Colubris Networks MultiService Access Controller
Werbung
The Intelligent Wireless Networking Choice™ APPLICATION NOTE Colubris Networks MultiService Access Controller W H I T E PA P E R | Colubris Networks MultiService Access Controller Wireless LANs werden heute überall aufgebaut. WLAN-Hotspots in Flughäfen, Hotels und Restaurants sorgen für einen schnellen und preiswerten Internet-Zugang für die Öffentlichkeit. Aus diesem Grund müssen die Netzressourcen dem Benutzer flexible Dienste und dem Hotspot-Betreiber eine Vielzahl unterschiedlicher Kontroll- und Managementfunktionen bereitstellen. Die von Colubris entwickelten MultiService Controller (MSCs) stellen die Kontrollinstanzen für das Colubris Intelligent Mobility System (CIMS) dar und verwalten und managen alle im Netzwerk integrierten Access Points. Die MSCs stellen den über den öffentlichen Netzzugang integrierten WLAN Clients die notwendigen Services zur Verfügung, erbringen die Roaming-Funktionen und sorgen darüber hinaus für die konsistente Umsetzung der QoS- und Sicherheitsmechanismen. Der Colubris MSC arbeitet unabhängig von den bereits im Netzwerk installierten Technologien (Access- und Backhaul-Systemen). Das System ist in der Lage, sowohl mit kabelgebundenen als auch kabellosen Kommunikationsressourcen (WiMAX und kabelgebundener Backhaul) zusammenzuarbeiten. Der MSC sorgt dafür, dass eine Vielzahl unterschiedlicher Dienste und Services simultan über die gleiche Netzinfrastruktur bereitgestellt werden. Hierzu gehören der Zugang zum öffentlichen Internet über Hotspots oder HotZones und VPN- und VoIP Services. Die Colubris MSC Produktlinie sorgt dafür, dass Netzbetreiber ihre Investitionen in das Netzwerk optimieren und sowohl die unterschiedlichen Authentifikationtechniken (Captive Portal, Web Redirect, RADIUS und 802.1x) als auch umfassende Abrechnungs- und Messinformationen und QoS Techniken unterstützt werden. Flexible Zugangskontrolle Service Provider bauen auf der Basis des Colubris MSCs im Bereich der öffentlichen Netzzugänge eine Vielzahl unterschiedlicher Geschäftsmodelle auf. Die Netzbetreiber können die Nutzer lokal authentifizieren oder die gesamte Zugangsprozedur wird durch eine Remote Authentifikation, Autorisierung und Abrechnung (AAA) Struktur bereitgestellt. Die Nutzer lassen sich auch individuell an ein Portal, AAA-System oder DHCP Server umleiten. Dadurch können auf Basis des Standorts des jeweiligen Nutzers oder der jeweiligen SSID spezifische, auf den jeweiligen Anwendungsfall zugeschnittene, Servicemodelle angeboten werden. Alternativ können Service Provider bestimmte Funktionen von Drittanbieter von HotZone Abrechnungsservices per Outsourcing erbringen lassen. Die Zugangskontrolle ist eine der zentralen Komponenten des Colubris MSC Systems zum Management eines öffentlichen Gast/Besucher Zugangsystems. Es stellt folgende Funktionen bereit: • Individuell anpassbares Captive Portal: Das gesamte öffentliche Zugangsinterface lässt sich individuell an die jeweiligen Anforderungen des Providers anpassen und stellt in Abhängigkeit des Benutzers oder des Standorts die jeweiligen Inhalte und Dienste dynamisch zur Verfügung. Individuelle RADIUS Attribute legen die Grundlage für das zentrale Management und die Kontrolle von geographisch verteilten Standorten. • AAA Authentifikation: Eine Benutzer-Authentifikation auf Basis der unterschiedlichen, im Markt angebotenen RADIUS Server ist durch die Bereitstellung unterschiedlicher RADIUS Profile gewährleistet. Die Benutzer können entweder über ihre 802.1x- oder WPA-Mechanismen oder eine HTML-Login Page gesichert auf das Netzwerk zugreifen. Auch wird eine automatische Authentifikation per MAC Adresse unterstützt. • RADIUS Accounting: Sammelt die individuellen Daten (Nutzungszeit, übermittelte Datenmengen) auf Basis der individuellen Clients. • Access Listen: Individuell anpassbarer Benutzerzugang auf folgenden drei Ebenen: Site, Benutzergruppe und Benutzer. • Zero-Konfiguration Client: Erlaubt Clients mit statischer IP Adresse und/oder festen HTTP Proxy Einstellungen den Zugriff ohne Umkonfiguration dieser Einstellungen. • SMTP Redirection und Proxy: Sorgt für die komplette Unterstützung der Client eMail Applikationen. • Abgestufte Services: Virtuelle SSIDs und VLAN Tags stellen die Grundlage für die paralelle Bereitstellung unterschiedlicher Dienste und Services über die APs bereit. Hierzu gehören beispielsweise ein kostenloser bandbreitenbegrenzter Internetzugang; bevorzugte Internetzugänge mit abrechenbaren Services; Bandbreitengarantien und Priorisierung bestimmter Anwendungen (Unternehmens VPNs, Sprach- und Videodienste). • Bandbreitenmanagement: Durch Steuerung des WLAN-Zugangs über individuelle Merkmale (beispielsweise externen RADIUS Server) lässt sich die zur Verfügung gestellte Bandbreite (je Benutzer, SSID, VLAN, etc.) optimal nutzen und garantiert somit eine Individualisierung der Services. • Universeller Netzzugang: Der MSC unterscheidet den Verkehr anhand folgender Merkmale: VLAN, GRE Tunnel, MAC Adressen, Benutzername und Passworte. Anhand der individuellen Merkmale stellt der MSC die spezifischen Zugangsservices bereit. Da der MSC alle Standards unterstützt (Zugangsmechanismen und –Protokolle) arbeitet das gesamte System vollkommen herstellerunabhängig. Colubris Networks, Inc. 2 W H I T E PA P E R | Colubris Networks MultiService Access Controller Vereinfachte Installation Der Colubris MultiService Controller agiert als Gatekeeper zwischen dem öffentlichen und dem privaten Netzwerk. Beispielsweise müssen die Nutzer einer geschützten Netzressource sich über einen öffentlichen Zugang an dem vom MSC bereitgestellten Zugangsinterface anmelden und authentifizieren. Das öffentliche Zugangsinterface wird automatisch beim Zugriff des Nutzers auf eine geschützte Ressource deaktiviert. Im ersten Schritt wird der Benutzer an die normale Login Page übermittelt. Nach dem erfolgreichen Login wird der Nutzer an die von ihm ursprünglich angeforderte Web Page umgeleitet. Die Authentifikation lässt sich über das Captive Portal (auf Basis eines HTML-Logins oder per 802.1x) durchführen. Dabei stehen dem Netzadministrator für jedes VLAN bzw. SSID unterschiedliche Authentifikationstechniken zur Verfügung. Für zusätzliche Flexibilität sorgt der MSC, wenn dieser direkt am Internet (via Breitbandmodem) angeschlossen ist. In diesem Fall müssen sich die Benutzer bereits für den Zugang zum Internet einloggen und authentifizieren. Um die Sicherheit der Zugänge noch zu erhöhen, wird die Internet-Verbindung durch die in den MSCs eingebaute Firewall geschützt. Verteilte Standorte Verteilte Zugangskontrolle In diesem Anwendungsbeispiel bieten mehrere Access Points an mehreren Standorten einen öffentlichen Zugriff auf das Netzwerk. Hierfür wird für die Zugangskontrolle der Benutzer an jedem Standort ein MSC installiert. Die MSCs kommunizieren mit dem zentralen RADIUS Server im NOC und überprüfen die Zugangsinformationen der Nutzer und nutzen den NOC Web Server zur Bereitstellung der individuell angepassten HTML Pages. Zentrale Zugangskontrolle In diesem Fall werden nur die Access Points an den öffentlichen Zugangspunkten installiert. Ein MSC im NOC sorgt zentral für die Zugangskontrolle aller Standorte. Hierzu muss der lokale Router den Verkehr der Benutzer an den MSC weiterleiten, der die Benutzerdaten mit Hilfe des RADIUS Server im NOC überprüft bzw. die lokal abgelegten Benutzerdaten hierzu verwendet. Der NOC Web Server stellt die individuell angepassten HTML Pages bereit. AAA Authentifikation Die von Colubris entwickelten MSCs unterstützen eine Vielzahl unterschiedlicher Authentifikationsmethoden. Dabei können die unterschiedlichen Authentifikationsmethoden simultan verarbeitet werden. Jeder Nutzer, jede Login-Information wird anhand eines RADIUS Servers oder einer intern abgelegten Benutzerdatenbank überprüft. HTML Authentifikation/Captive Portal Beim Login übergeben die Benutzer ihren individuellen Login-Namen und das zugehörige Passwort an eine HTML Seite. Das im MSC implementierte Captive Portal ermöglicht die flexible Bereitstellung der Inhalte: intern, extern oder per umgeleiteten Web Zugang. Die internen Web Pages lassen sich im Rahmen der Colubris Page Layouts individuell anpassen. Darüber hinaus kann das Template jederzeit durch das Verlinken mit externen Web Seiten erweitert werden. Die maximale Flexibilität ergibt sich für den Netz/Zugangsbetreiber wenn der MSC zur Umleitung der Authentifikation der Clients an den Backend Web Server genutzt wird. Die dargestellten Lösungen können jederzeit miteinander (auch auf dem gleichen MSC) gemischt werden. Die Auswahl der Authentifikationsart erfolgt anhand der Client SSIDs bzw. VLANs. Aufgrund dieser Flexibilität ist ein Netzbetreiber in der Lage, über die gleiche Infrastruktur den Zugang für einen virtuellen Netzbetreiber bereitzustellen. Dadurch werden die vorhanden Zugangsressourcen besser ausgelastet und die Investitionen amortisieren sich schneller. WPA und 802.1x Authentifikation Das Colubris System unterstützt alle Nutzer/Clients auf Basis von 802.1x oder WPA. Die Authentifikation erfolgt in diesem Fall über die Services eines externen RADIUS Servers (der MSC agiert in diesem Fall als RADIUS Proxy). Der MSC unterstützt folgende 802.1x Client-Funktionen: • • • • • • EAP-TLS—Extensible Authentication Protocol Transport Layer Security EAP-TTLS—Extensible Authentication Protocol Tunneled Transport Layer Security EAP-SIM—Extensible Authentication Protocol Subscriber Identity Module EAP-AKA – Extensible Authentication Protocol Authentifikation und Key Agreement EAP-GTC – Extensible Authentication Protocol General Token Card PEAP—Protected Extensible Authentication Protocol Colubris Networks, Inc. 3 W H I T E PA P E R | Colubris Networks MultiService Access Controller MAC Addressen-basierte Authentifikation Der MSC authentifiziert auch die Geräte auf Basis der MAC Adressen. Dieser Mechanismus wird hauptsächlich für solche Komponenten (beispielsweise Drucker, Scanner usw.) eingesetzt, die über keinen Web Browser verfügen. Diese Geräte loggen sich nicht über das öffentliche Zugangsinterface ein. Stattdessen übernimmt der MSC die Authentifizierung sobald dieser die entsprechende MAC Adresse im Netzwerk erkennt. Abrechnung mit RADIUS Ein MSC unterstützt eine Vielzahl von RADIUS Attributen pro Benutzer. Hierzu gehören: • • • • • • • Maximale Zeit die eine Session aktiv sein kann, Maximale Inaktivitätszeit Anzahl der empfangenen Oktetts/Bytes, Anzahl der gesendeten Oktetts/Bytes, Anzahl der empfangenen Pakete, Anzahl der gesendeten Pakete, QoS Regeln und Bandbreitenkontrolle Access Listen Anhand von Zugangslisten lassen sich die Zugriffe auf Netzressourcen sowohl für authentifizierte als auch nicht authentifizierte Nutzer managen. Mit Hilfe der Zugangslisten werden für öffentliche Netzzugänge die Berechtigungen der Nutzer festgelegt. Darüber hinaus lassen sich über Access Listen speziell geschützte Bereiche für den exklusiven Zugriff bestimmter Nutzer oder Nutzergruppen realisieren. Ein solches System muss eine Vielzahl unterschiedlicher Zugangslisten unterstützen: unterschiedliche Zugangsregeln für eine Vielzahl von Zugangsprotokollen die auf bestimmte Services oder Portbereiche zugreifen. Die Zugangslisten lassen sich sowohl global für alle Nutzer als auch auf Nutzerbasis über den spezifischen RADIUS Account verwalten. Individuell anpassbares Captive Portal Das öffentliche Zugangsinterface basiert auf einer Sequenz von Web Pages über die die Nutzer/Kunden sich im Netzwerk an- und abmelden und den aktuellen Status der WLAN-Verbindung überprüfen. Das, über das Colubris Captive Portal bereitgestellte Template stellt ein Default Zugangsinterface zur Verfügung. Dieses Interface besteht aus folgenden sieben Pages: Nutzer möchte externe Web Seite erreichen Fehlversuch Login schlägt fehl, da der MSC den RADIUS Server nicht erreichen kann. Browser wird umgeleitet Login Login Fehler Login schlägt fehl, da der Nutzer ein ungültigen Nutzernamen bzw. Passwort eingibt Login erfolgreich Transport Session Nutzer klickt auf Logout Goodbye Anzeige der temporären Page nach Login Willkommen Nutzer klickt auf den bereitgestellten Link und wird an die ursprüngliche Seite weitergeleitet Zugang zur ursprünglich angeforderten Web Seite Colubris Captive Portal Template Colubris Networks, Inc. 4 W H I T E PA P E R | Colubris Networks MultiService Access Controller Der MSC ermöglicht einen individuellen Zuschnitt der über das öffentliche Zugangsinterface verfügbaren Web Pages. Die Web Pages lassen sich automatisch per RADIUS Server updaten und sorgen für ein effizientes Management mehrerer Komponenten. Mit Hilfe des MSCs lassen sich auch Kunden/Nutzer an einen Remote Server weiterleiten. Damit erfolgt der Login zum öffentlichen Zugang nicht mehr über die interne Login Page. Darüber hinaus ist der MSC in der Lage, eine Reihe von Parametern an den Web Server zu übergeben. Hierzu gehören: • Die IP Adressen des Nutzers, • Der vom Nutzer eingegebene URL, • Das dem Nutzer zugeordnete VLAN oder dessen SSID Zero-Konfiguration Die Zero-Konfiguration Funktionen des MSCs sorgen für eine dynamische Anpassung der Konfigurationen der Nutzer beim Zugang zum öffentlichen Netzwerk. Der Access Controller unterstützt darüber hinaus: • Clients mit statischen IP Adressen, die sich nicht am gleichen Subnetz wie der Access Controller befinden • Nutzung der Clients von Proxy Servern für HTTP und HTTPS SMTP Unterstützung Sorgt für den korrekten Empfang und das Versenden von eMails über das öffentliche Zugangsnetzwerk. In der Praxis blockieren einige Service Provider alle SMTP-Verbindungen zu Mail Servern die sich nicht in deren Netzwerk befinden. Um dieses Problem zu umgehen, lässt sich der MSC in einer HotZone so konfigurieren, dass die SMTP-Verbindungen zu einem bestimmten SMTP Server des Zugangsnetzbetreibers, umgeleitet wird. Dies kann beispielsweise über einen Tunnel erfolgen. Der Vorteil der Nutzer einer HotZone: Die eMail wird ohne Probleme übermittelt. Netzkonfiguration auf Basis von RADIUS Die Konfigurationen eines öffentlichen Zugangsnetzwerks wird über RADIUS Attribute geregelt. Diese Attribute werden entweder direkt auf dem MSC abgelegt oder in einem RADIUS Server gespeichert. Die Attribute sind in folgende Kategorien unterteilt: Service Controller Attribute Diese Attribute werden für die Konfiguration der globalen Zugangsparameter genutzt. Sie werden im RADIUS Account des MSC oder lokal auf dem MSC festgelegt. Mit Hilfe der Attribute lassen sich folgende Werte definieren: • • • • • • • • • • Die individuellen HTML Pages, URLs und unterstützende Files zur Anpassung des öffentliche Zugangsinterfaces, Zugangslisten zum Management der dem Nutzer zu Verfügung gestellten Netzressourcen, Das SSL Zertifikat zur Kommunikation mit dem MSC, Der Speicherort des Konfigurationsfiles welches zum automatischen Update aller oder mehrerer MSCs Liste zur Authentifizierung der Client anhand der MAC Adressen Default Inaktivitäts-Timeout für alle Nutzer, Default Session Timeout für alle Nutzer, Default SMTP Server für eMail-Umleitung aller Nutzer Default Interval für Abrechnungsdaten bzw. Updates der Nutzer, Default Upload- und Download-Grenzen für alle Benutzer, Kundenattribute Diese Attribute spezifizieren die individuellen Parameter der Kundenbasis und müssen im RADIUS Account jedes Nutzers festgelegt werden. Die Kundenattribute enthalten: • • • • • • • Benutzerspezifische Access Listen, Bandbreitenkontrolle für spezifische Benutzerverbindungen, Umleitung der Daten eines Benutzers in einen GRE Tunnel, Grenzen für den Empfang bzw. die Übermittlung von Daten je Session, Upload- und Download-Grenzen je Session Definition für eine Umleitung der eMail des Benutzers, Der Speicherort der individuellen Zugangs-Web Pages des Benutzers, Colubris Networks, Inc. 5 W H I T E PA P E R | Colubris Networks MultiService Access Controller Öffentliche Gast/Besucher Zugangsdienste Fester Bestandteil der Colubris MSC Konfiguration ist ein Besucher/Gastzugang. Dieser bietet allen mobilen Benutzern einen gesicherten Internetzugang und einen freien Zugriff auf eMail und Netzressourcen innerhalb und außerhalb des Unternehmens. Der Service arbeitet problemlos mit jedem Client, jeder IP Adresse und jeder Web Proxy Konfiguration zusammen und stellt ein individuell anpassbares Web Login für den problemlosen Netzzugang zur Verfügung. Colubris Multi-Service Controller Produktlinie Die von Colubris entwickelten MultiService Controller (MSCs) stellen die Kontrollinstanzen für das Colubris Intelligent Mobility System (CIMS) dar und verwalten alle im Netzwerk integrierten Access Points. Die MSCs stellen den im Netz integrierten WLAN Clients die notwendigen Services zur Verfügung, erbringen die Roaming-Funktionen und sorgen darüber hinaus für die konsistente Umsetzung der QoS- und Sicherheitsmechanismen. Auf Basis der Plug-and-Play-Funktionen wird der gesamte Betrieb des WLANs vereinfacht und die Betriebskosten werden drastisch gesenkt. MSC-5000 Serie Die Serie 5000 MSC Produktfamilie umfasst Modelle für die Realisierung von kleinen, mittleren und großen Netzwerken. Alle Modelle unterstützen die gleichen Netzwerkservices. Darüber hinaus stellt der MSC spezielle Funktionen zur Bereitstellung von gesicherten Besucher/Gastzugängen zum Internet bereit. Serie 5000 MSC Produkte MSC-5100 COS Konfiguration Access Service Mobility Pack P P P P P Services Fast Roaming & VoWLAN Unterstützung Plug-and-Play MAP Management Public/Gast Internet Access Max. MAPs (kontrolliert/ autonom) MSC-5200 MSC-5500 Access Service Mobility Pack P P P P P Access Service Mobility Pack P P P P P 10/unbegrenzt 40/unbegrenzt 200/unbegrenzt Max. Nutzer für Public/Gast Internet Access 100 500 2,000 Gehäuse 1U 1U 1U (2)10/100/1000 Ethernet (2)10/100Ethernet (2)10/100/1000 Ethernet Network Interfaces Colubris Networks, Inc. 6 W H I T E PA P E R | Colubris Networks MultiService Access Controller MSC-3000 Serie Ein Controller der Serie 3000 enthält einen kompletten MultiService Access Point und Service Controller in einer Box und stellt damit die optimale Plattform für kleinere und mittlere Netzwerke dar. Das System bietet die gleichen Besucher- bzw. Gastzugangsfunktionen wie die Controller der Serie 5000 Controller. Über die integrierten Ethernet Ports lassen sich die MultiService Access Points (MAPs) mit einem kabelgebundenen Backbone verbinden und erweitern somit die Reichweite des Funknetzes auch über größere Flächen, Gebäude bzw. Gelände hinweg. 3000 Produktfamilie Funktionen MSC-3200 MSC-3200R MSC-3300 MSC-3300R 100 P 100 P 100 P 100 1 1 2 2 Indoor Outdoor Indoor Outdoor Anzahl der Nutzer für den Besucher/Gastzugang Integrierter 802.11 AP Anzahl der 802.11 a/b/g Funknetzeinrichtungen Gehäuse P Zusammenfassung Die von Colubris entwickelten MultiService Controller bieten sämtliche Funktionen und Mechanismen zum effizienten Management der Benutzer, der Authentifikation und der Kontrolle in öffentlichen Netzen. Auf Basis des MSCs können Netzbetreiber eine Vielzahl unterschiedlicher Services über die gleiche Infrastruktur bereitstellen und somit ihre Investitionen in die Netzstrukturen optimieren. Über Colubris Networks Die von Colubris entwickelten Lösungen werden weltweit über ein Partnernetz vertrieben. Zu den europäischen Kunden zählen neben den zahlreichen Wireless ISPs, Universitäten, Hochschulen und Rechenzentren, Behörden, Hotels, Krankenhäuser, Transportunternehmen, verarbeitende Industrieunternehmen und namhafte Automobilhersteller in Deutschland, Österreich, Schweiz, Italien, Frankreich und Griechenland. Inzwischen sind weltweit mehr als 100.000 Colubris WLAN Zugänge installiert. Die Lösungen von Colubris sind als einzige FAA zertifizierte WLAN Lösung in der internationalen Luftfahrt einsetzbar. Daher bauen die WLAN Konzepte der Lufthansa und der Star Alliance auf den Colubris Networks Konzepten auf. In den Boeing Jumbo Jets und auch im neuen Airbus 380 werden, sowohl für die interne Kommunikation (Logistik), als auch für die externe Kommunikation der Fluggäste, die MultiService Wireless LAN (WLAN) Systeme von Colubris Networks genutzt. 200 West Street Waltham, Massachusetts 02451 Phone: +1 781 684 0001 Fax: +1 781 684 0009 E-mail: [email protected] www.colubris.com Copyright © 2007, Colubris Networks, Inc. Colubris Networks, the Colubris Networks logo, The Intelligent Wireless Networking Choice, and TriPlane are trademarks of Colubris Networks, Inc. All other products and services mentioned are trademarks of their respective companies. 7