Решения Alcatel-Lucent для беспроводных сетей
10 февраля 2009
Рубрика: Связь и телекоммуникации. Тэги: ,
Автор: .

Многие компании сегмента SMB в процессе роста бизнеса зачастую сталкиваются с необходимостью расширения существующей корпоративной сети за счет беспроводных технологий. Как правило, такую необходимость компании осознают в тех случаях, когда исчерпались ресурсы для расширения проводной сети, затруднены условия ее развертывания, а также нужно обеспечить сетевую поддержку для мобильных сотрудников in-site. При этом руководители IT-департаментов испытывают известные сомнения и опасения, связанные с трудностями развертывания, использования и эксплуатации WLAN. К числу наиболее распространенных причин для скепсиса относительно беспроводных технологий относятся вопросы информационной безопасности, стоимости как начальных вложений, так и последующих затрат на обслуживание и модернизацию, а также вопросы масштабирования инфраструктуры сети.

Конечно, все эти опасения руководителей не являются большой новостью для разработчиков беспроводных сетей. Многие из них наработали свои арсеналы решений, которые учитывают все исходные запросы бизнеса. В числе разработчиков с наиболее обширной экспертизой в этой области — компания Alcatel-Lucent, аппаратные и программные решения которой включают в себя простоту начального развертывания, сравнительно низкий объем инвестиций на стадии первичных вложений в беспроводную инфраструктуру, а также возможности гибкого и эффективного ее масштабирования. 

Инженеры компании особо подчеркивают, что при грамотном планировании и имплементации беспроводные сети будут отличаться уровнем безопасности не ниже, чем при проводном подключении клиентских устройств, бесшовной интеграцией беспроводной инфраструктуры с уже существующей корпоративной сетью, а также возможностью полноценного управления WLAN в рамках единой IP-инфраструктуры компании. 

В отличие от большинства традиционных решений, распространенных сегодня на рынке, подход компании Alcatel-Lucent к вопросам управления и администрирования беспроводных сетей отличается применением централизованно-распределенной архитектуры. Основное концептуальное отличие этой архитектуры подразумевает использование «тонких» точек доступа. В отличие от традиционных «толстых», они представляют собой только радиоинтерфейс поддержки беспроводной сети. «Тонкие» точки доступа не содержат в себе управляющей электроники, их максимальная функциональность ограничена функциями перехвата, анализа и подстройки радиочастот, а также регулированием мощности сигнала. Преимуществами такого подхода является то, что на точке доступа не хранятся ключи или пароли (это делает сеть неуязвимой, например, в случае кражи устройства), а также возможность централизованного применения настроек на все точки доступа в сети.

«Тонкие» точки доступа централизованно управляются контроллерами, которые представляют собой коммутаторы, несущие в себе всю логику, управляющие от 4 до 512 устройствами и подключающиеся к ним напрямую либо посредством существующей IP-инфраструктуры. В базовой конфигурации контроллеры оснащены базовым модулем ПО, который включает в себя возможности переключения сетей WLAN, управления политиками и базовые средства аутентификации. Есть возможность использования дополнительных функций, таких как расширенные средства безопасности и аутентификации, а также разделение пользователей по ролям, которые открываются с приобретением соответствующих лицензий. В случае необходимости расширения беспроводной сети задача сводится к приобретению дополнительного контроллера и точек доступа, что значительно уменьшает затраты по сравнению с масштабированием проводной сети. 

Таким образом, корпоративные пользователи имеют возможность обеспечить гибкое построение сети при минимуме начальных инвестиций и эффективное планирование затрат на будущее. Для тех особых случаев, когда развертывание такого рода решения является недостаточно эффективным, беспроводная сеть может быть развернута с использованием классических «толстых» точек доступа, которые работают в режиме бриджа для построения туннелей с возможностью подключения типа multi-point или point-to-point. А широкий набор различных дополнительных антенн, подключаемых к точкам доступа, позволит расширить длину и обеспечить высокое качество сформированного таким образом покрытия. 

Базовая функциональность решений для развертывания беспроводных сетей от Alcatel-Lucent может быть существенно расширена за счет дополнительно приобретаемых опций. Для обеспечения информационной безопасности, которая играет существенную роль в разработке и планировании беспроводных сетей, в дополнение к базовому программному обеспечению Alcatel Quarantine Manager, поставляемому вместе с контроллером, также предлагаются программные модули OmniVista Mobility Manager, Policy Enforcement Firewall, Wireless Intrusion Protection, Voice Service Module, Client Integrity, External Service Interface, а также VPN Server Module. 

OmniVista Mobility Manager предназначен для централизованного управления беспроводной сетью как единое хранилище информации для аутентификации пользователей. Но одной из наиболее тяжело решаемых задач при эксплуатации беспроводной сети является трудность в одновременном обеспечении мобильности пользователей и контроля их перемещения. Для решения этой задачи была разработана утилита планирования радиопокрытия. Управляя точками доступа и анализируя параметры сигнала в разных участках присутствия покрытия, утилита формирует отображающую «качество» сигнала карту покрытия, которая наносится на готовую карту помещения, а также проводит централизованный мониторинг в режиме реального времени всех мобильных пользователей корпоративной сети, осуществляет контроль их перемещения и расширенное управление радиопокрытием. 

В основе функционирования поставляемой опционально утилиты Policy Enforcement Firewall лежит принцип использования «ролей» — гибко настраиваемых сетевых политик, применяемых как для отдельных пользователей, так и для групп или отделов. Соответствующие сетевые политики настраиваются централизованно и могут задействоваться вне зависимости от точки доступа, к которой подключился пользователь. Применение политик происходит динамически, при их задействовании учитывается множество различных параметров: местоположение пользователя, время дня, тип устройства, а также метод аутентификации. В соответствии с присвоенной пользователю «ролью» ему предоставляются определенные права или накладываются ограничения по времени доступа в сети, по возможности доступа к определенным ресурсам и по пропускной способности канала. Таким образом, «роль» определяет комбинацию некоторых технических и программно-сетевых возможностей, которые будут доступны пользователю. Эта функциональность является интегрированной и разработана в соответствии с требованиями безопасности для беспроводных сетей. 

Использование «ролей» совместно с аппаратными решениями позволяет эффективно внедрять беспроводные сети для всех сегментов корпоративных пользователей — от SBM до Large Enterprise. 

Среди других дополнительных функций утилиты Policy Enforcement Firewall присутствует также функционал управления качеством сервиса (QoS), предназначенный для оптимизации передачи голоса, видео и данных через WLAN. 

К числу дополнительных модулей относится Voice Service, предназначенный для передачи голоса по Wi-Fi и обладающий функциональностью Call Admission Control, которая позволяет ограничить максимальное количество разговоров, определить приоритет голосового трафика, а также поддерживает протоколы WMM и TSpec. Модуль VPN Server обеспечивает интеграцию с различными типами VPN (L2TP over IPSec, PPTP), позволяя устранить потребность в отдельных дополнительных устройствах — VPN-концентраторах. Такая поддержка реализуется на уровне аппаратного обеспечения, что позволяет обеспечить LAN-speed для установления VPN-подключений. 

Для обеспечения классификации трафика и предотвращения низкоуровневых DoS-атак разработан модуль Wireless Intrusion Protection. Для повышенного контроля доступа к сети предназначен модуль Wireless Client Integrity, который позволяет проводить автоматическое обнаружение, изолирование в карантине и автоматическое исправление неправильно заданных сетевых параметров устройства до момента предоставления ему доступа к сети. 

Еще один дополнительный модуль External Services Interface позволяет Alcatel OmniAccess WLAN поддерживать расширенное взаимодействие с аутентификацией, авторизацией и учетными записями инфраструктуры услуг. 

Естественно, что для эффективной развертки беспроводной сети лишь программно-аппаратной части проекта недостаточно, для оптимального внедрения необходимы распланированные политики внедрения и четкое им соответствие в процессе развертки. Но в целом такое решение соответствует запросам пользователей к беспроводной корпоративной сети, предоставляя гибкое расширение радиопокрытия путем добавления новых точек доступа, увеличение функциональности решения и обеспечение информационной безопасности за счет базовых и дополнительных программно-аппаратных средств. Внедрение описанного выше решения позволит начальникам IT-департаментов компаний эффективно использовать бюджет и предоставлять клиентам или сотрудникам возможности коммуникаций, которые отвечают потребностям сегодняшних бизнес-процессов.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте