Verkot arkistot - Sivu 3 3:stä

WLAN, Wi-Fi, WiFi vai 802.11 – mikä ero?

Ne kaikki tarkoittavat loppupeleissä samaa.

Euroopassa käytetään paljon lyhennettä WLAN eli Wireless LAN eli Wireless Local Area Network – langaton paikallisverkko. WLAN ei ole kenenkään omistama nimi vaan yleisnimi. Toisaalta se on hankala, koska puheessa sitä on mahdoton erottaa käsitteestä VLAN eli Virtual LAN. VLAN on langallisen verkon toiminto, jolla lankaverkon liikenne voidaan jakaa eri ryhmiin.

Wi-Fi on Wi-Fi Alliancen tavaramerkki. Wi-Fi Alliance määrittelee ja testaa WLAN-tuotteiden keskinäistä yhteensopivuutta. Hyväksytyt tuotteet toimivat keskenään yhteen. Käytännössä kaikki markkinoilla olevat laitteet ovat Wi-Fi Alliance hyväksymiä, vaikka se ei ole mikään viranomainen. Amerikkalaiseet puhuvat yksinomaan Wi-Fi:stä, joskin nykyään siitä alkaa väliviiva pudota pois: WiFi.

802.11 on IEEE:n eli Institute of Electrical and Electronics Engineers -järjestön määrittelemä tekninen WLAN-standardi. Alkuperäisen 802.11:n jälkeen on tehty paljon lisäyksiä, jotka merkitään kirjaimilla a, b jne. Amerikkalaisten aakkosten loputtua z:aan jatkettiin aa, ab, ac, ad jne.

Linkkejä

Kuinka turvallinen teidän WLAN-verkkonne on?

Onko teillä yhteinen WLAN-salasana? Koska se on viimeksi vaihdettu? Eikö sen jälkeen ole kukaan lähtenyt?

Ihan aluksi WLAN-verkot olivat salaamattomia. Radioaallot kulkevat aika hyvin seinien läpi, joten salakuuntelu etäältäkin on hyvin yksinkertaista – tarvittiin salausta. Ensimmäinen salauskäytäntö oli Wired Equivalent Privacy eli WEP. WEP oli alunperinkin heikko salaus, mutta silti sen murtaminen tuli yllätyksenä. Piti äkkiä keksiä uusi – tuli WPA eli Wi-Fi Protected Access, joka kulkee myös nimellä TKIP. WPA:ta paranneltiin ja nykyisin on käytössä WPA2. WPA2 on nopea ja tällä hetkellä turvallinen tapa salata verkko.

WPA2:sta on kaksi versiota: Personal ja Enterprise. Personal-suojauksessa verkossa on yksi, yhteinen salasana. Kuka tahansa, joka tuntee salasanan voi liittyä ja kuunnella verkon liikennettä. WPA2 Personal sopii henkilökohtaiseen- ja kotikäyttöön, miksei myös pieneen yritykseen tai toimistoon. Yrityskäytössä on kuitenkin henkilöstön vaihtuvuutta ja salasana pitäisi vaihtaa aina kun joku lähtee yrityksestä. Ei kai kukaan ajattele, että irtisanomisen tai irtisanoutumisen jälkeen olisi tervetullut yrityksen tietoverkkoon? Silti WPA2 Personal on yleisin tapa ratkaista WLAN-verkon tietoturva.

WPA2 Enterprise edellyttää, että käyttäjät on nimetty ja jokaisella on salasana. Windows Active Directory -ympäristössä (AD) näin aina on. Windows Serverin mukana tulee Network Policy Server -rooli (NPS), joka tarjoaa RADIUS-palvelun tukiasemille. Tukiasemat siis tarkistavat käyttäjätunnuksen ja salasanan RADIUS-palvelimelta (eli NPS:ltä) ennen kuin päästävät käyttäjän verkkoon. Estämällä käyttäjä AD:sta estetään pääsy myös WLAN-verkkoon. Tähän ei tarvita mitään ylimääräisiä laitteita tai ohjelmistoja. Käytännössä kaikki tukiasemat tukevat WPA2 Enterprise -suojausta ja NPS-roolin voi asentaa AD:n Domain Controlleriin (DC).

Lue lisää:

WPA3 eli uusin Wi-Fi Protected Access

Miten yksi käyttäjä voi tuhota WLAN-verkon suorituskyvyn?

..ja mitä on Airtime Fairness?

WLAN on jaettu media, jossa vain yksi voi lähettää kerrallaan. Jokainen käyttäjä odottaa vuoroaan ja pääsee aikanaan lähettämään. Ongelmana on, että yhteysnopeus on riippuu kunkin käyttäjän yhteyden laadusta, siis etäisyydestä ja häiriöiden määrästä. Lähellä tukiasemaa nopeus voi nykyään olla satoja megabittejä sekunnissa, kun kuuluvuusalueen reunalla se on yksi megabitti sekunnissa. Käyttäjien tiedonsiirtotarve on kuitenkin samaa luokkaa, toisten bitit vain siirtyvät nopeammin. Tästä seuraa se, että kun kuuluvuusalueen reunalla oleva käyttäjä saa vuoron, hän käyttää saman tietomäärän siirtämiseen monta sataa kertaa enemmän aikaa – ja muut odottavat. Yksi käyttäjä voi käyttää 90% verkon ajasta, vaikka ei siirtäisi mitenkään suuria tietomääriä. Ongelma on vain pahentunut, kun WLANin huippunopeus on kasvanut, mutta edelleen tuetaan kaikkein hitaimpiakin laitteita.

Laitevalmistajilla on tähän tekninen ratkaisu: Airtime Fairness eli ATF, joka löytyy monien valmistajien järjestelmästä. Tukiasema lähettää hitaalle käyttäjälle paketteja harvemmin kuin aiemmin. Aiemmin kaikkia käyttäjiä kohdeltiin samanarvoisina, mutta nyt yhteysnopeus vaikuttaa siihen kuka saa vuoron. Vanhempia laitteita (eli standardeja) käyttävät tai kauempana tukiasemasta olevat käyttäjät huomaavat yhteytensä hidastuvan entisestään, kun taas verkon kokonaisläpäisykyky kasvaa.

Tukiasema ei voi vaikuttaa siihen, miten käyttäjät lähettävät dataa. Kaikki laitteet kilpailevat lähetysajasta tasaveroisina, mutta tukiasema vastaa hitaille laitteille harvemmin. Usein liikenne kuitenkin painottuu tukiasemasta käyttäjälle päin, eli tietoa ladataan enemmän kuin lähetetään. Silloin ATF vaikuttaa suoraan.

Airtime Fairness on hyvä ratkaisu tilapäisiin ongelmiin, mutta parempi ratkaisu on suunnitella verkko niin, ettei käyttäjiä ole heikon kuuluvuuden alueella. Lisäämällä tukiasemia tarpeen mukaan saadaan kaikille käyttäjille nopea yhteys. Airtime Fairness voi tiettyyn rajaan saakka peittää suunnitteluvirheitä, mutta ei sillä niitä voi poistaa.

Langattomat verkot lisävarusteesta välttämättömyydeksi

Milloin teidän WLAN-verkkonne rakennettiin? Montako käyttäjää siinä silloin oli? Montako on tänään?

Aikoinaan langaton verkko oli tekninen lisävaruste, jippo. Oli hienoa laittaa tukiasema pystyyn sille yhdelle myyntiveikolle, jolla oli firman ainoa kannettava. Tänään kaikille hankitaan kannettavat ja odotetaan ihmisten kuljeskelevan paikasta toiseen tehden töitään siellä ja täällä, mutta aina yhtä tehokkaasti. Silloin joskus riitti, kun sähköpostit kulkivat ja selaimelle latautui sivu kun ehti. Nykyään videoneuvottelut ja opetusvideoiden katselu vaativat aivan eri luokan tiedonsiirtokapasiteettia. Siksi langattomien verkkojen suunnittelu pitää ottaa vakavasti. Osa suunnittelusta on samaa kuin langallisissa verkoissa, osa taas radioyhteyden erityispiirteiden mukaista.

Suunnittelu

Langallisista verkoista tuttua on kapasiteettien laskeminen. Montako käyttäjää? Millaisia sovelluksia? Millaisia vasteaikoja tarvitaan? Paljonko dataa liikkuu? Vähän epävarmuutta näihin kysymyksiin tuottaa käyttäjien liikkuminen. Yhtenä päivänä kaikki ovat läppäreineen samassa tilassa, jossa ei ole kuin yksi tukiasema, eikä kukaan ole tyytyväinen. Joka tapauksessa tukiasemat pitää yhdistää kiinteään verkkoon ja näiden yhteyksien pitää olla riittäviä ja mielellään kahdennettuja. Monessa toimistossa yksi laiterikko voi pimentää koko konttorin eikä silloin kukaan tee töitä.

Tietoturvaakin voidaan hoitaa aika lailla vanhoilla kaavoilla. Luodaan erinimisiä verkkoja (eli muutama SSID) ja liitetään nämä langallisen verkon VLANeihin. Näin saadaan myynti, hallinto ja tuotekehitys erotettua omiin verkkoihinsa. Teknisesti hienompi ratkaisu on käyttää vain yhtä verkkoa, jossa käyttäjät tunnistetaan nimellä ja salasanalla ja sillä perusteella heidän liikenteensä ohjataan asianomaiseen VLANiin. WPA2 Enterprise mahdollistaa käyttäjäkohtaisen tunnistautumisen ja erilaiset asetukset 802.1X:llä.

Vaikein asia hahmottaa on radiotie, koska sitä ei näe. Minne ja kuinka monta tukiasemaa tarvitaan? Millaisia antenneja? Toimiiko verkko kaikkialla vai onko katveita? Riittääkö kapasiteetti?

Laitteet

Aikoinaan tukiasemat olivat kalliita laitteita, joten niitä hankittiin yksi ja laitettiin se keskelle toimistoa. Tämä toimi hyvin kun käyttäjiä oli muutama eikä siirtonopeuksilla tai viiveillä ollut tarkkoja määrittelyjä. Tänä päivänä ei voi laskea vain käyttäjiä, vaan kaikilla käyttäjillä on useita laitteita: kannettava, älypuhelin ja usein vielä tabletti. Etenkin puhelinten akut ovat hyvin rajallisia, joten lähetystehot ovat minimaalisia. Vaikka puhelin näyttää kuinka monta kuuluvuustolppaa, ei yhteys muodostu ellei tukiasema kuule pienitehoista puhelinta. Siksi tukiaseman pitää olla lähellä, eli tukiasemia tarvitaan useita. Tukiasemat voivat häiritä toisiaan, joten jokaisen tukiaseman lähetysteho pitää säätää alas, tyypillisesti samalle tasolle kuin pienitehoisimmassa puhelimessa (10-15mW), eikä jättää laitetta täydelle teholle, mikä on yleensä oletusarvo.

Kun tukiasemia tulee useita, pitää niitä jotenkin hallita. Tavallisia tukiasemia hallitaan yksitellen, tyypillisesti selaimella. Viidenkin tukiaseman pitäminen samoissa asetuksissa ja samalla päivitystasolla on aika työlästä. Kannattaa katsoa, että valituille tukiasemille löytyy hallintatyökalu, jolla niiden asetuksia ja päivityksiä voi hallita yhdellä kertaa.

Siirtyminen 802.11ac-verkkoon

802.11ac lupaa hurjia nopeuksia ja ennennäkemätöntä suorituskykyä, mutta mitä pitää ottaa huomioon?

Ensinnäkin 802.11ac on määritelty vain 5GHz taajuusalueella. 2,4GHz alueella käytetään edelleen 802.11n:ää. Suuremmat taajuudet vaimenevat nopeammin, eli 5GHz tukiasemia pitää olla vähän tiheämmässä. Toisaalta 5GHz on ollut jo käytössä 802.11n:ssä, eli useimmissa verkoissa tämä on jo huomioitu.

AC:n uudet nopeusluokat toteutetaan käyttämällä leveämpiä kaistoja (80MHz ja 160MHz) ja tarkempaa modulaatiota (256-QAM). Tarkempi modulaatio vaatii erittäin hyvälaatuisen yhteyden, käytännössä näköyhteyden tukiasemaan. Luvattuja AC-nopeuksia ei saavuteta seinän takana olevaan tukiasemaan. Tämän takia tukiasemia halutaan usein lisätä AC:hen siirryttäessa. Samalla saadaan lisää suorituskykyä, eli verkko ei ole jatkuvasti tukossa käyttäjämäärien kasvaessa. Tukiasemia lisättäessä pitää pienentää lähteystehoja, etteivät tukiasemat häiritse toisiaan, muuten tukiasemien lisäämisestä ei ole kuin haittaa.

Kolmas haaste on teknisempi. AC-tukiasemat tarvitsevat enemmän sähköä. Jos tukiasemissa on omat virtalähteet niin tämä ei ole ongelma. Jos virta syötetään Ethernet-johtoa pitkin kytkimeltä, niin kytkin saattaa vaatia päivittämistä. Vasta virransyötön uudempi standardi 802.3at eli PoE+ tarjoaa riittävän tehon AC-tukiasemalle. Vanhempi standardi oli 802.3af eli PoE (ilman plussaa).

Samalla saatetaan tarvita päivitystä tietoyhteyksiinkin. Jo nykyinen 802.11n ylitti 100Mbps Ethernetin kapasiteetin. 802.11ac tarvitsee vähintään gigabitin Ethernet-yhteyden – tehokkaimmissa tukiasemissa on kaksi Ethernet-porttia, koska ainakin teoriassa voidaan ylittää yhden gigabitin kapasiteetti. Joka tapauksessa kaksi johtoa parantaa vikasietoisuutta, mutta vaatii tietysti kaksinkertaisen määrän portteja kytkimestä. Jos samaan kytkimeen on liitetty useampi tukiasema, pitää katsoa myös kapasiteettia runkoverkkoon päin, ettei se muodostu pullonkaulaksi.

Edulliset yritys-WLANit

Keskitetysti hallittavan yritys-WLANin ei tarvitse maksaa mansikoita

Langattomat verkot voi jakaa karkeasti kahteen kastiin: yksittäisten tukiasemien verkot ja hallitut yritysverkot. Jälkimmäiset ovat perinteisesti maksaneet kymmenkertaisesti ja vaatineet perehtyneen henkilökunnan ylläpitoon. Nyt markkinoilta löytyy kevyempiä vaihtoehtoja yritysverkon rakentamiseksi:

Ubiquiti on amerikkalainen langattomiin teknologioihin erikoistunut yritys, joka pyrkii pitämään kiinteät kustannuksensa kurissa. Esimerkiksi markkinointi perustuu lähinnä suusta-suuhun -menetelmään. UniFi on Ubiquityn WLAN-brändi.
MikroTik on latvialainen yritys, joka on valmistanut reitittimiä ja muita verkkolaitteita 20 vuotta. MikroTikin tukiasemat ovat täysiverisiä reitittimiä, joissa on WLAN-kortti – silti ne ovat hinnaltaan markkinoiden edullisimpia. MikroTikin laitebrändi on RouterBoard.
[Muokattu 8/2018: Tuote lopetettu] XClaim on amerikkalaisen Ruckus-valmistajan kevyempi brändi. Tuotevalikoima on hyvin suppea, mutta laatu tuttua Ruckus-tasoa. Esimerkiksi 802.11ac-tukiasemia on kaksi mallia: sisä- ja ulkokäyttöön.

Yhteistä näille kaikille on parin sadan euron hintataso, ei vuosimaksuja, keskitetty hallinta ja hillitty, ”businesslike” ulkonäkö. Keskitettyyn hallintaan ei tarvita erillistä laitetta, vaan verkkoa voi hallita sovelluksella, joka parhaimmillaan mahtuu kännykkään. Tuhannen euron kertainvestoinnilla saa laitteet keskikokoisen toimiston kunnolliseen verkkoon.

Kategoria: Verkot