Особенности беспроводного строительства
,
, # 5/2004
Если для организации хот-спота или беспроводной сети в малом офисе достаточно установить одну беспроводную точку доступа, то при создании крупных корпоративных сетей с большим числом клиентов и базовых станций появляется необходимость в использовании более сложного оборудования. О нем и принципах его функционирования и пойдет речь в этой статье.
Для начала напомним: точки доступа стандарта 802.11х предоставляют разделяемую среду, в которой в определенный момент времени лишь одна из них может вести передачу данных. Как следствие, масштабирование таких сетей невелико, ведь параллельной работы расположенных вблизи точек доступа привычными методами не добиться. Нельзя забывать, что стандартно точки доступа комплектуются всенаправленными антеннами. В результате вопросы безопасности сети, построенной на их основе, встают очень остро. Да и тот факт, что точка доступа самостоятельно управляет такими функциями, как шифрование данных и аутентификация пользователя, вряд ли повысит уровень безопасности сети и не порадует ее администратора, вынужденного проводить "тонкую" настройку, реконфигурирование или проверку работоспособности каждой из них.
Перечисленные проблемы легко решаются использованием беспроводных коммутаторов или маршрутизаторов. Сразу следует сказать, что, несмотря на функциональное сходство с привычными проводными коммутаторами, беспроводные коммутаторы имеют свои особенности.
Стандартом IEEE 802.11 и его расширениями не определен механизм выделения полосы пропускания каждому пользователю. Такое возможно лишь на нестандартном оборудовании, например, на радиомаршрутизаторах Revolution, о которых рассказано ниже.
Большинство же беспроводных систем предназначены для развертывания сетей только внутри помещений и спроектированы с учетом требований стандарта 802.11. Для разворачивания крупных сетей внутри помещений предназначены специализированные коммутаторы беспроводных сетей.
В сети, где устанавливается беспроводной коммутатор, функции шифрования и аутентификации переходят от точек доступа к коммутатору и администрируются централизовано. В итоге задача точки доступа ограничивается транзитом данных к пользователю и от него.
Еще одно важное преимущество сети на базе беспроводного коммутатора в том, что пользователь, находясь в ней, при переходе от одной точки доступа к другой соединения с сетью не теряет и аутентификацию заново не проходит. Беспроводной коммутатор, являясь своеобразным центром беспроводной сети, "отслеживает" все перемещения клиента, автоматически, без ущерба для сеанса связи .
Ну а вследствие того, что большая часть точек доступа поддерживает режим питания PoE (Power over Ethernet), беспроводной коммутатор, который может стать для них источником питания, способен выполнять еще и функции отслеживания отказавших участков сети. Таким образом, он компенсирует неисправность участка сети расширением числа пользователей точек доступа, соседствующих с вышедшей из строя, путем увеличения их мощности. В идеале беспроводной коммутатор может эффективно распределять еще и загрузку каналов, исходя из информации о количестве пользователей, предлагая более широкую пропускную способность сегментам сети, где количество пользователей в данный момент больше. Уже сегодня производители беспроводных коммутаторов предлагают в составе своих продуктов, специализированное ПО, позволяющее решить все описанные выше функции.
На рынке беспроводных коммутаторов представлено несколько компаний. Среди них Symbol Technologies, Hewlett-Packard, Proxim, Aruba Wireless Network. В России наиболее доступна продукция лидера рынка (по данным Infonetics Research) - Symbol Technologies и Hewlett-Packard, новичка этой сферы.
Самый новый беспроводной коммутатор в линейке Symbol Technologies - Symbol WS 2000 Wireless Switch (WS 2000) - представляет собой единую систему, включающую функции обеспечения безопасности, управления, и мобильности для создания Ethernet-сетей корпоративного класса и беспроводных сетей. Оборудование WS 2000 предусматривает централизованное администрирование из центров управления сетью, поддерживает тиражирование в нескольких филиалах для согласованности сетевой архитектуры. Средства безопасности корпоративного класса включают в себя межсетевой экран с проверкой состояния связи; полнофункциональный сервер Network Access Translation с несколькими шлюзами прикладного уровня, способными обслуживать 40 приложений; поддержку стандартов Kerberos, 802.1X/EAP, WPA и IEEE 802.11i, а также встроенную защищенную базу данных веб-аутентификации. Расширенные возможности управления через SNMP и веб с поддержкой SSL позволяют централизованно управлять этим оборудованием, инсталлированным в нескольких офисах.
Коммутатор поддерживает сразу несколько стандартов - IEEE 802.11b, 802.11a и 802.11g. Помимо встроенной памяти 64 Мбайт продукт имеет слот CompactFlash для установки дополнительной памяти и загрузки новых средств безопасности, управления и обеспечения мобильной работы. От WS 2000 можно запитывать точки доступа.
HP стала первой компанией из числа A-brand, представившей беспроводные коммутаторы. Семейство ProCurve Secure Access 700wl включает три устройства: 720wl, 740wl и 760wl. Согласно данным HP, эти устройства должны обеспечить пользователям защищенное и прозрачное соединение с сетью при их перемещениях в пределах предприятия. Среди возможностей семейства этих продуктов имеются средства, позволяющие контролировать доступ по ряду параметров: в зависимости от пользователя, его месторасположения и времени суток. Они также совместимы с любым ПО для виртуальных частных сетей (VPN) и не требуют инсталляции на беспроводном устройстве специализированного клиента VPN. Коммутатор Access Controller 720wl может работать с любыми точками доступа стандарта 802.11b, включая собственный продукт компании, ProCurve 520wl. Он поставляется с четырьмя портами Ethernet 10/100 для подключения точек доступа и имеет два слота расширения, позволяющие увеличить число портов до двенадцати. Возможны и другие варианты использования этих слотов - порты Fibre Channel и платы акселераторов, ускоряющие работу с функциями защиты, например шифрованием. Второй продукт - Access Control Server 740wl - предназначен для централизованной настройки и управления политиками, которые затем будут реализовывать коммутаторы 720wl. И наконец, для малых предприятий и подразделений компаний предназначено устройство Integrated Access Manager 760wl, объединяющее коммутатор и сервер управления. Компании могут вначале использовать только это устройство, а затем, по мере расширения сети, добавлять к нему коммутаторы 720wl, сохраняя возможность централизованного управления ими через сервер 760wl.
Немаловажным элементом крупных сетей служат маршрутизаторы. Необходимо сказать, что сегодня большая часть точек доступа, представленных на рынке обладает их функциями. Подобное устройство производит компания LinkSys, входящая в состав Cisco Systems. Точка доступа Wireless-G VPN Router способна также выполнять функции маршрутизатора для беспроводных сетей стандартов 802.11b/g. Новинка ориентирована на сектор SOHO и имеет стандартную для своего класса конфигурацию: точка доступа для работы с устройствами, оснащенными адаптерами, и четыре порта Ethernet 10/100 для проводных подключений. В основе устройства лежит процессор для сетевых приложений Intel IXP425, а в качестве операционной системы используется Linux. Wireless-G VPN Router поддерживает шифрование данных по протоколу WEP, работу в режиме VPN и может осуществлять контроль пакетов (Stateful Packet Inspection). Это позволяет использовать его как брандмауэр для локальной сети. Стоимость Linksys Wireless-G VPN Router (WRV54G) около $230.
С некоторых пор присутствует на рынке беспроводных решений для предприятий и компания Gigabyte Technology. Ее продукт Gigabyte GN-B49G также дополнен функциями маршрутизатора и предназначен для обеспечения доступа в Интернет с любого компьютера, входящего в состав беспроводной сети стандарта 802.11g. По утверждению разработчиков, GN-B49G позволяет удвоить производительность беспроводной сети и повысить скорость передачи данных с 54 до 108 Мбит/с. Кроме того, новинка имеет упрощенную систему настройки и конфигурации: функция Smart Detection автоматически определяет тип интернет-соединения, а функция Smart Setup присваивает каждому компьютеру IP-адреса, не конфликтующие друг с другом. Также в маршрутизаторе реализована фирменная технология Gigabyte Extended Distribution Wireless System (EDWS), расширяющая возможности топологии Wireless Distribution System (WDS), предназначенной для распределения "обязанностей" между точками доступа. Если при использовании системы WDS, занятые точки доступа могут лишь передавать информацию, то благодаря EDWS эти точки доступа сохраняют способность подключать (соединять) клиентов беспроводных сетей. Точка доступа GN-B49G поддерживает системы шифрования WEP с 64-, 128- и 152-разрядными ключами, а также технологию WPA. Кроме того, устройство имеет встроенный брандмауэр, предотвращающий несанкционированный доступ к данным внутри и вне беспроводной сети. Строгим работодателям понравится реализованная в GN-B49G функция блокирования доступа к некоторым сайтам в Интернете или к данным определенного содержания.
Есть в линейке D-Link и маршрутизатор, совместимый со стандартом 802.11g. Это модель AirPlus Xtreme G DI-624, оснащенная четырьмя портами Ethernet 10/100. Маршрутизатор построен на основе чипсета Prism GT производства Intersil и имеет встроенный брандмауэр с поддержкой аутентификации по аппаратному MAC-адресу клиента, Stateful Packet Inspection (мониторинга входящих пакетов), фильтрацией контента, а также базовыми функциями блокировки по адресам IP, URL и т. д. Имеющийся в составе DHCP-сервер автоматически присваивает беспроводным клиентам IP-адреса. В качестве криптозащиты используется механизм WEP с ключом длиной 64 или 128 бит.
Другой маршрутизатор компании D-Link - AirPlus DI-714P+, предназначен для работы в сетях стандарта 802.11b и 802.11a. Он содержит точку доступа, Ethernet-коммутатор и принт-сервер. Максимальная скорость передачи данных составляет 22 Мбит/с на расстояние до 100 м. При этом устройство может задействовать до 11 радиоканалов при работе в диапазоне 2,4 ГГц и 8 - при работе на 5 ГГц. Также устройство имеет четыре порта Ethernet 10/100, один LPT-порт, антенны дипольного типа, поддерживает протокол защиты WEP с 64/128/256-битным ключом. Мощность приемопередатчика D-Link DI-714P+ составляет 15 +/-2 дБ/м, а размеры - 91,2х54х36,4 мм при весе 907 г. Примерная цена устройства - $190.
Маршрутизатор стандарта 802.11g есть в линейке компании SMC Networks. Речь идет о новом продукте серии Barricade - SMC2804WBR-G. Данный маршрутизатор независим от платформы и является многофункциональным устройством, сочетающим беспроводную точку доступа и четырехпортовый коммутатор, поддерживающий скорости 10 и 100 Мбит/с. SMC2804WRB-G обеспечивает радиус охвата до 385 м, который можно увеличить с помощью дополнительной антенны с более высоким коэффициентом усиления. Маршрутизатор имеет встроенный брандмауэр с поддержкой стандарта Stateful Packet Inspection (SPI) и системой обнаружения атак. Имеется возможность фильтрации IP- и MAC-адресов, а также ограничения доступа к отдельным ресурсам Интернета путем указания URL или ключевых слов. Поддерживается стандарт 802.11х для авторизации и аутентификации пользователей, 64/128-битное шифрование WEP, стандарт WPA и возможность отключения SSID. Маршрутизатор комплектуется также встроенным сервером печати и возможностью подключения через USB-порт. Весьма интересное решение предлагает компания Netgear (дочерняя структура Nortel Networks). Маршрутизатор с функциями брандмауэра WGT624 ее производства ориентирован на создание сети в стандартах IEEE 802.11b/g. Маршрутизатор включает четырехпортовый коммутатор Ethernet 10/100, брандмауэр с поддержкой NAT и SPI, обеспечивает 152-битное шифрование данных по алгоритму WEP, поддерживает VPN и WPA (Wi-Fi Protected Access). WGT624 способен обнаружить вторжение, вести протоколирование и оповещать системного администратора по электронной почте в случае возникновения нештатных ситуаций.
Линейка оборудования для беспроводных сетей компании Edimax Technology представлена целым рядом устройств с различным функционалом. Одно из наиболее интересных устройств, недавно появившихся на нашем рынке - широкополосный маршрутизатор AR-6024WB со встроенным ADSL-модемом, точкой доступа стандарта 802.11b и коммутатором Fast Ethernet на четыре порта. Модель поддерживает все основные режимы работы подобных устройств: PPPoA, PPPoE, маршрутизатор, мост, кроме этого, оснащена интерфейсом USB LAN Port, 10/100BaseTX. Основная сфера применения маршрутизатора - сектор SOHO.
Этот рассказ был бы не полным без упоминания об оборудовании отечественного производства - в частности, радиомаршрутизаторах Revolution, которые производит российская компания CompTek. Эти устройства предназначены для построения распределенных беспроводных сетей передачи данных масштаба города и сетей с предоставлением QoS. Revolution обладает полным набором характеристик, присущих современному маршрутизатору, а также рядом специфических сервисных функций, актуальных при использовании устройства в составе операторских сетей беспроводного доступа. Линейка представлена маршрутизаторами серии 2000 (как видно из названия, серия предназначена для работы в сетях диапазона 2,4 ГГц), предназначенными для использования в качестве абонентского устройства, а также организации точек ретрансляции, и серией 5000 (для диапазона 5 ГГц). Радиомаршрутизатор Revolution 5000 mini - функционально более продвинутое устройство (в его основе лежит аппаратная платформа на процессоре IBM PowerPC с тактовой частотой 200-400 МГц). Особенность радиомаршрутизаторов Revolution в том, что любое устройство, может применяться в качестве любого элемента сети - как базовой станции и ретранслятора, так и у абонента.
В заключение скажем, что с помощью описанного оборудования в принципе возможны самые различные варианты построения беспроводной сети. При этом, как бы специфичен ни был бизнес пользователя, вероятнее всего, для любой задачи найдется и оптимальная конфигурация, и максимально удобное беспроводное решение.