Evolucija ali revolucija brezžičnega interneta? (2. del)

Morda pa bomo kdaj dejansko potovali z Virgin Galactic na Luno in si zaželeli od tam kaj »čivkniti« na Twitter ali med mendranjem prvih stopinj Neila Aldena Armstronga ovekovečiti svoje dejanje na Facebooku. Sicer srčno upam, da se ta fantazija ne uresniči, saj bi potem glede na omejeno število kanalov lahko imeli bore malo dostopovnih točk po vsem svetu. Vsi bi se namreč motili med seboj. Omejeni domet dostopovnih točk je v resnici dobra zadeva, saj so enako omejene tudi motnje in komunikacije drugih oddaljenih oddajnikov na istem kanalu.
Če vzpostavljamo dostopovne točke in imamo omejena finančna sredstva, vzpostavimo brezžično omrežje za največji domet. Problem, ki ga poskušamo rešiti, je, kako v danih prostorih vzpostaviti brezžično omrežje s čim manjšim številom dostopovnih točk. Vse dostopovne točke nastavimo, da oglašujejo enako ime omrežja SSID (angl.: SSID – Service Set Identifier), med sosednjimi dostopovnimi točkami pa moramo poskrbeti, da so na različnih kanalih. Kanali se ne smejo prekrivati, saj bi sosednje dostopovne točke slišale sosednji promet in bi se motile. Najlaže to naredimo tako, da vzamemo tloris prostorov in načrtujemo takšno razmestitev kanalov dostopovnih točk, da se ne slišijo med seboj. Postopku pravimo strokovni ogled območja (angl.: site survey).

Na shemi prostorov s svinčnikom označimo lokacije dostopovnih točk in jim dodelimo enega od kanalov (1, 5, 9 in 13) v 2.4-GHz pasu. Kanali v 5-GHz pasu nastavijo dostopovne točke samodejno, in ker je neodvisnih kanalov več, motenj manj, domet pa manjši, tu (za zdaj) ne pričakujemo težav. S prenosnikom in pravo dostopovno točko potem preverimo delovanje in domet signala posamezne dostopovne točke ter ustrezno popravimo lokacijo ali kanal.

Pri tovrstnem opravilu si lahko pomagamo tudi z orodji za pregledovanje brezžičnih omrežij, večina jih omogoča tudi grafični prikaz predvidene moči brezžičnega omrežja. Primer takšnega ogleda je na sliki 1.

Ko število uporabnikov v brezžičnem omrežju naraste čez določeno mejo, se kapaciteta omrežja zmanjša, hitrost dostopa do interneta se počasi zmanjšuje in potem nenadoma pride do sesutja omrežja. Omrežje je zasičeno. Ko se zasedenost omrežja pomika proti stotim odstotkom, se začnejo odjemalci med seboj boriti za svoj »prostor« za oddajanje. Ker na kanalu nekdo vedno nekaj oddaja, se veliko odjemalcev odzove tako, da zmanjša hitrost, kar pomeni, da potrebuje za oddajo in sprejem podatkov še več časa in s tem še dodatno zmanjša kapaciteto na svoji dostopovni točki.

Postopkov za reševanje tega problema je več, edina res prava rešitev pa je v povečanju števila dostopovnih točk. Torej zdaj prehajamo na postopke za gosto postavitev dostopovnih točk, kjer je problem drugačen kot pri postavitvi za največji domet. V dani prostor poskušamo vstaviti čim več dostopovnih točk. To pa pomeni, da se splača razmisliti o:

• zmanjševanju moči oddajnikov na 2.4 GHz in večji gostoti dostopovnih točk,
• dostopovnih točkah, ki delujejo na 2.4 GHz in hkrati tudi na 5 GHz,
• premeščanju uporabnikov na 5-GHz pas (angl.: band select),
• omejevanju najmanjše dovoljene hitrosti na dostopovni točki,
• izklopu podpore za odjemalce 802.11b,
• izklopu podpore za odjemalce 802.11g,
• uporabi ožičenega omrežja; brezžično omrežje je le dopolnilo dobrega ožičenega omrežja, namenjeno predvsem mobilnim, in ne podatkovno zahtevnim napravam.

Da o izboljševanju omrežja ne bomo razmišljali šele, ko se bodo naši uporabniki nad delovanjem omrežja jezili in nam mobilni telefon ne bo nehal zvoniti zaradi jeznih klicev, svetujemo ustrezno spremljanje delovanja omrežja. Primer grafov, narejenih z orodjem Cacti, je na sliki 6.

Dodatno povečevanje hitrosti brezžičnih prenosov

V osnovi so radijski kanali pri Wi-Fi široki 20 MHz. 802.11n kot razširitev določa delovanje z dvojno širino pasu (angl.: channel bonding), s 40 MHz. Zaradi dvojne širine lahko v istem času prenese dvojno količino podatkov, vendar tudi zasede dva kanala: kot da bi dve dostopovni točki delovali skupaj na sorodnih kanalih. Mehanizem je zaradi pomanjkanja prostora v 2.4 GHz praktično uporabljiv le na 5-GHz pasu ali doma, če še nimamo sosedov z brezžičnim omrežjem. Na sliki 3 in 4 vidimo, kako WiSpy in inSSIDer poročata o omrežjih z dvojno pasovno širino. Tu se pojavi vprašanje, koliko koristi ima uporabnik od dvojnih kanalov, če mu sosednji kanal že zaseda neko precej aktivno sosednje omrežje.

Standard 802.11ac, ki predvideva združevanje kanalov tudi do 160 MHz (8 kanalov), bo na primer določen le za 5-GHz pas in ne bo deloval na 2.4-GHz. Vmesniki 802.11ac, ki bodo na 2.4 GHz, bodo v tem pasu delovali le v načinu 802.11n, torej združljivi za nazaj.
Dodatne pohitritve v novih standardih se doseže tudi z izkoriščanjem odboja radijskih signalov od predmetov v prostoru. Tako oddajnik kot sprejemnik imata več anten, prek katerih hkrati oddajata in sprejemata (angl.: MIMO – Multiple Input and Multiple Output). Opremo označimo z notacijo axb:c. Oznaka »a« pomeni število oddajnih anten, »b« število sprejemnih anten, »c« število tokov podatkov oziroma koliko jih lahko deluje hkrati. Večina cenejših mobilnih naprav podpira nastavitve 1x1:1, medtem ko dobre dostopovne točke že podpirajo 3x3:3. V standardu 802.11n je določena tudi postavitev 4x4:4, ki pri dvojnih, 40-MHz kanalih nudi teoretično hitrost 600 Mb/s.

Hitrosti so seveda teoretične in veljajo za delovanje radijskega modula ter vključujejo še vse dodatne kontrolne bite, ki so potrebni za pošiljanje paketov po radijskem vmesniku. Po navadi tako navedeno hitrost delimo z dve in dobimo pričakovano največjo hitrost, ki jo lahko vidi uporabnik. Če imamo vklopljeno tudi združljivost z odjemalci 802.11g ali celo 802.11b, so hitrosti zaradi zaščitnih mehanizmov lahko še manjše.

Vseeno pa zelo toplo priporočamo nakup opreme 802.11n, svetujemo tudi dvojne vmesnike, ki delujejo tako v 2.4-GHz kot 5-GHz frekvenčnem pasu. 5-GHz je nedvomno naložba za prihodnost za pravkar prihajajoče mobilne naprave z večjimi hitrostnimi zahtevami.

Varnost

Zavedati se moramo, da za dostop do brezžičnega omrežja ne potrebujemo fizičnega dostopa do prostorov. Že zato so brezžična omrežja manj varna od žičnih, vendar ni razloga za skrb. Vprašati se moramo, koliko želimo imeti omrežje varno, in v skladu z željami uvesti ustrezne mehanizme. Za doma je verjetno dovolj dobra zaščita WPA2-PSK z ne preveč očitnim geslom, ki naj bo dolgo vsaj dvanajst znakov.

Večje organizacije pa vsekakor morajo uporabljati WPA2-Enterprise z avtentikacijskim strežnikom RADIUS ter dodatnimi zaščitnimi mehanizmi v omrežju, ki preprečujejo kraje naslovov IP, prevzemanje vloge DHCP ali privzetega prehoda. Včasih je smiselna tudi uporaba dodatnega mehanizma VPN za dostop do občutljivejših aplikacij, brezžično omrežje se včasih z varnostnega vidika splača obravnavati tako kot dostop prek interneta oziroma od doma. Varnost v dostopovnih omrežjih je občutljiva tema in presega okvire članka, lahko pa si več o tem preberete na naslovu http://aai.arnes.si/eduroam.

Upravljanje velikih brezžičnih omrežij

Brezžična omrežja lahko vzpostavimo iz avtonomnih dostopovnih točk, ki jih moramo obravnavati popolnoma neodvisne. Vsako točko moramo nastaviti in priklopiti v omrežje ter spreminjati kanale in moči. Pri manjših omrežjih to ni težavno, se pa pojavijo logistične težave pri večjih brezžičnih omrežjih.

Zaradi sprememb v radijskem okolju, kot so nove dostopovne točke sosednjega podjetja, potreba po podrobnih analizah težav v omrežju, sestanki ali celo konference z nenadnim večjim številom uporabnikov omrežja in podobno, se izkaže, da so avtonomne dostopovne točke okorne in da jih težko prilagajamo.

Takrat se splača uporabiti sisteme s krmilniki brezžičnega omrežja WLC (angl.: Wireless LAN Controller) za dostopovne točke. Veliko proizvajalcev poleg samega krmilnika prodaja tudi programsko opremo za dodani nadzor ter krmiljenje več krmilnikov hkrati. Krmilniki in orodja tipično omogočajo dober pregled nad delovanjem brezžičnega omrežja, prilagajajo omrežje trenutnim razmeram, odkrivajo vsiljivce v radijskem prostoru in marsikateri tudi preprečuje določene vrste napadov v samem brezžičnem omrežju. Krmilniki omogočajo tudi lažjo prvo postavitev dostopovnih točk, množično spreminjanje nastavitev in nadgradnjo programske opreme. Pomagajo tudi pri odkrivanju napak pri povezavah in so koristno orodje službi za pomoč uporabnikom. Za svoje delovanje uporabljajo posebne, tako imenovane lahke dostopovne točke. Večina proizvajalcev v resnici nudi dostopovne točke, ki lahko delujejo v enem ali drugem načinu, le spremeniti je treba nastavitev ali programsko opremo v njem. Tako je naravna pot evolucije brezžičnega omrežja iz omrežja z avtonomnimi dostopovnimi točkami s postavitvijo za največji domet v omrežje s krmilniki WLC in gosto postavitvijo.

Če se vam zdi, da so krmilniki WLC predobri, da bi bili resnični, ste z ugotovitvijo žal blizu resnice. So namreč vse prej kot poceni, pri tem pa je treba tudi zakupiti licence za želeno število dostopovnih točk. Tudi samodejno prilagajanje omrežja zahteva kar nekaj znanja, tako od samih krmilnikov, ki so v resnici šele na začetku razvoja algoritmov, kot tudi od osebja, ki upravlja z njim. Krmilniki večinoma vsi podpirajo standard CAPWAP (angl.: Control And Provisioning of Wireless Access Points – nadzor in priprava brezžičnih dostopovnih točk), ki pa ni pravi standard, saj ne zagotavlja medsebojnega delovanja opreme različnih proizvajalcev. Trg z brezžično opremo se širi in ponudniki opreme se trudijo prikleniti uporabnike nase. Tako vam dostopovna točka Cisco ne bo delovala s krmilnikom Lancom in obratno. Sama omejitev ni tako strašna, če odmislite prihodnje nakupe in razmislite, kolikšne popuste si boste lahko izprosili pri naslednjih nakupih pri dobavitelju, ki dobro ve, da ne morete h konkurenci. Menjanje ponudnika brezžične opreme je v primeru krmilnikov WLC namreč zelo boleče. Zaradi nenehnega in hitrega razvoja morate biti pazljivi tudi na to, da imate ustrezno vzdrževanje krmilnikov ter možnost nadgrajevanja na nove različice programske opreme.

Naslovni prostor

Brezžično omrežje je omrežje, za katerega najtežje določimo ustrezno velikost in ustrezni naslovni prostor. Lahko postavimo eno dostopovno točko v pisarni in čez leto dni nas lahko (ne)prijetno preseneti količina naprav, ki se povezujejo nanjo. Nekaj že čisto vsakdanjega je, da en uporabnik prinese v pisarno svoj pametni službeni telefon, zasebni telefon, tablico in prenosnik. In nekaj popolnoma naravnega je, da uporabnik na vseh teh napravah uporablja internet.

Večina brezžičnih omrežij uporablja preslikan (angl.: NAT – Network Address Translation, preslikovanje omrežnih naslovov) naslovni prostor RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). NAT deluje tako, da se za enim javnim naslovom IP skriva celotno omrežje. Usmerjevalnik NAT mora zato spremljati vse navzven vzpostavljene povezave in skrbeti za preslikovanje. Za povezave v drugi smeri – od zunanje naprave k notranji – pa naletimo na težavo. NAT namreč brez dodatnih nastavitev ali trikov ne more določiti, kateri napravi je prihajajoča zahteva namenjena. Včasih je to varnostno morda celo zaželeno, vendar lahko enako zagotovimo z zelo preprostim pravilom na usmerjevalniku ali na požarni pregradi.

Uporaba NAT rešuje težavo, ko število uporabnikov brezžičnega omrežja skokovito narašča in po tem, ko rešimo težave s kapaciteto omrežja, nenadoma zmanjka naslovov IP. Simptomi so nadvse nerodni, uporabnik se uspešno poveže, a ne dobi naslova in ne more uporabljati omrežja, medtem ko ostalim uporabnikom okoli njega tipično omrežje deluje brez težav.

Z uporabo preslikanih naslovov ta problem rešimo, si pa dodatno zagrenimo življenje:
• izgubimo sledljivost uporabnikov, saj se kopica uporabnikov »skriva« za istim javnim naslovom; če zaradi enega nepridiprava zapremo dostop z njegovega naslova, zapremo dostop celotnemu omrežju,
• nekatere aplikacije ne delujejo ali pa zahtevajo dodatne mehanizme za delovanje skozi NAT,
• aplikacije, kot so na primer Skype, delujejo veliko manj učinkovito, saj tovorijo promet skozi nekega tretjega uporabnika,
• težje razrešujemo težave v omrežju (težave z usmerjanjem prometa),
• zmogljiva oprema NAT za velika omrežja ni poceni.

Rešitev je v uporabi naslovnega prostora IPv6, ki uporablja 128-bitne naslove. Pri omrežjih IPv6 se za posamezno omrežje z uporabniki dodeli vedno segment velikosti /64, kar je toliko kot 4.294.967.296-krat ves obstoječi internetni naslovni prostor (recimo 4Gi internetov). Poenostavljeno: naslovov IPv6 ne zmanjka.

Rešitev je torej preprosta: vklopimo IPv6

Če mislite, da se to sliši enostavneje, kot je, razmišljate pravilno. IPv6 je dodatni internetni protokol, ki ga sicer res podpirajo največji ponudniki vsebin, kot so Google, YouTube, Yahoo in ostali, vendar prek njega še vedno dosežemo samo okoli 1–2 odstotka vseh vsebin na internetu (več si lahko preberete na strani http://en.wikipedia.org/wiki/IPv6). Da vas potolažim, prometa IPv6 je sicer malo, se pa kaže trend letnega podvajanja.

IPv6 lahko torej vpeljemo hkrati z IPv4, prek IPv6 dostopamo do sodobnih ponudnikov, prek IPv4 pa do zastarelih. Še vedno nismo dosegli ničesar, saj nam za IPv4 še vedno zmanjkuje naslovnega prostora, za nagrado pa moramo zdaj nadzorovati tako sisteme IPv4 kot IPv6. No, v resnici smo naredili nekaj: pomemben korak – spoznavamo se z novo tehnologijo IPv6, še preden nam teče voda v grlo, in to ni majhna stvar. Izognemo se namreč potencialno nerodni situaciji, podobni ugotovitvi jamskega človeka, da njegov ulov ne ustreza več higienskim standardom na sodobni živilski tržnici. Obstajajo slovenske gospodarske panoge, ki so to že preizkusile na svoji koži, in upam, da so se ostali kaj naučili iz tega.

Kaj pa, če preidemo neposredno na omrežje, kjer imamo samo IPv6? S tem se izognemo pomanjkanju naslovnega prostora in podvojitvi sistemov, ki jih moramo nadzirati. Ponudniki vsebin prek IPv6 niso problematični, rešiti pa moramo dostop do vsebin, ki so dosegljive samo prek IPv4 (večina teh je za zdaj na internetu). Na srečo obstaja mehanizem DNS64/NAT64, s katerim zagotovimo dostop do zastarelih ponudnikov vsebin. Lepa lastnost je, da se obremenitev naprav NAT64 skozi čas zmanjšuje, ker vse več ponudnikov podpira IPv6. Nerodnost pa je, ker obstajajo določene aplikacije, ki delujejo neposredno z naslovi IPv4, in te v tovrstnem omrežju ne delujejo. Zloglasni primer in v resnici največji kamen spotike je Skype. Zaradi neodzivnosti na do neba segajočih prošenj po podpori IPv6 je bil izumljen 464XLAT. Ta deluje tako, da preslikuje iz omrežja IPv4, ki obstaja samo na mobilni napravi, v omrežje IPv6, v katerega se naprava povezuje. Od tu pa DNS64/NAT64 preslika promet za ponudnike, ki niso dosegljivi prek IPv6 v IPv4. 464XLAT je torej v resnici popravek za Skypov popravek za NAT, ki je sam popravek tega, da je že primanjkovalo naslovnega prostora in se še ni želelo vlagati v IPv6. Če se vam vse to zdi bedasto, se pridružujem vašemu mnenju. Lepo pa prikazuje, kaj se zgodi, če namesto dobre zasnove in premišljenih tehnologij samo nekaj »pohekamo«.

Vseeno pa največ stavimo prav na mehanizma hkratne uporabe IPv4/IPv6 ter čistega omrežja IPv6, dopolnjenega z DNS64/NAT64. Kaj uporabiti kje, je predvsem odvisno od velikosti omrežja, stanja opreme in razpoložljivega naslovnega prostora.

Nič ni tako preprosto, kot je videti

Brezžično omrežje je zanimiva pošast, pri majhnih postavitvah se na srečo z njo ni treba veliko ukvarjati. Ko zraste, pa pokaže zanimiv nabor zob. Je pomemben del infrastrukture, ki se mora razviti, da podpremo uporabo mobilnih naprav v organizaciji. Same rešitve in način uporabe mobilnih naprav pa moramo zasnovati strateško, preizkusiti tehnologije, ugotoviti pozitivne in tudi negativne lastnosti ter ustrezno načrtovati, kako želimo podpreti svoje poslovne, izobraževalne in raziskovalne procese na mobilnih napravah. Prihodu mobilnih naprav v svojo organizacijo se ne moremo upreti, poskrbeti pa moramo, da jih obrnemo v svoj prid.

Vedno je dobro, če načrtujemo, kam gremo; to velja tako za dopust kot za uporabo tehnologij. Brez vlaganj pa seveda ne bo šlo, poceni je vedno ceneno.

‹‹ nazaj

2/2

naprej ››

Moj mikro, november december 2013 | Rok Papež, Arnes |

Išči