Wi-Fi-Funktionen in Apple iOS und die Auswirkungen auf Unternehmensnetzwerke

    Ohne Einführung würde ich sagen, dass es in Unternehmensnetzwerken viele Geräte auf Apple iOS gibt, und in Zukunft wird es weniger davon geben (insbesondere bei einer solch massiven Popularisierung der BYOD-Ideologie). Es spielt keine Rolle, ob sie direkt als Geschäftsgeräte oder einfach als persönliche Geräte von Mitarbeitern und Vorgesetzten verwendet werden. Deshalb muss man sich mit ihnen abfinden und irgendwie miteinander auskommen. In diesem Hinweis werden die Wi-Fi-Funktionen in Apple iOS unter einem Dach zusammengefasst und Links zu Materialien für weitere Studien bereitgestellt. Werfen wir einen Blick darauf, was in iOS ist und was nicht und wie man damit lebt.

    Zuerst gut.


    • Alle erforderlichen (und unnötigen) Verschlüsselungsmechanismen werden unterstützt: WEP, TKIP, CCMP. Gleichzeitig erinnern wir uns, dass WEP und TKIP verschwinden, wenn wir 802.11n und hohe Geschwindigkeiten im Netzwerk wünschen, worüber Apple auf der Support-Site warnt.
    • Alle grundlegenden Authentifizierungsmechanismen werden unterstützt: EAP-TLS, EAP-TTLS, EAP-SIM, PEAPv0 (MSCHAP-v2), PEAPv1 (GTC) sowie proprietäres Cisco LEAP und EAP-FAST.
    • Von den Zertifikaten werden PKCS # 1 (.cer, .crt, .der) und PKCS # 12 unterstützt
      • Sehr benutzerfreundlicher 802.1x-Supplicant - keine mehrstufigen Dialoge mit undurchsichtigen Optionen - geben Sie einfach Ihr Passwort ein, wählen / bestätigen Sie das Zertifikat und arbeiten Sie.
    • Daher unterstützen wir sowohl WPA als auch WPA2 in Personal- und Enterprise-Optionen sowie eine Vielzahl von Optionen, die der Benutzer unabhängig konfigurieren kann.
    • Neuere Modelle unterstützen 802.11n und sogar 5 GHz.
    • In IOS6 werden 802.11k und 802.11r unterstützt, mit denen das Gerät beim Roaming den optimalen Zugriffspunkt ermitteln kann (APs übertragen Daten über ihre Last) und schnell dorthin wechseln können.

    Im Allgemeinen erwartet in Apples Vision von i-Geräten in Unternehmensnetzwerken Paradies, Ruhe und Anmut. Das Dokument zur Bereitstellung von iOS im Unternehmens-WLAN enthält nur eine Abbildung. Anscheinend müssen Sie nichts anderes wissen.

    Aber da war es.


    Gehen wir in umgekehrter Reihenfolge vor.
    • 802.11k und 802.11r (gemäß dem oben genannten Dokument) werden nur auf dem iPhone 4S, iPhone / iTouch 5 und dem neuen iPad unterstützt. Sie müssen sich also vorerst auch nicht auf sie verlassen.
    • 5 GHz wird nur auf iPhone / Touch 5, iPad (1-4, Mini) und Apple TV unterstützt. Eine große Begeisterung für das iPhone 5 ist jedoch nicht sichtbar, iTouch 5 ist im Allgemeinen nicht klar, wer es benötigt (Sie können einen Mini für fast das gleiche Geld nehmen), und das iPhone 4 / 4S fühlt sich immer noch ziemlich gut an. Daher funktioniert es nicht, sich nur für die „vollständige“ Unterstützung von i-Gadgets auf 5 GHz zu verlassen. Sie müssen mit 2,4 GHz arbeiten, was alle Konsequenzen hat (3 Kanäle, Interferenzen, jede Menge Nachbarn usw.).
    • Mit dem freundlichen 802.1X-Supplicant können Sie das nicht verifizierte Zertifikat einer anderen Person sicher akzeptieren.
      • Es ist sehr praktisch für Labore und Demonstrationen. Es ist nicht sehr schön, wenn jemand auf einen gefälschten Zugangspunkt gelangt ( MSCHAP wird leise weiter geöffnet - die überwiegende Mehrheit verwendet es aufgrund der Verbreitung von Active Directory - und der Benutzername / das Kennwort wird ermittelt).
      • Diese Funktion ist über Configuration Manager deaktiviert. Dazu müssen Sie entweder das Telefon an den IT-Spezialisten übergeben oder das Profil remote an den Benutzer senden und sicherstellen, dass er es angewendet hat.
    • Wir werden die "Super-Geschwindigkeiten" 802.11n und MIMO in Smartphones und Tablets für das Unternehmen hinzufügen. Keine Kommentare ( Amazon Blame )

