15 Декабря 2017
Wi-Fi на складе, или не все так просто, как кажется
В данной статье мы расскажем вам о тех нюансах, с которыми мы как интегратор сталкивались при оснащении складов и производственных территорий беспроводными сетями.
 
складской комплекс

Сегодня работа склада без Wi-Fi покрытия просто немыслима – беспроводные терминалы сбора данных позволяют осуществлять процессы инвентаризации и учета потока товаров в любом месте, а также обеспечивать мобильность касс, весов, чекеров, принтеров, информационных пунктов (в т.ч. видео), рабочих мест. В качестве бонуса можно получить транспорт для голосовых сервисов и работы систем геопозиционирования.

Терминал сбора данных

Почему данный вопрос особенно актуален? Удивительно, но 50% наших проектов по оснащению Wi-Fi территорий складов - это модернизация существующих Wi-Fi сетей. Дело в том, что очень многие допускают ошибки на этапе проектирования Wi-Fi сети, которые впоследствии приходится исправлять. А это затраты на дополнительное оборудование, перемещение, а то и замену существующего решения, а это время, деньги и простои в работе.

Далее мы расскажем, какие ошибки могут возникнуть на этапе планирования Wi-Fi сети, как их избежать и спроектировать всё качественно с первого раза.

Ошибка №1.
Многие подходят к планированию сети на складах, пользуясь опытом размещения точек доступа Wi-Fi в офисах, поэтому берут расчет на дальность действия точки в виде окружности в 17-25м. А так делать нельзя! Классическая ошибка – при планировании не учитывается диаграмма направленности точки доступа, высота её подвеса, высота стеллажей и тип хранимого товара.

Что такое «диаграмма направленности»? Если вы не знакомы с данным термином, то проще всего будет представить принцип излучения сигнала точки доступа Wi-Fi с принципом действия рупора.

Рупор

Диаграмма направленности определяет, в каком направлении антенна будет излучать больше, концентрируя энергию, а также лучше принимать ответ. По аналогии с рупором: говорим – нас лучше слышат, приставили к уху – лучше слышим мы. Однако следует понимать, что это работает только для той стороны, куда направлен рупор, с других сторон слышимость сразу ухудшается.

Например, диаграмма направленности очень популярной в enterprise сегменте точки доступа офисного типа Cisco AP1702I в диапазоне 2,4GHz выглядит вот так:

диаграмма направленности

Это означает то, что в горизонтальной плоскости точка доступа «светит» почти одинаково во все стороны. А вот в вертикальной – основная излучаемая энергия исходит по бокам. Т.е. точка доступа замечательно справляется со своей задачей по покрытию заданного радиуса в офисе при монтаже её к потолку.

А вот на складе при высоте подвеса в 18 метров и больше и высокими стеллажами с радиопоглощающим товаром легко может получиться такая картина:

низкий уровень сигнала

Выходит, что точка доступа замечательно «засветит» пространство над стеллажами, но, находясь прямо под ней, можно получить низкий уровень сигнала, не говоря уже о том, что на соседние проходы сигнал вообще не будет распространяться! Следовательно, делаем вывод, что не все точки доступа одинаково полезны и применимы.

Так же очень часто мы видим такую картину:

блокирование сигнала
В данном случае точка доступа размещена прямо над стеллажом. Если он высокий, то товар на нем может полностью заблокировать сигнал от неё. Обычно это происходит, когда планировка и строительство беспроводной сети производится до получения планов размещения стеллажей, чего делать, конечно же, категорически не рекомендуется. Поэтому для лучшего покрытия размещать точки доступа следует над проходами.

На каких же точках доступа лучше всего планировать склады? К сожалению, тут нет единого решения, поскольку очень много всего будет зависеть от различных факторов: от конфигурации помещений, материалов, высоты стеллажей, конфигурации балок/потолочных перекрытий, возможных мест размещения точек доступа и многого другого. Поэтому правильным решением будет создать индивидуальный проект конкретно под ваше помещение. Если собственных специалистов нет, доверьтесь компаниям, предоставляющих профессиональные услуги по планированию Wi-Fi сети. Обычно в цену вопроса от 100.000 руб. будет входить теоретическое планирование с помощью профессионального ПО (по типу Ekahau или Airmagnet Site Survey), а также выезд и произведение замеров в конкретно вашем помещении. Специалист на месте с помощью телескопической мачты разместит выбранный тип точек доступа на соответствующей высоте и проверит на практике точность планировки. Профессиональное ПО стоит от 10.000$, поэтому зачастую целесообразнее оплатить работы один раз, чем приобретать технические средства для самостоятельного проектирования.

Если же по каким-то причинам пользоваться профессиональными услугами вы не хотите, то вполне себе надежными и универсальными решениями по покрытию «длинных» проходов между стеллажами будут являться точки с узконаправленными антеннами, закрепленными на стену в начале прохода. Таким образом, без проблем можно покрывать проход между стеллажами на расстояние от 100 м и более, а главное не беспокоиться за сохранность точек доступа (на практике мы имеем очень много случаев повреждения точек доступа и антенн, расположенных в зоне стеллажей при работе с товарами). За счет направленных антенн требуется меньшее количество точек доступа для покрытия территории, и они оказывают меньше влияния друг на друга, что положительно сказывается на стабильности работы с Wi-Fi сетью.

7

Например, наиболее интересным предложением по цене и качеству из таких решений, опять же из enterprise сектора, будут точки доступа Ruckus T301n. Они легкие, компактные, свободно монтируются, в outdoor исполнении (т.е. можно не отвлекаться на температурный режим и запыленность склада). Плюс ко всему, они стоят 2k$ (GPL) за точку, что, вполне себе, неплохо по цене за outdoor точку с направленной антенной для enterprise сегмента. На практике мы такими точками замечательно оснащали протяженные (до 150 м) производственные участки и проходы между стеллажами.
Cisco 1852E

Cisco 1852E
Также интересным решением по цене может быть точка доступа с внешними антеннами по типу Cisco 1852E (1,1k$ GPL), плюс направленная 3rd party панельная антенна по типу 2-х диапазонной Interline 4x4 MIMO IP-G10-F2458-HV-M. А для совсем бюджетных решений всегда есть широкий выбор беспроводной продукции у MikroTik.

Ошибка №2.
Планирование сети на низкий уровень сигнала. Многие заказчики не предъявляют высоких требований к уровню сигнала Wi-Fi на складах, мотивируя это тем, что им не нужны высокие скорости для работы ТСД. Однако этим они делают себя заложниками очень щекотливой ситуации, связанной с особенностями работы Wi-Fi в дальней зоне.
Здесь для объяснения ситуации придется немного углубиться в технику. Действительно, принимаемый уровень сигнала определяет выбор модуляции и, тем самым, скорость подключения к сети. Посмотрите таблицу чувствительности приемника для диапазона 2,4GHz 802.11n тех же самых точек доступа Cisco 1702i.
таблица чувствительности
Казалось бы, при уровне сигнала -75dBm должна обеспечиваться максимальная скорость подключения клиента к точке доступа. Но следует учитывать, что уровень Wi-Fi сигнала может падать в десятки раз при перемещении адаптера из-за многолучевого распространения. Поэтому, на самом деле, самая распространённая причина скачков уровня сигнала – это затенение адаптера препятствием (выход за коробку, предмет мебели или заграждение своим телом), что может легко вызвать падение уровня сигнала на 10dB.
 
Вы можете легко это проверить: если вы поставите себе на телефон простенькое приложение по типу «Wi-Fi Analyser», то сможете увидеть, как сам собой скачет уровень принимаемого сигнала от вашего домашнего роутера. Потом попробуйте встать на пути между вашим телефоном и роутером или положить на роутер книгу, можете плотно взять телефон двумя руками в его верхней части: как только принимаемый уровень сигнала начнет падать, клиентский адаптер не только будет пытаться переключиться на более низкую скорость, но и запустит процесс активного роуминга, а именно - будет скакать по частотам, искать соседние точки доступа с более высоким уровнем сигнала и пытаться к ним присоединиться. На практике это вызовет реальные задержки, вполне себе видимые и ощущаемые пользователем в процессе работы клиентских приложений.

Но это цветочки. Есть еще такой нюанс: как известно, Wi-Fi работает в режиме полудуплекса, т.е. единовременно он или передает, или принимает информацию только от одного клиента. Нюанс проявляется в том, что точка доступа по умолчанию не делает различий между клиентами, работающими с высокими и низкими скоростями: в равных конкурентных условиях за доступ к сети за один и тот же промежуток времени клиент, подключенный на высокой скорости передаст столько же данных, сколько клиент, подключенный с низкой скоростью.

Наглядно получится такая картина: допустим, есть 2 клиента, работающих в 802.11n в диапазоне 2,4GHz. Один подключен с максимальной скоростью в 150Мбит/с, а второй – с минимальной в 6Мбит/с
передача сигнала
Для простоты восприятия будем считать по скорости модуляции, т.к. реальные скорости Wi-Fi ниже из-за времени состязания за доступ к среде, защитных интервалов, работы служебных протоколов и т.д. Представим, что первый клиент будет передавать 1 Мбайт информации за 50 мс, а второй – за 1500 мс. Но есть нюанс: все то время, пока клиент с низкой скоростью подключения будет передавать свои данные, клиент с высокой будет простаивать.
передача сигнала
Составив несложную математическую пропорцию, можно убедиться, что фактически в условиях одинаковой активности клиент с высокой скоростью передачи данных получит не 150 Мбит/с, а в 30 раз меньше - 5Мбит/с скорости.

передача сигнала

Реальная картина еще печальнее теоретической. Клиентов в дальней зоне может быть несколько. Клиенты могут находиться в дальней зоне по разные стороны точки доступа. В этом случае они могут «не слышать» начало передачи данных от другого клиента и начать пытаться передавать свои, тем самых создавая активную помеху.
14
Несколько спасти ситуацию может занижение значений RTS threshold / Fragmentation threshold, но данные меры еще больше сократят доступную для передачи полосу за счет фрагментации пакетов и возросшего служебного трафика на RTS/CTS механизм.

В нашей практике были частные случаи, когда всего 5 «вроде как» нетребовательных к полосе ТСД, находясь в дальней зоне одной точки доступа на теоретически приемлемом уровне в -75 -80dBm создавали задержки в сети по 1-2 секунды, что приводило к чрезвычайно нестабильной работе с приложением.

Поэтому:
15
Кстати, стандарт 802.11ac Wave2 частично решает эту проблему, но в складской тематике он нам пока не помощник (клиентских устройств с его поддержкой нет). Единственным адекватным способом избавиться от такой ситуации будет проектирование Wi-Fi сети изначально на высокий уровень сигнала. Что, конечно же, влечет за собой затраты на установку большего числа точек доступа Wi-Fi.

Современные решения также позволяют произвести настройку Wi-Fi сети, чтобы автоматически деассоциировать клиентов с низким уровнем сигнала по заданному пороговому значению. Но чтобы клиенту было куда деваться – сеть должна обеспечивать высокий уровень сигнала везде!

Какой же уровень сигнала является высоким?
Мнение профессионального сообщества таково: Wi-Fi сеть должна проектироваться на -67dBm (например, см. Cisco Enterprise Mobility Design Guide). В принципе, соглашусь с этой цифрой, но при этом еще уточню, что это справедливо вне зависимости от нагрузки на Wi-Fi сеть. Конечно, в частных случаях, когда нагрузка на сеть действительно будет мала и не планируется вообще никакого масштабирования, требования могут быть снижены.

Ошибка №3.
Попытки «сжульничать» с уровнем сигнала.
Довольно распространенное явление, уже переделывали пару таких объектов. Приобретается точка доступа с завышенной мощностью излучателя, которая с учетом направленных антенн может легко «засвечивать» территории высоким уровнем сигнала радиусом в 200м. Но при этом совершенно игнорируется тот факт, что клиентское устройство продолжает работать на мощности 50 мв, и никакими способами «услышать» его точка доступа не может.
16
В итоге клиентское устройство имеет полную шкалу сигнала, но приложения при этом не работают.
Следует понимать, что точки доступа с завышенными мощностями применяются в двух частных случаях: первые – это организация мостов, вторые – это Metropolitan Access, т.е. организация покрытия в городе или других внешних площадках, где Wi-Fi клиентами так же являются специализированные, зачастую стационарные, устройства с завышенной мощностью передатчика и направленной антенной.

Ошибка №4.
Планирование только по уровню сигнала, исключая частотное планирование.
Дело в том, что при частотном планировании вступает в силу еще одна характеристика – это отношение сигнал/шум, SNR (signal-to-noise ratio). Он определяет, насколько уровень сигнала от рабочей точки доступа выше всех возможных шумов, помех (интерференции) от соседних своих и чужих точек доступа, а также клиентских устройств. Следует понимать, что чем больше у вас нагрузка на сеть, т.е. чем больше Wi-Fi устройств и чем они активнее, тем больше они накладывают помехи на соседние точки доступа, работающие на тех же каналах, что и устройства.

Обычно при проектировании устанавливаются требования к значению SNR не менее 20dB (где-то даже 25dB). Эта цифра аргументируется определенным в IEEE стандарте параметрами чувствительности приемника, когда приемлемые уровни PER/BER (packet error rate/bit error rate) достигаются при отношении сигнал/шум в 10dB (и 10dB берется «про запас» как раз на случай скачков уровня сигнала/шума/интерференции).
Чем может навредить низкое отношение сигнал/шум? В первую очередь, это возникновение ошибок на приемнике, что будет вызывать переповторы в передаче данных, а это существенные задержки в работе приложений в Wi-Fi сети для всех подключенных к ней клиентов (см. выше про полудуплексную природу Wi-Fi сети) вплоть до её полной неработоспособности.

Для примера рассмотрим ситуацию, когда точки доступа в диапазоне 2,4GHz были настроены на один рабочий канал (очень даже реальная ситуация, особенно при отсутствии контроллера беспроводной сети). Сторонние сети и помехи отсутствуют. При симуляции нагрузки в Wi-Fi сети от 10% (это либо достаточно высокая активность, либо большое количество клиентов) точки доступа и клиенты уже начинают активно создавать помехи соседям, что проявляется в уровне SNR менее 25dB (видны серым на рисунке).

17

В реальности картина будет выглядеть еще хуже. Но правильная расстановка частот решает проблему:

18

Но при увеличении нагрузки на сеть (симулировано 20%) мы опять можем наблюдать серые зоны:

19

Что же делать? Проблема заключается в том, что в диапазоне 2,4GHz сохранить высокий уровень сигнала и обеспечить отсутствие интерференции очень проблематично, т.к. непересекающихся рабочих частот в данном диапазоне всего 3.

Одним из способов является уменьшение мощности передатчика точки доступа. Однако при этом мы уменьшаем и зону её действия, что выливается в необходимости установки большего количества оборудования на объекте.

Самым эффективным способом устранения подобных проблем является переход в частотный диапазон 5GHz, в котором в РФ разрешено использовать 24 непересекающихся канала. Соответственно картина при тех же нагрузочных параметрах на частоте в 5GHz будет выглядеть совершенно по-другому:

20
К сожалению, использование 5GHz диапазона в Wi-Fi имеет свои нюансы:
  • во-первых, имеется достаточно большое количество старого клиентского оборудования, которое работает только в диапазоне частот 2,4GHz (особенно актуально для складов, т.к. большинство таких клиентов – это старые ТСД)
  • во-вторых, сигнал на частоте 5GHz распространяется хуже (это связано с большим значением рассеивания энергии в пространстве или препятствиях для данной частоты, т.е. нагрев получается выше), чем в диапазоне 2,4GHz. Поэтому при планировании сети на диапазон 5GHz следует учитывать, что точек доступа потребуется примерно на 30% больше (для частных случаев и на все 100%). Например, если сделать симуляцию распространения сигнала в толпе людей, то эффективная дальность действия Wi-Fi (на уровень -67dBm) в разных диапазонах будет отличаться в 2 раза. В реальности получим схожие цифры

21

На практике в типовых инсталляциях в свободных помещениях эффективный радиус работы в диапазоне 2,4GHz обычно составляет около 25м, для 5GHz – 17м.

Какие выводы следует сделать?
  • производите частотное планирование радиосети, по возможности разрабатывайте статический план частот, либо используйте беспроводной контроллер Wi-Fi сети для их автоматического выбора.
  • при проектировании Wi-Fi сети закладывайтесь сразу на диапазон частот 5GHz, это сильно может помочь при масштабировании сети. Например, в будущем на вашем складе можно будет без проблем организовать голосовые сервисы, оперативно повесить куда-нибудь Wi-Fi видеокамеру или организовать требовательное к полосе пропускания удаленное рабочее место.
Немного про безопасность
Здесь мы не будем рассказывать про особенности методов авторизации, т.к. про них и так немало статей, а напишем про реалии.
Самая часто наблюдаемая нами в процессах радиообследований угроза выглядит так:
сотрудник
В руках у нашего коллеги – мобильная точка доступа, которую он без проблем может подключить прямо к проводной корпоративной сети. При этом ввиду её малых габаритов визуально её заметить не всегда возможно.
Зачем он это делает? Причин может быть несколько:

  • он хочет доступ в корпоративную сеть с мобильного устройства;
  • корпоративной Wi-Fi сети нет, либо она имеет ограничения, либо плохо «ловит» с рабочего места;
  • у него злой умысел;
  • у него не хватает розетки на рабочем месте, чтобы подключить ноутбук.
В любом случае, мы в каждом втором обследовании находим пару домашних Wi-Fi роутеров, принесенных сотрудниками и подключенных к корпоративной сети. Расписывать возможные последствия данных действий, думаю, не требуется, т.к. вы сами себе можете их наглядно представить (черной-черной ночью, на черной-черной машине, бывший сотрудник подъезжает к зданию, и, не выходя из машины, с помощью ноутбука с Wi-Fi адаптером с направленной антенной получает доступ к вашей сети «изнутри»).

Бороться с данной угрозой можно. Поможет фильтрация по MAC на портах коммутаторов, авторизация по 802.1x или прочие NAC решения. Опять же, определить несанкционированные устройства можно в процессе радиоразведки.
Современные Wi-Fi решения (особенно с WIPS – wireless intrusion prevention system) могут автоматически определить такую угрозу, увидев broadcast фрейм одновременно со стороны беспроводной и проводной сети, учитывая то, что он не прошел через корпоративные точки доступа.

Что же с авторизацией и контролем доступа к Wi-Fi сети?

PSK – небезопасно из-за общего ключа.

EAP методы (MSCHAP/TLS - логин/пароль/сертификаты) создают существенную административную нагрузку, да и, на самом деле, методы не такие безопасные, как кажется.
Особенно радует новость про KRACK https://habrahabr.ru/company/pentestit/blog/340182/, что подтверждает предыдущий тезис о небезопасности Wi-Fi сети в целом.
Поэтому, как минимум, рекомендую при планировании создавать целевые сегменты сетей с четким соответствием SSID – VLAN – сервис, например, свой SSID для ТСД с доступом только к серверу приложений, свой SSID для VoIP и т.д.
Довольно интересным архитектурным решением для организации доступа сотрудников к корпоративной Wi-Fi сети будет следующее: использовать стандартный способ подключения по общему ключу (WPA2/PSK), а далее пользоваться корпоративным VPN клиентом (например, Cisco Anyconnect VPN). Т.е. Wi-Fi клиента считать таким же недоверенным, как и любого другого, подключенного через публичные сети. Данное действие не только снизит административную нагрузку, но и обеспечит единую точку входа и контроля, а также высокие характеристики безопасности сети.

P.S. Все изображения созданы с помощью ПО Ekahau Site Survey Pro.

Если у Вас есть вопросы к автору статьи – обращайтесь m.lyb@lwcom.ru