E-mailTen adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. telefon: +48226466873

Architektury kontrolerowe sieci Wi-Fi

.

Jeszcze kilka lat temu model architektury sieci Wi-Fi był w zasadzie identyczny niezależnie od producenta rozwiązania: sieć składała się z pewnej liczby punktów dostępowych (AP) - typowo od kilku do kilku tysięcy) oraz z zarządzającego punktami dostępowymi kontrolera lub kontrolerów. To co odróżniało rozwiązania poszczególnych producentów to proporcje w jakich „rozłożono” funkcjonalność między AP a kontroler.

W rozwiązaniu zcentralizowanym kontroler odpowiedzialny jest za wszystkie aspekty funkcjonowania sieci poza transmisja radiową, którą oczywiście realizują AP. W modelu tym kontroler odpowiada za: funkcje L2/MAC Wi-Fi oraz L3 (ruting), w szczególności funkcje MAC obejmują dobór kanałów radiowych, sterowanie transmisją (potwierdzenia, retranmisje, itp.), rozkładanie ruchu klienckiego pomiędzy AP, roaming klientów. Jednocześnie cały ruch sieciowy pochodzący z AP zbiega się w kontrolerze, z którego przekazywany jest do infrastuktury przewodowej. W takiej architekturze cały ruch danych z i do AP tunelowany jest do kontrolera, zaś same AP funkcjonują jako „radia” w pełni programowane przez kontroler. Rozwiązanie zcentralizowane trudno się skaluje, w większych sieciach konieczne jest stosowanie wielu kontrolerów zorganizowanych hierarchicznie, dlatego też producenci stopniowo zaczęli oferować rozwiązania bardziej zdecentralizowane, wśród których najbardziej typową architekturą jest:

Architektura Split MAC – w tym podejściu cześć funkcji L2 realizowana jest przez kontroler, a część autonomicznie przez AP. Kontroler nadal może być odpowiedzialny za serwisy integracji i dystrybucji oraz realizację funkcji QoS; natomiast zarządzanie transmisją ramek, szyfrowanie oraz (częściowo) autoryzacja realizowana jest autonomicznie na AP. AP realizuje też autonomicznie takie funkcje jak: rozgłaszanie ramek beacon i odpowiedzi na ramki probe, itd.

Nowsze rozwiązania Wi-Fi zdecydowanie odchodzą też od tunelowania ruchu danych poprzez kontroler – nastąpiło odejście od zcentralizowania warstwy przesyłu danych w kierunku jej decentralizacji, tj. jej realizacji przez AP. Należy jednak nadmienić, że w niektorych sytuacjach tunelowanie ruchu z AP do kontrolera nadal jest wskazane (np. w przypadku niewielkich biur lub oddziałów). Rezygnacja z obsługi calego ruchu przez kontroler wymogło jednocześnie większe skomplikowanie i co za tym idzie zwiększenie mocy obliczeniowej AP, które muszą realizować takie funkcje jak zarządzanie pasmem radiowych, roaming w warstwach 2 i 3 czy filtrację ruchu (firewall).

Kolejnym krokiem jest architektura z kontrolerem chmurowym. Pionierem tego rozwiązania była firma Aerohive, jednak obecnie zostało ono zaadoptowane jako jedna z dostępnych opcji przez większość poważnych graczy na rynku. Kontroler chmurowy „programuje” AP, tj. udostępnia interfejs zarządzający administratora i przekazuje bieżącą konfigurację do punktów dostępowych, jednak praktycznie nie uczestniczy w dynamice funkcjonowania sieci. Nawet pozbawiona dostępu do chmurowego kontrolera sieć funkcjonuje nadal, z tym, że nie można zmieniać jej konfiguracji. Przesłanką stojącą za taką architekturą jest chęć redukcji kosztów – kontoler „tradycyjny” jest kosztowny w utrzymaniu, wymaga upgrade-ów, odpowiedniej infrastruktury sieciowej, jak krytyczny komponent wymaga odpowiednich warunków pracy w DC, itd. Kontroler chmurowy utrzymywany jest przez dostawcę rozwiązania Wi-Fi, zaś klienci ponoszą tylko koszty licencyjne. Punkty dostępowe pracujące z kontrolerem chmurowym posiadają dużą autonomię, gdyż muszą uzgadniać szereg aspektów funkcjowania sieci bez udzialu kontrolera.

Co wybrać?

