Segmentacja sieci LAN/WLAN

Segmentacja sieci

W wielu polskich firmach VLANy (IEEE 802.1Q) są technologią, która zapewnia segmentacje sieci pozwalającą na podział sieci LAN na mniejsze części. Teoretycznie segmentacja na VLANy pozwala na odseparowanie od siebie konkretnych urządzeń lub grup użytkowników, zapewniając większe bezpieczeństwo.

W jaki sposób zapewnione jest bezpieczeństwo?

Urządzenia będące w jednej domenie bradcastowej (VLANie) mogą komunikować się miedzy sobą a transmisja miedzy tymi urządzeniami nie jest ani weryfikowana przez urządzenie nadrzędne w sieci (Router z funkcjonalnością FireWall) ani w żaden sposób monitorowania.

Natomiast urządzenia znajdujące się w tym VLANie aby komunikować się z innymi urządzeniami w sieci (pozostałe VLANy) muszą przejść przez urządzenie brzegowe (Router z funkcjonalnością FireWall, Switch z funkcjonalnością routingu, UTM itp.). Przy dobrze skonfigurowanym routingu miedzy VLANami wraz z odpowiednimi politykami na FireWall (FireWall Policy), tak wykreowania siec zapewnia podstawowy poziom bezpieczeństwa.

Gdzie jest w takim bądź razie haczyk?

Statyczne przypisywanie VLANow do portów, czyli najczęstszy błąd konfiguracyjny sieci. Posłużmy się przykładem systemu IP CCTV, który jest spotykany w większości firm, a proces instalacji i konfiguracji tych urządzeń w sieci wygląda następująco:

  1. Administrator sieci tworzy VLAN dla sieci CCTV na każdym przełączniku
  2. Administrator przypisuje VLANy jako nietagowane (natywne) na portach do których mają być podłączone kamery CCTV.
  3. Taką listę przekazuje instalatorom CCTV
  4. Instalatorzy odszukają konkretny przełącznik i konkretny port na przełączniku. Wpinają do przełącznika instalowane urządzenie.
  5. Urządzenia działa

Na tym proces instalacji kamer jest skończony oraz (w większości przypadków) monitoring i weryfikacja ruchu takiego urządzenia nie jest nigdy przeprowadzana.

Niestety problemy zaczynają się w przypadku remontów, niesfornych pracowników przekładających kable, zmianach w infrastrukturze lub zmianach samych administratorów. Urządzenia zmieniają swoje miejsce podłączenia na przełączniku, generując nie tylko problem w ich utrzymaniu ale tworząc także luki bezpieczeństwa. Nagle okazuje sie, że urządzenia np. laptopy korporacyjne znajdują się nagle w tym samym VLANie co kamera CCTV.

W jaki sposób kamera CCTV może stanowić zagrożenie?

Na wstępie: Nie tylko kamera CCTV może stanowić zagrożenie dla sieci korporacyjnej, ale każde inne urządzenie IoT, których w każdej firmie a nawet domu jest coraz więcej:

  • Urządzenia skanujące/drukujące
  • Serwery plików NAS
  • BMS (building management system)
  • Smart devices – TV, Radia, Lodówki itp.
Urządzenia IoT – to nie tylko enigmatyczne sformułowanie – to wszystkie urządzenia, które podłączamy do sieci i nie mamy nad nimi pełnej kontroli

Takie urządzenia posiadają bardzo zaawansowane systemu operacyjne, które zainfekowane zachowują się w sieci bardzo agresywnie w stosunku do urządzeń korporacyjnych.

Kamera CCTV i przykład podmiany „oficjalnego oprogramowania” tych kamer opisany na stornie https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html to tylko jeden z niewielu przykładów ataków Ransomware wykonanych na urządzenia IoT w ostatnim czasie. Podmiana software na urządzań IoT, które nagle stają się backdoorem do całej sieci LAN, pokazuje jak ważna jest segmentacja sieci.

Zainfekowane urządzenia IoT – jak się przed tym chronić

Dynamiczna segmentacja sieci

Nowoczesne systemy wielu producentów oraz oprogramowanie dostępne na przełącznikach i Access Pointach pozwala na dynamiczna segmentacje sieci, czyli przypisywanie konkretnych urządzeń do konkretnych profili dostępu (Access Role Profile). Profil przypisuje się nie tylko na podstawie MAC Adresu urządzenia (bardzo łatwo można podmienić) ale także za pomocą DHCP fingerprintingu – czyli parametrów dostarczanych przez każde urządzenie podłączane do sieci w wyniku wysłania żądania DHCP.

W przypadku prawidłowo wykonanej konfiguracji przełącznik wraz z system do zarządzenia urządzeniami IoT, automatycznie weryfikuje podłączenie urządzenie. Profiluje je oraz podłącza do konkretnego logicznego segmentu sieci. UWAGA: w 95% przypadków logicznym segmentem sieci będzie VLAN, ale w zależności od posiadanego przełącznika może być to usługa SPB, VxLAN, tunel GRE itp.

ACL & QoS

Oprócz prawidłowo wykonanej segmentacji potrzebny jest monitoring i analiza ruchu takich urządzeń. Możliwości jakie dają nam nowoczesne systemy (posługując się dalej przykładem kamer CCTV):

  • Ustalenie wspólnej polityki dla wszystkich urządzeń CCTV. Pojedyncza kamera  ma możliwość wysyłania ruchu np. tylko UDP do rejestratora (organicznie IP adresu i/lub MAC adresu). Dodatkowo kamera nie może komunikować się z innymi urządzeniami wewnątrz danego VLANu (innymi kamerami)
  • Jeśli kamera w jakiś sposób została zainfekowana ransomware i np. zaczyna skanować siec, taki ruch powinien zostać wychwycony a danej kamerze powinien zostać nadany nowy profil dostępu. Profil, który całkowicie odetnie ją od innych urządzeń lub…
  • Port Ethernetowy, na którym podłączona jest zainfekowana kamera powinien zostać wyłączony lub wyłączone powinno zostać zasilanie PoE kamery
Segmentacja sieci w podziale na kategorie urządzeń IoT, według firmy Alcatel Lucent Enterprise

Warto zauważyć ze segmentacja sieci jest możliwa także w sieci bezprzewodowej, gdzie coraz więcej urządzeń korzystając z coraz większej wydajności i pojemności Access Pointów (zobacz) podłącza się do sieci WLAN.

Chcesz prawidłowo zaprojektować sieci LAN/WLAN na potrzeby mikro segmentacji? Daj nam znać -konsultację przeprowadzimy dla Ciebie bez kosztowo.

WiFi 6 (802.11ax) – czy warto myśleć o wymianie sprzętu?

WiFi 6 (802.11ax) – czy warto myśleć o wymianie sprzętu?

WiFi 6 czyli uproszczone nazewnictwo standardu 802.11ax. Szybsze, bardziej wydajne dostosowane do najnowszych standardów – o tym mówią nam wszyscy czołowi producenci sprzętu. A jak jest naprawdę, czy warto myśleć już o wymianie hardware i jeśli warto to w jakich określonych sytuacjach? Jakie korzyści, ale także wyzwania niesie ze sobą implementacja standardu WiFi 6 (802.11ax)

Główne różnice – czyli skąd się bierze większa prędkość oraz wydajność sieci WiFi6 (802.11ax).

Modulacja 256QAM vs 1024QAM

Maksymalna modulacja w standardzie 802.11ac, który do niedawana uważany był za bardzo wydajny,  to 256QAM (8 bitów w symbolu WiFi) w 802.11ax to 1024QAM (10 bitów w symbolu WiFi) tak wiec tym prostym sposobem wzrasta nam teoretyczna prędkość połączenia o 25%. To o czym należy pamiętać w środowiskach praktycznych i przy projektowaniu sieci to uzyskanie możliwości transmisji na najwyższych modulacjach jest możliwe w przypadku bardzo dużej wartości RSSI (siły sygnału) oraz bardzo niskiego szumu.

OFDM vs OFDMA

Zapewne każdy, kto ma jakiekolwiek pojęcie o sieciach bezprzewodowych wie, że pasmo 2.4GHz dzielimy na 13 kanałów o szerokości 20Mhz kanałów (w Europie) a pasmo 5GHz na 17 kanałów o szerokości 20Mhz. Ale nie każdy już wie, że każdy kanał dzielimy na tzw. podnośne, które wykorzystujemy do transmisji bezprzewodowej do jednego użytkownika w danym czasie. Właśnie… jednego użytkownika, czyli nawet najmniejsza transmisja czy to unicastowa, multicastowa czy bradcastowa wysłana przez siec bezprzewodową musi być transmitowana „po kolei”, jeden za drugim, do każdego z użytkowników podłączonego do danego Access Pointa. Nawet jeśli w wysyłamy bardzo mała ilość danych, nie możemy wykorzystać w pełni całej przepustowości kanału.  W WiFi6 (802.11ax) do transmisji danych wykorzystujemy OFDMA z ang. Orthogonal Frequency-Division Multiplexing Access, który pozwala nam wykorzystać wiele podnośnych wykorzystywanych w kanale na transmisję do wielu użytkowników w tym samym czasie, zwiększając nam przepustowość systemu. 

WiFi 6 (802.11ax) Czy warto?

TAK, warto

Oczywiście ze warto, jak widzimy powyżej standard WiFi 6 (802.11ax) to kolejny krok w celu zwiększenia prędkości oraz pojemności systemu sieci bezprzewodowej. Krok nie tak znaczący jak przejście miedzy standardami WiFi 4 (802.11n) a WiFi 5 (802.11ac) ale w świecie wszechobecnego IoT (internet of Things), gdzie każde urządzenie musi (chce) korzystać z dostępu do sieci to WiFi 6 (802.11ax) staje się jedyną drogą do zapewnienia szybkiego i niezawodnego dostępu do sieci wielu urządzeniom.

… ale jest jeden problem

Problem nazywa się dostępność urządzeń WiFi 6 (802.11ax). Na dzień 10.07.2020 są to następujące urządzenia:

Huawei P40 Pro.

iPhone 11, 11 Pro and 11 Pro Max.

iPhone SE.

LG V60 ThinQ.

Motorola Edge Plus.

OnePlus 8 and 8 Pro.

Samsung Galaxy S10 and S10E.

Samsung Galaxy Note 10.

A wśród nich brak, jeszcze laptopów, tabletów, telewizorów i innych urządzeń IoT, które wykorzystają w pełni korzyści wynikające z użytkowania WiFi 6 (802.11ax). W szczególności największy uzysk wydajnościowy OFDMA jest uzależniony od liczby urządzeń zgodnych ze standardem.

Co na to producenci sprzętu? Sytuacja jest bardzo podobna jak 4-5 lat temu kiedy wszyscy producenci sprzętu sieciowego byli gotowi na obsługę klientów w standardzie WiFi 5 (802.11ac) a na powszechną dostępności sprzętu klienckiego czekaliśmy kolejne 2-3 lata. Jedyna różnicą pro konsumencką, zupełnie inna niż 4-5 lat temu jest to, że sprzęt (Access Pointy, kontrolery, licencje) w standardzie WiFi 6 (802.11ax) obecnie oferowany przez takich producentów jak Alcatel Lucent, Cisco, Aruba jest w tej samej grupie cenowej co, dalej sprzedawany, sprzęt w standardzie WiFi 5 (802.11ac) lub różnica jest naprawdę niewielka.

Audyt WiFi - Projektowanie, pomiary i audyt sieci bezprzewodowych

Roaming WiFi- tu masz problem

Roaming WiFi – tu masz problem

Podczas wielu rozmów z obecnymi lub potencjalnymi klientami, zgłaszającymi problem z siecią bezprzewodową możemy usłyszeć najczęściej: „siec nie działa, zrywa połączenia”. Pierwsze co może przyjść do głowy to kwestie propagacji fali w pasmie 2.4GHz i 5GHz – brak zasięgu sieci bezprzewodowej czy tez interferencyjne międzykanałowe. Jednak nie kwestie radiowe a brak implementacji roaming wifi w sieciach bezprzewodowych jest najczęstszą przyczyną problemów.

Czym jest roaming wifi?

Podobnie jak w sieci telefonii komórkowej tak i w sieci Wi-Fi roaming polega na przełączaniu się klientów pomiędzy różnymi Access Pointami.  W związku z rosnącą mobilnością klientów sieci bezprzewodowych WiFi, w szczególności w halach produkcyjnych, magazynowych oraz wykorzystaniem przez klientów aplikacji bardzo wrażliwych na  przerwy w działaniu sieci (systemu magazynowe, monitoring, VoIP) sprawna obsługa roamingu jest kluczowym elementem poprawności działania sieci.

Każde urządzenie sieci bezprzewodowej podczas przemieszczenia się w obrębie sieci, wybiera dla siebie najbardziej korzystny Access Point do którego może się podłączyć i upraszczając schemat działania, wybór ten będzie zależał od siły sygnału pochodzącego od Access Pointa. Kiedy urządzenie klienckie zadecyduje o konieczności przełączenia się, następuje rozłączenie od obecnie używanego Access Pointa i następuje połączenie oraz uwierzytelnienie w nowym Access Poincie. Uwierzytelnienie na nowym Access Poincie w szczególności kiedy wykorzystujemy standard 802.1x, gdzie odwołujemy się do serwera RADIUS zlokalizowanego w sieci wewnętrznej lub (najgorzej!!!) zewnętrznej, jest bardzo czasochłonne i samo przełączenie się klienta może trwać nawet 400ms-600ms co dla transmisji VoIPwoej jest równoznaczne z straceniem nawet kilku zdań w transmisji a dla systemów magazynowych może oznaczać rozłączenie klienta z sesji.

802.11r standaryzuje zachowanie miedzy klientem a Access Pointem i w skrócie rzecz ujmując, pozwala na uwierzytelnienie klienta przed samym momentem przełączenia, powodując, że realny czas przełączenia klienta do nowego Access Pointa trwa 30ms – 40ms, zapewniając prawidłową transmisje aplikacji bardzo wrażliwych na straty pakietów.

Ale czy prawidłowa obsługa roamingu nie musi się zawsze wiązać z mobilnością i dotyczyć tylko klientów, którzy bardzo często się przemieszczają? Odpowiedz jest taka, że roaming to nie tylko mobilność klientów, ale przełączenie klienta między różnymi AP może być realizowane w celach:

  • Load balancingu czyli zmniejszenia liczby użytkowników połączonych do danego punktu dostępowego
  • Sticky clients – czyli próbie podłączenia klienta do nowego, lepszego Access Pointa z punktu widzenia radiowego, klientów którzy z punktu widzenia radiowego osiągną niewłaściwe wartości RSSI i SNR a nie chcą przełączyć się do innego Access Pointa

Tak wiec właściwa implementacja 802.11r w sieci bezprzewodowej, pozwala nam wyeliminować część z problemów sieci, które są najbardziej dotkliwe dla klientów sieci, czyli zrywane połączenia głosowe/video, przerwane transmisje, problemy z ponownym podłączeniem się do sieci. Niestety w większość przypadków producenci szczególnie tańszego sprzętu, nie mają zaimplementowanej obsługi 802.11r lub implementacja 802.11r jest w fazie BETA testów co sugeruje możliwe błędy w roamingu klientów sieci bezprzewodowej.

Włączenie funkcji odpowiedzialnych za prawidłowy roaming w rozwiązaniu Alcatel Lucent OmniAccess WLAN
https://www.al-enterprise.com/en/products/wlan

Istnieją pewne metody w konfiguracji kontrolera sieci bezprzewodowej pozwalające na minimalizacje później w roamingu klientów, ale stopień komplikacji tematu oraz mnogość możliwości konfiguracji, uniemożliw ich spisanie na łamach jednego wpisu.

Opisane problemy brzmią znajomo? Skontaktuj się z nami w celu rozmowy na temat rozwiązania Twoich problemów z roamingiem w sieci bezprzewodowej.

Home Office w czasach kryzysu – Remote Access Point (RAP)

Obecne czasy związanie z pandemią Coronavirusa i sytuacja epidemiologiczna, spowodowały bardzo wysokie zapotrzebowanie na pracę zdalną dla wszystkich pracowników biurowych niezależnie od branży czy też rodzaju pracy wykonywanej przez pracownika. 

Dla działów IT to także bardzo duże przedsięwzięcie techniczne oraz logistyczne ponieważ stają oni przed koniecznością uruchomienia zdalnego dostępu do zasobów firmy dla pracowników. W małych organizacjach, w których struktura dostępu do sieci jest płaska tj. każdy pracownik ma dostęp do tych samych zasobów, sytuacja wydaje się prosta: Tunel IPSec z uwierzytelnieniem użytkowników po loginie i haśle uruchomiony jako usługa przeważnie na Next Generation Firewall’u. 

Sytuacja staje się bardziej skomplikowana w sytuacjach gdy:

  • Dostęp dla poszczególnych pracowników jest profilowany w zależności od rodzaju pracownika, departamentu w którym pracuje
  • Nakładane są konkretne polityki QoS na dostęp do sieci, w sytuacji w której pracownik znajduje się w biurze oraz istnieje konieczność utrzymania tych samych polityk przy dostępie zdalnym
  • Pracownik w czasie swojej normlanej pracy korzysta z rożnych urządzeń, które posiadają sprofilowany dostęp do sieci oraz dostęp do sieci przez różne medium – przewodowe/bezprzewodowe, takie jak: telefony IP, thin client czy tez urządzenia BYOD.

Nie jest możliwe uruchomienie dostępu zdalnego dla wszystkich wyżej wymienionych sytuacji korzystając i opierając się tylko na rozwiązaniach i usługach uruchamianych na urządzeniach brzegowych i konieczne jest… wyniesienie korporacyjnej infrastruktury sieciowej do domu pracownika.

Brzmi bardzo groźnie, niezgodnie ze standardami oraz skomplikowanie w konfiguracji, natomiast rzeczywistość jest zupełnie inna i opiera się na wyposażeniu pracownika w specjalnego Access Pointa (często tez wyposażonego z downlinkowe porty ethernetowe) który to w zależności od konfiguracji terminuje ruch z każdego SSID przez osobne szyfrowane tunele VPNowe. 

Poniższy rysunek przedstawia koncepcje uruchomienia tzw. Remote Access Point’a zlokalizowanego w domu pracownika, który rozgłasza profile SSID identyczne jak te dostępne w biurze i terminuje je poprzez łącze internetowe oraz tunel VPN do koncentratora, którym jest kontroler sieci bezprzewodowej.

