除了AP、网卡这些典型的无线局域网产品,无线网关、无线交换机的应用也正在逐渐兴起,它们对整个网络的安全、设计与构建、高效治理都起着要害作用。
毋庸置疑,无线局域网在实现用户自由接入、提高企业生产率和投资回报率方面确有优势。但随着应用的深入,人们发现无线局域网也有不尽人意的地方,首当其冲便是安全问题。典型的例子:由于IEEE 802.11硬件设备应用已相当普及,任何人都可以购买接入点(AP)自行安装,在频谱范围内共享网络接入,这就给恶意操作人员以可乘之机。
自802.11无线局域网进入应用以来,安全问题便成为人们关注的焦点。对无线网进行高效治理,增强其安全性,与提高灵活性同等重要。人们在配置WLAN时,不得不将安全设置纳入整体架构加以考虑,于是各类无线安全工具应运而生。如今一些开发商推出了与AP协同工作的网关工具,还有的在开发无线交换机,这些方案都能简化WLAN设计与构建,高效实现网络治理。
无线网关集中治理
最初对WLAN实现集中治理的工具是无线网关。早在2001年底,开发商Bluesocket、ReefEdge和Vernier Networks就推出了相关产品,现在已过渡到第二代甚至第三代技术,这类工具基本能适用于所有类型的客户应用,如企业专用无线网,以及由服务提供商配置的热点地区(如机场)无线网络。此类安全工具运用最为成功的是教育领域,如大学校园,一般都配置有大型网络,并能支持大量不同类型的客户端接入。例如Bluesocket公司的产品已为美国100多所大学校园配置了安全网关,相关AP达数万台。
这类无线网关产品适用于所有无线频率,能直接(或通过交换机或路由器)连接到任何厂商的AP。最简单的WLAN网关为一盒式装置,所有无线通信都经过网关,然后经路由传送到有线网,并不需要将网关物理地置于AP和有线网之间,但必须保证处于同一IP子网,即在可治理的AP范围内。网关还能处理子网间的漫游,但需要为每个子网配置分离网关。这是因为当客户从一个子网漫游到另一个子网时,他们即与先前的网关失去了联络,漫游需采用移动IP或专用机制实现。网关具备漫游功能,用户即可实现无缝访问,因为这时子网对用户来说是透明的。
AP可通过集线器或二层交换机与网关相连,也可直接相连,多数厂商对三种连接方式都支持,只不过不同厂商的设备需采用不同体系结构。如ReefEdge产品虽然端口有限,但能以200Mbps吞吐率处理加密通信,因而支持AP数量多(最多达100台),大部分采用间接连接方式。无论采用何种连接方式,所有网关起的作用大抵相同。也就是说,不管客户端采用何类AP接入,网关都能增强与接入控制、加密和QoS有关的策略治理,它也就可以提供很多高端AP具有的安全特性,如采用RADIUS服务器或数字证书的认证功能。
此外,网关本身还具备VPN加密功能,不过这需要客户端软件的支持。现今很多客户端都安装有兼容VPN的软件,如windows 2000和XP具备IPSec加密功能,大多数浏览器都支持SSL加密,因而实现较为轻易。客户端具备与网关兼容的VPN软件至关重要,因为对于热点地区和大学校园这类应用环境,应保证容纳不同的硬/软件配置(保证大多数客户端能够顺利接入)。厂商为此开发一个专用平台很轻易,但会给网络治理带来诸多不便。
兼容性是要害
无线网关除具备安全功能、可实现用户漫游外,还能进行带宽治理。它能简化网络治理,对不同类型的无线局域网进行集中控制:相应策略集中配置于网关中,而不必对每个AP进行单独配置,网关独立于AP和所采用的无线技术。
这就带来一个系统兼容性问题,因为开发商在网关配置和互联方面采用的都是专有技术。由于单一网关能够对数台AP实施集中治理,因而一般无线网都配置有多台网关。这就引发一个问题:若各个子网采用不同厂商的网关,将无法进行互联。而且,在配置多网关时,不同厂商采用的网络架构也不尽相同。例如Bluesocket采用点对点体系结构,因而治理是全分布式的,客户可以先启用一台设备,然后直接增加即可。ReefEdge和Vernier都采用层级式体系结构,其中一台为主设备,ReefEdge称为控制服务器,Vernier称为连接服务器。服务器担当着网络治理和对其他网关进行策略配置的作用,同时还负责潜在的故障修复,因而一般配置有此类附加服务器,以提供系统冗余。
而且,ReefEdge和Vernier的层级式体系结构也略有不同:前者的控制服务器本身担当着网关作用,因而客户可直接往后叠加另外网关(称为边缘控制器);Vernier的连接服务器为专用设备,处于网络中心位置,本身不具备网关功能,因而初始配置至少得两台设备,一台用作服务器,一台用作网关(称为接入治理器),
WLAN网关功能大部分在第三层实现,AP进行更低层处理,负责将802.11帧转换为802.3以太帧,因此802.11帧在到达网关后,其原有属性将不复存在。从传统上讲,这种处理方案大大增强了系统安全性,因为网关采用的是VPN加密,而不是易于被破解的WEP协议。另外,Wi-Fi联盟于今年5月发布了Wi-Fi保护接入(WPA)协议,今后凡经Wi-Fi联盟认证的产品都将具备这一安全功能特性。IEEE还在开发其它增强协议标准,以提高无线网的QoS和功率治理能力,并进一步增强安全性。
无线交换机如扩展AP
为充分利用802.11无线局域网,有的开发商在采用一种折衷方案:将智能处理功能从AP中剥离,集中到另外设备中进行处理。这类设备称为交换机,因为它具备第二层功能性。
Symbol于去年底推出的Mobius就属此类设备,它在外观上与普通LAN交换机没什么两样。该交换机具备两个10/100M以太端口,据Symbol说能同时支持30路AP接入,这是因为相对交换机以太端口来说,802.11b速率要低得多。
跟网关一样,无线交换机采用普通集线器或交换机与AP实现间接连接。但在802.11帧处理上与网关方式不同:它不将802.11帧转换为以太帧,而是将其封装进802.3帧当中,然后通过专用隧道传输到无线交换机。从有线网的角度看,无线交换机更像是一类功能扩展了的AP。
除Symbol外,Extreme、Airespace、Trapeze和Chantry也推出了相关产品方案。这些方案集成有丰富的加密功能,如包含RC4加密算法的WEP和WPA以及AES加密标准。
简化集中治理
无线网络治理中,无线电波传播传输控制是一个重要议题。无线交换机在设计上充分考虑到了无线网治理进程的自动化,所有无线交换机都能动态监控无线电波,实时测量无线网络的工作性能,并调整传输功率级别以均衡负载。假如一台AP出现故障,其他AP应能自动增加传输功率以提供备份地域覆盖;若有新的AP加入,其它AP应能减小功率发射,以避免产生冲突。
Airespace、Aruba和Trapeze还提供运行于Windows平台的相关治理软件,能进行无线网地理规划,具备AP位置的图形显示功能,并能检测网络覆盖中潜在的盲区,提供备份功能选项。如Trapeze的软件方案能在引入AP前进行网络覆盖规划,系统中集成有建筑环境数据库,为用户提供客户端数量、数据率以及AP位置设置。实时监控功能主要是实现入侵检测和预防,这主要是在第二层以下完成。无线交换机系统能够运用AP扫描无线电波,进行恶意AP或用户检测,通过输入多AP信息,它甚至能测量出用户位置,并在治理地图中显示。
也要解决兼容性
由于交换机本身为一类专有系统,因而只有相应配置同一厂商的AP,方能发挥其功能。多数无线交换机能够连接到标准AP,但只能提供基本的无线覆盖,对于恶意接入点检测、入侵预防以及动态功率调节这类功能实现,仍离不开厂商自身开发的AP。另外,很多无线交换机开发商都是初出茅庐,产品本身功能还亟待完善。
可见解决无线交换机的兼容性问题已成当务之急。今年5月,IETF公布了一份由NTT DoCoMo和Airespace公司共同草拟的标准草案。其核心是轻量接入点协议(LWAPP),专门规范交换机和AP间的配置信息,以实现互联。但WLAN交换机要获得推广应用,还有很长的一段路要走。