觀點

計畫無線區域路五步驟(上)

2004 / 10 / 06
廖邦彥
計畫無線區域路五步驟(上)

步驟一:計畫負載量,而不只是覆蓋率
當無線區域網路(WLANs)剛進入市場的時候,設計重點是確定在每一個點都能收到有效訊號。在提供無線網路的覆蓋範圍上,最節約的方式就是用最少量的無線網路存取器(Access Point),然後將他們的傳輸功率(Transit Power)設為最大。在無線網路存取器(Access Point)上內建的標準全方位天線可以製造出一個半徑約為100公尺的圓形覆蓋範圍。不幸的是,在同一個區域上可能會有數以百計的使用者爭相使用那些共享的無線網路頻道(channel)。再者,離無線網路存取器比較遠或是在接收度比較低的區域,其使用者資料傳輸速度都會比較低,進而影響那些具有良好訊號品質使用者的效率(也就是說,傳輸速率慢的使用者在傳送訊息的時候會比較慢,所以其他使用者要等比較久的時間才能連上頻道)。

提供一個不理想的服務與不提供服務是一樣糟糕的。在計畫每一個使用者的使用量(capacity)時,一定要從無線區域網路的頻道數與估計的使用者人數來先做考量。在除去所有的overhead考量之後,一個11-Mbps 802.11b 的無線區域網的頻道總共可以提供大概5.5 Mbps。802.11a和g的網路最多共可提供30 Mbps,不過如果802.11g使用者跟802.11b使用者分享同一個頻道的話,其數據將會大幅降低。所以這樣評估下來,無線區域網路實際上有作用的頻道數大概是期望的50%到55%。這一項估計是假設每一個使用者到無線網路存取器的距離都很近,也就是他們都在最大資料傳輸速度下工作。

適當的設計不僅要能提供覆蓋整個區域的涵蓋範圍,還要保證網路可以提供足夠的效率給在同一個空間裡的每一個使用者。另一點需要注意的是,網路設計是一個不間斷的發展過程,所以當網路用量成長或是更多的無線網路存取器被加入一個網路的時候,這些數據一定要再被重新考量或評估。當然,加入更多的無線網路存取器也代表了更多的花費。

在網路設計裡我們可以掌握四個基本的特點,用來確定足夠的生產力及無線覆蓋範圍。

1.無線連結介面
首先可選擇要使用的無線連結介面802.11a、b或g。

2.蜂巢部署/頻道設定
設計者接下來選擇要放置無線網路存取器、天線和 無線中繼器(radio repeater)的地點來決定涵蓋範圍和減少干擾。

3.訊號強度
在頻道數目有限的情況下,同一個頻道會在同一個空間裡的不同區域被重複使用。當一個頻道被重複使用時,我們必須減弱其他也在用同一個頻道的無線網路存取器的傳輸功率,以限制頻道之間的互相干擾(也就是在一個空間中被分配到同一頻道的無線網路存取器所造成的互相干擾)。然而,傳輸功率減低同樣的也會造成覆蓋範圍縮小,因此可能需要更多的無線網路存取器來提供同樣範圍的覆蓋。

4.限制連線數目
最後一個避免讓低速使用者影響到整體工作效率的技巧是限制使用者的連接率。舉例來說,在一個802.11b的環境中,你可以限制只有訊號強度足夠支援資料傳輸率5.5 Mbps的使用者才可以連接。越高的傳輸速率需要更高的接收訊號,所以如果只支援比較高的傳輸率就代表需要提供更多蜂巢,不然在覆蓋區域裡就會產生死角。

步驟二:轉換到 802.11a
一個大規模的無線區域網路會被規劃成在每一個無線網路存取器上使用不同頻道的蜂巢狀網路。在頻道數有限的情況下,重複使用頻道是無可避免的。基本原則是你不可以重複使用鄰近蜂巢所提供的頻道。在今日市場被802.11b和g網路主導的情況下,商務使用者一定要計畫一個使用802.11a 無線連結(radio link)的對策,來增加可得的頻道數並簡化其網路架構。

在2003年,對無線區域網路技術來說最大的新聞就是54 Mbps 802.11g radio link的出現。802.11g網路傳送速率約是802.11b的5倍,因此,使用者容易因為對此特性太歡欣而忽略它的缺點─它仍是在沒有執照的2.4 GHz工業、科學、醫學用(ISM, Industrial, Scientific, and Medical)頻帶下作業。

2.4 GHz系統最大的兩個問題是可用的無線傳播射頻頻譜極有限,以及易被其他的使用者干擾。FCC已經分配83.5 MHz的無線傳播射頻頻譜給ISM band,而且當每一個802.11b無線區域網路約需要25 MHz的時候,它只可以提供3個不會受到干擾的頻道。其實要支援較高速的資訊傳輸速率,一個802.11g的頻道只需要20 MHz。然而,為了要與802.11b系統相容,802.11g會使用到相同的3個頻道。

當我們提到無線電話、看護嬰兒的單向對講機、車庫開關無線電跟微波爐這些2.4 GHz的裝置會對無線網路產生干擾時,實際上,最大的干擾還是來自於其他的802.11無線區域網路。在2003年11月的BCR 的次世代網路會議(Next Generation Networks Conference)上,Verizon實驗室的Richard Eckard指出,當他的公司在曼哈頓安裝無線區域網路熱點時,在他們預定的涵蓋範圍中通常可以找到多達20個其他正在運作的無線區域網路。同一個區域裡,在相同頻道上運作的任何一個無線區域網路都會產生干擾進而降低網路的工作性,只有3個頻道可以使用。這種情況很難擺脫。

