Jak na rozsáhlejší bezdrátové sítě? (2)

Filip Weber Infrastruktura 21. ledna 2008

Cílem druhé poloviny tohoto článku je představit možnou alternativu, která řeší všechna úskalí a potencionální problémy, zmíněná v první části. Toto řešení spočívá v koncepčním přístupu který přináší technologie 3Com® Wireless LAN Mobility System.

Pokud bych měl stručně charakterizovat 3Com® Wireless LAN Mobility System, tak po logické stránce je to systém, který pro Vás centrálně spravuje, zabezpečuje a kontroluje bezdrátovou síť jako jeden celek. To vše napříč všemi lokalitami a bez ohledu na topologii nadřazené datové sítě. Po fyzické stránce se jedná o software na návrh a správu bezdrátové sítě, bezdrátový přístupový přepínač a tenké bezdrátové přístupové body. K jednotlivým komponentům podrobněji.

Software nazývaný 3Com® Wireless Switch Manager (dále jen WXM) je víceuživatelská aplikace, která zásadním způsobem zjednodušuje nasazení a správu libovolně velké bezdrátové sítě. Má integrovaný plánovací nástroj, do kterého lze nahrát půdorysy lokalit které hodláte pokrýt bezdrátovou sítí. Podporuje měřítka, vícepodlažní půdorysy a umožňuje před dokončením plánu podrobně definovat i požadavky na očekávané počty bezdrátových klientů v cílových oblastech a vztažené přenosové rychlosti. Dále v sobě integruje virtuálního průzkumníka oblasti, který Vám umožní nadefinovat v plánech nezohledněné překážky radiovému signálu. Ve chvíli, kdy tento software má dostatek informací o charakterech staveb a požadovaných parametrech bezdrátového pokrytí, provede optimální návrh    rozmístnění bezdrátových přístupových bodů. Tento návrh může správce sítě kdykoliv korigovat s realitou nasazení. Přepočítání dopadu změn je prováděno v reálném čase.  Používat podkladové plány není samozřejmě podmínkou, ale tato práce se později zúročí například ve schopnostech systému triangulační metodou trasovat uživatele bezdrátové sítě či lokalizovat neautorizované přístupové body, klienty, nebo prostě jen vadnou mikrovlnnou troubu. V přípravě bezdrátové sítě se i nadále pokračuje ve WXM takzvaně od stolu. Je třeba doplnit názvy požadovaných bezdrátových oblastí, návaznosti na šifrování a ověřovací autority. WXM při každém zadávání nových či pozměňování stávajích parametrů kontroluje jejich správnost z hlediska celku a doporučuje vhodné parametry.    WXM například neumožní zadání parametrů v rozporu s bezpečností či nastavení parametrů, které nejsou v souladu s regulacemi dané země instalace.

Po osazení hardware komponent 3Com® Wireless LAN Mobility Systému provede WXM jejich hromadnou konfiguraci a stará se o dohled nad celým systémem. Distribuované přístupové body v reálém čase kontroluje a v případě potřeby hromadně přepočítává a přenastavuje vysílací výkony či radiové kanály celých skupin přístupových bodů. To vše automaticky a s ohledem na minimalizaci radiových interferencí a maximální výkon celé bezdrátové sítě.  Dále poskytuje přesné informace o činnosti bezdrátové sítě jako jedné entity ve všech ohledech, od topologické mapy s hierarchickým znázorněním stavu všech komponent až po statistiku posledního uživatele této bezdrátové sítě. A protože se jedná o víceuživatelskou aplikaci, umožňuje třeba i souběžnou práci více administrátorů s rozdílnými právy. Změny konfigurací se samozřejmě zaznamenávají a v případě problému je umožněn návrat k libovolné předcházející konfiguraci.

Pokryti signalem a cisla kanalu v WXM

Pokryti signalem a cisla kanalu v WXM
(klepnutím na obrázek jej zobrazíte v plném rozlišení)

Aplikace 3Com® Wireless Switch Manager

Aplikace 3Com® Wireless Switch Manager
(klepnutím na obrázek jej zobrazíte v plném rozlišení)

Hardware komponenty systému jsou bezdrátový switch (dále jen WX) a centrálně spravovatelné tenké bezdrátové přístupové body (dále jen Managed-AP /M-AP/). Jak systém pracuje? Zjednodušeně lze říci, že WX se chová jako jeden bezdrátový přístupový bod s velkým množstvím radiových rozhraní M-AP volitelně distribuovaných v lokalitě pokryté klasickou „drátovou sítí“. Všechny M-AP nemají samostatné konfigurační rozhraní a k WX se připojují šifrovaným tunelem. Tento tunel se sestavuje automaticky napříč libovolnou přepínanou nebo směrovanou sítí. Jak se M-AP připojí k WXM? Tenký bezdrátový přístupový bod získá IP adresu z DHCP serveru a požádá DNS server o IP adresu WX. Pokud je v bezdrátovém switchi záznam o seriovém čísle M-AP a volitelně i unikátní „finger-print“, tunel je sestaven a M-AP je plně pod správou WX.    Po sestaveném tunelu jsou přenášená veškerá data komunikace uvnitř bezdrátové sítě nebo mezi LAN a bezdrátovou částí do WX. Zde jsou zpracovávána na základě nastavených pravidel. Je důležíté, že data z bezdrátových klientů vystupují do LAN v jednom místě.

