Свободу мобильным пользователям!

Так можно было бы сформулировать лозунг форума Cisco «Мобильность без границ». Взрывной рост количества мобильных устройств (ожидается, что число только владельцев смартфонов в 2015 г. достигнет 2 млрд), их растущая функциональность и охватывающая массы тенденция BYOD с уверенностью позволяют говорить, что будущее использование сетевых телекоммуникаций, включая Интернет и корпоративные сети, неразрывно связано с мобильностью.

Как предоставить безопасный доступ в сеть для любого мобильного устройства, что необходимо для обеспечения надлежащей работы видео-приложений в мобильной среде, как обеспечить надежность и защищенность беспроводного доступа и главное, как создать среду, в которой использование мобильных устройств не отличается от использования проводных устройств — таковы были основные проблемы, затронутые в выступлениях.

Юрий Галаган (стенд ERC) демонстрирует пять современных способов связи для мобильного сотрудника

Форум начался с обзорного доклада бизнес-консультанта Андрея Харитонова об основных тенденциях в развитии беспроводных технологий и мобильных приложений.

Безусловно, возможность в любой более или менее цивилизованной точке мира связаться с нужными людьми, найти требуемую в данный момент информацию, заказать услугу, будь то номер в отеле, авиабилеты или такси, а то и просто посмотреть кино имеет весьма притягательную силу. Это для простых людей, а для топ-менеджеров своевременное принятие решения может оказаться критическим при заключении крупной сделки. Так что прогноз Cisco, что к 2015 г. количество беспроводных сетевых устройств достигнет 15 млрд. не столь уж невероятен.

В ответ на эту тенденцию на рынке формируются такие основные направления движения, как BYOD, мобильность и видео. Желание сотрудников использовать для работы собственные мобильные устройства выливается для ИТ-отделов в проблему их безопасного подключения к корпоративной сети, увеличения ее емкости и необходимости управления разнородным парком мобильных устройств.

На первом плане стоит обеспечение безопасности. Как показало недавнее исследование компании Vulnerabilities Research, большинство угроз, связанных с кражей конфиденциальной информации, утечкой данных и рядом других, ассоциируется с мобильными платформами. Многие компании и организации запрещают использование Wi-Fi и мобильных устройств в своем бизнесе, однако вряд ли это остановит этот глобальный процесс. Поэтому решение нужно искать в другой плоскости.

Андрей Харитонов: «Тенденция BYOD выливается для ИТ-отделов в проблему их безопасного подключения и необходимости управления разнородным парком мобильных устройств»

Увеличение объемов мобильного трафика и преобладание в нем видеокомпоненты налагает новые требования как к проводному сегменту корпоративной сети, так и к беспроводному. Оба сегмента должны быть прозрачны для пользовательского доступа, применяемых политик и управления. По сути, они должны представлять единую сеть. Исходя из этого, Cisco формирует единый конвергентный подход к построению сетей передачи данных и сетей доступа. Чтобы упростить управление сетями, компания вывела на рынок новые решения под общим названием Cisco Unified Access, которые обеспечивают конвергенцию проводных и беспроводных сетей и предоставляют единую платформу для обоих каналов трафика на базе нового коммутатора Catalyst 3850 и контроллера Cisco 5760 Unified Access WLAN Controller (WLC). Новые решения бесшовно интегрируются с имеющимися.

Докладчик также отметил стремительное развитие беспроводных технологий, которые за последние десять лет увеличили скорость передачи данных в 20 раз — от 54 Мб/с до 1 Гб/с. При этом в 2014 г. ожидается очередное более чем трехкратное увеличение скорости передачи — до 3,5 Гб/с.

Как же построить безопасную беспроводную сеть? Для этого Cisco предлагает свою архитектуру, о которой рассказал системный инженер Юрий Довгань. Он отметил, что первоначальные распределенные архитектуры имели такие недостатки, как отсутствие иерархического представления радиосреды и средств оптимизации радиопокрытия. К тому же настройка каждой точки доступа (ТД) выполнялась отдельно.

Архитектура Cisco Unified Wireless Network является централизованной и содержит пять уровней: мобильные терминалы, ТД, контроллеры (WLC), мобильные сервисы (Mobile Services Engine, MSE) и систему управления Prime Infrastructure (PI).

Кроме централизованного управления ТД и пользователями, такая архитектура обеспечивает динамическую балансировку нагрузки между пользователями и управление радиопокрытием, сервисы определения местоположения, повышенную безопасность, прозрачный роуминг, унификацию проводного и беспроводного доступов.

