Specifikace 802.11b testům podrobená

Po všeobecném přijetí standardu 802.11b se na trhu objevila řada produktů od různých výrobců nabízejících rádiov...


Po všeobecném přijetí standardu 802.11b se na trhu objevila řada produktů od
různých výrobců nabízejících rádiové přístupové body pro použití ve firmách. V
našem testu jsme se zabývali šesti reprezentanty, jimiž jsou: Aironet 340 od
Cisca; DWL-1000 AP od firmy D-Link; RoamAbout Access Point 2000 od firmy
Enterasys; Pro/Wireless 2011 Access Point od Intelu; AP-1000 Access Point od
Orinoca; Harmony 802.11 Access Point a Access Point Controller od společnosti
Proxim.
Pro úspěšné začlenění bezdrátového zařízení do firemní sítě je klíčovým
faktorem jeho výkonnost, avšak ta sama o sobě nestačí. Zapotřebí jsou rovněž
možnost správy, stabilita a bezpečnost.
Podle našeho hodnocení dopadl i přes vyšší cenu nejlépe produkt Aironet 340
společnosti Cisco, který nabídl nejlépe sestavený koktejl výkonnosti a možnosti
správy. Firma D-Link, přestože její hardware není určen vysloveně pro velké
firmy, nabízí mimořádně dobrý poměr cena/výkon v oblasti SOHO. Proxim přichází
s některými fantastickými nástroji pro správu, avšak výkonnost jeho řešení byla
nejnižší ze všech konkurenčních nabídek určených pro velké firmy. Enterasys a
Orinoco nabízejí kvalitní nástroje a slušnou výkonnost, avšak jejich dosah se
nedá srovnávat s dosahem řešení od Cisca. Zařízení od Intelu trpí nedostatkem
kvalitních správcovských nástrojů.

Jak rychle pracuje?
Testováním rychlosti sítí typu 802.11b jsme strávili spoustu času a výsledky
jsou velmi zajímavé. Ve všech našich testech (viz kapitolu "Jak jsme
testovali") stačily pro saturaci sítě čtyři uzly. Přístupový bod (access point)
lze srovnat se segmentem 10Mb/s Ethernetu. Proto lze pro zatížení sítě typu
802.11b používat prakticky stejná pravidla jako pro zatížení Ethernetu 10Base-T.
Překvapením pro nás byla značná různorodost řešení, pokud jde o jejich
přenosové rychlosti dat. V závislosti na konkrétním typu testu pracovaly
některé bezdrátové síťové karty (NIC) téměř dvakrát rychleji než ostatní a
některé přístupové body přenášely data až o 50 % rychleji než konkurenční
produkty (viz výsledky testů). Z přenosových statistik lze dále spočítat, že
100Mb/s Ethernet je 10krát až 20krát rychlejší než síťové komponenty typu
802.11b, kabelový Ethernet má tedy větší výkonovou rezervu, což však není
žádným překvapením.
Zklamání nám připravilo řešení Harmony společnosti Proxim. Myšlenka tohoto
řešení je nicméně zajímavá; přístupové body jsou "hloupější", tzn. že většina
jejich inteligence je přesunuta do kontroléru Harmony Access Point Controller
(prodává samostatně za 59 990 Kč bez DPH). Existuje tak pouze jediné řídicí
centrum, což umožňuje spravovat mnohem více přístupových bodů (Proxim
doporučuje až 10, i když možných je ještě více), které mohou být navíc založeny
na různých technologiích. Výhodou takovéhoto řešení je pak výrazně nižší cena.
Během testování se nám však nepodařilo objasnit, proč byl výkon Harmony tak
nízký. Ze samotné filozofie systému vyplývá, že veškerý bezdrátový provoz v
rámci Harmony protéká kabelovou sítí dvakrát, avšak podle ujištění firmy Proxim
toto obvykle nepředstavuje příčinu možných výkonnostních omezení. Snadným
výpočtem lze navíc dokázat, že zdvojnásobení provozu na bezdrátové lince
802.11b představuje pořád méně než 20 % kapacity sítě typu 100Base-T.

Jak jsme testovali
Je obtížné hodnotit přístupový bod bezdrátové lokální sítě sám o sobě. Jde o
součást sítě a jako součást celofiremní sítě rozšiřuje možnosti komunikace mimo
kabelovou LAN. V našem hodnocení jsme se zaměřili na výkonnost, bezpečnost,
nástroje pro správu, interoperabilitu, stabilitu a možnosti dalšího rozšiřování.
Za účelem testování výkonnosti jsme jeden přístupový bod po druhém zapojili do
naší sítě typu 100Base-T a nakonfigurovali jsme ho na výrobcem přednastavené
hodnoty. Poté jsme všude tam, kde to bylo možné, nainstalovali do našich osmi
testovacích počítačů bezdrátové síťové karty od téhož výrobce. Vzhledem k tomu,
že několik výrobců nedoručilo osm síťových karet, nahradili jsme chybějící
karty kartami Orinoco. Ve všech případech jsme testy prováděli s přinejmenším
čtyřmi originálními síťovými kartami od prověřovaného výrobce.
Testy zaměřené na propustnost sítě jsme spouštěli zároveň na jednom, dvou,
čtyřech a osmi počítačích. K testování výkonnosti na síti IPX jsme využívali
služeb diagnostického softwaru Perform3 firmy Novell, který je součástí
softwarového balíku LANTest. Výkonnost na síti IP jsme zjišťovali pomocí
skriptů na přenos souborů prostřednictvím služby FTP. Konkrétně jsme používali
software FTP Voyager od firmy RhinoSoft, který se připojoval k lokálnímu
počítači běžícímu pod FreeBSD Unixem. V žádném z testů jsme nezaznamenali
významné rozdíly mezi systémy se čtyřmi a osmi uzly, což je pro nás znamením,
že tři až čtyři uzly dokáží saturovat kanál sítě standardu 802.11b.
Jako další parametr jsme prověřovali dosah. Do jednoho PC jsme instalovali
síťovou kartu firmy Orinoco včetně externí antény. Počítač jsme umístili do
sousední budovy a měřili jsme přenosovou rychlost ve spolupráci s každým z
přístupových bodů. Počítač a přístupový bod dělila vzdálenost asi 20 metrů a
čtyři zdi.
Za účelem testování interoperability jsme používali notebooky IBM ThinkPad T20.
Do každého z nich jsme instalovali různé síťové karty. Poté jsme aktuální
přístupový bod postupně měnili za jiný a prověřovali jsme, zdali se k němu
dokáží přihlásit všechny síťové karty. Hodnotili jsme rovněž snadnost obsluhy,
konfiguraci, bezpečnost a stabilitu jednotlivých řešení. V několika případech
jsme zjistili, že některé z testovaných produktů pocházejí od stejného výrobce,
avšak rozdíly v použitých ovladačích se odrazily v různých naměřených
výsledcích. Při hodnocení bezpečnosti jsme studovali nabízené možnosti a jejich
přínos k zabezpečení bezdrátové sítě. Také nás zajímal dopad bezpečnostních
opatření na možnosti správy sítě. Podpora zabezpečení kódy ESSID, přístupové
seznamy (Access Lists), služba Radius, správa z jediného bodu, 40bitové
šifrování WEP a 128bitové šifrování WEP.
V rámci možností správy nás zajímaly takové rysy, jakými jsou například
vzdálené napájení, správa uzlů z jediného místa, centralizovaná správa klíčů
WEP apod.

Bezpečnost
Standard 802.11b nabízí několik úrovní bezpečnosti. Nejnižší úroveň představuje
System ID, známý též jako Electronic System ID, SSID nebo ESSID. Jde o
identifikační kód, který správce systému zadá do konfigurace všech přístupových
bodů a síťových karet, které mají být součástí sítě. S výjimkou řešení od firmy
Intel lze u všech ostatních síťových karet zadat do jejich konfigurace slovo
"any" a takto nastavené PC se může stát součástí libovolné sítě. Tímto způsobem
lze bezdrátovou síť zprovoznit snadno a rychle, ovšem bez jakéhokoliv
zabezpečení. Dokonce i v případě, že není konfigurace "any" povolena, není
obtížné nějaký kód ESSID zjistit a použít ho později například na notebooku z
auta před firmou. Navíc správci systému změna těchto kódů na všech
instalovaných přístupových bodech a síťových karet zabere příliš mnoho času.
Vzhledem k výše vyřčenému proto nepovažujeme kódy ESSID za významný
bezpečnostní nástroj. K některým síťovým kartám jsou dodávány ovladače, do
kterých lze nastavit několik kódů ESSID, díky čemuž se mohou připojit k
libovolnému počtu přístupových bodů. Uživatelé tak mají k dispozici více
možností a mohou se zapojit do bezdrátových sítí LAN například v hotelech,
konferenčních centrech nebo na letištích.
Další úroveň bezpečnosti představují přístupové seznamy (access list).
Přístupové seznamy obsahují adresy "Media Access Control" (MAC řízení přístupu
k systémovým médiím) systémů, které mají povolen přístup do sítě
prostřednictvím daného přístupového bodu. U většiny síťových karet lze měnit
adresy MAC v jejich nastavení, takže i v tomto případě si může zaměstnanec
adresy MAC jednoduše opsat, jednu z nich posléze zadat do svého notebooku.
Závažný nedostatek z hlediska správy systému však tkví v tom, že přístupový
seznam je třeba zadat do každého z instalovaných přístupových bodů. Proxim
nabízí v rámci svého nástroje Access Point Controller centrální správu
přístupových bodů a společnosti Cisco, Enterasys a Orinoco nabízejí způsoby,
které procesy aktualizace automatizují. Avšak pokud jde o zbytek výrobců
testovaných zařízení, nezbývá než všechny přístupové body obejít a
nakonfigurovat je ručně.
Předchozí varianta zabezpečení povoluje přístup do sítě počítači, nikoliv však
uživateli. Poslední úroveň zabezpečení přístupu spočívá ve využití služby
Remote Authentication Dial-In User Service (Radius). Tato služba má tu výhodu,
že k přístupu do sítě opravňuje uživatele a ne počítač. Radius je založen na
identifikaci uživatele jménem a heslem a lze jej spravovat centrálně.
Kompatibilitu se službou Radius ze šesti testovaných zařízení nenabízí pouze
firma D-Link. Každá identifikace pomocí uživatelského hesla má kvůli
nezodpovědným uživatelům své slabé stránky, avšak Radius poskytuje správci
systému centrální bod, odkud může zakázat vybranému uživateli přístup do sítě.
Což je oproti předchozím bezpečnostním opatřením značný pokrok. Náš testovací
tým výrazně upřednostňuje řešení založené na této službě před ostatními
alternativami.
Jakmile se uživatel přihlásí do sítě, dostává se ke slovu další úroveň
zabezpečení, kterou je šifrování. Algoritmus Wire Equivalent Privacy (WEP)
dokáže pracovat se 40 nebo 128bitovými šifrovacími klíči, a znemožnit tak
zvědavcům využívajícím služeb například produktu AiroPeek firmy WildPacket a
sledovat datový provoz na síti. U všech testovaných produktů je šifrování WEP
předvolbou vypnuto. Konfigurace bezdrátové sítě je s vypnutým šifrováním WEP
sice jednodušší, na druhou stranu lze však pomocí monitorů sledovat data
tekoucí v síti. Doporučujeme aktivovat WEP až po dokončení instalace WLAN. Do
každého počítače lze zadat čtyři šifrovací klíče WEP a správce systému může
rozhodnout, který klíč se bude používat. Navíc lze pracovat s jinými klíči pro
příjem a pro vysílání. Na druhou stranu nevýhodou tohoto řešení zůstává značná
složitost související se správou těchto klíčů.

Zvládneme to?
Záležitosti související se správou systému mohou podpořit nebo podtrhnout vaše
snahy o zabezpečení systému a bohužel musíme konstatovat, že nástroje pro
správu testovaných produktů nejsou na potřebné výši.
Každý z produktů nabídl několik způsobů správy přístupových bodů. Možnosti
správy začínají u sériového kabelu (užitečného pro případ, kdy přístupový bod
nereaguje na žádné jiné přesvědčovací metody) a končí u použití telnetu,
webového rozhraní, FTP, SNMP a speciálních správcovských programů. Výrobci
většinou nabízející vlastní speciální správcovské programy, které obvykle
nenabízejí webovou konzoli. Společnost Enterasys nám sdělila, že webové
rozhraní by nedokázalo poskytnout takové bohatství nástrojů jako speciální
nástroj. Během testování řešení od firem Cisco a Intel jsme si nicméně ověřili,
že webová konzole může nabídnout opravdu bohatou paletu možností. Náš testovací
tým upřednostňuje webové rozhraní, neboť díky němu není třeba instalovat na
počítač další sadu speciálního softwaru. Pro správce systémů je tak webové
rozhraní zárukou, že nebudou muset sledovat aktualizace softwaru a znovu a
znovu instalovat správné verze klientů.
Jak jsme se již zmínili, zařízení D-Link nepodporuje Radius server, a proto
musí k přístupu používat kódy ESSID nebo přístupové seznamy. Jak již bylo
vysvětleno výše, kódy ESSID příliš bezpečí neskýtají. Přístupové seznamy sice
přinášejí jisté zlepšení, nicméně s jejich využíváním jsou spojeny jisté
správcovské problémy. Přístupový seznam je v podstatě tabulka s MAC adresami
síťových karet, které se mohou přihlásit do sítě. Tento seznam zabírá část
paměti v přístupovém bodu, takže existuje omezení na počet uzlů, které
přístupový bod podporuje. Řešení Cisca podporuje standardně 2 048 uzlů, avšak
tento počet může narůst až na 64 000 s rizikem, že se u zařízení dříve zaplní
paměť. Na druhém místě je Orinoco se svými 497 podporovanými uzly. U dalších
výrobců počet podporovaných uzlů rychle klesá.
Ze všech prověřovaných produktů pouze Cisco poskytuje přístupový seznam
dostatečně velký na to, aby pohodlně zajistil podporu velké firemní sítě.
Přístupové seznamy většiny ostatních výrobců jsou příliš malé, konkrétně pro
256 až 512 záznamů pro celou firmu, kde se očekává všeobecný roaming. Za této
situace se podpora služby Radius stává nezbytnou.
Šifrování sice zabraňuje nežádoucím osobám dostat se k firemním datům, avšak
správci systému se musejí v rámci šifrování WEP vypořádat s distribucí a
správou WEP klíčů. Přestože uhádnout nebo rozluštit šifrovací klíče je úkol
velmi obtížný, opsat si je na kus papíru a pak je zadat do svého notebooku je
snadné. Cisco a Enterasys nabízí nástroje pro distribuci a správu WEP klíčů, s
jejichž pomocí lze klíče obměňovat poměrně jednoduše. Tyto nástroje však
přesahují rámec standardu 802.11b. To znamená, že chcete-li využívat jejich
výhod, musíte svou síť hardwarově omezit na síťové karty a přístupové body
zmíněných výrobců.

Požadavky na hardware
Rozhodnutí, kam umístit přístupový bod, musí být založeno na znalostech šíření
rádiového signálu, rozmístění uživatelů a hranic firmy. Dalším důležitým
faktorem jsou samozřejmě náklady na výstavbu, neboť natažení přívodu napájení
nebývá levnou záležitostí. Většina výrobců bezdrátových zařízení včetně firem
Cisco, Enterasys, Proxim a Intel nabízejí možnost napájení přístupového bodu
přes kabel Ethernetu, kterým je přístupový bod připojen do pevné sítě. Díky
tomu není třeba v blízkosti instalace bodu instalovat elektrickou zásuvku.
Vedle síťové karty je neméně důležitou součástí přístupového bodu také anténa.
Zařízení od firem Enterasys a Orinoco nejsou vybavena externí anténou a svou
průměrnou přenosovou rychlostí 813 Kb/s dosahovala horších výsledků než
přístupové body s vlastními externími anténami (od výrobců Cisco, D-Link, Intel
a Proxim), které dosahovaly průměrné přenosové rychlosti 843 Kb/s (počítáno ze
všech výkonnostních testů). Několik výrobců shodně tvrdí, že externí anténa
zvýší úroveň rádiového signálu o přibližně 15 %. Významnější roli ovšem hraje
umístění externí antény, která by měla být instalována na takovém místě, kde
není stíněna žádnými překážkami. Vzhledem k tomu, že externí anténa zvyšuje
dosah přístupových bodů, nemusíte jich pro pokrytí cílové oblasti kupovat tolik.
Ty firmy, které kladou důraz na nízké náklady, jistě zaujme zařízení Access
Point-1000 firmy Orinoco. Tento přístupový bod dokáže pojmout dvě síťové karty,
díky čemuž se v dané oblasti pokryté rádiovým signálem zdvojnásobí počet
přenosových kanálů, a tím se zvýší přenosová kapacita. To vše bez nutnosti
zakoupit a instalovat celý nový přístupový bod stačí další síťová karta a
anténa.

Interoperabilita
Pokud jde o vzájemnou kompatibilitu, výrobci se vás budou vždy snažit přimět k
používání čistě jejich řešení včetně přístupových bodů a síťových karet.
Klientský software pro síťovou kartu od Orinoca vám ukáže sílu signálu od
přístupového bodu, k němuž jste přihlášeni. Ovšem pokud onen přístupový bod
nemá nálepku Orinoco, zobrazí se varovná hláška s tvrzením, že nejste
přihlášeni k žádnému přístupovému bodu. Pokud i přesto trváte na prolínání
různých přístupových bodů s různými síťovými kartami, musíte se obrátit jinam.
Převážná většina výrobců dokáže nabídnout určitý stupeň omezené
interoperability, přičemž mnohdy jsou problémy pouze kosmetického rázu.
Dokud se však na trh nedostane další generace produktů, správci systémů budou
stát před nelehkým rozhodnutím: Máme používat monolitický systém od jediného
výrobce, nebo se vzdát pokročilých nástrojů pro správu?
V uzavřených sítích, jakými jsou například sítě firemní, je odpověď jasná:
Založit řešení na produktech jediného dodavatele. V otevřenějších prostředích,
třeba v síti univerzity, nemusí být takový luxus vždy možný. Můžete sice
doporučit, co by si měli zaměstnanci či studenti zakoupit, ale když přijde na
věc, obvykle budete muset podporovat vše, co si uživatelé pořídí.
Na jediný problém s kompatibilitou jsme narazili u produktu firmy Proxim. Ze
žádného z testovaných zařízení se nám nepodařilo zajistit přístup na fileserver
NetWaru přes RConsoli od Novellu, bez ohledu na typ síťové karty používanou
uzlem. Potíže s výše zmíněnou výkonností a kompatibilitou jsme s firmou Proxim
podrobně rozebírali a zjistili jsme, že nízkou přenosovou rychlost měl na
svědomí příliš pomalý instalovaný počítač.
Testovaná řešení jsme hodnotili také z hlediska jejich instalace a dokumentace.
Většinou lze konstatovat, že instalace produktů byla bezproblémová a
uživatelské příručky jsou adekvátní svému účelu. Zkusíme to bez drátů?
Na základě výsledků našich testů nemůžeme doporučit, aby sítě standardu 802.11b
nahradily stávající kabelové sítě, ty mají svou typickou oblast využití.
Bezdrátová síť představuje vynikající řešení pro zaměstnance, kteří se svými
notebooky pohybují po areálu firmy a potřebují být stále ve spojení se síťovými
zdroji. Ideální využití je rovněž v oblasti instalací, které je třeba rychle
postavit a zase rychle rozebrat, například automatizovaný registrační systém
účastníků konference či výstavy. Náklady na instalaci bezdrátové sítě jsou
často mnohem nižší než cena za položení kabelů. Na závěr nezbývá než vyhlásit
vítěze tohoto testu. Nejlepším bezdrátovým řešením pro velkou firmu je produkt
Aironet 340 Access Point firmy Cisco. Oproti konkurenčním produktům se
vyznačuje stabilně vyšší výkonností, dobrými možnostmi správy a také jeho cena
se příliš nevymyká běžným relacím. Pokud jde o prostředí kanceláří a menších
firem, přiklání se naše sympatie k produktu DWL-1000 Access Point od firmy
D-Link. Nabízí totiž slušnou výkonnost za téměř dumpingovou cenu.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.