Przełączanie lokalne

Wśród możliwych do zrealizowania scenariuszy mamy też wariant, w którym wszystkie zadania uwierzytelniania i przełączania ruchu mają zostać zrealizowane lokalnie, przez oddelegowanie ich do najbliższego punktu dostępowego. Sposób, w jaki możemy to wykonać przy zastosowaniu produktów HP, wydaje się być nad wyraz ciekawy. Pierwsza opcja to zdefiniowanie polityk przełączania (centralnie, lokalnie), które mogą być definiowane dynamicznie, dla każdej sieci bezprzewodowej (SSID) z osobna. Druga metoda zakłada wykorzystanie list kontroli dostępu do zdefiniowania zakresu ruchu, który będzie przełączany lokalnie.

Administrator może wskazać, które sieci VLAN będą przełączane lokalnie. W tym kontekście warto przypomnieć sobie przypadek z rozproszoną autentykacją przez portal webowy. Aby obsłużyć taki ruch, administrator tworzy VLAN przeznaczony do uwierzytelniania użytkowników. Ten segment sieci jest scentralizowany w ramach całej organizacji i to właśnie w nim dostarczane są portal autoryzacji (captive portal) oraz serwer DHCP, czyli te wszystkie usługi, które pozwalają obsłużyć użytkowników jeszcze przed ich zalogowaniem do sieci korporacyjnej, ale także zablokować dostęp do zasobów, do których nie mają oni uprawnień. Kontroler zapamiętuje sesję użytkownika i odłącza go od sieci zaraz po wykonaniu uwierzytelnienia. Klient bezprzewodowy spróbuje ponownie nawiązać połączenie z siecią bezprzewodową, jednak tym razem kontroler przypisze go do odpowiedniego segmentu sieci oraz wymusi na punkcie dostępowym lokalne przełączanie ruchu. Dlaczego o tym mowa?

Nieodłącznym elementem strategii BYOD, która zakłada możliwość wykorzystywania prywatnych urządzeń mobilnych w sieciach korporacyjnych, jest mechanizm autentykacji webowej, pozwalający na przedstawienie się użytkownika i przypisanie mu odpowiednich praw anim ten zostanie dołączony do sieci. Podobny scenariusz warto zrealizować, aby zapewnić pacjentom szpitala niezawodny dostęp do internetu. W każdym z tych przypadków wymagana jest centralna autentykacja, aby uniknąć konieczności wdrażania wielu portali uwierzytelniania (captive portal) dla każdego z segmentów sieci w osobna. W dalszym etapie administrator sieci może rozgraniczać prawa do zasobów sieci względem użytkownika (login) lub typu urządzenia końcowego.

Po zalogowaniu się klienta przez portal webowy kontroler bezprzewodowy może włączyć urządzenie do wskazanego segmentu sieci w zależności od jego użytkownika, albo włączyć użytkownika do danego segmentu sieci, w zależności od tego z jakiego urządzenia korzysta. Sieci bezprzewodowe budowane na bazie produktów HP pozwalają na lokalne obsłużenie ruchu, który wygeneruje takie urządzenie.

Lokalne przełączanie ruchu przynosi szereg korzyści dla funkcjonowania sieci w organizacji. Po pierwsze, ruch nie musi być przekazywany do centralnego węzła internetowego. Po drugie, żadne z centralnych urządzeń nie stanowi wąskiego gardła dla ruchu generowanego lokalnie.

W tym miejscu należy dodać, że kontrolery bezprzewodowe HP, w szczególności modele z wyższego segmentu, zostały zaprojektowane w taki sposób, aby obsłużyć cały ruch, których do nich trafi. Mamy tutaj do czynienia ze sprzętowymi rozwiązaniami wyposażonymi w karty FPGA realizujących zadania przełączania ruchu, których wydajność może sięgać nawet 40 Gbit/s.

Mimo to, projektując infrastrukturę sieciową przedsiębiorstwa, warto ograniczyć możliwość niepotrzebnego przesyłania ruchu do kontrolera i z powrotem. Nawet w przypadku doskonale działającej, w pełni zoptymalizowanej w warstwie radiowej, sieci bezprzewodowej, wybór właściwego modelu przełączania jest bardzo ważny z uwagi na wąskie gardła, które mogą powstawać po stronie kontrolerów bezprzewodowych oraz infrastruktury LAN.

