假如某件事處理起來很棘手���,但又不得不面對時�����,采用“變通”的方式也許會收到很好效果��。WLAN交換機能夠更有效地解決安全���、性能以及治理上的問題,從而使WLAN結構發生變通�����;費用��、復雜性和互操作問題可能延緩802.11i無線安全標準的采用�����,因此,變通出現�����;當WLAN與蜂窩網相結合時��,一場更大的變通已經發生���。
變通1:AP越瘦越漂亮
最近Cisco收購Airespace一事��,可能踏下了WLAN市場啟動的油門���,將推動瘦接入點/WLAN交換機的發展,使企業WLAN更具誘惑力�����。Cisco接下來將提供Cisco品牌的Airespace WLAN交換機和瘦接入點以及Cisco的Aironet胖接入點�����。后者是其結構化無線感知網絡(SWAN)產品線的一部分��。用Airespace WLAN交換機部署網絡比用Aironet部署會獲得低得多的總體擁有成本(TCO)���,并能提供很好的安全和治理特性���,因此,許多對Cisco的高價產品敬而遠之的用戶很可能將選擇Cisco的Airespace產品���。
Cisco計劃將Airespace與SWAN集成��,不過�����,Cisco將如何進行集成現在還沒有明確的定義���。Cisco可能會把Aironet接入點連接在Airespace WLAN交換機上,這將使擁有Aironet接入點的Cisco客戶能夠遷移到無線交換網絡上���。
Cisco對Airespace的收購被視為是對以瘦客戶機方式實現WLAN的肯定���。瘦客戶機是Trapeze Networks、Aruba Wireless Networks和Airespace等新興廠商所采取的方式�����。Cisco過去則遵循著部署胖客戶機、然后連接在目前的以太網交換機上的更傳統的方式���。在Cisco的案例中��,該公司開發了用于Catalyst 6500交換機的WLAN刀片��。
生逢其時的WLAN交換機
Cisco的舉動反映了對瘦接入點的承認�����。Infonetics報告顯示��,Cisco是WLAN收入的頭號廠商�����,占有17%的市場份額���;隨后依次為Linksys(為Cisco所擁有)、D-Link 和Netgear���。不過��,Infonetics報告說��,激烈的價格競爭壓力將嚴重影響到收入�����,2004年全球WLAN設備銷售量增加了51%���,但收入僅增長15%。
Synergy Research猜測�����,全球來自傳統接入點的收入將在2005年減少2%��,2006年減少35%��,2007年減少11%���。另一方面�����,Synergy還分析��,WLAN交換機的銷售量將在2005年增長150%���,2006年增長53%��,2007年增長59%��。
在胖接入點環境中�����,像Cisco Aironet那樣的接入點��,除了提供基于無線的連接外���,還提供安全、治理和性能增強功能���。這種作法的優勢是用戶可以方便地利用自己的以太網基礎設施�����,但存在著接入點比較貴���、而且難于治理的問題���。在采用瘦接入點模型時,無線交換機提供這些安全�����、性能和治理特性�����,而瘦接入點則將重點放在它們原本的目標上���,即可靠、高性能的無線技術��。
WLAN交換機好處多多
除了節省成本外��,還有很多使WLAN交換技術成為未來發展方向的技術原因��,包括安全�����、性能和治理。
安全性是部署WLAN的用戶主要擔心的問題��。不幸的是�����,WLAN標準包括用戶與接入點之間的加密�����,但卻不包括認證��、入侵檢測和對欺詐接入點的控制�����。例如���,一位黑客可以通過欺詐接入點連接到有線網絡上�����,設法破壞安全性�����。除非用戶采用了以太網交換機端口控制的相關設置���,否則欺詐接入點可以從停泊在四周的汽車中進入企業無線網絡��。同樣���,一位雇員可以從一家辦公用品商店購買一臺接入點,然后在不設置可接受的安全控制的情況下�����,將它連接在企業網絡上���,從而在不經意間為居心叵測的人留下了可利用的漏洞。
而WLAN交換機會根據公司的安全策略�����,認證和配置每一臺接入點���。雇員或黑客可以將接入點插在企業網絡上�����,但是假如接入點不能正確地得到認證或配置�����,WLAN交換機將切斷它的連接���。此外���,WLAN交換機還保證所有經過授權的接入點都遵守安全策略。接入點可被配置為只答應從WLAN交換機上修改安全策略���,從而防止黑客通過一條控制臺線纜將便攜機連接在接入點上��,修改配置���,來破壞網絡的安全。假如黑客試圖切斷合法的接入點���,WLAN交換機將從物理層面切斷欺詐接入點到企業網絡的連接�����。
性能更高
困擾WLAN的一個普遍問題是存在覆蓋黑洞��,即低信號強度區域��。這種情況的出現是由于接入點放置位置不佳以及環境發生了變化���。例如�����,初次安裝接入點之后��,一家公司可能增加隔墻來建立新的辦公室或搬動大型機器�����。新增加的墻壁會影響到無線電波的傳播���,導致建筑物中一些區域信號強度的降低��。
一些應用(如E-mail和Web瀏覽)�����,在用戶經過覆蓋黑洞漫游時仍然能保持得相當好���,因為用戶至少可以在走向覆蓋區域的途中閱讀保存在移動設備緩存中的E-mail或瀏覽網頁���。但是��,倉庫庫存治理應用通常需要終端(移動設備)與主機(應用服務器)之間的持續連接��,假如無線連接暫時失去���,用戶必須重新登錄到系統上。假如在事務處理過程中發生連接中斷���,有時可能造成服務器錯誤��。
WLAN交換機可以改善用戶漫游經過覆蓋黑洞時移動設備間歇掉線的情況�����。交換機所具有的智能性���,完全可以了解移動設備失去與接入點的無線連接的情況。交換機繼續保持與應用服務器的可用連接�����。最差情況是用戶可能經歷應用延時,但應用依然可供使用并隨時可從它斷開的地方重新開始���。
另一個問題是當用戶經過信號強度過低的區域時�����,WLAN語音(VoWLAN)電話會掉線���。Cisco公布了部署實現有效VoWLAN運行的指導方針,但是大多數采用傳統胖接入點的WLAN網絡還不能提供VoWLAN應用所要求的覆蓋和接入點之間的快速切換�����,而WLAN交換機在設計上提供接入點之間快速切換和避免“掉話”的智能重新啟動功能���。
治理更易
除非確保有效的治理工具和支持方法已經預備就緒��,否則與未來WLAN運營支持有關的費用經常變得比最初花在硬件和軟件上的費用還高�����。WLAN交換機是為提供實現預期的ROI(投資回報)所需要的有效的、集中式的支持而設計的�����。集中治理可以利用WLAN交換機實現,WLAN交換機可以自動配置���、監測和升級多個接入點���。例如,一家公司可以將接入點連接在一臺WLAN交換機上�����,然后�����,這臺交換機自動配置接入點�����。這樣可以節省時間��,避免讓治理人員進行配置而造成的人工錯誤�����。WLAN交換機還可以立即檢測到發生故障的接入點并通知相應人員。
網絡治理員也許在治理基于無線的系統上還沒有太多的經驗�����,WLAN交換機能夠在這方面給治理員提供幫助���。自動交換功能(如在連接丟失和欺詐接入點控制時智能重新啟動)彌補了治理員缺少無線網絡技能的不足�����。
由于無線交換機把握WLAN的絕大部分智能性��,接入點可以將重點放在無線連接性上�����,而這通常使瘦接入點的價格大大低于相應的胖接入點���。因此,一家擁有瘦接入點的公司可以以更低的成本遷移到更新的技術上���。對網絡其余部分的相應改動可以通過交換機上的軟件升級來完成�����。雖然使用目前的有線以太網連接接入點也許十分誘人��,但是部署WLAN交換機帶來的安全�����、性能和治理上的改善��,從長期看可能將得到好得多的ROI��。
變通2: 802.11i被替代��?
費用�����、復雜性和互操作問題可能延緩802.11i無線安全標準的采用��,業界似乎研究出一種替代技術���,可以有效地解決上述問題。
廠商會宣稱從臨時安全標準“Wi-Fi保護接入”(WPA)遷移到最終版本的802.11i協議將相當簡單��、輕易并值得為之付出努力?����?墒?�,分析人士和用戶表示���,Wi-Fi升級存在著很多的小麻煩��,也許必須購買新硬件���。
在分析了費用和其他問題后,一些用戶認定WPA已經足夠滿足目前的需要了���。至少�����,向802.11i遷移意味著治理接入點和客戶機上的固件升級�����,而這種情況也只是出現在用戶擁有比較新的硬件的情況下���。假如用戶沒有比較新的硬件��,則必須用能夠處理高級加密標準(AES)加密算法的新接入點來更換老設備���。
此外�����,用戶還需要安裝認證服務器和證書授權服務器��,并向網絡中添加一種全新的協議���。這是由于802.11i治理WLAN安全的加密部分�����,而用戶還需要認證機制��,這就意味著需要部署另一個比較新的協議802.1x��。
Gartner分析師Kenneth Dulaney說:“假如對用戶說這樣做是十分簡單的���,都是不負責任的�����,用戶將增加兩種加密方法和一種認證方案���,這并不簡單?��!盬PA使用動態密鑰完整性協議(TKip)加密算法��,而802.11i使用AES��。由于WPA是完整的802.11i協議的子集合�����,因此具有WPA功能的接入點通?�?梢灾С謨煞N加密方法���。波士頓公共圖書館系統官Carolyn Coulter表示,費用正是這家圖書館推遲802.11i升級的主要原因�����。這家圖書館在公共閱覽室中為顧客和工作人員提供免費無線接入,因此網絡必須十分開放�����。Coulter原本希望遷移到802.11i上�����,或將它添加到目前的安全選項中��。但是假如沒有緊迫的原因���,同眾多的用戶一樣,似乎滿足于自己目前的安全水平��。
802.11i的替代技術
據某醫院企業網絡經理Chris Cerny說�����,其他安全方法可能實現起來更輕易���、性價比更高��。
每個獲得批準的設備不是依靠WPA提供加密��,而是配備一個VPN客戶程序��。這種客戶程序加密數據流�����,與DHCP服務器一道處理路由�����,然后向Cisco認證服務器認證用戶的設備和口令��。Cerny說:“當安裝無線網絡時��,安全問題就捆擾著我們���,現在仍然是這樣���。當時想采用什么方法可以解決這個問題,我們已有了VPN集中器���、訪問控制列表和Cisco認證器��,這些都運行得非常好���。當然�����,醫生們不喜歡�����,因為必須認證好幾次�����。”
Cerny在所有可以使用802.11a的地方使用802.11a接入點���,并將802.11b用于VoIP電話���。802.11b接入點使用一張包含醫院系統中每一部電話的MAC地址的訪問控制列表。假如某個用戶不在這張表上�����,就不能登錄網絡。該系統在大廳和其他地方留下了不受管制的熱點���,不過由于未經授權的機器無法訪問內部網絡���,Cerny并不擔心。
她說:“我們并不在意他們是否利用我們的帶寬上Internet���,他們不能看到我們網絡內部的任何東西�����。這是個非常簡單的部署���,需要的人手非常少?��!?
Coulter說���,波士頓公共圖書館采用類似的設置,使用一臺Bluesocket WLAN網關治理它在主要分館內的Wi-Fi連接�����。這臺Bluesocket服務器利用WPA和IPSec技術處理加密以及訪問控制。Bluesocket設備還可以根據用戶在圖書館中的角色來定義訪問列表���,讓網絡治理員可以更加方便按照不同策略來配置WLAN的接入以及QoS��。Coulter說:“我們的確要求用戶下載證書�����,但是在其他方面必須盡可能讓用戶使用起來更輕易���。”
三思而后行
互操作性是埋在用戶前進道路上的一顆地雷��。Dulaney說���,盡管802.11i加密協議相當標準��,但802.1x中的認證方法卻不是這樣,802.1x規范并不嚴格�����,每家廠商的版本可能都略有不同��。
大多數廠商使用可擴展認證協議(EAP)傳送客戶機與接入點之間的端口訪問請求。但是���,EAP包只傳送這類請求��,該協議不包括如何治理認證本身的說明��。因此��,用戶必須從幾種EAP實現中選擇一種���,包括傳輸層安全(EAP-TLS)或EAP隧道傳輸層安全(EAP-TTLS),而這些實現在802.1x框架下都是可接受的���,但是并不是所有的實現都是可互操作的�����。
Cisco開發了輕型可擴展認證協議(LEAP)�����,然而��,測試人員證實LEAP可能被簡單的字典攻擊所破解��,因此Cisco將利用新的EAP-FAST(通過安全隧道的靈活認證)取代它���。而另一種版本則來自Microsoft���。該公司在Cisco和RSA Security的幫助下開發了受保護的EAP(PEAP)。與在進行任何通信前都必須發放客戶機和服務器密鑰的EAP-FAST不同�����,PEAP依靠證書��,證書必須由認證服務器生成��。Microsoft在一些Windows xp版本中發送PEAP���,利用其挑戰握手認證協議(MS-CHAP)或Cisco的普通令牌卡�����,證書提供證書��。據Cisco無線網絡業務部產品治理經理Shripati Acharya說���,同所有認證協議一樣,幾乎任何類型的證書在802.1x下都是答應的���。
即使在某個產品上看到貼有802.11i認證標志��,可能也不能讓每個產品與其他產品互操作�����,必須詢問廠商究竟哪款產品獲得了認證�����。
變通3:Wi-Fi與蜂窩網結合
假如有這樣一種雙模電話���,當用戶在辦公室、倉庫或醫院時��,利用它通過Wi-Fi語音通話�����,而在離開WLAN覆蓋區域時���,它無縫地切換到蜂窩網上�����,能擁有這樣一部電話豈不妙哉?
這就是新型融合或混合服務的美好前景�����,而這樣的服務推出的日期比用戶想像的還要早���。這類服務帶來的好處除了節省費用外���,還包括工作效率和便利性的提高。
當然�����,有得就有失���。這類混合服務意味著利用運行在Internet連接上的VoIP服務取代公共交換電話網(PSTN)服務�����。PSTN上的可靠性和呼叫質量都比VoIP強�����,而呼叫費用也相當便宜�����。此外��,室內覆蓋可能參差不齊���,從而造成很多用戶在完全放棄固定線路電話時十分謹慎。由于沒有用于LAN到WAN切換的可靠系統�����,許多發起于蜂窩網上的呼叫���,不管四周是否有更好的WLAN信號可供使用���,在呼叫期間仍保持在蜂窩網上進行。
未來并不遙遠
大多數運營商表現出了對固定和移動融合的愛好��,事實上��,有一家運營商已經開始部署了���。
T-Mobile提供雙模式iPaq H6315手機��。這款手機使用戶在旅行時可以在GSM/GPRS與Wi-Fi網絡間進行切換�����。T-Mobile手機產品治理經理Todd Achilles說:“當用戶進入Wi-Fi熱點時�����,這種設備自動通知用戶�����,并切換到速度最快的可用網絡上��,從而使用戶從家里到星巴克���、去機場��、參加商務會議以及到飯店的途中都可以保持Internet會話���。”據Achilles說,目前的GSM/GPRS網絡為用戶需要持續訪問的應用(如電子郵件和日歷)提供廣域覆蓋��,而當用戶需要訪問更大的數據文件時可以切換到寬帶熱點上��。
最近���,Avaya、Motorola和Proxim聯手��,以更加雄心勃勃的規模�����,開發定位于企業的固定—移動服務���。用戶所需要的是一部來自Motorola的雙模手機��、Avaya的具有會話發起協議(SIP)功能的IP電話軟件和Proxim提供的具有語音功能的WLAN基礎設施��。服務試驗正在進行中���,不久將正式推出。
在企業內���,Motorola的雙模手機連接在Proxim WLAN接入點上���,作為一部VoIP電話運行��。當用戶走出辦公室時�����,手機成為一部GSM移動電話�����。由Proxim和Avaya聯合開發的無線網關治理兩種網絡之間的切換��,同時Avaya基于SIP的IP電話軟件為移動電話提供桌面電話常見的特性��,如電話會議功能���。手機還可以訪問兩種網絡上的數據應用。
縫隙依然存在
上面提到的服務仍存在一些需要解決的問題��。到目前為止��,計費不是集中處理的�����。用戶仍要為蜂窩應用向運營商付費,同時公司內部的VoIP呼叫仍需要按企業的電話應用付費��。此外���,這些服務沒有將用戶與基礎的網絡屏蔽開�����。換句話說�����,當T-Mobile的服務通知用戶新網絡可供使用時,用戶必須結束會話��,重新連接到新網絡上��。而在使用Avaya��、Proxim�����、Motorola三者聯合提供的服務時,企業網是用戶可以得到保證的Wi-Fi連接的惟一網絡���。目前��,該解決方案沒有集成熱點接入�����。
固定—移動融合若想真正起飛���,就需要在不同Wi-Fi網絡與蜂窩網絡之間實現無縫切換,并且用戶保持自己的會話�����,同時基礎網絡對于用戶來說基本上是不可見的�����。
新興廠商很努力
一些新興廠商正在試圖解決將不同網絡連接在一起所面臨的問題��,BridgePort Networks���、Kineto Wireless�����、IBiS Telecom和LongBoard都打算向市場推出實現固定—移動融合的產品��。
這類產品安裝在運營商網絡的核心���,連接移動與IP網絡�����。在連接這些網絡時��,這類產品一般采用一種漫游技術�����,將用戶的移動電話身份擴展到IP網絡上,從一端的7號信令轉換到另一端的SIP�����。所有這類產品都可以將用戶的移動身份擴展到IP網絡�����,使用戶的電話號碼和會話不管在什么位置都保持不變。這些廠商還關注像會話持續性和單點登錄認證等特性���。
將得到什么好處
IT人員得到的最直接的好處是節省費用�����?�;镜倪壿嬍沁@樣的:企業內撥打的大量移動呼叫實際上是企業內的電話�����,利用融合服務��,這些呼叫將是免費的��。企業打給外部的移動呼叫在Internet上傳輸也比通過蜂窩網傳輸便宜�����。
Kineto的Shaw說:“增加的移動性提高了工作效率���。當用戶擁有帶寬時,用戶在電話上的數據應用體驗也得到了很大改進���?��!盇vaya的Lovasco表示���,“融合解決方案是一種更安全的解決方案。有了融合性�����,企業能夠重新獲得對自己移動用戶的控制���?����!?
相關鏈接
Cisco收購Airespace
Cisco公司3月24日公布完成了對WLAN交換機廠商Airespace的收購���。這項收購在今年1月公布時令業界觀察家感到驚奇��,因為Cisco曾堅定地拒絕開發可治理企業無線局域網的交換機��。不過�����,Cisco在3月24日的聲明中表示收購將答應它向客戶提供業內最具創新性、最全面的WLAN解決方案�����。
編看編想
變通的力量
假如某件事處理起來很棘手�����,但又不得不面對時���,采用“變通”的方式也許會收到很好效果�����。
安全問題一直是捆擾WLAN的要害問題�����,以往要有效解決這個問題�����,部署起來比較復雜���,顯然與終端應用要求簡單化的大趨勢不協調��。采用變通的方式是一種不錯的解決方法�����。在WLAN交換機上盡可能解決安全���,甚至包括智能、治理在內的所有問題���,將AP減肥�����,這樣不僅解決了終端應用簡單的問題�����,重要的是這些要害特性更輕易得到部署�����。Cisco完成對Airespace的收購���,從支持傳統的WLAN到支持“AP減肥”方案,是否也意味著一種“