Zde mi dovolte malou odbočku vztaženou ke zvýšené bezpečnosti jednotného výstupu do LAN. Notebooky a jiná mobilní zařízení jsou jejich majiteli často přenášeny z relativně bezpečného prostředí podnikové sítě do méně zabezpečeného prostředí domácností. Ty jsou v lepším případě vybavené malým firewallem nebo přímo připojovány na internet. Tím se zvyšuje riziko zavlečení síťového viru do lokální sítě prostřednictvím infikovaného notebooku. Pokud je z bezdrátové sítě pouze jeden výstup do LAN/WAN a je omezena vzájemná komunikace mezi klienty bezdrátové sítě, stačí nasadit základní IPS (prevenční systém proti průniku) a okamžitě je minimalizováno výše zmíněné bezpečnostní riziko.

3Com® Wireless LAN Mobility Systém

3Com® Wireless LAN Mobility Systém
(klepnutím na obrázek jej zobrazíte v plném rozlišení)

Nyní blíže k vlastnostem M-AP. K dispozici jsou dva základní druhy určené přímo pro spolupráci s WX. Jednoradiová a dvouradiová verze s nastavitelným vysílacím výkonem a podporou externích antén. Obě pracují dle standardu 802.11 a/b/g, pro každé radio však musíte zvolit, zda chcete využívat „áčko“ nebo „bé/géčko“. Dále platí, že jsou napájeny vzdáleně prostřednictvím napájení po Ethernetu dle standardu 802.3af a obsahují hardware akcelerátor šifrování pro procedury používané v bezdrátových sítích (WPA2, WPA, WEP). Každý M-AP lze nakonfigurovat ke dvěma WX souběžně pro plnou redundanci všech komponent v bezdrátové síti. M-AP se připojí k WX, u kterého má v konfiguraci vyšší prioritu. Dále je možné k 3Com® Wireless LAN Mobility Systému připojit i klasické podnikové bezdrátové přístupové body firmy 3Com, které lze přehráním firmware „zbavit svéprávnosti“ a plně podřídit správě WX. Nakonec existuje i seznam bezdrátových přístupových bodů třetích výrobců, jako jsou například Cisco, D-link nebo Symbol. Tyto dokáže 3Com Wireless Switch spravovat obdobně jako M-AP i bez konverze jejich  firmware.

Mezi další vlastnosti M-AP patří schopnost být sondou a sledovat okolní bezdrátovou komunikaci. M-AP se dle nastavení může stát sondo natrvalo a v tom případě nevysílá a pouze sleduje okolí. Může být sondou také dočasně, ve chvílích, kdy neobsluhuje bezdrátové klienty. Z 3Com® Wireless LAN Mobility Systému tak lze vytvořit jednu velkou distribuovanou bezdrátovou sondu.

M-AP podporují neomezeně názvů bezdrátových oblastí, ale v praxi si vystačíte jen se dvěmi až třemi. Systém totiž dokáže mapovat uživatele jedné bezdrátové oblasti do libovolné virtuální sítě na základě ověření. Padá tudíž běžný limit podnikových bezdrátových přístupových  bodů, kde název oblasti je přímo mapován na virtuální síť.

Aby jste si vytvořili věrnou představu o celém bezdrátovém systému, zbývá ještě popsat ten nejdůležitější komponent – bezdrátový switch. Zatím existují tři varianty 3Com bezdrátového switche. Tyto varianty WX jsou uzpůsobeny pro nasazení v různých velikostech lokalit. Nejmenší 3Com WXR100 switch je určen pro malé pobočky a dokáže spravovat tři M-AP. Prostřední 3Com WX1200 switch je určen pro připojení až 12 M-AP. Ten největší model, 3Com WX4400 controller, je v základu dodáván s licencí pro 24 M-AP a rozšiřitelnou podporou až pro 120 M-AP. Všechny tři WX jsou z hlediska subsetu vlastností a způsobu konfigurace shodné, liší se jen počtem portů, přepínacím výkonem a počtem podporovaných M-AP. Zde je výčet těch nejzajímavějších vlastností:

  • Nejmodernější technologie pro ověřování, šifrování a zařazování uživatelů – Bez nutné vazby na název obsluhované bezdrátové oblasti může být uživateli na základě ověření zvolen typ šifrování (WEP[64,128], WPA[TKIP], WPA2[AES]), mohou mu být přiřazeny přístupové filtry a QoS pravidla a výstup z bezdrátové sítě směrován do konkrétní virtuální sítě. Switch mimo jiné podporuje ověřování na externím nebo integrovaném webovém ověřovacím rozhraní s překvapivě snadnou obsluhou.
  • Integrovaný RADIUS - V bezdrátovém switchi je integrován RADIUS server s podporou do 1000 klientů, ale systémy samozřejmě podporují i externí ověřovací autority.
  • Řízení přístupu hostů – Snadné vytváření hostujících uživatelů prostřednictvím integrovaného nástroje bez dalších administrátorských práv.
  • Roaming bez přerušení - Jak již bylo zmíněno, systém se chová jako jeden přístupový bod s množstvím radiových interface. Takže pokud provádí klientské zařízení roaming mezi jednotlivými radii systému, je stále připojen k témuž přístupovému bodu a nemusí znova procházet celou ověřovací procedurou.
  • Podpora QoS – WX dokáže klasifikovat provoz a řadit jej k odeslání na M-AP. WX podporuje IGMP a je kompatibilní s pre-standardem 802.11e (WMM). Splňuje požadavky na QoS dle výrobce VoIP telefonů Spectralink.
  • Nízké nároky na administraci - Automatické řízení kanálů a vysílacích výkonů M-AP na základě topologie sítě.
  • Škálovatelnost – Systém lze pomocí licenčního systému navyšovat na potřebný počet uživatelů.

Autor, Certified Enterprise LAN Expert, je pracovníkem společnosti CompuNet s.r.o.


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.