вторник, 25 апреля 2017 г.

Архитектура беспроводных сетей

Если устройство заргистрировано в FCC, по FCC ID можно найти его характеристики в базе transition.fcc.gov/oet/ea/fccid

Набор объединенных микросхем, которые разработаны для совметной работы часто называют чипсетом.
Чипсеты имею разные характеристики (поддерживаемы стандарты, частотные диапазоны и т.д.). Основные производители: qualcom, broadcom, intel.

Management plane - системы управления и мониторинга, Control plane - управление сигнальной информацией, например, протоколы динамической маршрутизации.  Data plane - непосредственно передача пользовательского трафика, например фреймы 802.3
В настоящее время в беспроводных сетях перечисленные функции деляться между точками доступа, контроллерами и NMS.

Плоскость управления (management plane) включает в себя:
1. Настройку беспроводных сетей (SSID,безопасность, каналы, управление питанием).
2. Мониторинг статистики передачи данных на 2 уровне (ACK, ассоциации, реассоциации), а также мониторинг верхних уровней: IP-связность, задержка и т.п.
3. Управление прошивками точек доступа

Плоскость контроля (control plane) - протоколы, обеспечивающие управление передачей трафика и взаимодействие между устройствами. Примеры:
- Dynamic RF (Radio Resource Management, RRM) - координация настроек каналов и управления мощностью для множества точек доступа.
- Роуминг - передача клиентской сессии от одной точки доступа к другой
- Распределение нагрузки между точками (client load balancing)
- Mesh protocols - передача трафика в mesh-сетях

Плоскость данных (data plane) - непосредственно передача пользовательского трафика.

Три основных вида артихитектуры беспроводных сетей:
-Автономная (autonomous)
-Централизованная (centralized)
-Распределенная (distributed)

Автономная беспроводная сетить.
Долгое время традиционные точки доступа служили порталом и конролировали все три плоскости (управления, контроля и данных). Такие точки называют fat, stadalone или autonomous.
Такая точка хранит всю конфигурацию, выполняет шифрование и дешифрование данных, а также содержит все  DSS и IS.
Как правило, такая точка имеет два интерфейса (радио и Ethernet), а также виртуальный интерфейс BVI, которому назначается IP адрес, обеспечивающий доступ к устройству (фактические, его использую оба интерфейса).

Централизованные системы управления сетью (NMS, WNMS).
Цля централизации управления и мониторинга исопользуется NMS. SNMP или CAPWAP.
Существуют также облачные решения (CEN - data plane локально, все остальное в облаке, CBN - все в облаке.)

Централизованная беспроводная сеть.
Использует контроллер для централизации управления. Точки, использующие контроллер называются lighweight или thin.
Функции контроллера:
1. Управление точками (настройки мощности, каналов, битрейтов), обновление прошивок, хранение и распространение конфигураций.
2. Туннелирование трафика 802.11 (фреймы 802.11 упаковываются в GRE либо CAPWAP туннель)
Как правило, контроллер подключается к ядру сети, и трафик пришедший с точек в фиде фреймов 802.11 транслируется в Ethernet и отпрвляется по назначению в беспроводной сети. Также может подключаться и на уровне доступа/распределения в зависимости от замысла вендора или топологии сети. Могут также использоваться варианты с несколькими контроллерами на разных уровнях.
Позволяет создавать множественные SSID и L2/L3 домены.
Другие функции:
-VLAN
-Управление пользователями (втч. role-based access RBAC)
-Безопасность (шифрование, RADIUS, LDAP)
-VPN концентратор
-Портал для гостевого доступа (captive portal)
-Резервирование и балансировка
-обнаружение вторжений
-управление радио-ресурсами (RRM)

Split MAC - тип архитектуры беспроводных сетей, когда часть функционала MAC уровня реализуется на контроллере (например, DSS, IS, QoS), часть на точке доступа (например, шифрование).

Точки доступа могут передавать данные централизованно (т.е. весь трафик идет с точек на контроллер и далее по назначению, centralized data forwarding), либо распределенно (т.е. трафик передается локально точкой без предварительной отправки на контроллер, distributed forwarding. В такой модели контроллер отвечает только за управление и контроль). Т.к. некоторые функции доступны только в централизованной модели, вопрос выбора сводится к тому, чтобы понять есть ли необходимость пропускать трафик через контроллер для получения необходимого функционала или использовать распределенную модель для уменьшения нагрузки на сеть.

Существует практика интерграции функции контроллера в другие сетевые устройства, например коммутаторы.

Специальные беспроводные устройства:
-Workgroup Bridge (WGB) устройство, подключающееся к точке доступа как клиент и позволяющее получить доступ к беспроводной сети находящимся за ним проводным устройствам.
-Wireless bridge - устройства позволяющие соединить по радио 2 или более проводные сети.
Одна из возможных проблем линков вне помещений - задержка получения ACK, поэтому на многих устройствах данный параметр настраивается.
-Mesh точки доступа. Образуют mesh сети с помощью проприетарных протоколов.
-WLAN array. Технология предложена компанией Xirrus. Несколько радиомодулей и направленных антенн в одном корпусе, с покрытием 360 градусов. Аналог аутдорного сектора.
-Virtula AP. Несколько точек с одинаковым виртуальным BSSID, обеспечивает т.н. zero handoff т.е. максимально эффективный роуминг.
-Real time location. Некотороые вендоры позволяют отслеживать перемещение устройств или RF тегов. Для большинства систем это near-time отслеживание, т.е. с точностью до 7-8м. Отдельные системы позволяют производить точное real-time отслеживание.
-VoWiFi - телефоны работающие по радио вместо проводов.

Источник: D. Coleman, D. Wescott - Certified Wireless Network Administration Official Study Guide

суббота, 8 апреля 2017 г.

Архитектура 802.11 MAC


Data-Link уровень делится на 2 подуровня: LLC и MAC. Внутри фреймов 802.11 передаются MSDU (MAC service data units), т.е. информация переданная с верхних уровней модели OSI (IP пакет+данные LLC). Максимальный размер MSDU 2,304 байта.
Поправкой 802.11n-2009 были введены т.н. A-MSDU с размером до 7935 байт.

MSDU инкапсулируется в MPDU (фрейм 802.11). Основные компоенеты: Заголовок (MAC Header), тело фрейма (Frame Body),  FSC (frame check sequence).

Физический уровень делится на 2 подуровня: PLCP (physical layer convergence procedure), PMD (physical medium dependent). PLCP готовит фрейм к передаче создавая PPDU. PMD модулирует и передает данные в виде битов.

PSDU = MPDU разница только на каком уровне рассматривается этот PDU.

На уровне PLCP к фрейму добавляется преамбула (используется для синхронизии приемника и передатчика) и PHY заголовок.

Типы MAC адресов: индивидуальный (unicast), групповой (multicast или broadcast).
Фреймы 802.11 могут содержать до 4 адресов (см. выше)

Типы фреймов 802.11: управление (management), контроль (control), данные (data).

Управление. Данные фреймы используются устройствами, чтобы приосединяться (join) и покидать BSS (leave) BSS.  Также называются MMPDU. Не содержат информации с верхних уровней модели OSI. 14 подтипов.

Контроль. Помогают в доставке данных. Также используются для особождения канала, получения канала, получения подтверждений (Ack) о получении юникаст фреймов. 9 подтипов.

Данные. Передача данных, полученных от протоколов верхних уровней. MSDU payload шифруется. Непосредственно данные передаются в Simple Data Frame.

Beacon management frame (маяк). Один из самых важных фреймов управления. Точки доступа в BSS рассылают маяки, в ожидании которых прослушивают эфир клиентские станции. Клиентские станции отправляют маяки только в IBSS (ad hoc).  Каждый маяк содержит отметку времени (stamp), которые позволяют клиентским станциям синхоризировать часы с точкой доступа. Маяки отправляются примерно 10 раз в секунду. Этот интервал можно настроить на некоторых точках, но нельзя отключить.

Для поиска точки доступа клиент может использовать активное или пассивное сканирование (могут сосуществовать в беспроводной сети). Пассивное сканирование - прослушивание эфира на предмет маяков.
Активное сканирование - клиентские станции рассылают зонды (probe requests), которые могут содержать SSID сети, к которой хочет подключиться клиент (directed probe request). Также поле SSID может быть пустым. Это значит, что клиент ищет любую сеть (null probe request).

Если точка получившая направленный зонд поддерживает указанный в нем SSID, она должна отправить ответный зонд (probe response), содержащий информацию, аналогичную маяку, за исключением traffic indication map (TIM).
Любая точка, получиившая нулевой зонд должна отправить в ответ probe response.

Недостаток пассивного сканирования в том, что маяки рассылаются только в том канале, в котором работает точка, в то время как клиентские станции рассылают зонды во всех доступных каналах. Если ответный зонд получен от нескольких точек, клиент оценивает силу и качество сигнала, чтобы выбать лучшую точку для подключения.
Даже будучи подклчюченным (associated) к точке, клиент будет периодически рассылать зонды в доступных каналах, чтобы поддерживать список доступных точек в актуальном состоянии для повышеня скорости и качества роуминга. Частота рассылки зондов для такого сканирования зависит от производителя радиомодуля.

Аутентификация.
Первая из двух стадий, необходимая для подключения к BSS.  Установка базового соединения между точкой и клиентом (аналогично подключению кабеля для 802.2). Изначально 802.11 описывал аутентификацию открытых систем (open system authentication), и аутентификацию разделяемого ключа (shared key). Аутентификация разделяемого ключа больше не используется, но аутентификация открытых систем еще используется для обратной совместимости.
Аутентификация открытых сисем по сути свдится к обмену hello  фреймами. Может использоваться совместно с WEP, но WEP шифрует только информацию верхних уровней и только после того, как завершен процесс аутентификации и ассоциации, поэтому используются более совершенные механизмы, такие как 802.1X/EAP, PSK.

Аутентификация разделяемого ключа использует WEP и требует статического ключа, одинакового с обеих сторон. Схож с аутентификацией открытых систем, но дополнительно использует запрос/ответ между точкой доступа и клиентской станцией. Если аутентификация прошла успешно, тот же статические ключ будет использоваться для шифрования информации.

Ассоциация (association). Следующий шаг после аутентификации. После ассоциации клиент становится участником BSS. Означает, что клиент может отправлять трафик через точку доступа в DSM.  Клиент отправляет запрос ассоциации и получает ответ от точки, позволяющий или запрещающий ассоциацию.  В теле фрейма ассоциации идентификатор ассоциации (AID), уникальный номер, выдаваемый каждому клиенту.
Каждая точка доступа отслеживает состояние клиентов. Три возможных состояний: 1. не аутентифицирован и не ассоциироаван 2. аутентифицирован но не ассоциирован 3. аутентифицрован и ассоциирован. 802.11-2012 добавил еще одно состояние: аутентифицирован и ассоциирован + завершена процедура безопасности PSK или 802.1X.

На точках доступа можно настраивать конкретные битрейты (802.11-2012 определяет их как basic rates). Для того, чтобы успешно ассоциироваться с точкой, клиент должен поддерживать настроенные на точке битрейты.  Помимо базовых битрейтов, настраиваются также поддерживаемые (supported rates). Это битрейты, которые точка предлагает клиентам, но которые им не обязательно поддерживать.

Роуминг (roaming). Переключение между точками без потери связи для приложение верхних уровней. Решение о переключении принимается клиентом на основании параметров, заложенных производителем, как правило мощности сигнала, уровне шума и количестве ошибок. Клиент может быть аутентифицирован с многими точками, но ассоциирован только с одной.

Реассоциация (reassociation) - когда клиентская станция принимает решение о роуминге она отправляет новой точке доступа reassociation фрейм. Процесс называется реассоциацией так как клиентская станция заново ассоцируется с SSID сети.

Дизассоциация (disassociation) - это уведомление, а не запрос. Отправляется в случаях, когда клиент хочет деассоциироваться со станцией или станция хочет деассоциироваться со своими клиентами.

Деаутентификация (deauthentication) - уведомление о деаутентификации, автоматические влечер дизассоциацию.

802.11-2012 позволяет фрагментировать фреймы, разбивая их отельные части и добавляя к этим частям заголовки. Была полезна в 802.11b/g но больше не нужна в 802.11n/ac, который поддерживает агрегацию фреймов. Также может быть полезна при наличии помехи, т.к. повторная передача мелких фреймов занимает меньше времени.

Protection mechanism - позволяет устройствам 802.11g работать с  legacy устройствами. Из-за того, что генерируется большой объем overhead трафика, пропускная способность может упасть до 9-14Мб/с
На устройствах 802.11n/ac совместимость с более старыми устройствами так же реализована, но падение пропускной способности при совмещении устройств разных поколений редко бывает заметно.

RTS/CTS - механизм используется при существовании т.н. скрытого узла (hidden node), т.к. клиента, который не слышит других клиентов, подключенный к данной точке доступа, либо как защитный механизм в сети где сосуществуют разные технологии (802.11b/g/n).

CTS-to-self используется исключительно как защитный механизм для смешанных сетей. Имеет преимущество перед RTS/CTS, т.к. отправляется меньше фрагментов, следовательно, повышается пропускная способность.

Фреймы данных (Data frames), наиболее простой из 15 подтипов фреймов данный - простой фрейм данных (simple data frame). Т.н. null function frame связан с управлением питанием и энергосбережением.

Энергосбережение:
-Active mode (continous aware mode) - устройтсво всегда готов передавать или принимать данные. Нет энергосбережения. Устройства, постоянно подключенные к источнику питания следует использовать в данном режиме.
-Power save mode - в этом режиме устройство на некоторое время отключает отдельные компоненты радиомодуля, чтобы уменьшить расход энергии.
Точки доступа добавляют данные, предназначенные станциям, находящимся в режиме сохренения энергии в буфер. Когда это происходит, точка передает маяк (beacon) TIM (traffic indication map), в котором содержится список станций, для которых имеются недоставленные данные. Станции в режиме сохранения энегрии периодически "просыпаются", чтобы прослушать маяки. Если станция получает уведомление о наличии предназначенных ей данных, она будет получать эти данные до тех пор, пока точка доступа не уведоми ее о том, что данных больше нет, после чего станция снова "засыпает".
Для доставки мультикаст и широковещательного трафика станциям в режиме сохранения энегрии используются специальные тим TIM - DTIM. DTIM интервал - настройка на точка доступа, определеяющая какое количество TIM будут DTIM (например, DTIM интервал 3 означает один из трех).

В IBSS, где нет центральной точки доступа, все станции просыпаются в одно время, и рассылают уведомления, у наличии у одной станции буфеизированных данных для другой станции (ATIM).

Обратить внимение: ATIM - фрейм в IBSS, TIM - бит в маяках.

Automatic power save delivery (S-APSD и U-APSD) - новые механизмы, описанные 802.11e. U-APSD и основанный на нем механизм WMM-PS альянса Wi-Fi направлены на то, чтобы клиентские устройство проводили как можно больше времени в спящем режиме, а также на то, чтобы уменьшить задержку для чувствительных к ней приложений. В отличии от более ранних механизмов, клиенты не ждут маяка с TIM, а отправляют специальный trigger frame точке доступа (это может быть также и обычный фрейм данных), сообщающий, что станция проснулась и готова принимать данные. ТОчка отправляет в ответ ACK и отправляет последовательность фреймов (frame burst) в следующий TXOP.
Преимущества:
-приложения контролируют режим сохранения энергии. Например, беспроводные телефоны будут чаще отправлять тригеры, в то время как, например, радио подсистема ноутбука будет дольше проводить в спящем режиме.
-не требуются отдельные PS-Poll фреймы
-клиент может запросить загрузку буфферизированного трафика и не должен ждать маяка
-downlink трафик отправляется в более быстром frame burst во время TXOP.

Для того, чтобы данный механизм работал и клиент и точка доступа должны поддерживать WMM-PS.

802.11n-2009 определяет еще 2 механизма сохранения энергии. SM-power save позволяет MIMO устройствам отключать все чейны кроме одного в спящем режиме. PSMP - расширение APSD.

Источник: D. Coleman, D. Wescott - Certified Wireless Network Administration Official Study Guide