ПРОБЛЕМА

Перспектива – это все; взгляните на карты. До появления фотоснимков, сделанных с большой высоты, карты были неточными; они были сделаны на основе оценок, отмасштабированных до уровня географических карт. Появление высотных снимков дало картографам то, чего у них раньше не было, – перспективу. Эта перспектива радикально изменила способы нашего перемещения в пространстве, методы оценки расстояния и, наконец, пути развития нашей цивилизации. Исторически беспроводным локальным сетям всегда недоставало перспективы – каждая точка доступа работает, как отдельный узел, и имеет автономные настройки каналов и мощности, которые берутся из статического плана радиочастот. Автономные точки доступа "слышат" соседние точки доступа, работающие на том же самом канале, но никак не могут определить, являются ли эти соседние точки частью той же самой или соседней сети. Автономные точки доступа имеют "узловую" природу, поэтому их объединение в крупные, непрерывные и скоординированные беспроводные локальные сети, равно как и добавление высокоуровневых приложений в такие сети, связано с определенными сложностями(таблица 1)

Таблица 1. Требования к беспроводным решениям и их реализация на основе автономных точек доступа

Требования	Описание	Автономное решение
Быстрый и безопасный роуминг на уровне 2	Прозрачный роуминг клиента внутри подсетей между различными точками доступа и виртуальными локальным сетями (VLAN)	Для поддержки роуминга необходимо добавить устройство беспроводных доменных услуг (WDS) – точку доступа или модуль коммутатора
Быстрый и безопасный роуминг на уровне 3	Прозрачный роуминг клиента между подсетями, между различными точками доступа и виртуальными локальными сетями (VLAN)	Невозможно реализовать для автономной точки доступа. Для поддержки этого типа роуминга требуется централизованное решение
Затраты на обновление и модернизацию	Время на реализацию дополнительных функций администрирования и "заливки" новых образов на точки доступа	Необходимо установить централизованную станцию управления или воспользоваться управляющими скриптами
Система обнаружения вторжений (IDS)	Способность обнаруживать ложные точки доступа, атаки и попытки несанкционированного доступа	Необходимо воспользоваться системой IDS на основе WDS или добавить еще одну сеть WLAN специально для этого
Услуги позиционирования	Визуализация сведений о местонахождении устройств Wi-Fi в виде информации о силе принимаемого сигнала (RSSI)	Необходимо использовать решение с функцией опроса узлов (site survey) или добавить еще одну сеть WLAN специально для этого
Динамическое управление радиочастотами	Немедленная динамическая адаптация к радиочастотной среде	Использование прикладного комплекса системного уровня или средств протокола SNMP; информация о радиочастотах доступна для анализа "вручную" и принятия соответствующих мер
Балансировка нагрузки	Автоматическая балансировка клиентской нагрузки между соседними точками доступа	Индивидуальные точки доступа сообщают о своей нагрузке, но нагрузка не распределяется между ними в автоматическом режиме
Гостевой доступ к сети	Возможность предоставления заказчикам, поставщикам и партнерам контролируемого доступа к WLAN с сохранением необходимого уровня безопасности сети	Необходимо создать специализированные каналы виртуальных сетей VLAN к каждой из точек доступа и распространить их по всему предприятию
VoWLAN	Экономичные услуги голосовой связи в реальном времени, использующие возможности действующей беспроводной инфраструктуры	Необходимо реализовать на каждой из точек доступа механизм контроля за установлением соединений (Call Admission Control, CAC); этот контроль осуществляется для каждой точки доступа в индивидуальном порядке и не координируется между группами точек доступа
VoWLAN	Экономичные услуги голосовой связи в реальном времени, использующие возможности действующей беспроводной инфраструктуры	Необходимо реализовать на каждой из точек доступа механизм контроля за установлением соединений (Call Admission Control, CAC); этот контроль осуществляется для каждой точки доступа в индивидуальном порядке и не координируется между группами точек доступа
Администрирование	Экономичный, упрощенный механизм администрирования и развертывания сетей WLAN	Необходимо воспользоваться скриптами или решением на основе SNMP для настройки процедур администрирования WLAN и выполнить конфигурирование каждой точки доступа в индивидуальном порядке

РЕШЕНИЕ

Беспроводные локальные сети первого поколения, использующие автономные точки доступа, считались достаточно удобными сетями. Однако, с момента появления первых сетей WLAN многое изменилось. Сегодня базовых возможностей подключения к сети уже недостаточно. Компаниям необходимы сети с повсеместным беспроводным покрытием, охватывающие целиком все здания предприятия. Такие сети WLAN должны, с одной стороны, поддерживать мобильные услуги – голосовую связь, гостевой доступ, позиционирование и мощные системы обнаружения вторжений в беспроводную сеть (Wireless Intrusion Prevention Systems, WIPS), а с другой – поддерживать упрощенный механизм развертывания и администрирования и обеспечивать достаточный уровень масштабируемости. Иными словами, компаниям нужны сети WLAN, не связанные ограничениями, описанными в таблице 1.

Чтобы реализовать указанные возможности и избавиться от описанных выше ограничений, необходима унифицированная сеть WLAN, обладающая централизованной инфраструктурой и построенная на базе облегченных точек доступа, подключенных к контроллерам беспроводных локальных сетей. Все это есть в решении Cisco® Unified Wireless Network.

Масштабируемость

Потребность в масштабируемости и дополнительных услугах для беспроводной сети не является чем-то новым. Например, операторы сотовых сетей фактически смогли решить многие проблемы, связанные с масштабированием беспроводных сетей. Изначально беспроводные сотовые сети представляли собой сочетание сотовых вышек, реализующих базовые функции покрытия. В то время существовали протоколы, управляющие передачей вызова от одной вышки к другой, но эти протоколы не отличались достаточной надежностью – разговоры без обрывов связи тогда были исключительными явлением.

Сотовым операторам было необходимо решение, которое бы позволило пользователям продолжать разговор в процессе роуминга между станциями; кроме того, операторам была нужна платформа для развертывания дополнительных услуг. Ответом на эти запросы стал новый сетевой элемент, именуемый контроллером базовой станции.

В сотовых сетях контроллер базовой станции координировал работу группы радиовышек. В частности, при перемещении абонента мобильной сети от одной вышки к другой координацию роуминга этого абонента осуществлял контроллер базовой станции. Появление указанного сетевого элемента позволило повысить стабильность вызовов в сотовой сети и снизить число обрывов соединений.

Модель контроллера сотовой базовой станции можно применить и к сетям 802.11 WLAN. Вместо управления множеством разрозненных автономных точек доступа операторы управляют облегченными точками доступа с помощью централизованного устройства – контроллера беспроводной локальной сети.

Централизация

Следуя путем сотовых операторов, Cisco Systems® впервые реализовала механизм централизации WLAN и создала первую в отрасли унифицированную платформу для внедрения дополнительных услуг в беспроводных локальных сетях. Ключевым аспектом унифицированной архитектуры Cisco, названной Cisco Unified Wireless Network, является доставка данных от облегченной точки доступа по сети к контроллеру беспроводной локальной сети.

Cisco предлагает целый ряд контроллеров беспроводных локальных сетей, реализующих функции централизации беспроводных локальных сетей. В частности, Cisco предлагает автономные контроллеры корпоративного класса для беспроводных локальных сетей, которые полностью интегрируются в сетевую инфраструктуру. Это Cisco Wireless LAN Controller серии 4400 и Cisco Wireless LAN Controller серии 2000, а также модуль Wireless Services Module (WiSM) для коммутатора Cisco Catalyst серии 6500 и модуль Cisco Wireless LAN Controller Module (WLCM) для маршрутизаторов с интегрированными сервисами.

Разработка нового протокола централизации для беспроводных локальных сетей Для транспорта данных и обеспечения связи между облегченными точками доступа и контроллером беспроводной локальной сети потребовался новый протокол. Этот протокол должен был отвечать следующим требованиям:

• Простота внедрения. Вместо использования каналов VLAN к централизованным контроллерам данный протокол должен "уметь" преодолевать границы подсетей.
• Безопасность внедрения. Простое физическое подключение точки доступа к сети еще не означает, что эта точка должна получить полный доступ к сети. Для аутентификации всех точек доступа, подключенных к сети, нужен специальный протокол.
• Контроль в реальном времени за работой точки доступа. После установки точки доступа, прохождения ею аутентификации и подключения ее к контроллеру необходимо установить контроль за работой точки доступа в реальном времени, позволяющий управлять ее функциональностью и развертыванием мобильных услуг. Для решения этой задачи также нужен специальный протокол.
• Расширяемость протокола. Этот протокол должен работать на огромном количестве платформ, начиная от модулей, установленных в шасси крупных коммутаторов Ethernet, до объединяемых в стек устройств, маршрутизаторов и любых других сетевых элементов.
• Расширяемость транспорта. Несмотря на то, что сети обычно работают по каналам Ethernet, этот протокол должен "уметь" работать по низкоскоростным соединениям WAN и даже по беспроводным каналам (например, в случае ячеистой (mesh) беспроводной сети).

При разработке нового коммуникационного протокола Cisco проанализировала множество возможных вариантов. В частности, в качестве кандидата рассматривался протокол Generic Routing Encapsulation (GRE), но GRE не поддерживает видимость "родных" пакетов уровня 2, а это требование является обязательным при создании защищенных сетей WLAN. Рассматривался также и протокол SNMP, поскольку он предлагает необходимые команды и средства контроля для управления точкой доступа, однако в силу своей громоздкости SNMP никак не подходил на роль идеального кандидата.

После рассмотрения других протоколов Cisco решила разработать новый протокол – Lightweight Access Point Protocol (LWAPP), поддерживающий информацию о пакетах как уровня 2, так и уровня 3.

Что такое LWAPP

LWAPP представляет собой прародителя стандарта Internet Engineering Task Force (IETF). LWAPP стандартизирует протокол связи между облегченными точками доступа, с одной стороны, и системами WLAN, такими как контроллеры, коммутаторы и маршрутизаторы – с другой. Этот стандарт преследует следующие цели:

• сократить объем вычислений на точках доступа, чтобы сконцентрировать вычислительные ресурсы последних исключительно на организации беспроводного доступа и освободить их от такой нагрузки, как фильтрация и применение политик;
• обеспечить централизованную обработку трафика, аутентификацию, шифрование и соблюдение политик для всей системы WLAN;
• обеспечить универсальный механизм инкапсуляции и транспорта для достижения совместимости между точками доступа различных производителей, использующих как инфраструктуру уровня 2, так и маршрутизируемые сети IP.

Спецификация LWAPP решает эти задачи посредством регламентирования перечисленных ниже процедур:

• обнаружение точки доступа, обмен информацией с ней и ее настройка;
• сертификация точки доступа и программное управление ею;
• инкапсуляция, фрагментация и форматирование пакетов;
• управление связью между точками доступа и беспроводными контроллерами.

Получить дополнительную информацию о LWAPP можно, ознакомившись с обзором Описание протокола Lightweight Access Point Protocol (LWAPP).

Как работает протокол LWAPP

LWAPP разбивает уровень управления доступом к среде передачи данных (MAC) облегченной точки доступа между контроллером беспроводной локальной сети и самой точкой доступа. Выполнением критичных во временном отношении функций, таких каксогласование параметров соединения, управляет сама точка доступа. Остальными критичными сетевыми функциями, такими как мобильные услуги, аутентификация, разделение виртуальных локальных сетей VLAN, управление радиочастотами, обнаружение вторжений в беспроводных сетях и пересылка пакетов, управляет контроллер беспроводной локальной сети (рисунок 1).

Рисунок 1. Распределение функций уровня управления доступом к среде передачи (MAC)

Между облегченными точками доступа и контроллерами беспроводных локальных сетей действуют отношения типа "многие к одному" – один контроллер беспроводной локальной сети может управлять работой множества облегченных точек доступа. Помимо этого, контроллер беспроводной локальной сети может координировать и обобщать информацию в рамках крупной беспроводной сети и даже в рамках сети WAN. Контроллер имеет обобщенное представление обо всей сети – наподобие того, как спутник располагает "полными познаниями" в географии. После того, как протокол прошел этап стандартизации, а платформы были подготовлены к унификации, реальные преимущества централизации WLAN стали очевидны.

Преимущества централизации и унификации сетей WLAN

Подробное описание многочисленных преимуществ централизации и унификации сетей WLAN приведено ниже.

Простота развертывания

При развертывании на предприятии сети, состоящей из автономных точек доступа, каждую такую точку приходится настраивать в индивидуальном порядке. Процедура настройки выполняется либо отдельно для каждой точки, либо с помощью приложения или специального комплекса в масштабе всей системы. После завершения процедуры настройки каждую из точек доступа можно сконфигурировать для поддержки сетей VLAN, допускающих сегментацию пользовательских групп и дифференциацию политик и услуг локальных сетей, таких как безопасность и управление качеством обслуживания (QoS), для различных пользователей и пользовательских групп. Такие сети VLAN охватывают и уровень доступа к сети. В зависимости от масштаба и сферы охвата инфраструктуры сети VLAN можно соединять магистральными каналами и распределять между несколькими коммутаторами.

Внедрение в сети механизма централизации с использованием облегченных точек доступа и контроллера беспроводной локальной сети исключает необходимость повторного формирования подсетей и каналов VLAN с выводом этих сетей на уровень доступа. Вместо этого сети VLAN соединяются с централизованным контроллером беспроводной локальной сети, и именно этот контроллер распределяет пользователей и сети WLAN между виртуальными сетями VLAN. Такая схема позволяет упростить процесс развертывания и администрирования WLAN.

Централизация упрощает процесс установки

При использовании механизма централизации облегченной точке доступа нужно всего лишь узнать IP-адрес контроллера беспроводной локальной сети – при работе в режиме уровня 2. (При работе в удаленной подсети точке доступа необходимо знать IP-адрес, маску подсети и шлюз по умолчанию для контроллера беспроводной локальной сети.) Облегченная точка доступа может получить информацию об IP-адресе контроллера беспроводной локальной сети со стандартного сервера DHCP.

После того, как облегченная точка доступа установила связь с контроллером беспроводной локальной сети, последний программирует все радиочастотные политики и политики беспроводной локальной сети на облегченной точке доступа. Все пакеты, поступающие от точек доступа, помещаются в туннель LWAPP, а затем отсылаются на контроллер беспроводной локальной сети. Это избавляет от необходимости расширять специальные сети VLAN до уровня индивидуальных точек доступа.

Простота обновлений и модернизации

Низкие эксплуатационные затраты обеспечивают более эффективную в финансовом плане организацию. Вопрос заключается в том, как обеспечить низкие эксплуатационные затраты.

Централизация упрощает процесс обновления и модернизации

Концепция Cisco Unified Wireless Network предусматривает наличие встроенных образов для всех облегченных точек доступа в образе контроллера. При обновлении образа контроллера происходит также и обновление образов всех точек доступа, ассоциированных с ним. Таким образом, для обновления программного обеспечения точек доступа нет необходимости использовать специализированный скрипт или создавать специальное задание на централизованной станции администрирования.

Еще одно преимущество экономичной процедуры обновления образов точек доступа, предусмотренной моделью Cisco Unified Wireless Network, заключается в тщательной проверке и сертификации совместимости между облегченными точками доступа и контроллерами, которые выполняет группа контроля качества Cisco.

Надежность соединений благодаря динамическому управлению радиочастотами

Развертывание беспроводных сетей, использующих автономные точки доступа, традиционно проходило с использованием статического радиочастотного плана, в соответствии с которым каждая точка доступа имела статически заданные настройки каналов и мощности. Процедуры настройки выполняются согласно радиочастотному прогнозу, в ходе которого зона покрытия точки доступа оценивается с использованием методов компьютерного моделирования радиочастотной среды, учитывающих подводимую к антенне передатчика точки доступа мощность. Цель радиочастотного планирования заключается в формировании оптимальной зоны покрытия для каждой из точек доступа и минимизации наложения (перекрытия) каналов. Однако, в силу того, что радиочастотные планы создаются на компьютере и практически не учитывают реальные процессы, протекающие в радиочастотной среде после развертывания точек доступа, они представляют собой всего лишь оценочную модель реальной радиочастотной среды.

Например, в процессе радиочастотного планирования невозможно точно рассчитать влияние таких факторов, как межканальные помехи со стороны соседней сети, перестройка офиса, открывание или закрывание двери, помехи от микроволновых печей и т. п.

Централизация обеспечивает динамическое управление радиочастотами

Контроллеры беспроводных локальных сетей обладают встроенными средствами анализа силы сигнала в каналах, связывающих облегченные точки доступа в пределах одной сети. Контроллеры могут использовать эту информацию для построения оптимальной радиочастотной топологии сети в динамическом режиме. Контроллеры беспроводных локальных сетей используют уникальную методику динамического управления радиочастотами.

После загрузки точка доступа, поддерживающая протокол Cisco LWAPP, начинает немедленно искать в сети контроллер беспроводной локальной сети. После того как контроллер найден, точка доступа, поддерживающая протокол LWAPP, начинает отправлять ему информационные сообщения. Информационные сообщения включают в себя сведения о MAC-адресе и информацию о силе сигнала всех соседних точек доступа. В сети с единственным контроллером беспроводной локальной сети этот контроллер использует эту информацию для определения относительного пространственного расположения точек доступа в сети. Затем контроллер подстраивает канал и оптимальную силу сигнала для каждой из точек доступа, стремясь обеспечить оптимальные зону покрытия и емкость сети.

