Віртуальні точки доступу, Статті, Комп’ютерний огляд

Мережева спільнота постійно намагається "виправити" конвергентні мережі для того, щоб уподібнити їхню роботу мережам з комутацією каналів. Наприклад, виникає потреба ввести для IP трафіку систему пріоритетів чи сегрегацію потоків. В області бездротових мереж подібного роду завдання покликана вирішити хитромудру концепціювіртуальних точок доступу(Virtual Access Point - VAP). Однак, перш ніж перейти до її розгляду, визначимо ряд понять, що описують архітектуру бездротових мереж Wi Fi.

Архітектурні компоненти стандарту 802.11

Мал. 1

Мал. 2

Мал. 3

Мал. 4

Бездротові мережі 802.11 базуються на стільниковій, або ніздрюватій, архітектурі. Її найменша одиниця називається базовим набором сервісів (5) (Basic Service Set - BSS). По суті, BSS є просто сукупністю пристроїв або станцій (Station – STA), здатних обмінюватися пакетами один з одним. У більшості випадків корисно представляти BSS у вигляді деякої площі, усередині якої такі пристрої можуть постійно підтримувати зв'язок між собою.

Існують два види BSS:інфраструктурний(infrastructure) таспеціальний(ad hoc). У першому випадку BSS є мережа, що складається зі станцій, що взаємодіють за допомогою радіоінтерфейсу з точкою доступу (Access Point - AP) (рис. 1). У свою чергу, AP може бути приєднана або не приєднана до провідного сегменту Ethernet. Спеціальний вид BSS відомий як Independent BSS (IBSS) та не містить у своєму складі AP (рис. 2). Останнє означає, що IBSS є автономною бездротовою мережею, яка не може бутиоб'єднана з іншою локальною мережею. Комп'ютери в такій архітектурі безпосередньо обмінюються даними один з одним, причому один може мати конфігурацію координатора.

Декілька інфраструктурних BSS можуть бути об'єднані за допомогоюрозподільної системи(Distri-bu-tion System - DS), утворюючирозширений набір сервісів(Extended Service Set - ESS). Розподільча система реалізується з урахуванням проводової (рис. 3) чи бездротового зв'язку (рис. 4). DS є своєрідною магістраллю, з якої точки доступу обмінюються необхідною системною інформацією.

Перейдемо тепер до розгляду деяких типів пакетів керування, передбачених стандартом 802.11. Одним з основних ємаркерний(Beacon), що забезпечує "серцебиття" бездротової мережі, дозволяючи станціям встановлювати та керувати передачею впорядкованим чином. Кожен маркерний пакет містить у своєму тілі, зокрема, наступну інформацію (щоб уникнути плутанини зберігаємо написання англійською).

Beacon interval.Він визначає відрізок часу між передачею маркерів. Перед тим, як станція перейде в енергозберігаючий режим, вона має дізнатися цей параметр, щоб вчасно "прокинутися", отримати черговий маркер і визначити, чи немає в буфері АР призначених для неї пакетів.

Timestamp.Після отримання маркерного пакета станція використовує це значення для оновлення свого локального годинника. Цей процес дозволяє синхронізувати всі станції, пов'язані із загальною точкою доступу.

SSID.Ідентифікатор, який визначає бездротову мережу.

Supported rates.Кожен маркер містить інформацію, яка вказує швидкості передачі даних, що підтримуються цією WLAN. Наприклад, маркер може оголошувати, що доступнілише 1,2 та 5,5 Mbps. В результаті станція дотримуватиметься цих значень і не передаватиме дані зі швидкістю 11 Mbps.

Capability set (набір можливостей). Тут визначаються вимоги до станцій, які хочуть належати до бездротової мережі, що надається цим маркерним пакетом. Наприклад, інформація, що міститься, може вказувати, що всі станції повинні використовувати як стандарт безпеки Wired Equivalent Privacy (WEP).

Traffic Indication Map (TIM). Точка доступу періодично надсилає TIM всередині маркерного пакета, щоб повідомити, для яких станцій, що знаходяться в енергозберігаючому режимі, буфер АР має пакети даних.

Надалі нам знадобляться ще два керуючі пакети. Коли станції необхідна інформація про інші станції або точки доступу, до яких можна приєднатися, то вона посилає пакетProbe Request. Відповідний пакетProbe Responseдуже схожий на маркерний, але не несе TIM і відправляється тільки у відповідь на пакетProbe Request.

На цьому ми закінчимо побудову понятійної бази, яка потрібна на подальшого розгляду основний теми. Отже.

. Що таке віртуальна точка доступу і які від неї пряники?

Віртуальна точка доступу є логічною сутністю, що створюється всередині фізичної АР. Коли одна фізична АР підтримує безліч віртуальних, кожна з останніх проявляється для STA як незалежна фізична АР. Наприклад, якщо всередині однієї фізичної точки доступу існує кілька віртуальних, кожна з них оголошує власний унікальний SSID і набір можливостей. В якості альтернативи група віртуальних АР може оголошувати той самий SSID, але різні набори можливостей, підтримуючи одночасно доступи через Webпортал, протоколи безпеки WEP та WPA (Wi Fi Protected Access). У разі, коли точки доступу поділяються багатьма операторами послуг, віртуальні АР забезпечують кожного їх окремими обліковими -записами і автентифікацією їх клієнтів, і навіть діагностичною інформацією.

Віртуальні АР дозволяють одному оператору надавати безліч сервісів, так само, як і багатьом операторам розділяти ту саму фізичну інфраструктуру. Це забезпечує передусім ефективніше використання каналів. Далі, використання технології VAP дає можливість знизити витрати на розгортання WLAN. Адже дешевше розділяти наявну інфраструктуру багатьма операторами, ніж будувати надмірну. А оскільки кожна віртуальна АР є логічно ізольованою сутністю, то оператори можуть використовувати їх для надання набору сервісів на базі однієї і тієї ж інфраструктури.

Концепція віртуальних АР

Як і за будь-якої ідеалізації, реалізація віртуальної точки доступу може наближати ідеальне поведінка фізичної АР більшою чи меншою мірою. Щоб забезпечити станціям ілюзію присутності кількох фізичних АР, необхідно, щоб усі віртуальні АР емулювали операції фізичних на МАС рівні. Емуляція роботи фізичної AP на рівні радіоінтерфейсу у типових випадках неможлива, якщо тільки в ній не встановлено кілька приймальних пристроїв.

Емуляція фізичної АР на рівні МАС виконується за допомогою різних BSSID, SSID, наборів можливостей і ключів за замовчуванням. У багатьох випадках бажано також частково емулювати поведінку на прикладному та IP рівнях. Для цього необхідно вирішити кілька технічних проблем:

множинність SSID. Щоб реалізувати кілька віртуальних АР усередині однієїфізичної, слід визначити, як точки доступу зможуть підтримувати безліч SSID, а станції - їх виявляти. Це дозволить кожній віртуальній АР оголошувати свій власний SSID;

множина наборів можливостей. Оскільки через кожну віртуальну АР оператор може побажати надавати різні набори послуг, потрібно, щоб кожна віртуальна АР оголошувала свій власний набір можливостей. Іноді це може вимагати одного загального SSID;

множинність VLAN. У типовому випадку бажано уникнути змішування трафіку від різних віртуальних АР. Це може бути досягнуто за допомогою співвідношення кожної віртуальної точки доступу з унікальною VLAN. Так як кожна VLAN є унікальним широкомовним доменом, то, для того щоб забезпечити поділ, кожна VLAN вимагає встановлення унікального ключа за замовчуванням;

множина конфігурацій RADIUS. Щоб конфігурувати кожну віртуальну АР без на інші, бажано забезпечити множинність конфігурацій RADIUS сервера -- по одній кожної віртуальної АР;

Проблеми МАС рівня

Відповідно до стандарту 802.11 SSID має поле між нульовим і 32 м байтом, яке може включатися в пакети управління якінформаційного елемента(Information Element - IE). Нульова довжина SSID вказує на широкомовний пакет. До керуючих пакетів, які підтримують SSID IE, входять маркерний пакет, Probe Request, Probe Response та деякі інші.

Для виявлення станції SSID виконують пасивне або активне сканування. У першому режимі STA "прослуховує" певний канал щоб одержати маркерного пакета чи Probe Response, але з випромінює в ефір свій запит -- пакет Probe Request. У другому - для більшшвидкого отримання потрібної інформації STA випромінює Probe Request.

Для того, щоб підтримати множинність SSID в одній фізичній точці доступу, можуть бути використані такі підходи:

множина SSID в одному маркерному пакеті, один маркерний пакет, один BSSID. Як видно, при цьому підході АР застосовує лише один BSSID та посилає лише один маркер. Декілька SSID IE включаються в маркерний пакет або Probe Response, при цьому маркерний інтервал залишається незмінним;

один SSID на маркер, один маркер, один BSSID. На відміну від попереднього цього підходу кожен маркер і Probe Response містять лише один SSID IE. При цьому набір можливостей, що відповідають "основному" SSID, надсилається в маркерному пакеті, у відповідь на запити Probe Request для "вторинних" SSID точка доступу відповідає пакетам Probe Response, що включають набори можливостей, що відповідають цим SSID;

один SSID на маркер, безліч маркерів, один BSSID. За такого підходу АР використовує лише одне BSSID, але відправляє кілька маркерів, кожен із яких містить єдиний SSID IE. Точка доступу відповідає на Probe Request для пакетів Probe Response, що підтримуються SSID, які мають набори можливостей, що відповідають кожному SSID;

один SS0

Надрукувати Надіслати другу

---