AST Wykład 4: Integracja WLAN z architekturą sieciową

Sieci bezprzewodowe jako rozszerzenie sieci przewodowej

Sieci bezprzewodowe Wi-Fi są dziś nieodłącznym elementem każdej infrastruktury sieciowej - w biurach, kampusach, szpitalach i halach produkcyjnych. Integracja WLAN z istniejącą siecią przewodową wymaga planowania na wielu poziomach: fizycznym (rozmieszczenie punktów dostępu), logicznym (VLAN-y, adresy IP) i bezpieczeństwa (szyfrowanie, uwierzytelnianie). Błędy w projektowaniu WLAN skutkują martwymi strefami, zakłóceniami, powolnym roamingiem lub lukami bezpieczeństwa. Na tym wykładzie omówimy standardy Wi-Fi, rolę punktów dostępu, architekturę kontrolerów WLAN, mechanizm roamingu oraz projektowanie bezpiecznej sieci bezprzewodowej. Sieć bezprzewodowa musi być traktowana jako rozszerzenie sieci przewodowej, a nie osobny, niezależny system. Integracja oznacza: wspólne VLAN-y, spójna polityka bezpieczeństwa, monitorowanie ze wspólnego systemu zarządzania.

Schemat integracji WLAN z siecią przewodową LAN

Rodzina standardów IEEE 802.11

Rodzina standardów IEEE 802.11 definiuje parametry sieci bezprzewodowych Wi-Fi. Standard 802.11b (1999) - 2,4 GHz, 11 Mbps - pierwszy powszechnie stosowany. 802.11g (2003) - 2,4 GHz, 54 Mbps - wstecznie kompatybilny z 802.11b. 802.11n (Wi-Fi 4, 2009) - 2,4 i 5 GHz, do 600 Mbps - wprowadził technologię MIMO (Multiple Input Multiple Output). 802.11ac (Wi-Fi 5, 2013) - tylko 5 GHz, do 6,9 Gbps - MU-MIMO, szerokie kanały 80 i 160 MHz. 802.11ax (Wi-Fi 6, 2019) - 2,4 i 5 GHz, do 9,6 Gbps - OFDMA i BSS Coloring zmniejszające zakłócenia w gęstych sieciach. 802.11ax na 6 GHz (Wi-Fi 6E, 2021) - nowe pasmo 6 GHz, mniej zakłóceń, wyższe przepustowości. Wi-Fi 7 (802.11be, 2024) - pasy 2,4/5/6 GHz jednocześnie (MLO), kanały 320 MHz. Starsze standardy działają wolniej i generują zakłócenia - warto ograniczać ich obsługę lub wyłączać całkowicie.

Oś czasu standardów Wi-Fi 802.11 z przepustowościami i pasmami

Pasma ISM - charakterystyka i wybór

WLAN działa w nielicencjonowanych pasmach ISM: 2,4 GHz i 5 GHz (oraz 6 GHz w Wi-Fi 6E). Pasmo 2,4 GHz ma trzy nienachodzące na siebie kanały: 1, 6 i 11 - w Europie. Większy zasięg niż 5 GHz, bo niższe częstotliwości lepiej przenikają przez ściany. Duże zagęszczenie urządzeń w tym paśmie (mikrofalówki, Bluetooth, sąsiednie AP) powoduje zakłócenia i spada wydajność. Pasmo 5 GHz ma znacznie więcej kanałów nienachodzących (do 25 w Europie) - mniej zakłóceń, lecz krótszy zasięg i gorsze przenikanie przez przeszkody. Wybór pasma dla klienta: urządzenia mobilne powinny być kierowane na 5 GHz (Band Steering) dla wyższej przepustowości. Pasmo 2,4 GHz zostawiamy dla urządzeń IoT i starszego sprzętu nieobsługującego 5 GHz. W gęstych środowiskach (biuro z wieloma AP) 5 GHz jest preferowanym pasmem dla wydajności.

Mapa kanałów 2,4 GHz i 5 GHz z zachodzeniem i wolnymi kanałami

Budowa i funkcje punktu dostępu

Punkt dostępu (AP - Access Point) to urządzenie radiowe, które tworzy komórkę sieci bezprzewodowej i pełni rolę mostu między siecią bezprzewodową a przewodową infrastrukturą Ethernet. AP nadaje i odbiera sygnały radiowe na skonfigurowanych kanałach i pasmach. Każdy AP identyfikuje swoją sieć przez SSID (Service Set Identifier) - nazwa sieci Wi-Fi widoczna dla użytkowników. AP może rozgłaszać wiele SSID jednocześnie - każde SSID jest typowo mapowane na osobny VLAN w sieci przewodowej. Podłączenie AP do sieci przewodowej odbywa się przez port Ethernet (zwykle kabel Cat 5e/6). PoE (Power over Ethernet) zasila AP przez kabel sieciowy - eliminuje potrzebę oddzielnego gniazda zasilania przy suficie. AP autonomiczny (fat AP) zawiera całą logikę konfiguracyjną lokalnie. AP lekki (thin/lightweight AP) deleguje logikę do centralnego kontrolera WLAN - standard w infrastrukturach korporacyjnych.

Schemat punktu dostępu z portami, antenami i połączeniem PoE do switcha

Autonomiczny punkt dostępu (fat AP)

Autonomiczny punkt dostępu (fat AP) jest w pełni samodzielnie skonfigurowany - każdy AP ma własną konfigurację SSID, bezpieczeństwa i VLAN-u. Zaleta: proste wdrożenie w małych instalacjach z kilkoma AP - nie ma potrzeby dodatkowego sprzętu (kontrolera). Wada: zarządzanie jest nieefektywne przy większej liczbie AP - zmiana konfiguracji (np. hasła Wi-Fi) wymaga logowania do każdego AP osobno. Nie ma centralnego widoku na status wszystkich AP, przyczyn zakłóceń czy statystyk klientów bezprzewodowych. Roaming między autonomicznymi AP jest możliwy (klient łączy się z innym AP o tym samym SSID), ale może być powolny i przerywać sesje wrażliwe na opóźnienia (VoIP). Autonomiczne AP sprawdzają się w sieciach do 5–10 urządzeń - małe firmy, domy, restauracje. W środowiskach wymagających spójnego zarządzania i szybkiego roamingu stosuje się architekturę z kontrolerem.

Schemat sieci z autonomicznymi AP - każdy niezależny, brak kontrolera

Kontroler WLAN - centralne zarządzanie AP

Kontroler WLAN (WLC - Wireless LAN Controller) to centralne urządzenie lub oprogramowanie zarządzające zestawem lekkich punktów dostępu (Lightweight AP). Lekki AP (LAP) po podłączeniu do sieci automatycznie odnajduje kontroler przez protokół CAPWAP lub LWAPP i pobiera z niego konfigurację. Cała konfiguracja SSID, bezpieczeństwa, QoS i VLAN jest zdefiniowana raz na kontrolerze - zmiana dotyczy wszystkich AP jednocześnie. Kontroler zbiera statystyki ze wszystkich AP w czasie rzeczywistym: liczba klientów, poziom sygnału, użycie kanałów, wykryte zakłócenia. Zarządzanie mocą i kanałami AP (RRM - Radio Resource Management) może być automatyczne - kontroler dostosowuje moc i kanały AP, aby zminimalizować zakłócenia i pokryć martwe strefy. Konfiguracja SSID na kontrolerze tworzy profil WLAN mapowany na VLAN przewodowy - klient bezprzewodowy w sieci "Pracownicy" ląduje w VLAN-ie 10, a w sieci "Goście" w VLAN-ie 50. Przykłady: Cisco Catalyst Center (dawniej DNA Center), Aruba Central, Ruckus SmartZone, UniFi Network Server (oprogramowanie na serwerze lokalnym).

Schemat architektury kontroler WLAN z lekkimi AP i centralnym zarządzaniem

Protokół CAPWAP (RFC 5415)

CAPWAP (Control And Provisioning of Wireless Access Points, RFC 5415) to standardowy protokół komunikacji między lekkim AP a kontrolerem WLAN. Tworzy dwa tunele UDP między AP a kontrolerem: tunel kontrolny (port 5246) - przenosi konfigurację, polecenia zarządzania i statystyki; tunel danych (port 5247) - przesyła zaszyfrowany ruch klientów bezprzewodowych do kontrolera. Tunel kontrolny jest szyfrowany przez DTLS (Datagram TLS) - zapewnia poufność konfiguracji i uwierzytelnianie AP. Tunel danych może być szyfrowany lub nieszyfrowany - w trybie centralnego przełączania ruch klientów jest przesyłany do kontrolera, który kieruje go dalej do sieci. W trybie lokalnego przełączania (Local Switching / FlexConnect) ruch klientów jest przełączany lokalnie przez AP - redukcja opóźnień i odciążenie kontrolera. FlexConnect jest szczególnie przydatny w oddziałach z powolnym łączem WAN do centrali, gdzie kontroler jest instalowany centralnie.

Schemat tuneli CAPWAP: kontrolny i danych między AP a WLC

Mapowanie SSID na VLAN

W sieci korporacyjnej każdy SSID rozgłaszany przez AP jest powiązany z konkretnym VLAN-em w sieci przewodowej. Klient łączący się z SSID "Firma-Pracownicy" trafia do VLAN-u 10 - jego ruch dociera do sieci LAN przez trunk z AP do switcha. Klient łączący się z SSID "Firma-Goście" trafia do VLAN-u 50 - jego ruch jest izolowany i kierowany bezpośrednio do Internetu przez firewall, bez dostępu do zasobów firmowych. SSID dla urządzeń IoT może trafiać do VLAN-u 60 - wyizolowanego, by zainfekowane urządzenie IoT nie mogło atakować laptopów pracowników. Jeden AP rozgłasza jednocześnie 2–4 SSID (max. 4–6 ze względów wydajnościowych - więcej SSID to więcej ruchu zarządzającego beacon). Mapowanie SSID na VLAN konfiguruje się na kontrolerze - zmiana dotyczy natychmiast wszystkich AP zarządzanych przez kontroler. Przełącznik łączący AP powinien mieć skonfigurowane jako trunk wszystkie VLAN-y używane przez AP na tym miejscu.

Tabela mapowania SSID na VLAN z politykami bezpieczeństwa

Standardy szyfrowania WPA2/WPA3

WPA2 (Wi-Fi Protected Access 2, standard IEEE 802.11i) to od ponad 20 lat podstawowy standard szyfrowania sieci Wi-Fi. Szyfrowanie AES-CCMP w WPA2 zapewnia poufność i integralność ruchu bezprzewodowego. Tryb Personal (PSK - Pre-Shared Key) używa wspólnego hasła dla wszystkich klientów - proste do wdrożenia, ale hasło musi być chronione i regularnie zmieniane. Tryb Enterprise (802.1X/RADIUS) wymaga indywidualnego uwierzytelniania każdego klienta przez serwer RADIUS - bezpieczniejszy, bo kompromitacja jednego klienta nie daje atakującemu klucza do innych. WPA3 (2018) poprawia bezpieczeństwo przez SAE (Simultaneous Authentication of Equals) zamiast PSK - odporny na ataki słownikowe offline. WPA3 Enterprise dodaje obowiązkowe szyfrowanie 192-bitowe dla sieci o najwyższych wymaganiach bezpieczeństwa. WEP i WPA są przestarzałe i podatne - powinny być wyłączone na wszystkich urządzeniach infrastruktury. Sieć gościnarna zawsze powinna być oddzielna od firmowej - inny SSID, inny VLAN, inna polityka bezpieczeństwa.

Porównanie WEP, WPA, WPA2 i WPA3 - algorytmy i podatności

802.1X w trybie Enterprise

W trybie WPA2/WPA3 Enterprise uwierzytelnianie klientów Wi-Fi odbywa się przez protokół 802.1X, tak samo jak w sieciach przewodowych. Trzy składniki: supplicant (oprogramowanie na laptopie/telefonie), authenticator (AP lub kontroler WLAN), authentication server (serwer RADIUS). Klient przed uzyskaniem dostępu do sieci musi podać poświadczenia - najczęściej login i hasło domenowe (EAP-PEAP) lub certyfikat klienta (EAP-TLS). EAP-PEAP tworzy zewnętrzny zaszyfrowany tunel TLS do serwera RADIUS i w nim przesyła hasło - hasło nie wędruje "gołe" przez sieć bezprzewodową. EAP-TLS używa certyfikatów po obu stronach: klient posiada certyfikat maszynowy lub użytkownika, serwer RADIUS posiada własny certyfikat. Urządzenie BYOD (prywatny telefon pracownika) może być kierowane do osobnego VLAN-u gości na podstawie własnego certyfikatu lub wyniku weryfikacji posture (stan bezpieczeństwa urządzenia). 802.1X z certyfikatami jest złotym standardem bezpieczeństwa WLAN w dużych organizacjach.

Schemat 802.1X w WLAN z EAP-PEAP i serwerem RADIUS

Planowanie pokrycia RF - kluczowy etap projektowania WLAN

Planowanie pokrycia radiowego (RF planning) to kluczowy etap projektowania WLAN - bez niego AP są rozmieszczone intuicyjnie i skutkuje to martwymi strefami lub zakłóceniami między AP. Czynniki wpływające na zasięg: moc nadajnika, zysk anteny, liczba i rodzaj przeszkód (beton tłumi mocniej niż gips), częstotliwość (2,4 GHz ma większy zasięg niż 5 GHz). Narzędzia do planowania RF: Ekahau Site Survey, iBwave Wi-Fi, Cisco Prime Infrastructure - pozwalają na importowanie rzutów budynku i symulację pokrycia przed instalacją. Po instalacji wykonuje się pomiar rzeczywisty (post-deployment survey) - chodzenie po budynku z laptopem i oprogramowaniem mierzącym siłę sygnału, SNR i dostępne kanały w każdym miejscu. Wynik pomiaru to mapa cieplna (heat map) budynku pokazująca poziomy sygnału - obszary poniżej -70 dBm wymagają dodatkowego AP lub reorientacji anteny. Minimalne zalecane poziomy: -65 dBm dla Voice/Video, -70 dBm dla danych. Kanały sąsiednich AP powinny być różne i nienachodzące - unikanie co-channel interference jest równie ważne jak zapewnienie zasięgu.

Mapa cieplna pokrycia WLAN budynku biurowego z poziomami sygnału

Co-Channel Interference i planowanie kanałów

Co-Channel Interference (CCI) to sytuacja, gdy dwa lub więcej AP pracuje na tym samym kanale i ich komórki zachodzą na siebie. Urządzenia w obszarze zachodzenia muszą dzielić czas antenowy - realnie spada przepustowość dla wszystkich klientów. W paśmie 2,4 GHz problem jest poważny: tylko 3 kanały nienachodzące przy rozbudowanej sieci wielu AP oznacza, że każdy AP "słyszy" sąsiadów na tym samym kanale. W paśmie 5 GHz problem jest mniejszy - znacznie więcej kanałów do dyspozycji. Rozwiązanie: planowanie kanałów tak, by sąsiednie AP nigdy nie pracowały na tym samym kanale (Cell Planning). Automatyczny dobór kanałów przez kontroler (RRM) analizuje otoczenie radiowe i przydziela kanały dynamicznie. Zmniejszenie mocy AP ogranicza zasięg komórki i zmniejsza obszar nakładania się z sąsiednimi AP - to technika zwana Cell Sizing. Adjacent Channel Interference (ACI) to zakłócenie od AP na kanale obok - w 2,4 GHz stosowanie kanałów innych niż 1, 6, 11 zawsze powoduje ACI.

Schemat CCI między AP z nakładającymi się komórkami na tym samym kanale

MIMO - wiele anten, wiele strumieni

MIMO (Multiple Input Multiple Output) to technika używania wielu anten nadawczych i odbiorczych jednocześnie, co zwiększa przepustowość i zasięg sieci bezprzewodowej. Zapis "4x4:4" oznacza: 4 anteny nadawcze x 4 anteny odbiorcze, 4 strumienie przestrzenne (spatial streams). Każdy strumień przestrzenny to osobny, równoległy kanał danych - 4 strumienie oznaczają 4-krotną teoretyczną przepustowość względem 1×1:1. Beamforming to ukierunkowanie sygnału "w stronę" konkretnego klienta przez odpowiednie sterowanie fazą sygnałów na antenach - zwiększa zasięg i siłę sygnału bez zwiększania mocy. SU-MIMO (Single User MIMO) obsługuje jeden klient naraz wieloma strumieniami. MU-MIMO (Multi-User MIMO) - wprowadzony w 802.11ac Wave 2 i rozwinięty w Wi-Fi 6 - pozwala na jednoczesną obsługę wielu klientów różnymi strumieniami przestrzennymi w tym samym czasie. Wi-Fi 6 (802.11ax) rozszerza MU-MIMO do 8 jednoczesnych klientów i dodaje OFDMA (Orthogonal Frequency Division Multiple Access) do efektywniejszego dzielenia kanału.

Schemat MIMO i MU-MIMO z wieloma antenami i strumieniami przestrzennymi

Proces roamingu i problem "lepkiego klienta"

Roaming to proces automatycznego przełączenia klienta bezprzewodowego z jednego AP na inny, gdy klient porusza się po budynku. Klient decyduje o roamingu samodzielnie - standard nie narzuca momentu zmiany AP. Większość klientów przełącza się, gdy siła sygnału (RSSI) bieżącego AP spada poniżej progu, np. -70 dBm. Problem: "lepki klient" (sticky client) - urządzenie pozostaje przy słabym AP zamiast przełączyć się na silniejszy; typowe u smartfonów z agresywną polityką oszczędzania energii. Czas roamingu ma znaczenie dla aplikacji wrażliwych: VoIP wymaga roamingu w czasie poniżej 50 ms, żeby rozmowa nie straciła ciągłości. Klasyczny roaming bez mechanizmów wspomagania może trwać 100–300 ms - zbyt długo dla VoIP. Techniki przyspieszające roaming: Opportunistic Key Caching (OKC), 802.11r Fast BSS Transition (FT). 802.11r pozwala na pre-negocjację kluczy szyfrowania z sąsiednim AP jeszcze przed fizycznym przełączeniem - skraca czas do 10–20 ms.

Schemat roamingu klienta między AP z wykresem RSSI i momentem przełączenia

Fast BSS Transition (802.11r)

Standard IEEE 802.11r (Fast BSS Transition) definiuje mechanizm przyspieszający roaming przez skrócenie procesu re-uwierzytelniania przy zmianie AP. W klasycznym WPA2-Enterprise pełne uwierzytelnianie 802.1X przy zmianie AP wymaga wielu wymian pakietów z serwerem RADIUS - może trwać setki milisekund. 802.11r wprowadza hierarchię kluczy (PMK-R0, PMK-R1) - klucz sesji jest dystrybuowany między AP objętymi roamingiem jeszcze przed jego nastąpieniem. Klient i nowe AP mogą negocjować klucze sesji już w fazie skanowania, równolegle z utrzymywaniem połączenia z bieżącym AP. FT może działać w trybie "przez powietrze" (over the air) - negocjacja z nowym AP bez udziału kontrolera lub "przez kontroler DS (distribution system)". Kontroler WLAN zarządzający oboma AP automatycznie synchronizuje klucze między AP w domenie FT. 802.11r wymaga obsługi zarówno przez AP/kontroler, jak i przez klienta - starsze urządzenia mogą nie obsługiwać tego standardu. Efekt: roaming VoIP bez przerywania rozmowy nawet w dużym kampusie z setkami AP.

Schemat 802.11r Fast Transition z pre-dystrybucją kluczy między AP

802.11k - Neighbor Report, 802.11v - BSS Transition

Standardy 802.11k i 802.11v uzupełniają 802.11r - razem tworzą kompletne rozwiązanie inteligentnego roamingu. Standard 802.11k (Radio Resource Measurement) pozwala AP przekazywać klientowi listę sąsiednich AP (Neighbor Report) wraz z kanałami i poziomami sygnału. Klient może szybciej skanować w poszukiwaniu lepszego AP - zamiast sprawdzać wszystkie kanały, koncentruje się na podpowiedziach z raportu sąsiadów. Standard 802.11v (BSS Transition Management) pozwala AP "zasugerować" klientowi zmianę AP. AP może wysłać do klienta prośbę o przejście do innego AP - np. gdy bieżące AP jest przeciążone lub klient ma zbyt słaby sygnał. Klient może zaakceptować lub odmówić - standard nie wymusza zmiany. Razem 802.11k/v/r tworzą triumwirat ułatwiający szybki i bezproblemowy roaming. W kontrolerowych architekturach WLAN włącza się wszystkie trzy standardy dla każdego profilu WLAN, gdzie liczy się jakość roamingu. Prawie wszystkie nowoczesne smartfony i laptopy obsługują 802.11k/v/r.

Schemat współpracy 802.11k, 802.11v i 802.11r w środowisku kampusowym

Power over Ethernet - standardy i zastosowanie

Power over Ethernet (PoE) pozwala na zasilanie urządzeń sieciowych (AP, telefony IP, kamery IP) bezpośrednio przez kabel Cat 5e/6 - bez potrzeby osobnego zasilacza przy urządzeniu. Standardy PoE: IEEE 802.3af (PoE) - do 15,4 W na port, wystarczający dla prostych AP i telefonów; IEEE 802.3at (PoE+) - do 30 W, obsługuje wydajniejsze AP z wieloma radiotransmiterami; IEEE 802.3bt (PoE++, Hi-PoE) - do 90 W, dla urządzeń wymagających większej mocy (AP Wi-Fi 6 z wieloma pasmami, panele sterujące). Przełącznik zasilający (PoE Switch) musi mieć wystarczającą moc całkowitą dla wszystkich podłączonych urządzeń - budżet PoE to łączna moc, którą przełącznik może dostarczyć przez wszystkie porty. PoE znacznie upraszcza instalację AP przy suficie - wymagany jest tylko jeden kabel Cat 6. Zapewnia też scentralizowane zasilanie z zasilaczem UPS w szafie sieciowej - awaria zasilania budynku nie wyłącza AP, dopóki UPS ma energię.

Schemat PoE: przełącznik PoE zasilający AP i telefon IP przez kabel Cat6

Guest Network - izolacja i portal przechwytujący

Sieć dla gości (Guest Network) to odrębny SSID udostępniony osobom z zewnątrz - klientom, kontrahentom, odwiedzającym. Gościńska sieć Wi-Fi powinna być całkowicie odizolowana od sieci firmowej - ruch gości nie może docierać do serwerów, drukarek ani stacji pracowników. Izolacja techniczna: osobny VLAN dla gości, firewall blokujący ruch z VLAN-u gości do VLAN-ów firmowych, bezpośrednie przekierowanie ruchu do Internetu (Hairpin NAT lub osobne łącze ISP). Client Isolation (znana też jako AP Isolation) - opcja na AP/kontrolerze blokująca komunikację między klientami w tej samej sieci gości - goście nie widzą siebie nawzajem. Portal przechwytujący (Captive Portal) wymaga od gości zalogowania (imię, e-mail, hasło SMS) przed udzieleniem dostępu - pozwala na rejestrowanie tożsamości i akceptację regulaminu korzystania z sieci. Polityka dopuszczalnego użycia (AUP) powinna być prezentowana na portalu captive i zaakceptowana przez gościa. Sieć gościnna korzysta z osobnego zakresu adresów DHCP i wychodzi na Internet przez NAT.

Schemat izolacji sieci gości od sieci firmowej przez firewall i VLAN

Wi-Fi Multimedia (WMM) - 802.11e

QoS (Quality of Service) w sieci bezprzewodowej to mechanizm priorytetyzacji ruchu wrażliwego na opóźnienia - głosu VoIP, wideokonferencji i transmisji strumieniowej. Standard 802.11e (WMM - Wi-Fi Multimedia) definiuje cztery kolejki dostępu w warstwie bezprzewodowej: VO (Voice), VI (Video), BE (Best Effort), BK (Background). Ruch VoIP oznaczony priorytetem DSCP EF lub CoS 5 jest traktowany przez AP jako kolejka Voice i uzyskuje pierwszeństwo dostępu do medium radiowego. Funkcja EDCA (Enhanced Distributed Channel Access) skraca czas oczekiwania przed nadaniem dla kolejek wyższego priorytetu - głos "wchodzi" szybciej niż pobieranie pliku. Bezbłędne działanie QoS wymaga spójnego oznaczania priorytetów na całej ścieżce: od telefonu przez AP, switch, router aż do operatora WAN. Administratorzy muszą dbać, by urządzenia końcowe poprawnie oznaczały ruch - nieoznaczone połączenia VoIP wpadną do kolejki BE i będą miały te same priorytety co ruch WWW. QoS jest szczególnie ważny w środowiskach z wysokim obciążeniem sieci bezprzewodowej - salach konferencyjnych, halach produkcyjnych.

Schemat kolejek QoS WMM w AP z priorytetami Voice, Video i Best Effort

Industrial WLAN - wymagania i wyzwania

Przemysłowe sieci Wi-Fi (Industrial WLAN) obsługują wózki widłowe, systemy SCADA, czytniki kodów kreskowych i roboty mobilne w fabrykach i magazynach. Wymagania przemysłowe różnią się od biurowych: klient porusza się szybko (wózek widłowy), urządzenia muszą zawsze być osiągalne (roaming poniżej 20 ms), środowisko jest narażone na interferencje od silników, spawarek i metalowych konstrukcji. AP przemysłowe mają wzmocnione obudowy (stopień ochrony IP67), rozszerzone zakresy temperatur (do -40°C lub +70°C) i anteny kierunkowe. Protokoły OPC UA i MQTT używane w automatyce przemysłowej wymagają niskich, stałych opóźnień - niedopuszczalne jest zmienność opóźnień powyżej kilku milisekund. Bezpieczeństwo przemysłowych sieci Wi-Fi jest krytyczne: przejęcie sterowania maszyną przez nieautoryzowaną osobę może zagrażać życiu. Segmentacja sieciowa, monitoring anomalii i separacja sieci OT od sieci IT to wymagania standardów IEC 62443 dla sieci przemysłowych.

Schemat przemysłowej sieci Wi-Fi w hali produkcyjnej z AP IP67

Evil Twin, PMKID, deauthentication - zagrożenia WLAN

Sieci bezprzewodowe są bardziej podatne na ataki niż sieci przewodowe - sygnał radiowy jest dostępny dla każdego w zasięgu AP. Atak Evil Twin (rogue AP) - atakujący instaluje własne AP z tym samym SSID co sieć firmowa i wyższą mocą sygnału - klienci łączą się do fałszywego AP, przez który atakujący przechwytuje ruch. Atak PMKID/hashcat - przechwycenie skrótu klucza WPA2-PSK z ramki EAPOL umożliwia offline brute force atakującemu bez konieczności nawiązywania połączenia z siecią. Atak deauthentication - wysyłanie sfałszowanych ramek zarządzania 802.11 rozłączających klientów z AP - zakłóca komunikację i wymusza ponowne uwierzytelnienie. Standard 802.11w (Protected Management Frames, PMF) szyfruje ramki zarządzania, uniemożliwiając atak deauthentication - powinien być włączony na wszystkich AP. Rogue AP (nieautoryzowane AP podłączone przez pracownika) naruszają kontrolowaną strukturę sieci bezprzewodowej - powinny być wykrywane przez WIDS (Wireless Intrusion Detection System).

Schemat ataku Evil Twin i ochrony przez PMF 802.11w

Wireless Intrusion Detection System

WIDS (Wireless Intrusion Detection System) to system monitorowania środowiska radiowego w poszukiwaniu nieautoryzowanych AP (rogue AP), ataków deauthentication i innych anomalii bezprzewodowych. Kontroler WLAN może konfigurować AP w trybie Monitor Mode - dedykowany AP nie obsługuje klientów, lecz skanuje wszystkie kanały, słucha środowiska radiowego i raportuje anomalie do kontrolera. Wykryte rogue AP mogą być automatycznie "zlokalizowane" przez triangulację sygnału z kilku AP nasłuchujących - kontroler wskazuje, w którym obszarze budynku fizycznie jest nieautoryzowane urządzenie. Containment (izolacja) to technika aktywnej ochrony: legalne AP wysyłają spreparowane ramki deauthentication do klientów próbujących łączyć się z rogue AP - skutecznie blokuje dostęp do fałszywego AP. Containment jest kontrowersyjny prawnie - w niektórych krajach aktywne zakłócanie cudzych sieci jest niezgodne z prawem. WIDS integruje się z SIEM - alerty o wykrytych atakach trafiają do centralnego systemu zarządzania bezpieczeństwem.

Schemat WIDS z AP w trybie monitor wykrywającym rogue AP i ataki

Architektura mesh - 802.11s

Sieć mesh Wi-Fi to architektura, w której AP komunikują się ze sobą bezprzewodowo i tworzą samokonfigurującą się siatkę połączeń bez potrzeby okablowania każdego AP do switcha. W klasycznych sieciach mesh jeden AP (root AP) jest podłączony do switcha przez kabel, a pozostałe AP (mesh AP) przekazują ruch back-to-back przez łącza radiowe (backhaul). Nowsze systemy używają dedykowanego pasma lub kanału dla backhaul - np. pasmo 5 GHz dla backhaul, pasmo 2,4 GHz dla klientów. Sieci mesh sprawdzają się w instalacjach, gdzie ułożenie kabla jest niemożliwe lub kosztowne: budynki historyczne, hale magazynowe, tereny zewnętrzne. Wadą jest mniejsza wydajność backhaul w porównaniu do okablowania: każdy skok radiowy zmniejsza dostępną przepustowość dla klientów. Standard 802.11s definiuje protokoły sieci mesh bezprzewodowej - dynamiczne wykrywanie sąsiadów i trasowanie przez sieć mesh. Systemy enterprise mesh (Cisco Catalyst, Aruba InstantOn, Ubiquiti UniFi) oferują centralne zarządzanie i QoS dla sieci mesh.

Schemat sieci mesh Wi-Fi z root AP i kilkoma mesh AP w budynku

802.11ax - OFDMA, BSS Coloring, TWT

Wi-Fi 6 (802.11ax) to generacja zaprojektowana dla gęstych środowisk z wieloma klientami - stadiony, lotniska, duże biurowce. OFDMA (Orthogonal Frequency Division Multiple Access) pozwala AP obsługiwać wielu klientów jednocześnie przez podział kanału na mniejsze podzakresy (Resource Units - RU). Jeden AP Wi-Fi 6 może obsługiwać równocześnie wiele urządzeń zamiast kolejkować je jeden po drugim jak w starszych standardach. BSS Coloring to mechanizm oznaczania ramek z danego AP - urządzenia ignorują ramki innych "sieci" (inny kolor BSS) zamiast traktować je jako zakłócenie. Target Wake Time (TWT) pozwala AP uzgadniać z klientami (np. urządzeniami IoT), kiedy mogą "się obudzić" i nadawać - znacząco oszczędza energię baterii. Wi-Fi 6E rozszerza możliwości Wi-Fi 6 na pasmo 6 GHz (1200 MHz dodatkowego pasma w Europie i USA) - znacznie więcej wolnych kanałów, mniej zakłóceń, wyższe przepustowości. Wi-Fi 6E wymaga jednak nowych urządzeń klienckich obsługujących pasmo 6 GHz.

Schemat OFDMA WiFi 6 z podziałem kanału na Resource Units dla wielu klientów

Kontroler WLAN w chmurze

Architektura cloud-managed WLAN to model, w którym kontroler WLAN jest umieszczony w chmurze dostawcy - zamiast fizycznego kontrolera w serwerowni firmy. AP łączą się przez Internet z kontrolerem cloud i pobierają z niego konfigurację, polityki i aktualizacje oprogramowania. Administrator zarządza całą siecią Wi-Fi (zmiany konfiguracji, monitoring, alerty) przez przeglądarkę internetową lub aplikację mobilną - z dowolnego miejsca na świecie. Zalety: brak konieczności utrzymania fizycznego kontrolera, automatyczne aktualizacje oprogramowania AP, łatwość zarządzania wieloma lokalizacjami z jednego panelu. Wady: wymaga stałego połączenia AP z Internetem - awaria łącza WAN może utrudnić zmiany konfiguracji (AP zwykle nadal obsługują istniejących klientów w trybie cache). Prywatność i bezpieczeństwo: dane konfiguracyjne i statystyki sieci są przechowywane u zewnętrznego dostawcy - wybór dostawcy i lokalizacja centrów danych mają znaczenie dla zgodności z RODO. Przykłady: Cisco Meraki, Aruba InstantOn, Ubiquiti UniFi Cloud, Ruckus Cloud.

Schemat cloud-managed WLAN z AP łączącymi się z kontrolerem w chmurze

Real-Time Location System w sieci WLAN

WLAN może służyć nie tylko do transmisji danych, ale też do lokalizacji urządzeń i użytkowników wewnątrz budynku (RTLS - Real-Time Location System). Metody lokalizacji: RSSI (Received Signal Strength Indication) - szacowanie odległości od AP na podstawie siły sygnału; Triangulacja - obliczanie pozycji na podstawie pomiarów RSSI z co najmniej 3 AP; Fingerprinting - baza danych odcisków radiowych z każdego punktu budynku, porównywana z aktualnym pomiarem. Dokładność lokalizacji RSSI to zazwyczaj 2–5 metrów - wystarczająca do wskazania pomieszczenia lub strefy. Apple AirPlay, Bluetooth BLE i UWB (Ultra-Wideband) mogą uzupełniać Wi-Fi w systemach lokalizacji dla wyższej precyzji (poniżej 0,5 m). Zastosowania: lokalizacja pracowników w szpitalach (pielęgniarki, lekarze), śledzenie wózków widłowych w magazynach, zarządzanie flotą urządzeń. Wdrożenie RTLS wymaga gęstej siatki AP i oprogramowania do mapowania pozycji (np. Cisco CMX, Aruba ALE, Ekahau RTLS).

Mapa budynku z lokalizacją urządzeń RTLS i triangulacją z trzech AP

Network Access Control i posture assessment

NAC (Network Access Control) to system, który przed udzieleniem dostępu do sieci weryfikuje nie tylko tożsamość użytkownika, ale też stan bezpieczeństwa urządzenia (posture assessment). Urządzenie łączące się z Wi-Fi firmowym może przejść przez sprawdzenie: czy ma zainstalowanego i aktualnego antywirusa, czy ma aktualne łatki systemu operacyjnego, czy nie jest zainfekowane. Urządzenia niespełniające wymagań trafiają do VLAN-u kwarantanny - dostają dostęp tylko do serwera naprawczego i Internetu, by zainstalować brakujące aktualizacje. Cisco ISE (Identity Services Engine) i Aruba ClearPass to przykłady systemów NAC integrujących się z kontrolerami WLAN przez protokół RADIUS CoA (Change of Authorization). RADIUS CoA pozwala serwerowi NAC dynamicznie zmienić politykę dla już podłączonego klienta - np. przenieść go do innego VLAN-u w czasie rzeczywistym, bez rozłączania. NAC jest istotny w środowiskach BYOD (Bring Your Own Device), gdzie pracownicy podłączają prywatne urządzenia do sieci firmowej.

Schemat NAC z weryfikacją posture klienta i VLAN kwarantanny

Diagnostyka problemów w sieci bezprzewodowej

Diagnostyka problemów w sieci bezprzewodowej wymaga narzędzi i metodycznego podejścia. Pierwsze pytanie: problem dotyczy jednego klienta czy wszystkich? Jeden klient - sprawdź sterownik karty, certyfikat, konfigurację systemową. Wszyscy klienci na jednym AP - sprawdź stan AP (restart, przeciążenie, zakłócenia). Wszyscy klienci w obszarze - sprawdź, czy AP nie mają awarii sprzętowej lub problemów zasilania PoE. Narzędzia: kontroler WLAN - statystyki per-AP i per-klient, poziomy RSSI, wskaźnik ponownych prób (retry rate), zakłócenia (interference); Ekahau Sidekick - dedykowany sprzętowy analizator Wi-Fi z mapowaniem; Wireshark z kartą Wi-Fi w trybie monitor - przechwytywanie ramek 802.11 do analizy autoryzacji i problemów z QoS. Wysoki retry rate (powyżej 10%) wskazuje na złe pokrycie lub zakłócenia. Niska przepustowość przy dobrej sile sygnału to typowy objaw zakłóceń kanałowych lub zbyt niskiej przepustowości backhaul. Regularne przeglądy statystyk RF (Radio Frequency) powinny być częścią rutynowej pracy administratora sieci.

Dashboard kontrolera WLAN z statystykami AP i klientów bezprzewodowych

Projekt kampusowej sieci WLAN

Projekt kampusowej sieci WLAN dla uczelni z 5 budynkami, 2000 studentami i 300 pracownikami wymaga planowania na wielu poziomach. SSID: "Uczelnia-Pracownicy" (WPA3 Enterprise, 802.1X/EAP-TLS, VLAN 10), "Uczelnia-Studenci" (WPA2 Enterprise, PEAP, VLAN 20), "Uczelnia-Goście" (Captive Portal, VLAN 99). Liczba AP: szacunkowo 1 AP na 30–50 jednoczesnych klientów w salach wykładowych; w auli (200 osób) minimum 4–6 AP rozmieszczonych na ścianach i suficie. AP: obsługa Wi-Fi 6 (ax), dual-band (2,4 + 5 GHz), 4x4 MIMO, PoE+; każdy AP połączony z przełącznikiem dostępowym Cat 6. Przełączniki dostępowe w każdym budynku połączone światłowodem z centralnym przełącznikiem rdzeniowym. Kontroler WLAN w centrum danych uczelni zarządza wszystkimi AP we wszystkich budynkach przez CAPWAP. Serwer RADIUS zintegrowany z Active Directory uczelni - pracownicy i studenci logują się do Wi-Fi używając kont uczelnianych. Monitoring: WIDS aktywny, pełna rejestracja sesji dla zgodności z regulaminem i wymogami prawnymi.

Topologia sieci kampusowej z budynkami, switchami światłowodowymi i AP

Kluczowe zagadnienia - WLAN

Na tym wykładzie omówiliśmy integrację sieci bezprzewodowej WLAN z architekturą sieciową. Standardy Wi-Fi (802.11n/ac/ax) ewoluują, oferując rosnące przepustowości i mechanizmy obsługi gęstych środowisk (OFDMA, MU-MIMO). Punkty dostępu lekkie zarządzane przez centralny kontroler WLAN to standard w sieciach korporacyjnych i kampusowych. SSID jest mapowany na VLAN w sieci przewodowej - spójność tej integracji jest warunkiem prawidłowego działania sieci. Bezpieczeństwo WLAN opiera się na WPA3 Enterprise z 802.1X, PMF (802.11w) i WIDS. Szybki i bezproblemowy roaming zapewniają standardy 802.11r/k/v - kluczowe dla VoIP i urządzeń mobilnych. Planowanie pokrycia RF, dobór kanałów i monitoring statystyk AP to nieodłączne elementy pracy administratora WLAN. Na ostatnim wykładzie przejdziemy do analizy i optymalizacji wydajności sieci - przepustowości i opóźnień.

Podsumowanie - mapa myśli zagadnień WLAN: standardy, AP, roaming, bezpieczeństwo