Несмотря на широкое распространение беспроводных технологий, в их адрес высказывается ряд сомнений относительно качества и надежности связи, безопасности, управляемости и совместимости. По словам выступающего, технологии Cisco позволяют эти сомнения рассеять. Одна из них — динамическое управление радиоресурсами. Так, стандарт 802.11 обычно использует три непересекающихся канала (1-й, 6-й и 11-й) шириной 22 МГц каждый в диапазоне 2,4 ГГц. Средства динамического управления радиосредой (Radio Resource Management) позволяют с помощью трех основных механизмов автоматически назначать каналы новым ТД, управлять мощностью передатчика ТД, обнаруживать отказы ТД и увеличивать мощность передатчиков для восстановления покрытия.

«Расширение» беспроводных сетей до удаленных офисов осуществляется с помощью технологии FlexConnect. Она позволяет внедрить WLAN в филиалы без установки в них контроллеров. ТД филиалов ассоциируются с контроллером головного офиса через WAN-каналы. При этом клиентские данные коммутируются локально.

Юрий Довгань: «С помощью встроенной функциональности в Cisco Unified Wireless Network может быть нейтрализовано более 90% беспроводных атак»

Для распознавания потоков, которые генерируются в WLAN, в WLC ввели новую функцию автоматического распознавания приложений, позволяющую контролировать действия пользователей и применять необходимые политики.

Что касается совместимости, то она обеспечивается посредством программы Cisco Compatible Extension, в рамках которой компания сотрудничает с производителями клиентских устройств, заблаговременно проверяя их совместимость и соответствие стандартам. Это позволяет обеспечить поддержку прозрачного роуминга, устранение неисправностей для каждого беспроводного соединения, более точно определять местоположение клиента.

Качество связи и оптимизация используемого спектра достигается с помощью Cisco CleanAir. Стандартный чипсет Wi-Fi не может обнаружить сигнал помехи (не Wi-Fi-сигнал). Микросхемы Cisco распознают оба сигнала. Помеха не может быть устранена с помощью ПО, это ограничение аппаратного дизайна — здесь необходимо большее разрешение. Зона воздействия распознается ТД/контроллером Cisco, данные про помехи агрегируются от нескольких ТД и затем локализуются. Чипсет и технология Cognia позволяют определить и классифицировать источники помех и запустить механизм динамического распределения каналов для их минимизации и получения максимальной производительности. Качество покрытия для повышение производительности достигается с помощью технологии ClientLink 2.0, которая динамически формирует диаграмму направленности, а функция BandSelect позволяет двухрежимным клиентам подключаться на частоте 5 ГГц. Надежную доставку видео по беспроводной сети обеспечивает технология VideoStream.

Говоря о безопасности WLAN, докладчик отметил, что компоненты ее защиты включают надежную аутентификацию, шифрование, борьбу с несанкционированными устройствами и обнаружение и защиту от атак. Беспроводные продукты Cisco поддерживают современные протоколы аутентификации и устойчивого шифрования (WPA2, 802.11i AES, EAP-TLS, EAP-FAST и PEAP). ТД Cisco могут аутентифицировать себя посредством проводной аутентификации через порт коммутатора (802.1х), тем самым удаляя все возможные несанкционированные ТД. Использование сильной аутентификации и шифрования WPA2/802.11i исключает возможность перехвата данных или их искажения.

Более 90% беспроводных атак может быть нейтрализовано с помощью встроенной функциональности в Cisco Unified Wireless Network. Для обнаружения атак используется базовая IDS, встроенная в ПО контроллера, или адаптивная wIPS, требующая MSE.

Надежный канал между каждым индивидуальным клиентом и ТД создается с помощью технологии Management Frame Protection (MFP), позволяющей клиентам распознать, послано ли сообщение ТД или хакерским устройством. MFP также полностью нейтрализует атаки на управляющие пакеты.

Виктор Платов: «Решение Cisco Unified Access направлено на объединение проводных, беспроводных и виртуальных частных сетей в единую сетевую инфраструктуру»

Как уже упоминалось выше, немаловажную роль в защите WLAN играет борьба с посторонними устройствами. Их необходимо обнаружить, классифицировать и обезвредить. Это выполняется с помощью ряда шагов, которые включают, в частности, прослушивание эфира авторизованными ТД для обнаружения неизвестных МАС-адресов, установление, насколько постороннее устройство является опасным, и определение, подключено ли оно к корпоративной сети. В случае положительного ответа, с помощью Cisco Prime Infrastructure Switchport Tracing определяется порт подключения постороннего устройства, а следовательно, и его местоположения. Посторонние устройства, использующие нестандартный Wi-Fi-канал, обнаруживаются с помощью CleanAir. Таким образом, заключил Юрий Довгань, решения Cisco предлагают интегрированный комплекс безопасности для сетей Wi-Fi.

Обычно, беспроводные сети строятся как оверлейные системы поверх проводных сетей. В результате появлялись две логические сети, управляемые отдельно. Решение Cisco Unified Access, о котором рассказал системный инженер-консультант Виктор Платов, направлено на объединение проводных, беспроводных и виртуальных частных сетей в единую сетевую инфраструктуру.

Сетевая архитектура Unified Access объединяет обработку проводного и беспроводного трафика на едином уровне данных, который поддерживается новой ASIC — Unified Access Data Plane (UADP). Эта схема терминирует проводной и беспроводный трафики, а также обеспечивает единый набор услуг в объединенной сети. UADP создает программируемый уровень обработки данных и позволяет внедрять услуги программно-конфигурируемых сетей (SDN).

В рамках решения Cisco Unified Access компания объявила о двух новых продуктах на базе UADP: коммутатор Catalyst 3850 Unified Access Switch со встроенной функциональностью контроллера беспроводных локальных сетей, и контроллер Unified Access WLAN Controller 5760 с ОС IOS и производительностью 60 Гб/с.

Далее докладчик детально рассмотрел технические особенности и функциональные возможности новых продуктов. Так, в частности, коммутатор Catalyst 3850 характеризуется расширяемой модульной операционной системой IOS XE, технологией Flexible NetFlow, позволяющей идентифицировать проводной и беспроводный трафики на уровне приложений, гранулярным предоставлением QoS и поддержкой TrustSec.

Широкое использование мобильных устройств вызвало развитие и предложение новых мобильных сервисов на основе сетей Wi-Fi. Например, способность беспроводной сети крупного торгового центра обнаруживать присутствие и определять местонахождение потенциального покупателя с включенным устройством можно использовать для предоставления соответствующей информации и стимуляции его активности. В этом контексте Cisco предлагает свой подход, называемый Connected Mobile Experience (CME). Его представил Андрей Харитонов в своей второй презентации. Для реализации этого подхода компания предлагает два решения. Это «мобильный консьерж», предназначенный для стимулирования активности клиентов, и средства анализа действий покупателей в сети и в здании, маршрутов передвижения, времени ожидания в очередях, мест скопления и т.п. Такой подход, по мнению компании, предоставляет выгоды обеим сторонам.

CME с успехом может использоваться в розничной торговле, на транспорте, в гостиницах, здравоохранении и других областях. В общем, предлагаемый подход позволяет повысить уровень обслуживания путем предоставления мобильных услуг с учетом индивидуальных потребностей конечных пользователей, понимать мотивы их поведения и принимать соответствующие меры для повышения уровня удовлетворенности пользователей и увеличения экономической отдачи.

Кроме многочисленных упоминаний о тенденции BYOD в различных презентациях, ей был посвящен отдельный доклад Виктора Платова, на котором рассматривался такой актуальный вопрос, как контроль доступа мобильных устройств. Можно ли сделать их подключение безопасным, не навредят ли они корпоративной сети?

В этом контексте важным является обеспечение единой политики управления доступом как для проводных, так и для беспроводных устройств. При использовании централизованной архитектуры Unified Wireless Network существуют только две точки приложения политик — коммутатор и контроллер. Поэтому необходима некая третья сущность, которая будет определять политики для этих двух устройств. Политики могут зависеть от подключаемого устройства, поэтому нужен также механизм их распознавания. Еще одна проблема — это защищенность подключения. Для этого необходимы аутентификация пользователя и шифрование данных. Пользователь может подключиться к корпоративной сети несколькими способами: по проводной сети, по WLAN или с помощью VPN. В любом случае, политики для него должны быть одинаковые.

Управление в объединенных сетях Cisco выполняет Identity Services Engine (ISE), служащая централизованным хранилищем политик. Подключаемые к сети устройства обращаются к ISE, которая и определяет необходимую в данном случае политику. ISE выполняет аутентификацию как пользователя, так и его терминального устройства, их авторизацию, управляет жизненным циклом гостя, а также определяет тип подключаемого устройства (сервисы профилирования) и реализует необходимые политики.

В новой версии ISE 1.2, которая выйдет летом, появится возможность интеграции с платформами Mobile Device Management (MDM) таких производителей, как AirWatch, MobileIron, Good и Zenprise, что позволит реализовать проверку состояния мобильных устройств.

Затем докладчик остановился на тех шагах, которые выполняются при подключении мобильного устройства к корпоративной сети, и самом процессе подключения.

Участники также смогли ознакомиться с практическим опытом «Инкома» в области построения беспроводных сетей, которым поделился инженер-консультант Роман Хорошок, и лучшими практиками радиопланирования от Cisco и Fluke Networks, представленные региональным менеджером по продажам в России и СНГ Владимиром Демиденко (Fluke Networks).