Пресса
Сегодня беспроводные цифровые коммуникации не уступают проводным по целому ряду важнейших параметров — пиковой пропускной способности, устойчивости к попыткам несанкционированного доступа, готовности одновременно поддерживать множество виртуальных каналов связи в одном физическом. При этом традиционные кабельные соединения заведомо проигрывают Wi-Fi в плане мобильности, доступности, простоты расширения и переконфигурирования. Корпоративный Wi-Fi прочно утвердился в российских реалиях — и кое-где едва ли не полностью вытесняет привычные кабельные сети Ethernet.
Уместность и значимость
Сегодня развитие беспроводного сегмента оказывается оправданным практически всегда — в этом убеждена Юлия Андрианова, менеджер Cisco по беспроводным технологиям. Она указывает на три ключевых преимущества, обуславливающих развитие Wi-Fi: возможность использования устройств, у которых физически нет проводного порта (включая современные ноутбуки, смартфоны и планшеты); существенная гибкость и простота перенастройки беспроводной сети в соответствии с переменами в структуре бизнеса и штате сотрудников компании; минимизация затрат на свёртывание и развёртывание локальной сети в случае передислокации предприятия на новое место — а такие ситуации довольно часто встречаются в нынешних условиях.
В офисных пространствах при организации WLAN доминируют, как свидетельствует Юлия Андрианова, решения BYOD (Bring Your Own Device): «Современный мобильный сотрудник не привязан к своему рабочему месту, и это позволяет организациям экономить. К примеру, в то время, когда менеджеры по продажам находятся „в полях“, их места не пустуют. В результате можно оптимизировать аренду площадей и соответственно расходы». Что же касается промышленных предприятий, то там наблюдается рост применения Интернета вещей (IoT).
С тезисом о важности WLAN для реализации концепции BYOD согласен Михаил Лесников, технический руководитель направления беспроводных решений
На данный момент большинство предприятий использует беспроводную сеть в качестве вспомогательной, обращает внимание Вера Лебедева, пресейл-менеджер по сетевому оборудованию компании OCS. Однако в ряде случаев, по ее мнению, иной способ организации ЛВС, помимо беспроводного, попросту невозможен — если речь идёт о больницах, музеях, памятниках культуры и иных объектах, на которых прокладка кабельной сети немыслима или крайне затруднена. «Современные технологии позволяют буквально в несколько кликов создать необходимые сети с различными параметрами и разным уровнем доступа, — поясняет Григорий Рылов, инженер по беспроводным бизнес-решениям TP-Link. — Наиболее распространённый сценарий здесь представляет создание служебной и гостевой сетей. Служебная предназначена для сотрудников, имеющих доступ к внутренним документам, базам данных, а также к интернет-ресурсам, гостевая обеспечивает доступ только в Интернет».
«Развитие мобильных офисов предполагает, что должна развиваться и соответствующая корпоративная инфраструктура под их реализацию, и в этом смысле технологии WLAN являются необходимой частью инфраструктуры любого современного офиса», — добавляет Денис Сереченко, директор по развитию бизнеса Huawei Enterprise Business Group в России. А Юрий Захаров, системный инженер компании Fortinet, подчёркивает, что нередко при проектировании новых офисных помещений владельцы осознанно отказываются от проводных подключений в пользу беспроводных. Это повышает удобство и комфорт для пользователей и обеспечивает более высокую плотность подключения при меньших капиталовложениях и эксплуатационных расходах.
Как отмечают эксперты из компании TEGRUS в области проектирования и внедрения беспроводных сетей, в современных реалиях, включая российские, развитие получает не корпоративная локальная сеть в сторону беспроводной, а сами беспроводные сети — с появлением таких подходов, технологий и стандартов, как BYOD, MDM, MU-MIMO, 802.11ac, 802.11ad. Сценарии использования БЛВС на предприятиях многообразны, среди них широко распространены предоставление беспроводного доступа для сканеров штрихкодов и мобильных компьютеров на складах, обеспечение выхода в Интернет для мобильных, в том числе личных устройств сотрудников, а также интернет-доступ в публичных местах — на стадионах, в кафе, ресторанах, аэропортах, что позволяет собирать дополнительную информацию о пользователях и в дальнейшем рассылать рекламу.
Что нам стоит WLAN построить?
