標準WLAN安全設計(1)

SAFE無線技術能解決WLAN的一般安全問題，在此，思科介紹一種通用的WLAN安全設計策略。在標準WLAN設計中，假定所有WLAN設備都與唯一的IP子網相連，適用于有線網絡的多數服務也將適用于無線網絡。在介紹標準WLAN設計之前，還要介紹主要安全設備的性能，討論如何實現WLAN用戶分離等問題。

一、保證安全性能的同時提高可用性

提供安全服務的關鍵設備主要有DHCP、RADIUS、IPSec，它們都需要在保證安全性能的同時提高可用性。

動態主機配置協議（DHCP）

·每秒請求——實施WLAN之后，DHCP服務器必須能保證以一定的速度處理新DHCP請求。如果DHCP服務器負擔過重，那么LEAP用戶無法在認證之后獲得IP連接，IPSec用戶則無法用VPN網關設置安全通道。

·DHCP安全故障恢復協議——DHCP服務器應該遵循RFCDHCP安全故障恢復協議草案，并配置成冗余的雙服務器。

·地址管理——如果使用LEAP，網絡設計時應該考慮實施WLAN后帶來的額外IP地址需求；如果使用IPSecVPN保護無線接入，則應該為VPN通道增加IP地址。

·網絡設計問題——為實現高可用性，需要在兩個位置之間建立冗余網絡。最好不要將所有DHCP服務器都放在一個子網中，否則對一個子網的DoS攻擊可能會影響所有無線DHCP服務。

DADIUS

·每秒請求——實施WLAN之后，DHCP服務器必須以一定的速度處理新RADUIS請求。如果RADUIS服務器負擔過重，無線接入點和VPN網關將無法對用戶進行認證。

·冗余服務器部署——必須部署多臺RADIUS服務器，并將認證設備組合在一起，以便主用和備用RADIUS服務器的相互替代。這種設置能實現兩個目標：當服務器發生故障時限制故障區域；有效擴展每臺RADIUS服務器的性能。

·用戶管理——為了保證RADIUS服務器的性能，如果用戶數據庫在本地保存，網絡設計時應該考慮配備用于實現數據同步的服務器這，種設置有利于提供單管理點。如果用戶數據庫保存在外部（LDAP、NT域），網絡設計時應該考慮將RADIUS服務器放置于后端數據庫，因為兩個資源之間的網絡停頓會拒絕無線用戶接入公司網。

IP安全協議（IPSec）

·每秒連接——在無線LAN中，VPN網關必須滿足以一定的速度處理新IPSec連接。

·加密吞吐量——對VPN網關而言，對小包進行加密的工作量更大，這樣會降低VPN網關的加密吞吐量。網絡設計時必須了解數據包的大小分布，這樣才能為無線網絡確定大小適當的網關。

·并發IPSec操作數——VPN網關必須能處理一定數量的并發IPSec操作。

為解決這三個問題，VPN廠商推出了幾種集群技術。集群技術能夠將新IPSec連接轉到負擔最小的VPN網關上，為新IPSec連接提供最好的服務。

二、實現WLAN用戶分離

在有線網絡中，通?？梢杂玫?層網段對用戶進行分類，這種劃分在大廈分布模塊中進行，盡管這種分離很難，但仍然是可行的；但是，在WLAN中，依靠目前的技術實現這一點幾乎是不可能的。只有部署了上層安全機制，如IPSec，才可以實現這種水平的區分。

如果要求用戶在其主機上運行VPN終端軟件，只用無線網絡傳輸，并允許VPN處理所有安全控制，這種設計也可以實現用戶區分。