The Intelligent Wireless Networking Choice™

Colubris Networks MultiServiceAccess Controller

A P P L I C A T I O N N O T E

Colubris Networks, Inc. 2

W H I T E P A P E R | Colubris Networks MultiService Access Controller

Wireless LANs werden heute überall aufgebaut. WLAN-Hotspots in Flughäfen, Hotels und Restaurants sorgen für einen schnellenund preiswerten Internet-Zugang für die Öffentlichkeit. Aus diesem Grund müssen die Netzressourcen dem Benutzer flexibleDienste und dem Hotspot-Betreiber eine Vielzahl unterschiedlicher Kontroll- und Managementfunktionen bereitstellen.

Die von Colubris entwickelten MultiService Controller (MSCs) stellen die Kontrollinstanzen für das Colubris IntelligentMobility System (CIMS) dar und verwalten und managen alle im Netzwerk integrierten Access Points. Die MSCs stellen denüber den öffentlichen Netzzugang integrierten WLAN Clients die notwendigen Services zur Verfügung, erbringen dieRoaming-Funktionen und sorgen darüber hinaus für die konsistente Umsetzung der QoS- und Sicherheitsmechanismen.

Der Colubris MSC arbeitet unabhängig von den bereits im Netzwerk installierten Technologien (Access- und Backhaul-Systemen).Das System ist in der Lage, sowohl mit kabelgebundenen als auch kabellosen Kommunikationsressourcen (WiMAX undkabelgebundener Backhaul) zusammenzuarbeiten. Der MSC sorgt dafür, dass eine Vielzahl unterschiedlicher Dienste undServices simultan über die gleiche Netzinfrastruktur bereitgestellt werden. Hierzu gehören der Zugang zum öffentlichenInternet über Hotspots oder HotZones und VPN- und VoIP Services.

Die Colubris MSC Produktlinie sorgt dafür, dass Netzbetreiber ihre Investitionen in das Netzwerk optimieren und sowohl dieunterschiedlichen Authentifikationtechniken (Captive Portal, Web Redirect, RADIUS und 802.1x) als auch umfassendeAbrechnungs- und Messinformationen und QoS Techniken unterstützt werden.

Flexible Zugangskontrolle

Service Provider bauen auf der Basis des Colubris MSCs im Bereich der öffentlichen Netzzugänge eine Vielzahl unterschiedlicherGeschäftsmodelle auf. Die Netzbetreiber können die Nutzer lokal authentifizieren oder die gesamte Zugangsprozedur wirddurch eine Remote Authentifikation, Autorisierung und Abrechnung (AAA) Struktur bereitgestellt. Die Nutzer lassen sich auchindividuell an ein Portal, AAA-System oder DHCP Server umleiten. Dadurch können auf Basis des Standorts des jeweiligenNutzers oder der jeweiligen SSID spezifische, auf den jeweiligen Anwendungsfall zugeschnittene, Servicemodelle angebotenwerden. Alternativ können Service Provider bestimmte Funktionen von Drittanbieter von HotZone Abrechnungsservices perOutsourcing erbringen lassen.

Die Zugangskontrolle ist eine der zentralen Komponenten des Colubris MSC Systems zum Management eines öffentlichenGast/Besucher Zugangsystems. Es stellt folgende Funktionen bereit:

• Individuell anpassbares Captive Portal: Das gesamte öffentliche Zugangsinterface lässt sich individuell an die jeweiligenAnforderungen des Providers anpassen und stellt in Abhängigkeit des Benutzers oder des Standorts die jeweiligen Inhalteund Dienste dynamisch zur Verfügung. Individuelle RADIUS Attribute legen die Grundlage für das zentrale Managementund die Kontrolle von geographisch verteilten Standorten.

• AAA Authentifikation: Eine Benutzer-Authentifikation auf Basis der unterschiedlichen, im Markt angebotenen RADIUSServer ist durch die Bereitstellung unterschiedlicher RADIUS Profile gewährleistet. Die Benutzer können entweder überihre 802.1x- oder WPA-Mechanismen oder eine HTML-Login Page gesichert auf das Netzwerk zugreifen. Auch wird eineautomatische Authentifikation per MAC Adresse unterstützt.

• RADIUS Accounting: Sammelt die individuellen Daten (Nutzungszeit, übermittelte Datenmengen) auf Basis der individuellen Clients.

• Access Listen: Individuell anpassbarer Benutzerzugang auf folgenden drei Ebenen: Site, Benutzergruppe und Benutzer.

• Zero-Konfiguration Client: Erlaubt Clients mit statischer IP Adresse und/oder festen HTTP Proxy Einstellungen den Zugriffohne Umkonfiguration dieser Einstellungen.

• SMTP Redirection und Proxy: Sorgt für die komplette Unterstützung der Client eMail Applikationen.

• Abgestufte Services: Virtuelle SSIDs und VLAN Tags stellen die Grundlage für die paralelle Bereitstellung unterschiedlicherDienste und Services über die APs bereit. Hierzu gehören beispielsweise ein kostenloser bandbreitenbegrenzter Internetzugang;bevorzugte Internetzugänge mit abrechenbaren Services; Bandbreitengarantien und Priorisierung bestimmterAnwendungen (Unternehmens VPNs, Sprach- und Videodienste).

• Bandbreitenmanagement: Durch Steuerung des WLAN-Zugangs über individuelle Merkmale (beispielsweise externenRADIUS Server) lässt sich die zur Verfügung gestellte Bandbreite (je Benutzer, SSID, VLAN, etc.) optimal nutzen undgarantiert somit eine Individualisierung der Services.

• Universeller Netzzugang: Der MSC unterscheidet den Verkehr anhand folgender Merkmale: VLAN, GRE Tunnel, MACAdressen, Benutzername und Passworte. Anhand der individuellen Merkmale stellt der MSC die spezifischenZugangsservices bereit. Da der MSC alle Standards unterstützt (Zugangsmechanismen und –Protokolle) arbeitet dasgesamte System vollkommen herstellerunabhängig.

Colubris Networks, Inc. 3

W H I T E P A P E R | Colubris Networks MultiService Access Controller

Vereinfachte Installation

Der Colubris MultiService Controller agiert als Gatekeeper zwischen dem öffentlichen und dem privaten Netzwerk.Beispielsweise müssen die Nutzer einer geschützten Netzressource sich über einen öffentlichen Zugang an dem vom MSCbereitgestellten Zugangsinterface anmelden und authentifizieren. Das öffentliche Zugangsinterface wird automatisch beimZugriff des Nutzers auf eine geschützte Ressource deaktiviert.

Im ersten Schritt wird der Benutzer an die normale Login Page übermittelt. Nach dem erfolgreichen Login wird der Nutzeran die von ihm ursprünglich angeforderte Web Page umgeleitet. Die Authentifikation lässt sich über das Captive Portal (aufBasis eines HTML-Logins oder per 802.1x) durchführen. Dabei stehen dem Netzadministrator für jedes VLAN bzw. SSIDunterschiedliche Authentifikationstechniken zur Verfügung.

Für zusätzliche Flexibilität sorgt der MSC, wenn dieser direkt am Internet (via Breitbandmodem) angeschlossen ist. In diesemFall müssen sich die Benutzer bereits für den Zugang zum Internet einloggen und authentifizieren. Um die Sicherheit derZugänge noch zu erhöhen, wird die Internet-Verbindung durch die in den MSCs eingebaute Firewall geschützt.

Verteilte Standorte

Verteilte ZugangskontrolleIn diesem Anwendungsbeispiel bieten mehrere Access Points an mehreren Standorten einen öffentlichen Zugriff auf dasNetzwerk. Hierfür wird für die Zugangskontrolle der Benutzer an jedem Standort ein MSC installiert. Die MSCs kommunizierenmit dem zentralen RADIUS Server im NOC und überprüfen die Zugangsinformationen der Nutzer und nutzen den NOC WebServer zur Bereitstellung der individuell angepassten HTML Pages.

Zentrale ZugangskontrolleIn diesem Fall werden nur die Access Points an den öffentlichen Zugangspunkten installiert. Ein MSC im NOC sorgt zentral fürdie Zugangskontrolle aller Standorte. Hierzu muss der lokale Router den Verkehr der Benutzer an den MSC weiterleiten, derdie Benutzerdaten mit Hilfe des RADIUS Server im NOC überprüft bzw. die lokal abgelegten Benutzerdaten hierzu verwendet.Der NOC Web Server stellt die individuell angepassten HTML Pages bereit.

AAA Authentifikation

Die von Colubris entwickelten MSCs unterstützen eine Vielzahl unterschiedlicher Authentifikationsmethoden. Dabei könnendie unterschiedlichen Authentifikationsmethoden simultan verarbeitet werden. Jeder Nutzer, jede Login-Information wirdanhand eines RADIUS Servers oder einer intern abgelegten Benutzerdatenbank überprüft.

HTML Authentifikation/Captive PortalBeim Login übergeben die Benutzer ihren individuellen Login-Namen und das zugehörige Passwort an eine HTML Seite. Dasim MSC implementierte Captive Portal ermöglicht die flexible Bereitstellung der Inhalte: intern, extern oder per umgeleitetenWeb Zugang. Die internen Web Pages lassen sich im Rahmen der Colubris Page Layouts individuell anpassen.

Darüber hinaus kann das Template jederzeit durch das Verlinken mit externen Web Seiten erweitert werden. Die maximaleFlexibilität ergibt sich für den Netz/Zugangsbetreiber wenn der MSC zur Umleitung der Authentifikation der Clients an denBackend Web Server genutzt wird. Die dargestellten Lösungen können jederzeit miteinander (auch auf dem gleichen MSC)gemischt werden. Die Auswahl der Authentifikationsart erfolgt anhand der Client SSIDs bzw. VLANs. Aufgrund dieser Flexibilitätist ein Netzbetreiber in der Lage, über die gleiche Infrastruktur den Zugang für einen virtuellen Netzbetreiber bereitzustellen.Dadurch werden die vorhanden Zugangsressourcen besser ausgelastet und die Investitionen amortisieren sich schneller.

WPA und 802.1x AuthentifikationDas Colubris System unterstützt alle Nutzer/Clients auf Basis von 802.1x oder WPA. Die Authentifikation erfolgt in diesemFall über die Services eines externen RADIUS Servers (der MSC agiert in diesem Fall als RADIUS Proxy). Der MSC unterstütztfolgende 802.1x Client-Funktionen:

• EAP-TLS—Extensible Authentication Protocol Transport Layer Security• EAP-TTLS—Extensible Authentication Protocol Tunneled Transport Layer Security• EAP-SIM—Extensible Authentication Protocol Subscriber Identity Module• EAP-AKA – Extensible Authentication Protocol Authentifikation und Key Agreement• EAP-GTC – Extensible Authentication Protocol General Token Card • PEAP—Protected Extensible Authentication Protocol

Colubris Networks, Inc. 4

W H I T E P A P E R | Colubris Networks MultiService Access Controller

MAC Addressen-basierte Authentifikation Der MSC authentifiziert auch die Geräte auf Basis der MAC Adressen. Dieser Mechanismus wird hauptsächlich für solcheKomponenten (beispielsweise Drucker, Scanner usw.) eingesetzt, die über keinen Web Browser verfügen. Diese Geräteloggen sich nicht über das öffentliche Zugangsinterface ein. Stattdessen übernimmt der MSC die Authentifizierung sobalddieser die entsprechende MAC Adresse im Netzwerk erkennt.

Abrechnung mit RADIUS

Ein MSC unterstützt eine Vielzahl von RADIUS Attributen pro Benutzer. Hierzu gehören:

• Maximale Zeit die eine Session aktiv sein kann,• Maximale Inaktivitätszeit• Anzahl der empfangenen Oktetts/Bytes,• Anzahl der gesendeten Oktetts/Bytes,• Anzahl der empfangenen Pakete,• Anzahl der gesendeten Pakete,• QoS Regeln und Bandbreitenkontrolle

Access Listen

Anhand von Zugangslisten lassen sich die Zugriffe auf Netzressourcen sowohl für authentifizierte als auch nicht authentifizierteNutzer managen. Mit Hilfe der Zugangslisten werden für öffentliche Netzzugänge die Berechtigungen der Nutzer festgelegt.Darüber hinaus lassen sich über Access Listen speziell geschützte Bereiche für den exklusiven Zugriff bestimmter Nutzer oderNutzergruppen realisieren. Ein solches System muss eine Vielzahl unterschiedlicher Zugangslisten unterstützen: unterschiedlicheZugangsregeln für eine Vielzahl von Zugangsprotokollen die auf bestimmte Services oder Portbereiche zugreifen. Die Zugangslistenlassen sich sowohl global für alle Nutzer als auch auf Nutzerbasis über den spezifischen RADIUS Account verwalten.

Individuell anpassbares Captive Portal

Das öffentliche Zugangsinterface basiert auf einer Sequenz von Web Pages über die die Nutzer/Kunden sich im Netzwerk an- undabmelden und den aktuellen Status der WLAN-Verbindung überprüfen. Das, über das Colubris Captive Portal bereitgestellteTemplate stellt ein Default Zugangsinterface zur Verfügung. Dieses Interface besteht aus folgenden sieben Pages:

Colubris Captive Portal Template

Transport

WillkommenSession

Fehlversuch

Login Fehler

Goodbye

Nutzer möchteexterne Web

Seite erreichen

Zugang zur ursprünglich angeforderten Web Seite

Browser wird umgeleitet

Nutzer klickt auf den bereitgestellten Link und wird an die ursprünglicheSeite weitergeleitet

Nutzer klickt auf Logout

Login erfolgreich

Anzeige der temporären Page nach Login

Login schlägt fehl, da der MSC den RADIUS Server nicht erreichen kann.

Login schlägt fehl, da der Nutzer ein ungültigen Nutzernamen bzw. Passwort eingibt

Login

Colubris Networks, Inc. 5

W H I T E P A P E R | Colubris Networks MultiService Access Controller

Der MSC ermöglicht einen individuellen Zuschnitt der über das öffentliche Zugangsinterface verfügbaren Web Pages. Die WebPages lassen sich automatisch per RADIUS Server updaten und sorgen für ein effizientes Management mehrerer Komponenten.

Mit Hilfe des MSCs lassen sich auch Kunden/Nutzer an einen Remote Server weiterleiten. Damit erfolgt der Login zumöffentlichen Zugang nicht mehr über die interne Login Page. Darüber hinaus ist der MSC in der Lage, eine Reihe vonParametern an den Web Server zu übergeben. Hierzu gehören:

• Die IP Adressen des Nutzers,• Der vom Nutzer eingegebene URL,• Das dem Nutzer zugeordnete VLAN oder dessen SSID

Zero-Konfiguration

Die Zero-Konfiguration Funktionen des MSCs sorgen für eine dynamische Anpassung der Konfigurationen der Nutzer beimZugang zum öffentlichen Netzwerk. Der Access Controller unterstützt darüber hinaus:

• Clients mit statischen IP Adressen, die sich nicht am gleichen Subnetz wie der Access Controller befinden

• Nutzung der Clients von Proxy Servern für HTTP und HTTPS

SMTP Unterstützung

Sorgt für den korrekten Empfang und das Versenden von eMails über das öffentliche Zugangsnetzwerk. In der Praxis blockiereneinige Service Provider alle SMTP-Verbindungen zu Mail Servern die sich nicht in deren Netzwerk befinden. Um dieses Problemzu umgehen, lässt sich der MSC in einer HotZone so konfigurieren, dass die SMTP-Verbindungen zu einem bestimmtenSMTP Server des Zugangsnetzbetreibers, umgeleitet wird. Dies kann beispielsweise über einen Tunnel erfolgen. Der Vorteilder Nutzer einer HotZone: Die eMail wird ohne Probleme übermittelt.

Netzkonfiguration auf Basis von RADIUS

Die Konfigurationen eines öffentlichen Zugangsnetzwerks wird über RADIUS Attribute geregelt. Diese Attribute werden entwederdirekt auf dem MSC abgelegt oder in einem RADIUS Server gespeichert. Die Attribute sind in folgende Kategorien unterteilt:

Service Controller AttributeDiese Attribute werden für die Konfiguration der globalen Zugangsparameter genutzt. Sie werden im RADIUS Account desMSC oder lokal auf dem MSC festgelegt. Mit Hilfe der Attribute lassen sich folgende Werte definieren:

• Die individuellen HTML Pages, URLs und unterstützende Files zur Anpassung des öffentliche Zugangsinterfaces,• Zugangslisten zum Management der dem Nutzer zu Verfügung gestellten Netzressourcen,• Das SSL Zertifikat zur Kommunikation mit dem MSC,• Der Speicherort des Konfigurationsfiles welches zum automatischen Update aller oder mehrerer MSCs• Liste zur Authentifizierung der Client anhand der MAC Adressen• Default Inaktivitäts-Timeout für alle Nutzer,• Default Session Timeout für alle Nutzer,• Default SMTP Server für eMail-Umleitung aller Nutzer• Default Interval für Abrechnungsdaten bzw. Updates der Nutzer,• Default Upload- und Download-Grenzen für alle Benutzer,

KundenattributeDiese Attribute spezifizieren die individuellen Parameter der Kundenbasis und müssen im RADIUS Account jedes Nutzersfestgelegt werden. Die Kundenattribute enthalten:

• Benutzerspezifische Access Listen,• Bandbreitenkontrolle für spezifische Benutzerverbindungen,• Umleitung der Daten eines Benutzers in einen GRE Tunnel,• Grenzen für den Empfang bzw. die Übermittlung von Daten je Session,• Upload- und Download-Grenzen je Session• Definition für eine Umleitung der eMail des Benutzers,• Der Speicherort der individuellen Zugangs-Web Pages des Benutzers,

Colubris Networks, Inc. 6

W H I T E P A P E R | Colubris Networks MultiService Access Controller

6

Öffentliche Gast/Besucher Zugangsdienste

Fester Bestandteil der Colubris MSC Konfiguration ist ein Besucher/Gastzugang. Dieser bietet allen mobilen Benutzern einengesicherten Internetzugang und einen freien Zugriff auf eMail und Netzressourcen innerhalb und außerhalb des Unternehmens.Der Service arbeitet problemlos mit jedem Client, jeder IP Adresse und jeder Web Proxy Konfiguration zusammen und stelltein individuell anpassbares Web Login für den problemlosen Netzzugang zur Verfügung.

Colubris Multi-Service Controller Produktlinie

Die von Colubris entwickelten MultiService Controller (MSCs) stellen die Kontrollinstanzen für das Colubris Intelligent MobilitySystem (CIMS) dar und verwalten alle im Netzwerk integrierten Access Points. Die MSCs stellen den im Netz integriertenWLAN Clients die notwendigen Services zur Verfügung, erbringen die Roaming-Funktionen und sorgen darüber hinaus fürdie konsistente Umsetzung der QoS- und Sicherheitsmechanismen. Auf Basis der Plug-and-Play-Funktionen wird dergesamte Betrieb des WLANs vereinfacht und die Betriebskosten werden drastisch gesenkt.

MSC-5000 SerieDie Serie 5000 MSC Produktfamilie umfasst Modelle für die Realisierung von kleinen, mittleren und großen Netzwerken. AlleModelle unterstützen die gleichen Netzwerkservices. Darüber hinaus stellt der MSC spezielle Funktionen zur Bereitstellungvon gesicherten Besucher/Gastzugängen zum Internet bereit.

Serie 5000 MSC Produkte

MSC-5100 MSC-5200 MSC-5500

COS Konfiguration Access Service Mobility Pack Access Service Mobility Pack Access Service Mobility Pack

Services

Fast Roaming & VoWLAN Unterstützung P P PPlug-and-Play MAP Management P P P P P PPublic/Gast Internet Access P P P P P PMax. MAPs (kontrolliert/ autonom) 10/unbegrenzt 40/unbegrenzt 200/unbegrenzt

Max. Nutzer für Public/Gast Internet Access 100 500 2,000

Gehäuse 1U 1U 1U

Network Interfaces (2)10/100/1000 Ethernet (2)10/100Ethernet (2)10/100/1000 Ethernet

7

MSC-3000 SerieEin Controller der Serie 3000 enthält einen kompletten MultiService Access Point und Service Controller in einer Box undstellt damit die optimale Plattform für kleinere und mittlere Netzwerke dar. Das System bietet die gleichen Besucher- bzw.Gastzugangsfunktionen wie die Controller der Serie 5000 Controller. Über die integrierten Ethernet Ports lassen sich dieMultiService Access Points (MAPs) mit einem kabelgebundenen Backbone verbinden und erweitern somit die Reichweite desFunknetzes auch über größere Flächen, Gebäude bzw. Gelände hinweg.

Zusammenfassung

Die von Colubris entwickelten MultiService Controller bieten sämtliche Funktionen und Mechanismen zum effizientenManagement der Benutzer, der Authentifikation und der Kontrolle in öffentlichen Netzen. Auf Basis des MSCs könnenNetzbetreiber eine Vielzahl unterschiedlicher Services über die gleiche Infrastruktur bereitstellen und somit ihre Investitionenin die Netzstrukturen optimieren.

Über Colubris Networks

Die von Colubris entwickelten Lösungen werden weltweit über ein Partnernetz vertrieben. Zu den europäischen Kunden zählenneben den zahlreichen Wireless ISPs, Universitäten, Hochschulen und Rechenzentren, Behörden, Hotels, Krankenhäuser,Transportunternehmen, verarbeitende Industrieunternehmen und namhafte Automobilhersteller in Deutschland, Österreich,Schweiz, Italien, Frankreich und Griechenland. Inzwischen sind weltweit mehr als 100.000 Colubris WLAN Zugänge installiert.Die Lösungen von Colubris sind als einzige FAA zertifizierte WLAN Lösung in der internationalen Luftfahrt einsetzbar. Daherbauen die WLAN Konzepte der Lufthansa und der Star Alliance auf den Colubris Networks Konzepten auf. In den BoeingJumbo Jets und auch im neuen Airbus 380 werden, sowohl für die interne Kommunikation (Logistik), als auch für dieexterne Kommunikation der Fluggäste, die MultiService Wireless LAN (WLAN) Systeme von Colubris Networks genutzt.

W H I T E P A P E R | Colubris Networks MultiService Access Controller

3000 Produktfamilie

Funktionen MSC-3200 MSC-3200R MSC-3300 MSC-3300R

Anzahl der Nutzer für den Besucher/Gastzugang 100 100 100 100

Integrierter 802.11 AP P P P PAnzahl der 802.11 a/b/g Funknetzeinrichtungen 1 1 2 2

Gehäuse Indoor Outdoor Indoor Outdoor

200 West StreetWaltham, Massachusetts 02451Phone: +1 781 684 0001Fax: +1 781 684 0009E-mail: sales@colubris.com

www.colubris.com

Copyright © 2007, Colubris Networks, Inc. Colubris Networks, the Colubris Networks logo,The Intelligent Wireless Networking Choice, and TriPlane are trademarks of Colubris Networks,Inc. All other products and services mentioned are trademarks of their respective companies.