Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем инфраструктурное оборудование для БЛВС

Дэйв Молта, Джесси Линдеман

Случилось так, что, когда мы собрались тестировать инфраструктурные продукты для беспроводных ЛВС (БЛВС), в одном из самых крупных зданий Сиракузского университета, в котором размещается лаборатория Real-World Labs журнала Network Computing, началась реконструкция.

В этом здании (площадью 4,5 тыс. кв. м), называемом Hinds Hall, предполагается расположить факультет информатики университета. В дополнение к своей проводной сети Ethernet руководство факультета хочет иметь хорошо защищенную беспроводную инфраструктуру, поддерживающую стандарты 802.11a и 802.11b. Данную ситуацию мы и описали в нашем запросе на предложение (RFP), адресованном производителям оборудования для БЛВС, и сопроводили запрос поэтажными планами здания (в формате AutoCAD), а также изложили свое видение будущей сети (см. “Постановка задачи”).

И еще. Мы сообщили производителям, что собираемся оценивать масштабируемость их продуктов, чтобы определить возможности развертывания сетей более крупного масштаба.

Большинство наших пожеланий в отношении новой сети отражало основные требования, предъявляемые к таким решениям ИТ-менеджерами, планирующими развертывание крупных БЛВС. Самое важное из них — информационная безопасность, обеспечиваемая посредством гибкой аутентификации пользователей, контроля их доступа и обнаружения “нелегальных” беспроводных устройств. Кроме того, предлагаемое сетевое решение должно было быть надежным и хорошо масштабируемым и обладать средствами управления, автоматизирующими выполнение административных функций, чтобы университету не пришлось нанимать дополнительного системного администратора. Мы также выразили пожелание, чтобы сеть была недорогой и позволяла сохранить инвестиции университета в существующую инфраструктуру. И наконец, решение должно поддерживать перспективные приложения для БЛВС, включая передачу речи по протоколу IP, и обеспечивать прозрачный роуминг между подсетями IP.

Помня о большом числе новых компаний на рынке БЛВС, мы разослали наш RFP как известным фирмам, так и этим компаниям и попросили их прислать нам подробный ответ на него и предоставить для тестирования свое инфраструктурное оборудование.

На наше предложение откликнулись семь компаний. Это известные производители: Cisco Systems, Enterasys Networks, Symbol Technolo-gies — и новые фирмы: Airespace, Aruba Wireless Networks, Chantry Networks и Trapeze Networks. Компания Proxim ответила на RFP, но оборудование для испытаний не предоставила, сославшись на то, что планируется его модернизация, в результате которой ко времени публикации обзора по результатам тестирования имеющиеся продукты устареют.

Полную версию данной статьи смотрите в 1-ом номере журнала за 2004 год.

Краткий анализ результатов

Поскольку развертывание новой БЛВС на факультете информатики запланировано на середину 2004 г., мы с полной ответственностью рекомендуем руководству университета рассмотреть возможность покупки продукции ряда новых компаний. Все протестированные нами решения этих компаний были в целом хорошо разработаны. Если у вас есть время подождать до тех пор, когда в них будут исправлены ошибки, и вы не опасаетесь приобретать оборудование молодых компаний, вы сможете выбрать систему, соответствующую всем вашим требованиям. А сейчас помните о том, что это новые и очень сложные сетевые продукты, и, хотя у нас нет никаких оснований, обвинять специалистов этих компаний в некомпетентности, мы бы очень удивились, если бы первые версии их решений работали абсолютно стабильно.

Если же требуется развернуть сеть через месяц и при этом не нужны улучшенные функции информационной безопасности и роуминга, реализованные новыми компаниями, мы бы посоветовали остановиться на продукции известного производителя — например, Cisco, Enterasys или Symbol. Эти компании имеют хорошо налаженное производство, мощные каналы продаж и хорошие службы технической поддержки.

Тщательно прочитав ответы вышеназванных семи компаний — участниц тестирования и предоставив возможность специалистам каждой из них показать все, на что способны их продукты в нашей тестовой лаборатории, мы пришли к следующим выводам:

Система фирмы Aruba хорошо подходит тем предприятиям, которые хотят построить сеть с архитектурой, реализованной на базе центрального беспроводного коммутатора. Но она слишком дорого обойдется, если потребуется устанавливать эти коммутаторы в зданиях небольшого размера.

Решение фирмы Trapeze — это идеальный выбор для тех, кто хочет иметь превосходные средства планирования сетей и генерации заказов на их инсталляцию. Однако требование указанной фирмы подключать точки доступа непосредственно к центральному устройству делает стоимость развертывания сети более высокой, чем у конкурентов.

Компания Symbol заслуживает похвалы за то, что первой начала работать в области беспроводной коммутации. Немаловажен и тот факт, что она, накопила большой опыт в производстве оборудования для БЛВС. Тем не менее решение Symbol по функциональным возможностям уступает решениям новых компаний.

Решение фирмы Cisco — разумный выбор для многих организаций, особенно для уже имеющих сетевые инфраструктуры на базе оборудования Cisco и не нуждающихся в расширенной функциональности БЛВС. Однако это решение стоит дорого, к тому же, если потребуется, его функциональность придется расширять с помощью продуктов третьих фирм либо нужно будет ждать, когда Cisco реализует свои планы по выпуску новых продуктов.

Компания Enterasys предлагает надежную, но в некоторых отношениях устаревшую двухдиапазонную точку доступа и бесплатное управляющее ПО.

И наконец, на первый взгляд продукт фирмы Chantry многообещающий, но, к сожалению, мы получили образец, который еще не был готов для тестирования и выпуска на рынок.

Основываясь на ответах (на наш RFP) фирм-производителей и результатах испытаний их инфраструктурного оборудования, мы присудили первое место системе Wireless Enterprise Platform компании Airespace: она характеризуется широким набором функциональных возможностей и низкой совокупной стоимостью владения (ТСО).

Wireless Enterprise Platform компании Airespace

До нашего тестирования компания уже поставила заказчикам более 500 своих точек доступа. Это дало ей определенное преимущество перед другими новыми фирмами, которое и проявилось в ходе испытаний. Система компании Airespace имеет широкий диапазон функциональных возможностей (в который входят все затребованные нами возможности и еще множество других) и является экономически эффективной. Она успешно справилась со всеми нашими тестами. Благоприятное впечатление на нас произвели простота установки системы, ее функции информационной безопасности, возможности адаптации к изменяющейся радиочастотной среде и превосходные результаты тестирования пропускной способности и дальности действия.

Компания Airespace имеет солидную финансовую основу, а ее топ-менеджеры, пришедшие из фирм, выпускающих сетевое и радиочастотное оборудование, производят впечатление опытных руководителей. Кроме того, хорошее будущее фирмы в значительной степени гарантировано глобальным OEM-соглашением с корпорацией NEC.

Airespace выпускает коммутатор БЛВС примерно с таким же набором функций, как у коммутаторов фирм Aruba и Trapeze. Но для тестирования она нам прислала не этот продукт, а управляющее устройство Airespace 4100 WLAN Appliance. В ходе испытаний оно подключалось к нашему магистральному коммутатору посредством одного или двух своих портов Gigabit Ethernet. Точки доступа Airespace 1200 взаимодействуют с управляющим устройством 4100 через коммутирующую инфраструктуру Ethernet. С помощью ПО Airespace Control System можно администрировать до 25 таких устройств со связанными с ними точками доступа.

Несмотря на то что точка доступа компании Airespace стоит почти в два раза дешевле точки доступа фирмы Trapeze, она является хорошо изготовленным устройством с антенной уникальной конструкции и гнездом для подключения внешней антенны. Точка доступа 1200 поддерживает стандарты 802.11a и 802.11b. В ходе ее тестирования у нас не возникло никаких проблем, связанных с совместимостью с другим оборудованием. Ее можно модернизировать для поддержки стандарта 802.11g путем обновления микропрограммного обеспечения.

Специалисты компании Airespace предлагают пользователям своего рода компромисс между автоматизированным проектированием БЛВС и традиционным подходом к планированию таких сетей. Хотя компания и поставляет средства оценки зоны радиопокрытия, они не столь функциональны, как соответствующие средства фирмы Trapeze. С помощью первых можно принять хорошо обоснованное решение по расположению точек доступа, но специалисты компании все же рекомендуют проверять его измерениями уровня сигнала. Впрочем, некая неоптимальность расположения точек доступа скомпенсируется богатыми функциональными возможностями программы AireWave Director, которая поставляется в комплекте с устройством 4100. Это ПО динамически ослабляет помехи, ликвидирует “дыры” в зоне действия сети и перераспределяет ее ресурсы производительности в зависимости от плотности расположения пользователей путем регулировки уровня выходной мощности точек доступа, выделения им частотных каналов и выравнивания нагрузки между ними. Специалисты Airespace называют вышеуказанные функции Intelligent RF Control Plane и утверждают, что они предназначены для оптимизации радиочастотного функционирования сети при сохранении ее информационной безопасности.

В отличие от других продуктов, которые переконфигурируются вручную в те или иные моменты времени, система компании Airespace работает в реальном масштабе времени. Однако, когда в динамической переконфигурации системы нет необходимости, администраторы могут настраивать ее вручную. Система, о которой идет речь, анализирует свою работу в эфире с помощью тех же самых точек доступа, через которые проходит трафик данных, при этом их пропускная способность снижается менее чем на один процент.

Возможности системы Wireless Enterprise Platform по защите данных произвели на нас сильное впечатление. Чтобы повысить степень информационной безопасности БЛВС, устройство 4100 по умолчанию поддерживает только защищенные соединения SSH и HTTPS, а поддержка протоколов Telnet и HTTP активизируется вручную. Кроме того, по умолчанию же данное устройство работает с более безопасным протоколом SNMP — версии 3.

Безопасные средства управления решения Wireless Enterprise Platform являются важными, но не единственными элементами всей системы обеспечения защиты данных. Кроме них, оно поддерживает технологии 802.1x, WPA, VPN и AES и обеспечивает аутентификацию пользователей с помощью портала. Имея такие функциональные возможности, система способна решать практически любые задачи в области информационной безопасности. В силу того что осуществлять аутентификацию с помощью портала весьма удобно, любой человек (в том числе и посетители предприятия), имеющий вычислительное устройство с браузером и права доступа, сможет подключиться к сети. Чтобы воспрепятствовать вторжению в БЛВС, устройство 4100 ведет так называемый черный список, в который попадают пользователи после определенного числа неудачных попыток входа в сеть. И еще, система определяет “нелегальную” точку доступа и информирует администратора о ее появлении. Более того, она мешает подключению пользователей к этим точкам, инициировав против них атаку типа “отказ в обслуживании”.

Установка и тестирование системы компании Airespace прошли без сучка, без задоринки.

Мы сконфигурировали и запустили в работу устройство 4100 и взаимодействующие с ним точки доступа менее чем за 10 мин. Инженерам компании удалось сделать процедуру инсталляции системы максимально простой. Чтобы установить и администрировать ее, не нужно быть специалистом в области радиотехники. Управляющий Web-интерфейс системы интуитивно понятен и при этом достаточно функционален. Помимо этого, в системе имеется интерфейс командной строки, похожий на интерфейс системы IOS.

Роуминг между IP-подсетями осуществлялся без малейших проблем. Система Wireless Enterprise Platform поддерживает стандарт 802.1x и терминирует сеансы IPsec. Показанные ею результаты тестирования пропускной способности были одними из лучших при работе с одной или несколькими клиентскими станциями в режимах 802.11a и 802.11b. В первом случае максимальная пропускная способность составила 25,7 Мбит/с, а во втором — 6,6 Мбит/с. Система показала хорошую дальность действия: при работе в режиме 802.11b она была одной из самых больших и примерно такой же, как у систем фирм Cisco и Symbol, а при работе в режиме 802.11a — самой большой среди соответствующих показателей других протестированных нами систем. Это наглядно свидетельствует о хорошей конструкции антенны точек доступа. Aruba 5000 Wireless LAN Switching System и Aruba 52 Access Point компании Aruba Wireless Networks

Компания Aruba Wireless Networks предоставила нам великолепное сетевое решение на базе хорошо масштабируемого коммутатора Aruba 5000 и универсальных точек доступа Aruba 52. Этот коммутатор стоимостью 30 тыс. долл. (высота корпуса — 3U) поддерживает до 72 прямых соединений с точками доступа. Данное устройство лучше использовать в центре сети или на ее уровне распределения, чем в коммутационных шкафах этажей зданий. Именно в центральную часть сети специалисты фирмы Aruba и установили свой коммутатор, подключив его к нашему магистральному коммутатору гигабитовым каналом.

Продукт Aruba 5000 может взаимодействовать как с напрямую подключенными к его портам точками доступа, так и с точками доступа, подсоединенными к другим коммутаторам сети. Он работает и с точками доступа других производителей, но тогда некоторые функции управления не действуют. С помощью технологии DNS точки доступа компании Aruba находят коммутаторы Aruba 5000 в своей сети или в других сетях и автоматически получают от них свои конфигурационные файлы. Взаимодействие точек доступа и коммутаторов осуществляется с использованием протокола GRE. Фирма Aruba характеризует свое решение как удачную комбинацию передовых средств планирования сети (подобных средствам компании Trapeze) с функциями оптимизации инфраструктуры в реальном масштабе времени (такими же, как у системы фирмы Airespace). Хотя ее средства планирования сети не столь многофункциональны, как соответствующие средства компании Trapeze, они тем не менее выполняют ряд важных функций, включая импорт этажных планов и выдачу рекомендаций по размещению точек доступа.

После установки точек доступа осуществляется динамическая калибровка их радиочастотных характеристик с целью улучшения радиопокрытия и ослабления помех. При этом изменяется выходная мощность точек доступа и перераспределяется частотный ресурс сети. Если число пользователей вблизи одной точки доступа становится очень большим, можно задействовать функцию балансировки нагрузки. В отличие от решения фирмы Airespace, в котором каждая точка доступа используется и для передачи пользовательских данных, и для мониторинга работы беспроводной сети, в системе компании Aruba некоторые точки доступа конфигурируются для работы в качестве мониторов эфира (Air Monitor). Если точка доступа вышла из строя или нужно увеличить пропускную способность БЛВС, такой монитор автоматически переключается в режим работы точки доступа. Данный подход приводит к некоторому увеличению стоимости сети, но специалисты компании Aruba заверяют, что распределение функций точек доступа и мониторинга эфира по разным устройствам сети устраняет риск снижения ее производительности, имеющийся при исполнении одной точкой доступа своих функций и функций мониторинга.

Продукт Aruba 5000 Wireless Switch поддерживает полный набор стандартов информационной безопасности, включая 802.1x, WPA и AES. Кроме того, он осуществляет аутентификацию пользователей с помощью портала. Фирма Aruba существенно упрощает организацию и использование VPN-доступа, предоставляя пользователям возможность загружать с портала аутентификации свою утилиту типа VPN dialer. Поистине единственной в своем роде систему компании Aruba делает наличие функциональности межсетевого экрана (учитывающего состояние сеансов связи) для каждого пользователя. Система поддерживает аутентификацию пользователей на базе выполняемых ими функций (role-based authentication), причем список этих функций создается с учетом правил межсетевого экранирования. Таким образом, по сравнению с другими продуктами, протестированными для данного обзора, система имеет самые гибкие средства контроля доступа.

Подобно решению фирмы Airespace, беспроводной коммутатор компании Aruba определяет “нелегальные” точки доступа и не позволяет пользователям подключаться к ним. Уникальной характеристикой рассматриваемого решения является возможность анализа пакетов (передаваемых определенным пользователем или определенной точкой доступа) в реальном масштабе времени. Делает оно это с помощью анализатора протоколов фирмы Ethereal. Компания Aruba планирует реализовать и поддержку анализатора AiroPeek фирмы WildPackets.

Как и точка доступа фирмы Airespace, точка доступа компании Aruba поддерживает множество идентификаторов ESSID и ярлыки виртуальных ЛВС. Для решения проблем, связанных с агрегацией широковещательного и многоадресного трафика при использовании более одного ESSID, система позволяет иметь 16 идентификаторов BSSID (MAC-адресов) на каждом радиоинтерфейсе.

Приехав в нашу лабораторию, представители компании Aruba распаковали и включили коммутатор 5000 и точки доступа. Последние быстро нашли этот коммутатор и получили от него информацию о своей конфигурации. Мы подключали точки доступа напрямую к данному коммутатору, размещали их (подсоединив к обычному сетевому коммутатору) в той же самой подсети (к которой подключен коммутатор 5000) и в другой. Независимо от способа подключения точки доступа конфигурировались должным образом за считанные минуты и были готовы к тестированию. В ходе испытаний для конфигурирования и администрирования системы можно было использовать только интерфейс командной строки, реализованный в стиле интерфейса IOS.

В руках квалифицированного системного администратора он будет мощным средством управления, но для неопытного пользователя сложноват.

Результаты тестирования системы фирмы Aruba на пропускную способность оказались довольно неплохими. При работе в режимах 802.11b и 802.11a ее максимальная пропускная способность составила 6,5 и 24,3 Мбит/с соответственно. Только у решений фирм Airespace и Cisco были сопоставимые показатели. Что же касается дальности действия системы, то при работе в режиме 802.11a она продемонстрировала очень хороший результат, а при работе в режиме 802.11b — самый плохой по сравнению с соответствующими показателями у всех других протестированных нами решений.

Система компании Aruba оказалась одной из самых дорогих. В значительной степени это обусловлено высокой стоимостью коммутатора Aruba 5000. Однако нелишне отметить, что это мощное и гибкое в конфигурировании устройство способно работать в центре сети, обеспечивая безопасный доступ к ней и поддерживая приобретенные ранее точки доступа других производителей. Поэтому цена 30 тыс. долл. за него не кажется нам очень высокой.

Mobility System компании Trapeze Networks

Компания Trapeze Networks предоставила нам решение, состоящее из БЛВС-коммутатора Mobility Exchange (MX), точек доступа Mobility Point (MP), ПО Mobility System (обеспечивает взаимодействие этих двух видов оборудования) и ПО RingMaster Tool Suite — набор интегрированных программных средств планирования и оптимизации сети, а также управления ею.

По многим своим характеристикам система компании Trapeze схожа с решениями фирм Airespace и Aruba. Основным же конкурентным преимуществом системы специалисты компании называют набор RingMaster Tool Suite. Это действительно самое функциональное ПО моделирования работы БЛВС и ее проектирования, которое мы когда-либо видели. С его помощью можно спроектировать сеть полностью. При моделировании работы БЛВС учитывается влияние на зону радиопокрытия таких факторов, как двери, окна и стены. Хотя в полученной модели не учтено влияние находящихся в помещениях мебели и людей, она дает довольно близкое к реальности представление о зоне радиопокрытия. Кроме того, данное ПО генерирует заказы на инсталляцию всех компонентов системы. Если вы планируете заказать инсталляцию БЛВС сторонней организации, это сэкономит вам массу времени.

Возникает вопрос: насколько точнее работает RingMaster по сравнению с менее совершенными средствами радиочастотного планирования? Ведь предложенная специалистами компании конфигурация БЛВС для указанного в нашем RFP здания очень похожа на конфигурации, разработанные специалистами других компаний — участниц данного тестирования. Учитывая тот факт, что оценить распространение сигнала и спрогнозировать потребности пользователей в полосе пропускания сети довольно сложно, мы считаем, что часто имеет смысл располагать точки доступа на небольшом расстоянии друг от друга, а затем предоставить системе самой справляться с проблемами в работе сети, регулируя уровень выходной мощности точек доступа и перераспределяя частотные каналы. От одной интеграторской фирмы мы получили электронное письмо, в котором до небес превозносились достоинства ПО RingMaster и подчеркивалась его важность для успешного ведения бизнеса. Интересно, не организовала ли его отправку сама компания-производитель?

Специалисты Trapeze, считая радиочастотную среду слишком непредсказуемой, не рекомендуют в оптимизации функционирования БЛВС всецело полагаться на адаптационные возможности своей системы. Вместо этого они советуют с помощью RingMaster собрать информацию о работе сети, разработать и реализовать ее новую конфигурацию.

После установки устройств MX и MP в них посредством RingMaster можно загрузить информацию о их настройке, полученную на этапе моделирования работы сети. ПО RingMaster дает возможность смоделировать такие ситуации, как отказ точек доступа или увеличение рабочей нагрузки, и узнать, как при этом будет работать сеть.

Входящее в состав решения Mobility System обрудование поддерживает технологии информационной безопасности WEP, TKIP, WPA и AES. Аутентификация пользователей основана на стандарте 802.1x, предусматривающем проверку прав доступа пользователей к сети с помощью сервера аутентификации, авторизации и учета. По отношению к этому серверу устройство MX выступает в роли аутентификатора. Не прошедшие аутентификацию пользователи либо вообще не получают доступа к сети, либо же им предоставляются заранее определенные и существенно ограниченные права доступа (например, только возможность выхода в Интернет), которые затем администратор может расширить. В системе отсутствуют поддержка технологии VPN и портал аутентификации.

Решение компании Trapeze, основанное на концепции Identity-Based Networking, обеспечивает роуминг между подсетями. При этом оно поддерживает информацию о принадлежности пользователей к определенным ВЛВС. Нередко трафик пользователей машрутизируется к их “домашнему” устройству MX. Это решение хорошо подходит для организаций, реализующих ограничение прав доступа на базе ВЛВС. Кроме того, оно поддерживает механизмы обеспечения качества обслуживания трафика (QoS).

В ходе испытаний решения Mobility System у нас возникло несколько проблем. Например, для демонстрации возможностей обнаружения “нелегальных” беспроводных устройств компания Trapeze снабдила свое решение бета-версией ПО RingMaster. Однако в нем оказались ошибки, из-за которых точки доступа не принимали информацию о своей новой конфигурации (мы хотели настроить их на другой частотный канал). Чтобы добиться этого, нам пришлось перезагрузить все оборудование. Специалисты компании заверили нас, что в коммерческой версии продукта эта проблема уже решена.

Как говорилось выше, аутентификация пользователей в данной системе основана на стандарте 802.1x, и в ходе тестирования ее на этот предмет при использовании разных сетевых адаптеров мы столкнулись с проблемами в работе клиентских средств данного стандарта на машинах под управлением Windows 2000. В итоге большая часть этих проблем была устранена и мы выяснили, что подключать клиентские станции Windows 2000 к системе довольно просто, если задействовать устанавливаемую по умолчанию конфигурацию средств доступа.

При испытаниях на пропускную способность система компании Trapeze показала средние результаты: максимальное значение этого параметра при работе в режимах 802.11b и 802.11a составило 5,1 и 23,1 Мбит/с соответственно. Что же касается результатов тестирования дальности действия, то они были довольно плохими: функционируя в режиме 802.11b, данная система заняла предпоследнее место. По дальности действия в режиме 802.11a система оказалась на четвертом месте (за решениями фирм Airespace, Aruba и Symbol). Подобно решению фирмы Aruba, система Mobility System обеспечивает большую дальность действия в режиме 802.11a, чем в режиме 802.11b.

При цене около 141 тыс. долл. (без резервных блоков питания и гигабитовых интерфейсов для устройств MX) система компании Trapeze оказалась самой дорогостоящей. Она примерно на 60% дороже решения фирмы Airespace. Впрочем, если вы считаете, что первоначальные (капитальные) затраты составляют примерно 25% TCO и верите заявлениям представителей Trapeze о том, что ее система обеспечивает экономию текущих затрат, то указанную разницу в ценах можно полагать несущественной.

Wireless Switch 5000 фирмы Symbol Technologies

Компания Symbol Technologies оказалась первым производителем, который (в 2002 г.) выпустил на рынок распределенное беспроводное решение корпоративного класса. Оно состоит из коммутатора Wireless Switch 5000 и точек доступа под названием Access Port (порт доступа).

Не имеющее почти ничего, кроме радиомодуля, интерфейса Ethernet и компонентов, поддерживающих технологию Power over Ethernet, устройство Access Port является прообразом современных “тонких” точек доступа. При включении Access Port находит коммутатор Wireless Switch (с помощью широковещательных сообщений), который пересылает ему информацию о конфигурации. Как и в других решениях на базе коммутаторов БЛВС, устройство Access Port компании Symbol не хранит в себе никакой ценной информации и не может использоваться без центрального контроллера, что снижает риск воровства этих продуктов. Кроме того, благодаря компактной конструкции устройства Access Port можно прятать над подвесным потолком.

В сущности, Wireless Switch 5000 — это контроллер БЛВС (взаимодействующий с точками доступа через концентраторы и коммутаторы сети), а его название больше подходит продуктам фирм Airespace, Trapeze и Aruba, имеющим коммутируемые порты Ethernet, к которым подключаются точки доступа. Устройство Wireless Switch 5000 подсоединяется к обычной проводной инфраструктуре Ethernet посредством своих портов 10/100Base-T, обеспечивающих резервирование сетевого соединения. В будущей версии устройства появятся порты Gigabit Ethernet. Продукт Wireless Switch 5000 поддерживает стандарт 802.1Q, что позволяет передавать трафик разных ВЛВС по одному каналу, и может взаимодействовать с устройствами Access Port всех подсетей. Для устройств Access Port, не относящихся к домашней ВЛВС находящегося в роуминге пользователя, роуминг между подсетями осуществляется посредством туннелирования трафика к продукту Wireless Switch 5000 (и от него) через ВЛВС этих устройств. При этом трафик через маршрутизатор не проходит. Такая основанная на ВЛВС технология роуминга функциональна, но довольно сложна.

Среди всех компаний — участниц нашего тестирования Symbol имеет самый большой опыт производства и поддержки разнообразных беспроводных и мобильных устройств, и ее решение оптимизировано для работы с ними. По словам ее специалистов, беспроводные IP-телефоны и любые другие устройства, поддерживающие технологию PSP (Power Save Polling), в не предназначенных для передачи спорадического трафика средах станут работать с большой задержкой, а эффективность функционирования их средств экономии энергопотребления будет существенно снижена.

Информация о находящихся в очереди пакетах и идентификаторе BSSID (MAC-адрес) точки доступа сети ESSID передается сетевым устройствам в широковещательном кадре в определенные моменты времени. В средах с несколькими ESSID на одной точке доступа (это помогает изолировать чувствительный к задержкам трафик) устройства PSP окажутся буквально “затопленными” широковещательным и многоадресным трафиком, поступающим из всех сетей с этими идентификаторами ESSID, и функция PSP станет неэффективной. Чтобы избежать этого, точка доступа должна поддерживать несколько BSSID для разных сетей. Тогда широковещательный и многоадресный трафик не будет оказывать негативного влияния на работу системы.

Устройство Access Port может иметь до 32 ESSID и до 4 BSSID. Схожей функциональностью обладают только решения фирм Airespace и Aruba.

Продукт Wireless Switch поддерживает стандарт 802.1x, Kerberos-аутентификацию и WEP-шифрование. Компания планирует добавить к этому поддержку технологий WPA-TKIP, AES и фирменного алгоритма смены ключей KeyGuard.

Процедура установки устройств Wireless Switch 5000 и Access Port оказалась довольно простой. После включения Wireless Switch 5000 и передачи информации о конфигурации на устройства Access Port система была готова к тестированию. Мы испытали бета-версию новейшего продукта Access Port, поддерживающего стандарт 802.11a, при тестировании же системы в режиме 802.11b использовали поставляемые компанией устройства Access Port этого стандарта.

Продукты компании Symbol показали средние результаты по пропускной способности. Ее максимальные значения при работе в режимах 802.11b и 802.11a составили 5,8 и 22,2 Мбит/с соответственно. Стоит отметить, что во время испытаний в режиме 802.11b, оснащенный беспроводным адаптером фирмы Symbol ноутбук показал лучшие результаты по сравнению с результатами машин с адаптерами других фирм (3 Мбит/с против 1 Мбит/с). Система компании Symbol продемонстрировала превосходные результаты в тестах на дальность действия, разделив первое место с решениями фирм Airespace и Cisco при работе в режиме 802.11b и заняв третье место при работе в режиме 802.11a.

Даже в конфигурации с резервным коммутатором решение компании Symbol стоит относительно недорого (его цена находится примерно в середине диапазона цен протестированных нами систем). Альтернативный вариант решения, предусматривающий использование коммутаторов фирмы Foundry вместо оборудования компании Cisco, стоит примерно на 10 тыс. долл. дешевле.

Серия Aironet компании Cisco Systems

В ответ на наш запрос RFP эта компания, являющаяся ведущим производителем БЛВС, прислала нам несколько разных точек доступа, поддерживающих систему IOS, и управляющее устройство CiscoWorks Wireless LAN Solution Engine (WLSE). Кроме того, представители компании пообещали расширить функциональность своих беспроводных систем в рамках архитектуры SWAN (Structured Wireless Aware Networking). Однако планы Cisco по выпуску новых продуктов фактически основаны на том, что она уже производит. Беспроводные средства компании по функциональности уступают предложениям новых фирм, но если большинство заказчиков оборудования компании Cisco пока не нуждаются в расширенной функциональности БЛВС, то, естественно, многие из них сохранят лояльность к ней и подождут появления ее новых решений.

Чтобы успешно реализовать свои планы, руководство компании должно координировать работу своих подразделений, отвечающих за создание оборудования для БЛВС, средств управления и коммутаторов. Это может оказаться трудной задачей, но, вероятно, она выполнима, ведь уже выпущено неплохое управляющее устройство WLSE 2.5, работающее под управлением ОС Linux и обеспечивающее простое конфигурирование и администрирование до 2,5 тыс. точек доступа Cisco Aironet. Подключаемые к сети новые точки доступа получают информацию о конфигурации от WLSE, используя для этого заранее определенный шаблон. Установленные параметры конфигурации могут отличаться от определенных по умолчанию. Параметры можно изменять для отдельных точек доступа или их групп. Продукт WLSE облегчает решение целого ряда административных задач — от реализации стратегии информационной безопасности (путем соответствующего конфигурирования всех точек доступа и обеспечения их взаимодействия с сервером 802.1x) до модернизации микропрограммного обеспечения на многочисленных точках доступа. В поставляемой на момент тестирования версии устройства WLSE отсутствовали некоторые важные функциональные возможности, но специалисты Cisco продемонстрировали нам новое (тогда еще не продаваемое) устройство версии 2,5, в котором реализованы такие ранее отсутствовавшие функции, как обнаружение “нелегальных” точек доступа и динамическое изменение рабочей частоты и уровня выходной мощности точек доступа.

Продолжая совершенствовать средства управления, компания Cisco модернизировала точки доступа серий 350, 1100 и 1200, оснастив их популярной межсетевой операционной системой IOS. Сетевым администраторам, привыкшим к интерфейсам командной строки коммутаторов и маршрутизаторов Cisco, эта модернизация придется по душе. Если интерфейс командной строки не нравится вам, ставим вас в известность, что Cisco переработала Web-интерфейс своих точек доступа, в результате при сохранении прежней функциональности работать с ним стало проще.

Точку доступа Aironet 1200 компании Cisco можно оснастить двумя радиоинтерфейсами — 802.11b (или 802.11g) и 802.11a. Она поддерживает стандарт 802.1Q и способна работать с 16 ВЛВС и сетями ESSID, но имеет только один идентификатор BSSID на каждый свой радиоинтерфейс, а значит, не “сумеет” ограничивать негативное влияние на работу сети поступающего из разных сетей ESSID многоадресного и широковещательного трафика.

В среде Aironet роуминг между подсетями обеспечивается маршрутизаторами с поддержкой протокола Mobile IP и точками доступа, сконфигурированными как proxy-системы Mobile IP. Такой подход хорош тем, что позволяет не использовать клиентские программы Mobile IP, но представители компании Cisco почему-то решили не демонстрировать нам его в действии в нашей тестовой лаборатории.

Что касается информационной безопасности, то продукт Aironet 1200 поддерживает стандарт 802.1x и многочисленные протоколы аутентификации, включая разработанный фирмой Cisco протокол LEAP. Плюс ко всему эта точка доступа поддерживает методы шифрования WEP, WPA и TKIP. Новой ее характеристикой является возможность работать в качестве сервера 802.1x. Такая система аутентификации плохо масштабируется для работы в корпоративных сетях, но, вероятно, окажется весьма полезной для небольших сетей.

Устанавливать управляющее устройство WLSE и точки доступа Aironet 1200 довольно просто. Устройство WLSE быстро обнаружило точки доступа, и мы смогли сконфигурировать их. Результаты испытаний данного решения оказались весьма разноречивыми. Во время тестирования пропускной способности точка доступа компании Cisco показала хорошие результаты в одних тестах и плохие — в других. Например, ее максимальная пропускная способность при работе в режиме 802.11b составила 5,9 Мбит/с, что значительно ниже соответствующих показателей устройств, основанных на новейшем наборе микросхем фирмы Atheros. Максимальная же пропускная способность в режиме 802.11a была неплохой — 22 Мбит/с.

Результаты тестирования дальности действия Aironet 1200 также не были однозначными. При работе в режиме 802.11b этот показатель оказался таким же высоким, как и у систем фирм Airespace и Symbol, которые вместе с решением Cisco разделили между собой первое место в этом тесте. В ходе же испытаний в режиме 802.11a точка доступа компании Cisco заняла предпоследнее место, опередив только продукт фирмы Enterasys. Площадь ее зоны радиопокрытия составила около 70% площади зоны радиопокрытия системы компании Airespace.

Хотя данное решение компании Cisco и уступает по функциональности ряду конкурирующих систем, оно является одним из самых дорогих среди протестированных нами решений. В значительной степени причиной этого можно назвать высокую стоимость точек доступа Cisco. Кроме того, можно предположить, что и в эксплуатации данное решение будет дороже по сравнению с системами конкурирующих фирм (по крайней мере до тех пор, пока архитектура SWAN не будет реализована полностью).

RoamAbout R2 компании Enterasys Networks

Компания Enterasys Networks, в основном известная своим оборудованием для проводных корпоративных сетей, в ответ на наш RFP прислала систему, основанную на своих двухслотовых “интеллектуальных” точках доступа RoamAbout R2. Способность этой точки доступа работать с двумя беспроводными адаптерами делает ее универсальной в плане одновременного поддержания разных беспроводных стандартов. В нее устанавливается любая комбинация адаптеров 802.11a, 802.11b и 802.11g.

Точка доступа RoamAbout R2 — надежный продукт, но по функциональности он уступает продуктам новых компаний. Впрочем, если на вашем предприятии уже имеется проводная сеть на базе оборудования Enterasys и вам не нужна расширенная функциональность БЛВС (в частности, роуминг между IP-подсетями), эта система окажется довольно эффективной в работе.

Конфигурирование и администрирование RoamAbout R2 осуществляются с помощью входящей в его комплект поставки программы RoamAbout AP Manager. Чтобы задействовать ее функцию обнаружения точек доступа, системному администратору нужно задать диапазон сканируемых IP-адресов и указать пароль, дающий ему право управлять этими устройствами. После обнаружения точек доступа их идентификаторы появляются в списке управляемых устройств, в котором параметры конфигурации — такие, как частотный канал, уровень выходной мощности и выполняемые функции защиты данных, — могут устанавливаться для каждой точки доступа в отдельности или для их логических групп.

С помощью ПО RoamAbout AP Manager конфигурируются все параметры работы точек доступа с единой консоли. Кроме того, управлять точкой доступа RoamAbout R2 можно через ее консольный порт, а также по протоколам Telnet, SSH, HTTP, HTTPS. И еще. Она интегрируется с любым ПО сетевого управления на базе протокола SNMP.

Относительно информационной безопасности продукта можно сказать следующее: RoamAbout R2 поддерживает WEP-шифрование с автоматической генерацией и ротацией ключей, осуществляемой функцией RrK (Rapid ReKeying) с использованием сервера 802.1x. С этим же сервером работает и система UPN (User Personalized Networking) компании Enterasys, которая соотносит аутентификационную информацию пользователей с данными о их правах доступа к сетевым ресурсам и обеспечивает быстрый и безопасный доступ к ним. В планах компании — обеспечение поддержки стандартов AES, WPA и 802.11i.

По функциональным возможностям устройство RoamAbout R2 уступает продуктам некоторых конкурирующих фирм: оно не помогает планировать сеть и находить “нелегальные” беспроводные устройства и не обеспечивает роуминг между подсетями.

Устанавливать точку RoamAbout R2 довольно просто. После инсталляции ПО RoamAbout AP Manager и задания ему диапазона IP-адресов для поиска этой точки доступа (протестированное нами устройство было оснащено радиоинтерфейсами стандартов 802.11a и 802.11b) мы сконфигурировали ее рабочие параметры и таким образом быстро подготовили к тестированию. Результаты испытаний RoamAbout R2 на пропускную способность оказались посредственными: при работе в режимах 802.11b и 802.11a показатели максимальной пропускной способности составили 5,2 и 20,3 Мбит/с соответственно.

В процессе тестирования точки доступа RoamAbout R2 возникла проблема ее совместимости с адаптером фирмы Netgear. При тестировании других продуктов такой проблемы не было. Данное устройство компании Enterasys показало неплохие результаты в испытаниях на дальность действия при работе в режиме 802.11b: оно оказалось на пятом месте (позади трех лидеров этого теста — систем фирм Airespace, Cisco и Symbol и решения компании Chantry). Площадь зоны радиопокрытия устройства составила 90% площади зон радиопокрытия систем-лидеров. По результатам тестирования же в режиме 802.11a продукт RoamAbout R2 занял последнее место. Площадь его зоны радиопокрытия составила 65% площади зоны радиопокрытия системы компании Airespace. Мы считаем, что дальность действия при работе в режиме 802.11b можно увеличить, используя внешнюю антенну. А вот устройства стандарта 802.11a из-за ограничений, наложенных Федеральной комиссией по связи США, оснащать внешними антеннами нельзя.

BeaconWorks компании Chantry Networks

Предложенное названной компанией решение основано на ее беспроводном маршрутизаторе BeaconMaster и точках доступа BeaconPoint, входящих в состав ее семейства продуктов BeaconWorks. В отличие от систем конкурирующих фирм продукт BeaconMaster работает на сетевом уровне, это дает ему возможность взаимодействовать с точкой доступа, находящейся в любой точке IP-сети любого масштаба (хоть на другом конце страны). Он логически объединяет точки доступа BeaconPoint в единую систему и обеспечивает централизованное управление ими. Чтобы развернуть данную систему, никаких изменений в существующую сетевую инфраструктуру вносить не требуется, за исключением разве что простой настройки DHCP, позволяющей подсоединенным к сети точкам доступа находить свои первичный и вторичный маршрутизаторы BeaconMaster. Идеи, положенные в основу создания системы компании Chantry, довольно привлекательны, но сама система еще очень “сырая”, поэтому мы и поставили ей низкие оценки.

С помощью службы Virtual Network Services (VNS) устройство BeaconMaster создает виртуальные сети в беспроводной сети независимо от того, в каких IP-подсетях находятся точки доступа.

В результате пользователи могут работать в одной или нескольких IP-подсетях, имея один идентификатор SSID. Однако многоадресный и широковещательный трафик может создавать проблемы в работе данной системы, так как каждая точка доступа поддерживает только один BSSID. Продукт BeaconMaster маршрутизирует трафик из подсетей VNS в проводную инфраструктуру. Поскольку параметры конфигурации ассоциируются с подсетями VNS, в этой системе не нужно конфигурировать каждую точку доступа в отдельности.

Система, о которой идет речь, с целью защиты данных поддерживает стандарты WPA и 802.1x. В будущем планируется реализовать поддержку стандартов 802.11i и AES. Продукт BeaconMaster обнаруживает “нелегальную” точку доступа и методом триангуляции (на основе координат точек доступа сети, принимающих сигналы этого “нелегального” устройства) приблизительно определяет его местоположение. Система компании Chantry не терминирует сеансы VPN.

Вместо того чтобы поставлять ПО радиочастотного планирования сети собственной разработки, компания заключила партнерское соглашение с фирмой Wireless Valley и предлагает ее многофункциональную программу LANPlanner, которая стоит довольно дорого — 18 995 долл.

После того как мы сконфигурировали наш маршрутизирующий коммутатор Cisco 3550 для маршрутизации трафика между четырьмя подсетями (было создано по одной подсети для устройства BeaconMaster и каждой из трех точек доступа BeaconPoint) и настроили наш DHCP-сервер на предоставление адресов для устройств каждой из подсетей, возникла проблема, помешавшая продукту BeaconMaster нормально функционировать. Как оказалось, на оптическом гигабитовом uplink-порте коммутатора фирмы Cisco, к которому был подсоединен продукт BeaconMaster, нельзя активизировать режим, позволяющий устройствам подсетей получать

IP-адреса от DHCP-сервера другой сети. И хотя этот продукт имел статический IP-адрес, он не мог соединиться с DHCP-сервером и получить информацию о том, что является основным маршрутизатором BeaconMaster. Из-за этого он не отвечал на запросы точек доступа. С проблемой удалось справиться, задействовав в качестве uplink-порта (для подключения к коммутатору Cisco) 10/100-Мбит/с управляющий порт маршрутизатора BeaconMaster. Но, конечно, это не очень хорошее решение.

Вопреки тому что в ответе компании Chantry на наш RFP содержалось предложение использовать ее многофункциональные точки доступа, поддерживающие стандарты 802.11a, 802.11b и 802.11g, для тестирования сотрудники компании предоставили нам точки доступа, соответствующие только одному беспроводному стандарту — 802.11b. Они работали хуже всех других протестированных нами продуктов: их максимальная пропускная способность составила всего 3,5 Мбит/с, а пропускная способность при работе с одной клиентской станцией — 1,6 Мбит/с. Что же касается результатов тестирования на дальность действия, то они, в общем-то, были неплохими: площадь зоны радиопокрытия точки доступа BeaconPoint составила 95% площади зоны радиопокрытия систем фирм Airespace, Cisco и Symbol..





  
1 '2004
СОДЕРЖАНИЕ

электронная Россия

• Инфокоммуникации земли сибирской

бизнес

• Закон "О связи" принят. Что дальше?

• Open Source на рабочем столе

инфраструктура

• Развитие БЛВС

• Тестируем инфраструктурное оборудование для БЛВС

информационные системы

• Второй фронт

• Так ли прост SNMPv3

• Как не попасться на уловки фирм-производителей

сети связи

• Азы телефонии для менеджеров ИТ

• IP-телефония: в поисках приложений

• SBC на границе

кабельные системы

• Средства управления коммутационными шнурами

• Оговаривайте тестирование шнуров

защита данных

• Тестируем системы предотвращения вторжений уровня сети

новые продукты

• 64-битовый сервер Depo Iron 6000R1S


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх