Безжичната дилема

Решавате, че вече е крайно време да се сдобиете с безжична мрежа. Какво обаче да внедрите - комутатор или обикновен WLAN шлюз? Нищо не изкушава мрежовите администратори толкова много, колкото перспективата да разгърнат голяма безжична LAN. Единственото голямо притеснение остава сигурността. Истината е, че незрелите стандарти за WLAN сигурност принудиха много ИТ директори да подходят предпазливо към технологията, разчитайки да "заключат въздуха" с VPN. Но може би по-смущаващ се оказа фактът, че за да разгърнеш обширна безжична мрежа и да конфигурираш многобройните точки за достъп (AP), трябва да разполагаш с висококвалифициран радиоинженер, който да изчисли оптималното разположение, интерференцията и "скритите" места (радиосянката). Тези препятствия накара много ИТ директори да се отдръпнат от безжичния вариант, въпреки че някои по-"луди" потребители взеха нещата в свои ръце и инсталираха опасно незащитени AP. Напоследък тези конвенционални обяснения вече не важат. На пазара излязоха много WLAN шлюзове и комутатори, което не попречи на ИТ мениджърите да изтъкнат друга пречка - твърде богат избор за решаване на WLAN сигурността и на радиочестотните проблеми. Първата крачка дойде от разработчиците на шлюзове (като ReefEdgem BlueSocket и Vernier), които се фокусираха предимно върху сигурността. По-късно се появиха и WLAN комутатори с автоматизирано RF управление. Това позволи на ИТ потребителите да поддържат AP като група от една централна точка, улеснявайки значително настройките и реконфигурирането. Нативните WiFi защитни протоколи днес са достатъчно ефективни да се използват в реалния свят. ИТ отделите сега са изправени пред предизвикателството да избират сред огромно море от нови устройства, повечето произведени от непознати компании, въпреки че еволюцията на безжичната технология изглежда ясна, а съвместимостта между отделните хардуерни компании се подобрява непрекъснато. Освен това всеки производител твърди, че неговият начин е най-правилният. "Хората се втурват в тази религиозна война, но истината е, че няма метод, който да пасне на всички ситуациии, казва Майк Дисабато, анализатор от Burton Group. - Дизайнът на съществуващите WLAN, желаното покритие на безжичната мрежа, автентифициращите механизми и интеграционните възможности, всичко това влияе значително при избора на технология за дадена безжична мрежа." Шлюз или комутатор? Това е едно от първите решения, които трябва да вземат ИТ директорите. Компаниите, които вече са инсталирали няколко AP и нямат желание да ги заменят, може да се ориентират към шлюзовете, тъй като работят с всяка точка за достъп. Те обаче се фокусират върху управлението на сигурността и потребителските профили, но не управляват самата безжична локална мрежа. Услуги като засичане на нелегални AP или планиране на разположението на AP обикновено се добавят с помощта на решения на други производители. "Според нас е важно клиентите да вземат технологията от някой, който има всички части, а не да се прави на системен интегратор, смята разработчикът на WLAN комутатори в Trapeze Networks. Според Burton Group повечето подобни компании добавят към устройствата си откриване на "чужди" AP и средства за централизирано конфигуриране на точки за достъп, тъй като в стандарта 802.11 тези функции са пропуснати. По този начин проблемите се решават индивидуално от всеки, което води до класическата "затворена" частна схема. Една от ключовите възможности за RF управление, вградена в много от WLAN комутаторите, е функцията, позволяваща на предприятията да спестят времеемкото проучване, с което да определят най-добрите места за инсталиране на AP. Потребителите просто качват чертежите на етажните планове в приложение, което определя къде да се разположат точките за достъп. След като те се инсталират, WLAN комутаторът автоматично конфигурира настройките на канала и нивата на излъчваща мощност, така че AP да не интерферират помежду си. За да реализират това, WLAN комутаторите трябва да "знаят" как работят точките за достъп. Стандартът 802.11 дефинира как се извличат пакетите с данни от радиовълните и как се изпращат те по мрежата. Но стандартът не дава указания как да се пращат контролни данни по посока на източника (от потребителя към AP), което прави автоматичното конфигуриране на 802.11 базираните АР, напр. QoS или настройки на радиомощността, невъзможно. Това дава поле за изява на разработчиците на AP, но означава частни затворени протоколи. Голяма група производители на безжични комутатори все пак се обедини около 1 проект за стандарт, наречен LWAPP (Lightweight Access Point Protocol), който бе предложен на IETF. LWAPP трябва да дефинира протокола за комуникационен канал между WLAN комутатор и AP. Подобен стандарт ще позволи на потребителите да смесват WLAN комутатори и точки за достъп на различни компании. Най-голямото препятствие пред LWAPP обаче е Cisco, която има собствена схема за RF управление, наречена Structured WirelessAware Network Framework. Хибридите настъпват L3 комутаторите може да изглеждат като естествен избор за мащабни мрежи, но те също имат някои недостатъци. Layer 3 WLAN може да се окажат по-незащитени, тъй като AP трябва да включат IP стек и SNMP възможности, за да се маршрутизират данните през IP мрежа и да се управляват самите AP. Ако в радиото няма TCP/IP стек, няма как да хакнеш комутатора, в случая L2. Друг потенциален проблем за L3 е производителността. "Така се добавя закъснение", заявява Филип Куан, продуктов мениджър във Foundry. Това е така, тъй като целият трафик, пътуващ от и към AP в отдалечените офиси, трябва да се тунелира обратно до устройството в главния офис. Trapeze напр. заявяват, че следващата версия на техния комутатор ще позволява централизирано отдалечено управление на AP през TCP/IP в L3, но нормалният трафик ще минава по L2. Extreme Networks пусна през септември нов комутатор, който поддържа кабелен Ethernet или WLAN на всеки порт. Foundry Networks ще представят през декември софтуер, който ще помогне на администраторите да направят комутаторите "разпознаващи" безжична мрежа на база порт. Първото поколение решение на Foundry ще представлява голямо AP устройство, което се контролира централно от софтуер, като от компанията твърдят, че има управляващ протокол, който се пренася през рутирани мрежи. Така че, независимо че AP ще работи в L2, този протокол ще позволи на ИТ директора да контролира централно някои функции на точката за достъп. Регулярният трафик се рутира локално през местен L2 комутатор. Cisco дава възможност на потребителя да определи къде в мрежата да използва интелигентността, така че да настрои продуктите според свои специфични нужди. В момента управлението на безжичния домейн (Cisco Wireless Domain Manager), което поддържа автентификацията, е заредено в AP. Това означава, че в отдалечените офиси потребителската автентификация става на локално ниво, вместо да се изпраща обратно до централния офис, за да бъде оторизиран централно. С времето всяко решение ще намери своето приложение. L2 продуктите са подходящи тогава, когато се опитвате да направите инсталация на летище и да реализирате RF управление в среда с достатъчно силни радиосигнали, където централният контролер комуникира с всички точки за достъп, обяснява Дисабато. Но ако имате система, която поддържа усложнени AP или може да рутира през WAN, е по-добре да се внедри отдалечено управление. Защита на мрежата Независимо какъв хардуер ще избере предприятието, веднага ще попадне насред горещия днес дебат за сигурността : дали да се ползва или не VPN, за да се защити безжичната мрежа. В момента преобладават про-VPN мненията. Но някои смятат, че клиентите се хвърлят към VPN технологията по погрешни причини. "Според нас IPSec се намира на върха на модата и това кара мениджърите да се чувстват по-удобно", казват от Trapeze. Междувременно в стандарта 802.11 бяха добавени редица защитни допълнения, които обещават високо ниво на сигурност, съизмеримо с нуждите на WLAN. Днес трябва да започне да се проучва сигурността, базирана на новите протоколи. VPN е ясен, но през следващите 6 до 12 месеца доминираща роля ще има WPA достъпът (WiFi Protected Access), твърди вицепрезидентът на Legra Systems. Като част от проектостандарта 802.11I, който се очаква да бъде финализиран до края на тази година, WPA включва TKIP (Temporal Key Integrity Protocol) криптиране. То осигурява значително подобрение на WEP (Wired Equivalent Privacy). Той включва също 802.1x автентификация, използваща EAP (Extensible Authentication Protocol) за валидизация на потребителските сертификати към RADIUS, Kerberos и други автентифициращи сървъри. Според някои анализатори WPA ще осигури по-добра безжична защита от VPN и ще бъде по-лесен за внедряване и управление. Първо, защото TKIP е "по-лек" от IPSec, и второ, защото VPN капсулира заглавните части на пакетите,така че няма начин VPN да разграничи ниско- и високоприоритетните пакети, отбелязва Рон Сайд, продуктов мениджър в Cisco. Това може да се окаже проблем за предприятия, които искат да пуснат глас или други чувствителни към времезакъснението приложения през WLAN. Въпреки това VPN реализациите все още преобладават, а производителите на безжичен хардуер предлагат различни методи за справяне с проблема. Някои като Vernier терминират VPN тунела в своето WLAN устройство, вместо да ползват VPN концетратора на предприятието. Ако имате концентратор, трябва да създадете отделна VLAN през цялата корпоративна мрежа, през която да пренасяте неавтентифицирания трафик до VPN концентратора и след това обратно. Това е изключително неефикасен метод, твърдят от Vernier. Други пък насочват VPN терминирането към интелигентни AP. Повечето VPN устройства са инсталирани да обработват информация и заявки от пътуващи служители, а не да се занимават с вътрешните WLAN потребители. Терминирането на VPN тунела в AP облекчава трафика, обслужван от концентратора, и така се елиминира потенциално задръстване. Предприятията, които искат днес да внедрят здрава и сигурна WLAN, трябва да направят някои компромиси. Средствата за централизирано управление на даден производител може да са най-добрите, но да са ограничени защитните функции. От друга страна, ограниченият списък с одобрени хардуерни доставчици може да накара ИТ директорът да се спре на решение без ефективно управление на радиочестотните ресурси. Въпросът обаче не търпи отлагане. Иначе някой по-"предприемчив" служител може да инсталира абсолютно незащитен безжичен продукт. Стандартите Друга рационална причина, поради която ИТ отделите избягват да внедряват WLAN, са непрекъснато изменящите се стандарти. За щастие корпоративният клас сигурност (под формата на WPA) вече бе вградена в повечето WLAN устройства. 802.11f. Познат и като IAPP (Inter Access Point Protocol). Този проектостандарт определя как AP трябва да комуникират на ниво L2, така че да осигурят роуминг на потребителите. Ратифицирането се очаква в края на 2003 г. 802.11e. Разглежда се като основен за ползването на глас през WLAN в предприятията. 802.11е предлага QoS, осигуряващи приоритет за поточните данни. Подстандартът WME (Wireless Multimedia Enhancement) сигурно ще влезе в употреба по-рано. 802.11h. Стандарт, позволяващ на WLAN, опериращи в 5 GHz обхват, да отговорят на европейските радиочестотни регулации. Одобрението от ЕС се очаква в края на годината. 802.11i. Спецификация за корпоративен клас WiFi сигурност, изградена по схемата на 802.1x автентификацията. Заменя WEP (Wired Equivalent Privacy) с AES (Advanced Encryption Standard) - много по-силен криптиращ механизъм. Ратифицирането се очаква в края на 2003 г. 802.11k. Предложеният стандарт подобрява управляемостта на WLAN чрез дефиниране и предаване на радио и мрежова информация, която да бъде използвана от приложенията за мрежово управление. 802.11n. Следващата стъпка към по-големи скорости от 802.11а и 802.11g, всеки от които дават максимум 54 Mbps. Предложението за спецификация 802.11n, която ще използва обхвата 5 GHz като 802.11а, ще повиши максималната пропускателна способност до 100 Mbps. IEEE създаде работната група 802.11n през септември, ратифицирането се очаква през 2005 - 2006 г. 802.1х. Осигурява порт базирана автентификация и оторизация на безжичните клиенти. Вече е вградена в много устройства като част от WPA. 802.1x включва EAP, който поддържа разнообразни автентифициращи сървъри, включително RADIUS и Kerberos. LWAPP. Предложеният стандарт се занимава директно с управлението на AP. LWAP протоколът ще стандартизира начина, по който комутаторите/рутерите комуникират с AP. Cisco има собствена управляваща схема. В момента това все още е проект в IETF. WPA. Междинен стандарт, част от 802.11i. Той комбинира 802.1x автентификацията с TKIP криптиране и осигурява значително подобрение спрямо WEP. WPA е вградена в много WiFi хардуерни устройства.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!