- •Лекция 17
- •1. Беспроводной мир: введение в концепцию
- •2 Стандарт на передачу данных в инфракрасном диапазоне с выводом на печать. — Прим. Ред.
- •Беспроводные персональные сети
- •Беспроводные региональные сети
- •Беспроводные глобальные сети
- •Устанавливаем границы
- •Список стандартов
- •Области применения беспроводных сетей
- •Основные конфигурации
- •Доступ в Internet
- •Передача речи без проводов
- •Управление запасами
- •Здравоохранение
- •Образование
- •Операции с недвижимостью
- •Коммунальные предприятия
- •Обслуживание в полевых условиях
- •Торговля в полевых условиях
- •Продажа через торговые автоматы
- •Общедоступные сети
- •Службы определения местонахождения
- •На складе
- •В больнице
- •Повышение надежности
- •Вопросы для самопроверки
- •Структура беспроводной системы: как работает беспроводная сеть
- •Пользователи
- •Компьютерные устройства
- •Контроллеры доступа
- •Применение программного обеспечения, обеспечивающего установление соединений
- •Распределительная система
- •Справочный стол
- •3 Под компрометацией (дискредитацией) в данном случае понимается несанкционированное раскрытие или потеря защищенной информации. — Прим. Ред.
- •Управление конфигурацией
- •Мониторинг сети
- •Отчетность
- •Инженерная поддержка
- •Сопровождение
Контроллеры доступа
Поскольку существующие стандарты беспроводных сетей не регламентируют способы обеспечения защиты, качества обслуживания (QoS) и осуществления ро-уминга, для повышения качества сетей производящие их компании предлагают решения, обеспечивающие управление доступом. Ключевым компонентом таких решений является контроллер доступа, обычно представляющий собой аппаратный узел, располагаемый в проводной части сети, между точками доступа и защищаемой частью сети. Контроллеры доступа обеспечивают централизованный надзор за точками доступа с целью регулирования трафика между открытой беспроводной сетью и важными ресурсами. В некоторых случаях функции управления доступом выполняет точка доступа.
Контроллеры доступа имеют широкую сферу применения. Так, в общедоступных беспроводных локальных сетях контроллер доступа регулирует доступ к Internet, выполняя аутентификацию и авторизацию пользователей на основе данных подписки. Аналогичным образом корпорация может применить контроллер доступа, чтобы отправить хакеров на место стоянки автотранспорта компании, вместо того чтобы дать им доступ к важным данным и приложениям.
За счет использования контроллеров доступа снижается потребность в "умных" точках доступа, относительно дорогих и реализующих многие возможности, не соответствующие стандарту 802.11. Обычно поставщики позиционируют эти точки как рассчитанные для применения на предприятиях. Однако сторонники контроллеров доступа отмечают, что точки доступа стандарта 802.11 должны обеспечивать высокое качество радиосвязи и иметь низкую стоимость. Они также предлагают централизовать функции управления доступом, выполняемые точками доступа, и возложить их на контроллер доступа, обслуживающий все точки доступа. Эти "тонкие"пгочки доступа в основном выполняют требования основного стандарта на беспроводную сеть (такого как IEEE 802.11), и ничего больше.
Развертывая сети с "тонкими" точками доступа, пользователи контроллеров доступа получают следующие преимущества.
Снижение стоимости. Точки доступа с ограниченным набором функций стоят меньше, что снижает стоимость всей системы. Это тем более верно для сетей, в которых используется много точек доступа, таких как сети предприятий. За счет использования "тонких" точек доступа можно сэкономить примерно $400 в пересчете на одну точку доступа. В больших сетях эта экономия значительно превышает дополнительные расходы, вызванные установкой контроллера доступа, который стоит в среднем $5000.
Открытость соединений. "Умные" точки доступа обеспечивают такие преимущества, как повышенные защищенность и производительность по сравнению с соединениями базовых сетей, удовлетворяющих стандартам на беспроводные сети. Однако проблема в том, что во многих случаях эти преимущества реализуются только при условии, что в пользовательских устройствах используется плата интерфейса беспроводной сети, изготовленная тем же производителем, который поставляет точки доступа. Это существенно снижает открытость системы и ограничивает выбор поставщиков. С другой стороны, "тонкие" точки доступа могут легко связываться на основе базового протокола беспроводной сети с платами интерфейса беспроводной сети многих поставщиков, в то время как требуемые улучшения обеспечивает контроллер доступа.
Централизованная поддержка. Одним из преимуществ возложения интеллектуальных функций сети на контроллер доступа является то, что такую систему проще поддерживать в основном за счет снижения числа точек, в которых необходимо осуществлять вмешательство. Если все интеллектуальные функции сети выполняют точки доступа, обслуживающему персоналу приходится взаимодействовать с каждой из них при конфигурировании, мониторинге сети и устранении проблем. Контроллер доступа позволяет возложить на точки доступа выполнение меньшего числа функций, снижая тем самым необходимость работы с ними при выполнении задач поддержки работоспособности сети.
Контроллеры доступа часто обеспечивают контроль доступа, основанный на используемых портах, что позволяет администратору предоставлять доступ к отдельным приложениям каждому конкретному пользователю. Порт, который в действительности представляет собой просто число (например, 80 для http), соответствует отдельному приложению. Например, контроллер доступа может блокировать доступ к порту 80, вынуждая пользователей зарегистрироваться, прежде чем они смогут просматривать Web-страницы. После того как пользователь введет свои пользовательское имя и пароль, контроллер доступа проверит их идентичность на сервере ау-' тентификации. Сетевое приложение могло бы, в качестве альтернативы, использовать с целью аутентификации цифровые сертификаты (digital certificates). Эта функция регулирует доступ пользователя к защищенной сети.
Контроллеры доступа обычно реализуют следующие функции.
Аутентификация. Большинство контроллеров доступа используют для аутентификации пользователей встроенную базу данных, однако некоторые предлагают осуществлять для этого взаимодействие с внешним сервером аутентификации, таким как Служба удаленной аутентификации пользователей по телефонной сети (Remote Authentication Dial-In User Service, RADIUS) и используют Облегченный протокол службы каталогов (Lightweight Directory Access Protocol, LDAP). Для небольших частных сетей подойдет внутренняя база данных. На предприятиях лучшие результаты достигаются при использовании внешних и централизованных серверов аутентификации.
Шифрование. Некоторые контроллеры доступа обеспечивают шифрование данных, передаваемых от клиента к серверу и обратно, используя при этом такой распространенный метод, как IPSec. Это обеспечивает дополнительную защиту по сравнению с той, которую дают методы, регламентированные стандартами на беспроводные сети. Некоторые из этих особенностей реализуются Web-браузерами.
Роуминг через подсети. Для поддержания роуминга из одной сети в другую контроллеры доступа обеспечивают роуминг через подсети (subnets) без необходимости проведения реаутентификации в системе. В результате пользователь может без перерывов пользоваться сетевыми приложениями, даже если он перемещается по зданию. Это особенно полезно для обширных сетей, когда доступ к сети отдельного пользователя приходится обеспечивать через несколько подсетей.
Управление пропускной способностью. Поскольку пользователи совместно используют полосу пропускания беспроводной сети, важно иметь механизм, не позволяющий отдельным пользователям использовать всю пропускную способность сети. Контроллеры доступа обеспечивают подобную форму управления пропускной способностью за счет назначения профилей пользователей, основанных на требуемых уровнях качества связи. Профиль регламентирует типы предоставляемых услуг, таких как просмотр Web-страниц, электронная почта и потоковое видео, а также ограничения характеристик. Например, неподписанный на сервисы сети визитер, пытающийся воспользоваться услугами общедоступной беспроводной локальной сети, может быть классифицирован как имеющий профиль "визитера", доступ которому может быть разрешен только к информации "горячей" точки. Но абонент может получить и другие права доступа, позволяющие ему использовать широкополосное Internet-соединение.