Błędy popełniane przy budowie sieci Wi-Fi

Projektując i konfigurując sieć bezprzewodową można popełnić wiele błędów wpływających na jej bezpieczeństwo i funkcjonowanie. Na co zwrócić uwagą podczas instalacji sieci Wi-Fi by uniknąć typowych problemów.

Podstawą jest prawidłowe skonfigurowanie urządzeń oraz pamiętanie o podstawowych elementach zabezpieczeń, takich jak: zmiana haseł, domyślnych identyfikatorów użytkowników i urządzeń, zwłaszcza identyfikatora SSID, który domyślnie zdradza typ urządzenia dostępowego, oraz włączenia szyfrowania WPA2. O tych aspektach napisano już wiele publikacji, i nie będziemy się tu nimi zajmować. Przyjrzyjmy się innym, często popełnianym błędom wpływającym na funkcjonowanie sieci Wi-Fi oraz dostępnym rozwiązaniom, które sprawią, że sieć bezprzewodowa spełni nasze oczekiwania.

Kółka na planie

Projektowanie sieci bezprzewodowej w firmie należy rozpocząć od wzięcia do rąk planu budynku i rozmieszczeniu na nim, z podziałem na pietra i poszczególne pomieszczenia, przewidywanych miejsc umieszczenia punktów dostępowych lub routerów. Rozmieszczając je na mapie należy koniecznie wziąć pod uwagę to, aby otrzymać jak największy zasięg i jak najmniejsze tłumienie sygnału. Główną zasadą przy rozmieszczaniu sprzętu Wi-Fi jest to, aby znajdował się on jak najdalej, o ile to, oczywiście, możliwe, od urządzeń lub przeszkód tłumiących sygnał takich jak grube żelbetonowe ściany, stalowe drzwi przeciwpożarowe, zbiorniki z wodą oraz inne urządzenia elektryczny lub elektroniczne, które mogą zakłócać sygnał – zwłaszcza jak najdalej od maszyn, które są wyposażone w silniki indukcyjne dużej mocy (np. w obrabiarki).

Zobacz również:

Dobrze umieścić jest urządzenia dostępowe wysoko, tuż pod sufitem, tak aby sygnał miał jak najlepsze warunki propagacji. Pamiętajmy, że sprzęt Wi-Fi wysyła sygnał dookólnie w płaszczyźnie poziomej. Nie ma więc szans na to, aby punkt dostępowy umocowany tuż pod sufitem był w stanie prawidłowo obsługiwać komputery czy smartfony znajdujące się piętro wyżej. Innymi słowy, na każdym piętrze musi znajdować się oddzielna sieć Wi-Fi składająca się z jednego lub kilku punktów dostępowych. Nieuwzględnienie tego faktu jest jednym z podstawowych błędów popełnianych w większości źle działających sieci bezprzewodowych.

Planując rozmieszczenie urządzeń dostępowych, niezależnie od tego czy są one zgodne ze starszym standardem 802.11n czy nowszym 802.11ac, należy założyć, że zasięg z każdego punktu dostępowego to maksymalnie ok. 30-40 metrów, a lepiej, dla bezpieczeństwa założyć, że zamyka się on w granicach 25 metrów – niezależnie od tego, jak bardzo zachwala swój wyrób dany producent sprzętu.

Rysując na planie budynku koła w odpowiedniej skali opowiadające takiej 25-metrowej średnicy można wyznaczyć ile tak naprawdę potrzebujemy punktów dostępowych. Podczas projektowania sieci powinniśmy pamiętać, aby zakresy te nachodziły na siebie, umożliwiając zalogowanie się mobilnej stacji klienckiej do następnego punktu. Przyjmuje się, że nakładanie się okręgów powinno wynosić około 10-15%. Jeżeli chcemy mieć pewność, że zasięgiem na pewno obejmiemy całą przestrzeń piętra warto zwiększyć ten parametr do 30-40%.

Mapa rozkładu pola elektromagnetycznego

Kolejnym etapem projektowania sieci Wi-Fi jest tzw. Site Survey, czyli eksperymentalne badanie terenowe. Wstępne badanie polega tu na wzięciu ze sobą notebooka z odpowiednim oprogramowaniem lub urządzenia do analizy spektrum radiowego oraz punktu dostępowego, który będziemy stawiać w zaplanowanych miejscach. W ten sposób nanosząc uzyskane wyniki wczytany do aplikacji pomiarowej plan piętra otrzymamy bardzo dobry obraz rozchodzenia się sygnału radiowego i poziomu zakłóceń.

Jeżeli nie dysponujemy odpowiednim oprogramowaniem pomiarowym możemy posłużyć się np. popularną aplikacją NetStrumbler i ręcznie zrobić na planie notatki. Propagacja sygnału radiowego pozwoli określić zasięg (pokrycie) i docelową pojemności sieci, czyli ilu użytkowników może efektywnie korzystać z Wi-Fi w danym miejscu zanim nie będzie ona przeciążona. Oczywiście tam gdzie zasięg jest za słaby należy dołożyć dodatkowy Access Point. Drugi eksperyment Site Survey przeprowadza się już na gotowej sieci, co pozwala dokonać ostatecznych korekt infrastruktury przed jej oddaniem do użytku. Jak można się domyślić, nieprzeprowadzenie badań terenowych jest kolejnym, częstym błędem, który może wpłynąć na funkcjonowanie większych sieci Wi-Fi i możliwości ich dalszej rozbudowy.

Pojemność sieci

Pojemność sieci to jedna z podstawowych kwestii związanych z projektowaniem sieci Wi-Fi. Określa ona liczbę użytkowników, których będzie można obsłużyć jednocześnie na danym obszarze przy zapewnieniu im niezawodnego i wydajnego połączenia. Złe wyskalowanie sieci spowoduje, że każdy z użytkowników będzie miał problemy spowodowane zbyt wolną transmisją lub nawet mogą być oni „wyrzucani” z sieci.

Niestety, pojemności nie da się dokładnie określić w sposób teoretyczny, co wynika z tego, że użytkownicy i urządzenia końcowe w różny sposób korzystają z jej zasobów. Co gorsza, sytuację komplikują urządzenia mobilne, które przemieszczają się pomiędzy punktami dostępowymi i nigdy nie wiadomo, w którym miejscu sieci pojawi się większa liczba urządzeń. Dlatego należy brać poprawkę i założyć, że urządzenie dostępowe jest w stanie obsłużyć poprawnie połowę przewidzianych przez producenta użytkowników – w ten sposób mamy zapas, związany z możliwością zgrupowania się w jednym miejscu większej niż założyliśmy liczby urządzeń końcowych.

Zwiększenie liczby punktów dostępowych i obniżenie siły emitowanego przez nie sygnału radiowego to jeden z lepszych sposobów na rozwiązanie problemu niewystarczającej pojemności sieci na danym obszarze. Obniżenie mocy wyjściowej pozwoli uniknąć interferencji z innymi, leżącymi już bardzo blisko punktami dostępowymi. Chodzi tu o to, że przy mniejszym zasięgu, każdy punkt dostępowy będzie obsługiwać mniejszą liczbę urządzeń końcowych, gdyż obciążenie na danym obszarze (powierzchni) rozłoży się nie na jeden, a na kilka Access Pointów.

Sieć rozproszona

Niezależnie od przedstawionego powyżej fizycznego aspektu rozmieszenia urządzeń dostępowych, budując firmową sieć bezprzewodową należy zdecydować się na jedną z dwóch dostępnych architektur. Pierwsza, która jest popularna w małych instalacjach Wi-Fi, to sieć rozproszona, drugą, scentralizowaną, stosuje się głownie w dużych firmach, hotelach czy dużych sieciach dostępnych publicznie – np. w wypadku miejskiego Internetu.

Podstawową różnicą pomiędzy oboma typami infrastruktury sieciowej to sposób traktowania w niej punktu dostępowego oraz realizowanych przez te urządzenia funkcji. Architektura rozproszona, nazywana też architekturą autonomiczną, jest stosunkowo prosta w implementacji. Sieć tego typu składa się po prostu z kilku, kilkunastu lub czasem kilkuset działających niezależnie punktów dostępowych, które należy ze sobą odpowiednio połączyć i skonfigurować. Wszystkie punkty dostępowe odpowiadają samodzielnie za funkcjonowanie mechanizmów przyłączania użytkowników, bezpieczeństwo i transmisję danych, a także za połączenie z innymi urządzeniami dostępowymi i „przerzucanie” użytkownika z jednego punktu dostępowego do drugiego.

W praktyce, punkty dostępowe rozmieszczone na różnych piętrach czy zainstalowane w rożnych pomieszczeniach podłącza się do znajdującej się w budynku kablowej sieci LAN i wszystkim przydziela się ten sam identyfikator SSID. W sieci rozproszonej stacja kliencka, np. notebook, logując się automatycznie do sieci o danym identyfikatorze SSID wybierze Access Point o najmocniejszym w danym miejscu sygnale. Tutaj częstym błędem powodującym bałagan w sieci, jest nadanie, zupełnie niepotrzebnie, każdemu urządzeniu dostępowemu oddzielnego identyfikatora SSID. Notabene, specjaliści od sieci widząc kilka identyfikatorów SSID, różniących się np. numerem, od razu widzą, że mają do czynienia z siecią bezprzewodową tworzoną przez amatorów. Jest to dodatkowa informacja, że tu łatwiej się włamać.

