Professional Documents
Culture Documents
WHITE PAPER Aerohive Networks, Inc. Control cooperativo de la arquitectura WLAN Versin 2.1
ndice
Introduccin El enfoque de Aerohive Arquitectura de Control Cooperativo....................................................................4 Conceptos claves de Aerohive y convenciones de nombres ...........................................................................5 CONTROL COOPERATIVO ..................................................................................................................................... 7 Auto-descubrimiento y auto-organizacin HiveAP...............................................................................................7 Problemas de roaming con APs autnomos ............................................................................................................8 Roaming rpido y seguro de capa 3 ...........................................................................................................................9 Balanceo de carga de tneles en entornos de roaming de capa 3 a gran escala.............................. 10 Control RF cooperativo .................................................................................................................................................. 10 Balanceo de carga de estacin................................................................................................................................... 11 APLICACIN DE POLTICA EN EL ACCESO .................................................................................................. 12 Perfles de usuario y poltica basada en identidad............................................................................................ 12 Aplicacin de poltica QoS en el acceso ................................................................................................................. 13 Aplicacin de poltica de seguridad en el acceso ............................................................................................... 16 Portal web cautivo integrado ...................................................................................................................................... 17 Tneles basados en identidad .................................................................................................................................... 17 Aplicacin de poltica en el acceso de invitados ................................................................................................ 18 EL REENVO POR LA MEJOR RUTA.................................................................................................................. 19 Red mallada inalmbrica............................................................................................................................................... 20 Enrutamiento escalable de capa 2 y seleccin de la ruta ms ptima ................................................... 20 Seguridad con el reenvo por la mejor ruta ......................................................................................................... 22 Escalabilidad con el reenvo por la mejor ruta ................................................................................................... 22 ALTA DISPONIBILIDAD ...................................................................................................................................... 22 Ningn punto nico de fallo......................................................................................................................................... 22 Auto-curable por el enrutamiento dinmico rodeando de fallos ................................................................ 23
Introduccin
La primera oleada de WLANs eran puntos de acceso autnomos (standalone) y era relativamente fcil desplegarlas pero carecan de las caractersticas de manejabilidad, movilidad y seguridad que las empresas requieren incluso para redes crticas. Despus, surgiran las actuales arquitecturas centrales basadas en controladores, que solucionaban estos problemas y que podan aadir, adems, gestin centralizada, permitir roaming entre dispositivos y proporcionar una gestin RF coordinada y una poltica de seguridad a estas redes. Pero desgraciadamente, este tipo de arquitectura tambin supuso nuevos problemas como redes superpuestas opacas, cuellos de botella de rendimiento, puntos nicos de fallo, latencia aumentada y costes considerablemente ms elevados para las redes empresariales. Segn las redes inalmbricas se aceptan mas como una parte crtica de la red empresarial y mientras las empresas piensan en desplegar VoWLAN y aumentar el rendimiento WLAN con 802.11n las consecuencias de estos problemas se aumentan, lo cual lleva a la industra a reexaminar la validez de la arquitectura WLAN centralizada de hoy. Aerohive Networks ha respondido creando una nueva arquitectura WLAN llamada la arquitectura WLAN de Control Cooperativo. Es una arquitectura WLAN sin controlador que elimina los inconvenientes de controladores al proporcionar la gestin, movilidad y seguridad que las empresas requieren de la infraestructura inalmbrica.
Cooperative Control Wireless LAN Architecture HiveAP, las actualizaciones firmware, monitorizacin y troubleshooting simplificados. La arquitectura se admite por tres bases de tecnologa diferentes pero interrelacionadas. Control Cooperativo: un conjunto de protocolos que proporciona routing dinmico (basado en MAC) de capa 2, seleccin automtica de canales de radio y poder y un roaming rpido sin requerir controladores centralizados; Aplicacin de poltica en el acceso: la posibilidad para aplicar de forma granular polticas de seguridad, acceso y QoS basado en el usuario en el acceso de la red donde el usuario connecta por primera vez: El reenvo por la mejor ruta: la posibilidad para aplicar las polticas en el acceso, Control Cooperativo y protocolos de routing mallado escalables para permitir el reenvo seguro de trfico a travs de la ruta con mejor rendimiento y ms disponible de la red.
HiveAP 20
HiveManager appliance
Appliance HiveManagerTM NMS: Un appliance de gestin de red que permite una sofisticada gestin basada en la poltica de identidad as como una sencilla configuracin de dispositivos, actualizaciones HiveOS y la monitorizacin de los HiveAPs dentro de una architectura WLAN de Control Cooperativo. Hive: Un Hive es un grupo de HiveAPs que comparten el mismo nombre y clave secreta que les permiten cooperar entre s usando los protocolos de Control Cooperativo. Dentro de un Hive, los clientes pueden hacer roaming transparente entre los HiveAPs a travs de los lmites de la capa 2 y de la capa 3. Enlance ascendente cableado: Las conexiones Ethernet de un HiveAP a la red cableada, la cual se denomina sistema de distribucin (DS) en estndares inalmbricos, usadas para enlazar trfico para y desde la LAN inalmbrica y la cableada. Enlance de la red mallada inalmbrica: Las conexiones inalmbricas entre HiveAPs usadas para crear una red mallada inalmbrica y proporcionar conexiones inalmbricas para transportar trfico de control y de datos. Enlance de acceso inalmbrico: La conexin inalmbrica entre un cliente inalmbrico y un HiveAP. Portal: Un HiveAP que tiene conexiones tanto a la LAN cableada como a la inalmbrica y proporciona las rutas por defecto a puntos mallados dentro del Hive. Se elige este rol de forma dinmica. Si el enlance cableado no est enchufado, el HiveAP puede ser un punto mallado de forma dinmica. Punto mallado: Un HiveAP que est conectado al Hive por enlaces ascendentes inalmbricos y que no usa un enlace ascendente cableado. Se elige este rol de forma dinmica. Si un enlance cableado est enchufado, el HiveAP puede ser un portal de forma dinmica siempre y cuando la configuracin lo permite. Sealizacin de Control Cooperativo: La comunicacin entre los HiveAPs usando protocolos cooperativos.
Control Cooperativo
Utilizando un Control Cooperativo, una tecnologa clave en la arquitectura de Control Cooperativo de Aerohive Networks, los HiveAPs en cooperacin con los HiveAPs contiguos son capaces de permitir funciones de control como la gestin RF dinmica, roaming de capa 2 y capa 3, balanceo de carga de cliente y redes malladas, eliminando as la necesidad de un controlador centralizado. El Control Cooperativo se hace posible con los siguientes protocolos de Control Cooperativo auto-organizadores: AMRP (Aerohive Mobility Routing Protocol) Proporciona los HiveAPs con la capacidad de efectuar un descubrimiento automtico de sus vecinos, la mejor ruta para el enrutamiento a nivel de MAC a travs de una red mallada inalmbrica con el reenvo local, enrutamiento dinmico y stateful del trfico en caso de un fallo e informacin predecible de identidad y distribucin de clave a los HiveAPs contiguos, proporcionando a los clientes unas capabilidades de roaming rpido y seguro entre HiveAPs mientras mantienen el estado de autenticacin, claves de encriptacin, sesiones de firewall y la aplicacin de la configuracin QoS. ACSP (Aerohive Channel Selection Protocol) Los HiveAPs lo usan para analizar las ondas y trabajar juntos para determinar la mejor configuracin de canales de radio y de energa para el acceso inalmbrico y la red mallada inalmbrica. ACSP evita la interferencia del mismo canal de radio o contiguos para proporcionar un rendimiento WLAN optimizado. DNXP (Dynamic Network Extension Protocol) Crea tuneles de forma dinmica segn necesidad entre los HiveAPs en subredes diferentes, permitiendo a los clientes hacer roaming transparente entre subredes mientras conservan su configuracin de la direccin IP, el estado de autenticacin, claves de encriptacin, sesiones de firewall y la aplicacin de la configuracin QoS.
Estos protocolos de Control Cooperativo permiten a los puntos de acceso de Control Cooperativo trabajar juntos como un sistema para proporcionar la movilidad, seguridad, control RF, escabilidad y capacidad de recuperacin que son esenciales para las redes inalmbricas.
estn en una subred diferente, siempre que los HiveAPs estn configurados con el mismo nombre de Hive y configuracin secreta del Hive compartida, intercambiarn informacin IP entre s y establecern comunicaciones por la infraestructura de red enrutada para proporcionar funcionalidad de Control Cooperativo a travs de los lmites de la capa 3. Lo bueno de los protocolos de Control Cooperativo es que no hace falta configurarlos y por tanto se reduce mucho el coste operativo y el esfuerzo de desplegar una moderna solucin inalmbrica.
Diagram 3. Autonomous APs No Seamless Roaming in Secure Wireless LANs with 802.1X
Paso 2 El servidor RADIUS envia la PMK al HiveAP para que el cliente y el HiveAP puedan establecer una conexin segura y encriptada entre ellos. Paso 3 El HiveAP distribuye las claves e informacin de identidad a todos los HiveAPs contiguos para asegurar que si el cliente hace roaming a un HiveAP contiguo, no se necesite repetir la autenticacin ni el intercambio de clave, permitiendo que el tiempo de roaming sea extremadamente rpido. Nota: Por razones de seguridad, la clave e informacin de identidad enviadas entre los HiveAPs estn encriptadas con AES y se guarda en una memora en el HiveAP. De esta forma, se eliminan las claves del sistema junto con toda la identidad de usuario cuando se apaga un HiveAP. Adems, los administradores no tienen acceso a ver las claves. Estas medidas de seguridad impiden que se obtengan las claves si se conecta a la red cableada o si alguna vez se compromete un HiveAP. Junto con la informacin de clave que se distribuye entre los HiveAPs contiguos, AMRP tambin distribuye informacin de identidad del usuario para que los HiveAPs pueden forzar la polticas de acceso firewall basadas en la identidad y la configuracin QoS mientres el usuario hace roaming entre los HiveAPs.
El siguiente diagrama muestra los pasos bsicos ejecutados por los HiveAPs mientras los clientes hacen roaming dentro de su subred y a travs de los lmites de la subred. Paso 1 El cliente ejecuta un roaming de capa 2 transparente dentro de la subred A. Paso 2 Despus de que el cliente hace correctamente roaming al HiveAP 2, el HiveAP 2 enviar un paquete de control encriptado sobre Ethernet al HiveAp en la subred vecina. El paquete de control contiene la informacin de cache de roaming del cliente as como su subred original. Paso 3 Cuando el cliente hace roaming a HiveAP 3, la informacin de identidad y de clave ya est. Con ello, unido al conocimiento que el cliente tiene de la subred A, se tunela el trfico del cliente en GRE por la LAN a un HiveAP en la subred A. De forma predecible, HiveAP 3 reenva la informacin del cliente inalmbrico a HiveAP 4 anticipndose a ms roaming.
Solo se quedan los tneles abiertos segn necesidad y se cierren si estn en uso por cualquier cliente. Destaca que mltiples clientes pueden compartir los mismos tneles. En resumen, con los HiveAPs y el Control Cooperativo, los clientes inalmbricos pueden hacer roaming transparente de forma segura entre HiveAPs dentro de la misma o diferentes subredes sin impactar a los datos del cliente o a conexiones de voz.
Control RF cooperativo
Para eliminar interferencias del mismo o contiguos canales de radio y para poder reaccionar a cambios en el entorno RF, los HiveAPs usan Aerohive Channel Selection Protocol (ACSP) para cooperar entre s para seleccionar automticamente los
10
Cooperative Control Wireless LAN Architecture mejores canales de radio en las cuales operar las radios. Asegura el uso ms efectivo de los canales de radio para un rendimiento ptimo de la red inalmbrica. Los HiveAPs usan ACSP para escanear canales de radio y construir tablas de dispositivos inalmbricos descubiertos. Se usan estas tablas para identificar y clasificar interferencias. Los HiveAPs comunican la informacin de estado ACSP entre s y usan esta informacin para seleccionar los canales adecuados y niveles de energa dependiendo de la topologa y configuracin de la red inalmbrica. Si se utilizan ambos canales de radio para acceso inalmbrico, el ACSP seleccionar canales para cada HiveAP que minimiza la interferencia con sus vecinos. Se realiza asegurando que usan canales diferentes de sus vecinos inmediatos y que se ajusta su energa para minimizar la interferencia co-canal con otros HiveAPs ms lejanos. Si los HiveAPs usan enlaces ascendentes inalmbricos para conectividad inalmbrica mallada, ACSP asegura que usan el mismo canal entre los HiveAPs para estos enlaces, mientras siguen minimizando la interferencia de los enlaces de acceso. Para mantener un rendimiento optimo de WLAN, ACSP se puede programar para recalibrar los canales de radio de forma diaria a una hora configurable y cuando no hay clientes conectados. Esto ayuda a asegurar que los canales de radio no se cambian mientras la WLAN se utiliza, lo cual impide la interrupcin de servicio para los clientes inalmbricos.
11
HiveAP, and it prevents overloading a single HiveAP especially when their other HiveAPs nearby that can better handle the load. Es especialmente til con VoWLAN porque ayuda asegurar que un HiveAP tiene disponibilidad para apoyar estaciones de voz nuevas o que hacen roaming y que hay suficiente energa de procesamiento para asegurar una calidad de voz excelente.
12
Diagram 6. Identity and Location-Based Policy En este ejemplo, cuando un usuario autentica con SSID Corp_WiFi, el servidor RADIUS devuelve el nmero de atributo del perfl de usuario para ese usuario especfico y el HiveAP usa este valor para asociar el usuario a un perfil de usuario, asegurando que se aplican las polticas adecuadas para este usuario. Esta asociacin de nmeros de atributo del perfl de usuario en perfles de usuario especficos puede ser diferente en partes diferentes de la red, permitiendo o la aplicacin global de la poltica de usuario o la aplicacin de la poltica de usuario especfica a la ubicacin. En este caso, en algunas ubicaciones al usuario se asignan polticas de VLAN y QoS diferentes, pero la misma poltica firewall y polticas de roaming de capa 3. Asimismo, otros usuarios asignados a atributos del perfl de usuario diferentes pueden seguir la misma ruta pero estar asignados a VLANs y polticas diferentes. Esto permite a los administradores crear polticas de acceso basadas en identidad y ubicacin.
13
Cuando se envia trfico de la red cableada a la WLAN, para asegurar un rendimiento ptimo para aplicaciones de prioridad alta como voz o video, sin afectar de forma adversa el rendimiento de trfico de prioridad baja como aplicaciones basada en web y correo electrnico, se requieren tcnicas avanzadas de QoS (Calidad de servicio). Aerohive ha desarrollado motores QoS avanzados dentro de cada HiveAP para asegurar un rendimiento ptimo para tipos de trfico de prioridad alta y baja. Adems, el procesamiento requirido para manegar QoS adecuadamente ocurre dentro de cada HiveAP, lo cual permite un procesamiento de trfico distribuido por toda la WLAN, en lugar de occurir todo el procesamiento en un dispositivo del controlador centralizado. Esto proporciona una escabilidad linear mientras se aaden ms HiveAPs sin cuellos de botella. Uno de los elementos de una QoS WLAN encontrada en los APs de clase empresarial modernos hoy en da es IEEE 802.11e/WMM (Wireless Multi-Media). Con WMM, se puede priorizar el trfico de un AP inalmbrico para la transmisin a la red inalmbrica. Esto permite clasificar trfico en cuatro categoras de acceso, los cuales se encolan y se priorizan segn la sensibilidad al tiempo de los datos. Categoras de acceso de mayor prioridad pueden utilizar un menor espacio entre tramas y una ventana de retraso aleatoria para que la transmisin al medio inalmbrico sea ms rpida. Aunque WMM hace un gran trabajo asegurando que el trfico de prioridad alta se transmita al medio inalmbrico porque WMM utiliza una estricta prioridad de encolamiento, si el trfico de voz y video se utiliza en la WLAN, es probable que habr periodos momentaneos de congestin para colas de prioridad baja. Cuando las colas estn llenas, aunque solo sea momentneamente, los paquetes se pierdan. A lo mejor no parece mucho, porque si se pierden paquetes, especialmente si utilizen TCP, se transmitarn otra vez. Sin embargo, porque TCP utiliza un algoritmo integrado para evitar congestin que corta el tamao de la ventana de contencin TCP a la mitad cuando un paquete se pierda, el rendimiento TCP se puede ver afectado gravemente. Aunque no se afecta a las aplicaciones clasificadas en las colas de prioridad alta, las aplicaciones de prioridad baja como aplicaciones basadas en web y correo electrnico se ven afectadas por las consecuencias. Usando tcnicas QoS ms avanzadas para aumentar WMM, es posible mitigar la perdida de paquetes y asegurar un rendimiento ms alto para aplicaciones de prioridad baja tambin. Para proporcionar una transmissin de voz y video muy eficaz, pero tambin aliviar los problemas que occuren cuando se pierden los paquetes por la congestin momentnea de colas WMM, Aerohive ha aumentado WMM implementando una clasificacin avanzada, gestin (lmite de tasa), colas y mecansmos de programacin de paquetes dentro de cada HiveAP. El siguiente diagrama demuestra un ejemplo sencillo del flujo de datos de los motores QoS dentro de un HiveAP.
