Особенности Wi-Fi в Apple iOS и последствия для сетей организаций
Безо всяких вступлений скажу, что устройства на Apple iOS в корпоративных сетях присутствуют в немалом количестве, и в будущем их меньше, похоже, не станет (особенно со столь массовой популяризацией идеологии BYOD). И не важно, используются ли они как непосредственно бизнес-устройства или просто как персональные гаджеты сотрудников и начальства. Поэтому, с ними надо мириться и как-то уживаться. В этой заметке собраны под одной крышей особенности функционирования Wi-Fi в Apple iOS и приведены ссылки на материалы для дальнейшего изучения. Давайте по порядку рассмотрим, что есть и чего нет в iOS, и как с этим жить.
Вначале хорошее.
Но не тут-то было.
Пойдем в обратном порядке.
- 802.11k и 802.11r (если верить вышеупомянутой бумаге) поддерживаются только на iPhone 4S, iPhone/iTouch 5 и новом iPad – так что на них пока что рассчитывать особо тоже не приходится.
- 5ГГц поддерживаются только на iPhone/Touch 5, iPad (1-4, mini) и Apple TV. Однако, большого энтузиазма по поводу iPhone 5 не видно, iTouch 5 вообще не понятно кому нужен (почти за те же деньги можно брать Mini), а iPhone 4/4S еще вполне неплохо себя чувствует. Поэтому, рассчитывать только на 5GHz для «тотальной» поддержки i-гаджетов не получится – придется работать в 2.4GHz со всеми вытекающими последствиями (3 канала, помехи, кучи соседей и т.д.).
- Дружественный суппликант 802.1X позволяет спокойно принять чужой непроверенный сертификат.
- Очень удобно для лаб и демонстраций, не очень приятно, если кто-то попадется на подставную точку доступа (далее спокойно вскрывается MSCHAP – а именно его использует подавляющее большинство из-за распространенности Active Directory – и добываются имя/пароль пользователя).
- Данная фича отключается через Configuration Manager, но для этого нужно или сдать телефон IT-шнику, или прислать профиль пользователю удаленно и убедиться, что он его таки применил.
- За компанию добавим про “сверхскорости” 802.11n и MIMO в смартфонах и планшетах. Без комментариев (авторства Amazon)
Но, как любит говаривать автор нескольких популярных финансовых пирамид, это всё присказка была.
Статья на сайте поддержки Apple “рекомендации по настройке WiFi для iOS-устройств” раскрывает интересные подробности
- iOS не любит скрытые имена сетей. Мой iTouch 4G на IOS5 вполне спокойно работает со скрытой сетью, но от других жалобы слышал.
- Не поддерживаются широкие каналы (40MHz).
- С одной стороны – ну и правильно, нечего в 2.4GHz соваться с широкими каналами. Их туда влазит ровно один, помех от этого в большинстве случаев больше чем толку. Но почему не поддерживаются 40MHz в 5GHz? Ответ на картинке выше – 20MHz и так за глаза хватает.
- А что делать остальным устройствам в корпоративной сети где включены широкие каналы (если вы таки используете, скажем, iPad’ы в 5GHz, как делают некоторые ритейлеры модной одежды)? Ответ один – страдать. Параллельно с HT Protection в 802.11n есть режим совместимости 40MHz с 20MHz, который тоже понижает производительность сети аналогичными способами (предварительные фреймы и т.д.). Насколько – зависит от множества параметров, в основном, от того, как часто iPad будет требовать эфир – точно предсказать нельзя.
- При подключении к Wi-Fi сети устройство проверяет наличие связи с Интернет пытаясь соединиться с сервером Apple и стащить оттуда определенную веб-страницу. Если эта страница недоступна, предполагается, что мы сидим на хотспоте и выскакивает окошко браузера с запросом на логин, при этом система больше не пытается лезть в сеть. Удобно. Как показал недавний инцидент с IOS6, при отсутствии доступа к данной странице – отсутствует доступ к сети.
Интересная заметка с подборкой впечатлений Cisco TAC от поддержки iOS
- Поддержка OKC особо никого не волнует, если вы не используете софт-фоны или у вас устройства на iOS6 (802.11r успешно заменит OKC).
- При отсутствии доступа к Интернет более 20 мин устройство старается переподключиться или найти другую сеть (может, там повезет).
- TAC добавляет еще один мазок к картине со скрытыми SSID – при наличии двух и более SSID, устройство всегда будет подключаться к открытым сетям, даже если намеренно выбрать профиль со скрытым SSID.
- Устройства (особенно iPad) обладают значительной мощностью на передачу, но худшей чувствительностью на прием (сказывается домашняя специфика).
- Возможны разнообразные косяки при отключении скорости 11Mbps (что требует, по-сути, включения поддержки 802.11b). Я не наблюдал таких проблем на своем устройстве с IOS4/5, скорее всего – это пережитки более старых версий. Однако, некоторые партнеры Motorola подтвердили, что сталкивались с такой проблемой у заказчиков.
- Статья датирована Июлем 2012, возможно с выходом iOS6 часть проблем ушла. К сожалению, Applе не очень щедра на подробности.
Протокол Bonjour (анонс сервисов, передача видео AirPlay и т.д.) не маршрутизируется. Т.е. устройства должны быть в одной VLAN (что нормально в домашних условиях). Однако в корпоративной среде шансы подключения проводного AppleTV и беспроводного iPhone в одну VLAN минимальны (если у вас правильный дизайн сети).
- Тем не менее, популярность AppleTV привела к тому, что многие вендоры внедрили т.н. Bonjour Gateway – по сути аналог DHCP Relay, но для Bonjour, и теперь даже меряются его работоспособностью, показывая диаметральнопротивоположные (это две разные ссылки) результаты :). Данная функция поддерживается Cisco, Aruba, Aerohive. Motorola не поддерживает Bonjour Gateway в «чистом» виде – предлагаются другие варианты проброса L2 по L3 – от проприетарного MiNT до L2TPv2/3 и PBR.
- Есть еще мелочи (поддерживается только 1 WEP-ключ и т.д., устройства не подключаются к сетям с отключенной поддержкой WMM), но они на самом деле не должны никого волновать, т.к. не подобные конфигурации не должны использоваться в корпоративных сетях.
Итого.
Считаете ли вы iOS пригодной для корпоративной среды или не считаете — но жить с ней как-то придется. Давайте просуммируем все в виде рекомендаций для поддержки iOS в корпоративной беспроводной сети
В идеале, мы хотим дать людям доступ в Интернет и не более. Если необходима почта и проч – гораздо проще (с точки зрения Wi-Fi) заставить все эти устройства заходить в корпоративную сеть через VPN, чем сеять хаос и разрушение менять что-либо в отлаженной Wi-Fi сети.
- В таком случае достаточно создать гостевую сеть, завести на ней https-хотспот с RADIUS-авторизацией, привязанной к корпоративной базе пользователей (AD или другой). О причинах обязательной аутентификации на хотспотах я уже писал здесь.
- Сеть достаточно развернуть в 2.4GHz в режиме тотального гостевого доступа для всего подряд: поддержка b/g/n-скоростей (конечно-же, по возможности отключите низкие скорости 1,2,5.5Mbps), каналы 20MHz, нескрытые SSID и т.д.
- Обязательным условием включения доступа i-устройству должно быть применение профиля безопасности, который блокирует возможность принятия чужих сертификатов (защита от фишинга и раскрытия корпоративных учетных данных).
Если же планируется поддержка корпоративных приложений в корпоративной сети – следует задуматься
- Передаем ли мы синхронный трафик (голос, видео)? Многие школы в США сейчас используют iPad’ы для передачи учебных видеороликов, например.
- Если нет – следуем рекомендациям прошлого параграфа, но вместо хотспота настраиваем 802.1X, благо, вариантов море. Поскольку среднестатистический юзер пугается слова «RADIUS» — гораздо проще убедить его применить профиль безопасности, отдав его в комплекте с настройсками сети («ткни сюда и все настроится само»).
- Возможно, придется немного поиграться с настойками скоростей в сети (если проводились оптимизации) и включить некоторые рейты.
- Убедитесь, что страница www.apple.com/library/test/success.html доступа из вашей сети, или настройте редирект на свой веб-сервер, который будет убеждать айфоны в том, что все в порядке. 🙂
- Если таки планируется передача голоса и видео – все становится сложнее.
- Традиционно, такие сети строятся в 5GHz, т.к. обеспечить QoS в «загрязненном» 2.4 весьма проблематично. Лучшим выходом будет заявить прямо, что работа потоковых приложений для iPhone4S и ниже не гарантируется и не поддерживается, после чего перевести iPad’ы и другие новые устройства в 5GHz.
- При этом следует учесть широкие каналы, если они используются в 5GHz. Оценить падение производительности, вызванное появлением iPad’ов в такой сети, поможет тестирование.
- Для быстрого роуминга (если он требуется) имеет смысл обновить пользователей до iOS6 (есть подозрение что 802.11k/r – это фишка ОС, а не чипсетов, все же) и настроить их в своей беспроводной инфраструктуре. Иначе – хотя бы включить PMK Caching.
- Если планируется использование Bonjour – анализируем потоки трафика и делаем форвардинг L2 поверх L3 (или включаем и настраиваем Bonjour Gateway). Очень хорошо, если можно делать выборочный форвардинг по ACL, дабы не слать весь трафик, но это зависит от возможностей имеющегося сетевого оборудования.
- Тщательно тестируем поведение устройств разных поколений и разных прошивок на разных скоростях. Обычно в высокопроизводительных WLAN отключают рейты 18Mbps и ниже. В данном случае, придется тестировать, какие скорости можно отключить – а какие оставить. Возможно, вкупе с особыми требованиями по мощности сигнала, это повлечет изменения в радиопланировании, к чему нужно быть готовым.
По безопасности есть замечательный документ NSA. Думаю, им можно верить (если это не намеренная дезинформация вероятного противника).
В заключение, отмечу, что Apple в плане Wi-Fi совершила значительный рывок. Если первые прошивки для iPhone были настолько кривыми, что косили намертво сети Cisco, то сейчас все гораздо лучше. Назвать iOS-устройства «корпоративными» я по-прежнему не могу, но, в целом, поддерживать iOS в корпоративной сети уже можно. Если быть осторожным в своих аппетитах и обещаниях. (Это не касаясь управления парком устройств и BYOD в целом!)
Делитесь мнениями. Особенно интересен опыт людей, поддерживающих 50+ устройств.
Источник
No Wifi Games — Fill 4+
Nguyen Thi Minh Hanh
Designed for iPad
Screenshots
Description
Fill — Draw Line is a puzzle game.
# Let’s sharpen your mind with a draw line puzzle game.
#This is a simple but addictive puzzle game. And it’s complete free to play.
#By playing Fill — Draw Line your brain becomes more active.
#During your freetime,your commute, before you sleep. play this intellectual game to train your brain.
* HOW TO PLAY :
-The rules are so simple. You just need to fill all of the blocks by using only one line.
-Fill — Draw Line does not have penalties or time limits, so you can enjoy it at your own pace.
-You can use hints for puzzles that are too hard to solve.
-Get hints by watching video.
* FEATURES :
-There are more than 1000 stages from easy to difficult. And all of them are unique and full of fun and amazing challenges.
-This game is suitable for all ages.
No Wifi? No problem. You can enjoy Fill-Draw Line anytime, anywhere.
-Soothing sounds ang gorgeous visual effects.
-Design for tablet & smartphone.
What’s New
App Privacy
The developer, Nguyen Thi Minh Hanh , has not provided details about its privacy practices and handling of data to Apple. For more information, see the developer’s privacy policy.
No Details Provided
The developer will be required to provide privacy details when they submit their next app update.
Источник
Wi-Fi_FREE 4+
Управляйте Wi-Fi сетью MT_FREE
Qvant
-
- Производительность: № 32 в этой категории
-
- 1,6 • Оценок: 993
-
- Бесплатно
Снимки экрана
Описание
Единая Wi-Fi cеть MT_FREE – это бесплатный интернет без ограничения трафика в метро Москвы и Петербурга, а также в электричках ЦППК, МЦК и аэроэкспрессах столицы.
Приложение поможет отключить рекламу, перенести услугу «Как дома» и настроить работу в сети так, как удобно именно вам.
Вы сможете:
– получить защищенный* доступ в интернет в метро и другом транспорте;
– отключить рекламу для бесшовной авторизации;
— ускорить прохождение авторизации, воспользовавшись пуш-сообщениями или перейдя по кнопке авторизации;
— быть всегда онлайн: пуш-сообщение приходит в зоне действия сети, а кнопка меняет цвет с серого на красный, после чего вам останется только ее нажать;
– управлять услугами и платежами, например, переносить их на другое устройство;
– управлять автоматическим подключением к Wi-Fi сети на разных видах транспорта;
– задавать вопросы и получать помощь от специалистов службы поддержки;
– получать исчерпывающую информацию о своих платежах за услуги;
– первыми узнавать о новостях и возможностях сети.
Для автоматического подключения к сети в метро и другом транспорте можно приобрести услугу «Как дома», которая позволит мгновенно подключаться к Wi-Fi без необходимости повторной авторизации.
Приложение Wi-Fi_FREE ваш персональный помощник для доступа и управления крупнейшей сетью публичного Wi-Fi в Европе. Ежедневно миллионы пользователей подключаются к нашему бесплатному Wi-Fi и остаются онлайн даже в пути.
* В приложении доступен режим «Безопасная Wi-Fi сеть», который обеспечивает автоматическое защищенное Wi-Fi подключение к SSID MT в метро Москвы. Функционал защищенного доступа в Wi-Fi станет доступным сразу после готовности сети MT_FREE в московском метро.
Источник