VLAN的無線接入

2019-11-05 02:18:29

字體：大中小

來源：轉載

供稿：網友

　　　　隨著越來越多的公司推出其無線網絡，人們最關心的問題恐怕就是如何將無線用戶接入適當的有線VLAN。有線網絡中的VLAN用戶身份通常都是由用戶的物理層二層交換機或三層路由器連接端口來定義的。但在無線網絡中，用戶根本沒有與任何物理端口連接。
　　　　為解決這一問題，人們開始采用先進的無線驗證技術，并利用基于角色的VLAN關聯來進行用戶識別。這種方法可以利用一系列標準的驗證方法，如基于HTTP捕捉端口和802.1x等可選驗證機制來判定出正確的VLAN用戶身份。
　　

　　　　我們可以假設一個情景。一位財務部的無線用戶可能要安全地連接至財務VLAN，使用的是一種安全鏈接加密方法，如Wi-Fi受保護訪問。然而，當該VLAN中的用戶漫游至其他接入點時，他們可能會無法再訪問財務VLAN，因而也就無法獲取需要的網絡資源。假如要對網絡進行重新配置，并使用戶在整個公司里的每個接入點都能訪問VLAN的話，整個重新配置的過程將變得非常繁雜，當然也不可能成為有競爭力的解決方案。
　　　　然而，802.1x基于端口的驗證方法則可以提供一個有效的框架，為以太網和無線網絡上的用戶提供基站訪問授權。802.1x使用可擴展驗證協議（EAP)來中繼局域網基站（請求者）、以太網交換機或無線接入點（驗證者）與RADIUS服務器（驗證服務器）之間的端口訪問請求。
　　　　用于保護Wi-Fi網絡用戶的核心機制是基于數據加密和用戶驗證的方法，而非通常使用的基于角色的驗證方法。基于角色的802.1x VLAN關聯具有很大的吸引力，因為它可以提供合理的工作組流量分割，并且更輕易與有線網絡上配置的安全和流量工程策略集成在一起。
　　　　網絡治理員通常都希望為所有用戶保留原有的擴展服務集ID（ESSID）和加密檔案。這樣，當用戶進入無線局域網時，系統可根據驗證服務器上已經配置好的屬性，將用戶分配至不同VLAN內的不同工作組中。假如不使用基于角色的VLAN，這種方法基本上是不可能實現的，除非對無線局域網的許許多多配置逐個調整，為每個用戶組引入新的ESSID。這種做法無疑需要巨大的資金投入和高昂的運營費用。
　　　　無線局域網交換機可以支持各種類型的用戶角色，以及不同的訪問權限和VLAN關聯。它還可以支持多種類型的服務器規則，并從中引申出用戶角色，如RADIUS服務器發出的訪問接受信息中的RADIUS屬性。例如，某一條服務器規則用于提取某個特定RADIUS屬性中的數值，并使用該數值作為角色。在802.1x驗證中，客戶機通過一個無線局域網交換機驗證至RADIUS服務器。然后，無線局域網根據執行服務器規則后產生的角色，在VLAN與客戶機之間建立關聯。
　　　　一旦與接入點之間的關聯建立完成，無線局域網交換機將客戶機置于未授權狀態下。在這種狀態下，只有客戶機生成的802.1x EAP包才能通過無線局域網轉發。無線局域網交換機發送一條EAP Request-ID，即用戶身份請求信息給客戶機。客戶機則回應一條EAP Response-ID信息。此后，無線局域網交換機將EAP Response-ID封包為一條RADIUS訪問請求信息，并將其轉發給RADIUS服務器。
　　　　假如驗證成功，RADIUS服務器將訪問接受信息發送給無線局域網交換機。這條信息可以識別不同的用戶屬性，如角色和訪問權限。然后，無線局域網交換機會對這條回應信息進行解析，并確定客戶機應當被分配至哪一個VLAN。
　　　　使用該信息，無線局域網交換機便將客戶機分置于授權狀態下，并發送一條EAP SUCcess信息。此后，交換機才將來自客戶機的所有數據流量轉發給合適的VLAN。在收到EAP Success信息后，客戶機將啟動動態主機配置協議，并從基于角色的VLAN上獲得一個ip地址

上一篇：新的無線安全標準年底問世 WLAN前景廣闊

下一篇：廣域網無線寬帶連接挑戰Wi-Fi技術