設計和部署無線局域網連接

　　 
　　Microsoft WLAN 的歷史
　　移動計算設備 (如膝上型電腦和個人數字助理 PDA) 數量的增長，以及用戶想一直連接到網絡上而不受“接入區域”限制 (因為“接入區域”會限制用戶使其不能移動辦公) 的需求都刺激了無線訪問企業局域網 (LAN) 的需求。

Microsoft 一直致力于為最終用戶提供一種可隨時隨地使用我們的增強產品的連接，并兌現其為用戶提供一種安全可靠的企業無線網絡基礎設施的承諾。
　　
　　Microsoft 是第一家將無線局域網技術作為有線連接膝上電腦備選方案的大型企業。由于 IEEE 802.11 WLAN 標準最近被批準為一種國際標準，因而 Microsoft 欣然將 IEEE 802.1b 擴展標準認可為新發布的標準 (于 1999 年 9 月 16 日批準)，并于 1999 年 12 月開始在其 Redmond 企業園區部署 IEEE 802.11b。自此以后，Microsoft 一直積極投身于改進和引領 IEEE 802.11 標準，并致力于增強和提高數據加密、身份驗證功能以及網絡可靠性。
　　
　　在 IEEE 802.11b 批準后不久，IEEE 802.1 MAC Bridging 小組便開始研究從 IEEE 802.1X 擴展到 802.1 橋接標準的工作，主要研究方向是對局域網網絡 (如 IEEE 802.3 (Ethernet)、IEEE 802.5 (令牌網)、光線分布式數據接口 (FDDI) 和 IEEE 802.11) 驗證端口訪問的支持。
　　
　　開始時，Microsoft 只是將無線連接作為普通有線連接的補充提供。并沒有將它作為最終用戶的主要網絡連接設備。但是，由于無線連接的特點可使員工們參與即席討論、進行軟件演示并將工作帶至會場，這些都提高了他們的工作效率，因而 WLAN 很快成為人們理想的連接方式。
　　
　　在 Redmond 園區的首次演示結束之后，Microsoft 便擁有了世界上最大的企業 WLAN。幾乎是同時的，Microsoft 開始面對大型 WLAN 的部署、集成以及維護問題。從包含 2,800 個無線訪問點 (AP) 和 19,000 個無線網絡適配器的首次部署開始，Microsoft 從一開始就要處理網絡的安全性和伸縮性問題。例如，Microsoft 意識到 MAC 地址過濾和早期的 VPN 解決方案不能作為支持全球 WLAN 的可伸縮最終解決方案。
　　
　　在園區進行的首次 802.11b 演示中，Microsoft 使用靜態 WEP 128 位加密密鑰用于數據加密，并使用 IEEE 802.11 共享密鑰用于身份驗證。對 WEP 和共享密鑰身份驗證所做出的持續安全性妥協消息促使 Microsoft 積極面對無線局域網基礎設施的安全性問題。結果便產生了當前的 WLAN 部署，即使用 802.1X 基于證書的 EAP-TLS 身份驗證，并對每個會話使用 WEP 密鑰。
　　
　　Microsoft 繼續在 IEEE 802.11i 安全性任務小組中進行身份驗證和數據加密方面的安全性研究工作。同時，Microsoft 還對其他領域作出了貢獻，滿足了最終用戶對無線網絡適配器的“全球模式”操作需求，還提供了一種用于連接相關信息會話的內部無線 AP 協議。
　　
　　在認識到無線技術為其用戶和客戶帶來了方便的同時，Microsoft 還意識到了將無線技術引入到企業網絡所帶來的新威脅。
　　
　　Microsoft WLAN 技術
　　Microsoft WLAN 利用了以下技術：
　　
　　 IEEE 802.11b
　　
　　 IEEE 802.1X
　　
　　 EAP-TLS 身份驗證
　　
　　 RADIUS
　　
　　 Active Directory
　　
　　 證書
　　
　　IEEE 802.11b
　　IEEE 802.11 是一個共享無線局域網 (WLAN) 的行業標準，它為無線通信定義了物理層和介質訪問控制 (MAC) 子層。IEEE 802.11b 是最初 IEEE 802.11 規范的增強規范。其主要增強表現在物理層的標準化，可以支持更高的比特率。
　　
　　IEEE 802.11b 支持兩種其他的傳輸速率，5.5 Mbps 和 11 Mbps，使用工業、科學及醫藥設備 (ISM) 的 2.45 GHz 頻段?！爸苯有蛄姓诡l”(DSSS) 調制方案可用于提供更高的數據傳輸速率。理想狀態下可以達到 11 Mbps 的比特率。在不太理想的情況下，可使用 5.5 Mbps、2 Mbps 以及 1 Mbps 等較低速率。
　　
　　IEEE 802.1X
　　802.1X 標準定義了基于端口的網絡訪問控制，用來為以太網提供經過驗證的網絡訪問。這種基于端口的網絡訪問控制使用可交換 LAN 基礎設施的物理特性來驗證連接到 LAN 端口的設備。如果驗證過程失敗，會拒絕對端口的訪問。雖然這個標準最初是為有線以太網設計的，但它同樣適用于 802.11 無線 LAN。
　　
　　為了給 IEEE 802.1X 提供標準的身份驗證機制，選擇了可擴展身份驗證協議 (EAP)。EAP 是一種基于點對點協議 (PPP) 的身份驗證機制，適用于點對點的 LAN 網段。EAP 消息一般作為 PPP 幀的有效負荷發送。為了使 EAP 消息能通過以太網或無線 LAN 網段傳送，IEEE 802.1X 標準定義了 EAP over LAN (EAPOL) —— 一種封裝 EAP 消息的標準方法。
　　
　　EAP-TLS 身份驗證
　　EAP 傳輸層級安全性 (EAP-TLS) 是 RFC 2716 中描述的一種 EAP 類型，用在基于證書的安全環境中。如果使用智能卡進行遠程訪問驗證，則必須使用 EAP-TLS 身份驗證方法。EAP-TLS 身份驗證過程交換安裝在訪問客戶端和驗證服務器的證書，并提供交互式身份驗證、完整性保護密碼組合協商以及安全的密鑰交換和鑒定。EAP-TLS 提供了一種非常強壯的身份驗證方法。
　　
　　遠程驗證撥號用戶服務 (RADIUS)
　　遠程驗證撥號用戶服務 (RADIUS) 是一種廣泛部署的協議，實現了集中式的身份驗證、授權以及網絡訪問計數。RADIUS 在 RFC 2865 中被描述為“遠程驗證撥號用戶服務 (RADIUS)”(IETF 草案標準)，在 RFC 2866 中的描述為“RADIUS 計數”(參考)。
　　
　　最初，RADIUS 是為遠程撥號訪問而開發的，但是現在 RADIUS 已經廣受支持，其中包括無線 AP、以太網驗證交換機、虛擬專用網 (VPN) 服務器、數字用戶線路 (DSL) 訪問服務器以及其他網絡訪問服務器。
　　
　　Windows 2000 Server 和 Windows Server 2003 家族提供的 Internet 身份驗證服務 (IAS) 是 Microsoft 對 RADIUS 服務器和 RADIUS 代理 (適用于 Windows Server 2003 家族) 的一種實現。IAS 為多種類型的網絡訪問進行集中的連接身份驗證、授權和計數，包括無線、相互身份驗證、撥號和虛擬專用網 (VPN) 遠程訪問以及路由器到路由器的連接。IAS 支持 RFC 2865 和 RFC 2866，還支持額外的 RADIUS 擴展 RFC 以及 Internet 草案。IAS 中允許使用不同種類的無線、交換、遠程訪問或 VPN 設備，可以和 Windows 2000 Server 或 Windows Server 2003 路由及遠程訪問服務一起使用。
　　
