Важко уявити життя сучасної людини без інтернету. Перегляд пошти, ведення ділового та особистого листування, читання новин, перегляд фільмів та телепередач стало можливим з появою комп'ютерних мереж. А з появою мобільних пристроїв, таких як смартфони, планшети, ноутбуки з'явилася можливість обміну інформації практично в будь-якому місці, де людина не знаходилася б. Це стало можливим з появою безпроводових LAN та WAN.

Історія появи та перспективи розвитку бездротових мереж

У 80-ті роки минулого століття з'явився стандарт цифрової передачі даних GSM. На якому досі працюють майже всі оператори мобільного зв'язку. Це можна вважати відправною точкою розвитку бездротових мережних технологій. Цей протокол швидко вдосконалювався, і в 1997 році виникла нова технологіяобміну інформацією на відстані без необхідності використання дротів. Така технологія отримала назву IEEE 802.11, яка більш відома широкому колу людей як WiFi.

З моменту появи першого варіанту 802.11а у 90-х роках минулого століття пройшло небагато часу, з'явилися досконаліші технології, збільшилася швидкість та якість переміщення даних. Бездротовими мережами оповиті практично всі будівлі, офіси та промислові підприємства. Очікується перехід на новішу специфікацію 802.16, який отримав назву WiMax. Ця технологія дозволяє значно розширити діапазон підключення з кількома десятками метрів по WiFi, до десятків кілометрів без втрати якості та швидкості. Звичайно ця технологія буде спочатку дорогою, але згодом усі мобільні пристрої планується оснащувати радіомодулем WiMax.

Бездротові комп'ютерні мережі: класифікація та принцип роботи

У загальному випадку бездротова комп'ютерна система покликана забезпечити взаємодію користувачів, різних серверів та баз даних за допомогою обміну цифровими сигналамичерез радіохвилі. З'єднання може здійснюватися кількома способами: Bluetooth, WiFi або WiMax. Класифікація провідних та бездротових мережздійснюється за однаковими ознаками:

1. Персональна комп'ютерна мережа(PAN – Personal Area Network). З'єднання здійснюється, наприклад, між мобільними телефонами, що знаходяться у безпосередній близькості один від одного.
2. Локальна комп'ютерна мережа (LAN - Local Area Network). Підключення в межах однієї будівлі, офісу чи квартири.
3. Міська комп'ютерна мережа (MAN – Metropolian Area Network). Робота в межах міста.
4. Глобальна комп'ютерна мережа (WAN – Wide Area Network). Глобальний вихід до інтернету.

Специфікація 802.11 – це сукупність протоколів, які повною мірою відповідають прийнятим нормативам. відкритих мережмоделі OSI (Open System Interconnection). Ця еталонна модель визначає сім рівнів обміну даними, але протокол 802.11 відрізняється від провідного, тільки на фізичному, і, частково, на канальному рівні. Це рівні безпосереднього обміну інформацією. Фізичним рівнемпередачі є радіохвилі, а канальний рівенькерує доступом та забезпечує обмін даними між двома пристроями.

Вайфай працює на двох діапазонах частот: 2,4 (стандарти 802.11a/b/g/n) або 5 (тільки 802.11n) ГГц. Радіус дії може досягати 250-300 метрів у межах прямої видимості та до 40-50 метрів у закритих приміщеннях. Кожне конкретне обладнання забезпечує різні фізичні показникизалежно від моделі та фірми виробника.

Швидкість передачі потоку даних відрізняється в залежності від стандарту, що використовується і може становити від 11 Мбіт/с за стандартом 802.11b до 600 Мбіт/с в 801.11n.

Організація бездротової мережі

WiFi може використовуватися для кількох цілей:

• організація корпоративної мережіпідприємства;
• організація віддаленого робочого місця;
• забезпечення входу до інтернету.

З'єднання здійснюється двома основними способами:

• Робота в режимі інфраструктури (Infrastructure Mode), коли всі комп'ютери зв'язуються між собою через точку доступу (Access Point). Роутер працює в режимі комутатора, і дуже часто має дротове з'єднання та доступ до інтернету. Щоб підключитися, потрібно знати ідентифікатор (SSID). Це найбільш звичний для обивателя тип підключення. Це актуально для невеликих офісів чи квартир. У ролі точок доступу виступають роутери (Router).
• Другий варіант підключення використовується, якщо необхідно зв'язати два пристрої між собою безпосередньо. Наприклад, два мобільних телефонуабо ноутбук. Такий режим називається Adhoc, або рівний із рівним (peer to peer).

Побутові роутери дозволяють підключитися не тільки через вайфай. Майже кожен обладнаний декількома портами Ethernet, що дозволяє вивести в мережу гаджети, які не обладнані WiFi модулем. У цьому випадку роутер вступає як мост. Дозволяє об'єднати дротові та бездротові пристрої.

Для збільшення радіусу дії мережі або для розширення існуючої топології точки доступу об'єднуються в пул в режимі Adhoc, а інші підключаються до мережі через маршрутизатор або комутатор. Є можливість збільшити зону покриття шляхом встановлення додаткових точок доступу як репітер (повторювач). Репітер вловлює сигнал із базової станції та дозволяє клієнтам підключатися до нього.

Практично в будь-якому громадському місці можна зловити сигнал Wi-Fi і підключитися для виходу в інтернет. Такі публічні точки доступу називаються Hotspot. Публічні зони з вайфай покриттям зустрічаються у кафе, ресторанах, аеропортах, офісах, школах та інших місцях. Це дуже популярне на даний моментнапрямок.

Питання безпеки бездротової мережі

Проблеми безпеки стосуються не лише передачі інформації з радіоканалів. Це глобальне питання пов'язане з працездатністю будь-якої системи та, тим більше, відкритою. Завжди є можливість прослухати ефір, віддалено перехопити сигнал, зламати систему і провести анонімну атаку. Щоб уникнути несанкціоноване підключення розроблені та застосовуються методи шифрування інформації, вводяться паролі для отримання доступу на підключення, забороняється транслювання імені точки доступу (SSID), ставляться фільтр на клієнтів, що підключаються, та інші заходи.

Основну загрозу є:

• "Чужі" або несанкціоновані пристрої, які отримали доступ до точки доступу в обхід засобів захисту.
• Нехарактерна природа підключення дозволяє мобільним пристроям автоматично підключатися до довіреної (а іноді й дуже) мережі. Таким чином, для доступу до інформації зловмисник має можливість переключити користувача на свою точку доступу з наступною атакою або для пошуку тонких місць у захисті.
• Уразливості, пов'язані з конфігурацією мереж та пристроїв, що підключаються. Ризик виникає при використанні слабких механізмів захисту, простих паролівта ін.
• Неправильно настроєна точка доступу. Багато користувачів мережі залишають значення паролів, IP-адреси та інші установки у тому вигляді, в якому вони були налаштовані на заводі. Злочинцеві не важко проникнути в захищену зону, переналаштувати мережеве обладнанняпід себе та користуватися ресурсами мережі.
• Злом криптозахисту мережі дозволяє використовувати інформацію, що передається всередині мережі. Для злому шифрування зараз не потрібно мати спеціальних знань чи навичок. Можна знайти безліч програм, що сканують і підбирають захисні коди.

Слід також зазначити, що технології злому постійно удосконалюються, постійно знаходяться нові способи та варіанти атак. Існує також великий ризик витоку інформації, що дозволяє дізнатися топологію мережі та варіанти підключення до неї.

Переваги та недоліки бездротових мереж

Основна перевага передачі інформації по повітрю, випливає із самої назви технології. Немає необхідності у прокладанні величезної кількості додаткових дротів. Це суттєво знижує час на організацію мережі та витрати на монтаж. Для використання вайфай мереж немає необхідності придбати спеціальну ліцензію, отже можна бути впевненим у тому, що пристрій, що відповідає стандарту 802.11, придбаний в одній точці земної кулі, буде працювати в будь-якій іншій.

Бездротові мережі добре модернізуються та масштабуються. При необхідності збільшити покриття мережі, лише встановлюється одне або кілька додаткових роутерів без необхідності змінити всю систему. У зонах з нерівномірним покриттям пристрій-клієнт завжди буде перемикатися на ту точку, яка має найвищу якість зв'язку.

Серед недоліків варто відзначити проблеми із безпекою. Всі сучасні роутери підтримують кілька протоколів шифрування, є можливість фільтрації клієнтів за MAC-адресами. Таким чином при достатній уважності можна організувати систему найменш схильну до ризиків. Ще один недолік - це перекриття зон покриття від різних роутерів. Найчастіше ця проблема вирішується перемиканням роботи в іншому каналі.

SergeyZh 19 вересня 2013 о 12:25

Як ми будували свою WiFi-мережу

• Блог компанії JetBrains

Я хочу розповісти про те, як ми будували власний, хороший WLAN - Wireless LAN.

