假如某件事处理起来很棘手,但又不得不面对时,采用“变通”的方式也许会收到很好效果。WLAN交换机能够更有效地解决安全、性能以及治理上的问题,从而使WLAN结构发生变通;费用、复杂性和互操作问题可能延缓802.11i无线安全标准的采用,因此,变通出现;当WLAN与蜂窝网相结合时,一场更大的变通已经发生。
变通1:AP越瘦越漂亮
最近Cisco收购Airespace一事,可能踏下了WLAN市场启动的油门,将推动瘦接入点/WLAN交换机的发展,使企业WLAN更具诱惑力。Cisco接下来将提供Cisco品牌的Airespace WLAN交换机和瘦接入点以及Cisco的Aironet胖接入点。后者是其结构化无线感知网络(SWAN)产品线的一部分。用Airespace WLAN交换机部署网络比用Aironet部署会获得低得多的总体拥有成本(TCO),并能提供很好的安全和治理特性,因此,许多对Cisco的高价产品敬而远之的用户很可能将选择Cisco的Airespace产品。
Cisco计划将Airespace与SWAN集成,不过,Cisco将如何进行集成现在还没有明确的定义。Cisco可能会把Aironet接入点连接在Airespace WLAN交换机上,这将使拥有Aironet接入点的Cisco客户能够迁移到无线交换网络上。
Cisco对Airespace的收购被视为是对以瘦客户机方式实现WLAN的肯定。瘦客户机是Trapeze Networks、Aruba Wireless Networks和Airespace等新兴厂商所采取的方式。Cisco过去则遵循着部署胖客户机、然后连接在目前的以太网交换机上的更传统的方式。在Cisco的案例中,该公司开发了用于Catalyst 6500交换机的WLAN刀片。
生逢其时的WLAN交换机
Cisco的举动反映了对瘦接入点的承认。Infonetics报告显示,Cisco是WLAN收入的头号厂商,占有17%的市场份额;随后依次为Linksys(为Cisco所拥有)、D-Link 和Netgear。不过,Infonetics报告说,激烈的价格竞争压力将严重影响到收入,2004年全球WLAN设备销售量增加了51%,但收入仅增长15%。
Synergy Research猜测,全球来自传统接入点的收入将在2005年减少2%,2006年减少35%,2007年减少11%。另一方面,Synergy还分析,WLAN交换机的销售量将在2005年增长150%,2006年增长53%,2007年增长59%。
在胖接入点环境中,像Cisco Aironet那样的接入点,除了提供基于无线的连接外,还提供安全、治理和性能增强功能。这种作法的优势是用户可以方便地利用自己的以太网基础设施,但存在着接入点比较贵、而且难于治理的问题。在采用瘦接入点模型时,无线交换机提供这些安全、性能和治理特性,而瘦接入点则将重点放在它们原本的目标上,即可靠、高性能的无线技术。
WLAN交换机好处多多
除了节省成本外,还有很多使WLAN交换技术成为未来发展方向的技术原因,包括安全、性能和治理。
安全性是部署WLAN的用户主要担心的问题。不幸的是,WLAN标准包括用户与接入点之间的加密,但却不包括认证、入侵检测和对欺诈接入点的控制。例如,一位黑客可以通过欺诈接入点连接到有线网络上,设法破坏安全性。除非用户采用了以太网交换机端口控制的相关设置,否则欺诈接入点可以从停泊在四周的汽车中进入企业无线网络。同样,一位雇员可以从一家办公用品商店购买一台接入点,然后在不设置可接受的安全控制的情况下,将它连接在企业网络上,从而在不经意间为居心叵测的人留下了可利用的漏洞。
而WLAN交换机会根据公司的安全策略,认证和配置每一台接入点。雇员或黑客可以将接入点插在企业网络上,但是假如接入点不能正确地得到认证或配置,WLAN交换机将切断它的连接。此外,WLAN交换机还保证所有经过授权的接入点都遵守安全策略。接入点可被配置为只答应从WLAN交换机上修改安全策略,从而防止黑客通过一条控制台线缆将便携机连接在接入点上,修改配置,来破坏网络的安全。假如黑客试图切断合法的接入点,WLAN交换机将从物理层面切断欺诈接入点到企业网络的连接。
