Написать эту статью меня побудила публикация в PCWeek/UE №20 (90) за 2008 г. под названием «Беспроводная дороговизна проводных коммутаторов», в которой сотрудники редакции американского издания eWeek сделали попытку проанализировать стоимость апгрейда проводной инфраструктуры для поддержки 802.11n/VoIP.

Прежде всего отмечу саму важность того, что авторы обращают внимание читателей на необходимость при каждой модернизации сети доступа помнить об уровнях распределения и ядра. Это кажется очевидным при проектировании/модернизации проводных сетей — но об этом часто забывают, создавая беспроводные сети. Напомню также, что для полноценной работы передатчика 802.11n требуется более мощное питание, чем предоставляет нынешний стандарт PoE 802.1af, на чем авторы и делают акцент.

Однако дальнейший ход изложения в упомянутой публикации свидетельствует о том, что авторы оторваны от реальной жизни и не имеют практического опыта проектирования беспроводных сетей. Они словно играют в «песочнице модульных коммутаторов», пытаясь найти такую конфигурацию, которая позволит «подогнать» полтора порта 1000Base-T каждому пользователю. Например, в статье отсутствует какое бы то ни было упоминание таких абсолютно необходимых при проектировании беспроводной сети параметров, как профили трафика в беспроводной сети, радиопланирование, количество пользователей (с разбивкой данные/голос) на одну точку. 

В связи с этим предлагаю вниманию читателей анализ наиболее опасных ошибок, часто допускаемых при проектировании беспроводных сетей, и параллельно рассматриваю постулаты «как надо». 

Правильно ли спланирована и внедрена беспроводная сеть?

Отвечая на этот вопрос, в первую очередь вспоминают о безопасности, затем наличии «мертвых» зон в покрытии и мест с неустойчивой связью, случайных обрывах, проблемах с роумингом, нестабильной пропускной способности или невозможности поддержки определенных приложений.

А ведь грамотно построенная беспроводная сеть способна нести на себе огромный объем прикладной нагрузки — от обеспечения качественной передачи данных, QoS, мобильности, передачи голоса до специфических приложений определения положения пользователей (позиционирования), технологий Push-to-talk и Fixed Mobile Convergence.

Однако очень часто внедрение беспроводной сети порождает больше проблем, чем решает: возрастает количество недовольных пользователей, а стабильность приложений и эффективность их работы падает. Администраторы проводят еще больше времени в попытках разобраться в причинах, а «кто-то с улицы» уже вовсю пользуется бесплатным интернетом. Это значит, что в процессе планирования и внедрения сети были совершены одна или несколько ошибок, описанных ниже. Следует помнить, что хорошая технологическая платформа не способна исправить ошибки плохого проектирования, точно так же как хорошее проектирование не спасет от проблем из-за неправильно выбранной платформы/оборудования. Вывод очевиден: эффективно работающая сеть требует грамотного проектирования на правильно подобранной платформе.

Ошибка 1: Распространенное убеждение, что беспроводные сети — это те же проводные сети, но «без проводов»

Обеспечение качественного функционирования беспроводной сети — целая наука, значительно отличающаяся от принятых в «проводном мире» взглядов. Беспроводные технологии вынуждены считаться с проблемами эфира как общей открытой среды, джиттером (отклонение сигнала от нормы), затуханием, аттенюацией (контролируемое ослабление электрического сигнала), интерференцией, ограниченной емкостью батарей мобильных устройств, необходимостью обеспечения быстрого и качественного роуминга (в том числе между сетями, использующими разные технологии: Wi-Fi/GSM/CDMA/WiMAX/LTE), — проблемами, о которых разработчики проводных ЛВС либо давно забыли, либо вообще не знали. Задачи обеспечения надежного доступа и надлежащего качества передачи данных и голоса внутри и снаружи помещений решаются совершенно по-другому. Внедряя беспроводные сети по «проводным» правилам, пользователи рискуют получить совсем не то, что ожидали, или прогадать с бюджетом (см. врезку «Попытка проектировать беспроводные сети так же, как проводные»).

Ошибка 2: Пропуск этапа планирования и радиоразведки

Чаще всего причиной неудачного внедрения беспроводной сети является именно планирование. Невозможно спроектировать сеть без понимания условий окружающей среды и потребностей пользователей, а их, как правило, выводят эмпирическим путем из полученных планов помещения и единожды выполненной вылазки на местность. Полноценно проведенное планирование и разведка включают в себя не только учет радиообстановки на площадке заказчика, но и большое количество не менее важных для успеха данных:

• радиообстановку (наличие помех, других беспроводных сетей и т.д.),

• используемые стройматериалы и их радиохарактеристики,

• межканальную интерференцию,

• количество и плотность пользо­вателей,

• приложения и их требования к трафику («профили трафика» для приложений),

• используемые мобильные устройства,

• особенности рабочего процесса пользователей,

• минимально необходимые уровни обслуживания (Service Level Baseline),

• расстояние от планируемого места установки точки доступа (ТД) до коммутатора Ethernet,

• политику безопасности,

• совместимость технологий беспроводной сети с используемым электро- и электронным оборудованием (кардиостимуляторы в больницах, системы сигнализации и т.д.).

В идеале собранная на этом этапе информация обрабатывается специальным инструментарием планирования и контроля качества исполнения беспроводных сетей, что помогает реализовать сеть наиболее оптимально и, кроме того, предоставляет интегратору аргументированное обоснование выбранного решения и необходимого бюджета перед заказчиком. Некоторые из этих средств способны передавать информацию в системы управления и мониторинга беспроводными сетями, которые используются на этапе эксплуатации, что дополнительно экономит ресурсы.

Ошибка 3: Экономия на процессах планирования и разведки

Из-за недостатка опыта заказчики и интеграторы часто пытаются сэкономить (деньги, время и пр.) на этапе радиопланирования, который сводится к рисованию окружностей на этажном плане. Результат такой экономии — совершенно непредсказуемое качество связи, большой объем паразитного трафика (в том числе «битые» пакеты), проблемы с соединениями. А о беспроводной телефонии, видео и телеметрии лучше вообще забыть. Основная проблема заключается в том, что разные строительные материалы по-разному влияют на радиоволны. Например, стены, перегородки, окна, кафельная плитка, складские стеллажи по-разному поглощают и отражают радиоволны. И если вспомнить, какого качества стройматериалы применяются у нас, станет ясно, что каждая площадка имеет абсолютно неповторимую уникальную радиокартину.

Кто является основным клиентом беспроводных сетей? 

Рассмотрим четыре основных класса клиентских устройств.

• Корпоративные стационарные устройства для стационарных приложений, фактически «отвязанные от проводов» в целях экономии на СКС: типичные десктопы, телефоны, камеры видеонаблюдения, датчики и т.д.
• Корпоративные портативные устройства — ноутбуки, переносные системы аудио- и видеоконференций и пр. Наличие этих устройств требует, зная их долю в общем парке систем организации, закладывать определенный запас по производительности в тех зонах покрытия, где эти устройства могут появляться.
• Корпоративные мобильные устройства для мобильных приложений — VoFi-трубки (VoFi — VoIP over Wi-Fi), корпоративные КПК/коммуникаторы, мобильные компьютеры (НЕ ноутбуки). Эти устройства наиболее требовательны к качеству связи (заметьте, ни слова о пропускной способности!), поскольку от нее зависит сама полезность применяемых мобильных приложений. С другой стороны, эти устройства отличаются небольшой процессорной мощностью и повышенными запросами к автономности (время работы от батарей и т.д.), что само по себе ограничивает их аппаратные возможности (мощность передатчика, способность «переваривать» большие потоки трафика). В большинстве индустриальных приложений этим устройствам до сих пор с головой хватает скоростей, предоставляемых стандартом 802.11b: их реальные потребности не превышают (даже с VoIP) 1—2 Мбит/c, находясь чаще всего в зоне <150 Кбит/c (без VoIP).
• Некорпоративные портативные устройства — те самые пользователи хот-спотов. Тут, даже зная прикладные сервисы, предоставляемые с помощью хот-спота (доступ к интернет, «внешней» части корпоративного портала и т.д.), следует предполагать, что через ТД будет проходить трафик неизвестного характера. Что мешает, например, гостям вашего офиса, ожидающим встречи, которая отложилась на 30 минут, сразиться в Quake 2? Но на то они и гостевые хот-споты, чтобы не обещать всем подряд максимальное качество обслуживания. При проектировании таких систем важно задействовать функционал Wireless Rate Limiting (per user/per SSID), который ограничит предоставляемую таким потребителям полосу пропускания, чтобы не наносить ущерб основным пользователям. Важно также учитывать, что гости могут оказаться не столь искушенными в вопросах использования последних технологий и придут к вам с адаптером 802.11a/b/g (т.е. не 802.11n). Если такой гость подключится к той же сети, в которой уже находятся ваши пользователи, вся сеть перейдет в режим совместимости, и о высоких скоростях можно забыть. Таким образом, важно отключить поддержку старых скоростных режимов там, где вы не предполагаете их использовать (и, наоборот, включить ее в гостевых хот-спотах). Заодно вы этим частично обезопасите себя от попыток пользователей подключить к Wi-Fi свои домашние игрушки и гаджеты. 

Чаще всего для проведения радиоразведки инженеры используют ноутбук, с которым проходят по разным частям зоны покрытия и определяют такие безусловно важные характеристики, как уровень сигнала и скорость закачки файла с FTP/HTTP-сервера. Естественно, говорить о качестве и достоверности полученных результатов не приходится. Тщательно проведенной радиоразведку можно считать лишь в том случае, если она осуществляется специальным оборудованием, которое дает возможность фиксировать непосредственно на плане помещения радиообстановку в каждой точке как в ручном, так и в автоматическом режиме. Кроме того, некоторые инструменты могут работать в связке с ПО радиопланирования, что позволяет автоматически уточнять радиочастотную модель с учетом собранных разведданных и итеративно наращивать качество проектирования.

Ошибка 4: Установка слишком большого числа точек доступа

Многие считают, что чем больше на площадке установлено точек доступа, тем надежнее будет покрытие и тем быстрее будет работать сеть. На самом же деле перенасыщение эфира создает больше проблем, чем решает. Клиентские устройства, в особенности неспециализированные (в которых, например, реализован простейший механизм роуминга, как в Windows XP), просто путаются в точках доступа, нередко беспричинно перескакивая с одной на другую. Это явление известно как флаттер (flutter). Другим побочным эффектом является усложнение радиопланирования (к примеру, в частотном диапазоне 802.11b/g доступно лишь три непересекающихся канала), что приводит к огромным проблемам, вызванным интерференцией. Все это негативно влияет на работоспособность мобильных и голосовых приложений.

Ошибка 5: Чрезмерное усложнение беспроводной сети без необходимости

Грамотно спланированная беспроводная сеть способна удовлетворить множеству специфических требований приложений к обеспечению мобильности, безопасности, позиционированию источников сигнала, передаче голоса, управляемости, наблюдаемости и т.д., не обрастая при этом большим количеством дополнительного ПО и «железа» третьих производителей. Необходимость постоянно добавлять сетевые услуги и приложения повышает накладные расходы, связанные с интеграцией, управлением и, что важно, выявлением проблемных мест в такой сети. Каждая дополнительная внедренная технология увеличивает сложность управления сетью и усложняет добавление следующей. 

Поэтому очень важно, с одной стороны, не переусердствовать на начальных этапах развития сети, обеспечив лишь тот функционал, который необходим. Причем выбранная беспроводная платформа должна допускать в будущем не только горизонтальное (количество ТД/пользователей), но и вертикальное (добавление новых технологий и функционала без добавления новых серверов и оборудования) расширение.

Ошибка 6: Использование в основе сети нестандартных продуктов/технологий

Для быстрого решения текущих задач многие организации применяют нестандартное оборудование и технологии. Такие решения помогают справиться с отдельными, «точечными» задачами, но иногда их используют и в качестве базиса беспроводной инфраструктуры (например, беспроводные сети Narrowband 433 МГц). Предприятия, прибегнувшие к такому способу, в дальнейшем нередко оказываются в ситуации, когда их последующее развитие ограничивается продуктовой линейкой одного вендора или вообще становится невозможным. К счастью, комитет IEEE 802 утвердил целый ряд открытых стандартов группы 802.11 (.11a/b/d/e/g/h/i, WPA, WPA2, WMM), которые охватывают практически все области функционирования беспроводных ЛВС и не требуют привязки к одному конкретному производителю. Использование стандартных технологий гарантирует сетям организаций гораздо более долгий жизненный цикл, удобство управления и масштабируемости, совместимость с новыми технологиями.

Ошибка 7: Чрезмерное упование на стандарты

Хотя стандарты и важны, их принятие может затянуться надолго (например, 802.11i утверждался несколько лет, окончательного принятия 802.11n ожидали еще к середине 2007 года). А предприятия в некоторых случаях просто не могут позволить себе ждать ратификации того или иного стандарта. В мире сетевых технологий всегда находится место компромиссу, и ведущие производители обычно выпускают собственные версии, которые способны решать важные задачи уже сейчас. По каким критериям можно оценить целесообразность использования нестандартных технологий? Можно назвать следующие:

• данная технология чрезвычайно важна для работы, но не планируется к стандартизации;

• существующая версия технологии позволит в будущем перейти на стандартизированную версию без (особых) затрат (замены аппаратного обеспечения, перепланирования сети или ее длительного простоя при модернизации);

• используемая нестандартная технология не будет ограничивать развитие сети до предполагаемого момента принятия стандарта (см. предыдущую ошибку).

Ошибка 8: Отношение к безопасности беспроводной сети, как к проводной

С распространением беспроводных сетей возрастает также их привлекательность для хакерских атак. Современный уровень безопасности беспроводных локальных сетей сопоставим, а местами даже превышает уровень безопасности традиционных проводных ЛВС. Например, практически всегда используется шифрование данных и аутентификация устройств, в то время как в провод­ных сетях эти технологии задействуются крайне редко. Тем не менее при обеспечении безопасности беспроводных сетей следует учитывать один фактор, который практически всегда упускается из виду, — безопасность пользователей. 

В традиционной проводной сети пользователь «привязан» к розетке и, соответственно, порту коммутатора. Риск того, что пользователя могут «переключить», считается минимальным или вообще не рассматривается. Таким образом, безопасность проводной сети сводится к защите от неавторизованного вторжения. В беспроводной сети, где пользователи динамически подключаются, отключаются и переключаются между точками доступа, злоумышленнику не составляет особого труда «словить» пользователя на собственную точку доступа, после чего произвести попытку:

• взломать устройство пользователя, «вытащить» всю необходимую информацию, «подсадить» туда свой троян или rootkit (набор программ, которые взломщик устанавливает на взломанную им систему сразу после получения прав администратора) и т.д.;

• реализовать атаку фишингового характера (показать страничку входа в корпоративную информационную систему и получить логин/пароль);

• реализовать атаку Man-In-The-Middle и получить полноценный доступ к сети предприятия; 

• просто прослушивать трафик с целью получения полезной информации (у кого из вас почтовая программа автоматически проверяет почту? А у кого из вас при этом пароли передаются в зашифрованном виде?).

Кроме того, с учетом массового распространения ноутбуков (практически каждый из которых сегодня оснащен Wi-Fi) — даже если в организации не внедрена беспроводная сеть — любой пользователь может стать удобным мостом между проводной сетью организации и злоумышленником, параллельно подключившимся к беспроводному интерфейсу ноутбука. Ни одна традиционная система безопасности не способна распознать и защитить от таких атак. Таким образом, при внедрении беспроводной сети необходимо использовать специализированные беспроводные системы обеспечения безопасности, следящие не только за инфраструктурой, но и за пользователями и способные интегрироваться с существующими системами управления беспроводной инфраструктурой. 

Ошибка 9: Непонимание особенностей 802.11n

Новый стандарт 802.11n обеспечивает столь высокие характеристики производительности, надежности и безопасности, что беспроводные сети на его основе по своим возможностям намного превосходят большинство существующих проводных сетей. В основе улучшений 802.11n лежат такие более сложные по сравнению с 802.11a/b/g технологии, как многолучевые переотражения и MIMO. По этой причине процесс планирования и внедрения сетей 802.11n несколько отличается от планирования и внедрения сетей 802.11a/b/g, в особенности когда эти сети сосуществуют на одной территории. Предприятия, переходящие на 802.11n без обновленного инструментария планирования, рискуют не получить всех запланированных выгод от перехода. Вместо резюме Качественное проектирование и внедрение беспроводной сети сулит немало выгод предприятиям в различных областях: от розничной торговли, производства, транспорта до финансовых организаций. Главное — отнестись к этому процессу с пониманием, выбрать интегратора, имеющего необходимый уровень экспертизы (например, работающих специалистов с сертификатами CWNA/CWNP — Certified Wireless Network Administrator/Professional), и подобрать технологическую платформу, обеспечивающую наилучшим образом и выполнение сегодняшних задач, и возможность роста для решения будущих. Попытка проектировать беспроводные сети, как проводные В эпоху раннего развития локальных сетей (сетевые концентраторы, мосты, пропускная способность 10 Мбит/с) любой учебник сетевого инженера гласил, что проектирование сети начинается с определений требований приложений к трафику в этой сети. Составлялись так называемые «профили трафика» для каждого приложения в сети, в которые включались такие параметры, как характер коммуникации (синхронный/асинхронный), минимальная полоса пропускания, максимально допустимая задержка, джиттер и т.д. В дальнейшем на основании профилей трафика определялось максимальное количество пользователей в сегменте сети, состав каналообразующего оборудования, необходимое количество серверов и т.д. При этом учитывалась способность самого сервера (системной шины, дисковой подсистемы и т.д.) «переварить» весь объем информации, поступавшей через сетевой адаптер. Развитие и удешевление технологии Ethernet, коммутации, персональных компьютеров и серверного оборудования привели к тому, что все эти сложные операции с профилями трафика стало возможным заменить эмпирическим правилом «1 пользователь = 1 порт». Причем под портом в большинстве случаев сейчас подразумевается коммутируемый порт Ethernet 100Base-T, пропускной способности которого хватает для 90% пользовательских задач. Такой подход значительно облегчил жизнь инженеров-проектировщиков и ускорил сроки подготовки коммерческих предложений и проектной документации. Однако большинство «проводных» инженеров-проектировщиков «потеряли бдительность», в чем мне не раз приходилось убеждаться на практике. А ведь создание беспроводных сетей требует применения совершенно других подходов. Прежде всего, корпоративные беспроводные сети строятся как сети доступа в расчете на определенные приложения (единственное исключение — хот-споты, которые будут упомянуты позже). Выражение «определенные приложения» означает, что заранее известен профиль трафика, общее количество пользователей, рабочие зоны этих пользователей и их клиентские устройства. Почему это важно? Начнем с того, что в беспроводных сетях по-прежнему используется технология общего доступа к среде (т.е. точка доступа представляет собой аналог сетевого концентратора). Таким образом, концепция «1 пользователь = 1 порт» сразу теряет смысл. 

• Во-первых, нет коммутации — значит, добавление пользователей на одно устройство доступа будет влиять на качество обслуживания уже существующих — следовательно, утрачивается линейная масштабируемость провод­ных коммутаторов, чья пропускная способность ограничена лишь мощностью uplink («восходящего» канала, связывающего сегмент с основной частью сети). 

• Во-вторых, предоставляемая агрегатная пропускная способность (даже в случае 802.11n) все еще недостаточно велика, чтобы забыть о требованиях приложений, как это сделали «провод­ные» инженеры. 

• В третьих, вариант «1 пользователь =  1 ТД», который теоретически дает каждому пользователю даже больше возможностей, чем технология 100Base-T Ethernet, на практике очень сложно реализовать из-за ограничений частотного планирования (о которых «провод­ные» инженеры тоже забывают — не раз приходилось видеть сети, в которых все ТД в здании работали на одном радиоканале).

Почему же тогда о стандарте 802.11n говорят как о «потенциальном убийце» проводного Ethernet? Задайтесь вопросом: какой объем трафика генерирует типичный офисный пользователь (не закачивающий фильмы по локальной сети)? Практика показывает, что даже 1,5 Мбит/с эффективного (L7) трафика вполне достаточно для работы с почтой, интернетом (пропускная способность которого обычно составляет всего-то 1,5-10 Мбит/с на всю организацию) и даже для VoIP (http://www.voip-info.org/wiki-Bandwidth+consumption) и видеонаблюдения (современные h.264 IP-камеры требуют от 32 Кбит/c до 3 Мбит/c). Можно посмотреть и рекомендации Microsoft по трафику для таких задач, как ShareРoint Portal Server (http://office.microsoft.com/en-us/sharepointportaladmin/HA100906101033.aspx) или MS Exchange (http://technet.microsoft.com/en-us/library/cc164325.aspx).  А теперь вспомним некоторые высказывания авторов публикации «Беспроводная дороговизна проводных коммутаторов»:

• «Этим стандартом [802.11n] предусмотрена пересылка целых 248 Мбит необработанных данных в секунду, что грозит напрочь забить широко используемые подключения с пропускной способностью 100 Мбит/с...» Грозить-то грозит, а насколько это вероятно? Да и вообще, классический коммутатор доступа на 24 порта 10/100Base-T имеет обычно два uplink Gigabit Ethernet. Таким образом, в него «входит» 2,4 Гбит/с, а «выходит» — всего 2 Гбит/с. И почему-то никто не бьет тревогу.

• «Обычно точки доступа размещаются на удалении 20—25 м друг от друга, так что в больнице, скажем, для них может быть задействовано всего 20—30 из 200—300 портов каждого шкафа...» Да, может, но это не значит, что в каждом порту будет гигабит. Гораздо важнее здесь сконцентрироваться на PoE (Power over Ethernet). Поскольку точки доступа размещаются по результатам радиопланирования, данное выражение равноценно известному высказыванию «средняя температура по больнице».

• «… в насыщенных средах 802.11n, которые вполне реальны в здравоохранении… способна ли модель 6509-Е выдержать подобные нагрузки..» В здравоохранении Wi-Fi используется для устройств класса Motorola MC75, MC50, CA50, обеспечивающих удаленный доступ к данным (на уровне «доступа к интернету») и передачу голоса. Коммутатор C6509 может обслужить более ста тысяч таких устройств (300 Кбит/c * 100 000 = 30 Гбит/c, что весьма немного). А теперь вообразите себе такой госпиталь размерами с небольшой город! Гораздо важнее в здравоохранении обеспечить устойчивую связь, качественный роуминг и минимальную задержку/джиттер по всей зоне покрытия. Очевидно, что авторы забыли выключить режим «1 пользователь = 1 порт 100 Мбит/c» и включить требования к трафику в свою модель.