VLAN的無線接入

　　隨著越來越多的公司推出其無線網(wǎng)絡，人們最關心的問題恐怕就是如何將無線用戶接入適當?shù)挠芯�VLAN。有線網(wǎng)絡中的VLAN用戶身份通常都是由用戶的物理層二層交換機或三層路由器連接端口來定義的。但在無線網(wǎng)絡中，用戶根本沒有與任何物理端口連接。



　　為解決這一問題，人們開始采用先進的無線驗證技術，并利用基于角色的VLAN關聯(lián)來進行用戶識別。這種方法可以利用一系列標準的驗證方法，如基于HTTP捕獲端口和802.1x等可選驗證機制來判斷出正確的VLAN用戶身份。



　　我們可以假設一個情景。一位財務部的無線用戶可能要安全地連接至財務VLAN，使用的是一種安全鏈接加密方法，如Wi-Fi受保護訪問。然而，當該VLAN中的用戶漫游至其他接入點時，他們可能會無法再訪問財務VLAN，因而也就無法獲取需要的網(wǎng)絡資源。如果要對網(wǎng)絡進行重新配置，并使用戶在整個公司里的每個接入點都能訪問VLAN的話，整個重新配置的過程將變得非常繁雜，當然也不可能成為有競爭力的解決方案。



　　然而，802.1x基于端口的驗證方法則可以提供一個有效的框架，為以太網(wǎng)和無線網(wǎng)絡上的用戶提供基站訪問授權。802.1x使用可擴展驗證協(xié)議（EAP)來中繼局域網(wǎng)基站（請求者）、以太網(wǎng)交換機或無線接入點（驗證者）與RADIUS服務器（驗證服務器）之間的端口訪問請求。



　　用于保護Wi-Fi網(wǎng)絡用戶的核心機制是基于數(shù)據(jù)加密和用戶驗證的方法，而非通常使用的基于角色的驗證方法�；�于角色的802.1x VLAN關聯(lián)具有很大的吸引力，因為它可以提供合理的工作組流量分割，并且更容易與有線網(wǎng)絡上配置的安全和流量工程策略集成在一起。



　　網(wǎng)絡管理員通常都希望為所有用戶保留原有的擴展服務集ID（ESSID）和加密檔案。這樣，當用戶進入無線局域網(wǎng)時，系統(tǒng)可根據(jù)驗證服務器上已經(jīng)配置好的屬性，將用戶分配至不同VLAN內的不同工作組中。如果不使用基于角色的VLAN，這種方法基本上是不可能實現(xiàn)的，除非對無線局域網(wǎng)的許許多多配置逐個調整，為每個用戶組引入新的ESSID。這種做法無疑需要巨大的資金投入和高昂的運營費用。



　　無線局域網(wǎng)交換機可以支持各種類型的用戶角色，以及不同的訪問權限和VLAN關聯(lián)。它還可以支持多種類型的服務器規(guī)則，并從中引申出用戶角色，如RADIUS服務器發(fā)出的訪問接受信息中的RADIUS屬性。例如，某一條服務器規(guī)則用于提取某個特定RADIUS屬性中的數(shù)值，并使用該數(shù)值作為角色。在802.1x驗證中，客戶機通過一個無線局域網(wǎng)交換機驗證至RADIUS服務器。然后，無線局域網(wǎng)根據(jù)執(zhí)行服務器規(guī)則后產(chǎn)生的角色，在VLAN與客戶機之間建立關聯(lián)。



　　一旦與接入點之間的關聯(lián)建立完成，無線局域網(wǎng)交換機將客戶機置于未授權狀態(tài)下。在這種狀態(tài)下，只有客戶機生成的802.1x EAP包才能通過無線局域網(wǎng)轉發(fā)。無線局域網(wǎng)交換機發(fā)送一條EAP Request-ID，即用戶身份請求信息給客戶機�？蛻魴C則回應一條EAP Response-ID信息。此后，無線局域網(wǎng)交換機將EAP Response-ID封包為一條RADIUS訪問請求信息，并將其轉發(fā)給RADIUS服務器。



　　如果驗證成功，RADIUS服務器將訪問接受信息發(fā)送給無線局域網(wǎng)交換機。這條信息可以識別不同的用戶屬性，如角色和訪問權限。然后，無線局域網(wǎng)交換機會對這條回應信息進行解析，并確定客戶機應當被分配至哪一個VLAN。



　　使用該信息，無線局域網(wǎng)交換機便將客戶機分置于授權狀態(tài)下，并發(fā)送一條EAP Success信息。此后，交換機才將來自客戶機的所有數(shù)據(jù)流量轉發(fā)給合適的VLAN。在收到EAP Success信息后，客戶機將啟動動態(tài)主機配置協(xié)議，并從基于角色的VLAN上獲得一個IP地址。




摘自　網(wǎng)絡世界