Строительство небольших сетей для СМБ

APC

Куликов Григорий, технический эксперт компании Extreme Networks начал мероприятие со знакомства с русскоязычной страницей глобального сайта компании Extreme Networks.

С чего следует начинать строить небольшую сеть?

Сеть важно строить так, чтобы потом ее можно было без каких-либо проблем расширять, при этом под расширением понимают не только увеличение числа точек доступа, но и расширение числа сервисов, например, повышение безопасности, появление аналитики трафика и подключение гостевых пользователей.

Начнем с беспроводной архитектуры

Для простоты начнем строить сеть на одной точке доступа Wi-Fi. В этих точках доступа скрывается большой функционал по подключению небольшого офиса к внешним сетям, например, к Интернету. Дополнительный функционал включает в себя трансляцию адресов, маршрутизацию, наличие firewall. Обычно все эти сервисы расположены во внешней «коробочке». Одну точку сможно использовать для подключения внешних пользователей и вывода их в Интернет. В точках поддерживается функционал VPN-клиента и VPN-серверов, что позволяет осуществить подключение этой точки к центральному офису, где присутствует VPN-концентратор. Точки доступа поддерживают новые стандарты безопасности WPA2 и WPA3 в беспроводном сегменте, поддерживается авторизация 802.1х, включая внутренний RADIUS server.

-------

Стандарт IEEE 802.1х определяет процесс инкапсуляции данных EAP (Extensible Authentication Protocol - расширяемый протокол аутентификации), передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (протокол RADIUS - Remote Authentication in Dial-In User Service).

-------

Есть примеры офисов, где 5-10 сотрудников подключены к Интернету и корпоративным ресурсам за счет только одной точки доступа, получается удобно, гибко и не дорого. Точки доступа поддерживают функционал captive portals, что позволяет производить гостевые подключения с авторизацией.

Такой офис достаточно просто расширять за счет нескольких технологий. Первая из них, это виртуальный контроллер, который позволяет добавлять дополнительные точки в офис, при этом две из них станут виртуальными контроллерами для остальных точек: активный контроллер и его бэкап, последний нужен на случай падения активного контроллера. Такой виртуальный контроллер может поддерживать до 64 точек, при этом не обязательно, чтобы все точки были однотипными. Один из вариантов соединения точек доступа между собой, это технология, носящая название MESH. Если по каким-то причинам MESH-технология не подходит, можно использовать первую технологию и собрать всю сеть на одном коммутаторе.

-------

MESH-сеть — сетевая топология компьютерной сети, или ячеистая топология, построенная на принципе ячеек, в которой рабочие станции сети соединяются друг с другом и способны принимать на себя роль коммутатора для остальных участников. Данная организация сети является достаточно сложной в настройке, однако при такой топологии реализуется высокая отказоустойчивость. Как правило, узлы соединяются по принципу «каждый с каждым». Таким образом, большое количество связей обеспечивает широкий выбор маршрута трафика внутри сети — следовательно, обрыв одного соединения не нарушит функционирования сети в целом.

В MESH-сети точки доступа строят соединение друг к другу, тут не нужно думать какие коммутаторы нужно использовать, как протягивать витую пару. Но, как любая другая технология, MESH имеет свои ограничения, например, для хорошей работы этой технологии нужно выделять отдельный диапазон (2,5 ГГц либо 5 ГГц), соответственно диапазона для подключения отдельных пользователей становится в два раза меньше.

«Интеллектуальность» MESH-сети является одной из ключевых особенностей беспроводной ячеистой сети. «Интеллектуальность» означает, что при подключении каждая точка автоматически получает информацию обо всех других точках доступа в сети и «выясняет» свою роль. Такое поведение исключает необходимость постоянного администрирования и способствует быстрому развертыванию.

MESH-сеть обладает самовосстановлением и самоадаптацией. Как только сеть включена и начинает функционировать, каждое устройство автоматически определяет состояние соседей и свою роль в общей топологии. Поэтому, при выходе из строя одного из узлов, сеть способна перенаправить данные — то есть переопределить маршруты автоматически.

-------

Достоинство беспроводной архитектуры в том, что эту конструкцию можно масштабировать практически бесконечно за счет того, что функционал контроллера разнесен с функционалом RF-Domain Manager. Т.е. контролёр в данной схеме – это исключительно точка изменения конфигураций на других точках доступа, data plain – это решение, которое определяет на каком канале какая точка будет «светить», где будет происходить роуминг, быстрый он будет или нет, какая мощность будет на какой точке доступа включена, этот функционал находится не на центральном контроллере, а на RF-Domain Manager. Эта некая сущность, которая прячется либо в одной из точек доступа на площадке, либо, если площадка очень большая (более 256 точек), то этот функционал прячется в локальном контроллере. Благодаря такому разнесению именно контроллера, который является единой точкой конфигурирования и мониторинга, и функционала заведования именно радиоэфиром, можно таких площадок подключить к центральному контроллеру буквально сотни и тысячи. Т.е. на каждой площадке могут быть тысячи точек доступа.

Существуют механизмы как плавно мигрировать от одной точки доступа со встроенным контроллером к системе с внешними контроллерами, так называемыми NOC Controllers, т.е. контроллерами, расположенными в центральном офисе (Network Operation Center).

Советы по дизайну беспроводной сети

Теперь несколько вендоронезависимых советов по дизайну беспроводных сетей. Первый совет: нужно создавать дизайн сети отдельно для каждого из диапазонов сети (5 ГГц и 2,4 ГГц), потому что радиоволны по-разному распространяются в этих частотах и потому количество каналов на этих диапазонах различаются в разы. На 2,4 ГГц только 3 не пересекаемых канала, на 5 ГГц - их больше 20.

Второй совет: следует переключать клиентов на 5 ГГц, вместо 2,4 ГГц, поскольку первый диапазон менее зашумлен и там большее количество каналов, поэтому можно дать каждому клиенту бОльшую пропускную способность. Это технология называется «балансировка клиентов», в него входит также и функционал перемещения клиентов с диапазона 2,4 ГГц на 5 ГГц различными способами.

Третий совет: использовать 20 мегагерцовые каналы. В Wi-Fi есть функционал объединения каналов. Самый маленький диапазон – 20 МГц, можно два ближайших по частоте канала объединить в 40 мегагерцовый канал, можно также получать каналы в 80 и 160 МГц. Проблема в том, что при использовании широких каналов, например, 40 или 80 МГц, значительно сокращается количество свободных каналов, таким образом общая пропускная способность в большинстве случаев в сети будет снижаться. Если использовать каналы по 20 МГц, то количество каналов будет большим и общая пропускная способность будет в разы больше.

4-й пункт не очевидный: для хорошего дизайна Wi-Fi-сетей необходимо понимание какие клиенты будут пользоваться построенной сетью. Будут ли это дорогие ноутбуки или несложные смартфоны с одним пространственным потоком, которые поддерживают только старые стандарты. Дизайн должен учитывать самое простое устройство, которое должно работать в этой сети и если таких устройств будет много, то они не будут страдать от низкой производительности сети.

К дизайну Wi-Fi-сети есть два подхода. Первый – дизайн по покрытию. Допустим у нас есть площадка и основная задача заключается в том, чтобы Wi-Fi-сигнал на этой площадке должен быть не менее 67 dB. Однако, этот подход не учитывает, что на эту площадку может прийти много абонентов, они будут подключены к одной точке доступа и ни к чему хорошему это не приведет.

Второй подход – дизайн по пропускной способности (capacity). Допустим, что на площадку буду приходить 100 клиентов и все они одновременно будут использовать HD-видеопоток. В этом случае необходимо увеличить количество точек доступа, но и качество Wi-Fi-соединениях в этом случае станет в разы больше.

Следующий совет касается primary and secondary coverage, т.е. любой клиент в любой точке площадки должен иметь основное покрытие от ближайшей точки доступа, а также нужно думать о том, какое покрытие будет у клиента, если активная точка доступа отключится или с ней что-то произойдет непредвиденное. Т.е. в любой точке сети должно быть доступны минимум две точки доступа с адекватным уровнем сигнала.

Когда точек доступа много, естественно наступает интерференция радиоволн разных типов: межканальная и внутриканальная, что хорошо рассчитывается в различных системах дизайна Wi-Fi. От интерференции совсем избавиться, естественно, не удастся, поскольку это естественное явление во всех радиопередачах.

Каждой точке доступа желательно иметь PoE-подключение, поэтому слишком далеко точки доступа по офисе не расположишь из-за ограничения по длине кабеля, поэтому надо заботиться о кабельных трассах, также надо заботиться о PoE-бюджете. Обычно перед тем, как идти на объект клиента можно сделать так называемое моделирование сети. Для этого есть несколько механизмов. Один из них – это бесплатный планировщик Wi-Fi-покрытия.

Ссылка на этот планировщик дана на рисунке, там надо зарегистрироваться и тогда можно бесплатно пользоваться планировщиком. Следует подложить в планировщик схему здания, затем отрисовать стены, указать материал стен (бетон, картонные перегородки или стекло и т. д.). Потом либо вручную развешивать точки доступа, либо благодаря специальной кнопке система сможет сама развесить их в зависимости от того какие изначальные условия в системе прописаны. На рисунке видно, что в планировщике поддерживается два типа дизайна: первый – по производительности, тут нужно указать что на этой площадке будет находиться столько-то клиентов с такими-то показателями, второй подход – по покрытию, чтобы на площадке в каждой точке был правильный уровень сигнала, не меньше чем заданное значение.

При втором подходе количество точек доступа будет в разы меньше. Также можно импортировать картинки из других систем внутрь бесплатного планировщика, который имеет множество функций. Если нужно рассчитать сложный объект, когда нужно учитывать интерференцию между этажами, или если у нас какой-то гигантский холл с потолками высотой по 20 метров, то таких объектов в этом бесплатном планировщике посчитать не удастся. В этом случае можно обратиться в компанию Extreme Networks, у ее сотрудников есть возможность расчета таких сложных конструкций.

Проводная архитектура

Начнем строить обычную сеть на традиционных топологиях с традиционными протоколами, для надежности мы будем использовать функционал MLAG, когда два коммутатора ядра или два главных коммутатора объединяются в кластер и дальше несколько коммутаторов доступа подключаются двумя интерфейсами к обоим главным коммутаторам для надежности.

Второй вариант – это использование другой технологии – стекирования. Стек – это с точки зрения администрирования одно устройство. Если было 8 отдельных коробок, то объединив их в стек у администратора появляется для управления только одно устройство, которое состоит из 8-ми маленьких устройств, но имеет единый конфигурационный файл, администрировать такой устройство много проще. В стек можно объединять коммутаторы, расположенные в разных зданиях и соединенные между собой оптикой, можно объединить коммутаторы в стек из разных серий, что иногда довольно удобно (можно объединить PoE-коммутаторы с не PoE-коммутаторами).

Extended Edge

Сравнительно недавно у Extreme Networks появилась еще одна технология, так называемая Extended Edge. При использовании этой технологии есть главный коммутатор или Controlling Bridge, это коммутатор из линейки Extreme Summit, на нем установлена полноценная ОС, там есть процессор, память, чип для обработки трафика. К этому коммутатору можно подключить в режиме Port Extended другие switches из отдельной линейки, называемой Port Extenders. В этом случае эти небольшие switch будут видны на главном коммутаторе как дополнительные линейные карты. Это несколько похоже на стекирование, но если в стекировании мы ограничены 8-ю коммутаторами, то по технологии Virtual Port Extenders (VPEX) можно собрать в единую конструкцию до 48 узлов. Для надежности главный коммутатор Controlling Bridge используется в двух экземплярах, объединенных в кластер. С точки зрения администрирования это получается опять же одно устройство. Сейчас у компании Extreme Networks появились Port Extenders, которые могут пробрасывать сквозь себя PoE, это полезно, когда есть удаленная комната и есть проблемы в этой комнате с подключением питания 220 В.

