Продолжая разговор, начатый в ч1 и ч2, рассмотрим точки доступа в нестандартном исполнении, работающие по Ethernet. Рассматривать будем три наиболее интересных решения от Motorola, HP и Ruckus Wireless. В следующм посте рассмотрим решения, работающие там, где нет даже СКС.

Класс первый: поверх Ethernet.
В принципе, тут всё ясно – строим наложенную беспроводную сеть поверх существующей Ethernet-сети на точках особого форм-фактора. Наиболее известными решениями являются (в порядке появления на мировой арене): HP MSM317 (результат приобретения HP компании Colubris – гостиничного специалиста), Ruckus Wireless ZoneFlex 7025 и Motorola AP-6511. Общими характеристиками для них являются: невысокая цена (т.к. точек понадобится много – антенны малого размера слабенькие), встроенная антенна, компактность, простота установки, питание по PoE, возможность предоставления портов Ethernet (в т.ч. одного порта с PoE). Однако, одинаковые снаружи точки кардинально разнятся внутри, и каждая наиболее оптимальна для своего сценария.

Слева направо: Motorola AP-6511 (с насадкой RJ-45 и без), HP MSM317, Ruckus Wireless ZoneFlex 7025

HP, фактически, выпускает типичную «тонкую» точку доступа в компактном исполнении. MSM317 работает исключительно под управлением контроллера. Это, с одной стороны, весьма удобно: не нужно настраивать точки перед инсталляцией, появляется динамическое управление радиопокрытием и каналами, легко заменять, всё прекрасно управляется удаленно через HP ProCurve Manager. Сами контроллеры Colubris предоставляют широчайшие возможности в части аутентификации пользователей, организации хотспотов и сбора данных для биллинга. Самое замечательное то, что как и рассмотренный ранее коммутатор 3Com, точка монтируется в стандатное гнездо для розетки СКС! Однако, есть и ограничивающие факторы. Не поддерживается 802.11n (на время выпуска точки его просто не было), нельзя скрыть Ethernet порты от пользователя, нет порта для проброса телефона (правда, это решается переобжимкой телефоного кабеля под RJ-45, т.к. один порт Passive Pass-Through все же есть). Фронтальный порт PoE отдает подключенному к нему устройству не более 8W. Из-за компактных размеров антенну пришлось распаять прямо на плате, коэффициент усиления близок к нулю, в итоге мощность EIPR получилась на уровне 14dBm - в 4 раза меньше общепринятой. В итоге точек нужно МНОГО.

В общем и в целом, чувствуется ориентация на солидные корпоративные инсталляции в офисной среде - в тот же сегмент, в который позиционировался NJ100. Тех, кто "поменьше и попроще", может отпугнуть необходимость покупки контроллера даже для инсталляции 3-10 точек, т.к. сами по себе они не работают, и неспособность поддержки STP на Ethernet-портах (нужно вкладываться в полноценную СКС).  Гостиницам однозначно не понравятся "торчащие на виду" порты RJ-45, в которые пользователь обязательно попробует подключиться и необходимость закупки очень большого количества точек.

Ruckus ZoneFlex 7025 выгодно отличается самой низкой ценой, очень компактной и грамотной конструкцией, поддержкой 802.11n, возможностью приобрести «тонкий» или автономный вариант. Из недостатков – опять же маломощная антенна и выступ на задней части порядка 4см – несущественно при монтаже в короб или в углубление в стене (на месте розетки), но на плоскую поверхность точку уже не смонтируешь. Ruckus Wireless - популярный выбор небольших организаций в США и Европе (крупным нужна полноценная управляемость и большая мощность) и знает, как им угодить. Самый главный недостаток - недоступен в Украине и, зная как легко и просто сертифицировать у нас в стране ТД, вряд ли появится в ближайшее время.

Motorola AP-6511 прельщает пользователей повышенной мощностью сигнала (в полтора раза больше, чем у HP, к примеру) и поддержкой MIMO 2x2, что должно дать значительно большее покрытие, нежели у конкурентов, модульной конструкцией (доступны насадки с разными портами), разными режимами работы: автономно, под управлением контроллера. Самое приятное, AP-6511 может работать в качестве контроллера для 25 других точек! Фактически, Motorola взяла конструктивные наработки приобретенной еще в 2007 году Tut Systems, работающей в сфере гостиниц с 1996 года и знающей, что действительно работает, а что - нет (и кстати, изобревшей HPNA), и «начинила» точку своей современной платформой Wi-NG 5 - такой же, как в своей "взрослой" линейке точек и контроллеров.

Из недостатков – габариты, цена (но из-за большей мощности нужно меньше точек, да и не нужен отдельный контроллер) и то, что точка пока только анонсирована – продажи должны начаться в этом году, но в Украине - уже в следующем. Ничего удивительного в тотальном превосходстве точки Motorola нет - она вышла последней, и у компании была возможность оглядеться на конкурентов, да еще и оставить задел на будущее в виде обещания о полном взаимодействии со всей линейкой Motorola Enterprise WLAN. Как я понимаю, это очередной шаг стратегии Motorola по проникновению в "Carpeted Space" - офисы, гостиницы, унивеситеты, где могут понадобиться точки разных форм-факторов, а строить несколько разнородных сетей никто, естественно не хочет.

Итого, украинский заказчик, обладающий СКС сейчас может выбирать из двух специализированных решений - HP (подешевле и сейчас, если устраивает и особенно хорошо если LAN тоже на HP) и Motorola (подороже и поуниверсальней, но в следующем году). Жаль, малым преприятиям недоступен еще более дешевый Ruckus. Остается третий вариант - купить 12 точек Cisco WRT-54G, сделать 12 SSID (HOTEL-AP1 ... HOTEL-AP12), развесить на прямой видимости и одна над другой на этажах и настроить их все на один канал "чтобы видели друг друга". Такое в нашей стране бывает, жаль, только, интернет плохо работает :)

В следующей, финальной, части - ответ на вопрос "А можно ли обойтись без СКС?".

Итак, в прошлый раз, обсуждая беспроводные сети, мы остановились ..на коммутаторе 3Com. Чем же он нам так интересен?

Как видно из картинки, это коммутатор с 4 портами Ethernet RJ45 (на самом деле с 5), исполненный в виде стандартной розетки СКС. Все гениальное просто! Производители беспроводки пошли по тому же принципу, разработав недорогие точки доступа, монтирующиеся прямо на розетку (WallPlate AP).

Точки оснащены встроенными антеннами небольшой мощности (достаточной для покрытия 1-3 соседних комнат) и спроектированными для работы с высоты настенной розетки (а не с потолка), могут иметь дополнительно несколько портов RJ-45 и RJ-11 (проброс телефона), не требуют конфигурации перед установкой, могут работать как с контроллером, так и автономно. При этом процедура инсталляции, обычно, максимально упрощена, чтобы с ней справился неподготовленный пользователь и сводится к нескольким шагам: снять розетку, поставить крепление точки, подключить кабель, вставить (а часто – просто вщелкнуть) точку в крепление.

Все вышеописанное кардинально меняет весь подход к планированию – вместо того, чтобы думать, как пробиться сигналом в комнаты из коридоров, как получше развести кабель, чтобы и вышло недорого, и ремонт не затронуть, как обеспечить отказоустойчивость и нормальное канальное планирование – мы просто устанавливаем точки прямо там, где нужно покрытие. Их можно размещать в рабочих комнатах, гостиничных номерах, холлах, переговорных комнатах, конференц-залах, коридорах, так сказать, «со стороны клиента». А стены и другие препятствия наоборот начинают нам помогать – они ослабляют интерференцию между соседними точками, что упрощает планирование каналов (напомню, непересекающихся каналов в диапазоне 2.4ГГц всего-то три). Также, не требуется практически никакой прокладки кабеля, что исключает дополнительные затраты на СКС, не затрагивается интерьер помещения (точки намеренно выглядят как телефонные розетки).

На сегодняшний день существует два подвида решения WallPlate AP. Первый работает поверх традиционного проводного Ethernet (для тех, у кого уже есть СКС, но нет WLAN). Второй подойдет тем, у кого нет даже СКС, но есть телефонная сеть на основе уАТС (PBX) – в этом случае решение используется DSL. Следующие два поста будут посвящены обзору продуктов разных вендоров, работающих по Ethernet и DSL.

Обычно, беспроводные сети являются прерогативой открытых пространств (склады, цеха, площади) или небольших помещений (квартиры и малые офисы). Построение сети Wi-Fi крупного офисного/учрежденческого здания или гостиницы - серьезная головная боль и немалые деньги. Но рецепты есть и здесь, и очень интересные. О них и поговорим.

Традиционно, беспроводка в офисных центрах, учреждениях и гостиницах разворачивается по принципу "точки в коридоре - пользователи в комнатах". Прежде всего, это связано с довольно высокой ценой точки доступа Enterprise-класса и связанным с ней желанием посадить как можно больше пользователей на одну точку. Плюс, заводить кабель в коридор, обычно, проще, чем в комнаты. Но именно такой подход и порождает проблемы.

Во-первых, довольно сложно обеспечить качественное радиопокрытие. Здания крупные, имеют довольно сложную архитектуру, много внутренних перегородок, правила противопожарной безопасности требуют наличия брандмауэров, в дореволюционных зданиях (и резиденциях ряда госструктур) толщина стен измеряется метрами – все это осложняет прохождение сигнала. Даже гостиницы, обычно, строящиеся по принципу "холл, прямой коридор и двери в обе стороны", имеют свои особенности: санузлы чаще всего располагаются ближе к коридору (а это кафель на сетке, зеркала, много металла), на стенах коридоров часто встречаются разнообразные украшения и те же зеркала (а отражающее покрытие зеркала, суть, металл), стены, отделяющие комнаты от коридоров, должны быть пожароустойчивы (как и двери). При этом вдоль коридора сигнал распространяется достаточно хорошо, что порождает проблемы интерференции между точками и усложняет канальное планирование.

Во-вторых, страшное слово "ремонт". Любой СКСник со стажем может рассказать про заказчиков, которые вначале сделали дорогущий ремонт с итальянским мрамором, а потом спохватились о прокладке сети. То же самое происходит и с беспроводкой – СКС проложить не забыли, но уже после сдачи решили "пристроить" Wi-Fi - "Но только новый кабель мы прокладывать не разрешаем!". Обеспечить человеческое покрытие в таких условиях - задача практически нереальная. Примером может случить проект в небольшом здании (4 этажа, атриум), в котором одна точка обеспечивала 80% покрытия, а еще 9 ютились по "дозволенным" закуткам, закрывая оставшиеся дырки. Опять же, вопросы эстетики – в дорогом бизнес-центре или отеле не потерпят торчащих «рогов» мощных антенн.

В третьих, более 50% стоимости проекта создания беспроводной сети в здании составляют затраты на пассивную часть и связанные с этим работы. Если бы их можно было избежать - стоимость и сроки проекта можно было бы капитально сократить, да еще и практически закрыть вопрос пункта 2.

