Rýchla orientácia vo WiFi dizajnoch

Martin Dubeň

WiFi jednoducho

ap325_aruba Niet pochýb o tom, že budúcnosť patrí WiFi a časom viac a viac tradičných káblových sietí bude nahradených Wireless pripojením. Mobilita a komfort sú tie hlavné hybné faktory, ktoré stoja za úspechom WiFi a spôsobujú, že stále viac podnikov neponúka bezdrôtovú sieť len ako doplnok k tradičnej ethernetovej sieti, ale čoraz častejšie sa môžeme stretnúť s WiFi sieťou ako primárnou možnosťou pripojenia. Platí to najmä pre menšie spoločnosti, pre ktoré je nezanedbateľnou motiváciou aj nízka výška vstupných nákladov. Otázkou preto zostáva, či by bolo možné priniesť do tejto sféry pokročilé možnosti WiFi z korporátneho sveta pri nezmenej cene a teda za nízke náklady. Pozrime sa na typický WiFi dizajn a hlavne kedy a na aký účel ho použiť.

 

Instant Access Point (IAP)

V prípade, že na pokrytie signálom nie je potrebné veľké množstvo AP, je možné použiť riešenie s nezávislými AP tzv. Instant Access Pointy. Pre tento dizajn nie je Controller vôbec potrebný a jeho rolu preberie jeden z Access Pointov, ktorý menežuje zvyšné AP v sieti. Toto AP virtualizuje väčšinu funkcií Controllera na spravovanie ostatných AP, poskytuje redundanciu, jednoduchosť konfigurácie a sieťového menežmentu. Možnosti ktoré IAP ponúka sú takmer identické s tými, ktoré sú dostupné v klasickej sieti s fyzickým Controllerom, jediný rozdiel je v robustnosti riešenia. Dostupné sú tak všetky funkcie ako pokročilý výber frekvencie, rádia, široké možnosti autentifikácie, QoS a všetky aspekty bezpečnosti. Ak by aj firma časom zmenila názor, nie je problém kedykoľvek prejsť k scenáru s dedikovaným Controllerom, najmä ak sa Wireless sieť rozrastie a bude pohodlnejšie ju riadiť centrálne.

Technický popis

Sieť s Instant Access Pointami
Sieť s Instant Access Pointami

Na obrázku môžeme vidieť typický dizajn s použitím Instant Access Pointov. Jedno z AP je zvolené za virtuálny Controller a riadi zvyšné AP. Riešenie ponúka pôsobivú škálovateľnosť, AP môžu byť inštalované v jednej lokalite alebo môžu byť nasadené vo viacerých geografických lokalitách. Okrem zjednodušenia konfigurácie, prináša táto technológia virtuálneho kontrolera pokročilé možnosti, ako je automatické QoS, overovanie 802.1X, prideľovanie rôznych úrovní prístupu pre rôznych užívateľov, detekciu cudzích zariadení pripojených v sieti a mnohé ďalšie.

WiFi Cloud

iap205h_arubaVeľmi dobre si uvedomujeme, aké vysoké náklady môžu byť spojené s implementáciou bezdrôtovej technológie do firemnej infraštruktúry, obzvlášť ak sa s ňou pri počiatočnom návrhu podnikovej siete nerátalo. Okrem ceny Access Pointov treba počítať s investíciou do WLAN Controllera, v prípade redundancie dokonca dvoch a v závislosti od počtu Access Pointov aj s nákupom licencií. Okrem vysokej počiatočnej ceny nemožno zabudnúť na možnú komplexitu technickej implementácie, na ktorú nemusí byť každá firma pripravená a ktorá si pravdepodobne vyžiada zásahy do existujúcej infraštruktúry. Je preto na mieste otázka, či by bolo možné implementovať Wireless sieť s minimálnym dopadom na fungujúcu sieť a zároveň s čo najnižšími nákladmi. Odpoveď znie: “Áno”, a riešenie sa volá Wireless Cloud.

 

Wireless Cloud

Cloud, tak ako v iných odvetviach IT biznisu aj vo Wireless svete, prináša najmä dostupnosť inak zložitých a drahých riešení pre každého. Od najmenších firiem, pre ktoré by boli takéto služby drahé, po najväčšie korporácie, ktoré sa snažia znížiť výdavky za služby, ktoré je možné jednoducho a efektívne outsourcovať. Zákazník dostane Access Point, ktorý si zapojí do svojej siete podľa ľubovôle a o viac sa nestará. AP sa na pozadí pripojí na cetralizovaný WLAN Controller umiestnený v data cente, vytvorí sa šifrovaná komunikácia medzi AP a Controllerom pomocou IPSec tunela a nasleduje klasický scenár, akoby AP a Controller boli v jednej lokácii.

Technický popis

Wireless Cloud
Wireless Cloud

Na diagrame môžeme vidieť typický Cloud dizajn. U zákazníka sa nachádzajú iba Access pointy, ktoré vytvárajú šifrovaný IPSec tunel do Controllera umiestneného v data centre. Tento Controller je zalohovaný ďalším, pre dosiahnutie vysokej dostupnosti. Aby AP mohli komunikovať so vzdialeným Controllerom, je potrebné na firewalle na strane zákazníka povoliť IPSec protokol smerom do DC. To je jediná požiadavka pre správne fungovanie Wireless Cloudu. Controller na základe Access Pointu a jeho jedinečnej MAC adresy zistí o ktorého zákazníka sa jedná a vyberia z databázy, správnu konfiguráciu. Ta je bezepečne poslaná cez tunel do vzdialených Access Pointov. Rovnako ako v prípade lokálneho WLAN Controllera, Cloud Controller sa plne stará o bezproblémovú prevádzku Wireless siete od výberu frekvencie, rádia, cez autentifikáciu až po bezpečnosť.

Enterprise WiFi dizajn

AP-225-arubaAj keď celkom neopodstatnene, v súčastnosti stále prevláda názor, že bezdrôtová (WiFi) sieť nie je schopná plnohodnotne nahradiť klasické ethernetové pripojenia v kanceláriach, či už kvôli nižšej prenosovej rýchlosti alebo menšej spoľahlivosti. Pritom 802.11ac štandard ponúka reálne prenosové rýchlosti okolo 700 Mbps, hustejším pokrytím Acess Pointami vieme zvýšiť redundanciu a tým aj dostupnosť a naviac nám WiFi ponúka ďalšie benefity ako mobilitu alebo pohodlie. Okrem toho ušetrené náklady a investície, nutné pri implementácii tradičnej siete, ktoré už mnoho firiem ani neregistruje, pretože ich považuje za nutné, je možné použiť na ďalší rast firmy alebo ich investovať v inej časti podnikovej siete, napríklad zlepšenia WAN konektivity. Ak sa aj niektoré firmy pustia do implementácie bezdrôtovej siete, zväčša ju považujú len za akýsi nutný doplnok k tradičnej káblovej sieti, použijú najlacnejší hardvér na trhu, neobťažujú sa ani s poriadnou konfiguráciou a tým iba zhoršujú povedomie, ktoré panuje o bezdrôtových sieťach.

Wireless Controller a AP

Aby sa bezdrôtová sieť správala predvídateľne, aby dokázala dynamicky reagovať na požiadavky užívateľov a aby sa za behu vedela adaptovať na zmeny v sieti, je nutné, aby bola nakonfigurovaná ako jeden celok. K dosiahnutiu tohto cieľa najlepšie poslúži Wireless Controller, ktorý okrem zjednodušenia konfigurácie, vykonáva mnoho ďalších funkcií a prináša do WiFi siete poriadok, čistý dizajn a mnoho výhod. WLAN controller je fyzické zariadenie, ktoré komunikuje so všetkými Access Pointami v sieti súčastne. Tým nám umožňuje rýchlu a jednoduchú možnosť konfigurácie viacerých AP súčastne bez nutnosti nastavovania jednotlivých AP samostatne. Odpadá nám tým nutnosť redizajnovať sieť zakaždým, keď chceme implementovať nový Acess Point. V momente pripojenia nového AP do siete, Access Point vyhľadá WLAN Controller a vytvorí sa medzi nimi stále spojenie (GRE tunnel), cez ktorý Controller pošle Access Pointu konfiguráciu, vrátane informácie o SSID, ktoré má AP vysielať. Celý proces trvá iba niekoľko sekúnd a nové AP je pripravené obslúžiť užívateľov. Úloha WLAN Controllera, ale v tomto momente nekončí, vykonáva množstvo ďalších funkcí, ktorými zabezpečuje hladký chod WiFi siete:

  • Centralizovaná autentifikácia
  • Centralizovaný rádio manažment pre všetky AP
    • Detekcia a ochrana pred inteferenciami
    • Load Balancing
    • Radio Balancing
    • Fail over
  • RF vizualizácia
  • NAC (Network Access Control)
  • Bezpečnosť
    • Access listy
    • Detekcia Ad-hoc sietí
    • De-asociácia AP/klienta z iných sietí
    • Detekcia Rogue Access Pointov
    • Ochrana pred Man-In-The-Middle útokom
    • Ochrana pred DoS útokmi
  • Obmedzenie šírky pásma pre konkrétneho užívateľa
  • Quality of Service (QoS)

 

Technický popis

Smart WLAN dizajn
Smart WLAN koncept

Na obrázku môžeme vidieť typickú konfiguráciu pre stredné a veľké podniky. Srdcom WiFi siete je WLAN Controller zapojený v redundantej konfigurácii pre dosiahnutie vysokej dostupnosti. Je možná konfigurácia active/standby, keď záložný Controller neobsluhuje žiadne AP a do prevádzky sa zapojí iba v momente ak sa niečo stane aktívnemu Controlleru, poprípade je možná active/active konfigurácia, keď každý z Controllerov obsluhuje časť Access Pointov a iba v prípade problémov preberie všetky AP Controller, ktorý je práceschopný. Controller pripájame väčšinou na core vrstvu siete, poprípade kvôli bezpečnosti do DMZ, zatiaľ čo Access Pointy obyčajne pripájame na access vrstvu. Počet AP závisí od viacerých faktorov, najmä priestorov a počtu užívateľov. Po úspešnej konfigurácii začnú Access Pointy vysielať SSID, ktoré im boli nastavené. Kanál na ktorom vysielajú je zvolený dynamicky Controllerom, pre každé AP je samozrejme iný, tak aby na ňom nedochádzalo k interferenciam. Ak sa časom niečo zmení a kanál nie je viac voľný, automaticky sa zmení za iný dostupný. Autentifikácia užívateľov sa vykonavá rovnako na Controllery, ktorý overuje priamo alebo preposiela požiadavky na iné autentifikačné servery ako sú radius alebo LDAP. V prípade, že na jednom AP je pripojených príliš veľa užívateľov, Controller presmeruje nové požiadavky na iný dostupnejší Access Point, rovnako tak ak niektorý z aktívnych AP vypadne, užívatelia pripojení k tomuto AP budu presmerovaní na okolité Access Pointy. V prípade, že chceme niektoré SSID izolovať v rámci siete (napríklad SSID určené pre návštevy), môžeme túto komunikáciu tunelovať do Controllera, kde ju buď oddelíme pomocou VLANy alebo nastavíme Access Listy, ktorými ju obmedzíme tak ako potrebujeme a dosiahneme tak požadovaný dizajn.

Written by 

Martin pracuje v IT sektore viac ako 10 rokov, venuje sa sieťovým technológiam, zameriava sa na bezdrôtové siete a ich bezpečnosť.

Leave a Reply

Your email address will not be published. Required fields are marked *