14
Diagram 7. QoS Policy Enforcement at the Edge Mirando el diagrama ms arriba, puede ver como el trfico que llega desde una red es procesado por el HiveAP para asegurar una calidad del servicio altamente efectiva. Paso 1 - El trfico se envia desde la red cableada al HiveAP Paso 2 - Segn llegan los paquetes de un enlace ascendente Ethernet, un enlace ascendente inalmbrico o una conexin de acceso, se asigna el trfico a su perfil de usuario adecuado, lo cual define la poltica QoS. Paso 3 El clasificador de paquetes QoS categoriza el trfico dentro de ocho colas por usuario basado en las polticas de clasificacin de QoS. Estas polticas se pueden configurar para asignar el trfico a colas basacas en MAC OUI (Identificador Unico de Organizacin), servicio de red, SSID e inferfaz, o marcando prioridades en los paquetes entrantes utilizando IEEE 802.1p o DiffSserv. Paso 4 - El gestor de polticas de trfico QoS puede forzar la poltica QoS limitando la tasa y marcndola. Se puede limitar la tasa del trfico por perfil de usuario, por usuario o por cola. Se puede marcar el trfico con IEEE 802.1p o DiffServ para poder priorizarlo a travs de la WLAN. El trfico que sale hacia un interfaz Ethernet se puede marcar con IEEE 802.1p o DiffServ. Paso 5 El motor de programacin de paquetes QoS utiliza tecnicas de estricta prioridad y Round-Robin con prioridades para programar el trfico de forma granular desde cada una de las ocho colas hacia las colas hardware WMM. El programador tiene en cuenta el peso del perfil de usuario que es asignado al usuario, y el peso de
15
cada una de las ocho colas de usuario. Porque el motor de programacin de paquetes QoS est en los HiveAPs, tiene la capacidad de monitorizar atentamente la disponibilidad de las colas WMM y reaccionar instantneamente a condiciones cambiantes de la red. El motor de programacin de paquetes QoS solo transmite a las colas WMM cuando estn disponibles, encolando los paquetes en las ocho colas por usuario mientras tanto. Esto evita que se pierdan paquetes y jitter, que afecta de forma adversa a las aplicaciones sensibles al tiempor como la voz, y previene la degradacin del rendimiento de trfico TCP causado por los algoritmos de ventana de retraso de contecin, cuando se pierden paquetes TCP. Paso 6 Finalmente, WMM transmite los paquetes desde las cuatro categoras de acceso basadas en la disponibilidad del medio inalmbrico. Se transmiten los paquetes de categoras de acceso de mayor prioridad con un menor espacio entre tramas y una ventana de retraso aleatoria para que la transmisin al medio inalmbrico sea ms rpida. En resumen, el motor QoS de Aerohive dentro de los HiveAPs proporciona una priorizacin muy granular y una trasmisin de los paquetes ms efectiva dentro de las colas WMM. Adems, el programador de paquetes monitoriza constantemente la disponibilidad de las colas WMM, y solo permite la transmisin desde las colas de usuario cuando estn disponibles. Esto evita que los paquetes se pierdan innecesariamente cuando la colas WMM estn llenas, y tambin permite una calidad de voz y video excepcional, mientras conserva el rendimiento para trfico de menor prioridad como aplicaciones basadas en web. Una vez los paquetes llegan a las colas WMM, los paquetes son transmitidos al medio inalmbrico basado en la prioridad de su categora de acceso y el estndar WMM. Las mejoras en QoS son posibles porque son implementadas en el acceso en cada HiveAP, donde pueden inmediatamente reaccionar a condiciones de red cambiantes de forma dinmica y proporcionar una calidad de servicio excepcioanl.
16
Cooperative Control Wireless LAN Architecture Adems, como los HiveAPs desencriptan los paquetes inalmbricos en el acceso antes que sean transmitidos a la red cableada, tienes la posibilidad de utilizar los sistemas de seguridad actuales puestos en la red cableada para aplicar polticas de seguridad en el trfico inalmbrico tambin. De esta forma, tanto el trfico inalmbrico y como el cableado deber pasar por los sistemas de seguridad corporativos, incluyendo firewalls, gateways de antivirus, IDPS, y dispositivos de control de acceso a la red (NAC).
Se puede usar la misma tecnologa que da a los HiveAPs la capacidad de ejecutar roaming de capa 3 para tunelar los clientes inalmbricos a un HiveAP en una red diferente basada en su identidad. Esta se puede usar en entornos donde los invitados se tunelean al DMZ o donde el switch de acceso no admite VLANs. Los tneles basados en identidad se definen en polticas de movilidad que estn asignados a perfles de usuario. Cuando un usuario se asocia con un HiveAP, se autentica y se asigna a un perfl de usuario, las polticas QoS y firewall para el usuario se aplican en el HiveAP local y entonces el trfico del usuario se conecta a un tnel GRE a travs de la red a un HiveAP en una red remota.
17
De este modo, despus que un usuario se autentica, el usuario recibe la configuracin IP de un servidor DHCP en las redes remotas como si estuviera fisicamente all. El usuario es bsicamente un miembro extendido de la red remota. Por ejemplo, un equipo de consultores, colaboradores y auditores podran tener un centro de mando u oficina temporal dentro de una empresa. Con tneles basados en identidad, estos clientes temporales pueden estar vinculados con cualquier HiveAP dentro de una red y su trfico se tunela directamente a un HiveAP dentro de su centro de mando como si estuvieran localmente. Se muestra un ejemplo de como los tneles basados en identidad se usan en el diagrama siguiente. Un SSID de invitado se monta en los HiveAPs dentro de la red interna. Cuando un invitado se asocia con el SSID de invitado, se usa un portal web cautivo para autenticar los usuarios definidos en un servidor RADIUS. Despus de una autenticacin correcta, se aplican las polticas QoS y de seguridad, y se tunela el trfico del invitado permitido directamenta al HiveAP en el DMZ donde puede acceder al Internet. En ningn momento el usuario invitado puede acceder a la red interna securizada. Alternativamente, o adicionalmente, se puede asociar el trfico del invitado en una VLAN de invitado para una red de retorno aislada a la DMZ o al gateway de Internet. Diagram 9. A Common Use for Identity-Based Tunnels Placing Guests in a Firewall DMZ
18
Cooperative Control Wireless LAN Architecture basado en identidad, directamente a uno o ms HiveAPs dentro de una zona DMZ detrs de un firewall como un lobby. 2. Segn la configuracin del servidor RADIUS por SSID permite al SSID invitado usar un servidor RADIUS separado para autenticar usuarios invitados. Esto es importante porque la mayora de soluciones del aceso de invitado de terceros utilizan sus proprios servidores RADIUS. Estos servidores RADIUS se equipan con un interfaz grafco para permitir a los administradores del lobby crear cuentas de usuarios invitados temporales, como cuando los invitados se registran en la recepcin. Con una configuracin del servidor RADIUS por SSID, sus usuarios corporativos se autentican con servidores RADIUS corporativos mientras los usuarios invitados se autentican con servidores RADIUS ligados a soluciones del acceso de invitados. 3. Poltica firewall basada en el perfl de usuario permite la aplicacin de un conjunto diferente de polticas firewall de MAC y de polticas firewall IP a usuarios invitados para limitar su acceso a recursos especficos. 4. Configuracin DoS por SSID permite la aplicacin estricta de una configuracin DoS y ajustes de prevencin de desbordamiento de airtime a los invitados. La solucin del acceso de invitados de Aerohive proporciona la flexibilidad de la utilizacin de caractersticas integradas en cada HiveAP mientras permite una interoperabilidad transparente con soluciones del acceso de invitados a terceros.
19
Los protocolos de Control Cooperativo han sido diseados para escalar para soportar redes malladas inalmbricas muy grandes, previenen el desbordamiento limitando el alcance del broadcast, la distribucin de rutas y la distribucin de informacin de cach de roaming. Esto, en combinacin con QoS, prevencin DoS y aplicacin de la poltica firewall en el HiveAP, mantiene el trfico innecesario fuera de la red mallada, asegurando un rendimiento WLAN optimo.
20
Cooperative Control Wireless LAN Architecture determinar la mejor ruta por una red inalmbrica y tienen la capacidad de reenviar trfico localmente usando la mejor ruta. Es una mejora significativa en soluciones de WLAN centralizada basadas en controladores, que realizan funciones de control y reenvan datos desde un dispositivo centralizado. Para determinar las mejores rutas por una red, los HiveAPs utilizan AMRP tanto por conexiones cableadas como las malladas inalmbricas. Esto permite a los algoritmos de enrutamiento determinar la mejor ruta basado en un nmero de metrcas incluyendo costes, tasas de ancho de banda, saltos e interferencia. Si falla un enlance ascendente cableado o inalmbrico, o si las interferencias afectan al rendimiento inalmbrico, se puede seleccionar y proporcionar una mejor ruta por la WLAN. Esto permite a los HiveAPs seleccionar una nueva mejor ruta para un reenrutamiento transparente y reenvo del trfico. Finalmente, para activar la capacidad de permitir instalaciones WLAN a gran escala como grandes campus corporativos, se ha diseado el AMRP para limitar los mensajes e informacin de enrutamiento dentro de zonas independientes. Esto limita el nmero de entradas en la tabla de rutas que un nico HiveAP necesita mantener. Esto tambin limita la cantidad de trfico broadcast dentro de una red mallada inalmbrica. El diagrama ms abajo representa un ejemplo de las diferencia entre control centralizado y plano de arquitectura de datos encontrados en la mayora de las arquitecturas de controladores WLAN comparado con el control distribuido y plano de datos distribuidos por Aerohive para permitir el reenvo por la mejor ruta.
21
Con la arquitectura de control y gestin de datos, se dirige todo el trfico inalmbrico a un controlador WLAN dedicado, lo cual puede estar a muchos saltos o incluso en una ubicacin diferente. Debido a las rutas indirectas y a los tiempos de respuesta entre los APs y los controladores, se introduce una latencia extra (el retraso a travs de un dispositivo) y el jitter (la cantidad variable de retraso a travs de un dispositivo), que tiene efectos adversos en el rendimiento de la WLAN y la calidad de voz. Es especialmente frecuente si se usa mucho la ruta al controlador o el mismo controlador. En contraste, la arquitectura de Control Cooperativo de Aerohive usando AMRP permite el reenvo por la mejor ruta entre dispositivos por la LAN y por la red mallada inalmbrica, evitando una latencia extra y un jitter mientras el trfico pasa entre dispositivos. Es esencial para alcanzar un alto rendimiento y una calidad de voz excepcional.
Alta disponibilidad
La arquitectura de Control Cooperativo de Aerohive Networks se ajusta perfectamente a las organizaciones que necesitan una fiabilidad de misin crtica sin una planificacin compleja y sin romperse los bolsillos. Las caractersticas de alta disponibilidad de Aerohive vienen por defecto con los HiveAPs y proporcionan muchos niveles de capacidad de recuperacin y redundancia.
22
Cooperative Control Wireless LAN Architecture roaming, sin perder la autenticacin, seguridad, parmetros de QoS o estado de sesin, y sin interrumpir las conexiones de datos o voz. Adems, con los protocolos de enrutamiento de Control Cooperativo y el plano de datos distribuidos, si los HiveAPs dentro de una red mallada fallan, los enlaces ascendentes de Ethernet se desconectan o los switches Ethernet fallan, otros HiveAPs en la ruta mallada alrededor del fallo mantienen la conectividad. Auto-curable por el enrutamiento dinmico rodeando de fallos El siguiente diagrama muestra un funcionamiento WLAN sin fallos y despus la misma WLAN con mltiples fallos incluyendo un switch de acceso y mltiples HiveAPs. La capacidad de recuperacin nativa de los HiveAPs usando los protocolos de Control Cooperativo permite a la red continuar la operacin incluso en el caso de mltiples fallos en lnea. Debido a que no hay control central, no hay que preocuparse del fallo de un nico dispositivo que sea capaz de derribar una red inalmbrica entera.
23
Failover dinmico en la red mallada convierte el acceso a la red mallada si occure un fallo de enlance
En entornos que requieren capacidades de la red mallada inalmbrica para alta disponibilidad, pero que desean las ventajas de rendimiento de las dos radios 802.11a y 802.11b/g para acceso inalmbrico, Aerohive tiene una solucin. Un administrador ahora puede predefinir la radio 802.11a 802.11b/g como un candidato de failover de la red mallada dinmica en los HiveAPs dentro de un Hive. De esta forma, si desenchufa un enlance cableado o falla un switch, el HiveAP deautentica suavemente cualquier cliente inalmbrico en la radio elegida, tipicamente la radio 802.11a y utiliza esa radio para construir una segura conexin mallada dinmica a otro HiveAP. Los HiveAPs enrutan el trfico del cliente de forma dinmica alredador del fallo cableado por el seguro enlance mallado nuevo. Cuando se arregla el fallo, el enlance mallado se desconecta y el acceso se reanuda en las dos radios. Los clientes inalmbricos que se asociaban anteriormente con la radio de acceso que se converti en un enlance mallado pueden recuperar sus conexiones usando la otra radio.
24
Cooperative Control Wireless LAN Architecture servidor RADIUS, los administradores de red tienen la flexibilidad de disear implementaciones redudantes del servidor RADIUS en cualquier parte dentro de la WLAN. Es especialmente til en el sucursal, donde el proceso de autenticacin IEEE 802.1X puede occurir localmente en un HiveAP sin la necesidad de atravesar un enlance WAN. La implementacin de caractersticas como servidores RADIUS en los HiveAPs puede parecer abrumadora pero con el appliance de gestin centralizada HiveManager, la configuracin de servidores RADIUS de HiveAP es un proceso sencillo. Puede gestionar la configuracin del servidor RADIUS, certificados del servidor y usuarios locales desde un interfaz grfico sencillo y fcil de usar.
Gestin centralizada
Un sistema de gestin de la red central llamado HiveManager proporciona la configuracin centralizada, la monitorizacin y los informes. Se puede ubicar este appliance de gestin en cualquier parte dentro de la red y no es esencial para la operacin normal de la red.
25
de configuracin y polticas, grupos y plantillas, as como una sencilla configuracin masiva de propiedades de los elementos.
26
El appliance HiveManager tiene dos interfaces, LAN y MGT (gestin), para permitir la separacin de administracin HiveManager de la configuracin de los HiveAPs, aunque se puede usar un nico interfaz para los dos si se desea. El GUI de gestin para el HiveManager es accesible mediante un navegador web y se descarga automticamente usando Java Web Start. Permite a los administradores ejecutar el GUI de HiveManager desde cualquier PC. Por razones de seguridad, se almacena toda la informacin en el HiveManager y no en el PC local que ejecuta el GUI del HiveManager. Los HiveAPs y el HiveManager se comunican entre s usando el protocolo borrador del IETF (Internet Engineering Task Force) para el estndar CAPWAP (Control and Provisioning Wireless Access Points), as como un conjunto de aplicaciones estndares incluyendo SSHv2, SCP, y SNMP. Con estos protocolos y aplicaciones, el HiveManager puede gestionar de forma segura y efectiva las configuraciones y registros de monitorizacin, y actualizar los sistemas de operacin de los HiveAPs.
27
Asociando SSIDs, perfiles de usuario e identificadores de VLAN dentro de un perfil de HiveAP, la configuracin de la red se abstrae de la poltica de usuario de QoS y firewall, permitiendo utilizar los mismos perfiles de usuario a lo largo de toda la organizacin, a pesar de las diferencias en la topologa de la red o la configuracin del interfaz (por ejemplo Mallada vs. Acceso). Adems, si se requieren direfentes polticas de firewall o QoS en ubicaciones diferentes, pueden crearse nuevos perfiles HiveAP que asignen los SSIDs a un nuevo conjunto de perfiles de usuario y VLANs en estas ubicaciones. Los perfiles de usuario en diferentes grupos de dispositivo pueden contener diferentes polticas de firewall y QoS, pero pueden definirse con el mismo conjunto de identificadores de grupos de perfiles de usuario como definidos en otros grupos de dispositivo. De esta forma, segn un usuario cambia a una nueva ubicacin, su identificador de grupo de perfil de usuario los asocia al perfil de usuario correspondiente en cada ubicacin. Esto permite una configuracin de usuario de firewall, QoS y VLAN para cambiar dinmicamente y seguir a los usuarios dondequiera que vayan en la WLAN.
28
Cooperative Control Wireless LAN Architecture 802.1X), SSIDs, tiempos de inicio de sesin, valores de fuerza de la seal, y los HiveAPs a los que estn conectados los clientes. Esta informacin se almacena en el HiveManager y puede exportarse en un archivo CSV para anlisis forense de la red o resolucin de problemas avanzado. Otra informacin que se puede exportar para realizar informes incluye un informe de inventario de todos los HiveAPs y los principales ajustes de configuracin, informe de HiveAP contiguo e informacin de AP/cliente no autorizado. Para ser ms proactivo, los administradores pueden tambin configurar notificaciones por correo electrnico de forma que pueden informarse inmediatamente de alarmas en la WLAN.
29
Conclusin
La contnua migracin desde puntos de acceso autnomos, la evolucin de las redes inalmbricas para permitir aplicaciones en tiempo real/crticas y la inminente llegada de 802.11n demandar arquitecturas que proporcionen infraestructuras de WLAN que sean ms sencillas de desplegar y ampliar, menor coste, mayor disponibilidad, mayor escalabilidad, mayor rendimiento y mas conveniente para Voz sobre WLAN que las generaciones anteriores de WLANs. sta prxima generacin de arquitectura WLAN es una arquitectura de Control Cooperativo.
30