Решение, тем не менее, достаточно очевидно. Помните, в свое время 3Com (возможно, и другие вендоры) выпустила интересный продукт под названием NJ100?

Как это относится к беспроводке - в следующем посте.

В соседнем блоге идут обсуждения того, как должен выглядеть новый iPad. А у меня родилась идя того, как можно сделать нормальное устройство-компаньон (класса iPhone/iPod/iPad) достаточно простым для неискушенных пользователей, но при этом достаточно человечным и универсальным для всех остальных.

Всем прекрасно известно, что политика Apple следует известнуому утверждению Г.Форда "Покупатель может хотеть автомобиль любого цвета, при условии, что этот цвет - черный".  Благодаря этому мы имеем довольно закрытую платформу, доступ к устройству исключительно через iTunes, а на все протесты Стив отвечает "вам это не нужно" (и, в последнее время "А у других - еще хуже!"). Конечно, сейчас можно найти множество программ для прямого доступа к устройству без iTunes, да и в AppStore полно приложений типа AirFiles, DocViewer и иже с ними, которые осуществляют (в извращенной форме) обмен данными с ПК, но всё это далеко не всегда работает как предполагается.

И что совсем не радует - производители устройств на Android и WP7 тоже начинают подхватывать практику "замыкания" пользователя на свой софт коммуникации с устройством. А ведь можно одним махом навести порядок во всем этом бардаке вполне простым способом, сохранив при этом и защиту от несанкционированного копирования, и от нарушения целостности информации на устройстве. Собственно, этой идеей хочу поделиться с сообществом.

1. При подключении девайс видится как флешка с несколькими каталогами, которые нельзя удалить/переименовать. Каталоги называются "Put {Music|Video|Apps|Books|etc} Here", также есть каталог "Feedback".

2. При забрасывании файла в каталог Music - он добавляется в аудиотеку устройства. При добавлении в Video - добавляется и при необходимости конвертируется (при нынешних гигагерцовых CPU не должно быть проблемой), при добавлении книги в Books - книга ставится в штатную читалку (а-ля iBooks). При добавлении IPA в Apps - устанавливается  приложение. При обработке файл эксклюзивно лочится (дабы не возникло проблем в процессе), а после обработки - вытирается, ибо защита от пиратства и все такое.

3. Каталог "Files" исключение - это read/write/noexecute (что важно) гадюшник файлов фиксированного размера (квота задается в настройках устройства), к которому может получить доступ любая программка c девайса. Вот уже и не нужны неуклюжий App Sync из iTunes и прочие приблуды типа SSH/AirFiles/iFiles. Заодно, любая программка может сделать бакап своих данных в этот каталог.

4. В каждом каталоге лежит неубиваемый файл Readme (TXT/HTML) с описанием требований к положенному в каталог файлу, чтобы он успешно обработался (или выложить все эти файлы в корень в один файл Requirements). Так, например, MP3 файл вообще без тегов обрабатываться не будет, требования к видеоформатам и т.д.

5. Каталог Feedback содержит логи операций: "{Audio|Video|Apps|etc} Processing  Log", в которых пишется что обрабатывалось за последние несколько операций, что было сделано успешно, что нет, и почему.

6. В корне устройства лежит файл Manual, представляющий инструкцию к устройству в формате HTML/PDF. При необходимости, там же может лежать дистрибутив синхронизационного софта/драйверов.

7. Язык/имена файлов/каталогов/мануала меняется в зависимсти от установленной на устройстве локали.

8. Со временем, если с механизмом не возникает вопросов, можно разрешить другим программкам создавать свои каталоги "\AppName" и регистрировать для них обработчики файлов.

В принципе, все. У нас есть девайс с довольно простым интерфейсом Drag'n'Drop (с ароматом идеологии Unix), которому не нужен никакой дополнительный софт для выполнения основной массы задач. Можно подключать к любому компьютеру, а софты а-ля iTunes использовать только для синхронизации (именно синхронизации) бакапов, перепрошивки и траты денег.

Если кто-то реализует это в своем устройстве - я куплю.

Две хороших новости для тех, кто строит (первая) или эксплуатирует (вторая) "взрослые" Wi-Fi сети.

1. Motorola выпустила новую версию флагманского инструментария радипланирования и радиоразведки  LANPlanner - v13. Почему это существенно, и почему я раньше ничего не говорил о v10,v11,v12 и их многочисленных промежуточных изданиях?

Небольшое лирическое отступление. LANPlanner - черезвычайно мощный комплекс для радиопланирования и радиоразведки, который замечательно помогает выигрывать тендеры и объяснять заказчикам, почему точек должно быть ровно столько, и стоять они должны точно здесь, предоставляя информацию в виде наглядных планов на основе математических расчетов, а не абстрактных "кругов на воде" и пробежек с ноутбуком.

При этом можно делать весьма и весьма сложные проекты.

Варианты попроще:

Радиоразведка:

Варианты посложнее:

Однако, программа имеет ряд, хм, особенностей. Архитектурно, она построена на движке AutoDesk (AutoCAD & Co.) и предназначена "для серьезных людей". В итоге, LAN Planner чем-то напоминает Solaris среди систем радиопланирования - черезвычайно мощная и настолько же дружелюбная к неподготовленному пользователю. Скажем так, даже инструкторы, обучающее работе с программой, предпочитают пользоваться командной строкой (да, там есть командная строка) а не GUI, которому обучают.

В тринадцатой инкарнации LAN Planner наконец-то "повернулся лицом к народу". Значительно переработаны ВСЕ процедуры - от создания модели здания до анализа расположения точек. По уровню сложности работы программа приблизилась к Visio и может быть рекомендован для общего употребления. Правда, на скриншотах этого не видно, но ради интереса я склепал небольшой проект и был приятно впечатлен. Да что там говорить - стандартно (без хаков) появилась функция Undo!

В комплект LAN Planner входит также модуль радиоразведки SiteScanner, который позволяет не просто создать визуализацию покрытия, но и вернуть результаты в LAN Planner, что очень полезно при пилотных инсталляциях, т.к. позволяет по результатам измерений уточнить математическую модель и коэффициенты. За свою практику пользования инструментом я не проводил более 2 радоразведок на одном объекте (план -> разведка -> уточнение -> подтверждение, больше уточнений делать не приходилоь). При этом можно не только промерять характеристики сигнала (RSSI, SNR, SIR и т.д.), но и проводить бенчмаркинг сети, запуская по ней тестовые потоки данных (поддерживается клиент-серверный бенчмарк).

Но помимо всех прекрасных функций у LAN Planner все еще остается один существенный минус - цена, которая в розницу достигает почти 10 000$, и каждый год нужно платить несколько тысяч поддержки (учитывая сложность продукта, бесплатные обновления  и оперативность хелпдеска - оно того стоит). Такое вполне могут позволить себе сетевые интеграторы - для них инструмент окупается за счет платных услуг по разведке и преимущества перед конкурентами, неспособными предоставить четкие обоснования решения. 

А что делать простым пользователям небольших организаций, которым не нужны все эти навороты, а нужно время от времени разбираться в состоянии беспроводной сети, когда возникают непонятные проблемы? Особенно в бинес-центрах, где обстановка меняется с каждой сменой соседей. Вот мы плавно подошли ко второй новости...

Весьма уважаемая компания VeriWave, выпускающая продукцию для тестирования беспроводного оборудования (достаточно сказать, что их тестовыми комплексами пользуются ВСЕ ведущие вендоры WLAN), выпустила утилиту для проведения радиоразведки (безо всякого планирования) WaveDeploy. И - что приятно - существует бесплатная редакция!

 Правда, функциональность бесплатной версии сильно ограничена по сравнению с полноценной платной WaveDeploy Pro (сравнение редакций здесь). Тем не менее, бесплатной WaveDeploy вполне хватит для того, чтобы промерить покрытие и даже погонять несложные тесты. Например, чтобы понять, почему такая плохая связь в левом крыле здания (даже прямо под точкой), почему одни ноутбуки работают в сети медленнее других, какие железки закупать для работы и т.д.. Рекомендую вот это демо (особенно тем, кто любит ругать Apple).

Появление бесплатного инструмента даже просто разведки обещает улучшить качество создаваемых в нашей стране беспроводных сетей. Бесплатную утилиту может себе позволить любой интегратор, а у заказчика появляется возможность проконтроливать качество работ и писать в ТЗ уже не просто "наличие покрытия", а конкретные уровни сигнала и эффективные скорости (не rates, а реальные скорости передачи реальных данных). Так что это выгодно всем. Правда,я не уверен, что WaveDeploy будет бесплатным вечно, поэтому рекомендую запасаться впрок.

Подсмотрел в одном из хороших блогов одновременно веселую и печальную шутку.
Вопрос: Как назвается самый крупный в мире хотспот?
Ответ: Linksys

Домашние WiFi-роутеры Linksys чрезвычайно популярны во всем мире. И до недавнего времени все роутеры Linksys поставлялись с настроенным по-умолчанию SSID Linksys, каналом 6 и отсутствующим шифрованием. Что и привело к распространению приведенной выше профессиональной шутки. Появление WPS несколько исправило ситуацию, но и сейчас статистика WiGLE показывает неутешительную картину:

Как видите, присутствуют все знакомые имена: Linksys, D-Link, Netgear, Belkin и принтеры HP. Суммарная доля дефолтных SSID составляет около 12,5%. Если предположить, что хотя бы половина из них всё таки поменяла ключ - каждая шестнадцатая сеть уязвима.

Замечательная статистика, ничего не скажешь. А потом эти люди подают в суд на Google за сбор приватной информации при обновлении Street View. Хе-хе. Но это еще цветочки.

Ягодки проклевываются, когда такую точку подключат к корпоративной сети. В свое время так взломали сеть крупного ритейлера электроники в штатах - он предоставлял доступ к части своих данных о клиентах субарендатору, обеспечивавшему обслуживание проданой электроники. Сотрудники этого арендатора (с говорящим названием Geek Squad) несанкционированно установили точку доступа в одном из магазинов. Это был тот самый SSID linksys. Не надо говорить, где в скором времени оказались эти данные. :) Цена вопроса - пара миллионов $ репараций и штрафов.

Выводы делаем сами.

Сегодняшний день будет памятен сотрудникам украинского офиса Motorola как день, в который они с удивлением узнали, что ...уже три месяца как офис закрыт!

Не знаю, с чего точно все началось, возможно, с заявления вроде этого.

"Motorola рассматривает возможность непрямых поставок мобильных телефонов в РФ." - говорится в новости. Действительно, продажи мобильных телефонов Motorola в России и в Украине в последнее время - ниже плинтуса. Даже завоз Milestone с русифицированной клавиатурой не спас положение. При этом, там же в новости подчеркивается, что с рынка компания уходить не намерена, собирается оставлять офисы и т.д. Что, впрочем, не помешало написать в конце следующее: "Как сегодня сообщил ряд СМИ ... Motorola ... намерена закрыть российский офис".

Меня всегда радовали люди, которые пишут взаимоисключающими параграфами.

Еще больше, меня радуют отделы новостей, которые не проверяют новости (а новость такого масштаба НЕЛЬЗЯ публиковать непроверенной). Судя по количеству публикаций в Интернете на тему "Motorola закрывает офис в России" (без "как ходят слухи в СМИ" и без "закрывается направление мобильных телефонов") - новости у нас проверять не принято.

Особенно отличилось издание "Коммерсант", которое запросило допонительные источники, и в итоге ...закрыло еще и Украинский офис компании! Компании, в бизнесе которой (по результам 2009 года) мобильные телефоны занимают последнее место не только по прибыли (хе-хе), но и по оборотам! Это аналогично заявлению, что ITC.UA закрывается (с "КО", с Hotline, c ДПК) потому, что журналисты "КО" уделяют мало внимания теме мобильных телефонов!

Но и это еще не все: уже эту новость - не проверяя ("Коммерсант" сказал!") - перепечатали другие уважаемые украинские издания... В итоге, я вроде как с июля безработный, и офис в 800+ кв. м. мне лишь снился...

В общем, история повторяется. Написал в Коммерсант письмо, начинающееся с фразы про "дорогую редакцию".

P.S. Коммерсант цитирует небезызвестного Эльдара Муртазина, как источник. Вспоминается скандал с русской клавиатурой Milestone, где тот же Муртазин заявлял, что проблемы будут и в финальной версии  телефона. Теперь он заявляет, что Motorola закрывает офисы по всей Европе... Начинают у меня возникать вопросы... Или его просто умело цитируют?

Недавно читал отчет J. Gold Associates, посвященный критериям выбора корпоративной мобильной ОС. А тут еще в комментариях в соседнем блоге высказали утверждение, что ОС можно считать корпоративной по признаку наличия интеграции с Exchange (почта, календарь) и пакета офисных приложений. А теперь давайте углубимся в вопрос (с особым пристратием рассмотрим безопасность)...

Корпоративная мобильная ОС, должна соответствовать следующим требованиям:

• Надежность. Мы даем сотрудникам мобильные устройства, чтобы они эффективнее работали, а не тратили время на борьбу с глюками и зависаниями.
• Управляемость. После того, как мы раздали людям несколько сотен (если не десятков тысяч) мобильных устройств, которые постоянно перемещаются, далеко не всегда находятся на связи и могут не заезжать в офис месяцами, вопрос управления всем этим хозяйством, распространения и обновления ПО (и патчей ОС), траблшутинга, поддержки пользователей ("Я жму, а оно не жмется!") и управления конфигурацией стоит ОЧЕНЬ остро и может отнимать уйму времени.
• Безопасность. Корпоративное устройство подключено к корпоративной сети и имеет доступ, ли даже хранит в себе, часть важной корпоративной информации, предоставляющей из себя корпоративную (если не государственную) тайну. Злоумышленник, завладевший таким устройством, помимо доступа к этой информации, может также выдать себя за сотрудника, со всеми вытекающими последствиями. За устройствами надо следить, они должны поддерживать безопасный доступ к информации, ее безопасное хранение и способы ликвидации всей или частичной информации на устройстве (в т.ч. настроек доступа к сети, истории звонков, контактов и т.д.).
• Функциональность / совместимость / эффективность. Помимо того, что система должна быть надежной, защищенной, управляемой/наблюдаемой, она должна давать пользователям возможность эффективно выполнять свои задачи. Должен быть доступен SDK, система должна эффективно расходовать батарейные ресурсы и т.д. Никому не нужна суперзащищенная меганадежная железка, под которую трудно писать софт, который к тому же еле на ней ворочается. Примечательно, что последний пункт практически всегда вступает в противоречие с предыдущим (безопасность), а часто - и со всеми остальными (надежность и управляемость требуют немалых ресурсов и ограничивают доступные для разработчика API, чтобы его программка "не наломала дров" в системе).

Случаи с потерей/кражей ноутбуков и понесенным от этого ущербом заставляют компании особо пристально уделять внимание безопасности.

• Поддержка аутентификации пользователя: PIN, пароли, двухфакторная аутентификация, биометрия, четкое форсирование аутентификации пользователя, защита настроек аутентификации от неавторизованных изменений (привет iPhone). Также, интересна воможность отключения части функций устройства при подозрении о взломе аутентификации. Не менее важен административный аспект (широта спектра настроек и сложность процесса конфигурации). Но он важен везде, поэтому дальше он подразумевается по умолчанию.
• Безопасное хранение информации: возможность шифрования отдельных файлов, носителей, внутренней памяти устройства, и ограничения доступа к ним (к примеру, при подключении к WM через ActiveSync зашифрованные файлы автоматом расшифровываются при скачивании на ПК). Опять же, есть данные, которые шифровать не надо (рингтоны, фото) - их расшифровка будет требовать лишних ресурсов и сокращать срок автономной работы устройства. Так что главный критерий - возможность зашифровать только то, что нужно, и так, чтобы никто другой доступа к данным не получил (и чтобы пользователь не мог отменить шифрование).
• Проверка приложений. Проверка подлинности приложений очень важна для работы корпоративного устройства, т.к. она исключает запуск неавторизованных приложений, что значительно повышает надежность работы устройства (меньше мусора), решает отчасти вопрос с malware и хаками. Опять же, весь процесс должен управляться централизованно ИТ-службой. Традиционным механизмом является проверка цифровой подписи приложений. Здесь возникают вопросы о том, как эту подпись получить (при разработке собственного софта) и как заставить устройство с этой подписью считаться (к примеру, во всем семействе WinCE эта настройка задается при сборке системы, после чего уже не меняется).
• Доступные политики безопасности: что мы можем контролировать на устройстве, в ОС, в интерфейсе пользователя, можем ли мы отключать модули связи, камеру, другие порты, и т.д., и как этим управлять из единого центра. Опять же, очень важно, может ли пользователь отключить эти политики с устройства. Тут показателен пример Apple, которая распространяет политики по e-mail (через аттач) или через клик на специальный линк. Т.е. решение о том, будет или не будет применено то или иное изменение политики безопасности находится полностью во власти пользователя. IT лишь может "рекомендовать". Я предвкушаю какую-нибудь вирусню, которая пришлет аттачем политику с Device Wipe :)
• Защита от неавторизованных модификаций. ОС "старой" архитектуры (те же CE/WM и с мелким хаком Palm) позволяли пользователю и его программкам делать с устройством все. Таким образом, чтобы сделать из таких ОС нечто "корпоративное" приходится докупать дополнительный софт для lockdown'а и контроля устройства. Современные ОС для решения вопроса используют с переменным успехом разные методы виртуализации. От простого jail'а в iOS (именно отсюда и пошло название jailbreak) до виртуальных машин Android и WP7. Там не менее, дырки находятся, вопрос лишь в том, что через них видно, и особенно, видно ли через них другие процессы (обрабатывающие важные данные). Опять же, даже защищая данные ОС от пользователя, на сегодняшний день я не знаю ни одной мобильной ОС, которая (без дополнительных надстроек) могла бы защитить от пользователя данные которыми он должен пользоваться ( случайное/намеренное удаление программ, изменение настроек сети и т.д.).
• Расширяемость архитектуры безопасности. Если в ОС нет некоторой функции безопасности - можно ли написать ПО, которое сможет ее реализовать. Особенно популярны тут VPN-клиенты, умеющие взаимодействовать с connection manager'ом ОС, расширения подсистемы аутентификации и, конечно же, lockdown (интерфейса и ОС). Именно за счет этого и выплывает WM. А iOS, известная своим нежеланием допускать разработчиков к ОС, представляет противоположный пример.
• Сертификации. К примеру, ОС Blackberry признана достаточно защищенной по стандартам FIPS 140-2, NATO Restricted, UK CAPS и CC EAL 2+. Собственных возможностей WM недостаточно для прохождения ни одного стандарта, но в комплекте с софтом сторонних разработчиков (Bluefire, GOOD) можно достичь FIPS 140-2 и даже, кто-то заявлял CC EAL 2.
• Security vs Usability. Тоже немаловажный аспект. Самое безопасное устройство вообще не содержит в себе данных и лежит выключенным в сейфе. Все остальное - компромисс. Вопрос лишб в том, что у каждого свои потребности, и каждая компания готова поступиться разным. Соответственно, ОС должна позволять изменять свой уровень защищенности в угоду простоте/эффективности в разной мере для разных пользователей. Частично, это уже обсуждалось в пунктах про политики, шифрование и т.д.

 
Так вот, по результатам анализа, J.Gold Associates, участники в табели о рангах расположились так: Blackberry OS, потом Windows Mobile, потом iPhone OS, которая полностью провалила три из 9 тестов на безопасость, а по остальным получила довольно нелестные отзывы (хотя местами Apple неожиданно удивила продуманностью подхода). Я так понимаю, что ее включили в тестирование только по причине безумной популярности iPhone у населения и попыток многих компаний применить его в качестве полноценного корпоративного устройства, коим он не является (что не исключает возможность применения в отдельных сценариях). Обратите внимание, что Android вообще в тесте не представлен, что очень точно описывает отношение всего Enterprise сегмента к этой ОС: "Очень интересно, но пока РАНО".

Общий вывод очень прост - при выборе корпоративной мобильной ОС нужно учитвать довольно много критериев, сопоставляя их с потребностями компании и особенностями бизнес-процессов. Простого наличия Exchange недостаточно. Компании, сделавшие неверный выбор могут столкнуться в последствии со значительными неприятностями: от неспособности управиться с разросшимся парком устройств, непереносимостью ПО, до серьезного финансового ущерба в результате кражи данных / атаки на сеть через забытый сотрудником в баре смартфон.

Так вот, зная все это, и ответив на вопрос "А зачем, кстати, интеграция с Exchange компании с Lotus / Good / Blackberry?" - считаете ли вы WP7 корпоративной ОС?

То, что серьезное корпоративное оборудование WLAN умеет виртуализоваться, известно достаточно давно. А вот как обстоят дела в сфере клиентской? Все было довольно тихо до выхода Windows 7...

С выходом Windows 7 (и Server 2008R2), Microsoft без особой шумихи возродила технологию Virtual WiFi, которую считали погребенной (незаслуженно) уже много лет. Она позволяет сделать из одного физического адаптера Wi-Fi для виртуальных: для подключения к двум беспроводным сетям одновременно или для превращения компьютера в виртуальную точку доступа (SoftAP). В целом, штучка довольно интересная, даже нашел на Engadget картинку, вот:

Теперь, технология называется Wireless Hosted Network (WHN). При этом, сделано всё с поистине Майкрософтовским размахом - драйвера, подающиеся на сертификацию Windows 7 Logo Test обязаны реализовывать WHN.

Давайте рассмотрим некоторые интересные особенности технологии и следствия.

Необходимость поддержки WHN для получения логотипа "Windows 7 Compatible" - явная попытка ударить по конкурентам. И MacOS X и Linux обладают подобной функциональностью, но она не является обзательной, и ее работоспособность целиком зависит от разработчиков драйверов. Даже если чипсет поддерживает работу в режиме SoftAP - производитель адаптера может полениться дописать драйвер (ну, или использовать хаки драйверов конкретных адаптеров/чипсетов, сделанные силами энтузиастов). В случае с Win7 - функциональность доступна на любом официально совместимом компьютере. Огромный плюс для пользователя (для справки: Intel поддерживает с версии 13.0.0.170 на адаптерах серий 5x00, о чем, как обычно, ничего не написано в Release Notes). WHN поддерживает Internet Connection Sharing. С помошью WHN, можно одной "половинкой" адаптера подключиться к интернет, а второй - его раздавать в режиме SoftAP. Возникает вопрос - ЗАЧЕМ? Я придумал такие варианты:

• Чтобы не говорить тем, кому раздаем Интернет "пароль от Wi-Fi".
• Подключаем устройства, не поддерживающие использующиеся механизмы обеспечения безопасности или не поддерживающие Ad-Hoc (проектор).
• WLAN-удлинитель.

Теперь представьте лица сотрудников ИТ-безопасности, когда КАЖДЫЙ компьютер в сети может внезапно превратиться в точку доступа (с WEP шифрованием, или вообще без него) - готовый канал вторжения или утечки информации! Предвкушаем новые типы malware. К счастью, Microsoft подумала об этом.

1. Бриджинг (L2) между SoftAP-интерфейсом и другими интерфейсами запрещен (хотя о роутинге ничего не сказано). Таким образом, правильно настроенный персональный firewall (часть любой современной корпоративной системы Endpoint Security) сможет защитить от несанкционированно созданной SoftAP. Опять же, это нужно учесть при конфигурировании файрволла.

2. SoftAP поддерживает исключительно WPA2/AES - никаких уязвимых WEP, потенциально уязвимых TKIP и открытых сетей. Заодно, поддерживается WPS.

3. Включенный SoftAP не позволяет настроить на второй "половинке" Ad-Hoc. В целом, логично, ранее Ad-Hoc именно для этих целей и применялся, а сейчас - одна сплошная дыра и зло.

4. Если компьютер с WHN уходит в sleep/hibernate или перегружается - WHN останавливается и не стартует автоматически. Таким образом страхуются от последствий "забытых" SoftAP. Правда, легко обходится скриптом.

5. WHN включается/отключается административно (политики и netsh). На моем ноутбуке по-умолчанию WHN не включилась, но некоторые пользователи в Интернете отмечают, что после обновления драйверов адаптер "Microsoft Virtual WiFi Miniport” появлялся сам.

Кстати, Microsoft далеко не единственная компания, предлагающая виртуализацию Wi-Fi: есть еще такие продукты как VirtualAccessPoint.com (Веб-сервис!), Virtual Router, VirtualAP, Connectify и WLANController Client. VirtualAccessPoint.com и VirtualRouter требуют Windows7, поэтому их ценность не так велика - по-сути это надстройки над WHN (но веб-сервис на Java - это сильно!). VirtualAP и Connectify работают и на других ОС.

Единственным найденным предложением для бизнес-сегмента стал WLANController.com. Теоретически, он позволяет вообще обойтись без Wi-Fi инфраструктуры, используя вместо точек и сенсоров компьютеры, а в качестве контроллера используется облачный (модно!) сервис WLANController.com.Правда, тоже требует Windows7. Теперь осталось найти компанию, которая согласна потерять точку доступа при зависании компьютера пользователя/админа. Хотя, может быть полезным для организаций с кучей маленьких (одна комната) офисов по 2-3 компьютера в каждом (+принтер) - розничные сети, банковские отделения и т.д., где при зависании компьютера связь уже, толком не нужна.

В общем, довольно интересная для домашнего применения технология, которая добавит хлопот ИТшникам бизнес-сектора, хоть производители и прикладывают достаточно усилий, чтобы новая фича оставалась под контролем. :)

На этой неделе Motorola анонсировала новую архитектуру WLAN, получившую название Wireless Next Generation (Wi-NG) 5.0. Теперь можем рассказывать про Wi-Fi пятого поколения. Сама идея не нова - уже несколько лет подобный подход продвигает небольшая (по мировым меркам) компания Aerohive. Но важно другое.

Вначале, небольшой экскурс в историю Wi-Fi сетей.

Первым поколением архитектуры Wi-Fi считается архитектура на основе независимых точек доступа - просто куча точек, ничего друг о друге не знающих - "каждый сам за себя". Просто внедрять, но невероятно сложно согласовывать настройки (каждое изменение дублируется N раз - по количеству точек) - управлять покрытием (мощность, каналы), сетевыми настройками, безопасностью, интеграцией с проводной сетью очень трудно, много вопросов к роумингу. .

Эти проблемы решило второе поколение архитектуры - на основе контроллеров. Точку "распилили" на две части: радиочасть оставили в "облегченной" точке, а "мозги" - собрали в одну коробку-контроллер, которая общается с точками по сети. В итоге, получили некую "точку с множеством антенн, подсоединенных через сеть" (технически, не совсем верно для общего случая, но вот реализация от Meru сделана _именно_ так). Как результат - единый центр управления сетью, безопасностью, автоматическое управление радиопокрытием, значительно улучшился роуминг. Обратной стороной медали стало то, что "безмозглые" точки не могли сами обрабатывать трафик - они могли только отсылать его на контроллер, который уже разбирался, как поступать с тем или иным пакетом. Но это тоже хорошо - именно за счет этого улучшились роуминг (и его многочисленные аспекты, связанные с миграцией L2 и L3 адресов по проводной сети), безопасность (т.к. весь трафик проходил через одну точку  - сам контроллер) и обслуживание (точка не индивидуальна, не несет конфигурации, при поломке просто нужно вкрутить другую и ничего не нужно настраивать).

Очевидно, ответственный за все контроллер одновременно стал и "бутылочным горлышком" архитектуры. Пока все работали с 802.11a/b/g такая ситуация была более-менее терпима - контроллеры могли поддерживать сотни точек (54Mbps*100 = 5,4Gpps, что вполне по силам современному контроллеру). Но с повальным распространением 802.11n, выдержать возросший поток данных контроллеру уже трудновато. В результате, надо или ставить сверхмощные (и сверхдорогие) контроллеры, или увеличивать их количество (дорого) или уменьшать число точек. Однако, этот путь заведомо ведет в никуда, с учетом находищхся в разработке спецификаций802.11ac/ad (Wi-Gig).

Осталось одно - возвращать функциональность контроллеров обратно в точки. Вычислительные ресурсы и память дешевеют, в итоге на точку можно повесить больше функций, сохранив при этом управляемость из единого центра. Вот этим путем сейчас идут многие - Aerohive, Meru, Xirrus, Motorola. При этом, варианты возникают разные - от банального встраивания контроллера в каждую точку (Xirrus, Motorola AP-6511) до организации некого p2p взаимодействия между "полновесными" точками, образующего "коллективный разум" (Aerohive). Motorola уже порядка двух лет предлагала "костыль" в виде Adaptive AP - полноценная автономная точка могла локально обрабатывать трафик, но получала конфигурацию с контроллера. В Wi-NG 5.0 Motorola еще больше "ответственности" отдает точкам, пытясь снизить нагрузку на контроллеры, и, возможно, убрать их совсем (то, чего пока не могут сделать Aruba и Cisco). Опять же, повторюсь, путь этот не нов - та же Aerohive именно с этого начинала года эдак три назад (но тогда это никому не было нужно).

Экскурс окочен - теперь об интересном.

Давайте вспомним эволюцию ...сетей Ethernet. Вначале были разрозненные хабы и свитчи, соединенные проводами, все работало небыстро, и, главное, целью считалось "чтобы вообще работало". Весь "мозг" сети концентрировался в роутерах. Потом появились QoS, VLAN'ы и другие фишки, выделилось "ядро сети" - им стали магистральные коммутаторы, а роутеры стали "головой", при этом уровень доступа по-прежнему предоставляли дешевые коммутаторы с минимальной функциональностью. С повышением скоростей, когда роутеры уже не стравлялись с гигабитными нагрузками, мы узнали о коммутации Layer 3 (помню, статью в КО перечитал раза три, пока все окончательно разложилось по местам), и интеллект начал плавно смещаться в сторону края - Core стал просто быстро форвардить пакеты, их обработкой занялся Distribution, и даже "дешевый" Access научился разделять VLAN'ы, маркировать трафик QoS и применять несложные ACL. Появилась архитектура Collapsed Backbone (совмещение Core и Distribution), а чуть позже - и совмещенные Access/Distribution. Сейчас мы слышим предложения ставить L3 "на краю" (на уровне Access) и даже делать полностью маршрутизируемые сети.  Как видим, удешевление вычислительных ресурсов и рост скоростей привел к миграции сетевого "интеллекта" на самый край сети, дальше - только клиенты!

То же самое мы видим в эволюции Wi-Fi - то же взросление от "интересной, но, по большому счету, имиджевой" технологии, через "удобную штучку" к "mission critical" компоненту бизнес-процессов. От разрозненных точек, через  централизацию, выделение "ядра" и его "взросление", к происходящей прямо у нас на глазах постепенной миграции интеллекта снова "на край" (вначале часть функций, а в идеале - почти все). Соответственно, можно предсказать будущее таких сетей - мощные точки, обрабатывающие трафик и пересылающие его при необходимости друг другу, и контроллер в виде некого "дирижера" наиболее сложными процессами и хранителя конфигурации (возможно, даже в виде софта, а не железки). Правда, такая архитектура снова осложняет безопасность, т.к. трафик из беспроводной сети в проводную снова проникает во многих точках, и каждый вендор решает это по-разному, вплоть до полного игнорирования (Aerohive, Colubris).

Только, вот, пока подобный подход практикуется лишь небольшими/нишевыми игроками типа Aerohive/Xirrus- все это так и будет предсказаниями. А вот когда его принимает на вооружение игрок Tier 1 типа Motorola, а руководство Cisco делает такие намеки - это уже тенденция. Так что мы с вами, товарищи, стоим на пороге очередного качественного скачка Wi-Fi, и лично мне это приятно :)

P.S. Для демонстрации мощи сетей нового поколения Motorola установила рекорд Гиннеса (видео здесь). А Aerohive, которую я сегодня упоминаю даже чаще, чем свою компанию, отколола отличнейшую шутку - для тех, кто не может смириться с необходимостью отказа от центрального узла, предлагается специальный Бесконечно Масштабируемый Контроллер, видимо, для успокоения нервов. Подробнее же о принципиальных нововведениях в Wi-NG 5.x я напишу в других постах.