設(shè)計和部署無線局域網(wǎng)連接

2019-11-05 02:36:44

字體：大中小

供稿：網(wǎng)友

　　Microsoft WLAN 的歷史
　　移動計算設(shè)備 (如膝上型電腦和個人數(shù)字助理 PDA) 數(shù)量的增長，以及用戶想一直連接到網(wǎng)絡(luò)上而不受“接入?yún)^(qū)域”限制 (因為“接入?yún)^(qū)域”會限制用戶使其不能移動辦公) 的需求都刺激了無線訪問企業(yè)局域網(wǎng) (LAN) 的需求。Microsoft 一直致力于為最終用戶提供一種可隨時隨地使用我們的增強產(chǎn)品的連接，并兌現(xiàn)其為用戶提供一種安全可靠的企業(yè)無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施的承諾。
　　
　　Microsoft 是第一家將無線局域網(wǎng)技術(shù)作為有線連接膝上電腦備選方案的大型企業(yè)。由于 IEEE 802.11 WLAN 標準最近被批準為一種國際標準，因而 Microsoft 欣然將 IEEE 802.1b 擴展標準認可為新發(fā)布的標準 (于 1999 年 9 月 16 日批準)，并于 1999 年 12 月開始在其 Redmond 企業(yè)園區(qū)部署 IEEE 802.11b。自此以后，Microsoft 一直積極投身于改進和引領(lǐng) IEEE 802.11 標準，并致力于增強和提高數(shù)據(jù)加密、身份驗證功能以及網(wǎng)絡(luò)可靠性。
　　
　　在 IEEE 802.11b 批準后不久，IEEE 802.1 MAC Bridging 小組便開始研究從 IEEE 802.1X 擴展到 802.1 橋接標準的工作，主要研究方向是對局域網(wǎng)網(wǎng)絡(luò) (如 IEEE 802.3 (Ethernet)、IEEE 802.5 (令牌網(wǎng))、光線分布式數(shù)據(jù)接口 (FDDI) 和 IEEE 802.11) 驗證端口訪問的支持。
　　
　　開始時，Microsoft 只是將無線連接作為普通有線連接的補充提供。并沒有將它作為最終用戶的主要網(wǎng)絡(luò)連接設(shè)備。但是，由于無線連接的特點可使員工們參與即席討論、進行軟件演示并將工作帶至?xí)觯@些都提高了他們的工作效率，因而 WLAN 很快成為人們理想的連接方式。
　　
　　在 Redmond 園區(qū)的首次演示結(jié)束之后，Microsoft 便擁有了世界上最大的企業(yè) WLAN。幾乎是同時的，Microsoft 開始面對大型 WLAN 的部署、集成以及維護問題。從包含 2,800 個無線訪問點 (AP) 和 19,000 個無線網(wǎng)絡(luò)適配器的首次部署開始，Microsoft 從一開始就要處理網(wǎng)絡(luò)的安全性和伸縮性問題。例如，Microsoft 意識到 MAC 地址過濾和早期的 VPN 解決方案不能作為支持全球 WLAN 的可伸縮最終解決方案。
　　
　　在園區(qū)進行的首次 802.11b 演示中，Microsoft 使用靜態(tài) WEP 128 位加密密鑰用于數(shù)據(jù)加密，并使用 IEEE 802.11 共享密鑰用于身份驗證。對 WEP 和共享密鑰身份驗證所做出的持續(xù)安全性妥協(xié)消息促使 Microsoft 積極面對無線局域網(wǎng)基礎(chǔ)設(shè)施的安全性問題。結(jié)果便產(chǎn)生了當前的 WLAN 部署，即使用 802.1X 基于證書的 EAP-TLS 身份驗證，并對每個會話使用 WEP 密鑰。
　　
　　Microsoft 繼續(xù)在 IEEE 802.11i 安全性任務(wù)小組中進行身份驗證和數(shù)據(jù)加密方面的安全性研究工作。同時，Microsoft 還對其他領(lǐng)域作出了貢獻，滿足了最終用戶對無線網(wǎng)絡(luò)適配器的“全球模式”操作需求，還提供了一種用于連接相關(guān)信息會話的內(nèi)部無線 AP 協(xié)議。
　　
　　在熟悉到無線技術(shù)為其用戶和客戶帶來了方便的同時，Microsoft 還意識到了將無線技術(shù)引入到企業(yè)網(wǎng)絡(luò)所帶來的新威脅。
　　
　　Microsoft WLAN 技術(shù)
　　Microsoft WLAN 利用了以下技術(shù)：
　　
　　 IEEE 802.11b
　　
　　 IEEE 802.1X
　　
　　 EAP-TLS 身份驗證
　　
　　 RADIUS
　　
　　 Active Directory
　　
　　證書
　　
　　IEEE 802.11b
　　IEEE 802.11 是一個共享無線局域網(wǎng) (WLAN) 的行業(yè)標準，它為無線通信定義了物理層和介質(zhì)訪問控制 (MAC) 子層。IEEE 802.11b 是最初 IEEE 802.11 規(guī)范的增強規(guī)范。其主要增強表現(xiàn)在物理層的標準化，可以支持更高的比特率。
　　
　　IEEE 802.11b 支持兩種其他的傳輸速率，5.5 Mbps 和 11 Mbps，使用工業(yè)、科學(xué)及醫(yī)藥設(shè)備 (ISM) 的 2.45 GHz 頻段。“直接序列展頻”(DSSS) 調(diào)制方案可用于提供更高的數(shù)據(jù)傳輸速率。理想狀態(tài)下可以達到 11 Mbps 的比特率。在不太理想的情況下，可使用 5.5 Mbps、2 Mbps 以及 1 Mbps 等較低速率。
　　
　　IEEE 802.1X
　　802.1X 標準定義了基于端口的網(wǎng)絡(luò)訪問控制，用來為以太網(wǎng)提供經(jīng)過驗證的網(wǎng)絡(luò)訪問。這種基于端口的網(wǎng)絡(luò)訪問控制使用可交換 LAN 基礎(chǔ)設(shè)施的物理特性來驗證連接到 LAN 端口的設(shè)備。假如驗證過程失敗，會拒絕對端口的訪問。雖然這個標準最初是為有線以太網(wǎng)設(shè)計的，但它同樣適用于 802.11 無線 LAN。
　　
　　為了給 IEEE 802.1X 提供標準的身份驗證機制，選擇了可擴展身份驗證協(xié)議 (EAP)。EAP 是一種基于點對點協(xié)議 (PPP) 的身份驗證機制，適用于點對點的 LAN 網(wǎng)段。EAP 消息一般作為 PPP 幀的有效負荷發(fā)送。為了使 EAP 消息能通過以太網(wǎng)或無線 LAN 網(wǎng)段傳送，IEEE 802.1X 標準定義了 EAP over LAN (EAPOL) —— 一種封裝 EAP 消息的標準方法。
　　
　　EAP-TLS 身份驗證
　　EAP 傳輸層級安全性 (EAP-TLS) 是 RFC 2716 中描述的一種 EAP 類型，用在基于證書的安全環(huán)境中。假如使用智能卡進行遠程訪問驗證，則必須使用 EAP-TLS 身份驗證方法。EAP-TLS 身份驗證過程交換安裝在訪問客戶端和驗證服務(wù)器的證書，并提供交互式身份驗證、完整性保護密碼組合協(xié)商以及安全的密鑰交換和鑒定。EAP-TLS 提供了一種非常強壯的身份驗證方法。
　　
　　遠程驗證撥號用戶服務(wù) (RADIUS)
　　遠程驗證撥號用戶服務(wù) (RADIUS) 是一種廣泛部署的協(xié)議，實現(xiàn)了集中式的身份驗證、授權(quán)以及網(wǎng)絡(luò)訪問計數(shù)。RADIUS 在 RFC 2865 中被描述為“遠程驗證撥號用戶服務(wù) (RADIUS)”(IETF 草案標準)，在 RFC 2866 中的描述為“RADIUS 計數(shù)”(參考)。
　　
　　最初，RADIUS 是為遠程撥號訪問而開發(fā)的，但是現(xiàn)在 RADIUS 已經(jīng)廣受支持，其中包括無線 AP、以太網(wǎng)驗證交換機、虛擬專用網(wǎng) (VPN) 服務(wù)器、數(shù)字用戶線路 (DSL) 訪問服務(wù)器以及其他網(wǎng)絡(luò)訪問服務(wù)器。
　　
　　windows 2000 Server 和 Windows Server 2003 家族提供的 Internet 身份驗證服務(wù) (IAS) 是 Microsoft 對 RADIUS 服務(wù)器和 RADIUS 代理 (適用于 Windows Server 2003 家族) 的一種實現(xiàn)。IAS 為多種類型的網(wǎng)絡(luò)訪問進行集中的連接身份驗證、授權(quán)和計數(shù)，包括無線、相互身份驗證、撥號和虛擬專用網(wǎng) (VPN) 遠程訪問以及路由器到路由器的連接。IAS 支持 RFC 2865 和 RFC 2866，還支持額外的 RADIUS 擴展 RFC 以及 Internet 草案。IAS 中答應(yīng)使用不同種類的無線、交換、遠程訪問或 VPN 設(shè)備，可以和 Windows 2000 Server 或 Windows Server 2003 路由及遠程訪問服務(wù)一起使用。
　　