Если в сети присутствует кластер контроллеров беспроводной локальной сети (т. е. целый ряд контроллеров), то из их числа выбирается контроллер по умолчанию и все остальные контроллеры сообщают контроллеру по умолчанию сведения о "своих" облегченных точках доступа. Контроллер по умолчанию коррелирует информацию обо всех точках доступа в сети, а затем "загружает" оптимальные настройки каналов и мощности на каждую точку доступа. В то же время алгоритмы, встроенные в архитектуру Cisco Unified Wireless Network, помогают блокировать ненужные изменения конфигурации. Результатом работы такой схемы является динамическая беспроводная сеть, которая адаптируется к изменяющимся радиочастотным условиям в реальном времени.

Оптимизация работы индивидуальных пользователей благодаря балансировке пользовательской нагрузки

Протокол 802.11 практически не дает возможности предсказать качество работы и пропускную способность канала для индивидуальных пользователей, равно как и гарантировать определенные параметры качества и пропускной способности. В силу того, что 802.11 предоставляет каждому сетевому элементу равные условия для доступа к эфирной среде, каждый клиент самостоятельно решает, к какой следующей точке доступа ему нужно перейти в процессе роуминга. При попадании в зону покрытия клиентские устройства могут перейти к точке доступа с максимальным уровнем сигнала. Каждое клиентское устройство имеет такие же права на доступ к радиочастотной среде, как и точка доступа, с ним связанная. Следовательно, существует потенциальная возможность снижения пропускной способности радиочастотного канала для всех клиентов, т. к. в принципе все клиенты могут привязаться к одной и той же точке доступа. Такую ситуацию обычно называют "эффектом совещательной комнаты".

Балансировка нагрузки позволяет оптимизировать пропускную способность для всех клиентов благодаря постоянной подстройке ассоциаций пользователей с точками доступа с целью обеспечения оптимальной ширины канала для каждого пользователя. Процесс балансировки улучшает пропускную способность канала для каждого клиента и обеспечивает динамическое перераспределение клиентской нагрузки в сети.

Централизация позволяет сбалансировать пользовательскую нагрузку

Контроллеры Cisco беспроводной локальной сети и соответствующие модули имеют общее представление о сети. Благодаря зашифрованным сообщениям, поступающим по радиоканалам, эти контроллеры располагают сведениями о силе сигнала между точками доступа. Кроме того, когда клиент опрашивает точку доступа (этот опрос является частью стандарта 802.11 и обозначает процедуру поиска клиентом любой точки доступа, "объявляющей" имя WLAN, которое ищет клиент), контроллер "слышит" эти запросы с любой точки доступа. Затем контроллер выбирает точку доступа, которая должна ответить на клиентский запрос, с учетом уровня сигнала и соотношения "сигнал/шум" в зоне клиента. Например, соседняя точка доступа могла бы предоставить клиенту эквивалентный сервис, но с меньшим уровнем сигнала. Контроллер принимает решение о том, какая точка доступа должна ответить на пользовательский запрос, исходя из информации об уровне сигнала (RSSI) (рисунок 2).

Рисунок 2. Контроллеры беспроводной локальной сети решают, какая точка доступа должна ответить на зонд клиента

Гостевой доступ к сети

Гостевой доступ постепенно превратился из роскоши в обязательное требование бизнеса. Возможность гостевого доступа позволяет организациям, с одной стороны, сохранить безопасность беспроводной сети, а с другой – обеспечить клиентам, поставщикам и партнерам контролируемый WLAN доступ. Гостевой доступ облегчает сотрудничество консультантов и посетителей и в конечном счете способствует ускорению бизнес-процессов.

На сегодняшний день перед организациями уже не стоит вопрос о том, нужен ли гостевой доступ. Вопрос заключается в том, как его организовать. В сети с автономными точками доступа администраторы организуют гостевой доступ путем расширения "гостевых" сетей VLAN до уровня сети. В этих сетях VLAN действуют политики безопасности, которые отличаются от политик безопасности для нормального сетевого трафика. Таким образом, эти сети VLAN могут стать источниками ошибок в конфигурации и превратиться в потенциальные "дыры" в системе безопасности.

Централизация упрощает схему предоставления гостевого доступа

Согласно модели Cisco Unified Wireless Network для каждого контроллера беспроводной локальной сети существует специальный Web-портал, который позволяет организациям настраивать параметры WLAN в соответствии с потребностями бизнеса. Например, сетевые администраторы могут разместить определенный контроллер в демилитаризованной зоне, где он должен будет играть роль "гостевого якоря". При развертывании в сети гостевой беспроводной сети весь сетевой трафик от гостевой WLAN туннелируется через сеть к гостевому контроллеру. В отличие от беспроводных локальных сетей с автономными точками доступа, решение Cisco на основе облегченных точек доступа и контроллеров беспроводной локальной сети не требует внесения каких-либо изменений в базовую архитектуру VLAN.

Роуминг 3 уровня

При организации роуминга на 3 уровне в сети, построенной согласно модели Cisco Unified Wireless Network с использованием облегченных точек доступа, администраторам не приходится расширять сети VLAN до уровня всех точек доступа в сети в попытках сохранить одноуровневую беспроводную подсеть. Организация роуминга 3 уровня без расширения VLAN, как это предусмотрено моделью Cisco Unified Wireless Network, позволяет упростить архитектуру сети и подготовить ее к внедрению приложений реального времени, таких как беспроводная передача голоса и видео.

Централизация делает возможным роуминг 3 уровня

В случае модели Cisco Unified Wireless Network облегченные точки доступа устанавливаются в нормальной инфраструктуре подсетей, и им присваиваются IP-адреса, локальные по отношению к подсети, которой они принадлежат. Весь трафик, идущий от беспроводных клиентов, помещается в пакет LWAPP, который туннелируется через сеть к контроллеру беспроводной локальной сети. Клиентское устройство получает свой IP-адрес из подсети, подключенной к контроллеру, а не из подсети, находящейся в той части здания, где располагается в данный момент это клиентское устройство. Базовая инфраструктура подсетей скрыта от клиента. Контроллеры управляют всеми процессами роуминга и туннелирования, происходящими между ними. Это позволяет избавиться от необходимости использовать такие протоколы, как Mobile IP.

Встроенная система обнаружения вторжений в беспроводную сеть (IDS)

Вопросами безопасности должны заниматься сетевые администраторы, а вопросами безопасности беспроводных сетей должны заниматься специалисты в области безопасности. Одной из наиболее значимых угроз является создание «левой» (несанкционированной) точки доступа, способной сделать "дыру" в системе безопасности проводной или беспроводной сети. Создание в сети беспроводной системы обнаружения вторжений (IDS) обеспечивает дополнительный уровень защиты и безопасности сети. Система IDS для беспроводной локальной сети снижает уровень опасности со стороны хакеров или злоумышленников, стремящихся получить доступ к критичным сетевым ресурсам.

Централизация позволяет создать беспроводную систему IDS

Облегченные точки доступа и контроллеры беспроводной локальной сети Cisco одновременно выступают в качестве устройств, обслуживающих инфраструктуру передачи данных, и датчиков IDS. Такая схема работы становится возможной благодаря уникальной архитектуре LWAPP, предусматривающей разбиение уровня MAC и распределение функциональности этого уровня между точками доступа и контроллером. Архитектура разбиения MAC-уровня, реализуемая протоколом LWAPP, позволяет облегченным точкам доступа сканировать каналы, не прерывая работу услуг передачи данных. Точки доступа и контроллеры располагают обширной библиотекой сигнатур атак, которая используется для выявления опасностей, угрожающих беспроводной сети. К их числу могут относиться «левые»точки доступа, соединения без точек доступа (ad-hoc) или злоумышленники, пытающиеся отыскать уязвимые места в беспроводной сети. Облегченные точки доступа умеют обнаруживать как атаки, происходящие на том же канале, на котором работают они сами, так и «левые»точки доступа и ad-hoc сети, работающие на других каналах. Следует добавить также, что облегченные точки доступа и контроллеры беспроводной локальной сети, поставляемые в рамках решения Cisco Unified Wireless Network, обладают сертификатами X.509. Это означает, что они умеют выявлять неавторизованные точки доступа, которые занимаются спуфингом (прослушиванием) доверенных точек доступа в сети.

Модель Cisco Unified Wireless Network позволяет, помимо прочего, нейтрализовать опасность, исходящую со стороны «левых» точек доступа, благодаря мощной функции блокировки неавторизованных точек доступа. Эта функция предотвращает подключение клиентских устройств к неавторизованным точкам доступа.

Услуги позиционирования

Наличие услуг позиционирования является обязательным требованием для беспроводных сетей следующего поколения. Услуги позиционирования поддерживают одновременное отслеживание тысяч устройств Wi-Fi непосредственно из инфраструктуры WLAN. Эти услуги используются при решении критичных задач, стоящих перед компанией, например, для слежения за местонахождением высокоценных ресурсов, для управления инфраструктурой ИТ, для целей безопасности и для соблюдения бизнес-политик. Другие сферы применения услуг позиционирования включают в себя:

• услуги экстренного вызова (e911) и передачу голоса по беспроводным локальным сетям;
• устранение проблем на стороне клиентского устройства и корреляцию местонахождения клиента при возникновении проблем с его подключением;
• процесс учета и мониторинга ресурсов, включающий в себя отслеживание местонахождения любого устройства, поддерживающего стандарт 802.11, в том числе устройств с RFID-метками (метками радиочастотной идентификации) 802.11;
• обеспечение безопасности на основе информации о местонахождении.

Поддержка услуг позиционирования

Аналогично сведениям о потере маршрутов и уровне сигнала между облегченными точками доступа контроллеры беспроводных локальных сетей собирают также информацию об уровне сигнала клиентских устройств с точек доступа с поддержкой LWAPP, подключенных к сети. Контроллеры Cisco для беспроводных локальных сетей пересылают полученные сведения об уровне сигнала клиентских устройств в системы Cisco Wireless Control System (WCS) и Cisco Wireless Location Appliance. Эти системы выполняют интенсивные радиочастотные вычисления, учитывающие такие факторы, как материал здания, многовариантность маршрутов и уровень отражений сигнала, для определения местонахождения устройства 802.11 или устройства с активной RFID-меткой. Эта информация доступна в реальном времени. LWAPP выступает в качестве управляющего и транспортного протокола для поддержки услуг позиционирования.

Передача голоса по сети WLAN (Voice over WLAN)

Услуги передачи голоса по сети WLAN (VoWLAN) предлагают функциональность, аналогичную функциональности технологии VoIP, например, возможность междугородных вызовов через сеть передачи данных (Toll Bypass). Однако услуги VoWLAN обладают одним дополнительным преимуществом по сравнению с услугами VoIP – мобильностью. Обращаясь к возможностям VoWLAN, администраторы стремятся снизить или вообще исключить затраты, связанные с дорогостоящими переговорами по сотовому телефону в зданиях компании, путем использования сети передачи данных 802.11 для поддержки услуг голосовой связи.

Централизация позволяет внедрить высокопроизводительные услуги VoWLAN

Решение для передачи голоса по сети 802.11, состоящей из автономных точек доступа, использует тот же базовый протокол, что и обычный трафик данных, а также дополнительные возможности стандарта 802.11e, который описывает процесс взаимодействия между автономной точкой доступа и голосовым терминалом. К сожалению, автономные точки доступа, работающие на одном и том же канале, не имеют возможности скоординировать функции контроля за установлением соединений (Call Admission Control, CAC). Кроме того, все устройства, которые могут "слышать" друг друга и работают на одном канале, подвержены действию межканальных помех. В сети с автономными точками доступа решить эту проблему весьма нелегко.

В сети, созданной на основе модели Cisco Unified Wireless Network, контроллеры беспроводной локальной сети обеспечивают предсказуемую работу функций CAC в сети. В такой унифицированной сети контроллер имеет общее представление обо всех клиентских устройствах в сети, а также о совокупной емкости вызовов между всеми точками доступа, работающими на одном канале. Эта "осведомленность" контроллера позволяет гарантировать, что при поступлении вызова VoWLAN в сеть Cisco Unified Wireless Network в последней окажется достаточный объем емкости для обработки этого вызова и передачи (распределения) его между всеми точками доступа. Результатом такой схемы являются более предсказуемые и надежные голосовые услуги.

Снижение совокупной стоимости владения

Низкая совокупная стоимость владения (TCO) позволяет организациям развертывать новые решения без привлечения дополнительных специалистов. Решение с низкими показателями TCO дает возможность снизить нагрузку, выпадающую на специалистов компании в связи с необходимостью развертывания, администрирования и поддержки новых фрагментов корпоративной сети. В конечном счете низкая совокупная стоимость владения улучшает базовые показатели компании. При развертывании сети, состоящей из автономных точек доступа, приходится затрачивать массу времени на установку и первоначальную настройку точек доступа, их последующие перенастройку и модернизацию.

Если представить себе сеть, включающую 100 автономных точек доступа, и предположить, что на обслуживание одной точки доступа в год уходит 30 минут, то общий объем трудозатрат, связанных с обслуживанием точек доступа в такой сети, составит 3000 человеко-минут или 50 человеко-часов в год. Для пятилетнего цикла амортизации, таким образом, трудозатраты только на администрирование автономных точек доступа составят более одного человеко-месяца – и это не считая трудозатрат, связанных с устранением проблем на клиентских устройствах и других компонентах сети.

Рисунок 3. Планируемые трудозатраты в расчете на одну настраиваемую точку доступа

Централизация снижает совокупную стоимость владения (TCO)

В сети, созданной на основе модели Cisco Unified Wireless Network, вместо 100 сетевых элементов пользователям потребуется настроить только контроллер беспроводной локальной сети. В свою очередь, контроллер выполняет процедуру настройки всех точек доступа в сети. Кроме того, вместо обновления программного обеспечения на каждой точке доступа в сети администратору необходимо просто обновить программное обеспечение контроллера беспроводной локальной сети, и это автоматически приведет к обновлению программного обеспечения на всех облегченных точках доступа.

Контроллер беспроводной локальной сети способен обозревать всю беспроводную сеть, поэтому он может координировать обмен информацией и работу (предоставление) дополнительных услуг, например услуги позиционирования, в процессе решения проблем, связанных с подключением клиентов к сети. Все эти возможности позволяют снизить совокупную стоимость владения (TCO) крупной беспроводной сети и сократить затраты, связанные с устранением проблем и администрированием сети.

Унификация проводных и беспроводных сетей

Процесс интеграции проводных и беспроводных сетей имеет решающее значение для управления унифицированными сетями, обеспечения их масштабируемости, защищенности и надежности. Для поддержки беспроводных приложений корпоративного класса в беспроводной локальной сети должен присутствовать определенный объем общесистемных функций, таких как политики безопасности, системы предотвращения вторжений, управление радиочастотами, управление качеством обслуживания (QoS) и мобильные услуги. Сеть WLAN, построенная с использованием облегченных точек доступа и контроллеров беспроводной локальной сети, поддерживает унификацию проводных и беспроводных локальных сетей благодаря возможности интеграции функций контроллера в платформах коммутации и маршрутизации Cisco.

Унификация обеспечивает защиту инвестиций и оптимизацию затрат

Модель Cisco Unified Wireless Network предлагает заказчикам основу для создания комплексного, унифицированного и инновационного решения. Она обеспечивает надежную защиту инвестиций и позволяет создать защищенное, мобильное, экономичное и интерактивное рабочее пространство для проводных и беспроводных сетей. Унифицированная сетевая инфраструктура, включающая в себя облегченные точки доступа и контроллеры беспроводной локальной сети, может работать как с автономными контроллерами, так и с модульными контроллерами беспроводной локальной сети, установленными на одной из коммутирующих или маршрутизирующих платформ Cisco. Установка модульного контроллера беспроводной локальной сети, например модуля WiSM для коммутатора Cisco Catalyst серии 6500 или модуля Cisco WLCM для маршрутизаторов с интегрированными услугами Cisco, позволит заказчикам значительно снизить совокупную стоимость владения, сократить затраты на поддержку сети, а также уменьшить число запланированных и незапланированных простоев.

Решение Cisco Unified Wireless Network поддерживает также клиентские устройства с поддержкой механизма контроля за доступом к сети (Network Admission Control, NAC) и стандарта Cisco Compatible Extensions. Технология NAC для сетей WLAN обеспечивает защиту от угроз вторжения путем жесткого контроля за соблюдением политик безопасности устройств при попытке подключения клиентов WLAN к сети. Программа Cisco Compatible Extensions обеспечивает широкий выбор клиентских устройств, совместимых с инфраструктурой Cisco WLAN, и использует преимущества инноваций Cisco для повышения уровня безопасности, мобильности, качества обслуживания и управляемости сети.

ЗАКЛЮЧЕНИЕ

Решение Cisco Unified Wireless Network позволяет избежать массы сложностей в процессе установки, администрирования и обслуживания беспроводной сети; оно поддерживает возможность предоставления дополнительных услуг, таких как голосовая связь, услуги позиционирования и гостевой доступ, а также помогает контролировать расходы, связанные с эксплуатацией проводных и беспроводных сетей. Идея централизации и унификации сети не нова – впервые ее взяли на вооружение операторы сотовых сетей, и уже после этого она была перенесена на сети 802.11. Именно централизация и унификация позволят использовать беспроводные сети в крупных корпоративных сетевых проектах и обеспечить пользователям надежную связь и должный уровень мобильности.