Mechanizmy optymalizacji sieci radiowej

Identyfikacja problemów z działaniem sieci bezprzewodowych wymaga całościowego spojrzenia na infrastrukturę sieciową w organizacji. Analizując każdy typ sieci, każdy segment lub poszczególne komponenty sprzętowe z osobna, niezwykle trudno jest na odpowiedzieć, który element infrastruktury zawodzi. Zadanie znalezienia wąskich gardeł może wydatnie uprościć wdrożenie dobrego systemu zarządzania siecią.

Produkty HP mają wbudowanych szereg mechanizmów optymalizacji radiowej, które umożliwiają uzyskanie najwyższej wydajności oraz stabilności sieci bezprzewodowej, począwszy od najprostszych rozwiązań stosowanych od dawna np. kontrolowanie mocy i kanałów punktów dostępowych) po zaawansowane technologicznie rozwiązania takie jak analiza widma, rozkładanie obciążenia ruchu, podział pasma, czy sterowanie zasięgiem komórki bezprzewodowej oraz progiem czułości modułu radiowego.

Automatyczna kontrola mocy

W zastosowaniach korporacyjnych trudno wyobrazić sobie system bezprzewodowy, który nie będzie automatycznie kontrolował mocy i kanałów punktów dostępowych. W przypadku sieci standardu 802.11ac zapewnienie dużej wydajności takiego połączenia wymaga większego zagęszczenia punktów dostępowych, po to aby poprawić jakość kanałów radiowych. Jednocześnie zagęszczenie punktów dostępowych prowadzi do zwiększonego przesłuchu na kanałach radiowych podchodzącego z różnych urządzeń bezprzewodowych.

Zadaniem kontrolera bezprzewodowego jest śledzenie stanu grupy punktów dostępowych oraz ich otoczenia radiowego. Na podstawie zebranych w ten sposób informacji kontroler może optymalnie dobrać moc anten dla wszystkich podległych mu punktów dostępowych.

Zwiększenie mocy urządzenia bezprzewodowego pozwala zwiększyć zasięg sieci. Prawo telekomunikacyjne obowiązujące w danym kraju wskazuje jednak maksymalną moc promieniowania, której nie wolno przekroczyć. Z tego względu, aby mechanizm kontrolowania mocy mógł być w pełni wykorzystywany, konieczne jest ustawienie początkowej mocy urządzenia, czyli tej w której działa ono w trybie normalnym, na niższym poziomie niż maksymalny. Dzięki temu punkt dostępowy będzie mógł skompensować lukę w sile sygnału radiowego na danym obszarze, spowodowaną awarią któregoś z punktów dostępowych lub zmianą w środowisku radiowym, poprzez proste zwiększenie mocy nadawania do maksymalnego poziomu.

Ważne jest, aby pamiętać o tym już na etapie projektowania sieci, robienia pomiarów radiowych lub prowadzenia badań typu site survey. Mechanizm kontroli mocy nie zadziała poprawnie, jeśli sieć bezprzewodowa zostanie wdrożona w oparciu o punkty dostępowe skonfigurowane w taki sposób, aby nadawać z maksymalną mocą przy minimalnym nakładaniu się sygnału w komórkach radiowych. Z uwagi na ograniczenia prawne, mechanizm automatycznej kontroli mocy wymaga więc świadomego rozmieszczenia punktów dostępowych tak, aby w przypadku awarii jednego z nich lub pojawienia zakłóceń w środowisku radiowym, móc zapewnić odpowiednią jakość sygnału obszaru na danym obszarze przez zwiększanie mocy nadajników pozostałych punktów dostępowych.

Dynamiczny wybór kanałów

Kolejnym mechanizmem, który pozwala zoptymalizować wydajność sieci radiowej jest dynamiczny wybór kanałów. Działanie tej funkcji opiera się na zdefiniowaniu planu kanałów dla grupy punktów dostępowych w taki sposób, aby pokryć zasięgiem wymagany obszar oraz uniknąć interferencji.

Typowa sieć bezprzewodowa wdrażana jest w dwóch zakresach częstotliwości 2,4 GHz oraz 5 GHz. Podejście to pozwala obsłużyć klientów, którzy w dalszym ciągu korzystają z urządzeń starszego typu, pracujących wyłącznie w zakresie 2,4 GHz.

Pasmo 2,4 GHz oferuje trzy nienakładające się na siebie kanały radiowe. Alternatywnie (dotyczy to Europy) możemy wykorzystać cztery kanały, których częstotliwości nakładają się na siebie w minimalnym stopniu. Teoretycznie to zdecydowanie za mało, aby poprawnie obsłużyć dużą liczbę punktów dostępowych rozmieszczonych na małym obszarze. W praktyce - wszystkich tych kanałów używa się do momentu, aż któryś z nich nie stanie się skandalicznie zaszumiony.

