tahomam
05-06-2007, 01:52 PM
Các vấn đề cần xem xét khi triển khai WLAN
Sau khi bạn đã kết thúc site survey và có được bản đồ triển khai vật lý, bạn có thể chuyển sang bước tiếp theo của quá trình triển khai. Một mạng WLAN bảo mật đòi hỏi phải có AAA Server như RADIUS để cho phép xác thực theo người dùng. Hơn nữa, bạn nên triển khai 1 cơ chế để quản lý WLAN.
1. Các vấn đề cần xem xét khi triển khai 802.1X
Giải pháp 802.1X yêu cầu phải có AAA server để cung cấp xác thực theo người dùng. AAA server thường được đặt ở trung tâm dữ liệu (data center) đã được bảo vệ. Vì nó nằm ở layer 3 và có tốc độ chuyển mạch của đường dây (wire-speed) nên bạn có thể đo đạt được độ trễ của mạng giữa biên mạng (network edge) và data center vào khoảng vài milisecond hay thậm chí microsecond.
Việc triển khai 802.1X trở nên phức tạp hơn khi phải triển khai qua kết nối WAN. Kết nối WAN thường có băng thông (bandwidth) thấp hơn so với kết nối LAN và kết quả là nghẽn có thể xuất hiện trên những kết nối này. Nghẽn có thể có những ảnh hưởng đáng kể lên xác thực 802.1X vì nó có thể drop (hủy bỏ) những gói tin RADIUS làm cho việc xác thực của trạm client bị time out như được minh họa trong hình dưới.
http://i47.photobucket.com/albums/f185/hinhup/95-8-7.gif
Bạn có thể hạn chế ảnh hưởng bằng 2 cách sau:
+ Sử dụng QoS để ưu tiên các gói tin 802.1X RADIUS được truyền qua kết nối WAN
+ Cài đặt AAA server cục bộ ở chi nhánh
Ưu tiên gói tin 802.1X RADIUS sử dụng IP QoS
Phương pháp này cung cấp độ ưu tiên cho các gói tin 802.1X khi kết nối WAN xảy ra nghẽn. Đối với các mạng đã triển khai QoS để hỗ trợ các ứng dụng VoIP thì hầu như chúng ta không cần cấu hình gì thêm.
VoIP thường có giá trị IP Precedence bằng 5 và giá trị DSCP (Differentiated Service Code Point) là EF (Expedited Forwarding). Video có IP Precedence bằng 4 và DSCP là AF41 đến AF43. Các giao thức điều khiển cuộc gọi VoIP (MGCP hay H.323) có IP Precedence bằng 3 và DSCP là AF31 đến AF33. Các gói tin 802.1X RADIUS có thể được xem như là control traffic nên có thể xếp vào IP Precedence bằng 3 và DSCP là AF31 đến AF33. Bảng dưới đây tóm tắt các giá trị này.
http://i47.photobucket.com/albums/f185/hinhup/94-table8-1.gif
Việc sử dụng QoS để ưu tiên traffic của 802.1X RADIUS không giải quyết được hết mọi vấn đề liên quan đến việc xác thực từ xa. Các vấn đề sau vẫn luôn tồn tại:
+ Không có dịch vụ WAN (WAN outage)
+ Độ trễ của WAN
Nếu kết nối WAN bị đứt thì trạm client không thể truy cập vào WLAN cũng như tài nguyên cục bộ. Với kết nối WAN có độ trễ rất cao như vệ tinh cũng có những ảnh hưởng xấu đến quá trình xác thực vì nó có thể làm cho việc xác thực bị time out làm cho hiệu năng hoạt động của station bị giảm sút nghiêm trọng.
Xác thực cục bộ ở chi nhánh
Xác thực cục bộ ở chi nhánh dường như là một giải pháp tốt để giải quyết vấn đề, nhưng nó cũng không phải là một công cụ chữa được bách bệnh. Việc triển khai AAA server ở chi nhánh có những vấn đề sau:
+ Chi phí – Đối với những công ty có nhiều chi nhánh thì cần ít nhất 1 server ở mỗi chi nhánh
+ Khả năng quản lý
- Số lượng authentication server có thể lên đến hàng ngàn tùy thuộc vào sự triển khai
- Việc phải tái tạo lại cơ sở dữ liệu người dùng cho một lượng lớn các chi nhánh có thể là một vấn đề khó thực hiện
- Việc truy cập của admin có thể là một vấn đề nếu như các admin ở chi nhánh cần thường xuyên truy cập vào server trung tâm
Một số nhà sản xuất như Cisco đã tích hợp authentication server vào trong AP để giúp người dùng tiết kiệm chi phí và những rắc rối liên quan đến việc quản lý AAA server cục bộ như được minh họa trong hình dưới
http://i47.photobucket.com/albums/f185/hinhup/93-8-8.gif
Mặc dù giải pháp này không thật sự hoàn hảo nhưng nó cho phép admin tự tin triển khai WLAN ở chi nhánh trong khi vẫn duy trì một cơ sở dũ liệu xác thực duy nhất để dễ quản lý
2. Quản lý WLAN
Quản lý mạng nói chung và quản lý WLAN nói riêng là một chủ đề lớn và cần phải có một sách khác nói về chúng. Phần này chỉ đưa ra một số khái niệm quan trọng nổi bật nhất cần phải xem xét trong suốt quá trình triển khai.
Trong bất kỳ kiểu mạng nào, bạn không thể quản lý những gì mà bạn không thể đo đạt được
Trong các mạng lớn, có thể lên đến hàng ngàn thiết bị cần được quản lý. Trong các triển khai mạng WLAN cho một doanh nghiệp lớn không hiếm khi ta thấy số lượng AP nhiều gấp 3 lần bình thường. WLAN có thể sẽ ảnh hưởng chính đến việc bạn sẽ quản lý mạng như thế nào. Để có được một mạng WLAN hoạt động đáng tin cậy như mạng LAN và giảm thiểu những phức tạp trong việc quản lý thì bạn cần phải có một giải pháp quản lý trong đó bao gồm việc quản lý WLAN.
Những nhà phê chuẩn WLAN đầu tiên đã gặp những khó khăn về gánh nặng quản lý trong WLAN. Hầu hết các gói quản lý giá rẻ rất khó mở rộng đến hàng ngàn thiết bị mà không phải sử dụng nhiều trạm quản lý, và không có một giải pháp nào đưa ra những chức năng quản lý sóng vô tuyến (RF). Những thiếu sót này làm cho việc triển khai WLAN có hiệu năng hoạt động nghèo nàn và buộc admin phải tự phát triển những công cụ riêng của họ để quản lý WLAN một cách hiệu quả.
Nhiều giải pháp quản lý WLAN cung cấp các dịch vụ quản lý giống với mạng có dây như: SNMP, giám sát lỗi, thu thập các bẫy lỗi (trap), phân phối cấu hình, phân phối firmware … Tuy nhiên, không có giải pháp nào cho admin có cái nhìn sâu hơn về bản thân mạng vô tuyến. Hiệu năng của WLAN khác nhau rất lớn trong các cài đặt khác nhau. Vật liệu của tường và vị trí của nhiễu bên ngoài như lò vi sóng có thể ảnh hưởng đến hiệu năng của WLAN. Ngoài ra thì các thiết bị Bluetooth, ad-hoc client và mạng WLAN của hàng xóm sẽ làm suy giảm hiệu năng của WLAN đến mức độ không thể sử dụng được.
Việc quản lý được sóng vô tuyến sẽ cho phép admin nhìn thấy được các vấn đề như vậy và tùy thuộc vào các giải pháp cài đặt mà nó có thể tự động điều khiển các tham số của radio (sóng vô truyến) như lựa chọn kênh/tần số và công suất truyền của client/AP để thích nghi với môi trường RF.
Kết luận
Quyết định của bạn khi triển khai mạng WLAN là điều quan trọng để tối ưu mạng WLAN:
+ Kiểu người dùng nào sẽ sử dụng WLAN? (có tính di động cao hay chỉ thỉnh thoảng)
+ Kiểu ứng dụng nào mà những người dùng này sẽ sử dụng trong WLAN?
Mặc dù 2 câu hỏi này là rất cơ bản và hầu như bản thân nó đã tự giải thích nhưng chúng vẫn thường bị bỏ quên trong lúc triển khai. Chúng là nền tảng cho việc tiết kiệm chi phí trong suốt quá trình triển khai, chính là trong việc lựa chọn kiểu triển khai coverage-oriented hay capacity-oriented.
Một khi bạn đã chọn được kiểu triển khai thì việc biết được các công cụ để thực hiện site survey cũng như các trường hợp site survey thực tế có thể giúp bạn tiết kiệm thời gian và tiền bạc cho một công việc nhàm chán và tốn thời gian. Ngày nay, site survey là một công việc thủ công có nghĩa là người khảo sát sẽ phải thực hiện tất cả các đo đạt cũng như tính toán. Cùng với sự phát triển của WLAN thì các công cụ quản lý cũng giúp tự động một số tiến trình này.
Sau khi bạn đã kết thúc site survey và có được bản đồ triển khai vật lý, bạn có thể chuyển sang bước tiếp theo của quá trình triển khai. Một mạng WLAN bảo mật đòi hỏi phải có AAA Server như RADIUS để cho phép xác thực theo người dùng. Hơn nữa, bạn nên triển khai 1 cơ chế để quản lý WLAN.
1. Các vấn đề cần xem xét khi triển khai 802.1X
Giải pháp 802.1X yêu cầu phải có AAA server để cung cấp xác thực theo người dùng. AAA server thường được đặt ở trung tâm dữ liệu (data center) đã được bảo vệ. Vì nó nằm ở layer 3 và có tốc độ chuyển mạch của đường dây (wire-speed) nên bạn có thể đo đạt được độ trễ của mạng giữa biên mạng (network edge) và data center vào khoảng vài milisecond hay thậm chí microsecond.
Việc triển khai 802.1X trở nên phức tạp hơn khi phải triển khai qua kết nối WAN. Kết nối WAN thường có băng thông (bandwidth) thấp hơn so với kết nối LAN và kết quả là nghẽn có thể xuất hiện trên những kết nối này. Nghẽn có thể có những ảnh hưởng đáng kể lên xác thực 802.1X vì nó có thể drop (hủy bỏ) những gói tin RADIUS làm cho việc xác thực của trạm client bị time out như được minh họa trong hình dưới.
http://i47.photobucket.com/albums/f185/hinhup/95-8-7.gif
Bạn có thể hạn chế ảnh hưởng bằng 2 cách sau:
+ Sử dụng QoS để ưu tiên các gói tin 802.1X RADIUS được truyền qua kết nối WAN
+ Cài đặt AAA server cục bộ ở chi nhánh
Ưu tiên gói tin 802.1X RADIUS sử dụng IP QoS
Phương pháp này cung cấp độ ưu tiên cho các gói tin 802.1X khi kết nối WAN xảy ra nghẽn. Đối với các mạng đã triển khai QoS để hỗ trợ các ứng dụng VoIP thì hầu như chúng ta không cần cấu hình gì thêm.
VoIP thường có giá trị IP Precedence bằng 5 và giá trị DSCP (Differentiated Service Code Point) là EF (Expedited Forwarding). Video có IP Precedence bằng 4 và DSCP là AF41 đến AF43. Các giao thức điều khiển cuộc gọi VoIP (MGCP hay H.323) có IP Precedence bằng 3 và DSCP là AF31 đến AF33. Các gói tin 802.1X RADIUS có thể được xem như là control traffic nên có thể xếp vào IP Precedence bằng 3 và DSCP là AF31 đến AF33. Bảng dưới đây tóm tắt các giá trị này.
http://i47.photobucket.com/albums/f185/hinhup/94-table8-1.gif
Việc sử dụng QoS để ưu tiên traffic của 802.1X RADIUS không giải quyết được hết mọi vấn đề liên quan đến việc xác thực từ xa. Các vấn đề sau vẫn luôn tồn tại:
+ Không có dịch vụ WAN (WAN outage)
+ Độ trễ của WAN
Nếu kết nối WAN bị đứt thì trạm client không thể truy cập vào WLAN cũng như tài nguyên cục bộ. Với kết nối WAN có độ trễ rất cao như vệ tinh cũng có những ảnh hưởng xấu đến quá trình xác thực vì nó có thể làm cho việc xác thực bị time out làm cho hiệu năng hoạt động của station bị giảm sút nghiêm trọng.
Xác thực cục bộ ở chi nhánh
Xác thực cục bộ ở chi nhánh dường như là một giải pháp tốt để giải quyết vấn đề, nhưng nó cũng không phải là một công cụ chữa được bách bệnh. Việc triển khai AAA server ở chi nhánh có những vấn đề sau:
+ Chi phí – Đối với những công ty có nhiều chi nhánh thì cần ít nhất 1 server ở mỗi chi nhánh
+ Khả năng quản lý
- Số lượng authentication server có thể lên đến hàng ngàn tùy thuộc vào sự triển khai
- Việc phải tái tạo lại cơ sở dữ liệu người dùng cho một lượng lớn các chi nhánh có thể là một vấn đề khó thực hiện
- Việc truy cập của admin có thể là một vấn đề nếu như các admin ở chi nhánh cần thường xuyên truy cập vào server trung tâm
Một số nhà sản xuất như Cisco đã tích hợp authentication server vào trong AP để giúp người dùng tiết kiệm chi phí và những rắc rối liên quan đến việc quản lý AAA server cục bộ như được minh họa trong hình dưới
http://i47.photobucket.com/albums/f185/hinhup/93-8-8.gif
Mặc dù giải pháp này không thật sự hoàn hảo nhưng nó cho phép admin tự tin triển khai WLAN ở chi nhánh trong khi vẫn duy trì một cơ sở dũ liệu xác thực duy nhất để dễ quản lý
2. Quản lý WLAN
Quản lý mạng nói chung và quản lý WLAN nói riêng là một chủ đề lớn và cần phải có một sách khác nói về chúng. Phần này chỉ đưa ra một số khái niệm quan trọng nổi bật nhất cần phải xem xét trong suốt quá trình triển khai.
Trong bất kỳ kiểu mạng nào, bạn không thể quản lý những gì mà bạn không thể đo đạt được
Trong các mạng lớn, có thể lên đến hàng ngàn thiết bị cần được quản lý. Trong các triển khai mạng WLAN cho một doanh nghiệp lớn không hiếm khi ta thấy số lượng AP nhiều gấp 3 lần bình thường. WLAN có thể sẽ ảnh hưởng chính đến việc bạn sẽ quản lý mạng như thế nào. Để có được một mạng WLAN hoạt động đáng tin cậy như mạng LAN và giảm thiểu những phức tạp trong việc quản lý thì bạn cần phải có một giải pháp quản lý trong đó bao gồm việc quản lý WLAN.
Những nhà phê chuẩn WLAN đầu tiên đã gặp những khó khăn về gánh nặng quản lý trong WLAN. Hầu hết các gói quản lý giá rẻ rất khó mở rộng đến hàng ngàn thiết bị mà không phải sử dụng nhiều trạm quản lý, và không có một giải pháp nào đưa ra những chức năng quản lý sóng vô tuyến (RF). Những thiếu sót này làm cho việc triển khai WLAN có hiệu năng hoạt động nghèo nàn và buộc admin phải tự phát triển những công cụ riêng của họ để quản lý WLAN một cách hiệu quả.
Nhiều giải pháp quản lý WLAN cung cấp các dịch vụ quản lý giống với mạng có dây như: SNMP, giám sát lỗi, thu thập các bẫy lỗi (trap), phân phối cấu hình, phân phối firmware … Tuy nhiên, không có giải pháp nào cho admin có cái nhìn sâu hơn về bản thân mạng vô tuyến. Hiệu năng của WLAN khác nhau rất lớn trong các cài đặt khác nhau. Vật liệu của tường và vị trí của nhiễu bên ngoài như lò vi sóng có thể ảnh hưởng đến hiệu năng của WLAN. Ngoài ra thì các thiết bị Bluetooth, ad-hoc client và mạng WLAN của hàng xóm sẽ làm suy giảm hiệu năng của WLAN đến mức độ không thể sử dụng được.
Việc quản lý được sóng vô tuyến sẽ cho phép admin nhìn thấy được các vấn đề như vậy và tùy thuộc vào các giải pháp cài đặt mà nó có thể tự động điều khiển các tham số của radio (sóng vô truyến) như lựa chọn kênh/tần số và công suất truyền của client/AP để thích nghi với môi trường RF.
Kết luận
Quyết định của bạn khi triển khai mạng WLAN là điều quan trọng để tối ưu mạng WLAN:
+ Kiểu người dùng nào sẽ sử dụng WLAN? (có tính di động cao hay chỉ thỉnh thoảng)
+ Kiểu ứng dụng nào mà những người dùng này sẽ sử dụng trong WLAN?
Mặc dù 2 câu hỏi này là rất cơ bản và hầu như bản thân nó đã tự giải thích nhưng chúng vẫn thường bị bỏ quên trong lúc triển khai. Chúng là nền tảng cho việc tiết kiệm chi phí trong suốt quá trình triển khai, chính là trong việc lựa chọn kiểu triển khai coverage-oriented hay capacity-oriented.
Một khi bạn đã chọn được kiểu triển khai thì việc biết được các công cụ để thực hiện site survey cũng như các trường hợp site survey thực tế có thể giúp bạn tiết kiệm thời gian và tiền bạc cho một công việc nhàm chán và tốn thời gian. Ngày nay, site survey là một công việc thủ công có nghĩa là người khảo sát sẽ phải thực hiện tất cả các đo đạt cũng như tính toán. Cùng với sự phát triển của WLAN thì các công cụ quản lý cũng giúp tự động một số tiến trình này.
