Firmowe platformy

Jedną z popularniejszych implementacji opisanych wcześniej założeń systemowych jest rozwiązanie Cisco CMX (Cisco Mobile Exchange). Zostało ono zaprojektowane z myślą o realizacji wielousługowej mobilnej sieci IP opartej na różnych sieciach dostępowych (GPRS/UMTS/WLAN). Schemat koncepcji rozwiązania dla CMX przedstawiono na rys. 3. Platforma umożliwia kontrolę i sterowanie dostępem użytkowników oraz taryfikację dla zdefiniowanych przez operatora usług. Platforma nie ogranicza zastosowań wyłącznie do sieci WLAN, ale w praktyce pierwsze wdrożenia CMX koncentrują się na tej technologii. W ramach platformy CMX można wyróżnić następujące moduły funkcjonalne:

• SSG (Service Selection Gateway) - centralny element architektury, pełniący rolę kontrolera dostępowego (specjalna wersja oprogramowania IOS);

• SESM (Service Edge Subscriber Manager) - oprogramowanie odpowiedzialne za sterowanie modułem SSG (może również pełnić rolę serwisu użytkowników);

• CAR (Cisco Access Registrar) - oprogramowanie pełniące funkcję kontrolera AAA (realizuje zadania serwera RADIUS).

Działanie systemu jest następujące: kiedy klient zostanie skojarzony z punktem dostępowym i otrzyma adres IP, ruch generowany przez niego i skierowany pod dowolnym adresem jest przekierowywany przez SSG do właściwego portalu SESM. Serwer WWW, zlokalizowany na serwerze SESM, wysyła do użytkownika powitalną stronę z opcjonalnym żądaniem uwierzytelnienia. Dane uwierzytelniające są weryfikowane przez CAR, na podstawie danych lokalnych albo z zewnętrznego systemu (przez proxy). Po uwierzytelnieniu serwer SESM wysyła informację o poprawnym logowaniu do użytkownika, zaś SSG umożliwia korzystanie w danej sesji z usług określonych rodzajem autoryzacji klienta, zgodnie z danymi serwera AAA (CAR) i zewnętrznego systemu autoryzacyjno-billingowego.

Rozwiązania dla operatorskich, publicznych sieci WLAN oferują również takie firmy, jak Ericsson czy Nokia. Ericsson Mobile Operator WLAN w wersji 1. zakłada brak konieczności ingerencji w istniejącą architekturę GSM/GPRS. Rozwiązanie zaprojektowano z myślą o operatorach chcących oferować zintegrowany dostęp w trybie WLAN i GPRS (rys. 4).

W architekturze tego systemu można wyróżnić dwa podstawowe moduły funkcjonalne: segment dostępowy oparty na rozwiązaniu WLAN oraz moduł zarządzania dostępem. Zespół punktów dostępowych AP funkcjonujących w standardzie IEEE 802.11b zapewnia dostęp do usług na określonym obszarze. AP są podłączone przez sieć Ethernet do węzła ASN (Access Serving Node). Z kolei ASN jest podłączony do sieci szkieletowej IP. Funkcjonalność ASN jest zbliżona do serwera dostępowego usług. Do jego głównych zadań należą autoryzacja użytkowników korzystających z dostępu oraz gromadzenie informacji o ilości przesłanych danych. ASN jest odpowiedzialny również za utrzymanie parametrów odpowiadających danym profilom użytkowników (profil użytkownika szczegółowo definiuje parametry serwisu - umożliwia to różnicowanie usług). Istotnym elementem rozwiązania jest serwer uwierzytelniający AS (Authentication Server) umożliwiający identyfikację przy użyciu jednorazowych haseł przesyłanych abonentowi w postaci SMS.

Rozwiązanie firmy Nokia (Nokia Operator Wireless LAN Solution) jest bardziej zbliżone do architektury Cisco - zastosowano w nim jednak uwierzytelnianie oparte na karcie SIM (rozwiązanie firmowe).

W zasięgu obcej sieci

Z punktu widzenia zastosowań operatorskich istotną kwestią jest roaming, czyli możliwość korzystania z usługi WLAN przez osoby będące poza macierzystą siecią. W praktyce roaming WLAN oznacza dla użytkownika możliwość uwierzytelnienia i autoryzacji usługi w obcej sieci bez konieczności zakładania osobnego konta - wykorzystuje się konto w sieci macierzystej podawane wg formuły NAI (Network Address Identifier - username@realm), gdzie realm wskazuje na domenę sieci macierzystej. Na rys. 5 przedstawiono mechanizm realizacji roamingu w sieci WLAN. Zgodnie ze standaryzacją GSM do uwierzytelniania i autoryzacji powinno się wykorzystywać protokół RADIUS, z kolei do procesu taryfikacji zaleca się stosowanie RADIUS lub TAP. Ruch AAA (Authorization, Authentication, Accounting) pomiędzy siecią wizytowaną a macierzystą WLAN jest przenoszony przez sieć GRX (rozwiązanie zalecane ze względu na izolowanie infrastruktury GRX) lub szyfrowany tunel w Internecie.