Многие компаниисегмента SMB в процессе роста бизнеса зачастую сталкиваются с необходимостью расширения существующей корпоративной сети за счет беспроводных технологий. Как правило, такую необходимость компании осознают в тех случаях, когда исчерпались ресурсы для расширения проводной сети, затруднены условия ее развертывания, а также нужно обеспечить сетевую поддержку для мобильных сотрудников внутри офиса.
Конвергентная архитектура WLAN на предприятии |
При этом руководители ИТ-департаментов испытывают известные сомнения и опасения, связанные с трудностями развертывания, использования и эксплуатации WLAN. К числу наиболее распространенных причин для скепсиса относительно беспроводных технологий относятся вопросы информационной безопасности, стоимости как начальных вложений, так и последующих затрат на обслуживание и модернизацию, а также вопросы масштабирования инфраструктуры сети.
Конечно, все эти опасения руководителей не являются большой новостью для производителей оборудования. Многие из них наработали свои арсеналы решений, которые учитывают все исходные запросы бизнеса. К числу разработчиков с наиболее обширной экспертизой в этой области относится компания Alcatel-Lucent, аппаратные и программные решения которой включают в себя простоту начального развертывания, сравнительно низкий объем инвестиций на стадии первичных вложений в беспроводную инфраструктуру, а также возможности гибкого и эффективного ее масштабирования.
Инженеры компании особо подчеркивают, что при грамотном планировании и имплементации беспроводные сети будут отличаться уровнем безопасности не ниже, чем при проводном подключении клиентских устройств, бесшовной интеграцией беспроводной инфраструктуры с уже существующей корпоративной сетью, а также возможностью полноценного управления WLAN в рамках единой IP-инфраструктуры компании.
В отличие от большинства традиционных решений, распространенных сегодня на рынке, подход компании Alcatel-Lucent к вопросам управления и администрирования беспроводных сетей отличается применением централизованно-распределенной архитектуры. Основное концептуальное отличие этой архитектуры подразумевает использование «тонких» точек доступа. В отличие от традиционных «толстых», они представляют собой только радиоинтерфейс доступа беспроводной сети. «Тонкие» точки доступа не содержат в себе управляющей логики, их функциональность ограничена функциями перехвата, анализа и подстройки радиочастот, а также регулированием мощности сигнала. Преимуществами такого подхода является то, что на точке доступа не хранятся ключи или пароли (это делает сеть неуязвимой, например, в случае кражи устройства), а также возможность централизованного применения настроек на все точки доступа в сети.
«Тонкие» точки доступа централизованно управляются контроллерами. Они представляют собой коммутаторы, управляющие от 4 до 512 точками доступа, которые подключаются к ним напрямую либо посредством существующей IP-инфраструктуры. Уже в базовой конфигурации контроллеры оснащены достаточно мощным модулем ПО, который включает в себя возможности коммутации трафика, управления радиочастотами, классификации и выявления неправомерных устройств в сети, управления политиками, встроенный веб-портал для аутентификации. Предусмотрена также возможность использования расширенных средств обеспечения безопасности и предотвращения вторжений, различных методов аутентификации, а также разделение пользователей по ролям, которые открываются с приобретением соответствующих лицензий. В случае необходимости расширения беспроводной сети задача сводится к приобретению дополнительного контроллера и точек доступа, что значительно уменьшает затраты по сравнению с масштабированием проводной сети.
Таким образом, корпоративные пользователи имеют возможность обеспечить гибкое построение сети при минимуме начальных инвестиций и эффективное планирование затрат на будущее. Для соединения удалённых площадок и обеспечения беспроводных каналов дальней связи (десятки километров), беспроводная сеть может быть развернута с использованием классических «толстых» точек доступа, которые работают в режиме bridge для построения туннелей с возможностью подключения типа multi-point или point-to-point. А широкий набор различных дополнительных антенн, подключаемых к точкам доступа, позволит расширить радиус и обеспечить требуемое качество покрытия.
Базовая функциональность решений для развертывания беспроводных сетей от Alcatel-Lucent может быть существенно расширена за счет дополнительно приобретаемых опций. Для обеспечения информационной безопасности, которая играет существенную роль в разработке и планировании беспроводных сетей, в дополнение к базовому программному обеспечению Alcatel Quarantine Manager, поставляемому вместе с контроллером, также предлагаются программные модули OmniVista Mobility Manager, Policy Enforcement Firewall, Wireless Intrusion Protection, Voice service module, Client Integrity, External Service Interface а также VPN Server module. OmniVista Mobility Manager предназначен для централизованного управления беспроводной сетью как единое хранилище информации для аутентификации пользователей.
Гибкие возможности развертывания |
В основе функционирования поставляемой опционально утилиты Policy Enforcement Firewall лежит принцип использования «ролей» – гибко настраиваемых сетевых политик, применяемых как для отдельных пользователей, так и для групп или отделов. Соответствующие сетевые политики настраиваются централизованно и могут задействоваться вне зависимости от точки доступа, к которой подключился пользователь. Применение политик происходит динамически, при их задействовании учитывается множество различных параметров: местоположение пользователя, время дня, тип устройства, а также метод аутентификации. В соответствии с присвоенной пользователю «ролью» ему предоставляются определенные права или накладываются ограничения по времени доступа в сети, по возможности доступа к определенным ресурсам и по пропускной способности канала. Таким образом, «роль» определяет комбинацию некоторых технических и программно-сетевых возможностей, которые будут доступны пользователю. Эта функциональность является интегрированной и разработана в соответствии с требованиями безопасности для беспроводных сетей.
Использование «ролей» совместно с аппаратными решениями позволяет эффективно внедрять беспроводные сети для всех сегментов корпоративных пользователей — от SMB до Large Enterprise.
К числу дополнительных модулей относится Voice service, предназначенный для передачи голоса по Wi-Fi и обладающий функциональностью Call Admission Control, которая позволяет ограничить максимальное количество разговоров, определить приоритет голосового трафика, а также поддерживает протоколы WMM и TSpec. Модуль VPN Server обеспечивает интеграцию с различными типами VPN (L2TP over IPSec, PPTP), позволяя устранить потребность в отдельных дополнительных устройствах – VPN- концентраторах.
Такая поддержка реализуется на уровне аппаратного обеспечения, что позволяет обеспечить скорость канала для установления VPN-подключений. Для обеспечения классификации трафика и предотвращения низкоуровневых DoS-атак разработан модуль Wireless Intrusion Protection. Он помогает отражать такие опасные атаки как MAC address spoofing, Authentication floods, Man-in-the-middle attacks и др.
Для повышенного контроля доступа к сети предназначен модуль Wireless Client Integrity, который позволяет проводить автоматическое обнаружение, изолирование в карантине и автоматическое исправление неправильно заданных сетевых параметров устройства до момента предоставления ему доступа к сети.
Еще один дополнительный модуль External Services Interface позволяет Alcatel-Lucent OmniAccess WLAN поддерживать расширенное взаимодействие с различными серверами аутентификации, авторизации и учетными записями пользователей. Пользователь перенаправляется на соответствующий сервер аутентификации в зависимости от ряда параметров подключения.
Естественно, что для эффективного построения беспроводной сети лишь программно-аппаратной части проекта недостаточно, для оптимального внедрения необходимы распланированные политики и четкое им соответствие в процессе развёртывания. В целом, такое решение соответствует всем запросам пользователей к беспроводной корпоративной сети, предоставляя возможности гибкого расширения радиопокрытия путем добавления новых точек доступа, увеличения функциональности решения и обеспечения информационной безопасности за счет базовых и дополнительных программно-аппаратных средств. Внедрение описанного выше решения позволит начальникам ИТ-департаментов компаний эффективно использовать бюджет и предоставлять клиентам или сотрудникам возможности коммуникаций, которые отвечают потребностям сегодняшних бизнес процессов.