假如某件事處理起來很棘手,但又不得不面對時,采用“變通”的方式也許會收到很好效果。WLAN交換機能夠更有效地解決安全、性能以及治理上的問題,從而使WLAN結(jié)構(gòu)發(fā)生變通;費用、復雜性和互操作問題可能延緩802.11i無線安全標準的采用,因此,變通出現(xiàn);當WLAN與蜂窩網(wǎng)相結(jié)合時,一場更大的變通已經(jīng)發(fā)生。
變通1:AP越瘦越漂亮
最近Cisco收購Airespace一事,可能踏下了WLAN市場啟動的油門,將推動瘦接入點/WLAN交換機的發(fā)展,使企業(yè)WLAN更具誘惑力。Cisco接下來將提供Cisco品牌的Airespace WLAN交換機和瘦接入點以及Cisco的Aironet胖接入點。后者是其結(jié)構(gòu)化無線感知網(wǎng)絡(luò)(SWAN)產(chǎn)品線的一部分。用Airespace WLAN交換機部署網(wǎng)絡(luò)比用Aironet部署會獲得低得多的總體擁有成本(TCO),并能提供很好的安全和治理特性,因此,許多對Cisco的高價產(chǎn)品敬而遠之的用戶很可能將選擇Cisco的Airespace產(chǎn)品。
Cisco計劃將Airespace與SWAN集成,不過,Cisco將如何進行集成現(xiàn)在還沒有明確的定義。Cisco可能會把Aironet接入點連接在Airespace WLAN交換機上,這將使擁有Aironet接入點的Cisco客戶能夠遷移到無線交換網(wǎng)絡(luò)上。
Cisco對Airespace的收購被視為是對以瘦客戶機方式實現(xiàn)WLAN的肯定。瘦客戶機是Trapeze Networks、Aruba Wireless Networks和Airespace等新興廠商所采取的方式。Cisco過去則遵循著部署胖客戶機、然后連接在目前的以太網(wǎng)交換機上的更傳統(tǒng)的方式。在Cisco的案例中,該公司開發(fā)了用于Catalyst 6500交換機的WLAN刀片。
生逢其時的WLAN交換機
Cisco的舉動反映了對瘦接入點的承認。Infonetics報告顯示,Cisco是WLAN收入的頭號廠商,占有17%的市場份額;隨后依次為Linksys(為Cisco所擁有)、D-Link 和Netgear。不過,Infonetics報告說,激烈的價格競爭壓力將嚴重影響到收入,2004年全球WLAN設(shè)備銷售量增加了51%,但收入僅增長15%。
Synergy Research猜測,全球來自傳統(tǒng)接入點的收入將在2005年減少2%,2006年減少35%,2007年減少11%。另一方面,Synergy還分析,WLAN交換機的銷售量將在2005年增長150%,2006年增長53%,2007年增長59%。
在胖接入點環(huán)境中,像Cisco Aironet那樣的接入點,除了提供基于無線的連接外,還提供安全、治理和性能增強功能。這種作法的優(yōu)勢是用戶可以方便地利用自己的以太網(wǎng)基礎(chǔ)設(shè)施,但存在著接入點比較貴、而且難于治理的問題。在采用瘦接入點模型時,無線交換機提供這些安全、性能和治理特性,而瘦接入點則將重點放在它們原本的目標上,即可靠、高性能的無線技術(shù)。
WLAN交換機好處多多
除了節(jié)省成本外,還有很多使WLAN交換技術(shù)成為未來發(fā)展方向的技術(shù)原因,包括安全、性能和治理。
安全性是部署WLAN的用戶主要擔心的問題。不幸的是,WLAN標準包括用戶與接入點之間的加密,但卻不包括認證、入侵檢測和對欺詐接入點的控制。例如,一位黑客可以通過欺詐接入點連接到有線網(wǎng)絡(luò)上,設(shè)法破壞安全性。除非用戶采用了以太網(wǎng)交換機端口控制的相關(guān)設(shè)置,否則欺詐接入點可以從停泊在四周的汽車中進入企業(yè)無線網(wǎng)絡(luò)。同樣,一位雇員可以從一家辦公用品商店購買一臺接入點,然后在不設(shè)置可接受的安全控制的情況下,將它連接在企業(yè)網(wǎng)絡(luò)上,從而在不經(jīng)意間為居心叵測的人留下了可利用的漏洞。
而WLAN交換機會根據(jù)公司的安全策略,認證和配置每一臺接入點。雇員或黑客可以將接入點插在企業(yè)網(wǎng)絡(luò)上,但是假如接入點不能正確地得到認證或配置,WLAN交換機將切斷它的連接。此外,WLAN交換機還保證所有經(jīng)過授權(quán)的接入點都遵守安全策略。接入點可被配置為只答應從WLAN交換機上修改安全策略,從而防止黑客通過一條控制臺線纜將便攜機連接在接入點上,修改配置,來破壞網(wǎng)絡(luò)的安全。假如黑客試圖切斷合法的接入點,WLAN交換機將從物理層面切斷欺詐接入點到企業(yè)網(wǎng)絡(luò)的連接。
性能更高
困擾WLAN的一個普遍問題是存在覆蓋黑洞,即低信號強度區(qū)域。這種情況的出現(xiàn)是由于接入點放置位置不佳以及環(huán)境發(fā)生了變化。例如,初次安裝接入點之后,一家公司可能增加隔墻來建立新的辦公室或搬動大型機器。新增加的墻壁會影響到無線電波的傳播,導致建筑物中一些區(qū)域信號強度的降低。
一些應用(如E-mail和Web瀏覽),在用戶經(jīng)過覆蓋黑洞漫游時仍然能保持得相當好,因為用戶至少可以在走向覆蓋區(qū)域的途中閱讀保存在移動設(shè)備緩存中的E-mail或瀏覽網(wǎng)頁。但是,倉庫庫存治理應用通常需要終端(移動設(shè)備)與主機(應用服務(wù)器)之間的持續(xù)連接,假如無線連接暫時失去,用戶必須重新登錄到系統(tǒng)上。假如在事務(wù)處理過程中發(fā)生連接中斷,有時可能造成服務(wù)器錯誤。
WLAN交換機可以改善用戶漫游經(jīng)過覆蓋黑洞時移動設(shè)備間歇掉線的情況。交換機所具有的智能性,完全可以了解移動設(shè)備失去與接入點的無線連接的情況。交換機繼續(xù)保持與應用服務(wù)器的可用連接。最差情況是用戶可能經(jīng)歷應用延時,但應用依然可供使用并隨時可從它斷開的地方重新開始。
另一個問題是當用戶經(jīng)過信號強度過低的區(qū)域時,WLAN語音(VoWLAN)電話會掉線。Cisco公布了部署實現(xiàn)有效VoWLAN運行的指導方針,但是大多數(shù)采用傳統(tǒng)胖接入點的WLAN網(wǎng)絡(luò)還不能提供VoWLAN應用所要求的覆蓋和接入點之間的快速切換,而WLAN交換機在設(shè)計上提供接入點之間快速切換和避免“掉話”的智能重新啟動功能。
治理更易
除非確保有效的治理工具和支持方法已經(jīng)預備就緒,否則與未來WLAN運營支持有關(guān)的費用經(jīng)常變得比最初花在硬件和軟件上的費用還高。WLAN交換機是為提供實現(xiàn)預期的ROI(投資回報)所需要的有效的、集中式的支持而設(shè)計的。集中治理可以利用WLAN交換機實現(xiàn),WLAN交換機可以自動配置、監(jiān)測和升級多個接入點。例如,一家公司可以將接入點連接在一臺WLAN交換機上,然后,這臺交換機自動配置接入點。這樣可以節(jié)省時間,避免讓治理人員進行配置而造成的人工錯誤。WLAN交換機還可以立即檢測到發(fā)生故障的接入點并通知相應人員。
網(wǎng)絡(luò)治理員也許在治理基于無線的系統(tǒng)上還沒有太多的經(jīng)驗,WLAN交換機能夠在這方面給治理員提供幫助。自動交換功能(如在連接丟失和欺詐接入點控制時智能重新啟動)彌補了治理員缺少無線網(wǎng)絡(luò)技能的不足。
由于無線交換機把握WLAN的絕大部分智能性,接入點可以將重點放在無線連接性上,而這通常使瘦接入點的價格大大低于相應的胖接入點。因此,一家擁有瘦接入點的公司可以以更低的成本遷移到更新的技術(shù)上。對網(wǎng)絡(luò)其余部分的相應改動可以通過交換機上的軟件升級來完成。雖然使用目前的有線以太網(wǎng)連接接入點也許十分誘人,但是部署WLAN交換機帶來的安全、性能和治理上的改善,從長期看可能將得到好得多的ROI。
變通2: 802.11i被替代?
