標(biāo)準(zhǔn)WLAN安全設(shè)計(jì)

SAFE無線技術(shù)能解決WLAN的一般安全問題,在此,思科介紹一種通用的WLAN安全設(shè)計(jì)策略。在標(biāo)準(zhǔn)WLAN設(shè)計(jì)中,假定所有WLAN設(shè)備都與唯一的IP子網(wǎng)相連,適用于有線網(wǎng)絡(luò)的多數(shù)服務(wù)也將適用于無線網(wǎng)絡(luò)。

在介紹標(biāo)準(zhǔn)WLAN設(shè)計(jì)之前,還要介紹主要安全設(shè)備的性能,討論如何實(shí)現(xiàn)WLAN用戶分離等問題。

一、保證安全性能的同時提高可用性

提供安全服務(wù)的關(guān)鍵設(shè)備主要有DHCP、RADIUS、IPSec,它們都需要在保證安全性能的同時提高可用性。

動態(tài)主機(jī)配置協(xié)議(DHCP)

·每秒請求——實(shí)施WLAN之后,DHCP服務(wù)器必須能保證以一定的速度處理新DHCP請求。如果DHCP服務(wù)器負(fù)擔(dān)過重,那么LEAP用戶無法在認(rèn)證之后獲得IP連接,IPSec用戶則無法用VPN網(wǎng)關(guān)設(shè)置安全通道。

·DHCP安全故障恢復(fù)協(xié)議——DHCP服務(wù)器應(yīng)該遵循RFCDHCP安全故障恢復(fù)協(xié)議草案,并配置成冗余的雙服務(wù)器。

·地址管理——如果使用LEAP,網(wǎng)絡(luò)設(shè)計(jì)時應(yīng)該考慮實(shí)施WLAN后帶來的額外IP地址需求;如果使用IPSecVPN保護(hù)無線接入,則應(yīng)該為VPN通道增加IP地址。

·網(wǎng)絡(luò)設(shè)計(jì)問題——為實(shí)現(xiàn)高可用性,需要在兩個位置之間建立冗余網(wǎng)絡(luò)。最好不要將所有DHCP服務(wù)器都放在一個子網(wǎng)中,否則對一個子網(wǎng)的DoS攻擊可能會影響所有無線DHCP服務(wù)。

DADIUS

·每秒請求——實(shí)施WLAN之后,DHCP服務(wù)器必須以一定的速度處理新RADUIS請求。如果RADUIS服務(wù)器負(fù)擔(dān)過重,無線接入點(diǎn)和VPN網(wǎng)關(guān)將無法對用戶進(jìn)行認(rèn)證。

·冗余服務(wù)器部署——必須部署多臺RADIUS服務(wù)器,并將認(rèn)證設(shè)備組合在一起,以便主用和備用RADIUS服務(wù)器的相互替代。這種設(shè)置能實(shí)現(xiàn)兩個目標(biāo):當(dāng)服務(wù)器發(fā)生故障時限制故障區(qū)域;有效擴(kuò)展每臺RADIUS服務(wù)器的性能。

·用戶管理——為了保證RADIUS服務(wù)器的性能,如果用戶數(shù)據(jù)庫在本地保存,網(wǎng)絡(luò)設(shè)計(jì)時應(yīng)該考慮配備用于實(shí)現(xiàn)數(shù)據(jù)同步的服務(wù)器這,種設(shè)置有利于提供單管理點(diǎn)。如果用戶數(shù)據(jù)庫保存在外部(LDAP、NT域),網(wǎng)絡(luò)設(shè)計(jì)時應(yīng)該考慮將RADIUS服務(wù)器放置于后端數(shù)據(jù)庫,因?yàn)閮蓚資源之間的網(wǎng)絡(luò)停頓會拒絕無線用戶接入公司網(wǎng)。

IP安全協(xié)議(IPSec)

·每秒連接——在無線LAN中,VPN網(wǎng)關(guān)必須滿足以一定的速度處理新IPSec連接。

·加密吞吐量——對VPN網(wǎng)關(guān)而言,對小包進(jìn)行加密的工作量更大,這樣會降低VPN網(wǎng)關(guān)的加密吞吐量。網(wǎng)絡(luò)設(shè)計(jì)時必須了解數(shù)據(jù)包的大小分布,這樣才能為無線網(wǎng)絡(luò)確定大小適當(dāng)?shù)木W(wǎng)關(guān)。

·并發(fā)IPSec操作數(shù)——VPN網(wǎng)關(guān)必須能處理一定數(shù)量的并發(fā)IPSec操作。

為解決這三個問題,VPN廠商推出了幾種集群技術(shù)。集群技術(shù)能夠?qū)⑿翴PSec連接轉(zhuǎn)到負(fù)擔(dān)最小的VPN網(wǎng)關(guān)上,為新IPSec連接提供最好的服務(wù)。

二、實(shí)現(xiàn)WLAN用戶分離

在有線網(wǎng)絡(luò)中,通?梢杂玫3層網(wǎng)段對用戶進(jìn)行分類,這種劃分在大廈分布模塊中進(jìn)行,盡管這種分離很難,但仍然是可行的;但是,在WLAN中,依靠目前的技術(shù)實(shí)現(xiàn)這一點(diǎn)幾乎是不可能的。只有部署了上層安全機(jī)制,如IPSec,才可以實(shí)現(xiàn)這種水平的區(qū)分。

如果要求用戶在其主機(jī)上運(yùn)行VPN終端軟件,只用無線網(wǎng)絡(luò)傳輸,并允許VPN處理所有安全控制,這種設(shè)計(jì)也可以實(shí)現(xiàn)用戶區(qū)分。


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息