Optimización de puntos de acceso - HotSpot de 4ipnet

AP’s profesionales frente AP’s de consumo/optimización de puntos de acceso

¿Por qué tengo que pagar un precio 5 o 10 veces superior por un punto de acceso profesional cuando puedo comprar un router Wireless mucho más económico en Amazon o en la tienda de informática de la esquina?

Esta es una de las preguntas más frecuentes en todos los segmentos del mercado del WiFi empresarial, incluyendo hostelería, educación, grandes empresas y Pymes.

Para responder a esta pregunta primero hemos de conocer las diferencias de los mercados WiFi para empresas y para uso doméstico o de consumo, más concretamente en como se instalan y utilizan estos equipos. Por ejemplo, la utilización de alimentación PoE está presente en todos los equipos destinados al mundo profesional, debido a la presencia de Switches con salida PoE que existen en todas las instalaciones que tienen desplegada su infraestructura de red, así como todo el coste del cableado a todas partes de la instalación.

En este documento destacaremos el funcionamiento y seguridad de las funcionalidades que ofrecen los puntos de acceso de 4ipnet, y durante todo el documento iremos comparando los puntos de acceso de 4ipnet con puntos de acceso de consumo para que se vean claramente las diferencias y porque utilizar puntos de acceso profesionales.

Airtime Fairness (igualdad de tiempos de uso)

Como los estándares Wireless van cambiando, previamente de 11g a 11n y ahora de 11n a 11ac, los operadores de red están constantemente trabajando entre permitir el acceso a dispositivos con estándares antiguos y el rendimiento de la red Wireless por convivir con dispositivos de diferentes estándares. por ejemplo, cuando tenemos clientes 11g y 11n conectados al mismo punto de acceso, el dispositivo 11g necesitará mucho más tiempo para completar la misma transferencia de datos que un usuario 11n. para entender porque ocurre esto, primero deberíamos explicar brevemente como se transmite la información por WiFi.

El concepto fundamental para la transmisión de información a través del aire (Wireless) es que dos dispositivos no pueden transmitir exactamente en el mismo instante de tiempo y en la misma frecuencia, sino se producen colisiones y las transmisiones fallan. El WiFi evita este problema trabajando con el protocolo CSMA/CA (carrier sense multiple access with collision avoidance), que lo que hace es aplicar un retraso en las transmisiones de paquetes vía WiFi en los emisores cuando detectan que el medio está ocupado de esa manera se evitan las colisiones. Por lo tanto, cuando más tarde un dispositivo en transmitir la información más se incrementará el retraso en el resto de dispositivos que quieren transmitir.

Volviendo al ejemplo de los dispositivos que trabajan con estándares no tan actuales (802.11g), esto implica que los otros usuarios tienen que esperar a que acabe la transmisión de este dispositivo antiguo, lo que se transforma en una bajada del rendimiento de la red. en caso contrario, que se denegara el acceso a dispositivos antiguos (802.11g), los operadores se encontrarían con el problema de recibir quejas de los clientes que tienen dispositivos antiguos y que no pueden acceder a la red porque no tienen dispositivos que trabajen con el último estándar. Aquí surge un dilema: ¿Los operadores han de permitir el acceso a dispositivos antiguos con la consecuencia de disminución del rendimiento global de la red, o han de bloquear el acceso a dispositivos antiguos y así maximizar el rendimiento de la red?

Afortunadamente, en los puntos de acceso de 4ipnet hay un punto intermedio. La funcionalidad de Airtime Fairness (igualdad de tiempos de uso) permite a las re-des minimizar el efecto del decremento de rendimiento debido al acceso de dispositivos antiguos. Dependiendo de las necesidades y preferencias de cada escenario, se puede seleccionar una de las siguientes 2 opciones:

1- Todos los clientes, en función de los estándares seleccionados, obtienen aproximadamente el mismo tiempo de uso del medio. si un cliente ocupa el medio de aire durante un largo periodo de tiempo en una misma transmisión, entonces las próximas transmisiones de este cliente serán marcadas con baja prioridad, asegurando que la distribución total del tiempo de uso del medio este equilibrada.

asegurando-que-la-distribución-tota.jpg

2- Los clientes 11n tienen una cierta preferencia. Los dispositivos antiguos no están bloqueados para acceder a la red, pero tendrán reservado menos tiempo de uso. esta opción es ideal para empresas que quieres optimizar el rendimiento de la red manteniendo el acceso a clientes antiguos. las empresas pueden usar esta funcionalidad para instar a los clientes con dispositivos antiguos a migrar de 11b/g a 11n donde tendrán mejores rendimientos.

