События последних двух лет, связанные с массовым переходом сотрудников на удалёнку, ускоряющимся внедрением IoT и AVL, коммерческим использованием алгоритмов анализа телеметрии средствами искусственного интеллекта для предотвращения возникновения аварийных ситуаций, показали что беспроводные сети Wi-Fi играют критическую роль не только в бизнес-процессах, но и в формировании цифрового интерьера городской среды. Сегодня уже не только коммерческие, но и государственные сети обмениваются большими объёмами данных — от датчиков на дорогах до информации о сотрудниках и посетителях, а так же мониторинга объектов общественного пользования.
И если в годы развития Wi-Fi 4 и 5 поколения, наружные беспроводные сети рассматривались, в основном, как средство обеспечения комфорта сотрудника или посетителя, то сегодня это уже обязательная часть инфраструктуры крупных коммерческих и государственных объектов, на которую приходится не только интернет-трафик пользователей, но и управляющие сети, многоадресное вещание на информационные панели, системы видеонаблюдения на таких подвижных объектах как лифты, обслуживающая техника и аттракционы. Всё это накладывает взаимоисключающие требования на беспроводную инфраструктуру: с одной стороны необходимо повысить пропускную способность и снизить задержки при подключении большого числа пользователей, а с другой стороны быстро и экономично покрывать объекты, на которых ранее беспроводные сети не разворачивались.
Компания Huawei имеет в своём модельном ряду полный спектр оборудования для реализации высокопроизводительного общедоступного Wi-Fi для мест с большой плотностью устройств и жёсткими условиями эксплуатации. Ранее мы рассматривали технологические особенности точек доступа AirEngine для установки внутри помещений (ссылка на статью), а сегодня перед нами топовые устройства для наружной инсталляции: модель AirEngine 8760R-X1 и AirEngine 6760R-51, имеющие расширенный температурный диапазон эксплуатации: от -40 до 65 градусов Цельсия, пылевлагозащитный корпус, соответствующий стандарту IP68 и тройную радиосвязь с селективным режимом работы дополнительного радиомодуля.
В данной статье мы подготовили для вас подробный обзор данной продукции.
Видео обзор можно увидеть здесь https://www.youtube.com/watch?v=VT4AD6kJINQ
AirEngine 8760R-X1
В конструкции Huawei AirEngine 8760R-X1 реализована концепция трёх радиомодулей: одного для частотного диапазона 2.4 ГГц и двух для 5 ГГц. В зависимости от этого, доступны три режима работы устройства:
- 4GHz (8×8:4)+5GHz (8×8:8),
- 4GHz (4×4:4)+5GHz (12×12:8),
- 4GHz (4×4:4)+5GHz (8×8:8)+ режим независимого сканирования радиочастотного диапазона
На каждый радиомодуль можно назначать до 16 SSID, предоставляя различным сервисам индивидуальные сети с собственными параметрами безопасности.
Максимальная пропускная способность AirEngine 8760R-X1 составляет 10.75 Гбит/с «по воздуху», поэтому в конструкции предусмотрено подключение к распределительной сети по 10-гигабитному интерфейсу как через медный PoE++ интерфейс, так и через оптику, для чего на борту имеется SFP+ слот, что особенно актуально при установке устройства на больших открытых площадях, в парках или в исторических зданиях с длинными пролётами. Помимо этого, в интерфейсной группе реализован нисходящий канал 1GE PoE для подключения одного IoT устройства, которым может выступать камера видеонаблюдения.
Следует отметить, что модель AirEngine 8760R-X1 имеет очень большое энергопотребление: 21 Вт в режиме ожидания и до 53 Вт в пике (без учёта подключенного IoT устройства через Downstream-порт). Для питания по PoE на устройство подаётся напряжение 56 В в соответствии со стандартом 802.3bt (PoE++). Источником питания может служить коммутатор или PoE инжектор максимального, 8-го класса мощности, докупаемый к точке доступа. На фото ниже можно оценить его размеры по сравнению с PoE-инжектором для обычной потолочной точки доступа.
Возвращаясь к интерфейсу подключения, хочется отметить, что согласно электротехническим расчётам, в PoE кабеле при пиковых мощностях проходят достаточно большие токи и возникают ощутимые потери — до 20 Вт на 100 метров кабеля 6-й категории. Поэтому при монтаже таких мощных PoE точек доступа применять соединения в кабелях нежелательно, и непосредственно от порта до порта применяется кабель 7-й категории с сечением AWG23 или выше, подключающийся RJ45 разъёмами со стальным корпусом. Для совместимости с такими разъёмами, порт RJ45 на точке доступа имеет усиленный металлический корпус (на фото ниже в центре).
Рассматривая конструкцию антенной группы, хочется обратить внимание, что для формирования радиолуча в вертикальной плоскости применяется каскад печатных излучателей на двух общих платах, позади которых установлен металлический рефлектор волнообразной формы. Между рефлектором и алюминиевой крышкой, закрывающей блок электроники, расположены металлические излучатели в горизонтальной плоскости. Роль фидеров отведена экранированным коаксиальным кабелям с SMA разъёмами, что лишний раз подтверждает, что перед нами продукт высочайшего качества.
Подобная достаточно сложная высокочастотная часть создаёт волну со слабо развитым обратным лепестком в горизонтальной поляризации и ярко выраженным основным лепестком в вертикальной поляризации. Оптимальным местоположением установки, судя по диаграмме, будут углы квадратов или 1/3 длины прямоугольника по центру, на мачте. Показатели усиления сопоставимы с моделями, имеющими внешние антенны: 10 дБи в диапазоне 2.4 ГГц и 11 дБи в дипазоне 5 ГГц. Так же AirEngine 8760R-X1 имеет встроенный модуль Bluetooth 5.0 с низким энергопотреблением, делающий возможными услуги по определению местоположения.
Хочу добавить, что проблема взаимного влияния радиосигналов между устройствами решается на программном уровне в виде технологии Smart Radio. Суть её в возможности согласования между точками доступа работы в диапазоне 2.4 ГГц вплоть до полного отключения радиомодуля или переключения его в диапазон 5 ГГц (в зависимости от модели, алгоритм разный). Так же с помощью мобильного приложения Huawei NCE-Campus, можно находить и идентифицировать посторонние источники радиопомех, мешающие Wi-Fi. Это могут быть и радионяни, работающие в диапазоне 2.4 ГГц, и микроволновые печи и беспроводная периферия. Идентифицировав помеху, можно настроить переключение канала Wi-Fi по расписанию на другой канал или заменить мешающее оборудование.
Что касается физических параметров, то модель AirEngine 8760R-X1 собрана в большом корпусе цилиндрической формы диаметром 165 мм, длиной 387 мм и массой 4 Кг. Корпус закрывается сверху полукруглым колпаком, а снизу цилиндрической юбкой, под которой прячутся не только разъёмы подключения, но и слот для замка Kensington, что актуально при установке устройства в общественном месте. Светодиодная индикация вынесена на боковую панель, а сверху над ней за герметично закручивающимся винтом спрятана кнопка аппаратного сброса.
Модель AirEngine 6760R-51
Устройства серии AirEngine 6760R-51 рассчитаны на самые распространённые сценарии, например, на спортивные площадки или парковки торговых центров, то есть при меньшей нагрузке, но с сохранением флагманского технологического стека, который мы уже рассмотрели выше по тексту.
Точка доступа имеет антенную формулу 4×4:4 для каждого из диапазонов, достигая максимальной пропускной способности 5.95 Гбит/с (1.15 Гбит/с в диапазоне 2.4 ГГц и 4.8 Гбит/с в диапазоне 5 ГГц). Здесь так же реализован третий радиомодуль, работающий или в режиме постоянного сканирования радиочастотного диапазона или на обслуживание клиентов.
Оборудование предоставлено компанией Marvel Узбекистан (www.marvel.ru/uz/):
Marvel –Uzbekistan — широкопрофильный дистрибьютор, поставляющий на рынок Узбекистана широчайший ассортимент продукции ведущих мировых производителей: ноутбуки, ПК, серверы, СХД, телекоммуникационное и периферийное оборудование, мобильные устройства и многое другое.
Благодаря накопленному опыту и высочайшему уровню профессионализма Marvel -Uzbekistan зарекомендовала себя как надежный деловой партнер в следующих стран: Узбекистан, Таджикистан и Туркмения.
На сегодняшний день Marvel Uzbekistan по праву считается одной из самых стабильно развивающихся узбекских компаний.
Для подключения к распределительной сети установлены 5-гигабитный RJ45 PoE++ порт для витой пары, SFP+ слот для 10-гигабитной оптики и 1-гигабитный нисходящий PoE канал, в который можно подключать IP-камеру.
Антенная группа здесь реализована двумя платами, на которых располагаются излучатели, за которыми установлен рефлектор сложной формы. Хочется обратить внимание, что вибраторы вытравлены с обоих сторон стеклотекстолитовой платы, и часть их обращена металлической стороной к рефлектору, что выглядит крайне необычно. Антенна для встроенного модуля Bluetooth не претерпела изменения, да и для подключения к ВЧ-блокам так же используются экранированные коаксиальные кабели с SMA разъёмами. Компании Huawei удалось сохранить характеристики усиления антенн на том же флагманском уровне: 10 дБи для диапазона 2.4 ГГц и 11 дБи для 5 ГГц, но диаграмма направленности стала чуть более выпуклой в горизонтальной поляризации, и практически лишилась обратных лепестков в обоих типах поляризации.
По этой причине модель AirEngine 6760R-51 можно устанавливать на стенах здания, не опасаясь влияния точки доступа на радиосреду внутри сооружений.
Общая потребляемая мощность без учёта дочернего PoE устройства составляет до 35 Вт, и отвод тепла от материнской платы точки доступа производится на массивный радиатор с внутренней стороны и стенки литого корпуса, внутренняя поверхность которого напоминает таковую у «звезды смерти» из Star Wars :).
Встроенное ПО
Сегодня проблема защищённости и безопасности коммерческих и государственных сетей выходит на первый план. Каждое новое приложение, личное устройство или интеграция в бизнес-процессы интернета вещей (IoT) повышает площадь для потенциальной кибератаки. Теперь меняется и сама парадигма защиты: на смену моделям с защитой сетевого периметра приходят сети со встроенной защитой Wi-Fi, и точки доступа Huawei AirEngine имеют в своём арсенале внушительный список технологий, обеспечивающих изоляцию сети.
Изначально точки доступа Huawei AirEngine работают в режиме шлюза, что настоятельно рекомендуется производителем. Подключенные клиенты находятся за NAT и для каждой беспроводной сети можно указать свой диапазон IP-адресов со своим DHCP-сервером, а так же своими политиками фильтрации пакетов и собственными таблицами маршрутизации! Для ограничения IoT устройств и гостевых подключений, реализована изоляция на втором уровне. В интерфейсе есть возможность выставления защиты от Flood, Weak-IV и Spoof индивидуально на каждом радиомодуле, а мониторинг сетевой активности, поможет максимально использовать доступную полосу пропускания, отдавая приоритет операционным приложениям для персонала.
Обеспечение справедливого доступа к полосе реализуется за счёт встроенных в ТД механизмов классификации трафика с использованием L7. Устройство само может различать, использует ли клиент VOIP приложение, просматривает ли трансляции видео потоков, и в зависимости от их значимости, выставляет приоритет для более важных задач.
Вышесказанное справедливо для режима работы Fat, в котором каждая точка доступа настраивается через Web-интерфейс и может сама выступать контроллером для других ТД, работающих в режиме Fit. Для крупномасштабных проектов на тысячи ТД имеет смысл делегировать права управления облачному контроллеру Campus Network Solution, а для средних проектов до 256 хот-спотов у Huawei есть интересный аппаратный контроллер.
Контроллер Huawei AC6508
Контроллер доступа Huawei AC6508 рассчитан на управление 512 точками доступа в случаях, когда важно внедрить единую систему управления беспроводной сетью. Его использование упрощает эксплуатацию беспроводной сети как самовосстанавливающегося организма, в котором вышедшую из строя ТД можно заменить с минимальными потерями области покрытия или вовсе без таковых.
Управление доступом для клиентов, операционных устройств и персонала основано на политиках установки критериев доступа и автоматического подключения устройств.
Huawei AC6508 имеет 10-гигабитные Uplink слоты формата SFP+ и 1-гигабитные нисходящие порты в количестве 10 штук с функцией агрегации каналов и общей пропускной способностью 6 Гбит/с. Встроенная идентификация приложений уровней L4 — L7 даёт администраторам возможность идентифицировать затратный P2P трафик и осуществлять приоритизацию на основе контроля приложений, причём ещё до того, как нежелательный трафик пройдёт от радиоканала в провод.
Для снижения области атаки со стороны глобальной сети, контроллер Huawei AC6508 подключает точки доступа за NAT, присваивая им приватные IP-адреса. При этом, не теряется возможность построения одноранговых Mesh-сетей. За счёт контроллера реализуется технология «настоящего бесшовного роуминга», при которой клиент сначала подключается к новой ТД, и лишь затем отключается от старой.
Но к сожалению, методы проактивной защиты сети, способные с помощью алгоритмов машинного обучения предсказать до 75% вероятных поломок сети, нашли свою реализацию в отдельном программном обеспечении CampusInsight, а в контроллер не включены.
Тестирование
В условиях городской инфраструктуры с плотной многоэтажной застройкой, точки доступа устанавливались на высоте 50 метров, после чего на смартфоне замерялось расстояние, на котором ловит Wi-Fi. Для сравнения в таблицу добавлены точки доступа Huawei AirEngine 8760 Pro с технологией Smart Antenna и Zyxel WAC6553D-E с ненаправленными антеннами.
Наружные точки доступа AirEngine 8760 оказываются вне конкуренции по дальности, и принципиально ничего удивительного в этом нет, учитывая конструкцию антенного блока.
Выводы
Серия Huawei AirEngine обеспечивает функции корпоративного уровня наряду с низкой стоимостью владения (CTO) и эффективностью эксплуатации. Глобальный охват различных сценариев применения здесь соседствует с локальным фокусом для точечных задач, реализуемых как в качестве расширения существующих сетей, так и в виде отдельных проектов.
Говоря о том, что достаточно дорогие флагманские точки доступа снижают стоимость всего проекта, стоит иметь ввиду что локальная настройка NAT, QoS, маршрутизации и политик доступа на ТД позволяет в каких-то сценариях сэкономить на L3 коммутаторах и шлюзах безопасности, а в частных случаях развёртывания в Edge проектах просто подключить хот-спот к сети провайдера без использования отдельного брэндмауэра. В небольших проектах можно использовать режим FAT, превращающий главной ТД контролировать дочерние точки доступа, и масштабировать свою сеть без ограничений, в соответствии с задачами, которые ставит бизнес и общество.