Co ważne, w sieci rozproszonej, każdy Access Point musi działać na innym kanale tak, aby wzajemnie nie zakłócały swojej pracy. Nie przydzielenie innego kanału dla sąsiadujących Access Pointów jest kolejnym bardzo częstym błędem popełnianym w tego typu instalacjach. Oczywiście, jeżeli punkty dostępowe są daleko od siebie i ich sygnały nie zachodzą na siebie, wówczas można zastosować ten sam kanał nawet kilkakrotnie.

Tryb WDS

Tak skonfigurowane sieci rozproszone spotyka się w małych hotelach czy firmach, gdzie jednocześnie pracuje nie więcej niż 4-5 access pointów. Zaletą takiej infrastruktury jest bardzo prosta konfiguracja, identyczna jak dla pojedynczego punktu dostępowego. Problemy zaczynają się czasami pojawiać, gdy ze stacją kliencką zaczynamy się przemieszczać pomiędzy punktami dostępowymi. Tutaj z pomocą przychodzi tryb WDS (Wireless Distribution System) nazywany też trybem Bridge-WDS (mostek WDS).

W trybie WDS, tylko jeden punkt dostępowy podłączony jest przewodowo do sieci LAN. Pełni on funkcję nadrzędnego Access Pointa, który zapewniaj dostęp do sieci LAN innym urządzeniom bezprzewodowym. Jego działanie jest dwojakie. Po pierwsze, mogą się do niego, w standardowy sposób, podłączać stacje klienckie, po drugie, jednocześnie przekazuje i odbiera pakiety wysyłane do i od klientów WDS.

Jak można się domyślić, klientami WDS są tu pozostałe punkty dostępowe, nazywane punktami podrzędnymi. To one zapewniają łączność znajdującym się w ich zasięgu stacjom klienckim. Punkt dostępowy pracujący w trybie WDS pełni funkcję bezprzewodowego mostu i umożliwia utworzenie bezprzewodowej siatki połączeń.

Innymi słowy, pierwszy punkt dostępowy wysyła pakiet do drugiego, drugi po otrzymaniu sygnału, wzmacnia go i rozsyła dalej w granicach swojego zasięgu, trzeci punkt jeszcze dalej itd. Najważniejsze jest to, że stacja kliencka, np. pracownik ze smartfonem, może bez problemu przemieszczać się między obszarami zasięgu poszczególnych Access Pointów, a „przekazywaniem klienta” zajmuje się protokół WDS.

W sieci WDS, wszystkie punkty dostępowe z definicji musza mieć ten sam identyfikator SSID, a do połączeń wykorzystuje się ten sam klucz i protokół szyfrujący – korzystają z nich zarówno stacje klienckie, jak i punkty dostępowe do nawiązywania połączeń między sobą, choć w zależności od modelu urządzenia czasami używa się innego klucza do komunikacji pomiędzy Access Pointami. Istotne jest też to, że wszystkie Access Pointy muszą pracować w trybie bridge WDS i jednocześnie pełnić funkcje punktu dostępowego – nieuwzględnienie tego faktu, to kolejny błąd, który często się zdarza i powoduje, że pojawiają się „białe plamy” na mapie łączności, bo nie wszystkie urządzenia, po przestawieniu w tryb WDS, domyślnie włączają tryb punktu dostępowego.

Warto też wiedzieć o tym, że w trybie WDS istnieje, w zależności od użytych modeli sprzętu, ograniczenie liczby punktów podrzędnych, zwykle do 10-15. W takiej sieci należy pamiętać o odpowiednim ustawieniu adresów tak, aby wszystkie urządzenia klienckie pracowały w jednej podsieci LAN, co też jest dość częstym błędem, oraz o ustawieniu serwera DHCP tak, aby adresy były pobierane z nadrzędnego punktu dostępowego, albo firmowego serwera DHCP.

Sieć scentralizowana

Jeżeli w firmie potrzebna jest większa sieć lub sieć, która musi „pomieścić” dużą liczbę użytkowników – zwykle, powyżej 50-100 klientów – wówczas musimy sięgnąć do rozwiązań korporacyjnych, a więc sieci scentralizowanych. Do budowy takiej sieci wykorzystuje się, specjalne urządzenie nazywane managerem sieci WLAN lub kontrolerem sieci bezprzewodowej.

W architekturze scentralizowanej kontroler odpowiada za realizację wszystkich procesów związanych z zarządzaniem oraz pracą punktów dostępowych. Oznacza to, że bezprzewodowa sieć scentralizowana nie może funkcjonować bez managera WLAN, a urządzenie to przejmuje całkowitą kontrolę nad wszystkimi punktami dostępowymi. Co więcej, z punktu widzenia dużych organizacji, architektura rozproszonej sieci bezprzewodowej nie ma praktycznie żadnych możliwości rozwoju, gdyż niewielka liczba autonomicznych punktów dostępowych nie pozwala na tworzenie skalowalnych sieci WLAN – to kolejny często pojawiający się błąd przy tworzeniu i projektowaniu sieci bezprzewodowej, gdzie wybrane, ekonomiczne rozwiązania nie dają nam wystarczających możliwości rozwoju.

Dostępne w sprzedaży managery WLAN potrafią sterować siecią złożoną od kilku do ponad tysiąca punktów dostępowych. Dzięki temu, w dowolnej chwili, można dodać do sieci potrzebą do zapewnienia łączności na większym obszarze liczbę punktów dostępowych – nie mamy tu żadnych ograniczeń, a manager na bieżąco kontroluje panujące w eterze warunki pracy. Co ważne, każdy punkt dostępowy znajdujący się w strefie danego kontrolera jest konfigurowany automatycznie według z góry ustalonych przez administratora reguł. Taka automatyczna synchronizacja parametrów pracy znacznie upraszcza wdrożenie i zarządzanie bezprzewodowym środowiskiem Wi-Fi. Kontroler potrafi też automatycznie zaktualizować firmware wszystkich powiązanych z nim punktów dostępowych, co jest wyjątkowo cenne z punktu widzenia efektywnego działania sieci korporacyjnej.

Istotną cechą managerów WLAN jest możliwość równoważenia obciążenia pomiędzy dostępnymi na danym obszarze punktami dostępowymi. Kontroler potrafi bowiem przypisać klientów do dostępnych Access Pointów, tak aby zrównoważyć obciążenie – klient nie musi to być wcale podłączany do najbliższego punktu, ale może być podłączony do dalszego o wystarczającej mocy sygnału. Co ważne, w ten sposób łatwiej też zrealizować przełączanie klienta pomiędzy punktami dostępowymi, gdy użytkownik przemieszcza się po firmie.

Bezpieczeństwo i rozbudowa

Jak wiadomo, w sieciach bezprzewodowych nie ma standardowo zaimplementowanych zaawansowanych mechanizmów gwarantujących jakości transmisji np. QoS (Quality of Service). Tą wadę, bez problemu, można z powodzeniem wyeliminować na poziomie managera WLAN. Wiele tego typu urządzeń ma również zaszyte znacznie bardziej zaawansowane mechanizmy bezpieczeństwa niż prosty, znany z domowych routerów firewall. W sprzedaży dostępne są modele z zaimplementowanymi zaawansowanymi mechanizmami bezpieczeństwa w tym modułami IDS (Intrusion Detection System) i IPS (Intrusion Prevention System), a nawet z wbudowaną pełną funkcjonalnością urządzenia UTM. Oczywiście można tu też skorzystać z dużo bardziej zaawansowanych mechanizmów autoryzacji i autentykacji, w tym z zewnętrznego serwera RADIUS.

Budując firmową sieć Wi-Fi warto od razu rozważyć możliwości jej rozbudowy. Jeżeli zdecydowaliśmy się wcześniej na autonomiczne, rozproszone punkty dostępowe, wówczas migracja do strukturalnej sieci Wi-Fi będzie dużo droższa, chyba, że wcześniej zaplanowaliśmy taką docelową architekturę sieci z managerem WLAN. Wówczas należy zakupić w pierwszej fazie budowy sieci punkty dostępowe współpracujące z wybranym uprzednio modelem kontrolera WLAN. Kiedy go dokupimy migracja będzie banalnie prosta. Wykona się ona praktycznie w sposób automatyczny po podłączeniu i skonfigurowaniu managera WLAN.

Warto więc od razu zaprojektować sieć bezprzewodową z myślą o jej docelowej funkcjonalności, nawet jeśli mamy ją osiągnąć za kilka lat. W ten sposób popełnimy mniej błędów, a rozbudowa będzie stosunkowa prosta i tania. W innym przypadku, stracimy nie tylko czas i pieniądze, ale również może się to skończyć fatalnie dla naszej firmy, zwłaszcza jeśli się okaże, że sieć nie jest wystarczająco bezpieczna.