1997年時,紐西蘭完成了一個全國性的商業網路,稱作「智慧網(SmartNet)」,它將重要的商業人士、研究員、教授、行政立法官員、股東的電腦連接在一起,以達到知識與資訊共用的目的。紐西蘭建立此「智慧網」具有下列的目標:
- ● 提高對創新型經濟、商機、市場趨勢的警覺性。
- ● 促進產、官、學、研界的溝通和參予。
- ● 藉由與具創意、新科技知識、靈感的專家們接觸,並提供專業服務,以鼓勵大家從事新創事業,激發出新的思維、更聰明的學習方法和商業技巧。
- ● 成為私人企業和公家機關的橋樑,提供更多的雙向溝通機會。
- ● 成為新經濟的網路媒介,並利用商機,為大股東創造利潤。
- ● 激勵出發明和創業的文化。
最近,Cisco也對外推出SmartNet諮詢服務,標榜在時限內完成維修,不分國界、不分有線或無線裝備、也不分軟體或硬體。此外,許多ISP和企業的內部網路也號稱是SmartNet。不管這些SmartNet的最終應用目的為何,它們都具有兩個共同點:(1) 資訊都必須能夠順利地在各種環境中傳輸,不管使用何種技術和媒體;(2) 機密等級高的資訊,必須經過完善的保護。
本文針對企業行動網路的漫遊技術做探討,並介紹漫遊(roaming)伺服器、漫遊閘道器、漫遊客戶端(client)的功能。
既安全又無所不在
行動通訊已經逐漸被全球企業採用,而能提供既安全又無所不在的無線通訊網路,將成為關鍵。例如:在國外的業務人員使用行動電話和母公司通訊時,其漫遊連結必須既安全又便利,完全不需要用戶自己插手。這中間也許經過了LAN、WLAN、GPRS、cdma200/3G,但是對用戶而言,它們全部都被視為一個網路。
為了達到上述的目標,企業需要漫遊伺服器、漫遊閘道器、漫遊用戶端(主要是指安裝在用戶端的軟體),它們使用開放的標準,例如:行動(mobile)IP、IPSec和「無線網際網路服務供應者漫遊(Wireless Internet Service Provider roaming,WISPr)」。行動IP能為用戶提供無縫的行動通訊(seamless mobility)體驗,不管他們是位於公司網路內,或出差在外。當用戶到達一個可能不安全的網路環境時,IPSec和WISPr會結合行動IP,自動產生安全連結。
漫遊閘道器是一種很高階的「行動VPN」閘道器,它為資訊安全把關。漫遊客戶端是一種加值軟體,安裝在用戶的行動裝置中,提供一個無縫的、安全的通道(tunnel),此通道是連接到漫遊閘道器。漫遊伺服器對漫遊用戶端提供自動化的更新服務,它自動分配漫遊用戶端所需要的軟體和用戶的組態設定資料,使通訊服務變得容易管理和維護。(圖一)是企業行動網路的簡易架構。在此圖中,漫遊閘道器和每個行動裝置之間的VPN通道,是以小圓柱線條表示。
漫遊閘道器
其實,漫遊閘道器才是企業行動網路的基石。它集結遠端(網際網路)所有節點的資訊量,並轉送至漫遊用戶端。它具有處理行動和安全的功能,可透過多種存取方式達成目的。在它的VPN通道裡,資料是經過壓縮的(或加密的);它能管理用戶的存取權限。漫遊閘道器也可以和RADIUS伺服器(譬如:漫遊伺服器)連接,以進行記帳(accounting)、辨認(authentication)、授權(authorization)作業,這也簡稱作AAA作業。
此外,漫遊閘道器有提供「網際網路存取控制(Internet access control;IAC)」的功能,能讓用戶透過「熱點(hotspot)」或公司提供的網頁,登錄(login)到網際網路。
漫遊閘道器所支援的功能和技術標準,詳列如下:
- ● IP:路由、IP-IP和UDP通道化。
- ● 行動能力:行動IP(RFC 3344)FA/HA、逆向通道化(RFC 3024)、NAPT
- ● 穿越(Traversal)、AAA用戶端、傳輸代理人(Transfer Agent)。
- ● 防火牆:進入/離開的IP封包之完整過濾;根據來源端、目的端、軟體埠、通訊協定來過濾。
- ● 位址管理:DHCP、DHCP relay、NAT/NAPT。
- ● VPN:IKE、IPSec、傳輸和通道模式。DES、3DES、CAST、Blowfish、AES、HMAC-MD5、HMAC-SHA、SSHv2
- ● 辨認:RADIUS(RFC 2865)、網頁登錄。使用「網路存取編碼(Network Access Identifier;NAI)」來識別。
- ● 授權:根據IP位址和用戶的會員資格來過濾。兩階段過濾。提供「圍堵的花園(walled garden)」、「白名單(whitelist)」。
- ● 記帳:以時間長短和次數來計費。支援「預付式(pre-paid)」記帳。
- ● 其他功能:「網路時間通訊協定(network time protocol;NTP)」、SNMPv2、MIB-II、VLAN、Syslog、指令輸入介面(command line instruction;CLI)、資料壓縮演算法。
- ● 硬體:2.4 GHz處理器,4 Gbps乙太網路介面。
漫遊用戶端
用戶端軟體可以安裝在筆記型電腦或PDA上,形成漫遊用戶端。它管理到達公司網站的安全連結,和通訊「無縫」程度的選擇…..全部不需要用戶插手,亦即「透明的」;或需要用戶插手。不管是短距離通訊(LAN、WLAN)或長距離通訊(PWLAN、GPRS、cdma200/3G),它都可以維持良好的行動性和安全性。
當拔除LAN電纜線之後,漫遊用戶端會自動切換到WLAN,並開始對資料流加密。漫遊用戶端不會增加使用者的操作與設定負擔,因為下載和安裝此軟體很容易。在安裝的過程中,特定用戶的所有設定值,會被自動地和安全地下載到漫遊用戶端。
漫遊用戶端具有下列的功能:
- ● 行動能力:行動IP(RFC 3344)和單機FA、「共同定位轉交位址(co-located care of address)」、DHCP用戶、逆向通道化(RFC 3024)、NAPT穿越、IP-IP通道化、較佳的網路之存取優先順序表。
- ● 安全:IKE、IPSec、ESP/AH、傳輸和通道模式、AES、DES、3DES、HMAC-MD5、HMAC-SHA、行動IP辨認。隔離(quarantine)管理和鎖死(locked-down)模式。
- ● 管理:自動連接到漫遊伺服器,以便下載設定資料。
- ● 平臺:使用筆記型電腦、PDA或其它行動裝置,以及它們所配備的作業系統。
漫遊伺服器
漫遊伺服器提供可升級的、強大的、好用的網路設定工具,以及安全管理和用戶資料處理工具。它具有完整的AAA作業功能,可以在多個存取網路中「無縫地」漫遊。它能將選擇好的設定項目,轉換成複雜的防火牆規則,並將它們分配給用戶端。
它與漫遊閘道器連接之後,可以處理所有與控制存取相關的功能,這包含公司網路或公眾「熱點」的大規模AAA作業。
漫遊伺服器具有下列的功能和單元:
- ● 使用者圖形介面:以HTML設計。
- ● 安全:SSL、SSH、以「角色(role)」登錄。
- ● AAA伺服器:RADIUS伺服器,可以進行AAA作業。
- ● 管理項目:介面設定、介面位址、NAT、主機/次網路、過濾條件、IP路由、VPN關係、IPSec參數、客製化的CLI設定、用戶資料/服務內容、用戶的組織、服務條件。
- ● 資料庫。
- ● 其它功能:SMTP、加密和產生密匙、網頁登錄、「一般介面規格(Generic Interface Specification;GIS)」。「主動目錄整合(Active Directory Integration)」。
- ● 作業系統:Windows或Linux。
漫遊技術相關標準
WISPr標準
上述的漫遊技術都是使用WISPr標準。WISPr是Wi-Fi聯盟制定的開放式標準,它是針對無線網際網路供應商(WISP)的漫遊業務而設計的。(圖二)是WISP漫遊作業的示意圖。
@內文:使用者必須在當地機構(home entity)註冊,才能成為漫遊用戶,使用漫遊服務之後,還必須支付費用。在圖二中,當用戶在「熱點」利用筆記型電腦透過Wi-Fi橋接器(access point),到達「公眾存取控制閘道器(public access control gateway)」,此時必須經過熱點的RADIUS伺服器來辨認用戶身份。若熱點的RADIUS伺服器能和當地的RADIUS伺服器溝通,它們就會開始執行辨認作業;否則必須透過第三者(roaming intermediary)來執行。通過辨認之後,用戶即可存取網際網路的資訊。
在這個模式中,有三個主要營運商:熱點營運商、當地業者、漫遊仲介商。當地業者具有用戶的帳戶資料和存取熱點的認證資料,當地業者可能是WISP、企業、或其它的服務供應商。漫遊仲介商是可有可無的,它在數個熱點、WISP或當地業者之間,提供AAA和帳目查核作業,它可能是商務中介商或銀行。
此外,還有三種人雖然沒有直接插手AAA作業,但也是此模式的參予者。他們是:用戶、內容供應商、熱點場地擁有者(地主)。內容供應商提供用戶所需的內容和應用程式,他們必須和當地業者合作。熱點場地擁有者為熱點營運商提供場地和基本設備,並管制用戶或消費者的人數,他們必須互相合作,但也可能是同一家公司。
IEEE 802.21
前面所介紹的WISPr漫遊技術是Wi-Fi所制定和提倡的。不過,對用戶在IEEE 802.11/15/16/20系統之間的漫遊切換問題,WIPSr顯然是無法完全解決的。因此,在2004年3月IEEE 802.21工作小組正式被成立,它就是為了使行動裝置在不同網路之間漫遊時,能自動選擇最好用的網路連接類型,並無縫地切換通訊路徑,而且不需要用戶插手。
802.21工作小組成立的一個重要原因是,目前的行動IP在執行漫遊時,會存在:不容易「發現目標網路(discover target network)」和網路延時…等問題,該工作小組將致力於網路底層(第一、二層)的改良,來克服這些問題。
IEEE 802.21能夠解決802系列中各種有線、無線、固定、行動網路(Wi-Fi、WiMAX和有線的乙太網路…等),以及行動電話之間,使用行動IP通訊協定執行漫遊和切換作業所產生的問題。這種技術符合「全IP化」的發展趨勢,具有優越的性能。
結語
目前有人預言,未來的漫遊切換標準(IEEE 802.21)可能會在一至三年內正式制定完成。在這段等待的時間裡,WISPr技術可能就是WISP、熱點營運商、企業的唯一選擇。而本文所介紹的漫遊伺服器、漫遊閘道器、漫遊用戶端正是採用WISPr標準的具體表現。
WISPr標準的特色是,對網路上層的作業,規定的很清楚,但是並沒有對網路底層做規範。因此,當IEEE 802.21標準完成之後,為了促成PWLAN網路和其它現存網路的通訊,WISPr的網路底層勢必要新增或換成具有IEEE 802.21功能的介面。如此才能真正實現「全IP化」的理想。
<作者聯絡方式:su2b08@saturn.seed.net.tw>