ЛВС на базе беспроводной среды (Wi-Fi)
В данной статье в качестве беспроводной среды передачи рассматриваются технологии Wi-Fi. Приложения WiMax с многокилометровым доступом, равно как доступ 3G и 4G от провайдеров мобильной связи остаются за кадром как оборудование операторского класса, а Bluetooth и ИК-подключения в основном предназначены для индивидуального использования: синхронизации личных гаджетов пользователя, дистанционного управления оборудованием или иных несетевых целей.
Технология Wi-Fi занимает особое положение, поскольку ее нельзя рассматривать в отрыве от кабельных сред. Даже если в рамках здания все пользователи подключаются только к Wi-Fi, переход на кабельную среду все равно имеет место, только не от рабочей станции пользователя, а от беспроводной точки доступа, обслуживающей сетевые устройства в определенной зоне. Тем не менее, обеспечиваемый метраж (даже без ухищрений вроде параболических или направленных антенн и другого специализированного оборудования) и пропускная способность пригодны не только для квартирного сектора, но и для офисного использования, а также для мест с общественным доступом: кафе, ресторанов, гостиниц, торговых центров, спортивных сооружений, вокзалов, парков и других подобных объектов.
Пропускная способность и расстояние, обеспечиваемые технологией Wi-Fi в зависимости от стандарта.
Стандарт IEEE
Пропускная способность
Поддерживаемое расстояние
внутри зданий
на открытом пространстве
Хороший Wi-Fi для предприятия: от А до Я
Wi-Fi не так прост, как кажется на первый взгляд, и чем больше его изучаешь, тем сложнее, тут важно вовремя остановиться и выделить главное. Давайте рассмотрим все аспекты беспроводных технологий, которые надо не забыть, если хотим сделать хороший Wi-Fi («ловит сеть» там где надо, с требуемой скоростью, и чтобы при премещении “ни единого разрыва”).
Юридические моменты
Чтобы однажды не было мучительно больно, лучше сразу изучить что разрешено, что запрещено, а для чего требуется согласование. Вот что надо узнать из законодательства той страны, где планируется развернуть Wi-Fi:
- Разрешенные для использования каналы;
- Разрешенные мощности точек доступа Wi-Fi, а вернее, максимально разрешенные EIRP (сумма мощности передатчика и коэффициента усиления антенны);
- Возможность использование диапазона 5 ГГц на улице или необходимость получения согласования (конечно, только если требуется уличный Wi-Fi).
Как выбрать оборудование
Выбор оборудования Wi-Fi даже для дома — это уже не так просто. В зависимости от задач и бюджета, можно кратко определить для себя что вам требуется и на основании этого сделать выбор. Ниже пройдемся по основным технологиям беспроводных сетей.
Коротко о базовых стандартах IEEE 802.11
- IEEE 802.11b (очень устаревший стандарт, маловероятно что может потребоваться для специфичных устройств);
- IEEE 802.11g (устаревший стандарт, но может потребоваться для специфичных устройств);
- IEEE 802.11n (устаревающий стандарт, еще много устройств работают на нем);
- IEEE 802.11ac (современный стандарт для большинства новых устройств);
- IEEE 802.11ax (относительно новый стандарт, с заделом на будущее).
Выводы: разница между оборудованием с поддержкой IEEE 802.11ac и IEEE 802.11ax может быть существенной, а клиентских устройств с поддержкой IEEE 802.11ax на предприятии может не быть еще несколько лет.
Коротко о стандартах безопасности Wi-Fi
При выборе оборудования лучше чтобы оно поддерживало следующие стандарты шифрования:
- WPA2 (Wi-Fi Protected Access 2) с применением метода CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) и алгоритма AES (Advanced Encryption Standard);
- WPA3 (Wi-Fi Protected Access 3).
Выводы: поддержка WPA3 весьма желательна, только если нет задачи суровой экономии на оборудовании и приобретении точек доступа из серии SOHO (хотя и там все больше и больше производителей добавляют поддержку WPA3 на старших моделях).
Коротко о роуминге Wi-Fi
Роуминг — это отдельная и сложная тема для обсуждения, но попробуем очень емко и коротко разобраться в сути этого вопроса. Есть два принципиальных типа механизма перехода клиента от одной точки доступа к другой:
Brake before make — клиентское устройство отключается от текущей точки доступа, затем подключается к другой точке доступа. В случае использования 802.1x это в среднем занимает 700мс плюс задержка до RADIUS сервера. Технологии:
- CCKM (Cisco Centralized Key Management) — проприетарный стандарт, требует поддержки CCXv5 на клиентских устройствах. В общем, устаревшая и не актуальная технология;
- OKC (Opportunistic Key Caching) — уже устаревший стандарт, требует суппликантов такие как Microsoft WZC или Juniper OAC. В общем, устаревшая и не актуальная технология;
- FT (Fast BSS Transition), стандарт IEEE802.11r — современная технология быстрого роуминга.
Make before brake — клиентское устройство заранее проводит «4-way handshake» с новой точкой доступа, и уже только после этого отключается от текущей точки доступа и переключается на новую точку доступа. Технологии:
- Radio Resource Management, стандарт IEEE 802.11k — точки доступа сообщают клиенту о радио обстановке, подсказывая на какую точку доступа лучше перейти;
- Стандарт IEEE 802.11v — переход клиентского устройства на смежный диапазон после получения информации от точки доступа, плюс возможность энергосбережения для клиентского устройства;
- Optimized roaming (возможность отключения низких скоростей соединения) —вынуждают клиентское устройство переключиться на точку доступа с лучшим уровнем сигнала, метод борьбы со «sticky» клиентами.
Выводы: главное помнить, что решение о роуминге принимает только клиентское устройство, а приведенные выше технологии только помогают устройству принять правильное решение о переходе с одной точки доступа на другую, а некоторые технологии позволяют помочь это сделать с минимальным временем простоя. Ключевые технологии, поддержку которой лучше точно иметь на оборудовании — это FT IEEE 802.11r и Optimized roaming.
Коротко про защиту от DoS атак
Между клиентским устройством и точкой доступа есть два вида трафика:
Ниже варианты технологий, которые защищают соединение между клиентским устройством и точкой доступа, не позволяя злоумышленнику отправить ложные сообщения, такие как, de-auth фреймы, которые будут отключать соединение:
- PMF (Protected Management Frame), стандарт IEEE 802.11w. Позволяет шифровать служебные сообщения (Management frame, Control frame), можно сделать это опциональным или обязательным параметром (если все клиентские устройства поддерживают PMF);
- MFP (Management Frame Protection), проприетарный протокол, требует чтобы клиентское устройство было совместимо с CCXv5 (Cisco Compatible Extension). Так как CCXv5 широко распространен на клиентских устройствах, поэтому можно рассмотреть MFP к реализации;
- В 802.11ac и 802.11ax шифрование служебных сообщений уже определено в самих стандартах.
Выводы: если нет возможности использовать только 802.11ac и 802.11ax, то необходима поддержка IEEE 802.11w (в опциональном режиме) или MFP (только в особенных случаях).
Коротко про Rogue AP
Будет плюсом, если система Wi-Fi будет иметь возможность детектировать сторонние точки доступа и как-то с ними бороться. Например, если злоумышленник настроит Wi-Fi с SSID идентичный вашему, то у него будет возможность перехватить пароль при попытке пользователя подключиться к сети. Базовый функционал:
- Обнаружение Rogue AP (сторонние точки доступа с аналогичным или частично похожим на ваш SSID);
- Борьба с Rogue AP — посылать de-auth сообщения клиентам, ассоциированным с найденной сторонней точкой доступа по заранее заданным правилам на основе таких параметров как:
- Коротко про Band select Технология Band select позволяет отключать клиента от диапазона 2.4 ГГц, если клиент поддерживает работу в диапазоне 5 ГГц. Это позволяет повысить емкость сети. Данный механизм может навредить работе Wi-Fi, но будет хорошо, если у выбранного оборудования будет такой функционал. Коротко про Beamforming Технология Beamforming позволяет формировать индивидуальную диаграмму направленности для конкретного клиента, тем самым улучшая радио канал. Но не стоит основательно полагаться на эту технологию, так как это только хорошее дополнение и оно не может быть учтено при радио планировании.
Как и где расположить точки доступа
- Определить зону покрытия, понять какие будут клиентские устройства, узнать требования по пропускной способности и емкости сети (если есть места высокой плотности клиентов);
- Определить Offset (разница в уровне принимаемого сигнала между самым слабым клиентским устройством и тем устройством, которым будет выполняться радио обследование). Группа энтузиастов уже провела ряд таких измерений и выложила результаты на rssicompared.com;
- Определение требований к зонам покрытия: уровень сигнала, перекрытие зон, channel overlap.
- Определение требований к соотношению сигнал / шум (SNR) может иметь место только в том случае, если есть возможность заранее определить уровнь шума и этот уровень шума неизменный. Обычно уровень шума -90дБм, но если на объекте есть какие-либо особенные устройства, то лучше учесть это заранее, замерив уровень шума для учета в моделировании;
- Определение мощности передатчиков Wi-Fi на основании требований к покрытию, типов клиентов и требований к высокой плотности клиентов;
- При необходимости, произвести расчет плотности Wi-Fi (в помощь revolutionwifi.blogspot.com);
- Проверка модели с тестовой точкой доступа («AP on a stick»).
Общие вопросы настройки Wi-Fi
1) Мощности передатчиков Wi-Fi
В идеале, мощность передачи должна быть выставлена автоматически, но контроллер не всегда принимает правильные решения, поэтому рекомендуется ограничить выбор мощности минимальными и максимальными значениями, при этом не забывать что EIRP должен удовлетворять установленным нормам страны. Выбор мощности — это комплексный вопрос и ориентироваться надо на радио моделирование, мощности передатчиков клиентских устройств и законодательство страны.
Для того чтобы не было асинхронности в канале, мощность передатчика точки доступа должна быть не выше чем мощность передатчика клиентского устройства.
Тоже самое, но на практике:
В таблице ниже приведены примерные мощности Wi-Fi для разных типов устройств