Незаметный роуминг, суть которого в том, что пользователь переходит из одной сети беспроводного доступа в другую, не замечая этого, дает пользователям возможность непрерывного доступа в Интернет и к корпоративной компьютерной сети в течение рабочего дня. Для того чтобы сделать первый шаг на пути к постоянно находящейся на связи беспроводной компании, корпорация Intel построила в одном из своих зданий экспериментальный беспроводной офис на 25 человек. Его обитатели получили высокоскоростной и безопасный беспроводной доступ к передаче данных по Wi-Fi и высококачественную телефонную связь VoIP. После завершения успешных тестов планируется создать аналогичный офис уже на несколько сотен человек, с помощью которого будут отрабатывать приложения, необходимые для беспроводного предприятия.
Уже несколько лет корпорация Intel активно занимается разработкой решений для беспроводных вычислений. Наиболее заметный успех на этом пути - мобильная технология Intel Centrino, не менее важны и значительные инвестиции в развитие сети беспроводного доступа Wi-Fi по всему миру. Как показывает опыт, повсеместное распространение беспроводных технологий на корпоративном уровне приводит к значительному росту производительности труда и снижению издержек. По мнению аналитиков Intel, когда беспроводные сети связи становятся основными в компании, происходит следующее:
- снижаются расходы на ИТ за счет отказа от прокладки кабеля и расширяются возможности сети;
- уменьшаются эксплуатационные расходы;
- снижаются затраты на подключение к сети новых и перемещение старых сотрудников.
Исследования, проведенные в Intel, показывают, что благодаря беспроводному доступу и постоянной соединенности сотрудников компании вырастает их производительность, поскольку они всегда берут с собой свои ноутбуки на все встречи и совещания, легко и просто организуются спонтанные консультации.
В ходе тестов изучались проблемы, возникающие при развертывании полностью беспроводной рабочей площадки в одном здании, а также последствия такого развертывания на больших площадках для 5000 и более пользователей. Кроме того, тестировались протоколы безопасности 802.1x/ WPA в качестве замены традиционной модели VPN для беспроводной сети корпоративного уровня.
Физический уровень
Тестовый беспроводной полигон был построен в одном из одноэтажных офисных зданий Intel площадью около 400 кв. м. Как показано на рис. 1, беспроводная сеть была разделена на две IP-подсети, каждая из которых располагалась в соответствующем крыле здания.
Рис. 1. Структура беспроводного офиса Intel
Аппаратная инфраструктура состояла из 13 точек доступа, оснащенных сервисами Wi-Fi 802.11a для исследовательских целей, и сервисами 802.11b для связи с действующей корпоративной беспроводной локальной сетью. IP-телефония обеспечивалась через те же самые точки доступа. Шлюз с офисной АТС группировал IP-пакеты и работал на двухпроцессорной системе на базе процессоров Intel Xeon совместно с сервером регистрации IP-телефонии (на базе такой же системы с процессорами Intel Xeon). На этом сервере регистрации работал сервер службы дистанционной аутентификации пользователей по коммутируемым линиям, протокол RADIUS.
Было установлено два беспроводных шлюза (основной и резервный) между беспроводными точками доступа и межсетевым экраном, чтобы обеспечить безопасность с помощью прозрачного мониторинга аутентификации 802.1x. На серверной стороне межсетевого экрана размещались мобильный IP-маршрутизатор, офисная АТС и сервисы инфраструктуры открытых ключей (PKI).
На клиентской стороне сотрудники использовали ноутбуки с беспроводными сетевыми адаптерами 802.11a/b/g, сконфигурированными для работы по протоколу WPA, а также с подключаемыми через USB гарнитурами для IP-телефонии. Эти системы действовали под управлением Windows XP. На них было установлено офисное прикладное ПО, а также ПО сторонних производителей для обслуживания IP-телефонии и мобильности 3-го уровня (протокол Mobile IP).
Заставить технологии взаимодействовать
Основной целью проекта было заставить все составляющие - сеть передачи данных, IP-телефонию и систему безопасности - корректно работать вместе. Сложность проекта увеличивало то, что у каждой из этих составляющих были свой уникальный профиль и интеграция.
Обслуживание телефонных вызовов
Как показано на рис. 2, тип вызова определяет процесс управления IP-телефонией. Самый простой случай - два сотрудника внутри здания, один из которых звонит другому с использованием IP-телефонии. Система-инициатор соединяется с сервером регистрации IP-телефонии, чтобы получить IP-адрес вызываемой системы. По этому адресу инициатор шлет вызываемой системе запрос на вызов. Когда вызываемая система высылает пакет accept (подтверждение), обе системы устанавливают голосовую связь с помощью процедуры подтверждения связи.
Рис. 2. Процедура установки связи IP-телефонии для звонков, инициируемых из беспроводной сети
Если сотрудник хочет установить связь с абонентом, который находится вне сети IP-телефонии, то этот процесс отличается от описанного. Система-инициатор соединяется с сервером регистрации IP-телефонии, чтобы получить IP-адрес вызываемой системы. Сервер регистрации отвечает, что набранному номеру не соответствует IP-адрес. Затем система-инициатор отправляет запрос на установление связи шлюзу с офисной АТС. Этот шлюз переадресовывает запрос офисной АТС с использованием стандартных телефонных сигналов. После того как офисная АТС получила запрос, она начинает обслуживать этот вызов точно так же, как любой другой. Офисная АТС соединяется с вызываемым номером и возвращает статус вызова шлюзу, который перенаправляет его вызывающей системе. Устанавливается голосовая связь, и начинается общение.
Для входящих вызовов процесс происходит практически с точностью до наоборот. Офисная АТС направляет вызов в шлюз, который ищет IP-адрес, соответствующий устройству вызываемого сотрудника. Выполняется процедура подтверждения связи, и начинается общение. Если сотрудник не соединяется, сервер регистрации посылает офисной АТС через шлюз отрицательное сообщение и звонок переадресуется в систему голосовой почты офисной АТС.
Интеграция сети передачи данных с протоколом Mobile IP
Протокол Mobile IP позволяет сотрудникам переходить от одной подсети к другой, не прерывая сетевых соединений. Такая мобильность возможна благодаря связи клиента Mobile IP на клиентской системе и маршрутизатора Mobile IP.
Клиент (мобильный узел) получает два IP-адреса: один адрес основной сети клиента ("домашний" адрес) и другой, временный адрес (адрес обслуживания), который присваивается клиенту, когда устройство клиента попадает в зону действия другой IP-подсети. Клиент регистрирует этот временный адрес в маршрутизаторе Mobile IP. Маршрутизатор Mobile IP перехватывает весь IP-трафик, адресованный клиенту, формирует новые IP-пакеты и пересылает их клиенту по адресу его нового местоположения в сети. Клиент распаковывает и обрабатывает пакеты соответствующим образом.
Процесс работает прозрачно, ниже уровня клиентских приложений. Клиент Mobile IP выполняет функции трансляции, при этом приложениям кажется, что все время используется один и тот же IP-адрес.
Обеспечение сетевой безопасности. Модель безопасности была построена на базе выпускаемых цифровых сертификатов существующей инфраструктуры открытых ключей. Эти сертификаты идентифицируют пользователя и передают ключ шифрования для WPA. С помощью прозрачного мониторинга сеанса 802.1x беспроводной сетевой экран авторизует клиента для присвоения ему соответствующей роли безопасности и ограничивает или предоставляет доступ к корпоративным сервисам на основе прав доступа, имеющихся у клиента.
Определение проблем
Обычно при пилотной реализации технологии вскрываются всевозможные проблемы, выявление которых помогает предупредить их возникновение при дальнейшей эксплуатации.
Проблемы Mobile IP и WPA
Протокол и технология Mobile IP работали хорошо, но пользователи столкнулись с трудностями поддержки непрерывности сеанса при переходе от одной подсети к другой, когда они перемещались внутри здания. Во время движения сотрудники редко обменивались данными, а потому задержка переключения оказывала небольшое влияние на работу сети передачи данных. Однако для IP-телефонии эта задержка оказалась "смертельной": вызовы сбрасывались.
Оказалось, что задержка связана с переключением пользователя. Точнее: для переключения необходимо отменить регистрацию IP-адреса клиента в подсети, из которой он выходит, и зарегистрировать новый IP-адрес в сети назначения. Продолжительность операции составляет 2-3 с, большую часть этого времени занимает переустановка стека протокола безопасности WPA в процессе регистрации/перерегистрации Mobile IP. Эта проблема известна в отрасли, и можно сократить задержку перехода путем генерации ключей шифрования на уровне управления доступом к среде передачи (MAC; уровень 2) стека IP.
Трудности с IP-телефонией
При реализации IP-телефонии было обнаружено множество небольших проблем, от тривиальных до достаточно сложных. Например, клиентское ПО IP-телефонии не поддерживает пятизначные номера - это оказалось значительной проблемой, потому что во внутренней телефонной сети Intel используются как раз пятизначные номера. Проблема была решена путем перепрограммирования клиентского ПО, позволившего добавлять две цифры перед пятизначным номером, набранным клиентом.
Анализ безопасности
Подсистема безопасности работала хорошо. Пользователям понравилось, что они имеют беспроводной доступ к корпоративным ресурсам без необходимости выполнять процедуру входа в виртуальную частную сеть. Планируется провести более подробный анализ подсистемы безопасности в следующих экспериментах.
Взаимозависимость ПО. На уровне приложений самая серьезная проблема была связана с инсталляцией и интеграцией различных пакетов программ разных производителей. Уникальные требования к стеку программ для сосуществования приложений сделали эту проблему трудной для разрешения. Ее влияние было снижено за счет одновременной инсталляции нескольких приложений.
Результаты и перспективы
Опрос участников эксперимента показал, что в целом система работала хорошо, но есть и моменты, требующие совершенствования. Сотрудники оценили возможность автоматически подключаться к сети без запуска приложений, в частности VPN, сторонних производителей. Также всем понравилось оставаться на связи, переходя из рабочих помещений в комнаты для совещаний и обратно без необходимости отключения и подключения кабелей. Отклики пользователей об IP-телефонии были разными. Некоторые положительно отозвались об удобстве IP-телефонии. Другие были разочарованы сбрасыванием вызовов и иногда плохим качеством связи. Более трех четвертей опрошенных были удовлетворены экспериментом и выразили готовность перехода на подобную систему, когда она будет реализована.
Intel планирует провести вторую, более масштабную проверку концепции с участием нескольких сотен сотрудников в другом здании корпорации. Проект будет содержать функции и уровни услуг, более полно соответствующие корпоративным требованиям, например:
- непрерывные возможности голосовой связи с использованием сетей Wi-Fi третьего поколения (3G);
- непрерывность выполнения приложений и сеансов при переходе между площадками (IP Mobility);
- использование смартфонов в качестве оконечных устройств IP-телефонии;
- соответствие требуемым уровням услуг, особенно для IP-телефонии.