Развёртывание и настройка эффективной беспроводной сети — задача более сложная, чем прокладка кабелей Ethernet и установка розеток RJ-45. Юлия Андрианова отмечает, что в этом случае необходим предварительный анализ, причем проанализировать нужно не только клиентов, которых надо подключить, но и само помещение (повести радиообследование, или радиоразведку). Часто в новых офисах радиоразведка проводится в тот момент, когда помещение находится «в бетоне», но ведь при монтаже и запуске оборудования ситуация меняется. Надо быть готовым к тому, что в процессе уже чистовой настройки радиосети какие-то точки доступа придется передвинуть.
При планировании беспроводной сети необходимо учесть тот трафик и число клиентов, которые превысят актуальные для начального этапа показатели. Во всём мире трафик по сетям Wi-Fi непрерывно растёт вместе с количеством беспроводных устройств. Следовательно, сеть нужно строить с запасом, чтобы через год-два не пришлось существенно менять БЛВС. Изменение радиосегмента локальной сети — весьма затратный и трудоемкий процесс.
В свою очередь Михаил Лесников указывает на важность корректной оценки радиоэфира (радиочастотное планирование и обследование, учет влияния помех и вторичного использования радиоканалов), сбора информации о клиентских устройствах и прогнозирования вероятной нагрузки на беспроводную сеть. Имеют значение также организация безопасного доступа и передачи данных, возможность централизованного управления и мониторинга беспроводной сети, обеспечение отказоустойчивости.
Юрий Захаров дополняет, что для предсказуемого результата при проектировании и внедрении WLAN заказчики должны правильно выбрать производителя и поставщика оборудования. По словам Григория Рылова, при проектировании любой сети учитывается экономическая составляющая проекта, подсчитывается необходимое количество оборудования, часто рассматриваются несколько вариантов. Проектные партнеры ведущих вендоров оказывают услуги по проектированию и предоставляют клиенту возможность протестировать оборудование на его площадке.
К счастью, при наличии сведущих специалистов и адекватного запросам заказчика оборудования все проблемы, возникающие в ходе развёртывания БЛВС, вполне разрешимы. Как подчёркивает Денис Сереченко, наиболее часто встречающаяся проблема — это отсутствие или нарушение продуманной и документально зафиксированной этапности проектов со всеми вытекающими последствиями.
По опыту экспертов из компании TEGRUS, при строительстве у заказчиков сетей этап радиообследования зачастую полностью игнорируется. А это почти неизбежно приводит к таким проблемам, как плохой уровень сигнала на отдельных участках, отсутствие бесшовного роуминга, высокая интерференция и покрытие беспроводной связью нежелательных участков площади. Всё это приходится устранять, и в результате существенно увеличивается бюджет проекта.
По словам Германа Лобанова, технического директора ГК «Паладин», задача создания беспроводной сети оказывается на порядок сложнее создания сети проводной — в силу необходимости вдумчивой проработки ряда специфических вопросов. Среди которых — уже упоминавшееся радиопланирование, планирование безопасности и унификация (имеется в виду обеспечение совместимости со старыми технологиями передачи данных).
«Как это ни смешно, — сетует Павел Шевчук, основатель и директор компании TamoSoft, — главная проблема заключается в том, что недостаёт хороших специалистов по сетям Wi-Fi, причем не только в России, но и в мире. Зачастую сети моделируют на бумаге, а не создают виртуальные модели со стенами и другим препятствиями в специальном ПО для site surveys. И до сих пор планы составляют исходя из того, что необходимо максимальное покрытие, а не максимальная производительность. Покрытие — это очень просто, а вот стабильно работающая даже под максимальной нагрузкой сеть, которая при этом не будет стоить неоправданно дорого, требует профессионального ПО и инженеров. Есть масса неочевидных вещей (например, не увеличение, а снижение мощности точек доступа в сетях большой плотности, анализ соседних сетей, анализ спектра), для которых нужна отличная подготовка, и это главный вызов. Все мы частенько ругаемся на кошмарный Интернет в отелях или в публичных зонах, но это, как правило, проблема не оборудования и не технологии Wi-Fi как таковой, а именно плохого планирования».
Всё дело в масштабе
Объёмы данных, проходящих по корпоративным ЛВС, год от года растут. По мнению Юлии Андриановой, проблема перегруженности офисных сетей Wi-Fi решается заменой устаревшего оборудования предыдущих стандартов на новейшее — стандарта 802.11ас первой и второй волны. Флагманские точки доступа ведущих поставщиков поддерживают производительность, которая в несколько раз превышает пропускную способность классического кабельного канала Gigabit Ethernet.
В настоящее время с Wi-Fi связано огромное число процессов, и требования к надежности беспроводной сети выше, чем это было несколько лет назад. Диапазон 2,4 ГГц, имея всего три канала по 20 ГГц, часто не удовлетворяет этим требованиям. Именно поэтому новый стандарт 802.11ac работает в диапазоне 5 ГГц. «Любой радиоэфир по определению является менее предсказуемой средой, чем провод, — добавляет Денис Сереченко. — Поэтому современный Wi-Fi отчасти использует подходы, пришедшие из мира сотовой связи, для обеспечения надлежащего уровня надёжности».
Михаил Лесников указывает, что перегруженность офисных сетей Wi-Fi частично решается применением радиочастотного планирования (особенно для диапазона 2,4 ГГц), а также использованием новых технологий (например, внедрением точек доступа с поддержкой MU-MIMO). Кроме того, на данный момент ведется разработка точек доступа с поддержкой новых стандартов и технологий (802.11ac Wave 2, 802.11ad, 802.11ax), использование которых позволит заказчикам постепенно увеличивать зону покрытия.
По словам Германа Лобанова, заказчики нередко используют устаревшие технологии для построения сетей Wi-Fi: «Только те, кто умеет широко взглянуть на проблему и способен разглядеть выгоду в грядущей перспективе, планируют и приобретают оборудование, которое поддерживает новейшие стандарты и которое выгодно с точки зрения стоимости владения». Так, на смену ещё не устаревшему стандарту IEEE 802.11ac уже выходит 802.11ax. Его основные особенности — работа в обоих основных частотных диапазонах (2,4 и 5 ГГц), двунаправленная технология MU-MIMO (возможность для клиентских устройств общаться с точкой доступа параллельно в обе стороны, нивелируя полудуплексную природу 802.11), MIMO 8×8 с поддержкой до восьми пространственных потоков, скорость до 10 Гбит/с.
По мнению экспертов компании TEGRUS, беспроводные сети должны строиться с использованием двухдиапазонных точек доступа с поддержкой 2,4 и 5 ГГц, где устаревшие беспроводные клиенты будут использовать частоту 2,4 ГГЦ, а новые устройства — по возможности подключаться к
Кроме того, требуется грамотное планирование и развертывание сети. Ошибиться тут очень легко (например: «А почему это мы должны в диапазоне 5 ГГц использовать каналы 20 МГц, когда можно 80 или даже 160!»). Григорий Рылов отмечает также, что заказчики зачастую допускают ошибку, стремясь сэкономить на оборудовании. Скажем, если на стадии планирования не заложить в проект дополнительное количество портов на коммутаторах, то говорить о масштабируемости без замены имеющегося оборудования бывает проблематично.
«Можно сколько угодно рассказывать про технологии анализатора спектра, обнаружение интерференций в радиоэфире и адаптацию WLAN-инфраструктуры, — говорит Юрий Захаров. — Тем не менее гарантированный уровень сервиса на текущий момент можно обеспечить только в
Из надёжных источников
Защищённость данных, передаваемых в радиоканале, определяется применяемыми алгоритмами шифрования. Но можно ли говорить, что беспроводная связь достаточно надёжна для интенсивной коммерческой эксплуатации, раз она подвержена помехам, интерференциям, иным внешним воздействиям? По словам Григория Рылова, современные методы шифрования и протоколы безопасности оказывают достаточный уровень защищенности данных, но помимо этого в сети используются аппаратные и программные комплексы по предотвращению и выявлению несанкционированного доступа в сеть IDS, WIDS, IPS, WIPS. Юрий Захаров считает, что актуальные стандарты аутентификации и шифрования в корпоративных сетях 802.11 уже являются хорошо защищенными.
Однако важно понимать, что организациям нужно обеспечить комплексный подход к защите информационных систем и анализу информационных потоков. Помимо технологии шифрования в радиоканале следует непременно использовать технологии аутентификации, в том числе двухфакторной, перед подключением клиентского устройства к сети его нужно проанализировать на предмет соответствия корпоративным политикам безопасности, необходим контроль информационного взаимодействия с расширенными UTM-функциями.
Михаил Лесников уточняет, что надёжность БЛВС обеспечивается за счет применения алгоритмов радиочастотного планирования — причём как на этапах проектирования и развёртывания, так и в процессе эксплуатации беспроводного оборудования. К средствам усиления надёжности, используемым сегодня в корпоративных сетях, в первую очередь относятся алгоритмы RRM (Radio Resource Management, IEEE 802.11k), а также стандартные технологии для новейших стандартов WI-FI: MIMO, OFDM, STBC.
На взгляд Юлии Андриановой, для защиты беспроводных сетей требуются дополнительные меры обеспечения безопасности. Речь идет о предотвращении «атак с воздуха». Дело в том, что рабочие диапазоны для внутриофисного Wi-Fi нелицензируемы, а потому доступны всем. С точки зрения закона любое юридическое или физическое лицо вправе принести в зону действия БЛВС и активировать любое оборудование, использующее в процессе работы радиосигнал 2,4 или 5 ГГц. Но предприятия, рабочие процессы которых связаны с Wi-Fi, не могут допускать вторжений в собственное пространство, а значит, должны использовать средства контроля.
Подобные выделенные или встроенные в точку доступа инструменты позволяют сканировать эфир постоянно либо в заданном режиме и обнаруживать все устройства, которые используют радиосвязь в данном помещении. Если стороннее устройство начинает подозрительно себя вести, специализированное оборудование блокирует подключение пользователей к подозрительной точке доступа и оповещает системного администратора. Разные подсистемы безопасности позволяют идентифицировать злоумышленника, пришедшего со своей точкой доступа и маскирующего ее под доверенную, локализовать его и нейтрализовать угрозу ещё до того, как произойдёт нечто непоправимое.
«Если мы хотим создать надежную и безопасную беспроводную сеть, — отмечает Герман Лобанов, — необходимо использовать комплексный подход при проектировании и эксплуатации корпоративной сети. Современные решения производителей беспроводного оборудования рассчитаны на максимальный контроль за состоянием сетевой инфраструктуры и данных, передаваемых по сети. Это позволяет прогнозировать возможные проблемы и моментально реагировать на возникающие угрозы». Солидарны с этим мнением и эксперты из компании TEGRUS, делающие акцент на том, что очень важным этапом является радиообследование, в ходе которого определяются существующие источники помех, особенности помещений и перекрытий, требуемые области покрытия беспроводной связью, а также уровень сигнала.
Павел Шевчук обращает внимание, что не стоит смешивать защищённость данных и помехоустойчивость: «Что касается защищенности, то я бы сказал, что Wi-Fi даже более безопасен, чем проводной Ethernet. При использовании WPA2 (PSK или, гораздо лучше, Enterprise) мы имеем дополнительный уровень защиты в виде стойкого AES-шифрования всего трафика, чем Ethernet похвастаться не может. Подключение к Ethernet-сети скрытого устройства мониторинга (скажем, уборщица тетя Маша воткнула в Ethernet-розетку незаметную коробочку) — это распространенный вектор атаки, который „через воздух“ в WPA2-Enterprise невозможен. Но вообще правильный подход вне зависимости от типа сети — это безопасность на шестом уровне представления в модели OSI, то есть, упрощенно говоря, TLS/SSL. Всё, что хотя бы немного более значимо, чем прогноз погоды на завтра, обязано быть „обернуто“ в TLS. А вопрос помех и интерференции, если, конечно, речь не идет о намеренной атаке, решается использованием ПО для site surveys, анализаторов спектра и прочих профессиональных инструментов и подходов».
Проблемы и перспективы
Хотя стандарты Wi-Fi общеприняты, немало опциональных параметров различные вендоры реализуют по своему усмотрению. Что порождает вполне очевидную проблему: не все возможности доступны заказчику, который желает свободно комбинировать сетевое и абонентское оборудование разных производителей. По свидетельству Юлии Андриановой, например, её компания работает в этом направлении много лет, развивая программу добровольной сертификации производителей оконечных устройств на поддержку той функциональности сетевого решения данного вендора, которая не является частью стандарта.
Нередко заказчикам бывает необходимо наладить устойчивые каналы связи по WLAN-сети с абонентами, перемещающимися (в том числе быстро) по заметной площади. Михаил Лесников напоминает, что существуют решения с поддержкой роуминга для клиентов Wi-Fi, для которых время переключения между соседними точками доступа может быть небольшим — несколько десятков миллисекунд. Как правило, этого достаточно для корректной работы устройств, которые перемещаются между точками со скоростью
«Задача обеспечить бесшовный и оптимальный роуминг для всех абонентов на самом деле сложнее, чем может показаться на первый взгляд», — предостерегает Юрий Захаров. Дело в том, что стандарт 802.11 недостаточно проработан с этой точки зрения: настройки роуминга имплементируются на стороне клиента, так что из-за большого количества различных производителей клиентских устройств не представляется возможным обеспечить предсказуемый результат роуминга, опираясь только на стандарт IEEE. Одним из вариантов решения этой проблемы является перенос контроля роуминга на сторону БЛВС и представление беспроводной сети для клиентов в виде единой виртуализированной точки доступа с одним BSSID.
В этом случае роуминга с точки зрения клиента не происходит, тогда как в реальности сеть переключает его на более оптимальную точку доступа без разрыва сессий и повторной аутентификации. Эксперты из компании TEGRUS предлагают для решения той же проблемы продукты с поддержкой бесшовного роуминга (ESSID) и построение сетей с чередованием непересекающихся радиоканалов в виде сот, где контроллер беспроводных точек доступа может управлять уровнем сигнала и частотными каналами для обеспечения минимального уровня интерференции и необходимого перекрытия зон действия точек доступа.
Герман Лобанов рассказывает о решении другой конкретной задачи: заказчику необходимо, чтобы БЛВС действовала не только в пределах офисного здания, но и на больших расстояниях — для интеграции труднодоступных филиалов и объектов, например. С такой целью на территории офиса располагается центральное звено управления беспроводной сетью — контроллер. Он управляет всеми настройками безопасности, подключения, а также конфигурацией точек доступа.
Точка доступа на удалённом объекте в этом случае работает в режиме RAP (Remote AP), подключаясь к контроллеру посредством Интернета через VPN-туннель. Так и выстраивается масштабируемая беспроводная сеть, мониторинг состояния и безопасности которой ведёт контроллер в центральном офисе. Другой подход к решению той же задачи указывает Павел Шевчук: «Это long range bridges, например Ruckus, Ubiquiti или Cisco-Meraki, состоящие из погодозащищенных точек доступа и направленных high-gain-антенн».
По свидетельству Юрия Захарова, некоторые компании уже сейчас отказываются от кабельных подключений и внедряют высокопроизводительные WLAN как более масштабируемое и удобное решение. Современный сотрудник в первую очередь должен быть мобильным: его эффективность и производительность в таком случае выше. «Мы видим, что беспроводные сети в российских офисах и на предприятиях становятся основными элементами ИТ, и компании уже строят мобильные офисы без проводных розеток», — солидарна с ним Юлия Андрианова.
«Гарантировать скорость доступа по Wi-Fi достаточно сложно, слишком много факторов влияет на это: загруженность радиоэфира, количество клиентов на точке доступа, типы подключенных устройств, — говорит Григорий Рылов. — Ведь если подключится старое малопроизводительное устройство, оно повлияет на скорость остальных клиентов. На мой взгляд, ограничения преодолимы, либо, по крайней мере, влияние этих факторов будет сведено к минимуму. Это направление интенсивно развивается и уже разработано и развивается огромное количествово методов, направленных на защищенность и производительность беспроводной сети».
По мнению Веры Лебедевой, полностью беспроводная корпоративная сеть актуальна для компаний, сотрудники которой совмещают высокую мобильность (частое перемещение в зоне покрытия Wi-Fi) и постоянную потребность в работе с корпоративными приложениями и сервисами, не предъявляющими особых требований к каналам передачи данных.
В компании TEGRUS уверены, что в ближайшем будущем возрастёт популярность использования гибридных — проводных и беспроводных — сетей. В большей степени в роли беспроводных клиентов готовы выступать устройства уровня доступа, которым не требуется постоянная передача большого количества данных. Устройства же, использующие проводные подключения, — это, как правило, серверное оборудование, СХД и т. п. С их стороны предъявляются жесткие требования к пропускной способности, потерям и задержкам.
Павел Шевчук видит у технологии Wi-Fi лишь одно принципиальное ограничение: радиочастотный спектр — это «дорога общего пользования», т. е. ограниченный ресурс, которым множество устройств пользуется совместно и одновременно. При разумном планировании нет никаких препятствий к тому, чтобы сети Wi-Fi стали основным средством передачи данных в офисе. Заменять кабель целиком нет никакого смысла. Подключение общих офисных принтеров или проекторов по Wi-Fi, не говоря уже о серверах, — идея не очень хорошая. В упрощенном виде это правило звучит так: всё, что перемещается, — Wi-Fi, а всё, что стационарно, — кабель.
Подготовлено совместно с pcweek.ru