標準WLAN安全設(shè)計

SAFE無線技術(shù)能解決WLAN的一般安全問題，在此，思科介紹一種通用的WLAN安全設(shè)計策略。在標準WLAN設(shè)計中，假定所有WLAN設(shè)備都與唯一的IP子網(wǎng)相連，適用于有線網(wǎng)絡(luò)的多數(shù)服務(wù)也將適用于無線網(wǎng)絡(luò)。

在介紹標準WLAN設(shè)計之前，還要介紹主要安全設(shè)備的性能，討論如何實現(xiàn)WLAN用戶分離等問題。

一、保證安全性能的同時提高可用性

提供安全服務(wù)的關(guān)鍵設(shè)備主要有DHCP、RADIUS、IPSec，它們都需要在保證安全性能的同時提高可用性。

動態(tài)主機配置協(xié)議（DHCP）

·每秒請求——實施WLAN之后，DHCP服務(wù)器必須能保證以一定的速度處理新DHCP請求。如果DHCP服務(wù)器負擔(dān)過重，那么LEAP用戶無法在認證之后獲得IP連接，IPSec用戶則無法用VPN網(wǎng)關(guān)設(shè)置安全通道。

·DHCP安全故障恢復(fù)協(xié)議——DHCP服務(wù)器應(yīng)該遵循RFCDHCP安全故障恢復(fù)協(xié)議草案，并配置成冗余的雙服務(wù)器。

·地址管理——如果使用LEAP，網(wǎng)絡(luò)設(shè)計時應(yīng)該考慮實施WLAN后帶來的額外IP地址需求；如果使用IPSecVPN保護無線接入，則應(yīng)該為VPN通道增加IP地址。

·網(wǎng)絡(luò)設(shè)計問題——為實現(xiàn)高可用性，需要在兩個位置之間建立冗余網(wǎng)絡(luò)。最好不要將所有DHCP服務(wù)器都放在一個子網(wǎng)中，否則對一個子網(wǎng)的DoS攻擊可能會影響所有無線DHCP服務(wù)。

DADIUS

·每秒請求——實施WLAN之后，DHCP服務(wù)器必須以一定的速度處理新RADUIS請求。如果RADUIS服務(wù)器負擔(dān)過重，無線接入點和VPN網(wǎng)關(guān)將無法對用戶進行認證。

·冗余服務(wù)器部署——必須部署多臺RADIUS服務(wù)器，并將認證設(shè)備組合在一起，以便主用和備用RADIUS服務(wù)器的相互替代。這種設(shè)置能實現(xiàn)兩個目標：當服務(wù)器發(fā)生故障時限制故障區(qū)域；有效擴展每臺RADIUS服務(wù)器的性能。

·用戶管理——為了保證RADIUS服務(wù)器的性能，如果用戶數(shù)據(jù)庫在本地保存，網(wǎng)絡(luò)設(shè)計時應(yīng)該考慮配備用于實現(xiàn)數(shù)據(jù)同步的服務(wù)器這，種設(shè)置有利于提供單管理點。如果用戶數(shù)據(jù)庫保存在外部（LDAP、NT域），網(wǎng)絡(luò)設(shè)計時應(yīng)該考慮將RADIUS服務(wù)器放置于后端數(shù)據(jù)庫，因為兩個資源之間的網(wǎng)絡(luò)停頓會拒絕無線用戶接入公司網(wǎng)。

IP安全協(xié)議（IPSec）

·每秒連接——在無線LAN中，VPN網(wǎng)關(guān)必須滿足以一定的速度處理新IPSec連接。

·加密吞吐量——對VPN網(wǎng)關(guān)而言，對小包進行加密的工作量更大，這樣會降低VPN網(wǎng)關(guān)的加密吞吐量。網(wǎng)絡(luò)設(shè)計時必須了解數(shù)據(jù)包的大小分布，這樣才能為無線網(wǎng)絡(luò)確定大小適當?shù)木W(wǎng)關(guān)。

·并發(fā)IPSec操作數(shù)——VPN網(wǎng)關(guān)必須能處理一定數(shù)量的并發(fā)IPSec操作。

為解決這三個問題，VPN廠商推出了幾種集群技術(shù)。集群技術(shù)能夠?qū)⑿翴PSec連接轉(zhuǎn)到負擔(dān)最小的VPN網(wǎng)關(guān)上，為新IPSec連接提供最好的服務(wù)。

二、實現(xiàn)WLAN用戶分離

在有線網(wǎng)絡(luò)中，通�？梢杂玫�3層網(wǎng)段對用戶進行分類，這種劃分在大廈分布模塊中進行，盡管這種分離很難，但仍然是可行的；但是，在WLAN中，依靠目前的技術(shù)實現(xiàn)這一點幾乎是不可能的。只有部署了上層安全機制，如IPSec，才可以實現(xiàn)這種水平的區(qū)分。

如果要求用戶在其主機上運行VPN終端軟件，只用無線網(wǎng)絡(luò)傳輸，并允許VPN處理所有安全控制，這種設(shè)計也可以實現(xiàn)用戶區(qū)分。