点燃N+I三大亮点

点燃N+I三大亮点

－－WLAN、安全、存储

陈代寿

又是一个技术的盛会，又是一次网络的大潮，一年一等待的N+I大会究竟为我们带来了什么期待？虽然只有300家厂商参展，一些展出的最新技术仍然引人注目，WLAN、安全、存储堪称N+I的三大亮点。

虽然部分产业疲软，IT经费锐减，但美国拉斯维加斯刚刚结束的第17届N+I大会，可以算得上是网络领域的先锋了。也许这一年不像所期待的那样能够大幅度推进相关技术的发展，但也并不意味着网络工业的停滞不前，2003年的N+I还是展出了不少当今业界正在测试阶段的最新技术。值得一提的是，本届N+I大会还成立了InteropNet实验室（iLabs），专门负责对各厂商提供的产品进行独立公开测试，主要是验证新协议标准的兼容性。本次展览集中于三类协议标准的测试：基于802.1x的无线安全性、基于iSCSI的存储网络以及基于多协议标记交换（MPLS）的网间互联。而此次展览会中最引人注目的莫过于WLAN、安全性以及存储产品。

无线安全性凸显

在WLAN领域，最引人注目的是支持新规格WPA的新产品以及相关安全标准。此外，还发表了能够合并WLAN和原有有线LAN的产品、确保无线LAN中的QoS及便于管理多个设备的系统等众多产品。

新安全规范WPA

WPA是Wi-Fi联盟于2002年10月发表的最新无线LAN安全方式，用于取代现有的加密技术WEP，可提高安全性。WPA第一个版本支持无线LAN安全水平的改进规范IEEE802.11i的子集。其下一个版本将在IEEE802.11i完全版最终确定时进一步扩大支持范围。WPA改进了现有安全功能WEP的脆弱之处，在设计上能够用于目前市场上支持WEP的产品。几乎所有的开发商都将发布面向Wi-Fi认证产品的升级固件和软件。Wi-Fi联盟预计，首批支持WPA的产品将于5月亮相。他们还宣布了新的WPA规范下的第一个产品认证，并对Atheros通讯、Broadcom、Cisco、Intel、Intersil和Symbol科技的设备和部件进行了提名。预计到今年下半年，部分获Wi-Fi认证的电脑和外设将必须支持WPA。

802.1x互操作性通过测试

iLabs无线安全小组对802.1x标准的互操作性进行了测试，iLabs得出的结论是，大多数情况下能实现协同工作，但互操作还不能完全平滑实现，如在采用PEAP和TTLS认证协议的混合802.1x协议环境下，和设置WEP密钥方面都存在互操作性问题，另外各认证标准间的识别也还存在问题。

PEAP与TTLS的纷争

TTLS协议能够轻易实现在802.1x中集成传统的认证机制，它由Funk与Certicom提议。PEAP由RSA数据安全实验室、Cisco和微软发起。由于二者都未形成最终标准，因而很多开发商对两类协议都支持。在PEAP和TTLS中采用兼容内部认证机制，如MS-CHAP-V2或一次性口令并不是件轻而易举的事。由于PEAP不支持简单的用户名/口令认证机制，而具备加密口令的现行用户数据库又少不了这种认证机制，如Unix的用户认证和LDAP目录认证，因而开发商尽可能把这类认证方式引入PEAP机制中。其结果是，不同开发商有不同的方案，最终引发互操作问题。

WEP密钥设置

增强802.1x认证功能的一种方式是，维持无线接入点的理想位置，通常采用EAP（现行802.1x采用的内部认证机制）封装和解压缩数据包，实现与RADIUS服务器的间接对话。将来的内部认证机制还可以是TLS、TTLS或PEAP。这里的问题在于终端用户处理方面。RADIUS服务器需要与接入点进行通信，使接入点获取足够信息来设置WEP密钥。没有这一最终步骤，802.1x认证机制就不能提供真正的加密通道。经测试发现，大多数情况下802.1x认证都能顺利完成，但RADIUS服务器、接入点和请求通信方之间有可能出现通信故障。这种问题很难跟踪，因为要分析的对象不仅限于移动加密数据，而且还有参与通信的三方，它们都有可能出错。

标准形成存在难度

由于802.1x、EAP、TTLS以及PEAP都是初期标准，TTLS和PEAP仍处于草拟阶段，对于相互识别和如何实现的问题，各开发商尚存在分歧。开发商有两条途径可走：一是遵循标准发展方向，以最终标准为开发目标；二是与有影响的大开发商保持同步。后一情况如微软，它在Win 2000/XP中集成有802.1x客户端，很多开发商将微软的PEAP应用作为参考，与之保持互操作。这对需要内建支持Windows系统和运用PEAP方式进行认证的用户来说，不失为一件大好事。

有线、无线都要安全

在安全性领域中，最引人注目的是支持“SSL-VPN”的产品。SSL-VPN是一种使用标准配备Web浏览器的SSL，是从遥控环境连接公司内部网络VPN的技术。除了防火墙和VPN以外，还会有一些加强反病毒功能的新产品问世，以对付2001年以来越来越嚣张的电脑病毒。西门子ICN计划开始HiPath安全解决方案，这是解决实时IP通讯例如IP电话中安全风险的一组产品和业务。这套解决方案包括了网络安全的咨询和评价业务、VoIP稳定性、身份管理和访问卡基础设备，它还集成了来自Check Point软件技术公司和Nokia等厂商的第三方技术。此外，无线安全性问题凸显出来，但并不严重。iLabs无线安全小组早前进行的互操作性测试表明，支持标准的产品大多数时间能协同工作，但标准本身仍然存在一些值得注意的问题，产品也同样如此。今年N+I上还推出了确保无线LAN安全性的“IEEE802.1x”的转换协议。

iSCSI展示诱人前景

众所周知，iSCSI能实现设备中的块级存储数据基于IP连接传输，它的应用优势还在于能基于现行以太网扩展存储访问区域。iSCSI的支持者众多，包括Adaptec、Alacritech、Cisco、Emulex、HP、IBM、Intel、Microsoft、Nishan Systems以及Network Appliance等。

iSCSI将来应用会怎样？iLabs为我们展示了一幅图景：用户透过无线网络将三块USB软驱挂到Linux服务器，然后将它们配置为Windows 2000服务器环境下的RAID阵列。当然，没有人会运用1.44M软磁盘来构建RAID阵列，iLabs举这个例子只是为了向人们表明，运用iSCSI标准可实现很多操作。iLabs IP 存储动议小组的技术专家认为，iSCSI在构建实际存储应用系统时将为人们提供很大的灵活性，并能基于IP实现，而且，iSCSI的功能不仅限于此，将来可应用于远程启动和视频传输领域。

iLabs小组另一项测试是如何运用iSCSI实现计算机远程启动，而不需要任何硬件驱动器或直接附加磁盘。该功能对于网络主管意义重大，例如，当要变更安全参数或对应用系统进行修改时，只需进行一次操作，即可使远程服务器在启动时生效。这种远程启动功能不久将会以光纤通道方式实现。由于该项实验是远程启动单一服务器，因而可利用iSCSI技术实现从单一存储系统启动服务器簇，如聚合于同一底板的刀片服务器。iLabs小组还将iSCSI运用于视频点播（通过IP网进行）和视频监视。监视人员易于实现精确的视频访问，省却了搜索视频磁带的麻烦。

本文原载于中国计算机报