Szerző: Kocsis Tamás

2009. október 21. 09:42

Milyen szolgáltatásokat kínál a vállalati Wi-Fi?

A vállalati wireless hálózatokról szóló cikksorozat harmadik részében azokról a szolgáltatásokról lesz szó, amelyek megkönnyítik a vállalati Wi-Fi hálózat üzemeltetését és kiterjesztik a hálózatunk működését.

A vállalati Wi-Firől szóló cikksorozat első részében áttekintettük a hagyományos Wi-Fi hálózatok általános, üzemeltetési és biztonsági hiányosságait, míg a második részben bemutattuk a vállalati Wi-Fi architektúráját és funkcióit, amelyek megoldást jelentenek a rádiófrekvenciás, üzemeltetési és biztonsági problémákra. A cikksorozat befejező részében a vállalati Wi-Fi hálózatok szolgáltatásairól és az egyik legfontosabb lehetőségről, a kábeles hálózat kiválthatóságáról lesz szó.

A stabil és biztonságos kapcsolat mellett a jobb vállalati megoldások (Aruba, Cisco - gyártótól függően) számos olyan szolgáltatást képesek nyújtani, amelyek megkönnyítik a hálózat üzemeltetését vagy kiterjesztik a hálózatunk működését. A szolgáltatások egy része a vállalati Wi-Fi architektúrájából és már korábban említett funkciókból adódik, de találhatunk olyan szolgáltatást is, amely egészen átértelmezi a korábban megszokott hálózati architektúrát.

Enterprise mesh

A mesh topológia nagyon megnövelheti a vállalati wireless hálózat flexibilitását. A mesh alapját olyan AP eszközök képezik, amelyek hagyományosan, Ethernet kapcsolattal csatlakoznak a hálózathoz, és amelyekre rádiós kapcsolaton keresztül más, Ethernet-link nélküli AP eszközök csatlakozhatnak.

"Ohó, hiszen ilyen szolgáltatást a hagyományos Wi-Fi eszközök is tudnak biztosítani!" - kiáltanak fel a tapasztalt Wi-Fi-s kollégák, és máris a WDS-nél tartunk. Azonban míg a WDS egy statikus mátrix-tábla az egymáshoz kapcsolódó AP eszközök címével, a kapcsolatok sorrendjéről és útvonaláról, addig a mesh hálózat teljesen dinamikus, önmaga térképezi fel a lehetséges kapcsolódási pontokat és a beállított algoritmusok alapján mindig maga választja ki a kommunikációhoz szükséges következő AP eszközt. Bar funkciójuk ugyanaz, jól látható, hogy a mesh topológia sokkal nagyobb szabadságot nyújt és sokkal hibatűrőbb, mert ha valamely eszköz kiesik vagy túlterhelt, a rendszer automatikusan egy alternatív útvonalat állít fel a csomagok célba juttatásához.

A kiépítés alkalmazható kültéren, műemléki vagy ipari környezetben és minden olyan helyen, ahol nincs lehetőség a fizikai kábelezésre, vagy zsúfolt előadókban, konferenciákon, ahol gyorsan kell a Wi-Fi hálózat kapacitását megnövelni.

Guest Access, vendéghálózatok

Sok esetben szükség van arra, hogy létrehozzunk olyan SSID-t, amelyre a vállalat vendégei, külsős partnerek, látogatók csatlakozhatnak és elérik levelezésüket vagy böngészhetnek az interneten. A vendéghálózatok forgalmát teljesen el kell választani a vállalati forgalomtól (tűzfal és/vagy VLAN szinten, esetleg külön SSID-vel is), vagy akár egy másik csatlakozáson át kell kiengedni az internetre. A vendéghálózatokon nem alkalmazhatunk (legalábbis nem célszerű) erős autentikációs eljárásokat, hiszen akkor a vállalati autentikációs eszközökben minden vendég részére létre kell hozni egy-egy hozzáférést, gondoskodni azok érvényességéről, letiltásáról.

A vállalati wireless megoldások erre a Captive Portal (mint egy hotspot hozzáférés) alapú azonosítást használják. A vendég egy nyitott SSID-re csatlakozik, de valós elérést csak akkor kap, ha a böngészőjében azonosítja magát egy felhasználónév/jelszó párossal. Integrált guest access esetén az adatok a kontrollerben tárolódnak (de lehetőség van a külső autentikációs eszközök igénybevételére is), és az adminisztrációjuk is ott történik. Más gyártók külön Guest Access szervert értékesítenek a Wi-Fi megoldás mellé, természetesen ebben az esetben az adminisztráció is ott történik.

Egy rendszer kiválasztásakor nagyon fontos kérdés, hogy a Captive Portal felület mennyire testreszabható, mennyire igazítható a vállalat arculatához. A jobb gyártók rendszerei tetszőleges számú és a vállalat arculatához igazított (brandelt) Captive Portalt képesek kezelni, más gyártóknál viszont csak egy felület létrehozására van lehetőség és az sem teljesen testreszabható.

Az sem mindegy, hogy a menedzsment-felület mennyire ad lehetőséget arra, hogy egy asszisztens vagy recepciós munkatárs is képes legyen létrehozni a szükséges hozzáférést (Kollégák, tegyük szívünkre a kezünket! Akarunk mi magunk naponta több vendég hozzáférést kiosztani?!). A későbbi visszakeresés vagy akár egy biztonsági esemény felderítése miatt nagyon fontos, hogy a hozzáférés létrehozásakor milyen azonosító adatokat lehet felvenni a rendszerbe. A csak nevet, e-mail címet tároló megoldásokkal szemben lényegesen jobb, ha tetszőleges számú egyedi mezőt is felvehetünk, hiszen így tárolhatjuk akár a vendég személyigazolvány-számát, a meghívója nevét, pozícióját és bármilyen adatot, amely segíthet a későbbi visszakeresésben és egyértelmű azonosításban.

QoS, rádiófrekvenciás (RF) traffic shaping

A folyamatos és jó átviteli teljesítményhez elengedhetetlenül szükséges a sávszélesség menedzsmentje. Nem megengedhető, hogy egy felhasználó elrabolja a sávszélességet egy VoIP kapcsolat elől, vagy a videónézegetés miatt a munkavégzés lehetetlenné váljon. A vállalati Wi-Fi megoldások többféleképpen képesek biztosítani a megfelelő sávszélességet. Lehetőség van SSID-k közötti, SSID-n belüli, felhasználó és protokoll alapú, vagy csomagszintű sávszélesség-menedzsmentre. A jobb megoldások akár egyszerre az összes módon képesek QoS támogatást nyújtani a kapcsolatokhoz.

A rádiófrekvenciás traffic shaping funkciók a korábban leírt dual-rádiós környezetekben vagy vegyes szabványú, eltérő képességű kliensek esetében (erősebb és gyengébb kliensek) nyújtanak támogatást és biztosítanak folyamatos és jó minőségű kapcsolatot. Fontos, hogy a QoS megvalósítás nem IP-szinten történik, hanem már az alacsonyabb rétegekben.

Roaming

Kimondható, hogy stabil és nagyon gyors roaming nélkül nincs vállalati Wi-Fi hálózat. Még akkor sincs, ha a felhasználók nem mozognak, mert az asztali gépeiket láttuk el Wi-Fi hálózati kártyákkal. A roaming jelentőségéről már volt szó korábban, de mivel ez az egyik legfontosabb szolgáltatás, muszáj külön is megemlíteni.

A szakadásmentes, gyors AP-váltás azért nagyon fontos, mert az Access Pointok terheltsége soha nem állandó. Még ha QoS szabályozza a felhasználók sávszélesség-használatát, akkor is elérkezhet az a pillanat, amikor az AP túlterhelté válik, vagy már nem képes megfelelő minőségben kiszolgálni a klienseket (sok felhasználó, VoIP-hívás, multimédia-forgalom, rádiós probléma, stb.). Ebben az esetben a vállalati Wi-Fi rendszernek el kell döntenie, hogyan tovább. A probléma kezeléséhez a roaming adja a legbiztonságosabb és leggyorsabb megoldást: néhány klienst át kell mozgatnia egy szabad kapacitással rendelkező AP eszközre.

A legfontosabb, hogy ebből a váltásból a felhasználók és az adatkapcsolatok semmit ne vegyenek észre. Előfordulhat, hogy egy adott kliens az 1-es csatornán kommunikál, viszont a roaming során egy olyan eszközre kerül át, ami a 11-es csatornát használja. A rendszernek (és persze a kliensnek) ezt le kell tudnia kezelni anélkül, hogy az adatkapcsolat megszakadna. Hogy érzékeltessük a roaming-sebesség fontosságát, a VoIP kapcsolatok tipikusan 40 ms után lebomlanak (vagy jobb esetben hosszú-hosszú másodpercekig nem hallják egymást a beszélgető felek), ezért a roamingnak nagyon gyorsan meg kell történnie. A jobb vállalati Wi-Fi rendszerek gyártótól függően képesek 10-40 ms-on belül biztosítani a roamingot, de természetesen ezt a klienseknek is támogatniuk kell (tanács: laptopokon nagy káoszt okoz a Wi-Fi kártya driverében bedrótozott roaming-érzékenység. Ha lehet, ezt a mobil felhasználóknál mindenképpen kapcsoljuk át a default értékről magasra.)

A vállalati Wi-Fi QoS-e szintén nagyon meleg és baráti kapcsolatot ápol a roamingal. A QoS biztosítja, hogy az egyik felhasználó se vihesse el a sávszélességet a többi elől, de természetesen a QoS sem mindenható, elérkezhet az a pillanat, amikor a QoS szabályok hiába definiálják a sávszélesség használatot, már nincs elegendő kapacitás a megfelelő kiszolgálásra. Ilyenkor a QoS (ha integrált) jelzi a központnak, hogy baj van, és természetesen a rendszer a roaming segítségével szabadítja fel az erőforrásokat, átmozgatva a felhasználók egy részét a kevésbé használt csatornákra, Access Pointokra.

Roaming esetében természetesen az üzembiztonság is megemlíthető: ha valaki leveri a falról az egyik AP eszközünket (drasztikus példa, de mindenki látott már szállítómunkások által, a cipelt szekrénnyel "letarolt" AP eszközöket, de szemléletesebb egy sima meghibásodás, átpatchelés miatti szakadás, stb.), a felhasználóknak ebből semmit nem szabad megérezniük. Tulajdonképpen, a roaming biztosít számunkra egy HA megoldást is (ez is a neve: AP HA vagy AP failover).

Voice over WLAN

Ha a Wi-Fi hálózatunkon voice szolgáltatást szeretnénk nyújtani (ma már nem a sci-fi kategória a fix-mobil konvergencia, pl. a Nokia E-sorozatú telefonjai akár kiváló eszközök lehetnek erre a célra), bizony nagy fába vágjuk a fejszénket. Számos olyan probléma (RF, roaming, kapacitás) hátráltathat bennünket, amelyekről korábban már szó volt, és amelyekre az enterprise wireless funkciói gyógyírt jelentenek.

Aki próbálkozott már ilyen szolgáltatással, az tudja, hogy a voice adatkapcsolatnál érzékenyebb alig-alig létezik az informatikában, hiszen itt aztán jól hallható minden hálózati probléma (egy apró tanács a kísérletezőknek: ha roamingot és minőséget teszteltek, a teszteléshez a legjobb az "aaaaaaaaaaaaaaaaaaaaaaaaa" mantra, mert a kimaradó vagy lassú kapcsolatnál egyértelműen megállapítható, mekkora a késleltetés. Persze meglehetősen vicces, ahogy néhány mérnök ilyen hangokat kiadva rohangál fel-alá az épületben).

A vállalati Wi-Fi rendszereknek tehát erős támogatást kell nyújtaniuk (és integráltan!) a voice kommunikáció számára. Hogy néz ki ez a valóságban? A vállalati Wi-Fi rendszernek fel kell ismernie az egyes VoIP protokollokat (SIP, H323, SCCP, SVP, SRC, Vocera, NOE, stb.), kodekeket, folyamatosan ellenőriznie kell a hívások minőségét (Call Admission Control), képesnek kell lennie automatikusan sávszélességet biztosítani, vagy hívásokat hangminőség-romlás nélkül, 10-30 ms-on belül átterhelni szabad kapacitással rendelkező Access Point-okra.

A voice eszközök meglehetősen lazán értelmezik számos szabványuk egyikét-másikát, mindegyik kissé más funkciókra képes. A Wi-Fi rendszernek erre figyelemmel kell lennie: például ha olyan voice eszközünk van, amelyik hívástartásban nem képes a csatornaváltást kezelni, úgy legyen figyelemmel a hívástartásra, és közben ne váltson csatornát, ha nem muszáj. Igen, ez azt jelenti, hogy a Wi-Fi rendszerünk (ha jó rendszerünk van és integráltan tartalmazza a voice aware funkciókat) képes értelmezni a rajta áthaladó voice kommunikációt (akár kcodekszinten), probléma esetén automatikusan beavatkozik, és mindent elkövet azért, hogy a hívásminőség normális maradjon, vagy visszaálljon a normális szintre.

Multimédia-támogatás, multicast, Wi-Fi video-streaming

Wi-Fi alapú videómegfigyelés vagy multimédiás alkalmazás esetén nagyon fontos, hogy a wireless megoldás képes legyen akár nem WMM-képes eszközök, vagy a multicast-alapú rendszereknek számára is támogatást nyújtani (multimedia aware, hasonlóan a voice-kliensek támogatásához). A wireless kamerák jelentős része pl. nem képes WMM-alapú működésre, viszont szükséges, hogy a jeltovábbítás folyamatos és stabil legyen, tehát a rendszernek fel kell ismernie, hogy multimédiás adatfolyam halad át rajta, és ezt a forgalmat megkülönböztetett figyelemmel kell kezelnie. A multicast-támogatás külön fejezetet igényelne, de hely híján most csak annyi megemlítésére van lehetőség, hogy a jobb vállalati Wi-Fi rendszerek támogatják és kezelik az IGMP-t és biztosítják a multicast alkalmazások működési feltételeit.

Rádiófrekvenciás tervezés és monitoring

A hagyományos Wi-Fi általános problémái között nagyon nagy súllyal említettem, hogy nem tudjuk, mi történik a rádiós környezetben. A vállalati megoldások többsége azonban integrált lehetőséget biztosít, hogy már a tervezés során is figyelembe vegyük a környezet adottságait, és a későbbiekben ezt folyamatosan monitorozhassuk. A monitorozás során vizuálisan ellenőrizhetjük a rádiós környezetet, az átviteli sebességeket, interferenciákat, jelszinteket és a kliensek állapotát, vagy akár riasztásokat és értesítéseket állíthatunk be a környezetben bekövetkező változásokra.

A rádiófrekvenciás tervezés segítségével átfedés- és hézagmentes hálózat építhető ki, kiküszöbölhetőek az interferencia- vagy terjedési és átviteli problémák. Természetesen nagyon jó tervezőeszközök állnak a rendelkezésünkre (AirMagnet, Ekahau, stb.), de nagyon nagy problémát jelent a megtervezett rádiós hálózat pontos leképezése. A legjobb vállalati megoldások integrált tervezőfelülettel rendelkeznek, és az elkészült tervrajzok alapján biztosítani tudják az eszközök automatikus kihelyezését, és a kezdeti konfigurációt is elvégzik a kész terv alapján.

Location tracking

Bár a pontos helyzetmeghatározást korábban a biztonsági funkciók közé soroltam (mentségemül, elsődleges "vízgyűjtőm" az IT-biztonság), de a location tracking önálló alkalmazásként is nagyon sok lehetőséget nyújt, de vannak esetek, amikor a Wi-Fi csak mint a location tracking alap-infrrastruktúrája jelenik meg. Milyen alkalmazások valósíthatóak meg a pontos helyzet meghatározással? Csak a képzelet szabhat határt a lehetőségeknek.

Az itt felsorolt példák nem csak ötletek, hanem világszerte működő, megvalósított nyomkövető alkalmazások. Wi-Fi/RFID tag-ek használatával nyomon követhetőek intézményen belül a nagy értékű berendezések (pl. kórházon belül a mobil vizsgáló, életmentő eszközök), vagy repülőtereken a csomagok, de használható akár személyek (pl. a biztonsági személyzet, vagy akár kórházakban a betegek vagy orvosok) mozgásának felügyeletére, lokalizációjára.

Kábeles hálózat kiváltása

Míg korábban a Wi-Fi alig volt több mint kényelmi (és meglehetősen veszélyes) szolgáltatás, azonban mára ez jócskán megváltozott. A felhasználói oldalról –a notebook-ok, PDA-k, VoIP telefonok terjedésével- egyre nagyobb az igény a hálózat mobilitásának növelésére. Korábban gondolni sem mertünk arra, hogy a Wi-Fi-t elsődleges hálózatnak használjuk, de mára (mint igyekeztem ezt bemutatni) az enterprise wireless megoldások képesek ugyanazt a megbízható infrastruktúrát nyújtani, és képesek mobil infrastruktúrává varázsolni a hálózatunkat.

