Технологии развиваются и высокоскоростным интернетом уже никого не удивишь. 4G-сети уже предоставляют среднюю скорость передачи данных до 100 Мбит в секунду, а после 2020 года мировые производители телекоммуникационного оборудования начнут внедрять стандарты, поддерживающие скорость передачи данных до 1Гбит в секунду.
Wi-Fi-сети не исключение. Стандарт 802.11 AC предполагает скорость передачи данных (пропускная способность сети) до 6,77 Гбит в секунду, при определенных условиях и оборудовании, естественно.
Коммерческий и потребительский сектор при относительно небольших вложениях уже может получить скорость сети около 1 Гбит в секунду, чего достаточно для большинства задач.
В связи с этим логично, что все больше наших клиентов обращаются к нам с задачей «организовать Wi-Fi сеть для…». А вот далее варианты различны. Беспроводная сеть может быть для систем автоматизации склада, для работы в терминальной среде или клиент хочет полностью отказаться от стационарных ПК в пользу мобильности. Каждая задача решается по-разному и требуется различный тип оборудования, но есть несколько критериев, идентичных для всех запросов – «бесшовный роуминг» и безопасность. Эти критерии мы и хотели обсудить в данной статье.
Бесшовный роуминг
Роумингом называется процесс перемещения клиентского устройства от одной точки доступа до другой в пространстве. Чем больше мы отдаляемся от точки доступа, тем больше ослабевает уровень сигнала и растут канальные ошибки – вплоть до потери связи.
Бесшовный роуминг подразумевает наличие в сети нескольких Wi-Fi точек доступа с одним SSID. При соблюдении этих требований произойдет автоматическое переключение. Но вот будет ли оно бесшовным? Остановится ли закачка файла при переключении? Прервется ли голос при разговоре по IP телефонии?
Безопасность
На текущий момент существует два основных стандарта безопасности беспроводных сетей – WPA2 + AES и WPA2 Enterprise + EAP. Сам протокол EAP имеет несколько типов (EAP-TLS, EAP-FAST и т.д.). Мы в своем тестированиии используем метод PEAP. Устаревшие стандарты WPA и WEP, а также метод шифрования TKIP описывать не будем. Все больше производителей оборудования отказываются от данных стандартов, так как они сильнее всего подтверждены взлому.
- WPA2 – personal (WPA2-PSK) + AES. При применении данного режима, необходимо вводить один пароль для каждого сегмента сети (точки доступа, беспроводные мосты и т.д). В октябре 2017 года был подвержен уязвимости KRACK.
- WPA2 – enterprise. Стандарт безопасности корпоративного сектора. Подразумевает наличие в сети сервера авторизации. Почти всегда это RADIUS сервер. Основная суть стандарта заключается в том, что для каждого отдельного устройства или пользователя используется свой ключ авторизации или сертификат. Этот ключ может обновляться с течением времени без разрыва соединения, а за его генерацию отвечает RADIUS. При успешной авторизации радиус сервер способен передать точке доступа такие параметры как: IP адрес абонента, номер VLAN, и т.д.)
802.11r
Компания Ubiquity внедрила в свой Unifi-контроллер поддержку стандарта 802.11r, на момент написания материала поддержка в статусе beta. Этот стандарт призван минимизировать потери данных (по сути является бесшовным роумингом) при переключении клиента с точки на точку. Основные преимущества нового стандарта получат независимые устройства без контроллера.
Цель испытаний
Произвести испытания стандарта 802.11r в полевых условиях используя оборудование Unifi со следующими параметрами:
- WPA2 PSK + AES + 802.11r.
Цель – выяснить есть ли практический смысл использования стандарта для сетей с общим ключом. - WPA2 – Enterprise + EAP + RADIUS.
Цель – выяснить каково время переключения клиента без 802.11r. - WPA2 – Enterprise + EAP + 802.11.r
Цель – выяснить каково время переключения клиента с активированным 802.11r.
В данном тестировании мы не затрагиваем вопросы безопасности технологии, не используем сертификат выданный ЦС.
Состав тестового стенда
- Оборудование Unifi:
- Unifi Cloud Key
- Unifi AP-AC-In Wall – 3 шт.
- Windows Server 2016 Standard со службами:
- AD
- NPS
- Служба сертификации AD
- Ноутбук c ОС WIN 10. Сетевая карта Intel AC 8260
- ПО для радиообследоания Tamograph Site Surway
- Трафик создаем командой ping -t -l 1000
Методика испытаний
- Производим радиочастотное обследование с помощью Tamograph Site Surway. Убеждаемся, что проблем с построением Wi-Fi-сети нет.
- Производим настройку RADIUS-сервера. Сервер авторизации базируется на Windows. Выбор обусловлен относительной простотой развертывания и популярности ОС на рынке. В настройках центра сертификации используем корневой самоподписанный сертификат. Авторизация в RADIUS происходит, используя доменные учетные записи. Учетных записей две.
- Конфигурируем Unifi-контроллер. Добавляем данные RADIUS в настройки SSID. Создаем несколько SSID для тестирования:
- ent r – WPA – Enterprise + 802.11r
- ent no r – WPA – Enterprise
- wpa r – WPA2 PSK + 802.11r
- wpa no r – WPA2 PSK
- IP-телефония. В данном случае тест субъективный. Мы используем мобильный телефон и ПО для IP-телефонии. «На том конце» включаем удержание вызова и «слушая музыку» перемещаемся по помещению. Далее повторяем тест, но уже передвигаясь и общаясь по телефону.
- RDP-соединение. На ноутбуке запускаем удаленный сервер и перемещаемся по помещению.
- Производим замеры. Начинаем генерировать трафик ping -t -l 1000.Тестировать заголовки объемом до 50 байт не представляет интереса. Будем считать , что 1000 байт условно средний размер пакета. Испытания проводим 4 раза. Результаты фиксируем.
Испытания по этапам
Этап 1. Проведение радио обследования объекта
Для проведения обследования используем ПО Tamograph Site Surway.
Схема 1. Обследование
На плане изображены три точки доступа с разными уровнями сигнала. Данное помещение является многоуровневым, потому одна точка может обслуживать два этажа. Из данного графика мы видим, что помещение полностью покрывается сетью, проблемные зоны отсутствуют.
Этап 2. Подготовка RADIUS
Создаем двух пользователей и группу Wi-Fi, куда добавляем пользователей. Повышаем роль сервера до КД.
Схема 2. Роли
Схема 3. Active directory
Схема 4.NPS (Сервер сетевых политик)
В данном окне необходимо добавить все ТД, которые будут общаться с Radius сервером. Можно задать шаблон из общего секретного ключа.
Схема 5. Политики подключения.
Здесь стоит обратить внимание на то, что метод авторизации EAP в нашем случае по паролю. При добавлении пункта авторизации по «смарт-карте или иному сертификату» вам потребуется сертификат ЦС.
Этап 3. Подготовка Unifi-контроллера
Схема 6. Создаем профиль Radius
В поле IP указываем адрес нашего сервера, порт не меняем, пароль – общий ключ который мы указывали для ТД на схеме 4.
Схема 7. Настройка SSID
Выбираем пункт WPA enterprise, ранее созданный профиль RADIUS и активируем маркер fast roaming.
Подготовительные работы завершены.
Этап 4. Тестирование
- Тестирование «ent r – WPA – Enterprise + 802.11r»
Схема 8. Момент переключения на вторую точку доступа
Видео 1. Демонстрация тестирования «ent r – WPA – Enterprise + 802.11r»
- Тестирование «ent no r – WPA – Enterprise»
Схема 9. Момент переключения на вторую точку доступа
Схема 10. Момент переключения на третью точку доступа
Видео 2. Демонстрация тестирования «ent no r – WPA – Enterprise»
- Тестирование «wpa r – WPA2 PSK + 802.11r»
Схема 11. Момент переключения на вторую точку доступа
Видео 3. Демонстрация тестирования «wpa r – WPA2 PSK + 802.11r»
- Тестирование «wpa no r – WPA2 PSK + 802.11r»
Схема 12. Момент переключения на вторую точку доступа
Схема 13. Момент переключения на третью точку доступа
Видео 4. Демонстрация тестирования «wpa no r – WPA2 PSK + 802.11r»
- Тестирование голосовых вызовов
Испытания проводились уже после всех основных замеров. Мы использовали все четыре ранее созданных SSID. При следовании по маршруту (как показано на видео) в момент потери пакета происходила деформация слова. Сказать, что при этом теряется смысл нельзя. При активированном режиме ожидании, проигрываемая музыка так же искажалась на доли секунды.
- Тестирование RDP-соединения
При перемещении по маршруту соединение не прерывалось. В теории, можно было заметить микрофриз в момент переключения. На работу это не влияет.
Заключение и выводы
Таблица 1. Выводы
| Потери пакетов ping -t -l 1000 | Прерывание скачивания | Отключение RDP | Голосовые вызовы | |
| WPA – Enterprise + 802.11r | 1 | не произойдет | не произойдет | Присутствует деформация слова при переключении с точки на точку. |
| WPA – Enterprise | 2 | |||
| WPA2 PSK + 802.11r | 1 | |||
| WPA2 PSK | 2 |
Сегодняшнее тестирование дало неоднозначные результаты:
- При использовании оборудования Unifi, роуминг между точками доступа работает и без включения стандарта 802.11r. Как в случае с WPA2, так и WPA2 – Enterprise. Переключение клиентов происходит с минимальной потерей пакетов, в нашем случае один при включенном стандарте, и два пакета при выключенном 802.11r.
- RDP-соединение не переподключается при переключении, что ожидаемо (переподключения происходят при потерях от 5 – 8 пакетов).
- Голосовые вызовы переключаются без ощутимого дискомфорта. Звонок не прерывается как при включенном стандарте, так и при выключенном.
Стоит ли внедрять новый стандарт?
Если ваша инфраструктура состоит из независимых точек доступа, то рекомендуем обновить ПО оборудования до последней версии. При активации 802.11r, вы заметите ощутимые улучшения. Тестирование компании Zyxel это подтверждает.
Если вы строите систему с нуля, и вы точно знаете, что будет больше одной точки доступа, стоит присмотреться к оборудованию Ubiqity, учитывая, что ценник весьма гуманный.
