При наличии 20, 100 или 1000 точек доступа перед администратором стоит нелегкая задача: обеспечить их безопасную и продолжительную эксплуатацию. Если же устройства еще и от разных производителей, то в этом случае понадобятся дополнительные средства управления. Калифорнийская компания Airwave заявляет, что у нее уже имеется нужный инструмент на базе Linux.
Администраторам крупных беспроводных инсталляций ежедневно приходится решать массу проблем, справиться с которыми без помощи централизованного управления слишком трудно. Появились ли бреши в системе безопасности из-за точек доступа, которые вследствие ошибок в конфигурации не проводят аутентификацию доступа? Существует ли возможность неконтролируемого доступа к сетевой инфраструктуре через неавторизованные точки доступа? Нет ли дисбаланса распределения клиентов WLAN по точкам доступа, ведущего к образованию дефицита производительности? На всех ли точках доступа установлена желаемая версия встроенного программного обеспечения?
При решении этих и других задач может помочь Airwave Management Platform (AMP). Продукт использует по большой части нейтральный по отношению к производителю подход и позволяет проводить не только пассивный мониторинг точек доступа, но и их активную, централизованно управляемую конфигурацию вплоть до автоматизированного обновления встроенного программного обеспечения в целях реализации определенной корпоративной политики в отношении беспроводной сети.
Сердцем платформы управления Airwave является специализированный сервер управления на базе Linux (Fedora 3, свободно распространяемый дистрибутив Linux от Red Hat). При решении повседневных задач администраторы WLAN обращаются к серверу АМР через наглядный интерфейс Web, защищенный при помощи SSL. Базовая инсталляция АМР, занимающая весь жесткий диск сервера, не составляет проблем и для тех, кто работает с Windows. Текстовая программа установки помогает выполнить распознавание оборудования и базовую конфигурацию, для чего необходимо знать лишь несколько консольных команд. Однако в случае недавно появившегося аппаратного обеспечения дистрибутив Linux все же содержит некоторые подводные камни.
Тестовая инсталляция во время испытаний в лаборатории LANline базировалась на Dell Dimension 8400 с контроллером Intel ICH6 SATA, который обычно эксплуатируется в режиме расширенного интерфейса управления хостом (Advanced Host Controlling Interface, AHCI). Для того чтобы Fedora 3 распознала подключенные жесткие диски, в BIOS требуется выбрать альтернативный режим АТА. В случае сомнений перед установкой АМР стоит удостовериться в поддержке всех используемых аппаратных компонентов. Для того чтобы платформа Linux и в рабочем состоянии оставалась на актуальном уровне безопасности, Airwave поддерживает стандартный механизм оперативного обновления Fedora под названием YUM. Загрузка обновлений после первой инсталляции АМР 3.3.0 в нашей лаборатории составила, что удивительно, 114 Мбайт.
ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ — ВЗЛЕТЫ И ПАДЕНИЯ
В зависимости от поддерживаемой модели устройства административный доступ к точкам доступа происходит через SNMP, telnet или SSH. Для постановки точки доступа под контроль АМР целые сетевые сегменты автоматически сканируются при помощи SNMP или HTTP в поисках соответствующих устройств. К ним АМР может обращаться лишь тогда, когда известны соответствующие регистрационные кодовые сигналы. Поиск новых устройств может производиться регулярно в определенные моменты времени.
Управляемые посредством АМР точки доступа можно объединить в конфигурационные группы. При этом они автоматически получают все настройки группы, в том числе конфигурацию радиомодуля, безопасности (включая списки разрешенных МАС-адресов) и VLAN. Сохраненные на сервере АМР версии встроенного программного обеспечения передаются на устройства при помощи TFTP или HTTP. Лишь индивидуальные настройки точек доступа, например используемый радиоканал или заданный IP-адрес, придется настраивать отдельно. В случае необходимости беспроводные прием/передача всех точек доступа в группе отключаются одним щелчком кнопки мыши.
Тестовая среда состояла из официально поддерживаемых АМР моделей точек доступа Proxim AP-4000 и AP-2000, Avaya AP-3 (той же конструкции, что и АР-2000), а также Funkwerk (ранее Artem) W1000 и Lancom L-54ag немецкой разработки. Оба устройства от Proxim обслуживали две радиоячейки — 802.11g и 802.11а, в то время как остальные работали только в режиме 802.11g. Все пять точек доступа АМР довольно быстро и корректно распознала в сети, а посредством нескольких нажатий на кнопку мыши они были отнесены к разным группам управления. Однако при передаче групповых настроек уже при таком небольшом количестве точек доступа выяснилось, что Airwave делает акцент на поддержке определенных производителей, и возможности управления разными моделями слишком сильно разнятся.
Если устройства от Proxim и Avaya обслуживались АМР впечатляюще легко, в частности получили корректные параметры безопасности (общие SSID, WPA с аутентификацией 802.1х на сервере RADIUS и т. д.) и актуальное встроенное программное обеспечение, то точка доступа от Funkwerk могла придерживаться лишь значениям собственного встроенного программного обеспечения — с конфигурацией WPA этой модели АМР версии 3.3.0 пока не справляется. Логично, что в обзоре точек доступа конфигурация устройства была отмечена как «плохая». По крайней мере, администратор обратит внимание на то, что проводить правильную конфигурацию придется отдельно. Поддержка устройства Lancom ограничивается минимальными данными мониторинга. Активные приемы управления пока не поддерживаются. Предлагаемая информация об устройстве Lancom сбивает с толку, поскольку, несмотря на небольшое количество доступных данных, к которым не относится даже активный радиоканал, AMP оценила конфигурацию как «хорошая» (см. Рисунок 1).
Рисунок 1. АМР выделяет точки доступа, конфигурация которых не соответствует принятой политике. |
Проблемы возникли и с поддержкой двухстандартного беспроводного устройства Proxim АР-4000. Хотя обе его радиоячейки АМР распознала корректно, система упрямо настаивала на том, что конфигурация «плохая»: забракованный радиоканал 802.11а не соответствовал предопределенному в Airwave. Привести в соответствие вручную не удалось, поскольку выбор канала для домена «Германия» в АМР не соответствует возможностям точки доступа. К сожалению, ни одна из двух сторон не обеспечивает выбор между всеми 19 разрешенными в Германии каналами. Предлагаемая службой поддержки Airwave «заплата» также не смогла устранить проблему.
Платформа управления Airwave предоставляет не только обзор статуса управляемых точек доступа, но и обзор активности клиентов WLAN во всей системе. По каждому клиенту АМР сохраняет требующие анализа данные в истории сеансов. К этой информации относятся точки, через которые осуществлялся доступ, время доступа, длительность сеанса, переданный объем данных и качество сигнала. Обычно АМР идентифицирует клиентов по их МАС-адресу. Если точки доступа, коммутаторы или маршрутизаторы путем запроса по SNMP таблицы ARP позволяют узнать IP-адрес по МАС-адресу, фиксируется и он (проверено при помощи управляемого коммутатора D-Link DES-3526). Вместе с учетной информацией доступного сервера RADIUS (по данным Airwave, он должен функционировать с Free Radius и Radiator) из истории клиента WLAN путем добавления регистрационного имени получается запись поведения пользователя, из которой фрагментарно можно выяснить, кто на предприятии находился, когда и где (см. Рисунок 2).
Рисунок 2. АМР записывает историю работы каждого клиента WLAN. |
Из постоянно накапливаемой во внутренней базе данных информации (Postgre-SQL) АМР генерирует ежедневные отчеты о нагрузке на точки доступа, инвентарных списках и пользовательских сеансах. Отчеты легко переносятся в Excel и могут быть пересланы по почте. В ближайшем будущем должна быть реализована возможность автоматического обобщения всех данных и настроек конфигурации в сжатых архивных файлах, которые посредством HTTP собираются существующей резервной системой.
НАДЕЖНАЯ ИДЕНТИФИКАЦИЯ «ЧУЖИХ» РАДИОУСТРОЙСТВ
В беспроводных инсталляциях крайне важно постоянно проверять эфир на наличие «чужих», неавторизованных точек доступа. Поскольку ответственный за беспроводную сеть не может проводить измерения сразу во всех помещениях, ему нужна стационарная помощь. Чтобы не надо было приобретать вместе с точками доступа дорогие устройства мониторинга, разработчики реализуют соответствующие сканирующие функции во встроенном программном обеспечении.
АМР в своей системе обнаружения «чужих» точек доступа (Rogue Access Point Intrusion Detection System, RAPIDS) реализует множество функций мониторинга для поиска нежелательных радиорасширений корпоративной сети. Точки доступа от Intel, Symbol, Proxim, Avaya и Colubris сообщают о замеченных «чужих» точках доступа на центральный пункт АМР. Параллельно сервер АМР проверяет подконтрольную сеть при помощи HTTP и SNMP, оценивает данные SNMP от маршрутизаторов и коммутаторов и специфические широковещательные пакеты. Дополнительно на отдельных компьютерах или клиентах можно установить опциональный Airwave Management Client (АМС). Удивительно, но тестируемые точки доступа от Proxim и Avaya при работе с АМР обнаружили довольно много радиосетей в окружающих офисах и квартирах, даже если те включались в нерабочее время.
ЗАКЛЮЧЕНИЕ
Airwave со своим продуктом АМР предлагает многообещающее решение для управления большим количеством точек доступа — от дюжин до нескольких тысяч. Наиболее привлекательно выглядит предложение не зависящих от производителя функций управления на открытой операционной платформе Linux с доступом для администратора через интерфейс Web. Администраторы крупных инсталляций оценят и проверенную нами возможность подключения к сетевым платформам управления на базе SNMP — HP OpenView или IBM Tivoli. С целью улучшения управления несколько серверов АМР можно объединить в «главную консоль».
Но разработчикам Airwave придется еще немало поработать для полноценной реализации концепции. Поддержку производителей можно на основе доступной матрицы совместимости приблизительно разделить на две группы — хорошо или очень хорошо поддерживаемые устройства (Avaya, Cisco Aironet, Colubris, Dell, Enterasys, HP, Proxim, Systimax и Symbol) и «остальные». Если инсталляция WLAN базируется главным образом на «остальных» точках доступа, то перед покупкой следует тщательно проверить полезность подхода АМР. По сообщениям Funkwerk и Lancom, они уже работают над более широкой интеграцией своих точек доступа в АМР.
С функциональной точки зрения хотелось бы, чтобы в системной базе данных можно было сохранять индивидуальные настройки каждой точки доступа, которая интерфейсом управления Airwave не поддерживается, чтобы при замене с минимальными затратами вводить новое аппаратное обеспечение. Эта функция уже существует на элементарном уровне для точек доступа Cisco Aironet. Поддержку 802.11а и точек доступа с двумя радиоячейками также следует расширить.
Официальный дистрибьютор, компания Netcor, сообщает, что цена, к примеру, на AMP Lite Edition (до 25 точек доступа, включая Rapids, лицензию на АМС, а также один год обслуживания и поддержки) составит 5296 евро плюс 3777 евро еще на 25 точек доступа. АМР Professional Edition (сервер для максимум 1000 точек доступа, включая Rapids, 25 лицензий на АМС, возможность подключения к сетевым платформам управления, годовое обслуживание и поддержка) обойдется в 27 436 евро.
Петер Мойзер — независимый консультант по информационным технологиям и сотрудник тестовой лаборатории LANline. С ним можно связаться по адресу: pmeuser@itlab.de.
? AWi Verlag