Хороший Wi-Fi для предприятия: от А до Я
Wi-Fi не так прост, как кажется на первый взгляд, и чем больше его изучаешь, тем сложнее, тут важно вовремя остановиться и выделить главное. Давайте рассмотрим все аспекты беспроводных технологий, которые надо не забыть, если хотим сделать хороший Wi-Fi («ловит сеть» там где надо, с требуемой скоростью, и чтобы при премещении «ни единого разрыва»).
Базовый набор книг для сдачи CCNP Wireless
Юридические моменты
Чтобы однажды не было мучительно больно, лучше сразу изучить что разрешено, что запрещено, а для чего требуется согласование. Вот что надо узнать из законодательства той страны, где планируется развернуть Wi-Fi:
Разрешенные для использования каналы;
Разрешенные мощности точек доступа Wi-Fi, а вернее, максимально разрешенные EIRP (сумма мощности передатчика и коэффициента усиления антенны);
Возможность использование диапазона 5 ГГц на улице или необходимость получения согласования (конечно, только если требуется уличный Wi-Fi).
Как выбрать оборудование
Выбор оборудования Wi-Fi даже для дома — это уже не так просто. В зависимости от задач и бюджета, можно кратко определить для себя что вам требуется и на основании этого сделать выбор. Ниже пройдемся по основным технологиям беспроводных сетей.
Коротко о базовых стандартах IEEE 802.11
IEEE 802.11b (очень устаревший стандарт, маловероятно что может потребоваться для специфичных устройств);
IEEE 802.11g (устаревший стандарт, но может потребоваться для специфичных устройств);
IEEE 802.11n (устаревающий стандарт, еще много устройств работают на нем);
IEEE 802.11ac (современный стандарт для большинства новых устройств);
IEEE 802.11ax (относительно новый стандарт, с заделом на будущее).
Выводы: разница между оборудованием с поддержкой IEEE 802.11ac и IEEE 802.11ax может быть существенной, а клиентских устройств с поддержкой IEEE 802.11ax на предприятии может не быть еще несколько лет.
Коротко о стандартах безопасности Wi-Fi
При выборе оборудования лучше чтобы оно поддерживало следующие стандарты шифрования:
WPA2 (Wi-Fi Protected Access 2) с применением метода CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) и алгоритма AES (Advanced Encryption Standard);
WPA3 (Wi-Fi Protected Access 3).
Выводы: поддержка WPA3 весьма желательна, только если нет задачи суровой экономии на оборудовании и приобретении точек доступа из серии SOHO (хотя и там все больше и больше производителей добавляют поддержку WPA3 на старших моделях).
Коротко о роуминге Wi-Fi
Роуминг — это отдельная и сложная тема для обсуждения, но попробуем очень емко и коротко разобраться в сути этого вопроса. Есть два принципиальных типа механизма перехода клиента от одной точки доступа к другой:
Brake before make — клиентское устройство отключается от текущей точки доступа, затем подключается к другой точке доступа. В случае использования 802.1x это в среднем занимает 700 мс плюс задержка до RADIUS сервера. Технологии:
CCKM (Cisco Centralized Key Management) — проприетарный стандарт, требует поддержки CCXv5 на клиентских устройствах. В общем, устаревшая и не актуальная технология;
OKC (Opportunistic Key Caching) — уже устаревший стандарт, требует суппликантов такие как Microsoft WZC или Juniper OAC. В общем, устаревшая и не актуальная технология;
FT (Fast BSS Transition), стандарт IEEE 802.11r — современная технология быстрого роуминга.
Make before brake — клиентское устройство заранее проводит »4-way handshake» с новой точкой доступа, и уже только после этого отключается от текущей точки доступа и переключается на новую точку доступа. Технологии:
Radio Resource Management, стандарт IEEE 802.11k — точки доступа сообщают клиенту о радио обстановке, подсказывая на какую точку доступа лучше перейти;
Стандарт IEEE 802.11v — переход клиентского устройства на смежный диапазон после получения информации от точки доступа, плюс возможность энергосбережения для клиентского устройства;
Optimized roaming (возможность отключения низких скоростей соединения) —вынуждают клиентское устройство переключиться на точку доступа с лучшим уровнем сигнала, метод борьбы со «sticky» клиентами.
Выводы: главное помнить, что решение о роуминге принимает только клиентское устройство, а приведенные выше технологии только помогают устройству принять правильное решение о переходе с одной точки доступа на другую, а некоторые технологии позволяют помочь это сделать с минимальным временем простоя. Ключевые технологии, поддержку которой лучше точно иметь на оборудовании — это FT IEEE 802.11r и Optimized roaming.
Коротко про защиту от DoS атак
Два вида трафика между клиентом и AP
Между клиентским устройством и точкой доступа есть два вида трафика:
Зашифрованный пользовательские данные;
Не зашифрованные служебные данные.
Ниже варианты технологий, которые защищают соединение между клиентским устройством и точкой доступа, не позволяя злоумышленнику отправить ложные сообщения, такие как, de-auth фреймы, которые будут отключать соединение:
PMF (Protected Management Frame), стандарт IEEE 802.11w. Позволяет шифровать служебные сообщения (Management frame, Control frame), можно сделать это опциональным или обязательным параметром (если все клиентские устройства поддерживают PMF);
MFP (Management Frame Protection), проприетарный протокол, требует чтобы клиентское устройство было совместимо с CCXv5 (Cisco Compatible Extension). Так как CCXv5 широко распространен на клиентских устройствах, поэтому можно рассмотреть MFP к реализации;
В 802.11ac и 802.11ax шифрование служебных сообщений уже определено в самих стандартах.
Выводы: если нет возможности использовать только 802.11ac и 802.11ax, то необходима поддержка IEEE 802.11w (в опциональном режиме) или MFP (только в особенных случаях).
Коротко про Rogue AP
Будет плюсом, если система Wi-Fi будет иметь возможность детектировать сторонние точки доступа и как-то с ними бороться. Например, если злоумышленник настроит Wi-Fi с SSID идентичный вашему, то у него будет возможность перехватить пароль при попытке пользователя подключиться к сети. Базовый функционал:
Обнаружение Rogue AP (сторонние точки доступа с аналогичным или частично похожим на ваш SSID);
Борьба с Rogue AP — посылать de-auth сообщения клиентам, ассоциированным с найденной сторонней точкой доступа по заранее заданным правилам на основе таких параметров как:
Содержание определенного текста в SSID;
Уровень принимаемого сигнала от Rogue AP;
Количество ассоциированных устройств;
Продолжительность подключения.
Добавление Rogue AP в список дружественных.
Коротко про Band select
Технология Band select позволяет отключать клиента от диапазона 2.4 ГГц, если клиент поддерживает работу в диапазоне 5 ГГц. Это позволяет повысить емкость сети. Данный механизм может навредить работе Wi-Fi, но будет хорошо, если у выбранного оборудования будет такой функционал.
Коротко про Beamforming
Технология Beamforming позволяет формировать индивидуальную диаграмму направленности для конкретного клиента, тем самым улучшая радио канал. Но не стоит основательно полагаться на эту технологию, так как это только хорошее дополнение и оно не может быть учтено при радио планировании.
Как и где расположить точки доступа
Планирование (в том числе и моделирование) Wi-Fi сети может включать в себя несколько основных этапов:
1) Определить зону покрытия, понять какие будут клиентские устройства, узнать требования по пропускной способности и емкости сети (если есть места высокой плотности клиентов);
2) Определить Offset (разница в уровне принимаемого сигнала между самым слабым клиентским устройством и тем устройством, которым будет выполняться радио обследование). Группа энтузиастов уже провела ряд таких измерений и выложила результаты на https://rssicompared.com/;
3) Определение требований к зонам покрытия: уровень сигнала, перекрытие зон, channel overlap.
4) Определение требований к соотношению сигнал / шум (SNR) может иметь место только в том случае, если есть возможность заранее определить уровнь шума и этот уровень шума неизменный. Обычно уровень шума -90дБм, но если на объекте есть какие-либо особенные устройства, то лучше учесть это заранее, замерив уровень шума для учета в моделировании;
5) Определение мощности передатчиков Wi-Fi на основании требований к покрытию, типов клиентов и требований к высокой плотности клиентов;
6) При необходимости, произвести расчет плотности Wi-Fi (в помощь http://revolutionwifi.blogspot.com/);
7) Проверка модели с тестовой точкой доступа («AP on a stick»).
Общие вопросы настройки Wi-Fi
1) Мощности передатчиков Wi-Fi
В идеале, мощность передачи должна быть выставлена автоматически, но контроллер не всегда принимает правильные решения, поэтому рекомендуется ограничить выбор мощности минимальными и максимальными значениями, при этом не забывать что EIRP должен удовлетворять установленным нормам страны. Выбор мощности — это комплексный вопрос и ориентироваться надо на радио моделирование, мощности передатчиков клиентских устройств и законодательство страны.
Для того чтобы не было асинхронности в канале, мощность передатчика точки доступа должна быть не выше чем мощность передатчика клиентского устройства.
Тоже самое, но на практике:
В таблице ниже приведены примерные мощности Wi-Fi для разных типов устройств
дБм | мВт | Типы устройств | Комментарии |
0 | 1.0 | Любые устройства | Низкие мощности, как правило, выбираются с целью удовлетворения требований по емкости сети (высокая плотность точек доступа и клиентских устройств) |
1 | 1.3 | ||
2 | 1.6 | ||
3 | 2.0 | ||
4 | 2.5 | ||
5 | 3.2 | ||
6 | 4.0 | ||
7 | 5.0 | ||
8 | 6.3 | Планшеты, смартфоны | |
9 | 7.9 | ||
10 | 10.0 | Средние мощности, как правило, выбираются с целью удовлетворения требований по покрытию сети. | |
11 | 12.6 | ||
12 | 15.8 | ||
13 | 20.0 | ||
14 | 25.1 | ||
15 | 31.6 | Ноутбуки | |
16 | 39.8 | ||
17 | 50.1 | Прочие специфичные устройства | Высокие мощности, как правило, выбираются в специфических случаях. |
18 | 63.1 | ||
19 | 79.4 | ||
20 | 100 |
Следует учитывать уровни мощности клиентских устройств, чтобы не было ассиметрии на радио канале.
Ассиметрия = TxPower_AP — TxPower_Client — RxSens_AP — Rx_Sens_Client
Ввиду того, что чувствительность приемника на точке доступа как правило чуть выше чем у клиентского устройства, мощность передачи точки доступа может быть чуть выше, чем мощность передачи клиентского устройства, но на практике на это лучше не полагаться.
Следующий аспект выбора мощности — это EIRP (Effective Isotropic Radiated Power, (Эквивалентная изотропная излучаемая мощность)
EIRP = TxPower_AP (dB) + Antenna_gain (dB)
Пример максимально разрешенных EIRP на разных каналах в диапазоне 5 ГГц в России и Великобритании:
2) Выбор каналов Wi-Fi
В диапазоне 2.4 ГГц все просто: только три не пересекающихся канала: 1, 6, 11. Ширина каналов в диапазоне 2.4 ГГц должна быть 20 МГц (если только вы не один в лесу). Выбор полосы в 40 МГц уменьшит количество не перекрываемых каналов с 3 шт до 1 шт, а так же усилит влияние от других точек доступа и итоговая скорость передачи данных может даже понизиться.
В диапазоне 2.4 ГГц, как правило, хватает каналов из двух диапазонов: UNII-1 и UNII-2. Если в процессе настройки или проектирования выявится потребность использования дополнительных каналов, их можно будет расширить, ссылаясь на перечень разрешенных к использованию каналов. Каналы из диапазонов UNII-1 и UNII-2 наиболее широко распространены по миру, поэтому их использование будет с наибольшей вероятностью гарантировать работу клиентского устройства, привезенного из другой страны.
Ширина каналов в диапазоне 5 ГГц может быть 20/40/80 МГц. Как показывает практика, выбор 80МГц не всегда ведет к стабильной работе, поэтому выбор в пользу 40МГц наиболее оптимален. В сетях большим количеством и высокой плотностью точек доступа следует выбирать ширину канала 20 МГц.
3) Отключение низких скоростей или Optimized roaming
Ниже приведена наиболее общая рекомендация по отключению низких скоростей. Рекомендуется делать по-другому только в случае специфичных клиентских устройств.
Диапазон 2.4 ГГц | Диапазон 5 ГГц | ||
Скорость соединения | Настройки | Скорость соединения | Настройки |
1 Мбит/с | disabled | - | - |
2 Мбит/с | disabled | - | - |
5.5 Мбит/с | disabled | - | - |
11 Мбит/с | disabled | - | - |
6 Мбит/с | disabled | 6 Мбит/с | disabled |
9 Мбит/с | disabled | 9 Мбит/с | disabled |
12 Мбит/с | disabled | 12 Мбит/с | disabled |
18 Мбит/с | disabled | 18 Мбит/с | disabled |
24 Мбит/с | mandatory | 24 Мбит/с | mandatory |
36 Мбит/с | supported | 36 Мбит/с | supported |
48 Мбит/с | supported | 48 Мбит/с | supported |
54 Мбит/с | supported | 54 Мбит/с | supported |
4) Роуминг
Для комфортного восприятия голоса необходимо чтобы delay был не более 200 мс, а packet loss не более 2%, поэтому роуминг наиболее критичен для разговоров или видео связи.
FT (Fast BSS Transition), стандарт IEEE 802.11r, позволяет создавать пре-аутентификацию с точками доступа заранее, что может сократить время роуминга с 700 мс до 50–100 мс. Рекомендуется включить в адаптивном режиме для совместимости с беспроводными устройствами, которые не поддерживают данный стандарт;
Radio Resource Management, стандарт IEEE 802.11k, позволяет точкам доступа выполнять определение состояния радиоэфира и передавать эти данные беспроводным устройствам. Стандарт IEEE 802.11k не рекомендуется включать без явной надобности, т.к. фреймы с данными IEEE 802.11k могут не поддерживаться клиентскими устройствами и вызвать отключение устройства от БЛВС. Применение стандарта возможно только после тестирования технологии на всех типах беспроводных устройств;
Стандарт IEEE 802.11v делится на два компонента. Первый компонент стандарта позволяет установить повышенный тайм-аут для клиента, не требуя от него частых сообщений keep-alive, что экономит энергию. Второй компонент стандарта описывает процедуру перехода клиентского устройства на смежный диапазон после получения информации от точки доступа. Рекомендуется включить первый компонент (в ключе сохранения энергии). Применение второго компонента не требуется и возможно только после тестирования технологии на всех типах беспроводных устройств;
Optimized roaming. Для принудительного переключения беспроводных клиентов на ближайшую точку доступа и решения проблемы «sticky-client» требуется выключить низкие скорости соединения (было описано выше).
5) Beamforming
Если оборудование поддерживает технологию beamforming, то ее можно включить, но не стоит забывать, что одно из условий корректной работы технологии beamforming на точках доступа с внешними антеннамми — это корректное расположение антенн в пространстве, они должны быть расположены в одинаковом направлении, а не так как показано на маркетинговых слайдах.
6) 802.11e (WMM — Wireless Multimedia)
Особенность Wi-Fi — это наличие общей среды передачи данных для всех устройств. Так называемый Air-Time является ограниченным и общим ресурсом для всех участников сети Wi-Fi. SCMA/CD заменяется на SCMA/CA. Какое из устройств Wi-Fi на рисунке ниже первым получит доступ к среде?
Стандартом 802.11e предусмотрены разные окна ожидания (contention windows) для разных категорий доступа. Чем меньше окно ожидания, тем больше шансов получить первым доступ к среде передачи. Есть три режима WMM:
Disabled. Может подключиться любой клиент, 802.11n работать не будет. Клиентское устройство может отправлять весь трафик с максимальным значением QoS;
Enabled. Любой клиент может подключиться. Если клиентское устройство не поддерживает WMM, то может отправлять весь трафик с максимальным значением QoS. Если клиентское устройство поддерживает WMM, то ведет себя как в режиме Required;
Required. Только клиент с поддержкой WMM может подключиться. Оборудование Wi-Fi конвертирует значения 802.11e priority в DSCP.
7) Пример таблицы параметров SSID
Настройки всех SSID удобно свести в одну таблицу, например:
Umbrella_corporate | Umbrella_cleaners | Umbrella_guest | |
Вещание SSID в beacon | Да | Нет | Да |
VLAN | 10 | 20 | 30 |
Аутентификация | IEEE 802.1x | PSK: ************* | WEB портал |
Тип EAP | EAP-TLS | - | - |
Шифрование | WPA-3 | WPA-2 | WPA-2, WPA-3 |
WLAN QoS | Silver | Platinum | Silver |
Роуминг IEEE 802.11r | Включен в адаптивном режиме | Включен в адаптивном режиме | Включен в адаптивном режиме |
Роуминг IEEE 802.11k | Выключен | Выключен | Выключен |
Роуминг IEEE 802.11v | Включен в ключе сохранения энергии | Включен в ключе сохранения энергии | Включен в ключе сохранения энергии |
WMM | Включен в режиме Required | Включен в режиме Required | Включен в режиме Enabled |
Band select (band steering) | Выключен | Выключен | Выключен |
MFP | Включен | Включен | Включен |
Как проверить радио покрытие
Радио замеры — это не просто пройти с ноутбуком и построить тепловую диаграмму Wi-Fi. На практике встречается очень много ошибок в радио замерах, поэтому ниже приведены основные моменты, которые надо учесть до радио замеров:
Убедиться что все точки доступа работают (банально, но если какое-то количество точек будет выключено, радио замеры придется доделывать или переделывать);
Убедиться что все радио модули всех точек доступа включены;
Зафиксировать значения мощностей передачи точек доступа на момент радио замеров и убедиться что значения соответствуют требованиям (если произвести замеры на максимальных, минимальных или разных мощностях то будет сложно оценить как будет выглядеть радио покрытие после изменения настроек мощности);
Убедиться что адаптер, которым производятся замеры поддерживает все каналы Wi-Fi, которые могут быть использованы на точках доступа (иначе могут быть странные пятна на покрытии, в то время как пользователи могут быть подключены с хорошим уровнем сигнала);
Для ускорения сканирования радио эфира лучше выбрать только те каналы, которые разрешены на точках доступа (иначе придется медленно ходить, чтобы адаптер успевал перебирать все каналы);
Выключить технологию Beamforming на время радио замеров (если она используется), так как она дает не стабильный результат. Альтернативно, можно не подключаться к сети (кстати, и смартфон в кармане тоже), тогда радио замеры не будут содержать результат работы Beamforming. Но в этом случае не будет возможности проводить замеры таких параметров как delay и throughput;
Закрывать все двери во время радио замеров, так как они не радио прозрачные могут значительно влиять на результат.
Микроволновки
И напоследок, пример влияния микроволновки на скорость передачи данных по Wi-Fi.
В эксперименте выбрана микроволновка Panasonic, точка доступа Extreme Networks, ноутбук HP ProBook, анализатор спектра Chanalyzer Pro. Ноутбук расположен на столе в 1 метре от микроволновки, беспроводной адаптер ноутбука подключен к сети 2.4 ГГц. Уровень сигнала на ноутбуке от точки доступа -35 дБм.
Спектральный анализ до включения микроволновки:
Спектральный анализ после включения микроволновки:
Разница в пропускной способности сети Wi-Fi до и после включения микроволновки: