Благодаря своей гибкости и невысокой стоимости, беспроводные сети (WLAN) прочно закрепились на предприятиях. Тенденция к использованию на рабочем месте персональных конечных устройств (принцип Bring Your Own Device, BYOD) способствует дальнейшему распространению беспроводных технологий. Но когда речь заходит о планировании крупных или распределенных беспроводных инфраструктур, начинают проявляться особенности различных концепций, применяемых в представленных на рынке решениях. Удачные варианты с использованием креативных технологий и оригинальных подходов могут предложить и недавно появившиеся на рынке производители.
На многих предприятиях переход на беспроводные сети способствовал повышению гибкости рабочих процессов и реализации таких современных способов организации работы, как совместное использование рабочих мест (Desk Sharing). Благодаря WLAN сотрудники предприятия теперь могут выполнять свои прямые обязанности независимо от того, где они находятся. Кроме того, беспроводные соединения позволяют без какихлибо проблем предоставить посетителям гостевой доступ к Интернету. Определяющую роль здесь играют конкретные требования и существующие условия.
БЕСКОНТРОЛЛЕРНАЯ ИНФРАСТРУКТУРА
Одна из новых тенденций рынка — развертывание беспроводных сетей без контроллеров, то есть отсутствие центрального управляющего устройства. В качестве ключевого компонента выступает система администрирования, с помощью которой администраторы могут задавать параметры точек доступа и управлять ими. Особенность этого решения в следующем: отдельные точки доступа объединяют в так называемые рои, члены которых ведут себя одинаковым образом, так что управлять можно сразу всей этой группой. Важное преимущество инфраструктуры без контроллеров состоит в том, что в ней не возникает узких мест из-за нехватки пропускной способности, что отрицательно могло бы сказаться на масштабируемости. Кроме того, при такой архитектуре сети отсутствуют и точки общесистемного отказа (Single Point of Failure).
Весь функционал таких решений, предлагаемых, к примеру, компанией Aerohive, реализуется напрямую в отдельных точках доступа, где, кроме прочего, осуществляется выполнение директив и предписаний (Policy Enforcement). В результате вопросы безопасности, аутентификации, обеспечения качества сервиса (QoS) и т. д. регулируются на уровне доступа, то есть на внешнем интерфейсе (Front-End) — не на внутреннем (Back-End) и не через контроллер. Для филиалов или удаленных сотрудников может быть реализовано облачное решение по предоставлению сети в качестве сервиса (Network as a Service, NaaS) (см. Рисунок 1). В этом случае посредством маршрутизации и виртуальных частных сетей (Virtual Private Network, VPN) в распределенных сетевых структурах создаются такие же условия для обеспечения производительности и безопасности, как и в центральном офисе предприятия. Помимо этого, такое решение способно предоставить сервисы обеспечения безопасности на уровнях с четвертого по седьмой.
.png "Рисунок 1. Решения для предоставления сети в качестве сервиса (Network as a Service, NaaS), пригодные для облаков, особенно подходят для филиалов и удаленных сотрудников.") |
| Рисунок 1. Решения для предоставления сети в качестве сервиса (Network as a Service, NaaS), пригодные для облаков, особенно подходят для филиалов и удаленных сотрудников. |
ВИРТУАЛИЗИРОВАННЫЕ СЕТИ WLAN
В качестве технической альтернативы традиционной архитектуре WLAN выступает виртуализированная сеть WLAN. В этом случае инфраструктура состоит из виртуальных портов, а располагающаяся над ними — тоже виртуальная — ячейка охватывает все точки доступа. Так называемая технология виртуальных портов (Virtual Port) разделяет ячейку на отдельные сегменты WLAN, каждый из которых принадлежит одному клиенту, поэтому ячейки и каналы не пересекаются. Используемый в таком сценарии беспроводной контроллер полностью распоряжается всеми ресурсами сети WLAN.
Подобные решения, предлагаемые, к примеру, компанией Meru Networks, позволяют обойтись без трудоемких измерений дальности передачи сигналов в беспроводных средах. Если понадобится дополнительная точка доступа, ее можно установить в любом месте и интегрировать в сеть. Такой метод обеспечивает высокую производительность для имеющихся и будущих приложений. К тому же предприятие получает высоконадежную и высокопроизводительную сеть WLAN, в которой можно реализовать голосовые и широкополосные видеоприложения, предъявляющие высокие требования к качеству связи. Положенные в основу этого подхода технологии способны распознать критически важный для предприятия трафик и обеспечить соблюдение требований QoS для указанных приложений. Одновременно выполняется проверка на наличие потенциально вредоносных устройств.
МАССИВЫ WLAN С ФОРМИРОВАНИЕМ ЛУЧА
По другому пути пошли разработчики антенной технологии Smart WiFi. Она основывается на интеллектуальных антенных массивах с программным управлением, а также на технологии динамического формирования луча (Beamforming). Формируемый сигнал WLAN фокусируется и в реальном времени направляется по тому пути, где имеются наилучшие условия для его прохождения. По сравнению с традиционным подходом, этот метод передачи сигналов позволяет обеспечить большую дальность действия и более высокую надежность сигналов, которые к тому же автоматически адаптируются к изменяющимся условиям окружающей среды.
В таких решениях для беспроводных сетей (выпускаемых, к примеру, компанией Ruckus Wireless) весьма полезной оказывается интегрированная система для управления трафиком, отвечающая за классификацию, сортировку и планирование последовательности пакетов, отправляемых с помощью массива «умных антенн». Что касается вопросов обеспечения безопасности, то динамические заранее распределяемые ключи (Preshared Keys), права для пользователей, изоляция клиентов WLAN и интегрированная система обнаружения вторжений (WLAN Intrusion Detection) придают этому подходу завершенность. Привлекательность такого решения для пользователей заключается в простоте его развертывания и введения в эксплуатацию, а также в возможности расширения инфраструктуры WLAN до любых желаемых размеров.
ИНТЕГРАЦИЯ ОБЛАЧНЫХ ТЕХНОЛОГИЙ
Приверженцы облачных технологий теперь могут воспользоваться решениями для WLAN, администрирование которых осуществляется из облака. Подобные беспроводные архитектуры (например, от производителя Meraki) сочетают в себе простое в обслуживании аппаратное обеспечение с централизованным управлением на базе Web. При этом пользователи получают выигрыш в виде высокой доступности и неограниченной масштабируемости таких систем.
Администраторы могут управлять тысячами точек доступа через Интернет, причем независимо от того, сосредоточены ли они в одном месте или распределены по международным филиалам предприятия. Система контроля пропускной способности сети WLAN (Traffic Shaper) позволяет анализировать трафик на уровне приложений (Facebook, Skype, Oracle и т. д.), ограничивать его и устанавливать приоритеты. К примеру, трафик ресурсоемких приложений (таких как YouTube или обновления операционной системы) может быть ограничен в пользу данных, действительно важных для деятельности предприятия.
Выбор технологии, которая будет внедрена на предприятии, должен осуществляться с учетом конкретных обстоятельств. Это утверждение справедливо и в отношении мер по обеспечению безопасности и защиты данных в средах BYOD. Все большее количество сотрудников пользуются на работе своими персональными конечными устройствами — ноутбуками, нетбуками, смартфонами, планшетными ПК. Использование этих частных устройств ослабляет сеть WLAN, изначально рассчитанную лишь на компьютеры, входящие во внутреннюю сеть предприятия, и представляет собой потенциальную угрозу ее безопасности.В результате возникает закономерный вопрос: как защитить конфиденциальные данные в корпоративной беспроводной сети, когда гости или сами сотрудники используют беспроводную сеть для доступа в Интернет со своих устройств? У некоторых производителей имеются решения, предназначенные для решения и этой проблемы.
Для создания гостевых учетных записей, предоставляющих ограниченный доступ к корпоративной сети WLAN, имеются специализированные решения, с помощью которых ИТ-специалисты могут создавать любое количество гостевых учетных записей, в том числе и с необходимым запасом. К примеру, если на предприятии планируется проведение выставки или совещания, для участников которого потребуется большое количество учетных записей с ограниченным доступом, их можно завести заранее, чтобы они были доступны только в определенный день. При регистрации пользователей нагрузка на отдел ИТ значительно снижается, ведь авторизованные сотрудники и гости смогут самостоятельно войти в сеть. Одним щелчком мыши ответственный персонал может создать учетные записи, а затем передать посетителям необходимую для авторизации информацию по электронной почте на мобильное устройство, в виде бумажной распечатки или посредством звонка с голосовым сообщением. Затем пользователь самостоятельно авторизуется через соответствующий портал.
ГИБКОЕ УПРАВЛЕНИЕ ПОЛИТИКАМИ
Гибкая концепция управления правилами (Policy Management), реализуемая, к примеру, с помощью Meru Identity Manager, гарантирует, что в режиме гостевого доступа пользователи получат только те права, которые действительно для них предусмотрены (см. Рисунок 2).С помощью различных директив администраторы могут создавать учетные записи и пароли, регулировать время доступа для различных пользовательских групп.
.png "Рисунок 2. Архитектура решения BYOD: система управления правилами позволяет реализовать ограниченный доступ к WLAN без угрозы для безопасности внутрикорпоративной сети.") |
| Рисунок 2. Архитектура решения BYOD: система управления правилами позволяет реализовать ограниченный доступ к WLAN без угрозы для безопасности внутрикорпоративной сети. |
Так, можно указать, в течение какого времени та или иная учетная запись является действительной. По истечении установленного срока доступ пользователя в сеть автоматически блокируется. При реализации такого решения учетные записи привязаны к конкретным пользователям; следовательно, доступ действителен только для одного гостя. Иначе говоря, несколько человек не могут при помощи одних и тех же данных подключиться к сети WLAN. Шифрование передаваемых данных для авторизации позволяет еще больше повысить защищенность сети.
ЗАКЛЮЧЕНИЕ
Тщательно спланированная и оптимально организованная корпоративная сеть WLAN не таит в себе ничего сверхсложного. Отсутствие физических кабельных соединений не дает оснований сомневаться в надежности защиты — скорее, наоборот.
Томас Хруби — руководитель компании Sysob IT-Distribution.