Asi nejznámějším postupem pro budování bezdrátové sítě je site survey. Tento postup v sobě zahrnuje analýzu požadavků na síť, spektrální analýzu, analýzu umístění přístupových bodů a analýzu pokrytí. Postup si samozřejmě můžete přizpůsobit svým požadavkům, ale vynechání některého z navrhovaných kroků doporučujeme dobře rozmyslet a odůvodnit.
 

Obr. 1: Jedno z možných zapojení sítě při využití WLAN kontroléru.

Požadavky zákazníka jsou základ

Celý proces stavby sítě začíná zpravidla zadáním projektu od zákazníka a definováním základních požadavků na síť. Tato fáze je pro celý projekt velmi důležitá, nicméně zákazník často nedefinuje své požadavky zcela přesně. Nestačí vám totiž vědět, které všechny prostory chce zákazník bezdrátovým signálem pokrýt, ale musíte také (společnými silami) určit, jaká má být jeho minimální úroveň a zároveň minimální garantovaná propustnost sítě a maximální latence, kterou zákazník vyžaduje. Pokud budou na síti provozovány také VoIP telefony, bude zákazník pravděpodobně požadovat roaming mezi přístupovými body.

Neméně důležité jsou také požadavky na bezpečnost sítě a případné propojení se stávající infrastrukturou. Pokud budou uživatelé přistupovat z bezdrátové sítě i k vnitřním zdrojům organizace, je zcela na místě tento prvek zahrnout jak do výběru přístupových bodů (např. podpora VLAN), tak do bezpečnostních požadavků. S tím souvisí i předpokládané využití sítě a otázka, jaká zařízení se budou do sítě připojovat. To vše by vám měl zákazník sdělit.

V tomto kroku již můžete uvažovat také o výběru technologie. Na výběr máte frekvenční pásma 2,4 GHz a 5 GHz. Vhodnou volbou je přitom využít obě nabízená pásma. Především v hustě osídlených oblastech je totiž pásmo 2,4 GHz doslova přeplněné a značně rušené řadou elementů nejen v podobě okolních sítí. V pásmu 5 GHz tolik sítí nenajdete a nabízí mnohem více kanálů. Na druhou stranu, některá zařízení toto pásmo stále nepodporují (například i některé nové chytré telefony).

Pro vyšší propustnost sítě než 54 Mbit/s musíte sáhnout po přístupových bodech s podporou standardu 802.11n, které nejčastěji nabízejí propustnost 150 až 300 Mbit/s. Setkáte se ale i s lepšími parametry. Je dobré zákazníka také upozornit, že výše zmíněné propustnosti jsou pouze teoretické a reálná přenosová rychlost bývá přibližně poloviční. Pokud zákazník vyžaduje maximální výkon, můžete mu nabídnout WiFi na standardu 802.11ac. Překážkou je ale vyšší cena, slabá podpora koncových zařízení a provoz jen na pásmu 5 GHz.

Důležitou otázkou je rovněž připojení bezdrátové sítě ke stávající infrastruktuře, na kterou klade nová síť další nároky. Může se tak stát, že současná infrastruktura bude vyžadovat menší či větší zásahy. A s tím jsou samozřejmě spojeny dodatečné náklady.

Po prvotní analýze požadavků již budete mít přibližnou představu o velikosti budoucí sítě, takže můžete rozhodnout, zda využít samostatné AP, či AP řízené WLAN kontrolérem. Někteří výrobci nabízí také hybridní AP, které kombinuje vlastnosti obou. Vybrané přístupové body přitom umí pracovat jako kontrolér a řídit například deset dalších AP. Pro menší a střední sítě je to ideální volba.

Analyzuje se vše a všude

Spektrální analýza pomůže odhalit nepředpokládané zdroje rušení v daném frekvenčním pásmu, které mohou značně snižovat výkon budované sítě. Pokud budujete například senzorovou síť, může se neodhalený zdroj rušení stát vážným problémem. K častým zdrojům rušení v pásmu 2,4 GHz patří bezdrátové telefony, videokamery, Bluetooth zařízení, špatně odstíněně mikrovlnné trouby a třeba i plazmové řezačky. Zdrojů může být skutečně mnoho a jejich identifikace vám pomůže najít kritická místa sítě, v rámci nichž bude potřeba umístit více přístupových bodů či změnit frekvenční kanál. Pro spektrální analýzu můžete využít specializované softwarové nástroje, které se často dodávají i s uzpůsobeným bezdrátovým adaptérem. Ze spektrální analýzy můžete přejít na analýzu umístění přístupových bodů. Tu lze provést třemi způsoby.

Nejjednodušším řešením je využít některého ze softwarových nástrojů (např. ZyXEL Wireless Optimizer), kam zadáte plány budovy, tloušťky stěn a další parametry. Nástroj pak automaticky vypočte optimální umístění přístupových bodů. U menších sítí lze provést analýzu manuálně. Zjednodušeně řečeno stačí umístit první AP a ve vzdálenosti s požadovanou úrovní signálu poté další AP. A tak pořád dokola. Postup je ale nevhodný pro rozsáhlejší prostory s větším počtem přístupových bodů. Třetí možností je využít vlastních výpočtů, díky kterým získáte přibližnou představu o šíření signálu a rozmístění AP. Vhodným modelem šíření signálu v budově je tzv. multi-wall model, který reflektuje členitost interiéru a poskytuje velmi přijatelné výsledky. Vcelku snadno jej můžete implementovat například v Matlabu.

Ani jeden z těchto postupů není samozřejmě stoprocentně přesný a nemusí zohledňovat všechny získané informace. Pokud navíc víte, že se například v přednáškové místnosti bude pravidelně nacházet vysoký počet klientů, je vhodné umístit na dané místo více přístupových bodů. Neopomínejte také samotné umístění AP. Když pomineme skutečnost, že vám je může někdo odcizit (i to se bohužel stává), musí umístění reflektovat i případné prašné či jinak extrémně náročné podmínky.

K ověření, že se vám přístupové body podařilo umístit správně, slouží analýza pokrytí. Provést ji můžete buď manuálně (pasivně bez asociace s AP, aktivně s asociací k AP), asistovaně (s využitím speciálních funkcí WLAN kontroléru) či prediktivně za pomoci speciálního softwaru. Ověřit byste měli především nasmlouvané požadavky, tedy domluvenou úroveň a dostupnost signálu, propustnost sítě a latenci.

Jaké jsou možnosti zabezpečení?

Nároky na zabezpečení se odvíjí od určení sítě a požadavků zákazníka. Pokud budujete síť s vysokým zabezpečením, měli byste se zaměřit především na čtyři základní aspekty – šifrování dat, AAA model (autentizace, autorizace a účtování), segmentaci a monitoring. Pro zabezpečení přenášených dat ve firemním prostředí je dnes standardem šifrování WPA2-enterprise, které využívá blokovou šifru AES, dynamicky generované klíče, a v dnešní době tak poskytuje nejvyšší možnou bezpečnost. WPA2-enterprise počítá s ověřováním jednotlivých uživatelů, a tedy s nasazením AAA. Koncept AAA zajišťuje autentizaci (ověření identity), autorizaci (přidělení síťových prostředků) a účtování (sledování využití síťových služeb uživateli). Pro autorizaci využívá služeb protokolu 802.1X a autentizaci zajišťuje s využitím EAP.

Širokou podporu u klientských zařízení má EAP protokol PEAPv0/MSCHAPv2 společnosti Microsoft, který je ve spojení s RADIUS serverem na Windows Server 2008 patřičným řešením pro ověřování klientů ve firemní síti. Uživatelé pak totiž mohou využít k přístupu do WiFi stejné údaje jako při přístupu do domény. Identita RADIUS serveru může být uživateli ověřována také prostřednictvím certifikátu, který zajistí, že útočník nebude moci do sítě propašovat svůj server. Pomocí certifikátů lze případně ověřovat i klienty, ale musíte každému klientovi vygenerovat soukromý certifikát. Zabezpečení je v takovém případě sice velmi silné, ale uživatelům může činit problém vůbec se do sítě připojit, protože konfigurace klientské stanice již není triviální. Je na vašem zákazníkovi, zda vyžaduje maximální bezpečnost, či snazší použitelnost sítě.

Segmentace, neboli oddělení bezdrátové sítě od infrastruktury, je velmi důležitý bod, neboť v určitých ohledech lze stále považovat bezdrátovou část sítě za nedůvěryhodnou. Problémy v této oblasti umocňuje trend BYOD, v rámci něhož si uživatelé nosí do firemní sítě vlastní zařízení (notebooky, chytré telefony a tablety), které nejsou pod kontrolou firmy. Mohou tak potenciálně obsahovat viry či jinou nebezpečnou havěť. Zjednodušeně řečeno je pak potřeba nasadit specializované aplikační brány či monitorovací systémy, které by se měly o dané problémy postarat. Tematika BYOD je velmi obsáhlá a zabrala by prostor na celý článek, proto se jí v tomto případě věnujeme jen okrajově.
 

Obr. 2: Spektrální analýza. Nahoře je vidět pásmo obsazené jedním AP při plném vytížení. Všimněte si, že AP zasahuje do několika kanálů najednou. Dole se nachází pásmo 2,4 GHz obsazené jedním AP rušené aktivním Bluetooth spojením.

Důležitou součástí vybudované sítě je také její monitoring, díky kterému můžete odhalit případné problémové uživatele a další hrozby. Výrobci WLAN zařízení většinou prodávají také specializovaný software, který si rozumí s jejich zařízeními a dokáže celou síť monitorovat.

Moderní bezdrátová síť není levná

Přestože si to někteří zákazníci myslí, bezdrátová síť dnes není vůbec levnou záležitostí. Na její parametry i bezpečnost jsou kladeny stále větší nároky a to se samozřejmě odráží na výsledné ceně. Vybudovat síť navíc není nijak jednoduché. Pokud má síť splňovat všechny stanovené parametry, je nutné provést celou řadu analýz, jejichž časová náročnost se taktéž podepisuje na finanční náročnosti celého projektu.

Petr Koudelka
Autor působí jako technical specialist společnosti Zyxel Communications Czech.