Jak na rozsáhlejší bezdrátové sítě? (1)

Filip Weber Infrastruktura 14. ledna 2008

Počty podnikových bezdrátových sítí narůstají exponencionálně s rostoucím prodejem notebooků a PDA. Každý kdo se stará o rozsáhlejší bezdrátovou síť, dobře ví, jaké problémy obnáší instalace a správa jak AP tak i mobilních klientů. Pro budoucí správce těchto sítí se na jednotlivá úskalí ä problémy podíváme v tomto článku podrobněji.

Počty podnikových bezdrátových sítí narůstají exponencionálně svázány s rostoucím prodejem notebooků a personálních asistentů (PDA). Tyto systémy jsou většinou již továrně vybavené bezdrátovou síťovou kartou a dávají uživatelům jak v podnikových sítích tak i doma tolik oceňovanou „všudypřítomnou“ konektivitu. Pro malé a střední instalace, řekněme do desítky bezdrátových přístupových bodů je snadná instalace a správa jak AP tak i mobilních klientů. Vždyť i základní přístupové body dnes obsahují jen velmi těžko prolomitelné způsoby ověřování a šifrování a za použití průvodců integrovaných do AP lze takovou menší bezdrátovou síť bez složitých příprav nasadit do provozu. Problémy však velmi rychle přicházejí, pokud je dle stejného přístupu navržena a instalována rozsáhlejší bezdrátová síť. Mezi tyto základní problémy patří zejména nekonzistentní pokrytí bezdrátovým signálem, nutnost opakování ověřovací procedury při přechodu mezi přístupovými body, složitá správa a nedostatečný dohled nad velkou množinou samostatně spravovaných jednotek přístupových bodů, omezené možnosti dynamického sdílení zátěže mezi přístupovými body a mnoho dalších problémů. Každý kdo se o rozsáhlejší bezdrátovou síť podobné koncepce stará, dobře ví, o čem píši. Pro budoucí správce těchto sítí se raději na jednotlivá úskalí podívejme podrobněji.

Nekonzistentní pokrytí bezdrátovým signálem vychází již z technologie IEEE 802.11b/g samotné. Limitem je zde zejména množství kanálů, které se vzájemně nepřekrývají a tudíž i neruší. Samozřejmě můžete podotknout, že s novým všeobecným oprávněním ČTU VO-R/12/08.2005-34 je v ČR možné používat i zařízení standardu 802.11a kde je nepřekrývajících se kanálů mnohem více. Trošku slangově řečeno „áčko“ však má bohužel i menší dosah a tak na pokrytí stejné podlahové plochy je třeba až třikrát více bezdrátových přístupových bodů, než je tomu u „géčka“. Navíc naprostá většina klientských bezdrátových zařízení dodaných na náš trh před loňským zářím ani podporu tohoto standardu neobsahovala. Pokud se tedy naprosto logicky rozhodnete pro použití bezdrátových přístupových bodů dle standardu 802.11g, máte vlastně k dispozici jen tři vzájemně se nepřekrývající kanály. Pokud pokrýváte pouze jedno podlaží budovy, lze se s tímto „nedostatkem“ třeba i vyrovnat a návrh provést solidně. U více podlahových budov, neřku-li areálů, však musíte být příznivcem extrémních sudoku. Právě tato japonská hra s čísly totiž nejvíce připomíná to, s čím se jako návrhář bezdrátové sítě setkáte. A pokud Vás napadlo, že by jste tento problém mohli obejít automatickou volbou kanálů, pochodíte po nasazení do reálného provozu ještě hůře. Automatická volba kanálu sice detekuje zarušení jednotlivých kanálů a následně provede volbu optimálního kanálu s nejnižší interferencí. Ta se však u naprosté většiny zařízení provede pouze jednou, a to po restartu daného přístupového bodu. Dále není sledována. Když poté budete potřebovat u libovolného přístupového bodu změnit kanál, čeká vás povinný sekvenční restart všech ostatních bodů. Navíc nikdy nevíte, zdali si všechny přístupové body poradí s volbou optimálně. Svoji roli zde hraje velké množství parametrů, které by měly být sledovány po delší dobu, ne jen vteřinu po restartu. Každopádně jak v manuální tak automatické konfiguraci je problém na světě a úspěšné řešení nebývá snadné.

Opakování ověřovací procedury při roamingu je také častou bolístkou. Roaming (migrování) mezi přístupovými body si řídí bezdrátoví klienti (síťové karty) dost nezávisle a možností nastavení v ovladačích karet také není přespříliš. Při samotném roamingu se uděje mnoho věcí, každá navíc vyžaduje svůj čas. Pokusím se je zjednodušeně popsat. V případě, že se ovladač karty rozhodne připojit zařízení k jinému přístupovému bodu, provede nejprve odhlášení od stávajícího přístupového bodu. Poté zahájí vyjednávání s nově zvoleným přístupovým bodem. Pokud je použito ověřování, nový přístupový bod zahájí ověřovací proceduru, která se sestává z vyslání požadavku na ověření na bezdrátového klienta, zpětného převzetí informací, zabalení do unicast paketu a odeslání na RADIUS server. RADIUS server vyhodnotí dodané údaje a předá přístupovému bodu informace, zda je uživatel schválen či nikoliv. RADIUS případně dodá i volitelné atributy jako členství ve virtuální síti  a QoS skupině. Předpokládejme, že je uživatel úspěšně ověřen a klientu je umožněn přistup do LAN prostřednictvím nově zvoleného přístupového bodu. Nyní již zbývá jen vyjednat podmínky šifrování a požádat DHCP server o nové přidělení IP adresy. Jak dlouho je mobilní klient bez spojení? Slušně fungující bezdrátová síť celou proceduru zvládne do 5 vteřin. Co se stane s otevřenou aplikací nebo jak se bude chovat WiFi VoIP telefon lze jen težko předvídat.

CompuNet s.r.o.

Složitý dohled na velkou skupinou bezdrátových přístupových bodů se zákonitě projeví omezenou informovaností o jejich činnosti a celkovém stavu bezdrátové sítě. Každý bezdrátový bod je systémem na správu sítě zobrazován jako samostatná entita. Navíc, zkoumali jste někdy kolik informací vám dá Váš nástroj na správu sítě o stavu bezdrátové sítě? Administrátor má tak jen velmi omezený přehled o celkovém fungování bezdrátové sítě, celkových přenášených datech, dostupném pásmu, kvalitě spojení. Dohledat mezi desítkami přistupových bodů konkrétního klienta a přesněji lokalizovat jeho pozici je v reálném čase prakticky nemožné.

Limitovaná bezpečnost je se vzrůstající bezdrátovou sítí nasnadě. Z mnoha možných variant jen bych citoval tu, se kterou se může správce setkat nejčastěji. Se snižující cenou bezdrátové technologie je možné, že některý z uživatelů LAN se pokusí neoprávněně nasadit svůj vlastní přístupový bod do podnikové sítě. Pokud se tak stane, je velmi pravděpodobné, že jeho bezpečnost nebude na shodné úrovni jako bezpečnost administrátorem spravovaných přístupových bodů a díra do bezpečnosti sítě je obrovská. Detekce neautorizovaného přístupového bodu je celkem snadná, ale vyžaduje, aby administrátor se scanovacím software pravidelně procházel lokality a hledal, kontroloval. To chce čas a přítomnost správce sítě v kontrolované lokalitě. U větších společností s množstvím poboček a centrální administrací to nemusí být zrovna snadná a levná záležitost.

Podobných problému by se dalo najít daleko více, z dalších mi proto dovolte jmenovat alespoň ty významější. Například mizivou redundanci v případě výpadku klíčového přístupového bodu. Nebo decentralizovaný výstup bezdrátových klientů do LAN přímo z bezdrátových přístupových bodů. Diskutabilní transparentnost k virtuálním sítím. Zajištění bezpečného bezdrátového přístupu pro návštěvy a partnerské organizace a oddělení jejich komunikace od komunikace ověřených klientů. A co třeba hromadné změny konfigurace na přístupových bodech? Nebo zachování identických pravidel pro přístup a komunikaci v bezdrátové síti na všech pobočkách tak, jak je tomu v centrále firmy. Prostě problémů, které sebou nese nasazení rozsáhlejší bezdrátové sítě je více než dost.

Autor, Certified Enterprise LAN Expert, je pracovníkem společnosti CompuNet s.r.o.


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.