費用、復雜性和互操作問題可能延緩802.11i無線安全標準的采用,業(yè)界似乎研究出一種替代技術(shù),可以有效地解決上述問題。
廠商會宣稱從臨時安全標準“Wi-Fi保護接入”(WPA)遷移到最終版本的802.11i協(xié)議將相當簡單、輕易并值得為之付出努力。可是,分析人士和用戶表示,Wi-Fi升級存在著很多的小麻煩,也許必須購買新硬件。
在分析了費用和其他問題后,一些用戶認定WPA已經(jīng)足夠滿足目前的需要了。至少,向802.11i遷移意味著治理接入點和客戶機上的固件升級,而這種情況也只是出現(xiàn)在用戶擁有比較新的硬件的情況下。假如用戶沒有比較新的硬件,則必須用能夠處理高級加密標準(AES)加密算法的新接入點來更換老設(shè)備。
此外,用戶還需要安裝認證服務(wù)器和證書授權(quán)服務(wù)器,并向網(wǎng)絡(luò)中添加一種全新的協(xié)議。這是由于802.11i治理WLAN安全的加密部分,而用戶還需要認證機制,這就意味著需要部署另一個比較新的協(xié)議802.1x。
Gartner分析師Kenneth Dulaney說:“假如對用戶說這樣做是十分簡單的,都是不負責任的,用戶將增加兩種加密方法和一種認證方案,這并不簡單。”WPA使用動態(tài)密鑰完整性協(xié)議(TKip)加密算法,而802.11i使用AES。由于WPA是完整的802.11i協(xié)議的子集合,因此具有WPA功能的接入點通常可以支持兩種加密方法。波士頓公共圖書館系統(tǒng)官Carolyn Coulter表示,費用正是這家圖書館推遲802.11i升級的主要原因。這家圖書館在公共閱覽室中為顧客和工作人員提供免費無線接入,因此網(wǎng)絡(luò)必須十分開放。Coulter原本希望遷移到802.11i上,或?qū)⑺砑拥侥壳暗陌踩x項中。但是假如沒有緊迫的原因,同眾多的用戶一樣,似乎滿足于自己目前的安全水平。
802.11i的替代技術(shù)
據(jù)某醫(yī)院企業(yè)網(wǎng)絡(luò)經(jīng)理Chris Cerny說,其他安全方法可能實現(xiàn)起來更輕易、性價比更高。
每個獲得批準的設(shè)備不是依靠WPA提供加密,而是配備一個VPN客戶程序。這種客戶程序加密數(shù)據(jù)流,與DHCP服務(wù)器一道處理路由,然后向Cisco認證服務(wù)器認證用戶的設(shè)備和口令。Cerny說:“當安裝無線網(wǎng)絡(luò)時,安全問題就捆擾著我們,現(xiàn)在仍然是這樣。當時想采用什么方法可以解決這個問題,我們已有了VPN集中器、訪問控制列表和Cisco認證器,這些都運行得非常好。當然,醫(yī)生們不喜歡,因為必須認證好幾次。”
Cerny在所有可以使用
她說:“我們并不在意他們是否利用我們的帶寬上Internet,他們不能看到我們網(wǎng)絡(luò)內(nèi)部的任何東西。這是個非常簡單的部署,需要的人手非常少。”
Coulter說,波士頓公共圖書館采用類似的設(shè)置,使用一臺Bluesocket WLAN網(wǎng)關(guān)治理它在主要分館內(nèi)的Wi-Fi連接。這臺Bluesocket服務(wù)器利用WPA和IPSec技術(shù)處理加密以及訪問控制。Bluesocket設(shè)備還可以根據(jù)用戶在圖書館中的角色來定義訪問列表,讓網(wǎng)絡(luò)治理員可以更加方便按照不同策略來配置WLAN的接入以及QoS。Coulter說:“我們的確要求用戶下載證書,但是在其他方面必須盡可能讓用戶使用起來更輕易。”
三思而后行
互操作性是埋在用戶前進道路上的一顆地雷。Dulaney說,盡管802.11i加密協(xié)議相當標準,但802.1x中的認證方法卻不是這樣,802.1x規(guī)范并不嚴格,每家廠商的版本可能都略有不同。
大多數(shù)廠商使用可擴展認證協(xié)議(EAP)傳送客戶機與接入點之間的端口訪問請求。但是,EAP包只傳送這類請求,該協(xié)議不包括如何治理認證本身的說明。因此,用戶必須從幾種EAP實現(xiàn)中選擇一種,包括傳輸層安全(EAP-TLS)或EAP隧道傳輸層安全(EAP-TTLS),而這些實現(xiàn)在802.1x框架下都是可接受的,但是并不是所有的實現(xiàn)都是可互操作的。
Cisco開發(fā)了輕型可擴展認證協(xié)議(LEAP),然而,測試人員證實LEAP可能被簡單的字典攻擊所破解,因此Cisco將利用新的EAP-FAST(通過安全隧道的靈活認證)取代它。而另一種版本則來自Microsoft。該公司在Cisco和RSA Security的幫助下開發(fā)了受保護的EAP(PEAP)。與在進行任何通信前都必須發(fā)放客戶機和服務(wù)器密鑰的EAP-FAST不同,PEAP依靠證書,證書必須由認證服務(wù)器生成。Microsoft在一些Windows xp版本中發(fā)送PEAP,利用其挑戰(zhàn)握手認證協(xié)議(MS-CHAP)或Cisco的普通令牌卡,證書提供證書。據(jù)Cisco無線網(wǎng)絡(luò)業(yè)務(wù)部產(chǎn)品治理經(jīng)理Shripati Acharya說,同所有認證協(xié)議一樣,幾乎任何類型的證書在802.1x下都是答應的。
即使在某個產(chǎn)品上看到貼有802.11i認證標志,可能也不能讓每個產(chǎn)品與其他產(chǎn)品互操作,必須詢問廠商究竟哪款產(chǎn)品獲得了認證。
變通3:Wi-Fi與蜂窩網(wǎng)結(jié)合
假如有這樣一種雙模電話,當用戶在辦公室、倉庫或醫(yī)院時,利用它通過Wi-Fi語音通話,而在離開WLAN覆蓋區(qū)域時,它無縫地切換到蜂窩網(wǎng)上,能擁有這樣一部電話豈不妙哉?
這就是新型融合或混合服務(wù)的美好前景,而這樣的服務(wù)推出的日期比用戶想像的還要早。這類服務(wù)帶來的好處除了節(jié)省費用外,還包括工作效率和便利性的提高。
當然,有得就有失。這類混合服務(wù)意味著利用運行在Internet連接上的VoIP服務(wù)取代公共交換電話網(wǎng)(PSTN)服務(wù)。PSTN上的可靠性和呼叫質(zhì)量都比VoIP強,而呼叫費用也相當便宜。此外,室內(nèi)覆蓋可能參差不齊,從而造成很多用戶在完全放棄固定線路電話時十分謹慎。由于沒有用于LAN到WAN切換的可靠系統(tǒng),許多發(fā)起于蜂窩網(wǎng)上的呼叫,不管四周是否有更好的WLAN信號可供使用,在呼叫期間仍保持在蜂窩網(wǎng)上進行。
未來并不遙遠
大多數(shù)運營商表現(xiàn)出了對固定和移動融合的愛好,事實上,有一家運營商已經(jīng)開始部署了。
T-Mobile提供雙模式iPaq H6315手機。這款手機使用戶在旅行時可以在GSM/GPRS與Wi-Fi網(wǎng)絡(luò)間進行切換。T-Mobile手機產(chǎn)品治理經(jīng)理Todd Achilles說:“當用戶進入Wi-Fi熱點時,這種設(shè)備自動通知用戶,并切換到速度最快的可用網(wǎng)絡(luò)上,從而使用戶從家里到星巴克、去機場、參加商務(wù)會議以及到飯店的途中都可以保持Internet會話。”據(jù)Achilles說,目前的GSM/GPRS網(wǎng)絡(luò)為用戶需要持續(xù)訪問的應用(如電子郵件和日歷)提供廣域覆蓋,而當用戶需要訪問更大的數(shù)據(jù)文件時可以切換到寬帶熱點上。
最近,Avaya、Motorola和Proxim聯(lián)手,以更加雄心勃勃的規(guī)模,開發(fā)定位于企業(yè)的固定—移動服務(wù)。用戶所需要的是一部來自Motorola的雙模手機、Avaya的具有會話發(fā)起協(xié)議(SIP)功能的IP電話軟件和Proxim提供的具有語音功能的WLAN基礎(chǔ)設(shè)施。服務(wù)試驗正在進行中,不久將正式推出。
在企業(yè)內(nèi),Motorola的雙模手機連接在Proxim WLAN接入點上,作為一部VoIP電話運行。當用戶走出辦公室時,手機成為一部GSM移動電話。由Proxim和Avaya聯(lián)合開發(fā)的無線網(wǎng)關(guān)治理兩種網(wǎng)絡(luò)之間的切換,同時Avaya基于SIP的IP電話軟件為移動電話提供桌面電話常見的特性,如電話會議功能。手機還可以訪問兩種網(wǎng)絡(luò)上的數(shù)據(jù)應用。
縫隙依然存在
上面提到的服務(wù)仍存在一些需要解決的問題。到目前為止,計費不是集中處理的。用戶仍要為蜂窩應用向運營商付費,同時公司內(nèi)部的VoIP呼叫仍需要按企業(yè)的電話應用付費。此外,這些服務(wù)沒有將用戶與基礎(chǔ)的網(wǎng)絡(luò)屏蔽開。換句話說,當T-Mobile的服務(wù)通知用戶新網(wǎng)絡(luò)可供使用時,用戶必須結(jié)束會話,重新連接到新網(wǎng)絡(luò)上。而在使用Avaya、Proxim、Motorola三者聯(lián)合提供的服務(wù)時,企業(yè)網(wǎng)是用戶可以得到保證的Wi-Fi連接的惟一網(wǎng)絡(luò)。目前,該解決方案沒有集成熱點接入。
固定—移動融合若想真正起飛,就需要在不同Wi-Fi網(wǎng)絡(luò)與蜂窩網(wǎng)絡(luò)之間實現(xiàn)無縫切換,并且用戶保持自己的會話,同時基礎(chǔ)網(wǎng)絡(luò)對于用戶來說基本上是不可見的。
新興廠商很努力
一些新興廠商正在試圖解決將不同網(wǎng)絡(luò)連接在一起所面臨的問題,BridgePort Networks、Kineto Wireless、IBiS Telecom和LongBoard都打算向市場推出實現(xiàn)固定—移動融合的產(chǎn)品。
這類產(chǎn)品安裝在運營商網(wǎng)絡(luò)的核心,連接移動與IP網(wǎng)絡(luò)。在連接這些網(wǎng)絡(luò)時,這類產(chǎn)品一般采用一種漫游技術(shù),將用戶的移動電話身份擴展到IP網(wǎng)絡(luò)上,從一端的7號信令轉(zhuǎn)換到另一端的SIP。所有這類產(chǎn)品都可以將用戶的移動身份擴展到IP網(wǎng)絡(luò),使用戶的電話號碼和會話不管在什么位置都保持不變。這些廠商還關(guān)注像會話持續(xù)性和單點登錄認證等特性。
將得到什么好處
IT人員得到的最直接的好處是節(jié)省費用。基本的邏輯是這樣的:企業(yè)內(nèi)撥打的大量移動呼叫實際上是企業(yè)內(nèi)的電話,利用融合服務(wù),這些呼叫將是免費的。企業(yè)打給外部的移動呼叫在Internet上傳輸也比通過蜂窩網(wǎng)傳輸便宜。
Kineto的Shaw說:“增加的移動性提高了工作效率。當用戶擁有帶寬時,用戶在電話上的數(shù)據(jù)應用體驗也得到了很大改進。”Avaya的Lovasco表示,“融合解決方案是一種更安全的解決方案。有了融合性,企業(yè)能夠重新獲得對自己移動用戶的控制。”
相關(guān)鏈接
Cisco收購Airespace
Cisco公司
編看編想
變通的力量
假如某件事處理起來很棘手,但又不得不面對時,采用“變通”的方式也許會收到很好效果。
安全問題一直是捆擾WLAN的要害問題,以往要有效解決這個問題,部署起來比較復雜,顯然與終端應用要求簡單化的大趨勢不協(xié)調(diào)。采用變通的方式是一種不錯的解決方法。在WLAN交換機上盡可能解決安全,甚至包括智能、治理在內(nèi)的所有問題,將AP減肥,這樣不僅解決了終端應用簡單的問題,重要的是這些要害特性更輕易得到部署。Cisco完成對Airespace的收購,從支持傳統(tǒng)的WLAN到支持“AP減肥”方案,是否也意味著一種“
新聞熱點
疑難解答
