Jak na správu rozsáhlé WiFi sítě

Novému pohledu na nasazování a implementaci bezdrátových sítí je věnován následující článek, v němž se soustředíme na problematiku implementace a nasazení rozsáhlejších celků s centralizovaným managementem a komunikačním propojením. Objasníme nové možnosti a výhody řešení, které centralizace WiFi nabízí.

V našich zemích je bezdrátová technologie velmi rozšířená. Většina instalací bezdrátových prvků je umístěna v domácnostech, kde funguje jako spojnice mobilního zařízení – notebooku – se síťovým prvkem, který slouží jako přístupový bod do internetu. Pokud budeme implementovat takovouto malou síť, nejsou nutné hluboké znalosti ani proměřování signálu a další kroky.

Problémy nastávají v okamžiku, kdy je třeba zasíťovat rozsáhlejší komplex. Budeme muset vyřešit různá technická úskalí, jako rušení signálu mezi jednotlivými bezdrátovými prvky, přechod mezi prvky tak, aby nedocházelo ke znatelnému přerušení datového toku, dobré pokrytí všude, kde je to potřeba, a hlavně efektivní management celého bezdrátového celku.

Vhodným produktem, který byl vyvinut pro splnění těchto požadavků je Wireless switch NXC-8160 od Zyxelu. Zařízení je zajímavé tím, že jednotlivé access pointy (AP) jsou bez možnosti managementu. Díky tomuto chování se dosahuje dvou základních výhod. Za prvé je to nižší cena jednotlivých AP NWA-8500, které se také nazývají Thin AP (tenké AP). Druhou výhodou je, že se nemusíme bát odcizení takového AP. Nedojde k jinak možné ztrátě citlivých dat, zjištění šifrovacích klíčů sítě atd., jedinou „ztrátou“ je finanční výdaj ve výši ceny zařízení. Nový kus umístíme na určené místo, kde bude bez potřeby instalace okamžitě funkční.

Z těchto informací plyne, že centrální prvek WLAN switch spravuje všechny AP prvky centralizovaně a sám je v serverovně dostatečně zabezpečen. Díky takto centralizovanému managementu je možné ovládat celou strukturu z jednoho místa. Každý WLAN switch má sice jen osm portů pro připojení Thin AP, ale je možné je stohovat až na celkovou velikost šesti WLAN switchů, tedy celkem 48 AP. Všechny porty switche jsou PoE, a proto k jednotlivým AP nemusí být instalováno elektrické vedení. AP NWA-8500 lze také napájet externím napájecím adaptérem. NWA-8500 jsou dvourádiové, což znamená, že je možné z jednoho AP zároveň vysílat různé kombinace signálu v normě 802.11b/g 2,4 GHz a 802.11a 5 GHz.

Centrální mozek systému je schopen tzv. zero-roamingu. Pokud implementujeme WiFi VoIP telefony, často se stává, že při přechodu z prostředí pokryvu jednoho AP do prostředí druhého AP vypadne probíhající hovor. Toto se u WLAN switche nestane, protože další AP ihned hardwarově přebere komunikaci a klient původní AP opustí.

switch

Díky komunikaci jednotlivých AP mezi sebou přes centrální jednotku je možné regulovat vysílací výkon celého komplexu automaticky, a dokonce automaticky měnit využití vysílacích kanálů dle aktuální situace v okolí jednotlivých AP. Díky těmto automatizovaným mechanismům je celý komplex stále vhodně nastaven a celý prostor je efektivně pokryt bez toho, že by se jednotlivé AP rušily a zbytečně silně vysílaly. V případě, že se vyskytne klient ve slabém dosahu signálu a jiné AP zjistí, že jeho přijímaný signál je kvalitnější, switch rozhodne o okamžitém převzetí klienta access pointem s lepšími parametry signálu.

Pokud je kladen vysoký důraz na dostupnost poskytované služby, lze zajistit HA Mode (funkce vysoké dostupnosti). Často je požadována stoprocentní funkčnost, ale její zajištění a nasazení je jen otázkou financí. U standardního zapojení obyčejných AP je řešení s nějakou redundancí nemožné. Je zde možnost dedikovat záložní WLAN switch, který dokáže monitorovat hlavní switch a v době případného výpadku převzít řízení celého celku, ale v takovém případě nelze zajistit vysílání jednotlivých AP ze switche ve výpadku. Často se však provádí duplicita zapojení, kdy záložní switch a jeho AP jsou umístěny přibližně ve stejné lokalitě jako hlavní prvek a po celou dobu čekají v záložním stavu. Jistě lze namítnout, že se jedná o dvojnásobnou pořizovací cenu. To je pravda, ale na místech, jako jsou průmyslové areály, letiště nebo univerzitní komplexy, je toto zapojení nutností, protože používané technologie jsou na korektním stoprocentním pokrytí bezprostředně závislé. Technologie VoIP telefonů, mobilních čteček čárových kódů a dalších se při výpadku stávají nefunkčními, přitom je ale zajištění jejich úplné dostupnosti nezbytné.

Bezdrátové technologie jsou často napadány různými útoky, protože se jedná o otevřený systém bez hranic, na rozdíl od kabelu. Musíme tedy být schopni nějakým způsobem útokům předejít, nebo je eliminovat. NXC-8160 má integrovanou technologii IDS (intrusion detection system), která dokáže detekovat DoS (denial of service) útoky, jež mohou vést k nedostupnosti služeb, a jednotlivé pokusy omezovat na nastavené mezní hodnoty.
WLAN switch nabízí externí autentifikaci přes webové rozhraní, kdy je na základě ověření uživatelských údajů – jména a hesla umožněn přístup k síti na externím Radius serveru.

Petr Koudelka

Autor působí jako security product manager společnosti Zyxel.