервирования работы этого модуля применяется Redundant Wireless Services zl , который автоматически принимает управление радиопортами ProCurve в случае недоступности или неисправности Wireless Edge Services zl.
Модуль Wireless Edge Services xl ориентирован на интеграцию систем управления WLAN и политики обслуживания пользователей на основе ролей для развертывания и централизованного управления сетью с множеством услуг. Для резервирования работы этого модуля применяется Redundant Wireless Services xl .
Радиопорты ProCurve 210, 220 и 230 отличаются поддиапазонами работы и конструктивным исполнением.

Компания NETGEAR предлагает решение для построения беспроводной сети для малого и среднего предприятия. Это решение включает полнофункциональный контроллер ProSafe Smart WFS709TP , который может управлять до 16 точек доступа и обслуживать до 256 абонентов. Для увеличения числа точек контроллеры могут объединяться по иерархическому принципу, обеспечивая работу максимально 48 точек доступа. Одной из отличительных черт контроллера ProSafe Smart является управление беспроводным покрытием с помощью функций автоматического конфигурированием всех параметров радиоканала, включая мощность сигнала, балансировка нагрузки и устранение наложения.
Так же данный контроллер способен предоставлять с надлежащим качеством сервис, чувствительный к задержкам. В первую очередь это голосовая связь с использованием протоколов VoIP. Для ProSafe Smart имеет функции Call Admission Control, быстрого роуминга с поддержкой голоса и управления QoS.
Для работы с контроллером производитель предлагает две модели точек доступа - WAGL102 и WGL102 . Первая из них способна работать в частотных диапазонах 2,4 ГГц и 5 ГГц по протоколам 802.11g и 802.11а. Другая модель ориентирована на работу по стандарту 802.11g в диапазоне 2,4 ГГц.

Решение компании Ruckus Wireless в большей степени ориентировано на малый и средний бизнес, в котором востребованы типовые сетевые приложения и нет особой нужды в сложных и нестандартных настройках работы беспроводной сети. Для работы с оборудованием этого производителя не надо быть экспертом в области WiFi и информационных технологий.
Основу решения Ruckus Wireless составляет контроллер беспроводной сети ZoneDirector 1000 , который способен управлять 25 точками доступа ZoneFlex и поддерживать одновременную работу до 1250 пользователей. Среди достоинств контроллера производитель отмечает упрощенную систему настройки, основанную на веб-интерфейсе, а так же развитые средства безопасности и управления.
В качестве точки доступа вендор предлагает мультимедийную модель ZoneFlex 7942 , которая основана на стандарте 802.11n с поддержкой технологии MIMO. Важнейшей частью этой точки доступа является программно-управляемый антенный массив состоящий из шести вертикально поляризованных и шести горизонтально поляризованных антенных элементов с высоким коэффициентом усиления. С его помощью реализуется фирменная технология BeamFlex, которая обеспечивает высокую производительность, расширенное покрытие и поддержку передачи мультимедийного трафика благодаря автоматической адаптации радиолучей. Эта технология позволяет исключить процесс настройки радиозоны точки доступа, который требует высокой квалификации.

Компания Trapeze Networks считается одним из лидеров в части решений для организации беспроводных сетей. Для этого компания предлагает платформу, получившую название Trapeze Smart Mobile . В состав данной платформы входит пять моделей контроллеров WLAN и четыре вида точек доступа.
Семейство контроллеров представлено моделями, обслуживающими от четырех (контроллер беспроводной сети MXR-2 ) до 512 точек доступа (контроллер беспроводной сети MX-2800 ). Все контроллеры обладают схожей функциональностью, включающей поддержку расширенных возможностей по идентификации пользователей, безопасности сети, поддержку протоколов VoIP и механизмов QoS. В контроллеры встроена возможность работы с протоколом IEEE 802.11n, который идет на смену 802.11g и обладает заметно лучшими характеристиками по скорости передачи и дальности действия. Предусмотрена автоматическая настройка радиозон каждой точки и динамический выбор рабочих частот.
Помимо управления беспроводной сетью контроллеры компании Trapeze имеют развитые сетевые возможности, включая firewall и систему обнаружение вторжений и вредоносных программ. Производитель особо подчеркивает возможность объединения контроллеров WLAN в кластерную и доменную структуры. Кластер может включать до 64 контроллеров и управлять до 10240 абонентов. Так же кластеры могут объединяться в так называемый сетевой домен, который способен поддерживать работы почти 33 тыс. контроллеров.
Для работы совместно с контроллерами вендор предлагает три модели "тонких" точек доступа для размещения в помещениях и одну модель для улицы. Модели MP-371, МР-422А и МР-620А представляют собой варианты точек доступа стандартов 802.11 a/b/g, работающих в диапазонах 2,4 ГГц и 5 ГГц. Больший интерес представляет точка доступа МР-432 , которая разработана в соответствии с требованиями стандарта 802.11 n и в полной мере поддерживает технологию MIMO. По заверениям производителя агрегированная скорость составляет 600 Мбит/с, что соответствует теоретическому максимуму для данного стандарта.

Как видно из данного обзора, решение для построения беспроводной сети с использованием "тонких" точек доступа становится весьма популярным. Все ведущие производители предлагают свои варианты построения сетей различного масштаба.

Контроллеры WLAN

WiFi -сеть имеет множеством неоспоримых преимуществ в сравнении с традиционной проводной: быстрота и дешевизна развертывания, легкость подключения новых клиентов, мобильность клиентских ПК в пределах офиса и др. В то же время построение беспроводных сетей содержит много тонкостей, связанных с условиями приема и передачи радиосигнала, выбором архитектуры и обеспечением безопасности.

Несмотря на функциональную схожесть беспроводного и проводного оборудования, различие в их установке, монтаже и настройке немалое. Причина заключается в свойствах физических сред, используемых для передачи данных. Оборудование WiFi -сетей работает в диапазоне 2,4-2,5 и 5 ГГц. Распределение волн в этом диапазоне отличается рядом особенностей. Поскольку радиоэфир более чувствителен к различного рода помехам, то наличие перегородок, стен, железобетонных перекрытий и различных радиоизлучающих приборов оказывает влияние на скорость передачи данных.

Проблема качества сигнала не решается простым увеличением мощности точек доступа. Подобный подход может даже привести к его ухудшению, так как создает множество помех в том диапазоне частот, который используют и другие точки доступа. Дело в том, что технология IEEE 802.11 предоставляют разделяемую среду, в которой в определенный момент времени лишь одна из точек доступа может вести передачу данных. Кроме того, поскольку точки доступа обычно комплектуются всенаправленными антеннами, достаточно тяжело обеспечить одинаково качественное покрытие сигналом всего офиса.

Архитектура: распределенная или централизованная?

При построении беспроводной сети используются два типа сети: распределенная (distributed access point architecture) и централизованная. В первом случае для развертывания сети достаточно установить точки доступа, поскольку стандарт 802.11 изначально объединяет в одном устройстве функциональность сетевого контроллера и радиотрансиверов. Основной недостаток такой сети — отсутствие единого управляющего компонента. Применение такой технологии зачастую сильно ограничено.

Схема построения распределенной сети

Во втором случае, беспроводная сеть поделена на два уровня: уровень управления и уровень подключения. Уровень управления реализуется на основе специализированных контроллеров доступа (Access Controller, AC), которые управляют доступом с аутентификацией и авторизацией пользователей, генерацией и хранением ключей шифрования, роумингом абонентов, их переключение на менее загруженные точки доступа, оптимизацией использования радиоканалов и т. д.

Очевидно, что контроллер доступа является критически важным элементом и его отказ приводит к нарушению работы всей сети. Поэтому в сети необходимо предусмотреть резервирование контроллера, что удорожает проект в целом.

Уровень подключения организуется на базе недорогх точек доступа WTP (Wireless Termination Point), задача которых состоит в шифровании данных в радиоканале и взаимодействии с контроллером доступа. Для подключения «тонких» точек доступа часто используются проводные линии, в том числе сети Ethernet с с поддержкой технологии питания PoE ( Power - over - Ethernet ).

Централизация управления всей сетью позволяет снизить эксплуатационные расходы, автоматизировать рутинные процессы по обновлению программного обеспечения и настроек точек доступа. Кроме того, обеспечивается высокий уровень безопасности сети, поскольку на точках доступа не хранится какая-либо важная конфиденциальная информация. Еще одно существенное преимущество сети с централизованной архитектурой заключается в том, что при переходе от одной точки доступа к другой пользователь не теряет соединения с сетью, и ему не приходится проходить аутентификацию заново.

Поскольку многие точки доступа поддерживают режим питания PoE, центральный коммутатор способен не только обеспечить для них питание, но и обнаруживать сбойные участки сети. Более того, центральный коммутатор может эффективно распределять загрузку каналов, выделяя более высокую пропускную способность сегментам сети, насчитывающих в данный момент большее количество пользователей.

Решение проблемы формирования луча

Стандартная точка доступа передает сигнал во все стороны с равной силой , лучи расходятся по помещению равномерно. Антенны направленного действия фокусируют сигнал, в результате он при равной мощности способен преодолеть существенно большие расстояния, чем при использовании ненаправленных антенн. Однако направленные антенны имеют смысл только в том случае, если клиентский ПК находится в одном месте. Ведь если цель выйдет за пределы зоны приема, то сразу потеряет сигнал

Чтобы решить эту проблему, используются системы формирования луча, именуемые массивами Wi-Fi. Они объединяют в одном корпусе множество (от 6 до 24) разнонаправленных небольших антенн. Далее посредством программного обеспечения в реальном времени определяется то сочетание антенн, при котором принимаемый сигнал достигает наивысшего качества. При перемещении клиентского ПК или другом изменении ситуации производится динамичная перестройка. Такая технология Beam Forming предоставляет сразу два преимущества. Во-первых, фокусирование сигнала существенно увеличивает дальность действия по сравнению с обычной круговой антенной. Кроме того, направленная передача сигналов позволяет устранить интерференции между ячейками беспроводной сети, что позитивно сказывается на пропускной способности.

Применение массивов Wi-Fi целесообразно практически в любой среде, но особо его плюсы проявляются там, где клиенты часто перемещаются. В качестве примера можно привести фирменную технологию от компании Ruckus Wireless , которая оптимизирована для применения в аэропортах. Из-за разнообразия используемых электронных устройств в этих средах возникает особенно много интерференций, в то время как с помощью Beamflex можно создавать очень надежные и производительные сети.

Расширение покрытия сети с помощью технологии Beamflex.

Решения Ruckus Wireless

Система Wi-Fi от предназначена для организации централизованной и распределенной инфраструктуры Wi-Fi различного масштаба: от среднего и малого бизнеса до городскихсетей большой емкости. За счет продвинутых решений в области антенных систем и алгоритмов обработки сигнала, точки доступаRuckus Wirelessобеспечивают значительный выигрыш в производительности, а также расширенную зону радиопокрытия по сравнению с традиционными устройствами Wi-Fi.

Система Ruckus Wireless включает в себя две серии устройств:

· предназначены для построения централизованных и распределенных (с независимыми зонами обслуживания — BSS/ESS) сетей различного масштаба и топологии, в том числе, MESH;

· MediaFlex служат для построения малых распределенных сетей уровня предприятия или домашних сетей. Программное обеспечение устройств серииMediaFlexоптимизировано для передачи видеопотоков MPEG-4.

Решения для централизованной инфраструктуры Ruckus Wireless состоят из следующих компонентов:

· ZoneFlex - точки доступа стандарта IEEE 802.11a/b/g/n, обеспечивающие саму инфраструктуру WI-FI.

· - контроллер точек доступа, реализующий централизованное управление инфраструктурой сети, бесшовный роуминг для мобильных абонентов и автоматическую балансировку трафика между точками доступа. Кроме того, это устройство обеспечивает автоматическую оптимизацию зоны радиопокрытия и подавление интерференционных помех, а также авторизацию абонентов и сценарии доступа абонентов в сеть.

· FlexMaste r - сервер управления сетью.

Важное значение при работе с оборудованием Ruckus Wireless играет его простота и доступность. Для работы с продуктами этого производителя не надо быть экспертом в области WiFi и информационных технологий.

Публикации по теме

29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
28 февраля 2014 Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
28 января 2014 По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
30 декабря 2013 Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.

WiFi является промышленным названием технологии беспроводной передачи данных и относится к группе стандартов IEEE 802.11 . Сейчас реализовано и используется 4 основные стандарты для Wi-Fi сетей , это: 802.11a, 802.11b, 802.11g и 802.11n , который недавно вышел из статуса чернового варианта Draft. Развитием и сертификацией Wi-Fi оборудования занимается международная организация WECA (Wireless Ethernet Compatibility Alliance или сокращенно Wi-Fi Alliance) основанная в 1999 году. Объединяет наиболее крупных производителей компьютерного оборудования и беспроводных устройств Wi-Fi , на сегодняшний день насчитывающее более 320 предприятий, среди которых: Cisco, 3Com, Nokia и т.д. Задачей альянса является тестирование и реализация возможности совместного функционирования внутри одной локальной сети беспроводных сетевых устройств производителей, состоящих в этой организации, а также внедрение и развитие сетей 802.11 как всемирного стандарта для беспроводных сетей.

1 раз в полгода альянс устраивает «анализ совместимости», на этом мероприятии инженеры фирм-производителей удостоверяют, что их сетевые устройства способны на должном уровне взаимодействовать с устройствами других фирм-участников альянса. Сетевое оборудование, несущее на себе логотип Wi-Fi, сертифицировано как отвечающее стандартам и успешно прошедшее тесты на совместимость.

Наиболее распространенными в Украине на данный момент являются стандарты 802.11b и 802.11g, всю большую популярность набирает стандарт 802.11n, как наиболее перспективный, обладающей лучшими скоростными характеристиками передачи данных и увеличенным радиусом действия беспроводной сети. Устройства, построенные на основе этих стандартов, полностью совместимы друг с другом и способны работать в одной беспроводной сети.

Характеристики Wi-Fi стандартов

Тип организации Wi-Fi сетей

Infrastructure

При такой организации сети все устройства подключаются к точке доступа (Access Point). В роли точки доступа может выступать маршрутизатор, компьютер или другое устройство с Wi-Fi адаптером.

Точка доступа выступает своеобразным посредником при обмене данными между хостами. Другими словами, если одно устройство хочет что-то передать другому, то сначала идет передача от первого устройства точке доступа, а потом от точки доступа второму устройству.

Вторая важная функция точки доступа заключается в объединении беспроводной и проводной сети. Кроме этой функции, точка доступа обеспечивает аутентификацию устройств и реализует политики безопасности сети.

Ad-Hoc

Способ организации сети между устройствами напрямую без точки доступа. Такой способ применяется, когда нужно соединить два ноутбука или компьютера между собой.

Сравнение Infrastructure и Ad-Hoc

• В Ad-Hoc-сетях максимальная теоретическая скорость ограничена 11 МБит/сек (802.11b). Для Infrastructure максимальная теоретическая скорость 450 МБит/сек (802.11n), 54 МБит/сек (802.11g) и 11 МБит/сек (802.11b). Реальные скорости в несколько раз меньше.
• Точку доступа можно разместить таким образом, чтобы обеспечивался оптимальный уровень качества покрытия для всех хостов сети. Для увеличения площади покрытия можно разместить несколько точек доступа, объединив их проводной сетью.
• Настраивать Infrastructure сеть значительно проще, чем Ad-Hoc.
• Точки доступа могут предоставлять расширенные возможности вроде DHCP, NAT, маршрутизации и т.д.

По большому счету, Ad-Hoc-сети используются для эпизодической передачи данных с одного устройства на другое, когда нет точки доступа.

Безопасность беспроводных сетей

Безопасности беспроводных сетей стоит уделять особое внимание. Wi-Fi – это беспроводная сеть с большим радиусом действия. Поэтому злоумышленник может перехватывать информацию или же атаковать вашу систему, находясь на безопасном расстоянии. В настоящее время существуют уже множество различных способов защиты, и при условии правильной настройки можно быть уверенным в обеспечении необходимого уровня безопасности.

Протокол шифрования WEP

Протокол шифрования, использующий довольно нестойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть WEP-ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бита) – динамической (вектор инициализации), она меняется в процессе работы сети. Основной уязвимостью протокола WEP является то, что векторы инициализации повторяются через некоторый промежуток времени, и взломщику потребуется лишь обработать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP-шифрованию использовать стандарт 802.1x или VPN.

Протокол шифрования WPA

Более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

TKIP (Temporal Key Integrity Protocol) – протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.

MIC (Message Integrity Check) – протокол проверки целостности пакетов. Защищает от перехвата пакетов и их перенаправления.

Также возможно использование 802.1x и VPN, как и в случае с протоколом WEP. Существует 2 вида WPA:

1. WPA-PSK (Pre-Shared Key) – для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.
2. WPA-802.1x — вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

Протокол WPA2 — усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

Протоколы стандарта безопасности 802.1X

EAP (Extensible Authentication Protocol) — Протокол расширенной аутентификации. Используется совместно с RADIUS – сервером в крупных сетях.

TLS (Transport Layer Security) — Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

RADIUS (Remote Authentication Dial- In User Server) — Сервер аутентификации пользователей по логину и паролю.

VPN (Virtual Private Network) – Виртуальная частная сеть. Этот протокол изначально был создан для безопасного подключения клиентов к сети через общедоступные Интернет-каналы. Принцип работы VPN – создание так называемы безопасных «туннелей» от пользователя до узла доступа или сервера. Хотя VPN изначально был создан не для Wi-Fi, его можно использовать в любом типе сетей. Для шифрования трафика в VPN чаще всего используется протокол IPSec.

Дополнительная защита Wi-Fi сети

Фильтрация по МАС адресу

MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании, возможно, задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

Скрытие SSID

SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом, при сканировании вашей сети видно не будет. Но опять же, это не слишком серьезная преграда, если взломщик использует более продвинутый сканер сетей , чем стандартная утилита в Windows.

Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть

Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит вас от перехвата трафика или от проникновения в вашу сеть.

Несмотря на самые современные технологии, всегда следует помнить о том, что качественная передача данных и надежный уровень безопасности обеспечиваются только правильной настройкой оборудования и программного обеспечения, выполненными опытными профессионалами.

Для построения Wi-Fi сети нужно серьезное планирование, поскольку ошибки в расчетах могут привести к дополнительным тратам средств и времени. Специалисты компании ITcom в Харькове имеют профессиональные навыки работы с Wi-Fi оборудованием всех типов и стандартов. Мы поможем вам настроить Wi-Fi роутер , установить точку доступа Wi-Fi , подключить беспроводной клиент Wi-Fi , настроить повторитель и т.д. для работы в локальной беспроводной сети , организации общего доступа нескольких компьютеров в Интернет, создания домашней беспроводной сети, подключения к беспроводному Интернету и многое другое.

Специалист ITcom в Харькове произведет необходимые расчеты для определения возможной зоны покрытия Wi-Fi сети и достижения максимальной скорости обмена информацией, выберет оптимальное расположение точки доступа и клиентов, настроит беспроводное оборудование и подключит его к сети .

Создание, построение, организация и настройка офисной или домашней беспроводной сети Wi-Fi требует хоть и меньше трудозатрат, чем обычная сеть, но, тем не менее, занимает много сил и времени. Ведь такая простая, казалось бы, процедура, как организация одной точки доступа, выливается в целый комплекс работ:

обследование объекта и проектирование сети

выбор (подбор) оборудования или упор на максимальное использование имеющегося у клиента оборудования

монтаж, подключение и работы по настройке маршрутизации, защите и т.п.

настройка конечных пользовательских устройств сети (ноутбуки, ПК, КПК и т.п.), работы по установке ПО, драйверов

• тестирование работы беспроводной сети (качество передачи сигнала, покрытие, стабильность передачи данных, правильная маршрутизация и корректная работа конечных потребителей)

В современном мире интернет используется в работе, досуге, образовании. А значит, что доступ к нему нужен огромному количеству людей. И в городах, где население в основной массе проживает во многоквартирных домах, с доступом к сети проблем не возникает. Но что делать людям, живущим в пригородных поселках или частном секторе? Есть несколько вариантов:

• Использование 3G-доступа, предоставляемого операторами сотовой связи;
• Построение Wi-Fi сети, обспечивающей широкое высокоскоростное покрытие.

О втором варианте я расскажу подробнее.

Что необходимо для построения подобной сети?

1. Первое, и самое главное — получить лицензии:
   • Лицензию, дающую право заниматься операторской деятельностью
   • Лицензию(ии) на использование радиочастотного ресурса Украины
2. Организовать транспорт до вашей базовой станции (далее БС):
   • Передача по оптическим линиям связи
   • Передача по радиоканалу
3. Построить БС
4. Теперь можно приступать к подключению клиентов.

Лицензии

На лицензиях, дающих право заниматься операторской деятельностью останавливаться не буду — она универсальна для всех.

А вот вторая для нас более интересна. Такие лицензии бывают двух типов — национальная и региональная. Национальная предоставляет право на использование радиочастотного ресурса на всей территории Украины. Региональная же выдается для построения БС на местах.

Для получения региональной лицензии нужно подать заявку в Укрчастотнадзор (УЧН). Специалисты УЧН приезжают на место, проводят сканирование диапазона и выделяют частоты в необходимом диапазоне.

Построение БС

Сперва нужно определить место, где будет установлена БС. Часто, это старые котельные в сельских школах. Оборудование устанавливается на верхушке трубы. Далее, в зависимости от того, как будут расположены клиенты, решается, сколько необходимо секторов и как они будут установлены. Возможны, например, такие варианты:

• БС установлена в центре местности, на которой строится сеть. Это обычный вариант для построения сетей в селах.

• БС устанавливается вне местности, на которой строится сеть. Например, на высотке для предоставления интернета в частном секторе большого города.

Пример оборудования, установленного на трубе:

Кроме того, оборудование может быть установлено во дворе на мачты, производимые под заказ. Например, те, что используются радиолюбителями:

Пример страницы статуса секторов Rocket M2:

Также на БС обычно устанавливается роутер или умный свич, в зависимости от топологии провайдера. Но самый простой вариант — установка роутера и настройка на нем NAT. Хорошо себя показали Mikrotik RB750UP и RB450 . В случае с UP, от него можно запитать еще и оборудование Ubiquiti. Кроме того, потратив немного времени, можно самому сделать еще систему резервирования питания на двух АКБ и БП от RB750UP. Такая система без нареканий у нас в селе рабоатет уже 4 месяца.

Скриншот ПО для работы с роутерами Mikrotik:

Подключение клиентов

По сути, самая сложная часть. Так как при подключении клиентов нужно учитывать многие параметры: расстояние от БС, необходимую скорость,

Вместо выводов

Из альтернатив, подобные системы производит Mikrotik. Данные компании производят оборудование высокого качества, довольно простое в настройке и за вменяемые деньги. Это отличный вариант для построения сетей там, куда не дошли кабельные провайдеры.

Ну и во вступлении я говорил о том, что есть два варианта для подключения — 3G и Wi-Fi. На самом деле, есть еще и третий — WiMAX, но он ничем, кроме оборудования не отличается от Wi-Fi, а стоит значительно дороже.

Из известных мне провайдеров, в Украине доступ к сети посредством Wi-Fi предоставляют: Инетертелеком , Пан-Телеком , черкасский МакЛаут (только они его называют preWiMAX).

Если будут возникать вопросы — задавайте в комментариях.