Виртуальные точки доступа

5 август, 2004 - 23:00Леонід Бараш
Сетевое сообщество постоянно пытается "исправить" конвергентные сети с тем, чтобы уподобить их работу сетям с коммутацией каналов. К примеру, возникает необходимость ввести для IP трафика систему приоритетов или сегрегацию потоков. В области беспроводных сетей подобного рода задачи призвана решить хитроумная концепция виртуальных точек доступа (Virtual Access Point -- VAP). Однако прежде чем перейти к ее рассмотрению, определим ряд понятий, описывающих архитектуру беспроводных сетей Wi Fi.


Архитектурные компоненты стандарта 802.11

Виртуальные точки доступа
Рис. 1
Виртуальные точки доступа
Рис. 2
Виртуальные точки доступа
Рис. 3
Виртуальные точки доступа
Рис. 4
Беспроводные сети 802.11 базируются на сотовой, или ячеистой, архитектуре. Ее наименьшая единица называется базовым набором сервисов (Basic Service Set -- BSS). По сути, BSS является просто совокупностью устройств или станций (Station -- STA), способных обмениваться пакетами друг с другом. В большинстве случаев полезно представлять BSS в виде некоторой площади, внутри которой такие устройства могут постоянно поддерживать связь между собой.

Существуют два вида BSS: инфраструктурный (infrastructure) и специальный (ad hoc). В первом случае BSS представляет собой сеть, состоящую из станций, взаимодействующих с помощью радиоинтерфейса с точкой доступа (Access Point -- AP) (рис. 1). В свою очередь, AP может быть подсоединена или не подсоединена к проводному сегменту Ethernet. Специальный вид BSS известен как Independent BSS (IBSS) и не содержит в своем составе AP (рис. 2). Последнее означает, что IBSS является автономной беспроводной сетью, которая не может быть объединена с другой локальной сетью. Компьютеры в такой архитектуре непосредственно обмениваются данными друг с другом, при этом один может иметь конфигурацию координатора.

BSS идентифицируются посред-ством BSSID (BSS Identifier), который представляет собой шестибайтовую строку и выглядит, как МАС адрес. В инфраструктурном BSS этот идентификатор является МАС адресом точки доступа. Один BSS имеет один BSSID. Знание BSSID дает возможность клиенту подсоединиться к определенной АР, но обычно пользователю нет необходимости знать BSSID, чтобы подключиться к сети.

Несколько инфраструктурных BSS могут быть объединены посредством распределительной системы (Distri-bu-tion System -- DS), образуя расширенный набор сервисов (Extended Service Set -- ESS). Распределительная система реализуется на базе проводной (рис. 3) либо беспроводной связи (рис. 4). DS является своеобразной магистралью, посредством которой точки доступа обмениваются необходимой системной информацией.

Каждая сеть во внешнем мире представляется своим уникальным логическим адресом -- network name. В стандарте 802.11 им служит SSID (Service Set Identifier). Одна сеть (ESS или IBSS) имеет один SSID. В практических терминах SSID используется для того, чтобы указать беспроводной станции адрес сети для подсоединения. Прежде чем связаться с определенной беспроводной сетью, станция должна иметь тот же SSID, что и АР. По умолчанию АР включает SSID в широковещательный маркерный пакет (см. ниже), что позволяет станции автоматически сконфигурировать беспроводную сетевую карту, установив корректный SSID. Клиент 802.11 вправе ожидать, что он может установить связь с любой АР, объявляющей данный SSID.

Перейдем теперь к рассмотрению некоторых типов управляющих пакетов, предусмотренных стандартом 802.11. Одним из основных является маркерный (Beacon), обеспечивающий "сердцебиение" беспроводной сети, позволяя станциям устанавливать и управлять передачей упорядоченным образом. Каждый маркерный пакет содержит в своем теле, в частности, следующую информацию (во избежание путаницы сохраняем написание по английски).

Beacon interval. Он определяет отрезок времени между передачей маркеров. Перед тем как станция перейдет в энергосберегающий режим, она должна узнать этот параметр, чтобы вовремя "проснуться", получить очередной маркер и определить, нет ли в буфере АР предназначенных для нее пакетов.

Timestamp. После получения маркерного пакета станция использует данное значение для обновления своих локальных часов. Этот процесс позволяет синхронизировать все станции, связанные с общей точкой доступа.

SSID. Идентификатор, определяющий беспроводную сеть.

Supported rates. Каждый маркер содержит информацию, которая указывает скорости передачи данных, поддерживаемые этой WLAN. К примеру, маркер может объявлять, что доступны только 1,2 и 5,5 Mbps. В результате станция будет придерживаться этих значений и не передавать данные со скоростью 11 Mbps.

Capability set (набор возможностей). Здесь определяются требования к станциям, которые хотят принадлежать к беспроводной сети, представляемой данным маркерным пакетом. Например, содержащаяся в них информация может указывать, что все станции должны использовать в качестве стандарта безопасности Wired Equivalent Privacy (WEP).

Traffic Indication Map (TIM). Точка доступа периодически посылает TIM внутри маркерного пакета, чтобы сообщить, для каких станций, находящихся в энергосберегающем режиме, в буфере АР имеются пакеты данных.

В дальнейшем нам понадобятся еще два управляющих пакета. Когда станции необходима информация о других станциях или точках доступа, к которым можно подсоединиться, то она посылает пакет Probe Request. Ответ-ный пакет Probe Response очень похож на маркерный, но не несет TIM и отправляется только в ответ на пакет Probe Request.

На этом мы закончим построение понятийной базы, необходимой для дальнейшего рассмотрения основной темы. Итак...


...Что такое виртуальная точка доступа и какие от нее коврижки?

Виртуальная точка доступа является логической сущностью, которая создается внутри физической АР. Когда одна физическая АР поддерживает множество виртуальных, то каждая из последних проявляется для STA как независимая физическая АР. К примеру, если внутри одной физической точки доступа существует несколько виртуальных, то каждая из них объявляет собственный уникальный SSID и набор возможностей. В качестве альтернативы группа виртуальных АР может объявлять один и тот же SSID, но различные наборы возможностей, поддерживая одновременно доступы через Web портал, протоколы безопасности WEP и WPA (Wi Fi Protected Access). В том случае, когда точки доступа разделяются многими операторами услуг, виртуальные АР обеспечивают каждого из них отдельными учетными -записями и аутентификацией для их клиентов, а также диагностической информацией.

Виртуальные АР позволяют одному оператору предоставлять множество сервисов, так же, как и многим операторам разделять одну и ту же физическую инфраструктуру. Это обеспечивает прежде всего более эффективное использование каналов. Далее, внедрение технологии VAP дает возможность снизить затраты на разворачивание WLAN. Ведь дешевле разделять имеющуюся инфраструктуру многими операторами, чем строить избыточную. А поскольку каждая виртуальная АР является логически изолированной сущностью, то операторы могут использовать их для предоставления набора сервисов на базе одной и той же инфраструктуры.


Концепция виртуальных АР

Как и при всякой идеализации, реализация виртуальной точки доступа может приближать идеальное поведение физической АР в большей или в меньшей степени. Для того чтобы обеспечить станциям иллюзию присутствия нескольких физических АР, необходимо, чтобы все виртуальные АР эмулировали операции физических на МАС уровне. Эмуляция работы физической AP на уровне радиоинтерфейса в типичных случаях невозможна, если только в ней не установлено несколько приемопередающих устройств.

Эмуляция физической АР на МАС уровне выполняется с помощью различных BSSID, SSID, наборов возможностей и ключей по умолчанию. Во многих случаях желательно также частично эмулировать поведение на прикладном и IP уровнях. Для всего этого необходимо решить несколько технических проблем:
  • множественность SSID. Чтобы реализовать несколько виртуальных АР внутри одной физической, следует определить, как точки доступа смогут поддерживать множество SSID, а станции -- их обнаруживать. Это позволит каждой виртуальной АР объявлять свой собственный SSID;

  • множественность наборов возможностей. Так как посредством каждой виртуальной АР оператор может пожелать предоставлять различные наборы услуг, нужно, чтобы каждая виртуальная АР объявляла свой собственный набор возможностей. Иногда это может требовать одного общего SSID;

  • множественность VLAN. В типичном случае желательно избежать смешения трафиков от различных виртуальных АР. Это может быть достигнуто посредством соотнесения каждой виртуальной точки доступа с уникальной VLAN. Так как каждая VLAN представляет собой уникальный широковещательный домен, то, для того чтобы обеспечить разделение, каждая VLAN требует установки уникального ключа по умолчанию;

  • множественность конфигураций RADIUS. Чтобы конфигурировать каждую виртуальную АР без воздействия на другие, желательно обеспечить множественность конфигураций RADIUS сервера -- по одной для каждой виртуальной АР;

  • множественность виртуальных SNMP MIB. Для раздельного управления следует иметь по одной уникальной виртуальной информационной базе (MIB) на каждую виртуальную АР. Это может быть достигнуто посредством присвоения каждой виртуальной АР собственного IP адреса.
В дальнейшем мы ограничимся кратким обсуждением вопросов, связанных только с эмуляцией поведения виртуальной АР на МАС уровне.


Проблемы МАС уровня

В соответствии со стандартом 802.11 SSID имеет поле между нулевым и 32 м байтом, которое может включаться в пакеты управления в качестве информационного элемента (Information Element -- IE). Нулевая длина SSID указывает на широковещательный пакет. В число управляющих пакетов, которые поддерживают SSID IE, входят маркерный пакет, Probe Request, Probe Response и некоторые другие.

Для обнаружения SSID станции выполняют пассивное или активное сканирование. В первом режиме STA "прослушивает" определенный канал для получения маркерного пакета или Probe Response, но не излучает в эфир свой запрос -- пакет Probe Request. Во втором -- для более быстрого получения нужной информации STA излучает Probe Request.

Для того чтобы поддержать множественность SSID в одной физической точке доступа, могут быть использованы следующие подходы:
  • множество SSID в одном маркерном пакете, один маркерный пакет, один BSSID. Как видно, при этом подходе АР применяет только один BSSID и посылает лишь один маркер. Несколько SSID IE включаются в маркерный пакет или в Probe Response, при этом маркерный интервал остается неизменным;

  • один SSID на маркер, один маркер, один BSSID. В отличие от предыдущего в этом подходе каждый маркер и Probe Response содержат только один SSID IE. При этом набор возможностей, соответствующих "основному" SSID, посылается в маркерном пакете, в ответ же на запросы Probe Request для "вторичных" SSID точка доступа отвечает пакетами Probe Response, включающими наборы возможностей, соответствующие этим SSID;

  • один SSID на маркер, множество маркеров, один BSSID. При таком подходе АР использует лишь один BSSID, но отправляет несколько маркеров, каждый из которых содержит единственный SSID IE. Точка доступа отвечает на Probe Request для поддерживаемых SSID пакетами Probe Response, которые имеют наборы возможностей, соответствующие каждому SSID;

  • один SSID на маркер, множество маркеров, множество BSSID. Здесь каждый маркер и каждый Probe Response содержат только один SSID IE. Точка доступа посылает маркеры для каждой виртуальной АР, которую она поддерживает, при стандартном маркерном интервале, используя для каждой из них уникальные BSSID. Она же отвечает на Probe Request для поддерживаемых BSSID пакетами Probe Response, включающими соответствующие наборы возможностей.
Спецификация 802.11 не дает никаких рекомендаций относительно преимущественного использования того или иного подхода, поэтому производители выбирают их на свой вкус. Соответственно, возникают проблемы совместимости и появления нежелательных побочных эффектов. Поэтому, принимая во внимание важность поддержки продуктами виртуальных точек доступа, крайне желательно, чтобы индустрия пришла к единому подходу.