W sieci iluzji

Sieci WLAN okrzyknięto tanią alternatywą dla sieci tradycyjnych. To jednak pozory. Gdy uwzględnić oczywiste wymagania odnośnie do bezpieczeństwa, przewaga kosztowa WLAN nie jest już taka oczywista - o ile w ogóle istnieje.

Sieci WLAN okrzyknięto tanią alternatywą dla sieci tradycyjnych. To jednak pozory. Gdy uwzględnić oczywiste wymagania odnośnie do bezpieczeństwa, przewaga kosztowa WLAN nie jest już taka oczywista - o ile w ogóle istnieje.

W Polsce trwa moda na sieci bezprzewodowe. Klienci kupują notebooki z kartami WLAN, a operatorzy budują hot spoty. Trend, jak większość innych mód technologicznych, przybył do nas z Zachodu. Inicjatorem technologii były głównie Stany Zjednoczone, ale... żeby przekonać się, co znaczy gorączka WLAN, trzeba pojechać do Włoch. Państwo, w którym każdy mur ma kilkaset lat, technologia 802.11 okazała się hitem, który można porównać tylko z tamtejszą lubością dla telefonii komórkowej.

Zalety sieci WLAN można wymieniać długo. Brak szaf dystrybucyjnych, brzydkich korytek z kablami, konieczności dziurawienia ścian, kosztów związanych z utrzymaniem sieci kablowej. No i ta wygoda. Po co komu druty, skoro sieć można mieć wszędzie? Zachwyceni wygodą i funkcjonalnością niektórzy są nawet skłonni sądzić, że sieć bezprzewodowa, w swoich nowszych wcieleniach, swobodnie może zastąpić sieć przewodową.

Każdy twórczy IT menedżer - podkarmiony odpowiednią dozą marketingowego szumu otaczającego technologię WLAN - zaczął przynajmniej zastanawiać się, czy jego firma mogłaby zrobić z niej użytek. Tym bardziej, że liczba jej zastosowań rośnie i stają się one coraz ambitniejsze, by wspomnieć choćby o połączeniu WLAN z firmową siecią telefoniczną.

Po pierwszym zachłyśnięciu przychodzi jednak refleksja, że od sieci bezprzewodowej użytkownicy będą oczekiwać co najmniej takiej samej niezawodności, poziomu jakości usług i bezpieczeństwa, z jakimi mają do czynienia w sieciach przewodowych. Tak się jednak składa, że w sieciach WLAN wszystkie te trzy kwestie stanowią problemy, a ich rozwiązanie kosztuje - czasem tak dużo, że można zastanawiać się, czy inwestycja jest w ogóle opłacalna.

Projekt "jak najtaniej"

Załóżmy, że firma chce dać bezprzewodowy dostęp do sieci WLAN 50-100 pracownikom. Wdrożenie ma w założeniu obniżyć koszty utrzymania sieci przez rezygnację z utrzymania drogich urządzeń przewodowych w warstwie dystrybucyjnej i dostępowej, a także poprawić jakość i wygodę pracy użytkowników. Określenie tego, jaki sprzęt będzie potrzebny, zlecamy firmie zewnętrznej. Nie zlecamy instalacji sprzętu i pomiarów, ponieważ usługa taka jest dodatkowym kosztem. Pamiętajmy, że głównym celem jest minimalizacja, a nie generowanie nowych kosztów.

Otrzymujemy listę sprzętu od dostawcy. Jest na niej pięć stacji bazowych w standardzie 802.11b (2,4 GHz), z antenami nieco lepszymi niż standardowe, oraz opcjonalna licencja na zaporę sieciową mającą chronić styk między siecią WLAN a siecią przewodową (w praktyce segmentem serwerowym). Ofertę dotyczącą opcji odrzucamy. Ofertę na firewall odrzucamy - wykorzystamy ten, który mamy. Sprzęt jest średniej klasy - całość kosztuje ok. 2 tys. zł plus tanie karty WLAN po 100 zł sztuka.

Po tygodniu sieć jest zainstalowana i działa. Uwolnieni od kabli nie możemy się nacieszyć wolnością. Niby wszystko jest w porządku, ale przyglądając się pracy sieci mamy wrażenie, że w komunikacji zdarzają się 1-2-sekundowe przerwy. Czasami zdarza się, że strona WWW po prostu nie chce się ściągnąć. Gdy przechodzimy z piętra na piętro tracimy zasięg, a gdy to nastąpi, nie można się do niej ponownie zalogować. Nie ma żadnej racjonalnej przyczyny, nie ma też regularności. Problem jest jednak zauważalny i niektórym zaczyna doskwierać. A miało być tak pięknie...

Grzechy główne

Grzech pierwszy popełniany powszechnie, to zakup urządzeń z tzw. średniej półki. Zwykle nie posiadają one efektywnie działających mechanizmów ograniczeń dostępu, dzielenia strumieni ruchu według aplikacji i nadawania im priorytetów. W praktyce systemy takie nie są w stanie obsłużyć więcej niż 2-5 użytkowników jednocześnie. Przekroczenie tej liczby może spowodować problemy z jakością pracy sieci, a nawet zawieszenie się oprogramowania urządzenia dostępowego. Inna sprawa, że tanie urządzenia działają w trybie 802.11b, dając do dyspozycji użytkowników pasmo jedynie 11 Mb/s.

Grzech drugi wiąże się z zakłóceniami. Sieć 802.11b działająca w paśmie 2,4 GHz jest w praktyce bardzo podatna na zakłócenia. Wiele urządzeń przemysłowych emituje szumy w tym przedziale częstotliwości, a poza tym jest to pasmo niechronione. Jeżeli więc w biurowcu znajduje się więcej urządzeń WLAN (albo kuchenek mikrofalowych), mogą wystąpić problemy z synchronizacją połączeń (parametr RTS - Real Time Synchronization).

Grzech trzeci, to zrywanie transmisji. Sieci WLAN posiadają bardzo dobrze zabezpieczone mechanizmy utrzymania transmisji, ale jedynie w obrębie zasięgu jednej stacji bazowej. Przy przemieszczaniu się między obszarami zarządzanymi przez różne stacje bazowe sesja nie zostanie płynnie przeniesiona (hand-off, roaming). Do takich operacji jest dedykowana potrzebna bramka WLAN, która w naszych wyliczeniach kosztowych nie została uwzględniona (wydatek 1-2 tys. zł).

Grzech czwarty - najpoważniejszy, to bezpieczeństwo. Tanie sieci WLAN nie są sieciami bezpiecznymi. Szyfrowanie WEP czy statyczne tabele dozwolonych adresów ARP/MAC niewiele znaczą. Oba te zabezpieczenia można obejść niewielkim wysiłkiem - WEP można złamać w ciągu niecałej godziny, zaś adresy MAC można podsłuchać i podszyć się pod nie.

Projekt z ambicjami

Projekt można poprowadzić zupełnie inaczej - tak, by sieć WLAN była wydajna, niezawodna, bezpieczna, a także przygotowana na przyszłe potrzeby, np. przesyłanie głosu w technologii VoIP. Oczywiście, nie będzie to wariant najtańszy w momencie zakupu, ale w długim okresie najefektywniejszy finansowo. Nie można bowiem udawać, że wszystko co złe naszej firmy nie dotyczy i dotyczyć nie będzie.

Jeśli na pierwszym miejscu stawiamy bezpieczeństwo, wydajność i gotowość na technologie jutra, do budowy sieci WLAN warto zatrudnić profesjonalistów. Zapytania ofertowe kierujemy do firm mających wyrobioną markę i oferujących urządzenia przygotowane do biznesowego wykorzystania technologii WLAN - Cisco, 3Com, Proxim i Mitel. Zakładamy, że stacje bazowe mają pracować w paśmie 2,4 i 5 GHz, że mają być wytrzymałe i właściwie zabezpieczone. Zakładamy też, że w przyszłości urządzenia umożliwią uruchomienie usług VoIP over WLAN.

Szczególną wagę przy budowie "wzorowej" sieci WLAN trzeba przywiązać do zapory sieciowej. Wybierając urządzenie trzeba pamiętać, że powinien on być w stanie blokować ruch spoza sieci, a także ruch pochodzący od urządzeń już uwierzytelnionych. Co więcej, zapora musi mieć zapas mocy, by w przyszłości obsłużyć większą liczbę klientów, a także nowe usługi, jak VoIP, bez spadku jakości. Profesjonalny firewall powinien być zintegrowany z bramką VPN, by użytkownicy sieci WLAN nie mieli możliwości wzajemnego podsłuchiwania ruchu. Koszt tego elementu sieci to 2-5 tys. zł.

Aby zachować jakość transmisji na wysokim poziomie, powinna ona odbywać się co najmniej w standardzie 802.11g, który choć podobnie jak 802.11b działa w paśmie 2,4 GHz, jest znacznie bardziej odporny na zakłócenia, dzięki efektywnej modulacji z prostopadłą polaryzacją kanałów sąsiadujących. Taką transmisję znacznie trudniej zerwać.

Technologia 802.11g ma jeszcze tę zaletę, że oferuje współdzielone pasmo na poziomie 54 Mb/s - pięciokrotnie większe niż 802.11b, co oznacza znacznie lepszą wydajność i skalowanie liczby użytkowników. Jeśli sieć ma obejmować jedynie pomieszczenia, najlepiej jest posłużyć się technologią 5 GHz (802.11a), która zapewnia wprawdzie mniejszy zasięg niż 2,4 GHz, ale jest znacznie bardziej odporna na zakłócenia i zapewnia pasmo takie jak 802.11g.

Aby sieć była bezpieczna, stacje bazowe powinny obsługiwać standardy: 802.11i (tzw. WPA2), TKIP oraz koniecznie 802.1X z obsługą co najmniej następujących schematów uwierzytelniania: PEAP, TTLS, TLS, SIM. Powinny też posiadać system WDS (Wireless Distribution System), który umożliwi płynne przechodzenie pomiędzy piętrami bez utraty sesji.

Taki system powinien być zabezpieczony przed włamaniem, by nie można było przechwycić sesji użytkownika w trakcie jej przekazywania - zwykle konieczne jest logowanie zdarzeń oraz szyfrowanie SSH. Jeśli jest to w zasięgu finansowym, urządzenia powinny posiadać wbudowane systemy ochrony przed włamaniami i funkcje wykrywania i wyłączania obcych stacji bazowych (rogue access point detection).

Tyle sprzęt. Oddzielnym kosztem jest przygotowanie wdrożenia i instalacja sprzętu oraz finalne testy. Profesjonaliści kosztują. Za projekt i wykonanie sieci zgodnie z regułami sztuki trzeba zapłacić 4 tys. zł.

Kable wciąż atrakcyjne

Sieć WLAN zbudowana z dobrych komponentów jest bezpieczna, wydajna, oszczędna i niezawodna, a przy tym łatwa w utrzymaniu. Całość, bez telefonów IP, mieści się w 35-40 tys. zł. Taką cenę zapłaciliśmy za bezpieczeństwo, o którym gdzieś "z tyłu głowy" wiedzieliśmy, ale daliśmy się ponieść obietnicom. Owo "oszczędzanie" doprowadziło w praktyce do wyrzucenia pieniędzy na nieużyteczny sprzęt i dodatkowe wydatki na projekt i konsulting. Teraz już wiemy, że argument o niewielkich kosztach wdrożenia sensownej sieci WLAN można włożyć między bajki.

Za 40 tys. zł można zbudować profesjonalną sieć przewodową o bardzo dobrych parametrach, na markowym sprzęcie, bez obaw o jakość, bezpieczeństwo i niezawodność. Zwykle można to zrobić znacznie taniej. Jeśli po analizie kosztów wciąż jesteśmy przekonani, że budowa sieci WLAN miała sens, ponieważ firma osiągnęła poprawę efektywności w innych dziedzinach, a ryzyko jej działania nie powiększyło się, należymy do szczęśliwców mogących cieszyć się dorobkiem nowoczesnej technologii. Jeśli nie, popełniliśmy grzech marnotrawstwa.

Wymagania na głos

Na potrzeby VoIP potrzebne są: bramka H.323/SIP, 50-100 telefonów IP oraz odpowiednia liczba licencji. Telefony będą jedynymi urządzeniami w sieci pracującymi na częstotliwości 2,4 GHz, co ma związek z tym, że w praktyce ruch głosowy lepiej jest oddzielić od transmisji danych, która będzie się odbywać w paśmie 5 GHz.

Mimo wydzielenia ruchu głosowego do osobnego pasma, nie można zrezygnować z wdrożenia usług QoS/TOS, bez których, jak pokazuje praktyka, korzystanie z bezprzewodowych telefonów IP nie bardzo ma sens. Telefony WLAN o dobrej funkcjonalności można kupić w cenie ok. 1,5 tys. zł, a przy zakupie większej ich liczby - nawet taniej.

Alternatywą byłoby korzystanie z telefonów DECT, wymagałoby to jednak zakupu 5-6 stacji bazowych DECT, co zwiększyłoby koszty projektu o kolejne 5-6 tys. zł. Zastosowanie rozwiązań WLAN działających jednocześnie w 2 pasmach (2,4 i 5 GHz) pozwala zrezygnować z takiego scenariusza. Trzeba jeszcze oczywiście kupić karty radiowe do komputerów - dla tych, które ich nie posiadają bądź ich funkcjonalność jest zbyt mała. Cena karty obsługującej wszystkie ważniejsze technologie WLAN (w tym zwłaszcza bezpieczne schematy uwierzytelniania i szyfrowanie 802.1i) wynosi dziś 500-700 zł.

W artykule wykorzystano ceny i informacje na temat sprzętu następujących firm: D-Link, Planet, Cisco, 3com, Proxim, Mitel.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200