【導(dǎo)讀】溫州永強機場新航站樓。無線網(wǎng)絡(luò)規(guī)劃與建設(shè)方案。浙江貝爾技術(shù)有限公司。浙江貝爾技術(shù)有限公司杭州市西湖區(qū)西斗門路6號1/38

　　

【正文】 設(shè)置到DMZ 上的同一個 VLAN則需在現(xiàn)有的局域網(wǎng)做很多改動。且未來如要增加多一些 AP 接入點的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動。 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實現(xiàn)無線接入安全保護的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計來做內(nèi)部的安全保護，而是用來確保外來數(shù)據(jù)進入 園區(qū) 業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會設(shè)置在 園區(qū) 因特網(wǎng)的連接口。從因特網(wǎng)進入 園區(qū) 內(nèi)網(wǎng)和 內(nèi)部的無線接入的最大區(qū)別 在于后者是可對用戶做認證，但前者是不可能實現(xiàn)。由于不能確認用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在 園區(qū) 內(nèi)部署會對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實現(xiàn)。要做到實施和維護簡單方便，亦可根據(jù)用戶身份來制定安全訪問策略， ARUBA 的無線解決方案就可以徹底解決這些問題。 檢測無線入侵和非法攔截和定位 通過 ARUBA 交換機的 WEB 界面或中心化網(wǎng)管界面，學(xué)校網(wǎng)管中心便可查看到是否有非法 AP在傳輸網(wǎng) 內(nèi)。網(wǎng)管人員亦可開啟自動保護機制，阻止無線終端通過非法 AP 連接到傳輸網(wǎng)內(nèi)。這些非法的無線連接會被周邊最接近的 ARUBA AP透過所發(fā)出的 DeAuth包所切斷。 DeAuth包會不停地發(fā)出直到在線的無線終端的無線連接被打斷為止。若要尋查非法 AP 的位置所在，只需在WEB 界面按 ―定位 ‖這按鈕，非法 AP 的位置就會顯示在校園辦公室的圖紙上（用戶必須預(yù)先把無線網(wǎng)絡(luò)的結(jié)構(gòu)圖輸入 ARUBA 交換機內(nèi)的 RF Planning 系統(tǒng)），網(wǎng)絡(luò)管理人員就可根據(jù)圖表顯示的位置找到這 AP。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 22 / 38 ARUBA 的自動 保護系統(tǒng)是市場上最卓越和最全面的無線網(wǎng)絡(luò)安全保護工具。要做到一個真正自動的保護機制就必須能正確識別所有在企業(yè)范圍內(nèi)檢測出來的 AP 身份。如果把隔壁公司所安裝和使用的 AP 視為非法 AP 的話，很容易就會把它們正常的無線連接打斷，間接變成 DOS攻擊其它企業(yè)的網(wǎng)絡(luò)。 ARUBA 還有一個獨特的無線射頻特性是可跟蹤在無線網(wǎng)絡(luò)內(nèi)所有 WiFi終端的位置，如 PDA, WiFi手機，和筆記本等。當安裝 ARUBA 無線系統(tǒng)的時候，網(wǎng)管人員可把部署的圖紙輸入到 ARUBA無線交換機內(nèi)的 RF Planning 系統(tǒng)，然后把 AP 安裝的物 理位置輸入到圖紙上的座標或具體的位置上。當在這個系統(tǒng)環(huán)境中尋找?guī)в袩o線終端的 機場工作人員 、 旅客 等的所在位置時，例如非法 AP 或 WiFi 手機，在交換機內(nèi)無線終端的記錄表內(nèi)找到了終端的網(wǎng)絡(luò)地址后，可按 ―定位 ‖這按鈕，則網(wǎng)管界面會彈出在 RF Planning 上終端在圖紙中的物理位置。 圖 1 Aruba 的無線定位模式 這種無線定位模式稱為三角定位，它的準確性可達到 米以內(nèi)，先決條件是所尋找的無線終端附近須有最小三個 ARUBA 的 AP 在范圍內(nèi)。這是傳統(tǒng)無線網(wǎng)絡(luò)所不能做的。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 23 / 38 圖 1非法用戶檢測與定位示 意 在 ARUBA 無線系統(tǒng)中，可以在多個層面對系統(tǒng)構(gòu)筑安全防護，其安全性設(shè)計如下： ? 多 SSID：可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在 ARUBA 無線系統(tǒng)中設(shè)置多個 SSID，不同的 SSID 采用不同的安全策略，這樣可以對不同的用戶及應(yīng)用進行區(qū)分服務(wù)。另外 SSID還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止非法用戶的連接企圖。 SSID還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。 ? 加密： ARUBA 無線系統(tǒng)支持多種加密 的方式，二層的加密支持靜態(tài) WEP、動態(tài) WEP、 TKIP、WPA、 多種加密方式，三層的加密支持 IPSec VPN加密，這樣使得加密的方式更加的靈活，可以根據(jù)實際需求進行選擇。 ? 用戶認證提供二種方式： WPAPSK＋ captive portal ? 加密方式采用 WPAPSK，不建議采用靜態(tài) WEP，因為有安全隱患。采用 captive portal 的認證方式，認證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 ARUBA 交換機內(nèi)置的帳戶數(shù)據(jù)庫。 ? WPA+ 加密方式盡量采用 WPA，如果客戶端不支持也可采用動態(tài) WEP，認證方式采用 ，認證服務(wù)器選擇 RADIUS。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 24 / 38 ? 用戶的 Role（角色）：每一類用戶可以建立一個相關(guān)的 Role，每個 Role有一個用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個用戶身上。 ? 用戶狀態(tài)防火墻：用戶通過認證以后，會有一個基于這個用戶的狀態(tài)防火墻，可以根據(jù)每個用戶設(shè)置他的訪問控制策略，比如可以訪問 Inter,不能訪問圖書館的服務(wù)器，只能訪問 WEB 網(wǎng)頁和收發(fā)郵件，不能運行 P2P 的軟件等。 ? 帶寬控制：可以對每個用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占有，另一方面，當該客戶端中了病毒以后，其病毒發(fā)作時不會占用網(wǎng)絡(luò)全部的帶寬。 ? 認證系統(tǒng)支持： ARUBA 無線系統(tǒng)支持多種認證系統(tǒng)，諸如 Radius、 LDAP、微軟的 AD（活動目錄）和在 ARUBA 無線交換機內(nèi)部的 Internal DB 等等。 ? 網(wǎng)絡(luò)病毒的防護：無線終端病毒防護的可以從無線終端的準入檢查以及對無線終端發(fā)出數(shù)據(jù)進行有效的檢測兩個層面來進行的。準入檢查可以檢查終端操作系統(tǒng)的安全狀態(tài) ，諸如系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，并設(shè)置安全策略是否準予進入網(wǎng)絡(luò)。在數(shù)據(jù)的檢測上， ARUBA 無線交換機上可以設(shè)定策略，對于某些無線用戶沾染病毒的終端， ARUBA 無線系統(tǒng)將其導(dǎo)向到第三方防病毒系統(tǒng)進行防病毒的檢查，檢查完成后，才允許接入。 無線用戶移動漫游，涉及到多個層次的漫游，最為簡單的是二層漫游，其他廠家產(chǎn)品都表現(xiàn)不錯，三層漫游就困難多了，還有當用戶跨越多個域時怎樣無縫漫游， ARUBA 無線局域網(wǎng)可以實現(xiàn)快速無縫漫游功能。 L2/L3層 漫游 在傳統(tǒng)的無線局域網(wǎng)內(nèi)，無線終端要跨越不同 AP 之間漫游是有一定的困難，因為不同 AP 之間，它的無線用戶 IP 子網(wǎng)可能都不是在同一個 VLAN內(nèi)。所以當無線終端從一個 AP 漫游到另一 AP 時，由于它們之間的缺省 IP 子網(wǎng)不同，無線終端會重新發(fā)出 DHCP 請求，這樣的話終端的 IP 地址就會更新，所有在原先 AP 建立的連接都會被切斷。過去為了解決跨越三層的漫游，有些用戶采用了 Mobile IP 的技術(shù)，但 Mobile IP 的缺點是它必須在無線終端安裝軟件。這是一般網(wǎng)絡(luò)管理人員不愿意做的事情，因為它們就必須支持和維護用戶的無線接入 端。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 25 / 38 通過 ARUBA 無線系統(tǒng)的代理 DHCP 功能，就可解決了跨越不同三層 IP 子網(wǎng)的無線漫游問題。 當無線終端從一個 AP 的 IP 子網(wǎng)漫游到另一個 AP的 IP子網(wǎng)時，它重新發(fā)出的 DHCP請求，會從 AP端的 ARUBA 無線交換機轉(zhuǎn)發(fā)到原有子網(wǎng)的無線交換機 (用戶從那一個 AP 獲取它的 IP 地址 )。用戶的原交換機會告知用戶漫游到的 ARUBA 交換機繼續(xù)保持用戶的原有的 IP 地址。無線用戶已漫游到另一個 IP 子網(wǎng)，但它仍可以原有的 IP 地址繼續(xù)在新的 AP上入網(wǎng)。代理 DHCP 的優(yōu)點是無要在用戶終端安裝任何軟件就可讓終端無縫的在不 同 IP 子網(wǎng)之間漫游。 圖 1 L2/L3 層漫游 在不同域之間的用戶認證和漫游 如果 溫州永強機場 網(wǎng)絡(luò)內(nèi)，在各個分 區(qū)之間，建立不同的用戶數(shù)據(jù)庫，即所謂的 機場 本地認證服務(wù)器。在使用 ARUBA 的解決方案，也可以使無線用戶在不同的 區(qū)域 進行無縫漫游。 當用戶不是在本地入網(wǎng)或是從一個地點的接入點漫游到另一地點的接入點需要重新認證時，如果用戶名和密碼在當?shù)氐臄?shù)據(jù)庫是不存在的話，則用戶會被斷線。要做到真正的無縫漫游，則需要有支持 Radius 代理這樣的功能。但由于不是所有的認證服務(wù)器都支持這種功能所以在具 體實施時也有一定的困難。 ARUBA 本身就可提供不同域之間的認證功能，域名可以與 SSID 綁定，亦可以讓用戶在登陸網(wǎng)頁時輸入或選擇域名。 ARUBA 會把在不同域之間的認證請求轉(zhuǎn)發(fā)到對應(yīng)這域的 radius 服務(wù)器處理。 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 26 / 38 無線交換機的配置實施建議 一般廠家的無線網(wǎng)絡(luò)產(chǎn)品在園區(qū)網(wǎng)規(guī)劃時都需要二層交換機連接或者劃分 VLAN，否則只能將認證點下放到 AP 上，導(dǎo)致整體性能的降低和漫游特性的缺失。 由于 ARUBA 的 AP 是通過 GRE 的隧道連接到 ARUBA 交換機上，所以 ARUBA 產(chǎn)品在規(guī)劃上可以完全不改變園區(qū)網(wǎng)原有的網(wǎng)絡(luò)結(jié)構(gòu) ，同時實現(xiàn)無縫的二三層漫游。并且所有的 AP 都統(tǒng)一規(guī)劃統(tǒng)一集中管理。 下面詳細敘述一下無線交換機在規(guī)劃配置實施時需要考慮的問題： AP 的 VLAN 和無線用戶的 VLAN 第一代的無線局域網(wǎng)對 AP 所在的 VLAN（ AP 為網(wǎng)絡(luò)設(shè)備 ） 和無線用戶所在的 VLAN是沒有明確的區(qū)分。第一代無線組網(wǎng)無論對無線用戶、 AP 和網(wǎng)絡(luò)的管理都有一定困難，而且很容易造成混亂。對網(wǎng)絡(luò)管理而然，網(wǎng)絡(luò)設(shè)備的 VLAN/IP 子網(wǎng)應(yīng)當和用戶是分開，這樣才可確保正常網(wǎng)絡(luò)運行和維護。但在具體實施時，很多為了方便都會把 AP 和無線用戶設(shè)置在同一個 VLAN內(nèi)。這種組網(wǎng)方式在現(xiàn)今的非常普遍，所以一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN。 VLAN 和無線 SSID的關(guān)系 一般用戶都誤解無線局域網(wǎng)的 SSID 為局域網(wǎng)的 VLAN，這可能是由于第一代的無線局域網(wǎng)都是通過 ―FAT AP‖組網(wǎng)的原因。其實二者之間的關(guān)系并非是一對一，即一個 SSID 必須對應(yīng)有一個 VLAN。當然把一 SSID 設(shè)定在一個 VLAN內(nèi)對傳統(tǒng)的無線局域網(wǎng)只能夠支持第二層的無線用戶漫游是唯一可實現(xiàn)的方式。但這樣的組網(wǎng)必須在現(xiàn)有的網(wǎng)絡(luò)上做出很多改動， AP 數(shù)量多時，無線用戶 VLAN/IP 子網(wǎng)也增多，無線用戶 IP 子網(wǎng)在局域網(wǎng)內(nèi)必須全打通， (即匯聚層和骨干層的路由開通 ) 否則無線用戶就不能訪問局域網(wǎng)上其它網(wǎng)點，包括在不同接入層的無線用戶。 ARUBA 交換機組網(wǎng)，當無線用戶加入到無線網(wǎng)上的一個 SSID 時，很容易與 VLAN綁定，無線用戶漫游到不同 AP 上，因 SSID 的缺省 VLAN實際上是穿越接入層到 ARUBA 交換機上，用戶的 VLAN是無需在每個接入層上開通。 但亦有可能 SSID 在不同的 AP 接入點時，它設(shè)置的缺省 VLAN是不一樣的。當有這樣的情況出現(xiàn)時，無線用戶從一個 AP 接入點漫游到另一個 AP 接 入點時， DHCP 協(xié)議應(yīng)會重分發(fā)給無線終端新 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 27 / 38 的 IP 地址，但如果無線終端的 IP 地址更新的話，它先前建立的所有應(yīng)用連接就會被切斷。這樣的無線局域網(wǎng)實際上就不能支持跨三層無線漫游。 無線局域網(wǎng) – 不需更改局域網(wǎng)路由 大規(guī)模在園 區(qū) 內(nèi)實現(xiàn)無線局域網(wǎng)接入，不需要在現(xiàn)有的局域網(wǎng)上做很多路由的修改， ARUBA AP所在的 VLAN和無線用戶的 VLAN是獨立分開的，用戶只須在 ARUBA AP 的接入點分配給它 IP 地址即可，這個 IP 地址可以是通過 DHCP 服務(wù)器來分發(fā)，可以是以靜態(tài) IP 地址方式配置在 ARUBA AP上。 由于無線用戶的傳輸是通過 ARUBA AP 內(nèi)已建立的 GRE 隧道和 ARUBA 交換機互連的，所以實際上無線用戶的 VLAN是無須在接入層和匯聚層存在。當大規(guī)模開展無線局域網(wǎng)時，就無須把在不同接入層上新增的無線終端 VLAN/IP 子網(wǎng)逐一在局域網(wǎng)上打通。無線用戶的 VLAN是可透過 ARUBA 交換機和骨干交換機互連互通。 網(wǎng)絡(luò)與用戶管理 ARUBA 無線系統(tǒng)中可以設(shè)定用戶的角色（ role），每個 role可以基于用戶狀態(tài)防火墻和代理限制的設(shè)定等規(guī)則。用戶狀態(tài)訪防火墻是 ARUBA 無線交換機的獨特功能，它本 身就是針對無線接入的特性而設(shè)計。