Архитектурные особенности беспроводных локальных сетей

Сегодня беспроводные локальные сети (WLAN) могут строиться с использованием двух концептуально альтернативных архитектур -- распределенной и централизованной. Первая базируется исключительно на точках доступа, тогда как во второй в качестве центрального элемента применяется беспроводной коммутатор. Естественно, существование двух архитектур разделило индустрию на два лагеря, каждый из которых является сторонником того или иного подхода. На чем же основываются аргументы pro et contra одной и второй стороны?

Дефиниции

Распределенная архитектура WLAN (distributed access point architecture) полностью определяется первоначальным стандартом 802.11, базирующимся на точках доступа (ТД). В них сосредоточивается вся функциональность WLAN, поскольку они реализуют все спецификации стандарта 802.11. ТД служат мостом между проводным и беспроводным сегментами Ethernet, они обеспечивают специфические для беспроводных сетей функции защиты, включая управление доступом и шифрование, а также QoS. Точки доступа корпоративного класса предоставляют более высокий уровень функциональности, выполняя фильтрацию пакетов и адресов, управление списком доступа, конфигурирование.

Все производители точек доступа корпоративного класса поставляют также ПО для централизованного управления ими. Хотя возможность централизованно управлять сетью привлекает как небольшие организации, так и крупные предприятия, однако, строго говоря, управляющее ПО не является необходимым компонентом для функционирования WLAN.

Архитектурные особенности беспроводных локальных сетей

Большое достоинство распределенной архитектуры заключается в том, что для построения WLAN достаточно лишь установить точки доступа. Беспроводные сети, существовавшие во второй половине 90-х и использовавшие диапазоны UHF и 900 MHz, опирались на "сетевой контроллер", который для покрытия необходимой зоны работал совместно с несколькими радиотрансиверами. Стандарт 802.11 значительно упростил архитектуру, объединив в одном устройстве функциональность сетевого контроллера и радиотрансиверов. Новая архитектура позволяла развернуть WLAN посредством простой установки точек доступа в свободный порт коммутатора и беспроводных адаптеров в клиентские ПК (рис. 1). В большинстве случаев не было даже нужды конфигурировать ТД или клиентские компьютеры. Таким образом, беспроводной сегмент становился естественной частью всей сети.

Централизованная архитектура WLAN (centralized WLAN switch architecture) требует для создания беспроводной сети два элемента. Границу сети по-прежнему формируют точки доступа, которые выполняют функцию моста между беспроводными и проводными сегментами Ethernet, а вся остальная функциональность может быть перенесена на второй элемент -- беспроводной коммутатор (рис. 2). Сегодня каждый производитель WLAN-коммутаторов сам решает, каким образом распределить функции между этими двумя устройствами. Некоторые из них вкладывают все возможности в беспроводные коммутаторы, оставляя для точек доступа только функции моста, другие реализуют в последних управление доступом и шифрование.

Важная характеристика всякой централизованной архитектуры заключается в том, что весь трафик от/к беспроводной сети проходит через WLAN-коммутатор. Это позволяет ему осуществлять полное управление трафиком. Следует отметить, что централизованная архитектура трактует WLAN как некоторую надстройку над сетью Ethernet. WLAN-коммутатор предусматривает для беспроводного трафика выделенную сеть. Обычно такая сеть реализуется как VLAN, так что в ней могут применяться существующие технологии коммутации.

Подведем наконец итог в наших рассуждениях. Итак, если весь беспроводной трафик, кроме ТД, должен проходить еще через одно устройство, то такая архитектура называется централизованной, если же трафик от точек доступа проходит прямо в проводной сегмент Ethernet, то -- распределенной.

Безопасность

Недостаточная безопасность беспроводных сетей стала сегодня основным препятствием к их принятию, особенно в корпоративной среде. Когда говорят о безопасности WLAN, обычно рассматривают три различных компонента: аутентификацию пользователя, конфиденциальность данных и их целостность. WLAN-индустрия постепенно движется к модели безопасности, базирующейся на технологии Wi-Fi Protected Access (WPA). Согласно спецификации WPA, аутентификация выполняется с использованием 802.1х, конфиденциальность данных -- посредством шифрования трафика с помощью TKIP, а целостность информации обеспечивается контрольной суммой MIC (Message Integrity Check).

Распределенная архитектура не оставляет выбора для локализации этих функций: все они должны быть реализованы на границе сети в точках доступа. Иначе обстоит дело в случае централизованной архитектуры. Здесь производители могут решать сами, где расположить функции безопасности. Некоторые оставляют их в ТД, другие -- в беспроводных коммутаторах, третьи -- распределяют между этими двумя устройствами. Например, на коммутаторы возлагается аутентификация пользователей, а шифрованием и целостностью данных занимаются точки доступа. Но все же правильнее, когда аутентификация выполняется на границе сети. Если злоумышленник пытается получить доступ к сети, то лучше перехватить его как можно раньше. Рассмотрим, например, как проходит атака DoS (Denial of Service).

В распределенной архитектуре DoS-атака осуществляется только на одну точку доступа (рис. 3). Так как последняя блокирует весь неавторизованный трафик, то другие компоненты сети будут изолированы от атаки. В сети с централизованной архитектурой, где функции аутентификации выполняет коммутатор, ТД не может заблокировать неавторизованный трафик. Он направляется к беспроводному коммутатору (рис. 4), который не пропускает его в корпоративную сеть. Однако этот трафик будет передаваться через все устройства, находящиеся на пути от атакованной точки доступа к коммутатору.

Так как при распределенной архитектуре все функции безопасности сосредоточиваются в ТД, то одним из часто выдвигаемых аргументов против такой архитектуры является ее физическая уязвимость. Иными словами, точку доступа весьма легко украсть. А поскольку в ней содержатся ключи шифрования и другие установки по обеспечению безопасности, то это создает весьма серьезные проблемы. Злоумышленник, похитивший точку доступа, может затем в лаборатории извлечь из нее весьма важную информацию, включая МАС-адреса других сетевых устройств. Более того, установив украденную ТД в своей сети, однако достаточно близко от атакуемой, он может "захватить" полноправного клиента последней и раскрыть регистрационную информацию. Правда, подобный сценарий не столь опасен в случае индустриальных реализаций распределенной архитектуры, где точки доступа могут располагаться на высоте нескольких десятков метров.

Время отклика сети

Одним из критериев производительности сети для корпоративных пользователей является время отклика. Их мало заботит пропускная способность сети ввиду отсутствия мультимедийного трафика, однако они не хотят долго ждать ответа от сервера приложений. Время, превышающее одну секунду, считается многими уже неприемлемым.

Наиболее эффективную маршрутизацию трафика обеспечивает распределенная архитектура. Пакет данных передается от клиента через точку доступа прямо коммутатору Ethernet. При централизованной архитектуре пакет по пути к проводному сегменту Ethernet должен пройти через беспроводной коммутатор. Таким образом, пакет на пути к адресату передается через цепочку дополнительных устройств, что может существенно увеличить время отклика. Согласно полученному на практике правилу, лучше не использовать топологию, при которой беспроводной клиент связан с беспроводным коммутатором магистральным каналом глобальной сети. Такая конфигурация также может увеличить латентность. Однако что за правило без исключений? Имеет смысл размещать беспроводной коммутатор на другом конце магистрали, если сервер приложений подключен к тому же каналу. В этом случае данные все равно должны будут передаваться по глобальной сети, так что не имеет значения, на каком конце канала располагается беспроводной коммутатор.

Управление сетью

Сегодня, когда большинство наиболее актуальных проблем, связанных с безопасностью, успешно решаются, следующей границей, которую необходимо преодолеть производителям оборудования для WLAN, похоже, становится управление. Именно в этих вопросах поставщики беспроводных коммутаторов считают себя вне конкуренции. WLAN на базе беспроводных коммутаторов по определению обеспечивает централизованную точку, являющуюся идеальной платформой для сосредоточения всех управляющих функций. Для этого лишь необходимо добавить ПО для конфигурации точек доступа, мониторинга производительности, определения отказов, политики безопасности и других административных функций. Распределенная архитектура не столь приспособлена для централизованного управления. Здесь в сеть следует добавить отдельный управляющий компонент.

В то же время в самих архитектурах не содержится ничего такого, что бы делало одну из них органически более приспособленной для администрирования. В действительности все сводится к наличию соответствующего ПО безотносительно к тому, работает ли оно непосредственно на беспроводном коммутаторе или как специфический компонент, добавленный в сеть. Следует также отметить, что централизованная архитектура плохо масштабируется, так как большинство беспроводных коммутаторов могут поддерживать довольно ограниченное количество точек доступа. В корпоративных сетях приходится разворачивать множество "беспроводных кластеров", при этом каждый из них группируется вокруг своего беспроводного коммутатора. Некоторые реализации допускают выделение одного из них в качестве "мастера", который может реплицировать конфигурационные установки и профили безопасности на другие беспроводные коммутаторы.

В мире Ethernet все производители сетевого оборудования обеспечивают определенный уровень управляемости для своих устройств, но на рынке существует и управляющее ПО от третьих фирм. Имеются также платформы, которые могут интегрировать продукты многих производителей, предоставляя широкий спектр административных возможностей. На рынке централизованных беспроводных систем отсут-ствуют инструменты управления от третьих фирм. Эти архитектуры, как правило, являются закрытыми. Некоторые разработчики беспроводных коммутаторов пытаются обеспечить поддержку точек доступа других поставщиков. Но большая часть продуктов на этом рынке строится на закрытой платформе и может использоваться только совместно с ТД того же производителя. Правда, делаются попытки стандартизировать протоколы управления беспроводными коммутаторами. Еще не родившийся стандарт имеет имя Lightweight Access Point Protocol (LWAPP). Если дело сдвинется с места, то появится надежда на взаимодействие между беспроводными коммутаторами разных производителей.

Пропускная способность

Требования к пропускной способности сети зависят от использующихся приложений. Для сетей сбора данных в типичных случаях достаточно полосы пропускания 10--20 Kbps на одну точку доступа. Ситуация несколько меняется для VoIP-приложений. Здесь основным параметром является латентность, но и полоса пропускания также играет важную роль.

Хотя скорость передачи данных определяется, как правило, радиокомпонентом, однако остальные устройства беспроводной сети должны быть способны ее поддержать. Это, в частности, означает, что точки доступа должны успевать обрабатывать поступающие пакеты. Кроме выполнения функций моста, от ТД может потребоваться фильтрация пакетов, обработка VLAN-тегов, шифрование и дешифрование. И проблема не в количестве передаваемых в секунду битов, а скорее в скорости обработки пакетов. Значения пропускной способности беспроводных сетей обычно получают на основании копирования больших файлов. При этом длина пакетов оказывается максимальной, и эти цифры не отражают реальных возможностей системы по их обработке. Более высокую нагрузку дают тесты с длиной пакетов 100--200 байт, что считается типичным в сетях по сбору данных. Однако реальные приложения по сбору данных обычно генерируют мало пакетов, и пропускная способность беспроводной сети не является для них критическим параметром.

В распределенной архитектуре вся обработка пакетов сосредоточена в точках доступа. Это дает возможность использовать в них встраиваемые микропроцессоры. Современные чипы легко справляются с подобными за-дачами. Недостатком таких решений являются трудности последующей модернизации, если будущие стандарты потребуют большей вычислительной мощности, чем могут предоставить установленные точки доступа. Напротив, в сетях с централизованной архитектурой обработка пакетов переносится в беспроводные коммутаторы. Это снимает бремя с ТД, но взамен требует, чтобы коммутаторы были в состоянии обработать пакеты, приходящие от них. Такая задача намного сложнее, чем обработка пакетов от одного-двух источников. Теоретически подобная производительность может быть достигнута. Традиционные коммутаторы и маршрутизаторы способны обрабатывать миллионы пакетов в секунду. Но они строятся на специально спроектированных аппа-ратных средствах и ASIC, а также работают под управлением оптимизированных ОС. Современные беспроводные коммутаторы в типичном случае изготавливаются на стандартных вычислительных платформах общего назначения и используют коммерческие неспециализированные ОС. В результате возможности беспроводных коммутаторов ограничивают количество подключаемых точек доступа, что в свою очередь определяет число требуемых коммутаторов. Однако намного легче выполнить модернизацию одного беспроводного коммутатора, чем 30--40 ТД. Некоторые производители обеспечивают масштабируемость беспроводных коммутаторов путем установки дополнительных модулей. Но даже если такая возможность не предусмотрена, то все равно легче заменить одно устройство, чем множество точек доступа.

И все же из большого количества факторов, которые следует принимать во внимание при разворачивании беспроводных сетей, архитектура не является основным. Главное, чтобы сеть выполняла необходимые функции, чтобы поставщик обеспечил требуемый уровень поддержки и чтобы устройства соответствовали заявленным характеристикам.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365