這個問題的答案就在較不擁擠的5 GHz波段下運作的802.11a,而且在消費者的心目中它將很快成為優先的選擇。在美國,5 GHz未執照化的國家資訊基礎建設(U-NII,Unlicensed National Information Infrastructure)波段是先被分配到頻寬介於5.150和5.585 GHz不接續的300 MHZ。當每一個802.11a 頻道佔據20 MHz,總共就可以提供12個不互相干擾的頻道。2003年11月,FCC分配額外的255 MHz(5.470~5.725 GHz)給U-NII 波段,增加了另外10~12個頻道,然而IEEE還沒決定他們現在的頻道數。

另一點值得注意的是,在5 GHz 波段下運作的儀器越來越少,所以干擾也隨之減少。然而,因為5 GHz U-NII 波段也還未開放執照,所以很容易取得。而當其他的無線網路申請者最後可能都會選擇具有12~14個頻道的5 GHz 波段,要避免干擾應該會比較容易。802.11a的缺點是當5 GHz 的訊號通過障礙物的時候,訊號的強度會大幅降低。所以要從2.4 GHz的網路進行升級很有可能需要更多的無線網路存取器和重新設計建造通訊的覆蓋範圍。

對商業使用者來說,發展非規格化的Mbps無線網路規格,對商業使用者來說其實沒有很大的實質效益。

晶片製造商Atheros的Super G和Turbo Mode無線連結(radio link)分別因為在2.4G和5 GHz bands下運作而被控告。其中的竅門就在於他們把頻道的頻寬擴大來提供更高的資料傳輸速率。然而,拓寬頻道頻寬將導致在5 GHz波段中不受到干擾的頻道數從12降到6,而在2.4 GHz波段中的情況下會從3降到1(也就是說,它使用頻道6,不會跟頻道1和11重疊),這對居家使用者來說是個很好的訣竅,可是在商務環境中,我們需要的是更多的頻道而不是更少。一言以蔽之,這個只適合在家用市場。

步驟三:增強安全性
安全性不佳被認為是商業用者一直遲遲不部署無線區域網路的最大原因,可是這個問題可望在2004年的時候獲得解決。的確,依原本的802.11規範來定義的Wired Equivalent Privacy(WEP)存在著明顯的缺點。沒有一個駭客使用線上免費程式效能超過AirSnort來破解靜態40位元加密鑰匙。雖然AirSnort需要數百萬的封包來作業,可是它的確是有效的。

關於安全性的問題,最大的修正部份是將包含高階加密標準(Advanced Encryption Standard,AES)的新802.11i規格;其規格將可望在2004年中旬被批准。高階加密標準是由國際規格及科技協會(National Institute of Standards and Technology,NIST)所發展出來,並且使用一種為了紀念其發展人Vincent Rijmen跟Joan Daemen而被命名為Rijndael的演算法。AES是一種極度複雜到會讓人頭皮發麻的對稱區塊加密程式,但它所提供的保護遠遠地超過了WEP的 RC4,以及通常與VPNs secure tunnel encryption合用的3DES演算法。問題是,我們是使用硬體裝置來作加密的動作,所以如果要從WEP升級到AES,是無法單單靠一個軟體更新就能完成的。這同時也指出,在今天要選擇無線區域網路的產品時,一定要選擇能升級到802.11i規格的裝置。

在這過渡期間,有許多解決方案在操作或性能上都勝過WEP。使用者可以選擇VLAN/VPN的規劃,其中所有無線區域網路的無線存取器都配置在另一個虛擬的區域網路中。要連接到任何一個在區域網路上的資源時,無線區域網路使用者必須先通過一個特許伺服器的認證許可,然後再經由防火牆建立一個安全的隧道連結。在本質上,無線區域網路的使用者就像是一個遠端存取的使用者,而VPN的安全隧道加密就被用來確信無線電通信鏈路的安全。

另一方面,你也可以使用由製造商所提供的解決方案,像是Reefedge或是Proxim。 然而,那將會使你的公司受限於特定供應商才有提供的解決方案。如果要能接納市場上的所有規格,我們會建議你選擇WI-FI聯盟的 Wi-Fi Protected Access(WPA)方案。 WPA包含了三個重要元素:

1.Temporal Key Integrity Protocol
KIP 使用40位元鑰匙,可是在每一個封包上的key都做改變,這種情形就可以防止使用暴力破解法(brute force method)的程式運作,像是AirSnort。

2.資訊完整性檢查
無線區域網路傳輸包含了一個叫做“Michael”的資訊完整性檢查。它是用來阻止欺偽行為(以未經過授權的身分,而在網路上從事傳輸動作)的無線存取器,停止那些想要連結到你無線區域網路的駭客的連結。

3.Extensible Authentication Protocol(EAP)
WPA同樣也是使用能提供發行鑰匙跟雙向認證(網路可認證使用者的合法性,使用者也可鑑定網路)的 802.1x擴展驗證協定。

WPA最大的好處就是它是依照標準規格來設計的,而且可以由軟體升級來實行。 The Wi-Fi Alliance Web site,這個網站目前列了超過175個與WPA相容的產品。Bob Moskowitz,TruSecure's ICSA實驗室的資深技術長負責人在他的一篇報告中提出WPA中一個具有威脅性的安全問題。WPA的開發者很顯然知道這個弱點,他們可以提出一個更安全更複雜的起始值來初始化加密的鑰匙,正確的部署可以解決WEP 主要的問題。

好消息是商業用戶現在部署的無線區域網路幾乎已經可以滿足全部的安全性要求,除了那種需要極度安全性的情況之外。再提醒大家一次,注意產品的選擇是很重要的,要確保我們選擇的產品具有可以跟將來依規格設計且更強大的功能相容的潛力。

限於篇幅,本期先介紹到此,下期將繼續介紹步驟四:「以802.11e增加服務品質(QoS)」,以及步驟五:「計畫管理層面,更換無線網路交換器」。