由于移动设备在企业内的快速增长, WLAN已经从一种便利措施变成完整的网络解决方法。为了支持广泛的设备类型,工程师必须设计一种WLAN边缘网络,以支持新型WLAN访问控制和应用优化。本文将介绍WLAN架构中关于WLAN访问控制与应用优化等问题。
理解WLAN访问控制的基本概念
一定要先理解在WLAN访问控制中发挥不同作用的各种网络访问技术和标准。最基本的访问技术和标准包括:
• 802.11x以太网:这一种底层标准,它涵盖了通信技术Wi-Fi,定义了无线链路、调制技术和数据帧格式。Wi-Fi与802.11a/b/g/n标准由IEEE定义。后续版本(包括802.11ad、.11u和.11ac)将更好地整合移动通信网络,在最大速度与有线以太网的相当。
• 网络访问控制(NAC):NAC系统负责控制可以通过WLAN连接网络的设备。IEEE的802.1X 标准规定了如何要求用户在访问LAN服务之前进行身份认证。在企业中,NAC和802.1X通常是同义词,但是NAC除了身份认证,还包含更广泛的检查。许多公司(特别是较小型公司)使用WPA(Wi-Fi Protected Access)替代802.1X,因为前者更为简单易用。
• 虚拟私有网络(VPN):VPN可以创建一个连接多个可能不安全网络的安全通路。VPN主要使用IPsec(运行在IP层)、SSL/TLS或SSH(运行在IP层之上)。
• 虚拟局域网(VLAN):它由IEEE标准802.1q定义。VLAN定义的是逻辑网络之上的逻辑LAN,而非物理LAN。IT可以使用VLAN划分同一个物理LAN的资源,或者让位于不同物理LAN的设备表面上共享相同的LAN。企业通常使用VLAN控制不同设备分组的企业资源访问级别。例如,“销售”VLAN上的主机可以访问数据中心内运行的应用程序,但是“访客”VLAN上的主机则不允许。
• 轻量目录访问协议(LDAP):严格意义上说,LDAP并不是一种WLAN技术,但是它也属于企业级技术。LDAP可以标准化企业目录访问,如Active Directory或Open Directory,并且允许组织使用目录作为WLAN使用的访问权限库。RADIUS(远程用户拨号认证系统)通常会与LDAP整合在一起,共同提供一个处理身份、认证和访问的框架。
扩展开放标准实现私有边界
许多供应商提供了一些支持这些开放无线LAN标准的技术,但是要扩展它们的定义范围,才能实现私有边界。供应商使用私有技术扩展实现自已产品的差异性。这些特性是为企业提供一整套用于提升WLAN架构管理的关键技术,如设备管理和应用性能优化。例子如下:
• 私有预共享密钥(Private Pre-Shared Key, PPSK):PPSK可用于验证设备和/或身份,它是一种NAC,定义了一种更简单的802.1X功能扩展方法。不同的供应商使用不同的方法实现PPSK。供应商可以使用PPSK验证身份和在设备上应用访问权限。
• 频带操纵:它由一些私有技术定义,WLAN供应商使用频带操纵检测不同设备的Wi-Fi功能,如802.11a/b/g/n,然后将它们重定向到不同的频道,从而优化它们的容量、性能和使用方式。
• 服务质量(QoS):IEEE 802.11e是一种WLAN的通用QoS标准,而SVP是一种广泛使用的传统私有标准。供应商还可以定义一些私有QoS机制,用于加快WLAN的数据包传输。例如,Ruckus Wireless使用自有方法定义波束成型,实现无线链路的性能优化。
• 安全事件管理(SEM):SEM指一些安全事件的日志记录、管理和报告,如未授权访问。WLAN供应商可以自由决定SEM的实现方法。虽然这个方面不存在标准,但是一定要跟踪WLAN网络中发生的事情。
创建成功的“Wi-Fi为先”WLAN架构
作为WLAN架构需求定义的关键部分,企业必须理解设备类型、应用及其即时支持位置(确定其他东西是否会随后出现)。了解这些信息将帮助IT人员找到在企业规划与安全框架之下最适合他们需求的WLAN架构。
定义这些需求将使IT人员能够:
• 发现最佳的试点或起点位置;
• 确定WLAN的功能与局限性;
• 确定一个能够作为企业主要或唯一接入技术的WLAN。
WLAN功能:基本上,企业WLAN是一种具有严格要求的互联Wi-Fi,它的要求包括安全、正常运行时间(企业要求99.999%网络可用性,通常称为“5个9”正常运行时间、后台系统整合、应用与设备管理。
如果将WLAN架构作为主要或唯一接入技术,原本属于有线LAN的功能现在必须整合到WLAN中。然而,WLAN不仅仅要具有有线网络的同等功能,它还可以扩展这些功能,包括:
• 安全性与规范性:LAN边界安全性的作用包括访问控制、加密、流氓检测、媒体访问控制(MAC)地址验证等。WLAN可以实现这些功能,按照一些特殊标准提供连接,如健康保险流通与责任法案(HIPAA)。
• 优化:网络的访问边界应用于QoS数据包标记和智能流控制。WLAN还可以应用一些只支持无线网线的技术,包括频带操纵、天线设计等。
• 设备管理:WLAN供应商产品现在包含设备管理功能(基于NAC),通过整合LDAP/RADIUS或类似的目录服务,它确定了后台系统、服务和应用的访问权限。
• 报告:这个功能通常由SEM定义,除了适用于特定供应商和/或合作伙伴报表工具,它还提供了事件和总体报告工具。
• 可靠性:WLAN可以持续监控RF环境的瞬时变化。例如,当员工夹紧一个天线,它就会影响信号功率(增益)、方向和接入端(AP)的可用性。网状网络也可以通过冗余增加前摄功能,当一个AP出现故障时,邻近AP就可以接管它的工作负载。
主接入WLAN架构需要应用与移动性的支持
虽然现场管理工具仍然占据主导位置,但是越来越多WLAN供应商推出了软件即服务(SaaS) 工具,它可以管理所有附加和要求的应用与移动功能。这种策略可用于简化主接入WLAN架构的初次部署及未来扩展。
“WLAN为先”的现代架构要求所运行的移动设备与应用能够作为员工设备和其应用的优先选择。由于许多公司现在已经支持BYOD,而且苹果iOS也成为最广泛使用的移动操作系统(96.3%的公司已经接受),所以企业正面临快速增长消费市场带来的资源分配难题。现有设备与用例通常涉及同时运行企业、个人和多用途应用,因此对WLAN提出的需求已经非常复杂。
企业用户使用的典型业务与个人应用包括Skype、Facebook、LinkedIn、Saleforce、Oracle客户关系管理(CRM)、FaceTime、Google地图、Pandora,以及企业视频会议、电子邮件、浏览器和日程管理。
由于其吞吐量和延迟方面的要求,这些应用给WLAN带来极大的考验,而且用户也期望能够在各个位置使用这些应用。这些容量与普适性要求促使基于分布式智能技术的现代网状WLAN架构。“胖AP”要求无线WLAN架构通过新接入点的扩展能力,而不会带来传统WLAN那种单独控制与管理的负担。
为了支持所有这些需求,IT人员应该通过移动设备管理工具(MDM)定义、控制和支持BYOD与消费类设备。现在有超过30个供应商和托管服务提供商(MSP)有MDM平台产品,他们正快速推出一些新特性,支持移动应用管理(MAM)、安全文档知识库(SDR)、WLAN证书授权(CA)注册及其他与有线网络一样的功能。
IT人员应该整合安全性、移动性、软件开发、网络架构等团队及非IT员工的要求,提出一个全面全新的计划。这将帮助人们了解与移动性和应用紧密先关的WLAN需求。