Сегодня даже небольшие компании уходят от автономных децентрализованных Wi-Fi-сетей, которые дорого эксплуатировать, сложно защитить от вторжения и еще сложнее масштабировать. Наиболее распространены централизованные сети, управляемые с помощью контроллеров. Затраты на приобретение и эксплуатацию контроллеров составляют значительную часть стоимости такой сети. Для решения этой проблемы сегодня все чаще используются виртуальные контроллеры.
Наиболее распространенные корпоративные Wi-Fi-сети (WLAN) обычно используют проверенную концепцию централизованного контроллера, который управляет другими контроллерами и точками доступа (AP). В таких системах через физический контроллер проходит весь трафик и данные, необходимые для управления сетью.
Новая концепция виртуализации предполагает программный контроллер, через который проходят только данные для управления: аутентификация, координация сессий, предотвращение вторжений, управление радиопокрытием и т. д. Остальной трафик в таких сетях минует контроллер и передается через сеть напрямую. Компания Adtran в своих решениях Bluesocket впервые разделила трафик и управление за счет умных AP, которые самостоятельно осуществляют аутентификацию пользователей и проводят трафик. Виртуальные контроллеры Bluesocket имеют аббревиатуру vWLAN (virtual Wireless LAN), примем это обозначение для всех сетей с виртуальным контроллером, который не проводит трафик.
Рисунок 1. Традиционная схема централизованной сети с контроллером, через который проходит весь трафик
Аппаратный контроллер часто является самым «узким» местом ИТ-системы, поскольку через него проходит весь трафик. Любое резкое увеличение нагрузки может затормозить или даже «утопить» контроллер и привести к сбою в работе всей сети. Часто этим фактом могут воспользоваться злоумышленники - провести успешную DDoS атаку на корпоративную сеть. Также большое количество контроллеров создает множество мобильных доменов, что усложняет эксплуатацию и создает дополнительные риски взлома.
Виртуальный контроллер работает только с данными управления, а трафик идет через сеть на месте подключения, поэтому масштабировать сеть проще. Данные, управляющие сетью, шифруются и могут передаваться через Интернет, но при этом потеря связи означает потерю управления сетью. Правда и в этом случае vWLAN может поддерживать работу внутренней сети в автономном режиме. Если при аутентификации используется удаленный сервер RADIUS, то в случае потери связи с контроллером новые пользователи не смогут подключиться к сети. Для предотвращения подобных ситуаций необходимо заранее настроить дополнительные способы аутентификации на случай недоступности RADIUS.
Рисунок 2. Новая схема централизованной сети с контроллером, через который проходит только трафик для управления
Функционал WLAN и vWLAN в настоящее время не отличается, например, Bluesocket предлагает физические и виртуальные серверы, на которых используется один и тот же программный код и приложения.
Популярная сейчас концепция SaaS, при которой сеть Wi-Fi предлагается как услуга, также требует минимум настраиваемых аппаратных решений, потенциально обещает значительную экономию средств в сравнении с традиционными аппаратными системами. Слабым звеном в реализации этой концепции является контроллер, как центр сети.
Небольшим и средним компаниям часто не по карману покупка, резервирование и обслуживание контроллера WLAN с десятками AP. Впрочем, и для крупных организаций покупка мощного контроллера, например, Aruba 7210 (до 512 AP), обойдется в сумму больше $15 тыс., что требует серьезного подхода при планировании сети. Но в любом случае возможности расширения сети ограничены, и при очередном увеличении масштабов нужно закупать новое дорогостоящее оборудование. У сетей vWLAN таких аппаратных ограничений нет, например, виртуальный контроллер Bluesocket на мощной платформе виртуализации VMware может обслуживать до 10 тыс. AP и до 50 тыс. пользователей для Wi-Fi современного стандарта 802.11n.
Рисунок 3. Виртуальный контроллер vWLAN позволяет быстро развернуть надежную сеть с множеством удаленных точек доступа (AP)
Виртуальный контроллер позволяет отказаться от всех трат на аппаратную часть, кроме покупки точек доступа. Например, контроллер Bluesocket для vWLAN может поставляться в виде образа, который размещается в частном или публичном облаке. Обслуживание контроллера может производить владелец облака, управление сетью происходит через гипервизор дата-центра. Масштабирование такой сети очень простое: с помощью покупки лицензий на любое количество точек доступа.
Движение трафика без «протаскивания в бутылочное горлышко» физического контроллера резко снижает нагрузку на контроллер vWLAN и экономит средства за счет использования более «медленного» соединения при подключении контроллера через Интернет. Это означает меньшие требования к производительности оборудования. К тому же на контроллере vWLAN проще выполнить резервирование сети, в том числе разместить запасной контроллер в другом регионе, что повышает надежность и дает возможность бесшовного обновления софта.
У WLAN есть преимущество при модернизации старой и очень крупной сети — обычно проще купить новый более мощный контроллер, чем переделывать сеть под виртуальный контроллер. Но при этом в WLAN необходим канал от AP до контроллера, который позволяет передавать трафик внутри защищенного тоннеля. Это усложняет развертывание сети с центральным контроллером и существенно удорожает ее эксплуатацию.
Рисунок 4. В технологии Aruba Instant роль виртуального контроллера берет на себя точка доступа (AP)
Свой вариант виртуализации предлагает компания HPE. Ее решение Aruba Instant использует уникальный подход к виртуализации контроллера. В сети Aruba Instant виртуальный контроллер размещается на одной из AP. Он обеспечивает обычные функции контроллера, аутентификацию RADIUS, отвечает за автоматическое конфигурирование сети, гостевой доступ и другие сетевые сервисы. Администратор сети может настраивать политики доступа и каналы связи для каждого идентификатора беспроводной сети или пользователя. Фактически, это децентрализованная система, в которой AP, не способная найти контроллер, сама назначает себя контроллером. Преимущество Aruba Instant в простоте и дешевизне развертывания: можно начать с одной AP и постепенно наращивать емкость сети. Поэтому обычно такие сети используются в небольших офисах. Следует учесть, что несмотря на наличие встроенных функций безопасности, например межсетевого экрана, к защищенности сетей Aruba Instant есть вопросы. В частности, в мае 2016 г. инженер Google Свен Блюменштейн (Sven Blumenstein) опубликовал отчет о 22 уязвимостях Aruba Instant, включая «слабый» софт, удаленный запуск программного кода, раскрытие содержания информации и т. д.
Бреши обещают закрыть в третьем квартале 2016 г., но Блюменштейн отметил, что его список уязвимостей явно не исчерпывающий. На этом фоне решения Bluesocket vWLAN выглядят намного более надежными благодаря использованию традиционных проверенных систем безопасности, разработанных для централизованных сетей.
Централизованная сеть с виртуальным контроллером в настоящее время предлагает максимальную гибкость и защищенность. Например, виртуальный контроллер Bluesocket vWLAN может одинаково эффективно использоваться в малом офисе или в транснациональной компании и масштабируется на 90 % больше, чем традиционные решения. При выделении виртуальному контроллеру Bluesocket четырех ядер CPU, 6 Гб ОЗУ и 41 Гб накопителя обеспечивается работа более 1,5 тыс. AP и 48 тыс. пользователей.
Разделение потоков основных данных и информации для управления сетью за счет умных AP освобождает ресурсы контроллера Bluesocket, но при этом сохраняется высокая защищенность сети. Кроме того, виртуальный контроллер может легко мигрировать на новый сервер во время очередной модернизации ИТ-системы компании. Решения Bluesocket обеспечивают развертывание безопасных беспроводных сетей современных стандартов 802.11a/b/g/n/ac и подходят для средних и крупных коммерческих, правительственных организаций с большим количеством пользователей на значительной площади.
Рисунок 5. Контроллеры Edimax и Bluesocket имеют встроенные инструменты, которые обеспечивают быстрое развертывание сети
Аналогичными возможностями обладают контроллеры Edimax, которые также проводят только данные управления, а не весь трафик. При этом, например, контроллер Edimax APC500 сразу имеет встроенную функцию радиопланирования с привязкой к Google Maps, что облегчает развертывание беспроводной сети. Он может использоваться для закрытых корпоративных и открытых общественных сетей (в ресторанах, гостиницах, парках и т. п.). В этом случае возможно подключение новых пользователей через Captive Portal, в том числе и с помощью SMS-аутентификации. Это позволяет выполнить современные требования российского законодательства по обязательной идентификации абонентов беспроводных сетей.
Таким образом, можно констатировать, что проектирование современной сети означает в большинстве случаев использование централизованного управления сетью (с помощью контроллера), но с разделением трафика на данные управления и непосредственно «рабочий» трафик, который циркулирует в сети и не проходит через контроллер. Это в значительной степени разгружает контроллер и каналы связи, устраняя основное узкое место в сети. При этом обеспечивается полный функционал и максимальная защита информации при снижении стоимости эксплуатационных расходов
Смотрите также: