КАКОЕ свойство беспроводных локальных сетей (WLAN) является для вас самым важным? Безопасность? Эффективное использование спектра? Управление? Производительность? Если вы не готовы поступиться чем-либо из перечисленного, не беда: на рынке уже появилась группа коммутаторов WLAN, которые обещают удовлетворить запросы самых взыскательных пользователей.

Каждый производитель спешит заверить, что его продукция не только полностью соответствует ожиданиям потребителей, но и превосходит их. Мы решили проверить эти заявления в ходе комплексного тестирования представленных на рынке коммутаторов БЛС. Компании Airespace, Aruba Wireless Networks, Symbol Technologies и Trapeze Networks представили на наш суд свои разработки. Другие поставщики, которым также было отправлено приглашение на участие в испытаниях, к сожалению, не смогли вовремя прислать нам оборудование.

Мы протестировали каждую систему на степень защищенности от сетевых атак, тщательно обследовали средства проектирования, оптимизации использования спектра и администрирования. Кроме того, мы замеряли время задержки передачи пакетов и ее флуктуаций. Можно сделать следующие выводы:

  • в то время как все продукты оснащены более надежными средствами сетевой защиты, чем оборудование WLAN предыдущего поколения, реализованные в них методы защиты от внешних сетевых атак и попыток несанкционированного доступа существенно различаются;
  • поставщики используют разные алгоритмы туннелирования трафика, что фактически исключает функциональную совместимость оборудования разных производителей, затрудняет поиск и устранение проблем в работе сети;
  • при увеличении числа точек доступа производительность сети падает, а задержка передачи возрастает. Впрочем, отдельные продукты способны динамически настраиваться на изменяющиеся параметры беспроводной среды;
  • автоматизированные средства мониторинга упрощают проектирование сетей, но выдаваемые ими рекомендации далеко не всегда совершенны.

Поскольку каждый продукт обладал какими-то уникальными особенностями, при выборе победителя нам пришлось изрядно попотеть. В итоге мы решили, что пальму первенства должны разделить разработки компаний Airespace и Aruba. Коммутатор AS4024 производства Airespace отличают прекрасно спроектированный управляющий Web-интерфейс, добротные средства защиты данных и самая высокая скорость передачи. Устройство Aruba 5000 оказалось лидером в области сетевой безопасности и к тому же продемонстрировало лучшую функциональность.

Задачка по таксономии

Все четыре фирмы предлагают коммутаторы и точки доступа WLAN, обеспечивают поддержку подачи электропитания на указанные устройства по сети Ethernet. К сожалению, на этом сходство и заканчивается.

Из-за серьезных различий в системах мы потратили уйму времени, пытаясь выяснить особенности их функционирования в реальной корпоративной сети. В документе, который был заблаговременно разослан участникам тестирования, каждой фирме предлагалось сформировать три рабочие группы в рамках одной офисной WLAN. Реакция поставщиков на это требование позволила нам уяснить массу тонкостей, относящихся как к свойствам самих беспроводных сетей, так и к особенностям их функционирования и администрирования.

Модульный коммутатор Aruba 5000 способен передавать пакеты третьего уровня модели OSI и маршрутизировать трафик между IP-подсетями. Прочие изделия работают на втором уровне и имеют фиксированную конфигурацию портов. Устройство Mobility Exchange компании Trapeze требует прямого присоединения точек доступа, тогда как остальные модели допускают их подключение к любому коммутатору, поддерживающему туннелирование трафика. Впрочем, сотрудники Trapeze сообщили, что в новой версии ПО, которая появится на рынке уже в текущем квартале, требование непосредственного подключения будет снято.

Функциональные возможности точек доступа также оказались различными. В то время как продукты компаний Airespace and Aruba поддерживают новый стандарт 802.11g, двум другим производителям еще предстоит достичь этой цели.

Для организаций, сотрудники которых активно используют портативные беспроводные устройства, немаловажна поддержка точками доступа сразу нескольких идентификаторов базовых служб (Basic Service Set ID, BSSID). При отсутствии этой функции карманные ПК и IP-телефоны, находящиеся в режиме энергосбережения, будут активироваться каждым широковещательным сообщением, а таких сообщений в типичной WLAN генерируется не меньше десятка в секунду. Продукты компаний Airespace и Symbol уже поддерживают BSSID, а инженеры Aruba работают в этом направлении.

Средства проектирования

Поставщики были единодушны в том, что возможности управления полосой пропускания имеют решающее значение в беспроводных сетях. Ограниченность частотного ресурса требует применения в WLAN более изощренных методов выделения полосы, чем используемые в проводных системах.

При насыщении полосы пропускания в обычном сегменте Ethernet самое простое решение сводится к увеличению числа портов либо их пропускной способности. В беспроводных LAN такой фокус не проходит: точки доступа либо будут мешать друг другу, либо окажутся вне зоны уверенного приема.

Таким образом, в беспроводных сетях должны применяться специальные методы управления частотным ресурсом. Aruba и Trapeze автоматизировали средства мониторинга сетевых ресурсов, причем управляющее ПО RingMaster фирмы Trapeze явно превосходит разработку конкурента.

Администратору, применяющему RingMaster, достаточно задать число пользователей или рабочих групп, величину полосы пропускания для каждого потребителя и ввести в систему поэтажные планы здания в виде имен CAD-файлов. Указанное ПО обработает полученные данные с учетом характеристик здания и возможных потерь радиосигналов, а затем выдаст схему сети с точным указанием местоположения каждой точки доступа.

Управляющее ПО фирмы Aruba работает по тому же принципу, только файлы с поэтажными планами воспринимает в форматах GIF или JPEG, а не CAD. После развертывания WLAN продукты компаний Airespace и Aruba проводят мониторинг ее функционирования и сообщают администратору обо всех несоответствиях между введенными поэтажными планами и фактической радиообстановкой.

Что же касается Airespace и Symbol, то руководство этих фирм не видит адекватной замены традиционному физическому обследованию сетей с замерами мощности радиосигнала в разных точках. Впрочем, столь консервативная точка зрения имеет под собой определенные основания. Приложение RingMaster «произвело на свет» прекрасный чертеж, но наша ошибка при вводе данных (двойное оконное остекление вместо одинарного) привела к неверному вычислению системой значения излучаемой мощности, а это, в свою очередь, отрицательно сказалось на производительности сети. В результате инженеру компании Trapeze все равно пришлось настраивать точки доступа вручную.

В другой подобной ситуации ПО RF Director фирмы Aruba не учло слабый сигнал, который генерировала точка доступа, находившаяся в соседнем офисе. Правда, в отличие от разработки Trapeze, программа RF Director динамически настроила производительность точек доступа на оптимальное значение.

С динамической настройкой связана проблема изменения параметров радиоэфира со временем. Даже если бы мы не сделали описанной выше ошибки при вводе данных в среде RingMaster, после изменений параметров среды передачи полученный чертеж все равно мог оказаться непригодным для дальнейшего использования. Сотрудники Trapeze порекомендовали повторно запустить средство проектирования сети, тогда как управляющее ПО компании Aruba выполнило это действие самостоятельно.

Для управления тестировавшимися коммутаторами может использоваться Web-интерфейс либо протокол SNMP. С точки зрения простоты использования Web-интерфейс от Airespace оказался наиболее интуитивным. Он содержит хорошо структурированные разделы, относящиеся к различным компонентам WLAN, и функции управления коммутаторами. К тому же Airespace — единственный из поставщиков - обеспечивает поддержку третьей версии протокола SNMP, которая отличается от своих предшественников гораздо большей защищенностью.

Web-интерфейсы, предлагаемые для управления коммутаторами Symbol и Aruba, оказались куда менее привлекательными. Так, в окне интерфейса от Symbol несколько раз не обновились данные о состоянии системы; к тому же для его загрузки необходима исполняемая среда Java. А интерфейс компании Aruba просто перегружен информацией. Возможно, причина этого — многообразие функций соответствующего коммутатора. Данные о состоянии системы здесь также не обновились (правда, произошло такое лишь один раз).

Анализ производительности

Результаты этого теста позволяют впервые представить общественности реальные значения задержек передачи пакетов в беспроводных LAN. Дело в том, что во время предыдущих измерений производительности исследователи концентрировались на оценке скорости передачи, тогда как задержки способны гораздо больше повлиять на работу приложений.

Кроме того, данная серия тестов проводилась в конфигурации WLAN, охватывавшей сразу несколько точек доступа, а не одну, как обычно (в том числе при сертификации на соответствие стандарту Wi-Fi, проводимой консорциумом WEGA). В конце концов, основная цель коммутации в WLAN — увеличение числа точек доступа, функционирующих в этих сетях.

Мы воспользовались специально разработанными процедурами тестирования и четырьмя генераторами/анализаторами трафика NetWarrior компании QoSmetrix. Местоположение модулей NetWarriors было фиксированным, а точки доступа поставщики могли устанавливать произвольным образом на площади около 110 м?.

Использование в испытаниях сразу трех точек доступа 802.11b было не случайным: теоретически они должны успешно функционировать на ограниченном пространстве, задействуя различные радиоканалы во избежание взаимных помех. На практике же от помех в эфире не застрахован никто, поэтому мы намеренно создали перегрузку в сети с помощью двух дополнительных конфигураций. Первая предполагала работу сразу четырех точек доступа одного производителя, вторая — трех обычных и одной нелегально установленной точки доступа. (Второй сценарий не применялся во время тестирования коммутаторов Symbol и Trapeze, поскольку они не способны регулировать уровни сигнала при появлении в сети нештатного устройства.)

Испытания показали, что продукты компаний Airespace и Aruba, обладающие способностью к динамической адаптации частоты передачи, лучше других справляются с помехами в эфире. Для оценки скорости передачи использовались длинные (1464-байтные) пакеты. При этом точки доступа Airespace продемонстрировали наибольшую производительность. За ними следовали продукты фирмы Aruba, а уж потом — изделия Trapeze и Symbol.

Максимальная пропускная способность коммутатора AS4024 заметно превысила 7 Мбит/с — значение, которое обычно принимается за верхнюю границу для сетей 802.11b. Сам изготовитель объясняет это применением функции централизованной координации (Point Coordination Function, PCF). Этот редко используемый механизм предусмотрен стандартом 802.11 и рассчитан на более короткие временные промежутки между кадрами, нежели те, которые обеспечивает широко распространенный алгоритм распределенной координации (Distributed Coordination Function, DCF). Таким образом, чем меньше упомянутый промежуток, тем выше производительность коммутатора фирмы Airespace.

Методы уменьшения межпакетных интервалов в сети Ethernet имеют дурную славу. В ранних моделях коммутаторов Ethernet производители задействовали короткие временные интервалы для повышения производительности своих изделий, хотя такой вариант не регламентировался стандартом. В нашем случае дело обстояло иначе, поскольку применение PCF в WLAN является вполне законным. Обратная же сторона использования этого механизма состоит в том, что он ограничивает доступ к радиоэфиру других узлов сети. Представители Airespace отметили, впрочем, что для большинства случаев в беспроводных LAN преобладает нисходящий трафик (от точек доступа к клиентским устройствам), поэтому время для пересылки трафика в обратном направлении всегда найдется.

Ни одна из систем не смогла утроить скорость передачи в тестах с тремя или четырьмя точками доступа, хотя теоретически три таких устройства не должны были мешать друг другу. Точки доступа производства Aruba ближе всего «подошли» к такому результату: в среднем их суммарная производительность составила примерно 95% от утроенного быстродействия единичной точки доступа. У изделий Trapeze этот показатель составил 91%, у Airespace — 90%, а у Symbol — всего 81%. И здесь мы сталкиваемся с одной из принципиальных проблем функционирования WLAN: по мере обострения конкуренции отдельных устройств за доступ к частотному ресурсу их удельная производительность начинает падать.

Несмотря на выдающееся быстродействие Airespace AS4024, ни это, ни какое-либо другое устройство не смогло и близко подобраться к номинальной скорости 11 Мбит/с, декларируемой стандартом 802.11b. Это обстоятельство объясняется, в первую очередь, гигантским объемом служебного трафика в сетях 802.11, а также уже упомянутой конкуренцией за частотный ресурс.

Полученные нами величины задержек недвусмысленно указывают на причины существенного понижения производительности сетей при возникновении перегрузки. При интенсивности трафика на уровне 500 кадров/с (что примерно соответствует 5,5 Мбит/с) задержка сигнала оставалась низкой и постоянной. Но стоило нам удвоить объем трафика (до 1 тыс. кадров/с, или около 11 Мбит/с), как задержка стала измеряться десятками и даже сотнями миллисекунд, что эквивалентно снижению производительности сети.

В худшем случае точки доступа компании Airespace вносили в передачу пакетов среднюю задержку на уровне 400 мс. Мы оценили также флуктуации этой величины: они составили лишь 17 мс. Другими словами, весьма продолжительную задержку испытывали не единицы, а подавляющее большинство передаваемых кадров.

В отношении средних величин задержек, полученных во всех тестах с длинными пакетами, следует отметить, что продукт фирмы Aruba обрабатывал пакеты быстрее других изделий; среднее значение вносимой им задержки составило всего 32,7 мс. Этого времени недостаточно, чтобы заметно снизить производительность большинства приложений, и все-таки оно сильно уступает лучшему результату (2,5 мс), показанному моделью той же Aruba в основном тесте. Одним из возможных факторов, вызывающих столь значительные скачки в задержке передачи, является формирование очередей и повторная отправка кадров при возникновении перегрузки в беспроводных локальных сетях.

Продукты компаний Airespace и Aruba показали прекрасные результаты во время тестов, в которых три «законные» точки доступа должны были противостоять одному нелегально установленному узлу. Обе системы смогли воспрепятствовать использованию «нелегальной» точкой сколько-нибудь заметной части частотного ресурса.

Мы проводили испытания и с участием коротких (132-байтовых) пакетов, которые могут использоваться приложениями VoIP. Как и в экспериментах с длинными кадрами, задержка, вносимая любой из тестировавшихся моделей, значительно возрастала, когда в игру вступали сразу несколько точек доступа либо скорость передачи удваивалась с 500 до 1 тыс. кадров/с.

Задержка передачи заметно увеличивалась в сетевых конфигурациях с тремя и четырьмя точками доступа фирмы Symbol. Практически тот же эффект наблюдался при тестировании продуктов Trapeze, а вот для изделий компании Airespace рост задержки отмечался лишь при наличии в сети сразу четырех точек доступа.

При анализе величин задержек для коротких пакетов следует принять во внимание три обстоятельства. Во-первых, ни одна из систем не вносила в процесс передачи задержку, которая сама по себе была способна ухудшить качество воспроизведения звука, передаваемого средствами VoIP. Правда, не стоит забывать, что задержки суммируются: если узлы WLAN вносят задержку 45 мс, а затем другие элементы сетевой инфраструктуры (например, шлюзы VoIP) добавляют к этой величине еще большее значение, то суммарная задержка может превысить порог 50—70 мс, и тогда ухудшение качества воспроизведения голоса станет весьма ощутимым.

Во-вторых, в тестах с короткими пакетами мы ни разу не доводили дело до перегрузки физического соединения. Полоса пропускания, необходимая для передачи даже 1 тыс. коротких пакетов/с, составляет около 1 Мбит/с, так что теоретически никакой перегрузки из-за высокой интенсивности трафика возникнуть не должно. Зарегистрированное нами увеличение задержки, судя по всему, было вызвано превышением показателей ограничений на количество пакетов, обрабатываемых за секунду коммутаторами или точками доступа.

Наконец, поскольку в испытаниях фигурировал только один тип трафика, никто из производителей не использовал механизмы QoS для приоритетной обработки одних пакетов за счет других. Тем не менее представители всех четырех компаний заверили нас, что соответствующие механизмы ими реализованы и что все они намерены организовать поддержку будущего стандарта 802.11e, регламентирующего обеспечение качества беспроводного сервиса.

Туннелирование исключает взаимодействие

Еще одним существенным различием тестировавшихся изделий является способ транспортировки трафика между проводными и беспроводными сетями. Каждый из четырех продуктов использовал свой метод туннелирования, что затрудняет выявление причин неполадок в работе WLAN и практически исключает совместное функционирование этих устройств в единой сетевой среде.

При передаче трафика между беспроводным клиентским устройством и точкой доступа применялся стандартный формат кадров 802.11. А вот «общение» точки доступа с коммутатором всякий раз было организовано по-разному. Скажем, система фирмы Aruba использовала туннельную передачу с инкапсуляцией по протоколу Generic Routing Encapsulation (GRE). Продукт компании Airespace вообще не инкапсулировал трафик, но в качестве опции в нем реализован механизм формирования туннелей IPSec между коммутатором и клиентским устройством. Компания Symbol сделала выбор в пользу встраивания кадров 802.11 в стандартные пакеты Ethernet (802.3), а инженеры фирмы Trapeze остановились на патентованном протоколе шифрования трафика Trapeze Access Point Access Protocol.

К сожалению, список возможных вариантов туннелирования этим не исчерпывается. Некоторые компании применяют специальные методы передачи трафика между коммутаторами БЛС. Так, между устройствами фирмы Airespace автоматически формируются туннели IPSeс, тогда как Trapeze для этой цели использует схему инкапсуляции IP-in-IP. Компании Aruba и Symbol для транспортировки трафика между коммутаторами WLAN сделали ставку на стандартный формат пакетов Ethernet, однако для управления трафиком в устройствах Aruba применяется патентованный алгоритм туннелирования.

Подобное разнообразие неизбежно порождает серьезные проблемы при устранении неисправностей в сетях, построенных на основе оборудования разных производителей, а также при управлении ими. Лучший способ установить причину нештатной ситуации в работе WLAN — воспользоваться анализатором протоколов вроде AiroPeek или EtherPeek производства WildPackets. Но ни один анализатор не сумеет распознать, скажем, наличие в сети механизма туннелирования кадров 802.11 в составе пакетов 802.3, реализованного фирмой Symbol. Действительно, ведь он не ожидает встретить заголовок пакета WLAN сразу после заголовка Ethernet. Патентованный алгоритм инкапсуляции от Trapeze также распознать практически невозможно. К чести Aruba отметим, что эта компания опубликовала расширение к открытому программному коду анализатора Ethereal, которое позволяет декодировать пакеты, транспортируемые по туннелям GRE.

Но даже если алгоритмы декодирования будут известны, перехватить пакеты в самой сети окажется не так-то просто. Только коммутатор производства Aruba поддерживает «зеркальное» отображение трафика, передаваемого через отдельные порты, в частности — возможность его копирования с одного порта на другой для захвата и последующей дешифровки. Полезность «зеркального» отображения при выявлении сетевых неисправностей трудно переоценить, но остальные производители сообщили, что для захвата трафика пользователям потребуются дополнительные коммутаторы.

Защищая эфир

Проблема обеспечения безопасности серьезно беспокоит потребителей. Надо сказать, что в этой области снова обнаружились существенные различия между продуктами. Мы оценивали средства защиты данных в двух функциональных категориях: реакция на появление в сети нелегальной точки доступа и аутентификация/шифрование пользовательского трафика.

Нелегальные точки доступа, не поддающиеся управлению коммутатором WLAN или соответствующим ПО, представляют серьезную угрозу для сетевой безопасности. Установка коммутатора позволяет существенно снизить число таких устройств, но не устраняет проблему. Исчезнув из корпоративной сети, нелегальная точка доступа может проявиться вовне, например, в соседних офисах или на парковке.

Сформулированные нами предварительные требования к оборудованию, участвовавшему в тестировании, включали в себя способность распознать нелегальную точку доступа и соответствующим образом перестроить функционирование сети. Для имитации сотен тысяч нелегальных точек доступа использовался инструментарий FakeAP, основанный на открытом программном коде.

Реакция испытывавшихся продуктов была самой разнообразной. К счастью, все устройства выдержали «соседство» с FakeAP в течение целой ночи. Однако ни одно из них не уведомило администратора о предпринятых попытках сетевых атак.

Более того, некоторые продукты вообще не увидели в сети нелегальные устройства. Скажем, Symbol Wireless Switch обнаружил нелегальную точку доступа только после того, как мы попытались напрямую подключить ее к коммутатору. А изделие фирмы Trapeze из примерно 500 тыс. сымитированных нелегальных точек доступа распознало лишь 16!

Продукты компаний Airespace и Aruba оказались чуть более интеллектуальными. Они также не обнаружили непрошеных гостей, но уже по иной причине: на каждую нелегальную точку доступа FakeAP генерировал одно сигнальное сообщение в секунду, тогда как настоящее устройство должно выдавать их на порядок больше. В результате устройства AS4024 и Aruba 5000 приняли трафик от FakeAP за обычные помехи в эфире.

Справедливости ради отметим, что в продуктах компаний Airespace и Aruba имеется функция «сдерживания» нелегальных устройств: последние фактически выводятся из эфира, так что клиенты перестают их замечать. В тестах с реальными нелегальными точками доступа эта функция «сработала» и в AS4024, и в Aruba 5000 в течение одной секунды после появления нелегальной точки доступа.

Коммутатор фирмы Aruba способен также различать нелегальные устройства, находящиеся внутри и вне помещения. Это позволит сетевым администраторам изолировать нелегальные точки доступа внутри компании, не вторгаясь в локальные сети соседних офисов.

Что же касается защиты пользовательского трафика, все тестировавшиеся коммутаторы поддерживают процедуру аутентификации, предусмотренную стандартом 802.1x. Мы успешно выполнили аутентификацию клиентов WLAN на всех четырех коммутаторах, используя протокол Protected Extensible Authentication Protocol (PEAP). В каждом случае коммутаторы выступали в роли идентифицирующих устройств, через которые происходил обмен сообщениями между клиентскими устройствами и сервером RADIUS/PEAP.

Поддержка стандарта 802.1x позволяет с требуемой частотой изменять ключи, используемые для шифрования трафика по алгоритму Wired Equivalent Privacy (WEP). Актуальность частой смены ключей обусловлена несовершенством алгоритма WEP: завладев статическим ключом, злоумышленник может без особых усилий декодировать зашифрованный трафик. Все производители сообщили нам о поддержке спецификаций Wi-Fi Protected Access (WPA) и протокола Temporal Key Integrity Protocol (TKIP), которые рассматриваются экспертами как эффективная замена WEP. Впрочем, поддержку WPA мы не проверяли.

Каждый коммутатор предоставляет в распоряжение пользователей дополнительные средства обеспечения безопасности (помимо предусмотренных стандартными протоколами), которые опять же сильно разнятся от продукта к продукту. Так, в изделиях Airespace и Aruba для аутентификации и шифрования трафика, передаваемого между коммутатором и клиентскими устройствами, применяются стандартные средства протокола IPSec.

Наиболее богатый набор средств безопасности реализован в Aruba 5000. Здесь есть и клиент VPN, и полноценный брандмауэр, и средства выделения частей суммарной полосы пропускания отдельным пользователям. Фирма Airespace предлагает средства IPSec и поддержку управляющего протокола SNMP v.3. Коммутаторы производства Symbol и Trapeze снабжены эффективными средствами контроля доступа, но им явно недостает ряда дополнительных функций, имеющихся в изделиях Aruba и Airespace.

Резюме

Каждый коммутатор оказался по-своему уникальным. Так, фирма Airespace выпускает самые производительные и легко настраиваемые точки доступа, Web-интерфейс которых отличается максимальной интуитивностью. Aruba предлагает наиболее полный и эффективный набор функций сетевой защиты, охватывающих практически все уровни модели OSI (со второго по седьмой). Разработки компании Symbol отличаются развитыми средствами контроля доступа и энергосбережения карманных устройств. К безусловным достоинствам коммутаторов от Trapeze следует отнести прекрасный инструментарий для планирования и развертывания сети; это придется по душе корпоративным заказчикам, не располагающим штатом технических специалистов.

Выбор наилучшего продукта зависит от того, какие критерии наиболее важны для вашей компании: безопасность, производительность, возможности управления или оптимизация использования частотного ресурса.

Схема тестовой сети

Процедура тестирования

Каждый производитель должен был предоставить два коммутатора и, по крайней мере, четыре точки доступа, отвечающие стандарту 802.11b. Продукты оценивались по четырем критериям: функционирование, управление, безопасность и производительность.

Тесты на функционирование и управление базировались на специально сформулированном минимальном наборе требований вымышленной компании к работе WLAN. Каждый поставщик должен был обеспечить соответствие своих изделий этим требованиям, а после испытаний мы составили сравнительную таблицу функций оборудования, оказавшегося в нашем распоряжении.

Отдельные испытания были посвящены роумингу пользователей и аутентификации в соответствии со стандартом 802.1x. В этом случае в роли клиентских устройств выступали ноутбуки ThinkPad R40 компании IBM, а в роли сервера PEAP — Internet Authentication Server, поставляемый вместе с операционной системой Windows 2000 Advanced Server корпорации Microsoft. Для проверки параметров аутентификации, которыми клиентское устройство обменивалось с сервером, а также для выявления нештатных ситуаций в сети использовались анализатор протоколов для беспроводных сетей AiroPeek NX и удаленный беспроводной зонд RFGrabber производства фирмы WildPackets.

В тестах на обеспечение сетевой безопасности ключевой фигурой был инструментарий FakeAP, основанный на открытом программном коде. В течение ночи он генерировал широковещательные служебные сообщения от сымитированных нелегальных точек доступа с интенсивностью четыре сообщения в секунду. Нас интересовали два обстоятельства: способность коммутаторов и точек доступа продолжать функционирование, несмотря на шквал сообщений от FakeAP, и их умение распознавать сетевые атаки и генерировать соответствующие отчеты.

Для оценки производительности были применены четыре генератора/анализатора трафика NetWarrior компании QoSmetrix. Одно устройство действовало как генератор пакетов в проводной сети Ethernet, а остальные выступали в роли беспроводных клиентов. Скорость отправки трафика каждому из клиентов была фиксированной — 500 или 1 тыс. пакетов/с. Поскольку для синхронизации времени устройства NetWarrior использовали приемники глобальной навигационной системы (GPS), мы смогли не только измерить скорость транспортировки трафика, но и оценить задержку передачи и ее флуктуации с точностью 40 нс. В данном тесте фигурировали пакеты UDP/IP размером 132 и 1464 байта (длина пакетов определялась в сети WLAN).

Поделитесь материалом с коллегами и друзьями