Kolejnym podejściem do uproszczenia architektury sieci Wi-Fi jest model bezkontrolerowy lub autonomiczny, oferowany obecnie jako wariant przez wielu producentów (np.: Aruba Instant, Ruckus Unleashed) W modelu tym rolę kontrolera pełni jeden z AP. Pozwolił na to znaczący wzrost mocy obliczeniowej oraz pojemności pamięci punktów dostępowych jaki dokonał się w ostatnich latach – okazało się, że w praktyce da się zrealizować funkcjonalność kontrolera (być może nieco okrojoną) na pojedynczym AP. Z uwagi na możliwość awarii lub odcięcia od sieci AP pełniącego rolę kontrolera rozwiązanie to zazwyczaj zakłada stałą dostepność kontrolera zapasowego (na innym punkcie dostępowym), zaś w przypadku „wypadnięcia” z sieci AP pełniącego rolę kontrolera pozostałe punkty dostępowe wybierają spośród siebie nowy kontroler, tak. Że zawsze funkcjonuje kontroler główny oraz gotowy do przejęcia jego roli kontroler zapasowy. Całość informacji konfiguracyjnej oraz dane dotyczące bieżącego funkcjonowania (np. infomacje o zalogowanych użytkownikach) są oczywiście replikowane między AP. Wadą rozwiązania bezkontrolerowego jest ograniczona skalowalność, zazwyczaj do 25-50 AP oraz konieczność podłączenia wszystkich AP do jednej domeny rozgłaszania (do jednego przełącznika), funkcjonalność też jest nieco ograniczona w stosunku do rozwiazań kontrolerowych, choć producenci cały czas zwiększają liczbę dostępnych w tym modelu funkcji. Typowe ograniczenia funkcjonalne dotyczą zazwyczaj: dostępnych trybów autoryzacji użytkowników, możliwości realizacji sieci mesh oraz raportowania i logowania.

Obecnie wybierając i projektując sieć Wi-Fi w praktyce musimy zdecydować się ma jeden z trzech wariantów modeli: kontrolerowy split-MAC, chmurowy lub bez kontrolerowy. Wybór wariantu zależy od potrzeb technicznych i bizesowych: w przypadku większych sieci, a także sieci bardziej rozproszonych terytorialnie musimy wykluczyć wariant bez-kontrolerowy. Niektóre bardziej zaawansowane funkcjonalności np. w zakresie integracji z systemami kontroli dostępu i firewall mogą wykluczyć model chmurowy i bez-kontrolerowy. Z kolei ograniczenia budżetowe mogą wskazywać w kierunku modelu chmurowego nawet dla średnich i większych sieci.

Cechy różnych modeli kontrolerowych podsumowuje poniższa tabela:

Architektura / Cecha

Zcentralizowany

Split-MAC

Chmurowy

Bez-kontrolerowy


Zarządzanie poprzez jedną konsolę


T


T


T


T

Dane przepływają przez kontroler

Zazwyczaj Tak

Zależy od rozwiązania, spotyka się też osobne kontrolery „data plane”

N

N

Funkcje L2 realizowane przez kontroler

Tak

Kontroler np. asocjacja i deasocjacja oraz autoryzacja; AP: beacon, potwierdzenia i kryptografia

N

N

Skalowalność

Duża, ale może wymagać wielu kontrolerów

b. duża (do tysięcy AP)

średnia-duża

Mała (maks c.a. 50 AP)

Narzut kosztowy związany z zarządzaniem

Duży

Średni

Mały

Mały

Funkcjonalność

Rozbudowana

Rozbudowana

Dobra

Ograniczona, jednak zazwyczaj wystarczająca dla typowych sieci „biurowych”

Tags: wifi kontrolery Enterprise ruckus aruba

Kontakt

sprzedaż:

e-mail: sales@cc.com.pl

 


pomoc techniczna:

e-mail: support@cc.com.pl

 

CC Otwarte Systemy Komputerowe Sp. z o.o.

Dostarczamy bezpieczne rozwiązania sieciowe oraz oprogramowanie od 2001 roku. Projektujemy i wdrażamy infrastrukturę bezpieczeństwa sieciowego: systemy firewall, content security oraz systemy autoryzacji; wdrażamy infrastrukturę sieci LAN, WAN i WiFi. Nasi inżynierowie posiadają certyfikację producentów takich jak: Check Point, HPE / Aruba Networks, Juniper Networks, Palo Alto Networks, Ruckus Networks (Arris), Arista, Fortinet, Flowmon, Fudo Security, Gemalto, Sophos, Vasco, i innych a także certyfikaty CISSP i PRINCE2.

Oferta

  • Dostawa i wdrożenia sieci WiFi
  • Dostawa i wdrożenia sieci LAN i WAN
  • Dostawa i wdrożenie systemów bezpieczeństwa
  • Wsparcie techniczne
  • Outsouring w zakresie administracji systemów IT
  • Oprogramowanie na zamówienie: portale internetowe, aplikacje biznesowe, aplikacje naukowe, aplikacje specjalizowane

Lokalizacja

world-map

Rakowiecka 36, 02-532 Warszawa

tel. +48 22 646-68-73

faks. +48 22 6063780

sprzedaż - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

pomoc techniczna - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.