Особенности Wi-Fi в Apple iOS и последствия для сетей организаций

    Безо всяких вступлений скажу, что устройства на Apple iOS в корпоративных сетях присутствуют в немалом количестве, и в будущем их меньше, похоже, не станет (особенно со столь массовой популяризацией идеологии BYOD). И не важно, используются ли они как непосредственно бизнес-устройства или просто как персональные гаджеты сотрудников и начальства. Поэтому, с ними надо мириться и как-то уживаться. В этой заметке собраны под одной крышей особенности функционирования Wi-Fi в Apple iOS и приведены ссылки на материалы для дальнейшего изучения. Давайте по порядку рассмотрим, что есть и чего нет в iOS, и как с этим жить.

    Вначале хорошее.


    • Поддерживаются все нужные (и ненужные) механизмы шифрования: WEP, TKIP, CCMP. При этом помним, что если мы хотим 802.11n и высокие скорости в сети, то WEP и TKIP отпадают, о чем Apple предупреждает на сайте поддержки.
    • Поддерживаются все основные механизмы аутентификации: EAP-TLS, EAP-TTLS, EAP-SIM, PEAPv0 (MSCHAP-v2), PEAPv1 (GTC), а также проприетарные Cisco LEAP и EAP-FAST.
    • Из сертификатов поддерживаются PKCS#1 (.cer, .crt, .der) и PKCS#12
      • Очень дружественный к пользователю суппликант 802.1x – никаких многоуровневых диалогов с малопонятными опциями – просто введи пароль, выбери/подтверди сертификат и работай.
    • Таким образом, имеем поддержку и WPA и WPA2 в вариантах Personal и Enterprise и широким набором опций, которую пользователь может настроить самостоятельно.
    • Последние модели поддерживают 802.11n и даже 5ГГц.
    • В IOS6 имеется поддержка 802.11k и 802.11r, которые позволяют устройству при роуминге определить оптимальную точку доступа (ТД передают данные о своей загрузке) и быстро на нее перебраться.

    В общем, в видении Apple i-устройства в корпоративных сетях ждет рай, тишь и благодать. Бумага, посвященная развертыванию iOS в корпоративных WLAN снабжена аж одной иллюстрацией. Видимо, больше ничего знать не надо.

    Но не тут-то было.


    Пойдем в обратном порядке.
    • 802.11k и 802.11r (если верить вышеупомянутой бумаге) поддерживаются только на iPhone 4S, iPhone/iTouch 5 и новом iPad – так что на них пока что рассчитывать особо тоже не приходится.
    • 5ГГц поддерживаются только на iPhone/Touch 5, iPad (1-4, mini) и Apple TV. Однако, большого энтузиазма по поводу iPhone 5 не видно, iTouch 5 вообще не понятно кому нужен (почти за те же деньги можно брать Mini), а iPhone 4/4S еще вполне неплохо себя чувствует. Поэтому, рассчитывать только на 5GHz для «тотальной» поддержки i-гаджетов не получится – придется работать в 2.4GHz со всеми вытекающими последствиями (3 канала, помехи, кучи соседей и т.д.).
    • Дружественный суппликант 802.1X позволяет спокойно принять чужой непроверенный сертификат.
      • Очень удобно для лаб и демонстраций, не очень приятно, если кто-то попадется на подставную точку доступа (далее спокойно вскрывается MSCHAP – а именно его использует подавляющее большинство из-за распространенности Active Directory – и добываются имя/пароль пользователя).
      • Данная фича отключается через Configuration Manager, но для этого нужно или сдать телефон IT-шнику, или прислать профиль пользователю удаленно и убедиться, что он его таки применил.
    • За компанию добавим про “сверхскорости” 802.11n и MIMO в смартфонах и планшетах. Без комментариев (авторства Amazon)

    Устройства на Apple iOS в беспроводной сети организации

    Но, как любит говаривать автор нескольких популярных финансовых пирамид, это всё присказка была...
    Статья на сайте поддержки Apple “рекомендации по настройке WiFi для iOS-устройств” раскрывает интересные подробности
    • iOS не любит скрытые имена сетей. Мой iTouch 4G на IOS5 вполне спокойно работает со скрытой сетью, но от других жалобы слышал.
    • Не поддерживаются широкие каналы (40MHz).
      • С одной стороны – ну и правильно, нечего в 2.4GHz соваться с широкими каналами. Их туда влазит ровно один, помех от этого в большинстве случаев больше чем толку. Но почему не поддерживаются 40MHz в 5GHz? Ответ на картинке выше – 20MHz и так за глаза хватает.
      • А что делать остальным устройствам в корпоративной сети где включены широкие каналы (если вы таки используете, скажем, iPad’ы в 5GHz, как делают некоторые ритейлеры модной одежды)? Ответ один – страдать. Параллельно с HT Protection в 802.11n есть режим совместимости 40MHz с 20MHz, который тоже понижает производительность сети аналогичными способами (предварительные фреймы и т.д.). Насколько – зависит от множества параметров, в основном, от того, как часто iPad будет требовать эфир – точно предсказать нельзя.

    • При подключении к Wi-Fi сети устройство проверяет наличие связи с Интернет пытаясь соединиться с сервером Apple и стащить оттуда определенную веб-страницу. Если эта страница недоступна, предполагается, что мы сидим на хотспоте и выскакивает окошко браузера с запросом на логин, при этом система больше не пытается лезть в сеть. Удобно. Как показал недавний инцидент с IOS6, при отсутствии доступа к данной странице – отсутствует доступ к сети.

    Интересная заметка с подборкой впечатлений Cisco TAC от поддержки iOS
    • Поддержка OKC особо никого не волнует, если вы не используете софт-фоны или у вас устройства на iOS6 (802.11r успешно заменит OKC).
    • При отсутствии доступа к Интернет более 20 мин устройство старается переподключиться или найти другую сеть (может, там повезет).
    • TAC добавляет еще один мазок к картине со скрытыми SSID – при наличии двух и более SSID, устройство всегда будет подключаться к открытым сетям, даже если намеренно выбрать профиль со скрытым SSID.
    • Устройства (особенно iPad) обладают значительной мощностью на передачу, но худшей чувствительностью на прием (сказывается домашняя специфика).
    • Возможны разнообразные косяки при отключении скорости 11Mbps (что требует, по-сути, включения поддержки 802.11b). Я не наблюдал таких проблем на своем устройстве с IOS4/5, скорее всего – это пережитки более старых версий. Однако, некоторые партнеры Motorola подтвердили, что сталкивались с такой проблемой у заказчиков.
    • Статья датирована Июлем 2012, возможно с выходом iOS6 часть проблем ушла. К сожалению, Applе не очень щедра на подробности.

    Протокол Bonjour (анонс сервисов, передача видео AirPlay и т.д.) не маршрутизируется. Т.е. устройства должны быть в одной VLAN (что нормально в домашних условиях). Однако в корпоративной среде шансы подключения проводного AppleTV и беспроводного iPhone в одну VLAN минимальны (если у вас правильный дизайн сети).
    • Тем не менее, популярность AppleTV привела к тому, что многие вендоры внедрили т.н. Bonjour Gateway – по сути аналог DHCP Relay, но для Bonjour, и теперь даже меряются его работоспособностью, показывая диаметрально  противоположные (это две разные ссылки) результаты :). Данная функция поддерживается Cisco, Aruba, Aerohive. Motorola не поддерживает Bonjour Gateway в «чистом» виде – предлагаются другие варианты проброса L2 по L3 – от проприетарного MiNT до L2TPv2/3 и PBR.
    • Есть еще мелочи (поддерживается только 1 WEP-ключ и т.д., устройства не подключаются к сетям с отключенной поддержкой WMM), но они на самом деле не должны никого волновать, т.к. не подобные конфигурации не должны использоваться в корпоративных сетях.

    Итого.


    Считаете ли вы iOS пригодной для корпоративной среды или не считаете — но жить с ней как-то придется. Давайте просуммируем все в виде рекомендаций для поддержки iOS в корпоративной беспроводной сети
    В идеале, мы хотим дать людям доступ в Интернет и не более. Если необходима почта и проч – гораздо проще (с точки зрения Wi-Fi) заставить все эти устройства заходить в корпоративную сеть через VPN, чем сеять хаос и разрушение менять что-либо в отлаженной Wi-Fi сети.
    • В таком случае достаточно создать гостевую сеть, завести на ней https-хотспот с RADIUS-авторизацией, привязанной к корпоративной базе пользователей (AD или другой). О причинах обязательной аутентификации на хотспотах я уже писал здесь.
    • Сеть достаточно развернуть в 2.4GHz в режиме тотального гостевого доступа для всего подряд: поддержка b/g/n-скоростей (конечно-же, по возможности отключите низкие скорости 1,2,5.5Mbps), каналы 20MHz, нескрытые SSID и т.д.
    • Обязательным условием включения доступа i-устройству должно быть применение профиля безопасности, который блокирует возможность принятия чужих сертификатов (защита от фишинга и раскрытия корпоративных учетных данных).

    Если же планируется поддержка корпоративных приложений в корпоративной сети – следует задуматься
    • Передаем ли мы синхронный трафик (голос, видео)? Многие школы в США сейчас используют iPad’ы для передачи учебных видеороликов, например.
    • Если нет – следуем рекомендациям прошлого параграфа, но вместо хотспота настраиваем 802.1X, благо, вариантов море. Поскольку среднестатистический юзер пугается слова "RADIUS" — гораздо проще убедить его применить профиль безопасности, отдав его в комплекте с настройсками сети ("ткни сюда и все настроится само").
      • Возможно, придется немного поиграться с настойками скоростей в сети (если проводились оптимизации) и включить некоторые рейты.
      • Убедитесь, что страница www.apple.com/library/test/success.html доступа из вашей сети, или настройте редирект на свой веб-сервер, который будет убеждать айфоны в том, что все в порядке. :)

    • Если таки планируется передача голоса и видео – все становится сложнее.
      • Традиционно, такие сети строятся в 5GHz, т.к. обеспечить QoS в «загрязненном» 2.4 весьма проблематично. Лучшим выходом будет заявить прямо, что работа потоковых приложений для iPhone4S и ниже не гарантируется и не поддерживается, после чего перевести iPad’ы и другие новые устройства в 5GHz.
      • При этом следует учесть широкие каналы, если они используются в 5GHz. Оценить падение производительности, вызванное появлением iPad’ов в такой сети, поможет тестирование.
      • Для быстрого роуминга (если он требуется) имеет смысл обновить пользователей до iOS6 (есть подозрение что 802.11k/r – это фишка ОС, а не чипсетов, все же) и настроить их в своей беспроводной инфраструктуре. Иначе – хотя бы включить PMK Caching.
      • Если планируется использование Bonjour – анализируем потоки трафика и делаем форвардинг L2 поверх L3 (или включаем и настраиваем Bonjour Gateway). Очень хорошо, если можно делать выборочный форвардинг по ACL, дабы не слать весь трафик, но это зависит от возможностей имеющегося сетевого оборудования.
      • Тщательно тестируем поведение устройств разных поколений и разных прошивок на разных скоростях. Обычно в высокопроизводительных WLAN отключают рейты 18Mbps и ниже. В данном случае, придется тестировать, какие скорости можно отключить – а какие оставить. Возможно, вкупе с особыми требованиями по мощности сигнала, это повлечет изменения в радиопланировании, к чему нужно быть готовым.

    По безопасности есть замечательный документ NSA. Думаю, им можно верить (если это не намеренная дезинформация вероятного противника).

    В заключение, отмечу, что Apple в плане Wi-Fi совершила значительный рывок. Если первые прошивки для iPhone были настолько кривыми, что косили намертво сети Cisco, то сейчас все гораздо лучше. Назвать iOS-устройства «корпоративными» я по-прежнему не могу, но, в целом, поддерживать iOS в корпоративной сети уже можно. Если быть осторожным в своих аппетитах и обещаниях. (Это не касаясь управления парком устройств и BYOD в целом!)
    Делитесь мнениями. Особенно интересен опыт людей, поддерживающих 50+ устройств.
    Поделиться публикацией

    Комментарии 14

      +1
      iOS не любит скрытые имена сетей? Не замечено на всем зоопарке устройств от 2g до 5 на рабочем месте.
        +4
        iOS 3.1.3 на ipod touch 1g не соединяется автоматически с домашней скрытой сетью
          0
          У меня аналогично iTouch 1G/3.1.3 и те же проблемы через раз. Через 10-15 раз приходится сбрасывать сетевые настройки и прописывать заново.
          На iTouch 4G не было проблем ни на 4.x ни на 5.x
          –1
          Плюсую, никогда не встречал такой проблемы.
          +4
          «Мое мнение о пригодности iOS к корпоративным внедрениям не поменялось»

          Кстати, Вы его не озвучили.
            +3
            От себя скажу, что за пределами USA — это страдание, а не внедрение.
              0
              А в чём это страдание выражается?
                0
                выражается в том, что Apps for Business работает только в USA, и почти весь профит использование ios для других стран сильно теряется.
                  0
                  Подкину вам ссылку www.apple.com/ru/support/iphone/enterprise/

                  Самое прекрасное оно есть в RU :) хотя масса документации в eng.
                0
                Изначально в начале статьи был колкий комментарий в адрес маркетологов Apple, которые еще в 2007 заявляли громко, что iPhone — это очень корпоративное устройство (потому что там есть календарь и почта и даже местами работал Exchange), но потом абзацы переставились, планеты сместились, комментарий исчез, а это предложение избежало правки.
                Зато я теперь точно знаю, что есть люди, внимательно читающие все до конца. Спасибо вам :)
                0
                У нас в компании для раздачи сертификатов и прочая используют MobileIron для iOS. Оно позволяет прописывать централизованно все необходимые профили и сертификаты.
                  0
                  И как впечатления? Сколько устройств?
                  0
                  Интересно, а зачем доступ к www.apple.com/library/test/success.html?
                    0
                    А ссылка на упомянутый инцидент не работает?

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое