【文章內(nèi)容簡介】 份驗證比較適合有眾多用戶的電信運營WLAN網(wǎng)絡(luò)。l 共享密鑰式認證必需使用加密方式，要求每個WLAN終端都配置和AP完全一致的密鑰（key）。由于配置工作量較大，一般適用于企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等。二者對比如下：表32 WLAN終端認證方式對比認證方式優(yōu)點缺點適用場景開放式系統(tǒng)認證部署簡單，終端接入速度快，有效帶寬高。安全性差，無法檢驗客戶端是否合法，任何知道無線局域網(wǎng)SSID的用戶都可以訪問網(wǎng)絡(luò)。電信運營網(wǎng)絡(luò)共享密鑰式認證安全性較高，采用加密方式對密鑰進行保護，空口密鑰數(shù)據(jù)不再明文傳輸。配置復雜，可擴展性不佳；每臺終端和AP上都需要靜態(tài)配置一個很長的密鑰字符串。有效帶寬較低，加密降低了傳輸效率。企業(yè)網(wǎng)、校園網(wǎng)及家庭網(wǎng)絡(luò)等。 無線用戶身份認證技術(shù)相對于簡單的STA身份驗證過濾機制，鏈路層用戶身份驗證的安全性大大提高。通過提供有限的訪問權(quán)限來驗證用戶身份，只有確定用戶身份后才給予完整的網(wǎng)絡(luò)訪問權(quán)限，可有效判別用戶的合法性。鏈路層身份驗證是透明的，能配合任何網(wǎng)絡(luò)層協(xié)議使用。常用的WLAN的鏈路層身份驗證主要有MAC認證、Portal（DHCP+Web）、PPPoE等幾種認證方式。對于企業(yè)園區(qū)，無線啞終端一般通過MAC認證接入，訪客區(qū)域一般通過Portal認證接入。多種認證技術(shù)保證WiFi終端安全接入，合法用戶訪問合規(guī)資源，從源頭上消除安全威脅。MAC認證MAC認證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的認證方法，它不需要用戶安裝任何的客戶端。由于無線終端的網(wǎng)卡都具備唯一的MAC地址，因此可以通過檢查無線終端數(shù)據(jù)包的源MAC地址來識別無線終端的合法性。地址過濾控制方式要求預先在AP服務器中寫入合法的MAC地址列表，只有當客戶機的MAC地址和合法MAC地址表中的地址匹配，AP才允許客戶機與之通信。在企業(yè)園區(qū)中MAC認證主要用于IP電話、打印機等啞終端設(shè)備的接入?；诙丝诘木W(wǎng)絡(luò)訪問控制利用物理層特性對連接到LAN端口的設(shè)備進行身份認證。如果認證失敗，則禁止該設(shè)備訪問LAN資源。，且被視為是WLAN的一種增強性網(wǎng)絡(luò)安全解決方案。：l 請求方（Supplicant）：提出認證申請的用戶接入設(shè)備，在無線網(wǎng)絡(luò)中，通常指待接入網(wǎng)絡(luò)的無線客戶機STA。l 認證方（Authenticator）：允許客戶機進行網(wǎng)絡(luò)訪問的實體，在無線網(wǎng)絡(luò)中，通常指訪問接入點AP或控制器AC設(shè)備。l 認證服務器（Authentication Sever）：為認證方提供認證服務的實體。認證服務器對請求方進行驗證，然后告知認證方該請求者是否為授權(quán)用戶。認證服務器可以是某個單獨的服務器實體，也可以不是，后一種情況通常是將認證功能集成在認證方Authenticator中。，無線設(shè)備AP/，同時它還作為Radius認證服務器的客戶端，負責用戶與Radius服務器之間認證信息的轉(zhuǎn)發(fā)。，而是一個通用架構(gòu)。用來傳輸實際的認證協(xié)議。（Extensible Authentication Protocol）認證協(xié)議，目前有超過20種不同的EAP協(xié)議。：l EAPMD5l EAPTLS(Transport Layer Security)l EAPTTLS(Tunneled Transport Layer Security)l EAPPEAP(Protected EAP)l EAPLEAP(Lightweight EAP)l EAPSIMPPPoE認證PPPoE是PPP協(xié)議應用到以太網(wǎng)進行的再一次封裝，進行廣播鏈路上點對點通訊的協(xié)商，包括服務器的發(fā)現(xiàn)和會話標識Session ID的確認。主要包括三個部分：l 用戶和接入設(shè)備在LCP階段協(xié)商鏈路層參數(shù)。l 將用戶名和密碼發(fā)送給接入設(shè)備進行CHAP/PAP認證，接入設(shè)備可以進行本地認證，也可以將用戶名和密碼發(fā)送給AAA服務器進行認證。l 根據(jù)認證結(jié)果，是否進入到NCP（IPCP）協(xié)商階段，接入設(shè)備給用戶計算機分配網(wǎng)絡(luò)層參數(shù)（例如IP地址等）。PPP的三個協(xié)商階段通過后，用戶就可以發(fā)送和接收數(shù)據(jù)報文。PPPoE也是一種認證模式，PPPoE在WLAN使用時，和WLAN本身采用的認證加密沒有關(guān)系。即不管采用WEP、WPA或者WAPI，都可以選擇PPPoE作為用戶業(yè)務的認證協(xié)議。Portal認證Portal認證也稱Web認證或DHCP+Web認證?？蛻舳耸褂脴藴蔠eb瀏覽器（例如IE），填入用戶名、密碼信息，頁面提交后，由Web服務器和設(shè)備配合完成用戶的認證。接入設(shè)備將來自客戶的HTTP請求重定向到Portal服務器，在Portal頁面上輸入用戶名、密碼進行認證。用戶在Web認證之前，必須先通過DHCP、靜態(tài)配置等獲得IP地址。用戶如果被配置成強制Web認證，則用戶只需要輸入自己喜歡的網(wǎng)頁即可，系統(tǒng)自動下載認證網(wǎng)頁。主要認證過程為：1. 動態(tài)用戶通過DHCP協(xié)議獲取地址；2. 用戶訪問Web認證服務器的認證頁面，并在其中輸入用戶名、密碼，Web認證服務器將用戶的信息通過內(nèi)部協(xié)議，通知接入設(shè)備；3. 接入服務器到相應的AAA服務器對該用戶進行認證，將認證結(jié)果通知Web認證服務器；4. Web認證服務器通過HTTP頁面將認證結(jié)果通知用戶，如果認證成功用戶即可正常訪問網(wǎng)絡(luò)資源。Portal認證通常需要多個服務器支持，DHCP服務器、AAA服務器等。無線接入認證和安全協(xié)議對應關(guān)系表33 無線接入認證和安全協(xié)議對應關(guān)系表認證方法安全協(xié)議安全性封裝開銷地址分配客戶端軟件應用場景MAC認證Open System低小認證后分配不需要PDA、IP電話等啞終端設(shè)備接入。WEP/WPA/WPA2+PSK低小認證后分配不需要場景同上，需要維護PSK密碼。Portal認證Open System中小認證前分配不需要中小型園區(qū)網(wǎng)絡(luò)。WEP/WPA/WPA2+PSK中小認證前分配不需要場景同上，需要維護PSK密碼。WEP/WPA/WPA2高小認證后分配需要大中型園區(qū)網(wǎng)絡(luò)。PPPoE認證Open System低大認證后分配需要運營商市場WEP/WPA/WPA2+PSK低大認證后分配需要場景同上，需要維護PSK密碼。當前WAPI在企業(yè)網(wǎng)和運營商中應用很少，一般作為準入門檻測試，園區(qū)網(wǎng)中，從安全性和易部署性等多方面考慮，＋WPA2的機制。無線用戶AC集中認證方案無線用戶在AC上集中認證，可以保證無線用戶集中管理，授權(quán)通過AC控制隧道下發(fā)到AP設(shè)備，精細化控制用戶訪問權(quán)限，并在用戶漫游、安全控制等方面由AC做到靈活控制。無線用戶集中認證，需要保證相關(guān)認證協(xié)議能夠上送AC處理。集中轉(zhuǎn)發(fā)場景下，EAP、Portal報文作為數(shù)據(jù)報文通過CAPWAP數(shù)據(jù)隧道上送AC；在本地轉(zhuǎn)發(fā)場景下，可通過配置讓EAP、Portal報文進入CAPWAP控制隧道，從而上送到AC設(shè)備完成認證過程。圖34 無線用戶AC集中認證示意圖AC集中認證組網(wǎng)如圖31所示，認證方式包括MAC、Portal、PPPoE等方式。園區(qū)網(wǎng)中，從安全性、易部署等角度考慮，+WPA2接入認證。 認證、安全、計費功能與部署由于無線網(wǎng)絡(luò)安全威脅日益嚴重，因此對于企業(yè)園區(qū)的無線接入用戶存在認證、授權(quán)、安全檢查等需求；對于某些行業(yè)，例如校園網(wǎng)、廣電網(wǎng)、酒店等行業(yè)，除了認證授權(quán)以外還要求實現(xiàn)計費功能。圖35 用戶認證、安全、計費集成方案組網(wǎng)圖如上圖所示，無線用戶在AC集中認證和授權(quán)，實現(xiàn)準入控制。園區(qū)出口部署計費服務器，實現(xiàn)園區(qū)出口流量統(tǒng)一計費。無線數(shù)據(jù)轉(zhuǎn)發(fā)模型采用本地轉(zhuǎn)發(fā)，數(shù)據(jù)流量不經(jīng)過AC，提升網(wǎng)絡(luò)性能。采用此方式，實現(xiàn)無線園區(qū)用戶集中認證，數(shù)據(jù)流量本地轉(zhuǎn)發(fā)，安全管理和網(wǎng)絡(luò)性能做到完美結(jié)合；并且實現(xiàn)各功能組件按需選擇，提供認證、認證＋安全、認證＋計費、認證＋安全＋計費等多套方案。 認證、安全、計費系統(tǒng)功能組件認證、安全、計費集成方案主要由服務器、客戶端、計費網(wǎng)關(guān)三部分組成，其中服務器系統(tǒng)可分為認證、安全、計費、Portal等四個組件，各組件功能如下表：表34 認證、安全、計費系統(tǒng)各組件功能序號組件名稱功能描述備注1用戶認證組件支持MAC、Portal、PPPoE等接入認證和相關(guān)統(tǒng)計報表。必選2安全管理組件通過和客戶端聯(lián)動，支持終端補丁、防病毒等安全檢查和修復功能?？蛇x3用戶計費組件支持基于時間和流量的計費，包括包月、包年、包半年、包學期、動態(tài)包天、動態(tài)包月、動態(tài)包年、包時長、包流量等主流計費方式。可選4Portal組件彈出用戶定制的認證頁面，提供方便的用戶自助服務平臺，實現(xiàn)用戶Portal接入認證。可選5客戶端軟件通過和服務器聯(lián)動，完成接入認證、安全檢查、用戶計費等功能。可選6計費網(wǎng)關(guān)部署在園區(qū)網(wǎng)出口，實現(xiàn)出外網(wǎng)報文計費功能，包括基于時間和基于流量計費兩種方式?？蛇x表中，除了用戶認證是必選組件外，其他組件可基于現(xiàn)網(wǎng)需求選擇。例如，如果用戶部署認證＋安全方案，并采用Portal認證，則可選取5組件。不同廠商對于功能組件的劃分存在差異，另外用戶需求也具有多樣性，不能簡單的和報價組件進行對應。 認證、安全、計費集成方案集成方案之一：認證方案認證方案適合中、小型企業(yè)用戶，需要控制用戶接入園區(qū)網(wǎng)絡(luò)，同時由于企業(yè)員工較少，沒有終端健康檢查等安全需求。圖37 認證方案組網(wǎng)圖如上圖，本方案以Portal認證為例，服務器組件采用XXTSM系統(tǒng)，認證服務器和Portal服務器可部署在同一臺服務器上。功能實現(xiàn)流程：1. 無線用戶通過Web頁面認證，認證報文到AC后，通過Portal協(xié)議向Portal服務器發(fā)起認證。2. Portal服務器把用戶信息回傳給AC設(shè)備。3. AC設(shè)備和認證服務器通過Radius協(xié)議完成用戶準入認證。集成方案之二：認證＋安全方案認證+安全部署方案適合政府、企業(yè)等對于安全要求較高的行業(yè)客戶。通過準入控制＋安全檢查，提升內(nèi)網(wǎng)安全。并且服務器組件支持定制化選擇，若用戶只作準入認證，則可不選擇安全組件。圖38 認證＋安全方案組網(wǎng)圖如上圖，認證組件、安全組件、客戶端為必選組件。其中服務器組件采用XXTSM系統(tǒng)，認證服務器和安全服務器之間為內(nèi)部通道，一般部署在同一臺服務器上。功能實現(xiàn)流程：1. 無線用戶認證報文到AC后，通過Radius協(xié)議（Portal認證先到Portal服務器交互）到認證服務器完成認證過程。 2. 安全服務器和客戶端配合，完成終端病毒庫、補丁等健康檢查功能，并可和軟件服務器聯(lián)動，進行終端修復操作。集成方案之三：認證＋安全＋AD認證＋安全＋AD方案適合已經(jīng)使用LDAP服務器管理用戶，同時對于內(nèi)網(wǎng)安全要求較高的企業(yè)。通過部署準入控制＋安全檢查，提升內(nèi)網(wǎng)安全；并和現(xiàn)有AD對接，保護用戶投資。圖39 認證＋安全+AD方案組網(wǎng)圖如上圖，要實現(xiàn)認證+安全+AD功能，認證組件、安全組件、客戶端為必選組件；服務器組件采用XXTSM系統(tǒng)，認證服務器和安全服務器之間為內(nèi)部通道，一般部署在同一臺服務器上；LDAP服務器為微軟AD域服務器。功能實現(xiàn)流程：1. 無線用戶認證報文到AC后，通過Radius協(xié)議向認證服務器發(fā)起準入認證。2. 認證服務器和AD服務器通過LDAP協(xié)議獲取用戶信息，完成認證過程。3. 安全服務器和客戶端配合，完成終端病毒庫、補丁等健康檢查，并可和軟件服務器聯(lián)動，進行終端修復操作。集成方案之四：認證＋計費認證＋計費適合教育、酒店等有計費要求的行業(yè)網(wǎng)，同時對于內(nèi)網(wǎng)安全要求一般的客戶。通過準入準出一次認證，提升用戶體驗。并且計費網(wǎng)關(guān)可按需選擇，節(jié)省用戶投資。圖310 認證＋計費方案組網(wǎng)圖如上圖，要實現(xiàn)認證+計費功能，認證組件、計費組件、Portal組件、客戶端、計費網(wǎng)關(guān)為必選組件。其中服務器組件采用合作方產(chǎn)品；認證服務器和計費服務器之間為內(nèi)部通道，一般部署在同一臺服務器上；計費網(wǎng)關(guān)一般選擇合作方產(chǎn)品，大型行業(yè)網(wǎng)可使用ME60設(shè)備。功能實現(xiàn)流程：1. 無線用戶認證報文到AC后，通過Radius協(xié)議到認證服務器完成內(nèi)網(wǎng)準入認證。2. 認證服務器通過Radius協(xié)議，主動通知計費網(wǎng)關(guān)進行準出認證，打開外網(wǎng)權(quán)限。3. 用戶訪問外網(wǎng)，則計費網(wǎng)關(guān)開始計費，并向計費服務器通告計費信息。集成方案之五：認證＋安全＋計費認證＋安全＋計費部署方案適合有計費要求并且客戶對于內(nèi)網(wǎng)安全也有較高要求的行業(yè)，例如教育、能源等行業(yè)網(wǎng)。通過準入準出一次認證，提升用戶體驗；用戶數(shù)據(jù)集中管理，方便系統(tǒng)維護。圖311 認證＋安全+計費方案組網(wǎng)圖如上圖，要實現(xiàn)認證+安全+計費功能，認證組件、安全組件、計費組件、Portal組件、客戶端、計費網(wǎng)關(guān)均為必選組件。服務器組件主要采用XXTSM系統(tǒng)，計費服務器和計費網(wǎng)關(guān)采用第三方產(chǎn)品，大型園區(qū)可使用ME60。功能實現(xiàn)流程：1. 無線用戶認證報文到AC后，通過Radius協(xié)議到認證服務器完成內(nèi)網(wǎng)準入認證。2. 認證服務器的Portal組件主動向計費網(wǎng)關(guān)發(fā)起Portal認證，完成外網(wǎng)準出認證。3. 計費網(wǎng)關(guān)繼而通過Radius協(xié)議向計費服務器請求用戶信息。4. 計費服務器作為Radius Proxy，從認證服務器獲取用戶信息，完成準出認證，同時同步用戶信息到本地。5. 用戶訪問外網(wǎng)，則計費網(wǎng)關(guān)開始計費，并向計費服務器通告計費信息。集成方案小結(jié)綜上所述，WLAN認證、授權(quán)、計費功能可以根據(jù)企業(yè)園區(qū)實際需求有選擇性部署。按照常用使用場景可分為認證、認證＋安全、認證＋安全+AD、認證＋計費、認證＋安全+計費這五種方案。部署方案以及相應場景如下表：表35 功能組件