Liczba kanałów, dostępnych w paśmie 5 GHz jest wyższa, niż w paśmie 2,4 GHz. Zależność ta pozwala na przygotowanie bardziej skomplikowanego planu wyboru kanałów radiowych, a więc i skuteczniejsze działanie mechanizmu, który pozwala na automatyczny wybór kanału używanego przez sąsiadujące punkty dostępowe.

Analiza widma

W trakcie wyboru kanału, kontroler bezprzewodowy analizuje dodatkowo informacje pochodzące z analizatorów widmowych, wbudowanych w punkty dostępowe. W przypadku zauważenia zewnętrznych zakłóceń, kontroler może wymusić na punkcie dostępowym zmianę używanego kanału na inny. Jak to działa?

Analiza widmowa pozwala zidentyfikować energię w kanale radiowym, która nie jest zrozumiała dla punktu dostępowego. Innymi słowy, w eterze pojawia się szum, który w żaden sposób nie może zostać zdekodowany przez moduł radiowy access pointa. W tym przypadku rośnie próg szumu, a maleje stosunek sygnału do szumu (SNR). W przypadku bardziej skomplikowanej modulacji, punkt dostępowy ma problem z dekodowaniem sygnału, co przekłada się na obniżenie prędkości transmisji (data rate) dla obsługiwanych klientów, a zatem i pogorszeniem wydajności sieci na danym obszarze. Transmisja danych może zostać spowolniona, albo wręcz niemożliwa do prowadzenia, jeśli zakłócenia te okażą się zbyt duże.

Przy projektowaniu sieci bezprzewodowych 802.11 inżynierowie brali pod uwagę kwestie związane z zakłóceniami występującymi w eterze, a więc możliwość pogorszenia jakości transmisji danych w przypadku słabej jakości sygnału radiowego. Z tego względu standard 802.11 opisuje mechanizmy powtórzeń (retransmisji) realizowanych w warstwie dostępu do sieci. W praktyce oznacza to, że klient, który znajduje się w mocno zakłóconej komórce radiowej, mimo zestawionego połączenia z siecią bezprzewodową nie może odbierać i wysyłać danych. To dość unikalna cecha, która istotnie odróżnia sieci Wi-Fi od sieci komputerowych, opartych na okablowaniu strukturalnym.

Kolokwialnie mówiąc: sieć LAN albo działa optymalnie, albo nie działa wcale. Oczywiście zdarzają się przypadki niepoprawnego zaprojektowania i skonfigurowania lokalnej sieci przewodowej, ale są one niezmiernie rzadkie i stosunkowo łatwe do zidentyfikowania. Zazwyczaj wiążą się one z niedostępnością pewnych usług. W przypadku sieci bezprzewodowych sprawa nie jest już tak oczywista. Sieć Wi-Fi działa bardzo powoli, a więc nieoptymalnie, i dopiero analiza widmowa pasma radiowego może przynieść odpowiedź na powody takiego stanu rzeczy.

Każdy z nowych punktów dostępowych HP klasy Enterprise wyposażony jest w analizator widma. Dane pochodzące z analizatorów służą po pierwsze do ustalenia planu kanałów, ale po drugie - mogą być rejestrowane i eksportowane do systemu zarządzania, po to abyśmy mogli zobaczyć i ocenić jakość kanału na przestrzeni czasu.

W systemie zarządzania istnieje metryka, która pokazuje jakość wszystkich kanałów radiowych wykorzystywanych przez punkty dostępowe naszej sieci bezprzewodowej. Dane te pozwalają ustalić, który z punktów dostępowych ma najgorsze otoczenie radiowe, a więc w największym stopniu jest podatny na zakłócenia. To właśnie w tym miejscu nasi użytkownicy w największym stopniu będą odczuwać problemy w trakcie korzystania z połączenia bezprzewodowego.

Interferencji sygnału radiowego można unikać, ale nie da się ich w pełni wyeliminować. Kontroler lub punkt dostępowy może zmienić używany kanał w trakcie pracy, ale dopiero na podstawie danych historycznych jesteśmy wykryć zakłócenia, które pojawiają się i znikają w określonym czasie. Dotyczy to także środowiska medycznego, w których liczba zakłóceń podchodzących z aparatury medycznej i innych źródeł jest bardzo duża.

Dane pochodzące z analizatorów widmowych mogą być śledzone w czasie rzeczywistym. Spektrogram pokazuje ilość energii wypromieniowywanej w danym zakresie częstotliwości, konfrontując te dane z kanałem, na którym pracuje w danym momencie punkt dostępowy. Wszystkie te zabiegi mają na celu uniknięcie zakłóceń oraz podjęcie szybkiej reakcji na zmieniające się otoczenie radiowe, zanim pracownicy zaczną dzwonić do działu IT z informacją o niedziałającej sieci bezprzewodowej.

Konsola zarządzania pozwala skonfigurować alarmy, które zostaną wywołane w odpowiedzi na zarejestrowane zakłócenia. Analizatory widma wbudowane w punkty dostępowe HP działają w trybie ciągłym, monitorując środowisko radiowe otoczenia całą dobę.

Rozkładanie obciążenia

Clear Connect to hasło marketingowe HP, które dotyczy wszystkich mechanizmów optymalizacji w sieciach bezprzewodowych. Clear Connect obejmuje metody rozkładania obciążenia i ograniczania pasma między punkty dostępowe.

Mechanizm rozkładania klientów między punkty dostępowe pozwala sterować zachowaniem urządzeń podłączonych do sieci bezprzewodowej przedsiębiorstwa. Standard 802.11 zakłada, że to klient sieci podejmuje decyzje o tym, do którego punktu dostępowego zostanie podłączony. Za obsługę tego mechanizmu odpowiada sterownik karty sieciowej w urządzeniu klienckim. To, czy klient dokona najbardziej właściwego wyboru, zależy od jakości sterownika i układu radiowego na karcie sieciowej. Z tym niestety bywa różnie...

Infrastruktura sieciowa przedsiębiorstwa może wpływać na ten mechanizm w pewien kontrolowany, choć ograniczony sposób, „zachęcając” niejako urządzenie do podłączenia się do mniej obciążonej komórki radiowej.

Dodatkowo, punkt dostępowy może próbować wymusić na kliencie przełączenie do pasma 5 GHz, które pozwala w bardziej optymalny sposób wykorzystać kanały radiowe dostępne w tym zakresie częstotliwości.

Mechanizm równoważenia klientów może być wdrażany na dwa sposoby - rozkładając ruch w zależności od liczby klientów podłączonych w danej komórce radiowych (per sesja) lub ze względu na generowaną przez klientów ilość ruchu sieciowego.

Podział pasma

W produktach HP zaimplementowano funkcje bandwitch insurance oraz bandwitch control, które pozwalają na optymalizację wydajności sieci bezprzewodowej przez podział pasma radiowego dla rożnych sieci oraz podłączanych do niej klientów.

Zasada działania funkcji bandwitch insurance polega na podzieleniu pasma między różne sieci uruchomione w tym samym module radiowym punktu dostępowego. Obecnie rzadko zdarza się, aby pojedynczy punkt dostępowy rozgłaszał tylko jeden identyfikator sieci bezprzewodowej (SSID).

Wiele firm uruchamia w jednej lokalizacji co najmniej dwie sieci Wi-Fi. Pierwsza sieć zapewnia dostęp do zasobów sieci korporacyjnej, ale wymaga uwierzytelnienia użytkowników za pomocą bezpiecznych mechanizmów standardu 802.1x. Druga sieć dla gości umożliwia podłączenie urządzeń mobilnych do internetu po uprzednim zalogowaniu się w portalu webowym. W praktyce nie ma możliwości połączenia obu metod uwierzytelniania w ramach pojedynczej sieci Wi-Fi, chyba że zostaną one wymuszone jednocześnie. Nie o to jednak chodzi. Ograniczenie to rodzi w sobie konieczności uruchomienia w ramach jednego punktu dostępowego co najmniej dwóch sieci bezprzewodowych, każdy z własnym identyfikatorem SSID.

Z perspektywy administratora ważne jest, aby mógł on sterować pasmem przydzielanym przez moduł radiowy dla każdej sieci bezprzewodowej i w ten sposób zagwarantować odpowiednią przepustowość sieci korporacyjnej.

Bandwitch control pozwala zarządzać pasmem dla pojedynczego klienta sieci bezprzewodowej. W produktach HP funkcja bandwitch control może być wdrażana w jednym z dwóch trybów. W trybie statycznym administrator definiuje na sztywno poziom pasma przydzielony pojedynczemu klientowi. Tryb dynamiczny polega na wskazaniu grupy klientów podłączonych do jednej komórki radiowej pomiędzy których dzielona jest całość dostępnego pasma. Oznacza to, że pojedynczy klient może wykorzystać całe przydzielone pasmo, podczas gdy pozostali użytkownicy nie generują ruchu w danej komórce radiowej.