　　IAS 服務器作為基于 Active Directory 的域的成員時，IAS 使用 Active Directory 作為其用戶計數數據庫并將其作為單一登錄解決方案的一部分。網絡訪問控制 (對網絡的身份驗證和授權訪問) 使用同一套證書登錄到基于 Active Directory 的主域訪問資源。
　　
　　Active Directory
　　Active Directory 是為分布式計算環境設計的一種目錄服務。當作為網絡安全管理中心時，Active Directory 允許企業集中管理以及共享網絡資源和用戶信息。除了提供 Windows 環境下的綜合目錄服務外，Active Directory 還被設計作為一種合并機制，用于隔離、遷移、集中管理和減少目錄的數量。
　　
　　為了進行無線訪問，Active Directory 主域包含了要驗證的用戶和計算機的帳戶，以及用于部署計算機證書的“組策略”設置。
　　
　　證書
　　證書是一種使用公共密鑰加密技術的數字簽名聲明，公共密鑰加密技術綁定了對持有私有密鑰的個人、設備或服務進行識別的公共密鑰值。證書由證書頒發機構 (CA) 發布。公共密鑰加密技術使用“公共密鑰和私有密鑰對”對消息進行加密或數字簽名。有關公共密鑰加密技術以及 Windows 2000 公共密鑰基礎設施的更多信息，請參見 Windows 2000 安全性服務網站.
　　
　　設計和部署注意事項
　　Microsoft 的無線連接部署用于訪問企業內部網 (以下均稱為 Corpnet)。一旦進入 Microsoft Corpnet，便不再有限制員工或其他授權用戶訪問網絡和公司資源的防火墻。
　　
　　性能
　　因為 WLAN 的設計初衷只是作為 Microsoft 有線以太網 LAN 基礎設施的補充，并未設計為其替代產品，因此平均每個無線 AP 上可供 2 至 4 個用戶分享 11 Mbps 的速率。實際的吞吐量在 4 到 6.5 Mbps 之間。這種設計規則的結果是：在一個滿載的 AP (25 個用戶) 上，用戶的體驗和使用家用 DSL 或 電纜調制解調器 連接相類似。
　　
　　為了保證能在集中了大量用戶的高密度區域 (如會議室和培訓教室) 下保持高性能的連接，可以采用其他技術。通過降低無線 AP 的傳輸功率，從 30 毫瓦 (mW) 降低到 15 或 5 毫瓦 (甚至低于 1 毫瓦)，可以創建較小的覆蓋區域。這樣就可以在同一區域內放置更多的無線 AP。例如在一個 200 人的房間內，原本因為覆蓋區載重疊而只能放置 3 個無線 AP，而采取這種策略后則可放置多個無線 AP，而且由于每個無線 AP 承載的無線客戶端減少，每個無線客戶端都能獲得更好的平均帶寬。
　　
　　伸縮性：
　　Microsoft WLAN 的設計基礎是直徑 20 米的覆蓋區域。這是為了確?？梢詫蝹€無線訪問點的潛在失敗進行冗余覆蓋，并提供建筑內的無縫漫游?！癕icrosoft 信息技術組”(ITG) 負責檢驗無線 AP 的安裝，以保證其和內部開發的任務檢查清單保持一致。他們還檢查每個無線 AP 的覆蓋范圍和網絡連接情況。在工程方面，Microsoft 致力于研究降低覆蓋面積、通過配置通道重疊覆蓋區域，以及緩和藍牙 (BT) 沖突。
　　
　　漫游和移動性
　　在 Microsoft 的 WLAN 部署中，每個建筑物中所有的無線 AP 都在相同的 IP 子網上。因此，建筑內部的無線漫游天衣無縫。當無線客戶端連接到不同的無線 AP 上，DHCP 更新過程只更新現有 TCP/IP 配置的使用期限。建筑內部漫游和 DHCP 更新協議過程更改了 TCP/IP 配置，這可能會導致那些不能正確處理 TCP/IP 配置更改的應用程序發生問題。不論哪種狀況，由于 EAP-

原文轉自：http://www.kjueaiud.com