7 grzechów projektowania sieci Wi-Fi

Projektując, instalując i konfigurując sieć bezprzewodową można popełnić wiele błędów wpływających na jej bezpieczeństwo i funkcjonowanie. Dlatego warto wiedzieć, na co zwrócić uwagę podczas instalacji sieci Wi-Fi i jak uniknąć typowych błędów.

Oczywiście, podstawą jest prawidłowe skonfigurowanie urządzeń oraz uwzględnienie podstawowych elementów systemu zabezpieczeń: haseł, domyślnych identyfikatorów użytkowników i urządzeń (zwłaszcza identyfikatora SSID, który domyślnie zdradza typ urządzenia dostępowego) oraz włączenia najnowszej wersji szyfrowania WPA. O tych aspektach napisano już wiele publikacji i tym nie będziemy się tu zajmować. Przyjrzyjmy się innym, często popełnianym błędom wpływającym na funkcjonowanie sieci bezprzewodowej oraz dostępnym rozwiązaniom, które sprawią, że sieć bezprzewodowa spełni oczekiwania wszystkich użytkowników.

Planowanie bez planów

Trudno zaprojektować jakąkolwiek sieć bezprzewodową bez wcześniejszego zapoznania się z planem budynku i zaznaczenia na nim, z podziałem na piętra i poszczególne pomieszczenia, przewidywanych miejsc umieszczenia punktów dostępowych lub routerów. Rozmieszczenie ich na mapie powinno skutkować jak największym zasięgiem sieci i jak najmniejszym tłumieniem sygnału. Główną zasadą przy pozycjonowaniu sprzętu komunikacji bezprzewodowej jest to, aby znajdował się on jak najdalej, o ile to oczywiście możliwe, od urządzeń lub przeszkód mogących tłumić lub zakłócać sygnał. Są to, na przykład, grube żelbetonowe ściany, stalowe drzwi przeciwpożarowe, zbiorniki z wodą oraz urządzenia elektryczne lub elektroniczne, zwłaszcza maszyny wyposażone w silniki indukcyjne dużej mocy (np. obrabiarki).

Zobacz również:

Urządzenia dostępowe powinny być umieszczone wysoko, tuż pod sufitem, tak aby sygnał miał jak najlepsze warunki propagacji. Sprzęt Wi-Fi wysyła sygnał dookolnie w płaszczyźnie poziomej. Nie ma więc szans na to, aby punkt dostępowy umocowany tuż pod sufitem był w stanie prawidłowo obsługiwać komputery czy smartfony znajdujące się piętro wyżej. Innymi słowy, na każdym piętrze musi znajdować się oddzielna sieć Wi-Fi składająca się z jednego lub kilku punktów dostępowych. Nieuwzględnienie tego faktu jest jednym z podstawowych błędów popełnianych w większości źle działających sieci bezprzewodowych.

Planując rozmieszczenie urządzeń dostępowych, niezależnie od tego czy są one zgodne ze starszym standardem 802.11n czy nowszym 802.11ac, należy założyć, że zasięg z każdego punktu dostępowego to maksymalnie ok. 30-40 metrów. A dla bezpieczeństwa jeszcze lepiej założyć zasięg w granicach 25 metrów bez względu na to, jak bardzo zachwala swój wyrób dany producent. Liczbę potrzebnych punktów dostępowych można ustalić rysując na planie budynku koła w odpowiedniej skali, o długości promienia opowiadającej 25 metrom.

Zakresy te powinny na siebie nachodzić, umożliwiając zalogowanie się urządzeniu klienckiemu do następnego punktu. Przyjmuje się, że nakładanie się okręgów powinno wynosić około 10-15%. Pewność pokrycia zasięgiem sieci całej przestrzeni piętra daje 30- lub 40-procentowe nakładanie się zasięgów.

Brak testów terenowych

Kolejnym, częstym błędem, który może wpłynąć na funkcjonowanie większych sieci Wi-Fi i możliwości ich dalszej rozbudowy, jest brak eksperymentów terenowych. Badanie terenowe, tzw. site survey wykonywane jest za pomocą odpowiedniego oprogramowania lub urządzenia do analizy spektrum radiowego. Jego efektem jest mapa rozkładu pola elektromagnetycznego. Ustawiając punkt dostępowy w ustalonych miejscach i wykonując pomiary, można uzyskać zestaw danych, które – po naniesieniu na wczytany do aplikacji pomiarowej plan piętra – wskażą warunki rozchodzenia się sygnału radiowego i poziom zakłóceń.

W razie braku odpowiedniego oprogramowania pomiarowego można posłużyć się np. popularną aplikacją mobilną NetStumbler i ręcznie zrobić notatki na planie. Propagacja sygnału radiowego pozwoli określić zasięg i docelową pojemność sieci, czyli liczbę użytkowników mogących efektywnie łączyć się z Wi-Fi w danym miejscu nie przeciążając jej. Oczywiście tam, gdzie zasięg jest niewystarczający, należy dołożyć dodatkowy punkt dostępowy.

Drugi eksperyment site survey przeprowadza się już na gotowej sieci, co pozwala dokonać ostatecznych korekt infrastruktury przed jej oddaniem do użytku.

Nieoszacowanie pojemności sieci

Pojemność to jedna z podstawowych kwestii związanych z projektowaniem sieci Wi-Fi. Określa ona liczbę użytkowników, których sieć może jednocześnie „obsłużyć” na danym obszarze, to znaczy zapewnić im niezawodnego i wydajnego połączenia. Złe wyskalowanie sieci spowoduje, że użytkownicy mogą borykać się ze zbyt wolną transmisją danych lub nawet być „wyrzucani” z sieci.

Niestety, pojemności nie da się dokładnie określić w sposób teoretyczny, co wynika z faktu, że użytkownicy i urządzenia końcowe w różny sposób używają jej zasobów. Sytuację dodatkowo komplikują urządzenia mobilne, których posiadacze przemieszczają się pomiędzy punktami dostępowymi – nigdy nie wiadomo, w którym miejscu sieci pojawi się większa liczba urządzeń. Dlatego należy założyć, że urządzenie dostępowe jest w stanie obsłużyć poprawnie połowę przewidzianych przez producenta użytkowników – w ten sposób mamy zapas, związany z możliwością zgrupowania się w jednym miejscu większej liczby urządzeń końcowych niż zakładana.

Zwiększenie liczby punktów dostępowych i obniżenie siły emitowanego przez nie sygnału radiowego to jeden z lepszych sposobów na rozwiązanie problemu niewystarczającej pojemności sieci na danym obszarze. Obniżenie mocy wyjściowej pozwoli uniknąć interferencji z innymi, leżącymi już bardzo blisko punktami dostępowymi. Chodzi o to, że przy mniejszym zasięgu każdy punkt dostępowy będzie obsługiwać mniejszą liczbę urządzeń końcowych, gdyż obciążenie na danym obszarze rozłoży się na kilka punktów.

Błędy w architekturze sieci

Niezależnie od przedstawionego wcześniej fizycznego aspektu rozmieszenia urządzeń dostępowych, budując firmową sieć bezprzewodową należy zdecydować się na jedną z dwóch dostępnych typów infrastruktury sieciowej. Pierwsza, popularna w małych instalacjach, to sieć rozproszona. Drugą, scentralizowaną, stosuje się głownie w dużych firmach czy dużych sieciach dostępnych publicznie – np. w wypadku miejskiego dostępu do internetu.

Podstawową różnicą pomiędzy nimi jest sposób traktowania punktu dostępowego oraz realizowanych przez to urządzenie funkcji. Architektura rozproszona, nazywana też architekturą autonomiczną, jest stosunkowo prosta w implementacji. Sieć tego typu składa się po prostu z kilku, kilkunastu lub czasem wręcz kilkuset działających niezależnie punktów dostępowych, które należy ze sobą odpowiednio połączyć i skonfigurować. Wszystkie punkty dostępowe samodzielnie odpowiadają za funkcjonowanie mechanizmów przyłączania użytkowników, bezpieczeństwo i transmisję danych, a także za połączenie z innymi urządzeniami dostępowymi i „przerzucanie” użytkownika z jednego punktu dostępowego do drugiego.

W praktyce, punkty dostępowe rozmieszczone na różnych piętrach czy zainstalowane w rożnych pomieszczeniach podłącza się do znajdującej się w budynku przewodowej sieci LAN i wszystkim przydziela się ten sam identyfikator SSID. W sieci rozproszonej urządzenie klienckie, np. notebook, logując się automatycznie do sieci o danym identyfikatorze SSID wybierze access point o najmocniejszym w danym miejscu sygnale. Tutaj częstym błędem powodującym bałagan w sieci jest nadanie, zupełnie niepotrzebnie, każdemu urządzeniu dostępowemu oddzielnego identyfikatora SSID. Specjaliści od sieci, widząc kilka identyfikatorów SSID różniących się np. numerem, od razu dostrzegą, że mają do czynienia z siecią bezprzewodową tworzoną przez amatorów – w domyśle: do takiej łatwiej się włamać.

Co ważne, w sieci rozproszonej każdy punkt dostępowy musi działać na innym kanale tak, aby nie zakłócać pracy innego punktu. Nieprzydzielenie innego kanału dla sąsiadujących Access Pointów jest kolejnym bardzo częstym błędem popełnianym w tego typu instalacjach. Oczywiście, jeżeli punkty dostępowe są daleko od siebie i ich sygnały nie zachodzą na siebie, wówczas można zastosować ten sam kanał nawet kilkakrotnie.

Zapominanie o trybie WDS

Sieci rozproszone spotyka się w firmach, gdzie jednocześnie pracuje nie więcej niż 4–5 punktów dostępowych. Zaletą takiej infrastruktury jest bardzo prosta konfiguracja, identyczna jak dla pojedynczego punktu dostępowego. Problemy zaczynają się pojawiać w chwili, gdy użytkownik z urządzeniem klienckim połączonym z siecią zaczyna się przemieszczać pomiędzy punktami dostępowymi. Tutaj z pomocą przychodzi tryb Wireless Distribution System, nazywany też trybem Bridge-WDS lub mostkiem WDS.

W trybie WDS, tylko jeden punkt dostępowy podłączony jest przewodowo do sieci LAN. Pełni on funkcję nadrzędnego access pointa, który zapewnia dostęp do LAN-u innym urządzeniom bezprzewodowym. Mogą się do niego w standardowy sposób podłączać stacje klienckie, a jednocześnie przekazuje on i odbiera pakiety wysyłane do i od klientów WDS. Klientami WDS są natomiast pozostałe, znajdujące się w sieci bezprzewodowej, punkty dostępowe, nazywane punktami podrzędnymi. To one zapewniają znajdującym się w ich zasięgu urządzeniom bezprzewodową łączność.

Punkt dostępowy pracujący w trybie WDS pełni funkcję bezprzewodowego mostu. Dzięki temu możliwe jest utworzenie bezprzewodowej siatki połączeń. Innymi słowy, pierwszy punkt dostępowy wysyła pakiet do drugiego, drugi po otrzymaniu sygnału, wzmacnia go i rozsyła dalej w granicach swojego zasięgu, trzeci punkt – jeszcze dalej itd. Najważniejsze jest to, że pracownik ze smartfonem może przy punktach dostępowych pracujących w trybie WDA bez problemu przemieszczać się między obszarami zasięgu poszczególnych punktów, a „przekazywaniem klienta” zajmuje się bezpośrednio protokół WDS.

W sieci WDS wszystkie punkty dostępowe z definicji musza mieć ten sam identyfikator SSID, a do połączeń stosuje się ten sam klucz i protokół szyfrujący – korzystają z nich zarówno stacje klienckie, jak i punkty dostępowe (do nawiązywania połączeń między sobą), choć w zależności od modelu czasami używa się innego klucza do komunikacji pomiędzy punktami. Istotne jest też to, że wszystkie Access Pointy muszą pracować w trybie mostka WDS i jednocześnie pełnić funkcje punktu dostępowego – nieuwzględnienie tego faktu, to kolejny błąd który często się zdarza, przez który pojawiają się „białe plamy” na mapie łączności, czyli miejsca, w których nie można połączyć się z siecią. Jest to o tyle ważne, że nie wszystkie urządzenia włączają domyślnie po przestawieniu ich w tryb WDS jednocześnie tryb punktu dostępowego.

Warto też wiedzieć o tym, że w trybie WDS istnieje, w zależności od użytych modeli sprzętu, ograniczenie liczby punktów podrzędnych, zwykle do 10 lub 15, z którymi mogą być wymieniane informacje. Oznacza to, że sieć urządzeń pracujących w trybie WDS nie powinna się składać z większej liczby niż 10–15 punktów dostępowych. W takiej sieci należy też pamiętać o taki ustawieniu adresów, aby wszystkie urządzenia klienckie pracowały w jednej podsieci LAN oraz o ustawieniu serwera DHCP tak, aby adresy były pobierane z nadrzędnego punktu dostępowego, albo firmowego serwera DHCP.

Mało punktów, dużo klientów

Z punktu widzenia dużych organizacji architektura rozproszonej sieci bezprzewodowej nie ma praktycznie żadnych możliwości rozwoju, gdyż niewielka liczba autonomicznych punktów dostępowych nie pozwala na tworzenie skalowalnych sieci WLAN. To kolejny często pojawiający się błąd przy tworzeniu i projektowaniu sieci bezprzewodowej, gdzie wybrane, ekonomiczne rozwiązania nie zapewniają wystarczających możliwości rozwoju.

Duża firma potrzebuje dużej sieci, która musi „pomieścić” dużą liczbę użytkowników – zwykle powyżej 100 klientów. To wymaga zastosowania rozwiązań korporacyjnych, a więc sieci scentralizowanych. Do budowy takiej sieci wykorzystuje się specjalne urządzenie nazywane menedżerem sieci WLAN lub kontrolerem sieci bezprzewodowej. W architekturze scentralizowanej kontroler odpowiada za realizację wszystkich procesów związanych z zarządzaniem oraz pracą punktów dostępowych. Bezprzewodowa sieć scentralizowana nie może funkcjonować bez menedżera WLAN, który przejmuje całkowitą kontrolę nad wszystkimi punktami dostępowymi.

Dostępne na rynku kontrolery mogą sterować siecią liczącą nawet ponad tysiąc punktów dostępowych. Dzięki temu w dowolnej chwili można dodać do sieci niemal dowolną liczbę punktów dostępowych potrzebną do zapewnienia łączności na większym obszarze – menedżer WLAN na bieżąco kontroluje panujące w eterze warunki pracy. Co ważne, każdy punkt dostępowy znajdujący się w strefie danego kontrolera jest konfigurowany automatycznie według z góry ustalonych przez administratora reguł. Taka automatyczna synchronizacja parametrów pracy znacznie upraszcza wdrożenie i zarządzanie bezprzewodowym środowiskiem. Kontroler potrafi też automatycznie zaktualizować firmware wszystkich powiązanych z nim punktów dostępowych, co jest wyjątkowo cenne z punktu widzenia sieci korporacyjnej.

Istotną cechą menedżerów WLAN jest możliwość równoważenia obciążenia pomiędzy dostępnymi na danym obszarze punktami dostępowymi. Kontroler potrafi bowiem przypisać klientów do dostępnych access pointów – klient nie musi to być wcale podłączany do najbliższego punktu, ale może być podłączony do dalszego o wystarczającej mocy sygnału. Co ważne, w ten sposób łatwiej też zrealizować przełączanie klienta pomiędzy punktami dostępowymi, gdy użytkownik przemieszcza się po firmie.

A co z rozbudową?

Grzech ostatni w procesie projektowania sieci to pomijanie możliwości jej przyszłej rozbudowy. Przykładowo, wybór infrastruktury opartej na autonomicznych, rozproszonych punktach dostępowych sprawi, że przyszła migracja do strukturalnej sieci Wi-Fi będzie dużo droższa – no chyba, że wcześniej zaplanowaliśmy taką docelową architekturę sieci z managerem WLAN. Wówczas w pierwszej fazie budowy sieci należy zakupić punkty dostępowe współpracujące z wybranym uprzednio modelem kontrolera WLAN. Po dokupieniu go migracja będzie banalnie prosta: przebiegnie niemal w sposób automatyczny po podłączeniu i skonfigurowaniu managera WLAN.

Warto więc od razu zaprojektować sieć bezprzewodową z myślą o jej docelowej funkcjonalności, nawet jeśli ma zostać osiągnięta za kilka lat. W ten sposób wyeliminuje się błędy w budowie sieci, a jej rozbudowa będzie stosunkowa prosta i tania.