性能更高
困扰WLAN的一个普遍问题是存在覆盖黑洞,即低信号强度区域。这种情况的出现是由于接入点放置位置不佳以及环境发生了变化。例如,初次安装接入点之后,一家公司可能增加隔墙来建立新的办公室或搬动大型机器。新增加的墙壁会影响到无线电波的传播,导致建筑物中一些区域信号强度的降低。
一些应用(如E-mail和Web浏览),在用户经过覆盖黑洞漫游时仍然能保持得相当好,因为用户至少可以在走向覆盖区域的途中阅读保存在移动设备缓存中的E-mail或浏览网页。但是,仓库库存治理应用通常需要终端(移动设备)与主机(应用服务器)之间的持续连接,假如无线连接暂时失去,用户必须重新登录到系统上。假如在事务处理过程中发生连接中断,有时可能造成服务器错误。
WLAN交换机可以改善用户漫游经过覆盖黑洞时移动设备间歇掉线的情况。交换机所具有的智能性,完全可以了解移动设备失去与接入点的无线连接的情况。交换机继续保持与应用服务器的可用连接。最差情况是用户可能经历应用延时,但应用依然可供使用并随时可从它断开的地方重新开始。
另一个问题是当用户经过信号强度过低的区域时,WLAN语音(VoWLAN)电话会掉线。Cisco公布了部署实现有效VoWLAN运行的指导方针,但是大多数采用传统胖接入点的WLAN网络还不能提供VoWLAN应用所要求的覆盖和接入点之间的快速切换,而WLAN交换机在设计上提供接入点之间快速切换和避免“掉话”的智能重新启动功能。
治理更易
除非确保有效的治理工具和支持方法已经预备就绪,否则与未来WLAN运营支持有关的费用经常变得比最初花在硬件和软件上的费用还高。WLAN交换机是为提供实现预期的ROI(投资回报)所需要的有效的、集中式的支持而设计的。集中治理可以利用WLAN交换机实现,WLAN交换机可以自动配置、监测和升级多个接入点。例如,一家公司可以将接入点连接在一台WLAN交换机上,然后,这台交换机自动配置接入点。这样可以节省时间,避免让治理人员进行配置而造成的人工错误。WLAN交换机还可以立即检测到发生故障的接入点并通知相应人员。
网络治理员也许在治理基于无线的系统上还没有太多的经验,WLAN交换机能够在这方面给治理员提供帮助。自动交换功能(如在连接丢失和欺诈接入点控制时智能重新启动)弥补了治理员缺少无线网络技能的不足。
由于无线交换机把握WLAN的绝大部分智能性,接入点可以将重点放在无线连接性上,而这通常使瘦接入点的价格大大低于相应的胖接入点。因此,一家拥有瘦接入点的公司可以以更低的成本迁移到更新的技术上。对网络其余部分的相应改动可以通过交换机上的软件升级来完成。虽然使用目前的有线以太网连接接入点也许十分诱人,但是部署WLAN交换机带来的安全、性能和治理上的改善,从长期看可能将得到好得多的ROI。
变通2: 802.11i被替代?
费用、复杂性和互操作问题可能延缓802.11i无线安全标准的采用,业界似乎研究出一种替代技术,可以有效地解决上述问题。
厂商会宣称从临时安全标准“Wi-Fi保护接入”(WPA)迁移到最终版本的802.11i协议将相当简单、轻易并值得为之付出努力。可是,分析人士和用户表示,Wi-Fi升级存在着很多的小麻烦,也许必须购买新硬件。
在分析了费用和其他问题后,一些用户认定WPA已经足够满足目前的需要了。至少,向802.11i迁移意味着治理接入点和客户机上的固件升级,而这种情况也只是出现在用户拥有比较新的硬件的情况下。假如用户没有比较新的硬件,则必须用能够处理高级加密标准(AES)加密算法的新接入点来更换老设备。
此外,用户还需要安装认证服务器和证书授权服务器,并向网络中添加一种全新的协议。这是由于802.11i治理WLAN安全的加密部分,而用户还需要认证机制,这就意味着需要部署另一个比较新的协议802.1x。
Gartner分析师Kenneth Dulaney说:“假如对用户说这样做是十分简单的,都是不负责任的,用户将增加两种加密方法和一种认证方案,这并不简单。”WPA使用动态密钥完整性协议(TKIP)加密算法,而802.11i使用AES。由于WPA是完整的802.11i协议的子集合,因此具有WPA功能的接入点通常可以支持两种加密方法。波士顿公共图书馆系统官Carolyn Coulter表示,费用正是这家图书馆推迟802.11i升级的主要原因。这家图书馆在公共阅览室中为顾客和工作人员提供免费无线接入,因此网络必须十分开放。Coulter原本希望迁移到802.11i上,或将它添加到目前的安全选项中。但是假如没有紧迫的原因,同众多的用户一样,似乎满足于自己目前的安全水平。
802.11i的替代技术
据某医院企业网络经理Chris Cerny说,其他安全方法可能实现起来更轻易、性价比更高。
每个获得批准的设备不是依靠WPA提供加密,而是配备一个VPN客户程序。这种客户程序加密数据流,与DHCP服务器一道处理路由,然后向Cisco认证服务器认证用户的设备和口令。Cerny说:“当安装无线网络时,安全问题就捆扰着我们,现在仍然是这样。当时想采用什么方法可以解决这个问题,我们已有了VPN集中器、访问控制列表和Cisco认证器,这些都运行得非常好。当然,医生们不喜欢,因为必须认证好几次。”
Cerny在所有可以使用
她说:“我们并不在意他们是否利用我们的带宽上Internet,他们不能看到我们网络内部的任何东西。这是个非常简单的部署,需要的人手非常少。”
Coulter说,波士顿公共图书馆采用类似的设置,使用一台Bluesocket WLAN网关治理它在主要分馆内的Wi-Fi连接。这台Bluesocket服务器利用WPA和IPSec技术处理加密以及访问控制。Bluesocket设备还可以根据用户在图书馆中的角色来定义访问列表,让网络治理员可以更加方便按照不同策略来配置WLAN的接入以及QoS。Coulter说:“我们的确要求用户下载证书,但是在其他方面必须尽可能让用户使用起来更轻易。”
三思而后行
互操作性是埋在用户前进道路上的一颗地雷。Dulaney说,尽管802.11i加密协议相当标准,但802.1x中的认证方法却不是这样,802.1x规范并不严格,每家厂商的版本可能都略有不同。
大多数厂商使用可扩展认证协议(EAP)传送客户机与接入点之间的端口访问请求。但是,EAP包只传送这类请求,该协议不包括如何治理认证本身的说明。因此,用户必须从几种EAP实现中选择一种,包括传输层安全(EAP-TLS)或EAP隧道传输层安全(EAP-TTLS),而这些实现在802.1x框架下都是可接受的,但是并不是所有的实现都是可互操作的。
Cisco开发了轻型可扩展认证协议(LEAP),然而,测试人员证实LEAP可能被简单的字典攻击所破解,因此Cisco将利用新的EAP-FAST(通过安全隧道的灵活认证)取代它。而另一种版本则来自Microsoft。该公司在Cisco和RSA Security的帮助下开发了受保护的EAP(PEAP)。与在进行任何通信前都必须发放客户机和服务器密钥的EAP-FAST不同,PEAP依靠证书,证书必须由认证服务器生成。Microsoft在一些Windows XP版本中发送PEAP,利用其挑战握手认证协议(MS-CHAP)或Cisco的普通令牌卡,证书提供证书。据Cisco无线网络业务部产品治理经理Shripati Acharya说,同所有认证协议一样,几乎任何类型的证书在802.1x下都是答应的。
即使在某个产品上看到贴有802.11i认证标志,可能也不能让每个产品与其他产品互操作,必须询问厂商究竟哪款产品获得了认证。
变通3:Wi-Fi与蜂窝网结合
假如有这样一种双模电话,当用户在办公室、仓库或医院时,利用它通过Wi-Fi语音通话,而在离开WLAN覆盖区域时,它无缝地切换到蜂窝网上,能拥有这样一部电话岂不妙哉?
这就是新型融合或混合服务的美好前景,而这样的服务推出的日期比用户想像的还要早。这类服务带来的好处除了节省费用外,还包括工作效率和便利性的提高。
当然,有得就有失。这类混合服务意味着利用运行在Internet连接上的VoIP服务取代公共交换电话网(PSTN)服务。PSTN上的可靠性和呼叫质量都比VoIP强,而呼叫费用也相当便宜。此外,室内覆盖可能参差不齐,从而造成很多用户在完全放弃固定线路电话时十分谨慎。由于没有用于LAN到WAN切换的可靠系统,许多发起于蜂窝网上的呼叫,不管四周是否有更好的WLAN信号可供使用,在呼叫期间仍保持在蜂窝网上进行。
未来并不遥远
大多数运营商表现出了对固定和移动融合的爱好,事实上,有一家运营商已经开始部署了。
T-Mobile提供双模式iPaq H6315手机。这款手机使用户在旅行时可以在GSM/GPRS与Wi-Fi网络间进行切换。T-Mobile手机产品治理经理Todd Achilles说:“当用户进入Wi-Fi热点时,这种设备自动通知用户,并切换到速度最快的可用网络上,从而使用户从家里到星巴克、去机场、参加商务会议以及到饭店的途中都可以保持Internet会话。”据Achilles说,目前的GSM/GPRS网络为用户需要持续访问的应用(如电子邮件和日历)提供广域覆盖,而当用户需要访问更大的数据文件时可以切换到宽带热点上。
最近,Avaya、Motorola和Proxim联手,以更加雄心勃勃的规模,开发定位于企业的固定—移动服务。用户所需要的是一部来自Motorola的双模手机、Avaya的具有会话发起协议(SIP)功能的IP电话软件和Proxim提供的具有语音功能的WLAN基础设施。服务试验正在进行中,不久将正式推出。
在企业内,Motorola的双模手机连接在Proxim WLAN接入点上,作为一部VoIP电话运行。当用户走出办公室时,手机成为一部GSM移动电话。由Proxim和Avaya联合开发的无线网关治理两种网络之间的切换,同时Avaya基于SIP的IP电话软件为移动电话提供桌面电话常见的特性,如电话会议功能。手机还可以访问两种网络上的数据应用。
缝隙依然存在
上面提到的服务仍存在一些需要解决的问题。到目前为止,计费不是集中处理的。用户仍要为蜂窝应用向运营商付费,同时公司内部的VoIP呼叫仍需要按企业的电话应用付费。此外,这些服务没有将用户与基础的网络屏蔽开。换句话说,当T-Mobile的服务通知用户新网络可供使用时,用户必须结束会话,重新连接到新网络上。而在使用Avaya、Proxim、Motorola三者联合提供的服务时,企业网是用户可以得到保证的Wi-Fi连接的惟一网络。目前,该解决方案没有集成热点接入。
固定—移动融合若想真正起飞,就需要在不同Wi-Fi网络与蜂窝网络之间实现无缝切换,并且用户保持自己的会话,同时基础网络对于用户来说基本上是不可见的。
新兴厂商很努力
一些新兴厂商正在试图解决将不同网络连接在一起所面临的问题,BridgePort Networks、Kineto Wireless、IBiS Telecom和LongBoard都打算向市场推出实现固定—移动融合的产品。
这类产品安装在运营商网络的核心,连接移动与IP网络。在连接这些网络时,这类产品一般采用一种漫游技术,将用户的移动电话身份扩展到IP网络上,从一端的7号信令转换到另一端的SIP。所有这类产品都可以将用户的移动身份扩展到IP网络,使用户的电话号码和会话不管在什么位置都保持不变。这些厂商还关注像会话持续性和单点登录认证等特性。
将得到什么好处
IT人员得到的最直接的好处是节省费用。基本的逻辑是这样的:企业内拨打的大量移动呼叫实际上是企业内的电话,利用融合服务,这些呼叫将是免费的。企业打给外部的移动呼叫在Internet上传输也比通过蜂窝网传输便宜。
Kineto的Shaw说:“增加的移动性提高了工作效率。当用户拥有带宽时,用户在电话上的数据应用体验也得到了很大改进。”Avaya的Lovasco表示,“融合解决方案是一种更安全的解决方案。有了融合性,企业能够重新获得对自己移动用户的控制。”
相关链接
Cisco收购Airespace
Cisco公司
编看编想
变通的力量
假如某件事处理起来很棘手,但又不得不面对时,采用“变通”的方式也许会收到很好效果。
安全问题一直是捆扰WLAN的要害问题,以往要有效解决这个问题,部署起来比较复杂,显然与终端应用要求简单化的大趋势不协调。采用变通的方式是一种不错的解决方法。在WLAN交换机上尽可能解决安全,甚至包括智能、治理在内的所有问题,将AP减肥,这样不仅解决了终端应用简单的问题,重要的是这些要害特性更轻易得到部署。Cisco完成对Airespace的收购,从支持传统的WLAN到支持“AP减肥”方案,是否也意味着一种“