A vállalati Wi-Fi megoldások átviteli kapacitásánál leírt saját mérésem is azt bizonyítja, hogy a vállalati Wi-Fi képes kiszolgálni a legtöbb irodai felhasználót anélkül, hogy végpontokat kelljen kiépíteni és üzemben tartani. Persze elvakultság lenne azt hinni, hogy minden felhasználót át lehet terhelni Wi-Fi kapcsolatra, hiszen vannak olyan munkakörök (pl. videóvágás, nagyméretű állományok mozgatása, stb.) és felhasználók, ahol és akiknél elengedhetetlen a nagy sebességű, akár gigabites kapcsolat, ezért is használtam az irodai felhasználó kifejezést. Egy vállalaton belül azonban rendszerint az "irodai felhasználók" vannak túlnyomó többségben, és ha csak számukra nem építünk ki kábeles kapcsolatot, máris hatalmas költségeket spórolhatunk meg.

Magyarországon 25-50 ezer forint között van egy végpont kiépítési költsége, de nem ritka az ennél jóval magasabb összeg sem (banki, pénzügyi szektor, öreg épületek, stb). Természetesen nem a házilag bütykölt kiépítésről van szó, amikor árkon-bokron húzzuk keresztül a kábelt, majd taposóval (rosszabb esetben szigetelőszalaggal) biztosítjuk, hogy ne essenek át rajta. Vállalati Wi-Fi bevezetéssel hatalmas költségek faraghatóak le az aktív eszközökből is, hiszen egy 500 végpontos hálózat minden további nélkül elférhet akár egy 24-48 portos switchben is.

Az sem biztos, hogy egy vállalat egy lépésben szeretne áttérni a Wi-Fi használatra. A kábeles hálózat kiváltása alapos vizsgálatot igényel, és sokszor több lépcsőben történik meg. A felmérés után a leggyakoribb első lépés a túltervezett switch- és portkapacitás lecsökkentése (tárgyalók, laptopos felhasználók portjai, stb.), amellyel már szintén jelentős költségek takaríthatóak meg, tipikusan egy éven belüli megtérüléssel (költözéskor azonnal).

Számos nemzetközi tanulmány született és születik a Wi-Fi költségcsökkentő bevezetéséről. Kiépítéstől és megvalósítástól (teljes vagy részleges átállás) függően 20-50 százalékos megtakarításokat kalkulálnak, és ha csak az alsó határt nézzük, a mai nehéz helyzetben ez is számottevő összeget tehet ki. Megemlíthetőek a járulékos előnyök (aktív eszközök éves áramfogyasztásának megtakarítása, stb.) is, de ez már olyan messzire mutatna, amellyel itt és most nem célszerű foglalkozni, de annyi bizonyos, hogy a wireless alapú hálózat-ésszerűsítés hamarosan ugyanúgy külön iparággá (és tudománnyá) válik, mint a szerver-virtualizáció és migráció.

Összefoglalás

A vállalati Wi-Fi hálózatok itthon épp hogy csak elterjedőben vannak, mert ma még kevesen tudnak különbséget tenni az online piactereken vagy bevásárlóközpontokban kapható hagyományos Wi-Fi és a valóban infrastruktúrát nyújtó, vállalati szolgáltatásokat biztosító enterprise wireless eszközök között. Nem vállalkoztam másra, mint hogy különválasszam az „árpát az ocsútól”, kiemeljem a vállalati Wi-Fi megoldásokat a "nem biztonságos a Wi-Fi" prekoncepcionális börtönből, és bemutassam azokat a szolgáltatásokat és funkciókat, amelyekkel biztonságossá, megbízhatóvá és elsődleges infrastruktúrává tehetik a Wi-Fi-t.

Remélem célomat elértem, és aki végigolvasta a sorozatot, belátja, hogy mindkét állításom teljesülhet az enterprise wireless eszközök használatával. A rádiófrekvenciás funkciók (ARM, RF traffic shaping, automatikus csatornaváltások, AP és kliens adáserősség-szabályozás, roaming) biztosítani tudják a folyamatos és nagysebességű kapcsolatokat, míg a számos integrált vagy kapcsolt biztonsági megoldás (tűzfal, IPS, NAC, VPN-képesség, location tracking) képesek a legmagasabb biztonsági elvárások teljesítésére. A vállalati Wi-Fi rendszerek szolgáltatásai (MESH, location tracking, VoIP és multimédia támogatás, QoS, Guest Access, RF tervezés és monitoring, stb. ) egyszerűbbé teszik a Wi-Fi hálózatok működését és működtetését, sőt, kiterjeszthetik a hálózatot és olyan lehetőségeket kínálnak, amelyek átformálhatják a hálózati infrastruktúrális piacot.

A cikk szerzője az Aruba Networks magyarországi gyártói képviseletének technikai vezetője.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról