Решения Alcatel-Lucent для беспроводных сетей
26 ноября 2008
Рубрика: Связь и телекоммуникации.
Автор: .

pic

Многие компании сегмента SMB в процессе роста бизнеса зачастую сталкиваются с необходимостью расширения существующей корпоративной сети за счет беспроводных технологий. Как правило, такую необходимость компании осознают в тех случаях, когда исчерпались ресурсы для расширения проводной сети, затруднены условия ее развертывания, а также нужно обеспечить сетевую поддержку для мобильных сотрудников внутри офиса. При этом руководители IT-департаментов испытывают известные сомнения и опасения, связанные с трудностями развертывания, использования и эксплуатации WLAN. К числу наиболее распространенных причин для скепсиса относительно беспроводных технологий относятся вопросы информационной безопасности, стоимости как начальных вложений, так и последующих затрат на обслуживание и модернизацию, а также вопросы масштабирования инфраструктуры сети.

Конечно, все эти опасения руководителей не являются большой новостью для производителей оборудования. Многие из них наработали свои арсеналы решений, которые учитывают все исходные запросы бизнеса. К числу разработчиков с наиболее обширной экспертизой в этой области относится компания Alcatel-Lucent, аппаратные и программные решения которой включают в себя простоту начального развертывания, сравнительно низкий объем инвестиций на стадии первичных вложений в беспроводную инфраструктуру, а также возможности гибкого и эффективного ее масштабирования.

Инженеры компании особо подчеркивают, что при грамотном планировании и имплементации беспроводные сети будут отличаться уровнем безопасности не ниже, чем при проводном подключении клиентских устройств, бесшовной интеграцией беспроводной инфраструктуры с уже существующей корпоративной сетью, а также возможностью полноценного управления WLAN в рамках единой IP-инфраструктуры компании.

В отличие от большинства традиционных решений, распространенных сегодня на рынке, подход компании Alcatel-Lucent к вопросам управления и администрирования беспроводных сетей отличается применением централизованно-распределенной архитектуры. Основное концептуальное отличие этой архитектуры подразумевает использование «тонких» точек доступа. В отличие от традиционных «толстых» они представляют собой только радиоинтерфейс доступа беспроводной сети. «Тонкие» точки доступа не содержат в себе управляющей логики, их функциональность ограничена функциями перехвата, анализа и подстройки радиочастот, а также регулированием мощности сигнала. Преимуществами такого подхода является то, что на точке доступа не хранятся ключи или пароли (это делает сеть неуязвимой, например, в случае кражи устройства), а также возможность централизованного применения настроек на все точки доступа в сети.

«Тонкие» точки доступа централизованно управляются контроллерами. Они представляют собой коммутаторы, управляющие от 4 до 512 точками доступа, которые подключаются к ним напрямую либо посредством существующей IP-инфраструктуры. Уже в базовой конфигурации контроллеры оснащены достаточно мощным модулем ПО, который включает в себя возможности коммутации трафика, управления радиочастотами, классификации и выявления неправомерных устройств в сети, управления политиками, встроенный web-портал для аутентификации. Есть возможность для использования расширенных средств для обеспечения безопасности и предотвращения вторжений, различных методов аутентификации, а также разделение пользователей по ролям, которые открываются с приобретением соответствующих лицензий. В случае необходимости расширения беспроводной сети задача сводится к приобретению дополнительного контроллера и точек доступа, что значительно уменьшает затраты по сравнению с масштабированием проводной сети.

Таким образом, корпоративные пользователи имеют возможность обеспечить гибкое построение сети при минимуме начальных инвестиций и эффективное планирование затрат на будущее. Для соединения удаленных площадок и обеспечения беспроводных каналов дальней связи (десятки километров) беспроводная сеть может быть развернута с использованием классических «толстых» точек доступа, которые работают в режиме бриджа для построения туннелей с возможностью подключения типа multi-point или point-to-point. А широкий набор различных дополнительных антенн, подключаемых к точкам доступа, позволит расширить радиус и обеспечить требуемое качество покрытия.

pic

Базовая функциональность решений для развертывания беспроводных сетей от Alcatel-Lucent может быть существенно расширена за счет ранее упоминаемых дополнительно приобретаемых опций. Для обеспечения информационной безопасности, которая играет существенную роль в разработке и планировании беспроводных сетей, в дополнение к базовому программному обеспечению Alcatel Quarantine Manager, поставляемому вместе с контроллером, также предлагаются программные модули OmniVista Mobility Manager, Policy Enforcement Firewall, Wireless Intrusion Protection, Voice Service Module, Client Integrity, External Service Interface, а также VPN Server Module. OmniVista Mobility Manager предназначен для централизованного управления беспроводной сетью как единое хранилище информации для аутентификации пользователей.

Одной из наиболее сложных первоочередных задач является правильная расстановка точек доступа для обеспечения эффективного покрытия. Тут в помощь инженеру придется утилита планирования радиопокрытия. Управляя точками доступа и анализируя параметры сигнала на разных участках, утилита формирует отображающую «качество» сигнала карту покрытия, которая наносится на готовую карту помещения, а также проводит централизованный мониторинг в режиме реального времени всех мобильных пользователей корпоративной сети, осуществляет контроль их перемещения и расширенное управление радиопокрытием. Вы можете наблюдать за перемещением беспроводных WiFi-устройств или объектов оснащенными специальными метками-излучателями в пределах покрытия сети.

Конвергентная архитектура WLAN на предприятии
В основе функционирования поставляемой опционально утилиты Policy Enforcement Firewall лежит принцип использования «ролей» — гибко настраиваемых сетевых политик, применяемых как для отдельных пользователей, так и для групп или отделов. Соответствующие сетевые политики настраиваются централизованно и могут задействоваться вне зависимости от точки доступа, к которой подключился пользователь. Применение политик происходит динамически, при их задействовании учитывается множество различных параметров: местоположение пользователя, время дня, тип устройства, а также метод аутентификации. В соответствии с присвоенной пользователю «ролью» ему предоставляются определенные права или накладываются ограничения по времени доступа в сети, по возможности доступа к определенным ресурсам и по пропускной способности канала. Таким образом, «роль» определяет комбинацию некоторых технических и программно-сетевых возможностей, которые будут доступны пользователю. Эта функциональность является интегрированной и разработана в соответствии с требованиями безопасности для беспроводных сетей.

Использование «ролей» совместно с аппаратными решениями позволяет эффективно внедрять беспроводные сети для всех сегментов корпоративных пользователей — от SBM до Large Enterprise.

pic

К числу дополнительных модулей относится Voice Service, предназначенный для передачи голоса по WiFi и обладающий функциональностью Call Admission Control, которая позволяет ограничить максимальное количество разговоров, определить приоритет голосового трафика, а также поддерживает протоколы WMM и TSpec. Модуль VPN Server обеспечивает интеграцию с различными типами VPN (L2TP over IPSec, PPTP), позволяя устранить потребность в отдельных дополнительных устройствах — VPN-концентраторах.

Такая поддержка реализуется на уровне аппаратного обеспечения, что позволяет обеспечить скорость канала для установления VPN-подключений.

Для обеспечения классификации трафика и предотвращения низкоуровневых DoS-атак разработан модуль Wireless Intrusion Protection. (Он помогает отражать такие опасные атаки, как MAC address spoofing, Authentication floods, Man-in-the-middle attacks и др.)

Для повышенного контроля доступа к сети предназначен модуль Wireless Client Integrity, который позволяет проводить автоматическое обнаружение, изолирование в карантине и автоматическое исправление неправильно заданных сетевых параметров устройства до момента предоставления ему доступа к сети.

Еще один дополнительный модуль External Services Interface позволяет Alcatel-Lucent OmniAccess WLAN поддерживать расширенное взаимодействие с различными серверами аутентификации, авторизации и учетными записями пользователей. Пользователь перенаправляется на соответствующий сервер аутентификации в зависимости от ряда параметров подключения.

Естественно, что для эффективного построения беспроводной сети лишь программно-аппаратной части проекта недостаточно, для оптимального внедрения необходимы распланированные политики и четкое им соответствие в процессе развертывания. В целом, такое решение соответствует всем запросам пользователей к беспроводной корпоративной сети, предоставляя возможности гибкого расширения радиопокрытия путем добавления новых точек доступа, увеличения функциональности решения и обеспечения информационной безопасности за счет базовых и дополнительных программно-аппаратных средств. Внедрение описанного выше решения позволит начальникам IT-департаментов компаний эффективно использовать бюджет и предоставлять клиентам или сотрудникам возможности коммуникаций, которые отвечают потребностям сегодняшних бизнес-процессов.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте