Общедоступные точки доступа предлагают как частным, так и корпоративным пользователям повсеместную возможность выхода в Internet, причем основным источником проблем является не столько технология WLAN, сколько система расчетов. Несложный роуминг между всеми местоположениями и провайдерами — пока еще дело отдаленного будущего. В статье описываются технические и организационные основы открытых решений роуминга и биллинга.
C распространением технологии беспроводных локальных сетей (Wireless Local Area Network, WLAN) повсюду начинают появляться так называемые «горячие» точки. Большинство этих общедоступных беспроводных зон расположено в аэропортах, отелях и ресторанах, с их помощью пользователи могут выйти в Internet со своего ноутбука или КПК. Для лиц, находящихся в командировке, это весьма привлекательный путь для связи с собственным предприятием через Internet и, при необходимости, виртуальную частную сеть.
С технической точки зрения эксплуатация точек доступа уже не представляет особых трудностей для провайдеров, между тем как интерес потребителей к ним весьма значителен. Проблемной остается сфера расчетов. Кассовый чек с регистрационными данными для однократного доступа не может долго оставаться приемлемым решением на быстро растущем рынке услуг. Пользователи предпочли бы безналичную централизованную оплату услуг WLAN, а кроме того, персональную учетную запись — в идеальном случае — на любой точке доступа. Конечному пользователю удобнее всего оплачивать услуги беспроводных сетей с собственного телефонного или сотового счета либо через провайдера Internet своего предприятия. Обеспечение подобного всеобъемлющего биллинга и роуминга, т. е. работа с различными точками доступа на основании индивидуальных идентификаторов, технически далеко не тривиально. Все-таки в процесс предоставления услуг вовлечены очень разные инстанции, включая владельца точки доступа (к примеру, хозяина ресторана), провайдера Internet, отвечающего за подключение и, наконец, провайдера телекоммуникационных услуг, осуществляющего расчет оплаты за услуги WLAN. Стоящая за этим технология регистрации и оплаты предполагает полную совместимость всех систем.
ВСЕОХВАТЫВАЮЩЕЕ ЦЕНТРАЛИЗОВАННОЕ РЕШЕНИЕ ДЛЯ РАСЧЕТОВ
Аутентификация, авторизация и учет (Authentication, Authorisation, Accounting, ААА) образуют базу как для роуминга, так и для окончательного расчета стоимости предоставленных услуг (биллинг). Последний в идеале должен осуществляться через некоторый центр. Что же представляет собой продуманное практичное решение роуминга и биллинга для беспроводных сред?
Беспроводные точки доступа образуют беспроводную сеть для конечного пользователя. За ними следит так называемый контроллер доступа к сети (Network Access Controller, NAC), который — в данном сценарии — должен присутствовать в каждой «горячей» точке. NAC, в свою очередь, связан через Internet с провайдером беспроводных услуг Internet (Wireless Internet Service Provider, WISP) или с агрегатором. Различные WISP, также по Internet или по отдельным каналам, взаимодействуют с брокером роуминга, а тот состоит в непосредственных отношениях с самыми разными провайдерами услуг. Они предоставляют пользователю все необходимые для доступа идентификационные данные и производят окончательный расчет с ним (см. Рисунок 1).
ПРОЦЕСС РАБОТЫ
Когда пользователь включает свое мобильное устройство, соединение с системами в «горячей» точке устанавливается автоматически. Последние сразу же направляют его при запуске браузера Web на локальную «страницу регистрации» (она, как правило, зависит от владельца или оператора «горячей» точки). Затем при регистрации пользователь сообщает информацию об учетной записи и пароле провайдера WLAN, пересылаемую далее платформе WISP, которая передает ее брокеру роуминга, проверяющему регистрационные данные у выбранного провайдера. Если последний дает пользователю «зеленый свет» на доступ, то брокер роуминга отправляет информацию об этом WISP, а та распоряжается о выдаче контроллером NAC разрешения этому пользователю.
Мониторинг сеансов доступа и подсчет объемов данных производятся совместно NAC и платформой WISP. К примеру, при достижении определенного времени или объема трафика, а также при выходе из системы информация о событии передается непосредственно платформе WISP, и одновременно пользователь блокируется в NAC.
Платформа WISP содержит данные о соединениях всех пользователей. Собранные сведения регулярно передаются для оценки брокеру роуминга, функционирующему в качестве расчетной палаты. Он подсчитывает стоимость услуг в соответствии с используемой тарифной моделью и проводит расчет с провайдером услуг. Последний может получить оплату посредством обычных деловых процессов, например через ежемесячный счет за телефон. С другой стороны, брокер роуминга берет на себя подсчет стоимости услуг WISP и оператора «горячей» точки.
«ГОРЯЧАЯ» ТОЧКА И КОНТРОЛЛЕР ДОСТУПА К СЕТИ
В «горячей» точке для повышения качества обслуживания и гибкости точка доступа и NAC должны быть разделены на два компонента. Таким образом, для доступа пользователей становится возможной интеграция не только беспроводной локальной сети, но и других протоколов, к примеру Bluetooth. Для долгосрочного перспективного планирования может быть очень полезным отделение радиопередающей техники от остальной системы. NAC берет на себя организацию беспроводной сети и управление доступом пользователей, а также обеспечивает безопасность их данных. Сюда же относятся следующие задачи:
- выдача конечным устройствам IP-адресов при помощи DHCP;
- имитирование любых сетевых сред для подключения к «горячей» точке конечных устройств с фиксированными IP-адресами без необходимости изменения конфигурации пользователем;
- работа без внесения изменений в установки браузера Web благодаря функциональности proxy-сервера;
- поддержка DNS независимо от заданного сервера DNS на конечном устройстве пользователя;
- указание разрешенных для бесплатного посещения адресов в Internet посредством функции «огороженный сад»;
- запрещение входа в определенные области Internet при помощи «черных» списков;
- мониторинг пользовательских данных в соответствии с законодательством.
В любом случае необходимым условием для широкого распространения является наличие простого доступа в Internet в режиме Plug-and-Play. Интегрированный в NAC брандмауэр берет на себя контроль доступа пользователей и управляет персональными сеансами Internet. Через отдельное подключение NAC связывается с Internet и, с одной стороны, открывает для пользователя доступ в глобальную сеть, а с другой — осуществляет обмен административными данными (сигнализация) с платформой WISP.
NAC и WISP тесно взаимодействуют в рамках единой системы. Они обмениваются друг с другом данными об аутентификации, бюджете, конфигурации и статусе. NAC связан с Internet напрямую, поэтому данные пользователей попадают оттуда непосредственно в сеть. Обходной путь через центральную расчетную палату для доступа в Internet — например у провайдера услуг WLAN — становится ненужным. Подобная децентрализованная архитектура по сравнению с другими моделями роуминга обладает тем преимуществом, что трафик Internet всех клиентов провайдера проходит через центральную точку не в полном объеме, в противном случае это означало бы очень большой поток данных на этом сетевом узле.
WISP
WISP, или агрегатор, объединяет несколько «горячих» точек (см. Рисунок 2). Платформа WISP, как техническая система, должна управлять подключенными «горячими» точками и контроллерами доступа к сети. Кроме того, к ее задачам относятся выполнение конфигурации и наблюдение за устройствами. Во время текущего сеанса все учетные данные передаются от NAC платформе WISP и там накапливаются. Коммуникация между ними наиболее надежно осуществляется с помощью протоколов RADIUS и XML. Благодаря централизации конфигурации, наблюдения и аутентификации такая система подходит для управления крупными инсталляциями со множеством «горячих» точек.
БРОКЕР РОУМИНГА, ИЛИ РАСЧЕТНАЯ ПАЛАТА
Брокер роуминга служит центральной инстанцией для аутентификации пользователей и является посредником между всеми системами WISP и провайдерами. Имя, пароль и другие пользовательские данные передаются системами WISP брокеру роуминга, а тот, как уже упоминалось, проверяет их у конкретных провайдеров. В качестве расчетной палаты брокер берет на себя упорядочение предоставленных системами WISP данных об использовании в соответствии с конкретным тарифом. Он вычисляет денежные суммы, причитающиеся операторам различных компонентов, и проводит необходимые кредитные записи (см. Рисунок 3).
Рисунок 3. Брокер роуминга функционирует в качестве расчетной палаты между участвующими в коммуникации инстанциями. |
Явное распределение общего объема платы между операторами «горячих» точек, платформы WISP, а также брокера роуминга или расчетной палаты происходит на основе заранее определенных договоров и тарифных планов. Они могут, к примеру, содержать следующие модели:
- объем трафика или время работы пользователя на «горячей» точке;
- аренда устройств;
- минимальная сумма возмещения затрат оператора или платформы WISP соответствующим провайдером услуг;
- прогрессивные динамичные тарифы.
В зависимости от модели расчетов можно спроектировать как достаточно сложные, так и очень простые схемы тарифов и распределения.
ЦЕНТРАЛИЗОВАННОЕ ВЫЧИСЛЕНИЕ СТОИМОСТИ УСЛУГ
С точки зрения конечного пользователя, независимый централизованный платеж одному-единственному провайдеру услуг (например, при помощи счета за телефон) облегчает пользование «горячими» точками и поэтому должен повысить их популярность. В зависимости от ситуации и бизнес-модели предлагается реализация локальных расчетов или их трансляция другой биллинговой системе (к примеру, Fidelio в отелях). В любом случае применение платформы для биллинга и клиринга решает основные проблемы распределенных инсталляций «горячих» точек.
БЕЗОПАСНОСТЬ
По причинам безопасности однозначная аутентификация и защищенный протокол передачи просто необходимы. В любом случае следует удостовериться, что доступ к «горячей» точке не представляет для пользователя никакого риска. Те, кто предпочитает виртуальные частные сети, например для доступа к своей корпоративной сети через Internet, могут обратиться к соответствующей технологии (см. «Использование виртуальных частных сетей в «горячих» точках»).
ЗАКЛЮЧЕНИЕ
С внедрением всеобъемлющего роуминга стандартизированная технология беспроводных сетей позволит применять широкий спектр «горячих» точек вместе с персональными идентификаторами доступа. Если это случится, то в ближайшие годы рост рынка «горячих» точек не будет ограничен ничем. По прогнозам аналитиков, число «горячих» точек во всем мире к 2007 г. увеличится до 2 млн.
Штефан Витте — исполняющий обязанности руководителя по развитию компании Nicetec; Михаэль Кнут — руководитель бизнес-группы по развитию в области системной интеграции компании T-Systems. С ними можно связаться по адресу: pf@lanline.awi.de.
Использование виртуальных частных сетей в «горячих» точках
Не все типы соединений VPN могут быть организованы в окружении «горячей» точки. Туннели VPN на базе IPSec с применением протокола общей инкапсуляции маршрутизации (Generic Routing Encapsulation, GRE) используют заголовок аутентификации (Authentication Header, AH) и не позволяют осуществлять трансляцию сетевых адресов (Network Address Translation, NAT) источника и получателя, поскольку эта информация применяется при вычислении значения целостности (ICV). Такие туннели VPN не поддерживаются.
Протокол туннелирования на канальном уровне (Layer 2 Tunneling Protocol, L2TP) расширяет протокол двухточечного соединения (Point to Point Protocol, PPP), поэтому конечные пункты РРР и конечные точки канального уровня (например, Ethernet) могут находиться на разных узлах. NAC не влияет на L2TP и базирующийся на нем доступ через VPN. Двухточечный протокол туннелирования (Point-to-Point Tunneling Protocol, PPTP), конкурирующий с L2TP от Microsoft, ведет свое происхождение от GRE. И в этом случае проблем для области WLAN ожидать не приходится.
? AWi Verlag