Rys. 1 Graficzne przedstawienie architektury sieciowej przy zastosowaniu urządzeń typu Remote Access Point.
Rys. 1 Graficzne przedstawienie architektury sieciowej przy zastosowaniu urządzeń typu Remote Access Point.

Uruchomienie tego rodzaju wyniesionej infrastruktury jest banalnie proste do wdrożenia dla administratora IT, a architektura rozwiązania pozwala na uruchomienie nawet łączności L2 miedzy zasobami firmy a użytkownikiem wyniesionym. 

Powyższy rysunek ukazuje nam tez bardzo dużą zaletę tzw. Remote Access Point’ów czyli wbudowane porty Ethernetowe z zasilaniem PoE, pozwalające podłączyć do Access Pointa np. Telefon IP czy inne urządzenia sieciowe, które potrzebuje sprofilowanej łączności z zasobami korporacyjnymi.

Wszystkie Remote Access Pointy są przeważnie zarządzane z poziomu kontrolera sieci bezprzewodowej lub jednego spójnego systemu do zarządzenia siecią przewodową i  bezprzewodową, a w przypadku uwierzytelniania użytkowników i profilowania dostępu użytkowników per konkretne VLANy, polityki QoS wszystkie profile są przenoszone i aplikowane na urządzenia końcowe podłączone przez Remote Access Pointy, oferując identyczny dostęp do sieci jaki użytkownik, jego urządzenia oraz urządzenia dodatkowe otrzymałby w sytuacji korzystania z infrastruktury biurowej.

Przykładem architektury rozwiązania typu Remote Access Point, jest rozwiązania Alcatel Lucent Enterprise, gdzie urządzeniem końcowym jest OmniAccess Stellar AP1201H zgodnym ze standardem 802 802.11ac posiadający 3 porty Downlink 10/100/1000Base-T (RJ-45) w tym jeden wspierający Power over Ethernet (PoE) w standardzie 802.3af, do którego możemy podłączyć np. Telefon IP i terminować ruch z danego portu po uwierzytelnieniu telefonu do korporacyjnej sieci telefonicznej VoIP.

Potrzebujesz projektu tego typu rozwiązania? Masz pytania odnośnie tego wpisu? Skontaktuj się z nami

RSSI, SNR, RTP itp. – czyli jak rozszyfrować raport

Podpisanie zlecenia wykonania raportu, dzień audytu parę dni oczekiwania i otrzymujemy… pełen raport z pomiarów sieci bezprzewodowej analizujący naszą sytuacje radiową. Pierwszy rzut oka i okazuje się nasz raport o kilkadziesiąt stron grafik i opisów zawierających takie nazwy i skróty jak: RSSI, SNR, RTP,  Channel Overlap, Data Rate, Throughput i inne. Na co zwrócić uwagę? Które elementy raportu są dla nas najważniejsze?

Zacznijmy od tego, że jeśli zwracasz się do firmy wykonującej audyt z konkretnym problemem, to raport powinien zawierać tylko te elementy, które są ważne z punktu widzenia Twojego problemu oraz to ze wyniki powinny zostać omówione podczas osobnego spotkania lub call’a. Zawieranie w raporcie wszystkich zebranych danych lub danych niezwiązanych z problemem, wprowadzają tylko element frustracji u zamawiającego i niepotrzebne skupienie uwagi na elementach, które nie są głównym źródłem problemów. 

A które to elementy są najważniejsze dla raportów:

Signal Strength – moc odbieranego przez odbiornik sygnału. To główny i nieodłączny element każdego nawet tego najmniej skomplikowanego pomiaru. Czasami nazywany tez pokryciem radiowym. Generalnie przed pomiarami, firma wykonująca audyt powinna zebrać wymagania stawienie sieci bezprzewodowej i ustalić minimalny poziom mocy odbieranego sygnału aby usługi wymagane przez klienta działały prawidłowo. Moc odbieranego sygnału to RSSI (Received Signal Strength Indicator) i wyrażamy go dBm czyli decybelach odniesionych do wartości 1mW. Czyli jeśli wartość mocy emitowanego sygnału przez AccesPoint wynosi 17dBm to jest to równowartość 50mW a 3dB więcej czyli 20dBm to już 100mW. Podobnie sytuacja wygląda z mocą odbieraną -40dBm to 0.0001 mW. Wiec jak widać na powyższym przykładzie, w pomiarach lepiej nam się posłużyć wartościami wyrażanymi w dBm. Minimalnymi wartościami mocy odbieranego sygnału, akceptowalnymi dla sieci bezprzewodowych, to -67dBm. Chociaż nie ma co ukrywać w specyficznych warunkach środowiskowych (brak interferencji) i w specyficznych wymaganiach co do sieci,  nie musimy się obawiać wartości RSSI poniżej -74dBm.

SNR – Signal To Noise Ratio – czyli o ile (w dB) odbierany sygnał (w dBm) jest większy od szumu (w dBm) na tym samym kanale radiowym. Jest to kolejny najważniejszy parametr w pomiarach sieci bezprzewodowych, który pozwala nam określić jaka jest wartość szumu (w dBm) dla danego kanału radiowego. Wartości akceptowalne dla sieci to wartości powyżej 25 dB. Poziom SNR pozwala na ustalenie transmisji o konkretnej wartości a im mniejsza wartość SNR tym transmisja będzie na niższym poziomie a ilość retransmisja będzie rosła nam liniowo. Dlatego tez RSSI na poziomie -40dBm (uważanym za wartości idealne) nic nam nie da kiedy szumy na tym samym kanele będziemy mieli o wartości -45dBm. W idealnym przypadku nadajnik i odbiornik ustalą miedzy sobą transmisje w indexie MCS 2 – prędkość transmisji wyniesie 13 Mbps a narzuty kodowania spowodują ze maksymalna przepustowość wyniesie 6.5 Mbps. 

Short Guard Interval – kiedy gorzej znaczy lepiej

Jak często spotykamy się z źle skonfigurowanymi sieciami bezprzewodowymi? Niestety złe konfiguracje użytkowników lub powierzenie konfiguracji standardowym algorytmom kontrolera sieci bezprzewodowej, w tym parametr Short Guard Interval, to pierwszy i obok ogólnych interferencji innych systemie 802.11, główny problem sieci bezprzewodowych. 

Niestety część z tych problemów dotyczy właśnie standardowych konfiguracji dostępnych z punktu widzenia kontroler, na które to ustawienia administratorzy systemów prawie w ogóle nie zwracają uwagi. 

Dzisiejsze rozważania będą dotyczyły parametru Guard Interval, który jest konfigurowalny w większości rozwiązań sieci bezprzewodowych w tym w wszystkich rozwiązaniach typu Enterprise. Czym jest Guard Interval? 

Zacznijmy od kwestii wielosciezkowosci. Jak wiemy z teorii propagacji fali elektromagnetycznej symbole w transmisji 802.11 mogą docierać miedzy nadajnikiem a odbiornikiem w roznych sposób. Standard 802.11n wprowadza nam jeszcze mozlisc jednoczensje transmiji symboli z roznych zestaów nadawczo-odbiorczych, co poteguje nam zjawisko „nakładania się symboli” w urządzeniu odbiorczym. Innymi slowy zagubiony czy tez spozniony symbol, który nie został jeszcze całkowicie przetworzony przez odbiornik interferuje nam z odbieranym wlasnie nowym symbolem wysłanym po określonym przez nadajnik czasie. No właśnie… „określonym czasie”.

Rys. 1 Graficzne przedstawienie prawidłowej transmisji symbolu 802.11 oraz sytuacji interferencji międzysymbolowej powstałej w przypadku ustawienia parametru Guard Interval na za niską wartość.

Standardy transmisji sieci bezprzewodowych 802.11a/b/g używają wartości Guard Interval (GI) wynoszącej 800 nanosekund. Czyli symbol transmitowany jest przez 3.2 mikrosekundy i następnie 0.8 mikrosekundy następuje okres oczekiwana dając sumaryczną wartość transmisji symbolu 4 mikrosekundy.

Standard 802.11n wprowadza możliwość korzystania z GI na poziomie 400 nanosekund (0.4 mikrosekundy) przy założeniu, że miedzy nadajnikiem a odbiornikiem nie występują duże różnice ścieżek.  Skraca nam to czas trwania transmisji symbolu z 4 do 3.6 mikrosekundy, co bardzo chętnie wykorzystują producenci sprzętu (a bardziej działy marketingu) bo krótszy czas transmisji symbolu przekłada się wprost proporcjonalnie na zwiększenie teoretycznej przepustowości radiowej transmisji, czym można się pochwalić w Data Sheetach czy materiałach marketingowych. Dla 20Mhz kanału i transmisji w zestawie jeden nadajnik – jeden odbiornik osiągamy 65 Mbps przy GI = 800ns w porównaniu do 72.2 Mbps przy GI = 400ns. Jeszcze lepiej wygląda sytuacja kiedy porównamy transmisje przy tak często spotykanych (ironia) zestawach 4 nadajniki i  4 odbiorniki i wykorzystaniu kanału o szerokości 40Mhz – 540 Mbps przy GI = 800ns w porównaniu do 600 Mbps przy GI = 400ns. Różnica jest znacząca prawda, szczególnie dla działów marketingu – a to że ciężko znaleźć urządzenie końcowe wspierające 4 stream’y – o tym pisałem już tutaj.

OK – tyle teorii, ale dlaczego w praktyce używanie w teorii bardziej wydajnego systemu, oferującego większa teoretyczna przepływność radiową, czyli użycie 400 nanosekundowego Guard Interval jest nie do końca właściwe i może nam przysporzyć więcej problemów niż korzyści? No i tutaj cofamy się do czasów studiów i dla tych, który cokolwiek mieli wspólnego z radiotelekomunikacją, przypomną się zjawiska falowe. Każda fala może ulegać zjawiskom dyfrakcji, odbicia oraz załamania i nie chcąc się rozpisywać o każdym z tych zjawisk można powiedzieć jedno. Im bardziej skomplikowane środowisko propagacyjne tym więcej zjawisk falowych będzie występować, powodując różne czasy docierania symboli w transmisji sieci bezprzewodowych miedzy nadajnikiem a odbiornikiem. A nie ma bardziej skomplikowanego środowiska propagacyjnego dla sieci bezprzewodowych niż… typowe biuro. Bardzo duże zagęszczenie elementów aluminiowych, szklanych, podwieszane sufity, podłogi techniczne to wszystko powoduje ze w systemach 802.11n/ac, czyli na dzień dzisiejszy 80% systemów, następuje zjawisko wielotorowości docierania pakietów w rożnym czasie, który będzie przeważnie przekraczał 400 nanosekund czyli będzie aktywny po ustawieniu tzw. Short Guard Interval. Co się dzieje w momencie „nachodzenia symboli” na siebie podczas transmisji? W ogolym skrocie zmiejsza nam się stosunek sygnalu do szumow, transmisja zostaje odebrana jako błedna i…. Nastepuje retransmisjia powodujaca spadek ogolnej przepustowości.

Jak to wygląda w praktyce?

Przykładowe testy w sordowisku producynym, czyli biuro w centrum Warszawy, interferncje od innych systemów 802.11 w 5Ghz – niskie, RSSI na pozimie od -57dBm do -54dBm:

  • Standard 802.11ac MCS index 8 przy 80 MHz szerokości kanału i 1 stream’ie powinien osiągać teoretyczne przepustowości:
    • 351 Mbps – Guard Interval ustawionym na 800ns
    • 390 Mbps – Guard Interval ustawionym na 400ns

Oczywiście musimy odjąć od tego narzuty na kodowanie – i zostaje nam przy MCS index 8:

  • 263 Mbps – Guard Interval ustawionym na 800ns
  • 293 Mbps – Guard Interval ustawionym na 400ns

Natomiast wielkokrotne pomiary (w celu uśrednienia wartości) wykonanie iPerf3 wykazują następujące przepływności:

  • 220 Mbps – Guard Interval ustawionym na 800ns
  • 112 Mbps – Guard Interval ustawionym na 400ns

Czyli w typowym środowisku biurowym ustawienie Guard Interval na wartości 800ns jest dla nas korzystniejsze niż skonfigurowanie tzw. Short Guard Interval (400ns), który to parametr tylko w teorii pozwala nam na osiągniecie wyższej przepustowości teoretycznej. Warto sprawdzić ustawienie swoje kontrolera sieci bezprzewodowej, ponieważ niektórzy producenci sprzętu, w tym rozwiązań typu Enterprise, ustawiają wartości domyślne na 400ns często nazywając to Short Guard Interval i opisując to jako korzystne ustawienie zwiększające przepustowość rozwiązania sieci bezprzewodowej.

Gdzie szukać ustawienia Guard Interval w konfiguracji kontrolera sieci bezprzewodowej? W związku z tym, że jest to ustawienie globalne dla Access Pointa lub grupy Access Pointow, konfiguracji Guard Interval szukamy, w zależności od producenta, przeważnie w profilu konfiguracji AP lub konfiguracji RF.

Przykłady domyślnych konfiguracji urządzeń:

Aruba – kontroler 7004-RW i domyślny domyślny profil SSID.

Short Guard Interval ARUBA
Rys. 2 – Domyślne ustawienie w Short Guard Interval (400ns) w urządzeniach Aruba – tryb kontrolera – Configration -> Wireless -> AP Configuration -> Default profile -> Virtual AP -> SSID -> HT SSID

Alcatel Lucent Enterprise – kontroler OmniVista i domyślny profil RF ktory aplikowany jest domyślnie na wszystkie Access Pointy podłączone do kontrolera.

Short Guard Interval Alcatel Lucent Enterprise
Rys. 2 – Domyślne ustawienie w Short Guard Interval (400ns) w urządzeniach Alcatel Lucent Enterprise – tryb Enterprise – kontroler OmniVista. WLAN Menu -> RF -> RF Profile -> Default profile

Opisane problemy brzmią znajomo? Skontaktuj się z nami w celu rozmowy na temat rozwiązania Twoich problemów sieci bezprzewodowej.

Interferencje WiFi – niewidzialny zabójca sieci

Interferencje WiFi – niewidzialny zabójca sieci

Interferencje WiFi – każdy admin o nich słyszał, każdy admin wie, że jakieś tam interferencje zawsze występują i trzeba się do nich przyzwyczaić… ale nie każdy wie jak je rozpoznać i jak weliminowac ten jeden z głównych problemów sieci WiFi.

W skrócie rzecz ujmując interferencje wifi występujące w środowisku działania sieci 802.11 zarówno w pasmie 2.4GHz jak i 5GHz są dla każdego administratora sieci bezprzewodowej zjawiskiem niepożądanym – redukują one stosunek sygnału do szumy (Signal to Noise Ratio – SNR), powodując błędną transmisje symboli 802.11 i ich ponową retransmisje lub w dalszej konsekwencji utratę pakietów. 

Interferencje wifi przeważnie występują z dwóch powodów:

  • Błędy projektowe i konfiguracyjne naszej sieci bezprzewodowej – nachodzące (interferujące) na siebie kanały lub za szerokie kanały. 

Najczęściej popełniane błędy? – CLIK.

  • Interferencje pochodzące z innych systemów sieci bezprzewodowych działających równolegle w naszym środowisku produkcyjnym.

Jak rodzimy sobie z obcymi sieciami? – CLIK.

Takie interferencje wifi bardzo łatwo i szybko możemy namierzyć korzystając z wielu dostępnych softwarowych narzędzi na rynku. 

Pierwszy rzut oka i widźmy, które sieci interferują z naszą/naszymi sieciami, czy nasze Access Pointy są dobrze skonfigurowane – tzn. Kanały prawidłowo odseparowane od siebie i jaki jest stosunek sygnału do szumu.

Natomiast w naszej pracy bardzo często spotykamy się z sytuacją, kiedy na pierwszy rzut oka wszystko wydaje się być skonfigurowane prawidłowo a administratorzy sieci otrzymują wiele skarg na działanie sieci bezprzewodowych. Oprócz przyczyny typowo z zakresu security i dostępności sieci czyli podatności naszej sieci na działanie zewnętrznych systemów wIDS/wIPS – więcej CLIK – bardzo często w naszych pomiarach i analizie spotykamy się z interferencjami poza 802.11, które to nie są widoczne z poziomu zwykłego skanera sieci bezprzewodowych.

Tymi interferencjami mogą być:

  • Stare systemy telekomunikacyjne działające w pasmie 2.4GHz.
  • Systemy alarmowe w szczególności w których jest wykorzystywana transmisja bezprzewodowa miedzy centrala a czujkami.
  • Systemy i urządzenia Bluetooth, ZigBee.
  • Systemy automatyki budynkowej
  • Maszyny produkcyjne w tym najbardziej interferujące urządzenia grzewcze korzystające z mikrofal.

Jak bardzo interferencje poza 802.11 mogą przeszkadzać w działaniu sieci bezprzewodowej, przekonał się jeden z naszych klientów z branży produkcyjnej, którego głównym problem był całkowity brak działania sieci w pasmie 2.4GHz w części hali produkcyjnej pomimo tego, że standardowe skanery sieci bezprzewodowej nie wykrywały żadnych anomalii w podziale kanałów i przydzielania kanałów odpowiednim Access Pointom.

Podczas pomiarów profesjonalnym narzędziem Ekahau Site Survey z analizatorem widma, ukazał nam się taki oto obrazek:

Interferencje WiFi pochodzące z innego niż sieci WiFi źródła, pomierzone oprogramowaniem Ekahau.
Interferencje WiFi pochodzące z innego niż sieci WiFi źródła, pomierzone oprogramowaniem Ekahau
https://www.ekahau.com/

Kolor czerwony w całym zakresie częstotliwości 2.4GHz na prawie wszystkich kanałach i o wartościach przekraczających standardowe wartości 802.11 sugerował powstawianie interferencji w maszynie grzewczej, podgrzewającej gumę z pomocą mikrofal. Działanie maszyny uniemożliwiało jakąkolwiek transmisję sieci bezprzewodowej w pasmie 2.4GHz a pomiary i analiza sytuacji pozwoliła zaprojektować dobrze działającą i stabilną sieć w pasmie 5GHz. 

Opisane problemy brzmią znajomo? Skontaktuj się z nami w celu rozmowy na temat rozwiązania Twoich problemów w sieci bezprzewodowej.

Subscribe to our Newsletter

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

pl_PLPolish