　　IAS 服務(wù)器作為基于 Active Directory 的域的成員時，IAS 使用 Active Directory 作為其用戶計數(shù)數(shù)據(jù)庫并將其作為單一登錄解決方案的一部分。網(wǎng)絡(luò)訪問控制 (對網(wǎng)絡(luò)的身份驗證和授權(quán)訪問) 使用同一套證書登錄到基于 Active Directory 的主域訪問資源。
　　
　　Active Directory
　　Active Directory 是為分布式計算環(huán)境設(shè)計的一種目錄服務(wù)。當作為網(wǎng)絡(luò)安全治理中心時，Active Directory 答應(yīng)企業(yè)集中治理以及共享網(wǎng)絡(luò)資源和用戶信息。除了提供 Windows 環(huán)境下的綜合目錄服務(wù)外，Active Directory 還被設(shè)計作為一種合并機制，用于隔離、遷移、集中治理和減少目錄的數(shù)量。
　　
　　為了進行無線訪問，Active Directory 主域包含了要驗證的用戶和計算機的帳戶，以及用于部署計算機證書的“組策略”設(shè)置。
　　
　　證書
　　證書是一種使用公共密鑰加密技術(shù)的數(shù)字簽名聲明，公共密鑰加密技術(shù)綁定了對持有私有密鑰的個人、設(shè)備或服務(wù)進行識別的公共密鑰值。證書由證書頒發(fā)機構(gòu) (CA) 發(fā)布。公共密鑰加密技術(shù)使用“公共密鑰和私有密鑰對”對消息進行加密或數(shù)字簽名。有關(guān)公共密鑰加密技術(shù)以及 Windows 2000 公共密鑰基礎(chǔ)設(shè)施的更多信息，請參見 Windows 2000 安全性服務(wù)網(wǎng)站.
　　
　　設(shè)計和部署注重事項
　　Microsoft 的無線連接部署用于訪問企業(yè)內(nèi)部網(wǎng) (以下均稱為 Corpnet)。一旦進入 Microsoft Corpnet，便不再有限制員工或其他授權(quán)用戶訪問網(wǎng)絡(luò)和公司資源的防火墻。
　　
　　性能
　　因為 WLAN 的設(shè)計初衷只是作為 Microsoft 有線以太網(wǎng) LAN 基礎(chǔ)設(shè)施的補充，并未設(shè)計為其替代產(chǎn)品，因此平均每個無線 AP 上可供 2 至 4 個用戶分享 11 Mbps 的速率。實際的吞吐量在 4 到 6.5 Mbps 之間。這種設(shè)計規(guī)則的結(jié)果是：在一個滿載的 AP (25 個用戶) 上，用戶的體驗和使用家用 DSL 或電纜調(diào)制解調(diào)器連接相類似。
　　
　　為了保證能在集中了大量用戶的高密度區(qū)域 (如會議室和培訓(xùn)教室) 下保持高性能的連接，可以采用其他技術(shù)。通過降低無線 AP 的傳輸功率，從 30 毫瓦 (mW) 降低到 15 或 5 毫瓦 (甚至低于 1 毫瓦)，可以創(chuàng)建較小的覆蓋區(qū)域。這樣就可以在同一區(qū)域內(nèi)放置更多的無線 AP。例如在一個 200 人的房間內(nèi)，原本因為覆蓋區(qū)載重疊而只能放置 3 個無線 AP，而采取這種策略后則可放置多個無線 AP，而且由于每個無線 AP 承載的無線客戶端減少，每個無線客戶端都能獲得更好的平均帶寬。
　　
　　伸縮性：
　　Microsoft WLAN 的設(shè)計基礎(chǔ)是直徑 20 米的覆蓋區(qū)域。這是為了確保可以對單個無線訪問點的潛在失敗進行冗余覆蓋，并提供建筑內(nèi)的無縫漫游。“Microsoft 信息技術(shù)組”(ITG) 負責(zé)檢驗無線 AP 的安裝，以保證其和內(nèi)部開發(fā)的任務(wù)檢查清單保持一致。他們還檢查每個無線 AP 的覆蓋范圍和網(wǎng)絡(luò)連接情況。在工程方面，Microsoft 致力于研究降低覆蓋面積、通過配置通道重疊覆蓋區(qū)域，以及緩和藍牙 (BT) 沖突。
　　
　　漫游和移動性
　　在 Microsoft 的 WLAN 部署中，每個建筑物中所有的無線 AP 都在相同的 ip 子網(wǎng)上。因此，建筑內(nèi)部的無線漫游天衣無縫。當無線客戶端連接到不同的無線 AP 上，DHCP 更新過程只更新現(xiàn)有 TCP/IP 配置的使用期限。建筑內(nèi)部漫游和 DHCP 更新協(xié)議過程更改了 TCP/IP 配置，這可能會導(dǎo)致那些不能正確處理 TCP/IP 配置更改的應(yīng)用程序發(fā)生問題。不論哪種狀況，由于 EAP-

上一篇：無線問答無線局域網(wǎng)用戶實用指南

下一篇：構(gòu)建企業(yè)無線局域網(wǎng)按部就班5步走