Mechanizmy optymalizacji wydajności i niezawodności. w rozwiązaniach bezprzewodowych firmy HP

Mechanizmy optymalizacji wydajności i niezawodności w rozwiązaniach bezprzewodowych firmy HP

Mechanizmy optymalizacji wydajności i niezawodności w rozwiązaniach bezprzewodowych firmy HP Rok 2014. okazał się być przełomowym na rynku rozwiązań sieci bezprzewodowych. Wszystko to za sprawą zatwierdzenia przez organizację IEEE nowego standardu 802.11ac, który szybko zyskuje na znaczeniu wśród klientów indywidualnych i korporacyjnych. Namacalnym dowodem potwierdzającym tę tezę jest zauważalny wzrost wolumenu sprzedaży urządzeń obsługujących tę technologię. PROWADZĄCY Andrzej Sawicki, Notka o autorze: architekt rozwiązań sieciowych; w firmie HP zajmuje się technologiami bezprzewodowymi. W ostatnich kilkunastu miesiącach można było zaobserwować zmianę charakteru i sposobów wykorzystania sieci Wi-Fi w przedsiębiorstwach. Wzrost liczby mobilnych urządzeń oraz zyskujący na znaczeniu trend BYOD stawia przed administratorami szereg nowych wyzwań, z którymi przyjdzie im się zmagać teraz i w przyszłości. W artykule omawiamy obecną sytuację na rynku rozwiązań bezprzewodowych, skupiając się na mechanizmach optymalizacji wydajności i niezawodności zaimplementowanych w produktach HP. Sieci Wi-Fi Na przestrzeni lat sieci bezprzewodowe traktowane były po macoszemu, wyłącznie jako dodatek do klasycznych sieci LAN zbudowanych w oparciu o okablowanie strukturalne. Wydaje się, że taki stan rzeczy nie ma dłużej racji bytu z uwagi na fakt, że to właśnie infrastruktura radiowa staje się głównym elementem warstwy dostępowej w sieciach komputerowych różnej wielkości przedsiębiorstw i instytucji publicznych. Ludzie przyzwyczaili się do korzystania z laptopów, smartfonów i tabletów i wymagają, aby sieć bezprzewodowa, do której podłączają swoje urządzenia, działała sprawnie. Nie ma tutaj mowy o żadnych przestojach, a połączenie powinno być na tyle stabilne i wydajne, by zapewnić właściwe odczucia w trakcie korzystania z aplikacji biznesowych. Przykładem środowiska, w którym wymagany jest najwyższy poziom niezawodności i wydajności sieci WLAN, są placówki służby zdrowia, w których przetwarza się duże ilości danych medycznych. W wielu organizacjach można zauważyć, że sieć WLAN stanowi odrębny element infrastruktury sieciowej. Co gorsza, w różnych typach i segmentach sieci przedsiębiorstwa, stosowane są różne mechanizmy zarządzania, narzędzia do zabezpieczenia oraz metody uwierzytelniania użytkowników. Nierzadko spotkamy się z sytuacją, w której sieci LAN i WLAN zarządzane są przez osobne zespoły administratorów. To wszystko sprawia, że zarządzanie dwoma, oderwanymi od siebie byta- 2

mi, staje się niekomfortowe, a sieć komputerowa firmy nie działa na tyle wydajnie, jakbyśmy tego oczekiwali. Standard 802.11ac Rok 2014 przyniósł upowszechnienie się standardu 802.11ac, który pozwala wydatnie zwiększyć przepustowość połączeń bezprzewodowych. Cofnijmy się jednak kilka lat wstecz. Standard 802.11g, obecny na rynku od 11 lat, umożliwia przesyłanie danych z szybkością do 54 Mbit/s. To wartość czysto teoretyczna, bowiem z uwagi na narzut sieci maksymalna, rzeczywista szybkość transmisji danych przez połączenie radiowe wynosi mniej więcej połowę tego, co określono w definicji standardu bezprzewodowego. Dla sieci 802.11g rzeczywisty transfer między punktem dostępowym, a klientem wynosi ok. 20-25 Mbit/s. Z kolei standard 802.11n, zatwierdzony całkiem niedawno, bo w 2009 roku, wyznaczył kolejne granice szybkości transmisji danych. Dzięki zastosowaniu czterech strumieni przestrzennych możliwe jest (teoretycznie) przesyłanie danych z prędkością na poziomie 600 Mbit/s. W praktyce, żaden z producentów nie zdecydował się szerzej dostarczać sprzętu sieciowego, który pozwalałby na transfer danych z taką szybkością. Obecnie stosowane rozwiązania sieci bezprzewodowej standardu 802.11n pracują w trybie 450 Mbit/s, co oznacza możliwość przesyłania danych mniej więcej z prędkością 200-225 Mbit/s. W przyszłości standard 802.11ac ma zagwarantować transmisję bezprzewodową na poziomie do 7 Gbit/s, choć wprowadzenie na rynek urządzeń, które mogłyby pracować z taką szybkością to jednak kwestia kilku najbliższych lat. Dwie fale W odniesieniu do standardu 802.11n oraz 802.11ac mówimy o dwóch falach rozwoju urządzeń bezprzewodowych. Fala pierwsza objęła wszystkie te produkty sieci 802.11n pracujące w trybie 300 Mbit/s, podczas gdy na fali drugiej wprowadzono na rynek bardziej wydaje układy radiowe, w których zastosowano trzy strumienie przestrzenne, aby uzyskać teoretyczny transfer danych na poziomie 450 Mbit/s. Podobnie sytuacja ma się w przypadku urządzeń standardu 802.11ac. Fala pierwsza urządzeń pracujących w tym standardzie obejmuje wszystkie te produkty, które mają zapewnić (według definicji) możliwość przesyłania danych w sieciach bezprzewodowych na poziomie do 2 Gbit/s. To właśnie tego typu urządzenia są już szeroko dostępne na rynku. Założyć można, że co najmniej do połowy 2015 roku na rynku nie pojawią się układy scalone, które wspierałyby standard 802.11ac w fali drugiej. Pomimo, że takie układy istnieją, od momentu ich zaprojektowania do wprowadzenia na rynek i upowszechnienia się w urządzeniach klienckich mija kilka lat. To właśnie dlatego wszystkie dalsze opisy produktów i technologii standardu 802.11ac dotyczą urządzeń fali pierwszej. Standard 802.11ac w fali pierwszej zakłada wykorzystanie trzech strumieni przestrzennych i 80 MHz szerokości kanału. Zwiększenie liczby strumieni oraz szerokości kanału przekłada się bezpośrednio na możliwość zwiększania prędkości transmisji danych oraz poprawę przepustowości sieci. W fali drugiej mówimy natomiast o czterech strumieniach przestrzennych i kanałach radiowych o szerokości 160 MHz. Wszystkie urządzenia 802.11ac stosują te same, skomplikowane schematy modulacji, w tym nową modulację 256 QAM, o której szerzej w dalszej części artykułu. Beamforming i MU-MIMO Cechą charakterystyczną urządzeń fali drugiej standardu 802.11ac jest pełne wsparcie dla mechanizmów kształtowania wiązki (beamforming) oraz Multi-User MIMO (MU-MIMO), które pozwalają zoptymalizować wydajność sieci bezprzewodowych. 3

Nie zawsze o tym wiadomo, ale dopiero faza druga urządzeń pracujących w standardzie 802.11ac standaryzuje wsparcie technologii beamforming między klientem, a punktem dostępowym. Aby transmisja danych mogła przebiegać w ten sposób, obsługa beamforming wymagana jest po obu stronach. Obecnie dostępne produkty, które obsługują tę technologię, opierają się na pewnych niestandardowych założeniach. Infrastruktura dostępowa Wdrażanie szybkich, wydajnych i niezawodnych sieci bezprzewodowych wymaga szerszego spojrzenia na warstwę dostępową infrastruktury sieciowej przedsiębiorstwa. W wielu organizacjach nadal spotyka się warstwę dostępową zaprojektowaną na bazie klasycznych przełączników Fast Ethernet umożliwiających przesyłanie danych na poziomie 100 Mbit/s. W przypadku sieci standardu 802.11n, zapewniających realną prędkość transmisji na poziomie 150 Mbit/s, warstwa dostępowa oparta na interfejsie Fast Ethernet stanowi wąskie gardło, choć nie mamy tutaj jeszcze ograniczenia, które definitywnie wykluczałoby zastosowanie takiego właśnie rozwiązania. Zwiększenie przepustowości sieci bezprzewodowej poprzez wdrożenie urządzeń pracujących w standardzie 802.11ac wymusza w tym przypadku modernizacji warstwy dostępowej. To jednak nie wszystko. Wdrożenie standardu 802.11ac może oznacza także zwiększone zapotrzebowanie na zasilanie. Układy trzystrumieniowe, a takie stosuje się w urządzeniach 802.11ac, z uwagi na zwiększony pobór energii powyżej 15,4W, wymagają zastosowania przełączników obsługujących standard PoE+. Oczywiście, o ile chcemy zasilać tego typu punkty dostępowe z sieci LAN. Dla przypomnienia: w urządzeniach 802.11ac fali pierwszej stosuje się kanały radiowe o szerokości 80 MHz, podczas gdy w urządzeniach radiowych fali drugiej tego standardu kanały o szerokości 160 MHz. Problem polega na znalezieniu tyle wolnego pasma, abyśmy w praktyce mogli korzystać z kanałów 160 MHz. W przypadku sieci Wi-Fi uruchamianych w budynkach w centrach dużych miast, oraz warunkach korporacyjnych, w których upakowanie sieci Wi-Fi jest bardzo duże, wydaje się to być mało prawdopodobne. Aby zapewnić pełną wydajność sieci 802.11ac drugiej fali konieczne być może dostarczenie podwójnych interfejsów gigabitowych do punktów dostępowych, a także zwiększenie do 10 Gbit/s pasma pomiędzy przełącznikiem dostępowym, a przełącznikiem brzegowym. Z tego względu już dzisiaj, w trakcie planowania migracji lub modernizacji infrastruktury dostępowej (LAN), konieczne jest uwzględnienie kwestii związanych z obsługą sieci bezprzewodowych wdrożonej z wykorzystaniem nowoczesnych urządzeń pracujących w standardzie 802.11ac. Dotyczy to zapewnienia zwiększonej przepustowości dla obsługi wzmożonego ruchu w sieci Wi-Fi oraz zapewnienia wymaganego poziomu zasilania dla punktów dostępowych. Channel Bonding W standardzie 802.11ac dwa kanały o szerokości 40 MHz wykorzystywane są do stworzenia kanału 80 MHz, przy czym operacja ta wykonywana jest dynamicznie. Kiedy drugi kanał 40 MHz jest wolny urządzenie radiowe może zacząć nadawać na 80 MHz i tym samym zwiększyć przepustowość transmisji danych. Mechanizm ten nazywa się Channel Bonding i po raz pierwszy pojawił się w sieciach standardu 802.11n. W przypadku sieci 802.11ac mamy do czynienia z kanałem radiowym o szerokości 160 MHz, czyli aż 8 kanałów o szerokości 20 MHz. Wydaje się być jednak mało prawdopodobne, aby możliwe było wykorzystanie tak szerokiego kanału w praktyce. Modulacja 256 QAM Standard 802.11ac wprowadza nowa modulację 256 QAM, która zapewnia wzrost wydaj- 4

ności sieci bezprzewodowej bez konieczności zwiększania szerokości kanału radiowego. W porównaniu z modulacjami 16 QAM i 64 QAM, stosowanymi w standardzie 802.11n, upakowanie symboli w modulacji 256 QAM jest dużo wyższe, dzięki czemu w postaci jednego symbolu możemy zakodować więcej danych. Pojedynczy symbol reprezentuje tutaj odpowiednio cztery, sześć albo osiem bitów. Zmiana kodowania (modulacji) z sześciu na osiem bitów, a zatem gęstsze opakowanie symboli, wymusza zapewnienie wyższej jakości kanału radiowego, którym przesyłane są dane w sieci bezprzewodowej. Kluczowym parametrem punktu dostępowego, a konkretnie jego układu bezprzewodowego, jest czułość radia. Parametr ten wskazuje przy jakim poziomie sygnału urządzenie jest w stanie dekodować przechwycone pakiety danych. Z reguły, analizując wartość tego parametru patrzymy na informacje dotyczące czułości radia dla najniższej prędkości transmisji danych obsługiwanej przez dany punkt dostępowych. W praktyce próg ten kształtuje się przeciętnie na poziomie ok. -90 do -95 decybeli przy transmisji danych 1 Mbit/s. W przypadku wyższych szybkości transmisji i modulacji 256 QAM czułość radia dla punktu dostępowego HP 560 kształtuje się na poziomie -67 decybeli. Aby zastosować ten typ modulacji stosunek sygnału do szumu (SNR, Signal Noise Ratio) musi więc być bardzo wysoki. W praktyce oznacza to, że im dalej urządzenie klienta znajduje się od punktu dostępowego, tym mniejsze szanse na zastosowanie modulacji 256 QAM i pełnej prędkości sieci 802.11ac. Punkt dostępowy nie może dekodować skomplikowanych modulacji przy słabej jakości sygnału. Tak więc, kiedy urządzenie bezprzewodowe oddala się od punktu dostępowego, następuje uproszczenie modulacji, a zatem i spadek prędkości transmisji danych. Standard 802.11ac przynosi szereg korzyści, z których najważniejszą wydaje się być zwiększenie przepustowości sieci bezprzewodowej. Wdrożenie urządzeń 802.11ac w organizacji wymaga jednak szerszego spojrzenia na sposób implementacji infrastruktury sieciowej, w szczególności jej warstwy dostępowej oraz wyboru metody projektowania radiowego, w której w jeszcze większym stopniu powinniśmy uwzględnić parametry związane z wydajnością sieci. Aby w pełni wykorzystać możliwości jakie niesie ze sobą standard 802.11ac konieczne jest gęściejsze posadowienie punktów dostępowych na obszarze, który zamierzamy pokryć zasięgiem sieci bezprzewodowej. Produkty 802.11 HP dysponuje bogatą ofertą punktów dostępowych sieci bezprzewodowych w standardzie 5

802.11n oraz 802.11ac. Firma stale poszerza ofertę produktów 802.11ac, przy czym obecnie w sprzedaży dostępne są urządzenia fali pierwszej standardu 802.11ac. Flagowym produktem firmy HP dla sieci bezprzewodowych standardu 802.11ac jest punkt dostępowy z serii 560. Konfiguracja sprzętowa urządzenia obejmuje trzy anteny dookólne, które zapewniają trzy strumienie przestrzenne dla transmisji radiowej w zakresie 80 MHz szerokości kanału i modulacji 256 QAM. Konfiguracja ta umożliwia przesyłanie danych z maksymalną (teoretyczną) szybkością na poziomie 1,3 Gbit/s. Wszystkie punkty dostępowe HP skierowane do klientów korporacyjnych mają wybudowany analizator widma, który umożliwia śledzenie wykorzystania kanałów radiowych, po to aby dostosowywać ustawienia infrastruktury i tym samym unikać zakłóceń w eterze. Innym godnym uwagi produktem jest HP 525. Premiera tego urządzenia miała miejsce w listopadzie 2014 i wydaje się, że w najbliższym czasie to właśnie ten model zastąpi większość sprzedawanych przez HP punktów dostępowych standardu 802.11n. Atrakcyjna cena tego produktu, niewiele wyższa od rozwiązań 802.11n, może przyczynić się do szybkiej popularyzacji standardu 802.11ac w sieciach bezprzewodowych klientów HP. W porównaniu z wyższym modelem, HP 525 ma wbudowane moduły radiowe zapewniające dwa strumienie transmisji danych, co pozwala na transmisję danych z prędkością do 860 Mbit/s. Analogicznie jak w modelu HP 560, w modelu HP 525 zastosowano kanały radiowe o szerokości 80 MHz oraz modulację 256 QAM. Cechą charakterystyczną urządzenia jest elastyczność w doborze anten. Punkt dostępowy wyposażono w cztery anteny wewnętrzne, które - dzięki wbudowanym konektorom - można zastąpić antenami zewnętrznymi. Kontrolery bezprzewodowe Portfolio kontrolerów sieci bezprzewodowych HP od serii 830 po serii 870 obejmuje paletę urządzeń zdolnych do obsłużenia od 30 do 1500 punktów dostępowych jednocześnie. Produkty te objęte są dożywotnią gwarancją producenta, co samo w sobie wiele mówi o niezawodności urządzeń oferowanych przez HP. Pewien czas temu firma HP ogłosiła wersję 2.0 gwarancji dożywotniej, która obejmuje wsparcie telefoniczne świadczone w modelu 24/7 przez trzy lata od momentu zakupu urządzenia. W ramach gwarancji dożywotniej otrzymamy wymianę uszkodzonego sprzętu w następnym dniu roboczym, dostęp do aktualizacji oprogramowania układowego (firmware) tak długo jak posiadamy dane urządzenie oraz możliwość korzystania ze wsparcia tele- 6

fonicznego w standardowych godzinach pracy serwisu HP. Intelligent Management Center Najważniejszym elementem infrastruktury sieciowej, który spina wszystkie produkty HP w całość, jest platforma zarządzania Intelligent Management Center (IMC). To uniwersalne narzędzie do skutecznego zarządzania siecią przewodową i bezprzewodową z wbudowanym wsparciem dla urządzeń sieciowych firm trzecich. Oprogramowanie może być elementem strategii BYOD w organizacji. Konsola IMC daje pełny wgląd w stan sieci z poziomu jednego ekranu administratora. Ma wbudowany system do uwierzytelniania użytkowników oraz pozwala zunifikować zarządzanie dostępem do LAN i WLAN przez utworzenie przypisanie wspólnej polityki dostępu dla obu tych typów sieci. Oprogramowanie ma wbudowane funkcje monitorowania, rejestrowania i raportowania o zdarzeniach, które zaszły w sieci lokalnej przedsiębiorstwa. IMC jest wszechstronnym narzędziem do zarządzania infrastrukturą sieciową, którego funkcjonalność można rozszerzać za pomocą modułów. Modularna budowa aplikacji pozwala dostosować ją w pełni do wymagań danej organizacji. W formie modułów implementowane są funkcje uwierzytelniania użytkowników w serwerze RADIUS, obsługa sieci bezprzewodowych, wsparcie dla sieci zwirtualizowanych oraz mechanizmy monitorowania i analizy przepływu ruchu. Wzrost zapotrzebowania na pasmo, w którym komunikują się punkty dostępowe, a więc wzrost ilości ruchu w sieciach bezprzewodowych, jest motorem do wprowadzania nowych urządzeń bezprzewodowych. Wraz z upływem czasu do lamusa odchodzą punkty dostępowe z obsługą protokołu Lightweight Access Point Protocol (LWAPP), które pozwalają jedynie przełączać ruch z udziałem kontrolera bezprzewodowego. Punkty dostępowe, które tunelują cały ruch do kontrolera natychmiast stałyby się wąskim gardłem całej infrastruktury sieciowej w szybkich sieciach Wi-Fi standardu 802.11ac. W tym miejscu należy jednak wziąć pod uwagę fakt, że zdarzają się sytuacje, w których centralne przełączanie ruchu jest jak najbardziej wskazane i prowadzi m.in. do znacznego uproszczenia wielu aspektów konfiguracji sieci. Administrator może wybrać, czy chce scentralizować ruch do kontrolera ze wszystkich punktów dostępowych, czy też wdrożyć 7

W odniesieniu do rozwiązań proponowanych przez HP możliwe jest przeprowadzenie uwierzytelniania użytkowników przez centralny kontroler, a następnie przełączanie jego ruchu sieciowego lokalnie. wariant alternatywny polegający na przełączaniu ruchu oraz uwierzytelnianiu użytkowników lokalnie. Sieć dla gości Wyobraźmy sobie sytuację, w której organizacja dysponuje pojedynczym oddziałem z wieloma podległymi placówkami. Administrator musi skutecznie przetworzyć ruch z sieci dla gości, przy czym ograniczeniem jest tutaj wyjście do internetu, obsługiwane wyłącznie z głównej lokalizacji firmy. Najprostszym rozwiązaniem jest scentralizowanie ruchu z sieci dla gości z przełączeniem go przez kontroler. W tym scenariuszu limitem jest pasmo, które chcemy zapewnić użytkownikom w dostępie do internetu, a jednocześnie szybkość połączenia internetowego ograniczona jest kontraktem z operatorem. Rzadko zdarza się sytuacja, w której chcemy zapewnić gościom ultraszybki internet. Wariant ten zakłada ograniczenie ruchu już na poziomie sieci bezprzewodowej, wdrożenie mechanizmów centralnego przełączania oraz zapewnienie wyjścia do internetu z głównej lokalizacji. To dobre i sprawdzone rozwiązanie. Autoryzacja webowa Problem pojawi się wtedy, gdy wzorcowy scenariusz będzie wymagał rozszerzenia o mechanizmy uwierzytelniania użytkowników poprzez portal webowy. W przypadku tradycyjnych rozwiązań oznacza to konieczność wdrożenia scentralizowanych mechanizmów autentykacji i jednocześnie centralizację ruchu sieciowego. W odniesieniu do rozwiązań proponowanych przez HP możliwe jest przeprowadzenie uwierzytelniania użytkowników przez centralny kontroler, a następnie przełączanie jego ruchu sieciowego lokalnie. Mechanizmy te mogą być wdrażane także w przypadku sieci, w których autentykacja użytkowników prowadzona jest w warstwie trzeciej. Przełączanie lokalne Wśród możliwych do zrealizowania scenariuszy mamy też wariant, w którym wszystkie zadania uwierzytelniania i przełączania ruchu mają zostać zrealizowane lokalnie, przez oddelegowanie ich do najbliższego punktu dostępowego. Sposób, w jaki możemy to wykonać przy zastosowaniu produktów HP, wydaje się być nad wyraz ciekawy. Pierwsza opcja to zdefiniowanie polityk przełączania (centralnie, lokalnie), które mogą być definiowane dynamicznie, dla każdej sieci bezprzewodowej (SSID) z osobna. Druga metoda zakłada wykorzystanie list kontroli dostępu do zdefiniowania zakresu ruchu, który będzie przełączany lokalnie. Administrator może wskazać, które sieci VLAN będą przełączane lokalnie. W tym kontekście warto przypomnieć sobie przypadek z rozproszoną autentykacją przez portal webowy. Aby obsłużyć taki ruch, administrator tworzy VLAN przeznaczony do uwierzytelniania użytkowników. Ten segment sieci jest scentralizowany w ramach całej organizacji i to właśnie w nim dostarczane są portale autoryzacji oraz serwer DHCP, czyli te wszystkie usługi, które pozwalają obsłużyć użytkowników jeszcze przed ich zalogowaniem do sieci korporacyjnej, ale także zablokować dostęp do zasobów, do których nie mają oni uprawnień. Kontroler zapamiętuje sesję użytkownika i odłącza go od sieci zaraz po wykonaniu uwierzytelnienia. Klient bezprzewodowy spróbuje ponownie nawiązać połączenie z siecią bezprzewodową, jednak tym razem kontroler przypisze go do odpowiedniego segmentu sieci oraz wymusi na punkcie dostępowym lokalne przełączanie ruchu. Dlaczego o tym mowa? Nieodłącznym elementem strategii BYOD, która zakłada możliwość wykorzystywania prywatnych urządzeń mobilnych w sieciach korporacyjnych, jest mechanizm autentykacji webowej, pozwalający na przedstawienie się użytkownika i przypisanie mu odpowiednich praw zanim ten zostanie dołączony do sieci. Podobny scenariusz warto zrealizować, aby zapewnić pacjentom szpitala niezawodny dostęp do internetu. W każdym z tych przypadków wymagana jest centralna autentykacja, aby uniknąć konieczności wdrażania wielu portali uwierzytelniania dla każdego z segmentów sieci w osobna. W dalszym etapie administrator sieci może rozgraniczać prawa do zasobów sieci względem użytkownika (login) lub typu urządzenia końcowego. Po zalogowaniu się klienta przez portal webowy kontroler bezprzewodowy może włączyć urządzenie do wskazanego segmentu sieci w zależności od jego użytkownika, albo włączyć użytkownika do danego segmentu sieci, w zależności od tego z jakiego urządzenia korzysta. Sieci bezprzewodowe budowane na bazie produktów HP pozwalają na lokalne 8

obsłużenie ruchu, który wygeneruje takie urządzenie. Lokalne przełączanie ruchu przynosi szereg korzyści dla funkcjonowania sieci w organizacji. Po pierwsze, ruch nie musi być przekazywany do centralnego węzła internetowego. Po drugie, żadne z centralnych urządzeń nie stanowi wąskiego gardła dla ruchu generowanego lokalnie. W tym miejscu należy dodać, że kontrolery bezprzewodowe HP, w szczególności modele z wyższego segmentu, zostały zaprojektowane w taki sposób, aby obsłużyć cały ruch, których do nich trafi. Mamy tutaj do czynienia ze sprzętowymi rozwiązaniami wyposażonymi w karty FPGA realizujących zadania przełączania ruchu, których wydajność może sięgać nawet 40 Gbit/s. Mimo to, projektując infrastrukturę sieciową przedsiębiorstwa, warto ograniczyć możliwość niepotrzebnego przesyłania ruchu do kontrolera i z powrotem. Nawet w przypadku doskonale działającej, w pełni zoptymalizowanej w warstwie radiowej, sieci bezprzewodowej, wybór właściwego modelu przełączania jest bardzo ważny z uwagi na wąskie gardła, które mogą powstawać po stronie kontrolerów bezprzewodowych oraz infrastruktury LAN. Mechanizmy optymalizacji sieci radiowej Identyfikacja problemów z działaniem sieci bezprzewodowych wymaga całościowego spojrzenia na infrastrukturę sieciową w organizacji. Analizując każdy typ sieci, każdy segment lub poszczególne komponenty sprzętowe z osobna, niezwykle trudno jest na odpowiedzieć, który element infrastruktury zawodzi. Zadanie znalezienia wąskich gardeł może wydatnie uprościć wdrożenie dobrego systemu zarządzania siecią. Produkty HP mają wbudowanych szereg mechanizmów optymalizacji radiowej, które umożliwiają uzyskanie najwyższej wydajności oraz stabilności sieci bezprzewodowej, począwszy od najprostszych rozwiązań stosowanych od dawna np. kontrolowanie mocy i kanałów punktów dostępowych) po zaawansowane technologicznie rozwiązania takie jak analiza widma, rozkładanie obciążenia ruchu, podział pasma, czy sterowanie zasięgiem komórki bezprzewodowej oraz progiem czułości modułu radiowego. Automatyczna kontrola mocy W zastosowaniach korporacyjnych trudno wyobrazić sobie system bezprzewodowy, który 9

nie będzie automatycznie kontrolował mocy i kanałów punktów dostępowych. W przypadku sieci standardu 802.11ac zapewnienie dużej wydajności takiego połączenia wymaga większego zagęszczenia punktów dostępowych, po to aby poprawić jakość kanałów radiowych. Jednocześnie zagęszczenie punktów dostępowych prowadzi do zwiększonego przesłuchu na kanałach radiowych podchodzącego z różnych urządzeń bezprzewodowych. Zadaniem kontrolera bezprzewodowego jest śledzenie stanu grupy punktów dostępowych oraz ich otoczenia radiowego. Na podstawie zebranych w ten sposób informacji kontroler może optymalnie dobrać moc anten dla wszystkich podległych mu punktów dostępowych. Zwiększenie mocy urządzenia bezprzewodowego pozwala zwiększyć zasięg sieci. Prawo telekomunikacyjne obowiązujące w danym kraju wskazuje jednak maksymalną moc promieniowania, której nie wolno przekroczyć. Z tego względu, aby mechanizm kontrolowania mocy mógł być w pełni wykorzystywany, konieczne jest ustawienie początkowej mocy urządzenia, czyli tej w której działa ono w trybie normalnym, na niższym poziomie niż maksymalny. Dzięki temu punkt dostępowy będzie mógł skompensować lukę w sile sygnału radiowego na danym obszarze, spowodowaną awarią któregoś z punktów dostępowych lub zmianą w środowisku radiowym, poprzez proste zwiększenie mocy nadawania do maksymalnego poziomu. Ważne jest, aby pamiętać o tym już na etapie projektowania sieci, robienia pomiarów radiowych lub prowadzenia badań typu site survey. Mechanizm kontroli mocy nie zadziała poprawnie, jeśli sieć bezprzewodowa zostanie wdrożona w oparciu o punkty dostępowe skonfigurowane w taki sposób, aby nadawać z maksymalną mocą przy minimalnym nakładaniu się sygnału w komórkach radiowych. Z uwagi na ograniczenia prawne, mechanizm automatycznej kontroli mocy wymaga więc świadomego rozmieszczenia punktów dostępowych tak, aby w przypadku awarii jednego z nich lub pojawienia zakłóceń w środowisku radiowym, móc zapewnić odpowiednią jakość sygnału na danym obszarze przez zwiększanie mocy nadajników pozostałych punktów dostępowych. Dynamiczny wybór kanałów Kolejnym mechanizmem, który pozwala zoptymalizować wydajność sieci radiowej jest dynamiczny wybór kanałów. Działanie tej funkcji opiera się na zdefiniowaniu planu kanałów dla grupy punktów dostępowych w taki sposób, aby pokryć zasięgiem wymagany obszar oraz uniknąć interferencji. 10

Typowa sieć bezprzewodowa wdrażana jest w dwóch zakresach częstotliwości 2,4 GHz oraz 5 GHz. Podejście to pozwala obsłużyć klientów, którzy w dalszym ciągu korzystają z urządzeń starszego typu, pracujących wyłącznie w zakresie 2,4 GHz. Pasmo 2,4 GHz oferuje trzy nienakładające się na siebie kanały radiowe. Alternatywnie możemy wykorzystać cztery kanały, których częstotliwości nakładają się na siebie w minimalnym stopniu. Teoretycznie to zdecydowanie za mało, by poprawnie obsłużyć dużą liczbę punktów dostępowych rozmieszczonych na małym obszarze. W praktyce - wszystkich tych kanałów używa się do momentu, aż któryś z nich nie stanie się zbyt zaszumiony. Liczba kanałów, dostępnych w paśmie 5 GHz jest wyższa, niż w paśmie 2,4 GHz. Zależność ta pozwala na przygotowanie bardziej skomplikowanego planu wyboru kanałów radiowych, a więc i skuteczniejsze działanie mechanizmu, który pozwala na automatyczny wybór kanału używanego przez sąsiadujące punkty dostępowe. Analiza widma W trakcie wyboru kanału, kontroler bezprzewodowy analizuje dodatkowo informacje pochodzące z analizatorów widmowych, wbudowanych w punkty dostępowe. W przypadku zauważenia zewnętrznych zakłóceń, kontroler może wymusić na punkcie dostępowym zmianę używanego kanału na inny. Jak to działa? Analiza widmowa pozwala zidentyfikować energię w kanale radiowym, która nie jest zrozumiała dla punktu dostępowego. Innymi słowy, w eterze pojawia się szum, który w żaden sposób nie może zostać zdekodowany przez moduł radiowy access pointa. W tym przypadku rośnie próg szumu, a maleje stosunek sygnału do szumu (SNR). W przypadku bardziej skomplikowanej modulacji, punkt dostępowy ma problem z dekodowaniem sygnału, co przekłada się na obniżenie prędkości transmisji dla obsługiwanych klientów, a zatem i pogorszeniem wydajności sieci na danym obszarze. Przy projektowaniu sieci bezprzewodowych 802.11 inżynierowie brali pod uwagę kwestie związane z zakłóceniami występującymi w eterze, a więc możliwość pogorszenia jakości transmisji danych w przypadku słabej jakości sygnału radiowego. Z tego względu standard 802.11 opisuje mechanizmy powtórzeń (retransmisji) realizowanych w warstwie dostępu do sieci. W praktyce oznacza to, że klient, który znajduje się w mocno zakłóconej komórce ra- 11

Każdy z nowych punktów dostępowych HP klasy Enterprise wyposażony jest w analizator widma. Dane pochodzące z analizatorów służą po pierwsze do ustalenia planu kanałów. Po drugie - mogą być rejestrowane i eksportowane do systemu zarządzania. diowej, mimo zestawionego połączenia z siecią bezprzewodową nie może odbierać i wysyłać danych. To dość unikalna cecha, która istotnie odróżnia sieci Wi-Fi od sieci komputerowych, opartych na okablowaniu strukturalnym. Kolokwialnie mówiąc: sieć LAN albo działa optymalnie, albo nie działa wcale. Oczywiście zdarzają się przypadki niepoprawnego zaprojektowania i skonfigurowania lokalnej sieci przewodowej, ale są one niezmiernie rzadkie i stosunkowo łatwe do zidentyfikowania. Zazwyczaj wiążą się one z niedostępnością pewnych usług. W przypadku sieci bezprzewodowych sprawa nie jest już tak oczywista. Sieć Wi-Fi działa bardzo powoli, a więc nieoptymalnie, i dopiero analiza widmowa pasma radiowego może przynieść odpowiedź na powody takiego stanu rzeczy. Każdy z nowych punktów dostępowych HP klasy Enterprise wyposażony jest w analizator widma. Dane pochodzące z analizatorów służą po pierwsze do ustalenia planu kanałów. Po drugie - mogą być rejestrowane i eksportowane do systemu zarządzania, po to abyśmy mogli zobaczyć i ocenić jakość kanału na przestrzeni czasu. W systemie zarządzania istnieje metryka, która pokazuje jakość wszystkich kanałów radiowych wykorzystywanych przez punkty dostępowe naszej sieci bezprzewodowej. Dane te pozwalają ustalić, który z punktów dostępowych ma najgorsze otoczenie radiowe, a więc w największym stopniu jest podatny na zakłócenia. To właśnie w tym miejscu nasi użytkownicy w największym stopniu będą odczuwać problemy w trakcie korzystania z połączenia bezprzewodowego. Interferencji sygnału radiowego można unikać, ale nie da się ich w pełni wyeliminować. Kontroler lub punkt dostępowy może zmienić używany kanał w trakcie pracy, ale dopiero na podstawie danych historycznych jesteśmy wykryć zakłócenia, które pojawiają się i znikają w określonym czasie. Dotyczy to także środowiska medycznego, w których liczba zakłóceń podchodzących z aparatury medycznej i innych źródeł jest bardzo duża. Dane pochodzące z analizatorów widmowych mogą być śledzone w czasie rzeczywistym. Spektrogram pokazuje ilość energii wypromieniowywanej w danym zakresie częstotliwości, konfrontując te dane z kanałem, na którym pracuje w danym momencie punkt dostępowy. Wszystkie te zabiegi mają na celu uniknięcie zakłóceń oraz podjęcie szybkiej reakcji na zmieniające się otoczenie radiowe, zanim pracownicy zaczną dzwonić do działu IT z informacją o niedziałającej sieci bezprzewodowej. Konsola zarządzania pozwala skonfigurować alarmy, które zostaną wywołane w odpowiedzi na zarejestrowane zakłócenia. Analizatory widma wbudowane w punkty dostępowe HP działają w trybie ciągłym, monitorując środowisko radiowe otoczenia całą dobę. Rozkładanie obciążenia Clear Connect to hasło HP, które dotyczy wszystkich mechanizmów optymalizacji w sieciach bezprzewodowych. Obejmuje metody rozkładania obciążenia i ograniczania pasma między punkty dostępowe. Mechanizm rozkładania klientów między punkty dostępowe pozwala sterować zachowaniem urządzeń podłączonych do sieci bezprzewodowej przedsiębiorstwa. Standard 802.11 zakłada, że to klient sieci podejmuje decyzje o tym, do którego punktu dostępowego zostanie podłączony. Za obsługę tego mechanizmu odpowiada sterownik karty sieciowej w urządzeniu klienckim. To, czy klient dokona najbardziej właściwego wyboru, zależy od jakości sterownika i układu radiowego na karcie sieciowej. Infrastruktura sieciowa przedsiębiorstwa może wpływać na ten mechanizm w pewien kontrolowany, choć ograniczony sposób, zachęcając niejako urządzenie do podłączenia się do mniej obciążonej komórki radiowej. Dodatkowo, punkt dostępowy może próbować wymusić na kliencie przełączenie do pasma 5 GHz, które pozwala w bardziej optymalny sposób wykorzystać kanały radiowe dostępne w tym zakresie częstotliwości. Mechanizm równoważenia klientów może być wdrażany na dwa sposoby - rozkładając ruch w zależności od liczby klientów podłączonych w danej komórce radiowych (per sesja) lub ze względu na generowaną przez klientów ilość ruchu sieciowego. Podział pasma W produktach HP zaimplementowano funkcje bandwitch insurance oraz bandwitch control, które pozwalają na optymalizację wydajności sieci bezprzewodowej przez podział pasma radiowego dla rożnych sieci oraz podłączanych do niej klientów. 12

Zasada działania funkcji bandwitch insurance polega na podzieleniu pasma między różne sieci uruchomione w tym samym module radiowym punktu dostępowego. Obecnie rzadko zdarza się, aby pojedynczy punkt dostępowy rozgłaszał tylko jeden identyfikator sieci bezprzewodowej (SSID). Wiele firm uruchamia w jednej lokalizacji co najmniej dwie sieci Wi-Fi. Pierwsza sieć zapewnia dostęp do zasobów sieci korporacyjnej, ale wymaga uwierzytelnienia użytkowników za pomocą bezpiecznych mechanizmów standardu 802.1x. Druga sieć dla gości umożliwia podłączenie urządzeń mobilnych do internetu po uprzednim zalogowaniu się w portalu webowym. W praktyce nie ma możliwości połączenia obu metod uwierzytelniania w ramach pojedynczej sieci Wi-Fi, chyba że zostaną one wymuszone jednocześnie. Nie o to jednak chodzi. Ograniczenie to rodzi w sobie konieczności uruchomienia w ramach jednego punktu dostępowego co najmniej dwóch sieci bezprzewodowych, każdy z własnym identyfikatorem SSID. Z perspektywy administratora ważne jest, aby mógł on sterować pasmem przydzielanym przez moduł radiowy dla każdej sieci bezprzewodowej i w ten sposób zagwarantować odpowiednią przepustowość sieci korporacyjnej. Bandwitch control pozwala zarządzać pasmem dla pojedynczego klienta sieci bezprzewodowej. W produktach HP funkcja bandwitch control może być wdrażana w jednym z dwóch trybów. W trybie statycznym administrator definiuje na sztywno poziom pasma przydzielony pojedynczemu klientowi. Tryb dynamiczny polega na wskazaniu grupy klientów podłączonych do jednej komórki radiowej pomiędzy których dzielona jest całość dostępnego pasma. Oznacza to, że pojedynczy klient może wykorzystać całe przydzielone pasmo, podczas gdy pozostali użytkownicy nie generują ruchu w danej komórce radiowej. Airtime Fairness Znacznie każdego z tych mechanizmów będzie przybierało na sile wraz ze wzrostem wydajności oraz gęstości sieci bezprzewodowych. Kolejnym rozwiązaniem, które pomaga optymalizować wydajności sieci Wi-Fi jest Airtime Fairness. Działanie tej technologii polega na promowaniu wydajniejszych klientów bezprzewodowych, którzy są w stanie przesłać większą ilość danych w zadanym przedziale czasu. W tradycyjnym modelu każdy klient sieci bezprzewodowej ma przyznaną taką samą ilość pakietów do wysłania. To oznacza, że klient korzystający z sieci standardu 802.11b lub 802.11g wyśle mniejszą ilość danych w tym samym czasie niż klient z urządzeniem 802.11n lub 802.11ac. Aby poprawić wydajność sieci w środowisku mieszanym, które wykorzystuje transmisję w standardzie 802.11b/g oraz 802.11n/ac, punkt dostępowy promuje urządzenia nowszego typu, dając im możliwość wysłania kolejnych pakietów. 13

Moc nadawania punktu dostępowego bezpośrednio przekłada się na zwiększenie lub zmniejszenie zasięgu sieci radiowej na danym obszarze. Adaptive Rate Control Dwa kolejne mechanizmy, Adaptive Rate Control oraz Channel Reuse, pozwalają sterować zasięgiem komórki bezprzewodowej oraz progiem, do którego punkt dostępowy jest w stanie dekodować transmisję danych w sieci bezprzewodowej. Na zasięg komórki bezprzewodowej wpływa szereg czynników, do których należą moc nadawania, typ anten oraz szybkość transmisji danych z jaką punkt dostępowy dekoduje dane odebrane od klientów. Moc nadawania punktu dostępowego bezpośrednio przekłada się na zwiększenie lub zmniejszenie zasięgu sieci radiowej na danym obszarze. Kolejnym czynnikiem wpływającym na zasięg jest szybkość transmisji danych. Punkt dostępowy może dekodować modulację 256 QAM wyłącznie przy wysokiej jakości sygnału radiowego. Wyłączenie możliwości obniżenia parametru data rate do najniższych wartości (1 Mbit/s, 2 Mbit/s, 5,5 Mbit/s) prowadzi automatycznie do zmniejszenia obszaru komórki bezprzewodowej. Wynika to z faktu, że klient bezprzewodowy, oddalający się od punktu dostępowego, nie będzie mógł uprościć używanej modulacji, a więc obniżyć progu czułości karty sieciowej. Skutkiem tego jest zawężenie komórki radiowej, która ma o tyle większy zasięg, ile klientów znajduje się na jej brzegu. Jeśli skraj komórki radiowej przesuniemy bliżej punktu dostępowego, to jednocześnie anteny dookólne naszych klientów nie będą wypromieniowywać energii jeszcze dalej, poza obszar danej komórki radiowej. Podejście to pozwala zauważalnie zmniejszyć przesłuch pomiędzy punktami dostępowymi pracującymi na tym samym kanale. Wyłączenie możliwości utrzymywania połączeń przy najniższych wartościach data rate niesie ze sobą także negatywne konsekwencje. Zmniejszenie zasięgu prowadzi bowiem do problemów z transmisją. W środowisku wysokiej gęstości, w której występuje duże upakowanie punktów dostępowych, zaleca się wyłączenie najniższych wartości data rate, podczas gdy w infrastrukturze sieciowej, w której zauważamy słaby stosunek sygnału do szumu, warto pozostawić klientom możliwość obniżenia szybkości transmisji danych do minimalnego poziomu. Dotychczas wprowadzenie takich ustawień wymagało ręcznej zmiany konfiguracji sieci bezprzewodowej przez administratora. W przypadku najnowszych produktów HP proces ten został zautomatyzowany. Kontroler automatycznie wyłącza niskie wartości data rate w przypadku wzrostu kolizji na kanale radiowym. Prowadzi do zmniejszenia komórki radiowej oraz ograniczenia przesłuchu występującego na dwóch sąsiadujących punktach dostępowych. Innymi słowy, niskie data rate warto wyłączyć, jeśli mamy dużą gęstość klientów, a kanały radiowe pozbawione są dużej ilości szumów i ponownie (automatycznie) włączyć, jeśli w eterze pojawi się więcej zakłóceń. Podejście to nabiera szczególnego znaczenia z uwagi na fakt, że ruch rozgłoszeniowy typu broadcast i multicast zawsze przekazywany jest z najniższym dostępnym data rate. Channel Reuse Mechanizm Channel Reuse pozwala sterować progiem czułości punktu dostępowego. Dla przykładu: z karty katalogowej możemy wyczytać, że wybrany przez nas model potrafi dekodować dane przy mocy sygnału na poziomie -95 decybeli. Zazwyczaj próg dekodowania na urządzeniu klienta ustawiony jest nieco wyżej, co powoduje że transmisja danych na tym poziomie, i tak nie będzie mogła być prowadzona. Wysoki próg czułości punktu dostępowego oznacza, że jest on w stanie dekodować na tym samym kanale sygnał pochodzący z odległej komórki. Innymi słowy, punkt dostępowy przestanie nadawać z uwagi na fakt, że będzie słyszał sygnał sąsiedniej komórki na tak niskim poziomie, którego nie usłyszy żaden klient 14

bezprzewodowy. W rezultacie prowadzi to do wytworzenia bardzo dużej domeny kolizyjnej. Administrator, korzystając z mechanizmu Channel Reuse, może sztucznie zwiększyć próg czułości punktu dostępowego np. do pożądanego poziomu -80 decybeli, pomimo że według specyfikacji, punkt dostępowy jest w stanie dekodować sygnał na poziomie -95 decybeli. Sygnał poniżej -80 decybeli traktowany jest jako szum, dzięki czemu punkt dostępowy może rozpocząć wysyłanie swoich pakietów, bez oczekiwania na zakończenie transmisji. Mechanizm Channel Reuse wydatnie redukuje domenę kolizyjną, poprawiając wydajność komórki radiowej w przypadku gęsto upakowanych punktów dostępowych oraz sąsiednich sieci bezprzewodowych, słyszalnych jedynie w oddali. Optymalizacja ruchu multicast W sieciach bezprzewodowych ruch typu multicast przesyłany jest zawsze z najniższą prędkością transmisji danych, która zostanie ustalona między klientem, a punktem dostępowym. Produkty HP wyposażono w mechanizm, który pozwala zoptymalizować ruch multicast w sieci bezprzewodowej. Działanie tego mechanizmu polega na konwersji ruchu typu multicast do ruchu typu unicast, który może być lepiej obsłużony przez punkt dostępowy. Konwersja ta odbywa się dla wybranej grupy klientów, bowiem istnieje pewna granica, której nie możemy przekroczyć. Administrator definiuje maksymalną liczbę strumieni multicast, które mogą być konwertowane do ruchu typu unicast. Domyślnie, próg ten wynosi sześć strumieni dla pojedynczego punktu dostępowego. Administrator ustala akcję, która zostanie podjęta, jeśli siódmy klient będzie chciał pozyskać ruch z grupy multicast. Pierwszy wariant zakłada konwersję ruchu dla pierwszych sześciu klientów, przy czym każdy kolejny użytkownik zostanie obsłużony w normalny sposób. Druga metoda polega na przejściu na tradycyjny ruch multicastowy, a zatem rezygnację z konwersji ruchu multicast do ruchu typu unicast, dla wszystkich klientów podłączonych w danej chwili do punktu dostępowego. Mechanizm optymalizacji ruchu multicastowego jest odpowiedzią m.in. na wzrost ruchu wideo przekazywanego w sieciach bezprzewodowych. Przełączenie ruchu typu multicast na unicast pozwala znacznie poprawić wydajność transmisji wideo, ale dotyczy to wyłącznie sytuacji, w której do punktu dostępowego podłączona jest niewielka liczba klientów. W przypadku dużej liczby klientów, korzystających z tego samego punktu dostępowego, korzystniejsze jest zachowanie tradycyjnego modelu transmisji danych multicast. Wbudowany IPS Kontrolery HP wyposażone są w system wykrywania i zapobiegania włamaniom IPS/IDS, skorelowany z centralnym systemem zarządzania. W trakcie wolnych przebiegów punkt dostępowy skanuje swoje otoczenie, a raczej wszystkie kanały radiowe, w celu ochrony sieci bezprzewodowej przed zagrożeniem. Wdrożenie tego mechanizmu nie wymaga zakupu dodatkowych licencji, a zatem ponoszenia dodatkowych kosztów na rozbudowę systemu zabezpieczeń. Dodatkowo płatny jest natomiast moduł do systemu zarządzania, który pozwala rejestrować i wizualizować zebrane dane w ujęciu historycznym. Oprócz wbudowanej zapory sieciowej (firewall), kontrolery bezprzewodowe HP wyposażone są w mechanizm, który weryfikuje skojarzenia adresów MAC klientów z przydzielonymi im adresami IP. Funkcja ta ma na celu przeciwdziałanie zmianom adresu IP przez użytkownika. Wszystkie te trzy, wbudowane w oprogramowanie urządzeń mechanizmy, wydatnie przyczyniają się do poprawy dostępności i niezawodności sieci bezprzewodowej. W ofercie HP znajdziemy także dedykowany system IPS/IDS dla sieci bezprzewodowych skierowany dla klientów, którzy oczekują Oprócz wbudowanej zapory sieciowej (firewall), kontrolery bezprzewodowe HP wyposażone są w mechanizm, który weryfikuje skojarzenia adresów MAC klientów z przydzielonymi im adresami IP. 15

wysokich standardów bezpieczeństwa i dysponują własnym zespołem zajmujący się bezpieczeństwem sieci. VIP Channel VIP Channel to funkcja, która pozwala przełączać ruch z sieci dla gości do dedykowanego kontrolera uruchomionego w sieci zdemilitaryzowanej (DMZ). Funkcja ta współpracuje z rozproszonym mechanizmem autentyfikacji webowej, umożliwiając przekierowanie w bezpiecznym tunelu całego ruchu z sieci gościnnej do jednego dedykowanego urządzenia (kontrolera), zainstalowanego w chronionym segmencie infrastruktury sieciowej przedsiębiorstwa. Innymi słowy, ruch z sieci dla gości może zostać scentralizowany, podczas gdy ruch z pozostałych sieci korporacyjnych przełączany lokalnie lub przekazywany do innego, wydzielonego temu zadaniu kontrolera. Wysoka dostępność Sieci bezprzewodowe budowane na bazie produktów HP mogą być wdrażane w trybie wysokiej dostępności. Ciekawym mechanizmem, pozwalającym wprowadzić nadmiarowość w urządzeniach sieci Wi-Fi, jest funkcja hot backup 1+1, która wymusza wyznaczenie pary redundantnych kontrolerów do obsługi każdego punktu dostępowego. W pojedynczym punkcie dostępowym ustanawiane są dwa tunele, po jednym do każdego z nadrzędnych kontrolerów. Kontrolery synchronizują między sobą informacje o swoim stanie, tak więc kontroler zapasowy może natychmiast stwierdzić utratę połączenia (heartbeat) z kontrolerem podstawowym. Wykorzystując wcześniej zestawiony tunel, kontroler zapasowy automatycznie przejmuje kontrolę nad punktem dostępowym. Efektem tej operacji jest przełączenie ruchu do kontrolera zapasowego. Kontroler podstawowy i zapasowy na bieżąco synchronizują informacje o uwierzytelnionych użytkownikach (dotyczy sesji 802.1x oraz klientów uzyskujących dostęp za pomocą portalu webowego) oraz adresach IP przydzielonych klientom z serwera DHCP. W trakcie przełączania do kontrolera zapasowego zachowany zostaje stan sesji użytkowników, co eliminuje konieczność przeprowadzenia ponownego uwierzytelniania w dostępie do zasobów sieci. Ma to kluczowe znaczenie w przypadku większych sieci, w których ponowna, pełna reautentykacja klientów wygenerowałaby ogromny ruch do serwerów uwierzytelniających i jednocześnie zaprowadziła by do istotnych opóźnień przy przełączaniu ruchu. Przypomnijmy, że najbardziej wydajny kontroler HP klasy enterprise jest w stanie kontrolować nawet 1,5 tysiąca punktów dostępowych jednocześnie. Gdy uwzględnimy kilku klientów podłączonych do pojedynczego punktu (asocjacja, autoryzacja) daje to ogromną liczbę klientów, które wymagały by ponownego uwierzytelnienia w tym samym czasie. Mechanizm redundancji 1+1 zaimplementowany w rozwiązaniach HP gwarantuje komfort pracy w sieci bezprzewodowej nawet przy awarii podstawowego kontrolera sieci. Sieci definiowane programowo Firma HP stale pracuje nad nowymi technologiami, dzięki którym sieci bezprzewodowe będą mogły działać jeszcze lepiej, niż dotychczas. Przyszłość ta bez wątpienia należy do sieci definiowanych programowo (Softwaredefined networking, SDN) oraz technologii OpenFlow, które stanowią znakomite uzupełnienie i rozszerzenie stosowanych obecnie w sieciach przewodowych i bezprzewodowych mechanizmów. Technologia SDN zmienia sposób postrzegania urządzeń w sieciach LAN/WLAN. SDN pozwala odłączyć od warstwy sprzętowej logikę zarządzania urządzeniami sieciowymi i zgrupować ją w postaci pojedynczego systemu operacyjnego, który zawiaduje całą infrastrukturą sieciową w organizacji. Wymaga to zastosowania standardowego interfejsu (protokołu) OpenFlow, który pozwala ujednolicić 16

komunikację oraz zarządzanie między poszczególnymi urządzeniami sieciowymi, niezależnie od ich producenta. Kontroler SDN/OpenFlow to urządzenie z zainstalowanym sieciowym systemem operacyjnym, który zarządza i kontroluje pracę wszystkich podległych mu elementów sieci. Na kontrolerze uruchamiane są aplikacje, które pozwalają wdrażać nowe funkcjonalności w sieciach przewodowych, a w przyszłości także w bezprzewodowych. Obecne rozwiązania dla SDN dotyczą głównie sieci przewodowych, choć wielu producentów, w tym HP, prowadzi prace rozwojowe and stworzeniem układu, który będzie wspierał mechanizmy na urządzeniach bezprzewodowych, czyli kontrolerach i punktach dostępowych. Mówiąc bardziej obrazowo: w sieciach komputerowych, których idea zrodziła się jeszcze w czasach zimnej wojny, każde urządzenie sieciowe podejmuje autonomiczne decyzje, tak aby wyłączenie pojedynczego węzła nie prowadziło do awarii dużego segmentu sieci. SDN wymieniany jest w kontekście budowy nowoczesnych centrów danych, choć w firmie HP uważa się, że tego typu rozwiązania równie dobrze w sieciach korporacyjnych i kampusowych. To właśnie dlatego HP inwestuje w rozwój technologii, czego przykładem może być wsparcie infrastrukturalne dla OpenFlow występuje obecnie w wielu rodzinach przełączników. Wsparcie dla OpenFlow zostało zaimplementowane w przełącznikach warstwy dostępowej, czyli w urządzeniach oferujących interfejsy Gigabit Ethernet z obsługą PoE, natomiast w warstwie zarządzania HP rok temu wprowadziła do oferty własny kontroler SDN. Mamy więc tutaj do czynienia z dopracowanym, stabilnym rozwiązaniem, które już dzisiaj może być wdrażane produkcyjne. Całość rozwiązań do zarządzania infrastrukturą uzupełnia konsola IMC, która komunikuje się z kontrolerem SDN i potrafi nim zarządzać na odległość. Aplikacje SDN HP uruchomiła sklep, w którym partnerzy mogą zamieszczać i sprzedawać aplikacje, rozszerzające funkcjonalność sieci SDN o dodatkowe elementy. Nie będziemy się tym jednak szerzej zajmować w tym miejscu. W artykule omówimy natomiast trzy aplikacje SDN rozwijane bezpośrednio przez HP. Network Protector to aplikacja pozwalająca kontrolować zapytania DNS pochodzące od klientów sieci z bazą reputacji prowadzoną przez tipping point. Jest to dział firmy HP zajmujący się dostarczaniem rozwiązań dla systemów bezpieczeństwa, IPS/IDS itd. Każde zapytanie DNS, które pojawi się w sieci przedsiębiorstwa, jest przetwarzane przez Network Protector. Aplikacja weryfikuje, czy ruch dotyczący sesji dla domeny, której dotyczyło zapytanie, uważany jest za bezpieczny, czy też należy go zablokować, aby zabezpieczyć urządzenie klienta. Blokowanie to odbywa się na poziomie przełącznika dostępowego, do którego podłączony jest klient bezprzewodowy. W przyszłości planuje się rozszerzenie funkcjonalności tego mechanizmu, aby blokować niepożądany ruch bezpośrednio na punkcie dostępowym. Co ważne, funkcja Network Protector działa zarówno w sieci przewodowej oraz bezprzewodowej pozwalając obserwować ruch wychodzący z urządzeń klienckich i blokować go już na poziomie infrastruktury dostępowej. W tym kontekście Network Protector stanowi rozszerzenie funkcji oferowanych przez klasyczne systemy antywirusowe i systemy IPS/IDS. Network Optimizer dla Lync Network Optimizer dla Lync to kolejna aplikacja dla systemu SDN, która integruje się z oprogramowaniem zintegrowanej komunikacji firmy Microsoft po to, by skuteczniej oznaczać ruch głosowy w sieci i zapewnić mu wymagany poziom jakości. 17

HP prowadzi intensywne prace nad rozwojem aplikacji SDN, która umożliwi poprawę dokładności lokalizacji urządzeń w sieci bezprzewodowej. Usługa Lync wykorzystuje dynamiczne porty, aby ustanowić połączenie między urządzeniami biorącymi udział w komunikacji głosowej lub wideo. W sieciach komputerowych implikuje to trudności z przypisywaniem priorytetów QoS dla pakietów generowanych przez aplikację Lync. Dzięki integracji Network Optimizer z serwerem Lync aplikacja wie pomiędzy jakimi adresami IP oraz na jakich portach ustanowiono połączenie głosowe. Network Optimizer przekazuje tę informację do kontrolera OpenFlow, który konfiguruje odpowiedni priorytet QoS dla danego strumienia danych, wychodzącego z brzegowych przełączników. W ten sposób kontroler może przypisać wymagany priorytet dla ruchu głosowego i wideokonferencji prowadzonych w oprogramowaniu Microsoft Lync. Dokładna lokalizacja urządzeń HP prowadzi intensywne prace nad rozwojem aplikacji SDN, która umożliwi poprawę dokładności lokalizacji urządzeń w sieci bezprzewodowej. Obecnie stosowane rozwiązanie pozwalają ustalić położenie klienta z dokładnością do 10-15 metrów. Szacuje się, że dzięki wdrożeniu mechanizmów SDN/OpenFlow dokładność lokalizacji będzie mogła być zwiększona do ok. 2 metrów. Aplikacja, która mogłaby zrealizować te założenia już istnieje; znajduje się w fazie testowej i jest intensywnie rozwijana przez HP. Zakłada się, że aplikacja ta okaże się znakomitym przykładem, jak w praktycznych zastosowaniach wykorzystać możliwości jakie niesie ze sobą połączenie rozwiązań SDN z optymalnie działającą, dobrze skonfigurowaną siecią bezprzewodową. W HP dąży się do tego, aby poprzez unifikację sieci LAN i WLAN, doprowadzić do stanu, w której cała infrastruktura sieciowa będzie ze sobą współgrała, a żaden z jej elementów nie będzie samotną wyspą na bezkresnym oceanie. Kolejnym celem HP jest przekazanie administratorom dobrych narzędzi do zarządzania infrastrukturą sieciową oraz przeniesienie jej na wyższy poziom dzięki integracji z technologiami takimi jak SDN/OpenFlow. Sieć dla szpitala Referencyjnym przykładem wykorzystania produktów HP Networking może być infrastruktura sieciowa w Szpitalu nr 4 z Lublina, która w całości została zaprojektowana i zbudowana z produktów HP Networking. Placówka ta zdecydowała się dostarczać nowoczesne usługi sieciowe w obszarze medycznym oraz obsługi pacjenta. Szybki, stabilny dostęp do internetu zapewnia pacjentom komfort przebywania na oddziale szpitalnym w trakcie rekonwalescencji. Z kolei w kwestiach związanych z obsługą aparatury medycznej sieć bezprzewodowa pomogła uprościć pewne mechanizmy diagnostyczne, czego przykładem może być ograniczenie konieczności noszenia kaset do skanerów. Wszystkie te założenia udało się z powodzeniem zrealizować stosując produkty HP. Standard 802.11ac daje nowe możliwości w budowie sieci bezprzewodowych, choć niesie ze sobą także pewne zagrożenia. Z całą pewnością nie może tutaj być mowy o złotej pigułce na wszystkie problemy sieci Wi-Fi, z którymi stykaliśmy się dotychczas. Podsumowanie Wzrost zapotrzebowania na pasmo i w końcu wyższe zaszumienie kanałów radiowych powodują, że współczesne urządzenia sieciowe muszą mieć zaimplementowane narzędzia, które zoptymalizują działanie sieci bezprzewodowej oraz zautomatyzują prace wykonywane dotychczas przez administratorów. Unifikacja mechanizmów zarządzania pozwala administratorom w pełni spojrzeć na warstwę dostępową do zasobów sieci, zarówno jej część przewodową, jak i bezprzewodową, aby w prosty sposób móc diagnozować problemy oraz wykrywać potencjalne zagrożenia. Na rynku pojawiają się urządzenia (kontrolery, punkty dostępowe), które zapewniają nieporównywalnie wyższą elastyczność w obszarze przełączania ruchu w sieci niż dotychczas stosowane rozwiązania. Kwestie bezpieczeństwa w sieciach bezprzewodowych zawsze miały najwyższy priorytet i obecnie, wraz ze wzrostem liczby urządzeń mobilnych, nie tracą na znaczeniu. Wręcz przeciwnie, dlatego też administratorzy powinni mieć nie tylko świadomość zagrożeń, ale także dostęp do mechanizmów i narzędzi, które pozwolą zagwarantować bezpieczeństwo sieci komputerowych. Przyszłość rysuje się ciekawie także za sprawą systemów SDN/OpenFlow. Możliwości, które niesie ze sobą wdrożenie tego modelu zarządzania infrastrukturą sieciową są bardzo interesujące, czego przykładem mogą być omówione wcześniej aplikacje SDN do zabezpieczania sieci (Network Protector), optymalizacji ruchu głosowego i wideo (Network Optimizer) oraz dokładniejszej lokalizacji urządzeń Wi-Fi. 18