L’une des préoccupations majeures dans les réseaux sans fil concerne l’endroit où la sécurité et la qualité de service sont appliquées.
Dans la plupart des cas, les administrateurs réseau s’appuient sur des contrôleurs pour effectuer ces tâches, non pas parce qu’ils apprécient cette architecture centralisée, mais parce que cela a longtemps été la seule solution disponible pour offrir un niveau de service adéquat.
L’approche distribuée d’Aerohive permettant l’application de ces politiques directement au niveau des HiveAP fournit de bien plus grandes possibilités de routage local du trafic, incluant notamment la notion de meilleur chemin (best path).
Dans un réseau, le meilleur chemin pour accéder à une ressource réseau est le chemin le plus court, avec la plus faible latence.
Avec la technologie Aerohive d’acheminement du trafic par le meilleur chemin, chaque HiveAP coopère avec ses voisins pour calculer les différents chemins entre eux-mêmes, les clients et le réseau filaire et finalement choisir le plus optimal (de manière dynamique).
Parce que chaque HiveAP décide de l’acheminement des paquets et du routage en fonction des informations qu’il reçoit et apprend de ses voisins, il dispose de la possibilité de transférer localement le trafic des clients via le réseau filaire ou l’une de ses radios.
Contrairement à certaines solutions qui permettent à certains types de trafic d’être traités localement par le point d’accès, le reste du trafic étant géré au niveau central par un contrôleur, la solution 100%
distribuée d’Aerohive n’impose aucun compromis en matière de sécurité, de supervision et de performance. Le trafic est systématiquement et intégralement traité localement par le HiveAP, quelque soit la localisation de celui-ci (en central ou sur un site distant) et quelque soit le type de trafic.
Réseau maillé sans fil (mesh)
En utilisant les protocoles de contrôle coopératif s’exécutant sur des connexions radios ou filaires, les HiveAP voisins et membre d’une même ruche (hive) peuvent établir entre eux des connexions et construire ainsi un réseau maillé sans fil (mesh network).
Puisque les points d’accès HiveAP sont équipés de deux radios, l’une supportant le standard IEEE 802.11b/g et l’autre IEEE 802.11a, il est possible d’utiliser l’une de ses deux radios pour l’accès des clients sans fil (mode access) et l’autre radio pour les communications entre les HiveAP et la mise en œuvre de ce réseau maillé (mode backhaul).
Le maillage sans fil est une solution particulièrement intéressante dans les environnements où il est difficile d’installer des câbles pour des questions d’hygiène (ex. : hôpitaux), de coûts ou de faisabilité.
C’est aussi une solution facile à mettre en œuvre répondant aux besoins de rapidité de déploiement pour des environnements type conférences ou en secours dans le cas d’un sinistre informatique et réseau.
Cette capacité de maillage par la radio fournit également un niveau de résilience élevé aux HiveAP et une solution de connectivité de secours en cas d’incident sur le réseau filaire. Un HiveAP peut alors automatiquement basculer ses routes vers la radio et le réseau maillé pour éviter une panne survenue sur le réseau Ethernet filaire (ex. : défaillance d’un commutateur d’accès, câble déconnecté).
La seule contrainte dans la mise en œuvre de ce réseau maillé est l’alimentation électrique du HiveAP. Il y en général deux scénarios possibles :
1. Le HiveAP est alimenté en électricité via le port Ethernet câblé (Power Other Ethernet). Dans ce cas, il n’utilise pas la radio comme route préférée puisqu’il est directement connecté au réseau par un câble Ethernet. La radio peut cependant être utilisée pour communiquer avec des HiveAP qui ne disposent pas d’accès filaire.
2. Le HiveAP est alimenté en électricité par un câble électrique standard. Dans ce cas, l’interface Ethernet filaire (si elle est connectée) et la radio peuvent être utilisés pour établir le maillage et assurer le routage du trafic vers le réseau via d’autres HiveAP ou des commutateurs filaires.
Lorsque des HiveAP sont disposés dans une même ruche, ils construisent automatiquement entre eux le réseau maillé via des connexions filaires et radios afin de fournir une couverture maximale et qui peut aller au-delà de la capacité d’un câble Ethernet standard (100m pour une paire torsadée).
Sur le réseau maillé sans fil, les protocoles de contrôle coopératif Aerohive sont utilisés pour déterminer le meilleur chemin, assurer la mobilité des clients de manière sécurisée et transparente, la sélection optimale des canaux et fréquences radios pour les connexions sans fil et la haute-disponibilité par re-routage/réacheminement dynamique du trafic en cas d’incident.
Puisque ces protocoles ont été conçus pour permettre l’extension de l’infrastructure et supporter un grand nombre de réseaux maillés sans fil, ils limitent le volume et la taille des messages diffusés sur le réseau – messages de contrôle, tables de routage, distribution du contenu du cache pour les utilisateurs mobiles – et évitent ainsi la surcharge dudit réseau.
Ceci, en association avec les règles de QoS, la prévention des dénis de service, la politique de firewall, appliquées au niveau des HiveAP, évite de charger le réseau local (sans fil et filaire) inutilement et augmente les performances. Ce n’est pas le cas dans une approche centralisée à base de contrôleur où il arrive fréquemment (voire systématiquement dans certains cas) que l’ensemble du trafic soit renvoyé vers le contrôleur, chargeant considérablement le réseau, surtout avec l’augmentation des débits de la norme 802.11.
Routage dynamique de niveau 2 et sélection du meilleur chemin
Afin d’assurer la sélection du meilleur chemin pour le routage du trafic, les HiveAP utilisent le protocole AMRP (Aerohive Mobility Routing Protocol).
Grâce à AMRP, les HiveAP coopèrent conjointement pour déterminer le meilleur chemin au travers du réseau maillé sans fil et ont la possibilité de transférer localement le trafic en utilisant ce chemin optimal. Il s’agit là d’une amélioration significative par rapport aux architectures WLAN centralisées à base de contrôleurs, qui réalisent la plupart du temps les fonctions de contrôle et de transmission des données au niveau du dispositif central.
Afin de déterminer le meilleur chemin au travers du réseau, les HiveAP exécutent le protocole AMRP à la fois sur leurs connexions maillées filaires et sans fil. Ceci permet aux algorithmes de routage de déterminer le meilleur chemin en se basant sur plusieurs métriques incluant : le coût, la bande passante, le nombre de sauts et le niveau des interférences.
Figure 41 : HiveAP au sein d’un réseau maillé sans fil
Si une liaison montante filaire ou sans fil connait un problème, ou des interférences affectent les performances radios, une meilleure route est alors choisie, annoncée et propagée au travers du réseau sans fil. Ceci permet aux HiveAP de dynamiquement sélectionner le meilleur chemin à un instant donné pour réacheminer de manière transparente le trafic des utilisateurs via la route la plus performante sur le réseau.
Enfin, et ce afin de permettre le déploiement et le support de réseaux sans fil à grande échelle, tels que des installations de grandes entreprises ou de campus hospitaliers ou universitaires, AMRP a été conçu pour limiter les messages de contrôle et les informations de routage au sein de blocs. Ceci permet de limiter la taille des tables de routage échangées par les HiveAP et maintenues localement sur chacun d’entre eux. Cela permet également de limiter le trafic de contrôle diffusé sur le réseau maillé sans fil.
Le diagramme ci-après présente les différences majeures entre l’approche centralisée mise en œuvre par la plupart des solutions à base de contrôleurs et l’architecture à contrôle coopératif proposée par Aerohive et optimisant le routage du trafic sur le réseau.
Figure 42 : Acheminement centralisé des données versus distribué
Avec l’architecture de contrôle et de routage centralisé, tout le trafic provenant du réseau sans fil est dirigé vers un contrôleur central dédié, qui peut se situer à plusieurs sauts à l’intérieur du réseau voire même à un emplacement géographique différent.
L’utilisation d’un chemin indirect et les allers-retours entre les points d’accès et les contrôleurs introduisent une latence additionnelle (le délai de transit du trafic) et de la gigue (la variation de délai de transit du trafic), avec une incidence néfaste sur les performances du réseau sans fil et la qualité de la voix. Ceci est particulièrement vrai si le chemin menant au contrôleur ou si le contrôleur lui-même est surchargé.
A contrario, l’architecture à base de contrôle coopératif d’Aerohive reposant sur le protocole AMRP permet le routage par le meilleur chemin entre les différents équipements sur le réseau filaire ou sur le réseau maillé sans fil, évitant toute latence ou gigue additionnelle lorsque le trafic est acheminé entre les équipements réseau. Ceci est essentiel pour atteindre un niveau de performance et de qualité sur le trafic voix notamment.
La sécurité dans l’acheminement du trafic
L’architecture distribuée Aerohive permet l’application de la sécurité au niveau du point d’accès HiveAP. Qu’il s’agisse d’authentification, de chiffrement, de protection contre les tentatives de déni de service, de contrôle d’accès,… la sécurité est mise en œuvre avant même que la décision de routage du trafic ne soit appliquée et que celui-ci soit envoyé sur le réseau.
Une fois le trafic envoyé sur le réseau filaire, les solutions existantes de sécurité peuvent inspecter et sécuriser ledit trafic comme s’il s’agissait d’un trafic réseau filaire classique : firewall, antivirus réseau, sonde de détection d’intrusion, solution de contrôle d’admission, etc.
L’approche Aerohive permet donc une réutilisation maximale de l’infrastructure réseau existante.
Les solutions à base de contrôleurs sont en totale opposition avec la solution Aerohive : l’utilisation d’un contrôleur central nécessite le renvoi de tout ou partie du trafic des points d’accès vers le contrôleur dans un tunnel chiffré opaque, impossible à inspecter par les équipements réseau existant.
Ces solutions entrainent souvent la mise en œuvre de solutions additionnelles de sécurité, ou la redirection du trafic sortant du contrôleur vers les équipements de sécurité existants, ce qui complique alors encore plus l’architecture réseau. Ce n’est donc pas une approche viable en termes d’évolutivité et de réutilisation de l’infrastructure existante.
L’évolutivité du système de routage
Les performances évoluent de manière linéaire avec l’augmentation du nombre de HiveAP.
Chaque HiveAP prenant lui-même les décisions de routage le concernant et transmettant les données par le meilleur chemin disponible, l’extension du réseau sans fil distribuer se fait sans remise en cause de l’existant. En l’absence de contrôleur central prenant les décisions de routage et constituant un goulet d’étranglement, l’architecture Aerohive permet de tirer le meilleur parti de l’infrastructure réseau filaire existante et de l’étendre au sans fil.
Ceci est d’autant plus important que l’arrivée de la norme IEEE 802.11n va drastiquement augmenter les performances des réseaux sans fil par un facteur 10.