Con cualquiera de las dos opciones, los administradores son capaces de incrementar el rendimiento de la red sin tener que sacrificar el acceso a dispositivos antiguos. Se pueden ver más detalles de cómo se gestiona la priorización de los Ap’s en la sección de Wmm.

Band Steering (Forzado de Banda)

En los entornos WiFi actuales la banda libre de 2,4GHz es una banda que se está saturando cada vez más debido al uso masivo de los dispositivos móviles. Y como resultado de esto, muchos fabricantes de dispositivos para consumo como pueden ser fabricantes de portátiles y smartphones ya incorporan chipsets para trabajar en la banda de 5gHz.

Además los nuevos dispositivos que trabajan en 802.11ac ya están abriendo su mercado para los usuarios de hoy en día. esto plantea una pregunta: cuando un entorno WiFi que ofrece conectividad en las dos bandas (2,4 y 5GHz), con clientes que tienen tecnología para conectarse en las dos bandas, ¿Cómo han de hacer los operadores para distribuir la carga de los usuarios en las dos frecuencias?

Un método sencillo es añadir la frecuencia en el nombre de la red (SSID). por ejemplo, en vez de tener el ssid “Hotel”, tendremos “Hotel-2.4gHz” y “Hotel-5gHz”. ¿Pero que pasa con aquellas negocios/empresas que no quieren mostrar la frecuencia en el nombre de la red (SSID)?

gHz son forzados a usar la

Band Steering Forzado de banda

Es una funcionalidad que va dirigida justamente para este problema. Cuando se activa esta opción en los puntos de acceso de 4Ipnet, el AP utiliza uno de los dos siguientes métodos para forzar a los clientes que son capaces de trabajar tanto en 2,4gHz y 5gHz para que usen solo la red de 5gHz.

1- El AP no responde a las peticiones de acceso del cliente, haciendo creer al cliente que la red de 2,4gHz no existe. para el usuario esto implica que no verá la red de 2,4gHz. pero si el usuario conoce la existencia de la red, siempre podrá conectarse si se lo configura de forma manual en su dispositivo.

Este es el metodo más pasivo para realizar el forzado de banda, de manera que los usuarios no tienen completamente prohibido acceder a la banda de 2,4GHz aunque su dispositivo soporte los 5gHz.

2- El AP rechaza las conexiones a 2,4GHz de los clientes aunque el cliente tenga los datos de la red de 2,4GHz configuradas en su dispositivo. este es el método más agresivo para realizar el forzado de banda, y esencialmente lo que hace es forzar a todos los clientes que puedan conectar a 5GHz lo hagan única y exclusivamente a la banda de 5GHz.

El forzado de banda es una funcionalidad que se puede activar de forma individual en cada AP, pero no tiene mucho sentido utilizarla si no tiene los mismos parámetros ajustados en los puntos de acceso vecinos , es decir que todos tengan esta funcionalidad ajustada. por ejemplo, si el objetivo es reducir la congestión de la banda de 2,4GHz, entonces los administradores de la red deberían activar la función de “Band Steering” en todos los AP’s para redireccionar todas las conexiones posibles a la banda de 5GHz. Si solo se configura esta funcionalidad en unos cuantos Ap’s, entonces los dispositivos que puedan conectarse a ambas bandas se podrán conectar a los ssid de 2,4gHz, haciendo que el uso del espectro sea exactamente el mismo que antes de activar la opción. A pesar de que la funcionalidad de forzado de banda se puede ver como una funcionalidad para balancear los equipos clientes entre los diferentes AP’s, realmente se ha diseñado para liberar el espectro de 2,4GHz limitando su acceso.

FiltrAdo óptimo de Clientes

Anteriormente en este documento hemos descrito el WiFi como forma de transmitir comunicaciones sin cables que utiliza el protocolo CsmA/CA para eliminar las colisiones durante las transmisiones de datos. Como se ha mencionado una de las características principales de este protocolo es que cualquiera que desee utilizar el medio para transmitir deberá esperar hasta que el medio este libre (sin usar). entonces, si un dispositivo necesita un largo tiempo para transmitir una pequeña cantidad de datos, el rendimiento global de la red disminuye. Ahora consideremos el caso donde una red soporta solo clientes 802.11n (o 802.11c), teóricamente, cada uno puede entrar y salir del medio en un intervalo de tiempo muy corto, ya que las tasas de transferencia de los estándares 802.11n/ac son muy rápidas. En este caso, ¿El rendimiento de la red está optimizado?

Los dispositivos con estándares antiguos no son el único problema en los entornos Wireless, aunque todos los dispositivos utilicen los últimos estándares, algunos clientes inevitablemente tendrán peores tasas de transferencia que otros debido a interferencias, obstáculos físicos o por la distancia entre ellos y el Ap. Como resultado, estos clientes han de permanecer más tiempo en el medio para completar las transferencias de datos, lo que crea exactamente un fenómeno idéntico al que nos encontramos con dispositivos con estándares antiguos.

Si alguna vez se ha preguntado porque la red parece que vaya muy lenta cuando el indicador de la señal de WiFi tiene todas las rayitas de conexión a tope, puede ser que haya otros clientes conectados en la misma red con niveles de señal peores, por lo tanto ralentizar la red.

Para tener un rendimiento óptimo en las redes Wireless, no solo los clientes han de utilizar los últimos estándares, sino que también deberían conectarse a los AP’s que ofrecen la mejor conexión. ¿Debería estar autorizado todo el mundo a conectarse a la red aunque los niveles de señal a los que se conecte sean muy bajos (que hace bajar el rendimiento de toda la red)? O ¿podemos bloquear el acceso a estos dispositivos para que el resto dispongan de mayores anchos de banda? Es una pregunta que se hacen muchos administradores de red que ven como cada día las redes WiFi están mas omnipresentes en nuestras vidas cotidianas.

El filtrado óptimo de clientes es un método que permite a los puntos de acceso de 4ipnet filtrar a los clientes que causarán un impacto negativo en el rendimiento del WiFi.

A través de una serie de límites, como por ejemplo limite de paquetes perdidos, limite de tasa de transmisión y el limite RSSI en recepción, el punto de acceso es capaz de echar a los clientes que tienen una conectividad pobre. Esto nos asegura que todos los clientes conectados al mismo AP tengan una calidad de conexión aceptable, minimizando el número de reenvío de paquetes y incrementando la eficiencia de uso del tiempo.

 conexiones de clientes son filtradas

¿Y cómo trasladamos esto a los escenarios reales? muchos entornos como en la los Hospitales pueden ser muy estrictos con los temas de conectividad y rendimientos (donde retrasos pueden ser la diferencia entre la vida y la muerte), mientras que otros escenarios pueden ser más tolerantes con los dispositivos con conectividades más lentas. Con el filtrado óptimo de clientes que ofrecen los puntos de acceso de 4ipnet los administradores de la red pueden ajustar los límites de conectividad dependiendo de cada escenario para ofrecer el mejor rendimiento Wireless.

Conversión de multicast a Unicast

En las redes WiFi, los paquetes multicast típicamente se retransmiten a tasas de transferencia bajas para que los dispositivos que estén en los límites de las zonas de cobertura de las celdas que forman los AP’s puedan recibir los paquetes sin error. Esto puede ser útil en entornos donde la mayoría de los clientes están a una cierta distancia (lejos) del AP. De cualquier forma, si el tamaño de la celda es pequeño y la mayor parte de los clientes están concentrados cerca del AP, esto causa un uso ineficiente del tiempo de uso. ¿por qué transmitir a 11mbps cuando podemos hacerlo a 300mbps?

La conversión de Multicast a Unicast, es el método que utilizan los AP’s de 4ipnet para convertir transmisiones multicast en unicast de esta manera se pueden enviar con tasas de unicast. Cuando los clientes están próximos al AP, se pueden mantener tasas de transmisión altas haciendo que el tráfico Unicast sea más eficiente. por otro lado, al intentar usar las mismas tasas con clientes que estén lejos del Ap se transformarán en un incremento de retransmisiones, por lo tanto perderemos eficiencia. Como resultado podemos ver que la funcionalidad de conversión de Multicast a Unicast, no es una funcionalidad útil para todos los escenarios, simplemente es una opción más para los operadores de red que puedan optimizar el rendimiento de la red basándose en la situación y distribución de los clientes y alrededor de los Ap’s.

funcionalidad de conversión de multicast a unicast

Multimedia WiFi (WMM)

Si has visto alguna vez dispositivos de VoIP funcionando sobre la Wi-Fi sin problemas aunque haya otras muchas aplicaciones simultaneas usando la red, entonces has visto al WMM en acción. el WMM proporciona una funcionalidad de QoS fundamental para las redes Wireless incrementando el rendimiento de tráfico Wireless diferenciados, como el audio, video y aplicaciones de datos tradicionales. Basado en las necesidades de cada tipo de datos, son situados en una de las 4 diferentes colas, BE (sin prioridad), BK (general), VI (Video) y VO (Voz).

Volviendo a la descripción anterior sobre el uso del me-dio WiFi utilizando el protocolo CSMA/CA, clientes que han de esperar un cierto tiempo aleatorio antes de poder retransmitir un paquete si se detecta que el medio ya está en uso. El WMM asigna periodos de tiempo aleatorios más cortos o largos a cada una de las cuatro colas, lo que hace que las colas tengan diferentes prioridades. La cola que tenga el tiempo aleatorio más corto (por ejemplo la de Voz) podrá enviar tráfico más rápido y prioritario (debido a la prioridad de la cola usando WMM) que las colas con un tiempo aleatorio más largo, como por ejemplo la de BE (trafico sin prioridad).

En los puntos de acceso de 4Ipnet, el tráfico es priorizado automáticamente y posicionado en cada una de las 4 colas basadas en el tag de prioridad 802.1p o en el valor del DSCP (punto de código de servicio diferenciado). Junto con la funcionalidad de remarcado en los controladores de LAN de 4ipnet, los administradores de la red tienen un arsenal de herramientas muy amplio a su disposición, para garantizar la fiabilidad y uso de aplicaciones críticas o que requieran baja latencia.

Es importante diferenciar que el WMM y el Airtime Fairness utilizan mecanismos de prioridades pero con objetivos diferentes. el WMM realiza una priorización basada en el tipo del tráfico, mientras que el Airtime Fairness realiza una priorización basada en el tipo de cliente.

Proxy Arp

El protocolo ARP (protocolo de resolución de dirección) es esencial en redes (tanto cableadas como Wireless) que lo que hace es resolver direcciones IP en direccio-nes MAC cuando la información ha de ser enviada entre dos hosts. En el momento que un host desea obtener la dirección física (mAC) de otro host, envía una petición de Arp a todos los destinatarios (broadcast) en la red. en las redes Wireless esto a veces puede ser un tráfico adicional y innecesario que hará bajar el rendimiento de nuestra red.

Los puntos de acceso de 4IPnet abordan este problema utilizando un Proxy ARP para reducir el número de paquetes ARP en el medio Wireless, gestionando las peticiones de ARP el mismo en vez de retransmitirla por el medio Wireless cuando es posible. Tan pronto como la tabla de Arp del propio punto de acceso tenga la dirección física solicitada, el AP responderá con la dirección como si fuera el host solicitado. Como resultado, el número de paquetes ARP que se envían por Wireless disminuyen y el listado de MACs de la tabla ARP crece mucho más rápido, incrementando así en ancho de banda de la red.

Acceso WiFi Protegido II (WPA2)

En los despliegues a nivel empresarial, la seguridad es uno de los requisitos y funcionalidades más demandados. la primera línea de defensa es normalmente el punto de acceso a la red, que tiempo atrás eran básicamente los switches, pero ahora son los puntos de Acceso Wireless. de la misma forma que la funcionalidad de autenticación basada en puertos en los switches ethernet, los puntos de acceso Wireless también tienen métodos para autenticar dispositivos. Por otra parte, la evolución de las redes WiFi en los últimos años ha comenzado a invalidar la idea de que la transmisión de datos a través de Wireless es inseguro, ya que con protocolos de autenticación y encriptación como el WPA2-Enterprise, las empresas pueden estar seguras que la información confidencial seguirá siendo confidencial.

El WPA2-Enterprise proporciona autenticación 802.1x utilizando al AP como autenticador, bloqueando el acceso hasta que haya una autenticación correcta. para despliegues donde la seguridad no sea tan exigente, los administradores de la red pueden utilizar WPA2-Personal y simplemente utilizar la verificación con una contraseña para tener acceso a la red. Ambos métodos utilizan encriptación de datos AES, que teóricamente a día de hoy no puede ser crackeada con fuerza bruta ni con los más potentes ordenadores.

Aislamiento de Clientes

En muchos entornos WiFi no es extraño ver más de 20 o 30 dispositivos conectados a un mismo punto de acceso. permitir la comunicación directa entre estos clientes sería preocupación de seguridad para los operadores de red, ya que el tráfico malicioso de un cliente podría potencialmente afectar a los otros.

Aislamiento de clientes

Imagina que tienes un grupo de desconocidos conectados al mismo AP en la cafetería, todos ellos con la IP asignada por el mismo servidor DHCP, lo que por regla general significa que todos ellos están en la misma red (subred). Si un usuario tuviera activada la compartición de archivos (por ejemplo un Windows), entonces todos los otros usuarios en la red podrían acceder a estos archivos expuestos en la red. de manera que un usuario que solo debería estar tomándose un café y navegando por Internet, está compartiendo todos sus documentos personales con el resto de usuarios de la cafetería. Esto nos enseña porque el aislamiento de clientes es una funcionalidad de seguridad crítica, y porque debería ser obligatoria por parte de los operadores de red, especialmente cuando se proporciona el servicio de WiFi gratis.

DHCP Snooping

Para poder empezar a utilizar los servicios de la red después de conectarse al punto de acceso, el dispositivo cliente ha de obtener la dirección IP del servidor DHCP de la red. Esto es un punto de vulnerabilidad, ya que un atacante puede instalar su propio servidor de DHCP y asignar IP’s y puertas de enlace aleatorias a los clientes de la red. en el peor de los casos, un servidor de DHCP malicioso controlado por un hacker puede potencialmente causar a los administradores de red perder el control completo de la red, lo que es un fallo de seguridad.

La funcionalidad de DHCP Snooping de los puntos de acceso de 4ipnet evita este tipo de fallos en la red, permitiendo a los administradores a especificar la IP y MAC de los servidores DHCP válidos/autorizados. Como resultado, los AP’s filtraran todos los mensajes de DHCP de servidores que no estén en la lista, impidiendo que estos paquetes lleguen bajo ningún concepto a los dispositivos clientes. Aunque estos tipos de ataque de DHCP no son valorados en redes de pequeño tamaño, en redes de empresas y entornos gubernamentales que requieren mayores medidas de seguridad pueden encontrar la funcionalidad del dHCp snooping como una capa más de seguridad para nuestra red.

Firewall de Capa 2

Por motivos de seguridad, los administradores de red pueden bloquear cierto tipo de tráfico directamente en los AP’s, previniendo así los escaneos para ver los clientes que están asociados, aplicaciones que estén utilizando un puerto en concreto, o tráfico originado desde una IP concreta. Por ejemplo, si en un colegio detecta que sus alumnos están utilizando el acceso a la red para jugar a juegos online en horas de clase, el colegio quizás quiera bloquear los puertos que esté utilizando el juego. Para gestionar estos requisitos, los puntos de acceso de 4ipnet vienen equipados con la funcionalidad de Firewall de capa 2 que permite al administrador definir políticas de uso.

Otro uso de la funcionalidad de Firewall de capa 2 es conseguir mayores rendimientos Wireless, discriminando que el punto de acceso reenvíe tráfico innecesario a la red. A lo largo de todo este documento hemos reiterado constantemente como se ve afectado el ancho de banda Wireless debido al número de hosts que compiten por acceder al medio, incluso los propios paquetes de mantenimiento de la red, como STP (spanning treeprotocol), los cuales no son necesarios para los nodos finales (dispositivos inalámbricos), pueden tener un impacto negativo en el rendimiento de la red. Bloqueando estos paquetes, el tiempo de uso que hubiesen requerido estos paquetes se libera para las transmisiones de los otros dispositivos.

Firewall de capa 2

Aunque las funcionalidades de Firewall están también disponibles en los controladores de Wireless LAN de 4ipnet, hay una serie de razones importantes para bloquear los paquetes directamente en los puntos de acceso a la red (en este caso los Aps).

1- Unos paquetes específicos que vengan porla red cableada hasta el punto de accesono son floodeados (retransmitidos innecesariamente) por el medio inalámbrico, disminuyendo así las interferencias y aumentando el ancho de banda de la red Wireless.

Con la explicación de varias funcionalidades de seguridad y optimización en los puntos de acceso de 4ipnet, la diferencia entre los puntos de acceso de consumo y los profesionales ha de haber quedado más clara.

Muchas de estas funcionalidades son solo utilizadas en despliegues de gran escala. en los entornos actuales de uso de smartphones y tablets, no es extraño ver en un domicilio particular hasta 10 dispositivos WiFi conectados. Por lo que los HotSpots WiFi públicos como cafeterías, hoteles o oficinas tendrán 10 veces o más dispositivos. La necesidad de utilizar puntos de acceso profesionales es real. Las empresas y negocios han de gestionar este incremento de dispositivos móviles y de su insaciable deseo de consumo de ancho de banda.

La solución Wireless LAN de 4Ipnet está encaminada a ayudar a las organizaciones de todos los tipos y escalas a hacer frente a la rápida evolución del entorno WiFi.


WifiSafe se dirige a profesionales, pequeñas y medianas empresas, grandes organizaciones y compañías o administraciones públicas, como una alternativa de solución segura y profesional.

CONOCE NUESTROS PRODUCTOS Y SOLUCIONES WIRELESS
.

Para obtener más información, ponte en contacto con el Departamento de Soporte 807 450 005 o el Departamento de Pedidos 902 506 100 o envía un correo electrónico a info@wifisafe.com Optimizacion AP 4ipnet

PRODUCTOS Y SOLUCIONES WIRELESS