Ця стаття буде корисна тим, хто збирається побудувати у своїй компанії WLAN, причому не простий, а добре керований і такий, щоб користувачі цього WLAN були задоволені, тобто не помічали його після початкового підключення.

Як це все починалося

WLAN у нашій компанії існує дуже давно, з 2002 року, коли вся бездротова мережа в офісі була представлена ​​лише однією SOHO точкою 3COM стандарту 802.11b, яка покривала весь офіс. Навантаження на неї було невелике, WiFi-пристроїв було дуже мало.

Минали роки, офіс збільшувався, з'явився стандарт 802.11g. Ми йшли шляхом поступового збільшення кількості SOHO точок з однаковим SSID-ом. Завдання було в тому, щоб WiFi просто був. Спочатку був один поверх з шістьма точками LinkSys WAP54G, потім з'явився другий поверх, куди ми почали ставити точки Cisco (вони ж LinkSys) стандарту gn. Якщо десь не вистачало покриття, ми просто додавали крапку.

Поки клієнтських пристроїв було дуже багато, така схема працювала непогано. Так, були проблеми з роумінгом, коли клієнт до останнього чіплявся за точку, з якою з'єднався спочатку і не хотів переходити на іншу точку, сигнал якої краще. Так, такою мережею було незручно керувати: заміна SSID-а або додавання нового, вимагало обійти всі точки, яких було в максимумі цієї мережі – 12 штук. Так, зрозуміти, що відбувається у WLAN мережі, було непросто, тому що всі точки працювали «власними силами» без централізованого управління. Навіть визначити кількість одночасно підключених клієнтів було непросто. Відмовостійкість такої мережі також була не на висоті. Достатньо було «зависнути» одній точці – і одразу з'являлася дірка у покритті. Але це компенсувалося низькою вартістю цієї мережі. Одна точка коштувала $130-$150, що тільки з вартості точок і складалася вартість мережі.

Одночасно зростала кількість WiFi-клієнтів, яких вже не влаштовував просто WiFi в офісі. Вони хотіли високопродуктивний WiFi, з можливістю переміщатися офісом і при цьому не втрачати зв'язок. Також стало зрозуміло, що наша компанія переїжджатиме в новий офіс. Це був початок-середина 2012 року, відповідно, перед нашим відділом постало завдання побудувати якісний WiFi в новому офісі до переїзду.

План був такий:
1. Визначитись із завданнями, які повинен був вирішувати наш WLAN.
2. Вибрати виробника WLAN.
3. Спроектувати розташування точок, тому що це потрібно було зробити до закінчення прокладання СКС в будівлі, щоб не перетворювати встановлення точок на окремий будівельний проект.
4. Скласти точний список обладнання замовлення.
5. Змонтувати, налаштувати та протестувати мережу.

Завдання

Нам потрібен насамперед надійний WLAN, щоб користувачі не замислювалися про вирішення проблем із підключенням до мережі. Швидкість WLAN повинна забезпечувати комфортний software development та доступ до Інтернету. Завдання щодо заміни провідної мережі на бездротову ми перед собою не ставили, тому що ніякий WLAN не замінить девелоперу провідне підключення на 1 Gbit, яке ми і так забезпечуємо на кожному робочому місці.

Потрібна можливість зручного управління WLAN - для швидкого створеннянових бездротових мереж, наприклад для гостей або конференцій, що проводяться в офісі. Можливість централізованого управління мережами в географічно рознесених офісах, тобто, щоб користувач, підключившись в одному з офісів і переїхавши зі своїми мобільними пристроямидо іншого офісу, підключився до мережі вже автоматично.

Зрозуміло, потрібна можливість віддаленого управління WLAN мережами в інших наших офісах, які за дивним збігом обставин також переїжджали до нових приміщень приблизно в цей же час і яких стара WLAN також потребувала заміни.

Вибір виробника

Це було одне з найскладніших завдань. Усі виробники обіцяють, що саме їхнє рішення найкраще. Зрозуміло, що для наших завдань (централізоване управління мережею та ще й у кількох офісах) потрібен WLAN з контролером, тому що варіант без контролера ми вже використовували, а нова мережамає бути в 2-3 рази більше.

Я розглядав таких виробників: Cisco, Motorola та Aruba. Спочатку ще розглядав HP, тому що наша провідна мережа побудована саме на HP, але після прочитання кількох тестів продуктивності, де HP займав останні місця, я виключив його з розгляду.

Отже, Cisco- Лідер мережевої індустрії. Будь-яке мережеве рішення, побудований на Cisco, повинен працювати добре. Зворотний бік - ціна рішення, яка зазвичай вища, ніж у конкурентів. У звичайному вирішенні WLAN від Cisco весь трафік з точок доступу надходить на контролер, який займається подальшою обробкою пакетів. У цьому варіанті є як плюси (весь трафік проходить через одну точку), так і мінуси: жорстка залежність від працездатності контролера та ширина каналу, яким підключений контролер до провідної мережі. З цієї причини в кожному офісі потрібно ставити свій власний контролер WLAN.

Aruba Networks. Один із основних конкурентів Cisco у сегменті бездротових мереж. Просувають своє рішення без контролера, тобто контролер знаходиться десь у хмарі, а точки знаходяться у вас в офісі. Рік тому я не був готовий ставити свою бездротову мережу у залежність від хмарного сервісу.

Motorola. WLAN рішення від Motorola - WiNG 5- наголошує на децентралізованість. Кожна точка є досить розумною, щоб авторизувати клієнта і потім пропускати трафік між бездротовим та дротовим сегментами мережі відповідно до настройок, які точка отримує з контролера. Тобто в цьому випадку ми отримуємо сегмент провідної мережі, зазвичай це VLAN з трафіком від бездротових клієнтів, а потім ми можемо керувати цим трафіком за допомогою інфраструктури звичайного LAN. Контролер використовується лише для керування точками доступу та збору статистики. Також є дуже корисний для нас режим роботи, коли контролером стає одна з точок доступу, а при її недоступності проводиться процедура вибору точки-контролера з точок мережі, що залишилися.

Тут Моторола показує, як ходять дані у мережі WiNG5 у порівнянні з іншими архітектурами:

Також у процесі вибору виробника на мене вплинули поради товариша, який надіслав посилання на дуже хороші мануали з розгортання та налаштування WiNG 5. Після прочитання цих документів стало ясно, що архітектура WiNG 5 з варіантом підключення NOC (Network Operations Center) підходить нам найбільше.

Схема мережі вимальовувалася така: у найбільшому офісі, де потрібно поставити найбільше точок, ми встановлюємо контролер і найпростіші, залежні точки, які без контролера можуть працювати лише кілька хвилин. У віддалених офісах ми встановлюємо "незалежні" точки, які можуть брати на себе функції контролера у разі недоступності основного контролера, але керувати віддаленими офісами ми все одно будемо з центрального контролера. Це було особливо зручно, тому що віддаленим офісам вже була потрібна нова бездротова мережа, яку ми вже могли розгорнути за допомогою незалежних точок, а головний офіс ще не готовий. Після запуску головного офісу, в якому буде знаходитись WLAN контролер, ми переключимо віддалені офіси на роботу з ним.

Як же розмістити WiFi-крапки?

Нам потрібно було забезпечити відмінне WiFi-покриття в новому офісі, який є новою 7-поверховою будівлею. Потрібен був WiFi на кожному поверсі, а також на даху будівлі, що експлуатується, тобто там можуть бути люди. Те, що будинок новий, в процесі проектування WiFi-мережі, дуже корисно знати, тому що саме в нових будинках використовуються хороші залізобетонні перекриття, які чудово екранують WiFi-сигнал. Всі поверхи мають однакову форму - майже прямокутник 45x30 метрів із залізобетонною конструкцією в центрі (туалети, сходи та ліфтові шахти).

Складність полягала в наступному: на поверхах повністю були відсутні внутрішні перегородки, тому що їх ще потрібно було побудувати. Але WLAN-обладнання треба було вже замовляти, тому що звичайні терміни постачання - від 2 місяців. Відповідно, ми не могли зробити повноцінне радіообстеження вже готового приміщення, як радять у всіх посібниках, і довелося покластися лише на кресленнях майбутніх перегородок. Невелике радіообстеження ми все-таки провели: з'ясували, що можна покрити практично весь поверх двома Wi-Fi-точками 2,4 ГГц потужністю 17 dBm і отримати рівень сигналу в більшості місць поверху не менше -70d Bm. Також ми з'ясували, що сторонніх WLAN-мереж у будівлі та поблизу немає, а залізобетонне перекриття між поверхами екранує сигнал до рівня -80-90 dBm.

Стало зрозуміло, що за допомогою двох, а краще трьох WiFi-крапок ми сяк-так забезпечимо покриття одного поверху в діапазоні 2,4 ГГц за відсутності перегородок. Однак, повної впевненості, що це буде хороший WiFi, не було. Тому я вирішив змоделювати поверх у будь-якій системі для проектування бездротових мереж. Motorola має такий софт, спеціально призначений для таких завдань, - LANPlanner. Напевно, система хороша, але коштує в районі 300 тис. руб. і неможливо подивитись навіть демо-версію. Після деяких пошуків я знайшов програму TamoGraph Site Survey, яка дозволяє складати карту покриття WLAN, а також проводити моделювання з використанням віртуальних WiFi-крапок та віртуальних стін. Ціна на цю програму була в 10 разів менша в порівнянні з LANPlanner, і, враховуючи, що неправильне розташування WiFi-крапок обійдеться значно дорожче, я вирішив скористатися саме TamoGraph.

Озброївшись будівельними планами майбутніх перегородок та TamoGraph Site Survey, я намалював план одного поверху, використовуючи віртуальні матеріали стін з тими самими характеристиками, що будуть у наших майбутніх перегородок. Після розміщення на плані віртуальних WiFi-крапок стало зрозуміло, що програма моделювання – річ надзвичайно корисна. Вона одразу показала, як впливатимуть на поширення сигналу бетонні колони, які також були на поверсі, але які врахувати «на око» було дуже складно. Після моделювання стало зрозумілим, що навіть для діапазону 2,4 ГГц дуже бажано поставити 4 точки на поверх. А якщо ми хочемо використовувати діапазон 5 ГГц, точок потрібно більше і ставити їх потрібно частіше. У результаті ми зупинилися на схемі з 6 точками на поверх, при цьому потужність кожної точки в діапазоні 5 ГГц не перевищує 17 dB і основні частини поверху одночасно покриваються як мінімум 2 точками. Тим самим ми забезпечуємо надійність роботи WLAN у разі виходу з ладу однієї з точок на поверсі.

Ось приклад того, як виглядає результат моделювання одного з поверхів (кольором показаний рівень сигналу на 5 ГГц):

Отже, розташування точок відоме, схема мережі загалом зрозуміла.

Що потрібно купити?

У головний офіс потрібно 39 «залежних» dependent або thin точок, тому що контролер буде поруч. Це будуть дводіапазонні точки Motorola AP-650"AP-0650-66030-WW" з вбудованими антенами. Це оптимальні дводіапазонні точки від Motorola із підтримкою a/b/g/n стандартів. Вони можуть працювати без контролера, і налаштувати без контролера їх не можна.

У віддалені офіси потрібно купувати повноцінні точки AP-6532"AP-6532-66030-WW". Ця точка за WiFi-характеристиками є копією AP-650. Але ці точки можуть працювати як власними силами, і під керівництвом контролера. Якщо вони втрачають зв'язок із контролером, то продовжують обслуговувати WiFi-клієнтів. Якщо ж контролера спочатку немає, його функції він бере одна з точок (вибирається автоматично). Софт на WiFi-точках і на контролері - той самий. Вартість точки AP-6532 приблизно на 150 $ вище, ніж AP-650.

Так виглядає ця точка на столі:

А ось так уже встановлена ​​на стелі:

Зручно, що на багатьох типах підвісних стель ці точки можна закріпити без свердління отворів: точка кріпиться до T-профілю стелі на клямках.

Як контролер, а точніше два контролери для роботи в кластері, я вибрав RFS6000. Тут вибір був досить простий: більше проста версія RFS4000 не підтримує потрібної кількості точок, а RFS7000 просто дорожче. Також на контролери потрібно купити сервісний контракт, за яким можна отримати оновлення софту і отримати гарантійне обслуговування протягом 3 років.

Здається, все купили: точки, контролери, гарантію на контролери. Але ні: ще потрібно придбати ліцензії для підключення точок до контролера. Найвигідніше купувати ліцензії пакетами, у нашому випадку це 4 пакети по 16 ліцензій, тобто наші контролери зможуть обслуговувати 64 точки з урахуванням усіх віддалених офісів. Цікава деталь: ліцензії та контролери купуються незалежно, а потім на сайті Motorola ви пов'язуєте ліцензії з певним контролером чи контролерами. У нашому випадку всі ліцензії прив'язані на один контролер, а другий контролер об'єднаний із ним у кластер. Так ось у разі виходу з ладу першого контролера (з ліцензіями), другий продовжить обслуговування з тими самими ліцензіями.

Тепер розберемося із гарантією на точки. Гарантія на заміну несправних точок для всіх точок стандарту «N» - довічна. Довічна - це означає не на протязі Вашого життя, а на протязі життєвого циклуцих точок від компанії Motorola. Як тільки вони припинять випуск цих точок + скільки років, і точку вже не поміняють. Думаю, що в інших виробників така сама «довічна» гарантія, так що це не особливість саме Motorola. Ще можна придбати додаткову гарантію на точки, коли, якщо у вас точка виходить з ладу, вам спочатку привозять нову, а потім ви відправляєте стару назад.

Але це ще не все. Ще потрібен сервісний контракт на точки, щоби можна було оновлювати прошивки. У випадку точок AP-650 вартість сервісного контракту на точки вже закладена у сервісному контракті на контролер і, відповідно, залежить від кількості точок, що підключаються до контролера. А ось на точки AP-6532, які були куплені в інших країнах для віддалених офісів, потрібно було купувати сервісний контракт на ці точки.

Можливо, комусь будуть цікаві ціни на обладнання в Росії:

Підключення та налаштування

Із підключенням жодних проблем не було. Спочатку нам потрібно було запустити WLAN у віддалених офісах, тому що центральний офіс ще не готовий. Для цього ми підключали кілька незалежних точок AP-6532 у звичайний сегмент мережі на порти PoE. Крапки включалися, самостійно знаходили один одного в межах LAN сегмента та самостійно вибирали одну з них як Virtual Controller. Відповідно, всі налаштування потрібно проводити, підключившись саме до точки з функцією контролера. Для оновлення прошивки достатньо оновити її на точці-контролері, а вона вже перепрошує інші точки.

Порти на LAN-світах ми налаштували в режим trunk, щоб вони приймали теговані пакети і розподіляли їх за відповідними VLAN. VLAN у нас налаштовано 2: для внутрішніх користувачів та гостей. У кожному VLAN своя IP-адресація, і вони маршрутизуються по-різному, але це вже робиться на звичайному дротовому обладнанні. На контролері ми також створили дві WLAN-мережі: для співробітників і для гостей, кожну зі своїм SSID-ом, які відобразили на відповідний VLAN. Т. е. Клієнт, підключаючись до одного з WLAN, потрапляє у відповідний цій мережі VLAN. Якщо говорити просто, то WiFi-точки виступають у вигляді розподіленого WLAN-світу і передають пакети між WLAN та LAN мережами.

Налаштувань на точках у цей момент потрібно було зробити небагато:
1. Задати країну для rf-domain, щоб точки працювали у дозволеному для цієї країни діапазоні.
2. Створити потрібну кількість WLA-мереж (у нашому випадку дві) з відповідними налаштуваннями security. Під час створення WLAN необхідно вказати VLAN, яким вона буде тегуватися.
3. Включити технологію SMART-RF, яка допоможе автоматично вибрати канали та потужність радіомодулів у точках, ґрунтуючись на зашумленості ефіру та взаємному розташуванні точок. Надалі SMART-RF може змінювати канал або потужність точки у разі появи перешкод або, наприклад, підвищити свою потужність при відключенні сусідньої точки, щоб збільшити покриття. Технологія досить зручна, хоча, напевно, є випадки, коли вона заважає.

Загалом, це все. Можна ще задати конкретні параметри радіомодулів будь-якої точки або всіх відразу, але для цього треба добре уявляти, що ви робите. Для цього дуже корисно почитати книгу CWDP Certified Wireless Design Professional Official Study Guide, що рекомендує TamoSoft разом зі своєю програмою проектування мереж. Схоже, що автори програми розробляли її, ґрунтуючись на цій книзі, тому що багато термінів збігаються. У нашому випадку ми відключили підтримку швидкостей нижче 6 Мбіт, щоб повільні Wi-Fi підключення не заважали.

Хочу сказати кілька слів про те, що таке rf-domain(Radio Frequency domain). Це фізична область, яка поєднує в собі групу WiFi-крапок. Всередині цієї групи може відбуватись роумінг клієнтів. Наприклад: якщо офіс повинен бути повністю покритий WLAN, всі точки цього офісу має сенс об'єднати в один rf-domain. Якщо ж в офісі є 2 рознесені між собою конференц-зали та точки встановлені тільки для обслуговування клієнтів у цих залах, то треба зробити два rf-domain"а, по одному для кожного залу. У разі використання незалежних точок з віртуальним контролером ви можете створити лише один rf-domain.

На цьому етапі ми отримали кілька незалежних WLAN-мереж у віддалених офісах, кожну з яких потрібно було налаштовувати окремо. Але кожна з цих мереж працювала дуже добре, роумінг між точками працював, статистика збиралася, користувачі були задоволені.

Налаштування центрального офісу (NOC)

Для запуску всієї WLAN-інфраструктури Motorola має чудовий документ «WiNG 5.X How-To Guide Centralized Deployments», в якому по кроках розписано, як і що потрібно робити. Кожен крок описаний у двох варіантах: для любителів GUI є зображення, для любителів SSH консолі є відповідні команди. Я ж опишу процес настроювання загальними словами.

Спочатку підключаємо контролери, їх у нас дві штуки. Щоб при виході з ладу одного з них, мережа продовжувала працювати, їх потрібно об'єднати в кластер. Контролери підключаються до мережі стандартним 1 Gb Ethernet, хоча можна підключити і оптикою через SFP-конектор. Налаштовуємо один із контролерів: IP-адреси, DNS ім'я, паролі. Потім налаштовуємо IP-адресу для другого контролера і прошиваємо в нього прошивку тієї ж версії, що й у першого контролера, це необхідно для об'єднання в кластер. Саме тому потрібно купувати сервісний контракт на контролери. Без контракту ви не отримаєте доступу до прошивок, ні до старих, ні до нових, а в моєму випадку контролери прийшли з різними версіями прошивок.

Потім на "другому" контролері виконуєте команду "join cluster" із зазначенням адреси першого контролера. Другий контролер перезавантажується – і готово, кластер із двох контролерів працює з ідентичними налаштуваннями. Кластер буває двох типів: Active-Active - коли обидва контролери обслуговують точки одночасно, і Active-Passive - коли точки обслуговує лише перший контролер, а другий включається в роботу лише при виході з ладу першого. У будь-якому випадку всі точки мережі знають IP-адреси обох контролерів.

Тепер на контролері необхідно створити потрібні нам rf-domain"и. У нашому випадку ми створюємо кожному офісу по одному rf-domain: spb-office, munich-office і т.д. У кожного rf-domain"а вказана своя країна та своя налаштування технології SMART-RF, що логічно: у різних областях нам може знадобитися налаштовувати радіомодулі точок по-різному.

Далі на контролері створюємо WLAN-мережі. Будь-яку з створених WLAN можна буде включити в будь-якому офісі, що, звичайно ж, дуже зручно і було одним з наших початкових вимог. Складовою частиною WLAN є налаштування її security, тобто тип аутентифікації, шифрування та QoS. Важливо зрозуміти, що rf-domain і WLAN є незалежними один від одного сутностями. Також у WLAN задається її SSID та тег VLAN, які можна перевизначити для кожного rf-domain. Це зручно, тому що не в кожному офісі у нас збігається нумерація VLAN, а тут ми можемо задати потрібний VLAN певної WLAN для конкретного rf-domain.

Тепер переходимо до настроювання точок.Виходимо з того, що кожна точка при включенні повинна підключатися до контролера та отримувати всі налаштування з нього. Для цього на DHCP-сервері потрібно прописати певні vendor specific опції, в яких вказуємо IP-адреси контролерів та деякі налаштування таймаутів. Ці опції ніяк не впливають на інших клієнтів мережі, тому що DHCP-сервер їх надсилає тільки тим, хто запитує саме ці опції. Така схема дозволяє швидко підключати нові точки до мережі: взяли нову точку з коробки, підключили до потрібного порту на світчі, і все. Крапка отримує з контролера потрібну прошивкута всі необхідні налаштування. При вимкненні точки вона втрачає всі свої налаштування і стає «чистенькою», як із заводу (зберігається лише прошивка).

У момент першого підключення до контролера контролер запам'ятовує цю точку за MAC-адресою у своєму конфізі і зменшує кількість вільних ліцензій на 1. Потім контролер знаходить відповідний профіль для налаштування цієї точки і віддає налаштування цього профілю точці. Якщо це не перше підключення точки, то на контролері можуть зберігатись додаткові налаштуваннядля цієї конкретної точки, які він поєднує з налаштуваннями відповідного профілю та відправляє точці.

Що таке профілі (Profiles) у WiNG 5?Профілі дозволяють видати однакові налаштування відразу групі WiFi-крапок або контролерів. Профілі зберігаються на контролері і є повні наборипараметрів для точки певного типу. Наприклад, якщо нам потрібно виробляти автоматичне налаштуванняточок AP-650 і AP-6532 в одній і тій же мережі, то нам знадобиться як мінімум 2 профілю: для AP-650 та для AP-6532. Саме в профілі вказано, які WLAN обслуговуватиме наша точка, в яких діапазонах працюватимуть радіомодулі та на яких швидкостях. Також на налаштування профілю накладаються обмеження rf-domain, де знаходиться конкретна точка.

Як контролер визначає, який профіль потрібно видавати конкретній точці? Для цього контролер має «Automatic Provisioning Policies». Не можу вигадати хорошого російського аналога. Цих Policies на контролері може бути кілька штук, у кожному з них записано певну умову, за якою ця policy застосовується до точки чи ні. Умовами можуть бути: діапазон IP-адрес, у якому знаходиться точка, діапазон MAC-адрес точок та багато інших. Але мені досить розрізняти точки на кшталт і IP мережі. Також в policy вказано, який профіль застосовувати до точки та в якому rf-domain ця точка знаходиться. У результаті, при підключенні точки контролер йде за списком policies і перша відповідна до цієї точки policy застосовується.

Тепер збираємо все це разом

У центральному офісі у нас 3 типи точок: AP-650, AP-6532 та AP-7161 (вуличне виконання). Отже, потрібно створити 3 профілю та 3 Automatic Provisioning Policies. Так як точок у цьому офісі у нас відносно багато, то ми зробили окремий VLAN (WiFi Management VLAN), до якого підключаємо точки. У віддалених офісах точки підключені у звичайний сегмент мережі разом із користувачами, тому що там точок зазвичай небагато. Точки отримують IP-адресу, підключаються до контролера і, залежно від типу точки, отримують свій профіль для налаштування, а також отримують вказівку від контролера, в якому саме rf-domain вони знаходяться. Після цього точка починає обслуговування клієнтів тих WLAN, які визначені в її профілі.

При підключенні кожної нової точки технологія SMART-RF визначає найкращий номер каналу для радіомодулів цієї точки та потужність. Цей вибір здійснюється залежно від каналів, на яких працюють сусідні точки та від відстані до них. Області радіопокриття сусідніх точок перекриваються, тому кожна точка "бачить" кілька сусідніх (у нашому випадку видно 3-4 сусідні точки на поверсі).

Як я вже згадував, для зв'язку WLAN та LAN у нас зроблено 2 VLAN: робітник та гостьовий. У робочому VLAN відображається WLAN для співробітників, а в гостьовій відображається 1 або більше гостьових WLAN. Ми піднімаємо додаткові гостьові WLAN у разі будь-яких заходів в офісі, щоб після закінчення заходу можна було додатковий гостьовий WLAN відключити разом із гостями. :-)

А ось так виглядає поверх у веб-інтерфейсі під час роботи мережі:

Підсумки

В результаті, на момент переїзду в новий офіс ми побудували дуже хорошу WiFi-мережу. Користувачі, заради яких і будували цю мережу, задоволені її роботою. Характерний один із коментарів наших користувачів: "Як це вам вдалося побудувати такий швидкий WiFi?" Ми не намагалися зробити максимально швидкий WiFi, нам був потрібний максимально стабільний WiFi, і я впевнений, що це завдання вирішено. Користувачі переміщаються по всьому офісі з ноутбуками, планшетами та телефонами і не замислюються над тим, чи буде працювати WiFi в цій точці. Ми поки що не проводили повноцінних тестів на швидкість, але файли можна качати зі швидкістю приблизно 15 Мбайт/сек. Не завжди і не на будь-якому клієнті, але таку швидкість ми спостерігаємо за звичайної роботи. На даний момент мережа працює вже 5 місяців, вдень у головному офісі до неї підключено до 200 клієнтів і жодних нарікань на її роботу немає.

WiNG 5 від Motorola повністю виправдав мої очікування. Налаштування проводиться швидко і просто, хоч із консолі, хоч із браузера. Працює стабільно, жодних «диванок» у роботі немає. WLAN у віддалених офісах можна було запускати без виїзду на місце. Потрібно, щоб хтось тільки підключив точки до LAN, а решту налаштувань можна робити віддалено. Надалі поверх цієї мережі можна розгорнути систему AirDefense - контроль безпеки WLAN та віддалене вирішення проблем з WLAN. При цьому деякі точки в мережі перетворюються на сенсори, що моніторять радіоефір.

Я опустив багато деталей та можливостей WiNG5: наприклад, вже в базовій версії є система захисту від вторгнень (теж базова), можна докупити ліцензії на систему захисту Advanced. Можна захоплювати WiFi-трафік з радіоефіру та дивитися на нього за допомогою Wireshark. І багато, багато іншого, але стаття має бути розумних розмірів. Ще хочу зауважити, що, на мою думку, WiNG5 незаслужено обійдений увагою в Росії, тому що ніяких матеріалів російською мовою мені знайти не вдалося, постачальників і інтеграторів також знайти непросто.

