VLAN的无线接入
|
随着越来越多的公司推出其无线网络,人们最关心的问题恐怕就是如何将无线用户接入适当的有线VLAN。有线网络中的VLAN用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中,用户根本没有与任何物理端口连接。 先进的无线验证技术,并利用基于角色的VLAN关联来进行用户识别。这种方法可以利用一系列标准的验证方法,如基于HTTP捕获端口和802.1x等可选验证机制来判断出正确的VLAN用户身份。
然而,802.1x基于端口的验证方法则可以提供一个有效的框架,为以太网和无线网络上的用户提供基站访问授权。802.1x使用可扩展验证协议(EAP)来中继局域网基站(请求者)、以太网交换机或无线接入点(验证者)与RADIUS服务器(验证服务器)之间的端口访问请求。 用于保护Wi-Fi网络用户的核心机制是基于数据加密和用户验证的方法,而非通常使用的基于角色的验证方法。基于角色的802.1x VLAN关联具有很大的吸引力,因为它可以提供合理的工作组流量分割,并且更容易与有线网络上配置的安全和流量工程策略集成在一起。 网络管理员通常都希望为所有用户保留原有的扩展服务集ID(ESSID)和加密档案。这样,当用户进入无线局域网时,系统可根据验证服务器上已经配置好的属性,将用户分配至不同VLAN内的不同工作组中。如果不使用基于角色的VLAN,这种方法基本上是不可能实现的,除非对无线局域网的许许多多配置逐个调整,为每个用户组引入新的ESSID。这种做法无疑需要巨大的资金投入和高昂的运营费用。 无线局域网交换机可以支持各种类型的用户角色,以及不同的访问权限和VLAN关联。它还可以支持多种类型的服务器规则,并从中引申出用户角色,如RADIUS服务器发出的访问接受信息中的RADIUS属性。例如,某一条服务器规则用于提取某个特定RADIUS属性中的数值,并使用该数值作为角色。在802.1x验证中,客户机通过一个无线局域网交换机验证至RADIUS服务器。然后,无线局域网根据执行服务器规则后产生的角色,在VLAN与客户机之间建立关联。 一旦与接入点之间的关联建立完成,无线局域网交换机将客户机置于未授权状态下。在这种状态下,只有客户机生成的802.1x EAP包才能通过无线局域网转发。无线局域网交换机发送一条EAP Request-ID,即用户身份请求信息给客户机。客户机则回应一条EAP Response-ID信息。此后,无线局域网交换机将EAP Response-ID封包为一条RADIUS访问请求信息,并将其转发给RADIUS服务器。 如果验证成功,RADIUS服务器将访问接受信息发送给无线局域网交换机。这条信息可以识别不同的用户属性,如角色和访问权限。然后,无线局域网交换机会对这条回应信息进行解析,并确定客户机应当被分配至哪一个VLAN。 使用该信息,无线局域网交换机便将客户机分置于授权状态下,并发送一条EAP Success信息。此后,交换机才将来自客户机的所有数据流量转发给合适的VLAN。在收到EAP Success信息后,客户机将启动动态主机配置协议,并从基于角色的VLAN上获得一个IP地址。 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