    Apple iOS-Geräte im drahtlosen Netzwerk des Unternehmens

    Aber, wie der Autor mehrerer beliebter Finanzpyramiden gerne sagt, war dies alles ein Hinweis ...
    Ein Artikel auf der Apple Support-Website „Empfehlungen zum Einrichten von WiFi für iOS-Geräte“ enthüllt interessante Details
    • iOS mag keine versteckten Netzwerknamen. Mein iTouch 4G unter IOS5 funktioniert recht leise mit einem versteckten Netzwerk, aber ich habe Beschwerden von anderen gehört.
    • Breite Kanäle (40 MHz) werden nicht unterstützt.
      • Einerseits - nun, das ist richtig, es gibt nichts, was man bei breiten Kanälen mit 2,4 GHz halten könnte. Sie passen genau dort hin, die Störung dadurch ist in den meisten Fällen mehr als gut. Aber warum werden 40 MHz bei 5 GHz nicht unterstützt? Die Antwort im obigen Bild ist 20 MHz und damit genug für die Augen.
      • Und was ist mit den übrigen Geräten im Unternehmensnetzwerk, auf denen breite Kanäle aktiviert sind (wenn Sie beispielsweise immer noch iPads mit 5 GHz verwenden, wie dies einige Modehändler tun)? Die einzige Antwort ist zu leiden. Parallel zum HT-Schutz verfügt 802.11n über einen Kompatibilitätsmodus von 40 MHz mit 20 MHz, wodurch die Netzwerkleistung auf ähnliche Weise (vorläufige Frames usw.) verringert wird. Wie viel - hängt von vielen Parametern ab, hauptsächlich davon, wie oft das iPad gesendet werden muss - können Sie nicht genau vorhersagen.

    • Wenn das Gerät mit einem Wi-Fi-Netzwerk verbunden ist, sucht es nach einer Internetverbindung, während es versucht, eine Verbindung zum Apple-Server herzustellen und von dort aus eine bestimmte Webseite zu stehlen. Wenn diese Seite nicht verfügbar ist, wird davon ausgegangen, dass wir uns an einem Hotspot befinden und ein Browserfenster angezeigt wird, in dem Sie nach einer Anmeldung gefragt werden, während das System nicht mehr versucht, in das Netzwerk zu kriechen. Praktisch. Wie ein kürzlich aufgetretener Vorfall mit IOS6 gezeigt hat, besteht bei fehlendem Zugriff auf diese Seite kein Zugriff auf das Netzwerk.

    Ein interessanter Hinweis mit einer Auswahl von Impressionen von Cisco TAC aus dem iOS-Support
    • Die OKC-Unterstützung stört niemanden wirklich, wenn Sie keine Softphones verwenden oder wenn Sie iOS6-Geräte haben (802.11r ersetzt OKC erfolgreich).
    • Wenn länger als 20 Minuten kein Internetzugang besteht, versucht das Gerät, die Verbindung wiederherzustellen oder ein anderes Netzwerk zu finden (möglicherweise hat es dort Glück).
    • TAC fügt dem Bild mit versteckten SSIDs einen weiteren Strich hinzu. Wenn zwei oder mehr SSIDs vorhanden sind, stellt das Gerät immer eine Verbindung zu offenen Netzwerken her, auch wenn Sie absichtlich ein Profil mit einer versteckten SSID auswählen.
    • Geräte (insbesondere das iPad) haben eine erhebliche Sendeleistung, jedoch eine schlechtere Empfangsempfindlichkeit (hausspezifische Effekte).
    • Beim Deaktivieren der 11-Mbit / s-Geschwindigkeit sind verschiedene Staus möglich (was tatsächlich die Aktivierung der 802.11b-Unterstützung erfordert). Ich habe solche Probleme auf meinem iOS4 / 5-Gerät nicht beobachtet, höchstwahrscheinlich handelt es sich um Überreste älterer Versionen. Einige Motorola-Partner haben jedoch bestätigt, dass sie bei Kunden auf dieses Problem gestoßen sind.
    • Der Artikel ist vom Juli 2012 datiert, vielleicht sind mit der Veröffentlichung von iOS6 einige der Probleme verschwunden. Leider ist Apple mit den Details nicht sehr großzügig.

    Das Bonjour-Protokoll (Serviceankündigung, AirPlay-Videoübertragung usw.) wird nicht weitergeleitet. Das heißt, Geräte müssen sich im selben VLAN befinden (was zu Hause normal ist). In einer Unternehmensumgebung sind die Chancen, ein kabelgebundenes AppleTV und ein kabelloses iPhone an ein VLAN anzuschließen, jedoch minimal (wenn Sie das richtige Netzwerkdesign haben).
    • Die Popularität von AppleTV hat jedoch viele Anbieter dazu veranlasst, das sogenannte zu implementieren Bonjour Gateway ist im Wesentlichen ein Analogon zu DHCP Relay, aber für Bonjour werden sie bereits jetzt an seiner Leistung gemessen und zeigen diametral   entgegengesetzte Ergebnisse (dies sind zwei verschiedene Links) :). Diese Funktion wird von Cisco, Aruba und Aerohive unterstützt. Motorola unterstützt das Bonjour Gateway nicht in seiner reinen Form - andere L2-L3-Weiterleitungsoptionen werden angeboten - vom proprietären MiNT bis L2TPv2 / 3 und PBR.
    • Es gibt noch kleine Dinge (nur 1 WEP-Schlüssel wird unterstützt usw., Geräte stellen keine Verbindung zu Netzwerken mit deaktiviertem WMM her ), aber sie sollten wirklich niemanden beunruhigen, weil Nicht ähnliche Konfigurationen sollten nicht in Unternehmensnetzwerken verwendet werden.

    Insgesamt


    Ob Sie iOS für das Unternehmensumfeld geeignet halten oder nicht - aber irgendwie müssen Sie damit leben. Fassen wir alles in Form von Empfehlungen für die Unterstützung von iOS in einem drahtlosen Unternehmensnetzwerk zusammen
    . Idealerweise möchten wir den Menschen den Zugang zum Internet ermöglichen und nicht mehr. Wenn Sie E-Mails usw. benötigen, ist es (aus Sicht von Wi-Fi) viel einfacher, alle diese Geräte zu zwingen, über VPN in das Unternehmensnetzwerk einzutreten, als Chaos und Zerstörung zu verursachen, um Änderungen an einem debuggten Wi-Fi-Netzwerk vorzunehmen.
    • In diesem Fall reicht es aus, ein Gastnetzwerk zu erstellen und einen https-Hotspot mit RADIUS-Berechtigung zu erstellen, die an die Unternehmensbenutzerbasis (AD oder eine andere) gebunden ist. Die Gründe für die obligatorische Authentifizierung, schrieb ich Hotspots hier .
    • Es reicht aus, ein 2,4-GHz-Netzwerk im gesamten Gastzugriffsmodus für alles bereitzustellen: Unterstützung für B / G / N-Geschwindigkeit (natürlich die niedrigen Geschwindigkeiten von 1,2,5,5 Mbit / s ausschalten, wenn möglich), 20-MHz-Kanäle, nicht geschlossene SSIDs usw. .
    • Voraussetzung für den Zugriff auf ein i-Device sollte die Verwendung eines Sicherheitsprofils sein, das die Annahme von Zertifikaten anderer Personen blockiert (Schutz vor Phishing und Offenlegung von Unternehmensanmeldeinformationen).

    Wenn Sie Unternehmensanwendungen im Unternehmensnetzwerk unterstützen möchten, sollten Sie darüber nachdenken
    • Übertragen wir synchronen Verkehr (Sprache, Video)? Viele Schulen in den USA verwenden beispielsweise iPads, um beispielsweise Lehrvideos zu übertragen.
    • Wenn nicht, folgen wir den Empfehlungen des vorherigen Absatzes, aber anstelle eines Hotspots konfigurieren wir 802.1X. Glücklicherweise gibt es viele Optionen. Da der durchschnittliche Benutzer Angst vor dem Wort "RADIUS" hat, ist es viel einfacher, ihn davon zu überzeugen, ein Sicherheitsprofil anzuwenden, indem es mit den Netzwerkeinstellungen versehen wird ("Klicken Sie hier und alles wird sich selbst konfigurieren").
      • Möglicherweise müssen Sie ein wenig mit den Geschwindigkeitseinstellungen im Netzwerk spielen (wenn Optimierungen durchgeführt wurden) und einige Raten aktivieren.
      • Stellen Sie sicher, dass auf der Seite www.apple.com/library/test/success.html von Ihrem Netzwerk aus zugegriffen wird, oder konfigurieren Sie eine Umleitung zu Ihrem Webserver, um iPhones davon zu überzeugen, dass alles in Ordnung ist. :) :)

    • Wenn Sie Sprache und Video übertragen möchten, wird alles komplizierter.
      • Traditionell werden solche Netzwerke mit 5 GHz aufgebaut, weil Die Bereitstellung von QoS in einem "verschmutzten" 2.4 ist sehr problematisch. Der beste Ausweg besteht darin, direkt anzugeben, dass der Betrieb von Streaming-Anwendungen für iPhone4S und darunter nicht garantiert oder unterstützt wird, und dann iPads und andere neue Geräte auf 5 GHz zu übertragen.
      • In diesem Fall sollten breite Kanäle berücksichtigt werden, wenn sie mit 5 GHz verwendet werden. Durch Testen können Sie den Leistungsabfall bewerten, der durch das Auftreten von iPads in einem solchen Netzwerk verursacht wird.
      • Für schnelles Roaming (falls erforderlich) ist es sinnvoll, Benutzer auf iOS6 zu aktualisieren (es besteht der Verdacht, dass 802.11k / r eine Funktion des Betriebssystems ist, jedoch keine Chipsätze) und diese in Ihrer drahtlosen Infrastruktur zu konfigurieren. Andernfalls aktivieren Sie mindestens das PMK-Caching.
      • Wenn Sie Bonjour verwenden möchten, analysieren wir den Verkehrsfluss und leiten L2 über L3 weiter (oder aktivieren und konfigurieren Bonjour Gateway). Es ist sehr gut, wenn Sie eine selektive ACL-Weiterleitung durchführen können, um nicht den gesamten Datenverkehr zu senden. Dies hängt jedoch von den Funktionen Ihrer vorhandenen Netzwerkgeräte ab.
      • Wir testen das Verhalten von Geräten verschiedener Generationen und unterschiedlicher Firmware bei unterschiedlichen Geschwindigkeiten gründlich. In Hochleistungs-WLANs sind normalerweise 18 Mbit / s und niedrigere Raten deaktiviert. In diesem Fall müssen Sie testen, welche Geschwindigkeiten deaktiviert werden können - und welche verlassen werden müssen. In Verbindung mit speziellen Anforderungen an die Signalstärke kann dies möglicherweise zu Änderungen in der Funkplanung führen, auf die Sie vorbereitet sein müssen.

    Es gibt ein wunderbares NSA-Dokument für die Sicherheit . Ich denke, man kann ihnen vertrauen ( wenn dies keine absichtliche Fehlinformation eines potenziellen Gegners ist ).

    Zusammenfassend stelle ich fest, dass Apple in Bezug auf Wi-Fi einen bedeutenden Durchbruch erzielt hat. Wenn die erste Firmware für das iPhone so schief war, dass sie Cisco-Netzwerke vollständig mähte , ist jetzt alles viel besser. Ich kann iOS-Geräte immer noch nicht als "Unternehmen" bezeichnen, aber im Allgemeinen ist es bereits möglich, iOS in einem Unternehmensnetzwerk zu unterstützen. Achten Sie auf Ihren Appetit und Ihre Versprechen. (Hier geht es nicht um die Verwaltung der Geräteflotte und von BYOD im Allgemeinen!)
    Teilen Sie Ihre Meinung mit. Von besonderem Interesse ist die Erfahrung von Menschen, die mehr als 50 Geräte unterstützen.

    Jetzt auch beliebt: