Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuAnnemari Salonen Muutettu yli 9 vuotta sitten
1
Operaattoreiden välinen WLAN- verkkovierailu Wirlab Research Center 2002/2003
2
Motiiveja WLAN-verkkovierailuun WLAN-tekniikka ei sovellu laajaan maantieteelliseen peittoon WLAN-infrastruktuurin rakentaminen per operaattori on kallista ja järjetöntä Uudet autentikointimenetelmät tuovat käyttäjätunnukseen ja salasanaan perustuvan autentikoinnin WLAN-verkkoihin Yksi tunnus/salasanapari – access kaikkialla Uutta liiketoimintaa operaattorille
3
Lähtökohtia palvelun tuottamiseen Sitoutuminen Internet-standardeihin (RADIUS, 802.1X...) Sitoutumattomuus laitevalmistajakohtaisiin tietoturvaratkaisuihin Olemassaolevien WLAN-hotspotien käyttö Operaattoreiden välinen yhteistyö välttämätöntä
4
RADIUS-palvelimet RADIUS (Remote Access Dial In User Service) on protokolla, jota käytetään maailmanlaajuisesti käyttäjien autentikointiin WLAN-verkkovierailu perustuu RADIUS-palvelimiin ja niiden kykyyn välittää (proxying) AAA-viestit eteenpäin RADIUS-laajennuksella voidaan hoitaa autentikoinnin ja palveluiden auktorisoinnin lisäksi myös session laskutustiedon tallennus RADIUS-palvelimissa on kasvavissa määrin tuki 802.1X protokollalle ja sen EAP-metodeille. 802.1X on standardi, jota käytetään WLAN-käyttäjien suojatussa autentikoinnissa ja myös perinteisen langallisen verkon porttikohtaisessa autentikoinnissa
5
RADIUS-protokollan toiminta WLAN-verkkovierailussa Operaattoreilla on käytössään käyttäjät identifioiva domain-osa käyttäjätunnuksissaan (esim. operator.fi) Domain-osan perusteella RADIUS päättelee ovatko autentikointia yrittävät käyttäjät operaattorin omia (paikallisia) vai vierailevia Mikäli käyttäjät ovat paikallisia, tunnistus tehdään paikallisesta käyttäjätietokannasta. Mikäli käyttäjä on vieras, välitetään autentikointipyyntö eteenpäin Clearing House RADIUS-palvelimelle Mikäli Clearing House tunnistaa saamansa pyynnön kohdedomainin, se välittää viestin edelleen käyttäjän kotioperaattorille, josta autentikoinnin hyväksyvä tai hylkäävä viesti palautuu Clearing Housen kautta takaisin vieraillun operaattorin RADIUS-palvelimelle Saadusta viestistä riippuen käyttäjä pääsee verkkoon tai pääsy evätään
6
RADIUS-protokollan toiminta WLAN-verkkovierailussa... Autentikoinnin yhteydessä välittyy RADIUS-palvelimille myös session laskutustieto Kerättävän tiedon perusteella käyttäjää voidaan joko laskuttaa aikaperustaisesti tai flat-rate tilanteissa operaattorit saavat sessiosta taseraportit operaattoreiden välistä laskutusta varten Laskutustiedon keräämistä ja analysointia varten ollaan Wirlabilla kehitetty yksinkertaiset työkalut
7
Verkon rakenne Client: user@operator-b.fi operator-b.fi RADIUS operator-a.fi RADIUS Internet CLEARING HOUSE RADIUS Access Controller User DB ISP DB Client: user@operator-b.fi
8
Viestinvälitys ja sopimukset Operaattorit tekevät eräänlaisen yhdysliikennesopimuksen Clearing House:a pyörittävän osapuolen kanssa (operator A CH operator B) Operaattoreiden domainit ja RADIUS-palvelimien osoitteet konfiguroidaan Clearing House:en ja ylläpitoa sekä seurantaa varten luodaan operaattorikohtaisia sub- administrator käyttäjätunnuksia Peruskonfiguroinnin lisäksi voidaan sopia tarvittaessa eri tietoturva-aspektien käyttöönotosta, esim. IPSec RADIUS:ten välillä
9
Verkon laitteet Käyttäjien autentikointi verkkoon hoidetaan RADIUS- palvelimilla WLAN-laiterajapinnassa tehdään valinta 802.1X tukiasemien ja erillisten Access Controller –laitteiden (ja ”normaaleiden” tukiasemien) välillä tukiasemana 802.1X tilanteessa esim. Cisco Aironet 1100/1200 Access Controller tilanteessa tukiaseman merkitys pienenee. Lähinnä monipuolinen radio-osa valinnan perusteena Verkko voidaan rakentaa myös käyttäen molempia yllämainittuja elementtejä heterogeenisesti
10
Ylläpitäjän työkalut (CH)
11
Liikenteen seuranta (flat-rate)
12
Ylläpitotyökalujen jatkokehitys Operaattorikohtaiset valvontatunnukset omiin asiakkaisiin ja domaineihin Laskutustiedon jalostusmahdollisuudet olemassaoleviin järjestelmiin Palvelujen auktorisointi käyttäjille hallintatyökalujen avulla WLAN päällä/pois roaming päällä/pois muut palvelut (esim. SIP) päällä/pois jne jne
13
Liiketoimintamalleja Flat-Rate laskutus käyttäjälle edullisin operaattorit laittavat kuukausittaisen potin Clearing House:lle, joka tilittää rahat liikennetaseen perusteella Aikaperustainen laskutus käyttäjälle epäedullinen (esim. wGate 40 snt/min.) Clearing House laskee raportit ja operaattorit hoitavat rahaliikenteen sen perusteella ei välttämättä rohkaise palvelun käyttöön
14
Liiketoimintamalleja... Liikenneperustainen käyttäjälle epäedullinen Clearing House toimii kuten edellä sekä aika- että liikenneperustaisessa laskutuksessa lähtökohtana on käyttäjän oma arviointi tarpeistaan WLAN-verkkovierailu veloituksettomana lisäarvopalveluna operaattorille epäedullinen soveltuu ”sisäänvetopalveluksi” sopinee erikoistilanteisiin, esim. yrityksille rakennettavat ”dedikoidut” hotspotit
15
Aloittaminen Palvelun tarjoamiseen liittyviä kustannuksia ja toimenpiteitä WLAN-infrastruktuurissa käytettävien tuotteiden evaluointi / palvelualueiden rakentaminen runkoyhteyksien rakentaminen palvelualueille (ellei ole valmiina julkisissa hotspoteissa) mahdollinen RADIUS-ohjelmistojen päivittäminen (välitystuki, domain-perustainen AAA, 802.1X metodit) Clearing House:n pystyttäminen, konfigurointi, sekä muut toimenpiteet (varmennus, hallintatyökalujen kehitys)
16
Palvelun pilotointi Mukana 2 – n operaattoria / domainia Käyttöönotto tarvittaessa rajatulle yleisölle Muutaman kuukauden todellisen käytön seuraaminen ja mahdollisten ongelmien arviointi Ylläpidollisten tarpeiden kartoitus ja niihin vastaaminen
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.