Побудова Wi-Fi мереж http://www.сайт/besprovodnye-seti/postroenie-wi-fi-setei http://www.сайт/@@site-logo/logo.png

Побудова Wi-Fi мереж

Розберемо схеми побудови Wi-Fi мереж, що найчастіше зустрічаються в житті. Ми торкнемося лише невеликого сегменту обладнання Wi-Fi і завдань, що стоять перед будівельниками мереж Wi-Fi, і розглянемо схеми, що найчастіше зустрічаються, зібрати які можна з доступного обладнання.

Перш ніж приступити до вибору обладнання, необхідно визначити завдання, що стоять перед вами на сьогоднішній день, плюс зробити поправку на завдання, які можуть стати перед вами завтра.

Wi-Fi рішення найчастіше зводяться до побудови з'єднання типу "крапка-крапка" або "центр-крапки", у кожної з цих схем при цьому є безліч реалізацій. Ad-Hoс з'єднання тут не розглядатимемо, т.к. це окрема велика тема розмови.

Вибір обладнання для побудови WI-Fi мереж:

1. Не заощаджуйте на обладнанні.
   Повірте, зайві 20$ не коштують тих гострих відчуттів, які ви зазнаєте при нестабільному з'єднанні. Якщо ви витрачаєте гроші замовника - тим більше не заощаджуйте на обладнанні, тому що заощадивши 100 $ ви ризикуєте назавжди зіпсувати з ним відносини, у разі некоректної роботи обраного вами обладнання.
2. Використовуйте вузькоспрямовані антени.
   Загальний принципдії точки - отримання, посилення та ретрансляція сигналу. Чим більший кут випромінювання вашої антени – тим більше розсіювання корисного сигналу, тим більше перешкод вона збере та створить. Чим більше перешкод збере – тим менше залишиться у точки доступу часу на обробку вашого корисного сигналу.
   Пам'ятайте, що менше кут - тим менша ймовірність вашої незапланованої зустрічі з панами зі Зв'язнагляду.
   Кут випромінювання можна подивитися на діаграмі спрямованості - вона є для кожної антени, у вертикальній і горизонтальній площині.
   Характеристики антени в основному описуються її параметрами посилення сигналу: dBd, dBi і dBm (dB-децибел). dBd – це посилення на диполь, dBi – посилення до ізотропного джерела, dBm – посилення до відношення 1 мл.
3. Найкращий підсилювач - короткий кабель.

Найслабша ланка в обладнанні – це антенний кабель. Чим він довший – тим сильніше в ньому згасання сигналу, а довше 10м кабель робити не рекомендується.
Нижче наведена таблиця згасання досить дорогого професійного кабелю Radiolab 8D-FB PEEG, що вже говорити про ширвжиток.

Частота, МГц	Згасання, дБ/100м

У цьому випадку є сенс встановити точку доступу безпосередньо на щоглі антени. Такі точки доступу виконуються в Outdoor (зовнішньому) виконанні, переносять будь-які погодні умови (за винятком морозів)<20 градусов), крепятся непосредственно на мачте, питание к ним подается по витой паре (Power over Ethernet).
Підсилювачі слід використовувати дуже обережно. Неписьменно встановлений підсилювач не тільки не принесе користі, але й посварить вас із власниками сусідніх радіолінків, знайти вас при цьому не складе жодних труднощів.

1. Швидкість. Враховуйте, що заявлені виробником 54мбіт (а тим більше 108) рідко працюють навіть на столі в лабораторних умовах. Насправді швидкість точки на робочої лінії рідко сягає 22Мбит. Найчастіше справа обмежується 11мб. Всі швидкості заявлені для режиму Half-Duplex.
   Другий важливий момент – швидкість точки є її загальною пропускною здатністю. Якщо до точки доступу підключено 2 клієнти - діліть швидкість навпіл. Якщо клієнтів 10 – діліть швидкість на 10.
   Казкові швидкості обіцяє нам стандарт WiMax, але поки що він казково далекий і так само казково дорогий.
2. Пріоритети. Якщо, крім інтернет-трафіку, ви збираєтеся в майбутньому продавати IP-телефонію - подбайте, щоб точка доступу підтримувала стандарт 802.1p.
   Пріоретизація допоможе вам у питанні виділення VIP-клієнтів із загальної маси клієнтів, для забезпечення стабільної ширини каналу.
3. Ізоляція клієнтів один від одного. У більшості сучасних точок є опція "isolation mode", що дозволяє заборонити клієнтам обмін трафіком.
4. Підрахунок трафіку - це велике окреме питання, спосіб підрахунку трафіку дуже часто прив'язаний до маркетингової моделі вашого підприємства.

Найпростіша і найпоширеніша схема: “Точка-точка”

Для побудови такої сполуки необхідно врахувати такі фактори:

1. Відстань.
   Один з визначальних факторів при виборі обладнання – антени та точки доступу. Всі наші лінки розраховані на відстані до 15 км. Але існує можливість побудови лінків до 50км на цілком доступному устаткуванні (BreezNet та BlueBox).
2. Видимість.
   За відсутності прямої видимості жодних гарантій працездатності збудованого вами лінка ніхто не дасть. Тут все вирішить лише експеримент. Найчастіше за відсутності прямої видимості використовують відбитий від стіни будівлі сигнал.
3. Можливості та особливості монтажу.
   Якщо ви ставите точку доступу в квартирі або офісі, з вікна якого добре видно другу точку підключення – вам просто пощастило. У цьому випадку ви обійдетесь точкою доступу, метровим кабелем і встановленою на підвіконні або на стіні будинку антеною – це буде ідеальний варіант. Але так щастить не всім, і тоді доводиться виходити на дах будівлі та ставити антену на щоглі.

Друга схема: "Центр-точки"

При побудові такої схеми більшість недосвідчених авторів відчувають велику спокусу поставити одну всеспрямовану антену та підключити до неї всіх клієнтів у радіусі 2-3 км.

Засмучений - це неможливо з кількох причин:

Як ми вже писали вище, всеспрямована антена збере всі перешкоди в окрузі.

Обмеження кількості з'єднань. Одна звичайна точка доступу (Linksys WRT54G, DWL-2100), навіть за умови хорошого зв'язку, не в змозі обробляти більше 20 з'єднань. Виняток - спеціальні точки доступу, розроблені для організації Hot-Spot'ів, але їх потужності далеко не безмежні.

Отже, перше, що слід враховувати під час проектування такої схеми – це обмеження кількості клієнтів на одну точку доступу.

Реально у житті широко використовуються дві схеми.

У першому випадку мережа зводиться до звичайних лінків від центру до точки доступу, до якої підключено групу комп'ютерів. Це може бути районний або мікрорайонний вузол, або навіть точка підключення одного будинку.

У другому випадку використовується принцип стільникового зв'язку: центральний вузол поділяє всіх клієнтів на територіальні сегменти за допомогою секторних антен. Число антен - від 2 до 6,

Обладнання для таких мереж вибирати складніше, але все ж таки наведемо перелік рекомендованого обладнання.

Центральні та клієнтські точки доступу:
- Linksys WRT54G як бюджетне рішення.
- Z-Com XI 1500IHP для зовнішнього застосування
- ORINOCO RG-1000

Антени центрального вузла:

- секторні

Клієнтські антени:
- сегментопараболічні - від 18 до 27 дБ
- хвильові канали Polaris 9дБ (міні) - для використання всередині приміщень, 17дБ - для зовнішнього застосування

У цьому огляді будуть представлені продукти, що використовуються для побудови мереж Wi-Fi на базі "тонких" точок доступу. Такий варіант розгортання корпоративних та операторських мереж базується на протоколі CAPWAP (Control and Provisioning of Wireless Access Points Protocol, протокол управління та ініціалізації бездротових точок доступу), Розроблений організацією IETF. Ідея цього підходу досить тривіальна – розділити бездротову мережу на два рівні, рівень управління та рівень підключення.
Рівень управління, що реалізується на основі спеціалізованих контролерів доступу AC (Access Controller), включає весь функціонал бездротової мережі. Це управління доступом з аутентифікацією та авторизацією користувачів, генерація та зберігання ключів шифрування, роумінг абонентів та їх перемикання на менш завантажені точки доступу, оптимізація використання радіоканалів та багато іншого.
Рівень підключення організується на основі використання досить простих і дешевих точок доступу WTP (Wireless Termination Point), завдання яких зводяться до підтримки шифрування даних у радіоканалі та взаємодії з контролером доступу за протоколом CAPWAP. Зазвичай для підключення тонких точок доступу використовуються провідні лінії. Досить поширеним стало рішення на основі мереж Ethernet із технологій PoE електроживлення точок доступу.
Такий варіант побудови бездротової мережі має свої незаперечні переваги. По-перше, зниження витрат при розгортанні мережі, що покриває велику територію або має велику кількість точок доступу. Незважаючи на досить високу ціну контролера доступу, економія вартості точок доступу виявляється суттєвою. По-друге, зниження експлуатаційних витрат з допомогою централізації управління усією мережею. Це дозволяє автоматизувати рутинні процеси оновлення програмного забезпечення та налаштувань усіх точок доступу. По-третє, забезпечується високий рівень безпеки мережі. На "тонких" точках доступу не зберігається конфіденційна інформація, втрата якої міг би вплинути на безпеку мережі загалом. Також суттєво простіше організувати управління політиками безпеки для різних категорій абонентів і самих точок доступу.
Однак бездротовим мережам на основі "тонких" точок доступу властиві свої недоліки. Найбільшу проблему може бути відмова контролера доступу. Причому це не тільки вихід з ладу самого обладнання, а й втрата пов'язаності з ним для всіх або частини точок доступу. Тому в мережі необхідно передбачати резервування контролера, що своєю чергою позначається на вартості проекту.

Побудова бездротової мережі

Як зазначалося, найчастіше рішення з використанням " тонких " точок доступу застосовується до створення масштабних бездротових мереж. Розглянемо варіант побудови мережі W-Fi, що налічує десятки та сотні хот-спотів.

На малюнку показано мережу, яку навряд чи варто рекомендувати для практичного втілення, але вона дозволяє описати принципи роботи даного підходу.
Як видно з малюнка, бездротова мережа є мережею, що дозволяє помітно заощадити на розгортанні базової інфраструктури. Для підключення точок доступу може бути використана мережа доступу, побудована за будь-якою технологією. Адже "тонку" точку доступу можна розглядати як звичайний мережевий пристрій зі своєю IP-адресою. За великим рахунком, підключення точок доступу може відбуватися за допомогою публічної глобальної мережі. Цей варіант підключення не є ефективним, але може бути корисним для швидкого розгортання тимчасового хот-споту.
Ядром бездротової мережі є контролер бездротового доступу, від продуктивності і показників якого загалом показники роботи мережі. Сервер RADIUS забезпечує вирішення питань ідентифікації та авторизації користувачів, а також за необхідності поєднання з білінговою системою.
У разі встановлення абонентом зв'язку з точкою доступу, в радіусі дії якої він знаходиться, рішення про надання послуг приймається контролером центрального офісу. Для цього за протоколом DHCP кінцевому пристрої надається тимчасова IP-адреса і абонент отримує можливість ввести свої облікові дані. Ці дані надходять на RADIUS-сервер, який визначає доступні ресурси, права та повноваження цього користувача. На підставі цих даних контролер доступу виділяє встановленому з'єднанню необхідні ресурси та відстежує його стан.
Такий алгоритм роботи збільшує обсяг службового мережного трафіку, але в даний час, за високої пропускної спроможності ліній доступу, цей недолік навряд чи варто враховувати при плануванні мережі.

Виробники обладнання бездротових мереж та їх продукція

Не всі постачальники бездротових рішень мають у своєму каталозі продукти, які стосуються тематики цього огляду. Певною мірою це пов'язано з необхідністю створення спеціалізованих контролерів доступу, що не кожному виробнику. Тому в огляді основну увагу приділять контролерам, які представлені на вітчизняному ринку.

Однією з найбільш авторитетних компаній, що представляють рішення для бездротових мереж, є Aruba Networks. У її портфелі налічується сім моделей контролерів, орієнтованих використання у мережах різного масштабу. Старша модель Aruba 6000 Multi-Service Controllerвідноситься до обладнання операторського класу і може керувати роботою понад 8 тис. точок доступу, обслуговуючи при цьому понад 32 тис. користувачів одночасно. Дана модель включає функції VPN і firewall, що володіють продуктивністю, відповідно, 32 і 80 Гбіт / с. Також до категорії мультисервісних контролерів відноситься серія Aruba 3000, Що включає три моделі, що відрізняються числом керованих точок доступу, обслуговуваних абонентів і продуктивністю VPN і firewall. Ці моделі найбільше підходять для створення корпоративних бездротових мереж. Для зовсім невеликих мереж, в яких передбачається установка від 6 до 48 точок доступу, можна рекомендувати моделі. Aruba 2400, Aruba 800 та Aruba 200. Всі моделі контролерів Aruba спрямовані на підтримку мобільного VoIP зв'язку. Це забезпечується функціями Call Admission Control, RF management та QoS.
Для підключення точок доступу Aruba рекомендує застосовувати одну з трьох моделей спеціалізованого концентратора доступу, який розроблений для забезпечення безпеки передачі трафіку через IP-мережу з використанням тунельних технологій. Моделі концентраторів відрізняються продуктивністю пропускної спроможності.
Для роботи спільно з будь-яким контролером виробник пропонує широкий вибір точок доступу. Серед цих точок доступу варто відзначити чотири моделі AP-120, AP-121, AP-124 і AP-125, що підтримують технологію MIMO (Multiply Input Multiply Output) і, як запевняють вендори, що забезпечують швидкість підключення по радіоканалу до 300 Мбіт/с. Ці та всі інші моделі точок доступу Aruba можуть працювати в діапазонах 2,4 ГГц та 5 ГГц. Для використання поза приміщеннями виробник рекомендує три моделі - AP-85TX, AP-85FX та AP-85LX. Для підключення першої моделі використовується інтерфейс 10/100Base-T із технологією PoE. Дві інші моделі підключаються до мережі за допомогою оптичних інтерфейсів і можуть бути віднесені на відстань до 2 та 10 км відповідно.

Компанія Bluesocket, Заснована в 1999 р., спеціалізується на розробці рішень для бездротових мереж і пропонує широкий спектр продуктів для їх побудови. У тому числі в каталозі продукції компанії можна знайти лінійку з шести моделей контролерів бездротової мережі, що масштабуються. BlueSecure (BlueSecureController - BSC). Всі ці моделі мають однакові можливості з управління точками доступу та забезпечення безпеки мережі. Моделі між собою відрізняються лише продуктивністю. Молодша модель BlueSecure 600 підтримує до 8 точок доступу та здатна забезпечити одночасну роботу 64 користувачів. Старша модель BlueSecure 7200 може бути основою для побудови масштабної бездротової мережі, що налічує близько 300 точок доступу та 8 тис. одночасно працюючих клієнтів. У всі моделі BlueSecure вбудована функціональність firewall та виявлення вторгнень та шкідливих програм шляхом моніторингу в режимі реального часу. Також виробник зазначає наявність у контролерах фірмової технології роумінгу Secure Mobility, яка дозволяє користувачам не переривати їх сесії під час переміщення між точками доступу навіть у разі тимчасового виходу з радіозони. Контролерами підтримується підключення точок доступу через рівень маршрутизації, що спрощує використання Інтернету як мережі доступу.
Як запевняє виробник, його контролери можуть працювати з точками доступу більшості з відомих вендорів, але для забезпечення доступу до повного набору функцій контролю та управління мережі рекомендується застосовувати точки доступу BlueSocket. В даний час пропонується три моделі точок доступу BlueSecure Access Point, що підтримують стандарти 802.11 a/b/g. Моделі з індексом 1500 і 1540 мають по дві вбудовані всеспрямовані антени, друга модель може також використовувати зовнішні антени.
Точка доступу з індексом 1800 виконана у повній відповідності до стандарту 802.11n draft 2.0 і підтримує технологію MIMO. Ця точка доступу має два радіоінтерфейси з вбудованим антеним масивом, можливість підключення зовнішніх антен та порт Gigabit Ethernet з технологією PoE. Усі точки доступу можуть працювати з технологією 802.11e для пріоритезації мультимедійного трафіку бездротової мережі.

Компанія Brocade, один з провідних постачальників рішень для дата-центрів, наприкінці минулого року придбала добре відомого виробника мережевого обладнання Foundry Networks. Серед продуктів цієї компанії є пристрої для побудови бездротових мереж, які на російському ринку будуть пропонуватись вже під брендом Brocade.
У комплект обладнання для створення "тонкої" бездротової мережі входить чотири види контролерів, що відрізняються кількістю точок доступу, що підтримуються, і продуктивністю. Якщо наймолодша модель MC500може обслуговувати до п'яти точок, старша модель цього сімейства MC5000здатна працювати з 1000 "тонкими" точками доступу. Як останні компанія пропонує дві моделі АР208 і АР201, що відрізняються числом піддіапазонів. Устаткування підтримує технологію автоматичного налаштування радіозон.
Як запевняє вендор, рішення на основі даного обладнання здатне обслуговувати до 100 активних користувачів на точку доступу. Крім того, це обладнання орієнтоване на підтримку телефонного зв'язку за технологією VoIP. Завдяки розвиненим механізмам QoS можна підтримувати до 30 одночасних голосових каналів зв'язку на кожній точці доступу. Також контролери забезпечують роумінг голосових викликів між точками без затримки та втрат пакетів. Рішення здатне автоматично визначати протоколи VoIP (SIP, H.323, Cisco SCCP, SpectraLink SVP та Vocera), підлаштовуючи під них механізми пріоритезації.
Контролер МС5000 додатково має функціональність firewall, забезпечуючи в даному режимі роботу понад 10 тис. одночасних сесій.

Корпорація Ciscoпропонує широкий вибір рішень для побудови бездротових мереж. Критеріям даного огляду відповідає підхід компанії, який отримав назву Unified Wireless solution. Відповідно до цієї концепції мережа будується на основі чотирьох компонентів: точок доступу, мережі агрегації, мережі управління та мобільних сервісів.
Точки доступу сегментуються виходячи з розв'язуваних завдань та варіанти виконання. Компанія виділяє моделі для розміщення всередині опалюваних, наприклад, Cisco AP 1140G, 1130G, 521G, і неопалюваних приміщень, наприклад, Cisco AP 1240G, 1252AG, а так само вуличного виконання, наприклад, Cisco AP 1310, 1410. Точки доступу Cisco можуть працювати як в режимі управління від центрального контролера, так і самостійно як "товстий" клієнт. Даний варіант безперечно здорожує рішення, але дозволяє суттєво підвищити надійність роботи бездротової мережі.
Мережа агрегації представлена ​​контролерами бездротового доступу, які забезпечують централізовані політики безпеки, якості обслуговування, а також надають засоби управління радіоресурсами та забезпечення мобільності. Для централізованого управління точками доступу та передачі трафіку даних застосовується фірмовий протокол LWAPP (Lightweight Access Point Protocol). У портфелі Cisco налічується велика кількість моделей контролерів, які можуть обслуговувати від 1-2 до 300 точок доступу. Наприклад, Cisco 2106, що підтримує від 6 до 25 точок доступу, та Cisco WiSM (модуль для Catalyst 6500 та Cisco 7600), здатний керувати до 300 точок.
Для узгодження роботи контролерів служить централізована система управління WCS (Wireless Control System). Це програмне забезпечення використовує протокол SNMP для отримання та передачі даних управління на контролер. Надання мобільних сервісів здійснюється за допомогою продукту MSE (Mobility Services Engine), який дозволяє визначити місцезнаходження та історію переміщень мобільних абонентів та «неавторизованих» пристроїв. Цей продукт має інтерфейс для взаємодії з WCS та додатками третіх компаній-розробників додатків, а також підтримує протокол SNMP.

Лінійка обладнання ProCurve, компанії HP, включає контролери і точок доступу для створення бездротової мережі. На відміну від інших виробників, компанія НР як контролери WLAN пропонує спеціалізовані модулі, що встановлюються в мережні комутатори ProCurve. Для цього випускається два типи модулів та два типи додаткових модулів, що використовуються для резервування. Як точки доступу можуть бути застосовані три моделі радіопортів.
Модуль Wireless Edge Services zlзабезпечує централізоване управління бездротовою мережею, політику безпеки мережі та різноманітні мережеві послуги. Для резервування роботи цього модуля застосовується Redundant Wireless Services zl, який автоматично приймає керування радіопортами ProCurve у разі недоступності або несправності Wireless Edge Services zl.
Модуль Wireless Edge Services xlорієнтований на інтеграцію систем управління WLAN та політики обслуговування користувачів на основі ролей для розгортання та централізованого управління мережею з безліччю послуг. Для резервування роботи цього модуля застосовується Redundant Wireless Services xl.
Радіопорти ProCurve 210, 220 та 230 відрізняються піддіапазонами роботи та конструктивним виконанням.

Компанія NETGEARпропонує рішення для побудови бездротової мережі для малого та середнього підприємства. Це рішення включає повнофункціональний контролер ProSafe Smart WFS709TP, який може керувати до 16 точок доступу та обслуговувати до 256 абонентів. Для збільшення кількості точок контролери можуть поєднуватися за ієрархічним принципом, забезпечуючи роботу максимально 48 точок доступу. Однією з відмінних рис контролера ProSafe Smart є управління бездротовим покриттям за допомогою функцій автоматичного конфігурування всіх параметрів радіоканалу, включаючи потужність сигналу, балансування навантаження і усунення накладання.
Також контролер здатний надавати з належною якістю сервіс, чутливий до затримок. Насамперед це голосовий зв'язок із використанням протоколів VoIP. Для ProSafe Smart має функції Call Admission Control, швидкого роумінгу із підтримкою голосу та управління QoS.
Для роботи з контролером виробник пропонує дві моделі точок доступу. WAGL102 та WGL102. Перша з них здатна працювати в частотних діапазонах 2,4 ГГц та 5 ГГц за протоколами 802.11g та 802.11а. Інша модель орієнтована на роботу за стандартом 802.11g у діапазоні 2,4 ГГц.

Рішення компанії Ruckus Wirelessбільшою мірою орієнтоване на малий і середній бізнес, у якому затребувані типові мережеві програми та немає особливої ​​потреби у складних та нестандартних налаштуваннях роботи бездротової мережі. Для роботи з обладнанням цього виробника не треба бути експертом у галузі WiFi та інформаційних технологій.
Основу рішення Ruckus Wireless складає контролер бездротової мережі ZoneDirector 1000, який здатний керувати 25 точками доступу ZoneFlex та підтримувати одночасну роботу до 1250 користувачів. Серед переваг контролера виробник відзначає спрощену систему налаштування, засновану на веб-інтерфейсі, а також розвинені засоби безпеки та управління.
Як точка доступу вендор пропонує мультимедійну модель ZoneFlex 7942яка базується на стандарті 802.11n з підтримкою технології MIMO. Найважливішою частиною цієї точки доступу є програмно-керований антенний масив, що складається з шести вертикально поляризованих та шести горизонтально поляризованих антенних елементів з високим коефіцієнтом посилення. З його допомогою реалізується фірмова технологія BeamFlex, яка забезпечує високу продуктивність, розширене покриття та підтримку передачі мультимедійного трафіку завдяки автоматичній адаптації радіопроменів. Ця технологія дозволяє виключити процес налаштування радіозони точки доступу, яка потребує високої кваліфікації.

Компанія Trapeze Networksвважається одним із лідерів у частині рішень для організації бездротових мереж. Для цього компанія пропонує платформу, що отримала назву Trapeze Smart Mobile. До складу цієї платформи входить п'ять моделей контролерів WLAN та чотири види точок доступу.
Сімейство контролерів представлено моделями, що обслуговують від чотирьох ( контролер бездротової мережі MXR-2) до 512 точок доступу ( контролер бездротової мережі MX-2800). Всі контролери мають схожу функціональність, що включає підтримку розширених можливостей з ідентифікації користувачів, безпеки мережі, підтримку протоколів VoIP і механізмів QoS. У контролери вбудована можливість роботи з протоколом IEEE 802.11n, який йде на зміну 802.11g і має помітно кращі характеристики за швидкістю передачі і дальністю дії. Передбачено автоматичне налаштування радіозон кожної точки та динамічний вибір робочих частот.
Крім управління бездротовою мережею контролери компанії Trapeze мають розвинені мережеві можливості, включаючи firewall та систему виявлення вторгнень та шкідливих програм. Виробник особливо підкреслює можливість об'єднання контролерів WLAN у кластерну та доменну структури. Кластер може включати до 64 контролерів та керувати до 10240 абонентів. Також кластери можуть об'єднуватися в так званий мережевий домен, який здатний підтримувати роботи майже 33 тис. контролерів.
Для роботи спільно з контролерами вендор пропонує три моделі тонких точок доступу для розміщення в приміщеннях і одну модель для вулиці. Моделі MP-371, МР-422А та МР-620Аявляють собою варіанти точок доступу стандартів 802.11 a/b/g, що працюють у діапазонах 2,4 ГГц та 5 ГГц. Більший інтерес представляє точка доступу МР-432, яка розроблена відповідно до вимог стандарту 802.11 n та повною мірою підтримує технологію MIMO. За запевненнями виробника, агрегована швидкість становить 600 Мбіт/с, що відповідає теоретичному максимуму для даного стандарту.

Як видно з даного огляду, рішення для побудови бездротової мережі з використанням тонких точок доступу стає дуже популярним. Усі провідні виробники пропонують свої варіанти побудови мереж різного масштабу.

Контролери WLAN

Модель	Число WTP	Число користувачів	Мережеві інтерфейси	Додаткові можливості
Aruba 6000 / Aruba Networks	8192	32768	до 72 FE, до 40 GE, до 8 10GE	Firewall, VPN, VoIP
BlueSecure 7200 / Bluesocket	300	8000	4 GE	Firewall, IPS
MC5000/Brocade	1000	до 100 на WTP	до 4 GE	Firewall, VoIP
Cisco WiSM/Cisco	300	10000		Залежить від конфігурації Catalyst 6500 або Cisco 7600
ProCurve Edge Services zl/HP	156	немає даних		Залежать від конфігурації комутатора ProCurve
ProSafe Smart WFS709TP/NETGEAR	16	256	8 FE, 1 GE	VoIP
ZoneDirector 1000 / Ruckus Wireless	25	1250	2 FE	Вбудований портал автентифікації
MX-2800 / Trapeze Networks	512	немає даних	8 GE, 2 10GE	VoIP

WiFi -мережа має безліч незаперечних переваг у порівнянні з традиційною провідною: швидкість і дешевизна розгортання, легкість підключення нових клієнтів, мобільність клієнтських ПК в межах офісу та ін. вибором архітектури та забезпеченням безпеки.

Незважаючи на функціональну схожість бездротового та провідного обладнання, відмінність у їх установці, монтажі та налаштуванні чимала. Причина полягає у властивостях фізичних середовищ, що використовуються передачі даних. Обладнання WiFi -Мереж працює в діапазоні 2,4-2,5 і 5 ГГц. Розподіл хвиль у цьому діапазоні відрізняється низкою особливостей. Оскільки радіоефір більш чутливий до різного роду перешкод, наявність перегородок, стін, залізобетонних перекриттів і різних радіовипромінюючих приладів впливає на швидкість передачі даних.

Проблема якості сигналу не вирішується простим збільшенням потужності точок доступу. Подібний підхід може навіть призвести до його погіршення, оскільки створює безліч перешкод у діапазоні частот, який використовують й інші точки доступу. Справа в тому, що технологія IEEE 802.11 надають середовище, в якому в певний момент часу лише одна з точок доступу може вести передачу даних. Крім того, оскільки точки доступу зазвичай комплектуються всеспрямованими антенами, досить важко забезпечити однаково якісне покриття сигналом всього офісу.

Архітектура: розподілена чи централізована?

При побудові бездротової мережі використовуються два типи мережі: розподілена (distributed access point architecture) та централізована. У першому випадку для розгортання мережі достатньо встановити точки доступу, оскільки стандарт 802.11 спочатку об'єднує в одному пристрої функціональність мережевого контролера та радіотрансіверів. Основний недолік такої мережі - відсутність єдиного компонента, що управляє. Застосування такої технології дуже обмежено.

Схема побудови розподіленої мережі

У другому випадку, бездротова мережа поділена на два рівні: рівень керування та рівень підключення. Рівень управління реалізується на основі спеціалізованих контролерів доступу (Access Controller, AC), які управляють доступом з аутентифікацією та авторизацією користувачів, генерацією та зберіганням ключів шифрування, роумінгом абонентів, їх перемикання на менш завантажені точки доступу, оптимізацією використання радіоканалів тощо.

Очевидно, що контролер доступу є критично важливим елементом та його відмова призводить до порушення роботи всієї мережі. Тому в мережі необхідно передбачити резервування контролера, що подорожчає проект загалом.

Рівень підключення організується на основі недорогих точок доступу WTP (Wireless Termination Point), завдання яких полягає у шифруванні даних у радіоканалі та взаємодії з контролером доступу. Для підключення «тонких» точок доступу часто використовуються провідні лінії, у тому числі мережі Ethernet з підтримкою технології живлення PoE ( Power - over - Ethernet).

Централізація управління всією мережею дозволяє знизити експлуатаційні витрати, автоматизувати рутинні процеси оновлення програмного забезпечення та налаштувань точок доступу. Крім того, забезпечується високий рівень безпеки мережі, оскільки на точках доступу не зберігається будь-яка важлива конфіденційна інформація. Ще одна істотна перевага мережі з централізованою архітектурою полягає в тому, що при переході від однієї точки доступу до іншої користувач не втрачає з'єднання з мережею і йому не доводиться проходити аутентифікацію заново.

Оскільки багато точок доступу підтримують режим живлення PoE, центральний комутатор здатний як забезпечити їм живлення, а й виявляти збійні ділянки мережі. Більш того, центральний комутатор може ефективно розподіляти завантаження каналів, виділяючи більш високу пропускну спроможність сегментам мережі, що налічують зараз більшу кількість користувачів.

Вирішення проблеми формування променя

Стандартна точка доступу передає сигнал на всі боки з рівною силою, промені розходятьсяпо приміщенню поступово. Антени спрямованої дії фокусують сигнал, в результаті він при рівній потужності здатний подолати значно більші відстані, ніж при використанні ненаправлених антен. Проте спрямовані антени мають сенс лише тому випадку, якщо клієнтський ПК перебуває у одному місці. Адже якщо ціль вийде за межі зони прийому, то відразу втратить сигнал

Щоб вирішити цю проблему, застосовуються системи формування променя, іменовані масивами Wi-Fi. Вони поєднують в одному корпусі безліч (від 6 до 24) різноспрямованих невеликих антен. Далі за допомогою програмного забезпечення в реальному часі визначається те поєднання антен, при якому сигнал, що приймається, досягає найвищої якості. При переміщенні клієнтського ПК або іншій зміні ситуації відбувається динамічна перебудова. Така технологія Beam Forming надає одразу дві переваги. По-перше, фокусування сигналу істотно збільшує дальність дії в порівнянні зі звичайною круговою антеною. Крім того, спрямована передача сигналів дозволяє усунути інтерференції між осередками бездротової мережі, що позитивно впливає на пропускну здатність.

Застосування масивів Wi-Fi є доцільним практично в будь-якому середовищі, але особливо його плюси виявляються там, де клієнти часто переміщуються. В якостіприкладу можна навести фірмову технологіювід компанії Ruckus Wireless , яка оптимізована длязастосування у аеропортах. Через різноманітність електронних пристроїв у цих середовищах виникає особливо багато інтерференцій, у той час як за допомогою Beamflex можна створювати дуже надійні та продуктивні мережі.

Розширення покриття мережі за допомогою технології Beamflex.

Рішення Ruckus Wireless

Система Wi-Fi від призначена для організації централізованої та розподіленої інфраструктури Wi-Fi різного масштабу: від середнього та малого бізнесу до міських мереж великої ємності. За рахунок просунутих рішень в області антенних систем та алгоритмів обробки сигналу точки доступу Ruckus Wireless забезпечують значний виграш у продуктивності, а також розширену зону радіопокриття в порівнянні з традиційними пристроями Wi-Fi.

Система Ruckus Wireless включає дві серії пристроїв:

· призначені для побудови централізованих та розподілених (з незалежними зонами обслуговування – BSS/ESS) мереж різного масштабу та топології, у тому числі, MESH;

· MediaFlexслужать для побудови малих розподілених мереж рівня підприємства чи домашніх мереж. Програмне забезпечення пристроїв серії MediaFlex оптимізовано для передачі відеопотоку MPEG-4.

Рішення для централізованої інфраструктури Ruckus Wireless складаються з наступних компонентів:

· ZoneFlex- Точки доступу стандарту IEEE 802.11a/b/g/n, що забезпечують саму інфраструктуру WI-FI.

· - контролер точок доступу, що реалізує централізоване управління інфраструктурою мережі, безшовний роумінг для мобільних абонентів та автоматичне балансування трафіку між точками доступу. Крім того, цей пристрій забезпечує автоматичну оптимізацію зони радіопокриття та придушення інтерференційних перешкод, а також авторизацію абонентів та сценарії доступу абонентів до мережі.

· FlexMaste r - сервер керування мережею.

Важливість при роботі з обладнанням Ruckus Wireless відіграє його простота та доступність.Для роботи з продуктами цього виробника не треба бути експертом у галузі WiFi та інформаційних технологій.

Публікації на тему

29 квітня 2014 Багато компаній закуповують за свій рахунок мобільні гаджети для співробітників, які часто бувають у відрядженнях. У цих умовах у ІТ-служби виникає нагальна необхідність контролювати пристрої, які мають доступ до корпоративних даних, але при цьому знаходяться за межами периметра корпоративної мережі.
28 лютого 2014 Як відомо, десять років тому з'явився перший у світі мобільний вірус Cabir. Він був розроблений для зараження телефонів Nokia Series 60, атака полягала в появі слова Caribe на екранах заражених телефонів. Сучасні віруси для мобільних пристроїв набагато більш небезпечні та різноманітні.
28 січня 2014 року За принципом своєї роботи віртуальні машини нагадують фізичні. Тому для кіберзлочинців, що атакують корпоративні мережі з метою розкрадання грошей або конфіденційної інформації, привабливі як віртуальні, так і фізичні вузли.
30 грудня 2013 Рішення для захисту кінцевих точок з'явилися на ринку нещодавно, фактично після початку масового розгортання в компаніях локальних мереж. Прообразом цих товарів послужив простий антивірус захисту персонального комп'ютера.