1997年时,纽西兰完成了一个全国性的商业网路,称作「智慧网(SmartNet)」,它将重要的商业人士、研究员、教授、行政立法官员、股东的电脑连接在一起,以达到知识与资讯共用的目的。纽西兰建立此「智慧网」具有下列的目标:
- ● 提高对创新型经济、商机、市场趋势的警觉性。
- ● 促进产、官、学、研界的沟通和参予。
- ● 藉由与具创意、新科技知识、灵感的专家们接触,并提供专业服务,以鼓励大家从事新创事业,激发出新的思维、更聪明的学习方法和商业技巧。
- ● 成为私人企业和公家机关的桥梁,提供更多的双向沟通机会。
- ● 成为新经济的网路媒介,并利用商机,为大股东创造利润。
- ● 激励出发明和创业的文化。
最近,Cisco也对外推出SmartNet咨询服务,标榜在时限内完成维修,不分国界、不分有线或无线装备、也不分软体或硬体。此外,许多ISP和企业的内部网路也号称是SmartNet。不管这些SmartNet的最终应用目的为何,它们都具有两个共同点:(1) 资讯都必须能够顺利地在各种环境中传输,不管使用何种技术和媒体;(2) 机密等级高的资讯,必须经过完善的保护。
本文针对企业行动网路的漫游技术做探讨,并介绍漫游(roaming)伺服器、漫游闸道器、漫游客户端(client)的功能。
既安全又无所不在
行动通讯已经逐渐被全球企业采用,而能提供既安全又无所不在的无线通讯网路,将成为关键。例如:在国外的业务人员使用行动电话和母公司通讯时,其漫游连结必须既安全又便利,完全不需要用户自己插手。这中间也许经过了LAN、WLAN、GPRS、cdma200/3G,但是对用户而言,它们全部都被视为一个网路。
为了达到上述的目标,企业需要漫游伺服器、漫游闸道器、漫游用户端(主要是指安装在用户端的软体),它们使用开放的标准,例如:行动(mobile)IP、IPSec和「无线网际网路服务供应者漫游(Wireless Internet Service Provider roaming,WISPr)」。行动IP能为用户提供无缝的行动通讯(seamless mobility)体验,不管他们是位于公司网路内,或出差在外。当用户到达一个可能不安全的网路环境时,IPSec和WISPr会结合行动IP,自动产生安全连结。
漫游闸道器是一种很高阶的「行动VPN」闸道器,它为资讯安全把关。漫游客户端是一种加值软体,安装在用户的行动装置中,提供一个无缝的、安全的通道(tunnel),此通道是连接到漫游闸道器。漫游伺服器对漫游用户端提供自动化的更新服务,它自动分配漫游用户端所需要的软体和用户的组态设定资料,使通讯服务变得容易管理和维护。 (图一)是企业行动网路的简易架构。在此图中,漫游闸道器和每个行动装置之间的VPN通道,是以小圆柱线条表示。
漫游闸道器
其实,漫游闸道器才是企业行动网路的基石。它集结远端(网际网路)所有节点的资讯量,并转送至漫游用户端。它具有处理行动和安全的功能,可透过多种存取方式达成目的。在它的VPN通道里,资料是经过压缩的(或加密的);它能管理用户的存取权限。漫游闸道器也可以和RADIUS伺服器(譬如:漫游伺服器)连接,以进行记帐(accounting)、辨认(authentication)、授权(authorization)作业,这也简称作AAA作业。
此外,漫游闸道器有提供「网际网路存取控制(Internet access control;IAC)」的功能,能让用户透过「热点(hotspot)」或公司提供的网页,登录(login)到网际网路。
漫游闸道器所支援的功能和技术标准,详列如下:
- ● IP:路由、IP-IP和UDP通道化。
- ● 行动能力:行动IP(RFC 3344)FA/HA、逆向通道化(RFC 3024)、NAPT
- ● 穿越(Traversal)、AAA用户端、传输代理人(Transfer Agent)。
- ● 防火墙:进入/离开的IP封包之完整过滤;根据来源端、目的端、软体埠、通讯协定来过滤。
- ● 位址管理:DHCP、DHCP relay、NAT/NAPT。
- ● VPN:IKE、IPSec、传输和通道模式。 DES、3DES、CAST、Blowfish、AES、HMAC-MD5、HMAC-SHA、SSHv2
- ● 辨认:RADIUS(RFC 2865)、网页登录。使用「网路存取编码(Network Access Identifier;NAI)」来识别。
- ● 授权:根据IP位址和用户的会员资格来过滤。两阶段过滤。提供「围堵的花园(walled garden)」、「白名单(whitelist)」。
- ● 记帐:以时间长短和次数来计费。支援「预付式(pre-paid)」记帐。
- ● 其他功能:「网路时间通讯协定(network time protocol;NTP)」、SNMPv2、MIB-II、VLAN、Syslog、指令输入介面(command line instruction;CLI)、资料压缩演算法。
- ● 硬体:2.4 GHz处理器,4 Gbps乙太网路介面。
漫游用户端
用户端软体可以安装在笔记型电脑或PDA上,形成漫游用户端。它管理到达公司网站的安全连结,和通讯「无缝」程度的选择…..全部不需要用户插手,亦即「透明的」;或需要用户插手。不管是短距离通讯(LAN、WLAN)或长距离通讯(PWLAN、GPRS、cdma200/3G),它都可以维持良好的行动性和安全性。
当拔除LAN电缆线之后,漫游用户端会自动切换到WLAN,并开始对资料流加密。漫游用户端不会增加使用者的操作与设定负担,因为下载和安装此软体很容易。在安装的过程中,特定用户的所有设定值,会被自动地和安全地下载到漫游用户端。
漫游用户端具有下列的功能:
- ● 行动能力:行动IP(RFC 3344)和单机FA、「共同定位转交位址(co-located care of address)」、DHCP用户、逆向通道化(RFC 3024)、NAPT穿越、IP-IP通道化、较佳的网路之存取优先顺序表。
- ● 安全:IKE、IPSec、ESP/AH、传输和通道模式、AES、DES、3DES、HMAC-MD5、HMAC-SHA、行动IP辨认。隔离(quarantine)管理和锁死(locked-down)模式。
- ● 管理:自动连接到漫游伺服器,以便下载设定资料。
- ● 平台:使用笔记型电脑、PDA或其他行动装置,以及它们所配备的作业系统。
漫游伺服器
漫游伺服器提供可升级的、强大的、好用的网路设定工具,以及安全管理和用户资料处理工具。它具有完整的AAA作业功能,可以在多个存取网路中「无缝地」漫游。它能将选择好的设定项目,转换成复杂的防火墙规则,并将它们分配给用户端。
它与漫游闸道器连接之后,可以处理所有与控制存取相关的功能,这包含公司网路或公众「热点」的大规模AAA作业。
漫游伺服器具有下列的功能和单元:
- ● 使用者图形介面:以HTML设计。
- ● 安全:SSL、SSH、以「角色(role)」登录。
- ● AAA伺服器:RADIUS伺服器,可以进行AAA作业。
- ● 管理项目:介面设定、介面位址、NAT、主机/次网路、过滤条件、IP路由、VPN关系、IPSec参数、客制化的CLI设定、用户资料/服务内容、用户的组织、服务条件。
- ● 资料库。
- ● 其他功能:SMTP、加密和产生密匙、网页登录、「一般介面规格(Generic Interface Specification;GIS)」。 「主动目录整合(Active Directory Integration)」。
- ● 作业系统:Windows或Linux。
漫游技术相关标准
WISPr标准
上述的漫游技术都是使用WISPr标准。 WISPr是Wi-Fi联盟制定的开放式标准,它是针对无线网际网路供应商(WISP)的漫游业务而设计的。 (图二)是WISP漫游作业的示意图。
@内文:使用者必须在当地机构(home entity)注册,才能成为漫游用户,使用漫游服务之后,还必须支付费用。在图二中,当用户在「热点」利用笔记型电脑透过Wi-Fi桥接器(access point),到达「公众存取控制闸道器(public access control gateway)」,此时必须经过热点的RADIUS伺服器来辨认用户身份。若热点的RADIUS伺服器能和当地的RADIUS伺服器沟通,它们就会开始执行辨认作业;否则必须透过第三者(roaming intermediary)来执行。通过辨认之后,用户即可存取网际网路的资讯。
在这个模式中,有三个主要营运商:热点营运商、当地业者、漫游仲介商。当地业者具有用户的帐户资料和存取热点的认证资料,当地业者可能是WISP、企业、或其它的服务供应商。漫游仲介商是可有可无的,它在数个热点、WISP或当地业者之间,提供AAA和帐目查核作业,它可能是商务中介商或银行。
此外,还有三种人虽然没有直接插手AAA作业,但也是此模式的参予者。他们是:用户、内容供应商、热点场地拥有者(地主)。内容供应商提供用户所需的内容和应用程式,他们必须和当地业者合作。热点场地拥有者为热点营运商提供场地和基本设备,并管制用户或消费者的人数,他们必须互相合作,但也可能是同一家公司。
IEEE 802.21
前面所介绍的WISPr漫游技术是Wi-Fi所制定和提倡的。不过,对用户在IEEE 802.11/15/16/20系统之间的漫游切换问题,WIPSr显然是无法完全解决的。因此,在2004年3月IEEE 802.21工作小组正式被成立,它就是为了使行动装置在不同网路之间漫游时,能自动选择最好用的网路连接类型,并无缝地切换通讯路径,而且不需要用户插手。
802.21工作小组成立的一个重要原因是,目前的行动IP在执行漫游时,会存在:不容易「发现目标网路(discover target network)」和网路延时…等问题,该工作小组将致力于网路底层(第一、二层)的改良,来克服这些问题。
IEEE 802.21能够解决802系列中各种有线、无线、固定、行动网路(Wi-Fi、WiMAX和有线的乙太网路…等),以及行动电话之间,使用行动IP通讯协定执行漫游和切换作业所产生的问题。这种技术符合「全IP化」的发展趋势,具有优越的性能。
结语
目前有人预言,未来的漫游切换标准(IEEE 802.21)可能会在一至三年内正式制定完成。在这段等待的时间里,WISPr技术可能就是WISP、热点营运商、企业的唯一选择。而本文所介绍的漫游伺服器、漫游闸道器、漫游用户端正是采用WISPr标准的具体表现。
WISPr标准的特色是,对网路上层的作业,规定的很清楚,但是并没有对网路底层做规范。因此,当IEEE 802.21标准完成之后,为了促成PWLAN网路和其它现存网路的通讯,WISPr的网路底层势必要新增或换成具有IEEE 802.21功能的介面。如此才能真正实现「全IP化」的理想。
<作者联络方式:su2b08@saturn.seed.net.tw>