Теперь внимательно посмотрим на традиционное построение сети. Например, имеется 3 точки доступа, одна из них станет главным виртуальным контроллером, на другой мы загрузим функционал соединения с внешними сетями и у на есть еще 3 коммутатора.

С точки зрения администрирования, если мы не используем какие-то дополнительные механизмы, у нас есть 3 разных switches, 3 точки конфигурации. Иногда это бывает неудобно. Если мы поднимем на этих коммутаторах функционал Virtual Port Extenders, тогда у нас будет один Controlling Bridge и 2 Port Extenders. Для администрирования у нас теперь есть одно устройство со многими портами, конфигурировать это устройство можно через Controlling Bridge, т.е. три коммутатора будут иметь один IP-адрес для управления. Это немного похоже в смысле операционной эффективности на то, как работают большие коммутаторы с линейными картами. Например, когда в большом коммутаторе с линейными картами одна из карт выходит из строя, следует послать монтажника, он вытаскивает сгоревшую карту и заменяет ее на новую. При этот администратор ничего не делает, поскольку коммутатор сам заливает правильную прошивку на эту карту, сам накладывает старую конфигурацию. В системе VPEX происходит абсолютно тоже самое. Если есть серьезные проблемы с одним из Port Extender, мы можем послать монтажника, он заменит это устройство на новое и в этом случае также администратору ничего не нужно будет делать. Новый Port Extender автоматически найдет Controlling Bridge, тот обновит на нем правильную прошивку и зальет правильную конфигурацию.

При добавлении новых Port Extenders тоже ничего не надо переконфигурировать. Его увидит Controlling Bridge и будет работать и с ним.

Операционные модели

Если у нас небольшая сеть, содержащая не более 10 коммутаторов и не много точек доступа, то можно обходиться и без единой системы управления и мониторинга.

Если хочется удобства, то можно поставить локально на площадку единую систему управления и мониторинга, например, ExtremeCloud Appliance, это первый вариант. И второй вариант – это управление точками доступа и коммутаторами через облако – ExtremeCloud IQ. Два последних варианта по функциональности практически идентичны. Но, обычно новая система управления – это не просто развитие конфигурации по switches, потому что зачастую в новых системах управления появляется дополнительный функционал.

Ну, например, если посмотреть на левую часть картинки, где нет единой системы управления, и вдруг появилось желание сконфигурировать так, чтобы различные пользователи из различных групп имели разные права при подключении корпоративных сетей. Это будет довольно сложно сделать, потому что у нас нет центрального радиосервера. Так же, если у нас появятся, например, задачи по подключению каких-то временных гостей. Как это сделать без общей системы управления? Практически это сделать невозможно. Соответственно, добавляя систему управления в сеть, вы не просто получаете единую точку управления и мониторинга, вы получаете и дополнительные сервисы. И зачастую вот ради этих дополнительных сервисов, имеет смысл задуматься о том, нужна ли вам либо облачная система управления, либо система управления, которая устанавливается непосредственно на площадке.

Система управления, которая устанавливается непосредственно на площадке, называется ExtremeCloud Appliance. Она может поставляться либо в виде виртуальной машины, либо можно купить физический сервер, уже с предустановленным ExtremeCloud Appliance. Поддерживается интеграция и работа со всеми точками доступа и с коммутаторами, а также с отдельными продуктами Extreme Defender.