Home Office w czasach kryzysu – Remote Access Point (RAP)

Obecne czasy związanie z pandemią Coronavirusa i sytuacja epidemiologiczna, spowodowały bardzo wysokie zapotrzebowanie na pracę zdalną dla wszystkich pracowników biurowych niezależnie od branży czy też rodzaju pracy wykonywanej przez pracownika. 

Dla działów IT to także bardzo duże przedsięwzięcie techniczne oraz logistyczne ponieważ stają oni przed koniecznością uruchomienia zdalnego dostępu do zasobów firmy dla pracowników. W małych organizacjach, w których struktura dostępu do sieci jest płaska tj. każdy pracownik ma dostęp do tych samych zasobów, sytuacja wydaje się prosta: Tunel IPSec z uwierzytelnieniem użytkowników po loginie i haśle uruchomiony jako usługa przeważnie na Next Generation Firewall’u. 

Sytuacja staje się bardziej skomplikowana w sytuacjach gdy:

  • Dostęp dla poszczególnych pracowników jest profilowany w zależności od rodzaju pracownika, departamentu w którym pracuje
  • Nakładane są konkretne polityki QoS na dostęp do sieci, w sytuacji w której pracownik znajduje się w biurze oraz istnieje konieczność utrzymania tych samych polityk przy dostępie zdalnym
  • Pracownik w czasie swojej normlanej pracy korzysta z rożnych urządzeń, które posiadają sprofilowany dostęp do sieci oraz dostęp do sieci przez różne medium – przewodowe/bezprzewodowe, takie jak: telefony IP, thin client czy tez urządzenia BYOD.

Nie jest możliwe uruchomienie dostępu zdalnego dla wszystkich wyżej wymienionych sytuacji korzystając i opierając się tylko na rozwiązaniach i usługach uruchamianych na urządzeniach brzegowych i konieczne jest… wyniesienie korporacyjnej infrastruktury sieciowej do domu pracownika.

Brzmi bardzo groźnie, niezgodnie ze standardami oraz skomplikowanie w konfiguracji, natomiast rzeczywistość jest zupełnie inna i opiera się na wyposażeniu pracownika w specjalnego Access Pointa (często tez wyposażonego z downlinkowe porty ethernetowe) który to w zależności od konfiguracji terminuje ruch z każdego SSID przez osobne szyfrowane tunele VPNowe. 

Poniższy rysunek przedstawia koncepcje uruchomienia tzw. Remote Access Point’a zlokalizowanego w domu pracownika, który rozgłasza profile SSID identyczne jak te dostępne w biurze i terminuje je poprzez łącze internetowe oraz tunel VPN do koncentratora, którym jest kontroler sieci bezprzewodowej.

Rys. 1 Graficzne przedstawienie architektury sieciowej przy zastosowaniu urządzeń typu Remote Access Point.
Rys. 1 Graficzne przedstawienie architektury sieciowej przy zastosowaniu urządzeń typu Remote Access Point.

Uruchomienie tego rodzaju wyniesionej infrastruktury jest banalnie proste do wdrożenia dla administratora IT, a architektura rozwiązania pozwala na uruchomienie nawet łączności L2 miedzy zasobami firmy a użytkownikiem wyniesionym. 

Powyższy rysunek ukazuje nam tez bardzo dużą zaletę tzw. Remote Access Point’ów czyli wbudowane porty Ethernetowe z zasilaniem PoE, pozwalające podłączyć do Access Pointa np. Telefon IP czy inne urządzenia sieciowe, które potrzebuje sprofilowanej łączności z zasobami korporacyjnymi.

Wszystkie Remote Access Pointy są przeważnie zarządzane z poziomu kontrolera sieci bezprzewodowej lub jednego spójnego systemu do zarządzenia siecią przewodową i  bezprzewodową, a w przypadku uwierzytelniania użytkowników i profilowania dostępu użytkowników per konkretne VLANy, polityki QoS wszystkie profile są przenoszone i aplikowane na urządzenia końcowe podłączone przez Remote Access Pointy, oferując identyczny dostęp do sieci jaki użytkownik, jego urządzenia oraz urządzenia dodatkowe otrzymałby w sytuacji korzystania z infrastruktury biurowej.

Przykładem architektury rozwiązania typu Remote Access Point, jest rozwiązania Alcatel Lucent Enterprise, gdzie urządzeniem końcowym jest OmniAccess Stellar AP1201H zgodnym ze standardem 802 802.11ac posiadający 3 porty Downlink 10/100/1000Base-T (RJ-45) w tym jeden wspierający Power over Ethernet (PoE) w standardzie 802.3af, do którego możemy podłączyć np. Telefon IP i terminować ruch z danego portu po uwierzytelnieniu telefonu do korporacyjnej sieci telefonicznej VoIP.

Potrzebujesz projektu tego typu rozwiązania? Masz pytania odnośnie tego wpisu? Skontaktuj się z nami

Short Guard Interval – kiedy gorzej znaczy lepiej

Jak często spotykamy się z źle skonfigurowanymi sieciami bezprzewodowymi? Niestety złe konfiguracje użytkowników lub powierzenie konfiguracji standardowym algorytmom kontrolera sieci bezprzewodowej, w tym parametr Short Guard Interval, to pierwszy i obok ogólnych interferencji innych systemie 802.11, główny problem sieci bezprzewodowych. 

Niestety część z tych problemów dotyczy właśnie standardowych konfiguracji dostępnych z punktu widzenia kontroler, na które to ustawienia administratorzy systemów prawie w ogóle nie zwracają uwagi. 

Dzisiejsze rozważania będą dotyczyły parametru Guard Interval, który jest konfigurowalny w większości rozwiązań sieci bezprzewodowych w tym w wszystkich rozwiązaniach typu Enterprise. Czym jest Guard Interval? 

Zacznijmy od kwestii wielosciezkowosci. Jak wiemy z teorii propagacji fali elektromagnetycznej symbole w transmisji 802.11 mogą docierać miedzy nadajnikiem a odbiornikiem w roznych sposób. Standard 802.11n wprowadza nam jeszcze mozlisc jednoczensje transmiji symboli z roznych zestaów nadawczo-odbiorczych, co poteguje nam zjawisko „nakładania się symboli” w urządzeniu odbiorczym. Innymi slowy zagubiony czy tez spozniony symbol, który nie został jeszcze całkowicie przetworzony przez odbiornik interferuje nam z odbieranym wlasnie nowym symbolem wysłanym po określonym przez nadajnik czasie. No właśnie… „określonym czasie”.

Rys. 1 Graficzne przedstawienie prawidłowej transmisji symbolu 802.11 oraz sytuacji interferencji międzysymbolowej powstałej w przypadku ustawienia parametru Guard Interval na za niską wartość.

Standardy transmisji sieci bezprzewodowych 802.11a/b/g używają wartości Guard Interval (GI) wynoszącej 800 nanosekund. Czyli symbol transmitowany jest przez 3.2 mikrosekundy i następnie 0.8 mikrosekundy następuje okres oczekiwana dając sumaryczną wartość transmisji symbolu 4 mikrosekundy.

Standard 802.11n wprowadza możliwość korzystania z GI na poziomie 400 nanosekund (0.4 mikrosekundy) przy założeniu, że miedzy nadajnikiem a odbiornikiem nie występują duże różnice ścieżek.  Skraca nam to czas trwania transmisji symbolu z 4 do 3.6 mikrosekundy, co bardzo chętnie wykorzystują producenci sprzętu (a bardziej działy marketingu) bo krótszy czas transmisji symbolu przekłada się wprost proporcjonalnie na zwiększenie teoretycznej przepustowości radiowej transmisji, czym można się pochwalić w Data Sheetach czy materiałach marketingowych. Dla 20Mhz kanału i transmisji w zestawie jeden nadajnik – jeden odbiornik osiągamy 65 Mbps przy GI = 800ns w porównaniu do 72.2 Mbps przy GI = 400ns. Jeszcze lepiej wygląda sytuacja kiedy porównamy transmisje przy tak często spotykanych (ironia) zestawach 4 nadajniki i  4 odbiorniki i wykorzystaniu kanału o szerokości 40Mhz – 540 Mbps przy GI = 800ns w porównaniu do 600 Mbps przy GI = 400ns. Różnica jest znacząca prawda, szczególnie dla działów marketingu – a to że ciężko znaleźć urządzenie końcowe wspierające 4 stream’y – o tym pisałem już tutaj.

OK – tyle teorii, ale dlaczego w praktyce używanie w teorii bardziej wydajnego systemu, oferującego większa teoretyczna przepływność radiową, czyli użycie 400 nanosekundowego Guard Interval jest nie do końca właściwe i może nam przysporzyć więcej problemów niż korzyści? No i tutaj cofamy się do czasów studiów i dla tych, który cokolwiek mieli wspólnego z radiotelekomunikacją, przypomną się zjawiska falowe. Każda fala może ulegać zjawiskom dyfrakcji, odbicia oraz załamania i nie chcąc się rozpisywać o każdym z tych zjawisk można powiedzieć jedno. Im bardziej skomplikowane środowisko propagacyjne tym więcej zjawisk falowych będzie występować, powodując różne czasy docierania symboli w transmisji sieci bezprzewodowych miedzy nadajnikiem a odbiornikiem. A nie ma bardziej skomplikowanego środowiska propagacyjnego dla sieci bezprzewodowych niż… typowe biuro. Bardzo duże zagęszczenie elementów aluminiowych, szklanych, podwieszane sufity, podłogi techniczne to wszystko powoduje ze w systemach 802.11n/ac, czyli na dzień dzisiejszy 80% systemów, następuje zjawisko wielotorowości docierania pakietów w rożnym czasie, który będzie przeważnie przekraczał 400 nanosekund czyli będzie aktywny po ustawieniu tzw. Short Guard Interval. Co się dzieje w momencie „nachodzenia symboli” na siebie podczas transmisji? W ogolym skrocie zmiejsza nam się stosunek sygnalu do szumow, transmisja zostaje odebrana jako błedna i…. Nastepuje retransmisjia powodujaca spadek ogolnej przepustowości.

Jak to wygląda w praktyce?

Przykładowe testy w sordowisku producynym, czyli biuro w centrum Warszawy, interferncje od innych systemów 802.11 w 5Ghz – niskie, RSSI na pozimie od -57dBm do -54dBm:

  • Standard 802.11ac MCS index 8 przy 80 MHz szerokości kanału i 1 stream’ie powinien osiągać teoretyczne przepustowości:
    • 351 Mbps – Guard Interval ustawionym na 800ns
    • 390 Mbps – Guard Interval ustawionym na 400ns

Oczywiście musimy odjąć od tego narzuty na kodowanie – i zostaje nam przy MCS index 8:

  • 263 Mbps – Guard Interval ustawionym na 800ns
  • 293 Mbps – Guard Interval ustawionym na 400ns

Natomiast wielkokrotne pomiary (w celu uśrednienia wartości) wykonanie iPerf3 wykazują następujące przepływności:

  • 220 Mbps – Guard Interval ustawionym na 800ns
  • 112 Mbps – Guard Interval ustawionym na 400ns

Czyli w typowym środowisku biurowym ustawienie Guard Interval na wartości 800ns jest dla nas korzystniejsze niż skonfigurowanie tzw. Short Guard Interval (400ns), który to parametr tylko w teorii pozwala nam na osiągniecie wyższej przepustowości teoretycznej. Warto sprawdzić ustawienie swoje kontrolera sieci bezprzewodowej, ponieważ niektórzy producenci sprzętu, w tym rozwiązań typu Enterprise, ustawiają wartości domyślne na 400ns często nazywając to Short Guard Interval i opisując to jako korzystne ustawienie zwiększające przepustowość rozwiązania sieci bezprzewodowej.

Gdzie szukać ustawienia Guard Interval w konfiguracji kontrolera sieci bezprzewodowej? W związku z tym, że jest to ustawienie globalne dla Access Pointa lub grupy Access Pointow, konfiguracji Guard Interval szukamy, w zależności od producenta, przeważnie w profilu konfiguracji AP lub konfiguracji RF.

Przykłady domyślnych konfiguracji urządzeń:

Aruba – kontroler 7004-RW i domyślny domyślny profil SSID.

Short Guard Interval ARUBA
Rys. 2 – Domyślne ustawienie w Short Guard Interval (400ns) w urządzeniach Aruba – tryb kontrolera – Configration -> Wireless -> AP Configuration -> Default profile -> Virtual AP -> SSID -> HT SSID

Alcatel Lucent Enterprise – kontroler OmniVista i domyślny profil RF ktory aplikowany jest domyślnie na wszystkie Access Pointy podłączone do kontrolera.

Short Guard Interval Alcatel Lucent Enterprise
Rys. 2 – Domyślne ustawienie w Short Guard Interval (400ns) w urządzeniach Alcatel Lucent Enterprise – tryb Enterprise – kontroler OmniVista. WLAN Menu -> RF -> RF Profile -> Default profile

Opisane problemy brzmią znajomo? Skontaktuj się z nami w celu rozmowy na temat rozwiązania Twoich problemów sieci bezprzewodowej.

pl_PLPolish